特許 6851212 アクセス監視システム

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】6851212

(24)【登録日】2021年3月11日

(45)【発行日】2021年3月31日

(54)【発明の名称】アクセス監視システム

(51)【国際特許分類】

   G06F 21/55 20130101AFI20210322BHJP

   G06F 13/00 20060101ALI20210322BHJP

【ＦＩ】

   G06F21/55 320

   G06F13/00 351N

【請求項の数】4

【全頁数】13

(21)【出願番号】特願2017-22202(P2017-22202)

(22)【出願日】2017年2月9日

(65)【公開番号】特開2018-128910(P2018-128910A)

(43)【公開日】2018年8月16日

【審査請求日】2020年2月5日

(73)【特許権者】

【識別番号】599108242

【氏名又は名称】Ｓｋｙ株式会社

(74)【代理人】

【識別番号】100088214

【弁理士】

【氏名又は名称】生田 哲郎

(74)【代理人】

【識別番号】100205084

【弁理士】

【氏名又は名称】吉浦 洋一

(72)【発明者】

【氏名】楠本 哲也

(72)【発明者】

【氏名】山本 哲利

(72)【発明者】

【氏名】昇 辰也

【審査官】 宮司 卓佳

(56)【参考文献】

【文献】 特開２００３−３３０８８７（ＪＰ，Ａ）

【文献】 特開２０１０−２１１２５７（ＪＰ，Ａ）

【文献】 特開２０１１−１９１８２３（ＪＰ，Ａ）

【文献】 国際公開第２０１５／１４８１７１（ＷＯ，Ａ１）

【文献】 特開２０１２−０８４９９４（ＪＰ，Ａ）

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｇ０６Ｆ ２１／５５

Ｇ０６Ｆ １３／００

(57)【特許請求の範囲】

【請求項1】

ネットワーク内にある共有リソースへのアクセスを監視するアクセス監視システムであって，
前記アクセス監視システムは，
前記共有リソースへのアクセスがあったことを示す検出履歴情報に基づいて，前記共有リソースへの異常アクセスがあるかを判定する異常アクセス判定処理部と，
前記異常アクセスがあることを判定した場合，異常アクセスがあったことを示す情報を含む操作ログ情報を生成する操作ログ情報処理部と，
前記操作ログ情報に基づいて，前記共有リソースへの異常アクセスが行われたかを判定する操作ログ情報判定処理部と，
前記操作ログ情報判定処理部において異常アクセスが行われたことを判定すると，所定の通知を行う通知処理部と，
を備えることを特徴とするアクセス監視システム。

【請求項2】

前記アクセス監視システムは，更に、
ＵＮＣが含まれている検出情報を前記共有リソースへのアクセスがあると判定する共有リソースアクセス判定処理部と，
検出履歴情報を記憶する検出履歴情報記憶部と、
前記検出情報に日時情報を付して検出履歴情報として前記検出履歴情報記憶部に記憶させる検出履歴情報生成処理部と，
を備えることを特徴とする請求項１に記載のアクセス監視システム。

【請求項3】

前記異常アクセスの判定は，
前記共有リソースへのアクセス数，アクセスした共有リソースのデータ量，アクセス時間，アクセスした共有リソースの数，アクセスした共有サーバの数のいずれか一以上を用いて判定する，
ことを特徴とする請求項１または請求項２に記載のアクセス監視システム。

【請求項4】

コンピュータを，
共有リソースへのアクセスがあったことを示す検出履歴情報に基づいて，前記共有リソースへの異常アクセスがあるかを判定する異常アクセス判定処理部，
前記異常アクセスがあることを判定した場合，異常アクセスがあったことを示す情報を含む操作ログ情報を生成する操作ログ情報処理部，
前記操作ログ情報に基づいて，前記共有リソースへの異常アクセスが行われたかを判定する操作ログ情報判定処理部，
前記操作ログ情報判定処理部において異常アクセスが行われたことを判定すると，所定の通知を行う通知処理部，
として機能させることを特徴とするアクセス監視プログラム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は，ネットワーク内にある共有リソースへのアクセスを監視するアクセス監視システムに関する。

【背景技術】

【0002】

企業や学校，官公庁などの諸団体（以下，「企業等」という）の業務ではコンピュータが複数使用されており，それらはネットワークによって接続されている。そしてコンピュータには多種多様な情報が記憶されているため，ネットワーク内のコンピュータに障害などの異常が発生した場合には，業務に支障が生じるほか，情報の外部流出などの場合にはコンプライアンス上の問題も発生しうる。そのため，企業等ではネットワーク内に異常が発生していないかを日々監視している。

【0003】

とくに企業等では複数の担当者などで共通の業務を行うなどの必要性から，共通の業務に用いるファイルやフォルダ，あるいはファイルサーバやデータベースサーバなどのサーバなどは，複数のコンピュータからアクセス可能に設定されている。ここで複数のコンピュータからアクセス可能なファイル（共有ファイル）やフォルダ（共有フォルダ）を共有リソースと呼び，共有リソースを記憶するサーバを共有サーバと呼ぶこととする。共有リソースを共有する場合のシステムの一例を下記特許文献１に示す。

【0004】

共有リソースは，複数の担当者などで利用することからその重要性は高い。そのため，下記特許文献２に示すように，そのアクセス権限は厳密に管理されている。

【先行技術文献】

【特許文献】

【0005】

【特許文献1】特開２０１３−２３５３３９号公報

【特許文献2】特開２００７−９４４９３号公報

【発明の概要】

【発明が解決しようとする課題】

【0006】

近年，サイバー攻撃の一手法として，ランサムウェアを用いたものが知られている。ランサムウェアとは，感染したコンピュータに対して，操作者の意に反して，当該コンピュータをロックしたり，ファイルを暗号化するなどして使用不能とせしめた上で，元の状態に戻すことと引き替えに，不当に金銭を要求する，不正プログラムの一種である。多くの場合，電子メールに含まれる悪意ある添付ファイルを開いた際に，その不正プログラムがインストールされたり，改ざんされた正規のウェブサイトから，脆弱性を攻撃する不正なウェブサイトに誘導されたりするなどして，コンピュータをランサムウェアに感染させる。

【0007】

コンピュータがランサムウェアに感染した場合，そのコンピュータに対する操作ができなくなるほか，感染したコンピュータや，ネットワーク共有しているファイルが暗号化されて使用不能になるなど，業務に対する支障が大きい。また，金銭の要求に応じた場合には経済的損害も発生する。

【0008】

一方，ランサムウェアに感染したコンピュータがネットワークにある場合には，ほかのコンピュータへの感染を防止するため，できる限り早期に，感染したコンピュータをネットワークから切り離す必要がある。

【0009】

とくにネットワーク内の共有リソースがランサムウェアによって使用不能状態になると，企業等の業務が広範に停止する可能性があり，その影響は，一台のコンピュータが感染した場合とは比較にならないほど大きくなる。

【0010】

そこでランサムウェアへの感染を防止するため，ウィルス対策ソフトなどが用いられているが，ウィルス対策ソフトはランサムウェアを検知するという入口対策のみを実行するものであって，ウィルス対策ソフトで検出できなかった（入口対策が突破された）場合には，現状，有効な対策は殆ど存在していない。

【0011】

なぜならば共有リソースへのアクセスについて，それが通常のアクセスなのか，異常なアクセスなのかを判定することが容易ではなかったためである。

【課題を解決するための手段】

【0012】

本発明者は上述の問題点に鑑み，アクセス監視システムを発明した。

【0013】

第１の発明は，ネットワーク内にある共有リソースへのアクセスを監視するアクセス監視システムであって，前記アクセス監視システムは，前記共有リソースへのアクセスがあったことを示す検出履歴情報に基づいて，前記共有リソースへの異常アクセスがあるかを判定する異常アクセス判定処理部と，前記異常アクセスがあることを判定した場合，異常アクセスがあったことを示す情報を含む操作ログ情報を生成する操作ログ情報処理部と，前記操作ログ情報に基づいて，前記共有リソースへの異常アクセスが行われたかを判定する操作ログ情報判定処理部と，前記操作ログ情報判定処理部において異常アクセスが行われたことを判定すると，所定の通知を行う通知処理部と，を備えるアクセス監視システムである。

【0014】

本発明では，検出履歴情報を用いて共有リソースへの異常アクセスがあったかを判定することで，通常のアクセスか否かを判定可能となる。その結果，ウィルス対策ソフトによる入口対策が突破された場合であっても，ランサムウェアなどに対して有効な処置を迅速に採ることが可能となる。

【0015】

上述の発明において，前記アクセス監視システムは，ＵＮＣが含まれている検出情報を前記共有リソースへのアクセスがあると判定する共有リソースアクセス判定処理部と，前記検出情報に日時情報を付して検出履歴情報として前記検出履歴情報記憶部に記憶させる検出履歴情報生成処理部と，を備えるアクセス監視システムのように構成することができる。

【0016】

共有リソースへのアクセスがあったか否かはさまざまな方法で判定することができるが，本発明のように，ＵＮＣを用いて判定することで，簡便括確実に判定することが可能となる。

【0017】

上述の発明において，前記異常アクセスの判定は，前記共有リソースへのアクセス数，アクセスした共有リソースのデータ量，アクセス時間，アクセスした共有リソースの数，アクセスした共有サーバの数のいずれか一以上を用いて判定する，アクセス監視システムのように構成することができる。

【0018】

異常アクセスかの判定は，本発明のような要素を考慮することが好ましい。

【0019】

第１の発明は，本発明のプログラムをコンピュータに読み込ませて実行することで実現できる。すなわち，コンピュータを，共有リソースへのアクセスがあったことを示す検出履歴情報に基づいて，前記共有リソースへの異常アクセスがあるかを判定する異常アクセス判定処理部，前記異常アクセスがあることを判定した場合，異常アクセスがあったことを示す情報を含む操作ログ情報を生成する操作ログ情報処理部，前記操作ログ情報に基づいて，前記共有リソースへの異常アクセスが行われたかを判定する操作ログ情報判定処理部，前記操作ログ情報判定処理部において異常アクセスが行われたことを判定すると，所定の通知を行う通知処理部，として機能させるアクセス監視プログラムのように構成することができる。

【発明の効果】

【0020】

本発明のアクセス監視システムによって，共有リソースへのアクセスが異常なアクセスであるか否かの判定を行うことができる。そのため，ランサムウェアが共有リソースに不正な処理を実行することによる被害の拡大に対し，迅速に対策を行うことが可能となる。

【図面の簡単な説明】

【0021】

【図1】本発明のアクセス監視システムのイメージ図の一例である。

【図2】本発明のアクセス監視システムの構成の一例を模式的に示す概念図である。

【図3】コンピュータのハードウェアの構成の一例を模式的に示す概念図である。

【図4】本発明のアクセス監視システムの処理プロセスの一例を示すフローチャートである。

【図5】共有リソースへのアクセス数の一例を模式的に示す図である。

【図6】単位時間と共有リソースへのアクセス数に基づいて異常アクセス判定処理を行う場合の一例を模式的に示す図である。

【発明を実施するための形態】

【0022】

本発明のアクセス監視システム１のイメージ図の一例を図１に，アクセス監視システム１の構成の一例を示す概念図を図２に示す。

【0023】

アクセス監視システム１は，企業等のネットワークおよびそのネットワーク内のコンピュータを監視するためのコンピュータシステムであって，マスターサーバ２やクライアント端末３，管理端末４，共有リソースなどから構成される。

【0024】

アクセス監視システム１のマスターサーバ２，クライアント端末３，管理端末４は，サーバやパーソナルコンピュータなどの各種のコンピュータにより実現される。図３にコンピュータのハードウェア構成の一例を示す。コンピュータは，プログラムの演算処理を実行するＣＰＵなどの演算装置７０と，情報を記憶するＲＡＭやハードディスクなどの記憶装置７１と，ディスプレイなどの表示装置７２と，キーボードやポインティングデバイス（マウスやテンキーなど）などの入力装置７３と，演算装置７０の処理結果や記憶装置７１に記憶する情報をインターネットやＬＡＮなどのネットワークを介して送受信する通信装置７４とを有している。

【0025】

図１および図２ではマスターサーバ２が一台のコンピュータで実現される場合を示したが，複数台のコンピュータにその機能が分散配置され，実現されても良い。

【0026】

本発明における各手段は，その機能が論理的に区別されているのみであって，物理上あるいは事実上は同一の領域を為していても良い。

【0027】

企業等のネットワークには，マスターサーバ２，管理端末４，クライアント端末３，共有サーバ５などが存在している。

【0028】

管理端末４はネットワークの管理を行う管理者が操作するコンピュータであり，管理端末４を介してマスターサーバ２をコントロールし，またマスターサーバ２からの各種通知などを受け取る。

【0029】

共有サーバ５は，複数のユーザがアクセスする各種ファイル，フォルダ，データなどである共有リソースを記憶，管理するサーバである。共有サーバ５としては，たとえばファイルサーバ，データベースサーバなどがある。

【0030】

クライアント端末３は，企業等における一般ユーザが操作するコンピュータであり，必要に応じて共有サーバ５内の共有リソースにアクセスし，各種ファイルなどの閲覧等の操作を行う。また，クライアント端末３には，クライアント端末３における操作を示す操作ログ情報を生成し，マスターサーバ２に定期的にまたは不定期に送る。

【0031】

クライアント端末３にはエージェントプログラムが備えられており，エージェントプログラムは，検出履歴情報処理部３１と異常アクセス判定処理部３３と操作ログ情報処理部３４との機能を備える。また，クライアント端末３にはエージェントプログラムが処理を実行するための検出履歴情報記憶部３２を備える。

【0032】

検出履歴情報処理部３１は，共有リソースアクセス判定処理部３１１と検出履歴情報取得処理部とを備えており，共有サーバ５における共有リソースへのアクセスがあったことを示す情報を検出履歴情報として取得する。

【0033】

共有リソースアクセス判定処理部３１１は，クライアント端末３のＯＳ（Operating System）が出力するファイルシステム上の情報（これを検出情報とよぶ）を参照し，ＵＮＣ（Universal Naming Convention：「\\」，「//」で始まるファイルパス）が含まれる検出情報があるかを判定し，ＵＮＣが含まれている検出情報を共有リソースへのアクセスがあると判定して，その検出情報を取得する。検出情報は，クライアント端末３における操作の履歴を示す情報であり，ドライバの起動や当該起動したドライバでフォルダにアクセスしたことなどが判定できる情報であって，クライアント端末３における操作内容，アクセスした先，アプリケーション名などの情報が含まれている。

【0034】

検出履歴情報生成処理部３１２は，共有リソースアクセス判定処理部３１１が取得した検出情報に日時情報を付して検出履歴情報として生成し，後述する検出履歴情報記憶部３２に記憶させる。検出履歴情報は，検出情報に日時情報が付加された情報である。

【0035】

検出履歴情報記憶部３２は，検出履歴情報処理部３１における検出履歴情報生成処理部３１２が生成した検出履歴情報を記憶する。なお検出履歴情報記憶部３２では，検出履歴情報を日時情報に基づいて時系列的に記憶していることが好ましい。

【0036】

異常アクセス判定処理部３３は，検出履歴情報記憶部３２に記憶する検出履歴情報に基づいて，共有リソースへの異常アクセスがあるかを判定する。異常アクセスがあるかの判定方法としては，たとえば，一定期間内の検出履歴情報に基づいて，所定の条件を充足しているか，によって判定できる。

【0037】

所定の条件としては，操作内容がファイルオープンであり，そのアクセス先が共有リソースである検出履歴情報の一定期間内の数が所定の閾値以上であるか（ファイルオープン数），操作内容がファイル保存（または書込）であり，そのアクセス先が共有リソースである検出履歴情報の一定期間内の数が所定の閾値以上であるか（ファイル保存数），操作内容がファイルオープンであり，そのアクセス先が共有リソースである共有リソースのデータ量の一定期間内の合計値が所定の閾値以上であるか（オープンしたファイルのデータ量の合計），操作内容がファイル保存（または書込）であり，そのアクセス先が共有リソースである共有リソースのデータ量の一定期間内の合計値が所定の閾値以上であるか（保存したファイルのデータ量の合計），操作内容がファイル削除であり，そのアクセス先が共有リソースである検出履歴情報の一定期間内の数が所定の閾値以上であるか（共有リソースの削除回数）などがある。

【0038】

さらに，ほかの条件としては，共有リソースのアクセス数（オープン数），アクセスした共有リソースのバイト数の合計値の変化量が急激に増加した場合，異常と判定するようにしてもよい。たとえば単位時間を１０分，分解能を１分，アクセス数の上限を２００と設定した場合であって，共有リソースへのアクセス数が図５であったとする。図５（ａ）は分解能ごとのアクセス数の表であり，図５（ｂ）は分解能ごとのアクセス数のグラフである。

【0039】

そして，異常アクセス判定処理部３３は，分解能ごとに単位時間あたりのアクセス数を合計し，そのアクセス数と閾値との関係が所定条件を充足しているかで異常アクセスであるかを判定する。すなわち，最初に０〜９分を単位時間としてその間のアクセス数を合計し，つぎの単位時間として１〜１０分としてその間のアクセス数を合計する。これを最後の分解能に到達するまで反復する。そして単位時間ごとにアクセス数と閾値とを比較し，たとえばアクセス数が閾値を超過する，アクセス数が閾値を下回るなど，所定の条件を充足したかを判定することとなる。この判定処理を図６に示す。図６（ａ）は単位時間あたりのアクセス数を示す表であり，図６（ｂ）は単位時間あたりのアクセス数を示すグラフである。なお，図６に示すように，異常アクセスが発生したこと，異常アクセスが終了したことを区別して判定してもよい。

【0040】

操作ログ情報処理部３４は，異常アクセス判定処理部３３において，異常アクセスがあることを判定した場合には，異常アクセスがあることを示す操作ログ情報などの操作履歴を示す情報を生成し，マスターサーバ２に送る。以下の説明では操作履歴を示す情報として操作ログ情報である場合を説明するが，操作ログ情報に限られるものではない。

【0041】

操作ログ情報処理部３４は，異常アクセス判定処理部３３において異常アクセスがあることを判定した操作ログ情報のみならず，通常の操作が行われた場合にも検出履歴情報に基づいて操作ログ情報が生成され，定期的にまたは不定期にマスターサーバ２に操作ログ情報を送る。そして，操作ログ情報は異常アクセスがあることを示す操作ログ情報を生成した場合には，通常の操作ログ情報を送るタイミングとは別に，直ちにマスターサーバ２にその操作ログ情報を送ることが好ましいが，それに限定されるものではない。なお，操作ログ情報とは，検出履歴情報における操作内容に加えて，操作内容として「異常アクセスを示す情報」が含まれている情報である。すなわち検出履歴情報と操作ログ情報とは，異常アクセスを示す情報を含むか否かで相違する。なお，操作ログ情報としては，上記のように異常アクセスの判定をした場合以外の検出履歴情報をそのまま用いてもよい。

【0042】

また，操作ログ情報処理部３４が操作ログ情報を生成する際に，異常アクセス判定処理部３３が，図６に示すように，異常アクセスが発生したこと，異常アクセスが終了したことを区別して判定している場合には，操作内容として「異常アクセス実行」，「異常アクセス終了」と異常アクセスを区別した操作ログ情報を生成し，マスターサーバ２に送ってもよい。

【0043】

なお操作ログ情報処理部３４が生成した操作ログ情報などの操作履歴を示す情報は，クライアント端末３の所定の記憶装置７１においても記憶されていることがよい。

【0044】

マスターサーバ２は，ネットワーク全体の管理，監視をしており，操作ログ情報取得処理部２１，操作ログ情報記憶部２２，操作ログ情報判定処理部２３，通知処理部２４とを備える。

【0045】

操作ログ情報取得処理部２１は，クライアント端末３から送信された操作ログ情報などの操作履歴を示す情報を取得し，後述する操作ログ情報記憶部２２に記憶させる。

【0046】

操作ログ情報記憶部２２は，操作ログ情報取得処理部２１で取得した操作ログ情報などの操作履歴を示す情報を記憶する。

【0047】

操作ログ情報判定処理部２３は，操作ログ情報取得処理部２１で取得した操作ログ情報などの操作履歴を示す情報のうち，「異常アクセスを示す情報」が含まれている操作履歴情報があるかを判定する。たとえば操作ログ情報における操作内容として「異常アクセス実行」を示す情報が含まれていた場合には，「異常アクセスを示す情報」が含まれている操作ログ情報として判定する。

【0048】

通知処理部２４は，操作ログ情報判定処理部２３において，異常アクセス実行を示す操作履歴情報が含まれていることを判定すると，管理者が操作する管理端末４または管理者の所定の通知先に対して，異常アクセスがあったことを示すアラート通知を送る。この場合，たとえばメッセージングサービスのように，直接，管理端末４に通知を送ってもよいし，あらかじめ登録されている管理者の電子メールアドレスに基づいて，電子メールなどによって送るように構成してもよい。

【0049】

さらに，図６に示すように，クライアント端末３から，操作内容として「異常アクセス実行」，「異常アクセス終了」と異常アクセスを区別した操作ログ情報を取得している場合には，異常アクセスの発生，異常アクセスの終了を区別した通知をそれぞれのタイミングで，管理者が操作する管理端末４または管理者の所定の通知先に対して送るように構成してもよい。

【実施例1】

【0050】

つぎに本発明のアクセス監視システム１の処理プロセスの一例を図４のフローチャートを用いて説明する。

【0051】

クライアント端末３で何らかの操作や処理等が実行されると，クライアント端末３のＯＳは検出情報を出力する。そして共有リソースアクセス判定処理部３１１は，クライアント端末３のＯＳから出力される検出情報を参照し，ＵＮＣが含まれる検出情報があるかを判定する。そしてＵＮＣが含まれている検出情報があることを判定した場合には，共有リソースへのアクセスがあると判定し，その検出情報を取得する。

【0052】

そして検出履歴情報生成処理部３１２は，共有リソースアクセス判定処理部３１１において共有リソースへのアクセスがあることを判定した検出情報について，日時情報を付して検出履歴情報として生成し，検出履歴情報記憶部３２に記憶させる（Ｓ１００）。

【0053】

そして検出履歴情報記憶部３２に記憶した検出履歴情報に基づいて，異常アクセス判定処理部３３が，異常アクセスがあるかを判定する（Ｓ１１０）。

【0054】

異常アクセス判定処理部３３において異常アクセスがあることを判定した場合，操作ログ情報処理部３４が，異常アクセスがあることを示す操作ログ情報，たとえば操作内容として「異常アクセス実行」，「異常アクセス終了」などを含み，そのほかに日時情報，アクセス先などの検出履歴情報に基づく情報，当該クライアント端末３の識別情報などを含む操作ログ情報を生成する（Ｓ１２０）。そして生成した操作ログ情報を，操作ログ情報処理部３４がマスターサーバ２に送る（Ｓ１３０）。

【0055】

クライアント端末３の操作ログ情報処理部３４から送られた操作ログ情報は，マスターサーバ２の操作ログ情報取得処理部２１で取得し（Ｓ１４０），操作ログ情報記憶部２２に記憶する。

【0056】

そして操作ログ情報取得処理部２１で取得した操作ログ情報に，異常アクセスを示す情報が含まれているかを，マスターサーバ２の操作ログ情報判定処理部２３が判定をする（Ｓ１５０）。たとえば操作ログ情報の操作内容として「異常アクセス実行」，「異常アクセス終了」などの情報が含まれているかを判定する。

【0057】

そして異常アクセスを示す情報が含まれていることを判定した場合，通知処理部２４は，管理者が操作する管理端末４または管理者の所定の通知先に対して，異常アクセスがあったことを示すアラート通知を送る（Ｓ１６０）。なお，この際に，異常アクセスがあることを示す情報が含まれている操作ログ情報の，日時情報，アクセス先を示す情報，クライアント端末３の識別情報などに基づいて，異常アクセスがあった日時，アクセス先，異常アクセスが行われたクライアント端末３などの情報も通知することが好ましい。

【0058】

以上のような処理を実行することで，共有リソースへのアクセスが異常なアクセスであるか否かの判定を行い，異常アクセスがあった場合には，迅速に管理者に通知をすることが可能となる。

【0059】

なお，管理者に通知を行うほか，当該クライアント端末３に対して，そのネットワーク通信を遮断することの制御指示をＵＤＰ通信によって送ってもよい。この場合，クライアント端末３では，当該制御指示をマスターサーバ２から受け付けると，ネットワーク通信を遮断することの制御指示を受け取ったことの応答を返すとともに，マスターサーバ２とのネットワーク通信以外の通信を遮断する制御を実行する。

【0060】

なお，異常アクセスであるか否かはクライアント端末３のエージェントプログラムにおいて実行することが好ましい。検出履歴情報をマスターサーバ２に随時送信する構成とすると，通信料が多くなり，また異常アクセスであるかの判定処理をマスターサーバ２で行うと，マスターサーバ２の負荷が高くなるためである。一方，検出履歴情報をマスターサーバ２に送り，異常アクセスであるかの判定をマスターサーバ２で行う構成を採るように構成することはできる。

【実施例2】

【0061】

異常アクセス判定処理部３３における異常アクセスの判定方法としては，上述のほか，検出履歴情報に含まれる日時情報に基づいて，共有リソースへの長時間にわたる連続アクセスを判定してもよい。この場合，たとえば，あるファイルがファイルオープンされた日時情報の検出履歴情報と，同一のファイルがファイルクローズされた日時情報の検出履歴情報に基づいて，その時間と回数を判定し，それが所定の閾値を超えているかで異常アクセスか否かを判定する。

【0062】

また，別の方法としては，検出履歴情報に含まれるファイルパスから共有リソース名を抽出し，アクセスした共有リソースの種類の多様性を判定してもよい。この場合，検出履歴情報に含まれるファイルパスから共有リソース名を抽出し，所定の単位時間において，アクセスしている共有リソースの数が所定の閾値を超えているかで異常アクセスか否かを判定する。

【0063】

さらに別の方法としては，検出履歴情報に含まれるファイルパスからサーバ名（共有サーバ５名）を抽出し，アクセスした共有リソースが保存されている共有サーバ５の多様性を判定してもよい。この場合，検出履歴情報に含まれるファイルパスから共有サーバ５名を抽出し，所定の単位時間において，アクセスしている共有サーバ５の数が所定の閾値を超えているかで異常アクセスか否かを判定する。

【0064】

加えて，所定の単位時間において，検出履歴情報に含まれる操作内容としてファイルオープン（ファイル読取）した共有リソース数が第一の閾値を超えているものの，検出履歴情報に含まれる操作内容としてファイル保存（ファイル書込）した共有リソース数が第二の閾値を超えていない場合に，異常があると判定する。なお，第一の閾値＞第二の閾値である。この場合，多くの共有リソースにアクセスしてデータを収集し，不正持ち出し目的のフォルダにデータを書き込んでいると推測されるので，異常アクセスと判定可能である。

【実施例3】

【0065】

検出履歴情報には共有リソースにアクセスしているアプリケーション名が含まれているので，異常アクセス判定処理部３３は当該アプリケーション名を操作ログ情報に含めてもよい。そしてアプリケーション名を含む操作ログ情報を送ることで，マスターサーバ２の操作ログ情報判定処理部２３は，異常アクセスを実行しているアプリケーションを特定でき，通知処理部２４が通知を行う場合に，異常アクセスを実行しているアプリケーション名を通知してもよい。

【0066】

異常アクセス判定処理部３３は，検出履歴情報に含まれるファイルパスから共有リソース名を抽出し，所定の単位時間において，アクセスしている共有リソースの数を判定する。また，検出履歴情報に含まれる共有履歴情報にアクセスしているアプリケーション名を抽出し，アプリケーションの数を判定する。そして，単位時間における，アクセスされた共有リソースの数と，アクセスを実行したアプリケーションの数との比率が所定条件を充足している場合，たとえば共有リソースの数が多いのに，アプリケーションの数が少ないなどの場合には，不正なアプリケーションが不正に共有リソースにアクセスしている可能性が高いと判定し，異常アクセスであると判定する。

【0067】

また別の判定方法としては，共有リソースへのアクセスを指示しているアプリケーションごとにアクセス回数を集計し，特定のアプリケーションが突出してアクセス回数が多い場合，不正アプリケーションであると判定できるので，当該アプリケーションによるアクセスを異常アクセスとして判定する。

【実施例4】

【0068】

クライアント端末３では，検出履歴情報を生成する場合の表示装置７２で表示する画面を画像情報として取得し，それを検出履歴情報に対応付けていてもよい。この場合，異常アクセス判定処理部３３において異常アクセスがあることを判定すると，当該検出履歴情報に基づいて生成する操作ログ情報に，当該検出履歴情報に対応する画面の画像情報を送ることで，それを受け取ったマスターサーバ２の通知処理部２４が，管理者または管理端末４に対して，異常アクセスの実行を判定した場合の画面を画像情報として通知することができる。

【実施例5】

【0069】

実施例１乃至実施例４の変形例として，クライアント端末３の操作ログ情報に異常アクセス実行を示す操作内容が含まれているとして異常アクセスがあったと判定する場合において，操作ログ情報判定処理部２３が，複数のクライアント端末３で異常アクセスがあったことを判定すると，通知処理部２４が通知するアラート通知の重み付けを変更するように構成してもよい。

【0070】

また，操作ログ情報判定処理部２３が，異常アクセスがあったと判定する操作ログ情報の数，頻度に応じて，通知処理部２４が通知するアラート通知の重み付けを変更するように構成してもよい。

【0071】

アラート通知の重み付けを変更するとは，操作ログ情報判定処理部２３において異常アクセスがあったことを判定したクライアント端末３の数が増加するにしたがって，アラート通知の重要度を高くする。これは，異常アクセスがあったクライアント端末３が増えると，それだけ危険度が高くなるためである。

【0072】

そして重み付けを変更する処理としては，重要度に応じて，アラート通知の回数や頻度を多くする，通知する文字の大きさや，通知自体に重要度を表示するなどがある。また，重要度に応じて通知方法を変更する方法もあり，たとえばメールのみ，メッセージのみ，メールとメッセージの双方，メールとメッセージと電話のすべてなどがある。さらに，重要度に応じて通知範囲を変更することもある。たとえば，本人のみ，本人と管理者，情報セキュリティ担当者，上司，部署内のメンバーなど，重要度が高くなるほど，通知先を増やすように変更してもよい。

【産業上の利用可能性】

【0073】

本発明のアクセス監視システム１によって，共有リソースへのアクセスが異常なアクセスであるか否かの判定を行うことができる。そのため，ランサムウェアが共有リソースに不正な処理を実行することによる被害の拡大に対し，迅速に対策を行うことが可能となる。

【符号の説明】

【0074】

１：アクセス監視システム
２：マスターサーバ
３：クライアント端末
４：管理端末
５：共有サーバ
２１：操作ログ情報取得処理部
２２：操作ログ情報記憶部
２３：操作ログ情報判定処理部
２４：通知処理部
３１：検出履歴情報処理部
３２：検出履歴情報記憶部
３３：異常アクセス判定処理部
３４：操作ログ情報処理部
３１１：共有リソースアクセス判定処理部
３１２：検出履歴情報生成処理部
７０：演算装置
７１：記憶装置
７２：表示装置
７３：入力装置
７４：通信装置

【図1】

【図2】

【図3】

【図4】

【図5】

【図6】