特開2023-172259セキュリティ監視プログラム、セキュリティ監視方法およびセキュリティ監視装置
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023172259
(43)【公開日】2023-12-06
(54)【発明の名称】セキュリティ監視プログラム、セキュリティ監視方法およびセキュリティ監視装置
(51)【国際特許分類】
G06F 21/57 20130101AFI20231129BHJP
【FI】
G06F21/57 370
【審査請求】未請求
【請求項の数】7
【出願形態】OL
(21)【出願番号】P 2022083934
(22)【出願日】2022-05-23
(71)【出願人】
【識別番号】000005223
【氏名又は名称】富士通株式会社
(74)【代理人】
【識別番号】100104190
【弁理士】
【氏名又は名称】酒井 昭徳
(72)【発明者】
【氏名】原田 将治
(57)【要約】
【課題】監視対象に対するユーザの行為と、監視対象の状態とを組み合わせて規則の遵守の実態に応じた有効な改善案を提示できること。
【解決手段】セキュリティ監視装置100は、例えば、情報機器等の監視対象に対するユーザの行為の情報を収集し、予め定めた規則に対する行為による違反の有無を監査する。また監視対象の状態の情報を収集し、規則に対する状態による違反の有無を監査する。そして、セキュリティ監視装置100は、行為の監査結果と、状態の監査結果との組み合わせに基づき、情報機器の複数の実態に対応して記憶部に予め設定された規則遵守の複数の改善案のなかから情報機器の実態に対応する改善案を選出し、選出した改善案を提示する。行為の監査結果である規則順守の有無と、状態の監査結果である規則順守の有無とを組み合わせは複数の実態に対応し、実態に応じた適切な改善策となる。
【選択図】図1
【解決手段】セキュリティ監視装置100は、例えば、情報機器等の監視対象に対するユーザの行為の情報を収集し、予め定めた規則に対する行為による違反の有無を監査する。また監視対象の状態の情報を収集し、規則に対する状態による違反の有無を監査する。そして、セキュリティ監視装置100は、行為の監査結果と、状態の監査結果との組み合わせに基づき、情報機器の複数の実態に対応して記憶部に予め設定された規則遵守の複数の改善案のなかから情報機器の実態に対応する改善案を選出し、選出した改善案を提示する。行為の監査結果である規則順守の有無と、状態の監査結果である規則順守の有無とを組み合わせは複数の実態に対応し、実態に応じた適切な改善策となる。
【選択図】図1
【特許請求の範囲】
【請求項1】
監視対象に対するユーザの行為の情報を収集し、予め定めた規則に対する前記行為による違反の有無を監査し、
前記監視対象の状態の情報を収集し、前記規則に対する前記状態による違反の有無を監査し、
前記行為の監査結果と、前記状態の監査結果との組み合わせに基づき、前記監視対象の複数の実態に対応して記憶部に予め設定された規則遵守の複数の改善案のなかから前記監視対象の実態に対応する改善案を選出し、
選出した前記改善案を提示する、
処理をコンピュータに実行させることを特徴とするセキュリティ監視プログラム。
前記監視対象の状態の情報を収集し、前記規則に対する前記状態による違反の有無を監査し、
前記行為の監査結果と、前記状態の監査結果との組み合わせに基づき、前記監視対象の複数の実態に対応して記憶部に予め設定された規則遵守の複数の改善案のなかから前記監視対象の実態に対応する改善案を選出し、
選出した前記改善案を提示する、
処理をコンピュータに実行させることを特徴とするセキュリティ監視プログラム。
【請求項2】
前記状態の情報の収集は、前記監視対象としての情報機器の現在の設定の状態の情報を収集し、
前記ユーザの行為の情報の収集は、前記情報機器に対し直近にユーザが行った設定操作の情報を収集する、
ことを特徴とする請求項1に記載のセキュリティ監視プログラム。
前記ユーザの行為の情報の収集は、前記情報機器に対し直近にユーザが行った設定操作の情報を収集する、
ことを特徴とする請求項1に記載のセキュリティ監視プログラム。
【請求項3】
前記ユーザの行為の情報の収集は、前記監視対象としての情報機器の操作ログの取得により行う、
ことを特徴とする請求項1に記載のセキュリティ監視プログラム。
ことを特徴とする請求項1に記載のセキュリティ監視プログラム。
【請求項4】
前記記憶部には、複数の改善案に対応するユーザあるいは管理部門を含む提示先が設定され、
前記提示は、前記記憶部に予め設定された前記提示先に前記改善案を提示する、
ことを特徴とする請求項1に記載のセキュリティ監視プログラム。
前記提示は、前記記憶部に予め設定された前記提示先に前記改善案を提示する、
ことを特徴とする請求項1に記載のセキュリティ監視プログラム。
【請求項5】
前記行為による違反の有無の監査は、前記監視対象に対し過去の第1期間でユーザが行った行為の情報を複数収集し、前記第1期間で行われた行為の回数と、行為の違反の回数とに基づき、前記第1期間における行為の違反の割合を算出し、
前記状態による違反の有無の監査は、前記監視対象の現在を含む過去の第2期間での状態の情報を複数収集し、前記第2期間で収集した回数と、状態の違反の回数とに基づき、前記第2期間における状態の違反の割合を算出し、
前記改善案の選出は、前記行為の違反の割合と、前記状態の違反の割合との組み合わせに基づき、前記監視対象の複数の実態に対応して前記記憶部に予め設定された規則遵守の複数の改善案のなかから前記監視対象の実態に対応する改善案を選出する、
ことを特徴とする請求項1に記載のセキュリティ監視プログラム。
前記状態による違反の有無の監査は、前記監視対象の現在を含む過去の第2期間での状態の情報を複数収集し、前記第2期間で収集した回数と、状態の違反の回数とに基づき、前記第2期間における状態の違反の割合を算出し、
前記改善案の選出は、前記行為の違反の割合と、前記状態の違反の割合との組み合わせに基づき、前記監視対象の複数の実態に対応して前記記憶部に予め設定された規則遵守の複数の改善案のなかから前記監視対象の実態に対応する改善案を選出する、
ことを特徴とする請求項1に記載のセキュリティ監視プログラム。
【請求項6】
監視対象に対するユーザの行為の情報を収集し、予め定めた規則に対する前記行為による違反の有無を監査し、
前記監視対象の状態の情報を収集し、前記規則に対する前記状態による違反の有無を監査し、
前記行為の監査結果と、前記状態の監査結果との組み合わせに基づき、前記監視対象の複数の実態に対応して記憶部に予め設定された規則遵守の複数の改善案のなかから前記監視対象の実態に対応する改善案を選出し、
選出した前記改善案を提示する、
処理をコンピュータに実行させることを特徴とするセキュリティ監視方法。
前記監視対象の状態の情報を収集し、前記規則に対する前記状態による違反の有無を監査し、
前記行為の監査結果と、前記状態の監査結果との組み合わせに基づき、前記監視対象の複数の実態に対応して記憶部に予め設定された規則遵守の複数の改善案のなかから前記監視対象の実態に対応する改善案を選出し、
選出した前記改善案を提示する、
処理をコンピュータに実行させることを特徴とするセキュリティ監視方法。
【請求項7】
監視対象に対するユーザの行為の情報を収集し、予め定めた規則に対する前記行為による違反の有無を監査し、
前記監視対象の状態の情報を収集し、前記規則に対する前記状態による違反の有無を監査し、
前記行為の監査結果と、前記状態の監査結果との組み合わせに基づき、前記監視対象の複数の実態に対応して記憶部に予め設定された規則遵守の複数の改善案のなかから前記監視対象の実態に対応する改善案を選出し、
選出した前記改善案を提示する、
制御部を有することを特徴とするセキュリティ監視装置。
前記監視対象の状態の情報を収集し、前記規則に対する前記状態による違反の有無を監査し、
前記行為の監査結果と、前記状態の監査結果との組み合わせに基づき、前記監視対象の複数の実態に対応して記憶部に予め設定された規則遵守の複数の改善案のなかから前記監視対象の実態に対応する改善案を選出し、
選出した前記改善案を提示する、
制御部を有することを特徴とするセキュリティ監視装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、セキュリティ監視プログラム、セキュリティ監視方法、およびセキュリティ監視装置に関する。
【背景技術】
【0002】
情報機器や情報システムのセキュリティを保つには、常に変化する技術や知識に応じた規則を遵守する必要がある。セキュリティレベルの向上には、セキュリティ監視の結果に基づいた適切な対応を継続して行うことが求められる。
【0003】
先行技術としては、例えば、ユーザが選択したポリシに対する設定情報について、同一の設定項目に対して異なった設定内容を抽出し、ユーザに適切な設定内容を選択するインタフェースを設ける技術がある。また、監査対象情報機器から定期的に収集したログに基づいて、違反内容に基づいたセキュリティ施策の改善案を提示する技術がある。また、製品やサービス毎のセキュリティ対策の重要度に基づいて、適合するソリューションを決定する技術がある。また、保守対象装置の監査ログと警報ログを取得し、保守対象装置が作業シナリオに従った保守作業が実施できているかを監査する技術がある。また、ユーザの複数種類のログを取得し、所定期間におけるユーザ操作のセキュリティ上の不正の回数に基づいて、ユーザのセキュリティに関する評価をスコア付けする技術がある。また、ユーザの操作ログや環境情報を収集し、セキュリティポリシ違反の件数や違反回数に応じて、ユーザにポリシ違反についての教育を実行し、教育によりポリシ違反が改善されたか監視する技術がある。また、システム内でのユーザ行動を電子情報に変換してデータ破壊などを阻止する行為を監視し、組織にセキュリティポリシを適用し、ユーザの意思や思考要因を推定する技術がある。また、ファイルシステムを集中監視し、ファイルにアクセスしたユーザのデータを収集してセキュリティポリシに違反するアクセスがあれば警報を発する技術がある。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2002-247033号公報
【特許文献2】特開2004-185455号公報
【特許文献3】特開2006-235692号公報
【特許文献4】特開2021-162971号公報
【特許文献5】特開2019-204389号公報
【特許文献6】特開2009-098968号公報
【特許文献7】米国特許出願公開第2019/0124118号明細書
【特許文献8】米国特許出願公開第2020/0067988号明細書
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、従来技術では、規則の違反に対する対処を行うが、違反の原因に対する対処が行えず、セキュリティ向上のための具体的対処を十分に行えなかった。例えば、従来技術では、情報機器の設定の状態に対する違反の有無のみを判断しており、ユーザによる設定操作等の行為や、行為と状態との関係を含めた規則の遵守の実態に対する有効な改善案を提示できなかった。
【0006】
一つの側面では、本発明は、監視対象に対するユーザの行為と、監視対象の状態とを組み合わせて規則の遵守の実態に応じた有効な改善案を提示できることを目的とする。
【課題を解決するための手段】
【0007】
一つの実施態様によれば、監視対象に対するユーザの行為の情報を収集し、予め定めた規則に対する前記行為による違反の有無を監査し、前記監視対象の状態の情報を収集し、前記規則に対する前記状態による違反の有無を監査し、前記行為の監査結果と、前記状態の監査結果との組み合わせに基づき、前記監視対象の複数の実態に対応して記憶部に予め設定された規則遵守の複数の改善案のなかから前記監視対象の実態に対応する改善案を選出し、選出した前記改善案を提示する、セキュリティ監視プログラム、セキュリティ監視方法、およびセキュリティ監視装置が提案される。
【発明の効果】
【0008】
一態様によれば、監視対象に対するユーザの行為と、監視対象の状態とを組み合わせて規則の遵守の実態に応じた有効な改善案を提示できるようになる。
【図面の簡単な説明】
【0009】
【発明を実施するための形態】
【0010】
以下に、図面を参照して、本発明にかかるセキュリティ監視プログラム、セキュリティ監視方法、およびセキュリティ監視装置の実施の形態を詳細に説明する。
【0011】
(実施の形態にかかるセキュリティ監視方法の一実施例)
図1は、実施の形態にかかるセキュリティ監視方法の一実施例を示す説明図である。実施の形態のセキュリティ監視装置100は、監視対象の例として、情報機器に対するユーザの操作等の行為と、情報機器の状態との組み合わせに基づいて、規則の遵守のための改善案を提示するコンピュータである。
図1は、実施の形態にかかるセキュリティ監視方法の一実施例を示す説明図である。実施の形態のセキュリティ監視装置100は、監視対象の例として、情報機器に対するユーザの操作等の行為と、情報機器の状態との組み合わせに基づいて、規則の遵守のための改善案を提示するコンピュータである。
【0012】
セキュリティ監視装置100は、例えば、サーバ、または、PC(Personal Computer)などである。実施の形態のセキュリティ監視方法は、例えば、サーバが監視対象のPC等の情報機器に接続され、PCにおける規則の遵守を監視する。このほか、監視対象のPC等の情報機器の記憶部にソフトウェアとして記憶し、PCのプロセッサがプログラム実行することで、自PCにおける規則の遵守を監視することもできる。
【0013】
従来、規則の遵守の監視は、情報機器に対し定めた規則、例えば、「○○の通信設定はZ以内とする」に対する違反の有無を判断している。例えば、監視装置は、違反に対する改善案として「設定画面の通信をクリックし、詳細タブの○○の値にZと入力しOKボタンをクリックする」と提示し、ユーザがこの提示に従った設定を行えば規則を遵守したと判断している。
【0014】
しかしながら、上記の監視方法では、実態に対応した違反の原因への対応ができず、原因への対処を適切に行えない。例えば、違反の原因として複数の事象(Case)がある。Case1では、違反の原因がソフトウェアやOSの場合、改善案に従って一時的に遵守できるが、ソフトウェアの継続的な利用や、OSのアップデート等に伴って設定値が変わることがある。ここで、従来は、設定値の違反しか見ていないため、変化した設定値に基づき違反と判断してしまい、違反の実態である根本原因を判断できない。
【0015】
Case2では、ユーザに規則の遵守の意思がない、あるいはユーザが規則を誤解していることが原因である場合、ユーザが改善案を実施しない、あるいは異なる設定をすることで違反と判断することがある。この場合、設定値は正しかった場合でも、ユーザが正しい設定を認知していない場合があり、この状態を正しく判断できない。従来は、これらのように、ユーザの規則の遵守の実態に対応した有効かつ具体的な改善案を提示できず、セキュリティを向上することができなかった。
【0016】
そこで、本実施の形態のセキュリティ監視装置100では、情報機器やシステムに対する設定状態のセキュリティの監視結果と、ユーザの直近の設定操作行為のセキュリティ監視結果とを組み合わせ、組み合わせのそれぞれに対応する改善案を提示する。
【0017】
セキュリティ監視装置100は、情報機器の設定の状態を監視することで、情報機器やシステムが適切な状態になっていることを判断する。また、セキュリティ監視装置100は、ユーザの設定操作の行為を監視することで、ユーザの遵守意思を推測する。そして、セキュリティ監視装置100は、これら設定の状態とユーザの行為の監視結果を組み合わせることで、実態をより適切に判断し、実態に基づいた改善案を提示する。
【0018】
セキュリティ監視装置100は、以下の処理を行う。
【0019】
(1)セキュリティ監視装置100は、1.情報機器に対して所定のセキュリティの規則を設定する。例えば、「○○設定はZ以内とする」を設定する。例えば、規則として、監視対象の情報機器に対する通信設定は固定値Z、あるいは所定範囲Zである。
【0020】
(2)セキュリティ監視装置100は、2.上記規則に対する直近のユーザの設定操作に関わる行為の情報を収集する。セキュリティ監視装置100は、監視処理を実行する時点を現在として、例えば、情報機器から過去(時期ta)の操作ログ101を収集する。操作ログ101は、例えば、「○○設定の値をXにした」とのユーザの設定操作の情報が含まれる。セキュリティ監視装置100は、情報機器から取得した過去の行為による規則違反の有無を監査する。例えば、監査とは、情報の監視の処理と、監視した情報に基づく規則違反の有無の判断の処理とを含む。
【0021】
(3)セキュリティ監視装置100は、3.上記規則に対する現在の情報機器の設定の状態の情報を取得する。セキュリティ監視装置100は、現在(時期tb)の情報機器の設定値102を収集する。設定値102は、例えば、「○○設定値Y」との情報機器の現在の設定の状態が含まれる。セキュリティ監視装置100は、情報機器から取得した現在の状態の規則違反の有無を監査する。
【0022】
(4)セキュリティ監視装置100は、4.行為の監査結果と状態の監査結果とに基づき、規則の遵守の実態を推測する。セキュリティ監視装置100は、行為の判断結果と、設定の判断結果とを組み合わせ、組み合わせに基づき、遵守の実態を推測する。
【0023】
セキュリティ監視装置100は、行為による規則違反の有無(○×の2通り)と、状態の規則違反の有無(○×の2通り)と、を組み合わせた4通りの実態を推測する。図1には、参考までに4通りの実態の推測結果を示す。ここで、セキュリティ監視装置100は、実態の推測処理自体は行う必要がなく、セキュリティ監視装置100は、推測した4通りの実態に対応した4通りの改善案を選出する処理を行う。これら4通りの実態、および4通りの改善案は、予めセキュリティ監視装置100の記憶部にデータベースとして設定しておく。
【0024】
(5)セキュリティ監視装置100は、5.上記の行為と状態の判断結果に基づきセキュリティ向上の改善案をユーザに提示する。セキュリティ監視装置100は、例えば、上記4通りの実態の推測結果のそれぞれに対応する改善案をデータベースから選出して提示する。
【0025】
図1に示す例では、組み合わせ結果1は、行為と状態がいずれも規則違反がない場合であり、実態は「主体的に規則が遵守でき、状態も問題がない」。この組み合わせ結果1の場合、セキュリティ監視装置100は、ユーザに対して改善案の通知は行わない、あるいはOKの旨や遵守の感謝の旨を通知する。
【0026】
また、組み合わせ結果2は、行為の違反があり、状態に違反がない場合であり、実態は「遵守意思はないが、状態は問題がない」。この組み合わせ結果2の場合、セキュリティ監視装置100は、ユーザに対し規則の周知のために、規則の目的や所定の教育の実施の旨を通知する。
【0027】
また、組み合わせ結果3は、行為に違反がなく、状態に違反がある場合であり、実態は「遵守意思はあるが、状態は違反(システム側が問題)」である。この組み合わせ結果3では、システム側が問題であるため、セキュリティ監視装置100は、システムの管理部門にソフトウェアやOSのシステム調査依頼の旨を通知する。
【0028】
また、組み合わせ結果4は、行為と、状態に違反がある場合であり、実態は「遵守意思もなく、状態も違反」である。この組み合わせ結果4の場合、セキュリティ監視装置100は、セキュリティ管理の管理職に実態調査を依頼し、ユーザに状況説明を依頼する旨を通知する。このように、セキュリティ監視装置100は、改善案の通知を実態別に、ユーザ本人、やシステム管理部門、セキュリティ部門の管理者等に適切に振り分ける。
【0029】
以上のように、実施の形態によれば、監視対象の情報機器について、情報機器に対して行ったユーザの行為と、情報機器の現在の状態との組み合わせに応じた実態に基づき、複数の改善案のうち適切な改善案を提示する。また、行為と状態の組み合わせることで、規則の遵守の実態別に違反がユーザの行為によるものであるか、あるいは情報機器の不具合等によるものであるかを判別できるようになり、改善案を実態別に適した通知先に通知できるようになる。これにより、情報機器に対する適切な改善案を実施でき、セキュリティ向上を図れるようになる。
【0030】
(セキュリティ監視システムの構成例)
図2は、セキュリティ監視システムの構成例を示す図である。図2(a)のシステム構成例は、監視対象が複数のユーザのPC等の情報機器200(200a~200n)であり、各情報機器200は、有線または無線のネットワーク210を介して図1に示したセキュリティ監視装置100に接続される。ネットワーク210は、例えば、LAN(Local Area Network)、WAN(Wide Area Network)、インターネットなどである。セキュリティ監視装置100は、汎用のサーバを用いて構成できる。
図2は、セキュリティ監視システムの構成例を示す図である。図2(a)のシステム構成例は、監視対象が複数のユーザのPC等の情報機器200(200a~200n)であり、各情報機器200は、有線または無線のネットワーク210を介して図1に示したセキュリティ監視装置100に接続される。ネットワーク210は、例えば、LAN(Local Area Network)、WAN(Wide Area Network)、インターネットなどである。セキュリティ監視装置100は、汎用のサーバを用いて構成できる。
【0031】
例えば、セキュリティ監視装置100は、各情報機器200に対し、上記1.の規則を通知する。この規則の通知により、各情報機器200のユーザは、情報機器200に対し、設定の操作を行う。セキュリティ監視装置100は、上記2.の規則に対する直近のユーザの設定操作に関わる行為の情報を操作ログ等により収集する。また、セキュリティ監視装置100は、上記3.規則に対する現在の情報機器200の設定の情報を取得する。
【0032】
そして、セキュリティ監視装置100は、上記4.情報機器200から取得した行為と状態の情報に基づき、既存の遵守の実態を判断し、上記5.行為と状態の判断結果に基づいたセキュリティ向上の改善案を各ユーザの情報機器200に送信する。
【0033】
また、図2(b)のシステム構成例に示すように、監視対象の情報機器200にセキュリティ監視装置100の機能を有してもよい。この場合、情報機器200の記憶部201に上記1.~5.の監視処理プログラムを格納し、情報機器200のプロセッサがプログラムを実行処理する。これにより、情報機器200における行為と状態の判断結果に基づいたセキュリティ向上の改善案を自情報機器200等に提示できる。
【0034】
(セキュリティ監視装置のハードウェア構成例)
次に、図3を用いて、セキュリティ監視装置100のハードウェア構成例について説明する。
次に、図3を用いて、セキュリティ監視装置100のハードウェア構成例について説明する。
【0035】
図3は、セキュリティ監視装置のハードウェア構成例を示すブロック図である。図3において、セキュリティ監視装置100は、CPU(Central Processing Unit)301と、メモリ302と、ネットワークI/F(Interface)303と、記録媒体I/F304と、記録媒体305とを有する。また、各構成部は、バス300によってそれぞれ接続される。
【0036】
ここで、CPU301は、セキュリティ監視装置100の全体の制御を司る制御部である。メモリ302は、例えば、ROM(Read Only Memory)、RAM(Random Access Memory)およびフラッシュROMなどを有する。具体的には、例えば、フラッシュROMやROMが各種プログラムを記憶し、RAMがCPU301のワークエリアとして使用される。メモリ302に記憶されるプログラムは、CPU301にロードされることにより、コーディングされている処理をCPU301に実行させる。
【0037】
ネットワークI/F303は、通信回線を通じてネットワーク310に接続され、ネットワーク210を介して他のコンピュータに接続される。そして、ネットワークI/F303は、ネットワーク210と内部のインタフェースを司り、他のコンピュータからのデータの入出力を制御する。ネットワークI/F303は、例えば、モデムやLANアダプタなどである。
【0038】
記録媒体I/F304は、CPU301の制御に従って記録媒体305に対するデータのリード/ライトを制御する。記録媒体I/F304は、例えば、ディスクドライブ、SSD(Solid State Drive)、USB(Universal Serial Bus)ポートなどである。記録媒体305は、記録媒体I/F304の制御で書込まれたデータを記憶する不揮発メモリである。記録媒体305は、例えば、ディスク、半導体メモリ、USBメモリなどである。記録媒体305は、セキュリティ監視装置100から着脱可能であってもよい。
【0039】
セキュリティ監視装置100は、上述した構成部の他、例えば、キーボード、マウス、ディスプレイ、プリンタ、スキャナ、マイク、スピーカーなどを有してもよい。また、セキュリティ監視装置100は、記録媒体I/F304や記録媒体305を複数有していてもよい。また、セキュリティ監視装置100は、記録媒体I/F304や記録媒体305を有していなくてもよい。
【0040】
【0041】
(セキュリティ監視装置の機能的構成例)
次に、図4を用いて、セキュリティ監視装置100の機能的構成例について説明する。
次に、図4を用いて、セキュリティ監視装置100の機能的構成例について説明する。
【0042】
図4は、セキュリティ監視装置の機能的構成例を示すブロック図である。セキュリティ監視装置100は、行為監査部401と、状態監査部402と、改善案選出部403と、改善案データベース404と、改善案出力部405とを含む。
【0043】
行為監査部401は、監視対象の情報機器に対してユーザが行った設定の行為の情報を取得する。行為監査部401は、情報機器に対してユーザが行った設定の操作を含む操作ログを取得する。行為監査部401は、取得した操作ログ等に基づき、情報機器に対してユーザが過去に行った設定の行為が規則を遵守したものであるか、あるいは規則違反であるかを監査する。
【0044】
例えば、行為監査部401は、情報機器の操作ログ等に基づき、規則に対する直近(すなわち現在以前の過去)のユーザの設定操作に関わる行為が規則に対する遵守(1)であるか違反(0)であるかを示す2値の情報(1/0)を改善案選出部403に出力する。
【0045】
状態監査部402は、監視対象の情報機器の設定の状態の情報を取得する。状態監査部402は、情報機器の設定の状態の情報を取得する。状態監査部402は、情報機器の設定の状態の情報を取得し、現在の情報機器の設定の状態が規則を遵守したものであるか、あるいは規則違反であるかを監査する。
【0046】
例えば、状態監査部402は、情報機器の現在の設定の状態が規則に対する遵守(1)であるか違反(0)であるかを示す2値の情報(1/0)を改善案選出部403に出力する。
【0047】
改善案選出部403は、入力された行為と、状態に関する監査の結果に基づき、改善案データベース404を参照して、行為と状態の組み合わせに対応する改善案を選出し、改善案出力部405に出力する。
【0048】
改善案データベース404には、行為と、状態の組み合わせに対応して推測した実態に対応する複数の改善案が設定されている。また、改善案データベース404には、行為と、状態の組み合わせ毎に、改善案を通知する通知先が設定されている。改善案選出部403は、行為の遵守の有無と、状態の遵守の有無との組み合わせに対応した一つの改善案を選出する。
【0049】
改善案出力部405は、改善案選出部404が選出した改善案を該当する通知先に提示する。改善案に適した通知先は、改善案データベース404に予め設定されており、改善案毎に適した通知先に通知できる。
【0050】
図4に示した行為監査部401、状態監査部402、改善案選出部403、改善案出力部405は、図3に示したメモリ302や記録媒体305に格納されたプログラムをCPU301が実行することで機能実現できる。図4に示した改善案データベース404は、図3に示した記録媒体304を用いて機能実現できる。
【0051】
次に、セキュリティ監視装置100のデータベースについて説明する。
【0052】
(改善案データベースの記憶内容)
図5は、改善案データベースの記憶内容の一例を示す説明図である。図5に示すように、改善案データベース404は、行為の監査結果と、状態の監査結果の組み合わせ別に改善案の通知対象者(改善案の通知先)と、改善案の各情報のフィールドを有する。改善案データベース404は、行為の監査結果と、状態の監査結果との組み合わせ毎に各フィールドに情報を設定したレコード404-aとして記憶される。aは、任意の整数である。
図5は、改善案データベースの記憶内容の一例を示す説明図である。図5に示すように、改善案データベース404は、行為の監査結果と、状態の監査結果の組み合わせ別に改善案の通知対象者(改善案の通知先)と、改善案の各情報のフィールドを有する。改善案データベース404は、行為の監査結果と、状態の監査結果との組み合わせ毎に各フィールドに情報を設定したレコード404-aとして記憶される。aは、任意の整数である。
【0053】
図5において、行為と状態の〇/×は、規則に対する遵守(1)であるか違反(0)であるかを示す2値の情報(1/0)に対応しているため、改善案データベース404は、4つのレコード404-1~404-4を有する。
【0054】
図5に示すように、レコード404-1は、上記の組み合わせ結果1に対応し、行為と状態がいずれも規則違反がない場合の設定である。セキュリティ監視装置100は、行為の監査結果と、状態の監査結果がレコード404-1に相当する場合、ユーザ(本人)を通知先とし、改善案自体は、なしまたは「OK」の旨を通知する。また、ユーザに対し遵守の感謝の旨を通知する。
【0055】
また、レコード404-2は、上記の組み合わせ結果2に対応し、行為の違反があり、状態に違反がない場合の設定である。セキュリティ監視装置100は、行為の監査結果と、状態の監査結果がレコード404-2に相当する場合、ユーザ(本人)を通知先とし、規則の周知、および規則の目的や所定の教育の実施の旨を通知する。
【0056】
また、レコード404-3は、上記の組み合わせ結果3に対応し、行為に違反がなく、状態に違反がある場合の設定である。セキュリティ監視装置100は、行為の監査結果と、状態の監査結果がレコード404-3に相当する場合、システム管理部門にソフトウェアやOSのシステム調査依頼の旨を通知する。
【0057】
また、レコード404-4は、上記の組み合わせ結果4に対応し、行為と、状態に違反がある場合の設定である。セキュリティ監視装置100は、行為の監査結果と、状態の監査結果がレコード404-4に相当する場合、管理職に実態確認を依頼する旨を通知する。
【0058】
(セキュリティ監視装置の処理例)
次に、セキュリティ監視装置100による処理例について説明する。
次に、セキュリティ監視装置100による処理例について説明する。
【0059】
【0060】
はじめに、セキュリティ監視装置100は、監査対象である情報機器に対する直近のユーザの行為による規則違反の有無を監査する(ステップS601)。例えば、セキュリティ監視装置100は、情報機器から収集した操作ログ101に含まれ、過去にユーザが行った操作の行為による違反の有無を判断する。
【0061】
次に、セキュリティ監視装置100は、監査対象である情報機器の状態の規則違反の有無を監査する(ステップS602)。例えば、セキュリティ監視装置100は、情報機器から現在の設定値102を取得し、現在の情報機器の設定の状態の違反の有無を判断する。
【0062】
次に、セキュリティ監視装置100は、行為の監査結果と状態の監査結果とに基づき、事前に定義された改善案を選出する(ステップS603)。例えば、セキュリティ監視装置100は、行為の監査結果が示す違反の有無と、状態の監査結果が示す違反の有無との組み合わせに対応する改善案を改善案データベース404から選出する。
【0063】
次に、セキュリティ監視装置100は、選出した改善案を通知対象者に提示し(ステップS604)、以上の処理を終了する。例えば、セキュリティ監視装置100は、改善案データベース404から選出した改善案に対応する通知先に改善案を送信する。
【0064】
【0065】
図7(a)に示すように、従来技術では、情報機器の設定値に対する違反の有無しか監査していない。このため、従来技術では、情報機器の設定が遵守されていれば改善案は問題なし」とし、情報機器の設定値に設定違反があれば、違反と判断して「△△を□□にする」との改善案を出力している。
【0066】
このような従来技術では、上述したCase1,Case2に対応した適切な改善案を提示できない。Case1では、違反の原因がソフトウェアやOSの場合、ソフトウェアの継続的な利用や、OSのアップデート等に伴って設定値が変わる。従来技術では、設定値の違反しか見ていないため、変化した設定値に基づき違反と判断してしまい違反の根本原因を判断できない。
【0067】
また、Case2では、ユーザに規則の遵守の意思がない、あるいはユーザが規則を誤解していることが原因である場合、ユーザが改善案を実施しない、あるいは異なる設定をすることで違反と判断してしまう。従来技術では、設定値は正しかった場合でも、ユーザが正しい設定を認知していない場合があっても、この状態を正しく判断できない。このように、従来技術では、ユーザの規則の遵守の実態を適切に判断できないため、実態に基づいた有効かつ具体的な改善案を提示できず、セキュリティ向上できなかった。
【0068】
これに対し、図7(b)に示す実施の形態のセキュリティ監視装置100は、ユーザの行為に対する監査を行い、情報機器の状態に対する監査を行う。そして、セキュリティ監視装置100は、行為の監査結果と、状態の監査結果との組み合わせに対する複数通りの実態に対応して、複数通りそれぞれの改善案を提示する。図7(b)に示すように、行為に対する違反の有無と、状態に対する違反の有無との組み合わせは4通りあり(符号701~704)、4通りでそれぞれ異なる実態が推測される。セキュリティ監視装置100は、この4通りの実態に対応してそれぞれ異なる複数の改善案を提示することができる。
【0069】
例えば、行為に違反がなく状態が違反の場合(符号703)は、上記Case1で説明したソフトウェアの継続的な利用や、OSのアップデート等に伴って設定値が変わった場合の実態に対応している。この場合、実態としてユーザに遵守意思があるが情報機器の状態が違反であると推測し、セキュリティ監視装置100は、改善案をユーザではなく、提示先として適切なシステム管理部門に通知できる。
【0070】
また、行為に違反があり状態に違反がない場合(符号702)は、上記Case2で説明したユーザに規則の遵守の意思がない、あるいはユーザが規則を誤解していることが原因である場合の実態に対応している。この場合、実態としてユーザに遵守意思がないが情報機器の状態は問題ないと推測し、セキュリティ監視装置100は、改善案をユーザ本人に対し通知できる。また、行為に違反があり状態も違反している場合(符号704)にも対応できる。この場合、セキュリティ部門に通知し、また、ユーザ本人に対しても通知を行う。このように、実施の形態によれば、従来技術に対して実態をより細かく正確に推測した結果に対応して判断し、実態別の改善案を適切な通知先に提示できる。
【0071】
(他の実施の形態)
次に、本発明のセキュリティ監視装置の他の実施の形態について説明する。上述した実施の形態では、状態について現在の通信機器の状態を監査したが、他の実施の形態では過去を含め複数の状態を監査する。
次に、本発明のセキュリティ監視装置の他の実施の形態について説明する。上述した実施の形態では、状態について現在の通信機器の状態を監査したが、他の実施の形態では過去を含め複数の状態を監査する。
【0072】
図8は、他の実施の形態にかかるセキュリティ監視方法の一実施例を示す説明図である。セキュリティ監視装置100は、上記の実施の形態で説明したハードウェア構成(図3)および機能ブロック(図4)を有し、下記1.~5.の処理を実施する。
【0073】
(1)セキュリティ監視装置100は、1.情報機器に対して所定のセキュリティの規則を設定する。例えば、「○○設定はZ以内とする」を設定する。例えば、規則として、監視対象の情報機器に対する通信設定は固定値Z、あるいは所定範囲Zである。
【0074】
(2)セキュリティ監視装置100は、2.上記規則に対する所定の期間T1内のユーザの設定操作に関わる行為の情報を収集する。セキュリティ監視装置100は、監視処理を実行する時点を現在として、例えば、現在から過去の所定期間T1内のユーザの操作ログ101を収集する。操作ログ101は、例えば、「○○設定の値をXにした」とのユーザの設定操作の情報が含まれる。図1の例では、セキュリティ監視装置100は、時期ta1~ta3でそれぞれ操作ログ101を収集している。
【0075】
セキュリティ監視装置100は、所定期間T1における、通信機器に対するユーザの設定行為の回数と、行為の規則違反の有無を監査する。
【0076】
(3)セキュリティ監視装置100は、3.上記規則に対する所定の期間T2内の情報機器の設定の状態の情報を取得する。セキュリティ監視装置100は、現在から過去の所定期間T2内の情報機器の設定値102を収集する。設定値102は、例えば、「○○設定値Y」との情報機器の現在の設定の状態が含まれる。図1の例では、セキュリティ監視装置100は、時期tb1~tb5でそれぞれ設定値102を収集している。
【0077】
所定の期間T1は、現在時点を含まない過去の期間であるのに対し、期間T2は、過去の時期t0から現在までの期間である。例えば、セキュリティ監視装置100は、所定の期間T1分の操作ログ101を収集することにより、この操作ログ101に含まれる複数の時期ta(ta1~ta3)におけるユーザの設定の操作の行為を収集する。また、セキュリティ監視装置100は、例えば、所定の期間T2として、過去の時期t0から1時間に1回等の周期で定期的に情報機器から設定値102を収集する。セキュリティ監視装置100は、期間T1内で収集する複数の操作ログ101を収集する時期ta(ta1~ta3)と、期間T2内で収集する複数の設定値102を収集する時期tb(tb1~tb5)とは、互いに非同期に収集する。
【0078】
セキュリティ監視装置100は、所定期間T2における、通信機器の状態を監査した回数と、ユーザの設定行為の回数と、状態の規則違反の有無を監査する。
【0079】
(4)セキュリティ監視装置100は、4.行為の監査結果と状態の監査結果とに基づき、既存の遵守の実態を推測する。セキュリティ監視装置100は、行為の判断結果と、設定の判断結果とを組み合わせ、組み合わせ別の遵守の実態を推測する。なお、上述した実施の形態同様に、この他の実施の形態においても、セキュリティ監視装置100は、実態の推測処理自体は行わず、行為と設定の組み合わせが設定されたデータベース参照により、組み合わせ別の改善案を選出する。
【0080】
セキュリティ監視装置100は、行為の適合率および状態の適合率をそれぞれ算出する。例えば、適合率は、規則に対する違反がない割合を示す。ここで、セキュリティ監視装置100は、所定期間T1における規則違反がない行為の回数と、全体の行為の回数とに基づき行為の適合率を算出する。例えば、セキュリティ監視装置100は、行為の適合率=規則違反がない行為の回数/全体の行為の回数、により算出する。図1の例に示す全体で3回取得した操作ログ101が示す設定の行為の回数のうち規則違反がない行為の回数が2回であれば、行為の適合率は、約7割(66%)となる。
【0081】
また、セキュリティ監視装置100は、所定期間T2における規則違反がない状態の監査回数と、全体の監査回数とに基づき状態の適合率を算出する。例えば、セキュリティ監視装置100は、状態の適合率=規則違反がない状態の監査回数/全体の監査回数、により算出する。図1の例に示す5回取得した設定値102が示す状態の監査回数のうち規則違反がない状態の回数が4回であれば、行為の適合率は8割(80%)となる。
【0082】
(5)セキュリティ監視装置100は、5.上記の行為の監査結果の適合率と、行為の回数(頻度)と、状態の監査結果の適合率とに基づき、セキュリティ向上の改善案をユーザに提示する。セキュリティ監視装置100は、これら行為の監査結果の適合率と、行為の回数(頻度)と、状態の監査結果の適合率との組み合わせ別の改善案を、予めセキュリティ監視装置100のデータベースに設定しておく。セキュリティ監視装置100は、実態の判断結果にそれぞれ対応する改善案を改善案データベースから選出して提示する。
【0083】
行為の監査結果の適合率と、行為の回数(頻度)と、状態の監査結果の適合率との関係について説明する。セキュリティ監視装置100は、行為の監査結果の適合率については、所定期間T1における行為の適合、不適合を計測する。ここで、行為の適合率が高い場合において、状態の適合率が高ければユーザによる規則の遵守意識が高い実態を推定でき、状態の適合率が低ければ、通信機器のソフトウェア等の設定にミスがある実態等と推定できる。また、行為の適合率が半分程度の場合において、状態の適合率が高ければ、ユーザによる意図的な規則逃れの恐れがある実態と推定でき、状態の適合率が低ければ、通信機器に規則と相反する事象の発生がある等の実態と推定できる。また、行為の適合率が低い場合において、状態の適合率が高ければ、ユーザによる規則の遵守意識が低い実態を推定でき、状態の適合率が低ければ、ユーザによる規則の遵守意識がない実態と推定できる。
【0084】
また、セキュリティ監視装置100は、状態の監査結果の適合率については、所定期間T2における状態の適合、不適合を計測する。ここで、行為の適合率が低くても、状態の適合率が高いものが多い場合には、セキュリティのリスクが少ない実態と推定できる。また、行為の適合率が高くても、不適合の状態が多い場合には、セキュリティのリスクが大きい実態と推定できる。
【0085】
他の実施の形態のセキュリティ監視装置100は、上記推定の各実態に対応した複数の改善案を設定した改善案データベース904を設ける。
【0086】
図9は、他の実施の形態にかかる改善案データベースの記憶内容の一例を示す説明図である。図9に示す改善案データベース904は、時期t0~現在までの期間を1カ月とした、この所定期間における行為の適合率と、行為の回数と、状態の適合率の組み合わせ別に改善案の通知対象者(改善案の通知先)と、改善案の各情報のフィールドを有する。改善案データベース904は、行為の適合率と、行為の回数と、情報機器の状態の適合率との組み合わせ毎に、各フィールドに情報を設定したレコード904-aとして記憶される。aは、任意の整数である。図9に示す例の改善案データベース904では、行為の適合率と、行為の回数と、状態の適合率の組み合わせは、8つのレコード904-1~904-8を有する。
【0087】
図9に示す改善案データベース904の設定例では、行為の適合率については8割を閾値とし、8割以上あるいは8割未満で異なる設定としている。また、状態の適合率については9割を閾値とし、9割以上あるいは9割未満で異なる設定としている。行為の回数については4回を閾値とし、4回以上あるいは4回未満で異なる設定としている。
【0088】
例えば、レコード904-1では、行為の適合率が閾値より低く(8割未満)、また状態の適合率も閾値より低く(9割未満)、行為の回数が閾値より少ない(4回未満)場合の組み合わせ結果の設定である。セキュリティ監視装置100は、行為の適合率と、状態の適合率と、行為の回数がレコード904-1に相当する場合、監査対象者(ユーザ)の管理職を通知先とし、改善案自体は「優先的に対策が必要で、本人(ユーザ)の意識を確認することを推奨します。」とのメッセージを通知する。
【0089】
レコード904-2では、行為の適合率が閾値より低く(8割未満)、また、状態の適合率が閾値より高く(9割以上)、行為の回数が閾値より少ない(4回未満)場合の組み合わせ結果の設定である。セキュリティ監視装置100は、行為の適合率と、状態の適合率と、行為の回数がレコード904-2に相当する場合、監査対象者(ユーザ)を通知先とし、改善案自体は「設定行為に違反がありました。規則をご確認ください。」とのメッセージを通知する。
【0090】
レコード904-5では、行為の適合率が閾値より高く(8割以上)、また、状態の適合率が閾値より低く(9割未満)、行為の回数が閾値より少ない(4回未満)場合の組み合わせ結果の設定である。セキュリティ監視装置100は、行為の適合率と、状態の適合率と、行為の回数がレコード904-5に相当する場合、システム管理者を通知先とし、改善案自体は「本人(ユーザ)以外の原因を調査して対策をとりましょう。」とのメッセージを通知する。
【0091】
レコード904-8では、行為の適合率が閾値よりも高く(8割以上)、また、状態の適合率が閾値よりも高く(9割以上)、行為の回数が閾値よりも多い(4回以上)場合の組み合わせ結果の設定である。セキュリティ監視装置100は、行為の適合率と、状態の適合率と、行為の回数がレコード904-8に相当する場合、システム管理者を通知先とし、改善案自体は「優先度は低いですが、違反状態になる原因は調査しておくことを推奨します。」とのメッセージを通知する。
【0092】
(他の実施の形態のセキュリティ監視装置の処理例)
次に、他の実施の形態のセキュリティ監視装置100による処理例について説明する。
次に、他の実施の形態のセキュリティ監視装置100による処理例について説明する。
【0093】
【0094】
はじめに、セキュリティ監視装置100は、所定期間T1における、監査対象である情報機器に対するユーザの設定行為の回数と、行為の規則違反の有無を監査する(ステップS1001)。例えば、セキュリティ監視装置100は、情報機器から過去の所定期間T1に相当する操作ログ101を収集し、操作ログ101に含まれるユーザが行った操作の回数と、行為毎の違反の有無を判断する。
【0095】
次に、セキュリティ監視装置100は、所定期間T2における、監査対象である情報機器の状態を監査した回数と、規則違反の有無を監査する(ステップS1002)。例えば、セキュリティ監視装置100は、情報機器から現在の設定値102を含む過去の複数の時期の設定値102を取得し、各時期の設定値102が示す設定に対する違反の有無を判断する。
【0096】
次に、セキュリティ監視装置100は、行為の監査結果の適合率と、行為の回数(頻度)とを算出する。また、セキュリティ監視装置100は、状態の監査結果の適合率を算出する。そして、セキュリティ監視装置100は、算出した行為の監査結果の適合率と、行為の回数(頻度)と、状態の監査結果の適合率とに基づき、事前に定義された改善案を選出する(ステップS1003)。例えば、セキュリティ監視装置100は、算出した行為の監査結果の適合率と、行為の回数(頻度)と、状態の監査結果の適合率との組み合わせに対応する改善案を改善案データベース904から選出する。
【0097】
次に、セキュリティ監視装置100は、選出された改善案を通知対象者に提示し(ステップS1004)、以上の処理を終了する。例えば、セキュリティ監視装置100は、改善案データベース904から選出した改善案に対応する通知先に改善案を送信する。
【0098】
以上説明した他の実施形態のセキュリティ監視装置100は、所定期間内におけるユーザが行った複数の行為の違反状態(適合率)と、行為の回数と、複数の通信機器の状態(適合率)との組み合わせに対応する改善案を選出する。これにより、改善案の提示数を増やすことができ、より実態に即し最適な改善案を提示できる。
【0099】
以上説明したように、セキュリティ監視装置100によれば、監視対象に対するユーザの行為の情報を収集し、予め定めた規則に対する行為による違反の有無を監査する。また、監視対象の状態の情報を収集し、規則に対する状態による違反の有無を監査する。そして、行為の監査結果と、状態の監査結果との組み合わせに基づき、監視対象の複数の実態に対応して記憶部に予め設定された規則遵守の複数の改善案のなかから監視対象の実態に対応する改善案を選出し、選出した改善案を提示する。監視対象は、例えば、セキュリティの維持が必要な情報機器である。このように、行為と状態の組み合わせることで、規則の遵守の実態別に違反がユーザの行為によるものであるか、あるいは情報機器の不具合等によるものであるかを判別できるようになる。これにより、ユーザによる設定操作等の行為や、行為と状態との関係を含めた規則の遵守の実態に対応して、情報機器等の監視対象に対する適切な改善案を実施でき、セキュリティ向上を図れるようになる。また、監視対象は、情報機器に限らず、セキュリティの維持が必要な管理室の防犯ドア等を対象とすることとしてもよい。
【0100】
セキュリティ監視装置100によれば、状態の情報の収集は、監視対象としての情報機器の現在の設定の状態の情報を収集し、ユーザの行為の情報の収集は、情報機器に対し直近にユーザが行った設定操作の情報を収集することができる。これにより、ユーザの設定操作の行為と、この行為に基づく状態とを関連付けることができ、行為と状態の違反をそれぞれ判別できるようになり、行為と状態を組み合わせた複数の実態に対応する複数の改善策を提示できるようになる。
【0101】
セキュリティ監視装置100によれば、ユーザの行為の情報の収集は、監視対象としての情報機器の操作ログの取得により行うことができる。これにより、行為の情報を簡単に収集できる。
【0102】
また、セキュリティ監視装置100によれば、記憶部に、複数の改善案に対応するユーザあるいは管理部門を含む提示先を設定しておくことで、提示は、記憶部に予め設定された提示先に改善案を提示することができる。これにより、行為と状態の組み合わせ別に、例えば、ユーザで対処すべき改善策の提示、あるいはシステム管理側で対処すべき等を振分け、適切な提示先に改善策を提示できるようになる。
【0103】
セキュリティ監視装置100によれば、行為による違反の有無の監査は、監視対象に対し過去の第1期間でユーザが行った行為の情報を複数収集し、第1期間で行われた行為の回数と、行為の違反の回数とに基づき、第1期間における行為の違反の割合を算出する。また、状態による違反の有無の監査は、監視対象の現在を含む過去の第2期間での状態の情報を複数収集し、第2期間で収集した回数と、状態の違反の回数とに基づき、第2期間における状態の違反の割合を算出する。そして、改善案の選出は、行為の違反の割合と、状態の違反の割合との組み合わせに基づき、監視対象の複数の実態に対応して記憶部に予め設定された規則遵守の複数の改善案のなかから監視対象の実態に対応する改善案を選出することができる。このように、過去に行った複数の行為による違反の割合と、現在および過去の複数の状態による違反の割合とにより、異なる割合別の組み合わせに対応するより多くの改善策を選出および提示できるようになる。
【0104】
セキュリティ監視装置100によれば、ユーザの行為の情報の収集と、状態の情報の収集のタイミングは、非同期とすることができる。これにより、例えば、行為の情報は第1期間内でユーザが任意に行った設定操作毎に収集でき、状態の情報は第2期間内で定期的に収集できる。
【0105】
セキュリティ監視装置100によれば、監視対象は、通信接続された複数の情報機器とするシステムに適用できる。このほか、情報機器内部に制御機能を実装することで、通信機器自体を監視対象とすることもできる。
【0106】
なお、本実施の形態で説明したセキュリティ監視方法は、予め用意されたプログラムをPCやワークステーションなどのコンピュータで実行することにより実現することができる。本実施の形態で説明したセキュリティ監視プログラムは、コンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行される。記録媒体は、ハードディスク、フレキシブルディスク、CD(Compact Disc)-ROM、MO(Magneto Optical disc)、DVD(Digital Versatile Disc)などである。また、本実施の形態で説明したセキュリティ監視プログラムは、インターネットなどのネットワークを介して配布してもよい。
【0107】
上述した実施の形態に関し、さらに以下の付記を開示する。
【0108】
(付記1)監視対象に対するユーザの行為の情報を収集し、予め定めた規則に対する前記行為による違反の有無を監査し、
前記監視対象の状態の情報を収集し、前記規則に対する前記状態による違反の有無を監査し、
前記行為の監査結果と、前記状態の監査結果との組み合わせに基づき、前記監視対象の複数の実態に対応して記憶部に予め設定された規則遵守の複数の改善案のなかから前記監視対象の実態に対応する改善案を選出し、
選出した前記改善案を提示する、
処理をコンピュータに実行させることを特徴とするセキュリティ監視プログラム。
前記監視対象の状態の情報を収集し、前記規則に対する前記状態による違反の有無を監査し、
前記行為の監査結果と、前記状態の監査結果との組み合わせに基づき、前記監視対象の複数の実態に対応して記憶部に予め設定された規則遵守の複数の改善案のなかから前記監視対象の実態に対応する改善案を選出し、
選出した前記改善案を提示する、
処理をコンピュータに実行させることを特徴とするセキュリティ監視プログラム。
【0109】
(付記2)前記状態の情報の収集は、前記監視対象としての情報機器の現在の設定の状態の情報を収集し、
前記ユーザの行為の情報の収集は、前記情報機器に対し直近にユーザが行った設定操作の情報を収集する、
ことを特徴とする付記1に記載のセキュリティ監視プログラム。
前記ユーザの行為の情報の収集は、前記情報機器に対し直近にユーザが行った設定操作の情報を収集する、
ことを特徴とする付記1に記載のセキュリティ監視プログラム。
【0110】
(付記3)前記ユーザの行為の情報の収集は、前記監視対象としての情報機器の操作ログの取得により行う、
ことを特徴とする付記1に記載のセキュリティ監視プログラム。
ことを特徴とする付記1に記載のセキュリティ監視プログラム。
【0111】
(付記4)前記記憶部には、複数の改善案に対応するユーザあるいは管理部門を含む提示先が設定され、
前記提示は、前記記憶部に予め設定された前記提示先に前記改善案を提示する、
ことを特徴とする付記1に記載のセキュリティ監視プログラム。
前記提示は、前記記憶部に予め設定された前記提示先に前記改善案を提示する、
ことを特徴とする付記1に記載のセキュリティ監視プログラム。
【0112】
(付記5)前記行為による違反の有無の監査は、前記監視対象に対し過去の第1期間でユーザが行った行為の情報を複数収集し、前記第1期間で行われた行為の回数と、行為の違反の回数とに基づき、前記第1期間における行為の違反の割合を算出し、
前記状態による違反の有無の監査は、前記監視対象の現在を含む過去の第2期間での状態の情報を複数収集し、前記第2期間で収集した回数と、状態の違反の回数とに基づき、前記第2期間における状態の違反の割合を算出し、
前記改善案の選出は、前記行為の違反の割合と、前記状態の違反の割合との組み合わせに基づき、前記監視対象の複数の実態に対応して前記記憶部に予め設定された規則遵守の複数の改善案のなかから前記監視対象の実態に対応する改善案を選出する、
ことを特徴とする付記1に記載のセキュリティ監視プログラム。
前記状態による違反の有無の監査は、前記監視対象の現在を含む過去の第2期間での状態の情報を複数収集し、前記第2期間で収集した回数と、状態の違反の回数とに基づき、前記第2期間における状態の違反の割合を算出し、
前記改善案の選出は、前記行為の違反の割合と、前記状態の違反の割合との組み合わせに基づき、前記監視対象の複数の実態に対応して前記記憶部に予め設定された規則遵守の複数の改善案のなかから前記監視対象の実態に対応する改善案を選出する、
ことを特徴とする付記1に記載のセキュリティ監視プログラム。
【0113】
(付記6)前記行為の情報の収集と、前記状態の情報の収集のタイミングは、非同期であることを特徴とする付記5に記載のセキュリティ監視プログラム。
【0114】
(付記7)監視対象に対するユーザの行為の情報を収集し、予め定めた規則に対する前記行為による違反の有無を監査し、
前記監視対象の状態の情報を収集し、前記規則に対する前記状態による違反の有無を監査し、
前記行為の監査結果と、前記状態の監査結果との組み合わせに基づき、前記監視対象の複数の実態に対応して記憶部に予め設定された規則遵守の複数の改善案のなかから前記監視対象の実態に対応する改善案を選出し、
選出した前記改善案を提示する、
処理をコンピュータに実行させることを特徴とするセキュリティ監視方法。
前記監視対象の状態の情報を収集し、前記規則に対する前記状態による違反の有無を監査し、
前記行為の監査結果と、前記状態の監査結果との組み合わせに基づき、前記監視対象の複数の実態に対応して記憶部に予め設定された規則遵守の複数の改善案のなかから前記監視対象の実態に対応する改善案を選出し、
選出した前記改善案を提示する、
処理をコンピュータに実行させることを特徴とするセキュリティ監視方法。
【0115】
(付記8)監視対象に対するユーザの行為の情報を収集し、予め定めた規則に対する前記行為による違反の有無を監査し、
前記監視対象の状態の情報を収集し、前記規則に対する前記状態による違反の有無を監査し、
前記行為の監査結果と、前記状態の監査結果との組み合わせに基づき、前記監視対象の複数の実態に対応して記憶部に予め設定された規則遵守の複数の改善案のなかから前記監視対象の実態に対応する改善案を選出し、
選出した前記改善案を提示する、
制御部を有することを特徴とするセキュリティ監視装置。
前記監視対象の状態の情報を収集し、前記規則に対する前記状態による違反の有無を監査し、
前記行為の監査結果と、前記状態の監査結果との組み合わせに基づき、前記監視対象の複数の実態に対応して記憶部に予め設定された規則遵守の複数の改善案のなかから前記監視対象の実態に対応する改善案を選出し、
選出した前記改善案を提示する、
制御部を有することを特徴とするセキュリティ監視装置。
【0116】
(付記9)通信接続された複数の情報機器を前記監視対象とすることを特徴とする付記8に記載のセキュリティ監視装置。
【0117】
(付記10)情報機器内部に配置され、当該通信機器を前記監視対象とすることを特徴とする付記8に記載のセキュリティ監視装置。
【符号の説明】
【0118】
100 セキュリティ監視装置
101 操作ログ
102 設定値
200 情報機器
210 ネットワーク
301 CPU
302 メモリ
303 ネットワークI/F
304 記録媒体I/F
305 記録媒体
401 行為監査部
402 状態監査部
403 改善案選出部
404,904 改善案データベース
405 改善案出力部
101 操作ログ
102 設定値
200 情報機器
210 ネットワーク
301 CPU
302 メモリ
303 ネットワークI/F
304 記録媒体I/F
305 記録媒体
401 行為監査部
402 状態監査部
403 改善案選出部
404,904 改善案データベース
405 改善案出力部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】