知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023031924
(43)【公開日】2023-03-09
(54)【発明の名称】不正検知システム、不正検知方法及び不正検知プログラム
(51)【国際特許分類】
H04L 43/00 20220101AFI20230302BHJP
【FI】
H04L12/70 100Z
【審査請求】未請求
【請求項の数】7
【出願形態】OL
(21)【出願番号】P 2021137710
(22)【出願日】2021-08-26
(71)【出願人】
【識別番号】000000295
【氏名又は名称】沖電気工業株式会社
(74)【代理人】
【識別番号】100180275
【弁理士】
【氏名又は名称】吉田 倫太郎
(74)【代理人】
【識別番号】100161861
【弁理士】
【氏名又は名称】若林 裕介
(72)【発明者】
【氏名】中村 信之
【テーマコード(参考)】
5K030
【Fターム(参考)】
5K030GA15
5K030JA10
5K030MB09
5K030MC08
(57)【要約】
【課題】リアルセンサーを用いてユーザーの不審な振る舞い等を検知した場合、そのユーザーによる通信挙動を収集して分析して、ユーザーが不正を働いたか否かを検知できるようにする。
【解決手段】本発明に係る不正検知システムは、1又は複数のセンサーを用いてユーザーの振る舞いを監視し、ユーザーの不審を検知すると、当該ユーザーのユーザー識別情報及び当該ユーザーが使用した通信端末の端末識別情報を含む不審情報を通知するセンサー異常検知手段と、通過する通信データの通信履歴情報から、ユーザー識別情報及び端末識別情報に基づいて通信挙動情報を収集する通信挙動情報収集手段と、通信挙動情報収集手段からの通信挙動情報に基づいてユーザーが不正行為をしたか否かを検知する不正検知手段とを備える。
【選択図】 図1
【解決手段】本発明に係る不正検知システムは、1又は複数のセンサーを用いてユーザーの振る舞いを監視し、ユーザーの不審を検知すると、当該ユーザーのユーザー識別情報及び当該ユーザーが使用した通信端末の端末識別情報を含む不審情報を通知するセンサー異常検知手段と、通過する通信データの通信履歴情報から、ユーザー識別情報及び端末識別情報に基づいて通信挙動情報を収集する通信挙動情報収集手段と、通信挙動情報収集手段からの通信挙動情報に基づいてユーザーが不正行為をしたか否かを検知する不正検知手段とを備える。
【選択図】 図1
【特許請求の範囲】
【請求項1】
1又は複数のセンサーを用いてユーザーの振る舞いを監視し、ユーザーの不審を検知すると、当該ユーザーのユーザー識別情報及び当該ユーザーが使用した通信端末の端末識別情報を含む不審情報を通知するセンサー異常検知手段と、
通過する通信データの通信履歴情報から、前記ユーザー識別情報及び前記端末識別情報に基づいて、前記ユーザーの通信挙動情報を収集する通信挙動情報収集手段と、
前記通信挙動情報収集手段からの前記通信挙動情報に基づいて、前記ユーザーが不正な行為をしたか否かを検知する不正検知手段と
を備えることを特徴とする不正検知システム。
通過する通信データの通信履歴情報から、前記ユーザー識別情報及び前記端末識別情報に基づいて、前記ユーザーの通信挙動情報を収集する通信挙動情報収集手段と、
前記通信挙動情報収集手段からの前記通信挙動情報に基づいて、前記ユーザーが不正な行為をしたか否かを検知する不正検知手段と
を備えることを特徴とする不正検知システム。
【請求項2】
通過する通信データの通信履歴を参照して、前記ユーザー識別情報及び前記端末識別情報に関連する通信情報を用いて統計的な通信情報を導出し、前記ユーザーによる通信状況が、前記統計的な通信情報に対して異なるとき、通信状況の異常として検知する通信異常検知手段を備え、
前記通信挙動情報収集手段が、前記通信異常検知手段により異常検知された通信情報の中から、前記ユーザーの通信挙動情報を収集する
ことを特徴とする請求項1に記載の不正検知システム。
前記通信挙動情報収集手段が、前記通信異常検知手段により異常検知された通信情報の中から、前記ユーザーの通信挙動情報を収集する
ことを特徴とする請求項1に記載の不正検知システム。
【請求項3】
前記不正検知手段により判定された検知結果、前記センサー異常検知手段による検知結果、前記通信挙動情報収集手段により収集された前記通信挙動情報を用いて、総合的な検知結果を作成する結果集約手段を備えることを特徴とする請求項1又は2に記載の不正検知システム。
【請求項4】
前記センサー異常検知手段が、前記ユーザーによる不審解消を検知すると、不審解消した旨を示す不審解消情報を通知することを特徴とする請求項3に記載の不正検知システム。
【請求項5】
前記不正検知手段により不正検知とされた前記ユーザーによる通信情報を遮断、通信失敗、又は遅延させる通信制御手段を備えることを特徴とする請求項1~4のいずれかに記載の不正検知システム。
【請求項6】
センサー異常検知手段が、1又は複数のセンサーを用いてユーザーの振る舞いを監視し、ユーザーの不審を検知すると、当該ユーザーのユーザー識別情報及び当該ユーザーが使用した通信端末の端末識別情報を含む不審情報を通知し、
通信挙動情報収集手段が、通過する通信データの通信履歴情報から、前記ユーザー識別情報及び前記端末識別情報に基づいて、前記ユーザーの通信挙動情報を収集し、
不正検知手段が、前記通信挙動情報収集手段からの前記通信挙動情報に基づいて、前記ユーザーが不正な行為をしたか否かを検知する
ことを特徴とする不正検知方法。
通信挙動情報収集手段が、通過する通信データの通信履歴情報から、前記ユーザー識別情報及び前記端末識別情報に基づいて、前記ユーザーの通信挙動情報を収集し、
不正検知手段が、前記通信挙動情報収集手段からの前記通信挙動情報に基づいて、前記ユーザーが不正な行為をしたか否かを検知する
ことを特徴とする不正検知方法。
【請求項7】
コンピュータを、
1又は複数のセンサーを用いてユーザーの振る舞いを監視し、ユーザーの不審を検知すると、当該ユーザーのユーザー識別情報及び当該ユーザーが使用した通信端末の端末識別情報を含む不審情報を通知するセンサー異常検知手段と、
通過する通信データの通信履歴情報から、前記ユーザー識別情報及び前記端末識別情報に基づいて、前記ユーザーの通信挙動情報を収集する通信挙動情報収集手段と、
前記通信挙動情報収集手段からの前記通信挙動情報に基づいて、前記ユーザーが不正な行為をしたか否かを検知する不正検知手段と
して機能させることを特徴とする不正検知プログラム。
1又は複数のセンサーを用いてユーザーの振る舞いを監視し、ユーザーの不審を検知すると、当該ユーザーのユーザー識別情報及び当該ユーザーが使用した通信端末の端末識別情報を含む不審情報を通知するセンサー異常検知手段と、
通過する通信データの通信履歴情報から、前記ユーザー識別情報及び前記端末識別情報に基づいて、前記ユーザーの通信挙動情報を収集する通信挙動情報収集手段と、
前記通信挙動情報収集手段からの前記通信挙動情報に基づいて、前記ユーザーが不正な行為をしたか否かを検知する不正検知手段と
して機能させることを特徴とする不正検知プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、不正検知システム、不正検知方法及び不正検知プログラムに関し、例えば、コンピュータ操作者の不正行為を検知するシステムに適用し得るものである。
【背景技術】
【0002】
従来、例えばマルウェア感染検知やサイバー攻撃検知のため、通信トラフィックを用いた異常検知技術がある。例えば、特許文献1に記載されている技術がある。特許文献1には、通信トラフィックを監視するプローブ装置が、通過するパケットのパケット数やスループットを測定し、さらにヘッダ情報を解析して、TCPポート番号(送信元TCPポート番号、宛先TCPポート番号)、UDPポート番号(送信元UDPポート番号、宛先UDPポート番号)などを抽出して特徴項目を有する特徴情報を保持する。そして、プローブ装置は、特徴情報の正常時の統計的な範囲を算出しておき、その正常時の統計的な範囲に対して外れ値となったときに、プローブ装置は通常とは異なる事象を検知するというものである。
【0003】
一方で、コンピュータを操作するユーザーの不正操作を検知する異常検知技術もある。例えば、特許文献2に記載されている技術がある。特許文献2の記載技術は、組織における内部不正を抑止するものであり、コンピュータを操作する操作者が行なった操作をロギングしておき、操作ログの特定項目の操作特徴と、不正操作されていない期間の操作特徴との差異を求め、その結果に基づいて不正疑義を特定するというものである。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2006-148686号公報
【特許文献2】特開2019-121215号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、通信トラフィックを用いた異常検知技術は、正常時と違う事象を検知したときに異常とするが、誤検知も多く、本当に検知したい異常(すなわち不正の疑いに関連する異常)か否かを確認するためには、通信トラフィックに関する情報だけでは不十分であり、ユーザーに連絡してウィルス検索をしてもらう等の対処が必要である。さらに、自動処理も難しい。
【0006】
また、ユーザー操作の異常検知技術は、パーソナルコンピュータ上で動作させるアプリケーションが必要となり、そのアプリケーションが正常に動作しない場合や不正なユーザーがアプリケーションの動作を変更したり起動を止めてしまうなどの問題がある。
【0007】
そのため、本発明は、上述した課題に鑑み、リアルなセンサーを用いてユーザーの不審な振る舞い等を検知したときに、そのユーザーが実施した通信挙動を収集して分析することで、ユーザーが不正を働いたのか否かを検知できる不正検知システム、不正検知方法及び不正検知プログラムを提供しようとする。
【課題を解決するための手段】
【0008】
かかる課題を解決するために、第1の本発明に係る不正検知システムは、1又は複数のセンサーを用いてユーザーの振る舞いを監視し、ユーザーの不審を検知すると、当該ユーザーのユーザー識別情報及び当該ユーザーが使用した通信端末の端末識別情報を含む不審情報を通知するセンサー異常検知手段と、通過する通信データの通信履歴情報から、ユーザー識別情報及び端末識別情報に基づいて、ユーザーの通信挙動情報を収集する通信挙動情報収集手段と、通信挙動情報収集手段からの通信挙動情報に基づいて、ユーザーが不正な行為をしたか否かを検知する不正検知手段とを備えることを特徴とする。
【0009】
第2の本発明に係る不正検知方法は、センサー異常検知手段が、1又は複数のセンサーを用いてユーザーの振る舞いを監視し、ユーザーの不審を検知すると、当該ユーザーのユーザー識別情報及び当該ユーザーが使用した通信端末の端末識別情報を含む不審情報を通知し、通信挙動情報収集手段が、通過する通信データの通信履歴情報から、ユーザー識別情報及び端末識別情報に基づいて、ユーザーの通信挙動情報を収集し、不正検知手段が、通信挙動情報収集手段からの通信挙動情報に基づいて、ユーザーが不正な行為をしたか否かを検知することを特徴とする。
【0010】
第3の本発明に係る不正検知プログラムは、コンピュータを、1又は複数のセンサーを用いてユーザーの振る舞いを監視し、ユーザーの不審を検知すると、当該ユーザーのユーザー識別情報及び当該ユーザーが使用した通信端末の端末識別情報を含む不審情報を通知するセンサー異常検知手段と、通過する通信データの通信履歴情報から、ユーザー識別情報及び端末識別情報に基づいて、ユーザーの通信挙動情報を収集する通信挙動情報収集手段と、通信挙動情報収集手段からの通信挙動情報に基づいて、ユーザーが不正な行為をしたか否かを検知する不正検知手段として機能させることを特徴とする。
【発明の効果】
【0011】
本発明によれば、リアルなセンサーを用いてユーザーの不審な振る舞い等を検知したときに、そのユーザーが実施した通信挙動を収集して分析することで、ユーザーが不正を働いたのか否かを検知できる。
【図面の簡単な説明】
【0012】
【発明を実施するための形態】
【0013】
(A)実施形態
以下では、本発明に係る不正検知システム、不正検知方法及び不正検知プログラムの実施形態を、図面を参照しながら説明する。
以下では、本発明に係る不正検知システム、不正検知方法及び不正検知プログラムの実施形態を、図面を参照しながら説明する。
【0014】
(A-1)実施形態の構成
図1は、実施形態に係る不正検知システムの全体構成を示す全体構成図である。
図1は、実施形態に係る不正検知システムの全体構成を示す全体構成図である。
【0015】
図1において、実施形態に係る不正検知システム10は、不正検知装置1、センサー異常検知装置2、通信監視システム3を有する。
【0016】
この実施形態は、1又は複数のセンサーを用いたセンサー異常検知システム(装置)と、ネットワーク上を通過する通信トラフィックに関する情報を用いて監視する通信監視システム(装置)と連携して、コンピュータ操作者に不正の疑いがある(不審がある)としたとき、その操作者による通信挙動を特定して、不正行為があったか否かを検知するシステムに、本発明を適用する場合を例示する。
【0017】
また、この実施形態は、コンピュータシステムを運用する組織内部の人による不正行為を検知する場合を例示するが、組織内部者による不正行為に限定されない。
【0018】
不正行為は、様々なものが考えられるが、例えば、特定のファイル(ファイルデータ)へのアクセス、ダウンロード、ファイル転送、記録、記憶媒体の持ち出し等のような情報漏洩に関する不正行為を挙げることができる。また例えば、特定サーバ又は特定Webサイトへのアクセス、攻撃、なりすまし等のようなネットワークを通じた不正アクセスに関する不正行為も挙げられる。
【0019】
この実施形態が想定している不正行為は上述した例に限らないが、いずれにしても、この実施形態は、操作者のリアルな挙動に不審があるときに、その操作者が行なった通信履歴に基づく通信挙動とを連携させて総合的に判断して不正を検知する。
【0020】
すなわち、組織内部者を監視して、普段とは異なる様子や振る舞いをしている操作者を検知すると、不正の疑いがあると判断し、これをトリガーとして、その操作者がコンピュータ(通信端末等)を用いた通信履歴から、その操作者の挙動を分析して、不正行為か否かを検知する場合を例示する。
【0021】
[センサー異常検知装置2]
センサー異常検知装置2は、1又は複数のセンサー部21と、センサー部21のセンシングデータを用いた異常検知を行なうセンサー異常検知部22とを有する。
センサー異常検知装置2は、1又は複数のセンサー部21と、センサー部21のセンシングデータを用いた異常検知を行なうセンサー異常検知部22とを有する。
【0022】
センサー異常検知装置2は、センサー部21を用いて、操作者の振る舞い、動作、行動、操作、感情、様子、状態等(以下、「振る舞い等」と呼ぶ。)を監視する。
【0023】
また、センサー異常検知装置2は、操作者及び通信端末(コンピュータ)を監視対象とし、監視対象としての操作者及び通信端末を管理している。
【0024】
例えば、操作者については、センサー異常検知装置2は、操作者を一意に識別するユーザ識別情報を割り当てて、各操作者を管理する。センサー異常検知装置2は、操作者毎のユーザ識別情報に、氏名、顔画像、生体認証情報等を一部または全部を紐付けて操作者を管理してもよい。また、センサー異常検知装置2は、ユーザ識別情報に、各センサー部21のセンシングデータを紐付けてログをとるようにしてもよい。さらに、センサー異常検知装置2は、センシングデータを用いた統計的な処理を行ない、その統計的な処理で得た数値をユーザ識別情報に紐付けて操作者毎の統計値を管理する。すなわち、センサー異常検知装置2は、操作者の振る舞い等を、センサー部21のセンサーデータを用いた統計的な数値で評価して、その評価した数値を操作者毎に管理する。
【0025】
また例えば、通信端末については、センサー異常検知装置2は、通信端末に付与した一意に識別する識別番号やIPアドレス等の通信識別情報などの端末識別情報を用いて通信端末を管理する。
【0026】
センサー異常検知装置2は、センサー部21を用いて操作者の振る舞い等を監視し、センサー部21のデータに基づいて操作者による不正の疑いがあることを検知する。そして、不正の疑いがあることを検知した場合、センサー異常検知装置2は、その操作者のユーザ識別情報及びその操作者が操作している通信端末の端末識別情報を含む不正疑惑情報(不審情報とも呼ぶ。)を、不正検知装置1に送信する。
【0027】
不正疑惑情報とは、1又は複数のセンサー部21を用いてセンサー異常検知部22が、コンピュータ操作者の振る舞い等が通常時の動作と異なり、不正の疑いあると判断したことを示す情報をいう。不正疑惑情報は、不正の疑いがある者(操作者)を識別するユーザ情報、その操作者が操作した通信端末の端末識別情報等を含む。これに限らず、不正の疑いを検知した時刻(日時情報)を含むようにしてもよい。
【0028】
また、センサー異常検知装置2は、不正の疑いのある操作者による不正行為が終了したときには、不正疑惑解消情報を不正検知装置1に送信する。これにより、不正実施時間に絞って不正検知装置1による分析処理を実施させて無駄な分析処理を省くことができる。なお、センサー異常検知装置2は、不正検知装置1による事後的なログ分析のために、不正疑惑解消情報に不正実施時間を載せてもよい。
【0029】
不正疑惑解消情報は、不正の疑いがある操作者の振る舞い等を監視して、その不正の行為が終了したことを示す情報をいう。不正疑惑解消情報は、操作者のユーザ識別情報、操作者が操作した通信端末の端末識別情報、不正の疑いのある行為が解消した時刻、不正の疑いがある行為をした時間等を含む。
【0030】
センサー部21は、ユーザーの不正操作に利用可能なセンサーを有するリアルセンサーであり、センサー異常検知部22と接続する。センサー部21は、例えば、カメラセンサー(イメージセンサー)、バイタルセンサー(例えば、心拍センサー、呼吸センサー、体温センサー、発汗を検知する湿度センサー等)、音センサー、振動センサー、視線センサー、キーボードやマウス等の操作をPC(パーソナルコンピュータ)内で監視する操作センサー等を適用できる。
【0031】
なお、センサー種類は、特に限定されず、室内の照度を感知する照度センサー、人感センサー、PC電源オン/オフを検知する電源センサー、サーモカメラ等を用いてもよい。例えば、勤務時間外など室内が暗い状態で不正を働くこともあるので、室内の明るさを感知する照度センサーやサーモセンサー、人感センサー等を用いて、不正行為を疑う状況を検知してもよい。
【0032】
例えば、カメラセンサーは、PC搭載のカメラ、PCに外付けのカメラ、室内設置の監視カメラ等を用いることができる。操作者の視線を監視する視線センサーは、室内やデスク周辺やPC近辺等に事前に設置し、落ち着きがなく、目が泳ぐ様子を捉えるために用いることができる。
【0033】
また例えば、バイタルセンサー、音センサー、振動センサーは、接触型又は非接触型を用いることができる。事前に設置したものを用いてもよいし、スマートフォン端末、ウェアブル端末、タブレット端末等に搭載されているものや各種センサーと連携しているアプリケーションから得られるデータを用いてもよい。
【0034】
さらに例えば、PC操作を監視する操作センサーは、アプリケーションソフトウェアとしてPC内にインストールしておく。
【0035】
センサー異常検知部22は、センサー部21のセンシングデータに基づいて不正の疑いを検知して、不正の疑いを検知したときに、ユーザ識別情報及び端末識別情報を含む不正疑惑情報を、不正検知エスカレーション部11に通知する。また、センサー異常検知部22は、異常が解消されて不正の疑いが低くなった際に、不正疑惑解消情報を通知する不正解消検知部13に通知する。
【0036】
センサー異常検知部22は、様々な既存の異常検知方法を適用でき、1種類の方法だけでなく、複数種類の方法を同時並行的に実装してもよい。複数種類の方法を適用する場合、センサー異常検知部22は、異常検知方法の種類に応じて、1種類又は複数種類のセンサー部21からデータを取得できるようにする。
【0037】
例えば、カメラ画像を用いて人の離席/着席の状況を操作者毎に監視して、着席時間又は離席時間、着席時間帯又は離席時間帯、離席回数、着席回数等の統計値を操作者毎に保持しておき、統計的な範囲に対して外れ値があったときに異常(すなわち、不正をした又は不正をしようとしてそわそわして落ち着きのない様子)と判定する方法を適用する場合を考える。その場合、センサー異常検知部22は、室内設置の監視カメラやPC搭載のカメラセンサーから画像を取得できるようにする。すなわち、センサー異常検知部22は、1種類のセンサー部(この場合、カメラセンサー)からデータを取得可能である。なお、同一種類であっても、複数個のセンサー部21からデータ取得可能であってもよい。
【0038】
また例えば、センサー異常検知部22が、操作者の心拍数や体温を測定した値、測定時刻を用いて統計的な計算を操作者毎に行い、心拍数、体温の統計的な範囲(平常時の心拍数、体温)に対して、心拍数が非常に高く、体温が非常に高いとき(例えば、外れ値と統計的範囲の値との差分が閾値以上のとき)に、異常(すなわち、通常時とは異なる極度の緊張状態にある)と判定する方法を適用する場合を考える。その場合、センサー異常検知部22は、心拍センサーと、体温センサーの2種類のセンサー部21からデータを取得できる。
【0039】
さらに例えば、センサー異常検知部22が、感情推定技術で人の感情を推定した結果に基づいて、異常と判定する方法を適用できる。その場合、センサー異常検知部22は、カメラセンサー、心拍センサー、体温センサー、湿度センサー、音センサー、振動センサー等の複数種類のセンサー部21からデータ取得できる。
【0040】
また例えば、操作センサーとしてのアプリケーションがPCにインストールされている場合、アプリケーションが正しく動作しないように操作されることがある。センサー異常検知部22は、通常PCが電源ONで動作可能な状態であって、操作センサーとしてのアプリケーションが動作していれば正常であると判定する。しかし、本来動作すべき、操作センサーとしてのアプリケーションが動作していないことを検知したとき、センサー異常検知部22は、異常であると判定する方法も適用できる。
【0041】
このように、センサー異常検知部22の異常検知方法は様々な方法を適用できる。また、複数種類の方法を適用する場合、操作者の異常検知精度を高めるため、センサー異常検知部22は、複数種類の方法の結果を総合的に判断して、操作者の振る舞い等に不正の疑いがあると判定してもよい。
【0042】
[通信監視システム3]
通信監視システム3は、ネットワーク(NW)データ取得部31、NW異常検知部32、NW挙動データ収集部33を有する。
通信監視システム3は、ネットワーク(NW)データ取得部31、NW異常検知部32、NW挙動データ収集部33を有する。
【0043】
通信監視システム3は、監視対象の通信端末(コンピュータ)の通信パケットをキャプチャできる場所に設置されている。通信監視システム3は、ネットワークを流れるパケットデータを収集する。
【0044】
通信監視システム3は、不正検知装置1が、センサー異常検知装置2からの操作者の振る舞い等が不正の疑いある旨を受信した際、その操作者が操作した通信端末の通信履歴を収集する。通信監視システム3は、操作者のユーザー情報、及び又は、IPアドレス等の端末識別情報を含む情報を不正検知装置1から取得し、その情報を用いて、操作者の挙動を示す情報を収集する。例えば、通信監視システム3は、操作者のユーザー情報、及び又は、IPアドレスを含む通信トラフィック情報を収集して不正検知装置1に通知する。
【0045】
NWデータ取得部31は、通過するパケットをキャプチャして、パケットのヘッダ情報を解析して、パケットの種類、送信元又は宛先等のパケットデータを収集して、NW異常検知部32、NW挙動データ収集部33に与える。
【0046】
NW異常検知部32は、NWデータ取得部31からパケットデータを取得し、これらパケットデータをデータベース部321に保持する。NW異常検知部32は、不正検知エスカレーション部11から、操作者のユーザー情報及び又は通信端末の端末識別情報を取得して、ネットワークを流れた通信トラフィック情報を用いた異常検知の指示を受け取る。また、NW異常検知部32は、不正が行われた時間帯を知るため、不正実施期間を含む情報を取得してもよい。
【0047】
NW異常検知部32は、不正検知エスカレーション部11からの指示をトリガーとして、通信トラフィックを用いて異常検知を行ない、NW異常検知結果を不正検知部12に通知する。
【0048】
NW異常検知部32は、通信トラフィックを用いた異常検知方法であれば、様々な方法を広く適用できる。例えば、NW異常検知部32は、データベース部321に保持している通信トラフィック情報を参照して、指示されたユーザー情報(ユーザ識別情報を含む情報)及び又は端末識別情報をキーとして、例えば、所定時間毎のIPパケット数、スループット(単位時間当たりのデータ転送量)を測定する。また、NWデータ取得部31は、パケットのヘッダ情報を分析して、IPアドレス、TCPウィンドサイズ、TCPポート番号、送信元TCPポート番号、宛先TCPポート番号、UDPポート番号、送信元UDPポート番号、宛先UDPポート番号、TCPフラグ、TCPフラグセット、ICMPタイプコード、IPプロトコル等の項目を含む特徴情報を作成する。この特定の項目の特徴情報は、所定時間毎に作成し保持する。
【0049】
そして、特徴情報の過去の履歴も含めて統計的な処理を行ない、不正が行われていないと思われる期間の特徴情報の統計値を通常時の統計範囲とする。さらに、通常時の統計範囲の外れ値があれば、通常時とは異なる事象(すなわち、異常)が生じたと判断してその結果を不正検知部12に通知する。
【0050】
上述したNW異常検知方法は、一例である。したがって、上述の例に限定されない。また、NW異常が検知されたとき、NW異常検知部32は、異常に関連する通信トラフィック情報を含む情報を不正検知部12に通知する。
【0051】
NW挙動データ収集部33は、不正検知エスカレーション部11からの指示により、ネットワーク上における通信端末の動作やユーザーの挙動に関する情報を収集して、その結果を不正検知部12に通知する。
【0052】
例えば、NW挙動データ収集部33は、不正検知エスカレーション部11から指示されたIPアドレス等の端末識別情報に基づいて、操作者の通信端末が特定のサーバ(例えばファイルサーバ、メールサーバなど)にアクセスした通信履歴はあるのか、通信履歴があれば、ファイル種類、ファイルサイズなどを含むファイル情報、ファイルをダウンロードしたのか又は転送(アップロード)したのか等の履歴などの通信挙動を収集する。
【0053】
[不正検知装置1]
不正検知装置1は、不正検知エスカレーション部11、不正検知部12、不正解消検知部13、結果集約部14を有する。
不正検知装置1は、不正検知エスカレーション部11、不正検知部12、不正解消検知部13、結果集約部14を有する。
【0054】
不正検知装置1は、センサー異常検知部22から不正疑惑情報を受信すると、それをトリガーとして、監視対象とするユーザー情報及び又は端末識別情報を、通信監視システム3に送信して、ネットワーク上における通信端末の動作やユーザーの挙動に関する情報を収集する。そして、不正検知装置1は、不正の疑いがある操作者の挙動を解析して、その結果を作成する。また、不正検知装置1は、通信制御装置4と接続しており、不正行為の防止又は警告をするために、不正行為があった旨を通信制御装置4に通知する。
【0055】
不正検知エスカレーション部11は、センサー異常検知部22から不正疑惑情報を受信すると、ユーザー情報及び又は端末識別情報を含む情報をNW挙動データ収集部33に送信して、NW挙動データの収集を開始させる。また、不正検知エスカレーション部11は不正検知状態を管理させるため、不正解消検知部13と不正検知部12に接続している。
【0056】
不正検知部12は、不正検知エスカレーション部11から不正検知開始の指示を受け、NW異常検知部32からNW異常に関する通信トラフィック情報を取得する。また、不正検知部12は、NW挙動データ収集部33から、ネットワーク上での通信端末の動作やユーザーの挙動に関する情報を取得する。そして、不正検知部12は、不正解消検知部13が不正の疑いの終了を通知するまでの間、通信端末の動作やユーザーの挙動に関する情報などに基づいて、不正検知を実行する。さらに、不正検知部12は、不正検知の結果を、結果集約部14に出力する。
【0057】
不正解消検知部13は、不正検知エスカレーション部11から不正検知開始の指示を受けた後、センサー異常検知部22から不正検知の終了を示す不正疑惑解消情報を受信するまでの間、監視状態を管理する。そして、不正疑惑解消情報を受信すると、不正解消検知部13は、不正検知終了の旨を不正検知部12に通知して不正検知を終了させる。
【0058】
結果集約部14は、不正検知部12で解析された不正検知の可能性の状況と、不正の疑いのある時間に付随する情報を集約した結果を受け取り、その結果を保持する。
【0059】
(A-2)実施形態の動作
次に、実施形態に係る不正検知システム10における不正検知方法の処理動作を、図面を参照しながら説明する。
次に、実施形態に係る不正検知システム10における不正検知方法の処理動作を、図面を参照しながら説明する。
【0060】
図2は、実施形態に係る不正検知処理を示すシーケンス図である。
【0061】
不正検知システム10の監視対象とする場所において、センサー部21が動作開始すると、センサー部21によるセンシングデータがセンサー異常検知部22に与えられる。
【0062】
センサー部21は、例えば、カメラセンサー、バイタルセンサー、音センサー、振動センサー、視線センサー、PC搭載の操作センサー等とすることができる。センサー異常検知部22は、異常検知方法に応じて、対応するセンサー部21からセンシングデータを取得し、監視対象とする操作者と通信端末の状態を監視する。
【0063】
例えば、センサー異常検知部22は、操作者の離席/着席の様子を撮影したカメラ画像を解析して、不正の疑いがない通常時の離着席に関する統計情報を操作者毎に保持しておく。そして、センサー異常検知部22は、ある操作者の離着席の回数や時間などが、統計的な範囲に対して外れ値があったときに、通常時とは異なる状態と判定する。より具体的に、例えば、通常時よりも離席回数が極端に増えたり、通常時よりも離席時間が長い、勤務時間外の深夜の時間帯に着席している等のことを検知したとき、センサー異常検知部22は異常と検知する。
【0064】
また例えば、センサー異常検知部22は、バイタルセンサーからのデータを用いて、心拍数、呼吸、体温などが通常時よりも極端に上昇していることを検知したときに異常と判定する。
【0065】
例えば、センサー異常検知部22は、音センサーで操作者が発生する声の大きさや高低等の特徴を示す値を統計的に処理をして操作者毎に保持したり、振動センサーで操作者が身体を動かす癖(例えば、貧乏ゆすり、姿勢を変えるタイミング等)の時間間隔、動作時間、時間帯などの特徴を示す値を統計的に処理して操作者毎に保持しておく。そして、センサー異常検知部22が、通常時よりも顕著に声が大きかったり、身体の動きが異常に大きい等を検知したときには異常と判定する。
【0066】
また例えば、センサー異常検知部22が、Webカメラ等の視線センサーで目が泳ぎがちなことを検知したり、操作センサーでキーボードやマウスの操作の普段との違いを検知するなどしたとき異常と検知する。
【0067】
なお、1つの異常検知方法だけでなく、複数の異常検知方法で検知して総合的に、不正の疑いのある者を検知するようにしてもよい。また、複数の異常検知方法を用いる場合、複数の結果に重みを受けて判断してもよい。
【0068】
不正の疑いがあるパターン例として、例えば、椅子への着席回数が多くそわそわしており、視線が泳ぎがちで、心拍が急に高くなり、貧乏ゆすりなどの振動を検知した場合や、例えば、誰もいない居室で照明をつけずにコンピュータを操作している場合や、例えば、センサー自体を停止された状態で監視ができない状態などが例として挙げられるが、これに限らない。
【0069】
センサー異常検知部22は、センサー部21からのデータに基づいて操作者の振る舞い等が普段と異なり不正の疑いがあると判断すると(S101)、不正検知エスカレーション部11に対して、ユーザ識別情報を含むユーザー情報及び又は端末識別情報(通信端末のIPアドレス等)を含む不正疑惑情報を通知する(S102)。
【0070】
不正検知エスカレーション部11は、不正疑惑情報を受信すると、不正を監視させるために、不正検知部12、不正解消検知部13、NW異常検知部32、NW挙動データ収集部33に対して、不正の疑いがある操作者のユーザー情報及び又は操作者が操作した通信端末の端末識別情報を含む不正検知開始を通知する(S103)。
【0071】
NW異常検知部32は、不正検知エスカレーション部11から、操作者のユーザー情報、及び又は、通信端末のIPアドレス等の端末識別情報を含む情報を取得すると、ユーザ毎、IPアドレス毎の通信トラフィック情報の定常状態を学習して、統計的に普段と違うデータ量を示した場合や、普段と異なる時間に通信した場合等を異常として検知する(S104)。そして、異常が検知されると、NW異常検知部32は、その結果を不正検知部12に通知する(S105)。
【0072】
例えば、データベース部321には、NWデータ取得部31によってキャプチャーされたパケットの通信履歴が保持されており、NW異常検知部32は、操作者のユーザー情報に基づくユーザ毎、操作者が操作した通信端末(コンピュータ)のIPアドレス毎に、通信トラフィック情報の通信履歴を抽出して、通信端末の通信先(宛先IPアドレス、宛先ポート番号)、通信種類(プロトコル)、通信データ量、通信時間、時間帯などで学習して、通常時(不正の疑いがないと思われる期間)の通信情報を導く。NW異常検知部32は、ユーザー情報毎、IPアドレス毎の通信履歴から学習した情報を用いて、今回の不正実施期間に、操作者が通信端末で行った通信が、学習した通信履歴に対してデータ量が際立って多い(例えば、履歴の平均データ量との差分値が閾値以上など)ときや、通常では行わない深夜時間帯に通信しているとき等には、学習した通信履歴に対して異常と判断する。
【0073】
上述した例のように、NW異常検知部32がNW異常を検知したときには、その旨を不正検知部12に通知する。また、NW異常検知部32は、操作者が通信端末で行った、ユーザ毎、IPアドレス毎の通信トラフィック情報を不正検知部12に通知してもよい。さらに、NW異常検知部32が、学習時に導出した通信履歴も不正検知部12に通知するようにしてもよい。
【0074】
次に、NW挙動データ収集部33は、NWデータ取得部31から取得したデータを、IPアドレス毎、ユーザー毎に分類して、どのサービス、どのサーバーと通信したか、どんなファイルを送受信したか、どこにメールを送信したか等のNW挙動に関する情報を収集して(S106)、そのNW挙動に関する情報を不正検知部12に通知する(S107)。
【0075】
つまり、NW挙動データ収集部33は、不正検知エスカレーション部11から通知された操作者のユーザー情報と、操作者が操作した通信端末のIPアドレスとに基づいて、通信端末を使用している操作者の挙動を示す情報を収集する。
【0076】
NW挙動データ収集部33は、操作者が使用している端末のIPアドレスを含むトラフィック情報の通信履歴から挙動を分析する。NW異常検知部32による普段と乖離した通信異常の検知に加えて、NW挙動データ収集部33が、NW挙動データを細かく収集し、「どのようなサーバーや、どのサービスにアクセスしたか」、「どのような種類のファイルにアクセスしたか」、「どのような種類の機密データにアクセスしたか」、「アクセス後、どのようなアクション(例えば、メール送信、USB着脱等)をしたのか」等を記録する。
【0077】
NW挙動データ収集部33が収集する情報は、センサー異常検知装置2でリアルに挙動不審と判定された者が、どこにアクセスして、何をしたのかというものなので、その者の行動が、本当に不正行為であるのか否かを判断することができる。
【0078】
NW挙動データ収集部33によるNW挙動データの一例を図3を参照しながら説明する。
【0079】
例えば、操作者が操作した通信端末のIPアドレスを含むトラフィック情報の通信履歴から、宛先アドレス(宛先IPアドレス、サーバ名等)、ポート番号、プロトコル等に基づいて、アクセスしたサーバを特定する。そのサーバがファイルサーバ(例えば、企業ネットワークでアクセス権限が付与されたサーバ)であるとき、どのファイル名のファイルにアクセスして閲覧したのかを解析する。このとき、サーバへのログイン試行回数や試行時の失敗回数、ファイルへのアクセス回数、ファイルのファイルサイズ等を記録する。さらに、ファイルアクセス後、NW挙動データ収集部33は、メールサーバにメールを送信しているか否かを確認し、メール送信の履歴がある場合、NW挙動データ収集部33は、メールサーバ、メール送信先、添付ファイルのファイルサイズ等を記録する。また、複数回のメール送信を行なっている場合には、メール送信回数もカウントする。このような行動を時刻に基づく時系列に従って通信挙動を作成する。
【0080】
また例えば、操作者の通信端末のアクセス先がWebサーバであれば、NW挙動データ収集部33は、どのWebサイトにアクセスしたかを記録し、通信端末又はIPアドレスからのログイン試行回数、当該通信端末又はIPアドレスから大量のユーザのログイン成功回数、Webサイトとの取引種別、取引金額、取引後にログイン情報(ID、パスワード)の変更をしたか等を記録する。
【0081】
不正と疑われる状態が続いている間、センサー異常検知部22はセンサー部21を用いた異常検知を続行する。不正と疑われる状態が終了すると、センサー異常検知部22は、不正と疑われる状態が終了した旨を示す不正疑惑解消情報を、不正解消検知部13に通知する(S109)。なお、不正疑惑解消情報は、例えば、操作者のユーザー情報及び又は端末識別情報等を含んでいる。
【0082】
不正疑惑解消情報を受信した不正解消検知部13は、不正検知部12に対して、対応するユーザー情報及び又は端末識別情報について、不正の疑いが解消したことを通知する(S110)。
【0083】
不正解消検知部13から不正の疑いが解消されたことを通知された不正検知部12は、NW異常検知部32とNW挙動データ収集部33に、エスカレーション解除を通知し、該当IPやユーザー名に対するNW異常検知とNW挙動データ収集を停止する。
【0084】
不正検知部12は、NW異常検知部32から普段とは違う通信状況の情報を受け取る。また、不正検知部12は、NW挙動データ収集部33から、例えば、ネットワーク上のアクセスしたサーバやファイル情報(ファイル名、ファイルサイズ等)、ログイン試行回数、メール送信した場合には、そのメール送信先、添付したファイル情報(ファイル名、ファイルサイズ等)を含む通信挙動情報を受け取る。そして、不正検知部12は、上述した通信状況の情報と、通信挙動情報とを用いて、不正の疑いがあった操作者による通信履歴を集約する。そして、総合的に不正行為があったか否かを判定する(S111)。
【0085】
例えば、NW異常検知部32からの通信状況情報から、普段とは異なり深夜時間帯の通信であり、NW挙動データ収集部33からの通信挙動情報から、特定のファイルサーバから、機密性の高いファイルにアクセスしたとする。さらに、NW挙動データ収集部33からの通信挙動情報から、その機密ファイルにアクセス後、外部のメール送信先に、複数回に亘ってファイルを添付したメールを送信したとする履歴があったとする。そうすると、不正検知部12は、不正の疑いが高いと判定する。
【0086】
また、不正検知部12は、センサー異常検知装置2からセンサー部21のセンシングデータを用いて不正検知してもよく、例えば、操作センサーが、USBメモリ等の記録媒体をPCに挿抜したこと、ファイルを記録媒体に記録したこと等の情報を用いて判定してもよい。
【0087】
不正検知部12は、例えば、勤務時間外から大きく外れた深夜時間帯又は休日の通信、高いアクセス権限のファイルサーバへのアクセス、機密性の高いファイルへのアクセス、ファイルアクセス後のメール送信等のように、不正行為と判定するための項目を事前に設定した不正判定リストを用意しておき、そのリストの項目に該当する挙動があった場合、不正行為と判定してもよい。項目は、重みを付けておいてもよい。
【0088】
そして、結果集約部14は、不正検知部12から判定結果を取得し(S112)、センサー部21の検知時刻、不正の疑いのある操作者のユーザー情報、端末識別情報、NW異常検知部32の検知時刻、異常とした通信状況情報、NW挙動データ収集部33の収集時刻、通信挙動、不正検知部12の判定結果を集約して結果を作成する(S113)。なお、結果集約部14が作成した結果はファイル記憶される。
【0089】
(A-3)実施形態の効果
以上のように、この実施形態によれば、リアルセンサーによる現実世界の異常検知によりユーザーの不正の疑いのある状況を検知して不正検知を開始し、NW異常検知とNW挙動データ収集により、該当ユーザーが何をやろうとしていたのかの情報を収集して、本当に不正を働いたのかを検知する効果が期待できる。
以上のように、この実施形態によれば、リアルセンサーによる現実世界の異常検知によりユーザーの不正の疑いのある状況を検知して不正検知を開始し、NW異常検知とNW挙動データ収集により、該当ユーザーが何をやろうとしていたのかの情報を収集して、本当に不正を働いたのかを検知する効果が期待できる。
【0090】
また、不正の疑いのままの情報であっても、結果集約部に蓄積されたデータの傾向を元に、長期にわたって不正を考えているユーザーの疑いなどを調査することができるという効果もある。
【0091】
(B)他の実施形態
上述した実施形態においても種々の変形実施形態を言及したが、本発明は、以下の変形実施形態にも適用できる。
上述した実施形態においても種々の変形実施形態を言及したが、本発明は、以下の変形実施形態にも適用できる。
【0092】
(B-1)上述した実施形態に加えて、不正検知部12が不正の可能性が高いと判断したときには、情報漏洩等を未然に防ぐ構成を備えるようにしてもよい。例えば、図1に例示するように、不正検知部12と接続可能な通信制御装置4を備え、この通信制御装置4が、メール遅延配送部、メール承認後配信部、通信中継部等の一部又は全部の機能を備えたり、これらの機能を制御可能としてもよい。すなわち、機密性の高いファイルを特定のメール送信先に送信しようとするときに、不正検知部12がメールを特定する情報を通信制御装置4に通知することで、通信制御装置4が、指定されたメールの送信を停止させ、情報漏洩などを防止できる。
【0093】
(B-2)上述した実施形態では、不正疑惑情報(不審情報)が不正検知エスカレーション部11に通知され、さらにNW異常検知部32及びNW挙動データ収集部33に通知されて、不正検知処理が開始する場合を例示したが、不正疑惑情報が、不正検知エスカレーション部11を介さず、NW異常検知部32及びNW挙動データ収集部33に直接通知されて、不正検知処理が開示してもよい。このような構成によっても本発明を実現できる。なお、システム実装上を考慮すると実施形態で説明した構成が望ましいが、上述した変形例でも同じ効果を奏する。
【符号の説明】
【0094】
10…不正検知システム、1…不正検知装置、11…不正検知エスカレーション部、12…不正検知部、13…不正解消検知部、14…結果集約部、2…センサー異常検知装置、21…センサー部、22…センサー異常検知部、23…データベース、3…通信監視システム、31…NWデータ取得部、32…NW異常検知部、321…データベース、33…NW挙動データ収集部、331…データベース、4…通信制御装置。
【図1】
【図2】
【図3】