知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024152317
(43)【公開日】2024-10-25
(54)【発明の名称】不正アクセス検出装置及び方法
(51)【国際特許分類】
G06F 21/60 20130101AFI20241018BHJP
G06F 21/62 20130101ALI20241018BHJP
【FI】
G06F21/60 340
G06F21/62 318
【審査請求】未請求
【請求項の数】9
【出願形態】OL
(21)【出願番号】P 2023066438
(22)【出願日】2023-04-14
(71)【出願人】
【識別番号】000005108
【氏名又は名称】株式会社日立製作所
(74)【代理人】
【識別番号】110002365
【氏名又は名称】弁理士法人サンネクスト国際特許事務所
(72)【発明者】
【氏名】和田 清美
(72)【発明者】
【氏名】増田 峰義
(57)【要約】
【課題】一時昇格されたアクセス権限の範囲でのアクセスが不正アクセスとして検出される可能性を低減する。
【解決手段】不正アクセス検出装置が、システムに対してされた昇格アクセス作業(一時昇格されたアクセス権限の範囲での操作)に関する昇格アクセス管理データを記憶装置に格納する。操作ログのソースである操作ログソースには、システムに対する昇格アクセス作業としての操作の操作ログが、昇格アクセス作業以外の操作の操作ログと同様に蓄積されるようになっている。不正アクセス検出装置は、操作ログソースから操作履歴(一つ以上の操作ログ)を取得し、操作履歴から特定される操作が昇格アクセス管理データから特定される操作に適合しない不正アクセスとしての操作であるか否かの判定である対処要否判定を行い、対処要否判定の結果を提供する。
【選択図】図1
【解決手段】不正アクセス検出装置が、システムに対してされた昇格アクセス作業(一時昇格されたアクセス権限の範囲での操作)に関する昇格アクセス管理データを記憶装置に格納する。操作ログのソースである操作ログソースには、システムに対する昇格アクセス作業としての操作の操作ログが、昇格アクセス作業以外の操作の操作ログと同様に蓄積されるようになっている。不正アクセス検出装置は、操作ログソースから操作履歴(一つ以上の操作ログ)を取得し、操作履歴から特定される操作が昇格アクセス管理データから特定される操作に適合しない不正アクセスとしての操作であるか否かの判定である対処要否判定を行い、対処要否判定の結果を提供する。
【選択図】図1
【特許請求の範囲】
【請求項1】
操作ログソースと通信可能に接続されるインターフェース装置と、
記憶装置と、
前記インターフェース装置及び記憶装置に接続されたプロセッサと
を備え、
前記操作ログソースは、ユーザにより操作対象システムに対してされた操作の操作ログのソースであり、
前記プロセッサは、前記操作対象システムに対してされた昇格アクセス作業に関するデータである昇格アクセス管理データを前記記憶装置に格納するようになっており、
前記昇格アクセス作業は、一時昇格されたアクセス権限の範囲での操作であり、
前記操作ログソースには、前記操作対象システムに対する前記昇格アクセス作業としての操作の操作ログが、昇格アクセス作業以外の操作の操作ログと同様に蓄積されるようになっており、
前記プロセッサは、
前記操作ログソースから一つ以上の操作ログである操作履歴を取得し、当該操作履歴を前記記憶装置に格納し、
前記記憶装置から昇格アクセス管理データを取得し、
前記操作履歴から特定される操作が前記昇格アクセス管理データから特定される操作に適合しない不正アクセスとしての操作であるか否かの判定である対処要否判定を行い、
前記対処要否判定の結果を提供する、
不正アクセス検出装置。
記憶装置と、
前記インターフェース装置及び記憶装置に接続されたプロセッサと
を備え、
前記操作ログソースは、ユーザにより操作対象システムに対してされた操作の操作ログのソースであり、
前記プロセッサは、前記操作対象システムに対してされた昇格アクセス作業に関するデータである昇格アクセス管理データを前記記憶装置に格納するようになっており、
前記昇格アクセス作業は、一時昇格されたアクセス権限の範囲での操作であり、
前記操作ログソースには、前記操作対象システムに対する前記昇格アクセス作業としての操作の操作ログが、昇格アクセス作業以外の操作の操作ログと同様に蓄積されるようになっており、
前記プロセッサは、
前記操作ログソースから一つ以上の操作ログである操作履歴を取得し、当該操作履歴を前記記憶装置に格納し、
前記記憶装置から昇格アクセス管理データを取得し、
前記操作履歴から特定される操作が前記昇格アクセス管理データから特定される操作に適合しない不正アクセスとしての操作であるか否かの判定である対処要否判定を行い、
前記対処要否判定の結果を提供する、
不正アクセス検出装置。
【請求項2】
前記昇格アクセス管理データは、前記昇格アクセス作業がされた時間範囲と、前記昇格アクセス作業を行ったユーザのアカウントIDと、前記操作対象システムのうちの前記昇格アクセス作業の対象としてのアクセス元及びアクセス先と、前記昇格アクセス作業としての操作に対応のイベント種別とのうちの少なくとも一つを表すデータを含み、
前記操作履歴における一つ以上の操作ログの各々は、操作がされた時刻と、操作を行ったユーザのアカウントIDと、前記操作対象システムのうちの操作対象としてのアクセス先と、操作に対応のイベント種別とのうちの少なくとも一つを表すデータを含み、
前記対処要否判定は、前記操作履歴が表す時間と前記昇格アクセス管理データが表す時間範囲との比較、前記操作履歴が表すアクセス元と前記昇格アクセス管理データが表すアクセス元との比較、前記操作履歴が表すアクセス先と前記昇格アクセス管理データが表すアクセス先との比較、前記操作履歴が表すアカウントIDと前記昇格アクセス管理データが表すアカウントIDとの比較、及び、前記操作履歴が表すイベント種別と前記昇格アクセス管理データが表すイベント種別との比較、のうちの少なくとも一つの比較を含み、
前記対処要否判定の結果は、前記操作履歴が表す時間が前記時間範囲から外れた時間である、アカウントIDが不一致である、互いに一致するアクセス先が無い、及び、互いに一致するイベント種別が無い、のうちの少なくとも一つの場合に、不正アクセスを表す結果である、
請求項1に記載の不正アクセス検出装置。
前記操作履歴における一つ以上の操作ログの各々は、操作がされた時刻と、操作を行ったユーザのアカウントIDと、前記操作対象システムのうちの操作対象としてのアクセス先と、操作に対応のイベント種別とのうちの少なくとも一つを表すデータを含み、
前記対処要否判定は、前記操作履歴が表す時間と前記昇格アクセス管理データが表す時間範囲との比較、前記操作履歴が表すアクセス元と前記昇格アクセス管理データが表すアクセス元との比較、前記操作履歴が表すアクセス先と前記昇格アクセス管理データが表すアクセス先との比較、前記操作履歴が表すアカウントIDと前記昇格アクセス管理データが表すアカウントIDとの比較、及び、前記操作履歴が表すイベント種別と前記昇格アクセス管理データが表すイベント種別との比較、のうちの少なくとも一つの比較を含み、
前記対処要否判定の結果は、前記操作履歴が表す時間が前記時間範囲から外れた時間である、アカウントIDが不一致である、互いに一致するアクセス先が無い、及び、互いに一致するイベント種別が無い、のうちの少なくとも一つの場合に、不正アクセスを表す結果である、
請求項1に記載の不正アクセス検出装置。
【請求項3】
前記インターフェース装置は、リアルタイムでセキュリティイベントを検知するイベント管理システムと通信可能に接続され、
前記プロセッサは、
前記イベント管理システムにより検知されたセキュリティイベントを表すデータであるイベントデータを、前記インターフェース装置を通じて受信し、当該イベントデータを前記記憶装置に格納し、
前記操作履歴として、前記イベントデータが表すセキュリティイベントに対応の操作の操作ログを含む一つ以上の操作ログを前記操作ログソースから取得し、
前記対処要否判定の結果を、前記記憶装置におけるイベントデータに関連付ける、
請求項1に記載の不正アクセス検出装置。
前記プロセッサは、
前記イベント管理システムにより検知されたセキュリティイベントを表すデータであるイベントデータを、前記インターフェース装置を通じて受信し、当該イベントデータを前記記憶装置に格納し、
前記操作履歴として、前記イベントデータが表すセキュリティイベントに対応の操作の操作ログを含む一つ以上の操作ログを前記操作ログソースから取得し、
前記対処要否判定の結果を、前記記憶装置におけるイベントデータに関連付ける、
請求項1に記載の不正アクセス検出装置。
【請求項4】
前記プロセッサは、
定期的に、又は、前回の対処要否判定のために操作履歴が取得されてから前記操作ログソースに一定量以上の操作ログが蓄積された場合に、前記操作ログソースから操作履歴を取得し、
前記対処要否判定の結果を、前記記憶装置における操作ログに関連付ける、
請求項1に記載の不正アクセス検出装置。
定期的に、又は、前回の対処要否判定のために操作履歴が取得されてから前記操作ログソースに一定量以上の操作ログが蓄積された場合に、前記操作ログソースから操作履歴を取得し、
前記対処要否判定の結果を、前記記憶装置における操作ログに関連付ける、
請求項1に記載の不正アクセス検出装置。
【請求項5】
一時昇格されたアクセス権限の範囲は、割り当てられたロールと、当該ロールに関連付けられそれぞれがイベント種別に対応する一つ又は複数のアクションを含み、
前記昇格アクセス管理データは、前記昇格アクセス作業としての操作に対応のイベント種別を表すデータを含み、
操作ログは、操作に対応のイベント種別を表すデータを含み、
前記プロセッサは、
同一のロールを含む一つ又は複数の昇格アクセス作業の昇格アクセス管理データから、イベント種別毎に、昇格アクセス作業の数をカウントし、
イベント種別毎のカウントされた昇格アクセス作業の数と、前記一時昇格されたアクセス権限の範囲におけるアクションとを比較する又は提供する、
請求項1に記載の不正アクセス検出装置。
前記昇格アクセス管理データは、前記昇格アクセス作業としての操作に対応のイベント種別を表すデータを含み、
操作ログは、操作に対応のイベント種別を表すデータを含み、
前記プロセッサは、
同一のロールを含む一つ又は複数の昇格アクセス作業の昇格アクセス管理データから、イベント種別毎に、昇格アクセス作業の数をカウントし、
イベント種別毎のカウントされた昇格アクセス作業の数と、前記一時昇格されたアクセス権限の範囲におけるアクションとを比較する又は提供する、
請求項1に記載の不正アクセス検出装置。
【請求項6】
前記対処要否判定の結果の提供は、画面の提供であり、
前記画面は、前記対処要否判定の結果を表す情報と、前記操作履歴を表す情報と、前記昇格アクセス管理データが表す情報とを表示する画面である、
請求項1に記載の不正アクセス検出装置。
前記画面は、前記対処要否判定の結果を表す情報と、前記操作履歴を表す情報と、前記昇格アクセス管理データが表す情報とを表示する画面である、
請求項1に記載の不正アクセス検出装置。
【請求項7】
前記記憶装置が、前記プロセッサにより実行される複数のワークフローを記憶し、
前記複数のワークフローは、昇格アクセス作業に関するワークフローである昇格アクセスワークフローと、前記対処要否判定が関連付けられているワークフローである判定ワークフローとを含み、
前記プロセッサは、前記昇格アクセスワークフローの実行において、昇格アクセス管理データを前記記憶装置に格納するようになっており、
前記プロセッサは、前記判定ワークフローの実行において、前記操作履歴の取得及び格納、前記昇格アクセス管理データの取得、前記対処要否判定、及び、前記対処要否判定の結果の提供を行うようになっている、
請求項1に記載の不正アクセス検出装置。
前記複数のワークフローは、昇格アクセス作業に関するワークフローである昇格アクセスワークフローと、前記対処要否判定が関連付けられているワークフローである判定ワークフローとを含み、
前記プロセッサは、前記昇格アクセスワークフローの実行において、昇格アクセス管理データを前記記憶装置に格納するようになっており、
前記プロセッサは、前記判定ワークフローの実行において、前記操作履歴の取得及び格納、前記昇格アクセス管理データの取得、前記対処要否判定、及び、前記対処要否判定の結果の提供を行うようになっている、
請求項1に記載の不正アクセス検出装置。
【請求項8】
前記操作対象システムは、クラウド環境におけるシステムであり、一つ又は複数のクラウドコンピューティングサービスを持つシステムである、
請求項1に記載の不正アクセス検出装置。
請求項1に記載の不正アクセス検出装置。
【請求項9】
コンピュータが、ユーザにより操作対象システムに対してされた昇格アクセス作業に関するデータである昇格アクセス管理データを記憶装置に格納し、
前記昇格アクセス作業は、一時昇格されたアクセス権限の範囲での操作であり、
ユーザにより操作対象システムに対してされた操作の操作ログのソースである操作ログソースには、前記操作対象システムに対する前記昇格アクセス作業としての操作の操作ログが、昇格アクセス作業以外の操作の操作ログと同様に蓄積されるようになっており、
コンピュータが、前記操作ログソースから一つ以上の操作ログである操作履歴を取得し、当該操作履歴を前記記憶装置に格納し、
コンピュータが、前記記憶装置から昇格アクセス管理データを取得し、
コンピュータが、前記操作履歴から特定される操作が前記昇格アクセス管理データから特定される操作に適合しない不正アクセスとしての操作であるか否かの判定である対処要否判定を行い、
コンピュータが、前記対処要否判定の結果を提供する、
不正アクセス検出方法。
前記昇格アクセス作業は、一時昇格されたアクセス権限の範囲での操作であり、
ユーザにより操作対象システムに対してされた操作の操作ログのソースである操作ログソースには、前記操作対象システムに対する前記昇格アクセス作業としての操作の操作ログが、昇格アクセス作業以外の操作の操作ログと同様に蓄積されるようになっており、
コンピュータが、前記操作ログソースから一つ以上の操作ログである操作履歴を取得し、当該操作履歴を前記記憶装置に格納し、
コンピュータが、前記記憶装置から昇格アクセス管理データを取得し、
コンピュータが、前記操作履歴から特定される操作が前記昇格アクセス管理データから特定される操作に適合しない不正アクセスとしての操作であるか否かの判定である対処要否判定を行い、
コンピュータが、前記対処要否判定の結果を提供する、
不正アクセス検出方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、概して、不正アクセスの検出に関する。
【背景技術】
【0002】
クラウド環境(例えばパブリッククラウド環境)のシステムでは複数箇所を通じて不正にアクセスされる可能性がある。また、クラウド環境に限らず、不正アクセスは巧妙になっている。
【0003】
特許文献1に開示の技術は、イベントから診断情報を取得し、イベント間の相関関係に基づいてグラフデータ構造を生成し、侵入者のトレースをトラッキングして、活動の様子を知る。
【0004】
特許文献2に開示の技術は、リソースに関連付けられたアクセス権限を、リソース及び権限の属性に基づいてリスクの大きさをスコアリングする。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】US10521584
【特許文献2】US11323470
【発明の概要】
【発明が解決しようとする課題】
【0006】
一時的にアクセス権限を昇格しその昇格したアクセス権限の範囲でのアクセスを許容する技術が知られている。
【0007】
しかし、アクセス権限の昇格は一時的であるため、一時昇格されたアクセス権限の範囲での正当なアクセスが不正アクセスとして誤検出されることが増える可能性が考えられる。不正アクセスには確認や対処が必要なため、不正アクセスとの誤検出が増えると、確認や対処の負担が大きい。
【課題を解決するための手段】
【0008】
不正アクセス検出装置が、ユーザにより操作対象システムに対してされた昇格アクセス作業(一時昇格されたアクセス権限の範囲での操作)に関するデータである昇格アクセス管理データを記憶装置に格納する。ユーザにより操作対象システムに対してされた操作の操作ログのソースである操作ログソースがあるが、操作ログソースには、操作対象システムに対する昇格アクセス作業としての操作の操作ログが、昇格アクセス作業以外の操作の操作ログと同様に蓄積されるようになっている。不正アクセス検出装置は、操作ログソースから一つ以上の操作ログである操作履歴を取得し、当該操作履歴を記憶装置に格納し、また、記憶装置から昇格アクセス管理データを取得する。不正アクセス検出装置は、操作履歴から特定される操作が昇格アクセス管理データから特定される操作に適合しない不正アクセスとしての操作であるか否かの判定である対処要否判定を行い、対処要否判定の結果を提供する。
【発明の効果】
【0009】
本発明により、一時昇格されたアクセス権限の範囲でのアクセスが不正アクセスとして検出される可能性を低減することができる。
【図面の簡単な説明】
【0010】
【図1】本発明の一実施形態に係る不正アクセス検出装置を含むシステム全体の構成図。
【図2】不正アクセス検出装置の構成図。
【図3】昇格アクセスワークフローの模式図。
【図4】イベントワークフローの模式図。
【図5】ログワークフローの模式図。
【図6】評価ワークフローの模式図。
【図7A】構成テーブルの構成図。
【図7B】権限テーブルの構成図。
【図7C】実績テーブルの構成図。
【図8A】イベントテーブルの構成図。
【図8B】条件テーブルの構成図。
【図8C】履歴テーブルの構成図。
【図8D】作業テーブルの構成図。
【図9A】予実績テーブルの構成図。
【図9B】ワークフローログテーブルの構成図。
【図10】対処要否判定処理のフロー図。
【図11】使用実績収集処理のフロー図。
【図12】セキュリティイベント画面の模式図。
【図13】監査ログ画面の模式図。
【図14】アクセス権限画面の模式図。
【発明を実施するための形態】
【0011】
以下の説明では、「インターフェース装置」は、一つ以上のインターフェースデバイスでよい。当該一つ以上のインターフェースデバイスは、下記のうちの少なくとも一つでよい。
・一つ以上のI/O(Input/Output)インターフェースデバイス。I/O(Input/Output)インターフェースデバイスは、I/Oデバイスと遠隔の表示用計算機とのうちの少なくとも一つに対するインターフェースデバイスである。表示用計算機に対するI/Oインターフェースデバイスは、通信インターフェースデバイスでよい。少なくとも一つのI/Oデバイスは、ユーザインターフェースデバイス、例えば、キーボード及びポインティングデバイスのような入力デバイスと、表示デバイスのような出力デバイスとのうちのいずれでもよい。
・一つ以上の通信インターフェースデバイス。一つ以上の通信インターフェースデバイスは、一つ以上の同種の通信インターフェースデバイス(例えば一つ以上のNIC(Network Interface Card))であってもよいし二つ以上の異種の通信インターフェースデバイス(例えばNICとHBA(Host Bus Adapter))であってもよい。
・一つ以上のI/O(Input/Output)インターフェースデバイス。I/O(Input/Output)インターフェースデバイスは、I/Oデバイスと遠隔の表示用計算機とのうちの少なくとも一つに対するインターフェースデバイスである。表示用計算機に対するI/Oインターフェースデバイスは、通信インターフェースデバイスでよい。少なくとも一つのI/Oデバイスは、ユーザインターフェースデバイス、例えば、キーボード及びポインティングデバイスのような入力デバイスと、表示デバイスのような出力デバイスとのうちのいずれでもよい。
・一つ以上の通信インターフェースデバイス。一つ以上の通信インターフェースデバイスは、一つ以上の同種の通信インターフェースデバイス(例えば一つ以上のNIC(Network Interface Card))であってもよいし二つ以上の異種の通信インターフェースデバイス(例えばNICとHBA(Host Bus Adapter))であってもよい。
【0012】
また、以下の説明では、「メモリ」は、一つ以上の記憶デバイスの一例である一つ以上のメモリデバイスであり、典型的には主記憶デバイスでよい。メモリにおける少なくとも一つのメモリデバイスは、揮発性メモリデバイスであってもよいし不揮発性メモリデバイスであってもよい。
【0013】
また、以下の説明では、「永続記憶装置」は、一つ以上の記憶デバイスの一例である一つ以上の永続記憶デバイスでよい。永続記憶デバイスは、典型的には、不揮発性の記憶デバイス(例えば補助記憶デバイス)でよく、具体的には、例えば、HDD(Hard Disk Drive)、SSD(Solid State Drive)、NVME(Non-Volatile Memory Express)ドライブ、又は、SCM(Storage Class Memory)でよい。
【0014】
また、以下の説明では、「プロセッサ」は、一つ以上のプロセッサデバイスでよい。少なくとも一つのプロセッサデバイスは、典型的には、CPU(Central Processing Unit)のようなマイクロプロセッサデバイスでよいが、GPU(Graphics Processing Unit)のような他種のプロセッサデバイスでもよい。少なくとも一つのプロセッサデバイスは、シングルコアでもよいしマルチコアでもよい。少なくとも一つのプロセッサデバイスは、プロセッサコアでもよい。少なくとも一つのプロセッサデバイスは、処理の一部又は全部を行うハードウェア記述言語によりゲートアレイの集合体である回路(例えばFPGA(Field-Programmable Gate Array)、CPLD(Complex Programmable Logic Device)又はASIC(Application Specific Integrated Circuit))といった広義のプロセッサデバイスでもよい。
【0015】
また、以下の説明では、「yyy部」の表現にて機能を説明することがあるが、機能は、1つ以上のコンピュータプログラムがプロセッサによって実行されることで実現されてもよいし、1つ以上のハードウェア回路(例えばFPGA又はASIC)によって実現されてもよいし、それらの組合せによって実現されてもよい。プログラムがプロセッサによって実行されることで機能が実現される場合、定められた処理が、適宜に記憶装置及び/又はインターフェース装置等を用いながら行われるため、機能はプロセッサの少なくとも一部とされてもよい。機能を主語として説明された処理は、プロセッサあるいはそのプロセッサを有する装置が行う処理としてもよい。プログラムは、プログラムソースからインストールされてもよい。プログラムソースは、例えば、プログラム配布計算機又は計算機が読み取り可能な記録媒体(例えば非一時的な記録媒体)であってもよい。各機能の説明は一例であり、複数の機能が1つの機能にまとめられたり、1つの機能が複数の機能に分割されたりしてもよい。
【0016】
また、以下の説明では、「xxxテーブル」といった表現にて、入力に対して出力が得られるデータを説明することがあるが、当該データは、どのような構造のデータでもよいし(例えば、構造化データでもよいし非構造化データでもよいし)、入力に対する出力を発生するニューラルネットワーク、遺伝的アルゴリズムやランダムフォレストに代表されるような学習モデルでもよい。従って、「xxxテーブル」を「xxxデータ」と言うことができる。また、以下の説明において、各テーブルの構成は一例であり、一つのテーブルは、二つ以上のテーブルに分割されてもよいし、二つ以上のテーブルの全部又は一部が一つのテーブルであってもよい。
【0017】
また、以下の説明では、同種の要素を区別しないで説明する場合には、参照符号のうちの共通符号を使用し、同種の要素を区別して説明する場合には、参照符号を使用することがある。
【0018】
本発明の一実施形態を、図を用いて説明する。また、図面では、適宜、「ワークフロー」を「WF」と表記する。
【0019】
図1は、本発明の一実施形態に係る不正アクセス検出装置を含むシステム全体の構成図である。
【0020】
本実施形態では、ユーザアカウント活動101(例えば、クラウド環境の操作)、クラウドサービス102(例えば、クラウド環境上のクラウドコンピューティングサービス内の操作)、又は、ユーザアプリ103(例えば、アプリケーション内の操作)といったシステムユーザ操作(システムに対するユーザによる操作)により、操作ログが生成される。生成された操作ログは、ログ収集機構104により収集される。ログ収集機構104は、操作されたシステム内の機能でもよいし、操作され得る複数のシステムの外部のシステムに設けられた機能でもよい。ログ収集機構104は、収集した操作ログを、監査ログ記憶装置105に保存する、及び/又は、SIEM(Security Information and Event Management)106に送信する。SIEMは、操作ログを基に、リアルタイムにセキュリティイベントを検知する。SIEMは、セキュリティイベントを検知するシステムの一例である。監査ログ記憶装置105は、監査対象としての操作ログである監査ログが格納される記憶装置である。
【0021】
不正アクセス検出装置107(例えばサーバ)が構築されている。不正アクセス検出装置107は、運用自動化システムと呼ばれてもよい。不正アクセス検出装置107は、定義されたワークフローに従って、プロセスを実行する。本実施形態において、「ワークフロー」とは、処理の順序が定義されたプログラムであり、実施する処理に応じてプログラムとしてのプロセスを呼び出す。ワークフローとしては、例えば、昇格アクセスワークフロー108、イベントワークフロー109、ログワークフロー110、及び、評価ワークフロー111がある。
【0022】
不正アクセス検出装置107でワークフローを実行すると、各プロセスの作業データや実行結果が生成され保存される。具体的には、例えば、昇格アクセスワークフロー108は、各プロセスの作業データや実行結果を作業テーブル112に格納する。イベントワークフロー109及びログワークフロー110は、監査ログ記憶装置105と作業テーブル112からデータを読み出し、インシデント対処要否判定を実施する。評価ワークフロー111は、作業テーブル112からデータを読み出し、アクセス権限の実績を評価し、その評価の結果を出力する。
【0023】
一つ又は複数のクライアントPC113が不正アクセス検出装置107と通信可能に接続される(「PC」はパーソナルコンピュータの略)。クライアントPC113は、例えば、システム運用チームのメンバ(以下、運用ユーザ)、又は、セキュリティチームのメンバ(以下、セキュリティユーザ)に使用される。運用ユーザ及びセキュリティユーザの各々は、クライアントPC113を用いて、不正アクセス検出装置107へアクセスする。
【0024】
なお、「システム運用チーム」とは、システムの運用を行うチームである。運用ユーザは、システムユーザ操作101~103のいずれかを行うユーザでもよい。また、運用ユーザは、クライアントPC113を用いてシステムユーザ操作を行ってもよい。「セキュリティチーム」とは、検出された不正アクセスに対処するチームである。
【0025】
図2は、不正アクセス検出装置107の構成図である。
【0026】
不正アクセス検出装置107は、メモリ201、永続記憶装置203、インターフェース装置204、及び、それらに接続されたプロセッサ202を有する。
【0027】
監査ログ記憶装置105及びSIEM106からのデータや、クライアントPC113と(例えばWebブラウザ経由)で入出力されるデータは、インターフェース装置204及び通信ネットワーク50を経由する。
【0028】
メモリ201は、昇格アクセスワークフロー108、イベントワークフロー109、ログワークフロー110、評価ワークフロー111、及び、プロセス群40(複数のプロセス)を記憶する。これらのワークフロー108~111及びプロセス群40は、プロセッサ202により実行される。プロセス群40における各プロセスは、当該プロセスが関連付けられているワークフローにより呼び出される。
【0029】
永続記憶装置203は、構成テーブル212、権限テーブル213、実績テーブル214、イベントテーブル215、条件テーブル216、履歴テーブル217、作業テーブル112、予実績テーブル218及びワークフローログテーブル219を記憶する。
【0030】
図3は、昇格アクセスワークフローの模式図である。なお、図3を参照した説明において、運用作業者及び上位管理者は、それぞれクライアントPC113を用いてデータの入出力を行う。また、運用作業者は、運用ユーザでよく、上位管理者は、別の運用ユーザでもよいし、セキュリティユーザでもよいし、又は他種のユーザでもよい。運用作業者と上位管理者の対応関係は、図示しないテーブルから特定されてよい。
【0031】
昇格アクセスワークフロー108は、一時的なアクセス権限の昇格に関するフローを表す。昇格アクセスワークフロー108には、作業申請プロセス301、上位管理者承認プロセス302、運用作業プロセス303、及び、上位管理者確認プロセス304が関連付けられている。昇格アクセスワークフロー108は、適宜に、これらのプロセスを呼び出す。昇格アクセスワークフロー108の実行において、適宜に、予実績テーブル218及びワークフローログテーブル219にデータが入出力される。
【0032】
作業申請プロセス301は、例えば、運用作業者から作業申請を昇格アクセスワークフロー108が受け付けた場合に呼び出される。作業申請プロセス301は、運用作業者から作業申請データ305の入力を受け付ける。作業申請データ305は、作業申請を表すデータであり、例えば、申請対象の作業の内容を表すデータ(例えば、アクセス元、アクセス先、及び、アクセス先を持つシステムのシステム名)を含む。作業申請プロセス301は、作業申請データが有するデータを、作業テーブル112に保存する。
【0033】
上位管理者承認プロセス302は、例えば、作業申請プロセス301が終了した場合に呼び出される。上位管理者承認プロセス302は、作業テーブル112に保存されたデータが表す作業申請を上位管理者に提供する。上位管理者承認プロセス302は、提供した作業申請に対し上位管理者から承認を受け付けた場合、作業申請から特定されるアクションをキーに権限テーブル213を参照し、当該アクションの実施に必要なアクセス権限に関するデータ(例えば、ロール名やポリシー名)を上位管理者に提供する。上位管理者承認プロセス302は、提供されたデータに基づき上位管理者により決定された設定権限データを上位管理者から受け付ける。設定権限データは、作業申請に対し許可されるアクセス権限(設定対象)を表すデータであり、例えば、ロール名、有効期限及びチケットIDを表すデータを含む。上位管理者承認プロセス302は、設定権限データを作業テーブル112に保存する。上位管理者承認プロセス302により作業申請が承認されたことは、上位管理者承認プロセス302により運用作業者に提供されてよい。
【0034】
運用作業プロセス303は、例えば、上位管理者承認プロセス302が終了し作業申請が承認されている場合に呼び出される。運用作業プロセス303は、運用作業者から運用作業に必要なパラメータデータ308の入力を受け付け、運用作業者による操作に従い運用作業を実行し、作業完了を作業テーブル112に登録する。
【0035】
上位管理者確認プロセス304は、例えば、運用作業プロセス303が終了した場合に呼び出される。上位管理者確認プロセス304は、作業テーブル112と予実績テーブル218とワークフローログテーブル219からデータを読み出し、読み出されたデータを上位管理者に提供する。上位管理者確認プロセス304は、上位管理者から実行結果の確認を受け付け、一時昇格されたアクセス権限の無効化を確認する。例えば、運用作業プロセス303により作業完了が作業テーブル112に登録された場合に、運用作業プロセス303又は上位管理者確認プロセス304が、一時昇格されたアクセス権限の無効を権限テーブル213に登録してよく、その後、上位管理者確認プロセス304が、その無効を確認してよい。
【0036】
図4は、イベントワークフローの模式図である。
【0037】
イベントワークフロー109は、セキュリティイベントの正当性の判定に関するフローを表す。イベントワークフロー109には、履歴収集プロセス401、作業収集プロセス402、判定プロセス403、及び、調査収集プロセス404が関連付けられている。イベントワークフロー109は、適宜に、これらのプロセスを呼び出す。イベントワークフロー109の実行において、適宜に、予実績テーブル218とワークフローログテーブル219にデータが入出力される。イベントワークフロー109は、例えば、SIEM106によりセキュリティイベントが検知され当該セキュリティイベントを表すデータがイベントテーブル215に格納される都度に開始されてよい。
【0038】
履歴収集プロセス401は、例えば、イベントワークフロー109が開始したときに呼び出される。履歴収集プロセス401は、イベントテーブル215及び構成テーブル212からデータを読み出し、それらのデータに基づき操作ログのフィルタリング条件を決定し、決定したフィルタリング条件を条件テーブル216に設定する。操作ログのフィルタリング条件は予め設定されていてもよい。履歴収集プロセス401は、条件テーブル216に設定されたフィルタリング条件に該当する操作ログを監査ログ記憶装置105から収集し、収集された操作ログを履歴テーブル217に保存する。保存される操作ログは、セキュリティイベントの原因としての操作に対応の操作ログである。すなわち、本実施形態では、各セキュリティイベントには、一つ以上の操作ログが対応する。
【0039】
作業収集プロセス402は、例えば、履歴収集プロセス401が終了した場合に(又は、履歴収集プロセス401と並行して)呼び出される。作業収集プロセス402は、イベントテーブル215及び構成テーブル212からデータを読み出し、それらのデータを基に、昇格アクセス作業のフィルタリング条件を決定し、決定したフィルタリング条件を条件テーブル216に設定する。「昇格アクセス作業」とは、昇格アクセスワークフロー108の実行において運用作業者(運用ユーザ)により実施された作業(一時昇格されたアクセス権限の範囲での操作としてのアクセス作業)である。昇格アクセス作業のフィルタリング条件は予め設定されていてもよい。作業収集プロセス402は、条件テーブル216に設定されたフィルタリング条件に該当する昇格アクセス作業を表す作業データを作業テーブル112から特定する。
【0040】
判定プロセス403は、例えば、履歴収集プロセス401及び作業収集プロセス402が終了した場合に呼び出される。判定プロセス403は、履歴収集プロセス401により履歴テーブル217に保存された操作ログ(セキュリティイベントに対応の操作ログ)と、作業収集プロセス402により作業テーブル112から特定された作業データとの比較を含む対処要否判定処理を実行する。判定プロセス403は、当該処理の結果をイベントテーブル215に登録する(操作ログに対応のセキュリティイベントに、当該結果を関連付ける)。
【0041】
調査収集プロセス404は、例えば、判定プロセス403による判定の結果が、操作ログに対応のセキュリティイベントが不正アクセスを表す又は不正アクセスを原因とすることを表す場合に、呼び出される。調査収集プロセス404は、履歴テーブル217と作業テーブル112と構成テーブル212からデータを読み出し、それらのデータを基に、調査対象とする操作ログのフィルタリング条件を決定し、決定したフィルタリング条件を条件テーブル216に設定する。調査収集プロセス404は、条件テーブル216に設定されたフィルタリング条件に該当する操作ログを監査ログ記憶装置105から収集し、収集された操作ログを履歴テーブル217に保存する。
【0042】
図5は、ログワークフローの模式図である。
【0043】
ログワークフロー110は、監査ログの正当性の判定に関するフローを表す。ログワークフロー110には、履歴収集プロセス501、作業収集プロセス502、判定プロセス403、及び、調査収集プロセス404が関連付けられている。ログワークフロー110は、適宜に、これらのプロセスを呼び出す。ログワークフロー110の実行において、適宜に、予実績テーブル218とワークフローログテーブル219にデータが入出力される。ログワークフロー110は、定期的に、又は、直前回のログワークフロー110の実行から一定量の操作ログが監査ログ記憶装置105に格納される都度に、開始されてよい。
【0044】
履歴収集プロセス501は、例えば、ログワークフロー110が開始したときに呼び出される。履歴収集プロセス501は、レビュー対象(例えば、操作ログに関する操作範囲及び操作実施期間を表すデータ)505を取得する。レビュー対象505は、予め登録されているデータでよい。履歴収集プロセス501は、レビュー対象505と構成テーブル212内のデータとを基に、操作ログのフィルタリング条件を決定し、決定したフィルタリング条件を条件テーブル216に設定する。操作ログのフィルタリング条件は予め設定されていてもよい。履歴収集プロセス501は、条件テーブル216に設定されたフィルタリング条件に該当する操作ログを監査ログ記憶装置105から収集し、収集された操作ログを履歴テーブル217に保存する。
【0045】
作業収集プロセス502は、例えば、履歴収集プロセス501が終了した場合に(又は、履歴収集プロセス501と並行して)呼び出される。作業収集プロセス502は、レビュー対象505と構成テーブル212内のデータとを基に、昇格アクセス作業のフィルタリング条件を決定し、決定したフィルタリング条件を条件テーブル216に設定する。昇格アクセス作業のフィルタリング条件は予め設定されていてもよい。作業収集プロセス502は、条件テーブル216に設定されたフィルタリング条件に該当する昇格アクセス作業を表す作業データを作業テーブル112から特定する。
【0046】
判定プロセス403は、例えば、履歴収集プロセス501及び作業収集プロセス502が終了した場合に呼び出される。調査収集プロセス404は、例えば、判定プロセス403による判定の結果が、収集された操作ログから不正アクセスが特定されたことを表す場合に、呼び出される。判定プロセス403及び調査収集プロセス404が行う処理は、図4を参照して説明した処理と同様である。
【0047】
図6は、評価ワークフローの模式図である。
【0048】
評価ワークフロー111は、アクセス権限の実績の評価に関するフローを表す。評価ワークフロー111には、作業収集プロセス502及び実績収集プロセス601が関連付けられている。評価ワークフロー111は、適宜に、これらのプロセスを呼び出す。評価ワークフロー111の実行において、適宜に、予実績テーブル218及びワークフローログテーブル219にデータが入出力される。評価ワークフロー111は、定期的に開始されてよい。
【0049】
作業収集プロセス502は、例えば、評価ワークフロー111が開始したときに呼び出される。
【0050】
実績収集プロセス601は、例えば、作業収集プロセス502が終了した場合に呼び出される。実績収集プロセス601は、作業テーブル112内のデータを基に、データのフィルタリング条件を決定し、決定したフィルタリング条件を条件テーブル216に設定する。実績収集プロセス601は、条件テーブル216に設定されたフィルタリング条件に該当するデータを予実績テーブル218及びワークフローログテーブル219から読み出し、読み出されたデータから実績を特定し、特定された実績を表すデータを実績テーブル214に保存する。
【0051】
図7Aは、構成テーブル212の構成図である。
【0052】
構成テーブル212は、システムユーザ操作の対象になり得るシステム毎に当該システムの構成を表す。構成テーブル212は、システムユーザ操作の対象になり得るシステム毎にレコードを有する。レコードは、システム名701といった情報を有し、且つ、システムが有するサービス毎に、サブレコードを有する。サブレコードは、サービス種別702、サービスID703、OS種別704、ソフトウェア種別705、ソフトウェア名706、IPアドレス707、ポート番号708、ストレージ種別709及び容量710といった情報を有する。また、本実施形態において、システムユーザ操作の対象になり得るシステムは、クラウド環境におけるシステムでよく、システムにおけるサービスは、クラウドコンピューティングサービスでよい。
【0053】
システム名701は、システムの名前を表す。サービス種別702は、サービスの種別の名前を表す。サービスID703は、サービスのIDを表す。OS種別704は、サービスを提供するソフトウェアのOSの種別を表す。ソフトウェア種別705は、サービスを提供するソフトウェアの種別を表す。ソフトウェア名706は、サービスを提供するソフトウェアの名前を表す。IPアドレス707は、サービスのIPアドレスを表す。ポート番号708は、サービスのポート番号を表す。ストレージ種別709は、サービスが提供するストレージの種別を表す。容量710は、サービスが提供するストレージの容量を表す。
【0054】
図7Bは、権限テーブル213の構成図である。
【0055】
権限テーブル213は、複数のアクセス権限の各々について、アクセス権限と有効か無効かを表す。権限テーブル213は、アクセス権限毎にレコードを有する。レコードは、ロール名711、許可712、ポリシー名713及びアクション714といった情報を有する。
【0056】
ロール名711は、アクセス権限としてのロールの名前を表す。許可712は、アクセス権限が有効か無効かを表す。ポリシー名713は、アクセス権限のポリシーの名前を表す。同一のロールに対して複数のポリシーが存在してよく、アクセス権限は、ロール名と、そのロール名に対応の複数のポリシー名のうちの任意のポリシー名とを含んでよい。アクション714は、ポリシーに関連付けられた一つ又は複数のアクションを表す。
【0057】
アクセス権限に関し、許可712が“有効”の場合、そのアクセス権限のアクション714に定義されている各アクションが、正当なアクション(操作)である。「ポリシー」は、定義された一つ以上のアクションの集合に相当してよい。
【0058】
図7Cは、実績テーブル214の構成図である。
【0059】
実績テーブル214は、アクセス権限毎の使用実績を表す。実績テーブル214は、アクセス権限毎にレコードを有する。レコードは、ロール名715、イベント種別716及び使用回数717といった情報を有する。
【0060】
ロール名715は、アクセス権限としてのロールの名前を表す。イベント種別716は、セキュリティイベントの種別を表す。使用回数717は、セキュリティイベントの検知回数を表す。本実施形態では、アクセス権限に属するアクションが、セキュリティイベントに対応している。このため、セキュリティイベントに関連付けられる使用回数717が表す回数は、当該セキュリティイベントに対応したアクションの実施回数に相当する。
【0061】
図8Aは、イベントテーブル215の構成図である。
【0062】
イベントテーブル215は、セキュリティイベントを表す。イベントテーブル215は、セキュリティイベント毎にレコードを有する。レコードは、イベントID801、発生時刻802、発生場所803、イベント種別804、システム名805及び判定結果896といった情報を有する。
【0063】
イベントID801は、セキュリティイベントのIDを表す。発生時刻802は、セキュリティイベントが発生した時刻を表す。発生場所803は、セキュリティイベントが発生した場所(例えば、システムにおける要素(サービス等))を表す。イベント種別804は、セキュリティイベントの種類を表す。システム名805は、セキュリティイベントが発生した場所を持つシステムの名前を表す。判定結果896は、対処要否判定の結果(セキュリティイベントが不正アクセスとしてのセキュリティインシデントである又は不正アクセスが原因のセキュリティインシデントであるか否か)を表す。
【0064】
図8Bは、条件テーブル216の構成図である。
【0065】
条件テーブル216は、フィルタリング条件を表す。条件テーブル216は、フィルタリング条件毎にレコードを有する。レコードは、期間806、アカウントID807、アクセス先808及びイベント種別809といった情報を有する。
【0066】
期間806は、期間を表す。アカウントID807は、アカウント(典型的には運用ユーザ)のIDを表す。アクセス先808は、アクセス先(例えばシステムにおけるサービス)を表す。イベント種別809は、セキュリティイベントの種別を表す。
【0067】
図8Cは、履歴テーブル217の構成図である。
【0068】
履歴テーブル217は、操作履歴を表す。履歴テーブル217は、操作ログ毎にレコードを有する。レコードは、操作ログの全部又は一部を含む。レコードは、時刻810、アカウントID811、ロール名812、アクセス元813、アクセス先814、イベント種別815、システム名816及び判定結果897といった情報を有する。
【0069】
時刻810は、操作ログが表す時刻(操作がされた時刻)を表す。アカウントID811は、操作ログが表すアカウント(操作を行ったユーザ(典型的には運用ユーザ))のIDを表す。ロール名812は、操作ログが表すロール名(操作ログが表すアカウントに割り当てられているロールの名前)を表す。アクセス元813は、操作ログが表すアクセス元(例えば、アカウント(ユーザ)に対応のIPアドレス)を表す。アクセス先814は、操作ログが表すアクセス先(例えば、操作がされたサービス)を表す。イベント種別815は、操作ログが表す操作に対応のセキュリティイベントの種別を表す。システム名816は、操作がされたシステムの名前を表す。判定結果897は、対処要否判定の結果(操作ログに対応のセキュリティイベントが不正アクセスとしてのセキュリティインシデントである又は不正アクセスが原因のセキュリティインシデントであるか否か)を表す。
【0070】
図8Dは、昇格アクセス作業テーブルの構成図である。
【0071】
作業テーブル112は、昇格アクセス作業を表す。作業テーブル112は、昇格アクセスワークフロー108の実行毎にレコードを有する。レコードは、ワークフローID817、アカウントID818、アクセス元819、アクセス先820、ロール名821、有効期限822、チケットID823、ステータス824、要求時刻825、終了時刻826及びシステム名827といった情報を有する。
【0072】
ワークフローID817は、昇格アクセスワークフロー108(又はその実行)に対応のIDを表す。アカウントID818は、昇格アクセス作業を行ったユーザのIDを表す。アクセス元819は、アクセス元(例えば、ユーザに対応のIPアドレス)を表す。アクセス先820は、昇格アクセス作業がされたサービスを表す。ロール名821は、ユーザに割り当てられたロール名を表す。有効期限822は、昇格アクセス作業の有効期限(要求時刻825が表す時刻からの有効期間)を表す。チケットID823は、昇格アクセス作業のチケット(例えば昇格アクセス作業の許可証)のIDを表す。ステータス824は、昇格アクセス作業のステータスを表す。要求時刻825は、昇格アクセス作業の作業申請がされた時刻を表す。終了時刻826は、昇格アクセス作業の終了時刻を表す。システム名827は、昇格アクセス作業がされたシステムの名前を表す。
【0073】
図9Aは、予実績テーブル218の構成図である。
【0074】
予実績テーブル218は、ワークフローの予実績を表す。予実績テーブル218は、ワークフローのプロセス毎に、レコードを有する。レコードは、ワークフローID901、ワークフロー種別902、プロセスID903、プロセス種別904、開始時刻905、終了時刻906、ステータス907、ログID908及びシステム名909といった情報を有する。
【0075】
ワークフローID901は、ワークフロー(又はその実施)のIDを表す。ワークフロー種別902は、ワークフローの種別を表す。プロセスID903は、プロセスのIDを表す。プロセス種別904は、プロセスの種別を表す。開始時刻905は、プロセスの予定開始時刻と実績開始時刻(実際の開始時刻)を表す。終了時刻906は、プロセスの予定終了時刻と実績終了時刻(実際の終了時刻)を表す。ステータス907は、プロセスのステータスを表す。ログID908は、ワークフローログのIDを表す。システム名909は、ワークフローが関わるシステムの名前を表す。
【0076】
図9Bは、ワークフローログテーブル219の構成図である。
【0077】
ワークフローログテーブル219は、ワークフローログを表す。ワークフローログテーブル219は、ワークフローログ毎にレコードを有する。レコードは、ログID910、時刻911、アカウントID912、アクセス元916、アクセス先913、イベント種別914及びステータス915といった情報を有する。
【0078】
ログID910は、ワークフローログのIDを表す。時刻911は、ワークフローログが取得された時刻を表す。アカウントID912は、ワークフローログに対応のアカウント(ユーザ)のIDを表す。アクセス元916は、アクセス元(例えば、ユーザに対応のIPアドレス)を表す。アクセス先913は、ワークフローログに対応のアクセス先を表す。イベント種別914は、ワークフローログに対応のセキュリティイベントの種別を表す。ステータス915は、ワークフローログに対応のプロセス又はワークフローのステータスを表す。
【0079】
図10は、対処要否判定処理のフロー図である。
【0080】
判定プロセス403は、操作履歴(一つ以上の操作ログの時刻810が表す時間)が昇格アクセス作業の有効期限822に該当するか否かを判定する(S1001)。S1001の判定結果がFalseの場合、判定プロセス403は、操作履歴に属する操作ログについて、不正アクセスと判定する、又は、操作ログに対応のセキュリティイベントについて、不正アクセスと判定する(S1002)。
【0081】
S1001の判定結果がTrueの場合、判定プロセス403は、操作履歴(一つ以上の操作ログのアカウントID810)が昇格アクセス作業のアカウントID818に該当するか否かを判定する(S1003)。S1003の判定結果がFalseの場合、判定プロセス403は、S1002と同様の判定をする(S1004)。
【0082】
S1003の判定結果がTrueの場合、判定プロセス403は、操作履歴(一つ以上の操作ログのアクセス元813)が昇格アクセス作業のアクセス元819に該当するか否かを判定する(S1005)。判定の結果Falseの場合、判定プロセス403は、S1002と同様の判定をする(S1006)。
【0083】
S1005の判定結果がTrueの場合、判定プロセス403は、操作履歴(一つ以上の操作ログのアクセス先814)が昇格アクセス作業のアクセス先820に該当するか否かを判定する(S1007)。S1007の判定結果がFalseの場合、判定プロセス403は、S1002と同様の判定をする(S1008)。
【0084】
S1007の判定結果がTrueの場合、判定プロセス403は、操作履歴(一つ以上の操作ログのイベント種別815)が昇格アクセス作業のイベント種別(具体的には、昇格アクセス作業に対応のログID908を用いて特定されたイベント種別914)に該当するか否かを判定する(S1009)。S1009の判定結果がFalseの場合、判定プロセス403は、S1002と同様の判定をする(S1010)。
【0085】
S1009の判定結果がTrueの場合、判定プロセス403は、操作履歴に属する操作ログについて、正当なアクセスと判定する、又は、操作ログに対応のセキュリティイベントについて、正当アクセスと判定する(S1011)。
【0086】
判定S1001、S1003、S1005、S1007及びS1009の順序は、図10に示す順序に限らないでよい。
【0087】
図11は、使用実績収集処理のフロー図である。
【0088】
使用実績収集処理は、評価ワークフロー111により行われる。評価ワークフロー111は、xにロール別昇格アクセス作業数を代入する(S1101)。「ロール別昇格アクセス作業数」とは、昇格アクセス作業のロール(作業テーブル112から特定されるロール)の数である。評価ワークフロー111は、x>0の間、S1103~S1107の処理を繰り返す(S1102)。言い換えると、昇格アクセス作業のロール毎に、S1103~S1107の処理が実施される。
【0089】
評価ワークフロー111は、昇格アクセスワークフロー108のワークフローログに対応のイベントを抽出し、抽出したイベントのイベント種別数をyに代入する(S1103)。評価ワークフロー111は、y>0の間、S1105~S1106の処理を繰り返す(S1104)。言い換えると、昇格アクセス作業の1つのロールについて、イベント種別毎に、S1105~S1106の処理が実施される。
【0090】
評価ワークフロー111は、イベント種別に属するイベント数をカウントアップする(S1105)。評価ワークフロー111は、yをデクリメントする(S1106)。
【0091】
S1106の結果、y=0になった場合、評価ワークフロー111は、xをデクリメントする(S1107)。
【0092】
S1107の結果、x=0になった場合、処理が終了する。
【0093】
以下、図12~図14を参照して、幾つかの表示画面の例を説明する。なお、図12~図14では、紙面の都合上、下記のような略語を採用するが、実際の画面は、略語と正式名称の一方又は両方を表示してよい。
・アクセス元→AS(Access Sourceの略)
・アクセス先→AT(Access Targetの略)
・有効期限→TTL(Time To Liveの略)
・要求時刻→RT(Request Timeの略)
・終了時刻→ET(End Timeの略)
・アクセス元→AS(Access Sourceの略)
・アクセス先→AT(Access Targetの略)
・有効期限→TTL(Time To Liveの略)
・要求時刻→RT(Request Timeの略)
・終了時刻→ET(End Timeの略)
【0094】
【0095】
セキュリティイベント画面は、イベントワークフロー109によりクライアントPC113(例えば、セキュリティユーザのクライアントPC113)に表示される。
【0096】
イベントワークフロー109は、表示期間1203に入力された期間に属するデータが表す情報をセキュリティイベント画面に表示する。
【0097】
セキュリティイベントエリア1204に表示の情報は、イベントテーブル215に基づく。図示の例によれば、22:40に「PutObjectAcl」というイベント100が発生している。
【0098】
操作履歴エリア1205に表示の情報は、履歴テーブル217に基づく(図13も同様)。図示の例によれば、22:40にAC01のStorageAdminが「PutObjectAcl」操作を実施している。
【0099】
昇格アクセス作業エリア1206に表示の情報は、作業テーブル112に基づく(図13及び図14も同様)。図示の例によれば、22:00~22:30の間に、AC01のStorageAdminがストレージ01に対して操作している。
【0100】
ワークフロー予実績エリア1207に表示の情報は、予実績テーブル218に基づく(図13及び図14も同様)。ワークフローログエリア1208に表示の情報は、ワークフローログテーブル219に基づく(図13及び図14も同様)。図示の例によれば、昇格アクセス作業のワークフローID「ワークフロー01」に対応のログID「ログ01」が取得され、ログID「ログ01」から、AC01がストレージ01に対してget-bucket-replication(レプリケーションの設定情報を取得)を実行し、成功している。
【0101】
図示の例によれば、昇格アクセス作業が行われた時間範囲22:00~22:30から外れた時刻22:40にセキュリティイベントが発生しているため、S1001の結果がFalseとなり、セキュリティイベントが不正アクセスと判定された。
【0102】
図13は、監査ログ画面の模式図である。
【0103】
監査ログ画面は、ログワークフロー110によりクライアントPC113(例えば、セキュリティユーザのクライアントPC113)に表示される。
【0104】
ログワークフロー110は、表示期間1303に入力された期間に属するデータが表す情報を監査ログ画面に表示する。
【0105】
操作履歴エリア1304に関し、図示の例によれば、AC01のStorageAdmin(AS“x.x.x.20”)がストレージ01に対して、22:10に「get-bucket-replication(レプリケーションの設定情報を取得)」、22:20に「put-bucket-replication(レプリケーション設定を実行)」をしている。
【0106】
昇格アクセス作業エリア1305に関し、図示の例によれば、WF01がAC01のStorageAdnin(AS“x.x.x.20”)により22:00~22:30の作業を実施している。
【0107】
ワークフロー予実績エリア1306及びワークフローログエリア1307に関し、図示の例によれば、AC01のStorageAdmin(AS“x.x.x.20”)がストレージ01に対して、get-bucket-replication(レプリケーションの設定情報取得)後、put-bucket-replication(レプリケーションの設定)を実施している。
【0108】
図示の例によれば、下記のため、S1001、S1003、S1005、S1007及びS1009のいずれも結果がTrueとなり、故に、操作が正当アクセスと判定された。
・操作時刻22:10及び22:20のいずれも、昇格アクセス作業の時間範囲22:00~22:30の範囲内である。
・操作履歴と昇格アクセス作業間でアカウントIDが同じである。
・操作履歴と昇格アクセス作業間でアクセス元が同じである。
・操作履歴と昇格アクセス作業間でアクセス先が同じである。
・操作履歴と昇格アクセス作業間でイベント種別が同じである。
・操作時刻22:10及び22:20のいずれも、昇格アクセス作業の時間範囲22:00~22:30の範囲内である。
・操作履歴と昇格アクセス作業間でアカウントIDが同じである。
・操作履歴と昇格アクセス作業間でアクセス元が同じである。
・操作履歴と昇格アクセス作業間でアクセス先が同じである。
・操作履歴と昇格アクセス作業間でイベント種別が同じである。
【0109】
図14は、アクセス権限画面の模式図である。
【0110】
アクセス権限画面は、評価ワークフロー111によりクライアントPC113(例えば、セキュリティユーザのクライアントPC113)に表示される。
【0111】
評価ワークフロー111は、表示期間1403に入力された期間に属するデータが表す情報をアクセス権限画面に表示する。
【0112】
昇格アクセス作業エリア1404に関し、図示の例によれば、例えば同一ロール名の昇格アクセス作業がリストされる。
【0113】
権限使用実績エリア1405に表示の情報は、使用実績収集処理の結果、すなわち、ロール別に実施したイベント種別の集計結果に基づく。図示の例によれば、ロール名「StorageAdmin」に対して、イベント種別「attach-role-policy(ロールにポリシーを適用する)」、「get-bucket-replication(レプリケーションの設定情報を取得)」、「put-bucket-replication(レプリケーション設定を実行)」はそれぞれ10回実施されている。
【0114】
ロールエリア1406に表示の情報は、権限テーブル213に基づく。図示の例によれば、ロール名「StorageAdmin」に割り当てられたアクションのうち、「CreateRolePolicy(新規ポリシーを作成)」は使用されていない。これより、ロール名「StorageAdmin」に割り当てるアクションを最小限になるようにアクセス権限を変更すべきかなど、セキュリティユーザや上位管理者等のユーザが、実績に基づいて継続的に改善していくことができる。
【0115】
以上、一実施形態を説明したが、これは本発明の説明のための例示であって、本発明の範囲をこの実施形態にのみ限定する趣旨ではない。本発明は、他の種々の形態でも実行することが可能である。
【0116】
以上の実施形態を、例えば下記のように総括することができる。下記の総括は、上述の説明の補足説明や変形例の説明を含んでよい。
【0117】
不正アクセス検出装置107は、インターフェース装置204、記憶装置(例えばメモリ201及び永続記憶装置203)、及び、インターフェース装置204及び記憶装置に接続されたプロセッサ202を備える。不正アクセス検出装置107は、物理的な計算機システム(一つ以上の物理的な計算機)でもよいが、物理的な計算機システムに基づく論理的な計算機システムでもよい。
【0118】
インターフェース装置204には、操作ログソース(例えば監査ログ記憶装置105)と通信可能に接続される。操作ログソースは、ユーザにより操作対象システム(例えば、クラウド環境に設けられた分析システム)に対してされた操作の操作ログのソースである。
【0119】
プロセッサ202は、操作対象システムに対してされた昇格アクセス作業に関するデータである昇格アクセス管理データを記憶装置に格納するようになっている。昇格アクセス作業は、一時昇格されたアクセス権限の範囲での操作である。昇格アクセス管理データは、昇格アクセス作業について、作業テーブル112のレコード、予実績テーブル218のレコード、及び、ワークフローログテーブル219のレコードを含んでよい。一時昇格されたアクセス権限が割り当てられたユーザは、例えば、「シャドウ管理者」と呼ばれてよい。
【0120】
操作ログソースには、操作対象システムに対する昇格アクセス作業としての操作の操作ログが、昇格アクセス作業以外の操作の操作ログと同様に蓄積されるようになっている。
【0121】
プロセッサ202は、操作ログソースから一つ以上の操作ログである操作履歴を取得し、当該操作履歴を記憶装置に格納する。また、プロセッサ202は、記憶装置から昇格アクセス管理データを取得する。プロセッサ202は、対処要否判定を行う。対処要否判定は、操作履歴から特定される操作が昇格アクセス管理データから特定される操作に適合しない不正アクセスとしての操作であるか否かの判定である。プロセッサ202は、対処要否判定の結果を提供する(例えば、インターフェース装置204を通じて、ユーザの情報処理端末に提供する)。
【0122】
このように、操作履歴について昇格アクセス管理データを用いた対処要否判定がされるので、一時昇格されたアクセス権限の範囲でのアクセス(アクセス作業)が不正アクセスとして検出される可能性を低減することができる。なお、図10に示した対処要否判定処理に代えて又は加えて、プロセッサ202(例えば、昇格アクセスワークフロー108)は、昇格アクセス作業の予定(例えば、開始時刻905の予定時刻、及び、終了時刻906の予定時刻)と実績とを比較してよい。プロセッサ202は、予定に対し実績が所定の条件を満たしている場合(例えば、実績が予定の通りである、又は、実績と予定との差分が許容範囲内である場合)、昇格アクセス作業の昇格アクセス管理データを記憶装置に格納してよい。一方、プロセッサ202は、予定に対し実績が所定の条件を満たしていない場合、昇格アクセス作業の昇格アクセス管理データを記憶装置に格納しない又は当該データを無効化してよい。この場合、操作履歴に対応の有効な昇格アクセス管理データが無いため、対処要否判定の結果として、不正アクセスを表す結果が得られることが期待される。
【0123】
昇格アクセス管理データは、昇格アクセス作業がされた時間範囲を表すデータ(例えば要求時刻825及び終了時刻826、又は、開始時刻905の実績時刻と終了時刻906の実績時刻)と、昇格アクセス作業を行ったユーザのアカウントID818と、操作対象システムのうちの昇格アクセス作業の対象を表すアクセス元819及びアクセス先820と、昇格アクセス作業としての操作に対応のイベント種別914とのうちの少なくとも一つを含んでよい。操作履歴における一つ以上の操作ログの各々は、操作の時刻810と、操作を行ったユーザのアカウントID811と、操作対象システムのうちの操作対象としてのアクセス先814と、操作に対応のイベント種別815とのうちの少なくとも一つを含んでよい。対処要否判定は、操作履歴が表す時間と昇格アクセス管理データが表す時間範囲との比較、操作履歴が表すアクセス元813と昇格アクセス管理データが表すアクセス元819との比較、操作履歴が表すアクセス先814と昇格アクセス管理データが表すアクセス先820との比較、操作履歴が表すアカウントID811と昇格アクセス管理データが表すアカウントID818との比較、及び、操作履歴が表すイベント種別815と昇格アクセス管理データが表すイベント種別914との比較、のうちの少なくとも一つの比較を含んでよい。対処要否判定の結果は、操作履歴が表す時間が時間範囲から外れた時間である(例えばS1001がFalse)、アカウントIDが不一致である(例えばS1003がFalse)、互いに一致するアクセス元が無い(例えばS1005がFalse)、互いに一致するアクセス先が無い(例えばS1007がFalse)、及び、互いに一致するイベント種別が無い(例えばS1009がFalse)、のうちの少なくとも一つの場合に、不正アクセスを表す結果でよい。このようにして、不正アクセスとの誤検出がされる可能性を低減すること、別の言い方をすれば、不正アクセスの検出精度を高めることが期待できる。
【0124】
インターフェース装置204は、リアルタイムでセキュリティイベントを検知するイベント管理システム(例えばSIEM106)と通信可能に接続されてよい。プロセッサ202は、イベント管理システムにより検知されたセキュリティイベントを表すデータであるイベントデータを、インターフェース装置204を通じて受信し、当該イベントデータを記憶装置に格納してよい。プロセッサ202は、操作履歴として、イベントデータが表すセキュリティイベントに対応の操作の操作ログを含む一つ以上の操作ログを操作ログソースから取得してよい。プロセッサ202は、対処要否判定の結果を、記憶装置におけるイベントデータに関連付けてよい。運用管理者(例えばシャドウ管理者)による悪意のない作業が、セキュリティイベントとして検出されてしまい、そのため、セキュリティチームがシステム運用チームに確認するのは負担が大きいが、セキュリティイベントに対応の操作ログについて対処要否判定がされるため、そのような負担を軽減することができる。なお、これは、セキュリティチームとシステム運用チームといった別れたチームでの連携に限らないでよい。また、取得される操作履歴における操作ログは、第1のフィルタリング条件に該当する操作ログでよい。第1のフィルタリング条件は、検知されたセキュリティイベントに対応の操作ログを表す条件(例えば、セキュリティイベントの時刻を含む期間、セキュリティイベントに対応のアカウントID、セキュリティイベントの対象としてのアクセス元(例えばIPアドレス)及びアクセス先(例えばサービス(具体的には、例えば、サービスのインスタンス))、及び、セキュリティイベントのイベント種別のうちの少なくとも一つを含む条件)でよい。また、取得される昇格アクセス管理データは、第2のフィルタリング条件に該当する操作ログでよい。第2のフィルタリング条件は、検知されたセキュリティイベントに対応の操作ログに関連する昇格アクセス作業を表す条件(例えば、セキュリティイベントの時刻を含む期間、セキュリティイベントに対応のアカウントID、セキュリティイベントの対象としてのアクセス先、及び、セキュリティイベントのイベント種別のうちの少なくとも一つを含む条件)でよい。第1及び第2のフィルタリング条件のいずれも、プロセッサ202(例えば、イベントワークフロー109)により動的に生成されてもよいし、予め用意されていてもよい。
【0125】
プロセッサ202は、定期的に、又は、前回の対処要否判定のために操作履歴が取得されてから操作ログソースに一定量以上の操作ログが蓄積された場合に、操作ログソースから操作履歴を取得してよい。プロセッサ202は、対処要否判定の結果を、記憶装置における当該操作ログに関連付けてよい。これにより、操作ログソースから監査等の目的で取得された操作ログについて、不正アクセスの操作ログとの誤検出がされる可能性を低減することができる。なお、取得される操作履歴における操作ログは、第3のフィルタリング条件に該当する操作ログでよい。第3のフィルタリング条件は、監査等の目的に適合する又はセキュリティリスクの高い操作ログを表す条件(例えば、リスクがあるとして推定された期間、アカウントID、アクセス先、及び、イベント種別のうちの少なくとも一つを含む条件)でよい。また、取得される昇格アクセス管理データは、第4のフィルタリング条件に該当する操作ログでよい。第4のフィルタリング条件は、取得される操作ログに関連する昇格アクセス作業を表す条件(例えば、期間、アカウントID、アクセス先、及び、イベント種別のうちの少なくとも一つを含む条件)でよい。第3及び第4のフィルタリング条件のいずれも、プロセッサ202(例えば、ログワークフロー110)により動的に生成されてもよいし、予め用意されていてもよい。
【0126】
一時昇格されたアクセス権限の範囲は、割り当てられたロールと、当該ロールに関連付けられそれぞれがイベント種別に対応する一つ又は複数のアクションを含んでよい。昇格アクセス管理データは、昇格アクセス作業としての操作に対応のイベント種別を表すデータを含んでよい。操作ログは、操作に対応のイベント種別を表すデータを含んでよい。プロセッサ202(例えば評価ワークフロー111)は、同一のロール名821を含む昇格アクセス管理データ(同一のロールを含む一つ又は複数の昇格アクセス作業の昇格アクセス管理データ)から、イベント種別914毎に、昇格アクセス作業の数をカウントしてよい。プロセッサ202は、イベント種別716毎の使用回数717(カウントされた昇格アクセス作業の数)と、一時昇格されたアクセス権限の範囲におけるアクションとを比較する又は提供してよい。これにより、昇格アクセス作業で割り当てたロール別に、実作業のイベント種別毎の実行数と、ロールのアクセス権限を比較し、昇格アクセス作業に必要なアクセス権限が適切(例えば、最小権限)であったかどうかを評価する又はその評価を支援することができる。具体的には、例えば、プロセッサ202は、比較を行う場合、昇格アクセス作業の数が所定値(例えばゼロ)以下のアクションを特定し、そのアクションを表すデータを提供してもよい。また、プロセッサ202は、イベント種別716毎の使用回数717と一時昇格されたアクセス権限の範囲におけるアクションとを表す画面(例えば、アクセス権限画面)を提供してもよい。
【0127】
対処要否判定の結果の提供は、画面の提供でよく、当該画面は、対処要否判定の結果を表す情報と、操作履歴を表す情報と、昇格アクセス管理データが表す情報とを表示する画面でよい。これにより、ユーザは、対処要否判定の結果とその根拠を把握することができる。
【0128】
記憶装置が、プロセッサ202により実行される複数のワークフローを記憶してよい。複数のワークフローは、昇格アクセス作業に関するワークフローである昇格アクセスワークフロー108と、対処要否判定が関連付けられているワークフローである判定ワークフロー(例えば、イベントワークフロー109又はログワークフロー110)とを含んでよい。プロセッサ202は、昇格アクセスワークフロー108の実行において、昇格アクセス管理データを記憶装置に格納するようになっていてよい。プロセッサ202は、判定ワークフローの実行において、操作履歴の取得及び格納、昇格アクセス管理データの取得、対処要否判定、及び、対処要否判定の結果の提供を行うようになっていてよい。このように、昇格アクセス作業のワークフローと対処要否判定のワークフローとを区別することができる。
【0129】
操作対象システムは、クラウド環境におけるシステムであり、一つ又は複数のクラウドコンピューティングサービスを持つシステムでよい。例えばパブリッククラウド環境では複数箇所から不正アクセスされる可能性があり、侵入は巧妙になっているため、パブリッククラウド環境のシステムの中を深く理解した難しいセキュリティ対策が必要になり得るが、上述の実施形態では、そのような深い理解が無くても、不正アクセスの誤検出の可能性を低減すること、別の言い方をすれば、不正アクセスの検出精度を高めることが期待できる。
【符号の説明】
【0130】
107…不正アクセス検出装置
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7A】
【図7B】
【図7C】
【図8A】
【図8B】
【図8C】
【図8D】
【図9A】
【図9B】
【図10】
【図11】
【図12】
【図13】
【図14】