知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024077149
(43)【公開日】2024-06-07
(54)【発明の名称】ログ管理装置、ログ管理方法、及びログ管理プログラム
(51)【国際特許分類】
G06F 11/34 20060101AFI20240531BHJP
G06F 21/64 20130101ALI20240531BHJP
【FI】
G06F11/34 176
G06F21/64
【審査請求】未請求
【請求項の数】7
【出願形態】OL
(21)【出願番号】P 2022189023
(22)【出願日】2022-11-28
(71)【出願人】
【識別番号】000005234
【氏名又は名称】富士電機株式会社
(74)【代理人】
【識別番号】110004185
【氏名又は名称】インフォート弁理士法人
(74)【代理人】
【識別番号】100121083
【弁理士】
【氏名又は名称】青木 宏義
(74)【代理人】
【識別番号】100138391
【弁理士】
【氏名又は名称】天田 昌行
(74)【代理人】
【識別番号】100132067
【弁理士】
【氏名又は名称】岡田 喜雅
(74)【代理人】
【識別番号】100157967
【弁理士】
【氏名又は名称】管田 洋明
(72)【発明者】
【氏名】大室 善則
【テーマコード(参考)】
5B042
【Fターム(参考)】
5B042JJ29
5B042MA08
5B042MC35
5B042MC40
(57)【要約】
【課題】監視対象システムのログ情報を検証可能な状態で管理する。
【解決手段】第1取得部は、監視対象システムのログ情報を取得する。第2取得部は、監視対象システムとは異なる情報生成システムから、時間の経過に伴って変化する所定の情報を取得する。生成部は、ログ情報及び所定の情報に基づいて、ログ情報に対する証跡情報を生成する。記憶部は、ログ情報及び証跡情報を記憶する。
【選択図】図1
【解決手段】第1取得部は、監視対象システムのログ情報を取得する。第2取得部は、監視対象システムとは異なる情報生成システムから、時間の経過に伴って変化する所定の情報を取得する。生成部は、ログ情報及び所定の情報に基づいて、ログ情報に対する証跡情報を生成する。記憶部は、ログ情報及び証跡情報を記憶する。
【選択図】図1
【特許請求の範囲】
【請求項1】
監視対象システムのログ情報を取得する第1取得部と、
前記監視対象システムとは異なる情報生成システムから、時間の経過に伴って変化する所定の情報を取得する第2取得部と、
前記ログ情報及び前記所定の情報に基づいて、前記ログ情報に対する証跡情報を生成する生成部と、
前記ログ情報及び前記証跡情報を記憶する記憶部と、
を備えることを特徴とするログ管理装置。
前記監視対象システムとは異なる情報生成システムから、時間の経過に伴って変化する所定の情報を取得する第2取得部と、
前記ログ情報及び前記所定の情報に基づいて、前記ログ情報に対する証跡情報を生成する生成部と、
前記ログ情報及び前記証跡情報を記憶する記憶部と、
を備えることを特徴とするログ管理装置。
【請求項2】
前記第2取得部は、前記ログ情報に対応する時刻情報を含む情報要求を前記情報生成システムへ送信し、前記所定の情報を前記情報生成システムから受信し、
前記所定の情報は、前記時刻情報に対応する情報であることを特徴とする請求項1記載のログ管理装置。
前記所定の情報は、前記時刻情報に対応する情報であることを特徴とする請求項1記載のログ管理装置。
【請求項3】
前記時刻情報は、前記ログ情報が生成された日時を含む特定の期間を表し、前記所定の情報は、前記特定の期間に対応する情報であることを特徴とする請求項2記載のログ管理装置。
【請求項4】
前記証跡情報は、前記ログ情報及び前記所定の情報のハッシュ値であることを特徴とする請求項1乃至3の何れか1項に記載のログ管理装置。
【請求項5】
前記ログ情報は、操作ログ、認証ログ、又は通信ログのうち少なくとも1つ以上のログを含むことを特徴とする請求項1乃至3の何れか1項に記載のログ管理装置。
【請求項6】
コンピュータが、
監視対象システムのログ情報を取得し、
前記監視対象システムとは異なる情報生成システムから、時間の経過に伴って変化する所定の情報を取得し、
前記ログ情報及び前記所定の情報に基づいて、前記ログ情報に対する証跡情報を生成し、
前記ログ情報及び前記証跡情報を記録する、
ことを特徴とするログ管理方法。
監視対象システムのログ情報を取得し、
前記監視対象システムとは異なる情報生成システムから、時間の経過に伴って変化する所定の情報を取得し、
前記ログ情報及び前記所定の情報に基づいて、前記ログ情報に対する証跡情報を生成し、
前記ログ情報及び前記証跡情報を記録する、
ことを特徴とするログ管理方法。
【請求項7】
監視対象システムのログ情報を取得し、
前記監視対象システムとは異なる情報生成システムから、時間の経過に伴って変化する所定の情報を取得し、
前記ログ情報及び前記所定の情報に基づいて、前記ログ情報に対する証跡情報を生成し、
前記ログ情報及び前記証跡情報を記録する、
処理をコンピュータに実行させるためのログ管理プログラム。
前記監視対象システムとは異なる情報生成システムから、時間の経過に伴って変化する所定の情報を取得し、
前記ログ情報及び前記所定の情報に基づいて、前記ログ情報に対する証跡情報を生成し、
前記ログ情報及び前記証跡情報を記録する、
処理をコンピュータに実行させるためのログ管理プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ログ管理装置、ログ管理方法、及びログ管理プログラムに関する。
【背景技術】
【0002】
ログデータの内容に対する信頼性を向上させることを可能とするネットワーク機器が知られている(例えば、特許文献1を参照)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2020-154690号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
特許文献1のネットワーク機器において、改ざん検知用の情報を生成する処理が特定された場合、ログデータと改ざん検知用の情報の改ざんが容易になるため、改ざんの有無を検証することが難しくなる。
【0005】
1つの側面において、本発明は、監視対象システムのログ情報を検証可能な状態で管理することを目的とする。
【課題を解決するための手段】
【0006】
1つの実施形態によれば、ログ管理装置は、第1取得部、第2取得部、生成部、及び記憶部を含む。第1取得部は、監視対象システムのログ情報を取得する。第2取得部は、監視対象システムとは異なる情報生成システムから、時間の経過に伴って変化する所定の情報を取得する。生成部は、ログ情報及び所定の情報に基づいて、ログ情報に対する証跡情報を生成する。記憶部は、ログ情報及び証跡情報を記憶する。
【発明の効果】
【0007】
1つの側面において、監視対象システムのログ情報を検証可能な状態で管理することができる。
【図面の簡単な説明】
【0008】
【図1】実施形態のログ管理装置の機能的構成図である。
【図2】ログ管理処理のフローチャートである。
【図3】ログ管理システムの構成図である。
【図4】監視装置の機能的構成図である。
【図5】インシデントテーブルを示す図である。
【図6】ログ証跡を示す図である。
【図7】監視処理のフローチャートである。
【図8】ログ証跡生成処理のフローチャートである。
【図9】検証処理のフローチャートである。
【図10】情報処理装置のハードウェア構成図である。
【発明を実施するための形態】
【0009】
以下、図面を参照しながら、実施形態を詳細に説明する。
【0010】
【0011】
図2は、図1のログ管理装置101が行うログ管理処理の例を示すフローチャートである。まず、第1取得部111は、監視対象システムのログ情報を取得し(ステップ201)、第2取得部112は、監視対象システムとは異なる情報生成システムから、時間の経過に伴って変化する所定の情報を取得する(ステップ202)。生成部113は、ログ情報及び所定の情報に基づいて、ログ情報に対する証跡情報を生成し(ステップ203)、ログ情報及び証跡情報を記憶部114に記録する(ステップ204)。
【0012】
図1のログ管理装置101によれば、監視対象システムのログ情報を検証可能な状態で管理することができる。
【0013】
【0014】
監視装置312は、通信ネットワーク321を介して、監視対象システム311と通信する。監視装置312、情報生成システム313、及び検証装置314は、通信ネットワーク322を介して互いに通信する。通信ネットワーク321及び通信ネットワーク322は、例えば、LAN(Local Area Network)又はWAN(Wide Area Network)である。
【0015】
監視対象システム311は、1台又は複数台の情報処理装置(コンピュータ)を含む情報処理システムであり、監視装置312は、監視対象システム311のセキュリティを監視する情報処理装置である。監視装置312は、図1のログ管理装置101に対応する。
【0016】
監視装置312は、例えば、SIEM(Security Information and Event Management)を用いて、監視対象システム311のセキュリティを監視する。SIEMでは、監視対象システム311のログが収集され、ログを用いて、セキュリティの脅威であるインシデントの発生が監視される。
【0017】
セキュリティに関連するログとしては、複数種類のログが収集される。監視対象システム311に対する攻撃者は、サイバーキルチェーンとして知られているように、複数のステップで長期にわたって攻撃を実施することが多い。サイバーキルチェーンは、偵察、武器化、デリバリー、エクスプロイト、インストール、遠隔操作、及び目的の実行の各ステップを含む。
【0018】
このような攻撃を防止するためには、サイバーキルチェーンの各ステップを分析し、ステップに応じた対策を施す必要がある。しかしながら、攻撃が実施された期間のすべてのログを保存すると、ログの記憶容量が増大するため、多大なコストが発生する。そこで、監視装置312は、インシデント発生時に、関連する一定期間のログのみをログ証跡として保存することで、コストの増大を抑止する。
【0019】
監視対象システム311は、例えば、操作ログ331、認証ログ332、及び通信ログ333を記憶する。操作ログ331は、PC(Personal Computer)のオン又はオフ、ネットワーク操作、各種ファイルの閲覧又は編集等、ユーザの様々な操作履歴を表す。認証ログ332は、いつ、誰が、何処から監視対象システム311にログインしたかを含むログイン履歴を表す。通信ログ333は、監視対象システム311内の通信履歴、又は監視対象システム311と他のシステムとの間の通信履歴を表す。
【0020】
監視装置312は、監視対象システム311の操作ログ331、認証ログ332、及び通信ログ333をログ情報として収集し、収集したログ情報を用いてインシデントの発生を監視する。そして、監視装置312は、インシデント発生時に、関連するログ情報をログ証跡として保存する。
【0021】
情報生成システム313は、監視対象システム311及び監視装置312から独立した外部システムであり、監視装置312及び検証装置314からのみアクセス可能である。情報生成システム313は、時間の経過に伴って変化する所定の情報を生成し、生成された情報を、その情報が生成された日時と対応付けて保存する。
【0022】
情報生成システム313は、例えば、センサ等を用いて計測したデータを、所定の情報として用いることができる。計測されるデータは、外部環境の温度、湿度、気圧、風速等であってもよく、建屋における太陽光発電の電力量、工場における消費電力量等であってもよい。情報生成システム313は、交差点、繁華街等の風景をカメラで撮影した画像から画像特徴量を抽出し、抽出された画像特徴量を所定の情報として用いることもできる。
【0023】
監視装置312は、インシデントが発生した日時を指定して、情報生成システム313から所定の情報を取得し、取得した情報を、インシデントに関連するログ情報に対する付加情報として用いる。そして、監視装置312は、インシデントに関連するログ情報及び付加情報から証跡情報を生成し、ログ情報及び証跡情報を含むログ証跡を保存する。以下では、インシデントが発生した日時を、インシデント日時と記載することがある。
【0024】
検証装置314は、監視装置312から、何れかのインシデント日時のログ証跡を取得する。また、検証装置314は、そのインシデント日時を指定して、情報生成システム313から所定の情報を取得し、取得した情報を、ログ証跡に含まれるログ情報に対する付加情報として用いる。そして、検証装置314は、付加情報を用いてログ証跡の内容を検証する。
【0025】
図4は、図3の監視装置312の機能的構成例を示している。図3の監視装置312は、取得部411、取得部412、監視部413、通信部414、及び記憶部415を含む。取得部411、取得部412、監視部413、及び記憶部415は、図1の第1取得部111、第2取得部112、生成部113、及び記憶部114にそれぞれ対応する。
【0026】
記憶部415は、インシデントテーブル421を記憶する。インシデントテーブル421は、インシデントに対応するログの条件を示す情報を含む。
【0027】
図5は、インシデントテーブル421の例を示している。図5のインシデントテーブル421は、インシデント、ログ、及びログ証跡の期間の項目を含む。インシデントは、インシデントの識別情報を表し、ログは、ログに対する条件を表し、ログ証跡の期間は、ログ証跡に含められるログ情報の収集期間を表す。
【0028】
ログは、認証ログ、操作ログ、通信ログ、及び判定期間の項目を含む。認証ログは、認証ログに対する条件を表し、操作ログは、操作ログに対する条件を表し、通信ログは、通信ログに対する条件を表す。判定期間は、ログがインシデントに対応するか否かを判定する周期を表す。
【0029】
図5のインシデントテーブル421は、インシデントI1~インシデントI3のエントリを含む。
【0030】
例えば、インシデントI1の認証ログは、「パスワードの入力をn回以上失敗」であり、判定期間は、4時間である。この条件は、監視対象システム311にユーザがログインする際に、誤ったパスワードが入力された回数がn回以上であることを表す。このようなユーザは異常なユーザに該当すると判定され、条件に合致する認証ログがインシデントとして検出される。
【0031】
インシデントI2の認証ログは、「一般ユーザ」であり、操作ログは、「操作権限の昇格操作」であり、判定期間は、1時間である。この条件は、一般ユーザが操作権限を管理者レベル等の上位レベルに変更したことを表す。このようなユーザは異常なユーザに該当すると判定され、条件に合致する認証ログ及び操作ログがインシデントとして検出される。
【0032】
インシデントI3の認証ログは、「一般ユーザ」であり、通信ログは、「大量データの外部送信」であり、判定期間は、1時間である。この条件は、一般ユーザが大量のデータを監視対象システム311の外部のシステムへ送信したことによって、監視対象システム311内で大量の通信負荷が発生したことを表す。
【0033】
外部のシステムへ送信されたデータは、そのユーザによって盗み出された内部データである可能性がある。このため、このようなユーザは異常なユーザに該当すると判定され、条件に合致する認証ログ及び通信ログがインシデントとして検出される。
【0034】
インシデントテーブル421は、インシデントI1~インシデントI3以外のインシデントのエントリを含んでいてもよい。
【0035】
ログ証跡の期間は、認証ログ、操作ログ、及び通信ログの項目を含む。認証ログは、認証ログの収集期間を表し、操作ログは、操作ログの収集期間を表し、通信ログは、通信ログの収集期間を表す。
【0036】
例えば、インシデントI1の認証ログは、2日間である。インシデントI2の認証ログは、1時間であり、操作ログは、1時間である。インシデントI3の認証ログは、1時間であり、通信ログは、2時間である。
【0037】
通信部414は、通信ネットワーク321を介して、監視対象システム311と通信し、通信ネットワーク322を介して、情報生成システム313及び検証装置314と通信する。
【0038】
取得部411は、通信部414を介して、監視対象システム311から操作ログ331、認証ログ332、及び通信ログ333を取得し、監視部413へ出力する。
【0039】
監視部413は、判定期間の間に取得された操作ログ331、認証ログ332、及び通信ログ333がインシデントテーブル421の各エントリの条件に合致するか否かをチェックし、条件に合致するログをインシデントとして検出する。
【0040】
次に、監視部413は、そのログが生成された日時をインシデント日時として用いて、検出されたイベントのログ証跡の期間により指定されている種類のログを、記憶部415に記録する。
【0041】
具体的には、監視部413は、インシデント日時からログ証跡の期間にわたって取得された操作ログ331、認証ログ332、及び通信ログ333のうち、ログ証跡の期間により指定されている種類のログを抽出する。そして、監視部413は、抽出されたログを、インシデントに関連するログ情報422として記憶部415に格納する。したがって、ログ情報422は、操作ログ331、認証ログ332、又は通信ログ333のうち少なくとも1つ以上のログを含む。
【0042】
さらに、監視部413は、インシデント日時に対応する情報の取得を、取得部412に指示する。
【0043】
取得部412は、例えば、インシデント日時を含む情報要求を、通信部414を介して、情報生成システム313へ送信する。この場合のインシデント日時は、ログ情報に対応する時刻情報の一例である。
【0044】
情報生成システム313は、日時と対応付けて保存されている所定の情報の中から、受信した情報要求に含まれるインシデント日時に対応する情報を抽出する。そして、情報生成システム313は、インシデント日時と抽出された情報とを含む応答を、監視装置312へ送信する。
【0045】
取得部412は、通信部414を介して、情報生成システム313から応答を受信し、応答に含まれる情報を、ログ情報422に対する付加情報423として、記憶部415に格納する。
【0046】
取得部412は、インシデント日時を含む特定の期間を含む情報要求を、情報生成システム313へ送信することもできる。特定の期間は、インシデント日時のT時間前から、インシデント日時のT時間後までの期間であってもよい。Tは、例えば、インシデントの発生からログ証跡の生成までの時間よりも長い時間である。Tは、0.5~5の範囲の実数であってもよい。この場合の特定の期間は、ログ情報に対応する時刻情報の一例である。
【0047】
情報生成システム313は、日時と対応付けて保存されている所定の情報の中から、受信した情報要求に含まれる特定の期間に対応する情報を抽出する。そして、情報生成システム313は、抽出された情報とその情報に対応する日時とを含む応答を、監視装置312へ送信する。
【0048】
このような特定の期間を、取得対象の情報に対する制約条件として情報要求に含めることで、監視対象システム311に対する攻撃者等の第三者が、情報生成システム313から同じ情報を取得することが困難になる。
【0049】
監視部413は、ログ情報422及び付加情報423から証跡情報425を生成する。証跡情報425は、例えば、ログ情報422及び付加情報423のハッシュ値であり、監視部413は、ログ情報422と付加情報423とを組み合わせた情報に対するハッシュ演算を行うことで、証跡情報425を生成する。
【0050】
また、監視部413は、検出されたインシデントよりも前に検出された別のインシデントのログ証跡に含まれる情報から、証跡情報426を生成する。証跡情報426は、例えば、別のインシデントのログ証跡に含まれる情報のハッシュ値であり、監視部413は、その情報に対するハッシュ演算を行うことで、証跡情報426を生成する。
【0051】
そして、監視部413は、ログ情報422、証跡情報425、証跡情報426、及び日時情報427を含むログ証跡424を生成して、記憶部415に格納し、記憶部415から付加情報423を削除する。日時情報427は、検出されたインシデントのインシデント日時を示す。監視部413は、検出されたインシデント毎にログ証跡424を生成して、記憶部415に格納する。
【0052】
図6は、ログ証跡424の例を示している。図5のインシデントI2が検出された場合、監視部413は、監視対象システム311から取得された認証ログ611-2及び操作ログ612-2を、インシデントI2に関連するログ情報422として記憶部415に格納する。そして、取得部412は、情報生成システム313から取得された付加情報601-2を記憶部415に格納する。
【0053】
次に、監視部413は、認証ログ611-2、操作ログ612-2、及び付加情報601-2から証跡情報613-2を生成し、インシデントI2の直前に検出された別のインシデントのログ証跡に含まれる情報から、証跡情報614-2を生成する。そして、監視部413は、認証ログ611-2、操作ログ612-2、証跡情報613-2、証跡情報614-2、及びインシデントI2の日時情報615-2を含むログ証跡602-2を生成して、記憶部415に記録する。
【0054】
インシデントI2に続いてインシデントI1が検出された場合、監視部413は、監視対象システム311から取得された認証ログ611-1を、インシデントI1に関連するログ情報422として記憶部415に格納する。そして、取得部412は、情報生成システム313から取得された付加情報601-1を記憶部415に格納する。
【0055】
次に、監視部413は、認証ログ611-1及び付加情報601-1から証跡情報613-1を生成する。そして、監視部413は、インシデントI1の直前に検出されたインシデントI2のログ証跡602-2に含まれる情報である、認証ログ611-2、操作ログ612-2、証跡情報613-2、及び証跡情報614-2から、証跡情報614-1を生成する。
【0056】
次に、監視部413は、認証ログ611-1、証跡情報613-1、証跡情報614-1、及びインシデントI1の日時情報615-1を含むログ証跡602-1を生成して、記憶部415に記録する。
【0057】
インシデント日時を含むログ証跡要求を検証装置314から受信した場合、監視部413は、記憶部415から、そのインシデント日時を示す日時情報427を含むログ証跡424と、直前に検出された別のインシデントのログ証跡424とを抽出する。そして、監視部413は、通信部414を介して、抽出された2つのログ証跡424を検証装置314へ送信する。
【0058】
特許文献1のログ記録方法では、ログデータのみを用いて改ざん検知用の情報を生成しているため、その生成方法が攻撃者によって特定された場合、ログデータと改ざん検知用の情報が改ざんされる可能性がある。ログデータと改ざん検知用の情報が改ざんされた場合、ログデータを用いて攻撃の有無を確認したり、攻撃に対する対策を検討したりする処理を、正しく実施することが難しくなる。
【0059】
これに対して、図3のログ管理システムによれば、ログ情報422に対して、情報生成システム313により生成された一意の情報が付加情報423として付加され、ログ情報422及び付加情報423から証跡情報425が生成される。これにより、監視対象システム311に対する攻撃者が証跡情報425の生成方法を特定することが困難になる。
【0060】
仮に証跡情報425の生成方法が特定されたとしても、攻撃者は情報生成システム313へのアクセス権を持っていないため、証跡情報425の生成に用いられた付加情報423を取得することはできない。したがって、攻撃者がログ証跡424に含まれるログ情報422を改ざんすることができたとしても、証跡情報425を改ざんすることはできない。
【0061】
一方、情報生成システム313へのアクセス権を持つ検証装置314は、証跡情報425の生成に用いられた付加情報423を取得することができ、付加情報423を用いてログ情報422が改ざんされたか否かをチェックすることができる。したがって、攻撃者がログ情報422のみを改ざんした場合、改ざんの事実が容易に検出されるため、ログ証跡424を保存しておくことで、監視対象システム311のログ情報422を検証可能な状態で管理することができる。
【0062】
図7は、図4の監視装置312が行う監視処理の例を示すフローチャートである。図7の監視処理において、監視部413は、インシデントテーブル421に登録されているインシデント毎に、そのインシデントが発生したか否かをチェックする。
【0063】
まず、監視部413は、インシデントテーブル421から1つのエントリを選択し、そのエントリの判定期間を取得する。そして、監視部413は、そのエントリのインシデントに関するチェックを最後に行ってから判定期間が経過したか否かをチェックする(ステップ701)。
【0064】
判定期間が経過している場合(ステップ701,YES)、監視部413は、その判定期間の間に取得された操作ログ331、認証ログ332、及び通信ログ333が、選択されたエントリのログの条件に合致するか否かをチェックする(ステップ702)。
【0065】
条件に合致するログが存在する場合(ステップ702,YES)、監視装置312は、そのログが生成された日時をインシデント日時として用いて、ログ証跡生成処理を行う(ステップ704)。そして、監視部413は、インシデントテーブル421に登録されているすべてのインシデントに関するチェックを行ったか否かをチェックする(ステップ703)。
【0066】
未チェックのインシデントが残っている場合(ステップ703,NO)、監視装置312は、次のインシデントについて、ステップ701以降の処理を繰り返す。
【0067】
判定期間が経過していない場合(ステップ701,NO)、又は条件に合致するログが存在しない場合(ステップ702,NO)、監視装置312は、ステップ703以降の処理を行う。すべてのインシデントに関するチェックが行われた場合(ステップ703,YES)、監視装置312は、処理を終了する。
【0068】
図8は、図7のステップ704におけるログ証跡生成処理の例を示すフローチャートである。まず、監視部413は、選択されたエントリのログの項目に含まれる認証ログ、操作ログ、及び通信ログのうち、何れかの種類のログの条件を参照し、条件が存在するか否かをチェックする(ステップ801)。
【0069】
ログの条件が存在する場合(ステップ801,YES)、監視部413は、ログ証跡の期間の項目に含まれる認証ログ、操作ログ、及び通信ログのうち、条件と同じ種類のログの期間を取得する。そして、監視部413は、インシデント日時からその期間が経過するまでの間に取得されたログを抽出し、ログ情報422として記憶部415に格納する(ステップ802)。
【0070】
次に、監視部413は、選択されたエントリのログの項目に含まれているすべての種類のログに関するチェックを行ったか否かをチェックする(ステップ803)。未チェックのログが残っている場合(ステップ803,NO)、監視装置312は、次の種類のログについて、ステップ801以降の処理を繰り返す。
【0071】
すべての種類のログに関するチェックを行った場合(ステップ803,YES)、監視部413は、インシデント日時に対応する情報の取得を、取得部412に指示し、取得部412は、インシデント日時を含む情報要求を、情報生成システム313へ送信する。情報生成システム313は、受信した情報要求に含まれるインシデント日時と、そのインシデント日時に対応する情報とを含む応答を、監視装置312へ送信する。これにより、取得部412は、インシデント日時に対応する情報を取得する(ステップ804)。
【0072】
監視部413は、インシデント日時を含む特定の期間に対応する情報の取得を、取得部412に指示してもよい。この場合、取得部412は、特定の期間を含む情報要求を、情報生成システム313へ送信する。情報生成システム313は、受信した情報要求に含まれる特定の期間に対応する情報と、その情報に対応する日時とを含む応答を、監視装置312へ送信する。これにより、取得部412は、特定の期間に対応する情報を取得する。
【0073】
取得部412は、情報生成システム313から取得した情報を、付加情報423として記憶部415に格納する。
【0074】
次に、監視部413は、ログ情報422及び付加情報423から証跡情報425を生成する(ステップ805)。そして、監視部413は、検出されたインシデントの直前に検出された別のインシデントのログ証跡424に含まれるログ情報422、証跡情報425、及び証跡情報426から、証跡情報426を生成する(ステップ806)。
【0075】
次に、監視部413は、検出されたインシデントのログ情報422及び日時情報427と、生成された証跡情報425及び証跡情報426とを含む、ログ証跡424を生成して、記憶部415に記録する(ステップ807)。
【0076】
図9は、図3の検証装置314が行う検証処理の例を示すフローチャートである。検証装置314は、何れかのインシデント日時を含むログ証跡要求を監視装置312へ送信する。そして、検証装置314は、そのインシデント日時を示す日時情報427を含むログ証跡424と、そのインシデントの直前に検出された別のインシデントのログ証跡424とを、監視装置312から受信する。
【0077】
以下では、ログ証跡要求に含まれるインシデント日時を示す日時情報427を含むログ証跡424を、検証対象ログ証跡と記載し、直前に検出された別のインシデントのログ証跡424を、参照ログ証跡と記載することがある。
【0078】
まず、検証装置314は、受信した2つのログ証跡424のうち検証対象ログ証跡から、ログ情報422を抽出する(ステップ901)。
【0079】
次に、検証装置314は、検証対象ログ証跡に含まれる日時情報427が示すインシデント日時を含む情報要求を、情報生成システム313へ送信する。情報生成システム313は、受信した情報要求に含まれるインシデント日時と、そのインシデント日時に対応する情報とを含む応答を、検証装置314へ送信する。これにより、検証装置314は、インシデント日時に対応する情報を取得する(ステップ902)。
【0080】
検証装置314は、インシデント日時を含む特定の期間を含む情報要求を、情報生成システム313へ送信してもよい。この場合、情報生成システム313は、受信した情報要求に含まれる特定の期間に対応する情報と、その情報に対応する日時とを含む応答を、検証装置314へ送信する。これにより、検証装置314は、特定の期間に対応する情報を取得する。
【0081】
次に、検証装置314は、取得した情報を、ログ情報422に対する付加情報として用いて、ログ情報422及び付加情報から証跡情報A1を生成する(ステップ903)。
【0082】
次に、検証装置314は、証跡情報A1が検証対象ログ証跡に含まれる証跡情報425と一致するか否かをチェックする(ステップ904)。証跡情報A1が検証対象ログ証跡に含まれる証跡情報425と一致する場合(ステップ904,YES)、検証装置314は、参照ログ証跡に含まれるログ情報422、証跡情報425、及び証跡情報426から、証跡情報A2を生成する(ステップ905)。
【0083】
次に、検証装置314は、証跡情報A2が検証対象ログ証跡に含まれる証跡情報426と一致するか否かをチェックする(ステップ906)。証跡情報A2が検証対象ログ証跡に含まれる証跡情報426と一致する場合(ステップ906,YES)、検証装置314は、検証対象ログ証跡が正常なログ証跡であると判定する(ステップ907)。
【0084】
証跡情報A1が検証対象ログ証跡に含まれる証跡情報425と一致しない場合(ステップ904,NO)、検証装置314は、検証対象ログ証跡が異常なログ証跡であると判定する(ステップ908)。また、証跡情報A2が検証対象ログ証跡に含まれる証跡情報426と一致しない場合(ステップ906,NO)、検証装置314は、検証対象ログ証跡が異常なログ証跡であると判定する(ステップ908)。
【0085】
図1のログ管理装置101の構成は一例に過ぎず、ログ管理装置101の用途又は条件に応じて、一部の構成要素を省略又は変更してもよい。
【0086】
図3のログ管理システムの構成は一例に過ぎず、ログ管理システムの用途又は条件に応じて、一部の構成要素を省略又は変更してもよい。
【0087】
図4の監視装置312の構成は一例に過ぎず、ログ管理システムの用途又は条件に応じて、一部の構成要素を省略又は変更してもよい。例えば、ログ証跡424に証跡情報426を含める必要がない場合は、証跡情報426を省略することができる。
【0088】
図2及び図7~図9に示したフローチャートは一例に過ぎず、ログ管理装置101又はログ管理システムの構成又は条件に応じて、一部の処理を省略又は変更してもよい。例えば、ログ証跡424に証跡情報426を含める必要がない場合は、図8のステップ806の処理と図9のステップ905及びステップ906の処理を省略することができる。
【0089】
図5に示したインシデントテーブル421は一例に過ぎず、インシデントテーブル421のエントリは、監視対象システム311に応じて変化する。図6に示したログ証跡424は一例に過ぎず、ログ証跡424に含まれるログの種類は、検出されたインシデントに応じて変化する。
【0090】
図10は、図1のログ管理装置101及び図4の監視装置312として用いられる情報処理装置のハードウェア構成例を示している。図10の情報処理装置は、CPU(Central Processing Unit)1001、メモリ1002、入力装置1003、出力装置1004、補助記憶装置1005、媒体駆動装置1006、及びネットワーク接続装置1007を含む。これらの構成要素はハードウェアであり、バス1008により互いに接続されている。
【0091】
メモリ1002は、例えば、ROM(Read Only Memory)、RAM(Random Access Memory)等の半導体メモリであり、処理に用いられるプログラム及びデータを記憶する。メモリ1002は、図1の記憶部114又は図4の記憶部415として動作してもよい。
【0092】
CPU1001(プロセッサ)は、例えば、メモリ1002を利用してプログラムを実行することにより、図1の第1取得部111、第2取得部112、及び生成部113として動作する。CPU1001は、メモリ1002を利用してプログラムを実行することにより、図4の取得部411、取得部412、及び監視部413としても動作する。
【0093】
入力装置1003は、例えば、キーボード、ポインティングデバイス等であり、オペレータからの指示又は情報の入力に用いられる。出力装置1004は、例えば、表示装置、プリンタ、スピーカ等であり、オペレータへの問い合わせ又は指示、及び処理結果の出力に用いられる。処理結果は、ログ証跡424であってもよい。
【0094】
補助記憶装置1005は、例えば、磁気ディスク装置、光ディスク装置、光磁気ディスク装置、テープ装置等である。補助記憶装置1005は、ハードディスクドライブ又はSSD(Solid State Drive)であってもよい。情報処理装置は、補助記憶装置1005にプログラム及びデータを格納しておき、それらをメモリ1002にロードして使用することができる。補助記憶装置1005は、図1の記憶部114又は図4の記憶部415として動作してもよい。
【0095】
媒体駆動装置1006は、可搬型記録媒体1009を駆動し、その記録内容にアクセスする。可搬型記録媒体1009は、メモリデバイス、フレキシブルディスク、光ディスク、光磁気ディスク等である。可搬型記録媒体1009は、CD-ROM(Compact Disk Read Only Memory)、DVD(Digital Versatile Disk)、USB(Universal Serial Bus)メモリ等であってもよい。オペレータは、可搬型記録媒体1009にプログラム及びデータを格納しておき、それらをメモリ1002にロードして使用することができる。
【0096】
このように、処理に用いられるプログラム及びデータを格納するコンピュータ読み取り可能な記録媒体は、メモリ1002、補助記憶装置1005、又は可搬型記録媒体1009のような、物理的な(非一時的な)記録媒体である。
【0097】
ネットワーク接続装置1007は、通信ネットワークに接続され、通信に伴うデータ変換を行う通信インタフェース回路である。情報処理装置は、プログラム及びデータを外部の装置からネットワーク接続装置1007を介して受信し、それらをメモリ1002にロードして使用することができる。ネットワーク接続装置1007は、図4の通信部414として動作してもよい。
【0098】
【0099】
なお、情報処理装置が図10のすべての構成要素を含む必要はなく、用途又は条件に応じて一部の構成要素を省略することも可能である。例えば、オペレータとのインタフェースが不要な場合は、入力装置1003及び出力装置1004を省略してもよい。可搬型記録媒体1009を使用しない場合は、媒体駆動装置1006を省略してもよい。
【0100】
開示の実施形態とその利点について詳しく説明したが、当業者は、特許請求の範囲に明確に記載した本発明の範囲から逸脱することなく、様々な変更、追加、省略をすることができるであろう。
【符号の説明】
【0101】
101 ログ管理装置
111 第1取得部
112 第2取得部
113 生成部
114、415 記憶部
311 監視対象システム
312 監視装置
313 情報生成システム
314 検証装置
321、322 通信ネットワーク
331、612-2 操作ログ
332、611-1、611-2 認証ログ
333 通信ログ
411、412 取得部
413 監視部
414 通信部
421 インシデントテーブル
422 ログ情報
423、601-1、601-2 付加情報
424、602-1、602-2 ログ証跡
425、426、613-1、613-2、614-1、614-2 証跡情報
427、615-1、615-2 日時情報
1001 CPU
1002 メモリ
1003 入力装置
1004 出力装置
1005 補助記憶装置
1006 媒体駆動装置
1007 ネットワーク接続装置
1008 バス
1009 可搬型記録媒体
111 第1取得部
112 第2取得部
113 生成部
114、415 記憶部
311 監視対象システム
312 監視装置
313 情報生成システム
314 検証装置
321、322 通信ネットワーク
331、612-2 操作ログ
332、611-1、611-2 認証ログ
333 通信ログ
411、412 取得部
413 監視部
414 通信部
421 インシデントテーブル
422 ログ情報
423、601-1、601-2 付加情報
424、602-1、602-2 ログ証跡
425、426、613-1、613-2、614-1、614-2 証跡情報
427、615-1、615-2 日時情報
1001 CPU
1002 メモリ
1003 入力装置
1004 出力装置
1005 補助記憶装置
1006 媒体駆動装置
1007 ネットワーク接続装置
1008 バス
1009 可搬型記録媒体
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】