ホーム > 特許ランキング > 株式会社日立ソリューションズ
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-07-05
(45)【発行日】2022-07-13
(54)【発明の名称】異常検知システム、及び異常検知方法
(51)【国際特許分類】
G06F 21/45 20130101AFI20220706BHJP
G06F 21/31 20130101ALI20220706BHJP
【FI】
G06F21/45
G06F21/31 360
【請求項の数】
6
(21)【出願番号】P 2019101046
(22)【出願日】2019-05-30
(65)【公開番号】P2020194478
(43)【公開日】2020-12-03
【審査請求日】2021-07-02
(73)【特許権者】
【識別番号】000233055
【氏名又は名称】株式会社日立ソリューションズ
(74)【代理人】
【識別番号】110000176
【氏名又は名称】一色国際特許業務法人
(72)【発明者】
【氏名】羽田 幸司
(72)【発明者】
【氏名】河浦 直人
(72)【発明者】
【氏名】押田 勇三
【審査官】吉田 歩
(56)【参考文献】
【文献】特開2016-192185(JP,A)
【文献】特許第6208586(JP,B2)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/45
G06F 21/31
(57)【特許請求の範囲】
【請求項1】
少なくとも1以上の端末と、当該端末と所定の通信ネットワークを介して接続されている複数の情報処理システムとの間に介在する所定の情報管理システムから、前記端末が前記情報管理システムを介して前記情報処理システムに対して行ったユーザ認証の履歴の情報である認証履歴と、前記ユーザ認証に基づきアクセスされた前記情報処理システムの履歴の情報であるアクセス履歴と、前記情報処理システムに関する管理情報とを受信する情報受信部と、前記受信した認証履歴、アクセス履歴、及び管理情報の間の2以上の関係を学習した学習済みモデルを生成する学習済みモデル生成部と、
新たに受信した認証履歴、アクセス履歴、又は管理情報の少なくともいずれかと、前記生成した学習済みモデルとに基づき、ユーザ認証に基づく前記端末による情報通信が異常であるか否かを判定する異常判定部と、
異常であると判定した場合には、その旨を示す警告情報を所定の端末に送信する通知部とを備え、
前記管理情報は、前記複数の情報処理システムのうち前記端末によるアクセスが許可されている情報処理システムを特定する情報を含んでおり、
前記異常判定部は、前記端末がアクセスした前記情報処理システムが、前記管理情報が示す情報処理システムに含まれているか否かを判定し、
前記通知部は、前記端末がアクセスした前記情報処理システムに前記管理情報が示す情報処理システムが含まれていないと判定した場合に、その旨を示す警告情報を所定の端末に送信する、
異常検知システム。
【請求項2】
前記異常判定部は、前記端末の前記情報処理システムへのアクセスパターンに異常があるか否かを判定する、請求項1に記載の異常検知システム。
【請求項3】
前記受信した認証履歴、アクセス履歴、及び管理情報を、前記異常検知システムが読み取り可能な形式で圧縮して記憶する圧縮記憶部を備える、請求項1に記載の異常検知システム。
【請求項4】
ユーザ認証に基づく前記端末による情報通信が異常であると判定された場合に、前記端末の情報通信を停止させる所定のロック信号を送信するロック信号送信部を備える、請求項1に記載の異常検知システム。
【請求項5】
前記異常があると判定した場合に、その異常の内容を示す情報と共に、前記警告情報を前記端末に送信したか否かを示す情報を出力する出力部を備える、請求項1に記載の異常検知システム。
【請求項6】
異常検知システムが、少なくとも1以上の端末と、当該端末と所定の通信ネットワークを介して接続されている複数の情報処理システムとの間に介在する所定の情報管理システムから、前記端末が前記情報管理システムを介して前記情報処理システムに対して行ったユーザ認証の履歴の情報である認証履歴と、前記ユーザ認証に基づきアクセスされた前記情報処理システムの履歴の情報であるアクセス履歴と、前記情報処理システムに関する管理情報とを受信する情報受信処理と、
前記受信した認証履歴、アクセス履歴、及び管理情報の間の2以上の関係を学習した学習済みモデルを生成する学習済みモデル生成処理と、
新たに受信した認証履歴、アクセス履歴、又は管理情報の少なくともいずれかと、前記生成した学習済みモデルとに基づき、ユーザ認証に基づく前記端末による情報通信が異常であるか否かを判定する異常判定処理と、
異常であると判定した場合には、その旨を示す警告情報を所定の端末に送信する通知処理とを実行し、
前記管理情報は、前記複数の情報処理システムのうち前記端末によるアクセスが許可されている情報処理システムを特定する情報を含んでおり、
前記異常判定処理において、前記端末がアクセスした前記情報処理システムが、前記管理情報が示す情報処理システムに含まれているか否かを判定し、
前記通知処理において、前記端末がアクセスした前記情報処理システムに前記管理情報が示す情報処理システムが含まれていないと判定した場合に、その旨を示す警告情報を所定の端末に送信する、
異常検知方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、異常検知システム、及び異常検知方法に関する。
【背景技術】
【0002】
ネットワーク回線の広帯域化及びウェブサービスの進歩に伴い、ウェブ経由でリモートサイトにあるソフトウェア(クラウド)であるSaaS(Software As A Service)の利
用が増加している。そこで、このSaaSシステムを効率よく管理するための仕組みが提案されている。例えば、特許文献1には、SaaSのユーザが操作するクライアント端末に接続し、ユーザの利用予約情報を含む利用スケジュール情報を管理するクライアント管理サーバと、クライアント管理サーバに接続し、SaaSを利用するための識別情報およびSaaS利用状況を管理するSaaSプロキシとを備え、クライアント管理サーバが、ユーザがSaaS利用のための接続要求をした場合、SaaSプロキシから識別情報およびSaaS利用状況を取得し、利用スケジュール情報、SaaS識別情報およびSaaS利用状況に基づいて、ユーザのSaaSの利用可否を判定するSaaS管理システムが記載されている。
用が増加している。そこで、このSaaSシステムを効率よく管理するための仕組みが提案されている。例えば、特許文献1には、SaaSのユーザが操作するクライアント端末に接続し、ユーザの利用予約情報を含む利用スケジュール情報を管理するクライアント管理サーバと、クライアント管理サーバに接続し、SaaSを利用するための識別情報およびSaaS利用状況を管理するSaaSプロキシとを備え、クライアント管理サーバが、ユーザがSaaS利用のための接続要求をした場合、SaaSプロキシから識別情報およびSaaS利用状況を取得し、利用スケジュール情報、SaaS識別情報およびSaaS利用状況に基づいて、ユーザのSaaSの利用可否を判定するSaaS管理システムが記載されている。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2013-168044号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、SaaSサービスの多様化に加え、これらのSaaSを利用するユーザも増大する中で、SaaSサービスに対する不正アクセスに対する脅威が高まっている。
【0005】
本発明はこのような背景に鑑みてなされたものであり、その目的は、SaaSにおける不正アクセスを精度よく検知することが可能な異常検知システム、及び異常検知方法を提供することにある。
【課題を解決するための手段】
【0006】
上記課題を解決するための、本発明の一つは、異常検知システムであって、少なくとも1以上の端末と、当該端末と所定の通信ネットワークを介して接続されている複数の情報処理システムとの間に介在する所定の情報管理システムから、前記端末が前記情報管理システムを介して前記情報処理システムに対して行ったユーザ認証の履歴の情報である認証履歴と、前記ユーザ認証に基づきアクセスされた前記情報処理システムの履歴の情報であるアクセス履歴と、前記情報処理システムに関する管理情報とを受信する情報受信部と、前記受信した認証履歴、アクセス履歴、及び管理情報の間の2以上の関係を学習した学習済みモデルを生成する学習済みモデル生成部と、新たに受信した認証履歴、アクセス履歴、又は管理情報の少なくともいずれかと、前記生成した学習済みモデルとに基づき、ユーザ認証に基づく前記端末による情報通信が異常であるか否かを判定する異常判定部と、異常であると判定した場合には、その旨を示す警告情報を所定の端末に送信する通知部とを備え、前記管理情報は、前記複数の情報処理システムのうち前記端末によるアクセスが許可されている情報処理システムを特定する情報を含んでおり、前記異常判定部は、前記端末がアクセスした前記情報処理システムが、前記管理情報が示す情報処理システムに含まれているか否かを判定し、前記通知部は、前記端末がアクセスした前記情報処理システムに前記管理情報が示す情報処理システムが含まれていないと判定した場合に、その旨を示す警告情報を所定の端末に送信する。
【発明の効果】
【0007】
本発明によれば、SaaSにおける不正アクセスを精度よく検知することができる。
その他、本願が開示する課題、およびその解決手段は、発明を実施するための形態の欄、および図面により明らかになる。
その他、本願が開示する課題、およびその解決手段は、発明を実施するための形態の欄、および図面により明らかになる。
【図面の簡単な説明】
【0008】
【図1】本実施形態に係る異常検知システムの構成及びこれが備える機能の一例を説明する図である。
【図2】認証管理情報の一例を説明する図である。
【図3】利用制御情報の一例を説明する図である。
【図4】ゲートウェイ管理情報の一例を説明する図である。
【図5】異常検知システムにおける各情報処理装置が備えるハードウェアの一例を説明する図である。
【図6】異常検知システムにおいて行われる処理の概要を説明するフロー図である。
【図7】学習処理の一例を説明するフロー図である。
【図8】ログ情報の内容の一例を説明する図である。
【図9】正常ケース情報の内容の一例を示す情報である。
【図10】異常検知処理の一例を説明するフロー図である。
【図11】クライアント端末によるロック処理の一例を示す図である。
【図12】分析結果画面の一例を示す図である。
【発明を実施するための形態】
【0009】
以下、本発明の実施の形態について図面を参照しつつ説明する。
図1は、本実施形態に係る異常検知システム1の構成及びこれが備える機能の一例を説明する図である。異常検知システム1は、1又は複数のクライアント端末10と、複数のクラウド30と、クライアント端末10及び各クラウド30の間に介在するクラウド管理システム100と、分析システム200と、管理者端末20とを備えて構成されている。
図1は、本実施形態に係る異常検知システム1の構成及びこれが備える機能の一例を説明する図である。異常検知システム1は、1又は複数のクライアント端末10と、複数のクラウド30と、クライアント端末10及び各クラウド30の間に介在するクラウド管理システム100と、分析システム200と、管理者端末20とを備えて構成されている。
【0010】
クライアント端末10は、各クラウド30を使用するユーザが使用する情報処理装置である。クラウド30は、1又は複数の情報処理装置によって構成されている情報処理システム(例えば、SaaS:Software as a Service)であり、クライアント端末10がア
クセス可能な、所定のアプリケーションを記憶している。クラウド管理システム100は、クライアント端末10と各クラウド30との間で行われる情報通信を管理している。分析システム200は、クラウド管理システム100から後述する様々な情報を受信することにより、クライアント端末10と各クラウド30との間で行われている情報通信に異常があるか否かを判定する。そして、分析システム200(又は管理者端末20)は、異常があった旨の警告情報を表示する。なお、異常検知システム1における各情報処理装置の間は、LAN(Local Area Network)、WAN(Wide Area Network)、インターネット
、専用線等の有線又は無線の通信ネットワーク5によって通信可能に接続されている。
クセス可能な、所定のアプリケーションを記憶している。クラウド管理システム100は、クライアント端末10と各クラウド30との間で行われる情報通信を管理している。分析システム200は、クラウド管理システム100から後述する様々な情報を受信することにより、クライアント端末10と各クラウド30との間で行われている情報通信に異常があるか否かを判定する。そして、分析システム200(又は管理者端末20)は、異常があった旨の警告情報を表示する。なお、異常検知システム1における各情報処理装置の間は、LAN(Local Area Network)、WAN(Wide Area Network)、インターネット
、専用線等の有線又は無線の通信ネットワーク5によって通信可能に接続されている。
【0011】
図1に示すように、クラウド管理システム100は、統合認証部110、利用制御部120、及びゲートウェイ管理部130の各機能部を備える。統合認証部110は、各クライアント端末10が各クラウド30に対してアクセスを行うに際して行われる認証処理を統合的に管理している。利用制御部120は、各クライアント端末10がアクセスする各クラウド30の管理情報を記憶又は生成している。ゲートウェイ管理部130は、各クライアント端末10からの要求に基づく各クラウド30へのアクセスを管理している。
ここで、クラウド管理システム100が管理する各情報について説明する。
ここで、クラウド管理システム100が管理する各情報について説明する。
【0012】
<認証管理情報>
図2は、統合認証部110が管理している認証管理情報の一例を説明する図である。認証管理情報111は、クライアント端末10からのアクセス日時113、クライアント端末10のネットワーク上の位置を特定する情報であるIPアドレス114、クライアント端末10から送信されてきたユーザID115、及び、クライアント端末10に設定された端末名116の各情報を各レコードに記憶しているデータベースである。
図2は、統合認証部110が管理している認証管理情報の一例を説明する図である。認証管理情報111は、クライアント端末10からのアクセス日時113、クライアント端末10のネットワーク上の位置を特定する情報であるIPアドレス114、クライアント端末10から送信されてきたユーザID115、及び、クライアント端末10に設定された端末名116の各情報を各レコードに記憶しているデータベースである。
【0013】
<利用制御情報>
図3は、利用制御部120が管理している利用制御情報の一例を説明する図である。利用制御情報121は、クライアント端末10からのアクセス日時123、クライアント端末10のネットワーク上の位置を特定する情報であるIPアドレス124、及び、クライアント端末10がアクセスしたクラウド30の管理情報125の各情報を各レコードに記憶しているデータベースである。
図3は、利用制御部120が管理している利用制御情報の一例を説明する図である。利用制御情報121は、クライアント端末10からのアクセス日時123、クライアント端末10のネットワーク上の位置を特定する情報であるIPアドレス124、及び、クライアント端末10がアクセスしたクラウド30の管理情報125の各情報を各レコードに記憶しているデータベースである。
【0014】
<ゲートウェイ管理情報>
図4は、ゲートウェイ管理部130が管理しているゲートウェイ管理情報の一例を説明する図である。ゲートウェイ管理情報131は、クライアント端末10からのアクセス日時133、クライアント端末10のネットワーク上の位置を特定する情報であるIPアドレス134、及び、クライアント端末10がアクセスしたクラウド30の情報である利用クラウド135の各情報を各レコードに記憶しているデータベースである。
図4は、ゲートウェイ管理部130が管理しているゲートウェイ管理情報の一例を説明する図である。ゲートウェイ管理情報131は、クライアント端末10からのアクセス日時133、クライアント端末10のネットワーク上の位置を特定する情報であるIPアドレス134、及び、クライアント端末10がアクセスしたクラウド30の情報である利用クラウド135の各情報を各レコードに記憶しているデータベースである。
【0015】
次に、図1に示すように、分析システム200は、情報受信部211、学習済みモデル生成部213、異常判定部215、通知部217、圧縮記憶部219、ロック信号送信部221、及び出力部223の各機能部を備える。
【0016】
情報受信部211は、クラウド管理システム100から、クライアント端末10からの認証履歴(認証管理情報111)と、クライアント端末10がアクセスを行ったクラウド30の履歴であるアクセス履歴(ゲートウェイ管理情報131)と、クラウド30に関する管理情報(利用制御情報121)とを受信する。
【0017】
なお、本実施形態では、管理情報は、複数のクラウド30のうちクライアント端末10によるアクセスが許可されているクラウド30を特定する情報を含んでいるものとする。
【0018】
学習済みモデル生成部213は、情報受信部211が受信した認証履歴、アクセス履歴、及び管理情報の間の2以上の関係を学習した学習済みモデル250(詳細は後述)を生成する。
【0019】
異常判定部215は、学習済みモデル250の生成後、情報受信部211が新たに受信した認証履歴、管理情報、又はアクセス履歴の少なくともいずれかと、学習済みモデル250とに基づき、クライアント端末10による情報通信に異常が発生しているか否かを判定する。
【0020】
例えば、本実施形態では、異常判定部215は、クライアント端末10がアクセスしたクラウド30が、管理情報が示すクラウド30に含まれているか否かを判定する。
【0021】
また、例えば、前記異常判定部は、クライアント端末10のクラウド30へのアクセスパターンに異常があるか否かを判定する。
【0022】
次に、通知部217は、異常が発生していると異常判定部215が判定した場合には、その旨を示す警告情報をクライアント端末10及び管理者端末20に送信する。前記の例では、通知部217は、クライアント端末10がアクセスしたクラウド30に管理情報が示すクラウド30が含まれていないと判定した場合に、その旨を示す警告情報を送信する。
【0023】
圧縮記憶部219は、情報受信部211が受信した認証履歴、アクセス履歴、及び管理情報を、分析システム200が直接読み取り可能な形式で圧縮して記憶する。
【0024】
ロック信号送信部221は、異常判定部215によって、ユーザ認証に基づくクライアント端末10による情報通信が異常であると判定された場合に、そのクライアント端末10の情報通信を停止させる所定のロック信号を送信する。
【0025】
出力部223は、異常が発生していると異常判定部215が判定した場合に、その異常の内容を特定する情報と共に、警告情報をクライアント端末10及び管理者端末20に送信したか否かを示す情報を出力する。
【0026】
なお、図5は、異常検知システム1における各情報処理装置が備えるハードウェアの一例を説明する図である。各情報処理装置は、CPU(Central Processing Unit)などの
プロセッサ11と、RAM(Random Access Memory)、ROM(Read Only Memory)等のメモリ12と、HDD(Hard Disk Drive)、SSD(Solid State Drive)等の記憶装置13と、キーボード、マウス、又はタッチパネル等の入力装置14と、ディスプレイ又はタッチパネル等の出力装置15と、他の情報処理装置と通信する通信装置16とを備える。異常検知システム1における各情報処理装置(情報処理システム)が備える、前記で説明した各機能部の機能は、各情報処理装置のこれらのハードウェアによって、もしくは、各情報処理装置のプロセッサが、メモリや記憶装置に記憶されている各プログラムを読み出して実行することにより実現される。また、これらのプログラムは、例えば、二次記憶デバイスや不揮発性半導体メモリ、ハードディスクドライブ、SSDなどの記憶デバイス、又は、ICカード、SDカード、DVDなどの、情報処理装置で読み取り可能な非一時的データ記憶媒体に格納される。
プロセッサ11と、RAM(Random Access Memory)、ROM(Read Only Memory)等のメモリ12と、HDD(Hard Disk Drive)、SSD(Solid State Drive)等の記憶装置13と、キーボード、マウス、又はタッチパネル等の入力装置14と、ディスプレイ又はタッチパネル等の出力装置15と、他の情報処理装置と通信する通信装置16とを備える。異常検知システム1における各情報処理装置(情報処理システム)が備える、前記で説明した各機能部の機能は、各情報処理装置のこれらのハードウェアによって、もしくは、各情報処理装置のプロセッサが、メモリや記憶装置に記憶されている各プログラムを読み出して実行することにより実現される。また、これらのプログラムは、例えば、二次記憶デバイスや不揮発性半導体メモリ、ハードディスクドライブ、SSDなどの記憶デバイス、又は、ICカード、SDカード、DVDなどの、情報処理装置で読み取り可能な非一時的データ記憶媒体に格納される。
【0027】
次に、異常検知システム1において行われる処理について説明する。
図6は、異常検知システム1において行われる処理の概要を説明するフロー図である。まず、分析システム200は、クラウド管理システム100から、各種の情報を受信して学習済みモデル250を生成する処理(学習処理)を実行する(s1)。そして、分析システム200は、学習処理の結果を利用して、クライアント端末10による情報通信における異常を検知する異常検知処理を実行する(s3)。これらの処理が繰り返し実行される。以下、学習処理及び異常検知処理の詳細を説明する。
図6は、異常検知システム1において行われる処理の概要を説明するフロー図である。まず、分析システム200は、クラウド管理システム100から、各種の情報を受信して学習済みモデル250を生成する処理(学習処理)を実行する(s1)。そして、分析システム200は、学習処理の結果を利用して、クライアント端末10による情報通信における異常を検知する異常検知処理を実行する(s3)。これらの処理が繰り返し実行される。以下、学習処理及び異常検知処理の詳細を説明する。
【0028】
<学習処理>
図7は、学習処理の一例を説明するフロー図である。分析システム200は、所定のタイミング(例えば、所定の時刻、所定の時間間隔)にて、クラウド管理システム100が出力した認証管理情報111、利用制御情報121、及びゲートウェイ管理情報131を受信する(s101)。そして、分析システム200は、s101で受信した情報を統合した所定のログ情報を生成(更新)する(s103)。
図7は、学習処理の一例を説明するフロー図である。分析システム200は、所定のタイミング(例えば、所定の時刻、所定の時間間隔)にて、クラウド管理システム100が出力した認証管理情報111、利用制御情報121、及びゲートウェイ管理情報131を受信する(s101)。そして、分析システム200は、s101で受信した情報を統合した所定のログ情報を生成(更新)する(s103)。
【0029】
図8は、ログ情報230のデータ項目の一例を説明する図である。ログ情報230は、クライアント端末10からのアクセスに対する認証処理に使用されたユーザID231(認証管理情報111のユーザID115に対応)、アクセスを行ったクライアント端末10の名称であるPC名232(認証管理情報111の端末名116に対応)、アクセスが行われた時間帯である使用時間帯233(認証管理情報111、利用制御情報121、及びゲートウェイ管理情報131における日時113、123、133に対応)、PC名232に係るクライアント端末10のアクセス先のクラウド30である利用クラウド234(ゲートウェイ管理情報131の利用クラウド135に対応)、及び、利用クラウド234に係るクラウド30の管理状況235(利用制御情報121の管理情報125に対応)の各項目の情報を有する少なくとも1以上のレコードで構成されている。なお、管理状況235には、そのクラウド30が所定の管理者(管理者端末20)によって管理されている場合は「管理」が設定され、管理されていない場合は「非管理」が設定される。
【0030】
なお、ログ情報230は、認証管理情報111、利用制御情報121、及びゲートウェイ管理情報131における日時及びIPアドレスの情報が互いに対応づけられることにより作成される。
【0031】
また、このログ情報230は、分析システム200がその内容データの読み取り(検索)が可能なように圧縮された情報(ファイル)である。検索を可能とするには、例えば、圧縮ファイルを生成する際に所定のメタデータ(インデックス)を作成する。なお、データを加工した状態で検索可能とする技術は、例えば、特許第6208586号に開示されており、これを利用することで検索可能な圧縮ファイルを生成することができる。
【0032】
図7のs107に示すように、分析システム200は、学習済みモデル250を生成(更新)するか否かを判定する。例えば、分析システム200は、所定のタイミングが到来した場合、ユーザから所定の入力があった場合、又は、所定量のログ情報230が蓄積された場合に、学習済みモデル250を生成(更新)すると判定する。
【0033】
学習済みモデル250を生成(更新)する場合は(s107:YES)、s109の処理を実行し、学習済みモデル250を生成(更新)しない場合は(s107:NO)、s101以降の処理を繰り返す。
【0034】
s109において分析システム200は、ログ情報230における各項目の任意の組み合わせ(少なくとも1以上の項目)について、その項目の組み合わせ及びその項目の値の関係を学習した学習済みモデル250を生成する。具体的には、例えば、分析システム200は、ユーザID231又はPC名232の値と、使用時間帯233の値との間の関係を学習する。また、分析システム200は、ユーザID231又はPC名232の値と、利用クラウド234の値との間の関係を学習する。また、分析システム200は、ユーザID231又はPC名232の値と、利用クラウド234の値と、管理状況235の値との間の関係を学習する。また、分析システム200は、ユーザID231又はPC名232の値と、使用時間帯233の値と、利用クラウド234の値との間の関係を学習する。
【0035】
そして、分析システム200は、クライアント端末10による情報通信が正常状態である場合のシステム情報を生成する(s111)。具体的には、分析システム200は、s109で生成した学習済みモデル250に対して、ログ情報230の各レコードの情報を入力することにより、前記の各関係が正常な関係を示している、ログ情報230のレコードを特定し、特定したレコードを正常ケース情報270として記憶する。なお、正常状態は、例えば、前記の各関係について、所定頻度以上で出現する、項目の組み合わせ及びその値の範囲であることとする。
【0036】
図9は、正常ケース情報270の内容の一例を示す情報である。正常ケース情報270のレコード構成は、本実施形態では、ログ情報230と同様であるものとする。
【0037】
次に、異常検知処理の詳細を説明する。
<異常検知処理>
図10は、異常検知処理の一例を説明するフロー図である。異常検知処理は、正常ケース情報270が生成された後、所定のタイミング(例えば、所定時刻、所定の時間間隔)にて繰り返し実行される。
<異常検知処理>
図10は、異常検知処理の一例を説明するフロー図である。異常検知処理は、正常ケース情報270が生成された後、所定のタイミング(例えば、所定時刻、所定の時間間隔)にて繰り返し実行される。
【0038】
まず、分析システム200は、クラウド管理システム100が出力した認証管理情報111、利用制御情報121、及びゲートウェイ管理情報131を受信する(s201)。また、クライアント端末100は、s103と同様に、受信したこれらの情報を、ログ情
報230に記憶する(s203)。
報230に記憶する(s203)。
【0039】
分析システム200は、クライアント端末10による情報通信に異常があるか否かを判定する(s205)。具体的には、分析システム200は、s201で受信した情報と、正常ケース情報270の各レコードとを比較する。
【0040】
まず、分析システム200は、通常利用しないユーザがクライアント端末10を操作しているか否かを判定する(s207)。具体的には、分析システム200は、s201で受信した情報におけるユーザIDが、正常ケース情報270の各レコードのいずれにも登録されていないか否かを判定する。
【0041】
通常利用しないユーザがクライアント端末10を操作している場合は(s207:YES)、分析システム200は、後述するs219の処理を実行し、通常利用しないユーザがクライアント端末10を操作していない場合は(s207:NO)、分析システム200は、次述するs209の処理を実行する。
【0042】
s209において分析システム200は、ユーザがクライアント端末10を通常使用しない時間帯に操作しているか否かを判定する。具体的には、分析システム200は、s201で受信した情報におけるユーザIDと利用時間帯が、正常ケース情報270の各レコードのいずれにも登録されていないか否かを判定する。なお、s201で受信した情報にユーザが複数存在する場合は、分析システム200はそのユーザ全てについて判定する。
【0043】
ユーザがクライアント端末10を通常使用しない時間帯に操作している場合は(s209:YES)、分析システム200は、後述するs219の処理を実行し、ユーザがクライアント端末10を通常使用しない時間帯に操作していない場合は(s209:NO)、分析システム200は、次述するs211の処理を実行する。
【0044】
s211において分析システム200は、ユーザが通常使用しないクラウド30にアクセスしているか否かを判定する。具体的には、分析システム200は、s201で受信した情報におけるユーザIDと利用クラウドが、正常ケース情報270の各レコードのいずれにも登録されていないか否かを判定する。なお、s201で受信した情報にユーザが複数存在する場合は、分析システム200はそのユーザ全てについて判定する。
【0045】
ユーザが通常使用しないクラウド30にアクセスしている場合は(s211:YES)、分析システム200は、後述するs219の処理を実行し、ユーザが通常使用しないクラウド30にアクセスしていない場合は(s211:NO)、分析システム200は、次述するs213の処理を実行する。
【0046】
s213において分析システム200は、ユーザが使用を許可されていないクラウド30にアクセスしているか否かを判定する。具体的には、例えば、分析システム200は、s201で受信した情報におけるユーザID及び利用クラウドと同じ内容が記録されている正常ケース情報270のレコードを特定し、特定したレコードの管理状況275が「非管理」であるか否かを判定する。なお、s201で受信した情報にユーザが複数存在する場合は、分析システム200はそのユーザ全てについて判定する。
【0047】
ユーザが使用を許可されていないクラウド30にアクセスしている場合は(s213:YES)、分析システム200は、後述するs219の処理を実行し、ユーザが使用を許可されていないクラウド30にアクセスしていない場合は(s213:NO)、分析システム200は、次述するs215の処理を実行する。
【0048】
s215において分析システム200は、クライアント端末10による情報通信にその他の異常があるか否か判定する。具体的には、分析システム200は、s201で受信した全ての情報の内容が、正常ケース情報270の各レコードのいずれにも登録されていないか否かを判定する(これまでに判定したものを除く)。なお、s201で受信した情報にユーザが複数存在する場合は、分析システム200はそのユーザ全てについて判定する。
【0049】
なお、その他の異常とは、例えば、あるユーザ(クライアント端末10)がこれまでに通常行わない時間帯に所定のクラウド30に対してアクセスしている場合、あるユーザ(クライアント端末10)がこれまでに行っていない頻度又はパターンで所定のクラウド30に対してアクセスしている場合、ユーザがこれまでに通常使用していないクライアント端末10を使用して認証を行っている場合、等がある。
【0050】
クライアント端末10による情報通信にその他の異常がある場合は(s215:YES)、分析システム200は、後述するs219の処理を実行し、クライアント端末10による情報通信にその他の異常がない場合は(s215:NO)、分析システム200は、次述するs217の処理を実行する。
【0051】
s217において分析システム200は、所定のクラウド30に対して集中的にアクセスがなされているか否かを判定する。具体的には、分析システム200は、直近の所定時間(例えば、所定秒)に蓄積した、s201に係る情報を集計し、所定のクラウド30に対するアクセスが所定回数以上であるか否かを判定する(これまでに判定したものを除く)。なお、この回数の算出にあたっては、アクセス元(ユーザ又はクライアント端末10)ごとに集計してもよい。
【0052】
所定のクラウド30に対して集中的にアクセスがなされている場合は(s217:YES)、分析システム200は、次述するs219の処理を実行し、所定のクラウド30に対して集中的にアクセスがなされていない場合は(s217:NO)、分析システム200は、後述するs223の処理を実行する。
【0053】
s219において分析システム200は、異常の判定内容に応じた、クライアント端末10による情報通信に異常がある旨の警告情報又は所定のロック信号(例えば、所定のユーザIDによる認証を禁止するための信号。なお、所定のクライアント端末10も禁止対象としてもよい。)を当該クライアント端末10に送信する。また、分析システム200は、同様の警告情報を管理者端末20に送信する(s221)。その後、分析システム200は、後述するs223の処理を実行する。なお、分析システム200は、ユーザから、警告情報の送信をするための入力を待機するようにしてもよい。
【0054】
なお、図11は、クライアント端末10が行うロック処理の一例を示すフロー図である。同図に示すように、クライアント端末10は、s219の処理に基づくロック信号を受信すると(s301)、予め組み込まれた所定のプログラムにより、ロック信号が指定するアカウント(ユーザID)による認証を禁止する。これにより、所定のユーザIDによる、クライアント端末10からクラウド30へのアクセスが禁じられる。
【0055】
次に、図10のs223に示すように分析システム200は、現在までの分析状況(異常の検知状況)を示す分析結果画面を表示する。以上で異常検知処理は終了する。
【0056】
図12は、分析結果画面の一例を示す図である。分析結果画面400は、異常判定の対象となったアクセスの日時401、そのアクセスにおいて認証に使用されたユーザID402、そのアクセスを行ったクライアント端末名403、そのアクセス先のクラウドであ
る利用クラウド404、そのアクセスに対する異常判定の結果405(「正常」又は「異常」が表示される)、及び、結果405が「異常」であった場合に分析システム200が行った通知406の各情報の一覧を表示した画面である。通知406には、分析システム200が警告情報を送信した場合には「通知済み」が設定され、分析システム200が警告情報を未だ送信していない場合には「未通知」が設定される。
る利用クラウド404、そのアクセスに対する異常判定の結果405(「正常」又は「異常」が表示される)、及び、結果405が「異常」であった場合に分析システム200が行った通知406の各情報の一覧を表示した画面である。通知406には、分析システム200が警告情報を送信した場合には「通知済み」が設定され、分析システム200が警告情報を未だ送信していない場合には「未通知」が設定される。
【0057】
以上のように、本実施形態の異常検知システム1は、クラウド管理システム100から、認証履歴(認証管理情報111)、アクセス履歴(ゲートウェイ管理情報131)、及び管理情報(利用制御情報121)を受信することで、これらの間の関係を学習した学習済みモデル250を生成しておき、この学習済みモデル250と、新たに受信した認証履歴、管理情報、又はアクセス履歴とに基づき、ユーザの認証に基づくクライアント端末10による情報通信が異常であるか否かを判定し、異常と判定した場合には警告情報をクライアント端末10(管理者端末20)に送信する。このように、本実施形態の異常検知システム1は、不正アクセスの原因となりうる各情報の関係を学習した学習済みモデル250を利用することで、クライアント端末10によるクラウド30への不正アクセスを精度よく検知することができる。
【0058】
また、本実施形態の異常検知システム1においては、前記管理情報は、前記複数の情報処理システムのうち前記端末によるアクセスが許可されている情報処理システムを特定する情報を含んでおり、前記異常判定部は、前記端末がアクセスした前記情報処理システムが、前記管理情報が示す情報処理システムに含まれているか否かを判定し、前記通知部は、前記端末がアクセスした前記情報処理システムに前記管理情報が示す情報処理システムが含まれていないと判定した場合に、その旨を示す警告情報を所定の端末に送信する。
【0059】
このように、クライアント端末10がアクセスしたクラウド30に管理情報が示すクラウド30が含まれているか否かを判定することで、クライアント端末10が、管理対象となっていないクラウド30にアクセスしていることを検知し、不正アクセスを未然に防止することができる。
【0060】
また、本実施形態の異常検知システム1においては、前記異常判定部は、前記端末の前記情報処理システムへのアクセスパターンに異常があるか否かを判定する。
【0061】
これにより、不正なアクセスをしている可能性が高い、クライアント端末10からクラウド30へのアクセスを検知することができる。
【0062】
また、本実施形態の異常検知システム1は、前記受信した認証履歴、アクセス履歴、及び管理情報を、前記異常検知システムが直接読み取り可能な形式で圧縮して記憶する圧縮記憶部を備える。
【0063】
これにより、大量に蓄積されるデータが異常検知システム1のリソースを圧迫しないようにし、また、異常検知システム1により異常検知の処理の速度が低下することを防ぐことができる。
【0064】
また、本実施形態の異常検知システム1は、ユーザ認証に基づく前記端末による情報通信が異常であると判定された場合に、前記端末の情報通信を停止させる所定のロック信号を送信するロック信号送信部を備える。
【0065】
これにより、クラウド30に不正アクセスが行われるのを未然に防ぐことができる。
【0066】
また、本実施形態の異常検知システム1は、前記異常があると判定した場合に、その異
常の内容を示す情報と共に、前記警告情報を前記端末に送信したか否かを示す情報を出力する出力部を備える。
常の内容を示す情報と共に、前記警告情報を前記端末に送信したか否かを示す情報を出力する出力部を備える。
【0067】
これにより、異常検知システム1の管理者等は、異常検知システム1が検知した異常がユーザに周知されているか否かを確認することができる。これにより、管理者等によるSaaSシステムの管理が容易となる。
【0068】
以上の実施形態の説明は、本発明の理解を容易にするためのものであり、本発明を限定するものではない。本発明はその趣旨を逸脱することなく、変更、改良され得ると共に本発明にはその等価物が含まれる。
【0069】
例えば、クラウド管理システム100と分析システム200はハードウェア的に一体的に構成されていてもよい。
【0070】
また、本実施形態では、分析結果画面400は管理者端末20が表示するものとしたが、その他の情報処理装置が表示するものとしてもよい。
【0071】
また、クラウド管理システム100の構成は本実施形態に示したものに限られず、様々な情報やアクセスを管理するものが含まれる。
【符号の説明】
【0072】
1 異常検知システム、10 クライアント端末、20 管理者端末、30 クラウド、100 クラウド管理システム、200 分析システム
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】