(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-10-11
(45)【発行日】2022-10-19
(54)【発明の名称】ログ出力装置、ログ出力方法およびログ出力システム
(51)【国際特許分類】
G06F 21/55 20130101AFI20221012BHJP
G06F 11/34 20060101ALI20221012BHJP
G06F 11/30 20060101ALI20221012BHJP
【FI】
G06F21/55 320
G06F11/34 176
G06F11/30 175
【請求項の数】
21
(21)【出願番号】P 2018164537
(22)【出願日】2018-09-03
(65)【公開番号】P2020038439
(43)【公開日】2020-03-12
【審査請求日】2021-06-28
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成29年度、国立研究開発法人新エネルギー・産業技術総合開発機構「戦略的イノベーション創造プログラム(SIP)/重要インフラ等におけるサイバーセキュリティの確保/(b5)IoTセキュリティ社会実装(IoTセキュリティ社会実装技術の研究開発)」委託研究、産業技術力強化法第19条の適用を受ける特許出願
(73)【特許権者】
【識別番号】000005821
【氏名又は名称】パナソニックホールディングス株式会社
(74)【代理人】
【識別番号】110002000
【氏名又は名称】特許業務法人栄光特許事務所
(72)【発明者】
【氏名】麻生 忠臣
(72)【発明者】
【氏名】武藤 浩二
(72)【発明者】
【氏名】伊與木 裕
【審査官】平井 誠
(56)【参考文献】
【文献】米国特許出願公開第2017/0163670(US,A1)
【文献】特開2014-170327(JP,A)
【文献】特開2003-091434(JP,A)
【文献】特開2003-006004(JP,A)
【文献】特許第5966076(JP,B1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/55
G06F 11/34
G06F 11/30
(57)【特許請求の範囲】
【請求項1】
処理の実行履歴を示すログを生成する生成部と、
前記処理が異常であることを示す第1の静的情報を含む第1のリストと、前記処理が正常であることを示す第2の静的情報を含む第2のリストと、前記ログに応じてそのログの出力の要否を決定するための動的情報を含む第3のリストと、を保持するメモリと、
前記生成部により生成されたログが前記第1の静的情報を有する場合にそのログの出力を決定するとともに、前記生成部により生成されたログが前記第2の静的情報を有する場合にそのログの非出力を決定する選別部と、を備え、
前記選別部は、前記生成部により生成されたログと前記第3のリストとに基づいて、そのログの出力の要否を決定し、
前記メモリは、前記第3のリストを用いたログの出力または非出力の決定の要否を判定するための複数の限定条件を含む第4のリストをさらに保持し、
前記選別部は、前記生成部により生成されたログが前記限定条件と一致する場合に、そのログに対する、前記第3のリストを用いたログの出力または非出力の決定を行うと判定する、
ログ出力装置。
【請求項2】
処理の実行履歴を示すログを生成する生成部と、
前記処理が異常であることを示す第1の静的情報を含む第1のリストと、前記処理が正常であることを示す第2の静的情報を含む第2のリストと、前記ログに応じてそのログの出力の要否を決定するための動的情報を含む第3のリストと、を保持するメモリと、
前記生成部により生成されたログが前記第1の静的情報を有する場合にそのログの出力を決定するとともに、前記生成部により生成されたログが前記第2の静的情報を有する場合にそのログの非出力を決定する選別部と、を備え、
前記選別部は、前記生成部により生成されたログと前記第3のリストとに基づいて、そのログの出力の要否を決定し、
前記メモリは、前記第3のリストを用いたログの出力または非出力の決定の要否を判定するための複数の限定条件を含む第4のリストをさらに保持し、
前記選別部は、前記生成部により生成されたログが前記限定条件と一致する場合に、そのログに対する、前記第3のリストを用いたログの出力または非出力の決定を行わないと判定して出力または非出力を決定する、
ログ出力装置。
【請求項3】
過去に出力されたログに基づく比較情報を生成して前記動的情報として登録する登録部、をさらに備え、前記選別部は、前記生成部により生成されたログが前記比較情報と一致した場合にそのログの非出力を決定する、
請求項1または2に記載のログ出力装置。
【請求項4】
処理の実行履歴を示すログを生成する生成部と、
前記処理が異常であることを示す第1の静的情報を含む第1のリストと、前記処理が正常であることを示す第2の静的情報を含む第2のリストと、前記ログに応じてそのログの出力の要否を決定するための動的情報を含む第3のリストと、を保持するメモリと、
前記生成部により生成されたログが前記第1の静的情報を有する場合にそのログの出力を決定するとともに、前記生成部により生成されたログが前記第2の静的情報を有する場合にそのログの非出力を決定する選別部と、を備え、
前記選別部は、前記生成部により生成されたログと前記第3のリストとに基づいて、そのログの出力の要否を決定し、
過去に出力されたログに基づく比較情報を生成して前記動的情報として登録する登録部、をさらに備え、
前記選別部は、前記生成部により生成されたログが前記比較情報と一致した場合にそのログの非出力を決定し、
前記メモリは、前記比較情報を削除するための複数の優先条件を含む第5のリストをさらに保持し、
前記選別部は、前記動的情報として登録可能な個数の前記比較情報が登録され、かつ前記生成部により生成されたログが前記優先条件のうちいずれかに一致する場合に、その優先条件と一致する前記比較情報を削除する、
ログ出力装置。
【請求項5】
処理の実行履歴を示すログを生成する生成部と、
前記処理が異常であることを示す第1の静的情報を含む第1のリストと、前記処理が正常であることを示す第2の静的情報を含む第2のリストと、前記ログに応じてそのログの出力の要否を決定するための動的情報を含む第3のリストと、を保持するメモリと、
前記生成部により生成されたログが前記第1の静的情報を有する場合にそのログの出力を決定するとともに、前記生成部により生成されたログが前記第2の静的情報を有する場合にそのログの非出力を決定する選別部と、を備え、
前記選別部は、前記生成部により生成されたログと前記第3のリストとに基づいて、そのログの出力の要否を決定し、
過去に出力されたログに基づく比較情報を生成して前記動的情報として登録する登録部、をさらに備え、
前記選別部は、前記生成部により生成されたログが前記比較情報と一致した場合にそのログの非出力を決定し、
前記メモリは、前記比較情報を削除しないための複数の優先条件を含む第5のリストをさらに保持し、
前記選別部は、前記動的情報として登録可能な個数の前記比較情報が登録され、かつ前記生成部により生成されたログが前記優先条件のうちいずれかに一致する場合に、その優先条件と一致する前記比較情報を削除しない、
ログ出力装置。
【請求項6】
前記登録部は、複数の前記比較情報を生成して前記動的情報として登録する、請求項3~5のうちいずれか一項に記載のログ出力装置。
【請求項7】
処理の実行履歴を示すログを生成する生成部と、
前記処理が異常であることを示す第1の静的情報を含む第1のリストと、前記処理が正常であることを示す第2の静的情報を含む第2のリストと、前記ログに応じてそのログの出力の要否を決定するための動的情報を含む第3のリストと、を保持するメモリと、
前記生成部により生成されたログが前記第1の静的情報を有する場合にそのログの出力を決定するとともに、前記生成部により生成されたログが前記第2の静的情報を有する場合にそのログの非出力を決定する選別部と、を備え、
前記選別部は、前記生成部により生成されたログと前記第3のリストとに基づいて、そのログの出力の要否を決定し、
過去に出力されたログに基づく比較情報を生成して前記動的情報として登録する登録部、をさらに備え、
前記選別部は、前記生成部により生成されたログが前記比較情報と一致した場合にそのログの非出力を決定し、
前記登録部は、複数の前記比較情報を生成して前記動的情報として登録し、
前記選別部は、前記動的情報を構成する複数の前記比較情報の中から、最も古い比較情報を削除する、
ログ出力装置。
【請求項8】
処理の実行履歴を示すログを生成する生成部と、
前記処理が異常であることを示す第1の静的情報を含む第1のリストと、前記処理が正常であることを示す第2の静的情報を含む第2のリストと、前記ログに応じてそのログの出力の要否を決定するための動的情報を含む第3のリストと、を保持するメモリと、
前記生成部により生成されたログが前記第1の静的情報を有する場合にそのログの出力を決定するとともに、前記生成部により生成されたログが前記第2の静的情報を有する場合にそのログの非出力を決定する選別部と、を備え、
前記選別部は、前記生成部により生成されたログと前記第3のリストとに基づいて、そのログの出力の要否を決定し、
過去に出力されたログに基づく比較情報を生成して前記動的情報として登録する登録部、をさらに備え、
前記選別部は、前記生成部により生成されたログが前記比較情報と一致した場合にそのログの非出力を決定し、
前記登録部は、複数の前記比較情報を生成して前記動的情報として登録し、
前記比較情報は、その比較情報を満たすログの生成回数を示す出現頻度を保持し、
前記選別部は、前記動的情報を構成する複数の前記比較情報の中から、前記出現頻度の最も少ない比較情報を削除する、
ログ出力装置。
【請求項9】
処理の実行履歴を示すログを生成する生成部と、
前記処理が異常であることを示す第1の静的情報を含む第1のリストと、前記処理が正常であることを示す第2の静的情報を含む第2のリストと、前記ログに応じてそのログの出力の要否を決定するための動的情報を含む第3のリストと、を保持するメモリと、
前記生成部により生成されたログが前記第1の静的情報を有する場合にそのログの出力を決定するとともに、前記生成部により生成されたログが前記第2の静的情報を有する場合にそのログの非出力を決定する選別部と、を備え、
前記選別部は、前記生成部により生成されたログと前記第3のリストとに基づいて、そのログの出力の要否を決定し、
過去に出力されたログに基づく比較情報を生成して前記動的情報として登録する登録部、をさらに備え、
前記選別部は、前記生成部により生成されたログが前記比較情報と一致した場合にそのログの非出力を決定し、
前記登録部は、複数の前記比較情報を生成して前記動的情報として登録し、
前記比較情報は、その比較情報が前記動的情報として登録された登録時刻を保持し、
前記選別部は、前記動的情報を構成する複数の前記比較情報の中から、前記登録時刻の最も古い比較情報を削除する、
ログ出力装置。
【請求項10】
前記比較情報は、前記過去に出力されたログの内容の一部を含む比較条件と、その比較条件と一致するログが生成される頻度情報とを有する、請求項3~9のうちいずれか一項に記載のログ出力装置。
【請求項11】
前記頻度情報は、前記生成部により生成されたログが前記比較条件と一致した回数を示す出現回数を少なくとも有し、前記選別部は、前記出現回数が第1の既定値未満であると判定した場合に、前記生成部により生成されたログの非出力を決定する、
請求項10に記載のログ出力装置。
【請求項12】
前記頻度情報は、前記比較条件と一致したログが前記生成部により生成された時点からの経過時間を少なくとも有し、前記選別部は、前記経過時間が第2の既定値未満であると判定した場合に、前記生成部により生成されたログの非出力を決定する、
請求項10に記載のログ出力装置。
【請求項13】
前記頻度情報は、前記比較条件と一致したログの生成時刻を少なくとも有し、前記選別部は、現在時刻が前記生成時刻からの経過時間が第2の既定値未満であると判定した場合に、前記生成部により生成されたログの非出力を決定する、
請求項10に記載のログ出力装置。
【請求項14】
ログ出力装置におけるログ出力方法であって、前記ログ出力装置のメモリは、処理が異常であることを示す第1の静的情報を含む第1のリストと、前記処理が正常であることを示す第2の静的情報を含む第2のリストと、前記処理の実行履歴を示すログに応じてそのログの出力の要否を決定するための動的情報を含む第3のリストと、を保持し、
前記ログ出力方法は、
前記処理の実行履歴を示すログを生成するステップと、
前記生成されたログが前記第1の静的情報を有する場合にそのログの出力を決定するとともに、前記生成されたログが前記第2の静的情報を有する場合にそのログの非出力を決定するステップと、
前記生成されたログと前記第3のリストとに基づいて、そのログの出力の要否を決定するステップと、を有し、
前記メモリは、前記第3のリストを用いたログの出力または非出力の決定の要否を判定するための複数の限定条件を含む第4のリストをさらに保持し、
前記決定するステップにおいて、前記生成されたログが前記限定条件と一致する場合に、そのログに対する、前記第3のリストを用いたログの出力または非出力の決定を行うと判定する、
ログ出力方法。
【請求項15】
ログ出力装置におけるログ出力方法であって、
前記ログ出力装置のメモリは、処理が異常であることを示す第1の静的情報を含む第1のリストと、前記処理が正常であることを示す第2の静的情報を含む第2のリストと、前記処理の実行履歴を示すログに応じてそのログの出力の要否を決定するための動的情報を含む第3のリストと、を保持し、
前記ログ出力方法は、
前記処理の実行履歴を示すログを生成するステップと、
前記生成されたログが前記第1の静的情報を有する場合にそのログの出力を決定するとともに、前記生成されたログが前記第2の静的情報を有する場合にそのログの非出力を決定するステップと、を有し、
前記決定するステップにおいて、前記生成されたログと前記第3のリストとに基づいて、そのログの出力の要否を決定し、
前記メモリは、前記第3のリストを用いたログの出力または非出力の決定の要否を判定するための複数の限定条件を含む第4のリストをさらに保持し、
前記決定するステップにおいて、前記生成されたログが前記限定条件と一致する場合に、そのログに対する、前記第3のリストを用いたログの出力または非出力の決定を行わないと判定して出力または非出力を決定する、
ログ出力方法。
【請求項16】
ログ出力装置におけるログ出力方法であって、
前記ログ出力装置のメモリは、処理が異常であることを示す第1の静的情報を含む第1のリストと、前記処理が正常であることを示す第2の静的情報を含む第2のリストと、前記処理の実行履歴を示すログに応じてそのログの出力の要否を決定するための動的情報を含む第3のリストと、を保持し、
前記ログ出力方法は、
前記処理の実行履歴を示すログを生成するステップと、
前記生成されたログが前記第1の静的情報を有する場合にそのログの出力を決定するとともに、前記生成されたログが前記第2の静的情報を有する場合にそのログの非出力を決定するステップと、を有し、
前記決定するステップにおいて、前記生成されたログと前記第3のリストとに基づいて、そのログの出力の要否を決定し、
過去に出力されたログに基づく比較情報を生成して前記動的情報として登録するステップ、をさらに備え、
前記決定するステップにおいて、前記生成されたログが前記比較情報と一致した場合にそのログの非出力を決定し、
前記メモリは、前記比較情報を削除するための複数の優先条件を含む第5のリストをさらに保持し、
前記決定するステップにおいて、前記動的情報として登録可能な個数の前記比較情報が登録され、かつ前記生成されたログが前記優先条件のうちいずれかに一致する場合に、その優先条件と一致する前記比較情報を削除する、
ログ出力方法。
【請求項17】
ログ出力装置におけるログ出力方法であって、
前記ログ出力装置のメモリは、処理が異常であることを示す第1の静的情報を含む第1のリストと、前記処理が正常であることを示す第2の静的情報を含む第2のリストと、前記処理の実行履歴を示すログに応じてそのログの出力の要否を決定するための動的情報を含む第3のリストと、を保持し、
前記ログ出力方法は、
前記処理の実行履歴を示すログを生成するステップと、
前記生成されたログが前記第1の静的情報を有する場合にそのログの出力を決定するとともに、前記生成されたログが前記第2の静的情報を有する場合にそのログの非出力を決定するステップと、を有し、
前記決定するステップにおいて、前記生成されたログと前記第3のリストとに基づいて、そのログの出力の要否を決定し、
過去に出力されたログに基づく比較情報を生成して前記動的情報として登録するステップ、をさらに備え、
前記決定するステップにおいて、前記生成されたログが前記比較情報と一致した場合にそのログの非出力を決定し、
前記メモリは、前記比較情報を削除しないための複数の優先条件を含む第5のリストをさらに保持し、
前記決定するステップにおいて、前記動的情報として登録可能な個数の前記比較情報が登録され、かつ前記生成されたログが前記優先条件のうちいずれかに一致する場合に、その優先条件と一致する前記比較情報を削除しない、
ログ出力方法。
【請求項18】
ログ出力装置におけるログ出力方法であって、
前記ログ出力装置のメモリは、処理が異常であることを示す第1の静的情報を含む第1のリストと、前記処理が正常であることを示す第2の静的情報を含む第2のリストと、前記処理の実行履歴を示すログに応じてそのログの出力の要否を決定するための動的情報を含む第3のリストと、を保持し、
前記ログ出力方法は、
前記処理の実行履歴を示すログを生成するステップと、
前記生成されたログが前記第1の静的情報を有する場合にそのログの出力を決定するとともに、前記生成されたログが前記第2の静的情報を有する場合にそのログの非出力を決定するステップと、を有し、
前記決定するステップにおいて、前記生成されたログと前記第3のリストとに基づいて、そのログの出力の要否を決定し、
過去に出力されたログに基づく比較情報を生成して前記動的情報として登録するステップ、をさらに備え、
前記決定するステップにおいて、前記生成されたログが前記比較情報と一致した場合にそのログの非出力を決定し、
前記登録するステップにおいて、複数の前記比較情報を生成して前記動的情報として登録し、
前記決定するステップにおいて、前記動的情報を構成する複数の前記比較情報の中から、最も古い比較情報を削除する、
ログ出力方法。
【請求項19】
ログ出力装置におけるログ出力方法であって、
前記ログ出力装置のメモリは、処理が異常であることを示す第1の静的情報を含む第1のリストと、前記処理が正常であることを示す第2の静的情報を含む第2のリストと、前記処理の実行履歴を示すログに応じてそのログの出力の要否を決定するための動的情報を含む第3のリストと、を保持し、
前記ログ出力方法は、
前記処理の実行履歴を示すログを生成するステップと、
前記生成されたログが前記第1の静的情報を有する場合にそのログの出力を決定するとともに、前記生成されたログが前記第2の静的情報を有する場合にそのログの非出力を決定するステップと、を有し、
前記決定するステップにおいて、前記生成されたログと前記第3のリストとに基づいて、そのログの出力の要否を決定し、
過去に出力されたログに基づく比較情報を生成して前記動的情報として登録するステップ、をさらに備え、
前記決定するステップにおいて、前記生成されたログが前記比較情報と一致した場合にそのログの非出力を決定し、
前記登録するステップにおいて、複数の前記比較情報を生成して前記動的情報として登録し、
前記比較情報は、その比較情報を満たすログの生成回数を示す出現頻度を保持し、
前記決定するステップにおいて、前記動的情報を構成する複数の前記比較情報の中から、前記出現頻度の最も少ない比較情報を削除する、
ログ出力方法。
【請求項20】
ログ出力装置におけるログ出力方法であって、
前記ログ出力装置のメモリは、処理が異常であることを示す第1の静的情報を含む第1のリストと、前記処理が正常であることを示す第2の静的情報を含む第2のリストと、前記処理の実行履歴を示すログに応じてそのログの出力の要否を決定するための動的情報を含む第3のリストと、を保持し、
前記ログ出力方法は、
前記処理の実行履歴を示すログを生成するステップと、
前記生成されたログが前記第1の静的情報を有する場合にそのログの出力を決定するとともに、前記生成されたログが前記第2の静的情報を有する場合にそのログの非出力を決定するステップと、を備え、
前記決定するステップにおいて、前記生成されたログと前記第3のリストとに基づいて、そのログの出力の要否を決定し、
過去に出力されたログに基づく比較情報を生成して前記動的情報として登録するステップ、をさらに備え、
前記決定するステップにおいて、前記生成されたログが前記比較情報と一致した場合にそのログの非出力を決定し、
前記登録するステップにおいて、複数の前記比較情報を生成して前記動的情報として登録し、
前記比較情報は、その比較情報が前記動的情報として登録された登録時刻を保持し、
前記決定するステップにおいて、前記動的情報を構成する複数の前記比較情報の中から、前記登録時刻の最も古い比較情報を削除する、
ログ出力方法。
【請求項21】
請求項1~13のうちいずれか一項に記載のログ出力装置と、前記ログ出力装置からのログを解析するサーバ装置とが通信可能に接続されたログ出力システム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、ログ出力装置、ログ出力方法およびログ出力システムに関する。
【背景技術】
【0002】
IoT(Internet of Things)機器は、「モノのインターネット」とも呼ばれ、プロセッサおよび作動デバイスを有し、プロセッサの指示に従って作動デバイスにより取得されたデータもしくは情報を、通信ネットワーク(例えばインターネット)を介して接続された通信相手に対して送信可能な機器である。作動デバイスとは、例えば、所定の事象もしくはパラメータを検出するためのセンシングデバイス、または画角内の被写体を撮像するための撮像デバイスである。IoT機器は、PC(Personal Computer)等の情報処理装置と同様、作動デバイスにより何かしらのイベントを実行すると、そのイベントの実行あるいは他の機器との間の通信に関する履歴を示すログを生成する。
【0003】
特許文献1には、悪性または良性であることが既知の通信ログの特徴を表す第1の文字列、および第1の文字列と対象通信ログの特徴である文字列とが結合された第2の文字列を圧縮し、圧縮された第1の文字列のデータサイズおよび圧縮された第2の文字列のデータサイズを基に、対象通信ログが悪性であるか良性であるかを判定するためのスコアを算出する悪性通信ログ検出装置が開示されている。この悪性通信ログ検出装置は、算出されたスコアおよび所定のパラメータを基に、対象通信ログが悪性であるか良性であるかを判定する。
【先行技術文献】
【特許文献】
【0004】
【文献】国際公開第2017/221667号
【発明の概要】
【発明が解決しようとする課題】
【0005】
昨今、PC等の情報処理装置のログ(例えば通信履歴)を分析して、その情報処理装置が危険にさらされていないか(例えば、第三者からサイバー攻撃を受けていないか)を判断するセキュリティ技術として、SIEM(Security Information and Event Management)が知られている。SIEM対応機器は、情報処理装置から送られた複数のログを収集し、収集されたそれぞれのログを分析することで、その情報処理装置に対する攻撃もしくはその攻撃の前兆をいち早く検知して管理者に知らせることが可能である。
【0006】
ここで、上述したIoT機器の普及に伴い、SIEMのサービスの対象範囲をPC等の情報処理装置だけでなくIoT機器にまで展開する可能性が考えられる。この場合、非常に多くの数のIoT機器からSIEMにログが送られることになるので、SIEMにおけるログの分析対象数が莫大に増加し、SIEMの処理負担が増加する。つまり、PC等の情報処理装置に比べて配置数が多いIoT機器が全てログをSIEMに報告(送信)してしまうと、通信ネットワークのトラフィックが増大するだけでなく、SIEMにおける分析処理が煩雑になる。
【0007】
また、IoT機器は上述したPC等の情報処理装置に比べて搭載されているプロセッサの性能が低いので、出力されるログの量が多くなると、IoT機器自体の通常処理に関する基本機能に悪影響が出て、処理遅延等の懸念が生じる。上述した特許文献1においても、一つ一つのIoT機器からSIEMに対して数多くのログが都度送信される場合に生じ得る、トラフィックの増大を軽減したりIoT機器からのログの出力を抑制したりする技術的な対策は考慮されていない。
【0008】
本開示は、上述した従来の事情に鑑みて案出され、処理履歴として生成されたログに応じて、SIEMへの報告対象となるログを適正に選別し、通常処理に関する基本機能への悪影響ならびに通信ネットワークのトラフィックの増大を抑制するログ出力装置、ログ出力方法およびログ出力システムを提供することを目的とする。
【課題を解決するための手段】
【0009】
本開示は、処理の実行履歴を示すログを生成する生成部と、前記処理が異常であることを示す第1の静的情報を含む第1のリストと、前記処理が正常であることを示す第2の静的情報を含む第2のリストと、前記ログに応じてそのログの出力の要否を決定するための動的情報を含む第3のリストと、を保持するメモリと、前記生成部により生成されたログが前記第1の静的情報を有する場合にそのログの出力を決定するとともに、前記生成部により生成されたログが前記第2の静的情報を有する場合にそのログの非出力を決定する選別部と、を備え、前記選別部は、前記生成部により生成されたログと前記第3のリストとに基づいて、そのログの出力の要否を決定し、前記メモリは、前記第3のリストを用いたログの出力または非出力の決定の要否を判定するための複数の限定条件を含む第4のリストをさらに保持し、前記選別部は、前記生成部により生成されたログが前記限定条件と一致する場合に、そのログに対する、前記第3のリストを用いたログの出力または非出力の決定を行うと判定する、ログ出力装置を提供する。
【0010】
また、本開示は、ログ出力装置におけるログ出力方法であって、前記ログ出力装置のメモリは、処理が異常であることを示す第1の静的情報を含む第1のリストと、前記処理が正常であることを示す第2の静的情報を含む第2のリストと、前記ログに応じてそのログの出力の要否を決定するための動的情報を含む第3のリストと、を保持し、前記ログ出力方法は、前記処理の実行履歴を示すログを生成するステップと、前記生成されたログが前記第1の静的情報を有する場合にそのログの出力を決定するとともに、前記生成されたログが前記第2の静的情報を有する場合にそのログの非出力を決定するステップと、前記生成されたログと前記第3のリストとに基づいて、そのログの出力の要否を決定するステップと、を有し、前記メモリは、前記第3のリストを用いたログの出力または非出力の決定の要否を判定するための複数の限定条件を含む第4のリストをさらに保持し、前記決定するステップにおいて、前記生成されたログが前記限定条件と一致する場合に、そのログに対する、前記第3のリストを用いたログの出力または非出力の決定を行うと判定する、ログ出力方法を提供する。
【発明の効果】
【0012】
本開示によれば、処理履歴として生成されたログに応じて、SIEMへの報告対象となるログを適正に選別し、通常処理に関する基本機能への悪影響ならびに通信ネットワークのトラフィックの増大を抑制できる。
【図面の簡単な説明】
【0013】
【図1】実施の形態1に係るログ出力システムのシステム構成例を示す図
【図2】実施の形態1に係るIoT機器の内部構成例を示すブロック図
【図3A】ログの構成例を示す図
【図3B】ログの構成例を示す図
【図4A】ログIDの構成例を示す図
【図4B】ログの種別例を示す図
【図5A】ブラックリスト、ホワイトリスト、動的リストを構成する項目例を示す図
【図5B】実施の形態1に係るIoT機器の動作概要例を示す説明図
【図6】実施の形態1に係るIoT機器の動作手順を時系列に示すフローチャート
【図7】動的リストの構成例を示す図
【図8A】限定条件リストの構成例を示す図
【図8B】ログのメッセージ中に記載されるキー文字列の一例を示す図
【図9A】Webサーバへの正常なアクセス時のログの一例を示す図
【図9B】Webサーバへのアクセスのエラー時のログの一例を示す図
【図9C】限定条件(1)の条件を用いた判断手順例を示す簡易的なフローチャート
【図10A】正常系ログのDetailIDごとのログの一例を示す図
【図10B】限定条件(2),(3)の条件を用いた判断手順例を示す簡易的なフローチャート
【図11】比較情報を削除するためまたは比較情報を削除しないための優先条件リストの構成例を示す図
【発明を実施するための形態】
【0014】
以下、適宜図面を参照しながら、本開示に係るログ出力装置、ログ出力方法およびログ出力システムを具体的に開示した実施の形態を詳細に説明する。但し、必要以上に詳細な説明は省略する場合がある。例えば、既によく知られた事項の詳細説明や実質的に同一の構成に対する重複説明を省略する場合がある。これは、以下の説明が不必要に冗長になるのを避け、当業者の理解を容易にするためである。なお、添付図面および以下の説明は、当業者が本開示を十分に理解するために提供されるのであって、これらにより特許請求の範囲に記載の主題を限定することは意図されていない。
【0015】
以下、本開示に係るログ出力装置の一例として、IoT機器(上述参照)を例示して説明する。実施の形態1に係るログ出力装置の一例としてのIoT機器は、IoT機器における何かしらの処理の実行履歴を示すログを生成する。IoT機器は、その処理が異常であることを示す第1の静的情報を含む第1のリスト(例えばブラックリスト)と、その処理が正常であることを示す第2の静的情報を含む第2のリスト(例えばホワイトリスト)と、ログに応じてそのログの出力の要否を決定するための動的情報を含む第3のリスト(例えば動的リスト)と、をメモリ(例えばフラッシュメモリ24)に保持する。IoT機器は、生成されたログが第1の静的情報を有する場合にそのログの出力を決定するとともに、生成されたログが第2の静的情報を有する場合にそのログの非出力を決定する。また、IoT機器は、生成されたログと第3のリスト(上述参照)とに基づいて、そのログの出力の要否を決定する。なお、本開示に係るログ出力装置は、上述したIoT機器に限定されず、PC等のコンピュータであってもよい。
【0016】
図1は、実施の形態1に係るログ出力システム10のシステム構成例を示す図である。ログ出力システム10は、PC1と、複数(n:2以上の整数)個のIoT機器2-1~2-nと、IPS3と、SIEM4と、SOC5とを含む構成である。PC1、n個のIoT機器2-1~2-n、IPS3およびSIEM4はそれぞれネットワークNW1を介して通信可能に接続される。IPS3およびSOC5はそれぞれネットワークNW2を介して通信可能に接続される。ネットワークNW1,NW2は、無線ネットワークであり、例えば、Wifi(登録商標)等の無線LAN(Local Area Network)、第4世代移動通信システム(いわゆる、4G)もしくは第5世代移動通信システム(いわゆる、5G)である。なお、ネットワークNW1,NW2は、有線ネットワークでもよい。
【0017】
PC1は、高い情報処理能力を有するプロセッサを備えた通常のパーソナルコンピュータであり、ハイエンド仕様の情報処理機器である。PC1の具体的な内部構成例の図示は省略するが、PC1は、プロセッサ、RAM(Random Access Memory)およびROM(Read Only Memory)等のメモリ、HDD(Hard Disk Drive)、通信用のネットワークI/F(Interface)を含む構成である。PC1に搭載されるプロセッサの処理能力は、後述するIoT機器2-1~2-nに搭載されるプロセッサ23(図2参照)の処理能力より優れていればハイエンド仕様でなくてもよい。PC1は、何らかの処理(例えば、アプリケーションの処理、通信)を実行すると、その処理の実行履歴を示すログをプロセッサにおいて生成する。PC1は、ネットワークNW1およびIPS3を介して、またはネットワークNW1を介して直接に、生成されたログをSIEM4に送る。
【0018】
IoT機器2-1~2-nは、上述したように、プロセッサ23および作動ユニット26を少なくとも有し、プロセッサ23の指示に従って作動ユニット26により取得されたデータもしくは情報を、ネットワーク(例えばネットワークNW1)を介して接続された通信相手に対して送信可能な、ローエンド仕様の電子機器である。また、IoT機器2-1~2-nは、作動ユニット26により取得されたデータもしくは情報を、ネットワークNW1を介して、クラウドサーバ(図示略)との間で通信でき、クラウドサーバから送信された制御データに従って、自身に内蔵されたアクチュエータを駆動することができる。IoT機器2-1~2-nは、例えば、監視カメラ、決済端末、ボディウォーンカメラ(Body Worn Camera)、ドアホン、複合機、スマートメータ、PLC(programmable logic controller)、ゲートウェイボックス等が挙げられる。
【0019】
IoT機器2-1~2-nは、PC1と同様、何らかの処理(例えば、通信、作動ユニット26における処理)を実行するまたはマルウェア等の悪意のあるウイルスソフトウェアによる攻撃等の処理を受けると、その処理の実行履歴あるいは上述したウイルスソフトウェアによる攻撃等の処理を受けた履歴を示すログをプロセッサ23または作動ユニット26において生成する。IoT機器2-1~2-nは、主に3種類のリスト(具体的には、ブラックリストL1、ホワイトリストL2、動的リストL3)を用いて、生成されたログの出力(例えば、SIEM4への送信)の要否を決定し、そのログを出力すると決定した場合に限って出力(例えば、SIEM4に送信)する。言い換えると、実施の形態1では、IoT機器2-1~2-nは、処理の実行の度に生成されたログを都度出力するのではなく、上述したそれぞれのリストを用いて自らログの出力の要否を決定することで、出力対象となるログをふるい分けする。これにより、IoT機器2-1~2-nは、全てのログを出力することなく、必要なログだけを出力できるので、ネットワークNW1のトラフィックの増大を抑制できるとともに、大量のログを出力することによる基本機能への悪影響(例えば処理の遅延)を抑制できる。
【0020】
IPS(Intrusion Prevention System)3は、ネットワークNW1に接続される機器(例えば、PC1、IoT機器2-1~2-n)から送られるデータを監視して解析するネットワーク機器である。IPS3は、データの解析によって、第三者からの不正なアクセスおよび攻撃またはその予兆を検出可能であり、検出した際にはシステム管理者に通知する。また、IPS3は、第三者からの不正なアクセスおよび攻撃を防御することも可能である。なお、IPS3はSIEM4と直接にデータもしくは情報の通信が可能に接続されている。なお、IPSの代わりにIDS(Intrusion Detection System)、ファイアウォール、プロキシなどが接続される場合も考えられる。
【0021】
SIEM(Security Information and Event Management)4は、IPS3またはネットワークNW1を介して受信された複数のデータまたは情報(例えば、PC1あるいはIoT機器2-1~2-nからのログ)を収集して分析する。SIEM4は、ログを分析することで、PC1あるいはIoT機器2-1~2-nが危険またはその脅威にさらされていないか(例えば、第三者からサイバー攻撃を受けていないかまたは受けそうになっていないか)を検知可能な、高度な情報処理性能を有する機器である。SIEM4は、例えばPCもしくはPCより高度な情報処理性能を有するサーバ装置を用いて構成される。SIEM4は、ログの分析結果として、PC1あるいはIoT機器2-1~2-nが危険またはその脅威にさらされていることを検知した際、システム管理者に通知可能である。
【0022】
SOC(Security Operation Center)5は、IPS3における解析結果またはSIEM4における分析結果に基づいてサイバー攻撃の検知および分析を行う組織である。SOC5は、分析結果を監視するための複数台のコンピュータからなるネットワーク機器で構成され、例えばシステム管理およびセキュリティの専門知識を有する人により管理される。
【0023】
図2は、実施の形態1に係るIoT機器2-1~2-nの内部構成例を示すブロック図である。IoT機器2-1~2-nの内部構成例はそれぞれ共通でもよく、特段の理由が無い限り、以下の説明ではIoT機器2と総称する。IoT機器2は、ROM21と、RAM22と、プロセッサ23と、フラッシュメモリ24と、内部I/F25と、作動ユニット26と、ネットワークI/F27とを含む構成である。
【0024】
ROM21は、プロセッサ23を制御するためのプログラムおよびデータを予め記憶する。
【0025】
RAM22は、プロセッサ23の動作時に使用されるワークメモリである。RAM22は、プロセッサ23の動作の実行に必要なプログラムやデータ、更には、動作中に生成された情報またはデータ等を一時的に保存する。
【0026】
プロセッサ23は、例えばPC1のプロセッサ(図示略)に比べて処理能力が劣っているCPU(Central Processing unit)またはMPU(Micro Processing Unit)を用いて構成され、IoT機器2の各部の動作を制御する。プロセッサ23は、IoT機器2の制御部として機能し、IoT機器2の各部の動作を全体的に統括するための制御処理、IoT機器2の各部との間のデータの入出力処理、データの演算(計算)処理およびデータの記憶処理を行う。プロセッサ23は、ROM21に記憶されたプログラムおよびデータに従って動作する。生成部の一例としてのプロセッサ23は、処理(例えばROM21に記憶されたプログラムおよびデータに従って動作した処理)の実行履歴を示すログを生成する。また、登録部の一例としてのプロセッサ23は、過去に出力されたことのあるログの内容に基づいて、そのログの有する項目ごとの内容からなる比較情報を生成し、その生成された比較情報を動的リストL3としてフラッシュメモリ24に登録する。
【0027】
また、選別部の一例としてのプロセッサ23は、生成されたログがブラックリストL1に含まれる情報(静的、つまり変わらない情報)を有する場合に、その生成されたログを出力することを決定する。プロセッサ23は、生成されたログがホワイトリストL2に含まれる情報(静的、つまり変わらない情報)を有する場合に、その生成されたログを出力しないことを決定する。さらに、プロセッサ23は、生成されたログの内容と動的リストL3の内容とに基づいて、そのログの出力の要否を決定する。プロセッサ23の動作例の詳細については後述する(図5Bおよび図6参照)。
【0028】
メモリの一例としてのフラッシュメモリ24は、プロセッサ23または作動ユニット26により生成されるログを外部に出力するか否か(例えば、ネットワークNW1を介して接続されたSIEM4に送信するか否か)を決定するためのリストを記憶して保持する。リストは、ブラックリストL1、ホワイトリストL2および動的リストL3である。なお、ブラックリストL1、ホワイトリストL2および動的リストL3のうち少なくとも1つは、RAM22に一時的に格納されてもよい。
【0029】
第1のリストの一例としてのブラックリストL1は、プロセッサ23または作動ユニット26において実行された処理の実行履歴(つまり、ログ)に異常があったことを示す情報(第1の静的情報の一例)を含む。
【0030】
第2のリストの一例としてのホワイトリストL2は、プロセッサ23または作動ユニット26において実行された処理の実行履歴(つまり、ログ)が正常であったことを示す情報(第2の静的情報の一例)を含む。
【0031】
第3のリストの一例としての動的リストL3は、プロセッサ23または作動ユニット26において実行された処理の実行履歴(つまり、ログ)の内容に応じてそのログの出力の要否を決定するための動的情報を含む。動的リストL3の具体例の詳細については後述する。
【0032】
内部I/F25は、作動ユニット26と他の各部との間のデータもしくは情報の入出力を行うインターフェースである。
【0033】
作動ユニット26は、例えば、所定のイベントもしくは気温、気圧、湿度等のパラメータを検出するためのセンシングデバイスでもよいし、既定または可変の画角内の被写体を撮像するための撮像デバイスである。作動ユニット26は上述したセンシングデバイスや撮像デバイスに限定されない。作動ユニット26は、センシングまたは撮像の処理を実行すると、その処理の実行履歴を示すログを生成してプロセッサ23に渡してもよい。
【0034】
ネットワークI/F27は、IoT機器2における通信部としての役割を有し、プロセッサ23においてログの出力を行うと決定された場合に、プロセッサ23または作動ユニット26により生成されたログを外部(例えばネットワークNW1を介してIoT機器2と接続されたSIEM4)に送信する。
【0035】
図3Aおよび図3Bは、ログの構成例を示す図である。図3Aに示されるように、ログLG1は、ヘッダ情報LGHとログ本体LGBとを含む。実施の形態1に係るIoT機器2がログLG1の出力(例えばSIEM4への送信)を必要と決定するための判断に用いられる各種の情報は、ヘッダ情報LGH内に記載されている場合(図3A参照)と、ログ本体LGB内に記載されている場合(図3B参照)とがある。ここで、各種の情報とは、例えばログID31、相手先IP(Internet Protocol)アドレス32、相手先ポート番号33、facility34、priority35、その他の情報である。
【0036】
ログID31はログを識別するための情報であり、その詳細については図4Aおよび図4Bを参照して後述する。相手先IPアドレス32は、IoT機器2の通信相手である通信機器のIPアドレスを示す。相手先ポート番号33は、IoT機器2とその通信相手である通信機器との間で用いられるポート番号を示す。facility34は、ログの種類を分類するための情報である。priority35は、ログの緊急性(例えば警告レベル、重大な危険レベル)を示す情報である。
【0037】
図4Aは、ログID31の構成例を示す図である。図4Bは、ログLG1の種別例を示す図である。図4Aに示されるように、ログID31は、InfoID(インフォID)と、DetailID(ディーテイルID)とが連接された構成である。インフォIDは、ログIG1の種類を示す。ディーテイルIDは、ログLG1の詳細な内容に対して付与されるIDを示す。
【0038】
図4Bに示されるように、ログの種類として、正常系ログ、異常系ログ、iptablesログ、Apache(登録商標)アクセスログ、Secureログが例示されている。例えば、正常系ログでは、インフォIDは16進数で「1」と示され、ディーテイルIDは16進数で「8001~81ff」と示される。また例えば、異常系ログでは、インフォIDは16進数で「2」と示され、ディーテイルIDは16進数で「8001~81ff」と示される。また例えば、iptablesログでは、インフォIDは16進数で「5」と示され、ディーテイルIDは16進数で「1」と示される。また例えば、Apache(登録商標)アクセスログでは、インフォIDは16進数で「7」と示され、ディーテイルIDは16進数で「1」と示される。また例えば、Secureログでは、インフォIDは16進数で「8」と示され、ディーテイルIDは16進数で「1」と示される。このように、ログの種類に応じて、インフォIDおよびディーテイルIDからなるログID31がそれぞれ異なって識別可能に構成される。
【0039】
次に、実施の形態1に係るIoT機器2におけるログの出力の要否を決定するための動作概要例について、図5A、図5Bおよび図6を参照して説明する。図5Aは、ブラックリスト、ホワイトリスト、動的リストを構成する項目例を示す図である。図5Bは、実施の形態1に係るIoT機器の動作概要例を示す説明図である。図6は、実施の形態1に係るIoT機器の動作手順を時系列に示すフローチャートである。
【0040】
図5Aに示すように、実施の形態1に係るブラックリストL1は、比較項目として、ログID、相手先IPアドレスおよびポート番号、facility、priority、ログメッセージ、Apache(登録商標)ステータスのそれぞれに対し、処理の実行結果が異常であること示す内容を含む。
【0041】
実施の形態1に係るホワイトリストL2は、比較項目として、ログID、相手先IPアドレスおよびポート番号、facility、priority、Apache(登録商標)ステータスのそれぞれに対し、処理の実行結果が正常であることを示す内容を含む。
【0042】
実施の形態1に係る動的リストL3は、過去に出力されたログに記載されていた内容のうち、比較項目として相手先IPアドレス、ポート番号およびログIDのそれぞれが抽出された情報を有する1つ以上の比較情報(図7参照)を含む。
【0043】
図5Bおよび図6に示すように、IoT機器2のプロセッサ23は、処理の実行履歴を示すログ(例えばログLG1)が生成される度に、そのログに記載されている内容の中に、ブラックリストL1中の全比較項目のうち一部または全部の比較項目の内容と一致する内容が含まれているか否かを判定する(St1)。選別部の一例としてのプロセッサ23は、その生成されたログ(以下、便宜的に「生成ログ」と称する)に記載されている内容の中に、ブラックリストL1中の一部または全部の比較項目の内容と一致すると判定した場合(St1、YES)、その生成ログの出力を決定する。プロセッサ23は、ネットワークI/F27を介して、その生成ログを出力(例えば、SIEM4に送信)する(St5)。
【0044】
一方、プロセッサ23は、生成ログに記載されている内容の中に、ブラックリストL1中のいずれの比較項目の内容と一致する内容が含まれていないと判定した場合(St1、NO)、ホワイトリストL2中の全比較項目のうち一部または全部の比較項目の内容と一致する内容が含まれているか否かを判定する(St2)。プロセッサ23は、その生成ログに記載されている内容の中に、ホワイトリストL2中の一部または全部の比較項目の内容と一致すると判定した場合(St2、YES)、その生成ログの非出力(つまり、その生成ログを出力しない)と決定する。
【0045】
一方、プロセッサ23は、生成ログに記載されている内容の中に、ホワイトリストL2中のいずれの比較項目の内容と一致する内容が含まれていないと判定した場合(St2、NO)、後述する限定条件リストL4(図8A参照)を考慮して、その生成ログを出力することの要否が決定可能か否かを判定する(St3)。プロセッサ23は、限定条件リストL4を用いた判定結果として生成ログを出力すると判定した場合(St3、出力要)、その生成ログの出力を決定する。プロセッサ23は、ネットワークI/F27を介して、その生成ログを出力(例えば、SIEM4に送信)する(St5)。
【0046】
また、プロセッサ23は、限定条件リストL4を用いた判定結果として生成ログを出力しないと判定した場合(St3、出力不要)、その生成ログの非出力(つまり、その生成ログを出力しない)と決定する。
【0047】
さらに、プロセッサ23は、限定条件リストL4を用いた判定結果として生成ログを出力することの要否を決定できないと判定した場合(St3、決定不可)、その生成ログの内容と動的リストL3とに基づいて、その生成ログを出力することが必要か否かを判定する(St4)。プロセッサ23は、生成ログの内容と動的リストL3とに基づいて、その生成ログを出力することが必要と判定した場合には(S4、YES)、その生成ログの出力を決定する。プロセッサ23は、ネットワークI/F27を介して、その生成ログを出力(例えば、SIEM4に送信)する(St5)。
【0048】
一方、プロセッサ23は、生成ログの内容と動的リストL3とに基づいて、その生成ログを出力することが不要と判定した場合には(S4、YES)、その生成ログの非出力(つまり、その生成ログを出力しない)と決定する。なお、プロセッサ23は、生成ログの出力の要否を決定するために、ブラックリストL1およびホワイトリストL2の順に比較しているが、ホワイトリストL2およびブラックリストL1の順に比較してもよい。但し、プロセッサ23は、図6に示すように、ブラックリストL1およびホワイトリストL2の順に比較することで、ブラックリストL1の一部または全部の比較項目の内容が生成ログに含まれていれば生成ログを出力すると決定するので、その生成ログの出力の要否を迅速に決定できる。
【0049】
次に、実施の形態1に係る動的リストL3の詳細について、図7を参照して説明する。図7は、動的リストL3の構成例を示す図である。動的リストL3は、リスト番号0からリスト番号(n-1)の最大n個の比較情報を登録可能なリストである。図7に示される例では、動的リストL3は、(n-3)個の比較情報(1),比較情報(2),比較情報(3),…,比較情報(n-3)を有する。図7において、リスト番号(n-2),リスト番号(n-1)のアドレスには比較情報が未だ登録されていないことが示されている。それぞれの比較情報(例えば、比較情報(1))は、比較条件311と頻度情報312とからなる。
【0050】
比較条件311は、IPアドレス3111、ポート番号3112およびログID3113を有する。IPアドレス3111は、図3Aに示す相手先IPアドレス32であり、比較条件311の生成の元になったログ(つまり、過去に出力されたことのあるログ)に含まれていた相手先IPアドレスである。ポート番号3112は、図3Aに示す相手先ポート番号33であり、比較条件311の生成の元になったログ(つまり、過去に出力されたことのあるログ)に含まれていた相手先ポート番号である。ログID3113は、図3Aに示すログID31である。
【0051】
頻度情報312は、出現回数3121および経過時間3122を有する。出現回数3121は、対応する比較条件311と一致する内容を含むログが生成された(言い換えると、出現した)回数を示す。例えば出現回数3121が「0(ゼロ)」となる時(言い換えると、対応する比較条件311と一致する内容を含むログが初めて生成された時)には、プロセッサ23により、そのログは出力されると決定される。その後、プロセッサ23は、対応する比較条件311と一致する内容を含むログが生成される度に、出現回数3121をインクリメントし、出現回数3121が第1の既定値(例えば10)に達した時には出現回数3121を初期化(つまり、リセット)する。これにより、プロセッサ23は、対応する比較条件311と一致する内容を含むログが10回生成された場合、1回だけ出力すると決定できるので、同様な内容の生成ログを無造作に出力することを抑制できる。
【0052】
経過時間3122は、対応する比較条件311と一致する内容を含むログが生成された時点からの経過時間を示す。つまり、プロセッサ23は、対応する比較条件311と一致する内容を含むログが生成された時点からの経過時間を経過時間3122として保存する。なお、経過時間3122の代わりに、ログが生成された時刻そのものが頻度情報として保存されても構わない。プロセッサ23は、第2の既定値(例えば10分)以内に出現回数3121が第1の既定値(例えば10)に達しなかった場合には、出現回数3121および経過時間3122を初期化(つまり、リセット)する。これにより、プロセッサ23は、対応する比較条件311と一致する内容を含むログが生成されてから少なくとも第2の既定値が経過していない場合には、同様な内容のログの出力を省くことができ、ログの出力量を適正に絞ることができる。
【0053】
次に、実施の形態1に係る限定条件リストL4の詳細について、図8A、図8B、図9A、図9B、図9C、図10Aおよび図10Bを参照して説明する。図8Aは、限定条件リストL4の構成例を示す図である。図8Bは、ログLGB1のメッセージ中に記載されるキー文字列の一例を示す図である。図9Aは、Webサーバへの正常なアクセス時のログLGB2の一例を示す図である。図9Bは、Webサーバへのアクセスのエラー時のログLGB3の一例を示す図である。図9Cは、限定条件(1)の条件を用いた判断手順例を示す簡易的なフローチャートである。図10Aは、正常系ログのDetailIDごとのログの一例を示す図である。図10Bは、限定条件(2),(3)の条件を用いた判断手順例を示す簡易的なフローチャートである。
【0054】
図8Aに示されるように、限定条件リストL4は、動的リストL3を用いた生成ログの出力または非出力の決定の要否を判定するための複数の限定条件を含むリストである。具体的には、限定条件リストL4は、限定条件の数を示す限定条件数と、それぞれの限定条件(例えば、限定条件(1),限定条件(2),限定条件(3),…)とを有する。それぞれの限定条件(例えば、限定条件(1))は、「IPアドレスおよび対応するフラグ」、「ポート番号および対応するフラグ」、「DetailIDおよび対応するフラグ」、「キー文字列および対応するフラグ」の組からなる。それぞれのフラグは、対応する項目(例えば、IPアドレス、ポート番号、DetailID、キー文字列)を限定条件として使用するまたは使用しないことを示す付加情報である。
【0055】
それぞれの限定条件は、ログID31(図4A参照)の一部であるInfoID(インフォID)ごとに設けられ、例えばApache(登録商標)アクセスログ(インフォIDが16進数で「7」),正常系ログ(インフォIDが16進数で「1」),異常系ログ(インフォIDが16進数で「2」),…ごとに設けられる。
【0056】
プロセッサ23は、限定条件リストL4を構成する限定条件のうち、生成ログのログID31に対応して設けられた限定条件を抽出して生成ログと比較する。プロセッサ23は、その限定条件に対応するログIDに応じて、その限定条件と一致する内容を含む生成ログについては、動的リストL3を用いた生成ログの出力または非出力の決定の対象外と判定する。これにより、プロセッサ23は、限定条件と一致する内容を含む生成ログの種類によっては、動的リストL3を用いた生成ログの出力または非出力を決定しないで、その生成ログの出力または非出力を迅速に判定できる。
【0057】
また、プロセッサ23は、限定条件リストL4を構成する限定条件のうち、生成ログのログID31に対応して設けられた限定条件を抽出して生成ログと比較する。プロセッサ23は、その限定条件に対応するログIDに応じて、その限定条件と一致する内容を含む生成ログについては、動的リストL3を用いた生成ログの出力または非出力の決定の対象と判定してもよい。これにより、プロセッサ23は、限定条件と一致する内容を含む生成ログの種類によっては、その生成ログの出力または非出力について、限定条件で出力の要否を簡易チェックせずに動的リストL3を用いて詳細に判定できる。
【0058】
限定条件を構成するIPアドレスは、図3Aに示す相手先IPアドレス32である。限定条件を構成するポート番号は、図3Aに示す相手先ポート番号33である。限定条件を構成するDetailIDは、図4Aに示すDetailIDである。限定条件を構成するキー文字列は、例えば図8Bに示されるように、ログLGB1のメッセージ内に記載されている特定の文字列(図8Bの下線部参照)である。
【0059】
図9Aには、例えばIoT機器2がWebサーバに対して正常にアクセスした時のログLGB2の一部が示されており、このログLGB2のログIDのインフォIDは16進数で「7」である(図4B参照)。このようなログLGB2は、IoT機器2が通常状態時に多く生成されるので、例えば限定条件(1)として、ログLGB2の一部の文字列「““GET/HTTP/1.1”200”」がキー文字列として予め登録される。従って、図9Cに示されるように、プロセッサ23は、その限定条件(1)のキー文字列(上述参照)と一致する内容を含むログが生成された場合、そのログは限定条件(1)と一致する内容を含むので(St12、YES)、そのログLGB2の出力または非出力について、動的リストL3を用いて決定すると判定する。
【0060】
一方、図9Bには、例えばIoT機器2がWebサーバに対してアクセスエラーが生じた時のログLGB3の一部が示されており、このログLGB2のログIDのインフォIDは16進数で「7」である(図4B参照)。従って、図9Cに示されるように、プロセッサ23は、このようなログLGB3が生成された場合、ログLGB3は限定条件(1)と一致する内容を含まないので(St12、NO)、そのログLGB3を出力すると決定する。
【0061】
図10Aには、ログの種類が正常系ログである場合に(例えばインフォIDが16進数で「1」、図4B参照)、正常系ログの4つのDetailID(ディーテイルID)に対応するログのメッセージ例とその時の発生事象とが対応付けられて示されている。例えば、DetailIDが16進数で「8001」のログはネットワーク接続時のログを示し、DetailIDが16進数で「8002」のログはネットワーク切断時のログを示し、DetailIDが16進数で「8003」のログはデータ受信時のログを示し、DetailIDが16進数で「8004」のログはデータ送信時のログを示す。このように一つの正常系ログの中で階層的に複数の細かいログが規定される場合には、限定条件として、DetailID(ディーテイルID)が使用されて予め登録される。
【0062】
より具体的には、図10Bに示されるように、DetailIDが16進数で「8001」のログは出現回数が少ないので、すべて出力の対象として限定条件(2)として予め登録される。従って、プロセッサ23は、その限定条件(2)と一致する内容を含むログが生成された場合(St13、YES)、そのログを出力すると決定する。
【0063】
また、DetailIDが16進数で「8002」のログは重要でないため、すべて非出力の対象として限定条件(3)として予め登録される。従って、プロセッサ23は、限定条件(2)と一致する内容を含まないログが生成された場合(St13、NO)、そのログが限定条件(3)と一致する内容を含むか否かを判定する(St14)。プロセッサ23は、限定条件(3)と一致する内容を含むと判定した場合(St14、YES)、そのログは出力しないと決定する。
【0064】
また、DetailIDが16進数で「8003」,「8004」のそれぞれのログは出現回数が多いので、出力または非出力の判別が簡易には行えない。つまり、このようなDetailIDは限定条件に適さない。従って、プロセッサ23は、限定条件(3)と一致する内容を含まないと判定するので(St14、NO)、動的リストL3を用いて出力または非出力の決定を行うと判定する。
【0065】
次に、実施の形態1に係る優先条件リストL5の詳細について、図11を参照して説明する。図11は、比較情報を削除するためまたは比較情報を削除しないための優先条件リストL5の構成例を示す図である。優先条件リストL5は、登録数が限られた比較情報を優先的に削除するためまたは比較情報を削除しないための複数の優先条件を含むリストである。具体的には、優先条件リストL5は、優先条件の数を示す優先条件数と、それぞれの優先条件(例えば、優先条件(1),優先条件(2),優先条件(3),…)とを有する。それぞれの優先条件(例えば、優先条件(1))は、IPアドレス、ポート番号、DetailID、キー文字列からなる。
【0066】
上述したように、動的リストL3を構成する比較情報(図7参照)の登録数は有限(例えばn個、図7参照)であり、(n+1)個以上の比較情報の登録はできない。これは、例えばPC1に比べてローエンド仕様であるIoT機器2のフラッシュメモリ24の記憶容量が、PC1のHDDの記憶容量に比べてとても少ないからである。従って、選別部の一例としてのプロセッサ23は、次の削除条件1~削除条件5のうちいずれか一つまたは組み合わせ可能な2つ以上の削除条件を満たす場合に、動的リストL3を構成する比較情報を削除する。但し、削除条件4と削除条件5とは相反する条件であるため、組み合わせて使用することはできない。
【0067】
削除条件1:プロセッサ23は、比較情報のうち最も古い(言い換えると、最初に登録された)比較情報を削除する。
【0068】
削除条件2:プロセッサ23は、比較情報ごとに出現頻度(例えば、頻度情報312の出現回数3121)を対応付けて記憶しておき、その出現頻度の最も少ない比較情報を削除する。
【0069】
削除条件3:プロセッサ23は、比較情報ごとに登録時刻(つまり、動的リストL3としての登録時刻)を記憶しておき、その比較情報の比較条件と一致する内容を含むログが生成された場合に、登録時刻を更新する。プロセッサ23は、登録時刻の古い比較情報から削除する。
【0070】
削除条件4:プロセッサ23は、図11に示す優先条件リストL5をフラッシュメモリ24に登録しておき、優先条件リストL5を構成する優先条件(1),優先条件(2),優先条件(3),…のうちいずれかと一致する比較条件を有する比較情報を優先的に削除する。この削除条件4を用いる場合、優先条件リストL5を構成する優先条件(1),優先条件(2),優先条件(3),…はいずれも、比較情報を削除するための条件と考えることができる。
【0071】
削除条件5:プロセッサ23は、図11に示す優先条件リストL5をフラッシュメモリ24に登録しておき、優先条件リストL5を構成する優先条件(1),優先条件(2),優先条件(3),…のうちいずれかと一致しない比較条件を有する比較情報を優先的に削除する。この削除条件5を用いる場合、優先条件リストL5を構成する優先条件(1),優先条件(2),優先条件(3),…はいずれも、比較情報を削除しないための条件と考えることができる。
【0072】
次に、実施の形態1に係るIoT機器2における生成ログの出力または非出力について、限定条件リストL4および動的リストL3をそれぞれ用いて判断する時の動作手順の詳細について、図12、図13、図14および図15を参照して説明する。図12は、図6のステップSt3の動作手順の詳細例を示すフローチャートである。図13は、図12のステップSt12の動作手順の詳細例を示すフローチャートである。図14は、図6のステップSt4の動作手順の詳細例を示すフローチャートである。図15は、図14のステップSt18の動作手順の詳細例を示すフローチャートである。図12~図15の各処理は、例えばIoT機器2のプロセッサ23により実行される。
【0073】
図12において、プロセッサ23は、プロセッサ23または作動ユニット26により生成されたログのインフォIDに基づいて、その生成ログがApache(登録商標)アクセスログ、正常系ログおよび異常系ログのうちいずれであるかを判定する(St11)。
【0074】
プロセッサ23は、生成ログがApache(登録商標)アクセスログ(つまり、Webサーバへのアクセスに関するログ)であると判定した場合(St11、Apache(登録商標)アクセスログ)、その生成ログと限定条件(1)と一致するか否かを判定する(St12)。
【0075】
プロセッサ23は、その生成ログが限定条件(1)と一致する内容を含むと判定した場合(St12、YES)、(A-1)の処理(つまり、動的リストL3を用いた出力または非出力の要否のチェック)を実行すると判定する(図6のステップSt3の「決定不可」、図9C参照)。
【0076】
一方、プロセッサ23は、その生成ログが限定条件(1)と一致する内容を含まないと判定した場合(St12、NO)、(A-2)の処理(つまり、生成ログの出力)を実行すると判定する(図6のステップSt3の「出力要」、図9C参照)。つまり、プロセッサ23は、その生成ログの出力(例えばSIEM4への送信)を行う(St24)。
【0077】
プロセッサ23は、生成ログが異常系ログであると判定した場合(St11、異常系ログ)、(A-2)の処理(つまり、生成ログの出力)を実行すると判定する(図6のステップSt3の「出力要」、図10B参照)。つまり、プロセッサ23は、その生成ログの出力(例えばSIEM4への送信)を行う(St24)。
【0078】
プロセッサ23は、生成ログが正常系ログであると判定した場合(St11、正常系ログ)、その生成ログと限定条件(2)と一致するか否かを判定する(St13)。プロセッサ23は、その生成ログが限定条件(2)と一致する内容を含むと判定した場合(St13、YES)、(A-2)の処理(つまり、生成ログの出力)を実行すると判定する(図6のステップSt3の「出力要」、図10B参照)。つまり、プロセッサ23は、その生成ログの出力(例えばSIEM4への送信)を行う(St24)。
【0079】
一方、プロセッサ23は、その生成ログが限定条件(2)と一致する内容を含まないと判定した場合(St13、NO)、その生成ログと限定条件(3)と一致するか否かを判定する(St14)。
【0080】
プロセッサ23は、その生成ログが限定条件(3)と一致する内容を含むと判定した場合(St14、YES)、(A-3)の処理(つまり、生成ログの非出力)を実行すると判定する(図6のステップSt3の「出力不要」、図10B参照)。
【0081】
一方、プロセッサ23は、その生成ログが限定条件(3)と一致する内容を含まないと判定した場合(St14、NO)、(A-1)の処理(つまり、動的リストL3を用いた出力または非出力の要否のチェック)を実行すると判定する(図6のステップSt3の「決定不可」、図9C参照)。
【0082】
なお、実施の形態1では、Apache(登録商標)アクセスログ、正常系ログおよび異常系ログについて記載したが、iptablesログおよびSecureログについて同じように限定条件を設定する場合も考えられる。
【0083】
図13において、プロセッサ23は、限定条件(1)においてIPアドレスを使用する旨のフラグが保持されているか否かを判定する(St12-1)。限定条件(1)においてIPアドレスを使用する旨のフラグが保持されていないと判定された場合(St12-1、NO)、プロセッサ23の処理はステップSt12-3に進む。
【0084】
プロセッサ23は、限定条件(1)においてIPアドレスを使用する旨のフラグが保持されていると判定した場合(St12-1、YES)、ステップSt12の対象となる生成ログが限定条件(1)のIPアドレスと一致する内容を含むか否かを判定する(St12-2)。プロセッサ23は、ステップSt12の対象となる生成ログが限定条件(1)のIPアドレスと一致する内容を含まないと判定した場合(St12-2、NO)、動的リストL3を用いた出力の要否のチェックを行わず、(A-2)の処理(つまり、生成ログの出力)を実行すると判定する。つまり、プロセッサ23は、その生成ログの出力(例えばSIEM4への送信)を行う(St24)。
【0085】
プロセッサ23は、ステップSt12の対象となる生成ログが限定条件(1)のIPアドレスと一致する内容を含むと判定した場合(St12-2、YES)、限定条件(1)においてポート番号を使用する旨のフラグが保持されているか否かを判定する(St12-3)。限定条件(1)においてポート番号を使用する旨のフラグが保持されていないと判定された場合(St12-3、NO)、プロセッサ23の処理はステップSt12-5に進む。
【0086】
プロセッサ23は、限定条件(1)においてポート番号を使用する旨のフラグが保持されていると判定した場合(St12-3、YES)、ステップSt12の対象となる生成ログが限定条件(1)のポート番号と一致する内容を含むか否かを判定する(St12-4)。プロセッサ23は、ステップSt12の対象となる生成ログが限定条件(1)のポート番号と一致する内容を含まないと判定した場合(St12-4、NO)、動的リストL3を用いた出力の要否のチェックを行わず、(A-2)の処理(つまり、生成ログの出力)を実行すると判定する。つまり、プロセッサ23は、その生成ログの出力(例えばSIEM4への送信)を行う(St24)。
【0087】
プロセッサ23は、ステップSt12の対象となる生成ログが限定条件(1)のポート番号と一致する内容を含むと判定した場合(St12-4、YES)、限定条件(1)においてログIDを使用する旨のフラグが保持されているか否かを判定する(St12-5)。限定条件(1)においてログIDを使用する旨のフラグが保持されていないと判定された場合(St12-5、NO)、プロセッサ23の処理はステップSt12-7に進む。
【0088】
プロセッサ23は、限定条件(1)においてログIDを使用する旨のフラグが保持されていると判定した場合(St12-5、YES)、ステップSt12の対象となる生成ログが限定条件(1)のログIDと一致する内容を含むか否かを判定する(St12-6)。プロセッサ23は、ステップSt12の対象となる生成ログが限定条件(1)のログIDと一致する内容を含まないと判定した場合(St12-6、NO)、動的リストL3を用いた出力の要否のチェックを行わず、(A-2)の処理(つまり、生成ログの出力)を実行すると判定する。
【0089】
プロセッサ23は、ステップSt12の対象となる生成ログが限定条件(1)のログIDと一致する内容を含むと判定した場合(St12-6、YES)、限定条件(1)においてキー文字列を使用する旨のフラグが保持されているか否かを判定する(St12-7)。限定条件(1)においてキー文字列を使用する旨のフラグが保持されていないと判定された場合(St12-7、NO)、プロセッサ23は、(A-1)の処理(つまり、動的リストL3を用いた出力または非出力の要否のチェック)を実行すると判定する。
【0090】
プロセッサ23は、限定条件(1)においてキー文字列を使用する旨のフラグが保持されていると判定した場合(St12-7、YES)、ステップSt12の対象となる生成ログが限定条件(1)のキー文字列と一致する内容を含むか否かを判定する(St12-8)。プロセッサ23は、ステップSt12の対象となる生成ログが限定条件(1)のキー文字列と一致する内容を含まないと判定した場合(St12-8、NO)、動的リストL3を用いた出力の要否のチェックを行わず、(A-2)の処理(つまり、生成ログの出力)を実行すると判定する。
【0091】
プロセッサ23は、ステップSt12の対象となる生成ログが限定条件(1)のキー文字列と一致する内容を含むと判定した場合(St12-8、YES)、(A-1)の処理(つまり、動的リストL3を用いた出力または非出力の要否のチェック)を実行すると判定する。
【0092】
図14において、プロセッサ23は、(A-1)の処理として、動的リストL3のリスト番号0を設定し(St15)、現在のリスト番号に対応する比較情報が動的リストL3に存在しているか否か(例えば、削除されていないかどうか)を判定する(St16)。現在のリスト番号に対応する比較情報が動的リストL3に存在していないと判定された場合には(St16、NO)、プロセッサ23の処理はステップSt22に進む。
【0093】
プロセッサ23は、現在のリスト番号に対応する比較情報が動的リストL3に存在していると判定した場合(St16、YES)、該当する比較情報をフラッシュメモリ24から読み出して取得する(St17)。プロセッサ23は、対象とするログ(つまり、生成ログ)と読み出された比較情報とが一致するか否か(つまり、生成ログが比較情報の比較条件と一致する内容を含むか否か)を判定する(St18)。
【0094】
プロセッサ23は、動的リストL3を用いた出力の要否を決定する対象とするログ(つまり、生成ログ)と読み出された比較情報とが一致しないと判定した場合(St18、NO)、動的リストL3のリスト番号をインクリメントする(St19)。プロセッサ23は、インクリメント後のリスト番号が最終のリスト番号(例えば(n-1))であるか否かを判定する(St20)。インクリメント後のリスト番号が最終のリスト番号でない場合には(St20、NO)、プロセッサ23の処理はステップSt16に戻る。
【0095】
プロセッサ23は、インクリメント後のリスト番号が最終のリスト番号であると判定した場合には(St20、YES)、削除条件(上述参照)に従って、動的リストL3から少なくとも一つの比較情報を削除する(St21)。プロセッサ23は、動的リストL3を用いた出力の要否を決定する対象とするログ(つまり、生成ログ)に基づいて比較情報(図7参照)を生成して動的リストL3に登録する(St22)。例えば、プロセッサ23は、生成ログからIPアドレス3111、ポート番号3112およびログID3113をそれぞれ抽出して比較情報を生成する。プロセッサ23は、その生成された比較情報の出現回数および経過時間を「0(ゼロ)」に初期化する(St23)。この場合、プロセッサ23は、生成ログが全ての比較情報のそれぞれと一致する内容を含まないと判定したので、その生成ログを出力すると判定し、その判定に従ってその生成ログを出力する(St24)。なお、ステップSt23において、プロセッサ23は、生成された比較情報の出現回数および経過時間を初期化する代わりに、生成ログの生成時刻を保存してもよい。
【0096】
一方、プロセッサ23は、動的リストL3を用いた出力の要否を決定する対象とするログ(つまり、生成ログ)と読み出された比較情報とが一致すると判定した場合(St18、YES)、その読み出された比較情報の出現回数(図7参照)をインクリメントする(St25)。プロセッサ23は、インクリメント後の出現回数が設定値(例えば、「10」等の第1の既定値)に達したか否かを判定する(St26)。プロセッサ23は、インクリメント後の出現回数が設定値(例えば、「10」等の第1の既定値)に達したと判定した場合には(St26、YES)、その比較情報の出現回数および経過時間を「0(ゼロ)」に初期化する(St23)。
【0097】
一方、プロセッサ23は、インクリメント後の出現回数が設定値(例えば、「10」等の第1の既定値)に達していないと判定した場合(St26、NO)、その比較情報の経過時間が設定値(例えば、「10分」等の第2の既定値)に達したか否かを判定する(St27)。プロセッサ23は、その比較情報の経過時間が設定値(例えば、「10分」等の第2の既定値)に達したと判定した場合には(St27、YES)、その比較情報の出現回数および経過時間を「0(ゼロ)」に初期化する(St23)。
【0098】
プロセッサ23は、その比較情報の経過時間が設定値(例えば、「10分」等の第2の既定値)に達していないと判定した場合には(St27、NO)、その比較情報の生成された時点から現在時刻までの時間を経過時間として保存(登録)する(St28)。なお、ステップSt28は省略されてもよく、比較情報の経過時間が設定値(例えば、「10分」等の第2の既定値)に達していないと判定した場合には(St27、NO)、プロセッサ23の処理はステップSt24に進んでよい。
【0099】
図15において、プロセッサ23は、対象とするログ(つまり、生成ログ)と読み出された比較情報の比較条件のIPアドレスとが一致するか否かを判定する(St18-1)。プロセッサ23は、その比較条件のIPアドレスと生成ログに記載されているIPアドレスとが一致しない場合には(St18-1、NO)、ステップSt18の処理として「不一致」と判定する。
【0100】
一方、プロセッサ23は、その比較条件のIPアドレスと生成ログに記載されているIPアドレスとが一致すると判定した場合(St18-1、YES)、対象とするログ(つまり、生成ログ)と読み出された比較情報の比較条件のポート番号とが一致するか否かを判定する(St18-2)。プロセッサ23は、その比較条件のポート番号と生成ログに記載されているポート番号とが一致しない場合には(St18-2、NO)、ステップSt18の処理として「不一致」と判定する。
【0101】
一方、プロセッサ23は、その比較条件のポート番号と生成ログに記載されているポート番号とが一致すると判定した場合(St18-2、YES)、対象とするログ(つまり、生成ログ)と読み出された比較情報の比較条件のログIDとが一致するか否かを判定する(St18-3)。プロセッサ23は、その比較条件のログIDと生成ログに記載されているログIDとが一致しない場合には(St18-3、NO)、ステップSt18の処理として「不一致」と判定する。
【0102】
一方、プロセッサ23は、その比較条件のポート番号と生成ログに記載されているポート番号とが一致すると判定した場合(St18-2、YES)、ステップSt18の処理として「一致」と判定する。
【0103】
以上により、実施の形態1に係るログ出力システム10では、IoT機器2は、IoT機器における処理の実行履歴を示すログを生成する。IoT機器2は、その処理が異常であることを示す第1の静的情報を含む第1のリスト(例えばブラックリストL1)と、その処理が正常であることを示す第2の静的情報を含む第2のリスト(例えばホワイトリストL2)と、ログに応じてそのログの出力の要否を決定するための動的情報を含む第3のリスト(例えば動的リストL3)と、をメモリ(例えばフラッシュメモリ24)に保持する。IoT機器2は、生成されたログが第1の静的情報を有する場合にそのログの出力を決定するとともに、生成されたログが第2の静的情報を有する場合にそのログの非出力を決定する。また、IoT機器2は、生成されたログと第3のリスト(例えば動的リストL3)とに基づいて、そのログの出力の要否を決定する。
【0104】
これにより、IoT機器2は、処理履歴として生成されたログの内容に応じて、SIEM4への報告対象となるログを適正に選別できるので、IoT機器2における通常処理に関する基本機能への悪影響を軽減できるとともに、ネットワークNW1の通信トラフィックの増大を抑制できる。
【0105】
また、IoT機器2は、過去に出力されたログに基づく比較情報(動的情報の一例)を生成して動的リストL3として登録する。IoT機器2は、生成されたログが比較情報と一致した場合にそのログの非出力を決定する。これにより、IoT機器2は、動的リストL3として登録された比較情報と一致するような同様な内容のログの頻繁な出力を抑制できる。
【0106】
また、IoT機器2は、複数の比較情報(動的情報の一例)を生成して動的リストL3として登録する。これにより、IoT機器2は、複数の比較情報を含む動的リストL3を登録できるので、複数の比較情報のうちいずれかと一致する内容を含むログの出力を抑制でき、比較情報が一つである場合に比べてログの頻繁な出力をより一層抑制できる。
【0107】
また、比較情報は、過去に出力されたログの内容の一部を含む比較条件と、その比較条件と一致する内容を含むログが生成される頻度情報とを有する。これにより、IoT機器2は、過去に出力されたログの一部を含む比較条件とその比較条件と一致する内容を含むログが生成される頻度情報とを用いて、その生成ログの出力の要否を詳細かつきめ細かく
判別できるので、同様な内容であって頻繁に生成されるログの出力を効果的に抑制できる。
判別できるので、同様な内容であって頻繁に生成されるログの出力を効果的に抑制できる。
【0108】
また、頻度情報は、生成されたログが比較条件と一致した回数を示す出現回数を少なくとも有する。IoT機器2は、出現回数が第1の既定値未満であると判定した場合に、生成されたログの非出力を決定する。これにより、IoT機器2は、対応する比較条件と一致する内容を含むログが第1の既定値(例えば10)回生成された場合に、1回だけ出力すると決定できるので、同様な内容の生成ログを無造作に出力することを抑制できる。
【0109】
また、頻度情報は、比較条件と一致したログが生成された時点からの経過時間を少なくとも有する。IoT機器2は、経過時間が第2の既定値未満であると判定した場合に、生成されたログの非出力を決定する。これにより、IoT機器2は、対応する比較条件と一致する内容を含むログが生成されてから少なくとも第2の既定値(例えば10分)が経過していない場合には、同様な内容のログの出力を省くことができ、ログの出力量を適正に絞ることができる。
【0110】
また、頻度情報は、比較条件と一致したログの生成時刻を少なくとも有する。IoT機器2は、現在時刻がその生成時刻からの経過時間が第2の既定値未満であると判定した場合に、生成されたログの非出力を決定する。これにより、IoT機器2は、対応する比較条件と一致する内容を含むログが生成されてから少なくとも第2の既定値(例えば10分)が経過していない場合には、同様な内容のログの出力を省くことができ、ログの出力量を適正に絞ることができる。
【0111】
また、フラッシュメモリ24は、動的リストL3を用いたログの出力または非出力の決定の要否を判定するための複数の限定条件を含む限定条件リストL4(第4のリストの一例)をさらに保持する。IoT機器2は、生成されたログが限定条件と一致する場合に、そのログに対する、動的リストL3を用いたログの出力または非出力の決定を行うと判定する。これにより、IoT機器2は、限定条件と一致する内容を含む生成ログの種類によっては、その生成ログの出力または非出力について、限定条件で出力の要否を簡易チェックせずに動的リストL3を用いて詳細に判定できる。
【0112】
また、フラッシュメモリ24は、動的リストL3を用いたログの出力または非出力の決定の要否を判定するための複数の限定条件を含む限定条件リストL4(第4のリストの一例)をさらに保持する。IoT機器2は、生成されたログが限定条件と一致する場合に、そのログに対する、動的リストL3を用いた生成ログの出力または非出力の決定を行わないと判定して出力または非出力を決定する。これにより、IoT機器2は、限定条件と一致する内容を含む生成ログの種類によっては、動的リストL3を用いた生成ログの出力または非出力を決定しないで、その生成ログの出力または非出力を迅速に判定できる。
【0113】
また、フラッシュメモリ24は、比較情報を削除するための複数の優先条件を含む優先条件リストL5(第5のリストの一例)をさらに保持する。IoT機器2は、動的リストL3として登録可能な個数の比較情報が登録され、かつ生成されたログが優先条件のうちいずれかに一致する場合に、その優先条件と一致する比較情報を削除する。例えば、実行頻度の低い処理によって生成されるログは、その出力優先度が高いと考えられる。これにより、IoT機器2は、高頻度に実行される処理に基づくログの内容を含む比較情報が優先条件と一致する場合にその比較情報を削除でき、限られた個数の中で高頻度に生成されるログの出力を抑制可能とするべく有意義な比較情報の保持に資することができる。
【0114】
また、フラッシュメモリ24は、比較情報を削除しないための複数の優先条件を含む優先条件リストL5(第5のリストの一例)をさらに保持する。IoT機器2は、動的リストL3として登録可能な個数の比較情報が登録され、かつ生成されたログが優先条件のうちいずれかに一致する場合に、その優先条件と一致する比較情報を削除しない。例えば、実行頻度の高い処理によって生成されるログは、その出力優先度が低いと考えられる。これにより、IoT機器2は、高頻度に実行される処理に基づくログの内容を含む比較情報が優先条件と一致する場合にその比較情報を削除せずに残すことで、高頻度に生成されるログの出力を抑制可能とするべく有意義な比較情報の保持に資することができる。
【0115】
また、IoT機器2は、動的情報を構成する複数の比較情報の中から、最も古い比較情報を削除する。これにより、IoT機器2は、最も古い比較情報を満たすような処理が実行される頻度は低いので、そのような低頻度な処理に基づく不要な比較情報を削除することで、高頻度に実行される処理のログの出力を抑制可能とするべく有意義な比較情報を保持できる。
【0116】
また、フラッシュメモリ24に保持される動的情報を構成する複数の比較情報のそれぞれは、その比較情報を満たすログの生成回数を示す出現頻度を保持する。IoT機器2は、動的情報を構成する複数の比較情報の中から、出現頻度の最も少ない比較情報を削除する。これにより、IoT機器2は、低頻度な処理に基づく不要な比較情報を削除することで、高頻度に実行される処理のログの出力を抑制可能とするべく有意義な比較情報を保持できる。
【0117】
また、フラッシュメモリ24に保持される動的情報を構成する複数の比較情報のそれぞれは、その比較情報が動的情報として登録された登録時刻を保持する。IoT機器2は、動的情報を構成する複数の比較情報の中から、登録時刻の最も古い比較情報を削除する。なお、登録時刻は、対応する比較情報の比較条件と一致する内容を含むログが生成された場合に更新される。これにより、IoT機器2は、低頻度な処理に基づく不要な比較情報を削除することで、高頻度に実行される処理のログの出力を抑制可能とするべく有意義な比較情報を保持できる。
【0118】
以上、図面を参照しながら各種の実施の形態について説明したが、本開示はかかる例に限定されないことは言うまでもない。当業者であれば、特許請求の範囲に記載された範疇内において、各種の変更例、修正例、置換例、付加例、削除例、均等例に想到し得ることは明らかであり、それらについても当然に本開示の技術的範囲に属するものと了解される。また、発明の趣旨を逸脱しない範囲において、上述した各種の実施の形態における各構成要素を任意に組み合わせてもよい。
【産業上の利用可能性】
【0119】
本開示は、処理履歴として生成されたログに応じて、SIEMへの報告対象となるログを適正に選別し、通常処理に関する基本機能への悪影響ならびに通信ネットワークのトラフィックの増大を抑制するログ出力装置、ログ出力方法およびログ出力システムとして有用である。
【符号の説明】
【0120】
1 PC
2、2-1、2-n IoT機器
3 IPS
4 SIEM
5 SOC
21 ROM
22 RAM
23 プロセッサ
24 フラッシュメモリ
25 内部I/F
26 作動ユニット
27 ネットワークI/F
L1 ブラックリスト
L2 ホワイトリスト
L3 動的リスト
L4 限定条件リスト
L5 優先条件リスト
NW1、NW2 ネットワーク
2、2-1、2-n IoT機器
3 IPS
4 SIEM
5 SOC
21 ROM
22 RAM
23 プロセッサ
24 フラッシュメモリ
25 内部I/F
26 作動ユニット
27 ネットワークI/F
L1 ブラックリスト
L2 ホワイトリスト
L3 動的リスト
L4 限定条件リスト
L5 優先条件リスト
NW1、NW2 ネットワーク
【図1】
【図2】
【図3A】
【図3B】
【図4A】
【図4B】
【図5A】
【図5B】
【図6】
【図7】
【図8A】
【図8B】
【図9A】
【図9B】
【図9C】
【図10A】
【図10B】
【図11】
【図12】
【図13】
【図14】
【図15】