ホーム > 特許ランキング > 日本電気通信システム株式会社
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-03-11
(45)【発行日】2024-03-19
(54)【発明の名称】異常操作検出装置、異常操作検出方法、およびプログラム
(51)【国際特許分類】
G06F 21/50 20130101AFI20240312BHJP
G06F 11/34 20060101ALI20240312BHJP
【FI】
G06F21/50
G06F11/34 138
【請求項の数】
10
(21)【出願番号】P 2020090851
(22)【出願日】2020-05-25
(65)【公開番号】P2021189490
(43)【公開日】2021-12-13
【審査請求日】2023-04-05
(73)【特許権者】
【識別番号】000232254
【氏名又は名称】日本電気通信システム株式会社
(74)【代理人】
【識別番号】100141519
【弁理士】
【氏名又は名称】梶田 邦之
(72)【発明者】
【氏名】辻村 誠幸
【審査官】宮司 卓佳
(56)【参考文献】
【文献】特開2019-121161(JP,A)
【文献】中国特許出願公開第104901964(CN,A)
【文献】特開2011-138260(JP,A)
【文献】特開2008-269419(JP,A)
【文献】特開2020-004009(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/50
G06F 11/34
(57)【特許請求の範囲】
【請求項1】
ユーザ端末から収集された操作ログを、ユーザが所属する組織に応じた基準リストであって、前記ユーザ端末での正常操作に該当する可変項目と前記ユーザ端末での異常操作に該当する不可変項目とを含む前記基準リストと比較して、前記可変項目に該当しない、または、前記不可変項目に該当する操作を検出する検出手段と、前記基準リストの前記可変項目を、前記操作ログの分析結果に応じて更新する更新手段と
を有することを特徴とする異常操作検出装置。
【請求項2】
異なる可変項目と前記不可変項目とを組み合わせた複数の基準リストパターンから、エラーの数が所定の閾値の範囲内にある基準リストパターンを選択する選択手段をさらに備え、前記更新手段は、前記選択された基準リストパターンを用いた前記操作ログの分析結果に応じて前記可変項目を更新することを特徴とする請求項1に記載の異常操作検出装置。
【請求項3】
前記更新手段は、新たに収集された操作ログの分析結果に応じた前記可変項目の更新を、所定の期間、繰り返すことを特徴とする請求項1または2に記載の異常操作検出装置。
【請求項4】
前記所定の期間が終了した後、前記基準リストの前記可変項目と前記不可変項目は、管理者によって変更することが可能であることを特徴とする請求項3に記載の異常操作検出装置。
【請求項5】
前記ユーザ端末に対して、前記操作が検出されたことを示すアラートを出力する出力手段をさらに有することを特徴とする請求項1乃至4のいずれか1項に記載の異常操作検出装置。
【請求項6】
前記出力手段は、前記ユーザの属性に応じた前記可変項目ごとの異常検知レベルにしたがって、前記アラートの出力を制御することを特徴とする請求項5に記載の異常操作検出装置。
【請求項7】
前記属性は、前記ユーザの役職、雇用形態、また所属部門の情報を含むことを特徴とする請求項6に記載の異常操作検出装置。
【請求項8】
前記出力手段は、前記ユーザに応じたアラート通知方法にしたがって、前記アラートを出力することを特徴とする請求項5乃至7のいずれか1項に記載の異常操作検出装置。
【請求項9】
コンピュータによって実行される方法であって、
ユーザ端末から収集された操作ログを、ユーザが所属する組織に応じた基準リストであって、前記ユーザ端末での正常操作に該当する可変項目と前記ユーザ端末での異常操作に該当する不可変項目とを含む前記基準リストと比較して、前記可変項目に該当しない、または、前記不可変項目に該当する操作を検出する検出ステップと、
前記基準リストの前記可変項目を、前記操作ログの分析結果に応じて更新する更新ステップと
を含み、
前記コンピュータは、前記操作ログ及び前記基準リストを有するデータベースを有する
ことを特徴とする異常操作検出方法。
【請求項10】
コンピュータに請求項9に記載の方法を実行させるためのプログラム。【発明の詳細な説明】
【技術分野】
【0001】
本発明は、会社などの組織内の情報システムにおいて利用されるユーザ端末での異常操作を検出する異常操作検出装置、異常操作検出方法、およびプログラムに関する。
【背景技術】
【0002】
従来、会社などの組織内の情報システムにおいて利用されるユーザ端末からの情報漏えいを防ぐために、様々な対策が講じられている。
【0003】
例えば、特許文献1には、異常操作検出装置がユーザ端末の操作内容を取得し、あらかじめ記憶された通常の操作と比較することで、異常操作を検出する技術が開示されている。
【先行技術文献】
【特許文献】
【0004】
【文献】特開2010-250502号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1に記載の技術では、異常操作検出装置にあらかじめ記憶させておく通常の操作の設定が難しく、当該異常操作検出装置の運用初期には誤検出が発生してしまう可能性もあった。
【0006】
本発明の目的は、ユーザ端末での異常操作を検出するための設定を容易にすることができる異常操作検出装置、異常操作検出方法、およびプログラムを提供することにある。
【課題を解決するための手段】
【0007】
本発明の一態様による異常操作検出装置は、ユーザ端末から収集された操作ログを、ユーザが所属する組織に応じた基準リストであって、前記ユーザ端末での正常操作に該当する可変項目と前記ユーザ端末での異常操作に該当する不可変項目とを含む前記基準リストと比較して、前記可変項目に該当しない、または、前記不可変項目に該当する操作を検出する検出手段と、前記基準リストの前記可変項目を、前記操作ログの分析結果に応じて更新する更新手段とを有する。
【0008】
本発明の一態様による異常操作検出方法は、ユーザ端末から収集された操作ログを、ユーザが所属する組織に応じた基準リストであって、前記ユーザ端末での正常操作に該当する可変項目と前記ユーザ端末での異常操作に該当する不可変項目とを含む前記基準リストと比較して、前記可変項目に該当しない、または、前記不可変項目に該当する操作を検出する検出ステップと、前記基準リストの前記可変項目を、前記操作ログの分析結果に応じて更新する更新ステップとを含む。
【0009】
本発明の一態様によるプログラムは、コンピュータに上記異常操作検出方法を実行させる。
【発明の効果】
【0010】
本発明によれば、ユーザ端末での異常操作を検出するための設定を容易にすることができる。なお、本発明により、当該効果の代わりに、又は当該効果とともに、他の効果が奏されてもよい。
【図面の簡単な説明】
【0011】
【図1】第1の実施形態に係る情報システムの構成例を示す図である。
【図2】第1の実施形態に係る異常操作検出装置の機能ブロック図である。
【図4】第1の実施形態に係る基準リストおよび基準リストパターンの構成例を示す図である。
【図5】第1の実施形態に係る異常操作検出処理のフローチャートを示す図である。
【図6】第1の実施形態に係るアラート通知処理のフローチャートを示す図である。
【図7】第1の実施形態に係る異常操作検出装置として動作するコンピュータのハードウェア構成を示す図である。
【図8】第2の実施形態に係る異常操作検出装置の機能ブロック図である。
【発明を実施するための形態】
【0012】
以下、添付の図面を参照して本発明の実施形態を詳細に説明する。なお、本明細書及び図面において、同様に説明されることが可能な要素については、同一の符号を付することにより重複説明が省略され得る。
【0013】
説明は、以下の順序で行われる。
1.本発明の実施形態の概要
2.第1の実施形態
2.1.情報システムの構成
2.2.異常操作検出装置
2.3.動作例
2.4.変形例1
2.5.変形例2
2.6.ハードウェア構成
2.7.効果の説明
3.第2の実施形態
3.1.異常操作検出装置
3.2.動作例
4.他の実施形態
5.付記
1.本発明の実施形態の概要
2.第1の実施形態
2.1.情報システムの構成
2.2.異常操作検出装置
2.3.動作例
2.4.変形例1
2.5.変形例2
2.6.ハードウェア構成
2.7.効果の説明
3.第2の実施形態
3.1.異常操作検出装置
3.2.動作例
4.他の実施形態
5.付記
【0014】
<<1.本発明の実施形態の概要>>
本発明の実施形態では、例えば、異常操作検出装置が、情報システム内の各ユーザ端末から収集された操作ログと、当該ユーザ端末のユーザが所属する組織に基づく基準リストを分析する。そうすることにより、異常操作検出装置は、ユーザ端末が正常に利用されているかどうかを判断することができる。
本発明の実施形態では、例えば、異常操作検出装置が、情報システム内の各ユーザ端末から収集された操作ログと、当該ユーザ端末のユーザが所属する組織に基づく基準リストを分析する。そうすることにより、異常操作検出装置は、ユーザ端末が正常に利用されているかどうかを判断することができる。
【0015】
なお、上述した技術的特徴は本発明の実施形態の具体的な一例であり、当然ながら、本発明の実施形態は上述した技術的特徴に限定されない。
【0016】
<<2.第1の実施形態>>
<2.1.情報システムの構成>
図1は、第1の実施形態に係る情報システムの構成例を示す。本実施形態に係る情報システムは、会社などの組織内で利用される情報システムであって、異常操作検出装置10と、複数のユーザ端末12と、外部コンピュータ14と、業務システムサーバ15と、管理者端末1とを含む。
<2.1.情報システムの構成>
図1は、第1の実施形態に係る情報システムの構成例を示す。本実施形態に係る情報システムは、会社などの組織内で利用される情報システムであって、異常操作検出装置10と、複数のユーザ端末12と、外部コンピュータ14と、業務システムサーバ15と、管理者端末1とを含む。
【0017】
異常操作検出装置10は、ネットワーク11に接続されており、複数のユーザ端末12のネットワーク11上での動作、例えばインターネット13を介して行うWebサーバなどの外部コンピュータ14に対する操作、あるいは業務システムサーバ15などに接続して行う動作などを検出する。そして、異常操作検出装置10は、検出された動作が異常である場合には、その旨を各端末に通知する。また、情報システムの管理者は、ネットワーク11に接続された管理者端末16を利用して、異常操作検出装置10の設定を行うことができる。
【0018】
<2.2.異常操作検出装置>
図2は、本実施形態に係る異常操作検出装置の機能ブロック図を示す。
図2は、本実施形態に係る異常操作検出装置の機能ブロック図を示す。
【0019】
異常操作検出装置10は、ログ収集部101、異常検知レベル判定部102、アラート通知部103、操作-基準リスト比較部104、基準リストパターン判定部105、可変項目更新部106、およびデータベース(DB)107を有する。データベース107は、操作ログDB1071、ユーザDB1072、基準リストDB1073、基準リストパターンDB1074、システム定義DB1075を有する。
上述した各構成要素の関係は、図3を参照して後述する。
上述した各構成要素の関係は、図3を参照して後述する。
【0020】
【0021】
ログ収集部101は、各ユーザ端末12におけるユーザ操作をログ(以下、操作ログとも称する)として収集し、収集した操作ログを操作ログDB1071に保存する。また、ログ収集部101は、ログ収集を行った旨を異常検知レベル判定部102に通知する。
【0022】
異常検知レベル判定部102は、各ユーザ端末12におけるユーザ操作の異常検知レベルを判定する。具体的には、異常検知レベル判定部102は、ログ収集部101から、ログ収集を行った旨の通知を受け取ると、ユーザDB1072にアクセスし、異常検知レベルの判定対象のユーザの情報を取得する。さらに、異常検知レベル判定部102は、当該ユーザに関する操作ログを操作ログDB1071から取得し、基準リスト情報を基準リストDB1073から取得し、分析を行う。異常検知レベル判定部102は、アラートを出す場合には、その旨をアラート通知部103に通知する。判定終了後、異常検知レベル判定部102は、操作-基準リスト比較部104にその旨を通知する。このように、異常検知レベル判定部102は、ユーザ端末12での異常操作を検出する検出手段として機能する。
【0023】
アラート通知部103は、対象のユーザ端末12に対してアラートを出力する。具体的には、アラート通知部103は、異常検知レベル判定部102から通知を受信すると、システム定義DB1075からアラート通知方法を取得し、対象のユーザ端末12に対してアラートを出力する。このように、アラート通知部103は、アラートの出力手段として機能する。
【0024】
操作-基準リスト比較部104は、操作ログと既存の基準リスト、基準リストパターンを分析して、基準リストを更新するかどうか判定する。具体的には、操作-基準リスト比較部104は、異常検知レベル判定部102からの通知を受信すると、操作ログDB1071から操作ログを取得し、基準リストパターン判定部105に送信する。操作-基準リスト比較部104は、基準リストパターン判定部105から返信された基準リストパターン情報と操作ログ、基準リストDB1073から取得した基準リスト情報を分析する。操作-基準リスト比較部104は、基準リストの可変項目を修正する必要がある場合は、可変項目更新部106に情報を送信する。さらに、操作-基準リスト比較部104は、システム定義DB1075から、基準リスト精錬期間情報を取得する。基準リスト精錬期間情報は、基準リストの可変項目を更新し、異常操作の検出精度を向上させるための所定の期間を示す。
【0025】
基準リストパターン判定部105は、基準リストを精錬させるために必要な基準リストパターンを、操作ログを基に判定する。具体的には、基準リストパターン判定部105は、操作-基準リスト比較部104から操作ログを受信すると、基準リストパターンDB1074から必要な基準リストパターン情報を取得し、操作ログと併せて分析した結果を操作-基準リスト比較部104に返信する。
【0026】
可変項目更新部106は、既存の基準リストの可変項目を更新する。すなわち、可変項目更新部106は、可変項目の更新手段として機能する。具体的には、可変項目更新部106は、操作-基準リスト比較部104から通知を受信すると、基準リストDB1073にある基準リスト情報を更新する。
【0027】
操作ログDB1071は、ログ収集部101によって収集された操作ログを保存する。保存された操作ログは、異常検知レベル判定部102、および操作-基準リスト比較部104によって使用される。
【0028】
ユーザDB1072は、ユーザ情報を保存する。ユーザ情報は、異常検知レベル判定部102によって使用される。また、異常検知レベル判定部102によって算出される異常検知累積値もユーザDB1072に保存される。異常検知累積値の詳細については後述する。
【0029】
基準リストDB1073は、基準リスト情報を保存する。基準リスト情報は、異常検知レベル判定部102、および操作-基準リスト比較部104によって使用される。また、基準リスト情報は、可変項目更新部106によって更新される。
【0030】
基準リストパターンDB1074は、複数の基準リストパターン情報を保存する。基準リストパターン情報は、基準リストパターン判定部105によって使用される。
【0031】
システム定義DB1075は、システム全体の情報を保存する。当該情報には、例えば、ユーザ端末12に対するアラート通知方法や、基準リスト精錬期間も含まれ、アラート通知部103や操作-基準リスト比較部104によって参照される。
【0032】
図4は、第1の実施形態に係る基準リストおよび基準リストパターンの構成例を示す。
【0033】
図示されるように、基準リスト1、2、3はそれぞれ、可変項目と不可変項目とを含む。可変項目は、ホワイトリストの役割を持ち、正常操作に該当する操作項目を示す。一方、不可変項目は、ブラックリストの役割を持ち、異常操作に該当する操作項目を示す。また、それぞれ異なる可変項目a、可変項目b、および可変項目cが用意され、それぞれを不可変項目と組み合わせたものを基準リストパターンとする。可変項目の例として、就業時間、業務で普段利用するソフトウェア、当該ソフトウェアの利用時間、アクセス可能な共有サーバへアクセスする時間、などがある。不可変項目の例として、業務での利用が禁止されているソフトウェアのインストール、閲覧が禁止されているウェブサイトへのアクセス、業務で普段利用することが無い共有サーバへのアクセス、などがある。このように、異常操作とは、当該ユーザ端末で禁止されている操作、および、所定の時間外での操作のことをいう。
【0034】
なお、本実施形態に係る基準リストおよび基準リストパターンの数や構成は、図示された例に限定されない。
【0035】
<2.3.動作例>
第1の実施形態に係る動作例を説明する。図5は、第1の実施形態に係る異常操作検出処理のフローチャートを示す。
第1の実施形態に係る動作例を説明する。図5は、第1の実施形態に係る異常操作検出処理のフローチャートを示す。
【0036】
まず、異常操作検出装置10は、基準リストDB1073に、ユーザごとに組織や部署に応じた基準リストを保存する(S101)。
【0037】
次いで、ログ収集部101は、各ユーザ端末12から操作ログを収集し、収集した操作ログを操作ログDB1071に保存し、異常検知レベル判定部102に通知する(S102)。
【0038】
異常検知レベル判定部102は、ログ収集部101からの通知を受信すると、アラート通知処理を行う(S103)。アラート通知処理については、図6を参照して後述する。その後、操作-基準リスト比較部104は、基準リストパターン判定部105に操作ログ情報を送信し、基準リストパターンの判定を要求する。
【0039】
基準リストパターン判定部105は、操作-基準リスト比較部104から受信した操作ログ情報のうち、可変項目に関する情報を抽出する。その後、基準リストパターン判定部105は、抽出された可変項目に関する情報を、基準リストパターンDB1074内の各基準リストパターンにおける可変項目と比較し(S104)、エラーの状況を判別する(S105)。エラーの数が極端に多いもしくは少ない基準リストパターンについては、今後、操作-基準リスト比較部104での比較対象外とし、参照しないこととする(S106)。このように、基準リストパターン判定部105は、複数の基準リストパターンから、エラーの数が所定の閾値の範囲内にある基準リストパターンを選択する選択手段として機能する。
【0040】
次いで、基準リストパターン判定部105は、次の基準リストが存在するかどうか判定する(S107)。次の基準リストが存在する場合は、S104に戻り、処理を繰り返す。すなわち、基準リストパターン判定部105は、S104からS106の処理を基準リストの数だけ繰り返し(S107)、比較対象の各基準リストパターンの情報のみを、操作-基準リスト比較部104に送信する。
【0041】
次いで、操作-基準リスト比較部104は、基準リストパターン判定部105から受信した比較対象の各基準リストパターンの情報、操作ログ、および既存の基準リスト情報を比較分析する(S108)。可変項目が、既存の基準リストの可変項目と異なる場合、操作-基準リスト比較部104は、可変項目更新部106に新規の可変項目情報を送信する。可変項目更新部106は、新規の可変項目情報を受信した場合、その情報を用いて基準リストDB1073に記憶された基準リストの可変項目を更新し、新たな基準リストを設定する(S109)。このように、可変項目更新部106は、操作ログの分析結果に応じて可変項目を更新する更新手段として機能する。
【0042】
また、操作-基準リスト比較部104は、システム定義DB1075から基準リスト精錬期間情報を取得し、期間内であれば、新たにログ収集部101によって収集された操作ログを基に、基準リストの精錬を行う(S110)。
【0043】
【0044】
まず、異常検知レベル判定部102は、ログ収集部101からの通知を受信すると、ユーザDB1072から該当ユーザの情報を取得する(S201)。
【0045】
次いで、異常検知レベル判定部102は、取得したユーザ情報を基に、そのユーザに関する操作ログを操作ログDB1071から取得する。異常検知レベル判定部102は、あらかじめ基準リストDB1073から取得した基準リスト情報と操作ログ情報とを比較し、異常操作が行われたかどうか判定する。具体的には、異常検知レベル判定部102は、取得した操作ログ情報のうち、不可変項目に関する情報を抽出し、抽出した不可変項目と基準リスト情報における不可変項目とを比較する(S202)。一つでも一致する項目があれば、異常検知レベル判定部102は、アラート通知部103に情報を送信する(すなわち、S207に進む)。一方、一致する項目が無かった場合、異常検知レベル判定部102は、ユーザDB1072から取得したユーザ情報のうち、役職や雇用形態、所属部門に関する情報(すなわち、ユーザの属性)を抽出し、可変項目ごとに異常検知レベルを取得する(S203)。異常検知レベル判定部102は、例えば、役職や雇用形態、所属部門といった情報を可変項目ごとに異常検知レベルとしてスコア化し、当該異常検知レベルにしたがって、アラートを出しやすくしたり出しにくくしたりして、アラートの出力を制御する。このように、異常検知レベルは可変項目ごとに設定される。可変項目の例として、就業時間、業務で普段利用するソフトウェア、アクセス可能な共有サーバへアクセスする時間、などがあり、それぞれに対してユーザ情報(部署、役職など)に応じて異常検知レベルが設定される。ユーザ情報と操作ログ、異常検知レベルを分析して、可変項目ごとに異常操作を検出(すなわち、正常操作の範囲外であると判断)した累積回数が一定の値に達した場合に、アラートが出力される。
【0046】
次いで、異常検知レベル判定部102は、抽出したユーザ情報と操作ログ、異常検知レベルを分析し(S204)、異常操作が検出された累積回数を示す異常検知累積値を算出し、ユーザDB1072に保存する(S205)。
【0047】
次いで、異常検知レベル判定部102は、異常検知累積値が所定の閾値を超えたかどうか判定し(S206)、異常検知累積値が所定の閾値を超えた操作を検出した場合、アラート通知部103に情報を送信する(すなわち、S207に進む)。なお、異常検知累積値が所定の閾値以下である場合は、処理を終了する。
【0048】
アラート通知部103は、異常検知レベル判定部102からの情報を受信すると、システム定義DB1075から該当ユーザ端末12へのアラート通知方法を取得し(S207)、該当ユーザ端末12へアラートを通知する(S208)。
【0049】
<2.4.変形例1>
本実施形態の変形例1によると、基準リストは、可変項目を含まなくもよい。基準リストは、組織や部署によっては、不可変項目のみで管理することも可能とする。これにより、基準リストDB1073に保存された基準リストのメンテナンスを容易にすることができる。
本実施形態の変形例1によると、基準リストは、可変項目を含まなくもよい。基準リストは、組織や部署によっては、不可変項目のみで管理することも可能とする。これにより、基準リストDB1073に保存された基準リストのメンテナンスを容易にすることができる。
【0050】
<2.5.変形例2>
本実施形態の変形例2によると、可変項目および不可変項目の内容は、基準リストの精錬期間が終了した後、異常操作検出装置10の管理者が手動で変更することを可能とする。例えば、精錬期間が終了した後、情報システムにおいて新しくクラウドサーバが利用される場合、当該クラウドサーバに関する情報を基準リストに反映させるために基準リストを精錬し直すと、正常に操作を検出するまでに時間を要する。そこで、管理者による手動変更を可能にすることで、基準リストに情報を即時に反映させることを可能にする。
本実施形態の変形例2によると、可変項目および不可変項目の内容は、基準リストの精錬期間が終了した後、異常操作検出装置10の管理者が手動で変更することを可能とする。例えば、精錬期間が終了した後、情報システムにおいて新しくクラウドサーバが利用される場合、当該クラウドサーバに関する情報を基準リストに反映させるために基準リストを精錬し直すと、正常に操作を検出するまでに時間を要する。そこで、管理者による手動変更を可能にすることで、基準リストに情報を即時に反映させることを可能にする。
【0051】
<2.6.ハードウェア構成>
図7は、第1の実施形態に係る異常操作検出装置として動作するコンピュータのハードウェア構成を示す図である。
図7は、第1の実施形態に係る異常操作検出装置として動作するコンピュータのハードウェア構成を示す図である。
【0052】
コンピュータ700は、CPU701と、主記憶装置702と、補助記憶装置703と、インタフェース704と、通信インタフェース705とを備える。
【0053】
コンピュータ700の動作は、プログラムの形式で補助記憶装置703に記憶されている。CPU701は、そのプログラムを補助記憶装置703から読み出して主記憶装置702に展開し、そのプログラムに従って、本実施形態で説明した異常操作検出装置の動作を実行する。
【0054】
補助記憶装置703は、一時的でない有形の媒体の例である。一時的でない有形の媒体の他の例として、インタフェース704を介して接続される磁気ディスク、光磁気ディスク、CD-ROM(Compact Disk Read Only Memory )、DVD-ROM(Digital Versatile Disk Read Only Memory )、半導体メモリ等が挙げられる。また、プログラムが通信回線によってコンピュータ700に配信される場合、配信を受けたコンピュータ700がそのプログラムを主記憶装置702に展開し、そのプログラムに従って動作してもよい。
【0055】
また、異常操作検出装置の各構成要素の一部または全部は、汎用または専用の回路(circuitry )、プロセッサ等や、これらの組み合わせによって実現されてもよい。これらは、単一のチップによって構成されてもよいし、バスを介して接続される複数のチップによって構成されてもよい。各構成要素の一部または全部は、上述した回路等とプログラムとの組み合わせによって実現されてもよい。
【0056】
なお、異常操作検出装置を実現するコンピュータだけでなく、ユーザ端末12、外部コンピュータ14、業務システムサーバ15、および管理者端末16などを実現するコンピュータも同様に構成され得る。
【0057】
<2.7.効果の説明>
以上説明したように、本実施形態によれば、ユーザ端末での異常操作を検出するための設定を容易にすることができる。
以上説明したように、本実施形態によれば、ユーザ端末での異常操作を検出するための設定を容易にすることができる。
【0058】
<<3.第2の実施形態>>
上述した第1の実施形態は、具体的な実施形態であるが、第2の実施形態は、より一般化された実施形態である。なお、第2の実施形態に係る情報システムは、第1の実施形態に係る情報システムと同様であるため、説明は省略する。
上述した第1の実施形態は、具体的な実施形態であるが、第2の実施形態は、より一般化された実施形態である。なお、第2の実施形態に係る情報システムは、第1の実施形態に係る情報システムと同様であるため、説明は省略する。
【0059】
<3.1.異常操作検出装置>
図8は、第2の実施形態に係る異常操作検出装置の機能ブロック図を示す。異常操作検出装置800は、ユーザ端末での異常操作を検出する。異常操作検出装置800は、検出部801および更新部802を有する。
図8は、第2の実施形態に係る異常操作検出装置の機能ブロック図を示す。異常操作検出装置800は、ユーザ端末での異常操作を検出する。異常操作検出装置800は、検出部801および更新部802を有する。
【0060】
検出部801及び更新部802は、1つ以上のプロセッサと、メモリ(例えば、不揮発性メモリ及び/若しくは揮発性メモリ)並びに/又はハードディスクとにより実装されてもよい。検出部801及び更新部802は、同一のプロセッサにより実装されてもよく、別々に異なるプロセッサにより実装されてもよい。上記メモリは、上記1つ以上のプロセッサ内に含まれていてもよく、又は、上記1つ以上のプロセッサ外にあってもよい。
【0061】
異常操作検出装置800は、プログラム(命令)を記憶するメモリと、当該プログラム(命令)を実行可能な1つ以上のプロセッサとを含んでもよい。当該1つ以上のプロセッサは、上記プログラムを実行して、検出部801及び更新部802の動作を行ってもよい。上記プログラムは、検出部801及び更新部802の動作をプロセッサに実行させるためのプログラムであってもよい。
【0062】
<3.2.動作例>
第2の実施形態に係る動作例を説明する。
第2の実施形態に係る動作例を説明する。
【0063】
第2の実施形態によれば、異常操作検出装置800(検出部801)は、ユーザ端末から収集された操作ログを、ユーザが所属する組織に応じた基準リストであって、ユーザ端末での正常操作に該当する可変項目とユーザ端末での異常操作に該当する不可変項目とを含む基準リストと比較して、可変項目に該当しない、または、不可変項目に該当する操作を検出する。また、異常操作検出装置800(更新部802)は、基準リストの可変項目を、操作ログの分析結果に応じて更新する。
【0064】
-第1の実施形態との関係
一例として、第2の実施形態に係る異常操作検出装置800は、第1の実施形態に係る異常操作検出装置10である。例えば、検出部801は、第1の実施形態に係る異常検知レベル判定部102の動作を行ってもよい。また、更新部802は、第1の実施形態に係る可変項目更新部106の動作を行ってよい。この場合に、第1の実施形態についての説明は、第2の実施形態にも適用され得る。
一例として、第2の実施形態に係る異常操作検出装置800は、第1の実施形態に係る異常操作検出装置10である。例えば、検出部801は、第1の実施形態に係る異常検知レベル判定部102の動作を行ってもよい。また、更新部802は、第1の実施形態に係る可変項目更新部106の動作を行ってよい。この場合に、第1の実施形態についての説明は、第2の実施形態にも適用され得る。
【0065】
なお、第2の実施形態は、この例に限定されない。
【0066】
以上、第2の実施形態を説明した。第2の実施形態によれば、ユーザ端末での異常操作を検出するための設定を容易にすることが可能になる。
【0067】
<<4.他の実施形態>>
なお、本発明は上述した実施形態に限定されるものではない。上述した実施形態は例示にすぎないということ、及び、本発明のスコープ及び精神から逸脱することなく様々な変形が可能であるということは、当業者に理解されるであろう。
なお、本発明は上述した実施形態に限定されるものではない。上述した実施形態は例示にすぎないということ、及び、本発明のスコープ及び精神から逸脱することなく様々な変形が可能であるということは、当業者に理解されるであろう。
【0068】
例えば、本明細書に記載されている処理におけるステップは、必ずしもフローチャートに記載された順序に沿って時系列に実行されなくてよい。例えば、処理におけるステップは、フローチャートとして記載された順序と異なる順序で実行されても、並列的に実行されてもよい。また、処理におけるステップの一部が削除されてもよく、さらなるステップが処理に追加されてもよい。
【0069】
また、本明細書において説明した異常操作検出装置の構成要素を備える装置(例えば、異常操作検出装置を構成する複数の装置(又はユニット)のうちの1つ以上の装置(又はユニット)、又は上記複数の装置(又はユニット)のうちの1つのためのモジュール)が提供されてもよい。また、上記構成要素の処理を含む方法が提供されてもよく、上記構成要素の処理をプロセッサに実行させるためのプログラムが提供されてもよい。また、当該プログラムを記録したコンピュータに読み取り可能な非一時的記録媒体(Non-transitory computer readable medium)が提供されてもよい。当然ながら、このような装置、モジュール、方法、プログラム、及びコンピュータに読み取り可能な非一時的記録媒体も本発明に含まれる。
【0070】
<<5.付記>>
上記実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
上記実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
【0071】
(付記1)
ユーザ端末から収集された操作ログを、ユーザが所属する組織に応じた基準リストであって、前記ユーザ端末での正常操作に該当する可変項目と前記ユーザ端末での異常操作に該当する不可変項目とを含む前記基準リストと比較して、前記可変項目に該当しない、または、前記不可変項目に該当する操作を検出する検出手段と、
前記基準リストの前記可変項目を、前記操作ログの分析結果に応じて更新する更新手段と
を有することを特徴とする異常操作検出装置。
ユーザ端末から収集された操作ログを、ユーザが所属する組織に応じた基準リストであって、前記ユーザ端末での正常操作に該当する可変項目と前記ユーザ端末での異常操作に該当する不可変項目とを含む前記基準リストと比較して、前記可変項目に該当しない、または、前記不可変項目に該当する操作を検出する検出手段と、
前記基準リストの前記可変項目を、前記操作ログの分析結果に応じて更新する更新手段と
を有することを特徴とする異常操作検出装置。
【0072】
(付記2)
異なる可変項目と前記不可変項目とを組み合わせた複数の基準リストパターンから、エラーの数が所定の閾値の範囲内にある基準リストパターンを選択する選択手段をさらに備え、
前記更新手段は、前記選択された基準リストパターンを用いた前記操作ログの分析結果に応じて前記可変項目を更新することを特徴とする付記1に記載の異常操作検出装置。
異なる可変項目と前記不可変項目とを組み合わせた複数の基準リストパターンから、エラーの数が所定の閾値の範囲内にある基準リストパターンを選択する選択手段をさらに備え、
前記更新手段は、前記選択された基準リストパターンを用いた前記操作ログの分析結果に応じて前記可変項目を更新することを特徴とする付記1に記載の異常操作検出装置。
【0073】
(付記3)
前記更新手段は、新たに収集された操作ログの分析結果に応じた前記可変項目の更新を、所定の期間、繰り返すことを特徴とする付記1または2に記載の異常操作検出装置。
前記更新手段は、新たに収集された操作ログの分析結果に応じた前記可変項目の更新を、所定の期間、繰り返すことを特徴とする付記1または2に記載の異常操作検出装置。
【0074】
(付記4)
前記所定の期間が終了した後、前記基準リストの前記可変項目と前記不可変項目は、管理者によって変更することが可能であることを特徴とする付記3に記載の異常操作検出装置。
前記所定の期間が終了した後、前記基準リストの前記可変項目と前記不可変項目は、管理者によって変更することが可能であることを特徴とする付記3に記載の異常操作検出装置。
【0075】
(付記5)
前記ユーザ端末に対して、前記操作が検出されたことを示すアラートを出力する出力手段をさらに有することを特徴とする付記1乃至4のいずれか1項に記載の異常操作検出装置。
前記ユーザ端末に対して、前記操作が検出されたことを示すアラートを出力する出力手段をさらに有することを特徴とする付記1乃至4のいずれか1項に記載の異常操作検出装置。
【0076】
(付記6)
前記出力手段は、前記ユーザの属性に応じた前記可変項目ごとの異常検知レベルにしたがって、前記アラートの出力を制御することを特徴とする付記5に記載の異常操作検出装置。
前記出力手段は、前記ユーザの属性に応じた前記可変項目ごとの異常検知レベルにしたがって、前記アラートの出力を制御することを特徴とする付記5に記載の異常操作検出装置。
【0077】
(付記7)
前記属性は、前記ユーザの役職、雇用形態、また所属部門の情報を含むことを特徴とする付記6に記載の異常操作検出装置。
前記属性は、前記ユーザの役職、雇用形態、また所属部門の情報を含むことを特徴とする付記6に記載の異常操作検出装置。
【0078】
(付記8)
前記出力手段は、前記ユーザに応じたアラート通知方法にしたがって、前記アラートを出力することを特徴とする付記5乃至7のいずれか1項に記載の異常操作検出装置。
前記出力手段は、前記ユーザに応じたアラート通知方法にしたがって、前記アラートを出力することを特徴とする付記5乃至7のいずれか1項に記載の異常操作検出装置。
【0079】
(付記9)
ユーザ端末から収集された操作ログを、ユーザが所属する組織に応じた基準リストであって、前記ユーザ端末での正常操作に該当する可変項目と前記ユーザ端末での異常操作に該当する不可変項目とを含む前記基準リストと比較して、前記可変項目に該当しない、または、前記不可変項目に該当する操作を検出する検出ステップと、
前記基準リストの前記可変項目を、前記操作ログの分析結果に応じて更新する更新ステップと
を含むことを特徴とする異常操作検出方法。
ユーザ端末から収集された操作ログを、ユーザが所属する組織に応じた基準リストであって、前記ユーザ端末での正常操作に該当する可変項目と前記ユーザ端末での異常操作に該当する不可変項目とを含む前記基準リストと比較して、前記可変項目に該当しない、または、前記不可変項目に該当する操作を検出する検出ステップと、
前記基準リストの前記可変項目を、前記操作ログの分析結果に応じて更新する更新ステップと
を含むことを特徴とする異常操作検出方法。
【0080】
(付記10)
コンピュータに付記9に記載の方法を実行させるためのプログラム。
コンピュータに付記9に記載の方法を実行させるためのプログラム。
【産業上の利用可能性】
【0081】
本発明は、会社などの組織内の情報システムにおいて、ユーザ端末での異常操作を検出するために利用することができる。本発明によれば、ハッキングや内部不正操作による組織外への情報漏えいを防止することができる。また、本発明を導入することにより、内部不正の抑止効果も期待できる。
【符号の説明】
【0082】
10 異常操作検出装置
101 ログ収集部
102 異常検知レベル判定部
103 アラート通知部
104 操作-基準リスト比較部
105 基準リストパターン判定部
106 可変項目更新部
107 データベース
1071 操作ログDB
1072 ユーザDB
1073 基準リストDB
1074 基準リストパターンDB
1075 システム定義DB
101 ログ収集部
102 異常検知レベル判定部
103 アラート通知部
104 操作-基準リスト比較部
105 基準リストパターン判定部
106 可変項目更新部
107 データベース
1071 操作ログDB
1072 ユーザDB
1073 基準リストDB
1074 基準リストパターンDB
1075 システム定義DB
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】