WO2005048114A1 - 不正監視プログラム、不正監視の方法及び不正監視システム - Google Patents

Description

明 細 書

不正監視プログラム、不正監視の方法及び不正監視システム

技術分野

[0001] 本発明は、コンピュータに不正な操作を実行させる不正データを監視するための不 正監視プログラム、不正監視の方法及び不正監視システムに関するものである。 背景技術

[0002] コンピュータをインターネット等のネットワークに接続して使用する場合、外部からの 不正なデータの侵入を防止するとともに、コンピュータの不正操作による内部からの データ流出や漏洩を防止することが必要になる。不正なデータの侵入を防止するた めには、企業内 LANなどの内部ネットワークとインターネットの間にファイアウォール を設けて不正なデータを遮断することや、内部ネットワークや個々のコンピュータ端末 にウィルスの侵入を防止するワクチンソフトを配置すること力 広く行われている。ファ ィァウォールやワクチンソフトにおいては、キーワードや送信元の IPアドレスなどから 不正なデータを判定するためのルールを予め定めておき、当該ルールを参照するこ とにより不正なデータ力否かを判定することが一般的である。

[0003] 一方、不正な操作によりデータが流出することを防止するための方法については、 例えばネットワークに送出されるデータに対して、アクセス権や送信元、送信する文 書の種類などについて予め定められたルールを参照して、不正の恐れがあると検知 されると通信を切断する技術が開示されている (例えば、特許文献 1参照)。

特許文献 1：特開 2002 - 232451号広報

発明の開示

発明が解決しょうとする課題

[0004] ファイアウォールやワクチンソフト、前記特許文献 1記載の発明は、いずれもネットヮ ークにおける不正なデータの侵入や漏洩を防止するためのものである。しかしながら 、コンピュータを用いた不正操作はネットワークを介するものに限られず、例えば権限 のない第三者が外部ネットワークには接続されていないコンピュータを不正に操作し て、コンピュータ内部の情報をプリンタに出力する、外部ディスクに書き出す、といつ たネットワークを用いない方法による情報流出の危険性も存している。つまり、不正な 操作を実行させるデータの監視は、ネットワークとの間だけでなぐプリンタやドライブ と接続するドライバレベルにぉ 、ても行われることが好まし 、。

[0005] また、先に説明した通り、現在の不正データの監視手法はキーワード、 IPアドレス や MACアドレス等を登録したルールベースを主とするものである力 かかる方法によ り登録できるルールの内容には限りがある。なるべく正確な判定を行うためにはルー ルの数を増加させることが好ましいが、ルールの数があまりに多くなつても、判定にか 力る処理が重くなるという問題が生じる。従って、多様な切り口力 のルールをなるベ く簡潔に登録し、かつルールの参照を効率的に行うような仕組みがあると効果的であ る。

[0006] さらに、ルールベースによる不正判定は、従来とは全く異なる方法により、登録され たルールに該当しな 、不正な操作を実行されると、ルールベースのみではこれを感 知し難いという問題も有している。これに対しては、従来と異なるユーザの操作行動 のパターンを捉えて、不正の可能性を的確に判断することができると効果的である。

[0007] 本発明は、これらの課題に対応してなされたものであり、コンピュータに不正な操作 を実行させる不正データの監視において、ネットワークのみでなく外部デバイスとの 間で入出力されるデータの監視が可能であり、かつ不正判定のための多様なルール 設定と効率的なルールの適用が可能な不正監視プログラム、不正監視の方法及び 不正監視システムを提供することを目的とするものである。

課題を解決するための手段

[0008] 本願に力かる課題を解決する第 1の発明は、コンピュータに不正な操作を実行させ る不正データを監視するためのプログラムであって、前記コンピュータに、前記コンビ ユータに接続されたネットワーク又は前記コンピュータと外部デバイスを接続する外部 接続バスを通じて入出力される入出力データを取得するステップと、前記入出力デ 一タカ ユーザを識別する識別情報を特定するステップと、前記コンピュータの利用 権限を有するユーザにっ 、て各々のユーザの属性情報を格納するユーザ情報格納 部から、前記識別情報に対応する属性情報の少なくとも一部を取得するステップと、 前記入出力データが不正データであると判定するルールを格納する判定ルール格 納部を参照して、前記入出力データが不正データであるかを判定するステップと、前 記不正データ判定ステップにお 、て不正データであると判定された場合には、前記 入出力データにより実行される操作を停止させるステップと、を実行させ、前記判定 ルール格納部には、ユーザの属性に対応する判定ルールが記憶されていて、前記 不正データであるかを判定するステップにお 、ては、前記属性情報を取得するステツ プにお 、て取得した属性情報に対応する前記判定ルールを参照して、不正データ であるかを判定することを特徴とする不正監視プログラムである。

[0009] 第 1の発明においては、ネットワークのみでなぐコンピュータの外部接続バスを通 じて入出力されるデータを監視することにより、ネットワークを経由しない不正なプリン トアウトやディスクへの書き込みなどの操作を指示するデータを監視して、不正な操 作を中断させることができる。また、ユーザの属性情報に応じた判定項目を加えること により、ルールの多様ィ匕を図ることができる。

[0010] 第 1の発明において、コンピュータとは、ネットワークに接続され外部接続バスを備 えていれば、ネットワークにおいてクライアントとして利用されるであってもよいし、サ ーバとして利用されるものであってもよい。ネットワークには、 LAN、ダイヤルアップな どデータの送受信が可能な全てのネットワークが含まれる。外部デバイスは、プリンタ やドライブなど、外部接続バスを通してコンピュータに接続可能な全ての周辺装置が 含まれる。不正データとは、外部に流出が禁じられたファイルの送信指示、権限の無 いユーザによる操作など、コンピュータの不正操作に力かるデータが該当する。ユー ザの属性情報には、例えばユーザの年齢、性別、所属部署、役職などが用いられる

[0011] また、第 1の発明は、前記コンピュータに、前記ユーザ情報格納部を参照して、前 記識別情報に対応するユーザが前記コンピュータの利用権限を有しているかを判定 するステップと、前記利用権限を判定するステップにお 、て利用権限が無 、と判定さ れた場合には、前記入出力データにより実行される操作を停止させるステップと、を 実行させ、前記利用権限を判定するステップは、前記不正データを判定するステップ より先行して実行され、前記利用権限を判定するステップにお 、て利用権限が無 、 と判定された場合には、前記コンピュータに、前記属性情報を取得するステップ又は 前記不正データを判定するステップの少なくとも一つのステップを実行させないことを 特徴とすることを特徴とすることもできる。

[0012] 第 1の発明においては、ルールの一項目として用いるためにユーザの属性を予め 登録するので、操作を行ったユーザがコンピュータの利用権限を有するものか否かを 容易に確認することができる。ユーザの利用権限の有無をルールの判定前に行うこと とすれば、最初の段階でそもそも権限を有しないユーザの操作である場合には、ル ールを適用する前に操作の停止処理を行うことにより、ルールを適用する処理を効率 ィ匕することがでさる。

[0013] さらに、第 1の発明は、前記コンピュータに、前記入出力データにかかるログデータ を、ユーザ毎のプロファイルとして格納するプロファイル格納部を参照して、前記デー タ取得ステップにおいて取得された入出力データが前記ユーザの日常的な操作の 傾向に比して特異であるかを判定するステップを実行させ、前記入出力データにより 実行される操作を停止させるステップにお ヽては、前記特異であるかを判定するステ ップにおいて特異であると判定された場合にも、前記入出力データにより実行される 操作を停止させることを特徴とすることもできる。

[0014] このようにユーザ毎のログデータの収集によりユーザ毎の操作の特性を把握したプ 口ファイルを作成し、カゝかるプロファイルを参照してユーザが特異な操作を行ったか 否かを判定することにより、ルールでは判断することのできない第三者による権限の あるユーザへのなりすまし、権限の範囲内ではあるが通常は実行しない不正の可能 性のある操作などを判定することが可能になる。

[0015] さらに、第 1の発明は、前記入出力データを取得するステップにおいて、ネットヮー タカ 前記入出力データを取得した場合には、前記入出力データにより実行される 操作を停止させるステップにお 、ては、セッションの切断処理を実行させることを特徴 とすることちでさる。

[0016] さらに、第 1の発明は、前記入出力データを取得するステップにおいて、外部接続 バス力も前記入出力データを取得した場合には、前記入出力データにより実行され る操作を停止させるステップにお 、ては、ドライバの実行する処理を停止させることを 特徴としてもよい。 [0017] 第 1の発明においては、コンピュータが実行中の処理が不正操作であると判定され た場合には、即時に実行を停止させるための処理がなされる。実行中の処理がネット ワークを通じたデータの送受信である場合には、実行中のセッションの切断処理を行 うことにより、データの外部送信による情報漏洩等を防止することができる。実行中の 処理が外部接続バスを通じた外部デバイスへの操作である場合には、ドライバの実 行する処理を停止させることにより、データの出力による情報漏洩等を防止すること ができる。

[0018] 本願に力かる課題を解決する第 2の発明は、コンピュータに不正な操作を実行させ る不正データを監視するためのプログラムであって、前記コンピュータに、前記コンビ ユータに接続されたネットワーク又は前記コンピュータと外部デバイスを接続する外部 接続バスを通じて入出力される入出力データを取得するステップと、前記入出力デ 一タカ ユーザを識別する識別情報を特定するステップと、前記コンピュータの利用 権限を有するユーザにっ 、て各々のユーザの属性情報を格納するユーザ情報格納 部から、前記識別情報に対応する属性情報の少なくとも一部を取得するステップと、 前記入出力データが不正データであると判定するルールを格納する判定ルール格 納部を参照して、前記入出力データが不正データであるかを判定するステップと、前 記不正データ判定ステップにお 、て不正データであると判定された場合には、前記 入出力データにより実行される操作が不正な操作であることを前記ユーザ又は管理 者の操作する端末装置に通知するステップと、を実行させ、前記判定ルール格納部 には、ユーザの属性に対応する判定ルールが記憶されていて、前記不正データを判 定するステップにお 、ては、前記属性情報取得ステップにお 、て取得した属性情報 に対応する前記判定ルールを参照して、不正データであるかを判定することを特徴と する不正監視プログラムである。

[0019] この発明においては、第 1の発明は不正データと判定すると当該データにより実行 される処理を停止させるのに対し、当該データにかかる処理を実行させた操作者で あるユーザ、又はコンピュータや端末の管理者に対して警告を通知することにより、 不正データに対処することを特徴して!/ヽる。

[0020] 第 1の発明及び第 2の発明は、上記の不正監視プログラムを実行することによる不 正監視の方法として特定することもできる。また、上記の不正監視プログラムを用いた 不正監視システムとして構成することもできる。

[0021] つまり、第 1の発明は、コンピュータに不正な操作を実行させる不正データを監視す るためのシステムであって、前記コンピュータに接続されたネットワーク又は前記コン ピュータと外部デバイスを接続する外部接続バスを通じて入出力される入出力デー タを取得するデータ取得手段と、前記入出力データからユーザを識別する識別情報 を特定する識別情報特定手段と、前記コンピュータの利用権限を有するユーザにつ いて各々のユーザの属性情報を格納するユーザ情報格納手段と、前記ユーザ情報 格納手段から、前記識別情報に対応する属性情報の少なくとも一部を取得する属性 情報取得手段と、前記入出力データが不正データであると判定するルールを格納す る判定ルール格納手段と、前記判定ルール格納手段を参照して、前記入出力デー タが不正データであるかを判定する不正データ判定手段と、前記不正データ判定手 段において不正データであると判定された場合には、前記入出力データにより実行 される操作を停止させる停止手段と、を備えていて、前記判定ルール格納手段には 、ユーザの属性に対応する判定ルールが記憶されていて、前記不正データ判定手 段にお 1、ては、前記属性情報取得手段が取得した属性情報に対応する前記判定ル ールを参照して、不正データであるかを判定することを特徴とする不正監視システム として構成することちできる。

[0022] また、第 1の発明は、前記ユーザ情報格納部を参照して、前記識別情報に対応す るユーザが前記コンピュータの利用権限を有しているかを判定する利用権限判定手 段を備えていて、前記停止手段は、前記利用権限判定手段において利用権限が無 いと判定された場合にも、前記入出力データにより実行される操作を停止させ、前記 利用権限判定手段は、前記不正データ判定手段より先行して起動され、前記利用権 限判定手段によって利用権限が無!ヽと判定された場合には、前記属性情報取得手 段又は前記不正データ判定手段の少なくとも一つの手段が起動されないことを特徴 とすることちでさる。

[0023] さらに、第 1の発明は、前記入出力データにかかるログデータを、ユーザ毎のプロフ アイルとして格納するプロファイル格納手段と、前記プロファイル格納手段を参照して 、前記データ取得手段において取得された入出力データが前記ユーザの日常的な 操作の傾向に比して特異であるかを判定する特異操作判定手段と、を備えて 、て、 前記停止手段は、前記特異操作判定手段において特異と判定された場合にも、前 記入出力データにより実行される操作を停止させることを特徴とすることもできる。

[0024] さらに、第 1の発明は、前記データ取得手段が、ネットワークから前記入出力データ を取得した場合には、前記停止手段はセッションの切断処理を実行することを特徴と することちでさる。

[0025] さらに、第 1の発明は、前記データ取得手段が、外部接続バス力 前記入出力デー タを取得した場合には、前記停止手段はドライバの実行する処理を停止させることを 特徴とすることちでさる。

[0026] 第 2の発明は、コンピュータに不正な操作を実行させる不正データを監視するため のシステムであって、前記コンピュータに接続されたネットワーク又は前記コンビユー タと外部デバイスを接続する外部接続バスを通じて入出力される入出力データを取 得するデータ取得手段と、前記入出力データからユーザを識別する識別情報を特定 する識別情報特定手段と、前記コンピュータの利用権限を有するユーザについて各 々のユーザの属性情報を格納するユーザ情報格納手段と、前記ユーザ情報格納手 段から、前記識別情報に対応する属性情報の少なくとも一部を取得する属性情報取 得手段と、前記入出力データが不正データであると判定するルールを格納する判定 ルール格納手段と、前記判定ルール格納手段を参照して、前記入出力データが不 正データであるかを判定する不正データ判定手段と、前記不正データ判定手段にお いて不正データであると判定された場合には、前記入出力データにより実行される操 作が不正な操作であることを前記ユーザ又は管理者の操作する端末装置に通知す る通知手段と、を備えていて、前記判定ルール格納手段には、ユーザの属性に対応 する判定ルールが記憶されていて、前記不正データ判定手段においては、前記属 性情報取得手段が取得した属性情報に対応する前記判定ルールを参照して、不正 データであるかを判定することを特徴とする不正監視システムとして構成することもで きる。

発明の効果 [0027] 本発明により、コンピュータに不正な操作を実行させる不正データの監視において 、ネットワークのみでなく外部デバイスとの間で入出力されるデータの監視が可能とな り、なりすましゃ権限の無い者による不正なデータ出力による情報漏洩等を防止する ことができる。

[0028] また、ルールの一項目に予め登録されたユーザの属性情報を用いることにより、不 正判定のための多様なルール設定を行うことが可能になる。さらに、属性情報を用い てコンピュータの操作権限の有無をルールの適用に先立って判定することにより、不 正判定に力かる処理を効率ィ匕することができる。さらに、ユーザ毎の操作履歴をプロ ファイルとして記録することにより、ルールでは判断できな ヽ特異な操作パターンを認 識し、権限のあるユーザへのなりすまし、権限の範囲内ではあるが通常は実行しない 不正の可能性のある操作などを判定することも可能になる。

発明を実施するための最良の形態

[0029] 本発明を実施するための最良の形態について、図面を用いて以下に詳細に説明 する。尚、以下の説明は本発明の実施形態の一例であって、本発明はかかる実施形 態に限定されるものではない。

[0030] 図 1、図 2は、本発明にかかる不正監視システムを、それぞれネットワークの監視、 外部デバイスとの接続の監視に用いる例を示す図である。図 3は、本発明にかかる不 正監視システムの設置位置を示す図である。図 4、図 5は、本発明にかかる不正監視 システムの第一の構成を示すブロック図である。図 6は、本発明にカゝかる不正監視シ ステムのユーザデータ格納部の一例を示す図である。図 7は、本発明に力かる不正 監視システムの不正ルール格納部の一例を示す図である。図 8は、本発明にかかる 不正監視プログラムのフローを示すフローチャートである。

[0031] 本発明に力かる不正監視システムは、ネットワークに流れる各種のデータを監視す るだけでなく、プリンタなどの出力装置や外部ディスクドライブなどの外部記憶装置を はじめとする外部デバイスと接続するための外部接続バスの監視も行うことができるこ とを特徴としている。図 3に示したとおり、本発明にかかる不正監視システムは、企業 内 LANなどの内部ネットワークとインターネットのゲートウェイに設けられてネットヮー クを監視してもよ 、し、メールサーバに設けられてネットワークを通じたメールの送受 信を監視してもよい。また、内部ネットワークにおけるセグメントの監視に用いてもよい し、個々のユーザ端末とネットワークとの監視、若しくは外部デバイスとの接続の監視 に用いてもよい。

[0032] 図 1は、ネットワークの監視に用いる場合の一例であり、本発明に力かる不正監視 システムは、不正監視サーバ 10、ユーザデータ格納部 12及び不正ルール格納部 1 3により構成されている。不正監視サーバ 10は、内部ネットワークとインターネットのゲ 一トウエイに設けられて内部ネットワーク全体力 の不正なデータの漏洩等を監視す るものであってもよいし、内部ネットワークに設けられてセグメント内における不正なデ ータの漏洩等の監視に用いられるものであってもよい。

[0033] 不正監視サーバ 10では、ネットワークを流れる全ての入出力データを取得し、ユー ザデータ格納部 12からデータの入出力を行うユーザの属性に力かる情報を取得す る。不正ルール格納部 13には、一般的な不正データの判定ルールに加えて、ユー ザの属性に応じて不正と判定されるルールが格納されており、不正監視サーバ 10は 不正ルール格納部 13を参照して当該入出力データについて一般的な判定ルール を参照するとともに、ユーザデータ格納部 12から取得した属性に対応するルールを 参照して、当該入出力データが不正か否かの判定を行う。不正と判定された入出力 データに対しては、入出力が行われようとしたセッションの遮断処理を実行する。

[0034] 図 2は、外部接続バスの監視に用いる場合の一例であり、本発明に力かる不正監 視システムは、処理装置 210の HDD214に格納された不正監視プログラム 11、ユー ザデータ格納部 12及び不正ルール格納部 13により構成されて!、て、これらのプログ ラムや格納されたデータは、監視の実行時に HDD214から読み出されて、処理装置 210において演算処理される。処理装置 210においては、 HDD214に格納された 不正監視プログラム 11による監視を実行するために、 ROM213に記憶された入力 制御や出力制御などのハードウェア制御のための基本的な各種プログラムを起動し て、 RAM212を不正監視プログラム 11のワークエリアとして機能させながら、 CPU2 11が演算処理を行う。不正監視プログラム 11の演算処理においては、 HDD214の ユーザデータ格納部 12及び不正ルール格納部 13より必要なデータが読み出されて 用いられる。尚、処理装置においてプログラムを格納する HDD214については、フラ ッシュメモリなどプログラムを格納することができるその他の記憶媒体を用いるもので あってもよい。

[0035] 不正監視プログラム 11は、処理装置 210においてドライバプログラム 22が読み出さ れて外部接続バス 23にプリントアウトや外部ディスク等への書き出しの指示データが 送信されると、外部接続バス 23を流れる指示データを取得し、ユーザデータ格納部 1 2から当該指示データにかかる操作を行ったユーザの属性に力かる情報を取得する 。不正ルール格納部 13には、一般的な不正データの判定ルールに加えて、ユーザ の属性に応じて不正と判定されるルールが格納されており、不正監視プログラム 11 は当該指示データが不正ルール格納部 13に格納された一般的な判定ルールに該 当するかを判定するとともに、ユーザデータ格納部 12から取得した属性に対応する ルールに該当するかを判定する処理を実行する。不正と判定された指示データに対 しては、ドライバプログラム 22により実行された処理を停止させるための処理、例えば プリントアウトの停止や外部接続バス 23に直接接続されたコンピュータとの通信の停 止などの処理を実行する。

[0036] 図 1の不正監視サーバ 10、及び図 2の不正監視プログラム 11における不正判定の 方法について、図 4及び図 5を用いてさらに詳しく説明する。図 4は、不正の判定ルー ルにユーザの属性に応じたルールをカ卩えた判定方式を、図 5はルールベースのみで なぐユーザ毎のプロファイル力も操作パターンを判定して特異な操作を不正と判定 する方式を実行するための構成を示したものである。

[0037] 図 4における不正の判定は、データ取得部 14による判定の対象となるデータの取 得、不正操作判定部 15によるルールベースの不正操作の判定、中断処理実行部 1 6による対象となる処理の中止、の順により行われる。尚、これらの各部は物理的に分 離されているものではなぐ各々を実行する不正監視プログラム 11の一部のプロダラ ムとして HDD214に格納されており、順次読み出されて RAM212をワークエリアとし て機能させながら、 CPU211により演算処理が実行されるものであってもよ!/、。

[0038] データ取得部 14は、ネットワーク又は外部接続バスを流れるデータを取得する。取 得するデータには、当該データにかかる操作を実行したユーザの識別データが含ま れている。識別データは、ユーザがコンピュータにログインした際のログイン ID等によ り特定される。

[0039] 不正操作判定部 15においては、ユーザデータ格納部 12から、データ取得部 14で 取得したユーザの識別データに対応するユーザの属性情報を取得する。図 6は、ュ 一ザデータ格納部 12に格納されたユーザの属性情報の一例であり、ユーザ毎に設 けられたレコードには、ユーザ IDと、部署や職種などの属性情報が格納されている。

[0040] 次に、不正操作判定部 15は、不正ルール格納部 13を参照して、データ取得部 14 で取得したデータが不正と判定すべきルールに該当するか否かを判定する。不正ル ール格納部 13には、ユーザの属性に関わらず一般的に不正と判定すべきルールと 、ユーザの属性に応じて許可されな 、事項を定めた属性毎のルールが格納されて 、 る。前者については、例えばキーワード、 URL、 IPアドレス、 MACアドレスなどを基 準に、不正の判定に一般的に用いられているルールが該当する。後者については、 例えば部署や役職に応じて特定の操作について定められた操作権限などが該当す る。

[0041] 図 7は不正ルール格納部 13に格納されたユーザの属性に応じて定められた判定 ルールの一例である力 ルール単位で設けられたレコードには、対象となる属性と適 用されるルールが格納されており、この例では正社員以上にのみメールの送信権限 を付与している。例えば、図 6の例に示したインターンの看護士力メールを送信しょう とすると、送信権限がないと判断されて、メールの送信処理が停止されることになる。

[0042] このように不正操作判定部 15にお 、て取得したデータにかかる操作が不正な操作 であると判定されると、中断処理実行部 16にお ヽて当該操作により実行される処理 を停止させるための処理が実行される。つまり、ネットワークを通じた入出力データに 対しては、入出力が行われようとしたセッションの遮断処理が実行され、外部接続バ スを通じた実行処理データに対しては、プリントアウトの停止や外部ディスクへの書き 込みの停止などの処理が実行される。

[0043] 尚、不正操作判定部 15においては、ユーザデータ格納部 12からユーザの属性情 報を取得する際に、ユーザ IDに該当するデータが存在しない場合、又はユーザ ID が当該ユーザの退職等により無効とされている場合には、無権限者によるアクセスと して、不正ルール格納部 13による判定を行わずに不正と判定して、中断処理実行部 16による中断を実行することとしてもよ 、。このようにルールベースの判定の前に無 権限者によるアクセスを判定すると、システムの処理負担を軽減し、速やかな判定と 中断処理を実行することが可能になる。

[0044] 図 5における不正の判定は、データ取得部 14による判定の対象となるデータの取 得、不正操作判定部 15によるルールベースの不正操作の判定、特異操作判定部 1 8によるルールベースによらないユーザ毎の操作パターンからの不正操作の判定、 中断処理実行部 16による対象となる処理の中止、がそれぞれ実行される。尚、これら の各部については物理的に分離されたものではなぐ各々を実行する不正監視プロ グラム 11の一部のプログラムとして HDD214に格納されており、順次読み出されて R AM212をワークエリアとして機能させながら、 CPU211により演算処理が実行される ものであってもよいのは、図 4の場合と同様である。

[0045] 図 5においても、データ取得部 14による判定の対象となるデータの取得と、不正操 作判定部 15によるルールベースの不正操作の判定、中断処理実行部 16による対象 となる処理の中止についての処理は、図 4の場合と同様である。この構成においては 、プロファイル作成部 19においてユーザ毎のプロファイルを作成し、特異操作判定 部 18ではユーザ毎の操作パターンカゝら不正操作を判定する点に特徴を備えている

[0046] データ取得部 14において取得されたデータは、ルールベースによる判定を行う不 正操作判定部 15とともに、ユーザ毎の操作パターンによる判定を行う特異操作判定 部 18により判定が実行される。ユーザプロファイル 17には各々のユーザの過去の操 作パターンが登録されており、特異操作判定部 18では取得したデータにかかる操作 とユーザプロファイル 17に登録された当該ユーザの操作パターンを対比して、特異 な操作であると判定する場合には、中断処理実行部 16による中断を実行する。例え ば、通常は操作を行わない時間帯に操作を行った場合、通常は実行しないタイプの 操作を大量に実行した場合などは、当該ユーザによる不正行為や他人のユーザ ID を用いたなりすましである可能性があるとして、処理が中断される。

[0047] 尚、ユーザプロファイル 17へ登録される操作パターンは、特異操作判定部 18におい て判定に用いたデータと、ユーザデータ格納部 12のユーザの属性情報から作成す ることができる。データ取得部 14において取得したデータのログを用いることとしても よい。プロファイルの更新は、新たなデータを取得する毎にオンライン処理として実行 してもょ 、し、定期的なバッチ処理により行ってもょ 、。

[0048] 特異操作判定部 18には、ユーザプロファイル 17に比して特異な操作パターンを判 定するための、知識エンジンが設けられている。知識エンジンは通常の操作と特異な 操作を判別する人工知能の機能を備えているが、人工知能の構造はベイジアン'ネ ットワークによるものであってもよいし、ニューラル ·ネットワークによるものであってもよ い。

[0049] 尚、これまで説明した実施形態にお!ヽては、不正操作と判定されるとセッションの遮 断処理が実行され、外部接続バスを通じた実行処理データに対しては、プリントァゥ トの停止や外部ディスクへの書き込みの停止などの処理が実行されることとして更正 しているが、不正操作と判定された場合には、当該操作を実行したユーザや、コンビ ユータゃネットワークの管理者に対して警告を通知するよう構成してもよい。

[0050] 図 8のフローチャートを用いて、本発明に力かる不正監視プログラムの基本的なフロ 一について説明する。まず、ネットワーク又は外部接続バスを流れる入出力データと 、当該入出力データにかかる操作を実行した操作者の IDを取得する（S01)。取得し た IDについて、ユーザの属性情報を格納するユーザデータベースを参照し（S02)、 ユーザデータベースに当該 IDが存在しない場合には（S03)、操作権限の無い者に よる操作と判断して、当該入出力データにかかる操作の中止処理を実行する（S08)

[0051] ユーザデータベースに当該 IDが存在する場合には（S03)、当該 IDに力かる属性 情報をユーザデータベースから取得する（S04)。続いてルールデータベースを参照 して（S05)、まず取得した属性が属性毎に定められたルールに該当しないかを判定 する（S06)。該当する場合には、当該操作に力かる操作権限の無い者による操作と 判断して、当該入出力データにかかる操作の中止処理を実行する（S08)。該当しな Vヽ場合には、続、て取得した入出力データが一般的なルールに該当しな 、かを判 定する（S07)。該当する場合には、当該操作は不正な操作であると判断して、当該 入出力データにかかる操作の中止処理を実行する（S08)。該当しない場合には、正 常な操作であるとして、そのまま当該入出力データにかかる操作が実行される。 図面の簡単な説明

[0052] [図 1]本発明に力かる不正監視システムを、ネットワークの監視に用いる例を示す図 である。

[図 2]本発明にかかる不正監視システムを、外部デバイスとの接続の監視に用いる例 を示す図である。

[図 3]本発明にかかる不正監視システムの設置位置を示す図である。

[図 4]本発明にかかる不正監視システムの第一の構成を示すブロック図である。

[図 5]本発明にかかる不正監視システムの第二の構成を示すブロック図である。

[図 6]本発明に力かる不正監視システムのユーザデータ格納部の一例を示す図であ る。

[図 7]本発明にカゝかる不正監視システムの不正ルール格納部の一例を示す図である

[図 8]本発明に力かる不正監視プログラムのフローを示すフローチャートである。 符号の説明

[0053] 10 不正監視サーバ

11 不正監視プログラム

12 ユーザデータ格納部

13 不正ルール格納部

14 データ取得部

15 不正操作判定部

16 中断処理実行部

17 ユーザプロフアイノレ

18 特異操作判定部

19 プロファイル作成部

20 ユーザ端末

210 処理装置

211 CPU 212 RAM

213 ROM

214 HDD

22 ドライバプログラム 23 外部接続バス 24 出力装置

25 外部記憶装置 31 ユーザ端末 32 ユーザ端末 33 ユーザ端末

1 外部端末

2 外部端末

3 外部端末

Claims

請求の範囲

[1] コンピュータに不正な操作を実行させる不正データを監視するためのプログラムであ つて、前記コンピュータに、

前記コンピュータに接続されたネットワーク又は前記コンピュータと外部デバイスを接 続する外部接続バスを通じて入出力される入出力データを取得するステップと、 前記入出力データからユーザを識別する識別情報を特定するステップと、 前記コンピュータの利用権限を有するユーザについて各々のユーザの属性情報を 格納するユーザ情報格納部から、前記識別情報に対応する属性情報の少なくとも一 部を取得するステップと、

前記入出力データが不正データであると判定するルールを格納する判定ルール格 納部を参照して、前記入出力データが不正データであるかを判定するステップと、 前記不正データ判定ステップにお 、て不正データであると判定された場合には、前 記入出力データにより実行される操作を停止させるステップと、を実行させ、 前記判定ルール格納部には、ユーザの属性に対応する判定ルールが記憶されて ヽ て、

前記不正データであるかを判定するステップにお 、ては、前記属性情報を取得する ステップにお 、て取得した属性情報に対応する前記判定ルールを参照して、不正デ ータであるかを判定すること

を特徴とする不正監視プログラム。

[2] 前記コンピュータに、

前記ユーザ情報格納部を参照して、前記識別情報に対応するユーザが前記コンビ ユータの利用権限を有しているかを判定するステップと、

前記利用権限を判定するステップにお 、て利用権限が無 ヽと判定された場合には、 前記入出力データにより実行される操作を停止させるステップと、を実行させ、 前記利用権限を判定するステップは、前記不正データを判定するステップより先行し て実行され、

前記利用権限を判定するステップにお 、て利用権限が無 ヽと判定された場合には、 前記コンピュータに、前記属性情報を取得するステップ又は前記不正データを判定 するステップの少なくとも一つのステップを実行させないこと

を特徴とする請求項 1記載の不正監視プログラム。

[3] 前記コンピュータに、

前記入出力データにかかるログデータを、ユーザ毎のプロファイルとして格納するプ 口ファイル格納部を参照して、前記データ取得ステップにお 、て取得された入出力 データが前記ユーザの日常的な操作の傾向に比して特異であるかを判定するステツ プを実行させ、

前記入出力データにより実行される操作を停止させるステップにおいては、前記特異 であるかを判定するステップにお 、て特異であると判定された場合にも、前記入出力 データにより実行される操作を停止させること

を特徴とする請求項 1記載の不正監視プログラム。

[4] 前記入出力データを取得するステップにおいて、ネットワークから前記入出力データ を取得した場合には、前記入出力データにより実行される操作を停止させるステップ においては、セッションの切断処理を実行させること

を特徴とする請求項 1乃至 3いずれかに記載の不正監視プログラム。

[5] 前記入出力データを取得するステップにお 、て、外部接続バス力も前記入出力デー タを取得した場合には、前記入出力データにより実行される操作を停止させるステツ プにおいては、ドライバの実行する処理を停止させること

を特徴とする請求項 1乃至 3いずれかに記載の不正監視プログラム。

[6] コンピュータに不正な操作を実行させる不正データを監視するためのプログラムであ つて、前記コンピュータに、

前記コンピュータに接続されたネットワーク又は前記コンピュータと外部デバイスを接 続する外部接続バスを通じて入出力される入出力データを取得するステップと、 前記入出力データからユーザを識別する識別情報を特定するステップと、 前記コンピュータの利用権限を有するユーザについて各々のユーザの属性情報を 格納するユーザ情報格納部から、前記識別情報に対応する属性情報の少なくとも一 部を取得するステップと、

前記入出力データが不正データであると判定するルールを格納する判定ルール格 納部を参照して、前記入出力データが不正データであるかを判定するステップと、 前記不正データ判定ステップにお 、て不正データであると判定された場合には、前 記入出力データにより実行される操作が不正な操作であることを前記ユーザ又は管 理者の操作する端末装置に通知するステップと、を実行させ、

前記判定ルール格納部には、ユーザの属性に対応する判定ルールが記憶されて ヽ て、

前記不正データを判定するステップにお!、ては、前記属性情報取得ステップにお ヽ て取得した属性情報に対応する前記判定ルールを参照して、不正データであるかを 判定すること

を特徴とする不正監視プログラム。

[7] コンピュータに不正な操作を実行させる不正データを監視するための方法であって、 前記コンピュータ力 前記コンピュータに接続されたネットワーク又は前記コンビユー タと外部デバイスを接続する外部接続バスを通じて入出力される入出力データを取 得するステップと、

前記コンピュータが、前記入出力データからユーザを識別する識別情報を特定する ステップと、

前記コンピュータが、前記コンピュータの利用権限を有するユーザについて各々のュ 一ザの属性情報を格納するユーザ情報格納部から、前記識別情報に対応する属性 情報の少なくとも一部を取得するステップと、

前記コンピュータ力 前記入出力データが不正データであると判定するルールを格 納する判定ルール格納部を参照して、前記入出力データが不正データであるかを判 定するステップと、

前記コンピュータが、前記不正データ判定ステップにお 、て不正データであると判定 された場合には、前記入出力データにより実行される操作を停止させるステップと、を 有していて、

前記判定ルール格納部には、ユーザの属性に対応する判定ルールが記憶されて ヽ て、

前記不正データを判定するステップにお 、ては、前記属性情報を取得するステップ にお 、て取得した属性情報に対応する前記判定ルールを参照して、不正データで あるかを判定すること

を特徴とする不正監視の方法。

[8] コンピュータに不正な操作を実行させる不正データを監視するための方法であって、 前記コンピュータ力 前記コンピュータに接続されたネットワーク又は前記コンビユー タと外部デバイスを接続する外部接続バスを通じて入出力される入出力データを取 得するステップと、

前記コンピュータが、前記入出力データからユーザを識別する識別情報を特定する ステップと、

前記コンピュータが、前記コンピュータの利用権限を有するユーザについて各々のュ 一ザの属性情報を格納するユーザ情報格納部から、前記識別情報に対応する属性 情報の少なくとも一部を取得するステップと、

前記コンピュータ力 前記入出力データが不正データであると判定するルールを格 納する判定ルール格納部を参照して、前記入出力データが不正データであるかを判 定するステップと、

前記コンピュータが、前記不正データ判定ステップにお 、て不正データであると判定 された場合には、前記入出力データにより実行される操作が不正な操作であることを 前記ユーザ又は管理者の操作する端末装置に通知するステップと、を有して 、て、 前記判定ルール格納部には、ユーザの属性に対応する判定ルールが記憶されて ヽ て、

前記不正データを判定するステップにお 、ては、前記属性情報を取得するステップ にお 、て取得した属性情報に対応する前記判定ルールを参照して、不正データで あるかを判定すること

を特徴とする不正監視の方法。

[9] コンピュータに不正な操作を実行させる不正データを監視するためのシステムであつ て、

前記コンピュータに接続されたネットワーク又は前記コンピュータと外部デバイスを接 続する外部接続バスを通じて入出力される入出力データを取得するデータ取得手段 と、

前記入出力データからユーザを識別する識別情報を特定する識別情報特定手段と 前記コンピュータの利用権限を有するユーザについて各々のユーザの属性情報を 格納するユーザ情報格納手段と、

前記ユーザ情報格納手段から、前記識別情報に対応する属性情報の少なくとも一 部を取得する属性情報取得手段と、

前記入出力データが不正データであると判定するルールを格納する判定ルール格 納手段と、

前記判定ルール格納手段を参照して、前記入出力データが不正データであるかを 判定する不正データ判定手段と、

前記不正データ判定手段にぉ 、て不正データであると判定された場合には、前記入 出力データにより実行される操作を停止させる停止手段と、を備えていて、 前記判定ルール格納手段には、ユーザの属性に対応する判定ルールが記憶されて いて、

前記不正データ判定手段にお!、ては、前記属性情報取得手段が取得した属性情報 に対応する前記判定ルールを参照して、不正データであるかを判定すること を特徴とする不正監視システム。

[10] 前記ユーザ情報格納部を参照して、前記識別情報に対応するユーザが前記コンビ ユータの利用権限を有して ヽるかを判定する利用権限判定手段を備えて ヽて、 前記停止手段は、前記利用権限判定手段において利用権限が無いと判定された場 合にも、前記入出力データにより実行される操作を停止させ、

前記利用権限判定手段は、前記不正データ判定手段より先行して起動され、 前記利用権限判定手段によって利用権限が無いと判定された場合には、前記属性 情報取得手段又は前記不正データ判定手段の少なくとも一つの手段が起動されな いこと

を特徴とする請求項 9記載の不正監視システム。

[11] 前記入出力データにかかるログデータを、ユーザ毎のプロファイルとして格納するプ 口ファイル格納手段と、

前記プロファイル格納手段を参照して、前記データ取得手段にぉ ヽて取得された入 出力データが前記ユーザの日常的な操作の傾向に比して特異であるかを判定する 特異操作判定手段と、を備えていて、

前記停止手段は、前記特異操作判定手段において特異と判定された場合にも、前 記入出力データにより実行される操作を停止させること

を特徴とする請求項 9記載の不正監視システム。

[12] 前記データ取得手段が、ネットワークから前記入出力データを取得した場合には、前 記停止手段はセッションの切断処理を実行すること

を特徴とする請求項 9乃至 1 、ずれかに記載の不正監視システム。

[13] 前記データ取得手段が、外部接続バス力も前記入出力データを取得した場合には、 前記停止手段はドライバの実行する処理を停止させること

を特徴とする請求項 9乃至 1 、ずれかに記載の不正監視システム。

[14] コンピュータに不正な操作を実行させる不正データを監視するためのシステムであつ て、

前記コンピュータに接続されたネットワーク又は前記コンピュータと外部デバイスを接 続する外部接続バスを通じて入出力される入出力データを取得するデータ取得手段 と、

前記入出力データからユーザを識別する識別情報を特定する識別情報特定手段と 前記コンピュータの利用権限を有するユーザについて各々のユーザの属性情報を 格納するユーザ情報格納手段と、

前記ユーザ情報格納手段から、前記識別情報に対応する属性情報の少なくとも一 部を取得する属性情報取得手段と、

前記入出力データが不正データであると判定するルールを格納する判定ルール格 納手段と、

前記判定ルール格納手段を参照して、前記入出力データが不正データであるかを 判定する不正データ判定手段と、 前記不正データ判定手段にぉ 、て不正データであると判定された場合には、前記入 出力データにより実行される操作が不正な操作であることを前記ユーザ又は管理者 の操作する端末装置に通知する通知手段と、を備えていて、

前記判定ルール格納手段には、ユーザの属性に対応する判定ルールが記憶されて いて、

前記不正データ判定手段にお!、ては、前記属性情報取得手段が取得した属性情報 に対応する前記判定ルールを参照して、不正データであるかを判定すること を特徴とする不正監視システム。