WO2024121950A1

WO2024121950A1 - 配置場所選定装置、配置場所選定方法、及び配置場所選定プログラム

Info

Publication number: WO2024121950A1
Application number: PCT/JP2022/044978
Authority: WO
Inventors: 匠山本; 亜衣子岩崎
Original assignee: 三菱電機株式会社
Priority date: 2022-12-06
Filing date: 2022-12-06
Publication date: 2024-06-13
Also published as: JP7361997B1

Abstract

配置場所選定装置（１００）は、対象システムにおいて第１対象外エリアと第２対象外エリアとを除くエリアであって、ファイルツリーの一部に相当するエリアに囮ファイルを配置する囮配置部（１４０）を備える。第１対象外エリアは、高リスクユーザが高リスクユーザの通常業務において利用すると推定されるエリアである。第２対象外エリアは、高リスクユーザ以外の各ユーザが各ユーザの通常業務において利用すると推定されるエリアから成る。

Description

配置場所選定装置、配置場所選定方法、及び配置場所選定プログラム

　本開示は、配置場所選定装置、配置場所選定方法、及び配置場所選定プログラムに関する。

　セキュリティ攻撃に対する対策として、囮データを用いる欺瞞システムがある。特許文献１は、不正と判断されたプロセスからのデータ読み取りをインターセプトし、当該プロセスに対して偽のデータを返す技術を開示している。

米国特許第９７７３１０９号明細書

　特許文献１が開示している技術では、不正評価の精度が完璧であるとは限らないために正規プロセスに対して偽のデータを返す可能性がある。ここで、正規プロセスに対して偽のデータを返した場合に悪意がない正規ユーザの業務が阻害される。従って、当該技術によれば、悪意がない正規ユーザの業務を阻害するリスクがあるという課題がある。
　本開示は、囮データを用いる欺瞞システムにおいて、悪意がない正規ユーザの業務を阻害するリスクを減らすことを目的とする。

　本開示に係る配置場所選定装置は、
　対象システムのユーザである高リスクユーザがアクセスした複数のファイルであって、前記対象システムにおけるアクセスログが示す複数のファイルから成る対象ファイル群が含むファイルのうち前記高リスクユーザが前記高リスクユーザの通常業務において利用すると推定される１つ以上のファイルを含むエリアであって、前記対象システムが管理しているファイルツリーの一部に相当するエリアである第１対象外エリアと、
　前記対象ファイル群が含むファイルのうち前記第１対象外エリア以外に存在する少なくとも１つのファイルにアクセスした前記高リスクユーザ以外の１以上のユーザであって、前記対象システムの１以上のユーザから成る対象正常ユーザ群に含まれる各ユーザが各ユーザの通常業務においてアクセスすると推定される１つ以上のファイルを含むエリアであって、前記ファイルツリーの一部に相当するエリアから成る第２対象外エリアと
を除くエリアであって、前記ファイルツリーの一部に相当するエリアである配置対象エリアに１つ以上の囮ファイルを配置する囮配置部
を備える。

　本開示によれば、第１対象外エリアと第２対象外エリアとを除くエリアに囮ファイルを配置する。ここで、第１対象外エリアは高リスクユーザが高リスクユーザの通常業務において利用すると推定される１つ以上のファイルを含むエリアであり、第２対象外エリアは高リスクユーザ以外の各ユーザが各ユーザの通常業務においてアクセスすると推定される１つ以上のファイルを含むエリアである。従って、本開示によれば、囮データを用いる欺瞞システムにおいて、悪意がない正規ユーザの業務を阻害するリスクを減らすことができる。

実施の形態１に係る配置場所選定装置１００の構成例を示す図。実施の形態１に係る通常業務分析部１３０及び囮配置部１４０の処理を説明する図。実施の形態１に係る配置場所選定システム９０の実施例を示す図。実施の形態１に係る配置場所選定装置１００のハードウェア構成例を示す図。実施の形態１に係る配置場所選定装置１００の動作を示すフローチャート。実施の形態１の変形例に係る配置場所選定装置１００のハードウェア構成例を示す図。実施の形態２に係る配置場所選定装置１００の構成例を示す図。実施の形態２に係る囮ファイル１９１の配置を説明する図。実施の形態２に係るアクセスパターン２８１及び配置ルール２９１を説明する図。実施の形態２に係るアクセスパターン２８１及び配置ルール２９１を説明する図。実施の形態２に係る配置場所選定装置１００の動作を示すフローチャート。

　実施の形態の説明及び図面において、同じ要素及び対応する要素には同じ符号を付している。同じ符号が付された要素の説明は、適宜に省略又は簡略化する。図中の矢印はデータの流れ又は処理の流れを主に示している。また、「部」を、「回路」、「工程」、「手順」、「処理」又は「サーキットリー」に適宜読み替えてもよい。

　実施の形態１．
　以下、本実施の形態について、図面を参照しながら詳細に説明する。

＊＊＊構成の説明＊＊＊
　図１は、本実施の形態に係る配置場所選定装置１００の構成例を示している。配置場所選定装置１００は、本図に示すように、ログ収集部１１０と、リスク値算出部１２０と、通常業務分析部１３０と、囮配置部１４０と、囮監視部１５０とを備える。また、配置場所選定装置１００は、アクセスログＤＢ（Ｄａｔａｂａｓｅ）１８０と、囮ファイルＤＢ１９０とを記憶する。

　ログ収集部１１０は、アクセスログ２１と、囮ファイル１９１に対するアクセスログとを収集し、収集したログをアクセスログＤＢ１８０に記録する。アクセスログ２１は対象システム２０におけるファイルアクセスのログである。

　対象システム２０は、複数のユーザが業務において利用するコンピュータシステムであり、複数のファイルを格納するシステムである。対象システム２０は、具体例として、ゼロトラストに基づいて運用されているシステムであり、オンプレミスシステムとクラウドシステムとの少なくともいずれかから成る。対象システム２０は、複数のファイルの各ファイルをファイルツリーの一部として管理する。ファイルツリーは、複数のファイルを階層的に管理するファイルシステムである。対象システム２０において、各ファイルはいずれかのフォルダに格納されており、各ユーザはファイルアクセスツールを用いて対象システム２０が管理している各ファイルにアクセスする。フォルダはディレクトリとも呼ばれる。ファイルアクセスツールは、各ユーザが各ファイルにアクセスするためのツールであり、具体例としてエクスプローラ又はブラウザである。

　リスク値算出部１２０は、対象システム２０におけるファイルアクセスなどのログに基づいて各ユーザに対応するリスク値を算出する。リスク値算出部１２０は、囮ファイル１９１が配置されていない場合において、典型的には各ユーザの対象システム２０におけるアクセスパターンに基づいて各ユーザに対応するリスク値を算出する。リスク値算出部１２０は、囮ファイル１９１が配置されている場合においても各ユーザの対象システム２０におけるアクセスパターンに基づいて各ユーザに対応するリスク値を算出してもよい。対象システム２０に囮ファイル１９１が配置されている場合において、リスク値算出部１２０は、各ユーザに対応するリスク値を算出する際に囮ファイル１９１に対するアクセスログを用いてもよい。リスク値算出部１２０は、対象ユーザが１つ以上の囮ファイル１９１の少なくとも１つにアクセスした場合に、対象ユーザに対応するリスク値を引き上げてもよい。各ユーザは対象システム２０のユーザである。各ユーザは、人間であってもよく、コンピュータであってもよい。
　各ユーザに対応するリスク値は、対象システム２０における各ユーザの振舞いに応じて算出される値であり、また、各ユーザが実際に内部不正者である可能性に対応する値である。対象システム２０における各ユーザの振舞いは、対象システム２０における各ユーザの行動である。各ユーザの振舞いの構成要素は、具体例として、各ユーザがアクセスしたファイルと、各ユーザのファイルアクセスの順序と、各ユーザがファイルアクセスを実行した時間帯と、各ユーザの単位時間当たりのファイルアクセス数とである。内部不正者は、組織からデータを窃取することを目的として組織の内部において活動する主体である。内部不正者は、具体例として、対象システム２０における内部犯、又は、正規のクレデンシャルを窃取したマルウェアであって、対象システム２０を管理している組織において用いられているＰＣ（Ｐｅｒｓｏｎａｌ　Ｃｏｍｐｕｔｅｒ）に感染しているマルウェアである。内部犯は、正規のアクセス権限を持つユーザのうち、組織の内部においてセキュリティ攻撃に携わるユーザである。内部犯は悪意を持つユーザでもある。マルウェアは、具体例として、単体で自律的に動作するもの、又は、インターネット上のＣｏｍｍａｎｄ＆Ｃｏｎｔｒｏｌサーバを介して、組織外部の攻撃者からの指令に従って動作するものである。
　リスク値算出部１２０は、あらかじめファイルアクセスなどのログからユーザごとに対象システム２０における正常な振舞いのパターンをモデル化し、対象システム２０における各ユーザの実際の振舞いがモデル化した正常な振舞いのパターンから逸脱した度合いを各ユーザに対応するリスク値として算出してもよい。リスク値算出部１２０は、正常な振舞いのパターンをモデル化する際に、機械学習などの技術を活用してもよく、Ｕｓｅｒ　ａｎｄ　Ｅｎｔｉｔｙ　Ｂｅｈａｖｉｏｒ　Ａｎａｌｙｔｉｃｓ（ＵＥＢＡ）などのアクセスログに基づいてユーザごとに振舞いの異常を検知する技術を用いてもよい。
　また、リスク値算出部１２０は、高リスクユーザ情報１２１を生成し、生成した高リスクユーザ情報１２１を出力する。高リスクユーザ情報１２１は、各高リスクユーザと、各高リスクユーザの特性との各々を示す情報である。高リスクユーザ情報１２１には、具体例として、各高リスクユーザと、各高リスクユーザに対応するリスク値と、各高リスクユーザがアクセスしていた１つ以上のファイルなどを示すデータが含まれる。高リスクユーザは、対象システム２０のユーザであり、対象システム２０のユーザのうち対応するリスク値が既定の閾値であるリスク基準値以上であるユーザであり、内部不正者である可能性が比較的高いユーザである。なお、アクセスログ２１と囮ファイルアクセス情報１５１との少なくともいずれかが更新された場合に、更新された情報に基づいて高リスクユーザ情報１２１が更新されることもある。

　通常業務分析部１３０は、アクセスログ２１に基づいて第１対象外エリアと第２対象外エリアとの各々を推定する。第１対象外エリアは、対象ファイル群が含むファイルのうち高リスクユーザが高リスクユーザの通常業務において利用すると推定される１つ以上のファイルを含むエリアであって、対象システム２０が管理しているファイルツリーの一部に相当するエリアである。通常業務はどのように定義されてもよい。対象ファイル群は、高リスクユーザがアクセスした複数のファイルであって、アクセスログ２１が示す複数のファイルから成る。第２対象外エリアは、対象正常ユーザ群に含まれる各ユーザが各ユーザの通常業務においてアクセスすると推定される１つ以上のファイルを含むエリアであって、ファイルツリーの一部に相当するエリアから成る。対象正常ユーザ群に複数のユーザが含まれる場合において、第２対象外エリアは各ユーザに対応する通常アクセスエリアの和集合である。対象正常ユーザ群は、対象ファイル群が含むファイルのうち第１対象外エリア以外に存在する少なくとも１つのファイルにアクセスした高リスクユーザ以外の１以上のユーザであって、対象システム２０の１以上のユーザから成る。また、通常業務分析部１３０は対象外エリア情報１３１を生成し、生成した対象外エリア情報１３１を出力する。対象外エリア情報１３１は、囮ファイル１９１を配置しないエリアを示す情報である。
　具体例として、通常業務分析部１３０は、高リスクユーザ情報１２１が示す各高リスクユーザのファイルアクセスのログから各高リスクユーザに対応する通常アクセスエリアを特定し、特定した通常アクセスエリアを配置対象外エリアに加える。各ユーザに対応する通常アクセスエリアは、各ユーザが業務において普段アクセスするファイルツリーの範囲であり、各ユーザが比較的高い頻度でアクセスするエリアであり、具体例として各ユーザが普段アクセスしている１つ以上のファイルと１つ以上のディレクトリとから成る。この際、通常業務分析部１３０は、具体例として、既定の期間内に各ユーザが既定の回数以上のアクセスしたファイル及びディレクトリを各ユーザが普段アクセスしているファイル及びディレクリとする。配置対象外エリアは、ファイルツリーの一部に相当するエリアであり、囮ファイル１９１を配置しないエリアである。
　また、通常業務分析部１３０は、高リスクユーザ情報１２１が示す各高リスクユーザがアクセスした各ファイルに対するアクセスなどを示すログから、各ファイルに普段アクセスする他のユーザが各高リスクユーザと同じ又は比較的近いタイミングでアクセスする１つ以上のファイル及び１つ以上のディレクトリを特定し、特定した１つ以上のファイル及び１つ以上のディレクトリを含む範囲を配置対象外エリアに加える。この際、通常業務分析部１３０は、具体例として、各高リスクユーザがアクセスした各ファイルがアクセスされたタイミングから既定の期間内に既定の回数以上のアクセスがあったファイル及びディレクトリを、他のユーザが各高リスクユーザと同じ又は比較的近いタイミングでアクセスするファイル及びディレクトリとする。

　囮配置部１４０は、配置対象エリアに１つ以上の囮ファイル１９１を配置する。囮ファイル１９１を配置することには、プラグインなどに対して囮ファイル１９１を配置するよう指示することが含まれる。配置対象エリアは、第１対象外エリアと第２対象外エリアとを除くエリアであって、対象システム２０が管理しているファイルツリーの一部に相当するエリアである。配置対象エリアは、高リスクユーザがアクセスすると予想されるエリアを含んでもよい。
　具体的には、囮配置部１４０は、囮ファイルＤＢ１９０から１つ以上の囮ファイル１９１を選定し、ファイルツリーにおけるエリアであって、高リスクユーザ情報１２１が示す各高リスクユーザがアクセスしたファイルの近辺のエリア、かつ、配置対象外エリア以外のエリアに選定した囮ファイル１９１を配置する指示を対象システム２０に対して実行し、実行した指示に対応する囮ファイル情報１４１を生成し、生成した囮ファイル情報１４１を出力する。囮ファイル１９１に対応する囮ファイル情報１４１は、囮ファイル１９１のファイル名及び配置場所などを示す情報である。この際、囮配置部１４０は、ランダムに囮ファイル１９１を囮ファイルＤＢ１９０から選定してもよく、高リスクユーザの特性に応じて囮ファイル１９１を囮ファイルＤＢ１９０から選定してもよい。囮配置部１４０は、囮ファイル１９１を配置する指示を対象システム２０に対して実行する代わりに囮ファイル１９１を対象システム２０に配置してもよい。
　なお、囮配置部１４０は、高リスクユーザがアクセスしたファイルのコンテンツ及びファイル名などからトピックを抽出し、抽出したトピックに関連があるファイル又はディレクトリが存在するエリアをさらに絞りこみ、絞り込んだエリア内に囮ファイル１９１を配置してもよい。この際、囮配置部１４０はＴｏｐ２Ｖｅｃなどのトピックモデルを利用してトピックを抽出してもよい。
　囮配置部１４０は、囮フォルダを作成し、作成した囮フォルダに囮ファイル１９１を配置する指示を対象システム２０に対して実行してもよい。囮配置部１４０は、各ユーザに対応するアクセスログ２１に囮ファイル１９１にアクセスしたことを示す情報を追加してもよい。

　なお、本開示では、各ユーザの悪意の有無によってアクセス傾向の差異が生じるという仮説に基づいて囮ファイル１９１が配置される。アクセス傾向の差異は、具体例として、内部不正者は内部不正者に対応する業務ファイル群のほかに当該業務ファイル群と関係がない様々なファイルにもアクセスし、悪意がない正規ユーザ（以下、正常ユーザ）は正常ユーザに対応する業務ファイル群と当該業務ファイル群に対応する周辺ファイル群のみに基本的にアクセスするというものである。正規ユーザは、対象システム２０に正規に登録されているユーザである。正規ユーザを「ユーザ」と表記することもある。各ユーザに対応する業務ファイル群は、各ユーザの業務に関連する少なくとも１つのファイルから成る。業務ファイル群に対応する周辺ファイル群は、業務ファイル群を構成するファイル以外のファイルから成り、ファイルツリーにおいて業務ファイル群を構成する各ファイルから比較的少ないステップ数で辿り着くことができる少なくとも１つのファイルから成る。
　囮ファイル１９１は、各ユーザの業務との関連が直接的にはないファイルである。囮ファイル１９１のファイル名及びファイル形式などは、内部不正者のアクセス傾向などを分析した結果に基づいて内部不正者の興味を引き得るように生成されたものであってもよく、ＡＩ（Ａｒｔｉｆｉｃｉａｌ　Ｉｎｔｅｌｌｉｇｅｎｃｅ）によって生成されたものであってもよい。

　図２は、通常業務分析部１３０及び囮配置部１４０の処理を説明する図である。図２において、円で囲われたＳは機密性があることを示す。図２を用いて通常業務分析部１３０及び囮配置部１４０の処理を説明する。
　通常業務分析部１３０は、正常ユーザによるファイルアクセスの傾向を分析し、分析した結果に基づいて悪意がない範囲で各ユーザがアクセスする可能性があるフォルダを推測する。具体的には、通常業務分析部１３０は、正常ユーザの通常アクセスエリアと、高リスクユーザの通常アクセスエリアとの各々を推測する。正常ユーザの通常アクセスエリアは第２対象外エリアに相当する。高リスクユーザの通常アクセスエリアは第１対象外エリアに相当する。
　囮配置部１４０は、通常業務分析部１３０が推測した結果に基づいて囮ファイル１９１を配置するフォルダを選定する。この際、囮配置部１４０は、各ユーザの振舞いの監視によって検出された異常に基づいて高リスクユーザによる今後のファイルアクセスを予想し、予想したファイルアクセスに対応するファイルを格納しているフォルダに囮ファイル１９１を配置してもよい。具体例として、囮配置部１４０は、図２に示すように、高リスクユーザによる今後のファイルアクセスを予想し、予想した結果に基づいて囮ファイル１９１を配置するフォルダを選定する。

　囮監視部１５０は、高リスクユーザ情報１２１が示す各高リスクユーザに関して、囮ファイル情報１４１が示す囮ファイル１９１に対するアクセスを監視し、監視した結果に対応する囮ファイルアクセス情報１５１を生成し、生成した囮ファイルアクセス情報１５１を出力する。囮ファイルアクセス情報１５１は、具体例として、囮ファイル１９１に既定の回数以上アクセスした高リスクユーザが存在する場合に、当該高リスクユーザが囮ファイル１９１に既定の回数以上アクセスしたことを示す情報である。高リスクユーザ情報１２１は、高リスクユーザ以外のユーザが囮ファイル１９１にアクセスしたことを示す情報であってもよい。
　分析者は、囮ファイルアクセス情報１５１と高リスクユーザ情報１２１とに基づいて高リスクユーザを絞り込んでもよく、絞り込んだ結果を高リスクユーザ情報１２１に反映してもよい。分析者は、具体例として対象システム２０におけるセキュリティ攻撃を分析する人又はコンピュータである。

　アクセスログＤＢ１８０は、対象システム２０におけるアクセスログを示す情報を格納するデータベースである。
　囮ファイルＤＢ１９０は、１つ以上の囮ファイル１９１を格納するデータベースである。

　図３は、本実施の形態に係る配置場所選定システム９０の実施例を示している。図３を用いて配置場所選定システム９０の実施例を説明する。図３において、配置場所選定装置１００は機能ごとに分割されて図示されている。ここで、内部不正者は、対象システム２０内のファイルを調査したり、囮ファイル１９１を回避したりするものとする。
　リスクベース認証機能は、リスクベース認証技術を活用することにより、対象システム２０から各ユーザのアクセスログ２１を受信し、受信したログに基づいて各ユーザに対応するリスク値を算出する。また、囮ファイル１９１が既に配置されている場合において、リスク値算出部１２０は各ユーザのリスク値を算出する際に囮ファイル１９１に対するアクセスログを参照する。
　内部不正者対策基盤は、内部不正者対策機能を有するシステムであり、デコイ動的配布機能とファイルアクセス機能とを有する。
　デコイ動的配布機能は、囮ファイル１９１を配置するフォルダを選定し、囮ファイル１９１を選定し、選定した囮ファイル１９１を選定したフォルダに配置する機能である。
　囮配置部１４０は、内部不正者対策プラグインに対して囮ファイル１９１を配置するよう指示する。
　内部不正者対策プラグインは、ファイルアクセスツールに対する追加機能を実現するソフトウェアモジュールである。囮監視部１５０の機能は内部不正者対策プラグインによって実現される。
　ファイルアクセス機能を実現するファイルアクセスツールは、デコイ動的配布機能の指示に基づいて内部不正者対策プラグインを利用して囮ファイル１９１を配置する。内部不正者対策プラグインは、囮ファイル１９１を対象システム２０に実際に配置してもよく、囮ファイル１９１を対象システム２０に実際に配置せずに囮ファイル１９１が配置されるべきフォルダに各ユーザがアクセスした際にファイルアクセスツールの操作画面に囮ファイル１９１を表示してもよい。

　図４は、本実施の形態に係る配置場所選定装置１００のハードウェア構成例を示している。配置場所選定装置１００は一般的なコンピュータから成る。配置場所選定装置１００は複数のコンピュータから成ってもよい。対象システム２０と配置場所選定装置１００とは一体的に構成されてもよい。

　配置場所選定装置１００は、本図に示すように、プロセッサ１１と、記憶装置１２などのハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して適宜接続されている。

　プロセッサ１１は、演算処理を行うＩＣ（Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）であり、かつ、コンピュータが備えるハードウェアを制御する。プロセッサ１１は、具体例として、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）、ＤＳＰ（Ｄｉｇｉｔａｌ　Ｓｉｇｎａｌ　Ｐｒｏｃｅｓｓｏｒ）、又はＧＰＵ（Ｇｒａｐｈｉｃｓ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）である。
　配置場所選定装置１００は、プロセッサ１１を代替する複数のプロセッサを備えてもよい。複数のプロセッサはプロセッサ１１の役割を分担する。

　記憶装置１２は、揮発性の記憶装置と、不揮発性の記憶装置との少なくともいずれかから成る。揮発性の記憶装置は、具体例としてＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）である。不揮発性の記憶装置は、具体例として、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）、ＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）、又はフラッシュメモリである。記憶装置１２に記憶されたデータは、必要に応じてプロセッサ１１にロードされる。

　配置場所選定装置１００は、入出力ＩＦ（Ｉｎｔｅｒｆａｃｅ）と、通信装置などのハードウェアを備えてもよい。
　入出力ＩＦは、入力装置及び出力装置が接続されるポートである。入出力ＩＦは、具体例としてＵＳＢ（Ｕｎｉｖｅｒｓａｌ　Ｓｅｒｉａｌ　Ｂｕｓ）端子である。入力装置は、具体例としてキーボード及びマウスである。出力装置は、具体例としてディスプレイである。
　通信装置は、レシーバ及びトランスミッタである。通信装置は、具体例として通信チップ又はＮＩＣ（Ｎｅｔｗｏｒｋ　Ｉｎｔｅｒｆａｃｅ　Ｃａｒｄ）である。
　配置場所選定装置１００の各部は、他の装置などと通信する際に、入出力ＩＦ及び通信装置を適宜用いてもよい。

　記憶装置１２は配置場所選定プログラムを記憶している。配置場所選定プログラムは、配置場所選定装置１００が備える各部の機能をコンピュータに実現させるプログラムである。配置場所選定プログラムは、記憶装置１２にロードされて、プロセッサ１１によって実行される。配置場所選定装置１００が備える各部の機能は、ソフトウェアにより実現される。
　記憶装置１２は、対象システム２０が管理しているファイルを記憶してもよい。

　配置場所選定プログラムを実行する際に用いられるデータと、配置場所選定プログラムを実行することによって得られるデータなどは、記憶装置１２に適宜記憶される。配置場所選定装置１００の各部は記憶装置１２を適宜利用する。なお、データという用語と情報という用語とは同等の意味を有することもある。
　記憶装置１２は、コンピュータと独立したものであってもよい。各データベースは外部のサーバなどに格納されていてもよい。

　配置場所選定プログラムは、コンピュータが読み取り可能な不揮発性の記録媒体に記録されていてもよい。不揮発性の記録媒体は、具体例として、光ディスク又はフラッシュメモリである。配置場所選定プログラムは、プログラムプロダクトとして提供されてもよい。

＊＊＊動作の説明＊＊＊
　配置場所選定装置１００の動作手順は配置場所選定方法に相当する。また、配置場所選定装置１００の動作を実現するプログラムは配置場所選定プログラムに相当する。

　図５は、配置場所選定装置１００の動作の一例を示すフローチャートである。図５を参照して配置場所選定装置１００の動作を説明する。

（ステップＳ１０１：リスク値算出処理）
　リスク値算出部１２０は、アクセスログＤＢ１８０を参照し、ファイルアクセスのログに基づいて各ユーザの振舞いに関するリスク値を算出する。

（ステップＳ１０２：第１対象外エリア特定処理）
　通常業務分析部１３０は、高リスクユーザが普段の正常業務において比較的高い頻度でアクセスするフォルダ群を含むエリアであってファイルツリーの一部に相当するエリアを第１対象外エリアとして特定する。

（ステップＳ１０３：第２対象外エリア特定処理）
　通常業務分析部１３０は、高リスクユーザがアクセスしたフォルダ群のうち高リスクユーザが普段の正常業務において使わないフォルダにアクセスしたユーザが正常業務において比較的高い頻度でアクセスするフォルダを含むエリアであってファイルツリーの一部に相当するエリアを第２対象外エリアとして特定する。

（ステップＳ１０４：囮ファイル配置処理）
　囮配置部１４０は、囮ファイルＤＢ１９０から囮ファイル１９１を選定し、通常業務分析部１３０が特定した第１対象外エリア及び第２対象外エリアを避けた場所に選定した囮ファイル１９１を配置する。

（ステップＳ１０５：囮監視処理）
　囮監視部１５０は、囮ファイル１９１に対するアクセスを監視し、監視した結果を示す囮ファイルアクセス情報１５１を生成し、生成した囮ファイルアクセス情報１５１を出力する。

（ステップＳ１０６：高リスクユーザ情報修正処理）
　リスク値算出部１２０は、出力された囮ファイルアクセス情報１５１に基づいて高リスクユーザ情報１２１を修正する。

＊＊＊実施の形態１の効果の説明＊＊＊
　以上のように、本実施の形態によれば、囮データを用いる欺瞞システムにおいて、正規ユーザが普段アクセスするフォルダを避けて囮ファイル１９１が配置されるため、正規ユーザが囮ファイル１９１にアクセスする機会を減らすことができる。従って、本実施の形態によれば、悪意がない正規ユーザの業務を阻害するリスクを減らすことができる。
　また、本実施の形態によれば、第１対象外エリアを避けて囮ファイル１９１を配置するため、高リスクユーザが実際には正常ユーザである場合においても当該高リスクユーザの通常業務を阻害するリスクを減らすことができる。

＊＊＊他の構成＊＊＊
＜変形例１＞
　図６は、本変形例に係る配置場所選定装置１００のハードウェア構成例を示している。
　配置場所選定装置１００は、プロセッサ１１、あるいはプロセッサ１１と記憶装置１２に代えて、処理回路１８を備える。
　処理回路１８は、配置場所選定装置１００が備える各部の少なくとも一部を実現するハードウェアである。
　処理回路１８は、専用のハードウェアであってもよく、また、記憶装置１２に格納されるプログラムを実行するプロセッサであってもよい。

　処理回路１８が専用のハードウェアである場合、処理回路１８は、具体例として、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ＡＳＩＣ（Ａｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）、ＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）又はこれらの組み合わせである。
　配置場所選定装置１００は、処理回路１８を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路１８の役割を分担する。

　配置場所選定装置１００において、一部の機能が専用のハードウェアによって実現されて、残りの機能がソフトウェア又はファームウェアによって実現されてもよい。

　処理回路１８は、具体例として、ハードウェア、ソフトウェア、ファームウェア、又はこれらの組み合わせにより実現される。
　プロセッサ１１と記憶装置１２と処理回路１８とを、総称して「プロセッシングサーキットリー」という。つまり、配置場所選定装置１００の各機能構成要素の機能は、プロセッシングサーキットリーにより実現される。
　他の実施の形態に係る配置場所選定装置１００についても、本変形例と同様の構成であってもよい。

　実施の形態２．
　以下、主に前述した実施の形態と異なる点について、図面を参照しながら説明する。

＊＊＊構成の説明＊＊＊
　図７は、本実施の形態に係る配置場所選定装置１００の構成例を示している。配置場所選定装置１００は、図７に示すように、アクセスパターン分析部２１０をさらに備える。また、配置場所選定装置１００は、アクセスパターンＤＢ２８０と、配置ルールＤＢ２９０とをさらに記憶する。

　内部不正者が、ファイルを１つずつ開いて目視で確認して窃取するファイルを収集しているのではなく、スクリプトなどの自動プログラムを使って一括で窃取するファイルを収集しようとしているとき、内部不正者に対応するリスク値が高くなった時点において内部不正者がアクセスしているファイルの近傍に囮ファイル１９１を置くことは、囮ファイル１９１を置いた時点において当該ファイルの近傍に対するアクセスを既に終えているために手遅れである場合がある。なお、当該ファイルの近傍に囮ファイル１９１を置くと悪意がない正規ユーザが囮ファイル１９１にアクセスする可能性が増加する。
　図８は、マルウェアによるファイルアクセスが異常として検出された場合において囮ファイル１９１を配置することを説明する図である。図８に示すように、マルウェアがアクセスしているファイルの近傍に囮ファイル１９１を配置しても手遅れであるが、当該ファイルの近傍以外に囮ファイル１９１を配置することは手遅れではない。
　また、あらかじめ囮ファイル１９１を広範囲に配置した場合、悪意がない正規ユーザが囮ファイル１９１にアクセスする可能性が増加する。
　ここで、内部不正者のアクセスパターンに応じて囮ファイル１９１の適切な配置場所は異なるものと考えられる。内部不正者のアクセスパターンは、具体例として、内部不正者が手動アクセスするパターンと、内部不正者がマルウェアにより自動アクセスするパターンとである。そこで、本実施の形態では、アクセスパターンの種類に応じてより効果的に囮ファイル１９１を配置する手法を提案する。

　アクセスパターン分析部２１０は、アクセスログ２１に基づいて対象システム２０の各ユーザの対象システム２０におけるアクセスパターンを分析する。具体的には、アクセスパターン分析部２１０は、高リスクユーザ情報１２１が示す各高リスクユーザの直近のファイルアクセスなどのログと、アクセスパターンＤＢ２８０が記憶している各アクセスパターン２８１とを照らし合わせることにより、各高リスクユーザに対応するアクセスパターン２８１を特定する。
　その後、アクセスパターン分析部２１０は、特定したアクセスパターン２８１に対応する配置ルール２９１を配置ルールＤＢ２９０から特定し、特定した結果に基づいて配置方針情報２１１を生成し、生成した配置方針情報２１１を出力する。ここで、アクセスパターンＤＢ２８０が記憶しているアクセスパターン２８１ごとに適切な配置ルール２９１があらかじめ定義されているものとする。なお、アクセスパターン分析部２１０が検知することができないアクセスパターン２８１が存在してもよい。
　配置方針情報２１１は、各囮ファイル１９１を配置する方針を示す情報である。

　アクセスパターンＤＢ２８０は１つ以上のアクセスパターン２８１の各々を示すデータを記憶する。
　各アクセスパターン２８１は、具体例として、ユーザの種類と、ユーザがファイルアクセスしたエリアと、ユーザがファイルアクセスした頻度との少なくともいずれかに応じた分類であってもよい。ユーザの種類は、具体例として、外部攻撃者と、高リスクユーザと、低リスクユーザとである。低リスクユーザは高リスクユーザ以外のユーザである。外部攻撃者は高リスクユーザの一部として扱われてもよい。
　各アクセスパターン２８１は、想定されるファイルアクセスの特徴に応じたファイルアクセスの分類に相当する。各アクセスパターン２８１には、各アクセスパターン２８１に当たるか否かを判定する検知ルールに関するデータが含まれてもよい。検知ルールに関するデータは、具体例として、ユーザが一定時間内にアクセスしたファイルの数の基準値と、一定時間内にアクセスしたディレクトリの数の基準値との少なくともいずれかを示す。
　各アクセスパターン２８１は、内部不正者のファイルアクセスを手動で模擬実行した際のファイルアクセスのログ、又はマルウェアなどの自動プログラムを実行した際のファイルアクセスのログなどをあらかじめ収集しておき、収集したログを用いて機械学習などの技術を使って学習したパターンであってもよい。

　配置ルールＤＢ２９０は１つ以上の配置ルール２９１の各々を示すデータを記憶する。
　配置ルール２９１は、各囮ファイル１９１を配置するエリアを示すルールであり、具体例として、配置対象外エリアからｘホップ以上かつｙホップ未満である範囲内のエリアに囮ファイル１９１を配置することを示すルールである。ここで、ホップは２つのディレクトリ間の距離を表す単位であり、１階層離れた２つのディレクトリ間の距離は１ホップである。ｘ及びｙの各々は自然数であり、ｙの値はｘの値よりも大きい。高リスクユーザがマルウェアを用いた場合に対応するアクセスパターンに対応する配置ルール２９１は、１つ以上の囮ファイル１９１を配置する時点から過去基準時間以内に高リスクユーザがアクセスしたファイルからファイルツリーにおいて基準距離以上離れたエリアに１つ以上の囮ファイル１９１を配置するルールであってもよい。１つ以上の囮ファイル１９１を配置する時点から過去基準時間以内は、１つ以上の囮ファイル１９１を配置する時点から過去基準時間分過去に遡った時点から、１つ以上の囮ファイル１９１を配置する時点までの間である。
　なお、配置ルール２９１は、囮ファイル１９１の配置対象として、各高リスクユーザがアクセスしたドライブとは異なるドライブを示すルールであってもよい。配置対象は、クラウドシステム上のファイルシステムであってもよく、ネットワークドライブであってもよい。

　図９及び図１０は、各アクセスパターン２８１と、各アクセスパターン２８１に対応する配置ルール２９１との具体例を説明する図である。図９及び図１０に示すように、アクセスパターン２８１ごとに、アクセスパターン２８１を検知する検知ルールと、囮ファイル１９１の配置ルール２９１との各々が定義されている。
　「アクセスパターンの特徴」は、各アクセスパターン２８１において特徴的な事項である。
　「検知ルール」は、各アクセスパターン２８１を検知するルールであり、「アクセスパターンの特徴」に応じて定義されるルールである。
　「今後の予想される行動」は、ユーザ又はツールの今後の行動として予想されるファイルアクセスである。
　配置ルール２９１は、「今後予想される行動」に応じて定義されるルールである。
　なお、アクセスパターンＤＢ２８０は、「アクセスパターンの特徴」を示す情報と「今後予想される行動」を示す情報との各々を記憶しなくてもよい。

　本実施の形態に係る囮配置部１４０は、高リスクユーザの対象システム２０におけるアクセスパターンに対応する配置ルール２９１に応じて配置対象エリアに１つ以上の囮ファイル１９１を配置する。具体的には、囮配置部１４０は、配置方針情報２１１が示す配置方針に応じて、内部不正者対策プラグインに対して囮ファイル１９１を配置するよう指示する。また、囮配置部１４０は、高リスクユーザに対応するアクセスパターン２８１に対応する囮ファイル１９１の配置方針に応じて、配置対象外エリアの近辺だけでなく、配置対象外エリアの近辺以外の広範囲に囮ファイル１９１を配置する機能を有する。

＊＊＊動作の説明＊＊＊
　図１１は、配置場所選定装置１００の動作の一例を示すフローチャートである。図１１を用いて配置場所選定装置１００の動作を説明する。

（ステップＳ２０１：アクセスパターン特定処理）
　アクセスパターン分析部２１０は、アクセスログＤＢ１８０が示す高リスクユーザのアクセスログと、アクセスパターンＤＢ２８０とに基づいて高リスクユーザのアクセスパターン２８１を特定し、特定したアクセスパターン２８１に対応する配置ルール２９１を配置ルールＤＢ２９０から特定し、特定した配置ルール２９１に基づいて配置方針情報２１１を生成する。

（ステップＳ２０２：囮ファイル配置処理）
　囮配置部１４０は、囮ファイルＤＢ１９０から囮ファイル１９１を選定し、ステップＳ２０１において生成された配置方針情報２１１に応じて第１対象外エリア及び第２対象外エリアを避けた場所に選定した囮ファイル１９１を配置する。

＊＊＊実施の形態２の効果の説明＊＊＊
　以上のように、本実施の形態によれば、高リスクユーザのアクセスパターン２８１に応じて囮ファイル１９１を配置するため、不正なファイルアクセスの種類に応じてより効果的に囮ファイル１９１を配置することができる。

＊＊＊他の実施の形態＊＊＊
　前述した各実施の形態の自由な組み合わせ、あるいは各実施の形態の任意の構成要素の変形、もしくは各実施の形態において任意の構成要素の省略が可能である。
　また、実施の形態は、実施の形態１から２で示したものに限定されるものではなく、必要に応じて種々の変更が可能である。フローチャートなどを用いて説明した手順は適宜変更されてもよい。

　１１　プロセッサ、１２　記憶装置、１８　処理回路、２０　対象システム、２１　アクセスログ、９０　配置場所選定システム、１００　配置場所選定装置、１１０　ログ収集部、１２０　リスク値算出部、１２１　高リスクユーザ情報、１３０　通常業務分析部、１３１　対象外エリア情報、１４０　囮配置部、１４１　囮ファイル情報、１５０　囮監視部、１５１　囮ファイルアクセス情報、１８０　アクセスログＤＢ、１９０　囮ファイルＤＢ、１９１　囮ファイル、２１０　アクセスパターン分析部、２１１　配置方針情報、２８０　アクセスパターンＤＢ、２８１　アクセスパターン、２９０　配置ルールＤＢ、２９１　配置ルール。

Claims

　対象システムのユーザである高リスクユーザがアクセスした複数のファイルであって、前記対象システムにおけるアクセスログが示す複数のファイルから成る対象ファイル群が含むファイルのうち前記高リスクユーザが前記高リスクユーザの通常業務において利用すると推定される１つ以上のファイルを含むエリアであって、前記対象システムが管理しているファイルツリーの一部に相当するエリアである第１対象外エリアと、
　前記対象ファイル群が含むファイルのうち前記第１対象外エリア以外に存在する少なくとも１つのファイルにアクセスした前記高リスクユーザ以外の１以上のユーザであって、前記対象システムの１以上のユーザから成る対象正常ユーザ群に含まれる各ユーザが各ユーザの通常業務においてアクセスすると推定される１つ以上のファイルを含むエリアであって、前記ファイルツリーの一部に相当するエリアから成る第２対象外エリアと
を除くエリアであって、前記ファイルツリーの一部に相当するエリアである配置対象エリアに１つ以上の囮ファイルを配置する囮配置部
を備える配置場所選定装置。
　前記配置対象エリアは、前記高リスクユーザがアクセスすると予想されるエリアを含む請求項１に記載の配置場所選定装置。
　前記配置場所選定装置は、さらに、
　前記対象システムの各ユーザの前記対象システムにおけるアクセスパターンに基づいて各ユーザに対応するリスク値を算出するリスク値算出部
を備え、
　前記高リスクユーザは、前記対象システムのユーザのうち対応するリスク値がリスク基準値以上であるユーザである請求項１又は２に記載の配置場所選定装置。
　前記リスク値算出部は、前記対象システムのユーザである対象ユーザが前記１つ以上の囮ファイルの少なくとも１つにアクセスした場合に、前記対象ユーザに対応するリスク値を引き上げる請求項３に記載の配置場所選定装置。
　前記配置場所選定装置は、さらに、
　前記対象システムにおけるアクセスログに基づいて前記第１対象外エリアと前記第２対象外エリアとの各々を推定する通常業務分析部
を備える請求項１から４のいずれか１項に記載の配置場所選定装置。
　前記囮配置部は、前記高リスクユーザの前記対象システムにおけるアクセスパターンに対応する配置ルールに応じて前記配置対象エリアに前記１つ以上の囮ファイルを配置する請求項１から５のいずれか１項に記載の配置場所選定装置。
　前記高リスクユーザがマルウェアを用いた場合に対応するアクセスパターンに対応する配置ルールは、前記１つ以上の囮ファイルを配置する時点から過去基準時間以内に前記高リスクユーザがアクセスしたファイルから前記ファイルツリーにおいて基準距離以上離れたエリアに前記１つ以上の囮ファイルを配置するルールである請求項６に記載の配置場所選定装置。
　前記配置場所選定装置は、さらに、
　前記対象システムにおけるアクセスログに基づいて前記対象システムの各ユーザの前記対象システムにおけるアクセスパターンを分析するアクセスパターン分析部
を備える請求項６又は７に記載の配置場所選定装置。
　コンピュータが、対象システムのユーザである高リスクユーザがアクセスした複数のファイルであって、前記対象システムにおけるアクセスログが示す複数のファイルから成る対象ファイル群が含むファイルのうち前記高リスクユーザが前記高リスクユーザの通常業務において利用すると推定される１つ以上のファイルを含むエリアであって、前記対象システムが管理しているファイルツリーの一部に相当するエリアである第１対象外エリアと、
　前記対象ファイル群が含むファイルのうち前記第１対象外エリア以外に存在する少なくとも１つのファイルにアクセスした前記高リスクユーザ以外の１以上のユーザであって、前記対象システムの１以上のユーザから成る対象正常ユーザ群に含まれる各ユーザが各ユーザの通常業務においてアクセスすると推定される１つ以上のファイルを含むエリアであって、前記ファイルツリーの一部に相当するエリアから成る第２対象外エリアと
を除くエリアであって、前記ファイルツリーの一部に相当するエリアである配置対象エリアに１つ以上の囮ファイルを配置する配置場所選定方法。
　対象システムのユーザである高リスクユーザがアクセスした複数のファイルであって、前記対象システムにおけるアクセスログが示す複数のファイルから成る対象ファイル群が含むファイルのうち前記高リスクユーザが前記高リスクユーザの通常業務において利用すると推定される１つ以上のファイルを含むエリアであって、前記対象システムが管理しているファイルツリーの一部に相当するエリアである第１対象外エリアと、
　前記対象ファイル群が含むファイルのうち前記第１対象外エリア以外に存在する少なくとも１つのファイルにアクセスした前記高リスクユーザ以外の１以上のユーザであって、前記対象システムの１以上のユーザから成る対象正常ユーザ群に含まれる各ユーザが各ユーザの通常業務においてアクセスすると推定される１つ以上のファイルを含むエリアであって、前記ファイルツリーの一部に相当するエリアから成る第２対象外エリアと
を除くエリアであって、前記ファイルツリーの一部に相当するエリアである配置対象エリアに１つ以上の囮ファイルを配置する囮配置処理
をコンピュータである配置場所選定装置に実行させる配置場所選定プログラム。