[go: up one dir, main page]

JPWO2017065070A1 - 不審行動検知システム、情報処理装置、方法およびプログラム - Google Patents

不審行動検知システム、情報処理装置、方法およびプログラム Download PDF

Info

Publication number
JPWO2017065070A1
JPWO2017065070A1 JP2017545169A JP2017545169A JPWO2017065070A1 JP WO2017065070 A1 JPWO2017065070 A1 JP WO2017065070A1 JP 2017545169 A JP2017545169 A JP 2017545169A JP 2017545169 A JP2017545169 A JP 2017545169A JP WO2017065070 A1 JPWO2017065070 A1 JP WO2017065070A1
Authority
JP
Japan
Prior art keywords
access
behavior
data
information
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017545169A
Other languages
English (en)
Other versions
JP6508353B2 (ja
Inventor
康之 友永
康之 友永
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2017065070A1 publication Critical patent/JPWO2017065070A1/ja
Application granted granted Critical
Publication of JP6508353B2 publication Critical patent/JP6508353B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6281Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • G06N20/10Machine learning using kernel methods, e.g. support vector machines [SVM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N7/00Computing arrangements based on specific mathematical models
    • G06N7/01Probabilistic graphical models, e.g. probabilistic networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Bioethics (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Medical Informatics (AREA)
  • Mathematical Physics (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Artificial Intelligence (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

情報処理装置は、データに対する利用者の行動であるデータアクセス行動に関するアクセス情報であって、データにアクセスする利用者に由来する第1の情報と、アクセスされるデータに由来する第2の情報とを含むアクセス情報と、不審行動または正常行動との関係を示すアクセス行動モデルを記憶するモデル記憶手段11と、アクセス行動モデルに基づいて、任意のデータアクセス行動が不審行動であるか否かを判定する判定手段12とを備える。

Description

本発明は、不審行動を検知するための不審行動検知システム、それに用いられる情報処理装置、不審行動検知方法および不審行動検知プログラムに関する。
近年、企業データの情報漏えい対策が特に注目されている。特に、データに対する有効なアクセス権限を有する関係者が契機となって生じる情報漏えいに対する対策が注目されている。
企業データの情報漏えい事例の分析により、企業データに対して有効なアクセス権限を有する社内関係者や当該企業の外部委託先の担当者が契機となっているケースが多いことがわかってきたためである。
情報漏えい対策の代表的な例としては、全てのデータを暗号化する手法や、ルールベースで利用者の不審行動を検知して禁止する手法や、統計ベースで利用者の不審行動を検知して禁止する手法が挙げられる。なお、本発明では、データに対して正当な権限を有する利用者が権限を悪用して当該データにアクセスする行為を不審行動と呼ぶ。また、以下では、データに対して正当な権限を有する利用者が当該権限を正当に利用して(権限を設定した目的の範囲内で)当該データにアクセスする行為を正常行動と呼ぶ場合がある。この場合、あるデータに対して正当な権限を有する利用者の当該データに対するアクセス行動は、正常行動か不審行動のいずれかに分類される。
例えば、特許文献1には、上記の統計ベースで利用者の不審行動を検知する手法の例が記載されている。より具体的には、特許文献1に記載のシステムは、ユーザの操作ログから、所定の時間帯における所定の操作について、ユーザ毎に、操作状況の推移を演算する。そして、演算された操作状況の推移を示す数値から構成されるモデルを生成し、それらの平均値を求める。そして、各ユーザの操作状況の推移を示す数値と平均値との乖離計算により、特異な操作を行った利用者を検知する。
また、データから特徴量を得る技術に関連して、非特許文献1には、数値のみからなる多次元ベクトルに対して特徴抽出を行って、特徴ベクトルを生成する方法が記載されている。
特開2008−192091号公報
Bespalov, Dmitriy and Qi, Yanjun and Bai, Bing and Shokoufandeh, Ali、"Sentiment Classification with Supervised Sequence Embedding"、Machine Learning and Knowledge Discovery in Databases、vol.7523、2012、p.159-174
上記の全てのデータを暗号化する手法は、利用者がデータをそのまま持ち出しても専用ソフトウェアを使用しないと暗号化を解除できないため、情報漏えい対策として有効である。しかし、この手法は、通常の業務等で取引先企業にデータを送付する際に、都度当該データの暗号化を解除する権限を有する特権管理者に暗号化の解除を依頼する必要があり、生産性が低下する問題がある。また、この手法は、特定ファイルを暗号化対象から除外するなど抜け穴が生じる問題がある。また、この手法は、特権管理者がその権限を悪用してデータの暗号化を解除するケースを防止できない問題がある。
アクセスログ等を分析し、アクセスパターンに関するルールを設定して不審行動を検知するなどのルールベースの手法は、特権管理者を含む全ての利用者に適用できるため、特権管理者の権限悪用による情報漏えいを防止できる可能性が高い。しかし、この手法は、予めルールを設定することが非常に困難であるという問題がある。また、この手法は、設定したルールのメンテナンスに手間がかかる等の問題がある。
なお、統計ベースの手法としては、特許文献1に記載されているような、利用者の通常行動と相関のある特徴量(例えば、1分間のファイルサーバアクセス数など)を計算し、この特徴量が予め設定した閾値を超過した場合に不審行動を検知する手法がある。しかし、特許文献1に記載の手法は、利用者の不審行動または通常行動と相関のある特徴量を決めるためにアクセスログを統計分析する必要があり、導入時の敷居が高いという問題がある。また、アクセスログの統計分析の対象とされる利用者およびデータに関する情報は、大量かつ多様なテキストを含むことが多い。この場合、特許文献1に記載の手法では、上記の特徴量が高次元となるが、統計分析でこのような高次元の特徴量を扱うのは困難である。このため、特許文献1に記載の手法は、不審行動の検知精度が低い問題がある。
そこで、本願発明は、上記に鑑み、予めルールを設定することなく、高精度に不審行動を検知できる不審行動検知システム、それに用いられる情報処理装置、不審行動検知方法および不審行動検知プログラムを提供することを目的とする。
本発明による情報処理装置は、データに対する利用者の行動であるデータアクセス行動に関するアクセス情報であって、データにアクセスする利用者に由来する第1の情報と、アクセスされるデータに由来する第2の情報とを含むアクセス情報と、不審行動または正常行動との関係を示すアクセス行動モデルを記憶するモデル記憶手段と、アクセス行動モデルに基づいて、任意のデータアクセス行動が不審行動であるか否かを判定する判定手段とを備えたことを特徴とする。
本発明による不審行動検知システムは、データに対する利用者の行動であるデータアクセス行動に関するアクセス情報であって、データにアクセスする利用者に由来する第1の情報と、アクセスされるデータに由来する第2の情報とを含むアクセス情報と、アクセス情報が示すデータアクセス行動が不審行動か否かを判別可能な情報とを学習データに用いて、機械学習により、任意のアクセス情報と不審行動または正常行動との関係を示すアクセス行動モデルを生成する学習手段と、アクセス行動モデルを記憶するモデル記憶手段と、アクセス行動モデルに基づいて、任意のデータアクセス行動が不審行動であるか否かを判定する判定手段と、判定結果を基に、実際に行われたデータアクセス行動から不審行動を検知する不審行動検知手段とを備えたことを特徴とする。
本発明による不審行動検知方法は、情報処理装置が、データに対する利用者の行動であるデータアクセス行動に関するアクセス情報であって、データにアクセスする利用者に由来する第1の情報と、アクセスされるデータに由来する第2の情報とを含むアクセス情報と、不審行動または正常行動との関係を示すアクセス行動モデルに基づいて、任意のデータアクセス行動が不審行動であるか否かを判定することを特徴とする。
本発明による不審行動検知プログラムは、コンピュータに、データに対する利用者の行動であるデータアクセス行動に関するアクセス情報であって、データにアクセスする利用者に由来する第1の情報と、アクセスされるデータに由来する第2の情報とを含むアクセス情報と、不審行動または正常行動との関係を示すアクセス行動モデルに基づいて、任意のデータアクセス行動が不審行動であるか否かを判定させる処理を実行させることを特徴とする。
本発明によれば、予めルールを設定することなく、精度良く不審行動を検知できる。
第1の実施形態の不審行動検知システムの構成例を示すブロック図である。 第1の実施形態の不審行動検知システムの動作例を示すフローチャートである。 第1の実施形態の不審行動検知システムの他の構成例を示すブロック図である。 第1の実施形態の不審行動検知システムの他の動作例を示すフローチャートである。 第1の実施形態の不審行動検知システムの他の構成例を示すブロック図である。 数値ベクトル生成手段16のより詳細な構成例を示すブロック図である。 第2の実施形態の不審行動検知システムの構成例を示すブロック図である。 利用者データ記憶部101が保持する利用者データのデータ構造の一例を示す説明図である。 文書データ記憶部102が保持する文書データのデータ構造の一例を示す説明図である。 アクセスログ記憶部105が保持するアクセスログのデータ構造の一例を示す説明図である。 予測スコア記憶部112が保持する予測結果のデータ構造の一例を示す説明図である。 不審行動検知システム100のアクセス行動学習ステップの動作例を示すフローチャートである。 不審行動検知システム100のアクセス行動予測ステップの動作例を示すフローチャートである。 不審行動検知システム100の不審行動通知ステップの動作例を示すフローチャートである。 第2の実施形態の第1変形例の不審行動検知システムの構成例を示すブロック図である。 第2の実施形態の第1変形例の不審行動検知システムの動作例を示すフローチャートである。 第2の実施形態の第2変形例の不審行動検知システムの構成例を示すブロック図である。 アクセス権限制御画面の例を示す説明図である。 第2の実施形態の第2変形例の不審行動検知システムの動作例を示すフローチャートである。 第2の実施形態の第3変形例の不審行動検知システムの構成例を示すブロック図である。 第2の実施形態の第3変形例の不審行動検知システムの動作例を示すフローチャートである。
実施形態1.
以下、本発明の実施形態について図面を参照して説明する。図1は、本発明の第1の実施形態にかかる不審行動検知システムの構成例を示すブロック図である。図1に示す不審行動検知システム10は、モデル記憶手段11と、判定手段12とを備える。
モデル記憶手段11は、アクセス情報と不審行動との関係またはアクセス情報と正常行動との関係を示すアクセス行動モデルを記憶する。アクセス情報は、データに対する利用者の行動であるデータアクセス行動に関する情報であって、データにアクセスする利用者に由来する第1の情報と、アクセスされるデータに由来する第2の情報とを含む。
判定手段12は、モデル記憶手段11に記憶されているアクセス行動モデルに基づいて、任意のデータアクセス行動が不審行動であるか否かを判定する。
ここで、第1の情報は、例えば、データにアクセスする利用者に関する情報や、該利用者がデータにアクセスする際の時間(アクセス時間)、種別(アクセス種別)または方法(アクセス方法)に関する情報であってもよい。また、第2の情報は、アクセスされるデータ自体に関する情報(いわゆるデータの属性情報や、特徴量といったデータの内容に関する情報等)であってもよい。第2の情報は、データ自体に関する情報に限られず、例えば、該データの格納場所に関する情報や、該データに対して行われたアクセス行動に関する統計値であってもよい。
また、データにアクセスする利用者に関する情報は、一般に利用者の属性情報とされる情報に限られず、例えば、当該利用者が生成したテキストに関する情報や、当該利用者が所定のデータに対して行ったアクセス行動に関する統計値であってもよい。
また、図2は、本実施形態の動作例を示すフローチャートである。図2に示す例では、まず、判定手段12は、モデル記憶手段11からアクセス行動モデルを読み出す(ステップS11)。次に、判定手段12は、読み出されたアクセス行動モデルに基づいて、指定されたアクセス情報に対して、該アクセス情報が示すデータアクセス行動が不審行動であるか否かを判定する(ステップS12)。
アクセス情報の取得方法としては、例えば、管理者が直接入力してもよいし、システムが、所定のデータに対するアクセス履歴に含まれる指定された期間やデータや利用者等の情報を基に生成してもよい。
このような構成によれば、データにアクセスした利用者に由来する情報と、アクセスされたデータに由来する情報という少なくとも2つの観点による情報の組からデータアクセス行動が不審行動か否かを判別可能なアクセス行動モデルを基に、任意のアクセス行動が不審行動か否かを判定できるため、予めルールを設定することなく、不審行動を高精度に検知できる。
また、図1に示す構成において、データは、ファイルサーバによって管理されているファイルであってもよい。そのような場合に、モデル記憶手段11は、所定のファイルに対するアクセス履歴に含まれるアクセス行動のうち指定された期間におけるアクセス行動に関するアクセス情報と、該アクセス行動が不審行動か否かを判別可能な情報とを用いて機械学習されたアクセス行動モデルを記憶してもよい。
また、図3は、不審行動検知システム10の他の構成例を示すブロック図である。図3に示すように、不審行動検知システム10は、図1に示す構成に加えて、例えば、アクセス情報と、該アクセス情報が示すデータアクセス行動が不審行動か否かを判別可能な情報とを学習データに用いて、機械学習によりアクセス行動モデルを生成する学習手段13を備えていてもよい。
そのような学習手段13を備えることによって、学習手段に与えるデータの次元数が膨大であっても学習が可能になる。なお、データの次元数は、例えば、1000以上であってもよいし、10000以上であってもよい。
また、図3に示すように、不審行動検知システム10は、例えば、判定手段12による判定結果を基に、実際に行われたデータアクセス行動から不審行動を検知する不審行動検知手段14をさらに備えていてもよい。
また、図4は、不審行動検知システム10の図3に示す構成における動作例を示すフローチャートである。図4に示す例では、まず、学習手段13が、アクセス情報と、該アクセス情報が示すデータアクセス行動が不審行動か否かを判別可能な情報とを学習データに用いて、機械学習によりアクセス行動モデルを生成する(ステップS21)。また、学習手段13は、生成したアクセス行動モデルをモデル記憶手段11に書き込む(ステップS22)。
次に、判定手段12が、モデル記憶手段11からアクセス行動モデルを読み出し、読み出されたアクセス行動モデルに基づいて、指定されたアクセス情報に対して不審行動か否かを判定する(ステップS11、ステップS12)。
判定手段12による判定の結果、不審行動であった場合(ステップS23のYes)、不審行動検知手段14は、指定されたアクセス情報が示すアクセス行動が不審行動であるとして、所定の検知処理を行う(ステップS24)。検知処理は、例えば、検知した不審行動に関する情報を記憶したり、管理者に通知する処理であってもよい。
一方、不審行動でなかった場合(ステップS23のNo)、システムは、次のアクセス情報が指定されるのを待つ(ステップS12に戻る)。
ステップS12〜ステップS24までの動作を、例えば、アクセス情報が指定される度に繰り返す。
また、図5は、不審行動検知システム10の他の構成例を示すブロック図である。図5に示すように、不審行動検知システム10は、例えば、通知手段15や、数値ベクトル生成手段16や、危険利用者予測手段17や、危険データ予測手段18や、アクセス権限変更手段19をさらに備えていてもよい。
通知手段15は、不審行動が検知されると、管理者に通知を行う。
数値ベクトル生成手段16は、アクセス情報から、各々が多次元の数値からなる2以上の数値ベクトルを生成する。
数値ベクトル生成手段16を備える構成において、モデル記憶手段11は、数値ベクトル生成手段16が生成した数値ベクトルの組と、不審行動または正常行動との関係を示すアクセス行動モデルとの関係を示すアクセス行動モデルを記憶してもよい。また、判定手段12は、そのようなアクセス行動モデルを用いて算出される、指定されたアクセス情報から生成される2以上の数値ベクトルの組に対する不審行動または正常行動の確度に基づいて、当該アクセス情報によって示されるデータアクセス行動が不審行動であるか否かを判定してもよい。
また、図6は、数値ベクトル生成手段16のより詳細な構成例を示すブロック図である。図6に示すように、数値ベクトル生成手段16は、第1数値ベクトル生成手段161と、第2数値ベクトル生成手段162とを含んでいてもよい。
第1数値ベクトル生成手段161は、アクセス情報に含まれる第1情報から、多次元の数値からなる第1数値ベクトルを生成する。
第2数値ベクトル生成手段162は、アクセス情報に含まれる第2情報から、多次元の数値からなる第2数値ベクトルを生成する。
第1数値ベクトル生成手段161および第2数値ベクトル生成手段162を備える構成において、モデル記憶手段11は、第1数値ベクトルと第2数値ベクトルの組と、不審行動または正常行動との関係を示すアクセス行動モデルを記憶してもよい。また、判定手段12は、そのようなアクセス行動モデルを用いて算出される、指定されたアクセス情報から生成される第1数値ベクトルと第2数値ベクトルの組に対する不審行動または正常行動の確度に基づいて、当該アクセス情報によって示されるデータアクセス行動が不審行動であるか否かを判定してもよい。
危険利用者予測手段17は、アクセス行動モデルに基づいて、データに対して、不審行動に該当するデータアクセス行動を行う危険性がある利用者を予測する。
危険データ予測手段18は、アクセス行動モデルに基づいて、利用者に対して、不審行動に該当するアクセス行動が行われる危険性があるデータを予測する。
アクセス権限変更手段19は、判定手段12による判定結果、不審行動検知手段14による検知結果、危険データ予測手段18による予測結果または危険利用者予測手段17による予測結果に基づいて、アクセス権限を変更する。
このような構成によれば、不審行動を高精度に検知できるだけでなく、検知した不審行動の情報(検知の対象となったアクセス情報など)を管理者に通知できる。また、不審行動が検知された利用者(不審行動者)が、当該不審行動が検知されたデータ(対象データ)を不正に取得できないよう、当該利用者に対する対象データのアクセス権限を自動的に変更できる。また、事前に、そのような不審行動を行う可能性のある利用者や対象データを予測できるので、不審行動を未然に防ぐことができる。また、データのアクセス権限の設定に穴があってもその穴を塞ぐことができる。
本実施形態において、モデル記憶手段11は、例えば、記憶装置によって実現される。また、判定手段12、学習手段13、不審行動検知手段14、通知手段15、数値ベクトル生成手段16、危険利用者予測手段17、危険データ予測手段18およびアクセス権限変更手段19は、例えば、プログラムに従って動作する情報処理装置によって実現される。なお、通知手段15が、ディスプレイ装置等を介して管理者に情報の通知を行う場合、通知手段15は、例えば、プログラムに従って動作する情報処理装置と、ディスプレイなどの表示装置または該表示装置とのインタフェース部とによって実現されてもよい。
実施形態2.
次に、本発明の第2の実施形態について説明する。なお、以下では、不審行動の検知対象とするデータが、ファイルサーバによって管理されるファイルである場合を例に用いて説明を行うが、データはファイルサーバによって管理されるファイルに限定されない。例えば、データは、データベースシステム等に格納される任意の単位のデータであってもよい。
まず、本実施形態の特徴を簡単に説明する。本実施形態の不審行動検知システムは、(1)ファイルサーバの利用者データ、(2)ファイルサーバが格納する文書データ、(3)ファイルサーバのアクセスログ、の3つのデータを用いて、各ファイルサーバ利用者の通常時におけるファイルサーバに対するアクセス行動を機械学習(教師あり学習)でモデル化する。そして、各ファイルサーバ利用者の実際のファイルサーバに対するアクセス行動と上記のモデルで予測されるアクセス行動の乖離を常時監視することにより、乖離の大きいファイルサーバ利用者を不審行動者として自動検知する。
ここで、(1)利用者データは、例えば、氏名、年齢、性別、学歴、担当業務、役職、部署、管理スパン(スパンオブコントロール)、異動履歴、保有資格、職務経歴、業績評価、健康診断結果などを含んでいてもよい。また、(2)文書データは、例えば、文書名、ファイルパス、アクセス権限、更新日時などのプロパティ設定、文書の内容に関する情報(テキスト、画像など)などを含んでいてもよい。また、(3)アクセスログは、ファイルサーバに対するアクセス履歴を保存したファイルであってもよい。なお、いずれのデータにおいても、大量かつ多様なテキストデータ(非構造化データ)が含まれていてもよい。
また、本実施形態の不審行動検知システムが行う不審行動検知方法には、前処理ステップ、特徴抽出ステップ、学習ステップ、予測ステップ、通知ステップ、の5つのプロセスを含まれる。
前処理ステップでは、上記の3つのデータ(利用者データ、文書データ、アクセスログ)から<利用者属性、文書属性、アクセス実績>のデータ組(tuple)を生成する。ここで、利用者属性は、ファイルサーバの利用者データから、利用者の特徴を表現するデータ項目の内容を抜き出したものであればよい。文書属性は、ファイルサーバが格納する文書データから、文書の特徴を表現するデータ項目の内容を抜き出したものであればよい。アクセス実績は、ファイルサーバのアクセスログで示される、当該利用者が当該文書にアクセスした実績の有無を判別可能な情報であればよい。例えば、アクセス実績は、アクセスした実績がある場合は1、ない場合は0等として2値化された情報であってもよい。
特徴抽出ステップでは、上記のデータ組のうち利用者属性および文書属性からそれぞれ特徴ベクトルを生成する。
学習ステップでは、上記のデータ組の集合から学習対象期間に該当するデータ組を切り出した上で、それらデータ組を用いて要素間の関係性(より具体的には、<利用者属性、文書属性>ペアとアクセス実績の関係性)を機械学習して予測モデルを生成する。機械学習アルゴリズムには、米国特許第8341095号明細書に記載された方法(Supervised Semantic Indexing(以下、SSIという))を用いることを想定するが、その他、一般的な機械学習手法を組み合わせてもよい。
予測ステップでは、上記のデータ組の集合から予測対象期間に該当するデータ組を切り出した上で、それらデータ組に対して予測モデルを適用する。より具体的には、それらデータ組の各々が示す<利用者属性、文書属性>ペアに対してアクセス行動の予測スコアを計算する。本実施形態では、予測スコアを[0.0〜1.0]の実数値とする。なお、予測スコアが1.0に近いほど、当該<利用者属性、文書属性>ペアはアクセス確度が高いすなわち正常行動である可能性が高いことを表す。一方、予測スコアが0.0に近いほど、当該<利用者属性、文書属性>ペアはアクセス確度が低いすなわち不審行動である可能性が高いことを表す。
通知ステップでは、予測ステップで計算した<利用者属性、文書属性>ペアのうち、予測スコアが閾値(例えば0.1など)より低いもの(つまり当該利用者属性が示す利用者が当該文書属性が示す文書にアクセスする確度が低いと予測されるもの)を不審行動として抽出する。そして、抽出された不審行動の対象とされた利用者のリストを管理者等に通知する。
以下、より具体的な構成について説明する。図7は、本実施形態の不審行動検知システムの構成例を示すブロック図である。
図7に示す不審行動検知システム100は、利用者データ記憶部101と、文書データ記憶部102と、利用者データ前処理部103と、文書データ前処理部104と、アクセスログ記憶部105と、アクセスログ前処理部106と、利用者属性特徴抽出部107と、文書属性特徴抽出部108と、アクセス実績学習部109と、予測モデル記憶部110と、予測スコア算出部111と、予測スコア記憶部112と、不審行動通知部113とを備える。
不審行動検知システム100は、例えば、パーソナルコンピュータやサーバ装置等の情報処理装置と、該情報処理装置がアクセス可能なデータベースシステム等の記憶装置群とによって実現される。このとき、利用者データ前処理部103、文書データ前処理部104、アクセスログ前処理部106、利用者属性特徴抽出部107、文書属性特徴抽出部108、アクセス実績学習部109、予測スコア算出部111および不審行動通知部113は、例えば、情報処理装置が備えるCPUによって実現されてもよい。その場合、該CPUは、所定の記憶装置に記憶された各処理部の動作を記述したプログラムを読み出し、該プログラムに従って動作することによって各処理部の機能を実現する。また、利用者データ記憶部101、文書データ記憶部102、アクセスログ記憶部105、予測モデル記憶部110および予測スコア記憶部112は、例えば、情報処理装置がアクセス可能な記憶装置群によって実現されてもよい。なお、記憶装置は1つであっても複数であってもよい。
利用者データ記憶部101は、ファイルサーバの利用者の利用者データを保持する。ファイルサーバの利用者データの項目例としては、氏名、年齢、性別、学歴、担当業務、役職、部署、管理スパン、異動履歴、保有資格、職務経歴、業績評価、健康診断結果などが挙げられる。
図8は、利用者データ記憶部101が保持する利用者データのデータ構造の一例を示す説明図である。図8に示すように、利用者データ記憶部101は、利用者データとして、例えば、利用者を識別する利用者IDと対応づけて、利用者の氏名、年齢、性別、役職、担当業務、業績評価等の情報を記憶してもよい。利用者データは、さらに利用者の人物像や勤務態度に関する説明等がテキスト形式で記載された情報を含んでいてもよい。また、利用者データは、さらに健康診断結果を含んでいてもよい。なお、図8において、網掛けは一人分の利用者データに相当するレコードの例を示している。
文書データ記憶部102は、ファイルサーバが格納する文書の文書データを保持する。文書データの項目例としては、文書名、文書の種別、ファイルパス、アクセス権限、更新日時などの当該文書に付随するプロパティ設定などが挙げられる。
図9は、文書データ記憶部102が保持する文書データのデータ構造の一例を示す説明図である。図9に示すように、文書データ記憶部102は、文書データとして、例えば、文書を識別する文書IDと対応づけて、文書の種別、アクセス権限の設定内容、作成日時、更新日時等のプロパティ情報を記憶してもよい。また、文書データは、さらに文書の内容に関する説明等がテキスト形式で記載された情報を含んでいてもよい。なお、図9において、網掛けは一ファイル分の文書データに相当するレコードの例を示している。
利用者データ前処理部103は、利用者データ記憶部101を参照して、指定された利用者に関するレコードを読み込む。また、利用者データ前処理部103は、読み込んだレコードに含まれる指定された利用者に関する情報(以下、利用者属性情報という場合がある)を用いて、利用者ベクトルを生成する。ここで、利用者ベクトルは、利用者属性情報が示す内容を、数値からなる多次元ベクトルで表現したものである。利用者データ前処理部103は、例えば、上記処理を利用者属性特徴抽出部107の命令に応じて行う。
文書データ前処理部104は、文書データ記憶部102を参照して、指定された文書に関するレコードを読み込む。また、文書データ前処理部104は、読み込んだレコードに含まれる指定された文書に関する情報(以下、文書属性情報という場合がある)を用いて、文書ベクトルを生成する。ここで、文書ベクトルは、文書属性情報が示す内容を、数値からなる多次元ベクトルで表現したものである。文書データ前処理部104は、例えば、上記処理を文書属性特徴抽出部108の命令に応じて行う。
アクセスログ記憶部105は、所定のファイルサーバのアクセスログを保持する。ファイルサーバのアクセスログには、ファイルサーバ利用者がファイルサーバにアクセスする度に、アクセス日時、アクセス者、アクセス文書等のアクセス行動に関する情報が記録される。
図10は、アクセスログ記憶部105が保持するアクセスログのデータ構造の一例を示す説明図である。
アクセスログ前処理部106は、アクセスログ記憶部105を参照して、指定期間のアクセス日時をもつレコードを読み込む。また、アクセスログ前処理部106は、読み込んだレコードに含まれるアクセス者IDおよびアクセス文書IDを基に、ラベル情報を生成する。例えば、アクセスログ前処理部106は、アクセスログの指定期間中のレコードに含まれているアクセス者IDとアクセス文書IDの組を用いて、該アクセス者IDに対応する利用者IDと該アクセス文書IDに対応する文書IDの組に対して、正否ラベルを正解(1)とするラベル情報<利用者ID、文書ID、正否ラベル(0/1)>を生成してもよい。また、アクセスログ前処理部106は、例えば、アクセスログの指定期間中にアクセス実績のない利用者と文書の組をランダムに選択し、その利用者の利用者IDとその文書の文書IDの組に対して、正否ラベルを不正解(0)とするラベル情報を生成してもよい。なお、アクセスログ前処理部106は、正解ラベル情報として、正常行動を行った利用者と文書の組を示すラベル情報<利用者ID、文書ID>を生成したり、不正解ラベル情報として、不審行動を行った利用者と文書の組を示すラベル情報<利用者ID、文書ID>を生成してもよい。以下、正解ラベル情報と不正解ラベル情報とを特に区別せず、不審行動か否かを判別可能なラベル情報という意味で正否ラベル情報と呼ぶ場合がある。アクセスログ前処理部106は、例えば、上記処理をアクセス実績学習部109の命令に応じて行う。
利用者属性特徴抽出部107は、利用者データ前処理部103が生成した利用者ベクトルに対して特徴抽出を行い、利用者特徴ベクトルを生成する。ここで、利用者特徴ベクトルは、利用者ベクトルの次元数よりも少ない次元数の数値ベクトルであればよい。利用者属性特徴抽出部107は、例えば、上記処理をアクセス実績学習部109または予測スコア算出部111の命令に応じて行う。
文書属性特徴抽出部108は、文書データ前処理部104が生成した文書ベクトルに対して特徴抽出を行い、文書特徴ベクトルを生成する。ここで、文書特徴ベクトルは、文書ベクトルの次元数よりも少ない次元数の数値ベクトルであればよい。文書属性特徴抽出部108は、例えば、上記処理をアクセス実績学習部109または予測スコア算出部111の命令に応じて行う。
アクセス実績学習部109は、利用者属性特徴抽出部107が生成した利用者特徴ベクトルと、文書属性特徴抽出部108が生成した文書特徴ベクトルと、アクセスログ前処理部106が生成したラベル情報とから、学習データとして<利用者特徴ベクトル、文書特徴ベクトル、正否ラベル(1/0)>を生成する。なお、ラベル情報は、正否ラベルを含むラベル情報(<利用者ID、文書ID、正否ラベル>)であっても、正否ラベルを含まない正否ラベル情報(<利用者ID、文書ID>)であってもよい。また、アクセス実績学習部109は、生成された学習データを用いて、利用者特徴ベクトルと文書特徴ベクトルと正否ラベルの間の関係性を機械学習し、予測モデルを生成する。
予測モデル記憶部110は、アクセス実績学習部109が生成した予測モデルを保持する。
予測スコア算出部111は、指定された利用者と文書のペアについて、予測データ<利用者特徴ベクトル、文書特徴ベクトル>を生成する。また、予測スコア算出部111は、生成した予測データに予測モデル記憶部110が保持する予測モデルを適用して、当該予測データに対するアクセス行動の予測スコアを算出する。予測スコア算出部111は、例えば、利用者と文書を指定して、利用者データ前処理部103、利用者属性特徴抽出部107、文書データ前処理部104および文書属性特徴抽出部108に命令をすることにより、予測データの要素を生成してもよい。
予測スコア記憶部112は、予測スコア算出部111による予測結果(予測スコアの算出結果)を、予測に用いた利用者と文書の情報とともに保持する。
図11は、予測スコア記憶部112が保持する予測結果のデータ構造の一例を示す説明図である。図11に示すように、予測スコア記憶部112は、例えば、アクセスする利用者を識別するアクセス者IDと、アクセスされたデータを識別されるアクセス文書IDとともに、算出された予測スコアを記憶してもよい。
不審行動通知部113は、予測スコア記憶部112を参照し、予測スコアが閾値(例えば0.1など)より低いレコード(つまりアクセス確度が低いと予測されるレコード)を不審行動として抽出する。また、不審行動通知部113は、抽出した不審行動の対象とされた利用者のリストを、管理者等に所定の方法を用いて通知する。
次に、本実施形態の動作について説明する。本実施形態の不審行動検知システム100の動作は、大きく、アクセス行動学習ステップ、アクセス行動予測ステップ、不審行動通知ステップ、の3つのステップに分類される。
アクセス行動学習ステップでは、アクセス実績学習部109が、利用者属性特徴抽出部107が生成した利用者特徴ベクトルと、文書属性特徴抽出部108が生成した文書特徴ベクトルと、アクセスログ前処理部106が生成したラベル情報とに基づいて、学習データを生成し、学習データの要素間の関係性、より具体的には利用者特徴ベクトルと文書特徴ベクトルの組に対する成否ラベルの関係性を機械学習して予測モデルを生成する。また、アクセス実績学習部109は、生成した予測モデルを予測モデル記憶部110に書き込む。
行動予測ステップでは、予測スコア算出部111が、指定された利用者および文書について、利用者特徴ベクトルと文書特徴ベクトルの組に対して予測モデルを適用し、当該利用者が当該文書にアクセスする確度を予測スコアとして計算する。また、予測スコア算出部111は、算出した予測スコアを、算出に用いた利用者と文書の情報とともに予測スコア記憶部112に書き込む。
不審行動通知ステップでは、不審行動通知部113が、予測スコア記憶部112から、予測スコアが閾値より低いレコードを不審行動として抽出し、抽出された不審行動に関する情報のリストを出力する。
図12は、不審行動検知システム100のアクセス行動学習ステップの動作例を示すフローチャートである。図12に示す例では、まず、アクセス実績学習部109が、アクセスログ前処理部106を駆動し、アクセスログのうち指定した期間(つまり学習期間)のアクセス日時を有するレコードを読み出させる(ステップS101)。
ステップS101で、アクセスログ前処理部106は、例えば、アクセスログ記憶部105より、アクセス日時が条件にマッチするレコードをアクセス実績として読み込み、正解ラベル<利用者ID、文書ID、正解ラベル(1)>を生成してもよい。また、アクセスログ前処理部106は、例えば、読み込んだレコードに含まれる利用者IDに対して、アクセス実績のない文書IDをランダムに選択して、不正解ラベル<利用者ID、文書ID、不正解ラベル(0)>を生成してもよい。
次に、アクセス実績学習部109は、アクセス実績の件数分、ステップS103〜ステップS108の動作を繰り返す(ステップS102、ステップS109)。
ステップS103では、アクセス実績学習部109が、利用者データ前処理部103を駆動し、ステップS101で読み出されたアクセス実績の利用者IDの利用者データである利用者属性情報を読み出させる。また、利用者データ前処理部103は、読みだされたレコードの内容(利用者属性情報)をベクトル形式に変換し、利用者ベクトルを生成する。
利用者属性情報のベクトル化(数値化)は、例えば次のように実施される。すなわち、利用者データ前処理部103は、利用者属性情報のうち、年齢、年齢、最終学歴、資格などの値域が予め定まっている項目であるコード項目のデータであれば、予め定めたベクトル要素の値として当該コード項目の内容が所定の範囲に該当すれば1とし、該当しなければ0としてもよい(2値化)。
また、利用者データ前処理部103は、例えば、利用者属性情報のうち、テキスト形式の項目であるテキスト項目のデータであれば、当該テキスト項目の内容とされたテキストを形態素解析等を用いて単語に分解し、テキスト全体における単語または単語群の頻度等を計数してもよい。頻度は、一単語ごとではなく、二単語から五単語程度の単語群をひとまとめにして数えてもよい。最適な単語数は、学習対象となる利用者の数や文書の量によって異なる。また、利用者データ前処理部103は、例えば、計数された頻度を、当該単語または当該単語群に対応するベクトル要素の値としてもよい。
モデル学習ステップでは、後述する機械学習パラメータの更新時に、学習対象のデータ(文書特徴ベクトルと利用者特徴ベクトルの組)の一部を学習対象から外したデータでモデルを学習しなおして精度を検証する動作が行われる場合がある。そのとき、利用者データ前処理部103は、単語数を変えて検証することで、最適な単語数を定めてもよい。また、利用者データ前処理部103は、すべての文書において高頻度の単語、例えば助詞を除外するなど、頻度を数える対象となる単語を制限してもよい。そのようにして、テキストの特徴、つまりそのテキストを書いた利用者の特徴が表現された数値ベクトル(数値のみからなるデータ羅列)を生成する。
なお、利用者がWebサイトやSNSに投稿したテキスト等も、利用者の特徴を表すデータ(数値)に変換可能である。昨今では、多くの人が興味を持った事柄について、SNSやブログ等に書き込んでいるため、それらの情報を用いることで、利用者の特徴を多く含む数値ベクトルを生成できる。
また、利用者データ前処理部103は、上記のテキストを数値化する方法と同様の方法で、アクセス先のURL名等を分解し、それらに含まれる単語や単語群の頻度または滞留時間をカウントしたり、URL先のHTTP文書を分解して、含まれる単語や単語群の頻度をカウントしてもよい。そのようなWebアクセス履歴に関する計数の結果も、ベクトル(数値)化できる。
ステップS104では、アクセス実績学習部109が、利用者属性特徴抽出部107を駆動し、ステップS103で生成された利用者ベクトルに対して特徴抽出を行わせて、利用者特徴ベクトルを生成させる。
一般に、ステップS103で生成される利用者ベクトルは、非常に大きいベクトル長のデータである。このため、そのままでは後段の学習および予測への適用が困難である。そこで、本実施形態では、利用者属性特徴抽出部107を用いて、利用者属性情報のうち特徴となるデータ項目のみを選択させ、データ長が圧縮されたベクトルを生成する。
利用者属性特徴抽出部107は、例えば、上述した非特許文献1に記載されている方法を利用して、特徴ベクトルを生成してもよい。なお、非特許文献1に記載された方法は全て自動で特徴ベクトルを生成するが、その方法以外にも、主成分分析などにより重要なベクトル項をまず手動で分析した上で、そのようなベクトル項を指定してもよい。そのような場合、利用者属性特徴抽出部107は、そのベクトル項の内容を表現した特徴ベクトルを生成してもよい。
ステップS105では、アクセス実績学習部109が、文書データ前処理部104を駆動して、ステップS101で読み込まれたアクセス実績の文書IDの文書データ(文書属性情報)を読み出させる。文書データ前処理部104は、文書データ記憶部102より文書IDがマッチするレコードを読み出して、ベクトル形式に変換して文書ベクトルを生成する。文書属性情報のベクトル化(数値化)は、ステップS103で示した利用者属性情報のベクトル化と同様の方法が適用可能である。
ステップS106では、アクセス実績学習部109が、文書属性特徴抽出部108を駆動し、ステップS105で生成された文書ベクトルに対して特徴抽出を行って、文書特徴ベクトルを生成させる。文書ベクトルからの特徴抽出は、ステップS104で示した利用者ベクトルからの特徴抽出方法と同様の方法が適用可能である。
ステップS107では、アクセス実績学習部109が、学習の前処理として、ステップS104で生成された利用者特徴ベクトルと、ステップS106で生成された文書特徴ベクトルのコサイン類似度を計算する。なお、本例では、2つのベクトルの類似度を測定するメトリックとしてコサイン類似度を用いているが、その他にも、任意のノルム(L1ノルム、L2ノルム、等)を用いることも可能である。
ステップS108では、アクセス実績学習部109が、ステップS107で計算された類似度と、ステップS101で生成されたラベル情報とを用いて、機械学習パラメータを調整する。
なお、本例では、機械学習の手段として、上述したSSIを想定しているが、任意の教師あり機械学習分類器が適用可能である。任意の教師あり機械学習分類器の例として、サポートベクタマシン、ニューラルネット、ベイズ分類器などが広く知られている。
不審行動検知システムは、アクセス実績の件数分だけ上記の処理を繰り返すと、ステップS110に進む。
ステップS110では、アクセス実績学習部109が、ステップS108で調整された機械学習パラメータを予測モデル記憶部110に書き込む。
また、図13は、不審行動検知システム100のアクセス行動予測ステップの動作例を示すフローチャートである。
図13に示す例では、まず、予測スコア算出部111が、ステップS110で書き込まれた調整済みの機械学習パラメータを予測モデル記憶部110から読み出す(ステップS201)。
次に、予測スコア算出部111は、アクセスログ前処理部106を駆動し、アクセスログのうち指定した期間(予測期間)のアクセス日時を有するレコードを読み出させる(ステップS202)。ステップS202で、アクセスログ前処理部106は、読み出したレコード群を基に、ラベル情報<利用者ID、文書ID、正否ラベル>のリストを生成する。以下、ここで生成されたラベル情報のリストを、アクセス行動予測対象リストと呼ぶ場合がある。
次に、予測スコア算出部111は、ステップS202で生成されたリストに含まれるレコードの件数分だけ、ステップS204〜ステップS209の処理を繰り返す(ステップS203、ステップS210)。
ステップS204では、予測スコア算出部111が、アクセス行動予測対象リストに含まれるラベル情報を順次取り出す。そして、予測スコア算出部111は、利用者データ前処理部103を駆動し、取り出したラベル情報に含まれる利用者IDが示す利用者の利用者データを読み出させる。ステップS204で、利用者データ前処理部103は、指定された利用者IDにマッチするレコード(利用者属性情報)を利用者データ記憶部101から読み出し、ベクトル形式に変換して利用者ベクトルを生成する。利用者属性情報のベクトル化(数値化)の方法は、ステップS103で示した方法と同様でよい。
ステップS205では、予測スコア算出部111は、利用者属性特徴抽出部107を駆動して、ステップS204で生成された利用者ベクトルに対して特徴抽出を行わせて利用者特徴ベクトルを生成させる。利用者ベクトルの特徴抽出の方法は、ステップS104で示した方法と同様でよい。
ステップS206では、予測スコア算出部111は、文書データ前処理部104を駆動し、ステップS204で取り出したラベル情報に含まれる文書IDが示す文書の文書データを読み出させる。ステップS206で、文書データ前処理部104は、指定された文書IDにマッチするレコード(文書属性情報)を文書データ記憶部102から読み出し、ベクトル形式に変換して文書ベクトルを生成する。文書属性情報のベクトル化(数値化)の方法は、ステップS103に示す方法と同様でよい。
ステップS207では、予測スコア算出部111は、文書属性特徴抽出部108を駆動し、ステップS206で生成された文書ベクトルに対して特徴抽出を行わせて文書特徴ベクトルを生成させる。文書ベクトルの特徴抽出の方法は、ステップS104に示す方法と同様でよい。
ステップS208では、予測スコア算出部111は、ステップS205で生成された利用者特徴ベクトルと、ステップS207で生成された文書特徴ベクトルとを用いて、ステップS201で読み出された機械学習パラメータに基づき、該利用者特徴ベクトルと該文書特徴ベクトルの組に対するアクセス確度を予測スコアとして算出する。既に説明したように、本例では、予測スコアを[0.0〜1.0]の実数値とする。予測スコアは、例えば、サポートベクタマシンのprobability(確信度、信頼度)と呼ばれる数値であってもよい。
ステップS209では、予測スコア算出部111が、ステップS208で算出された予測スコアと予測スコアの算出対象とされた利用者および文書の組とともに、予測結果を予測スコア記憶部112に書き込む。予測スコア算出部111は、<利用者ID、文書ID、予測スコア>の形式で予測結果を予測スコア記憶部112に書き込んでもよい。
アクセス行動予測対象リストに含まれるレコードの件数分、上記処理を繰り返すと、当該行動予測ステップを終了する。
また、図14は、不審行動検知システム100の不審行動通知ステップの動作例を示すフローチャートである。
図14に示す例では、まず、不審行動通知部113が、予測結果<利用者ID、文書ID、予測スコア>のリストである予測結果リストを読み出す(ステップS301)。
次に、不審行動通知部113は、予測結果リストに含まれる予測結果の件数分、ステップS303〜ステップS304の処理を繰り返す(ステップS302、ステップS305)。
ステップS303では、不審行動通知部113が、ステップS301で読み出されたレコードの予測スコアとあらかじめ設定した閾値(例えば0.1など)とを比較する。ここで、読み出したレコードの予測スコアが所定の閾値未満であれば、不審行動通知部113は、そのレコードが示す利用者と文書の組によるアクセス行動は不審行動であると判定する(ステップS303のYes)。そして、不審行動通知部113は、ステップS304に進む。一方、所定の閾値以上であれば、不審行動通知部113は、その組によるアクセス行動は不審行動に該当しないすなわち正常行動であると判定する(ステップS303のNo)。不審行動通知部113は、その後は特に処理は行わず、リストの次のレコードに処理を移すべくステップS303に戻る
ステップS304では、不審行動通知部113が、不審行動とされた利用者と文書の組における少なくとも利用者の情報(利用者ID)を、一時記憶に記憶する。なお、不審行動通知部113は、利用者の情報だけでなく文書の情報(文書ID)や算出された予測スコアなども併せて記憶してもよい。このとき、不審行動通知部113は、繰り返し処理により同じ情報が登録済みの場合は、再度の登録をしなくてよい。
予測結果リストの件数分、上記処理を完了すると、不審行動通知部113は、ステップS304で一時記憶に登録された情報を読み出し、不審行動として管理者等に通知する(ステップS306)。不審行動通知部113は、例えば、一時記憶に登録された情報に含まれる利用者IDが示す利用者を、不審行動者として通知してもよい。また、不審行動通知部113は、例えば、一時記憶に登録された情報に含まれる文書IDが示す文書を、通常時とは異なるアクセス行動が行われている危険文書として通知してもよい。
以上のように、本実施形態では、データにアクセスする利用者の情報である利用者データ、データそのものの情報である文書データおよびアクセスログを用いて、不審行動の予測モデルを生成し、生成された予測モデルを基に、不審行動を検知している。このため、統計ベースで生成されるモデル等と比べて、扱えるデータ量を多く出来るので、より高精度な検知が可能となる。
変形例1.
上記の実施形態では、検知した不審行動を通知するまでを実施する構成を示したが、不審行動検知システムは、不審行動が検知された利用者に対する対象データのアクセス権限の設定を自動で変更することも可能である。そのようにして、アクセス権限の穴を自動的に塞ぐことにより、ファイルサーバの利用者がデータを不正に持ち出す行為をプロアクティブに抑止することができる。
図15は、本変形例による不審行動検知システムの構成例を示すブロック図である。図15に示す不審行動検知システム100は、図7に示した構成に比べて、アクセス権限制御部114、アクセス権限記憶部115をさらに備えている点で異なる。
アクセス権限制御部114は、不審行動の検知対象とされたデータを含む所定のデータに適用されるアクセス権限の設定、変更等の制御を行う。
アクセス権限記憶部115は、不審行動の検知対象とされたデータを含む所定のデータに適用される現在のアクセス権限の情報を少なくとも保持する。
図16は、本変形例による不審行動検知システムの動作例を示すフローチャートである。本変形例では、上記の構成に比べて、さらに、アクセス権限制御ステップを含む。なお、図16は、本変形例による不審行動検知システム100のアクセス権限制御ステップの動作例を示している。
アクセス権限制御ステップでは、アクセス行動予測ステップによる予測スコアの算出結果に基づいて検知された不審行動の情報を基に、当該不審行動を行った利用者が同様のアクセス行動を行うことができなくなるようアクセス権限を制御する。アクセス権の制御は、例えば、検知された不審行動の対象とされたデータに対して、該不審行動が検知された利用者のアクセスを禁止するものであってもよい。例えば、アクセス権限制御部114が、不審行動の情報から利用者IDと文書IDとを取得し、該利用者IDが示す利用者が該文書IDが示す文書(データ)にアクセスできなくなるよう、該文書を格納するファイルサーバのホスト名を取得してアクセス権限を設定してもよい。
図16に示す例では、まず、アクセス権限制御部114が、不審行動通知部113より、検知された不審行動に関する情報を取得する(ステップS401)。
次に、アクセス権限制御部114は、不審行動の対象文書を格納するファイルサーバのホスト名を取得する(ステップS402)。
次に、アクセス権限制御部114は、不審行動者に対する当該ファイルサーバもしくは不審行動の対象文書のアクセス権限設定を変更する(ステップS403)。なお、アクセス権限設定の変更方法は、特に問わない。例えば、一般的に行われている方法を用いればよい。一例として、ディレクトリサービス(Windows(登録商標)の場合はActive DirectoryやLDAP)により管理される場合には、当該サービスを経由して、ファイルサーバ等のアクセス権限設定を変更する方法が挙げられる。
変形例2.
また、第1変形例では、検知された不審行動に基づいて、アクセス権限設定の穴を自動的に塞ぐ例を示したが、システムは、運用担当者等の特定ユーザに、不審行動の情報とともに当該不審行動にかかるアクセス権限の設定変更を提案し、応答を待った上でアクセス権限の制御を行うことも可能である。そのようにすれば、実運用において、データやファイルサーバのアクセス権限設定が自動的に変更されてしまうことで、現場の業務が混乱することを防止できる。
図17は、本変形例の不審行動検知システムの構成例を示すブロック図である。図16に示すよう不審行動検知システム100は、図15に示した構成に比べて、アクセス権限制御画面部116をさらに備えている点で異なる。
アクセス権限制御画面部116は、後述するアクセス権限制御画面の制御を介して、特定ユーザに、特定ユーザに、不審行動にかかるアクセス権限の設定変更を行うか否かを問い合わせる。
図18は、アクセス権限制御画面の例を示す説明図である。図18に示すように、アクセス権限制御画面は、ユーザに、不審行動者に対する当該ファイルサーバもしくは不審行動の対象文書のアクセス権限設定として、現状のアクセス許可設定を削除する(塞ぐ)か否(見逃す)かを選択させるものであってもよい。
また、図19は、本変形例による不審行動検知システムの動作例を示すフローチャートである。なお、図19は、本変形例による不審行動検知システム100のアクセス権限制御ステップの動作例を示している。
図19に示す例は、図16に示した第1変形例における動作に、アクセス権限設定の制御を行うか否かの判定ステップ(ステップS501)が加わっている。
例えば、ステップS501では、アクセス権限制御画面部116が、検知された不審行動者の利用者IDと、当該不審行動者による不審行動の対象とされた文書を格納するファイルサーバのホスト名が少なくとも表示されており、かつ、「塞ぐ」および「見逃す」ボタン等、アクセス権限の制御を行うか否かを指示するUI(ユーザインタフェース)部品を含むアクセス権限制御画面を表示してもよい。このとき、ファイルサーバの運用担当者等の特定ユーザは、画面の表示内容を確認した上で、当該人物が当該ファイルサーバにアクセスできなくなるようアクセス権限を制御するかどうかを判断すればよい。
特定ユーザが[塞ぐ]ボタンを押下すると、アクセス権限制御画面部116は、ステップS403に進めばよい。一方、[見逃す]ボタンが押下されると、何も処理をせず終了してもよい。
なお、不審行動が複数検知された場合は、その各々について上記の処理を行う。例えば、アクセス権限制御画面部116は、複数の不審行動の各々について、不審行動者の利用者IDと、当該不審行動者による不審行動の対象とされた文書を格納するファイルサーバのホスト名が少なくとも表示されており、かつ、「塞ぐ」および「見逃す」ボタン等、アクセス権限の制御を行うか否かを指示するUI(ユーザインタフェース)部品を含むアクセス権限制御画面を表示してもよい。
なお、図18に示す例では、不審行動者の利用者IDと、当該不審行動者による不審行動の対象文書を格納するファイルサーバのホスト名の両方を表示しているが、いずれか一方の情報のみを表示してもよい。例えば、不審行動者の利用者IDのみを取得・表示して、当該利用者IDの利用者は不審行動を行う危険性があるとし、当該利用者に対するすべてのデータのアクセスを禁止するような、アクセス権限の設定を提案してもよい。また、例えば、不審行動の対象とされた文書を格納するファイルサーバのホスト名のみを取得・表示して、当該ファイルサーバもしくは当該文書は不審行動が行われる危険性があるとし、当該ファイルサーバに対するすべての利用者のアクセスを禁止するようなアクセス権限の設定を提案してもよい。
なお、上記のアクセス権限の設定は、システムが自動設定する場合においても適用が可能である。
変形例3.
また、本実施形態および各変形例では、アクセス行動学習ステップ、アクセス行動予測ステップ、不審行動通知ステップ、の3つのステップをすべて同一装置で実施する例を示したが、ネットワーク経由で(例えば、インターネット上に公開された予測モデルの配信サーバなどから)で予測モデルを受信する構成であれば、アクセス行動学習ステップを省略することも可能である。
図20は、本変形例の不審行動検知システムの構成例を示すブロック図である。図20に示す構成は、図7に示す第1変形例の構成と比べて、上記のアクセス行動学習ステップでのみ用いられる要素(より具体的には、アクセスログ記憶部105、アクセスログ前処理部106およびアクセス実績学習部109)を省略し、新たに予測モデル受信部117が追加されている点が異なる。なお、これらの変更点を、例えば、他の変形例に適用することも可能である。
予測モデル受信部117は、外部から予測モデルを受信する。予測モデルは、例えば、当該システムを構成する装置以外の装置によって生成された予測モデルであってもよい。受信する予測モデルは、当該システムが不審行動の検出対象とするデータに対するアクセス行動に基づいて学習されたものでなくてもよい。例えば、稼動実績が十分あったり、アクセス権限等による情報漏えい対策が十分な他のファイルサーバ等において蓄積されたアクセスログによって示されるアクセス情報を基に学習されたものであってもよい。
また、図21は、本変形例による不審行動検知システムの動作例を示すフローチャートである。図21に示す例は、図13に示したアクセス行動予測ステップの動作例に比べて、最初の予測モデル読み出し動作(ステップS201)が、予測モデルの受信・読み出し動作(ステップS601)に変わっている点を除き、図13に示したアクセス行動予測ステップの動作と同じである。すなわち、本変形例では、予測モデルを読み出しに際し、予測モデル受信部117で受信した予測モデルを読み出せばよい。
例えば、ステップS601では、予測モデル受信部117は、ネットワーク経由で予測モデルを受信し、予測モデル記憶部110に書き込む。そして、予測スコア算出部111が、その予測モデルを予測モデル記憶部110から読み出す。
本変形例によれば、自システムにおけるアクセスログの蓄積が十分でない場合やモデル生成に必要な処理能力が十分でない場合等であっても、精度のよい予測モデルを用いることができる。
変形例4.
次に、本実施形態の第4変形例について説明する。これまで、学習・予測に用いる入力データとして、利用者データと、文書データの2つの入力データを想定して説明をしたが、アクセス行動学習ステップおよびアクセス行動予測ステップにおいて、3つ以上の入力データ(N入力データ)を処理させることも可能である。
例えば、利用者データとして、次の3つのデータが存在するとする。すなわち、利用者データが、(a)いわゆる属性データ(図8に示した情報等の利用者自身に関するデータ)、(b)SNS等において生成されたデータであるSNSデータ、(c)当該利用者が所定のデータに対して行ったアクセス行動に関する統計値等の統計データ、に大別されるとする。
このような場合に、システムは、上記3つのデータ各々から、上記のベクトル化と同じ方法で利用者特徴ベクトルを生成し、生成された3つの利用者特徴ベクトルをマージ(A次元ベクトルとB次元ベクトルとC次元ベクトルと、・・・とをつなげてA+B+C+・・・次元のベクトルに合成)して、1つの利用者特徴ベクトルとすればよい。文書データに関しても同様である。
これにより、N個の入力データであっても、利用者とデータのどちらにより由来するかによって利用者データか文書データに分類し、マージを行うことで、2入力データに落とし込むことができる。
変形例5.
次に、本実施形態の第5変形例について説明する。本実施形態のこれまでの説明では、アクセスログの特に指定した期間(予測期間)から抽出されるアクセス行動における<利用者ID、文書ID>の組に対して、不審行動か否かを判定した。しかし、予想対象とするアクセス行動は、このようなアクセスログによって示されるものに限定されない。例えば、実際に行われたアクセス行動に対してだけでなく、事前に、危険文書や危険利用者を予測することも可能である。ここで、危険文書は、ある特定の利用者または利用者群にとって不審行動の対象となりやすい文書または文書群、より具体的には当該特定の利用者または利用者群がアクセスする可能性の低い文書または文書群をいう。また、危険利用者は、ある特定のデータまたはデータ群にとって不審行動の主体となりやすい利用者または利用者群、より具体的には当該特定のデータまたはデータ群にアクセスする可能性の低い利用者または利用者群をいう。危険文書や危険利用者を予め予測することにより、例えば、危険文書への特定利用者によるアクセスや、危険利用者による特定文書へのアクセスをあらかじめ制限する等の事前予防を実施できる。
本変形例における危険利用者の予測方法は、例えば、アクセス行動予測ステップのステップS202で、アクセス行動予測対象リストを生成する際に、検査対象の利用者の利用者ID(特定利用者ID)に対して全ての文書IDを組み合わせたものを、アクセス行動予測対象リストに含ませればよい。なお、予測に用いる入力データとして、利用者IDおよび文書IDから得られる情報以外の情報(例えば、アクセス時間帯等)を含む場合には、特定利用者IDに対して利用者データ以外の入力データが取り得る全ての値のパターンを組み合わせたものを、アクセス行動予測対象リストに含ませればよい。
そして、そのようにして生成したアクセス行動予測対象リストを用いて、ステップS203以降を実行すればよい。その結果、1つでも不審行動と判定された組があれば、その組に含まれる特定利用者IDが示す利用者を、少なくともその組が示すアクセス行動における危険利用者とみなしてもよい。
同様に、本変形例における危険文書を予測するには、例えば、アクセス行動予測ステップのステップS202で、アクセス行動予測対象リストを生成する際に、検査対象の文書の文書ID(特定文書ID)に対して全ての利用者IDを組み合わせたものを、アクセス行動予測対象リストに含ませればよい。なお、予測に用いる入力データとして、利用者IDおよび文書IDから得られる情報以外の情報(例えば、アクセス時間帯等)を含む場合、該特定文書IDに対して文書データ以外の入力データが取り得る全ての値のパターンを組み合わせたものを、アクセス行動予測対象リストに含ませればよい。
そして、そのようにして生成したアクセス行動予測対象リストを用いて、ステップS203以降を実行すればよい。その結果、1つでも不審行動と判定された組があれば、その組に含まれる特定文書IDが示す文書を、少なくともその組が示すアクセス行動における危険文書とみなしてもよい。
また、システムは、危険利用者や危険文書が検出された場合、不審行動通知ステップの動作を実行してもよい。
以上、本実施形態および実施例を参照して本願発明を説明したが、本願発明は上記実施形態および実施例に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
例えば、本願発明の特徴の1つは、データアクセスに関する過去の利用者の行動を示すデータをもとに、機械学習を行い、未知のデータアクセス行動に対して不審行動か否かを判定する点にある。上記の説明の多くでは、2入力(アクセスログから得られる、利用者データと文書データの1対1の組合せ)に対して成否のラベルを付けて学習を行う例を示している。しかし、本願発明の目的の1つとして、機械学習による行動ベースのアクセス制御ができればよいので、学習に用いる入力は上記に限られない。また、監視対象も、一企業等の情報システム部門で管理されるようなファイルサーバに限られない。
入力データに含まれるとして好ましい項目の一例として、データアクセス行動に関する下記の5W1Hに相当する情報が挙げられる。
WHO:利用者のプロフィール(氏名、年齢、役職、職務、健康状態、上司評価、など)
WHEN:利用者がデータにアクセスした日時(平日、休日、日中、夜間、など)
WHERE:利用者がデータにアクセスした場所(ファイルサーバ、データベース、SNS、など)
WHAT:利用者がアクセスしたデータ(タイトル、プロパティ、内容、など)
WHY:利用者がデータにアクセスした理由(読込、書込、コピー、削除、など)
HOW:利用者がデータにアクセスした方法(アクセス端末、アクセス経路、など)
また、例えば、第2の実施形態において利用者データ前処理部103や文書データ前処理部104が生成するベクトルの次元数がそれほど大きくない場合は、特徴抽出部(利用者属性特徴抽出部107、文書属性特徴抽出部108)を省略してもよい。
また、上記の各実施形態は以下の付記のようにも記載できる。
(付記1)データに対する利用者の行動であるデータアクセス行動に関するアクセス情報であって、データにアクセスする利用者に由来する第1の情報と、アクセスされるデータに由来する第2の情報とを含むアクセス情報と、不審行動または正常行動との関係を示すアクセス行動モデルを記憶するモデル記憶手段と、アクセス行動モデルに基づいて、任意のデータアクセス行動が不審行動であるか否かを判定する判定手段とを備えたことを特徴とする情報処理装置。
(付記2)アクセス情報は、第1の情報として、アクセスする利用者、アクセスされる時間、アクセス種別もしくはアクセス方法に関する情報を含む、または、第2の情報として、データ自体もしくはデータの格納場所に関する情報を含む付記1に記載の情報処理装置。
(付記3)アクセス情報は、アクセスする利用者に関する情報として、当該利用者が生成したテキストに関する情報もしくは当該利用者が所定のデータに対して行ったアクセス行動に関する統計値を含む、または、データ自体に関する情報として、当該データの内容に関する情報もしくは当該データに対して行われたアクセス行動に関する統計値を含む付記2に記載の情報処理装置。
(付記4)アクセス情報と、アクセス情報が示すデータアクセス行動が不審行動であるか否かを示す情報とを学習データに用いて、機械学習によりアクセス行動モデルを生成する学習手段を備えた付記1から付記3のうちのいずれかに記載の情報処理装置。
(付記5)ファイルサーバによって管理されているファイルを、対象データとする情報処理装置であって、モデル記憶手段は、所定のファイルに対するアクセス履歴に含まれるアクセス行動のうち指定された期間におけるアクセス行動に関するアクセス情報と、アクセス行動が不審行動か否かを判別可能な情報とを用いて機械学習されたアクセス行動モデルを記憶する付記1から付記4のうちのいずれかに記載の情報処理装置。
(付記6)アクセス情報から、各々が多次元の数値からなる2以上の数値ベクトルを生成する数値ベクトル生成手段を備え、モデル記憶手段は、2以上の数値ベクトルの組と、不審行動または正常行動との関係を示すアクセス行動モデルとの関係を示すアクセス行動モデルを記憶し、判定手段は、アクセス行動モデルを用いて算出される、指定されたアクセス情報から生成される2以上の数値ベクトルの組に対する不審行動または正常行動の確度に基づいて、アクセス情報によって示されるデータアクセス行動が不審行動であるか否かを判定する付記1から付記5のうちのいずれかに記載の情報処理装置。
(付記7)数値ベクトル生成手段として、アクセス情報に含まれる第1情報から、多次元の数値からなる第1数値ベクトルを生成する第1数値ベクトル生成手段と、アクセス情報に含まれる第2情報から、多次元の数値からなる第2数値ベクトルを生成する第2数値ベクトル生成手段とを備え、モデル記憶手段は、第1数値ベクトルと第2数値ベクトルとの組と、不審行動または正常行動との関係を示すアクセス行動モデルを記憶し、判定手段は、アクセス行動モデルを用いて算出される、指定されたアクセス情報に含まれる第1情報および第2情報から生成される第1数値ベクトルと第2数値ベクトルの組に対する不審行動または正常行動の確度に基づいて、アクセス情報によって示されるデータアクセス行動が不審行動であるか否かを判定する付記6に記載の情報処理装置。
(付記8)アクセス行動モデルに基づいて、不審行動に該当するアクセス行動が行われる危険性があるデータを予測する危険データ予測手段を備えた付記1から付記7のうちのいずれかに記載の情報処理装置。
(付記9)アクセス行動モデルに基づいて、不審行動に該当するデータアクセス行動を行う危険性がある利用者を予測する危険利用者予測手段を備えた付記1から付記8のうちのいずれかに記載の情報処理装置。
(付記10)判定手段による判定結果に基づいて、アクセス権限を変更するアクセス権限変更手段を備えた付記1から付記9のうちのいずれかに記載の情報処理装置。
(付記11)判定手段による判定結果を基に、実際に行われたデータアクセス行動から不審行動を検知する不審行動検知手段と、不審行動が検知されると、管理者に通知を行う通知手段とを備えた付記1から付記10のうちのいずれかに記載の情報処理装置。
(付記12)データに対する利用者の行動であるデータアクセス行動に関するアクセス情報であって、データにアクセスする利用者に由来する第1の情報と、アクセスされるデータに由来する第2の情報とを含むアクセス情報と、アクセス情報が示すデータアクセス行動が不審行動か否かを判別可能な情報とを学習データに用いて、機械学習により、任意のアクセス情報と不審行動または正常行動との関係を示すアクセス行動モデルを生成する学習手段と、アクセス行動モデルを記憶するモデル記憶手段と、アクセス行動モデルに基づいて、任意のデータアクセス行動が不審行動であるかか否かを判定する判定手段と、判定結果を基に、実際に行われたデータアクセス行動から不審行動を検知する不審行動検知手段とを備えたことを特徴とする不審行動検知システム。
(付記13)情報処理装置が、データに対する利用者の行動であるデータアクセス行動に関するアクセス情報であって、データにアクセスする利用者に由来する第1の情報と、アクセスされるデータに由来する第2の情報とを含むアクセス情報と、不審行動または正常行動との関係を示すアクセス行動モデルに基づいて、任意のデータアクセス行動が不審行動であるか否かを判定することを特徴とする不審行動検知方法。
(付記14)コンピュータに、データに対する利用者の行動であるデータアクセス行動に関するアクセス情報であって、データにアクセスする利用者に由来する第1の情報と、アクセスされるデータに由来する第2の情報とを含むアクセス情報と、不審行動または正常行動との関係を示すアクセス行動モデルに基づいて、任意のデータアクセス行動が不審行動であるか否かを判定させる処理を実行させるための不審行動検知プログラム。
この出願は、2015年10月13日に出願された日本特許出願2015−202280を基礎とする優先権を主張し、その開示の全てをここに取り込む。
本発明は、入力データから利用者およびデータに関する特徴量を抽出してモデル学習を行う特徴から、例えば、不審行動の検知に高い精度を有する予測モデルのみを提供するといったビジネスモデルも考えられる。
10、100 不審行動検知システム
11 モデル記憶手段
12 判定手段
13 学習手段
14 不審行動検知手段
15 通知手段
16 数値ベクトル生成手段
161 第1数値ベクトル生成手段
162 第2数値ベクトル生成手段
17 危険利用者予測手段
18 危険データ予測手段
19 アクセス権限変更手段
101 利用者データ記憶部
102 文書データ記憶部
103 利用者データ前処理部
104 文書データ前処理部
105 アクセスログ記憶部
106 アクセスログ前処理部
107 利用者属性特徴抽出部
108 文書属性特徴抽出部
109 アクセス実績学習部
110 予測モデル記憶部
111 予測スコア算出部
112 予測スコア記憶部
113 不審行動通知部
114 アクセス権限制御部
115 アクセス権限記憶部
116 アクセス権限制御画面部
117 予測モデル受信部

Claims (14)

  1. データに対する利用者の行動であるデータアクセス行動に関するアクセス情報であって、データにアクセスする利用者に由来する第1の情報と、アクセスされるデータに由来する第2の情報とを含むアクセス情報と、不審行動または正常行動との関係を示すアクセス行動モデルを記憶するモデル記憶手段と、
    前記アクセス行動モデルに基づいて、任意のデータアクセス行動が不審行動であるか否かを判定する判定手段とを備えた
    ことを特徴とする情報処理装置。
  2. アクセス情報は、第1の情報として、アクセスする利用者、アクセスされる時間、アクセス種別もしくはアクセス方法に関する情報を含む、または、第2の情報として、データ自体もしくはデータの格納場所に関する情報を含む
    請求項1に記載の情報処理装置。
  3. アクセス情報は、アクセスする利用者に関する情報として、当該利用者が生成したテキストに関する情報もしくは当該利用者が所定のデータに対して行ったアクセス行動に関する統計値を含む、または、データ自体に関する情報として、当該データの内容に関する情報もしくは当該データに対して行われたアクセス行動に関する統計値を含む
    請求項2に記載の情報処理装置。
  4. アクセス情報と、前記アクセス情報が示すデータアクセス行動が不審行動であるか否かを示す情報とを学習データに用いて、機械学習によりアクセス行動モデルを生成する学習手段を備えた
    請求項1から請求項3のうちのいずれか1項に記載の情報処理装置。
  5. ファイルサーバによって管理されているファイルを、対象データとする情報処理装置であって、
    モデル記憶手段は、所定のファイルに対するアクセス履歴に含まれるアクセス行動のうち指定された期間におけるアクセス行動に関するアクセス情報と、前記アクセス行動が不審行動か否かを判別可能な情報とを用いて機械学習されたアクセス行動モデルを記憶する
    請求項1から請求項4のうちのいずれか1項に記載の情報処理装置。
  6. アクセス情報から、各々が多次元の数値からなる2以上の数値ベクトルを生成する数値ベクトル生成手段を備え、
    モデル記憶手段は、前記2以上の数値ベクトルの組と、不審行動または正常行動との関係を示すアクセス行動モデルとの関係を示すアクセス行動モデルを記憶し、
    判定手段は、前記アクセス行動モデルを用いて算出される、指定されたアクセス情報から生成される2以上の数値ベクトルの組に対する不審行動または正常行動の確度に基づいて、前記アクセス情報によって示されるデータアクセス行動が不審行動であるか否かを判定する
    請求項1から請求項5のうちのいずれか1項に記載の情報処理装置。
  7. 数値ベクトル生成手段として、
    アクセス情報に含まれる第1情報から、多次元の数値からなる第1数値ベクトルを生成する第1数値ベクトル生成手段と、
    アクセス情報に含まれる第2情報から、多次元の数値からなる第2数値ベクトルを生成する第2数値ベクトル生成手段とを備え、
    モデル記憶手段は、前記第1数値ベクトルと前記第2数値ベクトルとの組と、不審行動または正常行動との関係を示すアクセス行動モデルを記憶し、
    判定手段は、前記アクセス行動モデルを用いて算出される、指定されたアクセス情報に含まれる第1情報および第2情報から生成される前記第1数値ベクトルと前記第2数値ベクトルの組に対する不審行動または正常行動の確度に基づいて、前記アクセス情報によって示されるデータアクセス行動が不審行動であるか否かを判定する
    請求項6に記載の情報処理装置。
  8. アクセス行動モデルに基づいて、不審行動に該当するアクセス行動が行われる危険性があるデータを予測する危険データ予測手段を備えた
    請求項1から請求項7のうちのいずれか1項に記載の情報処理装置。
  9. アクセス行動モデルに基づいて、不審行動に該当するデータアクセス行動を行う危険性がある利用者を予測する危険利用者予測手段を備えた
    請求項1から請求項8のうちのいずれか1項に記載の情報処理装置。
  10. 判定手段による判定結果に基づいて、アクセス権限を変更するアクセス権限変更手段を備えた
    請求項1から請求項9のうちのいずれか1項に記載の情報処理装置。
  11. 判定手段による判定結果を基に、実際に行われたデータアクセス行動から不審行動を検知する不審行動検知手段と、
    不審行動が検知されると、管理者に通知を行う通知手段とを備えた
    請求項1から請求項10のうちのいずれか1項に記載の情報処理装置。
  12. データに対する利用者の行動であるデータアクセス行動に関するアクセス情報であって、データにアクセスする利用者に由来する第1の情報と、アクセスされるデータに由来する第2の情報とを含むアクセス情報と、前記アクセス情報が示すデータアクセス行動が不審行動か否かを判別可能な情報とを学習データに用いて、機械学習により、任意のアクセス情報と不審行動または正常行動との関係を示すアクセス行動モデルを生成する学習手段と、
    前記アクセス行動モデルを記憶するモデル記憶手段と、
    前記アクセス行動モデルに基づいて、任意のデータアクセス行動が不審行動であるかか否かを判定する判定手段と、
    前記判定結果を基に、実際に行われたデータアクセス行動から不審行動を検知する不審行動検知手段とを備えた
    ことを特徴とする不審行動検知システム。
  13. 情報処理装置が、データに対する利用者の行動であるデータアクセス行動に関するアクセス情報であって、データにアクセスする利用者に由来する第1の情報と、アクセスされるデータに由来する第2の情報とを含むアクセス情報と、不審行動または正常行動との関係を示すアクセス行動モデルに基づいて、任意のデータアクセス行動が不審行動であるか否かを判定する
    ことを特徴とする不審行動検知方法。
  14. コンピュータに、
    データに対する利用者の行動であるデータアクセス行動に関するアクセス情報であって、データにアクセスする利用者に由来する第1の情報と、アクセスされるデータに由来する第2の情報とを含むアクセス情報と、不審行動または正常行動との関係を示すアクセス行動モデルに基づいて、任意のデータアクセス行動が不審行動であるか否かを判定させる処理
    を実行させるための不審行動検知プログラム。
JP2017545169A 2015-10-13 2016-10-05 情報処理装置 Active JP6508353B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2015202280 2015-10-13
JP2015202280 2015-10-13
PCT/JP2016/079637 WO2017065070A1 (ja) 2015-10-13 2016-10-05 不審行動検知システム、情報処理装置、方法およびプログラム

Publications (2)

Publication Number Publication Date
JPWO2017065070A1 true JPWO2017065070A1 (ja) 2018-08-16
JP6508353B2 JP6508353B2 (ja) 2019-05-08

Family

ID=58518146

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017545169A Active JP6508353B2 (ja) 2015-10-13 2016-10-05 情報処理装置

Country Status (3)

Country Link
US (1) US20180293377A1 (ja)
JP (1) JP6508353B2 (ja)
WO (1) WO2017065070A1 (ja)

Families Citing this family (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10438277B1 (en) * 2014-12-23 2019-10-08 Amazon Technologies, Inc. Determining an item involved in an event
US10715533B2 (en) * 2016-07-26 2020-07-14 Microsoft Technology Licensing, Llc. Remediation for ransomware attacks on cloud drive folders
US10628585B2 (en) 2017-01-23 2020-04-21 Microsoft Technology Licensing, Llc Ransomware resilient databases
US10701094B2 (en) 2017-06-22 2020-06-30 Oracle International Corporation Techniques for monitoring privileged users and detecting anomalous activities in a computing environment
CN108197444A (zh) * 2018-01-23 2018-06-22 北京百度网讯科技有限公司 一种分布式环境下的权限管理方法、装置及服务器
US10592145B2 (en) 2018-02-14 2020-03-17 Commvault Systems, Inc. Machine learning-based data object storage
DE112018007100B4 (de) * 2018-03-20 2024-02-01 Mitsubishi Electric Corporation Anzeigevorrichtung, anzeigesystem und verfahren zum erzeugen einer displayanzeige
US11238366B2 (en) 2018-05-10 2022-02-01 International Business Machines Corporation Adaptive object modeling and differential data ingestion for machine learning
US11271939B2 (en) * 2018-07-31 2022-03-08 Splunk Inc. Facilitating detection of suspicious access to resources
CN110909355B (zh) * 2018-09-17 2024-07-16 京东科技控股股份有限公司 越权漏洞检测方法、系统、电子设备和介质
JP7249125B2 (ja) * 2018-10-17 2023-03-30 日本電信電話株式会社 データ処理装置、データ処理方法及びデータ処理プログラム
US11201871B2 (en) * 2018-12-19 2021-12-14 Uber Technologies, Inc. Dynamically adjusting access policies
CN109918899A (zh) * 2019-01-23 2019-06-21 平安科技(深圳)有限公司 服务器、员工泄露企业信息的预测方法及存储介质
US11469878B2 (en) * 2019-01-28 2022-10-11 The Toronto-Dominion Bank Homomorphic computations on encrypted data within a distributed computing environment
US11297078B2 (en) * 2019-02-28 2022-04-05 Paypal, Inc. Cybersecurity detection and mitigation system using machine learning and advanced data correlation
CN111651753A (zh) * 2019-03-04 2020-09-11 顺丰科技有限公司 用户行为分析系统及方法
CN110162982B (zh) * 2019-04-19 2024-06-04 中国平安人寿保险股份有限公司 检测非法权限的方法及装置、存储介质、电子设备
CN110222504B (zh) * 2019-05-21 2024-02-13 平安银行股份有限公司 用户操作的监控方法、装置、终端设备及介质
CN110321694B (zh) * 2019-05-22 2024-08-23 中国平安人寿保险股份有限公司 基于标签更新系统的操作权限分配方法及相关设备
JP7578107B2 (ja) * 2019-09-25 2024-11-06 日本電気株式会社 物品管理装置、物品管理システム、物品管理方法及び記録媒体
CN112765598A (zh) * 2019-10-21 2021-05-07 中国移动通信集团重庆有限公司 识别异常操作指令的方法、装置及设备
US11438354B2 (en) * 2019-11-04 2022-09-06 Verizon Patent And Licensing Inc. Systems and methods for utilizing machine learning models to detect cloud-based network access anomalies
WO2021130991A1 (ja) * 2019-12-26 2021-07-01 楽天グループ株式会社 不正検知システム、不正検知方法、及びプログラム
US12217256B2 (en) * 2020-10-07 2025-02-04 International Business Machines Corporation Scaling transactions with signal analysis
CN112491872A (zh) * 2020-11-25 2021-03-12 国网辽宁省电力有限公司信息通信分公司 一种基于设备画像的异常网络访问行为检测方法和系统
CN115129678A (zh) * 2021-03-25 2022-09-30 北京沃东天骏信息技术有限公司 一种异常访问检测方法和装置
US11785025B2 (en) 2021-04-15 2023-10-10 Bank Of America Corporation Threat detection within information systems
US12028363B2 (en) 2021-04-15 2024-07-02 Bank Of America Corporation Detecting bad actors within information systems
US11930025B2 (en) * 2021-04-15 2024-03-12 Bank Of America Corporation Threat detection and prevention for information systems
US11561978B2 (en) 2021-06-29 2023-01-24 Commvault Systems, Inc. Intelligent cache management for mounted snapshots based on a behavior model
CN113763616B (zh) * 2021-08-20 2023-03-28 太原市高远时代科技有限公司 一种基于多传感器的无感安全型户外机箱门禁系统及方法
JP7397841B2 (ja) 2021-11-09 2023-12-13 ソフトバンク株式会社 サーバ、ユーザ端末、システム、及びアクセス制御方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000148276A (ja) * 1998-11-05 2000-05-26 Fujitsu Ltd セキュリティ監視装置,セキュリティ監視方法およびセキュリティ監視用プログラム記録媒体
JP2004312083A (ja) * 2003-04-02 2004-11-04 Kddi Corp 学習データ作成装置、侵入検知システムおよびプログラム
JP2005190066A (ja) * 2003-12-25 2005-07-14 Hitachi Ltd 情報管理システム、情報管理サーバ、情報管理システムの制御方法、及び、プログラム
JP2008158959A (ja) * 2006-12-26 2008-07-10 Sky Kk 端末監視サーバと端末監視プログラムとデータ処理端末とデータ処理端末プログラム
JP2010009239A (ja) * 2008-06-25 2010-01-14 Kansai Electric Power Co Inc:The 情報漏洩予測方法
JP2011138298A (ja) * 2009-12-28 2011-07-14 Ntt Data Corp アクセス制御設定装置、方法及びコンピュータプログラム

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8793790B2 (en) * 2011-10-11 2014-07-29 Honeywell International Inc. System and method for insider threat detection
US9672374B2 (en) * 2012-10-19 2017-06-06 Mcafee, Inc. Secure disk access control
US9563771B2 (en) * 2014-01-22 2017-02-07 Object Security LTD Automated and adaptive model-driven security system and method for operating the same
JP6098600B2 (ja) * 2014-09-18 2017-03-22 日本電気株式会社 評価対象者の評価装置、評価方法及び評価システム
US10412106B2 (en) * 2015-03-02 2019-09-10 Verizon Patent And Licensing Inc. Network threat detection and management system based on user behavior information
US20190311367A1 (en) * 2015-06-20 2019-10-10 Quantiply Corporation System and method for using a data genome to identify suspicious financial transactions
US20190259033A1 (en) * 2015-06-20 2019-08-22 Quantiply Corporation System and method for using a data genome to identify suspicious financial transactions
US20170024660A1 (en) * 2015-07-23 2017-01-26 Qualcomm Incorporated Methods and Systems for Using an Expectation-Maximization (EM) Machine Learning Framework for Behavior-Based Analysis of Device Behaviors

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000148276A (ja) * 1998-11-05 2000-05-26 Fujitsu Ltd セキュリティ監視装置,セキュリティ監視方法およびセキュリティ監視用プログラム記録媒体
JP2004312083A (ja) * 2003-04-02 2004-11-04 Kddi Corp 学習データ作成装置、侵入検知システムおよびプログラム
JP2005190066A (ja) * 2003-12-25 2005-07-14 Hitachi Ltd 情報管理システム、情報管理サーバ、情報管理システムの制御方法、及び、プログラム
JP2008158959A (ja) * 2006-12-26 2008-07-10 Sky Kk 端末監視サーバと端末監視プログラムとデータ処理端末とデータ処理端末プログラム
JP2010009239A (ja) * 2008-06-25 2010-01-14 Kansai Electric Power Co Inc:The 情報漏洩予測方法
JP2011138298A (ja) * 2009-12-28 2011-07-14 Ntt Data Corp アクセス制御設定装置、方法及びコンピュータプログラム

Also Published As

Publication number Publication date
JP6508353B2 (ja) 2019-05-08
US20180293377A1 (en) 2018-10-11
WO2017065070A1 (ja) 2017-04-20

Similar Documents

Publication Publication Date Title
WO2017065070A1 (ja) 不審行動検知システム、情報処理装置、方法およびプログラム
US11295034B2 (en) System and methods for privacy management
CN110399925B (zh) 账号的风险识别方法、装置及存储介质
JP6888109B2 (ja) インテリジェントセキュリティ管理
CN108229963B (zh) 用户操作行为的风险识别方法及装置
CN101751535B (zh) 通过应用程序数据访问分类进行的数据损失保护
US11671435B2 (en) Process for automated investigation of flagged users based upon previously collected data and automated observation on a go-forward basis
CN118487879B (zh) 企业服务平台的全流程入侵风险检测方法及系统
Singh et al. User behaviour based insider threat detection in critical infrastructures
CN109388949B (zh) 一种数据安全集中管控方法和系统
CN111988327A (zh) 威胁行为检测和模型建立方法、装置、电子设备及存储介质
CN115189963A (zh) 异常行为检测方法、装置、计算机设备及可读存储介质
CN116702229B (zh) 一种安全屋信息安全管控方法及系统
Mihailescu et al. Unveiling threats: Leveraging user behavior analysis for enhanced cybersecurity
KR102433233B1 (ko) 보안 규제 준수 자동화 장치
CN116881962B (zh) 一种安全监控系统、方法、装置和存储介质
JP7033560B2 (ja) 分析装置および分析方法
Al-Sanjary et al. Challenges on digital cyber-security and network forensics: a survey
CN110059480A (zh) 网络攻击行为监控方法、装置、计算机设备及存储介质
CN116662987A (zh) 业务系统监控方法、装置、计算机设备及存储介质
CN116389148A (zh) 一种基于人工智能的网络安全态势预测系统
CN117009832A (zh) 异常命令的检测方法、装置、电子设备及存储介质
Zytniewski et al. Software agents supporting the security of IT systems handling personal information
Bo et al. Tom: A threat operating model for early warning of cyber security threats
CN110365642B (zh) 监控信息操作的方法、装置、计算机设备及存储介质

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180404

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180404

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181030

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181227

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190305

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190318

R150 Certificate of patent or registration of utility model

Ref document number: 6508353

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150