特許ウォッチ

公開番号2024152317
公報種別公開特許公報(A)
公開日2024-10-25
出願番号2023066438
出願日2023-04-14
発明の名称不正アクセス検出装置及び方法
出願人株式会社日立製作所
代理人弁理士法人サンネクスト国際特許事務所
主分類G06F 21/60 20130101AFI20241018BHJP(計算;計数)
要約【課題】一時昇格されたアクセス権限の範囲でのアクセスが不正アクセスとして検出される可能性を低減する。
【解決手段】不正アクセス検出装置が、システムに対してされた昇格アクセス作業(一時昇格されたアクセス権限の範囲での操作)に関する昇格アクセス管理データを記憶装置に格納する。操作ログのソースである操作ログソースには、システムに対する昇格アクセス作業としての操作の操作ログが、昇格アクセス作業以外の操作の操作ログと同様に蓄積されるようになっている。不正アクセス検出装置は、操作ログソースから操作履歴(一つ以上の操作ログ)を取得し、操作履歴から特定される操作が昇格アクセス管理データから特定される操作に適合しない不正アクセスとしての操作であるか否かの判定である対処要否判定を行い、対処要否判定の結果を提供する。
【選択図】図1

特許請求の範囲【請求項１】
操作ログソースと通信可能に接続されるインターフェース装置と、
記憶装置と、
前記インターフェース装置及び記憶装置に接続されたプロセッサと
を備え、
前記操作ログソースは、ユーザにより操作対象システムに対してされた操作の操作ログのソースであり、
前記プロセッサは、前記操作対象システムに対してされた昇格アクセス作業に関するデータである昇格アクセス管理データを前記記憶装置に格納するようになっており、
前記昇格アクセス作業は、一時昇格されたアクセス権限の範囲での操作であり、
前記操作ログソースには、前記操作対象システムに対する前記昇格アクセス作業としての操作の操作ログが、昇格アクセス作業以外の操作の操作ログと同様に蓄積されるようになっており、
前記プロセッサは、
前記操作ログソースから一つ以上の操作ログである操作履歴を取得し、当該操作履歴を前記記憶装置に格納し、
前記記憶装置から昇格アクセス管理データを取得し、
前記操作履歴から特定される操作が前記昇格アクセス管理データから特定される操作に適合しない不正アクセスとしての操作であるか否かの判定である対処要否判定を行い、
前記対処要否判定の結果を提供する、
不正アクセス検出装置。
続きを表示（約 2,600 文字）【請求項２】
前記昇格アクセス管理データは、前記昇格アクセス作業がされた時間範囲と、前記昇格アクセス作業を行ったユーザのアカウントＩＤと、前記操作対象システムのうちの前記昇格アクセス作業の対象としてのアクセス元及びアクセス先と、前記昇格アクセス作業としての操作に対応のイベント種別とのうちの少なくとも一つを表すデータを含み、
前記操作履歴における一つ以上の操作ログの各々は、操作がされた時刻と、操作を行ったユーザのアカウントＩＤと、前記操作対象システムのうちの操作対象としてのアクセス先と、操作に対応のイベント種別とのうちの少なくとも一つを表すデータを含み、
前記対処要否判定は、前記操作履歴が表す時間と前記昇格アクセス管理データが表す時間範囲との比較、前記操作履歴が表すアクセス元と前記昇格アクセス管理データが表すアクセス元との比較、前記操作履歴が表すアクセス先と前記昇格アクセス管理データが表すアクセス先との比較、前記操作履歴が表すアカウントＩＤと前記昇格アクセス管理データが表すアカウントＩＤとの比較、及び、前記操作履歴が表すイベント種別と前記昇格アクセス管理データが表すイベント種別との比較、のうちの少なくとも一つの比較を含み、
前記対処要否判定の結果は、前記操作履歴が表す時間が前記時間範囲から外れた時間である、アカウントＩＤが不一致である、互いに一致するアクセス先が無い、及び、互いに一致するイベント種別が無い、のうちの少なくとも一つの場合に、不正アクセスを表す結果である、
請求項１に記載の不正アクセス検出装置。
【請求項３】
前記インターフェース装置は、リアルタイムでセキュリティイベントを検知するイベント管理システムと通信可能に接続され、
前記プロセッサは、
前記イベント管理システムにより検知されたセキュリティイベントを表すデータであるイベントデータを、前記インターフェース装置を通じて受信し、当該イベントデータを前記記憶装置に格納し、
前記操作履歴として、前記イベントデータが表すセキュリティイベントに対応の操作の操作ログを含む一つ以上の操作ログを前記操作ログソースから取得し、
前記対処要否判定の結果を、前記記憶装置におけるイベントデータに関連付ける、
請求項１に記載の不正アクセス検出装置。
【請求項４】
前記プロセッサは、
定期的に、又は、前回の対処要否判定のために操作履歴が取得されてから前記操作ログソースに一定量以上の操作ログが蓄積された場合に、前記操作ログソースから操作履歴を取得し、
前記対処要否判定の結果を、前記記憶装置における操作ログに関連付ける、
請求項１に記載の不正アクセス検出装置。
【請求項５】
一時昇格されたアクセス権限の範囲は、割り当てられたロールと、当該ロールに関連付けられそれぞれがイベント種別に対応する一つ又は複数のアクションを含み、
前記昇格アクセス管理データは、前記昇格アクセス作業としての操作に対応のイベント種別を表すデータを含み、
操作ログは、操作に対応のイベント種別を表すデータを含み、
前記プロセッサは、
同一のロールを含む一つ又は複数の昇格アクセス作業の昇格アクセス管理データから、イベント種別毎に、昇格アクセス作業の数をカウントし、
イベント種別毎のカウントされた昇格アクセス作業の数と、前記一時昇格されたアクセス権限の範囲におけるアクションとを比較する又は提供する、
請求項１に記載の不正アクセス検出装置。
【請求項６】
前記対処要否判定の結果の提供は、画面の提供であり、
前記画面は、前記対処要否判定の結果を表す情報と、前記操作履歴を表す情報と、前記昇格アクセス管理データが表す情報とを表示する画面である、
請求項１に記載の不正アクセス検出装置。
【請求項７】
前記記憶装置が、前記プロセッサにより実行される複数のワークフローを記憶し、
前記複数のワークフローは、昇格アクセス作業に関するワークフローである昇格アクセスワークフローと、前記対処要否判定が関連付けられているワークフローである判定ワークフローとを含み、
前記プロセッサは、前記昇格アクセスワークフローの実行において、昇格アクセス管理データを前記記憶装置に格納するようになっており、
前記プロセッサは、前記判定ワークフローの実行において、前記操作履歴の取得及び格納、前記昇格アクセス管理データの取得、前記対処要否判定、及び、前記対処要否判定の結果の提供を行うようになっている、
請求項１に記載の不正アクセス検出装置。
【請求項８】
前記操作対象システムは、クラウド環境におけるシステムであり、一つ又は複数のクラウドコンピューティングサービスを持つシステムである、
請求項１に記載の不正アクセス検出装置。
【請求項９】
コンピュータが、ユーザにより操作対象システムに対してされた昇格アクセス作業に関するデータである昇格アクセス管理データを記憶装置に格納し、
前記昇格アクセス作業は、一時昇格されたアクセス権限の範囲での操作であり、
ユーザにより操作対象システムに対してされた操作の操作ログのソースである操作ログソースには、前記操作対象システムに対する前記昇格アクセス作業としての操作の操作ログが、昇格アクセス作業以外の操作の操作ログと同様に蓄積されるようになっており、
コンピュータが、前記操作ログソースから一つ以上の操作ログである操作履歴を取得し、当該操作履歴を前記記憶装置に格納し、
コンピュータが、前記記憶装置から昇格アクセス管理データを取得し、
コンピュータが、前記操作履歴から特定される操作が前記昇格アクセス管理データから特定される操作に適合しない不正アクセスとしての操作であるか否かの判定である対処要否判定を行い、
コンピュータが、前記対処要否判定の結果を提供する、
不正アクセス検出方法。

発明の詳細な説明【技術分野】
【０００１】
本発明は、概して、不正アクセスの検出に関する。
続きを表示（約 1,500 文字）【背景技術】
【０００２】
クラウド環境（例えばパブリッククラウド環境）のシステムでは複数箇所を通じて不正にアクセスされる可能性がある。また、クラウド環境に限らず、不正アクセスは巧妙になっている。
【０００３】
特許文献１に開示の技術は、イベントから診断情報を取得し、イベント間の相関関係に基づいてグラフデータ構造を生成し、侵入者のトレースをトラッキングして、活動の様子を知る。
【０００４】
特許文献２に開示の技術は、リソースに関連付けられたアクセス権限を、リソース及び権限の属性に基づいてリスクの大きさをスコアリングする。
【先行技術文献】
【特許文献】
【０００５】
ＵＳ１０５２１５８４
ＵＳ１１３２３４７０
【発明の概要】
【発明が解決しようとする課題】
【０００６】
一時的にアクセス権限を昇格しその昇格したアクセス権限の範囲でのアクセスを許容する技術が知られている。
【０００７】
しかし、アクセス権限の昇格は一時的であるため、一時昇格されたアクセス権限の範囲での正当なアクセスが不正アクセスとして誤検出されることが増える可能性が考えられる。不正アクセスには確認や対処が必要なため、不正アクセスとの誤検出が増えると、確認や対処の負担が大きい。
【課題を解決するための手段】
【０００８】
不正アクセス検出装置が、ユーザにより操作対象システムに対してされた昇格アクセス作業（一時昇格されたアクセス権限の範囲での操作）に関するデータである昇格アクセス管理データを記憶装置に格納する。ユーザにより操作対象システムに対してされた操作の操作ログのソースである操作ログソースがあるが、操作ログソースには、操作対象システムに対する昇格アクセス作業としての操作の操作ログが、昇格アクセス作業以外の操作の操作ログと同様に蓄積されるようになっている。不正アクセス検出装置は、操作ログソースから一つ以上の操作ログである操作履歴を取得し、当該操作履歴を記憶装置に格納し、また、記憶装置から昇格アクセス管理データを取得する。不正アクセス検出装置は、操作履歴から特定される操作が昇格アクセス管理データから特定される操作に適合しない不正アクセスとしての操作であるか否かの判定である対処要否判定を行い、対処要否判定の結果を提供する。
【発明の効果】
【０００９】
本発明により、一時昇格されたアクセス権限の範囲でのアクセスが不正アクセスとして検出される可能性を低減することができる。
【図面の簡単な説明】
【００１０】
本発明の一実施形態に係る不正アクセス検出装置を含むシステム全体の構成図。
不正アクセス検出装置の構成図。
昇格アクセスワークフローの模式図。
イベントワークフローの模式図。
ログワークフローの模式図。
評価ワークフローの模式図。
構成テーブルの構成図。
権限テーブルの構成図。
実績テーブルの構成図。
イベントテーブルの構成図。
条件テーブルの構成図。
履歴テーブルの構成図。
作業テーブルの構成図。
予実績テーブルの構成図。
ワークフローログテーブルの構成図。
対処要否判定処理のフロー図。
使用実績収集処理のフロー図。
セキュリティイベント画面の模式図。
監査ログ画面の模式図。
アクセス権限画面の模式図。
【発明を実施するための形態】
（【００１１】以降は省略されています）

関連特許