特許ウォッチ

公開番号2025084496
公報種別公開特許公報(A)
公開日2025-06-03
出願番号2023198446
出願日2023-11-22
発明の名称内部不正検知装置、内部不正検知方法、及びプログラム
出願人三菱重工業株式会社
代理人個人,個人,個人,個人,個人
主分類G06N 20/00 20190101AFI20250527BHJP(計算;計数)
要約【課題】少量の学習データ及び学習期間にて、内部不正を検出することができる内部不正検知装置、内部不正検知方法、及びプログラムを提供する。
【解決手段】内部不正検知装置は、制御システムに関与する複数のユーザの操作履歴をまとめた行動情報を取得する取得部と、入力を行動情報のうちの一部の操作履歴とし、出力を一部の操作履歴に対する異常の判定結果として、複数のユーザの操作履歴の傾向から異常を判定するように機械学習された複数の学習モデルと、複数の学習モデルが出力した異常の判定結果を集計する集計部と、異常の判定結果の集計に基づいて、推定される内部不正を検出する検出部と、を備え、複数の学習モデルにおいて、各学習モデルに入力される一部の操作履歴は、それぞれ異なる。
【選択図】図1
特許請求の範囲【請求項１】
制御システムに関与する複数のユーザの操作履歴をまとめた行動情報を取得する取得部と、
入力を前記行動情報のうちの一部の操作履歴とし、出力を前記一部の操作履歴に対する異常の判定結果として、前記複数のユーザの前記操作履歴の傾向から前記異常を判定するように機械学習された複数の学習モデルと、
前記複数の学習モデルが出力した前記異常の判定結果を集計する集計部と、
前記異常の判定結果の集計に基づいて、推定される内部不正を検出する検出部と、
を備え、
前記複数の学習モデルにおいて、各学習モデルに入力される前記一部の操作履歴は、それぞれ異なる
内部不正検知装置。
続きを表示（約 960 文字）【請求項２】
前記複数の学習モデルにおいて、各学習モデルの学習期間は、互いに一部あるいはすべてが異なる
請求項１に記載の内部不正検知装置。
【請求項３】
前記一部の操作履歴は、イベントログ又はｍｅｔｒｉｃ情報の少なくとも１つを含む
請求項１又は請求項２に記載の内部不正検知装置。
【請求項４】
前記学習モデルの学習手法は、教師無し学習である
請求項１又は請求項２に記載の内部不正検知装置。
【請求項５】
前記学習モデルの機械学習には、ユーザを特定する情報を含まない複数ユーザの操作履歴を用いる
請求項１又は請求項２に記載の内部不正検知装置。
【請求項６】
制御システムに関与する複数のユーザの操作履歴をまとめた行動情報を取得するステップと、
入力を前記行動情報のうちの一部の操作履歴とし、出力を前記一部の操作履歴に対する異常の判定結果として、前記複数のユーザの前記操作履歴の傾向から前記異常を判定するように機械学習された複数の学習モデルを用いて、
前記複数の学習モデルが出力した前記異常の判定結果を集計するステップと、
前記異常の判定結果の集計に基づいて、推定される内部不正を検出するステップと、
を含み、
前記複数の学習モデルにおいて、各学習モデルに入力される前記一部の操作履歴は、それぞれ異なる
内部不正検知方法。
【請求項７】
制御システムに関与する複数のユーザの操作履歴をまとめた行動情報を取得するステップと、
入力を前記行動情報のうちの一部の操作履歴とし、出力を前記一部の操作履歴に対する異常の判定結果として、前記複数のユーザの前記操作履歴の傾向から前記異常を判定するように機械学習された複数の学習モデルを用いて、
前記複数の学習モデルが出力した前記異常の判定結果を集計するステップと、
前記異常の判定結果の集計に基づいて、推定される内部不正を検出するステップと、
をコンピュータに実行させ、
前記複数の学習モデルにおいて、各学習モデルに入力される前記一部の操作履歴は、それぞれ異なる
プログラム。

発明の詳細な説明【技術分野】
【０００１】
本開示は、内部不正検知装置、内部不正検知方法、及びプログラムに関する。
続きを表示（約 2,000 文字）【背景技術】
【０００２】
内部犯による不正行為（内部不正）を検知するシステムとして、ＵＥＢＡ（Ｕｓｅｒ＆ＥｎｔｉｔｙＢｅｈａｖｉｏｒＡｎａｌｙｓｉｓ）を用いることが知られている。
【０００３】
例えば、ＵＥＢＡでは、各端末で生成される各種イベントログが蓄積されたデータを用いて、機械学習が行われている。これにより、ＵＥＢＡは、内部犯による不正行為（電子資料の持ち出し、業務妨害目的のＰＣ設定の変更など）を、通常と異なる振る舞いとして検出することができ、検出時にはアラートを上げてユーザに通知を行うこともできる。
なお、ここでは周知である通常のＵＥＢＡを従来技術としているため、関連する特許文献として個別具体的なものは挙げていない。
【発明の概要】
【発明が解決しようとする課題】
【０００４】
通常のＵＥＢＡは、大量のユーザ端末あるいは機器により構成されたＩＴ（ＩｎｆｏｒｍａｔｉｏｎＴｅｃｈｎｏｌｏｇｙ）システムを想定したツールとなっており、その構成のために大量の学習データ及び学習期間を要する。これにより、ＵＥＢＡの有する学習モデルは、ユーザの通常の振る舞いが多数学習され、精度良く内部不正行為を検出することができる。
しかしながら、工場やプラントなどの制御機器等を運用するＯＴ（ＯｐｅｒａｔｉｏｎａｌＴｅｃｈｎｏｌｏｇｙ）システムにおいてはＩＴと比較してユーザ端末や接続機器などの構成機器が少なく少量の学習データ及び学習期間にて、内部不正を検出することが求められることが多い。
【０００５】
本開示の目的は、上述した課題を解決する内部不正検知装置、内部不正検知方法、及びプログラムを提供することにある。
【課題を解決するための手段】
【０００６】
本開示の内部不正検知装置は、制御システムに関与する複数のユーザの操作履歴をまとめた行動情報を取得する取得部と、入力を前記行動情報のうちの一部の操作履歴とし、出力を前記一部の操作履歴に対する異常の判定結果として、前記複数のユーザの前記操作履歴の傾向から前記異常を判定するように機械学習された複数の学習モデルと、前記複数の学習モデルが出力した前記異常の判定結果を集計する集計部と、前記異常の判定結果の集計に基づいて、推定される内部不正を検出する検出部と、を備え、前記複数の学習モデルにおいて、各学習モデルに入力される前記一部の操作履歴は、それぞれ異なる。
【０００７】
本開示の内部不正検知方法は、制御システムに関与する複数のユーザの操作履歴をまとめた行動情報を取得するステップと、入力を前記行動情報のうちの一部の操作履歴とし、出力を前記一部の操作履歴に対する異常の判定結果として、前記複数のユーザの前記操作履歴の傾向から前記異常を判定するように機械学習された複数の学習モデルを用いて、前記複数の学習モデルが出力した前記異常の判定結果を集計するステップと、前記異常の判定結果の集計に基づいて、推定される内部不正を検出するステップと、を含み、前記複数の学習モデルにおいて、各学習モデルに入力される前記一部の操作履歴は、それぞれ異なる。
【０００８】
本開示のプログラムは、制御システムに関与する複数のユーザの操作履歴をまとめた行動情報を取得するステップと、入力を前記行動情報のうちの一部の操作履歴とし、出力を前記一部の操作履歴に対する異常の判定結果として、前記複数のユーザの前記操作履歴の傾向から前記異常を判定するように機械学習された複数の学習モデルを用いて、前記複数の学習モデルが出力した前記異常の判定結果を集計するステップと、前記異常の判定結果の集計に基づいて、推定される内部不正を検出するステップと、をコンピュータに実行させ、前記複数の学習モデルにおいて、各学習モデルに入力される前記一部の操作履歴は、それぞれ異なる。
【発明の効果】
【０００９】
本開示に係る、内部不正検知装置、内部不正検知方法、及びプログラムによれば、少量の学習データ及び学習期間にて、内部不正を検出することができる。
【図面の簡単な説明】
【００１０】
第一実施形態に係る内部性検知システムの概略図である。
第一実施形態に係る内部不正検知方法の処理の一部Ｉである。
第一実施形態に係る内部不正検知方法の処理の一部ＩＩである。
第一実施形態に係る内部不正検知方法の処理の一部ＩＩＩである。
第一実施形態に係る内部不正検知方法の処理の一部ＩＶである。
第一実施形態に係る内部不正検知方法のフローチャートである。
本開示に係るコンピュータの構成を示すハードウェア構成図である。
【発明を実施するための形態】
（【００１１】以降は省略されています）

関連特許