図面 (/)

技術 安全性判定装置、安全性判定プログラムおよび安全性判定方法

出願人 富士通株式会社
発明者 片山佳則寺田剛陽鳥居悟津田宏
出願日 2016年2月4日 (5年3ヶ月経過) 出願番号 2016-020299
公開日 2017年8月10日 (3年9ヶ月経過) 公開番号 2017-138860
状態 特許登録済
技術分野 計算機間の情報転送 デジタル計算機の表示出力 ストアードプログラムにおける機密保護
主要キーワード 操作論理 キャンセル率 接続モニタ アクセス中止 キャンセル回数 Y座標 ドライブタイプ ゴミ箱内
関連する未来課題
重要な関連分野

この項目の情報は公開日時点(2017年8月10日)のものです。
また、この項目は機械的に抽出しているため、正しく解析できていない場合があります

図面 (12)

課題

解決手段

ユーザ操作および該ユーザ操作のアクセス対象の情報を取得する手段と、前記ユーザ操作を分析して、前記アクセス対象ごとに未然のアクセス行動を示す情報を取得する手段と、前記未然のアクセス行動の対象となった前記アクセス対象の安全性に関する情報を利用者に提供する手段と、を備える。

概要

背景

メールの本文に埋め込まれたURL(Uniform Resource Locator)リンクを選択させて不正なサイト誘導したり、不正な添付ファイルを開かせたりすることで、コンピュータウイルスに感染させる等の被害を与えるサイバー攻撃が増えている。

従来は、ブラックリスト(怪しい対象を予め登録)やホワイトリスト(安全な対象を予め登録)を用いてアクセスの安全性を判定するものや、レピュテーション機能を持たせるものがある。レピュテーション機能は、アクセス対象の評価を提供するものであり(例えば、特許文献1等を参照)、ネット上の購買行動検索行動に関して似た行動をとった他の利用者の行動を先回りして案内するサービスにも用いられている。これらは、これまでに実際にアクセスした人の情報を活用している。

また、メールのセキュリティ対策についての技術が開示されている(特許文献2〜4等を参照)。

概要

ネットワークセキュリティを向上する。ユーザ操作および該ユーザ操作のアクセス対象の情報を取得する手段と、前記ユーザ操作を分析して、前記アクセス対象ごとに未然のアクセス行動を示す情報を取得する手段と、前記未然のアクセス行動の対象となった前記アクセス対象の安全性に関する情報を利用者に提供する手段と、を備える。

目的

そこで、開示の形態は、一側面では、ネットワークセキュリティを向上することを目的とする

効果

実績

技術文献被引用数
0件
牽制数
1件

この技術が所属する分野

ライセンス契約や譲渡などの可能性がある特許掲載中! 開放特許随時追加・更新中 詳しくはこちら

請求項1

ユーザ操作および該ユーザ操作のアクセス対象の情報を取得する手段と、前記ユーザ操作を分析して、前記アクセス対象ごとに未然のアクセス行動を示す情報を取得する手段と、前記未然のアクセス行動の対象となった前記アクセス対象の安全性に関する情報を利用者に提供する手段と、を備えたことを特徴とする安全性判定装置

請求項2

URLリンクマウスオーバが行われた後にアクセスを回避する行動が行われた場合、または、URLリンクがマウスクリックされた後にアクセスを中断または中止する行動が行われた場合に、アクセス対象であるURLリンクについて未然のアクセスが行われたとする、ことを特徴とする請求項1に記載の安全性判定装置。

請求項3

添付ファイルアイコンにマウスオーバが行われた後にアクセスを回避する行動が行われた場合、または、添付ファイルのアイコンがマウスクリックされた後にアクセスを中断または中止する行動が行われた場合に、アクセス対象である添付ファイルについて未然のアクセスが行われたとする、ことを特徴とする請求項1または2に記載の安全性判定装置。

請求項4

アラートポリシで規定された条件およびアラートの内容に従って前記アクセス対象の安全性に関する情報を利用者に提供する、ことを特徴とする請求項1乃至3のいずれか一項に記載の安全性判定装置。

請求項5

ユーザ操作および該ユーザ操作のアクセス対象の情報を取得し、前記ユーザ操作を分析して、前記アクセス対象ごとに未然のアクセス行動を示す情報を取得し、前記未然のアクセス行動の対象となった前記アクセス対象の安全性に関する情報を利用者に提供する、処理をコンピュータに実行させることを特徴とする安全性判定プログラム

請求項6

ユーザ操作および該ユーザ操作のアクセス対象の情報を取得し、前記ユーザ操作を分析して、前記アクセス対象ごとに未然のアクセス行動を示す情報を取得し、前記未然のアクセス行動の対象となった前記アクセス対象の安全性に関する情報を利用者に提供する、処理をコンピュータが実行することを特徴とする安全性判定方法

技術分野

0001

本発明は、安全性判定装置、安全性判定プログラムおよび安全性判定方法に関する。

背景技術

0002

メールの本文に埋め込まれたURL(Uniform Resource Locator)リンクを選択させて不正なサイト誘導したり、不正な添付ファイルを開かせたりすることで、コンピュータウイルスに感染させる等の被害を与えるサイバー攻撃が増えている。

0003

従来は、ブラックリスト(怪しい対象を予め登録)やホワイトリスト(安全な対象を予め登録)を用いてアクセスの安全性を判定するものや、レピュテーション機能を持たせるものがある。レピュテーション機能は、アクセス対象の評価を提供するものであり(例えば、特許文献1等を参照)、ネット上の購買行動検索行動に関して似た行動をとった他の利用者の行動を先回りして案内するサービスにも用いられている。これらは、これまでに実際にアクセスした人の情報を活用している。

0004

また、メールのセキュリティ対策についての技術が開示されている(特許文献2〜4等を参照)。

先行技術

0005

特表2011−527046号公報
特開2006−270504号公報
WO2014/087597
特開2013−137745号公報

発明が解決しようとする課題

0006

上述したように、従来はこれまでに実際にアクセスした人の情報を活用してアクセス対象の安全性を判定することを基本とするものであるため、まだ誰も実際にアクセスしていない新規URLリンクや添付ファイルについては、安全性を判定できないという問題があった。すなわち、新規のURLやアクセスしたことがないURLなどの場合にはその登録情報はなく、登録情報に基づいて判定を行うことはできない。そのため、利用者が関係する他の情報、例えばドメイン情報や関係する他の検索情報などを詳細にチェックして判断するか、あるいは、単純にアクセスしないなどの結果に落ち着かせることになり、適切にネットワークセキュリティを維持することが困難であった。

0007

そこで、開示の形態は、一側面では、ネットワークセキュリティを向上することを目的とする。

課題を解決するための手段

0008

開示の形態は、ユーザ操作および該ユーザ操作のアクセス対象の情報を取得する手段と、前記ユーザ操作を分析して、前記アクセス対象ごとに未然のアクセス行動を示す情報を取得する手段と、前記未然のアクセス行動の対象となった前記アクセス対象の安全性に関する情報を利用者に提供する手段と、を備える。

発明の効果

0009

ネットワークセキュリティを向上することができる。

図面の簡単な説明

0010

一実施形態にかかるシステムの構成例を示す図である。
情報収集にかかる機能構成例を示す図である。
情報提供にかかる機能構成例を示す図である。
種情報の例を示す図である。
端末装置およびサーバ装置ハードウェア構成例を示す図である。
キャンセル行動検出の例を示す図(その1)である。
キャンセル行動検出の例を示す図(その2)である。
キャンセル行動分析の処理例を示すフローチャートである。
注意喚起の処理例を示すフローチャートである。
注意喚起の例を示す図である。
情報提供の例を示す図である。

実施例

0011

以下、本発明の好適な実施形態につき説明する。

0012

<構成>
図1は一実施形態にかかるシステムの構成例を示す図である。図1において、複数の端末装置(PCクライアント)1A、1B、・・はインターネット等のネットワーク2に接続され、ネットワーク2にはネットワークセキュリティに関する情報を管理するサーバ装置3が接続されている。なお、端末装置1Aは利用者Aが使用し、端末装置1Bは利用者Bが使用することを想定している。

0013

図2は情報収集にかかる機能構成例を示す図である。図2において、端末装置1(1A、1B、・・)は、メーラ11x、メールチェックアプリ11y、Webブラウザ11z等の各種のアプリケーションプログラムにおいて情報を取得する情報取得アドイン2x、12y、12z等を備えている。メーラ11xは、メールの送受信を行うアプリケーションプログラムである。メールチェックアプリ11yは、メーラ11xの送受信するメールのチェックを行うアプリケーションプログラムである。Webブラウザ11zは、Webサイトにアクセスを行うアプリケーションプログラムである。メーラ11xにおいてメールの本文に埋め込まれたURLリンクが選択(クリック)された場合、Webブラウザ11zを介して、URLで指定されるWebサイトにアクセスが行われる。図示を省略してあるが、文書作成アプリ、表計算アプリ、プレゼンテーションアプリ等の、添付ファイルを開く場合に使用されるアプリケーションプログラムについても、同様に情報取得アドインが設けられる。

0014

また、端末装置1は、端末装置1のOS(Operating System)等からシステム情報ユーザ操作情報を取得するシステム情報・ユーザ操作情報取得部13を備えている。

0015

情報取得アドイン12x、12y、12z等とシステム情報・ユーザ操作情報取得部13により取得された情報は時系列に各種ログ14に保持される。

0016

なお、ユーザ操作情報は、操作対象としているコンテンツにアクセス対象となるものが含まれている場合には詳細に操作ログ(特にマウスの操作ログ)を取得するモードに変更し、通常は一定間隔でのマウスのクリック操作などを取得するのみとすることで、ログの大規模化や負荷の増大を極力減らすようにしている。

0017

メーラ11xから取得される情報は次のようなものを含む。
インバウンドログ(受信メールポリシチェック時に1レコード出力)>
アプリケーションバージョン番号
ポリシバージョン番号
・メッセージID
受信対象のうち何通目
・Fromドメインドメインリスト内有無
・Fromドメイン
・Senderドメイン
・Reply-Toドメイン
・Return-Pathドメイン
・Toドメイン
・Ccドメイン
・Received内のドメイン
・Received内のTimezone
・Receivedヘッダ内のIPにローカルIP以外が含まれるか
・Receivedヘッダ内のIPアドレス
・Date
・X-Mailer
・User-Agent
・X-Spam-FJ
・Content-Type
デフォルトルールチェック結果
・デフォルトルール非該当因子
・デフォルトルール該当因子
フィルタ該当因子
・MAC有無
MAC検証結果
初回受信(差出人学習リスト有無)
・学習チェック結果
・学習チェック該当因子
受信確認画面表示有無
・受信確認画面表示開始時間
・警告メッセージを全てチェックした回数
・(全てのボタンが押下できるようになった時の回数)
・警告メッセージを全てチェックした時間
・受信確認画面表示終了時間
・受信確認画面選択ボタン
送信者アドレス
・初回受信(受信ホワイトリスト有無)
送信者役職コード
メールサイズ
メール本文文字数
メール受信日時
・ポリシチェック開始時間
・ポリシチェック終了時間

0018

メールコンテンツログ(受信メールのポリシチェック時に1レコード出力)>
・受信メールヘッダ内のメッセージID
・メールをメールサーバから受信した日時
アイテムのタイプ(添付ファイルかURLリンクか)
アイテムタイプがURLリンクの場合の、URLドメイン名
・アイテムの名前
・アイテムのサイズ(URLリンクの場合は -1)
・コンテンツを含むメールの差出人ドメイン名
・アイテムに対する操作内容(受信メールポリシチェック時: CHECK、安全性確認前にオープンを行おうとした場合:BAD_OPEN、安全性確認後にオープンを行った場合: OPEN、安全性確認後にプレビューを行った場合:PREVIEW、Outlookよりメールを閲覧した場合:READ)

0019

メールヘッダログ(受信メールのポリシチェック時に1レコード出力、本ログはバイナリファイル)>
・1レコードのレコード長
・受信メールのメッセージID
・メールヘッダ領域のテキスト

0020

<受信ホワイトリスト(受信メールの差出人を安全とみなし学習した場合に1レコード出力(または既存レコードの更新))>
差出人メールアドレス(受信したメールのFROMアドレス
自動学習ホワイトリストで算出した重み
・受信回数

0021

<受信メール操作ログ(メーラでメールに返信転送操作を行う都度1レコード出力)>
イベント種別(差出人に返信/全員に返信/転送
・操作したメールが訓練メールであるか否か
・返信/転送元メールのMessageID
・返信/転送元メールがMLであるかどうか
・返信/転送元メールのスレッド位置
・作成したメールのEntryID(特定メール検索に使用)
・操作日時

0022

アウトバウンドログ(送信メールの送信、キャンセル確定時に1レコード出力)>
・アプリケーションバージョン番号
・ポリシバージョン番号
組織宛先件数
・組織外宛先件数
・添付ファイル数
違反したポリシ
・ポリシチェック後のアクション
画面表示時
・メール識別ID(メールID、IPアドレスなど)
・X-Mailer (存在しない場合は User-Agent)の内容
・EntryID
・Outlook プロセスID
・Outlookウィンドウハンドル
・件名なしチェック結果
・添付忘れチェック結果
・メールサイズ
・メール本文文字数
・添付ファイル確認操作
初回送信宛先数
・ポリシチェック開始時間
・ポリシチェック終了時間

0023

<送信ホワイトリスト(宛先を安全とみなし学習した場合に1レコード出力(または既存レコードの更新))>
送信先メールアドレス
・自動学習ホワイトリストで算出した重み
・送信回数

0024

<宛先ログ(受信メール、送信メールのポリシチェック時(送信キャンセル時は出力なし))>
・FROMアドレス(受信メール時は送信者のアドレス、送信メール時は自身のアドレス)
・受信/送信種別
・受信時:対応するメールのメッセージID、送信時:送信メールのエントリID
・BCC指定アドレス複数指定時はカンマ区切り
・CC指定アドレ ス(複数指定時はカンマ区切り)
TOC指定アドレス(複数指定時はカンマ区切り)

0025

<訓練メールログ(訓練メールに対する操作をする都度、1レコード出力)>
メール操作内容(ポリシチェック/返信/全員に返信/転送)
・操作したアイテムのタイプ(添付ファイル、URLリンク)
・操作したアイテムの名前
操作対象アイテム名のURL文字列中の、GUID部分を出力する
・訓練メールのメッセージID (メッセージ作成時にIDを生成)

0026

会議予定ログ(Outlook起動時、昨日までの未取得の情報について出力)>
・会議/予定種別
・会議依頼か自身が開催者か、受信した会議依頼か
・会議依頼の開催者(送信者)のメールアドレス
・会議依頼の必須出席者のメールアドレスをカンマ区切りで出力
・会議依頼の任意出席者のメールアドレスをカンマ区切りで出力
・会議依頼のリソースのメールアドレスをカンマ区切りで出力
・会議依頼の会議室のメールアドレスをカンマ区切りで出力
会議場所が組織内か組織外かを出力(会議室のメールアドレスにより判定)
・会議依頼の開始時刻
・会議依頼の終了時刻
終日の予定か否か
・会議依頼のアラームを出力
・会議依頼の重要度を出力
・会議依頼が非公開かを出力

0027

Webブラウザ11zから取得される情報は次のようなものを含む。
Webページ参照ログ(Webページ参照におけるページロード完了時に、1レコード生成)>
・閲覧/閲覧中フラグ(閲覧中止はFCAアドインが表示する表示確認画面でアクセス中止選択時)
・閲覧/中止理由(利用者による閲覧許可中止、ホワイトリストに含まれるドメイン、学習されているドメイン、Outlook以外からの操作、メールコンテンツに含まれないURLである、訓練メール中のURLである)
・IEのプロセスID
・WebサイトURLドメイン名
・閲覧したサイトのページタイトル文字
・WebサイトURL

0028

その他のアプリから取得される情報は次のようなものを含む。
<Office操作ログ(各Office系アプリ(Word/Excel/PowerPointk)の操作において、主要イベント検出時)>
操作アプリケーション名(Word/Excel/PowerPoint)
・開いたファイル
・開いたファイルのファイルパス
操作種別イベント名。Open/NewCreate/Save/Closeなど)

0029

OS等から取得されるユーザ操作情報は次のようなものを含む。
キー操作物理ログ(キーイベント発生の都度1レコード出力)>
・キー操作を行った際の、アクティブアプリのシーケンス番号
・プロセスID
アクティブウィンドウのウィンドウハンドル
・イベント種別(KeyDown: KD、 KeyUp: KU)
仮想キーコード(16進数)

0030

<キー操作論理ログ(キーダウンからキーアップまでを1くくりとし、1レコード出力)>
・キー操作を行った際の、アクティブアプリのシーケンス番号
・プロセスID
・アクティブウィンドウのウィンドウハンドル
・特殊入力(ショートカット操作、例えば Ctrl+C など)
・仮想キーコード(16進数)
・キーリピート時の回数
Ctrlキーを押下中か否か
Shiftキーを押下中か否か
Altキーを押下中か否か
・Windowsキー押下中か否か
・キーの入力し始めから、入力キー確定までの経過時間
・全キーが離された状態から、最初のキー入力開始までの時間 (=未入力時間)

0031

マウス操作ログ(マウスイベント発生の都度1レコード出力)>
・マウス操作を行った際の、アクティブアプリのシーケンス番号
・プロセスID
・アクティブウィンドウのウィンドウハンドル
・イベント種別(左・右・中央・その他の各ボタンのダウン/アップホイール操作マウス移動
マウスクリック時のコントロール
・マウスクリック時のコントロールに設定されているテキスト
イベント発生時のマウスカーソルX座標スクリーン座標系
・イベント発生時のマウスカーソルY座標(スクリーン座標系)
・クリックしたコントロールの左上X座標(スクリーン座標系)
・クリックしたコントロールの左上Y座標(スクリーン座標系)
・クリックしたコントロールの幅
・クリックしたコントロールの高さ
前回イベント発生座標と、今回座標の距離
・前回イベントから今回イベントまでの時間

0032

ファイル操作ログ(指定したファイルイベント拡張子に対し、1レコード出力)>
ファイル操作を検出したアプリケーション(Explorer/Outlook/HDD監視
・操作・検出されたファイルのファイル名
・操作・検出されたファイルのファイルのパス
・ファイル操作内容(Explorerでのファイル選択/Outlookメール添付/HDD監視によるファイル作成リネーム

0033

OS等から取得されるシステム情報は次のようなものを含む。
<システム情報ログ(起動後の規定時間経過後に、1ファイルを生成)>
◇ システム基本情報
・ホスト名
・OS名
OSバージョン
・OSインストール日
OS起動日時
N番目のCPUの種類
・N番目のCPUの最大クロック数
・N番目のCPUの2次キャッシュサイズ
・CPUの数
・OSの32bit/64bit区分
・OS前回シャットダウン日時
システム起動に要した時間
・合計物理メモリサイズ
利用可能な物理メモリサイズ
・合計仮想メモリサイズ
・利用可能な仮想メモリサイズ
UACの有効状態
ユーザ情報
・ユーザのメールアドレスに対するハッシュ値
・ユーザの役職コード
・ユーザの所属部署
マウス設定情報
・マウスの移動速度設定値規定値10、1[最も遅い]〜20[最も速い])
・マウスの垂直スクロールホイールの1目盛りでスクロールする行数
・ホイール機能が搭載されたマウスを使用しているか否か
・マウスの左右ボタン入れ替えているかどうか
ディスプレイ情報
接続モニタ
・N番目のモニタ解像度(幅)
・N番目のモニタの解像度(高さ)
ドライブ情報
・接続ドライブ数
・Nドライブドライブタイプ光ディスク/固定ディスク/ネットワークドライブ/リムーバブル
・Nドライブの全体サイズ
・Nドライブの空きサイズ
タスクバー情報
・タスクバー登録個数
・タスクバー登録位置上下左右
・タスクバーを自動的に隠す設定有無
・タスクバーのアイコンサイズ
◇ 特殊フォルダ情報デスクトップスタートメニューダウンロードフォルダ等)
・XXXXXフォルダのフォルダ最大階層
・XXXXXフォルダの第1階層アイテム数(ファイル[ショートカット実体]をフォルダ合計)
・XXXXXフォルダの第1階層ショートカット数(ショートカットファイルの数)
・XXXXXフォルダの第1階層ファイル数(ファイル実体の数)
・XXXXXフォルダの第1階層フォルダ数(フォルダ実体の数)
・XXXXXフォルダの全階層アイテム数(ファイル[ショートカット、実体]をフォルダ合計)
・XXXXXフォルダの全階層ショートカット数(ショートカットファイルの数)
・XXXXXフォルダの全階層ファイル数(ファイル実体の数)
・XXXXXフォルダの全階層フォルダ数(フォルダ実体の数)
ゴミ箱情報
ゴミ箱内のアイテム数(ファイル数フォルダ数
・ゴミ箱内のアイテムサイズ合計(ファイル数+フォルダ数)
◇ Windows Update情報
・重要な更新プログラム確認設定
・新しい更新プログラムのインストールスケジュール毎日特定曜日のみ)
・新しい更新プログラムの存在を検出した日時
・新しい更新プログラムのダウンロードが完了し、インストールの準備が出来た日時
・新しい更新プログラムを自動でダウンロードし、そのダウンロードが完了した日時
・新しい更新プログラムのインストールが完了した日時
・新しい更新プログラムの適用を保留した時間(秒数)
◇ AntiVirus設定(Symantec Endpoint Protection)
・LiveUpdateの自動更新有無
更新頻度
プロセス情報
・N番目のプロセスID
・N番目のプロセス名
・N番目のプロセスのフルパス(※ 取得可能な場合のみ出力する)
・N番目のプロセスのモジュールバージョン(※ 取得可能な場合のみ出力する)
プロセス数
アプリケーション情報
・N番目のインストールされているアプリケーション名
・N番目のインストールされているアプリケーションの発行元(※ 取得可能な場合のみ出力する)
・N番目のインストールされているアプリケーションのバージョン(※ 取得可能な場合のみ出力する)
・インストールされているアプリケーション数

0034

プロセス状態ログ(プロセス実行終了時に1レコードを生成)>
・プロセスID
・プロセスの実行モジュール
・プロセスの実行パス(実行モジュールのフルパスからモジュール名を除いたもの)
・プロセスが起動された日時
・プロセスが終了した日時。
・プロセスが実行していた秒数。

0035

<アプリ状態ログ(アクティブなアプリケーションの変更、またはウィンドウ位置ウィンドウサイズ変化時に1レコー出力)>
・アクティブなアプリに付与するシーケンス番号(マウス、キーボードのログとの紐付け用)
・プロセスID
・アクティブウィンドウのウィンドウハンドル(同一プロセスでの別ウィンドウ識別用
・プロセスの実行モジュール名
・プロセスの実行パス(実行モジュールのフルパスからモジュール名を除いたもの)
・アプリのウィンドウ位置X座標
・アプリのウィンドウ位置Y座標
・アプリのウィンドウサイズ幅
・アプリのウィンドウサイズ高さ
・(アクティブアプリがIEの場合のみ) 現在オープンしているタブの数
・アプリのウィンドウタイトル文字列
・アプリがアクティブであった時間

0036

ネットワーク状態ログ(一定時間毎に出力)>
・NICに対するMACアドレス
・前回ログ出力からの送信バイト数
・前回ログ出力からの受信バイト数

0037

パフォーマンスログ(一定時間毎に出力)>
・ログ出力時点のCPU使用率
・ログ出力時点の各コア使用率
メモリ使用最大容量(物理+仮想
メモリ使用量(物理+仮想)
・物理メモリの空き容量
・物理メモリの使用量
・物理メモリの使用率
仮想メモリ容量
・仮想メモリ使用量
・仮想メモリ使用率
・1秒あたりに行われたページングの回数
ディスクキューに入った書き込み要求の数の平均値

0038

また、図2において、端末装置1には、各種ログ14の保持内容および情報取得アドイン12x、12y、12z等およびシステム情報・ユーザ操作情報取得部13の出力内容からキャンセル行動を検出するキャンセル行動検出部15を備えている。検出されたキャンセル行動はキャンセル行動ログ16に保持される。キャンセル行動は、URLや添付ファイル等のアクセス対象について未然のアクセスの行動であり、アクセス回避行動言い換えることもできる。例えば、URLリンクや添付ファイルアイコンにマウスオーバしてもクリック(選択)しなかった場合や、クリックしてしまった直後のアクセスが開始される前に取り消しを行った場合や、アクセスが開始された後にアクセスを中断した場合や、アクセスが開始された後にウィンドウ消去した場合等の行動である。また、URLリンクがある本文や添付ファイルのあるメールなどをアクティブにしている時間が所定値を超えた上でクリックが行われなかった場合には、マウスオーバがされなくてもキャンセル行動としてとらえることも可能である。これらはアクセスの実績としては残らないが、キャンセル行動として記録される。

0039

うっかりアクセスしてしまったり、アクセスすべきでないことをページが開く前や、ファイルの解凍が行われる前に気づいたり、次の処理を即座に中断したりする行為が行われる場合があるが、これらの行為は、アクセスする行為よりも重要で、蓄積、分析することで、より有用な情報になる。そこで、これらのキャンセル情報を細かく採取して、他の関係者のアクセスやうっかりミスなどを無くすように活用するものとしている。うっかりミスや、巧妙な標的攻撃にも対処するには、このような周りのキャンセル情報を活用して判定できる機能が重要になる。

0040

これまでの技術では、実際に行われて有用だったことを記録し、案内したり、情報共有したりすることがほとんどである。有用な情報や内容を求めることが一般的であり、その情報だけでもあふれていて、利用者にとってどのように有用な情報かを絞り込むために、行われなかったことの情報が重要になる。

0041

また、キャンセル行動検出部15は、キャンセル行動に至るユーザ操作や通常のアクセス数に対する比率等を算出するために、狭義のキャンセル行動だけではなく、通常のアクセス状況や、直前の行動などの情報も検出して収集する。これにより、これまでのレピュテーションでは得られなかった、未アクセスノウハウも含めた行動情報を詳細に収集することができる。

0042

一方、図2において、サーバ装置3には、所定のタイミングで複数(多数)の端末装置1のキャンセル行動ログ16から情報を取得する情報取得部31と、取得した情報に基づいてキャンセル行動を分析するキャンセル行動分析部32とを備えている。分析の詳細については後述する。分析された結果はキャンセル行動特性としてキャンセル行動特性DB33に保持される。

0043

図3は情報提供にかかる機能構成例を示す図である。図3において、サーバ装置3は、ポリシレベルに応じた複数のタイプのアラートポリシ群34から端末装置1のポリシレベルに合ったアラートポリシを取得して提供するポリシ提供部35を備えている。端末装置1のポリシレベルは、端末装置1を使用する利用者の環境や状況に応じて自動的に、または利用者の選択により決定される。提供されたアラートポリシはアラートポリシ17として端末装置1に保持される。

0044

また、サーバ装置3は、キャンセル行動特性DB33の内容を端末装置1に提供するキャンセル行動特性提供部36を備えている。提供されたキャンセル行動特性はキャンセル行動特性18として端末装置1に保持される。なお、キャンセル行動特性提供部36は、変更があったキャンセル行動特性DB33の内容をリアルタイムまたは早期に端末装置1に提供することで、新規のアクセス対象についての情報を有効に提供することができる。

0045

一方、端末装置1は、情報取得アドイン12x、12y、12z等とシステム情報・ユーザ操作情報取得部13から取得した情報に基づいてユーザ操作を監視し、アラートポリシ17およびキャンセル行動特性18を用いて注意喚起のアラートを発する条件が満たされた場合に注意喚起を行う注意喚起部19を備えている。

0046

図4は各種情報の例を示す図である。図4において、各種ログ14は、タイムスタンプ事象内容とを含んでいる。キャンセル行動ログ16は、タイムスタンプとキャンセル行動内容とを含んでいる。キャンセル行動内容には、例えば、URL情報、ドメイン、キャンセル行動内容(クリック直後キャンセル、マウスオーバ:1sec(マウスオーバが1秒間継続)等)等が含まれる。キャンセル行動特性DB33は、アクセス対象と行動特性とを含んでいる。行動特性には、アクセス対象(URLリンク、添付ファイル等)ごと、利用者(利用者本人、組織内関係者等)ごとのキャンセル回数キャンセル率(キャンセル回数とアクセス回数の合計に対するキャンセル回数の比率)、アクセス回数、アクセス率(キャンセル回数とアクセス回数の合計に対するアクセス回数の比率)等が含まれる。アラートポリシ群34は、ポリシレベルと条件とアラート内容とを含んでいる。

0047

図5は端末装置1(1A、1B、・・)およびサーバ装置3のハードウェア構成例を示す図である。図5において、端末装置1等は、システムバス101に接続されたCPU(Central Processing Unit)102、ROM(Read Only Memory)103、RAM(Random Access Memory)104、NVRAM(Non-Volatile Random Access Memory)105を備えている。また、端末装置1等は、I/F(Interface)106と、I/F106に接続された、I/O(Input/Output Device)107、HDD(Hard Disk Drive)/SSD(Solid State Drive)108、NIC(Network Interface Card)109と、I/O107に接続されたモニタ110、キーボード111、マウス112等を備えている。I/O107にはCD/DVD(Compact Disk/Digital Versatile Disk)ドライブ等を接続することもできる。

0048

図2および図3で説明した端末装置1等の機能は、CPU102において所定のプログラムが実行されることで実現される。プログラムは、記録媒体を経由して取得されるものでもよいし、ネットワークを経由して取得されるものでもよいし、ROM組込でもよい。

0049

<動作>
図6は端末装置1のキャンセル行動検出部15によるキャンセル行動検出の例を示す図であり、受信したメールの本文に埋め込まれているURLリンクにマウスオーバした後にキャンセル行動を行った場合である。

0050

図6において、メーラ11xによりメールが受信され(ステップS111)、利用者により受信メールの選択が行われ(ステップS112)、メールテキスト開封され(ステップS113)、URLリンクの上にマウスオーバが行われる(ステップS114)。その後、マウスクリックせずに別の操作(移動や別のポイントでのクリック等)に移行した場合(ステップS115)は、キャンセル行動として検出され、キャンセル行動ログ16に記録される。

0051

また、マウスオーバに続いてURLリンク上でマウスクリックが行われ(ステップS116)、Webブラウザ11zが起動(ステップS117)した後、閉じるボタンやプロセス終了(ウインドウクローズ等)が行われた場合(ステップS118)もキャンセル行動として検出され、キャンセル行動ログ16に記録される。

0052

図7はキャンセル行動検出の他の例を示す図であり、受信したメールの添付ファイルアイコンにマウスオーバした後にキャンセル行動を行った場合である。

0053

図7において、メーラ11xによりメールが受信され(ステップS121)、利用者により受信メールの選択が行われ(ステップS122)、メールの添付ファイルアイコンの上にマウスオーバが行われる(ステップS123)。その後、マウスクリックせずに別の操作(移動や別のポイントでのクリック等)に移行した場合(ステップS124)は、キャンセル行動として検出され、キャンセル行動ログ16に記録される。

0054

また、マウスオーバに続いて添付ファイルアイコン上でマウスクリックが行われ(ステップS125)、対応するアプリ(文書作成アプリ、表計算アプリ、プレゼンテーションアプリ等)が起動(ステップS126)した後、閉じるボタンやプロセス終了(ウインドウのクローズ等)が行われた場合(ステップS127)もキャンセル行動として検出され、キャンセル行動ログ16に記録される。

0055

図8はサーバ装置3によるキャンセル行動分析の処理例を示すフローチャートである。図8において、サーバ装置3の情報取得部31は、各端末装置1からキャンセル行動ログ16を取得する(ステップS21)。

0056

次いで、キャンセル行動分析部32は、アクセス対象(URLリンク、添付ファイル等)ごと、利用者(利用者本人、組織内関係者等)ごとに、情報を整理(分類)する(ステップS22)。

0057

次いで、キャンセル行動分析部32は、アクセス対象ごと、利用者ごとに、キャンセル回数、キャンセル率(キャンセル回数とアクセス回数の合計に対するキャンセル回数の比率)、アクセス回数、アクセス率(キャンセル回数とアクセス回数の合計に対するアクセス回数の比率)等のキャンセル行動特性を導出する(ステップS23)。導出したキャンセル行動特性はキャンセル行動特性DB33に保持され、キャンセル行動特性提供部36によって端末装置1にキャンセル行動特性18として提供される。

0058

図9は端末装置1の注意喚起部19による注意喚起の処理例を示すフローチャートである。図9において、注意喚起部19は、情報取得アドイン12x、12y、12z等とシステム情報・ユーザ操作情報取得部13から取得した情報に基づいて新規メールの受信または既に受信したメールの参照を検出すると(ステップS31)、本文内に含まれるURLリンクや添付ファイル等のアクセス対象とキャンセル行動特性18とを突合せる(ステップS32)。

0059

注意喚起部19は、突き合わせの結果、一致するものがある場合、アラートポリシ17に従いURLリンクや添付ファイル等のアクセス対象に関する注意喚起を実施する(ステップS33)。

0060

図10は注意喚起の例を示す図である。表示I1は、「直前(連携)操作とあぶないURLアクセスとの関係」を示し、実績値または一般的な統計値に基づいて、操作と危険性との関係を示している。図示の例では「初回メール受信」が下線等の強調により直前の操作であることが示されている。また、表示I2は、メール等の本文に含まれている複数のURLについて、「危険」「注意」の程度を示している。表示I3は、個人アクセスと組織内アクセスについてアクセスとアクセスの取止め(キャンセル行動)の比率をグラフと文字列で示している。表示I4は、アクセス取止め等のボタンを示している。

0061

図9戻り、注意喚起部19は、突き合わせの結果、一致するものがない場合、URLリンクや添付ファイル等のアクセス対象に関する注意喚起はせず、通常のメール処理へ移行する(ステップS34)。その後、いずれの場合も、その後のメール処理へ移行する(ステップS35)。

0062

なお、利用者の操作の監視に基づいて注意喚起をする例について説明したが、利用者からの要求(セキュリティについての確認要求)に基づいて情報共有・提供という観点から表示を行ってもよい。図11は情報提供の例を示す図である。表示I5は、「利用アプリからの情報漏えいプロセス」を示し、実績値または一般的な統計値に基づいて、利用アプリ等と危険性との関係を示している。図示の例では「受信メール→リンク→Webアクセス」が直前の操作であることが下線等の強調により示されている。表示I6は、メール等の本文に含まれている複数のURLについて、「危険」「注意」の程度を示している。表示I7は、個人アクセスと組織内アクセスについてアクセスとアクセスの取止め(キャンセル行動)の比率をグラフと文字列で示している。表示I8は、ネットワークセキュリティについての連絡事項を示している。

0063

<応用>
上述した技術は、Webアクセスに限らず、例えば、カーナビにおける複数の利用者の動向情報に基づく案内に対して選択しなかった行動や、商品購入において複数の利用者の購入しなかったり直前で止めた等の行動にも適用することができる。これらの情報の提供は、提供側立場ではなく、利用者側に立った判断のための有用情報として提供することができる。この場合も、利用者側での判断を周りの状況をみて行えるようになり、選択のミスを少なくすることができる。

0064

総括
以上説明したように、本実施形態によれば、URLや添付ファイル等へアクセスしようとした場合に判断に有用な情報が提供されるため、利用者はアクセス時に判断が容易になり、うっかりミスをなくすことができ、ネットワークセキュリティを向上することができる。

0065

以上、好適な実施の形態により説明した。ここでは特定の具体例を示して説明したが、特許請求の範囲に定義された広範な趣旨および範囲から逸脱することなく、これら具体例に様々な修正および変更を加えることができることは明らかである。すなわち、具体例の詳細および添付の図面により限定されるものと解釈してはならない。

0066

以上の説明に関し、更に以下の項を開示する。
(付記1)
ユーザ操作および該ユーザ操作のアクセス対象の情報を取得する手段と、
前記ユーザ操作を分析して、前記アクセス対象ごとに未然のアクセス行動を示す情報を取得する手段と、
前記未然のアクセス行動の対象となった前記アクセス対象の安全性に関する情報を利用者に提供する手段と、
を備えたことを特徴とする安全性判定装置。
(付記2)
URLリンクにマウスオーバが行われた後にアクセスを回避する行動が行われた場合、または、URLリンクがマウスクリックされた後にアクセスを中断または中止する行動が行われた場合に、アクセス対象であるURLリンクについて未然のアクセスが行われたとする、
ことを特徴とする付記1に記載の安全性判定装置。
(付記3)
添付ファイルのアイコンにマウスオーバが行われた後にアクセスを回避する行動が行われた場合、または、添付ファイルのアイコンがマウスクリックされた後にアクセスを中断または中止する行動が行われた場合に、アクセス対象である添付ファイルについて未然のアクセスが行われたとする、
ことを特徴とする付記1または2に記載の安全性判定装置。
(付記4)
アラートポリシで規定された条件およびアラートの内容に従って前記アクセス対象の安全性に関する情報を利用者に提供する、
ことを特徴とする付記1乃至3のいずれか一項に記載の安全性判定装置。
(付記5)
ユーザ操作および該ユーザ操作のアクセス対象の情報を取得し、
前記ユーザ操作を分析して、前記アクセス対象ごとに未然のアクセス行動を示す情報を取得し、
前記未然のアクセス行動の対象となった前記アクセス対象の安全性に関する情報を利用者に提供する、
処理をコンピュータに実行させることを特徴とする安全性判定プログラム。
(付記6)
URLリンクにマウスオーバが行われた後にアクセスを回避する行動が行われた場合、または、URLリンクがマウスクリックされた後にアクセスを中断または中止する行動が行われた場合に、アクセス対象であるURLリンクについて未然のアクセスが行われたとする、
ことを特徴とする付記5に記載の安全性判定プログラム。
(付記7)
添付ファイルのアイコンにマウスオーバが行われた後にアクセスを回避する行動が行われた場合、または、添付ファイルのアイコンがマウスクリックされた後にアクセスを中断または中止する行動が行われた場合に、アクセス対象である添付ファイルについて未然のアクセスが行われたとする、
ことを特徴とする付記5または6に記載の安全性判定プログラム。
(付記8)
アラートポリシで規定された条件およびアラートの内容に従って前記アクセス対象の安全性に関する情報を利用者に提供する、
ことを特徴とする付記5乃至7のいずれか一項に記載の安全性判定プログラム。
(付記9)
ユーザ操作および該ユーザ操作のアクセス対象の情報を取得し、
前記ユーザ操作を分析して、前記アクセス対象ごとに未然のアクセス行動を示す情報を取得し、
前記未然のアクセス行動の対象となった前記アクセス対象の安全性に関する情報を利用者に提供する、
処理をコンピュータが実行することを特徴とする安全性判定方法。
(付記10)
URLリンクにマウスオーバが行われた後にアクセスを回避する行動が行われた場合、または、URLリンクがマウスクリックされた後にアクセスを中断または中止する行動が行われた場合に、アクセス対象であるURLリンクについて未然のアクセスが行われたとする、
ことを特徴とする付記9に記載の安全性判定方法。
(付記11)
添付ファイルのアイコンにマウスオーバが行われた後にアクセスを回避する行動が行われた場合、または、添付ファイルのアイコンがマウスクリックされた後にアクセスを中断または中止する行動が行われた場合に、アクセス対象である添付ファイルについて未然のアクセスが行われたとする、
ことを特徴とする付記9または10に記載の安全性判定方法。
(付記12)
アラートポリシで規定された条件およびアラートの内容に従って前記アクセス対象の安全性に関する情報を利用者に提供する、
ことを特徴とする付記9乃至11のいずれか一項に記載の安全性判定方法。

0067

1、1A、1B端末装置
11xメーラ
11yメールチェックアプリ
11zWebブラウザ
12x〜12z情報取得アドイン
13システム情報・ユーザ操作情報取得部
14 各種ログ
15キャンセル行動検出部
16 キャンセル行動ログ
17アラートポリシ
18 キャンセル行動特性
19注意喚起部
2ネットワーク
3サーバ装置
31 情報取得部
32 キャンセル行動分析部
33 キャンセル行動特性DB
34 アラートポリシ群
35 ポリシ提供部
36 キャンセル行動特性提供部
A、B 利用者

ページトップへ

この技術を出願した法人

この技術を発明した人物

ページトップへ

関連する挑戦したい社会課題

関連する公募課題

ページトップへ

技術視点だけで見ていませんか?

この技術の活用可能性がある分野

分野別動向を把握したい方- 事業化視点で見る -

ページトップへ

おススメ サービス

おススメ astavisionコンテンツ

新着 最近 公開された関連が強い技術

この 技術と関連性が強い技術

関連性が強い 技術一覧

この 技術と関連性が強い人物

関連性が強い人物一覧

この 技術と関連する社会課題

関連する挑戦したい社会課題一覧

この 技術と関連する公募課題

関連する公募課題一覧

astavision 新着記事

サイト情報について

本サービスは、国が公開している情報(公開特許公報、特許整理標準化データ等)を元に構成されています。出典元のデータには一部間違いやノイズがあり、情報の正確さについては保証致しかねます。また一時的に、各データの収録範囲や更新周期によって、一部の情報が正しく表示されないことがございます。当サイトの情報を元にした諸問題、不利益等について当方は何ら責任を負いかねることを予めご承知おきのほど宜しくお願い申し上げます。

主たる情報の出典

特許情報…特許整理標準化データ(XML編)、公開特許公報、特許公報、審決公報、Patent Map Guidance System データ