(19)【発行国】日本国特許庁(JP)
【公報種別】再公表特許(A1)
(11)【国際公開番号】WO2014057542
(43)【国際公開日】20140417
【発行日】20160825
(54)【発明の名称】セキュリティシステム、および、セキュリティ監視方法
(51)【国際特許分類】
   G06F 21/56 20130101AFI20160729BHJP
【FI】
   !G06F21/56 320
【審査請求】有
【予備審査請求】未請求
【全頁数】36
【出願番号】2014540659
(21)【国際出願番号】JP2012076211
(22)【国際出願日】20121010
(81)【指定国】 AP(BW,GH,GM,KE,LR,LS,MW,MZ,NA,RW,SD,SL,SZ,TZ,UG,ZM,ZW),EA(AM,AZ,BY,KG,KZ,RU,TJ,TM),EP(AL,AT,BE,BG,CH,CY,CZ,DE,DK,EE,ES,FI,FR,GB,GR,HR,HU,IE,IS,IT,LT,LU,LV,MC,MK,MT,NL,NO,PL,PT,RO,RS,SE,SI,SK,SM,TR),OA(BF,BJ,CF,CG,CI,CM,GA,GN,GQ,GW,ML,MR,NE,SN,TD,TG),AE,AG,AL,AM,AO,AT,AU,AZ,BA,BB,BG,BH,BN,BR,BW,BY,BZ,CA,CH,CL,CN,CO,CR,CU,CZ,DE,DK,DM,DO,DZ,EC,EE,EG,ES,FI,GB,GD,GE,GH,GM,GT,HN,HR,HU,ID,IL,IN,IS,JP,KE,KG,KM,KN,KP,KR,KZ,LA,LC,LK,LR,LS,LT,LU,LY,MA,MD,ME,MG,MK,MN,MW,MX,MY,MZ,NA,NG,NI,NO,NZ,OM,PA,PE,PG,PH,PL,PT,QA,RO,RS,RU,RW,SC,SD,SE,SG,SK,SL,SM,ST,SV,SY,TH,TJ,TM,TN,TR,TT,TZ,UA,UG,US,UZ,VC
(71)【出願人】
【識別番号】000005108
【氏名又は名称】株式会社日立製作所
【住所又は居所】東京都千代田区丸の内一丁目6番6号
(74)【代理人】
【識別番号】110001678
【氏名又は名称】特許業務法人藤央特許事務所
(72)【発明者】
【氏名】鬼頭 哲郎
【住所又は居所】東京都千代田区丸の内一丁目6番6号 株式会社日立製作所内
(72)【発明者】
【氏名】谷川 嘉伸
【住所又は居所】東京都千代田区丸の内一丁目6番6号 株式会社日立製作所内
(72)【発明者】
【氏名】川口 信隆
【住所又は居所】東京都千代田区丸の内一丁目6番6号 株式会社日立製作所内
(57)【要約】
セキュリティシステムは、計算機システムがデータをスキャンするために用いる複数のスキャン方法と計算機システムが当該複数のスキャン方法の各々を用いる順番とを示す、複数の監視シナリオを保持し、複数の監視シナリオの各々と、複数の監視シナリオの各々を割り当てられた少なくとも一つのユーザと、を示すユーザ情報を保持し、計算機システムがデータを、複数のスキャン方法のうちの一つのスキャン方法を用いてスキャンした後に、保持される複数の監視シナリオと、ユーザ情報と、データに含まれる識別子が示すユーザとに基づいて、複数のスキャン方法の中から、データに次に用いられるスキャン方法を決定し、決定されたスキャン方法によってデータがスキャンされるように、決定されたスキャン方法を示す情報を計算機システムに送信する。
【特許請求の範囲】
【請求項1】
セキュリティシステムであって、
プロセッサおよびメモリを備え、
ネットワークを介して受信したデータにマルウェアが付加されているか否かをスキャンする計算機システムに接続され、
前記計算機システムが前記データをスキャンするために用いる複数のスキャン方法と前記計算機システムが当該複数のスキャン方法の各々を用いる順番とを示す、複数の監視シナリオを保持する監視シナリオ保持部と、
前記複数の監視シナリオと、前記複数の監視シナリオのうち一つを割り当てられた少なくとも一人のユーザと、を示すユーザ情報を保持するユーザ情報保持部と、
前記計算機システムが前記データを、前記複数のスキャン方法のうち一つを用いてスキャンした後に、前記監視シナリオ保持部が保持する前記複数の監視シナリオと、前記ユーザ情報保持部が保持するユーザ情報と、前記データに含まれる識別子が示すユーザとに基づいて、前記複数のスキャン方法の中から前記データに次に用いられるスキャン方法を決定し、前記決定されたスキャン方法によって前記データがスキャンされるように、前記決定されたスキャン方法を示す情報を前記計算機システムに送信する振分部と、を有することを特徴とするセキュリティシステム。
【請求項2】
請求項1に記載のセキュリティシステムであって、
前記計算機システムが前記データをスキャンした結果を示すログ情報を、当該データに用いられた前記複数のスキャン方法の各々に対応して収集するログ情報収集部と、
前記ログ情報収集部によって収集されたログ情報に基づいて、前記計算機システムが用いる複数のスキャン方法のうち少なくとも一つのスキャン方法を更新する情報更新部と、を有することを特徴とするセキュリティシステム。
【請求項3】
請求項2に記載のセキュリティシステムであって、
前記ログ情報は、前記データに付加されたマルウェアの情報を含み、
前記情報更新部は、
前記ログ情報収集部によって収集されたログ情報から、前記データに付加されたマルウェアの情報を抽出し、
前記複数の監視シナリオに共通する少なくとも一つのスキャン方法を、前記抽出された情報が示すマルウェアを検出可能なスキャン方法に更新することを特徴とするセキュリティシステム。
【請求項4】
請求項2または3に記載のセキュリティシステムであって、
前記ユーザ情報保持部に保持されるユーザ情報を更新する監視シナリオ更新部を有し、
前記監視シナリオ更新部は、
前記ログ情報収集部によって収集されたログ情報に基づいて、前記ユーザを示す識別子を含むデータの数のうち、前記マルウェアが付加された当該データの数が占める割合を算出し、
前記算出された割合に従って、前記データに含まれる識別子が示す前記ユーザに、前記複数の監視シナリオのうち一つを割り当て、
前記割り当ての結果に基づいて、前記ユーザ情報保持部に保持されるユーザ情報を更新することを特徴とするセキュリティシステム。
【請求項5】
請求項4に記載のセキュリティシステムであって、
前記セキュリティシステムは、前記複数の監視シナリオのうち一つを前記ユーザに割り当てるための前記複数の監視シナリオの各々に対応する割り当てポリシと、前記複数の監視シナリオに対応する前記複数の割り当てポリシを含む少なくとも一つのポリシグループと、を含むポリシ保持部を、さらに有し、
前記監視シナリオ更新部は、
前記少なくとも一つのポリシグループから選択された、一つのポリシグループを取得し、
前記取得されたポリシグループに含まれる前記複数の割り当てポリシと前記算出された割合とに基づいて、前記複数の監視シナリオのうち一つを、前記ユーザに割り当てることを特徴とするセキュリティシステム。
【請求項6】
請求項1に記載のセキュリティシステムであって、
前記ユーザ情報は、あらかじめ定められた静的ユーザと、前記静的ユーザにあらかじめ割り当てられる監視シナリオと、を示す情報を含み、
前記振分部は、
前記データに含まれる識別子が示すユーザが、前記静的ユーザである場合、前記ユーザ情報保持部が示す、前記静的ユーザにあらかじめ割り当てられた監視シナリオを特定し、
前記特定された結果と、前記監視シナリオ保持部が保持する前記複数の監視シナリオと、に基づいて、前記静的ユーザを示す識別子を含むデータに次に用いられる前記スキャン方法を決定することを特徴とするセキュリティシステム。
【請求項7】
セキュリティシステムによるセキュリティ監視方法であって、
前記セキュリティシステムは、
プロセッサおよびメモリを備え、
受信したデータにマルウェアが付加されているか否かをスキャンする計算機システムに接続され、
前記計算機システムが前記データをスキャンするために用いる複数のスキャン方法と前記計算機システムが当該複数のスキャン方法の各々を用いる順番とを示す複数の監視シナリオと、
前記複数の監視シナリオと、前記複数の監視シナリオのうち一つを割り当てられた少なくとも一人のユーザと、を示すユーザ情報と、を前記メモリに保持し、
前記方法は、
前記プロセッサが、前記計算機システムが前記データを、前記複数のスキャン方法のうち一つを用いてスキャンした後に、前記監視シナリオと、前記ユーザ情報と、前記データに含まれる識別子が示すユーザとに基づいて、前記複数のスキャン方法の中から前記データに次に用いられるスキャン方法を決定するスキャン方法決定手順と、
前記プロセッサが、前記決定されたスキャン方法によって前記データがスキャンされるように、前記決定されたスキャン方法を示す情報を前記計算機システムに送信する振分手順と、を含むことを特徴とするセキュリティ監視方法。
【請求項8】
請求項7に記載のセキュリティ監視方法であって、
前記方法は、
前記プロセッサが、前記計算機システムが前記データをスキャンした結果を示すログ情報を、当該データに用いられた前記複数のスキャン方法の各々に対応して収集するログ情報収集手順と、
前記プロセッサが、前記ログ情報収集手順によって収集されたログ情報に基づいて、前記計算機システムが用いる複数のスキャン方法のうち少なくとも一つのスキャン方法を更新する情報更新手順と、を含むことを特徴とするセキュリティ監視方法。
【請求項9】
請求項8に記載のセキュリティ監視方法であって、
前記ログ情報は、前記データに付加されたマルウェアの情報を含み、
前記情報更新手順は、
前記プロセッサが、前記ログ情報収集手順によって収集されたログ情報から、前記データに付加されたマルウェアの情報を抽出する手順と、
前記プロセッサが、前記複数の監視シナリオに共通する少なくとも一つのスキャン方法を、前記抽出された情報が示すマルウェアを検出可能なスキャン方法に更新する手順と、を含むことを特徴とするセキュリティ監視方法。
【請求項10】
請求項8または9に記載のセキュリティ監視方法であって、
前記方法は、
前記ユーザ情報を更新する監視シナリオ更新手順を、含み、
前記監視シナリオ更新手順は、
前記プロセッサが、前記ログ情報収集手順によって収集されたログ情報に基づいて、前記ユーザを示す識別子を含む前記データの数のうち、前記マルウェアが付加された当該データの数が占める割合を算出する手順と、
前記プロセッサが、前記算出された割合に従って、前記データに含まれる識別子が示すユーザに、前記複数の監視シナリオのうち一つを割り当てる手順と、
前記プロセッサが、前記割り当ての結果に基づいて、前記ユーザ情報を更新する手順と、を含むことを特徴とするセキュリティ監視方法。
【請求項11】
請求項10に記載のセキュリティ監視方法であって、
前記セキュリティシステムは、前記複数の監視シナリオのうち一つを前記ユーザに割り当てるための前記複数の監視シナリオの各々に対応する割り当てポリシと、前記複数の監視シナリオに対応する前記複数の割り当てポリシを含む少なくとも一つのポリシグループと、を含むポリシ情報を、前記メモリにさらに保持し、
前記監視シナリオ更新手順は、
前記プロセッサが、前記少なくとも一つのポリシグループから選択された、一つのポリシグループを取得する手順と、
前記プロセッサが、前記取得されたポリシグループに含まれる前記複数の割り当てポリシと前記算出された割合とに基づいて、前記複数の監視シナリオのうち一つを、前記ユーザに割り当てる手順と、を含むことを特徴とするセキュリティ監視方法。
【請求項12】
請求項7に記載のセキュリティ監視方法であって、
前記ユーザ情報は、あらかじめ定められた静的ユーザと、前記静的ユーザにあらかじめ割り当てられる監視シナリオと、を示す情報を含み、
前記スキャン方法決定手順は、
前記プロセッサが、前記データに含まれる識別子が示すユーザが、前記静的ユーザである場合、前記ユーザ情報が示す、前記静的ユーザにあらかじめ割り当てられた監視シナリオを特定する手順と、
前記プロセッサが、前記特定された結果と、前記保持される複数の監視シナリオと、に基づいて、前記静的ユーザを示す識別子を含むデータに次に用いられる前記スキャン方法を決定する手順と、を含むことを特徴とするセキュリティ監視方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、セキュリティシステムに関する。
【背景技術】
【0002】
コンピュータウイルスなどのマルウェアが添付されたメールが計算機に送信されることによって、メールを受信した計算機およびその他の計算機が、旧来から攻撃されている。メールに添付されるファイルが不正なファイルであるか否かは、一般的に、アンチウイルスソフトなどを用いて判定される。
【0003】
アンチウイルスソフトには様々な種類があり、アンチウイルスソフトの各々には、検出することが得意なウイルス、および、検出することが不得意なウイルスがある。また、似たような機能を持つ複数のアンチウイルスソフト間においても、アンチウイルスソフトに含まれるアンチウイルスエンジンの内部構造、または、アンチウイルスソフトに含まれるシグネチャデータベースの内容の差異により、ウイルスの検出率に違いが発生する。
【0004】
昨今のマルウェアの特徴は、日々新しいマルウェアが発生していることである。このため、アンチウイルスソフトによるマルウェアへの対策が、マルウェアの発生に追いつかないという問題がある。また、一つのアンチウイルスソフトのみを用いて、日々増加するマルウェアに対抗することには限界がある。
【0005】
このような問題を解決する技術として、メールを検査する際に複数のアンチウイルスエンジンを用いることでマルウェアの検出率の向上を図る技術が提案されている(例えば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2005−100093号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかし、特許文献1で開示される技術のとおり、複数のアンチウイルスエンジンを用いてメールを検査(スキャン)する場合、メール1通あたりに複数のアンチウイルスエンジンが用いられるため、メール一通あたりの検査に必要な計算機の負荷が増大する。ユーザ数が多い企業または大学などの組織においては、受信するメールの数は膨大であるため、特許文献1で開示される技術を用いる場合、メールを検査する計算機の負荷が無視できない程度に増大する。また、複数のアンチウイルスエンジンが各々ログを出力するため、メールのスキャンに関連するログが増大し、ログの分析にかかるコストが大きくなるという問題もある。
【0008】
本発明の目的は、マルウェア検出に必要な計算機の負荷を低減し、マルウェアへの対策を効率化することである。
【課題を解決するための手段】
【0009】
本発明の代表的な一実施形態によると、セキュリティシステムであって、前記セキュリティシステムは、プロセッサおよびメモリを備え、受信したデータにマルウェアが付加されているか否かをスキャンする計算機システムに接続され、前記計算機システムが前記データをスキャンするために用いる複数のスキャン方法と前記計算機システムが当該複数のスキャン方法の各々を用いる順番とを示す、複数の監視シナリオを保持する監視シナリオ保持部と、前記複数の監視シナリオの各々と、前記複数の監視シナリオの各々を割り当てられた少なくとも一つのユーザと、を示す情報を保持するユーザ情報保持部と、前記計算機システムが前記データを、前記複数のスキャン方法のうちの一つのスキャン方法を用いてスキャンした後に、前記監視シナリオ保持部が保持する前記複数の監視シナリオと、前記ユーザ情報保持部が保持する情報と、前記データに含まれる識別子が示すユーザとに基づいて、前記複数のスキャン方法の中から、前記データに次に用いられるスキャン方法を決定し、前記決定されたスキャン方法によって前記データがスキャンされるように、前記決定されたスキャン方法を示す情報を前記計算機システムに送信する振分部と、を有する。
【発明の効果】
【0010】
本発明の一実施形態によると、マルウェア検出に必要な計算機の負荷を低減し、マルウェアへの対策を効率化することができる。
【0011】
上記した以外の課題、構成および効果は、以下の実施形態の説明により明らかにされる。
【図面の簡単な説明】
【0012】
【図1】本実施例1のセキュリティ監視システムおよび計算機システムを含むネットワークシステムを示すブロック図である。
【図2】本実施例1の振分装置のハードウェアを示すブロック図である。
【図3】本実施例1のセキュリティ監視システムの処理の概要を示すブロック図である。
【図4】本実施例1の監視シナリオの例を示す説明図である。
【図5】本実施例1の振分装置の論理的な構成を示すブロック図である。
【図6】本実施例1の管理情報格納装置の物理的な構成を示すブロック図である。
【図7】本実施例1のユーザDBを示す説明図である。
【図8】本実施例1の監視シナリオDBを示す説明図である。
【図9】本実施例1の情報更新装置の論理的な構成を示すブロック図である。
【図10】本実施例1のログ情報格納装置の論理的な構成を示すブロック図である。
【図11】本実施例1のメールログDBを示す説明図である。
【図12】本実施例1のAVログDBを示す説明図である。
【図13】本実施例1のURL検査ログDBを示す説明図である。
【図14】本実施例1のファイル解析ログDBを示す説明図である。
【図15】本実施例1の監視シナリオ更新装置のブロック図である。
【図16】本実施例1の転送先決定部の処理を示すフローチャートである。
【図17】本実施例1の検知情報取得部の処理を示すフローチャートである。
【図18】本実施例1のログ解析部の処理を示すフローチャートである。
【図19】本実施例2の管理情報格納装置および監視シナリオ更新装置の構成を示すブロック図である。
【図20】本実施例2のユーザDBを示す説明図である。
【図21】本実施例2の振分装置がユーザに対応する監視シナリオを取得する処理を示すフローチャートである。
【図22】本実施例2の監視シナリオ決定ポリシDBを示す説明図である。
【図23】本実施例2のログ解析部の処理のうち、ユーザに監視シナリオを割り当てる処理を示すフローチャートである。
【発明を実施するための形態】
【0013】
以降、本発明を実施するための実施例を、図等を参照して詳細に説明する。
【実施例1】
【0014】
図1は、本実施例1のセキュリティ監視システム101および計算機システム102を含むネットワークシステム100を示すブロック図である。
【0015】
セキュリティ監視システム101と計算機システム102とは、ネットワーク103を介して接続される。計算機システム102は、特定のシステム(例えば、企業または学校等の組織のシステム)に侵入しようとするマルウェアを検出するシステムである。セキュリティ監視システム101は、計算機システム102において行われるマルウェアの検出処理を監視するシステムである。
【0016】
セキュリティ監視システム101は、振分装置105、管理情報格納装置106、情報更新装置107、ログ情報格納装置108、および、監視シナリオ更新装置109を備える。セキュリティ監視システム101に備わる各装置は、ネットワーク104を介して接続される。
【0017】
振分装置105は、計算機システム102が受信したメールを、計算機システム102が有するサーバに振り分ける装置である。管理情報格納装置106は、計算機システム102が受信したメールが、計算機システム102のいずれのサーバによって処理されるかを示す情報を保持する記憶装置である。
【0018】
情報更新装置107は、計算機システム102が有するサーバのうち少なくとも一つのサーバの処理を更新する装置である。ログ情報格納装置108は、計算機システム102における処理のログを保持する装置である。監視シナリオ更新装置109は、管理情報格納装置106の情報を更新する装置である。
【0019】
計算機システム102は、メール受信サーバ111、メール蓄積サーバ112、AV(Anti Virus)サーバ(方法A)113、AVサーバ(方法B)114、AVサーバ(方法C)115、URL検査サーバ116、および、ファイル解析サーバ117を備える。計算機システム102に備わる各サーバは、ネットワーク110を介して接続される。
【0020】
なお、計算機システム102は、前述のサーバの他に業務用サーバ、DNSサーバ、Webサーバ、ファイルサーバ、ネットワーク機器(例えば、ファイアウォールなど)、または、ユーザが使用する端末などを備えてもよい。これらサーバは、以下に示す処理とは直接の関係がないため、図示しない。
【0021】
メール受信サーバ111は、計算機システム102が所属する組織の外部ネットワークからメールを受信するメールサーバである。メール蓄積サーバ112は、メール受信サーバ111によって受信されたメールをユーザに取得させるために、受信したメールを保持するサーバである。
【0022】
AVサーバ(方法A)113と、AVサーバ(方法B)114と、AVサーバ(方法C)115とは、AVサーバであり、また、メールサーバである。さらに、これら三つのAVサーバは、メール受信サーバ111が受信したメールにマルウェアが付加されるか否かを検査(スキャン)する。そして、これら三つのAVサーバは、メールをスキャンする方法がそれぞれ異なる。
【0023】
本実施例におけるスキャンする方法には、ファイル(メールに付加されたファイル)の全部または一部にマッチするシグネチャを用いる方法、および、ファイル内の命令列からファイルがマルウェアであるか否か類推する方法、などの方法がある。スキャンする方法が異なるとは、このような方法に違いがあることを示す。さらに、本実施例においては、同じシグネチャを用いても異なるシグネチャデータベースを用いてスキャンする方法も、異なった方法であると記載する。
【0024】
このため、本実施例の三つのAVサーバ、URL検査サーバ116、および、ファイル解析サーバ117は、メールにマルウェアが付加されるか否かを各々異なる方法によってスキャンするサーバである。
【0025】
AVサーバ(方法A)113は、自らが保持するシグネチャデータベースが示すシグネチャと、メールに添付されたファイル全体とがマッチするか否かを判定することによって、マルウェアを検出できる。さらに、AVサーバ(方法A)113は、メールに記載されたURLを、自らが保持するURLブラックリストと照合することによって、不正メールを検出できる。
【0026】
また、AVサーバ(方法A)113は、シグネチャデータベースおよびURLブラックリストの他に、外部インタフェースを有する。AVサーバ(方法A)113は、外部インタフェースを介して外部から入力された情報に従って、自らが保持するシグネチャデータベースへ情報を追加し、さらに、自らが保持するURLブラックリストへ情報を追加できる。
【0027】
URL検査サーバ116は、メールサーバである。さらに、URL検査サーバ116は、受信したメールに記載されたURLが不正なものであるか否かを、自らが保持するURLブラックリストと照合することによってスキャンするサーバである。
【0028】
ファイル解析サーバ117は、メールサーバとして動作する。さらに、ファイル解析サーバ117は、例えば、受信したメールに添付されるファイルを実際に実行し、実行された結果を測定することによって、受信したメールを詳細に解析する。そして、この詳細な解析によって、ファイル解析サーバ117は、そのファイルがマルウェアであるか否かをスキャンする。
【0029】
なお、前述の計算機システム102の各サーバはあくまで一例であり、AVサーバの数およびスキャンの方法の数、URL検査サーバ116またはファイル解析サーバ117の有無、ならびに、その他のサーバの有無を制限するものではない。計算機システム102には複数のサーバが備わればよく、本実施例において、サーバの用途の内訳が明確に規定される必要はない。
【0030】
また、図1において、ネットワーク103とネットワーク104とネットワーク110とは、それぞれ別のネットワークとして示されるが、三つのネットワークのうちの任意の二つ、または、すべてのネットワークが、一つのネットワークに包含されてもよい。さらに、ネットワーク103とネットワーク104とネットワーク110とは、企業内ネットワークなどのLAN(Local Area Network)であってもよいし、インターネットであってもよい。また、ネットワーク103、ネットワーク104、およびネットワーク110には図示されない端末、または通信装置などが接続されてもよい。
【0031】
また、図1において、セキュリティ監視システム101と計算機システム102とは、一つずつ図示されるが、一つのセキュリティ監視システム101が複数の計算機システム102を監視してもよい。
【0032】
さらに、計算機システム102に備わる各サーバの機能は、各々異なる計算機が有する各機能によって実装されてもよく、さらに、一つの計算機が有する複数のプログラムによって実装されてもよい。また、セキュリティ監視システム101に備わる各装置も、各々異なる計算機によって実装されてもよく、さらに、一つの計算機が有する複数のプログラムによって実装されてもよい。
【0033】
図2は、本実施例1の振分装置105のハードウェアを示すブロック図である。
【0034】
振分装置105は、通信装置201、入力装置202、表示装置203、演算装置204、メモリ205、および、記憶装置206を備える。
【0035】
通信装置201は、ネットワークカードなどのネットワークインタフェースである。通信装置201は、ネットワーク104を介して他の装置からデータを受信し、受信したデータを演算装置204へ送る。そして、通信装置201は、演算装置204によって生成されたデータを、ネットワーク104を介して他の装置へ送信する。
【0036】
入力装置202は、キーボードまたはマウス等の装置であり、ユーザによる情報の入力を受け付けるための装置である。表示装置203は、LCD(Liquid Crystal Display)等の装置であり、管理者に情報を出力するための装置である。
【0037】
記憶装置206は、ハードディスク等の装置であり、演算装置204が実行するプログラムおよび演算装置204が使用するデータ等を格納する。メモリ205は、一時的にデータ等が読み出される記憶領域である。
【0038】
演算装置204は、記憶装置206に格納されたプログラムを実行し、振分装置105に備わる各装置を制御する。演算装置204は、入力装置202および表示装置203を制御し、入力装置202から入力されたデータを受け付け、表示装置203へデータを出力する。記憶装置206に格納されるプログラムは、演算装置204によって、記憶装置206からメモリ205に読み出され、メモリ205において実行される。
【0039】
演算装置204は、プログラムを記憶装置206から読み出すが、他の例として、CDもしくはDVD等の光学記録媒体、MO等の光磁気記録媒体、テープ媒体、磁気記録媒体、または、半導体メモリ等の記録媒体からプログラムを読み出してもよい。また他の例として、他の装置から、通信媒体を介して、プログラムを読み出してもよい。通信媒体とは、ネットワークまたはこれらを伝搬するディジタル信号または搬送波を示す。
【0040】
図1に示すその他の装置(すなわち、管理情報格納装置106、情報更新装置107、ログ情報格納装置108、監視シナリオ更新装置109、メール受信サーバ111、メール蓄積サーバ112、AVサーバ(方法A)113、AVサーバ(方法B)114、AVサーバ(方法C)115、URL検査サーバ116、ファイル解析サーバ117)のハードウェア構成は、図2に示す振分装置105と同じハードウェア構成であるか、それに相当する構成を有する。このため、その他の装置のハードウェア構成を、図示しない。
【0041】
図3は、本実施例1のセキュリティ監視システム101の処理の概要を示すブロック図である。
【0042】
本実施例において、メール蓄積サーバ112およびAVサーバ(方法A)113以外の各サーバは、受信したメールにマルウェアが付加されているか否かをスキャンした後、受信したメールをセキュリティ監視システム101の振分装置105に転送するように、あらかじめ設定される。また、メール蓄積サーバ112は、受信したメールを自らに蓄積するように、あらかじめ設定される。また、AVサーバ(方法A)113は、受信したメールにマルウェアが付加されているか否かをスキャンした後、受信したメールをメール蓄積サーバ112に転送するように、あらかじめ設定される。
【0043】
さらに、メール受信サーバ111、AVサーバ(方法A)113、AVサーバ(方法B)114、AVサーバ(方法C)115、URL検査サーバ116、およびファイル解析サーバ117は、受信したメールにマルウェアが付加されているか否かをスキャンした後、スキャン結果をログとして出力するように、あらかじめ設定される。
【0044】
ここで出力されるログには、各サーバにおいて処理された結果と、各サーバにおいて処理されたメールのヘッダ情報とが少なくとも含まれる。また、出力されるログには、各サーバにおいて処理されたメールの本文(データ部)が含まれてもよい。
【0045】
図3に示す外部ネットワーク300は、計算機システム102が所属する組織の外部のシステムに接続されるネットワークである。計算機システム102は、組織の外部のシステムから送信されるメールを、外部ネットワーク300を介して受信する。
【0046】
計算機システム102が外部ネットワーク300からメールを受信した場合、メール受信サーバ111がメールを受信する(301)。メール受信サーバ111は、メール受信サーバ111自身の設定に従い、受信したメールを振分装置105に転送する(302)。
【0047】
振分装置105は、メールを受信した場合、受信したメールの宛先ユーザに対応する監視シナリオを、管理情報格納装置106から取得する(303)。ここで、宛先ユーザとは、受信したメールの宛先となるユーザを示す識別子である。
【0048】
監視シナリオとは、受信したメールをスキャンする処理の順番を示す情報である。本実施例の監視シナリオは、受信したメールが、マルウェアが付加されているか否かをスキャンされる計算機システム102のサーバの順番を示す。受信したメールは、監視シナリオに従って、計算機システム102の各サーバを通過する。
【0049】
振分装置105は、受信したメールが次に処理されるべきサーバを、取得された監視シナリオから決定する。そして、振分装置105は、決定されたサーバへメールを転送する(304)。または、振分装置105は、決定されたサーバへメールが転送されるように、計算機システム102に指示する。
【0050】
メールが受信されたサーバが、メール蓄積サーバ112またはAVサーバ(方法A)113ではない場合、処理302、処理303、および処理304の流れが繰り返される。
【0051】
計算機システム102内の各サーバは、受信したメールを処理した後、処理においてマルウェアを検出した結果を示すログを生成する。生成されたログは、ログ情報格納装置108に収集され、ログ情報格納装置108に蓄積される(305)。
【0052】
情報更新装置107は、ログ情報格納装置108からログ情報を取得する(306)。情報更新装置107は、三つのAVサーバ、URL検査サーバ116、およびファイル解析サーバ117においてマルウェアが検出された結果を、取得されたログ情報から抽出する。情報更新装置107は、抽出された情報に基づいてAVサーバ(方法A)113が保持するシグネチャデータベース、および、URLブラックリスト等の情報を更新する(307)。
【0053】
AVサーバ(方法A)113は、情報更新装置107から情報を受信し、自身が保持するシグネチャデータベース、および、URLブラックリスト等の情報を更新する。シグネチャデータベース、およびURLブラックリストは、例えば、シグネチャ、およびURLを各々複数含むファイルとして、AVサーバ(方法A)113が有する記憶装置等に保持される。
【0054】
AVサーバ(方法A)113は、情報更新装置107から送信されたシグネチャ、およびURLによって、AVサーバ(方法A)113の記憶装置に保持されるファイルを更新する。そして、AVサーバ(方法A)113は、更新されたファイルを読み出すことによって、新たなシグネチャデータベースおよびURLブラックリストを用いてメールをスキャンする。
【0055】
また、AVサーバ(方法A)113は、自らが有するメモリに保持されるシグネチャデータベースまたはURLブラックリストに、情報更新装置107から送信された情報を追加することで、シグネチャデータベースおよびURLブラックリストを更新してもよい。
【0056】
処理305〜307によって、AVサーバ(方法A)113以外で検出された不正なメールに関する情報が、AVサーバ(方法A)113にフィードバックされる。そして、AVサーバ(方法A)113は、フィードバックされた情報に基づいてマルウェアを検出できる。
【0057】
また、監視シナリオ更新装置109は、ログ情報格納装置108からログ情報を取得する(308)。そして、監視シナリオ更新装置109は、取得されたログ情報に基づいて、管理情報格納装置106に格納された、宛先ユーザと監視シナリオとの組み合わせを更新する(309)。
【0058】
図4は、本実施例1の監視シナリオの例を示す説明図である。
【0059】
図4は、監視シナリオX401、監視シナリオY402、および監視シナリオZ403の三つの監視シナリオを示す。本実施例において、監視シナリオのいずれかがメールを受信するユーザに設定される。
【0060】
監視シナリオX401は、メール受信サーバ111によって受信されたメールが、AVサーバ(方法A)113によってスキャンされ、その後、メール蓄積サーバ112によって蓄積されることを示す。
【0061】
監視シナリオY402は、メール受信サーバ111によって受信されたメールが、AVサーバ(方法B)114、URL検査サーバ116、および、AVサーバ(方法A)113の順にそれぞれのサーバによってスキャンされ、その後、メール蓄積サーバ112に蓄積されることを示す。
【0062】
監視シナリオZ403は、メール受信サーバ111によって受信されたメールが、AVサーバ(方法B)114、AVサーバ(方法C)115、URL検査サーバ116、ファイル解析サーバ117、および、AVサーバ(方法A)113の順にそれぞれのサーバによってスキャンされ、メール蓄積サーバ112に蓄積されることを示す。
【0063】
本実施例において、監視シナリオX401、監視シナリオY402、および監視シナリオZ403の全てに、AVサーバ(方法A)113は共通して含まれるようにあらかじめ定められる。図3の処理307において行われるAVサーバ(方法A)113の情報の更新は、すべてのユーザに対するセキュリティを維持するための情報の更新となる。
【0064】
図4に示す監視シナリオは、監視シナリオX401、監視シナリオY402、監視シナリオZ403の3種類である。監視シナリオY402は、監視シナリオX401に、通過するサーバが追加された監視シナリオであり、監視シナリオX401によるセキュリティのレベルよりも、さらにセキュリティのレベルが高い監視シナリオである。
【0065】
また、監視シナリオZ403は、監視シナリオY402に、通過するサーバが追加された監視シナリオであり、監視シナリオY402によるセキュリティのレベルよりも、さらにセキュリティのレベルを高めたシナリオである。
【0066】
一方で、監視シナリオZ403は、一通のメールを多くのサーバがスキャンする監視シナリオであるため、監視シナリオY402よりもメールへの処理に時間がかかり、かつ、計算機システム102におけるリソースへの負荷が高まる監視シナリオである。同様に、監視シナリオY402は、監視シナリオX401よりもメールへの処理に時間がかかり、かつ、計算機システム102におけるリソースへの負荷が高まる監視シナリオである。
【0067】
なお、前述の三つの監視シナリオは例であり、本実施例のセキュリティ監視システム101における監視シナリオは、前述の処理内容に制限されるものではない。本実施例の監視シナリオは2種類、または4種類以上あってもよい。また、例えば、監視シナリオAはサーバAのみを示し、監視シナリオBはサーバBのみを示すように、複数のシナリオが共通するサーバを含まなくともよい。
【0068】
以下、セキュリティ監視システム101を構成する各装置の構成について説明する。
【0069】
図5は、本実施例1の振分装置105の論理的な構成を示すブロック図である。
【0070】
振分装置105は、計算機システム102から受信したメールの転送先のサーバを決定する装置である。振分装置105は、受信部501、送信部502、および、転送先決定部503を有する。受信部501、送信部502、および、転送先決定部503の機能は、プログラムを演算装置204が実行することによって実装されてもよく、また、集積回路等の物理的な装置によって実装されてもよい。
【0071】
受信部501および送信部502は、メール送信用のプロトコルSMTP(Simple Mail Transfer Protocol)に従ったインタフェースである。受信部501および送信部502は、通信装置201を介して、メールの送受信を行う。
【0072】
受信部501がメールを受信した場合、受信部501は、受信したメールを転送先決定部503へ送信する。転送先決定部503は、受信したメールの宛先ユーザに従い、受信部501から受信したメールの転送先のサーバを決定する。
【0073】
そして、転送先決定部503は、送信部502を介して、決定された転送先のサーバへ受信したメールが送信されるように、受信したメールを計算機システム102へ送信する。具体的には、転送先決定部503は、受信したメールに決定された転送先のサーバを示す情報を付加し、決定された転送先のサーバに向けて、受信したメールを送信する。
【0074】
なお、決定された転送先のサーバへ受信したメールを送信する方法は、いかなる方法でもよい。例えば、振分装置105は、計算機システム102からメールのヘッダ情報のみを受信し、転送先決定部503は、メールのヘッダ情報に従って転送先のサーバを決定してもよい。そして、振分装置105は、計算機システム102において受信したメールを最後にスキャンしたサーバに、転送先のサーバを示す情報を送信し、転送先のサーバへ受信したメールを転送させてもよい。
【0075】
図6は、本実施例1の管理情報格納装置106の論理的な構成を示すブロック図である。
【0076】
以下、図面および明細書においてデータベースを「DB」と省略する場合がある。
【0077】
管理情報格納装置106は、ユーザDB601および監視シナリオDB602を有する記憶装置である。ユーザDB601および監視シナリオDB602は、管理情報格納装置106の記憶装置206に格納される。
【0078】
ユーザDB601は、セキュリティ監視システム101によって用いられる複数の監視シナリオがいずれのユーザに適用されるかを示す情報を含む。監視シナリオDB602は、メールが通過する計算機システム102内のサーバと通過する順番とを示す監視シナリオを格納するデータベースである。
【0079】
ユーザDB601および監視シナリオDB602に格納される情報は、振分装置105の転送先決定部503が、メールの転送先のサーバを決定するために用いられる。また、ユーザDB601に格納される情報は、監視シナリオ更新装置109によって更新される。監視シナリオDB602に格納される情報は、あらかじめ管理者等によって設定される。
【0080】
図7は、本実施例1のユーザDB601を示す説明図である。
【0081】
ユーザDB601は、ユーザ識別子701およびシナリオ識別子702を含む。ユーザ識別子701は、計算機システム102を利用するユーザを一意に識別するための識別子である。シナリオ識別子702は、監視シナリオを一意に識別するための識別子である。図7に示す"X"は監視シナリオX401を示し、"Y"は監視シナリオY402を示し、"Z"は監視シナリオZ403を示す。
【0082】
本実施例において、ユーザ識別子701の値とシナリオ識別子702の値との組み合わせは、ユーザDB601において一意である。
【0083】
図8は、本実施例1の監視シナリオDB602を示す説明図である。
【0084】
監視シナリオDB602は、シナリオ識別子801、受信元サーバ802、および転送先サーバ803を含む。シナリオ識別子801は、監視シナリオを一意に識別するための識別子であり、ユーザDB601のシナリオ識別子702に相当する。受信元サーバ802および転送先サーバ803は、計算機システム102のサーバを示す。
【0085】
監視シナリオDB602の各エントリは、シナリオ識別子702が示す監視シナリオにおいて、受信元サーバ802が示すサーバから受信したメールは、転送先サーバ803が示すサーバへ送信されることを示す。
【0086】
図8に示す監視シナリオDB602は、図4に示す三つの監視シナリオに対応する。
【0087】
図9は、本実施例1の情報更新装置107の論理的な構成を示すブロック図である。
【0088】
情報更新装置107は、検知情報取得部901および更新部902を有する。検知情報取得部901は、ログ情報格納装置108から、マルウェア検知情報、または不正URL検知情報などを取得する。
【0089】
検知情報取得部901および更新部902の機能は、情報更新装置107の演算装置204がプログラムを実行することによって実装されてもよいし、集積回路等の物理的な装置によって実装されてもよい。
【0090】
更新部902は、検知情報取得部901によって取得された情報から、計算機システム102内のAVサーバ(方法A)113が利用可能な情報を抽出する。そして、更新部902は、抽出された情報を含むAVサーバ(方法A)113の更新情報を生成する。そして、更新部902は、生成された更新情報を、AVサーバ(方法A)113へ送信する。
【0091】
更新部902からAVサーバ(方法A)113に送信される更新情報は、AVサーバ(方法A)113が使用するシグネチャデータベースに追加するシグネチャの情報、およびURLブラックリストに追加する不正URLの情報を含む。AVサーバ(方法A)113が情報更新装置107から更新情報を受信した場合、シグネチャデータベース、および、URLブラックリストの少なくとも一つは更新されるため、情報更新装置107から更新情報によって、AVサーバ(方法A)113によるメールの監視方法は、変更される。
【0092】
図10は、本実施例1のログ情報格納装置108の論理的な構成を示すブロック図である。
【0093】
ログ情報格納装置108は、メールログDB1001、AVログDB1002、URL検査ログDB1003、ファイル解析ログDB1004、およびログ収集部1005を有する。ログ情報格納装置108は、計算機システム102の各サーバのログ情報を格納する記憶装置である。
【0094】
ログ収集部1005の機能は、ログ情報格納装置108の演算装置204がプログラムを実行することによって実装されてもよいし、集積回路等の物理的な装置によって実装されてもよい。メールログDB1001、AVログDB1002、URL検査ログDB1003、およびファイル解析ログDB1004は、ログ情報格納装置108の記憶装置206に格納される。
【0095】
ログ収集部1005は、計算機システム102の各サーバからログ情報を収集する。例えば、計算機システム102の各サーバが、syslogなどのログをログ情報格納装置108へ定期的に送信することによって、ログ収集部1005はログ情報を収集してもよい。また、ログ収集部1005は、計算機システム102の各サーバのsyslogなどのログを定期的に確認し、新たなログが出力されていると判定した場合、新たなログをログ情報として収集してもよい。
【0096】
新たなログ情報を収集した際、ログ収集部1005は、収集されたログ情報を、メールログDB1001、AVログDB1002、URL検査ログDB1003、および、ファイル解析ログDB1004に格納する。
【0097】
また、新たなログ情報を収集した際、ログ情報格納装置108は、収集したログ情報を情報更新装置107へ送信する。新たなログ情報は、情報更新装置107が、AVサーバ(方法A)113によるマルウェアの検出方法を更新するために用いられる。また、ログ情報格納装置108に格納されたログ情報は、監視シナリオ更新装置109によって取得され、監視シナリオ更新装置109がユーザDB601を更新するために用いられる。
【0098】
ログ情報格納装置108は、情報更新装置107または監視シナリオ更新装置109にログ情報が送信する場合、ログ情報格納装置108が有する各DBの各エントリの内容を含むデータを、ログ情報として送信する。
【0099】
なお、ログ情報格納装置108は、ログ情報格納装置108からログ情報を情報更新装置107および監視シナリオ更新装置109に送信するプログラムまたは装置(図示なし)を有してもよい。
【0100】
図11は、本実施例1のメールログDB1001を示す説明図である。
【0101】
メールログDB1001は、メール受信サーバ111が出力するログ(メールログ)に対応する。メールログDB1001は、メール識別子1101、宛先ユーザ1102、受信日時1103、発信元メールアドレス1104、およびメールデータ1105を含む。メールログDB1001の一つのエントリは、一つのメールログを示す。
【0102】
メール識別子1101は、メールを一意に識別するための識別子であり、ログ収集部1005によって割り当てられる値である。宛先ユーザ1102は、メール識別子1101が示すメールの宛先ユーザの識別子であり、管理情報格納装置106のユーザDB601のユーザ識別子701に相当する。
【0103】
受信日時1103は、メール受信サーバ111がメールを受信した日付および時刻を示す。発信元メールアドレス1104は、メールが送信されたシステム等を示すメールアドレスである。
【0104】
メールデータ1105は、メール識別子1101が示すメールのデータ全体を含む。ここで、メールデータ1105に含まれるデータ全体には、ヘッダ情報と本文(添付ファイルを含む)とが含まれる。
【0105】
本実施例におけるメールログDB1001は、メールデータ全体を格納するが、これ以外の情報を含んでもよい。例えば、メールログDB1001は、発信元のホスト情報、転送経路、添付ファイルの有無、および添付ファイル名のうち、少なくとも一つを含んでもよい。
【0106】
図12は、本実施例1のAVログDB1002を示す説明図である。
【0107】
AVログDB1002は、計算機システム102のAVサーバが出力するログ(AVログ)を蓄積するデータベースである。AVログDB1002は、メール識別子1201、宛先ユーザ1202、AVサーバ1203、スキャン結果1204、添付ファイル名1205、および、添付ファイルシグネチャ1206を含む。AVログDB1002の一つのエントリが、一つのAVログを示す。
【0108】
メール識別子1201および宛先ユーザ1202は、メールログDB1001のメール識別子1101および宛先ユーザ1102に相当する。
【0109】
AVサーバ1203は、メール識別子1201が示すメールをスキャンしたAVサーバを示す値を含む。本実施例におけるAVサーバは、方法A、方法B、方法Cの3種類を各々行う三つのAVサーバである。このため、AVサーバ1203には、これら三つのAVサーバのうちのいずれかを示す値が格納される。
【0110】
スキャン結果1204は、メール識別子1201が示すメールをAVサーバ1203が示すAVサーバがスキャンした結果を示す。具体的には、スキャン結果1204は、受信したメールにマルウェアが付加されるか否かを示す情報を含む。図12に示すスキャン結果1204には、受信したメールにマルウェアが付加されると判定された場合には"True"が格納され、マルウェアは付加されていないと判定された場合には"False"が格納される。
【0111】
添付ファイル名1205は、AVサーバの各々によってスキャンされた添付ファイルの名称を含む。
【0112】
添付ファイルシグネチャ1206には、添付ファイルがマルウェアであると判定された場合に、その添付ファイルを一意に特定するためのシグネチャ情報が格納される。添付ファイルシグネチャ1206に格納される情報には、MD5またはSHA1などのハッシュ関数によって取得されたファイルのハッシュ値がある。
【0113】
メール識別子1201が示すメールに添付ファイルがない場合、添付ファイル名1205および添付ファイルシグネチャ1206は空白である。また、添付ファイルをスキャンした結果、添付ファイルがマルウェアでないと判定された場合、添付ファイルシグネチャ1206は空白である。
【0114】
AVサーバから送信されたログ情報にシグネチャを示す値が格納される場合、ログ収集部1005は、ログ情報に格納されたシグネチャを、添付ファイルシグネチャ1206に格納する。ログ収集部1005は、AVサーバから送信されたログ情報にシグネチャを示す値が格納されない場合、添付ファイルシグネチャ1206に格納されるシグネチャの値を、収集されたログ情報に基づいて算出してもよい。
【0115】
図13は、本実施例1のURL検査ログDB1003を示す説明図である。
【0116】
URL検査ログDB1003は、URL検査サーバ116が出力するログ(URL検査ログ)を蓄積するデータベースである。URL検査ログDB1003は、メール識別子1301、宛先ユーザ1302、検査サーバ1303、URL検査結果1304、および、記載URL1305を含む。URL検査ログDB1003の一つのエントリが、一つのURL検査ログを示す。
【0117】
メール識別子1301および宛先ユーザ1302は、メールログDB1001のメール識別子1101および宛先ユーザ1102に相当する。
【0118】
検査サーバ1303は、メール識別子1301が示すメールに記載されたURLをスキャンしたURL検査サーバ116を示す値を含む。
【0119】
本実施例において、URLをスキャンするAVサーバ以外のサーバは、URL検査サーバ116のみである。このため、図13に示す検査サーバ1303に格納される値はURL検査サーバ116を示す値のみである。しかし、URL検査サーバ116が複数ある場合、検査サーバ1303には、複数のURL検査サーバ116の各々を識別する値が含まれる。
【0120】
URL検査結果1304は、メール識別子1301が示すメールを検査サーバ1303が示すURL検査サーバがスキャンした結果を示す。具体的には、URL検査結果1304は、メール識別子1301が示すメールの本文内に記載されたURLが不正であるか否かを示す情報を含む。URL検査結果1304は、メールに記載されたURLが不正であると判定された場合"True"が格納され、メールに記載されたURLが不正でないと判定された場合"False"が格納される。
【0121】
記載URL1305は、検査サーバ1303によってスキャンされたURLを示す。
【0122】
図14は、本実施例1のファイル解析ログDB1004を示す説明図である。
【0123】
ファイル解析ログDB1004は、ファイル解析サーバ117が出力するログ(ファイル解析ログ)を蓄積するデータベースである。ファイル解析ログDB1004は、メール識別子1401、宛先ユーザ1402、解析サーバ1403、添付ファイル解析結果1404、添付ファイル名1405、および添付ファイルシグネチャ1406を含む。ファイル解析ログDB1004の一つのエントリが、一つのファイル解析ログを示す。
【0124】
メール識別子1401および宛先ユーザ1402は、メールログDB1001のメール識別子1101および宛先ユーザ1102に対応する。
【0125】
解析サーバ1403は、メール識別子1401が示すメールの添付ファイルを解析したファイル解析サーバを示す情報である。本実施例において、添付ファイルを解析するAVサーバ以外のサーバは、ファイル解析サーバ117のみであるため、図14に示すファイル解析ログDB1004の解析サーバ1403には、ファイル解析サーバ117を示す値のみが格納される。
【0126】
添付ファイル解析結果1404は、メール識別子1401が示すメールの添付ファイルを解析サーバ1403で解析した結果を示し、具体的には、解析された添付ファイルがマルウェアであるか否か判定された結果を示す。添付ファイル解析結果1404には、添付ファイルがマルウェアであると判定された場合"True"が格納され、添付ファイルがマルウェアでないと判定された場合"False"が格納される。
【0127】
添付ファイル名1405は、解析された添付ファイルの名称を示す。
【0128】
添付ファイルシグネチャ1406には、添付ファイルがマルウェアであると判定された場合、添付ファイルを一意に識別するためのシグネチャを示す値が格納される。添付ファイルシグネチャ1406に格納される情報には、AVログDB1002の添付ファイルシグネチャ1206と同じく、MD5またはSHA1などのハッシュ関数によって取得されたファイルのハッシュ値がある。
【0129】
メール識別子1401が示すメールに添付ファイルがない場合、添付ファイル名1405および添付ファイルシグネチャ1406は空白である。また、添付ファイルが解析された結果添付ファイルがマルウェアでないと判定された場合、添付ファイルシグネチャ1406は空白である。
【0130】
ログ収集部1005は、メール受信サーバ111からログ情報を収集した場合、収集したログ情報から受信したメールに関する情報を抽出する。そして、ログ収集部1005は、抽出された情報に基づいて、受信したメールの各々に一意に識別するメール識別子を割り当てる。そして、ログ収集部1005は、割り当てられたメール識別子を、メールログDB1001のメール識別子1101に格納し、ログ情報から抽出された情報を、メールログDB1001の各エントリに格納する。
【0131】
メール受信サーバ111以外のサーバが出力したログ情報を収集した場合、ログ収集部1005は、メールログDB1001に格納された情報(特に、メールデータ1105)と、収集されたログ情報(例えば、ログ情報に含まれるメールのヘッダ情報)とを比較する。ログ収集部1005は、比較の結果に基づいて、収集されたログ情報に対応するメールを示すメールログDB1001のエントリを抽出し、抽出されたエントリのメール識別子1101の値を取得する。
【0132】
そして、ログ収集部1005は、取得されたメール識別子1101の値を、ログ情報の収集元のサーバに対応するデータベースのメール識別子の領域(AVログDB1002のメール識別子1201、URL検査ログDB1003のメール識別子1301、またはファイル解析ログDB1004のメール識別子1401)に格納する。そして、ログ収集部1005は、あらかじめ定められたテンプレート等によって、収集されたログ情報の値から各DBの情報を抽出し、抽出された情報を各DBに格納する。
【0133】
なお、三つのAVサーバ、または、ファイル解析サーバ117から収集されたログ情報に添付ファイルシグネチャ情報(添付ファイルシグネチャ1206または添付ファイルシグネチャ1406に相当)が含まれていない場合、ログ収集部1005は、添付ファイルシグネチャを生成する。
【0134】
具体的には、三つのAVサーバから収集されたログ情報に、添付ファイルシグネチャ情報(添付ファイルシグネチャ1206に相当)が含まれておらず、かつ、スキャン結果1204相当の値として"True"が含まれていた場合、ログ収集部1005は、収集されたログ情報に対応するメールを示すメールログDB1001のエントリを抽出する。そして、抽出されたエントリのメールデータ1105から、添付ファイルシグネチャを生成する。そして、ログ収集部1005は、生成された添付ファイルシグネチャを、添付ファイルシグネチャ1206に格納する。
【0135】
ここで、ログ収集部1005は、メールデータ1105の値から、あらかじめ定められたテンプレートを用いて、添付ファイルを示す識別子を抽出し、抽出された識別子を添付ファイルシグネチャとしてもよい。また、あらかじめ定められた手順によって、メールデータ1105の値から、添付ファイルシグネチャを生成してもよい。
【0136】
また、ファイル解析サーバ117から収集されたログ情報に、添付ファイルシグネチャ情報(添付ファイルシグネチャ1406に相当)が含まれておらず、かつ、添付ファイル解析結果1404相当の値として"True"が含まれていた場合においても、ログ収集部1005は、前述の方法と同じく、添付ファイルシグネチャを生成する。
【0137】
図15は、本実施例1の監視シナリオ更新装置109のブロック図である。
【0138】
監視シナリオ更新装置109は、ログ解析部1501、および更新部1502を有する。ログ解析部1501、および更新部1502の機能は、監視シナリオ更新装置109の演算装置204がプログラムを実行することによって実装されてもよいし、集積回路等の物理的な装置によって実装されてもよい。
【0139】
ログ解析部1501は、ログ情報格納装置108に格納されたログ情報を取得し、取得されたログ情報に基づいて、ユーザと監視シナリオとの組み合わせ(ユーザDB601に相当)を更新するための更新情報を生成する。生成された更新情報は、更新部1502に送られ、更新部1502によって管理情報格納装置106へ送信される。
【0140】
以上が、セキュリティ監視システム101を構成する装置の構成になる。以下では、各装置の動作について詳細に説明する。
【0141】
図16は、本実施例1の転送先決定部503の処理を示すフローチャートである。
【0142】
転送先決定部503は、受信部501からメールを転送された際に図16に示す処理を開始する。受信部501がメールを受信した場合(図3に示す処理302に相当)、転送先決定部503は、受信部501からメールを転送されることによって、受信部501からメールを取得する(S1601)。
【0143】
なお、受信部501は、あらかじめ定められた期間において受信した複数のメールを、転送先決定部503に転送してもよい。また、受信部501は、S1601において、メールを送信した計算機システム102のサーバを示す受信元サーバの値が付加されていない場合、転送先決定部503に転送するメールに受信元サーバの値を付加する。
【0144】
S1601の後、転送先決定部503は、受信した一つまたは複数のメールから、宛先ユーザを抽出する(S1602)。ここで抽出される一つまたは複数の宛先ユーザは、ユーザを示す値であり、ユーザDB601のユーザ識別子701に相当する。
【0145】
S1602の後、転送先決定部503は、S1602において抽出された宛先ユーザごとに、受信した一つまたは複数のメールに、S1604からS1606までの処理を繰り返す(S1603)。具体的には、転送先決定部503はS1603において、S1602において抽出された一つまたは複数の宛先ユーザのうち、S1604〜S1606の処理が行われていない一つの宛先ユーザを任意に選択する。
【0146】
転送先決定部503は、管理情報格納装置106のユーザDB601を参照する(図3に示す処理303に相当)。そして、転送先決定部503は、S1603において選択された宛先ユーザを示すユーザ識別子701の、ユーザDB601の一つのエントリを抽出する。そして、転送先決定部503は、抽出された一つのエントリのシナリオ識別子702から監視シナリオのシナリオ識別子を取得する(S1604)。
【0147】
S1604の後、転送先決定部503は、管理情報格納装置106の監視シナリオDB602を参照する(図3に示す処理303に相当)。そして、転送先決定部503は、S1604において取得されたシナリオ識別子をシナリオ識別子801に含み、S1603において選択された宛先ユーザのメール(一つまたは複数)に付加された受信元サーバの値を受信元サーバ802に含むエントリ(一つまたは複数)を、監視シナリオDB602から抽出する。
【0148】
そして、転送先決定部503は、抽出されたエントリの転送先サーバ803の値を、メールの転送先サーバとして各々取得する(1605)。
【0149】
S1605の後、転送先決定部503は、S1605において取得された転送先サーバ803の値を、メールの転送先サーバとして各々決定する。そして、転送先決定部503は、一つまたは複数のメールと、各メールに決定された送信先のサーバを示す値とを送信部502に送信する(S1606)。
【0150】
送信部502は、転送先決定部503によって決定された転送先サーバへ、一つまたは複数のメールが各々送信されるように、一つまたは複数のメールを計算機システム102へ送信する(図3に示す処理304に相当)。例えば、送信部502は、決定された転送先サーバを示す値を宛先サーバのアドレスとして付加されたメールの各々を送信してもよい。
【0151】
S1606の後、転送先決定部503は、S1603に戻る。
【0152】
S1603においてすべての宛先ユーザを選択した後、転送先決定部503は、図16に示す処理を終了する。
【0153】
図16に示す処理によれば、振分装置105は、受信したメールの宛先ユーザと監視シナリオとに従って、受信したメールが次にスキャンされるべき計算機システム102のサーバを決定できる。このため、セキュリティ監視システム101は、宛先ユーザごとに異なる監視シナリオを用いることによって、宛先ユーザごとにセキュリティのレベルを変更することが可能である。
【0154】
すなわち、実施例1のセキュリティ監視システム101は、高いセキュリティレベルが必要なユーザにメールが送信された場合、多くのサーバにメールをスキャンさせる監視シナリオを用いることによって、セキュリティレベルを高めることができる。
【0155】
また、実施例1のセキュリティ監視システム101は、高いセキュリティレベルが不要なユーザにメールが送信された場合、メールをスキャンするサーバが少ない監視シナリオを用いることによって、セキュリティレベルを低めることができる。これによって、セキュリティ監視システム101は、計算機システム102の各サーバの処理の負荷を、低減することができ、さらに、各サーバによって出力されるログの量を抑制することができる。
【0156】
図17は、本実施例1の検知情報取得部901の処理を示すフローチャートである。
【0157】
情報更新装置107の検知情報取得部901は、ログ情報格納装置108からログ情報(図17においては、最新のAVログ、最新のURL検査ログ、および最新のファイル解析ログ)を送信された場合(図3の処理308に相当)、図17に示す処理を開始する。
【0158】
ログ情報格納装置108は、あらかじめ定められた期間において、最新のログ情報を検知情報取得部901に送信してもよい。また、ログ情報格納装置108は、検知情報取得部901に未送信のログ情報が、あらかじめ定められた量蓄積された場合に、最新のログ情報を検知情報取得部901に送信してもよい。
【0159】
検知情報取得部901は、ログ情報格納装置108から最新のログ情報を取得する(S1701、図3の処理306に相当)。S1701の後、検知情報取得部901は、取得されたログ情報の中から、AVサーバ1203がAVサーバ(方法A)113以外を示し、かつ、スキャン結果1204が"True"を示す、一つまたは複数のAVログを抽出できるか否かを判定する(S1702)。すなわち、S1702において、検知情報取得部901は、AVサーバ(方法A)113以外のAVサーバがマルウェアを検出したことを示すAVログを抽出できるか否かを判定する。
【0160】
S1702において、AVログを抽出できないと判定された場合、AVサーバ(方法A)113のシグネチャデータベースをAVログによって更新する必要がないため、検知情報取得部901は、S1704に進む。
【0161】
S1702において、一つまたは複数のAVログを抽出できると判定された場合、検知情報取得部901は、S1703に進む。検知情報取得部901は、S1702において抽出された一つまたは複数のAVログの添付ファイルシグネチャ1206の情報を、更新部902に送信する(S1703)。
【0162】
S1702においてAVログを抽出できないと判定された場合、または、S1703の後、検知情報取得部901は、S1701において取得されたログ情報の中から、URLスキャン結果1304が"True"を示す、一つまたは複数のURL検査ログを抽出できるか否かを判定する(S1704)。
【0163】
S1704においてURL検査ログを抽出できないと判定された場合、AVサーバ(方法A)113のURLブラックリストをURL検査ログによって更新する必要がないため、検知情報取得部901は、S1706に進む。
【0164】
S1704において、一つまたは複数のURL検査ログを抽出できると判定された場合、検知情報取得部901は、S1704において抽出された一つまたは複数のURL検査ログの記載URL1305の情報を、更新部902に送信する(S1705)。
【0165】
S1704においてURL検査ログを抽出できないと判定された場合、または、S1705の後、検知情報取得部901は、S1701において取得されたログ情報の中から、添付ファイル解析結果1404が"True"を示す、一つまたは複数のファイル解析ログを抽出できるか否かを判定する(S1706)。
【0166】
S1706においてファイル解析ログを抽出できないと判定された場合、検知情報取得部901は、AVサーバ(方法A)113のシグネチャデータベースをファイル解析ログによって更新する必要がない。
【0167】
S1706において、一つまたは複数のファイル解析ログを抽出できると判定された場合、S1706において抽出された一つまたは複数のファイル解析ログの添付ファイルシグネチャ1406の情報を、更新部902に送信する(S1707)。S1706においてファイル解析ログを抽出できないと判定された場合、または、S1707の後、検知情報取得部901は、図17に示す処理を終了する。
【0168】
更新部902は、検知情報取得部901から情報を送信された場合、送信された情報に基づいて、AVサーバ(方法A)113のシグネチャデータベースまたはURLブラックリストを更新するための更新情報を生成する。そして、更新部902は、生成された更新情報をAVサーバ(方法A)113に送信する(図3の処理307に相当)。
【0169】
図17に示す処理によって、セキュリティ監視システム101は、計算機システム102における各サーバのスキャンの結果に基づいて、計算機システム102の一部のサーバにおけるスキャンの方法を随時変更できる。さらに、これによって、セキュリティ監視システム101は、計算機システム102が提供するセキュリティのレベルを随時変更できる。
【0170】
具体的には、前述の処理において、計算機システム102における各サーバのスキャンの結果に基づいて、情報更新装置107は、AVサーバ(方法A)113におけるスキャンの方法を変更した。これは、AVサーバ(方法A)113によって保持されるセキュリティのレベルを上げることである。そして、複数の監視シナリオに共通して含まれるAVサーバ(方法A)113のセキュリティのレベルを上げることは、計算機システム102によって提供されるセキュリティのレベルを上げることである。このため、図17に示す処理によって、計算機システム102が提供するセキュリティのレベルを随時変更できる。
【0171】
図18は、本実施例1のログ解析部1501の処理を示すフローチャートである。
【0172】
監視シナリオ更新装置109のログ解析部1501は、あらかじめ定められた期間において、または、システム管理者の指定するタイミングにおいて、図18に示す処理を開始する。
【0173】
ログ解析部1501は、すべての宛先ユーザにS1802からS1804までの処理を繰り返す(S1801)。S1801におけるすべての宛先ユーザとは、メールログDB1001の宛先ユーザ1102が示すすべての宛先ユーザでもよい。また、S1801におけるすべての宛先ユーザとは、受信時刻1103の値があらかじめ定められた期間に含まれるメールログの宛先ユーザ1102が示すすべての宛先ユーザでもよい。
【0174】
S1801においてログ解析部1501は、すべての宛先ユーザ1102が示すすべての宛先ユーザのうち、S1802〜S1804の処理が行われていない一つの宛先ユーザを選択する。
【0175】
ログ解析部1501は、ログ情報格納装置108のメールログDB1001を参照し(図3の処理308に相当)、宛先ユーザ1102が、選択された宛先ユーザを示すメールログDB1001のエントリを一つまたは複数抽出する。そして、ログ解析部1501は、抽出された一つまたは複数のエントリのメール識別子1101を、選択された宛先ユーザに送信されたメールを示す一つまたは複数のメール識別子として取得する。さらに、ログ解析部1501は、抽出された一つまたは複数のエントリの数を、選択された宛先ユーザに送信されたメールの総数として算出する(S1802)。
【0176】
ここで、S1802におけるログ解析部1501は、選択された宛先ユーザに送信されたメールを示すすべてのエントリを、メールログDB1001から抽出してもよい。また、ログ解析部1501は、抽出するメールログDB1001のエントリをあらかじめ定められた方法によって制限してもよい。
【0177】
例えば、ログ解析部1501は、S1802において、メールログDB1001の受信日時1103があらかじめ定められた期間に含まれる日時を示すメールログDB1001のエントリのみを抽出してもよいし、最新のエントリからあらかじめ定められた件数のエントリをメールログDB1001から抽出してもよい。
【0178】
S1802の後、ログ解析部1501は、ログ情報格納装置108のAVログDB1002を参照し(図3の処理308に相当)、メール識別子1201が、S1802において抽出された一つまたは複数のエントリのメール識別子1101の値を示し、かつ、スキャン結果1204が、"True"(添付ファイルがマルウェアであると検知された)を示すエントリを抽出する。そして、ログ解析部1501は、抽出されたエントリの数を算出する(S1803)。
【0179】
S1803において算出されるエントリの数は、S1801において選択された宛先ユーザに送信され、かつ、マルウェアを付加されたメールの数である。このため、S1803において算出されるエントリの数は、0でもよい。
【0180】
ここで、S1803におけるログ解析部1501は、前述のメール識別子1201およびスキャン結果1204の条件によって抽出されたエントリの中から、さらに、AVサーバ1203がAVサーバ(方法A)113を示すAVログのエントリを抽出してもよい。そして、ログ解析部1501は、最終的に抽出されたAVログのエントリの数を、マルウェアを付加されたメールの数として、算出してもよい。
【0181】
また、S1803におけるログ解析部1501は、AVログだけでなく、URL検査ログおよびファイル解析ログの少なくとも一つから、S1802において抽出された一つまたは複数のエントリのメール識別子1101が示すメールに、マルウェアが付加されていたことを示すエントリを抽出してもよい。そして、ログ解析部1501は、AVログと、URL検査ログおよびファイル解析ログの少なくとも一つとから抽出されたエントリの数を、マルウェアを付加されたメールの数として算出してもよい。
【0182】
具体的には、ログ解析部1501は、マルウェアを付加されたメールを示すエントリとして、URL検査ログDB1003のURL検査結果1304が"True"を示すエントリを抽出してもよく、さらに、ファイル解析ログDB1004の添付ファイル解析結果1404が"True"を示すエントリを抽出してもよい。
【0183】
S1803の後、S1802において算出されたメールの総数によって、S1803において算出されたマルウェアを付加されたメールの数を除算することによって、S1801において選択された宛先ユーザのマルウェアメール受信率を算出する(S1804)。S1802〜S1804を繰り返すことによって、すべての宛先ユーザのマルウェアメール受信率を算出する。
【0184】
本実施例のマルウェアメール受信率は、宛先ユーザごとに算出され、宛先ユーザに送信されるメールのうち、マルウェアが付加されたメールが占める割合を示す。このため、マルウェアメール受信率が高い場合、送信されるメールに頻繁にマルウェアが付加されることを示す。
【0185】
S1802〜S1804によってすべての宛先ユーザのマルウェアメール受信率を算出した後、ログ解析部1501は、すべての宛先ユーザをマルウェアメール受信率でソートする(S1805)。S1805の後、ログ解析部1501は、マルウェアメール受信率に従って宛先ユーザの各々に監視シナリオを割り当てる(S1806)。
【0186】
実施例1におけるログ解析部1501は、S1806において、あらかじめ定められた方法により、監視シナリオを宛先ユーザの各々に割り当てる。あらかじめ定められた方法とは、マルウェアメール受信率が閾値Th_z以上の宛先ユーザに、監視シナリオZ403を割り当て、マルウェアメール受信率が閾値Th_y以上閾値Th_z未満の宛先ユーザに、監視シナリオY402を割り当て、さらに、マルウェアメール受信率が閾値Th_y未満の宛先ユーザに、監視シナリオX401を割り当てる方法である。閾値Th_yおよび閾値Th_zは、あらかじめ定められた閾値である。
【0187】
さらに、ログ解析部1501は、S1806において、前述の割り当て結果に基づいて、宛先ユーザを示す識別子(ユーザDB601のユーザ識別子701に相当)と、宛先ユーザに割り当てられた監視シナリオを示す識別子(ユーザDB601のシナリオ識別子702)とを含む監視シナリオ更新情報を生成する。
【0188】
S1806の後、ログ解析部1501は、生成された監視シナリオ更新情報を、更新部1502へ送信する(S1807)。S1807の後、ログ解析部1501は、図18に示す処理を終了する。
【0189】
更新部1502は、ログ解析部1501から受信した監視シナリオ更新情報を、管理情報格納装置106へ送信し(図3の処理309に相当)、管理情報格納装置106のユーザDB601を、受信した監視シナリオ更新情報によって更新する。
【0190】
S1806における各宛先ユーザへの監視シナリオの割り当て方法は、前述した方法に制限されるものではない。例えば、監視シナリオの割り当て方法は、マルウェアメール受信率上位から全宛先ユーザの5%にあたる数の宛先ユーザに監視シナリオZ403を割り当て、次のマルウェアメール受信率上位から全宛先ユーザの5%にあたる数の宛先ユーザに監視シナリオY402を割り当て、残りの宛先ユーザに監視シナリオX401を割り当てる、といった方法でもよい。
【0191】
図18に示す処理によって、実施例1のセキュリティ監視システム101は、計算機システム102において検出されたマルウェアに関する最新の情報に基づいて、監視シナリオを各ユーザに適切に割り当てることができる。例えば、実施例1のセキュリティ監視システム101は、宛先ユーザSに送信されるメールからマルウェアが頻繁に検出される場合、計算機システム102に、宛先ユーザSに送信されるメールをスキャンするレベルをあげさせることができる。この結果、セキュリティ監視システム101は、計算機システム102に、各宛先ユーザに適切なセキュリティレベルを提供させることができる。
【0192】
前述の実施例1では、計算機システム102が、マルウェアが付加されるか否かスキャンする対象はメールである。しかし、本実施例1のセキュリティ監視システム101の対象はメールに制限されない。例えば、計算機システム102がWeb閲覧時のトラヒックをスキャンする場合も、実施例1のセキュリティ監視システムに前述の構成と同様の構成を適用することができる。
【0193】
計算機システム102がWeb閲覧時のトラヒックを対象とする場合、計算機システム102のサーバの各々は、Proxyサーバとして動作する。前述の実施例1におけるAVサーバ、URL検査サーバ116、およびファイル解析サーバ117は、計算機システム102がWeb閲覧時のトラヒックを対象とする場合、URLフィルタリング、コンテンツフィルタリング、およびマルウェアフィルタリングを行うサーバに置き換わる。また、インターネットのWebへ最終的にアクセスするサーバ以外の各サーバは、受信したリクエストを振分装置105に転送するように設定される。
【0194】
ユーザがWebへアクセスする場合、ユーザは端末を介して、計算機システム102のProxyサーバへリクエストを送信する。Proxyサーバは、リクエストを受信した場合、Webアクセスに関する処理を行い、さらに、自身の設定に従い受信したリクエストを振分装置105へ転送する。
【0195】
振分装置105は、前述の実施例1と同様に、リクエストを送信したユーザに割り当てられた監視シナリオを抽出し、抽出された監視シナリオからリクエストの転送先サーバを決定する。そして、振分装置105は、決定された転送先サーバにリクエストを送信する。転送先サーバが、インターネットのWebへ最終的にアクセスするサーバでない場合、転送先サーバは、Webへのアクセスに関する処理を行い、さらに、自身の設定に従いリクエストを振分装置105へ転送する。リクエストがインターネットのWebへ最終的にアクセスするサーバに転送されるまで、これらの処理が繰り返される。
【0196】
なお、本例の監視シナリオは、インターネットのWebへ最終的にアクセスするサーバが、すべてのユーザのリクエストをスキャンするように、あらかじめ設定される。
【0197】
インターネットのWebへ最終的にアクセスするサーバは、計算機システム102のサーバの各々によってリクエストから取得された不正URL、および不正コンテンツなどに関する情報を、情報更新装置107から送信される。これによって、インターネットのWebへ最終的にアクセスするサーバにおけるフィルタリングが強化される。
【0198】
なお、実施例1においては、セキュリティ監視システム101を複数の装置で構成したが、セキュリティ監視システム101は、これらの装置のうち二つ以上の装置の機能を1台に集約した装置を用いて、実装されてもよい。さらに、セキュリティ監視システム101の機能を1台に集約したセキュリティ監視装置が構成されてもよい。
【0199】
実施例1におけるセキュリティ監視システム101は、すべてのユーザに対してすべてのサーバを用いてメールをスキャンする場合に比べ、必要なセキュリティレベルに従って各ユーザ宛てのメールをスキャンする。このため、実施例1のセキュリティ監視システム101は、効率のよいセキュリティ監視を実現することができる。また、セキュリティ監視システム101は、必要なセキュリティレベルに従ってメールをスキャンするサーバが定められるため、サーバから出力されるログの量を低減させることができる。
【実施例2】
【0200】
実施例2におけるセキュリティ監視システム101について説明する。実施例2におけるセキュリティ監視システム101によると、ユーザごとに監視シナリオを割り当てる方法を、運用時に柔軟に変更でき、また、ユーザの役職または業務に従った監視シナリオをユーザに割り当てることができる。なお、実施例2の説明において、既に説明した図に示されたものと同一の符号を付された構成要素、機能部、および処理ステップについては、説明を省略する。
【0201】
図19は、本実施例2の管理情報格納装置106および監視シナリオ更新装置109の構成を示すブロック図である。
【0202】
実施例1と実施例2との相違点を以下に示す。一つ目の相違点は、実施例2のユーザDB1901が、実施例1のユーザDB601の情報と、実施例1のユーザDB601には含まれない情報とを含むことである。また、二つ目の相違点は、実施例2の管理情報格納装置106が、監視シナリオ決定ポリシDB1902を有する点である。また、三つ目の相違点は、ログ解析部1903と、転送先決定部503との処理が、実施例1のログ解析部1501と、転送先決定部503との処理と、各々異なる点である。
【0203】
ユーザに監視シナリオを割り当てる方法は、実施例1においてはあらかじめ定められていたが、実施例2においてユーザに監視シナリオを割り当てる方法は、管理者等によってポリシグループが指定されることによって随時変更可能である。
【0204】
監視シナリオ決定ポリシDB1902は、ユーザに監視シナリオを割り当てる方法のパターンを示し、実施例2によれば、管理者等は、監視シナリオ決定ポリシDB1902が示すポリシグループを指定することによって、監視シナリオを割り当てる方法を随時変更することができる。
【0205】
監視シナリオ決定ポリシDB1902に格納される値は、あらかじめ管理者等によって定められる。監視シナリオ決定ポリシDB1902は、管理情報格納装置106の記憶装置206に格納される。
【0206】
ログ解析部1903は、ログ情報格納装置108から取得されたログ情報を解析し、さらに、解析結果と、ユーザDB1901と、監視シナリオ決定ポリシDB1902とに基づいて、監視シナリオ更新情報を生成する。
【0207】
図20は、本実施例2のユーザDB1901を示す説明図である。
【0208】
ユーザDB1901は、実施例1のユーザDB601が含む情報(ユーザ識別子701およびシナリオ識別子702)に加え、ユーザと監視シナリオとの組み合わせを静的に定めるためのフィールドを含む。
【0209】
ユーザDB1901は、ユーザ識別子701、シナリオ識別子702、および静的シナリオ2001を含む。静的シナリオ2001には、ユーザに対して静的に監視シナリオを割り当てる場合に値があらかじめ設定される。図20に示すユーザDB1901は、ユーザ識別子701が"ddd"であるユーザ(ユーザ"ddd")には、静的シナリオ2001が示す監視シナリオZ403が常に割り当てられることを示す。
【0210】
このため、監視シナリオ更新装置109のログ解析部1501によって生成された監視シナリオ更新情報が、ユーザ"ddd"には監視シナリオX401が割り当てられることを示す場合も、ユーザ"ddd"には監視シナリオZ403が最終的に割り当てられる。
【0211】
図21は、本実施例2の振分装置105がユーザに対応する監視シナリオを取得する処理を示すフローチャートである。
【0212】
実施例2の転送先決定部503は、受信したメールの転送先サーバを決定するため、受信したメールの宛先ユーザの監視シナリオを取得する処理(図16のS1604)において、ユーザDB1901の静的シナリオ2001を参照する。この点において、実施例1の転送先決定部503の処理と、実施例2の転送先決定部503の処理とは異なる。図21に示す処理は、図16に示すS1604に相当する。
【0213】
図16に示すS1603の後、実施例2の転送先決定部503は、S1603において選択された宛先ユーザを示すユーザ識別子701のエントリを、ユーザDB1901から抽出し、抽出されたエントリの静的シナリオ2001に値が格納されるか否かを判定する(S2301)。
【0214】
静的シナリオ2001に値が格納されない場合、転送先決定部503は、抽出されたエントリのシナリオ識別子702に格納される値を監視シナリオのシナリオ識別子として取得する(S2302)。また、静的シナリオ2001に値が格納される場合、転送先決定部503は、抽出されたエントリの静的シナリオ2001に格納される値を監視シナリオのシナリオ識別子として取得する(S2303)。
【0215】
S2302またはS2303の後、転送先決定部503は、S1604の処理を終了し、S1605を開始する。
【0216】
図21に示す処理によって、監視シナリオ更新装置109がシナリオ識別子702を更新した場合も、転送先決定部503は、静的シナリオをあらかじめ定められているユーザに、静的シナリオを監視シナリオとして割り当てることができる。また、これによって、転送先決定部503は、特定のユーザには、常に同じ監視シナリオを割り当てることができる。
【0217】
図22は、本実施例2の監視シナリオ決定ポリシDB1902を示す説明図である。
【0218】
監視シナリオ決定ポリシDB1902は、ポリシグループ識別子2101、ポリシ識別子2102、シナリオ識別子2103、優先度2104、パラメータ下限2105、パラメータ上限2106、および限定数2107を含む。
【0219】
ポリシグループ識別子2101は、ポリシグループを一意に識別する識別子である。一つのポリシグループは、複数のポリシを含む。複数のポリシの各々は、複数の監視シナリオの各々と、当該監視シナリオの各々をユーザに割り当てるための方法とを示す。
【0220】
ポリシグループ識別子2101には、複数のポリシグループを示す値が格納される。これによって、管理者が、セキュリティ監視システム101の運用時に、適用されるポリシグループの値を指定するだけで、ユーザに監視シナリオを割り当てる方法を変更できる。
【0221】
ポリシ識別子2102は、ポリシを一意に識別するための識別子を含む。シナリオ識別子2103は、ポリシ識別子2102が示すポリシに対応する監視シナリオのシナリオ識別子を含む。実施例2において、一つのポリシには一つの監視シナリオが対応する。
【0222】
優先度2104は、各ポリシグループにおいてポリシが用いられる優先度を示す。本実施例において、優先度2104に大きい数値が格納されるエントリは、優先的に用いられるポリシを示す。
【0223】
パラメータ下限2105は、各ポリシに適合するユーザの条件を示す値であり、実施例2において、マルウェアメール受信率の下限値を示す。例えば、ユーザTに算出されたマルウェアメール受信率が監視シナリオ決定ポリシDB1902のエントリUのパラメータ下限2105の値以上である場合、ユーザTにはエントリUのポリシによって、監視シナリオが割り当てられる。
【0224】
パラメータ上限2106は、各ポリシに適合するユーザの条件を示す値であり、実施例2において、マルウェアメール受信率の上限値を示す。例えば、ユーザTに算出されたマルウェアメール受信率が監視シナリオ決定ポリシDB1902のエントリVのパラメータ上限2106の値より小さい場合、ユーザTにはエントリVのポリシによって、監視シナリオが割り当てられる。
【0225】
パラメータ下限2105の値が格納されないエントリは、マルウェアメール受信率の下限が設定されないポリシを示す。パラメータ上限2106の値が格納されないエントリは、マルウェアメール受信率の上限が設定されないポリシ、すなわち、マルウェアメール受信率が無限大であるポリシを示す。
【0226】
限定数2107は、ポリシ識別子2102が示すポリシによって監視シナリオを割り当てられるユーザの上限数を示す。ポリシ識別子2102が示すポリシの監視シナリオが割り当てられたユーザが、限定数2107に格納される値と同じ値になった後、当該ポリシによってユーザに監視シナリオは割り当てられない。限定数2107に値が格納されない場合、ポリシに割り当てられるユーザの数は制限されない。
【0227】
図22に示す例において、ポリシグループ識別子2101が"PG01"であるエントリは、マルウェアメール受信率の高い5ユーザに監視シナリオZ403を割り当て、残りのユーザのうちマルウェアメール受信率が0.1以上のユーザに監視シナリオY402を割り当て、さらに残りのユーザに監視シナリオX401を割り当てることを示す。
【0228】
図23は、本実施例2のログ解析部1903の処理のうち、ユーザに監視シナリオを割り当てる処理を示すフローチャートである。
【0229】
図23に示す処理は、図18のS1806に相当する処理である。実施例1におけるログ解析部1501の処理と実施例2におけるログ解析部1903の処理とは、S1806の処理のみが異なる。
【0230】
S1805の後、ログ解析部1903は、計算機システム102に適用するポリシグループの識別子を取得する(S2201)。ポリシグループの識別子は、管理者が必要に応じて変更する、ログ解析部1903の設定情報にあらかじめ格納される。このためログ解析部1903は、S2201において、自らが有する設定情報から、計算機システム102に適用するポリシグループの識別子を取得する。
【0231】
S2201の後、ログ解析部1903は、監視シナリオ更新装置109の監視シナリオ決定ポリシDB1902において、ポリシグループ識別子2101がS2201において取得されたポリシグループの識別子を示すエントリを、すべて抽出する(S2202)。ここで抽出されるエントリの各々は、監視シナリオを割り当てるためのポリシを示す。S2202の後、ログ解析部1903は、抽出された複数のエントリ(ポリシ)を、優先度2104の値が大きい順にソートする(S2203)。
【0232】
S2203の後、ログ解析部1903は、マルウェアメール受信率の高い順に、すべての宛先ユーザにS2207〜S2209の処理を繰り返す(S2204)。具体的には、ログ解析部1903は、S2204において、S2205の処理が実行されていない宛先ユーザを、マルウェアメール受信率が高い順に一人選択する。
【0233】
また、ログ解析部1903は、S2206およびS2207の処理を、S2203においてソートされたすべてのエントリ(ポリシ)について繰り返す(S2205)。具体的には、S2205においてログ解析部1903は、S2203においてソートされたエントリのうち、S2206の処理が実行されていないエントリを、優先度2104の値が大きい順に一つ選択する。
【0234】
ログ解析部1903は、選択された宛先ユーザのマルウェアメール受信率が、選択されたエントリのパラメータ下限2105の値以上であり、かつ、パラメータ上限2106の値より下であるか否かを判定する(S2206)。
【0235】
選択された宛先ユーザのマルウェアメール受信率が、選択されたエントリのパラメータ下限2105の値以上であり、かつ、パラメータ上限2106の値より下である場合、ログ解析部1903は、S2207に進む。
【0236】
選択された宛先ユーザのマルウェアメール受信率が、選択されたエントリのパラメータ下限2105の値以上であり、かつ、パラメータ上限2106の値より下ではない場合、選択された宛先ユーザに他のポリシが用いられるか否かを判定するため、ログ解析部1903は、S2205に戻る。そして、S2205においてログ解析部1903は、S2203においてソートされたエントリのうち、S2206の処理が実行されていないエントリ(ポリシ)を、優先度2104の値が大きい順に一つ選択する。
【0237】
S2207において、ログ解析部1903は、選択されたエントリの限定数2107に値が格納されていない、または、選択されたエントリの限定数2107に値が格納される場合においても残席数が0より大きい、か否かを判定する。ここで、残席数とは、限定数2107が示す値から、エントリが示すポリシによって監視シナリオを割り当てられたユーザの数を減じた値である。限定数2107に値が格納されていない、または、残席数が0より大きい場合、ログ解析部1903は、S2208に進む。
【0238】
限定数2107に値が設定されていない、または、残席数が0の場合、ログ解析部1903は、S2205に戻り、新たなエントリを選択する。
【0239】
S2208において、ログ解析部1903は、選択されたエントリの限定数2107に値が格納される場合、選択されたエントリの残席数から1を減じる。S2208の後、ログ解析部1903は、選択されたエントリのシナリオ識別子2103の値を抽出し、選択された宛先ユーザに、抽出された値が示す監視シナリオを割り当てる(S2209)。ここで、ログ解析部1903は、監視シナリオ更新情報に、選択された宛先ユーザと、選択された宛先ユーザに割り当てられた監視シナリオとを示す識別子を格納する。
【0240】
S2209の後、ログ解析部1903は、S2204に戻り、すべての宛先ユーザから新たに宛先ユーザを選択する。S2204による繰り返し処理が終了した場合、ログ解析部1903は、S1807に進む。
【0241】
実施例2におけるセキュリティ監視システム101によると、ユーザに監視シナリオを割り当てる方法を計算機システム102の運用時に、管理者が柔軟に変更できる。また、ユーザDB1901が静的シナリオ2001を含むことによって、ユーザの役職または業務に応じた監視シナリオのあらかじめ設定しておくことができる。
【0242】
以上、本発明を添付の図面を参照して詳細に説明したが、本発明はこのような具体的構成に限定されるものではなく、添付した請求の範囲の趣旨内における様々な変更および同等の構成を含むものである。
【0243】
例えば、前述の実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明したすべての構成を備えるものに限定されるものではない。
【0244】
具体的には、前述の実施例1に記載したユーザDB601は、静的シナリオ2001を含まないが、実施例1におけるユーザDB601を、ユーザDB1901と同じ内容に変更し、図21に示す処理が実施例1において行われてもよい。
【0245】
また、各処理部の機能を実現するプログラム、データベース、ファイル等の情報は、メモリ、ハードディスク、SSD(Solid State Drive)等の記録装置、または、ICカード、SDカード、DVD等の記録媒体に格納することができる。
【0246】
また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしもすべての制御線や情報線を示しているとは限らない。実際にはほとんどすべての構成が相互に接続されていると考えてもよい。
【産業上の利用可能性】
【0247】
メールの受信、またはWebへのアクセスの際にセキュリティを維持するための計算機システムに適用できる。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【国際調査報告】