Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7782767B2 - Information processing device, information processing method, and program - Google Patents
[go: Go Back, main page]

JP7782767B2 - Information processing device, information processing method, and program - Google Patents

Information processing device, information processing method, and program

Info

Publication number
JP7782767B2
JP7782767B2 JP2025557319A JP2025557319A JP7782767B2 JP 7782767 B2 JP7782767 B2 JP 7782767B2 JP 2025557319 A JP2025557319 A JP 2025557319A JP 2025557319 A JP2025557319 A JP 2025557319A JP 7782767 B2 JP7782767 B2 JP 7782767B2
Authority
JP
Japan
Prior art keywords
behavior
security
user
terminal
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2025557319A
Other languages
Japanese (ja)
Other versions
JPWO2025109668A1 (en
Inventor
佑介 井坂
圭亮 木藤
清人 河内
匠 山本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of JPWO2025109668A1 publication Critical patent/JPWO2025109668A1/ja
Application granted granted Critical
Publication of JP7782767B2 publication Critical patent/JP7782767B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)

Description

本開示は、情報処理装置、情報処理方法、プログラムに関するものである。 This disclosure relates to an information processing device, an information processing method, and a program.

複数の端末を有するユーザシステムにおいて、ユーザによる不正が度々行われている。不正に対処するために、システムによる不正の検出や、不正のリスクを解析したりすることが行われている。従来技術は、種々の場所に管理されているユーザログを有効に活用し、各種ログを利用して、ユーザごとのリスクスコアをセキュリティ管理サーバによって算出し、算出されたリスクスコアを用いて不正な行為を行うユーザの検知を行っていた(特許文献1参照)。例えば、従来技術は、対象期間内において、複数種類の操作のうち、それぞれの操作の平均操作回数を集計し、平均操作回数等に基づいて各ユーザのリスクスコアの算出を行っていた。 In user systems with multiple terminals, users often commit fraud. To address fraud, systems are used to detect fraud and analyze the risk of fraud. Conventional technology effectively utilizes user logs managed in various locations, using various logs to calculate a risk score for each user via a security management server, and then uses the calculated risk score to detect users engaging in fraudulent activities (see Patent Document 1). For example, conventional technology tallies the average number of operations for each of several types of operations during a target period, and calculates each user's risk score based on the average number of operations, etc.

特開2019-204389号公報Japanese Patent Application Laid-Open No. 2019-204389

しかしながら、通常、業務に係る操作は多岐に渡り、従来技術の手法である操作の頻度からでは、ユーザが正規の業務を行っているのか、不正を行っているのかを識別することが難しく、誤検知が発生する可能性があるという課題があった。However, work-related operations typically vary widely, and conventional techniques, such as relying on the frequency of operations, make it difficult to distinguish whether a user is performing legitimate work or committing fraud, posing the risk of false positives.

本開示は、上記のような課題を解決するためになされたもので、端末を利用するユーザが不正を行っているか否か適切に評価することを目的とする。 This disclosure has been made to solve the above-mentioned problems and aims to appropriately evaluate whether a user using a terminal is engaging in fraudulent activity.

本発明の第1の態様によると、情報処理装置は、組織の機器を利用するユーザによる、機器に設定されたセキュリティの妨害に関する行動である妨害行動を検出する検出部と、
前記妨害行動の検出に基づき、前記ユーザに対する評価を行う評価部とを備え、
前記妨害行動は、前記機器に設定された前記セキュリティを調査する行動と、前記機器に設定された前記セキュリティを回避する行動とを含み、
前記評価部は、前記調査する行動を検出した場合と、前記回避する行動を検出した場合とで異なる評価を行う
本発明の第2の態様によると、情報処理装置の情報処理方法は、組織の機器を利用するユーザによる、機器に設定されたセキュリティの妨害に関する行動である妨害行動を、検出部が検出するステップと、
前記妨害行動の検出に基づき、評価部によって前記ユーザに対する評価を行うステップとを備え、
前記妨害行動は、前記機器に設定された前記セキュリティを調査する行動と、前記機器に設定された前記セキュリティを回避する行動とを含み、
前記評価を行うステップは、前記調査する行動を検出した場合と、前記回避する行動を検出した場合とで異なる評価を行う
本発明の第3の態様によると、プログラムは、コンピュータに、組織の機器を利用するユーザによる、機器に設定されたセキュリティの妨害に関する行動である妨害行動を検出する処理と、
前記妨害行動の検出に基づき、前記ユーザに対する評価を行う処理とを実行させるためのプログラムであって、
前記妨害行動は、前記機器に設定された前記セキュリティを調査する行動と、前記機器に設定された前記セキュリティを回避する行動とを含み、
前記調査する行動を検出した場合と、前記回避する行動を検出した場合とで異なる前記評価を行わせる
According to a first aspect of the present invention, an information processing device includes: a detection unit that detects disruptive behavior, which is behavior related to disruption of security set in a device, by a user who uses a device of an organization;
an evaluation unit that evaluates the user based on the detection of the disruptive behavior,
the disruptive behavior includes behavior of investigating the security set in the device and behavior of circumventing the security set in the device;
The evaluation unit performs different evaluations depending on whether the behavior to be investigated is detected or whether the behavior to be avoided is detected .
According to a second aspect of the present invention, there is provided an information processing method for an information processing device, comprising: a step of detecting, by a detection unit , a disruptive behavior by a user who uses an organization's device, the disruptive behavior being a behavior related to disruption of security set in the device;
and evaluating the user by an evaluation unit based on the detection of the disruptive behavior;
the disruptive behavior includes behavior of investigating the security set in the device and behavior of circumventing the security set in the device;
The step of making the evaluation makes different evaluations depending on whether the behavior to investigate is detected or whether the behavior to avoid is detected .
According to a third aspect of the present invention, a program includes a process for causing a computer to perform the following: detecting a disruptive behavior by a user who uses an organization's equipment, the disruptive behavior being a behavior related to disrupting security set in the equipment ;
and performing a process of evaluating the user based on the detection of the disruptive behavior,
the disruptive behavior includes behavior of investigating the security set in the device and behavior of circumventing the security set in the device;
The evaluation is made differently depending on whether the behavior to investigate is detected or whether the behavior to avoid is detected .

本開示によれば、組織の機器を利用する端末のユーザによって、組織のセキュリティに対する妨害行動を検出するため、ユーザが不正を行っているかどうか適切に検出することができる。 This disclosure detects disruptive behavior against the organization's security by users of terminals that use the organization's equipment, making it possible to appropriately detect whether a user is engaging in fraudulent activity.

実施形態における、システムの構成の一例を示す図。FIG. 1 is a diagram showing an example of a system configuration according to an embodiment. 第1実施形態における、システム全体を示す図。FIG. 1 is a diagram showing an entire system according to a first embodiment. 第1実施形態における、システム構成の一例を示す図。FIG. 1 is a diagram showing an example of a system configuration in a first embodiment. 第1実施形態における、ユーザ入力ログの一例を示す図。FIG. 4 is a diagram showing an example of a user input log in the first embodiment. 第1実施形態における、ユーザ管理データベースの一例を示す図。FIG. 4 is a diagram showing an example of a user management database in the first embodiment. 第1実施形態における、サーバの機能構成を示す図。FIG. 2 is a diagram showing the functional configuration of a server in the first embodiment. 第1実施形態における、各装置が実行する処理の流れの一例を示すシーケンス図。FIG. 4 is a sequence diagram showing an example of the flow of processing executed by each device in the first embodiment. 第2実施形態における、システム構成の一例を示す図。FIG. 10 is a diagram showing an example of a system configuration in a second embodiment. 第2実施形態における、各装置が実行する処理の流れの一例を示すシーケンス図。FIG. 11 is a sequence diagram showing an example of the flow of processing executed by each device in the second embodiment. 第2実施形態における、表示部に表示される画面の一例。10 shows an example of a screen displayed on a display unit in the second embodiment. 第2実施形態における、表示部に表示される画面の一例。10 shows an example of a screen displayed on a display unit in the second embodiment. 第3実施形態における、サーバの機能構成を示す図。FIG. 11 is a diagram showing the functional configuration of a server in the third embodiment. 第3実施形態における、ユーザ管理データベースの一例を示す図。FIG. 13 is a diagram showing an example of a user management database in the third embodiment. 第3実施形態における、各装置が実行する処理の流れの一例を示すシーケンス図。FIG. 11 is a sequence diagram showing an example of the flow of processing executed by each device in the third embodiment. 第4実施形態における、端末の機能構成を示す図。FIG. 13 is a diagram showing the functional configuration of a terminal in a fourth embodiment. 第4実施形態における、端末が実行する処理の流れの一例を示すフローチャート。13 is a flowchart showing an example of the flow of processing executed by a terminal in the fourth embodiment. 第5実施形態における、システム構成の一例を示す図。FIG. 13 is a diagram showing an example of a system configuration in a fifth embodiment. 第5実施形態における、各装置が実行する処理の流れの一例を示すシーケンス図。FIG. 13 is a sequence diagram showing an example of the flow of processing executed by each device in the fifth embodiment.

以下、本開示をより詳細に説明するために、本開示を実施するための実施形態について、添付の図面に従って説明する。
<システム構成>
図1は、本実施形態における通信システム1のシステム構成の一例を示す図である。
通信システム1では、限定ではなく例として、ネットワーク30を介して、サーバ10と、複数の端末20(端末20A,端末20B,端末20C,・・・)とが接続される。
In order to explain the present disclosure in more detail, embodiments for carrying out the present disclosure will be described below with reference to the accompanying drawings.
<System Configuration>
FIG. 1 is a diagram showing an example of the system configuration of a communication system 1 according to this embodiment.
In the communication system 1, for example and not by way of limitation, a server 10 and a plurality of terminals 20 (terminal 20A, terminal 20B, terminal 20C, . . . ) are connected via a network 30.

サーバ10は、ネットワーク30を介して、ユーザが利用する端末20と接続されている。
なお、図1においては、ネットワーク30に接続されるサーバ10の数は1つであり、端末20の数は3つで例示しているが、この数は限定されず、サーバ10を複数設けてもよいし、端末20は1つであっても複数であってもよい。
The server 10 is connected to a terminal 20 used by a user via a network 30 .
In Figure 1, the number of servers 10 connected to the network 30 is shown as one, and the number of terminals 20 is shown as three, but this number is not limited, and multiple servers 10 may be provided, and the number of terminals 20 may be one or multiple.

ネットワーク30は、1以上の端末20と、1以上のサーバ10とを接続する役割を担う。すなわち、ネットワーク30は、上記の各種の装置が接続した後、データを送受信することができるように接続経路を提供する通信網を意味する。 The network 30 serves to connect one or more terminals 20 and one or more servers 10. In other words, the network 30 refers to a communication network that provides a connection path so that the various devices mentioned above can connect and send and receive data.

ネットワーク30のうちの1つまたは複数の部分は、有線ネットワークや無線ネットワークであってもよいし、そうでなくてもよい。ネットワーク30は、限定ではなく例として、アドホック・ネットワーク(ad hoc network)、イントラネット、エクストラネット、仮想プライベート・ネットワーク(virtual private network:VPN)、ローカル・エリア・ネットワーク(local area network:LAN)、ワイヤレスLAN(wireless LAN:WLAN)、広域ネットワーク(wide area network:WAN)、ワイヤレスWAN(wireless WAN:WWAN)、大都市圏ネットワーク(metropolitan area network:MAN)、インターネットの一部、公衆交換電話網(Public Switched Telephone Network:PSTN)の一部、携帯電話網、ISDN(integrated service digital networks)、無線LAN、LTE(long term evolution)、CDMA(code division multiple access)、ブルートゥース(Bluetooth(登録商標))、衛星通信など、または、これらの2つ以上の組合せを含むことができる。ネットワーク30は、1つまたは複数のネットワーク30を含むことができる。One or more portions of network 30 may or may not be a wired or wireless network. Network 30 may include, by way of example and not limitation, an ad hoc network, an intranet, an extranet, a virtual private network (VPN), a local area network (LAN), a wireless LAN (WLAN), a wide area network (WAN), a wireless WAN (WWAN), a metropolitan area network (MAN), a portion of the Internet, a portion of the Public Switched Telephone Network (PSTN), a cellular network, integrated service digital networks (ISDN), wireless LAN, long term evolution (LTE), code division multiple access (CDMA), Bluetooth, satellite communications, or the like, or a combination of two or more thereof. Network 30 may include one or more networks 30.

サーバ10は、各実施形態において記載する機能を実現できる装置であればどのような装置であってもよい。サーバ10は、限定ではなく例として、サーバ装置、コンピュータ(限定ではなく例として、デスクトップ、ラップトップ、タブレットなど)、ハンドヘルドコンピュータデバイス(限定ではなく例として、PDA(personal digital assistant)など)、あるいは他種のコンピュータ、またはコミュニケーションプラットホームを含む。また、サーバ10は情報処理装置または情報管理装置と表現されてもよい。 The server 10 may be any device capable of implementing the functions described in each embodiment. Examples of the server 10 include, but are not limited to, a server device, a computer (for example, but not limited to, a desktop, laptop, tablet, etc.), a handheld computing device (for example, but not limited to, a PDA (personal digital assistant)), or other types of computers or communication platforms. The server 10 may also be referred to as an information processing device or information management device.

端末20は、各実施形態において記載する機能を実現できる装置であればどのような装置であってもよい。端末20は、限定ではなく例として、コンピュータ(限定ではなく例として、デスクトップ、ラップトップ、タブレットなど)、ハンドヘルドコンピュータデバイス(限定ではなく例として、PDA(personal digital assistant)など)、あるいは他種のコンピュータを含む。また、端末20は情報処理装置または情報管理装置と表現されてもよい。The terminal 20 may be any device capable of implementing the functions described in each embodiment. Examples of the terminal 20 include, but are not limited to, a computer (such as, but not limited to, a desktop, laptop, tablet, etc.), a handheld computing device (such as, but not limited to, a PDA (personal digital assistant)), or other types of computers. The terminal 20 may also be referred to as an information processing device or information management device.

[各装置のハードウエア(HW)構成]
通信システム1に含まれる各装置のHW構成について説明する。
[Hardware (HW) configuration of each device]
The HW configuration of each device included in the communication system 1 will be described.

(1)サーバのHW構成
図1には、サーバ10のHW構成の一例を示している。
サーバ10は、制御部11(CPU:central processing unit(中央処理装置))、記憶部15、通信I/F14(インタフェース)、入出力部12、ディスプレイ13、時計部16を備える。サーバ10のHWの各構成要素は、限定ではなく例として、バスを介して相互に接続される。なお、サーバ10のHWは、サーバ10のHWの構成として、全ての構成要素を含むことは必須ではない。限定ではなく例として、サーバ10のHWは、ディスプレイ13や時計部16を取り外すような構成であってもよいし、そうでなくてもよい。またディスプレイ13などは、サーバの外部に設置されてもよく、通信I/F14(インタフェース)を介して出力された情報を、サーバの外部に設置されたディスプレイ13で受信し表示するような構成であってもよい。
(1) HW Configuration of Server FIG. 1 shows an example of the HW configuration of the server 10. As shown in FIG.
The server 10 includes a control unit 11 (CPU: central processing unit), a memory unit 15, a communication I/F 14 (interface), an input/output unit 12, a display 13, and a clock unit 16. The components of the HW of the server 10 are connected to each other via a bus, for example and not as a limitation. It is not essential that the HW of the server 10 include all of the components. For example and not as a limitation, the HW of the server 10 may or may not be configured such that the display 13 and the clock unit 16 are detachable. The display 13 and other components may be installed outside the server, and information output via the communication I/F 14 (interface) may be received and displayed on the display 13 installed outside the server.

制御部11は、プログラム内に含まれたコードまたは命令によって実現する機能を実行するために物理的に構造化された回路を有し、限定ではなく例として、ハードウエアに内蔵されたデータ処理装置により実現される。 The control unit 11 has physically structured circuitry to perform the functions realized by the code or instructions contained in the program, and is realized, for example but not limited to, by a data processing device embedded in hardware.

制御部11は、代表的には中央処理装置(CPU:central processing unit(中央処理装置))、であり、その他にマイクロプロセッサ、プロセッサコア、マルチプロセッサ、ASIC(application-specific integrated circuit)、FPGA(field programmable gate array)であってもよいし、そうでなくてもよい。また、集積回路(IC(Integrated Circuit)チップ、LSI(Large Scale Integration))等に形成された論理回路(ハードウエア)や専用回路によって各処理を実現してもよいし、そうでなくてもよい。また、これらの回路は、1または複数の集積回路により実現されてよく、各実施形態に示す複数の処理を1つの集積回路により実現されることとしてもよいし、そうでなくてもよい。また、LSIは、集積度の違いにより、VLSI、スーパーLSI、ウルトラLSIなどと呼称されることもある。そのため、制御部11は、制御回路と表現されてもよいし、されなくてもよい。本開示において、制御部11は、これらに限定されない。The control unit 11 is typically a central processing unit (CPU), but may also be a microprocessor, processor core, multiprocessor, ASIC (application-specific integrated circuit), or FPGA (field programmable gate array). Each process may or may not be implemented by a dedicated circuit or logic circuit (hardware) formed in an integrated circuit (IC (Integrated Circuit) chip, LSI (Large Scale Integration)), etc. These circuits may be implemented by one or more integrated circuits, and multiple processes shown in each embodiment may or may not be implemented by a single integrated circuit. LSIs are also sometimes referred to as VLSIs, super LSIs, ultra LSIs, etc., depending on the level of integration. Therefore, the control unit 11 may or may not be referred to as a control circuit. In this disclosure, the control unit 11 is not limited to these.

記憶部15は、サーバ10が動作するうえで必要とする各種プログラムや各種データを記憶する機能を有する。記憶部15は、HDD(hard disk drive)、SSD(solid state drive)、フラッシュメモリなど各種の記憶媒体により実現される。ただし、本開示において、記憶部15は、これらに限定されない。また、記憶部15は、メモリ(memory)と表現されてもよいし、されなくてもよい。 The storage unit 15 has the function of storing various programs and data required for the operation of the server 10. The storage unit 15 is realized by various storage media such as a hard disk drive (HDD), a solid state drive (SSD), or flash memory. However, in this disclosure, the storage unit 15 is not limited to these. Furthermore, the storage unit 15 may or may not be referred to as memory.

サーバ10は、プログラムPを記憶部15に記憶し、このプログラムPを実行することで、制御部11が、制御部11に含まれる各部としての処理を実行する。つまり、記憶部15に記憶されるプログラムPは、サーバ10に、制御部11が実行する各機能を実現させる。このプログラムPは、プログラムモジュールと表現されてもよいし、されなくてもよい。 The server 10 stores a program P in the memory unit 15, and by executing this program P, the control unit 11 executes the processing of each unit included in the control unit 11. In other words, the program P stored in the memory unit 15 causes the server 10 to realize each function executed by the control unit 11. This program P may or may not be expressed as a program module.

通信I/F14は、ネットワーク30を介して各種データの送受信を行う。通信は、有線、無線のいずれで実行されてもよく、互いの通信が実行できるのであれば、どのような通信プロトコルを用いてもよい。通信I/F14は、ネットワーク30を介して、端末20等の各種装置との通信を実行する機能を有する。通信I/F14は、各種データを制御部11からの指示に従って、端末20等の各種装置に送信する。また、通信I/F14は、端末20等の各種装置から送信された各種データを受信し、制御部11に伝達する。また、通信I/F14を単に通信部と表現する場合もある。また、通信I/F14が物理的に構造化された回路で構成される場合には、通信回路と表現する場合もある。 The communication I/F 14 sends and receives various data via the network 30. The communication may be performed either wired or wirelessly, and any communication protocol may be used as long as mutual communication is possible. The communication I/F 14 has the function of communicating with various devices such as the terminal 20 via the network 30. The communication I/F 14 transmits various data to various devices such as the terminal 20 in accordance with instructions from the control unit 11. The communication I/F 14 also receives various data transmitted from various devices such as the terminal 20 and transmits it to the control unit 11. The communication I/F 14 may also be simply referred to as a communication unit. If the communication I/F 14 is composed of a physically structured circuit, it may also be referred to as a communication circuit.

入出力部12は、サーバ10に対する各種操作を入力する装置、および、サーバ10で処理された処理結果を出力する装置を含む。入出力部12は、入力部と出力部が一体化していてもよいし、入力部と出力部に分離していてもよい。 The input/output unit 12 includes a device for inputting various operations to the server 10 and a device for outputting the processing results processed by the server 10. The input/output unit 12 may be an integrated input unit and output unit, or may be separate input and output units.

入出力12の入力部は、サーバ10に対する各種操作を入力する装置により実現される。入力部は、ユーザからの入力を受け付けて、入力に係る情報を制御部11に伝達できる全ての種類の装置のいずれかまたはその組み合わせにより実現される。入力部は、代表的にはキーボード等に代表されるハードウエアキーや、マウス等のポインティングデバイスで実現される。なお、入力部は、限定ではなく例として、タッチパネルやカメラ(動画像を介した操作入力)、マイク(音声による操作入力)を含んでいてもよいし、そうでなくてもよい。ただし、本開示において、入出力部12は、これらに限定されない。なお、入力部は、適宜とりはずし可能であり、また必要に応じて取り付けを行ってもよい。例えば、各実施形態は、必要に応じて、入力部に係る構成をすべて取り外してもよいし、その一部分を取り付けてもよい。 The input unit of the input/output 12 is realized by a device that inputs various operations to the server 10. The input unit is realized by any one or combination of devices of any type that can accept input from a user and transmit information related to the input to the control unit 11. The input unit is typically realized by hardware keys such as a keyboard, or a pointing device such as a mouse. Note that the input unit may or may not include, but is not limited to, a touch panel, a camera (for inputting operations via video images), or a microphone (for inputting operations via voice). However, in this disclosure, the input/output unit 12 is not limited to these. Note that the input unit may be detachable as appropriate, or may be attached as needed. For example, in each embodiment, the components related to the input unit may be detached in their entirety or only a portion thereof may be attached as needed.

入出力12の出力部は、制御部11で処理された処理結果を出力することができる全ての種類の装置のいずれかまたはその組み合わせにより実現される。出力部の一例として、ディスプレイ13があり、ディスプレイ13は、代表的にはモニタ(限定ではなく例として、液晶ディスプレイやOELD(organic electroluminescence display))で実現される。なお、ディスプレイ13は、ヘッドマウントディスプレイ(HMD:Head Mounted Display)、プロジェクションマッピング、ホログラム、空気中など(真空であってもよいし、そうでなくてもよい)に画像やテキスト情報等を表示可能な装置などであってもよいし、そうでなくてもよい。またディスプレイ13は、3Dで表示データを表示可能であってもよいし、そうでなくてもよい。なお本開示において、ディスプレイ13は、これらに限定されない。また出力部は表示部のようなディスプレイ13に限定されず、タッチパネル、タッチディスプレイ、スピーカ、プリンターなど、ユーザに対する情報の通知や、情報の提示などの処理結果を通知するものであればよい。なお、出力部においては、適宜とりはずし可能であり、また必要に応じて取り付けを行ってもよい。例えば、各実施形態において必要に応じて、出力部に係る構成をすべて取り外してもよいし、その一部分を取り付けてもよい。The output unit of the input/output 12 is realized by any one or combination of devices capable of outputting the results of processing performed by the control unit 11. An example of an output unit is the display 13, which is typically realized by a monitor (for example, but not limited to, a liquid crystal display or an organic electroluminescence display (OELD)). The display 13 may or may not be a head-mounted display (HMD), a projection mapping device, a hologram, or a device capable of displaying images, text information, etc. in air (which may or may not be a vacuum). The display 13 may or may not be capable of displaying data in 3D. In this disclosure, the display 13 is not limited to these devices. The output unit is not limited to the display 13, but may be a touch panel, touch display, speaker, printer, or other device that notifies the user of information or notifies the user of processing results, such as presenting information. The output unit may be detachable or attachable as needed. For example, in each embodiment, the entire configuration related to the output unit may be removed, or a part of it may be attached, as necessary.

時計部16は、サーバ10の内蔵時計であり、時刻情報(計時情報)を出力する。時計部16は、限定ではなく例として、ハードウエアクロックとしてのRTC(Real Time Clock)やシステムクロック等を有して構成される。時計部16は、限定ではなく例として、計時部や時刻情報検出部と表現することもできる。 The clock unit 16 is a built-in clock of the server 10 and outputs time information (timekeeping information). The clock unit 16 is configured to include, for example and not limitation, a hardware clock such as an RTC (Real Time Clock) or a system clock. The clock unit 16 can also be referred to as, for example and not limitation, a timekeeping unit or a time information detection unit.

(2)端末のHW構成
図1には、端末20のHW構成の一例を示している。
端末20は、制御部21(CPU:central processing unit(中央処理装置))、記憶部28、通信I/F22(インタフェース)、入出力部23、表示部24、マイク25、スピーカ26、カメラ27、時計部29A、位置算出用情報検出部29Bを備える。端末20のHWの各構成要素は、限定ではなく例として、バスを介して相互に接続される。なお、端末20のHW構成として、すべての構成要素を含むことは必須ではない。限定ではなく例として、端末20は、マイク25、カメラ27等、個々の構成要素、または複数の構成要素を取り外すような構成であってもよいし、そうでなくてもよい。
(2) HW Configuration of Terminal FIG. 1 shows an example of the HW configuration of the terminal 20.
The terminal 20 includes a control unit 21 (CPU: central processing unit), a memory unit 28, a communication I/F 22 (interface), an input/output unit 23, a display unit 24, a microphone 25, a speaker 26, a camera 27, a clock unit 29A, and a position calculation information detection unit 29B. The HW components of the terminal 20 are connected to each other via a bus, for example and not by way of limitation. It is not essential that the HW configuration of the terminal 20 includes all of the components. For example and not by way of limitation, the terminal 20 may or may not be configured such that individual components, such as the microphone 25, the camera 27, or multiple components, are detachable.

制御部21は、プログラム内に含まれたコードまたは命令によって実現する機能を実行するために物理的に構造化された回路を有し、限定ではなく例として、ハードウエアに内蔵されたデータ処理装置により実現される。 The control unit 21 has physically structured circuitry to perform the functions realized by the code or instructions contained in the program, and is realized, for example but not limited to, by a data processing device embedded in hardware.

制御部21は、限定ではなく例として、中央処理装置(CPU)、マイクロプロセッサ(microprocessor)、プロセッサコア(processor core)、マルチプロセッサ(multiprocessor)、ASIC(application-specific integrated circuit)、FPGA(field programmable gate array)を含む。また、集積回路(IC(Integrated Circuit)チップ、LSI(Large Scale Integration))等に形成された論理回路(ハードウエア)や専用回路によって各処理を実現してもよいし、そうでなくてもよい。また、これらの回路は、1または複数の集積回路により実現されてよく、各実施形態に示す複数の処理を1つの集積回路により実現されることとしてもよいし、そうでなくてもよい。また、LSIは、集積度の違いにより、VLSI、スーパーLSI、ウルトラLSIなどと呼称されることもある。そのため、制御部21は、制御回路と表現されてもよいし、されなくてもよい。 The control unit 21 may include, but is not limited to, a central processing unit (CPU), microprocessor, processor core, multiprocessor, ASIC (application-specific integrated circuit), or FPGA (field programmable gate array). Furthermore, each process may or may not be realized by a logic circuit (hardware) formed in an integrated circuit (IC (Integrated Circuit) chip, LSI (Large Scale Integration)), or a dedicated circuit. These circuits may be realized by one or more integrated circuits, and multiple processes shown in each embodiment may or may not be realized by a single integrated circuit. Furthermore, LSIs are sometimes referred to as VLSIs, super LSIs, ultra LSIs, etc., depending on the level of integration. Therefore, the control unit 21 may or may not be referred to as a control circuit.

記憶部28は、端末20が動作するうえで必要とする各種プログラムや各種データを記憶する機能を有する。記憶部28は、限定ではなく例として、HDD(hard disk drive)、SSD(solid state drive)、フラッシュメモリ、RAM(random access memory)、ROM(read only memory)など各種の記憶媒体を含む。また、記憶部28は、メモリ(memory)と表現されてもよいし、されなくてもよい。 The storage unit 28 has the function of storing various programs and data required for the operation of the terminal 20. The storage unit 28 includes, but is not limited to, various storage media such as a hard disk drive (HDD), a solid state drive (SSD), flash memory, random access memory (RAM), and read-only memory (ROM). Furthermore, the storage unit 28 may or may not be referred to as memory.

端末20は、プログラムPを記憶部28に記憶し、このプログラムPを実行することで、制御部21が、制御部21に含まれる各部としての処理を実行する。つまり、記憶部28に記憶されるプログラムPは、端末20に、制御部21が実行する各機能を実現させる。また、このプログラムPは、プログラムモジュールと表現されてもよいし、されなくてもよい。 The terminal 20 stores the program P in the memory unit 28, and by executing this program P, the control unit 21 executes the processing of each unit included in the control unit 21. In other words, the program P stored in the memory unit 28 causes the terminal 20 to realize each function executed by the control unit 21. Furthermore, this program P may or may not be expressed as a program module.

通信I/F22は、ネットワーク30を介して各種データの送受信を行う。通信は、有線、無線のいずれで実行されてもよく、互いの通信が実行できるのであれば、どのような通信プロトコルを用いてもよい。通信I/F22は、ネットワーク30を介して、サーバ10等の各種装置との通信を実行する機能を有する。通信I/F22は、各種データを制御部21からの指示に従って、サーバ10等の各種装置に送信する。また、通信I/F22は、サーバ10等の各種装置から送信された各種データを受信し、制御部21に伝達する。また、通信I/F22を単に通信部と表現する場合もある。また、通信I/F22が物理的に構造化された回路で構成される場合には、通信回路と表現する場合もある。 The communication I/F 22 sends and receives various data via the network 30. The communication may be performed either wired or wirelessly, and any communication protocol may be used as long as mutual communication is possible. The communication I/F 22 has the function of communicating with various devices, such as the server 10, via the network 30. The communication I/F 22 transmits various data to various devices, such as the server 10, in accordance with instructions from the control unit 21. The communication I/F 22 also receives various data transmitted from various devices, such as the server 10, and transmits it to the control unit 21. The communication I/F 22 may also be simply referred to as a communication unit. If the communication I/F 22 is composed of a physically structured circuit, it may also be referred to as a communication circuit.

入出力部23は、端末20に対する各種操作を入力する装置、および、端末20で処理された処理結果を出力する装置を含む。入出力部23は、入力部と出力部が一体化していてもよいし、入力部と出力部に分離していてもよいし、そうでなくてもよい。 The input/output unit 23 includes a device for inputting various operations to the terminal 20 and a device for outputting the processing results processed by the terminal 20. The input/output unit 23 may have an integrated input unit and an output unit, or may have separate input and output units, or may not.

入力部は、ユーザからの入力を受け付けて、入力に係る情報を制御部21に伝達できる全ての種類の装置のいずれかまたはその組み合わせにより実現される。入力部は、限定ではなく例として、タッチパネル、タッチディスプレイ、キーボード等のハードウエアキーや、マウス等のポインティングデバイス、カメラ(動画像を介した操作入力)、マイク(音声による操作入力)を含む。なお、カメラは限定ではなく撮像部27の一例であり、マイクは、限定ではなく音入力部26の一例である。なお、入力部においては本願の開示に限定されるものではなく、また個々の構成要素、または複数の構成要素を必要に応じて各実施形態で取り外すような構成であってもよいし、そうでなくてもよい。また本開示に記載されていない構成においても適宜追加することは可能である。 The input unit is realized by any one or combination of devices capable of accepting input from a user and transmitting information related to the input to the control unit 21. Examples of input units include, but are not limited to, hardware keys such as a touch panel, touch display, and keyboard, pointing devices such as a mouse, a camera (operation input via video images), and a microphone (operation input via voice). Note that a camera is, but is not limited to, an example of an imaging unit 27, and a microphone is, but is not limited to, an example of an audio input unit 26. Note that the input unit is not limited to the disclosure of this application, and individual components or multiple components may or may not be removable in each embodiment as needed. Configurations not described in this disclosure may also be added as appropriate.

出力部は、制御部21で処理された処理結果を出力することができる全ての種類の装置のいずれかまたはその組み合わせにより実現される。出力部は、限定ではなく例として、 タッチパネル、タッチディスプレイ、スピーカ(限定ではなく音出力部の一例)、光学部材(限定ではなく例として3D(three dimensions)出力や、ホログラム出力等のためのレンズや媒体などの部材)、プリンターなどを含む。これらにより、ユーザに対する情報の通知や、情報の提示などの処理結果を出力する。 The output unit is realized by any one or combination of devices of any type that can output the processing results processed by the control unit 21. Examples of output units include, but are not limited to, touch panels, touch displays, speakers (which are examples of sound output units), optical components (which are examples, but are not limited to, components such as lenses and media for 3D (three dimensions) output and hologram output), printers, etc. These output processing results, such as notifying the user of information or presenting information.

なお、入出力部23がタッチパネルの場合、入出力部23と表示部24とは、略同一の大きさおよび形状で対向して配置されていてもよい。 In addition, if the input/output unit 23 is a touch panel, the input/output unit 23 and the display unit 24 may be arranged opposite each other with approximately the same size and shape.

表示部24は、フレームバッファに書き込まれた表示データに従って、表示することができる全ての種類の装置のいずれかまたはその組み合わせにより実現される。表示部24は、限定ではなく例として、タッチパネル、タッチディスプレイ、モニタ(限定ではなく例として、液晶ディスプレイやOELD(organic electroluminescence display))、ヘッドマウントディスプレイ(HMD:Head Mounted Display)、プロジェクションマッピング、ホログラム、空気中など(真空であってもよいし、そうでなくてもよい)に画像やテキスト情報等を表示可能な装置を含む。なお、これらの表示部24は、3Dで表示データを表示可能であってもよいし、そうでなくてもよい。The display unit 24 is realized by any one or combination of devices capable of displaying images according to the display data written to the frame buffer. Examples of the display unit 24 include, but are not limited to, touch panels, touch displays, monitors (such as, but not limited to, liquid crystal displays and organic electroluminescence displays (ELDs)), head-mounted displays (HMDs), projection mapping, holograms, and devices capable of displaying images, text information, etc. in air (which may or may not be a vacuum). These display units 24 may or may not be capable of displaying display data in 3D.

時計部29Aは、端末20の内蔵時計であり、時刻情報(計時情報)を出力する。時計部29Aは、限定ではなく例として、水晶発振器を利用したクロック等を有して構成される。時計部29Aは、限定ではなく例として、計時部や時刻情報検出部と表現することもできる。 The clock unit 29A is a built-in clock of the terminal 20 and outputs time information (timekeeping information). The clock unit 29A is configured to include, for example and not by way of limitation, a clock that uses a quartz oscillator. The clock unit 29A can also be referred to as, for example and not by way of limitation, a timekeeping unit or a time information detection unit.

なお、時計部29Aは、NITZ(Network Identity and Time Zone)規格等を適用したクロックを有していてもよいし、有していなくてもよい。 The clock unit 29A may or may not have a clock that conforms to the NITZ (Network Identity and Time Zone) standard, etc.

位置算出用情報検出部29Bは、制御部21が自己の端末20の位置を算出(測定)するために必要な情報(以下、「位置算出用情報」と称する。)を検出(計測)する機能部である。位置算出用情報検出部29Bは、限定ではなく例として、位置算出用センサ部と表現することもできる。 The position calculation information detection unit 29B is a functional unit that detects (measures) information (hereinafter referred to as "position calculation information") necessary for the control unit 21 to calculate (measure) the position of its own terminal 20. The position calculation information detection unit 29B can also be expressed as a position calculation sensor unit, for example and without limitation.

位置算出用情報検出部29Bは、限定ではなく例として、GPS(Global Positioning System)等の衛星測位システムを利用して端末20の位置を算出するためのセンサやユニットである衛星測位センサ(衛星測位ユニット)や、慣性航法システムを利用して端末20の位置を算出するためのセンサやユニットである慣性計測センサ(慣性計測ユニット(IMU(Inertial Measurement Unit)))等を含む。 The position calculation information detection unit 29B includes, by way of example and not limitation, a satellite positioning sensor (satellite positioning unit), which is a sensor or unit for calculating the position of the terminal 20 using a satellite positioning system such as GPS (Global Positioning System), and an inertial measurement sensor (inertial measurement unit (IMU)), which is a sensor or unit for calculating the position of the terminal 20 using an inertial navigation system.

衛星測位ユニットは、限定ではなく例として、不図示のアンテナで受信される測位用衛星から発信されている測位用衛星信号を含むRF(Radio Frequency)信号をデジタル信号に変換するRF受信回路や、RF受信回路から出力されるデジタル信号に対して相関演算処理等を行って測位用衛星信号を捕捉し、測位用衛星信号から取り出した衛星軌道データや時刻データ等の情報を、位置算出用情報として出力するベースバンド処理回路等を有する。 The satellite positioning unit includes, by way of example and not limitation, an RF receiving circuit that converts RF (Radio Frequency) signals, including positioning satellite signals transmitted from positioning satellites and received by an antenna (not shown), into digital signals, and a baseband processing circuit that performs correlation calculation processing on the digital signals output from the RF receiving circuit to capture the positioning satellite signals, and outputs information such as satellite orbit data and time data extracted from the positioning satellite signals as information for position calculation.

慣性計測ユニットは、慣性航法演算によって端末20の位置を算出するために必要な情報を検出するセンサである慣性センサを有する。慣性センサには、限定ではなく例として、3軸の加速度センサや3軸のジャイロセンサが含まれ、加速度センサによって検出された加速度と、ジャイロセンサによって検出された角速度とを、位置算出用情報として出力する。 The inertial measurement unit has an inertial sensor, which is a sensor that detects information necessary to calculate the position of the terminal 20 using inertial navigation calculations. Examples of inertial sensors include, but are not limited to, a three-axis acceleration sensor and a three-axis gyro sensor, and output the acceleration detected by the acceleration sensor and the angular velocity detected by the gyro sensor as information for position calculation.

制御部21は、限定ではなく例として、位置算出用情報検出部29Bによって検出された位置算出用情報に基づいて、定期的なタイミングや特定のタイミングで、自己の端末20の位置を算出する。端末の位置を「端末位置」と称し、算出された端末位置を「算出端末位置」と称する。そして、制御部21は、算出端末位置を、その算出端末位置を算出した日時と関連付けて、算出端末位置履歴データとして記憶部28に記憶させる。
(3)その他
For example, but not by way of limitation, the control unit 21 calculates the position of its own terminal 20 at regular intervals or specific intervals based on the position calculation information detected by the position calculation information detection unit 29B. The terminal position is referred to as the "terminal position," and the calculated terminal position is referred to as the "calculated terminal position." The control unit 21 then associates the calculated terminal position with the date and time when the calculated terminal position was calculated, and stores the calculated terminal position history data in the storage unit 28.
(3) Other

また、本開示の各実施形態のプログラムP(限定ではなく例として、ソフトウエアプログラム、コンピュータプログラム、またはプログラムモジュール)は、コンピュータに読み取り可能な記憶媒体に記憶された状態で提供されてもよいし、されなくてもよい。記憶媒体は、「一時的でない有形の媒体」に、プログラムPを記憶可能である。また、プログラムPは、本開示の各実施形態の機能の一部を実現するためのものであってもよいし、そうでなくてもよい。さらに、本開示の各実施形態の機能を記憶媒体にすでに記録されているプログラムPとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよいし、そうでなくてもよい。 Furthermore, the program P (which may be, for example and not limited to, a software program, computer program, or program module) of each embodiment of the present disclosure may or may not be provided in a state stored on a computer-readable storage medium. The storage medium may store the program P on a "non-transitory tangible medium." Furthermore, the program P may or may not be intended to realize part of the functions of each embodiment of the present disclosure. Furthermore, the program P may or may not be a so-called differential file (differential program) that can realize the functions of each embodiment of the present disclosure in combination with a program P already recorded on a storage medium.

記憶部15や記憶部28などの記憶媒体は、上述で説明を行った、任意の記憶媒体、またはこれらの2つ以上の適切な組合せを含むことができる。記憶媒体は、適切な場合、揮発性、不揮発性、または揮発性と不揮発性の組合せでよい。なお、記憶媒体はこれらの例に限られず、プログラムPを記憶可能であれば、どのようなデバイスまたは媒体であってもよい。また、記憶媒体をメモリ(memory)と表現されてもよいし、されなくてもよい。 Storage media such as storage unit 15 and storage unit 28 may include any of the storage media described above, or a suitable combination of two or more of these. Storage media may be volatile, non-volatile, or a combination of volatile and non-volatile, as appropriate. Note that storage media are not limited to these examples and may be any device or medium capable of storing program P. Furthermore, storage media may or may not be referred to as memory.

また、本開示のプログラムPは、プログラムを伝送可能な任意の伝送媒体(通信ネットワークや放送波等)を介して、サーバ10または端末20に提供されてもよいし、されなくてもよい。サーバ10または端末20は、限定ではなく例として、インターネット等を介してダウンロードしたプログラムPを実行することにより、各実施形態に示す複数の機能部の機能を実現する。他の装置についても同様である。 Furthermore, the program P of the present disclosure may or may not be provided to the server 10 or the terminal 20 via any transmission medium capable of transmitting a program (such as a communications network or broadcast waves). By way of example and not limitation, the server 10 or the terminal 20 executes the program P downloaded via the Internet or the like to realize the functions of the multiple functional units shown in each embodiment. The same applies to other devices.

また、本開示の各実施形態は、プログラムPが電子的な伝送によって具現化されたデータ信号の形態でも実現され得る。
サーバ10または端末20における処理の少なくとも一部は、1以上のコンピュータにより構成されるクラウドコンピューティングにより実現されていてもよいし、そうでなくてもよい。
端末20における処理の少なくとも一部を、サーバ10により行う構成としてもよいし、そうでなくてもよい。この場合、端末20の制御部21の各機能部の処理のうち少なくとも一部の処理を、サーバ10で行う構成としてもよいし、そうでなくてもよい。
サーバ10における処理の少なくとも一部を、端末20により行う構成としてもよいし、そうでなくてもよい。この場合、サーバ10の制御部11の各機能部の処理のうち少なくとも一部の処理を、端末20で行う構成としてもよいし、そうでなくてもよい。
明示的な言及のない限り、本開示の実施形態における各判定は必須でなく、判定条件を満たした場合に所定の処理が動作されたり、判定条件を満たさない場合に所定の処理がされたりしてもよいし、そうでなくてもよい。また、明示的な言及のない限り、本開示の実施形態における各処理の構成は必須ではなく、実施形態に開示の一部の処理をスキップしてもよいし、しなくてもよい。
In addition, each embodiment of the present disclosure may be realized in the form of a data signal in which the program P is embodied by electronic transmission.
At least a part of the processing in the server 10 or the terminal 20 may or may not be realized by cloud computing configured by one or more computers.
At least a part of the processing in the terminal 20 may or may not be performed by the server 10. In this case, at least a part of the processing of each functional unit of the control unit 21 of the terminal 20 may or may not be performed by the server 10.
At least a part of the processing in the server 10 may or may not be performed by the terminal 20. In this case, at least a part of the processing of each functional unit of the control unit 11 of the server 10 may or may not be performed by the terminal 20.
Unless explicitly stated otherwise, each determination in the embodiments of the present disclosure is not essential, and a predetermined process may or may not be performed when the determination condition is met, or when the determination condition is not met. Furthermore, unless explicitly stated otherwise, the configuration of each process in the embodiments of the present disclosure is not essential, and some of the processes disclosed in the embodiments may or may not be skipped.

なお、本開示のプログラムは、限定ではなく例として、ActionScript、JavaScript(登録商標)などのスクリプト言語、Objective-C、Java(登録商標)などのコンパイラ言語、HTML5などのマークアップ言語などを用いて実装される。 The programs disclosed herein may be implemented using, for example and without limitation, scripting languages such as ActionScript and JavaScript (registered trademark), compiler languages such as Objective-C and Java (registered trademark), and markup languages such as HTML5.

<実施形態1>
第1実施形態は、サーバ10等の情報処理装置によって、組織の機器である端末20を利用するユーザによって行われた、組織のセキュリティに対する妨害行動を検出する例を開示している。
<Embodiment 1>
The first embodiment discloses an example in which an information processing device such as a server 10 detects an obstruction to the security of an organization, which is performed by a user who uses a terminal 20 that is a device of the organization.

図2は、第1実施形態の全体システム図を示している。第1実施形態の全体システムは、上述で説明を行った、サーバ10、端末20、表示装置24とを含み、サーバ10と端末20とは、ネットワーク30を介して通信可能になっている。
第1実施形態におけるサーバ10は、組織で利用されるサーバであり、また端末20は、組織に属するユーザによって利用される端末である。なお本実施形態における組織とは、目的のために構成された個人や複数人から構成された集団であればよい。限定ではなく、組織の例として、宿泊施設などの施設、官公庁、企業、工場、学校、病院などの医療機関であってもよいし、それ以外でもよい。そのため、組織の端末20は、組織に属するユーザによって利用される端末であり、サーバ10は、ネットワーク30を介して、組織の端末20と情報を通信し後述する組織のセキュリティに対するユーザの妨害行動の検出を行う。
2 shows an overall system diagram of the first embodiment. The overall system of the first embodiment includes the server 10, terminal 20, and display device 24 described above, and the server 10 and terminal 20 are capable of communicating with each other via a network 30.
In the first embodiment, the server 10 is a server used by an organization, and the terminal 20 is a terminal used by a user belonging to the organization. Note that the organization in this embodiment may be an individual or a group of multiple people formed for a purpose. Examples of organizations are not limited to these, and may include facilities such as accommodation facilities, government offices, companies, factories, schools, medical institutions such as hospitals, and other organizations. Therefore, the terminal 20 of the organization is a terminal used by a user belonging to the organization, and the server 10 communicates information with the terminal 20 of the organization via the network 30 to detect disruptive behavior of users against the organization's security, as described below.

次に、第1実施形態に係るサーバ10と端末20とによって実現される機能の一例を、図3を用いて説明する。サーバ10は、上述で説明した、制御部21、通信部22、入出力部23、記憶部28を備えている。記憶部28は、ユーザ入力ログ281を記憶している。ユーザ入力ログ281は、端末20を利用するユーザの操作を記憶している。Next, an example of the functions realized by the server 10 and terminal 20 according to the first embodiment will be described using FIG. 3. The server 10 includes the control unit 21, communication unit 22, input/output unit 23, and memory unit 28 described above. The memory unit 28 stores a user input log 281. The user input log 281 stores operations performed by a user using the terminal 20.

ユーザ入力ログ281のデータ構造は、図4に示すように、ユーザ名、ユーザID、操作ログ、その他情報で構成される。ユーザ名は、端末20を利用するユーザの名称であり、限定ではなく一例として、組織を管理する管理者等によって入力された名称であってもよいし、端末20を利用するユーザ自身が入力した情報であってもよい。 The data structure of the user input log 281 is composed of a user name, user ID, operation log, and other information, as shown in Figure 4. The user name is the name of the user using the terminal 20, and may be, by way of example and not limitation, a name entered by an administrator who manages the organization, or information entered by the user using the terminal 20 themselves.

ユーザIDは、端末20を利用するユーザを識別するための情報であってもよいし、ユーザが利用可能な(利用する権利を有する)端末20を識別するための情報であってもよい。ユーザ入力ログ281は、ユーザIDの例としてアルファベットと数字で表されているが、これに限定されない。その他、ユーザIDは、漢字などのそのほかの言語や、記号などで表されてもよい。 The user ID may be information for identifying the user using the terminal 20, or information for identifying the terminal 20 that the user can use (has the right to use). The user input log 281 is expressed in alphabets and numbers as an example of a user ID, but is not limited to this. Alternatively, the user ID may be expressed in other languages such as kanji, or symbols.

次に操作ログは、端末20を利用するユーザが端末20に対して行った操作を記録する項目である。ユーザ入力ログ281の操作ログには、例として、N月N日に端末20のユーザが、組織のセキュリティを妨害する行動である、アンチウイルスソフトを削除する操作を行ったことが記録されている。 Next, the operation log is an item that records operations performed on terminal 20 by the user using terminal 20. For example, the operation log of user input log 281 records that on Nth month, Nth day, the user of terminal 20 performed an operation to delete antivirus software, which is an action that interferes with the security of the organization.

ここで、セキュリティは、組織によって設定された、組織を安全に保護するためのものである。セキュリティは、ハードウエアで構成されてもよいし、ソフトウエアで構成されてもよい。ソフトウエアで構成されたセキュリティは、限定ではなく一例として、外部からの攻撃に対抗するためのアンチウイルスソフト、組織に設定されたファイアウォール、外部から組織のシステムに侵入することを検知する侵入検知システム、検知等に基づいて外部からの侵入を防止する侵入防止システムなどであってもよい。また、セキュリティは、上述で説明した具体的なセキュリティシステム等によって、組織のネットワークを保護するようなものであってもよい。 Here, security refers to something set up by an organization to safely protect the organization. Security may be configured in hardware or software. Software-based security may include, but is not limited to, antivirus software to counter external attacks, a firewall set up in the organization, an intrusion detection system that detects external intrusions into the organization's system, or an intrusion prevention system that prevents external intrusions based on detection. Security may also be something that protects the organization's network using the specific security systems described above.

また、セキュリティは、組織の端末20などに対して一律に設定されたものであってもよい。一例として、組織の端末20は複数あり、各々の端末20は複数のユーザに配布されている。この複数の端末20に対して、アンチウイルスソフト、ファイアウォールなどが一律に設定されている。このように、セキュリティは、同様のセキュリティが組織全体に対して設定されたものであってもよい。なお、上述では同様のセキュリティとしたが、セキュリティレベルは、全ての端末20に対して全て同じにする必要なく、異なるセキュリティレベルに設定してもよい。例えば、職責が高いユーザは、セキュリティレベルが高くなるように設定し、職責が低いユーザは、セキュリティレベルが低くなるように設定するようにしてもよい。これは、職責の高いユーザの方が、重要な情報を端末20に保存している可能性が高いため、厳重に情報を保護するためにセキュリティレベルを高く設定してもよい。一方逆に、セキュリティレベルは、職責の高いユーザのセキュリティレベルが低く設定され、職責の低いユーザのセキュリティレベルが高く設定されてもよい。 Security may also be set uniformly for all terminals 20 within an organization. As an example, an organization may have multiple terminals 20, each distributed to multiple users. Antivirus software, firewalls, and other software are uniformly configured for all of these terminals 20. In this way, the same security may be set for the entire organization. While the above description uses the same security level, the security level does not need to be the same for all terminals 20; different security levels may be set. For example, a higher security level may be set for users with higher job responsibilities, and a lower security level may be set for users with lower job responsibilities. This is because users with higher job responsibilities are more likely to store important information on their terminals 20, so a higher security level may be set to strictly protect the information. Conversely, the security level may be set lower for users with higher job responsibilities and higher for users with lower job responsibilities.

また、組織のセキュリティを妨害する行動は、組織によって設定された、上述したセキュリティに対して、端末20によるユーザが妨害を行う行動である。限定ではなく例として、組織のセキュリティを妨害する行動は、組織によって設定されたセキュリティを調査する行動や、組織によって設定されたセキュリティを回避する行動などを含む。 Furthermore, behavior that disrupts the security of an organization is behavior in which a user disrupts the above-mentioned security established by the organization using terminal 20. By way of example and not limitation, behavior that disrupts the security of an organization includes behavior that investigates the security established by the organization and behavior that circumvents the security established by the organization.

組織のセキュリティを調査する行動は、端末20を利用するユーザが、組織に設定されたセキュリティ自体を調査する行動や、組織に設定されたセキュリティに対して行った操作のログを調査する行動などを含むものである。 Actions to investigate the security of an organization include actions by a user of terminal 20 to investigate the security itself set up in the organization, and actions to investigate logs of operations performed on the security set up in the organization.

限定ではなく一例として、組織に設定されたセキュリティを調査する行動は、ユーザが利用可能な端末20に設定されたアンチウイルスソフトが格納されている場所や、ファイアウォールが格納されている場所などを調査する行動を含む。このような行動は、後に、設定されたセキュリティの回避(詳しくは後述するが、限定ではなく一例として、図4のユーザ入力ログ281に示されているアンチウイルスソフトの削除等)に繋がる可能性があるため、組織のセキュリティを妨害する行動に該当する行動として取り扱う。 By way of example and not limitation, the behavior of investigating the security measures set up in an organization includes the behavior of investigating the location where antivirus software or firewalls are stored that are set up on terminals 20 available to users. Such behavior may later lead to circumvention of the set up security measures (as will be described in more detail below, but as an example and not limitation, the deletion of antivirus software shown in user input log 281 in Figure 4), and therefore is treated as behavior that interferes with the security of the organization.

また、組織に設定されたセキュリティに対して行った操作のログを調査する行動は、後述するように、端末20のユーザが行った操作の履歴が、ユーザ入力ログ281や、ユーザ管理データベース152に記憶されているが、そちらのログやデータベースに記憶された操作ログなどの調査を行うことであってもよい。このような行動は、のちに、記録されたセキュリティに対する操作ログの削除(限定ではなく一例として、図4のユーザ入力ログ281に示されているアンチウイルスソフトを削除したことを示す操作のログを削除すること等)に繋がる可能性があるため、組織のセキュリティを妨害する行動に該当する行動に含めてもよい。 Furthermore, the action of investigating logs of operations performed on security settings configured for the organization may involve investigating the logs or operation logs stored in the user input log 281 or user management database 152, which store the history of operations performed by users of terminal 20, as described below. Such actions may later lead to the deletion of recorded security operation logs (such as, but not limited to, deleting the log of an operation indicating the removal of antivirus software, as shown in user input log 281 in Figure 4), and therefore may be included in actions that disrupt the security of the organization.

組織によって設定されたセキュリティを回避する行動は、組織によって設定されたセキュリティを無効化するための行動、または、組織によって設定されたセキュリティに対して操作を行った操作ログを削除する行動を含んでもよい。 Actions to circumvent security set by an organization may include actions to disable security set by the organization or actions to delete operation logs that perform operations against security set by the organization.

組織によって設定されたセキュリティを無効化するための行動は、限定ではなく一例として、組織によって設定されたセキュリティであるセキュリティソフトをアンインストールする行動や、組織によって設定されたセキュリティに危害を与えるソフトのインストールなどが挙げられる。これらの行動は、組織に設定されたセキュリティに対して直接的に危害を与える行動であるため、組織のセキュリティを妨害する行動に含めてもよい。 Examples of actions that disable security measures implemented by an organization include, but are not limited to, uninstalling security software that is implemented by the organization, or installing software that compromises the security measures implemented by the organization. These actions directly compromise the security measures implemented by the organization, and therefore may be included in actions that disrupt the security of an organization.

また、組織によって設定されたセキュリティに対して操作を行った操作ログを削除する行動は、上述したユーザ入力ログ281や、ユーザ管理データベース152に記憶されている操作ログなどを削除する行動である。このような行動は、端末20のユーザが、自身で行った、セキュリティに対して妨害する行動を隠蔽するような行動であるため、組織のセキュリティを妨害する行動に含めてもよい。 Furthermore, the action of deleting operation logs that have been performed against the security set by an organization is the action of deleting the above-mentioned user input log 281 and operation logs stored in the user management database 152. Such actions may be included in actions that disrupt the security of an organization, as they are actions that conceal actions that the user of terminal 20 has performed that disrupt security.

また図4において、ユーザ入力ログ281の操作ログは、組織によって設定されたセキュリティに対して妨害する妨害行動を記録するだけでなく、端末20のユーザが行った、端末20を用いて通常行われる操作を記録するようにしてもよい。図4のユーザ入力ログ281は、一例として、ユーザA・AがL月L日に組織内のコミュニティにログインする操作を行ったことを示す記録を行っている。このような情報を記録するようにしてもよいし、このような情報を記憶せず、セキュリティに対して妨害する妨害行動のみを記録するようなデータ構成としてもよい。 Also, in Figure 4, the operation log of user input log 281 may not only record disruptive behavior that interferes with security set by the organization, but may also record operations that are normally performed using terminal 20 by the user of terminal 20. As an example, user input log 281 in Figure 4 records an operation indicating that user A.A. logged in to a community within the organization on month L, day L. Such information may be recorded, or the data may be structured not to store such information and only record disruptive behavior that interferes with security.

また、ユーザ入力ログ281は、その他の情報を含んでもよい。その他の情報は、ユーザA・Aに関連する情報である。ユーザA・Aに関する情報は、限定ではなく一例として、ユーザA・Aが入社した年月日や、ユーザが組織で従事する業務内容などが含まれていてもよい。ユーザA・Aが入社した年月日から、勤続年数を算出することができ、勤続年数が長い場合は、一般的には信頼できるユーザであるため、ユーザA・Aの操作ログに記憶された行動が誤って行われてしまったものなかのどうかの判別に利用することができる。
また、ユーザが組織に従事する業務内容から、操作ログに記録された行動が、ユーザA・Aが業務として行わなければいけないものか否かの判別に利用することができる。なお、その他の情報については、ユーザ入力ログ281に含める必要はなく、含めても含めなくてもどちらでもよい。
また、その他の項目は、端末20の位置の情報を記憶するようにしてもよい。端末20の位置が通常業務を行う場所ではない場合、不正な行為を行っている可能性があるため、ユーザA・Aの操作ログに記憶された行動が誤って行われてしまったものなかのどうかの判別に利用することができる。なお、位置の情報の検出については、図1で説明された位置算出検出部29Bなどを用いて行うことができ、必要であれば適宜端末20に取り付けて位置を検出できるようにしてもよい。
The user input log 281 may also include other information. The other information is information related to user A.A. The information about user A.A may include, by way of example and not limitation, the date on which user A.A joined the company and the type of work the user does at the organization. User A.A's years of service can be calculated from the date on which user A.A joined the company, and since a user with a long number of years of service is generally a trustworthy user, this can be used to determine whether the actions stored in user A.A's operation log were performed by mistake.
Furthermore, based on the work that the user is engaged in at the organization, it can be used to determine whether the actions recorded in the operation log are work that user A. It should be noted that other information does not need to be included in the user input log 281, and it can be included or not.
Other items may also be configured to store information about the location of the terminal 20. If the location of the terminal 20 is not where normal business operations are performed, there is a possibility that fraudulent activity is being performed, and this information can be used to determine whether the actions stored in the operation log of user A. A were performed by mistake. Note that the location information can be detected using the location calculation detection unit 29B described in FIG. 1, or the like, and if necessary, a device may be attached to the terminal 20 as appropriate to enable location detection.

このように、ユーザ入力ログ281は、端末20のユーザによる端末20の操作の履歴を記録するものである。ユーザ入力ログ281は、端末20の入出力部23に対する入力による端末20のユーザの操作を記録する。 In this way, the user input log 281 records the history of operations of the terminal 20 by the user of the terminal 20. The user input log 281 records operations of the terminal 20 by input to the input/output unit 23 of the terminal 20.

端末20の制御部21は、ユーザ入力ログ281に記録された情報を、通信部22によって、ネットワーク30を介してサーバ10に送信する制御を行う。制御部21による制御により、記憶部28のユーザ入力ログ281に記録された情報は、サーバ10に送信される。
なお、送信されるユーザ入力ログ281に記憶された情報は、ユーザ入力ログ281に含まれる情報全てでもよいし、そうでなくてもよい。例えば、ユーザ入力ログ281に含まれる、ユーザIDと、操作ログの情報のみをサーバ10に送信するようにしてもよい。受信するサーバ側で、すでにユーザの名称を記録している場合には、ユーザ名称を送らなくてもよい。なお、ユーザIDを送るような場合について説明しているが、ユーザ名称でユーザを一意に識別可能な場合は、ユーザIDの代わりにユーザ名称を操作ログと一緒に送信するようにしてもよい。そのため、ユーザをユーザ名称で一意に識別可能な場合には、ユーザIDは必ずしも必要ではない。
また、ユーザ入力ログ281に含まれるその他の情報は、サーバ10による、その後の処理に用いられない場合には、送信されなくてもよい。
The control unit 21 of the terminal 20 controls the communication unit 22 to transmit the information recorded in the user input log 281 to the server 10 via the network 30. Under the control of the control unit 21, the information recorded in the user input log 281 of the storage unit 28 is transmitted to the server 10.
The information stored in the user input log 281 that is sent may or may not be all of the information contained in the user input log 281. For example, only the user ID and operation log information contained in the user input log 281 may be sent to the server 10. If the receiving server has already recorded the user's name, the user name does not need to be sent. Although the case where the user ID is sent has been described, if the user can be uniquely identified by the user name, the user name may be sent together with the operation log instead of the user ID. Therefore, if the user can be uniquely identified by the user name, the user ID is not necessarily required.
Furthermore, other information included in the user input log 281 does not need to be transmitted if it is not used in subsequent processing by the server 10 .

次に、サーバ10は、上述で説明した、制御部11、通信部14、記憶部15を備えている。記憶部15は、セキュリティ処理プログラム151と、ユーザ管理データベース152とを備えている。セキュリティ処理プログラム151は、第1実施形態における、後述する検出の処理を実行するためのプログラムであり、制御部11がセキュリティ処理プログラム151を読み込むことによって、検出の処理を実行することが可能となる。また、ユーザ管理データベース152は、各々のユーザの端末20からネットワーク30を介して送信されてきた、各々のユーザ入力ログ281の情報などを、ユーザごとにデータベース形式で記憶するものである。 Next, the server 10 comprises the control unit 11, communication unit 14, and memory unit 15 described above. The memory unit 15 comprises a security processing program 151 and a user management database 152. The security processing program 151 is a program for executing the detection process described below in the first embodiment, and the control unit 11 is able to execute the detection process by reading the security processing program 151. Furthermore, the user management database 152 stores, in database format for each user, information such as each user input log 281 transmitted from each user's terminal 20 via the network 30.

サーバ10の通信部14は、端末20から送信されてきた、ユーザ入力ログ281に基づく情報を受信する。サーバ10の制御部11は、通信部14によって受信されたユーザ入力ログ281に基づく情報を、記憶部15に記憶されたユーザ管理データベース152に記憶する制御を行う。制御部11による制御によって、各々のユーザによって行われた操作ログなどが、各々のユーザ入力ログ281にデータベース形式で記憶される The communication unit 14 of the server 10 receives information based on the user input log 281 sent from the terminal 20. The control unit 11 of the server 10 controls the storage of the information based on the user input log 281 received by the communication unit 14 in the user management database 152 stored in the storage unit 15. Under the control of the control unit 11, operation logs performed by each user are stored in the respective user input logs 281 in database format.

図5は、記憶部15に記憶されるユーザ管理データベース152のデータ構成を示す図である。ユーザ管理データベース152は、各々のユーザの端末20から送信されてきた、ユーザ入力ログ281の情報に基づき構成されるため、ユーザ入力ログ281と同様に、ユーザ名、ユーザID、操作ログ、その他情報を含む。なお、図5に示すユーザ管理データベース152は、ユーザ入力ログ281と同じような構成で例示しているが、同じであっても同じでなくてもよい。例えば、入力ログ281とは異なり、ユーザ管理データベース152は、その他の情報がなくてもよいし、あってもよい。一方で、ユーザ管理データベース152には、その他の情報の項目があったとしても、入力ログ281には、その他の情報の項目がなくてもよい。 Figure 5 is a diagram showing the data configuration of the user management database 152 stored in the memory unit 15. The user management database 152 is configured based on the information in the user input log 281 sent from each user's terminal 20, and therefore, like the user input log 281, includes the user name, user ID, operation log, and other information. Note that while the user management database 152 shown in Figure 5 is illustrated as having a similar configuration to the user input log 281, it does not have to be the same. For example, unlike the input log 281, the user management database 152 may or may not include other information. On the other hand, even if the user management database 152 includes an item for other information, the input log 281 may not include an item for other information.

ユーザ名、ユーザID、操作ログ、その他情報は、上述で説明した入力ログ281に基づく情報であり、入力ログ281と同じ情報であってもよいし、入力ログ281の情報に対して追加した情報や、一部削除した情報であってもよい。ユーザ管理データベース152は、各々の端末20から送信された入力ログ281の情報が集約された情報であるため、各々のユーザに対する、ユーザ名、ユーザID、操作ログ、その他情報がデータベースに含まれている。例えば、図5のユーザ管理データベース152は、ユーザA・Aの端末20に記憶された入力ログ281の操作ログに含まれる、N月N日にアンチウイルスソフトの削除を実行したことが、ユーザ管理データベース152の操作ログに記憶されている。また、ユーザ管理データベース152は、ユーザB・Bの端末20に記憶された入力ログ281の操作ログに含まれる、Q月Q日にUアプリに対して操作したことが、ユーザ管理データベース152の操作ログに記憶されている。
このように、ユーザ管理データベース152は、各々の端末20から送信された入力ログ281の情報が集約された情報で構成される。
The user name, user ID, operation log, and other information are based on the input log 281 described above and may be the same information as the input log 281, or may be information added to or partially deleted from the information in the input log 281. The user management database 152 is information that aggregates the information in the input log 281 transmitted from each terminal 20, and therefore includes the user name, user ID, operation log, and other information for each user. For example, the user management database 152 in FIG. 5 stores in its operation log information that antivirus software was deleted on Nth month and Nth day, which is included in the operation log of the input log 281 stored in the terminal 20 of user A. Furthermore, the user management database 152 stores in its operation log information that the U application was operated on Qth month and Qth day, which is included in the operation log of the input log 281 stored in the terminal 20 of user B.
In this way, the user management database 152 is configured from information in which the information of the input log 281 sent from each terminal 20 is aggregated.

次に、図6を用いて、本願実施形態1に係る検出処理の説明を行う。図6は、サーバ10に含まれる機能を示しており、サーバ10は、制御部11と、記憶部15とを含んでいる。制御部11は、検出部111を含んでおり、記憶部15は、前述したセキュリティ処理プログラム151と、ユーザ管理データベース152とを含んでいる。Next, the detection process according to the first embodiment of the present invention will be described using Figure 6. Figure 6 shows the functions included in the server 10, which includes a control unit 11 and a memory unit 15. The control unit 11 includes a detection unit 111, and the memory unit 15 includes the security processing program 151 and user management database 152 described above.

制御部11は、記憶部15に記憶されているセキュリティ処理プログラム151の読み込みを行い、セキュリティ処理プログラム151のプログラムに従って、検出処理の実行を行う。制御部11に含まれる検出部111は、セキュリティ処理プログラム151のプログラムに従って、記憶部15に記憶されたユーザ管理データベース152にアクセスし、各ユーザの操作ログを確認する処理を実行する。 The control unit 11 reads the security processing program 151 stored in the memory unit 15 and executes the detection process in accordance with the security processing program 151. The detection unit 111 included in the control unit 11 accesses the user management database 152 stored in the memory unit 15 in accordance with the security processing program 151 and executes the process of checking the operation logs of each user.

制御部11に含まれる検出部111は、ユーザ管理データベース152の各ユーザの操作ログを確認した後、組織のセキュリティを妨害する行動に該当する操作ログがあるかどうか判定する処理を行う。組織のセキュリティを妨害する行動に該当する操作ログがある場合は、該当する操作ログを検出する処理を行う。
検出する処理の例として、図5を用いて説明する。ユーザA・Aが、セキュリティを妨害する行動に含まれる、アンチウイルスソフトを削除する行動が、ユーザA・Aの操作ログに含まれているため、こちらの行動を、セキュリティを妨害する行動として、制御部11に含まれる検出部111は検出する処理を行う。また、ユーザD・Dの操作ログに、P月P日にセキュリティソフトの検索を実行するという、セキュリティを調査する行動を行っており、こちらの行動を、セキュリティを妨害する行動として、制御部11に含まれる検出部111は検出する処理を行う。
The detection unit 111 included in the control unit 11 checks the operation logs of each user in the user management database 152, and then performs processing to determine whether or not there is an operation log corresponding to an action that interferes with the security of the organization. If there is an operation log corresponding to an action that interferes with the security of the organization, the detection unit 111 performs processing to detect the corresponding operation log.
An example of the detection process will be described with reference to Figure 5. Since the operation log of user A.A includes the action of deleting antivirus software, which is included in the actions that disrupt security, the detection unit 111 included in the control unit 11 performs processing to detect this action as an action that disrupts security. Furthermore, the operation log of user D.D includes an action that investigates security, namely, performing a search for security software on month P, day P, and the detection unit 111 included in the control unit 11 performs processing to detect this action as an action that disrupts security.

制御部11に含まれる検出部111は、検出する処理を行ったのち、検出した結果をユーザ管理データベース152に記憶する制御を行ってもよいし、行わなくてもよい。記憶する制御を行う場合には、限定ではなく一例として、制御部11に含まれる検出部111は、ユーザ管理データベース152のその他の情報の項目に、組織のセキュリティを妨害する行動を検出したことを記憶する制御を行ってもよい。またユーザ管理データベース152に限らず、記憶部15の別の記憶領域に、検出した結果を記憶するような制御を制御部11によって行ってもよい。なお、この記憶する制御は本実施形態1において必須ではなく、記憶する制御を行っても行わなくてもよい。 After performing the detection process, the detection unit 111 included in the control unit 11 may or may not control the storage of the detection results in the user management database 152. When controlling the storage, as a non-limiting example, the detection unit 111 included in the control unit 11 may control the storage of the fact that an action that interferes with the security of the organization has been detected in the "other information" section of the user management database 152. Furthermore, the control unit 11 may control the storage of the detection results in another storage area of the storage unit 15, not just the user management database 152. Note that this storage control is not required in this embodiment 1, and the storage control may or may not be performed.

続いて、本実施形態1に係る処理を、図7に示すシーケンス図を利用して説明を行う。図7のシーケンス図の処理は、サーバ10と、端末20によって実行される。サーバ10による処理は、制御部11が記憶部15に記憶されたセキュリティ処理プログラム151のコードを読み出し実行することで実現されてもよい。端末20による処理は、制御部21が記憶部28に記憶されたプログラムのコードを読み出し実行することで実現されてもよい。なお、以下説明する処理は、本開示の手法を実施するための処理の一例に過ぎず、これらに限定されるものではない。以下説明する処理に別のステップを追加してもよいし、以下説明する処理から一部のステップを省略(削除またはスキップ)してもよい。
また、図7においては、簡単のため、1台の端末20を用いて説明を行っているが、2台以上の複数の端末20で図7に示す処理を実行してもよい。この場合、複数の端末20から、下記するユーザ入力ログ281に基づく情報を、サーバ10は受信することになる。そして、複数の端末20から送信された、ユーザ入力ログ281に基づく情報は、管理データベース152に記憶されるようになる。
Next, the processing according to the first embodiment will be described with reference to the sequence diagram shown in FIG. 7 . The processing of the sequence diagram in FIG. 7 is executed by the server 10 and the terminal 20. The processing by the server 10 may be implemented by the control unit 11 reading and executing code of the security processing program 151 stored in the storage unit 15. The processing by the terminal 20 may be implemented by the control unit 21 reading and executing code of the program stored in the storage unit 28. Note that the processing described below is merely an example of a processing for implementing the technique of the present disclosure, and is not limited thereto. Other steps may be added to the processing described below, or some steps may be omitted (deleted or skipped) from the processing described below.
7, for simplicity, the explanation is given using one terminal 20, but the processing shown in FIG. 7 may be executed by two or more terminals 20. In this case, the server 10 receives information based on the user input log 281 described below from the multiple terminals 20. The information based on the user input log 281 transmitted from the multiple terminals 20 is then stored in the management database 152.

まず、端末20の制御部21は、端末20を利用するユーザにより、入出力部23による入力があるかどうか判定する(A100)。入力がない場合には(A100:NO)、再度入出力部23による入力があるかどうか判定を行い、入力がある場合には(A100:YES)、制御部21は、記憶部28に含まれるユーザ入力ログ281に入出力部23によって入力された操作情報を記憶する制御を行う。First, the control unit 21 of the terminal 20 determines whether there has been any input via the input/output unit 23 by the user using the terminal 20 (A100). If there has been no input (A100: NO), the control unit 21 again determines whether there has been any input via the input/output unit 23. If there has been input (A100: YES), the control unit 21 controls the storage of the operation information entered via the input/output unit 23 in the user input log 281 included in the storage unit 28.

その後、制御部21は、ユーザ入力ログ281に基づく情報を、ネットワーク30を介して、通信部22によって送信する制御を行う(A120)。なお、図7に示すシーケンス図においては、ステップA110の後に、制御部21によって、ステップA120の処理を連続して行っているが、このような処理に限られない。ステップA120の処理は、適宜行われればよく、ステップA110の処理とは独立して実行されてもよい。例えば、ユーザの業務が終了している午後11時以降の設定された時刻に、ユーザ入力ログ281に記録された情報が周期的に、または非周期的に送信されるようにしてもよい。
また、ユーザ入力ログ281の全ての情報が送信される必要はなく、すでにサーバ10に送信された情報については、送信する必要がなく、サーバ10に記憶されていない更新分の情報のみが送信されるような態様であってもよい。
Thereafter, the control unit 21 controls the communication unit 22 to transmit information based on the user input log 281 via the network 30 (A120). Note that in the sequence diagram shown in FIG. 7, the control unit 21 performs the process of step A120 consecutively after step A110, but this process is not limited to this. The process of step A120 may be performed as appropriate and may be executed independently of the process of step A110. For example, the information recorded in the user input log 281 may be transmitted periodically or aperiodically at a set time after 11:00 PM, when the user's work is finished.
Furthermore, it is not necessary to transmit all information in the user input log 281, and information that has already been transmitted to the server 10 does not need to be transmitted, and only updated information that is not stored in the server 10 may be transmitted.

サーバ10の制御部11は、端末20の通信部22によって送信された、ユーザ入力ログ281に基づく情報を、サーバ10の通信部14によって受信する制御を行う(S200)。 The control unit 11 of the server 10 controls the communication unit 14 of the server 10 to receive information based on the user input log 281 transmitted by the communication unit 22 of the terminal 20 (S200).

ユーザ入力ログ281に基づく情報を、サーバ10の通信部14によって受信した後、制御部11は、サーバ10の記憶部15に記憶されているユーザ管理データベース152に、受信されたユーザ入力ログ281に基づく情報を記憶する制御を行う(S210)。 After receiving information based on the user input log 281 via the communication unit 14 of the server 10, the control unit 11 controls the storage of the information based on the received user input log 281 in the user management database 152 stored in the memory unit 15 of the server 10 (S210).

次に、サーバ10の制御部11に含まれる検出部111は、検出処理を実行するため、ユーザ管理データベース152にアクセスする処理を行う(S220)。なお、図7において、ステップS220は、ステップS210の処理に続いて実行されているが、連続して実行される必要はない。ステップS210とは独立して実行されてもよく、ステップA120と同様に、設定されたタイミングで実行されてもよい。例えば、ユーザの業務が終了している午後10時以降などの設定された時刻に、ユーザ管理データベース152にアクセスする処理を、周期的にまたは非周期的に実行してもよい。Next, the detection unit 111 included in the control unit 11 of the server 10 performs a process of accessing the user management database 152 in order to execute the detection process (S220). Note that in FIG. 7, step S220 is executed following the process of step S210, but it does not have to be executed consecutively. It may be executed independently of step S210, or, like step A120, may be executed at a set timing. For example, the process of accessing the user management database 152 may be executed periodically or aperiodically at a set time, such as after 10:00 p.m. when the user's work hours have ended.

制御部11に含まれる検出部111は、ユーザ管理データベース152にアクセスした後、ユーザ管理データベース152内に、セキュリティを妨害する行動に該当する行動が含まれているかどうか判定を行う(S230)。セキュリティを妨害する行動に該当する行動が含まれていない場合(S230:NO)、この検出処理を終了する。 After accessing the user management database 152, the detection unit 111 included in the control unit 11 determines whether the user management database 152 contains any behavior that violates security (S230). If the user management database 152 does not contain any behavior that violates security (S230: NO), the detection process is terminated.

一方、制御部11に含まれる検出部111が、セキュリティを妨害する行動に該当する行動が含まれていると判定した場合(S230:YES)、該当する組織を妨害する妨害行動を、ユーザ管理データベース152の操作ログから検出する制御を行う(S235)。ステップS235のステップを行ったのち、図7に記載の検出処理を終了する。On the other hand, if the detection unit 111 included in the control unit 11 determines that the behavior includes behavior that interferes with security (S230: YES), it performs control to detect interference behavior that interferes with the relevant organization from the operation log of the user management database 152 (S235). After performing step S235, the detection process described in Figure 7 is terminated.

なお、上述したように、ステップ235の処理の後に、検出された妨害行動を、妨害行動を行ったユーザに関連付けて記憶する制御を制御部11によって行ってもよいし、行わなくてもよい。行う場合は、制御部11によって、妨害行動が検出されたことを、ユーザ管理データベース152に含まれる、妨害行動を行ったユーザのその他情報の項目に記憶するような制御を行ってもよいし、行わなくてもよい。また上述したように、ユーザ管理データベース152とは異なる、記憶部15の領域に記憶するような制御を制御部11によって行ってもよい。 As mentioned above, after processing of step 235, the control unit 11 may or may not control the storage of the detected disruptive behavior in association with the user who committed the disruptive behavior. If this is done, the control unit 11 may or may not control the storage of the fact that the disruptive behavior has been detected in the other information section of the user who committed the disruptive behavior contained in the user management database 152. Also, as mentioned above, the control unit 11 may control the storage of the information in an area of the memory unit 15 different from the user management database 152.

<第1実施形態の効果>
本実施形態は、サーバ10等の情報処理装置が、組織の端末20(限定ではなく、組織の機器の一例)を利用するユーザによる、組織の端末20に設定されたセキュリティの妨害に関する行動である妨害行動を、制御部11に含まれる検出部111によって検出する構成を示している。
このような構成により得られる実施形態の効果の一例として、組織のセキュリティの妨害を意図するような情報を検出することができるようになるため、直接的に組織のセキュリティに危害を与えるユーザを検出可能になる。
<Effects of the First Embodiment>
This embodiment shows a configuration in which an information processing device such as a server 10 detects disruptive behavior, which is behavior related to disrupting security set on an organization's terminal 20 (not limited to, but an example of an organization's equipment) by a user using the organization's terminal 20, using a detection unit 111 included in the control unit 11.
As an example of an effect of an embodiment obtained by such a configuration, it becomes possible to detect information intended to disrupt the security of an organization, thereby making it possible to detect users who directly harm the security of an organization.

また、本実施形態は、セキュリティの妨害に関する行動として、端末20(限定ではなく、組織の機器の一例)に設定されたセキュリティを調査する行動を含む。
このような構成により、セキュリティを妨害する前段階である、ユーザによるセキュリティを調査する行動を検出することができるようになるため、ユーザがセキュリティに妨害を与える前に、ユーザによる組織のセキュリティに危害を与えるような行動を検出することが可能になる。
In addition, in this embodiment, actions related to the violation of security include actions to investigate the security set in the terminal 20 (which is not limited to the terminal 20 but is an example of an organization's equipment).
This configuration makes it possible to detect security investigation behavior by a user, which is a precursor to a security breach, and therefore makes it possible to detect behavior by a user that could harm the security of an organization before the user breaches security.

また、本実施形態は、セキュリティの妨害に関する行動として、端末20のユーザによる、端末20(限定ではなく、組織の機器の一例)に設定されたセキュリティを調査する操作、または、セキュリティに対する操作ログを調査する行動を含む。
このような構成により、ユーザがセキュリティに妨害を与える前に、ユーザによる組織のセキュリティに危害を与えるような行動を検出することが可能になる。
In addition, this embodiment includes, as actions related to the violation of security, an operation by a user of terminal 20 to investigate the security set on terminal 20 (which is not limited to terminal 20 but is an example of an organization's equipment), or an action to investigate an operation log regarding security.
Such a configuration makes it possible to detect user behavior that could compromise the security of an organization before the user actually causes a security disruption.

また、本実施形態は、セキュリティの妨害に関する行動として、端末20のユーザによる、端末20(限定ではなく、組織の機器の一例)に設定されたセキュリティを回避する行動を含む。
このような構成により、ユーザがセキュリティを回避するという、悪意ある行動を検出することができる。
また、組織のセキュリティ対策を回避したユーザが組織に対して具体的な攻撃(限定ではなく一例として、サイバー攻撃)を加えるというさらなる悪意ある行動がユーザによって行われる前に、さらなる悪意ある行動を行う可能性が高いユーザを検出することができるようになるため、組織の損害を抑えることができるようになる。
In addition, in this embodiment, actions related to violating security include actions by the user of the terminal 20 that circumvent security set in the terminal 20 (which is not limited to the terminal 20 but is an example of an organization's equipment).
This configuration makes it possible to detect malicious user attempts to circumvent security.
In addition, it will be possible to detect users who have circumvented an organization's security measures and are likely to engage in further malicious behavior before they engage in further malicious behavior such as launching a specific attack against the organization (for example, but not limited to, a cyber attack), thereby limiting damage to the organization.

また、本実施形態は、セキュリティの妨害に関する行動として、端末20のユーザによる、端末20(限定ではなく、組織の機器の一例)に設定されたセキュリティを無効化するための行動、またはセキュリティに対して操作を行った操作ログを削除する行動を含む。
このような構成により、ユーザがセキュリティを回避するという、悪意ある行動を検出することができる。
また、組織のセキュリティ対策を回避したユーザが組織に対して具体的な攻撃(限定ではなく一例として、サイバー攻撃)を加えるというさらなる悪意ある行動がユーザによって行われる前に、さらなる悪意ある行動を行う可能性が高いユーザを検出することができるようになるため、組織の損害を抑えることができるようになる。
In addition, in this embodiment, actions related to the interference with security include actions by the user of terminal 20 to disable the security set on terminal 20 (which is not limited to terminal 20 but is an example of an organization's equipment), or actions to delete operation logs of operations performed on security.
This configuration makes it possible to detect malicious user attempts to circumvent security.
In addition, it will be possible to detect users who have circumvented an organization's security measures and are likely to engage in further malicious behavior before they carry out further malicious behavior such as launching a specific attack against the organization (for example, but not limited to, a cyber attack), thereby limiting damage to the organization.

また、本実施形態は、セキュリティとして、組織によって設定された組織のネットワークを保護するセキュリティを含んでもよい。
このような構成により、セキュリティとして、組織のネットワークの保護を妨害する行動を検出することができ、これによって、組織のネットワークを妨害するユーザを検出することができるようになるため、組織のネットワークの妨害から守ることが可能になる。
Furthermore, in this embodiment, the security may include security set by an organization to protect the organization's network.
With this configuration, as a security measure, it is possible to detect behavior that disrupts the protection of an organization's network, thereby making it possible to detect users who disrupt the organization's network, thereby protecting the organization's network from disruption.

また、本実施形態は、組織に属する複数のユーザ各々に配布された端末20(限定ではなく、組織の機器の一例)にセキュリティが設定されたものであってもよい。
このような構成により、妨害を検出するセキュリティの対象が、組織に対して一律に設定されたものであるため、セキュリティに対する妨害行動を検出することで、組織に対して設定されたセキュリティに対する妨害を検出し、組織全体に対して設定されたセキュリティに対する妨害から保護することが可能となる。
Furthermore, in this embodiment, security may be set on the terminals 20 (not limited to, but an example of organizational equipment) distributed to each of a plurality of users belonging to an organization.
With this configuration, the security target for detecting interference is set uniformly for the organization, so by detecting acts of interference with security, it is possible to detect interference with the security set for the organization and protect the entire organization from interference with the security set for the organization.

また、本実施形態は、セキュリティとして、ソフトウエアによるセキュリティであってもよい。
このような構成により、ソフトウエアによるセキュリティに対する妨害を検出することで、ソフトウエアによるセキュリティへの妨害を保護することができるようになる。
In addition, in this embodiment, the security may be software-based security.
With this configuration, it becomes possible to detect software-based sabotage of security, thereby making it possible to protect against software-based sabotage of security.

<実施形態1 変形例1>
第1実施形態に示す、組織のセキュリティを妨害する行動は、何がセキュリティを妨害する行動に該当するか、組織の端末20を管理する管理者によって入力されてもよいし、外部からネットワーク30を介して、組織のセキュリティを妨害する行動に含まれる行動を取得するようにしてもよい。
<First Modification of First Embodiment>
In the first embodiment, the actions that disrupt the security of an organization may be input by an administrator who manages the organization's terminal 20, and the actions that constitute the actions that disrupt security may be obtained from outside via the network 30.

組織の端末20を管理するユーザによって入力される場合は、組織の端末20の入出力部23か、サーバ10に備わる入出力部12によって入力される。限定ではなく例として、前述した、セキュリティを回避する行動に含まれる具体的な行動として、組織のファイアウォールを削除する行動を追加する場合、組織の端末20の入出力部23、またはサーバ10に備わる入出力部12によって入力され、新たなセキュリティを妨害する行動として追加される。追加された新たなセキュリティを妨害する行動は、記憶部15などに記憶される。 When input by a user managing an organization's terminal 20, the input is made via the input/output unit 23 of the organization's terminal 20 or the input/output unit 12 provided in the server 10. As a non-limiting example, if an action to remove the organization's firewall is added as a specific action included in the aforementioned actions to circumvent security, the action is input via the input/output unit 23 of the organization's terminal 20 or the input/output unit 12 provided in the server 10 and added as a new action that violates security. The added new action that violates security is stored in the memory unit 15 or the like.

また、外部からネットワーク30を介して、組織のセキュリティを妨害する行動に含まれる行動を取得する場合は、サーバ10の通信部14によって、組織のセキュリティを妨害する行動に含まれる新たな行動を受信し、記憶部15などに記憶を行う。
限定ではなく例として、追加された新たなセキュリティを妨害する行動は、記憶部15に記憶される、セキュリティプログラム151に記憶する。これにより、制御部11は、セキュリティプログラム151を読み込む際に、新たに追加された妨害行動を含む、何が組織のセキュリティを妨害する行動なのかを示す情報を取得することが可能となる。
In addition, when acquiring actions that are included in actions that disrupt the security of the organization from the outside via the network 30, the communication unit 14 of the server 10 receives new actions that are included in actions that disrupt the security of the organization and stores them in the memory unit 15 or the like.
By way of example and not limitation, the newly added security-compromising behavior is stored in security program 151, which is stored in storage unit 15. This allows control unit 11, when loading security program 151, to obtain information indicating what behaviors, including the newly added disruptive behavior, are threatening the security of the organization.

実施形態1の変形例1で説明した処理を実行することにより、組織のセキュリティを妨害する行動を適宜更新することが可能になり、新たに発生した妨害行動や、新たに発生したセキュリティを妨害する行動を追加することができ、組織のセキュリティを妨害する行動を適切に検出することが可能となる。 By performing the processing described in variant example 1 of embodiment 1, it becomes possible to appropriately update behaviors that disrupt the security of an organization, and it becomes possible to add newly occurring disruptive behaviors or newly occurring behaviors that disrupt security, thereby making it possible to appropriately detect behaviors that disrupt the security of an organization.

<実施形態2>
第1実施形態では、サーバ10などの情報処理装置によって、組織の機器を利用するユーザによる、組織のセキュリティに対する妨害行動を、制御部11に含まれる検出部111によって検出する構成を開示した。
第2実施形態では、検出部111による検出を行ったのち、後述する、制御部11に含まれる機器制御部114によって、通知を行う制御や、端末20の利用の制御を行う実施形態である。
<Embodiment 2>
In the first embodiment, a configuration has been disclosed in which an information processing device such as the server 10 detects, by the detection unit 111 included in the control unit 11, any disruptive behavior against the security of an organization by a user who uses equipment in the organization.
In the second embodiment, after detection is performed by the detection unit 111, a device control unit 114 included in the control unit 11, which will be described later, controls notification and the use of the terminal 20.

図8は、第2実施形態に係る、サーバ10の機能構成の一例を示すブロック図を示している。
第2実施形態と第1実施形態との差分に着目して説明すると、第2実施形態に係るサーバ10は、判定部113、機器制御部114を含んでいる。なお、後述するが、判定部113は必ずしも必要ではなく、あってもなくてもよい。
FIG. 8 is a block diagram showing an example of the functional configuration of the server 10 according to the second embodiment.
To explain the second embodiment by focusing on the differences between the first and second embodiments, the server 10 according to the second embodiment includes a determination unit 113 and a device control unit 114. As will be described later, the determination unit 113 is not necessarily required, and may or may not be present.

判定部113は、検出部111によって検出された結果に基づいて、機器の制御を行うかどうかを判定する処理を実行する。機器の制御を実行すると判定された場合、機器制御部114によって、機器の制御を実行する。実施形態2は、機器の制御として、セキュリティを妨害する行動を検出したことを示す情報を通知する制御の例を用いて説明を行うが、後述の変形例に記載されているように、これに限定されない。 The determination unit 113 executes a process to determine whether to control the device based on the results detected by the detection unit 111. If it is determined that device control should be executed, the device control unit 114 executes device control. In embodiment 2, the device control is described using an example of control that notifies information indicating that an action that violates security has been detected, but this is not limited to this, as described in the modified example below.

次に、本実施形態において各装置が実行する処理の流れの一例を示すシーケンス図を図9に示す。ここでは、図9に示す内容を、第1実施形態との違いに着目して説明を行う。まず、第2実施形態は、第1実施形態と異なり2台の端末20とサーバ10で構成される。なお、端末20Aと端末20Bの2台の例で説明を行っているが、これに限定されず、端末20A相当の処理を行う端末が2台以上の複数台あってもよいし、端末20B相当の処理を行う端末が2台以上の複数台あってもよい。
なお、図9に示す例としては、端末20Aを利用するユーザは、組織に属するユーザであり、端末20Bを利用するユーザは、組織の端末20A等を管理するユーザ(管理者と表現されてもよい)を想定して説明を行うがこれに限定されるものではない。端末20Bを利用するユーザは、端末20Aを利用するユーザと同様に、組織に属するユーザであってもよいし、端末20Aが属する組織とは異なる組織に属するユーザであってもよい。
Next, a sequence diagram showing an example of the flow of processing executed by each device in this embodiment is shown in Figure 9. Here, the contents shown in Figure 9 will be explained, focusing on the differences from the first embodiment. First, unlike the first embodiment, the second embodiment is configured with two terminals 20 and a server 10. Note that the explanation is given using an example of two terminals, terminal 20A and terminal 20B, but this is not limited to this, and there may be two or more terminals that perform processing equivalent to terminal 20A, or there may be two or more terminals that perform processing equivalent to terminal 20B.
9, the description will be given assuming that the user using terminal 20A is a user who belongs to an organization, and the user using terminal 20B is a user (which may be expressed as an administrator) who manages terminal 20A, etc., in the organization, but the present invention is not limited to this. The user using terminal 20B may be a user who belongs to the organization, like the user using terminal 20A, or may be a user who belongs to an organization different from the organization to which terminal 20A belongs.

次に、第2実施形態のうち、第1実施形態とは異なる処理の流れは、端末20Aにおいては、特に異なる点はなく、サーバ10においては、ステップS240と、ステップS245を含む点で第1実施形態と異なり、端末20Bにおいては、ステップB300と、ステップB310の処理を含む点で第1実施形態と異なる。 Next, in the second embodiment, the processing flow that differs from the first embodiment is that there are no particular differences in terminal 20A, but in server 10, it differs from the first embodiment in that it includes steps S240 and S245, and in terminal 20B, it differs from the first embodiment in that it includes processing in steps B300 and B310.

第2実施形態と第1実施形態との差分に着目して説明するため、第1実施形態の処理と同様である、サーバ10の制御部11に含まれる検出部111によって実行されるステップS235の後の処理から説明する。ステップS235の後の処理として、ステップS235によって検出された妨害行動の検出に基づいて、制御部11に含まれる、判定部113によって機器の制御を行うかの判定を行う(S240)。
なおここでの説明では、上述したように、機器の制御として、端末20Aに通知する制御を例にして説明を行う。
なお、図9においては、ステップS240の判定を実行する例で説明を行っているが、これに限定されない。ステップS240は、必須ではなく、ステップ235の後、ステップS240をスキップして処理を実行してもよい。
In order to focus on the differences between the second embodiment and the first embodiment, the description will begin with the processing after step S235, which is similar to the processing in the first embodiment and is executed by the detection unit 111 included in the control unit 11 of the server 10. As the processing after step S235, based on the detection of the disruptive behavior detected in step S235, the determination unit 113 included in the control unit 11 determines whether to control the device (S240).
In the description here, as described above, the control of the device will be described by taking as an example the control of notifying the terminal 20A.
9, an example in which the determination in step S240 is executed is described, but the present invention is not limited to this. Step S240 is not essential, and after step S235, the process may be executed by skipping step S240.

判定部113によって、機器の制御として、端末20Bに対する通知を行わないと判定した場合(S240:NO)、機器の制御を行わないとして図9に係る制御部11による制御を終了する。
一方で、判定部113によって、機器の制御として、端末20Bに通知する制御を行うと判定した場合、(S240:YES)、機器制御部114は、セキュリティに対する妨害行動を検知したことを示す通知を行うための制御を実行する(S245)。機器制御部114は、通知を行うための制御として、ネットワーク30を介して、通信部14によって通知を行うための情報を端末20Bに送信する制御を行う。
When the determination unit 113 determines that the notification should not be sent to the terminal 20B as the device control (S240: NO), the device control is not performed and the control by the control unit 11 in FIG. 9 is terminated.
On the other hand, if the determination unit 113 determines that the device control should be to notify the terminal 20B (S240: YES), the device control unit 114 executes control to notify the terminal 20B that a security interference behavior has been detected (S245). As the control to notify, the device control unit 114 controls the communication unit 14 to transmit information for the notification to the terminal 20B via the network 30.

ここで、通知を行うための情報として、少なくとも、端末20Bに通知を実行させるための情報を含んでおり、この情報を端末20Bが受信を行うと、端末20Bは、セキュリティに対する妨害行動を検知したことを示す情報の通知を実行する。なお、通知を行うための情報として、文字情報から構成される通知内容を含んでもよいし、含まなくてもよい。含む場合は、後述するように、限定ではなく例として、端末20Bの表示部24に通知内容が表示される。 Here, the information for sending a notification includes at least information for causing terminal 20B to execute the notification, and when terminal 20B receives this information, terminal 20B executes a notification indicating that a security interference behavior has been detected. Note that the information for sending a notification may or may not include notification content consisting of text information. If it does include text information, the notification content is displayed on the display unit 24 of terminal 20B, as described below, by way of example and not limitation.

次に、端末20Bの制御部21は、ネットワーク30を介して、端末20Bの通信部22によって、サーバ10から送信された、機器制御に関する情報に含まれる、通知を行うための情報を受信したかどうか判定を行う(B300)。 Next, the control unit 21 of terminal 20B determines whether the communication unit 22 of terminal 20B has received information for notification, which is included in the information regarding device control sent from the server 10, via the network 30 (B300).

通知を行うための情報を受信しなかった場合(B300:NO)、再度、端末20Bの制御部21は、通知を行うための情報を受信したかどうか判定を行う。通知を行うための情報を受信した場合(B300:YES)、通知を行うための情報に基づいて、端末20Bの制御部21は、端末20Bを利用するユーザに対して通知を行う処理を実行する。If the information for sending a notification has not been received (B300: NO), the control unit 21 of terminal 20B again determines whether the information for sending a notification has been received. If the information for sending a notification has been received (B300: YES), the control unit 21 of terminal 20B executes processing to send a notification to the user of terminal 20B based on the information for sending a notification.

図10は、端末20Bが通知を行うための情報を受信したことを契機に、端末20Bに備わる表示部24に、セキュリティに対する妨害行動を検知したことを示す情報の通知が実行されたことを示す図である。図10に示すように、表示部24は、セキュリティに対する妨害行動を検知したことを示す情報の通知として、「ユーザA・Aさんが妨害行動を行っている恐れがあります」という表示を行う。 Figure 10 is a diagram showing that, upon receiving information for notification by terminal 20B, notification of information indicating that interference with security has been detected is executed on display unit 24 of terminal 20B. As shown in Figure 10, display unit 24 displays "User A. A may be engaging in interference with security" as notification of information indicating that interference with security has been detected.

端末20Bを利用するユーザは、上述したように、組織を管理する管理者であってもよいため、端末20Bを利用するユーザは、この通知内容を確認することによって、ユーザA・Aさんが妨害行動を行っていることをすぐに知ることができるようになる。 As mentioned above, the user using terminal 20B may be an administrator who manages an organization, so by checking the content of this notification, the user using terminal 20B will be able to immediately know that user A.A. is engaging in disruptive behavior.

なお、通知の内容として、表示を例に説明したが、これに限らない。ここでの通知は、音による通知、または振動による通知であってもよい。端末20Bの制御部21は、通知の種別によって異なる制御を行い、適切に通知の制御を行ってもよい。なお、音による通知や、触覚を利用した通知は、図1に示す入出力部23によって行ってもよい。また音による通知は、セキュリティの妨害を検知したことを示す警告音であるブザー音やチャイム、音声合成による、セキュリティの妨害を検知したことを示すテキストに対応する合成音声であってもよい。 Note that while a display has been used as an example of the content of the notification, this is not limited to this. The notification here may also be a sound notification or a vibration notification. The control unit 21 of terminal 20B may perform different control depending on the type of notification and control the notification appropriately. Note that sound notifications and notifications using the sense of touch may be performed by the input/output unit 23 shown in Figure 1. Sound notifications may also be a buzzer sound or chime that is an alarm sound indicating that a security breach has been detected, or a synthesized voice that corresponds to text indicating that a security breach has been detected.

<第2実施形態の効果>
本実施形態は、サーバ10等の情報処理装置が、組織の端末20(限定ではなく、組織の機器の一例)を利用するユーザによる、組織の端末20に設定されたセキュリティの妨害に関する行動である妨害行動を、制御部11に含まれる検出部111によって検出を行い、検出に基づく機器の制御(限定ではなく制御の一例)を、制御部11に含まれる機器制御部114によって行う構成を示している。
このような構成により得られる実施形態の効果の一例として、組織のセキュリティの妨害を意図するような情報の検出に基づいて、制御を行うことができ、組織のセキュリティに対する妨害行動に対して適切に対処することが可能になる。
<Effects of the Second Embodiment>
This embodiment shows a configuration in which an information processing device such as a server 10 detects disruptive behavior, which is behavior related to disrupting security set on an organization's terminal 20 by a user using the organization's terminal 20 (not limited to this, but an example of an organization's equipment), using a detection unit 111 included in the control unit 11, and controls the equipment (not limited to this, but an example of control) based on the detection using an equipment control unit 114 included in the control unit 11.
As an example of an effect of an embodiment obtained by such a configuration, control can be exercised based on the detection of information intended to disrupt the security of an organization, making it possible to appropriately respond to disruptive behavior against the security of an organization.

また、本実施形態は、機器の制御(限定ではなく制御の一例)として、妨害行動の通知を行う制御を、制御部11に含まれる機器制御部114によって行う構成を示している。
このような構成により得られる実施形態の効果の一例として、組織のセキュリティの妨害を意図するような情報の検出に基づいて、セキュリティを妨害する行動が行われていることを通知し、早期に妨害に対処することが可能になる。
Furthermore, in this embodiment, as control of the device (not limited to this, but an example of control), control of notifying of disruptive behavior is performed by the device control unit 114 included in the control unit 11 .
As an example of an effect of an embodiment obtained by such a configuration, based on the detection of information intended to disrupt the security of an organization, it is possible to notify that an action to disrupt security is being taken, and to deal with the disruption early.

<実施形態2 変形例1>
第2実施形態の図9および図10で示した例は、機器の制御として、通知を例に挙げて説明を行ったが、これに限定されない。機器の制御は、妨害行動の検出に基づいて、妨害行動を行ったユーザの端末20Bの利用を制限する制御を行ってもよい。
なお、図9での想定例は、端末20Bを利用するユーザは、組織の端末20A等を管理するユーザ(管理者)を想定して説明を行っていた。しかし、本変形例1は、端末20Bを利用するユーザは、端末20Aを利用するユーザと同様に、組織に属するユーザであることを想定して説明を行う。また、以下の例は、端末20A、端末20Bを用いて説明を行っているが、端末20Bは以下で説明する図9のシーケンス図における、端末20Aが行う処理をすでに実行していることとして説明を行う。すなわち、図9における端末20Aの処理を、端末20Bがすでに実行しているため、ユーザ管理データベース152は、端末20Bに記憶されたユーザの入力ログに基づく情報をすでに記憶しているとする。
また、下記するように、端末20Bを端末20Aと読み変えて、実施形態2の変形例1の処理は実行されてもよい。
<Modification 1 of Second Embodiment>
9 and 10 of the second embodiment, notification has been described as an example of device control, but the present invention is not limited to this. Device control may involve restricting the use of the terminal 20B of a user who has engaged in disruptive behavior based on the detection of disruptive behavior.
In the example illustrated in FIG. 9 , the user using terminal 20B is assumed to be a user (administrator) who manages terminals 20A and the like in an organization. However, in this first modification, the user using terminal 20B is assumed to be a user who belongs to the organization, just like the user using terminal 20A. The following example is explained using terminals 20A and 20B, but the explanation is given assuming that terminal 20B has already executed the processing performed by terminal 20A in the sequence diagram of FIG. 9 , which will be described below. In other words, since terminal 20B has already executed the processing performed by terminal 20A in FIG. 9 , the user management database 152 already stores information based on the user's input log stored in terminal 20B.
Furthermore, as described below, the terminal 20B may be read as the terminal 20A, and the processing of the first modification of the second embodiment may be executed.

具体的に、図9を利用して説明を行う。図9のシーケンス図のうち、ステップS240の処理までは同様である。ステップS240によって、機器制御を行う場合、ステップS245によって、機器の制御として、妨害行動を行ったユーザの端末20Bの利用を制限する制御を、制御部11に含まれる機器制御部114によって行われてもよい。 A specific explanation will be given using Figure 9. In the sequence diagram of Figure 9, the processing is the same up to step S240. When device control is performed in step S240, device control in step S245 may be performed by the device control unit 114 included in the control unit 11 to restrict the use of terminal 20B of the user who has engaged in disruptive behavior.

妨害行動を行ったユーザの端末20Bの利用を制限する制御は、端末20Bの利用を制限するための情報をサーバ10から端末20Bに送信する制御である。端末20Bは、端末20Bの利用を制限する情報を受け取ると、端末20Bの使用が制限され、端末20Bのユーザの操作を受け付けなくなり、端末20Bの使用を不可にする。
なお、全ての操作が受け付けなくなることに限定される必要はなく、一部の操作の受付が行われないようにしてもよい。限定ではなく例として、インターネットの機能、メールの機能、チャットの機能など、一部の機能や、一部の機能を構成するソフトウエアのみを利用不可にするようにしてもよいし、すべての機能や、全てのソフトウエアの利用を不可にするようにしてもよい。
The control to restrict the use of terminal 20B by the user who has engaged in disruptive behavior is a control to transmit information for restricting the use of terminal 20B from server 10 to terminal 20B. When terminal 20B receives the information restricting the use of terminal 20B, the use of terminal 20B is restricted, and terminal 20B no longer accepts operations from the user, making it impossible to use terminal 20B.
It is not necessary to limit the acceptance of all operations, and it is also possible to prevent the acceptance of some operations. As a non-limiting example, only some functions, such as the Internet function, email function, and chat function, or software that constitutes some functions may be made unavailable, or all functions or all software may be made unavailable.

また上述の例に限らず、端末20Bがこの情報を受け取ると、端末20Bのユーザが、端末20Bの使用権限が剥奪され、端末20Bへのログインを実行することができなくなるようにしてもよい。 In addition to the above example, when terminal 20B receives this information, the user of terminal 20B may be stripped of their authority to use terminal 20B and may no longer be able to log in to terminal 20B.

そのため、機器制御を行う場合、ステップS245において、機器制御部114は、端末20Bの利用を制限するための情報を、サーバ10の通信部14によって送信する制御を行う。その後、ステップB300において、端末20Bの利用を制限するための情報が、端末20Bの通信部22によって受信されたと制御部21に判定された場合、ステップB310において、機器の制御として、上述の端末20Bの使用を制限する制御を制御部21は実行する。Therefore, when performing device control, in step S245, the device control unit 114 controls the communication unit 14 of the server 10 to transmit information for restricting the use of terminal 20B. Thereafter, if in step B300 the control unit 21 determines that information for restricting the use of terminal 20B has been received by the communication unit 22 of terminal 20B, in step B310 the control unit 21 executes control to restrict the use of terminal 20B as described above as device control.

なお、端末20Bの使用を制限する例について上述で説明を行っていたが、これに加えて、端末20Bの使用が制限されたことを示す通知を行ってもよい。
図11は、端末20Bの使用を制限する制御が実行された端末20Bの表示部24が示されている。表示部24は、ユーザB・Bさんが妨害行動を行っている恐れがあることと、端末の使用が制限されたこととを示す表示を行っている。このように、端末20Bを利用するユーザに対して、端末20Bのユーザによる、組織のセキュリティに対する妨害行動が行われたことを契機に、端末の使用が制限されたことを知らせるような通知を一緒に行ってもよい。
Although an example of restricting the use of the terminal 20B has been described above, in addition to this, a notification indicating that the use of the terminal 20B has been restricted may be sent.
11 shows the display unit 24 of terminal 20B after control to restrict the use of terminal 20B has been executed. Display unit 24 displays a message indicating that user B may be engaging in disruptive behavior and that use of the terminal has been restricted. In this way, a notification may be sent to the user of terminal 20B informing them that use of the terminal has been restricted in response to the user of terminal 20B engaging in disruptive behavior against the security of the organization.

このように、機器の制御として、実施形態2で説明した通知を行う制御を行うだけでなく、端末20Bの利用を制限するような制御を行ってもよい。
なお、実施形態2の変形例1の説明は、端末20Bの利用を制限するための情報で説明を行っていたが、端末20Bを端末20Aと読み変えて処理を実行してもよい。すなわち、上述の実施形態2の変形例1の例は、端末20Aと端末20Bの2台と、サーバ10とによって実行される処理で説明を行ったが、端末20Aとサーバ10とで上述の処理を実行してもよく、端末20Bで実行された処理を端末20Aのみで実行するように上述の処理を変更してもよい。
また、実施形態2の変形例1の処理は、実施形態2の記載に準拠して、複数台の端末で処理を実行してもよい。すなわち、実施形態2の変形例1に記載されている端末20Aに相当する端末が複数あってもよいし、または、実施形態2の変形例1に記載されている端末20Bに相当する端末が複数あってもよい。
In this way, the device control may not only perform the control for sending the notification described in the second embodiment, but also perform control for restricting the use of the terminal 20B.
In addition, although the explanation of the first modification of the second embodiment has been given using information for restricting the use of terminal 20B, the processing may be executed by replacing terminal 20B with terminal 20A. That is, although the example of the first modification of the second embodiment has been described above using processing executed by two terminals, terminal 20A and terminal 20B, and server 10, the processing may be executed by terminal 20A and server 10, or the processing may be changed so that the processing executed by terminal 20B is executed only by terminal 20A.
Furthermore, the processing of Modification 1 of Embodiment 2 may be executed by a plurality of terminals in accordance with the description of Embodiment 2. That is, there may be a plurality of terminals corresponding to terminal 20A described in Modification 1 of Embodiment 2, or there may be a plurality of terminals corresponding to terminal 20B described in Modification 1 of Embodiment 2.

また、実施形態2の変形例1の例は、端末20Bに対して、機器の制御として、端末20Bの使用を制限する制御が実行された。しかしこれに限らず、端末20Bに対して、機器の制御として、端末20Bとは異なる端末(例えば端末20A)の使用を制限するかどうかを問い合わせる情報を送信する制御を行ってもよい。この場合、端末20Bのユーザは、組織の機器を管理するユーザ(管理ユーザ)に相当するユーザであってもよい。
例えば、ステップS235で端末20Bとは異なる端末(たとえば端末20A)のユーザによる妨害行動を検出した場合、サーバ10の機器制御部114は、ステップS240の機器制御として、端末20Bとは異なる端末(たとえば端末20A)の使用を制限するかどうかを問い合わせる情報の送信を行う。そして、端末20Bは、使用を制限するかどうかを問い合わせる情報をサーバ10から受信する。そして、端末20Bは、これに対応する情報を、端末20Bの表示部24に表示を行う。
端末20Bのユーザは、こちらを確認して、使用の制限を許可する入力を行った場合に、端末20Bとは異なる端末(例えば端末20A)の使用を制限する制御を、サーバ10の制御部11によって実行するようにしてもよい。すなわち、実施形態2の変形例1の例を参考にして、サーバ10は、機器の制御として、使用を制限するかどうかを問い合わせる情報を送信するようにしてもよい。
In the example of the first modification of the second embodiment, the device control executed on terminal 20B is to restrict the use of terminal 20B. However, the device control is not limited to this. Alternatively, the device control may be to transmit information to terminal 20B inquiring whether to restrict the use of a terminal different from terminal 20B (for example, terminal 20A). In this case, the user of terminal 20B may be a user corresponding to a user (administrative user) who manages devices in the organization.
For example, if disruptive behavior by a user of a terminal (e.g., terminal 20A) different from terminal 20B is detected in step S235, the device control unit 114 of the server 10 transmits information inquiring whether to restrict use of the terminal (e.g., terminal 20A) different from terminal 20B as device control in step S240. Then, terminal 20B receives the information inquiring whether to restrict use from the server 10. Then, terminal 20B displays corresponding information on the display unit 24 of terminal 20B.
When the user of terminal 20B confirms this and inputs permission to restrict use, control unit 11 of server 10 may execute control to restrict use of a terminal other than terminal 20B (for example, terminal 20A). That is, referring to the example of Modification 1 of Embodiment 2, server 10 may transmit information inquiring whether to restrict use as device control.

<第2実施形態 変形例1の効果>
また、本変形例は、機器の制御(限定ではなく制御の一例)として、ユーザが利用する機器の利用を制限する制御、またはユーザが利用する機器のソフトウエアを制限する制御を、制御部11に含まれる機器制御部114によって行う構成を示している。
このような構成により得られる実施形態の効果の一例として、組織のセキュリティの妨害を意図するような情報の検出に基づいて、セキュリティの妨害を行っている端末の利用を制限することが可能になるため、セキュリティの妨害を行ったユーザがさらなる悪意ある行動を行う前に、それを未然に防ぐことが可能になる。
<Effects of Modification 1 of Second Embodiment>
In addition, this modified example shows a configuration in which, as control of the device (not limited to this, but an example of control), control to restrict the use of the device used by the user or control to restrict the software of the device used by the user is performed by the device control unit 114 included in the control unit 11.
As an example of an effect of an embodiment obtained by such a configuration, it becomes possible to restrict the use of a terminal that is violating security based on the detection of information intended to violate the security of an organization, thereby making it possible to prevent the user who has violated security from engaging in further malicious behavior before it occurs.

<実施形態3>
第1実施形態は、サーバ10などの情報処理装置によって、組織の機器を利用するユーザによる、組織のセキュリティに対する妨害行動を、制御部11に含まれる検出部111によって検出する構成を開示した。
第3実施形態は、検出部111による検出を行ったのち、後述する、制御部11に含まれる評価部112によって、妨害行動のリスク値を評価する構成を備え、組織の機器を利用するユーザが行った妨害行動のリスクの定量的な評価を行っている。
<Embodiment 3>
The first embodiment discloses a configuration in which an information processing device such as the server 10 detects, by the detection unit 111 included in the control unit 11, any disruptive behavior against the security of an organization by a user who uses equipment in the organization.
In the third embodiment, after detection is performed by the detection unit 111, the risk value of the disruptive behavior is evaluated by the evaluation unit 112 included in the control unit 11, which will be described later, and a quantitative evaluation of the risk of disruptive behavior performed by users of the organization's equipment is performed.

本実施形態3に係る構成を、図12を用いて説明をする。実施形態1との違いとして、上述したように、制御部11は、評価部112を備えている。この評価部112は、制御部11に含まれる検出部111によって検出された、組織のセキュリティに対する妨害行動のリスクを定量的に評価する。
評価された値等は、記憶部15に含まれる、ユーザ管理データベース152に記憶されてもよいし、記憶部15の別の記憶領域に記憶されるようにしてもよい。
The configuration of the third embodiment will be described with reference to Fig. 12. As described above, the third embodiment differs from the first embodiment in that the control unit 11 includes an evaluation unit 112. The evaluation unit 112 quantitatively evaluates the risk of disruptive behavior against the security of the organization, detected by the detection unit 111 included in the control unit 11.
The evaluated values and the like may be stored in the user management database 152 included in the storage unit 15 , or may be stored in a separate storage area of the storage unit 15 .

図13は、評価部112による評価が、ユーザ管理データベース152に記憶された態様が示されている。図13に示された、ユーザ管理データベース152は、前述で説明した図5と異なり、ユーザごとに評価点を入力する項目が備わっている。この評価点を入力する項目に、各々のユーザが行った行動に基づいて評価された値が入力される。
なお、ここでは評価された値を数値で示しているが、値以外で評価を行ってもよい。限定ではなく例として、リスクが大きい、普通、小さいと、複数の段階に分けて評価を行ったり、アルファベットの順番でリスクの大きさを示したりしてもよい(限定ではなく、Aが最大のリスクを示し、Aから順番にリスクが小さくなっていくように評価を行う等)。
Fig. 13 shows how the evaluations by the evaluation unit 112 are stored in the user management database 152. The user management database 152 shown in Fig. 13 differs from the previously described Fig. 5 in that it has an item for inputting an evaluation point for each user. An evaluation value based on the behavior of each user is input into this item for inputting an evaluation point.
Although the evaluated values are shown here as numerical values, evaluation may be performed using other methods. For example, and without limitation, evaluation may be performed using multiple levels such as high, normal, and low risk, or the magnitude of risk may be indicated in alphabetical order (for example, and without limitation, A may indicate the greatest risk, and the evaluation may be performed in order from A to A in decreasing risk).

図13において、ユーザA・Aの評価はマイナス50であることを示している。これは、ユーザA・Aが、組織のセキュリティに対する妨害行動である、アンチウイルスソフトの削除という行動を行ったため、マイナス50という評価を評価部112によって行っている。
また、図13において、ユーザD・Dの評価はマイナス15であることを示している。これは、組織のセキュリティに対する妨害行動である、セキュリティソフトが格納されている場所の検索を実行したとして、マイナス15という評価を評価部112によって行っている。
13 shows that the evaluation of user A.A. is minus 50. This is because user A.A. deleted antivirus software, which is an obstruction to the security of the organization, and so the evaluation unit 112 has given the evaluation of minus 50.
13 also shows that the evaluation of user D.D. is minus 15. This is because the evaluation unit 112 has evaluated the user D.D. as having performed a search for the location where security software is stored, which is an obstruction to the security of the organization.

なお、ここでの評価は一律であってもよいし、行動ごとに異ならせるようにしてもよい。例えば、アンチウイルスソフトの削除は、組織のセキュリティを回避する行動に含まれる。回避する行動は、セキュリティを調査する行動よりもリスクが高いと判断し、評価を調査する行動よりも大きく(マイナスの評価が大きくなるように)設定してもよい。
具体的に図9では、セキュリティを回避する行動に含まれる、アンチウイルスソフトの削除を行った場合の評価は、マイナス50(限定ではなく第1の値の一例)である。一方で、セキュリティを調査する行動に含まれる、セキュリティの検索を実行することは、マイナス15(限定ではなく第2の値の一例)と、アンチウイルスソフトの削除よりもマイナス評価が小さい。このように、回避する行動の方が、調査する行動よりもマイナスとなる評価を大きく設定してもよいし(限定ではなく、第1の値よりも第2の値の方がマイナスの評価が高いことの一例)、逆に設定してもよい。
The evaluation here may be uniform, or may be different for each behavior. For example, removing antivirus software is included in behaviors that circumvent organizational security. The behavior of circumventing security may be determined to be higher risk than the behavior of investigating security, and the evaluation may be set higher (so that the negative evaluation is more significant) than the behavior of investigating security.
9, the removal of antivirus software, which is included in the behavior of circumventing security, is evaluated as minus 50 (not a limitation, but an example of a first value). On the other hand, performing a security search, which is included in the behavior of investigating security, is evaluated as minus 15 (not a limitation, but an example of a second value), which is a smaller negative evaluation than removing antivirus software. In this way, the negative evaluation of the circumventing behavior may be set to be larger than that of the investigating behavior (not a limitation, but an example of the second value being a more negative evaluation than the first value), or vice versa.

また、回避する行動についても複数種別設定されているため、評価部112は、種別にごとに異なる評価を行ってもよい。限定ではなく例として、回避する行動に含まれる、アンチウイルスソフトの削除と、セキュリティに対する操作ログの削除とで、評価を異ならせてもよい。限定ではなく例として、アンチウイルスソフトの削除は、マイナス50の評価を評価部112は行い、セキュリティに対する操作ログの削除は、マイナス30の評価を評価部112で行ってもよい。このように、評価部112は、種別ごとに評価を異ならせるようにしてもよい。なお、セキュリティを調査する行動についても同様に、セキュリティを調査する行動に含まれる種別ごとに、評価部112は評価を異ならせるようにしてもよい。 Furthermore, since multiple types of behaviors to be avoided are set, the evaluation unit 112 may perform a different evaluation for each type. As a non-limiting example, the evaluation may be different for the removal of antivirus software and the deletion of security operation logs, which are included in the behaviors to be avoided. As a non-limiting example, the evaluation unit 112 may perform a minus 50 evaluation for the removal of antivirus software, and a minus 30 evaluation for the deletion of security operation logs. In this way, the evaluation unit 112 may perform a different evaluation for each type. Note that similarly, with regard to behaviors that investigate security, the evaluation unit 112 may perform a different evaluation for each type included in the behaviors that investigate security.

また、図13において、ユーザB・Bの評価は評価部112によって、マイナス5と評価されている。これは、組織のセキュリティを妨害する行動に該当しないが、通常のユーザよりも端末20に対する操作の頻度が高いため、評価部112は、マイナス5という評価を行っている。そのため、評価部112は、組織のセキュリティを妨害する行動の評価とは異なる評価を行っている。
また、図13において、ユーザC・Cの評価は評価部112によって、プラス15と評価されている。これはその他情報に記載されているように、入社以来特段問題となる行動を行っていないため、評価部112は、プラスの評価を行っている。また、ここではプラスの評価を例にして説明を行っているが、その他に記載されている内容によっては、評価部112はマイナスの評価を行ってもよい。
また実施形態1に記載された、端末20のユーザの業務内容や、端末20の位置情報によっては、マイナスの評価またはプラスの評価を行ってもよい。限定ではなく例として、その他の欄に、通常端末20のユーザが業務等を行う場所とは異なる場所の位置が記憶されている場合、その位置や時間や時刻に基づいて、評価部112は、マイナスの評価またはプラスの評価を行うようにしてもよい。
なお、ここでは、セキュリティの妨害とは関係のない評価を行うことや、プラスの評価を行うことを開示しているが、この処理を行う必要はない。また、プラス評価とマイナス評価とで評価を行っているが、いずれか一方だけで評価を行ってもよく、例えば、マイナス評価のみで評価され、プラスの評価は行われなくてもよい。
13, user B.B has been given a rating of minus 5 by the evaluation unit 112. This does not constitute an action that would compromise the security of the organization, but because the frequency of operations on the terminal 20 is higher than that of a normal user, the evaluation unit 112 has given the user a rating of minus 5. Therefore, the evaluation unit 112 gives a rating that is different from the rating of an action that would compromise the security of the organization.
13, the evaluation unit 112 has given user C-C a rating of +15. This is because, as described in the other information, user C-C has not engaged in any particularly problematic behavior since joining the company, and therefore the evaluation unit 112 has given a positive evaluation. Also, although a positive evaluation is used as an example here, the evaluation unit 112 may give a negative evaluation depending on the other information described.
Furthermore, a negative or positive evaluation may be made depending on the work content of the user of the terminal 20 and the location information of the terminal 20, as described in the first embodiment. As a non-limiting example, if the other field stores the location of a place different from the place where the user of the terminal 20 normally performs work, the evaluation unit 112 may make a negative or positive evaluation based on the location, time, and time.
Although it is disclosed here to perform evaluations unrelated to security breaches and to perform positive evaluations, this processing does not need to be performed. Also, although evaluations are performed using positive and negative evaluations, evaluations may be performed using only one of them, for example, evaluations may be performed using only negative evaluations and no positive evaluations may be performed.

また、操作ログに複数の行動が記憶された場合、各々の行動ごとに評価を行い、その加算された評価をユーザの評価にしてもよい。限定ではなく例として、ユーザA・Aがアンチウイルスソフトの削除と、通常よりも多くの操作を行った場合、マイナス50にマイナス5を加算して、ユーザA・Aの評価を、マイナス55であると評価部112は評価し、ユーザデータベース152に記憶するような制御を行ってもよい。 Furthermore, if multiple actions are stored in the operation log, an evaluation may be performed for each action, and the sum of these evaluations may be used as the user's evaluation. As a non-limiting example, if user A.A. deletes antivirus software and performs more operations than usual, the evaluation unit 112 may add minus 5 to minus 50, giving user A.A. an evaluation of minus 55, and store this in the user database 152.

次に、図14を用いて、実施形態3の処理を説明する。実施形態1と実施形態3との差異を中心に説明すると、ステップS235までの処理は同じであり、実施形態3と実施形態1とで、ステップS250からの処理が異なる。そのため、ステップS250からの処理について詳しく説明を行う。Next, the processing of embodiment 3 will be explained using Figure 14. Focusing on the differences between embodiment 1 and embodiment 3, the processing up to step S235 is the same, but the processing from step S250 onwards differs between embodiment 3 and embodiment 1. Therefore, the processing from step S250 onwards will be explained in detail.

ステップS235で妨害行動の検出を、制御部11に備わる検出部111で行った後、検出された、組織のセキュリティに対する妨害行動の評価を評価部112によって行う(S250)。評価部112による評価が実行された後、評価を記憶部15に備わるユーザ管理データベース152に記憶する(ステップS260)。なお、上述したように、記憶部15のうち、ユーザ管理データベース152とは異なる記憶領域に記憶するようにしてもよい。 After detecting disruptive behavior in step S235 by the detection unit 111 provided in the control unit 11, the detected disruptive behavior against the security of the organization is evaluated by the evaluation unit 112 (S250). After the evaluation by the evaluation unit 112 is performed, the evaluation is stored in the user management database 152 provided in the memory unit 15 (step S260). Note that, as described above, the evaluation may be stored in a memory area of the memory unit 15 different from the user management database 152.

<第3実施形態の効果>
本実施形態は、サーバ10等の情報処理装置が、組織の端末20(限定ではなく、組織の機器の一例)を利用するユーザによる、組織の端末20に設定されたセキュリティの妨害に関する行動である妨害行動を、制御部11に含まれる検出部111によって検出し、検出された妨害行動に対する評価を、制御部11に含まれる評価部112によって評価を行い、評価部112による評価を制御部11によって記憶部15に記憶する。
このような構成により得られる実施形態の効果の一例として、ユーザが実行した妨害行動に対して定量的な評価を行い、その評価を記憶することによって、各ユーザがどの程度悪意ある行動を行ったかを確認可能とすることができる。
<Effects of the Third Embodiment>
In this embodiment, an information processing device such as a server 10 detects disruptive behavior, which is behavior related to disrupting security set on the organization's terminal 20 by a user using the organization's terminal 20 (not limited to, but an example of the organization's equipment), using a detection unit 111 included in the control unit 11, and evaluates the detected disruptive behavior using an evaluation unit 112 included in the control unit 11, and the evaluation by the evaluation unit 112 is stored in a memory unit 15 by the control unit 11.
As an example of an effect of an embodiment obtained by such a configuration, by quantitatively evaluating the disruptive behavior performed by users and storing that evaluation, it becomes possible to confirm the extent to which each user's behavior was malicious.

また、本実施形態は、評価部112による評価において、組織の端末20(限定ではなく機器の一例)に設定されたセキュリティを調査する行動と、端末20に設定されたセキュリティを回避する行動とで異なる評価を行う構成を示している。
このような構成により得られる実施形態の効果の一例として、セキュリティを回避する行動と、セキュリティを調査する行動とで異なる評価を行うことによって、適切に悪意あるユーザの行動を評価することができるようになる。
In addition, this embodiment shows a configuration in which, in the evaluation by the evaluation unit 112, different evaluations are made for actions that investigate the security set on the organization's terminal 20 (not limited to this but an example of a device) and actions that circumvent the security set on the terminal 20.
As an example of an effect of an embodiment obtained by such a configuration, by differently evaluating actions that circumvent security and actions that investigate security, it becomes possible to appropriately evaluate the actions of malicious users.

また、本実施形態は、評価部112による評価において、組織の端末20(限定ではなく機器の一例)に設定されたセキュリティを妨害する行動と、妨害行動とは異なる、端末20に対するユーザの操作とで異なる評価を行う構成を示している。
このような構成により得られる実施形態の効果の一例として、セキュリティを回避する行動と、セキュリティを調査する行動とで異なる評価を行うことによって、適切に悪意あるユーザの行動を評価することができるようになる。
In addition, this embodiment shows a configuration in which, in the evaluation by the evaluation unit 112, different evaluations are made for actions that disrupt the security set on the organization's terminal 20 (not limited to this but an example of equipment) and user operations on the terminal 20 that are different from disruptive actions.
As an example of an effect of an embodiment obtained by such a configuration, by differently evaluating actions that circumvent security and actions that investigate security, it becomes possible to appropriately evaluate the actions of malicious users.

<第3実施形態 変形例1>
実施形態3の例は、ステップS260において、評価部112による評価をユーザ管理データベース152に記憶した後、処理を終了していたが、その後、実施形態2で説明した処理を追加してもよい。実施形態2においては、ステップS240で機器の制御を行うかどうかの判定を行っていた。この機器の制御を行うかどうかの判定を、記憶部15に記憶された、評価点に基づいて実行してもよい。
<Third embodiment, modified example 1>
In the example of the third embodiment, in step S260, the evaluation by the evaluation unit 112 is stored in the user management database 152, and then the processing ends. However, the processing described in the second embodiment may be added thereafter. In the second embodiment, in step S240, it is determined whether or not to control the device. This determination of whether or not to control the device may be made based on the evaluation points stored in the storage unit 15.

以下に限定ではなく例を用いて、実施形態3の変形例1の説明を行う。図14に示したシーケンス図のステップS260の後に、実施形態2で説明された、図9のステップS240の処理を追加して実行してもよい。この際に、ユーザごとに記憶された評価が記憶部15に含まれるユーザ管理データベース152に記憶されている。このユーザ管理データベース152に含まれる評価を用いて、機器制御部114は、機器の制御を行うかどうか判定を行う。
限定ではなく例として、機器制御部は、評価点が設定された閾値である、マイナス50を下回った場合、機器の制御を行うようにしてもよい。このように設定された値等(限定ではなく一例として、閾値)を下回った場合、または超えた場合、または等しくなった場合、機器制御部114は、機器の制御を実行するように判定してもよい。なお、ステップS240以降の処理については、実施形態2で説明した図9に従って実行してもよい。
The following describes a first modification of the third embodiment using an example and not a limitation. After step S260 in the sequence diagram shown in FIG. 14, the process of step S240 in FIG. 9 described in the second embodiment may be added and executed. At this time, the evaluations stored for each user are stored in the user management database 152 included in the storage unit 15. Using the evaluations stored in this user management database 152, the device control unit 114 determines whether to control the device.
For example, and not by way of limitation, the device control unit may control the device when the evaluation score falls below a set threshold of minus 50. When the evaluation score falls below, exceeds, or becomes equal to a set value (for example, and not by way of limitation, the threshold), the device control unit 114 may determine to control the device. Note that the processing from step S240 onwards may be performed according to FIG. 9 described in the second embodiment.

なお上述の例に限定されず、評価点に関係なく、特定の妨害行動を実行した場合、機器制御部114は機器の制御を行うように判定してもよい。
限定ではなく例として、組織に設定されたセキュリティを妨害する行動を検出部111が検出した場合、評価部112による評価に関係なく(または評価をスキップして)、機器制御部114は、機器の制御を実行すると判定してもよい。例えば、ユーザが上述した評価部112による評価によって評価点がプラス100を超えており、その後セキュリティを回避する行動を実行したとしてマイナス50されたとする。この場合、ユーザの評価点がプラス100からマイナス50されるため、プラス50とまだプラスの評価点となっているが、この評価に関わらず、セキュリティを妨害する行動を実行したとして、機器制御部114は、機器の制御を行うと判定してもよい。
It should be noted that the present invention is not limited to the above example, and the device control unit 114 may determine to control the device when a specific disruptive behavior is performed regardless of the evaluation score.
As a non-limiting example, when the detection unit 111 detects an action that interferes with security set for an organization, the device control unit 114 may determine to control the device regardless of (or skip) the evaluation by the evaluation unit 112. For example, suppose a user's evaluation score exceeds +100 in the evaluation by the evaluation unit 112 described above, and then the user is deducted by 50 for performing an action that circumvents security. In this case, the user's evaluation score is deducted by 50 from +100, so that the user's evaluation score is still positive at +50. However, regardless of this evaluation, the device control unit 114 may determine to control the device because the user has performed an action that interferes with security.

なお、機器制御部114は、機器の制御を実行する際に、セキュリティを回避する行動を検出した場合のみ、評価部112による評価に関係なく(または評価をスキップして)、機器の制御を実行してもよいし、しなくてもよい。すなわち、セキュリティを調査する行動を検出した場合は、評価部112による評価によって機器の制御を行い、セキュリティを回避する行動を検出した場合のみ、評価部112による評価に関係なく(または評価をスキップして)、機器の制御を実行する。
また、機器制御部114は、機器の制御を実行する際に、セキュリティを調査する行動を検出した場合のみ、評価部112による評価に関係なく(または評価をスキップして)、機器の制御を実行してもよいし、しなくてもよい。
Note that when executing device control, the device control unit 114 may or may not execute device control only when it detects behavior that circumvents security, regardless of (or by skipping) the evaluation by the evaluation unit 112. In other words, when it detects behavior that investigates security, it controls the device based on the evaluation by the evaluation unit 112, and only when it detects behavior that circumvents security, it executes device control regardless of (or by skipping) the evaluation by the evaluation unit 112.
Furthermore, when executing control of an equipment, the equipment control unit 114 may or may not execute control of the equipment regardless of the evaluation by the evaluation unit 112 (or may skip the evaluation) only if it detects behavior that investigates security.

上述では、実施形態3に実施形態2を組み合わせた一例を説明したが、この例に限らず、本実施形態に記載されている内容をいかように組み合わせてもよい。また、組み合わせの際にすべてのステップを実行する必要なく、適宜必要の無いステップはスキップして実行してもよいし、また適宜他のステップを追加して実行してもよい。 The above describes an example of combining embodiment 2 with embodiment 3, but this example is not limiting and the contents described in this embodiment may be combined in any way. Furthermore, when combining, it is not necessary to execute all steps; unnecessary steps may be skipped as appropriate, or other steps may be added as appropriate.

<第3実施形態 変形例2>
実施形態3においては、セキュリティを回避する行動に対する評価、セキュリティを調査する行動に対する各々の評価について、評価部112の評価は一定であった。しかし、この評価が状況によって異なっていてもよい。限定ではなく例として、設定した時間(または期間)あたり、または単位時間(または単位期間)あたりに複数のセキュリティを回避する行動や、複数の調査する行動を検出部111で検出した場合、設定した時間、または単位時間よりも長い間隔で同じ複数の行動を検出した場合と比較してその評価を異ならせるようにしてもよい。
<Third embodiment, modified example 2>
In the third embodiment, the evaluation unit 112 makes a constant evaluation for each of the behaviors that circumvent security and the behaviors that investigate security. However, this evaluation may vary depending on the situation. As a non-limiting example, when the detection unit 111 detects multiple behaviors that circumvent security or multiple behaviors that investigate security per set time (or period) or per unit time (or unit period), the evaluation may be different from when the same multiple behaviors are detected at intervals longer than the set time or unit time.

限定ではなく一例として、上述の設定した時間が72時間に設定されたとする。この設定された時間内に、例えばセキュリティを調査する行動を検出部111によって3回検出されたとする。このような場合、最初の1回については、評価をマイナス15と評価部112によって評価されたとしても、2回目の評価をマイナス20、3回目の評価をマイナス50と、それぞれの評価の値を異ならせてもよい。
この理由として、72時間内に1回セキュリティを調査する行動を検出したとしても、ユーザは悪意なく誤ってそのような操作を行ってしまう場合がある。一方、設定された時間内に、何度も同じような行動をとっている場合には、妨害する意図をもって行っている可能性が高い。そのため、設定された時間内に、複数回同じ行動を行っている場合には、設定された時間よりも広い時間間隔で同じ行動を行った場合よりもそのマイナスの評価が大きくなるように評価することでより正確に妨害する行動を評価することが可能になる。
なお、設定した時間内か否を算出するにあたって、図1に示す時計部16または時計部29Aを利用してもよい。そのため、端末20またはサーバ10は、設定した時間内か否かの算出にあたって、適宜上記の構成を取り付けてもよい。これらによって、検出されたセキュリティを妨害する行動が、設定された時間内か否かを算出することができる。なお、自装置に上記のような構成を設ける代わりに、ネットワークを通じて時刻情報等を取得するように構成してもよい。
As a non-limiting example, suppose the above-mentioned set time is set to 72 hours. Suppose that, within this set time, the detection unit 111 detects three instances of behavior to investigate security. In such a case, even if the evaluation unit 112 evaluates the first instance as minus 15, the second instance may be evaluated as minus 20, and the third instance may be evaluated as minus 50, with each evaluation value being different.
The reason for this is that even if a security check behavior is detected once within a 72-hour period, the user may perform such an operation by mistake without malicious intent. On the other hand, if the same behavior is performed multiple times within a set time period, it is likely that the user is performing it with the intention of interfering. Therefore, if the same behavior is performed multiple times within a set time period, the negative evaluation will be greater than if the same behavior is performed at a time interval longer than the set time period, making it possible to more accurately evaluate interfering behavior.
In addition, the clock unit 16 or clock unit 29A shown in FIG. 1 may be used to calculate whether or not the set time has passed. Therefore, the terminal 20 or the server 10 may be appropriately equipped with the above-mentioned configuration when calculating whether or not the set time has passed. This makes it possible to calculate whether or not the detected behavior that violates security is within the set time. In addition, instead of providing the above-mentioned configuration in the device itself, the device may be configured to obtain time information, etc. via a network.

また、上記の例に限定されず、複数の同様の行動を設定時間内で検出されるごとに、それぞれの行動の評価に加えてマイナス10をさらに加えるような構成であってもよい。このように、設定時間の範囲外で複数の行動が行われた場合と比較して、設定時間内に複数の行動を行った方が、マイナスの評価が大きくなるように評価されれば、その評価方法はどのような方法であってもよい。
なお、上記では複数の同じ行動で説明を行っていたが、異なる種別の行動であってもマイナスの評価が大きくなるように評価してもよい。限定ではなく一例として、セキュリティ調査する行動と、セキュリティを回避する行動とを行った場合、通常であれば、マイナス15とマイナス50の合計マイナス65と評価される。しかし、設定した時間である72時間の間に、上記の行動を行った場合は、マイナス65よりも大きいマイナス100や、2倍の値であるマイナス130と、評価部112は評価を行ってもよい。
Furthermore, without being limited to the above example, a configuration may be adopted in which, each time multiple similar actions are detected within a set time, an additional minus 10 is added to the evaluation of each action. In this way, any evaluation method may be used as long as multiple actions performed within a set time are evaluated so that they receive a larger negative evaluation compared to multiple actions performed outside the set time.
Although the above description has been given using multiple identical actions, different types of actions may also be evaluated so that the negative evaluation is greater. As a non-limiting example, if a security investigation action and a security evasion action are performed, the evaluation would normally be minus 15 and minus 50, totaling minus 65. However, if the above actions are performed within the set time of 72 hours, the evaluation unit 112 may evaluate the action as minus 100, which is greater than minus 65, or minus 130, which is twice the value.

また、上述のように、設定された時間を設け、設定された時間に検出された妨害行動に基づいて評価を行う点について同じであるが、設定された時間ごとに評価を異ならせるようにしてもよい。限定ではなく例として、通常業務を行っている9時から18時の間においては、評価部112による評価は通常の評価を行うが、それ以外の期間においては、異なるような評価を行ってもよい。 Furthermore, as described above, while a set time is set and an evaluation is made based on disruptive behavior detected at the set time, the evaluation may be different for each set time. As a non-limiting example, the evaluation unit 112 may make a normal evaluation between 9:00 and 18:00, when normal business operations are carried out, but may make a different evaluation during other periods.

限定ではなく例として、深夜帯の12時から3時の間などは通常業務を行っていない時間帯である。この時間帯にセキュリティを妨害する行動を検出部111で検出した場合は、悪意のある行動である可能性が高い。そのため、深夜帯の12時から3時の間に、上述のような行動を検出した場合は、評価部112は通常の評価よりもマイナスを大きくする。例えば、通常の2倍の評価に設定してもよい。 As a non-limiting example, the late night hours between 12:00 and 3:00 are times when normal business operations are not conducted. If the detection unit 111 detects behavior that interferes with security during these hours, there is a high possibility that the behavior is malicious. Therefore, if the above-mentioned behavior is detected between 12:00 and 3:00 in the late night hours, the evaluation unit 112 will assign a larger negative rating than normal. For example, the evaluation may be set to twice the normal rating.

本実施形態3の変形例2は、設定された時間に検出された妨害行動に基づいて、評価部112による評価を行う構成を示している。
このような構成により得られる実施形態の効果の一例として、ユーザがセキュリティの妨害を意図して行っているかどうかを正確に評価することができるようになる。
The second modification of the third embodiment shows a configuration in which the evaluation unit 112 performs evaluation based on the disruptive behavior detected at a set time.
As an example of the effect of this embodiment obtained by such a configuration, it becomes possible to accurately evaluate whether or not a user is intentionally violating security.

また、本実施形態3の変形例2は、設定した時間あたり、または単位時間あたりに複数のセキュリティを回避する行動や、複数の調査する行動を検出部111で検出した場合、設定した時間、または単位時間よりも長い間隔で同じ複数の行動を検出した場合と比較して、評価部112による評価を異ならせる構成を示している。
このような構成により得られる実施形態の効果の一例として、ユーザがセキュリティの妨害を意図して行っているかどうかを正確に評価することができるようになる。
In addition, variant example 2 of this embodiment 3 shows a configuration in which when the detection unit 111 detects multiple security evasion behaviors or multiple behaviors to be investigated per set time or per unit time, the evaluation by the evaluation unit 112 is different compared to when the same multiple behaviors are detected at intervals longer than the set time or unit time.
As an example of the effect of this embodiment obtained by such a configuration, it becomes possible to accurately evaluate whether or not a user is intentionally violating security.

<実施形態4>
第1実施形態では、サーバ10などの情報処理装置によって、組織の機器を利用するユーザによる、組織のセキュリティに対する妨害行動を、制御部11に含まれる検出部111によって検出する構成を開示した。
第4実施形態では、サーバ10の代わりに、端末20などの情報処理装置によって、組織の機器を利用するユーザによる、組織のセキュリティに対する妨害行動を、端末の制御部21に含まれる検出部211によって検出する構成を示している。
<Fourth Embodiment>
In the first embodiment, a configuration has been disclosed in which an information processing device such as the server 10 detects, by the detection unit 111 included in the control unit 11, any disruptive behavior against the security of an organization by a user who uses equipment in the organization.
In the fourth embodiment, instead of the server 10, an information processing device such as a terminal 20 is configured to detect disruptive behavior against the organization's security by a user who uses the organization's equipment using a detection unit 211 included in the control unit 21 of the terminal.

図15は、実施形態4に係る端末20の制御部21により実現される機能の一例を示す図である。実施形態4と実施形態1との差分に着目して説明すると、図15に示される端末20は、制御部21を含み、制御部21は検出部211を含む。なお、検出部211は、上述した検出部111と同じ構成であってもよい。また、記憶部28は、実施形態1で説明したユーザ入力ログに加え、制御部21が読み込み、検出部211によって検出処理を実行するための端末セキュリティ処理プログラム282を記憶している。なお、端末セキュリティ処理プログラム282は、実施形態1で説明した、サーバ10が備えるセキュリティ処理プログラム151と同じ構成を備えてもよい。ただし、端末セキュリティ処理プログラム282は端末20で処理するためのプログラムである。なお、実施形態1と比較し、通信部22は、サーバ10との通信が不要であるため取り外してここでは説明しているが、通信部22を備えても備えてなくてどちらであってもよい。 Figure 15 is a diagram showing an example of functions realized by the control unit 21 of the terminal 20 according to embodiment 4. Focusing on the differences between embodiment 4 and embodiment 1, the terminal 20 shown in Figure 15 includes a control unit 21, which in turn includes a detection unit 211. The detection unit 211 may have the same configuration as the detection unit 111 described above. In addition to the user input log described in embodiment 1, the memory unit 28 also stores a terminal security processing program 282 that the control unit 21 reads and the detection unit 211 executes the detection process. The terminal security processing program 282 may have the same configuration as the security processing program 151 provided in the server 10 described in embodiment 1. However, the terminal security processing program 282 is a program for processing on the terminal 20. Compared to embodiment 1, the communication unit 22 is described here as being removed because communication with the server 10 is not required, but the communication unit 22 may or may not be provided.

以上より、実施形態4に記載の端末20は、制御部20によって、記憶部28に記憶している端末セキュリティ処理プログラム282を読み込み、端末セキュリティ処理プログラム282に従った検出処理を実行可能にする。端末セキュリティ処理プログラム282を読み込んだのち、検出部211によって、ユーザ入力ログ281にアクセスし、ユーザ入力ログ281に含まれる操作ログを確認する処理を実行する。そして、検出部211は、操作ログの中に、組織のセキュリティに対する妨害行動がある場合、その妨害行動を検出する処理を実行する。 As described above, the terminal 20 described in embodiment 4 reads the terminal security processing program 282 stored in the memory unit 28 using the control unit 20, and is able to execute detection processing in accordance with the terminal security processing program 282. After reading the terminal security processing program 282, the detection unit 211 accesses the user input log 281 and executes processing to check the operation log contained in the user input log 281. Then, if the operation log contains any disruptive behavior against the organization's security, the detection unit 211 executes processing to detect the disruptive behavior.

次に、実施形態4の処理を図16に示すフローチャートを用いて説明する。実施形態1で説明した内容との差分に着目して説明すると、ステップA110の処理までは同じであり、それ以降の処理が異なる。ステップA110の後に、制御部21に備わる検出部211によって、ユーザ入力ログ281にアクセスする処理を行う(ステップA130)。検出部211によって、ユーザ入力ログ281にアクセスした後、ユーザ入力ログ281に含まれる操作ログにセキュリティに対する妨害行動が記憶されていないかどうか判定する処理を実行する(ステップA140)。
なおここでは簡単のため、ステップA140は、ステップA130の後に連続して実行するような例で説明を行っているが、これに限定されるものではない。実施形態1で説明されたように、ステップA140は、ステップA130とは独立に実行されてよい。限定ではなく例として、ステップA130とは別に、設定された時刻などに周期的に実行されるものであってもよい。
Next, the processing of the fourth embodiment will be described with reference to the flowchart shown in Fig. 16. Focusing on the differences from the content described in the first embodiment, the processing is the same up to step A110, but the processing thereafter is different. After step A110, the detection unit 211 provided in the control unit 21 performs processing to access the user input log 281 (step A130). After the detection unit 211 accesses the user input log 281, it executes processing to determine whether any sabotaging behavior against security is recorded in the operation log included in the user input log 281 (step A140).
For simplicity, the following description is given assuming that step A140 is executed immediately after step A130, but this is not limiting. As described in the first embodiment, step A140 may be executed independently of step A130. As a non-limiting example, step A140 may be executed periodically, for example, at a set time, separate from step A130.

セキュリティに対する妨害行動が操作ログに記憶されていない場合には、検出処理を終了する(ステップA140:NO)。一方、セキュリティに対する妨害行動が操作ログに記憶されていると、検出部211によって判定された場合、検出部211は、妨害行動を検出する処理を実行する(ステップA145)If no disruptive behavior against security is recorded in the operation log, the detection process is terminated (step A140: NO). On the other hand, if the detection unit 211 determines that disruptive behavior against security is recorded in the operation log, the detection unit 211 executes a process to detect disruptive behavior (step A145).

以上より、実施形態4は、サーバ10の代わりに、端末20によって上述した実施形態の検出処理を実行することを示している。従って、本実施形態は、サーバ10を利用せず、端末20等の情報処理装置で実行することも含んでいる。 From the above, embodiment 4 shows that the detection process of the above-mentioned embodiment is performed by terminal 20 instead of server 10. Therefore, this embodiment also includes execution by an information processing device such as terminal 20 without using server 10.

<第4実施形態の効果>
本実施形態は、端末20等の情報処理装置が、組織の端末20(限定ではなく、組織の機器の一例)を利用するユーザによる、組織の端末20に設定されたセキュリティの妨害に関する行動である妨害行動を、制御部21に含まれる検出部211によって検出する構成を示している。
このような構成により得られる実施形態の効果の一例として、端末20等の情報処理装置によって、検出処理を実行することで、自端末で検出処理を行うことが可能となる。
<Effects of the Fourth Embodiment>
This embodiment shows a configuration in which an information processing device such as a terminal 20 detects disruptive behavior, which is behavior related to disrupting security set on the organization's terminal 20 by a user using the organization's terminal 20 (not limited to this, but an example of the organization's equipment), using a detection unit 211 included in the control unit 21.
As an example of an effect of the embodiment obtained by such a configuration, by executing the detection process by an information processing device such as the terminal 20, it becomes possible to perform the detection process at the terminal itself.

<実施形態5>
実施形態5では、第4の実施形態に加えて、実施形態2で説明した判定部113、機器制御部114に相当する構成を端末20等の情報処理装置が備えてもよい。
実施形態4との差分に着目して、実施形態5の構成について説明を行う。図17は、実施形態5に係る端末20の制御部21により実現される機能の一例を示す図である。実施形態4の構成に加えて、図17では、判定部213と機器制御部214が追加されている。なお、判定部213は、実施形態2で説明を行った判定部113と同様の機能を備えてもよいし、機器制御部214は、実施形態2で説明を行った、機器制御部114と同様の機能を備えてもよい。また、実施形態5は、通信を行うため、通信部22を備えているが、必ずしも必須ではなく、端末20のみで実行する処理の場合には、通信部22を取り外しても外さなくてもよい。
<Embodiment 5>
In the fifth embodiment, in addition to the fourth embodiment, an information processing device such as the terminal 20 may be provided with components corresponding to the determination unit 113 and the device control unit 114 described in the second embodiment.
The configuration of the fifth embodiment will be described with a focus on the differences from the fourth embodiment. FIG. 17 is a diagram showing an example of functions realized by the control unit 21 of the terminal 20 according to the fifth embodiment. In addition to the configuration of the fourth embodiment, FIG. 17 adds a determination unit 213 and a device control unit 214. Note that the determination unit 213 may have the same function as the determination unit 113 described in the second embodiment, and the device control unit 214 may have the same function as the device control unit 114 described in the second embodiment. Furthermore, the fifth embodiment includes a communication unit 22 for communication, but this is not necessarily required. In the case of processing executed only by the terminal 20, the communication unit 22 may or may not be detached.

また、図17では、サーバ10を含み、サーバ10は、通信部14と、制御部11と、入出力部12とを備えている。また、制御部11は、機器制御部114を備えており、機器制御部214から送信された、機器制御の一例として、通知を行うための情報を通信部14によって受信すると、通知制御部114は、通知を行うための情報に基づいて、通知する制御を実行する。
なお、ここでの例はサーバ10に備えられる入出力部に12に通知するような例で説明を行ったが、サーバ10ではなく、他の端末20に通知を行ってもよい。この場合、サーバによって受信する情報を、通知を行うための情報に代わりに、第2の実施形態で説明した、端末の利用を制限する情報であってもよい。
なおサーバ10の入出力部12に出力する想定としては、サーバ10の入出力部12付近にいる、組織を管理するユーザに通知を送信するようなケースを想定しているが、この例に限定されるものではない。
また、他の端末20ではなく、自身の端末20に対して通知や、利用の制限を行うことも可能である。この場合は、機器制御部214は、自身で機器の制御(限定ではなく一例として、通知の制御、自端末の利用を制限する制御)を行うような構成とすればよい。またこの場合、機器制御として情報を通信する必要がないため、端末20は通信部22を備えなくてもよいし、備えてもよい。
17 also includes a server 10, which includes a communication unit 14, a control unit 11, and an input/output unit 12. The control unit 11 also includes a device control unit 114, and when the control unit 11 receives information for sending a notification, which is an example of device control transmitted from the device control unit 214, via the communication unit 14, the notification control unit 114 executes control for sending a notification based on the information for sending a notification.
In the example described here, notification is sent to the input/output unit 12 provided in the server 10, but notification may be sent to another terminal 20 instead of the server 10. In this case, the information received by the server may be information for restricting the use of the terminal, as described in the second embodiment, instead of information for sending notification.
The assumed output to the input/output unit 12 of the server 10 is to send a notification to a user who manages an organization and is located near the input/output unit 12 of the server 10, but this example is not limited to this.
It is also possible to send notifications and restrict usage to the terminal 20 itself, rather than to other terminals 20. In this case, the device control unit 214 may be configured to control the device itself (by way of example and not limitation, to control notifications and to restrict usage of the terminal itself). In this case, since there is no need to communicate information for device control, the terminal 20 may or may not include the communication unit 22.

図18は、実施形態5の処理を説明するシーケンス図である。実施形態4との差分に着目して説明すると、ステップA145までの処理は、実施形態4と同様である。ステップA145の後に、妨害行動の検出に基づいて、機器の制御が必要か否かの判定を、判定部213によって行う(ステップA160)。機器の制御が必要ではないと判定された場合、実施形態5に係る処理を終了する(ステップA160:NO)。一方、機器の制御が必要であると判定部213によって判定された場合(ステップA160:YES)、制御部21に備わる機器制御部214は、機器制御を実行する(ステップA165)。機器制御部214は、機器制御として、通信部22によって、機器制御に関する情報をサーバ10に送信する制御等を行う。なおここでの例は、限定ではなく通知を行うための情報を送信する制御などである。 Figure 18 is a sequence diagram illustrating the processing of embodiment 5. Focusing on the differences from embodiment 4, the processing up to step A145 is the same as in embodiment 4. After step A145, the determination unit 213 determines whether or not device control is necessary based on the detection of disruptive behavior (step A160). If it is determined that device control is not necessary, the processing related to embodiment 5 is terminated (step A160: NO). On the other hand, if the determination unit 213 determines that device control is necessary (step A160: YES), the device control unit 214 provided in the control unit 21 executes device control (step A165). As device control, the device control unit 214 performs control such as transmitting information related to device control to the server 10 via the communication unit 22. Note that the example here is not limited to control such as transmitting information for notification.

次に、サーバ10の制御部11は、ネットワーク30を介して送信された、機器に関する情報を通信部14によって受信する制御を行う(ステップS250)。そして、受信された機器に関する情報に基づいて、制御部11に含まれる機器制御部114は、機器の制御を行う(ステップS260)。ここでは限定ではなく一例として、機器制御部114は、通知を行うための情報に基づいて、入出力部にセキュリティを妨害する行動を検知したことを示す通知を行う制御を行う。 Next, the control unit 11 of the server 10 controls the communication unit 14 to receive the information about the device transmitted via the network 30 (step S250). Then, based on the received information about the device, the device control unit 114 included in the control unit 11 controls the device (step S260). Here, as an example and not a limitation, the device control unit 114 controls the input/output unit to notify the input/output unit that it has detected an action that violates security, based on the information for notification.

以上より、実施形態5は、サーバ10に代わりに、端末20等の情報処理装置によって、検出処理と、機器制御に関する処理を実行する構成を示している。このように、実施形態2に示された処理を、サーバ10に代わり、端末20等の情報処理装置によって実行してもよい。
なお、上述の実施形態は、端末20等の情報処理装置に検出部211を備える構成について説明を行ったが、これに限らず、その他の実施形態3で説明した構成を備えてもよい。限定ではなく一例として、制御部21は、実施形態3で説明した、評価部112に相当する構成を備えてもよい。また、評価部112に相当する構成に加えて、上述した、判定部213、または機器制御部214に相当する構成を備えてもよいし、そうでなくてもよい。
また、制御部21は、評価部112に相当する構成を備え、サーバ10は、判定部113、機器制御部114に相当する構成を備えてもよい。この場合、端末20の制御部21に備える評価部112に相当する構成は、端末20のユーザの評価を行い、端末20は、評価された結果をサーバ10に送信する。サーバ10は、受信した、端末20によって評価された結果に基づいて、判定部113と機器制御部114とによって、実施形態2で説明したような、機器制御を行うような構成としてもよい。
これらの組み合わせは適宜自由に行ってよく、本実施形態に記載されている全ての組み合わせが、本明細書が開示している範囲である。
As described above, the fifth embodiment shows a configuration in which the detection process and the process related to device control are executed by an information processing device such as the terminal 20 instead of the server 10. In this way, the process shown in the second embodiment may be executed by an information processing device such as the terminal 20 instead of the server 10.
In the above-described embodiment, a configuration in which the detection unit 211 is provided in an information processing device such as the terminal 20 has been described, but the present invention is not limited to this, and other configurations described in embodiment 3 may also be provided. As a non-limiting example, the control unit 21 may have a configuration equivalent to the evaluation unit 112 described in embodiment 3. Furthermore, in addition to the configuration equivalent to the evaluation unit 112, the control unit 21 may or may not have a configuration equivalent to the determination unit 213 or the device control unit 214 described above.
Furthermore, the control unit 21 may include a configuration equivalent to the evaluation unit 112, and the server 10 may include configurations equivalent to the determination unit 113 and device control unit 114. In this case, the configuration equivalent to the evaluation unit 112 included in the control unit 21 of the terminal 20 performs an evaluation by the user of the terminal 20, and the terminal 20 transmits the evaluation result to the server 10. The server 10 may be configured to perform device control as described in the second embodiment using the determination unit 113 and device control unit 114 based on the received result of the evaluation by the terminal 20.
These combinations may be freely made as appropriate, and all combinations described in this embodiment are within the scope of the disclosure of this specification.

<第5実施形態の効果>
本実施形態は、端末20等の情報処理装置が、組織の端末20(限定ではなく、組織の機器の一例)を利用するユーザによる、組織の端末20に設定されたセキュリティの妨害に関する行動である妨害行動を、制御部21に含まれる検出部211によって検出し、機器制御部114によって機器制御する構成を示している。
このような構成により得られる実施形態の効果の一例として、端末20等の情報処理装置によって、機器制御を実行することで、ネットワークを介することなく自端末で機器制御を行うことが可能となる。
<Effects of the Fifth Embodiment>
This embodiment shows a configuration in which an information processing device such as a terminal 20 detects disruptive behavior, which is behavior related to disrupting security set on the organization's terminal 20 by a user using the organization's terminal 20 (not limited to this, but an example of an organization's equipment), using a detection unit 211 included in the control unit 21, and controls the equipment using the equipment control unit 114.
As an example of an effect of the embodiment obtained by such a configuration, by executing device control using an information processing device such as the terminal 20, it becomes possible to perform device control at the terminal itself without going through a network.

なお、上述でも説明しているが、各実施形態の自由な組み合わせ、或いは各実施形態の任意の構成要素の変形、もしくは各実施形態において任意の構成要素の省略は適宜可能である。また本開示は上記実施形態や上記変形例に限定されるものではなく、本開示の技術的思想の範囲内で考えられるその他の形態についても、本開示の範囲内に含まれる。As explained above, it is possible to freely combine the various embodiments, modify any of the components of each embodiment, or omit any of the components of each embodiment as appropriate. Furthermore, the present disclosure is not limited to the above-described embodiments and modifications, and other forms that are conceivable within the scope of the technical concept of this disclosure are also included within the scope of this disclosure.

以下、本開示の諸態様を付記としてまとめて記載する。 The various aspects of this disclosure are summarized below as appendices.

(付記1)
組織の機器を利用するユーザによる、前記機器に設定されたセキュリティの妨害に関する行動である妨害行動を検出する検出部を備える
情報処理装置。
(付記2)
前記妨害行動は、前記機器に設定された前記セキュリティを調査する行動を含む
付記1に記載の情報処理装置。
(付記3)
前記調査する行動は、前記ユーザによって、前記機器に設定された前記セキュリティを調査する操作、または前記セキュリティに対する操作ログを調査する行動を含む、
付記2に記載の情報処理装置。
(付記4)
前記妨害行動は、前記機器に設定された前記セキュリティを回避する行動を含む
付記1から付記3のいずれか1つに記載の情報処理装置。
(付記5)
前記回避する行動は、前記セキュリティを無効化するための行動、または、前記セキュリティに対して操作を行った操作ログを削除する行動を含む、
付記4に記載の情報処理装置。
(付記6)
前記妨害行動の検出に基づく制御を行う制御部とを備える
付記1から付記5のいずれか1つに記載の情報処理装置。
(付記7)
前記制御部は、前記妨害行動の検出に基づき、前記妨害行動を通知する前記制御を行う
付記6に記載の情報処理装置。
(付記8)
前記制御部は、前記妨害行動の検出に基づき、前記ユーザが利用する前記機器、または前記機器のソフトウエアの利用を制限する前記制御を行う
付記6または付記7に記載の情報処理装置。
(付記9)
前記妨害行動の検出に基づき、前記ユーザに対する評価を行う評価部とを備え、
前記制御部は、前記評価を前記ユーザに関連付けて記憶部に記憶する制御を行う
付記1から付記8のいずれか1つに記載の情報処理装置。
(付記10)
前記評価部は、設定された時間に検出された前記妨害行動に基づいて、前記ユーザに対する評価を行う
付記9に記載の情報処理装置。
(付記11)
前記妨害行動は、前記機器に設定された前記セキュリティを調査する行動と、前記機器に設定された前記セキュリティを回避する行動とを含み、
前記評価部は、前記調査する行動を検出した場合と、前記回避する行動を検出した場合とで異なる評価を行う
付記9または付記10に記載の情報処理装置。
(付記12)
前記検出部は、前記妨害行動とは異なる、前記組織の機器に対する前記ユーザの操作を検出し、
前記評価部は、前記妨害行動を検出した場合と、前記妨害行動とは異なる、前記組織の機器に対する前記ユーザの操作とで異なる評価を行う
付記9から付記11のいずれか1つに記載の情報処理装置。
(付記13)
前記情報処理装置は、サーバであり、
前記妨害行動の検出に基づく情報を、前記組織の端末に送信する制御を行う制御部とを備える
付記1から付記12のいずれか1つに記載の情報処理装置。
(付記14)
前記情報処理装置は、前記ユーザによって利用される前記機器である
付記1から付記12のいずれか1つに記載の情報処理装置。
(付記15)
前記セキュリティは、前記組織によって設定された、前記組織のネットワークを保護するセキュリティを含む、
付記1から付記14のいずれか1つに記載の情報処理装置。
(付記16)
前記セキュリティは、前記機器を含む、前記組織の複数機器に設定される
付記1から付記15のいずれか1つに記載の情報処理装置。
(付記17)
前記セキュリティは、ソフトウエアによるセキュリティを含む、
付記1から付記16のいずれか1つに記載の情報処理装置。
(付記18)
組織の機器を利用するユーザによる、前記機器に設定されたセキュリティの妨害に関する行動である妨害行動を検出部が検出するステップを備える
情報処理装置の情報処理方法。
(付記19)
コンピュータに、
組織の機器を利用するユーザによる、前記機器に設定されたセキュリティの妨害に関する行動である妨害行動を検出する処理を
実行させるためのプログラム。
(Appendix 1)
An information processing device comprising: a detection unit that detects disruptive behavior, which is behavior related to disruption of security set in a device, by a user who uses the device in an organization.
(Appendix 2)
The information processing device according to claim 1, wherein the disruptive behavior includes an action of investigating the security set in the device.
(Appendix 3)
The investigating action includes an operation by the user to investigate the security set in the device or an action to investigate an operation log for the security.
3. The information processing device according to claim 2.
(Appendix 4)
The information processing device according to any one of Supplementary Note 1 to Supplementary Note 3, wherein the disruptive behavior includes an action that circumvents the security set in the device.
(Appendix 5)
The avoidance behavior includes a behavior for disabling the security or a behavior for deleting an operation log in which an operation was performed against the security.
5. The information processing device according to claim 4.
(Appendix 6)
and a control unit that performs control based on the detection of the disruptive behavior.
(Appendix 7)
The information processing device according to claim 6, wherein the control unit performs the control of notifying the disruptive behavior based on the detection of the disruptive behavior.
(Appendix 8)
The information processing device according to claim 6 or 7, wherein the control unit performs the control of restricting use of the device used by the user or software of the device based on the detection of the disruptive behavior.
(Appendix 9)
an evaluation unit that evaluates the user based on the detection of the disruptive behavior,
The information processing device according to any one of Supplementary Note 1 to Supplementary Note 8, wherein the control unit performs control to store the evaluation in a storage unit in association with the user.
(Appendix 10)
The information processing device according to claim 9, wherein the evaluation unit evaluates the user based on the disruptive behavior detected at a set time.
(Appendix 11)
the disruptive behavior includes behavior of investigating the security set in the device and behavior of circumventing the security set in the device;
The information processing device according to claim 9 or 10, wherein the evaluation unit performs different evaluations when the behavior to be investigated is detected and when the behavior to be avoided is detected.
(Appendix 12)
The detection unit detects an operation of the user on a device of the organization that is different from the disruptive behavior,
The information processing device according to any one of Supplementary Note 9 to Supplementary Note 11, wherein the evaluation unit performs different evaluations when the disruptive behavior is detected and when the user's operation on a device of the organization is different from the disruptive behavior.
(Appendix 13)
the information processing device is a server,
a control unit that controls transmission of information based on the detection of the disruptive behavior to a terminal of the organization.
(Appendix 14)
The information processing device according to any one of Supplementary Note 1 to Supplementary Note 12, wherein the information processing device is the device used by the user.
(Appendix 15)
The security includes security established by the organization to protect the organization's network.
15. An information processing device according to any one of claims 1 to 14.
(Appendix 16)
16. The information processing device according to any one of Supplementary Note 1 to Supplementary Note 15, wherein the security is set for a plurality of devices of the organization including the device.
(Appendix 17)
The security includes software-based security.
17. An information processing device according to any one of claims 1 to 16.
(Appendix 18)
An information processing method of an information processing device, comprising: a step of detecting, by a detection unit, disruptive behavior, which is behavior related to disrupting security set in a device, by a user who uses a device in an organization.
(Appendix 19)
On the computer,
A program that executes a process to detect disruptive behavior by users of an organization's devices that disrupts the security settings of the devices.

本開示は、情報処理、情報処理方法、プログラムに適している。 This disclosure is suitable for information processing, information processing methods, and programs.

10 サーバ、11 制御部、12 入出力部、13 表示部、14 通信I/F(通信部)、15 記憶部、16 時計部、20 端末、21 制御部、22 通信部I/F(通信部)、23 入出力部、24 表示部、25 音入力部、26 音出力部、27 撮像部、28 記憶部、29A 時計部、29B 位置検出部、30 ネットワーク、111 検出部、112 評価部、113 判定部、114 機器制御部、151 セキュリティ処理プログラム、152 ユーザ管理データベース、211 検出部、213 判定部、214 機器制御部、281 ユーザ入力ログ、282 端末セキュリティ処理プログラム。 10 Server, 11 Control unit, 12 Input/output unit, 13 Display unit, 14 Communication I/F (communication unit), 15 Memory unit, 16 Clock unit, 20 Terminal, 21 Control unit, 22 Communication unit I/F (communication unit), 23 Input/output unit, 24 Display unit, 25 Sound input unit, 26 Sound output unit, 27 Imaging unit, 28 Memory unit, 29A Clock unit, 29B Position detection unit, 30 Network, 111 Detection unit, 112 Evaluation unit, 113 Determination unit, 114 Device control unit, 151 Security processing program, 152 User management database, 211 Detection unit, 213 Determination unit, 214 Device control unit, 281 User input log, 282 Terminal security processing program.

Claims (16)

組織の機器を利用するユーザによる、前記機器に設定されたセキュリティの妨害に関する行動である妨害行動を検出する検出部と、
前記妨害行動の検出に基づき、前記ユーザに対する評価を行う評価部とを備え、
前記妨害行動は、前記機器に設定された前記セキュリティを調査する行動と、前記機器に設定された前記セキュリティを回避する行動とを含み、
前記評価部は、前記調査する行動を検出した場合と、前記回避する行動を検出した場合とで異なる評価を行う
情報処理装置。
a detection unit that detects disruptive behavior, which is behavior related to disruption of security set in a device, by a user who uses the device in the organization;
an evaluation unit that evaluates the user based on the detection of the disruptive behavior,
the disruptive behavior includes behavior of investigating the security set in the device and behavior of circumventing the security set in the device;
The evaluation unit performs different evaluations when the behavior to be investigated is detected and when the behavior to be avoided is detected.
Information processing device.
前記調査する行動は、前記ユーザによって、前記機器に設定された前記セキュリティを調査する操作、または前記セキュリティに対する操作ログを調査する行動を含む、
請求項に記載の情報処理装置。
The investigating action includes an operation by the user to investigate the security set in the device or an action to investigate an operation log for the security.
The information processing device according to claim 1 .
前記回避する行動は、前記セキュリティを無効化するための行動、または、前記セキュリティに対して操作を行った操作ログを削除する行動を含む、
請求項に記載の情報処理装置。
The avoidance behavior includes a behavior for disabling the security or a behavior for deleting an operation log in which an operation was performed against the security.
The information processing device according to claim 1 .
前記妨害行動の検出に基づく制御を行う制御部とを備える
請求項1から請求項のいずれか一項に記載の情報処理装置。
The information processing device according to claim 1 , further comprising: a control unit that performs control based on the detection of the disruptive behavior.
前記制御部は、前記妨害行動の検出に基づき、前記妨害行動を通知する前記制御を行う
請求項に記載の情報処理装置。
The information processing device according to claim 4 , wherein the control unit performs the control of notifying the disruptive behavior based on the detection of the disruptive behavior.
前記制御部は、前記妨害行動の検出に基づき、前記ユーザが利用する前記機器、または前記機器のソフトウエアの利用を制限する前記制御を行う
請求項4に記載の情報処理装置。
The information processing device according to claim 4 , wherein the control unit performs the control of restricting use of the device used by the user or software of the device based on the detection of the disruptive behavior.
記制御部は、前記評価を前記ユーザに関連付けて記憶部に記憶する制御を行う
請求項4に記載の情報処理装置。
The information processing device according to claim 4 , wherein the control unit performs control to store the evaluation in a storage unit in association with the user.
前記評価部は、設定された時間に検出された前記妨害行動に基づいて、前記ユーザに対する評価を行う
請求項に記載の情報処理装置。
The information processing device according to claim 1 , wherein the evaluation unit evaluates the user based on the disruptive behavior detected at a set time.
前記検出部は、前記妨害行動とは異なる、前記組織の機器に対する前記ユーザの操作を検出し、
前記評価部は、前記妨害行動を検出した場合と、前記妨害行動とは異なる、前記組織の機器に対する前記ユーザの操作とで異なる評価を行う
請求項1に記載の情報処理装置。
The detection unit detects an operation of the user on a device of the organization that is different from the disruptive behavior,
The information processing apparatus according to claim 1 , wherein the evaluation unit performs different evaluations when the disruptive behavior is detected and when the user's operation on a device of the organization is different from the disruptive behavior.
前記情報処理装置は、サーバであり、
前記妨害行動の検出に基づく情報を、前記組織の端末に送信する制御を行う制御部とを備える
請求項1に記載の情報処理装置。
the information processing device is a server,
The information processing device according to claim 1 , further comprising: a control unit that controls transmission of information based on the detection of the disruptive behavior to the terminal of the organization.
前記情報処理装置は、前記ユーザによって利用される前記機器である
請求項1に記載の情報処理装置。
The information processing device according to claim 1 , wherein the information processing device is the device used by the user.
前記セキュリティは、前記組織によって設定された、前記組織のネットワークを保護するセキュリティを含む、
請求項1に記載の情報処理装置。
The security includes security established by the organization to protect the organization's network.
The information processing device according to claim 1 .
前記セキュリティは、前記機器を含む、前記組織の複数機器に設定される
請求項1に記載の情報処理装置。
The information processing device according to claim 1 , wherein the security is set for a plurality of devices of the organization, including the device.
前記セキュリティは、ソフトウエアによるセキュリティを含む、
請求項1に記載の情報処理装置。
The security includes software-based security.
The information processing device according to claim 1 .
組織の機器を利用するユーザによる、前記機器に設定されたセキュリティの妨害に関する行動である妨害行動を検出部によって検出するステップと、
前記妨害行動の検出に基づき、評価部によって前記ユーザに対する評価を行うステップとを備え、
前記妨害行動は、前記機器に設定された前記セキュリティを調査する行動と、前記機器に設定された前記セキュリティを回避する行動とを含み、
前記評価を行うステップは、前記調査する行動を検出した場合と、前記回避する行動を検出した場合とで異なる評価を行う
情報処理方法。
a step of detecting, by a detection unit, a disruptive behavior by a user who uses a device in the organization, the disruptive behavior being a behavior related to disrupting security set in the device;
and evaluating the user by an evaluation unit based on the detection of the disruptive behavior;
the disruptive behavior includes behavior of investigating the security set in the device and behavior of circumventing the security set in the device;
The step of making the evaluation makes different evaluations when the behavior to be investigated is detected and when the behavior to be avoided is detected.
Information processing methods.
コンピュータに、
組織の機器を利用するユーザによる、前記機器に設定されたセキュリティの妨害に関する行動である妨害行動を検出する処理と、
前記妨害行動の検出に基づき、前記ユーザに対する評価を行う処理とを実行させるためのプログラムであって、
前記妨害行動は、前記機器に設定された前記セキュリティを調査する行動と、前記機器に設定された前記セキュリティを回避する行動とを含み、
前記調査する行動を検出した場合と、前記回避する行動を検出した場合とで異なる前記評価を行う
ログラム。
On the computer,
A process of detecting disruptive behavior by a user of an organization's device, which is behavior related to disrupting security set in the device ;
and performing a process of evaluating the user based on the detection of the disruptive behavior,
the disruptive behavior includes behavior of investigating the security set in the device and behavior of circumventing the security set in the device;
The evaluation is performed differently when the behavior to be investigated is detected and when the behavior to be avoided is detected.
program .
JP2025557319A 2023-11-21 2023-11-21 Information processing device, information processing method, and program Active JP7782767B2 (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2023/041719 WO2025109668A1 (en) 2023-11-21 2023-11-21 Information processing device, information processing method, and program

Publications (2)

Publication Number Publication Date
JPWO2025109668A1 JPWO2025109668A1 (en) 2025-05-30
JP7782767B2 true JP7782767B2 (en) 2025-12-09

Family

ID=95826345

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2025557319A Active JP7782767B2 (en) 2023-11-21 2023-11-21 Information processing device, information processing method, and program

Country Status (2)

Country Link
JP (1) JP7782767B2 (en)
WO (1) WO2025109668A1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006178855A (en) 2004-12-24 2006-07-06 Ntt Communications Kk User authority control device, user authority control method, and user authority control program
WO2012153746A1 (en) 2011-05-12 2012-11-15 日本電気株式会社 Fraud detection system, fraud detection device, fraud detection method, and non-volatile medium
WO2014045827A1 (en) 2012-09-19 2014-03-27 三菱電機株式会社 Information processing device, information processing method, and program
WO2015097889A1 (en) 2013-12-27 2015-07-02 三菱電機株式会社 Information processing device, information processing method, and program

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006178855A (en) 2004-12-24 2006-07-06 Ntt Communications Kk User authority control device, user authority control method, and user authority control program
WO2012153746A1 (en) 2011-05-12 2012-11-15 日本電気株式会社 Fraud detection system, fraud detection device, fraud detection method, and non-volatile medium
WO2014045827A1 (en) 2012-09-19 2014-03-27 三菱電機株式会社 Information processing device, information processing method, and program
WO2015097889A1 (en) 2013-12-27 2015-07-02 三菱電機株式会社 Information processing device, information processing method, and program

Also Published As

Publication number Publication date
WO2025109668A1 (en) 2025-05-30
JPWO2025109668A1 (en) 2025-05-30

Similar Documents

Publication Publication Date Title
US11295021B2 (en) Using a threat model to monitor host execution in a virtualized environment
CN110598404B (en) Security risk monitoring method, monitoring device, server and storage medium
Andronio et al. Heldroid: Dissecting and detecting mobile ransomware
Pfleeger et al. Analyzing computer security: A threat/vulnerability/countermeasure approach
US9659175B2 (en) Methods and apparatus for identifying and removing malicious applications
EP3789896B1 (en) Method and system for managing security vulnerability in host system using artificial neural network
US12341785B2 (en) Systems and methods for asset-based severity scoring and protection therefrom
KR20150059564A (en) Method for integrity verification of electronic device, machine-readable storage medium and electronic device
US12506767B2 (en) Cybersecurity threat management using element mapping
Robles-Carrillo et al. Ransomware: An Interdisciplinary Technical and Legal Approach
Farina et al. The meaning of Freedom after Covid-19
Sabharwal et al. Ransomware attack: India issues red alert
Teichmann et al. Adequate responses to cyber-attacks
JP7782767B2 (en) Information processing device, information processing method, and program
GB2535579A (en) Preventing unauthorized access to an application server
CN119312320B (en) File protection method, device, equipment, storage medium and program product
De Villiers Minnaar The Scourge of Ransomware: The Cybercrime Growth Industry of the Early 2020s
Seth et al. Ransomware Attack: Threats & Different Detection Technique
JP6594277B2 (en) Computer system, access control method, and computer
Franjić Cybercrime and modern information technology
De The Scourge of Ransomware: The Cybercrime Growth Industry of the Early
Williams The socialization of secure computing practices for home internet users: A quantitative analysis of individual perceptions
US12242603B2 (en) System and method for dynamic scoring of incidents
Karaffa Causation and impact of ransomware infection in large organizations
KR20140044954A (en) Method of double anti-phishing through toolbar and the server thereof

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20250930

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20250930

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20250930

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20251028

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20251110

R150 Certificate of patent or registration of utility model

Ref document number: 7782767

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150