JP7795502B2 - Anomaly detection device, anomaly detection method, and anomaly detection program - Google Patents
Anomaly detection device, anomaly detection method, and anomaly detection programInfo
- Publication number
- JP7795502B2 JP7795502B2 JP2023111067A JP2023111067A JP7795502B2 JP 7795502 B2 JP7795502 B2 JP 7795502B2 JP 2023111067 A JP2023111067 A JP 2023111067A JP 2023111067 A JP2023111067 A JP 2023111067A JP 7795502 B2 JP7795502 B2 JP 7795502B2
- Authority
- JP
- Japan
- Prior art keywords
- alert
- definition
- history
- execution
- alert definition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Description
本発明は、異常検知装置、異常検知方法、及び、異常検知プログラムに関する。 The present invention relates to an anomaly detection device, an anomaly detection method, and an anomaly detection program.
特許文献1(特開2019-135602号公報)には、一度登録された作業データの修正について、修正前後の作業データを関連付け、正当性を判断する情報管理システムが開示されている。 Patent Document 1 (JP 2019-135602 A) discloses an information management system that associates work data before and after a correction and determines the legitimacy of corrections to work data that has already been registered.
この情報管理システムは、データを保持し、データに適用されるルールと、このルールに適合する二つのデータの差分の妥当性を示す第1指標と、の複数の組を含むルール情報を記憶装置に保持する。プロセッサは、新たなデータが入力されると、ルール情報に含まれるルールのうち、新たなデータと記憶装置に保持されているデータとが適合するルールを特定し、特定されたルールに対応する第1指標を合計する。そして、プロセッサは、第1指標の合計値に基づいて、二つのデータの差分の妥当性を判定し、妥当性の判定の結果と、妥当性の判定の根拠とを出力する。 This information management system stores data and holds rule information in a storage device, which includes multiple pairs of rules that apply to the data and first indices that indicate the validity of the difference between two pieces of data that conform to these rules. When new data is input, the processor identifies, from the rules included in the rule information, rules that conform to the new data and data stored in the storage device, and sums the first indices corresponding to the identified rules. The processor then determines the validity of the difference between the two pieces of data based on the sum of the first indices, and outputs the result of the validity determination and the basis for the validity determination.
ここで、近年、例えば会計又は補助簿等の業務データに対して不正が行われるケースが増加傾向にある。これに対応すべく業務データ上の異常を自動で検知する異常検知装置の開発が求められている。異常検知装置は、自動で異常判定を行い、判定結果に応じて業務チェック担当者等の責任者が、業務的な状況悪化による異常か、又は、人為的な不正行為による異常かの判断を行い、必要な対処を行うという運用がされる。 In recent years, there has been an increasing trend of fraudulent activity in business data, such as accounting or subsidiary ledgers. To address this, there is a need for the development of an anomaly detection device that can automatically detect abnormalities in business data. Anomaly detection devices automatically determine anomalies, and based on the results, a responsible person, such as a business checker, determines whether the anomaly is due to a worsening business situation or intentional fraud, and takes the necessary action.
内部統制管理者等の責任者は、このような運用が正しく行われているか否かを確認するのであるが、運用状況を確認可能なデータが存在しなければ、異常検知の運用状況の確認は困難となる。 Internal control managers and other responsible parties need to check whether these operations are being carried out correctly, but if there is no data available to verify the operational status, it becomes difficult to confirm the operational status of anomaly detection.
本発明は、上述の課題に鑑みてなされたものであり、異常検知の運用状況を確認可能とした異常検知装置、異常検知方法、及び、異常検知プログラムの提供を目的とする。 The present invention was made in consideration of the above-mentioned problems, and aims to provide an anomaly detection device, an anomaly detection method, and an anomaly detection program that enable the operational status of anomaly detection to be confirmed.
上述の課題を解決し、目的を達成するために、本発明に係る異常検知装置は、アラート定義を設定するアラート定義設定部と、設定されたアラート定義を実行するアラート定義実行部と、アラート定義の実行結果に基づいてアラート対象の異常判定を行い、異常判定による判定結果を生成する実行結果生成部と、実行されたアラート定義の実行履歴を生成する実行履歴生成部と、生成された判定結果及び実行履歴を出力機器に出力制御する出力制御部と、を有し、出力制御部は、判定結果として、運用上の確認を要する項目に対するメッセージを出力機器に出力制御する。 In order to solve the above-mentioned problems and achieve the object, the anomaly detection device of the present invention has an alert definition setting unit that sets an alert definition, an alert definition execution unit that executes the set alert definition, an execution result generation unit that performs an anomaly determination for the alert target based on the execution result of the alert definition and generates a determination result based on the anomaly determination, an execution history generation unit that generates an execution history of the executed alert definition, and an output control unit that controls the output of the generated determination results and execution history to an output device, and the output control unit controls the output of a message for items that require operational confirmation as the determination result to the output device.
また、上述の課題を解決し、目的を達成するために、本発明に係る異常検知装置の異常検知方法は、アラート定義設定部が、アラート定義を設定するアラート定義設定ステップと、アラート定義実行部が、設定されたアラート定義を実行するアラート定義実行ステップと、実行結果生成部が、アラート定義の実行結果に基づいてアラート対象の異常判定を行い、異常判定による判定結果を生成する実行結果生成ステップと、実行履歴生成部が、実行されたアラート定義の実行履歴を生成する実行履歴生成ステップと、出力制御部が、生成された判定結果及び実行履歴を出力機器に出力制御する出力制御ステップと、を有し、出力制御部は、判定結果として、運用上の確認を要する項目に対するメッセージを出力機器に出力制御する。 Furthermore, in order to solve the above-mentioned problems and achieve the object, the anomaly detection method for an anomaly detection device according to the present invention includes an alert definition setting step in which an alert definition setting unit sets an alert definition; an alert definition execution step in which an alert definition execution unit executes the set alert definition; an execution result generation step in which an execution result generation unit performs an anomaly determination for the alert target based on the execution result of the alert definition and generates a determination result based on the anomaly determination; an execution history generation step in which an execution history generation unit generates an execution history of the executed alert definition; and an output control step in which an output control unit controls the output of the generated determination result and execution history to an output device, and the output control unit controls the output of a message for items that require operational confirmation as the determination result to the output device.
また、上述の課題を解決し、目的を達成するために、本発明に係る異常検知プログラムは、コンピュータを、アラート定義を設定するアラート定義設定部と、設定されたアラート定義を実行するアラート定義実行部と、アラート定義の実行結果に基づいてアラート対象の異常判定を行い、異常判定による判定結果を生成する実行結果生成部と、実行されたアラート定義の実行履歴を生成する実行履歴生成部と、生成された判定結果及び実行履歴を出力機器に出力制御する出力制御部として機能させ、出力制御部は、判定結果として、運用上の確認を要する項目に対するメッセージを出力機器に出力制御する。 Furthermore, in order to solve the above-mentioned problems and achieve the object, the anomaly detection program of the present invention causes a computer to function as an alert definition setting unit that sets an alert definition, an alert definition execution unit that executes the set alert definition, an execution result generation unit that performs an anomaly determination for the alert target based on the execution result of the alert definition and generates a determination result based on the anomaly determination, an execution history generation unit that generates an execution history of the executed alert definition, and an output control unit that controls the output of the generated determination results and execution history to an output device , and the output control unit controls the output of a message for items that require operational confirmation to the output device as the determination result.
本発明は、異常検知の運用状況を確認できる。 This invention allows you to check the operational status of anomaly detection.
以下、本発明を適用した実施の形態となる異常検知装置を、図面に基づいて詳細に説明する。なお、本発明は、以下の実施の形態に限定されるものではない。 Below, an anomaly detection device according to an embodiment of the present invention will be described in detail with reference to the drawings. Note that the present invention is not limited to the following embodiment.
(ハードウェア構成)
図1に示すように、実施の形態の異常検知装置1は、記憶部2、制御部3、通信インターフェース部4及び入出力インターフェース部5を備えている。入出力インターフェース部5には、入力装置6及び出力装置7が接続されている。出力装置7としては、モニタ装置(家庭用テレビを含む)等の表示部、印刷装置、又は、スピーカ装置等が相当する。入力装置6としては、キーボード装置、マウス装置及びマイクロホン装置等の他、マウス装置と協働してポインティングデバイス機能を実現するモニタ装置等を用いることができる。
(Hardware configuration)
1, the anomaly detection device 1 of the embodiment includes a storage unit 2, a control unit 3, a communication interface unit 4, and an input/output interface unit 5. An input device 6 and an output device 7 are connected to the input/output interface unit 5. The output device 7 corresponds to a display unit of a monitor device (including a home television), a printing device, a speaker device, or the like. The input device 6 may be a keyboard device, a mouse device, a microphone device, or a monitor device that cooperates with a mouse device to realize a pointing device function.
通信インターフェース部4は、例えばインターネット等の広域網又はLAN(Local Area Network)等のプライベート網等のネットワーク35に接続される。ネットワーク35には、会計又は補助簿等の業務データが記憶された会計サーバ装置36が接続されている。実施の形態の異常検知装置1は、会計サーバ装置36に記憶されている業務データ、又は、会計サーバ装置36から取得して記憶部2に記憶させた業務データに対して、後述するように所定のアラート定義に基づく異常検知処理を施す。 The communication interface unit 4 is connected to a network 35, which may be a wide area network such as the Internet or a private network such as a local area network (LAN). An accounting server device 36, which stores business data such as accounting or subsidiary ledgers, is connected to the network 35. The anomaly detection device 1 of this embodiment performs anomaly detection processing based on a predetermined alert definition, as described below, on business data stored in the accounting server device 36 or business data acquired from the accounting server device 36 and stored in the memory unit 2.
記憶部2としては、例えばROM(Read Only Memory)、RAM(Random Access Memory)、HDD(Hard Disk Drive)又はSSD(Solid State Drive)等の記憶装置を用いることができる。記憶部2には、会計又は補助簿等の業務データの異常検知を行うと共に、この異常検知の運用状況を確認可能なデータを生成して、異常検知の運用状況を確認可能とする異常検知プログラムが記憶されている。 The storage unit 2 can be, for example, a storage device such as a ROM (Read Only Memory), RAM (Random Access Memory), HDD (Hard Disk Drive), or SSD (Solid State Drive). The storage unit 2 stores an anomaly detection program that detects anomalies in business data such as accounting or subsidiary ledgers, and generates data that can be used to check the operational status of this anomaly detection, making it possible to check the operational status of the anomaly detection.
また、記憶部2には、後述する事前設定データテーブル11、アラート実行履歴明細テーブル12、判定結果テーブル13、定義変更履歴データテーブル14が記憶されている。なお、「テーブル」は、記憶部2内(又は外部メモリ内等でもよい)に設けられた、それぞれの記憶領域である。 The storage unit 2 also stores a preset data table 11, an alert execution history detail table 12, a judgment result table 13, and a definition change history data table 14, which will be described later. Note that the "tables" refer to the respective storage areas provided within the storage unit 2 (or may be in external memory, etc.).
事前設定データテーブル11は、図2に示すように、アラート定義テーブル51、アラート定義グループテーブル52、アラート定義グループメンバーテーブル53、アラート定義世代管理テーブル54、及び、アラート定義履歴テーブル55を備えている。 As shown in Figure 2, the pre-configured data table 11 includes an alert definition table 51, an alert definition group table 52, an alert definition group member table 53, an alert definition generation management table 54, and an alert definition history table 55.
アラート定義テーブル51は、判定に使用するアルゴリズムの設定又は判定結果の更新内容を管理するテーブルであり、図3に示すように定義番号(定義ID)、定義コード(定義CD)、定義名、結果テーブル名、異常検知に用いる例えば近似曲線法又はホテリング法等のアルゴリズム、及び、アルゴリズムの定義等を含んで構成される。 The alert definition table 51 is a table that manages the settings of the algorithm used for judgment or updates to the judgment results, and as shown in Figure 3, it is composed of a definition number (definition ID), definition code (definition CD), definition name, result table name, algorithm used for anomaly detection, such as the approximation curve method or Hotelling's method, and algorithm definition.
アラート定義グループテーブル52は、アラート定義のグループを管理するテーブルであり、図4に示すように定義グループID及び定義グループ名を含んで構成される。アラート定義グループメンバーテーブル53は、アラート定義のグループに所属するアラート定義を管理するテーブルであり、図5に示すように定義グループID及び定義IDを含んで構成される。 The alert definition group table 52 is a table that manages alert definition groups, and is configured to include a definition group ID and a definition group name as shown in Figure 4. The alert definition group member table 53 is a table that manages alert definitions that belong to an alert definition group, and is configured to include a definition group ID and a definition ID as shown in Figure 5.
アラート実行履歴明細テーブル12は、実行した異常検知が正常に完了したか否かの判定のサマリー情報を管理するテーブルであり、アラート定義に基づき異常値判定が実行される毎に実行情報が更新される。図6は、アラート実行履歴明細テーブル12に記憶されるアラート実行履歴明細データを示す図である。この図6に示すように、アラート実行履歴明細テーブル12には、実行履歴明細ID、定義コード、アラート定義名、状況(正常終了又はエラー)、データ件数、異常件数、正常件数、更新日付等のアラート実行履歴明細データが記憶される。 The alert execution history detail table 12 is a table that manages summary information on whether or not an abnormality detection that has been performed has been completed successfully. The execution information is updated each time an abnormal value determination is performed based on the alert definition. Figure 6 is a diagram showing the alert execution history detail data stored in the alert execution history detail table 12. As shown in Figure 6, the alert execution history detail table 12 stores alert execution history detail data such as the execution history detail ID, definition code, alert definition name, status (successful completion or error), number of data items, number of abnormal items, number of normal items, and update date.
判定結果テーブル13は、異常判定実行後、異常値判定の結果、対応ステータス及びコメントを管理するテーブルである。この判定結果テーブル13は、図7に示すようにアラート結果テーブル60、判定結果メッセージデータテーブル63、及び、判定結果コメントテーブル64を含んで構成される。 The judgment result table 13 is a table that manages the abnormal value judgment results, response status, and comments after an abnormality judgment is performed. As shown in Figure 7, this judgment result table 13 is composed of an alert result table 60, a judgment result message data table 63, and a judgment result comment table 64.
アラート結果テーブル60は、判定に使用したデータの情報、異常の有無、及び、対応ステータスを管理するテーブルであり、アラート結果テーブル60内には、1つのアラート定義に対して1つの異常値判定結果テーブルが作成される。この図7の例は、アラート結果テーブル60内に、出来高予測アラート結果テーブル61及び見做し原価アラート結果テーブル62等が作成された例である。 The alert result table 60 is a table that manages information about the data used in the judgment, the presence or absence of abnormalities, and the response status. Within the alert result table 60, one abnormal value judgment result table is created for each alert definition. The example in Figure 7 is an example in which a production volume forecast alert result table 61 and an assumed cost alert result table 62 are created within the alert result table 60.
出来高予測アラート結果テーブル61は、工事の出来高予測のアラート定義に対して作成された異常値判定結果テーブルである。出来高予測アラート結果テーブル61は、図8に示すように実行履歴明細ID、行番号、判定結果(異常又は正常)、判定結果ステータス(未対応、対応中、対応不要、対応済み)、工期進捗率、プロジェクト名、及び、会計年月等を含んで構成される。 The progress forecast alert result table 61 is an abnormal value judgment result table created for the construction progress forecast alert definition. As shown in Figure 8, the progress forecast alert result table 61 is composed of the execution history detail ID, line number, judgment result (abnormal or normal), judgment result status (not yet addressed, in progress, no action required, addressed), construction progress rate, project name, and fiscal year and month, etc.
見做し原価アラート結果テーブル62は、工事の見做し原価のアラート定義に対して作成された異常値判定結果テーブルである。見做し原価アラート結果テーブル62は、図9に示すように実行履歴明細ID、行番号、判定結果(異常又は正常)、判定結果ステータス(未対応、対応中、対応不要、対応済み)、原価金額、及び、会計年月等を含んで構成される。 The estimated cost alert result table 62 is an abnormal value judgment result table created for the alert definition of the estimated cost of construction work. As shown in Figure 9, the estimated cost alert result table 62 is composed of the execution history detail ID, line number, judgment result (abnormal or normal), judgment result status (not yet addressed, in progress, no action required, addressed), cost amount, and accounting year and month, etc.
判定結果メッセージデータテーブル63は、検知された異常に応じて生成されるメッセージを管理するテーブルである。判定結果メッセージデータテーブル63は、図10に示すように、実行履歴明細ID、行番号、及び、検知された異常に応じて生成されるメッセージ等を含んで構成される。 The judgment result message data table 63 is a table that manages messages generated in response to detected abnormalities. As shown in FIG. 10, the judgment result message data table 63 is composed of information such as an execution history detail ID, a line number, and a message generated in response to a detected abnormality.
判定結果コメントテーブル64は、異常の検知結果に応じて生成されるコメントを管理するテーブルである。判定結果コメントテーブル64は、図11に示すように、コメントID、実行履歴明細ID、行番号、コメント内容、対応ステータス、及び、更新日付等を含んで構成される。 The judgment result comment table 64 is a table that manages comments generated in response to the results of anomaly detection. As shown in FIG. 11, the judgment result comment table 64 includes a comment ID, execution history detail ID, line number, comment content, response status, update date, etc.
定義変更履歴データテーブル14は、アラート定義及びアラートセキュリティの変更履歴を管理するテーブルであり、図12に示すように、アラート定義履歴データテーブル65、及び、アラートセキュリティ履歴データテーブル66を備えている。 The definition change history data table 14 is a table that manages the change history of alert definitions and alert security, and as shown in FIG. 12, it includes an alert definition history data table 65 and an alert security history data table 66.
アラート定義履歴データテーブル65は、アラートの定義を作成、変更又は削除した場合に更新される履歴が記憶されるテーブルである。このアラート定義履歴データテーブル65は、図13に示すように、アラート定義世代管理テーブル71、アラート定義履歴テーブル72、前処理定義履歴テーブル73、前処理結果項目履歴テーブル74、及び、集計条件履歴テーブル75を含んで構成される。また、アラート定義履歴データテーブル65は、集計結果項目履歴テーブル76、抽出条件履歴テーブル77、結果メッセージテンプレート履歴テーブル78、メッセージアイコン履歴テーブル79、判定結果テーブル情報履歴テーブル80、定義データマッピング履歴テーブル81、及び、定義スケジュールマッピング履歴テーブル82等を含んで構成される。 The alert definition history data table 65 is a table that stores history updates when an alert definition is created, changed, or deleted. As shown in FIG. 13, this alert definition history data table 65 includes an alert definition generation management table 71, an alert definition history table 72, a preprocessing definition history table 73, a preprocessing result item history table 74, and an aggregation condition history table 75. The alert definition history data table 65 also includes an aggregation result item history table 76, an extraction condition history table 77, a result message template history table 78, a message icon history table 79, a judgment result table information history table 80, a definition data mapping history table 81, and a definition schedule mapping history table 82.
アラート定義世代管理テーブル71は、アラート定義の変更履歴を世代として管理するテーブルである。アラート定義世代管理テーブル71は、図14に示すように、定義世代ID、定義ID、シーケンス番号、状況(完了、削除等)、そのアラート定義が最新の世代の定義であるか(TRUE)、古い世代の定義であるか(FALSE)を示す最新フラグ、その世代のアラート定義を更新したユーザの名前(更新ユーザ名)、及び、更新日時等を含んで構成される。 The alert definition generation management table 71 is a table that manages the change history of alert definitions as generations. As shown in FIG. 14, the alert definition generation management table 71 contains the definition generation ID, definition ID, sequence number, status (completed, deleted, etc.), a latest flag indicating whether the alert definition is the latest generation definition (TRUE) or an older generation definition (FALSE), the name of the user who updated the alert definition of that generation (updating user name), and the update date and time.
アラート定義履歴テーブル72は、アルゴリズム、パラメータ、及び、異常値判定結果テーブル名を管理するアラート定義を世代別に管理するテーブルである。アラート定義履歴テーブル72は、図15に示すように、定義世代ID、定義ID、定義コード、定義名、そのアラート定義の実行することで作成された判定結果が記憶される結果テーブル名、そのアラート定義のアルゴリズム、及び、具体的な定義等を含んで構成される。 The alert definition history table 72 is a table that manages alert definitions by generation, which manage algorithms, parameters, and abnormal value determination result table names. As shown in FIG. 15, the alert definition history table 72 is composed of the definition generation ID, definition ID, definition code, definition name, result table name in which the determination results created by executing the alert definition are stored, the algorithm for the alert definition, and specific definitions.
前処理定義履歴テーブル73は、判定に使用するデータに対する前処理の情報を管理する前処理定義を世代別に管理するテーブルである。前処理結果項目履歴テーブル74は、前処理を行った場合に新たに作成される列の情報を管理する前処理結果項目情報を世代別に管理するテーブルである。集計条件履歴テーブル75は、判定に使用するデータに対する集計の情報を管理する集計条件を世代別に管理するテーブルである。 The preprocessing definition history table 73 is a table that manages preprocessing definitions, which manage preprocessing information for data used in judgment, by generation. The preprocessing result item history table 74 is a table that manages preprocessing result item information, which manages information on columns newly created when preprocessing is performed, by generation. The aggregation condition history table 75 is a table that manages aggregation conditions, which manage aggregation information for data used in judgment, by generation.
また、集計結果項目履歴テーブル76は、集計を行った場合に新たに作成される列の情報を管理する集計結果項目情報を世代別に管理するテーブルである。抽出条件履歴テーブル77は、判定に使用する閾値の情報を管理する抽出条件を世代別に管理するテーブルである。結果メッセージテンプレート履歴テーブル78は、判定結果の根拠となるメッセージのテンプレートを管理する結果メッセージテンプレートを世代別に管理するテーブルである。 The aggregation result item history table 76 is a table that manages aggregation result item information by generation, which manages information on columns newly created when aggregation is performed. The extraction condition history table 77 is a table that manages extraction conditions by generation, which manage information on thresholds used for judgment. The result message template history table 78 is a table that manages result message templates by generation, which manage message templates that form the basis of judgment results.
また、メッセージアイコン履歴テーブル79は、異常度ランクに対応するアイコンを管理しているメッセージアイコンを世代別に管理するテーブルである。判定結果テーブル情報履歴テーブル80は、判定結果テーブル13の列の情報を管理している判定結果テーブル情報を世代別に管理するテーブルである。定義データマッピング履歴テーブル81は、アラート定義に使用するデータの関連付け情報を管理している定義データマッピングを世代別に管理するテーブルである。定義スケジュールマッピング履歴テーブル82は、アラート定義に使用するスケジュールの関連付け情報を管理している定義スケジュールマッピングを世代別に管理するテーブルである。 The message icon history table 79 is a table that manages message icons, which manage icons corresponding to anomaly ranks, by generation. The judgment result table information history table 80 is a table that manages judgment result table information, which manages column information in the judgment result table 13, by generation. The definition data mapping history table 81 is a table that manages definition data mapping, which manages association information for data used in alert definitions, by generation. The definition schedule mapping history table 82 is a table that manages definition schedule mapping, which manages association information for schedules used in alert definitions, by generation.
実施の形態の異常検知装置1は、「アラート定義毎」又は複数のアラート定義を一纏めとした「アラート定義グループ毎」に、「ユーザ」又は「ユーザグループ」による取り扱い権限を設定可能となっている。 The anomaly detection device 1 of this embodiment allows for the setting of handling permissions by "user" or "user group" for each "alert definition" or for each "alert definition group" which groups together multiple alert definitions.
このため、アラートセキュリティ履歴データテーブル66は、図16に示すように、アラート定義セキュリティ世代管理テーブル85、アラート定義グループセキュリティ世代管理テーブル86、ユーザ定義リレーション履歴テーブル87、ユーザグループ定義リレーション履歴テーブル88、ユーザ定義グループリレーション履歴テーブル89、及び、ユーザグループ定義グループリレーション履歴テーブル90を含んで構成される。このアラートセキュリティ履歴データテーブル66には、アラートの定義に対するセキュリティ設定を新規設定、変更又は削除した場合に更新される履歴が記憶されるようになっている。 For this reason, as shown in FIG. 16, the alert security history data table 66 is composed of an alert definition security generation management table 85, an alert definition group security generation management table 86, a user definition relation history table 87, a user group definition relation history table 88, a user definition group relation history table 89, and a user group definition group relation history table 90. This alert security history data table 66 stores history that is updated when security settings for an alert definition are newly set, changed, or deleted.
すなわち、アラート定義セキュリティ世代管理テーブル85は、アラート定義に対するセキュリティの変更履歴を世代として管理するテーブルである。アラート定義セキュリティ世代管理テーブル85は、図17に示すように、セキュリティ世代ID、定義ID、シーケンス番号、そのセキュリティ世代が最新の世代であるか(TRUE)、古い世代であるか(FALSE)を示す最新フラグ、その世代のセキュリティを更新したユーザのユーザ名(更新ユーザ名)、及び、更新日時を含んで構成される。 In other words, the alert definition security generation management table 85 is a table that manages the security change history for alert definitions as generations. As shown in FIG. 17, the alert definition security generation management table 85 is composed of a security generation ID, definition ID, sequence number, a latest flag indicating whether the security generation is the latest generation (TRUE) or an older generation (FALSE), the username of the user who updated the security of that generation (updating username), and the update date and time.
アラート定義グループセキュリティ世代管理テーブル86は、アラート定義グループに対するセキュリティの変更履歴を世代として管理するテーブルである。アラート定義グループセキュリティ世代管理テーブル86は、図18に示すように、セキュリティ世代ID、定義グループID、シーケンス番号、そのグループセキュリティが最新の世代のグループセキュリティであるか(TRUE)、古い世代のグループセキュリティであるか(FALSE)を示す最新フラグ、その世代のグループセキュリティを更新したユーザのユーザ名(更新ユーザ名)、及び、更新日時を含んで構成される。 The alert definition group security generation management table 86 is a table that manages the security change history for alert definition groups as generations. As shown in FIG. 18, the alert definition group security generation management table 86 contains the security generation ID, definition group ID, sequence number, latest flag indicating whether the group security is the latest generation group security (TRUE) or an older generation group security (FALSE), the username of the user who updated the group security of that generation (updating username), and the update date and time.
ユーザ定義リレーション履歴テーブル87は、ユーザに対するアラート定義の権限を管理するユーザ定義リレーションを世代別に管理するテーブルである。ユーザ定義リレーション履歴テーブル87は、図19に示すように、セキュリティ世代ID、ユーザID、ユーザ名、定義ID、出力権限フラグ、及び、照会権限フラグ等を含んで構成される。出力権限フラグは、各アラート定義に対する各ユーザの出力権限の有無(TRUE又はFALSE)を示すフラグ(情報)である。また、照会権限フラグは、各アラート定義に対する各ユーザの照会権限の有無(TRUE又はFALSE)を示すフラグ(情報)である。 The user-defined relation history table 87 is a table that manages user-defined relations by generation, which manage the alert definition permissions for users. As shown in FIG. 19, the user-defined relation history table 87 is composed of a security generation ID, user ID, user name, definition ID, output permission flag, and inquiry permission flag, etc. The output permission flag is a flag (information) that indicates whether each user has output permission (TRUE or FALSE) for each alert definition. The inquiry permission flag is a flag (information) that indicates whether each user has inquiry permission (TRUE or FALSE) for each alert definition.
ユーザグループ定義リレーション履歴テーブル88は、ユーザグループに対するアラート定義の権限を管理するユーザグループ定義リレーションを世代別に管理するテーブルである。ユーザグループ定義リレーション履歴テーブル88は、図20(a)に示すように、セキュリティ世代ID、ユーザグループID、ユーザグループ名、定義ID、出力権限フラグ、及び、照会権限フラグ等を含んで構成される。出力権限フラグは、各アラート定義に対する各ユーザグループの出力権限の有無(TRUE又はFALSE)を示すフラグ(情報)である。また、照会権限フラグは、各アラート定義に対する各ユーザグループの照会権限の有無(TRUE又はFALSE)を示すフラグ(情報)である。 The user group definition relation history table 88 is a table that manages user group definition relations, which manage alert definition permissions for user groups, by generation. As shown in FIG. 20(a), the user group definition relation history table 88 is composed of a security generation ID, user group ID, user group name, definition ID, output permission flag, and inquiry permission flag, etc. The output permission flag is a flag (information) that indicates whether each user group has output permission (TRUE or FALSE) for each alert definition. The inquiry permission flag is a flag (information) that indicates whether each user group has inquiry permission (TRUE or FALSE) for each alert definition.
ユーザ定義グループリレーション履歴テーブル89は、ユーザに対するアラート定義グループの権限を管理するユーザ定義グループリレーションを世代別に管理するテーブルである。ユーザ定義グループリレーション履歴テーブル89は、図20(b)に示すように、セキュリティ世代ID、ユーザID、ユーザ名、定義グループID、出力権限フラグ、及び、照会権限フラグ等を含んで構成される。出力権限フラグは、各アラート定義グループに対する各ユーザの出力権限の有無(TRUE又はFALSE)を示すフラグ(情報)である。また、照会権限フラグは、各アラート定義グループに対する各ユーザの照会権限の有無(TRUE又はFALSE)を示すフラグ(情報)である。 The user-defined group relation history table 89 is a table that manages user-defined group relations by generation, which manage the permissions of alert definition groups for users. As shown in Figure 20 (b), the user-defined group relation history table 89 is composed of fields such as a security generation ID, user ID, user name, definition group ID, output permission flag, and inquiry permission flag. The output permission flag is a flag (information) that indicates whether each user has output permission (TRUE or FALSE) for each alert definition group. The inquiry permission flag is a flag (information) that indicates whether each user has inquiry permission (TRUE or FALSE) for each alert definition group.
ユーザグループ定義グループリレーション履歴テーブル90は、ユーザグループに対するアラート定義グループの権限を管理するユーザグループ定義グループリレーションを世代別に管理するテーブルである。ユーザグループ定義グループリレーション履歴テーブル90は、図20(c)に示すように、セキュリティ世代ID、ユーザグループID、ユーザグループ名、定義グループID、出力権限フラグ、及び、照会権限フラグ等を含んで構成される。出力権限フラグは、各アラート定義グループに対する各ユーザグループの出力権限の有無(TRUE又はFALSE)を示すフラグ(情報)である。また、照会権限フラグは、各アラート定義グループに対する各ユーザグループの照会権限の有無(TRUE又はFALSE)を示すフラグ(情報)である。 The user group definition group relation history table 90 is a table that manages user group definition group relations, which manage the permissions of alert definition groups for user groups, by generation. As shown in FIG. 20(c), the user group definition group relation history table 90 is composed of fields such as a security generation ID, user group ID, user group name, definition group ID, output permission flag, and inquiry permission flag. The output permission flag is a flag (information) that indicates whether each user group has output permission (TRUE or FALSE) for each alert definition group. The inquiry permission flag is a flag (information) that indicates whether each user group has inquiry permission (TRUE or FALSE) for each alert definition group.
(異常検知装置の機能構成)
次に、制御部3は、記憶部2に記憶されている異常検知プログラムを実行することで、図1に示すように、アラート定義設定部21、アラート定義実行部22、実行結果生成部23、定義変更履歴生成部24、表示制御部25、権限設定部26、及び、権限変更履歴生成部27として機能する。
(Functional configuration of anomaly detection device)
Next, the control unit 3 executes the anomaly detection program stored in the memory unit 2, and thereby functions as an alert definition setting unit 21, an alert definition execution unit 22, an execution result generation unit 23, a definition change history generation unit 24, a display control unit 25, an authority setting unit 26, and an authority change history generation unit 27, as shown in FIG. 1 .
アラート定義設定部21は、異常検知用のアラート定義を設定する。アラート定義実行部22は、設定されたアラート定義を実行する。実行結果生成部23は、アラート定義の実行結果に基づいてアラート対象(一例として業務データ)の異常判定を行い、異常判定による判定結果を生成する。 The alert definition setting unit 21 sets an alert definition for anomaly detection. The alert definition execution unit 22 executes the set alert definition. The execution result generation unit 23 performs an anomaly determination for the alert target (business data, as an example) based on the execution result of the alert definition, and generates a determination result based on the anomaly determination.
定義変更履歴生成部24は、実行されたアラート定義の実行履歴を生成する。この「実行履歴」は、一例として図6に示したアラート実行履歴明細テーブル12に記憶される各種データである。 The definition change history generation unit 24 generates an execution history of executed alert definitions. This "execution history" is various data stored in the alert execution history detail table 12, an example of which is shown in Figure 6.
出力制御部は、生成された判定結果及び実行履歴を出力機器に出力制御する。出力制御部としては、表示制御部25は、印刷制御部、音声出力制御部等を設けることができる。出力制御部として表示制御部25を設けた場合、この表示制御部25は、表示部である出力装置7を介して所定の画面及びアラート定義の実行結果等を表示する。出力制御部として印刷制御部を設けた場合、この印刷制御部は、印刷装置である出力装置7を介して所定の画面及びアラート定義の実行結果等をプリントアウトする。出力制御部として音声出力制御部を設けた場合、この音声出力制御部は、スピーカ装置である出力装置7を介して所定の画面及びアラート定義の実行結果等の音声を出力制御する。 The output control unit controls the output of the generated judgment results and execution history to an output device. As an output control unit, the display control unit 25 can be provided with a print control unit, an audio output control unit, etc. When the display control unit 25 is provided as the output control unit, the display control unit 25 displays a predetermined screen and the execution results of the alert definition, etc. via the output device 7, which is a display unit. When a print control unit is provided as the output control unit, the print control unit prints out a predetermined screen and the execution results of the alert definition, etc. via the output device 7, which is a printer. When an audio output control unit is provided as the output control unit, the audio output control unit controls the output of a predetermined screen and the audio results of the execution of the alert definition, etc. via the output device 7, which is a speaker device.
定義変更履歴生成部24は、アラート定義が変更された際に、アラート定義の定義変更履歴を生成する。この「定義変更履歴」は、図14に示したアラート定義世代管理テーブル71及びアラート定義履歴テーブル72である。出力制御部は、判定結果及び実行履歴と共に、この定義変更履歴を出力機器に出力制御する。 The definition change history generation unit 24 generates a definition change history for an alert definition when the alert definition is changed. This "definition change history" is the alert definition generation management table 71 and alert definition history table 72 shown in FIG. 14. The output control unit controls the output of this definition change history to an output device, along with the judgment results and execution history.
権限設定部26は、アラート定義の取り扱い権限を設定する。「取り扱い権限」は、一例として図19に示したユーザ定義リレーション履歴テーブル87又は図20に示したユーザグループ定義リレーション履歴テーブル88の出力権限フラグ及び(又は)照会権限フラグで設定された「出力権限」及び(又は)「照会権限」である。 The authority setting unit 26 sets the handling authority for the alert definition. The "handling authority" is, for example, the "output authority" and/or "inquiry authority" set by the output authority flag and/or inquiry authority flag in the user-defined relationship history table 87 shown in FIG. 19 or the user group-defined relationship history table 88 shown in FIG. 20.
権限変更履歴生成部27は、このような取り扱い権限が変更された際に、取り扱い権限の権限変更履歴を生成する。出力制御部は、判定結果、実行履歴及び定義変更履歴と共に、この権限変更履歴を出力機器に出力制御する。 When such handling permissions are changed, the permission change history generation unit 27 generates a permission change history for the handling permissions. The output control unit controls the output of this permission change history to an output device, along with the judgment results, execution history, and definition change history.
定義変更履歴生成部24は、アラート定義が変更された際に、変更後のアラート定義に対して、最新のアラート定義であることを示す世代情報を付加した定義変更履歴を生成し、他のアラート定義に対して、古い世代のアラート定義であることを示す世代情報を付加した定義変更履歴を生成する。例えば、図14のアラート定義世代管理テーブル71に例示する最新フラグ(最新FLG)が、この「世代情報」に相当する。図14の例の場合、「最新のアラート定義であることを示す世代情報」は、「TRUE」のフラグ情報であり、「古い世代のアラート定義であることを示す世代情報」は、「FALSE」のフラグ情報である。 When an alert definition is changed, the definition change history generation unit 24 generates a definition change history for the changed alert definition by adding generation information indicating that it is the latest alert definition, and for other alert definitions, generates a definition change history by adding generation information indicating that they are older generations of alert definitions. For example, the latest flag (latest FLG) shown in the alert definition generation management table 71 in Figure 14 corresponds to this "generation information." In the example of Figure 14, the "generation information indicating that this is the latest alert definition" is flag information of "TRUE," and the "generation information indicating that this is an older generation of alert definition" is flag information of "FALSE."
権限変更履歴生成部27は、取り扱い権限が変更された際に、変更後の取り扱い権限に対して、最新の取り扱い権限であることを示す世代情報を付加した権限変更履歴を生成し、他の取り扱い権限に対して、古い世代の取り扱い権限であることを示す世代情報を付加した権限変更履歴を生成する。例えば、図17のアラート定義セキュリティ世代管理テーブル85、及び、図18のアラート定義グループセキュリティ世代管理テーブル86に例示する最新フラグ(最新FLG)が、この「世代情報」に相当する。図17及び図18の例の場合、「最新の取り扱い権限であることを示す世代情報」は、「TRUE」のフラグ情報であり、「古い世代の取り扱い権限であることを示す世代情報」は、「FALSE」のフラグ情報である。 When handling authority is changed, the authority change history generation unit 27 generates an authority change history in which generation information indicating that the changed handling authority is the latest handling authority is added to the handling authority after the change, and generates an authority change history in which generation information indicating that the other handling authorities are older generations of handling authority is added to the handling authority. For example, the latest flag (latest FLG) shown in the alert definition security generation management table 85 in FIG. 17 and the alert definition group security generation management table 86 in FIG. 18 corresponds to this "generation information." In the examples of FIGS. 17 and 18, the "generation information indicating the latest handling authority" is flag information of "TRUE," and the "generation information indicating the older generation of handling authority" is flag information of "FALSE."
(アラート定義の設定動作)
次に、アラート定義の設定動作を説明する。なお、アラート定義の設定は、制御部3が記憶部2に記憶されている異常検知プログラムに基づいて、主に表示制御部25及びアラート定義設定部21として機能することで実行される。
(Alert definition setting behavior)
Next, the operation of setting an alert definition will be described. The setting of the alert definition is performed by the control unit 3 functioning mainly as the display control unit 25 and the alert definition setting unit 21 based on the anomaly detection program stored in the storage unit 2.
所望のアラート定義を設定する場合、操作者は、アルゴリズム設定画面の表示を指定操作する。これにより、表示制御部25は、図21(a)に例示するアルゴリズム設定画面を、出力装置7を介して表示する。操作者は、このアルゴリズム設定画面を介して所望のアラート定義の定義コード、及び、所望のアルゴリズムを入力する。図21の例は、「出来高予測アラート」のアラート定義に対して、「近似曲線法」のアルゴリズムが設定された例である。 When setting a desired alert definition, the operator specifies the display of the algorithm setting screen. This causes the display control unit 25 to display the algorithm setting screen shown in Figure 21 (a) via the output device 7. The operator inputs the definition code of the desired alert definition and the desired algorithm via this algorithm setting screen. The example in Figure 21 is an example in which the "approximate curve method" algorithm is set for the alert definition of a "production volume forecast alert."
この「近似曲線法」のアルゴリズムの詳細は、表示制御部25により表示される、図21(b)に示す近似曲線設定画面で設定されるようになっている。この図21(b)の例は、近似曲線法の設定として、X軸項目を「工期進捗率」とし、Y軸項目を「累計進捗率」とし、近似関数候補は「指定しない」とし、有意水準は「0.025」に設定した例である。 Details of the algorithm for this "approximate curve method" are set on the approximate curve setting screen shown in Figure 21(b), which is displayed by the display control unit 25. In the example of Figure 21(b), the approximate curve method is set with the X-axis item set to "Period progress rate," the Y-axis item set to "Cumulative progress rate," the approximate function candidate set to "Not specified," and the significance level set to "0.025."
このようなアラート定義のアルゴリズムの入力が行われると、アラート定義設定部21は、図22(a)に示すようにアラート定義世代管理テーブル71に、設定されたアラート定義に対応する、定義世代ID、定義ID、シーケンス番号、ステータス、及び、最新フラグを設定する。この例は、最初のアラート定義が設定された段階であるため、最新フラグ情報は、最新の世代のアラート定義であることを示す「TRUE」となる。 When such an alert definition algorithm is input, the alert definition setting unit 21 sets the definition generation ID, definition ID, sequence number, status, and latest flag corresponding to the set alert definition in the alert definition generation management table 71, as shown in FIG. 22(a). In this example, since the first alert definition has been set, the latest flag information is "TRUE," indicating that this is the latest generation alert definition.
また、アラート定義設定部21は、図22(b)に示すようにアラート定義履歴テーブル72に、設定されたアラート定義に対応する、定義世代ID、定義ID、定義コード、定義名、結果テーブル名、アルゴリズム、及び、定義等を設定する。この例は、設定されたアラート定義は、出来高予測アラートのアラート定義であり、このアラート定義による異常判定結果の記憶先は出来高予測アラート結果テーブル61であることを示している。また、この例は、アルゴリズムとして近似曲線法を用い、定義は、近似関数候補は指定せず、有意水準は0.025に設定されていることを示している。 The alert definition setting unit 21 also sets the definition generation ID, definition ID, definition code, definition name, result table name, algorithm, definition, etc. corresponding to the set alert definition in the alert definition history table 72, as shown in FIG. 22 (b). This example shows that the set alert definition is an alert definition for a production volume forecast alert, and that the storage destination for the abnormality determination result based on this alert definition is the production volume forecast alert result table 61. This example also shows that the approximation curve method is used as the algorithm, the definition does not specify an approximation function candidate, and the significance level is set to 0.025.
(アラート定義の変更動作)
次に、このように設定されたアラート定義を変更する場合、操作者は、再度、アルゴリズム設定画面の表示を指定操作する。これにより、表示制御部25は、図23(a)に例示するアルゴリズム設定画面を、出力装置7を介して表示する。この図23(a)の例は、上述の出来高予測アラートのアラート定義を変更する例である。例えば、出来高予測アラートのアラート定義の有意水準を変更する場合、操作者は、表示制御部25により表示される、図23(b)に示す近似曲線設定画面において、有意水準を、上述の「0.025」から例えば「0.05」に変更入力する。
(Alert definition change behavior)
Next, when changing the alert definition set in this manner, the operator again specifies the display of the algorithm setting screen. As a result, the display control unit 25 displays the algorithm setting screen illustrated in FIG. 23( a) via the output device 7. The example in FIG. 23( a) is an example of changing the alert definition of the above-mentioned production volume forecast alert. For example, when changing the significance level of the alert definition of the production volume forecast alert, the operator changes the significance level from the above-mentioned "0.025" to, for example, "0.05" on the approximate curve setting screen shown in FIG. 23( b) displayed by the display control unit 25.
この変更入力がされると、制御部3は、異常検知プログラムに基づいて定義変更履歴生成部24として機能し、図24(a)及び図24(b)に示すように、アラート定義世代管理テーブル71及びアラート定義履歴テーブル72に対して、この変更入力に対応する新たなレコードをそれぞれ生成する。すなわち、図24(a)の例は、1段目のレコードが、最初に設定されたアラート定義のレコードであり、2段目のレコードが、変更入力に対応するアラート定義のレコードである。同様に、図24(b)の例も、1段目のレコードが、最初に設定されたアラート定義のレコードであり、2段目のレコードが、変更入力に対応するアラート定義のレコードである。 When this change is entered, the control unit 3 functions as the definition change history generation unit 24 based on the anomaly detection program, and generates new records corresponding to this change in the alert definition generation management table 71 and the alert definition history table 72, as shown in Figures 24(a) and 24(b). That is, in the example of Figure 24(a), the record in the first row is a record of the alert definition that was initially set, and the record in the second row is a record of the alert definition that corresponds to the change. Similarly, in the example of Figure 24(b), the record in the first row is a record of the alert definition that was initially set, and the record in the second row is a record of the alert definition that corresponds to the change.
このように、変更入力が行われる毎に新たなレコードを生成することで、アラート定義世代管理テーブル71及びアラート定義履歴テーブル72には、各世代のレコードが履歴として積層されることとなる。このため、内部統制管理者等の責任者は、アラート定義の変更の遷移状態を容易に確認することができる。 In this way, by generating a new record each time a change is entered, records for each generation are stacked as history in the alert definition generation management table 71 and the alert definition history table 72. This allows responsible parties such as internal control managers to easily check the transition status of changes to alert definitions.
さらに、定義変更履歴生成部24は、図24(a)に示すアラート定義世代管理テーブル71の最新フラグのうち、変更入力に対応する新たな世代のレコードの最新フラグを「TRUE」とし、変更入力により古くなった世代のレコードの最新フラグを「FALSE」に更新する。これにより、内部統制管理者等の責任者は、各アラート定義のうち、最新のアラート定義(=「TRUE」の最新フラグのアラート定義)を容易に認識することができる。 Furthermore, the definition change history generation unit 24 sets the latest flag of the record of the new generation corresponding to the change input to "TRUE" among the latest flags in the alert definition generation management table 71 shown in FIG. 24(a), and updates the latest flag of the record of the generation that has become old due to the change input to "FALSE." This allows a responsible person such as an internal control administrator to easily identify the latest alert definition (= the alert definition with the latest flag set to "TRUE") among each alert definition.
(セキュリティ権限の設定動作)
次に、各ユーザ及び各ユーザグループに対するアラート定義の出力権限及び照会権限であるセキュリティ権限の設定動作を説明する。なお、セキュリティ権限の設定は、制御部3が記憶部2に記憶されている異常検知プログラムに基づいて、主に表示制御部25及び権限設定部26として機能することで実行される。
(Security permission setting behavior)
Next, we will explain how to set security permissions, which are the permissions to output and query alert definitions for each user and each user group. The security permissions are set by the control unit 3 functioning mainly as the display control unit 25 and the permission setting unit 26 based on the anomaly detection program stored in the storage unit 2.
所望のセキュリティ権限を設定する場合、操作者は、セキュリティ登録画面の表示を指定操作する。これにより、表示制御部25は、図25に例示するセキュリティ登録画面を、出力装置7を介して表示する。このセキュリティ登録画面には、ユーザ毎及びユーザグループ毎に、出力権限の可否を設定するチェックボックス、及び、照会権限の可否を設定するチェックボックスが表示される。操作者は、このセキュリティ登録画面を用いて、アラート定義毎に、出力権限を付与するユーザ又はユーザグループのチェックボックスにチェックのアイコンを入力操作し、また、照会権限を付与するユーザ又はユーザグループのチェックボックスにチェックのアイコンを入力操作する。 When setting the desired security permissions, the operator specifies the display of the security registration screen. This causes the display control unit 25 to display the security registration screen shown in FIG. 25 via the output device 7. This security registration screen displays check boxes for setting output permissions and check boxes for setting inquiry permissions for each user and user group. Using this security registration screen, the operator inputs a check icon into the check box for the user or user group to whom output permissions are to be granted, and also inputs a check icon into the check box for the user or user group to whom inquiry permissions are to be granted, for each alert definition.
このようにアラート定義毎に各ユーザ及び各ユーザグループのセキュリティ権限が設定されると、権限設定部26は、図26(a)に示すアラート定義毎のアラート定義セキュリティ世代管理テーブル85に対して、「SV1001」のセキュリティ世代ID等を入力し、「SV1001」のセキュリティ世代IDのセキュリティ権限が最新の世代であることを示すべく、最新フラグを「TRUE」とする。 Once security privileges for each user and user group are set for each alert definition in this way, the privilege setting unit 26 inputs the security generation ID "SV1001" and other information into the alert definition security generation management table 85 for each alert definition shown in FIG. 26(a), and sets the latest flag to "TRUE" to indicate that the security privileges for the security generation ID "SV1001" are the latest generation.
また、権限設定部26は、図26(b)に示すように、アラート定義毎のユーザ定義リレーション履歴テーブル87に対して、図25に示したセキュリティ登録画面を介して設定された各ユーザの出力権限、及び、照会権限を設定する。同様に、権限設定部26は、図26(c)に示すように、アラート定義毎のユーザグループ定義リレーション履歴テーブル88に対して、図25に示したセキュリティ登録画面を介して設定された各ユーザグループの出力権限、及び、照会権限を設定する。 Furthermore, as shown in FIG. 26(b), the authority setting unit 26 sets the output authority and inquiry authority of each user set via the security registration screen shown in FIG. 25 for the user-defined relation history table 87 for each alert definition. Similarly, as shown in FIG. 26(c), the authority setting unit 26 sets the output authority and inquiry authority of each user group set via the security registration screen shown in FIG. 25 for the user-group-defined relation history table 88 for each alert definition.
この例は、図26(b)に示すように「U0001」のユーザに対して、出来高予測アラートの出力権限及び照会権限として共に「FALSE」が設定された例である。また、図26(b)に示すように「U0002」のユーザに対しては、出来高予測アラートの出力権限として「TRUE」が設定され、照会権限として「FALSE」が設定された例である。 In this example, as shown in Figure 26(b), "FALSE" has been set for both the output authority and inquiry authority for production volume forecast alerts for user "U0001." Also, as shown in Figure 26(b), "TRUE" has been set for the output authority for production volume forecast alerts for user "U0002," and "FALSE" has been set for the inquiry authority.
また、この例は、図26(c)に示すように「UG0001」のユーザグループに対して、出来高予測アラートの出力権限として「FALSE」が設定され、照会権限として「TRUE」が設定された例である。また、図26(c)に示すように「UG0002」のユーザグループに対しては、出力権限及び照会権限共に「TRUE」が設定された例である。 In addition, as shown in Figure 26(c), this example is an example in which "FALSE" is set as the output authority for production volume forecast alerts and "TRUE" is set as the inquiry authority for user group "UG0001." In addition, as shown in Figure 26(c), this is an example in which "TRUE" is set as both the output authority and the inquiry authority for user group "UG0002."
(セキュリティ権限の変更動作)
次に、各ユーザ及び各ユーザグループに対するアラート定義の出力権限及び照会権限であるセキュリティ権限の変更動作を説明する。所望のセキュリティ権限を変更する場合、操作者は、再度、セキュリティ登録画面の表示を指定操作する。これにより、表示制御部25は、図27に例示するセキュリティ登録画面を、出力装置7を介して表示する。操作者は、このセキュリティ登録画面の出力権限の可否及び照会権限の可否を設定するチェックボックスに対して、チェックのアイコンを入力又は削除して、セキュリティ権限の変更を図る。図27の例は、「ユーザ2」のレコード及び「ユーザグループ1」のレコードを削除することで、「ユーザ2」及び「ユーザグループ1」に付与していたセキュリティ権限を解除し、新たに「ユーザ3」に「出力権限」のセキュリティ権限を付与した例である。また、図27の例は、「出力権限」及び「照会権限」のいずれも付与されていなかった「ユーザ1」に対して、「照会権限」のセキュリティ権限を付与した例である。
(Security permission change behavior)
Next, we will explain how to change the security privileges, which are the output and inquiry privileges for alert definitions for each user and each user group. To change the desired security privileges, the operator again selects the display of the security registration screen. This causes the display control unit 25 to display the security registration screen shown in FIG. 27 via the output device 7. The operator changes the security privileges by checking or deleting checkboxes that set the output and inquiry privileges on this security registration screen. The example in FIG. 27 shows how the security privileges granted to "User 2" and "User Group 1" are revoked by deleting the records for "User 2" and "User Group 1," and how the security privilege of "output privilege" is newly granted to "User 3." The example in FIG. 27 also shows how the security privilege of "inquiry privilege" is granted to "User 1," who previously had neither the "output privilege" nor the "inquiry privilege."
このように各ユーザ及び(又は)各ユーザグループのセキュリティ権限が変更されると、制御部3は異常検知プログラムに基づいて権限変更履歴生成部27として機能し、図28(a)に示すアラート定義セキュリティ世代管理テーブル85に対して、「SV1002」の新たなセキュリティ世代IDのレコードのレコードを生成する。そして、権限変更履歴生成部27は、「SV1001」の古いセキュリティ世代のレコードの最新フラグを「FALSE」とし、「SV1002」の新しいセキュリティ世代のレコードの最新フラグを「TRUE」とする。これにより、「SV1002」のセキュリティ世代のレコードが最新のセキュリティ世代のレコードであることを示すことができる。 When the security permissions of each user and/or each user group are changed in this way, the control unit 3 functions as the permission change history generation unit 27 based on the anomaly detection program, and generates a record for a new security generation ID of "SV1002" in the alert definition security generation management table 85 shown in FIG. 28(a). The permission change history generation unit 27 then sets the latest flag of the record for the old security generation of "SV1001" to "FALSE" and the latest flag of the record for the new security generation of "SV1002" to "TRUE." This makes it possible to indicate that the record for the security generation of "SV1002" is the record for the latest security generation.
また、権限変更履歴生成部27は、ユーザ定義リレーション履歴テーブル87に対して、今回のセキュリティ権限の変更操作により削除されずに残ることとなった「U0001」のユーザのレコード、及び、新たにセキュリティ権限が付与された「U0003」のユーザのレコードをそれぞれ生成する。そして、「U0001」のユーザのレコード、及び、「U0003」のユーザのレコードに対して、新たなセキュリティ世代であることを示す「SV1002」のセキュリティ世代IDを付与する。 The authority change history generation unit 27 also generates in the user-defined relationship history table 87 a record for user "U0001" that will remain undeleted due to the current security authority change operation, and a record for user "U0003" to which new security authority has been granted. Then, the security generation ID "SV1002" indicating a new security generation is assigned to the records for user "U0001" and user "U0003."
また、権限変更履歴生成部27は、「SV1002」のセキュリティ世代IDを付与した「U0001」及び「U0003」の各ユーザのレコードの出力権限フラグとして、セキュリティ登録画面で設定された出力権限の有無(TRUE又はFALSE)を設定すると共に、各ユーザのレコードの照会権限フラグとして、照会権限の有無(TRUE又はFALSE)を設定する。 In addition, the authority change history generation unit 27 sets the output authority flag for the records of each user, "U0001" and "U0003," who have been assigned the security generation ID "SV1002," to indicate whether or not the user has output authority (TRUE or FALSE), as set on the security registration screen, and sets the inquiry authority flag for each user's record to indicate whether or not the user has inquiry authority (TRUE or FALSE).
また、権限変更履歴生成部27は、ユーザグループ定義リレーション履歴テーブル88に対して、今回のセキュリティ権限の変更操作により削除されずに残ることとなった「UG0002」のユーザグループのレコードをそれぞれ生成する。そして、「UG0002」のユーザグループのレコードに対して、新たなセキュリティ世代であることを示す「SV1002」のセキュリティ世代IDを付与する。 The authority change history generation unit 27 also generates records for the user group "UG0002" in the user group definition relation history table 88 that have not been deleted due to the current security authority change operation. It then assigns a security generation ID of "SV1002" to the records for the user group "UG0002," indicating that this is a new security generation.
また、権限変更履歴生成部27は、「SV1002」のセキュリティ世代IDを付与した「UG0002」のユーザグループのレコードの出力権限フラグとして、セキュリティ登録画面で設定された出力権限の有無(TRUE又はFALSE)を設定すると共に、各ユーザのレコードの照会権限フラグとして、照会権限の有無(TRUE又はFALSE)を設定する。 In addition, the authority change history generation unit 27 sets the output authority flag for the record of the user group "UG0002" assigned the security generation ID "SV1002" to indicate whether or not the user has output authority set on the security registration screen (TRUE or FALSE), and sets the inquiry authority flag for each user's record to indicate whether or not the user has inquiry authority (TRUE or FALSE).
これにより、内部統制管理者等の責任者は、各ユーザ及び各ユーザグループの最新のセキュリティ権限(=「TRUE」の出力権限フラグ又は照会権限フラグ)を容易に認識することができる。 This allows internal control managers and other responsible parties to easily recognize the latest security permissions (output permission flag or inquiry permission flag set to "TRUE") for each user and each user group.
(異常判定動作)
次に、上述のように設定されたアラート定義に基づく異常判定動作を説明する。アラート定義で設定された日時となり、又は、操作者により異常判定が指定されると、制御部3は、異常検知プログラムに基づいてアラート定義実行部22として機能し、アラート定義に基づいて、図1に示す業務データに対する異常判定を実行する。アラート定義を実行すると、アラート定義実行部22は、図29(a)に示すように、アラート実行履歴明細テーブル12に対して、実行毎に自動採番される実行履歴明細ID、実行したアラート定義の定義ID、実行状況(実行完了又はエラー等)、データ件数、異常件数、及び、正常件数を入力する。
(Abnormality judgment operation)
Next, an abnormality determination operation based on the alert definition set as described above will be described. When the date and time set in the alert definition arrives or when an abnormality determination is specified by the operator, the control unit 3 functions as the alert definition execution unit 22 based on the abnormality detection program and performs an abnormality determination for the business data shown in Fig. 1 based on the alert definition. When the alert definition is executed, the alert definition execution unit 22 inputs an execution history detail ID that is automatically assigned for each execution, the definition ID of the executed alert definition, the execution status (execution completed, error, etc.), the number of data items, the number of abnormal items, and the number of normal items into the alert execution history detail table 12, as shown in Fig. 29(a).
また、制御部3は異常検知プログラムに基づいて実行結果生成部23として機能し、図29(b)に例示する判定結果メッセージデータテーブル63に対して、アラート定義の実行結果に対応するメッセージを入力する。また、実行結果生成部23は、アラート定義の実行結果に基づいて、図29(c)に示すアラート結果テーブル60(図29(c)の例は、出来高予測アラート結果テーブル61の例)の判定結果等を入力する。 The control unit 3 also functions as the execution result generation unit 23 based on the anomaly detection program, and inputs a message corresponding to the execution result of the alert definition into the judgment result message data table 63 shown in Figure 29(b). The execution result generation unit 23 also inputs the judgment results, etc., into the alert result table 60 shown in Figure 29(c) (the example in Figure 29(c) is an example of a production volume forecast alert result table 61) based on the execution result of the alert definition.
これにより、図29(a)に示すアラート実行履歴明細テーブル12には、アラート定義の実行毎に、実行されたアラート定義の定義ID、状況、データ件数、異常件数及び正常件数を含むレコードが積層するかたちでの履歴として記憶されることとなる。また、図29(b)に示す判定結果メッセージデータテーブル63には、アラート定義に基づく業務データの判定結果のメッセージのレコードが積層するかたちで履歴として記憶されることとなる。さらに、図29(c)に示すアラート結果テーブル60(図29(c)の例は、出来高予測アラート結果テーブル61の例)には、アラート定義に基づく異常判定結果等のレコードが積層するかたちで履歴として記憶されることとなる。 As a result, the alert execution history detail table 12 shown in Figure 29(a) stores stacked records containing the definition ID, status, number of data items, number of abnormal items, and number of normal items for each execution of the alert definition as history. Also, the judgment result message data table 63 shown in Figure 29(b) stores stacked records of messages of the judgment results of business data based on the alert definition as history. Furthermore, the alert result table 60 shown in Figure 29(c) (the example in Figure 29(c) is an example of a production volume forecast alert result table 61) stores stacked records of abnormality judgment results and the like based on the alert definition as history.
内部統制管理者等の責任者は、これらのテーブル12、63、60(61)の実行履歴に基づいて、各アラート定義の実行状況及び異常判定結果を容易に認識することができる。 Responsible parties such as internal control managers can easily recognize the execution status and anomaly determination results for each alert definition based on the execution history of these tables 12, 63, 60 (61).
(判定結果の確認動作)
次に、業務チェック担当者は、上述のようにアラート定義が実行されることで異常判定結果が生成されると、これらを確認してコメントを更新する。この異常判定結果の確認及びコメントの更新を行う場合、業務チェック担当者は、入力装置6を介して分析ジョブ画面の表示を指定する。この指定がされると、表示制御部25は、図29(b)に示した判定結果メッセージデータテーブル63を参照し、図30(a)に示すように、高い異常度が検知されたアラート定義の、検知日、アラート定義名、及び、メッセージのアラート一覧を含む分析ジョブ画面を、出力装置7を介して表示する。
(Confirmation of the judgment result)
Next, when the anomaly determination results are generated by executing the alert definition as described above, the operation checker confirms them and updates the comment. When confirming the anomaly determination results and updating the comment, the operation checker specifies display of the analysis job screen via the input device 6. When this specification is made, the display control unit 25 refers to the determination result message data table 63 shown in FIG. 29( b) and displays, via the output device 7, an analysis job screen including a list of alerts, including the detection date, alert definition name, and message, for alert definitions for which a high degree of anomaly has been detected, as shown in FIG. 30( a).
業務チェック担当者は、このアラート一覧のメッセージ等を一件毎に確認し、コメントの作成を指定する。コメントの作成が指定されると、表示制御部25は、図30(b)に示す対応ステータス・コメント入力画面を、出力装置7に表示する。業務チェック担当者は、このステータス・コメント入力画面に対して、例えば「未対応」、「対応中」又は「対応済み」のうち、いずれかの対応ステータスを入力すると共に、例えば「担当者に確認中」等の所望のコメントを入力して、登録ボタンを操作する。 The person in charge of checking the operations checks each message in the alert list and specifies whether to create a comment. When the person in charge of checking whether to create a comment is specified, the display control unit 25 displays the response status/comment input screen shown in Figure 30 (b) on the output device 7. The person in charge of checking the operations inputs a response status, such as "Not yet addressed," "In progress," or "Addressed," as well as a desired comment, such as "Currently checking with the person in charge," and operates the registration button.
このステータス・コメント入力画面の登録ボタンが操作されると、実行結果生成部23は、図31(a)に示すように、出来高予測アラート結果テーブル61の判定結果ステータスを、ステータス・コメント入力画面に入力された対応ステータスに基づいて、例えば「対応中」に更新する。また、実行結果生成部23は、図31(b)に示すように、判定結果コメントテーブル64の対応ステータスを、ステータス・コメント入力画面に入力された対応ステータスに基づいて、例えば「対応中」に更新する。また、実行結果生成部23は、図31(b)に示すように、判定結果コメントテーブル64の対応ステータスを、ステータス・コメント入力画面に入力されたコメントに基づいて、例えば「担当者に確認中」に更新する。 When the registration button on this status/comment input screen is operated, the execution result generation unit 23 updates the judgment result status in the production volume forecast alert result table 61 to, for example, "in progress" based on the response status entered on the status/comment input screen, as shown in FIG. 31(a). The execution result generation unit 23 also updates the response status in the judgment result comment table 64 to, for example, "in progress" based on the response status entered on the status/comment input screen, as shown in FIG. 31(b). The execution result generation unit 23 also updates the response status in the judgment result comment table 64 to, for example, "checking with the person in charge" based on the comment entered on the status/comment input screen, as shown in FIG. 31(b).
(運用状況の可視化)
次に、このようなアラート定義の実行による業務データの異常の判定結果に対応する対応ステータス及びコメントは、以下に説明するアラートAI運用状況確認画面に表示される。このアラートAI運用状況確認画面は、運用状況に関連するデータが分かりやすく可視化されている。内部統制管理者等の責任者は、このアラートAI運用状況確認画面を定期的に確認することで、異常検知のアラート定義の運用状況の把握が可能となっている。このアラートAI運用状況確認画面は、アラート定義の運用状況に問題がある場合に気付き易い構成となっており、問題がある場合は内部統制管理者等の責任者が担当者に状況確認、是正を行う。これにより、異常検知装置1を適切に運用可能とすることができる。
(Visualization of operational status)
Next, the response status and comments corresponding to the results of determining an anomaly in business data by executing such an alert definition are displayed on the alert AI operation status confirmation screen described below. This alert AI operation status confirmation screen clearly visualizes data related to the operation status. By periodically checking this alert AI operation status confirmation screen, a responsible person such as an internal control manager can grasp the operation status of the anomaly detection alert definition. This alert AI operation status confirmation screen is configured to make it easy to notice any problems with the operation status of the alert definition, and if there is a problem, a responsible person such as an internal control manager can check the situation with the person in charge and correct the problem. This enables the anomaly detection device 1 to be operated appropriately.
すなわち、図32は、アラートAI運用状況確認画面の一例を示す図である。表示制御部25は、責任者等により指定されたタイミングで、異常検知プログラムに基づいて、このアラートAI運用状況確認画面を、出力装置7を介して表示する。図32に示すように、アラートAI運用状況確認画面は、フィルタ部、メッセージ部及び詳細表示部の各表示領域を備えている。 That is, Figure 32 is a diagram showing an example of the alert AI operation status confirmation screen. The display control unit 25 displays this alert AI operation status confirmation screen via the output device 7 based on the anomaly detection program at a timing specified by a person in charge, etc. As shown in Figure 32, the alert AI operation status confirmation screen has display areas for a filter section, a message section, and a details display section.
フィルタ部は、図33に示すように出力期間の入力欄、定義コードの入力欄、及び、表示ボタン等を備えている。出力期間及び出力対象の定義コードを選択することで、メッセージ部及び詳細表示部に表示するデータの絞り込みを行うことができる。なお、出力期間及び定義コードが指定されない場合、表示制御部25は、存在する全てのデータが出力対象として抽出して表示する。また、表示制御部25は、「起動日の直近1年間」の出力期間、及び、「指定なし」の定義コードを、初期表示としてフィルタ部に表示する。 As shown in Figure 33, the filter section includes an input field for the output period, an input field for the definition code, and a display button. By selecting the output period and the definition code for the output target, it is possible to narrow down the data displayed in the message section and the detailed display section. If the output period and definition code are not specified, the display control unit 25 will extract and display all existing data as the output target. The display control unit 25 will also initially display the output period of "the past year from the start date" and the definition code of "no specification" in the filter section.
次に表示制御部25は、図34に示すように、メッセージ部に対して、運用上の確認を要する項目に対するメッセージを表示する。また、下記に、さらなる具体例を示す。 Next, the display control unit 25 displays a message in the message section for items that require operational confirmation, as shown in Figure 34. Further specific examples are provided below.
1.実行状況に関するメッセージ
例えば「実行エラーが2回発生しています。実行状況を確認してください。」とのメッセージが、異常値判定実行中にエラーが発生している場合に表示される。
本来実行されるべき異常判定が実行されていない可能性があるため、責任者は、実行状況のグラフを見て、どの定義でどのようなエラーが発生しているかを確認する。
1. Messages related to the execution status For example, a message such as "Two execution errors have occurred. Please check the execution status" is displayed if an error occurs during abnormal value determination.
Since there is a possibility that abnormality determination that should have been performed has not been performed, the person in charge checks the execution status graph to see what kind of error has occurred in which definition.
2.検知状況に関するメッセージ(1)
例えば「検知された件数が0件でした。検知状況・定義内容を確認してください。」とのメッセージが、異常値判定実行時に異常と判定された件数が0件の場合に表示される。
一定量の異常検知が想定されるが、全く検知されておらず、判定が適切でない可能性があるため、想定する判定結果が得られる設定になっているか、アラート定義を確認する。
2. Messages regarding detection status (1)
For example, the message "The number of detected items was 0. Please check the detection status and definition contents." is displayed if the number of items determined to be abnormal when abnormal value determination is performed is 0.
Although a certain amount of anomaly detection is expected, if none are detected at all, the judgment may be inappropriate. Therefore, check the alert definition to ensure that the expected judgment result is obtained.
3.検知状況に関するメッセージ(2)
例えば「検知された件数が全体の30%を超えています。検知状況及び定義内容を確認してください。」とのメッセージが、異常値判定実行時に異常と判定された件数が全体の30%を超えている場合に表示される。
検知件数が多くなりすぎて対応しきれていない、また、無駄なものが検知されている等の可能性があるため、責任者は、検知状況のグラフを見て、どのアラート定義で、どれほどの件数が検知されているのかを確認する。
3. Messages regarding detection status (2)
For example, the message "The number of detected cases exceeds 30% of the total. Please check the detection status and definition contents" is displayed if the number of cases determined to be abnormal when abnormal value determination is performed exceeds 30% of the total.
There is a possibility that the number of detections has become too great to handle, or that unnecessary detections are being made, so the person in charge looks at the detection status graph to see how many cases have been detected by which alert definition.
4.対応状況に関するメッセージ
例えば「未対応となっている検知が3件あります。対応状況を確認してください。」とのメッセージが、異常値判定実行後に検知された異常値判定結果への対応状況が変更されていない案件がある場合に表示される。
異常と検知されているのに、長期間対応がされずに放置されていることが懸念されるため、責任者は、対応状況のグラフを見て、対応状況が更新されていないアラート定義を確認する。
4. Messages regarding response status For example, a message such as "There are three detections that have not been addressed. Please check the response status" will be displayed if there are any cases in which the response status to the abnormal value detection results detected after the abnormal value detection was performed has not been changed.
There is concern that abnormalities have been detected but left unaddressed for a long period of time, so the person in charge looks at the response status graph and checks for alert definitions whose response status has not been updated.
5.アラート定義変更履歴に関するメッセージ
例えば「アラート定義が2回変更されています。変更内容が想定した内容とあっているかを確認してください。」とのメッセージが、アラート定義が変更されている履歴が存在する場合に表示される。
アラート定義に本来想定されていない変更がされており、正しい判定ができなくなっていることが懸念されるため、責任者は、アラート定義変更履歴の表を見て、変更内容及び変更ユーザを確認する。
5. Messages regarding the alert definition change history For example, a message such as "The alert definition has been changed twice. Please check that the changes match your expectations" will be displayed if there is a history of changes to the alert definition.
There is concern that unexpected changes have been made to the alert definition, making it impossible to make correct judgments, so the person in charge looks at the table of alert definition change history to confirm the changes and the user who made them.
6.アラートセキュリティ変更履歴に関するメッセージ
例えば「アラートAIのセキュリティ設定が2回変更されています。変更内容が想定した内容とあっているかを確認してください。」とのメッセージが、アラートセキュリティが変更されている履歴が存在する場合に表示される。
アラート定義に対して想定されていない変更がされており、データ閲覧セキュリティ権限を持っていないユーザに対して、セキュリティ権限が付与されている可能性があるため、責任者は、アラートセキュリティ変更履歴の表を見て、変更内容又はアラート定義を変更したユーザを確認する。
6. Messages regarding alert security change history For example, a message such as "Alert AI security settings have been changed twice. Please check that the changes match your expectations" will be displayed if there is a history of alert security changes.
Since unexpected changes have been made to the alert definition and security privileges may have been granted to a user who does not have security privileges to view data, the person in charge checks the alert security change history table to confirm the changes or the user who changed the alert definition.
(メッセージに応じた状況の確認)
次に、このようなメッセージを見た責任者は、メッセージで指定されている確認画面を表示してアラート定義の実行状況等を確認する。表示制御部25は、アラートAI運用状況確認画面の詳細表示部に対して、指定された確認画面を表示する。
(Check the status according to the message)
Next, the person in charge who sees such a message displays the confirmation screen specified in the message and checks the execution status of the alert definition, etc. The display control unit 25 displays the specified confirmation screen in the details display section of the alert AI operation status confirmation screen.
(実行状況の確認画面の表示)
まず、上述の「1.実行状況に関するメッセージ」に基づいて、実行状況の確認画面の表示が指定されると、表示制御部25は、アラート実行履歴明細テーブル12を参照して、図35(a)に示すように、状況別(正常終了及びエラー)の個数(回数)を集計する。そして、表示制御部25は、この集計結果に基づいて、図36に示す円グラフを表示する。
(Displays the execution status confirmation screen)
First, when the display of the execution status confirmation screen is designated based on the above-mentioned "1. Messages related to execution status," the display control unit 25 refers to the alert execution history detail table 12 and tallies the number (number of times) by status (successful completion and error) as shown in Fig. 35(a). Then, based on the tallied results, the display control unit 25 displays the pie chart shown in Fig. 36.
また、表示制御部25は、アラート実行履歴明細テーブル12を参照して、図35(b)に示すように、月別、及び、状況別の個数を集計する。そして、表示制御部25は、この集計結果に基づいて、図36に示す積み上げ棒グラフを表示する。 The display control unit 25 also refers to the alert execution history detail table 12 and tallies the number of alerts by month and by status, as shown in FIG. 35(b). Then, the display control unit 25 displays the stacked bar graph shown in FIG. 36 based on the tallied results.
さらに、表示制御部25は、アラート実行履歴明細テーブル12を参照して、図35(c)に示すように、各アラート定義の最終更新日時、及び、最終更新状況(エラー又は正常終了)を集計する。また、表示制御部25は、アラート実行履歴明細テーブル12を参照して、図35(d)に示すように、各アラート定義の正常終了回数及びエラー終了回数を集計する。そして、表示制御部25は、各アラート定義の最終更新日時、最終更新状況(エラー又は正常終了)、正常終了回数及びエラー終了回数を、図36に示すように表示する。 Furthermore, the display control unit 25 refers to the alert execution history detail table 12 and tally up the last update date and time and the last update status (error or successful completion) of each alert definition, as shown in FIG. 35(c). The display control unit 25 also refers to the alert execution history detail table 12 and tally up the number of successful completions and the number of error completions for each alert definition, as shown in FIG. 35(d). The display control unit 25 then displays the last update date and time, last update status (error or successful completion), the number of successful completions, and the number of error completions for each alert definition, as shown in FIG. 36.
この図36に示す実行状況の確認画面により、責任者は、下記の考察を行う。 Based on the execution status confirmation screen shown in Figure 36, the person in charge should consider the following:
<想定する確認内容>
異常値判定の実行がスケジュール通りに正常に実施されているか。
<考えられる状況>
異常値判定が実施されておらず、対象が検知できていない。
<確認イメージ>
定期的にアラート定義が実行されているか→途中で実行されていないタイミングがある場合、想定のタイミングで実行されていない可能性がある。
最新更新日付が正しいか(実行されていない場合、想定より過去の日付となっている)→実行されていない場合、アラート定義の確認(定義を確認するボタンから設定画面に遷移可能)
エラーが発生していないか(エラー終了回数が増えている)→エラー発生の場合、ログビューアからどのようなエラーかを特定し対処する。
<Expected confirmation contents>
Is the abnormal value detection being carried out normally as scheduled?
<Possible situations>
Abnormal value detection is not performed, and the target cannot be detected.
<Confirmation image>
Are the alert definitions executed periodically? If there are periods when they are not executed, it is possible that they are not executed at the expected time.
Is the latest update date correct? (If it has not been executed, it will be earlier than expected.) If it has not been executed, check the alert definition (you can go to the setting screen by clicking the button to check the definition).
Check whether any errors have occurred (the number of error terminations is increasing) → If an error has occurred, identify the type of error from the log viewer and take action.
図36は、各アラート定義により異常検知が正常に運用されている場合の実行状況の確認画面を示している。これに対して、図37は、各アラート定義により異常検知が正常に運用されていない場合の実行状況の確認画面を示している。図37(a)の例は、エラーが多く発生している例であり、図37(b)は、異常検知の実行がされていない期間が存在する例である。 Figure 36 shows the execution status confirmation screen when anomaly detection is operating normally using each alert definition. In contrast, Figure 37 shows the execution status confirmation screen when anomaly detection is not operating normally using each alert definition. The example in Figure 37(a) is an example where many errors have occurred, and Figure 37(b) is an example where there is a period where anomaly detection is not being performed.
(検知状況の確認画面の表示)
次に、上述の「2.検知状況に関するメッセージ(1)」に基づいて、検知状況の確認画面の表示が指定されると、表示制御部25は、アラート実行履歴明細テーブル12を参照して、図38(a)及び図38(c)に示すように、アラート定義別の最終更新レコードの異常割合を集計する。また、表示制御部25は、アラート実行履歴明細テーブル12を参照して、図38(b)に示すように、アラート定義別かつ実行別の異常割合を集計する。
(Displays the detection status confirmation screen)
Next, when the display of a confirmation screen for the detection status is specified based on the above-mentioned "2. Message (1) Regarding the Detection Status," the display control unit 25 refers to the alert execution history detail table 12 and tallies the abnormality rates of the last updated records by alert definition, as shown in Figures 38(a) and 38(c). In addition, the display control unit 25 refers to the alert execution history detail table 12 and tallies the abnormality rates by alert definition and execution, as shown in Figure 38(b).
また、上述の「3.検知状況に関するメッセージ(2)」に基づいて、検知状況の確認画面の表示が指定されると、表示制御部25は、図3に示したアラート定義テーブル51を参照し、図42(a)に示すように各アラート定義の定義コード、及び、各アラート定義の「結果テーブル名」を取得する。 Furthermore, when the display of the detection status confirmation screen is specified based on the above-mentioned "3. Message Regarding Detection Status (2)," the display control unit 25 references the alert definition table 51 shown in FIG. 3 and acquires the definition code of each alert definition and the "result table name" of each alert definition, as shown in FIG. 42(a).
また、表示制御部25は、図42(b)に示すように、アラート実行履歴明細テーブル12から更新日付に対応する実行履歴明細IDを取得して、例えば図42(c)に示す出来高予測アラート結果テーブル61、及び(又は)、図42(d)に示す見做し原価アラート結果テーブル62等と結合する。 In addition, as shown in Figure 42 (b), the display control unit 25 obtains the execution history detail ID corresponding to the update date from the alert execution history detail table 12 and combines it with, for example, the production volume forecast alert result table 61 shown in Figure 42 (c) and/or the assumed cost alert result table 62 shown in Figure 42 (d).
次に、表示制御部25は、取得した結果テーブル名に対応する、例えば図8に示す出来高予測アラート結果テーブル61及び図9に示す見做し原価アラート結果テーブル62から、判定結果が「1:異常」となっているレコードの実行履歴明細ID、行番号及び判定結果ステータスを取得する(図42(c)及び図42(d))。 Next, the display control unit 25 acquires the execution history detail ID, line number, and judgment result status of the record for which the judgment result is "1: Abnormal" from the acquired result table name, for example, the output forecast alert result table 61 shown in FIG. 8 and the assumed cost alert result table 62 shown in FIG. 9 (FIGS. 42(c) and 42(d)).
次に、表示制御部25は、図42(b)に示したように、結果テーブル名と実行履歴明細IDとの結合結果、図42(e)に示す判定結果メッセージデータテーブル63、及び、図43(a)に示す判定結果コメントテーブル64を、実行履歴明細ID及び行番号で結合する。また、表示制御部25は、判定結果メッセージデータテーブル63からメッセージを取得すると共に、判定結果コメントテーブル64に「行」が存在する場合、実行履歴明細ID及び行番号毎の更新日付のうち、最新の日付を最終更新日付として取得する。判定結果コメントテーブル64に「行」が存在しない場合、アラート実行履歴明細テーブル12の更新日付を最終更新日付として取得する。そして、このような集計結果に基づいて、図43(b)に例示する全体集計結果を生成する。 Next, as shown in FIG. 42(b), the display control unit 25 combines the result of combining the result table name and execution history detail ID, the judgment result message data table 63 shown in FIG. 42(e), and the judgment result comment table 64 shown in FIG. 43(a) using the execution history detail ID and row number. The display control unit 25 also acquires messages from the judgment result message data table 63, and if a "row" exists in the judgment result comment table 64, acquires the most recent update date for each execution history detail ID and row number as the last update date. If a "row" does not exist in the judgment result comment table 64, acquires the update date of the alert execution history detail table 12 as the last update date. Based on these aggregation results, the display control unit 25 generates the overall aggregation result shown in FIG. 43(b).
表示制御部25は、この集計結果に基づいて、図40に示す実行明細(定義別検知結果明細)を表示する。この図40の実行明細のうち、「正常数」は、定義別の異常値判定対象となったデータのうち正常範囲と判定されたデータ件数である。「異常数」は、定義別の異常値判定対象となったデータのうち異常と判定されたデータ件数である。「異常割合」は、「異常検知数/(正常数+異常検知数)」の演算式で算出される割合である。「最大異常割合」は、実行毎に計算した異常割合の定義別最大値である。「最小異常割合」は、実行毎に計算した異常割合の定義別最小値である。 The display control unit 25 displays the execution details (detection result details by definition) shown in Figure 40 based on the aggregation results. In the execution details in Figure 40, "Number of normals" is the number of data items that were determined to be within the normal range out of the data items that were subject to abnormal value judgment by definition. "Number of abnormalities" is the number of data items that were determined to be abnormal out of the data items that were subject to abnormal value judgment by definition. "Abnormality rate" is the rate calculated using the formula "Number of abnormalities detected / (Number of normals + Number of abnormalities detected)". "Maximum abnormality rate" is the maximum value of the abnormality rate by definition calculated for each execution. "Minimum abnormality rate" is the minimum value of the abnormality rate by definition calculated for each execution.
また、表示制御部25は、図33に示した出力期間に対応するデータのうち、図42の実行明細で選択されたアラート定義のデータ(見做し原価アラートが選択されたものとする)を、図39に示すようにアラート実行履歴明細テーブル12から抽出する。そして、この抽出結果に基づいて、図40に示すように、異常検知の実行日毎の正常と判定されたデータ数と異常と判定されたデータ数の積み上げ棒グラフを表示する(実行日別結果状況)。 The display control unit 25 also extracts the alert definition data selected in the execution details of FIG. 42 (assuming the assumed cost alert was selected) from the alert execution history details table 12, as shown in FIG. 39, from the data corresponding to the output period shown in FIG. 33. Then, based on the results of this extraction, a stacked bar graph of the number of data items determined to be normal and the number of data items determined to be abnormal for each execution date of anomaly detection is displayed, as shown in FIG. 40 (result status by execution date).
この図40に示す検知状況の確認画面により、責任者は、下記の考察を行う。 Based on the detection status confirmation screen shown in Figure 40, the person in charge will consider the following:
<想定する確認内容>
検知すべきデータが正しく検知されているか。
<考えられる状況>
異常値判定で検知されすぎている。すなわち、無駄なものまで検知されており、システムの有効性が低下している。
異常値判定で全く検知されていない。すなわち、検知されるべきものが検知されておらず、システムの有効性が低下している。
<確認イメージ>
異常数が全体的に多過ぎか→多過ぎる場合、後述する対応状況を確認する(4.対応状況に関するメッセージ)
異常数が極端に小さくなっている期間がないか→急に検知されなくなっている場合、後述するアラート定義変更履歴で、アラート定義が変更されていないかを確認する(5.アラート定義変更履歴に関するメッセージ)
<Expected confirmation content>
Is the data that should be detected being detected correctly?
<Possible situations>
The outlier detection is over-detecting, meaning unnecessary things are being detected, reducing the effectiveness of the system.
The outlier detection is not detecting anything at all, i.e., things that should be detected are not being detected, reducing the effectiveness of the system.
<Confirmation image>
Is the overall number of abnormalities too high? → If so, check the response status described below (4. Messages regarding response status)
Is there a period when the number of anomalies has become extremely small? If they suddenly become undetectable, check the alert definition change history (described below) to see if the alert definition has been changed (5. Messages related to the alert definition change history)
図40に示す検知状況の確認画面は、異常割合が高過ぎず、異常検知の実行毎の異常数の上限が少ない。このため、正常な運用がされていることが分かる。これに対して、図41(a)~図41(c)は、正常な運用がされていない例である。すなわち、図41(a)及び図41(b)の例は、異常となる割合が高く、また、明細で常時、異常割合が高い。このため、正常な運用がされていないことが分かる。また、図41(c)の例は、異常割合は正常であるが、最大異常割合が高く、最小異常割合が低い。そして、グラフを見た場合、異常となる結果が急激に減っている。このため、正常な運用がされていないことが分かる。 The detection status confirmation screen shown in Figure 40 shows that the anomaly rate is not too high and the upper limit on the number of anomalies per anomaly detection run is low. This indicates that normal operation is being carried out. In contrast, Figures 41(a) to 41(c) are examples of abnormal operation. That is, the examples in Figures 41(a) and 41(b) have a high anomaly rate, and the abnormality rate is always high in the details. This indicates that normal operation is not being carried out. Furthermore, the example in Figure 41(c) has a normal anomaly rate, but the maximum anomaly rate is high and the minimum anomaly rate is low. Looking at the graph, we can see that the number of abnormal results drops sharply. This indicates that normal operation is not being carried out.
(対応状況の確認画面の表示)
次に、上述の「4.対応状況に関するメッセージ」に基づいて、アラートに対する対応状況の確認画面の表示が指定されると、表示制御部25は、図44(a)に示すアラート定義テーブル51を参照し、各アラート定義の定義コード、及び、結果テーブル名を取得する。
(Display of confirmation screen for response status)
Next, when a request to display a confirmation screen for the response status to an alert is made based on the above-mentioned "4. Messages regarding the response status," the display control unit 25 refers to the alert definition table 51 shown in FIG. 44( a) and acquires the definition code and result table name of each alert definition.
また、表示制御部25は、図44(b)に示すように、アラート実行履歴明細テーブル12から更新日付に対応する実行履歴明細IDを取得して、例えば図44(c)に示す出来高予測アラート結果テーブル61、及び(又は)、図44(d)に示す見做し原価アラート結果テーブル62等と結合する。 In addition, as shown in Figure 44(b), the display control unit 25 obtains the execution history detail ID corresponding to the update date from the alert execution history detail table 12 and combines it with, for example, the production volume forecast alert result table 61 shown in Figure 44(c) and/or the assumed cost alert result table 62 shown in Figure 44(d).
また、表示制御部25は、例えば図8に示す出来高予測アラート結果テーブル61及び図9に示す見做し原価アラート結果テーブル62から、図44(c)及び図44(d)に示すように、判定結果が「1:異常」となっているレコードを検出する。 The display control unit 25 also detects records for which the judgment result is "1: Abnormal," as shown in Figures 44(c) and 44(d), for example, from the production volume forecast alert result table 61 shown in Figure 8 and the assumed cost alert result table 62 shown in Figure 9.
また、表示制御部25は、図8に示す出来高予測アラート結果テーブル61及び図9に示す見做し原価アラート結果テーブル62において、「1:異常」の判定結果に対応する対応状況を示すステータス(未対応、対応中及び対応済み)の数を、図44(e)及び図44(f)に示すように、ステータス毎に集計する。 In addition, the display control unit 25 counts the number of statuses (not yet addressed, being addressed, and addressed) indicating the response status corresponding to the judgment result of "1: Abnormal" in the output forecast alert result table 61 shown in FIG. 8 and the assumed cost alert result table 62 shown in FIG. 9, for each status, as shown in FIG. 44(e) and FIG. 44(f).
表示制御部25は、このように各ステータスの集計を行うと、図44(g)に示すように、各アラート結果テーブル61、62の各ステータスの数同士を加算する。そして、表示制御部25は、この加算結果に基づいて、図46の「対応状況のグラフ」に示すように、「1:異常」と判定されたアラートに対するステータス毎の対応状況の割合を示すグラフを表示する。 After tallying up each status in this way, the display control unit 25 adds up the numbers for each status in each alert result table 61, 62, as shown in Figure 44 (g). Then, based on the result of this addition, the display control unit 25 displays a graph showing the proportion of response statuses for each status for alerts determined to be "1: Abnormal," as shown in the "Response Status Graph" in Figure 46.
また、「月別対応状況」の場合も同様であり、表示制御部25は、図45(a)に示すアラート定義テーブル51を参照し、各アラート定義の定義コード、及び、結果テーブル名を取得する。 The same applies to the "Monthly Response Status" display; the display control unit 25 references the alert definition table 51 shown in FIG. 45(a) and obtains the definition code and result table name for each alert definition.
また、表示制御部25は、図45(b)に示すように、アラート実行履歴明細テーブル12から更新日付に対応する実行履歴明細IDを取得して、例えば図45(c)に示す出来高予測アラート結果テーブル61、及び(又は)、図45(d)に示す見做し原価アラート結果テーブル62等と結合する。 In addition, as shown in Figure 45(b), the display control unit 25 obtains the execution history detail ID corresponding to the update date from the alert execution history detail table 12 and combines it with, for example, the production volume forecast alert result table 61 shown in Figure 45(c) and/or the assumed cost alert result table 62 shown in Figure 45(d).
また、表示制御部25は、例えば図8に示す出来高予測アラート結果テーブル61及び図9に示す見做し原価アラート結果テーブル62から、図45(c)及び図45(d)に示すように、判定結果が「1:異常」となっているレコードを検出する。 The display control unit 25 also detects records for which the judgment result is "1: Abnormal," as shown in Figures 45(c) and 45(d), for example, from the production volume forecast alert result table 61 shown in Figure 8 and the assumed cost alert result table 62 shown in Figure 9.
また、表示制御部25は、図8に示す出来高予測アラート結果テーブル61及び図9に示す見做し原価アラート結果テーブル62において、「1:異常」の判定結果に対応する対応状況を示すステータス(未対応、対応中及び対応済み)の数を、図45(e)及び図45(f)に示すように、ステータス毎及び月毎に集計する。 In addition, the display control unit 25 tally up the number of statuses (not yet addressed, being addressed, and addressed) indicating the response status corresponding to the judgment result of "1: Abnormal" in the output forecast alert result table 61 shown in FIG. 8 and the assumed cost alert result table 62 shown in FIG. 9, by status and month, as shown in FIG. 45(e) and FIG. 45(f).
表示制御部25は、このように月毎の各ステータスの集計を行うと、図45(g)に示すように、各アラート結果テーブル61、62の月毎の各ステータスの数を加算する。そして、表示制御部25は、この加算結果に基づいて、図46の「月別対応状況」の棒グラフに示すように、「1:異常」と判定された各アラートの月別の対応状況を示す棒グラフを表示する。 After tallying up each status for each month in this way, the display control unit 25 adds up the number of each status for each month in each alert result table 61, 62, as shown in Figure 45 (g). Then, based on the result of this addition, the display control unit 25 displays a bar graph showing the monthly response status for each alert determined to be "1: Abnormal," as shown in the "Monthly Response Status" bar graph in Figure 46.
図46は、過去のステータスが対応済みになっており、また、直近の案件(12月のアラート)に対して「対応中」又は「未対応」のステータスが存在する。これにより、図46のグラフに基づいて、各アラートに対して正常な対応がされていることが分かる。 In Figure 46, past statuses are marked as "resolved," and the most recent cases (December alerts) have a status of "in progress" or "not resolved." Based on the graph in Figure 46, this shows that each alert has been properly addressed.
これに対して、図47(a)のグラフからは、過去(4月)のアラートに対する「未対応」が存在することが分かる。また、図47(b)のグラフから、最近(10月~12月)のアラートに対しては、アラートの数が多くなり、「対応中」及び「未対応」が増えている。このような場合、各アラートに対して正常な対応がされていないことが分かる。 In contrast, the graph in Figure 47(a) shows that there are "unaddressed" alerts from the past (April). Furthermore, the graph in Figure 47(b) shows that there are a large number of recent alerts (October to December), and that the number of "addressed" and "unaddressed" alerts is also increasing. In such cases, it can be seen that the alerts are not being properly addressed.
この図47に示すアラートに対する対応状況の確認画面により、責任者は、下記の考察を行う。 Based on the alert response status confirmation screen shown in Figure 47, the person in charge will consider the following:
<想定する確認内容>
検知された内容に対して正しい処置がとられているか。
<考えられる状況>
判定情報が未対応のまま放置されている→異常な状況が忘れられており、対処されていないか、または、故意に対処されていない。或いは、検知数が多すぎて、対処が間に合っていない。
<確認イメージ>
月別対応状況で、過去の案件が対応済み以外のステータスになっていないか(グラフは実行月毎に表示されているため、滞留している場合過去の月部分に凡例:未対応や対応中が存在する形で見える)。グラフ上、過去案件が未対応や対応中で残っている場合、未対応部分のグラフをクリック操作して明細を絞り、この分析画面を開いてコメントを確認する。そして、担当者を特定し、対応状況の詳細を確認する。
<Expected confirmation contents>
Are corrective actions being taken in response to detected issues?
<Possible situations>
The judgment information is left unaddressed → The abnormal situation is forgotten and not addressed, or it is not addressed intentionally. Or, there are too many detections and it is not possible to address them in time.
<Confirmation image>
Check the monthly response status to see if any past cases have a status other than "resolved" (because the graph is displayed for each execution month, if there are any cases that are backlogged, the legend for past months will show "Not resolved" or "In progress"). If past cases remain in the graph as "Not resolved" or "In progress," click on the graph for the "Not resolved" section to narrow down the details, open this analysis screen, and check the comments. Then, identify the person in charge and check the details of the response status.
(アラート定義変更履歴の確認画面の表示)
次に、上述の「5.アラート定義変更履歴に関するメッセージ」に基づいて、アラート定義の変更履歴の確認画面の表示が指定されると、表示制御部25は、図48(a)に示すアラート定義世代管理テーブル71を参照し、図48(b)に示すように、各アラート定義の変更ユーザ名、状況(変更の完了又は削除)及び変更内容等を示す変更内容データを生成する。なお、図48(b)の変更内容データにおいて、「変更内容」の「新規」は、シーケンス(SEQ)の「1(初めに更新されたもの)」に相当し、一番古いアラート定義であることを示す。また、「変更内容」の「修正」は、そのアラート定義が修正されたことを示す。
(Displays the alert definition change history confirmation screen)
Next, when the display of a confirmation screen for the change history of alert definitions is specified based on the above-mentioned "5. Messages Regarding Alert Definition Change History," the display control unit 25 references the alert definition generation management table 71 shown in FIG. 48(a) and generates change content data indicating the change user name, status (change completion or deletion), and change content of each alert definition, as shown in FIG. 48(b). In the change content data in FIG. 48(b), "New" in "Change Content" corresponds to "1 (first updated)" in the sequence (SEQ) and indicates the oldest alert definition. In addition, "Modified" in "Change Content" indicates that the alert definition has been modified.
次に、表示制御部25は、変更内容データに、図3に示したアラート定義テーブル51から取得した各アラート定義の結果テーブル名を「定義名」として付加し、図49(a)に示す結合データを生成する。 Next, the display control unit 25 adds the result table name of each alert definition obtained from the alert definition table 51 shown in Figure 3 as a "definition name" to the change content data, and generates the combined data shown in Figure 49 (a).
次に、表示制御部25は、図32に示したアラートAI運用状況確認画面のフィルタ部で指定されたアラート定義の定義コードに相当するレコードを、図49(b)に示すように結合データから抽出する。この図49(b)の例は、アラートAI運用状況確認画面のフィルタ部で出来高予測アラートのアラート定義が指定されたため、この出来高予測アラートの「D0001」の定義IDのレコードが結合データから抽出された例である。 Next, the display control unit 25 extracts from the combined data, as shown in Figure 49(b), records corresponding to the definition code of the alert definition specified in the filter section of the alert AI operation status confirmation screen shown in Figure 32. In the example of Figure 49(b), an alert definition for a production volume forecast alert was specified in the filter section of the alert AI operation status confirmation screen, so a record with a definition ID of "D0001" for this production volume forecast alert is extracted from the combined data.
また、図49(b)の例は、出来高予測アラートのアラート定義は「2022年10月10日」に新規で設定され、「2022年12月15日」に修正されたことを示している。このため、「2022年10月10日」に設定された出来高予測アラートのアラート定義は、古い世代の定義であり(FALSE)、「2022年12月15日」に修正された出来高予測アラートのアラート定義は、最新の世代の定義となっている(TRUE)。また、変更回数は「1回」となっている。 The example in Figure 49 (b) also shows that the alert definition for the production volume forecast alert was newly set on "October 10, 2022" and then revised on "December 15, 2022." Therefore, the alert definition for the production volume forecast alert set on "October 10, 2022" is an older generation definition (FALSE), while the alert definition for the production volume forecast alert revised on "December 15, 2022" is the latest generation definition (TRUE). The number of changes is also "1 time."
また、表示制御部25は、図15に示したアラート定義履歴テーブル72を参照し、修正前後の出来高予測アラートのアラート定義を比較し、図49(c)及び図49(d)に示すように、修正前後の出来高予測アラートのアラート定義における、変更箇所、列名、アルゴリズム、及び、定義等を検出する。そして、表示制御部25は、図50に示すように、アラート定義の変更回数、変更履歴、及び、変更詳細を表示する。 The display control unit 25 also references the alert definition history table 72 shown in FIG. 15, compares the alert definition of the production volume forecast alert before and after the correction, and detects the changed parts, column names, algorithms, definitions, etc. in the alert definition of the production volume forecast alert before and after the correction, as shown in FIG. 49(c) and FIG. 49(d). Then, the display control unit 25 displays the number of changes to the alert definition, the change history, and change details, as shown in FIG. 50.
図50の例は、変更回数は「1回」で、「2022年12月15日」にアラート定義が修正されたことを示している。また、図50の例は、この修正による変更箇所は、「アルゴリズム」であり、有意水準が「0.025」から「0.05」に修正されたことを示している。この図50の例の場合、アラート定義の変更回数は「1回」と少ない。また、有意水準の変更内容も、正常範囲の変更内容となっている。このため、アラート定義による異常検知は正常に運用されていることが分かる。 The example in Figure 50 shows that the number of changes was "1", and that the alert definition was revised on "December 15, 2022". The example in Figure 50 also shows that the change made to the "algorithm" was to change the significance level from "0.025" to "0.05". In the example in Figure 50, the number of changes to the alert definition was only "1". The change to the significance level was also within the normal range. This shows that anomaly detection using the alert definition is operating normally.
これに対して、図51の例は、アラート定義の変更回数が「30回」と極端に多く、また、アルゴリズムの有意水準の変更後の値が削除(値が「0」)されている。これは、不正を検知されにくくする行為であり、アラート定義による異常検知が正常に運用されていないことが分かる。 In contrast, in the example in Figure 51, the alert definition has been changed an extremely large number of times, at 30 times, and the value of the algorithm's significance level after the change has been deleted (set to 0). This is an act that makes it difficult to detect fraud, and shows that anomaly detection using alert definitions is not working properly.
この図50及び図51に示すアラート定義の変更履歴の確認画面により、責任者は、下記の考察を行う。 The person in charge will consider the following based on the alert definition change history confirmation screens shown in Figures 50 and 51.
<想定する確認内容>
異常値判定定義に対して不正な変更等がされていないか。
<考えられる状況>
アラート定義が不正に変更されている→アラート定義の管理者が設定を間違えた、又は、本来検知されるべきであるが、検知困難なように故意に定義の変更を加えている。
<確認イメージ>
変更履歴として、想定内の変更であるか否かを確認→本来、運用が変更されない時期に重要な変更がされている。または、想定外の変更、或いは、不正と思われる内容の変更がされている。この場合、管理者に状況を確認する。
<Expected confirmation contents>
Have any unauthorized changes been made to the abnormal value determination definition?
<Possible situations>
The alert definition has been illegally changed -> The administrator of the alert definition has made a mistake in the settings, or the definition has been intentionally changed to make it difficult to detect something that should have been detected.
<Confirmation image>
Check the change history to see if the changes were within the expected range. → Important changes have been made at a time when operations should not have changed. Or, unexpected changes or changes that appear to be fraudulent have been made. In this case, check the situation with the administrator.
(アラートAIセキュリティ定義変更履歴の確認画面の表示)
次に、上述の「6.アラートセキュリティ変更履歴に関するメッセージ」に基づいて、アラートAIセキュリティ定義の変更履歴の確認画面の表示が指定されると、表示制御部25は、図17に示したアラート定義セキュリティ世代管理テーブル85を参照し、図32に示したアラートAI運用状況確認画面のフィルタ部で指定されたアラート定義に対応するレコードを、図52(a)に示すように抽出する。これより、指定されたアラート定義に対する出力権限又は照会権限(図25参照)等のセキュリティ権限が付与された各ユーザ又はユーザグループのレコードが抽出される。
(Display of confirmation screen for Alert AI security definition change history)
Next, when the display of a confirmation screen for the change history of the alert AI security definition is specified based on the above-mentioned "6. Message Regarding Alert Security Change History," the display control unit 25 refers to the alert definition security generation management table 85 shown in Fig. 17 and extracts records corresponding to the alert definition specified in the filter section of the alert AI operation status confirmation screen shown in Fig. 32, as shown in Fig. 52(a). As a result, records of each user or user group to which security privileges such as output privileges or inquiry privileges (see Fig. 25) for the specified alert definition are extracted.
同様に、表示制御部25は、図18に示したアラート定義グループセキュリティ世代管理テーブル86を参照し、アラートAI運用状況確認画面のフィルタ部で指定されたアラート定義に対応するレコードを、図52(b)に示すように抽出する。これより、指定されたアラート定義に対する出力権限又は照会権限等のセキュリティ権限が付与された各ユーザ又はユーザグループのレコードが抽出される。 Similarly, the display control unit 25 references the alert definition group security generation management table 86 shown in FIG. 18 and extracts records corresponding to the alert definition specified in the filter section of the alert AI operation status confirmation screen, as shown in FIG. 52 (b). This extracts records for each user or user group that has been granted security privileges, such as output privileges or inquiry privileges, for the specified alert definition.
次に、表示制御部25は、抽出した各ユーザのレコード及び各ユーザグループのレコードを結合し、図52(c)に示すセキュリティ世代管理データを生成する。このセキュリティ世代管理データを表示してもよい。 Next, the display control unit 25 combines the extracted records for each user and each user group to generate the security generation management data shown in Figure 52 (c). This security generation management data may be displayed.
次に、表示制御部25は、このセキュリティ世代管理データに基づいて、図14に示すアラート定義世代管理テーブル71を参照し、セキュリティ世代管理データとして抽出されたアラート定義に対応する修正前後のレコードを、図52(d)に示すように抽出する。また、表示制御部25は、抽出した修正前後のレコード、図53(b)及び図53(c)に示すユーザ定義リレーション履歴テーブル87、及び、図53(d)に示すユーザグループ定義リレーション履歴テーブル88に基づいて、図53(a)に示すように、ユーザ毎及びユーザグループ毎のアラート定義の変更内容、及び、各ユーザ及び各ユーザグループのセキュリティ権限の有無(出力権限及び(又は)照会権限)を含む変更詳細データを生成する。 Next, based on this security generation management data, the display control unit 25 references the alert definition generation management table 71 shown in FIG. 14 and extracts the pre- and post-correction records corresponding to the alert definition extracted as security generation management data, as shown in FIG. 52(d). Furthermore, based on the extracted pre- and post-correction records, the user definition relationship history table 87 shown in FIGS. 53(b) and 53(c), and the user group definition relationship history table 88 shown in FIG. 53(d), the display control unit 25 generates change detail data, as shown in FIG. 53(a), that includes the changes to the alert definition for each user and each user group, and the presence or absence of security permissions (output permission and/or inquiry permission) for each user and each user group.
そして、表示制御部25は、図52(c)に示したセキュリティ世代管理データ、図52(d)のアラート定義に対応する修正前後のレコード、及び、図53(a)に示す変更詳細データに基づいて、図54に示すように、セキュリティ設定の変更回数、アラートセキュリティの変更履歴、及び、変更の詳細を表示する。 Then, the display control unit 25 displays the number of security setting changes, alert security change history, and change details as shown in FIG. 54 based on the security generation management data shown in FIG. 52(c), the records before and after the correction corresponding to the alert definition in FIG. 52(d), and the change detail data shown in FIG. 53(a).
この図54において、表示制御部25は、「アラートセキュリティ変更履歴」で選択された明細(レコード)の定義に応じた修正前後のレコードを比較して、変更内容を「変更の詳細」の表示領域に表示する。 In this Figure 54, the display control unit 25 compares the records before and after the modification according to the definition of the detail (record) selected in "Alert Security Change History," and displays the changes in the "Change Details" display area.
また、「変更の詳細」に対する表示の仕方は同様であるが、表示制御部25は、「アラートセキュリティ変更履歴」の明細(レコード)で選択されたアラート定義又はアラート定義グループに対応する各種テーブル及び各種データを参照し、「変更の詳細」を表示する。 The "Change Details" are displayed in the same way, but the display control unit 25 references the various tables and data corresponding to the alert definition or alert definition group selected in the "Alert Security Change History" details (record) to display the "Change Details."
すなわち、図55は、「アラートセキュリティ変更履歴」において、アラート定義グループである「在庫管理定義グループ」が選択された例である。この場合、表示制御部25は、アラート定義グループセキュリティ世代管理テーブル86、ユーザ定義グループリレーション履歴テーブル89、及び、ユーザグループ定義グループリレーション履歴テーブル90に基づいて、変更詳細データ等を生成し、図55に示すように変更箇所、ユーザ区分、表示名、出力権限の有無、及び、照会権限の有無を含む「変更の詳細」を、「アラートセキュリティ変更履歴」と共に表示する。 That is, Figure 55 shows an example in which the alert definition group "Inventory Management Definition Group" has been selected in the "Alert Security Change History." In this case, the display control unit 25 generates change detail data, etc. based on the alert definition group security generation management table 86, user-defined group relation history table 89, and user group-defined group relation history table 90, and displays "change details" including the change location, user classification, display name, whether or not the user has output authority, and whether or not the user has inquiry authority, along with the "Alert Security Change History," as shown in Figure 55.
また、図56は、「アラートセキュリティ変更履歴」において、「出来高予測アラート定義」が選択された例である。この場合、表示制御部25は、アラート定義セキュリティ世代管理テーブル85、ユーザ定義リレーション履歴テーブル87、及び、ユーザグループ定義リレーション履歴テーブル88に基づいて、変更詳細データ等を生成し、図56に示すように変更箇所、ユーザ区分、表示名、出力権限の有無、及び、照会権限の有無を含む「変更の詳細」を、「アラートセキュリティ変更履歴」と共に表示する。 Figure 56 also shows an example in which "Output volume forecast alert definition" has been selected in "Alert security change history." In this case, the display control unit 25 generates change detail data, etc. based on the alert definition security generation management table 85, user definition relationship history table 87, and user group definition relationship history table 88, and displays "change details" including the change location, user classification, display name, whether or not the user has output authority, and whether or not the user has inquiry authority, along with the "Alert security change history," as shown in Figure 56.
また、図55は、セキュリティの正常な変更例を示すアラートセキュリティ変更履歴等の一例を示している。この図55の例の場合、セキュリティ設定の変更回数は「2回」であり、「ユーザA」により、「2022年12月21日」に「在庫管理定義グループ」のセキュリティ設定が変更され、また、「2022年12月15日」に「出来高予測アラート」のセキュリティ設定が変更された例である。この図55の例の場合、セキュリティ設定の変更回数は「2回」と少ない。また、セキュリティ権限の設定が想定される範囲で行われている。このため、アラート定義グループによる異常検知は正常に運用されていることが分かる。 Figure 55 also shows an example of an alert security change history, etc., that shows an example of a normal security change. In the example of Figure 55, the number of security setting changes was "twice," and "User A" changed the security settings for the "Inventory Management Definition Group" on "December 21, 2022," and also changed the security settings for the "Output Volume Forecast Alert" on "December 15, 2022." In the example of Figure 55, the number of security setting changes was only "twice." Furthermore, security permissions were set within the expected range. This shows that anomaly detection using the alert definition group is operating normally.
これに対して、図56は、セキュリティの不正な変更例を示すアラートセキュリティ変更履歴等の一例を示している。この図56の例の場合、セキュリティ設定の変更回数が「40回」と極端に多く、また、セキュリティ権限の付与が考えにくいユーザに対してセキュリティ権限が設定されている。このため、アラート定義による異常検知が正常に運用されていないことが分かる。 In contrast, Figure 56 shows an example of an alert security change history, which indicates an example of unauthorized security changes. In the example of Figure 56, the number of security setting changes is extremely high at 40 times, and security privileges have been granted to users who are unlikely to be granted security privileges. This shows that anomaly detection using alert definitions is not working properly.
この図55及び図56に示すアラート定義の変更履歴の確認画面により、責任者は、下記の考察を行う。 The person in charge should consider the following based on the alert definition change history confirmation screens shown in Figures 55 and 56.
<想定する確認内容>
各アラート定義による異常検知の分析画面を(図32等を参照)閲覧可能とするセキュリティ権限を、本来、設定すべきユーザに対してのみ設定されているか。
<考えられる状況>
データの閲覧が不可とされたユーザによるデータの閲覧が可能となっている。これは、不正を隠蔽する何等かの工作が行われたことが考えられる。
<確認イメージ>
変更履歴上における、想定されない変更の有無を確認する。想定されない変更又は不正と思われる内容の変更が存在する場合、管理者に状況を確認する。
<Expected confirmation content>
Is the security authority that allows viewing of the analysis screen for anomaly detection by each alert definition (see FIG. 32, etc.) set only for users who should be set it?
<Possible situations>
The data is now viewable by users who should not have been allowed to view it, which suggests some kind of manipulation was used to conceal the fraud.
<Confirmation image>
Check whether there are any unexpected changes in the change history. If there are any unexpected changes or changes that appear to be fraudulent, check with the administrator about the situation.
(実施の形態の効果)
以上の説明から明らかなように、実施の形態の異常検知装置1は、運用確認上必要なシステムの実行履歴、判定結果情報及び定義変更履歴をデータとして蓄積することができる。また、運用状況を確認しやすいようデータを可視化(表示及び印刷の他、音声出力も含む)することができる。このため、内部統制管理者等の責任者は、異常検知装置1の運用状況を、容易に確認することができる。
(Effects of the embodiment)
As is clear from the above description, the anomaly detection device 1 according to the embodiment can accumulate data such as system execution history, judgment result information, and definition change history, which are necessary for operational confirmation. Furthermore, the data can be visualized (including display, printing, and audio output) to make it easier to check the operational status. Therefore, a responsible person, such as an internal control manager, can easily check the operational status of the anomaly detection device 1.
また、異常検知装置1の運用状況を確認できるため、正常な運用がされていない状況に素早く気づくことができ、是正対処できる。 In addition, because the operational status of the anomaly detection device 1 can be checked, any abnormalities in operation can be quickly noticed and corrective measures can be taken.
また、内部統制におけるPDCAのサイクルを、適切に実行に移し、統制のレベル向上を図ることができる。なお、PDCAサイクルは、「Plan(計画)→Do(実行)→Check(評価)→Act(改善)」を繰り返すことにより、継続的な業務の改善や効率化を図る手法のことである。 In addition, the PDCA cycle for internal control can be properly implemented, improving the level of control. The PDCA cycle is a method for continuously improving and streamlining business operations by repeating the steps of "Plan → Do → Check → Act."
[国連が主導する持続可能な開発目標(SDGs)への貢献]
本実施形態により、業務効率化や企業の適切な経営判断を推進することに寄与することができるので、SDGsの目標8及び目標9に貢献することが可能となる。
[Contribution to the United Nations-led Sustainable Development Goals (SDGs)]
This embodiment can contribute to improving business efficiency and promoting appropriate management decisions by companies, thereby contributing to the achievement of SDGs Goals 8 and 9.
また、本実施形態により、廃棄ロス削減や、ペーパレス・電子化を推進することに寄与することができるので、SDGsの目標12、目標13及び目標15に貢献することが可能となる。 Furthermore, this embodiment can contribute to reducing waste and promoting paperless and electronic systems, thereby contributing to SDGs Goals 12, 13, and 15.
また、本実施形態により、統制、ガバナンス強化に寄与することができるので、SDGsの目標16に貢献することが可能となる。 Furthermore, this embodiment can contribute to strengthening control and governance, thereby contributing to Goal 16 of the SDGs.
[他の実施の形態]
本発明は、上述した実施形態以外にも、特許請求の範囲に記載した技術的思想の範囲内において種々の異なる実施形態にて実施されてよいものである。
Other Embodiments
The present invention may be implemented in various different embodiments other than those described above within the scope of the technical concept set forth in the claims.
例えば、実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、或いは、手動的に行われるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。 For example, of the processes described in the embodiments, all or part of the processes described as being performed automatically can be performed manually, or all or part of the processes described as being performed manually can be performed automatically using known methods.
また、本明細書中や図面中で示した処理手順、制御手順、具体的名称、各処理の登録データや検索条件等のパラメータを含む情報、画面例、データベース構成については、特記する場合を除いて任意に変更することができる。 In addition, the processing procedures, control procedures, specific names, registered data for each process, information including parameters such as search conditions, screen examples, and database configurations shown in this specification and drawings may be changed as desired unless otherwise specified.
また、異常検知装置1に関して、図示の各構成要素は機能概念的なものであり、必ずしも図示の如く物理的に構成されていることを要しない。 Furthermore, with regard to the anomaly detection device 1, the components shown in the figure are functional concepts and do not necessarily have to be physically configured as shown.
例えば、異常検知装置1が備える処理機能、特に制御部3及び制御部3にて行われる各処理機能については、その全部又は任意の一部を、CPU(Central Processing Unit)および当該CPUにて解釈実行されるプログラムにて実現してもよく、また、ワイヤードロジックによるハードウェアとして実現してもよい。なお、プログラムは、本実施形態で説明した処理を情報処理装置に実行させるためのプログラム化された命令を含む一時的でないコンピュータ読み取り可能な記録媒体に記録されており、必要に応じて異常検知装置1に機械的に読み取られる。すなわち、ROM又はHDD等の記憶部等には、OSと協働してCPUに命令を与え、各種処理を行うためのコンピュータプログラムが記録されている。このコンピュータプログラムは、RAMにロードされることによって実行され、CPUと協働して制御部3を構成する。 For example, all or any part of the processing functions of the anomaly detection device 1, particularly the control unit 3 and the various processing functions performed by the control unit 3, may be implemented by a CPU (Central Processing Unit) and a program interpreted and executed by the CPU, or may be implemented as hardware using wired logic. The program is recorded on a non-transitory computer-readable recording medium containing programmed instructions for causing the information processing device to execute the processing described in this embodiment, and is mechanically read by the anomaly detection device 1 as needed. That is, a computer program is recorded in a storage unit such as a ROM or HDD for working with the OS to issue instructions to the CPU and perform various processes. This computer program is executed by being loaded into RAM, and works with the CPU to form the control unit 3.
また、この異常検知装置1の異常検知プログラムは、異常検知装置1に対して任意のネットワークを介して接続された他のサーバ装置に記憶されていてもよく、必要に応じてその全部又は一部をダウンロードすることも可能である。 In addition, the anomaly detection program for this anomaly detection device 1 may be stored on another server device connected to the anomaly detection device 1 via any network, and all or part of it may be downloaded as needed.
また、本実施形態で説明した処理を実行するための異常検知プログラムを、一時的でないコンピュータ読み取り可能な記録媒体に格納してもよく、また、プログラム製品として構成することもできる。ここで、この「記録媒体」とは、メモリーカード、USB(Universal Serial Bus)メモリ、SD(Secure Digital)カード、フレキシブルディスク、光磁気ディスク、ROM、EPROM(Erasable Programmable Read Only Memory)、EEPROM(登録商標)(Electrically Erasable and Programmable Read Only Memory)、CD-ROM(Compact Disk Read Only Memory)、MO(Magneto-Optical Disk)、DVD(Digital Versatile Disk)、及び、Blu-ray(登録商標) Disc等の任意の「可搬用の物理媒体」を含むものとする。 The anomaly detection program for executing the processing described in this embodiment may be stored on a non-transitory computer-readable recording medium or configured as a program product. Here, "recording medium" includes any "portable physical medium" such as a memory card, USB (Universal Serial Bus) memory, SD (Secure Digital) card, flexible disk, magneto-optical disk, ROM, EPROM (Erasable Programmable Read-Only Memory), EEPROM (Electrically Erasable and Programmable Read-Only Memory), CD-ROM (Compact Disk Read-Only Memory), MO (Magneto-Optical Disk), DVD (Digital Versatile Disk), and Blu-ray (registered trademark) Disc.
また、「プログラム」とは、任意の言語または記述方法にて記述されたデータ処理方法であり、ソースコード又はバイナリコード等の形式を問わない。なお、「プログラム」は必ずしも単一的に構成されるものに限られず、複数のモジュールやライブラリとして分散構成されるものや、OSに代表される別個のプログラムと協働してその機能を達成するものをも含む。なお、実施の形態に示した異常検知装置1において記録媒体を読み取るための具体的な構成および読み取り手順ならびに読み取り後のインストール手順等については、周知の構成や手順を用いることができる。 A "program" is a data processing method written in any language or description method, and may be in any format, such as source code or binary code. It should be noted that a "program" is not necessarily limited to a single structure, but also includes a distributed structure consisting of multiple modules or libraries, or a structure that achieves its function by working in conjunction with a separate program, such as an OS. The specific structure and reading procedure for reading a recording medium in the anomaly detection device 1 shown in the embodiment, as well as the installation procedure after reading, can use well-known structures and procedures.
記憶部2は、RAM、ROM等のメモリ装置、ハードディスク等の固定ディスク装置、フレキシブルディスク、及び、光ディスク等のストレージ手段であり、各種処理やウェブサイト提供に用いる各種のプログラム、テーブル、データベース、及び、ウェブページ用ファイル等を格納する。 The memory unit 2 is a storage means such as a memory device such as RAM or ROM, a fixed disk device such as a hard disk, a flexible disk, or an optical disk, and stores various programs, tables, databases, and web page files used for various processes and website provision.
また、異常検知装置1は、既知のパーソナルコンピュータ装置又はワークステーション等の情報処理装置で構成してもよく、また、任意の周辺装置が接続された情報処理装置で構成してもよい。また、情報処理装置は、本実施形態で説明した処理を実現させるソフトウェア(プログラム又はデータ等を含む)を実装することにより実現してもよい。 The anomaly detection device 1 may also be configured as an information processing device such as a known personal computer or workstation, or may be configured as an information processing device to which any peripheral device is connected. The information processing device may also be implemented by installing software (including programs, data, etc.) that realizes the processing described in this embodiment.
さらに、装置の分散・統合の具体的形態は図示するものに限られず、その全部又は一部を、各種の付加等に応じて又は機能負荷に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。すなわち、上述した実施形態を任意に組み合わせて実施してもよく、実施形態を選択的に実施してもよい。 Furthermore, the specific form of distribution and integration of the devices is not limited to that shown in the figures, and all or part of them can be functionally or physically distributed and integrated in any unit depending on various additions or functional loads. In other words, the above-mentioned embodiments may be implemented in any combination, or embodiments may be implemented selectively.
本発明は、様々な業種の会計等の異常検知に適用して好適である。 This invention is suitable for use in detecting anomalies in accounting and other processes in a variety of industries.
1 異常検知装置
2 記憶部
3 制御部
4 通信インターフェース部
5 入出力インターフェース部
6 入力装置
7 出力装置
11 事前設定データテーブル
12 アラート実行履歴明細テーブル
13 判定結果テーブル
14 定義変更履歴データテーブル
21 アラート定義設定部
22 アラート定義実行部
23 実行結果生成部
24 定義変更履歴生成部
25 表示制御部
26 権限設定部
27 権限変更履歴生成部
35 ネットワーク
36 会計サーバ装置
REFERENCE SIGNS LIST 1 Anomaly detection device 2 Storage unit 3 Control unit 4 Communication interface unit 5 Input/output interface unit 6 Input device 7 Output device 11 Pre-set data table 12 Alert execution history detail table 13 Judgment result table 14 Definition change history data table 21 Alert definition setting unit 22 Alert definition execution unit 23 Execution result generation unit 24 Definition change history generation unit 25 Display control unit 26 Authority setting unit 27 Authority change history generation unit 35 Network 36 Accounting server device
Claims (8)
設定された前記アラート定義を実行するアラート定義実行部と、
前記アラート定義の実行結果に基づいてアラート対象の異常判定を行い、前記異常判定による判定結果を生成する実行結果生成部と、
実行された前記アラート定義の実行履歴を生成する実行履歴生成部と、
生成された前記判定結果及び前記実行履歴を出力機器に出力制御する出力制御部と、を有し、
前記出力制御部は、前記判定結果として、運用上の確認を要する項目に対するメッセージを前記出力機器に出力制御すること、
を特徴とする異常検知装置。 An alert definition setting section for setting an alert definition;
an alert definition execution unit that executes the set alert definition;
an execution result generation unit that performs an abnormality determination for an alert target based on an execution result of the alert definition and generates a determination result based on the abnormality determination;
an execution history generation unit that generates an execution history of the executed alert definition;
an output control unit that controls output of the generated determination result and the execution history to an output device ,
the output control unit controls the output device to output a message regarding an item requiring operational confirmation as a result of the determination;
An anomaly detection device characterized by the above.
実行状況の確認を促すメッセージ、A message prompting you to check the execution status,
検知状況又は定義内容の確認を促すメッセージMessage prompting you to check the detection status or definition details
前記判定結果に対する対応を促すメッセージA message prompting you to take action regarding the judgment result
前記アラート定義の変更内容の確認を促すメッセージA message prompting you to confirm the changes to the alert definition
セキュリティ設定の変更内容の確認を促すメッセージ、のうち、Among the messages that prompt you to confirm the changes to security settings,
いずれか一つ又は複数を出力制御すること、Output control of any one or more of them;
を特徴とする請求項1に記載の異常検知装置。The anomaly detection device according to claim 1 ,
前記出力制御部は、前記判定結果及び前記実行履歴と共に、前記定義変更履歴を前記出力機器に出力制御すること、
を特徴とする請求項2に記載の異常検知装置。 a definition change history generation unit that generates a definition change history of the alert definition when the alert definition is changed,
the output control unit controls output of the definition change history together with the determination result and the execution history to the output device;
The anomaly detection device according to claim 2 ,
前記取り扱い権限が変更された際に、前記取り扱い権限の権限変更履歴を生成する権限変更履歴生成部と、をさらに備え、
前記出力制御部は、前記判定結果、前記実行履歴及び前記定義変更履歴と共に、前記権限変更履歴を前記出力機器に出力制御すること、
を特徴とする請求項3に記載の異常検知装置。 an authority setting unit that sets handling authority for the alert definition;
an authority change history generating unit that generates an authority change history of the handling authority when the handling authority is changed,
the output control unit controls to output the authority change history to the output device together with the determination result, the execution history, and the definition change history;
The anomaly detection device according to claim 3 ,
を特徴とする請求項4に記載の異常検知装置。 the definition change history generation unit, when the alert definition is changed, generates the definition change history by adding generation information indicating that the changed alert definition is the latest alert definition, and generates the definition change history by adding generation information indicating that the other alert definitions are of older generations;
The anomaly detection device according to claim 4 ,
を特徴とする請求項5に記載の異常検知装置。 the authority change history generation unit, when the handling authority is changed, generates the authority change history by adding generation information indicating that the changed handling authority is the latest handling authority to the handling authority after the change, and generates the authority change history by adding generation information indicating that the other handling authorities are handling authorities of older generations to the handling authority after the change;
The anomaly detection device according to claim 5 .
アラート定義実行部が、設定された前記アラート定義を実行するアラート定義実行ステップと、
実行結果生成部が、前記アラート定義の実行結果に基づいてアラート対象の異常判定を行い、前記異常判定による判定結果を生成する実行結果生成ステップと、
実行履歴生成部が、実行された前記アラート定義の実行履歴を生成する実行履歴生成ステップと、
出力制御部が、生成された前記判定結果及び前記実行履歴を出力機器に出力制御する出力制御ステップと、を有し、
前記出力制御部は、前記判定結果として、運用上の確認を要する項目に対するメッセージを前記出力機器に出力制御すること、
を特徴とする異常検知装置の異常検知方法。 The alert definition setting unit includes an alert definition setting step for setting an alert definition;
an alert definition execution step in which an alert definition execution unit executes the set alert definition;
an execution result generation step in which an execution result generation unit performs an abnormality determination for an alert target based on an execution result of the alert definition, and generates a determination result based on the abnormality determination;
an execution history generating step in which an execution history generating unit generates an execution history of the executed alert definition;
an output control step in which an output control unit controls output of the generated determination result and the execution history to an output device;
the output control unit controls the output device to output a message regarding an item requiring operational confirmation as the determination result;
An anomaly detection method for an anomaly detection device, comprising :
アラート定義を設定するアラート定義設定部と、
設定された前記アラート定義を実行するアラート定義実行部と、
前記アラート定義の実行結果に基づいてアラート対象の異常判定を行い、前記異常判定による判定結果を生成する実行結果生成部と、
実行された前記アラート定義の実行履歴を生成する実行履歴生成部と、
生成された前記判定結果及び前記実行履歴を出力機器に出力制御する出力制御部として機能させ、
前記出力制御部は、前記判定結果として、運用上の確認を要する項目に対するメッセージを前記出力機器に出力制御すること、
を特徴とする異常検知プログラム。 Computer,
An alert definition setting section for setting an alert definition;
an alert definition execution unit that executes the set alert definition;
an execution result generation unit that performs an abnormality determination for an alert target based on an execution result of the alert definition and generates a determination result based on the abnormality determination;
an execution history generation unit that generates an execution history of the executed alert definition;
functioning as an output control unit that controls the output of the generated determination result and execution history to an output device;
the output control unit controls the output device to output a message regarding an item requiring operational confirmation as a result of the determination;
An anomaly detection program characterized by:
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2023111067A JP7795502B2 (en) | 2023-07-05 | 2023-07-05 | Anomaly detection device, anomaly detection method, and anomaly detection program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2023111067A JP7795502B2 (en) | 2023-07-05 | 2023-07-05 | Anomaly detection device, anomaly detection method, and anomaly detection program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2025008687A JP2025008687A (en) | 2025-01-20 |
| JP7795502B2 true JP7795502B2 (en) | 2026-01-07 |
Family
ID=94280064
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2023111067A Active JP7795502B2 (en) | 2023-07-05 | 2023-07-05 | Anomaly detection device, anomaly detection method, and anomaly detection program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7795502B2 (en) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017062822A (en) | 2011-09-19 | 2017-03-30 | フィッシャー−ローズマウント システムズ,インコーポレイテッド | Computer execution method, processing model expansion system, and processing monitoring system |
| JP2019135602A (en) | 2018-02-05 | 2019-08-15 | 株式会社日立製作所 | Information management system and information management method |
| JP2020024571A (en) | 2018-08-07 | 2020-02-13 | 株式会社オービック | Accounting processor, accounting processing method, and accounting processing program |
| JP2023066886A (en) | 2021-10-29 | 2023-05-16 | 株式会社オービック | Sales fraud detection support device, sales fraud detection support method, and sales fraud detection support program |
| JP2023090237A (en) | 2021-12-17 | 2023-06-29 | 株式会社オービック | Purchasing fraud detection support device, purchase fraud detection support method, and purchase fraud detection support program |
-
2023
- 2023-07-05 JP JP2023111067A patent/JP7795502B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017062822A (en) | 2011-09-19 | 2017-03-30 | フィッシャー−ローズマウント システムズ,インコーポレイテッド | Computer execution method, processing model expansion system, and processing monitoring system |
| JP2019135602A (en) | 2018-02-05 | 2019-08-15 | 株式会社日立製作所 | Information management system and information management method |
| JP2020024571A (en) | 2018-08-07 | 2020-02-13 | 株式会社オービック | Accounting processor, accounting processing method, and accounting processing program |
| JP2023066886A (en) | 2021-10-29 | 2023-05-16 | 株式会社オービック | Sales fraud detection support device, sales fraud detection support method, and sales fraud detection support program |
| JP2023090237A (en) | 2021-12-17 | 2023-06-29 | 株式会社オービック | Purchasing fraud detection support device, purchase fraud detection support method, and purchase fraud detection support program |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2025008687A (en) | 2025-01-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10572236B2 (en) | System and method for updating or modifying an application without manual coding | |
| JP5707250B2 (en) | Database access management system, method, and program | |
| JP5757072B2 (en) | Log creation device, log creation method, and log creation program | |
| CN115827640A (en) | Information equipment full life cycle management method, system, medium and equipment | |
| JP2006119719A (en) | Computer system and user authentication method | |
| US8386789B2 (en) | Method and system for performing an electronic signature approval process | |
| JP5414584B2 (en) | Security product information providing apparatus, security product information providing method of security product information providing apparatus, and security product information providing program | |
| JP7795502B2 (en) | Anomaly detection device, anomaly detection method, and anomaly detection program | |
| JP4276717B2 (en) | Database system | |
| WO1997007443A1 (en) | Validation control system | |
| JP7180073B2 (en) | Judgment program, judgment method, and judgment device | |
| CN112241517A (en) | License Management System and Recording Media | |
| JP2006079251A (en) | Command execution control system, control method, and program thereof | |
| JP2008052651A (en) | Access right management program and access right management system | |
| JP7162159B1 (en) | Information processing device, information processing method, and information processing program | |
| JP7581475B2 (en) | Management device, management method, and program | |
| JP7764443B2 (en) | Business support device, business support method, and business support program | |
| JP7824211B2 (en) | Anomaly detection support device, anomaly detection support method, and anomaly detection support program | |
| JP2000357192A (en) | Device and method for patent desk work processing, and recording medium | |
| JP6850162B2 (en) | Business data change check device, business data change check method, and business data change check program | |
| JP7772677B2 (en) | Information processing device, information processing method, and information processing program | |
| JP7784904B2 (en) | Asset management device and asset management method | |
| JP6719892B2 (en) | Information processing apparatus and information processing program | |
| JP7791076B2 (en) | Log inquiry device, log inquiry method, and log inquiry program | |
| JP7765948B2 (en) | Asset management system and asset management method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20250519 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20250519 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20250708 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20250908 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20251202 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20251219 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7795502 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |