• 検索結果がありません。

OSイベントリアルタイム解析による高精度文書監視方式の提案

N/A
N/A
Info
ダウンロード
Protected

Academic year: 2021

シェア "OSイベントリアルタイム解析による高精度文書監視方式の提案"

Copied!
2
0
0

読み込み中.... (全文を見る)

今ダウンロードする ( 2 ページ )

全文

(1)情報処理学会第68回全国大会. 1D-5 CyebrTrace:OS イベントのリアルタイム解析による高精度機密情報監視 †. †. 坂本. 久. †. 喜田. 弘司. ‡. 高橋. 宏幸. NEC システムテクノロジー株式会社 システムテクノロジーラボラトリ ‡サーバソフトウェア事業部 を付けて保存). 1. はじめに 現在、情報漏えい対策の一つとしてコンピュ ータ上での操作を監視するシステムが多数存在 する。しかしながら、そのほとんどは実際に情 報漏えいに関係する操作を特定することは難し く、監視結果を有効に活用できていない。この 原因は、従来の監視システムは OS からの低水準 なイベントをそのまま大量のログとして記録す ることにある。大量のログから利用方法の仮説 をたて、ひとつひとつ検証する作業は、膨大な 時間と労力が必要である。 我々は、従来の監視システムが情報漏えい操 作の検出にあまり効果がない原因の本質は、ロ グが大量の低水準な監視結果であることにある と考える。そこで、より高次の必要最小限の監 視結果をログに残すことが重要であると考える。 本稿では、ファイルの生成、編集、複製、移動 メール添付、共有などの操作事象を高精度に監 視する方式とそれに基づくシステム CyberTrace および、その評価結果を説明する。. 2. 監視システムの分析 従来の監視システムは OS が発生する低水準イ ベントを記録(ファイル I/O、ウインドウタイト ル変化等)とファイル名を基にした監視を行っ ていた。その問題は以下の事柄がある。 ログ量問題:OS からの低水準イベントをそのまま 記録するため大量にログが出力される。大量のロ グからファイルの移動/コピーを特定することは 極めて困難である。また大量のイベントを処理す ることでパフォーマンスの低下も引き起こす。 ファイル名問題: ファイル名をベースに機密文書 を識別しているため、ファイル名だけでは特定で きない移動/コピーに関しては追跡できない。例 えば、添付メールによるファイル配布のように、 ネットワークを経由したファイルの移動/コピー は追跡できない。 アプリケーション操作によるファイル操作問題:ユー ザによるアプリケーションの GUI 操作に伴うファ イルの移動/コピーは追跡できない。(例:名前 A proposal of a high-level monitoring method with analyzing realtime events generated operating system Hisashi Sakamoto, Koji Kida, Hiroyuki Takahashi, NEC System Technologies, Ltd.. 3-33. 3. CyberTrace による高精度機密情報監視 CyberTrace では以下の2つの課題を解決する。 (1)1台のコンピュータに注目し、このコン ピュータ内で発生したファイルの移動やコピー を正確に監視 (2)ファイルが複数のコンピュータに跨って 移動した場合にも正確に監視 以下では、前者の技術「ファイル操作/シス テム挙動照合技術」と、後者の技術「ファイル 追跡電子透かし技術」を説明する。 3.1. ファイル操作/システム挙動照合技術 必要最小限の監視結果をログに残すために、 低水準な監視結果をリアルタイムに解析して、 その意味を推定しログに出力する。低水準なイ ベントは、ユーザの GUI の操作イベントとファ イルアクセスイベントである。意味を推定する ためにアプリケーションの振る舞いをモデル化 した「AP 知識」を利用する。AP 知識は、GUI の 操作イベントの系列に対してその意味を割り当 てたデータである。低水準イベントの系列に対 してAP知識を使って整合性のある解釈を作成 することにより高次な監視ができる(図1)。 従来監視ソフトウェア ウインドウタイトル アプリの起動 など ユーザ操作監視. ログ. アプリケーションコンテキスト 推定エンジン. ログ. AP知識 システム挙動監視 OS(ファイルシステム). ログ. 本方式 正確なファイル名で移動・ コピーを記録 例) “C:¥Doc¥AAA.XLS”をエクセル で開き、”C:¥Doc¥BBB.XLS”へコピー して、 ”C:¥Doc¥CCC.XLS”に「名前を つけて保存」し、添付メールで送信. 従来監視ソフトウェア ファイル操作ログ メディア使用ログ など. 図 1ファイル操作/システム挙動照合技術 AP 知識を使ってコンテキスト推定エンジンが低 水準の事象から高水準の事象を組み立てる。こ のエンジンは以下から構成される。 コンテキスト管理部:AP の各機能を利用する一連 の操作において、どこまでユーザが操作をしたか という状態遷移(コンテキスト)を AP 知識を使って管理 GUI 操作キュ:ユーザ操作監視結果列を管理 ファイルアクセスキュ:ファイルアクセスイベント列を管理 ログ生成: GUI 操作キュのイベント集合とコンテ キスト管理部のコンテキストを照合し GUI 操作の 解釈を作成。解釈に成功すればファイルアクセス.

(2) 情報処理学会第68回全国大会. の機密文書の流通を監視することが可能になる。. キュからファイル名を取得して高次なログを生成 システム挙動監視. AP知識 コンテキスト管理 AP:Excel Context: AP:WORD Context: AP:WORD. GUI操作 キュー. …. ファイルアクセスイベント. GUI操作イベント. …. GUI操作イベント GUI操作イベント GUI操作イベント. マッチ. GUI操作イベント. …. A. マッチ. 名前をつけて保存 OKボタン. クライアント. …. アプリケーションコンテキスト 推定エンジン. クライアント. クライアント. OKボタン 成立! 成立!. 図 4. 成立! マッチ. B 名前変更. 名前をつけて保存 ファイル 名前をつけて保存. OKボタン. GUI操作イベント. ファイルアクセスイベント. 電子透かし. ファイル マッチ. 電子透かしを 使って 追跡可能. ログサーバ. …. Context:名前をつけて保存 ファイル. …. 時間経過. ファイルアクセス キュー. ユーザ操作監視. ファイルアクセス チェック. ログ. コンテキスト 状態遷移. 名前をつけて保存. 図 2 AP 知識による操作イベントコンテキスト情報変換 3.2. 動作例 メ モ 帳 ( notepad.exe) で 「 名 前 を つ け て 保 存」を実行する場合の AP 知識の例を以下に示す。 <Application name=“notepad”> <Context name=“名前を付けて保存”> <Operate id=1 type=”menu”>保存</Operate> <Operate id=2 type=”button”>OK</Operate> </Context> </Application> 図 3 「名前を付けて保存」コンテキストの AP 知識. この例では、ユーザが”保存”メニューを選択 し、その後表示されたダイアログ上の”OK”ボタ ンを選択することにより、”名前を付けて保存” コンテキストが成立する。コンテキストが成立 した場合は、成立後に発生した特定のファイル アクセスイベントを照合することにより、どの ファイルが保存されたかを推定しログに残す。 3.3. ファイル追跡電子透かし技術 複数のコンピュータに跨って機密文章のID を管理できる必要がある。従来技術ではファイ ル名をベースにしており追跡範囲が限られてい た。本方式は、機密文書に文章IDを割り振り、 機密文書を配布メディア(メール、USB メモリ、 ネットワーク共有)に対してコピーする直前に 文章IDを電子透かしとして付加する。機密文 書に付加された電子透かしとサーバのログの文 章IDをマッチングさせることで高精度に配布 経路を追跡できる(図4)。 例えば、電子メールに機密文章を添付して配 布した場合、受け取り側では文章IDの電子透 かしが埋め込まれた機密文章を受け取ることに なる。以後、受け取り側では、この電子透かし から復元した文章IDを受け継いでログに残す。 これにより、メール送信者とメール受信者の間. 3-34. ファイル追跡電子透かし技術. 4. 評価 本方式を従来方式と比較評価する。 従来方式と提案方式で同一操作実行後ログ出 力量を測定した。提案方式のログ出力量が従来 方式より激減している結果を得られた(表1)。 表 1. ログ出力量の比較. コピー、保存、印刷、メー ル送信等を含む14操作. 従来方式. 提案方式. 639行. 58行. これは、本方式が従来方式のように低水準のイ ベントをそのままログに出力するのではなく、 複数の低水準イベントから AP 知識を使ってより 高次のログに変換して出力しているためである。 ファイル I/O イベントと GUI 操作イベントを 併用した監視や電子透かしによるファイル追跡 により、従来方式では出来なかった以下のシチ ュエーションの追跡が可能になった。 ・ファイルコピー:名前を付けて保存 ・他のPCへのファイルコピー:メール添付 ・文書の内のデータのコピー/移動:AP上で コピー&ペースト 新方式での監視環境と従来方式での監視環境 でファイルの転送性能を測定した。 表 2. ファイルコピー時の転送速度. ファイル(64KByte)連続コピ ー時の転送速度. 従来方式. 提案方式. 879KB/sec 1078KB/sec ※PentiumⅢ 833MHz 256M メモリ WindowsXP(SP2)で測定. これにより、新方式が従来方式に比べてシステ ムに負荷をあまり与えないという結果を得た。. 5. まとめ 本稿では、機密情報のライフタイムを高精度 に監視追跡する方式を提案した。これは、ファ イル操作/システム挙動照合技術とファイル追 跡電子透かし技術を新たに開発し実現した。評 価実験により、従来方式と比べて必要最小限の ログを出力できていることが確認できた。.

(3)

参照

今ダウンロードする ( PDF - 2 ページ - 288.03 KB )

関連したドキュメント

Express5800/R120h-1M (3rd-Gen)            システム構成ガイド

ESMPRO/ServerAgent for GuestOS Ver1.3(Windows/Linux) 1 ライセンス Windows / Linux のゲスト OS 上で動作するゲスト OS 監視 Agent ソフトウェア製品. UL1657-302

はじめに ヒューストンに着任してから間もなく

個別の事情等もあり提出を断念したケースがある。また、提案書を提出はしたものの、ニ

電気事業 当年度の当社の販売電力量は 億となり, 前年度を

さらに, 会計監査人が独立の立場を保持し, かつ, 適正な監査を実施してい るかを監視及び検証するとともに,

古 谷

析の視角について付言しておくことが必要であろう︒各国の状況に対する比較法的視点からの分析は︑直ちに国際法

法条競合と包括一

この点について結果︵法益︶標準説は一致した見解を示している︒

資料2-2-6

解析結果を図 4.3-1 に示す。SAFER コード,MAAP

発電用原子炉施設故障等報告書

本事象においては、当該制御装置に何らかの不具合が発生したことにより、集中監視室

原子炉圧力容器・格納容器ホウ酸水注入設備 4.1

この設備によって、常時監視を 1~3 号機の全てに対して実施する計画である。連続監