WO1997031317A1 - Procede de gestion des acces a un systeme informatique - Google Patents

Description

明 細 書 情報システムのアクセス管理方法 技術分野

本発明は、 複数のユーザが利用 （アクセス） 可能な情報システムに係 る。 この情報システムにおいて、 ュ一ザからのアクセス要求への対応、 特にアクセス権限を与えていないュ一ザからの不正な情報システムの利 用を防止するアクセス管理方法に関する。 背景技術

従来の情報システムに対するアクセス管理方法には、 予めユーザにパ スワードを与えておくものがある。 この方法では、 ユーザが情報システ ムへのアクセス開始時に与えられたパスヮードを入力し、 入力されたパ スヮ一ドが正当であることが認められた場合に限って情報システムの利 用を許すものである。 正当なパスワードか否かは、 予め与えられたパス ヮ一ドと入力されたパスヮ一ドが同じであり、 パスヮ一ドを与えられた ュ—ザが、 情報システムの利用者として承認されているか否かで判断さ れる。

上述した従来の技術においては、 一旦情報システムに対する利用を認 めると、 ユーザは認められた範囲で自由に情報システムの資源を利用す ることができる。 また、 ファイル情報を変更することもできる。

このため、 不正行為を働く意志を持った者に情報システムへの利用を 許した場合、 より厳格に管理がなされているシステム資源への新たなァ クセス権利の獲得や、 他のユーザの情報システムの利用を妨害できるな どの問題を含んでいる。 さらに、 情報システムへのアクセス開始時のみ 真のユーザが利用し、 それ以外は他のユーザ （アクセスする権利を有し ない者） が利用できるとの問題もある。

これらの問題は、 以下の①および②により引き起こされる。

①ユーザそれぞれに与えられたパスヮードだけを拠り所にしてユーザの 認証をしている。

②情報システムへのアクセスの認証を、 アクセス開始時にのみ行いそれ 以外は全く行っていない。

これらの問題を角 決するものが、 Teresa F. Lunt著 "A survey of intrusion detection techniques, Computers&Securi ty, 12, p405- 418 (1993) " に記載されている。 これには、 ユーザによって引き起こさ れるプログラムの動作を記録にとり、 この記録に対して統計的手法や ルールべ一ス手法を適用することが記載されている。 この構成により、 情報システムを現在利用しているユーザが真のユーザか否かを判断し、 不正な情報システムの利用 （情報システムへの侵入） を発見する。

しかし、 単にプログラム動作に対して統計的手法やルールベース手法 を適用するのみでは、 十分に不正な情報システムへの侵入を検出するこ とができない。 また、 この技術では不正な情報システムへの侵入が検出 された場合、 情報システムの管理者に通報することしかできない。 通報 するのみでは、 情報システムの管理者へ支援を行うための機能が十分発 揮されているとは言えない。 さらに、 不正な侵入に対する検出は集中的 に構成されており、 情報システムが分散的に構成される今日の情報シス テムの趨勢を反映していない。

本発明では、 情報システムへの不正なアクセスを的確に検出、 防止す ることを目的とする。 また、 分散的に構成された情報システムに適応す る情報システムのアクセス管理方法を提供することも目的とする。 さら に、 単に不正なアクセスを検出することに止まらず、 悪意をもったもの 力^の認証機能への攻撃にも強い情報システムのアクセス管理方法を提 供することも目的とする。 発明の開示

本発明では、 情報システムへのアクセスの認証をパスワードのみに依 存しない構成とした。 また、 認証の作業をただ 1度だけでなく、 ァクセ ス中 （セッション中） に繰り返し行うことにより不正なアクセスを防止 する。 また、 従来不正の検出に用いられていた統計処理やルールベース 技術ばかりでなく、 より優れた論理をも用いることができるよう全体論 理を再構成した。

言い換えれば、 ユーザの生理的特徴や端末からの情報システムに対す る操作の仕方を認証のための基本情報とし、 生体系における免疫作用に 関する知見を背景に基本情報に対する判断処理に所定の処理を導入する。 また、 判断処理機能を情報システム内に存在する 1以上の情報処理機構 に分散協調的に動作させる構成とした。

ユーザの情報システムに対する操作の仕方や生理的特徴は、 ユーザ固 有の特徴を表す情報である。 ここで、 操作の仕方には、 端末からの操作 パターンなどが考えられる。 そして、 操作パターンには、 端末キ一の打 鍵の時系列パターン、 マウス .ペンの操作時系列パターン、 カナ漢字変 換などの文字変換パターン、 端末から駆動されるファイル生成、 フアイ ル参照 ·変更パターンなどのプログラム動作パターンなどがある。 また、 生理的特徴には、 顔映像、 音声、 指紋などがある。

したがって、 これらの情報をよりどころとして、 セッション中に継続 的にユーザの正当性を判断することにより上述した目的を達成できる。 正当性とは、 例えば、 予め登録されたユーザの登録名称と実際にァクセ スしているユーザの合致性などを指す。 この正当性の継続的な判断は、 非常に不確実な環境下で行わざるを得 ない。 したがって、 本発明においては、 必要に応じてユーザの特性を積 極的に採取するなど、 情報システムの管理上のァクションを判断と並行 して行う。

また、 情報システム内に存在する 1以上の情報処理機構に分散協調的 に動作させるためのより具体的な構成は、 以下の通りである。 それぞれ 分散化された管理機能において監視した情報を相互に交換し合い、 交換 された情報に基づいてアクセス権利の付与を分散的に決定する。 図面の簡単な説明

第 1図は、 本発明を実現する情報システムの基本構成を示す図である。 第 2図は、 本発明を適用した分散計算機システムの構成を示す図である。 第 3図は、 本発明の運用フローを示す図である。 発明を実施するための最良の形態

以下、 本発明の一実施例を説明する。

( 1 ) 発明の基本的な構成

第 1図は、 本発明を実現する情報システムの基本構成を示す。 ここで 1 1は、 ユーザが情報システムにアクセスするために用いるユーザ端末 である。 なお、 ここでは 1 1を 1個しか図示しなかったが、 1 1は1個 以上存在する。 1 2は、 ユーザがユーザ端末 1 1を用いてアクセスし、 その資源を活用する情報処理機構である。 1 2も 1 1と同様に 1個以上 存在する。 1 3は、 1 1や 1 2をつなぐ通信ネットワークである。 また、 1 4は情報システムを管理する管理者用のシステム管理者端末 1 4であ る。 システム管理者端末 1 4は、 必要に応じて設置するよう構成しても よい。 情報処理機構 1 2は、 ユーザからの要求に応じてシステム資源を割り 当て、 ュ一ザからの情報処理要求を満たすプロセスモニタ手段 1 2 1と ユーザの正当性を判断し状況に応じてしかるべきアクションを発行する 繰返し認証手段 1 2 2を有する。 ここで、 繰返し認証手段 1 2 2は、 ユーザの正当性を判断 （認証） するユーザ認証手段 1 2 3を有する。 こ こで、 ユーザ認証手段 1 2 3は、 格納手段 1 2 4に格納されたユーザ判 別関数を用いて正当性を判断する。 また、 繰返し認証手段 1 2 2は、 ユーザ認証手段 1 2 3での判断に基づいてしかるべきアクションを決定 し、 発行するアクション決定手段 1 2 5も有する。 ここで、 ァクション 決定手段 1 2 5は、 格納手段 1 2 6に格納されたアクション決定ルール を用いてァクションを決定する。

ここで、 ユーザ判別関数とは、 ユーザの特徴を表す情報を入力として、 そのユーザの正当性を数値として出力する関数である。 ここで、 ユーザ の特徴を表す情報とは、 ユーザの情報システムに対する操作の仕方や生 理的特徴である。 これらについては、 上述したものが含まれる。 また、 操作の仕方は、 時系列情報として入力してもよい。

また、 アクション決定ルールとは、 ユーザ判別関数の出力に基づいて、 繰返し認証手段 1 2 2が、 システム管理者がとるべき行動の命令を記述 したものである。

第 1図に示した構成の動作は、 以下の通りである。 ユーザがユーザ端 末 1 1から情報処理機構 1 2に対して、 まず自分のパスワードを入力し て、 情報システムを利用する許諾を得る。 許諾を得た後、 ユーザは、 ユーザ端末 1 1を通して情報処理機構 1 2に所望の処理を要求する。 こ こまでは、 従来の情報システムにおけるシステム管理のプロセスと同じ である。 ただし、 この処理と並行してユーザ認証手段 1 2 3は、 ユーザ のユーザ端末 1 1での操作履歴、 ユーザによって引き起こされたプログ ラムの動作およびユーザ端末 1 1に装着されたセンサによって測定され る生理的特徴のうち少なくとも 1つを監視する。 そして、 ユーザ判別関 数を用いて監視された結果が、 情報システム側が利用許諾を与えたユー ザのものであるかを評価する。

評価する際は、 利用許諾を与えるユーザのこれらの特徴を記憶してお き、 この記憶内容と監視された結果が同一か否かによつて判断する構成 もとれる。 また、 同一の判断においても幅を持たせ、 ある程度似ていた ら同一と判断する構成もとれる。

さらに、 監視は、 継続的に行うとより監視の精度があがる。 継続的に 監視を行うとは、 所定時間毎に監視してもよい。 また、 所定の処理をト リガ一として監視してもよい。 また、 連続的に監視し続けてもよい。 ァクション決定手段 1 2 5は、 このように評価された結果を入力とし て以下の処理を行う。 まず、 格納手段 1 2 2に格納されたアクション決 定ルールに基づいて、 情報システムがとるべきアクションを決定し、 決 定されたアクションに応じて所定の対象にその決定内容を送付する。 例 えば、 現在情報システムを利用しているユーザが正規のユーザか疑わし い場合は、 再度キーワードを入力するようユーザ端末 1 1に表示するこ とがあげられる。 また、 再度のキ一ワードの入力がない場合は、 情報シ ステムの使用を禁止することもある。

ここで、 このようにして使用を禁止されたユーザの特徴を表す情報を 記憶しておき、 後ほど用いることも考えられる。 つまり、 このように記 憶された情報と監視されたユーザの特徴を表す情報を比較して、 比較結 果に応じて情報システムの使用を直ちに差し止める。

次にアクション決定手段は、 現在ュ一ザ端末 1 1を使用しているユー ザが、 情報システムが本来利用を許しているユーザと異なると判断した 場合は、 以下の処理を行う。 ①プロセスモニタに通報して、 該当する ュ一ザによるプログラムの起動やファイルへのアクセス記録密度を高め たり、 これらの行動を制限する。 ②該当するユーザが利用しているユー ザ端末 1 1に対して、 ユーザの正当性を確認するために指定した行動を とるように要請したり、 情報システム内における行動を制限する警告を 出す。 ③他の情報処理機構 1 2に対して、 個人認証に不審と見られる ユーザが入り込んでいることを通報する。 また、 そのユーザに関する情 報も通報してもよい。 ユーザに関する情報とは、 例えば、 そのユーザの 特徴を表す情報や使用しているュ一ザ端末 1 1のァドレスなどである。 ④システム管理者に対して、 個人認証に不審とみられるユーザが入り込 んでいることを通報する。 また、 ③と同様にユーザに関する情報も通報 してもよい。 ここで、 ①〜④の処理のうち少なくとも 1つをおこなえば よい。

( 2 ) 採集すべき情報

ユーザの正当性を繰返し判断するために、 本発明では、 ユーザの生理 的特徴や行動の中でその個人を特徴づける情報を測定する。 この測定は、 継続的に行うのが望ましい。 また、 これらの情報は、 次にあげるものの みでなく、 組み合わせて使用してもよい。

一つは、 ユーザがユーザ端末 1 1を操作する際に測定するものである _c 言い換えると、 ユーザのユーザ端末 1 1や管理者のシステム管理者端末 1 2への操作入力に関する時系列情報である。 キーボードの打鍵時系列 パターン、 マウスの動作時系列パターン、 仮名漢字変換などの文字変換 パターンなどが含まれる。 ここで、 打鍵時系列パターンには、 キーボー ドを打つ速さ、 入力ミス、 各キーの使用頻度などのデータが含まれる。 マウスの動作時系列パターンには、 マウスを動かす速さ、 方向、 所定時 刻の位置などが含まれる。 さらに、 入力ペンを動かす速さ、 方向、 所定 時刻の位置も含まれる。 ここで、 文字変換パターンには、 アルファべッ 卜の大文字小文字変換、 異なる言語間での変換 （翻訳） も含まれる。 以 下、 これらの情報を端末操作パターンと呼ぶ。

また、 端末にカメラやマイクロフォンを付加し、 これらを通じて得ら れる映像情報や音声情報も個人を特徴づける情報である。 このほか、 指 紋を採集すること、 腕時計状の装置によってユーザに固有の血流パター ンなどの生理学的情報をとり、 これを端末に通信する方法もある。

以上述べた打鍵時系列パタ一ンゃ仮名漢字変換パターンなどには、 そ れぞれ個人固有の特徴が含まれている。 本発明では、 このことに着目し て、 これらのパターン （情報） を認証診断に用いるのである。

他の一つは、 ユーザ端末 1 1からの入力によって起動されるプロダラ ムゃファイルへのアクセスパターンである。 このようなプログラムの実 行やファイル生成 ·参照 ·変更 ·消去など一連の履歴情報も、 ユーザの 個性をあらわす特徴的な情報である。 したがって、 これらの情報も認証 判断処理に活用する。 以下、 これらの情報をプログラム動作パターンと 呼ぶ。

これら二つのタイプの情報は、 ユーザ端末 1 1を利用しているユーザ の個性を特徴づけるものである。 さらに、 継続的に測定可能である。 本 発明では、 これらの情報のいずれか、 あるいはその組合わせを個人の認 証に用いる。 ここで、 不正を働く意図をもった者が、 これらの情報を奪 うおそれがある。 これに対して、 本発明では、 これらの情報を複数のパ ケットに分散してユーザ端末 1 1から情報処理機構 1 2へ送る構成を とってもよい。 このとき 1人のュ一ザの特徴情報を複数のバケツ 卜に分 散してもよい。

次に、 具体的な認証判断処理の内容を説明する。

( 3 ) 認証判断論理

本発明では、 情報システムを利用しているユーザが真のユーザ （ァク セスの権限を与えられたュ一ザ） なのか、 真のュ一ザになりすました ユーザなのかを調べ、 この結果しかるべきァクションをとる認証機能を 有する。 この際、 継続的真のュ一ザか否かを調べるとより効果的である。

この認証機能を達成するためには、 以下の事項を考慮する必要がある。 ①情報システムが大きくなればなるほど、 これを利用するユーザは固定 的でなくなる。 頻繁なユーザの参入、 退去が発生する。 ②ュ一ザの情報 システムの情報システムの利用における性癖も時間とともに変化する可 能性が大きい。

このため、 本発明では、 システム管理者が認証判断論理の構成に直接 手を加えることなく、 ユーザの行動パターン ど （ユーザの特徴的な情 報） から情報システムが判断論理を学習する構成を採用する。

^1正判断論理は、 不正なユーザが情報システムの中に入り込んでいる かどうかを検出するものである。 また、 アクション決定論理は、 不正の 疑いのあるユーザに対して所定の処置を加えたり、 情報システムに対す る防御策を講じるものである。 なお、 アクション決定論理は、 認証判断 論理の検出内容に従って結論を出すものである。

これらの論理には、 生体の免疫作用と同様の機能を持たせる。 生体に は、 自己と非自己とを弁別し、 非自己に対しては体内からこれを排除す るための攻擊活動を加える。 この自己弁別は、 遺伝子情報として先天的 に組込まれているのではなく、 認識細胞が組合せ論的に多様な構成を試 行錯誤的にとることによってその作用を達成するようになる。 すなわち、 生体の弁別の能力は、 学習により獲得される。 本発明では、 生体の免疫 作用と同様に学習を行う。 以下に、 具体的な認証判断論理と学習の仕方 を述べる。

本発明では、 ユーザの行動パターンや生理的特徴 （ユーザの特徴的な 情報であり、 以下特徴情報と呼ぶ） を生体の免疫系でいう抗原とみなす。 以下、 特徴情報を bi(t)であらわすことにする （bi(t) :ユーザ i ( i e I ) が時刻 tで示した行動パターンをあらわす特徴情報で、 ここには時 系列情報も含む） 。 また、 説明のための記号として、 ユーザ iが時刻 t までに入力した特徴情報の集積 （集まり） を Bi(t) (= (bi(s) ！ se [tO,t] } ) とあらわす。 ここのでの toは、 情報システムの動作開始時 刻である。 なお、 ここでの入力は、 ュ一ザが意識せずに情報システムに 入力される情報も含む。

本発明では、 現在測定している特徴情報が真のユーザである確からし さをあらわす判別関数 P (b， w) を定義し、 これを用いて認証判断を する。 この判別関数の関数値は、 帰属度合を表すものであるが、 帰属度 合と非帰属度合の二つの値をとるものでもよい。 ここに、 bは特徴情報 であり、 wは判別パラメータである。 判別パラメ一タ wは、 w j という 値をとり、 このパラメータを判別関数に適用したとき、 特徴情報 bの ユーザ j への帰属度合が求められる。 すなわち、 pij(t) ( = P(bi(t),wj(t)))によって、 特徴情報 bi(t)が得られたとき、 この特徴情 報の発信者がユーザ jである確からしさをあらわす。 判別パラメータ w jは、 ユーザに固有に識別するものなので、 免疫系の抗体に対応するも のである。

免疫系では、 体内に侵入した抗原に対して特異的に反応する抗体を自 己生成する一種の学習論理が備わっている。 本発明では、 同様の学習論 理を備えるため、 以下の構成とした。

まず、 学習指標 L ( i , P, B) を定義する。 これは、 特徴情報の集 積 Bに基づいてユーザ iに関する判別パラメータ w iを推定するための 関数である。 すなわち、 学習指標 L ( i , P, B) を最小化する判別パ ラメータをもってその推定値とする。 場合によっては、 判別パラメ一タ を再帰的に推定するのが都合の良い場合もある。 このために、 学習指標 も再帰的に表現する必要があるが、 この表現は、 L* ( i , w i 0, P， B) という形をとるものとする。 言い換えれば、 ユーザ iに関する判別 パラメータ w iを初期推定値 w i 0から推定する構成としている。

この指標を用いた、 時刻 tでのユーザ i を識別するための判別パラ メータ wi (t)は以下の通り表すことができる。

wi(t)=arg min(w) {L(i, P(bi'₍ w), bi'eBi'(t) for all i，） } … （1) wi (t) =arg min( ) {L* (i, wiO, P(bi', w) , bi'eBi'(t) for all i，） }

… （1) , ここで、 arg min(w) {}は、 変数 wに着目して {}内を最小にする項を意 味する。 この判別パラメータの推定の進行度合を把握する必要があるが、 これは次のように定義する学習指標値を用いる。

mi(t) ： 学習指標値 (二 min(x) {L(i，P(bi，， w),bi， GBi'(t) for all i')} もしくは、 min(x) {L* (i, wiO, P(bi', w) , bi'eBi'(t) for all i') } ここで、 以上のことを考慮した本発明での学習の仕方は次のようにな る。 この学習の仕方は、 従来の統計的な手法やルールベース手法よりも 実現象への適合性がよいという効果を生む。

もし、 判別関数と して特徴情報を入力として帰属度を出力とする ニューラルネットワークによって構成すると、 学習指標は出力誤差の自 乗値であり、 バックプロパゲーションは再帰型表現によるパラメータ推 定の論理とみなすことができる。 また、 判別関数としてフアジィルール ベースを用いると、 判別パラメータはルールに含まれる適合度を定義す るパラメータが相当する。 この場合、 学習指標に基づいて学習するとは、 適合度パラメータを最適化することに相当し、 この指標としては出力誤 差の自乗値をとればよい。

フアジィルールベースは、 個人の認証をするのにどんな特徴情報を組 み合わせて用いればよいかといつた程度の知識がある場合に好都合であ る。 一方、 ニューラルネッ トワークはこのような先見知識が全くない時 に有用である。

上記の式 （1 ) および （1 ) 'では最小化操作が含まれているが、 種々 の特徴情報の組合せを選ぶ場合には、 この操作としてランダム探索を含 む遺伝的アルゴリズムを採用するとより効果的である。 この採用は、 判 別関数がニューラルネッ トワークにより構成されよう力 S、 フアジィルー ルベースで構成されようが、 特に問題は生じない。

以上、 本発明における認証や学習の基本的な枠組みについて述べた。 次により具体的に認証や学習を行うかについて述べる。

( a ) 特徴情報の蓄積

ユーザの行動パターンを表す特徴情報は、 そのまま蓄積すると遐大な 量になってしまう。 ここでの特徴情報とは、 入力される特徴情報と比較 するために情報システムが保持する必要があるもの。 このため、 デ一タ の圧縮をすることが不可欠である。 また、 認証においてあまり過去の特 徴を利用すると、 もはや実際に出願しないユーザの性癖 （特徴情報） を 考慮することになり好ましくない。 このため、 特徴情報は、 一定時間を 過ぎたものは廃棄するか、 学習に用いないようにする。 一定時間として は、 予め定めておいてもよい。 また、 ユーザ毎に変えてもよい。 ユーザ 毎に変える場合は、 各ユーザのアクセス頻度に基づいて定める。

( b ) 初期学習

ュ一ザが初めて情報システムにアクセスしょうとする際、 繰返し認証 手段 1 2 2は、 入力された特徴情報から認証論理を構築する。 このこと を初期学習と呼ぶ。 これは、 学習指標値 mi (t)があるしきい値 mi 0に到 達するまでは、 集積データから判断パラメータを継続的に学習すること を意味する。 このプロセスを式に表せば次のようになる。

mi (t0) =mit 0 ( = const) tO二初期時刻 for t>tO

if mi (t)≤miO ( = const'<mitO)

then wi (t) =arg min(w) {L(i, P(bi', w) | bi'EBi'(t) for all i')} & nd (t) =rain(w) {L(i,P(bi，， w) ！ bi'eBi'(t) for all i') otherwise do nothing (データの蓄積） … （2)

ここでは、 学習指標値を初期時刻には適当な値に設定し、 以降の時刻 で目標とする指標値 miOに到達するまで学習を繰り返す。 式 （2) では、 再帰型の学習指標を用いてもよい。

もし、 ュ一ザが過去に別の情報処理機構において、 繰返し認証手段 1 2 2にアクセスした経験があり、 その判別関数が作られている場合には、 通信ネットワーク 1 3を通して判別関数および判別パラメータを複写し て当該情報処理機構 1 2の繰返し認証手段 1 2 2に登録するする。 この ことにより、 初期学習の手間を省くことができる。

(c) 認証判断

初期学習が終了した時点で、 認証を開始する （ユーザが情報システム にアクセスするのが 2度目以降の場合は初期学習無しに） 。 ユーザ i と 称するユーザがユーザ jである確からしさを次のように算出する。

if mi (z) ^ mio then piju) = P (bi (t) , wj ) ) otherwise pi j )

= null for all i, j … ( 3) ここで、 nullとは判断パラメータの学習が終了しておらず、 判断を保 留することを意味する。

( d) 追加学習

データの集積の要素数が一定値以上であれば、 それまでの判別パラ メータ値を初期値として再度パラメータ推定をする。 推定結果がよけれ ばパラメ一タ値を更新し、 そうでなければそのままとする。 すでに、 判 別パラメータが推定されているのだから、 この場合には、 再帰型の学習 指標を利用する。 これらのプロセスは次のように表現される。

if ョ i such that mi (t) ≤ mio and Φ , { Δ Bi (t', t) ( = Bi(t)/Bi(t'),t'<t)}≥a

then if min(w) {L*(i, wi (t'), P(bi', w) | bi' e厶 Bi' (t'， t) for all i')} <mi (f)

then wi (t) =arg min(w) {L*(i, wi (t，）， P(bi'， w) ！ bi'e厶 Bi，（t', t) for all i')}

&mi (t) =min(w) {L*(i, wi (t') , P(bi', w) | bi' e厶 Bi，（1', t) for all i')}

oterwise wi (t) =wi (t') & mi (t)二 mi (t，)

ここで、 Φは集合の濃度を表す。

( e ) ァクション決定

ァクション決定手段 1 25では、 あらかじめ定めた値域 R(n)と判別 結果とを照合し、 しかるべきアクションを発行する。 具体的には、 以下 の通りである。 状況によっては、 I F部分に対して、 忘却係数をいれた 積分的な評価および緊急時における忘却係数調整も行う。

if Upij(t) ！ i, jei}, {mi (t) ί iei}} eR (_n) then

アクション番号二 n n = 1 , N … （5) 主要なァクション決定ルールには、 次のようなものがある。

(ィ） if 学習が十分に進行しており、 Piiが大、 かつ pij(i≠j)が小 then 正当なュ一ザであり、 そのままアクセス許容

(口） if 学習がやや進行しており、 piiが大、 かつ pij(i≠j)が大 （い ずれかの jが）

then 他のユーザと偽っているユーザの可能性が高く緊急体制 に入る必要あり

緊急体制としては、 「情報システムのシステム管理者に知らせる」 「ユーザが利用を望むシステム資源の利用を制限する」 「当該ユーザの システム利用ログの密度を高める」 「当該ユーザに警告を発する」 「当 該ユーザに特徴情報の入力をうながす」 などがある。

(ハ） if 学習がやや進行しており、 pi iが小、 かつ _Pi j (i≠j)が小 then ユーザと認められていない者が情報システムを利用して いる判断し、 緊急体制に入る

並行して、 過去のユーザの判別関数、 判別パラメータを用いて、 ユー ザの特定を試みると同時に、 このュ一ザの特徴情報に対する学習を開始 する。 特に、 情報システムの建設に関わった者が不正行為をする事例が しばしばみられる。 そこで、 情報システムの建設に関与者の判別関数お よび判別パラメータのうち少なくとも一方を情報システムの建設時に学 習し、 情報システムの運用時にも活用できるようにしておく。

これらのアクションルールは、 I F〜 T H E N形式で記述することに より、 内容の分かり易さが増し、 よりきめ細かな情報システムの管理を 支援できる。

( 4 ) 分散強調繰返し認証機能

分散計算機では、 第 2図に示すような構成をとる。 各々の繰返し認証 手段 1 2 2がお互いに連携して動作する。 ここでは、 情報システムとし て次のような動作モデルを想定する。 ①複数の情報処理機構 1 2があり、 それぞれの情報処理機構は認証機能を有する繰返し認証手段 1 2 2を備 える。 ②ュ一ザは、 これら複数の情報処理機構 1 2を渡り歩く。 ③それ ぞれの情報処理機構 1 2の繰返し認証手段 1 2 2は、 ュ一ザがその情報 処理機構 1 2を管理する資源を訪れた時のみ特徴情報を観測できる。 このような分散計算機システムにおいて留意すべき事柄を次にあげる。 ①情報システム全体として、 認証の質をあげるべきである （第 1種、 第 2種の過誤をできるだけ少なくする） 。 ②しかし、 このために観測デ一 タをすべて交換してしていては、 ネッ トワークにかける負担が大きくな る。 したがって、 ネットワークに負荷をできるだけかけないで認証の質 を高く保つ必要がある。 ③情報処理機構 1 2は、 保守を受けるために停 止したり、 新たにシステムに追加されたりする。 しかし、 各情報処理機 構 1 2で行う認証の質は、 できるだけ均質であることが望ましい。 ある いは、 漸次的に同質になるのが望ましい。

これらに事項を考えて、 分散計算機システムでの学習、 認証、 ァク ション決定を構成すると次のようになる。

(a) 分散協調的学習

分散計算機システムにおける認証論理を構成するために、 次の記号を 定義する。

bi ！ k(t) ：時刻 tに、 ユーザ i(iei)が情報処理機構 k(kGK)に入力し た特徴情報

Bi ！ k(t) ：時刻 tまでに、 ユーザ i(iei)が情報処理機構 k(keK)に入 力した特徴情報の集積 （bi ！ k( s ) ！ s≤t)

wi ！ k(t) ：情報処理機構 k (k eK) が持つュ一ザ i ( i e I ) に対 する学習指標値

さらに、 認証のために情報交換に係わる情報処理機構群 1 2の状態と して次のものを想定する。

送り側の状態 = {初期学習完了、 効果ある追加学習完了）

受け側の状態 = (未学習、 追加学習中）

このような想定下に、 送り側がなすべきを次にように構成する。 初期 学習が完了した時点では、 推定パラメータをブロードキャストし、 未学 習の情報処理機構 1 2を助ける。 効果のある追加学習ができた場合には、 この追加学習に用いたデータが有用であるとしてブロードキャス卜する とう考え方である。 このことを数式で表現すると次のようになる。 初期学習完了

if ゴ i such that mi | k (.t)≤mi ！ ko&mi ！ k(tノ mi | ko (for any t'<t) then broadcast wi ！ k(t) … (6)

効果ある追加学習完了

if ョ i such that mi ！ k (t) ≤ mi ！ k(t') (for any t' < t) then broadcast { ABi i k (t) | for all i} ·■■ (7)

—方、 受け側の動作は次のようになる。 すなわち、 未学習時に推定パ ラメータを受信した場合には、 これを初期値として学習を試行する。 学 習終了段階では、 データを受信して追加学習する。 このほか、 未学習時 にデータを受信して、 その時点までにもっていたデータと併せて初期学 習を試行することも可能である。 具体的にこの手順をあらわすと次のよ うになる。

未学習

if mi ！ k' (t >mi | k'O&wi i k(t) is recieved

then if min(w) {L*(i, wi | k (t)， P(bi'， w) | bi'^Bi' ！ k'(t)for all l ) }≤mi I k'o

then wi ！ k'(t) = arg min(w) {L*(i, wi ！ k (t) , P (bi'， w) ！ bi'e Bi'！ k'(t) for all i，）}

& mi ! k'(t) =min(w) {L*(i, wi ！ k (t) , P(bi', w) | bi'GBi'！ k'(t) for all i，）} ··· (8)

追加学習

if mi ！ k'(t)≤mi ！ k"0&{ABi ！ k(t) ！ for all i} is recieved then if min(w) {L*(i, wi ！ k' (t) , P (bi', w) | bi'G ΔΒϊ'！ k'(t)for all i')} <mi I k，（t)

then wi ！ k'(t) =arg rain(w) {L*(i, wi | k'(t), P(bi', w) | bi'e 厶 Bi" i k，（t) for all i')} & mi ！ k' (t) = min (w) {L* (i , wi ！ k' (t) , P (bi'， w) ', bi' e Δ Βί " ！ k' (t) for al l i，）} … ( 9 )

このように、 分散計算機システムにおいて、 学習論理を分散協調的に 構成することにより、 一つの情報処理機構では、 成し遂げられなかった 精度の高レ、認証論理を構築可能となる。

( b ) 分散協調的認証およびァクション決定

第 2図に示すような分散計算機システムの各々の情報処理機構 1 2で の認証、 アクション決定は、 先に述べた分散強調学習論理によって各情 報処理機構 1 2が獲得した判別パラメータを各々がおこなえばよい。 こ の場合に、 各情報処理機構 1 2が相互に干渉するアクションを発行した 方が適切なことがある。

たとえば、 ある情報処理機構で、 正当性の低いユーザの存在が検出さ れた場合を想定してみる。 このような場合、 単にそのアクションを自己 の情報処理機構の範囲に留めておくよりも、 他の情報処理機構に通報し た方が安全性が高める。 また、 このような報告を他の情報処理機構から 受信した場合は、 自己の情報処理機構に対して報告に応じた対応措置を とる。 対応措置としては、 通報されたユーザに対してはアクセスを禁止 することなどがある。

このため、 分散計算機システムにおいては、 式 （5 ) で述べたァク ション決定ルールとしては、 学習指標値の高い判別関数値を持つもの (予め基準を定めておきそれよりも学習指標値の高いもの） をマージし て判別結果を求め、 この結果をアクション決定に結び付ける、 といった 形のものとする。

たとえば、 他人になりすましたユーザが検出された場合には、 このこ とを他の情報処理機構に伝える。 また、 このような報告が他の情報処理 機構から送られてきた場合には、 自己の判断にこの報告を勘案して、 そ のアクションを決定する。 このようなマージ処理により、 情報システム 全体としてのユーザの挙動の判断、 対応措置を的確に行えるようになる。

( 5 ) アクセス管理の全体動作

以上述べたアクセス管理の全体動作をまとめると第 3図のようになる。 ユーザは、 情報システム利用の申請を所定の手順に従って行う。 情報処 理機構 1 2は、 ユーザの性癖 （ユーザを特定する情報） を学習するまで は、 情報処理機構 1 2自身の持つ資源のうち所定のもの限定して利用を 許諾する。 例えば、 全ての人間に解放しても問題のない公的な資源など のみに限定して利用を許諾する。 情報処理機構 1 2が、 ユーザの性癖を 学習した段階で、 資源の活用を解放する。 この資源の活用もユーザに よって多段階的に解放する構成もある。 また、 資源の解放の他に情報処 理機構は、 ユーザの正当性を認証し、 必要に応じて資源解放の範囲を制 限する。 ここで、 ユーザの正当性の認証は、 継続的行ってもよい。 産業上の利用可能性

本発明によれば、 情報システムにアクセスしている者 （ユーザ） をそ の動作特性のレベルで監視しているので、 情報システムにおける不正な 行為を抑止できる。 さらに、 本発明のアクセス管理方法は、 分散協調的 に行うことができるので、 不正な攻撃や予期しない情報システムの部分 故障に対しても非常に強靭である。

以上の通り、 本発明は、 情報システムの安定的な管理に適したもので ある。

Claims

請 求 の 範 囲

1 . 入力された情報に対して所定の処理を施す複数の情報処理機構と、 前記情報処理機構での処理を実行させるための情報を入力可能な複数の 端末と、 前記情報処理機構および前記端末を結合するネッ トワークから なる情報システムにおいて、

予め前記システムに蓄えられた所定の資源を利用可能な者の個性を表 す特徴情報を記憶しておき、

前記端末を操作している操作者の個性をあらわす特徴情報を反復的に 取り込み、

前記取り込んだ特徴情報および前記記憶された特徴情報から反復的に 前記操作者が利用を望む資源の利用可能な者である確からしさを求め、 求められた確からしさに応じて前記情報システムの動作を変更するこ とを特徴とする情報システムのアクセス管理方法。

2 . 請求の範囲第 1項に記載の情報システムのアクセス管理方法におい て、

前記確からしさは、 前記取り込んだ特徴情報および前記記憶された特 徴情報から判別関数を用いて求めることを特徴とする情報システムのァ クセス管理方法。

3 . 請求の範囲第 2項に記載の情報システムのアクセス管理方法におい 前記判別関数の関数構造を予め定めておき、

前記取り込んだ特徴情報を用いて前記判別関数のパラメータを変更す ることを特徴とする情報システムのアクセス管理方法。

4 . 請求の範囲第 2項または第 3項に記載の情報システムのアクセス管 理方法において、 前記判別関数は、 前記操作者が利用を望む資源の利用可能な者である 確からしさおよび前記操作者が利用を望む資源の利用不可能な者である 確からしさを求めることを特徴とする情報システムのアクセス管理方法。

5 . 請求の範囲第 1項乃至第 4項のいずれかに記載の情報システムのァ クセス管理方法において、

前記各情報処理機構間で前記取り込んだ特徴情報を互いに交換し、 前記確からしさを求める際は、 前記交換された特徴情報も用いること を特徴とする情報システムのアクセス管理方法。

6 . 請求の範囲第 1項乃至第 5項のいずれかに記載の情報システムのァ クセス管理方法において、

前記取り込む特徴情報は、 前記操作者の前記端末への操作入力に関す る時系列情報および前記操作者の操作により引き起こされる前記情報処 理機構に格納された情報の動作の時系列情報のうち少なくとも一方を含 むことを特徴とする情報システムのアクセス管理方法。

7 . 請求の範囲第 1項乃至第 6項に記載の情報システムのアクセス管理 方法において、

前記操作入力の時系列情報として、 予め前記端末に設置したセンサか ら取り込まれる前記操作者の生理的な特徴を含むことを特徴とする情報 システムのアクセス管理方法。

8 . 請求の範囲第 1項乃至第 7項のいずれかに記載の情報システムのァ クセス管理方法において、

1人の操作者に関する前記取り込む特徴情報が複数ある場合は、 前記 複数の特徴情報を 2以上のバケツトとして、 前記ネットワークを通して 前記情報処理機構に送ることを特徴とする情報システムのアクセス管理 方法。

9 . 請求の範囲第 1項乃至第 8項のいずれかに記載の情報： クセス管理方法において、

前記確からしさは、 前記情報処理機構の 1つが求め、

前記求めた情報処理機構は、 他の情報処理機構に求めた結果を前記 ネットワークを通して送ることを特徴とする情報システムのアクセス管 理方法。

1 0 . 請求の範囲第 1項乃至第 9項のいずれかにに記載の情報システム のアクセス管理方法において、

前記特徴情報の取り込みは、 所定時間毎に行うことを特徴とする情報 システムのアクセス管理方法。

1 1 . 請求の範囲第 1項乃至第 1 0項いずれかに記載の情報システムの ァクセス管理方法において、

前記情報システムの動作を変更として、 前記確からしさの程度に応じ て、 前記操作者が望む資源に対する利用に制限をつけることを特徴とす る情報システムのアクセス管理方法。

〗 2 . 入力された情報に対して所定の処理を施す情報システムにおいて、 予め前記システムに蓄えられた所定の資源を利用可能な者の個性を表 す特徴情報を記憶しておき、 - 前記情報システムを操作している操作者の個性をあらわす特徴情報を 反復的に取り込み、

前記取り込んだ特徴情報および前記記憶された特徴情報から反復的に 前記操作者が利用を望む資源の利用可能な者である確からしさを求め、 求められた確からしさに応じて前記情報システムの動作を変更するこ とを特徴とする情報システムのアクセス管理方法。