[go: up one dir, main page]

JP2018174444A - Incident notification device and incident notification program - Google Patents

Incident notification device and incident notification program Download PDF

Info

Publication number
JP2018174444A
JP2018174444A JP2017071373A JP2017071373A JP2018174444A JP 2018174444 A JP2018174444 A JP 2018174444A JP 2017071373 A JP2017071373 A JP 2017071373A JP 2017071373 A JP2017071373 A JP 2017071373A JP 2018174444 A JP2018174444 A JP 2018174444A
Authority
JP
Japan
Prior art keywords
incident
notification
telephone terminal
call
voice
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2017071373A
Other languages
Japanese (ja)
Inventor
毒島 圭一
Keiichi Busujima
圭一 毒島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Electric Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd filed Critical Oki Electric Industry Co Ltd
Priority to JP2017071373A priority Critical patent/JP2018174444A/en
Publication of JP2018174444A publication Critical patent/JP2018174444A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Alarm Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide a device or a program for notifying a person involved in computer network monitoring, automatically of occurrence of an incident.SOLUTION: An incident notification device (10) for notifying of occurrence of incident when the incident is detected in a computer network (14) has an abnormality level database (54) for storing a discrimination reference of the abnormality level of incident, a notification destination database (72) for registering the identification number (76) assigned to a predetermined telephone terminal (42) becoming the notification destination of incident, a discrimination section (52) for discriminating the abnormality level of an incident detected on the basis of discrimination references of abnormality level (58, 60) and notifying of occurrence of an incident, and a call control section (66) for receiving the identification number (76) of a telephone terminal determined as the notification destination from the notification destination database (72), and calling the telephone terminal (42) to which the identification number is assigned.SELECTED DRAWING: Figure 2

Description

本発明は、インシデント通知装置およびインシデント通知プログラム、より具体的には、コンピュータネットワーク内で検出されたインシデントを通知するインシデント通知装置およびインシデント通知プログラムに関するものである。   The present invention relates to an incident notification device and an incident notification program, and more specifically to an incident notification device and an incident notification program for notifying an incident detected in a computer network.

現代社会において、コンピュータネットワーク、特にインターネットは不可欠な社会基盤となっている。これに伴い、コンピュータネットワークを通じて企業や組織、個人のコンピュータシステムに対する不正なアクセスおよびデータの窃取、改竄または破壊のようなサイバー攻撃(サイバーテロ)の脅威が増大している。   In modern society, computer networks, especially the Internet, have become an indispensable social infrastructure. Along with this, the threat of cyber attacks (cyber terrorism) such as unauthorized access to computer systems of corporations, organizations and individuals through computer networks and theft, tampering or destruction of data is increasing.

このような脅威の増大に伴い、企業等の側でも対策を講じている。例えば、インターネットなどの外部コンピュータネットワークと内部コンピュータネットワークの境界部に、悪意をもった者による内部コンピュータネットワークへのサイバー攻撃や不正アクセスを防ぐ様々な対策システムを設けている。対策システムの具体例としては、一定の基準に従って不正と判断される通信を遮断するファイアウォールや、外部から受け取ったプログラムを保護された領域内で動作させるサンドボックスなどが挙げられる。   As such threats increase, companies are taking measures. For example, various countermeasure systems are provided at the boundary between an external computer network such as the Internet and an internal computer network to prevent a cyber attack and unauthorized access to the internal computer network by a malicious person. Specific examples of the countermeasure system include a firewall that blocks communication that is determined to be illegal according to a certain standard, and a sandbox that operates a program received from outside in a protected area.

企業等はさらに、サイバー攻撃に対する監視体制を強化すべく、対策システムの稼働状況を監視するセキュリティオペレーションセンタ(Security Operation Center: SOC)を構築している場合がある。SOC内では、対策システムの稼働状況に関するログが表示されるモニタ画面を監視者が常時監視し、内部コンピュータネットワークのセキュリティを脅かす事象、すなわちインシデントを検出した場合や内部コンピュータネットワークに異常が発生した場合に即座に対処できるようにしている。このようにして、SOCでは常に、まさに24時間365日にわたって内部コンピュータネットワークの安全を監視している。   In addition, companies and others may have established a Security Operation Center (SOC) that monitors the operation status of countermeasure systems in order to strengthen the monitoring system against cyber attacks. In the SOC, when a monitor constantly displays a monitor screen that displays a log related to the operation status of the countermeasure system, an event that threatens the security of the internal computer network, that is, when an incident is detected or an abnormality occurs in the internal computer network To be able to deal with it immediately. In this way, SOC always monitors the safety of the internal computer network for exactly 24 hours a day, 365 days a year.

特開2003-110723号公報JP 2003-110723 A

上述のように、SOCでは監視者が常駐して異常の有無を監視しているものの、異常発生時にはネットワークの遮断、コンピュータの隔離、経営者への連絡など、SOCとしての迅速な判断および対応が必要とされる。そのため、セキュリティエンジニアおよび監視責任者は常にモニタ画面を監視できる状況下にいなければならない。そのため、ネットワークの監視に携わる人材の不足や人件費の高騰などといった課題が発生している。特許文献1等のように、SOCまたは同様の拠点を利用する監視システムに関連する技術は存在するが、いずれの技術においてもその課題を解決できていない。   As described above, in SOC, a supervisor is stationed and monitors whether there is an abnormality. However, when an abnormality occurs, quick judgment and response as an SOC can be made, such as shutting down the network, isolating computers, and contacting management. Needed. For this reason, security engineers and supervisors must always be able to monitor the monitor screen. For this reason, problems such as a shortage of human resources involved in network monitoring and rising labor costs have arisen. Although there exists a technique related to a monitoring system that uses an SOC or a similar base as in Patent Document 1 or the like, none of the techniques can solve the problem.

ところで、異常発生時にはセキュリティエンジニアや監視責任者に対して電子メールにて通知するという手段をとることもできる。しかしながら、特にサイバー攻撃に起因する異常発生時には1秒でも早い対処が求められる。そのため、メールによる異常通知は責任者不在の場合における最善策であるとは言えるものの、一刻を争うサイバー攻撃への対処としては致命的な時間ロスが生じる可能性もある。   By the way, when an abnormality occurs, it is possible to take a means of notifying the security engineer or the supervisor in charge by e-mail. However, when an abnormality occurs due to a cyber attack in particular, a quick response is required even for one second. For this reason, although notification of abnormalities by e-mail can be said to be the best measure in the absence of the person in charge, there is a possibility that a fatal time loss may occur as a countermeasure against a cyber attack competing for a moment.

本発明はこのような課題に鑑み、コンピュータネットワークの監視に携わる者へ自動的にインシデントの発生を通知するインシデント通知装置またはプログラムを提供することを目的とする。   SUMMARY OF THE INVENTION The present invention has been made in view of the above problems, and an object of the present invention is to provide an incident notification apparatus or program for automatically notifying occurrence of an incident to a person who is involved in computer network monitoring.

本発明によるインシデント通知装置は上述の課題を解決するために、インシデントの異常レベルの判別基準を格納する異常レベルデータベースと、インシデントの通知先となる所定の電話端末に割り当てられた識別番号を登録する通知先データベースと、異常レベルの判別基準に基づいて検出されたインシデントの異常レベルを判別し、インシデントの発生を通知する電話端末を決定する判別部と、判別部により通知先として決定された電話端末の識別番号を通知先データベースから受けとり、受けとった識別番号が割り当てられた電話端末への発呼を行う呼制御部とを有する。   In order to solve the above-described problem, the incident notification device according to the present invention registers an abnormal level database that stores criteria for determining an abnormal level of an incident, and an identification number assigned to a predetermined telephone terminal that is an incident notification destination. A notification destination database, a determination unit that determines an abnormality level of an incident detected based on an abnormality level determination criterion, determines a telephone terminal that notifies the occurrence of an incident, and a telephone terminal that is determined as a notification destination by the determination unit And a call control unit for making a call to the telephone terminal to which the received identification number is assigned.

また、本発明によるインシデント通知プログラムは、コンピュータを、インシデントの異常レベルの判別基準を格納する異常レベルデータベース、インシデントの通知先となる所定の電話端末に割り当てられた識別番号を登録する通知先データベース、異常レベルの判別基準に基づいて検出されたインシデントの異常レベルを判別し、インシデントの発生を通知する電話端末を決定する判別手段、および判別手段により通知先として決定された電話端末の識別番号を通知先データベースから受けとり、受けとった識別番号が割り当てられた電話端末への発呼を行う呼制御手段として機能させる。   In addition, the incident notification program according to the present invention includes a computer, an abnormality level database that stores a criterion for determining an abnormality level of an incident, a notification destination database that registers an identification number assigned to a predetermined telephone terminal that is an incident notification destination, Determines the abnormal level of the incident detected based on the abnormal level determination criteria, determines the telephone terminal that notifies the occurrence of the incident, and notifies the identification number of the telephone terminal determined as the notification destination by the determining means It is made to function as call control means for making a call to a telephone terminal that is received from the destination database and assigned the identification number received.

本発明によれば、インシデントに対応すべき責任者がSOCに常駐していなくても、検出されたインシデントの内容に応じてコンピュータネットワークの監視に携わる者へ自動的にインシデントの発生を通知することができるという特有の効果を奏する。   According to the present invention, even if a person who should respond to an incident is not resident in the SOC, the occurrence of the incident is automatically notified to a person who is in charge of monitoring the computer network according to the content of the detected incident. There is a unique effect of being able to.

本発明に係るインシデント通知装置の実施例を用いるコンピュータネットワークの構成を示す概略的な図である。1 is a schematic diagram showing a configuration of a computer network using an embodiment of an incident notification device according to the present invention. 本発明に係るインシデント通知装置の実施例の構成を示す概略的な図である。1 is a schematic diagram illustrating a configuration of an embodiment of an incident notification device according to the present invention. 本発明の実施例を用いて実行される通知動作の一例をフローチャートとして示す図である。It is a figure which shows an example of the notification operation | movement performed using the Example of this invention as a flowchart. コンピュータを本発明の実施例として稼働させるときの構成を概略的に示す図である。It is a figure which shows roughly the structure when operating a computer as an Example of this invention.

次に添付図面を参照して本発明によるインシデント通知装置の実施例を詳細に説明する。図1を参照すると、本発明によるインシデント通知装置10の実施例は、例えばインターネット等の外部コンピュータネットワーク12と接続されている内部コンピュータネットワーク14の構成機器として設置されている。本実施例に係るインシデント通知装置10は、サイバー攻撃の監視に伴い内部コンピュータネットワーク14のセキュリティを脅かすインシデントを検出したときには、当該検出を利用者に対して知らせる動作を行う。外部コンピュータネットワーク12と内部コンピュータネットワーク14の間は、通信回線16によって接続されている。   Next, an embodiment of an incident notification device according to the present invention will be described in detail with reference to the accompanying drawings. Referring to FIG. 1, an embodiment of an incident notification device 10 according to the present invention is installed as a component device of an internal computer network 14 connected to an external computer network 12 such as the Internet. When the incident notification device 10 according to the present embodiment detects an incident that threatens the security of the internal computer network 14 in accordance with monitoring of a cyber attack, the incident notification device 10 performs an operation of notifying the user of the detection. The external computer network 12 and the internal computer network 14 are connected by a communication line 16.

内部コンピュータネットワーク14の内側、特に外部コンピュータネットワーク12と内部コンピュータネットワーク14の境界部には、外部コンピュータネットワーク12からの不正アクセスやサイバー攻撃を様々な方法で防ぐ対策システム群18が設けられている。   A countermeasure system group 18 for preventing unauthorized access and cyber attacks from the external computer network 12 by various methods is provided inside the internal computer network 14, particularly at the boundary between the external computer network 12 and the internal computer network 14.

不正アクセスやサイバー攻撃の手口は様々であることから、ネットワーク14の内部に設けられる対策システム群18は、様々な種類の対策システム20〜30から構成されることが通常である。なお、対策システム群18を構成する対策システム20〜30のそれぞれは、一般的に防御性能に優れる傾向にある実機器すなわちハードウェアであっても、導入容易性の高い傾向にあるソフトウェアであっても構わない。また、対策システムごとにハードウェアとソフトウェアを使い分けても構わない。   Since there are various methods of unauthorized access and cyber attacks, the countermeasure system group 18 provided in the network 14 is usually composed of various types of countermeasure systems 20-30. Each of the countermeasure systems 20 to 30 constituting the countermeasure system group 18 is software that tends to be easy to install even if it is an actual device or hardware that generally tends to be superior in defense performance. It doesn't matter. In addition, hardware and software may be properly used for each countermeasure system.

対策システム群18を構成する対策システムの一例として、外部コンピュータネットワーク12と内部コンピュータネットワーク14の境界部に設けられ、この境界部を通過しようとする通信を監視し、一定の基準に従って不正と判断できる通信を遮断するファイアウォール20が挙げられる。   As an example of the countermeasure system that constitutes the countermeasure system group 18, it is provided at the boundary between the external computer network 12 and the internal computer network 14, and communications that attempt to pass through this boundary can be monitored and determined to be illegal according to a certain standard. One example is a firewall 20 that blocks communication.

また、対策システム群18を構成する対策システムの別の例として、不正な通信の存在を検知して監視者に通報する不正侵入検知システム(Intrusion Detection System: IDS)または不正な通信の存在を検知したときに当該通信を遮断する不正侵入防御システム(Intrusion Prevention System: IPS)が挙げられる。なお、図1に示すように、不正侵入の検知機能と防御機能を兼ね備えるIDS/IPS 22としてシステム化されていることも多い。IDS/IPS 22によれば、一定の基準に該当せずにファイアウォール20を通過してしまった不正通信に対しても内部コンピュータネットワーク14を守ることができる。   In addition, as another example of the countermeasure system that constitutes the countermeasure system group 18, an intrusion detection system (IDS) that detects the presence of unauthorized communication and reports it to the supervisor or detects the presence of unauthorized communication An intrusion prevention system (IPS) that blocks the communication when it is done. As shown in FIG. 1, the system is often systematized as IDS / IPS 22 having both an intrusion detection function and a defense function. According to IDS / IPS 22, it is possible to protect the internal computer network 14 against unauthorized communication that does not meet certain standards and has passed through the firewall 20.

対策システム群18を構成する対策システムのさらに別の例として、電子メールを介するサイバー攻撃から内部コンピュータネットワーク14を守るメールセキュリティ24が挙げられる。メールセキュリティ24によれば、例えばウイルスに感染した電子メールや、別人に成りすまして個人情報を詐取するいわゆるフィッシングサイトに誘導する電子メールを検出および駆除するなど、電子メールを使用するサイバー攻撃を防ぐことが可能となる。   Still another example of the countermeasure system that constitutes the countermeasure system group 18 is mail security 24 that protects the internal computer network 14 from cyber attacks via electronic mail. E-mail security 24 prevents cyber-attacks that use e-mail, such as detecting and removing e-mail infected with viruses or e-mail that leads to a so-called phishing site that impersonates another person and steals personal information. Is possible.

対策システム群18を構成する対策システムのさらに別の例として、企業や企業内のネットワーク14に対して害を及ぼす危険性があるウェブ(Web)サイトへの接続を制限するWebフィルタ26が挙げられる。Webフィルタ26によって接続を制限されるWebサイトの例としては、閲覧しただけでウイルスに感染するWebサイトや、情報の漏洩を目的としてアクセスされる可能性があるWebサイト等がある。   Yet another example of a countermeasure system that constitutes the countermeasure system group 18 is a web filter 26 that restricts connection to a web site that may be harmful to the company or the network 14 within the company. . Examples of websites whose connection is restricted by the web filter 26 include websites that are infected by a virus just by browsing, websites that may be accessed for the purpose of information leakage, and the like.

対策システム群18を構成する対策システムのさらに別の例として、外部から受け取ったプログラムを保護された領域内でのみ動作させることで、領域外へ悪影響が及ぶことを防ぐサンドボックス28が挙げられる。サンドボックス28によれば、仮に外部コンピュータネットワーク12から受け取ったプログラムが悪質なものであったとしても、コンピュータの他の部分から隔離された所定の仮想環境の外にあるプログラムやデータなどを保護することができる。   As still another example of the countermeasure system constituting the countermeasure system group 18, there is a sandbox 28 that prevents an adverse effect from being exerted outside the area by operating the program received from outside only in the protected area. According to the sandbox 28, even if a program received from the external computer network 12 is malicious, it protects programs and data outside a predetermined virtual environment isolated from other parts of the computer. be able to.

対策システム群18を構成する対策システムのさらに別の例として、内部コンピュータネットワーク14の末端に接続されたサーバ、パーソナルコンピュータまたはスマートフォン等のような端末に搭載されてサイバー攻撃からこれらの端末機器を保護するエンドポイントセキュリティ30が挙げられる。   As another example of the countermeasure system that constitutes the countermeasure system group 18, these terminal devices are protected from cyber attacks by being mounted on a terminal such as a server, personal computer, or smartphone connected to the end of the internal computer network 14. And endpoint security 30.

内部コンピュータネットワーク14は、対策システム群18で検出したインシデントを監視および分析するインシデント管理装置32を有する。対策システム群18の各対策システム20〜30は、通信回線34を介してインシデント管理装置32に接続され、ネットワーク14のセキュリティを脅かすおそれのあるインシデントを検出すると、そのインシデントに関するログを通信回線34へ出力する。インシデント管理装置32は、通信回線34を介してインシデントに関するログを受け取ると、受け取ったログを自立的に集約し、集約したログを監視および分析する。図1では図示の便宜上、通信回線34は対策システム群18とインシデント管理装置32を接続する回線としてまとめて示されているが、対策システム20〜30のそれぞれとインシデント管理装置32が個別的に接続されている構成であってもよい。   The internal computer network 14 includes an incident management device 32 that monitors and analyzes incidents detected by the countermeasure system group 18. Each countermeasure system 20-30 of the countermeasure system group 18 is connected to the incident management device 32 via the communication line 34. When an incident that may threaten the security of the network 14 is detected, a log related to the incident is sent to the communication line 34. Output. When the incident management apparatus 32 receives the log related to the incident via the communication line 34, the incident management apparatus 32 independently aggregates the received logs, and monitors and analyzes the collected logs. In FIG. 1, for convenience of illustration, the communication line 34 is collectively shown as a line connecting the countermeasure system group 18 and the incident management apparatus 32, but each of the countermeasure systems 20 to 30 and the incident management apparatus 32 are individually connected. It may be configured.

すでに述べた通り、内部コンピュータネットワーク14を構築した企業等は、同ネットワーク14がサイバー攻撃にさらされていないか監視するセキュリティオペレーションセンタ(SOC)をさらに設けることが一般的である。なお、SOCは企業等が自ら構築運用するものであっても、または外部サービスを委託利用するものであっても構わない。   As described above, companies that have built the internal computer network 14 generally have a security operation center (SOC) that monitors whether the network 14 is exposed to a cyber attack. The SOC may be one that is constructed and operated by a company or the like, or one that is outsourced to use an external service.

内部コンピュータネットワーク14とSOCの間は、通信回線36によって通信可能に接続されている。より具体的に言えば、内部コンピュータネットワーク14は、通信回線36を介して、SOC内に設置されインシデント管理装置32によるログの分析状況を表示する監視モニタ38と接続されている。   The internal computer network 14 and the SOC are communicably connected via a communication line 36. More specifically, the internal computer network 14 is connected via a communication line 36 to a monitoring monitor 38 that is installed in the SOC and displays a log analysis status by the incident management device 32.

SOC内に在室している監視員は、監視モニタ38に出力表示されたログの分析状況を常時監視している。監視員はネットワーク14内で検出された対応すべき異常を発見したら、必要な措置を講じる。このようなSOCによる監視体制自体は従来から実施されている体制である。しかしながら、従来的なSOCによる監視体制も続けつつ、内部コンピュータネットワーク14内に本発明の実施例に係るインシデント検出装置を設置することによって、監視体制を強化することが可能となる。   The monitor who is present in the SOC constantly monitors the analysis status of the log output and displayed on the monitor monitor 38. If the monitor finds an abnormality to be detected that is detected in the network 14, he / she takes necessary measures. Such a monitoring system by SOC itself is a system that has been implemented conventionally. However, it is possible to strengthen the monitoring system by installing the incident detection apparatus according to the embodiment of the present invention in the internal computer network 14 while continuing the conventional monitoring system using the SOC.

内部コンピュータネットワーク14において、本発明の実施例に係るインシデント通知装置10は、通信回線40を介してインシデント管理装置32と接続されている。かかる接続の構成により、インシデント通知装置10は、対策システム群18が検出した異常検出ログに関する情報や、対策システム群18による監視状況をインシデント管理装置32が分析した結果に関する情報を受け取ることが可能となる。   In the internal computer network 14, the incident notification device 10 according to the embodiment of the present invention is connected to the incident management device 32 via the communication line 40. With this connection configuration, the incident notification device 10 can receive information related to the abnormality detection log detected by the countermeasure system group 18 and information related to the result of the incident management device 32 analyzing the monitoring status of the countermeasure system group 18. Become.

インシデント通知装置10は、インシデント管理装置32から受け取った情報に基づいて、対策システム群18で検出したインシデントがどの程度の異常レベルであるかを判別する。   Based on the information received from the incident management device 32, the incident notification device 10 determines how much abnormal level the incident detected by the countermeasure system group 18 is.

インシデント通知装置10は、複数台の電話端末42a〜42cとそれぞれの回線44a〜44cを介して接続されている。電話端末42a〜42cごとに、固有の電話番号が設定されている。各電話端末42は固定電話でも携帯電話でもよく、または端末ごとに固定電話と携帯電話を使い分けても構わない。また、回線44は有線回線でも無線回線でも構わない。   The incident notification device 10 is connected to a plurality of telephone terminals 42a to 42c via respective lines 44a to 44c. A unique telephone number is set for each of the telephone terminals 42a to 42c. Each telephone terminal 42 may be a fixed phone or a mobile phone, or a fixed phone and a mobile phone may be used for each terminal. The line 44 may be a wired line or a wireless line.

本実施例の場合、複数台の電話端末42a〜42cはそれぞれ、内部コンピュータネットワーク14の監視に携わる者、すなわちSOCの従事者間による取決めにより使用者が決められているものとする。図1の例では、電話端末42aはSOC全体またはネットワーク14全体の統括責任者用、電話端末42bは総括責任者の監督を受けSOCの監視部門の指揮を執る監視責任者用、電話端末42cは監視責任者に直属してネットワーク14の保守業務に携わる保守者用の端末とする。   In the case of the present embodiment, it is assumed that each of the plurality of telephone terminals 42a to 42c has a user determined by an agreement between persons engaged in monitoring of the internal computer network 14, that is, SOC workers. In the example of FIG. 1, the telephone terminal 42a is for the supervisor of the entire SOC or the entire network 14, the telephone terminal 42b is for the supervisor who is supervised by the supervisor and supervises the monitoring department of the SOC, and the telephone terminal 42c is A terminal for a maintenance person who reports directly to the person in charge of monitoring and is engaged in maintenance work of the network 14.

インシデント通知装置10は、判別したインシデントの異常レベルおよび異常の種類等に基づいて、どの電話端末42に対して発呼をするのかを判断する。判断結果に基づいてインシデント通知装置10はさらに、電話端末42a〜42cのうち一台または複数台に発呼する。   The incident notification device 10 determines to which telephone terminal 42 the call is to be made based on the determined abnormal level of the incident and the type of abnormality. Based on the determination result, the incident notification device 10 further calls one or more of the telephone terminals 42a to 42c.

続いて、インシデント通知装置10の構成例について、図2を参照しながらより詳細に説明する。インシデント通知装置10は、インシデント管理装置32と通信回線40を介して接続され、管理装置32から受け取ったインシデントに関する情報に基づいて、当該インシデントがどの程度の異常レベルであるかを判別する判別部52を有する。   Next, a configuration example of the incident notification device 10 will be described in more detail with reference to FIG. The incident notification device 10 is connected to the incident management device 32 via the communication line 40, and based on the information related to the incident received from the management device 32, a determination unit 52 that determines the level of abnormality of the incident. Have

さらに、インシデント通知装置10は、異常検出ログの内容に応じて予め複数の段階で設定しておいたインシデントの異常レベルに関するデータを格納している異常レベルデータベース54を有する。異常レベルデータベース54は通信回線56を介して判別部52と接続され、判別部52はデータベース54からデータの提供を受けて異常レベルを判別することができる。   Furthermore, the incident notification device 10 has an abnormality level database 54 that stores data related to the abnormality levels of incidents set in advance in a plurality of stages according to the contents of the abnormality detection log. The abnormal level database 54 is connected to the determination unit 52 via the communication line 56, and the determination unit 52 can determine the abnormal level by receiving data from the database 54.

異常レベルの段階は、具体的な攻撃開始の有無や、予想される被害の重大性等に応じて、緊急性の高い対処を必要とする「警告レベル」、監視体制を強化して非常の事態に備える「注意レベル」、現時点では対処を要しないが今後の参考情報として蓄積しておく「情報レベル」等というように分類して設定される。   At the abnormal level stage, there is an “emergency situation” with a “warning level” that requires a highly urgent action depending on whether or not a specific attack has started and the severity of damage expected. The “attention level” is prepared by classifying it as “information level” that does not require any action at the present time but is stored as future reference information.

異常レベルデータベース54には、異常検出ログの異常レベルを判別する手順を規定している判別プログラム58が格納されている。判別部52は、インシデント管理装置32から異常検出ログに関する情報の供給を受けると、データベース54から読み取った判別プログラム58で規定されている手順に従って、検出されたインシデントがどの程度の異常レベルに相当するかを判別する。   The abnormality level database 54 stores a determination program 58 that defines a procedure for determining the abnormality level of the abnormality detection log. When the discriminator 52 receives supply of information related to the anomaly detection log from the incident management device 32, according to the procedure stipulated in the discriminant program 58 read from the database 54, the detected incident corresponds to what anomaly level Is determined.

異常レベルデータベース54は、既知のコンピュータウイルスに対する異常検出ログに関するデータや、対策システム群18で検出された異常検出ログに関するデータを、異常レベルごとに分類して格納しておくことが好ましい。例えば、警告レベルデータ60a、注意レベルデータ60b、情報レベルデータ60cというように分類して格納しておいてもよい。かかるデータを異常レベルの判別工程に利用できるようにすれば、判別部52による異常レベルの判別をより迅速かつ正確にすることができる。すなわち、判別プログラム58および異常レベルに関するデータ60a〜60cはいずれも、検出されたインシデントの異常レベルの判別基準となり得る。   The abnormality level database 54 preferably stores data relating to abnormality detection logs for known computer viruses and data relating to abnormality detection logs detected by the countermeasure system group 18 classified for each abnormality level. For example, the warning level data 60a, the attention level data 60b, and the information level data 60c may be classified and stored. If such data can be used in the abnormal level determination step, the determination of the abnormal level by the determination unit 52 can be made more quickly and accurately. In other words, the determination program 58 and the data 60a to 60c relating to the abnormal level can be used as the determination criteria for the abnormal level of the detected incident.

判別部52はさらに、異常レベルの判別結果に基づいて、それぞれの電話端末42a〜42cへの発呼の必要性の有無を判断する。単純に判別された異常レベルにのみ基づいてどの電話端末42に発呼するかを決定してもよいし、異常レベルの他に別の判断要素を加味し、同じ異常レベルであっても状況に応じて電話端末42の発呼先を変えてもよい。発呼先とする電話端末42は一台のみに限らず、判別部52は複数台の電話端末42を同時発呼先として選択しても構わない。なお、判別部52は、判別した異常レベル、発呼先、インシデントの特性等に基づいて、発呼する電話端末の呼が確立した際に流す音声メッセージの決定もすることができる。   The determining unit 52 further determines whether or not there is a need to make a call to each of the telephone terminals 42a to 42c based on the determination result of the abnormal level. It is possible to determine which telephone terminal 42 is to be called based on only the abnormal level that is simply determined. In addition to the abnormal level, another determination factor is added to the situation even if the abnormal level is the same. Accordingly, the call destination of the telephone terminal 42 may be changed. The number of the telephone terminals 42 as call destinations is not limited to one, and the determination unit 52 may select a plurality of telephone terminals 42 as simultaneous call destinations. Note that the determination unit 52 can also determine a voice message to be played when a call of a telephone terminal to be called is established based on the determined abnormal level, call destination, incident characteristics, and the like.

インシデント通知装置10は、回線44a〜44cを介して電話端末42a〜42cと接続され、電話端末42に対する発呼動作を制御する呼制御部66を有する。呼制御部66は例えば、インターネットの標準通信プロトコルであるTCP/IP(Transmission Control Protocol/Internet Protocol)ネットワークを通じて音声通信を行うために必要な制御動作を実行するVoIP(Voice over Internet Protocol)制御部66である。呼制御部66がVoIP制御部である場合には、VoIP制御部にはVoIPサーバが搭載され、セッション確立プロトコル(Session Initiation Protocol: SIP)に則ってのインターネット電話を実現することが可能となる。   The incident notification device 10 is connected to the telephone terminals 42a to 42c via the lines 44a to 44c, and has a call control unit 66 that controls a calling operation for the telephone terminal 42. The call control unit 66 is, for example, a VoIP (Voice over Internet Protocol) control unit 66 that performs a control operation necessary for performing voice communication through a TCP / IP (Transmission Control Protocol / Internet Protocol) network that is a standard communication protocol of the Internet. It is. When the call control unit 66 is a VoIP control unit, the VoIP control unit is equipped with a VoIP server, and it is possible to realize an Internet telephone in accordance with a session establishment protocol (SIP).

呼制御部66は通信回線68を介して判別部52と接続され、判別部52は自らが決定した電話通知の発呼指示を呼制御部66に送信し、呼制御部66は当該指示を受信することができる。   The call control unit 66 is connected to the determination unit 52 via the communication line 68, and the determination unit 52 transmits the call notification call instruction determined by itself to the call control unit 66, and the call control unit 66 receives the instruction. can do.

インシデント通知装置10は、電話端末42a〜42cに予め割り当てられている電話番号または同様の識別番号を登録している通知先データベース72を有し、通知先データベース72は通信回線74を介して呼制御部66と接続されている。呼制御部66は、判別部52から発呼指示を受信すると、発呼先として指示された電話端末42a〜42cの電話番号76a〜76cを通知先データベース72から読み出す。次いで呼制御部66は、読み出した電話番号76a〜76cに基づいて、判別部52により指示された電話端末42a〜42cに発呼する。   The incident notification device 10 has a notification destination database 72 in which telephone numbers previously assigned to telephone terminals 42a to 42c or similar identification numbers are registered, and the notification destination database 72 performs call control via a communication line 74. Connected to section 66. When the call control unit 66 receives the call instruction from the determination unit 52, the call control unit 66 reads the telephone numbers 76a to 76c of the telephone terminals 42a to 42c instructed as the call destination from the notification destination database 72. Next, the call control unit 66 calls the telephone terminals 42a to 42c instructed by the determination unit 52 based on the read telephone numbers 76a to 76c.

電話端末42は、様々な種類の電話網および通信網と直接的または間接的に接続され、不特定多数の者から着呼の可能性があることが一般的である。また、インシデント通知装置10からの着呼であっても、通知装置10が発呼動作を行うに至った事情は毎回異なり、ゆえに通知されるべき用件も異なることが通常である。そのため、電話端末42の利用者は、端末42に着呼があったときには端末を操作して呼びを確立させ、発呼を行った者から用件を聞く必要があることが通常である。そのため、インシデント通知装置10は、呼制御部66から電話端末42a〜42cへの呼が確立したときに呼が確立した電話端末42に向けて伝送する音声メッセージを格納している音声データベース78を有することが好ましい。   In general, the telephone terminal 42 is directly or indirectly connected to various types of telephone networks and communication networks, and there is a possibility of receiving calls from an unspecified number of people. Further, even when an incoming call is received from the incident notification device 10, the circumstances that led to the notification device 10 performing a calling operation are different every time, and therefore the requirements to be notified are usually different. For this reason, the user of the telephone terminal 42 usually needs to operate the terminal to establish a call when the terminal 42 receives an incoming call, and hear the message from the person who made the call. Therefore, the incident notification device 10 has a voice database 78 that stores a voice message to be transmitted to the telephone terminal 42 to which the call is established when a call from the call control unit 66 to the telephone terminals 42a to 42c is established. It is preferable.

音声データベース78は、通信回線80を介して呼制御部66と接続されている。また、音声データベースは、通話先や通知すべき事項に応じて複数種類の音声メッセージ82a〜82cを記憶していることが好ましい。   The voice database 78 is connected to the call control unit 66 via the communication line 80. Further, the voice database preferably stores a plurality of types of voice messages 82a to 82c according to the call destination and matters to be notified.

なお、本実施例に関する説明および参照図面では、異常レベルデータベース54、通知先データベース72および音声データベース78はそれぞれ別の構成要素として説明されている。しかしながら、この説明および図示は概念的なものである。したがって、単一の記憶部をインシデント通知装置10内に設け、記憶部内にて異常レベルの判別基準に関するデータ58、60を記憶する領域、通知先データ76を記憶する領域および音声メッセージ82を記憶する領域に分け、記憶部が各データベース54、72、78の集合体に相当するものになるように構成しても構わない。   In the description and reference drawings regarding the present embodiment, the abnormality level database 54, the notification destination database 72, and the voice database 78 are described as separate components. However, this description and illustration is conceptual. Therefore, a single storage unit is provided in the incident notification device 10, and an area for storing data 58 and 60 relating to an abnormal level discrimination criterion, an area for storing notification destination data 76, and a voice message 82 are stored in the storage unit. The storage unit may be divided into areas, and the storage unit may correspond to an aggregate of the databases 54, 72, and 78.

呼制御部66から電話端末42a〜42cへの呼が確立した場合には、呼制御部66は音声データベース78に記憶されている音声メッセージ82a〜82cの中から1つのメッセージを選択し、呼が確立した電話端末42に対して選択された音声メッセージを自動的に送信すなわち再生する。複数種類の音声メッセージ82が記憶されている場合に所定の端末42に送信すべき音声メッセージの選択は、判別部52によって決定され呼制御部66に発せられた指示に基づくものであってよい。   When a call from the call control unit 66 to the telephone terminals 42a to 42c is established, the call control unit 66 selects one message from the voice messages 82a to 82c stored in the voice database 78, and the call is received. The selected voice message is automatically transmitted or reproduced to the established telephone terminal 42. When a plurality of types of voice messages 82 are stored, selection of a voice message to be transmitted to a predetermined terminal 42 may be based on an instruction determined by the determination unit 52 and issued to the call control unit 66.

また、音声データベース78に複数種類の部分的な音声メッセージを記憶させておき、異常レベルや通知先、インシデントの特性等に応じて適宜選択し、複数の音声メッセージを組み合わせて完全な音声メッセージとして電話端末42に送信しても構わない。この場合においては、判別部52は再生する音声メッセージの組合せも決定して呼制御部66に指示を送るような構成にする。   Also, a plurality of types of partial voice messages are stored in the voice database 78, selected as appropriate according to the abnormal level, notification destination, incident characteristics, etc., and a plurality of voice messages are combined to make a complete voice message. It may be transmitted to the terminal 42. In this case, the discriminating unit 52 determines the combination of voice messages to be reproduced and sends an instruction to the call control unit 66.

かかる構成により、インシデント通知装置10と電話端末42a〜42cの間の通信が成立すると、通信中の端末の利用者は流れてくるガイダンスとしての音声メッセージを聞いて、内部コンピュータネットワーク14に何らかのインシデントが発生した旨の通知を受けることができる。   With this configuration, when communication between the incident notification device 10 and the telephone terminals 42a to 42c is established, the user of the terminal in communication listens to a voice message as guidance that flows, and any incident occurs in the internal computer network 14. You can be notified of the occurrence.

例えば、インシデントの通知を受けたのが電話端末42aを使用している統括責任者や電話端末42bを使用している監視責任者である場合には、これらの責任者は保守者が使用している電話端末42cに電話をかけて、具体的な対処を指示することができる。   For example, if the person in charge of the incident is notified by the general manager using the telephone terminal 42a or the supervisor in charge of using the telephone terminal 42b, these managers use these managers. The telephone terminal 42c that is present can be called and a specific action can be instructed.

また、事前に具体的な対処内容が決まっているインシデントであり、かかる対処の実施に際する責任者の判断も必要ないような場合には、インシデント通知装置10は実際の作業者や保守者が利用する電話端末42cのみに発呼を行ってもよい。インシデント通知装置10が保守者等にインシデントを直接通知することによって、連絡を受けた保守者等が迅速にインシデントに対処することが可能となる。   In addition, if the incident is a specific action to be dealt with in advance, and the judgment of the person responsible for implementing such action is not necessary, the incident notification device 10 can be used by an actual worker or maintenance person. A call may be made only to the telephone terminal 42c to be used. The incident notification device 10 directly notifies the maintenance person of the incident, so that the maintenance person who has received the communication can quickly deal with the incident.

ところで、サイバー攻撃の手法は日々進化している。そのため、インシデント通知装置10による異常レベルの判別条件および各電話端末42への発呼条件も継続的に更新してゆく必要がある。そのため、SOC内の監視モニタ38からインシデント管理装置32によるログの分析状況を監視している監視員が異常レベルデータベース54にアクセスして、判別条件や発呼条件を適宜更新するようにしておくことが好ましい。このように条件を更新してゆくことで、インシデント通知装置10のバージョンアップを図ることが可能となる。   By the way, cyber attack methods are evolving day by day. Therefore, it is necessary to continuously update the abnormality level determination conditions by the incident notification device 10 and the calling conditions to each telephone terminal 42. Therefore, the monitoring person monitoring the log analysis status by the incident management device 32 from the monitoring monitor 38 in the SOC should access the abnormal level database 54 and update the determination condition and the calling condition as appropriate. Is preferred. By updating the conditions in this way, it is possible to upgrade the incident notification device 10.

以上のような構成を有するインシデント通知装置10を用いれば、発生したインシデントの重大性を迅速に判断し、異常内容に応じた担当者に自動的に電話連絡を取ることが可能となる。また、インシデント通知装置10を用いれば、異常発生時に対応すべき責任者がSOCに常駐していなくても、通知を受けた責任者がリアルタイムに対処方針を決定し、遠隔地からでもSOCの保守者等に対処策を指示することができる。   By using the incident notification device 10 having the above-described configuration, it is possible to quickly determine the seriousness of an incident that has occurred and automatically contact a person in charge according to the content of the abnormality. In addition, if the incident notification device 10 is used, even if the person responsible for responding to an abnormality does not reside in the SOC, the person responsible who has received the notification determines the action policy in real time and maintains the SOC even from a remote location. The countermeasures can be instructed to the person etc.

続いて、本発明に係るインシデント通知装置10および同装置10を含むコンピュータネットワーク14の動作例について説明する。対策システム群18が内部コンピュータネットワーク14の監視を行い、異常可能性のあるインシデントを検出すると、そのインシデントに関するログを異常ログとしてインシデント管理装置32へ出力する(事前ステップPS10)。インシデント管理装置32は、対策システム群18から受け取った異常ログを自立的に集約し、集約したログを継続的に監視および分析する(事前ステップPS20)。   Next, an operation example of the incident notification apparatus 10 according to the present invention and the computer network 14 including the apparatus 10 will be described. When the countermeasure system group 18 monitors the internal computer network 14 and detects an incident that may be abnormal, it outputs a log relating to the incident to the incident management device 32 as an abnormal log (preliminary step PS10). The incident management apparatus 32 autonomously aggregates the abnormality logs received from the countermeasure system group 18, and continuously monitors and analyzes the collected logs (preliminary step PS20).

そして、インシデント管理装置32は監視および分析の結果をインシデント通知装置10に出力する。すなわち、本発明の実施例に係る通知装置10側の観点では、インシデント管理装置32による監視および分析の結果を受信することになる(ステップS10)。   The incident management device 32 outputs the monitoring and analysis results to the incident notification device 10. That is, from the viewpoint of the notification device 10 according to the embodiment of the present invention, the result of monitoring and analysis by the incident management device 32 is received (step S10).

インシデント通知装置10の判別部52は、異常レベルデータベース54に格納されている判別プログラム58やデータ60a〜60cに基づいて、検出されたログの異常レベルを判別する(ステップS20)。判別結果に基づいて、判別部52は電話端末42a〜42cに対する発呼をするか否か、発呼する場合にはどの端末に対して行うか、そして呼確立後に流す音声メッセージの内容を決定する(ステップS30)。判別部52は発呼を行わないと判断した場合には、判別部52はインシデント管理装置32から次々と出力されてくる監視・分析結果の判別処理(ステップS20)を引き続き行う。   The determination unit 52 of the incident notification device 10 determines the abnormal level of the detected log based on the determination program 58 and the data 60a to 60c stored in the abnormal level database 54 (step S20). Based on the determination result, the determination unit 52 determines whether to make a call to the telephone terminals 42a to 42c, to which terminal to make a call, and the content of the voice message to be sent after the call is established. (Step S30). If the determination unit 52 determines not to make a call, the determination unit 52 continues to perform the monitoring / analysis result determination process (step S20) successively output from the incident management device 32.

判別部52が所定の電話端末42に対して発呼を行うと判断した場合には、判別部52は所定の電話端末42に対する発呼指示を呼制御部66に送信する(ステップS40)。発呼指示を受けた呼制御部66は、ステップS40にて判別部52が発呼を行うと決定した電話端末42に固有の、通知先データベース72に記憶されている電話番号76に対して発呼を実行する(ステップS50)。   When the determination unit 52 determines to make a call to the predetermined telephone terminal 42, the determination unit 52 transmits a call instruction for the predetermined telephone terminal 42 to the call control unit 66 (step S40). Upon receiving the call instruction, the call control unit 66 makes a call to the telephone number 76 stored in the notification destination database 72, which is unique to the telephone terminal 42 determined by the determination unit 52 to make a call in step S40. A call is executed (step S50).

呼制御部66から電話端末42a〜42cへの呼が確立した場合には、呼制御部66はステップS40における判別部52の選択決定に従い、音声データベース78に記憶されている音声メッセージ82a〜82cのいずれかを自動的に送信する(ステップS60)。   When a call from the call control unit 66 to the telephone terminals 42a to 42c is established, the call control unit 66 follows the selection decision of the determination unit 52 in step S40, and the voice messages 82a to 82c stored in the voice database 78 are stored. Either one is automatically transmitted (step S60).

電話端末42を通じて音声メッセージ82を聞いた利用者は、メッセージの内容に応じて所定の対処をする。例えば、統括責任者や監視責任者が音声メッセージを受け取った場合は、インシデントの内容に応じて対処方針を決定し、SOC内で職務に携わっている保守者に対して電話をかけ、具体的な指示を送る。他方、音声メッセージを受け取ったのがSOC内で職務従事中の保守者であった場合には、責任者の判断を待つことなく、インシデントの内容に応じて事前に決められている対処策を実行する。   The user who has heard the voice message 82 through the telephone terminal 42 takes a predetermined action according to the content of the message. For example, if the supervisor or supervisor receives a voice message, determine the response policy according to the content of the incident, call the maintenance personnel engaged in the duties within the SOC, Send instructions. On the other hand, if the voice message was received by a maintenance worker engaged in duties within the SOC, the countermeasures that were determined in advance according to the content of the incident were executed without waiting for the responsible person's judgment. To do.

このような動作を本発明に係るインシデント通知装置10の実施例が実現することにより、内部コンピュータネットワーク14に異常が発生してから対処するまでの時間短縮が可能になる。かかる時間短縮は、1秒を争うウイルス対策としては極めて効果的である。結果として、企業等は損害発生のリスクを軽減させることが可能となる。   By realizing such an operation in the embodiment of the incident notification device 10 according to the present invention, it is possible to shorten the time from when an abnormality occurs in the internal computer network 14 until a countermeasure is taken. Such a time reduction is extremely effective as an anti-virus measure for 1 second. As a result, companies can reduce the risk of damage.

ところで、上述してきた本発明の実施例は、コンピュータにインシデント通知装置10としての役割を実行させるプログラムを所定のコンピュータにインストールさせることによっても具現化され得る。この場合の実施例を、図4を参照しながら簡潔に説明する。   By the way, the embodiment of the present invention described above can also be realized by installing a program for causing a computer to perform the role as the incident notification device 10 to a predetermined computer. An embodiment in this case will be briefly described with reference to FIG.

コンピュータ110を本発明に係るインシデント通知装置10の実施例として機能させるプログラムを、記憶媒体112に記憶しておく。ここで、記憶媒体112とは、光学ディスクや磁気ディスク、フラッシュメモリなど、プログラムを記憶することが可能ないかなる装置や部品も含まれる。   A program that causes the computer 110 to function as an embodiment of the incident notification device 10 according to the present invention is stored in the storage medium 112. Here, the storage medium 112 includes any device or component capable of storing a program, such as an optical disk, a magnetic disk, or a flash memory.

コンピュータ110は、記憶媒体112の記憶内容を読取り可能なドライブ114を有する。ドライブ114はコンピュータ110に固定的に内蔵されていても、または、コンピュータ110の筐体からは独立した外付け型でコンピュータ110と接続可能な機器であってもよい。また、コンピュータ110は、演算などの情報処理やコンピュータ自身の制御を行う中央処理装置(Central Processing Unit: CPU)116およびプログラムやデータなどを記憶する記憶装置118を有する。本図で示す記憶装置118は便宜上、データを一時的に記憶する装置および恒常的に記憶する装置の双方を含むものとする。CPU 116はドライブ114と接続線120を介して接続され、記憶装置118とも接続線122を介して接続されている。   The computer 110 has a drive 114 that can read the storage contents of the storage medium 112. The drive 114 may be fixedly incorporated in the computer 110, or may be an external device that can be connected to the computer 110 independent of the casing of the computer 110. The computer 110 also includes a central processing unit (CPU) 116 that performs information processing such as computation and control of the computer itself, and a storage device 118 that stores programs, data, and the like. For convenience, the storage device 118 shown in this figure includes both a device that temporarily stores data and a device that constantly stores data. The CPU 116 is connected to the drive 114 via the connection line 120, and is also connected to the storage device 118 via the connection line 122.

記憶媒体112に記憶されたプログラムは、ドライブ114を介してコンピュータ110に読み取られ、読み取られたプログラムは、CPU 116による制御の下、コンピュータ110の記憶装置118に記憶される。このようにしてプログラムが組み込まれたコンピュータ110は、プログラムを実施させることにより、音声表示装置10として働くことが可能となる。このプログラムは、プログラムの内容に応じて、コンピュータ110内のCPU 116を判別手段52および判別手段52と協働して動作する各処理手段や各制御手段として働かせ、記憶装置118を各データベース54、72、78として働かせるものであるともいえる。その他図示しないコンピュータ110内の様々な装置もまた、かかるプログラムの実行によって音声表示装置10の構成部品として働くことになる。   The program stored in the storage medium 112 is read by the computer 110 via the drive 114, and the read program is stored in the storage device 118 of the computer 110 under the control of the CPU 116. The computer 110 in which the program is incorporated in this way can work as the voice display device 10 by executing the program. According to the contents of the program, this program causes the CPU 116 in the computer 110 to function as each processing means and each control means that operate in cooperation with the discrimination means 52 and the discrimination means 52. It can also be said that it works as 72 and 78. Various other devices in the computer 110 (not shown) also function as components of the voice display device 10 by executing the program.

なお、コンピュータ110へのプログラムのインストールまたはプログラムの更新は、ドライブ114を介して記憶媒体112に記憶されたプログラムを読み取る方式に限らず、外部コンピュータネットワーク12を介しての通信によりプログラムを読み取る方式等を採用しても構わない。   Note that program installation or program update to the computer 110 is not limited to a method of reading a program stored in the storage medium 112 via the drive 114, but a method of reading the program by communication via the external computer network 12, etc. May be adopted.

以上、ここまで本発明のいくつかの実施例を述べてきたが、本発明を実施する具体的手法は上述の実施例に制限されるものではない。本発明の実施が可能である限りにおいて適宜に設計や動作手順等の変更をなし得る。例えば、本発明に用いられる構成要素の機能発揮を補助することを主目的とする機器または回路等については、適宜に付加および省略可能である。   Although several embodiments of the present invention have been described so far, specific methods for implementing the present invention are not limited to the above-described embodiments. As long as the present invention can be implemented, the design, operation procedure, and the like can be changed as appropriate. For example, a device or a circuit whose main purpose is to assist the function of the components used in the present invention can be appropriately added and omitted.

10 インシデント通知装置
14 内部コンピュータネットワーク
42 電話端末
52 判別部
54 異常レベルデータベース
66 呼制御部
72 通知先データベース
78 音声データベース
110 コンピュータ
10 Incident notification device
14 Internal computer network
42 Telephone terminal
52 Discriminator
54 Abnormal level database
66 Call controller
72 Notification database
78 Voice database
110 computers

Claims (6)

コンピュータネットワーク内でインシデントが検出された場合に該インシデントの発生を通知するインシデント通知装置において、
前記インシデントの異常レベルの判別基準を格納する異常レベルデータベースと、
前記インシデントの通知先となる所定の電話端末に割り当てられた識別番号を登録する通知先データベースと、
前記異常レベルの判別基準に基づいて前記検出されたインシデントの異常レベルを判別し、前記インシデントの発生を通知する電話端末を決定する判別部と、
該判別部により通知先として決定された電話端末の識別番号を前記通知先データベースから受けとり、該受けとった識別番号が割り当てられた電話端末への発呼を行う呼制御部とを有することを特徴とするインシデント通知装置。 In an incident notification device for notifying the occurrence of an incident when an incident is detected in a computer network,
An abnormal level database for storing criteria for determining the abnormal level of the incident;
A notification destination database for registering an identification number assigned to a predetermined telephone terminal as a notification destination of the incident;
A determination unit that determines an abnormal level of the detected incident based on a determination criterion of the abnormal level, and determines a telephone terminal that notifies the occurrence of the incident;
A call control unit that receives the identification number of the telephone terminal determined as the notification destination by the determination unit from the notification destination database and makes a call to the telephone terminal to which the received identification number is assigned. Incident notification device. 請求項1に記載のインシデント通知装置において、該装置はさらに、前記インシデントの発生を音声で通知する音声メッセージを格納する音声データベースを有し、
前記判別部は、前記判別した異常レベル、前記インシデントの通知先および前記インシデントの特性のうち少なくとも1つに基づいて、前記通知先となる電話端末に流す音声メッセージを決定し、
前記呼制御部は、該インシデント通知装置から前記電話端末への呼びが確立すると、前記判別部により決定された音声メッセージを送信することを特徴とするインシデント通知装置。 The incident notification device according to claim 1, further comprising a voice database that stores a voice message for notifying the occurrence of the incident by voice,
The determination unit determines a voice message to be sent to the telephone terminal serving as the notification destination based on at least one of the determined abnormality level, the notification destination of the incident, and the characteristics of the incident,
The incident control device, wherein the call control unit transmits a voice message determined by the determination unit when a call from the incident notification device to the telephone terminal is established. 請求項1または2に記載のインシデント通知装置において、前記呼制御部は、インターネットプロトコルネットワークを用いて音声通話を実現するVoIP(Voice over Internet Protocol)制御部であることを特徴とするインシデント通知装置。   3. The incident notification device according to claim 1, wherein the call control unit is a VoIP (Voice over Internet Protocol) control unit that implements a voice call using an Internet protocol network. コンピュータを、コンピュータネットワーク内でインシデントが検出された場合に該インシデントの発生を通知するインシデント通知装置として機能させるインシデント通知プログラムにおいて、該コンピュータを、
前記インシデントの異常レベルの判別基準を格納する異常レベルデータベース、
前記インシデントの通知先となる所定の電話端末に割り当てられた識別番号を登録する通知先データベース、
前記異常レベルの判別基準に基づいて前記検出されたインシデントの異常レベルを判別し、前記インシデントの発生を通知する電話端末を決定する判別手段、および、
該判別手段により通知先として決定された電話端末の識別番号を前記通知先データベースから受けとり、該受けとった識別番号が割り当てられた電話端末への発呼を行う呼制御手段として機能させることを特徴とするインシデント通知プログラム。 In an incident notification program for causing a computer to function as an incident notification device for notifying the occurrence of an incident when an incident is detected in a computer network,
An abnormal level database that stores criteria for determining the abnormal level of the incident,
A notification destination database for registering an identification number assigned to a predetermined telephone terminal as a notification destination of the incident;
Determining means for determining an abnormal level of the detected incident based on a determination criterion of the abnormal level, and determining a telephone terminal for notifying the occurrence of the incident; and
Receiving the identification number of the telephone terminal determined as the notification destination by the determination means from the notification destination database and functioning as a call control means for making a call to the telephone terminal to which the received identification number is assigned. Incident notification program. 請求項4に記載のインシデント通知プログラムにおいて、該プログラムはさらに、前記コンピュータを前記インシデントの発生を音声で通知する音声メッセージを格納する音声データベースとして機能させ、
前記判別手段は、前記判別した異常レベル、前記インシデントの通知先および前記インシデントの特性のうち少なくとも1つに基づいて、前記通知先となる電話端末に流す音声メッセージを決定し、
前記呼制御手段は、前記コンピュータから前記電話端末への呼びが確立すると、前記判別手段により決定された音声メッセージを送信することを特徴とするインシデント通知プログラム。 5. The incident notification program according to claim 4, wherein the program further causes the computer to function as a voice database storing a voice message for notifying the occurrence of the incident by voice.
The determination means determines a voice message to be sent to the notification destination telephone terminal based on at least one of the determined abnormality level, the incident notification destination, and the incident characteristics,
The call notification means, when a call from the computer to the telephone terminal is established, transmits a voice message determined by the discrimination means. 請求項4または5に記載のインシデント通知プログラムにおいて、該プログラムは、前記呼制御手段を、インターネットプロトコルネットワークを用いて音声通話を実現するVoIP(Voice over Internet Protocol)制御手段として機能させることを特徴とするインシデント通知プログラム。
6. The incident notification program according to claim 4, wherein the program causes the call control means to function as a VoIP (Voice over Internet Protocol) control means for realizing a voice call using an Internet protocol network. Incident notification program.
JP2017071373A 2017-03-31 2017-03-31 Incident notification device and incident notification program Pending JP2018174444A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017071373A JP2018174444A (en) 2017-03-31 2017-03-31 Incident notification device and incident notification program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017071373A JP2018174444A (en) 2017-03-31 2017-03-31 Incident notification device and incident notification program

Publications (1)

Publication Number Publication Date
JP2018174444A true JP2018174444A (en) 2018-11-08

Family

ID=64107574

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017071373A Pending JP2018174444A (en) 2017-03-31 2017-03-31 Incident notification device and incident notification program

Country Status (1)

Country Link
JP (1) JP2018174444A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2022037442A (en) * 2020-08-25 2022-03-09 サクサ株式会社 Network system
JP2022125955A (en) * 2021-02-17 2022-08-29 矢崎エナジーシステム株式会社 Information providing system, server and information providing program

Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04179328A (en) * 1990-11-14 1992-06-26 Nec Corp Fault notice system
JPH04252533A (en) * 1991-01-28 1992-09-08 Toshiba Corp Fault notice system
JP2000069161A (en) * 1998-08-21 2000-03-03 Toshiba Corp Network monitoring device and network fault occurrence notification method thereof
JP2002032878A (en) * 2000-07-19 2002-01-31 Sumitomo Electric Ind Ltd Failure notification system
JP2003209940A (en) * 2002-01-10 2003-07-25 Toshiba Corp Power system protection control device, power system protection control system
JP2003281001A (en) * 2002-03-22 2003-10-03 Hitachi Information Systems Ltd Network failure monitoring device, network failure monitoring and reporting system, network failure monitoring and reporting method, and program and recording medium
JP2004013411A (en) * 2002-06-05 2004-01-15 Yaskawa Electric Corp Remote maintenance device
JP2004272619A (en) * 2003-03-10 2004-09-30 Hitachi Kokusai Electric Inc Failure notification system
JP2005228177A (en) * 2004-02-16 2005-08-25 Mitsubishi Electric Corp Security management apparatus, security management method, and program
JP2008078897A (en) * 2006-09-20 2008-04-03 Nec Access Technica Ltd Remote crime prevention management system, onu device, home security system, olt device, and terminal
JP2010152773A (en) * 2008-12-26 2010-07-08 Mitsubishi Electric Corp Attack determination device, and attack determination method and program
JP2010237975A (en) * 2009-03-31 2010-10-21 Fujitsu Social Science Laboratory Ltd Incident monitoring apparatus, method and program
JP2013030826A (en) * 2011-07-26 2013-02-07 Ricoh Co Ltd Network monitoring system and network monitoring method

Patent Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04179328A (en) * 1990-11-14 1992-06-26 Nec Corp Fault notice system
JPH04252533A (en) * 1991-01-28 1992-09-08 Toshiba Corp Fault notice system
JP2000069161A (en) * 1998-08-21 2000-03-03 Toshiba Corp Network monitoring device and network fault occurrence notification method thereof
JP2002032878A (en) * 2000-07-19 2002-01-31 Sumitomo Electric Ind Ltd Failure notification system
JP2003209940A (en) * 2002-01-10 2003-07-25 Toshiba Corp Power system protection control device, power system protection control system
JP2003281001A (en) * 2002-03-22 2003-10-03 Hitachi Information Systems Ltd Network failure monitoring device, network failure monitoring and reporting system, network failure monitoring and reporting method, and program and recording medium
JP2004013411A (en) * 2002-06-05 2004-01-15 Yaskawa Electric Corp Remote maintenance device
JP2004272619A (en) * 2003-03-10 2004-09-30 Hitachi Kokusai Electric Inc Failure notification system
JP2005228177A (en) * 2004-02-16 2005-08-25 Mitsubishi Electric Corp Security management apparatus, security management method, and program
JP2008078897A (en) * 2006-09-20 2008-04-03 Nec Access Technica Ltd Remote crime prevention management system, onu device, home security system, olt device, and terminal
JP2010152773A (en) * 2008-12-26 2010-07-08 Mitsubishi Electric Corp Attack determination device, and attack determination method and program
JP2010237975A (en) * 2009-03-31 2010-10-21 Fujitsu Social Science Laboratory Ltd Incident monitoring apparatus, method and program
JP2013030826A (en) * 2011-07-26 2013-02-07 Ricoh Co Ltd Network monitoring system and network monitoring method

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2022037442A (en) * 2020-08-25 2022-03-09 サクサ株式会社 Network system
JP7456331B2 (en) 2020-08-25 2024-03-27 サクサ株式会社 network system
JP2022125955A (en) * 2021-02-17 2022-08-29 矢崎エナジーシステム株式会社 Information providing system, server and information providing program

Similar Documents

Publication Publication Date Title
US11882128B2 (en) Improving incident classification and enrichment by leveraging context from multiple security agents
US7962960B2 (en) Systems and methods for performing risk analysis
US11856008B2 (en) Facilitating identification of compromised devices by network access control (NAC) or unified threat management (UTM) security services by leveraging context from an endpoint detection and response (EDR) agent
CN107809433B (en) Asset management method and device
US6353385B1 (en) Method and system for interfacing an intrusion detection system to a central alarm system
US20160232349A1 (en) Mobile malware detection and user notification
US12363135B2 (en) Enabling enhanced network security operation by leveraging context from multiple security agents
CN106803037A (en) A kind of software security means of defence and device
CN119675895A (en) A network security risk assessment system and method
KR100607110B1 (en) Security information management and vulnerability analysis system
CN108418697B (en) Implementation architecture of intelligent safe operation and maintenance service cloud platform
KR20020000225A (en) A system and method for performing remote security management of multiple computer systems
GB2637830A (en) Malicious enumeration attack detection
JP2018174444A (en) Incident notification device and incident notification program
CN117201062A (en) Network security perception system, method, equipment and storage medium
CN101616038A (en) SOA Security Guarantee System and Method
Minkevics et al. Managing information system security in higher education organizations
KR101343693B1 (en) Network security system and method for process thereof
CN119182613A (en) A method, device, equipment and medium for real-time intrusion detection on cloud platforms
US11489864B2 (en) Method for detecting denial of service attacks
JP7150425B2 (en) COMMUNICATION SYSTEM, CONTROL DEVICE, COMMUNICATION CONTROL METHOD, AND PROGRAM
JP2020161017A (en) Security incident visualization system
JP2006295232A (en) Security monitoring device, security monitoring method, and program
JP2006268167A (en) Security system, security method, and its program
CN118214607B (en) Security evaluation management method, system, equipment and storage medium based on big data

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191115

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200924

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200929

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201130

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20201130

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210413

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20211012