JP2002108818A - データセンター、セキュリティポリシー作成方法及びセキュリティシステム - Google Patents
データセンター、セキュリティポリシー作成方法及びセキュリティシステムInfo
- Publication number
- JP2002108818A JP2002108818A JP2000293024A JP2000293024A JP2002108818A JP 2002108818 A JP2002108818 A JP 2002108818A JP 2000293024 A JP2000293024 A JP 2000293024A JP 2000293024 A JP2000293024 A JP 2000293024A JP 2002108818 A JP2002108818 A JP 2002108818A
- Authority
- JP
- Japan
- Prior art keywords
- user
- security policy
- data center
- security
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
(57)【要約】
【課題】 セキュリティポリシーの作成を的確に行い、
その作成に要する時間を短縮し、ユーザシステムとデー
タセンター間のセキュリティポリシーを容易に合致さ
せ、且つ、不正アクセスを阻止することを目的とする。 【解決手段】 ユーザは、センターにアクセスして、ユ
ーザの業種等を考慮して適する雛形を選択する(S10
1)。センターは、雛形と参考資料をユーザの端末から
プリントアウトする(S102)。ユーザは、プリント
した雛形を修正し(S103)。雛形の修正部分のデー
タを入力する(S104)。センターは、入力されたデ
ータに基づいて、セキュリティポリシーを生成し、ユー
ザの端末でプリントアウトする(S105)。ユーザ
は、このセキュリティポリシーを確認又は一部修正して
確定する(S106)。センターは、確定されたセキュ
リティポリシーをシステムに反映する(S107)。
その作成に要する時間を短縮し、ユーザシステムとデー
タセンター間のセキュリティポリシーを容易に合致さ
せ、且つ、不正アクセスを阻止することを目的とする。 【解決手段】 ユーザは、センターにアクセスして、ユ
ーザの業種等を考慮して適する雛形を選択する(S10
1)。センターは、雛形と参考資料をユーザの端末から
プリントアウトする(S102)。ユーザは、プリント
した雛形を修正し(S103)。雛形の修正部分のデー
タを入力する(S104)。センターは、入力されたデ
ータに基づいて、セキュリティポリシーを生成し、ユー
ザの端末でプリントアウトする(S105)。ユーザ
は、このセキュリティポリシーを確認又は一部修正して
確定する(S106)。センターは、確定されたセキュ
リティポリシーをシステムに反映する(S107)。
Description
【0001】
【発明の属する技術分野】本発明は、データセンター、
セキュリティポリシー作成方法及びセキュリティシステ
ムに係り、特に、ユーザのデータ等を集中的に管理する
データセンター、セキュリティポリシー作成方法及びセ
キュリティシステムに関する。
セキュリティポリシー作成方法及びセキュリティシステ
ムに係り、特に、ユーザのデータ等を集中的に管理する
データセンター、セキュリティポリシー作成方法及びセ
キュリティシステムに関する。
【0002】
【従来の技術】近来、ユーザは、インターネットサーバ
のためのコンピュータを購入し、これを自社内で、管理
するのではなく、外部のハウジングサービスを行うデー
タセンターに委託して管理することが行われている。
のためのコンピュータを購入し、これを自社内で、管理
するのではなく、外部のハウジングサービスを行うデー
タセンターに委託して管理することが行われている。
【0003】図5に従来のハウジングサービスを行うデ
ータセンターの例を示す。
ータセンターの例を示す。
【0004】図5は、ユーザシステム201〜20N、
データセンター10から構成されている。ユーザシステ
ム201〜20Nは、ファイアウォール211〜21N
及び専用線131〜12Nを介して、データセンター1
0と接続されている。
データセンター10から構成されている。ユーザシステ
ム201〜20Nは、ファイアウォール211〜21N
及び専用線131〜12Nを介して、データセンター1
0と接続されている。
【0005】データセンター10は、ユーザのインター
ネットサーバ111〜11Nと、インタフェース部12
から構成されている。
ネットサーバ111〜11Nと、インタフェース部12
から構成されている。
【0006】インターネットサーバ111〜11Nのコ
ンテンツ、コンピュータ等は、ユーザの所有物で、イン
ターネットサーバの運用をユーザ自身若しくはデータセ
ンター10が委託されて行っている。なお、データセン
ターに運用を委託するものとして、インターネットサー
バ運用に限らず、データセンターに委託可能なものであ
れば、これに限られない。また、サーバとなるコンピュ
ータをデータセンターの所有物としてもよい。
ンテンツ、コンピュータ等は、ユーザの所有物で、イン
ターネットサーバの運用をユーザ自身若しくはデータセ
ンター10が委託されて行っている。なお、データセン
ターに運用を委託するものとして、インターネットサー
バ運用に限らず、データセンターに委託可能なものであ
れば、これに限られない。また、サーバとなるコンピュ
ータをデータセンターの所有物としてもよい。
【0007】インタフェース部12は、ユーザシステム
201〜20Nとデータセンター10とのインタフェー
スを取る。これにより、ユーザシステム201〜20N
は、データセンターのインターネットサーバ111〜1
1Nを、自社内のシステムと同じように利用することが
できる。
201〜20Nとデータセンター10とのインタフェー
スを取る。これにより、ユーザシステム201〜20N
は、データセンターのインターネットサーバ111〜1
1Nを、自社内のシステムと同じように利用することが
できる。
【0008】これにより、ユーザは、インターネットサ
ーバを自社内で維持・管理する場合の人的、設備的負担
を軽減することができる。また、データセンターでは、
専門家が24時間監視しており、自社で維持・管理する
より、万全を期することができる。このように、ユーザ
は、インターネットサーバを自社内で維持・管理する場
合に比較して、より易いコストで実施できる。
ーバを自社内で維持・管理する場合の人的、設備的負担
を軽減することができる。また、データセンターでは、
専門家が24時間監視しており、自社で維持・管理する
より、万全を期することができる。このように、ユーザ
は、インターネットサーバを自社内で維持・管理する場
合に比較して、より易いコストで実施できる。
【0009】
【発明が解決しようとする課題】しかしながら、従来の
ものは、インタフェース部で、複数のユーザのインター
ネットサーバへのアクセスをまとめて管理している。
ものは、インタフェース部で、複数のユーザのインター
ネットサーバへのアクセスをまとめて管理している。
【0010】そのため、データセンターへのアクセス
は、ID及びパスワードでアクセスを管理しているもの
の、一のユーザシステムから他のユーザのインターネッ
トサーバに侵入することが、完全に阻止できなかった。
は、ID及びパスワードでアクセスを管理しているもの
の、一のユーザシステムから他のユーザのインターネッ
トサーバに侵入することが、完全に阻止できなかった。
【0011】また、外部から一のユーザシステムに侵入
し、そのユーザシステムの者に成りすましてデータセン
ターにアクセスすることが完全に防止できなかった。
し、そのユーザシステムの者に成りすましてデータセン
ターにアクセスすることが完全に防止できなかった。
【0012】また、データセンターの管理者、ユーザシ
ステムの管理者への内外からの成りすましを完全に阻止
できなかった。
ステムの管理者への内外からの成りすましを完全に阻止
できなかった。
【0013】このように、従来のデータセンターでは、
不正アクセスに関する問題があった。
不正アクセスに関する問題があった。
【0014】また、セキュリティポリシーは、類似例等
をベースに検討して作成する必要があり、この類似例の
収集及び検討に使用する参考事例の収集に多くの時間を
要するという問題がある。また、類似例及び参考事例が
的確に収集できないと、的確なセキュリティポリシーが
作成できないという問題がある。
をベースに検討して作成する必要があり、この類似例の
収集及び検討に使用する参考事例の収集に多くの時間を
要するという問題がある。また、類似例及び参考事例が
的確に収集できないと、的確なセキュリティポリシーが
作成できないという問題がある。
【0015】更に、セキュリティポリシーが作成されて
も、システムがユーザシステムとデータセンターとに分
かれて設置されている場合、そのセキュリティポリシー
がユーザシステムとデータセンターとで異なる場合が生
じる。ユーザシステムとデータセンターとで、セキュリ
ティポリシーが異なると、使用勝手が良くないばかり
か、場合によっては、セキュリティホールがこのために
発生するという問題がある。
も、システムがユーザシステムとデータセンターとに分
かれて設置されている場合、そのセキュリティポリシー
がユーザシステムとデータセンターとで異なる場合が生
じる。ユーザシステムとデータセンターとで、セキュリ
ティポリシーが異なると、使用勝手が良くないばかり
か、場合によっては、セキュリティホールがこのために
発生するという問題がある。
【0016】本発明は、上記セキュリティ上の問題に鑑
みなされたものであり、セキュリティポリシーの作成を
的確に行い、その作成に要する時間を短縮し、ユーザシ
ステムとデータセンター間のセキュリティポリシーを容
易に合致させ、且つ、不正アクセスを阻止することを目
的とするものである。
みなされたものであり、セキュリティポリシーの作成を
的確に行い、その作成に要する時間を短縮し、ユーザシ
ステムとデータセンター間のセキュリティポリシーを容
易に合致させ、且つ、不正アクセスを阻止することを目
的とするものである。
【0017】
【課題を解決するための手段】上記課題を解決するため
に、本件発明は、以下の特徴を有する手段を採用してい
る。
に、本件発明は、以下の特徴を有する手段を採用してい
る。
【0018】請求項1に記載された発明は、ユーザのデ
ータを管理し、セキュリティポリシーの作成を支援する
セキュリティポリシー作成支援装置を有するデータセン
ターであって、前記セキュリティポリシー作成支援装置
は、複数の雛形のセキュリティポリシーが格納されてい
るデータベースを有し、ユーザは、前記データベースに
格納されている雛形のセキュリティポリシーを修正する
ことにより、ユーザのセキュリティポリシーを作成し、
作成されたセキュリティポリシーに基づいて、当該ユー
ザに係るデータセンターのシステムが変更されることを
特徴とする。
ータを管理し、セキュリティポリシーの作成を支援する
セキュリティポリシー作成支援装置を有するデータセン
ターであって、前記セキュリティポリシー作成支援装置
は、複数の雛形のセキュリティポリシーが格納されてい
るデータベースを有し、ユーザは、前記データベースに
格納されている雛形のセキュリティポリシーを修正する
ことにより、ユーザのセキュリティポリシーを作成し、
作成されたセキュリティポリシーに基づいて、当該ユー
ザに係るデータセンターのシステムが変更されることを
特徴とする。
【0019】請求項1記載の発明によれば、セキュリテ
ィポリシー作成支援装置は、複数の雛形のセキュリティ
ポリシーが格納されているデータベースを有し、ユーザ
は、このデータベースに格納されている雛形のセキュリ
ティポリシーを修正することにより、ユーザのセキュリ
ティポリシーを作成し、作成されたセキュリティポリシ
ーに基づいて、当該ユーザに係るデータセンターのシス
テムが変更されることにより、セキュリティポリシーの
作成を的確に行い、その作成に要する時間を短縮し、ユ
ーザシステムとデータセンター間のセキュリティポリシ
ーを容易に合致させ、且つ、不正アクセスを阻止するこ
とができる。
ィポリシー作成支援装置は、複数の雛形のセキュリティ
ポリシーが格納されているデータベースを有し、ユーザ
は、このデータベースに格納されている雛形のセキュリ
ティポリシーを修正することにより、ユーザのセキュリ
ティポリシーを作成し、作成されたセキュリティポリシ
ーに基づいて、当該ユーザに係るデータセンターのシス
テムが変更されることにより、セキュリティポリシーの
作成を的確に行い、その作成に要する時間を短縮し、ユ
ーザシステムとデータセンター間のセキュリティポリシ
ーを容易に合致させ、且つ、不正アクセスを阻止するこ
とができる。
【0020】請求項2に記載された発明は、請求項1記
載のデータセンターにおいて、電子認証装置を設け、デ
ータセンターへのアクセスの度に、電子認証を行うこと
により、不正アクセスを阻止することを特徴とする。
載のデータセンターにおいて、電子認証装置を設け、デ
ータセンターへのアクセスの度に、電子認証を行うこと
により、不正アクセスを阻止することを特徴とする。
【0021】請求項2記載の発明によれば、データセン
ターへのアクセスの度に、電子認証を行うことにより、
不正アクセスを阻止することができる。このように、電
子認証を行い各アクセスに対してログをとっていれば、
個人別にデータセンターでの処理内容をログの分析によ
り把握することができる。その結果、不正常な処理がお
こなわれていれば、その個人にヒヤリング等を行い、不
正常な処理を無くすことができる。
ターへのアクセスの度に、電子認証を行うことにより、
不正アクセスを阻止することができる。このように、電
子認証を行い各アクセスに対してログをとっていれば、
個人別にデータセンターでの処理内容をログの分析によ
り把握することができる。その結果、不正常な処理がお
こなわれていれば、その個人にヒヤリング等を行い、不
正常な処理を無くすことができる。
【0022】また、必要に応じて、その個人のアクセス
を禁止することもできる。
を禁止することもできる。
【0023】請求項3に記載された発明は、ユーザのデ
ータを管理するデータセンターは、複数の雛形のセキュ
リティポリシーを前記ユーザに提供するステップと、前
記ユーザは、雛形から、自己に見合ったセキュリティポ
リシーを選択するステップと、前記データセンターは、
雛形に対応した参考資料を、前記ユーザに提供するステ
ップと、前記ユーザは、前記雛形のセキュリティポリシ
ーを修正することにより、自己のセキュリティポリシー
を作成して、前記データセンターに通知するステップと
を有することを特徴とするセキュリティポリシー作成方
法である。
ータを管理するデータセンターは、複数の雛形のセキュ
リティポリシーを前記ユーザに提供するステップと、前
記ユーザは、雛形から、自己に見合ったセキュリティポ
リシーを選択するステップと、前記データセンターは、
雛形に対応した参考資料を、前記ユーザに提供するステ
ップと、前記ユーザは、前記雛形のセキュリティポリシ
ーを修正することにより、自己のセキュリティポリシー
を作成して、前記データセンターに通知するステップと
を有することを特徴とするセキュリティポリシー作成方
法である。
【0024】請求項3記載の発明によれば、ユーザのデ
ータを管理するデータセンターは、複数の雛形のセキュ
リティポリシーを前記ユーザに提供するステップと、ユ
ーザは、雛形から、自己に見合ったセキュリティポリシ
ーを選択するステップと、データセンターは、雛形に対
応した参考資料を、ユーザに提供するステップと、前記
ユーザは、雛形のセキュリティポリシーを修正すること
により、自己のセキュリティポリシーを作成して、デー
タセンターに通知するステップとを有することにより、
ユーザは、システムから提供された的確な類似例と検討
に必要な的確な参考事例を十分に参考にして、セキュリ
ティポリシーの検討をおこなうことができるので、セキ
ュリティポリシーの作成を的確に行い、その作成に要す
る時間を短縮し、ユーザシステムとデータセンター間の
セキュリティポリシーを容易に合致させ、且つ、不正ア
クセスを阻止することができる。
ータを管理するデータセンターは、複数の雛形のセキュ
リティポリシーを前記ユーザに提供するステップと、ユ
ーザは、雛形から、自己に見合ったセキュリティポリシ
ーを選択するステップと、データセンターは、雛形に対
応した参考資料を、ユーザに提供するステップと、前記
ユーザは、雛形のセキュリティポリシーを修正すること
により、自己のセキュリティポリシーを作成して、デー
タセンターに通知するステップとを有することにより、
ユーザは、システムから提供された的確な類似例と検討
に必要な的確な参考事例を十分に参考にして、セキュリ
ティポリシーの検討をおこなうことができるので、セキ
ュリティポリシーの作成を的確に行い、その作成に要す
る時間を短縮し、ユーザシステムとデータセンター間の
セキュリティポリシーを容易に合致させ、且つ、不正ア
クセスを阻止することができる。
【0025】請求項4に記載された発明は、請求項3記
載のセキュリティポリシー作成方法により作成されたセ
キュリティポリシーに基づいて、当該ユーザに係るデー
タセンターのシステム又は/及び当該ユーザのユーザシ
ステムのセキュリティに係るパラメータが変更されるこ
とを特徴とするセキュリティシステムである。
載のセキュリティポリシー作成方法により作成されたセ
キュリティポリシーに基づいて、当該ユーザに係るデー
タセンターのシステム又は/及び当該ユーザのユーザシ
ステムのセキュリティに係るパラメータが変更されるこ
とを特徴とするセキュリティシステムである。
【0026】請求項4記載の発明によれば、セキュリテ
ィポリシー作成方法により作成されたセキュリティポリ
シーに基づいて、当該ユーザに係るデータセンターのシ
ステム又は/及び当該ユーザのユーザシステムのセキュ
リティに係るパラメータが変更されることにより、デー
タセンターとユーザシステムとは、作成されたセキュリ
ティポリシーに合致したシステムとなる。また、作成さ
れたセキュリティポリシーに基づいて、当該ユーザに係
るデータセンターのシステム及び当該ユーザのユーザシ
ステムのセキュリティに係るパラメータが変更さるの
で、ユーザシステムとデータセンターのユーザデータと
でセキュリティに係る処理が一致し、セキュリティホー
ルが発生しない。
ィポリシー作成方法により作成されたセキュリティポリ
シーに基づいて、当該ユーザに係るデータセンターのシ
ステム又は/及び当該ユーザのユーザシステムのセキュ
リティに係るパラメータが変更されることにより、デー
タセンターとユーザシステムとは、作成されたセキュリ
ティポリシーに合致したシステムとなる。また、作成さ
れたセキュリティポリシーに基づいて、当該ユーザに係
るデータセンターのシステム及び当該ユーザのユーザシ
ステムのセキュリティに係るパラメータが変更さるの
で、ユーザシステムとデータセンターのユーザデータと
でセキュリティに係る処理が一致し、セキュリティホー
ルが発生しない。
【0027】また、ユーザシステムとデータセンターの
ユーザデータとでセキュリティに係る処理が一致するこ
とから、ユーザシステムとデータセンターのユーザデー
タの一元管理が容易に且つ的確に行うことが可能とな
る。
ユーザデータとでセキュリティに係る処理が一致するこ
とから、ユーザシステムとデータセンターのユーザデー
タの一元管理が容易に且つ的確に行うことが可能とな
る。
【0028】請求項5に記載された発明は、ユーザシス
テムのセキュリティと、ユーザのデータを管理するデー
タセンターのセキュリティとを一括管理するセキュリテ
ィシステムであって、ユーザシステムとデータセンター
のユーザデータとを、同一管理端末で管理することを特
徴とするセキュリティシステムである。
テムのセキュリティと、ユーザのデータを管理するデー
タセンターのセキュリティとを一括管理するセキュリテ
ィシステムであって、ユーザシステムとデータセンター
のユーザデータとを、同一管理端末で管理することを特
徴とするセキュリティシステムである。
【0029】請求項5記載の発明によれば、ユーザシス
テムとデータセンターのユーザデータとを、同一管理端
末で管理することにより、ユーザシステムとデータセン
ターのユーザデータを一元管理が容易になる。
テムとデータセンターのユーザデータとを、同一管理端
末で管理することにより、ユーザシステムとデータセン
ターのユーザデータを一元管理が容易になる。
【0030】
【発明の実施の形態】次に、本発明の実施の形態につい
て図面と共に説明する。
て図面と共に説明する。
【0031】図1に本発明のシステム構成図の例を示
す。図1のシステムは、ユーザシステム201〜2
0N、データセンター100から構成されている。ユー
ザシステム201〜20Nは、ファイアウォール211
〜21N及び専用線131〜12Nを介して、データセ
ンター100と接続されている。
す。図1のシステムは、ユーザシステム201〜2
0N、データセンター100から構成されている。ユー
ザシステム201〜20Nは、ファイアウォール211
〜21N及び専用線131〜12Nを介して、データセ
ンター100と接続されている。
【0032】なお、ユーザシステム201〜20Nとデ
ータセンター100とは、専用線でなく、インターネッ
トで接続されていてもよい。また、各ユーザシステム2
01〜20Nとデータセンター100とは、IP−VP
N(Internet Protocol −Virt
ual Private Network)を構成して
もよい。
ータセンター100とは、専用線でなく、インターネッ
トで接続されていてもよい。また、各ユーザシステム2
01〜20Nとデータセンター100とは、IP−VP
N(Internet Protocol −Virt
ual Private Network)を構成して
もよい。
【0033】データセンター100は、ユーザのインタ
ーネットサーバ111〜11N、ファイアウォール10
11〜1012、ルータ1021〜1022、認証サー
バ103、管理・制御装置104、LAN(Local
Area Network)105、セキュリティポ
リシー作成支援装置106及びデータベース107から
構成されている。
ーネットサーバ111〜11N、ファイアウォール10
11〜1012、ルータ1021〜1022、認証サー
バ103、管理・制御装置104、LAN(Local
Area Network)105、セキュリティポ
リシー作成支援装置106及びデータベース107から
構成されている。
【0034】ユーザのインターネットサーバ111〜1
1Nは、ユーザのインターネットサーバであり、維持・
運用をデータセンターで行っている。なお、ユーザのイ
ンターネットサーバ111〜11Nは、データセンター
がユーザに代わって、維持・運用するものであれば、イ
ンターネットサーバに限定されない。
1Nは、ユーザのインターネットサーバであり、維持・
運用をデータセンターで行っている。なお、ユーザのイ
ンターネットサーバ111〜11Nは、データセンター
がユーザに代わって、維持・運用するものであれば、イ
ンターネットサーバに限定されない。
【0035】ファイアウォール1011〜1012は、
データセンター100への不正なアクセスを阻止するた
めに設けられる論理的な壁である。パケットフィルタリ
ング方式、アプリケーションゲートウエイ方式等が利用
される。
データセンター100への不正なアクセスを阻止するた
めに設けられる論理的な壁である。パケットフィルタリ
ング方式、アプリケーションゲートウエイ方式等が利用
される。
【0036】例えば、プロトコルに合致しない不正パケ
ットを廃棄したり、通過させてはいけないパケットを廃
棄したりする。
ットを廃棄したり、通過させてはいけないパケットを廃
棄したりする。
【0037】また、侵入検出装置を有し、不正な侵入が
あればアラームを鳴らすようにしてもよい。
あればアラームを鳴らすようにしてもよい。
【0038】ルータ1021〜1022は、パケットヘ
ッダの宛先アドレスを参照して、中継を判断する。
ッダの宛先アドレスを参照して、中継を判断する。
【0039】認証サーバ103は、本人であるか否かを
認証するサーバである。本人認証のための手段として、
指紋、虹彩、声紋等の生物学的な本人の特徴を用いる方
法、磁気カード、ICカード等の本人の持ち物による方
法、本人のみが記憶している情報による方法等がある
が、最適なものが利用される。ログインに続く、入力さ
れた本人を特定する情報に基づいて、認証サーバ103
がアクセスしている者が本人か否かを判定する。
認証するサーバである。本人認証のための手段として、
指紋、虹彩、声紋等の生物学的な本人の特徴を用いる方
法、磁気カード、ICカード等の本人の持ち物による方
法、本人のみが記憶している情報による方法等がある
が、最適なものが利用される。ログインに続く、入力さ
れた本人を特定する情報に基づいて、認証サーバ103
がアクセスしている者が本人か否かを判定する。
【0040】管理・制御装置104は、データセンター
及びユーザシステムと含むシステム全体を制御する装置
である。データセンターにおける各アクセスに対して、
必要に応じてログをとり、アクセスした者、アクセス開
始時刻、アクセス終了時刻等を記録してもよい。また、
改竄などの不正が起こった場合、当該アクセスに対し
て、サービスを停止してもよい。なお、ユーザシステム
とデータセンターのユーザデータとを、同一管理端末で
管理することから、ユーザシステムとデータセンターの
ユーザデータを一元管理することが容易となる。
及びユーザシステムと含むシステム全体を制御する装置
である。データセンターにおける各アクセスに対して、
必要に応じてログをとり、アクセスした者、アクセス開
始時刻、アクセス終了時刻等を記録してもよい。また、
改竄などの不正が起こった場合、当該アクセスに対し
て、サービスを停止してもよい。なお、ユーザシステム
とデータセンターのユーザデータとを、同一管理端末で
管理することから、ユーザシステムとデータセンターの
ユーザデータを一元管理することが容易となる。
【0041】また、管理・制御装置104は、ユーザシ
ステムとデータセンターとを管理する。管理・制御装置
104は、管理機能と制御機能を有し、管理機能と制御
機能を別々の装置で行うようにしてもよい。このとき、
管理装置は、データセンター100外に設けてもよい。
ユーザシステムとデータセンターとを管理する。管理・
制御装置104が存在しても、ユーザシステム内に、ユ
ーザシステムを管理する制御装置を有していてもよい。
なお、この場合、二つの制御装置が存在するので、シス
テムの制御が混乱しないようにする必要がある。
ステムとデータセンターとを管理する。管理・制御装置
104は、管理機能と制御機能を有し、管理機能と制御
機能を別々の装置で行うようにしてもよい。このとき、
管理装置は、データセンター100外に設けてもよい。
ユーザシステムとデータセンターとを管理する。管理・
制御装置104が存在しても、ユーザシステム内に、ユ
ーザシステムを管理する制御装置を有していてもよい。
なお、この場合、二つの制御装置が存在するので、シス
テムの制御が混乱しないようにする必要がある。
【0042】LAN105は、データセンターのネット
ワークである。ネットワークは二重化構成になってい
る。また、ルータとファイアウォールも二重化されてお
り、負荷分散も行う。
ワークである。ネットワークは二重化構成になってい
る。また、ルータとファイアウォールも二重化されてお
り、負荷分散も行う。
【0043】セキュリティポリシー作成支援装置106
は、ユーザに適した雛形のセキュリティポリシーをユー
ザに示す。ユーザは、雛形のセキュリティポリシーを修
正して、ユーザシステムに適したセキュリティポリシー
を作成する。
は、ユーザに適した雛形のセキュリティポリシーをユー
ザに示す。ユーザは、雛形のセキュリティポリシーを修
正して、ユーザシステムに適したセキュリティポリシー
を作成する。
【0044】セキュリティポリシー作成支援装置106
によって、セキュリティポリシーが作成された場合、セ
キュリティポリシーの項目の内、具体的にシステムに反
映すべき事項は、管理・制御装置104によって、自動
的にシステムの変更(セキュリティに係るパラメータの
変更)が成される。このとき、ユーザシステムの変更も
同時に変更するようにしてもよい。
によって、セキュリティポリシーが作成された場合、セ
キュリティポリシーの項目の内、具体的にシステムに反
映すべき事項は、管理・制御装置104によって、自動
的にシステムの変更(セキュリティに係るパラメータの
変更)が成される。このとき、ユーザシステムの変更も
同時に変更するようにしてもよい。
【0045】データベース107は、雛形のセキュリテ
ィポリシー、セキュリティポリシーを作成するとき参考
とする情報、作成されたセキュリティポリシー等が格納
されている。
ィポリシー、セキュリティポリシーを作成するとき参考
とする情報、作成されたセキュリティポリシー等が格納
されている。
【0046】図2にユーザシステムの端末から、データ
センターにアクセスするフローを説明する。
センターにアクセスするフローを説明する。
【0047】データセンターにアクセスする(S1
1)。データセンターからログイン画面が提供されるの
で、ID及びパスワードを入力してログインする(S1
2)。ついで、本人認証画面が提供されるので、本人認
証のデータを入力する。認証サーバ103が、本人認証
を行う(S13)。認証サーバ103は、本人認証のた
めの手段として、生物学的な本人の特徴を用いる方法、
ICカード等の本人の持ち物による方法、本人のみが記
憶している情報による方法等があるが、最適なものを利
用する。
1)。データセンターからログイン画面が提供されるの
で、ID及びパスワードを入力してログインする(S1
2)。ついで、本人認証画面が提供されるので、本人認
証のデータを入力する。認証サーバ103が、本人認証
を行う(S13)。認証サーバ103は、本人認証のた
めの手段として、生物学的な本人の特徴を用いる方法、
ICカード等の本人の持ち物による方法、本人のみが記
憶している情報による方法等があるが、最適なものを利
用する。
【0048】本人認証がOKであれば、データセンター
を利用することができる(S14)。
を利用することができる(S14)。
【0049】データセンターの利用が終了すれば、ログ
アウト処理を行う(S15)。なお、データセンターの
管理・制御装置は、各アクセス毎に、ログインとログア
ウトの時間を記録してもよい。
アウト処理を行う(S15)。なお、データセンターの
管理・制御装置は、各アクセス毎に、ログインとログア
ウトの時間を記録してもよい。
【0050】図3は、セキュリティポリシー作成支援装
置の構成例を示す。
置の構成例を示す。
【0051】図3のセキュリティポリシー作成支援装置
は、雛形抽出部110、参考資料抽出部111、データ
入力部112、雛形化部113、セキュリティポリシー
生成部114、システム変更通知部115及び制御装置
116から構成されている。
は、雛形抽出部110、参考資料抽出部111、データ
入力部112、雛形化部113、セキュリティポリシー
生成部114、システム変更通知部115及び制御装置
116から構成されている。
【0052】雛形抽出部110は、セキュリティポリシ
ーを作成するユーザに適した雛形を抽出して提供する。
業種、システムの規模、システム構成等に対応した、複
数の雛形のセキュリティポリシーが、データベース10
7に格納されており、ユーザが、自己の業種、システム
の規模、システム構成等を入力すると、ユーザに適した
雛形のセキュリティポリシーを提供する。
ーを作成するユーザに適した雛形を抽出して提供する。
業種、システムの規模、システム構成等に対応した、複
数の雛形のセキュリティポリシーが、データベース10
7に格納されており、ユーザが、自己の業種、システム
の規模、システム構成等を入力すると、ユーザに適した
雛形のセキュリティポリシーを提供する。
【0053】参考資料抽出部111は、雛形抽出部11
0で抽出された雛形のセキュリティポリシーに係る参考
資料を抽出して提供する。つまり、ユーザが、雛形を修
正して、自己のセキュリティポリシーを作成するに際し
て、参考すべき資料を提供する。
0で抽出された雛形のセキュリティポリシーに係る参考
資料を抽出して提供する。つまり、ユーザが、雛形を修
正して、自己のセキュリティポリシーを作成するに際し
て、参考すべき資料を提供する。
【0054】データ入力部112は、ユーザが雛形を修
正して、セキュリティポリシーを生成したとき、雛形を
修正した部分のデータを入力する。データ入力は、セキ
ュリティポリシーの項目毎に入力する。各項目には、雛
形の内容がデフォルトで設定されており、それを確認又
は修正する形で入力する。なお、一部又は全部を雛形の
セキュリティポリシー自体を直接修正する形でデータを
入力してもよい。
正して、セキュリティポリシーを生成したとき、雛形を
修正した部分のデータを入力する。データ入力は、セキ
ュリティポリシーの項目毎に入力する。各項目には、雛
形の内容がデフォルトで設定されており、それを確認又
は修正する形で入力する。なお、一部又は全部を雛形の
セキュリティポリシー自体を直接修正する形でデータを
入力してもよい。
【0055】雛形化部113は、作成されたセキュリテ
ィポリシーを他のユーザの参考とされるように雛形とす
る。業種、システムの規模、システム構成等で分類し、
企業名が判明しないようにして、雛形としデータベース
107に格納する。
ィポリシーを他のユーザの参考とされるように雛形とす
る。業種、システムの規模、システム構成等で分類し、
企業名が判明しないようにして、雛形としデータベース
107に格納する。
【0056】セキュリティポリシー生成部114は、デ
ータ入力部112で入力されたデータに基づいて、セキ
ュリティポリシーを生成する。
ータ入力部112で入力されたデータに基づいて、セキ
ュリティポリシーを生成する。
【0057】システム変更通知部115は、作成された
セキュリティポリシーに対応して、システムのセキュリ
ティに係るパラメータを変更するように、管理・制御装
置104に通知する。
セキュリティポリシーに対応して、システムのセキュリ
ティに係るパラメータを変更するように、管理・制御装
置104に通知する。
【0058】制御装置116は、中央処理装置、セキュ
リティポリシーの生成に係るアプリケーションを含み、
セキュリティポリシー作成支援装置の機能が果たされる
ように、セキュリティポリシー作成支援装置全体を制御
する。
リティポリシーの生成に係るアプリケーションを含み、
セキュリティポリシー作成支援装置の機能が果たされる
ように、セキュリティポリシー作成支援装置全体を制御
する。
【0059】図4にセキュリティポリシー作成支援装置
を用いてセキュリティポリシーを作成するフローの例を
示す。
を用いてセキュリティポリシーを作成するフローの例を
示す。
【0060】ユーザは、データセンターにアクセスし
て、セキュリティポリシー作成支援装置を起動して、以
下の処理を行う。
て、セキュリティポリシー作成支援装置を起動して、以
下の処理を行う。
【0061】ユーザは、雛形の選択を行う。雛形の選択
は、ユーザの業種、システムの規模、システム構成等を
入力すると、ユーザに適したセキュリティポリシーの雛
形とその特徴が表示されるので、その中から適する雛形
を選択する(S101)。
は、ユーザの業種、システムの規模、システム構成等を
入力すると、ユーザに適したセキュリティポリシーの雛
形とその特徴が表示されるので、その中から適する雛形
を選択する(S101)。
【0062】するとデータセンターは、選択された雛形
と参考資料を、ユーザシステムの端末に、一覧表示す
る。ユーザが確認すれば、雛形と参考資料をプリントア
ウトする(S102)。なお、一部の資料は、プリント
アウトしないようすることができる。
と参考資料を、ユーザシステムの端末に、一覧表示す
る。ユーザが確認すれば、雛形と参考資料をプリントア
ウトする(S102)。なお、一部の資料は、プリント
アウトしないようすることができる。
【0063】ユーザは、参考資料を参考にして、プリン
トした雛形を修正して、自己のセキュリティポリシーを
作成する(S103)。このセキュリティポリシーの作
成は、オフラインで行われる。
トした雛形を修正して、自己のセキュリティポリシーを
作成する(S103)。このセキュリティポリシーの作
成は、オフラインで行われる。
【0064】セキュリティポリシーが作成されると、ユ
ーザシステムの端末から、修正データを入力する。デー
タ入力は、セキュリティポリシーの項目毎に入力する。
各項目には、雛形の内容が設定され、それを確認又は修
正する形で入力する。
ーザシステムの端末から、修正データを入力する。デー
タ入力は、セキュリティポリシーの項目毎に入力する。
各項目には、雛形の内容が設定され、それを確認又は修
正する形で入力する。
【0065】入力されたデータに基づいて、セキュリテ
ィポリシーが生成され、ユーザシステムの端末から、プ
リントアウトされる(S105)。
ィポリシーが生成され、ユーザシステムの端末から、プ
リントアウトされる(S105)。
【0066】ユーザは、プリントされたセキュリティポ
リシーを確認又は一部修正して、セキュリティポリシー
を確定する(S106)。
リシーを確認又は一部修正して、セキュリティポリシー
を確定する(S106)。
【0067】データセンターでは、確定されたセキュリ
ティポリシーに基づいて、当該ユーザに係るデータセン
ターのシステムのパラメータを変更する(S107)。
ティポリシーに基づいて、当該ユーザに係るデータセン
ターのシステムのパラメータを変更する(S107)。
【0068】また、同時に、ユーザシステムのパラメー
タも変更する。
タも変更する。
【0069】なお、ユーザのシステムの端末を用いて、
セキュリティポリシー作成支援装置を用いてセキュリテ
ィポリシーを作成する例を示したが、端末は、ユーザの
システムの端末を用いる必要はない。
セキュリティポリシー作成支援装置を用いてセキュリテ
ィポリシーを作成する例を示したが、端末は、ユーザの
システムの端末を用いる必要はない。
【0070】また、ユーザシステムは、データセンター
のインターネットサーバを自社内のシステムと同じよう
に利用することができると説明したが、外部から、ユー
ザシステムインターネットサーバを利用できるようにし
てもよい。
のインターネットサーバを自社内のシステムと同じよう
に利用することができると説明したが、外部から、ユー
ザシステムインターネットサーバを利用できるようにし
てもよい。
【0071】
【発明の効果】上述の如く本発明によれば、次に述べる
種々の効果を奏することができる。
種々の効果を奏することができる。
【0072】セキュリティポリシーの作成に要する時間
を短縮し、ユーザシステムとデータセンター間のセキュ
リティポリシーを容易に合致させ、且つ、不正アクセス
を阻止することができる。
を短縮し、ユーザシステムとデータセンター間のセキュ
リティポリシーを容易に合致させ、且つ、不正アクセス
を阻止することができる。
【0073】また、セキュリティポリシーを雛形のセキ
ュリティポリシー(セミカスタマイズされたセキュリテ
ィポリシー)を基に、作成することができるので、簡便
に且つ、そのユーザに適したセキュリティポリシーを作
成することができる。
ュリティポリシー(セミカスタマイズされたセキュリテ
ィポリシー)を基に、作成することができるので、簡便
に且つ、そのユーザに適したセキュリティポリシーを作
成することができる。
【0074】また、作成されたセキュリティポリシーに
基づいて、当該ユーザに係るデータセンターのシステム
及び当該ユーザのユーザシステムのセキュリティに係る
パラメータが変更さるので、ユーザシステムとデータセ
ンターのユーザデータとでセキュリティに係る信号処理
が一致し、セキュリティホールが発生しない。
基づいて、当該ユーザに係るデータセンターのシステム
及び当該ユーザのユーザシステムのセキュリティに係る
パラメータが変更さるので、ユーザシステムとデータセ
ンターのユーザデータとでセキュリティに係る信号処理
が一致し、セキュリティホールが発生しない。
【0075】また、ユーザシステムとデータセンターの
ユーザデータとを、同一管理端末で管理することから、
ユーザシステムとデータセンターのユーザデータを一元
管理することが可能となる。
ユーザデータとを、同一管理端末で管理することから、
ユーザシステムとデータセンターのユーザデータを一元
管理することが可能となる。
【0076】これに伴い、データセンターのユーザを管
理する管理者が、ユーザシステムを管理することも可能
となる。
理する管理者が、ユーザシステムを管理することも可能
となる。
【0077】また、コンテンツを、ユーザシステムとデ
ータセンターとで分割して、提供する場合であっても、
同一コンサルタントが、管理することが可能となる。
ータセンターとで分割して、提供する場合であっても、
同一コンサルタントが、管理することが可能となる。
【0078】本人認証を行うことにより、他社のセグメ
ントからの不正アクセス、インターネットからの不正ア
クセス、専用線からの不正アクセス、ユーザシステムか
らの不正アクセスを阻止することができる。
ントからの不正アクセス、インターネットからの不正ア
クセス、専用線からの不正アクセス、ユーザシステムか
らの不正アクセスを阻止することができる。
【図1】本発明のシステムを説明するための図である。
【図2】ユーザシステムの端末から、データセンターに
アクセスするフロー図の例である。
アクセスするフロー図の例である。
【図3】セキュリティポリシー作成支援装置の構成例を
説明するための図である。
説明するための図である。
【図4】セキュリティポリシー作成支援装置を用いてセ
キュリティポリシーを作成するフロー図の例である。
キュリティポリシーを作成するフロー図の例である。
【図5】従来のハウジングサービスを行うデータセンタ
ーの例を説明するための図である。
ーの例を説明するための図である。
10、100 データセンター 11 ユーザのインターネットサーバ 12 従来のデータセンターにおけるインタフェース
部 13 専用線 20 ユーザシステム 21、101 ファイアウォール 102 ルータ 103 認証サーバ 104 制御装置 105 データセンター内のLAN 106 セキュリティポリシー作成支援装置 107 データベース
部 13 専用線 20 ユーザシステム 21、101 ファイアウォール 102 ルータ 103 認証サーバ 104 制御装置 105 データセンター内のLAN 106 セキュリティポリシー作成支援装置 107 データベース
Claims (5)
- 【請求項1】 ユーザのデータを管理し、セキュリティ
ポリシーの作成を支援するセキュリティポリシー作成支
援装置を有するデータセンターであって、 前記セキュリティポリシー作成支援装置は、複数の雛形
のセキュリティポリシーが格納されているデータベース
を有し、 ユーザは、前記データベースに格納されている雛形のセ
キュリティポリシーを修正することにより、ユーザのセ
キュリティポリシーを作成し、 作成されたセキュリティポリシーに基づいて、当該ユー
ザに係るデータセンターのシステムが変更されることを
特徴とするデータセンター。 - 【請求項2】 請求項1記載のデータセンターにおい
て、 電子認証装置を設け、 データセンターへのアクセスの度に、電子認証を行うこ
とにより、不正アクセスを阻止することを特徴とするデ
ータセンター。 - 【請求項3】 ユーザのデータを管理するデータセンタ
ーは、複数の雛形のセキュリティポリシーを前記ユーザ
に提供するステップと、 前記ユーザは、雛形から、自己に見合ったセキュリティ
ポリシーを選択するステップと、 前記データセンターは、雛形に対応した参考資料を、前
記ユーザに提供するステップと、 前記ユーザは、前記雛形のセキュリティポリシーを修正
することにより、自己のセキュリティポリシーを作成し
て、前記データセンターに通知するステップとを有する
ことを特徴とするセキュリティポリシー作成方法。 - 【請求項4】 請求項3記載のセキュリティポリシー作
成方法により作成されたセキュリティポリシーに基づい
て、当該ユーザに係るデータセンターのシステム又は/
及び当該ユーザのユーザシステムのセキュリティに係る
パラメータが変更されることを特徴とするセキュリティ
システム。 - 【請求項5】 ユーザシステムのセキュリティと、ユー
ザのデータを管理するデータセンターのセキュリティと
を管理するセキュリティシステムであって、ユーザシス
テムとデータセンターのユーザデータとを、同一管理端
末で管理することを特徴とするセキュリティシステム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000293024A JP2002108818A (ja) | 2000-09-26 | 2000-09-26 | データセンター、セキュリティポリシー作成方法及びセキュリティシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000293024A JP2002108818A (ja) | 2000-09-26 | 2000-09-26 | データセンター、セキュリティポリシー作成方法及びセキュリティシステム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002108818A true JP2002108818A (ja) | 2002-04-12 |
Family
ID=18775869
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000293024A Pending JP2002108818A (ja) | 2000-09-26 | 2000-09-26 | データセンター、セキュリティポリシー作成方法及びセキュリティシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2002108818A (ja) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007156882A (ja) * | 2005-12-06 | 2007-06-21 | Fuji Xerox Co Ltd | 電子文書生成装置、プログラム及び方法 |
| JP2008512958A (ja) * | 2004-09-13 | 2008-04-24 | ユーティースターコム,インコーポレイテッド | 無線アクセスゲートウェイのためのダイナミック・ファイアウォール機能 |
| US7380267B2 (en) | 2002-10-17 | 2008-05-27 | Hitachi, Ltd. | Policy setting support tool |
| JP2009093441A (ja) * | 2007-10-10 | 2009-04-30 | Hitachi Software Eng Co Ltd | セキュリティシステム |
| JP2010198386A (ja) * | 2009-02-25 | 2010-09-09 | Nippon Telegr & Teleph Corp <Ntt> | 不正アクセス監視システムおよび不正アクセス監視方法 |
| US8112786B2 (en) | 2004-06-22 | 2012-02-07 | International Business Machines Corporation | Security policy generation |
| JP2016532984A (ja) * | 2013-09-17 | 2016-10-20 | アマゾン テクノロジーズ インコーポレイテッド | ネットワーク接続自動化 |
-
2000
- 2000-09-26 JP JP2000293024A patent/JP2002108818A/ja active Pending
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7380267B2 (en) | 2002-10-17 | 2008-05-27 | Hitachi, Ltd. | Policy setting support tool |
| US8112786B2 (en) | 2004-06-22 | 2012-02-07 | International Business Machines Corporation | Security policy generation |
| US8141131B2 (en) | 2004-06-22 | 2012-03-20 | International Business Machines Corporation | Security policy generation |
| JP2008512958A (ja) * | 2004-09-13 | 2008-04-24 | ユーティースターコム,インコーポレイテッド | 無線アクセスゲートウェイのためのダイナミック・ファイアウォール機能 |
| JP2007156882A (ja) * | 2005-12-06 | 2007-06-21 | Fuji Xerox Co Ltd | 電子文書生成装置、プログラム及び方法 |
| US8042146B2 (en) | 2005-12-06 | 2011-10-18 | Fuji Xerox Co., Ltd. | Apparatus and method for generating an electronic document, and storage medium |
| JP2009093441A (ja) * | 2007-10-10 | 2009-04-30 | Hitachi Software Eng Co Ltd | セキュリティシステム |
| JP2010198386A (ja) * | 2009-02-25 | 2010-09-09 | Nippon Telegr & Teleph Corp <Ntt> | 不正アクセス監視システムおよび不正アクセス監視方法 |
| US9692732B2 (en) | 2011-11-29 | 2017-06-27 | Amazon Technologies, Inc. | Network connection automation |
| JP2016532984A (ja) * | 2013-09-17 | 2016-10-20 | アマゾン テクノロジーズ インコーポレイテッド | ネットワーク接続自動化 |
| JP2018116708A (ja) * | 2013-09-17 | 2018-07-26 | アマゾン テクノロジーズ インコーポレイテッド | ネットワーク接続自動化 |
| JP2020064668A (ja) * | 2013-09-17 | 2020-04-23 | アマゾン テクノロジーズ インコーポレイテッド | ネットワーク接続自動化 |
| US11122022B2 (en) | 2013-09-17 | 2021-09-14 | Amazon Technologies, Inc. | Network connection automation |
| US11843589B2 (en) | 2013-09-17 | 2023-12-12 | Amazon Technologies, Inc. | Network connection automation |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101911585B (zh) | 基于认证输入属性的选择性授权 | |
| US8296821B2 (en) | System, server, and program for access right management | |
| US20080209506A1 (en) | Physical access control and security monitoring system utilizing a normalized data format | |
| EP1982288A2 (en) | Systems and methods for multi-factor authentication | |
| EP1831788A2 (en) | Method and system for automated risk management of rule-based security | |
| US20110047206A1 (en) | Active Directory Object Management Methods and Systems | |
| US20050114625A1 (en) | Processing device security setting configuration system and user interface | |
| JP2005234729A (ja) | 不正アクセス防御システム及びその方法 | |
| JP2005503596A (ja) | リソース共有システムと方法 | |
| JP2007140958A (ja) | 文書管理システム | |
| JP2003273936A (ja) | ファイアウォールシステム | |
| JP2008117316A (ja) | 業務情報防護装置 | |
| US9977915B2 (en) | System for controlling database security and access | |
| JP2002108818A (ja) | データセンター、セキュリティポリシー作成方法及びセキュリティシステム | |
| JPH11308272A (ja) | パケット通信制御システム及びパケット通信制御装置 | |
| JP2008117317A (ja) | 業務情報防護装置 | |
| KR100365007B1 (ko) | 네트워크를 이용한 에이에스피 통합관리 방법 및 그 장치 | |
| JP5112153B2 (ja) | 承認者選択方法、システム、装置及びプログラム | |
| JP4769241B2 (ja) | アクセス権限制御システム | |
| US20060059543A1 (en) | Method and system for managing secure platform administration | |
| JP2006343994A (ja) | 金融機関の処理システムおよび該処理システムの保守方法 | |
| JP2002108822A (ja) | セキュリティ管理方式 | |
| JP2006092040A (ja) | サービス提供システムおよび方法 | |
| JP4854183B2 (ja) | 階層データ管理装置、階層データ管理プログラム、階層データ管理方法 | |
| JP4854184B2 (ja) | 階層データ管理装置、階層データ管理方法、階層データ管理プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20040302 |