JP2009015585A - Management device, network system, program, and management method - Google Patents
Management device, network system, program, and management method Download PDFInfo
- Publication number
- JP2009015585A JP2009015585A JP2007176406A JP2007176406A JP2009015585A JP 2009015585 A JP2009015585 A JP 2009015585A JP 2007176406 A JP2007176406 A JP 2007176406A JP 2007176406 A JP2007176406 A JP 2007176406A JP 2009015585 A JP2009015585 A JP 2009015585A
- Authority
- JP
- Japan
- Prior art keywords
- policy
- information
- storage unit
- security
- management target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
この発明は、管理対象がセキュリティポリシーを満たすよう管理する管理装置に関する。 The present invention relates to a management apparatus that manages a management target so as to satisfy a security policy.
情報の漏洩などを防止するため、コンピュータなどの機器のセキュリティを正しく設定する必要がある。特にネットワークを介して接続した複数の機器のなかに、一つでも正しいセキュリティ設定がされていない機器があると、そこから情報が漏洩する危険がある。
そのため、セキュリティ設定の基準を定めたセキュリティポリシーを設け、管理対象である機器などが、セキュリティポリシーに適合しているかチェックしたり、セキュリティポリシーに違反している場合に、自動的に所定のプログラムを実行して、セキュリティ設定を変更したり、変更を促したりする管理装置がある。
セキュリティポリシーを記述した情報のなかに、機器を特定する識別情報を含ませることにより、機器ごとに異なるセキュリティポリシーを適用することもできる。
For this reason, a security policy that sets the standard for security settings is established, and if a device to be managed is in compliance with the security policy or if it violates the security policy, the specified program is automatically There is a management device that executes to change or prompt security settings.
By including identification information for specifying a device in the information describing the security policy, a different security policy can be applied to each device.
機器に適用すべきセキュリティポリシーは、その機器のネットワーク上の位置や、その機器の管理者、管理部署などの条件により、変化する場合がある。
この発明は、例えば、上記のような課題を解決するためになされたものであり、組織改編・人事異動・ネットワーク構成の変更などにより、管理対象に適用すべきセキュリティポリシーが変化した場合であっても、正しく管理対象に適用すべきセキュリティポリシーを判別し、管理対象がセキュリティポリシーに適合しているかチェックしたり、管理対象がセキュリティポリシーに違反している場合に、対策を取ったりできるようにすることを目的とする。
The security policy to be applied to a device may change depending on conditions such as the location of the device on the network and the administrator or management department of the device.
The present invention has been made to solve the above-described problems, for example, and is a case where a security policy to be applied to a management object has changed due to organizational reform, personnel change, network configuration change, etc. Also, it is possible to determine the security policy that should be correctly applied to the management target, check whether the management target conforms to the security policy, and take measures if the management target violates the security policy. For the purpose.
この発明にかかる管理装置は、
情報を記憶する記憶装置と、情報を処理する処理装置とを有し、管理対象がセキュリティポリシーを満たすよう管理する管理装置において、
セキュリティポリシー記憶部と、属性記憶部と、抽出条件記憶部と、実行アクション記憶部と、管理対象抽出部と、状態取得部と、ポリシー違反抽出部と、アクション実行部とを有し、
上記セキュリティポリシー記憶部は、上記記憶装置を用いて、上記管理対象が満たすべき条件を記述したセキュリティ条件情報を記憶し、
上記属性記憶部は、上記記憶装置を用いて、上記管理対象の属性を記述した管理対象属性情報を記憶し、
上記抽出条件記憶部は、上記記憶装置を用いて、上記セキュリティ条件情報に記述された条件を満たすべき管理対象を抽出する条件を記述した管理対象抽出条件情報を記憶し、
上記実行アクション記憶部は、上記記憶装置を用いて、上記セキュリティ条件情報に記述された条件を上記管理対象が満たしていない場合に実行すべきアクションを記述した実行アクション情報を記憶し、
上記管理対象抽出部は、上記処理装置を用いて、上記属性記憶部が記憶した管理対象属性情報に基づいて、上記抽出条件記憶部が記憶した管理対象抽出条件情報に記述された条件を満たす管理対象を抽出し、
上記状態取得部は、上記処理装置を用いて、上記管理対象抽出部が抽出した管理対象について、上記管理対象の状態を取得し、
上記ポリシー違反抽出部は、上記処理装置を用いて、上記状態取得部が取得した状態に基づいて、上記セキュリティポリシー記憶部が記憶したセキュリティ条件情報に記述された条件を満たしていない管理対象を抽出し、
上記アクション実行部は、上記処理装置を用いて、上記ポリシー違反抽出部が抽出した管理対象について、上記実行アクション記憶部が記憶した実行アクション情報に記述されたアクションを実行することを特徴とする。
The management device according to the present invention is:
In a management device that has a storage device that stores information and a processing device that processes information, and manages the management target so as to satisfy the security policy.
A security policy storage unit, an attribute storage unit, an extraction condition storage unit, an execution action storage unit, a management target extraction unit, a state acquisition unit, a policy violation extraction unit, and an action execution unit;
The security policy storage unit uses the storage device to store security condition information describing conditions that the management target should satisfy,
The attribute storage unit uses the storage device to store management target attribute information describing the management target attribute,
The extraction condition storage unit stores management target extraction condition information that describes a condition for extracting a management target that should satisfy the conditions described in the security condition information, using the storage device,
The execution action storage unit stores, using the storage device, execution action information describing an action to be executed when the management target does not satisfy the condition described in the security condition information,
The management target extraction unit uses the processing device to manage the conditions described in the management target extraction condition information stored in the extraction condition storage unit based on the management target attribute information stored in the attribute storage unit Extract the target,
The status acquisition unit acquires the status of the management target for the management target extracted by the management target extraction unit using the processing device,
The policy violation extraction unit extracts a management target that does not satisfy the condition described in the security condition information stored in the security policy storage unit based on the state acquired by the state acquisition unit using the processing device. And
The action execution unit executes the action described in the execution action information stored in the execution action storage unit for the management target extracted by the policy violation extraction unit using the processing device.
この発明にかかる管理装置によれば、管理対象抽出部が、属性記憶部が記憶した管理対象属性情報に基づいて、抽出条件記憶部が記憶した管理対象抽出条件情報が記述した条件を満たす管理対象を抽出し、ポリシー違反抽出部が、セキュリティポリシー記憶部が記憶したセキュリティ条件情報が記述した条件を、管理対象抽出部が抽出した管理対象が満たしているか否かを判定するので、組織改編・人事異動・ネットワーク構成の変更などにより、管理対象に適用すべきセキュリティポリシーが変化した場合であっても、正しく管理対象に適用すべきセキュリティポリシーを判別し、管理対象がセキュリティポリシーに適合しているかチェックし、管理対象がセキュリティポリシーに違反している場合に、対策を取ることができるという効果を奏する。 According to the management device of the present invention, the management target extraction unit satisfies the condition described by the management target extraction condition information stored in the extraction condition storage unit based on the management target attribute information stored in the attribute storage unit. The policy violation extraction unit determines whether the management target extracted by the management target extraction unit satisfies the condition described by the security condition information stored in the security policy storage unit. Even if the security policy that should be applied to the management target has changed due to a change or change in the network configuration, etc., the security policy that should be correctly applied to the management target is determined, and whether the management target conforms to the security policy is checked. The effect of being able to take measures when the management target violates the security policy Unlikely to.
実施の形態1.
実施の形態1について、図1〜図16を用いて説明する。
Embodiment 1 FIG.
The first embodiment will be described with reference to FIGS.
図1は、この実施の形態におけるネットワークシステム800の全体構成の一例を示すシステム構成図である。 FIG. 1 is a system configuration diagram showing an example of the overall configuration of a network system 800 in this embodiment.
ネットワークシステム800は、セキュリティ運用管理システム100、クライアント装置200a〜クライアント装置200c、ネットワーク300を備える。
ネットワーク300は、例えば、LAN(Local Area Network)などであり、セキュリティ運用管理システム10とクライアント装置200a〜200cとの間やクライアント装置200a〜200c同士の間を接続し、互いに通信可能にする。
クライアント装置200a〜200cは、例えば、パーソナルコンピュータやサーバ装置など、ネットワーク300に接続された情報端末装置である。
The network system 800 includes a security
The
The
セキュリティ運用管理システム100は、クライアント装置200a〜200cを管理対象として、クライアント装置200a〜200cが、あらかじめ定めたセキュリティポリシーにしたがって運用されているかを管理する。
セキュリティ運用管理システム100は、ポリシーデータベース記憶部120、対象グループデータベース記憶部130、対象情報データベース記憶部140などを有する。
ポリシーデータベース記憶部120は、ポリシーを管理する。ポリシーデータベース記憶部120は、セキュリティ運用管理システム100の管理対象であるクライアント装置200a〜200cに適用するセキュリティポリシーや、ポリシー違反があった場合の対処方法などの情報をデータベースとして記憶している。
対象グループデータベース記憶部130は、セキュリティチェック対象のグループ情報を管理する。対象グループデータベース記憶部130は、セキュリティ運用管理システム100の管理対象であるクライアント装置200a〜200cのうち、同一のセキュリティポリシーを適用する対象をグループ化するための情報をデータベースとして記憶している。
対象情報データベース記憶部140は、実際にセキュリティチェックの対象である各クライアント装置200a〜200cに関する情報を管理する。対象情報データベース記憶部140は、セキュリティ運用管理システム100の管理対象であるクライアント装置200a〜200cの属性など管理対象についての情報をデータベースとして記憶している。
The security
The security
The policy
The target group
The target information
図2は、この実施の形態におけるセキュリティ運用管理システム100及びクライアント装置200a〜200cの外観の一例を示す図である。
セキュリティ運用管理システム100及びクライアント装置200a〜200cは、システムユニット910、CRT(Cathode・Ray・Tube)やLCD(液晶)の表示画面を有する表示装置901、キーボード902(Key・Board:K/B)、マウス903、FDD904(Flexible・Disk・Drive)、コンパクトディスク装置905(CDD)、プリンタ装置906、スキャナ装置907などのハードウェア資源を備え、これらはケーブルや信号線で接続されている。
システムユニット910は、コンピュータであり、ファクシミリ機932、電話器931とケーブルで接続され、また、ローカルエリアネットワーク942(LAN)、ゲートウェイ941を介してインターネット940に接続されている。
FIG. 2 is a diagram showing an example of the external appearance of the security
The security
The system unit 910 is a computer, and is connected to the
図3は、この実施の形態におけるセキュリティ運用管理システム100及びクライアント装置200a〜200cのハードウェア資源の一例を示す図である。
図3において、セキュリティ運用管理システム100及びクライアント装置200a〜200cは、プログラムを実行するCPU911(Central・Processing・Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU911は、バス912を介してROM913、RAM914、通信装置915、表示装置901、キーボード902、マウス903、FDD904、CDD905、プリンタ装置906、スキャナ装置907、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置920の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部の一例である。
通信装置915、キーボード902、スキャナ装置907、FDD904などは、入力部、入力装置の一例である。
また、通信装置915、表示装置901、プリンタ装置906などは、出力部、出力装置の一例である。
FIG. 3 is a diagram illustrating an example of hardware resources of the security
In FIG. 3, the security
The
A
Further, the
通信装置915は、ファクシミリ機932、電話器931、LAN942等に接続されている。通信装置915は、LAN942に限らず、インターネット940、ISDN等のWAN(ワイドエリアネットワーク)などに接続されていても構わない。インターネット940或いはISDN等のWANに接続されている場合、ゲートウェイ941は不用となる。
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
The
The magnetic disk device 920 stores an operating system 921 (OS), a
上記プログラム群923には、以下に述べる実施の形態の説明において「〜部」として説明する機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
ファイル群924には、以下に述べる実施の形態の説明において、「〜の判定結果」、「〜の計算結果」、「〜の処理結果」として説明する情報やデータや信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」の各項目として記憶されている。「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリになどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
また、以下に述べる実施の形態の説明において説明するフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD(Digital・Versatile・Disc)等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
The
The
In addition, the arrows in the flowcharts described in the following description of the embodiments mainly indicate input / output of data and signals. The data and signal values are the
また、以下に述べる実施の形態の説明において「〜部」として説明するものは、「〜回路」、「〜装置」、「〜機器」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」として説明するものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、以下に述べる「〜部」としてコンピュータを機能させるものである。あるいは、以下に述べる「〜部」の手順や方法をコンピュータに実行させるものである。
In the description of the embodiments described below, what is described as “to part” may be “to circuit”, “to device”, and “to device”, and “to step” and “to”. “Procedure” and “˜Process” may be used. That is, what is described as “˜unit” may be realized by firmware stored in the
図4は、この実施の形態におけるセキュリティ運用管理システム100の機能ブロックの構成の一例を示す内部ブロック図である。
FIG. 4 is an internal block diagram showing an example of the functional block configuration of the security
セキュリティ運用管理システム100は、セキュリティチェック部110、ポリシーデータベース記憶部120、対象グループデータベース記憶部130、対象情報データベース記憶部140を有する。
The security
ポリシーデータベース記憶部120は、ポリシーのデータ管理を行う。ポリシーデータベース記憶部120は、ポリシー記憶部121、実行アクション記憶部122を有する。
ポリシー記憶部121は、磁気ディスク装置920などの記憶装置を用いて、ポリシー情報を記憶する。ポリシー情報とは、管理対象であるクライアント装置200a〜200cに適用するセキュリティポリシーを記述した情報である。
実行アクション記憶部122は、磁気ディスク装置920などの記憶装置を用いて、アクション情報を記憶する。アクション情報とは、管理対象であるクライアント装置200a〜200cが適用されるセキュリティーポリシーに違反している場合、クライアント装置200a〜200cにセキュリティーポリシーを遵守させるために実行するアクションを記述した情報である。アクションには、例えば、強制的に設定を変更するプログラムの実行や、対象の管理者に対する通知メールの送信などがある。
The policy
The
The execution
対象グループデータベース記憶部130は、セキュリティチェック対象のグループ化情報を管理する。対象グループデータベース記憶部130は、条件対応記憶部132、抽出条件記憶部133を有する。
抽出条件記憶部133は、磁気ディスク装置920などの記憶装置を用いて、抽出条件情報を記憶する。抽出条件情報とは、セキュリティポリシーを適用すべき対象を抽出するための条件を記述した情報である。
条件対応記憶部132は、磁気ディスク装置920などの記憶装置を用いて、条件対応情報を記憶する。条件対応情報とは、ポリシー記憶部121が記憶したポリシー情報と、抽出条件記憶部133が記憶した抽出条件情報との対応づけを記述した情報である。すなわち、条件対応情報は、ポリシー情報に記述されたセキュリティポリシーと、抽出条件情報に記述されたセキュリティーポリシーを適用すべき対象を抽出する条件とを関係づける情報である。
The target group
The extraction
The condition
対象情報データベース記憶部140は、セキュリティチェック部110が実際にセキュリティチェックを行う際に対象を選択するための基本情報を管理する。対象情報データベース記憶部140は、属性記憶部141を有する。
属性記憶部141は、磁気ディスク装置920などの記憶装置を用いて、管理対象属性情報を記憶する。管理対象属性情報とは、管理対象であるクライアント装置200a〜200cの属性を記述した情報である。属性とは、例えば、資産番号、IP(Internet Protocol)アドレス、設置場所、管理者名などのデータである。これらのデータは、ネットワーク構成の変更や人事異動、組織改編などがない限り変わらないものである。管理対象属性情報は、属性記憶部141が静的に管理する。属性に変更があった場合、管理責任者などがキーボード902などの入力装置を操作して、管理対象属性情報を変更する指示を入力し、属性記憶部141は、入力した指示にしたがって、管理対象属性情報の追加、変更、削除などをする。なお、セキュリティ運用管理システム100やクライアント装置200a〜200c自身がIPアドレスを自動的に検出するなどして、属性の変更を検出し、属性記憶部141が記憶した管理対象属性情報を自動的に更新するよう構成してもよい。
The target information
The
セキュリティチェック部110は、ポリシーに基づくクライアント装置200a〜200cのセキュリティチェックを行う。セキュリティチェック部110は、ポリシー取得部111、抽出条件取得部112、管理対象抽出部113、状態取得部114、ポリシー違反抽出部115、アクション取得部116、アクション実行部117を有する。
The
ポリシー取得部111は、CPU911などの処理装置を用いて、ポリシー記憶部121が記憶したポリシー情報を取得する。
抽出条件取得部112は、CPU911などの処理装置を用いて、抽出条件記憶部133が記憶した抽出条件情報から、ポリシー取得部111が取得したポリシー情報に対応する抽出条件情報を取得する。
管理対象抽出部113は、CPU911などの処理装置を用いて、属性記憶部141が記憶した属性情報に基づいて、抽出条件取得部112が取得した抽出条件情報に記述された条件を満たす管理対象を抽出する。
The
The extraction
The management
状態取得部114は、CPU911などの処理装置を用いて、管理対象抽出部113が抽出した管理対象について、管理対象の状態を取得する。
管理対象の状態とは、例えば、動作OS、ウィルス対策ソフトやウィルスパターンファイルのバーション、インストールされているソフトウェア、ログインパスワードの長さや最終変更日時、ファイアウォールの設定などである。これらは、短期間で変化する可能性が高く、セキュリティに直結する項目を含む。
The
The management target status includes, for example, the operating OS, anti-virus software and virus pattern file versions, installed software, the length of the login password, the last change date, and the firewall settings. These include items that are likely to change in a short period of time and directly related to security.
ポリシー違反抽出部115は、CPU911などの処理装置を用いて、状態取得部114が取得した管理対象の状態に基づいて、ポリシー取得部111が取得したポリシー情報に記述されたセキュリティポリシーを満たしていない管理対象を抽出する。
The policy
アクション取得部116は、CPU911などの処理装置を用いて、実行アクション記憶部122が記憶したアクション情報から、ポリシー取得部111が取得したポリシー情報に対応するアクション情報を取得する。
アクション実行部117は、CPU911などの処理装置を用いて、ポリシー違反抽出部115が抽出した管理対象について、アクション取得部116が取得したアクション情報に記述されたアクションを実行する。
The
The
図5は、この実施の形態におけるセキュリティ運用管理システム100が記憶する情報の一例を示す図である。
FIG. 5 is a diagram showing an example of information stored in the security
抽出条件情報510(対象グループテーブル)は、抽出条件記憶部133が記憶している情報である。抽出条件情報510は、実際のセキュリティチェック時の対象となる管理対象の情報を、対象情報データベース記憶部140から検索するための条件を示す。抽出条件情報510は、グループID511、グループ名称512、抽出条件513を含む。
グループID511(対象グループID)は、グループを一意に識別する識別データである。
グループ名称512(対象グループ名称)は、グループの名称を記述したデータである。
抽出条件513は、グループに属する管理対象を抽出するための条件を記述したデータである。
抽出条件記憶部133は、通常、複数の抽出条件情報510を記憶している。抽出条件記憶部133は、例えば、データベースのレコードとして抽出条件情報510を管理し、複数の抽出条件情報510からなるテーブル(対象グループテーブル)を記憶する。
The extraction condition information 510 (target group table) is information stored in the extraction
The group ID 511 (target group ID) is identification data that uniquely identifies a group.
The group name 512 (target group name) is data describing the name of the group.
The
The extraction
条件対応情報520(ポリシー対象グループマッピングテーブル)は、条件対応記憶部132が記憶している情報である。条件対応情報520は、ポリシーとグループとをマッピングする。条件対応情報520は、対応ID521、ポリシーID522、グループID523を含む。
対応ID521は、条件対応情報520を一意に識別する識別データであり、なくてもよい。
ポリシーID522は、その条件対応情報520により抽出条件情報510に対応づけられるポリシー定義情報530を示すデータである。ポリシーID522は、その条件対応情報520により抽出条件情報510に対応づけられるポリシー定義情報530のポリシーID531と等しい。
グループID523は、その条件対応情報520によりポリシー定義情報530に対応づけられる抽出条件情報510を示すデータである。グループID523は、その条件対応情報520によりポリシー定義情報530に対応づけられる抽出条件情報510のグループID511と等しい。
The condition correspondence information 520 (policy target group mapping table) is information stored in the condition
The
The
The
ポリシー定義情報530及び設定ポリシー情報540は、ポリシー記憶部121が記憶しているポリシー情報(セキュリティ条件情報)である。
ポリシー定義情報530(ポリシーテーブル)は、ある管理対象に適用するポリシー(セキュリティポリシー群)を定義する情報である。ポリシー定義情報530は、ポリシーID531、ポリシー名称532、ステータス533を含む。
ポリシーID531は、ポリシーを一意に識別する識別データである。
ポリシー名称532は、ポリシーの名称を記述したデータである。
ステータス533は、ポリシーの状態を表わすデータである。ポリシーの状態とは、例えば、そのポリシーが公開中であるか、編集中であるかなどの状態のことである。
The policy definition information 530 and the setting policy information 540 are policy information (security condition information) stored in the
The policy definition information 530 (policy table) is information that defines a policy (security policy group) to be applied to a certain management target. The policy definition information 530 includes a
The
The
The
設定ポリシー情報540(設定ポリシーテーブル)は、ポリシー定義情報530により定義されたセキュリティポリシー群に含まれる個々のセキュリティポリシー(設定ポリシー)を表わす情報である。設定ポリシー情報540は、ポリシー内に規定する対象のセキュリティ設定として「あるべき」状態を示す。1つのポリシー定義情報530には、1以上の設定ポリシー情報540が対応づけられる。設定ポリシー情報540は、設定ID541、ポリシーID542、設定名称543、セキュリティ条件544を含む。
設定ID541(設定ポリシーID)は、設定ポリシーを一意に識別する識別データである。
ポリシーID542は、その設定ポリシー情報540に対応づけられたポリシー定義情報530を示すデータである。ポリシーID542は、その設定ポリシー情報540に対応づけられたポリシー定義情報530のポリシーID531と等しい。
設定名称543(設定ポリシー名称)は、その設定ポリシー情報540の名称を記述したデータである。
セキュリティ条件544(セキュリティ設定要件)は、その設定ポリシー情報540が規定する管理対象の「あるべき」状態を記述したデータである。
The setting policy information 540 (setting policy table) is information representing individual security policies (setting policies) included in the security policy group defined by the policy definition information 530. The setting policy information 540 indicates a “should” state as a security setting of a target specified in the policy. One policy definition information 530 is associated with one or more setting policy information 540. The setting policy information 540 includes a
The setting ID 541 (setting policy ID) is identification data that uniquely identifies the setting policy.
The
The setting name 543 (setting policy name) is data describing the name of the setting policy information 540.
The security condition 544 (security setting requirement) is data describing the “should” state of the management target defined by the setting policy information 540.
実行アクション情報550及びアクション定義情報560は、実行アクション記憶部122が記憶しているアクション情報である。
実行アクション情報550(対策アクションテーブル)は、ポリシー違反の場合に実行するアクションを記述した情報である。実行アクション情報550は、セキュリティチェック時に設定ポリシー情報540で規定される条件に違反する場合に実行させるプログラムに関する情報である。実行アクション情報550は、アクションID551、設定ID552、プログラムID553、パラメータ554を含む。
アクションID551は、アクションを一意に識別する識別データである。
設定ID552は、その実行アクション情報550に対応づけられた設定ポリシー情報540を示すデータである。設定ID552は、その実行アクション情報550が記述したアクションを実行する対象の設定ポリシー情報540を示す。設定ID552は、その実行アクション情報550に対応づけられた設定ポリシー情報540の設定ID541と等しい。
プログラムID553は、その実行アクション情報550に対応づけられたアクション定義情報560を示すデータである。プログラムID553は、その実行アクション情報550に対応づけられたアクション定義情報560のプログラムID561と等しい。
パラメータ554は、その実行アクション情報550に対応づけられたアクション定義情報560が定義するプログラムに渡すパラメータを記述したデータである。
The execution action information 550 and the action definition information 560 are action information stored in the execution
The execution action information 550 (measure action table) is information describing an action to be executed in the case of a policy violation. The execution action information 550 is information related to a program to be executed when a condition defined by the setting policy information 540 is violated at the time of a security check. The execution action information 550 includes an
The
The setting
The
The parameter 554 is data describing a parameter to be passed to a program defined by the action definition information 560 associated with the execution action information 550.
アクション定義情報560(対策アクション定義テーブル)は、アクションを実行するにあたり、実行するプログラムを具体的に定義する情報である。アクション定義情報560は、実行アクション情報550で指定するアクションを実行するプログラムを示す。アクション定義情報560は、プログラムID561、アクション名称562、プログラム呼出し名563を含む。
プログラムID561は、プログラムを一意に識別する識別データである。
アクション名称562は、アクションの名称を記述したデータである。
プログラム呼出し名563は、そのアクションを実行するにあたり、実行するプログラムを呼ぶためのデータである。プログラム呼出し名563は、例えば、実行するプログラムのパス名やメソッド名を記述したデータである。
The action definition information 560 (measure action definition table) is information that specifically defines a program to be executed when an action is executed. The action definition information 560 indicates a program that executes the action specified by the execution action information 550. The action definition information 560 includes a
The
The
The
属性定義情報570及び属性情報580は、属性記憶部141が記憶している管理対象属性情報である。
属性定義情報570(対象情報項目定義テーブル)は、属性(対象情報として管理する項目)を定義する情報である。属性定義情報570は、属性ID571、属性タイプ572、対象種別573、属性名称574を含む。
属性ID571は、属性を一意に識別する識別データである。
属性タイプ572は、その属性定義情報570が定義する属性のタイプを記述したデータである。属性のタイプとは、例えば、数値、文字列、日付、IPアドレスなど、その属性が取り得る値の範囲を示すものである。
対象種別573は、その属性定義情報570が定義する属性を有する管理対象の種別を記述したデータである。
属性名称574は、その属性定義情報570が定義する属性の名称を記述したデータである。
The attribute definition information 570 and the attribute information 580 are management target attribute information stored in the
The attribute definition information 570 (target information item definition table) is information that defines attributes (items managed as target information). The attribute definition information 570 includes an
The
The
The
The attribute name 574 is data describing the name of the attribute defined by the attribute definition information 570.
属性情報580(対象情報テーブル)は、個々の対象が有する属性の属性値を記述したデータである。属性は、抽出条件情報510の抽出条件513が記述する条件を管理対象が満たすか否かを判定するために用いられる。すなわち、属性情報580は、セキュリティチェック時の対象を識別するための情報である。属性情報580は、項目ID581、対象ID582、属性ID583、属性値584を有する。
項目ID581は、項目を一意に識別する識別データであり、なくてもよい。
対象ID582は、その属性情報580が記述した属性を有する対象を示すデータである。対象には、あらかじめ管理対象を一意に識別するため、対象IDが付されている。対象ID582は、その属性情報580が記述した属性を有する対象の対象IDと等しい。
The attribute information 580 (target information table) is data describing attribute values of attributes of individual targets. The attribute is used to determine whether the management target satisfies the condition described by the
The
The
属性ID583は、その属性情報580が記述した属性を定義する属性定義情報570を示すデータである。属性ID583は、その属性情報580が記述した属性を定義する属性定義情報570の属性ID571と等しい。
属性値584は、その属性情報580が記述した属性の値を表わすデータである。
The
The
次に、セキュリティ運用管理システム100が記憶している情報の具体例について説明する。
Next, a specific example of information stored in the security
図6は、この実施の形態におけるポリシー記憶部121が記憶したポリシー定義情報530の具体例を示す図である。
この図において、ポリシー定義情報530は表形式で表わされている。横の行は、1つのポリシー定義情報530を表わす。縦の列は、それぞれのポリシー定義情報530の各項目(ポリシーID531、ポリシー名称532、ステータス533)を表わす。ポリシー記憶部121が、ポリシー定義情報530をデータベース形式で記憶している場合、横の行がデータベースのレコードに相当し、縦の列がデータベースのフィールドに相当する。
FIG. 6 is a diagram showing a specific example of the policy definition information 530 stored in the
In this figure, policy definition information 530 is represented in a table format. The horizontal row represents one policy definition information 530. The vertical column represents each item (
ポリシーID531は、例えば、「P00001」「P00002」「P00003」「P00004」「P00005」などの固定長文字列データである。ポリシーID531は、例えば、ポリシー管理者がポリシーを登録・編集するとき、セキュリティ運用管理システム100が自動的に付すものであり、ポリシーを一意に識別するため、各ポリシー定義情報530ごとに異なるポリシーID531が付される。
ポリシー名称532は、例えば、「全社ポリシー」「人事部用ポリシー」「総務部用ポリシー」「開発部用ポリシー」「管理職用ポリシー」などの可変長文字列データである。ポリシー名称532は、ポリシー管理者がそのポリシーの適用対象や内容などを識別し理解しやすくするために付けたものであり、例えば、ポリシー管理者がポリシーを登録・編集するとき、ポリシー管理者がキーボード902などの入力装置を操作して入力し、ポリシー管理者がポリシーを閲覧・編集するとき、CRTなどの表示装置901が表示する。
ステータス533は、例えば、「公開」「編集」などのデータである。ステータス533は、ポリシーの運用状況などの状態を表わす。
The
The
The
図7は、この実施の形態におけるポリシー記憶部121が記憶した設定ポリシー情報540の具体例を示す図である。
図6と同様、この図において、設定ポリシー情報540は表形式で表わされている。横の行が1つの設定ポリシー情報540を表わし、縦の列がそれぞれのポリシー定義情報530の各項目(設定ID541、ポリシーID542、設定名称543、セキュリティ条件544)を表わす。
FIG. 7 is a diagram showing a specific example of the setting policy information 540 stored by the
As in FIG. 6, in this figure, the setting policy information 540 is represented in a table format. The horizontal row represents one setting policy information 540, and the vertical column represents each item (setting
設定ID541は、例えば、「TP0001」「TP0002」などの固定長文字列データである。設定ID541は、例えば、ポリシー管理者が設定ポリシーを登録・編集するとき、セキュリティ運用管理システム100が自動的に付すものであり、設定ポリシーを一意に識別するため、各設定ポリシー情報540ごとに異なる設定ID541が付される。なお、設定ID541とポリシーID542との組み合わせにより設定ポリシーを識別する場合、設定ID541は、異なるポリシーID542を有する設定ポリシー情報540の設定ID541と重複していてもよい。
The setting
ポリシーID542は、例えば、「P00001」「P00002」などの固定長文字列データであり、いずれかのポリシー定義情報530のポリシーID531と等しい。例えば、ポリシー管理者が設定ポリシーを登録・編集するとき、キーボード902などの入力装置を操作してその設定ポリシーを対応づけるポリシーを入力し、セキュリティ運用管理システム100が、入力内容に基づいて、対応づけられたポリシーを記述したポリシー定義情報530のポリシーID531を取得し、設定する。
The
設定名称543は、例えば、「利用OS制限」「ウィルス対策ソフト利用」などの可変長文字列データである。設定名称543は、ポリシー管理者がその設定ポリシーの内容などを識別し理解しやすくするために付けたものであり、例えば、ポリシー管理者が設定ポリシーを登録・編集するとき、ポリシー管理者がキーボード902などの入力装置を操作して入力し、ポリシー管理者が設定ポリシーを閲覧・編集するとき、CRTなどの表示装置901が表示する。
The setting
セキュリティ条件544は、例えば、「OSサービスパック(XP)≧SP1 or OSサービスパック(2000)≧SP1」「ウィルス対策ソフトパターン≧4.330」などの可変長文字列データである。セキュリティ条件544は、その設定ポリシーが適用される対象が、ポリシーに適合しているか否かを判定するための条件を記述したデータであり、例えば、ポリシー管理者が設定ポリシーを登録・編集するとき、ポリシー管理者がキーボード902などの入力装置を操作して入力し、ポリシー管理者が設定ポリシーを閲覧・編集するとき、CRTなどの表示装置901が表示する。ポリシー管理者の入力を助けるためポリシー管理者が理解しやすい記述形式・文法をあらかじめ定めておき、セキュリティ条件544は、それにしたがって記述される。セキュリティ条件544の記述形式は、もっと自然言語に近い形式であってもよいし、SQL文の記述形式に準拠した形式などデータベース処理に適した形式であってもよい。
The security condition 544 is variable-length character string data such as “OS service pack (XP) ≧ SP1 or OS service pack (2000) ≧ SP1” and “anti-virus software pattern ≧ 4.330”. The security condition 544 is data describing conditions for determining whether the target to which the setting policy is applied conforms to the policy. For example, when the policy administrator registers / edits the setting policy When the policy manager operates and inputs an input device such as the
この例に示したように、設定ポリシーは、個々の具体的なセキュリティポリシーを表わすものである。通常、管理対象には複数の設定ポリシーの組み合わせが適用され、同種の管理対象には、同じ組み合わせが適用される。そこで、複数の設定ポリシーの組み合わせを1つのポリシーとして定義し、ポリシーと、ポリシーに対応する1以上の設定ポリシーとして管理する。 As shown in this example, the setting policy represents each specific security policy. Usually, a combination of a plurality of setting policies is applied to the management target, and the same combination is applied to the same type of management target. Therefore, a combination of a plurality of setting policies is defined as one policy and managed as a policy and one or more setting policies corresponding to the policy.
図8は、この実施の形態における実行アクション記憶部122が記憶した実行アクション情報550の具体例を示す図である。
図6及び図7と同様、この図において、実行アクション情報550は表形式で表わされ、横の行が1つの実行アクション情報550を表わし、縦の列が各項目(アクションID551、設定ID552、プログラムID553、名称555、値556)を表わす。
FIG. 8 is a diagram showing a specific example of the execution action information 550 stored in the execution
6 and 7, the execution action information 550 is represented in a table format, the horizontal row represents one execution action information 550, and the vertical column represents each item (
アクションID551は、例えば、「AC0001」「AC0002」などの固定長文字列データである。アクションID551は、例えば、ポリシー管理者がアクションを登録・編集するとき、セキュリティ運用管理システム100が自動的に付すものであり、アクションを一意に識別するため、実行アクション情報550ごとに異なるアクションID551が付される。
The
設定ID552は、例えば、「TP0001」「TP0002」などの固定長文字列データであり、いずれかの設定ポリシー情報540の設定ID541と等しい。例えば、ポリシー管理者がアクションを登録・編集するとき、キーボード902などの入力装置を操作してそのアクションを対応づける設定ポリシーを入力し、セキュリティ運用管理システム100が、入力内容に基づいて、対応づけられた設定ポリシーを記述した設定ポリシー情報540の設定ID541を取得し、設定する。
The setting
プログラムID553は、例えば、「PG0001」「PG0002」などの固定長文字列データであり、いずれかのアクション定義情報560のプログラムID561と等しい。例えば、ポリシー管理者がアクションを登録・編集するとき、キーボード902などの入力装置を操作してそのアクションにおいて実行するプログラムを入力し、セキュリティ運用管理システム100が、入力内容に基づいて、そのアクションにおいて実行するプログラムを定義したアクション定義情報560のプログラムID561を取得し、設定する。
The
名称555及び値556は、パラメータ554の一例である。
名称555は、例えば、「From」「To」などの可変長文字列データであり、プログラムID553が示すプログラムに渡すパラメータの名称である。
値556は、例えば、「admin@XXX」「user@XXX」などの可変長文字列データであり、プログラムID553が示すプログラムに渡すパラメータの値である。
Name 555 and value 556 are examples of parameters 554.
The name 555 is variable-length character string data such as “From” and “To”, for example, and is the name of a parameter to be passed to the program indicated by the
The value 556 is variable-length character string data such as “admin @ XXX” and “user @ XXX”, and is a parameter value to be passed to the program indicated by the
図9は、この実施の形態における実行アクション記憶部122が記憶したアクション定義情報560の具体例を示す図である。
図6乃至図8と同様、この図において、アクション定義情報560は表形式で表わされ、横の行が1つのアクション定義情報560を、縦の列が各項目(プログラムID561、アクション名称562、プログラム呼出し名563)を表わす。
FIG. 9 is a diagram showing a specific example of the action definition information 560 stored in the execution
As in FIGS. 6 to 8, in this figure, the action definition information 560 is represented in a table form, the horizontal row indicates one action definition information 560, and the vertical column indicates each item (
プログラムID561は、例えば、「PG0000」「PG0001」などの固定長文字列データである。プログラムID561は、例えば、ポリシー管理者がプログラムを登録・編集するとき、セキュリティ運用管理システム100が自動的に付すものであり、プログラムを一意に識別するため、アクション定義情報560ごとに異なるプログラムID561が付される。
アクション名称562は、例えば、「何もしない」「メール送付」などの可変長文字列データである。アクション名称562は、ポリシー管理者がそのプログラムの機能などを識別し理解しやすくするために付けたものであり、ポリシー管理者がプログラムを登録・変更するとき、ポリシー管理者がキーボード902などの入力装置を操作して入力し、ポリシー管理者がアクションを登録・編集するとき、CRTなどの表示装置901が表示する。
プログラム呼出し名563は、例えば、「actionNoAction」「actionSendMail」などの可変長文字列データである。プログラム呼出し名563は、実行するプログラムのパス名やメソッド名などプログラムの実体を示し、プログラムを呼び出す際に必要となるデータである。
アクション定義情報560が定義するアクションを追加することにより、あとからアクションの種類を増やすことも可能である。
The
The
The
By adding actions defined by the action definition information 560, it is possible to increase the types of actions later.
図10は、この実施の形態における抽出条件記憶部133が記憶している抽出条件情報510の具体例を示す図である。
図6乃至図9と同様、この図において、抽出条件情報510は表形式で表わされ、横の行が1つの抽出条件情報510を、縦の列が各項目(グループID511、グループ名称512、抽出条件513)を表わす。
FIG. 10 is a diagram showing a specific example of the extraction condition information 510 stored in the extraction
Similar to FIGS. 6 to 9, in this figure, the extraction condition information 510 is represented in a table format, the horizontal row indicates one extraction condition information 510, and the vertical column indicates each item (group ID 511,
グループID511は、例えば、「TG0001」「TG0002」などの固定長文字列データである。グループID511は、例えば、ポリシー管理者がグループを登録・編集するとき、セキュリティ運用管理システム100が自動的に付すものであり、グループを一意に識別するため、抽出条件情報510ごとに異なるグループID511が付される。
The group ID 511 is fixed-length character string data such as “TG0001” and “TG0002”, for example. For example, when the policy manager registers / edits a group, the group ID 511 is automatically assigned by the security
グループ名称512は、例えば、「社内全体のPC」「人事部のPC」などの可変長文字列データである。グループ名称512は、ポリシー管理者がそのグループが表わす対象などを識別し理解しやすくするために付けたものであり、ポリシー管理者がグループを登録・編集するとき、ポリシー管理者がキーボード902などの入力装置を操作して入力し、ポリシー管理者がグループを閲覧・編集するとき、CRTなどの表示装置901が表示する。
The
抽出条件513は、例えば、「(場所=A棟 or 場所=B棟)and 機器種別=PC」「管理組織=人事 and 機器種別=PC」などの可変長文字列データである。抽出条件513は、管理対象がそのグループに属するか否かを判定するための条件を記述したデータであり、例えば、ポリシー管理者がグループを登録・編集するとき、ポリシー管理者がキーボード902などの入力装置を操作して入力し、ポリシー管理者がグループを閲覧・編集するとき、CRTなどの表示装置901が表示する。抽出条件513は、セキュリティ条件544と同様、ポリシー管理者の入力を助けるためポリシー管理者が理解しやすい記述形式・文法をあらかじめ定めておき、それにしたがって記述される。抽出条件513の記述形式も、もっと自然言語に近い形式であってもよいし、SQL文の記述形式に準拠した形式などデータベース処理に適した形式であってもよい。
The
抽出条件513が記述した条件を満たす管理対象は、グループ化され、グループID511により管理される。一つのグループに属する管理対象には、同一のセキュリティポリシーが適用される。
Management targets that satisfy the conditions described by the
図11は、この実施の形態における条件対応記憶部132が記憶している条件対応情報520の具体例を示す図である。
図6乃至図10と同様、この図において、条件対応情報520は表形式で表わされ、横の行が1つの条件対応情報520を、縦の列が各項目(対応ID521、ポリシーID522、グループID523)を表わす。
FIG. 11 is a diagram illustrating a specific example of the condition correspondence information 520 stored in the condition
Similar to FIGS. 6 to 10, in this figure, the condition correspondence information 520 is represented in a table format, the horizontal row indicates one condition correspondence information 520, and the vertical column indicates each item (
対応ID521は、例えば、「C0001」「C0002」などの固定長文字列データである。対応ID521は、例えば、ポリシー管理者がグループを登録・編集するとき、セキュリティ運用管理システム100が自動的に付すものであり、条件対応情報520を一意に識別するため、条件対応情報520ごとに異なる対応ID521が付される。
The
ポリシーID522は、例えば、「P00001」「P00002」などの固定長文字列データであり、いずれかのポリシー定義情報530のポリシーID531と等しい。例えば、ポリシー管理者がグループを登録・編集するとき、キーボード902などの入力装置を操作してグループに適用するポリシーを入力し、セキュリティ運用管理システム100が、入力内容に基づいて、グループに適用するポリシーを記述したポリシー定義情報530のポリシーID531を取得し、設定する。
The
グループID523は、例えば、「TG0001」「TG0002」などの固定長文字列データであり、いずれかの抽出条件情報510のグループID511と等しい。例えば、ポリシー管理者がグループを登録・編集するとき、キーボード902などの入力装置を操作してポリシーを適用するグループを入力し、セキュリティ運用管理システム100が、入力内容に基づいて、ポリシーを適用するグループを記述した抽出条件情報510のグループID511を取得し、設定する。
The
条件対応情報520は、ポリシーID522が示すポリシー定義情報530と、グループID523が示す抽出条件情報510とがマッピングされていることを表わす。すなわち、グループID523が示す抽出条件情報510が記述した条件によりグループ化された管理対象に対して、ポリシーID522が示すポリシー定義情報530が記述したセキュリティポリシーを適用することを表わす。
The condition correspondence information 520 indicates that the policy definition information 530 indicated by the
図12は、この実施の形態における属性記憶部141が記憶している属性情報580の具体例を示す図である。
図6乃至図11と同様、この図において、属性情報580は表形式で表わされ、横の行が1つの属性情報580を、縦の列が各項目(項目ID581、対象ID582、属性ID583、属性値584)を表わす。
FIG. 12 is a diagram illustrating a specific example of the attribute information 580 stored in the
Similar to FIGS. 6 to 11, in this figure, the attribute information 580 is represented in a table format, the horizontal row indicates one attribute information 580, and the vertical column indicates each item (
項目ID581は、例えば、「V0000」「V0001」などの固定長文字列データである。項目ID581は、例えば、システム管理者が管理対象の属性を登録・変更するとき、セキュリティ運用管理システム100が自動的に付すものであり、属性情報580を一意に識別するため、属性情報580ごとに異なる項目ID581が付される。
The
対象ID582は、例えば、「AST0001」「AST0002」などの固定長文字列データであり、ネットワークシステム800内で管理対象を一意に識別するためあらかじめ管理対象に付された対象IDのいずれかと等しい。例えば、システム管理者が管理対象の属性を登録・変更するとき、キーボード902などの入力装置を操作して属性値を設定する管理対象を入力し、セキュリティ運用管理システム100が、入力した内容に基づいて、属性値を設定する管理対象に付された対象IDを取得し、設定する。
The
属性ID583は、例えば、「A00000」「A00001」などの固定長文字列データであり、いずれかの属性定義情報570の属性ID571と等しい。例えば、システム管理者が管理対象の属性を登録・変更するとき、キーボード902などの入力装置を操作して管理対象に設定する属性を入力し、セキュリティ運用管理システム100が、入力した内容に基づいて、管理対象に設定する属性を定義した属性定義情報570の属性ID571を取得し、設定する。
The
属性値584は、例えば、「機器」「AST0001」「HOST01」などの可変長文字列データである。属性値584は、例えば、システム管理者が属性を登録・編集するとき、キーボード902などの入力装置を操作して入力し、システム管理者が属性を閲覧・編集するとき、CRTなどの表示装置901が表示する。
The
図13は、この実施の形態における属性記憶部141が記憶している属性定義情報570の具体例を示す図である。
図6乃至図12と同様、この図において、属性定義情報570は表形式で表わされ、横の行が1つの属性定義情報570を、縦の列が各項目(属性ID571、属性タイプ572、対象種別573、属性名称574)を表わす。
FIG. 13 is a diagram showing a specific example of the attribute definition information 570 stored in the
Similar to FIGS. 6 to 12, in this figure, the attribute definition information 570 is represented in a table format, the horizontal row represents one attribute definition information 570, and the vertical column represents each item (
属性ID571は、例えば、「A00000」「A00001」などの固定長文字列データである。属性ID571は、例えば、システム管理者が属性定義情報570を登録・編集するとき、セキュリティ運用管理システム100が自動的に付すものであり、属性定義情報570を一意に識別するため、属性定義情報570ごとに異なる属性ID571が付される。
The
属性タイプ572は、例えば、「文字列」「IPアドレス」などの文字列データである。あるいは、「文字列」「IPアドレス」などに対応するコード(数値)をあらかじめ定めておき、属性タイプ572は、あらかじめ定めたコードを表わす数値データであってもよい。属性タイプ572は、例えば、システム管理者が属性定義情報570を登録・編集するとき、キーボード902などの入力装置を操作して入力し、システム管理者が属性定義情報570を閲覧・編集するとき、CRTなどの表示装置901が表示する。
属性タイプ572は、例えば、以下のように利用される。システム管理者が属性を登録・編集するとき、セキュリティ運用管理システム100は、属性タイプ572に基づいて、入力した属性値がその属性の属性値として適切な値であるか否かを判定し、適切でない場合には再入力を要求する。
The
The
対象種別573は、例えば、「すべて」「機器」などの文字列データである。あるいは、「すべて」「機器」などに対応するコード(数値)をあらかじめ定めておき、対象種別573は、あらかじめ定めたコードを表わす数値データであってもよい。対象種別573は、例えば、システム管理者が属性定義情報570を登録・編集するとき、キーボード902などの入力装置を操作して入力し、システム管理者が属性定義情報570を閲覧・編集するとき、CRTなどの表示装置901が表示する。
対象種別573は、例えば、以下のように利用される。システム管理者が属性を登録・編集するとき、セキュリティ運用管理システム100は、対象種別573に基づいて、その管理対象に設定可能な属性の一覧を生成し、生成した一覧をCRTなどの表示装置901が表示して、システム管理者に設定する属性を選択させる。
The
The
属性名称574は、例えば、「種別」「資産番号」「資産名称」などの可変長文字列データである。属性名称574は、システム管理者がその属性が表わす内容などを理解しやすくするために付けたものであり、例えば、システム管理者が属性定義情報570を登録・編集するとき、キーボード902などの入力装置を操作して入力し、システム管理社が属性を登録・編集するとき、CRTなどの表示装置901が表示する。
The attribute name 574 is, for example, variable-length character string data such as “type”, “asset number”, and “asset name”. The attribute name 574 is given to make it easier for the system administrator to understand the contents represented by the attribute. For example, when the system administrator registers / edits the attribute definition information 570, the attribute name 574 is input from the
次に、セキュリティ運用管理システム100の動作について説明する。
Next, the operation of the security
図14は、この実施の形態におけるセキュリティ運用管理システム100がネットワークシステム800のセキュリティをチェックするセキュリティチェック処理の流れの一例を示すフローチャート図である。
セキュリティチェック処理は、例えば、定期的に(例えば1日1回)繰返し実行する。これにより、ポリシー違反を早期に発見し、対処することができる。なお、ネットワーク300の負荷などを軽減するため、繰返しの周期を長くしてもよいし、安全性を向上するため、繰返しの周期を短くしてもよい。また、ポリシー管理者がキーボード902などの入力装置を操作することにより、セキュリティ運用管理システム100にセキュリティチェック処理を実行させてもよいし、セキュリティ運用管理システム100がタイマーを内蔵し、前回の実行から所定の時間が経過した場合に、自動的にセキュリティチェック処理を実行してもよい。
FIG. 14 is a flowchart showing an example of the flow of security check processing in which the security
The security check process is repeatedly executed, for example, periodically (for example, once a day). As a result, policy violations can be detected and dealt with early. In order to reduce the load on the
第一ループL1において、セキュリティ運用管理システム100は、CPU911などの処理装置を用いて、ポリシー記憶部121が記憶したポリシー定義情報530について、1つずつ処理を行い、すべてのポリシー定義情報530についての処理が終わるまで処理を繰り返す。
第一ループL1は、ポリシー取得工程S11、ポリシーリスト取得工程S12、抽出条件取得工程S13、対象リスト取得工程S14、第二ループL2の各処理を繰り返す処理である。
In the first loop L1, the security
The first loop L1 is a process of repeating each process of the policy acquisition step S11, the policy list acquisition step S12, the extraction condition acquisition step S13, the target list acquisition step S14, and the second loop L2.
ポリシー取得工程S11において、ポリシー取得部111は、CPU911などの処理装置を用いて、ポリシー記憶部121が記憶したポリシー定義情報530のなかから、未処理のポリシー定義情報530を1つ取得する。なお、ポリシー記憶部121が記憶したポリシー定義情報530のなかに、未処理のポリシー定義情報530がない場合には、第一ループL1を抜けて、セキュリティチェック処理を終了する。
In the policy acquisition step S11, the
ポリシーリスト取得工程S12において、ポリシー取得部111は、CPU911などの処理装置を用いて、ポリシー記憶部121が記憶した設定ポリシー情報540のなかから、ポリシー取得工程S11で取得したポリシー定義情報530に関連づけられている設定ポリシー情報540のリストを取得する。ポリシーリスト取得工程S12の処理の詳細は、例えば、以下のような手順である。
まず、ポリシー取得部111は、CPU911などの処理装置を用いて、ポリシー取得工程S11で取得したポリシー定義情報530から、ポリシーID531を取得する。
次に、ポリシー取得部111は、CPU911などの処理装置を用いて、ポリシー記憶部121に対してポリシーリストの生成を要求するポリシーリスト生成要求データを生成する。ポリシーリスト生成要求データは、例えば、SQL文のような形式で記述されたデータであり、ポリシー記憶部121が記憶した設定ポリシー情報540のなかから、ポリシーID542が、取得したポリシーID531と等しい設定ポリシー情報540を抽出し、抽出した設定ポリシー情報540に含まれる設定ID541を列挙したポリシーリストを生成して、ポリシー取得部111に送付することを要求するものである。
ポリシー取得部111は、CPU911などの処理装置を用いて、生成したポリシーリスト生成要求データを、ポリシー記憶部121に対して送付する。
ポリシー記憶部121は、CPU911などの処理装置を用いて、ポリシー取得部111が送付したポリシーリスト生成要求データを取得する。
ポリシー記憶部121は、CPU911などの処理装置を用いて、取得したポリシーリスト生成要求データを解析し、解析結果に基づいて、ポリシー取得部111から要求された処理を行う。すなわち、ポリシー記憶部121は、磁気ディスク装置920などの記憶装置を用いて記憶した設定ポリシー情報540のなかから、CPU911などの処理装置を用いて、ポリシーID542がポリシーID531と等しい設定ポリシー情報540を抽出する。ポリシー記憶部121は、CPU911などの処理装置を用いて、抽出した設定ポリシー情報540から設定ID541を取得し、取得した設定ID541を列挙してポリシーリストを生成する。ポリシー記憶部121は、CPU911などの処理装置を用いて、生成したポリシーリストを、ポリシー取得部111に対して送付する。
ポリシー取得部111は、CPU911などの処理装置を用いて、ポリシー取得部111が送付したポリシーリストを取得する。
In the policy list acquisition step S12, the
First, the
Next, the
The
The
The
The
抽出条件取得工程S13において、抽出条件取得部112は、CPU911などの処理装置を用いて、抽出条件記憶部133が記憶した抽出条件情報510のなかから、ポリシー取得工程S11で取得したポリシー定義情報530に対応する抽出条件情報510に含まれる抽出条件513を取得する。
In the extraction condition acquisition step S13, the extraction
図15は、この実施の形態における抽出条件取得部112が抽出条件情報510を取得する抽出条件取得工程S13の処理の詳細の一例を示すフローチャート図である。
FIG. 15 is a flowchart showing an example of details of processing in the extraction condition acquisition step S13 in which the extraction
ポリシーID取得工程S31において、抽出条件取得部112は、CPU911などの処理装置を用いて、ポリシー取得工程S11で取得したポリシー定義情報530から、ポリシーID531を取得する。
In the policy ID acquisition step S31, the extraction
条件対応情報検索工程S32において、条件対応記憶部132は、CPU911などの処理装置を用いて、記憶した条件対応情報520のなかから、ポリシーID522が、ポリシーID取得工程S31で抽出条件取得部112が取得したポリシーID531と一致する条件対応情報520を検索する。
例えば、抽出条件取得部112は、CPU911などの処理装置を用いて、条件対応記憶部132に対して条件対応情報520の検索を要求する条件対応情報検索要求データを生成する。条件対応情報検索要求データは、例えば、SQL文のような形式で記述されたデータであり、条件対応記憶部132が記憶した条件対応情報520のなかから、ポリシーID522が、ポリシーID取得工程S31で取得したポリシーID531と等しい条件対応情報520を抽出し、抽出した条件対応情報520のグループID523(のリスト)を抽出条件取得部112に送付することを要求するものである。
抽出条件取得部112は、CPU911などの処理装置を用いて、生成した条件対応情報検索要求データを、条件対応記憶部132に対して送付する。条件対応記憶部132は、CPU911などの処理装置を用いて、抽出条件取得部112が送付した条件対応情報検索要求データを取得する。
条件対応記憶部132は、CPU911などの処理装置を用いて、取得した条件対応情報検索要求データを解析し、解析結果に基づいて、要求された処理を行う。すなわち、条件対応記憶部132は、磁気ディスク装置920などの記憶装置を用いて記憶した条件対応情報520のなかから、CPU911などの処理装置を用いて、ポリシーID522がポリシーID531と等しい条件対応情報520を抽出する。
In the condition correspondence information search step S32, the condition
For example, the extraction
The extraction
The condition
グループID取得工程S33において、抽出条件取得部112は、CPU911などの処理装置を用いて、条件対応情報検索工程S32で条件対応記憶部132が検索した条件対応情報520から、グループID523を取得する。
例えば、条件対応記憶部132は、CPU911などの処理装置を用いて、条件対応情報検索工程S32で抽出した条件対応情報520からグループID523を取得する。
条件対応記憶部132は、CPU911などの処理装置を用いて、取得したグループID523(のリスト)を、抽出条件取得部112に対して送付する。抽出条件取得部112は、CPU911などの処理装置を用いて、条件対応記憶部132が送付したグループID523を取得する。
これにより、ポリシーID取得工程S31で取得したポリシーID531に割り当てられているグループID523が得られる。
In the group ID acquisition step S33, the extraction
For example, the condition
The condition
Thereby, the
抽出条件情報検索工程S34において、抽出条件記憶部133は、CPU911などの処理装置を用いて、記憶した抽出条件情報510のなかから、グループID511が、グループID取得工程S33で抽出条件取得部112が取得したグループID523と一致する抽出条件情報510を検索する。
例えば、抽出条件取得部112は、CPU911などの処理装置を用いて、抽出条件記憶部133に対して抽出条件情報510の検索を要求する抽出条件情報検索要求データを生成する。抽出条件情報検索要求データは、例えば、SQL文のような形式で記述されたデータであり、抽出条件記憶部133が記憶した抽出条件情報510のなかから、グループID511が、グループID取得工程S33で取得したグループID523と等しい抽出条件情報510を抽出し、抽出した抽出条件情報510の抽出条件513(のリスト)を抽出条件取得部112に送付することを要求するものである。
抽出条件取得部112は、CPU911などの処理装置を用いて、生成した抽出条件情報検索要求データを、抽出条件記憶部133に対して送付する。抽出条件記憶部133は、CPU911などの処理装置を用いて、抽出条件取得部112が送付した抽出条件情報検索要求データを取得する。
抽出条件記憶部133は、CPU911などの処理装置を用いて、取得した抽出条件情報検索要求データを解析し、解析結果に基づいて、要求された処理を行う。すなわち、抽出条件記憶部133は、磁気ディスク装置920などの記憶装置を用いて記憶した抽出条件情報510のなかから、グループID511がグループID523と等しい抽出条件情報510を抽出する。
In the extraction condition information search step S34, the extraction
For example, the extraction
The extraction
The extraction
抽出条件取得工程S35において、抽出条件取得部112は、CPU911などの処理装置を用いて、抽出条件情報検索工程S34で抽出条件記憶部133が検索した抽出条件情報510から、抽出条件513を取得する。
例えば、抽出条件記憶部133は、CPU911などの処理装置を用いて、抽出条件情報検索工程S34で抽出した抽出条件情報510から抽出条件513を取得する。
抽出条件記憶部133は、CPU911などの処理装置を用いて、取得した抽出条件513(のリスト)を、抽出条件取得部112に対して送付する。抽出条件取得部112は、CPU911などの処理装置を用いて、抽出条件記憶部133が送付した抽出条件513を取得する。
これにより、ポリシーID取得工程S31で取得したポリシーID531に割り当てられている抽出条件513が得られる。
In the extraction condition acquisition step S35, the extraction
For example, the extraction
The extraction
Thereby, the
図14に戻り、セキュリティチェック処理の説明を続ける。 Returning to FIG. 14, the description of the security check process will be continued.
対象リスト取得工程S14において、管理対象抽出部113は、CPU911などの処理装置を用いて、属性記憶部141が記憶した属性情報580に基づいて、抽出条件取得工程S35で取得した抽出条件513を満たす管理対象のリストを取得する。
In the target list acquisition step S14, the management
図16は、この実施の形態における管理対象抽出部113が抽出条件513を満たす管理対象のリストを取得する対象リスト取得工程S14の処理の詳細の一例を示すフローチャート図である。
FIG. 16 is a flowchart showing an example of details of the processing in the target list acquisition step S14 in which the management
SQL生成工程S41において、管理対象抽出部113は、CPU911などの処理装置を用いて、抽出条件取得工程S13で抽出条件取得部112が取得した抽出条件513に基づいて、SQL文を生成する。管理対象抽出部113が生成するSQL文は、属性記憶部141が記憶した属性情報580のなかから、抽出条件取得工程S13で抽出条件取得部112が取得した抽出条件513を満たす属性情報580を抽出し、抽出した属性情報580に含まれる対象ID582を列挙した対象リストを生成して、管理対象抽出部113に送付することを要求するものである。
管理対象抽出部113は、CPU911などの処理装置を用いて、生成したSQL文を、属性記憶部141に対して送付する。
In the SQL generation step S41, the management
The management
属性情報検索工程S42において、属性記憶部141は、CPU911などの処理装置を用いて、SQL生成工程S41で管理対象抽出部113が生成したSQL文に基づいて、属性情報580を検索する。
例えば、属性記憶部141は、CPU911などの処理装置を用いて、SQL生成工程S41で管理対象抽出部113が送付したSQL文を取得する。属性記憶部141は、CPU911などの処理装置を用いて、取得したSQL文を解析し、解析結果に基づいて、要求された処理を行う。すなわち、属性記憶部141は、磁気ディスク装置920などの記憶装置を用いて記憶した属性情報580のなかから、CPU911などの処理装置を用いて、抽出条件513を満たす属性情報580を抽出する。
In the attribute information search step S42, the
For example, the
対象ID取得工程S43において、属性記憶部141は、CPU911などの処理装置を用いて、属性情報検索工程S42で検索(抽出)した属性情報580から対象ID582を取得する。
In the target ID acquisition step S43, the
対象リスト生成工程S44において、属性記憶部141は、CPU911などの処理装置を用いて、対象ID取得工程S43で取得した対象ID582を列挙して、対象リストを生成する。
属性記憶部141は、CPU911などの処理装置を用いて、生成した対象リストを、管理対象抽出部113に対して送付する。
In the target list generation step S44, the
The
リスト取得工程S45において、管理対象抽出部113は、CPU911などの処理装置を用いて、対象リスト生成工程S44で属性記憶部141が送付した対象リストを取得する。
これにより、抽出条件513に基づいてチェック対象となる管理対象のリストが得られる。
In the list acquisition step S45, the management
As a result, a list of management targets to be checked is obtained based on the
図14に戻り、セキュリティチェック処理の説明を続ける。 Returning to FIG. 14, the description of the security check process will be continued.
第二ループL2において、セキュリティ運用管理システム100は、対象リスト取得工程S14で管理対象抽出部113が取得した対象リストに列挙された対象ID582が示す管理対象について、1つずつ処理を行い、すべての管理対象についての処理が終わるまで処理を繰り返す。
第二ループL2は、対象選択工程S15、第三ループL3の各処理を繰り返す処理である。
In the second loop L2, the security
The second loop L2 is a process for repeating the processes of the object selection step S15 and the third loop L3.
対象選択工程S15において、管理対象抽出部113は、CPU911などの処理装置を用いて、対象リスト取得工程S14で取得した対象リストから、未処理の対象ID582(チェック対象)を1つ取得する。なお、対象リスト取得工程S14で取得した対象リストに列挙された対象ID582のなかに、未処理の対象ID582がない場合は、第二ループL2を抜けて、次の処理(第一ループL1の繰返し処理)へ進む。
In the target selection step S15, the management
第三ループL3において、セキュリティ運用管理システム100は、ポリシーリスト取得工程S12で取得したポリシーリストに列挙された設定ID541を有する設定ポリシー情報540について、1つずつ処理を行い、すべての設定ポリシー情報540についての処理が終わるまで処理を繰り返す。
第三ループL3は、設定ポリシー取得工程S16、状態取得工程S17、ポリシー違反判定工程S18、アクション取得工程S19、アクション実行工程S20の各処理を繰り返す処理である。
In the third loop L3, the security
The third loop L3 is a process of repeating each process of the setting policy acquisition step S16, the state acquisition step S17, the policy violation determination step S18, the action acquisition step S19, and the action execution step S20.
設定ポリシー取得工程S16において、ポリシー取得部111は、CPU911などの処理装置を用いて、ポリシーリスト取得工程S12で取得したポリシーリストに列挙された設定ID541のなかから、対象選択工程S15で取得した対象ID582が示す管理対象について未処理の設定ID541を1つ取得する。なお、ポリシーリスト取得工程S12で取得したポリシーリストに列挙された設定ID541のなかに未処理の設定ID541がない場合には、第三ループL3の処理を抜けて、次の処理(第二ループL2の繰返し処理)へ進む。
ポリシー取得部111は、CPU911などの処理装置を用いて、ポリシー記憶部121が記憶した設定ポリシー情報540のなかから、設定ID541が、取得した設定ID541と等しい設定ポリシー情報540を取得する。
In the setting policy acquisition step S16, the
The
状態取得工程S17において、状態取得部114は、CPU911などの処理装置を用いて、対象選択工程S15で管理対象抽出部113が取得した対象ID582が示す管理対象について、状態を取得する。
例えば、状態取得部114は、CPU911などの処理装置を用いて、設定ポリシー取得工程S16でポリシー取得部111が取得した設定ポリシー情報540から、セキュリティ条件544を取得する。
状態取得部114は、CPU911などの処理装置を用いて、取得したセキュリティ条件544が記述した条件を管理対象が満たしているか否かを判定するために知る必要がある状態の種別(セキュリティ設定項目)を判別する。
状態取得部114は、CPU911などの処理装置を用いて、対象選択工程S15で管理対象抽出部113が取得した対象ID582により識別される管理対象(以下、「選択管理対象」という。)に対して、判別した種別の状態についての値(セキュリティ設定の内容)を送信することを要求する状態送信要求データを生成する。
状態取得部114は、CPU911などの処理装置を用いて、クライアント装置200a〜200cのうち選択管理対象であるクライアント装置に対して、ネットワーク300を介して、生成した状態送信要求データを送信する。
選択管理対象であるクライアント装置は、CPU911などの処理装置を用いて、セキュリティ運用管理システム100(の状態取得部114)が送信した状態送信要求データを受信する。
選択管理対象であるクライアント装置は、CPU911などの処理装置を用いて、受信した状態送信要求データを解析し、解析結果に基づいて、セキュリティ運用管理システム100に対して送信すべき状態の種別を判別する。
選択管理対象であるクライアント装置は、CPU911などの処理装置を用いて、判別した状態の種別についての値を取得する。
選択管理対象であるクライアント装置は、CPU911などの処理装置を用いて、取得した値を、セキュリティ運用管理システム100に対して送信する。
状態取得部114は、CPU911などの処理装置を用いて、選択管理対象であるクライアント装置が送信した状態の値を受信する。
In the state acquisition step S17, the
For example, the
The
The
The
The client device that is the target of selection reception uses the processing device such as the
The client device that is the target of selection analysis uses the processing device such as the
The client device that is the target of selection management uses a processing device such as the
The client device that is the target of selection transmission uses the processing device such as the
The
なお、クライアント装置は、CPU911などの処理装置を用いて、あらかじめエージェントプログラムを実行して、セキュリティ運用管理システム100に送信する可能性がある状態の値を取得しておき、セキュリティ運用管理システム100から要求があった場合、あらかじめ取得しておいた状態の値を送信することとしてもよい。
あるいは、クライアント装置は、CPU911などの処理装置を用いて、あらかじめ取得しておいた状態の値を、あらかじめセキュリティ運用管理システム100に対して送信し、セキュリティ運用管理システム100が受信して、磁気ディスク装置920などの記憶装置を用いて記憶し、状態取得部114は、クライアント装置と通信することなく、あらかじめ記憶しておいた状態の値を取得することとしてもよい。あらかじめ収集した状態の値は、対象情報データベース記憶部140が記憶してもよい。また、他の資産管理ツールなどがあらかじめ収集した情報を記憶しておき、状態取得部114が取得してもよい。
Note that the client device uses a processing device such as the
Alternatively, the client device uses a processing device such as the
ポリシー違反判定工程S18において、ポリシー違反抽出部115は、CPU911などの処理装置を用いて、選択管理対象がセキュリティポリシーに適合しているか違反しているかを判定する。
例えば、ポリシー違反抽出部115は、CPU911などの処理装置を用いて、設定ポリシー取得工程S16でポリシー取得部111が取得した設定ポリシー情報540から、セキュリティ条件544を取得する。
ポリシー違反抽出部115は、CPU911などの処理装置を用いて、状態取得工程S17で状態取得部114が取得した状態の値に基づいて、取得したセキュリティ条件544に記述された条件を、選択管理対象が満たしているか否かを判定する。
取得したセキュリティ条件544に記述された条件を選択管理対象が満たしていないと判定した場合、ポリシー違反として、アクション取得工程S19及びアクション実行工程S20へ進み、アクションを実行する。
取得したセキュリティ条件544に記述された条件を選択管理対象が満たしていると判定した場合、ポリシー適合として、アクション取得工程S19及びアクション実行工程S20を飛ばし、アクションを実行せずに次の処理(第三ループL3の繰返し処理)へ進む。
In the policy violation determination step S18, the policy
For example, the policy
The policy
When it is determined that the selection management target does not satisfy the condition described in the acquired security condition 544, the action proceeds to the action acquisition step S19 and the action execution step S20 as a policy violation, and the action is executed.
If it is determined that the selection management target satisfies the condition described in the acquired security condition 544, the action acquisition step S19 and the action execution step S20 are skipped as policy conformance, and the next process (first step) is executed without executing the action. Proceed to the repetitive processing of three loop L3.
アクション取得工程S19において、アクション取得部116は、CPU911などの処理装置を用いて、実行アクション記憶部122が記憶した実行アクション情報550のなかから、設定ポリシー取得工程S16でポリシー取得部111が取得した設定ポリシー情報540に記述されたセキュリティポリシーに選択管理対象が違反している場合に実行すべきアクションを記述した設定ポリシー情報540を取得する。
例えば、アクション取得部116は、CPU911などの処理装置を用いて、設定ポリシー取得工程S16でポリシー取得部111が取得した設定ポリシー情報540から、設定ID541を取得する。
アクション取得部116は、CPU911などの処理装置を用いて、実行アクション記憶部122に対して実行アクション情報550の検索を要求するアクション検索要求データを生成する。アクション検索要求データは、例えば、SQL文のような形式で記述されたデータであり、実行アクション記憶部122が記憶した実行アクション情報550のなかから、設定ID552が、取得した設定ID541と等しい実行アクション情報550を抽出し、アクション取得部116に送付することを要求するものである。
アクション取得部116は、CPU911などの処理装置を用いて、生成したアクション検索要求データを、実行アクション記憶部122に対して送付する。実行アクション記憶部122は、CPU911などの処理装置を用いて、アクション取得部116が送付したアクション検索要求データを取得する。
実行アクション記憶部122は、CPU911などの処理装置を用いて、取得したアクション検索要求データを解析し、解析結果に基づいて、要求された処理を行う。すなわち、実行アクション記憶部122は、磁気ディスク装置920などの記憶装置を用いて記憶した実行アクション情報550のなかから、設定ID552が設定ID541と等しい実行アクション情報550を抽出する。
実行アクション記憶部122は、CPU911などの処理装置を用いて、抽出した実行アクション情報550を、アクション取得部116に対して送付する。アクション取得部116は、CPU911などの処理装置を用いて、実行アクション記憶部122が送付した実行アクション情報550を取得する。
In the action acquisition step S19, the
For example, the
The
The
The execution
The execution
アクション実行工程S20において、アクション実行部117は、CPU911などの処理装置を用いて、アクション取得工程S19で取得した実行アクション情報550に基づいて、ポリシー違反と判定された管理対象について、アクションを実行する。
例えば、アクション実行部117は、CPU911などの処理装置を用いて、アクション取得工程S19でアクション取得部116が取得した実行アクション情報550から、プログラムID553とパラメータ554とを取得する。
アクション実行部117は、CPU911などの処理装置を用いて、実行アクション記憶部122が記憶したアクション定義情報560のなかから、プログラムID561が、取得したプログラムID553と等しいアクション定義情報560に含まれるプログラム呼出し名563を取得する。
アクション実行部117は、CPU911などの処理装置を用いて、取得したプログラム呼出し名563に基づいてプログラムを呼び出し、取得したパラメータ554に基づいて、呼び出したプログラムにパラメータを渡して、実行する。
なお、アクション実行部117が実行するプログラムは、ポリシー違反の選択管理対象の管理者に対してメールを送信する場合のように、セキュリティ運用管理システム100が実行するものであってもよいし、ポリシー違反の選択管理対象であるクライアント装置が所定のプログラムをインストールする場合のように、クライアント装置に実行させるものであってもよい。
In the action execution step S20, the
For example, the
The
The
Note that the program executed by the
以上のように、管理対象がポリシー違反である場合、自動的に対策プログラムを実行して、強制的に管理対象をポリシーに適合させることもできるし、管理対象の管理者に通知して、管理対象をポリシーに適合させるよう、注意喚起することもできる。 As described above, if the management target is a policy violation, the countermeasure program can be automatically executed to force the management target to conform to the policy, or the management target can be notified and managed. You can also call attention to make the subject fit the policy.
次に、この実施の形態におけるセキュリティ運用管理システム100の効果について説明する。
Next, the effect of the security
この実施の形態におけるセキュリティ運用管理システム100(管理装置)は、
情報を記憶する磁気ディスク装置920などの記憶装置と、情報を処理するCPU911などの処理装置とを有し、管理対象(クライアント装置200a〜200c)がセキュリティポリシーを満たすよう管理する管理装置(セキュリティ運用管理システム100)において、
ポリシー記憶部121と、属性記憶部141と、抽出条件記憶部133と、実行アクション記憶部122と、管理対象抽出部113と、状態取得部114と、ポリシー違反抽出部115と、アクション実行部117とを有することを特徴とする。
上記ポリシー記憶部121は、上記記憶装置を用いて、上記管理対象が満たすべき条件を記述したセキュリティ条件情報(ポリシー定義情報530及び設定ポリシー情報540)を記憶することを特徴とする。
上記属性記憶部141は、上記記憶装置を用いて、上記管理対象の属性を記述した管理対象属性情報(属性定義情報570及び属性情報580)を記憶することを特徴とする。
上記抽出条件記憶部133は、上記記憶装置を用いて、上記セキュリティ条件情報に記述された条件を満たすべき管理対象を抽出する条件を記述した管理対象抽出条件情報(抽出条件情報510)を記憶することを特徴とする。
上記実行アクション記憶部122は、上記記憶装置を用いて、上記セキュリティ条件情報に記述された条件を上記管理対象が満たしていない場合に実行すべきアクションを記述した実行アクション情報550を記憶することを特徴とする。
上記管理対象抽出部113は、上記処理装置を用いて、上記属性記憶部141が記憶した管理対象属性情報に基づいて、上記抽出条件記憶部133が記憶した管理対象抽出条件情報に記述された条件を満たす管理対象を抽出することを特徴とする。
上記状態取得部114は、上記処理装置を用いて、上記管理対象抽出部113が抽出した管理対象について、上記管理対象の状態を取得することを特徴とする。
上記ポリシー違反抽出部115は、上記処理装置を用いて、上記状態取得部114が取得した状態に基づいて、上記ポリシー記憶部121が記憶したセキュリティ条件情報に記述された条件を満たしていない管理対象を抽出することを特徴とする。
上記アクション実行部117は、上記処理装置を用いて、上記ポリシー違反抽出部115が抽出した管理対象について、上記実行アクション記憶部122が記憶した実行アクション情報550に記述されたアクションを実行することを特徴とする。
The security operation management system 100 (management device) in this embodiment is:
A management device (security operation) that includes a storage device such as a magnetic disk device 920 that stores information and a processing device such as a
The
The
The extraction
The execution
Based on the management target attribute information stored in the
The
The policy
The
ポリシー記憶部121が記憶したセキュリティ条件情報(ポリシー定義情報530及び設定ポリシー情報540)には、そのセキュリティポリシーを適用する管理対象を直接特定するデータが含まれていない。セキュリティポリシーを適用する管理対象は、属性記憶部141が記憶した管理対象属性情報(属性定義情報570及び属性情報580)に基づいて、抽出条件記憶部133が記憶した抽出条件情報510に記述された条件を満たす管理対象を、管理対象抽出部113が抽出する。
The security condition information (policy definition information 530 and setting policy information 540) stored by the
したがって、組織改編・人事異動・ネットワーク構成の変更などにより、管理対象に適用すべきセキュリティポリシーが変化した場合、ポリシー記憶部121が記憶したセキュリティ条件情報(ポリシー情報)や、抽出条件記憶部133が記憶した管理対象抽出条件情報を変更する必要はなく、属性記憶部141が記憶した管理対象属性情報を変更するだけでよい。
また、離れた場所で運用している複数のネットワークシステム800に、同じセキュリティポリシーを適用する場合、ポリシー定義情報530、設定ポリシー情報540、抽出条件情報510として、同じものを共有できる。
このため、ポリシー管理者の負担が少なくなり、ネットワークシステム800の管理コストを低減できる。また、ポリシー管理者の入力ミスなどによりポリシー違反を見過ごす危険が減少するので、ネットワークシステム800の安全性を高めることができる。
Therefore, when the security policy to be applied to the management target changes due to organizational reform, personnel changes, network configuration changes, etc., the security condition information (policy information) stored in the
Further, when the same security policy is applied to a plurality of network systems 800 operating at remote locations, the same policy definition information 530, setting policy information 540, and extraction condition information 510 can be shared.
Therefore, the burden on the policy manager is reduced, and the management cost of the network system 800 can be reduced. In addition, since the risk of overlooking policy violations due to an input error of the policy manager or the like is reduced, the security of the network system 800 can be improved.
また、属性記憶部141が記憶した管理対象属性情報は、セキュリティ運用管理システム100だけでなく、ネットワークシステム800を管理する他のシステムなどでも利用することができる。そのため、他のシステムから属性記憶部141にアクセスすることを許すこととしてもよい。
逆に、他のシステムが既に管理対象属性情報を記憶している場合、それを複製したものを属性記憶部141が記憶してもよいし、管理対象属性情報を記憶している他のシステムを、属性記憶部141として利用してもよい。
これにより、情報入力の手間を削減し、記憶装置の記憶容量を節約することができる。
Further, the management target attribute information stored in the
On the other hand, when other system already stores the management target attribute information, the
As a result, it is possible to reduce the trouble of inputting information and save the storage capacity of the storage device.
この実施の形態におけるセキュリティ運用管理システム100(管理装置)は、更に、条件対応記憶部132と、抽出条件取得部112とを有することを特徴とする。
上記ポリシー記憶部121は、上記記憶装置を用いて、複数のセキュリティ条件情報(ポリシー情報)を記憶することを特徴とする。
上記抽出条件記憶部133は、上記記憶装置を用いて、複数の管理対象抽出条件情報(抽出条件情報510)を記憶することを特徴とする。
上記条件対応記憶部132は、上記記憶装置を用いて、上記ポリシー記憶部が記憶した複数のセキュリティ条件情報のうち上記抽出条件記憶部133が記憶した複数の管理対象抽出条件情報それぞれに記述された条件により抽出される管理対象が満たすべき条件を記述したセキュリティ条件情報と、上記管理対象抽出条件情報との対応づけを記述した条件対応情報520を記憶することを特徴とする。
上記抽出条件取得部112は、上記処理装置を用いて、上記条件対応記憶部132が記憶した条件対応情報520に基づいて、上記ポリシー記憶部121が記憶した複数のセキュリティ条件情報それぞれに記述された条件を満たすべき管理対象を抽出する条件を記述した管理対象抽出条件情報(抽出条件情報510)を、上記抽出条件記憶部133が記憶した複数の管理対象抽出条件情報のうちから取得することを特徴とする。
上記管理対象抽出部113は、上記処理装置を用いて、上記属性記憶部141が記憶した管理対象属性情報に基づいて、上記ポリシー記憶部121が記憶した複数のセキュリティ条件情報それぞれについて、上記抽出条件取得部112が取得した管理対象抽出条件情報に記述された条件を満たす管理対象を抽出することを特徴とする。
The security operation management system 100 (management apparatus) in this embodiment further includes a condition
The
The extraction
The condition
The extraction
The management
ポリシー記憶部121が記憶したセキュリティ条件情報(ポリシー定義情報530及び設定ポリシー情報540)には、管理対象を直接特定する情報だけでなく、管理対象を抽出する条件に関する情報も含まれていない。管理対象を抽出する条件を記述した管理対象抽出条件情報(抽出条件情報510)は、抽出条件記憶部133が記憶し、セキュリティ条件情報とは別に管理されている。セキュリティ条件情報と管理対象抽出条件情報との対応関係を記述した条件対応情報520は、条件対応記憶部132が記憶している。
The security condition information (policy definition information 530 and setting policy information 540) stored by the
組織改編やネットワーク構成の変更などにより、属性の定義や属性の取り得る値が変化した場合、管理対象属性情報(属性定義情報570及び属性情報580)を変更するだけでなく、抽出条件を変更する必要が生じる場合がある。
この実施の形態におけるセキュリティ運用管理システム100(管理装置)は、セキュリティ条件情報と管理対象抽出条件情報とを別々に管理しているので、上記のような場合、ポリシー記憶部121が記憶したポリシー情報(ポリシー定義情報530及び設定ポリシー情報540)を変更する必要がなく、抽出条件記憶部133が記憶した管理対象抽出条件情報(抽出条件情報510)を変更するだけでよい。
このため、ポリシー管理者の負担が更に少なくなり、ネットワークシステム800の管理コストを更に低減できる。また、ポリシー管理者の入力ミスなどによりポリシー違反を見過ごす危険が更に減少するので、ネットワークシステム800の安全性を更に高めることができる。
When attribute definitions and possible values of attributes change due to organizational restructuring or network configuration changes, not only management target attribute information (attribute definition information 570 and attribute information 580) is changed, but also extraction conditions are changed. There may be a need.
Since the security operation management system 100 (management apparatus) in this embodiment separately manages security condition information and management target extraction condition information, the policy information stored in the
For this reason, the burden on the policy manager is further reduced, and the management cost of the network system 800 can be further reduced. Further, the risk of overlooking the policy violation due to an input error of the policy manager is further reduced, so that the security of the network system 800 can be further enhanced.
この実施の形態におけるネットワークシステム800は、上述した管理装置(セキュリティ運用管理システム100)と、上記管理装置の管理対象である対象装置(クライアント装置200a〜200c)とを備えることを特徴とする。
The network system 800 in this embodiment includes the above-described management device (security operation management system 100) and target devices (
ネットワークシステム800は、このようなセキュリティ運用管理システム100を備えているので、クライアント装置200a〜200cのポリシー違反を、漏らさず発見し、対処することができる。これにより、ネットワークシステム800の安全性を高めることができる。
Since the network system 800 includes such a security
この実施の形態におけるセキュリティ運用管理システム100(管理装置)は、情報を記憶する記憶装置と情報を処理する処理装置とを有するコンピュータをセキュリティ運用管理システム100として機能させるプログラムをコンピュータが実行することにより、実現可能である。
The security operation management system 100 (management device) in this embodiment is configured such that a computer executes a program that causes a computer having a storage device that stores information and a processing device that processes information to function as the security
このようなプログラムは、ポリシー管理者の負担を少なくし、ネットワークシステム800の管理コストを低減でき、ネットワークシステム800の安全性を高めることができる管理装置(セキュリティ運用管理システム100)を実現できるという効果を奏する。 Such a program can reduce the burden on the policy administrator, reduce the management cost of the network system 800, and realize a management apparatus (security operation management system 100) that can improve the safety of the network system 800. Play.
この実施の形態におけるセキュリティ運用管理システム100(情報を記憶する磁気ディスク装置920などの記憶装置と情報を処理するCPU911などの処理装置とを有する管理装置)が、管理対象(クライアント装置200a〜200c)がセキュリティポリシーを満たすよう管理する管理方法は、以下の特徴を有する。
上記記憶装置は、
上記管理対象が満たすべき条件を記述したセキュリティ条件情報(ポリシー定義情報530及び設定ポリシー情報540)と、
上記管理対象の属性を記述した管理対象属性情報(属性定義情報570及び属性情報580)と、
上記セキュリティ条件情報に記述された条件を満たすべき管理対象を抽出する条件を記述した管理対象抽出条件情報(抽出条件情報510)と、
上記セキュリティ条件情報に記述された条件を上記管理対象が満たしていない場合に実行すべきアクションを記述した実行アクション情報550とを記憶する。
上記処理装置は、
上記記憶装置が記憶した管理対象属性情報に基づいて、上記記憶装置が記憶した管理対象抽出条件情報に記述された条件を満たす管理対象を抽出し、
抽出した管理対象について、上記管理対象の状態を取得し、
取得した状態に基づいて、上記記憶装置が記憶したセキュリティ条件情報に記述された条件を満たしていない管理対象を抽出し、
抽出した管理対象について、上記記憶装置が記憶した実行アクション情報に記述されたアクションを実行する。
A security operation management system 100 (a management device having a storage device such as a magnetic disk device 920 that stores information and a processing device such as a
The storage device
Security condition information (policy definition information 530 and setting policy information 540) describing conditions that the management target should satisfy;
Management target attribute information (attribute definition information 570 and attribute information 580) describing the attributes of the management target,
Management object extraction condition information (extraction condition information 510) describing a condition for extracting a management object that should satisfy the conditions described in the security condition information;
Execution action information 550 describing an action to be executed when the management target does not satisfy the condition described in the security condition information is stored.
The processing device is
Based on the management target attribute information stored in the storage device, extract a management target that satisfies the conditions described in the management target extraction condition information stored in the storage device,
Obtain the status of the management target for the extracted management target,
Based on the acquired state, extract the management target that does not satisfy the conditions described in the security condition information stored in the storage device,
For the extracted management target, the action described in the execution action information stored in the storage device is executed.
これにより、組織改編・人事異動・ネットワーク構成の変更などにより、管理対象に適用すべきセキュリティポリシーが変化した場合、記憶装置が記憶したセキュリティ条件情報(ポリシー情報)や管理対象抽出条件情報を変更する必要はなく、管理対象属性情報を変更するだけでよい。
また、離れた場所で運用している複数のネットワークシステム800に、同じセキュリティポリシーを適用する場合、ポリシー情報や管理対象抽出条件情報として、同じものを共有できる。
このため、ポリシー管理者の負担が少なくなり、ネットワークシステム800の管理コストを低減できる。また、ポリシー管理者の入力ミスなどによりポリシー違反を見過ごす危険が減少するので、ネットワークシステム800の安全性を高めることができる。
This changes the security condition information (policy information) and management target extraction condition information stored in the storage device when the security policy to be applied to the management target changes due to organizational reform, personnel changes, network configuration changes, etc. There is no need to change the management target attribute information.
Further, when the same security policy is applied to a plurality of network systems 800 operating at remote locations, the same policy information and management target extraction condition information can be shared.
Therefore, the burden on the policy manager is reduced, and the management cost of the network system 800 can be reduced. In addition, since the risk of overlooking policy violations due to an input error of the policy manager or the like is reduced, the security of the network system 800 can be improved.
以上説明したセキュリティ運用管理システム100(ポリシーベースセキュリティ運用管理システム)は、
ポリシーを管理する手段及びデータベース(ポリシーデータベース記憶部120)と、
ポリシーを基にしたセキュリティチェックの対象のグループ情報を管理する手段及びデータベース(対象グループデータベース記憶部130)と、
セキュリティチェックを行う対象の機器などの情報を管理する手段及びデータベース(対象情報データベース記憶部140)と、
特定の機器などに対して、ポリシーに基づくセキュリティチェックを行う手段(セキュリティチェック部110)とを備えることを特徴とする。
The security operation management system 100 (policy-based security operation management system) described above is
Means for managing policies and database (policy database storage unit 120);
Means for managing group information of a security check target based on a policy and a database (target group database storage unit 130);
Means for managing information such as a device to be subjected to security check and a database (target information database storage unit 140);
A means (security check unit 110) for performing security check based on a policy for a specific device or the like is provided.
以上説明したセキュリティ運用管理システム100は、
ポリシーを基にセキュリティチェックを行う対象のグループ情報を管理する手段(対象グループデータベース記憶部130)において、セキュリティチェック対象をグループ化するために、セキュリティチェック対象をデータベースから絞り込むための条件(抽出条件)を用いることを特徴とする。
The security
A condition (extraction condition) for narrowing the security check targets from the database in order to group the security check targets in the means (target group database storage unit 130) for managing the group information of the security check target based on the policy It is characterized by using.
以上のように、ポリシーデータベース(ポリシーデータベース記憶部120)がポリシーの情報を管理し、対象グループデータベース(対象グループデータベース記憶部130)がポリシーに割り当てるべき対象グループ情報と対象情報を検索するための条件を管理し、さらに、対象情報データベース(対象情報データベース記憶部140)が実際のセキュリティチェック対象の詳細な情報を管理することで、個々の情報を独立して管理することができる。それによって、対象情報データベースの情報に追加・変更があっても、ポリシーデータベースの情報に直接的な影響を及ぼさないため、上位セキュリティ管理組織で作成したポリシーを下位のセキュリティ管理組織へ配布する際に、上位セキュリティ管理組織は下位のセキュリティ管理組織内の情報システム構成等の対象情報を気にすることなくポリシーを配布することができる。 As described above, the policy database (policy database storage unit 120) manages policy information, and the target group database (target group database storage unit 130) searches for target group information and target information to be assigned to the policy. In addition, the target information database (target information database storage unit 140) manages detailed information on the actual security check target, so that individual information can be managed independently. As a result, even if the information in the target information database is added or changed, it does not directly affect the information in the policy database. Therefore, when distributing a policy created in a higher security management organization to a lower security management organization. The upper security management organization can distribute the policy without worrying about the target information such as the information system configuration in the lower security management organization.
以上説明したセキュリティ運用管理システム100は、
特定の機器などに対してポリシーに基づくセキュリティチェックを行う手段(セキュリティチェック部110)において、ポリシーに基づくセキュリティチェックの実施直前に管理するセキュリティチェック対象をデータベースから絞り込むための条件を基にして対象情報を取得することを特徴とする。
The security
Target information based on a condition for narrowing down the security check target to be managed immediately before the execution of the security check based on the policy in the means (security check unit 110) for performing the security check based on the policy for a specific device or the like It is characterized by acquiring.
これにより、セキュリティチェック時に対象グループ内の条件を用いてチェック対象を検索、取得することで、最新の対象情報に基づくセキュリティチェックも可能となる。 Thereby, a security check based on the latest target information can be performed by searching for and acquiring a check target using conditions in the target group at the time of a security check.
以上のように、ポリシーに基づくセキュリティチェック対象をポリシーとは独立して予めグループ化し、グループ化した情報(対象グループID)を対象グループ情報としてポリシーとは別に管理することにより、動的にセキュリティポリシーに従ったシステム設定を行うことができるとともに、ある上位のセキュリティ管理組織で作成したポリシーを下位のセキュリティ管理組織や他の事業所等で稼動しているセキュリティ運用管理システムに展開する場合、その展開先の資産の管理状況やチェック対象情報システムに応じて、ポリシー内に記述されたセキュリティチェック対象の条件に変更する必要がなく、他の場所で稼動しているセキュリティ運用管理システムへのポリシーの展開・配布を容易となる。 As described above, the security check target based on the policy is grouped in advance independently of the policy, and the grouped information (target group ID) is managed as the target group information separately from the policy, so that the security policy is dynamically If a policy created by a higher-level security management organization can be deployed to a security operation management system operating in a lower-level security management organization or other business office Deploy policies to security operation management systems operating in other locations without changing to the security check target conditions described in the policy according to the management status of the previous asset and the information system to be checked・ Easy distribution.
実施の形態2.
実施の形態2について、図17〜図18を用いて説明する。
Embodiment 2. FIG.
The second embodiment will be described with reference to FIGS.
図17は、この実施の形態におけるセキュリティ運用管理システム100の機能ブロックの構成の一例を示す内部ブロック図である。
なお、実施の形態1で説明したセキュリティ運用管理システム100と共通する部分については、同一の符号を付し、ここでは説明を省略する。
FIG. 17 is an internal block diagram showing an example of the functional block configuration of the security
Note that portions common to the security
セキュリティ運用管理システム100は、複数の対象情報データベース記憶部140a,140bを有する。
対象情報データベース記憶部140aは属性記憶部141aを、対象情報データベース記憶部140bは属性記憶部141bを有する。
The security
The target information
実施の形態1で述べたように、既存の他のシステムが管理対象属性情報を記憶している場合があり、そのような場合、既存の他のシステムを、対象情報データベース記憶部140(属性記憶部141)として利用することにより、資源を有効に活用できる。
しかし、既存の他のシステムが記憶している管理対象属性情報だけでは、情報が不足している場合がある。
例えば、対象情報データベース記憶部140aが既存の他のシステムである場合、対象情報データベース記憶部140bは、対象情報データベース記憶部140aが記憶している情報だけでは不足する部分について、磁気ディスク装置920などの記憶装置を用いて、管理対象属性情報を記憶する。
あるいは、対象情報データベース記憶部140aだけでなく、対象情報データベース記憶部140bも既存の他のシステムを利用して、両者が記憶した管理対象属性情報を利用できるようにしてもよい。
As described in the first embodiment, there is a case where another existing system stores the management target attribute information. In such a case, the existing other system is stored in the target information database storage unit 140 (attribute storage). By using as the unit 141), resources can be used effectively.
However, there are cases where information is insufficient only with the management target attribute information stored in another existing system.
For example, in the case where the target information
Alternatively, not only the target information
また、対象情報データベース記憶部140として既存の他のシステムを利用しない場合であっても、情報を管理しやすくしたり安全性を向上したりするため、属性記憶部141を複数に分ける場合がある。例えば、属性記憶部141が記憶した管理対象属性情報の一部を公開するような場合である。
Further, even when the other existing system is not used as the target information
この実施の形態におけるセキュリティ運用管理システム100は、例えば上記のような理由により、複数の属性記憶部141a,141bを有する。
The security
図18は、この実施の形態における抽出条件記憶部133が記憶している抽出条件情報510の具体例を示す図である。
なお、実施の形態1で説明した抽出条件情報510と共通する部分については、同一の符号を付し、ここでは説明を省略する。
FIG. 18 is a diagram illustrating a specific example of the extraction condition information 510 stored in the extraction
Note that portions common to the extraction condition information 510 described in Embodiment 1 are denoted by the same reference numerals, and description thereof is omitted here.
抽出条件513は、例えば、「(管理者役職.対象情報データベースA=課長 or 管理者役職.対象情報データベースA =次長 or 管理者役職.対象情報データベースA =部長) and 機器種別.対象情報データベースB=PC」などの可変長文字列データである。この例において、「.対象情報データベースA」は、その管理対象属性情報を属性記憶部141aが記憶していることを示し、「.対象情報データベースB」は、属性記憶部141bが記憶していることを示す。例えば、管理者の役職など人事関係の管理対象属性情報は、属性記憶部141aが記憶し、機器の種別など資産関係の管理対象属性情報は、属性記憶部141bが記憶しているとする。このように、抽出条件513に、どちらの属性記憶部141を参照すべきかを示す情報を記述することにより、管理対象属性情報に素早くアクセスすることができる。また、属性記憶部141aと属性記憶部141bが同じ管理対象属性情報を重複して記憶している場合には、どちらにアクセスすればよいかが明確になる。
The
この実施の形態におけるセキュリティ運用管理システム100(管理装置)は、複数の属性記憶部141a,141bを有することを特徴とする。
これにより、既存の他のシステムが記憶している管理対象属性情報を流用しやすくなり、資源を有効に活用できる。また、管理対象属性情報を分割して記憶することにより、安全性を向上することができる。
The security operation management system 100 (management apparatus) in this embodiment has a plurality of attribute storage units 141a and 141b.
Thereby, it becomes easy to divert the management target attribute information stored in another existing system, and resources can be effectively used. Moreover, safety can be improved by dividing and storing the management target attribute information.
例えば、属性記憶部141aは、一般的なユーザ情報(ユーザ名や所属、役職など)を記憶し、属性記憶部141bは、PCやサーバ、ネットワーク機器などの機器情報を記憶するといった運用が可能である。 For example, the attribute storage unit 141a can store general user information (user name, affiliation, job title, etc.), and the attribute storage unit 141b can store device information such as PCs, servers, and network devices. is there.
この実施の形態におけるセキュリティ運用管理システム100(管理装置)は、抽出条件記憶部133が記憶した管理対象抽出条件情報(抽出条件情報510)に、管理対象属性情報を記憶した属性記憶部を指示する記述が含まれることを特徴とする。
これにより、複数の属性記憶部141a,141bのいずれかか記憶した管理対象属性情報に対するアクセスが容易になり、複数の属性記憶部141a,141bの複数が記憶した管理対象属性情報を参照する場合に参照先を一意に定めることができる。
The security operation management system 100 (management apparatus) in this embodiment instructs the attribute storage unit storing the management target attribute information in the management target extraction condition information (extraction condition information 510) stored in the extraction
This facilitates access to the management target attribute information stored in any one of the plurality of attribute storage units 141a and 141b, and refers to the management target attribute information stored in the plurality of attribute storage units 141a and 141b. A reference destination can be uniquely determined.
以上説明したセキュリティ運用管理システム100は、対象グループデータベース記憶部130が記憶した抽出条件情報510の抽出条件513に、チェック対象の項目の条件だけでなく、対象情報データベース記憶部を特定するキーワードが記述されていることを特徴とする。
In the security
以上のように、対象情報を管理する各々の対象情報データベース(対象情報データベース記憶部140)のテーブル構造やデータ構造を把握しておき、それを基にした条件を対象グループテーブル(対象グループデータベース記憶部130)に定義することで、柔軟なチェック対象リストの取得が可能となる。例えば、従来から情報システム内で稼動している資産管理システムやユーザ情報管理システムなどを利用したチェック対象リストの取得も可能となる。 As described above, the table structure and data structure of each target information database (target information database storage unit 140) for managing the target information is grasped, and the conditions based on the table structure and the data structure are determined as the target group table (target group database storage). Section 130), a flexible check target list can be obtained. For example, it is possible to acquire a check target list using an asset management system or a user information management system that has been operating in an information system.
実施の形態3.
実施の形態3について、図19〜図21を用いて説明する。
Embodiment 3 FIG.
The third embodiment will be described with reference to FIGS.
図19は、この実施の形態におけるネットワークシステム800a,800bの全体構成の一例を示すシステム構成図である。
ネットワークシステム800a及びネットワークシステム800bは、実施の形態1または実施の形態2で説明したネットワークシステム800と同様のシステムである。
ネットワークシステム800aは、セキュリティ運用管理システム100a、クライアント装置200a〜200c、ネットワーク300aを有する。
ネットワークシステム800bは、セキュリティ運用管理システム100b、クライアント装置200d〜200f、ネットワーク300bを有する。
ネットワークシステム800aとネットワークシステム800bとは、共通のセキュリティポリシーのもとに運用するシステムであり、互いに独立して存在している。例えば、ネットワークシステム800aとネットワークシステム800bとは、離れた事業所内で独立に運用されている社内LANである。なお、ネットワークシステム800aとネットワークシステム800bとは、インターネット940などを介して接続可能であってもよい。
FIG. 19 is a system configuration diagram showing an example of the overall configuration of network systems 800a and 800b in this embodiment.
The network system 800a and the network system 800b are similar to the network system 800 described in the first embodiment or the second embodiment.
The network system 800a includes a security
The network system 800b includes a security
The network system 800a and the network system 800b are systems that operate under a common security policy, and exist independently of each other. For example, the network system 800a and the network system 800b are in-house LANs that are independently operated in remote offices. The network system 800a and the network system 800b may be connectable via the Internet 940 or the like.
図20は、この実施の形態におけるセキュリティ運用管理システム100a及びセキュリティ運用管理システム100bの機能ブロックの構成の一例を示す内部ブロック図である。
なお、実施の形態1で説明したセキュリティ運用管理システム100と共通する部分については、同一の符号を付し、ここでは説明を省略する。
FIG. 20 is an internal block diagram showing an example of the functional block configuration of the security
Note that portions common to the security
セキュリティ運用管理システム100a及びセキュリティ運用管理システム100bは、更に、ポリシー書出部150、ポリシー読込部160を有する。
なお、セキュリティ運用管理システム100a及びセキュリティ運用管理システム100bの双方が、ポリシー書出部150及びポリシー読込部160を両方とも有する必要はなく、例えば、セキュリティ運用管理システム100aはポリシー書出部150を有し、ポリシー読込部160を有さず、セキュリティ運用管理システム100bはポリシー書出部150を有さず、ポリシー読込部160を有する構成としてもよい。
The security
It is not necessary for both the security
ポリシー書出部150は、CPU911などの処理装置を用いて、ポリシーデータベース記憶部120が記憶したポリシー定義情報530、設定ポリシー情報540、実行アクション情報550などを他のセキュリティ運用管理システムに配布可能な形式に変換する。ポリシー書出部150は、CPU911などの処理装置を用いて、変換したデータを配布データとして出力する。
ここで、配布可能な形式とは、例えば、XML(Extensible Markup Language)やCSV(Comma Separated Values)などの形式で記述されたファイルなどである。なお、第三者による盗聴や改変を避けるため、暗号化や電子署名などがされていてもよい。
The
Here, the distributable format is, for example, a file described in a format such as XML (Extensible Markup Language) or CSV (Comma Separated Values). In order to avoid eavesdropping or modification by a third party, encryption or electronic signature may be performed.
ポリシー書出部150が出力した配布データは、例えば、CDD905がCDROMに書き込むなどして、記録媒体に記録され、他のセキュリティ運用管理システムに配布される。あるいは、ポリシー書出部150が出力した配布データは、電子メールに添付して送信したり、FTP(File Transfer Protocol)により送信したりすることにより、他のセキュリティ運用管理システムに配布されてもよい。
The distribution data output by the
ポリシー読込部160は、CPU911などの処理装置を用いて、他のセキュリティ運用管理システムのポリシー書出部150が出力した配布データを、記録媒体や電子メールの添付ファイルなどから取得する。
ポリシー読込部160は、CPU911などの処理装置を用いて、取得した配布データに基づいて、ポリシー定義情報530、設定ポリシー情報540、実行アクション情報550などを復元し、復元したポリシー定義情報530、設定ポリシー情報540、実行アクション情報550などを出力する。
ポリシーデータベース記憶部120は、CPU911などの処理装置を用いて、ポリシー読込部160が出力したポリシー定義情報530、設定ポリシー情報540、実行アクション情報550などを入力する。ポリシーデータベース記憶部120は、磁気ディスク装置920などの記憶装置を用いて、入力したポリシー定義情報530、設定ポリシー情報540、実行アクション情報550などを記憶する。
The
The
The policy
ここで、ポリシー書出部150が、他のセキュリティ運用管理システムに配布可能な形式に変換する元の情報は、上記のほか、アクション定義情報560などを含んでもよいが、抽出条件情報510及び条件対応情報520は含まないものとする。同じセキュリティポリシーを適用する場合であっても、セキュリティ運用管理システム100a及びセキュリティ運用管理システム100bそれぞれに固有の属性などが存在するため、適用対象であるグループの抽出条件が異なる場合があるからである。
Here, the original information that the
そのため、配布データを取得した側のセキュリティ運用管理システムのポリシー管理者は、取得したポリシー定義情報530に含まれるポリシー名称532などを参照して、そのポリシー定義情報530に対応づけるべきグループやその抽出条件を判断する。ポリシー管理者は、キーボード902などの入力装置を操作して、そのポリシー定義情報530に対応づけるべきグループやその抽出条件に関する情報を入力し、セキュリティ運用管理システム100が、CPU911などの処理装置を用いて、入力された情報に基づいて、抽出条件情報510や条件対応情報520を生成し、対象グループデータベース記憶部130が、磁気ディスク装置920などの記憶装置を用いて記憶する。
Therefore, the policy administrator of the security operation management system that acquired the distribution data refers to the
図21は、この実施の形態におけるセキュリティ運用管理システム100aとセキュリティ運用管理システム100bとがセキュリティポリシーを共有するポリシー共有処理の流れの一例を示すフローチャート図である。
なお、この例では、セキュリティ運用管理システム100aが記憶したセキュリティポリシーをセキュリティ運用管理システム100bに配布することにより、セキュリティポリシーを共有する。
FIG. 21 is a flowchart showing an example of a policy sharing process flow in which the security
In this example, the security policy is shared by distributing the security policy stored in the security
セキュリティ運用管理システム100aは、ポリシー取得工程S51、配布データ生成工程S52、配布データ出力工程S53を行う。この一連の処理を、エクスポート処理と呼ぶ。
ポリシー取得工程S51において、セキュリティ運用管理システム100aのポリシー書出部150は、CPU911などの処理装置を用いて、ポリシーデータベース記憶部120が記憶したポリシー定義情報530など、セキュリティ運用管理システム100bに配布する対象となる情報を取得する。
配布データ生成工程S52において、セキュリティ運用管理システム100aのポリシー書出部150は、CPU911などの処理装置を用いて、ポリシー取得工程S51で取得した情報を変換して、配布データを生成する。
配布データ出力工程S53において、セキュリティ運用管理システム100aのポリシー書出部150は、CPU911などの処理装置を用いて、配布データ生成工程S52で生成した配布データを、記録媒体などに出力する。
The security
In the policy acquisition step S51, the
In the distribution data generation step S52, the
In the distribution data output step S53, the
配布データは、記録媒体の運搬やインターネット940を介した送信などの手段により、セキュリティ運用管理システム100bに配布される。
The distribution data is distributed to the security
セキュリティ運用管理システム100bは、配布データ取得工程S61、ポリシー復元工程S62、ポリシー記憶工程S63、グループ記憶工程S64を行う。この一連の処理を、インポート処理と呼ぶ。
配布データ取得工程S61において、セキュリティ運用管理システム100bのポリシー読込部160は、CPU911などの処理装置を用いて、記憶媒体などから配布データを取得する。
ポリシー復元工程S62において、セキュリティ運用管理システム100bのポリシー読込部160は、CPU911などの処理装置を用いて、配布データ取得工程S61で取得した配布データを解析し、ポリシー定義情報530などを復元する。
ポリシー記憶工程S63において、セキュリティ運用管理システム100bのポリシーデータベース記憶部120は、磁気ディスク装置920などの記憶装置を用いて、ポリシー復元工程S62でポリシー読込部160が復元したポリシー定義情報530などを記憶する。
グループ記憶工程S64において、対象グループデータベース記憶部130は、CPU911などの処理装置を用いて、ポリシー復元工程S62でポリシー読込部160が復元したポリシー定義情報530などに対応するグループの抽出条件などの情報を入力し、CPU911などの処理装置を用いて、入力した情報に基づいて、抽出条件情報510などを生成し、磁気ディスク装置920などの記憶装置を用いて、生成した抽出条件情報510などを記憶する。
The security
In the distribution data acquisition step S61, the
In the policy restoration step S62, the
In the policy storage step S63, the policy
In the group storage step S64, the target group
これにより、セキュリティ運用管理システム100aとセキュリティ運用管理システム100bとに同じセキュリティポリシーを適用することができる。
Thereby, the same security policy can be applied to the security
以上説明したセキュリティ運用管理システム100は、
ポリシーを別のポリシーベースセキュリティ運用管理システムへ配布する際に、ポリシー内のセキュリティチェック対象情報を除いたポリシー情報を配布可能であることを特徴とする。
The security
When distributing a policy to another policy-based security operation management system, policy information excluding security check target information in the policy can be distributed.
以上のように、ポリシーを電子データとして他のセキュリティ運用管理システムへ配布することが可能である。その際に、ポリシーと対象グループ情報が分かれて管理されているため、配布先のセキュリティ運用管理システムにおける対象グループ情報を割り当てることが容易に可能となる。 As described above, the policy can be distributed as electronic data to other security operation management systems. At that time, since the policy and the target group information are managed separately, it becomes easy to assign the target group information in the security operation management system of the distribution destination.
100 セキュリティ運用管理システム、110 セキュリティチェック部、111 ポリシー取得部、112 抽出条件取得部、113 管理対象抽出部、114 状態取得部、115 ポリシー違反抽出部、116 アクション取得部、117 アクション実行部、120 ポリシーデータベース記憶部、121 ポリシー記憶部、122 実行アクション記憶部、130 対象グループデータベース記憶部、132 条件対応記憶部、133 抽出条件記憶部、140 対象情報データベース記憶部、141 属性記憶部、150 ポリシー書出部、160 ポリシー読込部、200 クライアント装置、300 ネットワーク、510 抽出条件情報、511,523 グループID、512 グループ名称、513 抽出条件、520 条件対応情報、521 対応ID、522,531,542 ポリシーID、530 ポリシー定義情報、532 ポリシー名称、533 ステータス、540 設定ポリシー情報、541,552 設定ID、543 設定名称、544 セキュリティ条件、550 実行アクション情報、551 アクションID、553,561 プログラムID、554 パラメータ、555 名称、556 値、560 アクション定義情報、562 アクション名称、563 プログラム呼出し名、570 属性定義情報、571,583 属性ID、572 属性タイプ、573 対象種別、574 属性名称、580 属性情報、581 項目ID、582 対象ID、584 属性値、800 ネットワークシステム、901 表示装置、902 キーボード、903 マウス、904 FDD、905 CDD、906 プリンタ装置、907 スキャナ装置、910 システムユニット、911 CPU、912 バス、913 ROM、914 RAM、915 通信装置、920 磁気ディスク装置、921 OS、922 ウィンドウシステム、923 プログラム群、924 ファイル群、931 電話器、932 ファクシミリ機、940 インターネット、941 ゲートウェイ、942 LAN。 DESCRIPTION OF SYMBOLS 100 Security operation management system, 110 Security check part, 111 Policy acquisition part, 112 Extraction condition acquisition part, 113 Management object extraction part, 114 State acquisition part, 115 Policy violation extraction part, 116 Action acquisition part, 117 Action execution part, 120 Policy database storage unit, 121 Policy storage unit, 122 Execution action storage unit, 130 Target group database storage unit, 132 Condition correspondence storage unit, 133 Extraction condition storage unit, 140 Target information database storage unit, 141 Attribute storage unit, 150 Policy document Output unit, 160 policy reading unit, 200 client device, 300 network, 510 extraction condition information, 511, 523 group ID, 512 group name, 513 extraction condition, 520 condition correspondence information 521 Corresponding ID, 522, 531, 542 Policy ID, 530 Policy definition information, 532 Policy name, 533 Status, 540 Setting policy information, 541, 552 Setting ID, 543 Setting name, 544 Security condition, 550 Execution action information, 551 Action ID, 553, 561 Program ID, 554 Parameter, 555 Name, 556 Value, 560 Action Definition Information, 562 Action Name, 563 Program Call Name, 570 Attribute Definition Information, 571, 583 Attribute ID, 572 Attribute Type, 573 Target Type 574 Attribute name, 580 Attribute information, 581 Item ID, 582 Target ID, 584 Attribute value, 800 Network system, 901 Display device, 902 Keyboard, 903 Ma , 904 FDD, 905 CDD, 906 Printer device, 907 Scanner device, 910 System unit, 911 CPU, 912 bus, 913 ROM, 914 RAM, 915 communication device, 920 magnetic disk device, 921 OS, 922 window system, 923 program group , 924 file group, 931 telephone, 932 facsimile machine, 940 Internet, 941 gateway, 942 LAN.
Claims (5)
セキュリティポリシー記憶部と、属性記憶部と、抽出条件記憶部と、実行アクション記憶部と、管理対象抽出部と、状態取得部と、ポリシー違反抽出部と、アクション実行部とを有し、
上記セキュリティポリシー記憶部は、上記記憶装置を用いて、上記管理対象が満たすべき条件を記述したセキュリティ条件情報を記憶し、
上記属性記憶部は、上記記憶装置を用いて、上記管理対象の属性を記述した管理対象属性情報を記憶し、
上記抽出条件記憶部は、上記記憶装置を用いて、上記セキュリティ条件情報に記述された条件を満たすべき管理対象を抽出する条件を記述した管理対象抽出条件情報を記憶し、
上記実行アクション記憶部は、上記記憶装置を用いて、上記セキュリティ条件情報に記述された条件を上記管理対象が満たしていない場合に実行すべきアクションを記述した実行アクション情報を記憶し、
上記管理対象抽出部は、上記処理装置を用いて、上記属性記憶部が記憶した管理対象属性情報に基づいて、上記抽出条件記憶部が記憶した管理対象抽出条件情報に記述された条件を満たす管理対象を抽出し、
上記状態取得部は、上記処理装置を用いて、上記管理対象抽出部が抽出した管理対象について、上記管理対象の状態を取得し、
上記ポリシー違反抽出部は、上記処理装置を用いて、上記状態取得部が取得した状態に基づいて、上記セキュリティポリシー記憶部が記憶したセキュリティ条件情報に記述された条件を満たしていない管理対象を抽出し、
上記アクション実行部は、上記処理装置を用いて、上記ポリシー違反抽出部が抽出した管理対象について、上記実行アクション記憶部が記憶した実行アクション情報に記述されたアクションを実行する
ことを特徴とする管理装置。 In a management device that has a storage device that stores information and a processing device that processes information, and manages the management target so as to satisfy the security policy.
A security policy storage unit, an attribute storage unit, an extraction condition storage unit, an execution action storage unit, a management target extraction unit, a state acquisition unit, a policy violation extraction unit, and an action execution unit;
The security policy storage unit uses the storage device to store security condition information describing conditions that the management target should satisfy,
The attribute storage unit uses the storage device to store management target attribute information describing the management target attribute,
The extraction condition storage unit stores management target extraction condition information that describes a condition for extracting a management target that should satisfy the conditions described in the security condition information, using the storage device,
The execution action storage unit stores, using the storage device, execution action information describing an action to be executed when the management target does not satisfy the condition described in the security condition information,
The management target extraction unit uses the processing device to manage the conditions described in the management target extraction condition information stored in the extraction condition storage unit based on the management target attribute information stored in the attribute storage unit Extract the target,
The status acquisition unit acquires the status of the management target for the management target extracted by the management target extraction unit using the processing device,
The policy violation extraction unit extracts a management target that does not satisfy the condition described in the security condition information stored in the security policy storage unit based on the state acquired by the state acquisition unit using the processing device. And
The action execution unit executes an action described in the execution action information stored in the execution action storage unit for the management target extracted by the policy violation extraction unit using the processing device. apparatus.
上記セキュリティポリシー記憶部は、上記記憶装置を用いて、複数のセキュリティ条件情報を記憶し、
上記抽出条件記憶部は、上記記憶装置を用いて、複数の管理対象抽出条件情報を記憶し、
上記条件対応記憶部は、上記記憶装置を用いて、上記セキュリティポリシー記憶部が記憶した複数のセキュリティ条件情報のうち上記抽出条件記憶部が記憶した複数の管理対象抽出条件情報それぞれに記述された条件により抽出される管理対象が満たすべき条件を記述したセキュリティ条件情報と、上記管理対象抽出条件情報との対応づけを記述した条件対応情報を記憶し、
上記抽出条件取得部は、上記処理装置を用いて、上記条件対応記憶部が記憶した条件対応情報に基づいて、上記セキュリティポリシー記憶部が記憶した複数のセキュリティ条件情報それぞれに記述された条件を満たすべき管理対象を抽出する条件を記述した管理対象抽出条件情報を、上記抽出条件記憶部が記憶した複数の管理対象抽出条件情報のうちから取得し、
上記管理対象抽出部は、上記処理装置を用いて、上記属性記憶部が記憶した管理対象属性情報に基づいて、上記セキュリティポリシー記憶部が記憶した複数のセキュリティ条件情報それぞれについて、上記抽出条件取得部が取得した管理対象抽出条件情報に記述された条件を満たす管理対象を抽出する
ことを特徴とする請求項1に記載の管理装置。 The management device further includes a condition correspondence storage unit and an extraction condition acquisition unit,
The security policy storage unit stores a plurality of security condition information using the storage device,
The extraction condition storage unit stores a plurality of management target extraction condition information using the storage device,
The condition correspondence storage unit uses the storage device, and among the plurality of security condition information stored in the security policy storage unit, the condition described in each of the plurality of management target extraction condition information stored in the extraction condition storage unit Storing the security condition information describing the condition to be satisfied by the management target extracted by the above and the condition correspondence information describing the correspondence between the management target extraction condition information,
The extraction condition acquisition unit satisfies the conditions described in each of the plurality of security condition information stored in the security policy storage unit based on the condition correspondence information stored in the condition correspondence storage unit using the processing device. The management target extraction condition information describing the condition for extracting the power management target is acquired from among the plurality of management target extraction condition information stored in the extraction condition storage unit,
The management object extraction unit uses the processing device to extract the extraction condition acquisition unit for each of a plurality of security condition information stored in the security policy storage unit based on the management target attribute information stored in the attribute storage unit. The management apparatus according to claim 1, wherein a management target that satisfies the conditions described in the management target extraction condition information acquired by the server is extracted.
上記管理装置の管理対象である対象装置と
を備えることを特徴とするネットワークシステム。 The management device according to claim 1 or 2,
A network system comprising: a target device that is a management target of the management device.
上記記憶装置は、
上記管理対象が満たすべき条件を記述したセキュリティ条件情報と、
上記管理対象の属性を記述した管理対象属性情報と、
上記セキュリティ条件情報に記述された条件を満たすべき管理対象を抽出する条件を記述した管理対象抽出条件情報と、
上記セキュリティ条件情報に記述された条件を上記管理対象が満たしていない場合に実行すべきアクションを記述した実行アクション情報とを記憶し、
上記処理装置は、
上記記憶装置が記憶した管理対象属性情報に基づいて、上記記憶装置が記憶した管理対象抽出条件情報に記述された条件を満たす管理対象を抽出し、
抽出した管理対象について、上記管理対象の状態を取得し、
取得した状態に基づいて、上記記憶装置が記憶したセキュリティ条件情報に記述された条件を満たしていない管理対象を抽出し、
抽出した管理対象について、上記記憶装置が記憶した実行アクション情報に記述されたアクションを実行する
ことを特徴とする管理方法。 In a management method in which a management device having a storage device for storing information and a processing device for processing information manages so that a management target satisfies a security policy,
The storage device
Security condition information describing the conditions that the management target must satisfy;
Management target attribute information describing the attributes of the management target, and
Management object extraction condition information describing conditions for extracting a management object that satisfies the conditions described in the security condition information;
Storing execution action information describing an action to be executed when the management target does not satisfy the condition described in the security condition information;
The processing device
Based on the management target attribute information stored in the storage device, extract a management target that satisfies the conditions described in the management target extraction condition information stored in the storage device,
Obtain the status of the management target for the extracted management target,
Based on the acquired state, extract the management target that does not satisfy the conditions described in the security condition information stored in the storage device,
A management method characterized by executing an action described in the execution action information stored in the storage device for the extracted management target.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007176406A JP5064912B2 (en) | 2007-07-04 | 2007-07-04 | Management apparatus, network system, program, and management method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007176406A JP5064912B2 (en) | 2007-07-04 | 2007-07-04 | Management apparatus, network system, program, and management method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009015585A true JP2009015585A (en) | 2009-01-22 |
JP5064912B2 JP5064912B2 (en) | 2012-10-31 |
Family
ID=40356414
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007176406A Expired - Fee Related JP5064912B2 (en) | 2007-07-04 | 2007-07-04 | Management apparatus, network system, program, and management method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5064912B2 (en) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010268087A (en) * | 2009-05-13 | 2010-11-25 | Nec Infrontia Corp | Network device, network, and automatic encryption communication method used for them |
JP2012194801A (en) * | 2011-03-16 | 2012-10-11 | Hitachi Systems Ltd | Security policy management system and security policy management system with security risk management device |
JP2014504388A (en) * | 2010-11-18 | 2014-02-20 | 北京神州▲緑▼盟信息安全科技股▲分▼有限公司 | Security configuration verification device, security configuration verification method, and network system using the device |
JP2014032595A (en) * | 2012-08-06 | 2014-02-20 | Canon Inc | Information processing system, and method and program for controlling the same |
JP2014149595A (en) * | 2013-01-31 | 2014-08-21 | Canon Inc | Information processing system and control method of the same, and program |
JP2014149594A (en) * | 2013-01-31 | 2014-08-21 | Canon Inc | Information processing system and control method of the same, and program |
JP2015090513A (en) * | 2013-11-05 | 2015-05-11 | キヤノン株式会社 | Image forming apparatus, image forming method, and program, and image forming system |
JP2018132823A (en) * | 2017-02-13 | 2018-08-23 | 富士通株式会社 | Policy setting device, policy setting method and policy setting program |
JP2019523491A (en) * | 2016-07-19 | 2019-08-22 | アンラブ,インコーポレイテッド | Security management apparatus and security management method for managing security of client terminal |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002247033A (en) * | 2001-02-16 | 2002-08-30 | Hitachi Ltd | Security management system |
JP2003288321A (en) * | 2002-03-28 | 2003-10-10 | Nri & Ncc Co Ltd | Security information management system |
JP2004355450A (en) * | 2003-05-30 | 2004-12-16 | Kyocera Communication Systems Co Ltd | System and method for supervising state of terminal |
JP2006146297A (en) * | 2004-11-16 | 2006-06-08 | Hitachi Ltd | Security management method, security management apparatus, and security management program |
-
2007
- 2007-07-04 JP JP2007176406A patent/JP5064912B2/en not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002247033A (en) * | 2001-02-16 | 2002-08-30 | Hitachi Ltd | Security management system |
JP2003288321A (en) * | 2002-03-28 | 2003-10-10 | Nri & Ncc Co Ltd | Security information management system |
JP2004355450A (en) * | 2003-05-30 | 2004-12-16 | Kyocera Communication Systems Co Ltd | System and method for supervising state of terminal |
JP2006146297A (en) * | 2004-11-16 | 2006-06-08 | Hitachi Ltd | Security management method, security management apparatus, and security management program |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010268087A (en) * | 2009-05-13 | 2010-11-25 | Nec Infrontia Corp | Network device, network, and automatic encryption communication method used for them |
JP2014504388A (en) * | 2010-11-18 | 2014-02-20 | 北京神州▲緑▼盟信息安全科技股▲分▼有限公司 | Security configuration verification device, security configuration verification method, and network system using the device |
US8978134B2 (en) | 2010-11-18 | 2015-03-10 | NSFOCUS Information Technology Co., Ltd. | Security configuration verification device and method and network system employing the same |
JP2012194801A (en) * | 2011-03-16 | 2012-10-11 | Hitachi Systems Ltd | Security policy management system and security policy management system with security risk management device |
JP2014032595A (en) * | 2012-08-06 | 2014-02-20 | Canon Inc | Information processing system, and method and program for controlling the same |
JP2014149595A (en) * | 2013-01-31 | 2014-08-21 | Canon Inc | Information processing system and control method of the same, and program |
JP2014149594A (en) * | 2013-01-31 | 2014-08-21 | Canon Inc | Information processing system and control method of the same, and program |
JP2015090513A (en) * | 2013-11-05 | 2015-05-11 | キヤノン株式会社 | Image forming apparatus, image forming method, and program, and image forming system |
JP2019523491A (en) * | 2016-07-19 | 2019-08-22 | アンラブ,インコーポレイテッド | Security management apparatus and security management method for managing security of client terminal |
JP2018132823A (en) * | 2017-02-13 | 2018-08-23 | 富士通株式会社 | Policy setting device, policy setting method and policy setting program |
Also Published As
Publication number | Publication date |
---|---|
JP5064912B2 (en) | 2012-10-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5064912B2 (en) | Management apparatus, network system, program, and management method | |
US8819771B2 (en) | Automatic generation of user account policies based on configuration management database information | |
US11201907B1 (en) | Access control center auto launch | |
US20080126439A1 (en) | Change verification in a configuration management database | |
US8271528B1 (en) | Database for access control center | |
US20110196957A1 (en) | Real-Time Policy Visualization by Configuration Item to Demonstrate Real-Time and Historical Interaction of Policies | |
US8019845B2 (en) | Service delivery using profile based management | |
US20140122349A1 (en) | System, information management method, and information processing apparatus | |
US11290322B2 (en) | Honeypot asset cloning | |
US20070250932A1 (en) | Integrated enterprise-level compliance and risk management system | |
JP2017033339A (en) | Service provision system, information processing device, program and service use information creation method | |
US9043218B2 (en) | Rule compliance using a configuration database | |
JP2008015733A (en) | Log management computer | |
US20180096016A1 (en) | Query driven data collection on parallel processing architecture for license metrics software | |
JP7221799B2 (en) | Information processing system and control method for information processing system | |
US8166143B2 (en) | Methods, systems and computer program products for invariant representation of computer network information technology (IT) managed resources | |
Buecker et al. | IT Security Compliance Management Design Guide with IBM Tivoli Security Information and Event Manager | |
JP4429229B2 (en) | Directory information providing method, directory information providing apparatus, directory information providing system, and program | |
US8850525B1 (en) | Access control center auto configuration | |
JP2018055497A (en) | Information processing system, usage amount information formation method, information processing unit, and program | |
JP2011070348A (en) | Information processing system, information processing method and program | |
JP2007200047A (en) | Access log-displaying system and method | |
US20080235264A1 (en) | method for logging of a remote control session | |
JP6690488B2 (en) | Information processing system, browsing control method, information processing device, and program | |
WO2023188092A1 (en) | Information processing device, information processing method, and computer-readable recording medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100406 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120523 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120717 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120809 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150817 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |