JP4052156B2 - ポリシーベースシステム設定支援装置 - Google Patents

ポリシーベースシステム設定支援装置 Download PDF

Info

Publication number
JP4052156B2
JP4052156B2 JP2003074795A JP2003074795A JP4052156B2 JP 4052156 B2 JP4052156 B2 JP 4052156B2 JP 2003074795 A JP2003074795 A JP 2003074795A JP 2003074795 A JP2003074795 A JP 2003074795A JP 4052156 B2 JP4052156 B2 JP 4052156B2
Authority
JP
Japan
Prior art keywords
setting
policy
policy data
product
setting item
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003074795A
Other languages
English (en)
Other versions
JP2004282662A (ja
Inventor
政幸 諸橋
弘実 礒川
康彦 永井
信 萱島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2003074795A priority Critical patent/JP4052156B2/ja
Publication of JP2004282662A publication Critical patent/JP2004282662A/ja
Application granted granted Critical
Publication of JP4052156B2 publication Critical patent/JP4052156B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Stored Programmes (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、情報システムを構成するファイアウォールやルータなどの製品を対象とし、これらの製品の設定をポリシーに基づいて行なうシステム設定支援方法および装置に関する。
【0002】
【従来の技術】
近年、インターネットの普及に伴い、セキュリティ上の脅威が増大している。このような状況に対し、脅威の洗い出しやリスク評価などを行なわずにファイアウォールなどの製品を導入したのでは、セキュリティ対策に抜け漏れが生じる可能性がある。これを防ぐためには、まず、情報資産を保護するための方針であるセキュリティポリシーを策定し、これに基づいた製品の設定および運用を行なうことが必要となってきている。
【0003】
しかし、ポリシーに基づいた設定を行なうためには、「許可されたユーザにのみアクセス権限を付与する」などの抽象的な表現であるポリシーデータを、製品の具体的な設定に抜け漏れなく反映させる必要があるため、高度な専門知識と多くの作業工数を要するという問題がある。
【0004】
この問題を解決する従来技術として、特許文献1に記載の方法がある。本従来技術では、ポリシーデータと設定項目および推奨する設定値とを対応付けたデータベースを事前に用意し、これを利用することで、ポリシーを実現するために必要な設定項目および設定値を容易に特定することを可能とする。その際、1つの設定項目に対して、複数の異なる設定値が存在する場合には、それらを表示してユーザに適切な設定値を選択させる。
【0005】
【特許文献1】
特開2002−247033号公報
【0006】
【発明が解決しようとする課題】
ポリシーデータから設定項目を容易に特定するために、上記従来技術では、事前にポリシーデータと設定項目とを直接対応付けたデータベースを用意して利用している。しかし、ポリシーは対象や環境によって変わるため、ポリシー毎にデータベースを作成する必要がある。また、製品によって設定項目は異なるため、製品毎にデータベースを作成する必要がある。したがって、上記従来技術では、多くのデータベースを用意する必要があり、データベースの作成・管理に多くの作業工数がかかる。
【0007】
また、設定項目は製品によって異なるので、製品によっては実現できないポリシーデータが存在する。このようなポリシーデータがある場合には、管理者等に対して、ポリシーデータを実現できなくて問題があるかどうかを確認する必要がある。しかし、上記従来技術では、このようなポリシーデータを自動的に特定する手段を持っていないため、各ユーザがポリシーデータを実現できるかどうかを判断する必要がある。
【0008】
また、実施したいポリシーや利用する製品を変更した場合、変更前後で共通の設定項目を特定し、その設定項目に対して変更前の設定値をそのまま利用することで、効率的に設定を行なうことができる。しかし、設定項目は、製品によって分類の仕方や名称が異なるため、製品間の設定項目の共通部分を特定するには専門知識を要する。これに対し、上記従来技術では、製品毎にポリシーデータと設定項目とを対応付けたデータベースを用意しており、製品間の設定項目の共通部分を容易に特定できない。
【0009】
【課題を解決するための手段】
本発明は、ポリシーデータ(個々の対策方針)と設定項目および設定値とを対応付けたDBを効率的に作成・管理する技術を提供する。
【0010】
また、本発明は、実施したいポリシーおよび利用する製品を指定した場合に、指定した製品では実現できないポリシーデータを容易にチェックする技術を提供する。
【0011】
本発明は、さらに、実施したいポリシーおよび利用する製品を変更した場合に、設定値を効率的に設定する技術を提供する。
【0012】
本発明は、その一態様において、ポリシー毎のポリシーデータと製品カテゴリ毎に設定項目を共通化した設定内容との対応関係と、前記設定内容と各製品の設定項目との対応関係とを格納したポリシーデータ・設定項目対応データベースを用意する。また、実施したいポリシーと利用製品が指定された場合に、前記ポリシーデータ・設定項目対応データベースから、ポリシーの実現に関係する設定内容を特定する手段と、特定した設定内容と前記ポリシーデータ・設定項目対応データベースから、製品でのポリシーの実現に関係する設定項目を特定する手段と、特定した設定項目に設定された設定値から設定ファイルを生成する手段を設ける。
【0013】
さらに、前記ポリシーデータ・設定項目対応データベースに追加したいポリシーと製品カテゴリ毎に設定項目を共通化した設定内容との対応関係を設定させる手段と、追加するポリシーのポリシーデータに対応する設定内容が存在しない場合に前記設定内容に設定内容を追加する手段と、追加するポリシーのポリシーデータと前記設定内容との対応関係を前記ポリシーデータ・設定項目対応データベースに格納する手段を設ける。
【0014】
これにより、前記ポリシーデータ・設定項目対応DBにポリシーを追加したい場合に、追加したいポリシーのポリシーデータと設定内容との対応関係を追加作成するだけで、設定内容と各製品の設定項目との対応関係を変更せずに、追加したポリシーと登録済みの全製品の設定項目との対応関係を作成できる。
【0015】
さらに、前記ポリシーデータ・設定項目対応データベースに追加したい製品の設定項目と製品カテゴリ毎に設定項目を共通化した設定内容との対応関係を設定させる手段と、追加する製品の設定項目に対応する設定内容が存在しない場合に前記設定内容に設定内容を追加する手段と、追加する製品の設定項目と前記設定内容との対応関係を前記ポリシーデータ・設定項目対応データベースに格納する手段を設ける。これにより、前記ポリシーデータ・設定項目対応DBに製品の設定項目を追加したい場合に、追加したい製品の設定項目と設定内容との対応関係を追加作成するだけで、ポリシー毎のポリシーデータと設定内容との対応関係を変更せずに、追加した製品の設定項目と登録済みの全ポリシーとの対応関係を作成できる。
【0016】
本発明は、他の態様において、前記ポリシーデータ・設定項目対応データベースに、ポリシーの実現に必須な設定内容かどうかを明示する欄を追加することで、ポリシーを実現するために必要な設定内容を容易に特定可能なポリシーデータ・設定項目対応データベースを用意する。また、上記各手段に加え、ポリシーの実現に関係する設定内容が前記ポリシーデータ・設定項目対応データベース上に存在するかどうかをチェックし、設定内容が存在しないポリシーデータを特定する手段と、前記ポリシーデータ・設定項目対応データベースから、ポリシーの実現に必須な設定内容を特定する手段と、前記ポリシーデータ・設定項目対応データベースから、特定した必須の設定内容に対応する設定項目が指定した製品に存在するかどうかをチェックし、設定項目が存在しない設定内容に対応するポリシーデータを特定する手段と、設定内容が存在しないポリシーデータと設定項目が存在しない設定内容に対応するポリシーデータを操作者に通知する手段を設ける。これにより、実施するポリシーと使用製品を指定すれば、使用製品で実現できないポリシーデータを容易に特定できる。
【0017】
本発明は、さらに他の態様において、上記ポリシーデータ・設定項目対応データベースと各手段に加えて、変更後のポリシーと前記ポリシーデータ・設定項目対応データベースから、変更後のポリシーの実現に関係する設定内容を特定する手段と、特定した設定内容と前記ポリシーデータ・設定項目対応データベースから、変更後の製品でポリシーの実現に関係する設定項目を特定する手段と、前記ポリシーデータ・設定項目対応データベースから、ポリシーおよび製品の変更前後における設定項目を比較して、共通の設定項目と追加された設定項目と削除された設定項目を特定する手段と、共通の設定項目に対して、ポリシーおよび製品の変更前に設定した設定値を変更後の設定項目に対する設定値として利用する手段と、共通の設定項目に対する設定値と追加された設定項目に設定された設定値から設定ファイルを生成する手段を設ける。
【0018】
これにより、実施するポリシーおよび使用する製品を変更した場合、追加された設定項目に対してのみ設定値を追加入力すればよいので、設定値を効率的に設定することができる。また、変更後の製品で実現できないポリシーデータを容易に特定できる。
【0019】
以上の述べた各態様によれば、
・ポリシーを追加したい時や、新規およびバージョンアップした製品の設定項目を追加したい場合に、効率的にポリシーデータ・設定項目対応DBを作成可能
・ポリシーデータ・設定項目対応DBのデータ変更(ポリシーデータ文言修正、ポリシーデータ追加・修正、必須欄の丸付け修正、推奨設定値の修正)を製品カテゴリ単位でまとめて実施できるので、DBを効率的にメンテナンス可能
・製品カテゴリ単位でDBを作成するため、製品単位でDBを作成するよりもDBを容易に管理可能
・利用ポリシーおよび利用製品を指定した場合に、実現できないポリシーデータを容易にチェック可能
・利用ポリシーおよび利用製品を変更した場合に、ユーザによる設定値の入力を必要最小限に抑えることが可能、かつ、変更後に実現できないポリシーデータを容易にチェック可能
といった効果が得られる。
【0020】
【発明の実施の形態】
本発明の第1実施例を説明する。
【0021】
図1は、実施例1の全体のシステム構成である。本システム構成は、ポリシーに基づいて製品の設定を行なうポリシーベースシステム設定支援装置101、ポリシーベースシステム設定支援装置の設定対象であるファイアウォールやルータなどの製品をインストールした機器群102、これらを接続するネットワーク103、ポリシーベースシステム設定支援装置とネットワークで接続したリモート操作端末104〜105から構成される。なお、ポリシーベースシステム設定支援装置は、本装置を直接扱う操作者106だけでなく、ネットワークで接続されたリモート操作端末を扱う操作者107〜108からも操作可能とする。
【0022】
図2は、ポリシーベースシステム設定支援装置の概略構成図である。本装置は、装置内の各ハードウェアを制御しプログラムを実行するCPU204、入出力を制御する端末入出力制御装置205、バス203、メモリ201、ディスク202、入力画面を表示するディスプレイ206、入力情報を設定するためのキーボード207、他機器と接続するための通信ハードウェア208から構成される。
【0023】
ここで、メモリ201には、ポリシーデータと設定項目とを対応付けたポリシーデータ・設定項目対応DBの選択処理部211、追加ポリシー入力処理部212、ポリシーデータ・設定内容マッピングテーブル入力処理部213、追加製品情報入力処理部214、設定内容・設定項目マッピングテーブル入力処理部215、ポリシーデータ・設定項目対応DB保存処理部216、製品およびポリシー選択処理部217、実施ポリシーデータ選択処理部218、ポリシーデータ・設定項目変換処理部219、ポリシーデータ実現チェック処理部220、設定値入力処理部221、設定ファイル生成処理部222が格納されている。また、ディスク202は、ポリシーデータ・設定項目対応DB231、製品カテゴリDB232、ポリシーデータ・設定項目対応DB作成プログラム233、ポリシーベースシステム設定プログラム234からなる。
図3は、ポリシーベースシステム設定支援装置で使用するポリシーデータ・設定項目対応DBのデータ構造である。このDBは、ポリシーを実現するために関係する設定項目を容易に特定するために用意したもので、本装置のポリシーベースシステム設定プログラムを起動する前にデータを入力しておく必要がある。また、このDBはファイアウォールやルータなどの製品カテゴリ単位で用意するもので、図3はファイアウォールのポリシーデータ・設定項目対応DBの例である。列301はセキュリティポリシー、列302はファイアウォールの機器設定に関する列であり、それぞれについて、さらに複数の項目に分けている。まず、列301ではポリシー毎に分類とポリシーデータ欄を用意している。この例では、列301にポリシーAが格納されており、列311がポリシーAの分類で、列312がポリシーAのポリシーデータである。次に、列302は大きく3つに分かれている。まず1つめの列330は製品カテゴリ毎に設定項目を共通化した設定内容を示す。列330はさらに3つの列で構成しており、列331は製品カテゴリ共通の設定内容の分類、列332は製品カテゴリ共通の設定内容、列333はポリシーの実現に必須な設定項目であるかどうかを明示する欄である。2つめの列334は、各設定項目に入力する設定値の推奨値を示す。3つめの列340は製品毎の設定項目であり、列341はA社製FW(Ver.4.0)の設定項目、列342はA社製FW(Ver.5.0)の設定項目を示す。
【0024】
図4は、ポリシーベースシステム設定支援装置で使用する製品カテゴリDBのデータ構造である。列401は製品カテゴリ、列402は列401に該当するポリシーデータ・設定項目対応DBの名称を示す。
【0025】
以上が本方式によるポリシーベースシステム設定支援装置における構成とDBの概要である。
【0026】
次に、上記構成のポリシーベースシステム設定支援装置の動作の説明と、入出力画面の例を示す。
【0027】
本装置は、ポリシーデータ・設定項目対応DB作成と、ポリシーベースシステム設定の2つのフェーズから構成されており、以下ではこれらを順番に説明する。
【0028】
まず、1つめのポリシーデータ・設定項目対応DB作成フェーズについて説明する。図5はポリシーベースシステム設定支援装置におけるポリシーデータ・設定項目対応DB作成プログラムの動作を説明するためのフローチャート図である。
【0029】
まず始めに、ポリシーデータ・設定項目対応DB選択処理部211が、図6に示す画面を表示する(ステップ501)。この画面では、図4に示す製品カテゴリDBの製品カテゴリ欄401の製品カテゴリリストを製品カテゴリ欄601に表示する。そして、ユーザに、製品カテゴリ欄601から、製品カテゴリを選択させる。選択された製品カテゴリから、図4に示す製品カテゴリDBを用いて、ポリシーデータ・設定項目対応DBのデータベース名称を特定する。そして、選択したポリシーデータ・設定項目対応DBにポリシーを追加したい場合には“ポリシー追加”ボタン602を、ポリシーデータ・設定項目対応DBに製品の設定項目を追加したい場合には“製品追加”ボタン603を押下させる。そして、“ポリシー追加”と“製品追加”のどちらのボタンが押されたかを判別し、各々の処理に分岐する(ステップ502)。
【0030】
“ポリシー追加”ボタン押下時には、追加ポリシー入力処理部212が、図7に示す画面を表示する(ステップ511)。そして、ポリシー名入力欄701にポリシーの名称を入力させる。次に、ポリシーデータ・設定内容マッピングテーブル入力処理部213が、図8に示す画面を表示する(ステップ512)。この画面では、図7で選択されたポリシーのポリシーデータをポリシーデータリスト欄801に、図3の列332の設定内容を設定内容リスト805に表示する。ここで、まず、ポリシーデータリスト801からポリシーデータを1つ選択させる。そして、そのポリシーデータに対応する設定内容を設定内容リスト805から選択させ、“追加”ボタン803を押下させることで、対応する設定内容欄802に選択した設定内容を表示する。
【0031】
ただし、ポリシーリスト801に該当する設定内容が設定内容リスト805にない場合には、“設定内容追加”ボタン806を押下させる(ステップ513)。“設定内容追加”ボタン押下時には、図9の画面を表示する(ステップ514)。この画面で、追加したい設定内容を設定内容欄902に、追加した設定内容に設定する値の推奨値を推奨設定値欄903に入力させる。そして、“次へ”ボタン905を押下すると、追加した設定内容を設定内容リスト805に追加した図8の画面を表示する。
【0032】
図8に示す画面でポリシーデータと設定内容との対応関係を全て入力させたら、“保存”ボタン808を押下させる。その結果、ポリシーデータ・設定項目対応DB保存処理部216が、ポリシーBのポリシーデータと設定内容との対応関係をDBに反映し、DBを保存する(ステップ531)。具体的には、図3に示すポリシーデータ・設定項目対応DBに対して、図10の示すように列1001を追加する。
【0033】
一方、“製品追加”ボタン押下時には、製品情報入力処理部214が、図111に示す画面を表示する(ステップ521)。ここで、ユーザに製品名および製品のバージョン番号を入力させる。次に、設定内容・設定項目マッピングテーブル入力処理部215が、図12に示す画面を表示する(ステップ522)。この画面では、図3の列332の設定内容を設定内容リスト1201に表示する。ここで、まず、設定内容リスト1201から設定内容を1つ選択させる。そして、その設定内容に対して、図11で入力した製品の設定項目を設定項目欄1202に、その設定項目の初期値を初期値欄1203に入力させる。
【0034】
ただし、製品の設定項目に該当する設定内容が設定内容リスト1201にない場合には、“設定内容追加”ボタン1204を押下させる(ステップ523)。“設定内容追加”ボタン押下時には、図13の画面を表示する(ステップ524)。この画面では、図3の列301にあるポリシー名をポリシーリスト欄1304に表示する。そして、追加したい設定内容を設定内容欄1302に、追加した設定内容に設定する値の推奨値を推奨設定値欄1303に入力させる。さらに、ポリシーリスト欄1304からポリシーを1つ選択させ、選択されたポリシーに応じてポリシーデータをポリシーデータリスト欄1308に表示する。そして、追加した設定内容に対応するポリシーデータをポリシーデータリスト欄1308から選択させ、“追加”ボタン1306を押下させることで、対応ポリシーデータ欄1305に選択したポリシーデータを表示する。ポリシーリスト欄1304に表示された全てのポリシーに対して、追加した設定内容との対応関係を入力する。入力後、“次へ”ボタン1311を押下すると、追加した設定内容を設定内容リスト1201に追加した図12の画面を表示する。
【0035】
図12に示す画面で、設定内容と、製品の持つ全ての設定項目との対応関係を入力させたら、“保存”ボタン1206を押下させる。その結果、ポリシーデータ・設定項目対応DB保存処理部216が、設定内容とB社製FWの設定項目との対応関係をDBに反映し、DBを保存する(ステップ531)。具体的には、図3に示すポリシーデータ・設定項目対応DBに対して、図14に示すように列1401を追加する。
【0036】
次に、2つめのポリシーベースシステム設定フェーズについて説明する。図15はポリシーベースシステム設定支援装置におけるポリシーベースシステム設定プログラムの動作を説明するためのフローチャート図である。なお、このフェーズでは、図16に示すポリシーデータ・設定項目対応DBを利用することとする。
【0037】
まず始めに、製品およびポリシー選択処理部217が、図17に示す画面を表示する(ステップ1501)。この画面では、図4の製品カテゴリDBの製品カテゴリリスト401を製品カテゴリリスト欄1701に表示する。そして、選択された製品カテゴリに応じて、図4に示す製品カテゴリDBからポリシーデータ・設定項目対応DBを特定する。例えば、“ファイアウォール”が選択された場合には、図16のファイアウォールのポリシーデータ・設定項目対応DBを特定し、製品名欄1644〜1646を製品名リスト欄1702に、ポリシー名欄1610および1620をポリシーリスト欄1704に表示する。そして、選択された製品名をもとに、図16のポリシーデータ・設定項目対応DBから該当するバージョン番号を特定して、バージョン番号リスト欄1703に表示する。
【0038】
次に、実施ポリシーデータ選択処理部218が、図18に示す画面を表示する(ステップ1502)。この画面では、図17で選択されたポリシーのポリシーデータをポリシーデータリスト欄1804に表示する。そのポリシーデータのリストから実施するポリシーデータを選択させ、“追加”ボタン1802を押下させることで、実施ポリシーデータ欄1801に選択されたポリシーデータを表示する。このようにして、実施するポリシーデータを全て選択させる。
【0039】
次に、ポリシーデータ・設定項目変換処理部219が、ポリシーデータ・設定項目対応DBと、実施するポリシーデータから、ポリシーの実現に関係する設定内容を特定する。そして、特定した設定内容と、選択された製品名およびバージョン番号から、選択した製品においてポリシーの実現に関係する設定項目を特定する(ステップ1503)。
【0040】
次に、ポリシーデータ実現チェック処理部220が、図18で選択された実施ポリシーデータと、図16の必須欄1631の丸付けから、実施するポリシーデータの中でポリシーを実現するために必須な設定項目を特定する。その必須な設定項目の中で、ステップ1503で特定した設定項目で不足する設定項目を特定する。そして、その設定項目に対応するポリシーデータを特定し、そのポリシーデータを「実現できないポリシーデータ」としてチェックする(ステップ1504)。その結果をもとにして、実現できないポリシーデータがある場合とない場合で処理を分岐する(ステップ1505)。
【0041】
実現できないポリシーデータがある場合には、図19に示す画面を表示する(ステップ1506)。この画面では、実現できないポリシーデータをリスト欄1901に表示する。そして、それらのポリシーデータを実現できないと問題がある場合には“問題あり”ボタン1903を、問題がない場合には“問題なし”ボタン1904を押下させる(ステップ1507)。
【0042】
“問題あり”ボタン押下時には、処理を終了する。
【0043】
一方、“問題なし”ボタン押下時には、設定値入力処理部221が、各設定項目に対応する設定値入力画面を表示する(ステップ1508)。例えば、アクセス制御の定義については、図20に示す画面を表示するので、ホスト名やIPアドレスを入力させる。
【0044】
全ての設定項目に対して設定値を入力させたら、最後に、設定ファイル生成処理部222が、入力された設定値を製品に合わせた設定ファイルに変換する(ステップ1509)。
【0045】
一方、実現できないポリシーデータがない場合には、設定値入力処理部221が、各設定項目に対応する設定値入力画面を表示する(ステップ1508)。
【0046】
全ての設定項目に対して設定値を入力させたら、最後に、設定ファイル生成処理部222が、入力された設定値を製品に合わせた設定ファイルに変換する(ステップ1509)。
【0047】
本実施例によれば、以下のような効果がある。
・ポリシー毎のポリシーデータと製品カテゴリ毎に設定項目を共通化した設定内容との対応関係と、前記設定内容と各製品の設定項目との対応関係とを格納したポリシーデータ・設定項目対応DBを用意することで、ポリシーあるいは製品の設定項目を前記ポリシーデータ・設定項目対応DBに追加したい場合に、前記設定内容との対応関係を追加するだけでポリシーデータ・設定項目対応DBに反映できる。このため、ポリシーデータ・設定項目対応DBの効率的な作成が可能である。
・ポリシーデータ・設定項目対応DBを製品カテゴリ単位で用意するため、ポリシーデータの文言修正、ポリシーデータの追加・削除、必須欄の丸付け修正、推奨設定値の修正、などのデータ変更を、製品カテゴリ単位でまとめて実施できる。このため、DBを効率的にメンテナンスすることが可能である。
・製品カテゴリ単位でDBを作成するため、製品単位でDBを作成するよりもDBを容易に管理することが可能である。
・ポリシーデータ・設定項目対応DBにポリシー実現のために必須の設定項目かどうかを示す欄を用意することで、利用ポリシーおよび利用製品を指定した場合に、実現できないポリシーを容易にチェックすることが可能である。
【0048】
次に、本発明の第2実施例を説明する。
【0049】
図21は、ポリシーベースシステム設定支援装置の概略構成図である。本装置は、装置内の各ハードウェアを制御しプログラムを実行するCPU2104、入出力を制御する端末入出力制御装置2105、バス2103、メモリ2101、ディスク2102、入力画面を表示するディスプレイ2106、入力情報を設定するためのキーボード2107、他機器と接続するための通信ハードウェア2108から構成される。
【0050】
ここで、メモリ2101には、製品およびポリシー変更処理部2111、実施ポリシーデータ変更処理部2112、ポリシーデータ・設定項目変換処理部2113、ポリシーデータ実現チェック処理部2114、設定項目比較処理部2115、設定値入力処理部2116、設定ファイル生成処理部2117が格納されている。また、ディスク2102は、ポリシーデータ・設定項目対応DB2121、製品カテゴリDB2122、ポリシーベースシステム設定プログラム2123からなる。
【0051】
以上が本方式によるポリシーベースシステム設定支援装置における構成とDBの概要である。
【0052】
次に、上記構成のポリシーベースシステム設定支援装置の動作の説明と、入出力画面の例を示す。図22はポリシーベースシステム設定支援装置の動作を説明するためのフローチャート図、図23〜図26は入力画面を示す。この実施例では、図16に示すファイアウォールのポリシーデータ・設定項目対応BDを用いて、A社製FW(Ver.5.0)に対して、ポリシーAに従って設定を行なっている状態を想定する。そして、ポリシーをポリシーAからポリシーBへ変更し、製品をA社製FW(Ver.5.0)からB社製FW(Ver.4.0)に変更する場合について説明する。
【0053】
まず始めに、製品およびポリシー変更処理部2111が、図23に示す画面を表示する(ステップ2201)。この画面では、これまで使用していた製品のカテゴリを製品カテゴリ欄2301に、これまで使用していた製品名およびバージョン番号を製品名欄2302とバージョン番号欄2303に、これまで利用していたポリシーをポリシー名欄2304に表示する。そして、利用する製品を変更したい場合には、製品名リスト欄2305およびバージョン番号リスト欄2306から製品名およびバージョン番号を選択させる。また、利用するポリシーを変更したい場合には、ポリシーリスト欄2307からポリシーを選択させる。
【0054】
次に、実施ポリシーデータ変更処理部2112が、図24に示す画面を表示する(ステップ2202)。この画面では、図23で選択されたポリシーのポリシーデータリストをポリシーデータリスト欄2404に表示する。そのポリシーデータのリストから実施するポリシーデータを選択させ、“追加”ボタン2402を押下させることで、実施ポリシーデータ欄2401に選択されたポリシーデータを表示する。このようにして、実施するポリシーデータを全て選択させる。
【0055】
次に、ポリシーデータ・設定項目変換処理部2113が、ポリシーデータ・設定項目対応DBと、実施するポリシーデータから、ポリシーの実現に関係する設定内容を特定する。そして、特定した設定内容と、選択された製品名およびバージョン番号から、選択した製品においてポリシーの実現に関係する設定項目を特定する(ステップ2203)。
【0056】
次に、ポリシーデータ実現チェック処理部2114が、図24で選択された実施ポリシーデータと、図16の必須欄1631の丸付けから、実施するポリシーデータの中でポリシーを実現するために必須な設定項目を特定する。その必須な設定項目の中で、ステップ2203で特定した設定項目で不足する設定項目を特定する。そして、その設定項目に対応するポリシーデータを特定し、そのポリシーデータを「実現できないポリシーデータ」としてチェックする(ステップ2204)。その結果をもとにして、実現できないポリシーデータがある場合とない場合で処理を分岐する(ステップ2205)。
【0057】
実現できないポリシーデータがある場合には、図25に示す画面を表示する(ステップ2206)。この画面では、実現できないポリシーデータをリスト欄2501に表示する。そして、それらのポリシーデータを実現できないと問題がある場合には“問題あり”ボタン2503を、問題がない場合には“問題なし”ボタン2504を押下させる(ステップ2207)。
【0058】
“問題あり”ボタン押下時には、処理を終了する。
【0059】
一方、“問題なし”ボタン押下時には、設定項目比較処理部2115が、製品および実施ポリシーデータ変更前の設定項目と、上記で特定した設定項目を比較して、共通の設定項目と、変更後に追加された設定項目と、変更後に削除された設定項目、を特定する(ステップ2208)。
【0060】
そして、設定値入力処理部2116が、ステップ2208で特定した追加された設定項目に対して、設定値を追加入力させるための設定値入力画面を表示する(ステップ2209)。例えば、TCPセッションのタイムアウトに関する設定項目が追加された場合には、図26に示す画面を表示するので、タイムアウトの時間を入力させる。この画面では、図16の推奨設定値欄1632に記載の設定値を推奨設定値欄2602に、B社製FW(Ver.4.0)の初期値を初期値欄2603に表示する。なお、ステップ2208で特定した共通の設定項目についてはポリシーおよび製品の変更前に設定した設定値をそのまま利用する。
【0061】
最後に、設定ファイル生成処理部2117が、共通の設定項目に対する設定値と、ステップ2209で追加入力された設定値を、製品に合わせた設定ファイルに変換する(ステップ2210)。
【0062】
一方、実現できないポリシーデータがない場合には、設定項目比較処理部2115が、製品および実施ポリシーデータ変更前の設定項目と、上記で特定した設定項目を比較して、共通の設定項目と、変更後に追加された設定項目と、変更後に削除された設定項目、を特定する(ステップ2208)。
【0063】
そして、設定値入力処理部2116が、ステップ2208で特定した追加された設定項目に対して、設定値を追加入力させるための設定値入力画面を表示する(ステップ2209)。なお、ステップ2208で特定した共通の設定項目についてはポリシーおよび製品の変更前に設定した設定値をそのまま利用する。
【0064】
最後に、設定ファイル生成処理部2117が、共通の設定項目に対する設定値と、ステップ2209で追加入力された設定値を、製品に合わせた設定ファイルに変換する(ステップ2210)。
【0065】
本実施例によれば、以下のような効果がある。
・利用ポリシーおよび利用製品を変更した場合、追加された設定項目についてのみ設定値を入力させることで、設定値を効率的に設定することが可能である。また、この場合に、変更後の製品で、変更後のポリシーデータを実現可能かどうかを容易にチェックすることが可能である。
【0066】
【発明の効果】
以上に述べたように、本発明によれば、ポリシーデータ(個々の対策方針)と設定項目および設定値とを対応付けたDBを効率的に作成・管理することが可能になる。また、実施したいポリシーおよび利用する製品を指定した場合に、指定した製品では実現できないポリシーデータを容易にチェックすることが可能になる。さらに、実施したいポリシーおよび利用する製品を変更した場合に、設定値を効率的に設定することが可能になる。
【図面の簡単な説明】
【図1】ポリシーベースシステム設定支援装置に係るシステムの全体構成である。
【図2】第1実施例に係るポリシーベースシステム設定支援装置の概略構成図である。
【図3】図2に示すポリシーデータ・設定項目対応DB231を説明するための図である。
【図4】図2に示す製品カテゴリDB232を説明するための図である。
【図5】図2に示すポリシーデータ・設定項目対応DB作成プログラム233の動作を説明するためのフローチャート図である。
【図6】ポリシーデータ・設定項目対応DB選択画面を示す図である。
【図7】追加ポリシー入力画面を示す図である。
【図8】ポリシーデータ・設定内容マッピング入力画面を示す図である。
【図9】図8で設定内容追加ボタン押下時に表示する設定内容追加画面を示す図である。
【図10】ポリシーBを追加した後のポリシーデータ・設定項目対応DBを示す図である。
【図11】追加製品情報入力画面を示す図である。
【図12】設定内容・設定項目マッピング入力画面を示す図である。
【図13】図12で設定内容追加ボタン押下時に表示する設定内容追加画面を示す図である。
【図14】B社製FWの設定項目を追加した後のポリシーデータ・設定項目対応DBを示す図である。
【図15】図2に示すポリシーベースシステム設定プログラム234の動作を説明するためのフローチャート図である。
【図16】第1実施例および第2実施例においてポリシーベースシステム設定プログラム動作時に利用するファイアウォールのポリシーデータ・設定項目対応DBを示す図である。
【図17】製品およびポリシー選択画面を示す図である。
【図18】実施ポリシーデータ選択画面を示す図である。
【図19】実現できないポリシーデータのリスト表示画面を示す図である。
【図20】アクセス制御の定義に関する設定値入力画面を示す図である。
【図21】第2実施例に係るポリシーベースシステム設定支援装置の概略構成図である。
【図22】図21に示すポリシーベースシステム設定プログラム2123の動作を説明するためのフローチャート図である。
【図23】製品およびポリシー変更画面を示す図である。
【図24】実施ポリシーデータ変更画面を示す図である。
【図25】実現できないポリシーデータのリスト表示画面を示す図である。
【図26】TCPセッションのタイムアウトに関する設定値入力画面を示す図である。
【符号の説明】
101…ポリシーベースシステム設定支援装置、102…ファイアウォールなどの製品をインストールした機器群、103…ネットワーク、201…メモリ、202…ディスク、203…バス、204…CPU、205…端末入出力制御部、206…ディスプレイ、207…キーボード、208…通信ハードウェア、211…ポリシーデータ・設定項目対応DB選択処理部、212…追加ポリシー入力処理部、213…ポリシーデータ・設定項目マッピングテーブル入力処理部、214…追加製品情報入力処理部、215…設定内容・設定項目マッピングテーブル入力処理部、216…ポリシーデータ・設定項目対応DB保存処理部、217…製品およびポリシー選択処理部、218…実施ポリシーデータ選択処理部、219…ポリシーデータ・設定項目変換処理部、220…ポリシーデータ実現チェック処理部、221…設定値入力処理部、222…設定ファイル生成処理部、231…ポリシーデータ・設定項目対応DB、製品カテゴリDB…232、233…ポリシーデータ・設定項目対応DB作成プログラム、234…ポリシーベースシステム設定プログラム、2111…製品およびポリシー変更処理部、2112…実施ポリシーデータ変更処理部、2115…設定項目比較処理部

Claims (6)

  1. ポリシーデータと設定項目との対応関係を格納したデータベースを用いて、ポリシーに基づき、情報システムを構成する製品の設定を行なうポリシーベースシステム設定支援装置において、
    ポリシー毎のポリシーデータと製品カテゴリ毎に設定項目を共通化した設定内容との対応関係と、前記設定内容と各製品の設定項目との対応関係とを格納したポリシーデータ・設定項目対応データベースと、
    利用ポリシーおよび利用製品が指定された場合に、前記ポリシーデータ・設定項目対応データベースを用いて、ポリシーの実現に関係する設定内容を特定する手段と、
    特定した設定内容と前記ポリシーデータ・設定項目対応データベースを用いて、製品でのポリシーの実現に関係する設定項目を特定する手段と、
    特定した設定項目に設定された設定値から、設定ファイルを生成する手段を備えることを特徴とするポリシーベースシステム設定支援装置。
  2. 請求項1記載のポリシーベースシステム設定支援装置において、
    前記ポリシーデータ・設定項目対応データベースに追加するポリシーのポリシーデータと、製品カテゴリ毎に設定項目を共通化した設定内容との対応関係を設定させる手段と、
    追加するポリシーのポリシーデータに対応する設定内容が存在しない場合、前記設定内容に、指定された設定内容を追加する手段と、
    追加するポリシーのポリシーデータと、前記設定内容との対応関係を、前記ポリシーデータ・設定項目対応データベースに格納する手段を備えることを特徴とするポリシーベースシステム設定支援装置。
  3. 請求項1記載のポリシーベースシステム設定支援装置において、
    前記ポリシーデータ・設定項目対応データベースに追加する製品の設定項目と、製品カテゴリ毎に設定項目を共通化した設定内容との対応関係を設定させる手段と、
    追加する製品の設定項目に対応する設定内容が存在しない場合、前記設定内容に、指定された設定内容を追加する手段と、
    追加する製品の設定項目と、前記設定内容との対応関係を、前記ポリシーデータ・設定項目対応データベースに格納する手段を備えることを特徴とするポリシーベースシステム設定支援装置。
  4. 請求項1記載のポリシーベースシステム設定支援装置において、
    前記ポリシーデータ・設定項目対応データベースに、ポリシーの実現に必須な設定内容かどうかを明示する欄を追加することで、ポリシーを実現するために必要な設定内容を容易に特定可能なポリシーデータ・設定項目対応データベースと、
    ポリシーの実現に関係する設定内容が、前記ポリシーデータ・設定項目対応データベース上に存在するかどうかをチェックし、設定内容が存在しないポリシーデータを特定する手段と、
    前記ポリシーデータ・設定項目対応データベースを用いて、指定された利用ポリシーから、ポリシーの実現に必須な設定内容を特定する手段と、
    前記ポリシーデータ・設定項目対応データベースを用いて、特定した必須の設定内容に対応する設定項目が、指定された製品に存在するかどうかをチェックし、設定項目が存在しない設定内容に対応するポリシーデータを特定する手段と、
    設定内容が存在しないポリシーデータと、設定項目が存在しない設定内容に対応するポリシーデータを、操作者に通知する手段を備えることを特徴とするポリシーベースシステム設定支援装置。
  5. 請求項4記載のポリシーベースシステム設定支援装置において、
    利用ポリシーおよび利用製品が変更された場合に、前記ポリシーデータ・設定項目対応データベースを用いて、ポリシーの実現に関係する設定内容を特定する手段と、
    特定した設定内容と前記ポリシーデータ・設定項目対応データベースを用いて、変更後の製品でのポリシーの実現に関係する設定項目を特定する手段と、
    前記ポリシーデータ・設定項目対応データベースを用いて、利用ポリシーおよび利用製品の変更前後における設定項目を比較して、共通の設定項目と、変更後に追加された設定項目と、変更後に削除された設定項目を特定する手段と、
    共通の設定項目に対して、利用ポリシーおよび利用製品の変更前に設定した設定値を、変更後の設定項目に対する設定値として利用する手段と、
    共通の設定項目に対する設定値、および、追加された設定項目に設定された設定値から、設定ファイルを生成する手段を備えることを特徴とするポリシーベースシステム設定支援装置。
  6. 請求項1記載のポリシーベースシステム設定支援装置において、
    前記ポリシーベースシステム設定支援装置を、前記ポリシーベースシステム設定支援装置とネットワークで接続された1つ以上の操作端末から利用する手段を備えることを特徴とするポリシーベースシステム設定支援装置。
JP2003074795A 2003-03-19 2003-03-19 ポリシーベースシステム設定支援装置 Expired - Fee Related JP4052156B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003074795A JP4052156B2 (ja) 2003-03-19 2003-03-19 ポリシーベースシステム設定支援装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003074795A JP4052156B2 (ja) 2003-03-19 2003-03-19 ポリシーベースシステム設定支援装置

Publications (2)

Publication Number Publication Date
JP2004282662A JP2004282662A (ja) 2004-10-07
JP4052156B2 true JP4052156B2 (ja) 2008-02-27

Family

ID=33290284

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003074795A Expired - Fee Related JP4052156B2 (ja) 2003-03-19 2003-03-19 ポリシーベースシステム設定支援装置

Country Status (1)

Country Link
JP (1) JP4052156B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7970746B2 (en) * 2006-06-13 2011-06-28 Microsoft Corporation Declarative management framework
JP5125069B2 (ja) * 2006-11-16 2013-01-23 日本電気株式会社 セキュリティリスク管理システム、セキュリティリスク管理方法およびセキュリティリスク管理用プログラム
JP5243474B2 (ja) * 2010-03-19 2013-07-24 株式会社日立ソリューションズ インフラミドルウェアのパラメータ値改善点提示システム
KR102370301B1 (ko) * 2020-05-12 2022-03-04 주식회사 다산네트웍스 초기화 파일 생성 장치

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3195226B2 (ja) * 1996-03-14 2001-08-06 株式会社東芝 業務支援システム
JP3744361B2 (ja) * 2001-02-16 2006-02-08 株式会社日立製作所 セキュリティ管理システム
JP2002352062A (ja) * 2001-05-24 2002-12-06 Hitachi Ltd セキュリティ評価装置

Also Published As

Publication number Publication date
JP2004282662A (ja) 2004-10-07

Similar Documents

Publication Publication Date Title
US7496910B2 (en) System for policy-based management of software updates
US9535967B2 (en) Method and system for providing efficient and complex database functionality to a mobile device
US9461972B1 (en) Intelligently designed user interface based on user behavior
CN101729551B (zh) 控制受信网络节点的访问权限的方法和系统
US10645122B2 (en) System for monitoring and managing firewall devices and firewall management platforms
JP3744361B2 (ja) セキュリティ管理システム
US6314428B1 (en) Method and apparatus for application management in computer networks
US20140344247A1 (en) System and method for identifying applicable third-party applications to associate with a file
US8271387B2 (en) Method and apparatus for providing limited access to data objects or files within an electronic software delivery and management system
US9442618B2 (en) Mobile device interface generator
US8707253B2 (en) Method and computer program product for creating a questionnaire interface program
US20170054757A1 (en) Object-relation user interface for viewing security configurations of network security devices
US7774855B2 (en) Integrity monitoring system and data visualization tool for viewing data generated thereby
US20090248596A1 (en) Configuration information management apparatus, configuration information management program, and configuration information management method
US8589306B1 (en) Open source license management
US8943397B2 (en) Configurable column display of information at a web client
JP4052156B2 (ja) ポリシーベースシステム設定支援装置
US11120155B2 (en) Extensibility tools for defining custom restriction rules in access control
JP2005004549A (ja) ポリシーサーバ、そのポリシー設定方法、アクセス制御方法、プログラム
US10282527B2 (en) Information processing apparatus, information processing method, program, storage medium, and password entry apparatus
US20080195544A1 (en) System and method for generating an authorization role associated with a set of access rights and assigning the authorization role to a class of one or more computer users for accessing secured resources
KR20220144646A (ko) 전자결재 시스템과 이를 이용한 전자결재 방법
JP5668492B2 (ja) データ処理装置、コンピュータプログラム及びデータ処理方法
JP2015132952A (ja) 保全情報管理システム
JP4051977B2 (ja) 二重サーバシステムおよび情報提供サーバ並びにこれに用いるプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060104

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20060420

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20071109

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20071113

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20071126

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101214

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101214

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101214

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111214

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111214

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121214

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131214

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees