JP5064912B2 - 管理装置及びネットワークシステム及びプログラム及び管理方法 - Google Patents
管理装置及びネットワークシステム及びプログラム及び管理方法 Download PDFInfo
- Publication number
- JP5064912B2 JP5064912B2 JP2007176406A JP2007176406A JP5064912B2 JP 5064912 B2 JP5064912 B2 JP 5064912B2 JP 2007176406 A JP2007176406 A JP 2007176406A JP 2007176406 A JP2007176406 A JP 2007176406A JP 5064912 B2 JP5064912 B2 JP 5064912B2
- Authority
- JP
- Japan
- Prior art keywords
- policy
- information
- storage unit
- management target
- condition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
Description
そのため、セキュリティ設定の基準を定めたセキュリティポリシーを設け、管理対象である機器などが、セキュリティポリシーに適合しているかチェックしたり、セキュリティポリシーに違反している場合に、自動的に所定のプログラムを実行して、セキュリティ設定を変更したり、変更を促したりする管理装置がある。
セキュリティポリシーを記述した情報のなかに、機器を特定する識別情報を含ませることにより、機器ごとに異なるセキュリティポリシーを適用することもできる。
この発明は、例えば、上記のような課題を解決するためになされたものであり、組織改編・人事異動・ネットワーク構成の変更などにより、管理対象に適用すべきセキュリティポリシーが変化した場合であっても、正しく管理対象に適用すべきセキュリティポリシーを判別し、管理対象がセキュリティポリシーに適合しているかチェックしたり、管理対象がセキュリティポリシーに違反している場合に、対策を取ったりできるようにすることを目的とする。
情報を記憶する記憶装置と、情報を処理する処理装置とを有し、管理対象がセキュリティポリシーを満たすよう管理する管理装置において、
セキュリティポリシー記憶部と、属性記憶部と、抽出条件記憶部と、実行アクション記憶部と、管理対象抽出部と、状態取得部と、ポリシー違反抽出部と、アクション実行部とを有し、
上記セキュリティポリシー記憶部は、上記記憶装置を用いて、上記管理対象が満たすべき条件を記述したセキュリティ条件情報を記憶し、
上記属性記憶部は、上記記憶装置を用いて、上記管理対象の属性を記述した管理対象属性情報を記憶し、
上記抽出条件記憶部は、上記記憶装置を用いて、上記セキュリティ条件情報に記述された条件を満たすべき管理対象を抽出する条件を記述した管理対象抽出条件情報を記憶し、
上記実行アクション記憶部は、上記記憶装置を用いて、上記セキュリティ条件情報に記述された条件を上記管理対象が満たしていない場合に実行すべきアクションを記述した実行アクション情報を記憶し、
上記管理対象抽出部は、上記処理装置を用いて、上記属性記憶部が記憶した管理対象属性情報に基づいて、上記抽出条件記憶部が記憶した管理対象抽出条件情報に記述された条件を満たす管理対象を抽出し、
上記状態取得部は、上記処理装置を用いて、上記管理対象抽出部が抽出した管理対象について、上記管理対象の状態を取得し、
上記ポリシー違反抽出部は、上記処理装置を用いて、上記状態取得部が取得した状態に基づいて、上記セキュリティポリシー記憶部が記憶したセキュリティ条件情報に記述された条件を満たしていない管理対象を抽出し、
上記アクション実行部は、上記処理装置を用いて、上記ポリシー違反抽出部が抽出した管理対象について、上記実行アクション記憶部が記憶した実行アクション情報に記述されたアクションを実行することを特徴とする。
実施の形態1について、図1〜図16を用いて説明する。
ネットワーク300は、例えば、LAN(Local Area Network)などであり、セキュリティ運用管理システム10とクライアント装置200a〜200cとの間やクライアント装置200a〜200c同士の間を接続し、互いに通信可能にする。
クライアント装置200a〜200cは、例えば、パーソナルコンピュータやサーバ装置など、ネットワーク300に接続された情報端末装置である。
セキュリティ運用管理システム100は、ポリシーデータベース記憶部120、対象グループデータベース記憶部130、対象情報データベース記憶部140などを有する。
ポリシーデータベース記憶部120は、ポリシーを管理する。ポリシーデータベース記憶部120は、セキュリティ運用管理システム100の管理対象であるクライアント装置200a〜200cに適用するセキュリティポリシーや、ポリシー違反があった場合の対処方法などの情報をデータベースとして記憶している。
対象グループデータベース記憶部130は、セキュリティチェック対象のグループ情報を管理する。対象グループデータベース記憶部130は、セキュリティ運用管理システム100の管理対象であるクライアント装置200a〜200cのうち、同一のセキュリティポリシーを適用する対象をグループ化するための情報をデータベースとして記憶している。
対象情報データベース記憶部140は、実際にセキュリティチェックの対象である各クライアント装置200a〜200cに関する情報を管理する。対象情報データベース記憶部140は、セキュリティ運用管理システム100の管理対象であるクライアント装置200a〜200cの属性など管理対象についての情報をデータベースとして記憶している。
セキュリティ運用管理システム100及びクライアント装置200a〜200cは、システムユニット910、CRT(Cathode・Ray・Tube)やLCD(液晶)の表示画面を有する表示装置901、キーボード902(Key・Board:K/B)、マウス903、FDD904(Flexible・Disk・Drive)、コンパクトディスク装置905(CDD)、プリンタ装置906、スキャナ装置907などのハードウェア資源を備え、これらはケーブルや信号線で接続されている。
システムユニット910は、コンピュータであり、ファクシミリ機932、電話器931とケーブルで接続され、また、ローカルエリアネットワーク942(LAN)、ゲートウェイ941を介してインターネット940に接続されている。
図3において、セキュリティ運用管理システム100及びクライアント装置200a〜200cは、プログラムを実行するCPU911(Central・Processing・Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU911は、バス912を介してROM913、RAM914、通信装置915、表示装置901、キーボード902、マウス903、FDD904、CDD905、プリンタ装置906、スキャナ装置907、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置920の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部の一例である。
通信装置915、キーボード902、スキャナ装置907、FDD904などは、入力部、入力装置の一例である。
また、通信装置915、表示装置901、プリンタ装置906などは、出力部、出力装置の一例である。
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
ファイル群924には、以下に述べる実施の形態の説明において、「〜の判定結果」、「〜の計算結果」、「〜の処理結果」として説明する情報やデータや信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」の各項目として記憶されている。「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリになどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
また、以下に述べる実施の形態の説明において説明するフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD(Digital・Versatile・Disc)等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
ポリシー記憶部121は、磁気ディスク装置920などの記憶装置を用いて、ポリシー情報を記憶する。ポリシー情報とは、管理対象であるクライアント装置200a〜200cに適用するセキュリティポリシーを記述した情報である。
実行アクション記憶部122は、磁気ディスク装置920などの記憶装置を用いて、アクション情報を記憶する。アクション情報とは、管理対象であるクライアント装置200a〜200cが適用されるセキュリティーポリシーに違反している場合、クライアント装置200a〜200cにセキュリティーポリシーを遵守させるために実行するアクションを記述した情報である。アクションには、例えば、強制的に設定を変更するプログラムの実行や、対象の管理者に対する通知メールの送信などがある。
抽出条件記憶部133は、磁気ディスク装置920などの記憶装置を用いて、抽出条件情報を記憶する。抽出条件情報とは、セキュリティポリシーを適用すべき対象を抽出するための条件を記述した情報である。
条件対応記憶部132は、磁気ディスク装置920などの記憶装置を用いて、条件対応情報を記憶する。条件対応情報とは、ポリシー記憶部121が記憶したポリシー情報と、抽出条件記憶部133が記憶した抽出条件情報との対応づけを記述した情報である。すなわち、条件対応情報は、ポリシー情報に記述されたセキュリティポリシーと、抽出条件情報に記述されたセキュリティーポリシーを適用すべき対象を抽出する条件とを関係づける情報である。
属性記憶部141は、磁気ディスク装置920などの記憶装置を用いて、管理対象属性情報を記憶する。管理対象属性情報とは、管理対象であるクライアント装置200a〜200cの属性を記述した情報である。属性とは、例えば、資産番号、IP(Internet Protocol)アドレス、設置場所、管理者名などのデータである。これらのデータは、ネットワーク構成の変更や人事異動、組織改編などがない限り変わらないものである。管理対象属性情報は、属性記憶部141が静的に管理する。属性に変更があった場合、管理責任者などがキーボード902などの入力装置を操作して、管理対象属性情報を変更する指示を入力し、属性記憶部141は、入力した指示にしたがって、管理対象属性情報の追加、変更、削除などをする。なお、セキュリティ運用管理システム100やクライアント装置200a〜200c自身がIPアドレスを自動的に検出するなどして、属性の変更を検出し、属性記憶部141が記憶した管理対象属性情報を自動的に更新するよう構成してもよい。
抽出条件取得部112は、CPU911などの処理装置を用いて、抽出条件記憶部133が記憶した抽出条件情報から、ポリシー取得部111が取得したポリシー情報に対応する抽出条件情報を取得する。
管理対象抽出部113は、CPU911などの処理装置を用いて、属性記憶部141が記憶した属性情報に基づいて、抽出条件取得部112が取得した抽出条件情報に記述された条件を満たす管理対象を抽出する。
管理対象の状態とは、例えば、動作OS、ウィルス対策ソフトやウィルスパターンファイルのバーション、インストールされているソフトウェア、ログインパスワードの長さや最終変更日時、ファイアウォールの設定などである。これらは、短期間で変化する可能性が高く、セキュリティに直結する項目を含む。
アクション実行部117は、CPU911などの処理装置を用いて、ポリシー違反抽出部115が抽出した管理対象について、アクション取得部116が取得したアクション情報に記述されたアクションを実行する。
グループID511(対象グループID)は、グループを一意に識別する識別データである。
グループ名称512(対象グループ名称)は、グループの名称を記述したデータである。
抽出条件513は、グループに属する管理対象を抽出するための条件を記述したデータである。
抽出条件記憶部133は、通常、複数の抽出条件情報510を記憶している。抽出条件記憶部133は、例えば、データベースのレコードとして抽出条件情報510を管理し、複数の抽出条件情報510からなるテーブル(対象グループテーブル)を記憶する。
対応ID521は、条件対応情報520を一意に識別する識別データであり、なくてもよい。
ポリシーID522は、その条件対応情報520により抽出条件情報510に対応づけられるポリシー定義情報530を示すデータである。ポリシーID522は、その条件対応情報520により抽出条件情報510に対応づけられるポリシー定義情報530のポリシーID531と等しい。
グループID523は、その条件対応情報520によりポリシー定義情報530に対応づけられる抽出条件情報510を示すデータである。グループID523は、その条件対応情報520によりポリシー定義情報530に対応づけられる抽出条件情報510のグループID511と等しい。
ポリシー定義情報530(ポリシーテーブル)は、ある管理対象に適用するポリシー(セキュリティポリシー群)を定義する情報である。ポリシー定義情報530は、ポリシーID531、ポリシー名称532、ステータス533を含む。
ポリシーID531は、ポリシーを一意に識別する識別データである。
ポリシー名称532は、ポリシーの名称を記述したデータである。
ステータス533は、ポリシーの状態を表わすデータである。ポリシーの状態とは、例えば、そのポリシーが公開中であるか、編集中であるかなどの状態のことである。
設定ID541(設定ポリシーID)は、設定ポリシーを一意に識別する識別データである。
ポリシーID542は、その設定ポリシー情報540に対応づけられたポリシー定義情報530を示すデータである。ポリシーID542は、その設定ポリシー情報540に対応づけられたポリシー定義情報530のポリシーID531と等しい。
設定名称543(設定ポリシー名称)は、その設定ポリシー情報540の名称を記述したデータである。
セキュリティ条件544(セキュリティ設定要件)は、その設定ポリシー情報540が規定する管理対象の「あるべき」状態を記述したデータである。
実行アクション情報550(対策アクションテーブル)は、ポリシー違反の場合に実行するアクションを記述した情報である。実行アクション情報550は、セキュリティチェック時に設定ポリシー情報540で規定される条件に違反する場合に実行させるプログラムに関する情報である。実行アクション情報550は、アクションID551、設定ID552、プログラムID553、パラメータ554を含む。
アクションID551は、アクションを一意に識別する識別データである。
設定ID552は、その実行アクション情報550に対応づけられた設定ポリシー情報540を示すデータである。設定ID552は、その実行アクション情報550が記述したアクションを実行する対象の設定ポリシー情報540を示す。設定ID552は、その実行アクション情報550に対応づけられた設定ポリシー情報540の設定ID541と等しい。
プログラムID553は、その実行アクション情報550に対応づけられたアクション定義情報560を示すデータである。プログラムID553は、その実行アクション情報550に対応づけられたアクション定義情報560のプログラムID561と等しい。
パラメータ554は、その実行アクション情報550に対応づけられたアクション定義情報560が定義するプログラムに渡すパラメータを記述したデータである。
プログラムID561は、プログラムを一意に識別する識別データである。
アクション名称562は、アクションの名称を記述したデータである。
プログラム呼出し名563は、そのアクションを実行するにあたり、実行するプログラムを呼ぶためのデータである。プログラム呼出し名563は、例えば、実行するプログラムのパス名やメソッド名を記述したデータである。
属性定義情報570(対象情報項目定義テーブル)は、属性(対象情報として管理する項目)を定義する情報である。属性定義情報570は、属性ID571、属性タイプ572、対象種別573、属性名称574を含む。
属性ID571は、属性を一意に識別する識別データである。
属性タイプ572は、その属性定義情報570が定義する属性のタイプを記述したデータである。属性のタイプとは、例えば、数値、文字列、日付、IPアドレスなど、その属性が取り得る値の範囲を示すものである。
対象種別573は、その属性定義情報570が定義する属性を有する管理対象の種別を記述したデータである。
属性名称574は、その属性定義情報570が定義する属性の名称を記述したデータである。
項目ID581は、項目を一意に識別する識別データであり、なくてもよい。
対象ID582は、その属性情報580が記述した属性を有する対象を示すデータである。対象には、あらかじめ管理対象を一意に識別するため、対象IDが付されている。対象ID582は、その属性情報580が記述した属性を有する対象の対象IDと等しい。
属性値584は、その属性情報580が記述した属性の値を表わすデータである。
この図において、ポリシー定義情報530は表形式で表わされている。横の行は、1つのポリシー定義情報530を表わす。縦の列は、それぞれのポリシー定義情報530の各項目(ポリシーID531、ポリシー名称532、ステータス533)を表わす。ポリシー記憶部121が、ポリシー定義情報530をデータベース形式で記憶している場合、横の行がデータベースのレコードに相当し、縦の列がデータベースのフィールドに相当する。
ポリシー名称532は、例えば、「全社ポリシー」「人事部用ポリシー」「総務部用ポリシー」「開発部用ポリシー」「管理職用ポリシー」などの可変長文字列データである。ポリシー名称532は、ポリシー管理者がそのポリシーの適用対象や内容などを識別し理解しやすくするために付けたものであり、例えば、ポリシー管理者がポリシーを登録・編集するとき、ポリシー管理者がキーボード902などの入力装置を操作して入力し、ポリシー管理者がポリシーを閲覧・編集するとき、CRTなどの表示装置901が表示する。
ステータス533は、例えば、「公開」「編集」などのデータである。ステータス533は、ポリシーの運用状況などの状態を表わす。
図6と同様、この図において、設定ポリシー情報540は表形式で表わされている。横の行が1つの設定ポリシー情報540を表わし、縦の列がそれぞれのポリシー定義情報530の各項目(設定ID541、ポリシーID542、設定名称543、セキュリティ条件544)を表わす。
図6及び図7と同様、この図において、実行アクション情報550は表形式で表わされ、横の行が1つの実行アクション情報550を表わし、縦の列が各項目(アクションID551、設定ID552、プログラムID553、名称555、値556)を表わす。
名称555は、例えば、「From」「To」などの可変長文字列データであり、プログラムID553が示すプログラムに渡すパラメータの名称である。
値556は、例えば、「admin@XXX」「user@XXX」などの可変長文字列データであり、プログラムID553が示すプログラムに渡すパラメータの値である。
図6乃至図8と同様、この図において、アクション定義情報560は表形式で表わされ、横の行が1つのアクション定義情報560を、縦の列が各項目(プログラムID561、アクション名称562、プログラム呼出し名563)を表わす。
アクション名称562は、例えば、「何もしない」「メール送付」などの可変長文字列データである。アクション名称562は、ポリシー管理者がそのプログラムの機能などを識別し理解しやすくするために付けたものであり、ポリシー管理者がプログラムを登録・変更するとき、ポリシー管理者がキーボード902などの入力装置を操作して入力し、ポリシー管理者がアクションを登録・編集するとき、CRTなどの表示装置901が表示する。
プログラム呼出し名563は、例えば、「actionNoAction」「actionSendMail」などの可変長文字列データである。プログラム呼出し名563は、実行するプログラムのパス名やメソッド名などプログラムの実体を示し、プログラムを呼び出す際に必要となるデータである。
アクション定義情報560が定義するアクションを追加することにより、あとからアクションの種類を増やすことも可能である。
図6乃至図9と同様、この図において、抽出条件情報510は表形式で表わされ、横の行が1つの抽出条件情報510を、縦の列が各項目(グループID511、グループ名称512、抽出条件513)を表わす。
図6乃至図10と同様、この図において、条件対応情報520は表形式で表わされ、横の行が1つの条件対応情報520を、縦の列が各項目(対応ID521、ポリシーID522、グループID523)を表わす。
図6乃至図11と同様、この図において、属性情報580は表形式で表わされ、横の行が1つの属性情報580を、縦の列が各項目(項目ID581、対象ID582、属性ID583、属性値584)を表わす。
図6乃至図12と同様、この図において、属性定義情報570は表形式で表わされ、横の行が1つの属性定義情報570を、縦の列が各項目(属性ID571、属性タイプ572、対象種別573、属性名称574)を表わす。
属性タイプ572は、例えば、以下のように利用される。システム管理者が属性を登録・編集するとき、セキュリティ運用管理システム100は、属性タイプ572に基づいて、入力した属性値がその属性の属性値として適切な値であるか否かを判定し、適切でない場合には再入力を要求する。
対象種別573は、例えば、以下のように利用される。システム管理者が属性を登録・編集するとき、セキュリティ運用管理システム100は、対象種別573に基づいて、その管理対象に設定可能な属性の一覧を生成し、生成した一覧をCRTなどの表示装置901が表示して、システム管理者に設定する属性を選択させる。
セキュリティチェック処理は、例えば、定期的に(例えば1日1回)繰返し実行する。これにより、ポリシー違反を早期に発見し、対処することができる。なお、ネットワーク300の負荷などを軽減するため、繰返しの周期を長くしてもよいし、安全性を向上するため、繰返しの周期を短くしてもよい。また、ポリシー管理者がキーボード902などの入力装置を操作することにより、セキュリティ運用管理システム100にセキュリティチェック処理を実行させてもよいし、セキュリティ運用管理システム100がタイマーを内蔵し、前回の実行から所定の時間が経過した場合に、自動的にセキュリティチェック処理を実行してもよい。
第一ループL1は、ポリシー取得工程S11、ポリシーリスト取得工程S12、抽出条件取得工程S13、対象リスト取得工程S14、第二ループL2の各処理を繰り返す処理である。
まず、ポリシー取得部111は、CPU911などの処理装置を用いて、ポリシー取得工程S11で取得したポリシー定義情報530から、ポリシーID531を取得する。
次に、ポリシー取得部111は、CPU911などの処理装置を用いて、ポリシー記憶部121に対してポリシーリストの生成を要求するポリシーリスト生成要求データを生成する。ポリシーリスト生成要求データは、例えば、SQL文のような形式で記述されたデータであり、ポリシー記憶部121が記憶した設定ポリシー情報540のなかから、ポリシーID542が、取得したポリシーID531と等しい設定ポリシー情報540を抽出し、抽出した設定ポリシー情報540に含まれる設定ID541を列挙したポリシーリストを生成して、ポリシー取得部111に送付することを要求するものである。
ポリシー取得部111は、CPU911などの処理装置を用いて、生成したポリシーリスト生成要求データを、ポリシー記憶部121に対して送付する。
ポリシー記憶部121は、CPU911などの処理装置を用いて、ポリシー取得部111が送付したポリシーリスト生成要求データを取得する。
ポリシー記憶部121は、CPU911などの処理装置を用いて、取得したポリシーリスト生成要求データを解析し、解析結果に基づいて、ポリシー取得部111から要求された処理を行う。すなわち、ポリシー記憶部121は、磁気ディスク装置920などの記憶装置を用いて記憶した設定ポリシー情報540のなかから、CPU911などの処理装置を用いて、ポリシーID542がポリシーID531と等しい設定ポリシー情報540を抽出する。ポリシー記憶部121は、CPU911などの処理装置を用いて、抽出した設定ポリシー情報540から設定ID541を取得し、取得した設定ID541を列挙してポリシーリストを生成する。ポリシー記憶部121は、CPU911などの処理装置を用いて、生成したポリシーリストを、ポリシー取得部111に対して送付する。
ポリシー取得部111は、CPU911などの処理装置を用いて、ポリシー取得部111が送付したポリシーリストを取得する。
例えば、抽出条件取得部112は、CPU911などの処理装置を用いて、条件対応記憶部132に対して条件対応情報520の検索を要求する条件対応情報検索要求データを生成する。条件対応情報検索要求データは、例えば、SQL文のような形式で記述されたデータであり、条件対応記憶部132が記憶した条件対応情報520のなかから、ポリシーID522が、ポリシーID取得工程S31で取得したポリシーID531と等しい条件対応情報520を抽出し、抽出した条件対応情報520のグループID523(のリスト)を抽出条件取得部112に送付することを要求するものである。
抽出条件取得部112は、CPU911などの処理装置を用いて、生成した条件対応情報検索要求データを、条件対応記憶部132に対して送付する。条件対応記憶部132は、CPU911などの処理装置を用いて、抽出条件取得部112が送付した条件対応情報検索要求データを取得する。
条件対応記憶部132は、CPU911などの処理装置を用いて、取得した条件対応情報検索要求データを解析し、解析結果に基づいて、要求された処理を行う。すなわち、条件対応記憶部132は、磁気ディスク装置920などの記憶装置を用いて記憶した条件対応情報520のなかから、CPU911などの処理装置を用いて、ポリシーID522がポリシーID531と等しい条件対応情報520を抽出する。
例えば、条件対応記憶部132は、CPU911などの処理装置を用いて、条件対応情報検索工程S32で抽出した条件対応情報520からグループID523を取得する。
条件対応記憶部132は、CPU911などの処理装置を用いて、取得したグループID523(のリスト)を、抽出条件取得部112に対して送付する。抽出条件取得部112は、CPU911などの処理装置を用いて、条件対応記憶部132が送付したグループID523を取得する。
これにより、ポリシーID取得工程S31で取得したポリシーID531に割り当てられているグループID523が得られる。
例えば、抽出条件取得部112は、CPU911などの処理装置を用いて、抽出条件記憶部133に対して抽出条件情報510の検索を要求する抽出条件情報検索要求データを生成する。抽出条件情報検索要求データは、例えば、SQL文のような形式で記述されたデータであり、抽出条件記憶部133が記憶した抽出条件情報510のなかから、グループID511が、グループID取得工程S33で取得したグループID523と等しい抽出条件情報510を抽出し、抽出した抽出条件情報510の抽出条件513(のリスト)を抽出条件取得部112に送付することを要求するものである。
抽出条件取得部112は、CPU911などの処理装置を用いて、生成した抽出条件情報検索要求データを、抽出条件記憶部133に対して送付する。抽出条件記憶部133は、CPU911などの処理装置を用いて、抽出条件取得部112が送付した抽出条件情報検索要求データを取得する。
抽出条件記憶部133は、CPU911などの処理装置を用いて、取得した抽出条件情報検索要求データを解析し、解析結果に基づいて、要求された処理を行う。すなわち、抽出条件記憶部133は、磁気ディスク装置920などの記憶装置を用いて記憶した抽出条件情報510のなかから、グループID511がグループID523と等しい抽出条件情報510を抽出する。
例えば、抽出条件記憶部133は、CPU911などの処理装置を用いて、抽出条件情報検索工程S34で抽出した抽出条件情報510から抽出条件513を取得する。
抽出条件記憶部133は、CPU911などの処理装置を用いて、取得した抽出条件513(のリスト)を、抽出条件取得部112に対して送付する。抽出条件取得部112は、CPU911などの処理装置を用いて、抽出条件記憶部133が送付した抽出条件513を取得する。
これにより、ポリシーID取得工程S31で取得したポリシーID531に割り当てられている抽出条件513が得られる。
管理対象抽出部113は、CPU911などの処理装置を用いて、生成したSQL文を、属性記憶部141に対して送付する。
例えば、属性記憶部141は、CPU911などの処理装置を用いて、SQL生成工程S41で管理対象抽出部113が送付したSQL文を取得する。属性記憶部141は、CPU911などの処理装置を用いて、取得したSQL文を解析し、解析結果に基づいて、要求された処理を行う。すなわち、属性記憶部141は、磁気ディスク装置920などの記憶装置を用いて記憶した属性情報580のなかから、CPU911などの処理装置を用いて、抽出条件513を満たす属性情報580を抽出する。
属性記憶部141は、CPU911などの処理装置を用いて、生成した対象リストを、管理対象抽出部113に対して送付する。
これにより、抽出条件513に基づいてチェック対象となる管理対象のリストが得られる。
第二ループL2は、対象選択工程S15、第三ループL3の各処理を繰り返す処理である。
第三ループL3は、設定ポリシー取得工程S16、状態取得工程S17、ポリシー違反判定工程S18、アクション取得工程S19、アクション実行工程S20の各処理を繰り返す処理である。
ポリシー取得部111は、CPU911などの処理装置を用いて、ポリシー記憶部121が記憶した設定ポリシー情報540のなかから、設定ID541が、取得した設定ID541と等しい設定ポリシー情報540を取得する。
例えば、状態取得部114は、CPU911などの処理装置を用いて、設定ポリシー取得工程S16でポリシー取得部111が取得した設定ポリシー情報540から、セキュリティ条件544を取得する。
状態取得部114は、CPU911などの処理装置を用いて、取得したセキュリティ条件544が記述した条件を管理対象が満たしているか否かを判定するために知る必要がある状態の種別(セキュリティ設定項目)を判別する。
状態取得部114は、CPU911などの処理装置を用いて、対象選択工程S15で管理対象抽出部113が取得した対象ID582により識別される管理対象(以下、「選択管理対象」という。)に対して、判別した種別の状態についての値(セキュリティ設定の内容)を送信することを要求する状態送信要求データを生成する。
状態取得部114は、CPU911などの処理装置を用いて、クライアント装置200a〜200cのうち選択管理対象であるクライアント装置に対して、ネットワーク300を介して、生成した状態送信要求データを送信する。
選択管理対象であるクライアント装置は、CPU911などの処理装置を用いて、セキュリティ運用管理システム100(の状態取得部114)が送信した状態送信要求データを受信する。
選択管理対象であるクライアント装置は、CPU911などの処理装置を用いて、受信した状態送信要求データを解析し、解析結果に基づいて、セキュリティ運用管理システム100に対して送信すべき状態の種別を判別する。
選択管理対象であるクライアント装置は、CPU911などの処理装置を用いて、判別した状態の種別についての値を取得する。
選択管理対象であるクライアント装置は、CPU911などの処理装置を用いて、取得した値を、セキュリティ運用管理システム100に対して送信する。
状態取得部114は、CPU911などの処理装置を用いて、選択管理対象であるクライアント装置が送信した状態の値を受信する。
あるいは、クライアント装置は、CPU911などの処理装置を用いて、あらかじめ取得しておいた状態の値を、あらかじめセキュリティ運用管理システム100に対して送信し、セキュリティ運用管理システム100が受信して、磁気ディスク装置920などの記憶装置を用いて記憶し、状態取得部114は、クライアント装置と通信することなく、あらかじめ記憶しておいた状態の値を取得することとしてもよい。あらかじめ収集した状態の値は、対象情報データベース記憶部140が記憶してもよい。また、他の資産管理ツールなどがあらかじめ収集した情報を記憶しておき、状態取得部114が取得してもよい。
例えば、ポリシー違反抽出部115は、CPU911などの処理装置を用いて、設定ポリシー取得工程S16でポリシー取得部111が取得した設定ポリシー情報540から、セキュリティ条件544を取得する。
ポリシー違反抽出部115は、CPU911などの処理装置を用いて、状態取得工程S17で状態取得部114が取得した状態の値に基づいて、取得したセキュリティ条件544に記述された条件を、選択管理対象が満たしているか否かを判定する。
取得したセキュリティ条件544に記述された条件を選択管理対象が満たしていないと判定した場合、ポリシー違反として、アクション取得工程S19及びアクション実行工程S20へ進み、アクションを実行する。
取得したセキュリティ条件544に記述された条件を選択管理対象が満たしていると判定した場合、ポリシー適合として、アクション取得工程S19及びアクション実行工程S20を飛ばし、アクションを実行せずに次の処理(第三ループL3の繰返し処理)へ進む。
例えば、アクション取得部116は、CPU911などの処理装置を用いて、設定ポリシー取得工程S16でポリシー取得部111が取得した設定ポリシー情報540から、設定ID541を取得する。
アクション取得部116は、CPU911などの処理装置を用いて、実行アクション記憶部122に対して実行アクション情報550の検索を要求するアクション検索要求データを生成する。アクション検索要求データは、例えば、SQL文のような形式で記述されたデータであり、実行アクション記憶部122が記憶した実行アクション情報550のなかから、設定ID552が、取得した設定ID541と等しい実行アクション情報550を抽出し、アクション取得部116に送付することを要求するものである。
アクション取得部116は、CPU911などの処理装置を用いて、生成したアクション検索要求データを、実行アクション記憶部122に対して送付する。実行アクション記憶部122は、CPU911などの処理装置を用いて、アクション取得部116が送付したアクション検索要求データを取得する。
実行アクション記憶部122は、CPU911などの処理装置を用いて、取得したアクション検索要求データを解析し、解析結果に基づいて、要求された処理を行う。すなわち、実行アクション記憶部122は、磁気ディスク装置920などの記憶装置を用いて記憶した実行アクション情報550のなかから、設定ID552が設定ID541と等しい実行アクション情報550を抽出する。
実行アクション記憶部122は、CPU911などの処理装置を用いて、抽出した実行アクション情報550を、アクション取得部116に対して送付する。アクション取得部116は、CPU911などの処理装置を用いて、実行アクション記憶部122が送付した実行アクション情報550を取得する。
例えば、アクション実行部117は、CPU911などの処理装置を用いて、アクション取得工程S19でアクション取得部116が取得した実行アクション情報550から、プログラムID553とパラメータ554とを取得する。
アクション実行部117は、CPU911などの処理装置を用いて、実行アクション記憶部122が記憶したアクション定義情報560のなかから、プログラムID561が、取得したプログラムID553と等しいアクション定義情報560に含まれるプログラム呼出し名563を取得する。
アクション実行部117は、CPU911などの処理装置を用いて、取得したプログラム呼出し名563に基づいてプログラムを呼び出し、取得したパラメータ554に基づいて、呼び出したプログラムにパラメータを渡して、実行する。
なお、アクション実行部117が実行するプログラムは、ポリシー違反の選択管理対象の管理者に対してメールを送信する場合のように、セキュリティ運用管理システム100が実行するものであってもよいし、ポリシー違反の選択管理対象であるクライアント装置が所定のプログラムをインストールする場合のように、クライアント装置に実行させるものであってもよい。
情報を記憶する磁気ディスク装置920などの記憶装置と、情報を処理するCPU911などの処理装置とを有し、管理対象(クライアント装置200a〜200c)がセキュリティポリシーを満たすよう管理する管理装置(セキュリティ運用管理システム100)において、
ポリシー記憶部121と、属性記憶部141と、抽出条件記憶部133と、実行アクション記憶部122と、管理対象抽出部113と、状態取得部114と、ポリシー違反抽出部115と、アクション実行部117とを有することを特徴とする。
上記ポリシー記憶部121は、上記記憶装置を用いて、上記管理対象が満たすべき条件を記述したセキュリティ条件情報(ポリシー定義情報530及び設定ポリシー情報540)を記憶することを特徴とする。
上記属性記憶部141は、上記記憶装置を用いて、上記管理対象の属性を記述した管理対象属性情報(属性定義情報570及び属性情報580)を記憶することを特徴とする。
上記抽出条件記憶部133は、上記記憶装置を用いて、上記セキュリティ条件情報に記述された条件を満たすべき管理対象を抽出する条件を記述した管理対象抽出条件情報(抽出条件情報510)を記憶することを特徴とする。
上記実行アクション記憶部122は、上記記憶装置を用いて、上記セキュリティ条件情報に記述された条件を上記管理対象が満たしていない場合に実行すべきアクションを記述した実行アクション情報550を記憶することを特徴とする。
上記管理対象抽出部113は、上記処理装置を用いて、上記属性記憶部141が記憶した管理対象属性情報に基づいて、上記抽出条件記憶部133が記憶した管理対象抽出条件情報に記述された条件を満たす管理対象を抽出することを特徴とする。
上記状態取得部114は、上記処理装置を用いて、上記管理対象抽出部113が抽出した管理対象について、上記管理対象の状態を取得することを特徴とする。
上記ポリシー違反抽出部115は、上記処理装置を用いて、上記状態取得部114が取得した状態に基づいて、上記ポリシー記憶部121が記憶したセキュリティ条件情報に記述された条件を満たしていない管理対象を抽出することを特徴とする。
上記アクション実行部117は、上記処理装置を用いて、上記ポリシー違反抽出部115が抽出した管理対象について、上記実行アクション記憶部122が記憶した実行アクション情報550に記述されたアクションを実行することを特徴とする。
また、離れた場所で運用している複数のネットワークシステム800に、同じセキュリティポリシーを適用する場合、ポリシー定義情報530、設定ポリシー情報540、抽出条件情報510として、同じものを共有できる。
このため、ポリシー管理者の負担が少なくなり、ネットワークシステム800の管理コストを低減できる。また、ポリシー管理者の入力ミスなどによりポリシー違反を見過ごす危険が減少するので、ネットワークシステム800の安全性を高めることができる。
逆に、他のシステムが既に管理対象属性情報を記憶している場合、それを複製したものを属性記憶部141が記憶してもよいし、管理対象属性情報を記憶している他のシステムを、属性記憶部141として利用してもよい。
これにより、情報入力の手間を削減し、記憶装置の記憶容量を節約することができる。
上記ポリシー記憶部121は、上記記憶装置を用いて、複数のセキュリティ条件情報(ポリシー情報)を記憶することを特徴とする。
上記抽出条件記憶部133は、上記記憶装置を用いて、複数の管理対象抽出条件情報(抽出条件情報510)を記憶することを特徴とする。
上記条件対応記憶部132は、上記記憶装置を用いて、上記ポリシー記憶部が記憶した複数のセキュリティ条件情報のうち上記抽出条件記憶部133が記憶した複数の管理対象抽出条件情報それぞれに記述された条件により抽出される管理対象が満たすべき条件を記述したセキュリティ条件情報と、上記管理対象抽出条件情報との対応づけを記述した条件対応情報520を記憶することを特徴とする。
上記抽出条件取得部112は、上記処理装置を用いて、上記条件対応記憶部132が記憶した条件対応情報520に基づいて、上記ポリシー記憶部121が記憶した複数のセキュリティ条件情報それぞれに記述された条件を満たすべき管理対象を抽出する条件を記述した管理対象抽出条件情報(抽出条件情報510)を、上記抽出条件記憶部133が記憶した複数の管理対象抽出条件情報のうちから取得することを特徴とする。
上記管理対象抽出部113は、上記処理装置を用いて、上記属性記憶部141が記憶した管理対象属性情報に基づいて、上記ポリシー記憶部121が記憶した複数のセキュリティ条件情報それぞれについて、上記抽出条件取得部112が取得した管理対象抽出条件情報に記述された条件を満たす管理対象を抽出することを特徴とする。
この実施の形態におけるセキュリティ運用管理システム100(管理装置)は、セキュリティ条件情報と管理対象抽出条件情報とを別々に管理しているので、上記のような場合、ポリシー記憶部121が記憶したポリシー情報(ポリシー定義情報530及び設定ポリシー情報540)を変更する必要がなく、抽出条件記憶部133が記憶した管理対象抽出条件情報(抽出条件情報510)を変更するだけでよい。
このため、ポリシー管理者の負担が更に少なくなり、ネットワークシステム800の管理コストを更に低減できる。また、ポリシー管理者の入力ミスなどによりポリシー違反を見過ごす危険が更に減少するので、ネットワークシステム800の安全性を更に高めることができる。
上記記憶装置は、
上記管理対象が満たすべき条件を記述したセキュリティ条件情報(ポリシー定義情報530及び設定ポリシー情報540)と、
上記管理対象の属性を記述した管理対象属性情報(属性定義情報570及び属性情報580)と、
上記セキュリティ条件情報に記述された条件を満たすべき管理対象を抽出する条件を記述した管理対象抽出条件情報(抽出条件情報510)と、
上記セキュリティ条件情報に記述された条件を上記管理対象が満たしていない場合に実行すべきアクションを記述した実行アクション情報550とを記憶する。
上記処理装置は、
上記記憶装置が記憶した管理対象属性情報に基づいて、上記記憶装置が記憶した管理対象抽出条件情報に記述された条件を満たす管理対象を抽出し、
抽出した管理対象について、上記管理対象の状態を取得し、
取得した状態に基づいて、上記記憶装置が記憶したセキュリティ条件情報に記述された条件を満たしていない管理対象を抽出し、
抽出した管理対象について、上記記憶装置が記憶した実行アクション情報に記述されたアクションを実行する。
また、離れた場所で運用している複数のネットワークシステム800に、同じセキュリティポリシーを適用する場合、ポリシー情報や管理対象抽出条件情報として、同じものを共有できる。
このため、ポリシー管理者の負担が少なくなり、ネットワークシステム800の管理コストを低減できる。また、ポリシー管理者の入力ミスなどによりポリシー違反を見過ごす危険が減少するので、ネットワークシステム800の安全性を高めることができる。
ポリシーを管理する手段及びデータベース(ポリシーデータベース記憶部120)と、
ポリシーを基にしたセキュリティチェックの対象のグループ情報を管理する手段及びデータベース(対象グループデータベース記憶部130)と、
セキュリティチェックを行う対象の機器などの情報を管理する手段及びデータベース(対象情報データベース記憶部140)と、
特定の機器などに対して、ポリシーに基づくセキュリティチェックを行う手段(セキュリティチェック部110)とを備えることを特徴とする。
ポリシーを基にセキュリティチェックを行う対象のグループ情報を管理する手段(対象グループデータベース記憶部130)において、セキュリティチェック対象をグループ化するために、セキュリティチェック対象をデータベースから絞り込むための条件(抽出条件)を用いることを特徴とする。
特定の機器などに対してポリシーに基づくセキュリティチェックを行う手段(セキュリティチェック部110)において、ポリシーに基づくセキュリティチェックの実施直前に管理するセキュリティチェック対象をデータベースから絞り込むための条件を基にして対象情報を取得することを特徴とする。
実施の形態2について、図17〜図18を用いて説明する。
なお、実施の形態1で説明したセキュリティ運用管理システム100と共通する部分については、同一の符号を付し、ここでは説明を省略する。
対象情報データベース記憶部140aは属性記憶部141aを、対象情報データベース記憶部140bは属性記憶部141bを有する。
しかし、既存の他のシステムが記憶している管理対象属性情報だけでは、情報が不足している場合がある。
例えば、対象情報データベース記憶部140aが既存の他のシステムである場合、対象情報データベース記憶部140bは、対象情報データベース記憶部140aが記憶している情報だけでは不足する部分について、磁気ディスク装置920などの記憶装置を用いて、管理対象属性情報を記憶する。
あるいは、対象情報データベース記憶部140aだけでなく、対象情報データベース記憶部140bも既存の他のシステムを利用して、両者が記憶した管理対象属性情報を利用できるようにしてもよい。
なお、実施の形態1で説明した抽出条件情報510と共通する部分については、同一の符号を付し、ここでは説明を省略する。
これにより、既存の他のシステムが記憶している管理対象属性情報を流用しやすくなり、資源を有効に活用できる。また、管理対象属性情報を分割して記憶することにより、安全性を向上することができる。
これにより、複数の属性記憶部141a,141bのいずれかか記憶した管理対象属性情報に対するアクセスが容易になり、複数の属性記憶部141a,141bの複数が記憶した管理対象属性情報を参照する場合に参照先を一意に定めることができる。
実施の形態3について、図19〜図21を用いて説明する。
ネットワークシステム800a及びネットワークシステム800bは、実施の形態1または実施の形態2で説明したネットワークシステム800と同様のシステムである。
ネットワークシステム800aは、セキュリティ運用管理システム100a、クライアント装置200a〜200c、ネットワーク300aを有する。
ネットワークシステム800bは、セキュリティ運用管理システム100b、クライアント装置200d〜200f、ネットワーク300bを有する。
ネットワークシステム800aとネットワークシステム800bとは、共通のセキュリティポリシーのもとに運用するシステムであり、互いに独立して存在している。例えば、ネットワークシステム800aとネットワークシステム800bとは、離れた事業所内で独立に運用されている社内LANである。なお、ネットワークシステム800aとネットワークシステム800bとは、インターネット940などを介して接続可能であってもよい。
なお、実施の形態1で説明したセキュリティ運用管理システム100と共通する部分については、同一の符号を付し、ここでは説明を省略する。
なお、セキュリティ運用管理システム100a及びセキュリティ運用管理システム100bの双方が、ポリシー書出部150及びポリシー読込部160を両方とも有する必要はなく、例えば、セキュリティ運用管理システム100aはポリシー書出部150を有し、ポリシー読込部160を有さず、セキュリティ運用管理システム100bはポリシー書出部150を有さず、ポリシー読込部160を有する構成としてもよい。
ここで、配布可能な形式とは、例えば、XML(Extensible Markup Language)やCSV(Comma Separated Values)などの形式で記述されたファイルなどである。なお、第三者による盗聴や改変を避けるため、暗号化や電子署名などがされていてもよい。
ポリシー読込部160は、CPU911などの処理装置を用いて、取得した配布データに基づいて、ポリシー定義情報530、設定ポリシー情報540、実行アクション情報550などを復元し、復元したポリシー定義情報530、設定ポリシー情報540、実行アクション情報550などを出力する。
ポリシーデータベース記憶部120は、CPU911などの処理装置を用いて、ポリシー読込部160が出力したポリシー定義情報530、設定ポリシー情報540、実行アクション情報550などを入力する。ポリシーデータベース記憶部120は、磁気ディスク装置920などの記憶装置を用いて、入力したポリシー定義情報530、設定ポリシー情報540、実行アクション情報550などを記憶する。
なお、この例では、セキュリティ運用管理システム100aが記憶したセキュリティポリシーをセキュリティ運用管理システム100bに配布することにより、セキュリティポリシーを共有する。
ポリシー取得工程S51において、セキュリティ運用管理システム100aのポリシー書出部150は、CPU911などの処理装置を用いて、ポリシーデータベース記憶部120が記憶したポリシー定義情報530など、セキュリティ運用管理システム100bに配布する対象となる情報を取得する。
配布データ生成工程S52において、セキュリティ運用管理システム100aのポリシー書出部150は、CPU911などの処理装置を用いて、ポリシー取得工程S51で取得した情報を変換して、配布データを生成する。
配布データ出力工程S53において、セキュリティ運用管理システム100aのポリシー書出部150は、CPU911などの処理装置を用いて、配布データ生成工程S52で生成した配布データを、記録媒体などに出力する。
配布データ取得工程S61において、セキュリティ運用管理システム100bのポリシー読込部160は、CPU911などの処理装置を用いて、記憶媒体などから配布データを取得する。
ポリシー復元工程S62において、セキュリティ運用管理システム100bのポリシー読込部160は、CPU911などの処理装置を用いて、配布データ取得工程S61で取得した配布データを解析し、ポリシー定義情報530などを復元する。
ポリシー記憶工程S63において、セキュリティ運用管理システム100bのポリシーデータベース記憶部120は、磁気ディスク装置920などの記憶装置を用いて、ポリシー復元工程S62でポリシー読込部160が復元したポリシー定義情報530などを記憶する。
グループ記憶工程S64において、対象グループデータベース記憶部130は、CPU911などの処理装置を用いて、ポリシー復元工程S62でポリシー読込部160が復元したポリシー定義情報530などに対応するグループの抽出条件などの情報を入力し、CPU911などの処理装置を用いて、入力した情報に基づいて、抽出条件情報510などを生成し、磁気ディスク装置920などの記憶装置を用いて、生成した抽出条件情報510などを記憶する。
ポリシーを別のポリシーベースセキュリティ運用管理システムへ配布する際に、ポリシー内のセキュリティチェック対象情報を除いたポリシー情報を配布可能であることを特徴とする。
Claims (5)
- 情報を記憶する記憶装置と、情報を処理する処理装置とを有し、管理対象がセキュリティポリシーを満たすよう管理する管理装置において、
セキュリティポリシー記憶部と、属性記憶部と、抽出条件記憶部と、実行アクション記憶部と、管理対象抽出部と、状態取得部と、ポリシー違反抽出部と、アクション実行部とを有し、
上記セキュリティポリシー記憶部は、上記記憶装置を用いて、上記管理対象が満たすべき条件を記述したセキュリティ条件情報を記憶し、
上記属性記憶部は、上記記憶装置を用いて、上記管理対象の属性を記述した管理対象属性情報を記憶し、
上記抽出条件記憶部は、上記記憶装置を用いて、上記セキュリティ条件情報に記述された条件を満たすべき管理対象を抽出する条件を記述した管理対象抽出条件情報を記憶し、
上記実行アクション記憶部は、上記記憶装置を用いて、上記セキュリティ条件情報に記述された条件を上記管理対象が満たしていない場合に実行すべきアクションを記述した実行アクション情報を記憶し、
上記管理対象抽出部は、上記処理装置を用いて、上記属性記憶部が記憶した管理対象属性情報に基づいて、上記抽出条件記憶部が記憶した管理対象抽出条件情報に記述された条件を満たす管理対象を抽出し、
上記状態取得部は、上記処理装置を用いて、上記管理対象抽出部が抽出した管理対象について、上記管理対象の状態を取得し、
上記ポリシー違反抽出部は、上記処理装置を用いて、上記状態取得部が取得した状態に基づいて、上記セキュリティポリシー記憶部が記憶したセキュリティ条件情報に記述された条件を満たしていない管理対象を抽出し、
上記アクション実行部は、上記処理装置を用いて、上記ポリシー違反抽出部が抽出した管理対象について、上記実行アクション記憶部が記憶した実行アクション情報に記述されたアクションを実行する
ことを特徴とする管理装置。 - 上記管理装置は、更に、条件対応記憶部と、抽出条件取得部とを有し、
上記セキュリティポリシー記憶部は、上記記憶装置を用いて、複数のセキュリティ条件情報を記憶し、
上記抽出条件記憶部は、上記記憶装置を用いて、複数の管理対象抽出条件情報を記憶し、
上記条件対応記憶部は、上記記憶装置を用いて、上記セキュリティポリシー記憶部が記憶した複数のセキュリティ条件情報のうち上記抽出条件記憶部が記憶した複数の管理対象抽出条件情報それぞれに記述された条件により抽出される管理対象が満たすべき条件を記述したセキュリティ条件情報と、上記管理対象抽出条件情報との対応づけを記述した条件対応情報を記憶し、
上記抽出条件取得部は、上記処理装置を用いて、上記条件対応記憶部が記憶した条件対応情報に基づいて、上記セキュリティポリシー記憶部が記憶した複数のセキュリティ条件情報それぞれに記述された条件を満たすべき管理対象を抽出する条件を記述した管理対象抽出条件情報を、上記抽出条件記憶部が記憶した複数の管理対象抽出条件情報のうちから取得し、
上記管理対象抽出部は、上記処理装置を用いて、上記属性記憶部が記憶した管理対象属性情報に基づいて、上記セキュリティポリシー記憶部が記憶した複数のセキュリティ条件情報それぞれについて、上記抽出条件取得部が取得した管理対象抽出条件情報に記述された条件を満たす管理対象を抽出する
ことを特徴とする請求項1に記載の管理装置。 - 請求項1または請求項2に記載の管理装置と、
上記管理装置の管理対象である対象装置と
を備えることを特徴とするネットワークシステム。 - 情報を記憶する記憶装置と情報を処理する処理装置とを有するコンピュータを、請求項1または請求項2に記載の管理装置として機能させることを特徴とするプログラム。
- 情報を記憶する記憶装置と情報を処理する処理装置とを有する管理装置が、管理対象がセキュリティポリシーを満たすよう管理する管理方法において、
上記記憶装置は、
上記管理対象が満たすべき条件を記述したセキュリティ条件情報と、
上記管理対象の属性を記述した管理対象属性情報と、
上記セキュリティ条件情報に記述された条件を満たすべき管理対象を抽出する条件を記述した管理対象抽出条件情報と、
上記セキュリティ条件情報に記述された条件を上記管理対象が満たしていない場合に実行すべきアクションを記述した実行アクション情報とを記憶し、
上記処理装置は、
上記記憶装置が記憶した管理対象属性情報に基づいて、上記記憶装置が記憶した管理対象抽出条件情報に記述された条件を満たす管理対象を抽出し、
抽出した管理対象について、上記管理対象の状態を取得し、
取得した状態に基づいて、上記記憶装置が記憶したセキュリティ条件情報に記述された条件を満たしていない管理対象を抽出し、
抽出した管理対象について、上記記憶装置が記憶した実行アクション情報に記述されたアクションを実行する
ことを特徴とする管理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007176406A JP5064912B2 (ja) | 2007-07-04 | 2007-07-04 | 管理装置及びネットワークシステム及びプログラム及び管理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007176406A JP5064912B2 (ja) | 2007-07-04 | 2007-07-04 | 管理装置及びネットワークシステム及びプログラム及び管理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009015585A JP2009015585A (ja) | 2009-01-22 |
JP5064912B2 true JP5064912B2 (ja) | 2012-10-31 |
Family
ID=40356414
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007176406A Expired - Fee Related JP5064912B2 (ja) | 2007-07-04 | 2007-07-04 | 管理装置及びネットワークシステム及びプログラム及び管理方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5064912B2 (ja) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5234807B2 (ja) * | 2009-05-13 | 2013-07-10 | Necインフロンティア株式会社 | ネットワーク装置及びそれに用いる自動暗号化通信方法 |
CN102075347B (zh) * | 2010-11-18 | 2013-11-20 | 北京神州绿盟信息安全科技股份有限公司 | 一种安全配置核查设备和方法以及采用该设备的网络系统 |
JP2012194801A (ja) * | 2011-03-16 | 2012-10-11 | Hitachi Systems Ltd | セキュリティポリシー管理システム及びセキュリティリスク管理装置を備えたセキュリティポリシー管理システム |
JP6124531B2 (ja) * | 2012-08-06 | 2017-05-10 | キヤノン株式会社 | 情報処理システム、画像処理装置及びその制御方法、並びにプログラム |
JP6066750B2 (ja) * | 2013-01-31 | 2017-01-25 | キヤノン株式会社 | 画像形成装置及びその制御方法、並びにプログラム |
JP6066751B2 (ja) * | 2013-01-31 | 2017-01-25 | キヤノン株式会社 | 情報処理システム及びその制御方法、並びにプログラム |
JP6257272B2 (ja) * | 2013-11-05 | 2018-01-10 | キヤノン株式会社 | 画像形成装置、画像形成方法、及びプログラム、並びに画像形成システム |
KR101930941B1 (ko) * | 2016-07-19 | 2018-12-20 | 주식회사 안랩 | 클라이언트 단말의 보안성을 관리하는 보안 관리 장치 및 보안 관리 방법 |
JP6761181B2 (ja) * | 2017-02-13 | 2020-09-23 | 富士通株式会社 | ポリシー設定装置、ポリシー設定方法およびポリシー設定プログラム |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3744361B2 (ja) * | 2001-02-16 | 2006-02-08 | 株式会社日立製作所 | セキュリティ管理システム |
JP3920681B2 (ja) * | 2002-03-28 | 2007-05-30 | 株式会社野村総合研究所 | セキュリティ情報管理システム |
JP3904534B2 (ja) * | 2003-05-30 | 2007-04-11 | 京セラコミュニケーションシステム株式会社 | 端末状態監視システムおよびその方法 |
JP4414865B2 (ja) * | 2004-11-16 | 2010-02-10 | 株式会社日立製作所 | セキュリティ管理方法、セキュリティ管理装置およびセキュリティ管理プログラム |
-
2007
- 2007-07-04 JP JP2007176406A patent/JP5064912B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2009015585A (ja) | 2009-01-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5064912B2 (ja) | 管理装置及びネットワークシステム及びプログラム及び管理方法 | |
US11201907B1 (en) | Access control center auto launch | |
US8271528B1 (en) | Database for access control center | |
US20080126439A1 (en) | Change verification in a configuration management database | |
US8019845B2 (en) | Service delivery using profile based management | |
US20140122349A1 (en) | System, information management method, and information processing apparatus | |
US8909622B1 (en) | Time-based log and alarm integration search tool for trouble-shooting | |
US11290322B2 (en) | Honeypot asset cloning | |
US20070250932A1 (en) | Integrated enterprise-level compliance and risk management system | |
JP2017033339A (ja) | サービス提供システム、情報処理装置、プログラム及びサービス利用情報作成方法 | |
US9043218B2 (en) | Rule compliance using a configuration database | |
US20120110058A1 (en) | Management system and information processing method for computer system | |
JP2015510644A (ja) | サブ・デバイスの発見および管理 | |
JP2008015733A (ja) | ログ管理計算機 | |
US8166143B2 (en) | Methods, systems and computer program products for invariant representation of computer network information technology (IT) managed resources | |
JP2020197873A (ja) | 情報処理システム、及び情報処理システムの制御方法 | |
Buecker et al. | IT Security Compliance Management Design Guide with IBM Tivoli Security Information and Event Manager | |
US11451446B2 (en) | Device management system, network device, device management method, and computer-readable medium | |
JP5341695B2 (ja) | 情報処理システム、情報処理方法、およびプログラム | |
JP4429229B2 (ja) | ディレクトリ情報提供方法、ディレクトリ情報提供装置、ディレクトリ情報提供システム、及びプログラム | |
US10114959B2 (en) | Information processing apparatus, information processing method, and information processing system | |
US8850525B1 (en) | Access control center auto configuration | |
JP2018055497A (ja) | 情報処理システム、使用量情報生成方法、情報処理装置及びプログラム | |
JP2007200047A (ja) | アクセスログ表示システムおよび方法 | |
JP2018055498A (ja) | 情報処理システム、閲覧制御方法、情報処理装置及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100406 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120523 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120717 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120809 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150817 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |