JP5106301B2 - Information processing apparatus and program - Google Patents
Information processing apparatus and program Download PDFInfo
- Publication number
- JP5106301B2 JP5106301B2 JP2008198211A JP2008198211A JP5106301B2 JP 5106301 B2 JP5106301 B2 JP 5106301B2 JP 2008198211 A JP2008198211 A JP 2008198211A JP 2008198211 A JP2008198211 A JP 2008198211A JP 5106301 B2 JP5106301 B2 JP 5106301B2
- Authority
- JP
- Japan
- Prior art keywords
- policy
- information
- inspection
- unit
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
Description
本発明は、通信システムに関し、特に、データを収集する装置、収集されたデータが所定のポリシーに合致するか否かの検査を行う装置等により構成される通信システムに関する。 The present invention relates to a communication system, and more particularly, to a communication system including an apparatus that collects data, an apparatus that checks whether the collected data matches a predetermined policy, and the like.
特許文献1では、WWW(World Wide Web)サーバとクライアントである端末から構成される通信システムが開示されている。
特許文献1では、図11に示すように、WWWサーバのDB(Database)変更手段がDBに対して行った変更をDB変更検出手段が検出し、DB変更検出手段により変更が検出される度にHTML(HyperText Markup Language)画面生成手段がDBの変更を反映させたHTML画面を作成する。
WWWサーバでHTML画面が生成されると、HTML画面生成手段が端末に設けられた状態監視手段に新たなHTML画面が生成されたことを通知し、この通知を得てブラウザがWWWサーバにアクセスし、WWWサーバからHTML画面を取得し、ディスプレイの表示画面を更新する。
In
When the HTML screen is generated by the WWW server, the HTML screen generation means notifies the state monitoring means provided in the terminal that the new HTML screen has been generated, and upon receiving this notification, the browser accesses the WWW server. The HTML screen is acquired from the WWW server, and the display screen of the display is updated.
特許文献1の通信システムにポリシーチェックを行うポリシーチェック装置を組み合わせた場合、端末がセキュリティに関するデータを収集し、収集したデータをポリシーチェック装置に送信し、ポリシーチェック装置において収集データがセキュリティポリシーに合致するか否かを判断し、ポリシーチェックの結果をWWWサーバのDBに書き込むことになる。
そして、WWWサーバのDB変更検出手段が新たなポリシーチェック結果が書き込まれたことを検出し、ポリシーチェック結果の検出に合わせてHTML画面生成手段がポリシーチェック結果を反映させたHTML画面を作成する。
WWWサーバでHTML画面が生成されると、HTML画面生成手段が端末に設けられた状態監視手段に新たなHTML画面が生成されたことを通知し、この通知を得てブラウザがWWWサーバにアクセスし、WWWサーバからHTML画面を取得し、ディスプレイ上にポリシーチェック結果を表示することになる。
When a policy check device that performs a policy check is combined with the communication system disclosed in
Then, the DB change detection unit of the WWW server detects that a new policy check result has been written, and the HTML screen generation unit creates an HTML screen reflecting the policy check result in accordance with the detection of the policy check result.
When the HTML screen is generated by the WWW server, the HTML screen generation means notifies the state monitoring means provided in the terminal that the new HTML screen has been generated, and upon receiving this notification, the browser accesses the WWW server. The HTML screen is acquired from the WWW server, and the policy check result is displayed on the display.
以上の構成によれば、端末では、状態監視手段が新たなHTML画面が生成された旨の通知を受け取ってからWWWサーバにアクセスし、ポリシーチェック結果を取得することになる。
通常、収集データとセキュリティポリシーとの照合に要する時間は僅かであり、端末から収集データが送信された後はごく短時間の間にポリシーチェック結果が生成されていることが一般的であり、上記の構成では、DB変更検出手段によるポリシーチェック結果の検出及びHTML画面生成手段によるHTML画面の生成通知を経た後に端末がWWWサーバにアクセスすることになり、ポリシーチェック結果が生成されてから端末がポリシーチェック結果を取得するまでに時間がかかるという課題がある。
また、WWWサーバから端末に新たなHTML画面が生成されたことを通知するための通信が必要であるという課題がある。
According to the above configuration, in the terminal, after the state monitoring unit receives a notification that a new HTML screen has been generated, the terminal accesses the WWW server and acquires the policy check result.
Normally, the time required for matching collected data with the security policy is very short, and it is common for policy check results to be generated in a very short time after collected data is sent from the terminal. In this configuration, the terminal accesses the WWW server after detecting the policy check result by the DB change detection unit and the HTML screen generation notification by the HTML screen generation unit. After the policy check result is generated, the terminal There is a problem that it takes time to obtain the check result.
In addition, there is a problem that communication for notifying that a new HTML screen has been generated from the WWW server to the terminal is necessary.
この発明は、上記のような課題を解決することを主な目的の一つとしており、データの収集が完了した後に早期にポリシーチェックによる検査結果を取得可能とすることを主な目的とする。 One of the main objects of the present invention is to solve the above-described problems, and it is a main object of the present invention to make it possible to obtain an inspection result by a policy check at an early stage after data collection is completed.
本発明に係る情報処理装置は、
収集されたデータに示される内容が所定のポリシーに合致するか否かの検査を行うポリシー検査装置と、前記ポリシー検査装置による検査結果を示す検査結果情報を送信する検査結果送信装置に接続され、
前記ポリシー検査装置における検査に用いられるデータを収集し、収集したデータを前記ポリシー検査装置に送信するとともに、データの収集が完了したことを通知するデータ収集完了通知を出力するデータ収集部と、
前記データ収集部から出力された前記データ収集完了通知を入力した際に前記検査結果通知装置に対して検査結果情報の送信を要求し、要求に対する応答として前記検査結果送信装置から検査結果情報を受信する検査結果送信要求部とを有することを特徴とする。
An information processing apparatus according to the present invention includes:
Connected to a policy inspection apparatus that inspects whether or not the content shown in the collected data matches a predetermined policy, and an inspection result transmission apparatus that transmits inspection result information indicating an inspection result by the policy inspection apparatus,
A data collection unit that collects data used for inspection in the policy inspection apparatus, transmits the collected data to the policy inspection apparatus, and outputs a data collection completion notification for notifying completion of data collection;
When the data collection completion notification output from the data collection unit is input, the inspection result notification device is requested to transmit inspection result information, and the inspection result information is received from the inspection result transmission device as a response to the request. And an inspection result transmission requesting unit.
本発明によれば、データ収集部が収集データをポリシー検査装置に送信するとともに、データ収集完了通知を出力するため、検査結果送信要求部は、データ収集の完了後に直ちに検査結果情報の送信を要求することができ、この結果、検査結果情報を早期に取得することができる。 According to the present invention, since the data collection unit transmits the collected data to the policy inspection device and outputs a data collection completion notification, the inspection result transmission request unit requests transmission of the inspection result information immediately after the data collection is completed. As a result, the inspection result information can be acquired early.
実施の形態1.
図1は、本実施の形態に係る通信システムの構成例を示す図である。
図1に示すように、本実施の形態に係る通信システムは、ユーザ端末装置100と収集データ管理装置200と対話型アプリケーション実行管理装置300から構成される。
FIG. 1 is a diagram illustrating a configuration example of a communication system according to the present embodiment.
As shown in FIG. 1, the communication system according to the present embodiment includes a
ユーザ端末装置100は、企業等の社員や所員が利用する端末装置であり、例えばパーソナルコンピュータである。
ユーザ端末装置100は、ユーザ端末装置100内のセキュリティ対策に関するデータを収集し、収集した収集データを収集データ管理装置200に送信する。
ユーザ端末装置100は、情報処理装置の例である。
The
The
The
収集データ管理装置200は、ユーザ端末装置100の設定、インストール済みプログラム、適用されたパッチなどの情報を管理し、組織が定めたセキュリティポリシーに合致するかどうかを判断し、違反時に通知する装置である。
つまり、収集データ管理装置200は、ユーザ端末装置100からの収集データの内容がセキュリティポリシーに合致するか否かの検査を行い、ポリシーチェックの結果である監視結果情報(検査結果情報)を対話型アプリケーション実行管理装置300を介してユーザ端末装置100に通知する。
収集データ管理装置200は、ポリシー検査装置の例である。
The collected
In other words, the collected
The collected
対話型アプリケーション実行管理装置300は、ウェブアプリケーションのサーバでワークフロー(WF)アプリケーションを提供する装置である。
対話型アプリケーション実行管理装置300は、監視結果情報を収集データ管理装置200から受信し、ユーザ端末装置100に送信する。
対話型アプリケーション実行管理装置300は、検査結果送信装置の例である。
The interactive application
The interactive application
The interactive application
なお、図1では、収集データ管理装置200と対話型アプリケーション実行管理装置300は別の装置としているが、収集データ管理装置200が対話型アプリケーション実行管理装置300の役割を果たしてもよい。
つまり、収集データ管理装置200でポリシーチェックを行い、収集データ管理装置200からユーザ端末装置100に対して監視結果情報を送信するようにしてもよい。
In FIG. 1, the collected
That is, the collected
次に、ユーザ端末装置100、収集データ管理装置200及び対話型アプリケーション実行管理装置300の各々の内部構成例について説明する。
Next, internal configuration examples of the
ユーザ端末装置100において、エージェント実行部アクセス部101は、後述するエージェント実行部102から出力されたデータ収集完了通知を入力した際に対話型アプリケーション実行管理装置300に対して監視結果情報の送信を要求し、要求に対する応答として対話型アプリケーション実行管理装置300から送信された監視結果情報を通信部103を介して受信する。エージェント実行部アクセス部101は、検査結果送信要求部の例である。
エージェント実行部102は、ユーザ端末装置の設定(オペレーティングシステムの設定等)、インストールソフトウェア、適用されたパッチなどの収集データ管理装置200でのポリシーチェックに用いられるデータを収集し、収集した収集データを通信部103を介して収集データ管理装置200へ送信する。また、データの収集が完了した際に、データの収集が完了したことを通知するデータ収集完了通知をエージェント実行部アクセス部101に出力する。エージェント実行部102は、データ収集部の例である。
通信部103は、収集データ管理装置200及び対話型アプリケーション実行管理装置300と通信を行う。
入力部104は、ユーザ端末装置100を利用するユーザからの指示を入力する。
表示部105は、ユーザ端末装置100を利用するユーザに画面情報を表示する。表示部105は、例えば、収集データ管理装置200による監視結果情報の画面情報を表示する。
ブラウザ106は、対話型アプリケーション実行管理装置に通信部103を介してアクセスし、ワークフローの画面を表示部105に表示させる。
また、エージェント実行部アクセス部101はブラウザ106内に配置されている。
In the
The
The
The
The
The
The agent execution
次に、収集データ管理装置200において、ポリシー判断部201は、ユーザ端末装置100からの収集データがセキュリティポリシーに一致するか否かを判定し、監視結果情報を生成する。
収集データ202は、ユーザ端末装置100から送信された設定、プログラム、パッチなどのポリシーチェックに用いる情報である。
監視結果情報203は、ポリシー判断部201が判定した、収集データがポリシー情報に一致するかの判定を行った結果情報である。監視結果情報203は、例えば図6に示す内容から有効期限及び生存期限を除いた情報である。つまり、ユーザ端末装置100ごとに、各検査対象項目(情報名)について、セキュリティポリシーに合致したかどうかの結果(条件式の結果)が示される。なお、有効期限及び生存期限は、実施の形態2において説明する。
ポリシー情報記憶部204は、ポリシー情報を記憶する。ポリシー情報は、組織のセキュリティポリシーを記述した情報で、端末の設定のあるべき値や、インストールされるべきソフトウェア一覧、インストールされてはいけないソフトウェア一覧、適用すべきパッチ一覧などの情報からなる。
通信部205は、ユーザ端末装置100及び対話型アプリケーション実行管理装置300と通信を行う。
Next, in the collected
The collected
The
The policy
The
次に、対話型アプリケーション実行管理装置300において、画面情報生成部301は、画面情報を生成する。画面情報は、HTMLまたはJSP(登録商標)(Java(登録商標)Server Pages)形式で記述したウェブアプリケーションの画面情報で画面のレイアウト、表示する内容を持つ。本実施の形態では、画面情報生成部301は、収集データ管理装置200からの監視結果情報の画面情報を生成する。
データ取得部302は、収集データ管理装置200から監視結果情報203を受信し、監視結果情報203の画面情報を通信部303を介してユーザ端末装置100に送信する。
Next, in the interactive application
The
次に、本実施の形態に係る動作例を図1の(1)〜(8)の順に従って説明する。
(1)対話型アプリケーション実行管理装置300の画面情報生成部301が、ユーザ操作によるブラウザ106からのリクエストに応じて、初期画面をブラウザ106に送信する。この初期画面にはエージェント実行部アクセス部101の定義が記述されている。
(2)次に、ブラウザ106からエージェント実行部アクセス部101を通じてエージェント実行部102を起動し、エージェント実行部102がユーザ端末装置100のデータの収集を行う。
(3)次に、エージェント実行部102が通信部103を介して、収集したデータを収集データ管理装置200に送信する。このとき、エージェント実行部102は、収集データ管理装置200が収集データを受信したことを同期処理により確認する。収集データ管理装置200では、ポリシー判断部201が収集データ及びポリシー情報から、ポリシーチェックを行い、監視結果情報を生成する。
(4)また、上記(3)の収集データの送信とともに、エージェント実行部102はエージェント実行部アクセス部101にデータの収集が完了したことを通知する。
(5)エージェント実行部アクセス部101は、ブラウザ106の機能を用いて、通信部103を介して、対話型アプリケーション実行管理装置300のデータ取得部302に対して監視結果情報の送信を要求する(HTTP(Hypertext Transfer Protocol)リクエストを送信する)。この要求は上記(4)の実行後、ユーザの操作なしで行われる。
(6)次に、データ取得部302は収集データ管理装置200から監視結果情報を受信する。
(7)次に、画面情報生成部301が監視結果情報の画面情報を生成し、データ取得部302が監視結果情報の画面情報をユーザ端末装置100に送信する。
(8)最後に、エージェント実行部アクセス部101は、通信部103を介して監視結果情報の画面情報を取得し、表示部105に監視結果情報の画面情報を表示させる。
Next, an operation example according to the present embodiment will be described in the order of (1) to (8) in FIG.
(1) The screen
(2) Next, the
(3) Next, the
(4) The
(5) The agent execution
(6) Next, the
(7) Next, the screen
(8) Finally, the agent execution
このように、本実施の形態では、エージェント実行部102においてデータの収集が完了すると、エージェント実行部アクセス部101にデータ収集が完了した旨を通知し、エージェント実行部アクセス部101が直ちに対話型アプリケーション実行管理装置300に対して監視結果情報の送信を要求する。
ポリシーチェックに要する時間のうち、大部分はデータの収集に要する時間であり、収集データとセキュリティポリシーとの照合、監視結果情報の生成に要する時間は僅かである。
このように、データ収集の完了から短時間のうちに監視結果情報が生成されるので、データ収集が完了してから直ちに監視結果情報の送信を要求することで、監視結果情報を早期に取得することができる。
また、図11に示す構成を用いてポリシーチェックを行う場合、WWWサーバから端末に監視結果情報が生成されたことを通知し、当該通知に対して、端末からWWWサーバに監視結果情報の送信を要求し、当該要求に呼応して、WWWサーバから端末に監視結果情報が送信されることになるが、本実施の形態では、対話型アプリケーション実行管理装置300からユーザ端末装置100への監視結果情報が生成された旨の通知は不要であり、装置間の通信回数、通信量を削減することができる。
As described above, in the present embodiment, when the data collection is completed in the
Most of the time required for the policy check is the time required for data collection, and the time required for collating the collected data with the security policy and generating the monitoring result information is very short.
As described above, since the monitoring result information is generated within a short time from the completion of the data collection, the monitoring result information can be acquired early by requesting the transmission of the monitoring result information immediately after the data collection is completed. be able to.
In addition, when the policy check is performed using the configuration illustrated in FIG. 11, the WWW server notifies the terminal that the monitoring result information has been generated, and the terminal transmits the monitoring result information to the WWW server in response to the notification. In response to the request, monitoring result information is transmitted from the WWW server to the terminal. In this embodiment, monitoring result information from the interactive application
また、一般的なWWWサーバと端末で構成される通信システムでは、WWWサーバから端末に監視結果情報が生成されたことが通知されない。また、通常の端末では、ポリシーチェックに用いられるデータの収集と行う機能と、監視結果情報の送信を要求するブラウザとが連動していないので、ブラウザではどのようなタイミングでデータ収集が完了したのか、どのようなタイミングで監視結果情報が生成されるのかを把握できないため、ブラウザは繰り返しWWWサーバに対して監視結果情報の送信を要求する(HTTPリクエストを繰り返し送信する)ことになる。
この点、本実施の形態では、エージェント実行部アクセス部101はエージェント実行部102からデータ収集が完了したことを通知され、当該通知を受けて、対話型アプリケーション実行管理装置300に対して監視結果情報の送信を要求するので、監視結果情報の送信要求を繰り返し行う事態は発生せず、装置間の通信回数、通信量を削減することができる。
Further, in a communication system including a general WWW server and a terminal, the WWW server does not notify the terminal that the monitoring result information has been generated. In addition, since the function for collecting data used for policy check and the browser requesting the transmission of monitoring result information are not linked to a normal terminal, at what timing data collection was completed in the browser Since the timing at which the monitoring result information is generated cannot be grasped, the browser repeatedly requests the WWW server to transmit the monitoring result information (repeats the HTTP request).
In this regard, in the present embodiment, the agent execution
また、図1の(5)〜(7)の手順を、Ajax(Asynchronous Java(登録商標)Script+XML)を用いて非同期実行することにより、ブラウザ106が対話型アプリケーション実行管理装置300へアクセス中でも、ユーザはブラウザ106を利用することができる。
1 is executed asynchronously by using Ajax (Asynchronous Java (registered trademark) Script + XML), the user can access the interactive application
なお、図1の(5)の手順において、エージェント実行部アクセス部101は、エージェント実行部102により収集され収集データ管理装置200に送信された収集データについての監視結果情報に限定して送信を要求することができる。例えば、ユーザ端末装置100における設定、ユーザ端末装置100にインストールされているソフトウェア一覧の情報は以前にエージェント実行部102から収集データ管理装置200に送信されており、今回新たにユーザ端末装置100に適用されているパッチの一覧がエージェント実行部102から収集データ管理装置200に送信された場合、収集データ管理装置200では、パッチ一覧についての検査結果のほか、ユーザ端末装置100における設定、インストールソフトウェアについての検査結果も含まれる監視結果情報が生成されるが、エージェント実行部アクセス部101は、今回エージェント実行部102から収集データ管理装置200に送信されたパッチ一覧に対する検査結果が示される監視結果情報のみを送信するよう対話型アプリケーション実行管理装置300に要求することができる。
対話型アプリケーション実行管理装置300では、収集データ管理装置200に対してパッチ一覧についての監視結果情報のみの送信を要求する、または、収集データ管理装置200から送信された監視結果情報の中からパッチ一覧についての監視結果情報のみを抽出し、エージェント実行部アクセス部101にパッチ一覧の監視結果情報のみを送信する。
このように、エージェント実行部アクセス部101は、エージェント実行部102から収集データ管理装置200に送信されたデータに対する検査結果を示す監視結果情報を選択して受信することが可能である。
In the procedure of (5) in FIG. 1, the agent execution
The interactive application
As described above, the agent execution
以上、本実施の形態では、ユーザ端末装置内のブラウザにエージェント実行部アクセス部を持ち、エージェント実行部が収集データ管理装置に収集データを送付し、収集データ管理装置のポリシー判断部で監視結果情報を生成し、対話型アプリケーション実行管理装置のデータ取得部にて表示内容を生成し、ブラウザはエージェント実行部が収集データを送付後に対話型アプリケーション実行管理装置から表示内容を取得するセキュリティチェックシステムについて説明した。 As described above, in this embodiment, the browser in the user terminal device has the agent execution unit access unit, the agent execution unit sends the collection data to the collection data management device, and the policy determination unit of the collection data management device monitors the monitoring result information. A security check system in which the display contents are generated by the data acquisition unit of the interactive application execution management device, and the browser acquires the display content from the interactive application execution management device after the agent execution unit sends the collected data did.
実施の形態2.
以上の実施の形態1では、ユーザ端末装置においてデータの収集が完了した際に監視結果情報の送信を要求することにより、監視結果情報の送信に関するネットワーク負荷を低減するようにしたものであるが、次に収集データを取得する際の負荷を低減する実施の形態を示す。
In the first embodiment described above, the network load related to the transmission of the monitoring result information is reduced by requesting the transmission of the monitoring result information when the data collection is completed in the user terminal device. Next, an embodiment for reducing the load when acquiring collected data will be described.
セキュリティポリシーでは、ポリシーごとに、監視結果情報の有効期限が設定されている場合がある。
例えば、ユーザ端末装置100で利用されているパスワードが規定のパスワード長以上であるか否かを判断するポリシーについて、有効期限を1日とした場合は、監視結果情報の作成から1日以上経過しているときは、当該監視結果情報は有効期限を超過しているので、収集データ管理装置200は新たにユーザ端末装置100から現在のパスワードを取得して再度ポリシーチェックを行う必要がある。
一方で、有効期限内にある監視結果情報に対応するデータは収集する必要がない。
このように、本実施の形態では、ポリシーチェックの実行時に、有効期限内のデータ以外の不足するデータのみを新たに収集することでデータ収集に要する時間を減らし、ひいてはポリシーチェックに要する時間を減らすことを主な目的としている。
In the security policy, the expiration date of the monitoring result information may be set for each policy.
For example, for a policy for determining whether or not the password used in the
On the other hand, it is not necessary to collect data corresponding to the monitoring result information within the expiration date.
As described above, in the present embodiment, when the policy check is executed, the time required for the data collection is reduced by newly collecting only the missing data other than the data within the expiration date, and thus the time required for the policy check is reduced. This is the main purpose.
図2は、本実施の形態に係る通信システムの構成例を示す。 FIG. 2 shows a configuration example of a communication system according to the present embodiment.
本実施の形態に係る通信システムは、ユーザ端末装置400、収集データ管理装置500及び対話型アプリケーション実行管理装置600に加え、AD(Active Directory)700及びWSUS(Windows(登録商標) Server Update Services)800が含まれる。
ユーザ端末装置400は、実施の形態1のユーザ端末装置100と同様な処理を行うが、内部構成例及び動作の詳細が異なる。本実施の形態では、ユーザ端末装置400は端末装置の例である。
収集データ管理装置500は、実施の形態1の収集データ管理装置200と同様な処理を行うが、内部構成例及び動作の詳細が異なる。本実施の形態では、収集データ管理装置500は管理装置の例である。
対話型アプリケーション実行管理装置600は、実施の形態1の対話型アプリケーション実行管理装置300と同様な処理を行うが、内部構成例及び動作の詳細が異なる。
また、AD700及びWSUS800は、特定種類のデータを収集する。AD700及びWSUS800は、サーバ装置の例である。
The communication system according to the present embodiment includes an AD (Active Directory) 700 and a WSUS (Windows (registered trademark) Server Update Services) 800 in addition to the
The
The collected
The interactive application
The
ユーザ端末装置400において、ブラウザ401は、通信部404を介して対話型アプリケーション実行管理装置600とデータを送受信する。具体的には、対話型アプリケーション実行管理装置600に対して監視結果情報の送信を要求し、また、対話型アプリケーション実行管理装置600から監視結果情報を受信する。
エージェント実行部402のエージェント制御部403は、ポリシーチェックに用いられるデータを収集する。エージェント制御部403は、ポリシーチェックに用いられるデータのうち、後述する収集データ取得部507のgetAngetInfoに規定されている種類のデータを収集する。エージェント制御部403は、getAgentInfoからの指令を受け、エージェント実行部402を制御し、ユーザ端末装置400上の情報を収集して収集データ取得部507のgetAgentInfoへ送付する。
エージェント制御部403は、具体的には、ユーザ端末装置400に固有のデータの収集を行い、ユーザ端末装置400に固有でない、セキュリティ対策に関する一般的なデータはAD700又はWSUS800において収集される。
通信部404は、収集データ管理装置500及び対話型アプリケーション実行管理装置600と通信を行う。
入力部405は、ユーザ端末装置400を利用するユーザからの指示を入力する。
表示部406は、ユーザ端末装置400を利用するユーザに画面情報を表示する。表示部406は、例えば、収集データ管理装置500による監視結果情報の画面情報を表示する。
In the
The
Specifically, the
The
The
The
収集データ管理装置500において、ポリシー判断部501は、収集データ取得部507により取得されたデータに対して、対応する検査項目の検査基準に合致するか否かの検査を行い、検査結果を示す監視結果情報(検査結果情報)を生成する。ポリシー判断部501は、検査実行部の例である。
In the collected
ポリシー情報記憶部502は、ポリシー情報を記憶する。本実施の形態では、ポリシー情報は、図4に示すように、ポリシーテーブル5021、情報テーブル5022及び種別テーブル5023に大別される。
各テーブルの例を図5を示す。なお、各テーブルの詳細は後述する。
The policy
An example of each table is shown in FIG. Details of each table will be described later.
通信部503は、ユーザ端末装置400及び対話型アプリケーション実行管理装置600と通信を行う。
通信部503は、例えば、検査対象であるユーザ端末装置400(検査対象端末装置)の識別情報を対話型アプリケーション実行管理装置600から受信し、また、ポリシー判断部501により生成された監視結果情報を対話型アプリケーション実行管理装置600を経由してユーザ端末装置400に送信する。
通信部503は、検査対象識別情報受信部及び検査結果情報送信部の例である。
The
The
The
監視結果情報504は、ポリシー判断部501が判定した、収集データがポリシー情報に一致するかの判定を行った結果情報である。なお、本実施の形態では、図6に示すように、有効期限及び生存期限が示される。
監視結果情報記憶部505は、監視結果情報504を記憶している。監視結果情報記憶部505は、検査結果情報記憶部の例である。
収集データ506は、収集データ取得部507がユーザ端末装置400、AD700、WSUS800から収集したデータである。
The monitoring result
The monitoring result
The collected data 506 is data collected by the collected
収集データ取得部507は、通信部503により受信された検査対象のユーザ端末装置400の識別情報に基づき、監視結果情報記憶部505に記憶されている検査対象のユーザ端末装置400の監視結果情報を抽出し、抽出した検査対象のユーザ端末装置400の監視結果情報に含まれる検査項目の有効期限に基づき、検査を要する検査項目を抽出する。
また、収集データ取得部507は、抽出した検査項目に対応するデータをユーザ端末装置400、AD700、WSUS800から取得する。
収集データ取得部507は、検査項目抽出部及びデータ取得部の例である。
なお、収集データ取得部507には、getAngetInfo、getADInfo、getWSUSInfoの各手段が含まれる。
getAngetInfoはユーザ端末装置400のエージェント実行部402から収集データを取得する手段である。
getADInfoはAD700から収集データを取得する手段である。
getWSUSInfoはWSUS800から収集データを取得する手段である。
これら3種類のデータ取得手段の詳細は後述する。
なお、この3種類以外でも、他のデータを取得する手段を持っても良い。
The collected
Further, the collected
The collected
Note that the collected
getAngeInfo is a means for acquiring collected data from the
getADInfo is a means for acquiring collected data from the
getWSUSInfo is a means for acquiring collected data from WSUS800.
Details of these three types of data acquisition means will be described later.
In addition to these three types, a means for acquiring other data may be provided.
対話型アプリケーション実行管理装置600において、画面情報生成部601は、実施の形態1の画面情報生成部301と同様に画面情報を生成する。
モデル実行部602は、UML(Unified Modeling Language)図の一種であるアクティビティ図に基づき、処理の制御を行う。アクティビティ図の例を図3に示す。この例では、初期状態から開始し、起票(初期画面)を表示、データ収集元がユーザ端末装置か、それ以外かによって処理が分岐し、データ収集元がユーザ端末装置の場合は、エージェントからデータ取得、ポリシーチェックを実行し、起票(提出画面)を表示する。モデル実行時に、$hostが対象となるユーザ端末装置のホスト名に置き換わる。ホスト名は、ブラウザから取得する。その後、承認の処理を行う。
起票(初期画面)から起票(提出画面)へ遷移する途中で、画面表示に必要となる監視結果を取得しようとして、不足するデータの種別がエージェント情報の場合、右側へ分岐し、エージェントからデータ取得を行う。図2中の動作(3)は、起票(初期画面)に相当する。また、分岐の判断は動作(4)に含まれる。エージェントからデータを取得する部分の動作は(5)となる。
データ取得部603は、検査の対象となるユーザ端末装置400の識別情報を通信部604を介して収集データ管理装置500に送信し、また、収集データ管理装置500から監視結果情報504を受信し、監視結果情報504の画面情報を通信部604を介してユーザ端末装置400に送信する。
通信部604は、ユーザ端末装置400及び収集データ管理装置500と通信を行う。
In the interactive application
The
In the middle of transition from draft (initial screen) to draft (submission screen), if you are trying to get the monitoring results required for screen display and the type of data is agent information, branch to the right and branch from the agent. Perform data acquisition. The operation (3) in FIG. 2 corresponds to a draft (initial screen). The determination of branching is included in the operation (4). The operation for obtaining data from the agent is (5).
The
The
次に、本実施の形態に係るポリシー情報について説明する。
上述したように、図5はポリシー情報の各テーブルの例を示す。
図5(a)はポリシーテーブルの例を示し、図5(b)は情報テーブルの例を示し、図5(c)は種別テーブルの例を示している。
Next, policy information according to the present embodiment will be described.
As described above, FIG. 5 shows an example of each table of policy information.
FIG. 5A shows an example of a policy table, FIG. 5B shows an example of an information table, and FIG. 5C shows an example of a type table.
ポリシーテーブルは、ポリシー名、情報名、条件式、監視結果の有効期限の項目から構成される。
図5(a)の例では、ユーザ端末装置400におけるパスワードが規定のパスワード長(8文字)以上であるか否かを検査するための検査基準が示されている。
また、監視結果の有効期限は、監視結果情報の有効期限を規定する。図5(a)では、監視結果の有効期限として1日が示されており、検査実行から1日が経過すると、新たにユーザ端末装置400からパスワードを取得して、再度パスワード長が規定のパスワード長以上であるかを検査する必要があることが示されている。
The policy table includes items of a policy name, an information name, a conditional expression, and an expiration date of the monitoring result.
In the example of FIG. 5A, an inspection standard for inspecting whether or not the password in the
The expiration date of the monitoring result defines the expiration date of the monitoring result information. In FIG. 5A, one day is shown as the expiration date of the monitoring result, and when one day has passed since the execution of the inspection, a new password is obtained from the
情報テーブル5022には、情報名、種別、端末名、値、生存期間の項目が含まれている。
情報テーブル5022の情報名の項目は、ポリシーテーブル5021の情報名の項目に対応している。
種別の項目は、収集データの属性を示す。具体的には、ユーザ端末装置400のエージェント実行部402から収集するデータ(エージェント情報)、AD700から収集するデータ(AD情報)、WSUS800から収集するデータ(WSUS情報)のいずれであるかが示される。
端末目の項目は、ポリシーが適用になる端末の識別情報(図5(b)の例では、IPアドレス)が示される。
値の項目には、ポリシーテーブルの条件式に適用する値が示される。
生存期限は、収集したデータ及び監視結果情報を保存しておく期間が示される。図5(b)の例では、収集したデータ及び監視結果情報は収集日及び監視結果情報生成日から60日間保存しておくことが示されている。生存期限は、システム全体のデータ保有量などから決定される。
The information table 5022 includes items of information name, type, terminal name, value, and lifetime.
The information name item in the information table 5022 corresponds to the information name item in the policy table 5021.
The type item indicates an attribute of the collected data. Specifically, it indicates whether the data is collected from the
The item of the terminal indicates identification information (IP address in the example of FIG. 5B) of the terminal to which the policy is applied.
In the value item, a value applied to the conditional expression of the policy table is shown.
The lifetime is a period for storing collected data and monitoring result information. In the example of FIG. 5B, the collected data and the monitoring result information are stored for 60 days from the collection date and the monitoring result information generation date. The lifetime is determined from the amount of data held in the entire system.
種別テーブル5023には、種別、収集手段、収集元、収集間隔の項目が含まれている。
種別テーブル5023の種別の項目は、情報テーブル5022の種別の項目に対応している。
収集手段の項目には、getAngetInfo、getADInfo、getWSUSInfoの各手段が示される。
収集元の項目には、データ収集元の識別情報が示される。収集元は、収集手段によって、固定(サーバ名、IPアドレスなど)または変数($hostなど)になっている。変数の場合は、対話型アプリケーション実行管理装置600側から値が渡されるか、設定ファイルを参照することになる。
収集間隔は、データ収集の間隔が示される。
The type table 5023 includes items of type, collection means, collection source, and collection interval.
The type item in the type table 5023 corresponds to the type item in the information table 5022.
Each item of getAngeInfo, getADInfo, and getWSUSInfo is shown in the item of collection means.
The item of collection source shows identification information of the data collection source. The collection source is fixed (server name, IP address, etc.) or variable ($ host, etc.) by the collection means. In the case of a variable, a value is passed from the interactive application
The collection interval indicates a data collection interval.
図6は、本実施の形態に係る監視結果情報の例を示す。
対象端末名、情報名、条件式の結果は、実施の形態1において説明した通りである。
有効期限は、ポリシーテーブル5021の有効期限を用いて、現在時刻(監視結果情報の生成時)から計算される。生存期限は、監視結果情報を保存する期限であり、情報テーブルの生存期限を用いて、現在時刻(監視結果情報の生成時)から計算される。
FIG. 6 shows an example of monitoring result information according to the present embodiment.
The results of the target terminal name, information name, and conditional expression are as described in the first embodiment.
The expiration date is calculated from the current time (when the monitoring result information is generated) using the expiration date of the policy table 5021. The lifetime is a time limit for storing the monitoring result information, and is calculated from the current time (at the time of generating the monitoring result information) using the lifetime in the information table.
図7は、収集データの例を示す。
収集データには、情報名、種別名、端末名、値、生存期限の情報が含まれている。
情報名は、ポリシーテーブル5021の情報名に対応している。
種別名は、情報テーブル5022の種別に対応している。
端末名は、検査対象のユーザ端末装置400のIPアドレスを示し、情報テーブル5022の端末名に対応している。
値は、ポリシーテーブル5021の条件式と照合される値である。図7の例では、パスワードが10文字であることを示している。
生存期限は、収集データを保持する期限であり、情報テーブルの生存期限を用いて、現在時刻(収集データの取得時)から計算される。
FIG. 7 shows an example of collected data.
The collected data includes information on the information name, type name, terminal name, value, and lifetime.
The information name corresponds to the information name in the policy table 5021.
The type name corresponds to the type in the information table 5022.
The terminal name indicates the IP address of the
The value is a value collated with the conditional expression in the policy table 5021. The example in FIG. 7 indicates that the password is 10 characters.
The lifetime is a time limit for holding the collected data, and is calculated from the current time (at the time of acquisition of the collected data) using the lifetime of the information table.
次に、本実施の形態に係る動作例を図2の(1)〜(8)の順に従って説明する。 Next, an operation example according to the present embodiment will be described in the order of (1) to (8) in FIG.
(1)対話型アプリケーション実行管理装置600の画面情報生成部601が、ユーザ操作によるブラウザ401からのリクエストに応じて、初期画面をブラウザ401に送信する。
(2)ブラウザ401は、ユーザからの操作をきっかけとして、データ取得部603に対してユーザ端末装置400の監視結果情報の送信を要求する。当該要求には、ユーザ端末装置400の識別情報(例えば、IPアドレス)が含まれる。このとき、Ajaxを使用して要求を出すことにより、(3)以降の動作中でのユーザはブラウザを操作することができる。
(3)データ取得部603は、モデル実行部602が管理するワークフロー定義(図3)に従い、収集データ管理装置500に対し、ユーザ端末装置400の識別情報を渡し、監視結果情報の送信を要求する。
(4)次に、収集データ管理装置500では、収集データ取得部507が、監視結果情報記憶部505の監視結果情報と、ポリシー情報記憶部502のポリシー情報と、データ取得部603から通知されたユーザ端末装置400の識別情報とに基づいて、今回検査を要する検査項目(情報名)を抽出し、抽出した検査項目に対応するデータの送信をユーザ端末装置400のエージェント制御部403、AD700、WSUS800に要求する。なお、この手順(4)の詳細は後述する。
(5)次に、収集データ取得部507は、ユーザ端末装置400のエージェント制御部403、AD700、WSUS800の各々で収集されたデータを受信する。
そして、ポリシー判断部501が、収集データ及びポリシー情報から、ポリシーチェックを行い、監視結果情報を生成する。
(6)次に、収集データ管理装置500から対話型アプリケーション実行管理装置600に対して監視結果情報を送信する。
(7)次に、対話型アプリケーション実行管理装置600では、データ取得部603が監視結果情報を受信し、画面情報生成部601が監視結果情報の画面情報を生成し、データ取得部603が監視結果情報の画面情報をユーザ端末装置400に送信する。
(8)最後に、ブラウザ401は、通信部103を介して監視結果情報の画面情報を取得し、ブラウザ106に監視結果情報の画面情報を表示させる。
(1) The screen
(2) The
(3) In accordance with the workflow definition (FIG. 3) managed by the
(4) Next, in the collected
(5) Next, the collected
Then, the policy determination unit 501 performs a policy check from the collected data and the policy information, and generates monitoring result information.
(6) Next, monitoring result information is transmitted from the collected
(7) Next, in the interactive application
(8) Finally, the
次に、本実施の形態に係る収集データ管理装置500の動作例を図8及び図9を用いて説明する。
図8は、収集データ管理装置500の動作手順の全体を示すフローチャートであり、図9は、図8のステップS802の処理の詳細を示すフローチャートである。
Next, an operation example of the collected
FIG. 8 is a flowchart showing the entire operation procedure of the collected
まず、図8において、通信部503が対話型アプリケーション実行管理装置600から送信された検査対象のユーザ端末装置400の識別情報である端末名(IPアドレス)を受信する(S801)。
次に、収集データ取得部507が、監視結果情報記憶部505の監視結果情報と、ポリシー情報記憶部502のポリシー情報と、データ取得部603から通知されたユーザ端末装置400の識別情報とに基づいて、取得対象のデータと取得先(ユーザ端末装置400のエージェント制御部403、AD700、WSUS800)を特定し(S802)、特定した取得先から取得対象のデータの送信を要求する。
次に、収集データ取得部507は、通信部503を介して、取得先から取得対象の収集データを受信する(S803)。
次に、ポリシー判断部501が、収集データ及びポリシー情報から、ポリシーチェックを行い、監視結果情報を生成する(S804)。
次に、通信部503が、ポリシー判断部501により生成された監視結果情報を対話型アプリケーション実行管理装置600に送信する(S805)。
次に、ポリシー判断部501が、ステップS804で生成された監視結果情報を監視結果情報記憶部505に格納する。この際に、監視結果情報に有効期限及び生存期限を書き込み、図6に示す形式の監視結果情報にする。
また、同様に、ポリシー判断部501は、収集データに生存期限を書き込み、図7に示す形式の収集データとし、所定の記録領域(例えば、監視結果情報記憶部505)に格納する。
First, in FIG. 8, the
Next, the collected
Next, the collected
Next, the policy determination unit 501 performs a policy check from the collected data and the policy information, and generates monitoring result information (S804).
Next, the
Next, the policy determination unit 501 stores the monitoring result information generated in step S804 in the monitoring result
Similarly, the policy determination unit 501 writes the lifetime in the collected data, and stores it in a predetermined recording area (for example, the monitoring result information storage unit 505) as the collected data in the format shown in FIG.
次に、図9を参照して、図8のステップS802の詳細を説明する。 Next, the details of step S802 in FIG. 8 will be described with reference to FIG.
収集データ取得部507では、対話型アプリケーション実行管理装置600から通知された端末名(IPアドレス)と監視結果情報記憶部505に格納されている監視結果情報(図7)の端末名(IPアドレス)とを比較する(S901)。
次に、収集データ取得部507は、端末名が一致し、有効期限が経過していないレコードを監視結果情報から抽出する(S902)。つまり、対話型アプリケーション実行管理装置600から通知された端末名に一致する端末名が示され、また、現在よりも後の日付が有効期限として示されている監視結果情報のレコードを抽出する。
次に、収集データ取得部507は、ステップS902で抽出した監視結果情報のレコードの情報名と、ポリシーテーブル5021(図5(a))の情報名とを比較する(S903)。
そして、収集データ取得部507は、情報名が一致しないレコードをポリシーテーブル5021から抽出する(S904)。
つまり、ポリシー情報に示される検査項目(情報名)のうち、当該ユーザ端末装置400の監視結果情報において検査結果が有効期限内である検査項目(期限内検査項目)以外の検査項目を抽出する。
このステップS904で抽出されたレコードは、今回検査を要する検査項目、すなわち現在有効期限内の検査結果が不足している検査項目が示されるレコードであり、不足ポリシーレコードと呼ぶ。
In the collected
Next, the collected
Next, the collected
Then, the collected
That is, from the inspection items (information names) indicated in the policy information, inspection items other than the inspection items (in-time inspection items) whose inspection results are within the expiration date in the monitoring result information of the
The record extracted in step S904 is a record indicating an inspection item that needs to be inspected this time, that is, an inspection item for which the inspection result within the current expiration date is insufficient, and is referred to as an insufficiency policy record.
次に、収集データ取得部507は、不足ポリシーレコードの情報名と、情報テーブル5022(図5(b))の情報名とを比較し、また、対話型アプリケーション実行管理装置600から通知された端末名と情報テーブル5022の端末名とを比較する(S905)。
次に、収集データ取得部507は、情報名と端末名が一致するレコードを情報テーブル5022から抽出する(S906)。
情報テーブル5022では、情報名ごと、端末名ごとに、種別が指定されているので、不足ポリシーレコードの情報名と対話型アプリケーション実行管理装置600から通知された端末名から適用する種別を選択する。
次に、収集データ取得部507は、ステップS906で抽出した情報テーブルのレコードの種別と、種別テーブル(図5(c))の種別とを比較する(S907)。
次に、収集データ取得部507は、種別が一致するレコードを種別テーブルから抽出し(S908)、抽出したレコードに示される収集手段に基づいて、取得対象のレコードを取得する(S909)。
収集手段の欄にgetAgentInfoが示されている場合は、この収集手段を用いてユーザ端末装置400で動作するエージェント実行部402のエージェント制御部403に対してデータを要求する。収集手段の欄にgetADInfoが示されている場合はAD700に対してデータを要求する。収集手段の欄にgetWSUSInfoが示されている場合はWSUS800に対してデータを要求する。
Next, the collected
Next, the collected
In the information table 5022, since the type is specified for each information name and each terminal name, the type to be applied is selected from the information name of the shortage policy record and the terminal name notified from the interactive application
Next, the collected
Next, the collected
When getAgentInfo is shown in the collection means column, data is requested from the
以上のように、エージェント実行部402に、収集データ管理装置500からの制御を受け付けるエージェント制御部403を設け、収集データ管理装置500側からエージェント実行部402の動作制御を行う。
また、対話型アプリケーション実行管理装置600の定義(モデル)をアクティビティ図で記述し、「エージェントからデータ取得」のアクティビティを実行するときに、収集データ管理装置500に対してエージェントの起動・データ収集、ポリシーチェックの実行を要求する。
これにより、ブラウザ401が対話型アプリケーション実行管理装置600へ要求を出すと、収集データ管理装置500からエージェントに対してデータ収集を要求し、収集情報から監視結果情報を生成する。そのため必要なときにポリシーチェックを実行できる。
また、監視結果情報の検査結果が有効期限内であれば新たにデータを取得する必要が無く、また、このため、毎回エージェント実行部402からデータを取得する必要が無く、収集対象のデータの数を抑えることができ、データ収集におけるネットワーク負荷及びユーザ端末装置400におけるデータ収集負荷を低減することができる。
収集データ取得部507の種別毎に重複するデータが収集される場合でも、必要となるデータのみを収集することができる。
また、ポリシーチェックを実行するタイミングがモデルで記述できるため、データ取得の手順、タイミング、チェック内容をモデルの形式でまとめて記述できるという効果がある。
As described above, the
Further, the definition (model) of the interactive application
Accordingly, when the
Further, if the inspection result of the monitoring result information is within the expiration date, it is not necessary to acquire new data. For this reason, it is not necessary to acquire data from the
Even when overlapping data is collected for each type of the collected
In addition, since the timing for executing the policy check can be described in a model, the data acquisition procedure, timing, and check contents can be described together in the model format.
以上、本実施の形態では、収集データ管理装置に収集データ取得部を持ち、収集データ取得部からの制御によりデータを取得するエージェント制御部をエージェント実行部に持ち、ポリシーデータと収集データから監視結果情報を生成するポリシー判断部と、監視結果情報を保存する手段を持ち、対話型アプリケーション実行管理装置にモデル実行部を持ち、モデルにより収集データ管理装置に対して監視結果情報を要求して表示内容を生成するデータ取得部をもち、モデルによりポリシーチェックのタイミングを記述し、保存されている監視結果情報と、不足するデータは収集データ取得部によって収集し、ポリシー判断部によって監視結果情報を生成して対話型アプリケーション実行管理装置にて表示内容を生成しブラウザで表示するセキュリティチェックシステムについて説明した。 As described above, in the present embodiment, the collection data management apparatus has the collection data acquisition unit, the agent execution unit that acquires data by the control from the collection data acquisition unit, and the monitoring result from the policy data and the collection data. It has a policy judgment unit that generates information and means for storing monitoring result information. The interactive application execution management device has a model execution unit. By using the model, the monitoring data is requested from the collected data management device and displayed. The data acquisition unit generates the policy check timing, describes the timing of the policy check by the model, collects the saved monitoring result information and the deficient data by the collected data acquisition unit, and generates the monitoring result information by the policy judgment unit The display contents are generated by the interactive application execution management device and displayed in the browser. It was described Interview utility check system.
最後に、実施の形態1及び2に示したユーザ端末装置100、収集データ管理装置200、対話型アプリケーション実行管理装置300、ユーザ端末装置400、収集データ管理装置500及び対話型アプリケーション実行管理装置600(以下、ユーザ端末装置100等と表記する)のハードウェア構成例について説明する。
図10は、実施の形態1及び2に示すユーザ端末装置100等のハードウェア資源の一例を示す図である。
なお、図10の構成は、あくまでもユーザ端末装置100等のハードウェア構成の一例を示すものであり、ユーザ端末装置100等のハードウェア構成は図10に記載の構成に限らず、他の構成であってもよい。
Finally, the
FIG. 10 is a diagram illustrating an example of hardware resources such as the
10 is merely an example of the hardware configuration of the
図10において、ユーザ端末装置100等は、プログラムを実行するCPU911(Central Processing Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。
CPU911は、バス912を介して、例えば、ROM(Read Only Memory)913、RAM(Random Access Memory)914、通信ボード915、表示装置901、キーボード902、マウス903、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。
更に、CPU911は、FDD904(Flexible Disk Drive)、コンパクトディスク装置905(CDD)、プリンタ装置906、スキャナ装置907と接続していてもよい。また、磁気ディスク装置920の代わりに、光ディスク装置、メモリカード(登録商標)読み書き装置などの記憶装置でもよい。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置の一例である。
通信ボード915、キーボード902、マウス903、スキャナ装置907、FDD904などは、入力装置の一例である。
また、通信ボード915、表示装置901、プリンタ装置906などは、出力装置の一例である。
In FIG. 10, the
The
Further, the
The
A
The
通信ボード915は、ネットワークに接続されている。例えば、通信ボード915は、LAN(ローカルエリアネットワーク)、インターネット、WAN(ワイドエリアネットワーク)などに接続されている。
The
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。
プログラム群923のプログラムは、CPU911がオペレーティングシステム921、ウィンドウシステム922を利用しながら実行する。
The
The programs in the
また、RAM914には、CPU911に実行させるオペレーティングシステム921のプログラムやアプリケーションプログラムの少なくとも一部が一時的に格納される。
また、RAM914には、CPU911による処理に必要な各種データが格納される。
The
The
また、ROM913には、BIOS(Basic Input Output System)プログラムが格納され、磁気ディスク装置920にはブートプログラムが格納されている。
ユーザ端末装置100等の起動時には、ROM913のBIOSプログラム及び磁気ディスク装置920のブートプログラムが実行され、BIOSプログラム及びブートプログラムによりオペレーティングシステム921が起動される。
The
When the
上記プログラム群923には、実施の形態1及び2の説明において「〜部」として説明している機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
The
ファイル群924には、実施の形態1及び2の説明において、「〜の判断」、「〜の比較」、「〜の抽出」、「〜の特定」、「〜の設定」、「〜の登録」、「〜の選択」等として説明している処理の結果を示す情報やデータや信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」の各項目として記憶されている。
「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示などのCPUの動作に用いられる。
抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリ、レジスタ、キャッシュメモリ、バッファメモリ等に一時的に記憶される。
また、実施の形態1及び2で説明しているフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
In the description of the first and second embodiments, the
The “˜file” and “˜database” are stored in a recording medium such as a disk or a memory. Information, data, signal values, variable values, and parameters stored in a storage medium such as a disk or memory are read out to the main memory or cache memory by the
Information, data, signal values, variable values, and parameters are stored in the main memory, registers, cache memory, and buffers during the CPU operations of extraction, search, reference, comparison, calculation, processing, editing, output, printing, and display. It is temporarily stored in a memory or the like.
In addition, the arrows in the flowcharts described in the first and second embodiments mainly indicate input / output of data and signals, and the data and signal values are the
また、実施の形態1及び2の説明において「〜部」として説明しているものは、「〜回路」、「〜装置」、「〜機器」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」として説明しているものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、実施の形態1及び2の「〜部」としてコンピュータを機能させるものである。あるいは、実施の形態1及び2の「〜部」の手順や方法をコンピュータに実行させるものである。
In addition, what is described as “˜unit” in the description of the first and second embodiments may be “˜circuit”, “˜device”, “˜device”, and “˜step”, It may be “˜procedure” or “˜processing”. That is, what is described as “˜unit” may be realized by firmware stored in the
このように、実施の形態1及び2に示すユーザ端末装置100等は、処理装置たるCPU、記憶装置たるメモリ、磁気ディスク等、入力装置たるキーボード、マウス、通信ボード等、出力装置たる表示装置、通信ボード等を備えるコンピュータであり、上記したように「〜部」として示された機能をこれら処理装置、記憶装置、入力装置、出力装置を用いて実現するものである。
As described above, the
100 ユーザ端末装置、101 エージェント実行部アクセス部、102 エージェント実行部、103 通信部、104 入力部、105 表示部、106 ブラウザ、200 収集データ管理装置、201 ポリシー判断部、202 収集データ、203 監視結果情報、204 ポリシー情報記憶部、205 通信部、300 対話型アプリケーション実行管理装置、301 画面情報生成部、302 データ取得部、303 通信部、400 ユーザ端末装置、401 ブラウザ、402 エージェント実行部、403 エージェント制御部、404 通信部、405 入力部、406 表示部、500 収集データ管理装置、501 ポリシー判断部、502 ポリシー情報記憶部、503 通信部、504 監視結果情報、505 監視結果情報記憶部、506 収集データ、507 収集データ取得部、600 対話型アプリケーション実行管理装置、601 画面情報生成部、602 モデル実行部、603 データ取得部、604 通信部、700 AD、800 WSUS。
DESCRIPTION OF
Claims (4)
前記ポリシー検査装置における検査に用いられるデータを収集し、収集したデータを前記ポリシー検査装置に送信するデータ収集部と、
前記データ収集部がデータの収集を完了した際に前記検査結果送信装置に対して検査結果情報の送信を要求し、要求に対する応答として前記検査結果送信装置から検査結果情報を受信する検査結果送信要求部とを有することを特徴とする情報処理装置。 Connected to a policy inspection apparatus that inspects whether or not the content shown in the collected data matches a predetermined policy, and an inspection result transmission apparatus that transmits inspection result information indicating an inspection result by the policy inspection apparatus,
A data collection unit that collects data used for inspection in the policy inspection device, and transmits the collected data to the policy inspection device;
When the data collection unit completes data collection, the inspection result transmission request is sent to the inspection result transmission device, and the inspection result transmission request is received from the inspection result transmission device as a response to the request. And an information processing apparatus.
前記データ収集部から前記ポリシー検査装置に送信されたデータに対する検査結果を示す検査結果情報を選択して受信することを特徴とする請求項1に記載の情報処理装置。 The inspection result transmission request unit includes:
The information processing apparatus according to claim 1, wherein the information processing apparatus selects and receives inspection result information indicating an inspection result for data transmitted from the data collection unit to the policy inspection apparatus.
収集されたデータに示される内容がセキュリティポリシーに合致するか否かの検査を行うポリシー検査装置に接続され、
前記データ収集部は、
前記情報処理装置におけるセキュリティ対策に関するデータを収集することを特徴とする請求項1又は2に記載の情報処理装置。 The information processing apparatus includes:
Connected to a policy checking device that checks whether the contents shown in the collected data match the security policy,
The data collection unit
The information processing apparatus according to claim 1, wherein data relating to security measures in the information processing apparatus is collected.
前記ポリシー検査装置における検査に用いられるデータを収集し、収集したデータを前記ポリシー検査装置に送信するデータ収集処理と、
前記データ収集処理がデータの収集を完了した際に前記検査結果送信装置に対して検査結果情報の送信を要求し、要求に対する応答として前記検査結果送信装置から検査結果情報を受信する検査結果送信要求処理とを実行させることを特徴とするプログラム。 It is connected to a policy inspection apparatus that inspects whether or not the contents shown in the collected data match a predetermined policy, and an inspection result transmission apparatus that transmits inspection result information indicating an inspection result by the policy inspection apparatus. On the computer,
Data collection processing for collecting data used for inspection in the policy inspection apparatus and transmitting the collected data to the policy inspection apparatus;
When the data collection process completes data collection, the inspection result transmission apparatus requests the inspection result transmission apparatus to transmit inspection result information, and receives the inspection result information from the inspection result transmission apparatus as a response to the request. A program characterized by causing processing to be executed.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008198211A JP5106301B2 (en) | 2008-07-31 | 2008-07-31 | Information processing apparatus and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008198211A JP5106301B2 (en) | 2008-07-31 | 2008-07-31 | Information processing apparatus and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010039525A JP2010039525A (en) | 2010-02-18 |
JP5106301B2 true JP5106301B2 (en) | 2012-12-26 |
Family
ID=42012049
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008198211A Expired - Fee Related JP5106301B2 (en) | 2008-07-31 | 2008-07-31 | Information processing apparatus and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5106301B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6915183B1 (en) * | 2021-02-04 | 2021-08-04 | 株式会社システムサポート | Security inspection system and security inspection method |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4254988B2 (en) * | 2001-03-16 | 2009-04-15 | 株式会社日立製作所 | Security diagnostic system and security diagnostic method |
JP4052007B2 (en) * | 2002-05-17 | 2008-02-27 | 日本電気株式会社 | Web site safety authentication system, method and program |
JP2005242754A (en) * | 2004-02-27 | 2005-09-08 | Mitsubishi Electric Corp | Security management system |
JP2006221327A (en) * | 2005-02-09 | 2006-08-24 | Hitachi Ltd | Computer system and storage device |
JP2007164465A (en) * | 2005-12-14 | 2007-06-28 | Hitachi Ltd | Client security management system |
JP2007172221A (en) * | 2005-12-21 | 2007-07-05 | Nippon Telegraph & Telephone East Corp | Quarantine system, quarantine device, quarantine method, and computer program |
JP4676329B2 (en) * | 2005-12-27 | 2011-04-27 | 株式会社日立製作所 | Service providing system, interactive display apparatus, and service providing method |
JP4058477B2 (en) * | 2006-06-30 | 2008-03-12 | クオリティ株式会社 | Management system, management server, and management program |
-
2008
- 2008-07-31 JP JP2008198211A patent/JP5106301B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2010039525A (en) | 2010-02-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11681699B2 (en) | Automated extraction of data from web pages | |
US20230141866A1 (en) | Method and system for optimizing dynamic user experience applications | |
JP5443513B2 (en) | Method and system for handling cookies across domains | |
US20120246122A1 (en) | Integrating data-handling policies into a workflow model | |
RU2424562C1 (en) | Method of determining website information by analysing web page structure | |
JP2000357141A (en) | System and method for gathering information on network using technology of internet and recording medium where information gathering method is recorded | |
US20100077257A1 (en) | Methods for disaster recoverability testing and validation | |
JP2010500689A (en) | Method for enabling web analysis of interactive web applications | |
JP2012168950A (en) | Web service for automated cross-browser compatibility checking of web applications | |
US9197431B2 (en) | Matching an autonomic manager with a manageable resource | |
WO2021249356A1 (en) | Form data verification method, system, server, and user terminal | |
JP2011002870A (en) | Method for evaluating and improving operability of web application, and web system | |
JP2013528859A (en) | Integration of client application and web page | |
US20130263156A1 (en) | Operation log collection method and device | |
US8850308B1 (en) | Automated determination of website structure | |
US20110035433A1 (en) | Webpage display method, computer system, and program | |
JP2021507435A (en) | Dynamic Web page visitor behavior analysis information providing device and website visitor behavior analysis information providing method using this device | |
US10719202B2 (en) | System for dynamically rendering a graphical user interface | |
CN113419711A (en) | Page guiding method and device, electronic equipment and storage medium | |
JP5006823B2 (en) | Screen information generation device, terminal control device, screen information generation method, screen information generation program, terminal control method, and terminal control program | |
JP4878193B2 (en) | Determination program, determination method, and determination apparatus | |
JP5106301B2 (en) | Information processing apparatus and program | |
US10735300B1 (en) | Discovery and testing of program dependencies in computer networks | |
JP2010186283A (en) | Information processor, information processing method, and information processing program | |
JP4698685B2 (en) | Display information verification program, method and apparatus |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110511 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120607 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120619 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120724 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120904 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121002 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151012 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |