実施形態について、図面を参照して説明する。なお、以下に説明する実施形態は特許請求の範囲にかかる発明を限定するものではなく、また実施形態の中で説明されている諸要素及びその組み合わせの全てが発明の解決手段に必須であるとは限らない。
なお、以後の説明では「aaaテーブル」、「aaaリスト」、「aaaDB」、「aaaキュー」、「aaa表」等の表現にて本発明の情報を説明するが、これら情報は必ずしもテーブル、リスト、DB、キュー、表等のデータ構造以外で表現されていてもよい。そのため、データ構造に依存しないことを示すために「aaaテーブル」、「aaaリスト」、「aaaDB」、「aaaキュー」、「aaa表」等について「aaa情報」と呼ぶことがある。さらに、各情報の内容を説明する際に、「識別情報」、「識別子」、「名」、「名前」、「ID」という表現を用いるが、これらについてはお互いに置換が可能である。
また、以下の説明では、プログラム、又は、プログラムのモジュールを主語として処理を説明する場合があるが、プログラム(又はプログラムのモジュール)は、制御デバイスに含まれるプロセッサ(例えばCPU(Central Processing Unit))によって実行されることで、定められた処理を、適宜に記憶資源(例えばメモリ)及び/又は通信インターフェースデバイス(例えばポート)を用いながら行うため、処理の主語がプロセッサとされてもよい。プログラム又はプログラムのモジュールを主語として説明された処理は、プロセッサ或いはそのプロセッサを有するコンピュータが行う処理としても良い。また、プロセッサが行う処理の一部又は全部を行うハードウェア回路を含んでも良い。プログラムは、プログラムソースからインストールされても良い。プログラムソースは、例えば、プログラム配布サーバ又は記憶メディアであっても良い。制御デバイスは、所定の処理(例えば暗号化或いは圧縮等)を行う専用ハードウェア回路を有し、プロセッサと専用ハードウェア回路とで処理が行われても良い。
実施形態に係る安全性評価マシンは入出力デバイスを有する。入出力デバイスの例としてはディスプレイとキーボードとポインタデバイスが考えられるが、これ以外のデバイスであってもよい。また、入出力デバイスの代替としてシリアルインターフェースやイーサーネットインターフェース(イーサーネットは登録商標)を入出力デバイスとし、当該インターフェースにディスプレイ又はキーボード又はポインタデバイスを有する表示用装置を接続し、表示用情報を表示用装置に送信したり、入力用情報を表示用装置から受信することで、表示用装置で表示を行ったり、入力を受け付けることで入力デバイスでの入力及び表示を代替してもよい。
安全性評価装置は、一以上の計算機の集合で良い。計算機が表示用情報を表示する場合は、その計算機が安全性評価装置である。また、計算機と表示用装置の組み合わせも安全性評価装置である。また、管理処理の高速化や高信頼化のために複数の計算機で安全性評価マシンと同等の処理を実現してもよく、この場合は、当該複数の計算機(表示を表示用装置が行う場合は表示用装置も含め)が安全性評価装置である。本実施形態では、安全性評価を行う個々の計算機を「安全性評価マシン」と言う。安全性評価マシンは、仮想計算機(例えばいわゆる仮想デスクトップ)を実現する装置であっても良い。
また、本実施形態において、安全性評価マシンの「表示する」という行為は、安全性評価マシンが、その安全性評価マシンの表示デバイスに安全性評価結果等を表示する行為と、安全性評価マシンの表示用装置(例えばクライアント)に、その表示用装置の表示デバイスに表示される安全性評価結果等の表示用情報を送信する行為のいずれであっても良い。表示用装置は、表示用情報を受信した場合、その表示用情報が表す安全性評価結果等を表示デバイスに表示することができる。
まず、図1を参照して、実施形態の概要について説明する。
データセンタ10(サーバコンピュータ100)及びクライアント300の属する各国の法規情報を、安全性評価マシン200が使用する記憶装置(図示せず)が記憶しておく。安全性評価マシン200は、データに対する属性情報(データ属性情報)を受け付け、データのアップロード時や、法規の変更時、データ属性情報の変更時などに、安全性評価マシン200が、データセンタ10(サーバコンピュータ100)の属する地域の地域IDに基づいて、データセンタ10(サーバコンピュータ100)に対するデータの配置の安全性の評価を行い、例えば、その評価結果をユーザのクライアント300に表示する(つまり評価結果の表示用情報をクライアント300に送信する)。地域IDとしては、法規を規定する範囲となる地域(国、州、県等)が一義的に決まるものであればよく、国名、住所等であってもよい。また、地域IDとして、サーバコンピュータ100のトップレベルドメインを用いてもよい。しかしながら、この場合には、トップレベルドメインが示す国と、実際にサーバコンピュータ100の所在する国とが一致している必要がある。また、地域IDとして、例えば、IPアドレスが用いられてもよい。基本的には、IPアドレスは、国との対応度が高いので、地域IDとして用いることができる場合が多い。
次に、実施形態について、詳細に説明する。
ここで、まず使用する用語について説明する。
「安全性」は、例えば、法規(法律や規則)を考慮した法的リスクである。対象とする法規としては、例えば、クラウドサービスのユーザ(クラウドユーザ)の所在する国と、データを管理するデータセンタ(DC:Data Center)の所在する国との法規等がある。本実施形態では、輸出入管理に関する安全性や、データ開示・差押えに関する安全性が、評価の対象とされる。
「輸出入管理に関する安全性」は、輸出規制、再輸出規制、DC所在地の輸入規制等を考慮したリスクである。例えば、対象となる法規としては、日本であれば、外国為替及び外国貿易法があり、アメリカであれば、EAR(Export Administration Regulations)等がある。
「データ開示・差押えに関する安全性」は、データセンタの所在地における公権力によるデータ強制開示や差押えのリスクである。例えば、データセンタにデータを格納している場合においては、同じデータセンタを利用している他のユーザが不祥事を起こし、捜査対象となると、データセンタのサーバが差し押さえられてデータにアクセスできなくなったり、サーバの機密情報を開示させられたりする場合がある。
これらのリスクは、各国の政府や捜査当局の法規により異なるので、各国の法規に基づいて、データ開示・差押えのリスクが評価される。例えば、対象となる法規としては、アメリカであれば、アメリカ国内に存在するデータに対し、FBI、政府当局が捜査権限を有するというパトリオット法があり、イギリスであれば、捜査権限規制法があり、中国であれば、データ規制捜査権限法がある。
次に、実施形態に係る計算機システムについて説明する。
図1は、実施形態に係る計算機システムの構成例を示す図である。
計算機システムは、複数のデータセンタ(DC:Data Center)10と、複数のクライアントコンピュータ(以下、クライアント)300とを含む。複数のデータセンタ10と、クライアント300は、ネットワーク20に接続されている。
データセンタ10は、1以上のサーバコンピュータ(以下、サーバ)100と、安全性評価マシン(安全性評価計算機)200とを有する。サーバ100と、安全性評価マシン200とは、内部ネットワーク(例えばLAN(Local Area Network))15を介してネットワーク20に接続されている。データセンタ10には、国Aに設置されているデータセンタAと、国Bに設置されているデータセンタBとがある。
サーバ100は、ストレージサービス、プラットフォーム貸出サービス、アプリケーションサービス等のクラウドサービスを提供する。安全性評価マシン200は、クラウドサービスのユーザ(クラウドユーザ)のデータ(ユーザデータ:例えば、ドキュメント、プログラム、表、画像等のデータ)をサーバ100にアップロードする処理に割り込み、ユーザデータの安全性と、ユーザデータのアップロード先のサーバ100とを管理する。
クライアント300としては、例えば、国Aに設置され、クラウドサービスの提供者(クラウドプロバイダ)により利用されるクライアントAと、国Bに設置され、クラウドユーザにより利用されるクライアントBと、国Cに設置され、クラウドユーザにより利用されるクライアントCとがある。
クラウドユーザは、クライアント300を用いて、ネットワーク20を介して、サーバ100が提供するサービスを利用することができる。この計算機システムにおいては、データセンタ10に対して、例えば、クラウドプロバイダや、データセンタ10の所在国と異なる国のクラウドユーザのクライアント300からアクセスされることがある。
図2は、クライアント300の構成例を示す図である。
クライアント300は、ポート301と、メモリ302と、プロセッサ303と、入出力チャネル304とを有する。ポート301は、ネットワーク20を介しての他の装置との通信を仲介する。入出力チャネル304には、入力デバイス305、モニタ306、外部記憶装置307等が接続される。入出力チャネル304は、これら装置との間の通信を仲介する。入力デバイス305は、例えば、キーボード、マウス等であり、ユーザによる各種情報の入力を受け付ける。モニタ306は、画像等を表示出力する。外部記憶装置307は、例えば、HDD(Hard Disk Drive)等の記憶装置であり、クライアント300で使用するデータ等を記憶する。
メモリ302は、プロセッサ303で実行されるコンピュータプログラムや、プロセッサ303により利用されるデータを記憶する。メモリ302は、例えば、オペレーティングシステム309や、アプリケーション308を記憶する。プロセッサ303は、メモリ302に格納されたプログラムに従って各種処理を実行する。
図3は、サーバ100の構成例を示す図である。
サーバ100は、ポート101と、メモリ102と、プロセッサ103と、入出力チャネル104とを有する。ポート101は、内部ネットワーク15及びネットワーク20を介しての他の装置との通信を仲介する。入出力チャネル104には、外部記憶装置105が接続される。入出力チャネル104は、外部記憶装置105との間の通信を仲介する。外部記憶装置105は、例えば、HDD等の記憶装置であり、クライアントコンピュータ300からアップロードされたユーザデータ等を記憶する。また、サーバ100が、外部記憶装置105に代えて記憶装置を内蔵していても良い。
メモリ102は、プロセッサ103により利用されるプログラムや、プロセッサ103により利用されるデータを記憶する。メモリ102は、例えば、オペレーティングシステム107や、アプリケーション106を記憶する。プロセッサ103は、メモリ102に格納されたプログラムに従って各種処理を実行する。
図4は、安全性評価マシン200の構成例を示す図である。
安全性評価マシン200は、ポート201と、メモリ202と、プロセッサ203と、入出力チャネル204とを有する。ポート201は、内部ネットワーク15及びネットワーク20を介しての他の装置との通信を仲介する。入出力チャネル204には、外部記憶装置205が接続される。入出力チャネル204は、外部記憶装置205との間の通信を仲介する。外部記憶装置205は、例えば、HDD等の記憶装置であり、安全性評価マシン200で使用するデータ等を格納する。本実施形態では、外部記憶装置205は、データ配置管理データベース(データ配置管理DB)208と、安全性評価情報データベース(安全性評価情報DB)209とを記憶する。なお、安全性評価マシン200が、外部記憶装置205に代えて記憶装置を内蔵していても良い。
メモリ202は、プロセッサ203により利用されるプログラムや、プロセッサ203により利用されるデータを記憶する。メモリ202は、例えば、オペレーティングシステム207や、安全性評価に関わる処理を実行する安全性評価プログラム206を記憶する。プロセッサ203は、メモリ202に格納されたプログラムに従って各種処理を実行する。
図5は、安全性評価プログラム206による機能の一例を説明する図である。
安全性評価プログラム206は、複数のプログラムモジュール、例えば、安全性監視マネージャ部206aと、安全性評価部206bと、データ配置管理部206cと、安全性評価情報制御部206dとを有する。安全性評価プログラム206は、外部記憶装置205に格納されているデータ配置管理DB208、安全性評価情報DB209、評価結果情報215等の情報を用いて各種処理を行う。
安全性監視マネージャ部206aは、ユーザデータの安全性評価の要求や、データ属性情報の変更の要求を受け付ける。また、安全性管理マネージャ部206aは、安全性評価情報DB209の各情報の変更を監視し、変更があった場合には、安全性評価部206bへ安全性の評価を指示する。また、安全性監視マネージャ部206aは、安全性の評価結果に従って、データ配置管理部206cへデータの配置換えの指示(データ配置変更指示)を渡す。
安全性評価部206bは、安全性評価情報DB209及びデータ配置管理DB208の情報を利用して、ユーザデータの配置に関する安全性を評価する。また、安全性評価部206bは、安全性の評価結果を評価結果情報215として、例えば、メモリ202又は外部記憶装置205に記憶させる。また、安全性評価部206bは、安全性の評価結果を含む画面(評価結果画面(図22、23参照)、DC候補表示画面(図32参照)をクライアント300に表示する。
データ配置管理部206cは、ユーザデータの所在を管理する処理を行う。データ配置管理部206cは、例えば、安全性監視マネージャ部206aからデータ配置変更指示を受けた場合には、対応するユーザデータを移動させ、ファイルリスト210の情報を更新する。
安全性評価情報制御部206dは、ユーザ(クラウドプロバイダ、又はクラウドユーザ)からの入力をクライアント300から受け付け、安全性評価情報DB209への情報登録、更新を行う。
データ配置管理DB208は、ユーザがアップロードしたデータ(ユーザデータ)が、どのDC10に格納されているかを管理するためのファイルリスト210を格納する。安全性評価情報DB209は、安全性評価に利用する各種情報(ユーザ情報211、データ属性情報212、法規情報213、DC情報214)を格納する。本実施形態では、ユーザ情報211、データ属性情報212は、クラウドユーザによって定義される。また、法規情報213、DC情報214は、クラウドプロバイダによって定義される。
ファイルリスト210の一例として、本実施形態では、ファイルリストテーブル220を用いている。
図6は、ファイルリストテーブル220の一例を説明する図である。
ファイルリストテーブル220は、どのファイル(ユーザデータのファイル)がどのDC10のサーバ100にアップロードされているかを管理するテーブルであり、ファイルID220aと、データセンタ名220bと、ファイル名(又はディレクトリ名)220cと、登録ユーザID220dとのフィールドを有する。このファイルリストテーブル220は、データアップロード時処理(図20参照)が行われることにより、全フィールドのデータが格納される。
ファイルID220aは、ファイルを一意に識別するIDを格納する。データセンタ名220bは、対応するファイルを格納するデータセンタ名を格納する。ファイル名(又はディレクトリ名)220cは、対応するファイルのファイル名又はディレクトリ名を格納する。登録ユーザID220dは、対応するファイルを登録したクラウドユーザのユーザIDを格納する。
例えば、ファイルリストテーブル220の一番上のレコードは、ファイルIDが“F001”のファイルは、第1センタに格納され、そのファイル名は、“/xx/yyy/zz1/file_zz1”であり、ファイルを登録したユーザのユーザIDが“UID_001”であることを示している。
ユーザ情報211の一例として、本実施形態では、ユーザ情報テーブル221を用いている。
図7は、ユーザ情報テーブル221の一例を説明する図である。
ユーザ情報テーブル221は、登録ユーザID221aと、ユーザ国コード221bとのフィールドを有する。登録ユーザID221aは、ユーザのIDを格納する。ユーザ国コード221bは、ユーザが所在する国のコード(クライアント地域ID)を格納する。ユーザ情報テーブル221は、例えば、計算機システムの利用開始時に、ユーザが登録した情報に基づいて生成される。例えば、ユーザ情報テーブル221の一番上のレコードは、“UID_001”のユーザは、国コードが“AA”の国に所在していることを意味している。
DC情報214の一例として、本実施形態では、DC情報テーブル222を用いている。
図8は、DC情報テーブル222の一例を説明する図である。
DC情報テーブル222は、データセンタ名222aと、所在地コード222bとのフィールドを有する。データセンタ名222aは、データセンタ10の名称(データセンタ名)を格納する。所在地コード222bは、対応するデータセンタの所在している所在地(例えば、国)のコード(所在地コード:サーバ地域IDの一例)を格納する。なお、データセンタ10の所在地は、データセンタ10に属するサーバ100の所在地ということもできる。DC情報テーブル222は、例えば、クラウドプロバイダにより定義される。
例えば、DC情報テーブル222の一番上のレコードは、“第1センタ”は、所在地コードが“AA”の地域に所在していることを意味している。
データ属性情報212の一例として、本実施形態では、輸出管理情報テーブル223及び受容基準情報テーブル224を用いている。
図9は、輸出管理情報テーブル223の一例を説明する図である。
輸出管理情報テーブル223は、ファイルID223aと、判定パラメータ223bと、評価コード223cとのフィールドを有する。ファイルID223aは、対応するファイルのファイルIDを格納する。判定パラメータ223bは、ファイルの所有者のクラウドユーザの所在する国(本国)の輸出規制、本国と異なる第1国における技術を本国から第3国に輸出する場合に、適用される第1国の規制(再輸出規制(第1国の域外適用))、及びDC10の所在国の輸入規制に対する安全性の評価で判定すべきパラメータ(判定パラメータ)を1以上格納する。評価コード223cは、対応するファイルについての各判定パラメータに対応する値、コード(評価コード)を格納する。
例えば、輸出管理情報テーブル223の一番上のレコードは、ファイルIDが“F001”のファイルについての判定パラメータには、“リスト規制該非”、“EAR”があり、それぞれの判定パラメータに対する評価コードは、“該当”、“非該当”であることを意味している。
図10は、受容基準情報テーブル224の一例を説明する図である。
受容基準情報テーブル224は、ファイルID224aと、データ開示224bと、データ差押え224cとのフィールドを有する。ファイルID224aは、対応するファイルのファイルIDを格納する。データ開示224bは、対応するファイルについて、開示されることをクラウドユーザが許容できるか否かの情報を格納する。データ差押え224cは、対応するファイルについて、差押えされることをクラウドユーザが許容できるか否かの情報を格納する。
例えば、受容基準情報テーブル224の一番上のレコードは、ファイルIDが“F001”のファイルについて、データ開示されることについては、“許容できる”ことを示し、データ差押えされることについて、“許容できる”ことを示している。
法規情報213の一例として、本実施形態では、輸出入関連法規テーブル225、法規判定ルールテーブル226、227、データ開示・差押え法規テーブル228、及びデータ開示・差押えリスクテーブル229を用いている。
図11は、輸出入関連法規テーブル225の一例を説明する図である。
輸出入関連法規テーブル225は、国コード225aと、種別225bと、域外適用225cと、法規名225dと、判定パラメータ225eと、法規判定ルール225fとのフィールドを有する。国コード225aは、対応する法規を整備している地域(国、州等)のコードを格納する。種別225bは、対応する法規が関係する規制の種別を格納する。本実施形態としては、例えば、輸出に関する法規であれば、輸出、輸入に関する法規であれば、輸入が格納される。域外適用225cは、対応する法規が当該地域以外に適用されるか否かを示す情報が格納される。例えば、データの原産国における法規が域外適用される場合には、現時点のデータ保有国の法規だけでなく、域外適用されるデータの原産国の法規についても考慮する必要があり、そのような場合を検出するために、域外適用225cの情報が用いられる。法規名225dは、対応する法規の名称(法規名)が格納される。判定パラメータ225eは、ユーザデータについて、法規上の安全性を判定するために必要なパラメータ(判定パラメータ)を格納する。判定ルール225fは、法規上の安全性を判定するためのルールを定義した法規判定ルールテーブル(226、227等)に対する参照情報(ポインタ)を格納する。
例えば、輸出入関連法規テーブル225の一番上のレコードは、対応する法規が、地域コードが”AA”の地域の法規であり、“輸出”に関する法規であり、域外での適用はされない法規であり、法規名は、“外国為替及び外国貿易法”であり、判定パラメータは、リスト規制該非であり、法規判定ルールテーブルに対するポインタが格納されていることを示している。
図12は、第1の法規判定ルールテーブル226の一例を説明する図である。
法規判定ルールテーブル226は、対応する法規について安全性に問題があるか否かのルールを定義した表であり、縦軸に、輸出先の候補となる国のコード、すなわち、DC10の属する国のコードが並び、横軸に、対応する法規の判定パラメータが取り得る値(評価コード)が並んでいる。この表は、或る国から輸出先の国へ、判定パラメータであるリスト規制該非の評価コードに対応するデータを輸出する場合に、対応する法規(ここでは、外国為替及び外国貿易法)について、輸出可能(問題なし)か、輸出許可が必要(許可要)か、輸出禁止であるかを示している。
例えば、国コードが“AA”の地域に輸出する場合には、リスト規制該非が“該当”、“非該当”、“対象外”のいずれであっても、問題なし、すなわち輸出可能であることを示している。また、国コードが“DD”の地域に輸出する場合には、リスト規制該非が“該当”であれば、輸出に当たっては許可が必要であることを示している。
図13は、第2の法規判定ルールテーブル227の一例を説明する図である。
法規判定ルールテーブル227は、国コードが“CC”の地域のEAR規制についての安全性に問題があるか否かのルールを定義した表であり、例えば、図11の輸出入関連法規テーブル225の3つ目のレコードの法規判定ルール225fにおいてポインタが設定されている表であり、縦軸に、輸出先となる国のコード、すなわち、DC10の属する国のコードが並び、横軸に、EARに非該当であるとの評価コードと、EARにおける1以上の輸出規制品目分類番号(ECCN:Export Control Classification Number)が並んでいる。この表は、国コードが“CC”の地域から輸出先の国へ、ECCNに非該当又はECCNに該当するデータを輸出する場合に、EARに関して、輸出可能(問題なし)か、輸出許可が必要(許可要)か、輸出禁止であるかを示している。
例えば、国コードが“BB”の地域に輸出する場合に、ECCNが“番号1”であれば、EARにより輸出が禁止されていることを示している。
図14は、実施形態に係るデータ開示・差押え法規テーブルの一例を説明する図である。
データ開示・差押え法規テーブル228は、国コード228aと、法規名228bと、データ開示228cと、データ差押え228dとのフィールドを有する。国コード228aは、対応する法規を整備している地域(国、州等)のコードを格納する。法規名228bは、対応する法規の名称を格納する。データ開示228cは、対応する法規に、所定の際に、公権力がデータ開示を強制できる規定があるか否かの情報を格納する。データ差押え228dは、データの差押えができる規定があるか否かの情報を格納する。
例えば、データ開示・差押え法規テーブル228の一番上のレコードは、対応する法規が、地域コードが”CC”の地域の法規であり、法規名は、“パトリオット法”であり、対応する法規に、データ開示を強制できる規定があり、また、データの差押えができる規定があることを示している。
なお、データ開示、データ差押えに対する規定における法的リスクを管理するテーブルとして、データ開示・差押え法規テーブル228を例に説明したが、データ開示、データ差押え以外の他の状況を考慮する必要がある場合についても、このテーブルと同様な構成により実現できる。
図15は、実施形態に係るデータ開示・差押えリスクテーブルの一例を説明する図である。
データ開示・差押えリスクテーブル229は、各国に対して、データ開示、データ差押えのリスクがあるか否かを定義した表であり、データ開示・差押え法規テーブル228の各レコードについて、各国毎にまとめることにより得ることができる。ここで、データ開示・差押えリスクテーブル229があれば、データ開示・差押えのリスクを判定する上では、データ開示・差押え法規テーブル228は、必要がないが、本実施形態では、リスクのある法規名を表示するために、データ開示・差押え法規テーブル228を保持するようにしている。
データ開示・差押えリスクテーブル229は、縦軸に、輸出先の候補となる国のコード、すなわち、DCの属する国のコードが並び、横軸に、リスクを判定するデータ開示、データ差押えが並び、各国におけるデータ開示、データ差押えのリスクの有無を定義した表である。
データ開示・差押えリスクテーブル229においては、例えば、国コードが“BB”の地域においては、データ開示のリスクがあり、データ差押えのリスクがないことを示している。
評価結果情報215の一例として、本実施形態では、評価結果テーブル230を用いている。
図16は、評価結果テーブル230の一例を説明する図である。
評価結果テーブル230は、ファイルID230aと、データセンタ230bと、DCの安全性230cと、輸出入安全性230dと、輸出入安全性詳細230eと、データ開示等の安全性230fと、データ開示等の安全性詳細230gとのフィールドを有する。ファイルID230aは、対応するファイルのファイルIDを格納する。データセンタ230bは、データセンタ名を格納する。DCの安全性230cは、対応するファイルを対応するデータセンタ名のDCに格納した場合における安全性の判定結果(問題なし(OK)又は問題あり(NG))を格納する。輸出入安全性230dは、輸出入に関する安全性の判定結果を格納する。輸出入安全性詳細230eは、輸出入に関する安全性の判定結果の詳細を格納する。データ開示等の安全性230fは、データ開示・差押えに関する安全性の判定結果を格納する。データ開示等の安全性詳細230gは、データ開示・差押えに関する安全性の判定結果の詳細を格納する
例えば、評価結果テーブル230の2番目のレコードは、ファイルIDが“F001”のファイルを、第2センタに格納すると、安全性がNG(問題あり)であり、輸出入の安全性は、“許可要”すなわち許可が必要であり、輸出入の安全性の評価結果の詳細は、輸出規制として許可が必要であり、EAR規制の対象であり、データ開示等の安全性は、問題がないことを示している。
次に、本実施形態に係る計算機システムにおける処理動作について説明する。
まず、DC情報登録処理について説明する。DC情報登録処理は、安全性評価マシン200が、クラウドサービスにアップロードするユーザデータの安全性の管理を開始する前、すなわち、後述するデータアップロード時処理(図20)が開始される前に実行される。
図17は、実施形態に係るDC情報登録処理のフローチャートの一例である。
安全性監視マネージャ部206aが、クラウドプロバイダのクライアント300からDC情報登録要求を受け取ると、安全性評価情報制御部206dにDC情報登録処理の開始を指示し、安全性評価情報制御部206dがDC情報登録処理を開始する(ステップS1)。
まず、安全性評価情報制御部206dは、クラウドプロバイダのクライアント300のモニタ306に対して、DC情報登録画面1800(図18)を表示する(ステップS2)。具体的には、安全性評価情報制御部206dは、クライアント300のアプリケーション308に対して、DC情報登録画面1800を表示するためのデータを送信し、アプリケーション308によりクライアント300のモニタ306にDC情報登録画面1800を表示する。なお、クライアント300のモニタ306に表示する他の画面についても同様であるので、以降においては、画面表示の具体的な処理については省略する。
図18は、実施形態に係るDC情報登録画面の一例である。
DC情報登録画面1800には、情報を登録するデータセンタ名を入力するためのデータセンタ名領域1801と、データセンタの所在地を示す所在地コード(国コード)を入力するための所在地コード領域1802と、入力した内容を登録するためのOKボタン1803と、情報の登録をキャンセル(中止)するためのキャンセル(Cancel)ボタン1804とが表示される。なお、DC情報登録画面1800では、国コードを入力させるようにしているが、国コード及び国名との対応を内部テーブルとして記憶しておき、画面において国名をユーザに選択又は入力させ、内部テーブルに基づいて、国名を国コードに変換するようにしてもよい。
図17の説明に戻り、クライアント300では、アプリケーション308が、DC情報登録画面1800に対するクラウドプロバイダの入力デバイス305によるデータセンタ名、所在地コードの入力を受け付け、OKボタン1803が押下(例えばクリック)されると、OKボタン1803が押下された旨の情報と、入力されたデータとを、安全性評価マシン200に送信する。安全性評価情報制御部206dは、クライアント300からDC情報登録画面1800のOKボタン1803に対するクリックを受信すると(ステップS3)、入力されたデータを読み込み、DC情報テーブル222に、入力されたデータのデータセンタ名をキーとして、データセンタ名と、所在地コードとのエントリ(レコード)を登録する(ステップS4)。なお、DC情報テーブル222に既に対応するデータセンタ名のエントリが存在する場合には、当該エントリの所在地コードを入力された所在地コードで更新する。なお、クラウドプロバイダは、このDC情報登録処理により、計算機システムの各データセンタについて登録することとなる。これにより、図8に示すような、複数のDCに対応するレコードを有するDC情報テーブル222が構築される。
次に、法規情報登録処理について説明する。法規情報登録処理は、安全性評価マシン200が、クラウドサービスにアップロードするユーザデータの安全性の管理を開始する前に実行される。また、サービスの運用開始後の法規改正により、登録した法規情報を変更する必要がある場合に実行される。
図19は、実施形態に係る法規情報登録処理のフローチャートの一例である。
安全性監視マネージャ部206aが、クラウドプロバイダのクライアント300から法規情報登録要求を受け取ると、安全性評価情報制御部206dに法規情報登録処理の開始を指示し、安全性評価情報制御部206dが法規情報登録処理を開始する(ステップS11)。この法規情報登録処理においては、DC情報登録処理と同様に、テーブル、表に必要な情報を入力するための画面をクライアント300に表示させて、クライアント300においてクラウドプロバイダにより、必要な情報を入力させ、安全性評価情報制御部206dがクライアント300から入力された情報を読み込んで、入力された情報を対応するテーブルに登録する(ステップS12)。本実施形態では、法規情報登録処理においては、輸出入関連法規テーブル225、法規判定ルールテーブル226、227等、データ開示・差押え法規テーブル228、及びデータ開示・差押えリスクテーブル229に必要なデータの入力を受け付けて、これらテーブルにデータを登録している。
次に、ユーザがクライアント300に格納されているユーザデータをDC10のサーバ100にアップロードする際に実行されるデータアップロード時処理について説明する。
図20は、実施形態に係るデータアップロード時処理のフローチャートの一例である。
このデータアップロード時処理を実行する前においては、クラウドユーザは、クライアント300を用いて、安全性評価マシン200に対して計算機システムの利用のためにログインを実行しており、安全性評価マシン200は、クラウドユーザのユーザIDを把握できるようになっている。
安全性監視マネージャ部206aが、クラウドユーザのクライアント300からデータアップロード要求を受け取ると、安全性評価情報制御部206dにデータアップロード時処理の開始を指示し、安全性評価情報制御部206dがデータアップロード時処理を開始する(ステップS21)。
まず、安全性評価情報制御部206dは、クラウドユーザのクライアント300のモニタ306に対して、アップロード画面2100(図21)を表示する(ステップS22)。
図21は、実施形態に係るアップロード画面の一例である。
アップロード画面2100には、アップロードするファイル名を入力するためのファイル名入力領域2101と、データのアップロード先のデータセンタを選択入力するためのデータセンタ選択領域2102と、ファイル名及びデータセンタ10の指定を決定するためのOKボタン2103と、ファイル名及びデータセンタ10の指定をキャンセルするためのキャンセルボタン2104とが表示される。
図20の説明に戻り、クライアント300では、アプリケーション308が、アップロード画面2100に対するクラウドユーザの入力デバイス305によるアップロードするファイル名及びアップロード先のデータセンタ名の入力を受け付け、OKボタン2103がクリックされると、OKボタン2103がクリックされた旨の情報と、入力されたファイル名と、データセンタ名とを、安全性評価マシン200に送信する。
安全性評価情報制御部206dは、クライアント300からアップロード画面2100のOKボタン2103に対するクリックを受信すると(ステップS23)、データ配置管理部206cにより、ファイルリストテーブル220内でユニークなファイルIDを採番し、当該ファイルIDを登録ファイルIDとする(ステップS24)。なお、既に登録されているファイルと同じ名前のファイルを同じディレクトリに登録しようとしている場合(データ上書きの場合)には、ファイルリストテーブル220から対応するファイルIDを取得する。
次いで、安全性評価情報制御部206dは、クライアント300から送信されたデータセンタ名をデータアップロード先DC名とし(ステップS25)、登録ファイルID、ファイル名及びアップロード先DC名を引数として、ファイルのデータに対する属性を登録するデータ属性登録処理(図24参照)を実行する(ステップS26)。次いで、安全性評価部206bが、登録ファイルID及びアップロード先DC名を引数として、安全性評価登録処理(図26参照)を実行する(ステップS27)。
次いで、安全性評価部206bは、評価結果テーブル230から表示に必要な評価結果を取得し(ステップS28)、クラウドユーザのクライアント300のモニタ306に対して、評価結果画面2200(例えば、図22、23)を表示する(ステップS29)。
図22は、実施形態に係る評価結果画面の第1の例である。図23は、実施形態に係る評価結果画面の第2の例である。
図22に示すように、評価結果画面2200には、安全性評価の対象のファイル名を表示するファイル名表示領域2201と、アップロード先のデータセンタ名を表示するデータセンタ名表示領域2202と、安全性の評価結果を表示する評価結果表示領域2203と、評価結果の詳細を表示する詳細表示領域2204と、安全性の評価を確認したことを指示するためのOKボタン2205と、安全性を満たすデータセンタを表示するための安全性を満たすデータセンタを表示ボタン2206とが表示される。
評価結果表示領域2203には、安全性の評価結果が、問題なしの場合には、OKが表示され、問題がある場合には、NGが表示される。詳細表示領域2204には、輸出入管理に関する問題がある場合には、図22に示すように、輸出規制についての詳細情報や、輸出規制に関わる法規名が表示される。一方、データ開示に関して法規リスクがある場合には、詳細表示領域2204には、図23に示すように、データ開示に関する法規リスクの詳細情報が表示される。
図20の説明に戻り、クライアント300では、アプリケーション308が、評価結果画面2200に対するクラウドユーザの入力デバイス305によるOKボタン2205又は安全性を満たすセンタを表示ボタン2206がクリックされると、ボタンがクリックされた旨の情報を安全性評価マシン200に送信する。
安全性評価部206bは、クライアント300から結果表示画面2200のOKボタン2205に対するクリックを受信すると(ステップS30)、データ配置管理部206cは、安全性の評価結果がOKであるか、NGであるかを判定する(ステップS31)。
この結果、安全性の評価結果がOKである場合(ステップS31でOK)には、データ配置管理部206cは、対応するファイルのデータを、指定されたデータセンタ10のサーバ100に対してアップロードし(ステップS32)、ファイルリストテーブル220にアップロードしたファイルについての配置情報(データセンタ名)を追加(又は更新)し(ステップS33)、処理を終了する。
このようにサーバ100にファイルのデータがアップロードされると、サーバ100で実行されるサービスで利用可能となる。例えば、サーバ100が提供しているサービスが、Web上の動画配信サービスであり、データが配信するための動画である場合には、アップロードされた動画のデータをネットワーク20に接続されたクライアント300等で閲覧できるようになる。また、アップロードしたデータが、プログラムデータの場合には、サーバ100上でそのプログラムを実行させることができるようになる。
一方、安全性の評価結果がNGである場合(ステップS31でNG)には、安全性評価情報制御部206dが、データ属性情報212(輸出情報管理テーブル223及び受容基準情報テーブル224)から対応するファイルの情報を削除し(ステップS34)、評価結果テーブル230から対応するファイルの情報を削除し(ステップS35)、処理を終了する。このように、安全性の評価結果がNGである場合には、対応するファイルが、安全性に問題があるデータセンタ10に対してアップロードされないようにすることができる。
次に、データ属性登録処理(図20のステップS26)について説明する。
図24は、実施形態に係るデータ属性登録処理のフローチャートの一例である。
データ属性登録処理においては、登録ファイルID、ファイル名及びアップロード先DC名が引数として与えられており、安全性評価情報制御部206dは、輸出入関連法規テーブル225から、輸出入管理に関する安全性評価の判定に必要なパラメータを選択する(ステップS41)。ここで、輸出入管理に関する安全性評価をするためには、クラウドユーザの属する国からの輸出規制に関する評価、再輸出規制に関する評価、DC10の所在地の輸入規制に関する評価が必要であり、ステップS41では、これら評価を行うためにユーザが設定すべき判定パラメータを輸出入関連法規テーブル225から取得する。
具体的には、輸出規制に関する評価のための判定パラメータを取得する際には、国コードが、クラウドユーザの所在国(ユーザ国コード:ユーザ情報テーブル221から把握可能)であり、且つ、種別が“輸出”であるとの検索キーを用いて輸出入関連法規テーブル225を検索することにより得られる。また、再輸出規制に関する評価のための判定パラメータを取得する際には、輸出入関連法規テーブル225から、種別が“輸出”であり、且つ、域外適用が“あり”であるとの検索キーを用いて、輸出入関連法規テーブル225を検索することにより得られる。また、DC10の所在地の輸入規制に関する評価のための判定パラメータを取得する際には、国コードがDC10の所在地コードであり、且つ、種別が“輸入”であるとの検索キーを用いて輸出入関連法規テーブル225を検索することにより得られる。このように、引数に指定されているファイルをDC10へアップロードする際において評価に利用する判定パラメータのみを選択するようにしているので、このアップロードに際しての評価に利用しない判定パラメータをユーザに入力させることを適切に防止でき、煩雑さを軽減することができる。
次いで、安全性評価情報制御部206dは、データ属性設定画面2501を表示するためのデータを生成し、クラウドユーザのクライアント300のモニタ306に対して、データ属性設定画面2501(図25)を表示する(ステップS42)。
図25は、実施形態に係るデータ属性設定画面の一例である。
データ属性設定画面2501には、安全性評価の対象のファイル名を表示するファイル名表示領域2502と、アップロード先のデータセンタ名を表示するデータセンタ名表示領域2503と、登録者(クラウドユーザ)の所在国のコードを表示する登録者所在国表示領域2504と、輸出入管理情報の設定を行うための輸出入管理情報設定領域2505と、データ開示・差押えリスクの受容基準の設定を行うための受容基準設定領域2506と、設定を確定するためのOKボタン2507と、設定をキャンセルするためのキャンセルボタン2508とが表示される。登録者所在国表示領域2504に表示される登録者の国は、ユーザ情報テーブル221から登録ユーザIDを用いて、取得される。
輸出入管理情報設定領域2505は、ステップS41で選択した判定パラメータに対するデータ(評価コード)を設定するための領域であり、例えば、輸出規制確認のための判定パラメータ、再輸出規制確認のための判定パラメータ、輸入規制確認のための判定パラメータの評価コードを設定(入力、選択等)するための領域が備えられる。図25の例では、輸出入管理情報設定領域2505には、輸出規制確認のための判定パラメータであるリスト規制該非の評価コードを設定するリスト規制該非設定領域2509と、再輸出規制確認のための判定パラメータであるCC国産技術(ここで、CCは、或る国を示している)について、CC国産技術を含むか否かの評価コードを設定するCC国産技術設定領域2510と、再輸出規制確認のための判定パラメータであるECCNコードを示す評価コードを設定するECCNコード設定領域2511と、輸入規制確認のための判定パラメータである暗号についての該非を設定する暗号該非設定領域2512とが備えられている。
受容基準設定領域2506には、データ開示を許容できるか否かを設定するためのデータ開示設定領域2513と、データ差押えを許容できるか否かを設定するためのデータ差押え設定領域2514とが備えられている。
図24の説明に戻り、クライアント300では、アプリケーション308が、データ属性設定画面2501に対するクラウドユーザの入力デバイス305による判定パラメータに対する評価コードの入力を受け付け、OKボタン2507がクリックされると、OKボタン2507が押下された旨の情報と、入力された判定パラメータに対する評価コードを、安全性評価マシン200に送信する。ここで、クラウドユーザは、不明な判定パラメータについては、評価コードを入力しなくてもよい。なお、入力しなかった判定パラメータに関しては、安全性の評価結果は問題なしにはならない。
安全性評価情報制御部206dは、クライアント300からデータ属性設定画面2501のOKボタン2507に対するクリックを受信すると(ステップS43)、入力されたデータを読み込み、輸出管理情報テーブル223、受容基準情報テーブル224に情報を格納する(ステップS44)。具体的には、安全性評価情報制御部206dは、判定パラメータ名と、入力された評価コードの組を、輸出管理情報テーブル223の対応するファイルのエントリとして格納し、入力されたデータ開示・差押えに関する設定を、受容基準情報テーブル224の対応するファイルのエントリとして格納する。
次に、安全性評価登録処理(図20のステップS27、図30のステップS97、図31のステップS114)について説明する。
図26は、実施形態に係る安全性評価登録処理のフローチャートの一例である。
安全性評価登録処理は、アップロード時処理(図20)、安全性再評価処理(図30)、安全性充足DC検索処理(図31)において、要求された場合や、クライアントユーザによりクライアント300を介して要求された場合に実行される。
安全性評価部206bが、安全性評価登録処理の実行開始の要求を受け取ると、安全性評価登録処理の実行を開始し、対象ファイルID及び対象DC名を引数として、輸出入管理に関する安全性評価処理(図27)を実行し(ステップS51)、対象ファイルID及び対象DC名を引数として、データ開示・差押えに関する安全性評価処理(図28)を実行する(ステップS52)。
次いで、安全性評価部206bは、評価結果テーブル230に基づいて、評価対象のDC10に対する安全性の評価を判定する(ステップS53)。具体的には、安全性評価部206bは、輸出入管理に関する安全性の評価結果と、データ開示・差押えに関する安全性の評価結果との両方が問題なしであれば、OKと判定し、いずれかが問題ありの場合には、NGと判定する。そして、安全性評価部206bは、評価結果テーブル230のDCの安全性230cに判定した結果を登録し(ステップS54)、処理を終了する。
次に、輸出入管理に関する安全性評価処理(図26のステップS51)について説明する。
図27は、実施形態に係る輸出入管理に関する安全性評価処理のフローチャートの一例である。
輸出入管理に関する安全性評価処理では、クラウドユーザが輸出規制違反を起こさないようにするために、クラウドユーザの国における輸出規制に関する安全性の評価、DC10の所在する国に対する再輸出規制に関する安全性の評価を行う。また、輸出入に関する安全性評価処理では、クラウドユーザが、DC10の所在する国における輸入規制違反を起こさないようにするために、輸入規制に関する安全性の評価を行う。
輸出入に関する安全性評価処理では、安全性評価部206bは、ファイルリストテーブル220と、ユーザ情報テーブル221とに基づいて、引数の対象ファイルIDのファイルを登録するクラウドユーザのユーザ国コードを取得する(ステップS61)。次いで、安全性評価部206bは、DC情報テーブル222から、引数の対象DC名に対応する所在地コードを取得する(ステップS62)。
次いで、安全性評価部206bは、輸出入関連法規テーブル225から評価に必要な輸出規制に関する法規、再輸出規制に関する法規、輸入規制に関する法規のエントリ(法規データ)を選択する(ステップS63)。具体的には、輸出規制に関する法規については、安全性評価部206bは、輸出入関連法規テーブル225から、国コードをクラウドユーザの国とし、且つ種別が“輸出”であるエントリを検索することにより選択する。また、再輸出規制に関する法規については、安全性評価部206bは、輸出入関連法規テーブル225から、種別が“輸出”であり、且つ、域外適用が“適用される”であるエントリを検索することにより選択する。また、輸入規制に関する法規については、安全性評価部206bは、輸出入関連法規テーブル225から、国コードがDCの国とし、種別が“輸入”であるエントリを検索することにより選択する。
次いで、安全性評価部206bは、選択した法規データ数分、ステップS64〜S68の処理を繰り返し実行する。
すなわち、安全性評価部206bは、輸出管理情報テーブル223から登録対象のファイルの評価コードを取得し(ステップS65)、対応する法規判定ルールテーブル(226、227)に対して、評価コード、DC10の所在地の国を用いて、DC10の所在国に対する輸出及び輸入についての判定結果を取得する(ステップS66)。
次いで、安全性評価部206bは、判定結果が問題なしか、問題なし以外であるかを判定し(ステップS67)、判定結果が問題なしの場合には、ステップS68に進む一方、判定結果が問題なし以外である場合には、ステップS69に進む。
ステップS69では、安全性評価部206bは、判定結果の詳細を作成する。安全性評価部206bは、例えば、安全性に問題ありと判断した法規の名称や、評価コードの内容から詳細(例えば、「輸出規制」:許可要 法規名「EAR」)を作成する。
ステップS64〜68の処理の繰り返しを終えた場合、又は、ステップS69を実行した場合には、評価結果テーブル230の輸出入安全性230d、輸出入安全性詳細230eに対応する内容を含めたレコードを登録し(ステップS70)、処理を終了する。なお、評価結果テーブル230に、同一のファイルIDであり、且つ同一のDC名のレコードが登録されている場合には、当該レコードの内容を更新する。
ここで、輸出入管理に関する安全性評価処理について、具体的な例を用いて説明する。
例えば、ステップS63においては、輸出入関連法規テーブル225が図11に示すように設定されており、ファイルを登録しようとしているクラウドユーザが所在している国の国コードが“AA”であり、輸出を判定する場合には、国コードが“AA”であり、且つ、種別が“輸出”のレコード、すなわち、図11の輸出入関連法規テーブル225の一番上のレコードが選択される。
そして、ステップS65においては、図9の輸出管理情報テーブル223の中の登録対象のファイルのファイルID(ここでは、“F001”とする)に対応し、且つステップS63で選択したレコード中の判定パラメータである“リスト規制該非“に対応する評価コード”該当“を取得する。
そして、ステップS66においては、リスト規制該非を判定するための図12の法規判定ルールテーブル226を用いて、ファイルをアップロードしようとしているDC10の所在地(ここでは、“BB”とする)を輸出先とし、評価コードが“該当”とする場合の判定結果(ここでは“許可要”)を取得する。これにより、アップロードしようとしているDC10に対して対象のファイルをアップロードするには、輸出許可が必要であることが判定される。なお、輸出入関連法規テーブル225から、許可が必要であるとする法規の名称が、外国為替及び外国貿易法であることがわかる。
次に、データ開示・差押えに関する安全性評価処理(図26のステップS52)について説明する。
図28は、実施形態に係るデータ開示・差押えに関する安全性評価処理のフローチャートの一例である。
データ開示・差押えに関する安全性評価処理では、安全性評価部206bは、ファイルリストテーブル220と、ユーザ情報テーブル221とに基づいて、引数の対象ファイルIDのファイルを登録するクラウドユーザのユーザ国コードを取得する(ステップS71)。次いで、安全性評価部206bは、DC情報テーブル222から、引数の対象DC名に対応する所在地コードを取得する(ステップS72)。
次いで、安全性評価部206bは、受容基準情報テーブル224から対象ファイルについての受容基準を取得する(ステップS73)。
次いで、安全性評価部206bは、受容基準情報テーブル224の属性(本実施形態では、データ開示と、データ差押え)毎に、ステップS74〜S77の処理を繰り返し実行する。
すなわち、安全性評価部206bは、対象とする属性について、データ開示・差押えリスクテーブル229に基づいて、対象のDC10の所在地における安全性を評価する(ステップS75)。例えば、受容基準情報テーブル224において、データ開示が“許容できない”となっている場合において、データ開示・差押えリスクテーブル229のDC10の所在地の国コードに対するデータ開示についての値が“あり”となっている場合には、許容できないリスクがあることを意味しているので、「問題あり」と判定される。なお、受容基準情報テーブル224において、「許容できる」となっている場合には、データ開示・差押えリスクテーブル229の値によらず、「問題なし」と判定される。
次いで、安全性評価部206bは、判定結果が問題なしか、問題ありであるかを判定し(ステップS76)、判定結果が問題なしの場合には、ステップS77に進む一方、判定結果が問題ありの場合には、ステップS78に進む。
ステップS78では、安全性評価部206bは、判定結果の詳細を作成する。安全性評価部206bは、例えば、安全性に問題ありと判定したリスクの内容や、関連する法規名を作成する。
ステップS74〜77の処理の繰り返しを終えた場合、又は、ステップS78を実行した場合には、評価結果テーブル230のデータ開示等の安全性230f、データ開示等の安全性詳細230gに対応する内容を登録し(ステップS79)、処理を終了する。
なお、本実施形態において、データ開示・差押えリスクテーブル229においては、リスクを「なし」、「あり」の2段階で表現していたが、本発明はこれに限られず、法規の有無だけではなく、データ開示や、データ差押えの事例の件数を考慮して、3段階以上で表現してもよい。この場合には、受容基準情報テーブル224においても、3段階以上での定義が行われることとなる。このようにした場合には、ステップS75において、データ開示・差押えリスクテーブル229におけるリスクの段階が、受容基準情報テーブル224に定義された受容基準の段階以下であれば、問題なしと判定し、上回れば、問題ありと判定すればよい。
また、データ開示・差押えに関する安全性評価処理においては、一つの属性でも問題ありとなれば、全体の評価を問題ありと判定しているが、判定の基準をユーザが設定するようにしてもよく、例えば、「データ開示、データ差押えのリスクの両方が受容基準より2段階上回ったら警告を出す」といった判定基準の設定をユーザから受け付け、当該判定基準に従って判定するようにしてもよい。
次に、データ属性追加更新処理について説明する。
図29は、実施形態に係るデータ属性追加更新処理のフローチャートの一例である。
データ属性追加更新処理は、データ属性を登録した後において、データ属性の追加、変更が必要となった場合に実行される処理であり、例えば、ユーザデータに対する安全性を充足するDCを検索して表示する安全性充足DC検索処理で呼び出されて実行される場合や、クラウドユーザによりクライアント300を介して要求された場合に実行される。
安全性評価情報制御部206dがデータ属性更新要求を受け取ると、データ属性追加更新処理の実行を開始し(ステップS81)、輸出入関連法規テーブル225のエントリ数分、ステップS82〜S86の処理を繰り返し実行する。
安全性評価情報制御部206dは、輸出入関連法規テーブル225の処理対象のエントリから輸出入管理に関する安全性判定に必要な判定パラメータを取得し、当該判定パラメータに対する値(評価コード)を入力するための入力画面を表示するためのデータを生成し、クラウドユーザのクライアント300のモニタ306に対して、入力画面を表示する(ステップS83)。
クラウドユーザのクライアント300では、アプリケーション308が、入力画面に対するクラウドユーザの入力デバイス305による判定パラメータに対する評価コードの入力を受け付け、入力完了ボタンがクリックされると、入力完了ボタンが押下された旨の情報(入力完了通知)と、入力された判定パラメータに対する評価コードを、安全性評価マシン200に送信する。ここで、クラウドユーザは、不明な判定パラメータについては、評価コードを入力しなくてもよい。なお、入力しなかった判定パラメータに関しては、安全性の評価結果は問題なしにはならない。
安全性評価情報制御部206dは、クライアント300から入力完了ボタンに対するクリック(入力完了通知)を受信すると(ステップS84)、入力された評価コードを読み込み、輸出管理情報テーブル223の対応する評価コード223cを読み込んだ評価コードに更新し(ステップS85)、ステップS86に進む。
輸出入関連法規テーブル225のエントリ数分、ステップS82〜S86の処理の繰り返しを終了すると、安全性評価情報制御部206dは、データ属性設定画面2501の受容基準設定領域2506を有する受容基準設定画面を表示するためのデータを生成し、クラウドユーザのクライアント300のモニタ306に対して、受容基準設定画面を表示する(ステップS87)。
次いで、安全性評価情報制御部206dは、クライアント300から受容基準設定画面に対する入力データを受信し(ステップS88)、受容基準情報テーブル224を入力されたデータで更新する(ステップS89)。これにより、輸出管理情報テーブル223と、受容基準情報テーブル224とを新たな内容に更新することができる。
次に、安全性再評価処理について説明する。
図30は、実施形態に係る安全性再評価処理のフローチャートの一例である。
計算機システムにおいては、データの安全性を適切に評価できるようにするために、DC10の所在地が変更されたり、各国の法規が変更されたりした場合には、安全性評価情報DB209のデータを変更する必要がある。また、クライアントユーザが安全性評価情報DB209のデータ属性情報を変更したい状況も発生する。このように、安全性評価情報DB209のデータを変更した場合においては、以前のデータの安全性の評価は、その時点においては適切な評価ではないので、新たに評価する必要がある。
安全性再評価処理は、データの安全性の評価を見直す必要がある状況を検知し、新たな評価結果を表示する処理である。
安全性監視マネージャ部206aは、安全性評価情報DB209のデータが変更されたことを検知すると、安全性評価部206bに対して、安全性再評価処理を開始させる(ステップS90)。安全性評価部206bは、変更されたデータがDC情報214、法規情報213、ユーザ情報211、データ属性情報212のいずれであるかを判定する(ステップS91)。
変更されたデータがDC情報214である場合(ステップS91でDC情報)には、安全性評価部206bは、情報が変更されたDCに管理されていた全てのファイルのファイルIDをリストファイルテーブル220から選択し、再評価対象リストに格納する(ステップS92)。また、変更されたデータが法規情報213である場合(ステップS91で法規情報)には、安全性評価部206bは、リストファイルテーブル220の全ファイルのファイルIDを再評価対象リストに格納する(ステップS93)。また、変更されたデータがユーザ情報211である場合(ステップS91でユーザ情報)には、安全性評価部206bは、リストファイルテーブル220から、変更されたユーザの全ファイルのファイルIDを選択し、再評価対象リストに格納する(ステップS94)。また、変更されたデータがデータ属性情報212である場合(ステップS91でデータ属性情報)には、安全性評価部206bは、属性が変更されたファイルのファイルIDを再評価対象リストに格納する(ステップS95)。
次いで、安全性評価部206bは、再評価対象リストの各ファイルについて、ステップS96〜S101の処理を実行し、全てのファイルに対する処理を終えた後に、安全性再評価処理を終了する。
安全性評価部206bは、対象のファイルのファイルIDと、当該ファイルが格納されているDC名とを引数として、安全性評価登録処理(図26)を実行する(ステップS97)。次いで、安全性評価部206bは、評価結果テーブル230から安全性の評価結果(DCの安全性230cの値)を取得し(ステップS98)、安全性の評価結果がOKであるか、NGであるかを判定する(ステップS99)。
この結果、安全性の評価結果がOKである場合(ステップS99でOK)には、ステップS101に進む一方、安全性の評価結果がNGである場合(ステップS99でNG)には、評価結果をユーザに通知し(ステップS100)、ステップS101に進む。ここで、ユーザへの通知方法としては、クラウドユーザのクライアント300に、評価結果画面2200(図22、23)を表示するようにしてもよく、また、予めクラウドユーザのメールアドレスを記憶しておき、当該メールアドレス宛てに、評価結果を含む電子メールを送信するようにしてもよい。これにより、クラウドユーザは、自身のファイルの安全性の評価がNGになったことを適切に把握することができる。
次に、安全性充足DC検索処理について説明する。
図31は、実施形態に係る安全性充足DC検索処理のフローチャートの一例である。
安全性充足DC検索処理は、ユーザデータに対する安全性を充足するDCを検索して表示等する処理であり、評価結果画面2200(図22、図23)における安全性を満たすセンタを表示ボタン2206のクリックを受信した場合、又は、クラウドユーザによりクライアント300を介して一覧表示要求を受信した場合に実行される。
安全性評価部206bは、安全性を満たすセンタを表示ボタン2206のクリックを受信した場合、又は一覧表示要求を受け取った場合には、安全性充足DC検索処理の実行を開始し(ステップS111)、安全性評価情報制御部206dに、対象とするファイルのファイルIDを引数として、データ属性追加更新処理(図29)を実行させる(ステップS112)。
次いで、安全性評価部206bは、DC情報テーブル222に登録されている各DCを対象に、ステップS113〜115の処理を繰り返し実行する。
安全性評価部206bは、対象のファイルのファイルIDと、対象のDCのDC名とを引数にして、安全性評価登録処理(図20)を実行し(ステップS114)、ステップS115に進む。
各DCを対象にしてステップS112〜S115の処理を実行した後、安全性評価部206bは、評価結果テーブル230から評価結果を取得し(ステップS116)、評価結果に基づいて、DC候補表示画面3200(図32)を表示するためのデータを生成し、クラウドユーザのクライアント300のモニタ306に対して、DC候補表示画面3200を表示させ(ステップS117)、処理を終了する。
図32は、実施形態に係るDC候補表示画面の一例である。
DC候補表示画面3200には、安全性評価の対象のファイル名を表示するファイル名表示領域3201と、アップロード先のデータセンタ名を表示するデータセンタ名表示領域3202と、安全性の評価結果を表示する評価結果表示領域3203と、評価結果の詳細を表示する詳細表示領域3204と、安全性の評価結果がOKであった他のデータセンタを表示するデータセンタ選択領域3205と、預け入れるデータセンタを決定したことを確定するためのOKボタン3206と、他のデータセンタへの預け入れをキャンセルするためのキャンセルボタン3207とが表示される。
データセンタ選択領域3205には、データの預け入れ先とするデータセンタを選択するためのラジオボタンが表示されている。本実施形態においては、OKボタン3206が押下されたことを、安全性評価マシン200のデータ配置管理部206cが受信すると、対応するファイルのデータを、選択されたデータセンタ10のサーバ100に対してアップロードし、ファイルリストテーブル220にアップロードしたファイルについての配置情報(データセンタ名)を追加する。
以上、実施形態を説明したが、本発明は、この実施形態に限定されるものでなく、その趣旨を逸脱しない範囲で種々変更可能であることはいうまでもない。
例えば、上記実施形態では、図31に示す安全性充足DC検索処理は、ユーザのクライアント300における操作指示をきっかけに開始するようにしていたが、本発明はこれに限られず、例えば、安全性の評価結果がNGである場合に、ユーザの操作指示によらず、自動的に開始するようにしてもよい。また、この際に、再配置先のDCを決定する選択ルール(例えば、安全性がOKであるDCの中でDC名がアルファベット順で一番前のものを再配置先とするルール)を予め設定しておき、当該ルールに従って、対象のファイルを決定されたDCに自動的に再配置するようにしてもよい。
また、上記実施形態では、クライアント300とは別の計算機に、安全性評価プログラム206を格納した例を示していたが、本発明はこれに限られず、例えば、クライアント300内に安全性評価プログラム206を格納して処理を実行させるようにしてもよい。すなわち、クライアント300を安全性評価マシンとして利用してもよい。