JP5920668B2 - セキュリティポリシ強制システム及びセキュリティポリシ強制方法 - Google Patents

セキュリティポリシ強制システム及びセキュリティポリシ強制方法 Download PDF

Info

Publication number
JP5920668B2
JP5920668B2 JP2012554625A JP2012554625A JP5920668B2 JP 5920668 B2 JP5920668 B2 JP 5920668B2 JP 2012554625 A JP2012554625 A JP 2012554625A JP 2012554625 A JP2012554625 A JP 2012554625A JP 5920668 B2 JP5920668 B2 JP 5920668B2
Authority
JP
Japan
Prior art keywords
policy
unit
policy enforcement
information
countermeasure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012554625A
Other languages
English (en)
Other versions
JPWO2012101893A1 (ja
Inventor
貴之 佐々木
貴之 佐々木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2012101893A1 publication Critical patent/JPWO2012101893A1/ja
Application granted granted Critical
Publication of JP5920668B2 publication Critical patent/JP5920668B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、セキュリティポリシ強制システム及びセキュリティポリシ強制方法に関する。
近年、クラウドと呼ばれるサービス提供形態が普及してきている。クラウドとは、プラットフォーム事業者がサービス事業者へ、サービスを構築するためのプラットフォームを提供し、サービス事業者はそのプラットフォーム上で自前のサービスを構築し、ユーザへサービスを提供するモデルである。
そのような環境において、各々のサービス事業者は、サービスを情報漏洩や攻撃から守るために、サービスにセキュリティ機能を実装している。しかし、サービス事業者それぞれが独自にセキュリティ機能を実装しているため、コストが高いという問題がある。また、サービスの機能とセキュリティ機能が密接に連結しているため、セキュリティ機能の更新が困難であるという問題がある。
これらの問題を解決するために、個々のサービスがセキュリティ機能を持つのではなく、サービスのプラットフォームがセキュリティ機能を持ち、サービス事業者はセキュリティポリシを設定するだけで、プラットフォームによってサービスが守られることが望まれる。そのために、幾つかのシステムが提案されている。
例えば、特許文献1に開示されているシステムでは、クライアントとサーバの間に配置されたネットワーク機器が、クライアントから送信されるネットワークパケットを監視し、アクセスコントロールを行うことにより、セキュリティ対策が実施されている。
また、特許文献2に開示されているシステムでは、クライアントとサーバ間のルータが通信をフックし、ファイアウォールやアンチウィルスなどのセキュリティ装置にパケットを転送することにより、セキュリティ対策が実施されている。
また、一般的なセキュリティ対策として、パケットのフィルタリングを行なうファイアウォールや、侵入を検知するIDS(Intrusion Detection System)、侵入を防止するIPS(Intrusion Prevention System)が挙げられる。
特開2008−141352号公報 特開2007−336220号公報
しかしながら、上記のシステムは大規模な環境を想定しておらず、特定の装置に負荷がかかるため、大規模なシステムに適用できない。具体的には、特許文献1に記載のシステムや、一般的なファイアウォール、IDS/IPSでは、セキュリティ対策を行なう装置にネットワークトラフィックが集中してしまう。また、特許文献2に記載のシステムでは、セキュリティ対策を行なう装置は分散しているが、セキュリティ対策を行なう装置を呼び出す装置(トラフィックを振り分ける装置)にネットワークのトラフィックが集中し、セキュリティ対策処理の能力を拡張することが難しい。
本発明はこのような事情に鑑みてなされたものであり、セキュリティ対策の処理負荷を分散するとともに、大規模なシステムにも適用可能に、セキュリティポリシを強制することを目的とする。
本発明の一側面に係るセキュリティポリシ強制システムは、クライアントからサーバに送信されるユーザ情報に対してセキュリティ対策を実行する、複数のポリシ強制部と、ユーザ情報に対して実行すべきセキュリティ対策を示すポリシ情報を記憶するポリシ記憶部と、各ポリシ強制部で実行可能なセキュリティ対策を示す対策配置情報を記憶する対策配置記憶部と、複数のポリシ強制部のうち、ユーザ情報に対してセキュリティ対策を実行させる少なくとも1つのポリシ強制部を、ポリシ情報および対策配置情報に基づいて選択する、ポリシ判定部と、を備え、少なくとも1つのポリシ強制部の各々は、ユーザ情報に対してセキュリティ対策を実行し、ポリシ判定部の選択結果に基づいて、少なくとも1つのポリシ強制部のうちの他のポリシ強制部、または、サーバにユーザ情報を出力する、セキュリティポリシ強制システム。
なお、本発明において、「部」とは、単に物理的手段を意味するものではなく、その「部」が有する機能をソフトウェアによって実現する場合も含む。また、1つの「部」や装置が有する機能が2つ以上の物理的手段や装置により実現されても、2つ以上の「部」や装置の機能が1つの物理的手段や装置により実現されても良い。
本発明によれば、セキュリティ対策の処理負荷を分散するとともに、大規模なシステムにも適用可能に、セキュリティポリシを強制することが可能となる。
セキュリティポリシ強制システムの構成例を示す図である。 サーバの構成例を示す図である。 ポリシ強制部の構成例を示す図である。 情報転送部間におけるメッセージフォーマットの一例を示す図である。 情報転送部が対策実施部を呼び出す際のメッセージフォーマットの一例を示す図である。 対策実施部から情報転送部への返答の際のメッセージフォーマットの一例を示す図である。 ポリシDBの一例を示す図である。 対策配置DBの一例を示す図である。 負荷状況DBの一例を示す図である。 情報転送部からポリシ判定への問い合わせの際のメッセージフォーマットの一例を示す図である。 ポリシ判定部から情報転送部への返答の際のメッセージフォーマットの一例を示す図である。 セキュリティポリシ強制システムの動作の一例を示すシーケンス図である。 ポリシ判定動作の一例を示すフローチャートである。 ポリシ判定動作の他の一例を示すフローチャートである。 順序制約DBの一例を示す図である。 依存関係を示した有向グラフのマージの例を示す図である。 ポリシ強制部の順番と、各ポリシ強制部で行う対策を、最初のポリシ強制部へまとめて通知する場合のメッセージフォーマットの一例を示す図である。 セキュリティポリシ強制システムの他の構成例を示す図である。 セキュリティポリシ強制システムの他の構成例を示す図である。
以下、図面を参照して本発明の一実施形態について説明する。
==第1の実施形態==
図1は、本実施形態のセキュリティポリシ強制システムの構成を示す図である。セキュリティポリシ強制システム10は、クライアント12がサーバ14から提供されるサービスを利用する際に、セキュリティポリシに応じたセキュリティ対策を実行する情報処理システムである。なお、セキュリティポリシに応じたセキュリティ対策の実行は、セキュリティポリシの「強制」と呼ばれる。また、本実施形態では、セキュリティ対策のことを単に「対策」とも表現する。
クライアント12は、ユーザが使用する情報処理装置であり、例えば、ユーザの位置情報や、ブログの記事、ドキュメントファイルやプログラムファイルなどの情報(ユーザ情報)を、セキュリティポリシ強制システム10を介してサーバ14へ送信する。クライアント12は、例えばSimple Object Access Protocol(SOAP)を用いて、ポリシ強制システム10へ情報を送信することができる。クライアント12は、例えば、CPU、ネットワークインタフェースカード(NIC)などを備えるコンピュータであり、情報を送信するアプリケーションプログラムを実行することができる。なお、クライアント12の構成は一般的なものであるため、詳細な説明は省略する。
サーバ14は、例えば、ブログサービスやレコメンデーションサービスを提供する情報処理装置であり、クライアント12から送信される情報を、セキュリティポリシ強制システム10を介して受け取り、内部に保存する。サーバ14は、図2に示すように、CPU30やメモリ32、ネットワークインタフェースカード(NIC)34などを備え、その上でサービスを提供するサーバOS・サーバアプリケーション40が動作する。なお、サーバ14の構成は一般的であるため、詳細な説明は省略する。
図1に示すように、セキュリティポリシ強制システム10は、複数のポリシ強制部20と、ポリシ判定部22とを含んで構成されている。
ポリシ強制部20は、クライアント12とサーバ14との間で情報を中継し、中継する情報に対してセキュリティ対策を行なう情報処理装置である。本実施形態では、複数のポリシ強制部20の各々を区別する必要がある場合には、ポリシ強制部20−1、ポリシ強制部20−2、・・・、ポリシ強制部20−Nのように、符号に枝番号を付けて表現する。
ポリシ判定部22は、あらかじめ定められているセキュリティポリシとユーザから送信された情報とに基づいて、どのポリシ強制部20を経由してサーバ14に情報を送信すればよいかを決定する情報処理装置である。
図3は、ポリシ強制部20の構成例を示す図である。ポリシ強制部20は、情報転送部50と、複数の対策実施部52とを含んで構成されている。また、ポリシ強制部20は、CPU60やメモリ62を含んでおり、例えば、メモリ62に記憶されているプログラムをCPU60が実行することにより、情報転送部50および対策実施部52を実現することができる。
情報転送部50は、クライアント12、他のポリシ強制部20およびサーバ14の間で情報を転送する。情報転送部50は、クライアント12または他のポリシ強制部20の情報転送部50から情報を受信すると、実施すべきセキュリティ対策と、情報の転送先とをポリシ判定部22に問い合わせる。そして、情報転送部50は、ポリシ判定部22の指示に従って、対策実施部52を呼び出す。そして、対策実施部52での対策実施完了後に、情報転送部50は、ポリシ判定部22の指示に従って、他のポリシ強制部20またはサーバ14に情報を転送する。他のポリシ強制部20またはサーバ14への情報の転送プロトコルとしては、例えばSOAPを用いることができる。なお、SOAPは一例であり、情報が伝送できれば他のプロトコルでもよい。また、情報転送部50が対策実施部52を呼び出すプロトコルとしては、例えばプロセス間通信を用いることができる。また、情報転送部50は、例えば、宛先IPアドレスの書き換えを用いて、TCP/IPの層で情報の転送や対策実施部52の呼び出しを行ってもよい。同様に、イーサネット(登録商標)レイヤーで情報の転送や対策実施部52の呼び出しが行われることとしてもよい。
情報転送部50間での情報のやりとりは、例えば、図4に示すフォーマットで行なわれる。ユーザIDはユーザを一意に識別できる識別子であり、サービスIDはサービスを一意に識別できる識別子である。また、情報は、クライアントから送信された情報であり、例えば、位置情報やブログの記事である。また、実施済みの対策の項目には、ユーザから送信された情報に対して実施された対策が設定される。
また、情報転送部50が対策実施部52を呼び出す際には、例えば図5に示すフォーマットが用いられる。ユーザID、サービスID、情報は、図4と同様である。対策パラメータとは、対策を実行するために必要となるパラメータであり、例えば、対策実施部52が暗号化を行なう場合であれば暗号鍵が設定され、匿名化を行なう場合であればK匿名性やL多様性などの匿名化の指標が設定される。
対策実施部52は、情報転送部50から情報を受け取り、受け取った情報に対してあらかじめ規定されたセキュリティ対策処理を行い、処理済みの情報を情報転送部50へ返す。本実施形態では、複数の対策実施部52の各々を区別する必要がある場合には、対策実施部52−1、対策実施部52−2、・・・、対策実施部52−Mのように、符号に枝番号を付けて表現する。なお、各対策実施部52は、異なった対策処理を行う。例えば、ポリシ強制部20−1は暗号化とアンチウィルス、ポリシ強制部20−2は匿名化とログ記録のように、それぞれのポリシ強制部20に配置された対策実施部52によって、ポリシ強制部20で実施可能な対策が異なる。
また、対策実施部52は、組み込まれたセキュリティ対策処理を識別可能に構成されている。例えば、対策実施部52は、組み込まれたセキュリティ対策処理と同じ名前を持つように構成することができる。例えば、暗号化を行なう対策実施部52は、「暗号化」という名前を持ち、この名前はセキュリティポリシに記述されている対策と同じである。よって、情報転送部50は、ポリシ判定部22からの通知を参照すると、どの対策実施部52を呼び出せばよいか、一意に特定することができる。なお、ポリシの対策と対策実施部52に割り当てられる名前を異なるようにしたい場合は、ポリシ判定部22がポリシの対策の記述を対策実施部52の名前に変換するデータベースを持つこととすればよい。この場合、ポリシに記述された対策の名前が該データベースに基づいて変換されることにより、対策を実施する対策実施部52を特定することができる。
また、対策実施部52が対策を行い、情報転送部50へ情報を返す際には、例えば図6に示すフォーマットが用いられる。ユーザID、サービスID、情報、実施済みの対策は、図4及び図5と同様である。対策結果の項目には、対策実施部52がセキュリティ対策を行なうことができたか否かを記録する。正常に対策を実施できた場合は例えば「成功」が設定され、何らかの理由で失敗した場合には例えば「失敗」が設定される。
ポリシ判定部22は、ユーザごとに行なうべきセキュリティ対策を示したセキュリティポリシ(ポリシ情報)が記録されたポリシDB(ポリシ記憶部)を持ち、セキュリティポリシに応じて実施するセキュリティ対策と情報の転送先とを判定する。ポリシ判定部22が保持するポリシDBの一例を図7に示す。ポリシDBは、ユーザID、サービスID、必要な対策リストを含んで構成される。図7では、例として、ユーザAがリコメンドサービスを使用するときには、匿名化と仮ID化が必要であり、ユーザAがブログサービスを使用するときには、アンチウィルスが必要であることが示されている。また、ユーザBがブログサービスを使用するときには、アンチウィルスとログ記録が必要であることが示されている。図7の例では、サービスIDは、リコメンドサービスなどの簡単な文字列を用いたが、サービスを一意に識別できればよく、例えば、URLをサービスIDとして用いてもよい。また、ポリシDBには、対策のためのパラメータが含まれることとしてもよい。例えば、必要な対策リストに暗号化が含まれる場合であれば、必要な対策リストの中に、暗号化の指定とともに暗号化のための鍵が設定されてもよい。なお、ポリシDBは、例えば、リレーショナルデータベースを用いてもよいし、データ量が小規模であるなら、プログラム中の配列として実装してもよい。
加えて、ポリシ判定部22は、情報の転送先を決定するための情報として、各ポリシ強制部20がどのような対策実施部52を保持しているかを示す対策配置情報が記録された対策配置DB(対策配置記憶部)を持つ。ポリシ判定部22が保持する対策配置DBの一例を図8に示す。対策配置DBは、ポリシ強制部20のID(識別子)とそのポリシ強制部20に配置されている対策実施部52のリスト(対策リスト)とを含んで構成される。図8の例では、例えば、IDが1番のポリシ強制部20−1には匿名化を行なう対策実施部52が配置されていることが示されている。また、例えば、IDが2番のポリシ強制部20−2には、ログ記録を行なう対策実施52−1と、アンチウィルスを行なう対策実施部52−2とが配置されていることが示されている。なお、対策配置DBも、ポリシDBと同様に、例えば、リレーショナルデータベースやプログラム中の配列として実装することができる。
さらに、ポリシ判定部22は、各ポリシ強制部20の負荷状況を示す負荷情報が記録された、負荷状況DB(負荷状況記憶部)を内部に持つ。ポリシ判定部22が保持する負荷状況DBの一例を図9に示す。負荷状況DBは、ポリシ強制部20のIDと負荷とを含んで構成される。図9の例では、1番のIDを持つポリシ強制部20−1は、負荷が80%であることが示されている。負荷状況DBも、ポリシDBや対策配置DBと同様に、例えば、リレーショナルデータベースやプログラム中の配列として実装することができる。
ポリシ判定部22は、ポリシ強制部20の情報転送部50から問い合わせを受けると、問い合わせ元のポリシ強制部20で実施すべき対策とその対策のパラメータに加えて、次にどのポリシ強制部20へ情報を転送すべきかをを、問い合わせ元のポリシ強制部50に対して通知する。なお、実施すべき対策と情報の転送先を決定するアルゴリズムについては後述する。ポリシ強制部20の情報転送部50からポリシ判定部22への問い合わせは、例えば図10のフォーマットを用いることができる。ユーザID、サービスID、実施済み対策は、図4、5と同様であるため説明を省略する。また、ポリシ判定部22からポリシ強制部20の情報転送部50への返答は、例えば図11のフォーマットを用いることが出来る。対策と対策のパラメータは、例えば暗号化とその鍵である。また、情報の転送先には、ポリシ強制部20やサービス(サーバ14)を識別するためのIDが設定される。
セキュリティポリシ強制システム10の動作について説明する。前述したように、セキュリティポリシ強制システム10は複数のポリシ強制部20を備えており、クライアント12から送信された情報は、複数のポリシ強制部20を経由して最終的にサーバ14に到達する。そして、個々のポリシ強制部20を通過する際に、情報に対してセキュリティ対策が実施される。図12のシーケンス図を参照してセキュリティポリシ強制システム10の動作の一例について詳細に説明する。
まず、ユーザが使用するクライアント12が、ポリシ強制部20−1の情報転送部50に情報を送信する(S01)。ここで、送信される情報には、ユーザがサーバ14に送信したい情報(位置情報やブログ記事など)の他に、ユーザID、利用したいサービスの識別子(サービスID)が含まれる。
情報転送部50は、情報を受け取ると、実施すべき対策と、次に情報を転送すべき宛先をポリシ判定部22に問い合わせる(S02)。図10に示したように、問い合わせには、ポリシ強制部ID、ユーザID、サービスIDが含まれている。また、実施済の対策の情報も、問い合わせに付加される。この例の場合、まだ対策は行なわれていないため、実施済の対策は、「無し」である。
ポリシ判定部22は、ユーザID、サービスIDに基づいてポリシDBからポリシを検索し、必要な対策を判定する(S03)。そして、ポリシ判定部22は、対策配置DBを用いて、必要な対策実施部52が配置されているポリシ強制部20を特定する。最後に、ポリシ判定部22は、例えば図11のフォーマットを用いて、実施する対策とそのパラメータ、情報の転送先のポリシ強制部20のIDもしくはサービスIDを、ポリシ強制部20−1へ通知する。なお、ポリシ判定の詳細な動作については後述する。
情報転送部50は、ポリシ判定部22から、実施すべき対策と、情報の転送先を受信すると、指示された対策について、順番に対策実施部52を呼び出して、対策実施部52に情報に対する対策処理を実行させる(S04〜S07)。
例えば、対策実施部52−1、52−Mを呼び出すことをポリシ判定部22から指示された場合、情報転送部50は、まず対策実施部52−1を呼び出し、情報と対策を行なうためのパラメータを渡す(S04)。前述したように、情報転送部50が対策実施部52を呼び出すときには、図5のフォーマットを用いることができる。
そして、対策実施部52−1は、情報を受け取り、あらかじめ決められた対策アルゴリズムを対策のパラメータを用いて実行することにより情報に対してセキュリティ対策処理を実行し、処理済みの情報を情報転送部50へ返す(S05)。図6に示したように、対策実施部52は、処理済みの情報に加えて、対策の処理が成功したか否かを示す情報も、呼び出し元の情報転送部50へ通知する。
もし、ステップS05において、何らかの理由でセキュリティ対策の処理に失敗した場合(図6の対策結果の項目が「失敗」だった場合)は、ポリシ強制部20は、クライアント12にエラーを通知し、処理を終了する。ステップS05において対策の処理が成功している場合は、ステップS04と同様に、情報転送部50は、対策実施部52−Mを呼び出す(S06)。そして、対策実施部52−Mは情報に対策を施し、情報転送部50へ情報を返す(S07)。
情報転送部50は、ポリシ判定部22から指定されたポリシ強制部20(正確には、その情報転送部50)へ情報を転送する(S08)。もし、ポリシ強制部20ではなく、サーバ14が指定されていた場合、情報転送部50はサーバ14へ情報を送信する。
情報を受け取った次のポリシ強制部20−Nも、前のポリシ強制部20−1と同様に、ポリシ判定部22に必要な対策と転送先を問い合わせ、対策実施部52を呼び出すことで対策を行い、最後に情報の転送を行なう(S09、S10)。図12の例では、ポリシ強制部20−Nは、ポリシ判定部22からサーバ14へ情報を転送するように指示を受け、サーバ14に情報を転送している。
最後に、サーバ14は、ポリシ強制部20−Nから情報を受け取り、該情報を内部に保存する(S11)。
次に、ポリシ判定部22における、ポリシ判定の動作の詳細を説明する。図13は、ポリシ判定動作の一例を示すフローチャートである。まず、ポリシ判定部22は、ユーザIDおよびサービスIDに基づいてポリシDBを検索し、必要な対策のリストを取得する(S1301)。
続いて、ポリシ判定部22は、問い合わせ元を示すポリシ強制部IDを用いて、対策配置DBを検索し、問い合わせ元のポリシ強制部20にどのような対策実施部52が配置されているかを特定する。そして、ポリシ判定部22は、ポリシの必要な対策リストに含まれており、かつ、問い合わせ元のポリシ強制部20に配置されている対策を、問い合わせ元のポリシ強制部20で実施すべき対策として決定する(S1302)。このとき、ポリシ判定部22は、問い合わせのフォーマット(図4)の実施済の対策の項目を参照し、実施すべき対策から既に実施済の対策を除外する。
次に、ポリシ判定部22は、情報の転送先(次のポリシ強制部20かサーバ14)の決定を行なう(S1303〜S1305)。個々のステップについて、詳細に説明する。
ポリシ判定部22は、ポリシの対策リストのうち、まだ情報に対して実施されておらず、かつ、上記の問い合わせ元のポリシ強制部20で実施すべきではない対策の中から、次に行うべき対策を一つ選ぶ(S1303)。対策の選び方は、ポリシに書かれている順番でもよいし、ランダムでもよい。このとき、対策を選択できない場合、すなわち、問い合わせ元のポリシ強制部20で対策が行なわれることにより、ポリシで指定されているすべての対策の実施が完了する場合、サーバ14を情報の転送先として処理を終了する。
ポリシ判定部22は、ステップS1303で選択された対策が配置されているポリシ強制部20を、対策配置DBから検索する(ステップS1304)。
ステップS1303で選択された対策が1つのポリシ強制部52にしか配置されていない場合は、ポリシ判定部22は、そのポリシ強制部52を転送先として決定する。また、ステップS1303で選択された対策が複数のポリシ強制部52に配置されている場合は、ポリシ判定部22は、負荷状況DBを参照して、一番負荷が低いポリシ強制部52を次に情報を転送すべきポリシ強制部52として決定する(S1305)。
このように、本実施形態のセキュリティポリシ強制システム10は、セキュリティポリシを分散して強制するように構成されているため、大規模なシステムにも適用することが可能である。
なお、上記の説明では、サーバ14は1台であったが、サーバ14が複数台設けられていてもよい。この場合、対策配置DBには、対策実施部52の配置状況だけではなく、どのサーバ14にどのサービスが配置されているかを示す情報が管理される。また、負荷状況DBにも同様に、サーバの負荷を示す情報が管理される。そして、ポリシ判定部22は、サーバ14を選択する際に、サービスが配置されているサーバ14のうち、最も負荷が低いサーバ14を選択し、情報の転送先として情報転送部50へ通知する。これにより、セキュリティポリシ強制の負荷分散だけではなく、サーバの負荷分散も行なうことが可能となる。
また、上記の説明では、ポリシの必要な対策リストに含まれており、かつ、問い合わせ元のポリシ強制部20に配置されている対策を、問い合わせ元のポリシ強制部20で実施すべき対策として決定した。すなわち、ポリシ判定部22は、複数の対策の実施を一度に指示したが、複数の対策実施を指示せず、1つの対策の実施のみ指示してもよい。同じポリシ強制部20で、続けて他の対策の処理を行う場合、ポリシ判定部22は、転送先に同じポリシ強制部20を指定し、ポリシ強制部20は転送先が自分自身の場合には、対策のみを行い、情報の転送を行わなければよい。なお、1つの対策の実施のみというのは、一例であり、2つや3つの対策を指示してもよい。
例えば、複数の対策の実施には時間が掛かるため、その間にポリシ強制部20の負荷の状況が変化し、コンピュータリソースを効率よく使えない可能性が考えられる。1つの対策の実施は複数の対策の実施よりも実施時間が短いため、ポリシ判定部22への次の問い合わせまでの時間が短くなる。よって、ポリシ強制部20の負荷の変動により柔軟に対応できる効果がある。本動作は、ポリシ強制部20からポリシ判定部22へのポリシ判定要求の回数やポリシ強制部20間のデータ転送回数が多くなるデメリットがあるが、高速なネットワークの環境では、そのデメリットを無視できる。
また、上記の説明では、ポリシ強制部20は、自身が実施する対策と転送先を一度に問い合わせていたが、分割して問い合わせてもよい。具体的には、ポリシ強制部20は、情報を受け取ったときに、実施する対策をポリシ判定部22に問い合わせて、対策を実施する。そして、対策実施後に、情報の転送先をポリシ判定部22に問い合わせ、ポリシ判定部22の指示に応じて情報を転送する。この動作では、情報を転送する直前に転送先を問い合わせるため、最新の負荷状況に応じて転送先を決定できる効果がある。
==第2の実施形態==
セキュリティ対策の実施順序を考慮した、第2の実施形態について説明する。セキュリティ対策には、対策を実施する順序に制約がある場合がある。例えば、暗号化とアンチウィルスを考えると、アンチウィルスは情報にウィルスのパターンが含まれているかを確認するため、暗号化してある情報に対して行なうことが出来ない。よって、アンチウィルスは、暗号化よりも先に実施されなければならない。したがって、図13に示したポリシ判定部22の動作では、対策を実施する順番を指定できないため、順番によっては対策を実施できない可能性がある。
そこで、ポリシ判定部22は、対策の実行順序の制約を示す順序制約情報が記録された順序制約DB(順序制約記憶部)を内部に持つこととしてもよい。具体的には、ポリシ強制部20に配置されているすべての対策について優先順序を規定し、ポリシ判定部22は、図13の処理におけるステップS1302、S1303において、この優先順序に従って対策を選択すればよい。
例えば、ログ記録、アンチウィルス、暗号化という対策がポリシ強制部20に配置されているとする。ここで、次の2つの要件(1)、(2)があるとする。(1)ログには、アンチウィルスによってウィルスが削除される前の情報を記録したい。(2)暗号化されているとアンチウィルスの処理を行うことができない。この場合、ポリシ判定部22は、「ログ記録→アンチウィルス→暗号化」という優先順序を内部に保持すればよい。
そして、情報を転送するポリシ強制部20が優先順序に基づいて決定されるように、図13におけるステップS1302〜S1305の処理が、例えば、図14に示す処理に変更される。
ポリシ判定部22は、問い合わせ元のポリシ強制部20で実施可能な対策のうち、優先順序が一番高い対策を、問い合わせ元のポリシ強制部20で実施する対策のリストに追加する(S1401)。
次に、ポリシ判定部22は、情報に対してまだ実施されておらず、かつ、上記リストに載っていない対策のうち、優先順序が一番高い対策を選択する(S1402)。
そして、ポリシ判定部22は、対策配置DBを参照し、選択された対策が問い合わせ元のポリシ強制部20で実施可能か否かを判定する(S1403)。
選択された対策が問い合わせ元のポリシ強制部20で実施可能である場合(S1403:YES)、ポリシ判定部22は、選択された対策を問い合わせ元のポリシ強制部20で実施すべき対策のリストに追加し(S1404)、ステップS1402へ戻る。
選択された対策が問い合わせ元のポリシ強制部20で実施可能ではない場合(S1403:NO)、ポリシ判定部22は、問い合わせ元のポリシ強制部20で実施すべき対策のリストの作成を完了する。そして、ポリシ判定部22は、選択された対策が実施可能なポリシ強制部20のうち、一番負荷が低いポリシ強制部20を情報の転送先に決定する(S1405)。
このように、対策に優先順位を設けることにより、依存関係がある対策を確実に実施することが可能となる。
==第3の実施形態==
セキュリティ対策の実施順序を考慮した、第3の実施形態について説明する。第2の実施形態では、すべての対策の優先順位が記憶されていたが、対策の数が多くなると、優先順位を指定することが難しい場合がある。
そこで、ポリシ判定22は、図15に示すような、部分的な順序制約を示す順序制約情報が記録された順序制約DBを備えてもよい。順序制約DBには、「対策Aは対策Bよりも先に実行されなければならない(図中ではA→Bのように示している)」のような対策の順序の制約を示す情報が記録される。図15の例では、ログ記録は仮ID化の処理よりも先に実施されなければならないことや、アンチウィルスは暗号化よりも先に実施されなければならないことが示されている。
本実施形態では、ポリシ判定部22は、順序制約を満たすように対策の順番を並べ替え、次に行うべき対策を選択する。具体的には、ポリシ判定部22は、対策の順序制約を有向グラフとみなして各順序制約を表す有向グラフのマージを行ない、対策の依存関係を示した有向グラフを作成する。そして、ポリシ判定部22は、依存関係を示した有向グラフによって示される上位の対策から選択していく。
グラフのマージは、図16に示すように、共通した対策を1つにまとめることにより行うことができる。例えば、対策B→対策Cと対策A→対策Cというグラフがある場合、図16(a)に示すようにマージすることが出来る。また、対策A→対策Bと対策A→対策Cというグラフがある場合、図16(b)に示すようにマージすることが出来る。さらに、また、対策B→対策Aと対策C→対策Aというグラフがある場合、図16(c)に示すようにマージすることが出来る。
そして、ポリシ判定部22は、マージした有向グラフの上位から対策を選択し、ポリシの必要な対策リストを並べかえる。選択の順序は、例えばトポロジカルソートを用いて決定すれば良い。トポロジカルソートは、一般的な技術であるため詳細な説明は省略する。
グラフが1つにマージできない場合、例えば、対策A→対策B→対策Cと対策D→対策E→対策Fという2つのグラフにマージされた場合、それぞれのグラフに同じ対策は出現せず依存関係は無いため、グラフごとに対策の順序が決定されることとすればよい。
このように決定された対策の順序に従って、上述のように、対策が実施されることとなる。
なお、有向グラフに閉路がある場合、例えば、「A→B→C→A」のような場合は、依存関係がループしており、どのような順番で対策を実施したとしても、制約を満たすことは出来ない。よって、この場合、ポリシ判定部22は、管理者もしくはクライアント12対してエラーを通知する。
このような構成では、プラットフォーム管理者がすべての対策の依存関係を記述しなくても良いため、管理を簡略化することができる。
また、上記の対策の依存関係のグラフが2つ以上になる場合において、各グラフで次に実施可能な対策のうち、いずれかの対策が配置されているポリシ強制部20を抽出するように構成することができる。そして、それらのポリシ強制部20のうち、最も負荷が低いポリシ強制部20に情報を転送するように指示してもよい。
例えば、対策A→対策B→対策Cと対策D→対策E→対策Fという2つのグラフがあり、対策Aと対策Dが実施済み、もしくは問い合わせ元のポリシ強制部20で実施されるとすると、次のポリシ強制部20で実施可能なのは、対策Bと対策Eである。このとき、例えば、対策Bが配置されているポリシ強制部20が2つあり、それぞれ50%と60%の負荷であり、対策Eが配置されているポリシ強制部20が2つあり、それぞれ10%と90%の負荷であったとする。このとき、ポリシ判定部22は、負荷が一番低い(10%)のポリシ強制部20への転送を指示する。
また、依存関係のグラフが1つであっても複数の実施可能な対策がある場合、例えば、図16(c)のグラフの対策Bと対策Cのような場合も、上記と同じ手順で、それらの対策のいずれかを実施可能なポリシ強制部20のうち、最も負荷が低いポリシ強制部20を、情報の転送先に選んでもよい。
また、第1の実施形態のように順序制約がない場合も、同様の手順で情報の転送先を選んでもよい。
このような動作により、情報は一番負荷の低いポリシ強制部20に転送されるため、効率的にコンピュータリソースを利用することができる。
==第4の実施形態==
ポリシ判定部22への問い合わせ回数を考慮した、第4の実施形態について説明する。上述の実施形態では、各ポリシ強制部20がポリシ判定部22に問い合わせを行なっていた。したがって、ユーザ数の増加に伴って情報の送信回数が増加した場合や、多くのポリシ強制部20を用いる場合に、ポリシ判定部22への問い合わせ回数が増加し、この点がボトルネックになる可能性がある。
そこで、ポリシ判定部22への問い合わせの増加を防ぐために、ポリシ判定部22は、最初のポリシ強制部20の問い合わせに対して、最初のポリシ強制部20への通知だけではなく、その後のポリシ強制部20に対する通知をまとめて行うこととしてもよい。これにより、問い合わせの回数を減らすことが出来る。
動作を具体的に説明する。ポリシ判定部22は、図13に示したステップS1303〜S1305を繰り返し、すべての対策について
、どのポリシ強制部20で行なうかを決定する。そして、ポリシ強制部20の順番と、それぞれのポリシ強制部20で行う対策を、最初のポリシ強制部20へまとめて通知する。
図17は、まとめて通知する場合のフォーマットの例を示している。図17の例では、情報はIDが「2」のポリシ強制部20−2で匿名化が行なわれ、IDが「3」のポリシ強制部20−3でアンチウィルス処理が行われることが示されている。
各々のポリシ強制部20は、まとめた通知を、情報と共に、次のポリシ強制部20へ転送する。ポリシ強制部20は、ポリシ判定部22に問い合わせるのではなく、前のポリシ強制部20から受け取った通知を基に、指定された対策を呼び出し、次のポリシ強制部20もしくはサーバ14に情報を転送する。
例えば、最初にポリシ強制部20−1がクライアント12から情報を受け取り、ポリシ判定部22から図17に示す通知がなされた場合、ポリシ強制部20−1は自分のIDのフィールドを参照して対策の項目を参照する。この例の場合、対策は「無し」であるので、ポリシ強制部20−1は、次のポリシ強制部20、すなわち、2番のIDを持つポリシ強制部20−2へ情報を転送する。
ポリシ強制部20−2は、自分のIDのフィールドを参照して対策の項目を参照し、対策を実施する。この例の場合は、暗号化が実施される。次に、ポリシ強制部20−2は、次のポリシ強制部20、この例では3番のIDを持つポリシ強制部20−3へ、情報を転送する。
ポリシ強制部20−3は、自身のIDの対策の項を参照して、アンチウィルスの処理を行う。図17に示す通知内容はこれが最後であるため、ポリシ強制部20−3は、サーバ14へ情報を転送する。
このように、まとめて通知を行なうことにより、ポリシ判定部22への問い合わせ回数を減らすことが可能となる。
なお、最初のポリシ強制部20に各ポリシ強制部20で行なう対策をまとめて通知するのではなく、各ポリシ強制部20が、ポリシ判定部22の通知を一定期間キャッシュすることにより、問い合わせ回数を削減してもよい。
また、上記の説明では、対策のためのパラメータは、ポリシ強制部20から問い合わせがあるたびに、ポリシ判定部22から情報転送部50を介して対策実施部52へ渡されていた。パラメータのサイズが小さい場合は問題ないが、パラメータのサイズが大きいとネットワーク帯域を消費し、性能低下が生じる可能性がある。そのため、対策のパラメータを各対策実施部52へ事前に通知し、ポリシ判定部22がポリシ強制部20からの問い合わせに応答する際には、対策のパラメータの通知を省略することとしてもよい。
==第5の実施形態==
対策実施部52の動的な配置を考慮した、第5の実施形態について説明する。上述の実施形態では、対策実施部52はあらかじめポリシ強制部20に配置されているものとして説明したが、負荷状況に応じて、動的に対策実施部52の配置や削除を行ってもよい。その場合には、対策配置DBを更新すればよい。
例えば、負荷の低いポリシ強制部20−4に対策aを実行する対策実施部52を配置した場合、図8に示した対策配置DBに(4、対策a)という行が追加される。そして、「対策a」がポリシによって実施される場合には、IDが「4」のポリシ強制部20−4へ情報が転送され、「対策a」が実施される。
このように、負荷の低いポリシ強制部20に対策実施部52を配置することによって、負荷を分散することが可能となる。なお、負荷分散をするために対策実施部52を新たに配置する例を説明したが、ポリシ強制部20が実施可能な対策を増やすために、対策実施部52を配置してもよい。
また、対策実施部52の配置を行う際に、ネットワークの状況を考慮して配置先を決定してもよい。具体的には、ポリシ判定部22は、各ポリシ強制部20間で情報を転送するための時間を示した転送時間データベース(転送時間DB)を持つ。そして、ポリシ判定部22は、ある対策Aをどのポリシ強制部20に配置すれば転送時間が最短になるかを計算する。
例えば、ユーザがポリシ強制部20−1に情報を送信すると仮定する。そして、例えば、ポリシ強制部20−1からポリシ強制部20−2への情報転送時間が1秒、ポリシ強制部20−2からサーバ14への情報転送時間が1秒、ポリシ強制部20−1からポリシ強制部20−3への情報転送時間が2秒、ポリシ強制部20−3からサーバ14への情報転送時間が2秒であるとする。
対策Aを行なう対策実施部52をポリシ強制部20−2に配置すると、1秒+1秒で計2秒、ポリシ強制部20−3に配置すると、2秒+2秒で計4秒かかる。よって、ポリシ判定部22は、対策実施部52をポリシ強制部20−2に配置すれば良いと判断する。
なお、上記の説明では、ネットワークの状況を示す情報として、ポリシ強制部20の間における情報の転送時間を用いることとしたが、ネットワークの状況を示す情報はこれに限られない。例えば、ネットワークの速度や帯域の使用率等の情報をネットワークの状況を示す情報として用いることとしてもよい。
また、ネットワークの状況と、ポリシ強制部20の負荷の両方を考慮して、対策実施部52の配置先を決めてもよい。具体的には、上記の情報の転送時間に、配置しようとしている対策実施部52がポリシ強制部20において情報を処理する時間を加え、合計時間が最短となるポリシ強制部20に対策実施部52を配置すればよい。
例えば、負荷が0%のときに1秒かかる対策を配置することを考える。上記の例で、ポリシ強制部20−2が負荷80%、ポリシ強制部20−3が負荷50%であるとすると、それぞれ、5秒と2秒の対策の処理時間を要する。よって、経路の転送時間と合計すると、ポリシ強制部20−2に配置した場合は、1秒+1秒+5秒の計7秒であり、ポリシ強制部20−3に配置した場合は、2秒+2秒+2秒の計6秒である。よって、ポリシ判定部22は、ポリシ強制部20−3に対策実施部52を配置すれば良いと判断する。
なお、ユーザが複数の場合や、サーバが複数ある場合は、すべての組み合わせについて時間を計算し、合計時間が最短となるポリシ強制部20に対策処理部52を配置すればよい。
また、上記とは逆に、対策実施部52を削除したい場合は、合計時間が大きい経路に配置されている対策実施部52を削除すればよい。
==第6の実施形態==
仮想マシンを考慮した第6の実施形態について説明する。なお、第1の実施形態と同様の部分については、説明を省略する。
図18は、本実施形態のセキュリティポリシ強制システムの構成を示す図である。図18に示すように、第1の実施形態と異なる点は、第1の実施形態のサーバ14は、サービスを提供するサーバOS・サーバアプリケーション40しか備えていないのに対し、本実施形態のサーバ110は、仮想マシンモニタ(VMM)120、仮想ポリシ強制部122、サーバOS・サーバアプリケーション124を備えることである。
VMM120は、CPU130やメモリ132等のハードウェアを仮想化し、その上で複数のOSを動かすことが出来るプログラムである。VMM120は、一般的な技術であるため、詳細な説明は省略する。VMM120としては、例えばVMWare(登録商標)やXen(登録商標)などを用いることが出来る。
仮想ポリシ強制部122は、第1の実施形態のポリシ強制部20と同様に、セキュリティ対策の実施を行なう。第1の実施形態のポリシ強制部20は物理的に独立したコンピュータにより構成されていたが、本実施形態の仮想ポリシ強制部122は、VMM120によって仮想化されたコンピュータ上で動作する点が異なっている。
また、サーバOS・サーバアプリケーション124は、第1の実施形態のサーバ14と同様にサービスを提供する。第1の実施形態と異なっている点は、サーバOS・サーバアプリケーション124が、VMM120によって仮想化されたコンピュータ上で動作することである。
次に、本実施形態の全体の動作を説明する。基本的には、第1の実施形態と同様である。クライアント12は、サーバ110−1によって提供される仮想ポリシ強制部122に情報を送信する。仮想ポリシ強制部122は、第1の実施形態と同様に、実施する対策と転送先をポリシ判定部22に問い合わせ、対策を実施した後、サーバOS・サーバアプリケーション124へ情報を送信する。最後に、サーバOS・サーバアプリケーション124は、情報を内部に保存する。
本実施形態では、仮想ポリシ強制部122とサーバOS・サーバアプリケーション124が同じCPUやメモリを共有するため、サーバOS・サーバアプリケーション124がCPUやメモリを多く使わないときに、空き時間を仮想ポリシ強制部122が使用するため、CPUやメモリの使用効率を向上させることができる。
==第7の実施形態==
仮想マシンを用いたハイブリッド構成を考慮した第7の実施形態について説明する。図19は、本実施形態のセキュリティポリシ強制システムの構成を示す図である。図19に示すように、本実施形態の特徴は、第1の実施形態で示したポリシ強制部20と、第6の実施形態で示した仮想ポリシ強制部122の両方を備える点にある。
ポリシ強制部20は、基本的に第1の実施形態と同様の動作を行なうが、第1の実施形態ではポリシ強制部20またはサーバ14に情報を送信していたのに対し、本実施形態では、仮想ポリシ強制部122またはサーバOS・サーバアプリケーション124に送信する点が異なっている。
ポリシ強制部20および仮想ポリシ強制部122の動作については、第1および第6の実施形態と同様のため、説明を省略する。
本実施形態では、ポリシ強制部20およびサーバ110の負荷に応じて対策実施部52を配置し、負荷の低いポリシ強制部20やサーバ110の対策実施部52を利用することにより、より効率よくコンピュータリソースを使用することができる。
なお、本実施形態は、本発明の理解を容易にするためのものであり、本発明を限定して解釈するためのものではない。本発明は、その趣旨を逸脱することなく、変更/改良され得るととともに、本発明にはその等価物も含まれる。
例えば、上述の実施形態では、各ポリシ強制部20は複数の対策実施部52を備えることとしたが、各ポリシ強制部20は1つの対策実施部52しか備えないこととしてもよい。この場合、ポリシ判定部22は、ポリシ強制部52に対して情報の転送先のみを送信すればよい。なぜならば、ポリシ強制部20は対策実施部52を1つしか持たないため、その対策実施部52を呼び出すことは自明であり、実施する対策を示す情報は省略可能であるからである。
このような構成により、ポリシ判定部22からポリシ強制部20に対する応答のためのメッセージサイズを減らすことが可能となる。また、ポリシ強制部20は、対策実施部52を1つしか持たないため、この対策実施部52による対策を、ポリシ判定部22から転送先についての応答を待つ間に実行してもよい。つまり、図12のステップS02とS04を並列に実行できるため、より高速な動作が可能となる。
また、例えば、上述の実施形態では、情報転送部50および対策実施部52が同じコンピュータ上で動作することとしたが、情報転送部50および対策実施部52が異なるコンピュータ上で動作してもよい。その場合、情報転送部50は、ネットワーク経由で対策実施部52を呼び出せばよい。
この出願は、2011年1月25日に出願された日本出願特願2011−013392を基礎とする優先権を主張し、その開示の全てをここに取り込む。
以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
本実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)クライアントからサーバに送信されるユーザ情報に対してセキュリティ対策を実行する、複数のポリシ強制部と、前記ユーザ情報に対して実行すべきセキュリティ対策を示すポリシ情報を記憶するポリシ記憶部と、各ポリシ強制部で実行可能なセキュリティ対策を示す対策配置情報を記憶する対策配置記憶部と、前記複数のポリシ強制部のうち、前記ユーザ情報に対してセキュリティ対策を実行させる少なくとも1つのポリシ強制部を、前記ポリシ情報および前記対策配置情報に基づいて選択する、ポリシ判定部と、を備え、前記少なくとも1つのポリシ強制部の各々は、前記ユーザ情報に対してセキュリティ対策を実行し、前記ポリシ判定部の選択結果に基づいて、前記少なくとも1つのポリシ強制部のうちの他のポリシ強制部、または、前記サーバに前記ユーザ情報を出力する、セキュリティポリシ強制システム。
(付記2)各ポリシ強制部の負荷状況を示す負荷情報を記憶する負荷状況記憶部をさらに備え、前記ポリシ判定部は、前記負荷情報に基づいて、前記ポリシ情報に応じたセキュリティ対策を実行可能なポリシ強制部のうち、前記負荷状況が最も低いポリシ強制部を選択する、付記1に記載のセキュリティポリシ強制システム。
(付記3)複数のセキュリティ対策の実行順序の制約を示す順序制約情報を記憶する順序制約記憶部をさらに備え、前記ポリシ判定部は、前記順序制約情報に基づいて、前記制約に従ってセキュリティ対策が実行されるように前記少なくとも1つのポリシ強制部を選択する、付記1または2に記載のセキュリティポリシ強制システム。
(付記4)前記サーバは、ハードウェアを仮想化する仮想マシンモニタを含んで構成され、前記複数のポリシ強制部のうちの少なくとも1つは、前記仮想マシンモニタによって仮想化されたハードウェアを用いて実現される、付記1〜3の何れか一項に記載のセキュリティポリシ強制システム。
(付記5)前記複数のポリシ強制部のうち、前記クライアントから前記ユーザ情報を受信したポリシ強制部は、前記ポリシ判定部に対して前記少なくとも1つのポリシ強制部の選択要求を送信し、前記ポリシ判定部は、前記選択要求に応じて、前記少なくとも1つのポリシ強制部の全ての選択結果を、前記ユーザ情報を受信したポリシ強制部に送信し、前記少なくとも1つのポリシ強制部のうち、前記ユーザ情報を受信したポリシ強制部以外のポリシ強制部は、前記ポリシ判定部に対してポリシ強制部の選択要求を送信することなく、前記選択結果に基づいて、前記少なくとも1つのポリシ強制部のうちの他のポリシ強制部、または、前記サーバに前記ユーザ情報を出力する、付記1〜4の何れか一項に記載のセキュリティポリシ強制システム。
(付記6)前記複数のポリシ強制部の間におけるネットワークの状況を示すネットワーク情報を記憶するネットワーク状況記憶部をさらに備え、前記ポリシ判定部は、前記ネットワーク状況に基づいて、前記ポリシ情報に応じたセキュリティ対策を実行可能なポリシ強制部のうち、前記ユーザ情報の転送に効率的なポリシ強制部を選択する、付記1〜5の何れか一項に記載のセキュリティポリシ強制システム。
(付記7)クライアントからサーバに送信されるユーザ情報に対して実行すべきセキュリティ対策を示すポリシ情報をポリシ記憶部に記憶し、複数のポリシ強制部の各々で実行可能なセキュリティ対策を示す対策配置情報を対策配置記憶部に記憶し、前記複数のポリシ強制部のうち、前記ユーザ情報に対してセキュリティ対策を実行させる少なくとも1つのポリシ強制部を、前記ポリシ情報および前記対策配置情報に基づいて選択し、前記少なくとも1つのポリシ強制部の各々は、前記ユーザ情報に対してセキュリティ対策を実行し、前記選択結果に基づいて、前記少なくとも1つのポリシ強制部のうちの他のポリシ強制部、または、前記サーバに前記ユーザ情報を出力する、セキュリティポリシ強制方法。
(付記8)コンピュータに、クライアントからサーバに送信されるユーザ情報に対して実行すべきセキュリティ対策を示すポリシ情報と、複数のポリシ強制部の各々で実行可能なセキュリティ対策を示す対策配置情報とに基づいて、前記複数のポリシ強制部のうち、前記ユーザ情報に対してセキュリティ対策を実行させる少なくとも1つのポリシ強制部を、前記ポリシ情報および前記対策配置情報に基づいて選択する機能を実現させるためのプログラム。
10 セキュリティポリシ強制システム
12 クライアント
14 サーバ
20 ポリシ強制部
22 ポリシ判定部

Claims (7)

  1. クライアントからサーバに送信されるユーザ情報に対してセキュリティ対策を実行する、複数のポリシ強制部と、
    前記ユーザ情報に対して実行すべきセキュリティ対策を示すポリシ情報を記憶するポリシ記憶部と、
    各ポリシ強制部で実行可能なセキュリティ対策を示す対策配置情報を記憶する対策配置記憶部と、
    前記複数のポリシ強制部のうち、前記ユーザ情報に対してセキュリティ対策を実行させる少なくとも1つのポリシ強制部を、前記ポリシ情報および前記対策配置情報に基づいて選択する、ポリシ判定部と、を備え、
    前記少なくとも1つのポリシ強制部の各々は、前記ユーザ情報に対してセキュリティ対策を実行し、前記ポリシ判定部の選択結果に基づいて、前記少なくとも1つのポリシ強制部のうちの他のポリシ強制部、または、前記サーバに前記ユーザ情報を出力し、
    前記複数のポリシ強制部のうち、前記クライアントから前記ユーザ情報を受信したポリシ強制部は、前記ポリシ判定部に対して前記少なくとも1つのポリシ強制部の選択要求を送信し、
    前記ポリシ判定部は、前記選択要求に応じて、前記少なくとも1つのポリシ強制部の全ての選択結果を、前記ユーザ情報を受信したポリシ強制部に送信し、
    前記少なくとも1つのポリシ強制部のうち、前記ユーザ情報を受信したポリシ強制部以外のポリシ強制部は、前記ポリシ判定部に対してポリシ強制部の選択要求を送信することなく、前記選択結果に基づいて、前記少なくとも1つのポリシ強制部のうちの他のポリシ強制部、または、前記サーバに前記ユーザ情報を出力する、
    セキュリティポリシ強制システム。
  2. 各ポリシ強制部の負荷状況を示す負荷情報を記憶する負荷状況記憶部をさらに備え、
    前記ポリシ判定部は、前記負荷情報に基づいて、前記ポリシ情報に応じたセキュリティ対策を実行可能なポリシ強制部のうち、前記負荷状況が最も低いポリシ強制部を選択する、請求項1に記載のセキュリティポリシ強制システム。
  3. 複数のセキュリティ対策の実行順序の制約を示す順序制約情報を記憶する順序制約記憶部をさらに備え、
    前記ポリシ判定部は、前記順序制約情報に基づいて、前記制約に従ってセキュリティ対策が実行されるように前記少なくとも1つのポリシ強制部を選択する、請求項1または2に記載のセキュリティポリシ強制システム。
  4. 前記サーバは、ハードウェアを仮想化する仮想マシンモニタを含んで構成され、
    前記複数のポリシ強制部のうちの少なくとも1つは、前記仮想マシンモニタによって仮想化されたハードウェアを用いて実現される、請求項1〜3の何れか一項に記載のセキュリティポリシ強制システム。
  5. 前記複数のポリシ強制部の間におけるネットワークの状況を示すネットワーク情報を記憶するネットワーク状況記憶部をさらに備え、
    前記ポリシ判定部は、前記ネットワーク状況に基づいて、前記ポリシ情報に応じたセキュリティ対策を実行可能なポリシ強制部のうち、前記ユーザ情報の転送に効率的なポリシ強制部を選択する、請求項1〜の何れか一項に記載のセキュリティポリシ強制システム。
  6. クライアントからサーバに送信されるユーザ情報に対して実行すべきセキュリティ対策を示すポリシ情報をポリシ記憶部に記憶し、
    複数のポリシ強制部の各々で実行可能なセキュリティ対策を示す対策配置情報を対策配置記憶部に記憶し、
    前記複数のポリシ強制部のうち、前記ユーザ情報に対してセキュリティ対策を実行させる少なくとも1つのポリシ強制部を、前記ポリシ情報および前記対策配置情報に基づいて選択し、
    前記少なくとも1つのポリシ強制部の各々は、前記ユーザ情報に対してセキュリティ対策を実行し、前記選択結果に基づいて、前記少なくとも1つのポリシ強制部のうちの他のポリシ強制部、または、前記サーバに前記ユーザ情報を出力し、
    前記複数のポリシ強制部のうち、前記クライアントから前記ユーザ情報を受信したポリシ強制部は、前記少なくとも1つのポリシ強制部の選択要求を送信し、
    前記選択することは、前記選択要求に応じて、前記少なくとも1つのポリシ強制部の全ての選択結果を、前記ユーザ情報を受信したポリシ強制部に送信することを含み、
    前記少なくとも1つのポリシ強制部のうち、前記ユーザ情報を受信したポリシ強制部以外のポリシ強制部は、前記ポリシ強制部の選択要求を送信することなく、前記選択結果に基づいて、前記少なくとも1つのポリシ強制部のうちの他のポリシ強制部、または、前記サーバに前記ユーザ情報を出力する、
    セキュリティポリシ強制方法。
  7. コンピュータに、
    クライアントからサーバに送信されるユーザ情報に対して実行すべきセキュリティ対策を示すポリシ情報と、複数のポリシ強制部の各々で実行可能なセキュリティ対策を示す対策配置情報とに基づいて、前記複数のポリシ強制部のうち、前記ユーザ情報に対してセキュリティ対策を実行させる少なくとも1つのポリシ強制部を、前記ポリシ情報および前記対策配置情報に基づいて選択するポリシ判定部を実現させ
    前記複数のポリシ強制部のうち、前記クライアントから前記ユーザ情報を受信したポリシ強制部は、前記ポリシ判定部に対して前記少なくとも1つのポリシ強制部の選択要求を送信し、
    前記ポリシ判定部は、前記選択要求に応じて、前記少なくとも1つのポリシ強制部の全ての選択結果を、前記ユーザ情報を受信したポリシ強制部に送信し、
    前記少なくとも1つのポリシ強制部のうち、前記ユーザ情報を受信したポリシ強制部以外のポリシ強制部は、前記ポリシ判定部に対してポリシ強制部の選択要求を送信することなく、前記選択結果に基づいて、前記少なくとも1つのポリシ強制部のうちの他のポリシ強制部、または、前記サーバに前記ユーザ情報を出力する、
    プログラム。
JP2012554625A 2011-01-25 2011-11-24 セキュリティポリシ強制システム及びセキュリティポリシ強制方法 Active JP5920668B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2011013392 2011-01-25
JP2011013392 2011-01-25
PCT/JP2011/077010 WO2012101893A1 (ja) 2011-01-25 2011-11-24 セキュリティポリシ強制システム及びセキュリティポリシ強制方法

Publications (2)

Publication Number Publication Date
JPWO2012101893A1 JPWO2012101893A1 (ja) 2014-06-30
JP5920668B2 true JP5920668B2 (ja) 2016-05-18

Family

ID=46580478

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012554625A Active JP5920668B2 (ja) 2011-01-25 2011-11-24 セキュリティポリシ強制システム及びセキュリティポリシ強制方法

Country Status (4)

Country Link
US (1) US9386039B2 (ja)
JP (1) JP5920668B2 (ja)
CN (1) CN103270494B (ja)
WO (1) WO2012101893A1 (ja)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5921082B2 (ja) * 2011-05-10 2016-05-24 キヤノン株式会社 画像処理装置及びその制御方法、並びにプログラム
US10419524B2 (en) 2012-09-07 2019-09-17 Oracle International Corporation System and method for workflow orchestration for use with a cloud computing environment
US9571507B2 (en) * 2012-10-21 2017-02-14 Mcafee, Inc. Providing a virtual security appliance architecture to a virtual cloud infrastructure
JP2014191426A (ja) * 2013-03-26 2014-10-06 Nec Corp 不正行為への対策を実行する情報処理装置、不正行為対策方法、及びそのためのプログラム
WO2016046920A1 (ja) * 2014-09-24 2016-03-31 三菱電機株式会社 負荷分散装置及び負荷分散方法及びプログラム
US10140454B1 (en) * 2015-09-29 2018-11-27 Symantec Corporation Systems and methods for restarting computing devices into security-application-configured safe modes
JP6280613B1 (ja) * 2016-10-07 2018-02-14 楽天銀行株式会社 不正振込検知システム、不正振込検知方法、及びプログラム
US11316861B2 (en) * 2019-06-27 2022-04-26 AVAST Software s.r.o. Automatic device selection for private network security
US11374980B1 (en) * 2020-01-17 2022-06-28 Cisco Technology, Inc. Resolution of policy enforcement point by cross correlating other policies
CN111324470B (zh) * 2020-01-20 2023-11-07 北京百度网讯科技有限公司 用于生成信息的方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003174483A (ja) * 2001-12-06 2003-06-20 Nec Corp セキュリティ管理システムおよび経路指定プログラム
JP2007129481A (ja) * 2005-11-02 2007-05-24 Nippon Telegr & Teleph Corp <Ntt> パケットフィルタリング装置およびパケットフィルタリングプログラム
JP2007184724A (ja) * 2006-01-05 2007-07-19 Fujitsu Ltd 通信制御方法、ネットワーク及びネットワーク機器

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5355474A (en) * 1991-09-27 1994-10-11 Thuraisngham Bhavani M System for multilevel secure database management using a knowledge base with release-based and other security constraints for query, response and update modification
GB2411554B (en) * 2004-02-24 2006-01-18 Toshiba Res Europ Ltd Multi-rate security
US8042151B2 (en) * 2005-12-20 2011-10-18 Microsoft Corporation Application context based access control
CN101047701B (zh) 2006-03-27 2011-08-17 北京握奇数据系统有限公司 保证应用程序安全运行的系统和方法
JP4642707B2 (ja) 2006-06-14 2011-03-02 日本電信電話株式会社 パケット制御装置、パケット制御方法およびパケット制御プログラム
JP2008141352A (ja) 2006-11-30 2008-06-19 Toshiba Corp ネットワークセキュリティシステム
US20090012987A1 (en) * 2007-07-05 2009-01-08 Kaminsky David L Method and system for delivering role-appropriate policies
US9552497B2 (en) * 2009-11-10 2017-01-24 Mcafee, Inc. System and method for preventing data loss using virtual machine wrapped applications
US8880666B2 (en) * 2010-10-29 2014-11-04 At&T Intellectual Property I, L.P. Method, policy request router, and machine-readable hardware storage device to select a policy server based on a network condition to receive policy requests for a duration

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003174483A (ja) * 2001-12-06 2003-06-20 Nec Corp セキュリティ管理システムおよび経路指定プログラム
JP2007129481A (ja) * 2005-11-02 2007-05-24 Nippon Telegr & Teleph Corp <Ntt> パケットフィルタリング装置およびパケットフィルタリングプログラム
JP2007184724A (ja) * 2006-01-05 2007-07-19 Fujitsu Ltd 通信制御方法、ネットワーク及びネットワーク機器

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
JPN6016000519; 佐々木 貴之: 'セキュア情報共有に向けたドメイン仮想化方式' FIT2007 第6回情報科学技術フォーラム L-030, 20070822, p.69-70, 社団法人情報処理学会、社団法人電子情報通信学会 *
JPN6016000521; 小川 隆一 他: '仮想サーバ統合環境におけるアクセスポリシー管理方式 Access policy management architecture for virtua' 電子情報通信学会技術研究報告 Vol.110、No.113, 20100624, p.93-100, 社団法人電子情報通信学会 *

Also Published As

Publication number Publication date
WO2012101893A1 (ja) 2012-08-02
CN103270494B (zh) 2016-12-14
CN103270494A (zh) 2013-08-28
US20130174218A1 (en) 2013-07-04
JPWO2012101893A1 (ja) 2014-06-30
US9386039B2 (en) 2016-07-05

Similar Documents

Publication Publication Date Title
JP5920668B2 (ja) セキュリティポリシ強制システム及びセキュリティポリシ強制方法
US10958519B2 (en) Dynamic, load-based, auto-scaling network security microservices architecture
WO2021017279A1 (zh) 基于Kubernetes和网络域的集群安全管理方法、装置及存储介质
US11025647B2 (en) Providing a virtual security appliance architecture to a virtual cloud infrastructure
US9634990B2 (en) Distributed firewall security system for cloud computing environments
US8903938B2 (en) Providing enhanced data retrieval from remote locations
US8843914B1 (en) Distributed update service
US8627313B2 (en) Virtual machine liveness determination
JP2021529386A (ja) オンデマンドネットワークコード実行システム上での補助機能の実行
CN111355604A (zh) 在软件定义网络上的用户定制和自动化操作的系统和方法
EP3149921B1 (en) Providing router information according to a programmatic interface
CN108063813B (zh) 一种集群环境下密码服务网络并行化的方法与系统
US20130254762A1 (en) Providing redundant virtual machines in a cloud computing environment
KR20190029486A (ko) 탄력적 허니넷 시스템 및 그 동작 방법
US20080115127A1 (en) Apparatus and method for carrying out information processing by virtualization
JP6680028B2 (ja) 監視システム、監視方法および監視プログラム
JP5736346B2 (ja) 仮想化装置、仮想化制御方法、仮想化装置制御プログラム
US10333792B2 (en) Modular controller in software-defined networking environment and operating method thereof
JP6522490B2 (ja) ネットワークシステム、制御装置、及びプログラム
JP2012203421A (ja) 情報処理方法、管理サーバおよび管理プログラム
WO2024078025A1 (zh) 流量隔离方法、装置、系统及计算机可读存储介质
JP5835022B2 (ja) 配信装置、配信処理方法及びプログラム、並びに情報処理装置、情報処理方法及びプログラム
KR20070117873A (ko) 그리드 컴퓨팅을 이용한 이메일 필터링 시스템 및 방법
CN116016229A (zh) 一种部署容器服务的方法及装置
CN118140211A (zh) 硬件加速器服务聚合

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20141009

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160112

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160229

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160318

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160331

R150 Certificate of patent or registration of utility model

Ref document number: 5920668

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150