JP6171708B2 - 仮想マシン管理方法、仮想マシン管理プログラム及び仮想マシン管理装置 - Google Patents

仮想マシン管理方法、仮想マシン管理プログラム及び仮想マシン管理装置 Download PDF

Info

Publication number
JP6171708B2
JP6171708B2 JP2013165012A JP2013165012A JP6171708B2 JP 6171708 B2 JP6171708 B2 JP 6171708B2 JP 2013165012 A JP2013165012 A JP 2013165012A JP 2013165012 A JP2013165012 A JP 2013165012A JP 6171708 B2 JP6171708 B2 JP 6171708B2
Authority
JP
Japan
Prior art keywords
virtual machine
environment
operating environment
value
time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013165012A
Other languages
English (en)
Other versions
JP2015035061A (ja
Inventor
弘志 高橋
弘志 高橋
智良 鈴木
智良 鈴木
雅文 矢野
雅文 矢野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2013165012A priority Critical patent/JP6171708B2/ja
Publication of JP2015035061A publication Critical patent/JP2015035061A/ja
Application granted granted Critical
Publication of JP6171708B2 publication Critical patent/JP6171708B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Description

本発明は、コンピュータにおいて稼働する仮想マシンを管理する技術に関する。
仮想化環境を備えたコンピュータにおいて仮想マシン(以下、VM(Virtual Machine)という)を稼働させ、ユーザに提供するサービスがある。このようなサービスにおけるVMの動作環境では、複数のVMが共通の物理資源を使用する。ここで、複数のVMは、様々なユーザが夫々の使用目的に応じて使用するものであり、その運用形態や実行するアプリケーション等は夫々のVMによって異なる。このため、VMによって、セキュリティリスク(例えば外部からの不正アクセス等によって不具合が生じる可能性)が異なる。そして、セキュリティリスクが高いVMに生じた不具合が、他のVMに影響を及ぼすことがある。このようなVMのセキュリティに着目した技術の一例として、高セキュリティレベルニーズを有するアプリケーションを実行するためのVMを他のVMから隔離する技術が提案されている。
特表2013−500531号公報
ここで、VMのセキュリティリスクは、例えばユーザによるVMの運用形態や使用状況、その他の様々な外的要因によって変化する。しかし従来では、隔離するVMをセキュリティリスクの変化に応じて柔軟に変更しておらず、セキュリティリスクが高いVMが必ずしも適切に隔離されていなかった。
そこで、本発明の1つの側面では、複数のVMが稼働するシステムにおいて、VMのセキュリティリスクの変化に応じて、VMを適切に隔離することを目的とする。
本発明の1つの側面では、コンピュータが、次の処理を実行する。まず、コンピュータによって、仮想マシンのリスクを特定するための情報を記憶する記憶部の記憶内容を参照して、第1動作環境又は第2動作環境のいずれかで稼働する仮想マシンのリスク指標値を所定の時間ごとに算出する。そして、基準時間内に算出されるリスク指標値の集計値を、当該基準時間ごとに算出する。さらに、仮想マシンを、算出した集計値に応じて、第1動作環境から第2動作環境へ、又は、第2動作環境から第1動作環境へ移動させる。そして、仮想マシンの第1動作環境における稼働時間と第2動作環境における稼働時間との比率に応じて、基準時間を変更する。
本発明の1つの側面によれば、複数のVMが稼働するシステムにおいて、VMのセキュリティリスクの変化に応じて、VMを適切に隔離することができる。
本実施形態におけるシステム構成の一例を示す図である。 安全環境VMサーバ及び隔離環境VMサーバの機能構成及びセキュリティに関連する装置構成の一例を示す図である。 管理サーバの機能構成及びデータ構成の一例を示す図である。 VM管理テーブルの一例を示す図である。 指標値テーブル群の一例を示す図である。 指標値テーブル群の一例を示す図である。 隔離開始基準値、隔離解除基準値、隔離開始基準回数、隔離解除基準回数及び安全係数の一例を示す図である。 VM配置変更処理の一例を示すフローチャートである。 指標値算出処理の一例を示すフローチャートである。 安全環境VMサーバで稼働しているVMを隔離環境VMサーバに移動させる具体例の説明図である。 隔離環境VMサーバで稼働しているVMを安全環境VMサーバに移動させる具体例の説明図である。 基準時間変更処理の一例を示すフローチャートである。 管理サーバのハードウェア構成の一例を示す図である。
<実施形態の概要>
本実施形態では、複数のVMが稼働するシステムにおいて、セキュリティリスクが相対的に高いVMを、セキュリティリスクが相対的に低いVMから隔離し、異なる動作環境で実行させる。具体的には、本実施形態では、VMのセキュリティリスクの変化に応じて、複数の動作環境間でVMを移動させ、VMを適切に配置する。なお、本明細書において「動作環境」とは、一例では物理的なコンピュータ自体を指すが、これに限らず、例えば1つのコンピュータ内で仮想的に構築され、区分けされたVMのプラットフォームであってもよい。また、「VMを隔離する」とは、少なくとも、ある1つの動作環境とは異なる動作環境でVMを実行することを示す。
一例として、本実施形態では、複数のVMのうちの1つである対象VMのリスク指標値を所定の時間ごとに算出して、対象VMに対応付けられた基準時間の時間内に算出した指標値の集計値を基準時間ごとに算出する。そして、対象VMを、算出した集計値に応じて、安全環境(第1動作環境の一例である)から隔離環境(第2動作環境の一例である)へ、又は、隔離環境から安全環境へ移動する。具体的には、例えば、対象VMが安全環境で稼働している場合であって集計値が所定の閾値以上であるときに、対象VMを隔離環境に移動する。一方で、対象VMが隔離環境で稼働している場合であって集計値が所定の閾値以下であるときに、対象VMを安全環境に移動させる。こうすることで、対象VMのセキュリティリスクの変化に応じて、対象VMを安全環境又は隔離環境に適切に配置することができる。
ここで、本実施形態では、対象VMの安全環境における稼働時間と隔離環境における稼働時間との比率に応じて、前述の基準時間を変更する。例えば、対象VMの隔離環境における稼働時間が占める割合が相対的に大きければ、基準時間を長くする。こうすることで、前述した指標値の集計値が大きくなるため、隔離環境に長く存在するVM、すなわち、セキュリティリスクが高い傾向にあるVMは隔離環境に移動し易く、逆に安全環境に移動しづらくなる。これは、隔離環境に長く配置されているVMのセキュリティリスクが一時的に低くなったとしても、稼働状況全体を考慮し、容易に安全環境に配置されないようにするものである。こうすることで、本実施形態では、セキュリティリスクの高いVMを高い精度で他のVMから適切にVMを隔離することができ、VM提供サービスを行うシステムに発生する不具合の影響を小さくすることができる。
<システム構成>
図1は、本実施形態におけるシステム構成を示す。本実施形態では、システム1が、安全環境VMサーバ10、隔離環境VMサーバ20、管理サーバ30、クライアント40、情報提供サーバ50を備える。
安全環境VMサーバ10及び隔離環境VMサーバ20は、仮想化環境が構築されたコンピュータである。安全環境VMサーバ10及び隔離環境VMサーバ20では、夫々仮想化された物理資源が割当てられたVMが稼働する。本実施形態では、相対的にセキュリティリスクの低いVMが安全環境VMサーバ10で稼働し、セキュリティリスクの高いVMが隔離環境VMサーバ20で稼働するようにVMを配置する。
管理サーバ30は、安全環境VMサーバ10及び隔離環境VMサーバ20で動作するVMを管理する。管理サーバ30は、夫々のVMのセキュリティリスクを監視し、セキュリティリスクの低いVMが安全環境VMサーバ10に配置され、セキュリティリスクの高いVMが隔離環境VMサーバ20間に配置されるように、必要に応じてVMを移動(マイグレーション)させる。
クライアント40は、安全環境VMサーバ10及び隔離環境VMサーバ20で稼働するVMのユーザが、VMを利用するコンピュータである。
情報提供サーバ50は、管理サーバ30がVMのセキュリティリスクを監視する際に参照する、セキュリティリスクの判断材料となる情報を提供するサーバである。
システム1において、安全環境VMサーバ10、隔離環境VMサーバ20及び管理サーバ30は、ネットワーク80によって通信可能に接続されている。ネットワーク80は、例えば、LAN(Local Area Network)やWAN(World Area Network)又はイントラネット等である。さらに、安全環境VMサーバ10、隔離環境VMサーバ20及び管理サーバ30は、クライアント40や情報提供サーバ50との間で、例えば、インターネット90によって通信可能に接続されている。なお、かかるネットワーク構成は一例に過ぎない。
図2は、安全環境VMサーバ10及び隔離環境VMサーバ20の機能構成及びセキュリティに関連する装置構成の一例を示す。
安全環境VMサーバ10では、仮想化した物理資源をVMに割当ててVMの実行制御を行う仮想化環境であるハイパーバイザ11−1が動作する。そして、ハイパーバイザ11−1上において、VM群12−1が稼働する。図3の例では、安全環境VMサーバ10において、VM1、VM2及びVM5が稼働している。同様に、隔離環境VMサーバ20では、ハイパーバイザ11−2上においてVM群12−2が稼働する。図3の例では、隔離環境VMサーバ20において、VM3及びVM4が稼働している。夫々のVMでは、仮想化されたOS及びアプリケーションが独立して動作する。VMのユーザは、図1で示したクライアント40を介してVMを運用し、使用する。
安全環境VMサーバ10とネットワーク80との間には、安全環境VMサーバ10へのアクセスを制御するFW(FireWall)装置60−1及びIPS(Intrusion Prevention System)装置70−1が設けられている。同様に、隔離環境VMサーバ20とネットワーク80との間には、隔離環境VMサーバ20へのアクセスを制御するFW装置60−2及びIPS装置70−2が設けられている。FW装置60−1及びFW装置60−2は、パケットのフィルタリングを行う。IPS装置70−1及びIPS装置70−2は、例えば、プロトコルに応じて、パケットに関連するセッションやコネクションを切断し、その後に続くパケットを自動的に拒否する等の処理を行うことで、安全環境VMサーバ10及び隔離環境VMサーバ20のセキュリティをさらに強化する。これらのFW装置60−1及びIPS装置70−1並びにFW装置60−2及びIPS装置70−2によれば、安全環境VMサーバ10及び隔離環境VMサーバ20への外部からの不正アクセス等の攻撃を抑制することができる。そして、外部からのみならず、安全環境VMサーバ10及び隔離環境VMサーバ20の相互間における不正アクセス等も抑制することができる。なお、安全環境VMサーバ10のセキュリティを、隔離環境VMサーバ20のセキュリティに比べて強化してもよい。FW装置60−1及びFW装置60−2並びIPS装置70−1及びIPS装置70−2は、具体的にはこれらの機能を有するルータ等であり、かかる装置構成は一例に過ぎない。なお、図1及び図2では、システム1が有する他のアクセス制御装置については記載を省略している。
<管理サーバの機能構成及びデータ構成>
図3は、管理サーバ30の機能構成及びデータ構成を示す。管理サーバ30は、プログラムがロードされて実行されることによって実現される、情報収集部31、指標値算出部32及びVM移動部33を備える。さらに、管理サーバ30は、記憶手段において、VM管理テーブル41及び指標値テーブル群42、隔離開始基準値43、隔離解除基準値44及び安全係数47を備える。
情報収集部31は、所定の時間ごとに情報提供サーバ等にアクセスし、安全環境VMサーバ10及び隔離環境VMサーバ20で動作する複数のVMの夫々のセキュリティリスクを特定するための判断材料となる各種情報を収集する。
指標値算出部32は、複数のVMの夫々のセキュリティリスクを特定する。具体的には、指標値算出部32は、情報収集部31で収集した各種情報に基づいて、安全環境VMサーバ10及び隔離環境VMサーバ20で動作する複数のVMの夫々のセキュリティリスクを示す指標値を所定の時間ごとに算出する。さらに、指標値算出部32は、複数のVMの夫々につき、VMごとに対応付けられた基準時間の時間内に算出した指標値の合計値を当該基準時間ごとに算出する。なお、本実施形態の説明における「合計」は、「集計」の一態様であり、必ずしも「合計」に限定されるものではない。
VM移動部33は、複数のVMの夫々のセキュリティリスクに応じて、安全環境VMサーバ10及び隔離環境VMサーバ20間においてVMを移動させる。具体的には、VM移動部33は、安全環境VMサーバ10で稼働するVMのうち、指標値算出部32で算出した合計値が所定の閾値である隔離開始基準値43以上のVMがあれば、当該VMを安全環境VMサーバ10から隔離環境VMサーバ20に移動させる。一方、VM移動部33は、隔離環境VMサーバ20で稼働する複数のVMのうち、指標値算出部32で算出した合計値が所定の閾値である隔離解除基準値44以下のVMがあれば、当該VMを隔離環境VMサーバ20から安全環境VMサーバ10に移動させる。
基準時間変更部34は、VMを移動させる判定基準となる合計値を算出する基準時間を、VMのセキュリティリスクの傾向に応じて変更する。すなわち、基準時間変更部34は、隔離環境VMサーバ20に配置されている時間が相対的に長いVMについては、安全環境VMサーバ10に移動しづらくなるように基準時間を変更する。具体的には、基準時間変更部34は、VMの安全環境VMサーバ10における稼働時間と隔離環境VMサーバ20における稼働時間との比率に応じて、基準時間を変更する。さらに具体的には、基準時間変更部34は、VMの総稼働時間(VMの安全環境VMサーバ10における稼働時間及び隔離環境VMサーバ20における稼働時間の合計時間)に対して当該VMの隔離環境VMサーバ20における稼働時間が占める割合に応じて、基準時間を変更する。
次に、管理サーバ30の記憶手段に記憶される、VM管理テーブル41、指標値テーブル群42、隔離開始基準値43及び隔離解除基準値44、隔離開始基準回数45及び隔離解除基準回数46並びに安全係数47の詳細について、図4〜図7を参照して説明する。
VM管理テーブル41は、安全環境VMサーバ10及び隔離環境VMサーバ20で稼働する複数のVMを管理するテーブルである。VM管理テーブル41は、図4に示すように、VMの識別子を示す[VM]、ユーザの識別子を示す[ユーザ]、VMが現在稼働しているサーバを示す[稼働中サーバ]、VMが安全環境VMサーバ10で稼働している時間を示す[安全環境稼働時間]、VMが隔離環境VMサーバ20で稼働している時間を示す[隔離環境稼働時間]、指標値算出部32において所定の時間ごとに算出した指標値の合計値を算出する時間である[基準時間]の項目を有する。
指標値テーブル群42は、具体的には、図5及び図6に示すように、VMの夫々のセキュリティリスクを特定するための判断材料となる各種情報である「イベント発生度」、「脆弱性発生量」、「狙われやすさ」、「セキュリティ対策状況」を示す情報を格納するためのテーブルを有する。これらのテーブルの夫々は、情報を収集した時刻を示す[時刻]と、各種情報の具体的要素を夫々数値で示す項目と、各種情報の夫々の数値の合計値を示す項目を有する。各種情報の具体例等については後述する。
隔離開始基準値43及び隔離解除基準値44は、図7に示すように、VMの隔離開始及び隔離解除の判定において夫々用いる基準値であり、算出した指標値の合計値との比較を行う値である。
隔離開始基準回数45及び隔離解除基準回数46は、図7に示すように、VMの隔離開始又は隔離解除の判定において夫々用いる基準値であり、指標値の合計値が連続で隔離開始基準値43以上となる回数及び連続で隔離解除基準値44以下となる回数との比較を夫々行う値である。
安全係数47は、基準時間を変更する際の比較対象の値を調整するための係数である。安全係数47を大きくするほど、基準時間が短く変更され易くなり、安全環境VMサーバ10から隔離環境VMサーバ20へのVMの移動がされにくくなる。
隔離開始基準値43及び隔離解除基準値44、隔離開始基準回数45及び隔離解除基準回数46並びに安全係数47は、例えばシステム管理者等がセキュリティポリシーに基づいて予め設定しておくことができる。
<VMのセキュリティリスクを特定するための判断材料となる各種情報の詳細>
ここで、図5及び図6に示した指標値テーブル群42に格納される、VMのセキュリティリスクを特定するための判断材料となる各種情報の具体例について説明する。
図5に示すイベント発生度(e)は、社会の情勢やとりまく環境などの外的な要因の発生状況を数値で表すものである。このような外的な要因の変化により、VMのセキュリティリスクが変化することがある。具体的な要素の例として、以下のようなものがある。
e1=イベント(元旦、クリスマス、サッカー日本代表の試合等)
e2=ニュース(経済状況、政治状況、天気予報等)
e3=システムへの脅威(サイバー攻撃、ウイルス発生等)
なお、イベント発生度は上記の例に限らず、様々な要素が考えられる。これらの情報は、例えば、検索エンジンやSNS(Social Networking Service)、掲示板等のウェブサイト等から収集することができる。収集した情報は、予め適宜定めておいたルールに従って数値化することができる(例えば0≦e≦100とし、イベント発生が多いほど数値を大きくする)。そして、イベント発生度(e)は、各要素の数値の合計値(e=e1+e2+e3+e4+…)とすることができる。
図5に示す脆弱性発生量(v)は、VMのOS(Operating System)やミドルウェア等の脆弱性の発生量を数値で表すものである。具体的な要素の例として、以下のようなものがある。
v1=OS脆弱性発生量(OSで発見された脆弱性)
v2=ミドルウェア脆弱性発生量(ミドルウェアで発見された脆弱性)
これらの情報は、例えば、一般に公開されているCVE(Common Vulnerabilities and Exposures)やJVN(Japan Vulnerability Notes)等のデータベースを利用することができる。収集した情報は、予め適宜定めておいたルールに従って数値化することができる(例えば0<vとし、脆弱性発生量が多いほど数値を大きくする)。そして、脆弱性発生量(v)は、各要素の数値の合計値(v=v1+v2)とすることができる。
図6に示す狙われやすさ(t)は、VMのユーザの不祥事・評判や検索エンジンの結果順位等、ユーザが管理するシステムがハッカー等の攻撃者から狙われる可能性の大きさを数値で表すものである。具体的な要素の例として、以下のようなものがある。
t1=ユーザの不祥事・評判(SNSでの検索結果数、掲示板でのスレッド数等)
t2=検索エンジンの結果順位(組織名やドメイン等で検索した場合の出現順位、等)
なお、狙われやすさは上記の例に限らず、様々な要素が考えられる。これらの情報は、例えば、検索エンジンやSNS、掲示板等のウェブサイト等から収集することができる。収集した情報は、予め適宜定めておいたルールに従って数値化することができる(例えば0<tとし、狙われる可能性が高いほど数値を大きくする)。そして、狙われやすさ(t)は、各要素の数値の合計値(t=t1+t2+t3+t4+…)とすることができる。
図6に示すVMセキュリティ対策状況(s)は、VMの脆弱性診断結果等、セキュリティ対策状況を数値で表すものである。具体的な要素の例として、以下のようなものがある。
s1=インフラ脆弱性診断結果(OS、ミドルウェアの脆弱性診断結果)
s2=アプリケーション脆弱性診断結果
これらの情報は、一般に用いられている外部の脆弱性診断ツールを利用して診断し、診断結果を収集したりすることができる。収集した情報は、予め適宜定めておいたルールに従って数値化することができる(例えば1≦s≦100とし、セキュリティ対策ができているほど数値を大きくする)。そして、VMセキュリティ対策状況(s)は、各要素の数値の合計値(s=s1+s2)とすることができる。
なお、これらのVMのセキュリティリスクを特定するための判断材料となる各種情報は一例に過ぎず、また、これらの情報のうちの一部のみに基づいてセキュリティリスクを特定してもよい。
<処理説明>
次に、管理サーバ30が実行する各処理について、図8〜図12を用いて説明する。
図8及び図9は、管理サーバ30の情報収集部31、指標値算出部32、VM移動部33が実行するVM配置変更処理を示すフローチャートである。この処理は、安全環境VMサーバ10及び隔離環境VMサーバ20で実行されているVMの夫々を対象として実行される。
ステップS1で、VM移動部33が、VM管理テーブル41を参照し、複数のVMのうちの1つである処理対象のVM(以下、対象VMという)が安全環境VMサーバ10で稼働しているか隔離環境VMサーバ20で稼働しているかを判定する。安全環境VMサーバ10のときはステップS2に進む一方、隔離環境VMサーバ20のときはステップS8に進む。
以下のステップS2〜ステップS7が、対象VMが安全環境VMサーバ10で稼働している場合の処理である。
ステップS2で、VM移動部33が、内部変数[x]に0をセットする。この内部変数[x]は、セキュリティリスクを示す指標値(r)の基準時間(T)あたりの合計値が連続して隔離開始基準値43(Rs)以上である回数を特定するために用いるものである。
ステップS3で、情報収集部31及び指標値算出部32が、図9に示す指標値算出処理を実行する。指標値算出処理の説明は後述する。
ステップS4で、VM移動部33が、指標値算出処理で算出した、指標値(r)の基準時間(T)あたりの合計値(rSum)が、隔離開始基準値43(Rs)以上であるか否かを判定(比較)する。合計値(rSum)が隔離開始基準値43(Rs)以上であるときはステップS5に進み(Yes)、隔離開始基準値43(Rs)よりも小さいときにはステップS2に戻る(No)。
ステップS5で、VM移動部33が、内部変数[x]に1を加算する。
ステップS6で、VM移動部33が、内部変数[x]が隔離開始基準回数45(Ns)以上であるか否かを判定(比較)する。内部変数[x]が隔離開始基準回数45(Ns)以上であるときにはステップS7に進み(Yes)、隔離開始基準回数45(Ns)よりも小さいときにはステップS3に戻る(No)。
ステップS7で、VM移動部33が、対象VMを隔離環境VMサーバ20に移動させる。そして、VM移動部33は、VM管理テーブル41のレコードのうち、対象VMに対応するレコードの[稼働中サーバ]を「隔離」に変更する。
これらのステップS4〜ステップS7の処理は、すなわち、基準時間(T)あたりの指標値の合計値(rSum)が、隔離開始基準回数45(Ns)連続で隔離開始基準値43(Rs)以上であるときに、対象VMを隔離環境VMサーバ20に移動させるものである。
以下のステップS8〜ステップS13が、対象VMが隔離環境VMサーバ20で稼働している場合の処理である。
ステップS8で、VM移動部33が、内部変数[x]に0をセットする。この内部変数[x]は、セキュリティリスクを示す指標値(r)の基準時間(T)あたりの合計値が連続して隔離解除基準値44(Re)以下である回数を特定するために用いるものである。
ステップS9で、情報収集部31及び指標値算出部32が、図9に示す指標値算出処理を実行する。指標値算出処理の説明は後述する。
ステップS10で、VM移動部33が、指標値算出処理で算出した、指標値(r)の基準時間(T)あたりの合計値(rSum)が、隔離解除基準値44(Re)以下であるか否かを判定(比較)する。合計値(rSum)が隔離解除基準値44(Re)以下であるときはステップS11に進み(Yes)、隔離解除基準値44(Re)以下でないときにはステップS8に戻る(No)。
ステップS11で、VM移動部33が、内部変数[x]に1を加算する。
ステップS12で、VM移動部33が、内部変数[x]が隔離解除基準回数46(Ne)以上であるか否かを判定(比較)する。内部変数[x]が隔離解除基準回数46(Ne)以上であるときにはステップS13に進み(Yes)、隔離解除基準回数46(Ne)よりも小さいときにはステップS9に戻る(No)。
ステップS13で、VM移動部33が、対象VMを安全環境VMサーバ10に移動させる。そして、VM移動部33は、VM管理テーブル41のレコードのうち、対象VMに対応するレコードの[稼働中サーバ]を「安全」に変更する。
これらのステップS10〜ステップS13の処理は、すなわち、基準時間(T)あたりの指標値の合計値(rSum)が、隔離解除基準回数46(Ne)連続で隔離解除基準値44(Re)以下であったときに、対象VMを安全環境VMサーバ10に移動させるものである。
図9は、情報収集部31及び指標値算出部32が実行する指標値算出処理(前述のステップ3及びステップ9)の詳細を示すフローチャートである。
ステップS21で、指標値算出部32は、基準時間(T)のカウントをリセットするとともに、指標値(r)の合計値(rSum)に0をセットする。
ステップS22で、情報収集部31は、イベント発生度(e)や狙われやすさ(t)を示す情報をインターネット等から収集する。なお、狙われやすさ(t)はVMのユーザに依存する情報であるため、情報収集部31はVM管理テーブル41を参照して対象VMのユーザを特定し、特定したユーザについての情報を収集する。そして、情報収集部31は、収集した情報を予め適宜定めておいたルールに従って数値化してイベント発生度(e)及び狙われやすさ(t)を示す値とし、指標値テーブルに書き込む。
ステップS23で、情報収集部31は、脆弱性発生量(v)を示す情報を外部データベース等から収集する。そして、情報収集部31は、収集した情報を予め適宜定めておいたルールに従って数値化して脆弱性発生量(v)を示す値とし、指標値テーブルに書き込む。
ステップS24で、情報収集部31は、VMセキュリティ対策状況(s)を示す情報を外部の脆弱性診断ツール等から収集する。そして、情報収集部31は、収集した情報を予め適宜定めておいたルールに従って数値化してVMセキュリティ対策状況(s)を示す値とし、指標値テーブルに書き込む。
なお、ステップS22〜ステップS24で収集する情報は、必要に応じて管理サーバ30に接続された管理コンソール等から入力することもできる。
ステップS25で、指標値算出部32は、指標値(r)を算出する。指標値(r)は、例えば、次のような式で算出することができる。
r=(e + t + v)/ s
ステップS26で、指標値算出部32は、ステップS25で算出した指標値(r)を、合計値(rSum)に加算する。
ステップS27で、指標値算出部32は、基準時間(T)が経過しているか否かを判定する。なお、基準時間(T)は、前述したようにVMごとに対応づけられているものであり、VM管理テーブル41を参照することで特定することができる。基準時間(T)が経過していれば処理を終了し(Yes)、経過していなければ、所定の時間待機して、ステップS22に戻る(No)。
ここで、安全環境VMサーバ10及び隔離環境VMサーバ20間でVMを移動させる具体例について説明する。
図10は、安全環境VMサーバ10で稼働しているVMを隔離環境VMサーバ20に移動させる具体例を示す。図10のグラフは、対象VMにおける、時間の経過に伴う指標値rの推移を示し、縦軸が指標値(r)、横軸が時間(t)を示す。図10のグラフにおいて、基準時間(T)ごとに夫々実線で囲われた部分の面積(T1の例で示す網掛け部分)が、基準時間(T)あたりの指標値(r)の合計値(rSum)を示す。なお、数値の具体例を示すと、例えば基準時間(T)が60分であり、指標値(r)が10分ごとに算出される場合において、基準時間(T)内に「180」、「190」、「210」、「250」、「220」、「240」の指標値(r)が算出されたとき、合計値(rSum)は「1290」となる。また、基準時間ごとに破線で囲われた長方形のブロックの面積が、隔離開始基準値43(Rs)である。この例では、隔離開始基準回数45(Ns)が3回であるとする。この例において、T1〜T4の期間は、指標値(r)の合計値(rSum)が、隔離開始基準値43(Rs)よりも小さい。一方で、T5〜T9の期間では、指標値(r)の合計値(rSum)が、隔離開始基準値43(Rs)以上である。ここで、T5〜T7で、指標値(r)の合計値(rSum)が、隔離開始基準値43(Rs)を3回連続で超えているため、VM移動部33は、T7が経過した時点で、当該VMを隔離環境VMサーバ20へ移動させる。
一方、図11は、隔離環境VMサーバ10で稼働しているVMを安全環境VMサーバ20に移動させる具体例を示す。図11のグラフも同様、対象VMにおける、時間の経過に伴う指標値rの推移を示し、縦軸が指標値(r)、横軸が時間(t)を示す。図11のグラフにおいて、基準時間(T)ごとに夫々実線で囲われた部分の面積(T1の例で示す網掛け部分)が、基準時間(T)あたりの指標値(r)の合計値(rSum)を示す。また、基準時間ごとに破線で囲われた長方形のブロックが、隔離解除基準値44(Re)である。この例では、隔離解除基準回数46(Ne)が5回であるとする。この例において、T1〜T3の期間は、指標値(r)の合計値(rSum)が、隔離解除基準値44(Re)よりも大きい。一方で、T4〜T9の期間では、指標値(r)の合計値(rSum)が、隔離解除基準値44(Re)以下である。ここで、T4〜T8で、指標値(r)の合計値(rSum)が、隔離開始基準値43(Re)を5回連続で下回っているため、VM移動部33は、T8が経過した時点で、当該VMを安全環境VMサーバ10へ移動させる。
図12は、管理サーバ30の基準時間変更部34が実行する基準時間変更処理を示すフローチャートである。この処理は、安全環境VMサーバ10又は隔離環境VMサーバ20で実行されているVMの夫々を対象として実行される。また、図示を省略しているが、管理サーバ30では、複数のVMの夫々の安全環境VMサーバ10における稼働時間及び隔離環境VMサーバ20における稼働時間を把握し、VM管理テーブル41に随時記録している。
ステップS31で、基準時間変更部34は、対象VMの隔離環境滞在割合(α)を次の式によって算出する。
α=対象VMの隔離環境VMサーバ稼働時間/対象VMの総稼働時間
なお、対象VMの総稼働時間は、安全環境VMサーバ稼働時間と隔離環境VMサーバ稼働時間とを合わせた時間である。当該計算式は、換言すれば、対象VMの安全環境VMサーバ10における稼働時間と安全環境VMサーバ稼働時間20における稼働時間との比率を計算するものである。
さらに、基準時間変更部34は、VM管理テーブル41を参照し、稼働中の全てのVMの隔離環境滞在割合(α)の平均値を次の式によって算出する。
平均値=全てのVMの隔離環境滞在割合(α)の合計値/VM数
ステップS32で、基準時間変更部34は、対象VMの隔離環境滞在割合(α)が、稼働中の全てのVMの隔離環境滞在割合の平均値に安全係数47(β)を乗じた値よりも大きいか否かを判定(比較)する。対象VMの隔離環境滞在割合(α)のほうが大きければ、ステップ33に進み(Yes)、そうでなければステップS34に進む(No)。
ステップS33で、基準時間変更部34は、基準時間(T)を次の式によって長く変更する。
T=(1+α)×T
このステップ33の処理は、すなわち、対象VMの隔離環境滞在割合(α)が他のVMとの関係で相対的に大きい場合に、基準時間(T)を長くすることで、隔離環境に移動しやすく、また、安全環境に移動しづらくするものである。
ステップS34で、基準時間変更部34は、基準時間(T)を次の式によって短く変更する。
T=(1−α)×T
このステップ34の処理は、すなわち、対象VMの隔離環境滞在割合(α)が他のVMとの関係で相対的に小さい場合に、基準時間(T)を短くすることで、隔離環境に移動しづらく、また、安全環境に移動し易くするものである。
基準時間変更部34は、ステップ33及びステップ34の処理が終了すると、所定の時間待機した後、ステップ31に戻って処理を再開する。
ここで、基準時間変更処理の具体例について説明する。本説明では、図3のVM管理テーブル41が示す内容でVMが稼働しているものとする。この場合、VM1〜VM5の隔離環境滞在割合(α)を夫々α1〜α5とすると、α1=1/10=0.1、α2=0/9=0、α3=2/8=0.25、α4=9/12=0.75、α5=2/5=0.4となる。そして、稼働中の全てのVMの隔離環境滞在割合(α)の平均値は、(0.1+0+0.25+0.75+0.4)/5=0.3となる。この具体例において、稼働中の全てのVMの隔離環境滞在割合の平均値に安全係数47(β)を乗じた値は、0.3*0・9=0.27となり、α1、α2、α3がこの値よりも小さい一方、α4、α5がこの値よりも大きい。このため、基準時間変更部34は、VM1、VM2及びVM3については、基準時間(T)を(1−0.27)×T=0.73T(すなわち、例えばVM1の場合は、T=60分であるため、0.73×60=43.8分)に変更する。一方で、基準時間変更部34は、VM4及びVM5については、基準時間(T)を(1+0.27)×T=1.27T(すなわち、例えばVM4の場合は、T=80分であるため、1.27×80=101.6分)に変更する。
<本実施形態による効果、変形例等>
本実施形態によれば、VMの指標値が所定の時間ごとに算出され、当該指標値の基準時間の時間内における合計値に応じて、VMが安全環境VMサーバ10又は隔離環境VMサーバ20間で移動される。このため、VMのセキュリティリスクの変化に応じて、対象VMを安全環境又は隔離環境に適切に配置することができる。ここで、本実施形態では、対象VMの総稼働時間に対して当該VMの隔離環境における稼働時間が占める割合が長いほど、基準時間が長く変更される。換言すれば、本実施形態では、対象VMの安全環境VMサーバ10における稼働時間に対する隔離環境VMサーバ20における稼働時間の比率が大きいほど、基準時間が長く変更される。このため、隔離環境に長く存在するVM、すなわち、セキュリティリスクが高い傾向にあるVMは隔離環境に移動し易く、逆に安全環境に移動しづらくなる。こうすることで、隔離環境に長く配置されているVMのセキュリティリスクが一時的に低くなったとしても、稼働状況全体を考慮し、容易に安全環境に配置されないようにすることができる。このように、本実施形態では、セキュリティリスクの高いVMを他のVMから適切にVMを隔離することができ、VM提供サービスを行うシステムに発生する不具合の影響を小さくすることができる。なお、かかる不具合の影響の一例としては、例えば、セキュリティリスクの高いVMが外部から攻撃されてウィルス等に感染し、物理資源を占有する状況となった場合に、物理資源を共有する他のVMが使用している物理資源を奪ってしまう状況等が考えられる。他の例としては、セキュリティリスクの高いVMを経由してハードディスク等からの情報漏洩が発生した場合に、他のVMの情報漏洩も併せて発生する、といった状況が考えられる。
また、本実施形態によれば、対象VMを安全環境VMサーバ10から隔離環境VMサーバ20に移動させる際に、指標値の合計値が、隔離開始基準回数45以上連続して隔離開始基準値43以上であるときにVMを移動させることで、次の作用効果を奏する。すなわち、VMのセキュリティリスクが短時間で大きく変動し、一時的にセキュリティリスクが高くなったとしても、すぐにセキュリティリスクが元に戻ることがある。このような場合に、直ちに当該VMを隔離環境に移動させてしまうことを回避することができる。このため、VMの移動を必要以上に多発させずに済む。対象VMを隔離環境VMサーバ20から安全環境VMサーバ10に移動させる際も同様である。なお、隔離開始基準回数45と隔離解除基準回数46は同じ値にすることも当然に可能である。
また、本実施形態によれば、基準時間を変更する際に、複数のVMの隔離環境稼働割合の平均値に安全係数47を乗じた値よりも、対象VMの隔離環境稼働割合のほうが大きいときに、基準時間を長くする。こうすることで、VMが隔離環境に長く配置されているか否かの判断(すなわち、基準時間を長くするか否かの判断)を、他のVMとの相対的な比較に基づいて行うことができる。基準時間を短くする場合も同様である。こうすることで、システム全体として、安全環境VMサーバ10及び隔離環境VMサーバ20で稼働するVMの数のバランスをとることができる。また、例えば、安全係数47を大きくすることで基準時間が短くなり易く、逆に、安全係数47を小さくすることで基準時間が長くなり易く調整することができる。なお、この安全係数47は必須ではなく、単に前述の平均値との比較をしてもよい。
また、本実施形態によれば、隔離開始基準値43と隔離解除基準値44とを異なる値にしている。また、隔離開始基準回数45と隔離解除基準回数46とを異なる値にしている。こうすることで、安全環境から隔離環境への移動のし易さと、隔離環境から安全環境への移動のし易さとに差を持たせることができる。このため、システムの運用やセキュリティポリシー次第で、安全環境及び隔離環境で稼働するVMの数を調整することができる。なお、隔離開始基準値43と隔離解除基準値44は同じ値にすることも当然に可能である。
さらに、本実施形態によれば、VMのセキュリティリスクの指標値を算出する際に、VMの動作環境自体の脆弱性等のみならず、例えば対象VMのユーザに関連する情報等に基づいてセキュリティリスクを示す指標値が算出される。このため、VMのユーザに応じてVMの隔離がなされ、VM提供サービスにおいて、セキュリティリスクの高いVMにおける不具合が他のユーザが使用するVMに影響を及ぼすことをより高い精度で回避することができる。
なお、本実施形態では、安全環境VMサーバ10及び隔離環境VMサーバ20間においてVMを隔離しているが、例えば、1つのサーバにおいて仮想的に区分された別々の動作環境間(例えば別々の仮想OS等)においてVMを隔離してもよい。この場合は、両動作環境において使用する物理資源は共通であるが、少なくとも、セキュリティリスクの高いVMから他のVMへの不正アクセス等を抑制することは可能である。
また、上記説明で管理サーバ30が実行する処理は、必ずしも管理サーバ30で実行する必要はなく、例えば、安全環境VMサーバ10又は隔離環境VMサーバ20のいずれかが実行してもよい。
また、本明細書において、閾値等との比較において「〜以上」や「〜以下」とした記載箇所は、当該記載に限定されるものではなく、「〜より大きい(〜を上回る)」や「〜より小さい(〜を下回る)」に適宜置き換えることが可能である。
<管理サーバのハードウェア構成等>
ここで、管理サーバ30として機能する情報処理装置のハードウェア構成の一例を図13に示す。本情報処理装置は、プロセッサ101、メモリ102、ストレージ103、可搬記憶媒体駆動装置104、入出力装置105及び通信インタフェース106を備える。
プロセッサ101は、制御ユニット、演算ユニット及び命令デコーダ等を含み、実行ユニットが、命令デコーダで解読されたプログラムの命令に従い、制御ユニットより出力される制御信号に応じ、演算ユニットを用いて算術・論理演算を実行する。かかるプロセッサ101は、制御に用いる各種情報が格納される制御レジスタ、既にアクセスしたメモリ2等の内容を一時的に格納可能なキャッシュ、及び、仮想記憶のページテーブルのキャッシュとしての機能を果たすTLBを備える。なお、プロセッサ101は、CPU(Central Processing Unit)コアが複数設けられている構成でもよい。
メモリ102は、例えばRAM(Random Access Memory)等の記憶装置であり、プロセッサ101で実行されるプログラムがロードされるとともに、プロセッサ101の処理に用いるデータが格納されるメインメモリである。また、ストレージ103は、例えばHDD(Hard Disk Drive)やフラッシュメモリ等の記憶装置であり、プログラムや各種データが格納される。可搬記憶媒体駆動装置104は、可搬記憶媒体107に記憶されたデータやプログラムを読み出す装置である。可搬記憶媒体107は、例えば磁気ディスク、光ディスク、光磁気ディスク又はフラッシュメモリ等である。プロセッサ101は、メモリ102やストレージ103と協働しつつ、ストレージ103や可搬記憶媒体107に格納されたプログラムを実行する。なお、プロセッサ101が実行するプログラムや、アクセス対象となるデータは、当該情報処理装置と通信可能な他の装置に格納されていてもよい。なお、本実施形態で記載した管理サーバ30の記憶手段とは、メモリ102、ストレージ103及び可搬記憶媒体107若しくは当該情報処理装置と通信可能な他の装置の少なくともいずれかを示す。
入出力装置105は例えばキーボード等やディスプレイ等であり、ユーザ操作等による動作命令を受け付ける一方、情報処理装置による処理結果を出力する。通信インタフェース106は例えばLANカード等であり、外部とのデータ通信を可能にする。前述した情報処理装置の各構成要素は、バス108で接続されている。
<その他>
なお、本明細書で説明した情報処理装置の機能的構成及び物理的構成は、上述の態様に限るものではなく、例えば、各機能や物理資源を統合して実装したり、逆に、さらに分散して実装したりすることも可能である。
以上の実施形態に関し、更に以下の付記を開示する。
(付記1)
コンピュータが、
第1動作環境又は第2動作環境のいずれかで稼働する対象仮想マシンのリスク指標値を所定の時間ごとに算出し、
前記対象仮想マシンに対応付けて記憶された基準時間の時間内に算出される前記指標値の集計値を、当該基準時間ごとに算出し、
前記対象仮想マシンを前記集計値に応じて、前記第1動作環境から前記第2動作環境へ、又は、前記第2動作環境から前記第1動作環境へ移動させ、
前記対象仮想マシンの前記第1動作環境における稼働時間と前記第2動作環境における稼働時間との比率に応じて、前記基準時間を変更する
処理を実行する仮想マシン管理方法。
(付記2)
前記移動する処理は、前記対象仮想マシンが前記第1動作環境で稼働している場合であって前記集計値が所定の閾値以上であるときに、前記対象仮想マシンを第2動作環境に移動する一方、前記対象仮想マシンが前記第2動作環境で稼働している場合であって前記集計値が所定の閾値以下であるときに、前記対象仮想マシンを前記第1動作環境に移動させる、付記1記載の仮想マシン管理方法。
(付記3)
前記移動する処理は、前記対象仮想マシンが前記第1動作環境で稼働している場合であって前記集計値が所定の回数以上連続して所定の閾値以上であるときに、前記対象仮想マシンを第2動作環境に移動する一方、前記対象仮想マシンが前記第2動作環境で稼働している場合であって前記集計値が所定の回数以上連続して所定の閾値以下のときに、前記対象仮想マシンを前記第1動作環境に移動させる、付記1又は2に記載の仮想マシン管理方法。
(付記4)
前記変更する処理は、前記複数の仮想マシンの夫々の前記第1動作環境における稼働時間と前記第2動作環境における稼働時間との比率の平均値と、前記対象仮想マシンの前記第1動作環境における稼働時間と前記第2動作環境における稼働時間との比率との比較結果に応じて、前記基準時間を変更する、付記1〜3のいずれか1項に記載の仮想マシン管理方法。
(付記5)
前記変更する処理は、前記平均値に対して所定の係数を乗じた値と、前記対象仮想マシンの前記第1動作環境における稼働時間と前記第2動作環境における稼働時間との比率との比較結果に応じて、前記基準時間を変更する、付記4に記載の仮想マシン管理方法。
(付記6)
前記移動する処理は、前記対象仮想マシンが前記第1動作環境で稼働している場合であって前記集計値が第1閾値以上であるときに、前記対象仮想マシンを第2動作環境に移動する一方、前記対象仮想マシンが前記第2動作環境で稼働している場合であって前記集計値が前記第1閾値と異なる第2閾値以下であるときに、前記対象仮想マシンを前記第1動作環境に移動させる、付記1〜5のいずれか1項に記載の仮想マシン管理方法。
(付記7)
前記指標値を算出する処理は、前記対象仮想マシンのユーザに関連する情報に基づいて前記指標値を算出する、付記1〜6のいずれか1項に記載の仮想マシン管理方法。
(付記8)
コンピュータが、
第1動作環境又は第2動作環境のいずれかで稼働する対象仮想マシンのリスク指標値を所定の時間ごとに算出し、
前記対象仮想マシンに対応付けて記憶された基準時間の時間内に算出される前記指標値の集計値を当該基準時間ごとに算出し、
前記対象仮想マシンを前記集計値に応じて、前記第1動作環境から前記第2動作環境へ、又は、前記第2動作環境から前記第1動作環境へ移動させ、
前記対象仮想マシンの前記第1動作環境における稼働時間と前記第2動作環境における稼働時間との比率に応じて、前記基準時間を変更する
処理を実行する仮想マシン管理プログラム。
(付記9)
第1動作環境又は第2動作環境のいずれかで稼働する対象仮想マシンのリスク指標値を所定の時間ごとに算出し、前記対象仮想マシンに対応付けて記憶された基準時間の時間内に算出される前記指標値の集計値を当該基準時間ごとに算出する指標値算出部と、
前記対象仮想マシンを前記集計値に応じて、前記第1動作環境から前記第2動作環境へ、又は、前記第2動作環境から前記第1動作環境へ移動させる仮想マシン移動部と、
前記対象仮想マシンの前記第1動作環境における稼働時間と前記第2動作環境における稼働時間との比率に応じて、前記基準時間を変更する基準時間変更部と
を備える仮想マシン管理装置。
1…システム、10…安全環境サーバ、20…隔離環境サーバ、30…管理サーバ、40…クライアント、50…情報提供サーバ、12…VM群、31…情報収集部、32…指標値算出部、33…VM移動部、34…基準時間変更部、41…VM管理テーブル、42…指標値テーブル群

Claims (7)

  1. コンピュータによって、
    仮想マシンのリスクを特定するための情報を記憶する記憶部の記憶内容を参照して、第1動作環境又は第2動作環境のいずれかで稼働する仮想マシンのリスク指標値を所定の時間ごとに算出し、
    準時間内に算出される前記リスク指標値の集計値を、当該基準時間ごとに算出し、
    記仮想マシンを前記集計値に応じて、前記第1動作環境から前記第2動作環境へ、又は、前記第2動作環境から前記第1動作環境へ移動させ、
    記仮想マシンの前記第1動作環境における稼働時間と前記第2動作環境における稼働時間との比率に応じて、前記基準時間を変更する
    処理を実行する仮想マシン管理方法。
  2. 前記移動する処理は、前記仮想マシンが前記第1動作環境で稼働している場合であって前記集計値が所定の閾値以上であるときに、前記仮想マシンを第2動作環境に移動する一方、前記仮想マシンが前記第2動作環境で稼働している場合であって前記集計値が所定の閾値以下であるときに、前記仮想マシンを前記第1動作環境に移動させる、請求項1記載の仮想マシン管理方法。
  3. 前記移動する処理は、前記仮想マシンが前記第1動作環境で稼働している場合であって前記集計値が所定の回数以上連続して所定の閾値以上であるときに、前記仮想マシンを第2動作環境に移動する一方、前記仮想マシンが前記第2動作環境で稼働している場合であって前記集計値が所定の回数以上連続して所定の閾値以下のときに、前記仮想マシンを前記第1動作環境に移動させる、請求項1又は2に記載の仮想マシン管理方法。
  4. 前記変更する処理は、前記複数の仮想マシンの夫々の前記第1動作環境における稼働時間と前記第2動作環境における稼働時間との比率の平均値と、前記仮想マシンの前記第1動作環境における稼働時間と前記第2動作環境における稼働時間との比率との比較結果に応じて、前記基準時間を変更する、請求項1〜3のいずれか1項に記載の仮想マシン管理方法。
  5. 前記移動する処理は、前記仮想マシンが前記第1動作環境で稼働している場合であって前記集計値が第1閾値以上であるときに、前記仮想マシンを第2動作環境に移動する一方、前記仮想マシンが前記第2動作環境で稼働している場合であって前記集計値が前記第1閾値と異なる第2閾値以下であるときに、前記仮想マシンを前記第1動作環境に移動させる、請求項1〜4のいずれか1項に記載の仮想マシン管理方法。
  6. コンピュータによって、
    仮想マシンのリスクを特定するための情報を記憶する記憶部の記憶内容を参照して、第1動作環境又は第2動作環境のいずれかで稼働する仮想マシンのリスク指標値を所定の時間ごとに算出し、
    準時間内に算出される前記リスク指標値の集計値を当該基準時間ごとに算出し、
    記仮想マシンを前記集計値に応じて、前記第1動作環境から前記第2動作環境へ、又は、前記第2動作環境から前記第1動作環境へ移動させ、
    記仮想マシンの前記第1動作環境における稼働時間と前記第2動作環境における稼働時間との比率に応じて、前記基準時間を変更する
    処理を実行する仮想マシン管理プログラム。
  7. 仮想マシンのリスクを特定するための情報を記憶する記憶部の記憶内容を参照して、第1動作環境又は第2動作環境のいずれかで稼働する仮想マシンのリスク指標値を所定の時間ごとに算出し、基準時間内に算出される前記リスク指標値の集計値を当該基準時間ごとに算出する指標値算出部と、
    記仮想マシンを前記集計値に応じて、前記第1動作環境から前記第2動作環境へ、又は、前記第2動作環境から前記第1動作環境へ移動させる仮想マシン移動部と、
    記仮想マシンの前記第1動作環境における稼働時間と前記第2動作環境における稼働時間との比率に応じて、前記基準時間を変更する基準時間変更部と
    を備える仮想マシン管理装置。
JP2013165012A 2013-08-08 2013-08-08 仮想マシン管理方法、仮想マシン管理プログラム及び仮想マシン管理装置 Active JP6171708B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013165012A JP6171708B2 (ja) 2013-08-08 2013-08-08 仮想マシン管理方法、仮想マシン管理プログラム及び仮想マシン管理装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013165012A JP6171708B2 (ja) 2013-08-08 2013-08-08 仮想マシン管理方法、仮想マシン管理プログラム及び仮想マシン管理装置

Publications (2)

Publication Number Publication Date
JP2015035061A JP2015035061A (ja) 2015-02-19
JP6171708B2 true JP6171708B2 (ja) 2017-08-02

Family

ID=52543557

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013165012A Active JP6171708B2 (ja) 2013-08-08 2013-08-08 仮想マシン管理方法、仮想マシン管理プログラム及び仮想マシン管理装置

Country Status (1)

Country Link
JP (1) JP6171708B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111601898A (zh) * 2018-03-15 2020-08-28 株式会社漫丹 被测试样的评价方法
TW201941094A (zh) * 2018-03-20 2019-10-16 日商日本電氣股份有限公司 漏洞調查系統、傳輸伺服器、漏洞調查方法及程式
US10635825B2 (en) 2018-07-11 2020-04-28 International Business Machines Corporation Data privacy awareness in workload provisioning
JP7327057B2 (ja) 2019-09-30 2023-08-16 日本電気株式会社 コンテナ制御装置、コンテナ制御方法、およびコンテナ制御プログラム

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4348970B2 (ja) * 2003-03-06 2009-10-21 ソニー株式会社 情報検出装置及び方法、並びにプログラム
US7975165B2 (en) * 2009-06-25 2011-07-05 Vmware, Inc. Management of information technology risk using virtual infrastructures
JP5652477B2 (ja) * 2010-10-22 2015-01-14 富士通株式会社 データセンタ、情報処理システム、情報処理装置、情報処理装置の制御方法および制御プログラム
JP5834939B2 (ja) * 2012-01-17 2015-12-24 富士通株式会社 プログラム、仮想マシン制御方法、情報処理装置および情報処理システム

Also Published As

Publication number Publication date
JP2015035061A (ja) 2015-02-19

Similar Documents

Publication Publication Date Title
Briongos et al. Cacheshield: Detecting cache attacks through self-observation
Godfrey et al. Preventing cache-based side-channel attacks in a cloud environment
Shi et al. Limiting cache-based side-channel in multi-tenant cloud using dynamic page coloring
US8549173B1 (en) User-space resource management
US9760712B2 (en) Application whitelisting using user identification
US10102375B2 (en) Multi-modal memory hierarchical management for mitigating side-channel attacks in the cloud
WO2016082501A1 (zh) 一种云计算系统中云应用攻击行为处理方法、装置及系统
US10896059B2 (en) Dynamically allocating cache in a multi-tenant processing infrastructure
JP6171708B2 (ja) 仮想マシン管理方法、仮想マシン管理プログラム及び仮想マシン管理装置
US20160371135A1 (en) Automatic discovery and prioritization of fault domains
Oren et al. The Spy in the Sandbox--Practical Cache Attacks in Javascript
Sallam et al. A multi-objective virtual machine migration policy in cloud systems
US9930070B2 (en) Modifying security policies of related resources
JP2016514334A (ja) 推測アプリケーションインベントリ
Baumgärtner et al. Complex event processing for reactive security monitoring in virtualized computer systems
US10762223B2 (en) Mandatory access control method and apparatus, and physical host
Qiu et al. A secure virtual machine deployment strategy to reduce co-residency in cloud
Bandara et al. Adaptive caches as a defense mechanism against cache side-channel attacks
Raj et al. Keep the PokerFace on! Thwarting cache side channel attacks by memory bus monitoring and cache obfuscation
Sheinidashtegol et al. Performance impact of DDoS attacks on three virtual machine hypervisors
Pitropakis et al. The greater the power, the more dangerous the abuse: facing malicious insiders in the cloud
Ainapure et al. Understanding perception of cache-based side-channel attack on cloud environment
Han et al. Secure and dynamic core and cache partitioning for safe and efficient server consolidation
Yin et al. Research of security as a service for VMs in IaaS platform
US20200142742A1 (en) Determination of memory access patterns of tasks in a multi-core processor

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160510

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170228

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170307

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170508

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170606

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170619

R150 Certificate of patent or registration of utility model

Ref document number: 6171708

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150