JP6359260B2 - Information processing system and firewall device for realizing a secure credit card system in a cloud environment - Google Patents

Information processing system and firewall device for realizing a secure credit card system in a cloud environment Download PDF

Info

Publication number
JP6359260B2
JP6359260B2 JP2013220748A JP2013220748A JP6359260B2 JP 6359260 B2 JP6359260 B2 JP 6359260B2 JP 2013220748 A JP2013220748 A JP 2013220748A JP 2013220748 A JP2013220748 A JP 2013220748A JP 6359260 B2 JP6359260 B2 JP 6359260B2
Authority
JP
Japan
Prior art keywords
packet
user
user company
address
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013220748A
Other languages
Japanese (ja)
Other versions
JP2015082787A (en
Inventor
克二 眞神
克二 眞神
陽介 瀬田
陽介 瀬田
Original Assignee
株式会社リンク
fjコンサルティング株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社リンク, fjコンサルティング株式会社 filed Critical 株式会社リンク
Priority to JP2013220748A priority Critical patent/JP6359260B2/en
Publication of JP2015082787A publication Critical patent/JP2015082787A/en
Application granted granted Critical
Publication of JP6359260B2 publication Critical patent/JP6359260B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、データ処理技術に関し、特に、クラウド環境においてセキュアなクレジットカードシステムを実現するための情報処理システムおよびファイアウォール装置に関する。   The present invention relates to a data processing technique, and more particularly to an information processing system and a firewall apparatus for realizing a secure credit card system in a cloud environment.

クレジットカードの加盟店や決済代行事業者等のサービスプロバイダにおいてクレジットカードの会員データを安全に取り扱うために、クレジットカード業界の国際セキュリティ基準として、PCI DSS(Payment Card Industry Data Security Standard)が策定されている。クレジットカード決済代行事業者は、事業の前提としてカード会社との包括代理契約が必要であるが、現在カード会社は、決済代行事業者のシステムがPCI DSSに準拠していることを契約の条件とすることがある。また、クレジットカードの加盟店にも、国際カードブランドや国内のクレジットカード会社等からPCI DSSへの準拠が要請されている。したがって、PCI DSSに準拠したシステムを構築することがますます重要になってきている。   PCI DSS (Payment Card Industry Data Security Standard) has been established as an international security standard for the credit card industry in order to securely handle credit card membership data at credit card merchants and payment service providers. Yes. Credit card payment service providers require a comprehensive proxy agreement with the card company as a precondition of the business. Currently, the card company requires that the payment service provider's system conforms to PCI DSS. There are things to do. Credit card member stores are also required to comply with PCI DSS from international card brands and domestic credit card companies. Therefore, it is becoming increasingly important to construct a system that conforms to PCI DSS.

Payment Card Industry(PCI) データセキュリティ基準 要件とセキュリティ基準 バージョン2.0、[online]、2010年10月、[平成25年9月26日検索]、インターネット <URL : https://ja.pcisecuritystandards.org/_onelink_/pcisecurity/en2ja/minisite/en/docs/pci_dss_v2-0.pdf>Payment Card Industry (PCI) Data Security Standards Requirements and Security Standards Version 2.0, [online], October 2010, [searched September 26, 2013], Internet <URL: https: //en.pcisecuritystandards. org / _onelink_ / pcisecurity / en2ja / minisite / en / docs / pci_dss_v2-0.pdf>

PCI DSSには数百項目もの要件が含まれ、PCI DSSに準拠したシステムを実現するために、システムの構築および運用に多大なコストを要していた。   The PCI DSS includes requirements for several hundred items, and in order to realize a system compliant with the PCI DSS, a large cost is required for the construction and operation of the system.

本発明は上記課題を鑑みてなされたものであり、その主な目的は、PCI DSSに準拠したシステムを効率的に実現することを支援する技術を提供することである。   The present invention has been made in view of the above problems, and a main object thereof is to provide a technology that supports efficient implementation of a PCI DSS-compliant system.

上記課題を解決するために、本発明のある態様の情報処理システムは、ファイアウォールと、外部網からの通信をファイアウォールが禁止する内部セグメントに配置された装置であって、クレジットカード情報を処理する第1装置と、外部網からの通信をファイアウォールが許可するDMZに配置された第2装置と、を備える。第1装置は、外部網の装置と通信すべき場合に、送信元アドレスとして第1装置のアドレスを指定し、宛先アドレスとして外部網の装置のアドレスを指定したパケットを送出し、ファイアウォールは、第1装置から送出されたパケットを受信し、受信したパケットで指定された送信元アドレスが内部セグメントのアドレスである場合に、受信したパケットを第2装置へ転送し、第2装置は、ファイアウォールから転送されたパケットを受信し、受信したパケットで指定された送信元アドレスを第2装置のアドレスへ変更したパケットを送出し、ファイアウォールは、第2装置から送出されたパケットを受信し、受信したパケットで指定された送信元アドレスがDMZのアドレスであり、かつ、受信したパケットが所定の基準を満たす場合に、受信したパケットを外部網へ転送することを許可する。   In order to solve the above-described problems, an information processing system according to an aspect of the present invention is a device arranged in a firewall and an internal segment in which the firewall prohibits communication from an external network, and processes credit card information. 1 apparatus, and the 2nd apparatus arrange | positioned at DMZ which a firewall permits communication from an external network. When the first device should communicate with a device on the external network, the first device sends a packet designating the address of the first device as the source address and the address of the device on the external network as the destination address. When a packet sent from one device is received, and the source address specified in the received packet is an address of the internal segment, the received packet is transferred to the second device, and the second device transfers from the firewall The packet is transmitted, the packet in which the source address specified in the received packet is changed to the address of the second device is sent, and the firewall receives the packet sent from the second device, When the designated source address is the address of the DMZ and the received packet satisfies a predetermined standard, It allows you to transfer a signal packet to the external network.

本発明の別の態様は、ファイアウォール装置である。この装置は、内部セグメントに配置されたクレジットカード情報を処理する第1装置に対する外部網からの通信を禁止する一方、DMZに配置された第2装置に対する外部網からの通信を許可する通信許否部と、第1装置から送出された、送信元アドレスとして第1装置のアドレスを指定し、宛先アドレスとして外部網の装置のアドレスを指定したパケットを受信するパケット受信部と、パケット受信部が受信したパケットで指定された送信元アドレスが内部セグメントのアドレスである場合に、当該パケットを第2装置へ転送するパケット転送部と、を備える。第2装置は、本装置が転送したパケットで指定された送信元アドレスを第2装置のアドレスへ変更したパケットを送出するものであり、パケット受信部は、第2装置から送出されたパケットを受信し、通信許否部は、パケット受信部が受信したパケットで指定された送信元アドレスがDMZのアドレスであり、かつ、受信したパケットが所定の基準を満たす場合に、受信したパケットを外部網へ転送することを許可する。   Another aspect of the present invention is a firewall device. This device prohibits communication from the external network to the first device that processes the credit card information arranged in the internal segment, while permitting communication from the external network to the second device arranged in the DMZ. A packet receiving unit that receives the packet that is sent from the first device and that specifies the address of the first device as the source address and the address of the device of the external network as the destination address, and the packet receiving unit receives A packet transfer unit that transfers the packet to the second device when the source address specified in the packet is an address of the internal segment. The second device sends out a packet in which the source address specified in the packet transferred by this device is changed to the address of the second device, and the packet receiving unit receives the packet sent from the second device. The communication permission / rejection unit transfers the received packet to the external network when the transmission source address specified in the packet received by the packet reception unit is the address of the DMZ and the received packet satisfies a predetermined criterion. Allow to do.

なお、以上の構成要素の任意の組合せ、本発明の表現を方法、プログラム、プログラムを格納した記録媒体などの間で変換したものもまた、本発明の態様として有効である。   Note that any combination of the above-described constituent elements and a representation of the present invention converted between a method, a program, a recording medium storing the program, and the like are also effective as an aspect of the present invention.

本発明によれば、PCI DSSに準拠したシステムを効率的に実現することを支援できる。   ADVANTAGE OF THE INVENTION According to this invention, it can support implement | achieving efficiently the system based on PCI DSS.

実施の形態のクラウドシステムの物理構成を示す図である。It is a figure which shows the physical structure of the cloud system of embodiment. 実施の形態のクラウドシステムの論理構成を示す図である。It is a figure which shows the logical structure of the cloud system of embodiment. 仮想サーバのテンプレートを示す図である。It is a figure which shows the template of a virtual server. 図1のファイアウォールの機能構成を示すブロック図である。It is a block diagram which shows the function structure of the firewall of FIG. 図2の中継サーバの機能構成を示すブロック図である。It is a block diagram which shows the function structure of the relay server of FIG. 図2の作業用サーバの機能構成を示すブロック図である。It is a block diagram which shows the function structure of the work server of FIG. クラウドシステムにおける通信制御ポリシーを模式的に示す図である。It is a figure which shows typically the communication control policy in a cloud system.

図1は、実施の形態のクラウドシステム10の物理構成を示す。クラウドシステム10は、ユーザ企業のシステムのPCI DSS準拠を支援するクラウドサービスを提供する情報処理システムである。例えば、クラウドシステム10は、PCI DSSが定めるネットワーク要件を充足するよう通信を制御する。また、クラウドシステム10は、各ユーザ企業に専用サーバのPaaS(Platform as a Service)環境を提供する。そして複数のユーザ企業に、共通のファイアウォール装置等の通信装置を利用させることにより、個々のユーザ企業が負担するシステム構築コストおよびシステム運用コストを低減させる。典型的なユーザ企業はPCI DSSの準拠を要請される企業であり、例えばクレジットカードの加盟店や決済代行事業者、ECサイト事業者、カード会社である。   FIG. 1 shows a physical configuration of a cloud system 10 according to the embodiment. The cloud system 10 is an information processing system that provides a cloud service that supports PCI DSS compliance of a user company system. For example, the cloud system 10 controls communication so as to satisfy the network requirements defined by the PCI DSS. The cloud system 10 provides a dedicated server PaaS (Platform as a Service) environment to each user company. Then, by causing a plurality of user companies to use a communication device such as a common firewall device, the system construction cost and the system operation cost borne by each user company are reduced. A typical user company is a company that is required to comply with PCI DSS, for example, a credit card member store, a settlement agent, an EC site provider, and a card company.

図1は、クラウドシステム10の物理的な網構成、ハードウェア構成を示している。クラウドシステム10は、複数のユーザ間で共用される基盤装置として、レイヤ3スイッチ(L3スイッチ12)と、レイヤ2スイッチ(L2スイッチ14)と、ファイアウォール16と、ロードバランサ18を備える。L3スイッチ12、L2スイッチ14、ファイアウォール16、ロードバランサ18のそれぞれは、現用機と予備機の冗長構成である(予備機は不図示)。   FIG. 1 shows a physical network configuration and hardware configuration of the cloud system 10. The cloud system 10 includes a layer 3 switch (L3 switch 12), a layer 2 switch (L2 switch 14), a firewall 16, and a load balancer 18 as infrastructure devices shared among a plurality of users. Each of the L3 switch 12, the L2 switch 14, the firewall 16, and the load balancer 18 has a redundant configuration of the active machine and the spare machine (the spare machine is not shown).

クラウドシステム10では、クラウドサービスを利用するユーザ企業(実施の形態ではユーザA、ユーザBと呼ぶ)ごとに2台ずつ物理サーバを割り当てる。言い換えれば、ユーザが増加する都度、そのユーザ専用の2台の情報処理装置を追加する。ユーザAに割り当てられたユーザAサーバ20a、ユーザAサーバ20b(総称して「ユーザAサーバ20」と呼ぶ。)と、ユーザBに割り当てられたユーザBサーバ22a、ユーザBサーバ22b(総称して「ユーザBサーバ22」と呼ぶ。)のそれぞれはL2スイッチ14に接続される。   In the cloud system 10, two physical servers are assigned to each user company (referred to as user A and user B in the embodiment) that uses the cloud service. In other words, each time the number of users increases, two information processing devices dedicated to the users are added. User A server 20a and user A server 20b (collectively referred to as "user A server 20") assigned to user A, user B server 22a and user B server 22b (collectively referred to as "user A server 20") Each of the “user B servers 22”) is connected to the L2 switch 14.

また、ユーザAサーバ20、ユーザBサーバ22のそれぞれには、仮想化ソフトウェア(例えばVMWare(商標または登録商標))がインストールされている。ユーザAおよびユーザBは、1台の物理サーバ内に、ウェブサーバやアプリケーションサーバ(APサーバ)、データベースサーバ(DBサーバ)等、論理的に複数台の仮想サーバを構築する。そして、複数の仮想サーバを連携させて電子商取引サイト、クレジットカード決済、カード会員情報管理、購買履歴管理・分析等の業務処理を実行させる。   Further, virtualization software (for example, VMWare (trademark or registered trademark)) is installed in each of the user A server 20 and the user B server 22. User A and user B logically construct a plurality of virtual servers such as a web server, an application server (AP server), and a database server (DB server) in one physical server. A plurality of virtual servers are linked to execute business processes such as an electronic commerce site, credit card settlement, card member information management, purchase history management / analysis, and the like.

また、ユーザA端末24は、ユーザAの管理者がユーザAサーバ20に対する操作(各種の設定作業や保守作業等)を入力する情報処理端末である。ユーザA端末24は、インターネットを経由してクラウドシステム10と接続される。また、図1には不図示だが、クラウドシステム10全体を管理するための物理サーバであり、後述する図2のログサーバ42、中継サーバ44、クラウド管理サーバ52の機能を提供する管理用サーバもL2スイッチ14に接続される。   The user A terminal 24 is an information processing terminal through which an administrator of the user A inputs an operation (various setting work, maintenance work, etc.) for the user A server 20. The user A terminal 24 is connected to the cloud system 10 via the Internet. Although not shown in FIG. 1, a management server that is a physical server for managing the entire cloud system 10 and provides functions of a log server 42, a relay server 44, and a cloud management server 52 in FIG. Connected to the L2 switch 14.

図2は、実施の形態のクラウドシステム10の論理構成を示す。同図は、図1に示したクラウドシステム10の論理的な網構成、機能構成を示している。以下、DMZ40および内部セグメント50により構成されるクラウド管理用のネットワークを「クラウド管理網」と呼ぶ。また、DMZ60および内部セグメント70により構成されるユーザA用のネットワークを「ユーザA網」と呼ぶ。また、DMZ80および内部セグメント90により構成されるユーザB用のネットワークを「ユーザB網」と呼ぶ。また、クラウド管理網にとっての外部網は、ユーザA網、ユーザB網、インターネットを含むネットワークとし、ユーザA網にとっての外部網は、ユーザB網、クラウド管理網、インターネットを含むネットワークとし、ユーザB網にとっての外部網は、ユーザA網、クラウド管理網、インターネットを含むネットワークとする。   FIG. 2 shows a logical configuration of the cloud system 10 according to the embodiment. This figure shows the logical network configuration and functional configuration of the cloud system 10 shown in FIG. Hereinafter, a network for cloud management constituted by the DMZ 40 and the internal segment 50 is referred to as a “cloud management network”. A network for user A composed of the DMZ 60 and the internal segment 70 is referred to as a “user A network”. A network for user B configured by DMZ 80 and internal segment 90 is referred to as a “user B network”. Further, the external network for the cloud management network is a network including the user A network, the user B network, and the Internet, and the external network for the user A network is a network including the user B network, the cloud management network, and the Internet, and the user B The external network for the network is a network including the user A network, the cloud management network, and the Internet.

ルートFW30は、ファイアウォール16により実現される論理的なファイアウォールである。ルートFW30は、クラウド管理網の外部網からDMZ40への直接アクセスを許可する(例えばパケットを通過させる)一方、その外部網から内部セグメント50への直接アクセスを禁止する(例えばパケットを廃棄する)。ユーザA−FW32も、ファイアウォール16により実現される論理的なファイアウォールである。ユーザA−FW32は、ユーザA網の外部網からDMZ60への直接アクセスを許可する一方、その外部網から内部セグメント70への直接アクセスを禁止する。ユーザB−FW34も、ファイアウォール16により実現される論理的なファイアウォールである。ユーザB−FW34は、ユーザB網の外部網からDMZ80への直接アクセスを許可する一方、その外部網から内部セグメント90への直接アクセスを禁止する。   The route FW 30 is a logical firewall realized by the firewall 16. The route FW 30 permits direct access from the external network of the cloud management network to the DMZ 40 (for example, allows a packet to pass), while prohibiting direct access from the external network to the internal segment 50 (for example, discards the packet). The user A-FW 32 is also a logical firewall realized by the firewall 16. The user A-FW 32 permits direct access to the DMZ 60 from the external network of the user A network, while prohibiting direct access to the internal segment 70 from the external network. The user B-FW 34 is also a logical firewall realized by the firewall 16. The user B-FW 34 permits direct access to the DMZ 80 from the external network of the user B network, while prohibiting direct access to the internal segment 90 from the external network.

実施の形態では、物理的に1台のファイアウォール16を論理的に複数台のファイアウォールとして機能させるために、L2スイッチ14のVLAN機能を使用する。例えば、L2スイッチ14は、ユーザA網から受け付けたパケットに、ユーザAに対して予め割り当てられたVLAN−IDを付与する。また、ユーザB網から受け付けたパケットに、ユーザBに対して予め割り当てられたVLAN−IDを付与する。ファイアウォール16は、ユーザAを示すVLAN−IDが付与されたパケットを、ユーザA網から送出されたパケットとして識別する。そして、ユーザAにより予め定められたポリシーにしたがってパケットフィルタリングを実行することでユーザA−FW32として機能する。同様に、ユーザBを示すVLAN−IDが付与されたパケットを、ユーザB網から送出されたパケットとして識別する。そして、ユーザBにより予め定められたポリシーにしたがってパケットフィルタリングを実行することでユーザB−FW34として機能する。   In the embodiment, the VLAN function of the L2 switch 14 is used so that one firewall 16 physically functions as a plurality of firewalls. For example, the L2 switch 14 assigns a VLAN-ID previously assigned to the user A to the packet received from the user A network. Further, a VLAN-ID assigned to user B in advance is assigned to the packet received from the user B network. The firewall 16 identifies a packet to which a VLAN-ID indicating the user A is assigned as a packet transmitted from the user A network. And it functions as user A-FW32 by performing packet filtering according to the policy predetermined by user A. Similarly, a packet to which VLAN-ID indicating user B is assigned is identified as a packet transmitted from the user B network. And it functions as user B-FW34 by performing packet filtering according to the policy predetermined by user B.

ユーザA網にはユーザAの業務処理を実行するシステムが構築され、ユーザB網にはユーザBの業務処理を実行するシステムが構築される。図2では、プレゼンテーション層、アプリケーション層、データ層に分割した3層構成を示している。具体的には、ユーザA網のDMZ60には2つの仮想サーバ、すなわちウェブサーバ62と中継サーバ64が配置され、内部セグメント70には4つの仮想サーバ、すなわちAPサーバ72とDBサーバ74とディレクトリサーバ76と作業用サーバ78が配置されている。ユーザB網のDMZ80には、ウェブサーバ82と中継サーバ84が配置され、内部セグメント90には、APサーバ92とDBサーバ94とディレクトリサーバ96と作業用サーバ98が配置されている。   A system for executing user A's business process is constructed in the user A network, and a system for executing user B's business process is constructed in the user B network. FIG. 2 shows a three-layer configuration divided into a presentation layer, an application layer, and a data layer. Specifically, two virtual servers, that is, a web server 62 and a relay server 64 are arranged in the DMZ 60 of the user A network, and four virtual servers, that is, an AP server 72, a DB server 74, and a directory server are arranged in the internal segment 70. 76 and a work server 78 are arranged. In the DMZ 80 of the user B network, a web server 82 and a relay server 84 are arranged, and in the internal segment 90, an AP server 92, a DB server 94, a directory server 96, and a work server 98 are arranged.

ユーザA網における各仮想サーバのネットワークセグメントは、PCI DSSに則ってユーザAが決定する。典型的には、高度なセキュリティレベルが要求されるサーバであり、例えばクレジットカード情報を用いたデータ処理を実行するAPサーバ72と、クレジットカード情報や決済情報を保持するDBサーバ74を内部セグメント70に配置する。その一方、外部網の装置と直接通信をすべきサーバ、例えばウェブサーバ62と中継サーバ64をDMZ60に配置する。なお、ウェブサーバ62は、電子商取引に関するウェブページを提供し、外部網からのHTTPアクセスを受け付ける。中継サーバ64は、内部セグメント70のサーバと外部網の装置との通信を中継する。   The network segment of each virtual server in the user A network is determined by the user A according to the PCI DSS. Typically, the server is required to have a high security level. For example, an AP server 72 that executes data processing using credit card information and a DB server 74 that holds credit card information and settlement information include an internal segment 70. To place. On the other hand, a server such as a web server 62 and a relay server 64 that are to communicate directly with an external network device are arranged in the DMZ 60. The web server 62 provides a web page related to electronic commerce and accepts HTTP access from an external network. The relay server 64 relays communication between the server of the internal segment 70 and the external network device.

例えばユーザAは、ユーザAサーバ20にインストールされた仮想化ソフトウェアを使用してウェブサーバ62と中継サーバ64を構築し、各サーバにDMZ60のIPアドレスを設定する。同様に、ユーザAサーバ20にインストールされた仮想化ソフトウェアを使用してAPサーバ72とDBサーバ74とディレクトリサーバ76を構築し、各サーバに内部セグメント70のIPアドレスを設定する。ユーザB網における各仮想サーバのネットワークセグメントも同様に、PCI DSSに則ってユーザBが決定する。   For example, the user A uses the virtualization software installed on the user A server 20 to construct the web server 62 and the relay server 64 and sets the IP address of the DMZ 60 in each server. Similarly, the AP server 72, the DB server 74, and the directory server 76 are constructed using the virtualization software installed in the user A server 20, and the IP address of the internal segment 70 is set in each server. Similarly, the network segment of each virtual server in the user B network is determined by the user B according to the PCI DSS.

また、ユーザA網の各仮想サーバおよびネットワーク機器には、ユーザAの管理者ごとに異なるログインアカウント、すなわちログインIDおよびパスワードが設定される。その一方、各仮想サーバおよびネットワーク機器へのログインアカウントは、管理者単位で共通に設定される。すなわち、ユーザAに属するある管理者のアカウントは、他の管理者のアカウントとは異なるが、同じアカウントでユーザA−FW32、ウェブサーバ62、中継サーバ64、APサーバ72・・・にログインできる。   A different login account, that is, a login ID and a password, is set for each administrator of user A in each virtual server and network device of the user A network. On the other hand, a login account for each virtual server and network device is set in common for each administrator. That is, an account of an administrator belonging to the user A is different from other administrators' accounts, but the same account can log in to the user A-FW 32, the web server 62, the relay server 64, the AP server 72,.

ディレクトリサーバ76は、このようなユーザAの管理者ごとに定められたアカウント情報であって、ユーザA網の各仮想サーバおよびネットワーク機器にログインするための管理者単位で共通のアカウント情報を一括して保持する。ディレクトリサーバ96も同様であり、ユーザBの管理者ごとに定められたアカウント情報であって、ユーザB網の各仮想サーバおよびネットワーク機器にログインするための管理者単位で共通のアカウント情報を一括して保持する。   The directory server 76 is account information determined for each administrator of the user A, and collects common account information for each administrator for logging in to each virtual server and network device of the user A network. Hold. The same applies to the directory server 96, which is account information determined for each administrator of the user B and collects common account information for each administrator for logging in to each virtual server and network device of the user B network. Hold.

また、クラウド管理網のDMZ40にはログサーバ42と中継サーバ44が配置され、内部セグメント50にはクラウド管理サーバ52が配置される。ログサーバ42は、ユーザ網の各装置が出力したログデータを、ユーザ単位および仮想サーバ単位に逐次蓄積する機能と、蓄積したログデータをユーザの要求に応じて提供する機能を備える。   A log server 42 and a relay server 44 are arranged in the DMZ 40 of the cloud management network, and a cloud management server 52 is arranged in the internal segment 50. The log server 42 has a function of sequentially storing the log data output by each device of the user network in units of users and virtual servers, and a function of providing the stored log data in response to a user request.

クラウド管理サーバ52は、ユーザAやユーザBからの要求にしたがって、ユーザAサーバ20およびユーザBサーバ22に対する各種設定を実行する機能を備える。中継サーバ44は、クラウドシステム10外部の装置(例えばユーザA端末24)から送信された、ユーザAサーバ20に仮想サーバ(例えばウェブサーバ)を構築する旨の設定要求を受け付けて、クラウド管理サーバ52へ転送する機能を備える。   The cloud management server 52 has a function of executing various settings for the user A server 20 and the user B server 22 in accordance with requests from the user A and the user B. The relay server 44 receives a setting request for constructing a virtual server (for example, a web server) in the user A server 20 transmitted from a device outside the cloud system 10 (for example, the user A terminal 24), and the cloud management server 52 The function to transfer to is provided.

具体的には、クラウド管理サーバ52は仮想サーバのテンプレートデータを保持する。クラウド管理サーバ52は、中継サーバ44を介して、テンプレート選択画面をクラウドシステム10外部の装置(例えばユーザA端末24)へ送信して表示させ、ユーザによる選択結果を取得する。なお、クラウド管理サーバ52には、VMWare(商標または登録商標)のクラウド管理用アプリケーションがインストールされてもよい。そして、このアプリケーションからユーザAサーバ20およびユーザBサーバ22のVMWare(商標または登録商標)へ仮想サーバの設定指示が通知されてもよい。   Specifically, the cloud management server 52 holds virtual server template data. The cloud management server 52 transmits and displays a template selection screen to a device outside the cloud system 10 (for example, the user A terminal 24) via the relay server 44, and acquires a selection result by the user. The cloud management server 52 may be installed with a VMWare (trademark or registered trademark) cloud management application. Then, the virtual server setting instruction may be notified from this application to the VMWare (trademark or registered trademark) of the user A server 20 and the user B server 22.

図3は、仮想サーバのテンプレートを示す。同図は16種類のテンプレートを示している。例えばID「5」は、OSがWindows(登録商標)で、ウェブサーバソフトウェアおよびウイルス対策ソフトウェアをインストールしたサーバを示すテンプレートである。またID「4」は、OSがLinux(登録商標)で、ウイルス対策ソフトウェアをインストールしないサーバを示すテンプレートである。後者の場合、典型的には仮想サーバが構築された後に、必要なアプリケーションをユーザが適宜インストールする。図3には不図示だが、ディレクトリサーバ、DNSサーバ、中継サーバ等、他の種類のサーバを示すテンプレートがさらに含まれてよい。   FIG. 3 shows a template of a virtual server. The figure shows 16 types of templates. For example, ID “5” is a template indicating a server in which the OS is Windows (registered trademark) and web server software and antivirus software are installed. The ID “4” is a template indicating a server in which the OS is Linux (registered trademark) and no antivirus software is installed. In the latter case, typically, after a virtual server is constructed, a user installs necessary applications as appropriate. Although not illustrated in FIG. 3, a template indicating another type of server such as a directory server, a DNS server, or a relay server may be further included.

ファイアウォール16を詳細に説明する。
ファイアウォール16は、レイヤ3〜レイヤ7に亘るパケットデータに基づいて、通信の許否を決定し、パケットの方路を制御する。例えば、IPパケットに設定されたIPアドレス、ポート番号、ペイロードのアプリケーションデータ、およびこれらの任意の組み合わせに基づいて、パケットの通過を許可し、またはパケットの通過を禁止する。ファイアウォール16は、レイヤ3〜レイヤ7スイッチとして機能するとも言える。 The firewall 16 will be described in detail.
The firewall 16 determines whether communication is permitted or not based on the packet data from the layer 3 to the layer 7, and controls the route of the packet. For example, based on the IP address, port number, payload application data set in the IP packet, and any combination thereof, the packet is allowed to pass or the packet is not allowed to pass. It can be said that the firewall 16 functions as a layer 3 to layer 7 switch.

図4は、図1のファイアウォール16の機能構成を示すブロック図である。本明細書のブロック図において示される各ブロックは、ハードウェア的には、コンピュータのCPUやメモリをはじめとする素子や機械装置、電子回路で実現でき、ソフトウェア的にはコンピュータプログラム等によって実現されるが、ここでは、それらの連携によって実現される機能ブロックを描いている。したがって、これらの機能ブロックはハードウェア、ソフトウェアの組合せによっていろいろなかたちで実現できることは、当業者には理解されるところである。   FIG. 4 is a block diagram showing a functional configuration of the firewall 16 of FIG. Each block shown in the block diagram of the present specification can be realized in hardware by an element such as a CPU and memory of a computer, a mechanical device, and an electronic circuit, and in software by a computer program or the like. However, here, functional blocks realized by their cooperation are depicted. Therefore, those skilled in the art will understand that these functional blocks can be realized in various forms by a combination of hardware and software.

ファイアウォール16は、各種データを記憶する記憶領域であるデータ保持部100と、パケットの通過・廃棄を制御する制御部110を備える。データ保持部100はポリシー保持部102を含む。制御部110は、パケット受信部112と、通信許否部114と、パケット転送部116と、認証部118と、ポリシー更新部120を含む。   The firewall 16 includes a data holding unit 100 that is a storage area for storing various data, and a control unit 110 that controls passage and discard of packets. The data holding unit 100 includes a policy holding unit 102. The control unit 110 includes a packet reception unit 112, a communication permission / rejection unit 114, a packet transfer unit 116, an authentication unit 118, and a policy update unit 120.

ポリシー保持部102は、ユーザ(ユーザ企業)ごとの、パケットの通過または廃棄を決定するための基準となる規則(以下、「通信制御ポリシー」と呼ぶ。)を保持する。例えば、各ユーザに予め割り当てられたVLAN−IDと対応づけて各ユーザの通信制御ポリシーを保持する。通信制御ポリシーは、パケットの条件と、接続・遮断等のフィルタリング処理の内容とを対応づけて定めたものである。   The policy holding unit 102 holds a rule (hereinafter referred to as a “communication control policy”) that serves as a reference for determining whether to pass or discard a packet for each user (user company). For example, the communication control policy of each user is held in association with the VLAN-ID assigned in advance to each user. The communication control policy is defined by associating packet conditions with filtering processing contents such as connection / blocking.

実施の形態のファイアウォール16はホワイトリスト方式である。例えばユーザA用の通信制御ポリシーは、送信元IPアドレスとして内部セグメント70のIPアドレスが指定されたパケットであり、かつ、ユーザAにより予め定められた通過許可条件を満たすパケットを、中継サーバ64へ転送する旨のポリシーを含む。また、送信元IPアドレスとしてDMZ60のIPアドレスが指定されたパケットであり、かつ、ユーザAにより予め定められた通過許可条件を満たすパケットを、その送信元IPアドレスを所定のグローバルアドレスに変換した上で、その宛先IPアドレスに応じてユーザA網外部へ転送することを許可する旨のポリシーを含む。   The firewall 16 of the embodiment is a white list method. For example, the communication control policy for user A is a packet in which the IP address of the internal segment 70 is designated as the transmission source IP address, and a packet that satisfies a passage permission condition predetermined by user A is sent to the relay server 64. Includes a policy to forward. Further, a packet in which the IP address of the DMZ 60 is designated as a source IP address, and a packet that satisfies a passage permission condition predetermined by the user A is converted into a predetermined global address. Then, a policy for permitting transfer outside the user A network according to the destination IP address is included.

ユーザB用の通信制御ポリシーは、送信元IPアドレスとして内部セグメント90のIPアドレスが指定されたパケットであり、かつ、ユーザBにより予め定められた通過許可条件を満たすパケットを、中継サーバ84へ転送する旨のポリシーを含む。また、送信元IPアドレスとしてDMZ80のIPアドレスが指定されたパケットであり、かつ、ユーザBにより予め定めた通過許可条件を満たすパケットを、その送信元IPアドレスを所定のグローバルアドレスに変換した上で、その宛先IPアドレスに応じてユーザB網外部へ転送することを許可する旨のポリシーを含む。   The communication control policy for user B is a packet in which the IP address of the internal segment 90 is designated as the transmission source IP address, and a packet that satisfies a passage permission condition predetermined by user B is transferred to the relay server 84 Including a policy to do so. In addition, a packet in which the IP address of DMZ80 is designated as a source IP address and a packet that satisfies a passage permission condition determined in advance by user B is converted into a predetermined global address. And a policy for permitting transfer to the outside of the user B network according to the destination IP address.

通過許可条件は、例えば、宛先IPアドレス、ポート番号、ペイロードの内容のうち少なくとも1つ、もしくはこれらの任意の組み合わせが満たすべき条件を定めたものである。具体的には、宛先ポート番号が、Syslog、SNMP、SSHまたはNTPを示す番号である場合に充足される条件を含む。また、ペイロードの内容(例えばアプリケーションデータ)が、ウイルス定義の更新ファイルの取得要求またはOSの更新ファイルの取得要求を示す場合に充足される条件を含む。ユーザA用とユーザB用のいずれの通信制御ポリシーにおいても、通過許可条件を充足しないパケット、例えば予め定められた宛先ポート番号以外を指定するパケットの通過を拒否する旨、例えば当該パケットを廃棄する旨を定める。   The passage permission condition defines, for example, a condition to be satisfied by at least one of the destination IP address, the port number, and the content of the payload, or any combination thereof. Specifically, it includes a condition that is satisfied when the destination port number is a number indicating Syslog, SNMP, SSH, or NTP. Further, it includes a condition that is satisfied when the content of the payload (for example, application data) indicates a virus definition update file acquisition request or an OS update file acquisition request. In both the communication control policies for user A and user B, a packet that does not satisfy the passage permission condition, for example, a packet that specifies a destination port number other than a predetermined destination port number is rejected, for example, the packet is discarded. To that effect.

パケット受信部112は、L2スイッチ14から転送されたパケットを取得する。通信許否部114は、ポリシー保持部102に保持された通信制御ポリシーにしたがって、パケット受信部112で受信されたパケットの通過を許可し、または廃棄し、または転送先を決定する。パケット転送部116は、通信許否部114で通過が許可されたパケットをL2スイッチ14へ送出し、また、通信許否部114で決定された転送先宛にパケットをL2スイッチ14へ送出する。後者の場合、パケット転送部116は、通信許否部114で決定された転送先装置のMACアドレスを送信先MACアドレスとして設定したMACフレームであり、パケット受信部112で受信されたIPパケットを含むMACフレームをL2スイッチ14へ送出してもよい。   The packet receiving unit 112 acquires the packet transferred from the L2 switch 14. The communication permission / rejection unit 114 permits or discards the packet received by the packet reception unit 112 or determines the transfer destination according to the communication control policy held in the policy holding unit 102. The packet transfer unit 116 sends the packet permitted to pass by the communication permission / rejection unit 114 to the L2 switch 14, and sends the packet to the transfer destination determined by the communication permission / rejection unit 114 to the L2 switch 14. In the latter case, the packet transfer unit 116 is a MAC frame in which the MAC address of the transfer destination device determined by the communication permission / rejection unit 114 is set as the transmission destination MAC address, and the MAC including the IP packet received by the packet reception unit 112 The frame may be sent to the L2 switch 14.

DMZ60から送出されたパケットをユーザA網外部へ転送する際、パケット転送部116は、NAT処理を実行するアドレス変換部としても機能する。具体的には、パケット転送部116は、パケットの送信元IPアドレスとして指定されたDMZ60のローカルアドレス(例えば中継サーバ64のIPアドレス)を、外部網(インターネット等)との通信用に予め保持するグローバルアドレスへ変換する。パケット転送部116は、送信元IPアドレスをグローバルアドレスに変換後のパケットをユーザA網外部へ転送する。これにより、ユーザA網内部の装置に対してユーザAは任意のIPアドレスを付与することができる。   When transferring a packet transmitted from the DMZ 60 to the outside of the user A network, the packet transfer unit 116 also functions as an address conversion unit that executes NAT processing. Specifically, the packet transfer unit 116 holds the local address of the DMZ 60 (for example, the IP address of the relay server 64) designated as the packet source IP address in advance for communication with an external network (such as the Internet). Convert to global address. The packet transfer unit 116 transfers the packet after the source IP address is converted to the global address to the outside of the user A network. Thereby, the user A can give an arbitrary IP address to the device inside the user A network.

認証部118は、ユーザA端末24や中継サーバ64から送出されて、L2スイッチ14により中継された、ログインIDおよびパスワードを指定したログイン要求を受信する。典型的には、パケット受信部112で受信され、通信許否部114を通過したログイン要求を取得する。認証部118は、ログイン要求元ユーザのネットワークセグメントを示す情報(例えばログイン要求パケットが示すVLAN−ID)と、ログインIDを指定した、アカウント問い合わせのためのLDAP電文をディレクトリサーバ76へ送信する。認証部118は、ログイン要求元ユーザのパスワードをディレクトリサーバ76から取得する。そして、ログイン要求で指定されたアカウント情報と、ディレクトリサーバ76から取得したアカウント情報が整合し、例えば、ログインIDとパスワードの組み合わせが一致する場合にログインを許可する。   The authentication unit 118 receives a login request specifying the login ID and password transmitted from the user A terminal 24 and the relay server 64 and relayed by the L2 switch 14. Typically, a login request received by the packet receiving unit 112 and passed through the communication permission / rejection unit 114 is acquired. The authentication unit 118 transmits to the directory server 76 information indicating the network segment of the login request source user (for example, VLAN-ID indicated by the login request packet) and an LDAP message for an account inquiry specifying the login ID. The authentication unit 118 acquires the password of the login request source user from the directory server 76. The account information specified in the login request matches the account information acquired from the directory server 76. For example, the login is permitted when the combination of the login ID and the password matches.

図4には不図示であるが、ファイアウォール16は、認証部118によりログインが許可されたユーザの装置に、ファイアウォール16を操作するためのコンソール画面のデータを送信して表示させるコンソール画面表示制御部を備えてもよい。ポリシー更新部120は、ユーザA端末24や中継サーバ64から送出され、L2スイッチ14により中継された、ポリシー変更情報を受信する。例えば、ファイアウォール16のコンソール画面に入力されたポリシー変更情報を受信する。そして、ポリシー保持部102に格納された通信制御ポリシーのうち、ログインユーザのネットワークセグメント(例えばログインユーザのVLAN−ID)に対応づけられた通信制御ポリシーを、ポリシー変更情報にしたがって変更する。   Although not shown in FIG. 4, the firewall 16 transmits a console screen data for operating the firewall 16 and displays it on a user device whose login is permitted by the authentication unit 118. May be provided. The policy update unit 120 receives the policy change information transmitted from the user A terminal 24 or the relay server 64 and relayed by the L2 switch 14. For example, the policy change information input on the console screen of the firewall 16 is received. Of the communication control policies stored in the policy holding unit 102, the communication control policy associated with the network segment of the login user (for example, the VLAN-ID of the login user) is changed according to the policy change information.

次に中継サーバ64を詳細に説明する。
中継サーバ64は、内部セグメント70の装置がユーザA網外部の装置へアクセスするための踏み台サーバ・プロキシサーバとして機能する。同様に、中継サーバ84は、内部セグメント90の装置がユーザB網外部の装置へアクセスするための踏み台サーバ・プロキシサーバとして機能する。以下、中継サーバ64の機能を示すが中継サーバ84も同様である。 Next, the relay server 64 will be described in detail.
The relay server 64 functions as a platform server / proxy server for the devices in the internal segment 70 to access devices outside the user A network. Similarly, the relay server 84 functions as a platform server / proxy server for the devices in the internal segment 90 to access devices outside the user B network. Hereinafter, the function of the relay server 64 is shown, but the relay server 84 is the same.

図5は、図2の中継サーバ64の機能構成を示すブロック図である。中継サーバ64は、各種情報処理を実行する制御部140を備える。制御部140は、パケット受信部142と、パケット変換部144と、パケット転送部146を含む。   FIG. 5 is a block diagram showing a functional configuration of the relay server 64 of FIG. The relay server 64 includes a control unit 140 that executes various types of information processing. The control unit 140 includes a packet reception unit 142, a packet conversion unit 144, and a packet transfer unit 146.

パケット受信部142は、L2スイッチ14から転送されたパケットを取得する。パケット変換部144は、パケット受信部142で受け付けられたパケットのうち、送信元IPアドレスが内部セグメント70のアドレスで、かつ、宛先IPアドレスがユーザA網の外部網の装置であるパケットを変換対象パケットとして特定する。データ保持部130は、この特定のためのアドレス情報、例えば、内部セグメントのIPアドレス体系、DMZのIPアドレス体系を示す情報を保持してもよい。パケット変換部144はこのアドレス情報を参照して、内部セグメント70のアドレス、および、ユーザA網の外部網のアドレスを識別してもよい。   The packet receiving unit 142 acquires the packet transferred from the L2 switch 14. The packet conversion unit 144 converts a packet received by the packet reception unit 142 whose source IP address is the address of the internal segment 70 and whose destination IP address is a device of the external network of the user A network. Identifies as a packet. The data holding unit 130 may hold address information for this identification, for example, information indicating the IP address system of the internal segment and the IP address system of the DMZ. The packet converter 144 may identify the address of the internal segment 70 and the address of the external network of the user A network with reference to this address information.

パケット変換部144は、変換対象パケットの送信元IPアドレスを自装置、すなわち中継サーバ64のIPアドレスに変更する。当該パケットの他のヘッダ情報およびペイロードは変更しない。パケット転送部146は、パケット変換部144により送信元IPアドレスが変換されたパケットをL2スイッチ14へ送信する。なお、パケット変換部144は、変換対象パケットのオリジナルの送信元IPアドレスを記録しておく。変換対象パケットに対する外部装置からの応答パケット、すなわち宛先IPアドレスが内部セグメント70のアドレスで、送信元IPアドレスがユーザA網の外部網の装置であるパケットが受け付けられた場合、パケット変換部144は、応答パケットの宛先IPアドレスをオリジナルの送信元IPアドレスへ変換する。そして、パケット転送部146は、変換後の応答パケットをL2スイッチ14へ送信する。   The packet conversion unit 144 changes the source IP address of the conversion target packet to the IP address of its own device, that is, the relay server 64. Other header information and payload of the packet are not changed. The packet transfer unit 146 transmits the packet whose source IP address is converted by the packet conversion unit 144 to the L2 switch 14. The packet conversion unit 144 records the original transmission source IP address of the conversion target packet. When a response packet from an external device for the packet to be converted is received, that is, a packet whose destination IP address is the address of the internal segment 70 and whose source IP address is a device of the external network of the user A network is received, the packet conversion unit 144 The destination IP address of the response packet is converted to the original source IP address. Then, the packet transfer unit 146 transmits the response packet after conversion to the L2 switch 14.

次に作業用サーバ78を詳細に説明する。
作業用サーバ78は、ユーザA網外部の装置が内部セグメント70の装置へアクセスするための中継サーバ・踏み台サーバ・プロキシサーバとして機能する。同様に、作業用サーバ98は、ユーザB網外部の装置が内部セグメント90の装置へアクセスするための中継サーバ・踏み台サーバ・プロキシサーバとして機能する。以下、作業用サーバ78の機能を示すが作業用サーバ98も同様である。 Next, the work server 78 will be described in detail.
The work server 78 functions as a relay server, a platform server, and a proxy server for devices outside the user A network to access the devices in the internal segment 70. Similarly, the work server 98 functions as a relay server, a platform server, and a proxy server for devices outside the user B network to access the devices in the internal segment 90. Hereinafter, although the function of the work server 78 is shown, the work server 98 is the same.

図6は、図2の作業用サーバ78の機能構成を示すブロック図である。作業用サーバ78は、各種データを記憶する領域であるデータ保持部130と、各種情報処理を実行する制御部147を備える。データ保持部130は画像保持部132を含む。制御部147は、認証部148と、コンソール画面表示制御部150と、画像記録部152と、コマンド受信部154と、コマンド実行部156を含む。   FIG. 6 is a block diagram showing a functional configuration of the work server 78 of FIG. The work server 78 includes a data holding unit 130 that is an area for storing various types of data, and a control unit 147 that executes various types of information processing. The data holding unit 130 includes an image holding unit 132. The control unit 147 includes an authentication unit 148, a console screen display control unit 150, an image recording unit 152, a command reception unit 154, and a command execution unit 156.

画像保持部132は、作業用サーバ78のコンソール画面の画像データを、ログインユーザの識別情報(例えばログインユーザのリモート端末のPC名とログインID)と対応づけて保持する。実施の形態で蓄積する画像データは、ユーザAの管理者がログインしている全期間に亘るコンソール画面の表示内容と、その変遷を示す動画像データである。言い換えれば、ユーザのログイン期間に亘る中継サーバ64に対する操作内容と、ユーザA網の各装置に対する操作内容を時系列に示す動画像データである。変形例として、ユーザのログイン期間中におけるコンソール画面の定期的なスナップショット、すなわち複数枚の静止画データであってもよい。   The image holding unit 132 holds the image data of the console screen of the work server 78 in association with the identification information of the login user (for example, the PC name and login ID of the login user's remote terminal). The image data stored in the embodiment is the moving image data indicating the display contents of the console screen over the entire period in which the administrator of the user A is logged in and the transition thereof. In other words, it is the moving image data showing the operation contents for the relay server 64 over the login period of the user and the operation contents for each device of the user A network in time series. As a modification, it may be a periodic snapshot of the console screen during the login period of the user, that is, a plurality of still image data.

作業用サーバ78は、VPN(Virtual Private Network)経由でのユーザA端末24からのアクセスを受け付ける。セキュリティはVPNにより担保されるため、作業用サーバ78は、予め定められたVPN以外、言い換えれば、ユーザA端末24以外からのアクセスを拒否する。   The work server 78 accepts access from the user A terminal 24 via a VPN (Virtual Private Network). Since security is secured by VPN, the work server 78 rejects access from other than the predetermined VPN, in other words, from other than the user A terminal 24.

認証部148は、ユーザA端末24から送信され、VPNを介して伝送された、ログインIDおよびパスワードを指定したログイン要求を受信する。認証部148は、認証部118と同様に、ログイン要求元ユーザのネットワークセグメントを示す情報と、ログインIDを指定した、アカウント問い合わせのためのLDAP電文をディレクトリサーバ76へ送信する。認証部148は、ログイン要求元ユーザのパスワードをディレクトリサーバ76から取得する。そして、ログイン要求で指定されたアカウント情報と、ディレクトリサーバ76から取得したアカウント情報が整合する場合にログインを許可する。   The authentication unit 148 receives the login request specifying the login ID and the password transmitted from the user A terminal 24 and transmitted via the VPN. Similar to the authentication unit 118, the authentication unit 148 transmits information indicating the network segment of the login request source user and an LDAP message for account inquiry specifying the login ID to the directory server 76. The authentication unit 148 acquires the password of the login request source user from the directory server 76. If the account information specified in the login request matches the account information acquired from the directory server 76, login is permitted.

コンソール画面表示制御部150は、認証部148によりログインが許可されたユーザA端末24に、作業用サーバ78を操作するためのGUI画面であるコンソール画面を送信して表示させる。コンソール画面は、リモートデスクトップ(X Window SystemやRemote Desktop Protocol等)のGUI画面でもよい。変形例として、コンソール画面はCLI画面であってもよい。   The console screen display control unit 150 transmits and displays a console screen, which is a GUI screen for operating the work server 78, to the user A terminal 24 permitted to log in by the authentication unit 148. The console screen may be a GUI screen of a remote desktop (such as X Window System or Remote Desktop Protocol). As a modification, the console screen may be a CLI screen.

画像記録部152は、ユーザのログイン期間中に亘るコンソール画面の表示内容を示す動画像データ、言い換えれば映像データをログインユーザの識別情報と対応づけて画像保持部132へ格納する。画像記録部152は、ユーザのログイン期間中、継続して画像保持部132に動画像データを蓄積させる。   The image recording unit 152 stores the moving image data indicating the display contents of the console screen over the login period of the user, in other words, the video data in the image holding unit 132 in association with the identification information of the login user. The image recording unit 152 continuously accumulates moving image data in the image holding unit 132 during the login period of the user.

コマンド受信部154は、ユーザA端末24に表示されたコンソール画面に対する操作内容を示す情報であり、コンソール画面に対してユーザが入力した情報を含むコマンド情報をユーザA端末24から取得する。コマンド実行部156は、コマンド受信部154により取得されたコマンド情報に応じて各種プログラムを実行する。ここで、コマンド情報がユーザA網の他の仮想サーバ(例えばAPサーバ72やDBサーバ74)に対する操作、また、ユーザA−FW32(ファイアウォール16)に対する操作を示す場合に、コマンド実行部156は、そのコマンド情報を操作対象装置へ転送する。そして、操作対象装置からの応答電文であり、コマンド実行結果を含む応答情報を取得する。   The command receiving unit 154 is information indicating operation contents for the console screen displayed on the user A terminal 24, and acquires command information including information input by the user on the console screen from the user A terminal 24. The command execution unit 156 executes various programs according to the command information acquired by the command reception unit 154. Here, when the command information indicates an operation for another virtual server (for example, the AP server 72 or the DB server 74) of the user A network, or an operation for the user A-FW 32 (firewall 16), the command execution unit 156 The command information is transferred to the operation target device. And it is a response message from the operation target device, and acquires response information including the command execution result.

コンソール画面表示制御部150は、自装置もしくは他装置におけるコマンド実行結果をユーザA端末24へ送信し、ユーザA端末24で表示中のコンソール画面にコマンド実行結果を表示させる。画像記録部152は、コマンド実行結果を示すコンソール画面の画像を画像保持部132へ記録する。すなわち、コンソール画面表示制御部150は、ユーザA端末24へ送信するコンソール画面のデータを画像記録部152にも渡し、画像保持部132に保存させる。   The console screen display control unit 150 transmits the command execution result in the own device or another device to the user A terminal 24 and displays the command execution result on the console screen being displayed on the user A terminal 24. The image recording unit 152 records the console screen image indicating the command execution result in the image holding unit 132. That is, the console screen display control unit 150 also passes the console screen data to be transmitted to the user A terminal 24 to the image recording unit 152 and causes the image holding unit 132 to store it.

図6には不図示だが、作業用サーバ78は、各ユーザ企業の権限を有する特定の管理者から画像提供要求を受け付けた場合に、要求元ユーザのリモート端末のPC名とログインIDに対応づけられた画像データを提供する画像提供部をさらに備えてもよい。なお、画像データと対応づけられるユーザの識別情報は、ユーザのOSのIDであってもよく、画像提供部は、要求元ユーザのOSのIDに対応づけられた画像データを提供してもよい。また、画像データと対応づけられるユーザの識別情報は、リモート端末のPC名と、ログインIDと、OSのIDとの任意の組み合わせであってもよい。また、図6の認証部148、コンソール画面表示制御部150、コマンド受信部154、コマンド実行部156は、ユーザAサーバ20およびユーザBサーバ22に構築された他の仮想サーバも備える。   Although not shown in FIG. 6, when the work server 78 receives an image provision request from a specific administrator who has authority of each user company, the work server 78 associates it with the PC name and login ID of the remote terminal of the requesting user. An image providing unit that provides the obtained image data may be further provided. The user identification information associated with the image data may be the user's OS ID, and the image providing unit may provide the image data associated with the requesting user's OS ID. . The user identification information associated with the image data may be any combination of the PC name of the remote terminal, the login ID, and the OS ID. In addition, the authentication unit 148, the console screen display control unit 150, the command reception unit 154, and the command execution unit 156 of FIG. 6 also include other virtual servers constructed in the user A server 20 and the user B server 22.

以上の構成によるクラウドシステム10の動作を図1、図2を参照しつつ説明する。
まず、ユーザA網の内部セグメント70の仮想サーバが発信元となり、ユーザA網外部の装置が宛先となる通信を行う際の動作を説明する。ここでは例として、DBサーバ74が、Syslogを使用して、自サーバのログデータをログサーバ42へ格納する動作を説明する。クラウドシステム10では、ユーザAサーバ20およびユーザBサーバ22に構築された各仮想サーバは、自サーバのログデータをクラウド管理網のログサーバ42へ格納する。言い換えれば、ログデータの蓄積先としてログサーバ42を共用する。これにより、各ユーザはログ管理のためのシステムコストを低減できる。 The operation of the cloud system 10 having the above configuration will be described with reference to FIGS.
First, an operation at the time of performing communication in which the virtual server of the internal segment 70 of the user A network is the transmission source and the device outside the user A network is the destination will be described. Here, as an example, an operation will be described in which the DB server 74 stores the log data of its own server in the log server 42 using Syslog. In the cloud system 10, each virtual server built in the user A server 20 and the user B server 22 stores log data of its own server in the log server 42 of the cloud management network. In other words, the log server 42 is shared as a log data storage destination. Thereby, each user can reduce the system cost for log management.

DBサーバ74は、実行中のアプリケーションがログデータを出力し、そのログデータを不揮発に保存すべきときに、そのログデータを含むログ通知パケットを送出する。ログ通知パケットでは、送信元IPアドレスとしてDBサーバ74のIPアドレスが指定され、宛先IPアドレスとしてログサーバ42のIPアドレスが指定され、宛先ポート番号としてSyslogの番号が指定される。L2スイッチ14は、ユーザA網、ユーザB網、および外部網から受信したパケットを一旦ファイアウォール16へ転送する。ここでもL2スイッチ14は、内部セグメント70と接続されたポートで受信したログ通知パケット(実際にはログ通知パケットを含むMACフレーム)に、ユーザAを示すVLAN−IDを付与し、ログ通知パケットをファイアウォール16へ転送する。   When the running application outputs log data and the log data is to be stored in a nonvolatile manner, the DB server 74 sends out a log notification packet including the log data. In the log notification packet, the IP address of the DB server 74 is designated as the source IP address, the IP address of the log server 42 is designated as the destination IP address, and the Syslog number is designated as the destination port number. The L2 switch 14 once transfers packets received from the user A network, the user B network, and the external network to the firewall 16. Again, the L2 switch 14 assigns a VLAN-ID indicating the user A to the log notification packet (actually a MAC frame including the log notification packet) received at the port connected to the internal segment 70, and sends the log notification packet to the log notification packet. Transfer to firewall 16.

ファイアウォール16は、ユーザAを示すVLAN−IDを認識して、ユーザA−FW32として動作する。すなわち、ログ通知パケットの送信元IPアドレスを参照し、送信元IPアドレスが内部セグメント70のアドレスであることを識別し、ユーザAの通信制御ポリシーにしたがってログ通知パケットを中継サーバ64へ転送する。すなわち、ログ通知パケットの送信元IPアドレスが内部セグメント70のアドレスであり、かつ、宛先ポート番号がSyslogを示すものであるため、このパケットの通過を許可し、このパケットを中継サーバ64へ転送する。中継サーバ64は、ログ通知パケットの送信元IPアドレスを中継サーバ64自身のIPアドレスに変更し、変更後のログ通知パケットを送出する。L2スイッチ14は、ログ通知パケットをファイアウォール16へ転送する。   The firewall 16 recognizes the VLAN-ID indicating the user A and operates as the user A-FW 32. That is, referring to the transmission source IP address of the log notification packet, it is identified that the transmission source IP address is the address of the internal segment 70, and the log notification packet is transferred to the relay server 64 according to the communication control policy of the user A. That is, since the source IP address of the log notification packet is the address of the internal segment 70 and the destination port number indicates Syslog, the packet is allowed to pass and the packet is transferred to the relay server 64. . The relay server 64 changes the source IP address of the log notification packet to the IP address of the relay server 64 itself, and sends out the changed log notification packet. The L2 switch 14 transfers the log notification packet to the firewall 16.

ユーザA−FW32として動作するファイアウォール16は、ログ通知パケットの送信元IPアドレスがDMZ60のアドレスであり、かつ、宛先ポート番号がSyslogを示すものであるため、ユーザAの通信制御ポリシーにしたがって、ログ通知パケットを外部網へ転送することを許可する。このとき、ユーザA−FW32として動作するファイアウォール16は、送信元IPアドレスを予め用意されたグローバルアドレスに変換した上で、ログ通知パケットを外部網へ転送する。   Since the source IP address of the log notification packet is the address of DMZ 60 and the destination port number indicates Syslog, the firewall 16 that operates as the user A-FW 32 logs according to the communication control policy of the user A. Permit transfer of notification packet to external network. At this time, the firewall 16 operating as the user A-FW 32 converts the transmission source IP address into a global address prepared in advance, and transfers the log notification packet to the external network.

具体的には、ユーザA−FW32として動作するファイアウォール16は、ログ通知パケットを含み、ルートFW30のMACアドレスを送信先MACアドレスとして指定したMACフレームをL2スイッチ14へ送出する。ここで指定するルートFW30のMACアドレスは、ユーザごとに予め定められた異なる複数のMACアドレスのうちユーザAに割り当てられたMACアドレスである。なお、ルートFW30のMACアドレスは1つで、VLAN−IDとの組み合わせにより、実質的に異なるアドレスとして認識されてもよい。L2スイッチ14は、ログ通知パケットを含むMACフレームをファイアウォール16へ転送し、ルートFW30として動作するファイアウォール16は、当該MACフレームをログサーバ42へ転送する。ログサーバ42は、ログ通知パケットを受信し、ログ通知パケットからログデータを抽出して、ユーザAのDBサーバのログとしてストレージに保存する。   Specifically, the firewall 16 operating as the user A-FW 32 sends a MAC frame including the log notification packet and specifying the MAC address of the route FW 30 as the transmission destination MAC address to the L2 switch 14. The MAC address of the route FW 30 specified here is a MAC address assigned to the user A among a plurality of different MAC addresses predetermined for each user. Note that the route FW 30 has one MAC address, and may be recognized as a substantially different address depending on the combination with the VLAN-ID. The L2 switch 14 transfers the MAC frame including the log notification packet to the firewall 16, and the firewall 16 operating as the route FW 30 transfers the MAC frame to the log server 42. The log server 42 receives the log notification packet, extracts log data from the log notification packet, and stores it in the storage as a log of the user A DB server.

ユーザA網の内部セグメント70の仮想サーバから、ウイルス定義の更新ファイルを取得し、OSの更新ファイルを取得し、NTPにより時刻を同期し、SNMPのTRAP通知を行う場合もログの記録と同様の動作になる。なお、外部網の宛先装置から応答電文が送信される場合、L2スイッチ14は一旦ファイアウォール16へ応答電文を転送する。ファイアウォール16は、送信先IPアドレスをグローバルアドレスから中継サーバ64のIPアドレスへ変換した上で、中継サーバ64へ応答電文を転送する。中継サーバ64は、応答電文の宛先IPアドレス(ここでは中継サーバ64のアドレス)を、先の変換時に記録しておいた内部セグメント70の仮想サーバのIPアドレスに書き戻す。これにより、要求元の仮想サーバへ応答電文を返信する。   Similar to the log recording, the virus definition update file is acquired from the virtual server of the internal segment 70 of the user A network, the OS update file is acquired, the time is synchronized by NTP, and SNMP TRAP notification is performed. It becomes operation. When a response message is transmitted from the destination device of the external network, the L2 switch 14 once transfers the response message to the firewall 16. The firewall 16 converts the destination IP address from the global address to the IP address of the relay server 64 and then transfers the response message to the relay server 64. The relay server 64 writes the destination IP address of the response message (here, the address of the relay server 64) back to the IP address of the virtual server of the internal segment 70 recorded during the previous conversion. As a result, a response message is returned to the requesting virtual server.

既述したように、ユーザA網の内部セグメント70の仮想サーバからユーザA網外部の装置への通信を許可すべき状況が発生する。しかし、PCI DSSの要件では、ユーザA網外部の装置への通信は、ユーザA網のDMZ60のサーバからのみに制限する必要がある。そこでクラウドシステム10では、DMZ60の中継サーバ64を踏み台として使用し、宛先装置への代理アクセスを中継サーバ64に実行させる。これにより、PCI DSSの要件を充足しつつ、ユーザA網の内部セグメント70のサーバからユーザA網外部の装置への通信を実現する。また、ログ記録サーバ、ウイルス定義およびOSの更新ファイルの取得サーバ、NTPサーバ、TRAP通知サーバ等をDMZ60に設ける必要がなく、システム構築および運用のコストを低減できる。すなわち、PCI DSSに準拠したセキュリティ強度を有するシステムを効率的に実現できる。   As described above, a situation occurs in which communication from the virtual server in the internal segment 70 of the user A network to a device outside the user A network should be permitted. However, according to the requirement of PCI DSS, it is necessary to restrict communication to devices outside the user A network only from the DMZ 60 server of the user A network. Therefore, in the cloud system 10, the relay server 64 of the DMZ 60 is used as a springboard, and the proxy server 64 is caused to execute proxy access to the destination device. Thus, communication from the server in the internal segment 70 of the user A network to a device outside the user A network is realized while satisfying the requirements of the PCI DSS. Also, there is no need to provide a log recording server, virus definition and OS update file acquisition server, NTP server, TRAP notification server, etc. in the DMZ 60, and the cost of system construction and operation can be reduced. That is, it is possible to efficiently realize a system having security strength conforming to PCI DSS.

図7は、クラウドシステム10における通信制御ポリシーを模式的に示す。「○」はパケットの伝送を許可することを示し、「×」はパケットの伝送を禁止することを示している。これまでのシステムでは、通常、内部セグメントの装置は信用できるものと見なし、内部セグメント発、外部網宛のパケットは通過させていた。しかし、内部セグメント発、外部網宛の通信を何ら制限しないと、コンピュータウイルスへの感染や、悪意のある第三者による攻撃等により、意図しない形で内部セグメント内に保持された秘密情報が外部網へ漏洩する可能性がある。クラウドシステム10では、内部セグメント発、外部網宛の通信を原則禁止し、中継サーバ64を経由し、かつ、ユーザが予め定めた基準に合致するパケットのみを外部網へ伝送させることでセキュリティ強度を一層高める。   FIG. 7 schematically shows a communication control policy in the cloud system 10. “O” indicates that packet transmission is permitted, and “X” indicates that packet transmission is prohibited. In conventional systems, the internal segment device is normally considered to be reliable, and packets originating from the internal segment and destined for the external network are passed. However, if there is no restriction on internal segment originating and communication to external network, confidential information held in the internal segment in an unintended form will be externally exposed due to computer virus infection or attacks by malicious third parties. There is a possibility of leaking to the network. In the cloud system 10, communication from the internal segment to the external network is prohibited in principle, and the security strength is increased by transmitting only packets that meet the criteria predetermined by the user via the relay server 64 to the external network. Increase further.

ユーザB網の内部セグメント90の仮想サーバが、ユーザB網外部の装置へパケットを送信する際も上記同様の動作となる。L2スイッチ14は、内部セグメント90と接続されたポートで受信したログ通知パケットに、ユーザBを示すVLAN−IDを付与し、ログ通知パケットをファイアウォール16へ転送する。ファイアウォール16は、ユーザBを示すVLAN−IDを認識して、ユーザB−FW34として動作する。すなわち、ログ通知パケットの送信元IPアドレスが内部セグメント90のアドレスである場合に、ユーザBの通信制御ポリシーにしたがってログ通知パケットを中継サーバ84へ転送する。中継サーバ84は中継サーバ64と同様に、ログ通知パケットの送信元IPアドレスを中継サーバ84自身のIPアドレスに変更する。   The same operation as described above is performed when the virtual server in the internal segment 90 of the user B network transmits a packet to a device outside the user B network. The L2 switch 14 assigns a VLAN-ID indicating the user B to the log notification packet received at the port connected to the internal segment 90 and transfers the log notification packet to the firewall 16. The firewall 16 recognizes the VLAN-ID indicating the user B and operates as the user B-FW 34. That is, when the transmission source IP address of the log notification packet is the address of the internal segment 90, the log notification packet is transferred to the relay server 84 according to the communication control policy of the user B. Similar to the relay server 64, the relay server 84 changes the transmission source IP address of the log notification packet to the IP address of the relay server 84 itself.

ファイアウォール16は、ログ通知パケットの送信元IPアドレスがDMZ80のアドレスであり、かつ、宛先ポート番号がSyslogを示すものであるため、ユーザBの通信制御ポリシーにしたがって、ログ通知パケットを外部網へ転送することを許可する。このように、クラウドシステム10では、ユーザAサーバ20に設けられた仮想サーバ間、もしくは仮想サーバと外部網の装置との通信と、ユーザBサーバ22に設けられた仮想サーバ間、もしくは仮想サーバと外部網の装置との通信のいずれでも、L3スイッチ12、L2スイッチ14、ファイアウォール16、ロードバランサ18を共用する。これにより、個々のユーザが負担すべきシステム構築および運用のコストを一層低減できる。   The firewall 16 forwards the log notification packet to the external network according to the communication control policy of the user B because the source IP address of the log notification packet is the address of DMZ80 and the destination port number indicates Syslog. Allow to do. As described above, in the cloud system 10, communication between the virtual servers provided in the user A server 20, or communication between the virtual server and the external network device, and between the virtual servers provided in the user B server 22 or the virtual server The L3 switch 12, the L2 switch 14, the firewall 16, and the load balancer 18 are shared for any communication with an external network device. Thereby, the cost of system construction and operation which each user should bear can be further reduced.

次に、ユーザA網外部の装置が発信元となり、ユーザA網の各装置へアクセスする際の動作を説明する。ここでは例として、ユーザA端末24からユーザA−FW32へログインするときの動作を説明する。この場合、クラウドシステム10では、作業用サーバ78を踏み台として使用する。なお、ユーザB網外部の装置が発信元となり、ユーザB網の各装置へアクセスする際も同様の動作となる。   Next, an operation when an apparatus outside the user A network becomes a transmission source and accesses each apparatus of the user A network will be described. Here, as an example, an operation when logging in to the user A-FW 32 from the user A terminal 24 will be described. In this case, the cloud system 10 uses the work server 78 as a springboard. Note that the same operation is performed when a device outside the user B network serves as a transmission source and accesses each device of the user B network.

ユーザAの管理者は、ユーザA端末24を操作して、ユーザA端末24と作業用サーバ78をVPN経由で接続させる。そして、VPN経由で作業用サーバ78へのログイン要求を送信させる。VPNによる接続であるため、ユーザA−FW32は、ログイン要求の通過を許可する。作業用サーバ78は、ログイン要求を受け付けると、ユーザAの管理者のアカウント情報をディレクトリサーバ76に問い合わせ、ディレクトリサーバ76は、ユーザAの管理者のアカウント情報を作業用サーバ78へ提供する。作業用サーバ78は、ログイン要求で指定されたアカウント情報と、ディレクトリサーバ76から提供されたアカウント情報が整合する場合にログインを許可し、作業用サーバ78を操作するためのコンソール画面の表示内容を示すデータをユーザA端末24へ送信する。それとともに作業用サーバ78は、コンソール画面の表示内容を示す画像データの記録を開始する。   The administrator of the user A operates the user A terminal 24 to connect the user A terminal 24 and the work server 78 via the VPN. Then, a login request to the work server 78 is transmitted via the VPN. Since the connection is based on the VPN, the user A-FW 32 permits the login request to pass. When the work server 78 receives the login request, the work server 78 inquires of the directory server 76 about account information of the administrator of the user A, and the directory server 76 provides the account information of the administrator of the user A to the work server 78. The work server 78 permits login when the account information specified in the login request matches the account information provided from the directory server 76, and displays the contents displayed on the console screen for operating the work server 78. The indicated data is transmitted to the user A terminal 24. At the same time, the work server 78 starts recording image data indicating the display content of the console screen.

作業用サーバ78へのログインが許可された場合に、ユーザA端末24は、作業用サーバ78のコンソール画面をモニターに表示させる。ユーザAの管理者は、作業用サーバ78のコンソール画面に対して、ユーザA−FW32へのログインを指示する操作を入力する。例えば、CLIのシェルを起動して、ユーザA−FW32へのリモートログインを要求するSSHコマンドを入力してもよい。ユーザA端末24は、ユーザA−FW32へのログイン要求を作業用サーバ78へ送信し、作業用サーバ78は、そのログイン要求をユーザA−FW32へ送信する。また、作業用サーバ78は、コンソール画面に対するユーザAの管理者の操作内容を示す画像データを保存する。   When the login to the work server 78 is permitted, the user A terminal 24 displays the console screen of the work server 78 on the monitor. The administrator of user A inputs an operation for instructing login to the user A-FW 32 on the console screen of the work server 78. For example, a CLI shell may be started and an SSH command requesting remote login to the user A-FW 32 may be input. The user A terminal 24 transmits a login request to the user A-FW 32 to the work server 78, and the work server 78 transmits the login request to the user A-FW 32. In addition, the work server 78 stores image data indicating the operation contents of the administrator of the user A on the console screen.

内部セグメント70の作業用サーバ78が発信元であり、宛先ポート番号がSSHを示すため、ユーザA−FW32は、ログイン要求パケットを通過させ、ログイン要求を受け付ける。ユーザA−FW32は、ユーザAの管理者のアカウント情報をディレクトリサーバ76に問い合わせ、ディレクトリサーバ76は、ユーザAの管理者のアカウント情報をユーザA−FW32へ提供する。ユーザA−FW32は、ログイン要求で指定されたアカウント情報と、ディレクトリサーバ76から提供されたアカウント情報が整合する場合にログインを許可する。ユーザA−FW32は、ログインを許可する場合、その旨のメッセージを作業用サーバ78へ送信し、コマンドを受け付け可能な状態で待機する。作業用サーバ78は、ユーザA−FW32から送信されたメッセージをコンソール画面の表示データとしてユーザA端末24へ送信する。それとともに作業用サーバ78は、そのメッセージを含むコンソール画面の画像データを保存する。   Since the work server 78 of the internal segment 70 is the transmission source and the destination port number indicates SSH, the user A-FW 32 passes the login request packet and accepts the login request. The user A-FW 32 inquires the account information of the administrator of the user A to the directory server 76, and the directory server 76 provides the account information of the administrator of the user A to the user A-FW 32. The user A-FW 32 permits login when the account information specified in the login request matches the account information provided from the directory server 76. When the user A-FW 32 permits login, the user A-FW 32 transmits a message to that effect to the work server 78 and waits in a state where the command can be accepted. The work server 78 transmits the message transmitted from the user A-FW 32 to the user A terminal 24 as display data of the console screen. At the same time, the work server 78 stores image data of the console screen including the message.

以降、ユーザA端末24は、ユーザA−FW32に対する操作コマンドを、作業用サーバ78を介してユーザA端末24へ送信し、ユーザA−FW32はその操作コマンドに応じた処理を実行する。例えば、ユーザA用の通信制御ポリシーの変更処理を実行する。またユーザA−FW32は、操作コマンドの実行結果を示すメッセージを作業用サーバ78へ送信する。作業用サーバ78は、ユーザA−FW32から送信されたメッセージをコンソール画面の表示データとしてユーザA端末24へ送信する。それとともに作業用サーバ78は、そのメッセージを含むコンソール画面の画像データを保存する。ユーザA端末24がユーザA−FW32からログアウトし、さらに作業用サーバ78からログアウトすると、作業用サーバ78は、コンソール画面の画像データの記録を終了する。   Thereafter, the user A terminal 24 transmits an operation command for the user A-FW 32 to the user A terminal 24 via the work server 78, and the user A-FW 32 executes a process according to the operation command. For example, a process for changing the communication control policy for user A is executed. In addition, the user A-FW 32 transmits a message indicating the execution result of the operation command to the work server 78. The work server 78 transmits the message transmitted from the user A-FW 32 to the user A terminal 24 as display data of the console screen. At the same time, the work server 78 stores image data of the console screen including the message. When the user A terminal 24 logs out from the user A-FW 32 and then logs out from the work server 78, the work server 78 ends the recording of the image data on the console screen.

ユーザA端末24から、ウェブサーバ62、APサーバ72、DBサーバ74等へログインする際の動作も同様である。例えば、作業用サーバ78は、作業用サーバ78のコンソール画面に入力された、DBサーバ74をログイン先に指定するログイン要求をユーザA端末24から受け付けると、そのログイン要求をDBサーバ74へ送信する。内部セグメント70の作業用サーバ78が発信元であり、宛先ポート番号がSSHを示すため、ユーザA−FW32は、ログイン要求を通過させる。DBサーバ74は、ユーザAの管理者のアカウント情報をディレクトリサーバ76に問い合わせ、ディレクトリサーバ76は、ユーザAの管理者のアカウント情報をDBサーバ74へ提供する。DBサーバ74は、ログイン要求で指定されたアカウント情報と、ディレクトリサーバ76から提供されたアカウント情報が整合する場合にログインを許可する。   The operation when logging in from the user A terminal 24 to the web server 62, the AP server 72, the DB server 74, and the like is the same. For example, when the work server 78 receives from the user A terminal 24 a login request for specifying the DB server 74 as a login destination, which is input on the console screen of the work server 78, the work server 78 transmits the login request to the DB server 74. . Since the work server 78 of the internal segment 70 is the transmission source and the destination port number indicates SSH, the user A-FW 32 passes the login request. The DB server 74 inquires about the account information of the administrator of the user A to the directory server 76, and the directory server 76 provides the account information of the administrator of the user A to the DB server 74. The DB server 74 permits login when the account information specified in the login request matches the account information provided from the directory server 76.

このように、クラウドシステム10では、ユーザのアカウント情報を、そのユーザ網のディレクトリサーバが一元管理する。これにより、ユーザアカウントの効率的な管理および保守を実現する。ユーザ網のファイアウォールおよび各仮想サーバにログインするアカウントは管理者単位で共通であるため、ユーザの負担も低減できる。また、クラウドシステム10では、外部網の管理者端末からのアクセスを、所定のVPN経由であることを条件に作業用サーバ78が受け付け、作業用サーバ78を踏み台として各仮想サーバへのアクセスを許可する。このとき作業用サーバ78は、ユーザのログイン期間中、ユーザの操作入力内容を示す画像を継続して記録する。これにより、不正操作がなされたことの証左物を残すことができる。   Thus, in the cloud system 10, the user's account information is centrally managed by the directory server of the user network. This realizes efficient management and maintenance of user accounts. Since the firewall for the user network and the account for logging in to each virtual server are common for each administrator, the burden on the user can be reduced. In the cloud system 10, the work server 78 accepts access from the administrator terminal of the external network on the condition that it is via a predetermined VPN, and permits access to each virtual server using the work server 78 as a stepping stone. To do. At this time, the work server 78 continuously records an image indicating the operation input content of the user during the login period of the user. As a result, it is possible to leave a proof that an unauthorized operation has been performed.

次に、ユーザAサーバ20に仮想サーバを構築する際の動作を説明する。
ユーザAの管理者は、ユーザA端末24を操作し、中継サーバ44を踏み台にしてクラウド管理サーバ52へログインする。クラウド管理サーバ52は、図3に示した仮想サーバの複数種類のテンプレートを示す選択画面をユーザA端末24へ提供する。ユーザAの管理者が選択画面において特定のテンプレートを選択すると、ユーザA端末24は、選択されたテンプレートを示す情報をクラウド管理サーバ52へ送信する。クラウド管理サーバ52は、選択されたテンプレートに対応づけられた仮想サーバの設定指示をユーザAサーバ20へ送信する。ユーザAサーバ20のVMWare(商標または登録商標)は、設定指示にしたがって、選択されたテンプレートが示す態様の仮想サーバを構築する。 Next, an operation when a virtual server is constructed in the user A server 20 will be described.
The administrator of user A operates the user A terminal 24 and logs in to the cloud management server 52 using the relay server 44 as a stepping stone. The cloud management server 52 provides the user A terminal 24 with a selection screen showing a plurality of types of templates of the virtual server shown in FIG. When the administrator of user A selects a specific template on the selection screen, the user A terminal 24 transmits information indicating the selected template to the cloud management server 52. The cloud management server 52 transmits a virtual server setting instruction associated with the selected template to the user A server 20. The VMWare (trademark or registered trademark) of the user A server 20 constructs a virtual server in a mode indicated by the selected template in accordance with the setting instruction.

これにより、仮想サーバの構築におけるユーザの負担を低減できる。ユーザは、テンプレート選択すれば仮想サーバが自動で構築されるため、あとは、構築された仮想サーバにDMZもしくは内部セグメントのIPアドレスを付与し、適宜アプリケーションを導入すればよい。ユーザBサーバ22に仮想サーバを構築する際の動作も同様である。   Thereby, a user's burden in construction of a virtual server can be reduced. Since the virtual server is automatically constructed if the user selects the template, the DMZ or the IP address of the internal segment may be assigned to the constructed virtual server and an application may be introduced as appropriate. The operation when building a virtual server in the user B server 22 is the same.

以上、本発明を実施の形態をもとに説明した。これらの実施の形態は例示であり、それらの各構成要素や各処理プロセスの組合せによりいろいろな変形例が可能なこと、またそうした変形例も本発明の範囲にあることは当業者に理解されるところである。   The present invention has been described based on the embodiments. It is understood by those skilled in the art that these embodiments are exemplifications, and that various modifications are possible depending on combinations of the respective constituent elements and processing processes, and such modifications are also within the scope of the present invention. By the way.

また、請求項に記載の各構成要件が果たすべき機能は、実施の形態および変形例において示された各構成要素の単体もしくはそれらの連携によって実現されることも当業者には理解されるところである。   In addition, it should be understood by those skilled in the art that the functions to be fulfilled by the constituent elements described in the claims are realized by the individual constituent elements shown in the embodiments and the modified examples or by their cooperation. .

16 ファイアウォール、 60 DMZ、 64 中継サーバ、 70 内部セグメント、 74 DBサーバ、 76 ディレクトリサーバ、 78 作業用サーバ、 112 パケット受信部、 114 通信許否部、 116 パケット転送部、 144 パケット変換部、 150 コンソール画面表示制御部、 152 画像記録部。   16 firewall, 60 DMZ, 64 relay server, 70 internal segment, 74 DB server, 76 directory server, 78 work server, 112 packet receiving unit, 114 communication permission / rejection unit, 116 packet transfer unit, 144 packet conversion unit, 150 console screen A display control unit; 152 an image recording unit;

Claims (4)

クレジットカード情報の管理を支援する情報処理システムであって、
ファイアウォールと、
外部網からの通信を前記ファイアウォールが禁止する内部セグメントに配置されたクレジットカード情報を処理する第1装置であって、第1ユーザ企業用に設けられた内部セグメントに配置された第1ユーザ企業の第1装置と、第2ユーザ企業用に設けられた内部セグメントに配置された第2ユーザ企業の第1装置と、
前記外部網からの通信を前記ファイアウォールが許可するDMZに配置された第2装置であって、第1ユーザ企業用に設けられたDMZに配置された第1ユーザ企業の第2装置と、第2ユーザ企業用に設けられたDMZに配置された第2ユーザ企業の第2装置と、
を備え、
前記第1ユーザ企業の第1装置は、前記第1ユーザ企業の網および前記第2ユーザ企業の網に対する外部網の装置として本情報処理システム内に構築された装置であって、複数のユーザ企業により共用される装置である共用装置と通信すべき場合に、送信元アドレスとして自装置のアドレスを指定し、宛先アドレスとして前記共用装置のアドレスを指定したパケットを送出し、
前記第2ユーザ企業の第1装置は、前記共用装置と通信すべき場合に、送信元アドレスとして自装置のアドレスを指定し、宛先アドレスとして前記共用装置のアドレスを指定したパケットを送出し、
前記ファイアウォールは、前記第1ユーザ企業の第1装置から送出された前記共用装置宛のパケットを受信し、受信したパケットで指定された送信元アドレスが前記第1ユーザ企業用に設けられた内部セグメントのアドレスである場合に、前記受信したパケットを前記第1ユーザ企業の第2装置へ転送し、
前記ファイアウォールは、前記第2ユーザ企業の第1装置から送出された前記共用装置宛のパケットを受信し、受信したパケットで指定された送信元アドレスが前記第2ユーザ企業用に設けられた内部セグメントのアドレスである場合に、前記受信したパケットを前記第2ユーザ企業の第2装置へ転送し、
前記第1ユーザ企業の第2装置と前記第2ユーザ企業の第2装置のそれぞれは、前記ファイアウォールから転送されたパケットを受信し、受信したパケットで指定された送信元アドレスを自装置のアドレスへ変更したパケットを送出し、
前記ファイアウォールは、前記第1ユーザ企業の第2装置から送出されたパケットと、前記第2ユーザ企業の第2装置から送出されたパケットの両方を受信し、前者のパケットで指定された送信元アドレスが前記第1ユーザ企業用に設けられたDMZのアドレスであり、かつ、前記第1ユーザ企業によって予め定められた基準を前者のパケットが満たす場合に、前者のパケットの送信元アドレスをグローバルアドレスに変換し、変換後のパケットを前記共用装置へ転送、後者のパケットで指定された送信元アドレスが前記第2ユーザ企業用に設けられたDMZのアドレスであり、かつ、前記第2ユーザ企業によって予め定められた基準を後者のパケットが満たす場合に、後者のパケットの送信元アドレスをグローバルアドレスに変換し、変換後のパケットを前記共用装置へ転送することを特徴とする情報処理システム。 An information processing system that supports the management of credit card information,
A firewall,
A first apparatus for processing credit card information arranged in an internal segment for which communication from an external network is prohibited by the firewall, wherein the first user company arranged in the internal segment provided for the first user company A first device and a first device of a second user company located in an internal segment provided for a second user company;
A second device arranged in the DMZ that allows the firewall to allow communication from the external network, the second device of the first user company arranged in the DMZ provided for the first user company; A second device of a second user company located in a DMZ provided for the user company;
With
The first device of the first user company is a device constructed in the information processing system as an external network device for the network of the first user company and the network of the second user company, and a plurality of user companies When communicating with a shared device that is a device shared by the device, specify the address of the own device as a source address, send a packet specifying the address of the shared device as a destination address,
When the first device of the second user company is to communicate with the shared device, the first device address designates the address of the own device as a transmission source address, and sends a packet designating the address of the shared device as a destination address,
The firewall receives a packet addressed to the shared device transmitted from the first device of the first user company, and an internal segment in which a source address designated by the received packet is provided for the first user company The received packet is forwarded to the second device of the first user company,
The firewall receives a packet addressed to the shared device sent from the first device of the second user company, and an internal segment in which the source address specified in the received packet is provided for the second user company The received packet is forwarded to the second device of the second user company,
Each of the second device of the first user company and the second device of the second user company receives the packet forwarded from the firewall, and sets the source address specified in the received packet to the address of the own device. Send out the modified packet,
The firewall receives both a packet sent from the second device of the first user company and a packet sent from the second device of the second user company, and the source address specified in the former packet Is the address of the DMZ provided for the first user company, and if the former packet satisfies the criteria predetermined by the first user company, the source address of the former packet is set to the global address. The converted packet is transferred to the shared device , the source address specified in the latter packet is the address of the DMZ provided for the second user company, and the second user company the predetermined reference when the latter packet satisfies, translates the source address of the latter packet to the global address, strange The information processing system comprising a benzalkonium be forwarded packet after to the shared device. 管理者ごとに定められたアカウントの情報であって、前記ファイアウォール、前記第1装置、前記第2装置にログインするための管理者単位で共通のアカウント情報を一括して保持するディレクトリサーバをさらに備え、
前記ファイアウォール、前記第1装置、前記第2装置のそれぞれは、ログイン要求を受け付けた場合に、前記ログイン要求で指定されたアカウント情報と、前記ディレクトリサーバに保持されたアカウント情報とが整合するか否かにもとづいてログインの許否を決定することを特徴とする請求項1に記載の情報処理システム。 A directory server that collectively stores common account information for each administrator for logging in to the firewall, the first device, and the second device, which is account information determined for each administrator; ,
Whether each of the firewall, the first device, and the second device accepts a login request, the account information specified in the login request matches the account information held in the directory server. 2. The information processing system according to claim 1, wherein whether or not to log in is determined based on the above. 前記外部網の装置から管理者のログインを受け付け、本装置を操作するためのコンソール画面を前記外部網の装置へ送信して表示させる第3装置をさらに備え、
前記第3装置は、前記コンソール画面に対する管理者の操作を示すデータを前記外部網の装置から受け付け、前記操作が前記ファイアウォールまたは前記第1装置に対する指示を示す場合に、その指示を前記ファイアウォールまたは前記第1装置へ通知し、前記ファイアウォールまたは前記第1装置の応答結果を前記外部網の装置へ送信して表示させ、
前記第3装置は、管理者のログイン期間中に亘る前記コンソール画面の画像データを所定の記憶装置に保存することを特徴とする請求項1または2に記載の情報処理システム。 A third device that accepts an administrator's login from the external network device and transmits a console screen for operating the device to the external network device for display;
The third device receives data indicating an operation of an administrator for the console screen from a device of the external network, and when the operation indicates an instruction for the firewall or the first device, the third device receives the instruction for the firewall or the Notifying the first device, sending the response result of the firewall or the first device to the device of the external network for display,
3. The information processing system according to claim 1, wherein the third device stores image data of the console screen during a login period of an administrator in a predetermined storage device. クレジットカード情報を処理する第1装置であって、第1ユーザ企業用に設けられた内部セグメントに配置された第1ユーザ企業の第1装置と、第2ユーザ企業用に設けられた内部セグメントに配置された第2ユーザ企業の第1装置とに対する外部網からの通信を禁止する一方、第1ユーザ企業用に設けられたDMZに配置された第1ユーザ企業の第2装置と、第2ユーザ企業用に設けられたDMZに配置された第2ユーザ企業の第2装置とに対する前記外部網からの通信を許可する通信許否部と、
前記第1ユーザ企業の第1装置から送出された、送信元アドレスとして前記第1ユーザ企業の第1装置のアドレスを指定し、宛先アドレスとして前記外部網の装置のアドレスを指定したパケットを受信し、前記第2ユーザ企業の第1装置から送出された、送信元アドレスとして前記第2ユーザ企業の第1装置のアドレスを指定し、宛先アドレスとして前記外部網の装置のアドレスを指定したパケットを受信するパケット受信部と、
前記パケット受信部が受信したパケットで指定された送信元アドレスが前記第1ユーザ企業用に設けられた内部セグメントのアドレスである場合に、当該パケットを前記第1ユーザ企業の第2装置へ転送し、前記パケット受信部が受信したパケットで指定された送信元アドレスが前記第2ユーザ企業用に設けられた内部セグメントのアドレスである場合に、当該パケットを前記第2ユーザ企業の第2装置へ転送するパケット転送部と、
を備え、
前記第1ユーザ企業の各装置および前記第2ユーザ企業の各装置は、クレジットカード情報の管理を支援する情報処理システム内に構築され、
前記外部網の装置は、前記第1ユーザ企業の網および前記第2ユーザ企業の網に対する外部網の装置として前記情報処理システム内に構築された装置であって、複数のユーザ企業により共用される装置であり、
前記第1ユーザ企業の第2装置と前記第2ユーザ企業の第2装置のそれぞれは、本装置が転送したパケットで指定された送信元アドレスを自装置のアドレスへ変更したパケットを送出するものであり、
前記パケット受信部は、前記第1ユーザ企業の第2装置から送出されたパケットと、前記第2ユーザ企業の第2装置から送出されたパケットの両方を受信し、
前記パケット転送部は、前記第1ユーザ企業の第2装置から送出されたパケットで指定された送信元アドレスが前記第1ユーザ企業用に設けられたDMZのアドレスであり、かつ、前記第1ユーザ企業によって予め定められた基準を当該パケットが満たす場合に、当該パケットの送信元アドレスをグローバルアドレスに変換し、変換後のパケットを前記共用される装置へ転送し、前記第2ユーザ企業の第2装置から送出されたパケットで指定された送信元アドレスが前記第2ユーザ企業用に設けられたDMZのアドレスであり、かつ、前記第2ユーザ企業によって予め定められた基準を当該パケットが満たす場合に、当該パケットの送信元アドレスをグローバルアドレスに変換し、変換後のパケットを前記共用される装置へ転送することを特徴とするファイアウォール装置。 A first device for processing credit card information, wherein a first device of a first user company arranged in an internal segment provided for a first user company and an internal segment provided for a second user company While prohibiting communication from the external network to the first device of the second user company arranged, the second device of the first user company arranged in the DMZ provided for the first user company and the second user A communication permission / rejection unit that permits communication from the external network to a second device of a second user company arranged in a DMZ provided for a company;
A packet sent from the first device of the first user company, specifying the address of the first device of the first user company as the source address and specifying the address of the device of the external network as the destination address is received. And a packet sent from the first device of the second user company, specifying the address of the first device of the second user company as the source address and specifying the address of the device of the external network as the destination address A packet receiver to
When the source address specified in the packet received by the packet receiving unit is the address of the internal segment provided for the first user company, the packet is transferred to the second device of the first user company. When the source address specified in the packet received by the packet receiver is the address of an internal segment provided for the second user company, the packet is transferred to the second device of the second user company A packet forwarding unit to
With
Each device of the first user company and each device of the second user company are built in an information processing system that supports the management of credit card information,
The external network device is a device constructed in the information processing system as an external network device for the first user company network and the second user company network, and is shared by a plurality of user companies. Device,
Each of the second device of the first user company and the second device of the second user company sends out a packet in which the source address specified in the packet transferred by the device is changed to the address of the own device. Yes,
The packet receiving unit receives both a packet sent from the second device of the first user company and a packet sent from the second device of the second user company;
The packet transfer unit is configured such that a source address specified in a packet transmitted from the second device of the first user company is an address of a DMZ provided for the first user company, and the first user if it meets a predetermined criteria by companies the packet, it translates the source address of the packet to the global address, to transfer the packet after conversion to the device which is the common, first the second user enterprise When the transmission source address specified in the packet transmitted from the two devices is the address of the DMZ provided for the second user company, and the packet satisfies the criteria predetermined by the second user company a, converts the transmission source address of the packet to the global address, especially the Turkey forwards the packet after conversion to the device which is the common That the firewall device.
JP2013220748A 2013-10-24 2013-10-24 Information processing system and firewall device for realizing a secure credit card system in a cloud environment Active JP6359260B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013220748A JP6359260B2 (en) 2013-10-24 2013-10-24 Information processing system and firewall device for realizing a secure credit card system in a cloud environment

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013220748A JP6359260B2 (en) 2013-10-24 2013-10-24 Information processing system and firewall device for realizing a secure credit card system in a cloud environment

Publications (2)

Publication Number Publication Date
JP2015082787A JP2015082787A (en) 2015-04-27
JP6359260B2 true JP6359260B2 (en) 2018-07-18

Family

ID=53013176

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013220748A Active JP6359260B2 (en) 2013-10-24 2013-10-24 Information processing system and firewall device for realizing a secure credit card system in a cloud environment

Country Status (1)

Country Link
JP (1) JP6359260B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6900839B2 (en) * 2017-08-25 2021-07-07 株式会社リコー Equipment system, server, data processing method
JP2019125915A (en) * 2018-01-17 2019-07-25 三菱電機株式会社 Building management system

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004229187A (en) * 2003-01-27 2004-08-12 Nec Corp Http proxy device and http proxy system
JP4581104B2 (en) * 2003-03-28 2010-11-17 学校法人明治大学 Network security system
JP5491932B2 (en) * 2010-03-30 2014-05-14 株式会社インテック Network storage system, method, client device, cache device, management server, and program
JP5476261B2 (en) * 2010-09-14 2014-04-23 株式会社日立製作所 Multi-tenant information processing system, management server, and configuration management method

Also Published As

Publication number Publication date
JP2015082787A (en) 2015-04-27

Similar Documents

Publication Publication Date Title
US11218420B2 (en) Virtual network interface objects
EP3494682B1 (en) Security-on-demand architecture
US9571523B2 (en) Security actuator for a dynamically programmable computer network
US8458786B1 (en) Automated dynamic tunnel management
US9906557B2 (en) Dynamically generating a packet inspection policy for a policy enforcement point in a centralized management environment
US8856786B2 (en) Apparatus and method for monitoring communication performed by a virtual machine
US8667574B2 (en) Assigning a network address for a virtual device to virtually extend the functionality of a network device
US20160337372A1 (en) Network system, controller and packet authenticating method
US8549613B2 (en) Reverse VPN over SSH
JP2019525669A (en) Extend network control system to public cloud
US10404747B1 (en) Detecting malicious activity by using endemic network hosts as decoys
US10778465B1 (en) Scalable cloud switch for integration of on premises networking infrastructure with networking services in the cloud
US8955097B2 (en) Timing management in a large firewall cluster
US20130014106A1 (en) Information processing apparatus, computer-readable medium storing information processing program, and management method
JP5445262B2 (en) Quarantine network system, quarantine management server, remote access relay method to virtual terminal and program thereof
JP5882961B2 (en) Controller, computer system, network configuration changing method, and network configuration changing program
JP2000132473A (en) Network system using fire wall dynamic control system
Osman et al. Transparent Microsegmentation in Smart Home {IoT} Networks
JP6359260B2 (en) Information processing system and firewall device for realizing a secure credit card system in a cloud environment
US20110276673A1 (en) Virtually extending the functionality of a network device
JP2013134711A (en) Medical cloud system
KR102184114B1 (en) Method and apparatus for providing network security service
WO2023020606A1 (en) Method, system and apparatus for hiding source station, and device and storage medium
JP2015154322A (en) Control device for firewall apparatus, and program
JP2022147233A (en) Network system, connection method, and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160701

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170215

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170404

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170602

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20170912

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20170912

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171019

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20171107

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171226

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180529

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180620

R150 Certificate of patent or registration of utility model

Ref document number: 6359260

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250