JP6492731B2 - ストレージシステム、ストレージ制御装置及びストレージ制御プログラム - Google Patents

ストレージシステム、ストレージ制御装置及びストレージ制御プログラム Download PDF

Info

Publication number
JP6492731B2
JP6492731B2 JP2015027866A JP2015027866A JP6492731B2 JP 6492731 B2 JP6492731 B2 JP 6492731B2 JP 2015027866 A JP2015027866 A JP 2015027866A JP 2015027866 A JP2015027866 A JP 2015027866A JP 6492731 B2 JP6492731 B2 JP 6492731B2
Authority
JP
Japan
Prior art keywords
information
storage
unit
control unit
correspondence
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2015027866A
Other languages
English (en)
Other versions
JP2016151822A (ja
Inventor
明雅 吉田
明雅 吉田
一範 小橋
一範 小橋
暁人 山崎
暁人 山崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2015027866A priority Critical patent/JP6492731B2/ja
Priority to US15/005,291 priority patent/US20160239231A1/en
Publication of JP2016151822A publication Critical patent/JP2016151822A/ja
Application granted granted Critical
Publication of JP6492731B2 publication Critical patent/JP6492731B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3034Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a storage system, e.g. DASD based or network based
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3476Data logging
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/80Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
    • G06F21/805Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors using a security table for the storage sub-system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Quality & Reliability (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Human Computer Interaction (AREA)
  • Debugging And Monitoring (AREA)

Description

本発明は、ストレージシステム、ストレージ制御装置及びストレージ制御プログラムに関する。
近年、物理的なボリューム構成や容量に縛られることなく、自由な容量及び構成が実現可能なストレージ装置である仮想化ストレージ装置が急速に普及してきている。仮想化ストレージ装置は、例えば、実際のディスクを備えた実際のストレージ装置(以下、実ストレージ装置と呼ぶ。)及びストレージ装置を管理するプロセッサ装置を有する。そして、プロセッサ装置は、実ストレージ装置が有するディスクを用いて仮想ボリューム(VDISK:Virtual Disk)を生成する。
仮想ボリュームは、プロセッサ装置に概念的に存在するボリュームであり、その実態は対応付けられた実ストレージ装置上の物理的な領域にあたる。
さらに、プロセッサ装置は、実ストレージ装置の管理を実行する管理実行部(「エージェント」と呼ばれることがある。)を有する。プロセッサ装置が複数ある場合には、各プロセッサ装置のそれぞれが管理実行部を有する。管理実行部は、ドライバの制御、並びに、エラーなどのイベントの監視及び発生したイベントのストレージ管理部(「マネージャ」と呼ばれることがある。)への通知を行う。
ストレージ管理部は、例えば、仮想ストレージ装置内のいずれか1つのプロセッサ装置に存在する。そして、ストレージ管理部は、仮想ボリュームの構成情報や状態などの管理及び更新、並びに、エージェントの制御を行う。
このような仮想化ストレージ装置において、プロセッサ装置は、従来は製造元の独自のファームウェアを用いていたが、近年は汎用OS(Operating System)が動作し制御する製品が増加している。汎用OSを使用することで、オープンソース(OSS:Open Source Software)を組み込むことが可能となり、新機能の開発期間を短縮し、製品を早期に市場投入できるというメリットがある。これに対して、実ストレージ装置に関しては、性能の確保やセキュリティ上の観点から製造元の独自のOSで動作する仕組みとなっている場合が多い。
このような、仮想化ストレージ装置を使用するにあたり、近年、他の情報処理システムと同様に機密情報の漏えいが問題となってきている。情報漏えいの原因は、例えば、情報の入ったパソコンや記憶媒体の紛失や、情報を格納する装置へのクラッキングなどの不正なアクセスが考えられる。
ここで、仮想化ストレージ装置の情報漏えいの問題として以下のような問題がある。例えば、仮想化ストレージ装置では、運用中に、トラブルが発生した場合、装置内に保存されている情報を調査資料として採取し、専任の保守担当部門に送付し、調査担当者が調査資料から原因を調査するという一連の処理が行われる。装置内に保存されている情報としては、例えば、内部動作ログ、ストレージ構成情報及びシステムダンプなどがある。加えて、調査資料には、仮想化ストレージ装置が有する利用者情報も含まれる。
この点、情報処理システムを利用者自身が管理する設備内に導入し、設置して運用するオンプレミスの状態であれば、調査資料を採取し参照するのは使用者の関係者に限定される。そのため、オンプレミスの場合であれば、調査資料に利用者情報が含まれても大きな問題は発生しなかった。
これに対して、最近の情報処理システムの運用形態として、設備管理を他社に委託するクラウド環境での運用や、設備は利用者自身が管理するが、保守業務は外部に委託するデータのセンタ型の運用などが増加している。そのような運用形態の場合、採取した調査資料がどのようなルートで誰が参照するかが不明確となり、オンプレミスの場合に比べて調査資料に含まれる利用者情報の流出のリスクが高くなる。
そこで、調査資料が漏えいした場合でもセキュリティ問題が発生しないように、調査資料採取時にユーザ情報の抽象化を行うことが行われる。抽象化の手段としては、例えば、利用者情報と抽象化文字列とを一意に対応させる管理表である抽象化対応データを用いて、装置内に保存されている情報のうち非公開情報を抽象化文字列に置き換えて調査資料として出力する従来技術が提案されている。
特開2011−65364号公報
しかしながら、調査資料出力時に情報を抽象化する従来技術では、プロセッサ装置が使用する汎用OSやOSSの脆弱性を悪用し、第三者がプロセッサ装置に乗り込むことで抽象化されていない情報を参照できてしまう危険がある。
開示の技術は、上記に鑑みてなされたものであって、セキュリティを向上させたストレージシステム、ストレージ制御装置及びストレージ制御プログラムを提供することを目的とする。
本願の開示するストレージシステム、ストレージ制御装置及びストレージ制御プログラムは、一つの態様において、ストレージ制御装置及びストレージ装置を有する。前記ストレージ制御装置は、秘匿情報の代替情報である代替情報を作成し、作成した前記代替情報と前記秘匿情報との対応を表す対応情報を前記ストレージ装置に記憶させる代替情報作成部を備える。また、前記ストレージ制御装置は、前記代替情報を用いて前記ストレージ制御装置の動作の履歴情報を作成する第1履歴情報作成部と、前記第1履歴情報作成部により収集された前記履歴情報を記憶する第1記憶部とを備える。さらに、前記ストレージ制御装置は、情報提供要求を受けて、前記情報提供要求に前記対応情報の送信要求が含まれているか否かを判定し、前記送信要求が含まれている場合、前記履歴情報を前記第1記憶部から取得し、前記ストレージ装置から前記対応情報を取得し、取得した前記対応情報及び前記履歴情報を出力し、前記送信要求が含まれていない場合、前記履歴情報を前記第1記憶部から取得し、取得した前記履歴情報を出力する情報提供部を備える。前記ストレージ装置は、前記代替情報作成部から送信された前記対応情報を格納する対応情報格納部を備える。
本願の開示するストレージシステム、ストレージ制御装置及びストレージ制御プログラムの一つの態様によれば、セキュリティを向上させることができるという効果を奏する。
図1は、実施例1に係る情報処理システムの全体構成図である。 図2は、実施例1に係るストレージシステムのブロック図である。 図3は、メッセージカタログの一例の図である。 図4は、対応情報の一例の図である。 図5は、構成DB格納部に格納されるテーブルの一例の図である。 図6は、実施例1に係るストレージシステムの動作全体の概要を表すフローチャートである。 図7は、実施例1に係るストレージシステムの起動処理のフローチャートである。 図8は、実施例1に係るストレージシステムの利用者情報登録処理のフローチャートである。 図9は、実施例1に係るストレージシステムにおけるトラブル対応の処理のフローチャートである。 図10は、トラブルの調査を行う場合の調査担当端末の動作のフローチャートである。 図11は、実施例1に係るストレージシステムの利用者情報削除処理のフローチャートである。 図12は、ストレージシステムのハードウェア構成図である。 図13は、実施例2に係るストレージシステムのブロック図である。
以下に、本願の開示するストレージシステム、ストレージ制御装置及びストレージ制御プログラムの実施例を図面に基づいて詳細に説明する。なお、以下の実施例により本願の開示するストレージシステム、ストレージ制御装置及びストレージ制御プログラムが限定されるものではない。
図1は、実施例1に係る情報処理システムの全体構成図である。本実施例に係るストレージシステム100は、プロセッサ装置1A及び1B、ストレージ装置2、並びに、業務サーバ3を有する。さらに、プロセッサ装置1Aは、管理者端末4に接続される。また、管理者端末4は、調査用端末5及び利用者端末6と接続される。なお、プロセッサ装置1A及び1Bと、スイッチと、ストレージ装置2により、ストレージシステムが構築される。
業務サーバ3は、利用者が業務に使用するサーバである。業務サーバ3は、例えば業務に使用するアプリケーションが動作しており、利用者に対してアプリケーションによる処理結果の提供を行う。
プロセッサ装置1A及び1Bはともに、ストレージ装置2を管理する装置である。以下では、プロセッサ装置1A及び1Bを区別しない場合、単に「プロセッサ装置1」という。本実施例ではプロセッサ装置1A及び1Bという2台がストレージ装置2を管理する構成で説明するが、プロセッサ装置1は、何台あってもよい。
プロセッサ装置1Aは、マネージャ11及びエージェント12Aが動作する。また、プロセッサ装置1Bは、エージェント12Bが動作する。このプロセッサ装置1Aが、「ストレージ制御装置」の一例にあたる。また、プロセッサ装置1Bが、「副ストレージ制御装置」の一例にあたる。
エージェント12Aは、プロセッサ装置1Aの動作を制御し管理する。また、エージェント12Bは、プロセッサ装置1Bの動作を制御し管理する。エージェント12A及び12Bは、例えば、仮想ボリューム(VDISK: Virtual Disk)の生成や内部ログの生成を行う。また、エージェント12A及び12Bは、ドライバの制御、並びに、エラーなどのイベントの監視及びマネージャ11への通知を行う。エージェント12A及び12Bは、図1に示すように、各プロセッサ装置1それぞれに存在する。以下では、エージェント12A及び12Bを区別しない場合、単に「エージェント12」と呼ぶ場合がある。
例えば、仮想ボリュームは、2GBの容量を有するセグメントセットの集合体として生成される。セグメントセットは、256MBの容量を有するセグメントを8つ集めて生成される。各セグメントは、ストレージ装置が有する個々にLUN(Logical Unit Number)が割り当てられた論理ボリュームの何れかに割り当てられる。
マネージャ11は、ストレージシステム100内の1つのプロセッサ装置1に存在する。そして、マネージャ11は、各プロセッサ装置1のエージェント12を統括管理する。また、マネージャ11は、各プロセッサ装置1に対する全体的な動作を制御し管理する。例えば、マネージャ11は、仮想ボリュームの構成情報や状態などの管理を行う。
ストレージ装置2は、複数のハードディスクを搭載する。そして、ストレージ装置2に搭載されたハードディスクは、論理番号が割り当てられた論理ディスク20を構成する。図1では、論理ディスク20を「LUN」と表す。
また、ストレージ装置2は、対応情報格納部21及び構成DB(Database)格納部22を有する。構成DB格納部22は、例えば、仮想ボリュームの構成情報を格納する。また、対応情報格納部21は、利用者の公開に適さない情報(以下では、「秘匿情報」という。)と秘匿情報を抽象化した抽象化データとの対応を示す対応情報を格納する。プロセッサ装置1及びストレージ装置2については、後でさらに詳細に説明する。
プロセッサ装置1A及び1Bは、それぞれストレージ装置2とスイッチ7を介して通信する。ただし以下の説明では、都合上プロセッサ装置1A及び1Bとストレージ装置2との間の通信において、スイッチ7による中継を省略して説明する場合がある。
また、ストレージシステム100は、拡張することができる。例えば、ストレージ装置2及びそのストレージ装置2を管理するプロセッサ装置1を1セットとしてストレージシステム100に追加し組み込むことができる。これにより、ストレージシステム100の全体性能及び容量を拡張できる。
管理者端末4は、ストレージシステム100を管理する管理者が使用する端末装置である。管理者端末4は、例えば、管理者から入力された情報をマネージャ11へ送信する。また、管理者端末4は、マネージャ11からストレージシステム100の動作情報を受信し、管理者に提供する。
利用者端末6は、業務サーバ3を使用してストレージシステム100の資源を利用する利用者が使用する端末装置である。利用者端末6は、例えば、利用者から入力された情報を管理者端末4へ送信する。
調査用端末5は、ストレージシステムで発生したトラブルの原因調査を行う調査者が使用する端末装置である。調査用端末5は、例えば、トラブルについての情報を管理者端末4から受信し、調査者に提供する。また、調査用端末5は、調査者が行った調査の調査結果を管理者端末4へ送信する。
次に、図2を参照して、ストレージシステムの構成及び動作についてさらに詳細に説明する。図2は、実施例1に係るストレージシステムのブロック図である。
図2に示すように、プロセッサ装置1Aは、マネージャ11、エージェント12A及び情報格納部13Aを有する。エージェント12Aは、プロセッサ装置1Bで動作するエージェント12Bと同様の動作を行う。そこで、エージェント12Aの詳細は、エージェント12Bについての説明により後でまとめて説明する。
マネージャ11は、制御部111及び抽象化部112を有する。プロセッサ装置1Aの電源が投入されると、制御部111は、プロセッサ装置1Aの起動処理を行う。そして、制御部111は、起動完了通知をエージェント12Aの内部ログ生成部122Aへ送信する。その後、制御部111は、プロセッサ装置1Bのエージェント12Bから起動完了通知を受信する。
次に、制御部111は、管理者に通知する起動完了の通知のメッセージを生成する。この時点では、制御部111は、抽象化データ及び管理者に通知するメッセージテキストが抽象化された抽象化メッセージを用いてメッセージを生成する。
そして、制御部111は、起動完了の通知のメッセージに組み込む秘匿情報があるか否かを判定する。例えば、既に仮想ボリュームが作成されている場合には、仮想ボリュームのボリューム名といった秘匿情報をメッセージに組み込む場合がある。そのような場合、制御部111は、生成したメッセージに抽象化データが入っているか否かにより、秘匿情報があるか否かの判定を行うことができる。
メッセージに組み込む秘匿情報がある場合、制御部111は、メッセージに組み込む情報として自己が有する抽象化データに対応する秘匿情報を対応情報格納部21から取得する。メッセージに組み込む秘匿情報がない場合、制御部111は、秘匿情報の取得を行わない。
また、制御部111は、生成したメッセージに含まれる抽象化メッセージに対応するメッセージテキストをメッセージカタログ132Aから取得する。ここでは、起動完了の通知のメッセージであるので、制御部111は、起動完了のメッセージテキストを取得する。
そして、制御部111は、起動完了の通知のメッセージの抽象化データ及び抽象化メッセージを秘匿情報及び起動完了のメッセージテキストに置き換え、管理者が理解できる情報に変換する。そして、制御部111は、管理者が理解可能な情報に変換された起動完了のメッセージを管理者端末4へ送信し、起動完了を通知する。
その後、制御部111は、取得した秘匿情報を破棄する。これにより、プロセッサ装置1Aの中には秘匿情報が存在しない状態に戻る。
また、制御部111は、利用者情報の登録の際には、ユーザ情報の入力を利用者情報の登録指示とともに管理者端末4から受ける。利用者情報の登録とは、利用者がストレージシステム100において生成された仮想化ボリュームを利用できるようにする登録処理である。ユーザ情報には、例えば、ユーザ名、ディスクサイズ、ボリューム名、ディスク構成、パスワードなどが含まれる。
制御部111は、入力されたユーザ情報の内いずれの情報を秘匿情報として抽象化するかの情報を予め有する。例えば、制御部111は、管理者端末4から入力された情報の入力欄に対応させて、各入力欄の情報について秘匿情報か否かの情報を有する。そして、制御部111は、ユーザ情報の中の秘匿情報を抽象化部112へ送信する。
その後、制御部111は、抽象化データを抽象化部112から取得する。そして、制御部111は、抽象化データを含むユーザ情報をストレージ装置2の構成DB格納部22に格納する。
さらに、制御部111は、ボリューム作成依頼をユーザ情報で指定されたディスクを管理するプロセッサ装置1に通知する。ここでは、プロセッサ装置1Bが管理するディスクが指定された場合で説明する。すなわち、制御部111は、ボリューム作成依頼をプロセッサ装置1Bのエージェント12Bへ通知する。
ここで、制御部111は、エージェント12Bへのボリューム作成依頼には、抽象化データを用いる。すなわち、エージェント12Bは、秘匿情報は取得することなく仮想ボリュームの作成を行う。このように、秘匿情報はマネージャ11のみが把握し、エージェント12は抽象化データのみを扱うため、秘匿情報の漏えいのリスクを軽減することができる。
その後、制御部111は、仮想ボリュームの作成完了通知をエージェント12Bから受信する。そして、制御部111は、ボリューム作成の情報を構成DB格納部22に保存する。次に、制御部111は、利用者情報の登録完了通知をエージェント12Aに送信する。
次に、制御部111は、利用者情報の登録完了を通知するための登録完了の通知のメッセージを生成する。この時点では、制御部111は、抽象化データ及び管理者に通知するメッセージテキストが抽象化された抽象化メッセージを用いてメッセージを生成する。
次に、制御部111は、登録完了のメッセージに組み込む情報として自己が有する抽象化データに対応する秘匿情報を対応情報格納部21から取得する。また、制御部111は、生成したメッセージに含まれる抽象化メッセージに対応する登録完了のメッセージテキストを取得する。
そして、制御部111は、登録完了の通知のメッセージの抽象化データ及び抽象化メッセージを秘匿情報及び起動完了のメッセージテキストに置き換え、管理者が理解できる情報に変換する。そして、制御部111は、管理者が理解可能な情報に変換された登録完了のメッセージを管理者端末4へ送信し、登録完了を通知する。
その後、制御部111は、取得した秘匿情報を破棄する。これにより、プロセッサ装置1Aの中には秘匿情報が存在しない状態に戻る。
また、制御部111は、調査資料採取要求の入力を管理者端末4から受ける。調査資料採取要求とは、ストレージシステム100においてトラブルが発生した場合に、原因究明やトラブル対応に用いる情報の収集を行わせるための命令である。調査資料取得要求では、調査対象とする利用者の情報や仮想化ボリュームの識別情報などが含まれる。調査資料採取要求には、収集する調査資料に秘匿情報を含めるか否かの指示が含まる。
制御部111は、受信した調査資料取得要求で調査資料に秘匿情報を含めることが指示されているか否かを判定する。秘匿情報を含める場合、制御部111は、調査資料取得要求で指定された利用者に関連する対応情報をストレージ装置2の対応情報格納部21から取得する。これに対して、秘匿情報を含めない場合、制御部111は、対応情報の取得は行わない。
次に、制御部111は、構成DB情報をストレージ装置2が有する構成DB格納部22から取得する。さらに、制御部111は、全てのプロセッサ装置1に内部ログの収集を指示する。より詳しくは、本実施例では、制御部111は、プロセッサ装置1Aの内部ログ取得部123A及びプロセッサ装置1Bの内部ログ取得部123Bに内部ログ131A及び131Bの収集を指示する。その後、制御部111は、抽象化イベントを含む状態の内部ログ131A及び131Bをそれぞれ内部ログ取得部123A及び123Bから取得する。
そして、制御部111は、取得した内部ログ131A及び131B、並びに、秘匿情報を調査資料に含める場合には調査資料取得要求で指定された利用者に関連する対応情報をまとめて調査資料として管理者端末4へ送信する。
また、制御部111は、利用者情報の削除命令の入力を管理者端末4から受ける。利用者情報の削除とは、利用者によるストレージシステム100が有する仮想化ボリュームの利用を解消する処理である。制御部111は、利用者情報の削除命令で指定された利用者の抽象化データをストレージ装置2の対応情報格納部21から取得する。そして、制御部111は、削除命令で指定された利用者に割り当てられたボリュームの抽象化データを用いて、プロセッサ装置1Bの制御部121Bにボリュームの削除を指示する。その後、制御部111は、ボリュームの削除完了の通知を制御部121Bから受ける。
次に、制御部111は、削除命令で指定された利用者に割り当てられたボリュームを削除したことを示す情報をストレージ装置2の構成DB格納部22に登録する。さらに、制御部111は、アカウント情報やボリューム情報を含むユーザ情報を構成DB格納部22から削除する。その後、制御部111は、ユーザ情報の削除完了を内部ログ生成部122Aに通知する。
次に、制御部111は、ユーザ情報の削除完了のメッセージを生成する。この時点では、制御部111は、抽象化データ及び管理者に通知するメッセージテキストが抽象化された抽象化メッセージを用いてメッセージを生成する。
次に、制御部111は、ユーザ情報の削除完了のメッセージに組み込む情報として自己が有する抽象化データに対応する秘匿情報を対応情報格納部21から取得する。また、制御部111は、生成したメッセージに含まれる抽象化メッセージに対応するユーザ情報の削除完了のメッセージテキストを取得する。
そして、制御部111は、ユーザ情報の削除完了のメッセージに含まれる抽象化データ及び抽象化メッセージを秘匿情報及び起動完了のメッセージテキストに置き換え、管理者が理解できる情報に変換する。そして、制御部111は、管理者が理解可能な情報に変換されたユーザ情報の削除完了のメッセージを管理者端末4へ送信し、利用者情報の削除完了を通知する。
その後、制御部111は、取得した秘匿情報を破棄する。これにより、プロセッサ装置1Aの中には秘匿情報が存在しない状態に戻る。
ここで、制御部111は、ユーザ情報を削除する場合、削除するユーザ情報に対応する抽象化データを対応情報格納部21から削除せずに保持する。これにより、抽象化データの一意性を確保し、使用済みの抽象化データを他のユーザ情報に対応付けることを回避することができ、障害の発生を軽減することができる。この制御部111が、「情報提供部」の一例にあたる。
抽象化部112は、仮想化ボリューム作成時に、ユーザ情報の中の秘匿情報の入力を制御部111から受ける。そして、抽象化部112は、受信した秘匿情報に対応する抽象化データを生成する。ここで、抽象化部112による抽象化データの生成の方法は、生成した抽象化情報から抽象化前の秘匿情報が容易に想到できるものでなければよい。例えば、利用者の識別情報であれば「customer」など秘匿情報の種類によって接頭語を決め、その後に連番で番号を割り当ててもよい。また、抽象化部112、このような単なる文字列の置き換えではなく、秘匿情報を暗号化することで抽象化データを作成してもよい。
次に、抽象化部112は、抽象化データと秘匿情報とを対応付けてストレージ装置2の対応情報格納部21に格納する。また、抽象化部112は、秘匿情報に対応する抽象化データを制御部111へ送信する。この抽象化部112が、「代替情報作成部」の一例にあたる。
情報格納部13Aは、内部ログ131A及びメッセージカタログ132Aを有する。この情報格納部13Aが、「第1記憶部」の一例にあたる。
内部ログ131Aは、プロセッサ装置1Aで発生したイベントなどを含む動作情報の履歴を格納する。内部ログ131Aに格納される情報は、本実施例では、イベント情報を抽象化した抽象化イベントの状態で格納される。ただし、内部ログ131Aに格納される情報は、抽象化されていなくてもよい。この内部ログ131Aが、「ストレージ制御装置の動作の履歴情報」の一例にあたる。
メッセージカタログ132Aは、図3に示すように、抽象化イベントとその抽象化イベントが示すイベントの抽象化前の情報を表すメッセージテキストとを対応付ける情報を格納している。図3は、メッセージカタログの一例の図である。図3におけるメッセージテキストの内、例えば、メッセージテキスト301は、ユーザログインが成功したことを表すメッセージテキストである。さらに、メッセージテキスト301は、「ユーザ名」を表すメッセージを有している。このユーザ名には、秘匿情報であるユーザ名が登録される。すなわち、ユーザログインが成功したことを通知するメッセージにおいては、秘匿情報を登録することになる。制御部111は、メッセージを作成する際に、そのメッセージ作成に用いるメッセージテキストで秘匿情報を用いるか否かを予め記憶している。これにより、制御部111は、メッセージ作成の際に、秘匿情報を取得するか否かを判定することができる。
次に、プロセッサ装置1Bについて説明する。図2に示すように、プロセッサ装置1Bは、エージェント12B及び情報格納部13Bを有する。
エージェント12Bは、制御部121B、内部ログ生成部122B及び内部ログ取得部123Bを有する。
制御部121Bは、ストレージシステム100の起動に際して、マネージャ11から起動命令を受ける。そして、制御部121Bは、プロセッサ装置1Bを起動する起動処理を行う。その後、プロセッサ装置1Bの起動が完了すると、制御部121Bは、起動完了通知を内部ログ生成部122Bへ送信する。また、制御部121Bは、起動完了通知をマネージャ11の制御部111へ送信する。
また、仮想化ボリューム作成時に、制御部121Bは、ボリューム作成依頼をマネージャ11の制御部111から受ける。そして、制御部121Bは、仮想化ボリュームを作成する。その後、仮想化ボリュームの作成が完了すると、制御部111は、仮想化ボリュームの作成完了通知を内部ログ生成部122Bへ送信する。また、制御部111は、仮想化ボリュームの作成完了通知をマネージャ11の制御部111へ送信する。
また、ユーザ情報削除時には、制御部121Bは、ボリューム削除の依頼をマネージャ11の制御部111から受ける。そして、制御部121Bは、指定された仮想化ボリュームを削除する。その後、制御部121Bは、仮想化ボリュームの削除を内部ログ生成部122Bに通知する。また、制御部121Bは、仮想化ボリュームの削除完了の通知をマネージャ11の制御部111へ送信する。
エージェント12Aも制御部121Bと同様の機能部を有し、同様の動作を行う。
内部ログ生成部122Bは、起動の完了、並びに、仮想化ボリュームの作成及び削除といったイベントが発生した場合、イベント発生の通知を制御部121Bから受ける。ただし、イベントの情報は、プロセッサ装置1内では全て抽象化イベントが用いられており、内部ログ生成部122Bも、抽象化イベントの情報を用いたイベント発生の通知を制御部121Bから受ける。
そして、内部ログ生成部122Bは、通知されたイベントを内部ログ131Bに登録する。内部ログ生成部122Bは、抽象化イベントを用いてイベントの登録を行う。
エージェント12Aも内部ログ生成部122Bと同様の機能部を有し、同様の動作を内部ログ131Aに対して行う。エージェント12Aの内部ログ生成部122Aが、「第1履歴情報作成部」の一例にあたる。また、内部ログ生成部122Bが、「第2履歴情報作成部」の一例にあたる。
内部ログ取得部123Bは、調査資料採取の際に、内部ログ収集の依頼をマネージャ11の制御部111から受ける。そして、内部ログ取得部123Bは、指定された仮想化ボリュームに対応する内部ログを内部ログ131Bから取得する。その後、内部ログ取得部123Bは、指定された仮想化ボリュームに対応する内部ログを制御部111へ送信する。
エージェント12Aも内部ログ取得部123Bと同様の機能部を有し、同様の動作を内部ログ131Aに対して行う。
情報格納部13Bは、内部ログ131B及びメッセージカタログ132Bを有する。内部ログ131Bは、プロセッサ装置1Bで発生したイベントなどを含む動作情報の履歴を格納する。内部ログ131Bに格納される情報は、本実施例では、イベント情報を抽象化した抽象化イベントの状態で格納される。ただし、内部ログ131Bに格納される情報は、抽象化されていなくてもよい。この情報格納部13Bが、「第2記憶部」の一例にあたる。また、内部ログ131Bが、「副ストレージ制御装置の動作の履歴情報」の一例にあたる。
メッセージカタログ132Bは、抽象化イベントとその抽象化イベントが示すイベントの抽象化前の情報を表すメッセージテキストとを対応付ける情報を格納している。
ストレージ装置2は、上述したように対応情報格納部21及び構成DB格納部22を有する。図4は、対応情報の一例の図である。図4に示すように、対応情報212は、抽象化データと秘匿情報とを対応付ける情報が登録されている。すなわち、対応情報212を用いることで、制御部111は、抽象化データに対応する秘匿情報を取得することができる。
また、図5は、構成DB格納部に格納されるテーブルの一例の図である。図5に示すように、本実施例に係る構成DB格納部22は、ユーザ管理テーブル221、ボリューム管理テーブル222、サーバ管理テーブル223及び関係管理テーブル224を有する。
ユーザ管理テーブル221には、ユーザ名、アカウント、パスワード、最終ログイン日時、仮想化ボリューム名及びサーバ名がそれぞれ対応付けられて登録される。また、ボリューム管理テーブル222には、仮想化ボリュームの名前、動作状態、サイズ及びその仮想化ボリュームを構成するディスクの情報(図5では、「構成物理ディスク情報」と表示。)がそれぞれ対応付けられて登録される。また、サーバ管理テーブル223には、サーバ名及びそのサーバのIP(Internet Protocol)アドレスがそれぞれ対応付けられて登録される。また、関係管理テーブル224には、仮想化ボリューム名、サーバ名、仮想化ボリュームの障害状態及びその仮想化ボリュームを構成するディスクを搭載するプロセッサ装置1の識別情報(図5では、「担当装置」と表示。)がそれぞれ対応付けられて登録される。
構成DB格納部22に格納される情報の内、例えば、ユーザ名、アカウント、パスワード、仮想化ボリューム名、サーバ名及びサーバのIPアドレスなどが秘匿情報にあたる。すなわち、本実施例では、構成DB格納部22は、それらの情報を抽象化された抽象化データとして保持する。
次に、図6を参照して、本実施例に係るストレージシステム100の動作の全体の流れについて説明する。図6は、実施例1に係るストレージシステムの動作全体の概要を表すフローチャートである。ここでは、処理の全体的な概要の説明であるので、ストレージシステム100や調査用端末5を動作主体として説明し、各装置が有する各部の詳細な動作の流れについては後で、他のフローを用いて説明する。
ストレージシステム100は、管理者から電源の投入を受ける。そして、ストレージシステム100は、起動処理を実行する(ステップS1)。起動が完了すると、ストレージシステム100は、サービスを開始する(ステップS2)。本実施例では、ストレージシステム100は、仮想化ボリュームを提供するサービスを開始する。
利用者端末6は、利用者からの指示を受けて、ストレージシステム100が提供するサービスの利用申請を管理者端末4に送信する(ステップS3)。
管理者端末4は、ストレージシステム100が提供するサービスの利用申請を利用者端末6から受信する。管理者端末4は、管理者に受信したストレージシステム100が提供するサービスの利用申請を管理者に提示する。その後、管理者端末4は、管理者からの指示を受けて、ユーザ名やボリューム名の情報を含む利用者登録要求をストレージシステム100へ送信する(ステップS4)。
ストレージシステム100は、利用者登録要求の入力を管理者端末4から受ける。そして、ストレージシステム100は、ユーザ情報をストレージ装置2の構成DBに登録する(ステップS5)。そして、ストレージシステム100は、ユーザ情報の登録完了を管理者端末4へ通知する(ステップS6)。
管理者端末4は、ユーザ情報の登録完了通知をストレージシステム100から受信する。そして、管理者端末4は、登録情報完了通知を確認した管理者の指示を受けて、ストレージシステム100の仮想化ボリュームの利用が可能である旨を利用者端末6に通知する(ステップS7)。
利用者端末6は、管理者端末4からの通知を受けて、操作者にストレージシステム100が提供する仮想化ボリュームのサービスが利用可能であることを利用者に通知する(ステップS8)。利用者は、サービスの利用可能通知を受けて、業務サーバ3などを用いてストレージシステム100の仮想化ボリュームを使用する。その後、ストレージシステム100は、サービスの提供を続ける。
次に、例えばサービス提供中にトラブルが発生したものとして説明する。ストレージシステム100においてトラブルが発生する(ステップS9)。そして、ストレージシステム100は、異常発生を管理者端末4に通報する(ステップS10)。この場合、ストレージシステム100は、例えば、仮想化ボリュームの識別情報や利用者名などのユーザ情報を用いて、異常発生を管理者端末4へ送信する。
管理者端末4は、異常発生を確認した管理者からの指示を受けて、調査資料の採取の要求をストレージシステム100に送信する(ステップS11)。この場合、調査資料を調査担当者に渡して調査を依頼するため、管理者は、調査資料の採取要求に秘匿情報を含ませないようにストレージシステム100に指示する。
ストレージシステム100は、調査資料の採取要求を管理者端末4から受ける。そして、ストレージシステム100は、調査資料を収集する(ステップS12)。その後、ストレージシステム100は、対応情報を含ませずに調査資料を収集し、収集した調査資料を管理者端末4へ送信する(ステップS13)。
管理者端末4は、対応情報を含まない調査資料をストレージシステム100から受信する。そして、管理者端末4は、管理者からの指示を受けて、対応情報を含まない調査資料を調査依頼とともに調査用端末5へ送信する(ステップS14)。
調査用端末5は、調査資料とともに調査依頼を管理者端末4から受信する。そして、調査担当者からの指示を受けて、調査用端末5は、調査資料を調査担当者が確認できる状態に展開する(ステップS15)。ここで、調査資料には対応情報が含まれていない。そのため、調査担当者は、調査資料中の抽象化データの抽象化前の秘匿情報を取得しない。これにより、利用者と無関係の調査担当者の目に秘匿情報が触れることを避けることができ、情報の流出を軽減することができる。また、トラブルの原因究明などには、利用者の個人情報などは不要であるため、調査担当者は、秘匿情報を取得しなくてもトラブルの調査を行うことができる。
調査担当者は、調査資料を用いた調査を実行する。その後、調査用端末5は、調査担当者の指示を受けて、調査結果を管理者端末4へ送信する(ステップS16)。
管理者端末4は、調査結果を調査用端末5から受信する。管理者は、管理者端末4を用いて調査結果を確認し、復旧のための処理を考案する。管理者端末4は、管理者が考えた復旧のための処理の入力を受けて、復旧処理をストレージシステム100に指示する(ステップS17)。
ストレージシステム100は、管理者端末4から指示された復旧処理を実行する。その後復旧が完了すると、ストレージシステム100は、復旧完了を管理者端末4へ通知する(ステップS18)。これにより、ストレージシステム100において障害が発生した場合のトラブル対応の処理が完了する。
利用者がサービスを解約する場合、利用者端末6は、利用者からの指示を受けて、サービス解約申請を管理者端末4へ送信する(ステップS19)。
管理者端末4は、サービス解約申請を利用者端末6から受信する。そして、管理者端末4は、サービス解約申請を確認した管理者からの指示を受けて、ユーザ情報の削除要求をストレージシステム100へ送信する(ステップS20)。
ストレージシステム100は、ユーザ情報の削除要求を管理者端末4から受信する。そして、ストレージシステム100は、構成DB格納部22内のユーザ情報を削除する。ユーザ情報の削除が完了すると、ストレージシステム100は、削除完了を管理者端末4に通知する(ステップS21)。
管理者端末4は、ユーザ情報の削除完了通知をストレージシステム100から受信する。そして、管理者端末4は、削除完了通知を確認した管理者からの指示を受けて、解約完了通知を利用者端末6へ送信する(ステップS22)。
利用者端末6は、削除完了通知を管理者端末4から受信する。そして、利用者端末6は、サービスの利用終了を利用者に通知する(ステップS23)。
次に、図7を参照して、本実施例に係るストレージシステムの起動処理の流れについて説明する。図7は、実施例1に係るストレージシステムの起動処理のフローチャートである。
制御部111は、管理者からの電源投入を受けて、起動処理を実行し、プロセッサ装置1Aとともにストレージ装置2を起動する(ステップS101)。制御部121Bは、制御部111からの指示を受けて、プロセッサ装置1Bの起動処理を実行し、プロセッサ装置1Bを起動する(ステップS102)。
制御部111は、起動完了通知を内部ログ生成部122Aへ送信する(ステップS103)。また、制御部121Bは、起動完了通知を内部ログ生成部122Bへ送信する(ステップS104)。
内部ログ生成部122Aは、起動処理完了を内部ログ131Aに書き込む(ステップS105)。また、内部ログ生成部122Bは、起動処理完了を内部ログ131Bに書き込む(ステップS106)。
次に、制御部121Bは、制御部111に起動完了通知を送信する(ステップS107)。
制御部111は、起動完了通知を制御部121Bから受信する。次に、制御部111は、管理者に通知する起動完了の通知のメッセージを生成する。そして、制御部111は、メッセージに組み込む秘匿情報があるか否かを判定する(ステップS108)。
メッセージに組み込む秘匿情報がある場合(ステップS108:肯定)、制御部111は、メッセージに組み込む秘匿情報を対応情報格納部21から取得する(ステップS109)。これに対して、メッセージに組み込む秘匿情報が無い場合(ステップS108:否定)、制御部111は、ステップS110へ進む。
次に、制御部111は、起動完了のメッセージテキストをメッセージカタログ132Aから取得する(ステップS110)。そして、制御部111は、起動完了の通知を管理者端末4へ送信する(ステップS111)。
次に、制御部111は、取得した秘匿情報を破棄する(ステップS112)。
次に、図8を参照して、本実施例に係るストレージシステムの利用者情報登録処理の流れについて説明する。図8は、実施例1に係るストレージシステムの利用者情報登録処理のフローチャートである。
制御部111は、ユーザ情報を含む利用者情報登録依頼を管理者端末4から受ける。そして、制御部111は、受信したユーザ情報の内の秘匿情報を抽象化部112へ送信する(ステップS201)。
抽象化部112は、秘匿情報の入力を制御部111から受ける。そして、抽象化部112は、受信した秘匿情報に対応する抽象化データを生成する。さらに、抽象化部112は、秘匿情報とそれに対応する抽象化データとを対応させて対応情報格納部21に格納する(ステップS202)。
抽象化部112は、秘匿情報に対応する抽象化データを制御部111に送信する(ステップS203)。
制御部111は、送信した秘匿情報に対応する抽象化データを抽象化部112から受信する(ステップS204)。そして、制御部111は、秘匿情報を抽象化データに置き換えたユーザ情報を構成DB格納部22に格納する(ステップS204)。
次に、制御部111は、ユーザ情報において指定されているプロセッサ装置1に対して、秘匿情報が抽象化データに変換されたユーザ情報を用いて、仮想化ボリュームの作成を依頼する。ここでは、作成する仮想化ボリュームをプロセッサ装置1Bが担当する場合で説明する。すなわち、より具体的には、制御部111は、プロセッサ装置1Bの制御部121Bに対して、仮想化ボリュームの作成を依頼する(ステップS205)。
制御部121Bは、仮想化ボリュームの作成依頼を制御部111から受ける。そして、制御部121Bは、仮想化ボリュームの作成依頼で指定された仮想化ボリュームを作成する(ステップS206)。
次に、制御部121Bは、仮想化ボリュームの作成完了を内部ログ生成部122Bに通知する(ステップS207)。
内部ログ生成部122Bは、仮想化ボリュームの作成完了通知を制御部121Bから受信する。そして、内部ログ生成部122Bは、仮想化ボリュームの作成完了を内部ログ131Bに登録する(ステップS208)。
また、制御部121Bは、仮想化ボリュームの作成完了を制御部111に通知する(ステップS209)。
制御部111は、仮想化ボリュームの作成完了通知を制御部121Bから受信する。そして、制御部111は、仮想化ボリュームの作成の情報を構成DB格納部22に保存する(ステップS210)。
次に、制御部111は、利用者情報の登録完了を内部ログ生成部122Aに通知する(ステップS211)。
内部ログ生成部122Aは、利用者情報の登録完了通知を制御部111から受信する。そして、内部ログ生成部122Aは、利用者情報の登録完了の情報を内部ログ131Aに登録する(ステップS212)。
次に、制御部111は、利用者情報の登録完了を通知するための登録完了の通知のメッセージを生成する。次に、制御部111は、登録完了のメッセージに組み込む情報として自己が有する抽象化データに対応する秘匿情報を対応情報格納部21から取得する(ステップS213)。
また、制御部111は、生成したメッセージに含まれる抽象化メッセージに対応する登録完了のメッセージテキストをメッセージカタログ132Aから取得する(ステップS214)。
そして、制御部111は、登録完了の通知のメッセージの抽象化データ及び抽象化メッセージを秘匿情報及び起動完了のメッセージテキストに置き換え、管理者が理解できる情報に変換する。そして、制御部111は、管理者が理解可能な情報に変換された登録完了のメッセージを管理者端末4へ送信し、登録完了を通知する(ステップS215)。
その後、制御部111は、取得した秘匿情報を破棄する(ステップS216)。
次に、図9を参照して、本実施例に係るストレージシステムにおけるトラブル対応の処理の流れについて説明する。図9は、実施例1に係るストレージシステムにおけるトラブル対応の処理のフローチャートである。
制御部111は、調査資料採取要求を受信する(ステップS301)。そして、制御部111は、調査資料採取要求を参照して秘匿情報を調査資料に含めるか否かを判定する(ステップS302)。
秘匿情報を調査資料に含める場合(ステップS302:肯定)、制御部111は、調査資料に含める秘匿情報に関する抽象化データと秘匿情報との対応を表す対応情報を対応情報格納部21から取得する(ステップS303)。これに対して、秘匿情報を対応情報に含めない場合(ステップS302:否定)、制御部111は、秘匿情報に関する対応情報を取得せずに、ステップS304へ進む。
制御部111は、調査資料採取要求で指定されている仮想化ボリュームに関する構成DB情報を構成DB格納部22から取得する(ステップS304)。
また、制御部111は、内部ログ収集を内部ログ取得部123Bに依頼する(ステップS305)。内部ログ取得部123Bは、内部ログ収集の依頼を受けて、内部ログ131Bを取得する(ステップS306)。そして、内部ログ取得部123Bは、取得した内部ログ131Bを制御部111へ送信する(ステップS307)。
また、制御部111は、内部ログ収集を内部ログ取得部123Aに依頼する(ステップS308)。内部ログ取得部123Aは、内部ログ収集の依頼を受けて、内部ログ131Aを取得する(ステップS309)。そして、内部ログ取得部123Aは、取得した内部ログ131Aを制御部111へ送信する(ステップS310)。
制御部111は、構成DB情報、内部ログ131A及び131B、並びに、秘匿情報を調査資料に含める場合には取得した対応情報をまとめて調査資料として管理者端末4へ送信する(ステップS311)。
次に、図10を参照して、トラブルの調査を行う場合の調査用端末5の動作を説明する。図10は、トラブルの調査を行う場合の調査担当端末の動作のフローチャートである。
調査用端末5は、調査資料を受信する。そして、対応情報521、構成DB情報523及び内部ログ522が展開される(ステップS401)。
そして、表示制御部51は、内部ログの表示命令を受信する(ステップS402)。
次に、表示制御部51は、対応情報521を記憶部52から取得する(ステップS403)。この時、展開した調査資料の中に対応情報521が含まれていない場合、表示制御部51は、エラー応答を受ける。また、表示制御部51は、内部ログ522を記憶部52から取得する(ステップS404)。
次に、表示制御部51は、メッセージカタログ524を用いて調査資料に含まれる抽象化イベントをメッセージテキストに変換する(ステップS405)。さらに、表示制御部51は、展開した調査資料の中に対応情報521が含まれている場合、対応情報521を用いて調査資料に含まれる抽象化データを秘匿情報に変換する(ステップS406)。
そして、表示制御部51は、抽象化イベントがメッセージテキストに変換され、調査資料の中に対応情報が含まれている場合には、抽象化データが秘匿情報に変換された調査資料の内容をモニタに表示させる(ステップS407)。調査担当者は、提供された調査資料を用いてトラブルの調査を行う。
次に、図11を参照して、本実施例に係るストレージシステム100の利用者情報削除処理を説明する。図11は、実施例1に係るストレージシステムの利用者情報削除処理のフローチャートである。
制御部111は、ユーザ情報の削除命令を管理者端末4から受信する(ステップS501)。
次に、制御部111は、ユーザ情報で指定されている利用者に関する抽象化データを対応情報格納部21から取得する(ステップS502)。
次に、制御部111は、取得した抽象化データから仮想化ボリュームの情報を取得する。そして、制御部111は、取得した仮想化ボリュームの削除を、その仮想化ボリュームの管理を担当するプロセッサ装置1に依頼する。ここでは、削除する仮想化ボリュームの管理をプロセッサ装置1Bが担当する場合で説明する。すなわち、本実施例では具体的には、制御部111は、仮想化ボリュームの削除を制御部121Bに依頼する(ステップS503)。
制御部121Bは、仮想化ボリュームの削除依頼を制御部111から受信する。そして、制御部121Bは、仮想化ボリュームの削除依頼で指定された仮想化ボリュームの削除を実行する(ステップS504)。
次に、制御部121Bは、仮想化ボリュームの削除を内部ログ生成部122Bへ通知する(ステップS505)。内部ログ生成部122Bは、仮想化ボリューム削除の通知を受けて、仮想化ボリュームの削除を内部ログ131Bに登録する(ステップS506)。
また、制御部121Bは、仮想化ボリュームの削除完了を制御部111へ通知する(ステップS507)。
制御部111は、仮想化ボリュームの削除完了通知を制御部121Bから受ける。そして、制御部111は、仮想化ボリュームの削除の情報を構成DB格納部22に保存する(ステップS508)。
次に、制御部111は、ユーザ情報削除依頼で指定された利用者のユーザ情報を構成DB格納部22から削除する(ステップS509)。
次に、制御部111は、ユーザ情報の削除完了を内部ログ生成部122Aに通知する(ステップS510)。内部ログ生成部122Aは、ユーザ情報の削除完了の通知を受けて、ユーザ情報の削除を内部ログ131Aに登録する(ステップS511)。
次に、制御部111は、ユーザ情報の削除完了を通知するためのメッセージを生成する。次に、制御部111は、ユーザ情報の削除完了のメッセージに組み込む情報として自己が有する抽象化データに対応する秘匿情報を対応情報格納部21から取得する(ステップS512)。
また、制御部111は、生成したメッセージに含まれる抽象化メッセージに対応するユーザ情報の削除完了のメッセージテキストをメッセージカタログ132Aから取得する(ステップS513)。
そして、制御部111は、ユーザ情報の削除完了のメッセージの抽象化データ及び抽象化メッセージを秘匿情報及び起動完了のメッセージテキストに置き換え、管理者が理解できる情報に変換する。そして、制御部111は、管理者が理解可能な情報に変換されたユーザ情報の削除完了のメッセージを管理者端末4へ送信し、利用者情報の削除完了を通知する(ステップS514)。
その後、制御部111は、取得した秘匿情報を破棄する(ステップS515)。
以上に説明したように本実施例に係るストレージシステムでは、プロセッサ装置は秘匿情報を抽象化した抽象化データを用いて処理を行い、抽象化データと秘匿情報との対応を示す対応除法はストレージ装置内に格納される。すなわち、汎用OSを用いるプロセッサ装置は秘匿情報を有しておらず、その中に侵入されたとしても秘匿情報が漏えいするおそれは少ない。また、秘匿情報を有するストレージ装置は、独自OSを用いることが多いため、外部からの侵入が困難であり、秘匿情報の漏えいの危険を軽減することができる。
また、本実施例に係るストレージシステムでは、トラブルの調査を行う場合に、秘匿情報を含まない調査資料を調査担当者に提供することができ、利用者と関係が薄い調査担当者に対して秘匿情報を公開することを回避でき、情報漏えいの危険を低減することができる。
ここで、本実施例では、プロセッサ装置1Aでマネージャが動作し、プロセッサ装置1Bでエージェントが動作する構成で説明したが、マネージャが動作するプロセッサ装置1は、いずれでもよい。また、3つ以上のプロセッサ装置1が存在する場合であっても、いずれのプロセッサ装置1がマネージャの機能を有してもよい。さらに、マネージャ機能を有するプロセッサ装置1は冗長化構成にすることができる。例えば、マネージャ機能が動作しているプロセッサ装置1に障害が発生した場合、他のプロセッサ装置1においてマネージャ機能を起動させ、そのプロセッサ装置1がマネージャ機能を担当する構成にしてもよい。
〔ハードウェア構成〕
ここで、図12を参照して、本実施例に係るストレージシステムのハードウェア構成について説明する。図12は、ストレージシステムのハードウェア構成図である。
プロセッサ装置1Aは、CPU(Central Processing Unit)911A、メモリ912A、ハードディスク913A及び通信インタフェース914Aを有する。メモリ912A、ハードディスク913A及び通信インタフェース914Aは、バスを介してCUP911Aと接続されている。
通信インタフェース914Aは、スイッチ7を介してストレージ装置2と通信を行うためのインタフェースである。
ハードディスク913Aは、情報格納部13Aの機能を実現し、内部ログ131A及びメッセージカタログ132Aを格納する。また、ハードディスク913Aは、マネージャ11、エージェント12Aの機能を実現するためのプログラムを含む各種プログラムを記憶する。
CPU911A及びメモリ912Aは、マネージャ11、エージェント12Aの機能を実現する。具体的には、CPU911Aは、ハードディスク913Aからマネージャ11、エージェント12Aの機能を実現するためのプログラムを含む各種プログラムを読み出し、メモリ912A上に展開する。そして、CPU911Aは、メモリ912A上に展開した各種プログラムを実行することで、例えば、マネージャ11及びエージェント12Aの機能を実現する。
プロセッサ装置1Bは、CPU911B、メモリ912B、ハードディスク913B及び通信インタフェース914Bを有する。メモリ912B、ハードディスク913B及び通信インタフェース914Bは、バスを介してCUP911Bと接続されている。
通信インタフェース914Bは、スイッチ7を介してストレージ装置2と通信を行うためのインタフェースである。
ハードディスク913Bは、情報格納部13Bの機能を実現し、内部ログ131B及びメッセージカタログ132Bを格納する。また、ハードディスク913Bは、エージェント12Bの機能を実現するためのプログラムを含む各種プログラムを記憶する。
ここで、マネージャ11、エージェント12Bの処理内容を記述したプログラムは、ハードディスク913Bの他にも、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、磁気記憶装置、光ディスク、光磁気記録媒体、半導体メモリなどがある。磁気記憶装置には、ハードディスク装置(HDD)、フレキシブルディスク(FD)、磁気テープなどがある。光ディスクには、DVD(Digital Versatile Disk)、DVD−RAM(Random Access Memory)、CD(Compact Disk)−ROM(Read Only Memory)/RW(ReWritable)などがある。光磁気記録媒体には、MO(Magneto-Optical Disk)などがある。
プログラムを流通させる場合には、例えば、そのプログラムが記録されたDVD、CD−ROMなどの可搬型記録媒体が販売される。また、プログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することもできる。
CPU911B及びメモリ912Bは、マネージャ11、エージェント12Bの機能を実現する。具体的には、CPU911Bは、ハードディスク913Bからエージェント12Bの機能を実現するためのプログラムを含む各種プログラムを読み出し、メモリ912B上に展開する。そして、CPU911Bは、メモリ912B上に展開した各種プログラムを実行することで、例えば、エージェント12Bの機能を実現する。
ストレージ装置2は、CPU921、メモリ922、ハードディスク923及び通信インタフェース924を有する。メモリ922、ハードディスク923及び通信インタフェース924は、バスを介してCUP921と接続されている。
通信インタフェース924は、スイッチ7を介してプロセッサ装置1A及び1Bと通信を行うためのインタフェースである。
ハードディスク923は、対応情報格納部21及び構成DB格納部22の機能を有し、対応情報及び構成DBを記憶する。また、ハードディスク923は、論理ディスク20を形成し、業務サーバ3による処理に用いられるデータを格納する。
CPU921B及びメモリ922Bは、プロセッサ装置1Aからハードディスク923への構成DBの登録及び対応情報の格納の指示を受けて、指定された情報をハードディスク923に記憶させる。
図13は、実施例2に係るストレージシステムのブロック図である。本実施例に係るストレージシステム100は、ストレージ装置が2つあり、データがミラーリングされ冗長化されていることが実施例1と異なる。以下の説明では、データのミラーリングについて主に説明する。また、実施例1と同様の各部の機能については説明を省略する。また、以下では、ストレージ装置2からストレージ装置2Aへデータをコピーする場合を例に説明するが、ストレージ装置2Aからストレージ装置2へのミラーリングも同様である。
本実施例に係るストレージシステム100は、実施例1の構成にストレージ装置2Aが加えられている。ストレージ装置2は、スイッチ7Aを介してプロセッサ装置1A及び1Bと接続している。
ストレージ装置2Aは、対応情報格納部21A、構成DB格納部22A及び論理ディスク20Aを有している。プロセッサ装置1A及びプロセッサ装置1Bは、ストレージ装置2と同様に、ストレージ装置2Aを使用する。
さらに、プロセッサ装置1Aは、ミラー制御部14を有する。ミラー制御部14は、論理ディスク20にデータが格納された場合に、論理ディスク20Aへのデータのコピーをストレージ装置2に指示する。
利用者情報登録の場合、ミラー制御部14は、構成DB格納部22に抽象化データを含むユーザ情報が登録された場合、登録されたユーザデータの構成DB格納部22Aへのコピーをストレージ装置2に指示する。さらに、仮想化ボリューム作成の情報が構成DB格納部22に保存されると、ミラー制御部14は、保存された仮想化ボリューム作成の情報の構成DB格納部22Aへのコピーをストレージ装置2に指示する。
利用者情報削除の場合、仮想化ボリューム削除の情報が構成DB格納部22に保存されると、ミラー制御部14は、保存された仮想化ボリューム削除の情報の構成DB格納部22Aへのコピーをストレージ装置2に指示する。さらに、構成DB格納部22からユーザ情報が削除されると、ミラー制御部14は、ユーザ情報の削除を構成DB格納部22Aへ反映させるように、ストレージ装置2に指示する。
ストレージ装置2は、データのコピーの指示をミラー制御部14から受けると、指示されたデータをストレージ装置2Aにデータを送信する。そして、ストレージ装置2Aは受信したデータを論理ディスク20Aに格納する。
また、ストレージ装置2は、ユーザ情報の削除の反映の通知をミラー制御部14から受信すると、指定されたユーザ情報の削除をストレージ装置2Aに指示する。ストレージ装置2Aは、指示されたユーザ情報を論理ディスク20Aから削除する。
以上に説明したように、本実施例に係るストレージシステムは、ストレージ装置の冗長化構成において、構成DBや抽象化対応データも同期をとり冗長化する。これにより、例えストレージ装置に障害が発生し他のストレージ装置への切り替えが発生した場合にも、実施例1と同様のセキュリティ性の高いサービスを提供することができる。
1A,1B プロセッサ装置
2,2A ストレージ装置
3 業務サーバ
4 管理者端末
5 調査用端末
6 利用者端末
7 スイッチ
11 マネージャ
12A,12B エージェント
13A,13B 情報格納部
14 ミラー制御部
20 論理ディスク
21 対応情報格納部
22 構成DB格納部
51 表示制御部
111 制御部
112 抽象化部
121B 制御部
122A,122B 内部ログ生成部
123A,123B 内部ログ取得部
131A,131B 内部ログ
132A,132B メッセージカタログ
521 対応情報
522 内部ログ
523 構成DB情報
524 メッセージカタログ

Claims (7)

  1. ストレージ制御装置及びストレージ装置を有するストレージシステムであって、
    前記ストレージ制御装置は、
    秘匿情報の代替情報である代替情報を作成し、作成した前記代替情報と前記秘匿情報との対応を表す対応情報を前記ストレージ装置に記憶させる代替情報作成部と、
    前記代替情報を用いて前記ストレージ制御装置の動作の履歴情報を作成する第1履歴情報作成部と、
    前記第1履歴情報作成部により作成された前記履歴情報を記憶する第1記憶部と、
    情報提供要求を受けて、前記情報提供要求に前記対応情報の送信要求が含まれているか否かを判定し、前記送信要求が含まれている場合、前記履歴情報を前記第1記憶部から取得し、前記ストレージ装置から前記対応情報を取得し、取得した前記対応情報及び前記履歴情報を出力し、前記送信要求が含まれていない場合、前記履歴情報を前記第1記憶部から取得し、取得した前記履歴情報を出力する情報提供部とを備え、
    前記ストレージ装置は、
    前記代替情報作成部から送信された前記対応情報を格納する対応情報格納部を備えた
    ことを特徴とするストレージシステム。
  2. 前記代替情報作成部は、前記ストレージ装置に記憶させた前記対応情報により対応する前記代替情報が表される前記秘匿情報を破棄することを特徴とする請求項1に記載のストレージシステム。
  3. 前記第1履歴情報作成部は、前記ストレージ制御装置の動作を表す動作情報に対応する予め決められた代替動作情報を用いて、前記履歴情報を作成することを特徴とする請求項1又は2に記載のストレージシステム。
  4. 前記ストレージシステムは、副ストレージ制御装置をさらに備え、
    前記副ストレージ制御装置は、
    前記代替情報作成部から前記代替情報を取得し、前記代替情報を用いて前記副ストレージ制御装置の動作の履歴情報を作成する第2履歴情報作成部と、
    前記第2履歴情報作成部により作成された前記副ストレージ制御装置の動作の履歴情報を記憶する第2記憶部を有し、
    前記情報提供部は、前記ストレージ制御装置の動作の履歴情報に加えて前記副ストレージ制御装置の動作の履歴情報を収集し、前記ストレージ制御装置及び前記副ストレージ制御装置の動作の履歴情報を出力する
    ことを特徴とする請求項1〜3のいずれか一つに記載のストレージシステム。
  5. 前記ストレージ制御装置と前記副ストレージ制御装置とは交換可能であり、
    前記対応情報格納部は、前記ストレージ装置及び前記副ストレージ制御装置のいずれからも取得可能に前記対応情報を保持する
    ことを特徴とする請求項4に記載のストレージシステム。
  6. 秘匿情報の代替情報である代替情報を作成し、作成した前記代替情報と前記秘匿情報との対応を表す対応情報をストレージ装置に記憶させる代替情報作成部と、
    前記代替情報を用いてストレージ制御装置の動作の履歴情報を作成する第1履歴情報作成部と、
    前記第1履歴情報作成部により作成された前記履歴情報を記憶する第1記憶部と、
    情報提供要求を受けて、前記情報提供要求に前記対応情報の送信要求が含まれているか否かを判定し、前記送信要求が含まれている場合、前記履歴情報を前記第1記憶部から取得し、前記ストレージ装置から前記対応情報を取得し、取得した前記対応情報及び前記履歴情報を出力し、前記送信要求が含まれていない場合、前記履歴情報を前記第1記憶部から取得し、取得した前記履歴情報を出力する情報提供部と
    を備えたことを特徴とするストレージ制御装置。
  7. 秘匿情報の代替情報である代替情報を作成し、
    作成した前記代替情報と前記秘匿情報との対応を表す対応情報をストレージ装置に記憶させ、
    前記代替情報を用いてストレージ制御装置の動作の履歴情報を作成し、
    作成した前記履歴情報をメモリに格納し、
    情報提供要求を受けて、前記情報提供要求に前記対応情報の送信要求が含まれているか否かを判定し、
    前記送信要求が含まれている場合、前記履歴情報を前記メモリから取得し、前記ストレージ装置から前記対応情報を取得し、取得した前記対応情報及び前記履歴情報を出力し、
    前記送信要求が含まれていない場合、前記履歴情報を前記メモリから取得し、取得した前記履歴情報を出力する、
    処理をコンピュータに実行させることを特徴とするストレージ制御プログラム。
JP2015027866A 2015-02-16 2015-02-16 ストレージシステム、ストレージ制御装置及びストレージ制御プログラム Expired - Fee Related JP6492731B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2015027866A JP6492731B2 (ja) 2015-02-16 2015-02-16 ストレージシステム、ストレージ制御装置及びストレージ制御プログラム
US15/005,291 US20160239231A1 (en) 2015-02-16 2016-01-25 Storage system, storage control device, and computer-readable recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015027866A JP6492731B2 (ja) 2015-02-16 2015-02-16 ストレージシステム、ストレージ制御装置及びストレージ制御プログラム

Publications (2)

Publication Number Publication Date
JP2016151822A JP2016151822A (ja) 2016-08-22
JP6492731B2 true JP6492731B2 (ja) 2019-04-03

Family

ID=56621212

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015027866A Expired - Fee Related JP6492731B2 (ja) 2015-02-16 2015-02-16 ストレージシステム、ストレージ制御装置及びストレージ制御プログラム

Country Status (2)

Country Link
US (1) US20160239231A1 (ja)
JP (1) JP6492731B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019066917A (ja) * 2017-09-28 2019-04-25 京セラドキュメントソリューションズ株式会社 電子機器、及び翻訳支援方法
US12013970B2 (en) * 2022-05-16 2024-06-18 Bank Of America Corporation System and method for detecting and obfuscating confidential information in task logs

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005025518A (ja) * 2003-07-02 2005-01-27 Fuji Electric Systems Co Ltd ドア駆動制御装置及びドア駆動制御装置の保守方法
JP4672518B2 (ja) * 2005-10-18 2011-04-20 株式会社日立製作所 情報処理装置、情報処理装置の制御方法、及びプログラム
JP5018541B2 (ja) * 2008-02-19 2012-09-05 富士ゼロックス株式会社 情報処理装置および履歴情報管理プログラム
EP2260397A4 (en) * 2008-04-02 2013-05-29 Hewlett Packard Development Co CHANGING DISK DRIVE DATA
US8166313B2 (en) * 2008-05-08 2012-04-24 Fedtke Stephen U Method and apparatus for dump and log anonymization (DALA)
WO2010038764A1 (ja) * 2008-10-01 2010-04-08 株式会社Icon 暗号化装置、暗号化方法およびプログラム
JP2011065364A (ja) * 2009-09-16 2011-03-31 Konica Minolta Business Technologies Inc ログ管理装置、ログ管理方法、およびコンピュータプログラム
JP5757072B2 (ja) * 2010-08-13 2015-07-29 日本電気株式会社 ログ作成装置、ログ作成方法およびログ作成プログラム
US9202078B2 (en) * 2011-05-27 2015-12-01 International Business Machines Corporation Data perturbation and anonymization using one way hash
US9223987B2 (en) * 2011-11-28 2015-12-29 International Business Machines Corporation Confidential information identifying method, information processing apparatus, and program
JP5895782B2 (ja) * 2012-09-14 2016-03-30 富士通株式会社 通信システム、通信装置、通信方法、および、通信プログラム
US9223995B1 (en) * 2013-12-10 2015-12-29 Progress Software Corporation Semantic obfuscation of data in real time
US20150261916A1 (en) * 2014-03-11 2015-09-17 Cerner Innovation, Inc. System Development Dataset Preparation

Also Published As

Publication number Publication date
US20160239231A1 (en) 2016-08-18
JP2016151822A (ja) 2016-08-22

Similar Documents

Publication Publication Date Title
JP4762693B2 (ja) ファイルサーバ、ファイルサーバのログ管理システム及びファイルサーバのログ管理方法
US10353790B1 (en) Disaster recovery rehearsals
US20040049553A1 (en) Information processing system having data migration device
US9442809B2 (en) Management computer used to construct backup configuration of application data
JP5165206B2 (ja) バックアップシステムおよびバックアップ方法
US11169835B1 (en) VM data migration between storage devices
US20080005288A1 (en) Storage system and data replication method
JP2005196683A (ja) 情報処理システム、情報処理装置、及び情報処理システムの制御方法
US20110061049A1 (en) Storage system, and remote copy control method therefor
US9600376B1 (en) Backup and replication configuration using replication topology
JP2009211664A (ja) バックアップデータ管理システム及びバックアップデータ管理方法
US20150006691A1 (en) Managing rogue cloud provider operations
JP2015060285A (ja) クラウドコンピューティングでのグローバルトランザクション処理方法
JP6492731B2 (ja) ストレージシステム、ストレージ制御装置及びストレージ制御プログラム
JP4607981B2 (ja) コピー制御装置、コピー制御方法およびコピー制御プログラム
US11281550B2 (en) Disaster recovery specific configurations, management, and application
CN111522499A (zh) 运维数据读取装置及其读取方法
JP2023125812A (ja) コピー制御装置及び方法
JP2015060286A (ja) クラウドコンピューティングでの遅延処理方法
JP2006072684A (ja) ストレージネットワークシステム及び管理サーバ、ホストとストレージ装置
JP2013131158A (ja) 自動仮想化プログラム、自動仮想化方法及び情報処理装置
JP2017097416A (ja) 制御装置,ストレージシステムおよび制御プログラム
KR101618992B1 (ko) 가상 데스크탑 서비스 제공 시스템 및 그 제어방법과, 그 제어방법을 실행하기 위한 프로그램을 기록한 기록 매체와, 하드웨어와 결합되어 그 제어방법을 실행시키기 위하여 매체에 저장된 애플리케이션
US20160275293A1 (en) Information processing system and control method of the information processing system
JP2023005547A (ja) デジタルツイン制御装置、デジタルツイン制御方法、及び、デジタルツイン制御プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171215

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180718

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180724

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180920

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181204

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190124

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190205

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190218

R150 Certificate of patent or registration of utility model

Ref document number: 6492731

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees