JP6849672B2 - アプリケーションのセキュリティ及びリスクの評価及び試験のためのシステム及び方法 - Google Patents

アプリケーションのセキュリティ及びリスクの評価及び試験のためのシステム及び方法 Download PDF

Info

Publication number
JP6849672B2
JP6849672B2 JP2018517443A JP2018517443A JP6849672B2 JP 6849672 B2 JP6849672 B2 JP 6849672B2 JP 2018517443 A JP2018517443 A JP 2018517443A JP 2018517443 A JP2018517443 A JP 2018517443A JP 6849672 B2 JP6849672 B2 JP 6849672B2
Authority
JP
Japan
Prior art keywords
application
security
test
information
deployed
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018517443A
Other languages
English (en)
Other versions
JP2019501436A (ja
Inventor
ヘルネック アンディ
ヘルネック アンディ
ケー.チャン ジェイソン
ケー.チャン ジェイソン
Original Assignee
ネットフリックス,インコーポレイティド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ネットフリックス,インコーポレイティド filed Critical ネットフリックス,インコーポレイティド
Publication of JP2019501436A publication Critical patent/JP2019501436A/ja
Application granted granted Critical
Publication of JP6849672B2 publication Critical patent/JP6849672B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0635Risk analysis of enterprise or organisation activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software
    • G06F11/3668Software testing
    • G06F11/3672Test management
    • G06F11/3688Test management for test execution, e.g. scheduling of test suites
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Theoretical Computer Science (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Economics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Computer Security & Cryptography (AREA)
  • Tourism & Hospitality (AREA)
  • Marketing (AREA)
  • General Business, Economics & Management (AREA)
  • Operations Research (AREA)
  • Software Systems (AREA)
  • Development Economics (AREA)
  • Data Mining & Analysis (AREA)
  • Educational Administration (AREA)
  • Game Theory and Decision Science (AREA)
  • Computing Systems (AREA)
  • Debugging And Monitoring (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Computer And Data Communications (AREA)
  • Stored Programmes (AREA)

Description

本開示は、計算環境にデプロイされたアプリケーションのセキュリティ評価及び試験一般に関する。
様々なサービスを提供するために連動して動作する多くの計算装置に、ますます多くの情報が保存され、アクセスされるようになっている。例えば、電子メールの利用者は、電子メールサービスプロバイダネットワークの境界に構成された認証サーバと通信するためにクライアント計算装置を用いることができる。電子メールの利用者が電子メールストレージサーバの電子メールにアクセスできるのは、これらの3つの装置が相互に通信して外見的には単一のインターネットサービスを提供していることによる。
サービスプロバイダネットワークは、メディアへのアクセス、通信プラットフォーム、銀行取引や商取引その他のため、そのようなネットワークへの依存と利用の増加に伴い拡大してきた。サービスプロバイダネットワークの複雑さには、ネットワークの内部及びネットワークの境界に位置する多くの様々な装置で実行される多くの様々なアプリケーションが含まれ、サービスプロバイダが物理的に制御するネットワークの外部で動作する装置も含まれ得る。
これらのネットワークの規模と複雑さの拡大、及びそこで動作するアプリケーションの数の増加は、これらの環境のセキュリティを維持するための取り組みを複雑化させてきた。そして、消費者や企業がそのようなネットワークにますます依存し始めたこと、即ちそれらがインターネットを介してそのようなネットワークにどこからでもアクセスし得るようになったことに伴い、それらの消費者や企業はますます多くの機密情報を交換している。サービスプロバイダネットワークのセキュリティを改良するために多くの様々な技術が開発されてきたが、これらの技術は完全に要求を満たすものとは示されていない。
本開示のいくつかの実施例による、アプリケーションセキュリティサーバを含むアプリケーションセキュリティシステムのブロック図である。 本開示のいくつかの実施例による、図1のアプリケーションセキュリティサーバとして採用されうる計算装置のブロック図である。 本開示のいくつかの実施例による、図1のアプリケーションセキュリティサーバと関連して提供されうる例示的なユーザインタフェースである。 本開示のいくつかの実施例による、図1のアプリケーションセキュリティサーバと関連して提供されうる例示的なユーザインタフェースである。 本開示のいくつかの実施例による、図1のアプリケーションセキュリティサーバと関連して提供されうる例示的なユーザインタフェースである。 本開示のいくつかの実施例による、サービスプロバイダネットワークにデプロイされたアプリケーションを評価し、分類し、試験する方法を説明するフロー図である。 本開示のいくつかの実施例による、サービスプロバイダネットワークにデプロイされたアプリケーションを評価し、分類し、試験する他の方法を説明するフロー図である。
当業者は、以下の詳細な説明を参照することにより、これらの図をよりよく理解するであろう。
上記で簡単に説明した図面を参照し、本開示によるシステムおよび方法の適用の一例を本節において説明する。これらの例は背景を補足し、発明の理解を助けるために提供されるものである。したがって、本発明がこれらの具体的詳細のいくつかまたは全てを伴わずに実施され得ることは当業者にとって明らかである。他の例において、本開示が不必要に分かりづらくなることを避けるため、いくつかの周知の処理手順は具体的詳細にわたっては説明されていない。さらに、本明細書で説明される概念や原理の他の応用は可能な応用であり、下記の例は限定的に解釈されるべきではない。例えば、本明細書で開示される例の多くはストリーミングビデオサービスに関連するアプリケーションの評価、分類、および試験に向けられたものであるが、説明されるその原理および概念は多くのアプリケーション及びサービスプロバイダネットワークの安全な管理及び保守により一般的に適用され得る。
下記の詳細な説明において、説明の一部を形成する、本開示のいくつかの具体的な実施例を図示した添付図面が参照される。これらの実施例は当業者が発明を実施することが可能となるように十分に詳細に説明されているが、これらの実施例は限定的ではなく、他の実施例を用い、発明の趣旨および範囲を逸脱することなく変更を加えることができるものと理解される。例えば、この開示の範囲内の変更には、異なるシステムや装置上での動作や、異なる順番での動作、等が含まれ得る。
装置、システム、及び方法が、計算環境内で動作する多数のアプリケーションに関連付けられたセキュリティリスクを評価し、分類するために提供される。計算環境はサービスプロバイダネットワークであってよく、その実施例には内部ネットワーク環境と、サービスプロバイダに代わって第三者によって運用されるクラウド計算基盤のアカウントのような外部ネットワーク環境とが含まれてよい。顧客にサービスを提供するために、サービスプロバイダネットワークにはサービスプロバイダによって提供される一つ以上の様々なサービスの多くの様々な部分を提供するために協働する多くの様々なアプリケーションが含まれ得る。例えば、サービスプロバイダは顧客にストリーミングメディアサービスを提供するためにサービスプロバイダネットワークを運用してよい。サービスプロバイダは、サービスプロバイダの顧客に対してそれらのストリーミングメディアサービスを提供する場合、サービスプロバイダネットワークに含まれる一元化された計算環境として顧客に提供されるストリーミングメディアサービスのようなサービス指向アーキテクチャの中で一括して提供される、レコメンドアプリケーション、インタフェースアプリケーション、ストリーミングメディアアプリケーション、課金及び支払アプリケーションその他のアプリケーションを備えてよい。サービス指向アーキテクチャを伴う大規模なサービスプロバイダネットワークにおいて、このようなアプリケーションは優に数千、又は数万を数えることがある。
各アプリケーションは潜在的なセキュリティリスクを引き起こす。しかしながら、いくつかのアプリケーションは他のアプリケーションよりも大きなセキュリティリスクを引き起こすことがある。例えば、あるアプリケーションがサービスプロバイダのサービスの利用者のクレジットカード番号と住所を入手できるような場合は、サービスプロバイダは、データ漏洩が生じた場合に顧客の信用低下のみならず法定刑罰をも科されることとなり得る。その一方、アプリケーションの欠陥が利用者の電子メールアドレスのみを漏洩した場合、利用者に対する潜在的な不利益は大幅に少ない。さらに、いくつかのアプリケーションは、他のアプリケーションに頻繁に依存されることがある。そのようなアプリケーションに関する不具合は、他の依存されているアプリケーションの多くに潜在的に悪影響をもたらし、アプリケーションの間の依存又は依存関係のために動作停止やアベイラビリティへの影響を引き起こすことがある。その結果、アプリケーションは、当該アプリケーションが通信し、又は依存するアプリケーションに基づくセキュリティリスクを引き起こすことがある。さらに、いくつかのアプリケーションは他のアプリケーションよりもサービスプロバイダネットワーク内で多くインスタンス化されることがある。所定のアプリケーションに係るより多くのインスタンスが存在するとき、そのアプリケーションに関連付けられる不具合はより大きなセキュリティの脅威を引き起こすことがある。
本開示の実施例では、アプリケーションセキュリティ情報、即ちアプリケーションにより引き起こされる潜在的なセキュリティリスクに関係し又は潜在的なセキュリティリスクを示す情報が収集され、そのアプリケーションに関連付けられたセキュリティリスクスコア及び/又はセキュリティレベルが決定され得る。サービスプロバイダの全システム内において、特定のアプリケーションに関連付けられたセキュリティリスクスコアは動的に変動してよい。例えば、ストリーミングメディアサービスにとっての夕方のような、サービスプロバイダのサービスの利用が増加している時間は、特定のアプリケーションのインスタンスの数は大幅に増加することがある。アプリケーションに関連付けられたセキュリティリスク、ひいてはセキュリティリスクスコアは、インスタンスの数が増加することに伴い増加してよい。他の例として、新たな機能がサービスプロバイダシステムの顧客に対して展開されたとき、新たな機能に関連付けられたアプリケーションは、新たな機能を採用し且つ利用する利用者の数が増加することに伴い、セキュリティリスクの増加を引き起こすことがある。
アプリケーションセキュリティ情報の更なる例において、アプリケーションの間の依存関係、アプリケーションの各インスタンスに適用可能なセキュリティグループ又は分類、並びに、特にプロダクションビルド及びテストビルドのような複数のビルドが同時にデプロイされている場合におけるアプリケーション又は個別のインスタンスに関連付けられたビルド情報が含まれてよい。例えば、より新しいビルド又はより古いビルドは、より大きい又はより小さいセキュリティリスクを引き起こすと管理セキュリティ担当者に判断され、それ故により新しいビルド又はより古いビルドについて計算されたセキュリティリスクスコアは、より高く又はより低くなることがある。アプリケーションセキュリティ情報の他の例には、アプリケーションの所有者又はその開発者、アプリケーションによって利用されるポート、プロトコル、及び/又はドメインネームシステム(DNS)ネームが含まれてよい。さらに、アプリケーションがインターネットに面しているか否か、例えば、サービスプロバイダの内部ネットワーク環境の境界で動作しているか否か、はセキュリティリスクの有用な指標となり得る。いくつかの実施例において、アプリケーションは、潜在的なセキュリティリスクを示す属性を手動でタグ付けされ得る。例えば、アプリケーションは、それが処理するデータの種別に基づいて機密であるとタグ付けされ得る。支払情報を処理するアプリケーションは、そのようなアプリケーションセキュリティシステムによって読み取り可能なタグを含むようにプログラムされ得る。ソースコードの位置又はソースコード自体から得られる情報もまた、試験を実施されている所定のアプリケーションについてのセキュリティリスクスコアを計算する処理のためのアプリケーションセキュリティ情報となり得る。
適切なセキュリティ試験レジームを提供し、実行するため、セキュリティリスクスコアに基づき、サービスプロバイダシステム内に存在するアプリケーションは格付けされ、優先度付けされ、及び/又は分類されてよい。さらに、個別のアプリケーションのセキュリティリスクスコアに基づき、個別のアプリケーションのために記録要求、アクセス制御、並びに他の制御及び/又は監視技術が要求されてよい。例えば、所定の実施例において、アプリケーションのセキュリティリスクスコアは、100を最大のセキュリティリスクを引き起こすアプリケーションに関連付けられた最高のスコアとし、0から100までにわたってよい。いくつかの実施例において、アプリケーションセキュリティシステムは、本明細書で説明されるように、80よりも大きいスコアを獲得した全てのアプリケーションは自動化されたセキュリティ試験又はセキュリティ試験モジュールの第一の試験レジームを課されるべきであり、80以下だが60より大きいスコアを獲得した全てのアプリケーションは自動化された試験の第二の試験レジームを課されるべきであると表明してよい。セキュリティ試験の第一のレジームは、自動化された試験の第二のレジームより多くの、またはより厳格な試験を含み得る。他の実施例において、60よりも大きいスコアを獲得した全てのアプリケーションは、管理セキュリティ担当者による侵入試験のような手動セキュリティ試験のためにフラグを立てられ、又はリストに含められ、60以下だが50より大きいスコアを獲得した全てのアプリケーションは第一のセキュリティ試験を2週間ごとに課され、50以下だが40より大きいスコアを獲得した全てのアプリケーションは第一のセキュリティ試験を1月ごとに課されてよい。
本開示のいくつかの実施例において、セキュリティ試験レジームが、サービスプロバイダの全システムの一部であるセキュリティ試験システムと接続して自動的に実行されてよい。本開示の他の実施例において、特定のセキュリティ試験レジームの提案が、ユーザインタフェースを介してアクセスされる通知の中で管理セキュリティ担当者に対して提供されてよい。
さらに、セキュリティ試験レジームへの準拠性は、セキュリティ試験システムから試験情報を受信することによって判定されてよい。特定のアプリケーションに関して、試験情報には、実行された試験の種別と、それらの試験が実行された最も近い試験の時刻又は日付とを示すものでよい。いくつかの実施例において、試験情報は所定のアプリケーションに関連付けられたセキュリティリスクスコアを計算するために用いられてよい。例えば、第一のアプリケーションが1週ごとにセキュリティ試験を課されている場合、その事実はそのアプリケーションのセキュリティリスクスコアを低下させてよい。
今日のサービスプロバイダネットワークに存在する膨大な数のアプリケーションは、手動によるセキュリティ評価の手法を困難にしている。本明細書で説明されるように、セキュリティ評価には特定のアプリケーションのセキュリティの判定と、起こり得るセキュリティ上の欠陥や過失を想定したそのアプリケーションのリスクの判定が含まれ得る。さらに、アプリケーションに関連付けられたセキュリティのレベルとリスクのレベルは、そのアプリケーション自身に関連付けられる変化、他の関係するアプリケーションに関連付けられる変化、並びにサービスプロバイダネットワークの利用法及び機能の変化に基づいて素早く突然に変動してもよい。本開示の実施例はそのようなアプリケーションのセキュリティ及びリスクの評価、分類及び試験(手動及び/又は自動化された試験を含む)を大幅に促進するものである。
図1を参照すると、サービスプロバイダシステム100にデプロイされたアプリケーションセキュリティシステムのブロック図が示される。サービスプロバイダシステム100には、アプリケーションセキュリティサーバ102が含まれてよく、アプリケーションセキュリティサーバ102は、当該アプリケーションサーバ102で実行されるセキュリティアプリケーション104を備える。アプリケーションセキュリティサーバ102は、いくつかのデータベースシステム106内の情報にアクセスし、データベースシステム106に情報を保存し得る。いくつかの実施例において、データベースシステム106は、アプリケーションセキュリティサーバ102のメモリに存在する。サービスプロバイダシステム100には、内部計算環境108Aを構成し、又はこれに含まれる複数のコンポーネントと、外部計算環境108Bに含まれるコンポーネントとが含まれてよい。内部計算環境108Aと外部計算環境108Bは図1に破線で分けられて図示されている。
本明細書で説明されるように、アプリケーションセキュリティサーバ102の実施例には、一つ以上のストレージシステム又は装置と通信する処理装置が含まれてよい。アプリケーションセキュリティサーバ102は、ネットワーク上に配置された複数の資源から情報を受信するように構成され、その情報に基づいて、複数のアプリケーションについてのセキュリティリスクスコアを計算し得る。例えば、アプリケーションセキュリティサーバ102はカリフォルニア州ロスガトスのネットフリックス,インコーポレイティドのようなサービスプロバイダによって運用されてよく、サービスプロバイダはユーザアカウントを作成し、映画、テレビ番組及び他の映像及び/又は音声をベースとしたプログラムのようなメディアコンテンツを受領及び開示し、並びにそのようなメディアコンテンツに関してユーザが交流することを許可するためのシステムをも運用してよい。
サービスプロバイダシステム100には、クラウド基盤110のアカウントが含まれてよい。図示するように、クラウド基盤110には、複数の資源又は資源インスタンスが含まれる。これらの資源は物理的なサーバ、ストレージ装置、及びネットワーク装置であってよく、仮想的なサーバ、仮想的なストレージ装置、及び/又は仮想的なネットワーク装置と解釈されてもよい。アプリケーションインスタンス114A及びアプリケーションインスタンス114Bは、それぞれ資源インスタンス112A及び資源インスタンス112B上で実行され得る。
上記のとおり、図1は、アプリケーションセキュリティサーバ102がネットワーク120を介してクラウド基盤110と通信し得ることを図示する。クラウド基盤110には、複数の資源インスタンス112A及び資源インスタンス112B並びに他の資源インスタンスを提供するように構成された複数のサーバ及びストレージ装置が含まれてよい。例えば、適切なクラウド基盤110の多くの例のうちの一つは、アマゾンウェブサービス,インコーポレイティド(AWS)によって提供される分散コンピューティング、ストレージ、及びネットワークの基盤、又はこれに類似するものであってよい。クラウド基盤110の非限定的な例がAWSであるとすると、例示的な資源インスタンス112A及び資源インスタンス112Bは複数のアマゾンエラスティックコンピューティングクラウド(EC2)インスタンス、アマゾンリレーショナルデータベースサービス(RDS)インスタンスのような複数のデータベースインスタンス、及びアマゾンシンプルストレージサービス(S3)バケットのようなストレージインスタンスにより提供され、資源インスタンス112A及び資源インスタンス112Bのそれぞれは、複数の計算装置及び/又はストレージ装置によって提供されてよい。アプリケーションセキュリティサーバ102の運用者は、アプリケーションインスタンス114A及びアプリケーションインスタンス114BがAWSのような第三者である運用者によって所有されるハードウェア上で実行されるように、複数のアプリケーションをクラウド基盤110にデプロイし得る。クラウド基盤110を提供するために、他のクラウド基盤が用いられてもよい。他の例には、センチュリーリンク,インコーポレイティドによって提供されるセンチュリーリンククラウド、マイクロソフト,インコーポレイティドによって提供されるマイクロソフトアズュール、及びラックスペース,インコーポレイティドによって提供されるサービス、その他のクラウドサービスが含まれてよい。
いくつかの実施例において、クラウド基盤110には、アプリケーションインスタンス114A及びアプリケーションインスタンス114Bに関連付けられたアプリケーションセキュリティ情報を収集可能な監視サービス116が含まれる。監視サービス116は、サービスプロバイダの顧客に対して一つ以上のサービスを提供するためにサービスプロバイダによってデプロイされたアプリケーションであってもよく、又は、アプリケーションインスタンスを監視するためにサービスプロバイダシステム100の運用者によってデプロイされたアプリケーションであってもよい。いくつかの実施例において、監視サービス116は複数のアプリケーションによって提供されてもよい。例えば、監視サービス116にはネットフリックス,インコーポレイティドによって作成されたウェブベースのクラウド管理及び展開ツールであるASGARDが含まれてよい。他の実施例には、監視サービス116の他の実装が含まれてよい。監視サービス116は、クラウド基盤110内にデプロイされたサービスプロバイダのアプリケーションと、それらのアプリケーションの間の相互依存関係を特定することがある。例えば、アプリケーションインスタンス114Aは、その目的である特定のサービスを提供するためにアプリケーションインスタンス114Aに必要とされる情報にアクセスするため、アプリケーションインスタンス114Bに依存し、及びこれと通信することがある。監視サービス116は、アプリケーションインスタンス114Bに対するアプリケーションインスタンス114Aの依存関係を表すアプリケーションセキュリティ情報を収集し、及び/又は生成してよい。監視サービス116は、アプリケーションインスタンス114Aとアプリケーションインスタンス114Bとに関連付けられたセキュリティグループ又はセキュリティタグの識別子を含めてよい。
これらのアプリケーションインスタンス114A及びアプリケーションインスタンス114Bは、サービスを受けるためにサービスプロバイダシステム100にアクセスする顧客にサービスを提供するため、サービスプロバイダシステム100の一部としてサービスプロバイダに利用されることがある。サービスプロバイダによって提供されるサービスは、ストリーミングメディアサービス、ダウンロード型メディアサービス、並びに電子メールサービス、メッセージング又はコミュニケーションサービス、銀行取引サービス、電子商取引サービス、及び/又は他のそのようなサービスであってよい。アプリケーションインスタンス114A及びアプリケーションインスタンス114Bは、セキュリティグループに関連付けられ又はサービスプロバイダの種別に依存するセキュリティタグを備え得る。顧客は、ネットワーク120を介して、クラウド基盤110内にデプロイされたアプリケーションインスタンス114A及びアプリケーションインスタンス114Bを含むサービスプロバイダシステム100とやり取りするため、顧客装置118を利用し得る。
本明細書で説明されるように、アプリケーションセキュリティサーバ102と、クラウド基盤110と、図1に示される他のコンポーネント及び装置との間のデータ通信は、LAN、WAN、WWAN、WLAN、携帯電話ネットワーク、固定電話ネットワーク、又は他の適当なネットワークを含むネットワーク120を介して送信され得る。ネットワーク120には複数の連結されたネットワークが含まれてよい。図1に示されるように、ネットワーク120には、アプリケーションセキュリティサーバ102と内部装置130の集合との間の通信がパブリックに利用可能な通信回線を経由せず、又はパブリックに利用可能な通信回線を通過するために適切に暗号化されたような、プライベートなネットワークが含まれてよい。例えば、アプリケーションセキュリティサーバ102とクラウド基盤110との間の通信は、インターネットのようなパブリックなネットワークを介して仮想ネットワークを提供するために暗号化されてよい。顧客装置118は、一つ以上の内部装置130及び/又はクラウド基盤110とインターネットを介して通信してよい。その結果、図示されたネットワーク120には、仮想プライベートネットワーク(VPN)を含むプライベートネットワークと、パブリックなネットワークとが含まれてよい。
サービスプロバイダシステム100の内部計算環境108Aにおいて、アプリケーションセキュリティサーバ102はネットワーク120を介して内部装置130の集合と通信し得る。図示されるように、これらの内部装置130には、ストレージ装置132、ネットワーク装置134、計算装置136が含まれ得る。ストレージ装置132には、一つ以上のハードドライブ、RAID構成、ストレージエリアネットワーク(SAN)、及び/又は他のシステムのようなストレージ装置が含まれてよい。ストレージ装置132には、サービスプロバイダシステム100内において、内部装置130とクラウド基盤110の資源インスタンス112A及び資源インスタンス112Bとの両者のうち少なくとも一方にデプロイされたアプリケーションの全て又はいくつかについてのソースコードを格納するソースコードリポジトリ133が含まれてよい。ストレージ装置132には、本明細書で説明される様々な他の発生源から取得され得るアプリケーションセキュリティ情報も含まれてよい。ネットワーク装置134にはストレージ装置132、計算装置136、及び他の装置がネットワーク120を介して通信することを許可するスイッチ、ルータ、及び他のネットワーク装置が含まれてよい。
計算装置136は、例示的なアプリケーションインスタンス138A、アプリケーションインスタンス138B、及びアプリケーションインスタンス138Cとして図示される、複数のアプリケーションインスタンスを実行するサーバのクラスタのような複数のサーバであってよい。例示的なサーバには、例えば、MICROSOFT(登録商標)OS、UNIX(登録商標)OS、LINUX(登録商標)OS又は他の適切なサーバオペレーティングシステムのようなサーバオペレーティングシステム(OS)を実行するスタンドアローン及びエンタープライズ級のサーバが含まれてよい。
内部装置130には、内部装置130内で動作する複数のサービスが含まれてよい。例えば、アプリケーションインスタンス138A、アプリケーションインスタンス138B、及びアプリケーションインスタンス138Cが配置されたとき、アプリケーションインスタンス138A、アプリケーションインスタンス138B、及びアプリケーションインスタンス138Cの処理が進行する間に配置されるJAVA(登録商標)アーカイブファイル、即ちJARその他のファイルに基づく依存関係情報を生成するように、内部ウェブサービスフレームワークがサービスプロバイダシステム100に含まれてよい。例えば、内部ウェブサービスフレームワークは、内部装置130の中で動作しているアプリケーションの依存関係のマップを生成するために利用される、ネットフリックス内部ウェブサービスフレームワーク(NIWS)であってよい。いくつかの例において、第一のアプリケーションは、第一のアプリケーションの実行の間に実際には通信しない第二のアプリケーションへの依存関係を示すファイルを配置することがある。その結果、依存関係マップを作成するいくつかの実施例において、上記のインスタンスに関して所定のアプリケーションの実際の依存関係が過剰に表現されることがある。いくつかの実施例において、実際の依存関係情報は、通信されるパケットに関連付けられたイーサネット(登録商標)又はインターネットプロトコル(IP)ヘッダを切り取ることにより、内部装置130の間の通信を監視することで提供されてよい。そして、パケットヘッダから切り取られた情報は、内部装置130にデプロイされたアプリケーションの実際の依存関係マップを作成するために利用されてよい。マップは、サービスプロバイダシステム100内で動作しているインスタンスを有するアプリケーションのリストを生成するために利用され得る。
サービスプロバイダシステム100には、自動化された試験システム140がさらに含まれ得る。自動化された試験システム140は、サービスプロバイダシステム100内に存在するアプリケーションに対して複数のセキュリティ試験を実行するように構成されたツールであってよい。自動化された試験システム140は、例えば試験モジュール142のような一つ以上の試験モジュールのためのプラグインインタフェースを提供してよい。例えば、試験モジュール142は、OWASP Zed Attack Proxy(ZAP)ウェブアプリケーションスキャナ、Nmapセキュリティスキャナ、Nessusスキャナ、又はその他のセキュリティツールのような試験アプリケーション又は試験ツールであってよい。
自動化された試験システム140は、サービスプロバイダシステム100内にデプロイされた一つ以上のアプリケーションのセキュリティ試験を実行するための、試験モジュール142のような一つ以上の試験モジュールを利用するように構成され得る。セキュリティ試験は単一の試験モジュールにより、又は、いくつかの実施例においてある試験モジュールの出力が他の試験モジュールの入力に提供されるような形で複数の試験モジュールにより実行されることがある。自動化された試験システム140により利用される試験モジュールは、いくつかの種別の脆弱性を検査し得る。自動化された試験システム140には、複数のアプリケーションのそれぞれに関連付けられた試験レジームが含まれてよい。例えば、第一のアプリケーションについて、自動化された試験システム140は、毎月特定の時刻に、又は毎週特定の時刻に、といったような明確な予定で特定の試験モジュールの実行を要求する試験レジームを備えてよい。自動化された試験システム140は、サービスプロバイダシステム100内にデプロイされた一つ以上のアプリケーションに関連付けられた試験レジームという形態で、アプリケーションセキュリティサーバ102に対してアプリケーションセキュリティ情報を提供するように構成されてよい。
さらに、アプリケーションセキュリティサーバ102は、特定のアプリケーションのための試験レジームを作成し、修正し、又は削除するように自動化された試験システム140に対して指示するように構成され得る。例えば、アプリケーションセキュリティサーバ102は、第一のアプリケーションに関連付けられたアプリケーションセキュリティ情報を受信し、アプリケーションセキュリティ情報に基づく第一のアプリケーションについてのセキュリティリスクスコアを生成してよい。アプリケーションセキュリティサーバ102は、その第一のアプリケーションのセキュリティリスクスコアを有するアプリケーションには、追加の試験モジュールを第一のアプリケーションの試験レジームに含める必要があると判断してよい。その結果、アプリケーションセキュリティサーバ102は、自動化された試験システム140が適合する試験レジームを修正又は生成するように指示することができる。
一般に、アプリケーションセキュリティサーバ102に用いられ、セキュリティリスクスコアを生成するアプリケーションセキュリティ情報には、デプロイされた第一のアプリケーションのインスタンスの数(デプロイされたインスタンスは、内部計算環境108Aのアプリケーションインスタンス138A、アプリケーションインスタンス138B、及びアプリケーションインスタンス138Cであってよく、及び/又は外部計算環境108Bのクラウド基盤110のアプリケーションインスタンス114A、及びアプリケーションインスタンス114Bであってもよい)、アプリケーション又はアプリケーションのインスタンスが通信するアプリケーションの数、第一のアプリケーションの依存関係情報(正常な機能のために必要とされる情報またはサービスに関して、第一のアプリケーションに依存するアプリケーションと、第一のアプリケーションが依存するアプリケーションとを含み得る)が含まれる。いくつかの実施例において、アプリケーションセキュリティ情報は、第一のアプリケーションが機密情報を含み、若しくはこれにアクセスできる、又はインターネットからアクセス可能な状態にさらされている、即ち悪人が容易に第一のアプリケーションにアクセスすることを許容している、といったようなことを示す、第一のアプリケーションに関連付けられたタグの存在及び同一性であってよい。アプリケーション情報には、第一のアプリケーションがサービスプロバイダシステム100のトポロジーのどこに位置づけられるかの指標が含まれてよい。更なるアプリケーションセキュリティ情報には、第一のアプリケーションが関連付けられたIPアドレス及びアプリケーションのインスタンスがデプロイされたクラウド基盤110の地域が含まれてよい。一般に、アプリケーションがより大きな又はより小さなリスクを引き起こすことを示すいずれの情報も、アプリケーションセキュリティ情報としてアプリケーションセキュリティサーバ102がアプリケーションについてのセキュリティリスクスコアを決定するために利用され得る。
管理セキュリティ担当者又は他のアプリケーションセキュリティサーバ102及びそこで動作しているセキュリティアプリケーション104の利用者は、クライアント装置150を利用することによってアプリケーションセキュリティサーバ102に接続し得る。クライアント装置は、本明細書で説明されるように、サーバに類似した計算装置であってよい。クライアント装置150は、パーソナルコンピュータ、ラップトップコンピュータ、タブレットやスマートフォン、ウェアラブルデバイスのようなモバイルコンピューティングデバイス、及び/又は説明される実施例に適合する計算及び/又は通信機能を有するその他の計算装置であってよい。クライアント装置150には、データストレージ装置又はメモリと通信する処理装置が含まれ、様々な計算及び/又は通信動作を実行するためのシステムプログラム及びアプリケーションプログラムに対応する命令を実行する。例示的なシステムプログラムには、オペレーティングシステム(例えば、iOS、Android OS、LINUX OS、Firefox OS、OS−X、無線のためのバイナリランタイム環境(BREW)OS、Java(登録商標)OS、無線アプリケーションプロトコル(WAP)OS、等)、デバイスドライバ、プログラミングツール、ユーティリティプログラム、ソフトウェアライブラリ、(API)、等が含まれる。図1に示されるように、クライアント装置150は、インタフェース152を提供するためにソフトウェアを実行する。いくつかの実施例において、インタフェース152は、クライアント装置150で実行するインターネットエクスプローラ(登録商標)、クロム(登録商標)、等のようなウェブ閲覧プログラムと関連して提供されることがある。クライアント装置150はネットワーク120を介してアプリケーションセキュリティサーバ102、一つ以上の内部装置130、及び/又はクラウド基盤110と通信し得る。
いくつかの実施例において、アプリケーションセキュリティサーバ102が例えば70、又は30といったしきい値よりも大きいセキュリティリスクスコアを算出したとき、アプリケーションは、クライアント装置150によって表示されるインタフェース152を通して管理セキュリティ担当者に伝えられる優先リストに加えられることがある。図3は、インタフェース152の実施例となり得るユーザインタフェース300を図示している。ユーザインタフェース300は、表302に示される例示的なアプリケーションセキュリティ情報の描写を提供する。表302には、サービスプロバイダシステム100内で検出されたアプリケーションの識別子のリストと、リストに記載された各アプリケーションがどの地域でインスタンス化されたかの表示が含まれる。さらに、表302には、アプリケーションのプロダクションビルド及びテストビルドに関連付けられたインスタンス化情報が含まれる。表302に含まれる情報の一部は、サービスプロバイダシステム100内でインスタンス化されたアプリケーションを特定するためにアプリケーションセキュリティサーバ102に対して提供されることがある。アプリケーションセキュリティサーバ102は、特定されたアプリケーションのそれぞれについてセキュリティリスクスコアを生成し得る。ユーザインタフェース300には、少なくとも名前、セキュリティリスクスコア、及び分類によって表302を管理セキュリティ担当者のようなユーザインタフェースの利用者がソートすることを可能にするユーザインタフェース要素が含まれる。ソートされた情報は自動化された試験システム140のような他の装置に送られることがある。
インタフェース152のさらなる実施例は、それぞれ図4及び図5にユーザインタフェース400及びユーザインタフェース500として図示される。ユーザインタフェース300のように、ユーザインタフェース400及びユーザインタフェース500は、サービスプロバイダシステム100内でインスタンス化されたアプリケーションの試験を評価し、予定し、及び指示するためにアプリケーションセキュリティサーバ102とやり取りするとき、クライアント装置の表示として利用者に提示され得る。ユーザインタフェース400には、単一のアプリケーションの地域的なインスタンス化に関連付けられるセキュリティリスクスコアの表示が含まれる。ユーザインタフェース400には、図2のアプリケーションセキュリティ情報222に含まれることがあるアプリケーションセキュリティ評価基準404のリストに基づくセキュリティリスクスコア要因を含む表402が含まれる。図示されるように、アプリケーションセキュリティ評価基準404には、依存しているアプリケーション、内部計算環境108Aの境界における配置、インスタンスの数、アプリケーションが機密サービスを用いるか否か、及びアプリケーションが機密であるか否かが含まれる。いくつかの実施例において、表402は、アプリケーションが、それがインスタンス化された全ての地域に関連付けられたセキュリティリスクスコアを有し得ることを示す。この情報はアプリケーションのプロダクションビルドとテストビルドの両方について提供される。例えば、1番目の合衆国東部地域(識別子406により特定される)においては、アプリケーションのプロダクションビルドは60のセキュリティリスクスコアを有し、その理由は多数の依存するアプリケーション(443)、少数のインスタンス(12)、及び限定的な機密サービスの利用(1)があることである。インスタンス化が機密であり、これによって25点を受け取っている。表402において観察され得るように、アプリケーションの特定の側面はそれがデプロイされた地域によって異なることがある。
識別子406を選択することによって、ユーザインタフェース500に第一の合衆国東部地域にデプロイされているアプリケーションに関連付けられたより詳細なアプリケーションセキュリティ情報が表示される。ユーザインタフェース500には、アプリケーションセキュリティ情報の表示された各分類について、選択されたアプリケーションについてのその特定のセキュリティ情報の分類に関連付けられた過去のデータを要約したグラフ504を含み得るアプリケーションセキュリティ情報ウィンドウ502が含まれる。過去のデータは、アプリケーションが常時デプロイされていたと想定し、1週間、1月、1四半期、又は1年のような所定の期間にわたってよい。ユーザインタフェース500には、選択されたデプロイ地域においてデプロイされたアプリケーションの一つ以上のインスタンスに関する情報を提供するインスタンスリスト506がさらに含まれてよい。アプリケーションに関連付けられた一つ以上のセキュリティタグをリスト化した情報ウィンドウ508も含まれてよい。さらに、ユーザインタフェース500の利用者がユーザインタフェース400に戻ることなくアプリケーションがデプロイされた異なる地域を選択することを可能にするために、地域選択要素510が含まれてよい。
図3に戻り、ユーザインタフェース300には各アプリケーションに関連付けられたスコア及び分類、階層、又は優先度が含まれる。表302の情報をセキュリティリスクスコア又は優先レベルでソートすることによって、表302に含まれる情報は優先リストを提供することができ、上位20パーセントの点数を与えられたアプリケーションは優先リストに含まれ得る。優先リストは自動化された試験システム140にも送られてよい。いくつかの実施例において、優先リストのアプリケーションは、管理セキュリティ担当者による侵入試験をアプリケーションセキュリティサーバ102によって予定されてよい。いくつかの実施例において、優先リストのアプリケーションは、自動化された試験システム140による試験をアプリケーションセキュリティサーバ102によって予定されてもよい。アプリケーションセキュリティサーバ102は、アプリケーションのセキュリティリスクスコアに基づいてそれらを分割し、又は分類し得る。例えば、アプリケーションセキュリティサーバ102は、第1階層は30以上のセキュリティリスクスコアを有するアプリケーションを含み、第2階層は30未満60以上のセキュリティリスクスコアを有するアプリケーションを含み、第3階層は60未満40以上のセキュリティリスクスコアを有するアプリケーションを含む、等のように、セキュリティリスクスコアの階層を作成してよい。アプリケーションセキュリティサーバ102は、各アプリケーションを、それが所属する階層に基づいて試験レジームに自動的に割り当て得る。例えば、第1階層は管理セキュリティ担当者による習慣的な手動侵入試験と、自動化された試験システム140により頻繁(例えば、毎週)に自動化された試験を予定されてよい。自動化された試験システム140による自動化された試験には、試験モジュール142のような複数の試験モジュールが含まれてよい。第2階層は第1階層のアプリケーションよりも少ない頻度での管理担当者による侵入試験と、自動化された試験システム140によるより少ない頻度での自動化された試験を予定されてよい。第3階層は管理セキュリティ担当者による試験は予定されないが、自動化された試験システム140によって処理される試験レジームによって試験されてよい。その結果、アプリケーションセキュリティサーバ102は、各アプリケーションについて計算されたセキュリティリスクスコア又は各アプリケーションが分類された階層にとって適切な試験レジームを生成し得る。
アプリケーションセキュリティサーバ102はサービスプロバイダシステム100内で動作している全てのアプリケーションを特定し、全てのアプリケーションについてセキュリティリスクスコアを生成し又は計算し得る。全てのアプリケーションについてセキュリティリスクスコアを計算することによって、アプリケーションセキュリティサーバ102は、最も高いセキュリティリスクを引き起こすアプリケーションに管理セキュリティ担当者が時間と資源を向かわせることを支援することができる。さらに、所定のアプリケーションについてのアプリケーションセキュリティ情報はインスタンスの数量が増減し、及び依存関係の数が増減することでいつでも変化し得るため、アプリケーションセキュリティサーバ102は適切なセキュリティ試験レジームを動的に決定し、試験を実行する自動化された試験システム140にそれらを自動的に送ることができる。
図2を参照すると、本明細書で説明される図1のアプリケーションセキュリティサーバ102、クライアント装置150、又は図1に含まれる他の計算装置の実施例、即ち計算装置200の例示的な実施例が示されている。計算装置200には、バス206を介してデータストレージ装置であるメモリ204と通信する、一つ以上のプロセッサ又はCPUのような少なくとも一つの処理装置202が含まれている。バス206はネットワークインタフェース装置208と入出力装置インタフェース210とをさらに連結する。ネットワークインタフェース装置208は、計算装置200が図1のネットワーク120を介して通信することを可能にするネットワークインタフェースカードまたはネットワークインタフェースコントローラ(NIC)であってよい。入出力装置インタフェース210は、ディスプレイ212に表示される情報に関連付けられた一つ以上のグラフィカルユーザインタフェースにデータやコマンドオプションのような情報を表示するために、計算装置200がディスプレイ212に表示される情報を送信することを可能にする。入出力装置インタフェース210は、赤外線又は無線周波数による遠隔制御、キーボード、マウス、タッチスクリーン、等により入出力装置とさらに通信してよい。いくつかの実施例において、入出力装置インタフェース210は、図1の他のシステムが計算装置200と通信する際に用いるアプリケーションプログラミングインタフェース(API)であってよい。計算装置200のいくつかの実施例はいくつかのコンポーネントを含まなくてよい。例えば、サーバは入出力装置インタフェース210又はディスプレイ212を含まなくてよい。
処理装置202は、メモリ204に保存されたソフトウェア及び/又は他の命令203を実行し得る。メモリ204に保存されたソフトウェア及び情報並びに命令203は、計算装置200がアプリケーションセキュリティサーバ102、内部装置130、自動化された試験システム140、クライアント装置150、顧客装置118、又はクラウド基盤110に存在するサーバとして構成されているかによって異なり得る。さらに、計算装置200は、いくつかの計算装置においてクラウド基盤110で構成された資源インスタンスのような仮想計算装置であってよい。図1のセキュリティアプリケーション104は、処理装置202で命令203を実行することによって提供され得る。
図2に図示されるように、メモリ204は、セキュリティアプリケーション220とアプリケーションセキュリティ情報222とを保存する。メモリ204は計算装置の筐体に含まれ、又は計算装置200に接続されてこれと通信する異なる種別のメモリの集合であってよい。例えば、メモリ204には、キャッシュメモリ、RAM、ROM、フラッシュメモリ、ソリッドステートハードドライブ、ディスク型ハードドライブ、及び/又は他の種別の非一時的なメモリ装置が含まれ得る。メモリ204に保存されているように表示されているコンポーネントは、これらの異なる種別のメモリのいかなる組合せにも保存され、又はこれらからアクセスされ得る。
セキュリティアプリケーション220は、図1のサービスプロバイダシステム100内にデプロイされた複数のアプリケーションについてセキュリティリスクスコアを計算するためにセキュリティアプリケーション220の一部として実装される複数の規則やアルゴリズムを利用し得る。例えば、セキュリティアプリケーション220は、第一のアプリケーションがクレジットカード番号のような機密情報へのアクセスを提供し、及び第一のアプリケーションがインターネットに面し又はさらされているといったような、第一のアプリケーションに関連付けられたアプリケーションセキュリティ情報222の一部から判断可能なように構成され得る。アプリケーションセキュリティ情報222のこれら2つの要素に基づいて、処理装置202はこれらの情報の要素が75のセキュリティリスクスコアという結果をもたらすことを計算する命令203を実行する。例えば、セキュリティアプリケーション220は、アプリケーションがクレジットカード番号へのアクセスを提供することを理由として50点をセキュリティリスクスコアに割り当て、アプリケーションがインターネットにさらされていることを理由として25点をセキュリティリスクスコアに割り当ててよい。セキュリティリスクスコアの計算の他の実施例には、本明細書で説明されるようにより多くのアプリケーションセキュリティ情報の要因又は要素が含まれ、より複雑な数式をそのような計算の実行に用い得る。さらに、アプリケーションセキュリティ情報222には、以前に計算された又は過去のセキュリティリスクスコアが含まれてよい。このように、セキュリティアプリケーション220は、アプリケーションのセキュリティリスクスコアに観測された変化又は変化の割合に基づいてセキュリティリスクスコアを計算し得る。
いくつかの実施例において、処理装置202は、セキュリティアプリケーション220を連続的に、又は、1日1回、1日2回、週1回、その他予定された定期的な間隔で実行するように構成される。さらに、セキュリティアプリケーション220は、サービスプロバイダシステム100にデプロイされたアプリケーションのオンデマンド検査を実行するために要求に応じて実行され得る。例えば、新しいセキュリティ上の不具合が発見され、新しい試験モジュール142が新たな不具合について試験するように構成されたとき、オンデマンド検査が実行され得る。いくつかの実施例において、管理セキュリティ担当者は、アプリケーションセキュリティサーバ102と接続するクライアント装置150によって提供されるインタフェース152を用いて、オンデマンド検査の実行を要求し、又は検査の予定を設定し、若しくは修正してよい。
さらに、セキュリティアプリケーション220は、アプリケーションセキュリティ情報222をサービスプロバイダシステム100内の他の装置から受信したときに、これを検査してよい。セキュリティアプリケーション220が所定のしきい値を超過する割合の変化又は数を検出したとき、セキュリティアプリケーション220は環境で動作している全てのアプリケーション、又はそのような全てのアプリケーションの一部であるアプリケーションの検査を自動的に開始してよい。例えば、セキュリティアプリケーション220は、通常は10程度のインスタンスの数を有している特定のアプリケーションのインスタンスの数が1000程度のインスタンスの数を有していることを示すアプリケーションセキュリティ情報222を受信し、処理してよい。特定のアプリケーションのそのようなインスタンスの数の変化を検出すると、セキュリティアプリケーション220は少なくともその特定のアプリケーションのセキュリティリスクスコアの再計算を指示してよい。さらに、セキュリティアプリケーション220は、管理セキュリティ担当者に対する通知を生成し、送信し得る。通知は電子メール、SMSメッセージ、プッシュ通知、ソーシャルストリームへの投稿、又は他の適切なデジタル通知の形態で送られてよい。さらに、セキュリティアプリケーション220のいくつかの実施例は、その特定のアプリケーションに関連付けられた試験レジームを修正するために自動化された試験システム140と自動的に通信し得る。例えば、セキュリティアプリケーション220は、試験モジュール142を用いた即時の試験が実行されるように指示するために特定のアプリケーションに関連付けられた試験レジームを修正するように自動化された試験システム140に指示してよい。
クライアント装置150としての計算装置200の実施例においては、セキュリティアプリケーション220はアプリケーションセキュリティサーバ102と通信するように構成されたクライアントアプリケーションであり得る。計算装置200の他の実施例は、アプリケーションセキュリティサーバ102として構成された計算装置200の他の実施例のセキュリティアプリケーション220と通信するためにクライアント装置150がウェブブラウザを含んだものであり得る。
図6を参照すると、サービスプロバイダシステム内にデプロイされたアプリケーションのセキュリティの評価の実行、スケジューリング及び試験についての方法600のフロー図が示されている。図示されるように、方法600にはいくつかの列挙された手順、ブロック又は工程が含まれる。方法600の実施例には列挙された工程の前、後、間、又はその一部として更なる工程が含まれてよい。方法600の実施例は一つ以上の列挙された工程を除外してよい。本開示のいくつかの実施例には、図2のメモリ204のような非一時的で計算機読み取り可能なストレージ媒体に保存された、図2の命令203のような命令が含まれる。命令が実行されるとき、命令は計算装置200の処理装置202のような処理装置に方法600の実施例に関連付けられた工程を実行させる。方法600の実施例は、それぞれ図1及び図2のセキュリティアプリケーション104及びセキュリティアプリケーション220のようなアプリケーションを実行することにより実行されてもよい。
方法600の実施例は一つ以上のストレージ装置と通信する処理装置が計算環境にデプロイされたアプリケーションのリストを受信する手順602から始まる。アプリケーションのリストはネットワークを介して受信されてよい。例えば、図2の計算装置200の処理装置202は、図3の表302に表示されたものと類似した情報を含むアプリケーションのリストを受信してよい。アプリケーションのリストはデータベースシステム106に保存されたデータベースのようなデータベースとして、又はデータベースから受信されてよい。いくつかの実施例において、アプリケーションのリストは、内部計算環境108Aにデプロイされたアプリケーションインスタンスと、サービスプロバイダによって又はサービスプロバイダを代表して運用される外部計算環境108Bの一部にデプロイされたアプリケーションインスタンスとを含み得る、サービスプロバイダシステム100内にデプロイされたアプリケーションのアプリケーション依存関係のマップとして受信される。アプリケーションのリストを含むアプリケーション依存関係のマップは各アプリケーションのインスタンス化に際して生成され、交換される情報に基づいて生成され得る。いくつかの実施例において、アプリケーションのリスト又はアプリケーションのリストの一部は内部装置130から受信され、及び/又はアプリケーションのリスト又はアプリケーションのリストの一部はクラウド基盤110内で動作している監視サービス116から受信されてよい。
手順604では、処理装置はアプリケーションのリストに含まれる第一のアプリケーションについてセキュリティリスクスコアを計算し得る。例えば、処理装置202は、アプリケーションセキュリティ情報222に含まれる様々な要因に基づいて第一のアプリケーションにリスクスコアの点を割り当てるためにセキュリティアプリケーション220を実行する。例えば、セキュリティアプリケーションは、多数の依存関係を有することについて25点を、機密サービスを利用することについて10点を、機密サービスであることについて25点を付与し得る。これによって、セキュリティアプリケーション220による計算の時点における合計のセキュリティリスクスコアは60となる。
手順606では、処理装置は第一のアプリケーションに関連付けられたセキュリティ優先レベル又は分類を決定するが、その第一のアプリケーションのセキュリティ優先レベルは第一のアプリケーションについてのセキュリティリスクスコアに基づくものであってよい。例えば、処理装置202はセキュリティリスクスコアに応じて第一のアプリケーションをいくつかの分類又は階層の一に分類するためにセキュリティアプリケーション220を実行する。例えば、第一のセキュリティリスク分類には80以上のセキュリティリスクスコアを有するアプリケーションが含まれてよい。第二のセキュリティリスク分類には60以上80未満のセキュリティリスクスコアを有するアプリケーションが含まれてよく、第三のセキュリティリスク分類には40以上60未満等のセキュリティリスクスコアを有するアプリケーションが含まれてよい。いくつかの実施例において、各セキュリティリスク分類は、例えば、「とても高い」、「高い」、「中間」、「低い」、といったように文字列又は色による表現に関連付けられてよく、これらは、本明細書で説明されるように、ユーザインタフェース300、ユーザインタフェース400、又はユーザインタフェース500で通信されてよい。
本開示の実施例は0から100の範囲に及ぶ例示的なセキュリティリスクスコア体系を用いるが、他のスコア体系がこの開示の範囲を逸脱することなく用いられてよい。例えば、セキュリティリスクスコアはいくつかの実施例において100より大きくてよい。一般に、セキュリティリスクスコアは、あるアプリケーションのセキュリティリスクを他のアプリケーションと対照して比較し、及び/又はサービスプロバイダシステム100内に存在するアプリケーションの全てをソートし又は分類するために利用され得る数値的なスコアを規定する。これにより管理セキュリティ担当者が最大の実時間におけるセキュリティリスクを引き起こすアプリケーションのセキュリティ試験の時間を優先度付けすることが可能となる。さらに、セキュリティリスクスコアは、アプリケーションによって引き起こされる特定のセキュリティリスクにとって十分であろう自動化された試験レジームを割り当てられ得るアプリケーションの部分集合を決定するために用いられてよい。
手順608では、処理装置は、ユーザインタフェース内でクライアント装置の利用者に表示するためにネットワークを介してクライアント装置に対して計算環境にデプロイされたアプリケーションの優先リストを送信し得る。例えば、処理装置202は、ユーザインタフェース300(図3)の表302に示された情報を用いてアプリケーションの優先リストを生成し送信するためにセキュリティアプリケーション220を実行してよい。管理セキュリティ担当者は、インタフェース152において優先リストを閲覧するためにクライアント装置150を用いることができる。
方法600のいくつかの実施例では、各アプリケーションに関連付けられたセキュリティ優先レベル又は分類を決定することなく、セキュリティリスクスコアに基づいてアプリケーションが優先度付けされてよい。さらに、方法600のいくつかの実施例には、優先リストを自動化された試験システム140に送信する手順が含まれてよい。いくつかの実施例において、自動化された試験システム140は優先又は分類リスト及び/又はリストに含まれるアプリケーションのセキュリティリスクスコアに基づいて適切な試験レジームを決定してよい。いくつかの実施例において、セキュリティアプリケーション220は、アプリケーションのセキュリティリスクスコアに基づいて試験レジームを生成し、自動化された試験システム140による実行のために自動化された試験システム140に対してネットワーク120を介してそれらの試験レジームを送信してよい。例えば、セキュリティアプリケーション220は、第一のアプリケーションに関連付けられたセキュリティ上の問題を検査するために、試験モジュール142と試験モジュール142を利用する予定を含む第一のアプリケーションのための試験レジームを生成してよい。
複数のアプリケーションについてセキュリティリスクスコアを計算し又は決定する際にセキュリティアプリケーション220によって用いられるアプリケーションセキュリティ情報222には、潜在的なセキュリティリスクを表示するいずれの情報も含まれてよい。例えば、アプリケーションセキュリティ情報222には、第一のアプリケーションのインスタンスの数、アプリケーションのインスタンスがデプロイされた地域、第一のアプリケーションに関連付けられた(バージョン、ビルドの日付、所有者、チームのような)ビルドの情報、第一のアプリケーションの依存関係を示す依存関係マップ、及び/又は第一のアプリケーションに関連付けられたセキュリティタグが含まれてよい。第一のアプリケーションに関連付けられたアプリケーションセキュリティ情報222は、第一のアプリケーションによって利用される一つ以上のポート、一つ以上のプロトコル、及び一つ以上のドメインネームを特定する情報であってもよい。いくつかの実施例において、アプリケーションセキュリティ情報222にはアプリケーションが著作権保護されたコンテンツ、特に暗号化されていない著作権保護されたコンテンツが含まれるメディア情報を処理し、若しくはこれにアクセスし、又はコンテンツの暗号鍵にアクセスするか否かの表示が含まれてよい。
図7を参照すると、サービスプロバイダシステムにデプロイされた複数のアプリケーションのセキュリティ評価の実行及び試験の方法700のフロー図が図示されている。図示されるように、方法700にはいくつかの列挙された手順、ブロック、又は工程が含まれる。方法700の実施例には、列挙された工程の前、後、間、又はその一部として更なる工程が含まれてよい。方法700の実施例には、一つ以上の列挙された工程が除外されてよい。方法700のいくつかの実施例には、図2のメモリ204のような非一時的で計算機読み取り可能なストレージ媒体に保存された図2の命令203のような命令が含まれてよい。命令が実行されるとき、命令は計算装置200の処理装置202のような処理装置に方法700の実施例に関連付けられた工程を実行させる。図1及び図2のセキュリティアプリケーション104及びセキュリティアプリケーション220のようなアプリケーションの実行により、方法700のそれぞれの実施例が行われてもよい。
方法700の実施例は、第一の計算装置が第一のアプリケーションに関連付けられたアプリケーションセキュリティ情報を、ネットワークを介して受信する手順702から始まる。例えば、計算装置200(アプリケーションセキュリティサーバ102として構成されている)の処理装置202は、ネットワークを介して一つ以上の送信元からアプリケーションセキュリティ情報222を受信してよい。例えば、処理装置202はアプリケーションセキュリティ情報222を要求し、及び/又はこれを受信するために内部装置130、自動化された試験システム140、及び/又は監視サービス116と通信してよい。アプリケーションセキュリティ情報222には、図1のサービスプロバイダシステム100内にデプロイされた複数のアプリケーションのそれぞれの潜在的なセキュリティリスクを表示するいずれの情報も含まれてよい。
手順704において、処理装置は、ネットワークを介して受信されたアプリケーションセキュリティ情報に基づいて第一のアプリケーションについてのセキュリティリスクスコアを計算し得る。例えば、処理装置202は、第一のアプリケーションについてのセキュリティリスクスコアを生成するためにセキュリティアプリケーション220を実行してよい。セキュリティリスクスコアは、本明細書で説明されるように、アプリケーションによって引き起こされる潜在的なセキュリティリスクと関係すると判断された様々な要因のそれぞれに対して点数を割り振ることによって計算されてよい。
手順706において、処理装置は、計算されたセキュリティリスクスコアに基づいて第一のアプリケーションのためのセキュリティ試験レジーム提案を生成し得る。例えば、処理装置202は、Nessus及びOWASP ZAP試験モジュールが週1回の頻度でアプリケーションに対して実行されることを示す、アプリケーションのためのセキュリティ試験レジームを生成してよい。セキュリティ試験レジームには他の試験モジュール及び/又は他の定期的な予定が含まれてよい。処理装置202によって生成されたセキュリティ試験レジームの実施例は、第一の試験モジュールが毎週実行されるべきであると指示し、第2の試験モジュールが隔週で実行されるべきであると指示してよい。その結果、処理装置202は第一のアプリケーションに関連付けられたアプリケーションセキュリティ情報によって示された、第一のアプリケーションによって引き起こされる特定のセキュリティリスクに適切なセキュリティ試験レジームを生成することができる。
手順708において、処理装置は第二の計算装置に対してネットワークを介してセキュリティ試験レジーム提案を送信し得る。例えば、処理装置202は自動化された試験システム140での実行のために、自動化された試験システム140に対してセキュリティ試験レジームを含むデジタル形式の命令を送信してよい。いくつかの実施例において、処理装置202は、管理セキュリティ担当者又は他のインタフェース152の利用者に対して提示するため、クライアント装置150に対して推奨されたセキュリティ試験レジームとしてセキュリティ試験レジームを送信してよい。いくつかの実施例において、利用者は自動化された試験システム140による実行の前に提案されたセキュリティ試験レジームを受諾し、拒絶し、又は修正してよい。その結果、処理装置202は実行のために自動化された試験システム140に対して送信する前にセキュリティ試験レジームを受諾し、拒絶し、又は修正する指示を受信することができる。
本明細書で説明されるように、処理装置202がアプリケーションについてセキュリティリスクスコアを計算し及びアプリケーションについてセキュリティ試験レジームを生成するために用い得るアプリケーションセキュリティ情報には、内部計算環境108A内にデプロイされたアプリケーションのインスタンスと外部計算環境108B内にデプロイされたアプリケーションのインスタンスとに関係する情報が含まれてよい。アプリケーションセキュリティ情報には、クラウド基盤にデプロイされた第一のアプリケーションのインスタンスの実時間における数、及び/又はクラウド基盤にデプロイされた第一のアプリケーションのインスタンスの数の増加の割合が含まれてよい。インスタンスの数の増加の割合が採用されたとき、インスタンスの実時間及び過去の数がインスタンスの数の増加(又は減少)の割合を決定するために必要とされることがある。
さらに、方法700のいくつかの実施例には、セキュリティ試験レジーム提案の一部として第一のアプリケーションのソースコードに対するポインタが含まれてよい。ポインタは一つ以上の試験モジュールを用いて試験を行うソースコードの位置を決定するために自動化された試験システム140によって用いられてよい。予定された試験の時、自動化された試験システム140は図1のソースコードリポジトリ133内の適切なソースコードを特定するためのポインタ、アドレス、その他位置を特定する情報を利用してソースコードの写しを取得してよい。いくつかの実施例において、アプリケーションセキュリティサーバ102は、2つのアプリケーションのソースコードに依存関係があるか否かを判定してよい。
本開示のシステム、サーバ、装置、及び方法の実施例は、複雑なサービスプロバイダシステムにデプロイされた多数のアプリケーションのセキュリティ評価、予定、試験を提供し得る。アプリケーションセキュリティサーバ及び/又はセキュリティアプリケーションは、複雑なプロバイダシステムにデプロイされたアプリケーションのそれぞれについてセキュリティリスクスコアを計算するためのアプリケーションセキュリティ情報を処理してよい。アプリケーションセキュリティシステムは、サービスプロバイダシステムのセキュリティと完全性とを維持するために実行されるべき試験であって、適切な自動化された及び/又は手動による試験を、セキュリティリスクスコアに基づいて決定し得る。アプリケーションセキュリティシステムは、管理セキュリティ担当者がサービスプロバイダシステム内にインスタンス化されたアプリケーションの部分集合へのより詳細な侵入試験を実行するための時間と労力を優先度付けすることを可能にする情報を管理セキュリティ担当者に提供してもよい。セキュリティリスクスコアはサービスプロバイダシステム100及びそこにデプロイされたアプリケーションに関する実時間の情報に基づいてもよい。
本開示のある側面は、以下の番号付けされた項で詳説される。
1. アプリケーションセキュリティシステムであって、一つ以上のストレージシステムと通信する処理装置を備えるアプリケーションセキュリティサーバと、ネットワークを介して情報を送信又は受信するよう構成された複数のアプリケーションのインスタンスを実行する複数の計算装置と、複数のセキュリティ試験モジュールを含むセキュリティ試験システムであって、前記セキュリティ試験モジュールは一つ以上の第一のアプリケーションのインスタンスに関連付けられた前記第一のアプリケーションに関連付けられた第一の試験モジュールを含む、セキュリティ試験システムと、を含み、前記アプリケーションセキュリティサーバの処理装置は、前記第一のアプリケーションの現在の依存関係情報を含む、前記第一のアプリケーションに関する情報を読み出し、前記第一のアプリケーションに関する情報に基づいて計算される、前記第一のアプリケーションについてのセキュリティリスクスコアを計算し、前記第一のアプリケーションについての前記セキュリティリスクスコアに基づく、前記第一のアプリケーションに関連付けられるセキュリティ優先レベルを決定し、及び、前記第一のアプリケーションのセキュリティ優先レベルをアプリケーションセキュリティ情報のデータベースにおいて前記第一のアプリケーションに関連付けることを特徴とするアプリケーションセキュリティシステム。
2. 前記アプリケーションセキュリティサーバは、前記第一のアプリケーションに関連付けられた試験情報にアクセスするために前記セキュリティ試験システムと通信し、前記試験情報は、前記第一の試験モジュールが前記第一のアプリケーションを試験するために用いられた最も近い試験時点を表示する、項1に記載のアプリケーションセキュリティシステム。
3. 前記第一のアプリケーションのセキュリティリスクスコアは、前記第一の試験モジュールが前記第一のアプリケーションを試験するために用いられた最も近い試験時点と前記第一のアプリケーションに関連付けられる試験の予定とに基づいて定められる、項1又は項2に記載のアプリケーションセキュリティシステム。
4. 前記第一のアプリケーションに関する情報は、デプロイされた前記第一のアプリケーションのインスタンスの数と、前記第一のアプリケーションに関連付けられた、前記第一のアプリケーションが機密情報を含み、または機密情報へのアクセスを備えているかを表示するタグと、前記第一のアプリケーションが通信するアプリケーションの数と、前記第一のアプリケーションのインターネットからのアクセス可能性と、前記第一のアプリケーションの現在の依存関係情報と、の少なくとも一つを含む、項1乃至項3のいずれか1項に記載のアプリケーションセキュリティシステム。
5. 前記デプロイされた前記第一のアプリケーションのインスタンスの数は、第一の実時間における数であり、前記第一のアプリケーションが通信するアプリケーションの数は、第二の実時間における数である、項1乃至項4のいずれか1項に記載のアプリケーションセキュリティシステム。
6. 前記アプリケーションセキュリティサーバと前記ネットワークを介して通信する、複数のデプロイされたアプリケーションのインスタンスを含む、クラウド基盤をさらに含み、前記第一のアプリケーションは前記デプロイされたアプリケーションのインスタンスの少なくとも一つと通信する、項1乃至項5のいずれか1項に記載のアプリケーションセキュリティシステム。
7. 前記クラウド基盤は、前記クラウド基盤にデプロイされたアプリケーションに関する情報を報告するように構成された監視サービスを含み、前記デプロイされたアプリケーションに関する情報は、前記デプロイされたアプリケーションに関連付けられる、デプロイされたアプリケーションのインスタンスの数とセキュリティ情報とを含む、項1乃至項6のいずれか1項に記載のアプリケーションセキュリティシステム。
8. 前記アプリケーションセキュリティサーバは、各アプリケーションの初期化に際して各アプリケーションから受信された情報に基づくアプリケーションの間の依存関係のマップを含む、項1乃至項7のいずれか1項に記載のアプリケーションセキュリティシステム。
9. 前記アプリケーションセキュリティサーバの前記処理装置は、前記第一のアプリケーションに関連付けられた試験レジームを変更するために、前記セキュリティ試験システムと通信する、項1乃至項8のいずれか1項に記載のアプリケーションセキュリティシステム。
10. 前記試験レジームは、前記第一のアプリケーションの試験に適用される一つ以上の試験モジュールと、前記試験モジュールが前記第一のアプリケーションを試験するためにいつ適用されるかを指示する予定とを含む、項1乃至項9のいずれか1項に記載のアプリケーションセキュリティシステム。
10.1. 一つ以上の処理装置に実行されたときに、項1乃至項10のいずれか1項に記載の機能のいずれかを処理装置に実行させる命令を保存した非一時的で計算機読み取り可能な記憶媒体。
10.2. 一つ以上の処理装置に実行されたときに、項1乃至項10のいずれか1項に記載の機能のいずれかを実現するコンピュータプログラム。
10.3. 一つ以上の処理装置に実行されたときに、項1乃至項10のいずれか1項に記載の機能のいずれかを提供する工程を実行する方法。
11. アプリケーションセキュリティシステムであって、保存された命令を含む、一つ以上のストレージ装置と通信する処理装置と、前記処理装置がネットワークを介して一つ以上の他の装置と通信することを可能とするネットワークインタフェースと、を含み、前記処理装置は、ネットワークを介して計算環境にデプロイされたアプリケーションのリストを受信し、前記アプリケーションのリストに含まれる第一のアプリケーションのセキュリティリスクスコアを計算し、前記第一のアプリケーションについてのセキュリティリスクスコアに基づく、前記第一のアプリケーションに関連付けられるセキュリティ優先レベルを決定し、及び、ユーザインタフェースにおけるクライアント装置の利用者に対する提示のために、前記ネットワークを介して前記クライアント装置に対して前記計算環境にデプロイされたアプリケーションの優先度付けされたリストを送信する命令を実行することを特徴とする、アプリケーションセキュリティシステム。
12. 前記処理装置は、前記一つ以上の他の装置に対してアプリケーションセキュリティ情報を要求するために前記命令をさらに実行し、前記アプリケーションセキュリティ情報は、前記第一のアプリケーションのインスタンスの数と、前記第一のアプリケーションがデプロイされた地域と、前記第一のアプリケーションに関連付けられるビルド情報と、前記第一のアプリケーションが通信するように構成されたアプリケーションのリストと、前記第一のアプリケーションに関連付けられるセキュリティタグと、の少なくとも一つを含む、項11に記載のアプリケーションセキュリティシステム。
13. 前記第一のアプリケーションに関連付けられた前記アプリケーションセキュリティ情報は、前記第一のアプリケーションによって利用されるポート、プロトコル、またはドメインネームシステム(DSN)ネームを特定する、項11又は項12に記載のアプリケーションセキュリティシステム。
14. 前記第一のアプリケーションに関連付けられる前記セキュリティ優先レベルは、前記第一のアプリケーションが管理セキュリティ担当者の手動試験過程を受ける予定であることを示し、前記処理装置は、前記第一のアプリケーションに関連付けられる前記セキュリティ優先レベルを前記管理セキュリティ担当者に伝える電子的通知を送信するために前記命令を実行する、項11乃至項13のいずれか1項に記載のアプリケーションセキュリティシステム。
14.1. 一つ以上の処理装置に実行されたときに、項11乃至項14のいずれか1項に記載の機能のいずれかを処理装置に実行させる命令を保存した非一時的で計算機読み取り可能な記憶媒体。
14.2. 一つ以上の処理装置に実行されたときに、項11乃至項14のいずれか1項に記載の機能のいずれかを実現するコンピュータプログラム。
14.3. 一つ以上の処理装置に実行されたときに、項11乃至項14のいずれか1項に記載の機能のいずれかを提供する工程を実行する方法。
15. 第一の計算装置の処理装置が、ネットワークを介して第一のアプリケーションに関連付けられるアプリケーションセキュリティ情報を受信することと、前記ネットワークを介して受信される前記アプリケーションセキュリティ情報に基づいて第一のアプリケーションについてのセキュリティリスクスコアを計算することと、前記計算されたセキュリティリスクスコアに基づいて前記第一のアプリケーションのためのセキュリティ試験レジーム提案を生成することと、第二の計算装置に対して前記ネットワークを介して前記セキュリティ試験レジーム提案を送信することと、を含む方法。
16. 前記第一のアプリケーションはクラウド基盤にデプロイされ、前記第一のアプリケーションに関連付けられる前記アプリケーションセキュリティ情報を受信することは、前記クラウド基盤の中で動作する監視サービスから前記アプリケーションセキュリティ情報を受信することを含む、項15に記載の方法。
17. 前記アプリケーションセキュリティ情報は、前記クラウド基盤にデプロイされた前記第一のアプリケーションのインスタンスの実時間における数と、前記クラウド基盤にデプロイされた前記第一のアプリケーションのインスタンスの数の増加の割合と、を含む、項15又は項16に記載の方法。
18. 前記クラウド基盤のアカウントを含む、計算環境の中で動作している複数のアプリケーションを特定することをさらに備える、項15乃至項17のいずれか1項に記載の方法。
19. 前記第二の計算装置に対して前記ネットワークを介して前記セキュリティ試験レジーム提案を送信することは、セキュリティ試験システムが前記第一のアプリケーションにセキュリティ試験を実行するときに第一の試験モジュールを適用するために前記セキュリティ試験システムに対して命令を送信することを含む、項15乃至項18のいずれか1項に記載の方法。
20. 前記アプリケーションセキュリティ情報は、ソースコードリポジトリの前記第一のアプリケーションのソースコードへのポインタを含み、前記ポインタは、前記セキュリティ試験レジーム提案に含まれる、項15乃至項20のいずれか1項に記載の方法。
20.1. 一つ以上の処理装置に実行されたときに、項15乃至項20のいずれか1項に記載の機能のいずれかを処理装置に実行させる命令を保存した非一時的で計算機読み取り可能な記憶媒体。
20.2. 一つ以上の処理装置に実行されたときに、項15乃至項20のいずれか1項に記載の機能のいずれかを実現するコンピュータプログラム。
20.2. 一つ以上の処理装置に実行されたときに、項15乃至項20のいずれか1項に記載の機能のいずれかを提供する工程を実行する方法。
本開示の上記の側面は、明確及び理解のために図示及び例示によって詳細に説明されたが、上記で説明された発明は発明の思想又は不可欠な特徴を逸脱することなく、多くの他の具体的な変形及び具現化によって実施され得ることは容易に認識されるであろう。様々な変形及び修正が実施され得るが、発明が上記の詳細な説明によって限定されるものではなく、特許請求の範囲によって定められるものであると理解される。
100 サービスプロバイダシステム
102 アプリケーションセキュリティサーバ
104 セキュリティアプリケーション
106 データベースシステム
110 クラウド基盤
114A アプリケーションインスタンス
114B アプリケーションインスタンス
116 監視サービス
120 ネットワーク
132 ストレージ装置
133 ソースコードリポジトリ
134 ネットワーク装置
136 計算装置
138A アプリケーションインスタンス
138B アプリケーションインスタンス
138C アプリケーションインスタンス
140 自動化された試験システム
142 試験モジュール
150 クライアント装置
152 インタフェース
200 計算装置
202 処理装置
203 命令
204 メモリ
208 ネットワークインタフェース装置
212 ディスプレイ
220 セキュリティアプリケーション
222 アプリケーションセキュリティ情報

Claims (17)

  1. アプリケーションセキュリティシステムであって、
    一つ以上のストレージシステムと通信する処理装置を備えるアプリケーションセキュリティサーバと、
    ネットワークを介して情報を送信又は受信するよう構成された複数のアプリケーションのインスタンスを実行する複数の計算装置と、
    複数のセキュリティ試験モジュールを含むセキュリティ試験システムであって、前記セキュリティ試験モジュールは一つ以上の第一のアプリケーションのインスタンスに関連付けられた前記第一のアプリケーションに関連付けられた第一の試験モジュールを含む、セキュリティ試験システムと、を含み、
    前記アプリケーションセキュリティサーバは、各アプリケーションの初期化に際して各アプリケーションから受信された情報に基づくアプリケーションの間の依存関係のマップを含み、
    前記アプリケーションセキュリティサーバの処理装置は、
    前記第一のアプリケーションの現在の依存関係情報を含む、前記第一のアプリケーションに関する情報を読み出し、
    前記第一のアプリケーションに関する情報に基づいて計算される、前記第一のアプリケーションについてのセキュリティリスクスコアを計算し、
    前記第一のアプリケーションについての前記セキュリティリスクスコアに基づく、前記第一のアプリケーションに関連付けられるセキュリティ優先レベルを決定し、及び、
    前記第一のアプリケーションの前記セキュリティ優先レベルをアプリケーションセキュリティ情報のデータベースにおいて前記第一のアプリケーションに関連付ける、
    ことを特徴とするアプリケーションセキュリティシステム。
  2. 前記アプリケーションセキュリティサーバは、前記第一のアプリケーションに関連付けられた試験情報にアクセスするために前記セキュリティ試験システムと通信し、
    前記試験情報は、前記第一のアプリケーションを試験するために前記第一の試験モジュールが用いられた最も近い試験時点を表示する、
    請求項1に記載のアプリケーションセキュリティシステム。
  3. 前記第一のアプリケーションについての前記セキュリティリスクスコアは、前記第一の試験モジュールが前記第一のアプリケーションを試験するために用いられた最も近い試験時点と、前記第一のアプリケーションに関連付けられる試験の予定とに基づいて計算される、
    請求項2に記載のアプリケーションセキュリティシステム。
  4. 前記第一のアプリケーションに関する情報は、
    デプロイされた前記第一のアプリケーションのインスタンスの数と、
    前記第一のアプリケーションに関連付けられた、前記第一のアプリケーションが機密情報を含み、または機密情報へのアクセスを備えているかを表示するタグと、
    前記第一のアプリケーションが通信するアプリケーションの数と、
    前記第一のアプリケーションのインターネットからのアクセス可能性と、
    前記第一のアプリケーションの現在の依存関係情報と、
    のうち少なくとも一つを含む、
    請求項1に記載のアプリケーションセキュリティシステム。
  5. 前記デプロイされた前記第一のアプリケーションのインスタンスの数は、第一の実時間における数であり、
    前記第一のアプリケーションが通信するアプリケーションの数は、第二の実時間における数である、
    請求項4に記載のアプリケーションセキュリティシステム。
  6. 前記アプリケーションセキュリティサーバと前記ネットワークを介して通信する、複数のデプロイされたアプリケーションのインスタンスを含む、クラウド基盤をさらに含み、
    前記第一のアプリケーションは前記デプロイされたアプリケーションのインスタンスの少なくとも一つと通信する、
    請求項1に記載のアプリケーションセキュリティシステム。
  7. 前記クラウド基盤は、前記クラウド基盤にデプロイされたアプリケーションに関する情報を報告するように構成された監視サービスを含み、
    前記デプロイされたアプリケーションに関する情報は、前記デプロイされたアプリケーションに関連付けられる、デプロイされたアプリケーションのインスタンスの数とセキュリティ情報とを含む、
    請求項6に記載のアプリケーションセキュリティシステム。
  8. 前記アプリケーションセキュリティサーバの前記処理装置は、前記第一のアプリケーションに関連付けられた試験レジームを変更するために、前記セキュリティ試験システムと通信する、
    請求項1に記載のアプリケーションセキュリティシステム。
  9. 前記試験レジームは、前記第一のアプリケーションの試験に適用される一つ以上の試験モジュールと、前記試験モジュールが前記第一のアプリケーションを試験するためにいつ適用されるかを指示する予定とを含む、
    請求項に記載のアプリケーションセキュリティシステム。
  10. アプリケーションセキュリティシステムであって、
    保存された命令を含む、一つ以上のストレージ装置と通信する処理装置と、
    前記処理装置がネットワークを介して一つ以上の他の装置と通信することを可能とするネットワークインタフェースと、を含み、
    前記処理装置は、
    ネットワークを介して、計算環境にデプロイされたアプリケーションのリストを受信し、
    前記アプリケーションのリストに含まれる第一のアプリケーションについてのセキュリティリスクスコアを計算し、
    前記第一のアプリケーションについてのセキュリティリスクスコアに基づく、前記第一のアプリケーションに関連付けられるセキュリティ優先レベルであって、前記第一のアプリケーションが管理セキュリティ担当者による手動試験過程を受ける予定であることを示す前記第1のアプリケーションに関連付けられるセキュリティ優先レベルを決定し、
    前記第一のアプリケーションに関連付けられる前記セキュリティ優先レベルを前記管理セキュリティ担当者に伝える電子的通知を送信するために前記命令を実行し、及び、
    ユーザインタフェースにおけるクライアント装置の利用者に対する提示のために、前記ネットワークを介して前記クライアント装置に対して前記計算環境にデプロイされたアプリケーションの優先度付けされたリストを送信する、
    命令を実行する、
    ことを特徴とするアプリケーションセキュリティシステム。
  11. 前記処理装置は、前記一つ以上の他の装置に対してアプリケーションセキュリティ情報を要求するために前記命令をさらに実行し、
    前記アプリケーションセキュリティ情報は、
    前記第一のアプリケーションのインスタンスの数と、
    前記第一のアプリケーションがデプロイされた地域と、
    前記第一のアプリケーションに関連付けられるビルド情報と、
    前記第一のアプリケーションが通信するように構成されたアプリケーションのリストと、
    前記第一のアプリケーションに関連付けられるセキュリティタグと、
    の少なくとも一つを含む、請求項10に記載のアプリケーションセキュリティシステム。
  12. 前記第一のアプリケーションに関連付けられた前記アプリケーションセキュリティ情報は、前記第一のアプリケーションによって利用されるポート、プロトコル、又はドメインネームシステム(DNS)ネームを特定する、請求項11に記載のアプリケーションセキュリティシステム。
  13. 第一の計算装置の処理装置が、ネットワークを介して第一のアプリケーションに関連付けられるアプリケーションセキュリティ情報を受信することと、
    前記ネットワークを介して受信される前記アプリケーションセキュリティ情報に基づいて第一のアプリケーションについてのセキュリティリスクスコアを計算することと、
    前記計算されたセキュリティリスクスコアに基づいて前記第一のアプリケーションのためのセキュリティ試験レジーム提案を生成することと、
    第二の計算装置に対して前記ネットワークを介して前記セキュリティ試験レジーム提案を送信することと、
    を含み、
    前記第二の計算装置に対して前記ネットワークを介して前記セキュリティ試験レジーム提案を送信することは、セキュリティ試験システムが前記第一のアプリケーションにセキュリティ試験を実行するときに第一の試験モジュールを適用するために前記セキュリティ試験システムに対して命令を送信することを含む、方法。
  14. 前記第一のアプリケーションはクラウド基盤にデプロイされ、
    前記第一のアプリケーションに関連付けられる前記アプリケーションセキュリティ情報を受信することは、前記クラウド基盤の中で動作する監視サービスから前記アプリケーションセキュリティ情報を受信することを含む、請求項13に記載の方法。
  15. 前記アプリケーションセキュリティ情報は、前記クラウド基盤にデプロイされた前記第一のアプリケーションのインスタンスの実時間における数と、前記クラウド基盤にデプロイされた前記第一のアプリケーションのインスタンスの数の増加の割合と、を含む、請求項14に記載の方法。
  16. 前記クラウド基盤のアカウントを含む、計算環境の中で動作している複数のアプリケーションを特定することをさらに含む、請求項14に記載の方法。
  17. 前記アプリケーションセキュリティ情報は、ソースコードリポジトリの前記第一のアプリケーションのソースコードへのポインタを含み、
    前記ポインタは、前記セキュリティ試験レジーム提案に含まれる、請求項13に記載の方法。
JP2018517443A 2015-10-06 2016-10-04 アプリケーションのセキュリティ及びリスクの評価及び試験のためのシステム及び方法 Active JP6849672B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/876,354 US9767291B2 (en) 2015-10-06 2015-10-06 Systems and methods for security and risk assessment and testing of applications
US14/876,354 2015-10-06
PCT/US2016/055352 WO2017062369A1 (en) 2015-10-06 2016-10-04 Systems and methods for security and risk assessment and testing of applications

Publications (2)

Publication Number Publication Date
JP2019501436A JP2019501436A (ja) 2019-01-17
JP6849672B2 true JP6849672B2 (ja) 2021-03-24

Family

ID=57153554

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018517443A Active JP6849672B2 (ja) 2015-10-06 2016-10-04 アプリケーションのセキュリティ及びリスクの評価及び試験のためのシステム及び方法

Country Status (9)

Country Link
US (2) US9767291B2 (ja)
EP (1) EP3360096A1 (ja)
JP (1) JP6849672B2 (ja)
KR (1) KR20180095798A (ja)
CN (1) CN108604330A (ja)
AU (1) AU2016336006A1 (ja)
CA (1) CA2998749C (ja)
MX (1) MX370367B (ja)
WO (1) WO2017062369A1 (ja)

Families Citing this family (100)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9411327B2 (en) 2012-08-27 2016-08-09 Johnson Controls Technology Company Systems and methods for classifying data in building automation systems
US10534326B2 (en) 2015-10-21 2020-01-14 Johnson Controls Technology Company Building automation system with integrated building information model
US9921942B1 (en) 2015-10-23 2018-03-20 Wells Fargo Bank, N.A. Security validation of software delivered as a service
US11268732B2 (en) 2016-01-22 2022-03-08 Johnson Controls Technology Company Building energy management system with energy analytics
US11947785B2 (en) 2016-01-22 2024-04-02 Johnson Controls Technology Company Building system with a building graph
US11768004B2 (en) 2016-03-31 2023-09-26 Johnson Controls Tyco IP Holdings LLP HVAC device registration in a distributed building management system
US10417451B2 (en) 2017-09-27 2019-09-17 Johnson Controls Technology Company Building system with smart entity personal identifying information (PII) masking
US11774920B2 (en) 2016-05-04 2023-10-03 Johnson Controls Technology Company Building system with user presentation composition based on building context
US10505756B2 (en) 2017-02-10 2019-12-10 Johnson Controls Technology Company Building management system with space graphs
US10552241B2 (en) 2016-06-22 2020-02-04 International Business Machines Corporation Action recommendation to reduce server management errors
US10372915B2 (en) * 2016-07-29 2019-08-06 Jpmorgan Chase Bank, N.A. Cybersecurity vulnerability management systems and method
US9747570B1 (en) * 2016-09-08 2017-08-29 Secure Systems Innovation Corporation Method and system for risk measurement and modeling
US10938668B1 (en) * 2016-09-30 2021-03-02 Amazon Technologies, Inc. Safe deployment using versioned hash rings
US10684033B2 (en) 2017-01-06 2020-06-16 Johnson Controls Technology Company HVAC system with automated device pairing
US10257220B2 (en) 2017-01-30 2019-04-09 Xm Cyber Ltd. Verifying success of compromising a network node during penetration testing of a networked system
US10686822B2 (en) 2017-01-30 2020-06-16 Xm Cyber Ltd. Systems and methods for selecting a lateral movement strategy for a penetration testing campaign
US10068095B1 (en) 2017-05-15 2018-09-04 XM Cyber Ltd Systems and methods for selecting a termination rule for a penetration testing campaign
US10122750B2 (en) 2017-01-30 2018-11-06 XM Cyber Ltd Setting-up penetration testing campaigns
AU2018212708A1 (en) 2017-01-30 2019-08-08 Xm Cyber Ltd. Penetration testing of a networked system
US11900287B2 (en) 2017-05-25 2024-02-13 Johnson Controls Tyco IP Holdings LLP Model predictive maintenance system with budgetary constraints
US11764991B2 (en) 2017-02-10 2023-09-19 Johnson Controls Technology Company Building management system with identity management
US11994833B2 (en) 2017-02-10 2024-05-28 Johnson Controls Technology Company Building smart entity system with agent based data ingestion and entity creation using time series data
US10095756B2 (en) 2017-02-10 2018-10-09 Johnson Controls Technology Company Building management system with declarative views of timeseries data
US11360447B2 (en) 2017-02-10 2022-06-14 Johnson Controls Technology Company Building smart entity system with agent based communication and control
US10515098B2 (en) 2017-02-10 2019-12-24 Johnson Controls Technology Company Building management smart entity creation and maintenance using time series data
US10854194B2 (en) 2017-02-10 2020-12-01 Johnson Controls Technology Company Building system with digital twin based data ingestion and processing
US11307538B2 (en) 2017-02-10 2022-04-19 Johnson Controls Technology Company Web services platform with cloud-eased feedback control
US10581802B2 (en) 2017-03-16 2020-03-03 Keysight Technologies Singapore (Sales) Pte. Ltd. Methods, systems, and computer readable media for advertising network security capabilities
WO2018175912A1 (en) 2017-03-24 2018-09-27 Johnson Controls Technology Company Building management system with dynamic channel communication
US11327737B2 (en) 2017-04-21 2022-05-10 Johnson Controls Tyco IP Holdings LLP Building management system with cloud management of gateway configurations
US10788229B2 (en) 2017-05-10 2020-09-29 Johnson Controls Technology Company Building management system with a distributed blockchain database
US10999296B2 (en) * 2017-05-15 2021-05-04 Forcepoint, LLC Generating adaptive trust profiles using information derived from similarly situated organizations
US11022947B2 (en) 2017-06-07 2021-06-01 Johnson Controls Technology Company Building energy optimization system with economic load demand response (ELDR) optimization and ELDR user interfaces
WO2018232147A1 (en) 2017-06-15 2018-12-20 Johnson Controls Technology Company Building management system with artificial intelligence for unified agent based control of building subsystems
US10534917B2 (en) 2017-06-20 2020-01-14 Xm Cyber Ltd. Testing for risk of macro vulnerability
US10574684B2 (en) 2017-07-09 2020-02-25 Xm Cyber Ltd. Locally detecting phishing weakness
WO2019012626A1 (ja) * 2017-07-12 2019-01-17 日本電気株式会社 真正性検証システム、真正性検証方法および真正性検証プログラム
WO2019018304A1 (en) 2017-07-17 2019-01-24 Johnson Controls Technology Company SYSTEMS AND METHODS FOR BUILDING SIMULATION ON THE BASIS OF AN AGENT FOR OPTIMAL CONTROL
EP3655825B1 (en) 2017-07-21 2023-11-22 Johnson Controls Tyco IP Holdings LLP Building management system with dynamic rules with sub-rule reuse and equation driven smart diagnostics
US20190034066A1 (en) 2017-07-27 2019-01-31 Johnson Controls Technology Company Building management system with central plantroom dashboards
US10412112B2 (en) 2017-08-31 2019-09-10 Xm Cyber Ltd. Time-tagged pre-defined scenarios for penetration testing
US10447721B2 (en) 2017-09-13 2019-10-15 Xm Cyber Ltd. Systems and methods for using multiple lateral movement strategies in penetration testing
US11120012B2 (en) 2017-09-27 2021-09-14 Johnson Controls Tyco IP Holdings LLP Web services platform with integration and interface of smart entities with enterprise applications
US11195401B2 (en) 2017-09-27 2021-12-07 Johnson Controls Tyco IP Holdings LLP Building risk analysis system with natural language processing for threat ingestion
DE112018004325T5 (de) 2017-09-27 2020-05-14 Johnson Controls Technology Company Systeme und verfahren für die risikoanalyse
US10962945B2 (en) 2017-09-27 2021-03-30 Johnson Controls Technology Company Building management system with integration of data into smart entities
US11314788B2 (en) 2017-09-27 2022-04-26 Johnson Controls Tyco IP Holdings LLP Smart entity management for building management systems
EP3711279A1 (en) 2017-11-15 2020-09-23 XM Cyber Ltd. Selectively choosing between actual-attack and simulation/evaluation for validating a vulnerability of a network node during execution of a penetration testing campaign
US11281169B2 (en) 2017-11-15 2022-03-22 Johnson Controls Tyco IP Holdings LLP Building management system with point virtualization for online meters
US10809682B2 (en) 2017-11-15 2020-10-20 Johnson Controls Technology Company Building management system with optimized processing of building system data
US11127235B2 (en) 2017-11-22 2021-09-21 Johnson Controls Tyco IP Holdings LLP Building campus with integrated smart environment
US11954713B2 (en) 2018-03-13 2024-04-09 Johnson Controls Tyco IP Holdings LLP Variable refrigerant flow system with electricity consumption apportionment
US10440044B1 (en) 2018-04-08 2019-10-08 Xm Cyber Ltd. Identifying communicating network nodes in the same local network
KR102096085B1 (ko) * 2018-04-17 2020-04-01 어니컴 주식회사 앱 모니터링 장치 및 방법
US10810286B2 (en) * 2018-04-24 2020-10-20 Rovi Guides, Inc. Systems and methods for intelligently accessing media content based on rights
US10382473B1 (en) 2018-09-12 2019-08-13 Xm Cyber Ltd. Systems and methods for determining optimal remediation recommendations in penetration testing
US11354613B2 (en) * 2018-10-03 2022-06-07 Visa International Service Association System, method, and computer program product for generating location-based risk assessments of service provider transaction requests
US11093618B2 (en) * 2018-10-23 2021-08-17 Jpmorgan Chase Bank, N.A. Systems and methods for using an application control prioritization index
US11016648B2 (en) 2018-10-30 2021-05-25 Johnson Controls Technology Company Systems and methods for entity visualization and management with an entity node editor
WO2020089698A1 (en) 2018-11-04 2020-05-07 Xm Cyber Ltd. Using information about exportable data in penetration testing
US20200162280A1 (en) 2018-11-19 2020-05-21 Johnson Controls Technology Company Building system with performance identification through equipment exercising and entity relationships
WO2020121078A1 (en) 2018-12-13 2020-06-18 Xm Cyber Ltd. Systems and methods for dynamic removal of agents from nodes of penetration testing systems
US11468408B2 (en) 2019-01-18 2022-10-11 Johnson Controls Tyco IP Holdings LLP Building automation system with visitor management
US10788798B2 (en) 2019-01-28 2020-09-29 Johnson Controls Technology Company Building management system with hybrid edge-cloud processing
US10462177B1 (en) 2019-02-06 2019-10-29 Xm Cyber Ltd. Taking privilege escalation into account in penetration testing campaigns
US11283827B2 (en) 2019-02-28 2022-03-22 Xm Cyber Ltd. Lateral movement strategy during penetration testing of a networked system
US11477226B2 (en) * 2019-04-24 2022-10-18 Saudi Arabian Oil Company Online system identification for data reliability enhancement
US11206281B2 (en) 2019-05-08 2021-12-21 Xm Cyber Ltd. Validating the use of user credentials in a penetration testing campaign
US11163889B2 (en) * 2019-06-14 2021-11-02 Bank Of America Corporation System and method for analyzing and remediating computer application vulnerabilities via multidimensional correlation and prioritization
CN112101394B (zh) * 2019-06-18 2024-03-22 中国移动通信集团浙江有限公司 供应商分域部署方法、装置、计算设备及计算机存储介质
RU2750627C2 (ru) * 2019-06-28 2021-06-30 Акционерное общество "Лаборатория Касперского" Способ поиска образцов вредоносных сообщений
US10637883B1 (en) 2019-07-04 2020-04-28 Xm Cyber Ltd. Systems and methods for determining optimal remediation recommendations in penetration testing
EP3767505B1 (de) * 2019-07-18 2022-08-24 Siemens Aktiengesellschaft Verfahren und system zur bereitstellung von sicherheitsinformationen über einen anwendungscontainer für ein industrielles edge-gerät
US10880326B1 (en) 2019-08-01 2020-12-29 Xm Cyber Ltd. Systems and methods for determining an opportunity for node poisoning in a penetration testing campaign, based on actual network traffic
US11916758B2 (en) * 2019-08-02 2024-02-27 Cisco Technology, Inc. Network-assisted application-layer request flow management in service meshes
US11533329B2 (en) 2019-09-27 2022-12-20 Keysight Technologies, Inc. Methods, systems and computer readable media for threat simulation and threat mitigation recommendations
US10754506B1 (en) * 2019-10-07 2020-08-25 Cyberark Software Ltd. Monitoring and controlling risk compliance in network environments
US11972026B2 (en) * 2019-10-23 2024-04-30 The Research Foundation For Suny Program products, methods, and systems for simulating and preventing the dissemination of sensitive information
US11005878B1 (en) 2019-11-07 2021-05-11 Xm Cyber Ltd. Cooperation between reconnaissance agents in penetration testing campaigns
US11514187B1 (en) * 2019-11-26 2022-11-29 Wells Fargo Bank, N.A. Systems and methods for managing the processing of customer information within a global enterprise
US11894944B2 (en) 2019-12-31 2024-02-06 Johnson Controls Tyco IP Holdings LLP Building data platform with an enrichment loop
EP4085345A1 (en) 2019-12-31 2022-11-09 Johnson Controls Tyco IP Holdings LLP Building data platform
US11575700B2 (en) 2020-01-27 2023-02-07 Xm Cyber Ltd. Systems and methods for displaying an attack vector available to an attacker of a networked system
US11074164B1 (en) 2020-03-06 2021-07-27 Bank Of America Corporation Real-time regression test generator
US11582256B2 (en) 2020-04-06 2023-02-14 Xm Cyber Ltd. Determining multiple ways for compromising a network node in a penetration testing campaign
US11537386B2 (en) 2020-04-06 2022-12-27 Johnson Controls Tyco IP Holdings LLP Building system with dynamic configuration of network resources for 5G networks
US11874809B2 (en) 2020-06-08 2024-01-16 Johnson Controls Tyco IP Holdings LLP Building system with naming schema encoding entity type and entity relationships
US11188448B1 (en) 2020-07-14 2021-11-30 Bank Of America Corporation Real-time defect analysis device
US11574071B2 (en) 2020-07-28 2023-02-07 Bank Of America Corporation Reliability of information security controls for attack readiness
US11954154B2 (en) 2020-09-30 2024-04-09 Johnson Controls Tyco IP Holdings LLP Building management system with semantic model integration
US11397773B2 (en) 2020-09-30 2022-07-26 Johnson Controls Tyco IP Holdings LLP Building management system with semantic model integration
US20220138492A1 (en) 2020-10-30 2022-05-05 Johnson Controls Technology Company Data preprocessing and refinement tool
US11921481B2 (en) 2021-03-17 2024-03-05 Johnson Controls Tyco IP Holdings LLP Systems and methods for determining equipment energy waste
US11769066B2 (en) 2021-11-17 2023-09-26 Johnson Controls Tyco IP Holdings LLP Building data platform with digital twin triggers and actions
US11899723B2 (en) 2021-06-22 2024-02-13 Johnson Controls Tyco IP Holdings LLP Building data platform with context based twin function processing
US11796974B2 (en) 2021-11-16 2023-10-24 Johnson Controls Tyco IP Holdings LLP Building data platform with schema extensibility for properties and tags of a digital twin
US11934966B2 (en) 2021-11-17 2024-03-19 Johnson Controls Tyco IP Holdings LLP Building data platform with digital twin inferences
US11704311B2 (en) 2021-11-24 2023-07-18 Johnson Controls Tyco IP Holdings LLP Building data platform with a distributed digital twin
US11714930B2 (en) 2021-11-29 2023-08-01 Johnson Controls Tyco IP Holdings LLP Building data platform with digital twin based inferences and predictions for a graphical building model
US11968222B2 (en) * 2022-07-05 2024-04-23 Palo Alto Networks (Israel Analytics) Ltd. Supply chain attack detection

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7693961B2 (en) * 2000-06-30 2010-04-06 Sharp Kabushiki Kaisha Method and system for supplying programs
JP3618681B2 (ja) * 2001-05-01 2005-02-09 株式会社エヌ・ティ・ティ・データ ネットワークセキュリティに関する被害評価システムおよびその方法
US7257630B2 (en) * 2002-01-15 2007-08-14 Mcafee, Inc. System and method for network vulnerability detection and reporting
US7114148B2 (en) * 2002-09-30 2006-09-26 Microsoft Corporation Runtime services for network software platform
EP1625687A4 (en) * 2003-05-17 2011-11-23 Microsoft Corp SECURITY RISK ASSESSMENT SYSTEM
US7716641B2 (en) * 2004-12-01 2010-05-11 Microsoft Corporation Method and system for automatically identifying and marking subsets of localizable resources
US8990368B2 (en) * 2009-02-27 2015-03-24 Red Hat, Inc. Discovery of network software relationships
US8584092B2 (en) * 2009-03-30 2013-11-12 Verizon Patent And Licensing Inc. Methods and systems of determining risk levels of one or more software instance defects
US20120102569A1 (en) * 2010-10-21 2012-04-26 F-Secure Corporation Computer system analysis method and apparatus
US9112682B2 (en) * 2011-03-15 2015-08-18 Red Hat, Inc. Generating modular security delegates for applications
US20150100684A1 (en) 2012-06-08 2015-04-09 Stephane Maes Test and management for cloud applications
BR112015006653A2 (pt) * 2012-09-28 2017-07-04 Hewlett Packard Development Co sistema de computação, meio de armazenamento legível por máquina não transitório e método
US9355261B2 (en) * 2013-03-14 2016-05-31 Appsense Limited Secure data management
US9264444B2 (en) * 2013-05-21 2016-02-16 Rapid7, Llc Systems and methods for determining an objective security assessment for a network of assets
JP6116052B2 (ja) * 2013-06-12 2017-04-19 日本システムウエア株式会社 組込みシステムのテスト方法
US8997052B2 (en) 2013-06-19 2015-03-31 Successfactors, Inc. Risk-based test plan construction
US10031841B2 (en) 2013-06-26 2018-07-24 Sap Se Method and system for incrementally updating a test suite utilizing run-time application executions
US9420029B2 (en) * 2013-07-01 2016-08-16 Cellco Partnership Mobile device application rating
US9721316B2 (en) * 2014-01-10 2017-08-01 Bank Of America Corporation Change convergence risk mapping
JP6208029B2 (ja) * 2014-01-30 2017-10-04 株式会社日立製作所 業務システムの監視装置及び監視装置の制御方法
US9386078B2 (en) * 2014-05-30 2016-07-05 Ca, Inc. Controlling application programming interface transactions based on content of earlier transactions
US9319430B2 (en) * 2014-06-17 2016-04-19 International Business Machines Corporation Managing software deployment
CN104200155A (zh) * 2014-08-12 2014-12-10 中国科学院信息工程研究所 基于苹果手机操作系统iOS保护用户隐私的监测装置和方法
US9407655B2 (en) * 2014-08-27 2016-08-02 Bank Of America Corporation Monitoring security risks to enterprise corresponding to access rights and access risk calculation
CN104317725A (zh) * 2014-11-18 2015-01-28 电信科学技术第十研究所 一种软件测试的计算机实现的方法、计算机和系统
US9626515B2 (en) * 2014-12-30 2017-04-18 Samsung Electronics Co., Ltd. Electronic system with risk presentation mechanism and method of operation thereof
US9805192B1 (en) * 2015-06-26 2017-10-31 Symantec Corporation Systems and methods for file classification

Also Published As

Publication number Publication date
US20180004960A1 (en) 2018-01-04
US10262145B2 (en) 2019-04-16
AU2016336006A1 (en) 2018-04-12
CA2998749A1 (en) 2017-04-13
CN108604330A (zh) 2018-09-28
MX2018004173A (es) 2018-06-06
WO2017062369A1 (en) 2017-04-13
JP2019501436A (ja) 2019-01-17
US20170098086A1 (en) 2017-04-06
EP3360096A1 (en) 2018-08-15
KR20180095798A (ko) 2018-08-28
US9767291B2 (en) 2017-09-19
CA2998749C (en) 2021-03-16
MX370367B (es) 2019-12-11

Similar Documents

Publication Publication Date Title
JP6849672B2 (ja) アプリケーションのセキュリティ及びリスクの評価及び試験のためのシステム及び方法
US11711374B2 (en) Systems and methods for understanding identity and organizational access to applications within an enterprise environment
US11765198B2 (en) Selecting actions responsive to computing environment incidents based on severity rating
US11038784B2 (en) Techniques for evaluating server system reliability, vulnerability and component compatibility using crowdsourced server and vulnerability data
US10862905B2 (en) Incident response techniques
CN109690492B (zh) 网络安全漏洞管理系统和方法
US10699237B2 (en) Graphical user interfaces for dynamic information technology performance analytics and recommendations
US11290494B2 (en) Reliability prediction for cloud security policies
US11222296B2 (en) Cognitive user interface for technical issue detection by process behavior analysis for information technology service workloads
US10678926B2 (en) Identifying security risks in code using security metric comparison
Khan et al. An adaptive monitoring framework for ensuring accountability and quality of services in cloud computing
US20220311797A1 (en) Enterprise security assessment and management service for serverless environments
US20230054912A1 (en) Asset Error Remediation for Continuous Operations in a Heterogeneous Distributed Computing Environment
US20230117225A1 (en) Automated workflow analysis and solution implementation
US11601347B2 (en) Identification of incident required resolution time
US20220019802A1 (en) Food safety and compliance
EP4040723A1 (en) Systems and methods for understanding identity and organizational access to applications within an enterprise environment
US20220188424A1 (en) Anomaly detection with impact assessment
US20170068919A1 (en) Risk assessment in online collaborative environments
US11716346B1 (en) Prioritization and remediation of computer security attacks
US11823449B2 (en) Identifying changes in firebreak lines
US20230214495A1 (en) Dynamic prioritization of vulnerability exclusion renewals
JP2023541470A (ja) 分散型コンピューティング環境における過剰なリソース使用の検出及びハンドリング

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190509

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200327

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200630

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200928

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210202

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210304

R150 Certificate of patent or registration of utility model

Ref document number: 6849672

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250