JP6887438B2 - 遠隔プロキシを用いてデータレジデンシ保護を提供するためのシステムおよび方法 - Google Patents

遠隔プロキシを用いてデータレジデンシ保護を提供するためのシステムおよび方法 Download PDF

Info

Publication number
JP6887438B2
JP6887438B2 JP2018548813A JP2018548813A JP6887438B2 JP 6887438 B2 JP6887438 B2 JP 6887438B2 JP 2018548813 A JP2018548813 A JP 2018548813A JP 2018548813 A JP2018548813 A JP 2018548813A JP 6887438 B2 JP6887438 B2 JP 6887438B2
Authority
JP
Japan
Prior art keywords
data
computer control
environment
protection
protection component
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018548813A
Other languages
English (en)
Other versions
JP2019511779A (ja
JP2019511779A5 (ja
Inventor
スポールディング,ケント・アーサー
メルツナー,ケネス・ジョセフ
ブファー,レザ
Original Assignee
オラクル・インターナショナル・コーポレイション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by オラクル・インターナショナル・コーポレイション filed Critical オラクル・インターナショナル・コーポレイション
Publication of JP2019511779A publication Critical patent/JP2019511779A/ja
Publication of JP2019511779A5 publication Critical patent/JP2019511779A5/ja
Application granted granted Critical
Publication of JP6887438B2 publication Critical patent/JP6887438B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Theoretical Computer Science (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)

Description

背景
クラウドコンピューティングサービスおよびソフトウェア・アズ・ア・サービス(SaaS)プロバイダがますます普及している。多くの場合、このようなサービスを利用するクライアントまたは顧客は、それらのコンピュータ制御データがどこでどのように処理および保護されているかに関心がある。世界の管轄区域の中には、その管轄区域の外に出てはならないデータの種類を規定するデータレジデンシ(DR)要件(規則)を有する管轄区域もある。たとえば、国民に関する個人識別情報(PII)をその国の国境内でしか保存することができない国もある。
そのような規則は、インターネットアプリケーションによって、最も一般的にはデータレジデンシ要件の例外を規定する「セーフハーバー」法によって対処されてきた。しかしながら、そのような「セーフハーバー」法が攻撃にさらされている。アプリケーションプロバイダの中には、管轄区域内に所在するデータセンターに提供物を配置するものもある。この産業においては、管轄区域の外部に所在する特定のアプリケーションについて作動するようにカスタマイズされたスタンドアローンアプリケーションであるデータレジデンシ製品も提供されている。
概要
一実施形態では、メモリからの命令を実行するための少なくとも1つのプロセッサを含むコンピューティングデバイスによって行なわれる、コンピュータにより実現される方法が開示される。方法は、コンピュータ制御ネットワーク通信を介して、コンピュータ制御サービス環境において、保護ドメイン環境の遠隔コンピュータ制御システムからユーザインターフェースコマンドを受信するステップと、ユーザインターフェースコマンドに応答して、少なくとも1つのプロセッサによって、コンピュータ制御サービス環境内にデータレジデンシ保護コンポーネントを生成するステップとを備える。データレジデンシ保護コンポーネントは、遠隔コンピュータ制御システムによって保護ドメイン環境内で実行されると、個人識別情報を保護ドメイン環境の外部に露出しないように隔離するコンピュータ制御サービス環境のためのプロキシとして働くように構成されている。方法はさらに、コンピュータ制御ネットワーク通信を介して、コンピュータ制御サービス環境から保護ドメイン環境の遠隔コンピュータ制御システムに、データレジデンシ保護コンポーネントをダウンロードするステップを含む。
別の実施形態では、データレジデンシ保護コンポーネントは、遠隔コンピュータ制御システムによって保護ドメイン環境内で実行されると、保護ドメイン環境からコンピュータ制御サービス環境へのデータ通信において個人識別情報を監視し、個人識別情報を表現および保護するためのトークンデータで個人識別情報を置換え、コンピュータ制御ネットワーク通信を介してコンピュータ制御サービス環境へトークンデータを送信するように構成されている。
別の実施形態では、データレジデンシ保護コンポーネントは、遠隔コンピュータ制御システムによって保護ドメイン環境内で実行されると、コンピュータ制御サービス環境から保護ドメイン環境へのデータ通信において、個人識別情報を表現するトークンデータを監視し、トークンデータを、保護ドメイン環境内で個人識別情報に置換えるように構成されている。
別の実施形態では、方法は、コンピュータ制御サービス環境のサービスアプリケーション構成の変更に応答して、少なくとも1つのプロセッサによって、コンピュータ制御サービス環境が、コンピュータ制御サービス環境内のデータレジデンシ保護コンポーネントを更新するステップと、更新されたデータレジデンシ保護コンポーネントをコンピュータ制御ネットワーク通信を介して保護ドメイン環境にダウンロードするステップとをさらに含む。
別の実施形態では、方法は、データレジデンシ保護コンポーネントがコンピュータ制御サービス環境内に生成されたときに、他の保護ドメイン環境に関してコンピュータ制御サービス環境内に生成されていた他のデータレジデンシ保護コンポーネントによって提供されるデータレジデンシ保護を無効にすることがないように、コンピュータ制御サービス環境が少なくとも1つのプロセッサによって保証するステップをさらに含む。
別の実施形態では、コンピュータ制御サービス環境のコンピューティングシステムが開示される。システムは、命令を含む非一時的なコンピュータ読取可能媒体に格納された視覚ユーザインターフェースモジュールを備え、命令は、実行されると、コンピュータ制御ネットワーク通信を介して保護ドメイン環境の遠隔コンピュータ制御システムによってアクセス可能なグラフィカルユーザインターフェースを生成するステップをプロセッサに行なわせる。システムはさらに、命令を含む非一時的なコンピュータ読取可能媒体に格納された構成モジュールを備え、命令は、実行されると、グラフィカルユーザインターフェースの助けにより、コンピュータ制御ネットワーク通信を介して保護ドメイン環境の遠隔コンピュータ制御システムから受信された構成コマンドに応答して、コンピュータ制御サービス環境内にデータレジデンシ保護コンポーネントを生成するステップをプロセッサに行なわせる。システムはさらに、命令を含む非一時的なコンピュータ読取可能媒体に格納されたダウンロードモジュールを備え、命令は、実行されると、グラフィカルユーザインターフェースの助けにより、コンピュータ制御ネットワーク通信を介して保護ドメイン環境の遠隔コンピュータ制御システムから受信されたダウンロードコマンドに応答して、コンピュータ制御ネットワーク通信を介してコンピュータ制御サービス環境から保護ドメイン環境の遠隔コンピュータ制御システムへデータレジデンシ保護コンポーネントをダウンロードするステップをプロセッサに行なわせる。データレジデンシ保護コンポーネントは、遠隔コンピュータ制御システムによって保護ドメイン環境内で実行されると、個人識別情報を保護ドメイン環境の外部に露出しないように隔離するコンピュータ制御サービス環境のためのプロキシとして働くように構成されている。
システムの別の実施形態では、コンピュータ制御サービス環境のコンピューティングシステムはサーバコンピュータを含む。
システムの別の実施形態では、非一時的なコンピュータ読取可能媒体に格納された構成モジュールは命令を含み、命令は、実行されると、データレジデンシ保護コンポーネントがコンピュータ制御サービス環境内に生成されたときに、他の保護ドメイン環境に関してコンピュータ制御サービス環境内に生成されていた他のデータレジデンシ保護コンポーネントによって提供されるデータレジデンシ保護を無効にすることがないように保証するステップをプロセッサに行なわせる。
システムの別の実施形態では、非一時的なコンピュータ読取可能媒体に格納された視覚ユーザインターフェースモジュールは命令を含み、命令は、実行されると、データレジデンシ保護コンポーネントがダウンロードモジュールによってダウンロードされたときに保護ドメイン環境内の遠隔コンピュータ制御システム上に自動でインストールされるための選択可能オプションを、グラフィカルユーザインターフェースを介して提供するステップをプロセッサに行なわせる。
システムの別の実施形態では、非一時的なコンピュータ読取可能媒体に格納された構成モジュールは命令を含み、命令は、実行されると、コンピュータ制御サービス環境のサービスアプリケーション構成の変更に応答して、コンピュータ制御サービス環境内のデータレジデンシ保護コンポーネントを更新するステップをプロセッサに行なわせる。非一時的なコンピュータ読取可能媒体に格納されたダウンロードモジュールは命令を含み、命令は、実行されると、更新されたデータレジデンシ保護コンポーネントをコンピュータ制御ネットワーク通信を介して保護ドメイン環境にダウンロードするステップをプロセッサに行なわせる。
本明細書に組み込まれ、本明細書の一部を構成する添付図面によって、さまざまなシステム、方法、および本開示の他の実施形態が説明される。図中に示された要素の境界(たとえば、ボックス、ボックスの集まり、または他の形状)は、境界の一実施形態を表わす。いくつかの実施形態では、1つの要素が複数の要素として設計されてもよく、または、複数の要素が1つの要素として設計されてもよい。いくつかの実施形態では、別の要素の内部構成要素として示される要素が外部構成要素として実現されてもよく、逆も同様である。また、要素は一定の縮尺で描かれていない場合もある。
データレジデンシ保護ロジックを備えて構成されたコンピューティングデバイスを有するコンピュータシステムの一実施形態を示す図である。 データレジデンシ保護コンポーネント(プロキシ)を生成するための、図1のデータレジデンシ保護ロジックによって行なわれ得る方法の一実施形態を示す図である。 図2の方法の一部分について拡大した一実施形態を示す図である。 図1のデータレジデンシ保護ロジックが実現され得るコンピューティングデバイスの一実施形態を示す図である。
詳細な説明
サービスプロバイダによるデータレジデンシサービスの提供を可能にするシステム、方法、および他の実施形態が開示される。このデータレジデンシサービスは、保護ドメイン環境のローカル管理者が実行可能データレジデンシ保護コンポーネントを構成およびダウンロードするために用いることができるものである。データレジデンシ保護コンポーネントは、ローカル管理者の保護ドメイン環境内で実行されると、個人識別情報(PII)またはその他のセンシティブであるとみなされるデータを隔離し、それらが保護ドメイン環境の外部に露出することを防止する。それにより、保護ドメイン環境内のユーザはサービスプロバイダが提供するアプリケーションにアクセス可能である一方、個人識別情報(PII)または管理者がセンシティブであると宣言するその他のデータが保護ドメイン環境の外に出ることは許可されない。
以下の用語が、本明細書においてさまざまな実施形態に関して使用される。
本明細書で使用される「個人識別情報(PII)」という用語は、特定の個人を潜在的に識別し得るコンピュータ制御データ、または、ある人を別の人と区別するとともに匿名データの匿名性を排除するために使用され得るデータを意味する。また、当該用語は、ある管轄区域内の規則によって厳格に規定されていないとしてもセンシティブまたは機密であるとみなされ得る、特定の個人に帰属する他の情報も意味し得る。
本明細書で使用される「データレジデンシ」という用語は、任意の種類の物理記憶装置または物理記憶媒体で具体化される、組織のデータまたは情報の物理位置を意味する。また、当該用語は、データが存在する国または地域に基づいてデータに課される法的または規制当局による要件も意味し得る。
本明細書で使用される「コンピュータ制御サービス環境」という用語は、インターネットまたはプライベートネットワーク(有線接続および無線接続の両方を含む)を介して遠隔にアクセス可能なアプリケーションサービスを提供するコンピュータ制御システムを意味する。
本明細書で使用される「保護ドメイン環境」という用語は、法的または規制当局によるデータレジデンシ要件を課す国または地域、および/または、その国または地域内のコンピュータ制御システムを意味する。
本明細書で使用される「データレジデンシ保護コンポーネント」という用語は、保護ドメイン環境内で実行されると、個人識別情報を保護ドメイン環境の外部に露出しないように隔離するコンピュータ制御サービス環境のためのプロキシまたはアクセスポイントとして働く1つ以上のデジタルファイル(たとえば、実行可能ファイル)を意味する。本明細書で時々使用される「プロキシ」という用語は、保護ドメイン環境のローカルなユーザと当該ドメイン環境の外部にあるサービス環境との間でプロキシまたは中継される通信のためのプロトコルを用いて、外部サービス環境へのアクセスを提供するデータレジデンシ保護コンポーネントを意味する。
図1は、データレジデンシ保護(DRP)ロジック110を備えて構成されたコンピューティングデバイス105を有する集中型コンピュータシステム100の一実施形態を示す。一実施形態では、コンピューティングデバイス105は、コンピュータ制御サービス環境(たとえば、ソフトウェア・アズ・ア・サービス(SaaS)環境)内のサーバコンピュータである。一実施形態では、データレジデンシ保護ロジック110は、遠隔ユーザによる個人識別情報(PII)の保護を可能にするように構成された大型コンピュータアプリケーション(たとえば、クラウドコンピューティングDRPアプリケーション)の一部である。データレジデンシ保護ロジック110は、コンピュータ制御サービス環境(たとえば、コンピュータ制御クラウドサービス環境)内で実行可能かつダウンロード可能なデータレジデンシ保護コンポーネントを生成および更新する処理をコンピュータ制御および自動化するように構成されている。
図1を参照して、一実施形態では、データレジデンシ保護ロジック110はコンピューティングデバイス105上に実装されており、データレジデンシ保護ロジック110のさまざまな機能的局面を実現するためのロジックまたはモジュールを含む。データレジデンシ保護ロジック110によって、遠隔ユーザ(サービス環境から隔てられたユーザ)が保護ドメイン環境に関する保護を構成することが可能になる。一実施形態では、データレジデンシ保護ロジック110は、視覚ユーザインターフェースロジック/モジュール120、構成ロジック/モジュール130、およびダウンロードロジック/モジュール140を含む。これらについては、本明細書において後に詳述する。
一実施形態では、コンピュータシステム100は、コンピューティングデバイス105に動作可能に接続されたデータベースデバイス150を含む。コンピュータシステム100は、企業組織のためのアプリケーションまたは分散されたアプリケーションの集まりを含むコンピューティング/データ処理システムとして機能する。アプリケーションおよびコンピュータシステム100は、クラウドベースのネットワーキングシステム、ソフトウェア・アズ・ア・サービス(SaaS)アーキテクチャ、または他の種類の分散型コンピューティングソリューションとともに動作するように構成されてもよく、またはそれらとして実現されてもよい。
図1に示すように、一実施形態では、コンピューティングデバイス105はコンピュータ制御サービス環境内のサーバコンピュータであり、コンピュータ制御ネットワーク160(たとえば、インターネット)を介して、このコンピュータ制御サービス環境から物理的に隔てられた保護ドメイン環境内の遠隔コンピュータ制御システム170と通信するように構成されている。遠隔コンピュータ制御システム170は、コンピューティングデバイス105からダウンロードされたデータレジデンシ保護コンポーネントを実行するように構成されたデータレジデンシ保護(DRP)実行プロセッサ180を含む。また、遠隔コンピュータ制御システム170は、表示画面/コンピューティングデバイス190も含む。
一実施形態では、保護ドメイン環境内の遠隔コンピュータ制御システム170のユーザは、コンピュータ制御ネットワーク160を介して、コンピュータ制御サービス環境内のサーバコンピュータ105にアクセス可能である。ユーザは、サーバコンピュータ105にアクセスすることにより、コンピュータ制御サービス環境によって提供されるアプリケーションを使用し得る。アプリケーションは、たとえば、会計アプリケーション、財務アプリケーション、工学アプリケーションであってもよいし、または、ユーザが保護ドメイン環境内のシステム上にアプリケーションをインストールして動作させるのではなく、物理的に保護ドメインの外部にあるネットワークアクセス可能環境からアクセスすることがより有用である、他の任意の種類のアプリケーションであってもよい。一実施形態によれば、遠隔コンピュータ制御システム170のシステム管理者は、データレジデンシ保護ロジック110を有するサーバコンピュータ105にアクセスすることにより、コンピュータ制御サービス環境内にデータレジデンシ保護コンポーネントまたはプロキシを構成することができる。
図1のデータレジデンシ保護ロジック110のロジックに戻って、一実施形態では、視覚ユーザインターフェースロジック120は、データレジデンシ保護ロジック110とユーザとの対話を容易にするためのグラフィカルユーザインターフェース(GUI)を生成するように構成されている。たとえば、視覚ユーザインターフェースロジック120は、グラフィカルユーザインターフェースを生成するプログラムコードを含む。このプログラムコードによって、グラフィカルユーザインターフェースが遠隔コンピュータ制御システム170によってアクセスされ、表示される(たとえば、表示画面/コンピューティングデバイス190上)。GUIを介したユーザアクションおよび選択に応答して、データレジデンシ保護コンポーネントを構成するための関連局面が処理され得る。
たとえば、一実施形態では、視覚ユーザインターフェースロジック120は、保護ドメイン環境の遠隔コンピュータ制御システム170のシステム管理者が、データレジデンシ保護コンポーネントの構成に関連する選択およびデータ入力(たとえば、テンプレート内)を行なうことを可能にするグラフィカルユーザインターフェースを提供するように構成されている。一実施形態では、選択およびデータは、ユーザインターフェースコマンドまたは構成コマンドの形で遠隔コンピュータ制御システム170から視覚ユーザインターフェースロジック120に提供される。選択およびデータ入力を行なうためのテンプレートは、コンピュータ制御サービス環境内のサーバコンピュータ105に動作可能に接続されたデータベースデバイス150に格納されている。さらに、結果として生成されるデータレジデンシ保護コンポーネントは、本明細書で後述するデータベースデバイス150に格納され得る。
再び図1を参照して、一実施形態では、構成ロジック130は、コンピュータ制御サービス環境内にデータレジデンシ保護コンポーネントを生成するように構成されている。データレジデンシ保護コンポーネントは、グラフィカルユーザインターフェースの助けによりコンピュータ制御ネットワーク160を介して保護ドメイン環境の遠隔コンピュータ制御システム170から受信された構成コマンド(たとえば、システム管理者によって生成された応答コマンド)に応答して生成される。
データレジデンシ保護コンポーネントは、コンピュータ制御サービス環境内のアプリケーションのためのプロキシとして働くように構成されている。すなわち、データレジデンシ保護コンポーネントは、保護ドメイン環境内で実行されると、個人識別情報(PII)を保護ドメイン環境の外部に露出しないように隔離する。一実施形態によれば、データレジデンシ保護コンポーネントは、保護ドメイン環境にダウンロードされて当該環境内で動作する実行可能デジタルファイル(たとえば、Java(登録商標)実行可能コンポーネント、または別の遠隔生成された実行可能フォーマット)を少なくとも含む。さまざまな実施形態によれば、データレジデンシ保護コンポーネントは、ウェブベースプロトコル、メール転送プロトコル(たとえば、電子メール用)、ファイル転送プロトコル(たとえば、電子ファイル転送用)、または、他の何らかのプロトコルと互換性を有するように構成され得る。
一般的に、データレジデンシ保護コンポーネントは、個人識別情報およびその他のセンシティブであるとみなされるデータを保護する。さらに、一実施形態では、データレジデンシ保護コンポーネントはクライアントまたは顧客のネットワーク上に存在し、当該ネットワークを介してしかアクセスすることができない(すなわち、サービスアプリケーションのユーザはプロキシを経由しなければならない)。これにより、保護されたデータがその会社のネットワークの外に出ないようになっている。
例として、遠隔コンピュータ制御システム170のシステム管理者(またはインテグレーション専門家)は、視覚ユーザインターフェースロジック120によって提供されたグラフィカルユーザインターフェースを介して、データベースデバイス150中のテンプレートにアクセスしてもよい。テンプレートは、保護ドメイン環境のデータレジデンシ規則に対応していてもよい。続いて、システム管理者は、テンプレートから選択を行ない、テンプレートのデータフィールドを埋め、システムに関する選択を行なってもよい。たとえば、選択は、データレジデンシ規則の特定の解釈に基づくものであってもよい。データフィールドは、たとえば保護対象のデータの種類を識別するためのデータで埋められてもよい。システムに関する選択は、データレジデンシ保護コンポーネントをインストールする場所、およびオペレーティングシステムを指定するように行なってもよい。システムに関する別の選択は、データレジデンシ保護コンポーネントと互換性のあるプロトコルを指定するように行なってもよい。次いで、一実施形態では、構成ロジック130がテンプレートの情報に対して動作することにより、保護ドメイン環境に関するデータレジデンシ保護コンポーネント(たとえば、実行可能ファイル、またはパッケージ化されたファイルの組)を生成する。
他の保護ドメイン環境に関して、コンピュータ制御サービス環境内に他のデータレジデンシ保護コンポーネントが生成されることもある。コンピュータ制御サービス環境は、保護ドメインに関して生成したすべてのコンポーネントについて認識している。また、一実施形態では、構成ロジック130は、新たなデータレジデンシ保護コンポーネントが生成されたときに、他の保護ドメイン環境に関して以前に生成されていた他のデータレジデンシ保護コンポーネントによって提供されるデータレジデンシ保護を無効にすることがないように保証するように構成されている。他の保護ドメイン環境に関する他のプロキシの保護構成を認識することによって、構成ロジック130は、新たなデータレジデンシ保護コンポーネント(新たなプロキシ)の生成が他の保護ドメイン環境に関するデータレジデンシ保護を損なわないことを保証することができる。
たとえば、トークン値の範囲は、データレジデンシ保護コンポーネント(プロキシ)毎に割り当てられ得る。トークン値は、PII情報を保護ドメイン環境内に留めるために、PII値の代用として使用される。簡単な例では、トークン長さを4バイト(32ビット)に制限するために、トークンの値は各プロキシにつき0〜230−1の範囲であってもよい(1つのシステムにつき、およそ10億個のトークン)。各プロキシは、0、1、2、または3のいずれかのプレフィックスを有してもよい(たとえば、予想されるプロキシが4つだけの場合)。実際には、トークン内の値を有効なユニコード文字に限定するとともに、より多くのプロキシを可能にするために、より長いトークンが使用されてもよい。
さもなければ、異なるクリアテキスト値に対応して同一値を有するトークンが存在し得る。これにより、セントラルアプリケーションインスタンスに保存されたデータが破壊される可能性がある。たとえば、フランスの従業員に関する人的資源レコードがタイの従業員に関するデータにリンクされてしまうかもしれず、トークン化されて保護されたデータに対してどのプロキシサーバが動作していたかによって、トークン値の不適切な代入につながる可能性もある。
各プロキシは、所定の範囲または所定のプレフィックスのトークンを生成し、範囲/プレフィックスは重なり合わない。プロキシはコンピュータ制御サービス環境内に構成されるため、コンピュータ制御サービス環境はプロキシのうちのすべてについて認識しており、範囲またはプレフィックス(または両方)を割り当てる。システムは、プレフィックスおよび/または範囲についての合理的な選択を提案してもよい。結果として生成されるプロキシの組は、データレジデンシに関するシステムの要素である。それとは対照的に、DRPに関するサードパーティー製品の場合には、各プロキシが分離して生成されるため、システム管理者が間違いを犯す可能性がある。
中央構成によって、どのネットワークアドレスが所定のデータレジデンシプロキシを使用可能であるかについての制御も可能になる。これにより、ある国の外部の人がその国のプロキシサーバに接続できないこと、およびその国の保護情報を検索できないことが保証される。また、中央構成によって、プロキシが所定のインターネットプロトコル(IP)範囲のみに応答するように構成されることも可能になる。これにより、別の保護の層が追加される。手動の構成では、そのような保護を手動で正しくセットアップし、かつ、誤って(または悪意をもって)データレジデンシ規則に違反しないようにすることが、ローカルシステム管理者にかかっている。集中化、自動化されたトークン範囲の割り当てと、管理者の改変に対してそれらの割り当て範囲をロックする機能とを組み合わせることによって、保護情報が所定の国または地域(保護ドメイン環境)の外に出る機会が大幅に減少するはずである。
一実施形態では、ダウンロードロジック140は、コンピュータ制御ネットワーク160を介して、コンピュータ制御サービス環境から保護ドメイン環境の遠隔コンピュータ制御システム170にデータレジデンシ保護コンポーネントをダウンロードするように構成されている。視覚ユーザインターフェースロジック120によって提供されるグラフィカルユーザインターフェースの助けにより、ダウンロードコマンドがコンピュータ制御ネットワーク160を介して遠隔コンピュータ制御システム170から受信されるのに応答して、データレジデンシ保護コンポーネントがダウンロードロジック140によってダウンロードされる。たとえば、一実施形態では、データレジデンシ保護コンポーネント(たとえば、実行可能ファイル)が構成ロジック130によって生成されると、システム管理者はグラフィカルユーザインターフェース上でアイコンを選択することにより、ダウンロードロジック140がコンポーネントをダウンロードするように指示してもよい。
一実施形態によれば、データレジデンシ保護コンポーネントは、ダウンロードされたときに、保護ドメイン環境内の遠隔コンピュータ制御システム170上に自動でインストールされる。一実施形態では、データレジデンシ保護コンポーネントがダウンロードされたときに自動でインストールされるように、視覚ユーザインターフェースロジック120がグラフィカルユーザインターフェースを介して選択可能なオプションを提供する。代替的には、データレジデンシ保護コンポーネントは、たとえばシステム管理者によって手動でインストールされてもよい。
一実施形態によれば、データレジデンシ保護コンポーネントが保護ドメイン環境の遠隔コンピュータ制御システム170にダウンロードされたとしても、当該データレジデンシ保護コンポーネントのコピーがコンピュータ制御サービス環境内のデータベースデバイス150に保存される。時間の経過に伴ってコンピュータ制御サービス環境のサービスアプリケーション構成が変更され、その結果、コンピュータ制御サービス環境とデータレジデンシ保護コンポーネントとの間の互換性がなくなる可能性がある。一実施形態では、構成ロジック130は、サービスアプリケーション構成の変更に応答してコンピュータ制御サービス環境内のデータレジデンシ保護コンポーネントを更新することにより、互換性を維持するように構成されている。
さらに、一実施形態では、ダウンロードロジック140は、更新されたデータレジデンシ保護コンポーネントを、コンピュータ制御ネットワーク160を介して保護ドメイン環境の遠隔コンピュータ制御システム170にダウンロードするように構成されている。更新されたコンポーネントは、ダウンロードされた後に、さまざまな実施形態に従って遠隔コンピュータ制御システム170上に自動または手動でインストールされ得る。このように、アプリケーション構成が変更された際に、コンピュータ制御サービス環境は、複数の保護ドメイン環境にわたる既存のデータレジデンシ保護コンポーネントを維持する。たとえば、一実施形態では、データレジデンシ保護コンポーネントは、ダウンロードおよびインストールされた後、構成更新に関してコンピュータ制御サービス環境のSaaSアプリケーションを定期的に参照してもよい。
他の実施形態は、図1のデータレジデンシ保護ロジック110と同一または類似の機能を提供する、さまざまなロジックまたはロジックの組み合わせを提供し得る。一実施形態では、データレジデンシ保護ロジック110は、ロジックの機能を実行するように構成されたアルゴリズムおよび/またはプログラムモジュールを含む実行可能アプリケーションである。アプリケーションは、非一時的なコンピュータ記憶媒体に格納されている。すなわち、一実施形態では、データレジデンシ保護ロジック110のロジックは、コンピュータ読取可能媒体に格納された命令のモジュールとして実現される。
一実施形態では、コンピュータシステム100は、少なくとも本明細書に開示された機能を提供し、かつ、コンピュータネットワーク上でコンピュータシステム100(サーバとして機能する)と通信するコンピューティングデバイス/端末(たとえば、表示画面/コンピューティングデバイス190)を介して多くのユーザによってアクセスされる集中型サーバサイドアプリケーションである。他の実施形態は、図1のシステム100と同一または類似の機能を提供する、さまざまなコンピュータおよびロジック、またはコンピュータおよびロジックの組み合わせを提供し得る。
このように、データレジデンシ保護ロジック110によって、保護ドメイン環境内の遠隔システム管理者は、保護ドメイン環境の外部のコンピュータ制御サービス環境内で個人識別情報(PII)のための保護を構成することが可能になる。ただし、保護は保護ドメイン環境内で実行される。
図2は、データレジデンシ保護コンポーネントを生成するために図1のデータレジデンシ保護ロジック110によって行なわれ得る方法200の一実施形態を示す。方法200は、図1のシステム100の動作を説明し、図1のシステム100によって、または方法200のアルゴリズムを備えて構成されたコンピューティングシステムによって行なわれるように実現される。たとえば、一実施形態では、方法200は、コンピュータアプリケーションを実行するように構成されたコンピューティングシステムによって実現される。コンピュータアプリケーションは、電子的にデータを処理するように構成されており、方法200の機能を行なう、格納された実行可能命令を含む。
コンピュータ制御サービス環境のシステム100がコンピュータ制御ネットワーク160を介して保護ドメイン環境の遠隔コンピュータ制御システム170と対話する図1の観点から、方法200を説明する。ただし、方法200は、コンピュータ制御サービス環境内の図1のシステム100のサーバコンピュータ105のデータレジデンシ保護ロジック110によって行なわれるものとする。
方法200が開始されると、ブロック210では、コンピュータ制御ネットワーク通信を介して、コンピュータ制御サービス環境において、保護ドメイン環境の遠隔コンピュータ制御システムからのユーザインターフェースコマンドが受信される。たとえば、一実施形態では、コンピュータ制御ネットワーク160(たとえば、WANまたはインターネット)を介して、保護ドメイン環境の遠隔コンピュータ制御システム170から、サーバコンピュータ105上のデータレジデンシ保護ロジック110によって構成コマンドが受信される。データレジデンシ保護ロジック110の視覚ユーザインターフェースロジック120は、グラフィカルユーザインターフェースを提供する。遠隔コンピュータ制御システム170のユーザ(たとえば、システム管理者またはインテグレーション専門家)は、このグラフィカルユーザインターフェースと対話することにより、ユーザインターフェースコマンドを与える。
ブロック220では、ユーザインターフェースコマンドに応答して、コンピュータ制御サービス環境内にデータレジデンシ保護コンポーネントが生成される。たとえば、一実施形態では、サーバコンピュータ105上のデータレジデンシ保護ロジック110の構成ロジック130が、構成コマンドに応答してデータレジデンシ保護コンポーネントを生成する。データレジデンシ保護コンポーネントは、コンピュータ制御サービス環境のためのプロキシとして働くように構成されている。データレジデンシ保護コンポーネントは、遠隔コンピュータ制御システム170によって保護ドメイン環境内で実行されると、個人識別情報(PII)を隔離し、保護ドメイン環境の外部で露出または保存されないようにする(たとえば代用トークンによって)。
再び図2を参照して、新たに生成されたデータレジデンシ保護コンポーネントが、コンピュータ制御サービス環境内に以前に生成されていた他のデータレジデンシ保護コンポーネントによって提供されるデータレジデンシ保護を無効にすることがないように保証するための確認が、ブロック220におけるデータレジデンシ保護コンポーネントの生成の一部として行なわれる。たとえば、一実施形態では、この確認は、サーバコンピュータ105上のデータレジデンシ保護ロジック110の構成ロジック130によって行なわれる。
図3は、図2の方法200のブロック220について拡大した一実施形態を示す。再びブロック220に戻って、たとえば保護ドメイン環境内の遠隔コンピュータ制御システムの管理者からのユーザインターフェースコマンドに応答して、コンピュータ制御サービス環境内にデータレジデンシ保護コンポーネントが生成される。図3を参照して、ブロック220のブロック222では、使用されていないトークン値の範囲または組が選択され、コンピュータ制御サービス環境内に生成されている他のデータレジデンシ保護コンポーネントが使用する値との衝突の可能性を回避するように(すなわち、他のデータレジデンシ保護コンポーネントによって提供されるデータレジデンシ保護が無効になるのを回避するように)確認が行なわれる。
ブロック220のブロック224では、保護対象の情報に関する選択オプションまたは必須オプションを含む構成ファイルが生成される。構成ファイルは、次に行なわれる検証をサポートするために、署名またはチェックサムが行なわれてもよい。ブロック220のブロック226では、実行可能なモジュール、プログラム、またはスクリプトが選択され、ダウンロード可能なフォーマットにパッケージ化される。パッケージ化されたダウンロード可能なフォーマットは、次に行なわれる検証をサポートするために、署名またはチェックサムが行なわれてもよい。
再び図1を参照して、保護ドメイン環境内のユーザがコンピュータ制御サービス環境によって提供されたアプリケーションにアクセスして使用する際に、コンピュータ制御サービス環境と保護ドメイン環境との間でデータ通信が行なわれ得る。一実施形態によれば、データレジデンシ保護コンポーネントは、遠隔コンピュータ制御システム170によって実行されると、保護ドメイン環境からコンピュータ制御サービス環境へのデータ通信において、個人識別情報(PII)を監視する。監視によって個人識別情報(PII)が検出されると、当該個人識別情報(PII)を表現および保護するためのトークンデータで当該個人識別情報(PII)を置換える。このように、個人識別情報(PII)が保護ドメイン環境の外に出ないようにする。その代わりに、トークンデータが、コンピュータ制御ネットワーク160を介してコンピュータ制御サービス環境に伝達(たとえば送信)される。
同様に、一実施形態によれば、データレジデンシ保護コンポーネントは、コンピュータ制御サービス環境から保護ドメイン環境へのデータ通信において、個人識別情報(PII)を表現するトークンデータを監視する。監視によってトークンデータが検出されると、当該トークンデータは、保護ドメイン環境内で対応する個人識別情報(PII)に置換えられる。このように、個人識別情報(PII)は、保護ドメイン環境における全体のデータの一部として適切に維持される。
他のデータレジデンシ保護コンポーネントは、データベースデバイス150に格納されている。したがって、コンピュータ制御サービス環境は、他のデータレジデンシ保護コンポーネント、およびそれらの保護構成を認識している。それにより、データレジデンシ保護ロジック110は、この認識にアクセスし、新たに生成されたデータレジデンシ保護コンポーネントが、他のデータレジデンシ保護コンポーネントによって提供されるデータレジデンシ保護を無効にすることがないように(逆も同様)保証するための分析(確認)を行なうことができる。
ブロック230では、データレジデンシ保護コンポーネントが生成されると、それはコンピュータ制御ネットワーク160を介して、コンピュータ制御サービス環境から保護ドメイン環境の遠隔コンピュータ制御システム170にダウンロードされ得る。たとえば、一実施形態では、ダウンロードは、サーバコンピュータ105上のデータレジデンシ保護ロジック110のダウンロードロジック140によって行なわれる。データレジデンシ保護コンポーネントがダウンロードされると、それは自動または手動で保護ドメイン環境内の遠隔コンピュータ制御システム170上にインストールされ得る。
一実施形態では、保護ドメイン環境に関係し、かつダウンロードされたファイルを有するシステム管理者は、受信システムの特定のセキュリティ設定に基づくデジタル証明書およびデジタル署名を受理するように促されてもよい。デジタル署名によって提供された出所の証明に基づいて設定および実行可能ファイルが管理者によってまたは自動で受理された場合、データレジデンシ保護コンポーネントを実行するのに用いられる保護ドメイン環境内のシステムのオペレーティングシステムに固有の方法で、ファイルがロードおよびインストールされ得る。代替的には、保護ドメイン環境内の実行システムは、コンピュータ制御サービス環境によって必要とされた実行可能コードの更新または構成の変更(たとえば、保護ドメイン環境内に常駐する情報についての規則が変更された場合)のための適切なファイルを自動でダウンロードするように構成されてもよい。また、他の言語またはオペレーティングシステムが使用された場合には、デジタル署名された構成、および使用される任意の実行可能プログラム、コード、またはファイルを分配するのに適した同等のセキュアなパッケージングフォーマットが存在する。
さらに、時間の経過に伴って、コンピュータ制御サービス環境のアプリケーション構成の変更が起こり、その結果、コンピュータ制御サービス環境とデータレジデンシ保護コンポーネントとの間の互換性がなくなる場合がある。ブロック240では、サービス(たとえば、クラウド)アプリケーション構成における変更の監視が行なわれる。一実施形態によれば、監視は、コンピュータ制御サービス環境内のサーバコンピュータ105上のデータレジデンシ保護ロジック110の構成ロジック130によって行なわれる。別の実施形態によれば、監視は、データレジデンシ保護ロジック110とは別の、コンピュータ制御サービス環境の異なるロジックによって行なわれる。当該異なるロジックは、サービスアプリケーション構成において検出された変更を構成ロジック130に通知する。
サービスアプリケーション構成の変更が検出されると、方法200はブロック220に戻り、必要に応じて、最新のサービスアプリケーション構成との互換性を得るためにデータレジデンシ保護コンポーネントを更新する。再び、一実施形態によれば、データレジデンシ保護コンポーネントのコピーがコンピュータ制御サービス環境内のデータベースデバイス150に格納され、それによって、更新のために構成ロジック130によって容易にアクセス可能になる。データレジデンシ保護コンポーネントは、更新されたときに、保護ドメイン環境内の遠隔コンピュータ制御システム170上にダウンロードおよびインストールされ、それによって、前のバージョンのデータレジデンシ保護コンポーネントに取って代わってもよい。
一実施形態によれば、コンピュータ制御サービス環境は、保護ドメイン環境の管理者に、どの情報を保護すべきかについての構成オプション(ブロック210)を提示する。その決定は、保護管轄区域の規則および法律に基づく。その管轄区域内の保護情報に関する最低条件に従った決定に基づき、いくつかのオプションが利用可能でないこともある。
Javaベースの実現例では、コンピュータ制御サービス環境は、オプションを詳細に記述する構成ファイルを生成し(ブロック220)、周知または公認の認証局からの公開鍵証明書を用いて、構成ファイルにデジタル署名し得る。それにより、構成がコンピュータ制御サービス環境によって生成された際に有効であったことが証明される。同様に、個々のJavaアーカイブ(「JARファイル」)がデジタル署名されてもよい。それによって、それらの出所が、管理者によって、または保護ドメイン環境内で動作するシステムによって検証可能になる。JNLP(Java Network Launch Protocol)として知られる一般的なファイルフォーマットを用いて、署名された構成およびJavaアーカイブファイルがダウンロードされ得るネットワークの位置、ならびに、ダウンロードされたファイルの動作に関連する他の情報を記述してもよい。なお、他の実施形態に従ってそのような情報を記述するために用いられ得る類似または同等のフォーマットは数多く存在する。
別の保護管轄区域のシステム管理者がコンピュータ制御サービス環境にアクセスすると、方法200のブロック210からブロック230まで、処理が繰り返され得る。提示される構成オプションは、その管轄区域内の保護情報に関する特定の要件または規則に基づいて異なってもよい。次いで、管理者は、デジタル署名された1つまたは複数のファイルをダウンロードし、本明細書で上述した検証、インストール、および実行へと進み得る。上述の方法で更新が施されてもよい。
コンピュータ制御サービス環境内の集中型システム(たとえば、システム100)は、方法200に記載される機能をサポートするために、各管轄区域内で使用されるトークンの値または値の範囲を管理する責任を負う。システム管理者に提示されるデータレジデンシオプションを制限するとともに、コンピュータ制御サービス環境にアクセス可能なネットワークアドレスを制限するなど、追加のセキュリティ対策をさらに施行してもよい。
このように、コンピュータ制御サービス環境内の集中型システムが正しく管理および構成されると、すべての保護管轄区域に関してデータレジデンシオプションが正しく構成されること、かつ、広く受け入れられている公開鍵暗号証明書技術を用いてデータレジデンシ保護コンポーネントの出所が検証可能であることが保証される。さらに、集中型システムによって、システムネットワークアドレスまたはアドレス範囲に基づくネットワークアクセス制限などの任意の追加のセキュリティ対策が、遠隔システム管理者によって正しく適用されていることが保証される。これにより、複数の保護管轄区域にわたってデータレジデンシまたは同様の要件を遵守するために必要な労力が大幅に削減される。また、集中型システムによる変更が必要となった場合に、実行可能ファイルまたは構成ファイルの更新に必要な労力が削減される。さらに、トークン値またはトークン範囲が重複または複写されているため、管轄区域から受信されたデータが集中型システムに保持されたデータを意図せず破損することがない。
このように、個人識別情報(PII)が保護ドメイン環境の外に出ないように保護しつつ、保護ドメイン環境内のユーザは、保護ドメイン環境の外部のコンピュータ制御サービス環境によって提供されたサービスアプリケーションにアクセスし、使用することができる。これにより、複雑でカスタマイズされたハードウェアおよび/またはソフトウェアの保護ソリューションを各保護ドメイン環境内にインストールおよび構成する必要がなくなる。さらに、更新されたデータレジデンシ保護コンポーネントを必要に応じて保護ドメイン環境に提供することにより、コンピュータ制御サービス環境によって保護が維持される。
個人識別情報を保護するように構成されたシステム、方法、および他の実施形態を説明してきた。一実施形態では、コンピュータ制御サービス環境はデータレジデンシ保護ロジックを含んでおり、このデータレジデンシ保護ロジックは、保護ドメイン環境から受信された構成コマンドに応答して、コンピュータ制御サービス環境内にデータレジデンシ保護コンポーネントを生成するように構成されている。データレジデンシ保護コンポーネントは、保護ドメイン環境にダウンロードされてもよく、保護ドメイン環境内で実行されると、個人識別情報を保護ドメイン環境の外部に露出しないように隔離するコンピュータ制御サービス環境のためのプロキシとして働く。
コンピューティングデバイスの実施形態
図4は、本明細書で説明される例示的なシステムおよび方法、および/または均等物のうちの1つ以上で構成および/またはプログラムされた例示的なコンピューティングデバイスを示す。図4は、データレジデンシ保護ロジックの実施形態が実現され得るコンピューティングデバイスの実施形態の一例を示す。例示的なコンピューティングデバイスは、バス408によって動作可能に接続されたプロセッサ402と、メモリ404と、入力/出力ポート410とを含むコンピュータ400であってもよい。
一例では、コンピュータ400は、データレジデンシ保護ロジック430(たとえば、図1のデータレジデンシ保護ロジック110に対応)を含んでいてもよい。異なる例では、ロジック430は、ハードウェア、命令が格納された非一時的なコンピュータ読取可能媒体、ファームウェア、および/またはそれらの組み合わせで実現されてもよい。ロジック430はバス408に取付けられたハードウェアコンポーネントとして示されているが、他の実施形態では、ロジック430は、プロセッサ402、メモリ404に格納されたモジュール、またはディスク406に格納されたモジュールとして実現されてもよいことが理解されるべきである。
一実施形態では、ロジック430またはコンピュータ400は、説明されたアクションを行なうための手段(たとえば、ハードウェア、非一時的コンピュータ読取可能媒体、ファームウェアといった構造)である。いくつかの実施形態では、コンピューティングデバイスは、クラウドコンピューティングシステムにおいて動作するサーバ、ソフトウェア・アズ・ア・サービス(SaaS)アーキテクチャにおいて構成されたサーバ、スマートフォン、ラップトップ、タブレットコンピューティングデバイスなどとして構成されてもよい。
上記手段は、たとえば、保護ドメイン環境からのコマンドに応答してコンピュータ制御サービス環境内にデータレジデンシ保護コンポーネントを生成するようにプログラムされた特定用途向け集積回路(ASIC)として実現されてもよい。上記手段は、一時的にメモリ404に格納されてプロセッサ402によって実行されるデータ416としてコンピュータ400に与えられる、格納されたコンピュータ実行可能命令としても実現されてもよい。
ロジック430は、コンピュータ制御ネットワーク通信を介して、コンピュータ制御サービス環境において、保護ドメイン環境の遠隔コンピュータ制御システムからユーザインターフェースコマンドを受信するための手段(たとえば、ハードウェア、実行可能命令を格納する非一時的コンピュータ読取可能媒体、ファームウェア)を提供してもよい。ロジック430は、ユーザインターフェースコマンドに応答してコンピュータ制御サービス環境内にデータレジデンシ保護コンポーネントを生成するための手段を提供してもよい。
コンピュータ400の例示的な構成を概して説明すると、プロセッサ402は、デュアルマイクロプロセッサおよび他のマルチプロセッサアーキテクチャを含む、多種多様のプロセッサであってもよい。メモリ404は、揮発性メモリおよび/または不揮発性メモリを含んでいてもよい。不揮発性メモリは、たとえばROM、PROMなどを含んでいてもよい。揮発性メモリは、たとえばRAM、SRAM、DRAMなどを含んでいてもよい。
記憶ディスク406は、たとえば入力/出力インターフェース(たとえば、カード、デバイス)418および入力/出力ポート410を介して、コンピュータ400に動作可能に接続されていてもよい。ディスク406は、たとえば、磁気ディスクドライブ、ソリッドステートディスクドライブ、フロッピー(登録商標)ディスクドライブ、テープドライブ、Zipドライブ、フラッシュメモリカード、メモリスティックなどであってもよい。さらに、ディスク406は、CD−ROMドライブ、CD−Rドライブ、CD−RWドライブ、DVD ROMなどであってもよい。メモリ404は、たとえば処理414および/またはデータ416を格納可能してもよい。ディスク406および/またはメモリ404は、コンピュータ400のリソースの制御および割り当てを行なうオペレーティングシステムを格納してもよい。
コンピュータ400は、i/oインターフェース418および入力/出力ポート410を介して入力/出力デバイスと対話してもよい。入力/出力デバイスは、たとえば、キーボード、マイクロホン、ポインティングおよび選択デバイス、カメラ、ビデオカード、ディスプレイ、ディスク406、ネットワークデバイス420などであってもよい。入力/出力ポート410は、たとえば、シリアルポート、パラレルポート、およびUSBポートを含んでいてもよい。
コンピュータ400はネットワーク環境において動作し得るため、i/oインターフェース418および/またはi/oポート410を介してネットワークデバイス420に接続されていてもよい。ネットワークデバイス420を介して、コンピュータ400はネットワークと対話してもよい。ネットワークを介して、コンピュータ400は遠隔コンピュータと論理的に接続されていてもよい。コンピュータ400が対話し得るネットワークは、LAN、WAN、および他のネットワークを含むが、これらに限定されない。
定義および他の実施形態
別の実施形態では、説明された方法および/またはそれらの均等物は、コンピュータ実行可能命令で実現されてもよい。このため、一実施形態では、非一時的コンピュータ読取可能/記憶媒体は、マシンによって実行されると、マシン(および/または関連付けられたコンポーネント)に方法を行なわせる、アルゴリズム/実行可能アプリケーションの格納されたコンピュータ実行可能命令で構成される。例示的なマシンは、プロセッサ、コンピュータ、クラウドコンピューティングシステムにおいて動作するサーバ、ソフトウェア・アズ・ア・サービス(SaaS)アーキテクチャにおいて構成されたサーバ、スマートフォンなどを含むが、それらに限定されない。一実施形態では、コンピューティングデバイスは、開示された方法のうちのいずれかを行なうように構成された1つ以上の実行可能アルゴリズムで実現される。
1つ以上の実施形態では、開示された方法またはそれらの均等物は、方法を行なうように構成されたコンピュータハードウェア、または、方法を行なうように構成された実行可能アルゴリズムを含む非一時的コンピュータ読取可能媒体で具体化されるコンピュータソフトウェアによって行なわれる。
説明を簡潔にするために、図面に示された方法論は、アルゴリズムの一連のブロックとして図示され説明されているが、方法論はブロックの順序によって限定されないということが理解されるべきである。いくつかのブロックは、図示され説明されたものとは異なる順序で、および/または他のブロックと同時に起こり得る。さらに、例示的な方法論を実現するために、図示されたブロックがすべて使用されなくてもよい。ブロックは組み合わされてもよく、または複数のアクション/コンポーネントへと分けられてもよい。さらに、追加のおよび/または代替的な方法論は、ブロックで図示されていない追加のアクションを採用することができる。
以下は、本明細書で採用された、選択された用語の定義を含む。定義は、用語の範囲内に該当し、実現のために使用され得る、構成要素のさまざまな例および/または形態を含む。例は、限定的であるよう意図されてはいない。用語の単数形および複数形は双方とも、定義の範囲内にあり得る。
「一実施形態」、「実施形態」、「一例」、「例」などへの言及は、そのように説明された実施形態または例がある特定の特徴、構造、特性、性質、要素、または限定を含み得るが、すべての実施形態または例が必ずしもその特定の特徴、構造、特性、性質、要素、または限定を含んではいない、ということを示す。さらに、「一実施形態では」という句の反復使用は必ずしも同じ実施形態を指してはいないが、指す場合もある。
ASIC:特定用途向け集積回路。
CD:コンパクトディスク。
CD−R:記録可能CD。
CD−RW:書換可能CD。
DVD:デジタル多用途ディスクおよび/またはデジタルビデオディスク。
HTTP:ハイパーテキスト転送プロトコル。
LAN:ローカルエリアネットワーク。
RAM:ランダムアクセスメモリ。
DRAM:ダイナミックRAM。
SRAM:同期型RAM。
ROM:読出専用メモリ。
PROM:プログラマブルROM。
EPROM:消去可能PROM。
EEPROM:電気的消去可能PROM。
USB:ユニバーサルシリアルバス。
WAN:ワイドエリアネットワーク。
「動作可能な接続」、またはエンティティが「動作可能に接続される」接続とは、信号、物理的通信、および/または論理的通信が送信および/または受信され得る接続である。動作可能な接続は、物理インターフェース、電気インターフェース、および/またはデータインターフェースを含んでいてもよい。動作可能な接続は、動作可能な制御を可能にするのに十分である、インターフェースおよび/または接続の異なる組み合わせを含んでいてもよい。たとえば、2つのエンティティが、信号を互いに直接、または1つ以上の中間エンティティ(たとえば、プロセッサ、オペレーティングシステム、ロジック、非一時的コンピュータ読取可能媒体)を通して通信するために、動作可能に接続され得る。動作可能な接続は、1つのエンティティがデータを生成してそのデータをメモリに格納すること、および、別のエンティティがたとえば命令制御を介してメモリからそのデータを検索することを含んでいてもよい。動作可能な接続を作り出すために、論理的および/または物理的通信チャネルが使用され得る。
本明細書で使用されるような「コンピュータ読取可能媒体」または「コンピュータ記憶媒体」とは、実行されると開示された機能のうちの1つ以上を行なうように構成された命令および/またはデータを格納する非一時的媒体を指す。コンピュータ読取可能媒体は、不揮発性媒体および揮発性媒体を含むがこれらに限定されない形態をとってもよい。不揮発性媒体は、たとえば、光ディスク、磁気ディスクなどを含んでいてもよい。揮発性媒体は、たとえば、半導体メモリ、ダイナミックメモリなどを含んでいてもよい。コンピュータ読取可能媒体の一般的形態は、フロッピー(登録商標)ディスク、フレキシブルディスク、ハードディスク、磁気テープ、他の磁気媒体、特定用途向け集積回路(ASIC)、プログラマブルロジックデバイス、コンパクトディスク(CD)、他の光学媒体、ランダムアクセスメモリ(RAM)、読出専用メモリ(ROM)、メモリチップまたはカード、メモリスティック、ソリッドステートストレージデバイス(solid state storage device:SSD)、フラッシュドライブ、および、コンピュータ、プロセッサ、または他の電子デバイスがそれを用いて機能し得る他の媒体を含んでいてもよいが、これらに限定されない。各タイプの媒体は、一実施形態における実現のために選択された場合、開示および/または請求された機能のうちの1つ以上を行なうように構成されたアルゴリズムの格納された命令を含んでいてもよい。
本明細書で使用されるような「ロジック」とは、本明細書で開示されるような機能またはアクションのうちのいずれかを行なうために、ならびに/もしくは、別のロジック、方法、および/またはシステムからの機能またはアクションが本明細書で開示されるように行なわれるようにするために、コンピュータまたは電気ハードウェア、実行可能アプリケーションまたはプログラムモジュールの命令が格納された非一時的媒体、および/またはこれらの組み合わせで実現された構成要素を表わす。均等のロジックは、ファームウェア、アルゴリズムでプログラムされたマイクロプロセッサ、ディスクリートロジック(たとえばASIC)、少なくとも1つの回路、アナログ回路、デジタル回路、プログラムロジックデバイス、アルゴリズムの命令を含むメモリデバイスなどを含んでいてもよく、それらのいずれも、開示された機能のうちの1つ以上を行なうように構成されてもよい。一実施形態では、ロジックは、開示された機能のうちの1つ以上を行なうように構成された1つ以上のゲート、ゲートの組み合わせ、または他の回路部品を含んでいてもよい。複数のロジックが説明される場合、それら複数のロジックを1つのロジックに組込むことが可能であってもよい。同様に、単一のロジックが説明される場合、その単一のロジックを複数のロジック間で分散させることが可能であってもよい。一実施形態では、これらのロジックのうちの1つ以上は、開示および/または請求された機能を行なうことに関連付けられた、対応する構造である。実現するためにどのタイプのロジックを選択するかは、所望のシステム条件または仕様に基づいていてもよい。たとえば、より速い速度が考慮事項である場合、ハードウェアが、機能を実現するために選択されるであろう。より低いコストが考慮事項である場合、格納された命令/実行可能アプリケーションが、機能を実現するために選択されるであろう。
本明細書で使用されるような「ユーザ」とは、1人以上の人、1つ以上のコンピュータまたは他のデバイス、もしくはこれらの組み合わせを含むが、それらに限定されない。
開示された実施形態はかなり詳細に図示され説明されてきたが、請求項の範囲をそのような詳細に制限するかまたは何らかのやり方で限定することが意図ではない。主題のさまざまな局面を説明する目的のために、構成要素または方法論の考えられるすべての組み合わせを説明することは、もちろん不可能である。したがって、この開示は、図示され説明された特定の詳細または例示に限定されない。このため、この開示は、請求項の範囲内にある変更、修正、および変形を包含するよう意図される。
詳細な説明または請求項で「含む」または「含んでいる」という用語が採用される限りにおいて、それは、「備える」という用語が請求項で移行語として採用される場合に解釈されるものと同様の態様で非排他的であるよう意図される。
詳細な説明または請求項で「または」という用語が使用される(たとえばAまたはB)限りにおいて、それは、「AまたはBまたは双方」を意味するよう意図される。出願人が「AまたはBのみであって双方ではない」ことを示すよう意図する場合、「AまたはBのみであって双方ではない」という句が使用されるであろう。このため、本明細書での「または」という用語の使用は、排他的使用ではなく、非排他的使用である。
本明細書で「A、B、およびCのうちの1つ以上」という句が使用される(たとえば、A、B、およびCのうちの1つ以上を格納するように構成されたデータ格納)限りにおいて、それは、A、B、C、AB、AC、BC、および/またはABCという可能性の集合(たとえば、データ格納は、Aのみ、Bのみ、Cのみ、AとB、AとC、BとC、および/または、AとBとCを格納し得る)を伝えるよう意図されている。それは、Aのうちの1つ、Bのうちの1つ、およびCのうちの1つを必要とするよう意図されてはいない。出願人が「Aのうちの少なくとも1つ、Bのうちの少なくとも1つ、およびCのうちの少なくとも1つ」を示すよう意図する場合、「Aのうちの少なくとも1つ、Bのうちの少なくとも1つ、およびCのうちの少なくとも1つ」という句が使用されるであろう。

Claims (10)

  1. メモリからの命令を実行するための少なくとも1つのプロセッサを含むコンピューティングデバイスによって行なわれる、コンピュータにより実現される方法であって、前記方法は、
    ンピュータ制御サービス環境における構成モジュールにおいて通信ネットワークを介して、保護ドメイン環境の遠隔コンピュータ制御システムによって送信されたユーザインターフェースコマンドを受信するステップを含み、前記ユーザインターフェースコマンドは、前記保護ドメイン環境内の個人識別情報へのアクセスに対して課せられる制限を示す構成オプションを含み
    前記ユーザインターフェースコマンドの受信に応答して、前記構成モジュールを用いて、前記コンピュータ制御サービス環境内にデータレジデンシ保護コンポーネントを生成するステップを備え、前記データレジデンシ保護コンポーネントは、前記遠隔コンピュータ制御システムによって前記保護ドメイン環境内で実行されると、前記構成オプションにしたがって、
    i)前記保護ドメイン環境の外部の前記個人識別情報への前記アクセスを制限を課すプロキシとして動作し、
    ii)前記個人識別情報のための前記保護ドメイン環境から前記コンピュータ制御サービス環境へのデータ通信を監視し、
    iii)前記個人識別情報を、当該個人識別情報を表現および保護するためのトークンデータで置換え、
    iv)前記通信ネットワークを介して前記コンピュータ制御サービス環境へ前記トークンデータを送信する、ように構成されており、
    前記方法は、さらに、
    前記通信ネットワークを介して、前記コンピュータ制御サービス環境から前記保護ドメイン環境の前記遠隔コンピュータ制御システムに、実行可能なファイルとして前記データレジデンシ保護コンポーネントをダウンロードするステップと、
    前記コンピュータ制御サービス環境にアクセス可能なデータレジデンシデータベースにおける前記データレジデンシ保護コンポーネントに対応するレコードを格納するステップとを備え、前記レコードは前記制限を識別し、
    第2の構成オプションを含む第2のユーザインターフェイスコマンドをその後に受信したことに応答して、前記データレジデンシ保護コンポーネントの制限を無効にする第2のデータレジデンシ保護コンポーネントを生成することを避けるために、前記構成モジュールを用いて、前記データレジデンシデータベースのレコードを参照するステップを含む、方法。
  2. 前記データレジデンシ保護コンポーネントは、前記遠隔コンピュータ制御システムによって前記保護ドメイン環境内で実行されると、前記遠隔コンピュータ制御システムに、
    前記コンピュータ制御サービス環境から前記保護ドメイン環境へのデータ通信において、前記個人識別情報を表現するトークンデータを監視させ
    前記トークンデータを、前記保護ドメイン環境内で前記個人識別情報に置換えさせる、ように構成されている、請求項1に記載の方法。
  3. 前記コンピュータ制御サービス環境のサービスアプリケーション構成の変更に応答して、前記コンピュータ制御サービス環境の前記構成モジュールを用いて、前記コンピュータ制御サービス環境内の前記データレジデンシ保護コンポーネントを更新するステップと、
    前記通信ネットワークを介して、更新された前記データレジデンシ保護コンポーネントを前記保護ドメイン環境にダウンロードするステップとをさらに含む、請求項1または2に記載の方法。
  4. 前記データレジデンシ保護コンポーネントはJava実行可能コンポーネントを含む、請求項1〜3のいずれかに記載の方法。
  5. 前記データレジデンシ保護コンポーネントは、ウェブベースプロトコルによって動作するように構成されている、請求項1〜のいずれかに記載の方法。
  6. 前記データレジデンシ保護コンポーネントは、メール転送プロトコルによって動作するように構成されている、請求項1〜のいずれかに記載の方法。
  7. 前記データレジデンシ保護コンポーネントは、ファイル転送プロトコルによって動作するように構成されている、請求項1〜のいずれかに記載の方法。
  8. 前記データレジデンシ保護コンポーネントは、前記保護ドメイン環境にダウンロードされたときに、前記保護ドメイン環境内の前記遠隔コンピュータ制御システム上に自動でインストールされるように構成されている、請求項1〜のいずれかに記載の方法。
  9. 請求項1〜8のいずれかに記載の方法をコンピュータに実行させる、プログラム。
  10. 請求項9に記載のプログラムを格納したメモリと、
    前記プログラムを実行するプロセッサとを備える、システム。
JP2018548813A 2016-03-18 2017-03-16 遠隔プロキシを用いてデータレジデンシ保護を提供するためのシステムおよび方法 Active JP6887438B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15/073,700 2016-03-18
US15/073,700 US10176341B2 (en) 2016-03-18 2016-03-18 Systems and methods for providing data residency protection using remote proxies
PCT/US2017/022621 WO2017161065A1 (en) 2016-03-18 2017-03-16 Systems and methods for providing data residency protection using remote proxies

Publications (3)

Publication Number Publication Date
JP2019511779A JP2019511779A (ja) 2019-04-25
JP2019511779A5 JP2019511779A5 (ja) 2020-04-30
JP6887438B2 true JP6887438B2 (ja) 2021-06-16

Family

ID=58461460

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018548813A Active JP6887438B2 (ja) 2016-03-18 2017-03-16 遠隔プロキシを用いてデータレジデンシ保護を提供するためのシステムおよび方法

Country Status (5)

Country Link
US (2) US10176341B2 (ja)
EP (1) EP3430785B1 (ja)
JP (1) JP6887438B2 (ja)
CN (1) CN108781220B (ja)
WO (1) WO2017161065A1 (ja)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10430611B2 (en) * 2017-05-03 2019-10-01 Salesforce.Com, Inc. Techniques and architectures for selective obfuscation of personally identifiable information (PII) in environments capable of replicating data
US10404783B2 (en) * 2017-08-16 2019-09-03 Vmware, Inc. Outside-of-network management of a component in a virtual data center
EP3588894B1 (en) 2018-06-28 2022-08-10 eperi GmbH Communicating data between computers by harmonizing data types
US10764089B2 (en) 2017-08-29 2020-09-01 eperi GmbH Gateway computer system with intermediate data processing according to rules that are specified by templates
US10972740B2 (en) 2018-03-06 2021-04-06 Forcepoint, LLC Method for bandwidth reduction when streaming large format multi-frame image data
US11025453B2 (en) 2018-03-23 2021-06-01 Vmware, Inc. Outside-of-network management of a component in a virtual data center using a remote display on a host management server
US11134087B2 (en) 2018-08-31 2021-09-28 Forcepoint, LLC System identifying ingress of protected data to mitigate security breaches
US11140190B2 (en) 2018-10-23 2021-10-05 Forcepoint, LLC Automated user module assessment
JP2020067883A (ja) * 2018-10-25 2020-04-30 ビリングシステム株式会社 ユーザ属性情報管理システム、方法およびプログラム
US11048611B2 (en) 2018-11-29 2021-06-29 Forcepoint, LLC Web extension JavaScript execution control by service/daemon
US11132973B2 (en) 2019-02-01 2021-09-28 Forcepoint, LLC System for capturing images from applications rendering video to a native platform with a graphics rendering library
US10917382B2 (en) * 2019-04-03 2021-02-09 Forcepoint, LLC Virtual point of presence in a country to allow for local web content
US11334683B2 (en) * 2019-07-25 2022-05-17 Pearson Education, Inc. Method for a multi-country data pipeline to protect personally identifying information
US11431743B2 (en) 2020-02-03 2022-08-30 Forcepoint, LLC Cross domain dynamic data protection intermediary message transform platform
EP4235423A1 (en) 2022-02-28 2023-08-30 Tata Consultancy Services Limited System and method for data residency compliant data placement in cloud

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
IL127073A0 (en) * 1998-11-15 1999-09-22 Tiktech Software Ltd Software translation system and method
US7979889B2 (en) * 2005-01-07 2011-07-12 Cisco Technology, Inc. Methods and apparatus providing security to computer systems and networks
JP4354443B2 (ja) * 2005-09-21 2009-10-28 京セラミタ株式会社 画像読取装置
JP4672518B2 (ja) * 2005-10-18 2011-04-20 株式会社日立製作所 情報処理装置、情報処理装置の制御方法、及びプログラム
US7865521B2 (en) * 2005-12-12 2011-01-04 International Business Machines Corporation Access control for elements in a database object
US9049244B2 (en) * 2011-04-19 2015-06-02 Cloudflare, Inc. Registering for internet-based proxy services
US20120278487A1 (en) * 2011-04-27 2012-11-01 Woelfel John Harold System and method of handling requests in a multi-homed reverse proxy
US10165007B2 (en) * 2011-09-15 2018-12-25 Microsoft Technology Licensing, Llc Securing data usage in computing devices
US9467424B2 (en) * 2011-10-07 2016-10-11 Salesforce.Com, Inc. Methods and systems for proxying data
US8984650B2 (en) * 2012-10-19 2015-03-17 Pearson Education, Inc. Privacy server for protecting personally identifiable information
AU2014232562B2 (en) 2013-03-15 2019-11-21 Servicemesh, Inc. Systems and methods for providing ranked deployment options
CN104580314A (zh) * 2013-10-24 2015-04-29 中国移动通信集团广东有限公司 一种云计算系统数据隔离的方法、装置及终端
US10129370B2 (en) 2014-08-01 2018-11-13 Protegrity Corporation Mapping between user interface fields and protocol information
CN105205370B (zh) * 2015-08-24 2018-12-04 北京恒信安科技有限公司 移动终端安全防护方法及移动终端、安全系统和应用方法

Also Published As

Publication number Publication date
CN108781220A (zh) 2018-11-09
EP3430785B1 (en) 2019-12-18
US20170270317A1 (en) 2017-09-21
JP2019511779A (ja) 2019-04-25
EP3430785A1 (en) 2019-01-23
US10176341B2 (en) 2019-01-08
US10831929B2 (en) 2020-11-10
US20190138751A1 (en) 2019-05-09
CN108781220B (zh) 2021-05-04
WO2017161065A1 (en) 2017-09-21

Similar Documents

Publication Publication Date Title
JP6887438B2 (ja) 遠隔プロキシを用いてデータレジデンシ保護を提供するためのシステムおよび方法
US10362032B2 (en) Providing devices as a service
US11750609B2 (en) Dynamic computing resource access authorization
US9792428B2 (en) Dynamic password generation
US20210271777A1 (en) Container builder for individualized network services
US11924344B2 (en) Access sovereignty
CN114586032B (zh) 安全的工作负载配置
US20210243085A1 (en) Deploying data-loss-prevention policies to user devices
US20220400021A1 (en) Network multi-tenant architecture for distributed ledger systems

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200316

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200316

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210326

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210421

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210518

R150 Certificate of patent or registration of utility model

Ref document number: 6887438

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250