JP7489197B2 - クラウド監視・修復方法、クラウド監視・修復システム及びプログラム - Google Patents

クラウド監視・修復方法、クラウド監視・修復システム及びプログラム Download PDF

Info

Publication number
JP7489197B2
JP7489197B2 JP2020014684A JP2020014684A JP7489197B2 JP 7489197 B2 JP7489197 B2 JP 7489197B2 JP 2020014684 A JP2020014684 A JP 2020014684A JP 2020014684 A JP2020014684 A JP 2020014684A JP 7489197 B2 JP7489197 B2 JP 7489197B2
Authority
JP
Japan
Prior art keywords
cloud
repair
name
unit
log
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020014684A
Other languages
English (en)
Other versions
JP2021121886A (ja
Inventor
利樹 伊藤
伸介 小祝
崇広 山中
Original Assignee
株式会社Nttデータ
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社Nttデータ filed Critical 株式会社Nttデータ
Priority to JP2020014684A priority Critical patent/JP7489197B2/ja
Priority to PCT/JP2020/018219 priority patent/WO2021152876A1/ja
Publication of JP2021121886A publication Critical patent/JP2021121886A/ja
Application granted granted Critical
Publication of JP7489197B2 publication Critical patent/JP7489197B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)

Description

特許法第30条第2項適用 (1)“横浜銀行にてパブリッククラウド活用ソリューション「A-gate▲TM▼」を採用~マルチクラウド活用体制を迅速に構築し、システム開発に着手~”、[online]、令和1年7月19日、株式会社NTTデータ、[令和2年2月25日検索]、インターネット〈URL:https://www.nttdata.com/jp/ja/news/release/2019/071900/〉 (2)“フィンクロス・パートナーシップ参加行にて「A-gate▲TM▼」採用を決定”、[online]、令和1年8月1日、株式会社NTTデータ、[令和2年2月25日検索、インターネット〈URL:https://www.nttdata.com/jp/ja/news/release/2019/080101/〉
本発明は、クラウド監視方法、クラウド監視システム及びプログラムに関する。
近年、Amazon Web Services(登録商標)等のパブリッククラウドが普及してきている(非特許文献1参照)。このパブリッククラウドの利用者は、仮想サーバやストレージ等のリソースをインターネット経由で借り受けることができる。
"Amazon Web Services"、[online]、[令和1年12月17日検索]、インターネットURL:https://aws.amazon.com/jp/
パブリッククラウドは、簡易な設定変更のみで他のアカウントやインターネットへのデータの公開、ネットワークの接続の確立が可能である。そのため、データの通信方法や共有方法に関する設定が誤って変更されたり、悪意を持って意図的に設定が変更されたりすると、情報漏洩につながるおそれがある。
本発明は、このような事情に鑑みてなされたものであり、パブリッククラウドの利用者が誤って又は悪意を持って意図的にクラウドリソースを操作することにより、情報セキュリティ上の問題が発生してしまうことを防止することを目的とする。
上記課題を解決するため、本発明は、クラウド監視システムにより実行されるクラウド監視方法であって、パブリッククラウドの利用者がクラウドリソースに対する操作を実行すると、当該クラウドリソースの名称及び当該操作に応じて実行されたAPIの組を含むログを生成するステップと、前記生成されたログに基づいて、前記操作の種類が、セキュリティリスクを高める可能性がある所定の操作の種類に該当するか否かを判定するステップと、クラウドリソースの名称及びAPIの名称の複数の組のそれぞれと予め対応付けられた複数の修復部のうち、前記生成されたログに含まれるクラウドリソースの名称及びAPIの名称の組に対応付けられている修復部を選択するステップと、前記操作の種類が前記所定の操作の種類に該当すると判定された場合に、選択された前記修復部において、前記操作に起因するセキュリティリスクを低減するための処理を実行するステップとを有するクラウド監視方法を提供する。
好ましい態様において、前記クラウド監視方法は、前記操作の種類が前記所定の操作の種類に該当すると判定された場合に、前記ログに基づいて、前記操作により設定されたパラメータが、前記利用者により予め許可された操作により設定される所定のパラメータに該当するか否かを判定するステップをさらに有し、前記操作に起因するセキュリティリスクを低減するための処理を実行するステップは、前記操作により設定されたパラメータが前記所定のパラメータに該当しないと判定された場合に、前記操作に起因するセキュリティリスクを低減するための処理を実行するステップである。
さらに好ましい態様において、前記操作に起因するセキュリティリスクを低減するための処理は、前記操作により設定されたパラメータを削除するか、または当該パラメータを元の状態に戻す処理である。
さらに好ましい態様において、前記クラウド監視方法は、前記操作に起因するセキュリティリスクを低減するための処理の結果を、前記クラウドリソースの利用者であって、予め定められた利用者に通知するステップをさらに有する。
また、本発明は、パブリッククラウドの利用者がクラウドリソースに対する操作を実行すると、当該クラウドリソースの名称及び当該操作に応じて実行されたAPIの組を含む当該操作のログを生成するログ生成部と、前記生成されたログに基づいて、前記操作の種類が、セキュリティリスクを高める可能性がある所定の操作の種類に該当するか否かを判定する判定部と、クラウドリソースの名称及びAPIの名称の複数の組のそれぞれと予め対応付けられた複数の修復部と、前記複数の修復部のうち、前記生成されたログに含まれるクラウドリソースの名称及びAPIの名称の組に対応付けられている修復部を選択する選択部とを備え、選択された前記修復部は、前記操作の種類が前記所定の操作の種類に該当すると判定された場合に、前記操作に起因するセキュリティリスクを低減するための処理を実行するクラウド監視システムを提供する。
また、本発明は、コンピュータに、パブリッククラウドの利用者がクラウドリソースに対する操作を実行すると、当該クラウドリソースの名称及び当該操作に応じて実行されたAPIの組を含むログを生成するステップと、前記生成されたログに基づいて、前記操作の種類が、セキュリティリスクを高める可能性がある所定の操作の種類に該当するか否かを判定するステップと、クラウドリソースの名称及びAPIの名称の複数の組のそれぞれと予め対応付けられた複数の修復部のうち、前記生成されたログに含まれるクラウドリソースの名称及びAPIの名称の組に対応付けられている修復部を選択するステップと、前記操作の種類が前記所定の操作の種類に該当すると判定された場合に、選択された前記修復部において、前記操作に起因するセキュリティリスクを低減するための処理を実行するステップとを実行させるためのプログラムを提供する。
本発明によれば、パブリッククラウドの利用者が誤って又は悪意を持って意図的にクラウドリソースを操作することにより、情報セキュリティ上の問題が発生してしまうことを防止することができる。
クラウド監視システム1の構成の一例を示すブロック図 監視処理を示すフロー図 API実行ログの一例を示す図 フィルタルールの一例を示す図 検知処理を示すフロー図 パラメータ情報の一例を示す図 メッセージの一例を示す図
1.実施形態
1-1.構成
本発明の一実施形態に係るクラウド監視システム1について、図面を参照して説明する。
クラウド監視システム1は、インターネットを経由してリソースをレンタルするパブリッククラウドにおいて、利用者がリソースに対して行った操作を監視するためのシステムである。本システムは、利用者がセキュリティリスクを高める可能性のある操作を行ったことを検知すると、当該操作に起因するセキュリティリスクを低減するための処理を実行する。
図1は、クラウド監視システム1の構成の一例を示すブロック図である。同図に示すクラウド監視システム1は、テナントTと管理者Aがパブリッククラウドを利用する場合を想定している。テナントTと管理者Aは各々、自身のアカウントと対応付けられたクラウドリソースのみを利用する。
テナントTのアカウントは、リソース設定情報記憶部11、リソース操作部12、ログ生成部13、API実行ログ記憶部14及び監視部15と対応付けられている。これらの要素のうち、リソース設定情報記憶部11とAPI実行ログ記憶部14は、HDD等の記憶装置により実現され、リソース操作部12、ログ生成部13及び監視部15の各機能は、CPU等の演算処理装置が、記憶装置に記憶されるプログラムを実行することにより実現される。
一方、管理者Aのアカウントは、修復部選択部21、例外操作記憶部22、修復部23、テナント情報記憶部24及びメッセージ送信部25と対応付けられている。これらの要素のうち、例外操作記憶部22及びテナント情報記憶部24は、HDD等の記憶装置により実現され、修復部選択部21、修復部23及びメッセージ送信部25の各機能は、CPU等の演算処理装置が、記憶装置に記憶されるプログラムを実行することにより実現される。この演算処理装置により実行されるプログラムは、非一時的な記憶媒体やインターネット等のネットワークを介して頒布可能なプログラムである。
以下、クラウド監視システム1を構成する各要素について説明する。
リソース設定情報記憶部11は、テナントTにより作成されたクラウドリソースの設定情報を記憶する。ここで、テナントTにより作成されるクラウドリソースには、例えば、仮想サーバ、ストレージ、仮想ネットワーク、データベース及び通知サービスが含まれる。
仮想サーバを作成する際、テナントTは、仮想サーバのマシンスペック、仮想サーバを配置する仮想ネットワークのID、仮想サーバのIPアドレス、仮想サーバにインストールするソフトウェア等を設定する。設定された情報は、対応付けられてリソース設定情報記憶部11に格納される。
ストレージを作成する際、テナントTは、データを格納するコンテナ名、コンテナにアクセス可能な利用者のID等を設定する。設定された情報は、対応付けられてリソース設定情報記憶部11に格納される。
仮想ネットワークを作成する際、テナントTは、仮想ネットワークのID、仮想ネットワークを構成するサブネットのID、CIDRブロック、仮想ネットワークのインターネットへの接続有無、仮想ネットワークのルートテーブル等を設定する。設定された情報は、対応付けられてリソース設定情報記憶部11に格納される。
通知サービスを作成する際、テナントTは、メッセージの送信元及び宛先、メッセージの暗号化の有無、通知サービスの使用料金の上限等を設定する。設定された情報は、対応付けられてリソース設定情報記憶部11に格納される。
次に、リソース操作部12は、テナントTがインターネットを経由してクラウドリソースの操作を指示すると、この指示に応じてAPIを実行し、対象のクラウドリソースを操作する。具体的には、テナントTがクラウドリソースの作成を指示すると、クラウドリソースを作成して、その設定情報をリソース設定情報記憶部11に格納する。また、テナントTが、すでに作成済みのクラウドリソースの設定情報の変更を指示すると、リソース設定情報記憶部11に格納されているその設定情報を変更する。
ログ生成部13は、リソース操作部12により実行されたAPIのログを生成し、API実行ログ記憶部14に格納する。
監視部15は、API実行ログ記憶部14に格納されたAPI実行ログを読み出し、読み出したAPI実行ログを参照して、実行されたAPIがセキュリティリスク(より具体的には情報漏洩のリスク)を高める可能性のあるAPIであるか否かを判定する。具体的には、読み出したAPI実行ログに記録されているクラウドリソースの名称とAPIの名称(言い換えると、種類)の組が、予め定められたフィルタルールに定義されているか否かを判定する。この判定の結果、その組がフィルタルールに定義されている場合には、読み出したAPI実行ログを修復部選択部21に送信する。一方、この判定の結果、その組がフィルタルールに定義されていない場合には、読み出したAPI実行ログを修復部選択部21に送信しない。
修復部選択部21は、監視部15からAPI実行ログを受信すると、受信したAPI実行ログに対応する修復部23を選択する。具体的には、受信したAPI実行ログを参照し、そのログに記録されているクラウドリソースの名称とAPIの名称の組と予め対応付けられている修復部23を選択する。修復部23を選択すると、選択した修復部23に、監視部15から受信したAPI実行ログを引き渡す。
例外操作記憶部22は、アカウントごとに例外操作リストを予め記憶する。この例外操作リストは、対応するアカウントの保有者により事前に許可された操作を登録するリストである。このリストに登録される操作は、API実行ログに記録されるパラメータ情報の形で表される。このパラメータ情報は、アカウント保有者により事前に許可された操作により設定されるパラメータの情報である。または、このリストに登録される操作は、パラメータ情報と、このパラメータ情報以外の設定情報の組み合わせにより表される。
修復部23は、修復部選択部21から引き渡されたAPI実行ログと、例外操作記憶部22に記憶されている例外操作リストを参照して、修復処理の要否を判定する。具体的には、第1に、修復部選択部21から引き渡されたAPI実行ログに記録されているアカウントを特定する。第2に、例外操作記憶部22に記憶されている例外操作リストにおいて、特定したアカウントと対応付けられているパラメータ情報を特定する。第3に、特定したパラメータ情報を、API実行ログに記録されているパラメータ情報(言い換えると、APIの実行の結果、設定された設定情報)と突合する。その結果、2つのパラメータ情報が一致しない場合には、実行されたAPIは例外操作ではないと判定し、すなわち、修復処理は必要と判定する。他方、2つのパラメータ情報が一致する場合には、実行されたAPIは例外操作であると判定し、すなわち、修復処理は不要と判定する。
なお、特定したアカウントがパラメータ情報に加えて設定情報とも対応付けられている場合には、修復部23は、リソース設定情報記憶部11を参照して、その設定情報が格納されているか否かを判定する。その結果、その設定情報が格納されていない場合には、実行されたAPIは例外操作ではないと判定し、すなわち、修復処理は必要と判定する。他方、その設定情報が格納されている場合には、実行されたAPIは例外操作であると判定し、すなわち、修復処理は不要と判定する。
修復処理が必要と判定した場合には、修復部23は、実行されたAPIに起因するセキュリティリスクを低減すべく、テナントTのクラウドリソースを操作する。具体的には、APIの実行により設定された設定情報を、リソース設定情報記憶部11において変更又は削除する。ここで、設定情報の変更には、変更前の状態へのリセットと、初期値へのリセットが含まれる。または、修復部23は、APIの実行により設定された設定情報とは異なる設定情報であって、そのAPIの実行により実現される機能に必要な設定情報を、リソース設定情報記憶部11において変更又は削除する。
修復処理が完了すると、修復部23は、修復処理の結果をメッセージ送信部25に通知する。
以上説明した修復部23は、クラウドリソースの名称とAPIの名称の組ごとに用意されており、上記の通り、API実行ログに基づいて修復部選択部21により選択される。
テナント情報記憶部24は、アカウント保有者の情報を予め記憶する。具体的には、アカウント保有者が法人の場合、そのセキュリティ担当者の通信アドレスを記憶する。
メッセージ送信部25は、修復部23により実行された修復処理の結果をテナントTのセキュリティ担当者に通知する。その際、メッセージ送信部25は、テナントTのセキュリティ担当者の通信アドレスを、テナント情報記憶部24を参照して特定する。
1-2.動作
次に、クラウド監視システム1により実行される処理の一例について説明する。具体的には、テナントT側で実行される監視処理と、管理者A側で実行される検知処理の一例について説明する。
図2は、テナントT側で実行される監視処理を示すフロー図である。
同図に示すステップSa1において、テナントTは、インターネットを経由して、テナントTの特定の仮想ネットワークにインターネットゲートウェイをアタッチするための操作を指示する。ここで、仮想ネットワークにインターネットゲートウェイをアタッチするための操作とは、仮想ネットワークをインターネットに接続するための操作である。この操作の指示を受けたリソース操作部12は、この操作に対応するAPIを実行し、リソース設定情報記憶部11において、その特定の仮想ネットワークと対応付けられているインターネットへの接続の有無を示す値を「false」から「true」に変更する。この結果、この特定の仮想ネットワークはインターネットに接続される。
次に、ステップSa2において、ログ生成部13は、リソース操作部12により実行されたAPIのログを生成し、API実行ログ記憶部14に格納する。図3は、このAPI実行ログの一例を示す図である。同図に示すAPI実行ログは、JSON形式で表現されている。
なお、このAPI実行ログに記録されている文字列「amazon」及び「aws」は、登録商標である(図4についても同様)。
次に、ステップSa3において、監視部15は、API実行ログ記憶部14に格納されたAPI実行ログを読み出す。そして、読み出したAPI実行ログに記録されているサービスの名称とAPIの名称の組が、予め定められたフィルタルールに定義されているか否かを判定する。図4は、このフィルタルールの一例を示す図である。同図に示すフィルタルールは、JSON形式で表現されている。
このフィルタルールには、「eventSourse」の一つとして、「ec2.amazonaws.com」が記述されている(囲み線L5参照)。ここで、この「eventSourse」は、サービスの名称に相当する。また、このフィルタルールには、「eventName」の1つとして、「AttachInternetGateway」が記述されている(囲み線L6参照)。ここで、この「eventName」は、APIの名称に相当する。
これに対して、図3に示すAPI実行ログには、「eventSourse」として、「ec2.amazonaws.com」が記録されている(囲み線L2参照)。また、「eventName」として、「AttachInternetGateway」が記録されている(囲み線L3参照)。すなわち、このAPI実行ログに記録されているサービスの名称とAPIの名称の組は、フィルタルールに定義されている。したがって、監視部15は、読み出したAPI実行ログを修復部選択部21に送信する。
以上が、監視処理についての説明である。
次に、管理者A側で実行される検知処理の一例について説明する。図5は、この検知処理を示すフロー図である。
同図に示すフローのステップSb1において、修復部選択部21は、監視部15からAPI実行ログを受信すると、受信したAPI実行ログに対応する修復部23を選択する。具体的には、受信したAPI実行ログを参照し、そのログに記録されているクラウドリソースの名称とAPIの名称の組と予め対応付けられている修復部23を選択する。修復部23を選択すると、修復部選択部21は、選択した修復部23に、監視部15から受信したAPI実行ログを引き渡す。
次に、ステップSb2において、修復部23は、修復部選択部21から引き渡されたAPI実行ログと、例外操作記憶部22に記憶されている例外操作リストを参照して、修復処理の要否を判定する。具体的には、第1に、修復部選択部21から引き渡されたAPI実行ログに記録されているアカウントを特定する。図3に示すAPI実行ログでは、「accountId」として、「123456789012」が記録されている(囲み線L1参照)。ここで、この「accountId」は、アカウントIDに相当する。修復部23は、アカウントを示す情報として、この「123456789012」を特定する。
第2に、修復部23は、例外操作記憶部22に記憶されている例外操作リストにおいて、特定したアカウントと対応付けられているパラメータ情報を特定する。図6は、特定されるパラメータ情報の一例を示す図である。同図に示すパラメータ情報は、JSON形式で表現されている。このパラメータ情報には、「account」として、「123456789012」が含まれている(囲み線L7参照)。ここで、この「account」は、アカウントIDに相当する。また、このパラメータ情報には、「vpc_id」として、「vpc-1234567890abcdef12」が含まれている(囲み線L8参照)。ここで、この「vpc_id」は、インターネットゲートウェイがアタッチされてもよい仮想ネットワークのIDに相当する。修復部23は、このパラメータ情報において、特に仮想ネットワークID「vpc-1234567890abcdef12」を特定する。
第3に、修復部23は、特定した仮想ネットワークIDを、API実行ログに記録されている仮想ネットワークIDと突合する。図3に示すAPI実行ログでは、「vpcId」として、「vpc-002ba7b044bf3dd98」が記録されている(囲み線L4参照)。ここで、この「vpcId」は、インターネットゲートウェイがアタッチされた仮想ネットワークのIDに相当する。修復部23は、特定した仮想ネットワークID「vpc-1234567890abcdef12」を、この仮想ネットワークID「vpc-002ba7b044bf3dd98」と突合する。この突合の結果、2つの仮想ネットワークIDは一致しないため、修復部23は、実行されたAPIは例外操作ではないと判定し、すなわち、修復処理は必要と判定する(ステップSb3のYES)。
修復処理が必要と判定すると、次に、ステップSb4において修復部23は、実行されたAPIに起因するセキュリティリスクを低減すべく、テナントTのクラウドリソースを操作する。具体的には、リソース設定情報記憶部11において、仮想ネットワークID「vpc-002ba7b044bf3dd98」と対応付けられているインターネットへの接続の有無を示す値を「true」から「false」に戻す。この結果、当該IDにより識別される仮想ネットワークはインターネットから切断される。
修復処理が完了すると、修復部23は、修復処理の結果をメッセージ送信部25に通知する。
次に、ステップSb5において、メッセージ送信部25は、修復部23により実行された修復処理の結果をテナントTのセキュリティ担当者に通知する。その際、メッセージ送信部25は、テナントTのセキュリティ担当者の通信アドレスを、テナント情報記憶部24を参照して特定する。図7は、メッセージ送信部25により送信されるメッセージの一例を示す図である。
以上が、検知処理についての説明である。
なお、以上説明した動作例では、仮想ネットワークにインターネットゲートウェイをアタッチするための操作を検知及び修復の対象としているが、別の対象として、あるクラウドリソースにアクセス可能な利用者のIDを変更する操作がある。この操作を対象とする場合には、修復部23は、修復処理として、当該操作により設定された利用者のIDを変更又は削除する。
また別の対象として、通知サービスのメッセージの暗号化を解除するための操作がある。より具体的には、メッセージの暗号化の要否を示す値を「true」から「false」に変更する操作がある。この操作を対象とする場合には、修復部23は、修復処理として、メッセージの暗号化の要否を示す値を「false」から「true」に戻す。
また別の対象として、通知サービスの使用料金の上限を変更するための操作がある。より具体的には、使用料金の上限を「0」から「0」以外の値に変更する操作がある。この操作は、言い換えると、通知サービスの利用を可能にするための操作である。この操作を対象とする場合には、修復部23は、修復処理として、使用料金の上限を「0」以外の値から「0」に戻す。
また別の対象として、通知サービスにおけるある配信先リストに対して、悪意ある利用者が不正な配信先の登録するための操作がある。例えば、社内機密情報を配信するために利用する配信先リストに対して、社外メールアドレスを設定するための操作がある。そのような操作が行われた場合には、配信先の登録を示すログが出力されたタイミングで配信先リストへの配信を不可能に修復することで、機密情報の漏洩など、承認されていない宛先に対するメール配信を予防することができる。
以上説明したクラウド監視システム1によれば、パブリッククラウドの利用者により誤って又は悪意を持って意図的にセキュリティリスクを高める可能性のある操作が行われたとしても、その操作に起因するセキュリティリスクを自動的に低減することができる。そのため、情報漏洩等のセキュリティ上の問題を未然に防止することができる。
2.変形例
上記の実施形態は以下に記載するように変形してもよい。以下に記載する1以上の変形例は互いに組み合わせてもよい。
2-1.変形例1
上記のクラウド監視システム1では、テナントT側に監視部15が配置されているが、この監視部15を管理者A側に配置してもよい。
2-2.変形例2
上記のクラウド監視システム1は、説明の便宜上、パブリッククラウドの利用者としてテナントTと管理者Aのみを想定している。しかし、パブリッククラウドを利用するテナントの数を2以上とし、この2以上のテナントによるクラウドリソースに対する操作を検知及び修復の対象としてもよい。
2-3.変形例3
パブリッククラウドにおいて作成可能なクラウドリソースは、上述した仮想サーバやストレージ等に限られない。他の種類のクラウドリソースを作成可能として、それらに対する操作を検知及び修復の対象としてもよい。
1…クラウド監視システム、11…リソース設定情報記憶部、12…リソース操作部、13…ログ生成部、14…API実行ログ記憶部、15…監視部、21…修復部選択部、22…例外操作記憶部、23…修復部、24…テナント情報記憶部、25…メッセージ送信部

Claims (6)

  1. クラウド監視システムにより実行されるクラウド監視方法であって、
    パブリッククラウドの利用者がクラウドリソースに対する操作を実行すると、当該クラウドリソースの名称及び当該操作に応じて実行されたAPIを含むログを生成するステップと、
    前記生成されたログに基づいて、前記操作の種類が、セキュリティリスクを高める可能性がある所定の操作の種類に該当するか否かを判定するステップと、
    クラウドリソースの名称及びAPIの名称の複数の組のそれぞれと予め対応付けられた複数の修復部のうち、前記生成されたログに含まれるクラウドリソースの名称及びAPIの名称の組に対応付けられている修復部を選択するステップと、
    前記操作の種類が前記所定の操作の種類に該当すると判定された場合に、選択された前記修復部において、前記操作に起因するセキュリティリスクを低減するための処理を実行するステップと
    を有するクラウド監視方法。
  2. 前記操作の種類が前記所定の操作の種類に該当すると判定された場合に、前記ログに基づいて、前記操作により設定されたパラメータが、前記利用者により予め許可された操作により設定される所定のパラメータに該当するか否かを判定するステップをさらに有し、
    前記操作に起因するセキュリティリスクを低減するための処理を実行するステップは、前記操作により設定されたパラメータが前記所定のパラメータに該当しないと判定された場合に、前記操作に起因するセキュリティリスクを低減するための処理を実行するステップであることを特徴とする、請求項1に記載のクラウド監視方法。
  3. 前記操作に起因するセキュリティリスクを低減するための処理は、前記操作により設定されたパラメータを削除するか、または当該パラメータを元の状態に戻す処理であることを特徴とする、請求項1又は2に記載のクラウド監視方法。
  4. 前記操作に起因するセキュリティリスクを低減するための処理の結果を、前記クラウドリソースの利用者であって、予め定められた利用者に通知するステップをさらに有することを特徴とする、請求項1乃至3のいずれか1項に記載のクラウド監視方法。
  5. パブリッククラウドの利用者がクラウドリソースに対する操作を実行すると、当該クラウドリソースの名称及び当該操作に応じて実行されたAPIの組を含む当該操作のログを生成するログ生成部と、
    前記生成されたログに基づいて、前記操作の種類が、セキュリティリスクを高める可能性がある所定の操作の種類に該当するか否かを判定する判定部と、
    クラウドリソースの名称及びAPIの名称の複数の組のそれぞれと予め対応付けられた複数の修復部と、
    前記複数の修復部のうち、前記生成されたログに含まれるクラウドリソースの名称及びAPIの名称の組に対応付けられている修復部を選択する選択部とを備え、
    選択された前記修復部は、前記操作の種類が前記所定の操作の種類に該当すると判定された場合に、前記操作に起因するセキュリティリスクを低減するための処理を実行するクラウド監視システム。
  6. コンピュータに、
    パブリッククラウドの利用者がクラウドリソースに対する操作を実行すると、当該クラウドリソースの名称及び当該操作に応じて実行されたAPIの組を含むログを生成するステップと、
    前記生成されたログに基づいて、前記操作の種類が、セキュリティリスクを高める可能性がある所定の操作の種類に該当するか否かを判定するステップと、
    クラウドリソースの名称及びAPIの名称の複数の組のそれぞれと予め対応付けられた複数の修復部のうち、前記生成されたログに含まれるクラウドリソースの名称及びAPIの名称の組に対応付けられている修復部を選択するステップと、
    前記操作の種類が前記所定の操作の種類に該当すると判定された場合に、選択された前記修復部において、前記操作に起因するセキュリティリスクを低減するための処理を実行するステップと
    を実行させるためのプログラム。
JP2020014684A 2020-01-31 2020-01-31 クラウド監視・修復方法、クラウド監視・修復システム及びプログラム Active JP7489197B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2020014684A JP7489197B2 (ja) 2020-01-31 2020-01-31 クラウド監視・修復方法、クラウド監視・修復システム及びプログラム
PCT/JP2020/018219 WO2021152876A1 (ja) 2020-01-31 2020-04-30 クラウド監視・修復方法、クラウド監視・修復システム及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020014684A JP7489197B2 (ja) 2020-01-31 2020-01-31 クラウド監視・修復方法、クラウド監視・修復システム及びプログラム

Publications (2)

Publication Number Publication Date
JP2021121886A JP2021121886A (ja) 2021-08-26
JP7489197B2 true JP7489197B2 (ja) 2024-05-23

Family

ID=77078521

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020014684A Active JP7489197B2 (ja) 2020-01-31 2020-01-31 クラウド監視・修復方法、クラウド監視・修復システム及びプログラム

Country Status (2)

Country Link
JP (1) JP7489197B2 (ja)
WO (1) WO2021152876A1 (ja)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017520820A (ja) 2015-03-18 2017-07-27 百度在▲綫▼网▲絡▼技▲術▼(北京)有限公司 危険ファイルに対応する挙動情報特定方法及び危険ファイルに対応する挙動情報特定装置
JP6636605B1 (ja) 2018-12-12 2020-01-29 株式会社ミッドランドItソリューション 履歴監視方法、監視処理装置および監視処理プログラム

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017520820A (ja) 2015-03-18 2017-07-27 百度在▲綫▼网▲絡▼技▲術▼(北京)有限公司 危険ファイルに対応する挙動情報特定方法及び危険ファイルに対応する挙動情報特定装置
JP6636605B1 (ja) 2018-12-12 2020-01-29 株式会社ミッドランドItソリューション 履歴監視方法、監視処理装置および監視処理プログラム

Also Published As

Publication number Publication date
WO2021152876A1 (ja) 2021-08-05
JP2021121886A (ja) 2021-08-26

Similar Documents

Publication Publication Date Title
US20220083653A1 (en) Techniques for sharing network security event information
EP3688634B1 (en) System and method for implementing a resolver service for decentralized identifiers
TWI672648B (zh) 業務處理方法、裝置、資料共享系統及儲存介質
WO2021017279A1 (zh) 基于Kubernetes和网络域的集群安全管理方法、装置及存储介质
JP5998248B2 (ja) 遠隔サービスへのローカル安全なネットワークアクセスを提供する方法
CN112073400A (zh) 一种访问控制方法、系统、装置及计算设备
CN110149323B (zh) 一种具有千万级tps合约处理能力的处理装置
US10931650B1 (en) Apparatus and method for building, extending and managing interactions between digital identities and digital identity applications
US10887261B2 (en) Dynamic attachment delivery in emails for advanced malicious content filtering
EP2354996A1 (en) Apparatus and method for remote processing while securing classified data
CN112769837A (zh) 基于WebSocket的通信传输方法、装置、设备、系统及存储介质
CN114731291A (zh) 安全服务
CN114338682B (zh) 流量身份标识传递方法、装置、电子设备及存储介质
Peng et al. A blockchain‐based mobile crowdsensing scheme with enhanced privacy
Dhirani et al. Tenant-vendor and third-party agreements for the cloud: Considerations for security provision
WO2024146285A1 (zh) 一种基于区块链的数据处理方法、设备以及可读存储介质
US10250579B2 (en) Secure file transfers within network-based storage
JP7489197B2 (ja) クラウド監視・修復方法、クラウド監視・修復システム及びプログラム
WO2023109475A1 (zh) 一种处理调用的方法、系统和设备
CN115037572B (zh) 一种应用请求的识别方法和装置
US11880372B2 (en) Distributed metadata definition and storage in a database system for public trust ledger smart contracts
JP6737086B2 (ja) アドレス管理装置、データ管理システム及びプログラム
CN115334150A (zh) 一种数据转发的方法、装置、系统、电子设备及介质
CN113849558A (zh) 一种部署数据共享服务的方法和装置
CN106095509A (zh) 差异变量发布方法和装置

Legal Events

Date Code Title Description
A80 Written request to apply exceptions to lack of novelty of invention

Free format text: JAPANESE INTERMEDIATE CODE: A80

Effective date: 20200226

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20221104

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20230822

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20230822

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20231013

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240109

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240228

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240416

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240513

R150 Certificate of patent or registration of utility model

Ref document number: 7489197

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150