JPWO2011061804A1 - コンピュータシステム、管理システム及び記録媒体 - Google Patents

コンピュータシステム、管理システム及び記録媒体 Download PDF

Info

Publication number
JPWO2011061804A1
JPWO2011061804A1 JP2011541740A JP2011541740A JPWO2011061804A1 JP WO2011061804 A1 JPWO2011061804 A1 JP WO2011061804A1 JP 2011541740 A JP2011541740 A JP 2011541740A JP 2011541740 A JP2011541740 A JP 2011541740A JP WO2011061804 A1 JPWO2011061804 A1 JP WO2011061804A1
Authority
JP
Japan
Prior art keywords
computer
policy information
security policy
management
policy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2011541740A
Other languages
English (en)
Other versions
JP4991968B2 (ja
Inventor
善之 鈴木
善之 鈴木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Application granted granted Critical
Publication of JP4991968B2 publication Critical patent/JP4991968B2/ja
Publication of JPWO2011061804A1 publication Critical patent/JPWO2011061804A1/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2145Inheriting rights or properties, e.g., propagation of permissions or restrictions within a hierarchy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】複数のポリシーがクライアントコンピュータに適用される場合に、使い勝手を維持しつつセキュリティ性が低下するのを防止する。【解決手段】クライアントコンピュータ20には、各管理サーバ10(Ma−Md)及び最上位管理サーバ10(Msa)でそれぞれ作成されるポリシーが設定される。最上位管理サーバは、複数のポリシーから一つのポリシーを生成するためのマージルールをクライアントコンピュータに配布する。クライアントコンピュータは、マージルールと複数ポリシーとから新たなポリシーを作成し、セキュリティ機能を管理する。

Description

本発明は、コンピュータシステム、管理システム及び記録媒体に関する。
社員の使用するコンピュータから企業秘密が外部に漏洩するのを防止するために、セキュリティポリシーを各コンピュータに設定しておき、セキュリティポリシーに違反するコンピュータの起動を禁止するようにした技術は知られている(特許文献1)。
特開2009−230178号公報
従来技術では、各コンピュータに統一的なセキュリティポリシーが設定されることを前提にしており、複数の管理者からそれぞれ異なるセキュリティポリシーが設定される場合を全く考慮していない。従来技術には、複数の管理者により管理されているコンピュータのセキュリティ管理をどのように実現するのか、全く記載されていない。
従って、従来技術では、複数の管理者が一つのコンピュータをそれぞれ管理することのできるシステムにおいて、セキュリティ維持と使い勝手の両立を図ることができないという問題がある。
そこで、本発明の目的は、複数のセキュリティポリシーをクライアントコンピュータに設定することができ、それらのセキュリティポリシーから所定のルールに従って得られる新たなセキュリティポリシーに基づいて、クライアントコンピュータのセキュリティを管理することができるようにしたコンピュータシステム、管理システム及び記録媒体を提供することにある。
本発明の他の目的は、複数のユーザがそれぞれ異なるセキュリティポリシーをクライアントコンピュータに設定でき、かつ、所定ユーザのみが各セキュリティポリシーから新たなセキュリティポリシーを生成するためのルールをクライアントコンピュータに設定することができ、さらに、各ユーザの設定するセキュリティポリシーの一部または全部が相反する場合には、予め設定される中間動作をクライアントコンピュータに行わせることができる、コンピュータシステム、管理システム及び記録媒体を提供することにある。本発明の更なる目的は、後述する実施形態の記載から明らかになるであろう。
上記課題を解決すべく、本発明の第1観点に従うコンピュータシステムは、クライアントコンピュータと、第1管理コンピュータと、第2管理コンピュータとが、互いに通信可能に接続されたコンピュータシステムであって、第1管理コンピュータは、クライアントコンピュータの有するセキュリティ管理プログラムの動作を制御するための第1セキュリティポリシー情報と、複数の第1セキュリティポリシー情報から第2セキュリティポリシー情報を生成させるためのルールを示すルール情報とを、クライアントコンピュータに送信し、第2管理コンピュータは、第1管理コンピュータからクライアントコンピュータに送信される第1セキュリティポリシー情報と制御動作の異なる、他の第1セキュリティポリシー情報を、クライアントコンピュータに送信し、クライアントコンピュータは、第1管理コンピュータから受信するルール情報に基づいて、第1管理コンピュータから受信する第1セキュリティポリシー情報と第2管理コンピュータから受信する他の第1セキュリティポリシー情報とから第2セキュリティポリシー情報を生成し、第2セキュリティポリシー情報に基づいてセキュリティ管理プログラムの動作を制御する。
第2観点では、第1観点において、クライアントコンピュータは、第1管理コンピュータからクライアントコンピュータに送信された第1セキュリティポリシー情報と第2セキュリティポリシー情報との差分と、第2管理コンピュータからクライアントコンピュータに送信された他の第1セキュリティポリシー情報と第2セキュリティポリシー情報との差分とをそれぞれ検出し、検出された各差分を出力させる。
第3観点では、第1観点において、ルール情報は、第1管理コンピュータから受信する第1セキュリティポリシー情報の制御動作と、第2管理コンピュータから受信する他の第1セキュリティポリシー情報の他の制御動作とが相反する場合、第2セキュリティポリシー情報を、制御動作と他の制御動作との中間の動作として予め設定されている中間動作として生成させることができる。
第4観点では、第1観点において、クライアントコンピュータ上で実行される所定のコンピュータプログラムについて、第1セキュリティポリシー情報または他の第1セキュリティポリシー情報のうち、いずれか一方が作動を禁止しており、残りの他方が作動を許可している場合、ルール情報は、所定のコンピュータプログラムの作動を所定の条件付きで認めるように構成することができる。
第5観点では、第1観点において、第1管理コンピュータは、複数の第1ユーザにより操作され、各第1ユーザ毎に第1セキュリティポリシー情報を作成できるようになっており、第2管理コンピュータは、複数の第2ユーザにより操作され、各第2ユーザ毎に他の第1セキュリティポリシー情報を作成できるようになっており、各第1ユーザのうち予め設定される所定の第1ユーザのみがルール情報を作成できるようになっている。
他の観点に従う記録媒体では、クライアントコンピュータの有するセキュリティ管理プログラムの動作を制御するための第1セキュリティポリシー情報を複数生成させる機能と、各第1セキュリティポリシー情報から第2セキュリティポリシー情報を生成させるためのルールを示すルール情報を作成させる機能と、各第1セキュリティポリシー情報及びルール情報をクライアントコンピュータに送信させることにより、クライアントコンピュータ内で、ルール情報に基づいて、各第1セキュリティポリシー情報から第2セキュリティポリシー情報を生成させ、生成された第2セキュリティポリシー情報に基づいてセキュリティ管理プログラムの動作を制御させる機能と、をコンピュータにそれぞれ実現させるためのコンピュータプログラムを、該コンピュータが読取り及び実行可能な形式で記録している。
なお、上記観点の組合せ以外の他の組合せも本発明の範囲に含まれる。
図1は、システムの全体概要を示す図である。 図2は、マージルールの構成を説明するための図である。 図3は、マージルールの適用結果の一例を示す図である。 図4は、各機能毎に設定可能なマージルールの一例を示す図である。 図5は、管理サーバのハードウェア構成を示す図である。 図6は、最上位管理サーバのプログラム構成を示す図である。 図7は、最上位管理サーバのテーブル構成を示す図である。 図8は、ユーザ管理テーブルを示す図である。 図9は、マージルールテーブルを示す図である。 図10は、マネージャ管理テーブルを示す図である。 図11は、クライアント管理テーブルを示す図である。 図12は、ポリシーテーブルを示す図である。 図13は、複数ポリシーを適用した結果を示すテーブルの図である。 図14は、図13の一部を構成するテーブルの図である。 図15は、図14の一部を構成するテーブルの図である。 図16は、クライアントコンピュータの動作履歴を管理するためのテーブルである。 図17は、システムの構成を示すテーブルである。 図18は、マージルールを作成するための画面例である。 図19は、管理サーバのプログラム構成を示す図である。 図20は、管理サーバのテーブル構成を示す図である。 図21は、ユーザ管理テーブルを示す図である。 図22は、マネージャ管理テーブルを示す図である。 図23は、クライアント管理テーブルを示す図である。 図24は、上位装置を管理するためのテーブルである。 図25は、マネージャ名を管理するテーブルである。 図26は、クライアントコンピュータのプログラム構成を示す。 図27が、クライアントコンピュータのテーブル構成を示す。 図28は、マージルールを管理するテーブルである。 図29は、受信したポリシーを管理するテーブルである。 図30は、マージポリシーを管理するテーブルである。 図31は、複数ポリシーを適用した結果を示すテーブルである。 図32は、クライアントコンピュータの名を管理するテーブルである。 図33は、クライアントコンピュータの動作履歴を管理するためのテーブルである。 図34は、最上位管理サーバにログインする場合の処理を示すフローチャートである。 図35は、最上位管理サーバのGUI処理を示すフローチャート。 図36は、通信統括処理のフローチャート。 図37は、ユーザ管理処理のフローチャート。 図38は、マージルール作成処理のフローチャート。 図39は、マネージャ管理処理のフローチャート。 図40は、図39の一部を示すフローチャート。 図41は、図39の他の一部を示すフローチャート。 図42は、マネージャ情報を変更する処理のフローチャート。 図43は、クライアント管理処理のフローチャート。 図44は、図43の一部を示すフローチャート。 図45は、図43の他の一部を示すフローチャート。 図46は、図43のさらに別の一部を示すフローチャート。 図47は、ポリシー作成処理のフローチャート。 図48は、クライアントコンピュータへマージルール及びポリシーを配信するための処理を示すフローチャート。 図49は、複数ポリシーの適用結果をクライアントコンピュータから収集する処理を示すフローチャート。 図50は、クライアントコンピュータの動作履歴を収集する処理を示すフローチャート。 図51は、クライアントコンピュータの動作履歴を表示させる処理を示すフローチャート。 図52は、システム構成を管理する処理を示すフローチャート。 図53は、図52の一部を示すフローチャート。 図54は、図52の他の一部を示すフローチャート。 図55は、システム構成を表示させる処理を示すフローチャート。 図56は、管理サーバにログインする処理を示すフローチャート。 図57は、クライアントコンピュータの動作を統括する処理を示すフローチャート。 図58は、マージルールを格納する処理を示すフローチャート。 図59は、受信したポリシーを格納する処理を示すフローチャート。 図60は、図59の一部を示すフローチャート。 図61は、複数ポリシーをマージさせる処理を示すフローチャート。 図62は、図61の一部を示すフローチャート。 図63は、図62の一部を示すフローチャート。 図64は、ポリシーをセキュリティ管理機能群に適用する処理を示すフローチャート。 図65は、ポリシー適用結果を格納する処理を示すフローチャート。 図66は、クライアントコンピュータの動作履歴を管理サーバにアップロードする処理を示すフローチャート。 セキュリティ管理処理を示すフローチャート。
以下、図面に基づいて、本発明の実施の形態を説明する。本発明は、後述のように、一つまたは複数のクライアントコンピュータ20を複数の管理サーバ10で管理しており、各管理サーバ10がそれぞれ個別にセキュリティポリシーをクライアントコンピュータ20に設定できるようになっている。
クライアントコンピュータ20は、最上位管理サーバ10(Msa)から配信されたマージルールに基づいて、複数のセキュリティポリシーから一つのセキュリティポリシーを生成する。クライアントコンピュータ20は、各セキュリティポリシーに含まれる各項目の設定値を、マージルールに従って調整することにより、新たなセキュリティポリシーを作成する。クライアントコンピュータ20は、新たなセキュリティポリシーに従って、コンピュータプログラムの作動を制御する。
各クライアントコンピュータ20毎に、新たなセキュリティポリシーが生成され、各クライアントコンピュータ20毎にセキュリティが管理される。これにより、各管理サーバ10がそれぞれ異なるセキュリティポリシーを各クライアントコンピュータ20に設定することができると共に、システム全体に統一的なルールを適用させることができる。従って、使い勝手の良さとセキュリティ性能の維持とを両立させることができる。
図1は、本実施例におけるコンピュータシステムの全体概要を示す。コンピュータシステムは、複数の管理サーバ10と、複数のクライアントコンピュータ20とを備える。複数の管理サーバ10のうち一つの管理サーバ10(Msa)は、「第1管理コンピュータ」としての最上位管理サーバである。他の管理サーバ10(Ma,Mb,Mc,Md)は、「第2管理コンピュータ」としての管理サーバである。以下の説明では、最上位管理サーバ10(Msa)を、SAサーバと呼ぶ場合がある。
最上位管理サーバ10(Msa)を頂点とする階層構造が採用されている。最上位管理サーバ10(Msa)と中間層の管理サーバ10(Ma,Mb,Mc)とは、第1通信ネットワークCN1を介して接続されている。各管理サーバ10(Msa,Ma−Md)は、それぞれ複数のユーザ(管理者)により使用可能である。最上位管理サーバ10(Msa)を使用可能な複数ユーザのうち所定のユーザは最上位ユーザとなり、後述のマージルールを作成することができる。
中間層の管理サーバ10(Mc,Mc)は、クライアントコンピュータ20(Cb)と第2通信ネットワークCN2を介して接続されている。中間層の管理サーバ10(Ma)は、第2通信ネットワークCN2を介して、最下層の管理サーバ10(Md)に接続されている。最下層の管理サーバ10(Md)は、第3通信ネットワークCN3を介して、クライアントコンピュータ20(Ca)に接続されている。
最上位管理サーバ10(Msa)と各管理サーバ10(Ma,Md)とは直列的に接続されている。最上位管理サーバ10(Msa)と各管理サーバ10(Mb,Mc)とは並列的に接続されている。なお、最上位管理サーバ10(Msa)により直接的に管理されるクライアントコンピュータ20を設けることもできる。
なお、各通信ネットワークCN1,CN2,CN3はそれぞれ異なる通信ネットワークとして構成してもよいし、同一の通信ネットワークとして構成してもよい。最上位管理サーバ10(Msa)は、各管理サーバ(Ma,Mb,Mc,Md)及び各クライアントコンピュータ20(Ca,Cb)と双方向通信可能である。
最上位管理サーバ10(Msa)は、マージルールを作成して各クライアントコンピュータ20に設定させる機能と、セキュリティポリシー(以下、ポリシー)を作成して各クライアントコンピュータ20に配信させる機能とを備える。
他の管理サーバ10(Ma−Md)は、ポリシーを作成して各クライアントコンピュータ20に配信させる機能を有しており、マージルールを作成して各クライアントコンピュータ20に設定させる機能は備えていない。
なお、各管理サーバ10(Msa,Ma−Md)の備える他の機能は後述する。マージルールは「ルール情報」の一例であり、各管理サーバ10で作成されるポリシーPa−Pdは「第1セキュリティポリシー」の一例である。
各クライアントコンピュータ20は、各クライアントコンピュータ20を管理する複数の管理サーバ10から受信されるポリシーを記憶する。最上位管理サーバ10(Msa)は、全てのクライアントコンピュータ20を管理ため、システム内の全クライアントコンピュータ20には、最上位管理サーバ10(Msa)で作成されたポリシーPsが記憶される。
一方のクライアントコンピュータ20(Ca)は、最上位管理サーバ10(Msa)以外に、2つの管理サーバ10(Ma,Md)によっても管理されている。従って、クライアントコンピュータ20(CA)は、ポリシーPsに加えて、管理サーバ10(Ma)から受信するポリシーPaと、管理サーバ10(Md)から受信するポリシーPdも記憶している。即ち、一方のクライアントコンピュータ20(Ca)には、最上位管理サーバ10(Msa)からのポリシーPsに加えて、同一系統上に存在する複数の管理サーバ10(Ma,Md)によりそれぞれ作成されるポリシーPa,Pdも記憶される。
他方のクライアントコンピュータ20(Cb)は、最上位管理サーバ10(Msa)以外に、2つの管理サーバ10(Mb,Mc)によっても管理されている。従って、クライアントコンピュータ20(CA)は、ポリシーPsに加えて、管理サーバ10(Mb)から受信するポリシーPbと、管理サーバ10(Mc)から受信するポリシーPcも記憶している。即ち、他方のクライアントコンピュータ20(Cb)には、最上位管理サーバ10(Msa)からのポリシーPsに加えて、異なる系統上に存在する複数の管理サーバ10(Mb,Mc)によりそれぞれ作成されるポリシーPb,Pcも記憶される。
クライアントコンピュータ20は、自身を管理する各管理サーバ10から受信したポリシーを、マージルールに従ってマージすることにより、新たなポリシーを作成する。クライアントコンピュータ20は、新たなポリシーに基づいて、セキュリティ管理プログラム(後述するセキュリティ管理機能群P207)を動作させる。
新たなポリシーは「第2セキュリティポリシー」の一例である。紙面の都合上、図1では、セキュリティ管理プログラムを「セキュリティ」と略記する。マージさせるとは、例えば、複数ポリシーの設定内容(制御動作の項目)に基づいて、設定値を調整することを意味する。
詳細はさらに後述するが、クライアントコンピュータ20は、マージルールに従って、複数のポリシーから一つの新しいポリシーを生成させる。マージルールは、最上位管理サーバ10(Msa)のみが設定可能である。従って、マージルールによって、システム内の各クライアントコンピュータ20の備える新ポリシーに必要最低限度のセキュリティ性能を確保させることができる。
図2は、マージルールの内容を模式的に示す説明図である。同一機能に対する複数の制御動作を調整するためのマージルールは、以下のように構成可能である。機能設定は、例えば、非リスト式とリスト式とに分類することができる。
非リスト式の機能設定とは、機能の作用対象が一つであって、リストを備えないものを言う。例えば、機能の作用対象が「印刷機能」である場合、「印刷許可」と「印刷禁止」との2つの値のうちいずれか一つを採用する。また例えば、機能の採用対象が「操作ログの取得」である場合、「ログ取得」と「ログ不要」との2つの値のうちいずれか一つを採用する。
リスト式の機能設定とは、機能の作用対象が複数であって、作用対象のリストを備えているものを言う。例えば、コンピュータプログラムの起動を禁止させる場合、複数の禁止リストのいずれかに記載されているコンピュータプログラムの起動を禁止させるように設定することができる。また例えば、複数の許可リストのそれぞれに重複記載されているコンピュータプログラムのみを起動させるように設定することもできる。
非リスト式の機能設定の場合は、下記のルールを用いることができる。但し、本発明は以下の各ルールに限定されない。
(A1)先優先:先に設定されている設定値を優先するルールである。例えば、最初に設定されたパスワードのみを有効にさせたい場合等に使用される。
(A2)後優先:後から設定されたポリシーを優先するルールである。このルールは、古い設定値を新しい設定値で上書きする。例えば、最新のパスワードのみを有効にしたい場合等に使用される。
(A3)禁止優先:禁止を許可よりも優先させるルールである。
(A4)許可優先:許可を禁止よりも優先させるルールである。
(A5)オン優先:オン状態をオフ状態よりも優先させるルールである。
(A6)オフ優先:オフ状態をオン状態よりも優先させるルールである。
(A7)設定禁止:初期設定値の変更を禁止するルールである。
(A8)多数優先:複数のポリシーのうち同一設定値となるポリシーの多い方に従うルールである。
(A9)中間動作:各ポリシーの設定値が相反する関係の場合、各ポリシーの設定値の中間的な動作を行わせるルールである。例えば、一方の設定が「プログラムの起動禁止」であり、他方の設定が「プログラムの起動許可」である場合、例えば、「プログラムの起動を許可し、ログを取得する。」、「プログラムの起動を所定時間だけ許可する」等の中間動作を行わせることができる。中間動作は、例えば、禁止と許可との間の中間を設定するためのルールであり、条件付き許可、または、条件付き禁止を設定するためのルールであると定義することもできる。
(A10)リスト化:各ポリシーの設定値をリスト化し、リストに載っている全ての設定値を許可(または禁止)させるルールである。例えば、あるポリシーがプログラムAの作動を許可しており、他のポリシーがプログラムBの作動を許可している場合、プログラムAとプログラムBの作動を許可するリストが作成される。これら以外に、後述する追加(OR)、追加(AND)等のルールも使用できる。
リスト式の機能設定の場合は、一つの機能についてそれぞれ異なる属性を有するリストにより制御可能な場合がある。例えば、ある機能に関する禁止リストと、その機能に関する許可リストとの2つのリストを用いて、その機能の動作を制御する場合である。
従って、本実施例では、リストの属性についてのルールと、リストの内容についてのルールとに分けて検討する。リスト属性のルールをフェーズ1(Ph.1)と呼び、リスト内容のルールをフェーズ2(Ph.2)と呼ぶ。ここでは、説明の便宜上、禁止リストと許可リストの2つの属性を例に挙げて説明する。
フェーズ1のルールは、例えば、以下の4つである。
(Ph.1A)禁止リストのみをマージする。
(Ph.1B)許可リストのみをマージする。
(Ph.1C)許可リストをベースとして、許可リストと禁止リストをマージする(ブラックリスト形式)。
(Ph.1D)禁止リストをベースとして、許可リストと禁止リストをマージする(ブラックリスト形式)。
フェーズ2のルールは、例えば、以下の通りである。フェーズ1のルール(Ph.1A)と(Ph.1B)とについては、以下の3つのルール(Ph.2AB1)、(Ph.2AB2)、(Ph.2AB3)のいずれかが適用可能である。
(Ph.2AB1)全てのリストに載っているもののみを残すルールである。
(Ph.2AB2)いずれかのリストに載っていれば残すルールである。
(Ph.2AB3)いずれかのリストに載っていれば、中間動作に設定するルールである。例えば、いずれかのリストに載っているプログラムについては、起動を許可するがログも取得する等の中間的な制御動作が行われる。
フェーズ1の他のルール(Ph.1C)と(Ph.1D)については、以下の2つのルール(Ph.2CD1)、(Ph.2CD2)のいずれかが適用可能である。
(Ph.2CD1)全てのリストで許可されているもののみを残す、または、全てのリストで禁止されているもののみを残すルールである。
(Ph.2CD2)いずれかのリストに載っていれば、中間動作に設定するルールである。
図3は、許可リストと禁止リストをマージする場合の結果の例を示す。(Ph.1C)の場合を例に挙げて説明する。つまり、許可リストをベースとして、許可リストと禁止リストをマージする場合を説明する。項番1(図中、#1。以下同様)から項番4までは
(Ph.2CD1)のルールを適用する場合を示し、項番5から項番8までは(Ph.2CD2)のルールを適用する場合を示す。
例えば、項番1では、ある設定項目が許可リストに掲載されており、禁止リストには掲載されていない場合を示す。禁止リストに掲載されていないということは、結果的に許可されている場合、即ち、消極的に許可されている場合である。許可リストに掲載された設定項目は、禁止リストによって消極的に許可されている。従って、その設定項目はマージ後も残り、動作が許可される。
項番2は、ある設定項目が許可リストでは明確に許可されているのに、禁止リストでは明確に禁止されている場合である。この場合、その設定項目はマージ後に残らない。従って、その設定項目の動作は禁止される。
項番3は、ある設定項目が許可リスト及び禁止リストの両方に掲載されていない場合を示す。許可リストに明示されていない設定項目は、その動作が消極的に禁止されている設定項目である。この場合、その設定項目は、許可リストでは消極的に禁止されているが、禁止リストでは消極的に許可されている。従って、その設定項目はマージ後に残らず、動作が禁止される。
項番4は、ある設定項目が許可リストに掲載されておらず、禁止リストに掲載されている場合を示す。この場合、その設定項目は、許可リストによって消極的に禁止されており、禁止リストによって明確に禁止されている。しかし、その設定項目は、そもそも許可リストに掲載されていないので、マージ後に残らない。従って、結果的に、その設定項目の動作は禁止される。
項番5は、ある設定項目が許可リストに掲載されており、禁止リストに掲載されていない場合を示す。この場合、その設定項目の動作は、禁止リストによって消極的に許可されている。従って、両方のリストで動作を許可されているため、マージ後に、その設定項目は残される。
項番6は、同一の設定項目が、許可リストと禁止リストの両方に掲載されている場合を示す。この場合、相反する設定内容であるため、中間動作が指定される。例えば、外部記録媒体の使用が許可リストと禁止リストの両方に載っている場合、読込み専用で使用する場合のみ許可する、のような中間動作を設定することができる。
項番7は、ある設定項目が許可リスト及び禁止リストの両方に掲載されていない場合を示す。その設定項目は許可リストに存在しないので、マージ後に残らない。従って、その設定項目の動作は禁止される。
項番8は、ある設定項目が許可リストに掲載されておらず、禁止リストにのみ掲載されている場合を示す。その設定項目は許可リストに掲載されていないため、マージ後に残らない。従って、その設定項目の動作は禁止される。
なお、以上の各ルールの説明は例示であって、本発明の範囲を上述の例に限定する趣旨ではない。以下の説明においても、本発明の範囲は、図示されたテーブル構造及びフローチャートの内容に限定されない。
図4は、各機能の種類に応じて設定可能なマージルールを予め規定する例を示す説明図である。マージルールは、上述のように複数存在しうるが、複数のマージルールの全てを各機能のそれぞれに適用できるとは限らない。つまり、各機能の性質に応じて、マージルールを選択する必要がある。
そこで、本実施例では、ユーザによるマージルールの編集作業を支援するために、各機能の種類毎に設定可能なマージルールの一覧を用意している。図4に示す例では、対象機能を、「ログ取得機能」、「リスト機能」、「禁止機能」、「動作設定機能」の4つに分類している。
「ログ取得機能」とは、クライアントコンピュータ20の操作の履歴を取得して保存させる機能である。ログ取得機能としては、例えば、クライアントコンピュータ操作履歴を取得する機能、ファイル操作履歴を取得する機能、Webアクセス履歴を取得する機能等がある。ログ取得機能に設定可能な項目として、ここでは、「オン優先」と「後優先」の2つを例示している。ユーザは、例示された以外の項目(例えば、「設定禁止」、「多数優先」等)を設定することもできる(以下同様)。
「リスト機能」とは、監視対象を複数設定し、監視対象がクライアントコンピュータ20上で動作した場合に、所定のアクションを起こすための機能である。リスト機能には、例えば、ソフトウェアの起動を抑止する機能と、プロセスの起動時間を監視する機能とが含まれる。これら以外の機能をリスト機能に含めてもよい。
リスト機能で設定可能な項目として、ここでは、「後優先」、「追加(OR)」、「追加(AND)」、「追加(中間動作)」を例示する。「追加(OR)」とは、既存の設定対象に、後から受信した新しい設定対象を追加するルールである。「追加(AND)」とは、既存の設定対象と後から受信した新しい設定対象との重複部分のみを対象とするルールである。「追加(中間動作)」とは、各ポリシーの禁止リストで明確に禁止されている対象は動作を禁止し、一つ以上の許可リストで明確に許可されている対象は、中間動作に設定させるルールである。
ソフトウェアの起動を抑止させる機能の場合、ユーザは、例えば、以下のような中間動作を定義することができる。あるいは、中間動作を予め定義しておき、その中からユーザが所望の中間動作を選択する構成でもよい。
中間動作の一つの例として、ソフトウェアの起動を許可し、使用履歴を取得する。中間動作の他の例として、ソフトウェアの起動を条件付きで許可する。例えば、編集と新規作成は許可するが、データの保存を禁止する等の場合である。中間動作のさらに別の例として、所定時間または所定時刻のみソフトウェアの起動を許可する。これら以外の他の動作を中間動作として採用することもできる。
なお、プロセスの起動時間を監視する機能の場合は、中間動作を設定できないように構成することができる。
「禁止機能」とは、特定の操作を禁止させる機能である。禁止機能は、例えば、印刷を抑止させる機能と、外部記録媒体の使用を禁止させる機能とを含む。これら以外の機能を禁止機能に含めてもよい。禁止機能で設定可能な項目として、ここでは、例えば、「禁止優先」、「許可優先」、「中間動作」を挙げる。
印刷を抑止させる機能の場合、中間動作として、例えば、印刷を許可するが使用履歴を取得して保存する、最初の1ページだけ印刷を許可する、1部だけ印刷を許可する、テキスト部分のみ印刷を許可する、イメージ部分のみ印刷を許可する、所定の時間帯だけ印刷を許可する、モノクロ印刷のみ許可する等を設定することができる。
外部記録媒体の使用を禁止させる機能として、例えば、外部記録媒体からの読み出しは許可するが外部記録媒体への書込みは禁止する、外部記録媒体から所定サイズのデータのみを読み書き可能とする、外部記録媒体から所定ファイル形式のデータのみ読み書き可能とする、所定時間帯でのみ外部記録媒体を使用可能とする等を設定できる。
「動作設定機能」とは、複数の機能で共通する動作を設定するための機能である。動作設定機能には、例えば、履歴のアップロードを設定するための機能、履歴ファイルのサイズを設定するための機能、印刷抑止を解除するための解除パスワードを設定するための機能が含まれる。
図5は、管理サーバ10及びクライアントコンピュータ20のハードウェア構成を示す図である。管理サーバ10とクライアントコンピュータ20とは、以下に述べる構成を備えるコンピュータ装置として構成される。符号11−16は管理サーバ10の構成要素であることを示し、符号21−26はクライアントコンピュータ20の構成要素であることを示す。
管理サーバ10(クライアントコンピュータ20)は、例えば、メモリ11(21)と、マイクロプロセッサ12(22)と、補助記憶装置13(23)と、入力装置14(15)と、表示装置15(25)と、通信インターフェース16(26)とを備える。
メモリ11(21)には、後述する各プログラムが記憶される。マイクロプロセッサ12(22)は、メモリ11(21)から各プログラムを読み出して実行することにより、後述の各処理を実施する。
補助記憶装置13(23)は、例えば、ハードディスクドライブまたはフラッシュメモリデバイスのような記憶装置として構成される。補助記憶装置13(23)には、後述する各種テーブルが記憶される。
入力装置14(24)は、例えば、キーボード、ポインティングデバイス、マイクロフォン等の、ユーザの操作をコンピュータに入力するための装置である。表示装置15(25)は、例えば、ディスプレイ装置等の、ユーザに情報を与えるための装置である。なお、スピーカーから合成音声でユーザに通知する構成でもよい。
通信インターフェース16(26)は、通信ネットワークを介して、他のコンピュータ装置と双方向通信するための回路である。通信インターフェース16(26)は、有線または無線のいずれかまたは両方で、他のコンピュータ装置と双方向通信可能である。
管理サーバ10は、入力装置14及び表示装置15を含むユーザインターフェースを必ずしも備える必要はない。例えば、管理サーバ10を操作するための操作端末を管理サーバ10に接続し、その操作端末を介してユーザからの操作を受け入れたり、ユーザに通知したりする構成としてもよい。なお、表示用端末と操作用端末とを管理サーバ10に接続する構成、表示用端末のみを管理サーバ10に接続し、操作は管理サーバ10の入力装置14を使用する構成でもよい。さらに、管理サーバ10は、単一のコンピュータ装置として構成される必要はなく、複数のコンピュータ装置から一つの管理サーバ10を構成してもよい。
図6は、最上位管理サーバ(SAサーバ)のメモリ11に記憶されているプログラムの例を示す。以下の説明において、符号「SA」は最上位管理サーバであることを示す。従って、メモリ11(SA)は、最上位管理サーバのメモリであることを示し、補助記憶装置13(SA)は、最上位管理サーバの補助記憶装置であることを示す。
最上位管理サーバのメモリ11(SA)には、例えば、ユーザ管理部P100と、GUI(Graphical User
Interface)部P101と、マージルール編集部P102と、マネージャ管理部P103と、クライアント管理部P104と、ポリシー編集部P105と、配信部P106と、ポリシー適用結果収集部P107と、クライアント動作結果収集及び表示部P108と、システム構成管理及び表示部P109と、通信統括部P110とが、記憶されている。
各プログラムの詳細はフローチャートと共に後述するが、先に概要を簡単に述べる。なお、以下の説明では、最上位管理サーバのうちマージルールを設定することのできる管理機能をSAマネージャと呼び、SAマネージャを使用するユーザをSAユーザと呼ぶ。セキュリティ確保のため、システム内で1名のユーザがSAユーザとして登録される。
SAマネージャを使用が許可されていないユーザを一般ユーザと呼ぶ。一般ユーザは、最上位管理サーバを通常の管理サーバとして使用する。つまり、一般ユーザは、最上位管理サーバを用いて、ポリシーを最上位管理サーバが直接管理するクライアントコンピュータ20に配信させることができる。一般ユーザは、マージルールを作成したり、マージルールを各クライアントコンピュータ20に配信することはできない。
ユーザ管理部P100は、GUIにより起動されるもので、最上位管理サーバを使用する各ユーザを管理するためのプログラムである。最上位管理サーバを使用するユーザには、上述の通り、SAマネージャと一般ユーザとの2種類がある。
GUI部P101は、SAマネージャのGUI部分を担当するプログラムである。
マージルール編集部P102は、SAマネージャのみが使用できるプログラムであり、マージルールの作成及び編集を行う。
マネージャ管理部P103は、最上位管理サーバの配下の各管理サーバ10の情報を管理するためのプログラムである。
クライアント管理部P104は、最上位管理サーバの配下の全クライアントコンピュータ20(つまり、コンピュータシステム内の全クライアントコンピュータ)の情報を管理するためのプログラムである。
ポリシー編集部P105は、各クライアントコンピュータ20に配信させるためのポリシーを作成したり編集したりするためのプログラムである。
配信部P106は、マージルールまたはポリシー等を各クライアントコンピュータ20に配信させるためのプログラムである。さらに、配信部P106は、ポリシーの適用を要求するための指令、動作結果(動作履歴)のアップロードを要求するための指令等を各クライアントコンピュータ20に送信する。
ポリシー適用結果収集部P107は、各クライアントコンピュータ20におけるポリシーの適用結果を収集する。上述の通り、各クライアントコンピュータ20は、同一管理サーバまたは異なる管理サーバから受信される複数のポリシーとマージルールとに基づいて、新たなポリシーを生成する。ポリシー適用結果収集部P107は、各クライアントコンピュータ20毎に生成された新たなポリシーを収集する。
クライアント動作結果収集及び表示部P108は、各クライアントコンピュータ20でのセキュリティ機能の動作結果(動作履歴)を収集したり、収集された動作結果を表示させるためのプログラムである。
紙面の都合上、図6では、クライアントコンピュータ20から動作結果を収集するプログラムと、収集した動作結果を表示させるプログラムとを、一つのプログラムであるかのように図示している。実際には、クライアント動作結果を収集するプログラムと、クライアント動作結果を表示させるプログラムとは別々に構成できる。
システム構成管理及び表示部P109は、コンピュータシステムの構成を示す情報を管理したり、その情報を表示させたりするためのプログラムである。システム構成管理及び表示部P109も、便宜上一つのプログラムであるかのように示されているが、実際には、システム構成を管理するプログラムと、システム構成を表示させるプログラムとに分けて構成することができる。
通信統括部P110は、他の管理サーバ10及び各クライアントコンピュータ20との通信を制御するためのプログラムである。
図7は、SAサーバの補助記憶装置13(SA)に格納される各種テーブルの構成を示す説明図である。SAサーバの補助記憶装置13(SA)には、例えば、ユーザ管理テーブルT100と、マージルールテーブルT101と、マネージャ管理テーブルT102と、クライアント管理テーブル宇T103と、ポリシーテーブルT104と、ポリシー適用結果テーブルT105と、クライアント動作結果テーブルT106と、システム構成テーブルT107とが記憶される。次に、各テーブルの構成を詳細に説明する。
図8は、SAサーバの有するユーザ管理テーブルT100の構成例を示す。ユーザ管理テーブルT100は、SAサーバを使用する各ユーザの情報を管理するためのテーブルである。ユーザ管理テーブルT100は、例えば、ユーザID欄C1000と、パスワード欄C1001と、属性欄C1002とを備える。
本実施例では、便宜上、SAユーザのIDを「SAUSER」とし、それ以外の一般ユーザのIDを「USERA」、「USERB」と示す。より多くの一般ユーザが存在してもよい。SAユーザは、一人だけ設定される。但し、システムの信頼性を維持できるのであれば、SAユーザを複数設定する構成としてもよい。
図9は、マージルールテーブルT101の構成例を示す。マージルールは、SAユーザにより作成または編集される。一般ユーザは、マージルールを作成したり編集したりすることはできない。
マージルールテーブルT101は、SAユーザにより作成されるマージルールを管理するためのテーブルである、SAユーザは、複数のマージルールを作成できる。従って、例えば、コンピュータシステムを複数の領域に分けて、一方の領域に属するクライアントコンピュータ20には一方のマージルールを適用し、他方の領域に属するクライアントコンピュータ20には他方のマージルールを適用することができる。
図1に示す例では、クライアントコンピュータ20(Ca)に第1マージルールを適用し、クライアントコンピュータ20(Cb)に第2マージルールを適用できる。従って、例えば、会社毎に、事業部毎に、部署毎に、グループ毎に、それぞれ異なるマージルールを設定することができる。同一のポリシーを受信していてもマージルールが異なれば、クライアントコンピュータ20内で生成されるポリシーは異なる。複数のマージルールを設定できるという構成は、コンピュータシステムを使用する各組織(会社、部署、グループ等)の性質等に応じて、それぞれに適したセキュリティポリシーでシステムを運用可能であるという効果をもたらす。
マージルールテーブルT101は、例えば、ルール名欄C1010と、SAID欄C1011と、パスワード欄C1012と、マージルールの内容(C1013,C1014,C1015,C1016,C1017)とを管理する。マージルールの内容は、項目ID欄C1013(C1015)と、ルール欄C1014(C1017)とを備える。さらに、マージルールの内容として、例外欄C1016を設けることもできる。
ルール名欄C1010には、各マージルールを特定するための情報が設定される。SAID欄C1011には、マージルールを作成したSAユーザのIDが設定される。なお、本実施例において、ID、識別情報、名前は、置換可能である。パスワード欄C1012は、SAユーザに設定されるパスワードを示す。
項目ID欄C1013(C1015)には、ポリシーの設定項目を特定するための情報が設定される。設定項目としては、例えば、クライアントコンピュータの操作ログ、ファイル操作ログ、Webアクセスログ、ソフトウェア起動抑止、プロセス起動時間取得、外部記録媒体の使用禁止、印刷抑止、印刷抑止を解除するパスワード、履歴アップロードの設定、履歴ファイルのサイズ等を挙げることができる。
ルール欄C1014(C1017)には、各設定項目に適用されるルールを特定するための情報が設定される。ルールとしては、例えば、先優先、後優先、オン優先、オフ優先、多数優先、設定禁止、禁止優先、許可優先、追加(OR)、追加(AND)、追加(中間動作)、最大値優先、最小値優先等を挙げることができる。
例外欄C1016には、設定項目の例外となる対象が設定される。例えば、「印刷抑止」が設定されている場合でも、特定マネージャ(管理サーバ)または特定ユーザからのポリシーに応じて、印刷を例外的に許可させることができる。または、印刷抑止を解除するためのパスワードに「先優先」のルールが設定されている場合でも、特定マネージャまたは特定ユーザにより作成されたポリシーに従って、例外的に、先に設定されているパスワード以外のパスワードで、印刷抑止を解除させることもできる。
なお、本実施例では、特定マネージャまたは特定ユーザの単位で、例外を設定する場合を述べるが、これに限らず、例えば、クライアントコンピュータ20にインストールされるソフトウェアの種別、または、クライアントコンピュータ20の属する部署またはクライアントコンピュータ20を使用するユーザの役職等に応じて、例外を設定可能な構成としてもよい。
例えば、クライアントコンピュータ20にインストールされている各ソフトウェアのうち特定のソフトウェアのみ例外的に印刷を許可することができる。または、開発部や経理部等の所定部署に属するクライアントコンピュータ20のみ、例外的に印刷を許可することができる。さらに、部長や課長等の所定役職のユーザからの指示で、例外的に印刷を許可することができる。
図10は、マネージャ管理テーブルT102の構成例を示す。マネージャ管理テーブルT102は、SAマネージャ配下の各マネージャ(一般の管理サーバ)の情報と、各マネージャを使用するユーザの情報とを管理するためのテーブルである。
マネージャ管理テーブルT102は、例えば、マネージャ名欄C1020と、ホスト名欄C1021と、IPアドレス欄C1022と、ユーザ名欄C1023と、直上位マネージャ名欄C1024とを備える。
マネージャ名欄C1020には、コンピュータシステム内の各マネージャを一意に特定するための情報が設定される。重複したマネージャ名が発生しないように、SAマネージャが各マネージャの名前を決定する。
ホスト名欄C1021には、各マネージャの設けられているホストコンピュータ名が設定される。ホストコンピュータ名とは、管理サーバを識別するための情報である。ホスト名とマネージャ名とを分離することにより、比較的簡単にマネージャを別のサーバに移すことができる。なお、マネージャ名とホスト名とのいずれか一方のみを用いて、各マネージャを識別する構成でもよい。または、他の情報を用いて各マネージャを識別する構成としてもよい。
IPアドレス欄C1022には、ホスト名で特定される管理サーバのIPアドレスが設定される。ユーザ名欄C1023には、マネージャを使用するユーザを特定するための情報が設定される。
直上位マネージャ名欄C1024には、コンピュータシステムの構成上、そのマネージャの直上位に位置するマネージャを特定するための情報が設定される。
図11は、クライアント管理テーブルT103の構成例を示す。クライアント管理テーブルT103は、SAマネージャ配下の各クライアントコンピュータ20、つまり、コンピュータシステム内の全クライアントコンピュータ20を管理する。コンピュータシステム内の全クライアントコンピュータ20とは、本発明によりセキュリティポリシーが管理される範囲内の全クライアントコンピュータを意味し、本発明の対象外のクライアントコンピュータは含まれない。
クライアント管理テーブルT103は、例えば、クライアント名欄C1030と、ホスト名欄C1031と、IPアドレス欄C1032と、直上位マネージャ欄C1033と、ユーザ数欄C1034と、各ユーザにより設定されるポリシーを示す欄C1035,C1036と、マージルール欄C1037とを備える。
クライアント名欄C1030には、各クライアントを特定する情報が設定される。ホスト名欄C1031には、各クライアントの設けられているコンピュータを特定する情報が設定される。IPアドレス欄C1032には、各クライアントの設けられているコンピュータのIPアドレスが設定される。
直上位マネージャ名欄C1033には、コンピュータシステムの構成上、クライアントコンピュータ20の直上位に位置するマネージャを特定する情報が設定される。欄C1034,C1035は、SAマネージャを使用する各ユーザ毎に用意される。例えば、4人のユーザがSAマネージャを用いてポリシーを作成可能な場合、その4人分の欄が用意される。欄C1034,C1035には、SAマネージャを使用する各ユーザにより作成されたポリシーの名称及び世代情報が設定される。SAマネージャは、全てのポリシーの名称及び世代情報を参照することができる。ポリシーを設定した各ユーザは、自分の設定したポリシーについてのみ、ポリシー名及び世代情報を参照可能である。
マージルール欄C1037には、クライアントコンピュータ20に適用されるマージルールを特定するための情報が設定される。セキュリティ維持の観点から、マージルール欄C1037は、SAマネージャのみが参照可能となっている。
図12は、ポリシーテーブルT104の構成例を示す。ポリシーテーブルT104は、SAマネージャを使用する各ユーザにより作成されたポリシーを管理する。ポリシーテーブルT104は、例えば、マネージャ名欄C1040と、ユーザID欄C1041と、ポリシー名欄C1042と、世代欄C1043と、結果通知欄C1044と、設定ID欄C1045(1)−(4)と、設定欄C1046(1)−(4)とを備える。
マネージャ名欄C1040には、ポリシーを作成したマネージャを識別するための情報が設定される。ユーザ名欄C1041には、ポリシーを作成したユーザを識別するための情報が設定される。
ポリシー名欄C1042には、ポリシーを識別するための情報が設定される。世代欄C1043には、ポリシーの世代情報、すなわちバージョン情報が設定される。結果通知欄C1044には、クライアントコンピュータ20からポリシー適用結果を通知させるか否かを示すフラグ情報が設定される。結果通知欄C1044に「オン」が設定された場合、そのポリシーが適用された全てのクライアントコンピュータ20から、そのポリシーを作成したマネージャに向けて、ポリシー適用結果が通知される。結果通知欄C1044に「オフ」が設定された場合、マネージャからの要求に応じて、クライアントコンピュータ20から結果通知を送信させることができる。
設定ID欄C1045(1)−(4)には、ポリシーの項目(機能)を識別するための情報が設定される。項目とは、上述した「印刷抑止」、「ソフトウェア起動抑止」、「ログ取得」等である。設定欄C1046(1)−(4)には、ポリシー項目をオンさせるかオフさせるかの区別を示す情報が設定される。
ここで、欄C1046(3)には、アクション対象が設定される。オンまたはオフのいずれか一つを設定すれば足りる機能ではなく、その機能が作用する対象を明示する必要があるためである。従って、図12では、欄C1046(3)を「対象」として表示させている。
図13は、ポリシー適用結果テーブルT105の構成例を示す。ポリシー適用結果テーブルT105は、各クライアントコンピュータ20におけるポリシーの適用結果を管理するテーブルである。
上述の通り、本実施例では、クライアントコンピュータ20に複数のポリシーが適用される。クライアントコンピュータ20は、マージルールに基づいて複数のポリシーから新たなポリシーを作成する。従って、クライアントコンピュータ20に送信されたポリシーと、そのクライアントコンピュータ20に実際に適用されているポリシーとは、相違する場合がある。ポリシー適用結果テーブルT105は、クライアントコンピュータ20における実際の適用結果を管理する。
ポリシー適用結果テーブルT105は、例えば、ユーザID欄C1050と、収集日時欄C1051と、クライアント毎情報セットC1052(1)−(n)とを備える。ユーザID欄C1050には、ポリシーを作成したユーザを識別する情報が設定される。収集日時欄C1051には、クライアントコンピュータ20からポリシー適用結果を収集した日時が設定される。クライアント毎情報セットC1052(1)−(n)には、そのポリシーが適用されている各クライアントコンピュータ20における適用結果を示す情報がそれぞれ設定される。
図14は、図13中のクライアント毎情報セットC1052の一つを示す。クライアント毎情報セットC1052は、例えば、クライアント名欄C10520と、記憶日時欄C10521と、ポリシー名/世代欄C10522と、設定毎情報セットC10523とを備える。
クライアント名欄C10520には、クライアントコンピュータ20を識別する情報が設定される。記憶日時欄C10521には、クライアントコンピュータ20から取得したポリシー適用結果をテーブルT105に格納した日時が設定される。ポリシー名/世代欄C10522には、ポリシー名及び世代情報が設定される。
ポリシー適用結果をクライアントコンピュータ20から受領して記憶した日時を管理することにより、タイムラグ等による適用結果のばらつきを検出することができる。例えば、ポリシーAとポリシーBの適用される2台のクライアントコンピュータ20A,20Bがあるとする。通信ネットワークの混雑等により、一方のクライアントコンピュータ20Aは、先に受信したポリシーAのみの適用結果をマネージャに通知し、他方のクライアントコンピュータ20Bは、ポリシーA及びポリシーBの両方が適用された結果をマネージャに通知したとする。このように、同一となるべきポリシー適用結果が、通信ネットワーク上の問題等によって、異なってしまうことも考えられる。しかし、本実施例では、ポリシー適用結果がテーブルT105に記憶された日時を管理するため、適用結果の相違の有無を検出可能である。
設定毎情報セットC10523には、ポリシーの各項目(機能)毎の設定内容が登録される。図15は、設定毎情報セットC10523の詳細を示す。設定毎情報セットC10523は、機能ID欄C1052330(1)−(4)と、ポリシー設定欄C105231(1)−(4)と、適用結果欄C105232(1)−(4)とを備える。なお、図15では、便宜上、4つの機能とその設定値について示すが、4個に限らず、より多くの、または4個未満の、機能とその設定値を含ませることができる。
機能ID欄C1052330には、各機能を識別するための情報が設定される。ポリシー設定欄C105231には、機能IDで特定される機能を作動させるか否かの情報、または、その機能の対象を示す情報等が設定される。
適用結果欄C105232には、その機能の実際の適用結果が設定される。従って、ポリシー設定欄C105231の内容と適用結果欄C105232の内容とを比較すれば、作成時点のポリシーと実際に適用されたポリシーとの差分を検出できる。
図15の例では、PC操作ログについて最初はオフが設定されていたが、実際には、オンに設定されている。また、ABC.exe、DEF.exe、GHI.exeの3つのソフトウェアは起動が抑止されていたが、実際には、ABC.exeは起動が抑止され、DEF.exeは起動が許可され、GHI.exeは中間動作に設定されている。さらに、外部記録媒体の使用は禁止されていたが、実際には、中間動作が設定されている。
なお、ポリシーの最初の設定内容と適用結果とが相違する場合に、その相違が生じた理由を収集して記録する構成としてもよい。但し、ポリシー設定者であるユーザ以外のユーザに、そのポリシーの設定内容が知られないような構成とするのが好ましい。
図16は、クライアント動作結果テーブルT106の構成例である。クライアント動作結果テーブルT106は、各クライアントコンピュータ20でのセキュリティ機能の動作結果を管理する。クライアント動作結果テーブルT106は、例えば、クライアント名欄C1060と、ログID欄C1061欄と、ログ欄C1062とを備える。
クライアント名欄C1060には、各クライアントコンピュータ20を識別するための情報が設定される。ログID欄C1061には、ログの種別を示す情報、すなわち、どのセキュリティ機能の動作履歴であるかを示す情報が設定される。ログ欄C1062には、ログIDで特定されるセキュリティ機能の動作内容が記録される。動作内容は、セキュリティ機能の種類によって異なる。例えば、ファイルコピーを監視するセキュリティ機能の場合、コピー日時、コピー元アドレス、コピー先アドレス、ファイル名、実行者アカウント等がログとして記録される。
図17は、システム構成テーブルT107の例を示す。システム構成テーブルT107は、コンピュータシステムの構成を管理する。システム構成テーブルT107は、例えば、階層数欄C1070と、直上位マネージャ欄C1071と、種別欄C1072と、名称欄C1073とを備える。
階層数欄C1070には、システムの階層構造上の段数が設定される。SAマネージャの段数は「0」である。SAマネージャの直下に位置する階層の段数は「1」、さらにその下の階層の段数は「2」、さらにその下の階層の段数は「3」となる。
直上位マネージャ欄C1071には、自装置の直上に位置するマネージャを特定するための情報が設定される。種別欄C1072には、自装置がマネージャであるかクライアントであるかを示す情報が設定される。名称欄C1073には、自装置を識別するための情報が設定される。
図18は、SAユーザがマージルールを登録する場合に使用するマージルール登録画面の例を示す。マージルール登録画面は、上側に位置する「マージルール基本設定」領域と、下側に位置する「各機能のマージルール」領域とを含む。
マージルール基本設定領域では、マージルール名と、マージルールを管理するためのパスワードとを入力する。
各機能のマージルール領域では、各設定項目(機能)毎に、適用されるべきルールを選択または入力する。図18中、右下の3個の細長い楕円は、例外を設定するためのボタンである。紙面の都合上、「例外」の文言を省略している。
図18に示すように各機能単位でルールを設定する構成としても良いし、または、一つまたは複数の機能を含むグループ単位でルールを設定する構成としてもよい。例えば、Webアクセスログ、PC操作ログ、ファイル操作ログを「ログ管理」というグループにまとめ、ログ管理グループについて一つのルールを設定することもできる。これにより、Webアクセスログ、PC操作ログ、ファイル操作ログのそれぞれに同一のルールが一括して設定される。
図19−図25を参照して通常の管理サーバ(マネージャ)の構成を説明する。図19は、管理サーバ10のメモリ11(M)に記憶されているプログラム構成を示す。メモリ11(M)には、図6で述べた各プログラムP100−P110のうち、P100,P101,P103−P110が記憶される。マージルール編集部P102は、メモリ11(M)に記憶されていない。マージルールはSAマネージャのみが作成可能であり、一般のマネージャでは作成することができない。既に述べた構成と共通する構成については説明を省略する。
図20は、管理サーバの補助記憶装置13(M)に記憶されているテーブル構成を示す図である。SAサーバ以外の通常の管理サーバは、ユーザ管理テーブルT100Mと、マネージャ管理テーブルT102Mと、クライアント管理テーブルT103Mと、ポリシーテーブルT104と、ポリシー適用結果テーブルT105と、クライアント動作結果テーブルT106と、システム構成テーブルT107と、上位情報テーブルT108と、マネージャ名テーブルT109とを備える。
ポリシーテーブルT104と、ポリシー適用結果テーブルT105と、クライアント動作結果テーブルT106と、システム構成テーブルT107とについては、図7で述べたと同様であるので、説明を省略する。
図21は、ユーザ管理テーブルT100Mの構成例を示す。ユーザ管理テーブルT100Mは、マネージャを使用するユーザを管理する。SAマネージャの場合は、SAユーザと通常ユーザとの2種類のユーザが存在するが、通常マネージャの場合は、通常ユーザしか存在しない。従って、ユーザ管理テーブルT100Mには、ユーザID欄C1000と、パスワード欄C1001とが設けられており、図7に示す属性欄C1002は設けられていない。
図22は、マネージャ管理テーブルT102Mの例を示す。マネージャ管理テーブルT102Mは、マネージャの配下のマネージャを管理する。通常マネージャでは、マージルールを扱うことができないため、マネージャ管理テーブルT102Mは、図10に示すユーザ名欄C1023を備えない。その他の構成は共通なので説明を省略する。
図23は、クライアント管理テーブルT103Mの例を示す。クライアント管理テーブルT103Mは、マネージャ配下の各クライアントを管理する。通常マネージャは、マージルールを扱うことができないため、クライアント管理テーブルT103Mは、図11に示すクライアント管理テーブルT103に示すマージルール欄C1037を備えない。その他の構成は共通なので説明を省略する。
図24は、上位情報テーブルT108の例を示す。上位情報テーブルT108は、自装置の直上位に位置するコンピュータの情報を管理するテーブルである。SAマネージャは、システム階層の最上位に位置するため、上位情報テーブルを備えない。
上位装置テーブルT108は、例えば、マネージャ名欄C1080と、ホスト名欄C1081と、IPアドレス欄C1082とを備える。マネージャ名欄C1080には、直上位のマネージャを特定するための情報が設定される。ホスト名欄C1081には、直上位のマネージャのサーバを特定するための情報が設定される。IPアドレス欄C1082には、直上位のマネージャのIPアドレスが設定される。
図25は、マネージャ名テーブルT109の例を示す。マネージャ名テーブルT109は、SAマネージャから自装置に与えられたマネージャ名を管理する。
図26−図33を参照してクライアントコンピュータ20の構成を説明する。図26は、クライアントコンピュータ20のメモリ21に記憶されているプログラム構成を示す図である。
クライアントコンピュータ20のメモリ21には、例えば、動作統括部P200と、マージルール格納部P201と、ポリシー格納部P202と、ポリシーマージ部P203と、ポリシー適用部P204と、ポリシー適用結果格納部P205と、動作結果アップロード部P206と、セキュリティ管理機能群P207とが記憶されている。
動作統括部P200は、クライアントコンピュータ20の動作を制御するためのプログラムである。動作統括部P200は、例えば、マネージャからの要求に応じて所定処理を起動させたりする。
マージルール格納部P201は、SAマネージャから受領したマージルールをマージルールテーブルT201に格納させるプログラムである。
ポリシー格納部P202は、SAマネージャ及びマネージャから受領したポリシーを受信ポリシーテーブルT202に格納させるプログラムである。
ポリシーマージ部P203は、受信した複数ポリシーをマージルールに基づいてマージし、マージされたポリシーをマージポリシーテーブルT203に格納させるプログラムである。
ポリシー適用部P204は、マージポリシーを各セキュリティ管理機能群P207に適用させるプログラムである。
ポリシー適用結果格納部P205は、受信ポリシーの実際の適用結果(マージされたポリシー)を、ポリシー適用結果テーブルT204に格納させるプログラムである。
動作結果アップロード部P206は、セキュリティ管理機能群P207の動作結果(動作ログ)を、直上位マネージャに送信するプログラムである。
セキュリティ管理機能群P207は、各セキュリティ機能を管理するためのプログラム群である。例えば、印刷を管理するためのプログラム、ソフトウェアの起動を監視するためのプログラム、外部記録媒体との入出力を監視するプログラム等が該当する。
図27は、クライアントコンピュータ20の補助記憶装置23に記憶されているテーブル構成を示す。補助記憶装置23には、例えば、上位情報テーブルT200と、マージルールテーブルT201と、受信ポリシーテーブルT202と、マージポリシーテーブルT203と、ポリシー適用結果テーブルT204と、クライアント名テーブルT205と、動作結果テーブル群T206とが記憶されている。
上位情報テーブルT200は、図24に示す上位情報テーブルT108と同様に、直上位のマネージャを管理するテーブルであり、図24と同様の構成であるため、図示を省略する。
図28は、マージルールテーブルT201の例を示す。マージルールテーブルT201は、SAマネージャから受信したマージルールを記憶する。SAマネージャは複数のマージルールを作成することができるが、各クライアントコンピュータ20には一つのマージルールのみが設定される。
従って、マージルールテーブルT201は、一つのマージルールのみを管理する。管理するマージルールの数が一つに限られる点を除いて、マージルールテーブルT201の構成は、図9に示すマージルールテーブルT101と同様である。C2010−C2017は、図9のC1010−C1017に対応する。
図29は、受信したポリシーを管理するテーブルT202の例を示す。受信ポリシーテーブルT202は、各ユーザから配布されたポリシーを管理する。同一ユーザから複数のポリシーが配布された場合、新しい方のポリシーで古いポリシーを上書きする。
受信ポリシーテーブルT202は、図12に示すポリシーテーブルT104と同様の構成を有する。C2020−C2026(4)は、図12のC1040−C1046(4)に対応するため、説明を省略する。
マージポリシーテーブルT203は、複数のポリシーとマージルールとから生成されるポリシーを管理する。マージポリシーテーブルT203は、各クライアントコンピュータ20に一つだけ生成される。
マージポリシーテーブルT203は、例えば、設定ID欄C2030(1)−(4)と、設定欄C2031(1)−(4)とを備える。図30では、4つの設定項目を示すが、これは例示であって、本発明は4つの設定項目に限定されない。設定ID欄C2030には、各機能(設定項目)を識別するための情報が設定される。設定欄C2031には、各機能の適用の有無または適用対象が設定される。
図31は、ポリシー適用結果テーブルT204の例を示す。ポリシー適用結果テーブルT204は、例えば、マネージャ名欄C2040と、ユーザID欄C2041と、ポリシー名/世代欄C2042と、設定毎情報セット欄C2043とを備える。
マネージャ名欄C2040には、ポリシーが作成されたマネージャを特定するための情報が設定される。ユーザID欄C2041には、ポリシーを作成したユーザを特定するための情報が設定される。ポリシー名/世代欄C2042には、そのポリシーを特定するための名称及び世代情報が設定される。設定毎情報セットC2043には、各設定項目毎の設定内容が設定される。設定毎情報セットC2043は、図15に示す構成と同様の構成を備える。
図32は、クライアント名テーブルT205を示す。クライアント名テーブルT205は、SAマネージャから与えられるクライアント名を管理する。
図33は、動作結果テーブルT206の例を示す。動作結果テーブルT206は、セキュリティ機能の動作履歴を管理する。動作結果テーブルT206は、監視対象の機能毎に相違する。図33では、ファイル操作に関するテーブルを例示する。動作結果テーブルT206は、例えば、日時欄C2060と、種別欄C2061と、操作元欄C2062と、操作先欄C2063と、ファイル名欄C2064と、ログインユーザ名欄C2065とを備える。
日時欄C2060には、監視対象の操作が実施された日時が設定される。種別欄C2061には、監視対象の種別が設定される。操作元欄C2062には、コピー元または移動元のような、操作元のパスが設定される。操作先欄C2063には、コピー先または移動先のような、操作先のパスが設定される。ファイル名欄C2064には、操作されたファイルを特定する情報が設定される。ログインユーザ名欄C2065には、ファイルを操作したクライアントユーザを特定するための情報が設定される。
図34−図67を参照して本システムの動作を説明する。図中、ステップを「S」と略記する。また、各フローチャートは、本発明の理解及び実施に必要な範囲で各処理の概要を示している。いわゆる当業者であれば、図示されたステップの削除または変更したり、新たなステップを追加したりすることができるであろう。
図34−図55は、SAマネージャに関する処理を示し、図56はマネージャに関する処理を示し、図57−図67はクライアントに関する処理を示す。SAマネージャに関する処理のうちの幾つかの処理はマネージャにも関係する。
各処理は、所定のプログラムをマイクロプロセッサ12(22)がメモリ11(21)から読み込んで実行することにより、実現される。以下、処理の主体を、管理サーバ(あるいはSAサーバ)、マネージャ(あるいはSAマネージャ)、クライアントコンピュータ、または、各プログラムとして説明する。
図34は、SAマネージャにログインするための処理を示すフローチャートである。SAサーバ(最上位管理サーバ)は、外部からのアクセスに応じてGUI部P101を起動させる(S10)。GUI部P101は、ログイン画面を表示させ(S11)、ユーザから入力されたID及びパスワードを、ユーザ管理部P100に引き渡す(S12)。
ユーザ管理部P100によりユーザ認証が行われ、SAユーザであるか通常ユーザであるかが判別される(S13)。SAユーザの場合、SAユーザ用のGUIが表示される(S14)。通常ユーザの場合、通常ユーザ用のGUIが表示される(S15)。なお、図34では、便宜上省略しているが、SAユーザまたは通常ユーザのいずれにも該当しない場合は、エラー処理が行われる。
図35は、SAユーザ用GUIの処理または通常ユーザ用GUIの処理を示すフローチャートである。SAマネージャ(またはマネージャ)は、SAユーザ用GUI(または通常ユーザ用GUI)を表示させ(S20)、SAユーザまたは通常ユーザからの操作を待つ(S21)。
SAマネージャ(マネージャ)は、SAユーザまたは通常ユーザからの操作を受領すると(S22)、要求された処理を起動させる(S23)。
図36は、通信統括処理を示すフローチャートである。通信統括部P110は、SAサーバの起動時に起動される(S30)。通信統括部P110は、通信イベントが発生するのを待つ(S31)。通信イベントとは、SAマネージャ配下の各マネージャまたはクライアントとの通信を要求するイベントである。
通信イベントが発生すると(S32)、通信統括部P110は、通信イベントに応じた処理を実行する(S33)。
図37は、SAマネージャを使用するユーザを管理するための処理を示すフローチャートである。ユーザ管理部P100は、GUIでユーザ管理イベントが発生すると起動する(S40)。ユーザ管理部P100は、イベントの種類を判別する(S41)。
ログインイベントの場合、ユーザ管理部P100は、ID及びパスワードに基づいてユーザを認証し(S42)、その結果をGUI部P101に返す(S43)。
ユーザ管理イベントの場合、ユーザ管理部P100は、操作種別を判別する(S44)。新規ユーザの作成の場合、ユーザ管理部P100は、入力されたID及びパスワードをユーザ管理テーブルT100に登録する(S45)。
登録済みユーザの削除の場合、ユーザ管理部P100は、削除対象として指定されたユーザをユーザ管理テーブルT100から削除し(S46)、そのユーザに関する情報をポリシー適用結果テーブルT105から削除する(S47)。さらに、ユーザ管理部P100は、削除対象として指定されたユーザに関する情報をポリシーテーブルT104から削除する(S48)。ユーザ管理部P100は、削除対象のユーザからポリシーを受領した各クライアントコンピュータ20に、削除対象のユーザから受領したポリシーを削除するよう通知する(S49)。
図38は、マージルール作成処理を示すフローチャートである。上述の通り、マージルールは、SAユーザのみが作成可能である。マージルール編集部P102は、GUIにより呼び出されると起動する(S60)。マージルール編集部P102は、操作種別を判別する(S61)。
マージルールの作成が要求された場合、マージルール編集部P102は、SAユーザにマージルールの作成を要求する(S62)。マージルール編集部P102は、SAユーザにより作成されたマージルールを、マージルールテーブルT101に新規に登録する(S63)。
操作種別がマージルールの編集である場合、マージルール編集部P102は、SAユーザに編集対象のマージルールの選択を要求する(S64)。マージルール編集部P102は、SAユーザにより選択(指定)されたマージルールをマージルールテーブルT101から読み出し、SAユーザに編集を要求する(S65)。マージルール編集部P102は、SAユーザにより編集されたマージルールをマージルールテーブルT101に記憶させる(S66)。具体的には、SAユーザにより更新された箇所のみが、マージルールテーブルT101で上書きされる。
操作種別がマージルールの削除である場合、マージルール編集部P102は、SAユーザに削除対象のマージルールの選択を要求し(S67)、SAユーザにより選択されたマージルールをマージルールテーブルT101から削除する(S68)。
図39は、配下のマネージャを管理する処理を示すフローチャートである。マネージャ管理部P103は、SAサーバの起動と同時に起動し、マネージャ管理イベントが発生するのを待つ(S70)。
マネージャ管理部P103は、発生したイベントの種類を判別し(S71)、新規登録イベントの場合は、新規登録処理を行う(S72)。マネージャ管理部P103は、削除イベントが発生した場合には削除処理を実行し(S73)、情報変更イベントが発生した場合には情報変更イベントを実行する(S74)。次に、各処理S72−S74の詳細を説明する。
図40は、図39にS72で示すマネージャ新規登録処理のフローチャートである。マネージャ管理部P103は、新しいマネージャ名を決定し(S720)、マネージャ管理テーブルT102に新規マネージャの情報を登録する(S721)。
マネージャ管理部P103は、S720で決定されたマネージャ名を、新規登録対象のマネジャに通知する(S722)。マネージャ管理部P103は、システム構成管理及び表示部(以下、システム構成管理部と略記する場合がある)P109に、システム構成の更新を要求する(S723)。
図41は、図39にS73で示すマネージャ削除処理のフローチャートである。マネージャ管理部P103は、削除対象のマネージャの情報をマネージャ管理テーブルT102から削除し(S730)、システム構成管理部P109にシステム構成の更新を要求する(S731)。
図42は、図39にS74で示すマネージャ情報変更処理のフローチャートである。マネージャ管理部P103は、変更対象の情報の種類を判別する(S740)。変更対象の情報の種類には、直上位マネージャの情報と、IPアドレスまたはホスト名と、ユーザ情報とがある。
直上位マネージャの情報を変更する場合、マネージャ管理部P103は、マネージャ管理テーブルT102において直上位マネージャの情報を更新し(S741)、システム構成管理部P109にシステム構成の更新を要求する(S742)。
変更対象の情報がIPアドレスまたはホスト名の場合、マネージャ管理部P103は、マネージャ管理テーブルT102において、IPアドレスまたはホスト名を更新する(S743)。
変更対象の情報がユーザ情報の場合、マネージャ管理部P103は、マネージャ管理テーブルT102において、ユーザ情報を更新する(S744)。これにより、ユーザが追加、または、変更、または、削除される。
図43は、クライアント管理処理を示すフローチャートである。クライアント管理部P104は、SAサーバの起動と共に起動し、クライアント管理イベントが発生するのを待つ(S80)。
新規登録イベントが発生した場合、クライアント管理部P104は、新規登録処理を実行する(S82)。削除イベントが発生した場合、クライアント管理部P104は、削除処理を実行する(S83)。情報変更イベントが発生した場合、クライアント管理部P104は、情報変更処理を実行する(S84)。
図44は、図43中にS82で示されるクライアント新規登録処理のフローチャートである。クライアント管理部P104は、新たなクライアント名を決定し(S820)、新規クライアントの情報をクライアント管理テーブルT103に登録する(S821)。さらに、クライアント管理部P104は、新たに決定されたクライアント名を対象のクライアントコンピュータ20に通知する(S822)。クライアント管理部P104は、システム構成管理部P109にシステム構成の更新を要求する(S823)。
図45は、図43中にS83で示すクライアント削除処理のフローチャートである。クライアント管理部P104は、削除対象のクライアントの情報をクライアント管理テーブルT103から削除し(S830)、システム構成管理部P109にシステム構成の更新を要求する(S831)。
図46は、図43中にS84で示されるクライアント情報変更処理のフローチャートである。まず最初に、クライアント管理部P104は、変更対象の情報の種類を判別する(S840)。
直上位マネージャの情報を変更する場合、クライアント管理部P104は、クライアント管理テーブルT103において直上位マネージャの情報を更新し(S841)、システム構成管理部P109にシステム構成の更新を要求する(S842)。IPアドレスまたはホスト名を変更する場合、クライアント管理部P104は、クライアント管理テーブルT103においてIPアドレスまたはホスト名を更新する(S843)。
図47は、ポリシー作成処理を示すフローチャートである。ポリシー編集部P105は、GUIから呼び出されると起動し(S90)、操作種別を判定する(S91)。
新規ポリシーを作成する場合、ポリシー編集部P105は、ユーザにポリシーの作成を要求し(S92)、作成されたポリシーをポリシーテーブルT104に格納させる(S93)。
登録済みポリシーを編集する場合、ポリシー編集部P105は、ユーザに編集対象のポリシーの選択を要求し(S94)、選択されたポリシーをポリシーテーブルT104から読み出してユーザに編集を要求する(S95)。ポリシー編集部P105は、編集されたポリシーをポリシーテーブルT104に格納する(S96)。
登録済みポリシーを削除する場合、ポリシー編集部P105は、ユーザに削除対象ポリシーの選択を要求し(S97)、ユーザにより選択されたポリシーをポリシーテーブルT104から削除する(S98)。
図48は、クライアントコンピュータ20にマージルールまたはポリシーを配信するための処理のフローチャートである。配信部P106は、GUIにより呼び出されて起動し、指令の種類を判定する(S100)。
クライアントからの情報収集が指示された場合、配信部P106は、指令内容として、収集対象の情報を指定するフラグをセットする(S101)。配信部P106は、情報収集対象のクライアントを選択して(S105)、指令内容をクライアントに送信する(S106)。これにより、クライアントコンピュータ20は、指定された情報を指令元であるSAマネージャに送信する。
クライアントへの情報配信が指示された場合、配信部P106は、配信対象の情報を判別する(S102)。マージルールを配信する場合、配信部P106は、マージルールテーブルT101からマージルールを読み出して、指令内容を作成する(S103)。配信部P106は、配信対象のクライアントを選択してマージルールを送信する(S105,S106)。
クライアントにポリシーを配信する場合、配信部P106は、ポリシーテーブルT104からポリシーを読み出して指令内容を作成する(S104)。配信部P106は、配信対象のクライアントを選択してポリシーを送信する(S105,S106)。
図49は、ポリシー適用結果収集処理のフローチャートである。ポリシー適用結果収集部P107は、SAサーバの起動と共に起動し、イベントの発生を待つ(S110)。イベントとは、クライアントコンピュータから送信されたポリシー適用結果の受信イベントである。
イベントが発生すると、ポリシー適用結果収集部P107は、ポリシー適用結果を送信してきたクライアントを判別し(S111)、そのクライアントがポリシー適用結果テーブルT105に存在するか否かを判定する(S112)。
ポリシー適用結果の送信元であるクライアントがポリシー適用結果テーブルT105に登録されている場合(S112:YES)、ポリシー適用結果収集部P107は、テーブルT105の情報を更新させる(S113)。
送信元のクライアントがポリシー適用結果テーブルT105に登録されていない場合(S112:NO)、ポリシー適用結果収集部P107は、テーブルT105に新規エントリを作成して、送信元から受信したポリシー適用結果を格納させる(S114)。
図50は、クライアントコンピュータ20からクライアント動作結果を収集する処理を示すフローチャートである。クライアント動作結果収集及び表示部(以下、クライアント動作結果収集部と略記する場合がある)P108は、SAサーバの起動と共に起動し、収集イベントの発生を待つ(S120)。
収集イベントが発生すると、クライアント動作結果収集部P108は、受信されたクライアント動作結果のうち、自サーバ向けのエントリを抽出する(S121)。クライアント動作結果収集部P108は、抽出したエントリの情報をクライアント動作結果テーブルT106に格納させる(S122)。
図51は、収集されたクライアント動作結果を表示させる処理を示すフローチャートである。ここでは、クライアント動作収集及び表示部P108を、クライアント動作結果表示部として説明する。
クライアント動作結果表示部は、GUIからの呼び出しにより起動し、表示条件の指定を要求する(S130)。クライアント動作結果表示部は、指定された表示条件に基づいて、クライアント動作結果テーブルT106から情報を取得し(S131)、クライアント動作結果を表示させる(S132)。
表示終了が指示された場合(S133:YES)、本処理は終了する。表示終了が指示されない場合(S133:NO)、S130に戻る。
図52は、システム構成管理処理を示すフローチャートである。システム構成管理部P109は、SAサーバの起動と共に起動し、システム構成変更イベントの発生を待つ(S140)。
直上位情報を変更する場合、システム構成管理部P109は、システム構成管理テーブルT107の直上位情報を変更させる(S142)。マネージャまたはクライアントのいずれかを削除する場合、システム構成管理部P109は、削除対象の情報をシステム構成管理テーブルT107から削除させる(S143)。
図53は、図52中にS142で示す直上位情報変更処理のフローチャートである。システム構成管理部P109は、システム構成管理テーブルT107において、対象マネージャのエントリまたは対象クライアントのエントリの直上位情報を更新させ(S1420)、システム構成管理部(詳しくはシステム構成の表示を担当するプログラム)にシステム構成の更新を通知する(S1421)。
図54は、図52中にS143で示す削除処理のフローチャートである。システム構成管理部P109は、削除対象を判別する(S1430)。マネージャを削除する場合、システム構成管理部P109は、対象マネージャのエントリをシステム構成管理テーブルT107から削除する(S1431)。さらに、システム構成管理部P109は、削除されたマネージャがシステム構成管理テーブルT107の直上位情報列にも登録されている場合、直上位情報の列から対象マネージャを削除する(S1432)。
クライアントを削除する場合、システム構成管理部P109は、対象クライアントのエントリをシステム構成管理テーブルT107から削除する(S1433)。
図55は、システム構成を表示させる処理のフローチャートである。システム構成管理及び表示部P109の一部であるシステム構成表示部を主語として説明する。システム構成表示部は、GUIから呼び出されると起動し、システム構成管理テーブルT107からシステム構成を読み出して表示させる(S150)。
システム構成表示は、再表示イベントが発生するのを待ち(S151)、再表示イベントが発生すると、システム構成をシステム構成管理テーブルT107から再び読み出して、表示させる(S152)。
図56を参照して通常のマネージャにログインする処理を説明する。通常の管理サーバのマネージャ管理部P103はGUIから呼び出されると起動し(S160)、ログイン画面を表示させる(S161)。
マネージャ管理部P103は、ユーザから入力されたID及びパスワードを、管理サーバのユーザ管理部P100に引き渡し、ユーザ認証を行わせる(S162)。ユーザ認証が成功した場合(S163:YES)、マネージャ管理部P103は、通常ユーザ用のGUIを表示させる(S164)。ユーザ認証に失敗した場合(S163:NO)、マネージャ管理部P103は、エラー処理を実行する(S165)。
通常のマネージャで実行される他の処理は、マージルールの作成ができない点を除いて、SAマネージャについて述べたとほぼ同様であるため、その説明を省略する。
そこで、クライアントコンピュータ20の動作について説明する。図57は、動作統括処理のフローチャートである。動作統括部P200はクライアントコンピュータ20の起動と共に起動する。
動作統括部P200は、ポリシー適用部P204を呼び出して、各セキュリティ管理機能群P207を作動させる(S170)。ここで、各セキュリティ管理機能群P207は、マージされたポリシーに基づいて動作する。動作統括部P200は、動作統括イベントの発生を待ち(S171)、動作統括イベントが発生すると、そのイベントの内容に応じた処理を実行する(S172)。
図58は、マージルール格納処理を示すフローチャートである。マージルール格納部P201は、動作統括部P200により起動される。
マージルール格納部P201は、既に受信済みのマージルール(旧マージルールとも呼ぶ)のSAIDと、新たに受信したマージルール(新マージルールとも呼ぶ)のSAIDとが一致するか否かを判定する(S180)。
旧マージルールのSAIDと新マージルールのSAIDとが一致する場合(S180:YES)、マージルール格納部P201は、マージルールテーブルT201に記憶されている旧マージルールを新マージルールで更新する(S181)。
マージルール格納部P201は、ポリシーマージ部P203を呼び出して、新マージルールに基づいて各ポリシーをマージさせる(S182)。マージルール格納部P201は、マージルールが変更された旨をSAマネージャに通知する(S183)。
旧マージルールのSAIDと新マージルールのSAIDとが不一致の場合(S180:NO)、マージルール格納部P201は、旧マージルールのパスワードと新マージルールのパスワードとが一致するか否かを判定する(S184)。各パスワードが一致する場合(S184:YES)、S181に移り、新マージルールがマージルールテーブルT201に格納され(S181)、改めて各ポリシーがマージされる(S182)。
各パスワードが不一致の場合(S184:NO)、マージルール格納部P201は、エラー処理を行う(S185)。
図59は、受信ポリシー格納処理を示すフローチャートである。ポリシー格納部P202は、動作統括部P200により呼び出されて起動し、呼び出された理由を判別する(S190)。
ポリシーを受信した場合、ポリシー格納部P202は、受信した新ポリシーに対応する旧ポリシーを受信ポリシーテーブルT202から検索する(S191)。受信した新ポリシーに対応する旧ポリシーが存在する場合(S192:YES)、ポリシー格納部P202は、新ポリシーで旧ポリシーを上書きする(S193)。受信した新ポリシーに対応する旧ポリシーが存在しない場合(S192:NO)、ポリシー格納部P202は、新ポリシーを受信ポリシーテーブルT202に追加する(S195)。
ポリシー格納部P202は、ポリシーマージ部P203を呼び出して、新ポリシーを含む複数ポリシーをマージさせる(S194)。
このように、本実施例では、マージルールまたはポリシーのいずれか一方が変更された場合、改めて複数ポリシーのマージが行われ、クライアントコンピュータ毎の個別ポリシーが生成される。
さて、ポリシー格納部P202が呼び出された理由が、受信済ポリシーの削除である場合、ポリシー削除処理が行われる(S196)。
図60は、図59中にS196で示すポリシー削除処理のフローチャートである。ポリシー格納部P202は、削除対象がマネージャであるかユーザであるかを判別する(S1960)。
削除対象がマネージャの場合、ポリシー格納部P202は、対象マネージャから受信した全てのポリシーを受信ポリシーテーブルT202から削除する(S1961)。そして、ポリシー格納部P202は、ポリシーマージ部P203を呼び出して、残ったポリシーをマージさせる(S1962)。クライアントコンピュータ20に登録されたポリシーが一つだけになった場合、その唯一のポリシーをそのまま使用する。
削除対象がユーザの場合、ポリシー格納部P202は、対象ユーザから受信した全てのポリシーを、受信ポリシーテーブルT202から削除し(S1963)、ポリシーマージ部P203を呼び出して、残ったポリシーをマージさせる(S1962)。
図61は、ポリシーマージ処理を示すフローチャートである。ポリシーマージ部P203は、マージルール格納部P201またはポリシー格納部P202のいずれかから呼び出されて起動する。
ポリシーマージ部P203は、マージルールテーブルT201からマージルールを読込み(S200)、マージルールに基づいて各ポリシーをマージする(S201)。これにより、クライアント毎の個別ポリシーが作成される。マージされたポリシーという意味で、マージポリシーと表現する場合がある。
ポリシーマージ部P203は、ポリシー適用部P204に、セキュリティ管理機能群P207にマージポリシー(クライアント毎に生成されるポリシー)を適用させるように要求する(S202)。ポリシーマージ部P203は、ポリシー適用結果格納部P205を呼び出して処理を終了する(S203)。
図62は、図61中にS201で示す、マージルールに基づいて各ポリシーをマージする処理のフローチャートである。ポリシーマージ部P203は、マージする項目の設定IDを示す変数(マージ項目設定ID)に、最初のIDを設定する(S2010)。
ポリシーマージ部P203は、マージ項目設定IDに対応するマージルールをマージルールテーブルT201から読込み(S2011)、受信ポリシーテーブルT202からマージ項目設定IDに対応する列の情報を読込み(S2012)、読み込んだ列の情報をマージルールに従ってマージする(S2013)。
ポリシーマージ部P203は、マージされたポリシーをマージポリシーテーブルT203に上書きで保存する(S2014)。ポリシーマージ部P203は、マージ項目設定IDが最後の設定IDになったか否かを判定する(S2015)。マージ項目設定IDが最後の設定IDに到達していない場合(S2015:NO)、ポリシーマージ部P203は、マージ項目設定IDを次の設定IDに移動させて(S2016)、S2011に戻る。
図63は、図62中にS2013で示す、読み込んだ列の情報をマージルールに従ってマージする処理のフローチャートである。本処理は、マージする項目に適用されるマージルールの種類に応じてS20130−S2013Dのいずれかの個別マージ処理に分岐して、マージされる。
個別マージ処理としては、上述の通り、例えば、オン優先(S20130)、オフ優先(S20131)、後優先(S20132)、先優先(S20133)、追加(OR)(S20134)、追加(AND)(S20135)、追加(中間動作)(S20136)、禁止優先(S20137)、許可優先(S20138)、中間動作(S20139)、設定禁止(S2013A)、最大値優先(S2013B)、最小値優先(S2013C)、多数優先(S2013D)等を挙げることができる。
図64は、ポリシー適用処理を示すフローチャートである。ポリシー適用部P204は、クライアントコンピュータ20の起動と共に起動し、ポリシー適用イベントの発生を待つ(S210)。
イベントが発生すると、ポリシー適用部P204は、マージルールテーブルT201からマージルールを読み出し(S211)、読み出したマージルールをセキュリティ管理機能群P207に適用する(S212)。
図65は、ポリシー適用結果格納処理を示すフローチャートである。ポリシー適用結果格納部P205は、動作統括部P200またはポリシーマージ部P203のいずれかから呼び出されて起動する。
ポリシー適用結果格納部P205は、呼出元を判別する(S220)。動作統括部P200から呼び出された場合、ポリシー適用結果格納部P205は、ポリシー適用結果テーブルT204から情報を読込み(S221)、要求元に送信する(S222)。
呼出元がポリシーマージ部P203の場合、ポリシー適用結果格納部P205は、マージポリシーテーブルT203をコピーし(S223)、さらに、受信ポリシーテーブルT202をコピーする(S224)。それらのテーブルT202,T203は、重要なのでコピーして用いる。
ポリシー適用結果格納部P205は、コピーした受信ポリシーテーブルT202から最初のエントリを読込み(S225)、受信ポリシーとマージポリシーとの差分に基づいて、ポリシー適用結果を生成し(S226)、ポリシー適用結果テーブルT204を更新する(S227)。
ポリシー適用結果格納部P205は、ポリシーの作成元に、ポリシー適用結果を送信する(S228)。最終エントリを処理するまで(S229:NO)、次のエントリに移動しながらポリシー適用結果を作成する(S230)。
図65は、動作結果アップロード処理のフローチャートである。動作結果アップロード部P206(以下、アップロード部P206)は、クライアントコンピュータ20の起動と共に起動する。
アップロード部P206は、マージポリシーの履歴アップロード設定を読込み、アップロード用タイマに設定し(S240)、アップロードイベントが発生するのを待つ(S241)。イベントとしては、タイムアップ、ポリシー変更、アップロード指令受信が用意されている。イベントが発生した場合、アップロード部P206は、イベントの種別を判定する(S242)。
アップロード用タイマが所定時刻に到達し、タイムアップした場合、アップロード部P206は、タイマを再設定し(S243)、セキュリティ管理機能群P207の動作結果を収集して、上位マネージャに送信する(S244)。
イベントの種類がポリシー変更の場合、アップロード部P206は、新たなマージポリシーに基づいてアップロード用タイマの値を設定し(S245)、S241に戻る。
イベントの種類がアップロード指令の受信である場合、アップロード部P206は、S244に移る。
図67は、セキュリティ管理処理のフローチャートである。セキュリティ管理機能(群)P207は、ポリシー適用部P204からマージポリシーを適用されると起動する。上述の通り、ポリシー適用部P204は、クライアントコンピュータ20の起動時に起動するため、セキュリティ管理機能(群)P207も、クライアントコンピュータ20の起動時に起動する。
セキュリティ管理機能(群)P207は、自身に適用されるマージポリシーの内容を判断し(S250)、動作の必要性があるか否かを判断する(S251)。動作の必要性が無ければ(S251:NO)、処理を終了する。
動作の必要性があると判断した場合(S251:YES)、セキュリティ管理機能(群)P207は動作し、その結果を取得する(S252)。マージルールの変更または受信ポリシーの変更のいずれかが変化すると、新たなマージポリシーが適用される(S253)。セキュリティ管理機能(群)P207は、新たなマージポリシーに従って、自分に課せられたセキュリティ管理を実行する(S250−S252)。
このように構成される本実施例によれば、クライアントコンピュータ20のセキュリティを複数のマネージャで管理することができ、かつ、最上位のSAマネージャにより統一的なルールを全クライアントコンピュータ20に適用することができる。従って、各マネージャ毎のセキュリティ管理を許可しつつ、システム全体として統一的な基準でセキュリティを管理することができ、使い勝手と信頼性を両立させることができる。
例えば、技術部の各クライアントコンピュータ20には技術部専用のポリシーと全社共通のポリシーとを適用し、経理部の各クライアントコンピュータ20には経理部専用のポリシーと全社共通のポリシーを適用し、全社共通のマージルールに従って、各ポリシーをクライアントコンピュータ内でマージさせることができる。
全社共通のポリシーを用いない場合でも、例えば、部内で使用されるポリシーと課内で使用されるポリシーとを、全社共通のマージルールに従って、クライアントコンピュータ内でマージさせることができる。
あるいは、プロジェクト管理者がマージルールを発行し、プロジェクトに参加する各企業がそれぞれ独自のポリシーを使用する場合に、各企業の使い勝手を維持しつつ、プロジェクト全体の秘密管理を統一的に行うことができる。
さらに、本実施例では、複数のポリシーを単純にマージするのではなく、特定のSAユーザのみが設定可能なマージルールに従ってマージさせる。これにより、コンピュータシステム内にセキュリティホールが生じるのを未然に防止することができ、システム全体のセキュリティ性を高めることができる。
さらに、本実施例では、マネージャから発行されたポリシーと、クライアントコンピュータに実際に使用されているマージポリシーとの差分を検出することができる。従って、各ポリシーを作成するユーザは、実際の適用結果を容易に確認することができ、新たなポリシーの作成時に役立たせることができる。
さらに、本実施例では、複数のポリシー間で対立する項目が存在する場合、中間的な設定内容(中間動作)となるように構成する。例えば、同一項目について一方のポリシーが禁止を要求し、他方のポリシーが許可を要求する場合、条件付き許可、または、条件付き禁止のような中間動作を設定することができる。これにより、使い勝手を向上しつつ、セキュリティ性を維持することができる。なお、相反する複数ポリシーをマージする場合、必ずしも中間動作に設定する必要はない。いずれか一方のポリシーの設定内容を採用することもできる。さらに、特例を設定するための例外設定は、常に設定される必要はなく、必要に応じて設定される。
さらに、本実施例では、マージルールを図18に示すような画面を用いて作成することができる。従って、SAユーザは、マージルールを比較的簡単に作成することができ、状況の変化に速やかに対応することができる。
なお、本発明は、上述した実施形態に限定されない。当業者であれば、本発明の範囲内で、種々の追加や変更等を行うことができる。例えば、システム内にマネージャが一つだけ存在する場合でも、そのマネージャがクライアントに異なる複数のポリシーを設定可能な場合は、本発明を適用することができる。
10:管理サーバ、10(Msa):最上位管理サーバ、20:クライアントコンピュータ、Pa,Pb,Pc,Pd,Ps:ポリシー。

Claims (15)

  1. クライアントコンピュータと、第1管理コンピュータと、第2管理コンピュータとが、互いに通信可能に接続されたコンピュータシステムであって、
    前記第1管理コンピュータは、前記クライアントコンピュータの有するセキュリティ管理プログラムの動作を制御するための第1セキュリティポリシー情報と、複数の前記第1セキュリティポリシー情報から第2セキュリティポリシー情報を生成させるためのルールを示すルール情報とを、前記クライアントコンピュータに送信し、
    前記第2管理コンピュータは、前記第1管理コンピュータから前記クライアントコンピュータに送信される前記第1セキュリティポリシー情報と制御動作の異なる、他の第1セキュリティポリシー情報を、前記クライアントコンピュータに送信し、
    前記クライアントコンピュータは、
    前記第1管理コンピュータから受信する前記ルール情報に基づいて、前記第1管理コンピュータから受信する前記第1セキュリティポリシー情報と前記第2管理コンピュータから受信する前記他の第1セキュリティポリシー情報とから前記第2セキュリティポリシー情報を生成し、
    前記第2セキュリティポリシー情報に基づいて前記セキュリティ管理プログラムの動作を制御する、
    コンピュータシステム。
  2. 前記クライアントコンピュータは、
    前記第1管理コンピュータから前記クライアントコンピュータに送信された前記第1セキュリティポリシー情報と前記第2セキュリティポリシー情報との差分と、前記第2管理コンピュータから前記クライアントコンピュータに送信された前記他の第1セキュリティポリシー情報と前記第2セキュリティポリシー情報との差分とをそれぞれ検出し、検出された前記各差分を出力させる、
    請求項1に記載のコンピュータシステム。
  3. 前記ルール情報は、
    前記第1管理コンピュータから受信する前記第1セキュリティポリシー情報の制御動作と、前記第2管理コンピュータから受信する前記他の第1セキュリティポリシー情報の他の制御動作とが相反する場合、
    前記第2セキュリティポリシー情報を、前記制御動作と前記他の制御動作との中間の動作として予め設定されている中間動作として生成させるように構成されている、
    請求項1に記載のコンピュータシステム。
  4. 前記クライアントコンピュータ上で実行される所定のコンピュータプログラムについて、前記第1セキュリティポリシー情報または前記他の第1セキュリティポリシー情報のうち、いずれか一方が作動を禁止しており、残りの他方が作動を許可している場合、
    前記ルール情報は、前記所定のコンピュータプログラムの作動を所定の条件付きで認めるように構成されている、
    請求項1に記載のコンピュータシステム。
  5. 前記第1管理コンピュータは、複数の第1ユーザにより操作され、前記各第1ユーザ毎に前記第1セキュリティポリシー情報を作成できるようになっており、
    前記第2管理コンピュータは、複数の第2ユーザにより操作され、前記各第2ユーザ毎に前記他の第1セキュリティポリシー情報を作成できるようになっており、
    前記各第1ユーザのうち予め設定される所定の第1ユーザのみが前記ルール情報を作成できるようになっている、
    請求項1に記載のコンピュータシステム。
  6. クライアントコンピュータを管理するための管理システムであって、
    前記クライアントコンピュータと通信可能に接続される、第1管理コンピュータ及び第2管理コンピュータを含んでおり、
    前記第1管理コンピュータは、前記クライアントコンピュータの有するセキュリティ管理プログラムの動作を制御するための第1セキュリティポリシー情報と、複数の前記第1セキュリティポリシー情報から第2セキュリティポリシー情報を生成させるためのルールを示すルール情報とを、前記クライアントコンピュータに送信し、
    前記第2管理コンピュータは、前記第1管理コンピュータから前記クライアントコンピュータに送信される前記第1セキュリティポリシー情報と制御動作の異なる、他の第1セキュリティポリシー情報を、前記クライアントコンピュータに送信し、
    前記クライアントコンピュータ内で、前記第1管理コンピュータから受信する前記ルール情報に基づいて、前記第1管理コンピュータから受信する前記第1セキュリティポリシー情報と前記第2管理コンピュータから受信する前記他の第1セキュリティポリシー情報とから前記第2セキュリティポリシー情報を生成させ、生成された前記第2セキュリティポリシー情報に基づいて前記セキュリティ管理プログラムの動作を制御させる、
    管理システム。
  7. 前記第1管理コンピュータは、
    前記他の第1セキュリティポリシー情報を前記第2管理コンピュータから取得し、
    前記第2セキュリティポリシー情報を前記クライアントコンピュータから取得し、
    前記第1管理コンピュータから前記クライアントコンピュータに送信された前記第1セキュリティポリシー情報と前記第2セキュリティポリシー情報との差分と、前記第2管理コンピュータから前記クライアントコンピュータに送信された前記他の第1セキュリティポリシー情報と前記第2セキュリティポリシー情報との差分とをそれぞれ検出し、検出された前記各差分を出力させる、
    請求項6に記載の管理システム。
  8. 前記ルール情報は、
    前記第1管理コンピュータから受信する前記第1セキュリティポリシー情報の制御動作と、前記第2管理コンピュータから受信する前記他の第1セキュリティポリシー情報の他の制御動作とが相反する場合、
    前記第2セキュリティポリシー情報を、前記制御動作と前記他の制御動作との中間の動作として予め設定されている中間動作として生成させるように構成されている、
    請求項6に記載の管理システム。
  9. 前記クライアントコンピュータ上で実行される所定のコンピュータプログラムについて、前記第1セキュリティポリシー情報または前記他の第1セキュリティポリシー情報のうち、いずれか一方が作動を禁止しており、残りの他方が作動を許可している場合、
    前記ルール情報は、前記所定のコンピュータプログラムの作動を所定の条件付きで認めるように構成されている、
    請求項1に記載の管理システム。
  10. 前記第1管理コンピュータは、複数の第1ユーザにより操作され、前記各第1ユーザ毎に前記第1セキュリティポリシー情報を作成できるようになっており、
    前記第2管理コンピュータは、複数の第2ユーザにより操作され、前記各第2ユーザ毎に前記他の第1セキュリティポリシー情報を作成できるようになっており、
    前記各第1ユーザのうち予め設定される所定の第1ユーザのみが前記ルール情報を作成できるようになっている、
    請求項1に記載の管理システム。
  11. クライアントコンピュータに通信可能に接続されるコンピュータを管理コンピュータとして機能させるためのコンピュータプログラムを記録する記録媒体であって、
    前記クライアントコンピュータの有するセキュリティ管理プログラムの動作を制御するための第1セキュリティポリシー情報を複数生成させる機能と、
    前記各第1セキュリティポリシー情報から第2セキュリティポリシー情報を生成させるためのルールを示すルール情報を作成させる機能と、
    前記各第1セキュリティポリシー情報及び前記ルール情報を前記クライアントコンピュータに送信させることにより、前記クライアントコンピュータ内で、前記ルール情報に基づいて、前記各第1セキュリティポリシー情報から前記第2セキュリティポリシー情報を生成させ、生成された前記第2セキュリティポリシー情報に基づいて前記セキュリティ管理プログラムの動作を制御させる機能と、
    をそれぞれ実現するためのコンピュータプログラムを記録するコンピュータ読取り可能な記録媒体。
  12. 前記コンピュータプログラムは、前記クライアントコンピュータから前記第2セキュリティポリシー情報を取得し、前記各第1セキュリティポリシー情報と前記第2セキュリティポリシー情報との差分をそれぞれ検出し、検出された前記各差分を出力させるための機能をさらに実現する、
    請求項11に記載のコンピュータ読取り可能な記録媒体。
  13. 前記ルール情報は、
    前記各第1セキュリティポリシー情報の制御動作が相反する場合、
    前記第2セキュリティポリシー情報を、相反する複数の制御動作の中間の動作として予め設定される中間動作として生成させるように構成されている、
    請求項11に記載のコンピュータ読取り可能な記録媒体。
  14. 前記クライアントコンピュータ上で実行される所定のコンピュータプログラムについて、前記各第1セキュリティポリシー情報のうち、いずれか一方が作動を禁止しており、残りの他方が作動を許可している場合、
    前記ルール情報は、前記所定のコンピュータプログラムの作動を所定の条件付きで認めるように構成されている、
    請求項11に記載のコンピュータ読取り可能な記録媒体。
  15. 予め登録される複数の第1ユーザが、前記各第1ユーザ毎に前記第1セキュリティポリシー情報を作成できるようになっており、
    前記各第1ユーザのうち予め設定される所定の第1ユーザのみが前記ルール情報を作成できるようになっている、
    請求項11に記載のコンピュータ読取り可能な記録媒体。
JP2011541740A 2009-11-19 2009-11-19 コンピュータシステム、管理システム及び記録媒体 Expired - Fee Related JP4991968B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2009/006250 WO2011061804A1 (ja) 2009-11-19 2009-11-19 コンピュータシステム、管理システム及び記録媒体

Publications (2)

Publication Number Publication Date
JP4991968B2 JP4991968B2 (ja) 2012-08-08
JPWO2011061804A1 true JPWO2011061804A1 (ja) 2013-04-04

Family

ID=44059306

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011541740A Expired - Fee Related JP4991968B2 (ja) 2009-11-19 2009-11-19 コンピュータシステム、管理システム及び記録媒体

Country Status (5)

Country Link
US (1) US9071614B2 (ja)
EP (1) EP2434428A1 (ja)
JP (1) JP4991968B2 (ja)
CN (1) CN102428474B (ja)
WO (1) WO2011061804A1 (ja)

Families Citing this family (46)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8612744B2 (en) 2011-02-10 2013-12-17 Varmour Networks, Inc. Distributed firewall architecture using virtual machines
US9191327B2 (en) 2011-02-10 2015-11-17 Varmour Networks, Inc. Distributed service processing of network gateways using virtual machines
BR112013032289A8 (pt) * 2011-06-16 2018-04-03 Hewlett Packard Development Co Meio legível por máquina, método e sistema
US9148381B2 (en) * 2011-10-21 2015-09-29 Qualcomm Incorporated Cloud computing enhanced gateway for communication networks
US8813169B2 (en) 2011-11-03 2014-08-19 Varmour Networks, Inc. Virtual security boundary for physical or virtual network devices
US9529995B2 (en) 2011-11-08 2016-12-27 Varmour Networks, Inc. Auto discovery of virtual machines
JP6002609B2 (ja) * 2013-03-19 2016-10-05 株式会社エヌ・ティ・ティ・データ 情報端末、制御方法、制御プログラム
JP6223099B2 (ja) * 2013-10-01 2017-11-01 キヤノン株式会社 画像処理装置、及びその制御方法、並びにプログラム
US10264025B2 (en) 2016-06-24 2019-04-16 Varmour Networks, Inc. Security policy generation for virtualization, bare-metal server, and cloud computing environments
US10091238B2 (en) 2014-02-11 2018-10-02 Varmour Networks, Inc. Deception using distributed threat detection
US9560081B1 (en) 2016-06-24 2017-01-31 Varmour Networks, Inc. Data network microsegmentation
US9973472B2 (en) 2015-04-02 2018-05-15 Varmour Networks, Inc. Methods and systems for orchestrating physical and virtual switches to enforce security boundaries
JP6221803B2 (ja) * 2014-02-13 2017-11-01 富士通株式会社 情報処理装置、接続制御方法、及びプログラム
JP6333005B2 (ja) * 2014-03-17 2018-05-30 キヤノン株式会社 画像形成装置及びその制御方法とプログラム
US9848330B2 (en) * 2014-04-09 2017-12-19 Microsoft Technology Licensing, Llc Device policy manager
JP6579735B2 (ja) * 2014-08-05 2019-09-25 キヤノン株式会社 情報処理システム、情報処理装置、情報処理システムの制御方法、情報処理装置の制御方法、及びプログラム
US10193929B2 (en) 2015-03-13 2019-01-29 Varmour Networks, Inc. Methods and systems for improving analytics in distributed networks
US9294442B1 (en) 2015-03-30 2016-03-22 Varmour Networks, Inc. System and method for threat-driven security policy controls
US9467476B1 (en) 2015-03-13 2016-10-11 Varmour Networks, Inc. Context aware microsegmentation
US9438634B1 (en) 2015-03-13 2016-09-06 Varmour Networks, Inc. Microsegmented networks that implement vulnerability scanning
US10178070B2 (en) 2015-03-13 2019-01-08 Varmour Networks, Inc. Methods and systems for providing security to distributed microservices
US9609026B2 (en) 2015-03-13 2017-03-28 Varmour Networks, Inc. Segmented networks that implement scanning
US10009381B2 (en) 2015-03-30 2018-06-26 Varmour Networks, Inc. System and method for threat-driven security policy controls
US9380027B1 (en) 2015-03-30 2016-06-28 Varmour Networks, Inc. Conditional declarative policies
US9525697B2 (en) 2015-04-02 2016-12-20 Varmour Networks, Inc. Delivering security functions to distributed networks
US9483317B1 (en) 2015-08-17 2016-11-01 Varmour Networks, Inc. Using multiple central processing unit cores for packet forwarding in virtualized networks
JP2018535620A (ja) * 2015-08-21 2018-11-29 アバイア インコーポレーテッド セキュアポリシーマネージャ
JP6714337B2 (ja) * 2015-10-16 2020-06-24 キヤノン株式会社 情報処理装置、情報処理方法およびプログラム
US10191758B2 (en) 2015-12-09 2019-01-29 Varmour Networks, Inc. Directing data traffic between intra-server virtual machines
US9680852B1 (en) 2016-01-29 2017-06-13 Varmour Networks, Inc. Recursive multi-layer examination for computer network security remediation
US9762599B2 (en) 2016-01-29 2017-09-12 Varmour Networks, Inc. Multi-node affinity-based examination for computer network security remediation
US9521115B1 (en) 2016-03-24 2016-12-13 Varmour Networks, Inc. Security policy generation using container metadata
US9787639B1 (en) 2016-06-24 2017-10-10 Varmour Networks, Inc. Granular segmentation using events
US10755334B2 (en) 2016-06-30 2020-08-25 Varmour Networks, Inc. Systems and methods for continually scoring and segmenting open opportunities using client data and product predictors
US10110635B1 (en) * 2016-09-28 2018-10-23 Amazon Technologies, Inc. Device policy composition and management system
US11310284B2 (en) 2019-05-31 2022-04-19 Varmour Networks, Inc. Validation of cloud security policies
US11863580B2 (en) 2019-05-31 2024-01-02 Varmour Networks, Inc. Modeling application dependencies to identify operational risk
US11290493B2 (en) 2019-05-31 2022-03-29 Varmour Networks, Inc. Template-driven intent-based security
US11290494B2 (en) 2019-05-31 2022-03-29 Varmour Networks, Inc. Reliability prediction for cloud security policies
US11711374B2 (en) 2019-05-31 2023-07-25 Varmour Networks, Inc. Systems and methods for understanding identity and organizational access to applications within an enterprise environment
US11575563B2 (en) 2019-05-31 2023-02-07 Varmour Networks, Inc. Cloud security management
CN113254885A (zh) * 2020-02-13 2021-08-13 支付宝(杭州)信息技术有限公司 机器学习模型保护方法和设备
US11876817B2 (en) 2020-12-23 2024-01-16 Varmour Networks, Inc. Modeling queue-based message-oriented middleware relationships in a security system
US11818152B2 (en) 2020-12-23 2023-11-14 Varmour Networks, Inc. Modeling topic-based message-oriented middleware within a security system
US11777978B2 (en) 2021-01-29 2023-10-03 Varmour Networks, Inc. Methods and systems for accurately assessing application access risk
US11734316B2 (en) 2021-07-08 2023-08-22 Varmour Networks, Inc. Relationship-based search in a computing environment

Family Cites Families (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
BR9709534A (pt) * 1996-06-05 2000-05-09 Siemens Ag Processo para o gerenciamento de códigos cifrados entre uma primeira unidade de computador e uma segunda unidade de computador
US5983270A (en) * 1997-03-11 1999-11-09 Sequel Technology Corporation Method and apparatus for managing internetwork and intranetwork activity
US6473851B1 (en) * 1999-03-11 2002-10-29 Mark E Plutowski System for combining plurality of input control policies to provide a compositional output control policy
US6721888B1 (en) * 1999-11-22 2004-04-13 Sun Microsystems, Inc. Mechanism for merging multiple policies
US6487594B1 (en) * 1999-11-30 2002-11-26 Mediaone Group, Inc. Policy management method and system for internet service providers
US6751659B1 (en) * 2000-03-31 2004-06-15 Intel Corporation Distributing policy information in a communication network
US7171459B2 (en) * 2000-06-07 2007-01-30 Microsoft Corporation Method and apparatus for handling policies in an enterprise
US7023852B1 (en) * 2000-11-24 2006-04-04 Redback Networks, Inc. Policy verification methods and apparatus
US20020141378A1 (en) * 2001-03-28 2002-10-03 Bays Robert James Methods, apparatuses and systems facilitating deployment, support and configuration of network routing policies
JP2002352062A (ja) * 2001-05-24 2002-12-06 Hitachi Ltd セキュリティ評価装置
US7546629B2 (en) * 2002-03-06 2009-06-09 Check Point Software Technologies, Inc. System and methodology for security policy arbitration
US6910028B2 (en) * 2001-07-27 2005-06-21 International Business Machines Corporation Conflict-handling assimilator service for exchange of rules with merging
JP2003296280A (ja) * 2002-03-29 2003-10-17 Hitachi Koukiyou Syst Eng Kk セキュリティ代行方法
JP4400059B2 (ja) * 2002-10-17 2010-01-20 株式会社日立製作所 ポリシー設定支援ツール
DE602004030446D1 (de) * 2003-06-12 2011-01-20 Camiant Inc Dynamische dienstablieferung mit topologie-discovery für kommunikationsnetzwerke
US7080104B2 (en) * 2003-11-07 2006-07-18 Plaxo, Inc. Synchronization and merge engines
CN100521625C (zh) * 2004-02-11 2009-07-29 上海三零卫士信息安全有限公司 计算机网络应急响应之安全策略生成系统
JP4251633B2 (ja) * 2004-03-30 2009-04-08 インターナショナル・ビジネス・マシーンズ・コーポレーション 判定装置、プログラム、記録媒体、及び判定方法
JP4341517B2 (ja) * 2004-06-21 2009-10-07 日本電気株式会社 セキュリティポリシー管理システム、セキュリティポリシー管理方法およびプログラム
JP4585925B2 (ja) * 2005-06-16 2010-11-24 株式会社日立製作所 セキュリティ設計支援方法及び支援装置
US9565191B2 (en) * 2005-08-23 2017-02-07 The Boeing Company Global policy apparatus and related methods
US8621549B2 (en) * 2005-12-29 2013-12-31 Nextlabs, Inc. Enforcing control policies in an information management system
US7716240B2 (en) * 2005-12-29 2010-05-11 Nextlabs, Inc. Techniques and system to deploy policies intelligently
US7748000B2 (en) * 2006-07-27 2010-06-29 International Business Machines Corporation Filtering a list of available install items for an install program based on a consumer's install policy
JP4882671B2 (ja) * 2006-11-01 2012-02-22 富士通株式会社 アクセス制御方法及びアクセス制御システム並びにプログラム
US8010991B2 (en) * 2007-01-29 2011-08-30 Cisco Technology, Inc. Policy resolution in an entitlement management system
US8020191B2 (en) * 2007-06-19 2011-09-13 International Business Machines Corporation Method and system for determining policy similarities
US8327414B2 (en) * 2007-06-21 2012-12-04 Motorola Solutions, Inc. Performing policy conflict detection and resolution using semantic analysis
JP5145907B2 (ja) * 2007-12-04 2013-02-20 日本電気株式会社 セキュリティ運用管理システム、方法、及び、プログラム
US8122484B2 (en) * 2008-01-09 2012-02-21 International Business Machines Corporation Access control policy conversion
JP2009230178A (ja) 2008-03-19 2009-10-08 Panasonic Corp セキュリティポリシ遵守装置
US20100011027A1 (en) * 2008-07-11 2010-01-14 Motorola, Inc. Policy rule conflict detection and management
US8931033B2 (en) * 2008-12-12 2015-01-06 Microsoft Corporation Integrating policies from a plurality of disparate management agents
US20100153695A1 (en) * 2008-12-16 2010-06-17 Microsoft Corporation Data handling preferences and policies within security policy assertion language

Also Published As

Publication number Publication date
CN102428474A (zh) 2012-04-25
WO2011061804A1 (ja) 2011-05-26
EP2434428A1 (en) 2012-03-28
US20120017258A1 (en) 2012-01-19
JP4991968B2 (ja) 2012-08-08
CN102428474B (zh) 2015-05-06
US9071614B2 (en) 2015-06-30

Similar Documents

Publication Publication Date Title
JP4991968B2 (ja) コンピュータシステム、管理システム及び記録媒体
US10015155B2 (en) Resource-based action attribution
US9990514B2 (en) Joint ownership of protected information
JP2010251973A (ja) 文書管理システム
US11500518B2 (en) Contact cards with dynamic interaction information
US9319562B2 (en) Image forming apparatus capable of sychronizing personal setting information
US11609770B2 (en) Co-managing links with a link platform and partner service
US9298405B2 (en) Electronic apparatus, management system, and recording medium
US11836207B2 (en) User-initiated workflow to collect media
JP7486677B2 (ja) リンクプラットフォーム及びパートナーサービスによるリンクの共同管理
JP2009054119A (ja) クライアントサーバシステム
US11675864B2 (en) Proxy links to support legacy links
US20220414242A1 (en) Links platform-as-a-service
US20220417200A1 (en) Contextual discovery and design of application workflow
US20220414246A1 (en) Links as actors in a file system
JP2007094749A (ja) 監査ログの出力方法及びサーバクライアントシステム
KR20210030333A (ko) 대화방 기반의 파일 공유 장치 및 방법
Edge et al. Client Management

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120410

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120507

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150511

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees