WO2012132124A1

WO2012132124A1 - セキュリティレベル可視化装置

Info

Publication number: WO2012132124A1
Application number: PCT/JP2011/078493
Authority: WO
Inventors: 倫宏重本; 仲小路　博史; 哲郎鬼頭; 久志梅木; 敏武本; 鍛　忠司; 甲斐　賢
Original assignee: 株式会社日立製作所
Priority date: 2011-03-31
Filing date: 2011-12-08
Publication date: 2012-10-04
Also published as: US20130333045A1; EP2693355A4; JP2012215994A; EP2693355A1

Abstract

　サービスごとにセキュリティレベルを算出し、可視化する。複数のセンサからサービスのセキュリティに関する情報を観測情報として受信し、受信した観測情報とセキュリティレベル算出ポリシから、サービスごとのセキュリティレベルを算出するセキュリティレベル算出手段と、セキュリティレベル算出手段が算出したセキュリティレベルとサービスの構成情報から、サービスごとのセキュリティレベルを出力するセキュリティレベル可視化手段とを備える。さらに、セキュリティレベル算出ポリシは、サービスと、サービスを利用している利用者と、サービスにおいて観測するべき観測項目を保持し、セキュリティレベル算出手段は、セキュリティレベル算出ポリシに基づき、サービスの利用者と、サービスごとにセキュリティレベルを算出する。

Description

セキュリティレベル可視化装置

　本発明は、ユーザごとに利用しているサービスが異なるシステムにおいて、サービスごとのセキュリティレベルを算出し、可視化する技術に関する。

　インターネットをベースとしたコンピュータの利用形態として、クラウドコンピューティング（以下、クラウドと表記する。）と呼ばれるものがある。これはネットワーク上に存在するサーバが提供するサービスを、それらのサーバを意識することなしに利用する利用形態である。従来のコンピュータの利用は、コンピュータのハードウェア、ソフトウェア、データなどを、ユーザが保有・管理しているのに対して、クラウドではハードウェア、ソフトウェア、データなどを、サービスを提供するサーバを保有する事業者が保有・管理している。ユーザは、クラウドを利用することにより、コンピュータの購入費用の抑制や、システム運用管理の手間からの解放というメリットを得ることができる。

　クラウドが提供するサービスは、ＳａａＳ（ＳｏｆｔｗａｒｅａｓａＳｅｒｖｉｃｅ）、ＰａａＳ（ＰｌａｔｆｏｒｍａｓａＳｅｒｖｉｃｅ）、ＩａａＳ（ＩｎｆｒａｓｔｒｕｃｔｕｒｅａｓａＳｅｒｖｉｃｅ）の３つに分けることができる。ＳａａＳとは、ネットワークを介して必要なソフトウェア（機能）を必要な分だけサービスとして利用できるようにした利用形態であり、ＰａａＳとは、ソフトウェアを構築および稼働させるための土台となるプラットフォームを、ネットワーク経由で提供する利用形態である。ＩａａＳとは、コンピュータシステムを構築及び稼働させるためのハードウェア（基盤）そのものをネットワーク経由のサービスとして提供する利用形態である。

　クラウドを利用したサービスの提供が進展し、国民生活や社会経済活動を支える基盤インフラとなりつつある。

　一方、クラウドでは、システムを構成する機器（サーバ、ネットワーク、ストレージなど）やサービスの構成がダイナミックに変化したり、クラウドの利用者自身がシステムの物理的な構成を把握できなかったりするなど、各機器の状況の把握が困難である。この点がクラウドの利用を躊躇したり、クラウドには、重要なデータを預けないようにしたりする要因の一つとなっている。

　また、クラウド上の機器を利用してサービスを提供するＳａａＳ提供者や、ＳａａＳ提供者のサービスを利用するＳａａＳ利用者など、複数の種類の利用者がクラウドを利用している。

　これらのユーザが安心・安全にシステムを構成する機器やサービスを利用するためには、システムを構成する機器やサービスのセキュリティに関わる情報を収集・分析してリアルタイムに状況を把握する監視技術の確立が重要となる。

　例えば、特許文献１では情報システムの各セキュリティ機能の時間経過に対するセキュリティレベルSLを算出し、このセキュリティレベルSLを全部のセキュリティ機能に亘って加算して情報システム全体のセキュリティレベルSLGを算出するセキュリティレベル監視評価装置に関する記述がある。また、特許文献２では、顧客システムのセキュリティレベルを評価して、この評価結果に最適のセキュリティ関連商品やサービスを顧客に提案する業務支援装置に関する記述がある。

特開2008－176634号公報特開2005－250803号公報

　クラウドでは複数の利用者が存在しており、利用者ごとにセキュリティポリシや、システムを構成している機器、サービスが異なるため、利用者が利用するサービスごとにセキュリティレベルを算出する必要がある。また、システムを構成する機器やサービスがダイナミックに変化するため、リアルタイムにセキュリティレベルを把握する必要がある。

　特許文献１においては、各セキュリティ機能あるいは、情報システム全体のセキュリティレベルは把握することができるが、サービスごとのセキュリティレベル把握については言及されていない。

　特許文献２においては、顧客が定期点検をした際のセキュリティレベルを把握することができるが、リアルタイムのセキュリティレベル把握については言及されていない。

　また、特許文献２では、一つの顧客（ユーザ）がシステムを利用することを想定しており、複数ユーザが存在するシステムではない。

　そこで、複数のユーザが存在するシステムにおいて、サービスごとのセキュリティレベルをリアルタイムに算出し、可視化できるシステムを提供することが本発明の目的である。

　開示するセキュリティレベル可視化システムは、複数のセンサからサービスのセキュリティに関する情報を観測情報として受信し、受信した観測情報と、セキュリティレベル可視化装置が保持しているセキュリティレベル算出ポリシから、サービスごとのセキュリティレベルを算出するセキュリティレベル算出手段と、セキュリティレベル算出手段が算出したサービスのセキュリティレベルと、セキュリティレベル可視化装置が保持しているサービスの構成情報から、サービスごとのセキュリティレベルを出力するセキュリティレベル可視化手段とを備える。

　セキュリティレベル算出ポリシは、サービスと、サービスを利用している利用者と、サービスにおいて観測するべき観測項目を保持し、セキュリティレベル算出手段は、セキュリティレベル算出ポリシに基づき、サービスの利用者と、サービスごとにセキュリティレベルを算出する。

　望ましい他の様態では、セキュリティレベル算出手段は、複数のセンサから受信した観測情報を観測項目と関連付けて記憶する。

　望ましい他の様態では、サービスがどのサービス上で稼働しているかの階層構成情報と、サービスがどのサービスに接続しているかの接続構成情報とを構成情報として保持し、セキュリティレベル可視化手段は、構成情報からサービス間の階層構成情報と、接続構成情報とを復元し、セキュリティレベル算出手段が算出したセキュリティレベルと併せて出力する。

　望ましい他の様態では、セキュリティレベル可視化手段は、セキュリティレベル算出手段が算出したセキュリティレベルと、セキュリティレベル算出手段がセキュリティレベルを算出する際に利用した観測情報とを併せて出力する。

　望ましい他の様態では、セキュリティレベル算出手段は、複数のセンサから受信する観測情報を記憶し、セキュリティレベル可視化手段は、複数のセンサから受信した観測情報を表示する。

　開示するセキュリティレベル可視化装置によれば、複数のユーザが存在するシステムにおいて、サービスごとのセキュリティレベルを算出し、可視化できる。

　また、開示するセキュリティレベル可視化装置によれば、ユーザが利用しているサービスの構成と、当該サービスのセキュリティレベルを併せて確認できる。

セキュリティレベル可視化装置を含むネットワーク構成例である。実施例１のセキュリティレベル可視化装置の構成例である。構成情報データの一例である。セキュリティレベル算出ポリシの一例である。観測情報の一例である。観測情報データの一例である。セキュリティレベル可視化画面の一例である。セキュリティレベル可視化画面の一例である。セキュリティレベル算出テーブルの一例である。セキュリティレベル算出処理のフローチャートである。セキュリティレベル可視化処理のフローチャートである。セキュリティレベル可視化画面の変形例である。実施例２のセキュリティレベル可視化装置の構成例である。実施例２のセキュリティレベルテンプレートの一例である。実施例２のセキュリティレベル算出ポリシ設定画面の一例である。実施例２のポリシ設定処理のフローチャートである。本発明の処理の概要である。

　複数のユーザが存在するシステムにおいては、ユーザごとにセキュリティポリシや、システムを構成する機器、サービスが異なっている。例えば、クラウド上の機器を利用してサービスを提供するサービス提供者は、クラウド上の機器のセキュリティレベルや自分が提供しているサービスのセキュリティレベルを把握したい。また、サービス提供者のサービスを利用するサービス利用者はクラウド上の機器のセキュリティレベルに関しては知る必要がなく、提供されているサービスのセキュリティレベルを知りたい。また、サービス提供者に機器を提供している、クラウド事業者は自身が管理しているデータセンタを構成している機器のセキュリティレベルを知りたい、といった要求が存在する。

　すなわち、利用者ごとに関心のある機器やサービスが異なっている。

　本実施形態では、利用者ごとのセキュリティレベル算出ポリシを利用することで、利用者ごとのセキュリティレベルを算出し、可視化する。実施例1では、この点に着目し、観測データの取得、セキュリティレベルの算出、セキュリティレベルの表示について説明する。

　実施例２では、セキュリティレベルテンプレートを利用したセキュリティレベル算出ポリシの設定について説明する。

　図１に、本実施例におけるセキュリティレベルの算出、可視化を行うセキュリティレベル可視化装置を含むネットワークの構成例を示す。

　セキュリティレベル可視化装置１０１は、データセンタＡ１０２、データセンタＢ１０３、利用者環境１０４ａとネットワーク１０５を介して接続しており、セキュリティレベル算出ポリシに基づき、データセンタＡ１０２及び／または、データセンタＢ１０３に存在する機器及び／またはサービスのセキュリティレベルを算出し、可視化する。セキュリティレベル算出ポリシの具体的な内容については図４を用いて後述する。

　ネットワーク１０５は、例えば、イントラネットやインターネットなどのネットワーク、あるいはこれらに接続するための通信網である。

　データセンタＡ１０２は、ルータＡ１０６、サーバＡ１０７、サーバＢ１０８、利用者環境１０４ｂ、センサ１２２ｂから構成されており、サーバＡ１０７上では、ホストＡ１０９、ホストＢ１１０が、サーバＢ１０８上ではホストＣ１１１、センサ１２２ｄがそれぞれ稼働している。さらに、ホストＡ１０９上では、アプリＡ１１２、アプリＢ１１３が、ホストＢ１１０上では、アプリＣ１１４が、ホストＣ１１１上ではアプリＤ１１５、センサ１２２ｃがそれぞれ稼働している。

　また、データセンタＢ１０３は、ルータＢ１１６、サーバＣ１１７から構成されており、サーバＣ１１７上では、ホストＤ１１８が稼働している。さらに、ホストＤ１１８上では、アプリＥ１１９が稼働している。

　なお、符号１０４ａや１０４ｂを区別しないときには、１０４と、１２２ａや１２２ｂ、１２２ｃ、１２２ｄを区別しないときには、１２２と表記する。

　ここで、サーバとはハイパーバイザなどの仮想化技術が搭載されたコンピュータを表し、ホストとはサーバ上で稼働している仮想機械（仮想計算機）を表す。また、アプリとは、ホスト上で実行されているプログラムを表しており、様々なサービスを提供している。

　センサとは、セキュリティレベルの算出に必要な情報を収集するエージェントを表しており、サービス提供者（ＳａａＳ提供者、ＰａａＳ提供者、ＩａａS提供者）がデータセンタや利用者環境に設置する。

　例えば、アプリＡ１１２の応答速度を観測するセンサ１２２ａは、利用者環境１０４ａ内に設置され、定期的（例えば１０秒毎）にアプリＡ１１２に接続する。センサ１２２ａはアプリＡ１１２からの応答を受信すると、接続から応答までに要した時間を観測し、観測情報としてセキュリティレベル可視化装置１０１に送信する。観測情報の具体的な内容については図５を用いて後述する。

　センサには、そのほか、利用者数を観測するセンサや、トラフィック量を観測するセンサ、ＣＰＵやメモリ、ディスクの使用率を観測するセンサ、通信や蓄積データが暗号化されているか否かを観測するセンサ、パッチが当てられているか否かを観測するセンサ、ウイルス対策ソフトが稼働しているか否かを観測するセンサ、証明書が有効か否かを観測するセンサ、マルチテナントになっているか否かを観測するセンサなどが挙げられる。なお、センサ１２２は既存の製品などを利用して実現されてもよい。

　また、センサ１２２の実現方法として、ハードウェアで構成されたセンサ１２２ａ、１２２ｂ、仮想機械で構成されたセンサ１２２ｄ、ソフトウェアで構成されたセンサ１２２ｃなどが挙げられる。

　なお、説明を簡単にするためデータセンタがルータ、センサ及びサーバから構成される例を示したが、そのほか、ＦＷやＩＤＳ、負荷分散装置などを含んで、データセンタを構成しても良い。また、データセンタＡ及びデータセンタＢは地理的に異なった場所に存在しても良い。

　利用者環境１０４は、コンピュータ１２０、ユーザ１２１から構成される環境である。ユーザ１２１はコンピュータ１２０を操作し、セキュリティレベル可視化装置１０１、データセンタＡ１０２、データセンタＢ１０３に接続する。

　クラウド上の機器を利用してサービスを提供するサービス提供者や、サービス提供者のサービスを利用するサービス利用者など、複数の種類のユーザ１２１がクラウドを利用している。

　ユーザＡ１２１ａはアプリＡ１１２、アプリＢ１１３、アプリＣ１１４を利用しているＳａａＳ利用者であり、ユーザＢ１２１ｂはアプリＡ１１２、アプリＢ１１３、アプリＣ１１４を提供しているＳａａＳ提供者であると同時に、ホストＡ１０９、ホストＢ１１０を利用しているＰａａＳ利用者である。また、ユーザＣ１２１ｃはアプリＤ１１５、アプリＥ１１９を利用しているＳａａＳ利用者であり、ユーザＤ１２１ｄはデータセンタＡ１０２を管理しているＰａａＳ及びＩａａＳ提供者である。すなわち、ユーザＤ１２１ｄはユーザＢ１２１ｂにホストＡ１０９及びホストＢ１１０を提供し、ユーザＢ１２１ｂは提供されたホストＡ１０９上にアプリＡ１１２、アプリＢ１１３を、ホストＢ１１０上にアプリＣ１１４を構築し、サービスとしてユーザＡ１２１ａに提供している。

　ユーザ１２１が操作するコンピュータ１２０は一台で表しているが、ユーザごとに用意しても良い。

　図２に、サービスごとのセキュリティレベルを算出、可視化するセキュリティレベル可視化装置１０１の構成例を示す。セキュリティレベル可視化装置１０１は、ＣＰＵ２０２と、ＣＰＵ２０２が処理を実行するために必要なデータを格納するためのメモリ２０４と、大量のデータを記憶する容量を持つハードディスクやフラッシュメモリなどの記憶装置２０３と、他装置と通信を行なうためのＩＦ（インタフェース）２０１と、キーボード、ディスプレイなどの入出力を行なうための入出力装置２０５と、これらの各装置を接続する通信路（バス）２０６とを備えたコンピュータである。

　ＣＰＵ２０２は、メモリ２０４に格納されたセキュリティレベル算出プログラム２１０を実行することによりセキュリティレベルの算出を、セキュリティレベル可視化プログラム２１１を実行することによりセキュリティレベルの可視化を行なう。記憶装置２０３には、機器やサービスなどの構成情報を把握するための構成情報データ２０７、セキュリティレベル算出のためのポリシであるセキュリティレベル算出ポリシ２０８、センサ１２２が送信する観測結果を記録する観測情報データ２０９が格納されている。メモリ２０４には、セキュリティレベルを算出するためのセキュリティレベル算出テーブル２１２が格納されている。

　上記の各プログラムやデータは、あらかじめメモリ２０４または記憶装置２０３に格納されていてもよいし、必要な時に、入出力装置２０５からまたは、ＩＦ２０１を介して他の装置から、インストール（ロード）されてもよい。

　ここで、図１７を用いて本発明の処理の概要を説明する。

　複数のセンサ１２２からサービスのセキュリティに関する観測情報２０９を受信し、受信した観測情報と、セキュリティレベル可視化装置が保持しているセキュリティレベル算出ポリシ２０８から、サービスごとのセキュリティレベルを算出する（２１０）。利用者、サービス毎に算出されたセキュリティレベルと、各サービス（アプリ１１２，１１３，１１５，１１９）から取得したサービスの構成情報とから、サービスごとのセキュリティレベルを可視化する（２１１）。

　セキュリティレベル算出ポリシは、サービスと、サービスを利用している利用者と、サービスにおいて観測すべき観測項目を保持し、サービスの構成情報は、サービスがどのサービス上で稼働しているかを示す階層構成情報と、サービスがどのサービスに接続しているかの接続構成情報とを保持している。さらに、可視化２１１の際には、複数のセンサから受信した観測情報が表示される。

　図３は、構成情報データ２０７の一例を示す図である。図３に示すように、構成情報データ２０７は、構成ＩＤ３０１と、下位構成３０２と、接続構成３０３とを含む。構成ＩＤ３０１は、例えば、ルータやサーバ、ホスト、アプリなどのシステムを構成する機器やサービスを一意に識別できる情報（識別子）を表す。なお、構成ＩＤ３０１は複数のデータセンタが存在しても、機器やサービスを一意に識別できる情報である。例えば、データセンタのＩＤなどを含めてもよい。

　下位構成３０２は、どの機器、あるいはサービスの上で稼働しているかを表す。例えば、図１におけるホストＡ１０９は、サーバＡ１０７の上で稼働しているため、ホストＡ１０９の下位構成はサーバＡ１０７となる。

　接続構成３０４は、どの機器、あるいはサービスと接続しているかを表す。例えば、図１におけるルータＡ１０６はサーバＡ１０７、サーバＢ１０８と接続しているため、ルータＡ１０６の接続構成は、サーバＡ１０７、サーバＢ１０８となる。

　構成情報データ２０７に格納される構成情報は、サービス提供者（ＳａａＳ提供者、ＰａａＳ提供者、ＩａａS提供者）が、必要に応じて、入力または更新する。例えば、図３に示した構成ＩＤ３０１が「ルータＡ」「サーバＡ」「サーバＢ」「ホストＡ」「ホストＢ」「ホストＣ」の構成情報は、ユーザＤ１２１ｄ（データセンタＡを管理しているＰａａＳ及びＩａａS提供者）により入力される。また、構成ＩＤ３０１が「アプリＡ」「アプリＢ」「アプリＣ」の構成情報は、ユーザＢ１２１ｂ（アプリＡ、アプリＢ、アプリＣを提供しているＳａａＳ提供者）により入力される。

　なお、構成情報をサービス利用者に知られたくないサービスについては、構成情報データ２０７に格納しなくてもよいし、あるいは、フラグなどの補助データを付与し、サービス利用者からのアクセスを拒否してもよい。

　構成情報データ２０７は、ＣＰＵ２０２により実行されるセキュリティレベル可視化プログラム２１１が、画面を表示する際に利用される。セキュリティレベル可視化プログラム２１１の具体的な処理については、図１１を用いて後述する。

　なお、下位構成３０３は、どの機器、あるいはサービスを稼働させているかを表す上位構成としても良い。この場合、図１におけるホストＡ１０９上では、アプリＡ１１２、アプリＢ１１３が稼働しているため、ホストＡ１０９の上位構成はアプリＡ１１２、アプリＢ１１３となる。
図４は、セキュリティレベル算出ポリシ２０８の一例を示す図である。図４に示すように、セキュリティレベル算出ポリシ２０８は、ポリシＩＤ４０１と、ユーザＩＤ４０２と、構成ＩＤ４０３と、観測項目４０４と、観測種別４０５とを含む。ポリシＩＤ４０１はセキュリティレベル算出ポリシを一意に識別できる情報（識別子）を表す。

　ユーザＩＤ４０２はユーザ１２１を一意に識別できる情報（識別子）を表す。

　構成ＩＤ４０３は、例えば、ルータやサーバ、ホスト、アプリなどのシステムを構成する機器やサービスを一意に識別できる情報（識別子）を表しており、構成情報データ２０７の構成ＩＤ４０３と同じ情報（識別子）を利用する。

　観測項目４０４は、どのような項目を観測するかを表す。例えば、「応答速度が閾値以下か」「利用者数が閾値以下か」「トラフィック量が閾値以下か」「ＣＰＵ使用率が閾値以下か」「メモリ使用率が閾値以下か」「ディスク使用率が閾値以下か」「通信が暗号化されているか」「蓄積データが暗号化されているか」「パッチがあてられているか」「ウイルス対策ソフトが稼働しているか」「証明書が有効か」「マルチテナントになっていないか」などが挙げられる。

　観測種別４０５は観測項目４０４が、どのような観点（基準）で観測しているかを表す。例えば、「安全性」や「可用性」などが挙げられる。

　セキュリティレベル算出ポリシ２０８に格納されるセキュリティレベル算出ポリシは、サービス提供者（ＳａａＳ提供者、ＰａａＳ提供者、ＩａａS提供者）が、必要に応じて、入力または更新する。例えば、図４に示したポリシＩＤ４０１が「１」～「７」のセキュリティレベル算出ポリシは、ユーザＢ１２１ｂ（アプリＡ、アプリＢ、アプリＣを提供しているＳａａＳ提供者）により入力される。また、ポリシＩＤ４０１が「８」～「１７」のセキュリティレベル算出ポリシは、ユーザＤ１２１ｄ（データセンタＡを管理しているＰａａＳ及びＩａａS提供者）により入力される。

　ここで、セキュリティレベルは、サービス提供者が、自身のサービスを利用しているサービス利用者へ向けて、自身の提供しているサービスがどれだけのセキュリティレベルを確保（保証）しているかを表す。サービス提供者とサービス利用者との間の契約などにより、観測項目が異なってくるため、サービス提供者ごとにセキュリティレベル算出ポリシを定める必要がある。

　セキュリティレベル算出ポリシ２０８に基づき、リアルタイムにサービスのセキュリティレベルが算出、可視化される。サービス利用者は、可視化されたセキュリティレベルを確認することにより、サービス提供者が提供しているサービスが適切なセキュリティレベルを確保しているかどうか把握することが可能となる。

　図４を用いて具体的に説明する。例えば、ユーザＢ１２１ｂが、「アプリＡは応答速度が２０ｍｓｅｃ以下で、通信及び蓄積データを暗号化する」という契約を、ユーザＡ１２１ａと交わしている際には、ポリシＩＤ４０１が「１」、「２」及び「３」のセキュリティレベル算出ポリシを登録することとなる。

　セキュリティレベル算出ポリシ２０８は、ＣＰＵ２０２により実行されるセキュリティレベル算出プログラム２１０が、サービスごとのセキュリティレベルを算出する際に利用される。セキュリティレベル算出プログラム２１０の具体的な処理については、図１０を用いて後述する。

　なお、新たなユーザ１２１がシステムを利用する場合には、セキュリティレベル算出ポリシ２０８に、新たなユーザ１２１用のセキュリティレベル算出ポリシを追加することで対応する。また、ユーザ１２１がシステムを利用しなくなった場合には、セキュリティレベル算出ポリシ２０８から、当該ユーザに関するセキュリティレベル算出ポリシを削除することで対応する。さらに、ユーザが利用しているサービスの構成が変化した場合にも、セキュリティレベル算出ポリシ２０８を更新することで対応可能となる。

　図５は、センサがセキュリティレベル可視化装置１０１に送信する観測情報５００の一例を示す図である。図５に示すように、観測情報は、日時５０１と、観測対象５０２と、観測項目５０３と、観測結果５０４と、センサＩＤ５０５とを含む。日時５０１は、センサ１２２が観測した日時を表す。

　観測対象５０２は、どの機器、サービスを観測の対象としているかを表し、構成情報データ２０７の構成ＩＤ３０１と同一の情報である。

　観測項目５０３はどのような項目を観測しているかを表し、観測結果５０４は、観測項目５０３の観測結果を表す。

　センサＩＤ５０５はセンサ１２２を一意に識別できる情報（識別子）を表す。

　図６は、観測情報データ２０９の一例を示す図である。図６に示すように、観測情報データ２０９は、日時６０１と、観測対象６０２と、観測項目６０３と、観測結果６０４と、センサＩＤ６０５とを含む。観測情報データ２０９は、センサから受信した観測情報５００を格納したデータであり、日時６０１は、観測情報５００の日時５０１を、観測対象６０２は、観測情報５００の観測対象５０２を、観測項目６０３は、観測情報５００の観測項目５０３を、観測結果６０４は、観測情報５００の観測結果５０４を、センサＩＤ６０５は、観測情報５００のセンサＩＤ５０５を、それぞれ格納している。

　観測情報データ２０９は、ＣＰＵ２０２により実行されるセキュリティレベル可視化プログラム２１１が、画面を表示する際に利用される。セキュリティレベル可視化プログラム２１１の具体的な処理については、図１１を用いて後述する。

　図７に、セキュリティレベル可視化画面の一例を示す。図７に示すように、セキュリティレベル可視化画面７０１は、ユーザＩＤを表示する領域７０２と、構成情報及びセキュリティレベルを表示する領域７０３とを含む。ユーザＩＤを表示する領域７０２は、どのユーザＩＤのセキュリティレベルを可視化しているかを表す。構成情報及びセキュリティレベルを表示する領域７０３は、ユーザＩＤを表示する領域７０２に表示してあるユーザの観測対象のサービスと、当該サービスのセキュリティレベルを表す。画面７０１ａはユーザＡ１２１ａ向けのセキュリティレベル可視化画面であり、画面７０１ｂはユーザＢ１２１ｂ向け、画面７０１ｃはユーザＣ１２１ｃ向け、画面７０１ｄはユーザＤ１２１ｄ向けの可視化画面を表す。可視化画面７０１は、ユーザごとに画面構成が異なり、ユーザが関心のある機器、サービスのセキュリティレベルが表示される。

　例えば、ユーザＢ１２１ｂはホストＡ１０９、ホストＢ１１０のサービス利用者であり、アプリＡ１１２、アプリＢ１１３、アプリＣ１１４のサービス提供者であるので、ホストＡ１０９、ホストＢ１１０、アプリＡ１１２、アプリＢ１１３、アプリＣ１１４のセキュリティレベルが表示される。また、アプリＡ１１２、アプリＢ１１３はホストＡ１０９上で、アプリＣ１１４はホストＢ１１０上で稼働しているため、可視化画面７０１ｂに示すように、ホストＡ１０９の内部にアプリＡ１１２とアプリＢ１１３のセキュリティレベルが、ホストＢ１１０の内部にアプリＣ１１４のセキュリティレベルが可視化される。

　このように、構成情報と併せてセキュリティレベルを可視化することにより、セキュリティレベルの依存関係が把握しやすくなる。例えば、アプリＡ１１２の可用性レベルが低下した際に、ホストＡ１０９の可用性レベルも低下していれば、アプリＡ１１２の可用性レベルが低下したのはホストＡ１０９の可用性レベルが低下したためであり、ホストＡ１０９に対策を講じることでアプリＡ１１２の可用性レベルも向上すると考えられる。

　なお、ＣＰＵ２０２により実行されるセキュリティレベル算出プログラム２１０が、サービスごとのセキュリティレベルを算出する。セキュリティレベル算出プログラム２１０の具体的な処理については、図１０を用いて後述する。

　また、ＣＰＵ２０２により実行されるセキュリティレベル可視化プログラム２１１が、構成情報データ２０７を基に可視化画面７０１を表示する。セキュリティレベル可視化プログラム２１１の具体的な処理については、図１１を用いて後述する。

　図８に、セキュリティレベル可視化画面の一例を示す。可視化画面８０１はセキュリティレベルを算出した根拠を表示する画面である。観測情報データ２０９を利用し、現在の観測結果６０４の情報や、観測結果６０４の時系列変化を表示している。

　例えば、アプリＡ１１２の安全性レベルが２となった理由は、「通信が暗号化されている」「蓄積データが暗号化されていない」からであり、可用性レベルが３となった理由は、「応答速度が２０ｍｓｅｃ以下」からである。可視化画面７０１ａ上の「アプリＡ」と書かれた領域をクリックすることで可視化画面８０１が表示される。

　図９は、セキュリティレベル算出テーブル２１２の一例を示す図である。図９に示すように、セキュリティレベル算出テーブル２１２は、ポリシＩＤ９０１と、観測結果９０２とを含む。ポリシＩＤ９０１はセキュリティレベル算出ポリシ２０８のポリシＩＤ２０１を表す。

　観測結果９０２は観測情報５００の観測結果５０４がセキュリティレベル算出ポリシ２０８の観測項目４０４を満たしているか否かを表し、満たしている場合には「１」を、満たしていない場合には「０」を格納する。

　なお、ＣＰＵ２０２により実行されるセキュリティレベル算出プログラム２１０が、セキュリティレベル算出テーブルを更新する。セキュリティレベル算出プログラム２１０の具体的な処理については、図１０を用いて後述する。

　続いて、セキュリティレベル可視化装置１０１のセキュリティレベル算出プログラム２１０が観測情報５００を受信し、セキュリティレベルを算出する処理（以下、セキュリティレベル算出処理と呼ぶ。）について説明する。図１０は、セキュリティレベル算出処理２１０のフローチャートである。

　図１０に示すように、セキュリティレベル算出処理を実行するセキュリティレベル算出プログラム２１０は、ＣＰＵ２０２により実行され、ＩＦ２０１を介して観測情報５００を受信し（ステップ１００１）、受信した観測情報５００を観測情報データ２０９に格納する（ステップ１００２）。

　セキュリティレベル算出プログラム２１０は、受信した観測情報５００の観測対象５０２及び観測項目５０３が、セキュリティレベル算出ポリシ２０８の構成ＩＤ４０３及び観測項目４０４に該当する場合、ステップ１００４に進み、該当するセキュリティレベル算出ポリシ２０８が存在しない場合は処理を終了する（ステップ１００３）。

　セキュリティレベル算出プログラム２１０は、受信した観測情報５００が該当するセキュリティレベル算出ポリシのポリシＩＤ４０１と観測結果を、セキュリティレベル算出テーブル２１２に格納する（ステップ１００４）。

　ステップ１００１からステップ１００４までのセキュリティレベル算出処理の流れを、具体例を用いて説明する。例えば、日時５０１が「２０１０／１２／２１　１０：００：００」、観測対象５０２が「アプリＡ」、観測項目５０３が「応答速度」、観測結果５０４が「１５ｍｓｅｃ」、センサＩＤ５０５が「１」の観測情報５００を受信した場合、セキュリティレベル算出プログラム２１０は当該観測情報５００とセキュリティレベル算出ポリシ２０８の構成ＩＤ４０３及び観測項目４０４との比較を行う。この場合、当該観測情報５００は、ポリシＩＤ４０１「１」の構成ＩＤ４０３「アプリＡ」、観測項目４０４「応答速度が２０ｍｓｅｃ以下か」に該当する。次に、セキュリティレベル算出プログラム２１０は観測情報５００の観測結果５０４が観測項目４０４を満たしているか否かの確認を行う。この場合、当該観測結果５００の観測結果「１５ｍｓｅｃ」はポリシＩＤ４０１が「１」の観測項目４０４「応答速度が２０ｍｓｅｃ以下か」を満たしているため、セキュリティレベル算出テーブル２１２の、ポリシＩＤ９０１に「１」を、観測結果９０２に「１」を格納する。

　セキュリティレベル算出プログラム２１０は、セキュリティレベル算出ポリシ２０８とセキュリティレベル算出テーブル２１２を用いて、更新のあったポリシＩＤ９０１のサービスごとのセキュリティレベルを算出（ステップ１００５）する。セキュリティレベルの算出は、セキュリティレベル算出ポリシ２０８のユーザＩＤ４０２、構成ＩＤ４０３、観測種別４０５ごとに予め定めた関数を利用する。例えば、（ユーザＩＤ４０２、構成ＩＤ４０３、観測種別４０５が等しいポリシＩＤ４０１に対応する観測結果９０２の総和）／（ユーザＩＤ４０２、構成ＩＤ４０３、観測種別４０５が等しいポリシＩＤ４０１の総数）×４を用いる（なお、４を乗算しているのは、セキュリティレベルを０～４の範囲に収めるためである）。なお、上記の関数では、上記の計算によって得られた値の小数点以下を四捨五入等により、セキュリティレベルの値が整数となるように整数化を行うこともできる。

　例えば、ステップ１００４でポリシＩＤ９０１が「１」のセキュリティレベル算出テーブル２１２が更新された場合、該当するセキュリティレベル算出ポリシ２０８のポリシＩＤ４０１が「１」のユーザＩＤ４０２、構成ＩＤ４０３、観測種別４０５に該当するポリシＩＤ４０１の総数を確認する。この場合、ユーザＩＤ４０２が「ユーザＡ」、構成ＩＤ４０３が「アプリＡ」、観測種別４０５が「可用性」であり、これらに該当するセキュリティレベル算出ポリシ２０８はポリシＩＤ４０１が「１」のセキュリティレベル算出ポリシだけであるため、ユーザＩＤ４０２、構成ＩＤ４０３、観測種別４０５が等しいポリシＩＤ４０１の総数は１となる。また、この時、ユーザＩＤ４０２、構成ＩＤ４０３、観測種別４０５が等しいポリシＩＤ４０１に対応する観測結果９０２の総和も１であるため、「ユーザＡ向けアプリＡの可用性」セキュリティレベルは１／１×４＝４となる。

　同様に、ステップ１００４でポリシＩＤ９０１が「３」のセキュリティレベル算出テーブル２１２が更新された場合についても説明する。この場合、セキュリティレベル算出ポリシ２０８のポリシＩＤ４０１が「３」のユーザＩＤ４０２は「ユーザＡ」、構成ＩＤ４０３は「アプリＡ」、観測種別４０５は「安全性」であり、これらに該当するセキュリティレベル算出ポリシ２０８は、ポリシＩＤ４０１が「２」のセキュリティレベル算出ポリシと、ポリシＩＤ４０１が「３」のセキュリティレベル算出ポリシである。このため、ユーザＩＤ４０２、構成ＩＤ４０３、観測種別４０５が等しいポリシＩＤ４０１の総数は２となる。この時、ユーザＩＤ４０２、構成ＩＤ４０３、観測種別４０５が等しいポリシＩＤ４０１に対応する観測結果９０２の総和は１であるため、「ユーザＡ向けアプリＡの安全性」セキュリティレベルは１／２×４＝２となる。

　セキュリティレベル算出プログラム２１０は、算出したセキュリティレベルをメモリ２０４に格納し処理１００３に戻る（ステップ１００６）。

　続いて、セキュリティレベル可視化装置１０１のセキュリティレベル可視化プログラム２１１がユーザからのリクエストを受信し、サービスごとのセキュリティレベルを可視化する処理（以下、可視化処理と呼ぶ。）について説明する。図１１は、可視化処理２１１のフローチャートである。

　図１１に示すように、可視化処理を実行するセキュリティレベル可視化プログラム２１１は、ＣＰＵ２０２により実行され、ＩＦ２０１を介して、または入出力装置２０５からユーザからの可視化リクエストを受信する（ステップ１１０１）。なお、ユーザからのリクエストには少なくともユーザを識別するためのユーザＩＤが含まれている。

　セキュリティレベル可視化プログラム２１１は、ユーザからのリクエストに含まれているユーザＩＤを、セキュリティレベル算出ポリシ２０８のユーザＩＤ４０２と比較し該当するユーザＩＤ４０２が存在すればステップ１１０３に進み、存在しなければ可視化処理を終了する（ステップ１１０２）。

　セキュリティレベル可視化プログラム２１１は、受信したリクエストに該当するユーザＩＤ４０２の構成ＩＤ４０３及び観測種別４０５ごとのセキュリティレベルをメモリ２０４から取得する（ステップ１１０３）。例えば、ユーザＩＤが「ユーザＢ」であるユーザから可視化リクエストを受信した場合、「ユーザＢ向けアプリＡの可用性」「ユーザＢ向けアプリＡの安全性」「ユーザＢ向けアプリＢの可用性」「ユーザＢ向けアプリＢの安全性」「ユーザＢ向けアプリＣの可用性」「ユーザＢ向けアプリＣの安全性」「ユーザＢ向けホストＡの可用性」「ユーザＢ向けホストＡの安全性」「ユーザＢ向けホストＢの可用性」「ユーザＢ向けホストＢの安全性」の１０種類のセキュリティレベルをメモリ２０４から取得する。

　セキュリティレベル可視化プログラム２１１は、受信したリクエストに該当するユーザＩＤ４０２の構成ＩＤ４０３の構成情報（下位構成３０２及び接続構成３０３）を構成情報データ２０７から取得する（ステップ１１０４）。例えば、ユーザＩＤが「ユーザＢ」であるユーザから可視化リクエストを受信した場合、構成情報ＩＤ４０３には「アプリＡ」「アプリＢ」「アプリＣ」「ホストＡ」「ホストＢ」が含まれており、これらの構成情報を構成情報データ２０７から取得する。この時、構成ＩＤ３０１が「アプリＡ」の下位構成３０２は「ホストＡ」、構成ＩＤ３０１が「アプリＢ」の下位構成３０２は「ホストＡ」、構成ＩＤ３０１が「アプリＣ」の下位構成３０２は「ホストＢ」であることが取得できる。また、構成ＩＤ３０１が「ホストＡ」の接続構成３０３は「サーバＡ」であり、構成ＩＤ３０１が「ホストＢ」の接続構成３０３も「サーバＡ」であることから、「ホストＡ」及び「ホストＢ」は接続関係にあることが把握できる。

　セキュリティレベル可視化プログラム２１１は、ステップ１１０３で取得したセキュリティレベルと、ステップ１１０４で取得した構成情報を、ネットワークを介して他の装置の入出力装置に、または入出力装置２０５に出力する（ステップ１１０５）。例えば、ユーザＩＤが「ユーザＢ」であるユーザから可視化リクエストを受信した場合、ステップ１１０４で取得した構成情報より、「ホストＡ」と「ホストＢ」を接続していることを表す線で結合し、さらに「ホストＡ」の内部に「アプリＡ」「アプリＢ」を、「ホストＢ」の内部に「アプリＣ」を表示する。さらに、ステップ１１０３で取得したセキュリティレベルを表示する。このような処理により、画面７０１に示した可視化画面が表示される。

　セキュリティレベル可視化プログラム２１１は、可視化画面７０１の構成ＩＤ４０３表示領域をクリックされると、ステップ１１０７に進み、クリックされなければ可視化処理を終了する（ステップ１１０６）。

　セキュリティレベル可視化プログラム２１１は、受信したリクエストに該当するユーザＩＤ４０２と、クリックされた構成ＩＤ４０３に該当するセキュリティレベル算出ポリシのポリシＩＤ４０１を抽出し、セキュリティレベル算出テーブル２１２から当該ポリシＩＤ４０１に該当する観測結果９０２を、ネットワークを介して他の装置の入出力装置に、または入出力装置２０５に出力する。さらに、観測情報データ２０７から過去の観測情報を取得し、時系列変化を出力し、可視化処理を終了する（ステップ１１０７）。

　このように、システムのセキュリティレベルを算出、可視化するセキュリティレベル可視化装置において、セキュリティレベル可視化装置１０１のセキュリティレベル算出プログラム２１０が、ＩＦ２０１を介して受信した観測情報５００を、観測情報データ２０７に格納し、セキュリティレベル算出ポリシ２０８に従って、セキュリティレベルを算出し、セキュリティレベル可視化プログラム２１１が、ユーザからのリクエストを受信し、セキュリティレベル算出ポリシ２０８と、構成情報データ２０７からセキュリティレベル可視化画面を出力することで、ユーザごとに関心のあるセキュリティレベルを表示することが可能となる。

　なお、本実施例の一部を変更して、次のように実施してもよい。セキュリティレベル算出プログラム２１０のステップ１００５において、セキュリティレベル算出ポリシ２０８のユーザＩＤ４０２、観測種別４０５ごとに予め定めた関数を利用してセキュリティレベルを算出し、セキュリティレベル可視化プログラム２１１のステップ１１０３において、受信したリクエストに該当するユーザＩＤ４０２の観測種別４０５ごとのセキュリティレベルをメモリ２０４から取得する。例えば、セキュリティレベルの算出には、（ユーザＩＤ４０２、観測種別４０５が等しいポリシＩＤ４０１に対応する観測結果９０２の総和）／（ユーザＩＤ４０２、観測種別４０５が等しいポリシＩＤ４０１の総数）×４を用いる。これにより構成情報の取得（ステップ１１０４）を省略することができ、さらに、ユーザが利用する（または提供する）サービス全体に亘ったセキュリティレベルを把握することができる。

　また、セキュリティレベル可視化装置１０１をデータセンタＡ１０２内及び、データセンタＢ１０３内に構成する。これにより、データセンタ内で観測した観測情報がデータセンタ外に流れることがなく、観測情報が漏えいするリスクを軽減することができる。

　また、図１２に示すように、可視化画面７０１を可視化画面１２０１ａまたは、可視化画面１２０１ｂのように表示する。可視化画面１２０１ａは、下位構成３０２の情報のみから表示することができる。これにより、接続構成３０３の接続関係復元に係る負荷を軽減することができる。可視化画面１２０１ｂは、テキストによる表示である。これにより、表示に係る負荷を軽減することができる。

　また、セキュリティレベル算出ポリシ２０８を、サービス利用者が設定してもよい。例えば、ユーザＢ１２１ｂが設定したユーザＡ１２１ａ用のセキュリティレベル算出ポリシ２０８を、ユーザＡ１２１ａが更新し、ポリシＩＤ４０１が「４」～「７」のセキュリティレベル算出ポリシ２０８を削除すると、ユーザＡ１２１ａは「アプリＡ」に関するセキュリティレベルのみを知ることができる。これにより、セキュリティレベル算出プログラム２１０のセキュリティレベル算出に係る負荷を軽減することができる。

　本実施例は、実施例１のセキュリティレベル可視化装置を含み、さらにセキュリティレベルテンプレートを用いたセキュリティレベル算出ポリシの設定を実行するセキュリティレベル可視化装置である。

　実施例１では、セキュリティレベル算出ポリシ２０８をサービス提供者が設定する。つまり、どのようなセキュリティレベル算出ポリシ２０８を設定するかは、サービス提供者に任されることとなり、サービス提供者の負荷が増大することが考えられる。また、セキュリティレベル算出ポリシ２０８の設定には、セキュリティに関する専門的な知識が必要となる場合もある。

　そこで、実施例２では、セキュリティレベル算出ポリシのテンプレートを保持したセキュリティレベル可視化装置を説明する。このセキュリティレベルテンプレートを活用することで、サービス提供者のセキュリティレベル算出ポリシ２０８設定の負担が軽減され、統一的な基準でセキュリティレベルを確認することができる。

　なお、セキュリティレベル算出ポリシのテンプレートとして、例えば、「ＰＣＩＤＳＳ（ＰａｙｍｅｎｔＣａｒｄＩｎｄｕｓｔｒｙＤａｔａＳｅｃｕｒｉｔｙＳｔａｎｄａｒｄ）」や「クラウドサービスレベルのチェックリスト」などが利用できる。ＰＣＩＤＳＳとは、クレジットカード情報および取引を保護するために、クレジット業界で利用されているセキュリティ基準である。また、クラウドサービスレベルのチェックリストとは、クラウドを利用するにあたって適切な取引関係を確保し、より効果的に利用することを目的として、経済産業省が作成したチェックリストである。

　図１３は、本実施例におけるセキュリティレベル可視化装置１０１の構成図の例である。実施例１と同一の構成要素には同一の符号を付すことによってその説明を省略し、以下では、実施例１と異なる点を中心に説明する。

　図１３に示すように、実施例２におけるセキュリティレベル可視化査装置１０１は、既に説明した実施例１のセキュリティレベル可視化装置１０１に、セキュリティレベルテンプレート１３０１と、セキュリティレベル設定プログラム１３０２とを含んで構成される。

　ＣＰＵ２０２は、メモリ２０４に格納されたセキュリティレベル設定プログラム１３０２を実行することによりセキュリティレベル算出ポリシ２０８の設定を行う。記憶装置２０３には、セキュリティレベル算出ポリシ２０８の設定を行うためのセキュリティレベルテンプレート１３０１格納されている。

　上記の各プログラムやデータは、あらかじめメモリ２０４または記憶装置２０３に格納されていてもよいし、必要な時に、入出力装置２０５または、ＩＦ２０１を介して他の装置から、インストール（ロード）されてもよい。

　図１４は、セキュリティレベルテンプレート１３０１の一例を示す図である。図１４に示すように、セキュリティレベルテンプレート１３０１は、テンプレートＩＤ１４０１と、セキュリティ基準１４０２と、観測項目１４０３とを含む。テンプレートＩＤ１４０１は、セキュリティレベルテンプレートを一意に識別できる情報(識別子)を表している。セキュリティ基準１４０２は、セキュリティレベルテンプレートがどのセキュリティ基準に従ったものかを表しており、例えば、「ＰＣＩＤＳＳ」「クラウドサービスレベルのチェックリスト」などを格納する。観測項目１４０３はセキュリティ基準１４０２に定められた要件を確認するために、観測しなければならない項目を表す。

　例えば、「ＰＣＩＤＳＳ」のセキュリティ基準を満たすためには、「ファイアウォールが導入されているか」「ＤＭＺが導入されているか」「許可されたものを除くトラフィックを拒否しているか」「不要なアカウントを削除しているか」「無線ベンダのデフォルト値を変更しているか」などを観測項目１４０３として設定する。

　これらの観測項目１４０３は、センサで観測結果５００として観測できる項目であることが望ましい。しかし、要件の中には、例えば、「障害時の連絡プロセスが存在するか」といった、センサでは観測結果５００を取得できないものも存在する。そのような要件に関しては、観測項目１４０３に変換しない、あるいは、観測結果５００を、サービス提供者あるいは、サービス利用者がＷＥＢなどのインタフェースを利用して、定期的に入力しても良い。

　なお、ここで示したセキュリティ基準以外にも、サービス提供者とサービス利用者との間で交わされる契約などで利用される観測項目を予めセキュリティテンプレートとして準備しておいてもよい。

　セキュリティレベルテンプレート１３０１は、ＣＰＵ２０２により実行されるセキュリティレベル設定プログラム１３０２が、セキュリティレベル算出ポリシ２０８を設定する際に利用される。セキュリティレベル設定プログラム１３０２の具体的な処理については、図１６を用いて後述する。

　図１５に、セキュリティレベル算出ポリシ設定画面の一例を示す。図１５に示すように、セキュリティレベル算出ポリシ設定画面１５０１は、ユーザＩＤを入力するフォーム１５０２と、観測対象を入力するフォーム１５０３と、セキュリティレベルテンプレートを選択するフォーム１５０４と、入力結果を送信するフォーム１５０５とを含む。ユーザＩＤを入力するフォーム１５０１には、設定するセキュリティポリシをどのユーザＩＤに対応付けるかを表す。観測対象を入力するフォーム１５０３は、設定するセキュリティポリシをどの観測対象に対応付けるかを表す。セキュリティレベルテンプレートを選択するフォーム１５０４は、どのセキュリティポリシを選択するかを表しており、セキュリティレベルテンプレート１３０１のセキュリティ基準１４０２と、観測項目１４０３が表示される。入力結果を送信するフォーム１５０５は、入力あるいは選択された情報をセキュリティレベル設定プログラム１３０２に送信するフォームである。

　セキュリティレベル算出ポリシ設定画面１５０１は、ＣＰＵ２０２により実行されるセキュリティレベル設定プログラム１３０２が出力する。セキュリティレベル設定プログラム１３０２の具体的な処理については、図１６を用いて後述する。

　続いて、セキュリティレベル可視化装置１０１のセキュリティレベル設定プログラム１３０２がユーザからのリクエストを受信し、セキュリティレベル算出ポリシ２０８を設定する処理（以下、ポリシ設定処理と呼ぶ。）について説明する。図１６は、ポリシ設定処理のフローチャートである。

　図１６に示すように、ポリシ設定処理を実行するセキュリティレベル設定プログラム１３０２は、ＣＰＵ２０２により実行され、ＩＦ２０１を介して、または入出力装置２０５から、セキュリティレベル算出ポリシ２０８の設定を行うユーザのリクエストを受信し（ステップ１６０１）、セキュリティレベル算出ポリシ設定画面１５０１を、ネットワークを介して他の装置の入出力装置に、または入出力装置２０５に出力する（ステップ１６０２）。

　ユーザがセキュリティレベル算出ポリシ設定画面１５０１の入力を行い、入力結果を送信すると、セキュリティレベル設定プログラム１３０２は、ＩＦ２０１を介して、または入出力装置２０５からユーザの入力結果を受信する（ステップ１６０３）。

　セキュリティレベル設定プログラム１３０２は、受信した入力結果を解析し、ユーザＩＤを入力するフォーム１５０２に入力されている情報をユーザＩＤ４０２に、観測対象を入力するフォーム１５０３に入力されている情報を構成ＩＤ４０３に、セキュリティレベルテンプレートを選択するフォーム１５０４で選択されている情報を観測項目４０４及び観測種別４０５に格納し、処理を終了する（ステップ１６０４）。

　このように、実施例２によれば、セキュリティレベル可視化装置１０１は、ＩＦ２０１または、入出力装置２０５が受信したセキュリティレベル算出ポリシ設定画面１５０１の入力結果から、セキュリティレベル算出ポリシ２０８の設定をおこなうことで、ユーザのセキュリティレベル算出ポリシ設定の負荷を軽減し、統一的なセキュリティ基準に従ったセキュリティレベルの算出が可能となる。

　以上説明したセキュリティレベル可視化装置によれば、ユーザごとに利用しているサービスが異なるシステムにおいて、サービスごとのセキュリティレベルを算出し、可視化できる。

　本発明は、上記実施の形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化することができる。また、上記実施の形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成することができる。例えば、実施の形態に示される全構成要素からいくつかの構成要素を削除してもよい。さらに、異なる実施の形態にわたる構成要素を適宜組み合わせても良い。

１０１：セキュリティレベル可視化装置、
１０２：データセンタＡ、
１０３：データセンタＢ、
１０４：利用者環境、
１０５：ネットワーク、
２０７：構成情報データ、
２０８：セキュリティレベル算出ポリシ、
２０９：観測情報データ、
２１０：セキュリティレベル算出プログラム、
２１１：セキュリティレベル可視化プログラム、
２１２：セキュリティレベル算出テーブル、
７０１：セキュリティレベル可視化画面、
１３０１：セキュリティレベルテンプレート、
１３０２：セキュリティレベル設定プログラム、
１５０１：セキュリティレベル算出ポリシ設定画面。

Claims

　複数のサービスから構成されるシステムのセキュリティレベルを算出、可視化するセキュリティレベル可視化装置は、
　複数のセンサから前記サービスのセキュリティに関する情報を観測情報として受信し、受信した前記観測情報と、前記セキュリティレベル可視化装置が保持しているセキュリティレベル算出ポリシから、前記サービスごとのセキュリティレベルを算出するセキュリティレベル算出手段と、
　前記セキュリティレベル算出手段が算出した前記サービスの前記セキュリティレベルと、前記セキュリティレベル可視化装置が保持している前記サービスの構成情報から、前記サービスごとの前記セキュリティレベルを出力するセキュリティレベル可視化手段とを備えることを特徴とするセキュリティレベル可視化装置。
　前記セキュリティレベル算出ポリシは、前記サービスと、前記サービスを利用している利用者と、前記サービスにおいて観測するべき観測項目を保持し、
　前記セキュリティレベル算出手段は、前記セキュリティレベル算出ポリシに基づき、前記サービスの前記利用者と、前記サービスごとにセキュリティレベルを算出することを特徴とする請求項１に記載のセキュリティレベル可視化装置。
　前記セキュリティレベル算出手段は、前記複数のセンサから受信した前記観測情報を前記観測項目と関連付けて記憶することを特徴とする請求項１に記載のセキュリティレベル可視化装置。
　前記構成情報は、前記サービスがどの前記サービス上で稼働しているかの階層構成情報と、前記サービスがどの前記サービスに接続しているかの接続構成情報とを保持し、
　前記セキュリティレベル可視化手段は、前記構成情報から前記サービス間の前記階層構成情報と、前記接続構成情報とを復元し、可視化することを特徴とする請求項１に記載のセキュリティレベル可視化装置。
　前記セキュリティレベル可視化手段は、前記セキュリティレベル算出手段が算出した前記セキュリティレベルと、前記構成情報とを併せて出力することを特徴とする請求項１に記載のセキュリティレベル可視化装置。
　前記セキュリティレベル可視化手段は、前記セキュリティレベル算出手段が算出した前記セキュリティレベルと、前記セキュリティレベル算出手段が前記セキュリティレベルを算出する際に利用した前記観測情報とを併せて出力することを特徴とする請求項１に記載のセキュリティレベル可視化装置。
　前記セキュリティレベル算出手段は、前記複数のセンサから受信する前記観測情報を記憶し、
　前記セキュリティレベル可視化手段は、前記複数のセンサから受信した前記観測情報を表示することを特徴とする請求項１に記載のセキュリティレベル可視化装置。
　前記セキュリティレベル算出ポリシを設定するための、セキュリティレベル設定テンプレートと、セキュリティレベル設定手段をさらに備えることを特徴とする請求項１に記載のセキュリティレベル可視化装置。
　前記セキュリティレベル設定手段は、前記ユーザに、前記セキュリティレベル算出ポリシを入力させるセキュリティレベル設定画面を出力することを特徴とする前記セキュリティレベル設定手段を備えることを特徴とする請求項８に記載のセキュリティレベル可視化装置。
　それぞれがサービスを行う少なくとも一つのサーバと、前記サービスを利用するための少なくとも一つの利用者計算機とネットワークを介して接続され、前記複数のサービスから構成されるシステムのセキュリティレベルを算出して可視化する処理装置におけるセキュリティレベル可視化方法は、
　前記サーバのそれぞれに設けられたセンサから前記サービスのセキュリティに関する情報を観測情報として受信し、
　受信した前記観測情報と、前記処理装置が保持しているセキュリティレベル算出ポリシから、前記サービスごとのセキュリティレベルを算出し、
　前記算出した前記サービスの前記セキュリティレベルと、前記処理装置が保持している前記サービスの構成情報から、前記サービスごとの前記セキュリティレベルを出力し、
　前記サービスごとの前記セキュリティレベルを、前記利用者計算機に送信することを特徴とするセキュリティレベル可視化方法。
　前記セキュリティレベル算出ポリシは、前記サービスと、前記サービスを利用している利用者と、前記サービスにおいて観測するべき観測項目を保持し、
　前記セキュリティレベル算出の際に、前記セキュリティレベル算出ポリシに基づき、前記サービスの前記利用者と、前記サービスごとにセキュリティレベルを算出することを特徴とする請求項１０に記載のセキュリティレベル可視化方法。
　前記セキュリティレベル算出の際に、前記複数のセンサから受信した前記観測情報を前記観測項目と関連付けて記憶することを特徴とする請求項１０に記載のセキュリティレベル可視化方法。
　前記構成情報は、前記サービスがどの前記サービス上で稼働しているかの階層構成情報と、前記サービスがどの前記サービスに接続しているかの接続構成情報とを保持し、
　前記セキュリティレベル可視化の際に、前記構成情報から前記サービス間の前記階層構成情報と、前記接続構成情報とを復元し、可視化することを特徴とする請求項１０に記載のセキュリティレベル可視化方法。
　前記セキュリティレベル可視化の際に、前記セキュリティレベル算出処理が算出した前記セキュリティレベルと、前記構成情報とを併せて出力することを特徴とする請求項１０に記載のセキュリティレベル可視化方法。
　前記セキュリティレベル可視化の際に、前記セキュリティレベル算出処理が算出した前記セキュリティレベルと、前記セキュリティレベル算出処理が前記セキュリティレベルを算出する際に利用した前記観測情報とを併せて出力することを特徴とする請求項１０に記載のセキュリティレベル可視化方法。
　前記セキュリティレベル算出の際に、前記複数のセンサから受信する前記観測情報を記憶し、
　前記セキュリティレベル可視化の際に、前記複数のセンサから受信した前記観測情報を表示することを特徴とする請求項１０に記載のセキュリティレベル可視化方法。
　前記セキュリティレベル算出ポリシを設定するための、セキュリティレベル設定テンプレートと、セキュリティレベル設定処理を行うことを特徴とする請求項１０に記載のセキュリティレベル可視化方法。
　前記セキュリティレベル設定の際に、前記ユーザに、前記セキュリティレベル算出ポリシを入力させるセキュリティレベル設定画面を出力することを特徴とする前記セキュリティレベル設定処理を行うことを特徴とする請求項１７に記載のセキュリティレベル可視化方法。