WO2012132124A1 - セキュリティレベル可視化装置 - Google Patents

セキュリティレベル可視化装置 Download PDF

Info

Publication number
WO2012132124A1
WO2012132124A1 PCT/JP2011/078493 JP2011078493W WO2012132124A1 WO 2012132124 A1 WO2012132124 A1 WO 2012132124A1 JP 2011078493 W JP2011078493 W JP 2011078493W WO 2012132124 A1 WO2012132124 A1 WO 2012132124A1
Authority
WO
WIPO (PCT)
Prior art keywords
security level
service
security
visualization
observation
Prior art date
Application number
PCT/JP2011/078493
Other languages
English (en)
French (fr)
Inventor
倫宏 重本
仲小路 博史
哲郎 鬼頭
久志 梅木
敏 武本
鍛 忠司
甲斐 賢
Original Assignee
株式会社日立製作所
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社日立製作所 filed Critical 株式会社日立製作所
Priority to EP11862072.3A priority Critical patent/EP2693355A4/en
Priority to US14/000,489 priority patent/US20130333045A1/en
Publication of WO2012132124A1 publication Critical patent/WO2012132124A1/ja

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/085Retrieval of network configuration; Tracking network configuration history
    • H04L41/0853Retrieval of network configuration; Tracking network configuration history by actively collecting configuration information or by backing up configuration information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/508Network service management, e.g. ensuring proper service fulfilment according to agreements based on type of value added network service under agreement
    • H04L41/5096Network service management, e.g. ensuring proper service fulfilment according to agreements based on type of value added network service under agreement wherein the managed service relates to distributed or central networked applications

Definitions

  • the present invention relates to a technique for calculating and visualizing a security level for each service in a system in which a service used for each user is different.
  • cloud computing hereinafter referred to as a cloud
  • users possess and manage computer hardware, software, data, etc. whereas the cloud possesses servers that provide services such as hardware, software, data, etc. Owned and managed by the operator.
  • the cloud By using the cloud, the user can obtain the merit of suppressing the purchase cost of the computer and freeing the system operation management.
  • SaaS Software as a Service
  • PaaS PaaS
  • PaaS Paform as Service
  • IaaS Intelligent Service as Service
  • SaaS is a usage form in which necessary software (functions) can be used as a service as much as necessary via a network.
  • PaaS is a platform that is the foundation for building and operating software. This is a usage form provided via the Internet.
  • IaaS is a usage form in which hardware (base) itself for constructing and operating a computer system is provided as a service via a network.
  • the provision of services using the cloud is progressing and it is becoming a basic infrastructure that supports people's lives and socio-economic activities.
  • the devices servers, networks, storage, etc.
  • services that make up the system change dynamically, and the cloud users themselves cannot grasp the physical configuration of the system. It is difficult to grasp the status of equipment. This is one of the factors that hesitates to use the cloud and prevents the cloud from storing important data.
  • SaaS providers that provide services using devices on the cloud
  • SaaS users that use SaaS provider services use the cloud.
  • Patent Document 1 calculates a security level SL for each security function of an information system over time, and adds the security level SL over all security functions to calculate a security level SLG for the entire information system.
  • Patent Document 2 describes a business support apparatus that evaluates the security level of a customer system and proposes to the customer security related products and services that are optimal for the evaluation result.
  • the security policy and the devices and services that make up the system differ for each user, so it is necessary to calculate the security level for each service used by the user. Also, since the devices and services that make up the system change dynamically, it is necessary to grasp the security level in real time.
  • Patent Document 1 Although it is possible to grasp the security level of each security function or the entire information system, there is no mention of grasping the security level for each service.
  • Patent Document 2 can grasp the security level when the customer conducts regular inspection, but does not mention real-time security level grasp.
  • Patent Document 2 it is assumed that one customer (user) uses the system, and the system does not have a plurality of users.
  • the disclosed security level visualization system receives service security information from multiple sensors as observation information.
  • the security level for each service is determined from the received observation information and the security level calculation policy held by the security level visualization device.
  • Security level calculation means for calculating the security level
  • security level visualization means for outputting the security level for each service from the security level of the service calculated by the security level calculation means, and the service configuration information held by the security level visualization device; Is provided.
  • the security level calculation policy holds the service, the user who uses the service, and the observation items to be observed in the service, and the security level calculation means, based on the security level calculation policy, A security level is calculated for each.
  • the security level calculation means stores observation information received from a plurality of sensors in association with observation items.
  • the hierarchical configuration information indicating which service the service is operating on and the connection configuration information indicating which service the service is connected to are held as configuration information, and the security level visualization means The hierarchical configuration information between services and the connection configuration information are restored from the information and output together with the security level calculated by the security level calculation means.
  • the security level visualization means outputs the security level calculated by the security level calculation means and the observation information used when the security level calculation means calculates the security level.
  • the security level calculation means stores observation information received from a plurality of sensors, and the security level visualization means displays observation information received from the plurality of sensors.
  • the security level for each service can be calculated and visualized in a system in which a plurality of users exist.
  • the disclosed security level visualization apparatus it is possible to confirm the configuration of the service used by the user and the security level of the service.
  • a network configuration including a security level visualization device is a configuration example of a security level visualization apparatus according to a first embodiment. It is an example of configuration information data. It is an example of a security level calculation policy. It is an example of observation information. It is an example of observation information data. It is an example of a security level visualization screen. It is an example of a security level visualization screen. It is an example of a security level calculation table. It is a flowchart of a security level calculation process. It is a flowchart of a security level visualization process. It is a modification of a security level visualization screen.
  • 6 is a configuration example of a security level visualization apparatus according to a second embodiment. 10 is an example of a security level template according to a second embodiment. 10 is an example of a security level calculation policy setting screen according to the second embodiment. It is a flowchart of the policy setting process of Example 2. It is an outline
  • the security policy, the devices that make up the system, and services differ from user to user.
  • a service provider who provides a service using a device on the cloud wants to know the security level of the device on the cloud and the security level of the service provided by the service provider.
  • the service user who uses the service of the service provider does not need to know the security level of the device on the cloud, and wants to know the security level of the provided service.
  • the devices and services that interest each user are different.
  • the security level for each user is calculated and visualized by using the security level calculation policy for each user.
  • the security level calculation policy for each user paying attention to this point, observation data acquisition, security level calculation, and security level display will be described.
  • FIG. 1 shows a configuration example of a network including a security level visualization device that calculates and visualizes a security level in this embodiment.
  • the security level visualization apparatus 101 is connected to the data center A 102, the data center B 103, and the user environment 104a via the network 105, and exists in the data center A 102 and / or the data center B 103 based on the security level calculation policy. Calculate and visualize the security level of devices and / or services. The specific contents of the security level calculation policy will be described later with reference to FIG.
  • the network 105 is, for example, a network such as an intranet or the Internet, or a communication network for connecting to these.
  • the data center A102 includes a router A106, a server A107, a server B108, a user environment 104b, and a sensor 122b.
  • the host A109 and the host B110 are included, and on the server B108, the host C111 and the sensor 122d are respectively included. It is operating.
  • the application A 112 and the application B 113 are operating on the host A 109, the application C 114 is operating on the host B 110, and the application D 115 and the sensor 122 c are operating on the host C 111.
  • the data center B103 includes a router B116 and a server C117, and a host D118 is operating on the server C117. Further, the application E119 is running on the host D118.
  • the server represents a computer equipped with a virtualization technology such as a hypervisor
  • the host represents a virtual machine (virtual computer) running on the server.
  • An application represents a program running on the host, and provides various services.
  • a sensor represents an agent that collects information necessary for calculating a security level, and is installed in a data center or a user environment by a service provider (SaaS provider, PaaS provider, IaaS provider).
  • SaaS provider PaaS provider
  • IaaS provider IaaS provider
  • the sensor 122a for observing the response speed of the application A 112 is installed in the user environment 104a and is connected to the application A 112 periodically (for example, every 10 seconds).
  • the sensor 122a receives the response from the application A 112
  • the sensor 122a observes the time required from the connection to the response, and transmits it to the security level visualization apparatus 101 as observation information.
  • the specific contents of the observation information will be described later with reference to FIG.
  • sensors include sensors that monitor the number of users, sensors that monitor traffic volume, sensors that monitor CPU and memory and disk usage, and whether communication and stored data are encrypted. Sensors, sensors that observe whether patches are applied, sensors that observe whether anti-virus software is running, sensors that observe whether certificates are valid, multi-tenant or not Sensors that observe The sensor 122 may be realized using an existing product.
  • sensors 122a and 122b configured by hardware
  • a sensor 122d configured by a virtual machine
  • a sensor 122c configured by software
  • the data center is configured from a router, a sensor, and a server.
  • the data center may be configured to include FW, IDS, a load balancer, and the like.
  • the data center A and the data center B may exist in geographically different places.
  • the user environment 104 is an environment composed of a computer 120 and a user 121.
  • the user 121 operates the computer 120 to connect to the security level visualization apparatus 101, the data center A102, and the data center B103.
  • a plurality of types of users 121 use the cloud, such as service providers that provide services using devices on the cloud and service users that use the services of the service providers.
  • the user A 121a is a SaaS user who uses the application A 112, the application B 113, and the application C 114
  • the user B 121b is a SaaS provider that provides the application A 112, the application B 113, and the application C 114, and at the same time, the host A 109, the host It is a PaaS user who uses B110.
  • the user C121c is a SaaS user who uses the application D115 and the application E119
  • the user D121d is a PaaS and IaaS provider who manages the data center A102.
  • the user D 121d provides the host A 109 and the host B 110 to the user B 121b
  • the user B 121b constructs the application A 112 and the application B 113 on the provided host A 109, and the application C 114 on the host B 110, and provides the service to the user A 121a. is doing.
  • the computer 120 operated by the user 121 is shown as one unit, but may be prepared for each user.
  • FIG. 2 shows a configuration example of the security level visualization apparatus 101 that calculates and visualizes the security level for each service.
  • the security level visualization device 101 includes a CPU 202, a memory 204 for storing data necessary for the CPU 202 to execute processing, a storage device 203 such as a hard disk or flash memory having a capacity for storing a large amount of data, A computer having an IF (interface) 201 for communicating with other devices, an input / output device 205 for performing input / output of a keyboard, a display, etc., and a communication path (bus) 206 for connecting these devices. It is.
  • IF interface
  • the CPU 202 calculates the security level by executing the security level calculation program 210 stored in the memory 204, and visualizes the security level by executing the security level visualization program 211.
  • the storage device 203 stores configuration information data 207 for grasping configuration information such as devices and services, a security level calculation policy 208 that is a policy for security level calculation, and observation information that records observation results transmitted by the sensor 122. Data 209 is stored.
  • the memory 204 stores a security level calculation table 212 for calculating a security level.
  • Each of the above programs and data may be stored in the memory 204 or the storage device 203 in advance, or installed (loaded) from the input / output device 205 or from another device via the IF 201 when necessary. Also good.
  • the service security observation information 209 is received from the plurality of sensors 122, and the security level for each service is calculated from the received observation information and the security level calculation policy 208 held by the security level visualization device (210).
  • the security level for each service is visualized from the security level calculated for each user and service and the service configuration information acquired from each service (applications 112, 113, 115, 119) (211).
  • the security level calculation policy holds the service, the user who uses the service, and the observation items to be observed in the service, and the service configuration information is a hierarchical structure indicating on which service the service is operating Information and connection configuration information indicating which service the service is connected to. Furthermore, during visualization 211, observation information received from a plurality of sensors is displayed.
  • FIG. 3 is a diagram illustrating an example of the configuration information data 207.
  • the configuration information data 207 includes a configuration ID 301, a lower configuration 302, and a connection configuration 303.
  • the configuration ID 301 represents information (identifier) that can uniquely identify devices and services that configure a system such as a router, a server, a host, and an application.
  • the configuration ID 301 is information that can uniquely identify a device or a service even if a plurality of data centers exist. For example, the data center ID may be included.
  • the lower level structure 302 represents on which device or service it is operating. For example, since the host A 109 in FIG. 1 is operating on the server A 107, the subordinate configuration of the host A 109 is the server A 107.
  • connection configuration 304 represents which device or service is connected. For example, since the router A106 in FIG. 1 is connected to the server A107 and the server B108, the connection configuration of the router A106 is the server A107 and the server B108.
  • the configuration information stored in the configuration information data 207 is input or updated by the service provider (SaaS provider, PaaS provider, IaaS provider) as necessary.
  • the configuration information of the configuration ID 301 shown in FIG. 3 with “Router A”, “Server A”, “Server B”, “Host A”, “Host B”, and “Host C” is the user D121d (managing data center A). (PaaS and IaaS providers).
  • the configuration information of the configuration ID 301 of “application A”, “application B”, and “application C” is input by the user B 121b (SaaS provider that provides the application A, the application B, and the application C).
  • the service whose configuration information is not desired to be known to the service user may not be stored in the configuration information data 207, or auxiliary data such as a flag may be added to deny access from the service user. May be.
  • the configuration information data 207 is used when the security level visualization program 211 executed by the CPU 202 displays a screen. Specific processing of the security level visualization program 211 will be described later with reference to FIG.
  • the lower configuration 303 may be an upper configuration that indicates which device or service is operating.
  • the upper components of the host A 109 are the application A 112 and the application B 113.
  • FIG. 4 is a diagram illustrating an example of the security level calculation policy 208.
  • the security level calculation policy 208 includes a policy ID 401, a user ID 402, a configuration ID 403, an observation item 404, and an observation type 405.
  • the policy ID 401 represents information (identifier) that can uniquely identify the security level calculation policy.
  • the user ID 402 represents information (identifier) that can uniquely identify the user 121.
  • the configuration ID 403 represents, for example, information (identifier) that can uniquely identify a device or service that configures a system such as a router, server, host, or application.
  • information (identifier) that can uniquely identify a device or service that configures a system such as a router, server, host, or application.
  • the same information (identifier) as the configuration ID 403 of the configuration information data 207 is used. Use.
  • the observation item 404 represents what item is observed. For example, “Is response speed below threshold?” “Number of users is below threshold” “Traffic volume is below threshold” “CPU usage is below threshold” “Memory usage is below threshold” “Disk usage is “Is it less than the threshold?” “Is communication encrypted?” “Is the stored data encrypted?” “Is a patch applied?” “Is antivirus software running?” “The certificate is valid” “Multiple Is it not a tenant? "
  • the observation type 405 represents what kind of viewpoint (standard) the observation item 404 is observing. Examples include “safety” and “availability”.
  • the security level calculation policy stored in the security level calculation policy 208 is input or updated by the service provider (SaaS provider, PaaS provider, IaaS provider) as necessary.
  • the security level calculation policies with policy IDs 401 “1” to “7” shown in FIG. 4 are input by the user B 121b (SaaS provider that provides application A, application B, and application C).
  • the security level calculation policies with policy IDs 401 “8” to “17” are input by the user D 121 d (PaaS and IaaS providers managing the data center A).
  • the security level indicates how much security level the service provided by the service provider has secured (guaranteed) to the service user using the service of the service provider. . Since the observation items differ depending on the contract between the service provider and the service user, it is necessary to define a security level calculation policy for each service provider.
  • the security level of the service is calculated and visualized in real time. By confirming the visualized security level, the service user can grasp whether or not the service provided by the service provider has an appropriate security level.
  • the security level calculation policy 208 is used when the security level calculation program 210 executed by the CPU 202 calculates the security level for each service. Specific processing of the security level calculation program 210 will be described later with reference to FIG.
  • the security level calculation policy 208 is added by adding a security level calculation policy for the new user 121. Further, when the user 121 stops using the system, the security level calculation policy relating to the user is deleted from the security level calculation policy 208. Furthermore, even when the configuration of the service used by the user changes, it can be handled by updating the security level calculation policy 208.
  • FIG. 5 is a diagram illustrating an example of observation information 500 transmitted from the sensor to the security level visualization apparatus 101.
  • the observation information includes a date 501, an observation target 502, an observation item 503, an observation result 504, and a sensor ID 505.
  • the date and time 501 represents the date and time observed by the sensor 122.
  • the observation target 502 represents which device or service is the observation target, and is the same information as the configuration ID 301 of the configuration information data 207.
  • the observation item 503 represents what item is being observed, and the observation result 504 represents the observation result of the observation item 503.
  • Sensor ID 505 represents information (identifier) that can uniquely identify the sensor 122.
  • FIG. 6 is a diagram illustrating an example of the observation information data 209.
  • the observation information data 209 includes a date 601, an observation target 602, an observation item 603, an observation result 604, and a sensor ID 605.
  • the observation information data 209 is data in which the observation information 500 received from the sensor is stored.
  • the date / time 601 is the date / time 501 of the observation information 500
  • the observation target 602 is the observation target 502 of the observation information 500
  • the observation item 603 is The observation item 503 of the observation information 500
  • the observation result 604 stores the observation result 504 of the observation information 500
  • the sensor ID 605 stores the sensor ID 505 of the observation information 500, respectively.
  • the observation information data 209 is used when the security level visualization program 211 executed by the CPU 202 displays a screen. Specific processing of the security level visualization program 211 will be described later with reference to FIG.
  • FIG. 7 shows an example of the security level visualization screen.
  • the security level visualization screen 701 includes an area 702 for displaying a user ID and an area 703 for displaying configuration information and a security level.
  • An area 702 for displaying the user ID represents which user ID is visualized.
  • the area 703 for displaying the configuration information and the security level represents the service to be observed by the user displayed in the area 702 for displaying the user ID and the security level of the service.
  • Screen 701a is a security level visualization screen for user A 121a
  • screen 701b is for user B 121b
  • screen 701c is for user C 121c
  • screen 701d is a visualization screen for user D 121d.
  • the visualization screen 701 has a different screen configuration for each user, and displays security levels of devices and services that the user is interested in.
  • the security level of the host A 109, the host B 110, the application A 112, the application B 113, and the application C 114 Is displayed.
  • the security levels of the applications A 112 and B 113 are within the host A 109 as shown in the visualization screen 701b.
  • the security level of the application C114 is visualized inside B110.
  • the availability level of the host A 109 is lowered when the availability level of the application A 112 is lowered, the availability level of the application A 112 is lowered because the availability level of the host A 109 is lowered, and the host A 109 is treated. It is considered that the availability level of the application A 112 is also improved by taking the above.
  • the security level calculation program 210 executed by the CPU 202 calculates the security level for each service. Specific processing of the security level calculation program 210 will be described later with reference to FIG.
  • the security level visualization program 211 executed by the CPU 202 displays the visualization screen 701 based on the configuration information data 207. Specific processing of the security level visualization program 211 will be described later with reference to FIG.
  • FIG. 8 shows an example of the security level visualization screen.
  • the visualization screen 801 is a screen that displays the basis for calculating the security level. Using the observation information data 209, information on the current observation result 604 and time-series changes in the observation result 604 are displayed.
  • a visualization screen 801 is displayed by clicking an area where “APPLICATION A” is written on the visualization screen 701a.
  • FIG. 9 is a diagram illustrating an example of the security level calculation table 212.
  • the security level calculation table 212 includes a policy ID 901 and an observation result 902.
  • Policy ID 901 represents the policy ID 201 of the security level calculation policy 208.
  • the observation result 902 indicates whether or not the observation result 504 of the observation information 500 satisfies the observation item 404 of the security level calculation policy 208, and “1” if it satisfies, “0” otherwise. Is stored.
  • the security level calculation program 210 executed by the CPU 202 updates the security level calculation table. Specific processing of the security level calculation program 210 will be described later with reference to FIG.
  • FIG. 10 is a flowchart of the security level calculation process 210.
  • a security level calculation program 210 that executes a security level calculation process is executed by the CPU 202, receives observation information 500 via the IF 201 (step 1001), and uses the received observation information 500 as observation information data. It stores in 209 (step 1002).
  • the security level calculation program 210 proceeds to step 1004, and the corresponding security level calculation policy. If 208 does not exist, the process ends (step 1003).
  • the security level calculation program 210 stores the policy ID 401 and the observation result of the security level calculation policy corresponding to the received observation information 500 in the security level calculation table 212 (step 1004).
  • the security level calculation program 210 compares the observation information 500 with the configuration ID 403 and the observation item 404 of the security level calculation policy 208.
  • the observation information 500 corresponds to the configuration ID 403 “application A” of the policy ID 401 “1” and the observation item 404 “whether the response speed is 20 msec or less”.
  • the security level calculation program 210 confirms whether the observation result 504 of the observation information 500 satisfies the observation item 404. In this case, since the observation result “15 msec” of the observation result 500 satisfies the observation item 404 “response speed is 20 msec or less” with the policy ID 401 “1”, the policy ID 901 of the security level calculation table 212 has “1”. And “1” is stored in the observation result 902.
  • the security level calculation program 210 calculates the security level for each service of the updated policy ID 901 using the security level calculation policy 208 and the security level calculation table 212 (step 1005).
  • the security level is calculated using a function predetermined for each user ID 402, configuration ID 403, and observation type 405 of the security level calculation policy 208.
  • the policy ID 401 of the corresponding security level calculation policy 208 corresponds to the user ID 402, the configuration ID 403, and the observation type 405.
  • the total number of policy IDs 401 is confirmed.
  • the user ID 402 is “user A”
  • the configuration ID 403 is “application A”
  • the observation type 405 is “availability”
  • the security level calculation policy 208 corresponding to these is the security level calculation policy with the policy ID 401 “1”. Therefore, the total number of policy IDs 401 having the same user ID 402, configuration ID 403, and observation type 405 is 1.
  • the security level calculation table 212 with the policy ID 901 “3” is updated in step 1004 .
  • the user ID 402 whose policy ID 401 of the security level calculation policy 208 is “3” is “user A”
  • the configuration ID 403 is “application A”
  • the observation type 405 is “safety”.
  • the policy 208 is a security level calculation policy whose policy ID 401 is “2” and a security level calculation policy whose policy ID 401 is “3”. Therefore, the total number of policy IDs 401 having the same user ID 402, configuration ID 403, and observation type 405 is 2.
  • the security level calculation program 210 stores the calculated security level in the memory 204 and returns to the processing 1003 (step 1006).
  • FIG. 11 is a flowchart of the visualization process 211.
  • the security level visualization program 211 that executes the visualization process is executed by the CPU 202 and receives a visualization request from the user via the IF 201 or from the input / output device 205 (step 1101).
  • the request from the user includes at least a user ID for identifying the user.
  • the security level visualization program 211 compares the user ID included in the request from the user with the user ID 402 of the security level calculation policy 208. If the corresponding user ID 402 exists, the security level visualization program 211 proceeds to step 1103. Is finished (step 1102).
  • the security level visualization program 211 acquires the configuration ID 403 of the user ID 402 corresponding to the received request and the security level for each observation type 405 from the memory 204 (step 1103). For example, when a visualization request is received from a user whose user ID is “user B”, “availability of app A for user B” “safety of app A for user B” “availability of app B for user B” “user” “Security for App B for B” "Availability for App C for User B” "Safety for App C for User B” "Availability for Host A for User B” "Safety for Host A for User B” "For User B Ten security levels of “Availability of host B” and “Safety of host B for user B” are acquired from the memory 204.
  • the security level visualization program 211 acquires the configuration information (lower configuration 302 and connection configuration 303) of the configuration ID 403 of the user ID 402 corresponding to the received request from the configuration information data 207 (step 1104). For example, when a visualization request is received from a user whose user ID is “user B”, the configuration information ID 403 includes “application A”, “application B”, “application C”, “host A”, and “host B”. The configuration information is acquired from the configuration information data 207.
  • the lower configuration 302 whose configuration ID 301 is “application A” is “host A”
  • the lower configuration 302 whose configuration ID 301 is “application B” is “host A”
  • the lower configuration 302 whose configuration ID 301 is “application C” is “ It can be acquired that it is “Host B”.
  • the connection configuration 303 with the configuration ID 301 “host A” is “server A”
  • the connection configuration 303 with the configuration ID 301 “host B” is also “server A”
  • “host A” and “host B” "Can be understood to be connected.
  • the security level visualization program 211 outputs the security level acquired in step 1103 and the configuration information acquired in step 1104 to the input / output device of another device or the input / output device 205 via the network (step 1105).
  • a visualization request is received from a user whose user ID is “user B”
  • a line indicating that “host A” and “host B” are connected is combined from the configuration information acquired in step 1104.
  • “APPLICATION A” and “APPLICATION B” are displayed inside “HOST A”
  • “APPLICATION C” is displayed inside “HOST B”.
  • the security level acquired in step 1103 is displayed.
  • the visualization screen shown on the screen 701 is displayed.
  • the security level visualization program 211 proceeds to step 1107 when the configuration ID 403 display area of the visualization screen 701 is clicked, and ends the visualization process when not clicked (step 1106).
  • the security level visualization program 211 extracts the user ID 402 corresponding to the received request and the policy ID 401 of the security level calculation policy corresponding to the clicked configuration ID 403, and the observation result corresponding to the policy ID 401 from the security level calculation table 212. 902 is output to the input / output device of another device or the input / output device 205 via the network. Further, past observation information is acquired from the observation information data 207, a time-series change is output, and the visualization process is terminated (step 1107).
  • the security level calculation program 210 of the security level visualization apparatus 101 stores the observation information 500 received via the IF 201 in the observation information data 207.
  • the security level is calculated, the security level visualization program 211 receives the request from the user, and outputs the security level visualization screen from the security level calculation policy 208 and the configuration information data 207. It becomes possible to display the security level of interest for each user.
  • step 1005 of the security level calculation program 210 the security level is calculated using a function predetermined for each of the user ID 402 and the observation type 405 of the security level calculation policy 208, and received in step 1103 of the security level visualization program 211.
  • the security level for each observation type 405 of the user ID 402 corresponding to the request is acquired from the memory 204.
  • the security level is calculated by (total of observation results 902 corresponding to policy ID 401 with the same user ID 402 and observation type 405) / (total number of policy IDs 401 with the same user ID 402 and observation type 405) ⁇ 4.
  • the acquisition of configuration information can be omitted, and the security level over the entire service used (or provided) by the user can be grasped.
  • the security level visualization device 101 is configured in the data center A 102 and the data center B 103. Thereby, observation information observed in the data center does not flow outside the data center, and the risk of leakage of observation information can be reduced.
  • the visualization screen 701 is displayed as a visualization screen 1201a or a visualization screen 1201b.
  • the visualization screen 1201a can be displayed only from the information of the lower configuration 302. Thereby, it is possible to reduce the load related to the connection relation restoration of the connection configuration 303.
  • the visualization screen 1201b is a text display. Thereby, the load concerning display can be reduced.
  • the service user may set the security level calculation policy 208. For example, when the user A 121a updates the security level calculation policy 208 for the user A 121a set by the user B 121b and deletes the security level calculation policy 208 with the policy ID 401 of “4” to “7”, the user A 121a Can only know the security level. Thereby, it is possible to reduce the load related to the security level calculation of the security level calculation program 210.
  • the present embodiment is a security level visualization device that includes the security level visualization device of the first embodiment and further executes setting of a security level calculation policy using a security level template.
  • the service provider sets the security level calculation policy 208. That is, what security level calculation policy 208 is set is left to the service provider, and the load on the service provider may increase. Also, setting of the security level calculation policy 208 may require specialized knowledge regarding security.
  • a security level visualization apparatus that holds a security level calculation policy template will be described.
  • the burden of setting the security level calculation policy 208 by the service provider is reduced, and the security level can be confirmed based on a uniform standard.
  • PCI DSS Payment Card Industry Data Security Standard
  • cloud service level checklist is a checklist created by the Ministry of Economy, Trade and Industry for the purpose of ensuring an appropriate business relationship when using the cloud and using it more effectively.
  • FIG. 13 is an example of a configuration diagram of the security level visualization apparatus 101 in the present embodiment.
  • the same constituent elements as those in the first embodiment are denoted by the same reference numerals, and the description thereof is omitted. In the following, differences from the first embodiment will be mainly described.
  • the security level visualization device 101 according to the second embodiment is configured to include the security level template 1301 and the security level setting program 1302 in addition to the security level visualization device 101 according to the first embodiment described above.
  • the CPU 202 sets the security level calculation policy 208 by executing the security level setting program 1302 stored in the memory 204.
  • the storage device 203 stores a security level template 1301 for setting the security level calculation policy 208.
  • Each of the above programs and data may be stored in the memory 204 or the storage device 203 in advance, or may be installed (loaded) from another device via the input / output device 205 or the IF 201 when necessary. Good.
  • FIG. 14 is a diagram showing an example of the security level template 1301.
  • the security level template 1301 includes a template ID 1401, a security standard 1402, and an observation item 1403.
  • the template ID 1401 represents information (identifier) that can uniquely identify the security level template.
  • the security standard 1402 indicates which security standard the security level template complies with, and stores, for example, “PCI DSS”, “cloud service level checklist”, and the like.
  • An observation item 1403 represents an item that must be observed in order to confirm the requirements defined in the security standard 1402.
  • observation items 1403 are preferably items that can be observed as observation results 500 by the sensor. However, among the requirements, for example, there are those that cannot acquire the observation result 500 by the sensor, such as “whether there is a communication process at the time of failure”. Regarding such requirements, the observation item 1403 may not be converted, or the observation result 500 may be periodically input by the service provider or service user using an interface such as WEB.
  • observation items used in contracts between service providers and service users may be prepared in advance as security templates.
  • the security level template 1301 is used when the security level setting program 1302 executed by the CPU 202 sets the security level calculation policy 208. Specific processing of the security level setting program 1302 will be described later with reference to FIG.
  • FIG. 15 shows an example of the security level calculation policy setting screen.
  • a security level calculation policy setting screen 1501 includes a form 1502 for inputting a user ID, a form 1503 for inputting an observation target, a form 1504 for selecting a security level template, and a form for transmitting input results. 1505.
  • a form 1501 for inputting a user ID represents which user ID is associated with the security policy to be set.
  • An observation target input form 1503 indicates which observation target is associated with the set security policy.
  • a security level template selection form 1504 indicates which security policy is selected, and displays a security standard 1402 of the security level template 1301 and an observation item 1403.
  • a form 1505 for transmitting an input result is a form for transmitting input or selected information to the security level setting program 1302.
  • the security level calculation policy setting screen 1501 is output by the security level setting program 1302 executed by the CPU 202. Specific processing of the security level setting program 1302 will be described later with reference to FIG.
  • FIG. 16 is a flowchart of policy setting processing.
  • the security level setting program 1302 for executing the policy setting process is executed by the CPU 202, and receives a user request for setting the security level calculation policy 208 via the IF 201 or from the input / output device 205.
  • the security level calculation policy setting screen 1501 is output to the input / output device of another device or the input / output device 205 via the network (step 1602).
  • the security level setting program 1302 receives the user input result via the IF 201 or from the input / output device 205 (step 1603).
  • the security level setting program 1302 analyzes the received input result, the information input in the form 1502 for inputting the user ID is set as the user ID 402, and the information input in the form 1503 for inputting the observation target is set as the configuration ID 403.
  • the information selected in the form 1504 for selecting the security level template is stored in the observation item 404 and the observation type 405, and the process is terminated (step 1604).
  • the security level visualization apparatus 101 sets the security level calculation policy 208 based on the input result of the security level calculation policy setting screen 1501 received by the IF 201 or the input / output apparatus 205.
  • the security level visualization apparatus 101 sets the security level calculation policy 208 based on the input result of the security level calculation policy setting screen 1501 received by the IF 201 or the input / output apparatus 205.
  • the security level for each service can be calculated and visualized in a system in which the service used for each user is different.
  • the present invention is not limited to the above-described embodiment as it is, and can be embodied by modifying the constituent elements without departing from the scope of the invention in the implementation stage.
  • various inventions can be formed by appropriately combining a plurality of constituent elements disclosed in the above embodiments. For example, some components may be deleted from all the components shown in the embodiment. Furthermore, constituent elements over different embodiments may be appropriately combined.
  • 101 Security level visualization device
  • 102 Data center A
  • Data center B Data center B
  • User environment 105 Network 207: configuration information data
  • 208 Security level calculation policy
  • 209 Observation information data
  • 210 Security level calculation program
  • 211 Security level visualization program
  • 212 Security level calculation table
  • 701 Security level visualization screen
  • 1301 Security level template
  • 1302 Security level setting program
  • 1501 Security level calculation policy setting screen.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Human Computer Interaction (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

 サービスごとにセキュリティレベルを算出し、可視化する。複数のセンサからサービスのセキュリティに関する情報を観測情報として受信し、受信した観測情報とセキュリティレベル算出ポリシから、サービスごとのセキュリティレベルを算出するセキュリティレベル算出手段と、セキュリティレベル算出手段が算出したセキュリティレベルとサービスの構成情報から、サービスごとのセキュリティレベルを出力するセキュリティレベル可視化手段とを備える。さらに、セキュリティレベル算出ポリシは、サービスと、サービスを利用している利用者と、サービスにおいて観測するべき観測項目を保持し、セキュリティレベル算出手段は、セキュリティレベル算出ポリシに基づき、サービスの利用者と、サービスごとにセキュリティレベルを算出する。

Description

セキュリティレベル可視化装置
 本発明は、ユーザごとに利用しているサービスが異なるシステムにおいて、サービスごとのセキュリティレベルを算出し、可視化する技術に関する。
 インターネットをベースとしたコンピュータの利用形態として、クラウドコンピューティング(以下、クラウドと表記する。)と呼ばれるものがある。これはネットワーク上に存在するサーバが提供するサービスを、それらのサーバを意識することなしに利用する利用形態である。従来のコンピュータの利用は、コンピュータのハードウェア、ソフトウェア、データなどを、ユーザが保有・管理しているのに対して、クラウドではハードウェア、ソフトウェア、データなどを、サービスを提供するサーバを保有する事業者が保有・管理している。ユーザは、クラウドを利用することにより、コンピュータの購入費用の抑制や、システム運用管理の手間からの解放というメリットを得ることができる。
 クラウドが提供するサービスは、SaaS(Software as a Service)、PaaS(Platform as a Service)、IaaS(Infrastructure as a Service)の3つに分けることができる。SaaSとは、ネットワークを介して必要なソフトウェア(機能)を必要な分だけサービスとして利用できるようにした利用形態であり、PaaSとは、ソフトウェアを構築および稼働させるための土台となるプラットフォームを、ネットワーク経由で提供する利用形態である。IaaSとは、コンピュータシステムを構築及び稼働させるためのハードウェア(基盤)そのものをネットワーク経由のサービスとして提供する利用形態である。
 クラウドを利用したサービスの提供が進展し、国民生活や社会経済活動を支える基盤インフラとなりつつある。
 一方、クラウドでは、システムを構成する機器(サーバ、ネットワーク、ストレージなど)やサービスの構成がダイナミックに変化したり、クラウドの利用者自身がシステムの物理的な構成を把握できなかったりするなど、各機器の状況の把握が困難である。この点がクラウドの利用を躊躇したり、クラウドには、重要なデータを預けないようにしたりする要因の一つとなっている。
 また、クラウド上の機器を利用してサービスを提供するSaaS提供者や、SaaS提供者のサービスを利用するSaaS利用者など、複数の種類の利用者がクラウドを利用している。
 これらのユーザが安心・安全にシステムを構成する機器やサービスを利用するためには、システムを構成する機器やサービスのセキュリティに関わる情報を収集・分析してリアルタイムに状況を把握する監視技術の確立が重要となる。
 例えば、特許文献1では情報システムの各セキュリティ機能の時間経過に対するセキュリティレベルSLを算出し、このセキュリティレベルSLを全部のセキュリティ機能に亘って加算して情報システム全体のセキュリティレベルSLGを算出するセキュリティレベル監視評価装置に関する記述がある。また、特許文献2では、顧客システムのセキュリティレベルを評価して、この評価結果に最適のセキュリティ関連商品やサービスを顧客に提案する業務支援装置に関する記述がある。
特開2008-176634号公報 特開2005-250803号公報
 クラウドでは複数の利用者が存在しており、利用者ごとにセキュリティポリシや、システムを構成している機器、サービスが異なるため、利用者が利用するサービスごとにセキュリティレベルを算出する必要がある。また、システムを構成する機器やサービスがダイナミックに変化するため、リアルタイムにセキュリティレベルを把握する必要がある。
 特許文献1においては、各セキュリティ機能あるいは、情報システム全体のセキュリティレベルは把握することができるが、サービスごとのセキュリティレベル把握については言及されていない。
 特許文献2においては、顧客が定期点検をした際のセキュリティレベルを把握することができるが、リアルタイムのセキュリティレベル把握については言及されていない。
 また、特許文献2では、一つの顧客(ユーザ)がシステムを利用することを想定しており、複数ユーザが存在するシステムではない。
 そこで、複数のユーザが存在するシステムにおいて、サービスごとのセキュリティレベルをリアルタイムに算出し、可視化できるシステムを提供することが本発明の目的である。
 開示するセキュリティレベル可視化システムは、複数のセンサからサービスのセキュリティに関する情報を観測情報として受信し、受信した観測情報と、セキュリティレベル可視化装置が保持しているセキュリティレベル算出ポリシから、サービスごとのセキュリティレベルを算出するセキュリティレベル算出手段と、セキュリティレベル算出手段が算出したサービスのセキュリティレベルと、セキュリティレベル可視化装置が保持しているサービスの構成情報から、サービスごとのセキュリティレベルを出力するセキュリティレベル可視化手段とを備える。
 セキュリティレベル算出ポリシは、サービスと、サービスを利用している利用者と、サービスにおいて観測するべき観測項目を保持し、セキュリティレベル算出手段は、セキュリティレベル算出ポリシに基づき、サービスの利用者と、サービスごとにセキュリティレベルを算出する。
 望ましい他の様態では、セキュリティレベル算出手段は、複数のセンサから受信した観測情報を観測項目と関連付けて記憶する。
 望ましい他の様態では、サービスがどのサービス上で稼働しているかの階層構成情報と、サービスがどのサービスに接続しているかの接続構成情報とを構成情報として保持し、セキュリティレベル可視化手段は、構成情報からサービス間の階層構成情報と、接続構成情報とを復元し、セキュリティレベル算出手段が算出したセキュリティレベルと併せて出力する。
 望ましい他の様態では、セキュリティレベル可視化手段は、セキュリティレベル算出手段が算出したセキュリティレベルと、セキュリティレベル算出手段がセキュリティレベルを算出する際に利用した観測情報とを併せて出力する。
 望ましい他の様態では、セキュリティレベル算出手段は、複数のセンサから受信する観測情報を記憶し、セキュリティレベル可視化手段は、複数のセンサから受信した観測情報を表示する。
 開示するセキュリティレベル可視化装置によれば、複数のユーザが存在するシステムにおいて、サービスごとのセキュリティレベルを算出し、可視化できる。
 また、開示するセキュリティレベル可視化装置によれば、ユーザが利用しているサービスの構成と、当該サービスのセキュリティレベルを併せて確認できる。
セキュリティレベル可視化装置を含むネットワーク構成例である。 実施例1のセキュリティレベル可視化装置の構成例である。 構成情報データの一例である。 セキュリティレベル算出ポリシの一例である。 観測情報の一例である。 観測情報データの一例である。 セキュリティレベル可視化画面の一例である。 セキュリティレベル可視化画面の一例である。 セキュリティレベル算出テーブルの一例である。 セキュリティレベル算出処理のフローチャートである。 セキュリティレベル可視化処理のフローチャートである。 セキュリティレベル可視化画面の変形例である。 実施例2のセキュリティレベル可視化装置の構成例である。 実施例2のセキュリティレベルテンプレートの一例である。 実施例2のセキュリティレベル算出ポリシ設定画面の一例である。 実施例2のポリシ設定処理のフローチャートである。 本発明の処理の概要である。
 複数のユーザが存在するシステムにおいては、ユーザごとにセキュリティポリシや、システムを構成する機器、サービスが異なっている。例えば、クラウド上の機器を利用してサービスを提供するサービス提供者は、クラウド上の機器のセキュリティレベルや自分が提供しているサービスのセキュリティレベルを把握したい。また、サービス提供者のサービスを利用するサービス利用者はクラウド上の機器のセキュリティレベルに関しては知る必要がなく、提供されているサービスのセキュリティレベルを知りたい。また、サービス提供者に機器を提供している、クラウド事業者は自身が管理しているデータセンタを構成している機器のセキュリティレベルを知りたい、といった要求が存在する。
 すなわち、利用者ごとに関心のある機器やサービスが異なっている。
 本実施形態では、利用者ごとのセキュリティレベル算出ポリシを利用することで、利用者ごとのセキュリティレベルを算出し、可視化する。実施例1では、この点に着目し、観測データの取得、セキュリティレベルの算出、セキュリティレベルの表示について説明する。
 実施例2では、セキュリティレベルテンプレートを利用したセキュリティレベル算出ポリシの設定について説明する。
 図1に、本実施例におけるセキュリティレベルの算出、可視化を行うセキュリティレベル可視化装置を含むネットワークの構成例を示す。
 セキュリティレベル可視化装置101は、データセンタA102、データセンタB103、利用者環境104aとネットワーク105を介して接続しており、セキュリティレベル算出ポリシに基づき、データセンタA102及び/または、データセンタB103に存在する機器及び/またはサービスのセキュリティレベルを算出し、可視化する。セキュリティレベル算出ポリシの具体的な内容については図4を用いて後述する。
 ネットワーク105は、例えば、イントラネットやインターネットなどのネットワーク、あるいはこれらに接続するための通信網である。
 データセンタA102は、ルータA106、サーバA107、サーバB108、利用者環境104b、センサ122bから構成されており、サーバA107上では、ホストA109、ホストB110が、サーバB108上ではホストC111、センサ122dがそれぞれ稼働している。さらに、ホストA109上では、アプリA112、アプリB113が、ホストB110上では、アプリC114が、ホストC111上ではアプリD115、センサ122cがそれぞれ稼働している。
 また、データセンタB103は、ルータB116、サーバC117から構成されており、サーバC117上では、ホストD118が稼働している。さらに、ホストD118上では、アプリE119が稼働している。
 なお、符号104aや104bを区別しないときには、104と、122aや122b、122c、122dを区別しないときには、122と表記する。
 ここで、サーバとはハイパーバイザなどの仮想化技術が搭載されたコンピュータを表し、ホストとはサーバ上で稼働している仮想機械(仮想計算機)を表す。また、アプリとは、ホスト上で実行されているプログラムを表しており、様々なサービスを提供している。
 センサとは、セキュリティレベルの算出に必要な情報を収集するエージェントを表しており、サービス提供者(SaaS提供者、PaaS提供者、IaaS提供者)がデータセンタや利用者環境に設置する。
 例えば、アプリA112の応答速度を観測するセンサ122aは、利用者環境104a内に設置され、定期的(例えば10秒毎)にアプリA112に接続する。センサ122aはアプリA112からの応答を受信すると、接続から応答までに要した時間を観測し、観測情報としてセキュリティレベル可視化装置101に送信する。観測情報の具体的な内容については図5を用いて後述する。
 センサには、そのほか、利用者数を観測するセンサや、トラフィック量を観測するセンサ、CPUやメモリ、ディスクの使用率を観測するセンサ、通信や蓄積データが暗号化されているか否かを観測するセンサ、パッチが当てられているか否かを観測するセンサ、ウイルス対策ソフトが稼働しているか否かを観測するセンサ、証明書が有効か否かを観測するセンサ、マルチテナントになっているか否かを観測するセンサなどが挙げられる。なお、センサ122は既存の製品などを利用して実現されてもよい。
 また、センサ122の実現方法として、ハードウェアで構成されたセンサ122a、122b、仮想機械で構成されたセンサ122d、ソフトウェアで構成されたセンサ122cなどが挙げられる。
 なお、説明を簡単にするためデータセンタがルータ、センサ及びサーバから構成される例を示したが、そのほか、FWやIDS、負荷分散装置などを含んで、データセンタを構成しても良い。また、データセンタA及びデータセンタBは地理的に異なった場所に存在しても良い。
 利用者環境104は、コンピュータ120、ユーザ121から構成される環境である。ユーザ121はコンピュータ120を操作し、セキュリティレベル可視化装置101、データセンタA102、データセンタB103に接続する。
 クラウド上の機器を利用してサービスを提供するサービス提供者や、サービス提供者のサービスを利用するサービス利用者など、複数の種類のユーザ121がクラウドを利用している。
 ユーザA121aはアプリA112、アプリB113、アプリC114を利用しているSaaS利用者であり、ユーザB121bはアプリA112、アプリB113、アプリC114を提供しているSaaS提供者であると同時に、ホストA109、ホストB110を利用しているPaaS利用者である。また、ユーザC121cはアプリD115、アプリE119を利用しているSaaS利用者であり、ユーザD121dはデータセンタA102を管理しているPaaS及びIaaS提供者である。すなわち、ユーザD121dはユーザB121bにホストA109及びホストB110を提供し、ユーザB121bは提供されたホストA109上にアプリA112、アプリB113を、ホストB110上にアプリC114を構築し、サービスとしてユーザA121aに提供している。
 ユーザ121が操作するコンピュータ120は一台で表しているが、ユーザごとに用意しても良い。
 図2に、サービスごとのセキュリティレベルを算出、可視化するセキュリティレベル可視化装置101の構成例を示す。セキュリティレベル可視化装置101は、CPU202と、CPU202が処理を実行するために必要なデータを格納するためのメモリ204と、大量のデータを記憶する容量を持つハードディスクやフラッシュメモリなどの記憶装置203と、他装置と通信を行なうためのIF(インタフェース)201と、キーボード、ディスプレイなどの入出力を行なうための入出力装置205と、これらの各装置を接続する通信路(バス)206とを備えたコンピュータである。
 CPU202は、メモリ204に格納されたセキュリティレベル算出プログラム210を実行することによりセキュリティレベルの算出を、セキュリティレベル可視化プログラム211を実行することによりセキュリティレベルの可視化を行なう。記憶装置203には、機器やサービスなどの構成情報を把握するための構成情報データ207、セキュリティレベル算出のためのポリシであるセキュリティレベル算出ポリシ208、センサ122が送信する観測結果を記録する観測情報データ209が格納されている。メモリ204には、セキュリティレベルを算出するためのセキュリティレベル算出テーブル212が格納されている。
 上記の各プログラムやデータは、あらかじめメモリ204または記憶装置203に格納されていてもよいし、必要な時に、入出力装置205からまたは、IF201を介して他の装置から、インストール(ロード)されてもよい。
 ここで、図17を用いて本発明の処理の概要を説明する。
 複数のセンサ122からサービスのセキュリティに関する観測情報209を受信し、受信した観測情報と、セキュリティレベル可視化装置が保持しているセキュリティレベル算出ポリシ208から、サービスごとのセキュリティレベルを算出する(210)。利用者、サービス毎に算出されたセキュリティレベルと、各サービス(アプリ112,113,115,119)から取得したサービスの構成情報とから、サービスごとのセキュリティレベルを可視化する(211)。
 セキュリティレベル算出ポリシは、サービスと、サービスを利用している利用者と、サービスにおいて観測すべき観測項目を保持し、サービスの構成情報は、サービスがどのサービス上で稼働しているかを示す階層構成情報と、サービスがどのサービスに接続しているかの接続構成情報とを保持している。さらに、可視化211の際には、複数のセンサから受信した観測情報が表示される。
 図3は、構成情報データ207の一例を示す図である。図3に示すように、構成情報データ207は、構成ID301と、下位構成302と、接続構成303とを含む。構成ID301は、例えば、ルータやサーバ、ホスト、アプリなどのシステムを構成する機器やサービスを一意に識別できる情報(識別子)を表す。なお、構成ID301は複数のデータセンタが存在しても、機器やサービスを一意に識別できる情報である。例えば、データセンタのIDなどを含めてもよい。
 下位構成302は、どの機器、あるいはサービスの上で稼働しているかを表す。例えば、図1におけるホストA109は、サーバA107の上で稼働しているため、ホストA109の下位構成はサーバA107となる。
 接続構成304は、どの機器、あるいはサービスと接続しているかを表す。例えば、図1におけるルータA106はサーバA107、サーバB108と接続しているため、ルータA106の接続構成は、サーバA107、サーバB108となる。
 構成情報データ207に格納される構成情報は、サービス提供者(SaaS提供者、PaaS提供者、IaaS提供者)が、必要に応じて、入力または更新する。例えば、図3に示した構成ID301が「ルータA」「サーバA」「サーバB」「ホストA」「ホストB」「ホストC」の構成情報は、ユーザD121d(データセンタAを管理しているPaaS及びIaaS提供者)により入力される。また、構成ID301が「アプリA」「アプリB」「アプリC」の構成情報は、ユーザB121b(アプリA、アプリB、アプリCを提供しているSaaS提供者)により入力される。
 なお、構成情報をサービス利用者に知られたくないサービスについては、構成情報データ207に格納しなくてもよいし、あるいは、フラグなどの補助データを付与し、サービス利用者からのアクセスを拒否してもよい。
 構成情報データ207は、CPU202により実行されるセキュリティレベル可視化プログラム211が、画面を表示する際に利用される。セキュリティレベル可視化プログラム211の具体的な処理については、図11を用いて後述する。
 なお、下位構成303は、どの機器、あるいはサービスを稼働させているかを表す上位構成としても良い。この場合、図1におけるホストA109上では、アプリA112、アプリB113が稼働しているため、ホストA109の上位構成はアプリA112、アプリB113となる。
図4は、セキュリティレベル算出ポリシ208の一例を示す図である。図4に示すように、セキュリティレベル算出ポリシ208は、ポリシID401と、ユーザID402と、構成ID403と、観測項目404と、観測種別405とを含む。ポリシID401はセキュリティレベル算出ポリシを一意に識別できる情報(識別子)を表す。
 ユーザID402はユーザ121を一意に識別できる情報(識別子)を表す。
 構成ID403は、例えば、ルータやサーバ、ホスト、アプリなどのシステムを構成する機器やサービスを一意に識別できる情報(識別子)を表しており、構成情報データ207の構成ID403と同じ情報(識別子)を利用する。
 観測項目404は、どのような項目を観測するかを表す。例えば、「応答速度が閾値以下か」「利用者数が閾値以下か」「トラフィック量が閾値以下か」「CPU使用率が閾値以下か」「メモリ使用率が閾値以下か」「ディスク使用率が閾値以下か」「通信が暗号化されているか」「蓄積データが暗号化されているか」「パッチがあてられているか」「ウイルス対策ソフトが稼働しているか」「証明書が有効か」「マルチテナントになっていないか」などが挙げられる。
 観測種別405は観測項目404が、どのような観点(基準)で観測しているかを表す。例えば、「安全性」や「可用性」などが挙げられる。
 セキュリティレベル算出ポリシ208に格納されるセキュリティレベル算出ポリシは、サービス提供者(SaaS提供者、PaaS提供者、IaaS提供者)が、必要に応じて、入力または更新する。例えば、図4に示したポリシID401が「1」~「7」のセキュリティレベル算出ポリシは、ユーザB121b(アプリA、アプリB、アプリCを提供しているSaaS提供者)により入力される。また、ポリシID401が「8」~「17」のセキュリティレベル算出ポリシは、ユーザD121d(データセンタAを管理しているPaaS及びIaaS提供者)により入力される。
 ここで、セキュリティレベルは、サービス提供者が、自身のサービスを利用しているサービス利用者へ向けて、自身の提供しているサービスがどれだけのセキュリティレベルを確保(保証)しているかを表す。サービス提供者とサービス利用者との間の契約などにより、観測項目が異なってくるため、サービス提供者ごとにセキュリティレベル算出ポリシを定める必要がある。
 セキュリティレベル算出ポリシ208に基づき、リアルタイムにサービスのセキュリティレベルが算出、可視化される。サービス利用者は、可視化されたセキュリティレベルを確認することにより、サービス提供者が提供しているサービスが適切なセキュリティレベルを確保しているかどうか把握することが可能となる。
 図4を用いて具体的に説明する。例えば、ユーザB121bが、「アプリAは応答速度が20msec以下で、通信及び蓄積データを暗号化する」という契約を、ユーザA121aと交わしている際には、ポリシID401が「1」、「2」及び「3」のセキュリティレベル算出ポリシを登録することとなる。
 セキュリティレベル算出ポリシ208は、CPU202により実行されるセキュリティレベル算出プログラム210が、サービスごとのセキュリティレベルを算出する際に利用される。セキュリティレベル算出プログラム210の具体的な処理については、図10を用いて後述する。
 なお、新たなユーザ121がシステムを利用する場合には、セキュリティレベル算出ポリシ208に、新たなユーザ121用のセキュリティレベル算出ポリシを追加することで対応する。また、ユーザ121がシステムを利用しなくなった場合には、セキュリティレベル算出ポリシ208から、当該ユーザに関するセキュリティレベル算出ポリシを削除することで対応する。さらに、ユーザが利用しているサービスの構成が変化した場合にも、セキュリティレベル算出ポリシ208を更新することで対応可能となる。
 図5は、センサがセキュリティレベル可視化装置101に送信する観測情報500の一例を示す図である。図5に示すように、観測情報は、日時501と、観測対象502と、観測項目503と、観測結果504と、センサID505とを含む。日時501は、センサ122が観測した日時を表す。
 観測対象502は、どの機器、サービスを観測の対象としているかを表し、構成情報データ207の構成ID301と同一の情報である。
 観測項目503はどのような項目を観測しているかを表し、観測結果504は、観測項目503の観測結果を表す。
 センサID505はセンサ122を一意に識別できる情報(識別子)を表す。
 図6は、観測情報データ209の一例を示す図である。図6に示すように、観測情報データ209は、日時601と、観測対象602と、観測項目603と、観測結果604と、センサID605とを含む。観測情報データ209は、センサから受信した観測情報500を格納したデータであり、日時601は、観測情報500の日時501を、観測対象602は、観測情報500の観測対象502を、観測項目603は、観測情報500の観測項目503を、観測結果604は、観測情報500の観測結果504を、センサID605は、観測情報500のセンサID505を、それぞれ格納している。
 観測情報データ209は、CPU202により実行されるセキュリティレベル可視化プログラム211が、画面を表示する際に利用される。セキュリティレベル可視化プログラム211の具体的な処理については、図11を用いて後述する。
 図7に、セキュリティレベル可視化画面の一例を示す。図7に示すように、セキュリティレベル可視化画面701は、ユーザIDを表示する領域702と、構成情報及びセキュリティレベルを表示する領域703とを含む。ユーザIDを表示する領域702は、どのユーザIDのセキュリティレベルを可視化しているかを表す。構成情報及びセキュリティレベルを表示する領域703は、ユーザIDを表示する領域702に表示してあるユーザの観測対象のサービスと、当該サービスのセキュリティレベルを表す。画面701aはユーザA121a向けのセキュリティレベル可視化画面であり、画面701bはユーザB121b向け、画面701cはユーザC121c向け、画面701dはユーザD121d向けの可視化画面を表す。可視化画面701は、ユーザごとに画面構成が異なり、ユーザが関心のある機器、サービスのセキュリティレベルが表示される。
 例えば、ユーザB121bはホストA109、ホストB110のサービス利用者であり、アプリA112、アプリB113、アプリC114のサービス提供者であるので、ホストA109、ホストB110、アプリA112、アプリB113、アプリC114のセキュリティレベルが表示される。また、アプリA112、アプリB113はホストA109上で、アプリC114はホストB110上で稼働しているため、可視化画面701bに示すように、ホストA109の内部にアプリA112とアプリB113のセキュリティレベルが、ホストB110の内部にアプリC114のセキュリティレベルが可視化される。
 このように、構成情報と併せてセキュリティレベルを可視化することにより、セキュリティレベルの依存関係が把握しやすくなる。例えば、アプリA112の可用性レベルが低下した際に、ホストA109の可用性レベルも低下していれば、アプリA112の可用性レベルが低下したのはホストA109の可用性レベルが低下したためであり、ホストA109に対策を講じることでアプリA112の可用性レベルも向上すると考えられる。
 なお、CPU202により実行されるセキュリティレベル算出プログラム210が、サービスごとのセキュリティレベルを算出する。セキュリティレベル算出プログラム210の具体的な処理については、図10を用いて後述する。
 また、CPU202により実行されるセキュリティレベル可視化プログラム211が、構成情報データ207を基に可視化画面701を表示する。セキュリティレベル可視化プログラム211の具体的な処理については、図11を用いて後述する。
 図8に、セキュリティレベル可視化画面の一例を示す。可視化画面801はセキュリティレベルを算出した根拠を表示する画面である。観測情報データ209を利用し、現在の観測結果604の情報や、観測結果604の時系列変化を表示している。
 例えば、アプリA112の安全性レベルが2となった理由は、「通信が暗号化されている」「蓄積データが暗号化されていない」からであり、可用性レベルが3となった理由は、「応答速度が20msec以下」からである。可視化画面701a上の「アプリA」と書かれた領域をクリックすることで可視化画面801が表示される。
 図9は、セキュリティレベル算出テーブル212の一例を示す図である。図9に示すように、セキュリティレベル算出テーブル212は、ポリシID901と、観測結果902とを含む。ポリシID901はセキュリティレベル算出ポリシ208のポリシID201を表す。
 観測結果902は観測情報500の観測結果504がセキュリティレベル算出ポリシ208の観測項目404を満たしているか否かを表し、満たしている場合には「1」を、満たしていない場合には「0」を格納する。
 なお、CPU202により実行されるセキュリティレベル算出プログラム210が、セキュリティレベル算出テーブルを更新する。セキュリティレベル算出プログラム210の具体的な処理については、図10を用いて後述する。
 続いて、セキュリティレベル可視化装置101のセキュリティレベル算出プログラム210が観測情報500を受信し、セキュリティレベルを算出する処理(以下、セキュリティレベル算出処理と呼ぶ。)について説明する。図10は、セキュリティレベル算出処理210のフローチャートである。
 図10に示すように、セキュリティレベル算出処理を実行するセキュリティレベル算出プログラム210は、CPU202により実行され、IF201を介して観測情報500を受信し(ステップ1001)、受信した観測情報500を観測情報データ209に格納する(ステップ1002)。
 セキュリティレベル算出プログラム210は、受信した観測情報500の観測対象502及び観測項目503が、セキュリティレベル算出ポリシ208の構成ID403及び観測項目404に該当する場合、ステップ1004に進み、該当するセキュリティレベル算出ポリシ208が存在しない場合は処理を終了する(ステップ1003)。
 セキュリティレベル算出プログラム210は、受信した観測情報500が該当するセキュリティレベル算出ポリシのポリシID401と観測結果を、セキュリティレベル算出テーブル212に格納する(ステップ1004)。
 ステップ1001からステップ1004までのセキュリティレベル算出処理の流れを、具体例を用いて説明する。例えば、日時501が「2010/12/21 10:00:00」、観測対象502が「アプリA」、観測項目503が「応答速度」、観測結果504が「15msec」、センサID505が「1」の観測情報500を受信した場合、セキュリティレベル算出プログラム210は当該観測情報500とセキュリティレベル算出ポリシ208の構成ID403及び観測項目404との比較を行う。この場合、当該観測情報500は、ポリシID401「1」の構成ID403「アプリA」、観測項目404「応答速度が20msec以下か」に該当する。次に、セキュリティレベル算出プログラム210は観測情報500の観測結果504が観測項目404を満たしているか否かの確認を行う。この場合、当該観測結果500の観測結果「15msec」はポリシID401が「1」の観測項目404「応答速度が20msec以下か」を満たしているため、セキュリティレベル算出テーブル212の、ポリシID901に「1」を、観測結果902に「1」を格納する。
 セキュリティレベル算出プログラム210は、セキュリティレベル算出ポリシ208とセキュリティレベル算出テーブル212を用いて、更新のあったポリシID901のサービスごとのセキュリティレベルを算出(ステップ1005)する。セキュリティレベルの算出は、セキュリティレベル算出ポリシ208のユーザID402、構成ID403、観測種別405ごとに予め定めた関数を利用する。例えば、(ユーザID402、構成ID403、観測種別405が等しいポリシID401に対応する観測結果902の総和)/(ユーザID402、構成ID403、観測種別405が等しいポリシID401の総数)×4を用いる(なお、4を乗算しているのは、セキュリティレベルを0~4の範囲に収めるためである)。なお、上記の関数では、上記の計算によって得られた値の小数点以下を四捨五入等により、セキュリティレベルの値が整数となるように整数化を行うこともできる。
 例えば、ステップ1004でポリシID901が「1」のセキュリティレベル算出テーブル212が更新された場合、該当するセキュリティレベル算出ポリシ208のポリシID401が「1」のユーザID402、構成ID403、観測種別405に該当するポリシID401の総数を確認する。この場合、ユーザID402が「ユーザA」、構成ID403が「アプリA」、観測種別405が「可用性」であり、これらに該当するセキュリティレベル算出ポリシ208はポリシID401が「1」のセキュリティレベル算出ポリシだけであるため、ユーザID402、構成ID403、観測種別405が等しいポリシID401の総数は1となる。また、この時、ユーザID402、構成ID403、観測種別405が等しいポリシID401に対応する観測結果902の総和も1であるため、「ユーザA向けアプリAの可用性」セキュリティレベルは1/1×4=4となる。
 同様に、ステップ1004でポリシID901が「3」のセキュリティレベル算出テーブル212が更新された場合についても説明する。この場合、セキュリティレベル算出ポリシ208のポリシID401が「3」のユーザID402は「ユーザA」、構成ID403は「アプリA」、観測種別405は「安全性」であり、これらに該当するセキュリティレベル算出ポリシ208は、ポリシID401が「2」のセキュリティレベル算出ポリシと、ポリシID401が「3」のセキュリティレベル算出ポリシである。このため、ユーザID402、構成ID403、観測種別405が等しいポリシID401の総数は2となる。この時、ユーザID402、構成ID403、観測種別405が等しいポリシID401に対応する観測結果902の総和は1であるため、「ユーザA向けアプリAの安全性」セキュリティレベルは1/2×4=2となる。
 セキュリティレベル算出プログラム210は、算出したセキュリティレベルをメモリ204に格納し処理1003に戻る(ステップ1006)。
 続いて、セキュリティレベル可視化装置101のセキュリティレベル可視化プログラム211がユーザからのリクエストを受信し、サービスごとのセキュリティレベルを可視化する処理(以下、可視化処理と呼ぶ。)について説明する。図11は、可視化処理211のフローチャートである。
 図11に示すように、可視化処理を実行するセキュリティレベル可視化プログラム211は、CPU202により実行され、IF201を介して、または入出力装置205からユーザからの可視化リクエストを受信する(ステップ1101)。なお、ユーザからのリクエストには少なくともユーザを識別するためのユーザIDが含まれている。
 セキュリティレベル可視化プログラム211は、ユーザからのリクエストに含まれているユーザIDを、セキュリティレベル算出ポリシ208のユーザID402と比較し該当するユーザID402が存在すればステップ1103に進み、存在しなければ可視化処理を終了する(ステップ1102)。
 セキュリティレベル可視化プログラム211は、受信したリクエストに該当するユーザID402の構成ID403及び観測種別405ごとのセキュリティレベルをメモリ204から取得する(ステップ1103)。例えば、ユーザIDが「ユーザB」であるユーザから可視化リクエストを受信した場合、「ユーザB向けアプリAの可用性」「ユーザB向けアプリAの安全性」「ユーザB向けアプリBの可用性」「ユーザB向けアプリBの安全性」「ユーザB向けアプリCの可用性」「ユーザB向けアプリCの安全性」「ユーザB向けホストAの可用性」「ユーザB向けホストAの安全性」「ユーザB向けホストBの可用性」「ユーザB向けホストBの安全性」の10種類のセキュリティレベルをメモリ204から取得する。
 セキュリティレベル可視化プログラム211は、受信したリクエストに該当するユーザID402の構成ID403の構成情報(下位構成302及び接続構成303)を構成情報データ207から取得する(ステップ1104)。例えば、ユーザIDが「ユーザB」であるユーザから可視化リクエストを受信した場合、構成情報ID403には「アプリA」「アプリB」「アプリC」「ホストA」「ホストB」が含まれており、これらの構成情報を構成情報データ207から取得する。この時、構成ID301が「アプリA」の下位構成302は「ホストA」、構成ID301が「アプリB」の下位構成302は「ホストA」、構成ID301が「アプリC」の下位構成302は「ホストB」であることが取得できる。また、構成ID301が「ホストA」の接続構成303は「サーバA」であり、構成ID301が「ホストB」の接続構成303も「サーバA」であることから、「ホストA」及び「ホストB」は接続関係にあることが把握できる。
 セキュリティレベル可視化プログラム211は、ステップ1103で取得したセキュリティレベルと、ステップ1104で取得した構成情報を、ネットワークを介して他の装置の入出力装置に、または入出力装置205に出力する(ステップ1105)。例えば、ユーザIDが「ユーザB」であるユーザから可視化リクエストを受信した場合、ステップ1104で取得した構成情報より、「ホストA」と「ホストB」を接続していることを表す線で結合し、さらに「ホストA」の内部に「アプリA」「アプリB」を、「ホストB」の内部に「アプリC」を表示する。さらに、ステップ1103で取得したセキュリティレベルを表示する。このような処理により、画面701に示した可視化画面が表示される。
 セキュリティレベル可視化プログラム211は、可視化画面701の構成ID403表示領域をクリックされると、ステップ1107に進み、クリックされなければ可視化処理を終了する(ステップ1106)。
 セキュリティレベル可視化プログラム211は、受信したリクエストに該当するユーザID402と、クリックされた構成ID403に該当するセキュリティレベル算出ポリシのポリシID401を抽出し、セキュリティレベル算出テーブル212から当該ポリシID401に該当する観測結果902を、ネットワークを介して他の装置の入出力装置に、または入出力装置205に出力する。さらに、観測情報データ207から過去の観測情報を取得し、時系列変化を出力し、可視化処理を終了する(ステップ1107)。
 このように、システムのセキュリティレベルを算出、可視化するセキュリティレベル可視化装置において、セキュリティレベル可視化装置101のセキュリティレベル算出プログラム210が、IF201を介して受信した観測情報500を、観測情報データ207に格納し、セキュリティレベル算出ポリシ208に従って、セキュリティレベルを算出し、セキュリティレベル可視化プログラム211が、ユーザからのリクエストを受信し、セキュリティレベル算出ポリシ208と、構成情報データ207からセキュリティレベル可視化画面を出力することで、ユーザごとに関心のあるセキュリティレベルを表示することが可能となる。
 なお、本実施例の一部を変更して、次のように実施してもよい。セキュリティレベル算出プログラム210のステップ1005において、セキュリティレベル算出ポリシ208のユーザID402、観測種別405ごとに予め定めた関数を利用してセキュリティレベルを算出し、セキュリティレベル可視化プログラム211のステップ1103において、受信したリクエストに該当するユーザID402の観測種別405ごとのセキュリティレベルをメモリ204から取得する。例えば、セキュリティレベルの算出には、(ユーザID402、観測種別405が等しいポリシID401に対応する観測結果902の総和)/(ユーザID402、観測種別405が等しいポリシID401の総数)×4を用いる。これにより構成情報の取得(ステップ1104)を省略することができ、さらに、ユーザが利用する(または提供する)サービス全体に亘ったセキュリティレベルを把握することができる。
 また、セキュリティレベル可視化装置101をデータセンタA102内及び、データセンタB103内に構成する。これにより、データセンタ内で観測した観測情報がデータセンタ外に流れることがなく、観測情報が漏えいするリスクを軽減することができる。
 また、図12に示すように、可視化画面701を可視化画面1201aまたは、可視化画面1201bのように表示する。可視化画面1201aは、下位構成302の情報のみから表示することができる。これにより、接続構成303の接続関係復元に係る負荷を軽減することができる。可視化画面1201bは、テキストによる表示である。これにより、表示に係る負荷を軽減することができる。
 また、セキュリティレベル算出ポリシ208を、サービス利用者が設定してもよい。例えば、ユーザB121bが設定したユーザA121a用のセキュリティレベル算出ポリシ208を、ユーザA121aが更新し、ポリシID401が「4」~「7」のセキュリティレベル算出ポリシ208を削除すると、ユーザA121aは「アプリA」に関するセキュリティレベルのみを知ることができる。これにより、セキュリティレベル算出プログラム210のセキュリティレベル算出に係る負荷を軽減することができる。
 本実施例は、実施例1のセキュリティレベル可視化装置を含み、さらにセキュリティレベルテンプレートを用いたセキュリティレベル算出ポリシの設定を実行するセキュリティレベル可視化装置である。
 実施例1では、セキュリティレベル算出ポリシ208をサービス提供者が設定する。つまり、どのようなセキュリティレベル算出ポリシ208を設定するかは、サービス提供者に任されることとなり、サービス提供者の負荷が増大することが考えられる。また、セキュリティレベル算出ポリシ208の設定には、セキュリティに関する専門的な知識が必要となる場合もある。
 そこで、実施例2では、セキュリティレベル算出ポリシのテンプレートを保持したセキュリティレベル可視化装置を説明する。このセキュリティレベルテンプレートを活用することで、サービス提供者のセキュリティレベル算出ポリシ208設定の負担が軽減され、統一的な基準でセキュリティレベルを確認することができる。
 なお、セキュリティレベル算出ポリシのテンプレートとして、例えば、「PCI DSS(Payment Card Industry Data Security Standard)」や「クラウドサービスレベルのチェックリスト」などが利用できる。PCI DSSとは、クレジットカード情報および取引を保護するために、クレジット業界で利用されているセキュリティ基準である。また、クラウドサービスレベルのチェックリストとは、クラウドを利用するにあたって適切な取引関係を確保し、より効果的に利用することを目的として、経済産業省が作成したチェックリストである。
 図13は、本実施例におけるセキュリティレベル可視化装置101の構成図の例である。実施例1と同一の構成要素には同一の符号を付すことによってその説明を省略し、以下では、実施例1と異なる点を中心に説明する。
 図13に示すように、実施例2におけるセキュリティレベル可視化査装置101は、既に説明した実施例1のセキュリティレベル可視化装置101に、セキュリティレベルテンプレート1301と、セキュリティレベル設定プログラム1302とを含んで構成される。
 CPU202は、メモリ204に格納されたセキュリティレベル設定プログラム1302を実行することによりセキュリティレベル算出ポリシ208の設定を行う。記憶装置203には、セキュリティレベル算出ポリシ208の設定を行うためのセキュリティレベルテンプレート1301格納されている。
 上記の各プログラムやデータは、あらかじめメモリ204または記憶装置203に格納されていてもよいし、必要な時に、入出力装置205または、IF201を介して他の装置から、インストール(ロード)されてもよい。
 図14は、セキュリティレベルテンプレート1301の一例を示す図である。図14に示すように、セキュリティレベルテンプレート1301は、テンプレートID1401と、セキュリティ基準1402と、観測項目1403とを含む。テンプレートID1401は、セキュリティレベルテンプレートを一意に識別できる情報(識別子)を表している。セキュリティ基準1402は、セキュリティレベルテンプレートがどのセキュリティ基準に従ったものかを表しており、例えば、「PCI DSS」「クラウドサービスレベルのチェックリスト」などを格納する。観測項目1403はセキュリティ基準1402に定められた要件を確認するために、観測しなければならない項目を表す。
 例えば、「PCI DSS」のセキュリティ基準を満たすためには、「ファイアウォールが導入されているか」「DMZが導入されているか」「許可されたものを除くトラフィックを拒否しているか」「不要なアカウントを削除しているか」「無線ベンダのデフォルト値を変更しているか」などを観測項目1403として設定する。
 これらの観測項目1403は、センサで観測結果500として観測できる項目であることが望ましい。しかし、要件の中には、例えば、「障害時の連絡プロセスが存在するか」といった、センサでは観測結果500を取得できないものも存在する。そのような要件に関しては、観測項目1403に変換しない、あるいは、観測結果500を、サービス提供者あるいは、サービス利用者がWEBなどのインタフェースを利用して、定期的に入力しても良い。
 なお、ここで示したセキュリティ基準以外にも、サービス提供者とサービス利用者との間で交わされる契約などで利用される観測項目を予めセキュリティテンプレートとして準備しておいてもよい。
 セキュリティレベルテンプレート1301は、CPU202により実行されるセキュリティレベル設定プログラム1302が、セキュリティレベル算出ポリシ208を設定する際に利用される。セキュリティレベル設定プログラム1302の具体的な処理については、図16を用いて後述する。
 図15に、セキュリティレベル算出ポリシ設定画面の一例を示す。図15に示すように、セキュリティレベル算出ポリシ設定画面1501は、ユーザIDを入力するフォーム1502と、観測対象を入力するフォーム1503と、セキュリティレベルテンプレートを選択するフォーム1504と、入力結果を送信するフォーム1505とを含む。ユーザIDを入力するフォーム1501には、設定するセキュリティポリシをどのユーザIDに対応付けるかを表す。観測対象を入力するフォーム1503は、設定するセキュリティポリシをどの観測対象に対応付けるかを表す。セキュリティレベルテンプレートを選択するフォーム1504は、どのセキュリティポリシを選択するかを表しており、セキュリティレベルテンプレート1301のセキュリティ基準1402と、観測項目1403が表示される。入力結果を送信するフォーム1505は、入力あるいは選択された情報をセキュリティレベル設定プログラム1302に送信するフォームである。
 セキュリティレベル算出ポリシ設定画面1501は、CPU202により実行されるセキュリティレベル設定プログラム1302が出力する。セキュリティレベル設定プログラム1302の具体的な処理については、図16を用いて後述する。
 続いて、セキュリティレベル可視化装置101のセキュリティレベル設定プログラム1302がユーザからのリクエストを受信し、セキュリティレベル算出ポリシ208を設定する処理(以下、ポリシ設定処理と呼ぶ。)について説明する。図16は、ポリシ設定処理のフローチャートである。
 図16に示すように、ポリシ設定処理を実行するセキュリティレベル設定プログラム1302は、CPU202により実行され、IF201を介して、または入出力装置205から、セキュリティレベル算出ポリシ208の設定を行うユーザのリクエストを受信し(ステップ1601)、セキュリティレベル算出ポリシ設定画面1501を、ネットワークを介して他の装置の入出力装置に、または入出力装置205に出力する(ステップ1602)。
 ユーザがセキュリティレベル算出ポリシ設定画面1501の入力を行い、入力結果を送信すると、セキュリティレベル設定プログラム1302は、IF201を介して、または入出力装置205からユーザの入力結果を受信する(ステップ1603)。
 セキュリティレベル設定プログラム1302は、受信した入力結果を解析し、ユーザIDを入力するフォーム1502に入力されている情報をユーザID402に、観測対象を入力するフォーム1503に入力されている情報を構成ID403に、セキュリティレベルテンプレートを選択するフォーム1504で選択されている情報を観測項目404及び観測種別405に格納し、処理を終了する(ステップ1604)。
 このように、実施例2によれば、セキュリティレベル可視化装置101は、IF201または、入出力装置205が受信したセキュリティレベル算出ポリシ設定画面1501の入力結果から、セキュリティレベル算出ポリシ208の設定をおこなうことで、ユーザのセキュリティレベル算出ポリシ設定の負荷を軽減し、統一的なセキュリティ基準に従ったセキュリティレベルの算出が可能となる。
 以上説明したセキュリティレベル可視化装置によれば、ユーザごとに利用しているサービスが異なるシステムにおいて、サービスごとのセキュリティレベルを算出し、可視化できる。
 本発明は、上記実施の形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化することができる。また、上記実施の形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成することができる。例えば、実施の形態に示される全構成要素からいくつかの構成要素を削除してもよい。さらに、異なる実施の形態にわたる構成要素を適宜組み合わせても良い。
101:セキュリティレベル可視化装置、
102:データセンタA、
103:データセンタB、
104:利用者環境、
105:ネットワーク、
207:構成情報データ、
208:セキュリティレベル算出ポリシ、
209:観測情報データ、
210:セキュリティレベル算出プログラム、
211:セキュリティレベル可視化プログラム、
212:セキュリティレベル算出テーブル、
701:セキュリティレベル可視化画面、
1301:セキュリティレベルテンプレート、
1302:セキュリティレベル設定プログラム、
1501:セキュリティレベル算出ポリシ設定画面。

Claims (18)

  1.  複数のサービスから構成されるシステムのセキュリティレベルを算出、可視化するセキュリティレベル可視化装置は、
     複数のセンサから前記サービスのセキュリティに関する情報を観測情報として受信し、受信した前記観測情報と、前記セキュリティレベル可視化装置が保持しているセキュリティレベル算出ポリシから、前記サービスごとのセキュリティレベルを算出するセキュリティレベル算出手段と、
     前記セキュリティレベル算出手段が算出した前記サービスの前記セキュリティレベルと、前記セキュリティレベル可視化装置が保持している前記サービスの構成情報から、前記サービスごとの前記セキュリティレベルを出力するセキュリティレベル可視化手段とを備えることを特徴とするセキュリティレベル可視化装置。
  2.  前記セキュリティレベル算出ポリシは、前記サービスと、前記サービスを利用している利用者と、前記サービスにおいて観測するべき観測項目を保持し、
     前記セキュリティレベル算出手段は、前記セキュリティレベル算出ポリシに基づき、前記サービスの前記利用者と、前記サービスごとにセキュリティレベルを算出することを特徴とする請求項1に記載のセキュリティレベル可視化装置。
  3.  前記セキュリティレベル算出手段は、前記複数のセンサから受信した前記観測情報を前記観測項目と関連付けて記憶することを特徴とする請求項1に記載のセキュリティレベル可視化装置。
  4.  前記構成情報は、前記サービスがどの前記サービス上で稼働しているかの階層構成情報と、前記サービスがどの前記サービスに接続しているかの接続構成情報とを保持し、
     前記セキュリティレベル可視化手段は、前記構成情報から前記サービス間の前記階層構成情報と、前記接続構成情報とを復元し、可視化することを特徴とする請求項1に記載のセキュリティレベル可視化装置。
  5.  前記セキュリティレベル可視化手段は、前記セキュリティレベル算出手段が算出した前記セキュリティレベルと、前記構成情報とを併せて出力することを特徴とする請求項1に記載のセキュリティレベル可視化装置。
  6.  前記セキュリティレベル可視化手段は、前記セキュリティレベル算出手段が算出した前記セキュリティレベルと、前記セキュリティレベル算出手段が前記セキュリティレベルを算出する際に利用した前記観測情報とを併せて出力することを特徴とする請求項1に記載のセキュリティレベル可視化装置。
  7.  前記セキュリティレベル算出手段は、前記複数のセンサから受信する前記観測情報を記憶し、
     前記セキュリティレベル可視化手段は、前記複数のセンサから受信した前記観測情報を表示することを特徴とする請求項1に記載のセキュリティレベル可視化装置。
  8.  前記セキュリティレベル算出ポリシを設定するための、セキュリティレベル設定テンプレートと、セキュリティレベル設定手段をさらに備えることを特徴とする請求項1に記載のセキュリティレベル可視化装置。
  9.  前記セキュリティレベル設定手段は、前記ユーザに、前記セキュリティレベル算出ポリシを入力させるセキュリティレベル設定画面を出力することを特徴とする前記セキュリティレベル設定手段を備えることを特徴とする請求項8に記載のセキュリティレベル可視化装置。
  10.  それぞれがサービスを行う少なくとも一つのサーバと、前記サービスを利用するための少なくとも一つの利用者計算機とネットワークを介して接続され、前記複数のサービスから構成されるシステムのセキュリティレベルを算出して可視化する処理装置におけるセキュリティレベル可視化方法は、
     前記サーバのそれぞれに設けられたセンサから前記サービスのセキュリティに関する情報を観測情報として受信し、
     受信した前記観測情報と、前記処理装置が保持しているセキュリティレベル算出ポリシから、前記サービスごとのセキュリティレベルを算出し、
     前記算出した前記サービスの前記セキュリティレベルと、前記処理装置が保持している前記サービスの構成情報から、前記サービスごとの前記セキュリティレベルを出力し、
     前記サービスごとの前記セキュリティレベルを、前記利用者計算機に送信することを特徴とするセキュリティレベル可視化方法。
  11.  前記セキュリティレベル算出ポリシは、前記サービスと、前記サービスを利用している利用者と、前記サービスにおいて観測するべき観測項目を保持し、
     前記セキュリティレベル算出の際に、前記セキュリティレベル算出ポリシに基づき、前記サービスの前記利用者と、前記サービスごとにセキュリティレベルを算出することを特徴とする請求項10に記載のセキュリティレベル可視化方法。
  12.  前記セキュリティレベル算出の際に、前記複数のセンサから受信した前記観測情報を前記観測項目と関連付けて記憶することを特徴とする請求項10に記載のセキュリティレベル可視化方法。
  13.  前記構成情報は、前記サービスがどの前記サービス上で稼働しているかの階層構成情報と、前記サービスがどの前記サービスに接続しているかの接続構成情報とを保持し、
     前記セキュリティレベル可視化の際に、前記構成情報から前記サービス間の前記階層構成情報と、前記接続構成情報とを復元し、可視化することを特徴とする請求項10に記載のセキュリティレベル可視化方法。
  14.  前記セキュリティレベル可視化の際に、前記セキュリティレベル算出処理が算出した前記セキュリティレベルと、前記構成情報とを併せて出力することを特徴とする請求項10に記載のセキュリティレベル可視化方法。
  15.  前記セキュリティレベル可視化の際に、前記セキュリティレベル算出処理が算出した前記セキュリティレベルと、前記セキュリティレベル算出処理が前記セキュリティレベルを算出する際に利用した前記観測情報とを併せて出力することを特徴とする請求項10に記載のセキュリティレベル可視化方法。
  16.  前記セキュリティレベル算出の際に、前記複数のセンサから受信する前記観測情報を記憶し、
     前記セキュリティレベル可視化の際に、前記複数のセンサから受信した前記観測情報を表示することを特徴とする請求項10に記載のセキュリティレベル可視化方法。
  17.  前記セキュリティレベル算出ポリシを設定するための、セキュリティレベル設定テンプレートと、セキュリティレベル設定処理を行うことを特徴とする請求項10に記載のセキュリティレベル可視化方法。
  18.  前記セキュリティレベル設定の際に、前記ユーザに、前記セキュリティレベル算出ポリシを入力させるセキュリティレベル設定画面を出力することを特徴とする前記セキュリティレベル設定処理を行うことを特徴とする請求項17に記載のセキュリティレベル可視化方法。
PCT/JP2011/078493 2011-03-31 2011-12-08 セキュリティレベル可視化装置 WO2012132124A1 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
EP11862072.3A EP2693355A4 (en) 2011-03-31 2011-12-08 DEVICE FOR VISUALIZING SECURITY LEVELS
US14/000,489 US20130333045A1 (en) 2011-03-31 2011-12-08 Security level visualization device

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2011079869A JP2012215994A (ja) 2011-03-31 2011-03-31 セキュリティレベル可視化装置
JP2011-079869 2011-03-31

Publications (1)

Publication Number Publication Date
WO2012132124A1 true WO2012132124A1 (ja) 2012-10-04

Family

ID=46929921

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2011/078493 WO2012132124A1 (ja) 2011-03-31 2011-12-08 セキュリティレベル可視化装置

Country Status (4)

Country Link
US (1) US20130333045A1 (ja)
EP (1) EP2693355A4 (ja)
JP (1) JP2012215994A (ja)
WO (1) WO2012132124A1 (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3016016A1 (en) * 2014-10-28 2016-05-04 BRITISH TELECOMMUNICATIONS public limited company Automated deployment and securitization of model-based composite applications
US9609023B2 (en) * 2015-02-10 2017-03-28 International Business Machines Corporation System and method for software defined deployment of security appliances using policy templates
JP6235647B2 (ja) * 2016-04-26 2017-11-22 ヤフー株式会社 推定プログラム、推定装置及び推定方法
EP3500970B8 (en) 2016-08-16 2021-09-22 British Telecommunications Public Limited Company Mitigating security attacks in virtualised computing environments
US11562076B2 (en) 2016-08-16 2023-01-24 British Telecommunications Public Limited Company Reconfigured virtual machine to mitigate attack
US10412110B2 (en) * 2016-10-31 2019-09-10 Acentium, Inc. Systems and methods for multi-tier cache visual system and visual modes
US10158654B2 (en) 2016-10-31 2018-12-18 Acentium Inc. Systems and methods for computer environment situational awareness
US10284589B2 (en) 2016-10-31 2019-05-07 Acentium Inc. Methods and systems for ranking, filtering and patching detected vulnerabilities in a networked system
JP7158357B2 (ja) * 2019-09-30 2022-10-21 Kddi株式会社 インセンティブ付与装置、方法及びプログラム

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001101135A (ja) * 1999-09-29 2001-04-13 Hitachi Ltd セキュリティ評価方法および装置、セキュリティ施策の作成支援方法および装置
JP2001320370A (ja) * 2000-05-12 2001-11-16 Ntt Advanced Technology Corp サービスレベル管理方法およびシステム
JP2002247033A (ja) * 2001-02-16 2002-08-30 Hitachi Ltd セキュリティ管理システム
JP2004054706A (ja) * 2002-07-22 2004-02-19 Sofutekku:Kk セキュリティリスク管理システム、そのプログラムおよび記録媒体
JP2004126874A (ja) * 2002-10-01 2004-04-22 Nec Corp 公開サーバのセキュリティレベル診断方法、診断プログラム、診断装置および診断システム
JP2005250803A (ja) 2004-03-03 2005-09-15 It Service:Kk 業務支援装置及び業務支援プログラム
JP2006157313A (ja) * 2004-11-26 2006-06-15 Nec Corp 経路作成システム、経路作成装置及び経路作成プログラム
JP2008176634A (ja) 2007-01-19 2008-07-31 Toshiba Corp セキュリティレベル監視評価装置及びセキュリティレベル監視評価プログラム

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6678827B1 (en) * 1999-05-06 2004-01-13 Watchguard Technologies, Inc. Managing multiple network security devices from a manager device
US7287280B2 (en) * 2002-02-12 2007-10-23 Goldman Sachs & Co. Automated security management
US7516476B1 (en) * 2003-03-24 2009-04-07 Cisco Technology, Inc. Methods and apparatus for automated creation of security policy
US20050283622A1 (en) * 2004-06-17 2005-12-22 International Business Machines Corporation System for managing security index scores
JP4327698B2 (ja) * 2004-10-19 2009-09-09 富士通株式会社 ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム
US8438643B2 (en) * 2005-09-22 2013-05-07 Alcatel Lucent Information system service-level security risk analysis
JP5004779B2 (ja) * 2007-12-11 2012-08-22 インターナショナル・ビジネス・マシーンズ・コーポレーション マルチウインドウ・システム、マルチウインドウ・システムのセキュリティ保護方法、及びマルチウインドウ・システムのセキュリティ保護プログラム
US8402546B2 (en) * 2008-11-19 2013-03-19 Microsoft Corporation Estimating and visualizing security risk in information technology systems

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001101135A (ja) * 1999-09-29 2001-04-13 Hitachi Ltd セキュリティ評価方法および装置、セキュリティ施策の作成支援方法および装置
JP2001320370A (ja) * 2000-05-12 2001-11-16 Ntt Advanced Technology Corp サービスレベル管理方法およびシステム
JP2002247033A (ja) * 2001-02-16 2002-08-30 Hitachi Ltd セキュリティ管理システム
JP2004054706A (ja) * 2002-07-22 2004-02-19 Sofutekku:Kk セキュリティリスク管理システム、そのプログラムおよび記録媒体
JP2004126874A (ja) * 2002-10-01 2004-04-22 Nec Corp 公開サーバのセキュリティレベル診断方法、診断プログラム、診断装置および診断システム
JP2005250803A (ja) 2004-03-03 2005-09-15 It Service:Kk 業務支援装置及び業務支援プログラム
JP2006157313A (ja) * 2004-11-26 2006-06-15 Nec Corp 経路作成システム、経路作成装置及び経路作成プログラム
JP2008176634A (ja) 2007-01-19 2008-07-31 Toshiba Corp セキュリティレベル監視評価装置及びセキュリティレベル監視評価プログラム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See also references of EP2693355A4

Also Published As

Publication number Publication date
US20130333045A1 (en) 2013-12-12
EP2693355A4 (en) 2015-05-27
JP2012215994A (ja) 2012-11-08
EP2693355A1 (en) 2014-02-05

Similar Documents

Publication Publication Date Title
WO2012132124A1 (ja) セキュリティレベル可視化装置
EP3149583B1 (en) Method and apparatus for automating the building of threat models for the public cloud
US9436813B2 (en) Multi-tenancy support for a product that does not support multi-tenancy
US20200026863A1 (en) Systems and methods for analyzing, assessing and controlling trust and authentication in applications and devices
CN104040550B (zh) 集成安全策略和事件管理
JP6849672B2 (ja) アプリケーションのセキュリティ及びリスクの評価及び試験のためのシステム及び方法
CA2874189C (en) Cyber security analzer
TWI540457B (zh) 用於在雲端環境中自動派送安全規則之非侵入式方法及裝置
CN104580349B (zh) 安全云管理代理
EP2828764B1 (en) Distributed computation systems and methods
US9992227B2 (en) Secure remote maintenance and support system, method, network entity and computer program product
EP3183666A1 (en) Application programming interface wall
US8694993B1 (en) Virtualization platform for secured communications between a user device and an application server
US20090249340A1 (en) Managing the Progress of a Plurality of Tasks
KR20170054449A (ko) 네트워크 분석 및 보고를 위한 시스템 및 방법
WO2013028636A1 (en) Systems and methods for managing a virtual infrastructure
US20130219156A1 (en) Compliance aware change control
US9336118B2 (en) Allocating test capacity from cloud systems
US20190238582A1 (en) Computer network security assessment engine
JPWO2014091576A1 (ja) 中継装置および中継方法、並びにプログラム
US10560467B2 (en) Non-transitory computer-readable recording medium storing control program, control method, and information processing device
US20240137383A1 (en) Wellness detection and response for small businesses
US10764357B1 (en) Compliance-based application deployment system and method for a cloud computing environment
JP2016143239A (ja) 仮想マシン管理システム及び仮想マシンの管理方法
EP2640031A1 (en) Process for monitoring the data of a user over a network

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 11862072

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 14000489

Country of ref document: US

NENP Non-entry into the national phase

Ref country code: DE