特許第6878068号(P6878068)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 株式会社エヌ・ティ・ティ・データ

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 株式会社エヌ・ティ・ティ・データの特許一覧

特許6878068識別情報付与システム及び識別情報付与方法
<>
  • 特許6878068-識別情報付与システム及び識別情報付与方法 図000002
  • 特許6878068-識別情報付与システム及び識別情報付与方法 図000003
  • 特許6878068-識別情報付与システム及び識別情報付与方法 図000004
  • 特許6878068-識別情報付与システム及び識別情報付与方法 図000005
  • 特許6878068-識別情報付与システム及び識別情報付与方法 図000006
  • 特許6878068-識別情報付与システム及び識別情報付与方法 図000007
  • 特許6878068-識別情報付与システム及び識別情報付与方法 図000008
  • 特許6878068-識別情報付与システム及び識別情報付与方法 図000009
  • 特許6878068-識別情報付与システム及び識別情報付与方法 図000010
  • 特許6878068-識別情報付与システム及び識別情報付与方法 図000011
  • 特許6878068-識別情報付与システム及び識別情報付与方法 図000012
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6878068
(24)【登録日】2021年5月6日
(45)【発行日】2021年5月26日
(54)【発明の名称】識別情報付与システム及び識別情報付与方法
(51)【国際特許分類】
   G06F 11/34 20060101AFI20210517BHJP
   G06F 9/50 20060101ALI20210517BHJP
【FI】
   G06F11/34 104
   G06F9/50 150D
【請求項の数】10
【全頁数】27
(21)【出願番号】特願2017-54523(P2017-54523)
(22)【出願日】2017年3月21日
(65)【公開番号】特開2018-156553(P2018-156553A)
(43)【公開日】2018年10月4日
【審査請求日】2019年12月17日
(73)【特許権者】
【識別番号】000102728
【氏名又は名称】株式会社エヌ・ティ・ティ・データ
(74)【代理人】
【識別番号】110001634
【氏名又は名称】特許業務法人 志賀国際特許事務所
(72)【発明者】
【氏名】飯塚 智
【審査官】 石川 雄太郎
(56)【参考文献】
【文献】 特開2003−228498(JP,A)
【文献】 特開2007−004595(JP,A)
【文献】 特開2006−072760(JP,A)
【文献】 特開2007−052668(JP,A)
【文献】 米国特許出願公開第2014/0109103(US,A1)
【文献】 国際公開第2013/094032(WO,A1)
【文献】 国際公開第2006/046297(WO,A1)
【文献】 国際公開第2014/076927(WO,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 9/455−9/54
G06F 11/07
G06F 11/28−11/36
(57)【特許請求の範囲】
【請求項1】
ウェブシステムを構成する、所定の業務処理を行なう業務用サーバにおいて送受信される、送信元であるクライアントから送信された通信データの各々の対応付けを行なうため、前記通信データに対して識別情報を付与する識別情報付与システムであり、
前記業務用サーバに入力される順番で、前記通信データを直列に供給するデータ供給部と、
前記送信元を識別する識別情報を、前記順番で前記通信データに対して付与する識別情報付与部とを備え
前記データ供給部が、前記識別情報の付加された前記通信データが、前段の他の業務用サーバから供給された際、当該通信データから識別情報を取り外し、前記業務用サーバに供給し、
前記データ供給部が、前記業務用サーバに対して前記通信データから外した前記識別情報を、前記識別情報付与部に対して出力し、
前記識別情報付与部が、前記業務用サーバから出力される前記識別情報を外した前記通信データに対し、当該通信データから前記業務用サーバに入力される際に取り外された前記識別情報を付加し、
前記ウェブシステムにおいて、前記業務用サーバの各々が直列に接続されており、
初段の業務用サーバの前記識別情報付与部が、前記通信データの送信元を示す送信元情報の各々に対応させて、前記通信データそれぞれの前記識別情報を生成する
ことを特徴とする識別情報付与システム。
【請求項2】
ウェブシステムを構成する、所定の業務処理を行なう業務用サーバにおいて送受信される、送信元であるクライアントから送信された通信データの各々の対応付けを行なうため、前記通信データに対して識別情報を付与する識別情報付与システムであり、
前記業務用サーバに入力される順番で、前記通信データを直列に供給するデータ供給部と、
前記送信元を識別する識別情報を、前記順番で前記通信データに対して付与する識別情報付与部とを備え
前記ウェブシステムにおいて、前記業務用サーバの各々が直列に接続されており、
初段の業務用サーバの前記識別情報付与部が、前記通信データの送信元と、前記識別情報との対応を示す対応テーブルを有する
ことを特徴とする識別情報付与システム。
【請求項3】
前記データ供給部が、前記識別情報の付加された前記通信データが、前段の他の業務用サーバから供給された際、当該通信データから識別情報を取り外し、前記業務用サーバに供給する
ことを特徴とする請求項に記載の識別情報付与システム。
【請求項4】
前記データ供給部が、前記業務用サーバに対して前記通信データから外した前記識別情報を、前記識別情報付与部に対して出力し、
前記識別情報付与部が、前記業務用サーバから出力される前記識別情報を外した前記通信データに対し、当該通信データから前記業務用サーバに入力される際に取り外された前記識別情報を付加する
ことを特徴とする請求項3に記載の識別情報付与システム。
【請求項5】
前記ウェブシステムにおいて、前記業務用サーバの各々が直列に接続されており、
初段の業務用サーバの前記識別情報付与部が、前記通信データの送信元を示す送信元情報の各々に対応させて、前記通信データそれぞれの前記識別情報を生成する
ことを特徴とする請求項4に記載の識別情報付与システム。
【請求項6】
前記識別情報付与部が、前記業務用サーバから前記通信データを、次段の他の業務用サーバに対して出力する際に、当該通信データに対して前記識別情報を付加する
ことを特徴とする請求項1から請求項5のいずれか1項に記載の識別情報付与システム。
【請求項7】
前記データ供給部と前記識別情報付与部との各々が複数設けられ、
前記業務用サーバに供給される前記通信データを、前記データ供給部の各々に負荷分散して出力するロードバランス部をさらに備え、
前記データ供給部と前記識別情報付与部とがそれぞれ前記識別情報の取り外し及び付加する連携処理の組として設けられている
ことを特徴とする請求項1から請求項のいずれか一項に記載の識別情報付与システム。
【請求項8】
前記業務用サーバが複数設けられており、
前記データ供給部から前記業務用サーバに供給される前記通信データを、前記業務用サーバの各々に負荷分散して出力するロードバランス部をさらに備え、
前記ロードバランス部が、前記データ供給部から出力される前記識別情報に対応する前記通信データを送信した業務用サーバのサーバ識別情報を、前記識別情報付与部に送信する
ことを特徴とする請求項1から請求項のいずれか一項に記載の識別情報付与システム。
【請求項9】
前記ウェブシステムにおいて、前記業務用サーバの各々が直列に接続されており、
初段の業務用サーバの前記識別情報付与部が、前記通信データの送信元と、前記識別情報との対応を示す対応テーブルを有する
ことを特徴とする請求項1請求項3から請求項8のいずれか一項に記載の識別情報付与システム。
【請求項10】
ウェブシステムを構成する、所定の業務処理を行なう業務用サーバにおいて送受信される、送信元であるクライアントから送信された通信データの各々の対応付けを行なうため、前記通信データに対して識別情報を付与する識別情報付与方法であり、
データ供給部が、前記業務用サーバに入力される順番で、前記通信データを直列に供給するデータ供給過程と、
識別情報付与部が、前記送信元を識別する識別情報を、前記順番で前記通信データに対して付与する識別情報付与過程とを含み、
前記データ供給部が、前記識別情報の付加された前記通信データが、前段の他の業務用サーバから供給された際、当該通信データから識別情報を取り外し、前記業務用サーバに供給し、
前記データ供給部が、前記業務用サーバに対して前記通信データから外した前記識別情報を、前記識別情報付与部に対して出力し、
前記識別情報付与部が、前記業務用サーバから出力される前記識別情報を外した前記通信データに対し、当該通信データから前記業務用サーバに入力される際に取り外された前記識別情報を付加し、
前記ウェブシステムにおいて、前記業務用サーバの各々が直列に接続されており、
初段の業務用サーバの前記識別情報付与部が、前記通信データの送信元を示す送信元情報の各々に対応させて、前記通信データそれぞれの前記識別情報を生成する
とを特徴とする識別情報付与方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報システムの内部における通信データの各々の識別を行なう識別情報を付与する識別情報付与システム及び識別情報付与方法に関する。
【背景技術】
【0002】
近年、金融あるいは銀行などの会社において、インターネットによるオンラインバンキングを利用した金融取引が一般化している。
そして、オンラインバンキングを行なう商用のWeb(ウェブ)システムにおいて、インターネットなどを介して、金融取引の情報を取得、あるいはシステム障害を発生させようとする攻撃が悪意の有る第三者(攻撃者)から行なわれる場合がある。この攻撃とは、不正ログイン試行あるいはSQL(Structured Query Language)インジェクションである。このような攻撃があった場合には、これらの攻撃がセキュリティインシデントとして、上記オンラインバンキングを用いている会社のWebシステムにおいて発生している。
【0003】
会社としては、セキュリティインシデントレスポンスとして、自身と金融取引を行なっている顧客に対して通知する責務がある。このため、このような攻撃があった場合には、いつの時点で攻撃が行なわれたか、誰が攻撃したのか、その攻撃の結果として何が発生したか、データが流出したのであれば何件か、どのような種類のデータが流出したのか、現時点において全容を解明する必要があるかなどの被害の調査を行なう必要がある。
上述した調査を行なう際に必要なデータとして、ログ情報、すなわち三階層モデルにおけるWeb(ウェブ)サーバ、AP(Application)サーバ、DB(database server)サーバの各々におけるログ情報が必要となる。
【0004】
このログ情報としては、Webシステムを構成する機器、業務用サーバであるWebサーバ、APサーバ及びDBサーバの各々が出力するログ(ログA)と、各機器の間において送受信される通信データ(パケット)をキャプチャ(取得)して記憶した情報(ログB)とがある。
ここで、ログAを用いた場合、Webシステムを構成する各機器において、処理結果を示すログを抽出する場合、Webシステムを作成する際の設計段階、あるいはシステムを変更する段階において、ログの抽出を考慮した構成とする必要がある。すなわち、ログのフォーマットあるいはログ項目の設定を行い、Webシステムの設計をして、ネットワークにおいて抽出が行なわれるように実装する必要がある。
【0005】
このため、各サーバの本来の処理以外の動作を考慮した設計作業を行なう負荷を、システム設計者に対して与え、ログ抽出のシミュレーション等を行なうことで開発工程も増加し、システムの開発コストが増加してしまう。
また、ログのフォーマットやログ項目を変更する場合、Webシステムを変更するために、Webシステムを停止、すなわちインターネットバンキングの業務を止める必要がある。
上述した理由から、Webシステム自体にログ抽出の機能を含ませずにログ抽出を行ない、Webシステムの開発コストの増加を抑制するため、ログBを用いたセキュリティインシデントの調査が考えられる。
【0006】
一方、ログBを利用する場合、Webシステムにおける各サーバ間を接続するNIC(network interface card)のミラーポートから、サーバ間で送受信されるパケットをキャプチャし、履歴データをログBとして保存しておく。そして、攻撃が発生した際に、このログBを参照して、攻撃における被害の調査を行なう。
ここで、パケットをキャプチャするポイントとしては、クライアントの端末、Webサーバ、APサーバ及びDBサーバの各々の接続点の三カ所が考えられる。
【0007】
しかし、トラフィック量の多いWebシステムの場合、クライアントの端末の各々からWebサーバに入力されるリクエスト(処理を依頼するパケット)の順番と、WebサーバからAPサーバに出力されるリクエストの順番とが一致する保証がない。すなわち、Webサーバは、リクエストの負荷の大きさにより、APサーバに出力するリクエストの順番を調整する。これにより、クライアントの端末、Webサーバ、APサーバ及びDBサーバの間のパケットの対応付けが困難となる。
このため、調査の担当者が対応付けを行なうことが非常に手間を要するため、対応付けのための情報をパケットに含ませることにより、各サーバ間のパケットの対応付けを行なう(例えば、特許文献1及び特許文献2を参照)。
【先行技術文献】
【特許文献】
【0008】
【特許文献1】特開2011−118951号公報
【特許文献2】特開2003−228498号公報
【発明の概要】
【発明が解決しようとする課題】
【0009】
上述したように、ログBを用いた先行技術の場合は、ログを出力する機能を持たせる必要がないため、ログAを用いた場合に比較して、開発コストを低くすることは可能である。しかしながら、先行技術においては、パケットに対して対応付けを行なう情報を埋め込む機能を、サーバに対して付加する必要があるため、ログの対応付けを行なう情報をパケットに埋め込む機能を付加しない場合に比較して、システム設計者の負荷が増加し、開発コストも増加してしまう。
【0010】
本発明は、このような事情に鑑みてなされたもので、システム設計者の負荷を増加させずに、クライアントである通信データの送信元に対応させ、この通信データの各々に識別情報を付与するため送信元、業務用サーバであるWebサーバ、APサーバ及びDBサーバの間の通信データの対応付けを行なうことができる識別情報付与システム及び識別情報付与方法を提供することを目的とする。
【課題を解決するための手段】
【0011】
この発明は上述した課題を解決するためになされたもので、本発明の識別情報付与システムは、ウェブシステムを構成する、所定の業務処理を行なう業務用サーバにおいて送受信される、送信元であるクライアントから送信された通信データの各々の対応付けを行なうため、前記通信データに対して識別情報を付与する識別情報付与システムであり、前記業務用サーバに入力される順番で、前記通信データを直列に供給するデータ供給部(実施形態における仮想マシン111、仮想マシン114、仮想マシン211、仮想マシン214、仮想マシン311)と、前記送信元を識別する識別情報を、前記順番で前記通信データに対して付与する識別情報付与部(実施形態における仮想マシン111、仮想マシン114、仮想マシン211、仮想マシン214、仮想マシン311)とを備え、前記データ供給部が、前記識別情報の付加された前記通信データが、前段の他の業務用サーバから供給された際、当該通信データから識別情報を取り外し、前記業務用サーバに供給し、前記データ供給部が、前記業務用サーバに対して前記通信データから外した前記識別情報を、前記識別情報付与部に対して出力し、前記識別情報付与部が、前記業務用サーバから出力される前記識別情報を外した前記通信データに対し、当該通信データから前記業務用サーバに入力される際に取り外された前記識別情報を付加し、前記ウェブシステムにおいて、前記業務用サーバの各々が直列に接続されており、初段の業務用サーバの前記識別情報付与部が、前記通信データの送信元を示す送信元情報の各々に対応させて、前記通信データそれぞれの前記識別情報を生成することを特徴とする。
また、本発明の識別情報付与システムの一態様は、ウェブシステムを構成する、所定の業務処理を行なう業務用サーバにおいて送受信される、送信元であるクライアントから送信された通信データの各々の対応付けを行なうため、前記通信データに対して識別情報を付与する識別情報付与システムであり、前記業務用サーバに入力される順番で、前記通信データを直列に供給するデータ供給部と、前記送信元を識別する識別情報を、前記順番で前記通信データに対して付与する識別情報付与部と、を備え、前記ウェブシステムにおいて、前記業務用サーバの各々が直列に接続されており、初段の業務用サーバの前記識別情報付与部が、前記通信データの送信元と、前記識別情報との対応を示す対応テーブルを有することを特徴とする。
【0012】
本発明の識別情報付与システムは、前記識別情報付与部が、前記業務用サーバから前記通信データを、次段の他の業務用サーバに対して出力する際に、当該通信データに対して前記識別情報を付加することを特徴とする。
【0013】
本発明の識別情報付与システムは、前記データ供給部が、前記識別情報の付加された前記通信データが、前段の他の業務用サーバから供給された際、当該通信データから識別情報を取り外し、前記業務用サーバに供給することを特徴とする。
【0014】
本発明の識別情報付与システムは、前記データ供給部が、前記業務用サーバに対して前記通信データから外した前記識別情報を、前記識別情報付与部に対して出力し、前記識別情報付与部が、前記業務用サーバから出力される前記識別情報を外した前記通信データに対し、当該通信データから前記業務用サーバに入力される際に取り外された前記識別情報を付加することを特徴とする。
【0015】
本発明の識別情報付与システムは、前記ウェブシステムにおいて、前記業務用サーバの各々が直列に接続されており、初段の業務用サーバの前記識別情報付与部が、前記通信データの送信元を示す送信元情報の各々に対応させて、前記通信データそれぞれの前記識別情報を生成することを特徴とする。
【0016】
本発明の識別情報付与システムは、前記データ供給部と前記識別情報付与部との各々が複数設けられ、前記業務用サーバに供給される前記通信データを、前記データ供給部の各々に負荷分散して出力するロードバランス部をさらに備え、前記データ供給部と前記識別情報付与部とがそれぞれ前記識別情報の取り外し及び付加する連携処理の組として設けられていることを特徴とする。
【0017】
本発明の識別情報付与システムは、前記業務用サーバが複数設けられており、前記データ供給部から前記業務用サーバに供給される前記通信データを、前記業務用サーバの各々に負荷分散して出力するロードバランス部をさらに備え、前記ロードバランス部が、前記データ供給部から出力される前記識別情報に対応する前記通信データを送信した業務用サーバのサーバ識別情報を、前記識別情報付与部に送信することを特徴とする。
【0018】
本発明の識別情報付与システムは、前記ウェブシステムにおいて、前記業務用サーバの各々が直列に接続されており、初段の業務用サーバの前記識別情報付与部が、前記通信データの送信元と、前記識別情報との対応を示す対応テーブルを有することを特徴とする。
【0020】
本発明の識別情報付与方法は、ウェブシステムを構成する、所定の業務処理を行なう業務用サーバにおいて送受信される、送信元であるクライアントから送信された通信データの各々の対応付けを行なうため、前記通信データに対して識別情報を付与する識別情報付与方法であり、データ供給部が、前記業務用サーバに入力される順番で、前記通信データを直列に供給するデータ供給過程と、識別情報付与部が、前記送信元を識別する識別情報を、前記順番で前記通信データに対して付与する識別情報付与過程とを含み、前記データ供給部が、前記識別情報の付加された前記通信データが、前段の他の業務用サーバから供給された際、当該通信データから識別情報を取り外し、前記業務用サーバに供給し、前記データ供給部が、前記業務用サーバに対して前記通信データから外した前記識別情報を、前記識別情報付与部に対して出力し、前記識別情報付与部が、前記業務用サーバから出力される前記識別情報を外した前記通信データに対し、当該通信データから前記業務用サーバに入力される際に取り外された前記識別情報を付加し、前記ウェブシステムにおいて、前記業務用サーバの各々が直列に接続されており、初段の業務用サーバの前記識別情報付与部が、前記通信データの送信元を示す送信元情報の各々に対応させて、前記通信データそれぞれの前記識別情報を生成することを特徴とする。
【発明の効果】
【0021】
この発明によれば、システム設計者の負荷を増加させずに、クライアントである通信データの送信元に対応させ、この通信データの各々に識別情報を付与するため送信元、業務用サーバであるWebサーバ、APサーバ及びDBサーバの間の通信データの対応付けを行なうことができる識別情報付与システム及び識別情報付与方法を提供することができる。
【図面の簡単な説明】
【0022】
図1図1は、本発明の第1の実施形態による識別情報付与システムを用いたウェブシステムの構成例を示す図である。
図2】仮想マシン114内部に備えられた識別情報テーブルの構成例を示す図である。
図3】リクエスト時におけるWebサーバ100の識別情報付与システム110の識別情報Rの付加について説明するシーケンス図である。
図4】リクエスト時におけるAPサーバ200の識別情報付与システム210の識別情報Rの付加について説明するシーケンス図である。
図5】DBサーバ300の識別情報付与システム310の識別情報Rの付加について説明するシーケンス図である。
図6】レスポンス時におけるAPサーバ200の識別情報付与システム210の識別情報Rの付加について説明するシーケンス図である。
図7】レスポンス時におけるWebサーバ100の識別情報付与システム110の識別情報Rの付加について説明するシーケンス図である。
図8】仮想マシン114内部に備えられた識別情報テーブルの他の構成例を示す図である。
図9】本発明の第2の実施形態による識別情報付与システムを用いたウェブシステムの構成例を示す図である。
図10】本発明の第3の実施形態による識別情報付与システムを用いたウェブシステムの構成例を示す図である。
図11】本発明の第4の実施形態による識別情報付与システムを用いたウェブシステムの構成例を示す図である。
【発明を実施するための形態】
【0023】
<第1の実施形態>
以下、図面を参照して、本発明の第1の実施形態について説明する。図1は、本発明の第1の実施形態による識別情報付与システムを用いたウェブシステムの構成例を示す図である。図1において、本実施形態におけるウェブシステム1は、Webサーバ100、APサーバ200、DBサーバ300、ログ収集サーバ700及びログ収集データベース800の各々を備えている。本実施形態においては、Webサーバ100、APサーバ200及びDBサーバ300の各々は、物理マシンのサーバとして説明しているが、一つの物理マシンのOS(operating system)上に仮想マシンのサーバとしてそれぞれの機能のプログラムがインストールされて構成しても良い。
【0024】
ウェブシステム1は、クライアント(クライアントサーバ)400がリクエスト(通信データ(パケット)A)を送信し、アクセスされた場合、Webサーバ100、APサーバ200及びDBサーバ300の各々において、それぞれのリクエストに対応した所定の処理を行い、クライアント400に対してレスポンス(通信データ(パケット)B)を返送する。
ログ収集サーバ700は、収集ポイント601、収集ポイント602及び収集ポイント603の各々において、クライアント400、Webサーバ100、APサーバ200及びDBサーバ300の各々における通信データ(通信データA、通信データB)を、ウェブシステム1におけるセキュリティチェックのためのログとして抽出する。
【0025】
Webサーバ100は、仮想マシンで構成された識別情報付与システム110(後述)、物理NIC131、物理NIC132、物理NIC133、業務用仮想マシン151、仮想NICの各々を備えている。業務用仮想マシン151は、所定の業務処理を行ない、Webサーバ100のOS上における仮想マシン(狭義のWebサーバ)であり、識別情報付与システム110から入力される通信データAを、例えばインターネットのHTTP(hypertext transfer protocol)のプロトコルから、Webサーバ100とAPサーバ200との間における通信のプロトコルに変換する処理を行なう。また、業務用仮想マシン151は、識別情報付与システム110から入力される通信データBを、Webサーバ100とAPサーバ200との間における通信のプロトコルから、インターネットのHTTP(hypertext transfer protocol)のプロトコルに変換する処理を行なう。
【0026】
識別情報付与システム110は、Webサーバ100において入出力する通信データ(通信データA及び通信データB)に対し、識別情報の付加及び取り外しを行なう。識別情報付与システム110は、仮想マシン111、仮想NIC112、仮想NIC113、仮想マシン114、仮想NIC115、仮想NIC116、仮想ブリッジ117、仮想ブリッジ118を備えている。
【0027】
仮想マシン111は、Webサーバ100のOS上における仮想マシンであり、リクエスト処理時において、物理NIC131から供給されるクライアント400からの通信情報Aを、順次、内部のキューに入れ、物理NIC131から入力された順番に業務用仮想マシン151に対し、仮想NIC112、仮想ブリッジ118及び仮想NIC152を介して出力する。このとき、仮想マシン111は、仮想ブリッジ117を介して、仮想マシン116に対して通信データAから抽出した送信元を識別する送信元識別情報を出力する。送信元識別情報は、通信データAにおける送信元を識別する識別情報、例えばクライアントが用いているIP(internet protocol)アドレス、ポート番号、ユーザエージェント等が用いられる。
【0028】
仮想マシン111は、レスポンス処理時において、業務用仮想マシン151から、仮想NIC152、仮想ブリッジ118及び仮想NIC112を介して入力される通信データBに対し、仮想マシン114から供給される識別情報Rを付加し、物理NIC133を介して、セキュリティインシデントの処理に用いるダミーのクライアントであるフェイククライアント500に対して出力する。また、仮想マシン111は、識別情報Rを付加しない状態の通信データBをレスポンスとして、物理NIC131を介し、通信情報Aにてアクセスしたクライアント400に対して出力する。このとき、仮想マシン111は、クライアント400に通信データBを出力した後、仮想NIC113、仮想ブリッジ117及び仮想NIC116を介して、出力が終了したことを示す終了信号を、仮想マシン114に対して出力する。
【0029】
仮想マシン114は、Webサーバ100のOS上における仮想マシンであり、リクエスト処理時において、業務用仮想マシン151から出力される通信データAに対して識別情報Rを付加する。ここで、仮想マシン114は、内部に識別情報テーブルを備えており、通信データAの送信元の送信元識別情報に対して生成した識別情報Rの有無を検出する。仮想マシン114は、識別情報テーブルに送信元の送信元識別情報に対応する識別情報Rを検出した場合、検出した識別情報Rを通信データAに付加する。一方、仮想マシン114は、識別情報テーブルに送信元の送信元識別情報対応する識別情報Rを検出できない場合、この通信データRに付加する識別情報Rを乱数などにより生成し、通信データAに付加する。そして、仮想マシン114は、識別情報Rを付加した通信データAを、仮想ブリッジ118及び物理NIC132を介して、APサーバ200に対して出力する。このとき、仮想マシン114は、APサーバ200に通信データAを出力した後、仮想NIC116、仮想ブリッジ117及び仮想NIC113を介して、出力が終了したことを示す終了信号を、仮想マシン111に対して出力する。
【0030】
図2は、仮想マシン114内部に備えられた識別情報テーブルの構成例を示す図である。図2において、識別情報テーブルは、レコード毎に、送信元識別情報、識別情報R及び最終アクセス日時の各々の欄が設けられている。仮想マシン114は、通信データAから送信元識別情報を抽出し、この抽出した送信元識別情報により、上記識別情報テーブルを検索し、同一の送信元識別情報の有無を検出する。このとき、仮想マシン114は、同一の送信元識別情報が検出された場合、すでにこの送信元に対する識別情報Rが生成済みであるとして、この送信元識別情報と組となっている(同一レコードの)識別情報Rを読み出し、読み出した通信情報Rを通信データAに対して付加する。一方、仮想マシン114は、同一の送信元識別情報が検出されない場合、通信データAの送信元が初めてアクセスしてきたとして、上述したように、乱数などを用いて新たな識別情報Rを生成する。そして、仮想マシン114は、生成した通信情報Rを通信データAに付加するとともに、生成した通信情報Rを送信元識別情報と組にして、新たに識別情報テーブルに書き込んで記憶させる。
【0031】
図1に戻り、仮想マシン114は、レスポンス処理時において、物理NIC132、仮想ブリッジ118及び仮想NIC115を介して、APサーバ200から入力される通信データBを、順次、内部のキューに入れ、物理NIC132から入力された順番に業務用仮想マシン151に対し、仮想NIC115、仮想ブリッジ118及び仮想NIC152を介して出力する。このとき、仮想マシン114は、内部のキューから通信データBを取り出した際、この通信データBに付加されている識別情報Rを取り外す。そして、仮想マシン114は、識別情報Rを取り外した通信データBを、仮想NIC115、仮想ブリッジ118及び仮想NIC152を介して、業務用仮想マシン151に対して出力する。ここで、仮想マシン114は、仮想NIC216、仮想ブリッジ117及び仮想NIC113を介して、通信データBから取り外した識別情報Rを、仮想マシン111に対して出力する。
【0032】
図1に戻り、APサーバ200は、仮想マシンで構成された識別情報付与システム210(後述)、物理NIC231、物理NIC232、物理NIC133、業務用仮想マシン251、仮想NIC252の各々を備えている。業務用仮想マシン251は、APサーバ200のOS上における仮想マシン(狭義のAPサーバ)であり、所定の業務処理を実施し、識別情報付与システム210から入力される通信データAを、例えばWebサーバ100とAPサーバ200との間における通信のプロトコルから、APサーバ200とDBサーバ300との間における通信のプロトコルに変換する処理を行なう。
【0033】
識別情報付与システム210は、APサーバ200において入出力する通信データ(通信データA及び通信データB)に対し、識別情報の付加及び取り外しを行なう。識別情報付与システム210は、仮想マシン211、仮想NIC212、仮想NIC213、仮想マシン214、仮想NIC215、仮想NIC216、仮想ブリッジ217、仮想ブリッジ218を備えている。
【0034】
仮想マシン211は、APサーバ200のOS上における仮想マシンであり、リクエスト処理時において、物理NIC231から供給されるWebサーバ100からの通信情報Aを、順次、内部のキューに入れ、物理NIC231から入力された順番に業務用仮想マシン251に対し、仮想NIC212、仮想ブリッジ218及び仮想NIC252を介して出力する。ここで、仮想マシン211は、キューから物理データAを読み出した際、この物理データAから識別情報Rを取り外して、識別情報Rを取り外した物理データAを、業務用仮想マシン251に対して出力する。また、仮想マシン211は、仮想ブリッジ217を介して、仮想マシン216に対して通信データAから取り外した識別情報Rを出力する。
【0035】
また、仮想マシン211は、レスポンス処理時において、業務用仮想マシン251から、仮想NIC252、仮想ブリッジ218及び仮想NIC212を介して入力される通信データBに対し、仮想マシン214から供給される識別情報Rを付加し、物理NIC231を介してWebサーバ100に対して出力する。このとき、仮想マシン211は、Webサーバ100に通信データBを出力した後、仮想NIC213、仮想ブリッジ217及び仮想NIC216を介して、出力が終了したことを示す終了信号を、仮想マシン214に対して出力する。
【0036】
仮想マシン214は、APサーバ200のOS上における仮想マシンであり、リクエスト処理時において、業務用仮想マシン251から出力される通信データAに対して識別情報Rを付加する。このとき、仮想マシン214は、通信データAに付加する識別情報Rとして、仮想マシン211から供給される識別情報Rを用いる。そして、仮想マシン214は、識別情報Rを付加した通信データAを、仮想NIC212、仮想ブリッジ218及び物理NIC232を介して、DBサーバ300に対して出力する。このとき、仮想マシン214は、DBサーバ300に通信データAを出力した後、仮想NIC216、仮想ブリッジ217及び仮想NIC213を介して、出力が終了したことを示す終了信号を、仮想マシン211に対して出力する。
【0037】
また、仮想マシン214は、レスポンス処理時において、物理NIC232、仮想ブリッジ218及び仮想NIC215を介して、DBPサーバ300から入力される通信データBを、順次、内部のキューに入れ、物理NIC132から入力された順番に業務用仮想マシン251に対し、仮想NIC215、仮想ブリッジ218及び仮想NIC252を介して出力する。このとき、仮想マシン214は、内部のキューから通信データBを取り出した際、この通信データBに付加されている識別情報Rを取り外す。そして、仮想マシン214は、識別情報Rを取り外した通信データBを、仮想NIC215、仮想ブリッジ218及び仮想NIC252を介して、業務用仮想マシン251に対して出力する。ここで、仮想マシン214は、仮想NIC216、仮想ブリッジ217及び仮想NIC213を介して、通信データBから取り外した識別情報Rを、仮想マシン211に対して出力する。
【0038】
DBサーバ300は、仮想マシンで構成された識別情報付与システム310(後述)、物理NIC331、業務用仮想マシン351、仮想NIC352の各々を備えている。業務用仮想マシン351は、DBサーバ300のOS上における仮想マシンであり、識別情報付与システム310から入力される通信データAに基づき、データベース検索などの通常の処理を行ない、レスポンスとしての通信データBを生成し、APサーバ200に対して出力する。
【0039】
識別情報付与システム310は、DPサーバ300において入出力する通信データ(通信データA及び通信データB)に対し、識別情報の付加及び取り外しを行なう。識別情報付与システム310は、仮想マシン311、仮想NIC312、仮想ブリッジ318を備えている。
【0040】
仮想マシン311は、DBサーバ300のOS上における仮想マシン(狭義のDBサーバ)であり、所定の業務処理を行ない、リクエスト処理時において、物理NIC331から供給されるWebサーバ100からの通信情報Aを、順次、内部のキューに入れ、物理NIC331から入力された順番に業務用仮想マシン351に対し、仮想NIC311、仮想ブリッジ318及び仮想NIC352を介して出力する。ここで、仮想マシン311は、キューから物理データAを読み出した際、この物理データAから識別情報Rを取り外して、識別情報Rを取り外した物理データAを、業務用仮想マシン351に対して出力する。また、仮想マシン311は、通信データAから取り外した識別情報Rを内部に記憶しておく。
【0041】
また、仮想マシン311は、レスポンス処理時において、業務用仮想マシン351から、仮想NIC352、仮想ブリッジ318及び仮想NIC312を介して入力される通信データBに対し、内部に記憶して置いた識別情報Rを付加し、物理NIC331を介してAPサーバ200に対して出力する。
【0042】
次に、図3から図7の各々を用いて、本実施形態の識別情報付与システム110、識別情報付与システム120、識別情報付与システム310を用いたウェブシステム1における識別情報Rの付加及び取り外しの動作を説明する。
図3は、リクエスト時におけるWebサーバ100の識別情報付与システム110の識別情報Rの付加について説明するシーケンス図である。
【0043】
ステップF101:クライアント400の各々は、ウェブシステム1に対してリクエストの通信データAを送信する。
そして、仮想マシン111は、複数のクライアント400の各々から送信される通信データAを受信する。
【0044】
ステップF102:仮想マシン111は、物理NIC131から供給される順番に、通信データAを順次キューに対して蓄積していく。
【0045】
ステップF103:仮想マシン111は、供給された通信データAが初回であるか否かの判定を行なう。ここで、仮想マシン111は、初回であるか否かを初回フラグが立っているか否かにより判定する。
すなわち、仮想マシン111は、初回フラグが立っていない場合、初回であると判定し、通信データAをキューから一つ取り出す。
一方、仮想マシン111は、初回フラグが立っている場合、初回でないと判定し、直前にキューから取り出した通信データAの処理が終了したことを示す終了信号が仮想マシン114から供給されるまで待機する。そして、仮想マシン111は、仮想マシン114から上記終了信号を受信した場合、キューから通信データAを一つ取り出す。
上述したキューは、FIFOの構成であり、Webサーバ100が受信した順番に、通信データAが取り出される構成となっている。
【0046】
ステップF104:仮想マシン111は、キューから取り出した通信データAから、通信データAの送信元の送信元識別情報を抽出する。
【0047】
ステップF105:仮想マシン111は、通信データAから抽出した送信元識別情報を、仮想マシン114に対して出力する。
【0048】
ステップF106:仮想マシン111は、送信元識別情報を抽出した後、通信データAを業務用仮想マシン151に対して出力する。
【0049】
ステップF107:業務用仮想マシン151は、ウェブシステム1の一部の機能の処理を実行する。ここで、業務用仮想マシン151は、例えば、通信データAのパケットのフォーマットを、インターネットのHTTPのプロトコルから、Webサーバ100とAPサーバ200との間における通信のプロトコルのフォーマットに変換する処理を行なう。
【0050】
ステップF108:業務用仮想マシン151は、所定の処理が終了し、フォーマット変換後の通信データAを、仮想マシン114に対して出力する。
【0051】
ステップF109:仮想マシン114は、自身内部に備えられた識別情報テーブルを参照し、仮想マシン111から供給された送信元識別情報と同一の送信元識別情報が存在するか否かを検索する。
【0052】
ステップF110:仮想マシン114は、識別情報テーブルにおいて、仮想マシン111から供給された送信元識別情報と同一の送信元識別情報が抽出された場合、この送信元識別情報に対応する識別情報Rを識別情報テーブルから読み出す。そして、仮想マシン114は、識別情報テーブルの最終アクセス日時を、読み出した時点の日時に書き換えて変更する。
【0053】
一方、仮想マシン114は、識別情報テーブルにおいて、仮想マシン111から供給された送信元識別情報と同一の送信元識別情報が抽出されない場合、この送信元識別情報に対する識別情報Rを生成する。そして、仮想マシン114は、送信元識別情報と生成した識別情報Rとを識別情報テーブルに書き込む。また、仮想マシン114は、識別情報テーブルの最終アクセス日時を、上記書き込み処理を行なった日時として書き込む。
【0054】
ステップF111:仮想マシン114は、通信データAに対して、この通信データAの送信元識別情報に対応する識別情報Rを付加する。
【0055】
ステップF112:仮想マシン114は、識別情報Rを付加した通信データAを、APサーバ200に対して出力する。
【0056】
ステップF113:仮想マシン114は、通信データAをAPサーバ200に対して出力した後、通信データAに対する処理が終了したことを示す終了信号を仮想マシン111に対して出力する。
【0057】
図4は、リクエスト時におけるAPサーバ200の識別情報付与システム210の識別情報Rの付加について説明するシーケンス図である。
【0058】
ステップF201:仮想マシン211は、Webサーバ100から送信される通信データAを受信する。
【0059】
ステップF202:仮想マシン211は、物理NIC231から供給される順番に、通信データAを順次キューに対して蓄積していく。
【0060】
ステップF203:仮想マシン211は、供給された通信データAが初回であるか否かの判定を行なう。ここで、仮想マシン211は、初回であるか否かを初回フラグが立っているか否かにより判定する。
すなわち、仮想マシン211は、初回フラグが立っていない場合、初回であると判定し、通信データAをキューから一つ取り出す。
一方、仮想マシン211は、初回フラグが立っている場合、初回でないと判定し、直前にキューから取り出した通信データAの処理が終了したことを示す終了信号が仮想マシン214から供給されるまで待機する。そして、仮想マシン211は、仮想マシン214から上記終了信号を受信した場合、キューから通信データAを一つ取り出す。
上述したキューは、仮想マシン111の構成と同様に、FIFOの構成であり、APサーバ200が受信した順番に、通信データAが取り出される構成となっている。
【0061】
ステップF204:仮想マシン211は、キューから取り出した通信データAから、識別情報付与システム110が付加した識別情報Rを取り外す。
【0062】
ステップF205:仮想マシン211は、通信データAから取り外した識別情報Rを、仮想マシン214に対して出力する。
【0063】
ステップF206:仮想マシン211は、識別情報Rが取り外された通信データAを、業務用仮想マシン251へ出力する。
【0064】
ステップF207:業務用仮想マシン251は、ウェブシステム1の一部の機能の処理を実行する。ここで、業務用仮想マシン251は、例えば、通信データAのパケットのフォーマットを、Webサーバ100とAPサーバ200との間における通信のプロトコルから、APサーバ200とDBサーバ300との間における通信のプロトコルのフォーマットに変換する処理を行なう。
【0065】
ステップF208:業務用仮想マシン251は、所定の処理が終了し、フォーマット変換後の通信データAを、仮想マシン214に対して出力する。
【0066】
ステップF209:仮想マシン214は、通信データAに対して、仮想マシン211から供給された識別情報Rを付加する。
【0067】
ステップF210:仮想マシン214は、識別情報Rを付加した通信データAを、DB300に対して出力する。
【0068】
ステップF211:仮想マシン214は、通信データAをDBサーバ300に対して出力した後、通信データAに対する処理が終了したことを示す終了信号を仮想マシン211に対して出力する。
【0069】
図5は、DBサーバ300の識別情報付与システム310の識別情報Rの付加について説明するシーケンス図である。図5(a)は、リクエスト時におけるDBサーバ300の識別情報付与システム310の識別情報Rの取り外しを説明している。
【0070】
ステップF301:仮想マシン311は、APサーバ200から送信される通信データAを受信する。
【0071】
ステップF302:仮想マシン311は、物理NIC331から供給される順番に、通信データAを順次キューに対して蓄積していく。
【0072】
ステップF303:仮想マシン311は、供給された通信データAが初回であるか否かの判定を行なう。ここで、仮想マシン311は、初回であるか否かを初回フラグが立っているか否かにより判定する。
すなわち、仮想マシン311は、初回フラグが立っていない場合、初回であると判定し、通信データAをキューから一つ取り出す。
一方、仮想マシン311は、初回フラグが立っている場合、初回でないと判定し、直前にキューから取り出した通信データAの応答である通信データBが業務用仮想マシン351から供給され、この通信データをAPサーバ200に対して出力したか否か、すなわち直前の通信データAに対する処理が終了したか否かを判定し、直前の通信データAに対する処理が終了するまで待機する。そして、仮想マシン311は、直前の通信データAに対する処理が終了したことを検出した場合、キューから通信データAを一つ取り出す。
上述したキューは、仮想マシン111の構成と同様に、FIFOの構成であり、APサーバ200が受信した順番に、通信データAが取り出される構成となっている。
【0073】
ステップF304:仮想マシン311は、通信データAから識別情報Rを取り外し、取り外した識別情報Rを内部に保持し、識別情報Rを取り外した通信データAを、業務用仮想マシン351へ出力する。
【0074】
ステップF305:業務用仮想マシン251は、ウェブシステム1の一部の機能の処理を実行する。ここで、業務用仮想マシン251は、例えば、通信データAにおけるデータベース(不図示)における検索依頼に対応する処理を実行する。
【0075】
図5(b)は、レスポンス時におけるDBサーバ300の識別情報付与システム310の識別情報Rの付加について説明している。
【0076】
ステップF310:業務用仮想マシン351は、通信データAに対応した処理を実行した後、この通信データA対する応答である通信データBを、仮想マシン311に対して出力する。
【0077】
ステップF311:仮想マシン311は、内部で記憶していた識別情報Rを、業務用仮想マシン351から供給される通信データBに対して付加する。
【0078】
ステップF312:仮想マシン311は、識別情報Rを付加した通信データBを、APサーバ200に対して出力する。このとき、仮想マシン311は、この通信データAに対する処理が終了したことを検出する。
【0079】
図6は、レスポンス時におけるAPサーバ200の識別情報付与システム210の識別情報Rの付加について説明するシーケンス図である。
【0080】
ステップF221:仮想マシン214は、DBサーバ300から送信される通信データBを受信する。
【0081】
ステップF222:仮想マシン214は、物理NIC232から供給される順番に、通信データBを順次キューに対して蓄積していく。
【0082】
ステップF223:仮想マシン214は、供給された通信データBが初回であるか否かの判定を行なう。ここで、仮想マシン214は、初回であるか否かを初回フラグが立っているか否かにより判定する。
すなわち、仮想マシン214は、初回フラグが立っていない場合、初回であると判定し、通信データBをキューから一つ取り出す。
一方、仮想マシン214は、初回フラグが立っている場合、初回でないと判定し、直前にキューから取り出した通信データBの処理が終了したことを示す終了信号が仮想マシン211から供給されるまで待機する。そして、仮想マシン214は、仮想マシン211から上記終了信号を受信した場合、キューから通信データBを一つ取り出す。
上述したキューは、仮想マシン111の構成と同様に、FIFOの構成であり、APサーバ200が受信した順番に、通信データBが取り出される構成となっている。
【0083】
ステップF224:仮想マシン214は、キューから取り出した通信データBから、識別情報付与システム310が付加した識別情報Rを取り外す。
【0084】
ステップF225:仮想マシン214は、識別情報Rが取り外された通信データBを、業務用仮想マシン251へ出力する。
【0085】
ステップF226:仮想マシン214は、通信データBから取り外した識別情報Rを、仮想マシン211に対して出力する。
【0086】
ステップF227:業務用仮想マシン251は、ウェブシステム1の一部の機能の処理を実行する。ここで、業務用仮想マシン251は、例えば、APサーバ200とDBサーバ300との間における通信のプロトコルから、通信データBのパケットのフォーマットを、Webサーバ100とAPサーバ200との間における通信のプロトコルのフォーマットに変換する処理を行なう。
【0087】
ステップF228:業務用仮想マシン251は、所定の処理が終了し、フォーマット変換後の通信データBを、仮想マシン211に対して出力する。
【0088】
ステップF229:仮想マシン211は、通信データBに対して、仮想マシン214から供給された識別情報Rを付加する。
【0089】
ステップF230:仮想マシン211は、識別情報Rを付加した通信データBを、Webサーバ100に対して出力する。
【0090】
ステップF231:仮想マシン211は、通信データBをWebサーバ100に対して出力した後、通信データBに対する処理が終了したことを示す終了信号を仮想マシン214に対して出力する。
【0091】
図7は、レスポンス時におけるWebサーバ100の識別情報付与システム110の識別情報Rの付加について説明するシーケンス図である。
【0092】
ステップF121:仮想マシン114は、APサーバ200のから送信される通信データBを受信する。
【0093】
ステップF122:仮想マシン114は、物理NIC132から供給される順番に、通信データBを順次キューに対して蓄積していく。
【0094】
ステップF123:仮想マシン114は、供給された通信データBが初回であるか否かの判定を行なう。ここで、仮想マシン114は、初回であるか否かを初回フラグが立っているか否かにより判定する。
すなわち、仮想マシン114は、初回フラグが立っていない場合、初回であると判定し、通信データBをキューから一つ取り出す。
一方、仮想マシン114は、初回フラグが立っている場合、初回でないと判定し、直前にキューから取り出した通信データBの処理が終了したことを示す終了信号が仮想マシン111から供給されるまで待機する。そして、仮想マシン114は、仮想マシン111から上記終了信号を受信した場合、キューから通信データBを一つ取り出す。
上述したキューは、FIFOの構成であり、Webサーバ100が受信した順番に、通信データBが取り出される構成となっている。
【0095】
ステップF124:仮想マシン114は、キューから取り出した通信データBから、識別情報Bを取り外す。
【0096】
ステップF125:仮想マシン114は、識別情報Bを取り外した後、通信データBを業務用仮想マシン151に対して出力する。
【0097】
ステップF126:仮想マシン114は、通信データBから抽出した識別情報Rを、仮想マシン111に対して出力する。
【0098】
ステップF127:業務用仮想マシン151は、ウェブシステム1の一部の機能の処理を実行する。ここで、業務用仮想マシン151は、例えば、通信データBのパケットのフォーマットを、Webサーバ100とAPサーバ200との間における通信のプロトコルから、インターネットのHTTPのプロトコルのフォーマットに変換する処理を行なう。
【0099】
ステップF128:業務用仮想マシン151は、所定の処理が終了し、フォーマット変換後の通信データBを、仮想マシン111に対して出力する。
【0100】
ステップF129:仮想マシン111は、仮想マシン114から供給された識別情報Rを、業務用仮想マシン151から供給される通信データBに対して付加する。
【0101】
ステップF130:仮想マシン111は、識別情報Rが付加された通信データBを、物理NIC133を介して、フェイククライアント500に対して出力する。
【0102】
ステップF131:仮想マシン111は、識別情報Rが付加されていない通信データBを、物理NIC131を介して、クライアント400に対して出力する。
【0103】
ステップF132:仮想マシン111は、識別情報Rを付加した通信データB(識別情報Rを取り外していない通信データB)を、APサーバ200に対して出力する。
【0104】
ステップF133:仮想マシン111は、通信データBをクライアント400及びフェイククライアント500の各々に対して出力した後、通信データBに対する処理が終了したことを示す終了信号を仮想マシン114に対して出力する。
【0105】
上述した構成において、ログ収集サーバ700は、収集ポイント601、収集ポイント602及び収集ポイント603の各々において、通信情報(通信情報Aまたは通信情報B)を収集し、収集した日時に対応してログ収集データベース800に蓄積する。
そして、ログ収集サーバ700は、セキュリティインシデントの調査を行なう際、仮想マシン114の識別情報テーブルを参照し、ログ収集データベース800に蓄積されている通信データの履歴において、問題のある通信データに付加されている識別情報Rから、通信データの対応付け及び送信元識別情報の検出処理を行なうことにより問題の解析を行なう。
【0106】
上述したように、本実施形態によれば、クライアント400、Webサーバ100、APサーバ200及びDBサーバ300の各々の間において送受信される通信データに対し、識別情報Rを付加することにより、ウェブシステム1において送受信される通信データの各々の対応付けをこの識別情報Rにより行なうことができ、通信データの各々をログ(ログB)とし、システムに対する攻撃に対して、容易にセキュリティインシデントの調査を行なうことができる。
【0107】
また、本実施形態によれば、クライアントからのリクエストに対するレスポンスにおいて、フェイククライアント500を設け、Webサーバ100からのクライアント400に対するレスポンスの通信データBに対しては識別情報Rを付加せず、フェイククライアント500に対する通信データBに対しては識別情報Rを付加しているため、攻撃者に気づかれることなく、クライアント400に対する通信データA及び通信データBの各サーバ間の送受信におけるログ収集のための対応付けを行なうことができる。
【0108】
また、本実施形態によれば、Webサーバ100、APサーバ200及びDBサーバ300の各々において、識別情報付与システム110、識別情報付与システム210、識別情報付与システム310それぞれが、入力時に識別情報Rを取り外し、出力時に識別情報Rの付加を行なうため、業務用仮想マシン151、業務用仮想マシン251及び業務用仮想マシン351には従来と同様の通信データが供給され、識別情報Rを意識する必要が無い。このため、本実施形態によれば、業務用仮想マシン151、業務用仮想マシン251及び業務用仮想マシン351の各々の設計において、識別情報Rに対する対応を必要とせず、システム設計者が負担を増加させることなく、業務用仮想マシンの設計を行なうことができる。
【0109】
また、本実施形態において、所定の期間ごとに、送信元識別情報に対応する識別情報Rを変更する処理を行なってもよい。
送信元情報であるIPアドレスの使用者が変更となったり、なりすましでIPアドレスが使用されるなどの場合、識別情報Rを変更しないと、IPアドレスがいずれの使用者であった期間にセキュリティの問題が発生したかを区別することができないため、所定の期間(例えば、一ヶ月)毎、あるいは最終アクセス日時から所定の期間(例えば、一ヶ月)が経過した時点において識別情報Rを変更する構成としても良い。
【0110】
図8は、仮想マシン114内部に備えられた識別情報テーブルの他の構成例を示す図である。図8において、他の構成例としての識別情報テーブルは、レコード毎に、送信元識別情報、識別情報R及び最終アクセス日時の各々の欄に加えて、有効フラグの欄が設けられている。有効フラグは、識別情報Rが有効か否かを示し、フラグが立っている(データ「1」が記載)場合に、識別情報Rが有効であることを示し、フラグが立っていない(データ「0」が記載)場合に、識別情報Rが有効でない(無効である)ことを示している。
【0111】
所定の期間で識別情報Rを変更する場合には、以下の処理が行なわれる。また、所定の期間で識別情報Rを変更する場合には、最終アクセス日時の欄を、識別情報R作成日時と変更した構成とする。識別情報R作成日時は、その識別情報Rを作成した日時を示している。
仮想マシン114は、リクエスト時において、仮想マシン111から送信元識別情報が供給された際、有効フラグが立っている識別情報Rのレコードから、この送信元識別情報を識別情報テーブルにおいて検索する。そして、仮想マシン114は、検索された送信元識別情報の識別情報R作成日時からの経過時間を求める。
このとき、仮想マシン114は、経過時間が所定の期間を超えていない場合、すでに説明した識別情報Rの付加の処理を行なう。
【0112】
一方、仮想マシン114は、経過時間が所定の期間を超えている場合、情報テーブルのこの識別情報Rの有効フラグを立っている状態(有効)から立っていない状態(無効)に変更する。そして、仮想マシン114は、有効でなくした識別情報Rの送信元識別情報に対し、新たな識別情報Rを作成する。仮想マシン114は、新たに作成した識別情報Rを送信元識別情報と対応させて、識別情報テーブルに書き込み、識別情報R作成日時に対して現在の日時を書き込み、有効フラグを有効な状態とする。これにより、仮想マシン114は、すでに説明した識別情報Rの付加の処理を行なう。
【0113】
最終アクセス日時から所定の所定の期間が経過下際に識別情報Rを変更する場合には、以下の処理が行なわれる。
仮想マシン114は、リクエスト時において、仮想マシン111から送信元識別情報が供給された際、有効フラグが立っている識別情報Rのレコードから、この送信元識別情報を識別情報テーブルにおいて検索する。そして、仮想マシン114は、検索された送信元識別情報の最終アクセス日時からの経過時間を求める。
このとき、仮想マシン114は、経過時間が所定の期間を超えていない場合、すでに説明した識別情報Rの付加の処理を行なう。
【0114】
一方、仮想マシン114は、経過時間が所定の期間を超えている場合、情報テーブルのこの識別情報Rの有効な状態から無効の状態に変更する。そして、仮想マシン114は、有効でなくした識別情報Rの送信元識別情報に対し、新たな識別情報Rを作成する。仮想マシン114は、新たに作成した識別情報Rを送信元識別情報と対応させて、識別情報テーブルに書き込み、最終アクセス日時に対して現在の日時を書き込み、有効フラグを有効な状態とする。これにより、仮想マシン114は、すでに説明した識別情報Rの付加の処理を行なう。
【0115】
上述した構成により、本実施形態によれば、送信元情報であるIPアドレスの使用者が変更となったり、なりすましでIPアドレスが使用されるなどの場合、識別情報Rを変更しないと、IPアドレスがいずれの使用者であった期間にセキュリティの問題が発生したかを区別することができる。
【0116】
また、上述した識別情報付与システム110及び業務用仮想マシン151と、識別情報付与システム210及び業務用仮想マシン251と、識別情報付与システム310及び業務用仮想マシン351との各々を、Webサーバ100、APサーバ200、DBサーバ300それぞれにおいて複数個を並列に設ける構成としても良い。この構成の場合、Webサーバ100、APサーバ200、DBサーバ300の各々の物理NICと、識別情報付与システム110、識別情報付与システム210、識別情報付与システム310それぞれとの間にロードバランス部(ロードバランサ)を設け、それぞれの識別情報付与システムと業務用仮想マシンとの組に対して負荷分散を行なう。
これにより、識別情報付与システムと業務用仮想マシンとの組の数に対応して、ウェブシステムにおける処理のスループットを向上させることができる。
【0117】
<第2の実施形態>
以下、図面を参照して、本発明の第2の実施形態について説明する。図9は、本発明の第2の実施形態による識別情報付与システムを用いたウェブシステムの構成例を示す図である。図9のウェブシステム1Aにおいて、図1に示す第1の実施形態と同様の構成については同一の符号を付し、その説明を省略する。以下、第2の実施形態においては、第1の実施形態と異なる構成及び動作について説明する。
【0118】
第1の実施形態と異なる構成としては、Webサーバ100Aの識別情報付与システム110Aにおいて、仮想マシン111と同様の構成である仮想マシン111_1から仮想マシン111_nが設けられ、仮想マシン114と同様の構成である仮想マシン114_1から仮想マシン114_nが設けられている。
仮想マシン111_1から仮想マシン111_nの各々には、ロードバランス部160が接続されている。ロードバランス部160は、クライアント400の各々から供給される通信データAの負荷分散を行い、均等な負荷として、通信データAの各々を仮想マシン111_1から仮想マシン111_nそれぞれに供給する。
【0119】
ここで、仮想マシン111_1から仮想マシン111_nの各々は、仮想マシン114_1、仮想マシン114_2、…仮想マシン114_nそれぞれと、第1の実施形態における仮想マシン111と仮想マシン114との処理の組合わせと同様な組を形成している。
また、第1の実施形態における仮想マシン114に備えられていた識別情報テーブルは、第2の実施形態において、仮想マシン114_1から仮想マシン114_nが共通に使用する一つの識別情報テーブルが、仮想マシン114_1から仮想マシン114_nのいずれかに備えられる。
【0120】
仮想マシン114_1から仮想マシン114_nの各々は、業務用仮想マシン151から出力される通信データAが仮想マシン111_1から仮想マシン111_nのいずれから供給されたかを、仮想NIC112_1、仮想NIC112_2、仮想NIC112_nのIPアドレスにより判定する。同様に、仮想マシン111_1から仮想マシン111_nの各々は、業務用仮想マシン151から出力される通信データBが仮想マシン114_1から仮想マシン114_nのいずれから供給されたかを、仮想NIC115_1、仮想NIC115_2、仮想NIC115_nのIPアドレスにより判定する。
【0121】
仮想マシン111_1から仮想マシン111_nの各々は、仮想ブリッジ117を介して、通信データAから抽出した送信元識別情報に対し、仮想NIC112_1、仮想NIC112_2、仮想NIC2_nそれぞれのIPアドレスを付加し、仮想マシン114_1から仮想マシン114_nの全てに送信する。仮想マシン114_1から仮想マシン114_nの各々は、送信元識別情報とともに受信した仮想NICのIPアドレスにより、仮想マシン111_1から仮想マシン111_nそれぞれが処理した通信データAであるかを判定する。
【0122】
仮想マシン111_1から仮想マシン111_nの各々は、仮想NIC113_1、仮想NIC113_2、…、仮想NIC113_n、仮想ブリッジ117、仮想NIC116_1、仮想NIC116_2、…、仮想NIC116_nそれぞれを介して、送信元識別情報の送信を行なう。同様に、仮想マシン114_1から仮想マシン114_nの各々は、仮想NIC116_1、仮想NIC116_2、…、仮想NIC116_n、仮想ブリッジ117、仮想NIC113_1、仮想NIC113_2、…、仮想NIC113_nそれぞれを介して、識別情報Rの送信を行なう。
仮想マシン114_1から仮想マシン114_nの各々は、仮想NIC115_1、仮想NIC115_2、…、仮想NIC115_nそれぞれを介して、物理NIC132に対する通信データAの送信、通信データBの受信のそれぞれを行なう。
【0123】
APサーバ200Aの識別情報付与システム210Aにおいて、仮想マシン211と同様の構成である仮想マシン211_1から仮想マシン211_nが設けられ、仮想マシン214と同様の構成である仮想マシン214_1から仮想マシン214_nが設けられている。
仮想マシン211_1から仮想マシン211_nの各々には、ロードバランス部260が接続されている。ロードバランス部260は、Webサーバ100から供給される通信データAの負荷分散を行い、均等な負荷として、通信データAの各々を仮想マシン211_1から仮想マシン211_nそれぞれに供給する。
他の構成については、Webサーバ100Aと同様である。
【0124】
また、DBサーバ300Aの識別情報付与システム310Aにおいて、仮想マシン311と同様の構成である仮想マシン311_1から仮想マシン311_nが設けられている。
仮想マシン311_1から仮想マシン311_nの各々には、ロードバランス部360が接続されている。ロードバランス部360は、APサーバ200から供給される通信データAの負荷分散を行い、均等な負荷として、通信データAの各々を仮想マシン311_1から仮想マシン311_nそれぞれに供給する。
他の構成については、Webサーバ100Aと同様である。
【0125】
上述した構成により、本実施形態によれば、Webサーバ100A、APサーバ200A及びDBサーバ300Aの各々に入力される通信データAの負荷分散をロードバランス部により行ない、仮想マシン111_1から仮想マシン111_nの各々と、仮想マシン211_1から仮想マシン211_nの各々と、仮想マシン311_1から仮想マシン311_nの各々とに対して行なうため、負荷分散を行なわずに、供給される全ての通信データを、一つの仮想マシン111、仮想マシン211、仮想マシン311において直列で処理する構成の第1の実施形態のウェブシステム1に比較して、ウェブシステム1Aのスループットを向上させることができる。
また、上述した構成において、ログ収集サーバ(不図示)は、収集ポイント601、収集ポイント602及び収集ポイント603の各々において、通信情報(通信情報Aまたは通信情報B)を収集し、収集した日時に対応してログ収集データベース(不図示)に蓄積する。
【0126】
<第3の実施形態>
以下、図面を参照して、本発明の第3の実施形態について説明する。図10は、本発明の第3の実施形態による識別情報付与システムを用いたウェブシステムの構成例を示す図である。図10のウェブシステム1Bにおいて、図1に示す第1の実施形態と同様の構成については同一の符号を付し、その説明を省略する。以下、第3の実施形態においては、第1の実施形態と異なる構成及び動作について説明する。
【0127】
第1の実施形態と異なる構成としては、Webサーバ100Bの識別情報付与システム110Bにおいて、業務用仮想マシン151と同様の構成である業務用仮想マシン151_1から業務用仮想マシン151_nが設けられている。
業務用仮想マシン151_1から業務用仮想マシン151_nの各々には、ロードバランス部160が接続されている。ロードバランス部160は、仮想マシン111から供給される通信データAの負荷分散を行い、均等な負荷として、通信データAの各々を業務用仮想マシン151_1から仮想マシン151_nそれぞれに供給する。
【0128】
ここで、業務用仮想マシン151_1から業務用仮想マシン151_nの各々は、第1の実施形態における業務用仮想マシン151と同様の処理を行なう仮想マシンである。
業務用仮想マシン151_1から業務用仮想マシン151_nの各々は、それぞれ仮想NIC152_1、仮想NIC152_2、…、仮想NIC152_nを介して、ロードバランス部160及び仮想マシン114との通信データ(通信データA、通信データB)の送受信を行なう。
【0129】
仮想マシン111は、業務用仮想マシン151_1から業務用仮想マシン151_nのいずれに通信データAを出力したかの情報として、ロードバランス部160から、通信データAの出力先の業務用仮想マシンのIPアドレスを受信する。仮想マシン111は、通信データAの送信元識別情報とともに、通信データAの出力先である業務用仮想マシン151_1から業務用仮想マシン151_nのいずれかのIPアドレスを、仮想ブリッジ117を介して、仮想マシン114に対して供給する。
これにより、仮想マシン114は、業務用仮想マシン151_1から業務用仮想マシン151_nの各々から出力される通信データAそれぞれが、いずれの送信元識別情報から供給されたかを特定することができる。すなわち、業務用仮想マシン151_1から業務用仮想マシン151_nの各々に入力された通信データAと、それぞれから出力される通信データAとの対応付けが可能となり、出力される通信データAと送信元識別情報との対応関係を容易に得ることができる。
【0130】
また、APサーバ200Bの識別情報付与システム210Bにおいて、業務用仮想マシン251と同様の構成である業務用仮想マシン251_1から業務用仮想マシン251_nが設けられている。
業務用仮想マシン251_1から業務用仮想マシン251_nの各々には、ロードバランス部260が接続されている。ロードバランス部260は、仮想マシン211から供給される通信データAの負荷分散を行い、均等な負荷として、通信データAの各々を業務用仮想マシン251_1から仮想マシン251_nそれぞれに供給する。
【0131】
ここで、業務用仮想マシン251_1から業務用仮想マシン251_nの各々は、第1の実施形態における業務用仮想マシン151と同様の処理を行なう仮想マシンである。
業務用仮想マシン251_1から業務用仮想マシン251_nの各々は、それぞれ仮想NIC252_1、仮想NIC252_2、…、仮想NIC252_nを介して、ロードバランス部260及び仮想マシン214との通信データ(通信データA、通信データB)の送受信を行なう。
他の構成については、Webサーバ100Bと同様である。
【0132】
また、DBサーバ300Bの識別情報付与システム310Bにおいて、業務用仮想マシン351と同様の構成である業務用仮想マシン351_1から業務用仮想マシン351_nが設けられている。
業務用仮想マシン351_1から業務用仮想マシン251_nの各々には、ロードバランス部260が接続されている。ロードバランス部360は、仮想マシン311から供給される通信データAの負荷分散を行い、均等な負荷として、通信データAの各々を業務用仮想マシン351_1から業務用仮想マシン351_nそれぞれに供給する。
【0133】
ここで、業務用仮想マシン351_1から業務用仮想マシン351_nの各々は、第1の実施形態における業務用仮想マシン351と同様の処理を行なう仮想マシンである。
業務用仮想マシン351_1から業務用仮想マシン351_nの各々は、それぞれ仮想NIC352_1、仮想NIC352_2、…、仮想NIC352_nを介して、ロードバランス部360及び仮想マシン314との通信データ(通信データA、通信データB)の送受信を行なう。
他の構成については、Webサーバ100Bと同様である。
【0134】
上述した構成により、本実施形態によれば、Webサーバ100B、APサーバ200B及びDBサーバ300Bの各々に入力される通信データAの各々を、仮想マシン111と仮想マシン211との間における業務用仮想マシン151_1から業務用仮想マシン151_nでロードバランス部により負荷分散を行なうため、負荷分散を行なわずに、供給される全ての通信データを、一つの仮想マシン111、仮想マシン211、仮想マシン311において直列で処理する構成の第1の実施形態のウェブシステム1に比較して、ウェブシステム1Bのスループットを向上させることができる。
また、上述した構成において、ログ収集サーバ(不図示)は、収集ポイント601、収集ポイント602及び収集ポイント603の各々において、通信情報(通信情報Aまたは通信情報B)を収集し、収集した日時に対応してログ収集データベース(不図示)に蓄積する。
【0135】
また、本実施形態においては、Webサーバ100B、APサーバ200B及びDBサーバ300Bの各々において、それぞれ業務用仮想マシン151_1から業務用仮想マシン151_n、業務用仮想マシン251_1から業務用仮想マシン251_n、業務用仮想マシン351から業務用仮想マシン251_nを備え、各サーバが業務用仮想マシンを複数個設ける構成とした。しかしながら、すでに説明した、各サーバにおいて複数個の仮想マシンを備える第2の実施形態と、各サーバにおいて複数個の業務用仮想マシンを備える本実施形態とを組み合わせた構成としても良い。
すなわち、Webサーバ100Bは、仮想マシン111_1から仮想マシン111_mと、業務用仮想マシン151_1から業務用仮想マシン151_nと、仮想マシン114_1から仮想マシン114_mとを備える構成としても良い。同様に、APサーバ200Bは、仮想マシン211_1から仮想マシン211_mと、業務用仮想マシン251_2から業務用仮想マシン251_n、仮想マシン214_1から仮想マシン214_mとを備える構成としても良い。また、DBサーバ300Bは、仮想マシン311_1から仮想マシン311_mと、業務用仮想マシン351_2から業務用仮想マシン351_nとを備える構成としても良い。このように、異なる、あるいは同一の個数で、仮想マシン及び業務用仮想マシンの各々を、各サーバにおいて並列に複数備える構成においても、ロードバランス部を設け、第2の実施形態あるいは第3の実施形態と同様に、仮想マシンあるいは業務用仮想マシンに対する通信データの負荷分散を行なう。
【0136】
<第4の実施形態>
以下、図面を参照して、本発明の第4の実施形態について説明する。図11は、本発明の第4の実施形態による識別情報付与システムを用いたウェブシステムの構成例を示す図である。図11のウェブシステム1Cにおいて、図1に示す第1の実施形態と同様の構成については同一の符号を付し、その説明を省略する。以下、第4の実施形態においては、第1の実施形態と異なる構成及び動作について説明する。
【0137】
第1の実施形態と異なる構成は、Webサーバ100Cに対してのみ、識別情報付与システム110Cを設け、APサーバ200C及びDBサーバ300Cの各々に対して、それぞれ識別情報システムを設けない点にある。
識別情報付与システム110Cにおける仮想マシン114Cは、識別情報Rを通信情報Aに対して付与するが、通信データであるパケットにおいて、業務用仮想マシン151、業務用仮想マシン251及び業務用仮想マシン351の各々における処理で、外されたりあるいは処理に対して影響を与えない所定の領域に、識別情報Rを埋め込む。この所定の領域は、例えば、TCP/IP(Transmission Control Protocol/Internet Protocol)のアプリケーションレイヤの拡張データ領域である。識別情報の生成などの他の処理は、第1の実施形態における仮想マシン114と同様である。
また、識別情報付与システム110Cにおける識別情報テーブルの構成は、第1の実施形態と同様である。
【0138】
仮想マシン111は、所定の領域に埋め込まれた識別情報Rを取りはずさない通信データBをフェイククライアント500に対して出力し、所定の領域に埋め込まれた識別情報Rを取り外した通信データBをクライアント400に対して出力する。
また、上述した構成において、ログ収集サーバ(不図示)は、収集ポイント601、収集ポイント602及び収集ポイント603の各々において、通信情報(通信情報Aまたは通信情報B)を収集し、収集した日時に対応してログ収集データベース(不図示)に蓄積する。
【0139】
これにより、本実施形態によれば、APサーバ200C及びDBサーバの各々においては、識別情報Rの付加及び取り外しの処理を行なう必要がないため、処理時間を短縮することができ、スループットを向上させることができる。
また、本実施形態によれば、識別情報付与システム110Cのみの設計及び実装を行なえばよいため、第1の実施形態から第3の実施形態の各々に比較して、作業時間及びコストを低減することができる。
【0140】
また、図1図9図10及び図11の各々における識別情報付与システムにおける識別情報Rの付加及び取り外しに関する機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより、識別情報Rの付加及び取り外しの処理を行ってもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。
【0141】
また、「コンピュータシステム」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムを送信する場合の通信線のように、短時間の間、動的にプログラムを保持するもの、その場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含むものとする。また上記プログラムは、前述した機能の一部を実現するためのものであっても良く、さらに前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるものであっても良い。
【0142】
以上、この発明の実施形態を図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
【符号の説明】
【0143】
1,1A,1B,1C…ウェブシステム
100,100A,100B,100C…Webサーバ
110,110A,110B,110C,210A,210B,310A,310B…識別情報付与システム
111,111_1,111_1,111_n,114,114_1,114_1,114_n,114C,211,211_1,211_1,211_n,214,214_1,214_1,214_n,311,311_1,311_1,311_n,314,314_1,314_1,314_n…仮想マシン
112,113,115,116,152,212,213,215,216,152,312,352…仮想NIC
117,118,217,218,318…仮想ブリッジ
160,260,360…ロードバランス部
151,151_1,151_1,151_n,251,251_1,251_1,251_n,351_1,351_1,351_n…業務用仮想マシン
200,200A,200B,200C…APサーバ
300,300A,300B,300C…DBサーバ
400…クライアント
500…フェイククライアント
700…ログ収集サーバ
800…ログ収集データベース
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.