知財求人 - 知財ポータルサイト「IP Force」
特開2022-68808クラウド・セキュリティ・コンプライアンスの順守の有無の診断及び管理装置
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2022068808
(43)【公開日】2022-05-10
(54)【発明の名称】クラウド・セキュリティ・コンプライアンスの順守の有無の診断及び管理装置
(51)【国際特許分類】
G06F 21/57 20130101AFI20220427BHJP
G06F 21/33 20130101ALI20220427BHJP
【FI】
G06F21/57 370
G06F21/33
【審査請求】有
【請求項の数】5
【出願形態】OL
(21)【出願番号】P 2020195165
(22)【出願日】2020-11-25
(11)【特許番号】
(45)【特許公報発行日】2022-03-01
(31)【優先権主張番号】10-2020-0137893
(32)【優先日】2020-10-22
(33)【優先権主張国・地域又は機関】KR
(71)【出願人】
【識別番号】520462735
【氏名又は名称】テータム インコーポレイテッド
(74)【代理人】
【識別番号】100082418
【弁理士】
【氏名又は名称】山口 朔生
(74)【代理人】
【識別番号】100167601
【弁理士】
【氏名又は名称】大島 信之
(74)【代理人】
【識別番号】100201329
【弁理士】
【氏名又は名称】山口 真二郎
(74)【代理人】
【識別番号】100220917
【弁理士】
【氏名又は名称】松本 忠大
(72)【発明者】
【氏名】ヤン、ヒョクチェ
(57)【要約】 (修正有)
【課題】クライアントのクラウドのセキュリティに関する全体の危険レベルを一目で把握できるクラウド・セキュリティ・コンプライアンスの順守の有無の診断及び管理装置を提供する。
【解決手段】クラウド・セキュリティ・コンプライアンスの順守の有無の診断及び管理方法は、クラウド・サービス・プロバイダから発行されたアクセス認証キーを受信し、クライアントのクラウドに接続する。接続に伴いクラウド・リソース・セキュリティ設定情報を順次に要請して受信し、互いに異なる形式のデータセットを同じ形式のデータセットに順次に変換し且つ統合する。そして、統合されたデータセットを用いて、クラウド・セキュリティ・コンプライアンス・ガイドラインに合うかどうかをチェックし、かつ、チェックリストを生成する。そして、チェックリストを活用して、時間帯別/リソース分布別/アカウント別にクラウドのセキュリティ設定に対する危険度の推移分析を行う。
【選択図】図5
【解決手段】クラウド・セキュリティ・コンプライアンスの順守の有無の診断及び管理方法は、クラウド・サービス・プロバイダから発行されたアクセス認証キーを受信し、クライアントのクラウドに接続する。接続に伴いクラウド・リソース・セキュリティ設定情報を順次に要請して受信し、互いに異なる形式のデータセットを同じ形式のデータセットに順次に変換し且つ統合する。そして、統合されたデータセットを用いて、クラウド・セキュリティ・コンプライアンス・ガイドラインに合うかどうかをチェックし、かつ、チェックリストを生成する。そして、チェックリストを活用して、時間帯別/リソース分布別/アカウント別にクラウドのセキュリティ設定に対する危険度の推移分析を行う。
【選択図】図5
【特許請求の範囲】
【請求項1】
クラウド・サービス・プロバイダから発行されたアクセス認証キーを活用して、クライアントのクラウドに接続するクラウド接続部と、
前記接続に伴いクライアントのクラウドのセキュリティ設定情報を順次スキャンして複数のセキュリティ設定情報データセットを生成し、互いに異なる形式からなる前記セキュリティ設定情報データセットのデータ形式を変更し且つ統合した統合設定情報データセットを生成するクラウド・リソース・セキュリティ設定情報スキャン部と、
提供されたクラウド・セキュリティ・コンプライアンス・ガイドラインと前記統合設定情報データセットとを互いに比較評価することにより、クライアント・クラウドのセキュリティ・コンプライアンスを診断するクラウド・セキュリティ・コンプライアンス診断部と、を備えることを特徴とする、
クラウド・セキュリティ・コンプライアンスの順守の有無の診断及び管理装置。
前記接続に伴いクライアントのクラウドのセキュリティ設定情報を順次スキャンして複数のセキュリティ設定情報データセットを生成し、互いに異なる形式からなる前記セキュリティ設定情報データセットのデータ形式を変更し且つ統合した統合設定情報データセットを生成するクラウド・リソース・セキュリティ設定情報スキャン部と、
提供されたクラウド・セキュリティ・コンプライアンス・ガイドラインと前記統合設定情報データセットとを互いに比較評価することにより、クライアント・クラウドのセキュリティ・コンプライアンスを診断するクラウド・セキュリティ・コンプライアンス診断部と、を備えることを特徴とする、
クラウド・セキュリティ・コンプライアンスの順守の有無の診断及び管理装置。
【請求項2】
前記クラウド・リソース・セキュリティ設定情報スキャン部は、前記接続に伴いクライアントのクラウドのセキュリティ設定情報を順次要請するクラウド・リソース・セキュリティ設定情報要請部と、前記要請に従い、接続されたクライアントの個別のクラウドから互いに異なる形式からなるセキュリティ設定情報を順次受信して前記セキュリティ設定情報データセットを生成するクラウド・リソース・セキュリティ設定情報取集部と、順次入力された互いに異なる形式からなるセキュリティ設定情報データセットの形式を順次変更し且つ統合して前記統合設定情報データセットを生成するデータ形式統合部と、を備えることを特徴とする請求項1に記載のクラウド・セキュリティ・コンプライアンスの順守の有無の診断及び管理装置。
【請求項3】
前記クライアント・クラウドのセキュリティ・コンプライアンス項目の評価診断に伴いセキュリティ・コンプライアンスの順守の有無をチェックするセキュリティ・コンプライアンス順守チェック部と、セキュリティ・コンプライアンスの未順守項目に対する原因を分析して提供する未順守項目原因分析部を有するセキュリティ・コンプライアンス・チェックリスト部と、をさらに備えることを特徴とする請求項2に記載のクラウド・セキュリティ・コンプライアンスの順守の有無の診断及び管理装置。
【請求項4】
前記セキュリティ・コンプライアンス・チェックリスト部において生成されたセキュリティ・コンプライアンス診断データセットに基づいて、セキュリティ・コンプライアンスに対する時間帯別、アカウント別、及びリソース別の変動推移を分析して提供する推移分析提供部をさらに備えることを特徴とする請求項3に記載のクラウド・セキュリティ・コンプライアンスの順守の有無の診断及び管理装置。
【請求項5】
前記未順守項目原因分析部の原因分析に従い、順守されていないセキュリティ・コンプライアンスを修正できるように対応URL(ユニフォーム・リソース・ロケータ)を提供するクラウド・セキュリティ・コンプライアンス措置部をさらに備えることを特徴とする請求項4に記載のクラウド・セキュリティ・コンプライアンスの順守の有無の診断及び管理装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、クラウド・セキュリティ・コンプライアンスの順守の有無の診断及び管理装置に係り、さらに詳しくは、クラウドのセキュリティ設定情報をスキャンし、スキャン情報を用いて、国際的なセキュリティガイドラインを順守したか否かを比較評価することにより、セキュリティ設定の誤りを修正するようにするクラウド・セキュリティ・コンプライアンスの順守の有無の診断及び管理装置に関する。
【背景技術】
【0002】
一般に、個別のクライアントは、各クラウド・サービス・プロバイダからクラウド・サービスを提供されてクラウドを運用する。クライアントのセキュリティ管理担当者は、クラウド・サービス・プロバイダからサービスを提供された自社のクラウドを運用しつつ、それぞれのクラウド・リソースに対するセキュリティ設定値を設定する。この際、主なセキュリティ設定としては、外部ユーザの管理、キー管理、権限管理、インタネットへの露出の有無、暗号化の設定の有無、バックアップの設定の有無、スナップショットの設定の有無、イメージバックアップの設定の有無などが挙げられ、セキュリティ管理担当者は、セキュリティに関連する項目を設定する。
【0003】
一方、かようなセキュリティ管理担当者がクラウドを運用しつつ設定するセキュリティに関連するイッシュは、セキュリティ管理担当者が設定するセキュリティ設定値の誤りがほとんどである。このようなセキュリティ設定値の誤りは、例えば、クラウドのリソースをインタネットに露出させる虞があり、個人情報へのアクセス権限の設定誤りに起因して外部から個人情報にアクセスできるという不都合がある。
【0004】
このように、内部において設定したセキュリティ設定値を国際的に通用されているセキュリティガイドラインに合うように管理する装置の開発が至急望まれている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】大韓民国登録特許公報第10-1544750号
【特許文献2】大韓民国登録特許公報第10-2018-0015640号
【特許文献3】大韓民国登録特許公報第10-1914416号
【発明の概要】
【発明が解決しようとする課題】
【0006】
したがって、本発明は、前述したような不都合を解決するために案出されたものであり、クライアントのクラウドのセキュリティ設定に対するガイドライン順守事項を比較評価し、クラウドのセキュリティ設定に対する危険度の推移分析を時間帯別、アカウント別、リソース別に行ってセキュリティに関連する全体の危険レベルを一目で把握できるクラウド・セキュリティ・コンプライアンスの順守の有無の診断及び管理装置を提供するところにその目的がある。
【0007】
しかしながら、本発明の目的は、以上において言及された目的に何ら制限されるものではなく、未言及の他の目的は、次の記載から当業者にとって明らかに理解できる筈である。
【課題を解決するための手段】
【0008】
前述した本発明の目的は、クラウド・サービス・プロバイダから発行されたアクセス認証キーを活用して、クライアントのクラウドに接続するクラウド接続部と、接続に伴いクライアントのクラウドのセキュリティ設定情報を順次スキャンして複数のセキュリティ設定情報データセットを生成し、互いに異なる形式からなるセキュリティ設定情報データセットのデータ形式を変更し且つ統合した統合設定情報データセットを生成するクラウド・リソース・セキュリティ設定情報スキャン部と、提供されたクラウド・セキュリティ・コンプライアンス・ガイドラインと前記統合設定情報データセットとを互いに比較評価することにより、クライアント・クラウドのセキュリティ・コンプライアンスを診断するクラウド・セキュリティ・コンプライアンス診断部と、を備えることを特徴とするクラウド・セキュリティ・コンプライアンスの順守の有無の診断及び管理装置を提供することにより達成され得る。
【0009】
また、クラウド・リソース・セキュリティ設定情報スキャン部は、接続に伴いクライアントのクラウドのセキュリティ設定情報を順次要請するクラウド・リソース・セキュリティ設定情報要請部と、要請に従い、接続されたクライアントの個別のクラウドから互いに異なる形式からなるセキュリティ設定情報を順次受信してセキュリティ設定情報データセットを生成するクラウド・リソース・セキュリティ設定情報取集部と、順次入力された互いに異なる形式からなるセキュリティ設定情報データセットの形式を順次変更し且つ統合して統合設定情報データセットを生成するデータ形式統合部と、を備える。
【0010】
さらに、前記クラウド・セキュリティ・コンプライアンスの順守の有無の診断及び管理装置は、クライアント・クラウドのセキュリティ・コンプライアンス項目の評価診断に伴いセキュリティ・コンプライアンスの順守の有無をチェックするセキュリティ・コンプライアンス順守チェック部と、セキュリティ・コンプライアンスの未順守項目に対する原因を分析して提供する未順守項目原因分析部を有するセキュリティ・コンプライアンス・チェックリスト部と、をさらに備える。
【0011】
さらにまた、前記クラウド・セキュリティ・コンプライアンスの順守の有無の診断及び管理装置は、セキュリティ・コンプライアンス・チェックリスト部において生成されたセキュリティ・コンプライアンス診断データセットに基づいて、セキュリティ・コンプライアンスに対する時間帯別、アカウント別、及びリソース別の変動推移を分析して提供する推移分析提供部をさらに備える。
【0012】
これらに加えて、前記クラウド・セキュリティ・コンプライアンスの順守の有無の診断及び管理装置は、未順守項目原因分析部の原因分析に従い、順守されていないセキュリティ・コンプライアンスを修正できるように対応URL(ユニフォーム・リソース・ロケータ)を提供するクラウド・セキュリティ・コンプライアンス措置部をさらに備える。
【発明の効果】
【0013】
前述したように、本発明によれば、クライアントのクラウドのセキュリティ設定に対するガイドラインの順守事項を比較評価し、クラウドのセキュリティ設定に対する危険度の推移分析を時間帯別、アカウント別、リソース別に行ってセキュリティに関連する全体の危険レベルを一目で把握することができるという効果がある。
【0014】
また、クラウド・リソースのセキュリティ設定に関連する危険度をリアルタイムにて見出し且つ評価してガイドライン違反と危険に対する措置を速やかに取ることができるという効果がある。
【0015】
さらに、ガイドラインまたはクラウド・セキュリティ・ポリシーに従いクラウドのセキュリティ設定に関連する危険要素を探知し且つ対応策を取り、予測することにより予防することができるという効果がある。
【0016】
この明細書に添付される次の図面は、本発明の好適な一実施形態を例示するものにすぎず、発明の詳細な説明とともに本発明の技術的思想をなお一層理解しやすくする役割を果たすものであるため、本発明は、そのような図面に記載されている事項にのみ限定されて解釈されてはならない。
【図面の簡単な説明】
【0017】
【図1】本発明の一実施形態に係るクライアント・クラウドにアクセスできるアクセス認証キーを発行される手順を示す図である。
【図2】本発明の一実施形態に係るクラウド・セキュリティ・コンプライアンスの順守の有無の診断及び管理装置の構成を概略的に示す図である。
【図3】本発明の一実施形態に係るクラウド・セキュリティ・コンプライアンスの順守の有無の診断及び管理装置の構成を概略的に示す図である。
【図4】本発明の一実施形態に係るクラウド・セキュリティ・コンプライアンスの順守の有無の診断及び管理装置の構成を概略的に示す図である。
【図5】本発明の一実施形態に係るクラウド・セキュリティ・コンプライアンスの順守の有無の診断及び管理方法を示す手順図。
【発明を実施するための形態】
【0018】
以下、添付図面に基づいて、本発明の好適な一実施形態について説明する。また、以下に説明する一実施形態は、特許請求の範囲に記載されている本発明の内容を不当に限定せず、この実施形態において説明される構成の全体が必ずしも本発明の解決手段として欠かせないものであるとは限らない。また、従来の技術及び当業界にとって自明な事項についての説明は省略してもよく、このような省略された構成要素(方法)及び機能についての説明は、本発明の技術的思想を逸脱しない範囲内において十分に参照できる筈である。
【0019】
本発明の一実施形態に係るクラウド・セキュリティ・コンプライアンスの順守の有無の診断及び管理装置は、クライアントのクラウドのセキュリティ設定に関連する項目をスキャンし、分析し且つ診断してセキュリティ・コンプライアンスを順守しない項目をチェックしながらダッシュボードに推移分析の結果を表示し、未順守セキュリティ・コンプライアンスに対して直ちにクライアントが修正できるように対応方案を提供するものである。以下では、添付図面に基づいて、本発明の一実施形態に係るクラウド・セキュリティ・コンプライアンスの順守の有無の診断及び管理装置について詳しく説明する。
【0020】
図1及び図5に基づいて説明する。クラウド・サービス・プロバイダは、クラウド・サービス利用者(すなわち、クライアント)にクラウド・サービスを提供する。クライアントは、提供されたクラウド・サービスを利用し、クラウド・サービスの利用の際に、クライアントは、クラウド・サービスを利用するために、クラウド・リソース(または、インスタンス)に対するセキュリティ設定を行う。この際、クライアントが利用しているクラウドのセキュリティ設定は、一例を挙げると、内部管理者の設定誤りによりセキュリティ上の問題が生じる。したがって、クライアントのクラウドのセキュリティ設定に対するセキュリティ・コンプライアンスの順守の有無をスキャンする必要があり、このようなセキュリティ・コンプライアンスの順守の有無をスキャンするためには、クラウド・サービス・プロバイダからアクセス認証キーを受け取ることを余儀なくされる。
アクセス認証キーの発行のために、まず、クライアントのセキュリティ・コンプライアンスの順守の有無を点検し且つ管理する業体(会社)またはクラウド・セキュリティ点検部300は、クライアントまたはクライアント・サーバ200にクラウドのセキュリティ設定をスキャンできるアクセス認証キーの発行を要請する。アクセス認証キーの発行を要請されたクライアントまたはクライアント・サーバ200は、クラウド・サービス・プロバイダまたはクラウド・サービス・プロバイダ・サーバ110、120、130にアクセス認証キーの発行を再び要請する。
クライアント・サーバ200がクラウド・サービス・プロバイダ・サーバ110、120、130にアクセス認証キーの発行を要請すると、クラウド・サービス・プロバイダ・サーバ110、120、130は、アクセス認証キーを発行してこれをクライアント・サーバ200に伝送する。クライアント・サーバ200は、クラウド・セキュリティ点検部300に再びアクセス認証キーを伝送する。伝送されたアクセス認証キーは、クラウド・セキュリティ点検部300に格納され、これにより、クラウド・セキュリティ点検部300は、クライアントのクラウドに接続することができる。この際、クラウド・サービス・プロバイダにより発行されたアクセス認証キーは、クラウドのセキュリティ設定をスキャンできる最小限のアクセス認証キーである。
アクセス認証キーの発行のために、まず、クライアントのセキュリティ・コンプライアンスの順守の有無を点検し且つ管理する業体(会社)またはクラウド・セキュリティ点検部300は、クライアントまたはクライアント・サーバ200にクラウドのセキュリティ設定をスキャンできるアクセス認証キーの発行を要請する。アクセス認証キーの発行を要請されたクライアントまたはクライアント・サーバ200は、クラウド・サービス・プロバイダまたはクラウド・サービス・プロバイダ・サーバ110、120、130にアクセス認証キーの発行を再び要請する。
クライアント・サーバ200がクラウド・サービス・プロバイダ・サーバ110、120、130にアクセス認証キーの発行を要請すると、クラウド・サービス・プロバイダ・サーバ110、120、130は、アクセス認証キーを発行してこれをクライアント・サーバ200に伝送する。クライアント・サーバ200は、クラウド・セキュリティ点検部300に再びアクセス認証キーを伝送する。伝送されたアクセス認証キーは、クラウド・セキュリティ点検部300に格納され、これにより、クラウド・セキュリティ点検部300は、クライアントのクラウドに接続することができる。この際、クラウド・サービス・プロバイダにより発行されたアクセス認証キーは、クラウドのセキュリティ設定をスキャンできる最小限のアクセス認証キーである。
【0021】
一方、図1において、あるクライアントは、A、B、nクラウド・サービス・プロバイダが提供するクラウド・サービスをそれぞれ利用しており、それぞれのA、B、nクラウドにアクセスできるA、B、nアクセス認証キーをそれぞれ発行される。したがって、クラウド・セキュリティ点検部300は、それぞれの互いに異なるアクセス認証キーを活用して、当該クラウドに接続することができる。
【0022】
図2を参照する。各クラウド・サービス・プロバイダ110、120、130からアクセス認証キーを発行されたクラウド・セキュリティ点検部300は、各クラウドのセキュリティ設定を順次スキャンする。このために、クラウド・セキュリティ点検部300は、クラウド・リソース・セキュリティ設定情報スキャン部(または、パーシング部)を備える。クラウド・リソース・セキュリティ設定情報スキャン部は、クラウドアクセス認証キー受信部310、クラウド接続部315、クラウド・リソース・セキュリティ設定情報要請部320、クラウド・リソース・セキュリティ設定情報取集部330及びデータ形式統合部340を備える。
【0023】
クラウドアクセス認証キー受信部310は、クライアント・サーバ200からA、B、nアクセス認証キーを伝送されてデータベースに格納する。格納されたアクセス認証キーは、クライアントが利用している各クラウド・サービスにアクセスできる認証キーである。
【0024】
クラウド接続部315は、クラウド・サービス・プロバイダから発行されたアクセス認証キーを活用して、セキュリティ設定のスキャンのためにクライアントのクラウドに接続する。
【0025】
クラウド・リソース・セキュリティ設定情報要請部320は、クラウド接続部315によりクライアントのクラウドに接続されれば、クライアントのクラウド210、220、230に設定されたセキュリティ設定情報を順次要請する。
一例を挙げると、クラウド・リソース・セキュリティ設定情報要請部320は、Aアクセス認証キーを用いてAクラウド210にアクセスし、接続によりAクラウドのセキュリティ設定情報を要請する。また、引き続いて、クラウド・リソース・セキュリティ設定情報要請部320は、Bアクセス認証キーを用いてBクラウド220にアクセスし、接続によりBクラウドのセキュリティ設定情報を要請する。さらに、引き続いて、クラウド・リソース・セキュリティ設定情報要請部320は、nアクセス認証キーを用いてnクラウド210にアクセスし、接続によりnクラウドのセキュリティ設定情報を要請する。
一例を挙げると、クラウド・リソース・セキュリティ設定情報要請部320は、Aアクセス認証キーを用いてAクラウド210にアクセスし、接続によりAクラウドのセキュリティ設定情報を要請する。また、引き続いて、クラウド・リソース・セキュリティ設定情報要請部320は、Bアクセス認証キーを用いてBクラウド220にアクセスし、接続によりBクラウドのセキュリティ設定情報を要請する。さらに、引き続いて、クラウド・リソース・セキュリティ設定情報要請部320は、nアクセス認証キーを用いてnクラウド210にアクセスし、接続によりnクラウドのセキュリティ設定情報を要請する。
【0026】
一方、それぞれのクラウドは、一例を挙げると、サーバ、データベース、ネットワーク、格納先などのクラウド・リソース(または、インスタンス)を備えており、クラウド・リソース・セキュリティ設定情報要請部320は、各クラウドの個別のクラウド・リソースに関するセキュリティ設定情報を要請する。したがって、Aクラウドの各クラウド・リソースに関するセキュリティ設定情報、Bクラウドの各クラウド・リソースに関するセキュリティ設定情報、nクラウドの各クラウド・リソースに関するセキュリティ設定情報をそれぞれ要請する。
【0027】
そして、ある一つのクラウドの個別のクラウド・リソースに関するセキュリティ設定情報のデータ形式が個別的に異なっていてもよく、さらには、各クラウドのセキュリティ設定情報のデータ形式が個別的に異なっていてもよい。すなわち、クラウド・リソース別にデータ形式の一部または全部が異なっていてもよく、たとえある一つのクラウドの個別のリソースのデータ形式が同一であるとしても、各クラウド別にはデータ形式がすべて異なっていてもよい。したがって、このようなデータ形式を統合する必要があり、これについては後述する。
【0028】
クラウド・リソース・セキュリティ設定情報取集部330は、クラウド・リソース・セキュリティ設定情報要請部320において要請した各クラウドのセキュリティ設定情報を受信して順次それぞれ格納する。すなわち、Aクラウドの各クラウド・リソースに関するセキュリティ設定情報を先にAクラウド・リソース・セキュリティ設定情報取集部331が取り集めてデータベースに格納するようにし、次いで、Bクラウド及びnクラウドの各クラウド・リソースに関するセキュリティ設定情報をB、nクラウド・リソース・セキュリティ設定情報取集部332、333が順次取り集めてデータベースに格納するようにする。
但し、後述するように取り集められたクラウド・リソース・セキュリティ設定情報の形式がまちまちである可能性があるため、データの形式を変換し且つ統合する必要があり、この際、データ形式の変換及び統合は、順次行われる。すなわち、一例を挙げると、Aクラウドの各クラウド・リソースをすべて取り集めたならば、データ形式を変換し且つ統合するようにし、次いで、Bクラウドの各クラウド・リソースをすべて取り集めたならば、データ形式を変換し且つ統合するようにし、最後に、nクラウドの各クラウド・リソースをすべて取り集めたならば、データ形式を変換し且つ統合するようにしてもよい。別の例を挙げると、あるクラウドの各クラウド・リソースが順次取り集められる際、先に取り集められたクラウド・リソースからデータの形式を変換し且つ統合してもよい。さらに別の例を挙げると、A、B、nクラウドの各クラウド・リソースをすべて取り集めた後、一括してデータ形式を変換し且つ統合してもよい。このようなデータの形式の変換及び統合方法は、各状況に合うように設定されてもよい。
但し、後述するように取り集められたクラウド・リソース・セキュリティ設定情報の形式がまちまちである可能性があるため、データの形式を変換し且つ統合する必要があり、この際、データ形式の変換及び統合は、順次行われる。すなわち、一例を挙げると、Aクラウドの各クラウド・リソースをすべて取り集めたならば、データ形式を変換し且つ統合するようにし、次いで、Bクラウドの各クラウド・リソースをすべて取り集めたならば、データ形式を変換し且つ統合するようにし、最後に、nクラウドの各クラウド・リソースをすべて取り集めたならば、データ形式を変換し且つ統合するようにしてもよい。別の例を挙げると、あるクラウドの各クラウド・リソースが順次取り集められる際、先に取り集められたクラウド・リソースからデータの形式を変換し且つ統合してもよい。さらに別の例を挙げると、A、B、nクラウドの各クラウド・リソースをすべて取り集めた後、一括してデータ形式を変換し且つ統合してもよい。このようなデータの形式の変換及び統合方法は、各状況に合うように設定されてもよい。
【0029】
一方、クラウド・リソース・セキュリティ設定情報取集部330は、クラウド・リソース・セキュリティ設定情報要請部320の要請に従い、接続された各クラウドから互いに異なる形式からなるセキュリティ設定情報を順次受信してセキュリティ設定情報データセットを生成し、データベースに格納するようにする。すなわち、一例を挙げると、各クラウドのクラウド・リソースがサーバA1、B1、n1、データベースA2、B2、n2、ネットワークA3、B3、n3、格納先A4、B4、n4であれば、Aクラウド・リソース・セキュリティ設定情報取集部331は、Aクラウドのセキュリティ設定に関するA1、A2、A3、A4を生成し、Bクラウド・リソース・セキュリティ設定情報取集部332は、Bクラウドのセキュリティ設定に関するBセキュリティ設定情報データセットであるB1、B2、B3、B4セキュリティ設定情報データセットを生成し、nクラウド・リソース・セキュリティ設定情報取集部333は、nクラウドのセキュリティ設定に関するnセキュリティ設定情報データセットであるn1、n2、n3、n4セキュリティ設定情報データセットを生成する。
【0030】
図3に示すように、データ形式統合部340は、順次入力された互いに異なる形式からなるA、B、nセキュリティ設定情報データセットの形式を順次変更し且つ統合してAt統合設定情報データセット、Bt統合設定情報データセット、nt統合設定情報データセットを生成する。すなわち、Aクラウドデータ形式統合部341は、Aクラウド・リソース・セキュリティ設定情報取集部331からAセキュリティ設定情報データセットを受信し、データ形式が互いに異なる各リソースのデータ形式を変更し且つ統合してAt統合設定情報データセット(At={A1’,A2’,A3’,A4’})を生成する。Bクラウドデータ形式統合部342は、Bクラウド・リソース・セキュリティ設定情報取集部332からBセキュリティ設定情報データセットを受信し、データ形式が互いに異なる各リソースのデータ形式を変更し且つ統合してBt統合設定情報データセット(Bt={B1’,B2’,B3’,B4’})を生成する。nクラウドデータ形式統合部343は、nクラウド・リソース・セキュリティ設定情報取集部333からnセキュリティ設定情報データセットを受信し、データ形式が互いに異なる各リソースのデータ形式を変更し且つ統合してnt統合設定情報データセット(nt={n1’,n2’,n3’,n4’})を生成する。
【0031】
この際、上述したデータ形式統合部340は、互いに異なる形式のデータセットを同一の形式のデータセットに変換し且つ統合する。セキュリティ設定情報データセットのデータ形式の変換は、一例を挙げると、「Jason Type」と「Class Type」からなる各クラウド・リソースのセキュリティ設定情報データセット(一例を挙げると、A1)を「tfstate Type」形式(一例を挙げると、A1’)に変換する。但し、変換される「tfstate Type」のデータ形式は、互いに異なる形式のデータセットからなる各クラウドのセキュリティ設定情報データセットを統合して一致させ得る別のデータ形式に必要に応じて変えることができる。これにより、変更され且つ統合されたデータセットは、後述するセキュリティ・コンプライアンスを診断できるようにする固有の互換性を有するデータセットに変更され且つ統合される。なお、セキュリティ設定情報データセットのデータ形式の統合とは、一例を挙げると、Aクラウドのクラウド・リソース同士をひとつにまとめ、Bクラウドのクラウド・リソース同士を一つにまとめ、nクラウドのクラウド・リソース同士を一つにまとめることを意味する。
【0032】
上述したクラウド・リソース・セキュリティ設定情報要請部320、クラウド・リソース・セキュリティ設定情報取集部330、データ形式統合部340は、各クラウドのセキュリティ設定情報を要請→取集→統合することを順次行い、循環して繰り返し行う。この際、取り集められた各クラウドのリソースに関するセキュリティ設定情報は、ランダムに取り集められるため、上述したように、データセットの形式を変換し且つ統合することが必要である。一方、一例を挙げると、クラウドのセキュリティ設定情報は、外部のネットワークから内部のネットワークにアクセス可能なように設定された設定値であってもよく、顧客のデータをクラウドに格納する際にデータを暗号化して格納するか否かを設定したセキュリティ設定値であってもよく、このようなセキュリティ設定情報は、クライアントのクラウドを管理するセキュリティ管理担当者が設定する。このようなセキュリティ管理担当者のセキュリティ設定の誤りにより、クライアントのクラウドはセキュリティに脆弱となる。本発明の一実施形態においては、このようなセキュリティ設定情報をスキャンして誤りを探し出し、かつ管理するように情報を提供する。
【0033】
図3に示すように、クラウド・セキュリティ点検部300は、クラウド・セキュリティ・コンプライアンス診断部350、セキュリティ・コンプライアンス・チェックリスト部360、推移分析提供部370、クラウド・セキュリティ・コンプライアンス措置部380、及びクラウド・セキュリティ・コンプライアンス・ガイドライン提供部351を備える。
【0034】
クラウド・セキュリティ・コンプライアンス診断部350は、提供されたクラウド・セキュリティ・コンプライアンス・ガイドラインの項目といずれか一つの統合設定情報データセットとを互いに比較評価することにより、クライアント・クラウドのセキュリティ・コンプライアンスを診断し且つ評価する。クラウド・セキュリティ・コンプライアンス・ガイドライン提供部351は、クラウド・セキュリティ・コンプライアンスに対するガイドラインを提供し、このようなガイドラインは、国際的に通用されているクラウド・セキュリティ・コンプライアンスとして持続的に更新され続け、国際的に通用されているガイドラインだけではなく、クライアントのクラウド運用ガイドラインもまた適用され且つ更新されてもよい。
【0035】
クラウド・セキュリティ・コンプライアンス診断部350がクラウド・セキュリティ・コンプライアンス・ガイドライン提供部351において提供するセキュリティ・コンプライアンス項目と統合設定情報データセットとを互いにマッチングさせて比較評価するためには、上述したように、互いに形式が異なる各クラウドのセキュリティ設定情報データセットを固有の互換性を有する統合設定情報データセットに変換し且つ統合する必要がある。
【0036】
一例を挙げると、クラウド・セキュリティ・コンプライアンス・ガイドラインの「サーバに関連する1.1.1項目」とサーバに関連する統合設定情報データセットとをマッチングさせて互いに比較評価し、「データベースに関連する1.1.2項目」とデータベースに関連する統合設定情報データセットとをマッチングさせて互いに比較評価する。
【0037】
セキュリティ・コンプライアンス・チェックリスト部360は、セキュリティ・コンプライアンス順守チェック部(図示せず)と、未順守項目原因分析部(図示せず)と、を備える。
【0038】
セキュリティ・コンプライアンス順守チェック部は、クラウド・セキュリティ・コンプライアンス診断部350のA、B、nクライアント・クラウドのセキュリティ・コンプライアンス項目の評価診断に伴いセキュリティ・コンプライアンスの順守の有無をチェックし、未順守のセキュリティ・コンプライアンスを選び出す。また、必要に応じて、後述する未順守項目原因分析部及びクラウド・セキュリティ・コンプライアンス措置部380とそれぞれ紐付けて最も脆弱であるか、あるいは、脅威的な未順守セキュリティ・コンプライアンスがある場合には、これを選び出して速やかにクライアントのセキュリティ管理担当者に報知して速やかな措置が取られるようにする。なお、クライアント・クラウドのセキュリティ設定に対する設定に変動がある場合、これをリアルタイムにて探知して設定誤りの有無を探知し且つチェックする。
【0039】
未順守項目原因分析部は、セキュリティ・コンプライアンスの未順守項目に対する原因を分析して提供する。すなわち、クライアントのクラウドのセキュリティ設定に対する未順守項目がある場合、未順守項目に対する原因をより深く分析して提供する。
【0040】
上述したセキュリティ・コンプライアンス順守チェック部と未順守項目原因分析部により、クライアントのクラウドのセキュリティ設定がガイドラインに従っているか否かと、セキュリティ設定がどのような部分において誤って設定されたかについてのセキュリティ設定項目チェックリストが生成される。一例を挙げると、各ガイドラインの比較項目に対して、1)セキュリティ・コンプライアンスを守ったか否かをチェックし、2)なぜ守らなかったかに対する原因を分析して提供(暗号化がオフになっていたため、あるいは、外部のネットワークから内部のネットワークにアクセス可能なように設定されたため)する。
【0041】
クラウド・セキュリティ・コンプライアンス措置部380は、セキュリティ・コンプライアンス・チェックリスト部360と紐付けて順守されていないセキュリティ・コンプライアンスを修正できるように対応URLをURL提供部381を介してクライアントのセキュリティ管理担当者に提供する。URL提供部381は、未順守セキュリティ・コンプライアンスを修正できる対応URLを提供し、クライアントのセキュリティ管理担当者は、対応URLをクリックすることにより、コンプライアンス違反項目に対する原因分析の説明を閲覧して修復させ得る措置事項を把握することができる。これにより、自社のクラウドのセキュリティ設定をガイドラインに適するように速やかに修正する措置を取ることができる。この際、クラウド・セキュリティ・コンプライアンス措置部380は、セキュリティ設定が最も脆弱であるか、あるいは、脅威的なセキュリティ・コンプライアンスを優先して選び出してこれをセキュリティ管理担当者に速やかに通知して修正するように勧告措置を取ることができる。
【0042】
推移分析提供部370は、図4に示すように、セキュリティ・コンプライアンス・チェックリスト部360において生成されたセキュリティ・コンプライアンス診断データセットに基づいて、セキュリティ・コンプライアンスに対する時間帯別、アカウント別、及びリソース別の変動推移を分析して提供し、最も脅威的な不順守セキュリティ・コンプライアンス項目にランキングをつけて表示する。
一例を挙げると、推移分析提供部370は、クライアント・クラウドの時間帯別にガイドライン順守項目の数及び不順守項目の数の推移分析を行って提供する。また、推移分析提供部370は、クライアント・クラウドのリソース別にガイドライン順守項目の数及び不順守項目の数の推移分析を行って提供する。さらに、推移分析提供部370は、クライアント・クラウドのアカウント別(クライアントのクラウドを管理する管理者アカウント別)にガイドライン順守項目の数及び不順守項目の数の推移分析を行って提供する。さらにまた、時間帯別、アカウント別及びリソース別の変動の推移分析を行いながら、これと同時に、危険度別に分けて推移分析を行って提供してもよい。これにより、クライアントのクラウドのセキュリティ設定に対するガイドラインの順守事項を一目で把握することができ、クラウドのセキュリティ設定に対する危険度を時間帯別、アカウント別、リソース別に一目で把握することができる。
一例を挙げると、推移分析提供部370は、クライアント・クラウドの時間帯別にガイドライン順守項目の数及び不順守項目の数の推移分析を行って提供する。また、推移分析提供部370は、クライアント・クラウドのリソース別にガイドライン順守項目の数及び不順守項目の数の推移分析を行って提供する。さらに、推移分析提供部370は、クライアント・クラウドのアカウント別(クライアントのクラウドを管理する管理者アカウント別)にガイドライン順守項目の数及び不順守項目の数の推移分析を行って提供する。さらにまた、時間帯別、アカウント別及びリソース別の変動の推移分析を行いながら、これと同時に、危険度別に分けて推移分析を行って提供してもよい。これにより、クライアントのクラウドのセキュリティ設定に対するガイドラインの順守事項を一目で把握することができ、クラウドのセキュリティ設定に対する危険度を時間帯別、アカウント別、リソース別に一目で把握することができる。
【0043】
一方、変動推移の分析に従い当該日付けを選択すると、当該日付けのクラウド・リソースのセキュリティ設定状態を追跡することができ、アカウント別にセキュリティ設定の深刻度を良好/警告/危険の段階に分けて提供することができ、違反事項を追跡することができる。
【0044】
本発明について説明するに当たって、従来の技術及び当業者にとって自明な事項についての説明は省略してもよく、このような省略された構成要素(方法)及び機能についての説明は、本発明の技術的思想を逸脱しない範囲内において十分に参照できるべきである。なお、上述した本発明の構成要素は、本発明の説明のしやすさのために説明されたものに過ぎず、ここで説明されていない構成要素が本発明の技術的思想を逸脱しない範囲内において追加されてもよい。
【0045】
上述した各部の構成及び機能についての説明は、説明のしやすさのために互いに分離して行ったものにすぎず、必要に応じて、ある一つの構成要素及び機能が他の構成要素に統合されて実現されてもよく、あるいは、さらに細分化されて実現されてもよい。
【0046】
以上、本発明の一実施形態を参照して説明したが、本発明はこれに何ら限定されるものではなく、種々の変形及び応用を行うことが可能である。すなわち、本発明の要旨を逸脱しない範囲内において、種々の変形を加えることが可能であるということは、当業者は容易に理解できる筈である。なお、本発明に関連する公知の機能及びその構成または本発明の各構成に対する結合関係についての具体的な説明が本発明の要旨を余計に曖昧にする虞があると認められる場合には、その具体的な説明を省略したことに留意すべきである。
【符号の説明】
【0047】
110 Aクラウド・サービス・プロバイダ・サーバ
120 Bクラウド・サービス・プロバイダ・サーバ
130 nクラウド・サービス・プロバイダ・サーバ
200 クライアント・サーバ
210 Aクラウド
220 Bクラウド
230 nクラウド
300 クラウド・セキュリティ点検部
310 クラウドアクセス認証キー受信部
315 クラウド接続部
320 クラウド・リソース・セキュリティ設定情報要請部
330 クラウド・リソース・セキュリティ設定情報取集部
331 Aクラウド・リソース・セキュリティ設定情報取集部
332 Bクラウド・リソース・セキュリティ設定情報取集部
333 nクラウド・リソース・セキュリティ設定情報取集部
340 データ形式統合部
341 Aクラウドデータ形式統合部
342 Bクラウドデータ形式統合部
343 nクラウドデータ形式統合部
350 クラウド・セキュリティ・コンプライアンス診断部
351 クラウド・セキュリティ・コンプライアンス・ガイドライン提供部
360 セキュリティ・コンプライアンス・チェックリスト部
370 推移分析提供部
371 時間帯別推移分析部
372 リソース別推移分析部
373 アカウント別推移分析部
380 クラウド・セキュリティ・コンプライアンス措置部
381 URL(ユニフォーム・リソース・ロケータ)提供部
390 ディスプレイ部
120 Bクラウド・サービス・プロバイダ・サーバ
130 nクラウド・サービス・プロバイダ・サーバ
200 クライアント・サーバ
210 Aクラウド
220 Bクラウド
230 nクラウド
300 クラウド・セキュリティ点検部
310 クラウドアクセス認証キー受信部
315 クラウド接続部
320 クラウド・リソース・セキュリティ設定情報要請部
330 クラウド・リソース・セキュリティ設定情報取集部
331 Aクラウド・リソース・セキュリティ設定情報取集部
332 Bクラウド・リソース・セキュリティ設定情報取集部
333 nクラウド・リソース・セキュリティ設定情報取集部
340 データ形式統合部
341 Aクラウドデータ形式統合部
342 Bクラウドデータ形式統合部
343 nクラウドデータ形式統合部
350 クラウド・セキュリティ・コンプライアンス診断部
351 クラウド・セキュリティ・コンプライアンス・ガイドライン提供部
360 セキュリティ・コンプライアンス・チェックリスト部
370 推移分析提供部
371 時間帯別推移分析部
372 リソース別推移分析部
373 アカウント別推移分析部
380 クラウド・セキュリティ・コンプライアンス措置部
381 URL(ユニフォーム・リソース・ロケータ)提供部
390 ディスプレイ部
【図1】
【図2】
【図3】
【図4】
【図5】
