知財求人 - 知財ポータルサイト「IP Force」
特開2024-132136セキュリティ設定監視装置およびセキュリティ設定監視方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024132136
(43)【公開日】2024-09-30
(54)【発明の名称】セキュリティ設定監視装置およびセキュリティ設定監視方法
(51)【国際特許分類】
G06F 21/60 20130101AFI20240920BHJP
G06F 21/57 20130101ALI20240920BHJP
【FI】
G06F21/60 340
G06F21/57 370
【審査請求】未請求
【請求項の数】6
【出願形態】OL
(21)【出願番号】P 2023042814
(22)【出願日】2023-03-17
(71)【出願人】
【識別番号】000005234
【氏名又は名称】富士電機株式会社
(74)【代理人】
【識別番号】110004185
【氏名又は名称】インフォート弁理士法人
(74)【代理人】
【識別番号】100121083
【弁理士】
【氏名又は名称】青木 宏義
(74)【代理人】
【識別番号】100138391
【弁理士】
【氏名又は名称】天田 昌行
(74)【代理人】
【識別番号】100132067
【弁理士】
【氏名又は名称】岡田 喜雅
(74)【代理人】
【識別番号】100131521
【弁理士】
【氏名又は名称】堀口 忍
(72)【発明者】
【氏名】梅崎 一也
(57)【要約】
【課題】クラウドセキュリティ設定の内容が妥当か否かを適切に判定する。
【解決手段】セキュリティ設定監視装置は、サービス情報取得部、受付部、設定情報取得部、判定部を備える。サービス情報取得部は、クラウド内に設けられる仮想マシンが提供するサービスおよびそのサービスに対して割り当てられているポート番号を表すサービス情報を仮想マシンから取得する。受付部は、サービス情報により表されるポート番号を公開するか否かを表す公開情報およびポート番号へのアクセス制限を表すアクセス制限情報を受け付ける。設定情報取得部は、仮想マシンが使用するポート番号に対して設定されているアクセス制限を表すセキュリティ設定情報をクラウドから取得する。判定部は、公開情報およびアクセス制限情報に基づいてセキュリティ設定情報をチェックすることで、サービスに対するセキュリティ設定が正しいか否かを判定する。
【選択図】図1
【解決手段】セキュリティ設定監視装置は、サービス情報取得部、受付部、設定情報取得部、判定部を備える。サービス情報取得部は、クラウド内に設けられる仮想マシンが提供するサービスおよびそのサービスに対して割り当てられているポート番号を表すサービス情報を仮想マシンから取得する。受付部は、サービス情報により表されるポート番号を公開するか否かを表す公開情報およびポート番号へのアクセス制限を表すアクセス制限情報を受け付ける。設定情報取得部は、仮想マシンが使用するポート番号に対して設定されているアクセス制限を表すセキュリティ設定情報をクラウドから取得する。判定部は、公開情報およびアクセス制限情報に基づいてセキュリティ設定情報をチェックすることで、サービスに対するセキュリティ設定が正しいか否かを判定する。
【選択図】図1
【特許請求の範囲】
【請求項1】
クラウド内に設けられる仮想マシンが提供するサービスおよび前記サービスに対して割り当てられているポート番号を表すサービス情報を、前記仮想マシンから取得するサービス情報取得部と、
前記サービス情報により表されるポート番号を公開するか否かを表す公開情報および前記ポート番号へのアクセス制限を表すアクセス制限情報を受け付ける受付部と、
前記仮想マシンが使用するポート番号に対して設定されているアクセス制限を表すセキュリティ設定情報を、前記クラウドから取得する設定情報取得部と、
前記公開情報および前記アクセス制限情報に基づいて前記セキュリティ設定情報をチェックすることで、前記サービスに対するセキュリティ設定が正しいか否かを判定する判定部と、
を備えるセキュリティ設定監視装置。
前記サービス情報により表されるポート番号を公開するか否かを表す公開情報および前記ポート番号へのアクセス制限を表すアクセス制限情報を受け付ける受付部と、
前記仮想マシンが使用するポート番号に対して設定されているアクセス制限を表すセキュリティ設定情報を、前記クラウドから取得する設定情報取得部と、
前記公開情報および前記アクセス制限情報に基づいて前記セキュリティ設定情報をチェックすることで、前記サービスに対するセキュリティ設定が正しいか否かを判定する判定部と、
を備えるセキュリティ設定監視装置。
【請求項2】
前記受付部は、
前記サービス情報を所定のインタフェースを利用して端末装置に送信し、
前記端末装置において前記インタフェースを利用して入力される前記公開情報および前記アクセス制限情報を受け付ける
ことを特徴とする請求項1に記載のセキュリティ設定監視装置。
前記サービス情報を所定のインタフェースを利用して端末装置に送信し、
前記端末装置において前記インタフェースを利用して入力される前記公開情報および前記アクセス制限情報を受け付ける
ことを特徴とする請求項1に記載のセキュリティ設定監視装置。
【請求項3】
前記セキュリティ設定情報により表されるポート番号が、前記公開情報により公開されていないときに、前記判定部は、前記セキュリティ設定情報が正しくないと判定する
ことを特徴とする請求項1に記載のセキュリティ設定監視装置。
ことを特徴とする請求項1に記載のセキュリティ設定監視装置。
【請求項4】
前記セキュリティ設定情報により表されるポート番号に対して設定されているアクセス制限が、前記アクセス制限情報中の対応するポート番号に対するアクセス制限と合致しないときに、前記判定部は、前記セキュリティ設定情報が正しくないと判定する
ことを特徴とする請求項1に記載のセキュリティ設定監視装置。
ことを特徴とする請求項1に記載のセキュリティ設定監視装置。
【請求項5】
前記クラウド内に設けられる複数の仮想マシンを利用して複数のサービスが提供されるときは、
前記アクセス制限情報は、仮想マシンとポート番号との組合せに対するアクセス制限を表し、
前記セキュリティ設定情報は、仮想マシンとポート番号との組合せに対して設定されているアクセス制限を表し、
前記判定部は、前記セキュリティ設定情報により表される仮想マシンとポート番号との組合せに対して設定されているアクセス制限が、前記セキュリティ設定情報中の対応する仮想マシンとポート番号との組合せに対するアクセス制限と合致するか否かを判定する
ことを特徴とする請求項1に記載のセキュリティ設定監視装置。
前記アクセス制限情報は、仮想マシンとポート番号との組合せに対するアクセス制限を表し、
前記セキュリティ設定情報は、仮想マシンとポート番号との組合せに対して設定されているアクセス制限を表し、
前記判定部は、前記セキュリティ設定情報により表される仮想マシンとポート番号との組合せに対して設定されているアクセス制限が、前記セキュリティ設定情報中の対応する仮想マシンとポート番号との組合せに対するアクセス制限と合致するか否かを判定する
ことを特徴とする請求項1に記載のセキュリティ設定監視装置。
【請求項6】
クラウド内に設けられる仮想マシンが提供するサービスおよび前記サービスに対して割り当てられているポート番号を表すサービス情報を、前記仮想マシンから取得し、
前記サービス情報により表されるポート番号を公開するか否かを表す公開情報および前記ポート番号へのアクセス制限を表すアクセス制限情報を受け付け、
前記仮想マシンが使用するポート番号に対して設定されているアクセス制限を表すセキュリティ設定情報を、前記クラウドから取得し、
前記公開情報および前記アクセス制限情報に基づいて前記セキュリティ設定情報をチェックすることで、前記サービスに対するセキュリティ設定が正しいか否かを判定する
ことを特徴とするセキュリティ設定監視方法。
前記サービス情報により表されるポート番号を公開するか否かを表す公開情報および前記ポート番号へのアクセス制限を表すアクセス制限情報を受け付け、
前記仮想マシンが使用するポート番号に対して設定されているアクセス制限を表すセキュリティ設定情報を、前記クラウドから取得し、
前記公開情報および前記アクセス制限情報に基づいて前記セキュリティ設定情報をチェックすることで、前記サービスに対するセキュリティ設定が正しいか否かを判定する
ことを特徴とするセキュリティ設定監視方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、クラウドセキュリティの設定を監視する装置および方法に係わる。
【背景技術】
【0002】
クラウドのセキュリティを管理するツールの1つとして、クラウドセキュリティ態勢管理(CSPM:Cloud Security Posture Management)が普及しつつある。CSPMは、クラウドセキュリティの設定をチェックし、不適切な設定または脆弱性がないかを監視する。なお、クラウドコンピューティングプラットフォーム内の一時的な仮想マシンインスタンスをセキュリティリスクから保護する方法が提案されている(例えば、特許文献1)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特表2019-512791号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
CSPMは、クラウド内の仮想マシンまたは仮想ネットワークの設定を表す設定情報を取得し、所定のチェック項目と照合することで、必要なクラウドセキュリティ設定が実施されているかを確認できる。ただし、既存の技術では、どのようなセキュリティ項目が設定されているのかを確認できるが、セキュリティ設定の内容が妥当か否かまでは確認していない。
【0005】
本発明の1つの側面に係わる目的は、クラウドセキュリティ設定の内容が妥当か否かを確認できる装置および方法を提供することである。
【課題を解決するための手段】
【0006】
本発明の1つの態様のセキュリティ設定監視装置は、クラウド内に設けられる仮想マシンが提供するサービスおよび前記サービスに対して割り当てられているポート番号を表すサービス情報を、前記仮想マシンから取得するサービス情報取得部と、前記サービス情報により表されるポート番号を公開するか否かを表す公開情報および前記ポート番号へのアクセス制限を表すアクセス制限情報を受け付ける受付部と、前記仮想マシンが使用するポート番号に対して設定されているアクセス制限を表すセキュリティ設定情報を、前記クラウドから取得する設定情報取得部と、前記公開情報および前記アクセス制限情報に基づいて前記セキュリティ設定情報をチェックすることで、前記サービスに対するセキュリティ設定が正しいか否かを判定する判定部と、を備える。
【発明の効果】
【0007】
上述の態様によれば、クラウドセキュリティ設定の内容が妥当か否かを確認することが可能である。
【図面の簡単な説明】
【0008】
【図1】本発明の実施形態に係わるクラウドセキュリティ設定監視装置が使用されるネットワーク環境の一例を示す図である。
【図2】クラウドセキュリティ設定監視装置が監視するサービス提供システムの一例を示す図である。
【図3】サービス情報取得部が仮想マシンから取得したサービス情報の一例を示す図である。
【図4】セキュリティ管理者による情報入力の一例を示す図である。
【図5】設定チェック条件管理テーブルの一例を示す図である。
【図6】仮想マシンから取得したセキュリティ設定情報の一例を示す図である。
【図7】クラウドセキュリティ設定監視装置の処理の一例を示すフローチャートである。
【発明を実施するための形態】
【0009】
図1は、本発明の実施形態に係わるクラウドセキュリティ設定監視装置が使用されるネットワーク環境の一例を示す。本発明の実施形態に係わるクラウドセキュリティ設定監視装置10は、クラウド内に設けられる1または複数の仮想マシンを利用して提供されるサービスに係わるセキュリティ設定を監視する。
【0010】
この実施例では、サービス提供者は、クラウド20を利用してサービスを提供する。したがって、サービス提供者は、クラウド20内に仮想マシン21および仮想ネットワーク22を構築する。或いは、サービス提供者は、クラウド20のベンダが提供する仮想マシン21および仮想ネットワーク22を使用する。
【0011】
サービス提供者は、仮想マシン21にアプリケーションを実装する作業者を含む。ここで、仮想マシン21に設定されるアプリケーションは、サービス提供者がクラウド20を利用して提供するサービスに相当する。そして、作業者は、アプリケーション(即ち、サービス提供者が提供するサービス)に対するセキュリティ設定を作成して仮想マシン21に実装する。セキュリティ設定は、例えば、仮想マシンのフィルタまたはファイアウォールに実装される。
【0012】
サービス提供者は、仮想マシン21に実装されたアプリケーションのセキュリティ設定を管理するセキュリティ管理者を含む。すなわち、セキュリティ管理者は、作業者により実装されたセキュリティ設定が正しいか否かをチェックする。このとき、セキュリティ管理者は、クラウドセキュリティ設定監視装置10を利用する。例えば、クラウドセキュリティ設定監視装置10は、作業者により実装されたセキュリティ設定が正しいか否かを判定し、その判定結果をセキュリティ管理者に通知する。
【0013】
クラウド20に設けられる仮想マシン21は、プロセッサおよびメモリを含む情報処理リソースにより実現される。メモリには、少なくともオペレーティングシステム(OS)が実装される。そして、OS上でアプリケーションが動作する。アプリケーションプログラムは、サービス提供者により実装されてもよいし、クラウド20のベンダにより提供されてもよい。
【0014】
仮想マシン21は、仮想ネットワーク22に接続される。仮想ネットワーク22も、プロセッサおよびメモリを含む情報処理リソースにより実現される。なお、サービス提供者は、複数の仮想マシン21を利用して複数のサービスを提供してもよい。この場合、複数の仮想マシン21は、仮想ネットワーク22により相互に接続される。
【0015】
仮想マシン21には、サービス提供者の作業者により、セキュリティ設定情報が設定されている。セキュリティ設定情報は、仮想マシン21が使用するポート番号に対するアクセス制限を表す情報を含む。この実施例では、セキュリティ設定情報は、仮想マシン21が使用するポート番号にアクセス可能なアクセス元を表す。アクセス元は、例えば、IPアドレスまたはネットワークアドレスで表される。
【0016】
クラウドセキュリティ設定監視装置10は、図1に示すように、サービス情報取得部11、受付部12、設定情報取得部13、および判定部14を備える。なお、クラウドセキュリティ設定監視装置10は、図1に示していない他の機能をさらに備えてもよい。
【0017】
サービス情報取得部11は、セキュリティ管理者からの指示等に応じて仮想マシン21にアクセスし、仮想マシン21が提供するサービスおよび各サービスに対して割り当てられているポート番号を表すサービス情報を取得する。あるいは、サービス情報取得部11は、定期的に、仮想マシン21からサービス情報を取得してもよい。サービス情報取得部11は、仮想マシン21が提供するサービスを検出することができ、且つ、仮想マシン21が提供するサービスに対して割り当てられているポート番号を検出できるものとする。或いは、サービス情報取得部11は、仮想マシン21が使用するポート番号を検出することができ、且つ、仮想マシン21が使用するポート番号に対してどのようなアプリケーション(すなわち、サービス)が割り当てられているのかを検出できるものとする。このような検出は、仮想マシンのOS(オペレーティングシステム)のコマンドなどを使用することで実現される。例えば、Linux(登録商標)においては、lsofコマンドを利用して検出することが可能である。
【0018】
サービス情報取得部11は、SSH(Secure Shell)またはSSL(Secure Sockets Layer)などの暗号通信プロトコルを利用して仮想マシン21にアクセスすることが好ましい。或いは、上述したサービス情報を収集するエージェントソフトウェアを仮想マシン21上で動作させてもよい。この場合、このエージェントソフトウェアは、収集したサービス情報をサービス情報取得部11に送信する。
【0019】
受付部12は、所定のインタフェースを利用して、サービス情報取得部11が仮想マシン21から取得したサービス情報を管理端末30に送信する。これにより、サービス情報取得部11が仮想マシン21から取得したサービス情報が、管理端末30のユーザ(すなわち、セキュリティ管理者)に提示される。ここで、セキュリティ管理者は、クラウドセキュリティ設定監視装置10からの提示に応じて、管理端末30において、公開情報およびアクセス制限情報を入力するものとする。公開情報は、サービス情報中の各ポート番号を公開するか否かを表す。すなわち、公開情報は、各ポート番号により指定されるポートを開くか否かを表す。アクセス制限情報は、サービス情報中の各ポート番号にアクセス可能なアクセス元を表す。アクセス元は、例えば、IPアドレスまたはネットワークアドレスで指定される。管理端末30は、セキュリティ管理者が使用するパーソナルコンピュータ等の端末装置である。
【0020】
管理端末30は、セキュリティ管理者により入力された公開情報およびアクセス制限情報をクラウドセキュリティ設定監視装置10に送信する。そして、クラウドセキュリティ設定監視装置10の受付部12は、セキュリティ管理者により入力された公開情報およびアクセス制限情報を受け付ける。
【0021】
設定情報取得部13は、クラウド20から、仮想マシン21が使用する各ポート番号に対して設定されているアクセス制限を表すセキュリティ設定情報を取得する。ここで、クラウド20の管理I/Fに実装されるAPI(Application Programing Interface)は、仮想マシンに対して設定されているセキュリティに係わる情報(すなわち、セキュリティ設定情報)を収集して提供する機能を有するものとする。したがって、設定情報取得部13は、クラウド20のAPIを利用して、仮想マシン21が使用するポート番号に対して設定されているアクセス制限を表すセキュリティ設定情報を取得できる。
【0022】
判定部14は、セキュリティ管理者により入力された公開情報およびアクセス制限情報に基づいて、仮想マシン21から取得したセキュリティ設定情報をチェックすることにより、仮想マシン21を利用して提供されるサービスに対するセキュリティ設定が正しいか否かを判定する。そして、クラウドセキュリティ設定監視装置10は、判定部14による判定結果を管理端末30に送信する。これにより、セキュリティ管理者は、作業者により設定されたクラウドセキュリティ設定が正しいか否かを確認できる。
【0023】
なお、クラウドセキュリティ設定監視装置10は、この実施例では、クラウド20に設けられる。この場合、クラウドセキュリティ設定監視装置10は、例えば、仮想マシンにより実現される。ただし、クラウドセキュリティ設定監視装置10は、クラウド20に設けられる必要はなく、パーソナルコンピュータ等の情報処理装置で実現してもよい。
【0024】
このように、本発明の実施形態によれば、クラウド20のセキュリティ設定の内容が妥当か否かを判定できる。したがって、セキュリティ管理者は、作業者によりクラウド20に設定されたセキュリティ情報が正しいか否かを容易に確認できる。すなわち、提供するサービスのセキュリティを確保できる。
【0025】
<実施例>
図2は、クラウドセキュリティ設定監視装置10が監視するサービス提供システムの一例を示す。サービス提供システムは、仮想マシンおよび仮想ネットワークにより実現される。この実施例では、サービス提供者は、クラウド20上で3台の仮想マシンVM001~VM003を動作させることでサービスを提供する。仮想マシンVM001~VM003は、仮想ネットワークを介して互いに接続されている。また、仮想マシンVM001~VM003は、ゲートウェイまたは仮想ゲートウェイを介して外部ネットワークに接続される。
図2は、クラウドセキュリティ設定監視装置10が監視するサービス提供システムの一例を示す。サービス提供システムは、仮想マシンおよび仮想ネットワークにより実現される。この実施例では、サービス提供者は、クラウド20上で3台の仮想マシンVM001~VM003を動作させることでサービスを提供する。仮想マシンVM001~VM003は、仮想ネットワークを介して互いに接続されている。また、仮想マシンVM001~VM003は、ゲートウェイまたは仮想ゲートウェイを介して外部ネットワークに接続される。
【0026】
仮想マシンVM001には、HTTPサーバを提供するアプリケーションおよびSSHサーバを提供するアプリケーションが実装されている。すなわち、サービス提供者は、仮想マシンVM001を利用してHTTPサーバおよびSSHサーバを提供する。なお、HTTPサーバおよびSSHサーバには、それぞれ、ポート番号80およびポート番号22が割り当てられている。また、仮想マシンVM001のIPアドレスは10.10.20.11である。
【0027】
仮想マシンVM002には、データベースを提供するアプリケーションが実装されている。すなわち、サービス提供者は、仮想マシンVM002を利用してデータベースサービスを提供する。なお、データベースには、ポート番号5432が割り当てられている。また、仮想マシンVM002のIPアドレスは10.10.20.12である。
【0028】
仮想マシンVM003は、踏み台サーバとして動作する。すなわち、外部ネットワークからサービス提供システムへのアクセスは、いったん仮想マシンVM003に導かれる。そして、仮想マシンVM003は、そのアクセスを対応する仮想マシンに転送する。尚、仮想マシンVM003のIPアドレスは10.10.20.13である。
【0029】
そして、サービス提供者は、下記の設計ポリシに基づいてサービス提供システムを構築するものとする。
【0030】
(1)SSHサーバは、踏み台サーバ(即ち、仮想マシンVM003)からのアクセスのみを受け付ける。
(2)データベースは、SSHプロトコルによる暗号通信が設定された後にアクセスを受け付ける。したがって、データベースは、仮想マシンVM001からのアクセスのみを受け付ける。
(2)データベースは、SSHプロトコルによる暗号通信が設定された後にアクセスを受け付ける。したがって、データベースは、仮想マシンVM001からのアクセスのみを受け付ける。
【0031】
サービス提供者の作業者は、上述した設計ポリシに従って各仮想マシンにセキュリティ情報を設定する。具体的には、仮想マシンVM001には下記のセキュリティ情報(1)および(2)が設定される。
(1)ポート番号80に対してアクセス制限は設けない。
(2)ポート番号22に対するアクセスは、アクセス元IPアドレスが10.10.20.13である場合に許可する。
また、仮想マシンVM002には、下記のセキュリティ情報(3)が設定される。
(3)ポート番号5432に対するアクセスは、アクセス元IPアドレスが10.10.20.11である場合に許可する。
(1)ポート番号80に対してアクセス制限は設けない。
(2)ポート番号22に対するアクセスは、アクセス元IPアドレスが10.10.20.13である場合に許可する。
また、仮想マシンVM002には、下記のセキュリティ情報(3)が設定される。
(3)ポート番号5432に対するアクセスは、アクセス元IPアドレスが10.10.20.11である場合に許可する。
【0032】
セキュリティ情報は、例えば、仮想マシンが備えるフィルタまたはファイアウォールに設定される。この場合、フィルタまたはファイアウォールは、設定されたセキュリティ情報に従って、受信パケットを処理する。なお、各仮想マシンVM001、VM002に設定されるセキュリティ情報(図2では、セキュリティ設定)は、ネットワークセキュリティID(Sg001、Sg002)により識別される。
【0033】
上記構成の仮想ネットワークにおいて、クラウドセキュリティ設定監視装置10は、セキュリティ管理者からの指示に応じて、サービス提供システムのセキュリティ設定が正しいか否かを判定する。この場合、セキュリティ管理者の指示を表す信号を管理端末30から受信すると、クラウドセキュリティ設定監視装置10は、セキュリティ設定が正しいか否かを判定する処理を開始する。或いは、クラウドセキュリティ設定監視装置10は、定期的に、サービス提供システムのセキュリティ設定が正しいか否かを判定してもよい。
【0034】
サービス情報取得部11は、サービス提供システムを構成する仮想マシンVM001~VM003にそれぞれアクセスし、各仮想マシンが提供するサービスに係わるサービス情報を取得する。サービス情報は、サービスを識別する情報(例えば、サービス名)およびサービスに対して割り当てられているポート番号を含む。また、この実施例では、サービス情報取得部11は、各仮想マシンが提供するサービスを検出することができ、且つ、各仮想マシンが提供するサービスに対して割り当てられているポート番号を検出できるものとする。或いは、サービス情報取得部11は、各仮想マシンが使用するポート番号を検出することができ、且つ、各仮想マシンが使用するポート番号に対してどのようなアプリケーション(すなわち、サービス)が割り当てられているのかを検出できるものとする。この結果、サービス情報取得部11は、図3に示すサービス情報を取得する。
【0035】
受付部12は、サービス情報取得部11がサービス提供システムを構成する各仮想マシンから取得したサービス情報を管理端末30に送信する。すなわち、図3に示すサービス情報がセキュリティ管理者に提示される。
【0036】
図4(a)は、管理端末30の表示装置に表示される入力画面31の一例を示す。入力画面31は、受付部12により作成される。また、入力画面31は、セキュリティ管理者に仮想マシンを指定させるための入力ボックスを備える。
【0037】
セキュリティ管理者が入力画面31上で所望の仮想マシンを指定すると、指定された仮想マシンが提供するサービスに係わるサービス情報が表示される。具体的には、仮想マシンVM001が指定されると、図4(b)に示すように、仮想マシンVM001が提供するサービス(HTTPサーバおよびSSHサーバ)に係わるサービス情報が表示される。また、仮想マシンVM002が指定されると、図4(c)に示すように、仮想マシンVM002が提供するサービス(データベース)に係わるサービス情報が表示される。
【0038】
入力画面31は、セキュリティ管理者に「公開」および「アクセス元制限」を入力させるためのボックスを備える。「公開」は、当該サービスを外部ネットワークに公開するか否かを表す。「アクセス元制限」は、当該サービスにアクセス可能なアクセス元のIPアドレスを表す。そして、セキュリティ管理者は、上述した設計ポリシに従って、入力画面31上で「公開」および「アクセス元制限」を入力する。具体的には、図4(b)に示すように、仮想マシンVM001においてポート番号80が割り当てられているHTTPサーバに対して「公開:Yes」および「アクセス元制限:なし」が入力され、ポート番号22が割り当てられているSSHサーバに対して「公開:Yes」および「アクセス元制限:10.10.20.13」が入力される。さらに、図4(c)に示すように、仮想マシンVM002においてポート番号5432が割り当てられているデータベースに対して「公開:Yes」および「アクセス元制限:10.10.20.11」が入力される。
【0039】
この後、セキュリティ管理者により保存ボタンが操作されると、入力画面31を利用して入力された公開情報およびアクセス制限情報は、設定チェック条件管理テーブルとしてクラウドセキュリティ設定監視装置10が備えるメモリに保存される。例えば、上述のようにして公開情報およびアクセス制限情報が入力されたときには、図5に示す設定チェック条件管理テーブルが作成されて保存される。設定チェック条件管理テーブルは、仮想マシン毎に入力された情報を統合して管理する。
【0040】
設定情報取得部13は、クラウド20のAPIを利用して、仮想マシンVM001~VM003が使用する各ポート番号に対して設定されているアクセス制限を表すセキュリティ設定情報を取得する。セキュリティ設定情報は、図2において、仮想マシンVM001~VM002に実装されているセキュリティ設定に相当する。また、クラウド20のAPIは、クラウドセキュリティ設定監視装置10からの要求に応じて、各仮想マシンに実装されているセキュリティ設定情報を収集してクラウドセキュリティ設定監視装置10に送信するものとする。
【0041】
図6は、クラウド20の仮想マシンから取得したセキュリティ設定情報の一例を示す。セキュリティ設定情報は、サービス提供者の作業者によりクラウド20の仮想マシンVM001~VM002のフィルタまたはファイアウォールに実際に設定された情報である。なお、ネットワークセキュリティIDは、図2に示す各仮想マシンVM001、VM002に実装されるセキュリティ設定に対応し、この実施例では、各仮想マシンとネットワークとの接続点を識別する識別情報であり、実質的に仮想マシンに一意に対応する。
【0042】
判定部14は、サービス提供者の作業者により設定されたセキュリティ設定情報が正しいか否かを判定する。すなわち、各サービスについてのセキュリティ設定が設計ポリシに従っているか否かが判定される。このとき、判定部14は、セキュリティ管理者の入力に基づいて作成された、図5に示す設定チェック条件管理テーブルを利用して、各サービスについてのセキュリティ設定が設計ポリシに従っているか否かを判定する。
【0043】
判定部14は、図6に示すセキュリティ設定情報の各レコードの内容が正しいか否かを判定する。具体的には、以下の通りである。
【0044】
セキュリティ設定情報の1番目のレコードは、仮想マシンVM001のポート番号80を使用するが、このポート番号に対してアクセス元制限が設定されてないことを表している。この設定内容は、図5に示す設定チェック条件管理テーブルに内容と合致している。また、セキュリティ設定情報の2番目のレコードは、仮想マシンVM001のポート番号22に対してアクセス元制限としてIPアドレス10.10.20.13が設定されていることを表している。この設定も、図5に示す設定チェック条件管理テーブルに内容と合致している。したがって、判定部14は、仮想マシンVM001に対するセキュリティ設定が正しいと判定する。
【0045】
セキュリティ設定情報の3番目のレコードは、仮想マシンVM002のポート番号5432を使用するが、このポート番号に対してアクセス元制限が設定されてないことを表している。ところが、設定チェック条件管理テーブルによれば、図5に示すように、仮想マシンVM002のポート番号5432に対して「アクセス元制限:10.10.20.11」が設定されている。よって、この場合、判定部14は、仮想マシンVM002に対して必要なセキュリティ情報が設定されてないと判定する。
【0046】
セキュリティ設定情報の4番目のレコードは、仮想マシンVM002のポート番号22に対してアクセス元制限としてIPアドレス10.10.20.13が設定されていることを表している。ところが、設定チェック条件管理テーブルによれば、仮想マシンVM002のポート番号22は使用されていない。よって、この場合、判定部14は、仮想マシンVM002に対して誤ったセキュリティ情報が設定されていると判定する。
【0047】
このように、複数の仮想マシンを利用して複数のサービスが提供されるときは、判定部14は、セキュリティ設定情報により表される仮想マシンとポート番号との組合せに対して設定されているアクセス制限が、セキュリティ設定情報中の対応する仮想マシンとポート番号との組合せに対するアクセス制限と合致するか否かを判定する。そして、正しくないセキュリティ設定を検出すると、判定部14は、その旨を表すメッセージを作成して管理端末30に送信することができる。このメッセージは、例えば、電子メールにより実現される。そして、このメッセージにより、セキュリティ管理者は、作業者が正しくないセキュリティ情報を設定したことを認識できる。
【0048】
図7は、クラウドセキュリティ設定監視装置10の処理の一例を示すフローチャートである。このフローチャートの処理は、例えば、セキュリティ管理者からの指示に応じて実行される。或いは、このフローチャートの処理は、定期的に実行される。
【0049】
S1において、サービス情報取得部11は、クラウド20に設けられる仮想マシン21からサービス情報を取得する。仮想マシン21は、クラウド20により提供され、サービス提供者により使用される。サービス情報は、仮想マシンが提供する1または複数のサービスおよびそれら各サービスに対して割り当てられているポート番号を表す。また、サービス情報は、各サービスを提供する仮想マシンを識別する情報を含んでもよい。
【0050】
S2において、受付部12は、サービス情報取得部11が取得したサービス情報を管理端末30に送信する。これにより、セキュリティ管理者は、サービス情報を閲覧することができる。すなわち、受付部12は、サービス情報取得部11が取得したサービス情報をセキュリティ管理者に提示する。なお、セキュリティ管理者は、図4を参照して説明したように、クラウドセキュリティ設定監視装置10から提示されるサービス情報に対して、ポート番号を公開するか否かを表す公開情報およびポート番号へのアクセス制限を表すアクセス制限情報を入力するものとする。
【0051】
S3において、受付部12は、セキュリティ管理者により入力される公開情報およびアクセス制限情報を取得する。そして、受付部12は、サービス情報、公開情報、およびアクセス制限情報を利用して設定チェック条件管理テーブルを作成する。設定チェック条件管理テーブルの一例は、図5に示した通りである。
【0052】
S4において、設定情報取得部13は、クラウド20が提供するAPIを利用して、仮想マシン21に設定されているセキュリティ設定情報を取得する。セキュリティ設定情報は、サービス提供者の作業者により仮想マシンに実際に設定された情報である。また、セキュリティ設定情報は、例えば、仮想マシンのフィルタまたはファイアウォールに設定されている。クラウド20から取得したセキュリティ設定情報の一例は、図6に示した通りである。
【0053】
S5~S6の処理は、判定部14により、セキュリティ設定情報が表す各セキュリティ設定に対して実行される。例えば、図6に示すセキュリティ設定情報を取得しているときには、4個のレコード(即ち、4個のセキュリティ設定)に対してそれぞれS5~S6の処理が実行される。
【0054】
S5において、判定部14は、セキュリティ設定が設定チェック条件管理テーブルの内容と合致するか否かを判定する。図5~図6に示す実施例では、1~2番目のセキュリティ設定は設定チェック条件管理テーブルと合致するが、3~4番目のセキュリティ設定は設定チェック条件管理テーブルと合致していない。そして、セキュリティ設定が設定チェック条件管理テーブルと合致していないときは、S6において、判定部14は、セキュリティ設定がどのように誤っているのかを表すメッセージを作成する。例えば、3番目のセキュリティ設定に対しては、アクセス元制限が設定されてないことを表すメッセージが作成される。また、4番目のセキュリティ設定に対しては、当該ポート番号を公開してはいけないことを表すメッセージが作成される。
【0055】
S7において、判定部14は、セキュリティ設定が正しいか否かについての判定結果を管理端末30に送信する。すなわち、セキュリティ設定が正しいか否かについての判定結果がセキュリティ管理者に通知される。
【符号の説明】
【0056】
10 クラウドセキュリティ設定監視装置
11 サービス情報取得部
12 受付部
13 設定情報取得部
14 判定部
20 クラウド
21 仮想マシン
22 仮想ネットワーク
30 管理端末
11 サービス情報取得部
12 受付部
13 設定情報取得部
14 判定部
20 クラウド
21 仮想マシン
22 仮想ネットワーク
30 管理端末
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】