知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024030371
(43)【公開日】2024-03-07
(54)【発明の名称】処理装置、処理プログラム、処理方法
(51)【国際特許分類】
G06F 11/07 20060101AFI20240229BHJP
【FI】
G06F11/07 193
G06F11/07 140A
【審査請求】未請求
【請求項の数】6
【出願形態】OL
(21)【出願番号】P 2022133219
(22)【出願日】2022-08-24
(71)【出願人】
【識別番号】000000295
【氏名又は名称】沖電気工業株式会社
(74)【代理人】
【識別番号】110001519
【氏名又は名称】弁理士法人太陽国際特許事務所
(72)【発明者】
【氏名】松原 大樹
【テーマコード(参考)】
5B042
【Fターム(参考)】
5B042GA12
5B042KK07
5B042KK13
5B042KK20
5B042MA08
5B042MA09
5B042MC40
(57)【要約】
【課題】オペレータが、在宅勤務等、遠隔で監視対象サーバの運用監視業務を遂行しているときにも初動対応する。
【解決手段】インシデント情報分析部30が、監視対象機器群20からインシデントを検知すると、当該インシデント情報分析部30からの指示で、インシデントが新規か既存かを判定し、かつ、インシデントの内容から異常レベルを判定すると共に、対策実行部38が、稼働確認データベース40及びログ取得データベース42を制御することで、自動的に、インシデント発生時に稼働確認及びログ取得を実行し、メール配信モジュール44より、インシデント対応者(SM)端末24、インシデント対応者(運用担当者)端末26へのメール作成し、情報を自動的に送付することで、インシデント発生時に、必要な情報が同時に入手でき、初動対応の方法について迅速に決定できる。
【選択図】図2
【解決手段】インシデント情報分析部30が、監視対象機器群20からインシデントを検知すると、当該インシデント情報分析部30からの指示で、インシデントが新規か既存かを判定し、かつ、インシデントの内容から異常レベルを判定すると共に、対策実行部38が、稼働確認データベース40及びログ取得データベース42を制御することで、自動的に、インシデント発生時に稼働確認及びログ取得を実行し、メール配信モジュール44より、インシデント対応者(SM)端末24、インシデント対応者(運用担当者)端末26へのメール作成し、情報を自動的に送付することで、インシデント発生時に、必要な情報が同時に入手でき、初動対応の方法について迅速に決定できる。
【選択図】図2
【特許請求の範囲】
【請求項1】
監視対象である監視装置を監視して、前記監視装置にインシデントが発生しているか否かについて判断する第1処理部と、
前記第1処理部において、前記監視装置で前記インシデントが発生していると判断されると、前記インシデントに対して対応処理するための対応処理者が操作する端末装置に対して、前記インシデントが発生したことを示す情報を含む第1情報、及び、前記インシデントに対して対応処理するために用いる対応処理装置にアクセスすることが可能な通信手順情報を含む第2情報を送信する第2処理部と、
を備えることを特徴とする処理装置。
前記第1処理部において、前記監視装置で前記インシデントが発生していると判断されると、前記インシデントに対して対応処理するための対応処理者が操作する端末装置に対して、前記インシデントが発生したことを示す情報を含む第1情報、及び、前記インシデントに対して対応処理するために用いる対応処理装置にアクセスすることが可能な通信手順情報を含む第2情報を送信する第2処理部と、
を備えることを特徴とする処理装置。
【請求項2】
前記処理装置は、
前記インシデントを分析するインシデント分析部と、
前記インシデントに対する対策を実行する対策実行部と、
前記インシデントの異常レベルを判断する異常判定部と
を備えることを特徴とする請求項1記載の処理装置。
前記インシデントを分析するインシデント分析部と、
前記インシデントに対する対策を実行する対策実行部と、
前記インシデントの異常レベルを判断する異常判定部と
を備えることを特徴とする請求項1記載の処理装置。
【請求項3】
前記処理装置は、アクセス制御部を備え、
前記アクセス制御部は、前記端末装置と前記対応処理装置との通信において、前記第2処理部により送信された第2情報によるアクセス以外に、通信制限が設定されている、請求項1記載の処理装置。
前記アクセス制御部は、前記端末装置と前記対応処理装置との通信において、前記第2処理部により送信された第2情報によるアクセス以外に、通信制限が設定されている、請求項1記載の処理装置。
【請求項4】
前記対応処理装置は、前記処理装置であることを特徴とする、請求項1記載の処理装置。
【請求項5】
コンピュータを、
監視対象である監視装置を監視して、前記監視装置にインシデントが発生しているか否かについて判断する第1処理部、
前記第1処理部において、前記監視装置で前記インシデントが発生していると判断されると、前記インシデントに対して対応処理するための対応処理者が操作する端末装置に対して、前記インシデントが発生したことを示す情報を含む第1情報、及び、前記インシデントに対して対応処理するために用いる処理装置にアクセスすることが可能な通信手順情報を含む第2情報を送信する第2処理部として動作させる
処理プログラム。
監視対象である監視装置を監視して、前記監視装置にインシデントが発生しているか否かについて判断する第1処理部、
前記第1処理部において、前記監視装置で前記インシデントが発生していると判断されると、前記インシデントに対して対応処理するための対応処理者が操作する端末装置に対して、前記インシデントが発生したことを示す情報を含む第1情報、及び、前記インシデントに対して対応処理するために用いる処理装置にアクセスすることが可能な通信手順情報を含む第2情報を送信する第2処理部として動作させる
処理プログラム。
【請求項6】
処理装置における処理方法であって、
監視対象である監視装置を監視して、前記監視装置にインシデントが発生しているか否かについて判断する第1処理ステップと、
前記第1処理ステップにおいて、前記監視装置で前記インシデントが発生していると判断されると、前記インシデントに対して対応処理するための対応処理者が操作する端末装置に対して、前記インシデントが発生したことを示す情報を含む第1情報、及び、前記インシデントに対して対応処理するために用いる対応処理装置にアクセスすることが可能な通信手順情報を含む第2情報を送信する第2処理ステップと、
を備えることを特徴とする処理方法。
監視対象である監視装置を監視して、前記監視装置にインシデントが発生しているか否かについて判断する第1処理ステップと、
前記第1処理ステップにおいて、前記監視装置で前記インシデントが発生していると判断されると、前記インシデントに対して対応処理するための対応処理者が操作する端末装置に対して、前記インシデントが発生したことを示す情報を含む第1情報、及び、前記インシデントに対して対応処理するために用いる対応処理装置にアクセスすることが可能な通信手順情報を含む第2情報を送信する第2処理ステップと、
を備えることを特徴とする処理方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コンピュータネットワーク内で検出されたインシデントを管理する処理装置、処理プログラム、処理方法に関する。
【背景技術】
【0002】
従来、運用監視業務では、コンピュータネットワーク内で検出されたインシデントの初動を迅速に対応することが重要である。
【0003】
特許文献1には、運用監視業務における、初動対応支援装置において、チェックリスト生成部が、端末識別情報と対応するチェックリストテンプレートを取得し、取得したチェックリストテンプレートに基づき、インシデントに対して行われる初動対応の各事項を含むチェックリストを生成することで、初動対応の品質を向上させることが記載されている。
【0004】
なお、インシデント(Incident)は、「中断・阻害、損失、緊急事態、危機に、なり得るまたはそれらを引き起こし得る状況」又は「システム運用を通して提供されるサービスが中断したり、サービス品質を低下させたりする出来事」と定義することができるが、要するに、突発的な出来事で迅速に対応しなければ被害が広がる事件はすべてインシデントになる。
【0005】
ところで、運用監視業務は、お客様のシステム等の運用を監視し、異常が発生すると即座に対応し、お客様のサービスに影響を及ぼさないように復旧し、年中無休(24時間365日)で実施している。
【0006】
より具体的には、監視サーバが監視対象機器(サーバ、ネットワーク機器等)からインシデント、を検知すると、まず運用担当者は初動対応を実施する。
【0007】
初動対応は、インシデントの検知内容、インシデント発生サーバのログ情報を調査して、発生したインシデントに対して対処の必要有無を判断する。調査の必要が有りと判断した場合、対象機器にログインし、状態確認やログ取得等を実施し、インシデントの内容を調査する。
【0008】
インシデントの被疑箇所が特定できたら、運用担当者が関係各所に電話やメールで第一報をする。その後、関係各所と連携したうえで、インシデントに対して最適かつ迅速な対処を決定し実施する。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】特開2016-076133号公報
【発明の概要】
【発明が解決しようとする課題】
【0010】
しかしながら、運用担当者が在宅勤務等、遠隔で監視対象サーバの運用監視業務を実施する場合がある。在宅勤務等の遠隔業務遂行時の運用管理は、監視対象サーバがセキュリティレベルが高く設定されているためアクセスすることが困難となっている。
【0011】
運用担当者が在宅勤務等の遠隔業務遂行時に調査が必要なインシデントが発生すると、初動対応としての対象機器へのログイン、状態確認やログ取得等が、迅速に出来ない問題が発生する。
【0012】
本発明は、オペレータが、在宅勤務等、遠隔で監視対象サーバの運用監視業務を遂行しているときにも初動対応することができる処理装置、処理プログラム、処理方法を得ることが目的である。
【課題を解決するための手段】
【0013】
本発明に係る処理装置は、監視対象である監視装置を監視して、前記監視装置にインシデントが発生しているか否かについて判断する第1処理部と、前記第1処理部において、前記監視装置で前記インシデントが発生していると判断されると、前記インシデントに対して対応処理するための対応処理者が操作する端末装置に対して、前記インシデントが発生したことを示す情報を含む第1情報、及び、前記インシデントに対して対応処理するために用いる対応処理装置にアクセスすることが可能な通信手順情報を含む第2情報を送信する第2処理部と、を備えることを特徴としている。
【0014】
本発明に係る処理プログラムは、コンピュータを、監視対象である監視装置を監視して、前記監視装置にインシデントが発生しているか否かについて判断する第1処理部、前記第1処理部において、前記監視装置で前記インシデントが発生していると判断されると、前記インシデントに対して対応処理するための対応処理者が操作する端末装置に対して、前記インシデントが発生したことを示す情報を含む第1情報、及び、前記インシデントに対して対応処理するために用いる処理装置にアクセスすることが可能な通信手順情報を含む第2情報を送信する第2処理部として動作させる、ことを特徴としている。
【0015】
本発明に係る処理方法は、処理装置における処理方法であって、前記監視装置が、前記監視装置にインシデントが発生しているか否かについて判断する第1処理ステップと、前記第1処理ステップにおいて、前記監視装置で前記インシデントが発生していると判断されると、前記インシデントに対して対応処理するための対応処理者が操作する端末装置に対して、前記インシデントが発生したことを示す情報を含む第1情報、及び、前記インシデントに対して対応処理するために用いる対応処理装置にアクセスすることが可能な通信手順情報を含む第2情報を送信する第2処理ステップと、を備えることを特徴としている。
【発明の効果】
【0016】
以上説明した如く本発明によれば、オペレータが、在宅勤務等、遠隔で監視対象サーバの運用監視業務を遂行しているときにも初動対応することができるという効果を奏する。
【図面の簡単な説明】
【0017】
【図1】本実施の形態に係る処理装置としての、インシデント初動対応システムの概略図である。
【図2】インシデント管理兼初動装置の機能を示す制御ブロック図である。
【図3】本実施の形態に係るインシデント管理兼初動のための動作を説明する制御フローチャートである。
【発明を実施するための形態】
【0018】
図1は、本実施の形態に係る処理装置としての、インシデント初動対応システム10の概略図である。
【0019】
インシデント初動対応システム10は、インシデント管理兼初動装置12と監視モニタ14とを備える。監視モニタ14は、インシデント管理兼初動装置12のコンソール画面を表示する。
【0020】
インシデント管理兼初動装置12は、インターネット等の第1ネットワーク16を介して、複数の監視機器18(1)~18(n)からなる監視対象機器群20と接続している。なお、nは、正の整数であり、監視機器18の数に相当する。
【0021】
監視機器18(1)~18(n)は、自社内部の機器及び複数の他社機器を対象可能としている。
【0022】
また、インシデント管理兼初動装置12は、システム内LAN等の第2ネットワーク22を介してインシデント対応者端末(SM)24とインシデント対応者端末(運用担当)26とに接続されている。
【0023】
インシデント対応者端末(SM)24とインシデント対応者端末(運用担当)26とは、例えば、操作者が在宅勤務等のリモートワーク中で、インシデント管理兼初動装置12に対して遠隔の位置に配置されていても、第2ネットワーク22を介して、通信が可能であり、例えば、インシデント発生時におけるメール受信等が可能である。
【0024】
図2は、インシデント管理兼初動装置12の機能を示す制御ブロック図である。なお、図2に示す各ブロックは、インシデント管理兼初動装置12を機能別に分類したものであり、ハード構成を限定するものではない。例えば、CPU「Central Processing Unit」、RAM「Random Access Memory」、ROM「Read Only Memory」、入出力ポート、及びこれらを相互に接続するデータバスやコントロールバス等のバスで構成されるマイクロコンピュータを具備し、インシデントの管理及び衝動を実行するプログラムを動作させるようにしてもよい。
【0025】
インシデント管理兼初動装置12は、監視対象機器群20から発生したインシデントを受け付けるインシデント情報検知部28を備えている。インシデント情報検知部28は、監視対象機器群20の何れかの監視機器18(1)~18(n)からインシデント情報を検知すると、当該インシデント情報をインシデント情報分析部30へ送出する。インシデント情報分析部30では、受領したインシデント情報を分析する。
【0026】
また、インシデント情報分析部30は、監視対象機器群20からの稼働確認結果、ログを保管する機能も有する。
【0027】
インシデント情報分析部30は、過去インシデント保管部32に接続されている。過去インシデント保管部32は、過去に発生したインシデント情報を保管していると共に、インシデント情報分析部30で分析した結果を、保存する機能を有している。また、過去インシデント保管部32は、保管されている過去に発生したインシデント情報を検索する機能も有している。
【0028】
インシデント情報分析部30は、異常判定部34介して、異常レベルデータベース36に接続されている。異常レベルデータベース36は、インシデントの異常レベルとして、警告レベルデータ36A、注意レベルデータ36B、及び情報レベルデータ36Cを格納している。異常判定部34では、インシデント情報分析部30の分析結果に対するインシデントの異常レベルを判定する機能を有している。
【0029】
インシデント情報分析部30は、対策実行部38に接続されている。対策実行部38は、稼働確認データベース40、及びログ取得データベース42に接続されている。
【0030】
(稼働確認データベース40の詳細)
【0031】
稼働確認データベース40には、対象案件1、2~M(Mは正の整数)が格納されている。
【0032】
また、稼働確認データベース40は、対象案件1、2~M毎に、それぞれ処理部を備え、それぞれ稼働確認実行コマンドに基づいて稼働確認処理が実行されるようになっている。例えば、対象案件1では、処理部1-1、処理部1-2・・・処理部1-N(Nは正の整数)を備えており、対象案件2では、処理部2-1、処理部2-2・・・処理部2-N(Nは正の整数)を備えており、処理部M、では、処理部M-1、処理部M-2・・・処理部M-Nを備えている。
【0033】
対象案件1の一例としては、図1に示す、監視機器18(1)~18(L)の稼働停止に関わる稼働確認を実行する。
【0034】
対象案件1の処理部1-1の一例としては、SNMP「Simple Network management Protocol」や、ICMP「Internet Control Message Protocol」(PING)による死活監視である。
【0035】
対象案件2の一例としては、図1に示す、監視機器18(1)~18(L)における通信量の急増に関わる稼働確認を実行する。
【0036】
対象案件2の処理部2-1の一例としては、SNMPや、ICMP(PING)による死活監視である。
【0037】
対象案件2の処理部2-2の一例としては、監視機器18(1)~18(L)における、単体のリソース(パフォーマンス)としての、CPU、GPU「Graphics Processing Unit」、メモリ、HDD「Hard Disk Drive」、及びSSD「Solid State Drive」等の使用率の確認や、イーサネット(登録商標)における、送受信のデータ量の確認である。
【0038】
対象案件Mの一例としては、図1に示す、監視機器18(1)~18(L)における監視機器間での通信障害に係る稼働確認を実行する。
【0039】
対象案件Mの処理部M-1の一例としては、SNMPや、ICMP(PING)による死活監視である。
【0040】
対象案件Mの処理部M-2の一例としては、監視機器を含むネットワークトポロジーの確認である。
【0041】
なお、対象案件や処理部は、必要に応じて、随時追加可能である。
【0042】
(ログ取得データベース42の詳細)
ログ取得データベース42には、対象案件1、2~M(Mは正の整数)が格納されている。
ログ取得データベース42には、対象案件1、2~M(Mは正の整数)が格納されている。
【0043】
また、ログ取得データベース42は、対象案件1、2~M毎に、それぞれ処理部を備え、それぞれログ取得実行コマンドに基づいてログ取得処理が実行されるようになっている。例えば、対象案件1では、処理部1-1、処理部1-2・・・処理部1-N(Nは正の整数)を備えており、対象案件2では、処理部2-1、処理部2-2・・・処理部2-N(Nは正の整数)を備えており、処理部M、では、処理部M-1、処理部M-2・・・処理部M-Nを備えている。
【0044】
対象案件1の一例としては、図1に示す、監視機器18(1)~18(L)の稼働停止に関わるログ取得を実行する。
【0045】
対象案件1の処理部1-1の一例としては、SNMPや、ICMP(PING)による死活監視に関わるログ取得である。
【0046】
対象案件2の一例としては、図1に示す、監視機器18(1)~18(L)における通信量の急増に関わるログ取得を実行する。
【0047】
対象案件2の処理部2-1の一例としては、SNMPや、ICMP(PING)による死活監視に関わるログ取得である。
【0048】
対象案件2の処理部2-2の一例としては、監視機器18(1)~18(L)における、単体のリソース(パフォーマンス)としての、CPU、GPU、メモリ、及びHDDの使用率の確認や、イーサネット(登録商標)における、送受信のデータ量の確認に関わるログ取得である。
【0049】
対象案件Mの一例としては、図1に示す、監視機器18(1)~18(L)における監視機器間での通信障害に係る稼働確認に関わるログ取得を実行する。
【0050】
対象案件Mの処理部M-1の一例としては、SNMPや、ICMP(PING)による死活監視に関わるログ取得である。
【0051】
対象案件Mの処理部M-2の一例としては、監視機器を含むネットワークトポロジーの確認に関わるログ取得である。
【0052】
なお、対象案件や処理部は、必要に応じて、随時追加可能である。
【0053】
対策実行部38は、稼働確認データベース40とログ取得データベース42とから、各々実行する対象コマンドを参照し、実行する機能を有する。
【0054】
インシデント情報分析部30は、メール配信モジュール44に接続されている。メール配信モジュール44は、メールデータベース46に接続されている。
【0055】
メールデータベース46は、インシデント対応者端末(SM)24、インシデント対応者端末(運用担当)26に送付するメールフォーマットを保有している。
【0056】
(メールデータベース46の詳細)
メールデータベース46には、対象案件1、2~M(Mは正の整数)が格納されている。
メールデータベース46には、対象案件1、2~M(Mは正の整数)が格納されている。
【0057】
また、メールデータベース46は、対象案件1、2~M毎に、それぞれ処理部を備え、それぞれメールフォーマットに基づいてメール配信が実行されるようになっている。例えば、対象案件1では、処理部1-1、処理部1-2・・・処理部1-N(Nは正の整数)を備えており、対象案件2では、処理部2-1、処理部2-2・・・処理部2-N(Nは正の整数)を備えており、処理部M、では、処理部M-1、処理部M-2・・・処理部M-Nを備えている。
【0058】
メール配信モジュール44は、メールデータベース46から対象のメールフォーマットを選択し、メールを自動作成し、インシデント対応者端末(SM)24、インシデント対応者端末(運用担当)26にメールを送付する機能を有する。
【0059】
以下に、本実施の形態の作用(動作)を、図3のフローチャートに従い説明する。
【0060】
通常時、インシデント管理兼初動装置12は監視対象機器群20の監視を行っている。
【0061】
監視対象機器群20の何れかの監視機器でインシデント発生すると、インシデント検知部28がインシデントを検知し(ステップ100の肯定判定)ステップ102へ移行する。なお、ステップ100で否定判定された場合は、このルーチンは終了する。
【0062】
ステップ102では、ステップ100で検知したインシデントに対し、インシデント情報分析部30で分析を実行し、ステップ104へ移行する。
【0063】
ステップ104では、インシデント情報分析部30が、検知したインシデントの分析結果を過去インシデント保管部32へ送出し、検索をかける。
【0064】
次のステップ106では、インシデント情報分析部30が、検知したインシデントに関する対象案件を判断し、次いで、ステップ108へ移行して、インシデント情報分析部30が、過去インシデント保管部32において、過去に発生したインシデントの中に、検知したインシデントがあるか否か(既存又は新規)を判断する。
【0065】
ステップ108で、インシデント情報分析部30が、過去に発生した既存のインシデントであると判定した場合は、ステップ110へ移行して、インシデント情報分析部30が、過去インシデント保管部32から、検知したインシデントに関しての対象案件を読み出し、ステップ128へ移行する。ステップ128以降の説明は後述する。
【0066】
一方、ステップ108で、インシデント情報分析部30が、検知したインシデントが新規のインシデントである(過去に発生したインシデントが無い)と判定した場合は、ステップ112へ移行する。
【0067】
ステップ112では、インシデント情報分析部30が、インシデント分析結果に基づいて、稼働確認実行コマンドの処理、及びログ取得実行コマンドの処理を自動選択し、ステップ116へ移行する。
【0068】
すなわち、ステップ112では、インシデント情報分析部30で分析した結果、並びに、ステップ106で判断した対象案件1~nに基づき、対策実行部38が、稼働確認データベース40に保有されている稼働確認実行コマンドの処理、及びログ取得データベース42に保有されているログ取得実行コマンドの処理を自動的に選択する。ステップ116では、対策実行部38が、ステップ112で選択された処理を実行する。
【0069】
次のステップ118では、対策実行部38が、インシデントが発生した監視対象機器群の監視機器に対して、稼働確認実行コマンドの処理、及びログ取得実行コマンドの処理を実行する。
【0070】
また、ステップ118では、対策実行部38が、稼働確認実行コマンドの処理結果、及びログ取得実行コマンドの処理結果を取得して、インシデント情報分析部30に保存し、ステップ120へ移行する。
【0071】
ステップ120では、インシデント情報分析部30が、インシデント情報分析部30で分析した結果と稼働確認の結果を異常判定部34へ送出し、次いで、ステップ122へ移行して、異常判定部34が、インシデント情報分析部30で分析した結果と稼働確認の結果に基づき、異常レベルデータベース36に格納された異常レベル(警告レベル、注意レベル、情報レベルの3段階)の何れかを判別する。次のステップ124では、異常判定部34が、ステップ122で判断された異常レベルを、インシデント情報分析部30に送出し、ステップ128へ移行する。
【0072】
ステップ124又はステップ110から移行される、ステップ128では、対策実行部38が、インシデント情報分析部30から既存インシデントの情報又は新規インシデントの情報を受信し、ログ取得データベース42の内部にある対象のログ取得実行コマンドを決定し、ステップ130へ移行する。ステップ130では、対策実行部38が、決定したログ取得実行コマンドを、監視対象機器群20の内部にある監視機器18(1)~18(L)に対して実行し、監視機器18(1)~18(L)で取得されたログを、インシデント情報分析部30に送付する。
【0073】
ここで、ステップ128及びステップ130において、既存インシデントの場合、ログ取得データベース内部の対象案件に登録されているインシデントに対して指定のログ取得実行コマンドを実行する。
【0074】
一方、ステップ128及びステップ130において、新規インシデントの場合、新規インシデント用で登録されているログ取得実行コマンドを実行する。
【0075】
次のステップ132では、インシデント情報分析部30が、インシデント情報分析部30で検知したインシデントに関する対象案件の情報、稼働確認実行コマンドの処理の実行結果、ログ取得実行コマンドの処理の実行結果を、メール配信モジュール44へ送出する。
【0076】
次のステップ134では、メール配信モジュール44は、ステップ132でインシデント情報分析部30が送出した対象案件の情報と2つの実行結果に基づいて、メールデータベース46内部のメールフォーマットとを参照し、メールを作成し、ステップ136へ移行する。
【0077】
ここで、作成されたメールにおいて、例えば、メール本文には、インシデント発生、対象案件の情報、稼働確認結果、ログ情報、およびインシデント管理兼初動装置12への管理コンソールの接続URLが記載される。
【0078】
またここで、対象案件の情報、稼働確認結果、ログ情報は、ステップ132でインシデント情報分析部30が送出した情報に基づくものであり、対象案件の情報、稼働確認実行コマンドの処理の実行結果に基づく情報、ログ取得実行コマンドの処理の実行結果に基づく情報である。
【0079】
ステップ136では、メール配信モジュール44は、作成したメール(インシデント発生、対象案件の情報、稼働確認結果、ログ情報、およびインシデント管理兼初動装置12への管理コンソールの接続URLを含む)をインシデント対応者端末(SM)24、インシデント対応者端末(運用担当者)26へ送信する。
【0080】
インシデント対応者(SM)、インシデント対応者(運用担当者)は、メールを受信後、インシデントに対して恒久策を判断する。
【0081】
ここで、追加調査が必要な場合は(ステップ138の肯定判定)、ステップ140へ移行する。
【0082】
ステップ140では、次の処理が実行される。
【0083】
メール本文に記載されるインシデント管理兼初動装置12への管理コンソールの接続URLの記載があるので、インシデント対応者端末(SM)24(またはインシデント対応者端末(運用担当者)26)は、インシデント担当者(SM)(またはインシデント担当者(運用担当))により、インシデント管理兼初動装置12への管理コンソールの接続URLが入力される。インシデント対応者端末(SM)24(またはインシデント対応者端末(運用担当者)26)は、管理コンソールの接続URLが入力されると、インシデント管理兼初動装置12の管理コンソール(図示せず)にアクセスする。
【0084】
また、インシデント対応者端末(SM)24(またはインシデント対応者端末(運用担当者)26)は、インシデント担当者(SM)(またはインシデント担当者(運用担当))より、対策番号が押下(入力)される。インシデント対応者端末(SM)24(またはインシデント対応者端末(運用担当者)26)は、管理コンソールに対して、対策番号を送信する。
【0085】
対策実行部38は、インシデント対応者端末(SM)24(またはインシデント対応者端末(運用担当者)26)から、管理コンソール介して対策番号を受信すると、受信した対策番号に基づいて追加調査を実行する。
【0086】
ここで、ステップ140では、インシデント管理兼初動装置12におけるアクセス制御部(図示せず)がある場合、次の処理が実行される。
【0087】
アクセス制御部は、インシデント対応者端末(SM)24(またはインシデント対応者端末(運用担当者)26)から、接続URLを受信すると、受信した接続URLと、ステップ136で作成したメール本文に記載した管理コンソールの接続URLとを比較する。
【0088】
アクセス制御部は、2つのURLの比較結果が一致する場合、インシデント対応者端末(SM)24又はインシデント対応者端末(運用担当者)26から管理コンソールへのアクセスを許可する。対策実行部38は、アクセス制御部でインシデント対応者端末(SM)24(またはインシデント対応者端末(運用担当者)26)から、管理コンソール介して、対策番号を受信すると、受信した対策番号に基づいて追加調査を実行する。
【0089】
アクセス制御部は、2つのURLの比較結果が不一致である場合、インシデント対応者端末(SM)24又はインシデント対応者端末(運用担当者)26から管理コンソールへのアクセスを禁止する。
【0090】
2つのURLの比較結果が一致である場合(又は不一致である場合)におけるアクセス制御部の処理が終了すると、ステップ140は、終了する。
【0091】
またここで、ステップ140では、ステップ136におけるメール本文に記載される管理コンソールの接続URLが、ステップ136が実行される毎に変更される場合、次の処理が実行される。
【0092】
アクセス制御部が、次のインシデント対応者端末(SM)24(またはインシデント対応者端末(運用担当者)26)から、接続URLを受信して、受信した接続URLと、ステップ136で作成したメール本文に記載した管理コンソールの接続URLとを比較する際、ステップ136で作成したメール本文に記載した管理コンソールの接続URLは、最も最後(ステップ140が実行される時間情報から最も直近となる時間情報)に実行されたステップ136で作成した管理コンソールの接続URLとする。
【0093】
ステップ140の処理が終了すると、このルーチンは終了する。なお、ステップ138で否定判定された場合は、このルーチンは終了する。
【0094】
管理コンソールからは、対策実行部38へ対象案件の追加ログ取得を要求し、取得ログは、メール配信モジュール44を通じてインシデント対応者端末(SM)24、インシデント対応者端末(運用担当者)26に送付される。
【0095】
以上説明したように、本実施の形態のインシデント初動対応システム10によれば、インシデント情報分析部30が、監視対象機器群20からインシデントを検知すると、当該インシデント情報分析部30からの指示で、インシデントが新規か既存かを判定し、かつ、インシデントの内容から異常レベルを判定すると共に、対策実行部38が、稼働確認データベース40及びログ取得データベース42を制御することで、自動的に、インシデント発生時に稼働確認及びログ取得を実行し、メール配信モジュール44より、インシデント対応者端末(SM)24、インシデント対応者端末(運用担当者)26へのメールを作成し、情報を自動的に送付することで、インシデント発生時に、必要な情報が同時に入手でき、初動対応の方法について迅速に決定できる。
【0096】
なお、図1の全体構成に示すインシデント初動対応システム10は、第1ネットワーク16としてインターネット、及び第2ネットワーク22としてシステム内LANを例示したが、クラウドサービスなど社外のネットワークを使用した場合でも同様な効果を有する。また、第1ネットワーク16及び第2ネットワーク22は、共通であってもよい。
【0097】
また、本実施の形態では、インシデント管理兼初動装置12の構成要件としてメール配信モジュール44を例示し、メールを配信することを前提としたが、メールという手段に限らず、情報をサイトにアップするようなWEBポータルサイトへの情報サイトも適用可能である。
【0098】
また、本実施の形態では、インシデント管理兼初動装置12が1台の構成について記載されるが、インシデント管理兼初動装置12が複数台(例えば2台)の構成であっても良い。ここで、インシデント管理兼初動装置12が2台で構成される場合、各インシデント管理兼初動装置12は、図3におけるインシデント管理兼初動のための動作について、次のように分担する。
【0099】
一方のインシデント管理兼初動装置12は、図3におけるステップ100~ステップ136の処理を分担する。
【0100】
他方のインシデント管理兼初動装置12は、図3におけるステップ140の処理を分担する。
【符号の説明】
【0101】
10 インシデント初動対応システム
12 インシデント管理兼初動装置(処理装置)
14 監視モニタ
16 第1ネットワーク
18 監視機器(1)~(n)
20 監視対象機器群
22 第2ネットワーク
24 インシデント対応者端末「SM」(端末装置)
26 インシデント対応者端末「運用担当」(端末装置)
28 インシデント情報検知部(第1処理部)
30 インシデント情報分析部(第2処理部)
32 過去インシデント保管部
34 異常判定部(第2処理部)
36 異常レベルデータベース
36A 警告レベルデータ
36B 注意レベルデータ
36C 情報レベルデータ
38 対策実行部(第2処理部)
40 稼働確認データベース
42 ログ取得データベース
44 メール配信モジュール
46 メールデータベース
12 インシデント管理兼初動装置(処理装置)
14 監視モニタ
16 第1ネットワーク
18 監視機器(1)~(n)
20 監視対象機器群
22 第2ネットワーク
24 インシデント対応者端末「SM」(端末装置)
26 インシデント対応者端末「運用担当」(端末装置)
28 インシデント情報検知部(第1処理部)
30 インシデント情報分析部(第2処理部)
32 過去インシデント保管部
34 異常判定部(第2処理部)
36 異常レベルデータベース
36A 警告レベルデータ
36B 注意レベルデータ
36C 情報レベルデータ
38 対策実行部(第2処理部)
40 稼働確認データベース
42 ログ取得データベース
44 メール配信モジュール
46 メールデータベース
【図1】
【図2】
【図3】
