ホーム > 特許ランキング > 株式会社野村総合研究所
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-11-27
(45)【発行日】2023-12-05
(54)【発明の名称】サーバ
(51)【国際特許分類】
G06F 21/60 20130101AFI20231128BHJP
G06F 21/62 20130101ALI20231128BHJP
G06F 15/00 20060101ALI20231128BHJP
【FI】
G06F21/60
G06F21/62 318
G06F15/00 410B
【請求項の数】
4
(21)【出願番号】P 2019088545
(22)【出願日】2019-05-08
(65)【公開番号】P2020184222
(43)【公開日】2020-11-12
【審査請求日】2022-04-07
(73)【特許権者】
【識別番号】000155469
【氏名又は名称】株式会社野村総合研究所
(74)【代理人】
【識別番号】110003281
【氏名又は名称】弁理士法人大塚国際特許事務所
(74)【代理人】
【識別番号】100076428
【弁理士】
【氏名又は名称】大塚 康徳
(74)【代理人】
【識別番号】100115071
【弁理士】
【氏名又は名称】大塚 康弘
(74)【代理人】
【識別番号】100112508
【弁理士】
【氏名又は名称】高柳 司郎
(74)【代理人】
【識別番号】100116894
【弁理士】
【氏名又は名称】木村 秀二
(74)【代理人】
【識別番号】100130409
【弁理士】
【氏名又は名称】下山 治
(74)【代理人】
【識別番号】100134175
【弁理士】
【氏名又は名称】永川 行光
(74)【代理人】
【識別番号】100199277
【弁理士】
【氏名又は名称】西守 有人
(72)【発明者】
【氏名】寺田 知太
(72)【発明者】
【氏名】松村 和機
(72)【発明者】
【氏名】重住 周
【審査官】上島 拓也
(56)【参考文献】
【文献】特開2013-105320(JP,A)
【文献】特開2014-211803(JP,A)
【文献】特開2008-186315(JP,A)
【文献】特開2013-222408(JP,A)
【文献】特開2001-034554(JP,A)
【文献】特開2010-244123(JP,A)
【文献】米国特許出願公開第2017/0185530(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/60
G06F 21/62
G06F 15/00
(57)【特許請求の範囲】
【請求項1】
少なくともひとつの提供体から預かったデータを利用者に利用させるサービスを提供するためのサーバであって、利用者の端末からネットワークを介して利用者認証要求を受け付ける手段と、
利用者認証が成功すると、利用者の端末に仮想デスクトップ環境を提供する手段と、
仮想デスクトップ環境内で、少なくともひとつの提供体から預かったデータが保持されるデータベースに対するアクセスを可能とする手段と、
利用者の端末から仮想デスクトップ環境への直接的なオブジェクトの複製または移動を制限または禁止する手段と、
利用者に対しては書き込みを許可する一方読み出しは許可せず、仮想デスクトップ環境に対しては読み出しを許可する一方書き込みを許可しないようオブジェクト保持手段を動作させる手段と、
利用者によって前記オブジェクト保持手段に書き込まれたオブジェクトを当該オブジェクト保持手段から読み出して仮想デスクトップ環境に入れる手段と、を備えるサーバ。
【請求項2】
利用者によって前記オブジェクト保持手段に書き込まれたオブジェクトを、読み出される前に、検査する手段をさらに備える請求項1に記載のサーバ。
【請求項3】
仮想デスクトップ環境から利用者の端末への直接的なオブジェクトの複製または移動を制限または禁止する手段と、仮想デスクトップ環境に対して書き込みを許可する一方読み出しは許可しないよう第1オブジェクト保持手段を動作させる手段と、
前記第1オブジェクト保持手段に書き込まれたオブジェクトを検査する手段と、
検査されたオブジェクトを保持する第2オブジェクト保持手段を、利用者に対して読み出しを許可する一方書き込みを許可しないよう動作させる手段と、をさらに備える請求項1又は2に記載のサーバ。
【請求項4】
検査する手段における検査は、利用者が仮想デスクトップ環境で利用したデータの提供者により設定された制約に基づく請求項3に記載のサーバ。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、仮想デスクトップ環境を提供するサーバに関する。
【背景技術】
【0002】
仮想デスクトップとは、端末の機能を必要最小限にしてサーバ側で処理を行う仕組みである。特許文献1には、仮想デスクトップを提供することで情報漏洩を阻止し、セキュリティを確保する技術が記載されている。特許文献2には、完全仮想化環境においてホストOSとゲストOSとの間でデータ転送を行う技術が開示されている。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2017-076303号公報
【文献】特開2014-206832号公報
【非特許文献】
【0004】
【文献】https://aws.amazon.com/jp/workspaces/、「Amazon WorkSpaces」、2019年4月27日検索
【文献】https://aws.amazon.com/jp/s3/、「Amazon S3」、2019年4月27日検索
【文献】https://aws.amazon.com/jp/lambda/、「Amazon Lambda」、2019年4月27日検索
【文献】https://aws.amazon.com/jp/kinesis/、「Amazon Kinesis」、2019年4月27日検索
【文献】https://docs.aws.amazon.com/cli/latest/reference/s3api/、「s3api」、2019年5月8日検索
【発明の概要】
【発明が解決しようとする課題】
【0005】
特許文献1、2に記載の技術は、いずれも自己が有するデータを仮想化環境で扱うことを前提としている。しかしながら、本発明者の検討によると、仮想デスクトップの技術の適用範囲はそのような前提に留まらないより広いものである。
【0006】
本発明はこうした課題に鑑みてなされたものであり、その目的は、仮想デスクトップ環境で第三者が提供するデータを分析することを可能とする技術の提供にある。
【課題を解決するための手段】
【0007】
本発明のある態様は、サーバに関する。このサーバは、少なくともひとつの提供体から預かったデータを利用者に利用させるサービスを提供するためのサーバであって、利用者の端末からネットワークを介して利用者認証要求を受け付ける手段と、利用者認証が成功すると、利用者の端末に仮想デスクトップ環境を提供する手段と、仮想デスクトップ環境内で、少なくともひとつの提供体から預かったデータが保持されるデータベースに対するアクセスを可能とする手段と、利用者の端末から仮想デスクトップ環境への直接的なオブジェクトの複製または移動を制限または禁止する手段と、利用者に対しては書き込みを許可する一方読み出しは許可せず、仮想デスクトップ環境に対しては読み出しを許可する一方書き込みを許可しないようオブジェクト保持手段を動作させる手段と、利用者によって前記オブジェクト保持手段に書き込まれたオブジェクトを当該オブジェクト保持手段から読み出して仮想デスクトップ環境に入れる手段と、を備える。
【0008】
なお、以上の構成要素の任意の組み合わせや、本発明の構成要素や表現を装置、方法、システム、コンピュータプログラム、コンピュータプログラムを格納した記録媒体などの間で相互に置換したものもまた、本発明の態様として有効である。
【発明の効果】
【0009】
本発明によれば、仮想デスクトップ環境で第三者が提供するデータを分析することができる。
【図面の簡単な説明】
【0010】
【図1】実施の形態に係るデータ分析システムの構成を示す模式図である。
【図4】分析用ローカルPCがサービスを利用する際のフローの概要を示す説明図である。
【図5】仮想デスクトップ環境からデータベースへのデータのアクセス制御を示す説明図である。
【図6】仮想デスクトップ環境へのオブジェクトの持ち込みの制御を示す説明図である。
【図7】仮想デスクトップ環境からのオブジェクトの持ち出しの制御を示す説明図である。
【図8】データ提供体からのデータ収集の仕組みを示す説明図である。
【図9】データ提供体との、利用者へのデータ提供に関する制約調整の仕組みを示す説明図である。
【発明を実施するための形態】
【0011】
以下、各図面に示される同一または同等の構成要素、部材、処理には、同一の符号を付するものとし、適宜重複した説明は省略する。また、各図面において説明上重要ではない部材の一部は省略して表示する。
【0012】
図1は、実施の形態に係るデータ分析システム2の構成を示す模式図である。データ分析システム2は、少なくともひとつのデータ提供体から預かったデータを、分析担当者4などの利用者に利用させるサービスを提供する。データ分析システム2は、分析担当者4向けに必要なデータ分析の環境を提供する。データ分析システム2は、分析担当者4が使用する分析用ローカルPC6と、インターネット環境8におかれた分析環境提供サーバ10と、を備える。分析用ローカルPC6と分析環境提供サーバ10とは、インターネットなどのネットワークを介して通信可能に構成される。図1に示される構成は例示であり、分析用ローカルPC6の数に制限はない。分析環境提供サーバ10は一台のサーバで構成されてもよいし、複数のサーバを含んでもよい。例えば、分析環境提供サーバ10の後述する機能をそれぞれ別個のサーバで実現してもよい。
【0013】
分析環境提供サーバ10は、本サービスを利用する分析担当者4(利用者)の分析用ローカルPC6に、ネットワークを介して、仮想デスクトップ環境12を提供する。仮想デスクトップにより実現される仮想デスクトップ環境12と分析用ローカルPC6との間で、本サービスの管理者等により設定された権限による権限制御がなされる。
【0014】
分析環境提供サーバ10は、データ提供体から預かったデータを保持するデータベース14を備える。データベース14はリレーショナルデータベースであってもよく、あるいはKVSなどのNoSQLDB、カラムナDB、グラフDBなどであってもよい。本実施の形態においてデータベースの種類に制限はない。分析担当者4は仮想デスクトップ環境内においてのみ、データベース14にアクセスすることができる。すなわち、分析用ローカルPC6から直接データベース14にアクセスする手段は提供されない。さらに、仮想デスクトップ環境12とデータベース14との間で、本サービスの管理者等により設定された権限による権限制御がなされる。
【0015】
仮想デスクトップ環境12もデータベース14も分析環境提供サーバ10の中で閉じた構成となっており、分析環境提供サーバ10の外のインターネット環境8と仮想デスクトップ環境12との通信、分析環境提供サーバ10の外のインターネット環境8とデータベース14との通信、はいずれも禁止される。
【0016】
分析環境提供サーバ10は分析担当者4に対して以下の機能を提供する。
・分析用ローカルPC6から仮想デスクトップ環境12を介してデータベース14にアクセスする機能。
・仮想デスクトップ環境12上で分析に必要なツールを利用する機能。
・仮想デスクトップ環境に自己が保有するデータを持ち込む機能。
・仮想デスクトップ環境から分析結果のレポートのみを持ち出す機能。
・分析用ローカルPC6から仮想デスクトップ環境12を介してデータベース14にアクセスする機能。
・仮想デスクトップ環境12上で分析に必要なツールを利用する機能。
・仮想デスクトップ環境に自己が保有するデータを持ち込む機能。
・仮想デスクトップ環境から分析結果のレポートのみを持ち出す機能。
【0017】
分析環境提供サーバ10は本サービスの管理者に対して以下の機能を提供する。
・操作ログを閲覧する機能。
・不正な処理を検知して通知を受け取る機能。
・操作ログを閲覧する機能。
・不正な処理を検知して通知を受け取る機能。
【0018】
分析環境提供サーバ10は、データ流出等のリスクを軽減または除去するために、分析担当者4に以下の制約を課す。これにより、データ提供体に安心してデータを提供してもらえるようにする。
・権限の無い利用者は分析環境にアクセスできない。
・権限の無いデータセットへはアクセスできない。
・生データを分析用ローカルPC6に持ち出すことはできない。
・生データを外部環境に持ち出すことはできない。
・権限の無い利用者は分析環境にアクセスできない。
・権限の無いデータセットへはアクセスできない。
・生データを分析用ローカルPC6に持ち出すことはできない。
・生データを外部環境に持ち出すことはできない。
【0019】
図2は、図1の分析環境提供サーバ10のハードウエア構成図である。分析環境提供サーバ10は、メモリ102と、プロセッサ104と、通信インタフェース106と、ディスプレイ108と、入力インタフェース110と、を備える。これらの要素はそれぞれバス112に接続され、バス112を介して互いに通信する。
【0020】
メモリ102は、データやプログラムを記憶するための記憶領域である。データやプログラムは、メモリ102に恒久的に記憶されてもよいし、一時的に記憶されてもよい。プロセッサ104は、メモリ102に記憶されているプログラムを実行することにより、分析環境提供サーバ10の各種機能を実現する。通信インタフェース106は、分析環境提供サーバ10の外部との間でデータの送受信を行うためのインタフェースである。通信インタフェース106はネットワークと接続され、ネットワークを介して分析用ローカルPC6とデータをやりとりする。ディスプレイ108は、各種情報を表示するためのデバイスである。入力インタフェース110は、本サービスの管理者からの入力を受け付けるためのデバイスである。
【0021】
図3は、図1の分析環境提供サーバ10の機能および構成を示すブロック図である。ここに示す各ブロックは、ハードウエア的には、コンピュータのCPUをはじめとする素子や機械装置で実現でき、ソフトウエア的にはコンピュータプログラム等によって実現されるが、ここでは、それらの連携によって実現される機能ブロックを描いている。したがって、これらの機能ブロックはハードウエア、ソフトウエアの組合せによっていろいろなかたちで実現できることは、本明細書に触れた当業者には理解されるところである。
【0022】
分析環境提供サーバ10は、利用者認証部152と、VDI提供部154と、クエリ実行部156と、権限制御部158と、オブジェクト移動部160と、持ち込み検査部162と、持ち出し検査部164と、ポリシーDB166と、データベース18と、を備える。分析環境提供サーバ10は、公知のVDI(Virtual Desktop Infrastructure)技術、例えばAmazon Web Services,Inc.が提供するAmazon WorkSpaces(非特許文献1参照)が提供する機能を用いて実現されてもよい。
【0023】
分析環境提供サーバ10では、Amazon WorkspacesなどのVDIサービスで、データ分析ツールを利用可能とする。様々なフォーマットやサイズや内容のデータを使用可能とし、データの使用に基づき利用者に課金し、データ提供者に還元する。すなわち、データの参照、作業ができるだけで、データの持ち出しを発生させない仕組みが提供される。なお、データの持ち出し機能を設けるが、データ提供者がデータの全部または一部(データ属性の一部等)を持ち出し可能とするか否かを設定可能としてもよい。このデータ持ち出し制限機能とは別に、全体として、ダウンロード回数制限やデータ容量制限を設定してもよい。また、分析環境提供サーバ10はオフプレミス(例えば、クラウド)で提供されてもよいし、オンプレミスで提供されてもよい。
【0024】
利用者認証部152は、分析担当者4の分析用ローカルPC6からネットワークを介して利用者認証要求を受け付ける。例えば、分析担当者4は分析用ローカルPC6のWebブラウザから、本サービスのコンソール画面へアクセスする。利用者認証部152は当該コンソール画面を分析用ローカルPC6に提供する。分析担当者4は、コンソール画面内のサインイン画面にて認証情報(利用者IDおよびパスワードなど)を入力する。利用者認証部152は、入力された認証情報を含む利用者認証要求を受信し、利用者認証を行う。利用者認証部152は、利用者認証が成功する(またはサインインに成功する)と、VDI提供部154を起動する。利用者認証部152は利用者認証が失敗すると所定のエラー画面を分析用ローカルPC6に返す。
【0025】
VDI提供部154は、利用者認証部152において利用者認証が成功すると、分析担当者4の分析用ローカルPC6に仮想デスクトップ環境を提供する。VDI提供部154は、利用者認証部152において利用者認証が成功すると起動され、認証された分析担当者4用の仮想デスクトップ環境12を生成し、分析用ローカルPC6からの当該仮想デスクトップ環境12へのアクセスを可能とする。仮想デスクトップ環境12は、表計算ソフトウエア(Excelなど)、BI(Business Intelligence)ツール(Tableauなど)、DB管理開発ツール(SQL Workbench/Jなど)などの分析に必要なソフトウエアをプリインストールした状態で提供される。
【0026】
クエリ実行部156は、仮想デスクトップ環境12内で、少なくともひとつの提供体から預かったデータが保持されるデータベース18(図1のデータベース14と同義)に対するアクセスを可能とする。クエリ実行部156は、仮想デスクトップ環境12にインストールされたDB管理開発ツール(SQL Workbench/Jなど)により実現される。
【0027】
権限制御部158は、ポリシーDB166を設定、管理、参照することで、分析環境提供サーバ10における権限の制御を行う。例えば、権限制御部158は、分析担当者4の分析用ローカルPC6と仮想デスクトップ環境12との間の直接的なオブジェクト(ファイルやフォルダなど)の移動または複製を制限または禁止する。あるいはまた、権限制御部158は、分析担当者4の分析用ローカルPC6から仮想デスクトップ環境12への直接的なオブジェクトの複製もしくは移動を許可し、かつ、仮想デスクトップ環境12から分析担当者4の分析用ローカルPC6への直接的なオブジェクトの複製もしくは移動を制限または禁止してもよい。
【0028】
後述の通り、分析環境提供サーバ10の内部または外部に、仮想デスクトップ環境12と分析用ローカルPC6との間のオブジェクトの受け渡し用に複数のバケット(オブジェクト保持手段)が設けられる。データベース18とバケットとは、保持されるデータの性質も、設定されるアクセスポリシーも、異なる。権限制御部158は、分析担当者4に対しては書き込みを許可する一方読み出しは許可せず、仮想デスクトップ環境12に対しては読み出しを許可する一方書き込みを許可しないよう持ち込み用バケットを動作させる。権限制御部158は、仮想デスクトップ環境12に対して書き込みを許可する一方読み出しは許可しないよう持ち出し用バケット(検査前)を動作させ、検査されたオブジェクトを保持する持ち出し用バケット(検査後)を、分析担当者4に対して読み出しを許可する一方書き込みを許可しないよう動作させる。
【0029】
バケットは、例えばAmazon Web Services,Inc.が提供するAmazon S3(非特許文献2参照)に記載されるオブジェクトストレージなどの、ポリシーDB166により柔軟にアクセス権限を設定可能なストレージであってもよい。さらに、非特許文献2に記載されるオブジェクトストレージなどのように、そこにオブジェクトが格納されると何らかの処理をトリガ可能なストレージであってもよい。
【0030】
ポリシーDB166はアクセス権限を設定するためのポリシーを保持する。ポリシーは、利用者のアクセス権限を定義するポリシーと、オブジェクトへのアクセス権限を定義するポリシーと、を含む。ポリシーDB166は、例えば非特許文献2のバケットポリシーに関する技術を用いて実現されてもよい。
【0031】
オブジェクト移動部160は、仮想デスクトップ環境12とバケットとの間でのオブジェクトの移動または複製を行う。オブジェクト移動部160は、仮想デスクトップ環境12にインストールされたファイル転送ツール(WinSCPやS3API(非特許文献5参照)など)により実現される。オブジェクト移動部160は、分析担当者4によって持ち込み用バケットに書き込まれたオブジェクトを当該持ち込み用バケットから読み出して仮想デスクトップ環境に入れる。オブジェクト移動部160は、持ち出す対象のオブジェクトを仮想デスクトップ環境12から持ち出し用バケット(検査前)に移動または複製する。
【0032】
持ち込み検査部162は、分析担当者4によって持ち込み用バケットに書き込まれたオブジェクトを、読み出される前に、検査する。持ち込み検査部162は例えばオブジェクトに公知のウイルスチェックを行う。
【0033】
持ち出し検査部164は、仮想デスクトップ環境12から持ち出し用バケット(検査前)に書き込まれたオブジェクトを検査する。持ち出し検査部164における検査は、分析担当者4が仮想デスクトップ環境12で利用したデータの提供者により設定された制約に基づく。
【0034】
図4は、分析用ローカルPC6がサービスを利用する際のフローの概要を示す説明図である。
(1)まず分析担当者4(利用者)は、分析に用いたいデータを選択し、管理者16に伝える。管理者16は、本サービスの管理者であってもよいし、データ提供体であってもよい。本サービスの管理者がデータを提供する場合は、本サービスの管理者とデータ提供体とは同じとなる。管理者16とデータ提供体とは別であってもよい。後述する通り、分析担当者4は、異なる複数のデータ提供体のなかから、利用するデータ(を提供するデータ提供体)を選択することができる。
(1)まず分析担当者4(利用者)は、分析に用いたいデータを選択し、管理者16に伝える。管理者16は、本サービスの管理者であってもよいし、データ提供体であってもよい。本サービスの管理者がデータを提供する場合は、本サービスの管理者とデータ提供体とは同じとなる。管理者16とデータ提供体とは別であってもよい。後述する通り、分析担当者4は、異なる複数のデータ提供体のなかから、利用するデータ(を提供するデータ提供体)を選択することができる。
【0035】
(2)管理者16は、分析担当者4が選択したデータをデータベース18に格納または登録する。併せて管理者16は、データの利用に関する制約を分析環境提供サーバ10に登録する。
【0036】
(3)分析担当者4は、自身のパソコン(分析用ローカルPC6)から仮想デスクトップ環境12にアクセスすることができる。上述の通り、利用者認証が成功すると、VDI提供部154は分析担当者4に仮想デスクトップ環境12を提供する。
【0037】
(4)分析担当者4は、持ち込み用バケット20を通すことで、コンソール画面から仮想デスクトップ環境12に任意のデータやソフトウエアを持ち込むことができる。
【0038】
(5)分析担当者4は仮想デスクトップ環境12内で、データベース18に対してクエリを実行する(データベース18がリレーショナルデータベースである場合にはクエリとしてSQLを実行する)。仮想デスクトップ環境12では以下のソフトウエアを用いてデータの集計を行うことができる。
・表計算ソフトウエア(Excelなど)
・BIツール(Tableauなど)
・DB管理開発ツール(SQL Workbench/Jなど)
・表計算ソフトウエア(Excelなど)
・BIツール(Tableauなど)
・DB管理開発ツール(SQL Workbench/Jなど)
【0039】
(6)分析担当者4は、集計したデータを仮想デスクトップ環境12から持ち出し用バケット(検査前)22に出力する。持ち出し用バケット(検査前)22に格納されたデータは、持ち出し要件を満たしているか検査される。持ち出し要件のチェックルールは、例えば、ファイルのサイズやダウンロード(DL)の回数や個人情報の有無やサンプリングなどについて設定される。チェックルールは、検査対象のデータが生データを含むか否かを検査するよう設定されてもよい。検査をパスしたデータは持ち出し用バケット(検査後)24に格納される。
【0040】
(7)分析担当者4は、出力したデータが持ち出し要件を満たしている場合、コンソール画面からそのデータをダウンロードすることができる。この場合、そのデータは、持ち出し用バケット(検査後)24から分析用ローカルPC6にダウンロードされる。
【0041】
図5は、仮想デスクトップ環境12からデータベース18へのデータのアクセス制御を示す説明図である。データ提供者である管理者16は、自身が管理する外部DB28(分析環境提供サーバ10の外部にある)から、必要なデータのみを抽出して格納用バケット26に格納する。この抽出、格納の処理は例えばGoogle BigQueryの技術を用いて実現されてもよい。分析環境提供サーバ10のオブジェクト移動部160は、格納用バケット26からデータが格納されたことの通知を受けると、格納用バケット26からデータベース18へそのデータを移動する。あるいはまた、管理者16が、格納用バケット26に格納したデータをデータベース18に移動してもよい。外部DB28から格納用バケット26を介してデータベース18に入れるデータは管理者16によって制限され、どのデータを入れるのかは管理者16が管理する。分析担当者4は外部DB28に直接アクセスすることはできない。
【0042】
仮想デスクトップ環境12には、データベース18へのクエリ実行を可能にする分析担当者4のアクセスキーを登録しておく。アクセスキーを用いたアクセス権限の制御は、例えば非特許文献1に記載される技術を用いて実現されてもよい。分析担当者4は、仮想デスクトップ環境12にインストールされているSQL Workbench/JなどのDB管理開発ツールを用いてデータベース18にアクセスすることができる。分析担当者4は、データベース18から取得したデータと、自分が持ち込んだデータと、を併せて分析することができる。仮想デスクトップ環境12では、データソースごとにインスタンスを立ててもよいし、スキーマを立ててもよい。これはコストメリットが出るよう適宜選択されてもよい。
【0043】
図6は、仮想デスクトップ環境12へのオブジェクトの持ち込みの制御を示す説明図である。分析担当者4の分析用ローカルPC6と仮想デスクトップ環境12との間について、権限制御部158により以下の設定が実現される。
・分析担当者4の分析用ローカルPC6から仮想デスクトップ環境12へのアクセスは可能。仮想デスクトップ環境12への接続は、Webブラウザにより実現されてもよいし、専用アプリケーション(Remote Desktop Clientなど)により実現されてもよい。
・分析担当者4の分析用ローカルPC6から、ドラッグアンドドロップなどの操作によりオブジェクト(例えば、ファイル)を仮想デスクトップ環境12に直接持ち込むことは禁止、仮想デスクトップ環境12から直接オブジェクトをダウンロードすることは禁止。例えば、これは権限制御部158が分析用ローカルPC6のクリップボード転送を無効化することにより実現される。
・特定のIPアドレスからのみアクセスを許可するなど、限られた環境からのみ仮想デスクトップ環境12へのアクセスを可能とする。IPアドレス制御に加えて、クライアント証明書を利用する方式を用いてもよい。
・仮想デスクトップ環境12からからインターネットへのアクセスは禁止。
・他のPCから仮想デスクトップ環境12にアクセスできないように、証明書のインストールされた端末(例えば、分析用ローカルPC6)からのみ仮想デスクトップ環境12へのアクセスを許可する(オプション)。
・操作の履歴を記録する。
・多要素認証(オプション)。
・分析担当者4の分析用ローカルPC6から仮想デスクトップ環境12へのアクセスは可能。仮想デスクトップ環境12への接続は、Webブラウザにより実現されてもよいし、専用アプリケーション(Remote Desktop Clientなど)により実現されてもよい。
・分析担当者4の分析用ローカルPC6から、ドラッグアンドドロップなどの操作によりオブジェクト(例えば、ファイル)を仮想デスクトップ環境12に直接持ち込むことは禁止、仮想デスクトップ環境12から直接オブジェクトをダウンロードすることは禁止。例えば、これは権限制御部158が分析用ローカルPC6のクリップボード転送を無効化することにより実現される。
・特定のIPアドレスからのみアクセスを許可するなど、限られた環境からのみ仮想デスクトップ環境12へのアクセスを可能とする。IPアドレス制御に加えて、クライアント証明書を利用する方式を用いてもよい。
・仮想デスクトップ環境12からからインターネットへのアクセスは禁止。
・他のPCから仮想デスクトップ環境12にアクセスできないように、証明書のインストールされた端末(例えば、分析用ローカルPC6)からのみ仮想デスクトップ環境12へのアクセスを許可する(オプション)。
・操作の履歴を記録する。
・多要素認証(オプション)。
【0044】
分析担当者4の分析用ローカルPC6と持ち込み用バケット20との間について、権限制御部158により以下の設定が実現される。
・仮想デスクトップ環境12に任意のオブジェクトを持ち込むためには必ずこの持ち込み用バケット20を経由する。オブジェクトは、ファイルやフォルダやソフトウエアを含み、ソフトウエアをインストールするためのインストーラを含んでもよい。
・特定のIPアドレスからのアクセスなど、限られた環境からの、持ち込み用バケット20への書き込み(write)のみ有効にする。許可した環境以外からの書き込みは拒否する。
・分析用ローカルPC6からの、持ち込み用バケット20への書き込み関連処理以外はすべて拒否する。読み出し(read)も拒否する。
・仮想デスクトップ環境12に任意のオブジェクトを持ち込むためには必ずこの持ち込み用バケット20を経由する。オブジェクトは、ファイルやフォルダやソフトウエアを含み、ソフトウエアをインストールするためのインストーラを含んでもよい。
・特定のIPアドレスからのアクセスなど、限られた環境からの、持ち込み用バケット20への書き込み(write)のみ有効にする。許可した環境以外からの書き込みは拒否する。
・分析用ローカルPC6からの、持ち込み用バケット20への書き込み関連処理以外はすべて拒否する。読み出し(read)も拒否する。
【0045】
加えて、持ち込み検査部162は、持ち込み用バケット20にアップロードされたオブジェクトの内容を検査し、不適であれば次の仮想デスクトップ環境12による読み出しを許可しない。これは、例えば持ち込み用バケット20にアップロードされたオブジェクトに適・不適の別を示すフラグを付与し、持ち込み検査部162がそのフラグを制御することにより実現可能である。フラグが不適となっているオブジェクトは、ファイル転送ツールによる仮想デスクトップ環境12への移動の対象から除外される。
【0046】
持ち込み用バケット20から仮想デスクトップ環境12へのオブジェクトの移動について、仮想デスクトップ環境12には予めファイル転送ツールがインストールされている。このファイル転送ツール(オブジェクト移動部160)に、持ち込み用バケット20へのListと読み出しの権限のみ許可された分析担当者4のアクセスキーを登録する。これにより、特定の仮想デスクトップ環境12からの、持ち込み用バケット20に対する読み出しとListのみが有効となり、それ以外の仮想デスクトップ環境からの読み出しもListも拒否される。仮想デスクトップ環境12から持ち込み用バケット20への書き込みは全て拒否される。
【0047】
図7は、仮想デスクトップ環境12からのオブジェクトの持ち出しの制御を示す説明図である。ファイル転送ツール(オブジェクト移動部160)に、持ち出し用バケット(検査前)22への書き込みの権限のみ許可された分析担当者4のアクセスキーを登録しておく。仮想デスクトップ環境12と持ち出し用バケット(検査前)22との間について、権限制御部158により以下の設定が実現される。
・仮想デスクトップ環境12からオブジェクトを持ち出すためには必ずこの持ち出し用バケット(検査前)22を経由しなければならない。
・持ち出し用バケット(検査前)22は、仮想デスクトップ環境12からの書き込み以外はすべて拒否する。Listも読み出しも拒否する。
・仮想デスクトップ環境12からオブジェクトを持ち出すためには必ずこの持ち出し用バケット(検査前)22を経由しなければならない。
・持ち出し用バケット(検査前)22は、仮想デスクトップ環境12からの書き込み以外はすべて拒否する。Listも読み出しも拒否する。
【0048】
持ち出し用バケット(検査前)22に格納されたオブジェクトは、イベント駆動アプリ30によって持ち出し要件に照らして検査され、検査に合格すると持ち出し用バケット(検査後)24に移される。イベント駆動アプリ30は持ち出し検査部164に対応する。イベント駆動アプリ30は、例えばAmazon Web Services,Inc.が提供するAmazon Lambda(非特許文献3参照)を用いて実現されてもよい。持ち出し用バケット(検査前)22へのput(オブジェクトの格納)をトリガとしてイベント駆動アプリ30が起動される。イベント駆動アプリ30は、持ち出し用バケット(検査前)22に格納されたオブジェクトの検査を行う。検査の項目は、ファイルのサイズ、ダウンロード(DL)の回数、個人情報の有無、サンプリング、putの回数、形式、などを含んでもよい。イベント駆動アプリ30は、検査の結果を電子メールなどで分析担当者4に通知する。イベント駆動アプリ30は、検査の結果がOKであればオブジェクト移動部160に指示して、検査済みのオブジェクトを持ち出し用バケット(検査前)22から持ち出し用バケット(検査後)24に移動させる。検査の結果NGであれば、イベント駆動アプリ30は持ち出し用バケット(検査後)24に出力しない。
【0049】
持ち出し用バケット(検査後)24と分析担当者4の分析用ローカルPC6との間について、権限制御部158により以下の設定が実現される。
・持ち出し用バケット(検査後)24に保持されるオブジェクトを分析担当者4が取り出し可能。
・持ち出し用バケット(検査後)24に対する読み出しおよびList以外のコマンド、例えば書き込みは拒否される。
・持ち出し用バケット(検査後)24に保持されるオブジェクトを分析担当者4が取り出し可能。
・持ち出し用バケット(検査後)24に対する読み出しおよびList以外のコマンド、例えば書き込みは拒否される。
【0050】
図8は、データ提供体からのデータ収集の仕組みを示す説明図である。データ提供体によるデータ提供の形態には、大きく分けて次の三つのパターンが想定される。
(パターン1)
特定時点のデータ提供を受け、販売(例:アンケートデータ)
(パターン2)
継続的にデータ提供を受け続ける(提供者送信型)
(パターン3)
継続的にデータ提供を受け続ける(事業者取得型)
(パターン1)
特定時点のデータ提供を受け、販売(例:アンケートデータ)
(パターン2)
継続的にデータ提供を受け続ける(提供者送信型)
(パターン3)
継続的にデータ提供を受け続ける(事業者取得型)
【0051】
パターン1について、データ提供体または本サービスの管理者16は、データ提供体の環境にある外部DB28から必要なデータを抽出し、本サービスの環境にある格納用バケット26に格納する。格納用バケット26に格納されたデータは、図5を参照して上述した通りデータベース18に移動される。
【0052】
パターン2について、データ提供体または本サービスの管理者16は、データ提供体の環境においてストリーミングデータ配信ツール32を導入する。本サービスの環境には、ストリーミングデータ配信ツール32によって送信されたデータを受ける受信ツール34が導入される。ストリーミングデータ配信ツール32および受信ツール34は、例えばAmazon Web Services,Inc.が提供するAmazon Kinesis(非特許文献4参照)を用いて実現されてもよい。本サービスの環境にはさらに、受信ツール34が受けたデータを確認し、データベース18へ格納する格納ツール36が導入される。格納ツール36は、非特許文献3に記載のLambdaにより実現されてもよい。
【0053】
パターン3について、本サービスの環境には、定期的に外部DB28にアクセスしてデータを取得し、データベース18に格納する定期取得格納ツール38が導入される。定期取得格納ツール38は、非特許文献3に記載のLambdaにより実現されてもよい。
【0054】
このように、分析担当者4自身のデータや本サービスの管理者16が有するデータだけでなく、第三者が有するデータの利用をも可能とする仕組みが提供される。また、様々なデータ提供の形態にも対応可能である。
【0055】
図9は、データ提供体との、利用者へのデータ提供に関する制約調整の仕組みを示す説明図である。データ提供体はそれぞれのデータに対する提供条件を選択する。利用者は使用したいデータを選択する。分析環境提供サーバ10は、利用者が選択したデータに付随する制約のうち、もっとも厳しい条件を適用する。
【0056】
例えば、提供者1はデータAとデータBとを分析環境提供サーバ10に提供する。提供者1は、データAについては、設定可能な制約ラインナップのなかから「ダウンロード回数制限」と「ダウンロードサイズ制限」とを選択する。分析環境提供サーバ10は、データAに関連付けて制約セットA(「ダウンロード回数制限」、「ダウンロードサイズ制限」)を保持する。提供者1は、データBについては、設定可能な制約ラインナップのなかから「個人情報抵触制限:名前」を選択する。分析環境提供サーバ10は、データBに関連付けて制約セットB(「個人情報抵触制限:名前」)を保持する。
【0057】
提供者2はデータCを分析環境提供サーバ10に提供する。提供者2は、データCについて、設定可能な制約ラインナップのなかから「特定の属性持ち出し制限(xx項目)」を選択する。分析環境提供サーバ10は、データCに関連付けて制約セットC(「特定の属性持ち出し制限(xx項目)」)を保持する。
【0058】
利用者1は、データAの利用を分析環境提供サーバ10に要求する。分析環境提供サーバ10は、データAに関連付けられた制約セットA(「ダウンロード回数制限」、「ダウンロードサイズ制限」)を利用者1に課す。利用者2はデータBおよびデータCの利用を分析環境提供サーバ10に要求する。分析環境提供サーバ10は、データBに関連付けられた制約セットB(「個人情報抵触制限:名前」)とデータCに関連付けられた制約セットC(「特定の属性持ち出し制限(xx項目)」)とを合成することでより厳しい制約セットD(「個人情報抵触制限:名前」、「特定の属性持ち出し制限(xx項目)」)を生成する。分析環境提供サーバ10は、制約セットDを利用者2に課す。
【0059】
本実施の形態に係る分析環境提供サーバ10によると、仮想デスクトップ環境12内でデータベース18へのアクセスを許すことによって、様々なソースからのデータを分析することを可能としつつ、仮想デスクトップ環境12からのデータの持ち出しや仮想デスクトップ環境12へのデータの持ち込みを適切に制限することでデータの不正な利用を防止することができる。
【0060】
昨今改正された不正競争防止法の改正趣旨の通り、現在、ビックデータの利用が促されている。本実施の形態に係る分析環境提供サーバ10は、このような背景のもと、データの不正な利用や流出を防止しつつ、データ提供体によるデータの収益化に貢献することができる。収益化が図られる結果、分析環境提供サーバ10にデータを提供する提供体の数が増えれば、利用者が利用できるデータの種類や数が増え、利用者にとっての魅力がさらに増すこととなる。
【0061】
以上、実施の形態に係る分析環境提供サーバ10の構成と動作について説明した。この実施の形態は例示であり、各構成要素や各処理の組み合わせにいろいろな変形例が可能なこと、またそうした変形例も本発明の範囲にあることは当業者に理解される。
【0062】
実施の形態において、以下の課金および還元の仕組みを分析環境提供サーバ10に実装してもよい。すなわち、利用者からはデータの月額利用料を徴収する。データ提供体へは、提供されたデータの利用者数に応じたフィーを還元する。あるいはまた、上記に限らず、利用者からデータの利用料を徴収し、データ提供体に還元する任意のシステムを、分析環境提供サーバ10に組み込んでもよい。
【符号の説明】
【0063】
2 データ分析システム、 4 分析担当者、 6 分析用ローカルPC、 8 インターネット環境、 10 分析環境提供サーバ。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
