ホーム > 特許ランキング > Cloudbase株式会社
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B1)
(11)【特許番号】
(24)【登録日】2024-12-11
(45)【発行日】2024-12-19
(54)【発明の名称】検査装置、検査方法、及びプログラム
(51)【国際特許分類】
G06F 21/55 20130101AFI20241212BHJP
【FI】
G06F21/55
【請求項の数】
8
(21)【出願番号】P 2024201281
(22)【出願日】2024-11-19
【審査請求日】2024-11-19
(31)【優先権主張番号】P 2024163455
(32)【優先日】2024-09-20
(33)【優先権主張国・地域又は機関】JP
【早期審査対象出願】
(73)【特許権者】
【識別番号】522092170
【氏名又は名称】Cloudbase株式会社
(74)【代理人】
【識別番号】110002790
【氏名又は名称】One ip弁理士法人
(72)【発明者】
【氏名】大峠 和基
【審査官】岸野 徹
(56)【参考文献】
【文献】特表2023-540894(JP,A)
【文献】特開2022-184934(JP,A)
【文献】米国特許出願公開第2022/0078188(US,A1)
【文献】米国特許出願公開第2015/0073960(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/55
(57)【特許請求の範囲】
【請求項1】
ユーザが利用するパブリッククラウドであって、複数のリソースを有するマネージドサービスを提供する前記パブリッククラウドから、前記マネージドサービスの状況として、前記パブリッククラウド内の前記複数のリソース、及び、該複数のリソースが有する複数のパラメータがリストされている環境情報を取得する取得部と、前記取得された環境情報と、前記環境情報にリストされている前記複数のリソースが有する前記複数のパラメータが満たすべき条件である複数のポリシーの内容とを照合することにより、前記複数のリソースのうちの1つのリソースが、前記複数のポリシーのうちの1つのポリシーに違反しないか否かを判定する判定部と、
前記1つのリソースが前記1つのポリシーに違反すると判定されるとき、当該違反する旨を、当該違反する1つのポリシーの重要度に応じて、前記ユーザに通知する通知部と、
を含む検査装置。
【請求項2】
前記複数のポリシーの内容の各々は、更に、前記複数のポリシーの各々の重要度が定義されている、請求項1に記載の検査装置。
【請求項3】
前記判定部による判定の結果を記憶する記憶部を更に含む請求項1に記載の検査装置。
【請求項4】
前記1つのリソースが前記1つのポリシーに違反することが、前記ユーザにより解決された場合であって、前記解決された旨を前記ユーザが使用する端末から受信したとき、前記記憶部で、前記違反する旨を解決した旨に書き換える書換部と、を更に含む請求項3に記載の検査装置。
【請求項5】
前記1つのリソースが前記1つのポリシーに違反することが、前記ユーザにより解決されない場合であって、前記解決されない旨を前記ユーザが使用する端末から受信したとき、前記記憶部で、前記違反する旨を未解決である旨に書き換える書換部と、を更に含む請求項3に記載の検査装置。
【請求項6】
前記書換部は、前記未解決である理由を前記ユーザが使用する端末から受信したとき、前記記憶部で、前記未解決である旨を書き換えることに加えて、前記未解決である理由を付記する、請求項5に記載の検査装置。
【請求項7】
コンピュータが、ユーザが利用するパブリッククラウドであって、複数のリソースを有するマネージドサービスを提供する前記パブリッククラウドから、前記マネージドサービスの状況として、前記パブリッククラウド内の前記複数のリソース、及び、該複数のリソースが有する複数のパラメータがリストされている環境情報を取得し、記憶部に記憶する取得工程と、
前記記憶部に記憶された環境情報と、前記環境情報にリストされている前記複数のリソースが有する前記複数のパラメータが満たすべき条件である複数のポリシーの内容とを照合することにより、前記複数のリソースのうちの1つのリソースが、前記複数のポリシーのうちの1つのポリシーに違反しないか否かを判定する判定工程と、
前記1つのリソースが前記1つのポリシーに違反すると判定されるとき、当該違反する旨を、当該違反する1つのポリシーの重要度に応じて、前記ユーザに通知する通知工程と、
を実行する検査方法。
【請求項8】
コンピュータに、ユーザが利用するパブリッククラウドであって、複数のリソースを有するマネージドサービスを提供する前記パブリッククラウドから、前記マネージドサービスの状況として、前記パブリッククラウド内の前記複数のリソース、及び、該複数のリソースが有する複数のパラメータがリストされている環境情報を取得する取得工程と、
前記取得された環境情報と、前記環境情報にリストされている前記複数のリソースが有する前記複数のパラメータが満たすべき条件である複数のポリシーの内容とを照合することにより、前記複数のリソースのうちの1つのリソースが、前記複数のポリシーのうちの1つのポリシーに違反しないか否かを判定する判定工程と、
前記1つのリソースが前記1つのポリシーに違反すると判定されるとき、当該違反する旨を、当該違反する1つのポリシーの重要度に応じて、前記ユーザに通知する通知工程と、
実行させるためのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、検査装置、検査方法、及びプログラムに関する。
【背景技術】
【0002】
特許文献1に記載のクラウド監視方法等は、パブリッククラウドの利用者による、クラウドリソースの過失・故意の操作により情報セキュリティ上の問題が発生することを防止することを目的とする。前記クラウド監視方法等は、前記目的を達成すべく、前記利用者による前記クラウドリソースへの操作のログに基づき、前記操作がセキュリティリスクを高める可能性があるか否かを判定する。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2021-121886号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、上記したクラウド監視方法等では、上述したように、上記した利用者の操作に関する判定を、上記した利用者の操作のログに基づくことから、上記した判定は、個別的であり、即ち、網羅的な判定を行うことができなかった。
【0005】
本開示の目的は、パブリッククラウドのリソースについて、網羅的な判定結果を与えることができる検査装置、検査方法、及びプログラムを提供することにある。
【課題を解決するための手段】
【0006】
上記した課題を解決すべく、本開示に係る検査装置は、ユーザが利用するパブリッククラウドであって、複数のリソースを有するマネージドサービスを提供する前記パブリッククラウドから、前記マネージドサービスの状況として、前記パブリッククラウド内の前記複数のリソース、及び、該複数のリソースが有する複数のパラメータがリストされている環境情報を取得する取得部と、前記取得された環境情報と、前記環境情報にリストされている前記複数のリソースが有する前記複数のパラメータが満たすべき条件である複数のポリシーの内容とを照合することにより、前記複数のリソースのうちの1つのリソースが、前記複数のポリシーのうちの1つのポリシーに違反しないか否かを判定する判定部と、前記1つのリソースが前記1つのポリシーに違反すると判定されるとき、当該違反する旨を、当該違反する1つのポリシーの重要度に応じて、前記ユーザに通知する通知部と、を含む。
【発明の効果】
【0007】
本開示に係る検査装置によれば、パブリッククラウドのリソースについて、網羅的な判定結果を与えることができる。
【図面の簡単な説明】
【0008】
【図1】実施形態1のポリシー検査システムPKSの構成を示す。
【図2】実施形態1の検査装置KSの構成を示す。
【図3】実施形態1のパブリッククラウドPKの構成を示す。
【図4】実施形態1の端末TMの構成を示す。
【図5】実施形態1のポリシー検査システムPKSの動作を示す。
【図6】実施形態1のコンプライアンスKOを示す。
【図7】実施形態2のポリシー検査システムPKSの動作を示す。
【図8】実施形態2の判定結果HKを示す。
【図9】実施形態2の判定結果HKを示す(書き換え1)。
【図10】実施形態2の判定結果HKを示す(書き換え2)。
【図11】変形例の環境情報KJを示す。
【図12】変形例のコンプライアンスKOを示す。
【図13】実施形態1、2のポリシー検査システムPKSのハードウェアによる構成を示す。
【図14】実施形態1、2のポリシー検査システムPKSのソフトウェアによる実現に基づくハードウェアの構成を示す。
【発明を実施するための形態】
【0009】
本開示に係るポリシー検査システムの実施形態について説明する。
【0010】
〈実施形態1〉
実施形態1のポリシー検査システムPKSについて説明する。
実施形態1のポリシー検査システムPKSについて説明する。
【0011】
〈実施形態1の構成〉
図1は、実施形態1のポリシー検査システムPKSの構成を示す。
図1は、実施形態1のポリシー検査システムPKSの構成を示す。
【0012】
実施形態1のポリシー検査システムPKSは、図1に示されるように、検査装置KSと、パブリッククラウドPKと、端末TMと、を含む。検査装置KSと、パブリッククラウドPKと、端末TMとは、図1に示されるように、ネットワークNW(例えば、インターネット)を介して、相互に接続されている。
【0013】
ポリシー検査システムPKSでは、図1に示されるように、検査装置KSは、パブリッククラウドPKをスキャンSCすることにより、パブリッククラウドPKからマネージドサービスMSの状況を示す環境情報KJを取得することよって、マネージドサービスMSの状況を監視し、かつ、必要に応じて、マネージドサービスMSの違反IH(詳細を後述)を、パブリッククラウドPKを利用するユーザUSの端末TMに通知する。
【0014】
パブリッククラウドPKは、図1に示されるように、ユーザUSの利用に供するマネージドサービスMSを有し、マネージドサービスMSは、複数のリソースREa、REb、REc、、、を備える。ここで、リソースREは、広義に解釈されるべきであり、例えば、ユーザUS(特に、ユーザUSに関連する事項、ユーザUSの挙動)をも意味し得る。例えば、ユーザUSが、パブリッククラウドPKを利用するときに入力すべき識別番号ID及びパスワードPW、並びに、パスワードPWを変更することも、リソースREに含まれる。
【0015】
以下では、説明及び理解を容易にすべく、例えば、複数の名称を1つの名称で総称することがあり、例えば、リソースREa、REb、REc、、、をリソースREと総称することがある。
【0016】
〈検査装置KSの構成〉
図2は、実施形態1の検査装置KSの構成を示す。
図2は、実施形態1の検査装置KSの構成を示す。
【0017】
実施形態1の検査装置KSは、図2に示されるように、入出力部NY(KS)と、処理部SY(KS)と、記憶部KI(KS)と、通信部TU(KS)と、を有する。
【0018】
入出力部NY(KS)は、例えば、検査装置KSの管理者(図示せず。)が、検査装置KSの動作を監視・制御するための入出力を行うために用いられる。入出力部NY(KS)は、例えば、キーボード、マウス、液晶モニター、プリンタである。
【0019】
処理部SY(KS)は、例えば、パブリッククラウドPKのマネージドサービスMSの状況を監視することに関連する処理、例えば、スキャンSC(図1に図示。)を行う。
【0020】
記憶部KI(KS)は、例えば、処理部SY(KS)の処理に必要なデータを記憶する。
【0021】
通信部TU(KS)は、ネットワークNWを介した通信を行う。通信部TU(KS)は、例えば、パブリッククラウドPKから、パブリッククラウドPKのマネージドサービスMSの状況を示す環境情報KJ(図1に図示。)を受信し、また、必要に応じて、ユーザUSの端末TMへ、リソースREがポリシーPO(例えば、図6に図示。)に違反する旨、即ち違反IH(図1に図示。)を通知する。
【0022】
〈パブリッククラウドPKの構成〉
図3は、実施形態1のパブリッククラウドPKの構成を示す。
図3は、実施形態1のパブリッククラウドPKの構成を示す。
【0023】
実施形態1のパブリッククラウドPKは、図3に示されるように、入出力部NY(PK)と、処理部SY(PK)と、記憶部KI(PK)と、通信部TU(PK)と、を有する。
【0024】
入出力部NY(PK)は、パブリッククラウドPKの管理者(図示せず。)が、パブリッククラウドPKの動作を監視・制御するために用いられる。入出力部NY(PK)は、例えば、キーボード、マウス、液晶モニター、プリンタである。
【0025】
処理部SY(PK)は、例えば、マネージドサービスMS(図1に図示。)をユーザUSに提供するための処理を行い、また、検査装置KSからのスキャンSC(図1に図示。)に応じて、マネージドサービスMSの状況を示す環境情報KJ(図1に図示。)を返答する。
【0026】
記憶部KI(PK)は、例えば、処理部SY(PK)の処理に必要なデータを記憶する。
【0027】
通信部TU(PK)は、ネットワークNWを介した通信を行う。通信部TU(PK)は、例えば、検査装置KSからスキャンSCを受信し、また、検査装置KSへ環境情報KJを返信する。
【0028】
〈端末TMの構成〉
図4は、実施形態1の端末TMの構成を示す。
図4は、実施形態1の端末TMの構成を示す。
【0029】
実施形態1のパブリッククラウドPKは、図3に示されるように、入出力部NY(TM)と、処理部SY(TM)と、記憶部KI(TM)と、通信部TU(TM)と、を有する。
【0030】
入出力部NY(TM)は、ユーザUSが端末TMを使用するために用いられる。入出力部NY(TM)は、例えば、キーボード、マウス、液晶モニター、プリンタである。
【0031】
処理部SY(TM)は、例えば、パブリッククラウドPKのマネージドサービスMSの利用に関する処理を行う。
【0032】
記憶部KI(TM)は、例えば、処理部SY(PK)の処理に必要なデータを記憶する。
【0033】
通信部TU(TM)は、ネットワークNWを介した通信を行う。通信部TU(TM)は、例えば、検査装置KSから違反IH(図1に図示。)の通知を受信し、また、検査装置KSへ、違反IHを解決する旨、または、違反IHを解決しない旨(その理由を含む)を送信する。
【0034】
〈対応関係〉
検査装置KSの処理部SY(KS)は、「取得部」、「判定部」、「通知部」、「書換部」に対応し、検査装置KSの記憶部(KI)は、「記憶部」に対応する。
検査装置KSの処理部SY(KS)は、「取得部」、「判定部」、「通知部」、「書換部」に対応し、検査装置KSの記憶部(KI)は、「記憶部」に対応する。
【0035】
〈実施形態1の動作〉
図5は、実施形態1のポリシー検査システムPKSの動作を示す。
図5は、実施形態1のポリシー検査システムPKSの動作を示す。
【0036】
図6は、実施形態1のコンプライアンスKOを示す。
【0037】
【0038】
説明及び理解を容易にすべく、ユーザUS(図1に図示。)が、パスワードPW(図1に図示のリソースREcに相当。)を定期的に、即ち、予め定められた期間(例えば、1ヶ月)毎に変更すべきところ、パスワードPWが前記予め定められた期間を経過している(例えば、1ヶ月半を経過している)ことを想定する。
【0039】
ステップST1:検査装置KS(図1に図示。)では、処理部SY(KS)は、ネットワークNW(図1に図示。)経由で、API(Application Programming Interface)を通じてパブリッククラウドPK(図1に図示。)をスキャンSC(図1に図示。)することにより、パブリッククラウドPKから、マネージドサービスMSの状況、より詳しくは、複数のリソースREの状況に環境情報KJを取得する。ここで、環境情報KJは、ユーザUSがパブリッククラウドPKを利用するときに入力すべきパスワードPWの状況(例えば、パスワードPWを変更した日時)を含む。
【0040】
【0041】
ステップST2:検査装置KSでは、処理部SY(KS)は、上記した環境情報KJと、コンプライアンスKO(図6に図示。)に定義されている複数のポリシーPO(図6に図示。)とを照合することにより、環境情報KJにより示されるリソースREの状況が、コンプライアンスKOに規定されているポリシーPOのいずれかの内容に違反しないか否かを判定する。
【0042】
ここで、コンプライアンスKO中のポリシーPO(例えば、ポリシーPO1、PO2、PO3)は、リソースRE(例えば、リソースREa、REb、REc(図1に図示。))のあるべき姿を定義する。より詳しくは、例えば、図6に示されるように、ポリシーPO02は、「認証」の内容を定義し、具体的には、「パスワードPWが『1ヵ月』以内に変更されるべきである」旨を規定し、重要度「高」であり、閾値「TH(P02)」であることを定義する。
【0043】
検査装置KSでは、処理部SY(KS)は、環境情報KJが示すリソースREc(ユーザUSのパスワードPWに相当。)が、「1ヶ月半」の間、変更されていないことから、ポリシーPO2に違反すると判定する。
【0044】
ステップST3:検査装置KSでは、処理部SY(KS)は、ステップST2で、上記した違反する旨を判定すると、ポリシーPO2の重要度「高」(図6に図示。)、閾値「TH(PO2)」に応じて、リソースREc、即ち、ユーザUSのパスワードPWがポリシーPO2に違反する旨(違反IH)を、ユーザUSの端末TMへ通知する。ここで、閾値「TH(PO2)」は、重要度「高」が、例えば、数値化された情報である。
【0045】
上記とは対照的に、仮に、ポリシーPO2の重要度が「低」であるときには、処理部SY(KS)は、上記した違反の旨(違反IH)をユーザUSの端末TMへ通知しない。
【0046】
〈実施形態1の効果〉
上述したように、実施形態1のポリシー検査システムPKSでは、検査装置KSは、リソースREの1つであるリソースREc、即ち、ユーザUSのパスワードPWが、コンプライアンスKOに含まれる複数のポリシーPOの1つであるポリシーPO2に違反すると判定するとき、当該違反の旨(違反IH)をユーザUSの端末TMに通知する。これにより、ユーザUSは、パブリッククラウドPKのマネージドサービスMSのリソースREが、コンプライアンスKOのポリシーPOに違反するか否かの網羅的な判定結果として、違反IHの有無を知得することが可能となる。
上述したように、実施形態1のポリシー検査システムPKSでは、検査装置KSは、リソースREの1つであるリソースREc、即ち、ユーザUSのパスワードPWが、コンプライアンスKOに含まれる複数のポリシーPOの1つであるポリシーPO2に違反すると判定するとき、当該違反の旨(違反IH)をユーザUSの端末TMに通知する。これにより、ユーザUSは、パブリッククラウドPKのマネージドサービスMSのリソースREが、コンプライアンスKOのポリシーPOに違反するか否かの網羅的な判定結果として、違反IHの有無を知得することが可能となる。
【0047】
上記したパスワードPWを用いた認証に代えて、従来知られたと同様に、例えば、ユーザUSがパブリッククラウドPKの認証情報NJ(図示せず。)を発行し、当該認証情報NJを検査装置KSに受け渡す、という認証を用いてもよい。
【0048】
〈実施形態2〉
実施形態2のポリシー検査システムPKSについて説明する。
実施形態2のポリシー検査システムPKSについて説明する。
【0049】
〈実施形態2の構成〉
実施形態2のポリシー検査システムPKSの構成は、実施形態1のポリシー検査システムPKSの構成(図1~4に図示。)と同様である。
実施形態2のポリシー検査システムPKSの構成は、実施形態1のポリシー検査システムPKSの構成(図1~4に図示。)と同様である。
【0050】
〈実施形態2の動作〉
実施形態2のポリシー検査システムPKSの動作は、実施形態1のポリシー検査システムPKSの動作(図5に図示。)に引き続く動作である。
実施形態2のポリシー検査システムPKSの動作は、実施形態1のポリシー検査システムPKSの動作(図5に図示。)に引き続く動作である。
【0051】
図7は、実施形態2のポリシー検査システムPKSの動作を示す。
【0052】
図8は、実施形態2の判定結果HKを示す。
【0053】
図9は、実施形態2の判定結果HKを示す(書き換え1)。
【0054】
図10は、実施形態2の判定結果HKを示す(書き換え2)。
【0055】
【0056】
説明及び理解を容易にすべく、リソースRE(図1に図示。)がポリシーPO(図6に図示。)に違反するとき(違反IHがあるとき)、(1)ユーザUSが違反IHを解決する場合、(2)ユーザUS違反IHを解決しない場合を想定する。
【0057】
〈ユーザUSが違反IHを解決する場合〉
ステップST4:検査装置KSでは、処理部SY(KS)は、ステップST3で、ユーザUSの端末TMへ違反IH(ユーザUSのパスワードPWがポリシーPO2に違反する旨)を通知した後に、判定(図5のステップST2)の結果(以下、「判定結果HK」という。図8に図示。)を記憶部KI(KS)に記憶する。
ステップST4:検査装置KSでは、処理部SY(KS)は、ステップST3で、ユーザUSの端末TMへ違反IH(ユーザUSのパスワードPWがポリシーPO2に違反する旨)を通知した後に、判定(図5のステップST2)の結果(以下、「判定結果HK」という。図8に図示。)を記憶部KI(KS)に記憶する。
【0058】
ステップST5A:端末TMのユーザUSは、ステップST3で、検査装置KSから、上記した違反IHを受信すると、当該違反IHを解決する。より詳しくは、ユーザUSは、パスワードPWを速やかに変更する。
【0059】
ステップST6A:ユーザUSの端末TMは、違反IHを解決した旨を検査装置KSへ送信する。換言すれば、検査装置KSは、ユーザUSの端末TMから、違反IHを解決した旨を受信する。
【0060】
ステップST7A:検査装置KSでは、処理部SY(KS)は、図9中(点線)で示されるように、記憶部KI(KS)に記憶されている判定結果HKに、「ポリシーPO2に違反していたリソースREcが07:15:24に解決した」を追記し、即ち、判定結果HKを書き換える。
【0061】
〈ユーザUSが違反IHを解決しない場合〉
ステップST4:検査装置KSでは、処理部SY(KS)は、ユーザUSが違反IH(ユーザUSのパスワードPWがポリシーPO2に違反する旨)を解決する場合でのステップST4と同様に、判定結果HK(図8に図示。)を記憶部KI(KS)に記憶する。
ステップST4:検査装置KSでは、処理部SY(KS)は、ユーザUSが違反IH(ユーザUSのパスワードPWがポリシーPO2に違反する旨)を解決する場合でのステップST4と同様に、判定結果HK(図8に図示。)を記憶部KI(KS)に記憶する。
【0062】
ステップST5B:端末TMのユーザUSは、ステップST3で、検査装置KSから、違反IHを受信しても、当該違反IHを解決しない。より詳しくは、ユーザUSは、パスワードPWを何ら変更しない。
【0063】
ステップST6B:ユーザUSの端末TMは、違反IHを解決しない旨、及び、解決しない理由、即ち、未解決の旨及び未解決の理由を検査装置KSへ送信する。換言すれば、検査装置KSは、ユーザUSの端末TMから、未解決の旨及び未解決の理由を受信する。
【0064】
ステップST7B:検査装置KSでは、処理部SY(KS)は、図10中(点線)で示されるように、記憶部KI(KS)に記憶されている判定結果HKに、「ポリシーPO2に違反していたリソースREcが07:15:24に解決していない」(未解決)を追記し、かつ、「解決していない理由」(未解決の理由)を付記し、即ち、判定結果HKを書き換える。
【0065】
〈実施形態2の効果〉
上述したように、実施形態2のポリシー検査システムPKSでは、端末TMのユーザUSが、ポリシーPO2に違反するリソースREcを解決し、または、未解決にし、検査装置KSでは、処理部SY(KS)が、記憶部KI(KS)に記憶されている判定結果HKに、解決または未解決(未解決の理由を含む。)を追記し、即ち、判定結果HKの書き換えを行う。これにより、ユーザUSは、リソースREがポリシーPOに違反した後にユーザUSがどのように対応したかの履歴を一覧で把握することができる。
上述したように、実施形態2のポリシー検査システムPKSでは、端末TMのユーザUSが、ポリシーPO2に違反するリソースREcを解決し、または、未解決にし、検査装置KSでは、処理部SY(KS)が、記憶部KI(KS)に記憶されている判定結果HKに、解決または未解決(未解決の理由を含む。)を追記し、即ち、判定結果HKの書き換えを行う。これにより、ユーザUSは、リソースREがポリシーPOに違反した後にユーザUSがどのように対応したかの履歴を一覧で把握することができる。
【0066】
〈変形例〉
実施形態の変形例について説明する。
実施形態の変形例について説明する。
【0067】
図11は、変形例の環境情報KJを示す。
【0068】
図12は、変形例のコンプライアンスKOを示す。
【0069】
変形例のポリシー検査システムPKS(図1に図示。)では、検査装置KSの処理部SY(KS)(図2に図示。)は、環境情報KJ(図11に図示。)に含まれるリソースREが有するパラメータPが、前記リソースREのタイプであるリソースタイプRT1に対応する、コンプライアンスKO(図12に図示。)中のリソースタイプRT2であるポリシーの内容PO(CON)の条件JOを満たすか否かを判定する。
【0070】
検査装置KSの処理部SY(KS)は、例えば、環境情報KJ中のリソースRE「IAMユーザーのIDや名前」のパラメータP「MFA状態=無効」が、前記リソースRE「IAMユーザーのIDや名前」のリソースタイプRT1「IAMユーザー」に対応する、コンプライアンスKO中のリソースタイプRT2「IAMユーザー」のポリシーの内容PO(CON)「MFAが有効化されていないIAMユーザー」の条件JO「コンソールにアクセス可能なすべてのIAMユーザーに対してMFAを有効化している」に違反していないか否かを判定する。
【0071】
検査装置KSの処理部SY(KS)は、また、例えば、環境情報KJ中のリソースRE「Security GroupのIDや名前」のパラメータP「「「0.0.0.0/0」をソースとし、20から25番までをポート範囲とするインバウンドルール」が、前記リソースRE「Security GroupのIDや名前」のリソースタイプRT1「Security Group」に対応する、コンプライアンスKO中のリソースタイプRT2「Security Group」のポリシーの内容PO(CON)「セキュリティグループがリスクの高いポートへの無制限アクセスを許可している」の条件JO「「0.0.0.0/0」もしくは「::/0」をソースとし、20・21、22、23、25、110、135、143、445、1433・1434、3000、3306、3389、4333、5000、5432、5500、5601、8080・8088・8888、9200・9300をポート範囲とするインバウンドルールがあるセキュリティグループが存在しない」に違反していないか否かを判定する。
【0072】
〈実施形態のハードウェアによる構成〉
図13は、実施形態1、2のポリシー検査システムPKSのハードウェアによる構成を示す。
図13は、実施形態1、2のポリシー検査システムPKSのハードウェアによる構成を示す。
【0073】
実施形態1、2のポリシー検査システムPKSは、上述した機能を果たすべく、図13に示されるように、処理回路SYOを含み、必要に応じて、入力回路NYUと、出力回路SYUと、を更に含む。
【0074】
処理回路SYOは、専用のハードウェアである。処理回路SYOは、検査装置KS、パブリッククラウドPK、端末TMの処理部SY(KS)、処理部SY(PK)、処理部SY(TM)(図2~図4に図示。)の機能を実現する。
【0075】
処理回路SYOは、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)、またはこれらを組み合わせたものである。
【0076】
入力回路NYU及び出力回路SYUは、例えば、検査装置KS、パブリッククラウドPK、端末TMの外部との間で、処理回路SYOの動作に関連する入力及び出力をやりとりする。
【0077】
〈実施形態のソフトウェアによる実現に基づくハードウェアの構成〉
図14は、実施形態1、2のポリシー検査システムPKSのソフトウェアによる実現に基づくハードウェアの構成を示す。
図14は、実施形態1、2のポリシー検査システムPKSのソフトウェアによる実現に基づくハードウェアの構成を示す。
【0078】
実施形態1、2のポリシー検査システムPKSは、図14に示されるように、プロセッサPROと、記憶回路KIOと、を含み、必要に応じて、入力回路NYUと、出力回路SYUと、を更に含む。
【0079】
プロセッサPROは、プログラムを実行するCPU(Central Processing Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、DSP(Digital Signal Processing)ともいう。)である。プロセッサPROは、検査装置KS、パブリッククラウドPK、端末TMの処理部SY(KS)、処理部SY(PK)、処理部SY(TM)(図2~図4に図示。)の機能を実現する。
【0080】
プロセッサPROは、上記した機能の実現を、ソフトウェア、ファームウェア、またはソフトウェアとファームウェアとの組み合わせにより行う。ソフトウェア及びファームウェアは、プログラムとして記述され、記憶回路KIOに記憶されている。
【0081】
プロセッサPROは、記憶回路KIOから上記したプログラムを読み出して実行することにより、上記した機能を実現する。上記したプログラムは、検査装置KS、パブリッククラウドPK、端末TMの処理部SY(KS)、処理部SY(PK)、処理部SY(TM)の手順及び方法をコンピュータに実行させるものであるともいえる。
【0082】
ここで、記憶回路KIOは、例えば、RAM(Random Access Memory)、ROM(Read Only Memory)、フラッシュメモリ、EPROM(Erasable Programmable Read Only Memory)、EEPROM(Electrically Erasable Programmable Read-Only Memory)等の、不揮発性または揮発性の半導体メモリ、並びに、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD(Digital Versatile Disc)等である。
【0083】
検査装置KS、パブリッククラウドPK、端末TMの処理部SY(KS)、処理部SY(PK)、処理部SY(TM)の各機能のうち、一部の機能を処理回路SYO(図13に図示。)により実現し、他方で、他の一部の機能をプロセッサPRO(図14に図示。)により実現してもよい。
【0084】
上述したように、検査装置KS、パブリッククラウドPK、端末TMの処理部SY(KS)、処理部SY(PK)、処理部SY(TM)の機能は、ハードウェア、ソフトウェア、ファームウェア、またはこれらの組み合わせにより実現可能である。
【0085】
入力回路NYU及び出力回路SYUは、例えば、検査装置KS、パブリッククラウドPK、端末TMの外部との間でプロセッサPROの動作に関連する入力及び出力をやりとりする。
【0086】
〈構成の例示〉
本開示に係る検査装置、検査方法、及びプログラムは、例えば、以下の構成を有する。
本開示に係る検査装置、検査方法、及びプログラムは、例えば、以下の構成を有する。
【0087】
[項目1]
ユーザが利用するパブリッククラウドであって、複数のリソースを有するマネージドサービスを提供する前記パブリッククラウドから、前記マネージドサービスの状況として、前記パブリッククラウド内の前記複数のリソース、及び、該複数のリソースが有する複数のパラメータがリストされている環境情報を取得する取得部と、
前記取得された環境情報と、前記環境情報にリストされている前記複数のリソースが有する前記複数のパラメータが満たすべき条件である複数のポリシーの内容とを照合することにより、前記複数のリソースのうちの1つのリソースが、前記複数のポリシーのうちの1つのポリシーに違反しないか否かを判定する判定部と、
前記1つのリソースが前記1つのポリシーに違反すると判定されるとき、当該違反する旨を、当該違反する1つのポリシーの重要度に応じて、前記ユーザに通知する通知部と、
を含む検査装置。
ユーザが利用するパブリッククラウドであって、複数のリソースを有するマネージドサービスを提供する前記パブリッククラウドから、前記マネージドサービスの状況として、前記パブリッククラウド内の前記複数のリソース、及び、該複数のリソースが有する複数のパラメータがリストされている環境情報を取得する取得部と、
前記取得された環境情報と、前記環境情報にリストされている前記複数のリソースが有する前記複数のパラメータが満たすべき条件である複数のポリシーの内容とを照合することにより、前記複数のリソースのうちの1つのリソースが、前記複数のポリシーのうちの1つのポリシーに違反しないか否かを判定する判定部と、
前記1つのリソースが前記1つのポリシーに違反すると判定されるとき、当該違反する旨を、当該違反する1つのポリシーの重要度に応じて、前記ユーザに通知する通知部と、
を含む検査装置。
【0088】
[項目2]
前記複数のポリシーの内容の各々は、更に、前記複数のポリシーの各々の重要度が定義されている、項目1に記載の検査装置。
前記複数のポリシーの内容の各々は、更に、前記複数のポリシーの各々の重要度が定義されている、項目1に記載の検査装置。
【0089】
[項目3]
前記判定部による判定の結果を記憶する記憶部を更に含む項目1に記載の検査装置。
前記判定部による判定の結果を記憶する記憶部を更に含む項目1に記載の検査装置。
【0090】
[項目4]
前記1つのリソースが前記1つのポリシーに違反することが、前記ユーザにより解決された場合であって、前記解決された旨を前記ユーザが使用する端末から受信したとき、前記記憶部で、前記違反する旨を解決した旨に書き換える書換部と、
を更に含む項目3に記載の検査装置。
前記1つのリソースが前記1つのポリシーに違反することが、前記ユーザにより解決された場合であって、前記解決された旨を前記ユーザが使用する端末から受信したとき、前記記憶部で、前記違反する旨を解決した旨に書き換える書換部と、
を更に含む項目3に記載の検査装置。
【0091】
[項目5]
前記1つのリソースが前記1つのポリシーに違反することが、前記ユーザにより解決されない場合であって、前記解決されない旨を前記ユーザが使用する端末から受信したとき、前記記憶部で、前記違反する旨を未解決である旨に書き換える書換部と、
を更に含む項目3に記載の検査装置。
前記1つのリソースが前記1つのポリシーに違反することが、前記ユーザにより解決されない場合であって、前記解決されない旨を前記ユーザが使用する端末から受信したとき、前記記憶部で、前記違反する旨を未解決である旨に書き換える書換部と、
を更に含む項目3に記載の検査装置。
【0092】
[項目6]
前記書換部は、前記未解決である理由を前記ユーザが使用する端末から受信したとき、前記記憶部で、前記未解決である旨を書き換えることに加えて、前記未解決である理由を付記する、
項目5に記載の検査装置。
前記書換部は、前記未解決である理由を前記ユーザが使用する端末から受信したとき、前記記憶部で、前記未解決である旨を書き換えることに加えて、前記未解決である理由を付記する、
項目5に記載の検査装置。
【0093】
[項目7]
コンピュータが、
ユーザが利用するパブリッククラウドであって、複数のリソースを有するマネージドサービスを提供する前記パブリッククラウドから、前記マネージドサービスの状況として、前記パブリッククラウド内の前記複数のリソース、及び、該複数のリソースが有する複数のパラメータがリストされている環境情報を取得し、記憶部に記憶する取得工程と、
前記記憶部に記憶された環境情報と、前記環境情報にリストされている前記複数のリソースが有する前記複数のパラメータが満たすべき条件である複数のポリシーの内容とを照合することにより、前記複数のリソースのうちの1つのリソースが、前記複数のポリシーのうちの1つのポリシーに違反しないか否かを判定する判定工程と、
前記1つのリソースが前記1つのポリシーに違反すると判定されるとき、当該違反する旨を、当該違反する1つのポリシーの重要度に応じて、前記ユーザに通知する通知工程と、
を実行する検査方法。
コンピュータが、
ユーザが利用するパブリッククラウドであって、複数のリソースを有するマネージドサービスを提供する前記パブリッククラウドから、前記マネージドサービスの状況として、前記パブリッククラウド内の前記複数のリソース、及び、該複数のリソースが有する複数のパラメータがリストされている環境情報を取得し、記憶部に記憶する取得工程と、
前記記憶部に記憶された環境情報と、前記環境情報にリストされている前記複数のリソースが有する前記複数のパラメータが満たすべき条件である複数のポリシーの内容とを照合することにより、前記複数のリソースのうちの1つのリソースが、前記複数のポリシーのうちの1つのポリシーに違反しないか否かを判定する判定工程と、
前記1つのリソースが前記1つのポリシーに違反すると判定されるとき、当該違反する旨を、当該違反する1つのポリシーの重要度に応じて、前記ユーザに通知する通知工程と、
を実行する検査方法。
【0094】
[項目8]
コンピュータに、
ユーザが利用するパブリッククラウドであって、複数のリソースを有するマネージドサービスを提供する前記パブリッククラウドから、前記マネージドサービスの状況として、前記パブリッククラウド内の前記複数のリソース、及び、該複数のリソースが有する複数のパラメータがリストされている環境情報を取得する取得工程と、
前記取得された環境情報と、前記環境情報にリストされている前記複数のリソースが有する前記複数のパラメータが満たすべき条件である複数のポリシーの内容とを照合することにより、前記複数のリソースのうちの1つのリソースが、前記複数のポリシーのうちの1つのポリシーに違反しないか否かを判定する判定工程と、
前記1つのリソースが前記1つのポリシーに違反すると判定されるとき、当該違反する旨を、当該違反する1つのポリシーの重要度に応じて、前記ユーザに通知する通知工程と、
実行させるためのプログラム。
コンピュータに、
ユーザが利用するパブリッククラウドであって、複数のリソースを有するマネージドサービスを提供する前記パブリッククラウドから、前記マネージドサービスの状況として、前記パブリッククラウド内の前記複数のリソース、及び、該複数のリソースが有する複数のパラメータがリストされている環境情報を取得する取得工程と、
前記取得された環境情報と、前記環境情報にリストされている前記複数のリソースが有する前記複数のパラメータが満たすべき条件である複数のポリシーの内容とを照合することにより、前記複数のリソースのうちの1つのリソースが、前記複数のポリシーのうちの1つのポリシーに違反しないか否かを判定する判定工程と、
前記1つのリソースが前記1つのポリシーに違反すると判定されるとき、当該違反する旨を、当該違反する1つのポリシーの重要度に応じて、前記ユーザに通知する通知工程と、
実行させるためのプログラム。
【符号の説明】
【0095】
PKS ポリシー検査システム、KS 検査装置、PK パブリッククラウド、MS マネージドサービス、RE リソース、TM 端末TM、US ユーザ。
【要約】
【課題】パブリッククラウドのリソースについて、網羅的な判定結果を与える。
【解決手段】検査装置は、ユーザが利用するパブリッククラウドであって、複数のリソースを有するマネージドサービスを提供するパブリッククラウドから、マネージドサービスの状況として、パブリッククラウド内の複数のリソース、及び、該複数のリソースが有する複数のパラメータがリストされている環境情報を取得し、取得された環境情報と、環境情報にリストされている複数のリソースが有する複数のパラメータが満たすべき条件である複数のポリシーの内容とを照合することにより、複数のリソースのうちの1つのリソースが、複数のポリシーのうちの1つのポリシーに違反しないか否かを判定し、1つのリソースが1つのポリシーに違反すると判定されるとき、当該違反する旨を、当該違反する1つのポリシーの重要度に応じて、ユーザに通知する。
【選択図】図1
【解決手段】検査装置は、ユーザが利用するパブリッククラウドであって、複数のリソースを有するマネージドサービスを提供するパブリッククラウドから、マネージドサービスの状況として、パブリッククラウド内の複数のリソース、及び、該複数のリソースが有する複数のパラメータがリストされている環境情報を取得し、取得された環境情報と、環境情報にリストされている複数のリソースが有する複数のパラメータが満たすべき条件である複数のポリシーの内容とを照合することにより、複数のリソースのうちの1つのリソースが、複数のポリシーのうちの1つのポリシーに違反しないか否かを判定し、1つのリソースが1つのポリシーに違反すると判定されるとき、当該違反する旨を、当該違反する1つのポリシーの重要度に応じて、ユーザに通知する。
【選択図】図1
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】