知財求人 - 知財ポータルサイト「IP Force」
▶ インターナショナル・ビジネス・マシーンズ・コーポレーションの特許一覧
特許7651243コンピューティング資産の自動ヘルスチェック・リスク評価システム、方法、プログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2025-03-17
(45)【発行日】2025-03-26
(54)【発明の名称】コンピューティング資産の自動ヘルスチェック・リスク評価システム、方法、プログラム
(51)【国際特許分類】
G06F 21/57 20130101AFI20250318BHJP
【FI】
G06F21/57 370
【請求項の数】
8
(21)【出願番号】P 2023522439
(86)(22)【出願日】2021-08-31
(65)【公表番号】
(43)【公表日】2023-11-08
(86)【国際出願番号】 CN2021115671
(87)【国際公開番号】W WO2022083295
(87)【国際公開日】2022-04-28
【審査請求日】2024-01-23
(31)【優先権主張番号】17/078,563
(32)【優先日】2020-10-23
(33)【優先権主張国・地域又は機関】US
(73)【特許権者】
【識別番号】390009531
【氏名又は名称】インターナショナル・ビジネス・マシーンズ・コーポレーション
【氏名又は名称原語表記】INTERNATIONAL BUSINESS MACHINES CORPORATION
【住所又は居所原語表記】New Orchard Road, Armonk, New York 10504, United States of America
(74)【代理人】
【識別番号】100112690
【弁理士】
【氏名又は名称】太佐 種一
(74)【代理人】
【識別番号】100120710
【弁理士】
【氏名又は名称】片岡 忠彦
(72)【発明者】
【氏名】ブルート、ムハンマド フェイス
(72)【発明者】
【氏名】ヘルナンデス、ミルトン エイチ
(72)【発明者】
【氏名】フィレップ、ロバート
(72)【発明者】
【氏名】ズン、サイ
(72)【発明者】
【氏名】オセペク、スティーブン
(72)【発明者】
【氏名】タマラペンタ、シュリーニヴァース、バブ
(72)【発明者】
【氏名】リレイ、ダニエル エス
【審査官】上島 拓也
(56)【参考文献】
【文献】特表2022-521669(JP,A)
【文献】米国特許出願公開第2014/0351940(US,A1)
【文献】特表2012-524936(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/57
(57)【特許請求の範囲】
【請求項1】
システムであって、前記システムが、メモリに格納されたコンピュータ実行可能構成要素を実行するプロセッサ
を含み、前記コンピュータ実行可能構成要素が、
規定制御に対するコンピューティング資産の非準拠に対応するベースライン・ヘルスチェック・リスク・スコアを生成するベースライン構成要素と、
前記規定制御の弱点因子に基づいて前記ベースライン・ヘルスチェック・リスク・スコアを調整する調整構成要素であって、
前記弱点因子が、前記コンピューティング資産の状態が前記規定制御から逸脱している大きさに基づき、
前記コンピューティング資産の環境因子に基づいて前記ベースライン・ヘルスチェック・リスク・スコアを調整し、前記環境因子が、前記コンピューティング資産に関連したセキュリティ機構またはセキュリティ・プロトコルに基づき、
前記コンピューティング資産のクリティカリティ因子に基づいて前記ベースライン・ヘルスチェック・リスク・スコアを調整し、前記クリティカリティ因子が、前記コンピューティング資産に関連した重要性レベルに基づき、
前記調整構成要素がさらに、前記コンピューティング資産の成熟度因子に基づいて前記ベースライン・ヘルスチェック・リスク・スコアを調整し、前記成熟度因子が、前記規定制御と推奨制御との差に基づき、
前記ベースライン・ヘルスチェック・リスク・スコアに前記環境因子を乗じ、それによって第1の量を与え、前記第1の量に前記弱点因子を加え、それによって第2の量を与え、前記クリティカリティ因子に前記第2の量を乗じ、それによって第3の量を与え、前記成熟度因子に前記第3の量を乗じ、それによって前記規定制御に対する前記コンピューティング資産の非準拠に対応する調整されたヘルスチェック・リスク・スコアを与える、前記調整構成要素と
を含む、システム。
【請求項2】
機械学習モデルを使用して前記弱点因子を生成する弱点構成要素をさらに含む、請求項1に記載のシステム。
【請求項3】
前記調整されたヘルスチェック・リスク・スコアおよび他の複数の規定制御に対応する他の複数の調整されたヘルスチェック・リスク・スコアに重み付き平均または最大値関数を適用することによって、前記調整されたヘルスチェック・リスク・スコアを前記他の複数の調整されたヘルスチェック・リスク・スコアと集約する集約構成要素をさらに含む、請求項1に記載のシステム。
【請求項4】
コンピュータ実施方法であって、前記コンピュータ実施方法が、プロセッサに動作可能に結合されたデバイスによって、規定制御に対するコンピューティング資産の非準拠に対応するベースライン・ヘルスチェック・リスク・スコアを生成すること、および
前記デバイスによって、前記規定制御の弱点因子に基づいて前記ベースライン・ヘルスチェック・リスク・スコアを調整することであって、
前記弱点因子が、前記コンピューティング資産の状態が前記規定制御から逸脱している大きさに基づき、
前記コンピューティング資産の環境因子に基づいて前記ベースライン・ヘルスチェック・リスク・スコアを調整することであり、前記環境因子が、前記コンピューティング資産に関連したセキュリティ機構またはセキュリティ・プロトコルに基づき、
前記コンピューティング資産のクリティカリティ因子に基づいて前記ベースライン・ヘルスチェック・リスク・スコアを調整することであり、前記クリティカリティ因子が、前記コンピューティング資産に関連した重要性レベルに基づき、
前記コンピューティング資産の成熟度因子に基づいて前記ベースライン・ヘルスチェック・リスク・スコアを調整することであり、前記成熟度因子が、前記規定制御と推奨制御との差に基づき、
前記ベースライン・ヘルスチェック・リスク・スコアに前記環境因子を乗じ、それによって第1の量を与え、前記第1の量に前記弱点因子を加え、それによって第2の量を与え、前記クリティカリティ因子に前記第2の量を乗じ、それによって第3の量を与え、前記成熟度因子に前記第3の量を乗じ、それによって前記規定制御に対する前記コンピューティング資産の非準拠に対応する調整されたヘルスチェック・リスク・スコアを与えることを含む、前記調整すること
を含むコンピュータ実施方法。
【請求項5】
前記デバイスによって、機械学習モデルを使用して前記弱点因子、前記環境因子、前記クリティカリティ因子または前記成熟度因子の少なくとも1つを生成することをさらに含む、請求項4に記載のコンピュータ実施方法。
【請求項6】
前記デバイスによって、前記調整されたヘルスチェック・リスク・スコアおよび他の複数の規定制御に対応する他の複数の調整されたヘルスチェック・リスク・スコアに重み付き平均または最大値関数を適用することによって、前記調整されたヘルスチェック・リスク・スコアを前記他の複数の調整されたヘルスチェック・リスク・スコアと集約することをさらに含む、請求項4に記載のコンピュータ実施方法。
【請求項7】
請求項4~6の何れか1項に記載の方法を、コンピュータに実行させる、コンピュータ・プログラム。
【請求項8】
請求項7に記載の前記コンピュータ・プログラムを、コンピュータ可読ストレージ媒体に記録した、ストレージ媒体。
【発明の詳細な説明】
【技術分野】
【0001】
本主題開示はコンピューティング資産(computing asset)に関し、より詳細には、コンピューティング資産の自動ヘルスチェック・リスク評価(automated health-check risk assessment)に関する。
【背景技術】
【0002】
コンピューティング資産は、コンピュータ・ハードウェアもしくはコンピュータ・ソフトウェアまたはその両方の適当な任意の組合せであることができる。コンピューティング資産は、1つまたは複数の制御(control)に従属することができる。さまざまな態様において、制御は、コンピューティング・セキュリティもしくはサイバー・セキュリティまたはその両方を強化もしくは保護または強化および保護するように設計された規格、規定、規則もしくはベンチマークまたはこれらの組合せであることができる。例えば、制御は、センター・フォー・インターネット・セキュリティ(Center for Internet Security)(CIS)ベンチマーク、セキュリティ技術実装ガイド(Security Technical Implementation Guides)(STIGs)、業界標準もしくは他の適当な任意の技術規定、またはこれらの組合せを含むことができる。さまざまな例において、制御は、コンピューティング資産の適当な任意の技術的属性/特性を規定することができ、もしくはコンピューティング資産の適当な任意の技術的属性/特性に関係することができ、またはその両方であることができる。コンピューティング資産が規定制御(stipulated control)に準拠している場合、そのコンピューティング資産は、セキュリティ違反もしくは悪用(exploitation)またはその両方に対するコンピューティング資産の脆弱性を最小化していると考えることができる。しかしながら、コンピューティング資産が規定制御に準拠していない場合、そのコンピューティング資産は、データ・セキュリティに関して脆弱であり、もしくは危険にさらされており、またはその両方であると考えることができる。
【0003】
コンピューティング資産が規定制御の要件を満たしているかどうかを判定するために、コンピューティング資産に対して定期的にヘルスチェックを実行することができる。さまざまなケースにおいて、ヘルスチェックは、攻撃を防止もしくは緩和し、または防止および緩和するようにシステムもしくは構成またはその両方を硬化させる(harden)ために情報技術システムもしくはアプリケーション構成またはその両方を調べるセキュリティ・プロセスであることができる。コンピューティング・システムはしばしば、多くの異なるコンピューティング資産からなることがあり、非準拠制御(non-compliant control)の数が、コンピューティング・システムのオペレータを圧倒するほどに大きくなることがある。このようなケースでは、異なるコンピューティング資産の異なる非準拠制御が異なるリスクをもたらすことがあり、コンピューティング・システムのオペレータは、非準拠制御をどのようにトリアージ(triage)すればよいか確信を持てないことがある。
【0004】
従来、非準拠制御に重大度(severity)レベルを割り当てるために、ヘルスチェック・リスク評価が実行されている。例えば、コモン・コンフィギュレーション・スコアリング・システム(Common Configuration Scoring System)(CCSS)によって異なる制御にヘルスチェック・リスク・スコアを割り当てることができ、非準拠制御に基づくこれらのスコアから、さまざまなコンピューティング資産のリスクを導き出すことができる。しかしながら、このような従来のヘルスチェック・リスク評価技術は一般に、人間オペレータによって年に1回または2回実行される手動プロセスである。自動化を実施する従来のヘルスチェック・リスク評価技術であっても、それらの技術は、オペレータの主観的評価に基づき、したがってエラーを生じやすく、また標準化されていない。さらに、本明細書で説明されているとおり、このような従来のヘルスチェック・リスク評価技術は、コンピューティング資産および非準拠制御のさまざまな重要な態様を無視する。
【0005】
これらの技術的課題の1つもしくは複数を改善もしくは解決することでき、または改善および解決することができるシステムもしくは技術またはその両方が望ましいことがある。
【発明の概要】
【0006】
以下に、本発明の1つまたは複数の実施形態の基本的理解を提供する概要を示す。この概要が、鍵となる要素もしくは決定的に重要な要素を識別すること、または、この概要が、特定の実施形態の範囲もしくは特許請求の範囲を限定することは意図されていない。その唯一の目的は、後に示すより詳細な説明に対する前置きとして、概念を、簡略化された形で示すことにある。本明細書に記載された1つまたは複数の実施形態では、コンピューティング資産の自動ヘルスチェック・リスク評価を容易にすることができるデバイス、システム、コンピュータ実施方法(computer-implemented method)、装置もしくはコンピュータ・プログラム製品またはこれらの組合せが説明される。
【0007】
1つまたは複数の実施形態によればシステムが提供される。このシステムは、コンピュータ実行可能構成要素を格納することができるメモリを含むことができる。このシステムはさらに、メモリに動作可能に結合することができるプロセッサであり、メモリに格納されたコンピュータ実行可能構成要素を実行することができるプロセッサを含むことができる。さまざまなの実施形態において、コンピュータ実行可能構成要素は、規定制御に対するコンピューティング資産の非準拠に対応するベースライン・ヘルスチェック・リスク・スコアを生成することができるベースライン構成要素を含むことができる。さまざまな態様において、コンピュータ実行可能構成要素はさらに、規定制御の弱点因子(weakness factor)に基づいてベースライン・ヘルスチェック・リスク・スコアを調整することができる調整構成要素を含むことができる。いくつかのケースでは、弱点因子が、コンピューティング資産の状態が規定制御から逸脱している大きさに基づくことができる。さまざまな実施形態において、調整構成要素はさらに、コンピューティング資産の環境因子に基づいてベースライン・ヘルスチェック・リスク・スコアを調整することができる。さまざまなケースにおいて、環境因子は、コンピューティング資産に関連したセキュリティ機構またはセキュリティ・プロトコルに基づくことができる。さまざまな実施形態において、調整構成要素はさらに、クリティカリティ因子(criticality factor)に基づいてベースライン・ヘルスチェック・リスク・スコアを調整することができる。いくつかの例では、クリティカリティ因子が、コンピューティング資産の重要性レベル(level of importance)に基づくことができる。さまざまな実施形態において、調整構成要素はさらに、成熟度(maturity)因子に基づいてベースライン・ヘルスチェック・リスク・スコアを調整することができる。いくつかの態様では、成熟度因子が、規定制御と推奨制御(recommended control)との差に基づくことができる。
【0008】
1つまたは複数の実施形態によれば、上で説明したシステムを、コンピュータ実施方法もしくはコンピュータ・プログラム製品またはその両方として実施することができる。
【図面の簡単な説明】
【0009】
【図1】本明細書に記載された1つまたは複数の実施形態による、コンピューティング資産の自動ヘルスチェック・リスク評価を容易にする例示的で非限定的なシステムのブロック図である。
【図2】本明細書に記載された1つまたは複数の実施形態による、ベースライン・ヘルスチェック・リスク・スコアを含む、コンピューティング資産の自動ヘルスチェック・リスク評価を容易にする例示的で非限定的なシステムのブロック図である。
【図3】本明細書に記載された1つまたは複数の実施形態による、弱点因子を含む、コンピューティング資産の自動ヘルスチェック・リスク評価を容易にする例示的で非限定的なシステムのブロック図である。
【図4】本明細書に記載された1つまたは複数の実施形態による、弱点因子に関連した例示的で非限定的な表を示す図である。
【図5】本明細書に記載された1つまたは複数の実施形態による、環境因子を含む、コンピューティング資産の自動ヘルスチェック・リスク評価を容易にする例示的で非限定的なシステムのブロック図である。
【図6】本明細書に記載された1つまたは複数の実施形態による、環境因子に関連した例示的で非限定的な表を示す図である。
【図7】本明細書に記載された1つまたは複数の実施形態による、クリティカリティ因子を含む、コンピューティング資産の自動ヘルスチェック・リスク評価を容易にする例示的で非限定的なシステムのブロック図である。
【図8】本明細書に記載された1つまたは複数の実施形態による、成熟度因子を含む、コンピューティング資産の自動ヘルスチェック・リスク評価を容易にする例示的で非限定的なシステムのブロック図である。
【図9】本明細書に記載された1つまたは複数の実施形態による、調整構成要素を含む、コンピューティング資産の自動ヘルスチェック・リスク評価を容易にする例示的で非限定的なシステムのブロック図である。
【図10】本明細書に記載された1つまたは複数の実施形態による、集約構成要素を含む、コンピューティング資産の自動ヘルスチェック・リスク評価を容易にする例示的で非限定的なシステムのブロック図である。
【図11】本明細書に記載された1つまたは複数の実施形態による、例示的で非限定的なコンピューティング資産階層のブロック図である。
【図12】本明細書に記載された1つまたは複数の実施形態による、コンピューティング資産の自動ヘルスチェック・リスク評価を容易にする例示的で非限定的なコンピュータ実施方法の流れ図である。
【図13】本明細書に記載された1つまたは複数の実施形態を容易にすることができる例示的で非限定的な動作環境のブロック図である。
【図14】本明細書に記載された1つまたは複数の実施形態による、例示的で非限定的なクラウド・コンピューティング環境を示す図である。
【図15】本明細書に記載された1つまたは複数の実施形態による、例示的で非限定的な抽象化モデル層を示す図である。
【発明を実施するための形態】
【0010】
以下の詳細な説明は単に例示用のものであり、以下の詳細な説明が、実施形態または実施形態の用途もしくは使用、あるいはこれらの組合せを限定することは意図されていない。さらに、上記の技術分野もしくは発明の概要の項または発明を実施するための形態の項に提示された明示または暗示の情報によって拘束されることは意図されていない。
【0011】
次に、1つまたは複数の実施形態を図面を参照して説明する。それらの図面では、全体を通じて、同じ要素を指すために同じ参照符号が使用されている。以下の説明には、説明の目的上、1つまたは複数の実施形態のより完全な理解を提供するために、数多くの具体的な詳細が記載されている。しかしながら、さまざまなケースにおいて、それらの具体的な詳細がなくても、この1つまたは複数の実施形態を実施することができることは明白である。
【0012】
コンピューティング資産は、コンピュータ・ハードウェアもしくはコンピュータ・ソフトウェアまたはその両方の適当な任意の組合せ(例えばサーバ、データセンター、ソフトウェア・アプリケーション、ブラウザ、ネットワーク、ラップトップ・コンピュータ、モバイル・コンピューティング・デバイスもしくは他の適当な任意の情報技術システム、またはこれらの組合せ)であることができる。上述のとおり、コンピューティング資産は、1つもしくは複数の制御に従属し、または1つもしくは複数の制御によって支配され、あるいはその両方であることができ、この1つもしくは複数の制御は、コンピューティング・セキュリティもしくはサイバー・セキュリティまたはその両方を強化もしくは保護または強化および保護するように設計、構成もしくは意図され、または設計、構成および意図された規格、規定、規則もしくはベンチマークまたはこれらの組合せの形態をとることができる。例えば、制御は、コンピューティング・セキュリティを向上させることを目的とした、センター・フォー・インターネット・セキュリティ(CIS)ベンチマーク、セキュリティ技術実装ガイド(STIGs)、業界標準もしくは他の適当な任意の技術規定、またはこれらの組合せを含むことができる。一例として、コンピューティング資産は、パスワードで保護されたデータを電子的に格納/維持することができる。このようなケースでは、そのパスワードが最小限の文字長(例えば少なくとも10文字の文字長)を有するべきであることを、第1の制御が規定することができ、そのパスワードが特定の文字型(例えば数字、文字、句読点、他の記号)を含むべきであることを、第2の制御が規定することができ、もしくはパスワードが最大エージ(maximum age)(例えば90日未満)よりも若いものであるべきであることを、第3の制御が規定することができ、またはこれらの組合せであることができる。さまざまな例において、制御は、コンピューティング資産の適当な任意の技術的属性/特性(例えばパスワード、特権/許可、データ管理方針、データ記憶方針、認証方針、監査方針、インフラストラクチャ)を規定することができ、もしくはコンピューティング資産の適当な任意の技術的属性/特性に関係することができ、またはその両方であることができる。コンピューティング資産が規定制御に準拠している場合、そのコンピューティング資産は、セキュリティ違反もしくは悪用またはその両方に対するコンピューティング資産の脆弱性を最小化していると考えることができる。しかしながら、コンピューティング資産が規定制御に準拠していない場合、そのコンピューティング資産は、データ・セキュリティに関して脆弱であり、もしくは危険にさらされており、またはその両方であると考えることができる。
【0013】
コンピューティング資産が規定制御の要件を満たしているかどうかを判定するために、コンピューティング資産に対して定期的に(例えば24時間ごとに1回)ヘルスチェックを実行することができる。コンピューティング・システムはしばしば、多くの異なるコンピューティング資産からなることがあり、非準拠制御の数が、コンピューティング・システムのオペレータを圧倒するほどに大きくなることがある(例えば、多くの異なるコンピューティング資産が多くの異なる制御に準拠していることがあり、もしくは違反していることがあり、またはその両方であることがある)。このようなケースでは、異なるコンピューティング資産の異なる非準拠制御が異なるリスクをもたらすことがあり、コンピューティング・システムのオペレータは、非準拠制御をどのようにトリアージすればよいか確信を持てないことがある(例えば、どの非準拠制御を最初に修正すべきかを決定するために、どの非準拠制御が最も緊急であるのか、もしくはどの非準拠制御が最も緊急でないのか、またはその両方が不確かなことがある)。
【0014】
従来、非準拠制御に重大度レベルを割り当ててトリアージを実行することができるようにするために、ヘルスチェック・リスク評価が実行されている。例えば、コモン・コンフィギュレーション・スコアリング・システム(CCSS)によって非準拠制御にヘルスチェック・リスク・スコアを割り当てることができる。しかしながら、このような従来のヘルスチェック・リスク評価技術は一般に、人間オペレータによって年に1回または2回実行される手動プロセスである。従来のヘルスチェック・リスク評価技術が自動化を実施するときでも、それらの技術は、オペレータの主観的評価に基づき、したがってエラーを生じやすく、また標準化されていない(例えば、異なるオペレータが、どのコンピューティング資産のどの非準拠制御がより重大なまたはより重大でないセキュリティ脅威をもたらすのかに関する異なる専門知識、異なる経験レベルもしくは異なる意見またはこれらの組合せを有することがある)。
【0015】
さらに、このような従来のヘルスチェック・リスク評価技術は、コンピューティング資産および非準拠制御のさまざまな重要な態様を考慮しない。具体的には、このような従来のヘルスチェック・リスク評価技術は、制御を二者択一的にしか考えない。すなわち、従来のヘルスチェック・リスク評価技術は、制御の要件が満たされているのかまたは制御に違反しているのかだけを判定し、非準拠の大きさを考慮しない。より大きな大きさの非準拠はより大きなセキュリティ・リスクをもたらし得るため、これが最適とは言えないことがある(例えば、6カ月超過したパスワードは1日超過したパスワードよりもはるかに大きなセキュリティ・リスクであり、多数文字短いパスワードは1文字短いパスワードよりもはるかに大きなセキュリティ・リスクであり、何十もの超過な実体によって共有された特権は、1つの超過実体だけによって共有された特権よりもはるかに大きなセキュリティ・リスクであり、実行される頻度が50%低い監査は、実行される頻度が5%低い監査よりもはるかに大きなセキュリティ・リスクである)。さらに、このような従来のヘルスチェック・リスク評価技術は、コンピューティング資産の重要性レベルを無視する。所与の大きさだけ規定制御に違反しているより重要なコンピューティング資産は、同じ大きさだけ同じ制御に違反しているより重要でないコンピューティング資産がもたらし得るセキュリティ・リスクよりもはるかに大きなセキュリティ・リスクをもたらし得るため、これが最適とは言えないことがある(例えば、オンライン・ショッピング・アカウントと機密/私用データを格納したデータベースとを考える。このオンライン・ショッピング・アカウントとデータベースはともに、それぞれ、1カ月古い対応するパスワードによって保護することができるが、データベースは、オンライン・ショッピング・アカウントと比較して、より重要な、もしくはよりクリティカルな(critical)、またはその両方のコンピューティング資産と考えることができ、そのため、非準拠データベースは、非準拠オンライン・ショッピング・アカウントよりもはるかに大きなセキュリティ・リスクをもたらし得る)。さらに、このような従来のヘルスチェック・リスク評価技術は規定制御を額面通りに受け取り、このような規定制御を、推奨制御もしくは業界のベスト・プラクティス(best practice)またはその両方と比較したりはしない。より成熟していない(例えばよりサイバー・セキュリティ知識に乏しい)組織は、業界標準とは大きく異なる制御を設けることがあるため、これが最適とは言えないことがある(例えば、データセンター・パスワードのエージは180日以下でなければならないと企業が規定することがあり、一方で、データセンター・パスワードのエージは90日以下でなければならないと業界のベスト・プラクティスが推奨することがある。したがって、120日経過のデータセンター・パスワードは、規定制御に準拠しているとみなすことができるが、それにもかかわらず、規定制御は推奨制御よりもはるかに厳格でないため、かなりのセキュリティ・リスクをもたらし得る)。さらに、このような従来のヘルスチェック・リスク評価技術は一般に手動で実施される(例えば、それらの技術は、人間オペレータによる主観的スコア評価に依存しており、標準化を強化するためのどの形態の人工知能も実施しない)。したがって、従来のヘルスチェック・リスク評価技術はさまざまな技術的課題を有する。
【0016】
本発明のさまざまな実施形態は、これらの技術的課題の1つまたは複数を解決することができる。具体的には、本発明のさまざまな実施形態は、コンピューティング資産の自動ヘルスチェック・リスク評価を容易にすることができるシステムもしくは技術またはその両方を提供することができる。言い換えると、本発明のさまざまな実施形態は、1つまたは複数の規定制御に対するコンピューティング資産の準拠もしくは非準拠またはその両方を監視することができるコンピュータ化された診断ツール(例えばコンピュータ実施ソフトウェア)であると考えることができる。さまざまな態様において、このようなコンピュータ化された診断ツールは、コンピューティング資産のさまざまな非準拠制御にベースライン・ヘルスチェック・リスク・スコア(例えばCCSSスコア)を割り当てることができ、(例えば非準拠の大きさを考慮することができる)対応する弱点因子、(例えばコンピューティング資産の組込み(built-in)セキュリティ機構を考慮することができる)環境因子、(例えばコンピューティング資産の重要性レベルを考慮することができる)クリティカリティ因子、もしくは(例えば規定制御とベスト・プラクティスもしくは業界標準またはその両方との偏差を考慮することができる)成熟度因子、またはこれらの組合せに基づいて、このようなベースライン・ヘルスチェック・リスク・スコアを調整することができる。
【0017】
さまざまな実施形態において、このようなコンピュータ化された診断ツールは、ベースライン構成要素、弱点構成要素、環境構成要素、クリティカリティ構成要素もしくは成熟度構成要素、またはこれらの組合せを含むことができる。
【0018】
さまざまな態様において、コンピュータ化された診断ツールは、コンピューティング資産に関する状態情報を取得するために、コンピューティング資産を走査することができ、もしくはコンピューティング資産に問い合わせることができ、またはその両方を実行することができる。すなわち、コンピューティング資産の状態を決定するために、適当な任意の電子的走査、問合せもしくは情報検索技術、またはこれらの組合せを実施することができる。さまざまな例において、コンピューティング資産の状態は、規定制御によって支配されており、もしくは規定制御に従属しており、またはその両方であるコンピューティング資産の適当な任意の技術的特性もしくは属性またはその両方であることができる。例えば、コンピューティング資産の状態を、コンピューティング資産によって実施されるパスワードのエージとすることができ、規定制御はパスワードの最大エージを指定することができ;コンピューティング資産の状態を、コンピューティング資産によって実施されるパスワードの長さとすることができ、規定制御は最小パスワード長を指定することができ;コンピューティング資産の状態を、コンピューティング資産によって実施される許容し得るサインイン試行の回数とすることができ、規定制御は、許容し得るサインイン試行の最大回数を指定することができ;コンピューティング資産の状態を、コンピューティング資産によって実施される監査頻度とすることができ、規定制御は、最小監査頻度を指定することができ;ならびに/またはコンピューティング資産の状態を、コンピューティング資産によって維持されるデータベースの容量および/もしくはファイル数であることができ、規定制御は、最大容量および/もしくはファイル数を指定することができる。さまざまな態様において、コンピュータ化された診断ツールは、適当な任意の技術によって規定制御を学習することができる(例えば、規定制御を学習するために、電子的にアクセス可能な適当な任意のデータ源に問い合わせることができ、規定制御を既に有しているように、もしくは規定制御を既に知っているように、またはその両方が達せされるように予めプログラムすることができ、オペレータもしくは適当な任意の電子デバイスまたはその両方から規定制御を入力として受け取ることができる)。
【0019】
さまざまな例において、コンピュータ化された診断ツールのベースライン構成要素は、コンピューティング資産の状態および規定制御に基づいてベースライン・ヘルスチェック・リスク・スコアを生成することができる。さまざまなケースにおいて、CCSS技術などの適当な任意のリスク・スコアリング技術もしくはリスク数量化技術またはその両方を実施して、ベースライン・ヘルスチェック・リスク・スコアを生成することができる。さまざまな態様において、コンピュータ化された診断ツールの残りの構成要素は、ベースライン・ヘルスチェック・リスク・スコアをより正確にするために(例えばCCSS技術の上述の短所に対処するために)、ベースライン・ヘルスチェック・リスク・スコアを本明細書に記載されたとおりに調整することができる。
【0020】
さまざまな態様において、弱点構成要素は、コンピューティング資産もしくは規定制御またはその両方に対して、弱点因子と呼ばれるスカラー(scalar)を生成することができる。さまざまなケースにおいて、弱点因子の値を、コンピューティング資産の状態と規定制御との(例えば引き算によって計算された)差の関数とすることができる。上述のとおり、従来のヘルスチェック・リスク評価技術は、規定制御に準拠している場合には1つのリスク・スコアが割り当てられ、規定制御に準拠していない場合には異なるリスク・スコアが割り当てられるような態様で二者択一的に機能する。対照的に、弱点因子は、さまざまな態様において、非準拠の大きさもしくは重大度またはその両方に基づくことができる(例えば、コンピューティング資産の状態が規定制御の要件をどれくらい大きくもしくはどれくらいひどく満たしていないのか、またはどれくらい大きくかつどれくらいひどく満たしていないのかに基づくことができる)。コンピューティング資産の状態が規定制御に対してわずかに非準拠であるだけの場合(例えば、パスワードが単に1文字だけ短い場合、パスワードが単に1日だけ古い場合、データセンターの容量を1ファイルだけ超過している場合、もしくは1つだけ多くの実体に特権が与えられている場合、またはこれらの組合せである場合)には、弱点因子の値を、それに相応した(例えば低リスクを示す)小さな値にすることができる。他方で、規定制御に対するコンピューティング資産の状態の非準拠がより重大である場合(例えば、パスワードが数文字短い場合、パスワードが数週古い場合、データセンターの容量を数ファイル超過している場合、もしくは多くの実体に特権が与えられている場合、またはこれらの組合せである場合)には、弱点因子の値をそれに相応した(例えば高リスクを示す)大きな値にすることができる。さまざまなケースにおいて、弱点因子に基づいて、ベースライン・ヘルスチェック・リスク・スコアを数学的に調整すること(例えば大きくすること、もしくは小さくすること、またはその両方を実行すること)ができる。このようにすると、コンピュータ化された診断ツールは、規定制御に対するコンピューティング資産の非準拠の大きさを考慮することができる。本明細書で使用されるとき、用語「弱点因子」は、その値がコンピューティング資産が規定制御に対してどれくらい非準拠なのかに基づく、スカラー(例えば数)を意味し得る。言い換えると、コンピューティング資産の状態と規定制御との差を引き算によって計算することができ、弱点因子の値を、このような差に基づくものとすることができる。さまざまなケースにおいて、弱点因子の値を、このような差の適当な任意の数学的関数とすることができる(例えば、コンピューティング資産の状態と規定制御との差に適当な任意の数値演算を適用することによって弱点因子を計算することができる)。次いで、この弱点因子を使用して、ベースライン・ヘルスチェック・リスク・スコアを、本明細書に記載されているように(例えば図9に関して説明されているように)数学的に調整すること(例えば高くすること、もしくは低くすること、またはその両方を実行すること)ができる。
【0021】
さまざまな例において、弱点構成要素は、コンピューティング資産の状態の値および規定制御の値に基づいて弱点因子を生成もしくは計算すること、または生成および計算することができる。いくつかのケースでは、弱点構成要素が、弱点因子を生成/計算するために利用することができる訓練された機械学習モデルを含むことができる。さまざまな態様において、この訓練された機械学習モデルを、入力データの分類もしくはラベリングまたはその両方を実行するように訓練可能な(例えば教師あり学習、教師なし学習もしくは強化学習またはこれらの組合せによって訓練可能な)適当な任意のコンピュータ実施人工知能アルゴリズム(例えばニューラル・ネットワーク、線形回帰、ロジスティック回帰、ナイーヴ・ベイズ、サポート・ベクター・マシン、ランダム・フォレスト)とすることができる。さまざまなケースにおいて、弱点構成要素を、電子的にアクセス可能な適当な任意のデータ構造体から、規定制御のさまざまな技術的詳細を記述した1つまたは複数の制御文書(例えば自然言語文書)を電子的に受け取るように、もしくは取り出すように、またはその両方を実行するように構成することができる。このような制御文書は例えば、GitHub文書、開発/設計文書、ならびに/または規定制御の技術的属性/特性を記述しおよび/もしくは特徴付ける他の任意の同様の文書を含むことができる。さまざまなケースにおいて、規定制御を特徴付ける他の適当な任意の入力データを実施することができる。さまざまな例において、弱点構成要素は、(例えば適当な任意の単語埋め込み(word embedding)技術もしくは言語モデリング(languagemodeling)技術またはその両方を適用することによって)1つまたは複数の制御文書の数値表現(例えばベクトル、テンソル)を生成することができる。さまざまなケースにおいて、訓練された機械学習モデルは次いで、1つまたは複数の制御文書の数値表現を入力として受け取ることができ、規定制御に関連した分類もしくはラベルまたはその両方を出力として生成することができる。
【0022】
すぐ上の段落で説明したとおり、これらの制御文書は、(例えば人間が読むことができるテキストとして書かれた)自然言語文書とすることができる。しかしながら、弱点構成要素の機械学習モデルは普通、人間が読むことができるテキスト/散文を入力として受け取ることができない。その代わりに、制御文書の数値表現を生成する適当な任意の単語埋め込み技術を実施することができる。制御文書の「数値表現」は、制御文書の内容を表す、もしくは制御文書の内容に相関した、またはその両方である、ベクトル、テンソル、もしくは他の適当な任意の数値の集合体またはこれらの組合せとすることができる(例えば、単語埋め込みアルゴリズムは、人間が読むことができる単語もしくは文またはその両方に、そのような人間が読むことができる単語もしくは文またはその両方の文脈に基づいて数値を割り当てるように構成される)。弱点構成要素の機械学習モデルは次いでこの数値表現を受け取ることができ、本明細書に記載されたとおりに分類/ラベルを生成することができる。単語埋め込み技術は、所与の語彙の中の人間が読むことができる単語または句を適当な任意の次元を有する実数のベクトルもしくはテンソルまたはその両方にマップするように構成された自然言語処理アルゴリズムであることができる。より具体的には、単語埋め込みは、文書中で互いの近くに一般に現れる単語は類似の意味を有するという原理を利用する。したがって、単語埋め込みは、制御文書中の特定の語(もしくは句またはその両方)に、適当な任意の整数nについてn次元ベクトルを割り当てることができ、このn次元ベクトルの値は、その特定の語の近くに現れる残りの語に基づく。したがって、類似の語は類似のベクトルを有することがあり、したがって異なる語は異なるベクトルを有することがある。当業者には理解されることだが、訓練されたニューラル・ネットワークによって、もしくは入力された制御文書に対応する単語同時生起行列(word co-occurrence matrix)の次元縮退によって、またはその両方によって、単語埋め込み技術を容易にすることができる。これらは、単語埋め込み技術の単なる例であること、およびさまざまな実施形態において、適当な任意の単語埋め込み技術を実施することができることに留意されたい。単語埋め込み技術および単語埋め込み技術が生成する数値表現は当技術分野で知られており、単語埋め込み技術および単語埋め込み技術が生成する数値表現に関する追加の詳細を本明細書で説明する必要はない。
【0023】
さまざまな態様において、弱点構成要素の機械学習モデルによって生成された分類もしくはラベルまたはその両方は、規定制御が属する弱点カテゴリを、その規定制御を記述している1つまたは複数の制御文書に基づいて識別することができる。例えば、規定制御を、受動的弱点(passive weakness)、直接的能動的弱点(direct activeweakness)もしくは間接的能動的弱点(indirect active weakness)またはこれらの組合せに関係するものとして分類もしくはラベリングすること、または分類およびラベリングすることができる。さまざまなケースにおいて、例えば、規定制御に対する非準拠が、許可された動作をコンピューティング資産が実行することを攻撃者が妨げること(例えば、コンピューティング資産がセキュリティ監査を実行することを妨げること、コンピューティング資産が、コンピュータと人間を区別するための完全自動化された公開チューリング・テスト(Completely Automated Public Turing tests to tell Computers andHumans Apart)(CAPTCHAテスト)を実施することを妨げること、コンピューティング資産が、自動セキュリティ・プロトコルを開始することを妨げること、コンピューティング資産が、あるシステム・サービスまたはデーモンを実行することを妨げること)を可能にし得る場合に、その規定制御を、受動的弱点に関係するとすることができる(例えば受動的制御とすることができる)。受動的弱点は、攻撃者によって能動的に悪用されない可能性があるが、攻撃者の許可されていない動作の検出を妨げる可能性がある。さまざまな例において、例えば、規定制御に対する非準拠が、許可されていない動作を攻撃者が実行すること(例えば、機密/私用データにアクセスし、もしくは機密/私用データを読み、またはその両方を実行すること、機密/私用データのコピーをとること、機密/私用データを編集すること、マルウェアもしくはスパイウェアまたはその両方をアップロードもしくは格納し、またはアップロードおよび格納すること)を可能にし得る場合に、その規定制御を、能動的弱点に関係するとすることができる(例えば能動的制御とすることができる)。さまざまなケースにおいて、例えば、規定制御が能動的弱点に関係しており、かつ規定制御のエクスプロイト(exploit)が既に存在することが知られている場合に、その規定制御を、直接的能動的弱点に関係するとすることができる(例えば直接的能動的制御とすることができる)(例えば、知られているエクスプロイトが存在する古い脆弱性をコンピューティング資産に組み込むことは、攻撃者がコンピューティング資産を直ちに攻撃することを可能にする)。対照的に、例えば、規定制御が能動的弱点に関係しており、規定制御のエクスプロイトが既に存在していることが知られていない場合に、その規定制御を、間接的能動的弱点に関係するとすることができる(例えば間接的能動的制御とすることができる)(例えば、コンピューティング資産内で弱いパスワードを実施することは、攻撃者がコンピューティング資産を直ちに攻撃することを必ずしも可能にするわけではないが、利用する機会を攻撃者に提示し得る)。さまざまな態様において、訓練された機械学習モデルは、規定制御がどの弱点カテゴリに属するのかを決定することができ(例えば、規定制御が受動的制御なのか、直接的能動的制御なのかまたは間接的能動的制御なのかを判定することができ)、次いで、その弱点カテゴリに基づいて弱点因子を割り当てることができる。例えば、規定制御が受動的弱点カテゴリに属する場合、弱点因子は低い値を有することができる(例えば、受動的弱点は、非常に弱いというわけではないと考えることができる)。規定制御が直接的能動的弱点カテゴリに属する場合、弱点因子は高い値を有することができる(例えば、直接的能動的弱点は、容認できないほどに弱いと考えることができる)。規定制御が間接的能動的弱点カテゴリに属する場合、弱点因子は、非準拠の大きさに応じた値を有することができる(例えば、弱点因子の値は、コンピューティング資産の状態がどれくらい規定制御に違反しているのかに比例することができ、受動的弱点に関連した値を下限とすることができ、直接的能動的弱点に関連した値を上限とすることができる)。さまざまな実施形態において、他の適当な任意の弱点カテゴリを実施することができる。言い換えると、弱点構成要素は、規定制御の属性を記述した技術的ドキュメンテーションを受け取ることができ、訓練された機械学習モデルは、この技術的ドキュメンテーションに基づいて規定制御を弱点カテゴリに分類することができ、弱点因子の値は、異なる弱点カテゴリに対して異なることができ、一部の弱点カテゴリに対する弱点因子の値は、コンピューティング資産が規定制御に対してどれくらい非準拠であるかに基づくことができる。
【0024】
すぐ上の段落で説明したとおり、弱点構成要素の機械学習モデルは、規定制御の弱点カテゴリを決定することができ、次いで、決定された弱点カテゴリのタイプに基づいて弱点因子に値を割り当てることができる。上述の実施形態は受動的弱点、直接的能動的弱点および間接的能動的弱点だけに言及しているが、これらは単なる例であり、限定を意図したものではない。さまざまな実施形態において、他の適当な任意の弱点カテゴリを実施することができる。すぐ上の段落は、「受動的弱点」、「直接的能動的弱点」および「間接的能動的弱点」を定義している。1つまたは複数の実施形態では、受動的弱点(または受動的制御)の定義を、非準拠が、システムによる許可された動作(例えば自動セキュリティ監査)を攻撃者が妨げることを可能にする、弱点または制御とすることができる。1つまたは複数の実施形態では、能動的弱点(または能動的制御)の定義を、非準拠が、許可されていない動作(例えばデータの読取り/編集)を攻撃者が実行することを可能にする、弱点または制御とすることができる。1つまたは複数の実施形態では、「直接的能動的弱点」の定義を、それに対するエクスプロイト(例えばコンピュータ・バグまたは脆弱性を利用する悪意あるコンピュータ・ソフトウェア)が存在することが業界/分野で既に知られている(例えば直ちに悪用可能である)、能動的弱点とすることができる。いくつかの態様では、適当な任意の時点において存在することが業界/分野で知られているエクスプロイトのリストを有するように、弱点構成要素を予めプログラムすることができ、(もしくは、別の形で、そのようなエクスプロイトのリストへの適当な任意の形態のアクセスを有することができ、またはその両方とすることができる)。1つまたは複数の実施形態では、「間接的能動的弱点」の定義を、それに対するエクスプロイトが存在することが業界/分野でまだ知られていない(例えば必ずしも直ちに悪用可能ではない)、能動的弱点とすることができる。
【0025】
さまざまな例において、環境構成要素は、コンピューティング資産もしくは規定制御またはその両方に対して、環境因子と呼ばれるスカラーを生成することができる。さまざまなケースにおいて、環境因子の値を、セキュリティの脅威を警戒するためにコンピューティング資産によって実施されるさまざまなセキュリティ機構もしくはセキュリティ・プロトコルまたはその両方の関数とすることができる。例えば、コンピューティング資産が、進化したもしくは厳重な保護機構または進化しかつ厳重な保護機構(例えば、自動データ発見/分類ではなくデータ・マスキング/暗号化、異常検出ではなく異常防止/遮断、公衆アクセスではなく内部のみアクセス)を実施する場合には、環境因子の値を、それに相応した(例えば低リスクを示す)小さな値にすることができる。他方で、コンピューティング資産が、より進化していないもしくはより厳重でない保護機構またはより進化しておらずかつより厳重でない保護機構(例えば、データ・マスキング/暗号化ではなく自動データ発見/分類、異常防止/遮断ではなく単なる異常検出、内部のみアクセスではなく公衆アクセス)を実施する場合には、環境因子の値を、それに相応した(例えば高リスクを示す)大きな値にすることができる。さまざまなケースにおいて、環境因子に基づいて、ベースライン・ヘルスチェック・リスク・スコアを数学的に調整すること(例えば大きくすること、もしくは小さくすること、またはその両方を実行すること)ができる。このようにすると、コンピュータ化された診断ツールは、コンピューティング資産を本質的にセキュリティ攻撃を受けにくくすることができるコンピューティング資産の組込みセキュリティ機構を考慮することができる。本明細書で使用されるとき、用語「環境因子」は、その値がコンピューティング資産の属性に基づく(例えば、コンピューティング資産によっていくつのセキュリティ機構が実施されるのか、もしくはコンピューティング資産によってどのタイプのセキュリティ機構が実施されるのか、またはその両方に基づく)、スカラー(例えば数)を意味し得る。さまざまなケースにおいて、環境因子の値を、コンピューティング資産のこのような属性の適当な任意の数学的関数とすることができる。次いで、この環境因子を使用して、ベースライン・ヘルスチェック・リスク・スコアを、本明細書に記載されているように(例えば図9に関して説明されているように)数学的に調整すること(例えば高くすること、もしくは低くすること、またはその両方を実行すること)ができる。
【0026】
さまざまな例において、環境構成要素は、コンピューティング資産によって実施されるさまざまなセキュリティ/プライバシー・ポリシーに基づいて環境因子を生成もしくは計算すること、または生成および計算することができる。いくつかのケースでは、環境構成要素が、環境因子を生成/計算するために利用することができる訓練された機械学習モデルを含むことができる。上述のとおり、この訓練された機械学習モデルを、入力データの分類もしくはラベリングまたはその両方を実行するように訓練可能な適当な任意のコンピュータ実施人工知能アルゴリズムとすることができる。さまざまなケースにおいて、環境構成要素を、電子的にアクセス可能な適当な任意のデータ構造体から、コンピューティング資産のさまざまな技術的詳細を記述した1つまたは複数の資産文書(例えば自然言語文書)を電子的に受け取るように、もしくは取り出すように、またはその両方を実行するように構成することができる。このような資産文書は例えば、GitHub文書、開発/設計文書、ならびに/またはコンピューティング資産の技術的属性/特性を記述しおよび/もしくは特徴付ける他の任意の同様の文書を含むことができる。さまざまなケースにおいて、コンピューティング資産の技術的属性を特徴付ける他の適当な任意の入力データを実施することができる。弱点構成要素と同様に、環境構成要素は、(例えば単語埋め込みもしくは言語モデリングまたはその両方によって)1つまたは複数の資産文書の数値表現(例えばベクトル、テンソル)を生成することができる。さまざまなケースにおいて、環境構成要素の訓練された機械学習モデルは次いで、1つまたは複数の資産文書の数値表現を入力として受け取ることができ、コンピューティング資産に関連したさまざまな決定を出力として生成することができる。
【0027】
すぐ上の段落で説明したとおり、これらの資産文書は、(例えば人間が読むことができるテキストとして書かれた)自然言語文書とすることができる。しかしながら、環境構成要素の機械学習モデルは普通、人間が読むことができるテキスト/散文を入力として受け取ることができない。その代わりに、資産文書の数値表現を生成する適当な任意の単語埋め込み技術を実施することができる。資産文書の「数値表現」は、資産文書の内容を表す、もしくは資産文書の内容に相関した、またはその両方である、ベクトル、テンソル、もしくは他の適当な任意の数値の集合体またはこれらの組合せとすることができる(例えば、単語埋め込みアルゴリズムは、人間が読むことができる単語もしくは文またはその両方に、そのような人間が読むことができる単語もしくは文またはその両方の文脈に基づいて数値を割り当てるように構成される)。環境構成要素の機械学習モデルは次いでこの数値表現を受け取ることができ、本明細書に記載されたとおりにさまざまな決定を生成することができる。単語埋め込み技術は、所与の語彙の中の人間が読むことができる単語または句を適当な任意の次元を有する実数のベクトルもしくはテンソルまたはその両方にマップするように構成された自然言語処理アルゴリズムであることができる。より具体的には、単語埋め込みは、文書中で互いの近くに一般に現れる単語は類似の意味を有するという原理を利用する。したがって、単語埋め込みは、資産文書中の特定の語(もしくは句またはその両方)に、適当な任意の整数nについてn次元ベクトルを割り当てることができ、このn次元ベクトルの値は、その特定の語の近くに現れる残りの語に基づく。したがって、類似の語は類似のベクトルを有することがあり、したがって異なる語は異なるベクトルを有することがある。当業者には理解されることだが、訓練されたニューラル・ネットワークによって、もしくは入力された資産文書に対応する単語同時生起行列の次元縮退によって、またはその両方によって、単語埋め込み技術を容易にすることができる。これらは、単語埋め込み技術の単なる例であること、およびさまざまな実施形態において、適当な任意の単語埋め込み技術を実施することができることに留意されたい。単語埋め込み技術および単語埋め込み技術が生成する数値表現は当技術分野で知られており、単語埋め込み技術および単語埋め込み技術が生成する数値表現に関する追加の詳細を本明細書で説明する必要はない。
【0028】
さまざまな態様において、環境構成要素の機械学習モデルのこれらの決定は、コンピューティング資産のさまざまな技術的態様もしくは技術的属性またはその両方を、そのコンピューティング資産を記述している1つまたは複数の資産文書に基づいて識別することができる。いくつかのケースでは、これらの決定が、コンピューティング資産によって実施されるアクセス・プロトコルのタイプを識別することができる(例えば、コンピューティング資産が、内部のみアクセス可能である(より危険でない)のか、またはコンピューティング資産が公衆からアクセス可能である(より危険)のかを判定することができる)。いくつかのケースでは、これらの決定が、コンピューティング資産によって実施される変更パラダイム(modification paradigm)のタイプを識別することができる(例えば、コンピューティング資産が不変(immutable)である(より危険でない)のか、またはコンピューティング資産が易変(mutable)/一過性(ephemeral)である(より危険)のかを判定することができる)。いくつかのケースでは、これらの決定が、コンピューティング資産によって実施されるインスタンシエーション(instantiation)・パラダイムのタイプを識別することができる(例えば、コンピューティング資産が孤立している(より危険でない)のか、またはコンピューティング資産がマルチテナンシー(multi-tenancy)として構成されている(より危険)のかを判定することができる)。いくつかのケースでは、これらの決定が、コンピューティング資産に関連したサービス利用可能性のタイプを識別することができる(例えば、サービスもしくは保守またはその両方が、コンピューティング資産に対して依然として利用可能である(より危険でない)のか、あるいはサービス/保守がコンピューティング資産に対してもはや利用可能でない(より危険)のか)。いくつかのケースでは、これらの決定が、コンピューティング資産によって実施されるデータ保護プロトコルを識別することができる(例えば、コンピューティング資産が、サインインした実体(signed-in entity)に対してさえもデータ・マスキング/暗号化を自動的に実施する(より危険でない)のか、またはコンピューティング資産が、サインインした実体に対してデータ発見/分類を自動的に実施する(より危険)のかを判定することができる)。いくつかのケースでは、これらの決定が、コンピューティング資産によって実施される準拠実施(compliance enforcement)のタイプを識別することができる(例えば、制御が定期的に検査され、修復される(より危険でない)のか、または制御が単に定期的に検査されるだけである(より危険な)のかを判定することができる)。いくつかのケースでは、これらの決定が、コンピューティング資産によって実施される異常検出のタイプを識別することができる(例えば、コンピューティング資産が、普通でない振る舞いを自動的に防ぎもしくは妨げ、または防ぎかつ妨げる(より危険でない)のか、あるいはコンピューティング資産が、普通でない振る舞いが検出されときに通知するだけである(より危険な)のかを判定することができる)。いくつかのケースでは、これらの決定が、コンピューティング資産の他の適当な任意の特性を識別することができる。さまざまなケースにおいて、環境構成要素の訓練された機械学習モデルは、これらの決定に基づいて環境因子に値を割り当てることができる。具体的には、コンピューティング資産が、より厳重なもしくはより進化したセキュリティ機構またはより厳重でかつより進化したセキュリティ機構を含むと訓練された機械学習分類器(machine learning classifier)が判定したときには、環境因子をより低くすることができる(例えば、このようなケースでは、そのコンピューティング資産を、規定制御に対する非準拠にもかかわらず悪用に対してより抵抗する硬化したターゲット(hardened target)とみなすことができ、したがってそのコンピューティング資産はより低いセキュリティ・リスクをもたらし得る)。他方で、コンピューティング資産が、より厳重でないもしくはより進化していないセキュリティ機構またはより厳重でなくかつより進化していないセキュリティ機構を含むと訓練された機械学習分類器が判定したときには、環境因子をより高くすることができる(例えば、このようなケースでは、そのコンピューティング資産を、悪用に対する抵抗性がより小さい軟化したターゲット(softened target)とみなすことができ、したがってそのコンピューティング資産は、非準拠制御の存在下で特に危険にさらされているとみなすことができる)。言い換えると、環境構成要素は、コンピューティング資産の属性を記述した技術的ドキュメンテーションを受け取ることができ、環境構成要素の訓練された機械学習モデルは、この技術的ドキュメンテーションに基づいて、そのコンピューティング資産によってどのセキュリティ機構が実施されるかを判定することができ、環境因子の値は、このようなセキュリティ機構/プロトコルに基づくことができる。
【0029】
さまざまな例において、クリティカリティ構成要素は、コンピューティング資産もしくは規定制御またはその両方に対して、クリティカリティ因子と呼ばれるスカラーを生成することができる。さまざまなケースにおいて、クリティカリティ因子の値を、コンピューティング資産を所有もしくは運用するまたは所有および運用する実体にとってのコンピューティング資産の重要性レベルの関数とすることができる。例えば、コンピューティング資産が、コンピューティング資産を所有/運用する実体にとって非常に重要である(例えば、金融機関は、顧客口座にもしくは顧客口座から資金を電子的に移すコンピューティング・アプリケーション、または顧客口座におよび顧客口座から資金を電子的に移すコンピューティング・アプリケーションを有することがあり、このようなコンピューティング・アプリケーションが、金融機関にとってクリティカルに(critically)重要である)場合には、クリティカリティ因子の値を、それに相応した(例えば高リスクを示す)大きな値にすることができる。他方で、コンピューティング資産が、コンピューティング資産を所有/運用する実体にとってより重要でない(例えば、金融機関は、広告もしくはアウトリーチまたはその両方に専用のウェブサイトを有することあり、そのウェブサイトが、その金融機関にとってクリティカルに重要というほどでもない)場合には、クリティカリティ因子の値を、それに相応した(例えば低リスクを示す)小さな値にすることができる。さまざまなケースにおいて、クリティカリティ因子に基づいて、ベースライン・ヘルスチェック・リスク・スコアを数学的に調整すること(例えば大きくすること、もしくは小さくすること、またはその両方を実行すること)ができる。このようにすると、コンピュータ化された診断ツールは、コンピューティング資産を所有/運用する実体にとってコンピューティング資産がどれくらい重要であるのかを考慮することができる。本明細書で使用されるとき、用語「クリティカリティ因子」は、その値がコンピューティング資産の重要性レベルに基づく、スカラー(例えば数)を意味し得る。さまざまなケースにおいて、クリティカリティ因子の値を、コンピューティング資産のこのような重要性レベルの適当な任意の数学的関数とすることができる(例えば、クリティカリティ因子は、適当な任意の数値演算をコンピューティング資産の重要性レベルに適用することによって計算することができる)。次いで、このクリティカリティ因子を使用して、ベースライン・ヘルスチェック・リスク・スコアを、本明細書に記載されているように(例えば図9に関して説明されているように)数学的に調整すること(例えば高くすること、もしくは低くすること、またはその両方を実行すること)ができる。
【0030】
さまざまな例において、クリティカリティ構成要素は、コンピューティング資産を所有/運用する実体が受け取った電子的入力に基づいてクリティカリティ因子を生成もしくは計算すること、または生成および計算することができる。他のケースでは、クリティカリティ構成要素が、クリティカリティ因子を生成/計算するために利用することができる訓練された機械学習モデルを含むことができる。上述のとおり、この訓練された機械学習モデルを、入力データの分類もしくはラベリングまたはその両方を実行するように訓練可能な適当な任意のコンピュータ実施人工知能アルゴリズムとすることができる。さまざまなケースにおいて、クリティカリティ構成要素を、電子的にアクセス可能な適当な任意のデータ構造体から、コンピューティング資産のさまざまな詳細、もしくはコンピューティング資産を所有/運用する実体のさまざまな目標/目的、またはその両方を記述した1つまたは複数の文書(例えば自然言語文書)を電子的に受け取るように、もしくは取り出すように、またはその両方を実行するように構成することができる。このような文書は例えば、広告、事業計画/プレゼンテーション、ミッション・ステートメント、非技術的説明、ならびに/またはコンピューティング資産を所有/運用する実体の目標を記述した/特徴付けた他の任意の類似の文書、および/もしくはコンピューティング資産を所有/運用する実体によってコンピューティング資産がどのように利用されるのかを記述した/特徴付けた他の任意の類似の文書を含むことができる。さまざまなケースにおいて、コンピューティング資産、もしくはコンピューティング資産を所有/運用する実体の目標/活動、またはその両方を特徴付ける他の適当な任意の入力データを実施することができる。弱点構成要素もしくは環境構成要素またはその両方と同様に、クリティカリティ構成要素は、(例えば単語埋め込みもしくは言語モデリングまたはその両方によって)1つまたは複数の文書の数値表現(例えばベクトル、テンソル)を生成することができる。さまざまなケースにおいて、クリティカリティ構成要素の訓練された機械学習モデルは次いで、1つまたは複数の文書の数値表現を入力として受け取ることができ、コンピューティング資産に関連した分類もしくはラベルまたはその両方を出力として生成することができる。さまざまな態様において、分類もしくはラベルまたはその両方は、コンピューティング資産を所有/運用する実体にとってそのコンピューティング資産がどのくらい重要なのかを識別することができる(例えば、実体の商業活動もしくは目的/目標またはその両方にとってそのコンピューティング資産がどのくらいクリティカルなのかを識別することができる)。例えば、分類および/もしくはラベルは、クリティカルでないことがあり(例えば、コンピューティング資産が、コンピューティング資産を所有/運用する実体の活動/目標の信じられないほど重要な態様ではないことを示すことがあり)、分類および/もしくはラベルは、クリティカルであることがあり(例えば、コンピューティング資産が、コンピューティング資産を所有/運用する実体の活動/目標の重要な態様であることを示すことがあり)、ならびに/または分類および/もしくはラベルは、超クリティカル(hyper-critical)であることがある(例えば、コンピューティング資産が、コンピューティング資産を所有/運用する実体の活動/目標の信じられないほど重要な態様であることを示すことがある)。
【0031】
すぐ上の段落で説明したとおり、これらの文書は、(例えば人間が読むことができるテキストとして書かれた)自然言語文書とすることができる。しかしながら、クリティカリティ構成要素の機械学習モデルは普通、人間が読むことができるテキスト/散文を入力として受け取ることができない。その代わりに、文書の数値表現を生成する適当な任意の単語埋め込み技術を実施することができる。文書の「数値表現」は、文書の内容を表す、もしくは文書の内容に相関した、またはその両方である、ベクトル、テンソル、もしくは他の適当な任意の数値の集合体またはこれらの組合せとすることができる(例えば、単語埋め込みアルゴリズムは、人間が読むことができる単語もしくは文またはその両方に、そのような人間が読むことができる単語もしくは文またはその両方の文脈に基づいて数値を割り当てるように構成される)。クリティカリティ構成要素の機械学習モデルは次いで数値表現を受け取ることができ、本明細書に記載されたとおりに分類/ラベルを生成することができる。単語埋め込み技術は、所与の語彙の中の人間が読むことができる単語または句を適当な任意の次元を有する実数のベクトルもしくはテンソルまたはその両方にマップするように構成された自然言語処理アルゴリズムであることができる。より具体的には、単語埋め込みは、文書中で互いの近くに一般に現れる単語は類似の意味を有するという原理を利用する。したがって、単語埋め込みは、文書中の特定の語(もしくは句またはその両方)に、適当な任意の整数nについてn次元ベクトルを割り当てることができ、このn次元ベクトルの値は、その特定の語の近くに現れる残りの語に基づく。したがって、類似の語は類似のベクトルを有することがあり、したがって異なる語は異なるベクトルを有することがある。当業者には理解されることだが、訓練されたニューラル・ネットワークによって、もしくは入力された文書に対応する単語同時生起行列の次元縮退によって、またはその両方によって、単語埋め込み技術を容易にすることができる。これらは、単語埋め込み技術の単なる例であること、およびさまざまな実施形態において、適当な任意の単語埋め込み技術を実施することができることに留意されたい。単語埋め込み技術および単語埋め込み技術が生成する数値表現は当技術分野で知られており、単語埋め込み技術および単語埋め込み技術が生成する数値表現に関する追加の詳細を本明細書で説明する必要はない。
【0032】
さまざまなケースにおいて、クリティカリティ構成要素の訓練された機械学習モデルは、分類もしくはラベルまたはその両方に基づいてクリティカリティ因子に値を割り当てることができる。具体的には、コンピューティング資産がクリティカルではない(例えば、コンピューティング資産があまり重要でないため、規定制御に対する非準拠は低セキュリティ・リスクをもたらし得る)と訓練された機械学習分類器が判定したときには、クリティカリティ因子を低くすることができ、コンピューティング資産がクリティカルである(例えば、コンピューティング資産は重要であるため、規定制御に対する非準拠は中程度のセキュリティ・リスクをもたらし得る)と訓練された機械学習分類器が判定したときには、クリティカリティ因子をより高くすることができ、コンピューティング資産が超クリティカルである(例えば、コンピューティング資産は非常に重要であるため、規定制御に対する非準拠は高セキュリティ・リスクをもたらし得る)と訓練された機械学習分類器が判定したときには、クリティカリティ因子を最も高くすることができる。言い換えると、クリティカリティ構成要素は、コンピューティング資産の属性を記述したドキュメンテーション、もしくはコンピューティング資産を所有/運用する実体の目標/目的を記述したドキュメンテーション、またはその両方を記述したドキュメンテーションを受け取ることができ、クリティカリティ構成要素の訓練された機械学習モデルは、このドキュメンテーションに基づいて、そのコンピューティング資産に割り当てる重要性レベルもしくはクリティカリティまたはその両方を決定することができ、クリティカリティ因子の値は、このような重要性レベルもしくはクリティカリティまたはその両方に基づくことができる。
【0033】
さまざまな例において、成熟度構成要素は、コンピューティング資産もしくは規定制御またはその両方に対して、成熟度因子と呼ばれるスカラーを生成することができる。さまざまなケースにおいて、成熟度因子の値を、規定制御と業界標準/ベスト・プラクティスとの(例えば引き算によって計算された)差もしくは偏差またはその両方の関数とすることができる。例えば、コンピューティング資産を所有/運用する実体は、そのコンピューティング資産に対して推奨される業界標準もしくはベスト・プラクティスまたはその両方よりも緩やかでありもしくは厳格でなく、または緩やかでありかつ厳格でない規定制御を確立することがある。このようなケースでは、コンピューティング資産を所有/運用する実体を、サイバー・セキュリティの観点からより成熟していないと考えることができる。したがって、規定制御が、業界標準もしくは推奨またはその両方よりも緩やかであり、もしくはセキュアでなく、または緩やかでありかつセキュアでないために、さまざまな態様において、コンピューティング資産が規定制御に準拠しており、それにもかかわらずセキュリティ・リスクをもたらすことがあり得る。さらに、規定制御が、業界標準もしくは推奨またはその両方よりも緩やかであり、もしくはセキュアでなく、または緩やかでありかつセキュアでないために、コンピューティング資産が、規定制御に対してわずかに準拠していないだけであり、それにもかかわらずかなりのセキュリティ・リスクをもたらすこともあり得る。一例として、規定制御は、コンピューティング資産内のパスワードは少なくとも4文字長であることを指定していると仮定し、業界標準もしくは業界ベスト・プラクティスまたはその両方は、それよりも、このようなコンピューティング資産内のパスワードが少なくとも10文字長であることを指定していると仮定する。このようなケースでは、6文字長のパスワードは規定制御に準拠しているとみなされるが、規定制御が業界標準よりもはるかに厳格でないため(例えば4文字パスワードは10文字パスワードよりも本質的にセキュアでない)、このパスワードは依然としてセキュリティ脅威をもたらし得る。さらに、コンピューティング資産のパスワードの長さが3文字だけである場合、このパスワードは、規定制御に対してわずかに非準拠であるだけであると考えることができる。それにもかかわらず、規定制御が業界標準よりもはるかに厳格でないため、このような3文字パスワードはかなりのセキュリティ脅威をもたらし得る。したがって、さまざまな実施形態において、成熟度構成要素は、推奨制御、ベスト・プラクティスもしくは業界標準またはこれらの組合せとの比較で規定制御がどれくらい異なるのかに基づいて成熟度因子の値を生成することができる。さまざまなケースにおいて、成熟度因子に基づいて、ベースライン・ヘルスチェック・リスク・スコアを数学的に調整すること(例えば大きくすること、もしくは小さくすること、またはその両方を実行すること)ができる。このようにすると、コンピュータ化された診断ツールは、サイバー・セキュリティの意味で、コンピューティング資産を所有/運用する実体がどれくらい成熟しているのかを考慮することができる。本明細書で使用されるとき、用語「成熟度因子」は、その値が規定制御と推奨制御(例えばベスト・プラクティス)との(例えば引き算によって計算された)差に基づく、スカラー(例えば数)を意味し得る。さまざまなケースにおいて、成熟度因子の値を、このような差の適当な任意の数学的関数とすることができる(例えば、成熟度因子は、適当な任意の数値演算を規定制御と推奨制御との差に適用することによって計算することができる)。次いで、この成熟度因子を使用して、ベースライン・ヘルスチェック・リスク・スコアを、本明細書に記載されているように(例えば図9に関して説明されているように)数学的に調整すること(例えば高くすること、もしくは低くすること、またはその両方を実行すること)ができる。
【0034】
さまざまな例において、成熟度構成要素は、コンピューティング資産を所有/運用する実体が受け取った電子的入力に基づいて成熟度因子を生成もしくは計算すること、または生成および計算することができる。他のケースでは、規定制御に関連したベスト・プラクティス、業界標準もしくは業界推奨またはこれらの組合せを学習するために、成熟度構成要素が、成熟度構成要素に電子的にアクセス可能な適当な任意のデータ構造体に問い合わせることができる。そのような場合、成熟度構成要素は次いで、ベスト・プラクティス、業界標準もしくは業界推奨またはこれらの組合せに比べて、規定制御がどれくらい緩やかなのか、もしくはどれくらい厳格でない/セキュアでないのか、またはその両方を判定するために、ベスト・プラクティス、業界標準もしくは業界推奨またはこれらの組合せによって指定された取り出された値を、規定制御によって指定された値と比較することができる。さまざまなケースにおいて、これに依って成熟度因子の値を設定することができる。具体的には、規定制御が推奨制御と一貫している(例えば推奨制御の所定のマージン内にある)と成熟度構成要素が判定した場合には、成熟度因子を低くすることができ、規定制御が推奨制御よりも厳格であると成熟度構成要素が判定した場合には、成熟度因子をよりいっそう低くすることができ、規定制御が推奨制御よりも特定の割合だけ緩やかでありもしくは厳格でなく、または緩やかでありかつ厳格でないと成熟度構成要素が判定した場合には、成熟度因子を高くすることができ、規定制御が推奨制御よりもよりいっそう大きな割合だけ緩やかでありもしくは厳格でなく、または緩やかでありかつ厳格でないと成熟度構成要素が判定した場合には、成熟度因子をよりいっそう高くすることができる。言い換えると、成熟度構成要素に、コンピューティング資産に関係した推奨制御を知らせることができ、成熟度構成要素は、規定制御と推奨制御との差もしくは偏差またはその両方を決定することができ、成熟度因子の値は、このようなレベル差もしくは偏差またはその両方に基づくことができる。
【0035】
上で説明したとおり、コンピュータ化された診断ツールは、コンピューティング資産の状態および規定制御に基づいて、ベースライン・ヘルスチェック・リスク・スコア、弱点因子、環境因子、クリティカリティ因子もしくは成熟度因子、またはこれらの組合せを生成することができる。さまざまなケースにおいて、コンピュータ化された診断ツールは、弱点因子、環境因子、クリティカリティ因子もしくは成熟度因子、またはこれらの組合せに基づいてベースライン・ヘルスチェック・リスク・スコアを調整することができる。いくつかのケースでは、コンピュータ化された診断ツールが、ベースライン・ヘルスチェック・リスク・スコアに環境因子を乗じて第1の積を与えることができ、第1の積に弱点因子を加えて第1の和を与えることができ、クリティカリティ因子に第1の和を乗じて第2の積を与えることができ、成熟度因子に第2の積を乗じて、規定制御に基づくコンピューティング資産の調整されたヘルスチェック・リスク・スコアを与えることができる。これは、ベースライン・ヘルスチェック・リスク・スコア、弱点因子、環境因子、クリティカリティ因子もしくは成熟度因子またはこれらの組合せに基づいて、コンピューティング資産の調整されたヘルスチェック・リスク・スコアをどのように計算することができるのかを示す単なる一例である。他のケースでは、コンピューティング資産の調整されたヘルスチェック・リスク・スコアを計算するために、ベースライン・ヘルスチェック・リスク・スコア、弱点因子、環境因子、クリティカリティ因子もしくは成熟度因子またはこれらの組合せに対して、他の適当な任意の式、公式もしくは数値演算またはこれらの組合せを実行することができる(例えば、環境因子を乗じるのではなく環境因子を加えることができ、弱点因子を加えるのではなく弱点因子を乗じることができ、クリティカリティ因子を乗じるのではなくクリティカリティ因子を加えることができ、成熟度因子を乗じるのではなく成熟度因子を加えることができる)。さまざまなケースにおいて、調整されたヘルスチェック・リスク・スコアは、コンピューティング資産に関連した、規定制御に対するコンピューティング資産の非準拠に起因する、セキュリティ・リスク・レベルを数量化することができる。上で説明したとおり、(例えばコンピューティング資産の非準拠の大きさを考慮することができる)弱点因子、(例えばコンピューティング資産の組込みセキュリティ機構を考慮することができる)環境因子、(例えばコンピューティング資産の重要性レベルを考慮することができる)クリティカリティ因子、および(例えば規定制御とベスト・プラクティスとの差を考慮することができる)成熟度因子によって、調整されたヘルスチェック・リスク・スコアは、(例えばCCSS技術によって生成された)ベースライン・ヘルスチェック・リスク・スコアよりも正確であることができる。
【0036】
さまざまな例において、単一のコンピューティング資産は、多くの異なる規定制御に従属することがあり、もしくは多くの異なる規定制御によって支配されることがあり、またはその両方であることがある。そのため、さまざまな実施形態において、コンピュータ化された診断ツールは、単一のコンピューティング資産を支配する多くの異なる規定制御に基づいて、単一のコンピューティング資産に対して多くの異なる調整されたヘルスチェック・リスク・スコア(例えば、コンピューティング資産を支配している規定制御ごとに1つの調整されたヘルスチェック・リスク・スコア)を生成することができる。さまざまなケースにおいて、コンピュータ化された診断ツールは集約構成要素を含むことができ、この集約構成要素は、これらの多くの異なる調整されたヘルスチェック・リスク・スコアを(例えば重み付き平均(weighted average)もしくは最大値関数(max-function)またはその両方によって)一緒に集約することができ、それによってコンピューティング資産の調整され集約されたヘルスチェック・リスク・スコア(例えば、コンピューティング資産を支配している多くの異なる全ての規定制御にわたって集約された、コンピューティング資産の1つのスコア)を与えることができる。同様に、コンピューティング・システムは、多くの異なるコンピューティング資産から構成され得る。そのため、集約構成要素は、コンピューティング資産ごとに、調整され集約されたヘルスチェック・リスク・スコアを生成することができ、それらを(例えば重み付き平均もしくは最大値関数またはその両方によって)一緒に集約することができ、それによって、コンピューティング・システム全体の最終的な調整されたヘルスチェック・リスク・スコアを与えることができる。このようにすると、コンピュータ化された診断ツールは、コンピューティング・システムに関連したリスク・レベルを数量化することができ、コンピューティング・システムのそれぞれのコンピューティング資産の別個のリスク・レベルを数量化することができ、もしくはコンピューティング・システムのそれぞれのコンピューティング資産のそれぞれの規定制御に対するよりいっそう高い粒度のリスク・レベルを数量化することができ、またはこれらの組合せを実行することができる。したがって、コンピューティング資産間のトリアージ、もしくは単一のコンピューティング資産の規定制御間のトリアージ、またはその両方を正確に実行することができる。
【0037】
さまざまな態様において、コンピュータ化された診断ツールは、生成された調整されたヘルスチェック・リスク・スコアに基づいて、適当な任意の電子通知もしくは警報またはその両方を生成することができる(例えば、コンピューティング資産を所有/運用する実体に、調整されたヘルスチェック・リスク・スコアを知らせること、もしく警告すること、またはその両方を実行することができ、調整されたヘルスチェック・リスク・スコアを電子スクリーン/モニタ上に表示することができる)。さまざまな例において、コンピュータ化された診断ツールは、調整されたヘルスチェック・リスク・スコアに基づいて適当な任意の形態の修復動作をとることができる(例えば、調整されたヘルスチェック・リスク・スコアが所定のしきい値よりも大きい非準拠制御が修正されるまで、コンピューティング資産を自動的にロックもしくは遮断またはロックおよび遮断することができ、調整されたヘルスチェック・リスク・スコアが所定のしきい値よりも大きい非準拠制御を修正するために、コンピューティング資産のサービス/保守を自動的にスケジューリングすることができ、もしくはコンピューティング資産のサービス/保守を自動的に達成することができ、またはその両方を実行することができる)。
【0038】
ハードウェアもしくはソフトウェアまたはその両方を使用して、(例えばコンピューティング資産の自動ヘルスチェック・リスク評価を容易にするのに)その性質において高度に技術的であり、抽象的ではなく、人間による一組の頭脳行為として実行することができない課題を解決するために、本発明のさまざまな実施形態を使用することができる。さらに、実行するプロセス(例えば、プロセッサに動作可能に結合されたデバイスによって、規定制御に対するコンピューティング資産の非準拠に対応するベースライン・ヘルスチェック・リスク・スコアを生成するプロセス、このデバイスによって、規定制御の弱点因子に基づいてベースライン・ヘルスチェック・リスク・スコアを調整するプロセスであり、弱点因子が、コンピューティング資産の状態が規定制御から逸脱している大きさに基づく、プロセス、このデバイスによって、コンピューティング資産の環境因子に基づいてベースライン・ヘルスチェック・リスク・スコアを調整するプロセスであり、環境因子が、コンピューティング資産に関連したセキュリティ機構またはセキュリティ・プロトコルに基づく、プロセス、このデバイスによって、コンピューティング資産のクリティカリティ因子に基づいてベースライン・ヘルスチェック・リスク・スコアを調整するプロセスであり、クリティカリティ因子が、コンピューティング資産に関連した重要性レベルに基づく、プロセス、およびこのデバイスによって、コンピューティング資産の成熟度因子に基づいてベースライン・ヘルスチェック・リスク・スコアを調整するプロセスであり、成熟度因子が、規定制御と推奨制御との差に基づく、プロセス)の一部を専用コンピュータによって実行することができる。定義されたこのようなタスクは通常、人間によって手動では実行されない。さらに、人間の知性も、またはペンおよび紙を持った人間も、状態情報に関してコンピューティング資産を走査することもしくはコンピューティング資産に問い合わせること、またはその両方を実行することはできず、状態情報および規定制御に基づいて、コンピューティング資産のベースライン・ヘルスチェック・リスク・スコアを生成することはできず、コンピューティング資産の弱点因子、環境因子、クリティカリティ因子もしくは成熟度因子またはこれらの組合せを生成することはできず、弱点因子、環境因子、クリティカリティ因子もしくは成熟度因子またはこれらの組合せに基づいてベースライン・ヘルスチェック・リスク・スコアを調整することはできない。さらに、本明細書で説明されているとおり、本発明のさまざまな実施形態は、機械学習モデルを利用して、このような生成もしくは調整またはその両方を助けることができ、人間の知性も、またはペンおよび紙を持った人間も、機械学習モデルを電子的に実行することはできない。その代わりに、本発明のさまざまな実施形態は、コンピュータ技術に本質的におよび密接不可分に結びつけられており、本発明のさまざまな実施形態をコンピューティング環境の外側で実施することはできない(例えば、コンピューティング資産は、コンピューティング・システムの外側では存在し得ない本質的にコンピュータ化されたデバイスであり、同様に、規定制御に対する準拠に関してコンピューティング資産を自動的に監視するコンピュータ化された診断ツールも、やはりコンピューティング・システムの外側では存在し得ない本質的にコンピュータ化されたデバイスである)。
【0039】
さまざまな例において、本発明の実施形態は、コンピューティング資産の自動ヘルスチェック・リスク評価に関する開示された教示を実用的用途に統合することができる。実際に、本明細書に記載されているように、システムもしくはコンピュータ実施方法またはその両方の形態をとることができる本発明のさまざまな実施形態を、コンピューティング資産の制御情報を評価し、このような制御情報に基づいて、コンピューティング資産に調整されたヘルスチェック・リスク・スコアを割り当てるコンピュータ化された診断ツールとみなすことができる。より具体的には、本発明の実施形態は、コンピューティング資産にヘルスチェック・リスク・スコアを割り当てることができ、このヘルスチェック・リスク・スコアは、コンピューティング資産がどれくらいのセキュリティ脅威をもたらすかを数量化する。このような数量化がコンピュータの有用で実用的な用途であることに疑いはない。これは少なくとも、このような数量化が、異なるコンピューティング資産および/もしくは単一のコンピューティング資産の異なる非準拠制御をオペレータがトリアージすることを可能にし、ならびに/または異なるコンピューティング資産および/もしくは単一のコンピューティング資産の異なる非準拠制御にオペレータが優先順位をつけることを可能にするためである(例えば、このようなヘルスチェック・リスク・スコアがなければ、オペレータは、最初にどの非準拠制御に対処し/どの非準拠制御を修復すべきかが分からないであろう)。さらに、上述のとおり、このようなヘルスチェック・リスク・スコアを割り当てるための従来の技術は、非準拠の大きさ、所与のコンピューティング資産のクリティカリティ、および規定制御と業界標準/ベスト・プラクティスとの偏差を完全に無視する。本明細書で説明されているとおり、本発明のさまざまな実施形態は、弱点因子、環境因子、クリティカリティ因子もしくは成熟度因子またはこれらの組合せによってこれらの短所に対処することができ、その結果、本発明の実施形態によって生成された調整されたベースライン・ヘルスチェック・リスク・スコアは、従来の手法で生成されたベースライン・ヘルスチェック・リスク・スコアよりも正確であることができる。従来の手法で生成されたベースライン・ヘルスチェック・リスク・スコアよりも正確なヘルスチェック・リスク・スコアを生成することができるシステムもしくは技術またはその両方は、コンピューティング資産の自動ヘルスチェック・リスク評価の分野における具体的で有形の技術的改良を明確に構成する。
【0040】
さらに、本発明のさまざまな実施形態は、開示された教示に基づいて、有形の、ハードウェア・ベースの、もしくはソフトウェア・ベースのデバイス、またはこれらを組み合わせたデバイスを制御することができる。例えば、本発明の実施形態は、規定制御に準拠していない有形のコンピューティング資産(例えばサーバ、データセンター)に関連したセキュリティ・リスクを数量化する調整されたヘルスチェック・リスク・スコアを生成することができる。いくつかのケースでは、本発明の実施形態が、このような調整されたヘルスチェック・リスク・スコアに基づいて、電子通知もしくは警告またはその両方を生成することができる(例えば、このような電子通知/警告を他の有形のデバイスに送信することができ、このような電子通知/警告を有形の電子スクリーン/モニタに表示することができる)。いくつかのケースでは、本発明のさまざまな実施形態が、このような調整されたヘルスチェック・リスク・スコアに基づいて動作することができる。例えば、本発明の実施形態は、調整されたヘルスチェック・リスク・スコアが予め定められたしきい値を超えているときに、(例えば、ロック命令/コマンドもしくはパワーダウン命令/コマンドまたはその両方を有形のコンピューティング資産に送信することによって)有形のコンピューティング資産をロックすることもしくはパワーダウンすることができ、またはその両方を実行することができる。別の例として、本発明の実施形態は、調整されたヘルスチェック・リスク・スコアが予め定められたしきい値を超えているときに、(例えば、サービス/保守実体に関連した有形のコンピューティング・デバイスに電子的に連絡することによって)有形のコンピューティング資産に対するサービス/保守をスケジューリングすることもしくは達成することができ、またはスケジューリングすることおよび達成することができる。別の例として、本発明の実施形態は、調整されたヘルスチェック・リスク・スコアが予め定められたしきい値を超えているときに、(例えば、可視警報もしくは可聴警報またはその両方を生成することができる有形の警報デバイスに適切な命令/コマンドを送信することによって)適当な任意の可視警報もしくは可聴警報またはその両方を発出することができる。さまざまな態様において、本発明の実施形態は、調整されたヘルスチェック・リスク・スコアが予め定められたしきい値を超えているときに、コンピューティング資産を保護するために、他の適当な任意のタイプの保護もしくは防止動作またはその両方を開始もしくは実行すること、または開始および実行することができる。したがって、本発明の実施形態は、コンピューティング資産の自動ヘルスチェック・リスク評価の分野における具体的で有形の技術的改良を構成する。
【0041】
図および本明細書の開示は、本発明のさまざまな実施形態の非限定的な例を記述していることを理解すべきである。
【0042】
図1は、本明細書に記載された1つまたは複数の実施形態による、コンピューティング資産の自動ヘルスチェック・リスク評価を容易にすることができる例示的で非限定的なシステム100のブロック図を示している。示されているとおり、ヘルスチェック・リスク評価システム102は、コンピューティング資産104との任意の適当な形態の電子通信(例えば有線もしくは無線またはその両方)を有することができる。
【0043】
さまざまなケースにおいて、コンピューティング資産104は、コンピュータ・ハードウェアもしくはコンピューティング・ソフトウェアまたはその両方の適当な任意の組合せであることができる。例えば、コンピューティング資産104は、コンピュータ、ソフトウェア・アプリケーション、ウェブサイト、データベース、ファイル、モバイル・デバイスもしくは他の適当な任意の情報技術システムであることができる。さまざまな例において、コンピューティング資産104は状態106を含むことができ、規定制御108によって支配されることができる、もしくは規定制御108に従属することができる、またはその両方であることができる。さまざまな態様において、状態106は、コンピューティング資産104の適当な任意の技術的属性/特性であることができ、規定制御108は、状態106が要件を満たすべき適当な任意の規則、規定、ベンチマークもしくは規格またはこれらの組合せであることができる。いくつかの非限定的な例として、状態106は、パスワード長(例えば、コンピューティング資産104によって実際に実施されるパスワードの実際の文字長)であることができ、規定制御108は、許容可能な最小パスワード長であることができ;状態106は、パスワード・エージ(例えば、コンピューティング資産104によって実際に実施されるパスワードの実際のエージ)であることができ、規定制御108は、許容可能な最大パスワード・エージであることができ;状態106は、データベース・ファイル数(例えば、コンピューティング資産104によって実際に維持されたデータベースに格納されたファイルの実際の数)であることができ、規定制御108は、許容可能な最大データベース・ファイル数であることができ;もしくは状態106は、監査頻度(例えば、コンピューティング資産104によって実際に実施される実際の監査頻度)であることができ、規定制御108は、許容可能な最小監査頻度であることができ、またはこれらの組合せであることができる。
【0044】
図1は、規定制御108を、コンピューティング資産104内にあるものとして示しているが、これは、説明の便宜上示した非限定的な例である。さまざまなケースにおいて、コンピューティング資産104は、規定制御108を知らないことがあり、もしくは規定制御108にアクセスできないことがあり、またはその両方であることがある。図1は、コンピューティング資産104を、1つの状態106だけを有し、1つの規定制御108だけによって支配されるものとして示しているが、これは非限定的な例である。さまざまな態様において、コンピューティング資産104は適当な任意の数の状態を有することができ、適当な任意の数の規定制御によって支配されることができる。
【0045】
さまざまな例において、状態106は、規定制御108に違反していることがあり、もしくは規定制御108に対して非準拠であることがあり、またはその両方であることがある。後に説明するように、さまざまなケースにおいて、ヘルスチェック・リスク評価システム102は、このような非準拠に関連したセキュリティ・レベル・リスクを数量化することができる。
【0046】
さまざまな実施形態において、ヘルスチェック・リスク評価システム102は、プロセッサ110(例えばコンピュータ処理ユニット、マイクロプロセッサ)、およびプロセッサ110に動作可能に接続されたコンピュータ可読メモリ112を含むことができる。メモリ112は、プロセッサ110によって実行されるとプロセッサ110もしくはヘルスチェック・リスク評価システム102の他の構成要素(例えばベースライン構成要素114、弱点構成要素116、環境構成要素118、クリティカリティ構成要素120、成熟度構成要素122)またはその両方に1つまたは複数の操作を実行させることができる、コンピュータ実行可能命令を格納することができる。さまざまな実施形態において、メモリ112は、コンピュータ実行可能構成要素(例えばベースライン構成要素114、弱点構成要素116、環境構成要素118、クリティカリティ構成要素120、成熟度構成要素122)を格納することができ、プロセッサ110は、それらのコンピュータ実行可能構成要素を実行することができる。
【0047】
さまざまな実施形態において、ヘルスチェック・リスク評価システム102は、適当な任意の技術によって、状態106に関してコンピューティング資産104を走査することができ、もしくはコンピューティング資産104に問い合わせることができ、またはその両方を実行することができる。すなわち、ヘルスチェック・リスク評価システム102は、コンピューティング資産104から状態106(例えば状態106の値)を電子的に取り出すことができる。さまざまな実施形態において、ヘルスチェック・リスク評価システム102は、適当な任意の技術によって、規定制御108を学習することができる。例えば、ヘルスチェック・リスク評価システム102は、ヘルスチェック・リスク評価システム102がアクセス可能な適当な任意のデータ構造体もしくはデータ源またはその両方から規定制御108を電子的に取り出すことができる(例えば、繰り返しになるが、図1は、規定制御108を、コンピューティング資産104内にあるものとして示しているが、これは限定を意図したものではなく、いくつかのケースでは、規定制御108を、コンピューティング資産104から遠く隔たったデータ構造体(図示せず)内に格納することができる)。いくつかのケースでは、規定制御108を既に知っているようにヘルスチェック・リスク評価システム102を予めプログラムすることができ、もしくはヘルスチェック・リスク評価システム102が、オペレータからの入力として規定制御108を電子的に受け取ることができ、またはその両方であることができる。いずれにせよ、ヘルスチェック・リスク評価システム102は、状態106と規定制御108の両方を知ることができる。
【0048】
さまざまな実施形態において、ヘルスチェック・リスク評価システム102はベースライン構成要素114を含むことができる。さまざまな態様において、ベースライン構成要素114は、状態106もしくは規定制御108またはその両方に基づいてベースライン・ヘルスチェック・リスク・スコアを生成することができる。さまざまな態様において、ベースライン構成要素114は、(例えば攻撃ベクトル(attack vector)、攻撃条件の複雑さ(access complexity)、認証メトリック(authentication metric)、機密性への影響(confidentialityimpact)、完全性への影響(integrity impact)もしくは可用性への影響(availability impact)、またはこれらの組合せを含む)CCSS技術などの適当な任意のリスク数量化技術を実施して、ベースライン・ヘルスチェック・リスク・スコアを生成することができる。しかしながら、上述のとおり、このようなリスク数量化技術は最適とは言えない。なぜなら、このようなリスク数量化技術は、非準拠の大きさ、コンピューティング資産104のクリティカリティ、もしくは規定制御108と対応する推奨制御(例えば業界標準もしくはベスト・プラクティスまたはその両方)との偏差、またはこれらの組合せなどのさまざまな詳細を考慮することができないからである。ヘルスチェック・リスク評価システム102は、弱点因子、環境因子、クリティカリティ因子もしくは成熟度因子またはこれらの組合せに従ってベースライン・ヘルスチェック・リスク・スコアを数学的に調整することによって、これらの懸念に対処することができる。
【0049】
さまざまな実施形態において、ヘルスチェック・リスク評価システム102は弱点構成要素116を含むことができる。さまざまな態様において、弱点構成要素116は、弱点因子を生成もしくは計算すること、または生成および計算することができ、弱点因子は、状態106が規定制御108に違反している大きさに基づくことができる。例えば、状態106がパスワード・エージであり、規定制御108が許容可能な最大パスワード・エージであると仮定する。状態106が、規定制御108に対してわずかに非準拠であるだけの場合(例えば状態106が91日であり、規定制御108が90日である場合)には、弱点因子を、数値的に小さくすることができ(例えば、状態106と規定制御108との百分率差に比例させること、もしくは状態106と規定制御108との百分率差の別の関数とすること、またはその両方とすることができ)、このことは低セキュリティ・リスクを示すことができる。他方で、規定制御108に対する状態106の非準拠が重大である場合(例えば状態106が150日であり、規定制御108が90日である場合)には、弱点因子を、数値的に大きくすることができ(例えば、状態106と規定制御108との百分率差に比例させることができ)、このことは高セキュリティ・リスクを示すことができる。本明細書でさらに説明するが、いくつかのケースでは、弱点構成要素116が、機械学習技術によって弱点因子を生成することができる。
【0050】
さまざまな実施形態において、ヘルスチェック・リスク評価システム102は環境構成要素118を含むことができる。さまざまな態様において、環境構成要素118は、環境因子を生成もしくは計算すること、または生成および計算することができ、環境因子は、コンピューティング資産104によって実施される組込みセキュリティ機構に基づくことができる。例えば、コンピューティング資産104が、有効もしくは厳重なセキュリティ/プライバシー機構、または有効かつ厳重なセキュリティ/プライバシー機構(例えば、サインインした実体に対するデータ・マスキング/暗号化、異常な振る舞いの自動遮断、例えばサインイン試行の最大回数後のコンピューティング資産104のロック、内部のみのアクセス可能性)を実施する場合には、環境因子を、数値的に小さくすることができる(このことは、例えば、コンピューティング資産104が、規定制御108に準拠していないにもかかわらず悪用に対して抵抗する硬化したターゲットであることを示す)。他方で、コンピューティング資産104が、効果のないもしくは厳重でないセキュリティ/プライバシー機構、または効果がなくかつ厳重でないセキュリティ/プライバシー機構(例えば、サインインした実体に対する自動データ発見/分類、異常な振る舞いの単なる通知、公衆アクセス可能性)を実施する場合には、環境因子を、数値的に大きくすることができる(このことは、例えば、コンピューティング資産104が、悪用に対してあまり抵抗しない軟化したターゲットであることを示し、このようなターゲットは、規定制御108に対する非準拠に関連したセキュリティ・リスクを高める)。本明細書でさらに説明するが、いくつかのケースでは、環境構成要素118が、機械学習技術によって環境因子を生成することができる。
【0051】
さまざまな実施形態において、ヘルスチェック・リスク評価システム102はクリティカリティ構成要素120を含むことができる。さまざまな態様において、クリティカリティ構成要素120は、クリティカリティ因子を生成もしくは計算すること、または生成および計算することができ、クリティカリティ因子は、コンピューティング資産104の重要性レベルに基づくことができる。コンピューティング資産104が、金融機関によって使用されるソフトウェア・アプリケーションであり、市販株の実際の買入れもしくは売却またはその両方を電子的に容易にすると仮定する。このようなソフトウェア・アプリケーションは金融機関の目的/目標/活動にとってクリティカルであるため、クリティカリティ因子の値を大きくすることができる(例えば、このソフトウェア・アプリケーションはその金融機関にとって非常に重要であるため、規定制御108に対する非準拠は特に高いセキュリティ・リスクをもたらし得る)。他方で、コンピューティング資産104が、金融機関によって使用されるウェブサイトであり、広告資料を表示すると仮定する。このようなウェブサイトは、金融機関の目的/目標/活動にとってクリティカルなものではないため、クリティカリティ因子の値を小さくすることができる(例えば、このウェブサイトはその金融機関にとって非常に重要なものではないため、規定制御108に対する非準拠は特に懸念となるものにはなり得ない)。本明細書でさらに説明するが、いくつかのケースでは、クリティカリティ構成要素120が、機械学習技術によってクリティカリティ因子を生成することができる。
【0052】
さまざまな実施形態において、ヘルスチェック・リスク評価システム102は成熟度構成要素122を含むことができる。さまざまな態様において、成熟度構成要素122は、成熟度因子を生成もしくは計算すること、または生成および計算することができ、成熟度因子は、規定制御108と推奨制御(例えばベスト・プラクティスもしくは業界標準またはその両方)との差もしくは偏差またはその両方に基づくことができる。例えば、規定制御108が、90日の許容可能な最大パスワード・エージを指定しており、推奨制御が、60日の許容可能な最大パスワード・エージを指定していると仮定する。このような場合、規定制御108は推奨制御よりも緩やかであり、もしくは厳格でなく、またはその両方である。したがって、状態106が規定制御108に準拠している場合であっても、状態106は、かなりのセキュリティ・リスクをもたらし得る。例えば、状態106の実際のパスワード・エージが80日である場合、状態106は、90日の許容可能な最大パスワード・エージを指定している規定制御108の要件を満たしてはいるが、規定制御108が、60日の許容可能な最大パスワード・エージを指定している推奨制御と一貫していないため、状態106は客観的にセキュアでないことがある。
【0053】
さまざまなケースにおいて、ヘルスチェック・リスク評価システム102は調整構成要素124を含むことができる。さまざまな態様において、調整構成要素124は、弱点因子、環境因子、クリティカリティ因子もしくは成熟度因子またはこれらの組合せを使用して、ベースライン・ヘルスチェック・リスク・スコアを数学的に調整することができ、それによって、ベースライン・ヘルスチェック・リスク・スコアよりも正確な調整されたヘルスチェック・リスク・スコアを与えることができる。
【0054】
図2は、本明細書に記載された1つまたは複数の実施形態による、ベースライン・ヘルスチェック・リスク・スコアを含む、コンピューティング資産の自動ヘルスチェック・リスク評価を容易にすることができる例示的で非限定的なシステム200のブロック図を示している。示されているとおり、いくつかのケースでは、システム200が、システム100と同じ構成要素を含むことができ、ベースライン・ヘルスチェック・リスク・スコア202をさらに含むことができる。
【0055】
上で説明したとおり、ベースライン構成要素114は、状態106もしくは規定制御108またはその両方に基づいて、適当な任意のヘルスチェック・リスク評価技術(例えばCCSS技術)によって、ベースライン・ヘルスチェック・リスク・スコア202を生成もしくは計算すること、または生成および計算することができる。さまざまな態様において、上で説明したとおり、ベースライン・ヘルスチェック・リスク・スコア202は、規定制御108に対する状態106の非準拠に関連したリスク・レベルを数量化することができる(例えば、高い値のベースライン・ヘルスチェック・リスク・スコア202は高いリスク・レベルを示し得る)。しかしながら、ベースライン・ヘルスチェック・リスク・スコア202は、最適とは言えないことがあり、または十分に正確でないことがあり、またはその両方であることがある。これは、少なくとも、CCSS技術が、非準拠の大きさを考慮することができず(例えば、CCSS技術は、状態106が規定制御108に違反しているかどうかを、違反の重大度、もしくは量またはその両方を考慮せずに二者択一的に考慮し)、CCSS技術が、コンピューティング資産104の重要性レベルを考慮することができず(例えば、CCSS技術は、2つの異なるコンピューティング資産が同じ規定制御に違反した場合に、それぞれの資産がどれくらい重要であるのかを考慮せずに、それらのコンピューティング資産が等しいレベルのリスクをもたらすとみなし)、CCSS技術が、規定制御108と推奨制御との差を考慮することができない(例えば、CCSS技術は、規定制御108が業界標準よりもかなり厳格ではない場合であっても規定制御108を額面通りに受け取る)ためである。本明細書で説明されているとおり、ヘルスチェック・リスク評価システム102は、これらの短所に対処するために、ベースライン・ヘルスチェック・リスク・スコア202を調整することができる。
【0056】
図3は、本明細書に記載された1つまたは複数の実施形態による、弱点因子を含む、コンピューティング資産の自動ヘルスチェック・リスク評価を容易にすることができる例示的で非限定的なシステム300のブロック図を示している。示されているとおり、いくつかのケースでは、システム300が、システム200と同じ構成要素を含むことができ、機械学習分類器302および弱点因子304をさらに含むことができる。
【0057】
さまざまな実施形態において、機械学習分類器302を、規定制御108に関する入力情報を受け取り、規定制御108が属する弱点カテゴリを出力として生成するように訓練されたものとすることができる適当な任意のコンピュータ実施人工知能アルゴリズムとすることができる。すなわち、機械学習分類器302は、規定制御108が、受動的弱点に関係するのか(例えば規定制御108を受動的制御としてラベリングすることができるのか)、直接的能動的弱点に関係するのか(例えば規定制御108を直接的能動的制御としてラベリングすることができるのか)、または間接的能動的弱点に関係するのか(例えば規定制御108を間接的能動的制御としてラベリングすることができるのか)を判定することができる。図には示されず、いくつかの態様では、弱点構成要素116が、電子的にアクセス可能な適当な任意のデータ源から1つまたは複数の制御文書を入力として電子的に受け取ること、もしくは取り出すこと、またはその両方を実行することができる。さまざまなケースにおいて、この1つまたは複数の制御文書を、規定制御108の属性、目的および/もしくは詳細を記述し、ならびに/または特徴付ける技術的ドキュメンテーション(例えばGitHub文書、設計/開発文書)とすることができる。さまざまな態様において、この1つまたは複数の制御文書は、適当な任意の自然言語で書かれたもの(例えば人間が読むことができる適当な任意のテキスト)とすることができる。さまざまな例において、弱点構成要素116は、単語埋め込みもしくは言語モデリングまたはその両方などの適当な任意の技術によって、この1つまたは複数の制御文書の本明細書に記載された数値表現を生成することができる。さまざまなケースにおいて、機械学習分類器302を、規定制御108を記述した1つまたは複数の制御文書の数値表現(この数値表現は例えば入力された特徴ベクトルと考えることができる)を入力として受け取り、規定制御108が属する弱点カテゴリを出力として決定するように訓練されたものとすることができる。さまざまな態様において、弱点構成要素116は次いで、機械学習分類器302によって決定された弱点カテゴリに基づいて弱点因子304を生成することができる。
【0058】
図4は、本明細書に記載された1つまたは複数の実施形態による、弱点因子に関連した例示的で非限定的な表400を示している。言い換えると、表400は、それを用いて規定制御108をラベリングするように機械学習分類器302を訓練することができる、非限定的なさまざまな弱点カテゴリの短い説明を示している。示されているとおり、規定制御108は、受動的弱点または能動的弱点に関係するものとして分類することができる。さまざまなケースにおいて、規定制御108に準拠していないことが、特定の構成要素もしくはソフトウェア・アプリケーションまたはその両方の実行を妨げる、あるいは監査ログ・レコードの生成を妨げるなど、許可された動作をコンピューティング資産104が実行することを攻撃者が妨げることを可能にするリスクとなる場合、その規定制御108を、受動的弱点に関係するとすることができる。さまざまな態様において、規定制御108に準拠していないことが、機密データにアクセスすること、機密データをコピーすること、もしくは機密データを編集すること、またはこれらの組合せなど、許可されていない動作を攻撃者が実行することを可能にするリスクとなる場合、その規定制御108を、能動的弱点に関係するとすることができる。さらに、いくつかのケースでは、能動的弱点をさらに、直接的能動的弱点と間接的能動的弱点とに分類することができる。さまざまな例において、規定制御108が能動的弱点に関係している場合、かつ規定制御108のエクスプロイトが既に存在することが知られている場合、その規定制御108を、直接的能動的弱点に関係するとすることができる。他方で、規定制御108が能動的弱点に関係している場合、かつ規定制御108のエクスプロイトが既に存在することが知られていない場合、その規定制御108を、間接的能動的弱点に関係するとすることができる。受動的弱点、直接的能動的弱点および間接的能動的弱点は、アメリカ国立標準技術研究所(National Institute of Standards and Technology)によって確立されたコモン・コンフィギュレーション・スコアリング・システムに基づくことを当業者は理解するであろう。さまざまな態様において、他の適当な任意の弱点カテゴリもしくはサブカテゴリまたはその両方を実施することができる。
【0059】
機械学習分類器302は、規定制御108を記述した/特徴付けた技術的ドキュメンテーションの本明細書に記載された数値表現を入力として受け取ることができ、規定制御108に関係する弱点カテゴリを出力として決定することができる(例えば、規定制御108が、受動的弱点に関係するのか、直接的能動的弱点に関係するのか、または間接的能動的弱点に関係するのかを判定することができる)。さまざまな態様において、弱点構成要素116は、決定された弱点カテゴリに基づいて弱点因子302を生成もしくは計算すること、または生成および計算することができる。例えば、規定制御108が受動的弱点に関係していると機械学習分類器302が判定した場合、弱点構成要素116は、状態106が規定制御108に準拠していないことが特に深刻ではないと判定することができる(例えば、受動的弱点は、許可されていない動作の実行には関連しておらず、その代わりに許可された動作の妨害に関連しているため、受動的弱点は、特に深刻ではないと考えることができる。許可されていない動作の実行の方が許可された動作の妨害よりも悪質な脅威であることはこの分野では自明である)。したがって、弱点因子304を相応した低い値(例えば図4に示されているように0)に設定することができる。その代わりに、規定制御108が直接的能動的弱点に関係していると機械学習分類器302が判定した場合、弱点構成要素116は、状態106が規定制御108に準拠していないことが特に深刻であると判定することができる(例えば、知られているエクスプロイトが既に存在するため、直接的能動的弱点は特に深刻であると考えることができる)。したがって、弱点因子304を相応した高い値(例えば図4に示されているように3)に設定することができる。さまざまなケースにおいて、規定制御108が間接的能動的弱点に関係していると機械学習分類器302が判定した場合、弱点構成要素116は、状態106が規定制御108に準拠していないことが非準拠の大きさに依存すると判定することができる(例えば、間接的能動的弱点は、許可されていない動作の実行に関連してはいるが、知られているエクスプロイトがまだ存在しないため、非準拠の重大度に応じた可変の深刻さを有すると考えることができる)。したがって、弱点因子304は、状態106と規定制御108との差(例えば百分率差もしくは絶対差またはその両方)の関数であることができる。さまざまなケースにおいて、規定制御108が間接的能動的弱点に関係しているとき、弱点因子304の値は、受動的弱点に対して設定された値を下限とすることができ、直接的能動的弱点に対して設定された値を上限とすることができる。例えば、状態106が規定制御108に準拠している場合には弱点因子304を0とすることができ、状態106が、第1の所定のマージン/百分率だけ規定制御108に違反している場合(例えば状態106が50%高い/低い場合)には、弱点因子304を相応したより高い値(例えば1)にすることができ、状態106が、第1の所定のマージン/百分率よりも大きな第2の所定のマージン/百分率だけ規定制御108に違反している場合(例えば状態106が75%高い/低い場合)には、弱点因子304をよりいっそう高い値(例えば2)にすることができる。いずれにせよ、規定制御108が間接的能動的弱点に関係しているとき、弱点因子304は、状態106と規定制御108との差の適当な任意の関数であることができる。上述のとおり、従来のヘルスチェック・リスク評価技術はこのような差を無視する。
【0060】
さまざまな態様において、機械学習分類器302を、適当な任意の訓練技術(例えば教師あり学習、教師なし学習、強化学習)を使用して訓練することができる。さらに、いくつかのケースでは、機械学習分類器302が能動学習を経ることができる。すなわち、さまざまな実施形態において、弱点構成要素116は、適当な任意のオペレータ(図示せず)から、機械学習分類器302によって生成された出力弱点カテゴリ分類に関するリアルタイム・フィードバックを受け取ることができる。さまざまな態様において、このようなフィードバックに基づいて、機械学習分類器302のパラメータを(例えばバックプロパゲーションによって)更新もしくは再訓練すること、または更新および再訓練することができる。
【0061】
本発明のさまざまな実施形態の上述の機械学習態様のいくつかを容易にするため、人工知能に関する以下の考察を検討する。本明細書に記載された本発明のさまざまな実施形態は、人工知能(AI)を使用して、本発明の1つまたは複数の特徴を自動化することを容易にすることができる。構成要素は、本明細書に開示されたさまざまな実施形態/例を実行するためのAIベースのさまざまなスキームを使用することができる。本発明の多数の決定(determination)(例えば判定、確認、推論、算定、予測、予知、推定、導出、予報、検出、計算)を提供するため、またはそのような決定を助けるため、本発明の構成要素は、その構成要素がアクセスすることができるデータの全体またはサブセットを調べることができ、イベントもしくはデータまたはその両方を介して取り込まれた一組の観察から、システム、もしくは環境またはその両方の状態に関する推論を提供することができ、またはシステム、もしくは環境またはその両方の状態を判定することができる。決定を使用して特定の文脈もしくは動作を識別することができ、または決定は、例えば状態の確率分布を生成することができる。それらの決定は確率的、すなわちデータおよびイベントの検討に基づく関心の状態の確率分布の計算であり得る。決定が、一組のイベントもしくはデータまたはその両方からより高レベルのイベントを構成するために使用される技術を指すこともあり得る。
【0062】
このような決定は、イベントが時間的に近接して相関しているか否かに関わらず、ならびにイベントおよびデータが、1つのイベントおよびデータ源からのものであるのかまたは複数のイベントおよびデータ源からのものであるのかに関わらず、観察された一組のイベントもしくは格納された一組のイベント・データまたはその両方から新たなイベントまたは動作を構築することに帰着し得る。本明細書に開示された構成要素は、請求された主題に関連した自動動作もしくは決定された動作またはその両方を実行することに関連した、(明示的に(例えば訓練データによって)訓練された、および暗黙のうちに(例えば振る舞い、好み、履歴情報を観察すること、外部からの情報を受け取ることによって)訓練された)さまざまな分類スキームもしくはシステムまたはその両方(例えば、サポート・ベクター・マシン、ニューラル・ネットワーク、エキスパート・システム、ベイジアン信念ネットワーク、ファジー論理、データ融合エンジン)を使用することができる。したがって、分類スキームもしくはシステムまたその両方を使用して、いくつかの機能、動作もしくは決定またはその組合せを自動的に学習および実行することができる。
【0063】
分類器は、入力属性ベクトルz=(z1,z2,z3,z4,zn)を、この入力がクラスに属する信頼度に、f(z)=信頼度(クラス)によってマップすることができる。そのような分類は、(例えば分析ユーティリティおよびコストの考慮に入れる)確率論ベースの分析もしくは統計学ベースの分析またはその両方を使用して、自動的に実行される動作を決定することができる。サポート・ベクター・マシン(SVM)は、使用することができる分類器の例であることができる。SVMは、可能な入力の区域中で超曲面(hyper-surface)を見つけることによって動作する。ここで、超曲面は、非トリガリング・イベントからトリガリング判定基準を分離することを試みる。直観的に、このことは、この分類を、訓練データに近いが全く同じではないデータを試験するのに適切なものにする。他の有向および無向モデル分類アプローチは例えば、独立の異なるパターンを提供するナイーブ・ベイズ、ベイジアン・ネットワーク、決定木、ニューラル・ネットワーク、ファジー論理モデルもしくは確率論的分類モデル、またはこれらの組合せを含み、これらのうちのいずれかを使用することができる。本明細書で使用される分類はさらに、優先のモデルを開発するために利用される統計学的回帰を含む。
【0064】
図5は、本明細書に記載された1つまたは複数の実施形態による、環境因子を含む、コンピューティング資産の自動ヘルスチェック・リスク評価を容易にすることができる例示的で非限定的なシステム500のブロック図を示している。示されているとおり、いくつかのケースでは、システム500が、システム300と同じ構成要素を含むことができ、機械学習分類器502および環境因子504をさらに含むことができる。
【0065】
さまざまな実施形態において、機械学習分類器502を、コンピューティング資産104に関する入力情報を受け取り、コンピューティング資産104に関する決定を出力として生成するように訓練されたものとすることができる適当な任意のコンピュータ実施人工知能アルゴリズムとすることができる。図には示されず、いくつかの態様では、環境構成要素118が、電子的にアクセス可能な適当な任意のデータ源から1つまたは複数の資産文書を入力として電子的に受け取ること、もしくは取り出すこと、またはその両方を実行することができる。さまざまなケースにおいて、この1つまたは複数の資産文書を、コンピューティング資産104の属性、目的および/もしくは詳細を記述し、ならびに/または特徴付ける技術的ドキュメンテーション(例えばGitHub文書、設計/開発文書)とすることができる。さまざまな態様において、この1つまたは複数の資産文書は、適当な任意の自然言語で書かれたもの(例えば人間が読むことができる適当な任意のテキスト)とすることができ、環境構成要素118は、単語埋め込みもしくは言語モデリングまたはその両方などの適当な任意の技術によって、この1つまたは複数の資産文書の本明細書に記載された数値表現を生成することができる。さまざまなケースにおいて、機械学習分類器502を、コンピューティング資産104を記述した1つまたは複数の資産文書の数値表現(この数値表現は例えば入力された特徴ベクトルと考えることができる)を入力として受け取り、どの組込みセキュリティ機構をコンピューティング資産104が使用するのかを出力として決定するように訓練されたものとすることができる。さまざまなケースにおいて、上述のさまざまな人工知能の詳細を機械学習分類器502に適用することができる。さまざまな態様において、環境構成要素118は次いで、機械学習分類器502によって検出されたセキュリティ機構に基づいて環境因子504を生成することができる。
【0066】
図6は、本明細書に記載された1つまたは複数の実施形態による、環境因子に関連した例示的で非限定的な表600を示している。言い換えると、表600は、コンピューティング資産104によって実施することができ、機械学習分類器502によって検出することができる、非限定的なさまざまなセキュリティ機構を示している。さらに、表600は、それぞれのセキュリティ機構に割り当てることができるさまざまな非限定的な重みを示している。例えば、機械学習分類器502は、コンピューティング資産104によってどのタイプのアクセスが実施されるのか(例えば内部のみアクセス可能(より多くの保護)対公衆からアクセス可能(より少ない保護))、コンピューティング資産104によってどのタイプの変更パラダイムが実施されるのか(例えば不変(より多くの保護)対易変/一過性(より少ない保護))、コンピューティング資産104によってどのタイプのインスタンシエーション・パラダイムが実施されるのか(例えば孤立(より多くの保護)対マルチテナンシー(より少ない保護))、コンピューティング資産104に対して依然としてサービスが利用可能であるのかどうか(例えば利用可能(より多くの保護)対利用不能(より少ない保護))、コンピューティング資産104によってどのタイプのデータ保護プロトコルが実施されるのか(例えば自動発見(より少ない保護)対マスキング/暗号化(より多くの保護))、コンピューティング資産104によってどのタイプの準拠実施が実施されるのか(例えば検査のみ(より少ない保護)対修復(より多くの保護))、もしくはコンピューティング資産104によってどのタイプの異常検出が実施されるのか(例えば通知のみ(より少ない保護)対防止/遮断(より多くの保護))、またはこれらの組合せを判定することができる。図6は非限定的な例であること、および機械学習分類器502によって、他の適当な任意のセキュリティ機構が検出可能であることがあることを理解すべきである。
【0067】
示されているとおり、環境構成要素118は、異なるセキュリティ機構に異なる値/重みを割り当てることができ、環境因子504は、コンピューティング資産104が実施する異なるセキュリティ機構の値/重みの適当な任意の関数(例えば最大値、平均値)であることができる。例えば、コンピューティング資産104が、内部のみアクセス可能であり(0.2)、易変/一過性であり(0.6)、通知だけを提供する(0.8)場合には、環境因子504を、0.2、0.6および0.8の最大値、すなわち0.8とすることができる。別の実施形態では、環境因子504を、0.2、0.6および0.8の平均値とすることができる。
【0068】
図7は、本明細書に記載された1つまたは複数の実施形態による、クリティカリティ因子を含む、コンピューティング資産の自動ヘルスチェック・リスク評価を容易にすることができる例示的で非限定的なシステム700のブロック図を示している。示されているとおり、いくつかのケースでは、システム700が、システム500と同じ構成要素を含むことができ、機械学習分類器702およびクリティカリティ因子704をさらに含むことができる。
【0069】
さまざまな実施形態において、機械学習分類器702を、コンピューティング資産104に関する入力情報を受け取り、コンピューティング資産104に関する決定を出力として生成するように訓練されることができる適当な任意のコンピュータ実施人工知能アルゴリズムとすることができる。図には示されず、いくつかの態様では、クリティカリティ構成要素120が、電子的にアクセス可能な適当な任意のデータ源から1つまたは複数の文書を入力として電子的に受け取ること、もしくは取り出すこと、またはその両方を実行することができる。さまざまなケースにおいて、この1つまたは複数の文書は、コンピューティング資産104および/もしくはコンピューティング資産104を所有/運用する実体の属性、目的、目標および/もしくは詳細(例えば広告、ミッション・ステートメント、事業計画/プレゼンテーション)を記述し、ならびに/または特徴付けたものとすることができる。さまざまな態様において、この1つまたは複数の文書は、適当な任意の自然言語で書かれたもの(例えば人間が読むことができる適当な任意のテキスト)とすることができ、クリティカリティ構成要素120は、単語埋め込みもしくは言語モデリングまたはその両方などの適当な任意の技術によって、この1つまたは複数の文書の本明細書に記載された数値表現を生成することができる。さまざまなケースにおいて、機械学習分類器702を、コンピューティング資産104およびコンピューティング資産104を所有/運用する実体を記述した1つまたは複数の文書の数値表現(この数値表現は例えば入力された特徴ベクトルと考えることができる)を入力として受け取り、コンピューティング資産104を所有/運用する実体の目標/目的/活動にとってのコンピューティング資産104の重要性レベルを出力として決定するように訓練することができる。さまざまな例において、コンピューティング資産104の重要性レベルは、コンピューティング資産104に関連したアプリケーション・クラスタ全体に基づくことができる(例えば、サーバの重要性は、サーバ自体だけではなく、サーバ上で実行されるアプリケーションにも基づくことができ、ならびに/またはサーバによって格納、維持、取出し、編集されたデータおよび/もしくは他のやり方でサーバと相互作用したデータに基づくことができる)。さまざまなケースにおいて、さまざまな上述の人工知能の詳細を機械学習分類器702に適用することができる。さまざまな態様において、クリティカリティ構成要素120は次いで、機械学習分類器702によって決定された重要性レベルに基づいてクリティカリティ因子704を生成することができる。
【0070】
例えば、コンピューティング資産104を所有/運用する実体の目標/目的/活動にとってコンピューティング資産104があまり重要でないと機械学習分類器702が判定した場合には、クリティカリティ構成要素704の値を低くすることができる(例えば、金融機関が、広告目的のウェブサイトを利用することがあり、そのウェブサイトは、金融機関の目標/目的/活動にとってそれほど重要ではないため、そのウェブサイトに対するクリティカリティ因子704を0にすることができる)。コンピューティング資産104を所有/運用する実体の目標/目的/活動にとってコンピューティング資産104が重要であると機械学習分類器702が判定した場合には、クリティカリティ構成要素704の値を中程度の値にすることができる(例えば、金融機関が、機密顧客情報を格納するためのデータベースを利用することがあり、そのデータベースは、金融機関の目標/目的/活動にとって重要であるため、そのデータベースに対するクリティカリティ因子704を1.3にすることができる)。コンピューティング資産104を所有/運用する実体の目標/目的/活動にとってコンピューティング資産104が非常に重要であると機械学習分類器702が判定した場合には、クリティカリティ構成要素704の値を高くすることができる(例えば、金融機関が、顧客口座にもしくは顧客口座から資金を電子的に移すため、または顧客口座におよび顧客口座から資金を電子的に移すためのソフトウェア・アプリケーションを利用することがあり、そのソフトウェア・アプリケーションは、金融機関の目標/目的/活動にとって非常に重要であるため、そのソフトウェア・アプリケーションに対するクリティカリティ因子704を4.3にすることができる)。さまざまな態様において、適当な任意の数のクリティカリティ・レベル/階調(例えば、非クリティカル、クリティカル、超クリティカルもしくは他の任意の中間レベルまたはこれらの組合せ)を実施することができる。いくつかの実施形態では、コンピューティング資産104を所有/運用する実体は、クリティカリティ因子704を手動で希望どおりに構成することができる。上述のとおり、従来のヘルスチェック・リスク評価技術は、コンピューティング資産の重要性レベルを無視する。
【0071】
図8は、本明細書に記載された1つまたは複数の実施形態による、成熟度因子を含む、コンピューティング資産の自動ヘルスチェック・リスク評価を容易にすることができる例示的で非限定的なシステム800のブロック図を示している。示されているとおり、いくつかのケースでは、システム800が、システム700と同じ構成要素を含むことができ、成熟度因子802をさらに含むことができる。
【0072】
図には示されていないが、さまざまな実施形態において、成熟度構成要素122は、電子的にアクセス可能な適当な任意のデータ源から、規定制御108に対応する推奨制御を電子的に受け取ること、もしくは取り出すこと、またはその両方を実行することができる。さまざまな態様において、上述のとおり、規定制御108は、コンピューティング資産104を所有/運用する実体によって確立された、状態106が準拠すべき規則、規定、規格もしくはベンチマークまたはこれらの組合せと考えることができる。しかしながら、さまざまな例において、推奨制御は、関連業界で実施されているベスト・プラクティスであることができ、規定制御108が推奨制御と一致していないこと、または推奨制御と一貫していないこと、またはその両方があり得る。したがって、いくつかのケースでは、状態106が規定制御108に準拠しているが、それにもかかわらず、規定制御108が推奨制御よりも緩やかであり、もしくは厳格でなく、またはその両方であるために、状態106が深刻なセキュリティ脅威を示すことがある。例えば、規定制御108が、60日の許容可能な最大パスワード・エージを指定しており、推奨制御が、30日の許容可能な最大パスワード・エージを指定していると仮定する。状態106の実際のパスワード・エージが50日である場合、状態106は規定制御108に準拠しているとみなすことができるが、それにもかかわらず、状態106は推奨制御に準拠していないため(例えば規定制御108は推奨制御よりもはるかに厳重ではなく、もしくははるかにセキュアではなく、またはその両方であるため)、状態106はかなりのセキュリティ脅威となり得る。したがって、さまざまな態様において、成熟度因子802の値を、規定制御108と推奨制御との差もしくは偏差またはその両方の適当な任意の関数とすることができる(例えば百分率差もしくは絶対差またはその両方に比例させることができる)。上述のとおり、従来のヘルスチェック・リスク評価技術はこのような差/偏差を無視する。
【0073】
いくつかのケースでは、後にさらに説明するように、コンピューティング資産104が、多くの異なる規定制御によって支配されていることがあり、もしくは多くの異なる規定制御に従属していることがあり、またはその両方であることがある。このような場合、成熟度因子802は、このような異なる規定制御とその対応するベスト・プラクティス値との平均差もしくは平均偏差またはその両方に基づくことができる。平均差/偏差が所定の第1の所定のしきい値よりも大きい場合、成熟度因子802は第1の値をとることができる。平均差/偏差が所定の第2のしきい値よりも大きい場合、成熟度因子802は第2の値をとることができる。適当な任意の数の所定のしきい値もしくは値またはその両方を実施することができる。
【0074】
図9は、本明細書に記載された1つまたは複数の実施形態による、調整構成要素を含む、コンピューティング資産の自動ヘルスチェック・リスク評価を容易にすることができる例示的で非限定的なシステム900のブロック図を示している。示されているとおり、いくつかのケースでは、システム900が、システム800と同じ構成要素を含むことができ、調整構成要素124をさらに含むことができる。
【0075】
さまざまな実施形態において、調整構成要素124は、弱点因子304、環境因子504、クリティカリティ因子704もしくは成熟度因子802またはこれらの組合せに基づいてベースライン・ヘルスチェック・リスク・スコア202を調整することができる。具体的には、調整構成要素124は、ベースライン・ヘルスチェック・リスク・スコア202に環境因子504を乗じ、それによって第1の積を与えることができる。さまざまな態様において、調整構成要素124は、この第1の積に弱点因子304を加え、それによって第1の和を与えることができる。さまざまな例において、調整構成要素124は、この第1の和にクリティカリティ構成要素704を乗じ、それによって第2の積を与えることができる。さまざまなケースにおいて、調整構成要素124は、この第2の積に成熟度因子802を乗じ、それによって調整されたヘルスチェック・リスク・スコア902を与えることができる。言い換えると、調整されたヘルスチェック・リスク・スコア902は下式によって与えることができる。
ARS=(BRS×EF+WF)×CF×MF
上式で、ARSは、調整されたヘルスチェック・リスク・スコア902を表し、BRSは、ベースライン・ヘルスチェック・リスク・スコア202を表し、EFは、環境因子504を表し、WFは、弱点因子304を表し、CFは、クリティカリティ因子704を表し、MFは、成熟度因子802を表す。さまざまな態様において、ARSをBRS、EF、WF、CFおよびMFのどのような関数にすることができるのかを示す上式は、調整されたヘルスチェック・リスク・スコア902を生成するために使用することができる式の非限定的な例であり、他の式も可能である。例えば、調整されたヘルスチェック・リスク・スコア902は、弱点因子304、環境因子504、クリティカリティ因子704もしくは成熟度因子802またはこれらの組合せの他の適当な任意の数学的関数とすることができる(例えば、EFは、乗じるのではなく加えることができ、WFは、加えるのではなく乗じることができ、CFは、乗じるのではなく加えることができ、MFは、乗じるのではなく加えることができる)。すなわち、さまざまな実施形態において、ARSを生成するために、他の適当な任意の式もしくは数値演算またはその両方を、適当な任意の置換もしくは組合せまたはその両方で、BRS、EF、WF、CFおよびMFに適用することができる。調整されたヘルスチェック・リスク・スコア902は、非準拠の重大度/大きさ(例えば弱点因子304)、コンピューティング資産104の組込みセキュリティ機構(例えば環境因子504)、コンピューティング資産104の重要性(例えばクリティカリティ因子704)、もしくは規定制御108とベスト・プラクティスとの差(例えば成熟度因子802)、またはこれらの組合せを考慮するため、さまざまなケースにおいて、調整されたヘルスチェック・リスク・スコア902は、規定制御108に対する状態106の非準拠に関連したリスク・レベルをより正確に数量化することができる。
ARS=(BRS×EF+WF)×CF×MF
上式で、ARSは、調整されたヘルスチェック・リスク・スコア902を表し、BRSは、ベースライン・ヘルスチェック・リスク・スコア202を表し、EFは、環境因子504を表し、WFは、弱点因子304を表し、CFは、クリティカリティ因子704を表し、MFは、成熟度因子802を表す。さまざまな態様において、ARSをBRS、EF、WF、CFおよびMFのどのような関数にすることができるのかを示す上式は、調整されたヘルスチェック・リスク・スコア902を生成するために使用することができる式の非限定的な例であり、他の式も可能である。例えば、調整されたヘルスチェック・リスク・スコア902は、弱点因子304、環境因子504、クリティカリティ因子704もしくは成熟度因子802またはこれらの組合せの他の適当な任意の数学的関数とすることができる(例えば、EFは、乗じるのではなく加えることができ、WFは、加えるのではなく乗じることができ、CFは、乗じるのではなく加えることができ、MFは、乗じるのではなく加えることができる)。すなわち、さまざまな実施形態において、ARSを生成するために、他の適当な任意の式もしくは数値演算またはその両方を、適当な任意の置換もしくは組合せまたはその両方で、BRS、EF、WF、CFおよびMFに適用することができる。調整されたヘルスチェック・リスク・スコア902は、非準拠の重大度/大きさ(例えば弱点因子304)、コンピューティング資産104の組込みセキュリティ機構(例えば環境因子504)、コンピューティング資産104の重要性(例えばクリティカリティ因子704)、もしくは規定制御108とベスト・プラクティスとの差(例えば成熟度因子802)、またはこれらの組合せを考慮するため、さまざまなケースにおいて、調整されたヘルスチェック・リスク・スコア902は、規定制御108に対する状態106の非準拠に関連したリスク・レベルをより正確に数量化することができる。
【0076】
さまざまな実施形態において、ヘルスチェック・リスク評価システム102は、調整されたヘルスチェック・リスク・スコア902に基づいて適当な任意の動作を実行することができる。例えば、ヘルスチェック・リスク評価システム102は、調整されたヘルスチェック・リスク・スコア902に基づいて電子的な警告/警報を生成すること、送信すること、もしくはコンピュータ・モニタ/スクリーン上に表示すること、またはこれらの組合せを実行することができる(例えば、調整されたヘルスチェック・リスク・スコア902が所定のしきい値よりも大きい場合に、適当な警告/警報を生成もしくは表示すること、または生成および表示することができる)。いくつかのケースで、ヘルスチェック・リスク評価システム102は、調整されたヘルスチェック・リスク・スコア902に基づいて、コンピューティング資産104に対するサービス/保守を自動的にスケジューリングすること、要求すること、もしくは達成することができ、またはこれらの組合せを実行することができる(例えば、調整されたヘルスチェック・リスク・スコア902が所定のしきい値を超えている場合に、ヘルスチェック・リスク評価システム102は、サービス/保守実体に自動的に電子的に連絡することができる)。
【0077】
図10は、本明細書に記載された1つまたは複数の実施形態による、集約構成要素を含む、コンピューティング資産の自動ヘルスチェック・リスク評価を容易にすることができる例示的で非限定的なシステム1000のブロック図を示している。示されているとおり、いくつかのケースでは、システム1000が、システム900と同じ構成要素を含むことができ、集約構成要素1002をさらに含むことができる。
【0078】
以上の説明は主として、ヘルスチェック・リスク評価システム102が、どのように、規定制御108に基づいて、コンピューティング資産104の調整されたヘルスチェック・リスク・スコア902を生成することができるのかを説明している。しかしながら、さまざまな実施形態において、コンピューティング資産104は、複数の規定制御(図11に示されている)によって支配されていることがある。そのような場合、ヘルスチェック・リスク評価システム102は、コンピューティング資産104を支配している複数の規定制御の各々に対する別個の調整されたヘルスチェック・リスク・スコアを生成/計算することができ、集約構成要素1002は、適当な任意の技術によって(例えば重み付き平均関数、最大値関数によって)、このような調整されたヘルスチェック・リスク・スコアを一緒に集約することができ、それによってコンピューティング資産104の集約されたヘルスチェック・リスク・スコアを与えることができる。さらに、いくつかのケースでは、ヘルスチェック・リスク評価システム102を、複数のコンピューティング資産(図11に示されている)に電子的に結合することができる。さまざまな態様において、ヘルスチェック・リスク評価システム102は、複数のコンピューティング資産の各々の別個の集約されたヘルスチェック・リスク・スコアを計算することができ、集約構成要素1002は、任意の適当な技術によって(例えば重み付き平均関数もしくは最大値関数またはその両方によって)、このような集約されたヘルスチェック・リスク・スコアを一緒に集約することができる。
【0079】
図11は、本明細書に記載された1つまたは複数の実施形態による、例示的で非限定的なコンピューティング資産階層1100のブロック図を示している。示されているとおり、コンピューティング・アカウント1102は、複数のコンピューティング・グループ1104を含むことができる。さらに、いくつかのケースでは、複数のコンピューティング・グループ1104が、複数のコンピューティング資産1106を含むことができ、この複数のコンピューティング資産1106は、複数の規定制御1108によって支配されること、もしくは複数の規定制御1108に従属すること、またはその両方であることができる。具体的には、複数のコンピューティング・グループ1104は、任意の適当な数Nについて、コンピューティング・グループ1からコンピューティング・グループNを含むことができる。さらに、示されているとおり、コンピューティング・グループ1は、それ自体が、複数のコンピューティング資産(例えば適当な任意の数Mについてコンピューティング資産1_1からコンピューティング資産1_M)に対応することができる。同様に、コンピューティング・グループNは、複数のコンピューティング資産(例えば適当な任意の数Mについてコンピューティング資産N_1からコンピューティング資産N_M)に対応することができる。コンピューティング・グループ1とコンピューティング・グループNは同じ数のコンピューティング資産を有するものとして示されているが、これは非限定的な例である。さまざまなケースにおいて、これらのコンピューティング・グループは、異なる数のコンピューティング資産を有することができる。さまざまな態様において、コンピューティング資産1_1は、複数の規定制御(例えば適当な任意の数Pについて制御1_1_1から制御1_1_P)によって支配されること、もしくは複数の規定制御に従属すること、またはその両方であることができる。同様に、コンピューティング資産N_Mは、複数の規定制御(例えば適当な任意の数Pについて制御N_M_1から制御N_M_P)によって支配されること、もしくは複数の規定制御に従属すること、またはその両方であることができる。コンピューティング資産1_1とコンピューティング資産N_Mは同じ数の規定制御に従属するものとして示されているが、これは非限定的な例である。さまざまなケースにおいて、これらのコンピューティング資産は、異なる数の規定制御に従属し得る。
【0080】
上で説明したとおり、ヘルスチェック・リスク評価システム102は、複数の規定制御1108の各々に対する調整されたヘルスチェック・リスク・スコアを生成することができる(例えば、それぞれの規定制御に対するベースライン・ヘルスチェック・リスク・スコア、それぞれの規定制御に対する弱点因子、それぞれの規定制御に対する環境因子、それぞれの規定制御に対するクリティカリティ因子、もしくはそれぞれの規定制御に対する成熟度因子、またはこれらの組合せを計算することができ、調整構成要素124によってこれらを一緒に結合して、それぞれの規定制御に対する調整されたヘルスチェック・リスク・スコアを計算することができ、それによって合計N×M×P個の調整されたヘルスチェック・リスク・スコアを与えることができる)。さまざまな例において、集約構成要素1002は、複数のコンピューティング資産1106の各々について、そのコンピューティング資産に関係する調整されたヘルスチェック・リスク・スコアの全てを(例えば重み付き平均もしくは最大値関数またはその両方によって)一緒に集約して、コンピューティング資産の集約された資産ヘルスチェック・リスク・スコアを形成することができる(例えば、コンピューティング資産1_1に関係する調整されたヘルスチェック・リスク・スコアを集約して、コンピューティング資産1_1の集約された資産ヘルスチェック・リスク・スコアを生成することができ、コンピューティング資産1_Mに関係する調整されたヘルスチェック・リスク・スコアを集約して、コンピューティング資産1_Mの集約された資産ヘルスチェック・リスク・スコアを生成することができ、コンピューティング資産N_1に関係する調整されたヘルスチェック・リスク・スコアを集約して、コンピューティング資産N_1の集約された資産ヘルスチェック・リスク・スコアを生成することができ、コンピューティング資産N_Mに関係する調整されたヘルスチェック・リスク・スコアを集約して、コンピューティング資産N_Mの集約された資産ヘルスチェック・リスク・スコアを生成することができ、それによって合計N×M個の集約された資産ヘルスチェック・リスク・スコアを与えることができる)。さまざまな実施形態において、集約構成要素1002は、複数のコンピューティング・グループ1104の各々について、そのコンピューティング・グループに関係する集約された資産ヘルスチェック・リスク・スコアの全てを(例えば重み付き平均もしくは最大値関数またはその両方によって)一緒に集約して、コンピューティング・グループの集約されたグループ・ヘルスチェック・リスク・スコアを形成することができる(例えば、コンピューティング・グループ1に関係する集約された資産ヘルスチェック・リスク・スコアを集約して、コンピューティング・グループ1の集約されたグループ・ヘルスチェック・リスク・スコアを生成することができ、コンピューティング・グループNに関係する集約された資産ヘルスチェック・リスク・スコアを集約して、コンピューティング・グループNの集約されたグループ・ヘルスチェック・リスク・スコアを生成することができ、それによって合計N個の集約されたグループ・ヘルスチェック・リスク・スコアを与えることができる)。最後に、さまざまな態様において、集約構成要素1002は、集約されたグループ・ヘルスチェック・リスク・スコアの全てを(例えば重み付き平均もしくは最大値関数またはその両方によって)一緒に集約して、集約されたアカウント・ヘルスチェック・リスク・スコアを生成することができる。このようにすると、適当な任意の粒度レベルで(例えば規定制御ごとに、コンピューティング資産ごとに、コンピューティング・グループごとに、もしくはコンピューティング・アカウントごとに、またはこれらの組合せで)、正確なヘルスチェック・リスク・スコアを生成することができる。したがって、ヘルスチェック・リスク評価システム102は、さまざまな非準拠制御、さまざまなコンピューティング資産、さまざまなコンピューティング・グループもしくはさまざまなコンピューティング・アカウント、またはこれらの組合せをオペレータが正確にトリアージすることをより容易にすることができ、このことは、コンピュータの有用で実用的な用途を構成する。言い換えると、調整もしくは集約されたヘルスチェック・リスク・スコア、または調整および集約されたヘルスチェック・リスク・スコアに従って、コンピューティング資産の管理、サービスおよび/または保守に優先順位をつけることができる(例えば、より高いヘルスチェック・リスク・スコアを有するコンピューティング資産/グループ/アカウントをより緊急であるとみなすことができ、したがって最初にサービスを提供することができ、より低いヘルスチェック・リスク・スコアを有するコンピューティング資産/グループ/アカウントをより緊急でないとみなすことができ、したがって後にサービスを提供することができる)。
【0081】
上記の考察は、重み付き平均もしくは最大値関数またはその両方を使用してヘルスチェック・リスク・スコアをより高いレベルに集約することができる(例えば、コンピューティング資産をコンピューティング・グループに集約することができ、コンピューティング・グループをコンピューティング・アカウントに集約することができる)ことを述べているが、これは非限定的な例である。さまざまな態様において、他の適当な任意の集約アルゴリズムを実施することができる。例えば、1つのコンピューティング・グループの総リスクは、そのコンピューティング・グループの中の高リスク・コンピューティング資産(例えば、集約された資産ヘルスチェック・リスク・スコアが高しきい値を超えている場合にそのコンピューティング資産を高リスクとすることができる)の数を数えることによって、中間リスク・コンピューティング資産(例えば、集約された資産ヘルスチェック・リスク・スコアが中間しきい値を超えている場合にそのコンピューティング資産を中間リスクとすることができる)の数を数えることによって、もしくは低リスク・コンピューティング資産(例えば、集約された資産ヘルスチェック・リスク・スコアが低しきい値を超えている場合、そのコンピューティング資産を低リスクとすることができる)の数を数えることによって、またはこれらの組合せによって決定することができる。例えば、そのコンピューティング・グループが、1%よりも多い高リスク・コンピューティング資産または20%よりも多い中間リスク・コンピューティング資産を有する場合には、そのコンピューティング・グループを高リスクとみなすことができ、そのコンピューティング・グループが、1%よりも少ない高リスク・コンピューティング資産、20%よりも少ない中間リスク・コンピューティング資産または50%よりも多い低リスク・コンピューティング資産を有する場合には、そのコンピューティング・グループを中間リスクとみなすことができ、その他の場合には、そのコンピューティング・グループを低リスクとみなすことができる。
【0082】
図12は、本明細書に記載された1つまたは複数の実施形態による、コンピューティング資産の自動ヘルスチェック・リスク評価を容易にすることができる例示的で非限定的なコンピュータ実施方法1200の流れ図を示している。図12で実行される動作は非限定的な例であり、(例えば図12に示された順序に限定されない)適当な任意の順序で実行することができることに留意されたい。
【0083】
さまざまな実施形態において、操作1202は、プロセッサに動作可能に結合されたデバイス(例えば114)によって、規定制御(例えば108)に対するコンピューティング資産(例えば104)の非準拠に対応するベースライン・ヘルスチェック・リスク・スコア(例えば202)を生成することを含むことができる。
【0084】
さまざまな実施形態において、操作1204は、デバイス(例えば116)によって、規定制御の弱点因子(例えば304)に基づいてベースライン・ヘルスチェック・リスク・スコアを調整することを含むことができ、弱点因子は、コンピューティング資産の状態(例えば106)が規定制御から逸脱している大きさに基づくことができる。
【0085】
さまざまな実施形態において、操作1206は、デバイスに(例えば118)よって、コンピューティング資産の環境因子(例えば504)に基づいてベースライン・ヘルスチェック・リスク・スコアを調整することを含むことができ、環境因子は、コンピューティング資産に関連したセキュリティ機構またはセキュリティ・プロトコルに基づくことができる。
【0086】
さまざまな実施形態において、操作1208は、デバイス(例えば120)によって、コンピューティング資産のクリティカリティ因子(例えば704)に基づいてベースライン・ヘルスチェック・リスク・スコアを調整することを含むことができ、クリティカリティ因子は、コンピューティング資産の重要性レベルに基づくことができる。
【0087】
さまざまな実施形態において、操作1210は、デバイス(例えば122)によって、コンピューティング資産の成熟度因子(例えば802)に基づいてベースライン・ヘルスチェック・リスク・スコアを調整することを含むことができ、成熟度因子は、規定制御と推奨制御との差に基づくことができる。
【0088】
本明細書に開示された数値、百分率もしくはしきい値またはこれらの組合せは非限定的な例であることを理解すべきである。さまざまな態様において、他の適当な任意の値、百分率もしくはしきい値またはこれらの組合せを実施することができる。
【0089】
本明細書の説明は、人工知能パラダイムを利用して、弱点因子304、環境因子504、クリティカリティ因子704もしくは成熟度因子802またはこれらの組合せを生成/計算することができることを説明しているが、これは非限定的な例である。さまざまな態様において、機械学習が実施されるか否かによらず、適当な任意の技術によって、このような因子を生成/計算することができる。
【0090】
上記の考察の多くは、上記の教示を明確にするするための例としてパスワード・エージもしくはパスワード長またはその両方を使用している。このような例は非限定的であると理解される。さまざまなケースにおいて、本明細書の教示を、コンピューティング資産の適当な任意の状態、特性もしくは技術的属性またはこれらの組合せに適用することができる。
【0091】
本発明のさまざまな実施形態は、1つまたは複数の規定制御に対する1つまたは複数のコンピューティング資産の準拠もしくは非準拠またはその両方を監視することができ、それによって、そのような準拠もしくは非準拠またはその両方に関連したセキュリティ・リスクを数量化した調整されたヘルスチェック・リスク・スコアを生成/計算することができる、コンピュータ化された診断ツールを構成する。これによって、オペレーティング実体が、どの非準拠問題/資産に最初にサービスを提供すべきかについて優先順位をつける(例えばトリアージする)ことを可能にすることができる。さらに、上で説明したとおり、本発明のさまざまな実施形態は、非準拠の大きさ、資産のクリティカリティもしくは制御の成熟度またはこれらの組合せを考慮することができるため、本明細書に記載された調整されたヘルスチェック・リスク・スコアは、従来知られているベースライン・ヘルスチェック・リスク・スコアよりも正確であることがある。
【0092】
本明細書に記載されたさまざまな実施形態の追加の文脈を提供するため、図13および以下の考察は、本明細書に記載された実施形態のさまざまな実施形態を実施することができる適当なコンピューティング環境1300の簡潔な全般的な説明を提供することが意図されている。以上では、1台または数台のコンピュータ上で実行することができるコンピュータ実行可能命令の一般的な文脈で実施形態を説明したが、他のプログラム・モジュールと組み合わせて、もしくはハードウェアおよびソフトウェアの組合せとして、またはその両方で、実施形態を実施することもできることを当業者は認識するであろう。
【0093】
一般に、プログラム・モジュールは、特定のタスクを実行し、または特定の抽象データ型を実装する、ルーチン、プログラム、構成要素、データ構造などを含む。さらに、本発明の方法は、シングルプロセッサまたはマルチプロセッサ・コンピュータ・システム、ミニコンピュータ、メインフレーム・コンピュータ、モノのインターネット(IoT)・デバイス、分散コンピューティング・システム、パーソナル・コンピュータ、ハンドヘルド・コンピューティング・デバイス、マイクロプロセッサ・ベースのまたはプログラム可能な家庭用電子機器などを含む、他のコンピュータ・システム構成を用いて実施することもできることを当業者は認識するであろう。これらのコンピュータ・システム構成の各々は、1つまたは複数の関連デバイスに動作可能に結合されていることがあり得る。
【0094】
本明細書の実施形態の示された実施形態は、通信ネットワークを通してリンクされたリモート処理デバイスによってある種のタスクが実行される分散コンピューティング環境で実施することもできる。分散コンピューティング環境では、ローカル・メモリ・ストレージ・デバイスとリモート・メモリ・ストレージ・デバイスの両方にプログラム・モジュールを置くことができる。
【0095】
コンピューティング・デバイスは通常、さまざまな媒体を含み、それらの媒体は、コンピュータ可読ストレージ媒体、機械可読ストレージ媒体もしくは通信媒体またはこれらの組合せを含み得る。本明細書ではこれらの2つの用語が、以下のように互いに異なって使用される。コンピュータ可読ストレージ媒体または機械可読ストレージ媒体は、コンピュータがアクセスすることができる使用可能な任意のストレージ媒体であることができ、揮発性媒体と不揮発性媒体、取外し可能媒体と取外し不能媒体の両方を含む。例として、限定はされないが、コンピュータ可読ストレージ媒体または機械可読ストレージ媒体は、コンピュータ可読または機械可読の命令、プログラム・モジュール、構造化データまたは非構造化データなどの情報を格納するための任意の方法または技術に関連して実装することができる。
【0096】
コンピュータ可読ストレージ媒体は、限定はされないが、ランダム・アクセス・メモリ(RAM)、リード・オンリー・メモリ(ROM)、電気的に消去可能なプログラマブル・リード・オンリー・メモリ(EEPROM)、フラッシュ・メモリもしくは他のメモリ技術、コンパクト・ディスク・リード・オンリー・メモリ(CD-ROM)、デジタル・バーサタイル・ディスク(DVD)、Blu-rayディスク(BD)もしくは他の光学ディスク・ストレージ、磁気カセット、磁気テープ、磁気ディスク・ストレージもしくは他の磁気ストレージ・デバイス、ソリッドステート・ドライブもしくは他のソリッドステート・ストレージ・デバイス、あるいは所望の情報を格納する目的に使用することができる他の有形もしくは非一過性の媒体または有形かつ非一過性の媒体を含み得る。この点に関して、ストレージ、メモリまたはコンピュータ可読媒体に対して使用される本明細書における用語「有形」または「非一過性」は、修飾語(modifier)として、伝搬するだけの一過性の信号自体を排除し、それ自体が伝搬するだけの一過性の信号ではない全ての標準ストレージ、メモリまたはコンピュータ可読媒体に対する権利を放棄しないと理解される。
【0097】
コンピュータ可読ストレージ媒体には、その媒体によって格納された情報に対するさまざまな操作のために、例えばアクセス要求、問合せまたは他のデータ検索プロトコルを介して、1台または数台のローカルまたはリモート・コンピューティング・デバイスがアクセスすることができる。
【0098】
通信媒体は通常、変調されたデータ信号などのデータ信号、例えば搬送波または他の輸送機構の中のコンピュータ可読命令、データ構造体、プログラム・モジュール、または他の構造化データもしくは非構造化データを具体化し、任意の情報送達または移送媒体を含む。用語「変調されたデータ信号」は、データ信号の特性のうちの1つまたは複数の特性を有する信号であって、1つまたは複数の信号の中に情報をコード化するように設定または変更された信号を指す。例として、通信媒体は、限定はされないが、有線ネットワークまたは直接有線接続などの有線媒体、ならびに音響、RF、赤外線および他の無線媒体などの無線媒体を含む。
【0099】
再び図13を参照すると、本明細書に記載された態様のさまざまな実施形態を実施するための例示的な環境1300はコンピュータ1302を含み、コンピュータ1302は、処理ユニット1304、システム・メモリ1306およびシステム・バス1308を含む。システム・バス1308は、限定はされないがシステム・メモリ1306を含むシステム構成要素を処理ユニット1304に結合する。処理ユニット1304は、市販のさまざまなプロセッサのうちの任意のプロセッサとすることができる。デュアル・マイクロプロセッサおよびその他のマルチ・プロセッサ・アーキテクチャを処理ユニット1304として使用することもできる。
【0100】
システム・バス1308は、いくつかのタイプのバス構造体のうちの任意のバス構造体とすることができ、そのバス構造体はさらに、市販のさまざまなバス・アーキテクチャのうちの任意のバス・アーキテクチャを使用してメモリ・バス(メモリ・コントローラ有りまたは無し)、周辺バスおよびローカル・バスと相互接続することができる。システム・メモリ1306はROM1310およびRAM1312を含む。ROM、消去可能なプログラマブル・リード・オンリー・メモリ(EPROM)、EEPROMなどの不揮発性メモリに基本入出力システム(BIOS)を格納することができ、BIOSは、起動中などにコンピュータ1302内の要素間の情報転送を助ける基本ルーチンを含む。RAM1312はさらに、スタティックRAMなど、データをキャッシュするための高速RAMを含むことができる。
【0101】
コンピュータ1302はさらに、内部ハード・ディスク・ドライブ(HDD)1314(例えばEIDE、SATA)、1つまたは複数の外部ストレージ・デバイス1316(例えば、磁気フロッピー(R)・ディスク・ドライブ(FDD)1316、メモリ・スティックまたはフラッシュ・ドライブ・リーダ、メモリ・カード・リーダなど)、および例えばソリッドステート・ドライブ、光ディスク・ドライブなどのドライブ1320を含み、ドライブ1320は、CD-ROMディスク、DVD、BDなどのディスク1322からの読出しまたは書込みができる。あるいは、ソリッドステート・ドライブが含まれている場合、別個にあるのでなければディスク1322は含まれないであろう。内部HDD1314はコンピュータ1302内に置かれているように示されているが、適当なシャーシ(図示せず)内で外部使用されるように内部HDD1314を構成することもできる。さらに、環境1300には示されていないが、HDD1314に加えてまたはHDD1314の代わりに、ソリッドステート・ドライブ(SSD)を使用することもできる。HDD1314、外部ストレージ・デバイス1316およびドライブ1320を、それぞれHDDインタフェース1324、外部ストレージ・インタフェース1326およびドライブ・インタフェース1328によってシステム・バス1308に接続することができる。外部ドライブ実装用のインタフェース1324は、ユニバーサル・シリアル・バス(USB)インタフェース技術と米国電気電子技術者協会(IEEE)1394インタフェース技術のうちの少なくとも一方または両方を含むことができる。他の外部ドライブ接続技術も本明細書に記載された実施形態の企図に含まれる。
【0102】
これらのドライブおよびそれらの関連コンピュータ可読ストレージ媒体は、データ、データ構造体、コンピュータ実行可能命令などの不揮発性ストレージを提供する。コンピュータ1302に関して、これらのドライブおよびストレージ媒体は、適当なデジタル形式のデータの格納に対応する。上記のコンピュータ可読ストレージ媒体の説明は、対応するそれぞれのタイプのストレージ・デバイスに関するものであるが、現在存在しているものであるのかまたは将来に開発されるものであるのかを問わず、コンピュータが読むことができる他のタイプのストレージ媒体を、この例示的な動作環境で使用することもできること、さらに、そのようなストレージ媒体は、本明細書に記載された方法を実行するためのコンピュータ実行可能命令を含むことができることを当業者は理解すべきである。
【0103】
これらのドライブおよびRAM1312に、オペレーティング・システム1330、1つまたは複数のアプリケーション・プログラム1332、他のプログラム・モジュール1334およびプログラム・データ1336を含む、いくつかのプログラム・モジュールを格納することができる。これらのオペレーティング・システム、アプリケーション、モジュールもしくはデータまたはこれらの組合せの全部または部分をRAM1312にキャッシュすることもできる。本明細書に記載されたシステムおよび方法は、市販のさまざまなオペレーティング・システムまたはオペレーティング・システムの組合せを利用して実施することができる。
【0104】
任意選択で、コンピュータ1302はエミュレーション技術を含むことができる。例えば、オペレーティング・システム1330のハードウェア環境をハイパーバイザ(図示せず)または他の中間物がエミュレートすることができ、任意選択で、エミュレートされたハードウェアが、図13に示されたハードウェアとは異なることができる。そのような実施形態では、オペレーティング・システム1330が、コンピュータ1302にホストされた多数の仮想機械(VM)のうちの1つのVMを含むことができる。さらに、オペレーティング・システム1330は、Java(R)実行時環境またはNETフレームワークなどの実行時環境をアプリケーション1332に対して提供することができる。実行時環境は、その実行時環境を含む任意のオペレーティング・システム上でアプリケーション1332を実行することを可能にする首尾一貫した実行環境である。同様に、オペレーティング・システム1330はコンテナをサポートすることができ、アプリケーション1332はコンテナの形態をとることができ、コンテナは、例えばアプリケーションのためのコード、実行時、システム・ツール、システム・ライブラリおよび設定を含む、ソフトウェアの軽量の独立型実行可能パッケージである。
【0105】
さらに、コンピュータ1302は、トラステッド・プラットフォーム・モジュール(TrustedPlatform Module)(TPM)などのセキュリティ・モジュールで有効にすることができる。例えば、TPMを用いて、ブート構成要素は、時間的に次のブート構成要素をハッシュし、セキュアな値との結果の一致を待ってから次のブート構成要素をロードする。このプロセスは、コンピュータ1302のコード実行スタックの中の任意の層で起こることができ、例えば、アプリケーション実行レベルまたはオペレーティング・システム(OS)カーネル・レベルで適用され、それによってコード実行の任意のレベルでセキュリティを有効にする。
【0106】
ユーザは、1つまたは複数の有線/無線入力デバイス、例えばキーボード1338、タッチ・スクリーン1340およびポインティング・デバイス、例えばマウス1342によってコンピュータ1302にコマンドおよび情報を入力することができる。他の入力デバイス(図示せず)は、マイクロフォン、赤外線(IR)リモート・コントロール、無線周波(RF)リモート・コントロールまたは他のリモート・コントロール、ジョイスティック、仮想現実コントローラもしくは仮想現実ヘッドセットまたはその両方、ゲーム・パッド、スタイラス・ペン、イメージ入力デバイス、例えばカメラ、ジェスチャ・センサ入力デバイス、視覚運動センサ入力デバイス、感情または顔検出デバイス、バイオメトリック入力デバイス、例えば指紋または虹彩スキャナなどを含み得る。これらの入力デバイスおよび他の入力デバイスはしばしば、システム・バス1308に結合することができる入力デバイス・インタフェース1344を通して処理ユニット1304に接続されるが、それらの入力デバイスを、パラレル・ポート、IEEE1394シリアル・ポート、ゲーム・ポート、USBポート、IRインタフェース、BLUETOOTH(R)インタフェースなどの他のインタフェースによって接続することもできる。
【0107】
モニタ1346または他のタイプのディスプレイ・デバイスを、ビデオ・アダプタ1348などのインタフェースを介してシステム・バス1308に接続することもできる。モニタ1346に加えて、コンピュータは通常、スピーカ、プリンタなどの他の周辺出力デバイス(図示せず)を含む。
【0108】
コンピュータ1302は、リモート・コンピュータ1350などの1台または数台のリモート・コンピュータへの有線通信もしくは無線通信またはその両方を介した論理接続を使用して、ネットワーク化された環境で動作することができる。リモート・コンピュータ1350は、ワークステーション、サーバ・コンピュータ、ルータ、パーソナル・コンピュータ、ポータブル・コンピュータ、マイクロプロセッサ・ベースのエンターテイメント機器、ピア・デバイスまたは他の一般的なネットワーク・ノードであることができ、典型的には、コンピュータ1302に関して説明した多くの要素または全ての要素を含むが、簡潔にするため、メモリ/ストレージ・デバイス1352だけが示されている。図示された論理接続は、ローカル・エリア・ネットワーク(LAN)1354もしくはより大きなネットワーク、例えばワイド・エリア・ネットワーク(WAN)1356、またはその両方への有線/無線接続性を含む。そのようなLANおよびWANネットワーキング環境は、事業所および会社では普通であり、イントラネットなどの企業内コンピュータ・ネットワークを容易にし、それらのネットワークは全て、グローバル通信ネットワーク、例えばインターネットに接続することができる。
【0109】
LANネットワーキング環境で使用されるときには、有線通信ネットワーク・インタフェースもしくはアダプタ1358または無線通信ネットワーク・インタフェースもしくはアダプタ1358、あるいはその両方を通して、コンピュータ1302をローカル・ネットワーク1354に接続することができる。アダプタ1358は、LAN1354への有線または無線通信を容易にすることができ、LAN1354はさらに、アダプタ1358と無線モードで通信するためにLAN1354上に配置されたワイヤレス・アクセス・ポイント(AP)を含むことができる。
【0110】
WANネットワーキング環境で使用されるときには、コンピュータ1302はモデム1360を含むことができ、またはコンピュータ1302を、WAN1356上での通信、例えばインターネットを経由した通信を確立するための他の手段を介してWAN1356上の通信サーバに接続することができる。モデム1360は、内部または外部の有線または無線デバイスであることができ、入力デバイス・インタフェース1344を介してモデム1360をシステム・バス1308に接続することができる。ネットワーク化された環境では、コンピュータ1302に関して示されたプログラム・モジュールまたはその部分を、リモート・メモリ/ストレージ・デバイス1352に格納することができる。示されたネットワーク接続は例であり、コンピュータ間の通信リンクを確立する他の手段を使用することもできることが理解されよう。
【0111】
LANまたはWANネットワーキング環境で使用されるとき、コンピュータ1302は、上で説明した外部ストレージ・デバイス1316に加えて、または外部ストレージ・デバイス1316の代わりに、限定はされないが、情報の格納または処理の1つまたは複数の態様を提供するネットワーク仮想機械などの、クラウド・ストレージ・システムまたは他のネットワーク・ベースのストレージ・システムにアクセスすることができる。一般に、コンピュータ1302とクラウド・ストレージ・システムとの間の接続は、LAN1354またはWAN1356上で、例えばそれぞれアダプタ1358またはモデム1360によって確立することができる。コンピュータ1302を関連クラウド・ストレージ・システムに接続すると、外部ストレージ・インタフェース1326は、アダプタ1358もしくはモデム1360またはその両方の助けを借りて、クラウド・ストレージ・システムによって提供されたストレージを、他のタイプの外部ストレージと同様に管理することができる。例えば、クラウド・ストレージ・ソースがあたかもコンピュータ1302に物理的に接続されているかのようなクラウド・ストレージ・ソースへのアクセスを提供するように、外部ストレージ・インタフェース1326を構成することができる。
【0112】
コンピュータ1302は、無線通信するように動作可能に配置された任意の無線デバイスまたはエンティティ、例えばプリンタ、スキャナ、デスクトップ・コンピュータもしくはポータブル・コンピュータまたはその両方、ポータブル・データ・アシスタント、通信衛星、無線で検出可能なタグに関連付けられた任意の機器または位置(例えばキオスク、新聞販売所、商店の棚など)、および電話機と通信するように動作可能であることができる。これは、ワイヤレス・フィデリティ(Wireless Fidelity)(Wi-Fi)およびBLUETOOTH(R)無線技術を含むことができる。したがって、この通信を、従来のネットワークと同様の予め定められた構造、または少なくとも2台のデバイス間のアドホック通信とすることができる。
【0113】
次に図14を参照すると、例示的なクラウド・コンピューティング環境1400が示されている。示されているとおり、クラウド・コンピューティング環境1400は1つまたは複数のクラウド・コンピューティング・ノード1402を含み、クラウド・コンシューマによって使用されるローカル・コンピューティング・デバイス、例えば携帯情報端末(PDA)もしくは携帯電話1404、デスクトップ・コンピュータ1406、ラップトップ・コンピュータ1408または自動車コンピュータ・システム1410あるいはこれらの組合せは、これらのノードと通信することができる。ノード1402は互いに通信することができる。それらのノードは、プライベート・クラウド、コミュニティ・クラウド、パブリック・クラウドもしくはハイブリッド・クラウドまたはこれらの組合せなどの1つまたは複数のネットワークに、物理的にまたは仮想的にグループ分けされていることがある(図示せず)。これによって、クラウド・コンピューティング環境1400は、インフラストラクチャ、プラットホームもしくはソフトウェアまたはこれらの組合せをサービスとして提供することができ、そのため、クラウド・コンシューマは、ローカル・コンピューティング・デバイス上にリソースを維持する必要がない。図14に示されたタイプのコンピューティング・デバイス1404~1410は単なる例であることが意図されていること、ならびにコンピューティング・ノード1402およびクラウド・コンピューティング環境1400は、任意のタイプのネットワーク上もしくはアドレス指定可能なネットワーク接続上またはその両方で(例えばウェブ・ブラウザを使用して)、任意のタイプのコンピュータ化されたデバイスと通信することができることが理解される。
【0114】
次に図15を参照すると、クラウド・コンピューティング環境1400(図14)によって提供される一組の機能抽象化層が示されている。簡潔にするため、本明細書に記載された他の実施形態で使用されている同じ要素の繰り返しの説明は省く。図15に示されている構成要素、層および機能は単なる例であることが意図されており、本発明の実施形態はそれらに限定されないことを予め理解しておくべきである。図示のとおり、以下の層および対応する機能が提供される。
【0115】
ハードウェアおよびソフトウェア層1502は、ハードウェア構成要素およびソフトウェア構成要素を含む。ハードウェア構成要素の例は、メインフレーム1504、RISC(縮小命令セット・コンピュータ)アーキテクチャ・ベースのサーバ1506、サーバ1508、ブレード・サーバ(blade server)1510、ストレージ・デバイス1512ならびにネットワークおよびネットワーキング構成要素1514を含む。いくつかの実施形態では、ソフトウェア構成要素が、ネットワーク・アプリケーション・サーバ・ソフトウェア1516およびデータベース・ソフトウェア1518を含む。
【0116】
仮想化層1515は、仮想実体の以下の例を提供することができる抽象化層を提供する:仮想サーバ1522、仮想ストレージ1524、仮想プライベート・ネットワークを含む仮想ネットワーク1526、仮想アプリケーションおよびオペレーティング・システム1528、ならびに仮想クライアント1530。
【0117】
一例では、管理層1532が以下の機能を提供することができる。リソース・プロビジョニング(Resource provisioning)1534は、クラウド・コンピューティング環境内でタスクを実行する目的に利用されるコンピューティング・リソースおよびその他のリソースの動的調達を提供する。計量および価格決定(Metering and Pricing)1536は、クラウド・コンピューティング環境内でリソースが利用されたときの費用追跡、およびこれらのリソースの消費に対する課金または請求を提供する。一例では、これらのリソースがアプリケーション・ソフトウェア・ライセンスを含むことがある。セキュリティは、クラウド・コンシューマおよびタスクの識別確認ならびにデータおよび他のリソースの保護を提供する。ユーザ・ポータル1538は、コンシューマおよびシステム管理者に、クラウド・コンピューティング環境へのアクセスを提供する。サービス水準管理(Service level management)1540は、必要なサービス水準が達成されるようなクラウド・コンピューティング・リソースの割振りおよび管理を提供する。サービス水準合意(Service Level Agreement)(SLA)計画および履行1542は、SLAに従って将来必要になると予想されるクラウド・コンピューティング・リソースの事前調整および調達を提供する。
【0118】
ワークロード層1544は、クラウド・コンピューティング環境を利用することができる機能の例を提供する。この層から提供することができるワークロードおよび機能の例は、マッピングおよびナビゲーション1546、ソフトウェア開発およびライフサイクル管理1548、仮想教室教育配信1550、データ解析処理1552、トランザクション処理1554、ならびに差分プライバシー連合学習処理1556を含む。本発明のさまざまな実施形態は、図14および15を参照して説明したクラウド・コンピューティング環境を利用して、本明細書に記載されたさまざまな実施形態による1つまたは複数の差分プライバシー連合学習プロセスを実行することができる。
【0119】
本発明は、インテグレーションの可能な任意の技術的詳細レベルにおいて、システム、方法、装置もしくはコンピュータ・プログラム製品、またはこれらの組合せであることがある。コンピュータ・プログラム製品は、本発明の態様をプロセッサに実行させるためのコンピュータ可読プログラム命令をその上に有するコンピュータ可読ストレージ媒体を含むことができる。このコンピュータ可読ストレージ媒体は、命令実行デバイスが使用するための命令を保持および格納することができる有形のデバイスとすることができる。このコンピュータ可読ストレージ媒体は例えば、限定はされないが、電子ストレージ・デバイス、磁気ストレージ・デバイス、光学ストレージ・デバイス、電磁気ストレージ・デバイス、半導体ストレージ・デバイスまたはこれらの任意の適当な組合せとすることができる。コンピュータ可読ストレージ媒体のより具体的な例の非網羅的なリストはさらに、ポータブル・コンピュータ・ディスケット、ハード・ディスク、ランダム・アクセス・メモリ(RAM)、リード・オンリー・メモリ(ROM)、消去可能なプログラマブル・リードオンリー・メモリ(EPROMまたはフラッシュ・メモリ)、スタティック・ランダム・アクセス・メモリ(SRAM)、ポータブル・コンパクト・ディスク・リード・オンリー・メモリ(CD-ROM)、デジタル・バーサタイル・ディスク(DVD)、メモリ・スティック(R)、フロッピー(R)・ディスク、機械的にコード化されたデバイス、例えばパンチカードまたはその上に命令が記録された溝の中の一段高くなった構造体、およびこれらの任意の適当な組合せを含み得る。本明細書で使用されるとき、コンピュータ可読ストレージ媒体は、それ自体が一過性の信号、例えば電波もしくは他の自由に伝搬する電磁波、ウェーブガイドもしくは他の伝送体内を伝搬する電磁波(例えば光ファイバ・ケーブル内を通る光パルス)、または電線を通して伝送される電気信号であると解釈されるべきではない。
【0120】
本明細書に記載されたコンピュータ可読プログラム命令は、コンピュータ可読ストレージ媒体からそれぞれのコンピューティング/処理デバイスにダウンロードすることができ、またはネットワーク、例えばインターネット、ローカル・エリア・ネットワーク、ワイド・エリア・ネットワークもしくは無線ネットワークまたはこれらの組合せを介して外部コンピュータもしくは外部ストレージ・デバイスにダウンロードすることができる。このネットワークは、銅伝送ケーブル、光伝送ファイバ、無線伝送、ルータ、ファイアウォール、スイッチ、ゲートウェイ・コンピュータもしくはエッジ・サーバ、またはこれらの組合せを含むことができる。それぞれのコンピューティング/処理デバイス内のネットワーク・アダプタ・カードまたはネットワーク・インタフェースは、コンピュータ可読プログラム命令をネットワークから受信し、それらのコンピュータ可読プログラム命令を、それぞれのコンピューティング/処理デバイス内のコンピュータ可読ストレージ媒体に格納するために転送する。本発明の動作を実行するためのコンピュータ可読プログラム命令は、アセンブラ命令、命令セット・アーキテクチャ(ISA)命令、機械命令、機械依存命令、マイクロコード、ファームウェア命令、状態設定データ、もしくは集積回路用のコンフィギュレーション・データであってもよく、またはSmalltalk(R)、C++などのオブジェクト指向プログラミング言語、および「C」プログラミング言語または同種のプログラミング言語などの手続き型プログラミング言語を含む、1つまたは複数のプログラミング言語の任意の組合せで書かれた、ソース・コードもしくはオブジェクト・コードであることができる。このコンピュータ可読プログラム命令は、全体がユーザのコンピュータ上で実行されてもよく、一部がユーザのコンピュータ上で実行されてもよく、独立型ソフトウェア・パッケージとして実行されてもよく、一部がユーザのコンピュータ上で、一部がリモート・コンピュータ上で実行されてもよく、または全体がリモート・コンピュータもしくはリモート・サーバ上で実行することができる。上記の最後のシナリオでは、リモート・コンピュータを、ローカル・エリア・ネットワーク(LAN)もしくはワイド・エリア・ネットワーク(WAN)を含む任意のタイプのネットワークを介してユーザのコンピュータに接続されたものとすることができ、またはこの接続を、外部コンピュータに対して(例えばインターネット・サービス・プロバイダを使用してインターネットを介して)実施することができる。いくつかの実施形態では、本発明の態様を実行するために、例えばプログラマブル・ロジック・サーキット、フィールド・プログラマブル・ゲート・アレイ(FPGA)またはプログラマブル・ロジック・アレイ(PLA)を含む電子回路が、このコンピュータ可読プログラム命令の状態情報を利用してその電子回路をパーソナライズすることにより、このコンピュータ可読プログラム命令を実行することができる。
【0121】
本明細書では、本発明の態様が、本発明の実施形態による方法、装置(システム)およびコンピュータ・プログラム製品の流れ図もしくはブロック図またはその両方の図を参照して説明される。それらの流れ図もしくはブロック図またはその両方の図のそれぞれのブロック、およびそれらの流れ図もしくはブロック図またはその両方の図のブロックの組合せは、コンピュータ可読プログラム命令によって実施することができることが理解されよう。これらのコンピュータ可読プログラム命令は、コンピュータまたは他のプログラム可能データ処理装置のプロセッサによって実行される命令が、流れ図もしくはブロック図またはその両方の図の1つまたは複数のブロックに指定される機能/動作を実施する手段を生成するように、機械を形成する汎用コンピュータ、専用コンピュータまたは他のプログラム可能データ処理装置のプロセッサに提供することができる。これらのコンピュータ可読プログラム命令はさらに、その中に命令が格納されたコンピュータ可読ストレージ媒体が、流れ図もしくはブロック図またはその両方の図の1つまたは複数のブロックに指定される機能/動作の態様を実施する命令を含む製品を含むように、特定の方式で機能するようにコンピュータ、プログラム可能データ処理装置もしくは他のデバイスまたはこれらの組合せに指図することができるコンピュータ可読ストレージ媒体に格納することができる。これらのコンピュータ可読プログラム命令はさらに、コンピュータ、他のプログラム可能装置または他のデバイス上で実施されるこれらの命令が、流れ図もしくはブロック図またはその両方の図の1つまたは複数のブロックに指定される機能/動作を実施するように、コンピュータによって実施されるプロセスを生成するために、コンピュータ、他のプログラム可能データ処理装置または他のデバイスにロードされ、コンピュータ、他のプログラム可能装置または他のデバイス上で一連の動作行為を実行させることができる。
【0122】
添付図中の流れ図およびブロック図は、本発明のさまざまな実施形態によるシステム、方法およびコンピュータ・プログラム製品の可能な実施態様のアーキテクチャ、機能および動作を示している。この点に関して、それらの流れ図またはブロック図のそれぞれのブロックは、指定された論理機能を実施するための1つまたは複数の実行可能命令を含む、命令のモジュール、セグメントまたは部分を表し得る。いくつかの代替実施態様では、これらのブロックに示された機能を、図に示された順序とは異なる順序で実施することができる。例えば、連続して示された2つのブロックを、実際には、実質的に同時に実行することができ、または、関連する機能によってはそれらのブロックを逆の順序で実行することもできる。それらのブロック図もしくは流れ図またはその両方の図のそれぞれのブロック、ならびにそれらのブロック図もしくは流れ図またはその両方の図のブロックの組合せを、指定された機能もしくは動作を実行しまたは専用ハードウェアとコンピュータ命令の組合せを実行する専用のハードウェアベースのシステムによって実施することができることにも留意されたい。
【0123】
以上に、1台のコンピュータ上もしくは複数のコンピュータ上またはその両方で実行されるコンピュータ・プログラム製品のコンピュータ実行命令の一般的な文脈で主題を説明したが、他のプログラム・モジュールと組み合わせて本開示を実施することもできることを当業者は認識するであろう。一般に、プログラム・モジュールは、特定のタスクを実行し、もしくは特定の抽象データ型を実装し、またはその両方を実行する、ルーチン、プログラム、構成要素、データ構造体などを含む。さらに、本発明のコンピュータ実施方法は、シングルプロセッサまたはマルチプロセッサ・コンピュータ・システム、ミニコンピューティング・デバイス、メインフレーム・コンピュータ、コンピュータ、ハンドヘルド・コンピューティング・デバイス(例えばPDA、電話機)、マイクロプロセッサ・ベースのまたはプログラム可能な家庭用または産業用電子機器などを含む、他のコンピュータ・システム構成を用いて実施することもできることを当業者は認識するであろう。示された態様は、通信ネットワークを通してリンクされたリモート処理デバイスによってタスクが実行される分散コンピューティング環境で実施することもできる。しかしながら、全部ではないにせよ、本開示の一部の態様を、独立型コンピュータ上で実施することもできる。分散コンピューティング環境では、ローカル・メモリ・ストレージ・デバイスとリモート・メモリ・ストレージ・デバイスの両方にプログラム・モジュールを置くことができる。
【0124】
本出願で使用されるとき、用語「構成要素」、「システム」、「プラットホーム」、「インタフェース」などは、1つもしくは複数の特定の機能を有する、コンピュータに関係したエンティティもしくはオペレーショナル・マシン(operational machine)に関係したエンティティを指すことができ、またはそのようはエンティティを含むことができ、あるいはその両方であることができる。本明細書に開示されたエンティティは、ハードウェア、ハードウェアとソフトウェアの組合せ、ソフトウェア、または実行中のソフトウェアであることができる。例えば、構成要素は、限定はされないが、プロセッサ上で実行されるプロセス、プロセッサ、オブジェクト、実行ファイル、実行スレッド、プログラムもしくはコンピュータ、またはこれらの組合せであることができる。例として、サーバ上で実行されるアプリケーションとサーバの両方が構成要素であることがある。プロセスもしくは実行スレッドまたはその両方の中に、1つまたは複数の構成要素が存在することができ、構成要素は、1つのコンピュータ上に限局されていること、もしくは2つ以上のコンピュータ間に分散化されていること、またはその両方であることができる。別の例では、さまざまなデータ構造がその上に格納されたさまざまなコンピュータ可読媒体から、それぞれの構成要素を実行することができる。構成要素は、ローカル・プロセスもしくはリモート・プロセスまたはその両方を介して、例えば1つまたは複数のデータ・パケット(例えば、ローカル・システム内で、分散システム内で、もしくはインターネットなどのネットワークを経由して、またはこれらの組合せで、他のシステムとともに、信号を介して別の構成要素と対話している1つの構成要素からのデータ)を有する信号に従って通信することができる。別の例として、構成要素は、電気または電子回路によって操作される機械部品によって提供される特定の機能を有する装置であることができ、この電気または電子回路は、プロセッサによって実行されるソフトウェアまたはファームウェア・アプリケーションによって操作される。このような場合、プロセッサは、装置内または装置外に置くことができ、ソフトウェア・アプリケーションまたはファームウェア・アプリケーションの少なくとも一部を実行することができる。別の例として、構成要素は、機械部品を含まない電子構成要素を介して特定の機能を提供する装置であることができ、それらの電子構成要素は、電子構成要素の機能を少なくとも部分的に与えるソフトウェアまたはファームウェアを実行するためのプロセッサまたは他の手段を含むことができる。一態様では、構成要素が、例えばクラウド・コンピューティング・システム内で、仮想機械を介して電子構成要素をエミュレートすることができる。
【0125】
さらに、用語「または」は、排他的な「または」ではなく包括的な「または」を意味することが意図されている。すなわち、特段の記載がある場合、または文脈から明白である場合を除き、「XがAまたはBを使用する」は、自然な包括的置換(natural inclusive permutation)のうちのいずれかを意味することが意図されている。すなわち、XがAを使用する場合、XがBを使用する場合、またはXがAとBの両方を使用する場合、「Xが、AまたはBを使用する」は、上記のいずれの事例の下でも満たされる。さらに、特段の記載がある場合、または単数形を指示していることが文脈から明白である場合を除き、本明細書および添付図面で使用される冠詞「a」および「an」は、一般に、「1つまたは複数」を意味すると解釈すべきである。本明細書で使用されるとき、用語「例」もしくは「例示的な」またはその両方は、例、事例または例示として役に立つものであることを意味するために利用される。誤解を避けるために言うと、本明細書に開示された主題はこのような例によって限定されない。さらに、「例」もしくは「例示的な」またはその両方として本明細書に記載された任意の態様または設計を、他の態様または設計よりも好ましいまたは有利であると解釈する必要は必ずしもなく、あるいは、そのような態様または設計が、当業者に知られている等価の例示的な構造体および技術を排除することも意味しない。
【0126】
本明細書で使用されるとき、「プロセッサ」という用語は、限定はされないが、シングルコア・プロセッサ、ソフトウェア・マルチスレッド実行機能を有するシングルコア・プロセッサ、マルチコア・プロセッサ、ソフトウェア・マルチスレッド実行機能を有するマルチコア・プロセッサ、ハードウェア・マルチスレッド技術を有するマルチコア・プロセッサ、パラレル・プラットホーム、および分散共用メモリを有するパラレル・プラットホームを含む、実質的に任意のコンピューティング処理ユニットまたはデバイスを指し得る。さらに、プロセッサは、本明細書に記載された機能を実行するように設計された集積回路、特定用途向け集積回路(ASIC)、デジタル信号処理プロセッサ(DSP)、フィールド・プログラマブル・ゲート・アレイ(FPGA)、プログラマブル・ロジック・コントローラ(PLC)、複合プログラマブル・ロジック・デバイス(CPLD)、ディスクリート・ゲートまたはトランジスタ・ロジック、ディスクリート・ハードウェア構成要素、またはこれらの任意の組合せを指し得る。さらに、プロセッサは、空間使用を最適化し、またはユーザ機器の性能を強化するために、限定はされないが、分子ベースおよび量子ドット・ベースのトランジスタ、スイッチおよびゲートなどのナノスケール・アーキテクチャを利用することができる。プロセッサを、コンピューティング処理ユニットの組合せとして実施することもできる。本開示では、「ストア」、「ストレージ」、「データ・ストア」、「データ・ストレージ」、「データベース」などの用語、ならびに構成要素の動作および機能に関連する実質的に任意の他の情報ストレージ構成要素が、「メモリ」またはメモリを含む構成要素として具体化された実体である「メモリ構成要素」を指すために利用される。本明細書に記載されたメモリもしくはメモリ構成要素またはその両方は、揮発性メモリもしくは不揮発性メモリであることができ、または揮発性メモリと不揮発性メモリの両方を含むことができることを認識すべきである。例として、不揮発性メモリは、限定はされないが、リード・オンリー・メモリ(ROM)、プログラマブルROM(PROM)、消去可能なプログラマブルROM(EPROM)、電気的に消去可能なプログラマブルROM(EEPROM)、フラッシュ・メモリまたは不揮発性のランダム・アクセス・メモリ(RAM)(例えば強誘電体RAM(FeRAM))を含むことができる。揮発性メモリはRAMを含むことができ、RAMは、例えば外部キャッシュ・メモリとして機能することができる。例として、限定はされないが、スタティックRAM(SRAM)、ダイナミックRAM(DRAM)、シンクロナスDRAM(SDRAM)、ダブル・データ・レートSDRAM(DDR SDRAM)、エンハンストSDRAM(ESDRAM)、SyncLink DRAM(SLDRAM)、ダイレクトRambus RAM(DRRAM)、ダイレクトRambusダイナミックRAM(DRDRAM)およびRambusダイナミックRAM(RDRAM)など、多くの形態で使用可能である。さらに、本明細書のシステムまたはコンピュータ実施方法の開示されたメモリ構成要素は、含むことに限定はされないが、これらのタイプのメモリおよび他の適当なタイプのメモリを含むことが意図されている。
【0127】
以上に説明したことは、システムおよびコンピュータ実施方法の単なる例を含む。当然ながら、本開示を説明するために、構成要素またはコンピュータ実施方法の考え得るあらゆる組合せを記載することは不可能だが、本開示の他の多くの組合せおよび置換が可能であることを当業者は理解することができる。さらに、詳細な説明、特許請求の範囲、付録および図面において用語「含む(includes)」、「有する(has)」、「所有する(possesses)」などが使用される範囲で、そのような用語は、用語「備える/含む(comprising)」が、請求項中で転換語(transitional word)として使用されているときに解釈されるのと同様に、包括的であることが意図されている。
【0128】
さまざまな実施形態の以上の説明は例示のために示したものであり、以上の説明が網羅的であること、または、以上の説明が、開示された実施形態だけに限定されることは意図されていない。当業者には、記載された実施形態の範囲を逸脱しない多くの変更および変形が明らかとなろう。本明細書で使用した用語は、実施形態の原理、実用的用途、もしくは市販されている技術にはない技術的改善点を最もよく説明するように、または本明細書に開示された実施形態を当業者が理解できるように選択した。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
