特表 2024-505527 クラウドにおける統合ポリシー施行管理

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】公表特許公報(A)

(11)【公表番号】

(43)【公表日】2024-02-06

(54)【発明の名称】クラウドにおける統合ポリシー施行管理

(51)【国際特許分類】

   H04L 12/22 20060101AFI20240130BHJP

   H04L 67/2871 20220101ALI20240130BHJP

   G06F 21/55 20130101ALI20240130BHJP

【ＦＩ】

H04L12/22

H04L67/2871

G06F21/55

【審査請求】有

【予備審査請求】未請求

(21)【出願番号】P 2023545960

(86)(22)【出願日】2022-01-27

(85)【翻訳文提出日】2023-08-29

(86)【国際出願番号】 US2022014134

(87)【国際公開番号】W WO2022165061

(87)【国際公開日】2022-08-04

(31)【優先権主張番号】17/163,408

(32)【優先日】2021-01-30

(33)【優先権主張国・地域又は機関】US

(31)【優先権主張番号】17/163,411

(32)【優先日】2021-01-30

(33)【優先権主張国・地域又は機関】US

(31)【優先権主張番号】17/163,415

(32)【優先日】2021-01-30

(33)【優先権主張国・地域又は機関】US

(31)【優先権主張番号】17/163,416

(32)【優先日】2021-01-30

(33)【優先権主張国・地域又は機関】US

(31)【優先権主張番号】17/384,618

(32)【優先日】2021-07-23

(33)【優先権主張国・地域又は機関】US

(81)【指定国・地域】

【公序良俗違反の表示】

（特許庁注：以下のものは登録商標）

１．ＪＡＶＡＳＣＲＩＰＴ

(71)【出願人】

【識別番号】517325652

【氏名又は名称】ネットスコープ， インク．

【氏名又は名称原語表記】ＮＥＴＳＫＯＰＥ， ＩＮＣ．

(74)【代理人】

【識別番号】100114476

【弁理士】

【氏名又は名称】政木 良文

(72)【発明者】

【氏名】カンド， リイ

(72)【発明者】

【氏名】サバンナ， カルティク

(72)【発明者】

【氏名】ダタール， アミット ガネッシュ

【テーマコード（参考）】

5K030

【Ｆターム（参考）】

5K030GA15

5K030HA08

5K030HC01

5K030JA10

5K030LC13

(57)【要約】

本技術は、検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合する、クラウドベースのセキュリティシステムのためのコンピュータ実装ポリシーマネージャデバイスを開示する。デバイスは、統合機能のうちの２つ以上によって共有される共通フィールドを含む、クラウドベースの統合機能にわたってセキュリティポリシーを指定するフィールドのスーパーセットのためのデータマネージャと、統合機能の各々に適用される共通フィールドの値のための共通フォーマットでポリシー指定を受信及び記憶し、それによって、受信するための手段と対話するユーザが、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のクラウドベースの統合機能を統制するセキュリティポリシーを指定することができるようにする、手段と、を含む。また、クラウドベースの統合機能の間でそれぞれの機能に適用可能なポリシー指定を検証し、保存し、分散させるように構成されたポリシーマネージャも含まれる。
【選択図】図１

【特許請求の範囲】

【請求項1】

検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のクラウドベースの統合機能を管理する、クラウドベースのセキュリティシステムのためのコンピュータ実装ポリシーマネージャデバイスであって、
前記パケットレベルのアクセス制御は、パケットヘッダの形成異常を検査し、前記プロトコルレベルのアクセス制御は、悪意のあるシグネチャのディープパケット検査を実施し、前記脅威検出は、ＨＴＴＰ／Ｓストリーム内のトラフィックが脅威宛先に向けられているかどうかを判定し、前記アクティビティのコンテキスト化は、クラウドベースのアプリケーションにアクセスするＨＴＴＰ／Ｓストリーム内のアクティビティが危険を及ぼしているアクティビティであるかどうかを認識し、
前記ポリシーマネージャデバイスは、
前記統合機能のうちの２つ以上によって共有される共通フィールドを含む、前記クラウドベースの統合機能にわたってセキュリティポリシーを指定するために使用されるフィールドのスーパーセットのためのコンピュータ実装データマネージャと、
コンピュータ実装指定レシーバであって、前記統合機能の各々に適用される前記共通フィールドの値のための共通フォーマットでポリシー指定を処理し、それによって、前記指定レシーバと対話するユーザが、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の前記クラウドベースの統合機能を統制するセキュリティポリシーを指定することができるようにする、コンピュータ実装指定レシーバと、
前記クラウドベースの統合機能の間でそれぞれの機能に適用可能な前記ポリシー指定を検証し、保存し、分散させるように構成されたコンピュータ実装ポリシーマネージャと、を含む、コンピュータ実装ポリシーマネージャデバイス。

【請求項2】

前記共通フィールドは、
検査されるトラフィックのソース、前記トラフィックの宛先、前記トラフィックによって使用されるプロトコル、検査可能なトラフィックにおいて指定されるアクティビティ、並びに検査から生じる例外の場合にトリガされる特定の機能及びアクションを含む、請求項１に記載のコンピュータ実装ポリシーマネージャデバイス。

【請求項3】

前記共通フィールドの前記値は、
検査されるトラフィックのソース又は宛先について、ＩＰアドレス若しくは範囲、又はポート番号と、
前記トラフィックによって使用されるプロトコルについて、ＨＴＴＰ／Ｓ、ＴＣＰ、ＵＤＰ、又はＩＣＭＰと、
検査可能なトラフィックで指定されたアクティビティについて、アップロード、ダウンロード、プレビュー又は共有と、
特定の機能のプロファイルについて、前記アクセス制御及びトラフィック検査、前記脅威検出、並びに前記アクティビティのコンテキスト化のうちの１つ以上と、
検査から生じる例外の場合にトリガされるアクションについて、許可、ブロック、アラート、バイパス、暗号化、コーチ、又は隔離と、を含む、請求項１に記載のコンピュータ実装ポリシーマネージャデバイス。

【請求項4】

特定の機能によって使用されるポリシーの指定のために必要なフィールドにコンテキスト化された、前記統合機能にわたって一貫した値完了オプションを用いて一貫した順序で前記共通フィールドを提示するグラフィカルユーザインターフェース（略してＧＵＩ）を生成することと、
ユーザへの前記ＧＵＩの配信を引き起こすことと、
前記統合機能のうちの１つ以上に適用可能なポリシーを指定する前記ＧＵＩからの選択を前記ユーザから受信することと、を行うブラウザベース及びクライアントベースのＧＵＩジェネレータのうちの１つを更に含む、請求項１に記載のコンピュータ実装ポリシーマネージャデバイス。

【請求項5】

アプリケーションプログラムインターフェースを更に含み、前記アプリケーションプログラムインターフェースは、
特定の機能によって使用される必要なフィールドが、前記統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて前記統合機能の各々にコンテキスト化される、キー－値ペアのデータ構造を受信する、請求項１に記載のコンピュータ実装ポリシーマネージャデバイス。

【請求項6】

データ構造パーサを更に含み、前記データ構造パーサは、
特定の機能によって使用される必要なフィールドが、前記統合機能にわたって一貫したフィールド名及び一貫したフィールド値オプションを用いて前記統合機能の各々にコンテキスト化されるデータ構造を受信する、請求項１に記載のコンピュータ実装ポリシーマネージャデバイス。

【請求項7】

コマンドラインインターフェース（略してＣＬＩ）を更に含み、前記ＣＬＩは、
特定の機能によって使用される必要なフィールドが、前記統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて前記統合機能の各々にコンテキスト化される、キー－値ペアのデータ構造をポピュレートするために使用されるポリシー構成コマンドを受け入れ、構文解析する、請求項１に記載のコンピュータ実装ポリシーマネージャデバイス。

【請求項8】

検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のクラウドベースの統合機能を管理する、クラウドベースのセキュリティシステムのためのポリシーマネージャデバイスによって適用されるコンピュータ実装方法であって、前記パケットレベルのアクセス制御は、パケットヘッダの形成異常を検査することを含み、前記プロトコルレベルのアクセス制御は、悪意のあるシグネチャのディープパケット検査を実施することを含み、前記脅威検出は、ＨＴＴＰ／Ｓストリーム内のトラフィックが脅威宛先に向けられているかどうかを判定することを含み、前記アクティビティのコンテキスト化は、クラウドベースのアプリケーションにアクセスするＨＴＴＰ／Ｓストリーム内のアクティビティが危険を及ぼしているアクティビティであるかどうかを認識することを含み、前記方法は、
前記統合機能のうちの２つ以上によって共有される共通フィールドを含む、前記クラウドベースの統合機能にわたってセキュリティポリシーを指定するために使用されるフィールドのスーパーセットを含むデータ構造を維持することと、
前記ポリシーマネージャが、前記統合機能の各々に適用される前記共通フィールドの値のための共通フォーマットでポリシー指定を受信し、それによって、ユーザが、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の前記クラウドベースの統合機能を統制するセキュリティポリシーを指定することができるようにすることと、
前記ポリシーマネージャが、前記統合機能の間でそれぞれの機能に適用可能な前記ポリシー指定を検証し、保存し、分散させることと、を含む、方法。

【請求項9】

前記共通フィールドは、
検査されるトラフィックのソース、前記トラフィックの宛先、前記トラフィックによって使用されるプロトコル、検査可能なトラフィックにおいて指定されるアクティビティ、特定の機能のプロファイル、及び検査から生じる例外の場合にトリガされるアクションを含む、請求項８に記載のコンピュータ実装方法。

【請求項10】

前記共通フィールドの前記値は、
検査されるトラフィックのソース又は宛先について、ＩＰアドレス若しくは範囲、又はポート番号と、
前記トラフィックによって使用されるプロトコルについて、ＨＴＴＰ／Ｓ、ＴＣＰ、ＵＤＰ、又はＩＣＭＰと、
検査可能なトラフィックで指定されたアクティビティについて、アップロード、ダウンロード、プレビュー又は共有と、
特定の機能のプロファイルについて、前記アクセス制御及びトラフィック検査、前記脅威検出、並びに前記アクティビティのコンテキスト化のうちの１つ以上と、
検査から生じる例外の場合にトリガされるアクションについて、許可、ブロック、アラート、バイパス、暗号化、コーチ、又は隔離と、を含む、請求項８に記載のコンピュータ実装方法。

【請求項11】

ＧＵＩジェネレータが、
特定の機能によって使用されるポリシーの指定のために必要なフィールドにコンテキスト化された、前記統合機能にわたって一貫した値完了オプションを用いて一貫した順序で前記共通フィールドを提示するグラフィカルユーザインターフェース（略してＧＵＩ）を生成することと、
ユーザへの前記ＧＵＩの配信を引き起こすことと、
前記統合機能のうちの１つ以上に適用可能なポリシーを指定する前記ＧＵＩからの選択を前記ユーザから受信することと、を更に含む、請求項８に記載のコンピュータ実装方法。

【請求項12】

アプリケーションプログラムインターフェースが、
特定の機能によって使用される必要なフィールドが、前記統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて前記統合機能の各々にコンテキスト化される、キー－値ペアのデータ構造を受信すること、を更に含む、請求項８に記載のコンピュータ実装方法。

【請求項13】

データ構造パーサが、
特定の機能によって使用される必要なフィールドが、前記統合機能にわたって一貫したフィールド名及び一貫したフィールド値オプションを用いて前記統合機能の各々にコンテキスト化されるデータ構造を受信すること、を更に含む、請求項８に記載のコンピュータ実装方法。

【請求項14】

前記受信することは、コマンドラインインターフェース（略してＣＬＩ）を使用することを含み、前記ＣＬＩは、
特定の機能によって使用される必要なフィールドが、前記統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて前記統合機能の各々にコンテキスト化される、キー－値ペアのデータ構造をポピュレートするためにポリシー構成コマンドを受け入れ、構文解析するように構成されている、請求項８に記載のコンピュータ実装方法。

【請求項15】

プログラム命令を含む有形の非一時的コンピュータ可読媒体であって、前記プログラム命令は、プロセッサ上で実行されると、前記プロセッサに、検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のクラウドベースの統合機能を管理する、クラウドベースのセキュリティシステムのためのポリシーマネージャデバイスによって適用される方法を実施させ、前記パケットレベルのアクセス制御は、パケットヘッダの形成異常を検査することを含み、前記プロトコルレベルのアクセス制御は、悪意のあるシグネチャのディープパケット検査を実施することを含み、前記脅威検出は、ＨＴＴＰ／Ｓストリーム内のトラフィックが脅威宛先に向けられているかどうかを判定することを含み、前記アクティビティのコンテキスト化は、クラウドベースのアプリケーションにアクセスするＨＴＴＰ／Ｓストリーム内のアクティビティが危険を及ぼしているアクティビティであるかどうかを認識することを含み、前記方法は、
前記統合機能のうちの２つ以上によって共有される共通フィールドを含む、前記クラウドベースの統合機能にわたってセキュリティポリシーを指定するために使用されるフィールドのスーパーセットを含むデータ構造を維持することと、
前記ポリシーマネージャが、前記統合機能の各々に適用される前記共通フィールドの値のための共通フォーマットでポリシー指定を受信し、それによって、ユーザが、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の前記クラウドベースの統合機能を統制するセキュリティポリシーを指定することができるようにすることと、
前記ポリシーマネージャが、前記統合機能の間でそれぞれの機能に適用可能な前記ポリシー指定を検証し、保存し、分散させることと、を含む、有形の非一時的コンピュータ可読媒体。

【請求項16】

前記共通フィールドは、
検査されるトラフィックのソース、前記トラフィックの宛先、前記トラフィックによって使用されるプロトコル、検査可能なトラフィックにおいて指定されるアクティビティ、特定の機能のプロファイル、及び検査から生じる例外の場合にトリガされるアクションを含む、請求項１５に記載の有形の非一時的コンピュータ可読媒体。

【請求項17】

前記共通フィールドの前記値は、
検査されるトラフィックのソース又は宛先について、ＩＰアドレス若しくは範囲、又はポート番号と、
前記トラフィックによって使用されるプロトコルについて、ＨＴＴＰ／Ｓ、ＴＣＰ、ＵＤＰ、又はＩＣＭＰと、
検査可能なトラフィックで指定されたアクティビティについて、アップロード、ダウンロード、プレビュー又は共有と、
特定の機能のプロファイルについて、前記アクセス制御及びトラフィック検査、前記脅威検出、並びに前記アクティビティのコンテキスト化のうちの１つ以上と、
検査から生じる例外の場合にトリガされるアクションについて、許可、ブロック、アラート、バイパス、暗号化、コーチ、又は隔離と、を含む、請求項１５に記載の有形の非一時的コンピュータ可読媒体。

【請求項18】

特定の機能によって使用されるポリシーの指定のために必要なフィールドにコンテキスト化された、前記統合機能にわたって一貫した値完了オプションを用いて一貫した順序で前記共通フィールドを提示するグラフィカルユーザインターフェース（略してＧＵＩ）を生成することと、
ユーザへの前記ＧＵＩの配信を引き起こすことと、
前記統合機能のうちの１つ以上に適用可能なポリシーを指定する前記ＧＵＩからの選択を前記ユーザから受信することと、を行うＧＵＩジェネレータを更に含む、請求項１５に記載の有形の非一時的コンピュータ可読媒体。

【請求項19】

アプリケーションプログラムインターフェースを更に含み、前記アプリケーションプログラムインターフェースは、
特定の機能によって使用される必要なフィールドが、前記統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて前記統合機能の各々にコンテキスト化される、キー－値ペアのデータ構造を受信する、請求項１５に記載の有形の非一時的コンピュータ可読媒体。

【請求項20】

データ構造パーサを更に含み、前記データ構造パーサは、
特定の機能によって使用される必要なフィールドが、前記統合機能にわたって一貫したフィールド名及び一貫したフィールド値オプションを用いて前記統合機能の各々にコンテキスト化されるデータ構造を受信する、請求項１５に記載の有形の非一時的コンピュータ可読媒体。

【請求項21】

前記受信することは、コマンドラインインターフェース（略してＣＬＩ）を使用することを含み、前記ＣＬＩは、
特定の機能によって使用される必要なフィールドが、前記統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて前記統合機能の各々にコンテキスト化される、キー－値ペアのデータ構造をポピュレートするためにポリシー構成コマンドを受け入れ、構文解析するように構成されている、請求項１５に記載の有形の非一時的コンピュータ可読媒体。

【発明の詳細な説明】

【相互参照】

【0001】

本出願は、２０２１年７月２３日に出願された「Ｃｏｍｐｕｔｅｒ－Ｂａｓｅｄ Ｐｏｌｉｃｙ Ｍａｎａｇｅｒ ｆｏｒ Ｃｌｏｕｄ－Ｂａｓｅｄ Ｕｎｉｆｉｅｄ Ｆｕｎｃｔｉｏｎｓ」と題する米国非仮特許出願第１７／３８４，６１８号（代理人整理番号ＮＳＫＯ１０３５－２）（２０２１年１月３０日に出願された「Ｕｎｉｆｉｅｄ Ｐｏｌｉｃｙ Ｅｎｆｏｒｃｅｍｅｎｔ Ｍａｎａｇｅｍｅｎｔ ｉｎ ｔｈｅ Ｃｌｏｕｄ」と題する米国特許出願第１７／１６３，４０８号（代理人整理番号ＮＳＫＯ１０３５－１）の継続出願であり、現在は２０２２年１０月２６日に発行された米国特許第１１，１５９，５７６号である）、
２０２１年１月３０日に出願された「Ｄｙｎａｍｉｃ Ｄｉｓｔｒｉｂｕｔｉｏｎ ｏｆ Ｕｎｉｆｉｅｄ Ｐｏｌｉｃｉｅｓ ｉｎ ａ Ｃｌｏｕｄ－Ｂａｓｅｄ Ｐｏｌｉｃｙ Ｅｎｆｏｒｃｅｍｅｎｔ Ｓｙｓｔｅｍ」と題する米国非仮特許出願第１７／１６３，４１１号（代理人整理番号ＮＳＫＯ１０４１－１）、
２０２１年１月３０日に出願された「Ｄｙｎａｍｉｃ Ｒｏｕｔｉｎｇ ｏｆ Ａｃｃｅｓｓ Ｒｅｑｕｅｓｔ Ｓｔｒｅａｍｓ ｉｎ ａ Ｕｎｉｆｉｅｄ Ｐｏｌｉｃｙ Ｅｎｆｏｒｃｅｍｅｎｔ Ｓｙｓｔｅｍ」と題する米国非仮特許出願第１７／１６３，４１５号（代理人整理番号ＮＳＫＯ１０４２－１）、並びに
２０２１年１月３０日に出願された「Ｕｎｉｆｉｅｄ Ｓｙｓｔｅｍ ｆｏｒ Ｄｅｔｅｃｔｉｎｇ Ｐｏｌｉｃｙ Ｅｎｆｏｒｃｅｍｅｎｔ Ｉｓｓｕｅｓ ｉｎ ａ Ｃｌｏｕｄ－Ｂａｓｅｄ Ｅｎｖｉｒｏｎｍｅｎｔ」と題する米国非仮特許出願第１７／１６３，４１６号（代理人整理番号ＮＳＫＯ１０４３－１）の利益を主張するものである。

【援用】

【0002】

以下の材料は、本明細書に完全に記載されているかのように、全ての目的のために参照により援用される。

【0003】

２０１９年３月１日に出願された「Ｌｏａｄ Ｂａｌａｎｃｉｎｇ ｉｎ ａ Ｄｙｎａｍｉｃ Ｓｃａｌａｂｌｅ Ｓｅｒｖｉｃｅｓ Ｍｅｓｈ」と題する米国特許出願第６２／８１２，７６０号（代理人整理番号ＮＳＫＯ１０２５－１）の利益を主張する、２０２０年３月２日に出願された「Ｌｏａｄ Ｂａｌａｎｃｉｎｇ ｉｎ ａ Ｄｙｎａｍｉｃ Ｓｃａｌａｂｌｅ Ｓｅｒｖｉｃｅｓ Ｍｅｓｈ」と題する米国非仮特許出願第１６／８０７，１２８号（代理人整理番号ＮＳＫＯ１０２５－３）、
２０１９年３月１日に出願された「Ｒｅｃｏｖｅｒｙ ｆｒｏｍ Ｆａｉｌｕｒｅ ｉｎ ａ Ｄｙｎａｍｉｃ Ｓｃａｌａｂｌｅ Ｓｅｒｖｉｃｅｓ Ｍｅｓｈ」と題する米国仮特許出願第６２／８１２，７９１号（代理人整理番号ＮＳＫＯ１０２５－２）の利益を主張する、現在は２０２０年１２月１５日に発行された米国特許第１０，８６８，８４５号である、２０２０年３月２日に出願された「Ｒｅｃｏｖｅｒｙ Ｆｒｏｍ Ｆａｉｌｕｒｅ ｉｎ ａ Ｄｙｎａｍｉｃ Ｓｃａｌａｂｌｅ Ｓｅｒｖｉｃｅｓ Ｍｅｓｈ」と題する米国非仮特許出願第１６／８０７，１３２号（代理人整理番号ＮＳＫＯ１０２５－４）、
現在は２０１６年２月２３日に発行された米国特許第９，２７０，７６５号である、２０１４年３月５日に出願された「Ｓｅｃｕｒｉｔｙ ｆｏｒ Ｎｅｔｗｏｒｋ Ｄｅｌｉｖｅｒｅｄ Ｓｅｒｖｉｃｅｓ」と題する米国非仮特許出願第１４／１９８，５０８号（代理人整理番号ＮＳＫＯ１０００－３）、
現在は２０１６年７月１９日に発行された米国特許第９，３９８，１０２号である、２０１４年３月５日に出願された「Ｓｅｃｕｒｉｔｙ ｆｏｒ Ｎｅｔｗｏｒｋ Ｄｅｌｉｖｅｒｅｄ Ｓｅｒｖｉｃｅｓ」と題する米国仮特許出願第１４／１９８，４９９号（代理人整理番号ＮＳＫＯ１０００－２）、
現在は２０１８年３月２７日に発行された米国特許第９，９２８，３７７号である、２０１５年８月２５日に出願された「Ｓｙｓｔｅｍｓ ａｎｄ Ｍｅｔｈｏｄｓ ｏｆ Ｍｏｎｉｔｏｒｉｎｇ ａｎｄ Ｃｏｎｔｒｏｌｌｉｎｇ Ｅｎｔｅｒｐｒｉｓｅ Ｉｎｆｏｒｍａｔｉｏｎ Ｓｔｏｒｅｄ ｏｎ ａ Ｃｌｏｕｄ Ｃｏｍｐｕｔｉｎｇ Ｓｅｒｖｉｃｅ（ＣＣＳ）」と題する米国非仮特許出願第１４／８３５，６４０号（代理人整理番号ＮＳＫＯ１００１－２）、
２０１６年３月１１日に出願された「Ｓｙｓｔｅｍｓ ａｎｄ Ｍｅｔｈｏｄｓ ｏｆ Ｅｎｆｏｒｃｉｎｇ Ｍｕｌｔｉ－Ｐａｒｔ Ｐｏｌｉｃｉｅｓ ｏｍ Ｄａｔａ－Ｄｅｆｉｃｉｅｎｔ Ｔｒａｎｓａｃｔｉｏｎｓ ｏｆ Ｃｌｏｕｄ Ｃｏｍｐｕｔｉｎｇ Ｓｅｒｖｉｃｅｓ」と題する米国仮特許出願第６２／３０７，３０５号（代理人整理番号ＮＳＫＯ１００３－１）の利益を主張する、２０１６年１２月２日に出願された「Ｍｉｄｄｌｅ Ｗａｒｅ Ｓｅｃｕｒｉｔｙ Ｌａｙｅｒ ｆｏｒ Ｃｌｏｕｄ Ｃｏｍｐｕｔｉｎｇ Ｓｅｒｖｉｃｅｓ」と題する米国非仮特許出願第１５／３６８，２４６号（代理人整理番号ＮＳＫＯ１００３－３）、
「Ｃｌｏｕｄ Ｓｅｃｕｒｉｔｙ ｆｏｒ Ｄｕｍｍｉｅｓ，Ｎｅｔｓｋｏｐｅ Ｓｐｅｃｉａｌ Ｅｄｉｔｉｏｎ」ｂｙ Ｃｈｅｎｇ，Ｉｔｈａｌ，Ｎａｒａｙａｎａｓｗａｍｙ，ａｎｄ Ｍａｌｍｓｋｏｇ，Ｊｏｈｎ Ｗｉｌｅｙ ＆ Ｓｏｎｓ，Ｉｎｃ．２０１５，
「Ｎｅｔｓｋｏｐｅ Ｉｎｔｒｏｓｐｅｃｔｉｏｎ」 ｂｙ Ｎｅｔｓｋｏｐｅ，Ｉｎｃ．，
「Ｄａｔａ Ｌｏｓｓ Ｐｒｅｖｅｎｔｉｏｎ ａｎｄ Ｍｏｎｉｔｏｒｉｎｇ ｉｎ ｔｈｅ Ｃｌｏｕｄ」 ｂｙ Ｎｅｔｓｋｏｐｅ，Ｉｎｃ．，
「Ｃｌｏｕｄ Ｄａｔａ Ｌｏｓｓ Ｐｒｅｖｅｎｔｉｏｎ Ｒｅｆｅｒｅｎｃｅ Ａｒｃｈｉｔｅｃｔｕｒｅ」 ｂｙ Ｎｅｔｓｋｏｐｅ，Ｉｎｃ．，
「Ｔｈｅ ５ Ｓｔｅｐｓ ｔｏ Ｃｌｏｕｄ Ｃｏｎｆｉｄｅｎｃｅ」 ｂｙ Ｎｅｔｓｋｏｐｅ，Ｉｎｃ．，
「Ｔｈｅ Ｎｅｔｓｋｏｐｅ Ａｃｔｉｖｅ Ｐｌａｔｆｏｒｍ」 ｂｙ Ｎｅｔｓｋｏｐｅ，Ｉｎｃ．
「Ｔｈｅ Ｎｅｔｓｋｏｐｅ Ａｄｖａｎｔａｇｅ：Ｔｈｒｅｅ “Ｍｕｓｔ－Ｈａｖｅ” Ｒｅｑｕｉｒｅｍｅｎｔｓ ｆｏｒ Ｃｌｏｕｄ Ａｃｃｅｓｓ Ｓｅｃｕｒｉｔｙ Ｂｒｏｋｅｒｓ」 ｂｙ Ｎｅｔｓｋｏｐｅ，Ｉｎｃ．，
「Ｔｈｅ １５ Ｃｒｉｔｉｃａｌ ＣＡＳＢ Ｕｓｅ Ｃａｓｅｓ」 ｂｙ Ｎｅｔｓｋｏｐｅ，Ｉｎｃ．
「Ｎｅｔｓｋｏｐｅ Ａｃｔｉｖｅ Ｃｌｏｕｄ ＤＬＰ」 ｂｙ Ｎｅｔｓｋｏｐｅ，Ｉｎｃ．，
「Ｒｅｐａｖｅ ｔｈｅ Ｃｌｏｕｄ－Ｄａｔａ Ｂｒｅａｃｈ Ｃｏｌｌｉｓｉｏｎ Ｃｏｕｒｓｅ」 ｂｙ Ｎｅｔｓｋｏｐｅ，Ｉｎｃ．、及び
「Ｎｅｔｓｋｏｐｅ Ｃｌｏｕｄ Ｃｏｎｆｉｄｅｎｃｅ Ｉｎｄｅｘ（商標）」 ｂｙ Ｎｅｔｓｋｏｐｅ，Ｉｎｃ．

【技術分野】

【0004】

開示される技術は、概して、ネットワーク配信サービスのためのポリシー施行に関し、具体的には、検査可能及び検査不能なトラフィックに対するパケットベース及びプロトコルベースのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合する、クラウドベースのポリシー施行システムを提供することに関する。

【背景技術】

【0005】

このセクションで議論される主題は、単にこのセクションにおけるその言及の結果として先行技術であると想定されるべきではない。同様に、このセクションで言及される問題、又は背景として提供される主題に関連する問題は、従来技術において以前に認識されていたと仮定されるべきではない。このセクションの主題は、異なるアプローチを表すにすぎず、それ自体、特許請求される技術の実装形態に対応することもできる。

【0006】

コーポレート機能のためにクラウドサービスを使用することは一般的である。調査によると、エンタープライズワークロードの８０％が２０２５年までにクラウド内に存在することが示唆されている。インターナショナルデータコーポレーションによれば、「パブリッククラウド情報テクノロジ（ＩＴ）インフラストラクチャへの支出は、２０２０年の第２の四半期に初めて従来のＩＴインフラストラクチャへの支出を上回った」。例えば、エンタープライズ企業はしばしば、サービスを配信するためにコーポレートネットワーク内にサーバをインストールする代わりに、サービスとしてのソフトウェア（ＳａａＳ）ソリューションを利用している。

【0007】

データは、多くのビジネスにとって生命線であり、効果的に管理され保護されなければならない。クラウドサービスの採用の増加に伴い、あらゆる規模の企業が、データを作成し、編集し、記憶するためにクラウドに依存するようになっている。このため、組織外の人々とデータを共有することを含め、ユーザが複数のデバイスからクラウドサービスにアクセスすることで、新たな課題が生じている。データが組織のコントロールから外れることは容易なことである。

【0008】

顧客が顧客ブランチとデータセンタとの間でそれらのデータの全てをセキュアに送信できることを望んでいるため、企業は、任意のエンドポイントからＳａａＳアプリ、ＩａａＳ、及びウェブにアクセスするためにネットワークを横断する重要なデータをシームレスにセキュアにするという困難な課題に直面している。＊全ての＊データには、ＢｉｔＴｏｒｒｅｎｔ（ＢＴ）、ユーザデータグラムプロトコル（ＵＤＰ）ストリーミング及びファイル転送プロトコル（ＦＴＰ）などのポータルトラフィックのためのプロトコルを介したピアツーピアファイル共有（Ｐ２Ｐ）と、セッション開始プロトコル（ＳＩＰ）及びＳｋｙｐｅを介したインスタントメッセージオーバーインターネットプロトコル（ＩＰ）及びモバイルフォンコーリングオーバーＬＴＥ（ＶｏＬＴＥ）などの音声、ビデオ及びメッセージングマルチメディア通信セッションと、インターネットトラフィックと、クラウドアプリケーションデータと、汎用ルーティングカプセル化（ＧＲＥ）データとが含まれる。セキュアに処理される必要があるデータのセグメントを共有するＰ２Ｐファイルのサイズの一例として、ＢｉｔＴｏｒｒｅｎｔは、ＴＶショー又はビデオクリップを含むデジタルビデオファイル、あるいは曲を含むデジタルオーディオファイルなどの大きいファイルを転送するための１つの一般的なプロトコルであり、常時１５００万～２７００万人の同時ユーザを有し、２０１３年現在、１億５０００万人のアクティブユーザによって利用されていた。この数字に基づくと、毎月のＢｉｔＴｏｒｒｅｎｔユーザの総数は、１０億の４分の１よりも多いと推定され、ＢｉｔＴｏｒｒｅｎｔは、全世界の帯域幅の３．３５％、すなわち、ファイル共有専用の総帯域幅の６％の半分よりも多くを担っている。

【0009】

データソースの数が増えれば増えるほど、データが危険にさらされる可能性は何百通りにもなる。従業員が間違ったファイルを送信したり、締め切りを急ぐときに注意しなかったり、組織外の人とデータを共有したり共同作業したりする可能性がある。クラウドストレージのネイティブ同期クライアントも、組織にとって大きなリスクとなる。エンドポイントとクラウドサービスとの間で継続的な同期が行われるため、従業員は会社の秘匿情報が漏洩している可能性があることに気づかない。統合ポリシー施行機能の必要性を例示する１つのユースケースでは、企業は、従業員及び請負業者が音声通話を行い、ビデオ会議に参加することを許可したいが、一方で、従業員及び請負業者がＳＩＰ及びＳｋｙｐｅを介してＬＴＥ上でファイルを転送することを許可したくない場合がある。別の例では、企業は、そのユーザがビデオを視聴することを可能にし、ビデオコンテンツファイルをアップロード又はダウンロードすることができないようにしたい場合がある。

【0010】

したがって、人々が、知的財産、非公開会計、戦略的計画、顧客リスト、顧客又は従業員に属する個人的に識別可能な情報などの機密情報を危険にさらすことなく、生産性を維持し、業務のための最良のツールを使用し続けることができるように、クラウドサービスの使用を促進することが不可欠である。

【0011】

検査可能及び検査不能なトラフィックに対するパケットベース及びプロトコルベースのアクセス制御及びトラフィック検査、脅威検出及びアクティビティのコンテキスト化、並びに検査の機能を統合し、クラウドアプリ及びウェブトラフィックファイアウォールを超えて拡張して、ＳＩＰを介したＳｋｙｐｅ、音声、ビデオ、及びメッセージングマルチメディア通信セッション、並びに他のプロトコルを介したウェブトラフィックだけでなく、ＢＴ、ＦＴＰ、及びＵＤＰベースのストリーミングプロトコルを介してＰ２Ｐトラフィックを安全に処理するクラウドベースのポリシー施行システムを提供する機会が生じる。

【図面の簡単な説明】

【0012】

図面において、同様の参照文字は、概して、異なる図全体を通して同様の部分を指す。また、図面は、必ずしも縮尺通りではなく、代わりに、概して、開示される技術の原理を図示することに重点が置かれている。以下の説明では、開示される技術の種々の実装形態が、以下の図面を参照して説明される。

【0013】

【図1】開示される技術の一実施形態について、検査可能及び検査不能なトラフィックに対するパケットベース及びプロトコルベースのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合する、クラウドベースのポリシー施行システムを提供するためのシステムのアーキテクチャレベル概略図を示す。

【図2】セキュアサービスの例示的な分散型ネットワークのブロック図を示す。

【図3】検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、アクティビティのコンテキスト化、並びにデータ損失防止分析の機能を統合するクラウドベースのポリシー施行システムを管理するための開示されたポリシー施行層を示す。

【図4】開示される技術の一実施形態について、検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合するクラウドベースのポリシー施行システムのためのポリシー施行コンポーネントの包括的なスイート及び例示的な論理トラフィックフローを有する開示されるポリシー施行スタックを示す。

【図5】検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合する、開示されるクラウドベースのポリシー施行システムにおける統合ポリシーを表現するための共通フィールドの例を示す。

【図6】検査可能及び検査不能なトラフィックに対するパケットベース及びプロトコルベースのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合するクラウドベースのポリシー施行システムのためのポリシー指定を構成するために使用可能な代表的なユーザインターフェースを示す。

【図7】ポリシー施行機能を統合するクラウドベースのポリシー施行システムのための開示されたポリシーマネージャデバイスのブロック図を示す。

【図8】パケットレベルのアクセス制御及びトラフィック検査、プロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のためのクラウドベースのコンポーネントの開示された統合ポリシー施行システムを示すブロック図である。

【図9】開示される技術の一実施形態について、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出及びアクティビティのコンテキスト化の機能を統合し、データ損失防止分析を実施するクラウドベースのポリシー施行システムについての例示的な論理トラフィックフローを示す。

【図10】ポリシーマネージャによってクラウドベースのポリシー施行システムに適用される、クラウドにおける統合セキュリティポリシー管理の代表的なコンピュータ実装方法を示しており、該ポリシー施行システムは、検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合する。

【図11】検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合するクラウドベースのポリシー施行システムにポリシーマネージャによって適用される、クラウドベースのポリシー施行システムにおける統合施行ポリシーの動的分散のための代表的な方法を示す。

【図12】（ａ）パケットレベルのアクセス制御及びトラフィック検査、（ｂ）プロトコルレベルのアクセス制御及びトラフィック検査、（ｃ）脅威検出、並びに（ｄ）アクティビティのコンテキスト化を実施するクラウドベースのコンポーネントを介してパケットの着信アクセス要求を処理する代表的な方法を示す。

【図13】（ａ）パケットレベルのアクセス制御及びトラフィック検査、（ｂ）プロトコルレベルのアクセス制御及びトラフィック検査、（ｃ）脅威検出、並びに（ｄ）アクティビティのコンテキスト化のために、クラウドベースのコンポーネントを介してアクセス要求ストリームを動的にルーティングする代表的な方法を示す。

【図14】パケットレベルのアクセス制御及びトラフィック検査、プロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のためのクラウドベースのコンポーネントの開示された統合ポリシー施行システムを実装するために使用され得るコンピュータシステムの簡略化ブロック図である。

【発明を実施するための形態】

【0014】

以下の詳細な説明は、図面を参照して行われる。特許請求の範囲によって定義されるその範囲を限定するためではなく、開示される技術を例示するために、例示的な実装形態が説明される。当業者であれば、以下の説明に基づいて種々の同等の変形例を認識するであろう。

【0015】

顧客トラフィックにポリシー施行サービスを適用するための既存のアプローチは、組織ネットワークの顧客ブランチと、インターネットを介してクラウド内でアクセスされるデータセンタとの間のデータフローの経路内のセキュリティデバイスポイントオブプレゼンス（ＰｏＰ）を含んでいる。

【0016】

各アプリケーションはまた、考慮する必要があるネットワーク性能に関する固有の要件を有する。例えば、ウェビナー（１対多）ストリーミングは、高帯域幅を必要とし、リアルタイムコラボレーションは、低レイテンシを必要とし、仮想プライベートクラウドにおいてホストされるバックエンドシステムは、非常に高い回復力及び冗長性要件を有し得る。更に問題を複雑にするのは、プライベートアプリケーションとは異なり、クラウドアプリケーションは、ＩＰアドレス及びポートの予測可能なセットを有さず、絶えず変化及び進化しており、曖昧で絶えず変化するターゲットとなっていることである。

【0017】

顧客は、マネージド（ＩＴ主導型）、アンマネージド（シャドウＩＴ）、オンプレム、クラウド内のプライベートアプリ、サードパーティＳａａＳなどのアプリケーションの複雑な混合をどのようにサポートし、セキュアにするかを知りたいと望んでいる。組織は、ＢＴ、ＦＴＰ、及びＵＤＰベースのストリーミングプロトコルを介したＰ２Ｐトラフィック、並びにＳＩＰを介したＳｋｙｐｅ、音声、ビデオ、及びメッセージングマルチメディア通信セッション、並びに他のプロトコルを介したウェブトラフィックを安全に処理するために、クラウドアプリ及びウェブトラフィックファイアウォールを超えて拡張して、全ての顧客トラフィックにポリシー施行サービスを適用することができる単一のポリシー施行サービスを利用することを望んでいる。

【0018】

ウェブセキュリティベンダは、自身のレガシーソリューションをパッケージ化してクラウドに移動させることによってこの問題に対処しようと試みてきたが、この手法は、ＳａａＳ及びＩａａＳの使用によって生じるポリシー施行の課題、又は現在動的ウェブが構築される方法には対処していない。この新しいネットワークビジョンを実現するために、ポリシー施行に対する基本的に異なるアプローチが必要とされている。このアプローチは、組織が、今日の次世代クラウドファーストエンタープライズのために最初から設計された統合クラウド及びウェブポリシー施行プラットフォームを用いて、これらの変更に直接対処することを可能にするものである。

【0019】

一例では、ポリシー施行サービスは、組織の従業員及び請負業者に通話を許可する必要があるが、ファイルの転送は許可しない。このポリシーは、ＳＩＰ制御チャネル及びデータチャネルを符号化することによってサービスが施行することができる。このポリシーの施行には、データがどこに転送されているかを予測する能力と、チャネル内の情報に基づいてそのチャネルを回避又はブロックする能力とを可能にするために、ＳＩＰプロキシ以上のものが必要となる。トラフィックを送信するストリーミングエージェントは、ポートのみを見るため、送信前に全ての利用可能なポートを知る必要がある。全てのプロトコルを処理する場合、ポリシー施行サービスは、非標準ポートを介してウェブトラフィックを捕捉することができるが、トラフィックを収集することは困難である。ファイルが転送されないように保護するための既存の回避策は、ポートへのアクセスをブロックすることであるが、ポリシー施行サービスは、ポートをブロックするのではなく、全てを安全にロードしたいのである。Ｐ２Ｐデータパケットは、最初に標準ポートを試し、次いで、しばしばフォールバックし、ポートからポートへホップし、これはまた、Ｐ２Ｐデータサービスが異なるポートへホップすることができるため、ポートをブロックすることの有用性も制限される。

【0020】

セキュリティ管理者は、データセンタ及びヘッドクォーターにおいて、組織ネットワークの顧客ブランチの各々にポリシー施行サービスデバイスをインストールして、全てのトラフィックがセキュリティデバイスを通過するように、施行ポリシーを適用するための管理ネットワークを作成することができる。その場合、オンプレミスポリシー施行管理者は、フェイルオーバ管理を用いてデバイスの高い可用性を保証するために展開を管理し、パッチを用いてソフトウェアライフサイクルを管理し、ハードウェアライフサイクルに応答するためにアップグレードを管理する責任を負うことになる。ポリシー施行に対するこのハンズオン手法の問題として、会社規模が変化するときのスケーリングと、データロードが変動するときに十分なサービス可用性を保証するためのロードバランシングとが挙げられる。

【0021】

開示される技術は、検査可能及び検査不能なトラフィックに対するパケットベース及びプロトコルベースのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合するポリシーマネージャを用いて、クラウドにおける統合ポリシー管理、並びにクラウドベースのポリシー施行システムにおける統合ポリシーの動的分散を提供する。開示されるポリシー施行サービスプラットフォームは、組織のためのカスタマイズされたセキュリティサービス及びポリシーを管理し、単一障害点を回避するために、水平にかつ一様にスケーリングされる。

【0022】

本技術はまた、クラウドベースの環境におけるポリシー施行問題を検出するためのアクセス要求ストリームの動的ルーティング及び統合システムを開示する。
頭字語

【0023】

本開示で使用される頭字語は、それらが最初に使用される際に特定される。これらの頭字語は、標準文書でしばしば使用される専門用語である。これらの用語が、当技術分野で使用される意味とは明確かつ明確に異なる意味で使用される場合を除いて、セキュリティシステム環境で見受けられる意味を採用する。読者の便宜のために、それらの多くをここに列挙する（表１Ａ、及び、表１Ｂ）。

【表1A】

【表1B】

【0024】

開示された技術を使用するセキュリティサービスの顧客は、どのポリシー施行サービスが異なるタイプのテナントデータに適用されるかを指定し、その組織のデバイスを介して送信されるデータのセキュリティポリシーをカスタマイズすることができる。本出願の文脈では、ポリシー施行及びセキュリティは、ほとんどの文脈で交換可能に使用される。検査可能及び検査不能なトラフィックに対するパケットベース及びプロトコルベースのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合するクラウドベースのポリシー施行システムを管理するための例示的なシステムを次に説明する。

【0025】

アーキテクチャ
図１は、検査可能及び検査不能なトラフィックに対するパケットベース及びプロトコルベースのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合する、クラウドベースのポリシー施行システムを提供するためのシステム１００のアーキテクチャレベル概略図を示している。図１はアーキテクチャ図であるため、説明をより明確にするために、一部の詳細は意図的に省略されている。図１の説明は以下のように構成される。最初に、図の要素について説明し、その後、それらの相互接続について説明する。次に、システムにおける要素の使用をより詳細に説明する。

【0026】

システム１００は、組織ネットワーク１０２と、ネットスコープポリシーマネージャ１５７及びネットスコープクラウドアクセスセキュリティブローカ（Ｎ－ＣＡＳＢ）１５５を有するセキュリティスタック１５３を有する統合クラウドベースのセキュリティシステム８０５を有するデータセンタ１５２と、クラウドベースのサービス１０８とを含む。システム１００は、セキュリティサービスプロバイダの、マルチテナントネットワークとも称される複数の加入者のための複数の組織ネットワーク１０４と、複数のデータセンタ１５４とを含む。組織ネットワーク１０２は、コンピュータ１１２ａ～ｎ、タブレット１２２ａ～ｎ、携帯電話１３２ａ～ｎ、及びスマートウォッチ１４２ａ～ｎを含む。別の組織ネットワークでは、組織ユーザは追加のデバイスを利用することができる。クラウドサービス１０８は、クラウドベースのホスティングサービス１１８、ウェブ電子メールサービス１２８、ビデオ、メッセージング、及び音声通話サービス１３８、ストリーミングサービス１４８、ファイル転送サービス１５８、並びにクラウドベースのストレージサービス１６８を含む。データセンタ１５２は、公共ネットワーク１４５を介して組織ネットワーク１０２及びクラウドベースのサービス１０８に接続する。クラウドサービスコンシューマとクラウドサービスプロバイダとの間のＮ－ＣＡＳＢ（ネットスコープクラウドアクセスセキュリティブローカ）１５５は、クラウドベースのリソースがアクセスされるときにエンタープライズセキュリティポリシーを組み合わせて差し挟む。セキュリティスタック１５３を有する統合クラウドベースのセキュリティシステム８０５は、本文書では、ポリシー施行スタックを有する統合クラウドベースポリシー施行システムとも称される。

【0027】

図１の説明を続けると、開示される統合クラウドベースのセキュリティシステム８０５は、後に図８に関して詳細に説明され、ネットスコープポリシーマネージャ１５７は、後に図７に関して詳細に説明される。強化されたネットスコープクラウドアクセスセキュリティブローカ（Ｎ－ＣＡＳＢ）１５５は、認可された及び認可されていないクラウドアプリにおけるアクセス及びアクティビティを統制し、機密データを保護し、その損失を防止し、内部及び外部の脅威から保護することに加えて、ＢＴ、ＦＴＰ及びＵＤＰベースのストリーミングプロトコルを介したＰ２Ｐトラフィック、並びにＳＩＰを介したＳｋｙｐｅ、音声、ビデオ及びメッセージングマルチメディア通信セッション、並びに他のプロトコルを介したウェブトラフィックを安全に処理する。Ｎ－ＣＡＳＢ１５５は、システムのユーザを識別し、アプリのポリシーを設定するアクティブアナライザ１６５及び内部検査アナライザ１７５を含む。内部検査アナライザ１７５は、静止しているデータを検査するためにクラウドベースのサービス１０８と直接対話する。ポーリングモードでは、内部検査アナライザ１７５は、ＡＰＩコネクタを使用してクラウドベースのサービスを呼び出して、クラウドベースのサービスに存在するデータをクロールし、変更をチェックする。一例として、Ｂｏｘ（商標）ストレージアプリケーションは、Ｂｏｘフォルダの監査ログを含む、全てのユーザのための組織のアカウントへの可視性を提供するＢｏｘ Ｃｏｎｔｅｎｔ ＡＰＩ（商標）と称される管理ＡＰＩを提供し、この管理ＡＰＩを検査して、証明書が危険にさらされた特定の日付の後に機密ファイルがダウンロードされたかどうかを判定することができる。内部検査アナライザ１７５は、このＡＰＩをポーリングして、アカウントのいずれかに行われた変更を発見する。変更が発見された場合、Ｂｏｘ Ｅｖｅｎｔｓ ＡＰＩ（商標）は、詳細なデータ変更を発見するためにポーリングされる。コールバックモデルでは、内部検査アナライザ１７５は、任意の重要なイベントについて通知されるように、ＡＰＩコネクタを介してクラウドベースのサービスに登録する。例えば、内部検査アナライザ１７５は、Ｍｉｃｒｏｓｏｆｔ Ｏｆｆｉｃｅ３６５ Ｗｅｂｈｏｏｋｓ ＡＰＩ（商標）を使用して、ファイルが外部で共有されたときを学習することができる。内部検査アナライザ１７５はまた、ディープＡＰＩ検査（ＤＡＰＩＩ）、ディープパケット検査（ＤＰＩ）、及びログ検査能力を有し、クラウドベースのサービス内の残りのファイルに異なるコンテンツ検査技術を適用して、ストレージ１８６に記憶されたポリシー及びルールに基づいて、どの文書及びファイルが機密であるかを判定するＤＬＰエンジンを含む。内部検査アナライザ１７５による検査の結果は、ユーザごとのデータ及びファイルごとのデータの生成である。

【0028】

図１の説明を更に続けると、Ｎ－ＣＡＳＢ１５５は、抽出エンジン１７１、分類エンジン１７２、セキュリティエンジン１７３、管理プレーン１７４、及びデータプレーン１８０を含むモニタ１８４を更に含む。また、Ｎ－ＣＡＳＢ１５５に含まれるストレージ１８６は、コンテンツポリシー１８７、コンテンツプロファイル１８８、コンテンツ検査ルール１８９、エンタープライズデータ１９７、クライアントの情報１９８、及びユーザ識別情報１９９を含む。エンタープライズデータ１９７は、知的財産、非公開会計、戦略的計画、顧客リスト、顧客又は従業員に属する個人的に識別可能な情報（ＰＩＩ）、患者健康データ、ソースコード、営業秘密、予約情報、パートナー契約、コーポレート計画、合併及び取得文書、並びに他の秘匿データを含むが、それらに限定されない、組織データを含むことができる。特に、「エンタープライズデータ」という用語は、文書、ファイル、フォルダ、ウェブページ、ウェブページの集合、画像、又は任意の他のテキストベースの文書を指す。ユーザ識別情報は、トークン、ＵＵＩＤなどの一意の識別子、公開キー証明書などの形態で、ネットワークセキュリティシステムによってクライアントデバイスに提供されるインジケータを指す。場合によっては、ユーザ識別情報は、特定のユーザ及び特定のデバイスにリンクされ得、したがって、同じ個人が、そのモバイルフォンとコンピュータとで異なるユーザ識別情報を有する場合がある。ユーザ識別情報は、エントリ又はコーポレート識別情報ディレクトリにリンクすることができるが、それとは異なる。一実装形態では、ネットワークセキュリティによって署名された暗号証明書がユーザ識別情報として使用される。他の実装形態では、ユーザ識別情報は、ユーザに対してのみ一意であり、デバイスにわたって同一であり得る。

【0029】

実施形態は、シングルサインオン（ＳＳＯ）ソリューション及び／又はコーポレート識別情報ディレクトリ、例えば、ＭｉｃｒｏｓｏｆｔのＡｃｔｉｖｅ Ｄｉｒｅｃｔｏｒｙと相互運用することもできる。かかる実施形態は、カスタム属性を使用して、例えば、グループ又はユーザレベルのいずれかにおいて、ポリシーがディレクトリ内で定義されることを可能にし得る。システムとともに構成されるホストサービスは、システムを介したトラフィックを必要とするようにも構成される。これは、ホストされたサービスにおけるＩＰ範囲制限をシステムのＩＰ範囲に設定すること、及び／又はシステムとＳＳＯシステムとの間の統合を通じて行うことができる。例えば、ＳＳＯソリューションとの統合は、サインオンを認可する前にクライアントプレゼンス要件を施行することができる。他の実施形態は、ＳａａＳベンダとの「プロキシアカウント」、例えば、サービスにサインインするための唯一のクレデンシャルを保持するシステムによって保持される専用アカウントを使用してもよい。他の実施形態では、クライアントは、ログインをホストされたサービスに渡す前に、クレデンシャル上の署名を暗号化することができ、これは、ネットワーキングセキュリティシステムがパスワードを「所有する」ことを意味する。

【0030】

ストレージ１８６は、マルチテナントデータベースシステム（ＭＴＤＳ）などの多くの方法で実装され得るオンデマンドデータベースサービス（ＯＤＤＳ）を形成するために、１つ以上のテナントからの情報を共通データベースイメージのテーブルに記憶することができる。データベース画像は、１つ以上のデータベースオブジェクトを含むことができる。他の実装形態では、データベースは、リレーショナルデータベース管理システム（ＲＤＢＭＳ）、オブジェクト指向データベース管理システム（ＯＯＤＢＭＳ）、分散ファイルシステム（ＤＦＳ）、ノースキーマデータベース、又は任意の他のデータ記憶システム若しくはコンピューティングデバイスであり得る。一部の実装形態では、収集されたメタデータは、処理及び／又は正規化される。場合によっては、メタデータは構造化データを含み、機能はクラウドサービス１０８によって提供される特定のデータ構造をターゲットとする。フリーテキストなどの非構造化データもまた、クラウドサービス１０８によって提供され、クラウドサービス１０８をターゲットにすることができる。構造化データと非構造化データの両方が、内部検査アナライザ１７５によって集約されることが可能である。例えば、アセンブルされたメタデータは、ＪＳＯＮ（ＪａｖａＳｃｒｉｐｔオブジェクト表記）、ＢＳＯＮ（バイナリＪＳＯＮ）、ＸＭＬ、Ｐｒｏｔｏｂｕｆ、Ａｖｒｏ、又はＴｈｒｉｆｔオブジェクトのような半構造化データフォーマットで記憶され、これは、ストリングフィールド（又は列）と、数、ストリング、アレイ、オブジェクトなどのような潜在的に異なるタイプの対応する値とからなる。他の実装形態では、ＪＳＯＮオブジェクトは、ネストされることができ、フィールドは、多値、例えば、アレイ、ネストされたアレイなどであり得る。これらのＪＳＯＮオブジェクトは、Ａｐａｃｈｅ Ｃａｓｓａｎｄｒａ（商標）、ＧｏｏｇｌｅのＢｉｇｔａｂｌｅ（商標）、ＨＢａｓｅ（商標）、Ｖｏｌｄｅｍｏｒｔ（商標）、ＣｏｕｃｈＤＢ（商標）、ＭｏｎｇｏＤＢ（商標）、Ｒｅｄｉｓ（商標）、Ｒｉａｋ（商標）、Ｎｅｏ４ｊ（商標）などのようなスキーマレス又はＮｏＳＱＬキー値メタデータストア１７８に記憶され、これは、ＳＱＬのデータベースと同等のキースペースを使用して構文解析されたＪＳＯＮオブジェクトを記憶する。各キースペースは、テーブルに類似し、行及び列のセットからなる列ファミリに分割される。

【0031】

一実装形態では、内部検査アナライザ１７５は、着信メタデータを分析し、受信されたデータ内のキーワード、イベント、ユーザＩＤ、ロケーション、人口統計、ファイルタイプ、タイムスタンプなどを識別するメタデータパーサ（明瞭性を高める省略されている）を含む。構文解析は、テキストのストリームをキーワード、又は「目標設定可能パラメータ」と称される他の意味のある要素に分解し、分析するプロセスである。一実装形態では、ターゲットパラメータのリストが、例えば、マッチングエンジン（図示せず）による構文解析又はテキストマイニングなどの更なる処理のために入力される。構文解析は、利用可能なメタデータから意味を抽出する。一実装形態では、トークン化は、メタデータのストリーム内の粒状要素（例えば、トークン）を識別するための構文解析の第１のステップとして動作するが、構文解析は次いで、トークンが見つかったコンテキストを使用して、参照されている情報の意味及び／又は種類を決定することに進む。内部検査アナライザ１７５によって分析されたメタデータは同種ではない（例えば、多くの異なるフォーマットで多くの異なるソースが存在する）ため、特定の実装形態は、クラウドサービスごとに少なくとも１つのメタデータパーサを採用し、場合によっては２つ以上のメタデータパーサを採用する。他の実装形態では、内部検査アナライザ１７５は、モニタ１８４を使用して、クラウドサービスを検査し、コンテンツメタデータをアセンブルする。１つのユースケースでは、機密文書の識別は、文書の以前の検査に基づく。ユーザは、文書を機密として手動でタグ付けすることができ、この手動タグ付けは、クラウドサービス内の文書メタデータを更新する。次いで、公開されたＡＰＩを使用してクラウドサービスから文書メタデータを取り出し、それらを機密性の指標として使用することが可能である。

【0032】

図１の説明を更に続けると、システム１００は、任意の数のクラウドベースのサービス１０８、すなわち、ポイントツーポイントストリーミングサービス、ホストサービス、クラウドアプリケーション、クラウドストア、クラウドコラボレーション及びメッセージングプラットフォーム、並びにクラウド顧客関係管理（ＣＲＭ）プラットフォームを含むことができる。サービスには、ＢｉｔＴｏｒｒｅｎｔ（ＢＴ）、ユーザデータグラムプロトコル（ＵＤＰ）ストリーミング及びファイル転送プロトコル（ＦＴＰ）などのポータルトラフィックのためのプロトコルを介したピアツーピアファイル共有（Ｐ２Ｐ）と、セッション開始プロトコル（ＳＩＰ）及びＳｋｙｐｅを介したインスタントメッセージオーバーインターネットプロトコル（ＩＰ）及びモバイルフォンコーリングオーバーＬＴＥ（ＶｏＬＴＥ）などの音声、ビデオ及びメッセージングマルチメディア通信セッションとが含まれ得る。サービスは、インターネットトラフィック、クラウドアプリケーションデータ、及び汎用ルーティングカプセル化（ＧＲＥ）データを処理することができる。ネットワークサービス又はアプリケーションは、ウェブベース（例えば、ユニフォームリソースロケータ（ＵＲＬ）を介してアクセスされる）又は同期クライアントなどのネイティブとすることができる。例としては、ＳａａＳ（ｓｏｆｔｗａｒｅ－ａｓ－ａ－ｓｅｒｖｉｃｅ）提供物、ＰａａＳ（ｐｌａｔｆｏｒｍ－ａｓ－ａ－ｓｅｒｖｉｃｅ）提供物、及びＩａａＳ（ｉｎｆｒａｓｔｒｕｃｔｕｒｅ－ａｓ－ａ－ｓｅｒｖｉｃｅ）提供物、並びにＵＲＬを介して公開される内部エンタープライズアプリケーションが挙げられる。今日の一般的なクラウドベースのサービスの例として、Ｓａｌｅｓｆｏｒｃｅ．ｃｏｍ（商標）、Ｂｏｘ（商標）、Ｄｒｏｐｂｏｘ（商標）、Ｇｏｏｇｌｅ Ａｐｐｓ（商標）、Ａｍａｚｏｎ ＡＷＳ（商標）、Ｍｉｃｒｏｓｏｆｔ Ｏｆｆｉｃｅ ３６５（商標）、Ｗｏｒｋｄａｙ（商標）、Ｏｒａｃｌｅ ｏｎ Ｄｅｍａｎｄ（商標）、Ｔａｌｅｏ（商標）、Ｙａｍｍｅｒ（商標）、Ｊｉｖｅ（商標）、及びＣｏｎｃｕｒ（商標）が挙げられる。

【0033】

システム１００の要素の相互接続において、ネットワーク１４５は、コンピュータ１１２ａ～ｎ、タブレット１２２ａ～ｎ、携帯電話１３２ａ～ｎ、スマートウォッチ１４２ａ～ｎ、クラウドベースのホスティングサービス１１８、ウェブ電子メールサービス１２８、ビデオ、メッセージング、及び音声通話サービス１３８、ストリーミングサービス１４８、ファイル転送サービス１５８、クラウドベースのストレージサービス１６８、並びにＮ－ＣＡＳＢ１５５を通信で結合する。通信経路は、パブリック及び／又はプライベートネットワーク上のポイントツーポイントであり得る。通信は、種々のネットワーク、例えば、プライベートネットワーク、ＶＰＮ、ＭＰＬＳ回路、又はインターネットを経由して生じることができ、適切なアプリケーションプログラムインターフェース（ＡＰＩ）及びデータ交換フォーマット、例えば、ＲＥＳＴ、ＪＳＯＮ、ＸＭＬ、ＳＯＡＰ、及び／又はＪＭＳを使用することができる。全ての通信は暗号化することができる。この通信は、概して、ＥＤＧＥ、３Ｇ、４Ｇ ＬＴＥ、Ｗｉ－Ｆｉ、及びＷｉＭＡＸなどのプロトコルを介して、ローカルエリアネットワーク（ＬＡＮ）、ＷＡＮ（広域通信網）、電話ネットワーク（パブリック交換電話網（ＰＳＴＮ））、セッション開始プロトコル（ＳＩＰ）、無線ネットワーク、ポイントツーポイントネットワーク、スター型ネットワーク、トークンリングネットワーク、ハブネットワーク、モバイルインターネットを含むインターネットなどのネットワークを介する。加えて、ユーザ名／パスワード、ＯＡｕｔｈ、Ｋｅｒｂｅｒｏｓ、ＳｅｃｕｒｅＩＤ、デジタル証明書などの種々の認可及び認証技術が、通信をセキュアにするために使用され得る。

【0034】

図１のシステムアーキテクチャの説明を更に続けると、Ｎ－ＣＡＳＢ１５５は、互いに通信するように結合された１つ以上のコンピュータ及びコンピュータシステムを含むことができるモニタ１８４及びストレージ１８６を含む。それらはまた、１つ以上の仮想コンピューティング及び／又はストレージリソースであり得る。例えば、モニタ１８４は、１つ以上のＡｍａｚｏｎ ＥＣ２インスタンスとすることができ、ストレージ１８６は、Ａｍａｚｏｎ Ｓ３（商標）ストレージとすることができる。直接物理コンピュータ又は従来の仮想マシン上でＮ－ＣＡＳＢ１５５を実装するのではなく、Ｓａｌｅｓｆｏｒｃｅ製のＲａｃｋｓｐａｃｅ、Ｈｅｒｏｋｕ、又はＦｏｒｃｅ．ｃｏｍなどの他のサービスとしてのコンピューティングプラットフォームを使用することができる。加えて、セキュリティ機能を実装するために、１つ以上のエンジンを使用することができ、１つ以上のポイントオブプレゼンス（ＰＯＰ）を確立することができる。図１のエンジン又はシステムコンポーネントは、種々のタイプのコンピューティングデバイス上で実行されるソフトウェアによって実装される。例示的なデバイスは、ワークステーション、サーバ、コンピューティングクラスタ、ブレードサーバ、及びサーバファーム、又は任意の他のデータ処理システム若しくはコンピューティングデバイスである。エンジンは、異なるネットワーク接続を介してデータベースに通信可能に結合することができる。例えば、抽出エンジン１７１は、ネットワーク１４５（例えば、インターネット）を介して結合することができ、分類エンジン１７２は、直接ネットワークリンクを介して結合することができ、セキュリティエンジン１７３は、更に異なるネットワーク接続によって結合することができる。開示される技術に関して、データプレーン１８０のＰＯＰは、クライアントの構内でホストされるか、又はクライアントによって制御されるバーチャルプライベートネットワーク内に位置する。

【0035】

Ｎ－ＣＡＳＢ１５５は、管理プレーン１７４及びデータプレーン１８０を介して種々の機能を提供する。一実装形態によれば、データプレーン１８０は、抽出エンジン１７１、分類エンジン１７２、及びセキュリティエンジン１７３を含む。制御プレーンなどの他の機能も提供することができる。これらの機能は、クラウドサービス１０８と組織ネットワーク１０２との間の安全なインターフェースを集合的に提供する。Ｎ－ＣＡＳＢ１５５を説明するために「ネットワークセキュリティシステム」という用語を使用するが、より一般的には、システムは、アプリケーションの可視性及び制御機能並びにセキュリティを提供する。一例では、３万５０００のクラウドアプリケーションが、組織ネットワーク１０２内のコンピュータ１１２ａ～ｎ、タブレット１２２ａ～ｎ、携帯電話１３２ａ～ｎ、及びスマートウォッチ１４２ａ～ｎによって使用されているサーバと交差するライブラリ内に常駐する。

【0036】

一実装形態によれば、組織ネットワーク１０２内のコンピュータ１１２ａ～ｎ、タブレット１２２ａ～ｎ、携帯電話１３２ａ～ｎ、及びスマートウォッチ１４２ａ～ｎは、コンテンツポリシー１８７を定義及び管理するために、Ｎ－ＣＡＳＢ１５５によって提供されるセキュアなウェブ配信インターフェースを有するウェブブラウザを備えた管理クライアントを含む。Ｎ－ＣＡＳＢ１５５はマルチテナントシステムであり、したがって、一部の実装形態によれば、管理クライアントのユーザは、その組織に関連付けられたコンテンツポリシー１８７のみを変更することができる。一部の実装形態では、ポリシーをプログラム的に定義及び／又は更新するためのＡＰＩが提供され得る。かかる実装形態では、管理クライアントは、更新をプッシュし、かつ／又はコンテンツポリシー１８７に対する更新のプル要求に応答する、１つ以上のサーバ、例えば、Ｍｉｃｒｏｓｏｆｔ Ａｃｔｉｖｅ Ｄｉｒｅｃｔｏｒｙなどのコーポレート識別情報ディレクトリを含むことができる。両方のシステムを共存させることができ、例えば、一部の企業は、コーポレート識別情報ディレクトリを使用して組織内のユーザの識別を自動化すると同時に、ウェブインターフェースを使用してユーザのニーズに合わせてポリシーを調整することができる。管理クライアントには役割が割り当てられ、Ｎ－ＣＡＳＢ１５５データへのアクセスは、例えば読み取り専用／読み取り書き込みなどの役割に基づいて制御される。

【0037】

ユーザごとのデータ及びファイルごとのデータを定期的に生成し、それをメタデータストア１７８内に持続させることに加えて、アクティブアナライザ及び内部検査アナライザ（図示せず）はまた、クラウドトラフィックに対してセキュリティポリシーを施行する。アクティブアナライザ及び内部検査アナライザの機能に関する更なる情報については、例えば、同一出願人による米国特許第９，３９８，１０２号（ＮＳＫＯ１０００－２）、同第９，２７０，７６５号（ＮＳＫＯ１０００－３）、同第９，９２８，３７７号（ＮＳＫＯ１００１－２）、及び米国特許出願第１５／３６８，２４６号（ＮＳＫＯ１００３－３）、Ｃｈｅｎｇ，Ｉｔｈａｌ，Ｎａｒａｙａｎａｓｗａｍｙ ａｎｄ Ｍａｌｍｓｋｏｇ Ｃｌｏｕｄ Ｓｅｃｕｒｉｔｙ Ｆｏｒ Ｄｕｍｍｉｅｓ，Ｎｅｔｓｋｏｐｅ Ｓｐｅｃｉａｌ Ｅｄｉｔｉｏｎ，Ｊｏｈｎ Ｗｉｌｅｙ ＆ Ｓｏｎｓ，Ｉｎｃ．２０１５、 “Ｎｅｔｓｋｏｐｅ Ｉｎｔｒｏｓｐｅｃｔｉｏｎ” ｂｙ Ｎｅｔｓｋｏｐｅ，Ｉｎｃ．、 “Ｄａｔａ Ｌｏｓｓ Ｐｒｅｖｅｎｔｉｏｎ ａｎｄ Ｍｏｎｉｔｏｒｉｎｇ ｉｎ ｔｈｅ Ｃｌｏｕｄ” ｂｙ Ｎｅｔｓｋｏｐｅ，Ｉｎｃ．、 “Ｃｌｏｕｄ Ｄａｔａ Ｌｏｓｓ Ｐｒｅｖｅｎｔｉｏｎ Ｒｅｆｅｒｅｎｃｅ Ａｒｃｈｉｔｅｃｔｕｒｅ” ｂｙ Ｎｅｔｓｋｏｐｅ，Ｉｎｃ．、 “Ｔｈｅ ５ Ｓｔｅｐｓ ｔｏ Ｃｌｏｕｄ Ｃｏｎｆｉｄｅｎｃｅ” ｂｙ Ｎｅｔｓｋｏｐｅ，Ｉｎｃ．、 “Ｔｈｅ Ｎｅｔｓｋｏｐｅ Ａｃｔｉｖｅ Ｐｌａｔｆｏｒｍ” ｂｙ Ｎｅｔｓｋｏｐｅ，Ｉｎｃ．、 “Ｔｈｅ Ｎｅｔｓｋｏｐｅ Ａｄｖａｎｔａｇｅ：Ｔｈｒｅｅ “Ｍｕｓｔ－Ｈａｖｅ” Ｒｅｑｕｉｒｅｍｅｎｔｓ ｆｏｒ Ｃｌｏｕｄ Ａｃｃｅｓｓ Ｓｅｃｕｒｉｔｙ Ｂｒｏｋｅｒｓ” ｂｙ Ｎｅｔｓｋｏｐｅ，Ｉｎｃ．、 “Ｔｈｅ １５ Ｃｒｉｔｉｃａｌ ＣＡＳＢ Ｕｓｅ Ｃａｓｅｓ” ｂｙ Ｎｅｔｓｋｏｐｅ，Ｉｎｃ．、 “Ｎｅｔｓｋｏｐｅ Ａｃｔｉｖｅ Ｃｌｏｕｄ ＤＬＰ” ｂｙ Ｎｅｔｓｋｏｐｅ，Ｉｎｃ．、 “Ｒｅｐａｖｅ ｔｈｅ Ｃｌｏｕｄ－Ｄａｔａ Ｂｒｅａｃｈ Ｃｏｌｌｉｓｉｏｎ Ｃｏｕｒｓｅ” ｂｙ Ｎｅｔｓｋｏｐｅ，Ｉｎｃ．、及び “Ｎｅｔｓｋｏｐｅ Ｃｌｏｕｄ Ｃｏｎｆｉｄｅｎｃｅ Ｉｎｄｅｘ（商標）” ｂｙ Ｎｅｔｓｋｏｐｅ，Ｉｎｃ．を参照することができ、これらは、本明細書に完全に記載されているかのように、あらゆる目的のために参照により援用される。

【0038】

システム１００に関して、制御プレーンは、管理プレーン１７４及びデータプレーン１８０とともに、又はその代わりに使用されてもよい。これらのグループ間の機能の特定の分割は、実装形態上の選択である。同様に、機能は、ローカル性、性能、及び／又はセキュリティを改善するために、一部のポイントオブプレゼンス（ＰＯＰ）にわたって高度に分散され得る。一実装形態では、本明細書で説明されるように、データプレーンは、構内又はバーチャルプライベートネットワーク上にあり、ネットワークセキュリティシステムの管理プレーンは、クラウドサービス内に、又はコーポレートネットワークとともに位置する。別のセキュアなネットワーク実装形態では、ＰＯＰは別様に分散され得る。

【0039】

システム１００は、特定のブロックを参照して本明細書で説明されるが、ブロックは、説明の便宜のために定義され、構成部品の特定の物理的配置を必要とすることを意図するものではないことを理解されたい。更に、ブロックは、物理的に別個のコンポーネントに対応する必要はない。物理的に別個のコンポーネントが使用される限りにおいて、コンポーネント間の接続は、必要に応じて有線及び／又は無線とすることができる。異なる要素又はコンポーネントは、単一のソフトウェアモジュールに組み合わせることができ、複数のソフトウェアモジュールは、同じプロセッサ上で実行することができる。

【0040】

更に、この技術は、互いに協働し通信する２つ以上の別個の異なるコンピュータ実装システムを使用して実装することができる。この技術は、プロセス、方法、装置、システム、デバイス、コンピュータ可読命令若しくはコンピュータプログラムコードを記憶するコンピュータ可読記憶媒体などのコンピュータ可読媒体として、又はコンピュータ可読プログラムコードがその中に具現化されたコンピュータ使用可能媒体を備えるコンピュータプログラム製品としてなど、多数の方法で実装され得る。開示される技術は、Ｏｒａｃｌｅ（商標）互換データベース実装、ＩＢＭ ＤＢ２ Ｅｎｔｅｒｐｒｉｓｅ Ｓｅｒｖｅｒ（商標）互換リレーショナルデータベース実装、ＭｙＳＱＬ（商標）若しくはＰｏｓｔｇｒｅＳＱＬ（商標）互換リレーショナルデータベース実装、又はＭｉｃｒｏｓｏｆｔ ＳＱＬ Ｓｅｒｖｅｒ（商標）互換リレーショナルデータベース実装、又はＶａｍｐｉｒｅ（商標）互換非リレーショナルデータベース実装、Ａｐａｃｈｅ Ｃａｓｓａｎｄｒａ（商標）互換非リレーショナルデータベース実装、ＢｉｇＴａｂｌｅ（商標）互換非リレーショナルデータベース実装、又はＨＢａｓｅ（商標）若しくはＤｙｎａｍｏＤＢ（商標）互換非リレーショナルデータベース実装などのＮｏＳＱＬ非リレーショナルデータベース実装のようなデータベースシステム又はリレーショナルデータベース実装を含む任意のコンピュータ実装システムとの関連で実装することができる。加えて、開示される技術は、ＭａｐＲｅｄｕｃｅ（商標）、バルク同期プログラミング、ＭＰＩプリミティブなどのような異なるプログラミングモデル、又はＡｍａｚｏｎ Ｅｌａｓｔｉｃｓｅａｒｃｈ Ｓｅｒｖｉｃｅ（商標）及びＡｍａｚｏｎ Ｋｉｎｅｓｉｓ（商標）、Ａｐａｃｈｅ Ｓｔｏｒｍ（商標）、Ａｐａｃｈｅ Ｓｐａｒｋ（商標）、Ａｐａｃｈｅ Ｋａｆｋａ（商標）、Ａｐａｃｈｅ Ｆｌｉｎｋ（商標）、Ｔｒｕｖｉｓｏ（商標）、ＩＢＭ Ｉｎｆｏ－Ｓｐｈｅｒｅ（商標）、Ｂｏｒｅａｌｉｓ（商標）及びＹａｈｏｏ！Ｓ４（商標）を含むＡｍａｚｏｎ Ｗｅｂ Ｓｅｒｖｉｃｅｓ（ＡＷＳ）（商標）のような異なるスケーラブルバッチ及びストリーム管理システムを使用して実装することができる。

【0041】

図２は、データセンタのためのセキュアサービスの分散型ネットワークの例示的なブロック図を示している。ネットワークは、セキュリティヘッドクォーター２７２と、ポイントオブプレゼンス（ＰＯＰ）２２２、２２６、２４２、２４６、及び２５６と、パブリッククラウド／仮想プライベートクラウド２０２と、プライベートデータセンタ２０８と、リモートユーザ２２８、２３８と、マルチユーザ集合体であるブランチオフィス２５２、２５４、２４８、２６６とを含む。セキュリティヘッドクォーター２７２は、セキュリティアソシエーション（ＳＡ）のためにＩＰｓｅｃプロトコルを利用し、サーバ２８２と、エンドデバイス２６４、２７４、２８４、及び２９４を接続するネットワークデバイス２９２とを含み、該エンドデバイスは、コンピュータ、タブレット、携帯電話、スマートウォッチ、又は本明細書に明示的に列挙されていない他のデバイスのいずれかとすることができる。ポイントオブプレゼンス（ＰＯＰ）２２２、２２６、２４２、２４６、及び２５６は、サーバ又はネットワーク機器が存在する場所を指す、データセンタを実装する。ＰＯＰは、ノードのクラスタ又はセットと称されることがあり、ノードは、複数のポッドを実行する物理マシンを指す。一実装形態では、１つのノードが２つから３つのポッドを実行し、各ポッドは、プロセスを実行するコンテナのセットを含む。一実装形態では、３～４つのコンテナがポッド内で稼働し、単一のプロセスがコンテナ内で稼働する。各プロセスは、スレッドのセットを実行し、スレッドごとに１つのコアがプロビジョニングされることが多い。別の例示的な場合では、異なる数のポッド及びコンテナ及びプロセスを有する構成を、分散システム内に構成することができる。図２の例では、マイクロＰｏｐ Ａ２２２は、ＩＰＳｅｃを介してパブリッククラウド又は仮想プライベートクラウド２０２に接続し、ＰＯＰ Ｂ２２６及びＰＯＰ Ｅ２４２に接続する。ＰＯＰ Ｂ２２６は、プライベートデータセンタ２０８へのＩＰＳｅｃアクセスを含み、ＰＯＰ Ｃ２４６及びＰＯＰ Ｅ２４２も含むノードのセットのうちの１つである。ＰＯＰ Ｃ２４６は、ＳＳＬ／ＩＰＳｅｃを介して、リモートユーザ２２８、２３８及びブランチサービス２４８と接続する。ＰＯＰ Ｄ２５６は、マイクロＰＯＰ Ｃ２４６、マイクロＰＯＰ Ｅ２４２、及びヘッドクォーター２７２を有するクラスタ内のノードである。ＰＯＰ Ｄ２５６はまた、ＩＰＳｅｃを介して接続するブランチサービス２６６を含む。

【0042】

図３は、検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、アクティビティのコンテキスト化、並びにデータ損失防止分析の機能を統合するクラウドベースのポリシー施行システムのための開示されたポリシー施行層を示している。開示されるポリシー施行層は、一貫した可視性及びセキュリティポリシーの施行を配信することによって、エンタープライズデータセンタの外側を進行するトラフィックの懸念、及びユーザがコーポレートファイアウォールの背後にいるかどうかに対処する。クラウドベースのポリシー施行システムは、インターネット、クラウドアプリケーション、又はデータセンタへの途中のトラフィックのためのネットワーキング及びセキュリティサービスの配信を含む。ユーザがアプリケーションにアクセスするとき、パケットは、セキュアアクセスサービスエッジ（ＳＡＳＥ）における入口点と、ＳＡＳＥ出力出口点とを有する。

【0043】

パケットは、システム３０２内の複数の論理コンポーネント及び境界を通って流れ、複数のセキュリティ機能が、識別情報ベースのセキュアなアクセスを提供し、クラウドベースのセキュリティサービスを配信する。データのストリームは、ブランチサーバ３０４から、データセンタ３０５から、又はリモートユーザ３０６から、ＰＯＰ３０２内のＩＰＳｅｃ終端３１５に到着することができる。ユーザは、オフィス又は自宅などの一部の異なる場所のうちのいずれかにいる可能性があり、クラウドベースのアプリケーションを使用する必要がある。その場合、アプリケーションにアクセスするためのユーザの要求は、ローカルエリアネットワークをネットワークのエッジまで横断する。ユーザの在宅勤務のために、一例では、ユーザ及びネットワークエッジは同じ建物内にある。

【0044】

図３の説明を続けると、ＩＰＳｅｃ終端３１５は、サービスルックアップ３２４のためにネットワーク層３１４にルーティングし、ネットワーク層３１４は、サービス層３３４のためのサービスルックアップ３２４の結果に基づいて、全てのプロトコルのための全てのトラフィックをファイアウォール３４４にルーティングし、セキュアパケットをインターネット３０８にルーティングし、他のポイントオブプレゼンス（ＰＯＰ）３２８との間でルーティングする。ファイアウォール３４４は、ユーザのポリシー及びアクセス制御３６４を決定するためにアプリケーションＩＤ３５４及びユーザＩＤ３５６を使用して、ネットワークマスクのためのＩＰアドレス及びその関連するルーティングプレフィックス（ＣＩＤＲ）のコンパクトな表現を介して表現可能なＩＰ範囲を利用し、パケットストリームを侵入防止システム（ＩＰＳ）アンチウイルス（ＡＶ）３７４にマッピングする。サービス層３３４は、全てのウェブアプリのためのセキュアウェブゲートウェイ（ＳＷＧ）と、クラウドアプリのためのＣＡＳＢと、データ損失防止（ＤＬＰ）３８４とを含み、それによって、単一ゲートウェイを使用して、ネットワークセキュリティを達成する。

【0045】

図４は、開示される技術の一実装形態について、検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合する、開示されるクラウドベースのセキュリティシステムのためのポリシー施行コンポーネントの包括的なスイート及び例示的な論理トラフィックフローを有する開示されるセキュリティスタックを示している。セキュリティスタック１５３層は、一実施形態では、ネットワークファイアウォール４５５、ａｐｐファイアウォール４４５、セキュアウェブゲートウェイ（ＳＷＧ）１７６、及びＮ－ＣＡＳＢ１５５を含む。ネットワークファイアウォール４５５は、ＩＰパケット及び接続を分析して、異常を検出し、パケットヘッダに基づいてポリシーを適用する。ａｐｐファイアウォール４４５は、アプリケーションプロトコル及びデータのストリームを分析して、ＨＴＴＰ／Ｓ、並びにサーバメッセージブロック（ＳＭＢ）、ファイル転送プロトコル（ＦＴＰ）、簡易メール転送プロトコル（ＳＭＴＰ）、及びドメイン名サービス（ＤＮＳ）などの他のネットワークプロトコルのプロトコル異常を検出する。ＳＷＧ１７６は、ウェブ操作を分析して、データの異常を検出し、認可されていない危険なウェブサイトへのアクセスを防止する。

【0046】

Ｎ－ＣＡＳＢ１５５は、ログイン、ファイル転送及び共有のようなウェブアプリケーション及び動作を制御し、データ及びアクセスにおける異常を検出することができる。セキュリティ機能は、アクセス制御４０１、リスクアセスメント４０２、マルウェア検出４０３、侵入防止システム（ＩＰＳ）４０４、データ損失防止（ＤＬＰ）４０６、フィンガープリンティング４０７、及び挙動分析４０８を含み、追加のポリシー施行特徴を含むことができる。アクセス制御４０１は、任意のタイプのトラフィックに適用することができ、複数の基準に基づき得る。リスクアセスメント４０２は、アクセスされた宛先に基づいて全てのトラフィックに適用される。マルウェア検出４０３は、検査可能で復号化されたトラフィックのセキュリティを評価する。ＩＰＳ４０４は、復号化されたトラフィック及び復号化されていないトラフィックに適用され、異常又は誤った方向に向けられたパケットフロー／メッセージ交換のシグネチャを評価する。ＤＬＰ４０６は、復号化されたファイルに対してセキュリティ機能を実施する。フィンガープリンティング４０７は、復号化されたプロトコルに対してファイルレベルハッシュを実行し、挙動分析４０８は、セッションに対して収集することができる情報の量に基づいて変化する任意のトラフィックを分析する。

【0047】

図４の説明を続けると、トラフィックは、クライアント４７２からセキュリティスタック１５３の層を通ってサーバ４７８まで上下に移動する。各セキュリティ層は、セキュリティポリシーの種々の実装形態において、セキュリティスタック１５３を上昇する途中で、又は上位層がトラフィックに対して何らかの処理を行った後で、したがって下降する途中で、最初にトラフィックを見たときに、問題を検出し、ポリシーを施行することができる。例えば、ａｐｐファイアウォール４４５は、ＳＷＧ１７６／Ｎ－ＣＡＳＢ１５５又はＳＷＧ１７６／Ｎ－ＣＡＳＢ１５５において、クライアント４７２とサーバ４７８との間でルーティングされたトラフィックに対するＨＴＴＰ／Ｓプロトコル問題を検出することができる。

【0048】

更に図４の説明を続けると、応答トラフィックは、セキュリティスタック１５３の層を通ってサーバ４７８からクライアント４７２に流れ、セキュリティ層ネットワークファイアウォール４５５、ａｐｐファイアウォール４４５、ＳＷＧ１７６、及びＮ－ＣＡＳＢ１５５において問題を検出し、ポリシーを実施するためにハンドオフされる。ポリシー施行は、セキュリティスタック１５３がサーバ４７８から応答を受信したときに適用することができる。一例では、ａｐｐファイアウォール４４５は、応答を制限状態にさせ得る、サーバ４７８から返された悪意のあるコンテンツを発見し得る。同様に、Ｎ－ＣＡＳＢ１５５は、ダウンロードアクティビティに応答することになるファイルダウンロード内の機密データを検出することができる。すなわち、着信アクセス要求は、全てのサービスチェックを通過することができるが、応答は、チェックに失敗し、制限的アクションを引き起こす可能性がある。特定のセキュリティ層によってのみ発見され得る特定の情報は、セキュリティ機能のチェーンに沿って渡され、その結果、ポリシー基準マッチングの完全なセットが完了され得るときはいつでも、任意の層において施行が行われ得る。例えば、あるトラフィックのユーザ情報が、そのトラフィックをプロキシし、復号化した後にＮ－ＣＡＳＢ１５５によってのみ発見され得る場合、ネットワークファイアウォール４５５は、その発見された情報を他のパケットヘッダ情報と組み合わせて、パケットストリームがＮ－ＣＡＳＢ１５５を通過した後にポリシーを施行することができる。逆に、スタック内の下位セキュリティ層からの情報を発見し、上位層に渡すことができ、次いで上位層がセキュリティ施行を完了することができる。トラフィックタイプに依存して、トラフィックは、Ｎ－ＣＡＳＢ１５５まで完全には進まない可能性がある。クラウドアプリトラフィックは、スタック内のネットワークセキュリティ層の全てを通過する。他のウェブトラフィックは、ＳＷＧ１７６まで進む。非ＨＴＴＰ／Ｓトラフィックは、ａｐｐファイアウォール４４５で検査される。セキュリティスタック１５３の各層は、それが見るトラフィックにポリシー施行機能を適用することができる。次に、種々のトラフィックタイプに適用されるセキュリティ機能の例を説明する。

【0049】

ネットワークファイアウォール４５５は、パケットヘッダフィールドに基づいてアクセスを制御し、宛先ＩＰ、ポート、及びプロトコルによって指定されるように、アクセスされた宛先に基づいてトラフィックにリスクアセスメントを適用する。ネットワークファイアウォール４５５は、ＩＰアドレス、ＴＣＰ／ＵＤＰポート、プロトコル、ＶＬＡＮ及び優先度を共有することができる。

【0050】

クラウドベースのコンポーネントの開示されたセキュリティシステムは、複数のシナリオにおいてセキュリティポリシーを施行する。セキュリティシステムは、形成異常パケットヘッダ、悪意のあるシグネチャ、及び脅威宛先に向けられた着信アクセス要求を検出するための検査のために、並びにコンテンツを含むアクティビティを認識及び処理して、そのアクティビティを、危険を及ぼしているか否かとして分類するために、データパケットをルーティングする。１つのシナリオでは、パケットストリームは、クラウドベースのコンポーネントの層の完全なセットを横断し、そのうちの一部は、パケットストリームに対してアクションをとらなくてもよい。別のシナリオでは、パケットストリームは、パケット内のデータのタイプに適用されるクラウドベースのコンポーネントを通じて選択的に向けることができる。応答はまた、一部のシナリオでは、クラウドベースのコンポーネントの層のフルセットを通してルーティングされる。

【0051】

開示されたネットスコープポリシーマネージャ１５７は、パケットフローを管理し、トラフィックをポリシールールにマッチさせる。ポリシーマネージャは、検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のために、クラウドベースの統合機能間でそれぞれの機能に適用できるポリシー指定を検証し、保存し、分散させるように構成される。統合ポリシーは、（ａ）検査されるトラフィックのソース、（ｂ）トラフィックの宛先、（ｃ）トラフィックによって使用されるプロトコル、（ｄ）検査可能なトラフィック内で指定されるアクティビティ、（ｅ）特定の機能に関するプロファイル、及び（ｆ）検査から生じる例外の場合にトリガされるアクションに関するポリシーフィールドのセットを使用して表される。検査されるトラフィックの（ａ）ソース又は（ｂ）宛先の値は、任意のトラフィック、指定されたユーザ、指定されたグループ、ＩＰアドレス若しくは範囲、又はポート番号を含む。（ｃ）トラフィックによって使用されるプロトコルの場合、値は、ＨＴＴＰ、ＴＣＰ、ＵＤＰ、又はＩＣＭＰを含む。（ｄ）検査可能なトラフィックにおいて指定されるアクティビティの値は、アップロード、ダウンロード、プレビュー、又は共有を含み、（ｅ）特定の機能、アクセス制御及びトラフィック検査、脅威検出、アクティビティのコンテキスト化、並びにデータ損失防止分析のうちの１つ以上のプロファイルの値を含む。加えて、検査から生じる例外の場合にトリガされるアクションの（ｆ）の値は、許可、ブロック、アラート、バイパス、コーチ、又は隔離を含む。ある場合には、ブロッキングのアクションのための構成されたポリシーは、アップロード及びダウンロードに適用されることができ、他の場合には、ブロックのための構成されたポリシーは、アップロードのみ又はダウンロードのみに適用されることができる。

【0052】

図５は、潜在的に検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化及び検査の機能を統合する、開示されるクラウドベースのセキュリティシステムにおける統合ポリシーを表現するための共通フィールドの例を示している。データマネージャ７１５は、Ｎ－ＣＡＳＢ１５５、セキュアウェブゲートウェイ（ＳＷＧ）１７６、及びファイアウォール５５６のクラウドベースの統合機能にわたる統合機能のうちの２つ以上によって共有される共通フィールドを含む、セキュリティポリシーを指定するために使用されるフィールド５２２、５２３、５２４、５２５、５２６、５２８のスーパーセットを処理する。特定のパケットに対して複数のソースフィールドを使用することができる。ポリシーフィールドの例を次に列挙する。
Ｓｒｃ［ユーザ、グループ、組織ユニット、ＩＰ／ポート、…］
Ｄｓｔ［アプリ、カテゴリ、ＩＰ／ポート、ドメイン、…］
プロトコル｛ＴＣＰ、ＵＤＰ、ＩＣＭＰ、…］
アクティビティ［アップロード、ダウンロード、プレビュー、…］
アクション［許可、ブロック、アラート、バイパス、隔離、コーチ、…］

【0053】

複数のクラウドベースのセキュリティ機能は、前に列挙したように、許可、ブロック、アラート、バイパス、隔離、コーチ、及び暗号化などのアクションを生成することができる。次に、複数のクラウドベースのセキュリティ機能のための統合ポリシーを表現するための例示的なポリシーフィールドの使用の、表形式での概要を、上部にわたって列挙されたアクションの基準とともに説明する。Ｎ－ＣＡＳＢ１５５は、ＨＴＴＰ／Ｓトラフィックのためのソース（Ｓｒｃ）、宛先アプリケーション（Ｄｓｔ Ａｐｐ）、宛先（Ｄｓｔ）ＩＰ／ポート／ドメイン、アクティビティ、及びプロファイルフィールドをマッチングし、アクションを適用することができる。セキュアウェブゲートウェイ（ＳＷＧ）１７６は、ＨＴＴＰ／Ｓトラフィックに対して、Ｄｓｔアプリは別として、全てのＳｒｃ／Ｄｓｔフィールド、並びにアクティビティ及びプロファイルに対してマッチングし、アクションを適用することができる。ファイアウォール５５６は、ａｐｐファイアウォール４４５及びネットワークファイアウォール４５５のための統合機能の組み合わせを表すことができ、該ファイアウォール５５６は、全てのトラフィック及び非ＨＴＴＰ／Ｓプロファイルに対して、Ｄｓｔカテゴリとは別に、Ｓｒｃ／Ｄｓｔフィールド上で合致し、アクションを適用することができる。

【表2】

【0054】

第１の例では、統合ポリシーは、ユーザが、ＨＴＴＰ／Ｓ及び非ＨＴＴＰ／Ｓトラフィックの両方を有するアプリケーションのセットであるＯｆｆｉｃｅ３６５にアクセスすることを可能にし、したがって、Ｎ－ＣＡＳＢ１５５及びファイアウォール５５６の両方が、プロトコルに応じて、Ｏｆｆｉｃｅ３６５とトラフィックを一致させ、アクションを適用することを試みる。ＳＷＧ１７６はまた、トラフィックを安全としてカテゴリ化し、それを許可する。このポリシーのルールを次に列挙する。
Ｓｒｃ＝任意、ｄｓｔ＝０３６５、プロトコル＝任意、アクション＝許可

【0055】

第２の例では、ルール内の統合ポリシーは、ＤＬＰ＿ＰＩＩ＿Ｐｒｏｆｉｌｅなどの特定のＤＬＰプロファイルであり、これは、ユーザがストレージアプリを使用するが、ダウンロードアクティビティに対して特定のコンテンツのＤＬＰを行うことを可能にする。このポリシーのルールを次に列挙する。
Ｓｒｃ＝任意、カテゴリ＝ストレージ、プロトコル＝任意、アクティビティ＝ダウンロード、プロファイル＝ＤＬＰ、アクション＝ブロック

【0056】

ＳＷＧ１７６は、ＨＴＴＰ／Ｓトラフィックが何らかのストレージアプリのためのものであるかどうかを判定するために検査し、アクティビティフィールドが設定されているため、Ｎ－ＣＡＳＢ１５５はＤＬＰを行う。このカテゴリは、Ｎ－ＣＡＳＢ１５５と共有され、Ｎ－ＣＡＳＢ１５５は、ダウンロードアクティビティに対してＤＬＰを行って、個人を特定できる情報（ＰＩＩ）が転送されるのを防止する。

【0057】

第３の例では、統合ポリシーは、特定のユーザがＧｏｏｇｌｅ Ａｐｐｓにアクセスすることを可能にする。このポリシーのルールを次に列挙する。
Ｓｒｃ＝ユーザグループ１、ｄｓｔ ａｐｐ＝Ｇｏｏｇｌｅ ａｐｐｓ、プロトコル＝任意、アクティビティ＝任意、プロファイル＝任意、アクション＝許可

【0058】

Ｎ－ＣＡＳＢ１５５は、ユーザ及びそれらのための全てのＧｏｏｇｌｅ ａｐｐｓ ＨＴＴＰ／Ｓトラフィックを識別する。ユーザ情報は、ファイアウォール５５６と共有され、その結果、ファイアウォール５５６は、それらのユーザがＧｏｏｇｌｅ非ＨＴＴＰ／Ｓサービスにもアクセスすることを可能にすることができる。

【0059】

図６は、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合する、開示されるクラウドベースのポリシー施行システムのためのポリシー指定を構成するために使用可能な、代表的なグラフィカルユーザインターフェース（ＧＵＩ）６００を示している。ＧＵＩ６００は、特定の機能によって使用されるポリシーの指定のために必要なフィールドにコンテキスト化された、統合機能にわたって一貫した値完了オプションを用いて一貫した順序で共通フィールドを提示することができ、クラウドベースのポリシー施行システムのユーザへのＧＵＩの配信を引き起こすことができる。ＧＵＩ６００は、ポリシー定義を一様に表すことができるように、ポリシー及びサービスプロバイダ方言のプロトコルにわたる正規化を表すことができる。ユーザインターフェースは、企業のためのリアルタイム保護ポリシー６２４を入力するために利用することができる。一例では、ファイアウォール６４４は、非ＨＴＰ／Ｓパケットのフローを可能にするポリシーアクションとともに、アプリケーションＴＣＰ＿５４０００への非ＨＴＴＰ／Ｓトラフィックのソースとして追加され得る。ポリシー名は、ＧＵＩ６００の例１～６に示されるように、ポリシーの特定のセットを表すことができる。ＧＵＩで利用可能なアクティビティ及びアクションは、選択されたプロファイル及びアプリケーションのタイプに依存する。規則は、サブネットによって定義されたファイアウォールとすることができ、宛先は、構成可能なアクティビティ及び制約を有し、「許可」などのパケット用に構成されたプロファイル及びアクションを有するＴＣＰ＿５４０００などのアプリケーションとすることができる。各ポリシーには一意の名前を割り当てることができ、ポリシーは、組織が指定するように有効又は無効にすることができる。ＧＵＩは、ファイアウォール又は他のコンポーネントを追加するためのプルダウンメニューを表示することができる。

【0060】

図７は、ポリシー施行機能を統合するクラウドベースのポリシー施行システムのための開示されたポリシーマネージャデバイスのブロック図７００を示している。ポリシーマネージャ１５７は、検査可能及び検査不能なトラフィックに対するパケットベース及びプロトコルベースのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の統合機能の中のそれぞれの機能に適用できるポリシー指定を検証し、保存し、分散させるために利用される。ポリシーは、パケットベース及びプロトコルベースのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のための３つの異なる命令セットを生成するように構文解析されたＪＳＯＮ統合ポリシーを使用して、それぞれのバックエンドサービスに分散され得る。各機能コンポーネントは、構成された統合ポリシーの完全なリストを受信することができる。一実装形態では、組織の顧客は、構文解析論理をカスタマイズすることができ、それによって顧客のポリシー表現をカスタマイズすることができる。

【0061】

ブロック図７００は、データマネージャ７１５と、グラフィカルユーザインターフェース（ＧＵＩ）ジェネレータ７２５と、アプリケーションプログラムインターフェース（ＡＰＩ）７３５と、データ構造パーサ７４５と、コマンドラインインターフェース（ＣＬＩ）７５５と、脅威検出論理７６５と、アクティビティのコンテキスト化論理７７５と、アクセス制御及びトラフィック検査論理７８５と、ポリシー指定ストレージ７９５とを有する、開示されるポリシーマネージャデバイス１５７を含む。ポリシーマネージャ１５７は、パケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の統合機能の中のそれぞれの機能に適用できるポリシー指定を検証し、保存し、分散させるように構成される。ポリシーマネージャ１５７は、前に説明したように、検査されるトラフィックのソース、トラフィックの宛先、トラフィックによって使用されるプロトコル、トラフィックのカテゴリ、検査可能なトラフィックにおいて指定されるアクティビティ、検査から生じる例外の場合にトリガされる特定の機能及びアクションのプロファイルなど、共通フィールドを利用する。これらの共通フィールドの値には、検査されるトラフィックのソース又は宛先について、ＩＰアドレス又は範囲又はポート番号が含まれ、トラフィックによって使用されるプロトコルについて、ＨＴＴＰ、ＴＣＰ、ＵＤＰ及びＩＣＭＰが含まれる。検査されるトラフィックのソース又は宛先の追加の値には、ｄｓｔホスト名、ｄｓｔドメイン名、ｓｒｃユーザ、ｓｒｃ組織グループ、及びｓｒｃ国が含まれる。トラフィックのカテゴリの値は、とりわけ、ビジネス、金融、ストレージ、コラボレーション、及び電子メールを含むことができる。検査可能なトラフィックにおいて指定されるアクティビティの値は、アップロード、ダウンロード、プレビュー、又は共有を含む。特定の機能のプロファイルの場合、値は、アクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のうちの１つ以上を含む。検査から生じる例外の場合にトリガされるアクションの値は、許可、ブロック、アラート、バイパス、暗号化、コーチ、又は隔離を含む。「粒度制御で許可する」などの追加の値を含めることができる。データマネージャ７１５は、統合機能のうちの２つ以上によって共有される共通フィールドを含む、クラウドベースの統合機能にわたってポリシーを指定するために使用されるフィールドを扱い、統合機能の間のそれぞれの機能に適用可能なポリシー指定をポリシー指定ストレージ７９５に記憶する。ポリシーマネージャ１５７は、グローバルキャッシュ及び／又はクラウドベースのコンポーネントに対してローカルなキャッシュにパケットストリームの状態を保存するように構成可能である。

【0062】

図７のブロックの説明を続けると、ポリシーマネージャ１５７は、ＧＵＩジェネレータ７２５を介してポリシー指定を受信することができ、ＧＵＩジェネレータ７２５は、特定の機能によって使用されるポリシーの指定のために必要なフィールドにコンテキスト化された、統合機能にわたって一貫した値完了オプションを用いて一貫した順序で共通フィールドを提示する。別の場合には、ポリシーマネージャ１５７は、特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて統合機能の各々にコンテキスト化される、キー－値ペアのデータ構造を受信するように構成されたＡＰＩインターフェース７３５を介してポリシー指定を受信する。第３の例では、ポリシーマネージャ１５７は、特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したフィールド名及び一貫したフィールド値オプションを用いて統合機能の各々にコンテキスト化されるデータ構造を受信するように構成されたデータ構造パーサ７４５を介してポリシー指定を受信する。更に別の例では、コマンドラインインターフェース（ＣＬＩ）７５５は、特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて統合機能の各々にコンテキスト化される、キー－値ペアのデータ構造をポピュレートするために使用されるポリシー構成コマンドを受け入れ、構文解析するように構成される。別の実装形態では、データ構造は、データセキュリティポリシー構成を記憶するために異なるデータ表現を利用することができる。

【0063】

図７のブロックの説明を更に続けると、アクセス制御及びトラフィック検査論理７８５は、任意の事前処理を伴って、又は伴わずに、着信アクセス要求中のパケットヘッダを形成異常について検査し、着信アクセス要求を検査可能又は検査不能として分類するように構成される。次いで、検査に基づいて、アクセス制御及びトラフィック検査論理７８５は、第１の制限状態を設定するか、又は着信アクセス要求を渡す。アクセス制御及びトラフィック検査論理７８５はまた、任意の事前処理を伴って、又は伴わずに、悪意のあるシグネチャに対するディープパケット検査を着信アクセス要求に対して行うように構成されることができ、第２の制限状態を設定するか、又は着信アクセス要求を渡すように構成することができる。脅威検出論理７６５は、着信アクセス要求がＨＴＴＰ／Ｓストリームであるとき、着信アクセス要求を脅威宛先に向けられているか否かに分類するように構成され、次いで、分類に基づいて、第３の制限状態を設定するか、又は着信アクセス要求を渡すように構成することができる。

【0064】

アクティビティのコンテキスト化論理７７５は、着信アクセス要求がクラウドベースのアプリケーションへのアクセスを求めるＨＴＴＰ／Ｓストリームであるとき、コンテンツを含むアクティビティを認識して処理し、そのアクティビティを、危険を及ぼしているか否かに分類するように構成される。次いで、分類に基づいて、アクティビティのコンテキスト化論理７７５は、第４の制限状態を設定するか、又は着信アクセス要求を渡すように構成され得る。

【0065】

ポリシーマネージャ１５７は、セキュリティスタック１５３のコンポーネントを通してパケットをルーティングするように構成され得、そのうちの一部は、アクションを行わないか、又は検査されているアクセス要求のタイプに適用される層を通してパケットを選択的にルーティングするように構成され得る。一例では、ポリシー指定ストレージ７９５に記憶することができるポリシーマネージャ１５７の構成は、アクションが取られる前に、パケットが、クライアント４７２から、ネットワークファイアウォール４５５を通り、ａｐｐファイアウォール４４５、ＳＷＧ１７６、及びＮ－ＣＡＳＢ１５５を通り、次いでＳＷＧ１７６、ａｐｐファイアウォール４４５、及びネットワークファイアウォール４５５を通って戻るように、セキュリティスタック１５３をトラバースすることを指定することができる。異なる構成では、第１の例外に遭遇すると、パケットをブロックすること、検出された問題を警告すること、又はパケットを隔離すること、又はコーチングなどのアクションを取ることができる。一実施形態では、ＳＷＧ及びＮ－ＣＡＳＢにおけるコーチアクションを利用して、「許可されていないものは、代わりにＸを使用する」又は「デフォルトでは許可されていないが、ユーザは、それを使用する必要がある場合、正当な理由を提供できる」ことを確認することができる。更に別のアクションは、トラフィックコンテキストに応じて認証又はマルチファクタ認証を必要とすることであり得る。更に、セキュリティスタック１５３の組み合わされたコンポーネントは、必要とされる認証のレベルを変更する動機を与えることができる。

【0066】

ポリシーマネージャ１５７の異なる構成では、パケットは、そのタイプのパケットに適用される層を通して選択的にルーティングされ得、それぞれの検査及び分類の結果の状態は、制限状態で記憶される。アクセス制御及びトラフィック検査論理７８５は、任意の事前処理を伴って、又は伴わずに、形成異常について着信アクセス要求内のパケットヘッダを検査し、着信アクセス要求を検査可能又は検査不能として分類し、次いで、検査に基づいて、第１の制限状態を設定するか、又は着信アクセス要求を渡すように構成される。アクセス制御及びトラフィック検査論理７８５はまた、第２の制限状態を設定するか、又は着信アクセス要求を渡すように構成される、任意の事前処理を伴って、又は伴わずに、悪意のあるシグネチャについて着信アクセス要求に対してディープパケット検査を実施するように構成される。脅威検出論理７６５は、着信アクセス要求がＨＴＴＰ／Ｓストリームであるとき、着信アクセス要求を脅威宛先に向けられているか否かに分類するように構成され、次いで、分類に基づいて、第３の制限状態を設定するか、又は着信アクセス要求を渡すように構成される。アクティビティのコンテキスト化論理７７５は、着信アクセス要求がクラウドベースのアプリケーションへのアクセスを求めるＨＴＴＰ／Ｓストリームであるとき、コンテンツを含むアクティビティを認識及び処理し、アクティビティを、危険を及ぼしているか否かに分類するように構成され、次いで、分類に基づいて、第４の制限状態を設定するか、又は着信アクセス要求を渡すように構成される。状態情報は、制限状態が適用される層に記憶することができ、メッセージとして後続のコンポーネントに渡すことができ、状態の共通データベースに記憶することもできる。

【0067】

ポリシーマネージャ１５７は、モバイルデバイス、ラップトップデバイス、オフィスデバイス、及び他のデバイスにわたって機能し、デバイスのタイプ及び位置にわたって単一の統合ポリシーを施行する。Ｎ－ＣＡＳＢ、ネットワークファイアウォール、ａｐｐファイアウォール、及びＳＷＧは、ポリシーを構成され有効にされたセキュリティサービスのセットに渡す単一のエンジンを利用して、ポリシーの調整された適用とともに、別々に実行することができる。

【0068】

図８は、パケットレベルのアクセス制御及びトラフィック検査、プロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のためのクラウドベースのコンポーネントの開示された統合ポリシー施行システムを示すブロック図である。クラウドベースの統合セキュリティシステム８０５は、パケットの各着信アクセス要求を、そのタイプのパケットに適用されるコンポーネントを通して、少なくとも、コンポーネントのうちの１つが着信アクセス要求に対応する少なくとも１つのオブジェクトに対して制限状態を設定するまで、又は適用されるコンポーネントの全てが着信アクセス要求を渡すまで、伝達するように構成されたパケット及びストリームルータ８２５を含むことができる。システム８０５は、パケットレベルのアクセス制御及びトラフィック検査８４２、プロトコルレベルのアクセス制御及びトラフィック検査８４４、脅威検出８４６、並びにアクティビティのコンテキスト化８４８のためのコンポーネントを有する。アクセス制御及びトラフィック検査コンポーネントは、ファイアウォール機能を実行する。脅威検出８４６は、ウェブ動作を分析してデータ内の異常を検出し、認可されていない危険なウェブサイトへのアクセスを防止するセキュアウェブゲートウェイ（ＳＷＧ）コンポーネントである。アクティビティのコンテキスト化８４８は、先に図１に関して説明したように、ネットスコープクラウドアクセスセキュリティブローカ（Ｎ－ＣＡＳＢ）であり、ログイン、ファイル転送、及び共有動作などのコンテンツを含むアクティビティを処理して、それらを制御し、データ内の異常を検出して、アクティビティを、危険を及ぼしているか否かに分類するコンポーネントである。

【0069】

図８のブロック図の説明を続けると、パケットレベルのアクセス制御及びトラフィック検査８４２は、任意の事前処理を伴って、又は伴わずに、アクセス要求（集合的に、要求又は応答）の中の、又はそれへの応答の中のパケットヘッダを検査し、要求又は応答を検査可能又は検査不能として分類するように構成される。次いで、分類に基づいて、パケットレベルのアクセス制御及びトラフィック検査８４２は、パケットヘッダが異常形成されたとき、第１の制限状態を設定するように構成され、形成異常パケット及び検査不能パケットを探すことに加えて、パケットレベルのアクセス制御及びトラフィック検査８４２は、制限状態をもたらすアクセス制御ポリシーを適用することもできる。パケットヘッダが良好に形成されているが、要求又は応答が検査不能であるとき、パケットレベルのアクセス制御及びトラフィック検査８４２は、脅威検出８４６及びアクティビティのコンテキスト化８４８をバイパスして、要求又は応答を宛先サーバに渡し、パケットヘッダが良好に形成され、要求又は応答が検査可能であるとき、要求又は応答をプロトコルレベルのアクセス制御及びトラフィック検査８４４に渡すように構成される。プロトコルレベルのアクセス制御及びトラフィック検査８４４は、任意の事前処理を伴って、又は伴わずに、要求又は応答に対してディープパケット検査を実施するように構成される。パケットが１つ以上の悪意のあるシグネチャを保持するとき、プロトコルレベルのアクセス制御及びトラフィック検査８４４は、第２の制限状態を設定し、そうでない場合、要求又は応答を渡すように構成される。プロトコルレベルのアクセス制御及びトラフィック検査８４４はまた、脅威シグネチャを探すことに加えて、アプリケーションレベルでアクセス制御ポリシーを適用することができ、アクセス制御ポリシーが一致する場合、要求を制限状態にすることができる。脅威検出８４６は、要求又は応答がＨＴＴＰ／Ｓストリームであるとき、要求又は応答を脅威宛先に向けられているか否かに分類すように構成され、次いで、分類に基づいて、要求又は応答が脅威宛先に向けられているとき、第３の制限状態を設定し、そうでない場合、要求又は応答を渡すように構成される。時には、ユーザが午前９時～午後５時にＹｏｕＴｕｂｅ（登録商標）にアクセスするのを防止するために、あまり概して適用されない時間ベースのポリシーを使用することができる。アクティビティのコンテキスト化８４８は、要求又は応答がクラウドベースのアプリケーションへのアクセスを求めるＨＴＴＰ／Ｓストリームである場合、コンテンツを含むアクティビティを認識及び処理し、そのアクティビティを、危険を及ぼしているか否かに分類するように構成される。アクティビティのコンテキスト化８４８は、要求又は応答が危険を及ぼしている場合、第４の制限状態を設定し、そうでない場合、要求又は応答を渡すように構成される。Ｎ－ＣＡＳＢによるアクティビティのコンテキスト化８４８は、コンテンツを含むアクティビティとコンテンツを含まないアクティビティの両方にポリシーを適用することができる。一例では、非コンテンツアクティビティは、ログイン又は文書の作成／編集である。制限状態８６５は、クラウドベースのコンポーネントの制限状態を記憶する。制限状態アナライザ８７５は、第１の、第２の、第３の、又は第４の制限状態が設定されているかどうかを判定し、状態のいずれかの設定に基づいて、要求又は応答に応答して制限ステップを行う。

【0070】

図８のクラウドベースの統合ポリシー施行システムの説明を更に続けると、パケット及びストリームルータ８２５は、一部の実装形態では、プロトコルレベルのアクセス制御及びトラフィック検査８４４、脅威検出８４６、並びにアクティビティのコンテキスト化８４８コンポーネントの前に、パケットレベルのアクセス制御及びトラフィック検査コンポーネント８４２を通して着信アクセスストリームを渡すように構成される。パケットレベルのアクセス制御及びトラフィック検査コンポーネント８４２は、プロトコルレベルのアクセス制御及びトラフィック検査８４４、脅威検出８４６、及びアクティビティのコンテキスト化８４８コンポーネントの前に、一部の実装形態では、着信アクセスストリーム処理が進むにつれて、制限状態メッセージを後続のコンポーネント又は制限状態アナライザ８７５に渡すように構成される。パケットレベルのアクセス制御及びトラフィック検査コンポーネント８４２、プロトコルレベルのアクセス制御及びトラフィック検査８４４、脅威検出８４６、並びにアクティビティのコンテキスト化８４８コンポーネントは、他の実装形態では、着信アクセスストリーム処理が進行するにつれて制限状態アナライザ８７５によって処理するために、制限状態メッセージを制限状態８６５、共通状態ストアに送信するように構成される。コンポーネントは、着信アクセスストリーム処理が進行するにつれて、制限状態アナライザ８７５による処理のために、制限フラグ８６６、共通フラグストア内に制限状態フラグを設定するように構成される。異なる実装形態では、パケットレベルのアクセス制御及びトラフィック検査コンポーネント８４２、プロトコルレベルのアクセス制御及びトラフィック検査８４４、脅威検出８４６、並びにアクティビティのコンテキスト化８４８コンポーネントは、着信アクセスストリーム処理が第１のコンポーネントから最後のコンポーネントに進むにつれて、制限状態フラグを制限フラグ８６６に保存し、次いで、着信アクセスストリーム処理が最後のコンポーネントから第１のコンポーネントに進むにつれて、保存された制限状態フラグを用いて制限状態アナライザ８７５を呼び出して制限ステップを行うように構成される。制限状態アナライザ８７５によって行われる制限ステップは、パケットをブロックすること、制限を警告すること、バイパスすること、暗号化すること、トラフィックを選択及び隔離するアクションに関してユーザをコーチングすることを含むが、これらに限定されない。

【0071】

図９は、開示された技術の一実施形態について、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出及びアクティビティのコンテキスト化の機能を統合し、データ損失防止分析を実施するクラウドベースのポリシー施行システムについての例示的な論理トラフィックフローを示している。パケットフローのこの例では、全てのトラフィックは、ネットワークファイアウォール９６２を介して、ＩＰアドレス又はホスト名によって定義することができるＩＰアドレスに入力される。別の実装形態では、ネットワークファイアウォール９６２をドメイン名によって定義することができる。更に別の実装形態では、ネットワークファイアウォール９６２にアクセスするために、ドメインとＩＰアドレス指定の組み合わせを利用することができる。ファイアウォール９６２は、一例では、形成異常パケットがファイアウォールをクラッシュするように設計される可能性があるため、正しい発信元及び良好に形成されたパケットをチェックすることを含む、ディープパケット検査を行う。ＨＴＴＰ／Ｓトラフィックの場合であっても、ネットワークファイアウォール９６２は、パケットがＳＷＧ１７６及びＮ－ＣＡＳＢ１５５に進むときに、後続のパケットを検査して形成異常トラフィックを検出し続け、一部の実装形態では、ルーティングプロトコルの検査とともに、トラフィックのアップロード、ダウンロード、プレビューなどを含むアクティビティを認識することができる。ファイアウォール９６２、ＳＷＧ１７６及びＮ－ＣＡＳＢ１５５は、それぞれのポリシーを並行して適用することができ、どのポリシーを適用するかを判定したときに、他のアクションを許可し、ブロックし、警告し、適用することができる。

【0072】

論理トラフィックフローの説明を続けると、ファイアウォール９６２は、トラフィック９６３を分析し、ハイパーテキスト転送プロトコル（ｈｔｔｐ）及びハイパーテキスト転送プロトコルセキュア（ｈｔｔｐｓ）を利用して、ウェブトラフィックをセキュアウェブゲートウェイ（ＳＷＧ）１７６にルーティングする。非ｈｔｔｐ／ｈｔｔｐｓトラフィックは、別個にルーティングされ、復号化され検査可能（９５４）であるかどうかを判定するためにフィルタリングされる。非ウェブトラフィックの一例は、ＨＴＴＰ／Ｓポートではないポート５４０００に対してＴＣＰ＿５４０００を利用する。ＳＷＧ１７６は、脅威保護、ＵＲＬフィルタリング、及びＤＬＰポリシーを含むことができるウェブトラフィックを管理するための粒度の細かいポリシー制御を用いて、ウェブブラウジングのための宛先のホワイト／ブラックリストの受け入れ可能なカテゴリを識別する。クラウドアプリはウェブドメインによって指定され、トラフィックが分析されて、サービスとしてのソフトウェア（ＳａａＳ）などのクラウドアプリ９５３のためのパケットが決定される。識別されたパケットは、ネットスコープクラウドアクセスセキュリティブローカ（Ｎ－ＣＡＳＢ）１５５にルーティングされ、Ｎ－ＣＡＳＢは、認可されたクラウドアプリ及び認可されていないクラウドアプリにおけるアクセス及びアクティビティを統制し、機密データを保護し、その損失を防止し、前述のように内部及び外部の脅威から保護することに加えて、ストリーミングプロトコル上のトラフィック及び他のプロトコル上のウェブトラフィックをセキュアに処理する。Ｎ－ＣＡＳＢ１５５は、ユーザを識別し、それらに対するトラフィックを許可し、ファイアウォール９６２がそれらのユーザが非ＨＴＴＰ／Ｓサービスにもアクセスすることを可能にすることができるように、ユーザ情報をファイアウォール９６２と共有する。Ｎ－ＣＡＳＢ１５５での検査後、トラフィックは、復号化され検査可能（９５４）であるかどうかを判定するためにフィルタリングされ、トラフィックが復号化され検査可能である場合、パケットは、データ損失防止（ＤＬＰ）９６４及び侵入防止システム（ＩＰＳ）９６６検査のためにルーティングされる。ＤＬＰ／ＩＰＳは非同期的に行われ、問題が検出されると、ファイアウォール９６２、ＳＷＧ１７６、及びＮ－ＣＡＳＢ１５５は、制限状態及び制限フラグ、並びに構成された有効にされたポリシーに基づいてアクションを取る。安全であるとみなされたパケットは、インターネット９６８に通過することが許可される。ブロッキング、警告バイパス、隔離及びコーチングを含む他のアクションは、前に説明されている。

【0073】

次に、検査可能及び検査不能なトラフィックに対するパケットベース及びプロトコルベースのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合するポリシーマネージャを用いて、クラウドにおける統合ポリシー管理、並びにクラウドベースのポリシー施行システムにおける統合ポリシーの動的分散のためのワークフローについて説明する。開示されるポリシー施行サービスプラットフォームは、組織のためのカスタマイズされたセキュリティサービス及びポリシーを管理し、単一障害点を回避するために、水平にかつ一様にスケーリングする。

【0074】

開示されるアクセス要求ストリームの動的ルーティングのためのワークフロー、及びクラウドベースの環境におけるセキュリティ問題を検出するための統合システムも説明される。

【0075】

ワークフロー
図１０は、ポリシーマネージャによってクラウドベースのセキュリティシステムに適用される、クラウドにおける統合セキュリティポリシー管理の代表的なコンピュータ実装方法を示し、該クラウドベースのセキュリティシステムは、検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合する。フローチャート１０００は、コンピュータ又は他のデータ処理システムを用いて、すなわち、情報を受信又は取り出し、情報を処理し、結果を記憶し、結果を送信するように構成された１つ以上のプロセッサによって、少なくとも部分的に実装され得る。他の実装形態は、図１０に示すものとは異なる順序で、かつ／又は異なる、より少ない、若しくは追加のアクションで、アクションを実施し得る。一部の実装形態では、複数のアクションを組み合わせることができる。便宜上、このフローチャートは、先に説明した統合クラウドベースのセキュリティシステム８０５を含むシステムを参照して説明される。

【0076】

開示される技術のこのセクション及び他のセクションで説明される方法は、以下の特徴及び／又は開示される追加の方法に関連して説明される特徴のうちの１つ以上を含むことができる。簡潔にするために、本出願に開示される特徴の組み合わせは、個々に列挙されず、特徴の各基本セットとともに繰り返されない。

【0077】

図１０は、統合機能のうちの２つ以上によって共有される共通フィールドを含む、クラウドベースの統合機能にわたってセキュリティポリシーを指定するために使用されるフィールドのスーパーセットを含むデータ構造を維持するためのアクション１０１０から開始する。

【0078】

プロセス１０００はアクション１０２０に進み、ポリシーマネージャは、統合機能の各々に適用される共通フィールドの値のための共通フォーマットでポリシー指定を受信し、それによって、ユーザが、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のクラウドベースの統合機能を統制するセキュリティポリシーを指定することができるようにする。

【0079】

アクション１０３０は、ポリシーマネージャが、統合機能の間でそれぞれの機能に適用可能なポリシー指定を検証し、保存し、分散させることを含む。

【0080】

他の実装形態は、図１０に示すものとは異なる順序で、かつ／又は異なる、より少ない、若しくは追加のアクションで、アクションを実施し得る。一部の実装形態では、複数のアクションを組み合わせることができる。便宜上、このフローチャートは、方法を実行するシステムを参照して説明される。システムは、必ずしも方法の一部ではない。

【0081】

図１１は、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合するクラウドベースのセキュリティシステムにポリシーマネージャによって適用される、クラウドベースのセキュリティシステムにおける統合セキュリティポリシーの動的分散のための代表的な方法を示している。フローチャート１１００は、コンピュータ又は他のデータ処理システムを用いて、すなわち、情報を受信又は取り出し、情報を処理し、結果を記憶し、結果を送信するように構成された１つ以上のプロセッサによって、少なくとも部分的に実装され得る。他の実装形態は、図１１に示すものとは異なる順序で、かつ／又は異なる、より少ない、若しくは追加のアクションで、アクションを実施し得る。一部の実装形態では、複数のアクションを組み合わせることができる。便宜上、このフローチャートは、先に説明した統合クラウドベースのセキュリティシステム８０５を含むシステムを参照して説明される。

【0082】

図１１は、ポリシーマネージャに結合されたデータマネージャが、統合機能のうちの２つ以上によって共有される共通フィールドを含む、クラウドベースの統合機能にわたってセキュリティポリシーを指定するために使用されるフィールドのスーパーセットを記憶するアクション１１１０から開始する。

【0083】

プロセス１１００はアクション１１２０に進み、ポリシーマネージャは、統合機能の間でそれぞれの機能に適用可能なポリシー指定を検証し、保存し、分散させる。

【0084】

アクション１１３０では、ポリシーマネージャは、統合機能の各々から共通フィールドに記憶されたポリシー指定に対する要求を受信し、共通フィールドをそれぞれの要求機能によって使用される値に変換し、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のクラウドベースの統合機能の中の任意の要求機能に、それぞれの要求機能によって使用されるフィールドの値を返す。

【0085】

他の実装形態は、図１１に示すものとは異なる順序で、かつ／又は異なる、より少ない、若しくは追加のアクションで、アクションを実施し得る。一部の実装形態では、複数のアクションを組み合わせることができる。

【0086】

図１２は、（ａ）パケットレベルのアクセス制御及びトラフィック検査、（ｂ）プロトコルレベルのアクセス制御及びトラフィック検査、（ｃ）脅威検出、並びに（ｄ）アクティビティのコンテキスト化を実施するクラウドベースのコンポーネントを介してパケットの着信アクセス要求を処理する代表的な方法を示している。フローチャート１２００は、コンピュータ又は他のデータ処理システムを用いて、すなわち、情報を受信又は取り出し、情報を処理し、結果を記憶し、結果を送信するように構成された１つ以上のプロセッサによって、少なくとも部分的に実装され得る。他の実装形態は、図１２に示すものとは異なる順序で、かつ／又は異なる、より少ない、若しくは追加のアクションで、アクションを実施し得る。一部の実装形態では、複数のアクションを組み合わせることができる。便宜上、このフローチャートは、先に説明した統合クラウドベースのセキュリティシステム８０５を含むシステムを参照して説明される。

【0087】

図１２は、アクション１２１０で開始し、パケット及びストリームルータは、パケットの各着信アクセス要求を、適用されるコンポーネント（ａ）～（ｄ）の全てを介して、少なくとも、コンポーネントのうちの１つが着信アクセス要求に対応する少なくとも１つのオブジェクトに対して制限状態を設定するまで、又は適用されるコンポーネントの全てが着信アクセス要求を渡すまで搬送する。

【0088】

プロセス１２００は、アクション１２２０に進み、（ａ）パケットレベルのアクセス制御及びトラフィック検査コンポーネントは、任意の事前処理を伴って、又は伴わずに、着信アクセス要求内のパケットヘッダを検査し、着信アクセス要求を検査可能又は検査不能として分類し、次いで、分類に基づいて、パケットヘッダが形成異常であるとき、第１の制限状態を設定するように構成される。

【0089】

アクション１２３０は、パケットヘッダが良好に形成されているが、着信アクセス要求が検査不能である場合、着信アクセス要求を宛先サーバに渡し、脅威検出及びアクティビティのコンテキスト化をバイパスすることを含む。

【0090】

プロセス１２００はアクション１２４０に進み、パケットヘッダが良好に形成され、着信アクセス要求が検査可能である場合、着信アクセス要求を渡す。

【0091】

プロセス１２００は、アクション１２５０に更に進み、（ｂ）プロトコルレベルのアクセス制御及びトラフィック検査コンポーネントは、パケットが１つ以上の悪意のあるシグネチャを保持するとき、第２の制限状態を設定し、そうでない場合、着信アクセス要求を渡すように構成された、任意の事前処理を伴って、又は伴わずに、着信アクセス要求に対してディープパケット検査を実施する。

【0092】

プロセス１２００は、アクション１２６０に進み、（ｃ）脅威検出は、着信アクセス要求がＨＴＴＰ／Ｓストリームであるとき、着信アクセス要求を脅威宛先に向けられているか否かに分類し、次いで、分類に基づいて、着信アクセス要求が脅威宛先に向けられているとき、第３の制限状態を設定し、そうでない場合、着信アクセス要求を渡すように構成される。

【0093】

プロセス１２００は、アクション１２７０に更に進み、（ｄ）アクティビティのコンテキスト化は、着信アクセス要求がクラウドベースのアプリケーションへのアクセスを求めるＨＴＴＰ／Ｓストリームであるとき、コンテンツを含むアクティビティを認識及び処理し、アクティビティを、危険を及ぼしているか否かに分類し、次いで、分類に基づいて、着信アクセス要求が危険を及ぼしているとき、第４の制限状態を設定し、そうでない場合、着信アクセス要求を渡すように構成される。

【0094】

プロセス１２００は、アクション１２８０において、制限状態アナライザは、第１の、第２の、第３の、又は第４の制限状態が設定されているかどうかを判定し、状態のいずれかの設定に基づいて、着信アクセス要求に応答して制限ステップを行うことで完了する。

【0095】

他の実装形態は、図１２に示すものとは異なる順序で、かつ／又は異なる、より少ない、若しくは追加のアクションで、アクションを実施し得る。一部の実装形態では、複数のアクションを組み合わせることができる。

【0096】

図１３は、（ａ）パケットレベルのアクセス制御及びトラフィック検査、（ｂ）プロトコルレベルのアクセス制御及びトラフィック検査、（ｃ）脅威検出、並びに（ｄ）アクティビティのコンテキスト化のために、クラウドベースのコンポーネントを介してアクセス要求ストリームを動的にルーティングする代表的な方法を示している。フローチャート１３００は、コンピュータ又は他のデータ処理システムを用いて、すなわち、情報を受信又は取り出し、情報を処理し、結果を記憶し、結果を送信するように構成された１つ以上のプロセッサによって、少なくとも部分的に実装され得る。他の実装形態は、図１３に示すものとは異なる順序で、かつ／又は異なる、より少ない、若しくは追加のアクションで、アクションを実施し得る。一部の実装形態では、複数のアクションを組み合わせることができる。便宜上、このフローチャートは、先に説明した統合クラウドベースのセキュリティシステム８０５を含むシステムを参照して説明される。

【0097】

図１３は、アクション１３１０で開始し、（ａ）クラウドベースのパケットレベルのアクセス制御及びトラフィック検査コンポーネントは、着信アクセス要求内又はアクセス要求に応答したパケットヘッダ、集合的に要求又は応答を、任意の事前処理を伴って、又は伴わずに、形成異常について検査し、要求又は応答を検査可能又は検査不能として分類し、次いで、検査に基づいて、第１の制限状態を設定するか、又は要求若しくは応答を渡す。

【0098】

プロセス１３００は、アクション１３２０に進み、クラウドベースのプロトコルレベルのアクセス制御及びトラフィック検査コンポーネントは、任意の事前処理を伴って、又は伴わずに、悪意のあるシグネチャに対する要求又は応答に対してディープパケット検査を実施し、第２の制限状態を設定し、又は要求若しくは応答を渡す。

【0099】

プロセス１３００は、アクション１３３０において、クラウドベースの脅威検出を用いて、要求又は応答がＨＴＴＰ／Ｓストリームであるとき、要求又は応答を脅威宛先に向けられているか否かに分類し、次いで、分類に基づいて、第３の制限状態を設定するか、又は要求若しくは応答を渡すことを続ける。

【0100】

アクション１３４０は、クラウドベースのアクティビティのコンテキスト化を含み、要求又は応答が、クラウドベースのアプリケーションへのアクセスを求めるＨＴＴＰ／Ｓストリームであるとき、コンテンツを含むアクティビティを認識及び処理し、アクティビティを、危険を及ぼしているか否かに分類し、次いで、分類に基づいて、第４の制限状態を設定するか、又は要求若しくは応答を渡す。

【0101】

プロセス１３００は、アクション１３５０で完了し、制限状態アナライザは、第１の、第２の、第３の、又は第４の制限状態が設定されているかどうかを判定し、状態のいずれかの設定に基づいて、要求又は応答に応答して制限ステップを行う。

【0102】

他の実装形態は、図１３に示すものとは異なる順序で、かつ／又は異なる、より少ない、若しくは追加のアクションで、アクションを実施し得る。一部の実装形態では、複数のアクションを組み合わせることができる。

【0103】

コンピュータシステム
図１４は、検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合するクラウドベースのセキュリティシステムのためのポリシーマネージャデバイスを実装するために使用され得るコンピュータシステム１４００の簡略化されたブロック図である。コンピュータシステム１４００はまた、クラウドベースのセキュリティシステムにおいて統合セキュリティポリシーの動的分散を実装し、統合セキュリティシステムにおいてアクセス要求ストリームを動的にルーティングし、クラウドベースの環境においてセキュリティ問題を検出するために使用可能である。コンピュータシステム１４００は、バスサブシステム１４５５を介して一部の周辺デバイスと通信する少なくとも１つの中央処理装置（ＣＰＵ）１４７２と、本明細書で説明されるネットワークセキュリティサービスを提供するためのクラウドベースの統合セキュリティシステム８０５とを含む。これらの周辺デバイスは、例えば、メモリデバイス及びファイルストレージサブシステム１４３６を含むストレージサブシステム１４１０と、ユーザインターフェース入力デバイス１４３８と、ユーザインターフェース出力デバイス１４７６と、ネットワークインターフェースサブシステム１４７４とを含むことができる。入力及び出力デバイスは、コンピュータシステム１４００とのユーザ対話を可能にする。ネットワークインターフェースサブシステム１４７４は、他のコンピュータシステム内の対応するインターフェースデバイスへのインターフェースを含む、外部ネットワークへのインターフェースを提供する。

【0104】

一実施形態において、図１のクラウドベースの統合セキュリティシステム８０５は、ストレージサブシステム１４１０及びユーザインターフェース入力デバイス１４３８に通信可能にリンクされる。

【0105】

ユーザインターフェース入力デバイス１４３８は、キーボード、マウス、トラックボール、タッチパッド、又はグラフィックタブレットなどのポインティングデバイス、スキャナ、ディスプレイに組み込まれたタッチスクリーン、音声認識システム及びマイクロフォンなどのオーディオ入力デバイス、並びに他のタイプの入力デバイスを含むことができる。概して、「入力デバイス」という用語の使用は、コンピュータシステム１４００に情報を入力するための全ての可能なタイプのデバイス及び方法を含むことが意図される。

【0106】

ユーザインターフェース出力デバイス１４７６は、ディスプレイサブシステム、プリンタ、ファックス機、又は音声出力デバイスなどの非視覚的ディスプレイを含むことができる。ディスプレイサブシステムは、ＬＥＤディスプレイ、陰極線管（ＣＲＴ）、液晶ディスプレイ（ＬＣＤ）などのフラットパネルデバイス、投影デバイス、又は可視画像を作成するための何らかの他の機構を含むことができる。ディスプレイサブシステムは、音声出力デバイスなどの非視覚的ディスプレイを提供することもできる。概して、「出力デバイス」という用語の使用は、コンピュータシステム１４００からユーザ又は別のマシン若しくはコンピュータシステムに情報を出力するための全ての可能なタイプのデバイス及び方法を含むことが意図される。

【0107】

ストレージサブシステム１４１０は、本明細書に記載のモジュール及び方法の一部又は全部の機能を提供するプログラミング及びデータ構造を記憶する。サブシステム１４７８は、グラフィックス処理ユニット（ＧＰＵ）又はフィールドプログラマブルゲートアレイ（ＦＰＧＡ）であり得る。

【0108】

ストレージサブシステム１４１０内で使用されるメモリサブシステム１４２２は、プログラム実行中に命令及びデータを記憶するためのメインランダムアクセスメモリ（ＲＡＭ）１４３２と、固定命令が記憶される読み取り専用メモリ（ＲＯＭ）１４３４とを含む、一部のメモリを含むことができる。ファイルストレージサブシステム１４３６は、プログラム及びデータファイルのための永続的なストレージを提供することができ、ハードディスクドライブ、関連するリムーバブルメディアを伴うフロッピーディスクドライブ、ＣＤ－ＲＯＭドライブ、光学ドライブ、又はリムーバブルメディアカートリッジを含むことができる。特定の実装形態の機能を実装するモジュールは、ファイルストレージサブシステム１４３６によって、ストレージサブシステム１４１０内に、又はプロセッサによってアクセス可能な他のマシン内に記憶され得る。

【0109】

バスサブシステム１４５５は、コンピュータシステム１４００の種々のコンポーネント及びサブシステムに、意図されるように互いに通信させるための機構を提供する。バスサブシステム１４５５は、単一のバスとして概略的に示されているが、バスサブシステムの代替の実装形態は、複数のバスを使用することができる。

【0110】

コンピュータシステム１４００自体は、パーソナルコンピュータ、携帯型コンピュータ、ワークステーション、コンピュータターミナル、ネットワークコンピュータ、テレビ、メインフレーム、サーバファーム、疎にネットワーク化されたコンピュータの広く分散されたセット、又は任意の他のデータ処理システム若しくはユーザデバイスを含む、種々のタイプのものであり得る。コンピュータ及びネットワークの絶えず変化する性質に起因して、図１４に示されるコンピュータシステム１４００の説明は、本発明の好ましい実施形態を例示するための特定の例としてのみ意図される。図１４に示すコンピュータシステムよりも多い又は少ないコンポーネントを有するコンピュータシステム１４００の多くの他の構成が可能である。

【0111】

特定の実装形態
検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出及びアクティビティのコンテキスト化、並びにコンテンツ検査の機能を統合するクラウドベースのセキュリティシステムのための一部の特定の実装形態及び特徴が、以下の議論で説明される。

【0112】

開示される一実装形態では、検査可能及び検査不能なトラフィックに対する検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出及びアクティビティのコンテキスト化及びコンテンツ検査の機能を統合するクラウドベースのセキュリティシステムのためのコンピュータ実装ポリシーマネージャデバイスは、クラウドベースの統合機能にわたってセキュリティポリシーを指定するために使用されるフィールドのスーパーセットのためのデータマネージャであって、統合機能のうちの２つ以上によって共有される共通フィールドを含む、データマネージャを含む。開示されるデバイスはまた、統合機能の各々に適用される共通フィールドの値のための共通フォーマットでポリシー指定を受信し、それによって、受信するための手段と対話するユーザが、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出及びアクティビティのコンテキスト化、並びに検査のクラウドベースの統合機能を統制するセキュリティポリシーを指定することができるようにする、手段と、統合機能の間でそれぞれの機能に適用できるポリシー指定を検証し、保存し、分散させるように構成されたポリシーマネージャとを含む。

【0113】

開示される技術のこのセクション及び他のセクションで説明されるデバイスは、以下の特徴及び／又は開示される追加の特徴に関連して説明される特徴のうちの１つ以上を含むことができる。簡潔にするために、本出願に開示される特徴の組み合わせは、個々に列挙されず、特徴の各基本セットとともに繰り返されない。読者は、この方法で識別された特徴を、実装形態として識別された基本特徴のセットとどのように容易に組み合わせることができるかを理解するであろう。

【0114】

開示されるポリシーマネージャデバイスの一部の実装形態では、デバイスを代替的に及びより広く実装するために使用される構造は、統合機能のうちの２つ以上によって共有される共通フィールドを含み得、検査されるトラフィックのソース、トラフィックの宛先、トラフィックによって使用されるプロトコル、トラフィックのカテゴリ、検査可能なトラフィックにおいて指定されるアクティビティ、特定の機能のためのプロファイル、及び検査から生じる例外の場合にトリガされるアクションを含み得る。共通フィールドの値は、検査されるトラフィックのソース又は宛先について、ＩＰアドレス若しくは範囲、又はポート番号を含む。検査されるトラフィックのソース又は宛先の追加の値は、宛先ホスト名、宛先ドメイン名、ソースユーザ、ソース組織グループ、及びソース国を含むことができる。トラフィックによって使用されるプロトコルの場合、共通フィールドの値は、ＨＴＴＰ／Ｓ、ＴＣＰ、ＵＤＰ、又はＩＣＭＰを含む。検査可能なトラフィックで指定されたアクティビティの共通フィールドの値は、アップロード、ダウンロード、プレビュー、又は共有を含む。特定の機能のプロファイルの場合、共通フィールドの値は、アクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化及び検査のうちの１つ以上を含む。検査から生じる例外の場合にトリガされるアクションのための共通フィールド値は、許可、ブロック、アラート、バイパス、暗号化、コーチ、又は隔離を含む。一実施形態では、特定の機能のトラフィックのカテゴリについて、共通フィールドの値は、ビジネス、金融、ストレージ、コラボレーション、及び電子メールのうちの１つ以上を含む。ポリシーは、ユーザ特有の規則を含むこともできる。

【0115】

開示されたポリシーマネージャデバイスの一実装形態では、受信するための手段は、特定の機能によって使用されるポリシーの指定のために必要なフィールドにコンテキスト化された、統合機能にわたって一貫した値完了オプションを用いて一貫した順序で共通フィールドを提示するグラフィカルユーザインターフェース（ＧＵＩ）を生成するように構成されたＧＵＩジェネレータを含む。この場合、ＧＵＩジェネレータは、ユーザへのＧＵＩの配信を引き起こし、統合機能のうちの１つ以上に適用可能なポリシーを指定するＧＵＩからの選択をユーザから受信することができる。開示されたポリシーマネージャデバイスの一実装形態では、デバイスを代替的に及びより広く実装するために使用される構造は、特定の機能によって使用されるポリシーの指定のために必要なフィールドにコンテキスト化された、統合機能にわたって一貫した値完了オプションを用いて一貫した順序で共通フィールドを提示するグラフィカルユーザインターフェース（ＧＵＩ）を生成するように構成されたＧＵＩジェネレータを含み得る。

【0116】

開示されるポリシーマネージャデバイスの別の実装形態では、受信するための手段は、特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて統合機能の各々にコンテキスト化されるデータ構造を受信するように構成されたアプリケーションプログラムインターフェース（ＡＰＩ）を含む。場合によっては、データ構造は、キー－値ペアで編成される。開示されたポリシーマネージャデバイスの一実装形態では、デバイスを代替的に及びより広く実装するために使用される構造は、特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて統合機能の各々にコンテキスト化されるデータ構造を受信するように構成されたアプリケーションプログラムインターフェース（ＡＰＩ）を含み得る。

【0117】

開示されるポリシーマネージャデバイスの他の実装形態では、受信するための手段は、特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したフィールド名及び一貫したフィールド値オプションを用いて統合機能の各々にコンテキスト化されるデータ構造を受信するように構成されたデータ構造パーサを含む。開示されるポリシーマネージャデバイスの一実装形態では、デバイスを代替的に及びより広く実装するために使用される構造は、特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したフィールド名及び一貫したフィールド値オプションを用いて統合機能の各々にコンテキスト化されるデータ構造を受信するように構成されたデータ構造パーサを含み得る。

【0118】

開示されるポリシーマネージャデバイスの更に別の実装形態では、受信するための手段は、特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて統合機能の各々にコンテキスト化される、キー－値ペアのデータ構造をポピュレートするために使用されるポリシー構成コマンドを受け入れ、構文解析するように構成されたコマンドラインインターフェース（ＣＬＩ）を含む。開示されたポリシーマネージャデバイスの一実装形態では、デバイスを代替的に、より広く実装するために使用される構造は、特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて統合機能の各々にコンテキスト化される、キー－値ペアのデータ構造をポピュレートするために使用されるポリシー構成コマンドを受け入れ、構文解析するように構成されたコマンドラインインターフェース（ＣＬＩ）を含み得る。

【0119】

前述の開示されたポリシーマネージャデバイスの一部の実装形態では、（ａ）パケットレベルのアクセス制御及びトラフィック検査コンポーネント（ネットワークファイアウォール）は、着信アクセス要求内又はアクセス要求への応答内のパケットヘッダ、集合的に要求又は応答を、任意の事前処理を伴って、又は伴わずに、形成異常について検査し、要求又は応答を検査可能又は検査不能として分類し、次いで検査に基づいて、第１の制限状態を設定するか、又は要求若しくは応答を渡すように構成される。（ｂ）プロトコルレベルのアクセス制御及びトラフィック検査コンポーネント（アプリケーションファイアウォールなど）は、第２の制限状態を設定するか、又は要求若しくは応答を渡すように構成される、任意の事前処理を伴って、又は伴わずに、悪意のあるシグネチャに対する要求又は応答に対してディープパケット検査を実施するように構成される。プロトコルレベルのアクセス制御及びトラフィック検査コンポーネントはまた、接続レベル検査としてアプリケーション識別及び認識を実施することができ、例えば、アプリＩＤシグネチャがパケット境界を越えるとき、アプリケーションプロトコル及びデータのストリームを分析して、ＳＭＢ、ＦＴＰ、ＳＭＴＰ、及びＤＮＳなどのＨＴＴＰ／Ｓ及び他のネットワークプロトコルのプロトコル異常を検出する。（ｃ）脅威検出（セキュアウェブゲートウェイ及び／又はアプリケーションファイアウォール）は、要求又は応答がＨＴＴＰ／Ｓストリームであるとき、要求又は応答を脅威宛先に向けられているか否かに分類するように構成され、次いで、分類に基づいて、第３の制限状態を設定するか、又は要求若しくは応答を渡すように構成される。（ｄ）アクティビティのコンテキスト化（例えば、ネットスコープクラウドアクセスセキュリティブローカ）は、要求又は応答がクラウドベースのアプリケーションへのアクセスを求めるＨＴＴＰ／Ｓストリームであるとき、コンテンツを含むアクティビティを認識及び処理し、アクティビティを、危険を及ぼしているか否かに分類するように構成され、次いで、分類に基づいて、第４の制限状態を設定するか、又は要求若しくは応答を渡すように構成される。

【0120】

ポリシーマネージャによって、検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出及びアクティビティのコンテキスト化、並びにコンテンツ検査の機能を統合するクラウドベースのセキュリティシステムに適用される、開示されるコンピュータ実装方法の一実装形態は、クラウドベースの統合機能にわたってセキュリティポリシーを指定するために使用されるフィールドのスーパーセットを含むデータ構造を維持することを含み、統合機能のうちの２つ以上によって共有される共通フィールドを含む。開示される方法はまた、ポリシーマネージャが、統合機能の各々に適用される共通フィールドの値のための共通フォーマットでポリシー指定を受信し、それによって、ユーザは、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化及び検査のクラウドベースの統合機能を統制するセキュリティポリシーを指定することができるようにすることを含む。更に、本方法は、ポリシーマネージャが、統合機能の中のそれぞれの機能に適用可能なポリシー指定を検証し、保存し、分散させることを含む。

【0121】

ポリシーマネージャによってクラウドベースのセキュリティシステムに適用されるコンピュータ実装方法の一実装形態は、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化及び検査の機能を統合し、ポリシーマネージャに結合されたデータマネージャを含み、データマネージャは、クラウドベースの統合機能にわたってセキュリティポリシーを指定するために使用されるフィールドのスーパーセットを記憶し、スーパーセットは、統合機能のうちの２つ以上によって共有される共通フィールドを含む。本方法は、ポリシーマネージャが、統合機能の中のそれぞれの機能に適用可能なポリシー指定を検証し、保存し、分散させることを含む。本方法はまた、ポリシーマネージャが、統合機能の各々から共通フィールドに記憶されたポリシー指定に対する要求を受信し、共通フィールドをそれぞれの要求機能によって使用される値に変換し、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のクラウドベースの統合機能の中の任意の要求機能に、それぞれの要求機能によって使用されるフィールドの値を返すことを含む。

【0122】

開示されるコンピュータ実装方法の一部の実装形態では、統合機能のうちの２つ以上によって共有される共通フィールドは、検査されるトラフィックのソース、トラフィックの宛先、トラフィックによって使用されるプロトコル、検査可能なトラフィックにおいて指定されるアクティビティ、特定の機能のためのプロファイル、及び検査から生じる例外の場合にトリガされるアクションを含む。共通フィールドの値は、検査されるトラフィックのソース又は宛先について、ＩＰアドレス若しくは範囲、又はポート番号を含み、トラフィックによって使用されるプロトコルについて、ＨＴＴＰ、ＴＣＰ、ＵＤＰ、又はＩＣＭＰを含み、検査可能なトラフィックにおいて指定されたアクティビティについて、アップロード、ダウンロード、プレビュー、又は共有を含み、特定の機能についてのプロファイルについて、アクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化及び検査のうちの１つ以上を含み、並びに、検査から生じる例外の場合にトリガされるアクションについて、許可、ブロック、追加の認証の要求、アラート、バイパス、暗号化、コーチ、又は隔離を含む。

【0123】

コンピュータ実装方法の一実装形態は、特定の機能によって使用されるポリシーの指定のために必要なフィールドにコンテキスト化された、統合機能にわたって一貫した値報告のために一貫した順序で共通フィールドを提示するグラフィカルユーザインターフェース（ＧＵＩ）を生成するブラウザベース又はクライアントベースのＧＵＩジェネレータを更に含む。本方法はまた、ＧＵＩが、ユーザから、クエリと、クエリに応答する１つ以上のポリシーの指定が返されることになる統合機能のうちの少なくとも１つの識別とを受信することと、クエリに応答するポリシーの指定をＧＵＩにポピュレートし、ユーザへのＧＵＩの配信を引き起こすことと、を含む。本開示は、ファットクライアント又はシンクライアントベースのＧＵＩジェネレータを含むことができる。

【0124】

コンピュータ実装方法の別の実装形態は、アプリケーションプログラムインターフェースが、クエリと、クエリに応答する１つ以上のポリシーの指定が返されることになる統合機能のうちの少なくとも１つの識別とを受信することと、クエリに応答する１つ以上のポリシーに関するキー－値ペアのデータ構造をポピュレートし、配信を引き起こすこととを含む。コンピュータ実装方法の更に別の実装形態は、データ構造パーサが、クエリと、クエリに応答する１つ以上のポリシーの指定が返されることになる統合機能のうちの少なくとも１つの識別とを含むデータ構造を受信することと、クエリに応答する１つ以上のポリシーに関するキー－値ペアのデータ構造をポピュレートし、配信を引き起こすことと、を含む。コンピュータ実装方法の一部の実装形態は、コマンドラインインターフェース（ＣＬＩ）が、クエリと、クエリに応答する１つ以上のポリシーの指定が返されることになる統合機能のうちの少なくとも１つの識別とを受け入れ、構文解析することを更に含む。本方法はまた、ＣＬＩが構文解析されたクエリ及び指定を受け入れることと、特定の機能によって使用される必要なフィールドが統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて統合機能の各々に対してコンテキスト化されるキー－値ペアのデータ構造に対してクエリを行うことと、クエリの結果を返すことと、を含む。

【0125】

コンピュータ実装方法の別の実装形態では、（ａ）クラウドベースのパケットレベルのアクセス制御及びトラフィック検査コンポーネントは、任意の事前処理を伴って、又は伴わずに、形成異常について着信アクセス要求内のパケットヘッダを検査し、着信アクセス要求を潜在的に検査可能又は検査不能として分類し、次いで、検査に基づいて、第１の制限状態を設定するか、又は着信アクセス要求を渡すように構成される。開示される方法に関して、（ｂ）クラウドベースのプロトコルレベルのアクセス制御及びトラフィック検査コンポーネントは、第２の制限状態を設定するか、又は着信アクセス要求を渡すように構成される、任意の事前処理を伴って、又は伴わずに、悪意のあるシグネチャについて着信アクセス要求に対してディープパケット検査を実施するように構成される。また、（ｃ）クラウドベースの脅威検出は、着信アクセス要求がＨＴＴＰ／Ｓストリームであるとき、着信アクセス要求を脅威宛先に向けられているか否かに分類するように構成され、次いで、分類に基づいて、第３の制限状態を設定するか、又は着信アクセス要求を渡すように構成される。更に、（ｄ）クラウドベースのアクティビティのコンテキスト化及び検査は、着信アクセス要求がクラウドベースのアプリケーションへのアクセスを求めるＨＴＴＰ／Ｓストリームであるとき、コンテンツを含むアクティビティを認識及び処理し、アクティビティを、危険を及ぼしているか否かに分類するように構成され、次いで、分類に基づいて、第４の制限状態を設定するか、又は着信アクセス要求を渡すように構成される。開示される方法の一部の実装形態では、出力ファイアウォール機能は、脅威検出及びクラウドベースのアクティビティのコンテキスト化機能が完了した後に出力ポリシーを適用することができる。場合によっては、宛先ＩＰをフィルタリングするか、又はソースＩＰアドレスに対してネットワークアドレス変換（ＮＡＴ）機能を実施し、パケットがルーティングデバイスを通過している間にパケットのＩＰヘッダ内のネットワークアドレス情報を修正することによって、ＩＰアドレス空間を別の空間に再マッピングする必要があり得る。

【0126】

（ａ）パケットレベルのアクセス制御及びトラフィック検査、（ｂ）プロトコルレベルのアクセス制御及びトラフィック検査、（ｃ）脅威検出、並びに（ｄ）アクティビティのコンテキスト化及び検査を実施するクラウドベースのコンポーネントを介してパケットの着信アクセス要求を処理する開示された方法の一実装形態は、パケット及びストリームルータが、パケットの各着信アクセス要求を、適用されるコンポーネント（ａ）～（ｄ）の全てを介して、少なくとも、コンポーネントのうちの１つが着信アクセス要求に対応する少なくとも１つのオブジェクトに対して制限状態を設定するまで、又は適用されるコンポーネントの全てが着信アクセス要求を渡すまで搬送することを含む。本方法はまた、（ａ）パケットレベルのアクセス制御及びトラフィック検査コンポーネントが、任意の事前処理を伴って、又は伴わずに、着信アクセス要求内のパケットヘッダを検査し、着信アクセス要求を検査可能又は検査不能として分類し、次いで、分類に基づいて、パケットヘッダが異常形成されているとき、第１の制限状態を設定し、パケットヘッダが良好に形成されているが、着信アクセス要求が検査不能であるとき、着信アクセス要求を宛先サーバに渡し、脅威検出並びにアクティビティのコンテキスト化及び検査をバイパスし、パケットヘッダが良好に形成されており、着信アクセス要求が検査可能であるとき、着信アクセス要求を渡すように構成されることを含む。開示される方法は、（ｂ）プロトコルレベルのアクセス制御及びトラフィック検査コンポーネントは、パケットが１つ以上の悪意のあるシグネチャを保持するとき、第２の制限状態を設定し、そうでない場合、着信アクセス要求を渡すように構成された、任意の事前処理を伴って、又は伴わずに、着信アクセス要求に対してディープパケット検査を実施することを更に含む。本方法はまた、（ｃ）脅威検出が、着信アクセス要求がＨＴＴＰ／Ｓストリームであるとき、着信アクセス要求を脅威宛先に向けられているか否かに分類し、次いで、分類に基づいて、着信アクセス要求が脅威宛先に向けられているとき、第３の制限状態を設定し、そうでない場合、着信アクセス要求を渡すように構成されることを更に含む。加えて、（ｄ）着信アクセス要求がクラウドベースのアプリケーションへのアクセスを求めるＨＴＴＰ／Ｓストリームであるとき、コンテンツを含むアクティビティを認識及び処理し、アクティビティを、危険を及ぼしているか否かに分類し、次いで、分類に基づいて、着信アクセス要求が危険を及ぼしているとき、第４の制限状態を設定し、そうでない場合、着信アクセス要求を渡すように構成された、アクティビティのコンテキスト化及び検査を含む。更に、開示される方法は、制限状態アナライザが、第１の、第２の、第３の、又は第４の制限状態が設定されているかどうかを判定し、状態のいずれかの設定に基づいて、着信アクセス要求に応答して制限ステップを行うことを含む。別の実施形態では、検査不能判定は、前述した順序とは異なるコンポーネントを使用して完了することができる。着信アクセス要求が（ａ）～（ｄ）のサービスの各々を通過するとき、前のサービスは、次のコンポーネントでの処理の助けとして、使用する次のサービスのコンテキスト状態を追加することもできる。一例では、パケットレベルのアクセス制御及びトラフィック検査サービスは、他の場所で使用することができるユーザのＩＰアドレスを設定することができる。プロトコルレベルのアクセス制御及びトラフィック検査コンポーネントは、Ｎ－ＣＡＳＢ１５５で使用することができるそのシグネチャを使用して検出されたアプリケーション名を設定することができる。

【0127】

本方法の一部の実装形態では、パケット及びストリームルータは、コンポーネント（ｂ）～（ｄ）の前に、着信アクセスストリームを（ａ）パケットレベルのアクセス制御及びトラフィック検査コンポーネントに通すように構成される。一部の実装形態では、コンポーネント（ａ）～（ｄ）は、着信アクセスストリーム処理が進行するにつれて、制限状態メッセージを後続のコンポーネント又は制限状態アナライザに渡すように構成される。他の実装形態では、コンポーネント（ａ）～（ｄ）は、着信アクセスストリーム処理が進行するにつれて、制限状態アナライザによる処理のために、制限状態メッセージを共通状態ストアに送信するように構成される。更に他の実装形態では、コンポーネント（ａ）～（ｄ）は、着信アクセスストリーム処理が進行するにつれて、制限状態アナライザによる処理のために共通フラグストア内に制限状態フラグを設定するように構成される。更に他の実装形態では、コンポーネント（ａ）～（ｄ）は、着信アクセスストリーム処理が第１のコンポーネントから最後のコンポーネントに進むときに制限状態フラグを保存し、次いで、着信アクセスストリーム処理が最後のコンポーネントから第１のコンポーネントに進むときに制限ステップを行うために、保存された制限状態フラグを用いて制限状態アナライザを呼び出すように構成される。本明細書で説明される複数の構成が、単一の実装形態に存在することができる。開示される方法の一部の実装形態では、制限的アナライザによって取られる制限的ステップは、ブロック、アラート、更なる認証の要求、バイパス、暗号化、コーチ、又は隔離を含む。

【0128】

一実装形態では、（ａ）パケットレベルのアクセス制御及びトラフィック検査、（ｂ）プロトコルレベルのアクセス制御及びトラフィック検査、（ｃ）脅威検出、並びに（ｄ）アクティビティのコンテキスト化及びコンテンツ検査のためにクラウドベースのコンポーネントを介してアクセス要求ストリームを動的にルーティングする開示される方法は、（ａ）クラウドベースのパケットレベルのアクセス制御及びトラフィック検査コンポーネントが、着信アクセス要求内又はアクセス要求への応答内のパケットヘッダ、集合的に要求又は応答を、任意の事前処理を伴って、又は伴わずに、形成異常について検査し、要求又は応答を潜在的に検査可能又は検査不能として分類し、次いで、検査に基づいて、第１の制限状態を設定するか、又は要求若しくは応答を渡すことを含む。本方法はまた、（ｂ）クラウドベースのプロトコルレベルのアクセス制御及びトラフィック検査コンポーネントが、任意の事前処理を伴って、又は伴わずに、悪意のあるシグネチャに対する要求又は応答に対してディープパケット検査を実施し、第２の制限状態を設定し、又は要求若しくは応答を渡すことを含む。クラウドベースのプロトコルレベルのアクセス制御及びトラフィック検査コンポーネントはまた、アプリケーション識別及び／又は認識のために、要求又は応答に対してディープパケット検査を実施することもできる。開示される方法は、（ｃ）クラウドベースの脅威検出が、要求又は応答がＨＴＴＰ／Ｓストリームであるとき、要求又は応答を脅威宛先に向けられているか否かに分類し、次いで、分類に基づいて、第３の制限状態を設定するか、又は要求若しくは応答を渡すことを更に含む。加えて、開示される方法は、（ｄ）クラウドベースのアクティビティのコンテキスト化及び検査を含み、要求又は応答が、クラウドベースのアプリケーションへのアクセスを求めるＨＴＴＰ／Ｓストリームであるとき、コンテンツを含むアクティビティを認識及び処理し、アクティビティを、危険を及ぼしているか否かに分類し、次いで、分類に基づいて、第４の制限状態を設定するか、又は要求若しくは応答を渡す。開示された方法は、制限状態アナライザが、第１の、第２の、第３の、又は第４の制限状態が設定されているかどうかを判定し、状態のいずれかの設定に基づいて、要求又は応答に応答して制限ステップを行うことを更に含む。一部の実装形態では、本方法はまた、コンポーネント（ｂ）～（ｄ）の前に、（ａ）クラウドベースのパケットレベルのアクセス制御及びトラフィック検査コンポーネントを通して、着信アクセスストリームを渡すことを含む。一部の実装形態では、コンポーネント（ａ）～（ｄ）は、着信アクセスストリーム処理が進行するにつれて、制限状態メッセージを後続のコンポーネント又は制限状態アナライザに渡すように構成される。他の実装形態では、コンポーネント（ａ）～（ｄ）は、着信アクセスストリーム処理が進行するにつれて、制限状態アナライザによる処理のために、制限状態メッセージを共通状態ストアに送信するように構成される。一部の実装形態では、コンポーネント（ａ）～（ｄ）は、着信アクセスストリーム処理が進行するにつれて、制限状態アナライザによる処理のために共通フラグストア内に制限状態フラグを設定するように構成される。他の実装形態では、コンポーネント（ａ）～（ｄ）は、着信アクセスストリーム処理が第１のコンポーネントから最後のコンポーネントに進むときに制限状態フラグを保存し、次いで、着信アクセスストリーム処理が最後のコンポーネントから第１のコンポーネントに進むときに制限ステップを行うために、保存された制限状態フラグを用いて制限状態アナライザを呼び出すように構成される。

【0129】

このセクションで説明される開示された技術の他の実装形態は、プロセッサ上で実行されると、プロセッサに上記で説明された方法のいずれかを実施させる、メモリにロードされたプログラム命令を含む、有形の非一時的コンピュータ可読記憶媒体を含むことができる。このセクションで説明される開示される技術の更に別の実装形態は、メモリと、上記で説明された方法のいずれかを実施するために、メモリに記憶されたコンピュータ命令を実行するように動作可能な１つ以上のプロセッサとを含むシステムを含むことができる。

【0130】

前述の説明は、開示される技術の作製及び使用を可能にするために提示される。開示される実装形態に対する種々の修正が明らかになり、本明細書で定義される一般原理は、開示される技術の趣旨及び範囲から逸脱することなく、他の実装形態及び適用例に適用され得る。したがって、開示される技術は、示される実装形態に限定されるものではなく、本明細書で開示される原理及び特徴と一致する最も広い範囲を与えられるべきである。開示される技術の範囲は、添付の特許請求の範囲によって定義される。

【0131】

条項
以下の条項を開示する。
条項セット１
１．検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合する、クラウドベースのセキュリティシステムのためのコンピュータ実装ポリシーマネージャデバイスであって、デバイスは、
コンピューティングプロセッサと、
コンピューティングプロセッサによって実装され、統合機能のうちの２つ以上によって共有される共通フィールドを含むクラウドベースの統合機能にわたってセキュリティポリシーを指定するために使用されるフィールドのスーパーセットのためのデータマネージャと、
コンピューティングプロセッサによって実装された指定レシーバ及びストレージコンポーネントであって、統合機能の各々に適用される共通フィールドの値のための共通フォーマットでポリシー指定を処理し、それによって、指定レシーバと対話するユーザが、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のクラウドベースの統合機能を統制するセキュリティポリシーを指定することができるようにする、指定レシーバ及びストレージコンポーネントと、
コンピューティングプロセッサによって実装され、クラウドベースの統合機能の間でそれぞれの機能に適用可能なポリシー指定を検証し、保存し、分散させるように構成されたポリシーマネージャと、を含み、
（ａ）コンピューティングプロセッサによって実装されるパケットレベルのアクセス制御及びトラフィック検査コンポーネントは、着信アクセス要求内又はアクセス要求への応答内のパケットヘッダ、集合的に要求又は応答を、任意の事前処理を伴って、又は伴わずに、形成異常について検査し、要求又は応答を検査可能又は検査不能として分類し、次いで検査に基づいて、第１の制限状態を設定するか、又は要求若しくは応答を渡し、
（ｂ）コンピューティングプロセッサによって実装されるプロトコルレベルのアクセス制御及びトラフィック検査コンポーネントは、悪意のあるシグネチャに対する要求又は応答に対して、任意の事前処理を伴って、又は伴わずに、ディープパケット検査を実施し、次いで、ディープパケット検査に基づいて、第２の制限状態を設定するか、又は要求若しくは応答を渡し、
（ｃ）コンピューティングプロセッサによって実装される脅威検出は、要求又は応答がＨＴＴＰ／Ｓストリームであるとき、要求又は応答を脅威宛先に向けられているか否かに分類し、次いで、分類に基づいて、第３の制限状態を設定するか、又は要求又は応答を渡し、
（ｄ）コンピューティングプロセッサによって実装されるアクティビティのコンテキスト化は、要求又は応答がクラウドベースのアプリケーションへのアクセスを求めるＨＴＴＰ／Ｓストリームであるとき、コンテンツを含むアクティビティを認識及び処理し、アクティビティを、危険を及ぼしているか否かに分類し、次いで、分類に基づいて、第４の制限状態を設定するか、又は要求若しくは応答を渡す、コンピュータ実装ポリシーマネージャデバイス。
２．共通フィールドは、検査されるトラフィックのソース、トラフィックの宛先、トラフィックによって使用されるプロトコル、検査可能なトラフィックにおいて指定されるアクティビティ、並びに検査から生じる例外の場合にトリガされる特定の機能及びアクションを含む、条項１に記載のポリシーマネージャデバイス。
３．共通フィールドの値は、
検査されるトラフィックのソース又は宛先について、ＩＰアドレス若しくは範囲、又はポート番号と、
トラフィックによって使用されるプロトコルについて、ＨＴＴＰ／Ｓ、ＴＣＰ、ＵＤＰ、又はＩＣＭＰと、
検査可能なトラフィックで指定されたアクティビティについて、アップロード、ダウンロード、プレビュー又は共有と、
特定の機能のプロファイルについて、アクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のうちの１つ以上と、
検査から生じる例外の場合にトリガされるアクションについて、許可、ブロック、アラート、バイパス、暗号化、コーチ、又は隔離と、を含む、条項１に記載のポリシーマネージャデバイス。
４．特定の機能によって使用されるポリシーの指定のために必要なフィールドにコンテキスト化された、統合機能にわたって一貫した値完了オプションを用いて一貫した順序で共通フィールドを提示するグラフィカルユーザインターフェース（略してＧＵＩ）を生成することと、
ユーザへのＧＵＩの配信を引き起こすことと、
統合機能のうちの１つ以上に適用可能なポリシーを指定するＧＵＩからの選択をユーザから受信することと、を行うブラウザベース及びクライアントベースのＧＵＩジェネレータのうちの１つを更に含む、条項１に記載のポリシーマネージャデバイス。
５．アプリケーションプログラムインターフェースを更に含み、アプリケーションプログラムインターフェースは、
特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて統合機能の各々にコンテキスト化される、キー－値ペアのデータ構造を受信する、条項１に記載のポリシーマネージャデバイス。
６．データ構造パーサを更に含み、データ構造パーサは、
特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したフィールド名及び一貫したフィールド値オプションを用いて統合機能の各々にコンテキスト化されるデータ構造を受信する、条項１に記載のポリシーマネージャデバイス。
７．コマンドラインインターフェース（略してＣＬＩ）を更に含み、ＣＬＩは、
特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて統合機能の各々にコンテキスト化される、キー－値ペアのデータ構造をポピュレートするために使用されるポリシー構成コマンドを受け入れ、構文解析する、条項１に記載のポリシーマネージャデバイス。
８．ポリシーマネージャによって、検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合するクラウドベースのセキュリティシステムに適用されるコンピュータ実装方法であって、方法は、
統合機能のうちの２つ以上によって共有される共通フィールドを含む、クラウドベースの統合機能にわたってセキュリティポリシーを指定するために使用されるフィールドのスーパーセットを含むデータ構造を維持することと、
ポリシーマネージャが、統合機能の各々に適用される共通フィールドの値のための共通フォーマットでポリシー指定を受信し、それによって、ユーザが、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のクラウドベースの統合機能を統制するセキュリティポリシーを指定することができるようにすることと、
ポリシーマネージャが、統合機能の間でそれぞれの機能に適用可能なポリシー指定を検証し、保存し、分散させることと、を含み、
（ａ）パケットレベルのアクセス制御及びトラフィック検査は、着信アクセス要求内又はアクセス要求への応答内のパケットヘッダ、集合的に要求又は応答を、任意の事前処理を伴って、又は伴わずに、形成異常について検査することと、要求又は応答を検査可能又は検査不能として分類し、次いで、検査に基づいて、第１の制限状態を設定するか、又は要求若しくは応答を渡すことと、を含み、
（ｂ）プロトコルレベルのアクセス制御及びトラフィック検査は、悪意のあるシグネチャに対する要求又は応答に対して、任意の事前処理を伴って、又は伴わずに、ディープパケット検査を実施し、次いで、ディープパケット検査に基づいて、第２の制限状態を設定するか、又は要求若しくは応答を渡すことを含み、
（ｃ）脅威検出は、要求又は応答がＨＴＴＰ／Ｓストリームであるとき、要求又は応答を脅威宛先に向けられているか否かに分類し、次いで、分類に基づいて、第３の制限状態を設定するか、又は要求若しくは応答を渡すことを含み、
（ｄ）アクティビティのコンテキスト化は、要求又は応答が、クラウドベースのアプリケーションへのアクセスを求めるＨＴＴＰ／Ｓストリームであるとき、コンテンツを含むアクティビティを認識及び処理し、アクティビティを、危険を及ぼしているか否かに分類し、次いで、分類に基づいて、第４の制限状態を設定するか、又は要求若しくは応答を渡す、コンピュータ実装方法。
９．共通フィールドは、
検査されるトラフィックのソース、トラフィックの宛先、トラフィックによって使用されるプロトコル、検査可能なトラフィックにおいて指定されるアクティビティ、特定の機能のプロファイル、及び検査から生じる例外の場合にトリガされるアクションを含む、条項８に記載のコンピュータ実装方法。
１０．共通フィールドの値は、
検査されるトラフィックのソース又は宛先について、ＩＰアドレス若しくは範囲、又はポート番号と、
トラフィックによって使用されるプロトコルについて、ＨＴＴＰ／Ｓ、ＴＣＰ、ＵＤＰ、又はＩＣＭＰと、
検査可能なトラフィックで指定されたアクティビティについて、アップロード、ダウンロード、プレビュー又は共有と、
特定の機能のプロファイルについて、アクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のうちの１つ以上と、
検査から生じる例外の場合にトリガされるアクションについて、許可、ブロック、アラート、バイパス、暗号化、コーチ、又は隔離と、を含む、条項８に記載のコンピュータ実装方法。
１１．ＧＵＩジェネレータが、
特定の機能によって使用されるポリシーの指定のために必要なフィールドにコンテキスト化された、統合機能にわたって一貫した値完了オプションを用いて一貫した順序で共通フィールドを提示するグラフィカルユーザインターフェース（略してＧＵＩ）を生成することと、
ユーザへのＧＵＩの配信を引き起こすことと、
統合機能のうちの１つ以上に適用可能なポリシーを指定するＧＵＩからの選択をユーザから受信することと、を更に含む、条項８に記載のコンピュータ実装方法。
１２．アプリケーションプログラムインターフェースが、
特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて統合機能の各々にコンテキスト化される、キー－値ペアのデータ構造を受信すること、を更に含む、条項８に記載のコンピュータ実装方法。
１３．データ構造パーサが、
特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したフィールド名及び一貫したフィールド値オプションを用いて統合機能の各々にコンテキスト化されるデータ構造を受信すること、を更に含む、条項８に記載のコンピュータ実装方法。
１４．受信することは、コマンドラインインターフェース（略してＣＬＩ）を使用することを含み、ＣＬＩは、
特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて統合機能の各々にコンテキスト化される、キー－値ペアのデータ構造をポピュレートするためにポリシー構成コマンドを受け入れ、構文解析するように構成されている、条項８に記載のコンピュータ実装方法。
１５．プログラム命令を含む有形の非一時的コンピュータ可読媒体であって、プログラム命令は、プロセッサ上で実行されると、プロセッサに、検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合するクラウドベースのセキュリティシステムのためのポリシー管理の方法を実施させ、方法は、
統合機能のうちの２つ以上によって共有される共通フィールドを含む、クラウドベースの統合機能にわたってセキュリティポリシーを指定するために使用されるフィールドのスーパーセットを含むデータ構造を維持することと、
ポリシーマネージャが、統合機能の各々に適用される共通フィールドの値のための共通フォーマットでポリシー指定を受信し、それによって、ユーザが、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のクラウドベースの統合機能を統制するセキュリティポリシーを指定することができるようにすることと、
ポリシーマネージャが、統合機能の間でそれぞれの機能に適用可能なポリシー指定を検証し、保存し、分散させることと、を含み、
（ａ）パケットレベルのアクセス制御及びトラフィック検査は、着信アクセス要求内又はアクセス要求への応答内のパケットヘッダ、集合的に要求又は応答を、任意の事前処理を伴って、又は伴わずに、形成異常について検査することと、要求又は応答を検査可能又は検査不能として分類し、次いで、検査に基づいて、第１の制限状態を設定するか、又は要求若しくは応答を渡すことと、を含み、
（ｂ）プロトコルレベルのアクセス制御及びトラフィック検査は、悪意のあるシグネチャに対する要求又は応答に対して、任意の事前処理を伴って、又は伴わずに、ディープパケット検査を実施し、次いで、ディープパケット検査に基づいて、第２の制限状態を設定するか、又は要求若しくは応答を渡すことを含み、
（ｃ）脅威検出は、要求又は応答がＨＴＴＰ／Ｓストリームであるとき、要求又は応答を脅威宛先に向けられているか否かに分類し、次いで、分類に基づいて、第３の制限状態を設定するか、又は要求若しくは応答を渡すことを含み、
（ｄ）アクティビティのコンテキスト化は、要求又は応答が、クラウドベースのアプリケーションへのアクセスを求めるＨＴＴＰ／Ｓストリームであるとき、コンテンツを含むアクティビティを認識及び処理し、アクティビティを、危険を及ぼしているか否かに分類し、次いで、分類に基づいて、第４の制限状態を設定するか、又は要求若しくは応答を渡すことを含む、有形の非一時的コンピュータ可読媒体。
１６．共通フィールドは、
検査されるトラフィックのソース、トラフィックの宛先、トラフィックによって使用されるプロトコル、検査可能なトラフィックにおいて指定されるアクティビティ、特定の機能のプロファイル、及び検査から生じる例外の場合にトリガされるアクションを含む、条項１５に記載の有形の非一時的コンピュータ可読媒体。
１７．共通フィールドの値は、
検査されるトラフィックのソース又は宛先について、ＩＰアドレス若しくは範囲、又はポート番号と、
トラフィックによって使用されるプロトコルについて、ＨＴＴＰ／Ｓ、ＴＣＰ、ＵＤＰ、又はＩＣＭＰと、
検査可能なトラフィックで指定されたアクティビティについて、アップロード、ダウンロード、プレビュー又は共有と、
特定の機能のプロファイルについて、アクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のうちの１つ以上と、
検査から生じる例外の場合にトリガされるアクションについて、許可、ブロック、アラート、バイパス、暗号化、コーチ、又は隔離と、を含む、条項１５に記載の有形の非一時的コンピュータ可読媒体。
１８．特定の機能によって使用されるポリシーの指定のために必要なフィールドにコンテキスト化された、統合機能にわたって一貫した値完了オプションを用いて一貫した順序で共通フィールドを提示するグラフィカルユーザインターフェース（略してＧＵＩ）を生成することと、
ユーザへのＧＵＩの配信を引き起こすことと、
統合機能のうちの１つ以上に適用可能なポリシーを指定するＧＵＩからの選択をユーザから受信することと、を行うＧＵＩジェネレータを更に含む、条項１５に記載の有形の非一時的コンピュータ可読媒体。
１９．アプリケーションプログラムインターフェースを更に含み、アプリケーションプログラムインターフェースは、
特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて統合機能の各々にコンテキスト化される、キー－値ペアのデータ構造を受信する、条項１５に記載の有形の非一時的コンピュータ可読媒体。
２０．データ構造パーサを更に含み、データ構造パーサは、
特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したフィールド名及び一貫したフィールド値オプションを用いて統合機能の各々にコンテキスト化されるデータ構造を受信する、条項１５に記載の有形の非一時的コンピュータ可読媒体。
２１．受信することは、コマンドラインインターフェース（略してＣＬＩ）を使用することを含み、ＣＬＩは、
特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて統合機能の各々にコンテキスト化される、キー－値ペアのデータ構造をポピュレートするためにポリシー構成コマンドを受け入れ、構文解析するように構成されている、条項１５に記載の有形の非一時的コンピュータ可読媒体。
条項セット２
１．検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合する、クラウドベースのセキュリティシステムのためのコンピュータ実装ポリシーマネージャデバイスであって、デバイスは、
統合機能のうちの２つ以上によって共有される共通フィールドを含む、クラウドベースの統合機能にわたってセキュリティポリシーを指定するために使用されるフィールドのスーパーセットを記憶する、ポリシーマネージャデバイスに結合されるデータマネージャと、
統合機能の中の各機能に適用可能なポリシー指定を検証し、保存し、分散させるように構成されたポリシーマネージャと、
統合機能の各々から、共通フィールドに記憶されたポリシー指定についての要求を受信し、共通フィールドをそれぞれの要求機能によって使用される値に変換し、要求に応答する値を、アクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のクラウドベースの統合機能の中のそれぞれの要求機能に返すための手段と、を含む、コンピュータ実装ポリシーマネージャデバイス。
２．統合機能のうちの２つ以上によって共有される共通フィールドは、
検査されるトラフィックのソース、トラフィックの宛先、トラフィックによって使用されるプロトコル、検査可能なトラフィックにおいて指定されるアクティビティ、特定の機能のプロファイル、及び検査から生じる例外の場合にトリガされるアクションを含む、条項１に記載のコンピュータ実装ポリシーマネージャデバイス。
３．共通フィールドの値は、
検査されるトラフィックのソース又は宛先について、任意のトラフィック、指定されたユーザ、指定されたグループ、ＩＰアドレス若しくは範囲、又はポート番号と、
トラフィックによって使用されるプロトコルについて、ＨＴＴＰ／Ｓ、ＴＣＰ、ＵＤＰ、又はＩＣＭＰと、
検査可能なトラフィックで指定されたアクティビティについて、アップロード、ダウンロード、プレビュー又は共有と、
特定の機能のプロファイルについて、アクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のうちの１つ以上と、
検査から生じる例外の場合にトリガされるアクションについて、許可、ブロック、アラート、バイパス、暗号化、コーチ、又は隔離と、を含む、条項１に記載のコンピュータ実装ポリシーマネージャデバイス。
４．受信するための手段は、
特定の機能によって使用されるポリシーの指定のために必要なフィールドにコンテキスト化された、統合機能にわたって一貫した値報告のために一貫した順序で共通フィールドを提示するＧＵＩを生成することと、
ユーザから、クエリと、クエリに応答する１つ以上のポリシーの指定が返される統合機能のうちの少なくとも１つの識別とを受信することと、
クエリに応答して、ポリシーの指定でＧＵＩをポピュレートし、ユーザへのＧＵＩの配信を引き起こすことと、を行うように構成されたブラウザベース及びクライアントベースのグラフィカルユーザインターフェース（略してＧＵＩ）ジェネレータのうちの１つを含む、条項１に記載のコンピュータ実装ポリシーマネージャデバイス。
５．クエリと、クエリに応答する１つ以上のポリシーの指定が返される統合機能のうちの少なくとも１つの識別とを受信することと、
クエリに応答して、１つ以上のポリシーのためのキー－値ペアのデータ構造をポピュレートし、配信を引き起こすことと、を行うように構成されたアプリケーションプログラムインターフェースを含む、条項１に記載のコンピュータ実装ポリシーマネージャデバイス。
６．クエリと、クエリに応答する１つ以上のポリシーの指定が返される統合機能のうちの少なくとも１つの識別とを含むデータ構造を受信することと、
クエリに応答して、１つ以上のポリシーのためのキー－値ペアのデータ構造をポピュレートし、配信を引き起こすことと、を行うように構成されたデータ構造パーサを含む、条項１に記載のコンピュータ実装ポリシーマネージャデバイス。
７．受信するための手段は、コマンドラインインターフェース（略してＣＬＩ）を含み、ＣＬＩは、
クエリと、クエリに応答する１つ以上のポリシーの指定が返されることになる統合機能のうちの少なくとも１つの識別とを受け入れ、構文解析することと
構文解析されたクエリ及び指定を受け入れることと、
特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて統合機能の各々にコンテキスト化される、キー－値ペアのデータ構造に対してクエリを行うことと、
クエリの結果を返すことと、を行うように構成されている、条項１に記載のコンピュータ実装ポリシーマネージャデバイス。
８．（ａ）クラウドベースのパケットレベルのアクセス制御及びトラフィック検査コンポーネントは、任意の事前処理を伴って、又は伴わずに、形成異常について着信アクセス要求内のパケットヘッダを検査し、着信アクセス要求を検査可能又は検査不能として分類し、次いで、検査に基づいて、第１の制限状態を設定するか、又は着信アクセス要求を渡すように構成され、
（ｂ）クラウドベースのプロトコルレベルのアクセス制御及びトラフィック検査コンポーネントは、第２の制限状態を設定するか、又は着信アクセス要求を渡すように構成される、任意の事前処理を伴って、又は伴わずに、悪意のあるシグネチャについて着信アクセス要求に対してディープパケット検査を実施するように構成され、
（ｃ）クラウドベースの脅威検出は、着信アクセス要求がＨＴＴＰ／Ｓストリームであるとき、着信アクセス要求を脅威宛先に向けられているか否かに分類するように構成され、次いで、分類に基づいて、第３の制限状態を設定するか、又は着信アクセス要求を渡すように構成され、
（ｄ）クラウドベースのアクティビティのコンテキスト化は、着信アクセス要求がクラウドベースのアプリケーションへのアクセスを求めるＨＴＴＰ／Ｓストリームであるとき、コンテンツを含むアクティビティを認識及び処理し、アクティビティを、危険を及ぼしているか否かに分類するように構成され、次いで、分類に基づいて、第４の制限状態を設定するか、又は着信アクセス要求を渡すように構成されている、条項１に記載のコンピュータ実装ポリシーマネージャデバイス。
９．検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合するクラウドベースのセキュリティシステムにポリシーマネージャによって適用されるコンピュータ実装方法であって、方法は、
ポリシーマネージャに結合されたデータマネージャが、統合機能のうちの２つ以上によって共有される共通フィールドを含む、クラウドベースの統合機能にわたってセキュリティポリシーを指定するために使用されるフィールドのスーパーセットを記憶することと、
ポリシーマネージャが、統合機能の中のそれぞれの機能に適用可能なポリシー指定を検証し、保存し、分散させることと、
ポリシーマネージャが、統合機能の各々から共通フィールドに記憶されたポリシー指定に対する要求を受信し、共通フィールドをそれぞれの要求機能によって使用される値に変換し、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のクラウドベースの統合機能の中の任意の要求機能に、それぞれの要求機能によって使用されるフィールドの値を返すことと、を含む、コンピュータ実装方法。
１０．統合機能のうちの２つ以上によって共有される共通フィールドは、
検査されるトラフィックのソース、トラフィックの宛先、トラフィックによって使用されるプロトコル、検査可能なトラフィックにおいて指定されるアクティビティ、特定の機能のプロファイル、及び検査から生じる例外の場合にトリガされるアクションを含む、条項９に記載のコンピュータ実装方法。
１１．共通フィールドの値は、
検査されるトラフィックのソース又は宛先について、ＩＰアドレス若しくは範囲、又はポート番号と、
トラフィックによって使用されるプロトコルについて、ＨＴＴＰ／Ｓ、ＴＣＰ、ＵＤＰ、又はＩＣＭＰと、
検査可能なトラフィックで指定されたアクティビティについて、アップロード、ダウンロード、プレビュー又は共有と、
特定の機能のプロファイルについて、アクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のうちの１つ以上と、
検査から生じる例外の場合にトリガされるアクションについて、許可、ブロック、アラート、バイパス、暗号化、コーチ、又は隔離と、を含む、条項９に記載のコンピュータ実装方法。
１２．ＧＵＩジェネレータが、
特定の機能によって使用されるポリシーの指定のために必要なフィールドにコンテキスト化された、統合機能にわたって一貫した値報告のために一貫した順序で共通フィールドを提示するグラフィカルユーザインターフェース（略してＧＵＩ）を生成することと、
ユーザから、クエリと、クエリに応答する１つ以上のポリシーの指定が返される統合機能のうちの少なくとも１つの識別とを受信することと、
クエリに応答して、ポリシーの指定でＧＵＩをポピュレートし、ユーザへのＧＵＩの配信を引き起こすことと、を含む、条項９に記載のコンピュータ実装方法。
１３．アプリケーションプログラムインターフェースが、
クエリと、クエリに応答する１つ以上のポリシーの指定が返される統合機能のうちの少なくとも１つの識別とを受信することと、
クエリに応答して、１つ以上のポリシーのためのキー－値ペアのデータ構造をポピュレートし、配信を引き起こすことと、を更に含む、条項９に記載のコンピュータ実装方法。
１４．データ構造パーサが、
クエリと、クエリに応答する１つ以上のポリシーの指定が返される統合機能のうちの少なくとも１つの識別とを含むデータ構造を受信することと、
クエリに応答して、１つ以上のポリシーのためのキー－値ペアのデータ構造をポピュレートし、配信を引き起こすことと、を更に含む、条項９に記載のコンピュータ実装方法。
１５．コマンドラインインターフェース（略してＣＬＩ）を更に含み、ＣＬＩは、
クエリと、クエリに応答する１つ以上のポリシーの指定が返されることになる統合機能のうちの少なくとも１つの識別とを受け入れ、構文解析することと、
構文解析されたクエリ及び指定を受け入れることと、
特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて統合機能の各々にコンテキスト化される、キー－値ペアのデータ構造に対してクエリを行うことと、
クエリの結果を返すことと、を行う、条項９に記載のコンピュータ実装方法。
１６．（ａ）クラウドベースのパケットレベルのアクセス制御及びトラフィック検査コンポーネントは、任意の事前処理を伴って、又は伴わずに、形成異常について着信アクセス要求内のパケットヘッダを検査し、着信アクセス要求を検査可能又は検査不能として分類し、次いで、検査に基づいて、第１の制限状態を設定するか、又は着信アクセス要求を渡すように構成され、
（ｂ）クラウドベースのプロトコルレベルのアクセス制御及びトラフィック検査コンポーネントは、第２の制限状態を設定するか、又は着信アクセス要求を渡すように構成される、任意の事前処理を伴って、又は伴わずに、悪意のあるシグネチャについて着信アクセス要求に対してディープパケット検査を実施するように構成され、
（ｃ）クラウドベースの脅威検出は、着信アクセス要求がＨＴＴＰ／Ｓストリームであるとき、着信アクセス要求を脅威宛先に向けられているか否かに分類するように構成され、次いで、分類に基づいて、第３の制限状態を設定するか、又は着信アクセス要求を渡すように構成され、
（ｄ）クラウドベースのアクティビティのコンテキスト化は、着信アクセス要求がクラウドベースのアプリケーションへのアクセスを求めるＨＴＴＰ／Ｓストリームであるとき、コンテンツを含むアクティビティを認識及び処理し、アクティビティを、危険を及ぼしているか否かに分類するように構成され、次いで、分類に基づいて、第４の制限状態を設定するか、又は着信アクセス要求を渡すように構成されている、条項９に記載のコンピュータ実装方法。
１７．プログラム命令を含む有形の非一時的コンピュータ可読媒体であって、プログラム命令は、プロセッサ上で実行されると、プロセッサに、検査可能及び検査不能なトラフィックに対するパケットレベル及びプロトコルレベルのアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化の機能を統合するクラウドベースのセキュリティシステムのためのポリシー管理の方法を実施させ、方法は、
ポリシーマネージャに結合されたデータマネージャが、統合機能のうちの２つ以上によって共有される共通フィールドを含む、クラウドベースの統合機能にわたってセキュリティポリシーを指定するために使用されるフィールドのスーパーセットを記憶することと、
ポリシーマネージャが、統合機能の中のそれぞれの機能に適用可能なポリシー指定を検証し、保存し、分散させることと、
ポリシーマネージャが、統合機能の各々から共通フィールドに記憶されたポリシー指定に対する要求を受信し、共通フィールドをそれぞれの要求機能によって使用される値に変換し、検査可能及び検査不能なトラフィックに対するアクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のクラウドベースの統合機能の中の任意の要求機能に、それぞれの要求機能によって使用されるフィールドの値を返すことと、を含む、有形の非一時的コンピュータ可読媒体。
１８．統合機能のうちの２つ以上によって共有される共通フィールドは、
検査されるトラフィックのソース、トラフィックの宛先、トラフィックによって使用されるプロトコル、検査可能なトラフィックにおいて指定されるアクティビティ、特定の機能のプロファイル、及び検査から生じる例外の場合にトリガされるアクションを含む、条項１７に記載の有形の非一時的コンピュータ可読媒体。
１９．共通フィールドの値は、
検査されるトラフィックのソース又は宛先について、ＩＰアドレス若しくは範囲、又はポート番号と、
トラフィックによって使用されるプロトコルについて、ＨＴＴＰ／Ｓ、ＴＣＰ、ＵＤＰ、又はＩＣＭＰと、
検査可能なトラフィックで指定されたアクティビティについて、アップロード、ダウンロード、プレビュー又は共有と、
特定の機能のプロファイルについて、アクセス制御及びトラフィック検査、脅威検出、並びにアクティビティのコンテキスト化のうちの１つ以上と、
検査から生じる例外の場合にトリガされるアクションについて、許可、ブロック、アラート、バイパス、暗号化、コーチ、又は隔離と、を含む、条項１７に記載の有形の非一時的コンピュータ可読媒体。
２０．特定の機能によって使用されるポリシーの指定のために必要なフィールドにコンテキスト化された、統合機能にわたって一貫した値報告のために一貫した順序で共通フィールドを提示するグラフィカルユーザインターフェース（略してＧＵＩ）を生成することと、
ユーザから、クエリと、クエリに応答する１つ以上のポリシーの指定が返される統合機能のうちの少なくとも１つの識別とを受信することと、
クエリに応答して、ポリシーの指定でＧＵＩをポピュレートし、ユーザへのＧＵＩの配信を引き起こすことと、を行うＧＵＩジェネレータを更に含む、条項１７に記載の有形の非一時的コンピュータ可読媒体。
２１．アプリケーションプログラムインターフェースを更に含み、アプリケーションプログラムインターフェースは、
クエリと、クエリに応答する１つ以上のポリシーの指定が返される統合機能のうちの少なくとも１つの識別とを受信することと、
クエリに応答して、１つ以上のポリシーのためのキー－値ペアのデータ構造をポピュレートし、配信を引き起こすことと、を行う、条項１７に記載の有形の非一時的コンピュータ可読媒体。
２２．データ構造パーサを更に含み、データ構造パーサは、
クエリと、クエリに応答する１つ以上のポリシーの指定が返される統合機能のうちの少なくとも１つの識別とを含むデータ構造を受信することと、
クエリに応答して、１つ以上のポリシーのためのキー－値ペアのデータ構造をポピュレートし、配信を引き起こすことと、を行う、条項１７に記載の有形の非一時的コンピュータ可読媒体。
２３．コマンドラインインターフェース（略してＣＬＩ）を更に含み、ＣＬＩは、
クエリと、クエリに応答する１つ以上のポリシーの指定が返されることになる統合機能のうちの少なくとも１つの識別とを受け入れ、構文解析することと、
構文解析されたクエリ及び指定を受け入れることと、
特定の機能によって使用される必要なフィールドが、統合機能にわたって一貫したキータグ及び一貫した値完了オプションを用いて統合機能の各々にコンテキスト化される、キー－値ペアのデータ構造に対してクエリを行うことと、
クエリの結果を返すことと、を行う、条項１７に記載の有形の非一時的コンピュータ可読媒体。
２４．（ａ）クラウドベースのパケットレベルのアクセス制御及びトラフィック検査コンポーネントは、任意の事前処理を伴って、又は伴わずに、形成異常について着信アクセス要求内のパケットヘッダを検査し、着信アクセス要求を検査可能又は検査不能として分類し、次いで、検査に基づいて、第１の制限状態を設定するか、又は着信アクセス要求を渡すように構成され、
（ｂ）クラウドベースのプロトコルレベルのアクセス制御及びトラフィック検査コンポーネントは、第２の制限状態を設定するか、又は着信アクセス要求を渡すように構成される、任意の事前処理を伴って、又は伴わずに、悪意のあるシグネチャについて着信アクセス要求に対してディープパケット検査を実施するように構成され、
（ｃ）クラウドベースの脅威検出は、着信アクセス要求がＨＴＴＰ／Ｓストリームであるとき、着信アクセス要求を脅威宛先に向けられているか否かに分類するように構成され、次いで、分類に基づいて、第３の制限状態を設定するか、又は着信アクセス要求を渡すように構成され、
（ｄ）クラウドベースのアクティビティのコンテキスト化は、着信アクセス要求がクラウドベースのアプリケーションへのアクセスを求めるＨＴＴＰ／Ｓストリームであるとき、コンテンツを含むアクティビティを認識及び処理し、アクティビティを、危険を及ぼしているか否かに分類するように構成され、次いで、分類に基づいて、第４の制限状態を設定するか、又は着信アクセス要求を渡すように構成されている、条項１７に記載の有形の非一時的コンピュータ可読媒体。
条項セット３
１．（ａ）パケットレベルのアクセス制御及びトラフィック検査、（ｂ）プロトコルレベルのアクセス制御及びトラフィック検査、（ｃ）脅威検出、並びに（ｄ）アクティビティのコンテキスト化のために構成可能なクラウドベースのコンポーネントのセキュリティシステムであって、システムは、
パケットの各着信アクセス要求を、適用されるコンポーネント（ａ）～（ｄ）の全てを介して、少なくとも、コンポーネントのうちの１つが着信アクセス要求に対応する少なくとも１つのオブジェクトに対して制限状態を設定するまで、又は適用されるコンポーネントの全てが着信アクセス要求を渡すまで搬送するように構成されたパケット及びストリームルータであって、
（ａ）パケットレベルのアクセス制御及びトラフィック検査コンポーネントが、任意の事前処理を伴って、又は伴わずに、着信アクセス要求内のパケットヘッダを検査し、着信アクセス要求を検査可能又は検査不能として分類するように構成され、次いで、分類に基づいて、
パケットヘッダが形成異常であるとき、第１の制限状態を設定することと、
パケットヘッダが良好に形成されているが、着信アクセス要求が検査不能である場合、着信アクセス要求を宛先サーバに渡し、脅威検出（ＳＷＧ）及びアクティビティのコンテキスト化をバイパスすることと、
パケットヘッダが良好に形成され、着信アクセス要求が検査可能であるとき、着信アクセス要求を渡すことと、を行うように構成され、
（ｂ）プロトコルレベルのアクセス制御及びトラフィック検査コンポーネントが、任意の事前処理を伴って、又は伴わずに、着信アクセス要求に対してディープパケット検査を実施するように構成され、
パケットが１つ以上の悪意のあるシグネチャを保持するとき、第２の制限状態を設定することと、
そうでない場合、着信アクセス要求を渡すことと、を行うように構成され、
（ｃ）脅威検出が、着信アクセス要求がＨＴＴＰ／Ｓストリームであるとき、着信アクセス要求を脅威宛先に向けられているか否かに分類するように構成され、次いで、分類に基づいて、
着信アクセス要求が脅威宛先に向けられているときに、第３の制限状態を設定することと、
そうでない場合、着信アクセス要求を渡すことと、を行うように構成され、
（ｄ）アクティビティのコンテキスト化が、着信アクセス要求がクラウドベースのアプリケーションへのアクセスを求めるＨＴＴＰ／Ｓストリームであるとき、コンテンツを含むアクティビティを認識して処理し、アクティビティを、危険を及ぼしているか否かに分類するように構成され、次いで、分類に基づいて、
着信アクセス要求が危険を及ぼしているとき、第４の制限状態を設定することと、
そうでない場合、着信アクセス要求を渡すことと、を行うように構成される、パケット及びストリームルータと、
第１の、第２の、第３の、又は第４の制限状態が設定されているかどうかを判定し、状態のいずれかの設定に基づいて、着信アクセス要求に応答して制限ステップを行う、制限状態アナライザと、を含む、システム。
２．パケット及びストリームルータは、コンポーネント（ｂ）～（ｄ）の前に、着信アクセスストリームを（ａ）パケットレベルのアクセス制御及びトラフィック検査コンポーネントに通すように構成されている、条項１に記載のシステム。
３．コンポーネント（ａ）～（ｄ）は、着信アクセスストリーム処理が進行するにつれて、制限状態メッセージを後続のコンポーネント又は制限状態アナライザに渡すように構成されている、条項１に記載のシステム。
４．コンポーネント（ａ）～（ｄ）は、着信アクセスストリーム処理が進行するにつれて、制限状態アナライザによる処理のために、制限状態メッセージを共通状態ストアに送信するように構成されている、条項１に記載のシステム。
５．コンポーネント（ａ）～（ｄ）は、着信アクセスストリーム処理が進行するにつれて、制限状態アナライザによる処理のために共通フラグストア内に制限状態フラグを設定するように構成されている、条項１に記載のシステム。
６．コンポーネント（ａ）～（ｄ）は、着信アクセスストリーム処理が第１のコンポーネントから最後のコンポーネントに進むときに制限状態フラグを保存し、次いで、着信アクセスストリーム処理が最後のコンポーネントから第１のコンポーネントに進むときに制限ステップを行うために、保存された制限状態フラグを用いて制限状態アナライザを呼び出すように構成されている、条項１に記載のシステム。
７．制限的アナライザによって行われる制限的ステップは、ブロック、アラート、バイパス、暗号化、コーチ、又は隔離を含む、条項１に記載のシステム。
８．（ａ）パケットレベルのアクセス制御及びトラフィック検査、（ｂ）プロトコルレベルのアクセス制御及びトラフィック検査、（ｃ）脅威検出、並びに（ｄ）アクティビティのコンテキスト化を実施するクラウドベースのコンポーネントを介してパケットの着信アクセス要求を処理する方法であって、方法は、
パケット及びストリームルータが、パケットの各着信アクセス要求を、適用されるコンポーネント（ａ）～（ｄ）の全てを介して、少なくとも、コンポーネントのうちの１つが着信アクセス要求に対応する少なくとも１つのオブジェクトに対して制限状態を設定するまで、又は適用されるコンポーネントの全てが着信アクセス要求を渡すまで搬送することであって、
（ａ）パケットレベルのアクセス制御及びトラフィック検査コンポーネントが、任意の事前処理を伴って、又は伴わずに、着信アクセス要求内のパケットヘッダを検査し、着信アクセス要求を検査可能又は検査不能として分類し、次いで、分類に基づいて、
パケットヘッダが形成異常であるとき、第１の制限状態を設定することと、
パケットヘッダが良好に形成されているが、着信アクセス要求が検査不能である場合、着信アクセス要求を宛先サーバに渡し、脅威検出及びアクティビティのコンテキスト化をバイパスすることと、
パケットヘッダが良好に形成され、着信アクセス要求が検査可能であるとき、着信アクセス要求を渡すことと、を行うように構成され、
（ｂ）プロトコルレベルのアクセス制御及びトラフィック検査コンポーネントが、任意の事前処理を伴って、又は伴わずに、着信アクセス要求に対してディープパケット検査を実施し、
パケットが１つ以上の悪意のあるシグネチャを保持するとき、第２の制限状態を設定することと、
そうでない場合、着信アクセス要求を渡すことと、を行うように構成され、
（ｃ）脅威検出が、着信アクセス要求がＨＴＴＰ／Ｓストリームであるとき、着信アクセス要求を脅威宛先に向けられているか否かに分類し、次いで、分類に基づいて、
着信アクセス要求が脅威宛先に向けられているときに、第３の制限状態を設定することと、
そうでない場合、着信アクセス要求を渡すことと、を行うように構成され、
（ｄ）アクティビティのコンテキスト化が、着信アクセス要求がクラウドベースのアプリケーションへのアクセスを求めるＨＴＴＰ／Ｓストリームであるとき、コンテンツを含むアクティビティを認識して処理し、アクティビティを、危険を及ぼしているか否かに分類し、次いで、分類に基づいて、
着信アクセス要求が危険を及ぼしているとき、第４の制限状態を設定することと、
そうでない場合、着信アクセス要求を渡すことと、を行うように構成される、搬送することと、
制限状態アナライザが、第１の、第２の、第３の、又は第４の制限状態が設定されているかどうかを判定し、状態のいずれかの設定に基づいて、着信アクセス要求に応答して制限ステップを行うことと、を含む、方法。
９．パケット及びストリームルータは、コンポーネント（ｂ）～（ｄ）の前に、着信アクセスストリームを（ａ）パケットレベルのアクセス制御及びトラフィック検査コンポーネントに通すように構成されている、条項８に記載の方法。
１０．コンポーネント（ａ）～（ｄ）は、着信アクセスストリーム処理が進行するにつれて、制限状態メッセージを後続のコンポーネント又は制限状態アナライザに渡すように構成されている、条項８に記載の方法。
１１．コンポーネント（ａ）～（ｄ）は、着信アクセスストリーム処理が進行するにつれて、制限状態アナライザによる処理のために、制限状態メッセージを共通状態ストアに送信するように構成されている、条項８に記載の方法。
１２．コンポーネント（ａ）～（ｄ）は、着信アクセスストリーム処理が進行するにつれて、制限状態アナライザによる処理のために共通フラグストア内に制限状態フラグを設定するように構成されている、条項８に記載の方法。
１３．コンポーネント（ａ）～（ｄ）は、着信アクセスストリーム処理が第１のコンポーネントから最後のコンポーネントに進むときに制限状態フラグを保存し、次いで、着信アクセスストリーム処理が最後のコンポーネントから第１のコンポーネントに進むときに制限ステップを行うために、保存された制限状態フラグを用いて制限状態アナライザを呼び出すように構成されている、条項８に記載の方法。
１４．制限的アナライザによって行われる制限的ステップは、ブロック、アラート、バイパス、暗号化、コーチ、又は隔離を含む、条項８に記載の方法。
１５．プロセッサ上で実行されると、プロセッサに、（ａ）パケットレベルのアクセス制御及びトラフィック検査、（ｂ）プロトコルレベルのアクセス制御及びトラフィック検査、（ｃ）脅威検出、並びに（ｄ）アクティビティのコンテキスト化を実施するクラウドベースのコンポーネントを介してパケットの着信アクセス要求を処理する方法を実施させるプログラム命令を含む有形の非一時的コンピュータ可読媒体であって、方法は、
パケット及びストリームルータが、パケットの各着信アクセス要求を、適用されるコンポーネント（ａ）～（ｄ）の全てを介して、少なくとも、コンポーネントのうちの１つが着信アクセス要求に対応する少なくとも１つのオブジェクトに対して制限状態を設定するまで、又は適用されるコンポーネントの全てが着信アクセス要求を渡すまで搬送することであって、
（ａ）パケットレベルのアクセス制御及びトラフィック検査コンポーネントが、任意の事前処理を伴って、又は伴わずに、着信アクセス要求内のパケットヘッダを検査し、着信アクセス要求を検査可能又は検査不能として分類し、次いで、分類に基づいて、
パケットヘッダが形成異常であるとき、第１の制限状態を設定することと、
パケットヘッダが良好に形成されているが、着信アクセス要求が検査不能である場合、着信アクセス要求を宛先サーバに渡し、脅威検出（ＳＷＧ）及びアクティビティのコンテキスト化をバイパスすることと、
パケットヘッダが良好に形成され、着信アクセス要求が検査可能であるとき、着信アクセス要求を渡すことと、を行うように構成され、
（ｂ）プロトコルレベルのアクセス制御及びトラフィック検査コンポーネントが、任意の事前処理を伴って、又は伴わずに、着信アクセス要求に対してディープパケット検査を実施し、
パケットが１つ以上の悪意のあるシグネチャを保持するとき、第２の制限状態を設定することと、
そうでない場合、着信アクセス要求を渡すことと、を行うように構成され、
（ｃ）脅威検出が、着信アクセス要求がＨＴＴＰ／Ｓストリームであるとき、着信アクセス要求を脅威宛先に向けられているか否かに分類し、次いで、分類に基づいて、
着信アクセス要求が脅威宛先に向けられているときに、第３の制限状態を設定することと、
そうでない場合、着信アクセス要求を渡すことと、を行うように構成され、
（ｄ）アクティビティのコンテキスト化が、着信アクセス要求がクラウドベースのアプリケーションへのアクセスを求めるＨＴＴＰ／Ｓストリームであるとき、コンテンツを含むアクティビティを認識して処理し、アクティビティを、危険を及ぼしているか否かに分類し、次いで、分類に基づいて、
着信アクセス要求が危険を及ぼしているとき、第４の制限状態を設定することと、
そうでない場合、着信アクセス要求を渡すことと、を行うように構成される、搬送することと、
制限状態アナライザが、第１の、第２の、第３の、又は第４の制限状態が設定されているかどうかを判定し、状態のいずれかの設定に基づいて、着信アクセス要求に応答して制限ステップを行うことと、を含む、有形の非一時的コンピュータ可読媒体。
１６．パケット及びストリームルータは、コンポーネント（ｂ）～（ｄ）の前に、着信アクセスストリームを（ａ）パケットレベルのアクセス制御及びトラフィック検査コンポーネントに通すように構成されている、条項１５に記載の有形の非一時的コンピュータ可読媒体。
１７．コンポーネント（ａ）～（ｄ）は、着信アクセスストリーム処理が進行するにつれて、制限状態メッセージを後続のコンポーネント又は制限状態アナライザに渡すように構成されている、条項１５に記載の有形の非一時的コンピュータ可読媒体。
１８．コンポーネント（ａ）～（ｄ）は、着信アクセスストリーム処理が進行するにつれて、制限状態アナライザによる処理のために、制限状態メッセージを共通状態ストアに送信するように構成されている、条項１５に記載の有形の非一時的コンピュータ可読媒体。
１９．コンポーネント（ａ）～（ｄ）は、着信アクセスストリーム処理が進行するにつれて、制限状態アナライザによる処理のために共通フラグストア内に制限状態フラグを設定するように構成されている、条項１５に記載の有形の非一時的コンピュータ可読媒体。
２０．コンポーネント（ａ）～（ｄ）は、着信アクセスストリーム処理が第１のコンポーネントから最後のコンポーネントに進むときに制限状態フラグを保存し、次いで、着信アクセスストリーム処理が最後のコンポーネントから第１のコンポーネントに進むときに制限ステップを行うために、保存された制限状態フラグを用いて制限状態アナライザを呼び出すように構成されている、条項１５に記載の有形の非一時的コンピュータ可読媒体。
条項セット４
１．（ａ）パケットレベルのアクセス制御及びトラフィック検査、（ｂ）プロトコルレベルのアクセス制御及びトラフィック検査、（ｃ）脅威検出、並びに（ｄ）アクティビティのコンテキスト化及びコンテンツ検査のために構成可能なクラウドベースのコンポーネントの統合セキュリティシステムであって、システムは、
（ａ）クラウドベースのパケットレベルのアクセス制御及びトラフィック検査コンポーネントが、着信アクセス要求内又はアクセス要求への応答内のパケットヘッダ、集合的に要求又は応答を、任意の事前処理を伴って、又は伴わずに、形成異常について検査し、要求又は応答を検査可能又は検査不能として分類し、次いで、検査に基づいて、第１の制限状態を設定するか、又は要求又は応答を渡すように構成され、
（ｂ）クラウドベースのプロトコルレベルのアクセス制御及びトラフィック検査コンポーネントが、第２の制限状態を設定するか、又は要求若しくは応答を渡すように構成される、任意の事前処理を伴って、又は伴わずに、悪意のあるシグネチャについて要求又は応答に対してディープパケット検査を実施するように構成され、
（ｃ）クラウドベースの脅威検出が、要求又は応答がＨＴＴＰ／Ｓストリームであるとき、要求又は応答を脅威宛先に向けられているか否かに分類するように構成され、次いで、分類に基づいて、第３の制限状態を設定するか、又は要求又は応答を渡すように構成され、
（ｄ）クラウドベースのアクティビティのコンテキスト化及びコンテンツ検査が、要求又は応答がクラウドベースのアプリケーションへのアクセスを求めるＨＴＴＰ／Ｓストリームであるとき、コンテンツを含むアクティビティを認識及び処理し、アクティビティを、危険を及ぼしているか否かに分類するように構成され、次いで、分類に基づいて、第４の制限状態を設定するか、又は要求若しくは応答を渡すように構成されることと、
第１の、第２の、第３の、又は第４の制限状態が設定されているかどうかを判定し、状態のいずれかの設定に基づいて、要求又は応答に応答して制限ステップを行う、制限状態アナライザと、を含む、システム。
２．パケット及びストリームルータは、コンポーネント（ｂ）～（ｄ）の前に、（ａ）クラウドベースのパケットレベルのアクセス制御及びトラフィック検査コンポーネントを通して要求又は応答を渡すように構成されている、条項１に記載のシステム。
３．コンポーネント（ａ）～（ｄ）は、要求又は応答処理が進行するにつれて、制限状態メッセージを後続のコンポーネント又は制限状態アナライザに渡すように構成されている、条項１に記載のシステム。
４．コンポーネント（ａ）～（ｄ）は、要求又は応答処理が制限状態アナライザによる処理のために進行するにつれて、制限状態メッセージを共通状態ストアに送信するように構成されている、条項１に記載のシステム。
５．コンポーネント（ａ）～（ｄ）は、要求又は応答処理が制限状態アナライザによる処理のために進行するにつれて、共通フラグストア内に制限状態フラグを設定するように構成されている、条項１に記載のシステム。
６．コンポーネント（ａ）～（ｄ）は、要求又は応答処理が第１のコンポーネントから最後のコンポーネントに進むにつれて、制限状態フラグを保存し、次いで、着信アクセスストリーム処理が最後のコンポーネントから第１のコンポーネントに進むときに制限ステップを行うために、保存された制限状態フラグを用いて制限状態アナライザを呼び出すように構成されている、条項１に記載のシステム。
７．（ａ）パケットレベルのアクセス制御及びトラフィック検査、（ｂ）プロトコルレベルのアクセス制御及びトラフィック検査、（ｃ）脅威検出、並びに（ｄ）アクティビティのコンテキスト化及びコンテンツ検査のために、クラウドベースのコンポーネントを通じてアクセス要求ストリームを動的にルーティングする方法であって、方法は、
（ａ）クラウドベースのパケットレベルのアクセス制御及びトラフィック検査コンポーネントが、着信アクセス要求内又はアクセス要求への応答内のパケットヘッダ、集合的に要求又は応答を、任意の事前処理を伴って、又は伴わずに、形成異常について検査し、要求又は応答を検査可能又は検査不能として分類し、次いで、検査に基づいて、第１の制限状態を設定するか、又は要求又は応答を渡し、
（ｂ）クラウドベースのプロトコルレベルのアクセス制御及びトラフィック検査コンポーネントが、任意の事前処理を伴って、又は伴わずに、悪意のあるシグネチャに対する要求又は応答に対してディープパケット検査を実施し、第２の制限状態を設定し、又は要求若しくは応答を渡し、
（ｃ）クラウドベースの脅威検出が、要求又は応答がＨＴＴＰ／Ｓストリームであるとき、要求又は応答を脅威宛先に向けられているか否かに分類し、次いで、分類に基づいて、第３の制限状態を設定するか、又は要求若しくは応答を渡し、
（ｄ）クラウドベースのアクティビティのコンテキスト化及びコンテンツ検査が、要求又は応答がクラウドベースのアプリケーションへのアクセスを求めるＨＴＴＰ／Ｓストリームであるとき、コンテンツを含むアクティビティを認識及び処理し、アクティビティを、危険を及ぼしているか否かに分類し、次いで、分類に基づいて、第４の制限状態を設定するか、又は要求若しくは応答を渡し、
制限状態アナライザが、第１の、第２の、第３の、又は第４の制限状態が設定されているかどうかを判定し、状態のいずれかの設定に基づいて、要求又は応答に応答して制限ステップを行うことを含む、方法。
８．コンポーネント（ｂ）～（ｄ）の前に、（ａ）クラウドベースのパケットレベルのアクセス制御及びトラフィック検査コンポーネントを通して、着信アクセスストリームを渡すことを更に含む、条項７に記載の方法。
９．コンポーネント（ａ）～（ｄ）は、着信アクセスストリーム処理が進行するにつれて、制限状態メッセージを後続のコンポーネント又は制限状態アナライザに渡すように構成されている、条項７に記載の方法。
１０．コンポーネント（ａ）～（ｄ）は、着信アクセスストリーム処理が進行するにつれて、制限状態アナライザによる処理のために、制限状態メッセージを共通状態ストアに送信するように構成されている、条項７に記載の方法。
１１．コンポーネント（ａ）～（ｄ）は、着信アクセスストリーム処理が進行するにつれて、制限状態アナライザによる処理のために共通フラグストア内に制限状態フラグを設定するように構成されている、条項７に記載の方法。
１２．コンポーネント（ａ）～（ｄ）は、着信アクセスストリーム処理が第１のコンポーネントから最後のコンポーネントに進むときに制限状態フラグを保存し、次いで、着信アクセスストリーム処理が最後のコンポーネントから第１のコンポーネントに進むときに制限ステップを行うために、保存された制限状態フラグを用いて制限状態アナライザを呼び出すように構成されている、条項７に記載の方法。
１３．プロセッサ上で実行されると、プロセッサに、（ａ）パケットレベルのアクセス制御及びトラフィック検査、（ｂ）プロトコルレベルのアクセス制御及びトラフィック検査、（ｃ）脅威検出、並びに（ｄ）アクティビティのコンテキスト化のために、クラウドベースのコンポーネントを通じてアクセス要求ストリームを動的にルーティングする方法を実施させるプログラム命令を含む有形の非一時的コンピュータ可読媒体であって、方法は、
（ａ）クラウドベースのパケットレベルのアクセス制御及びトラフィック検査コンポーネントが、着信アクセス要求内又はアクセス要求への応答内のパケットヘッダ、集合的に要求又は応答を、任意の事前処理を伴って、又は伴わずに、形成異常について検査し、要求又は応答を検査可能又は検査不能として分類し、次いで、検査に基づいて、第１の制限状態を設定するか、又は要求又は応答を渡し、
（ｂ）クラウドベースのプロトコルレベルのアクセス制御及びトラフィック検査コンポーネントが、任意の事前処理を伴って、又は伴わずに、悪意のあるシグネチャに対する要求又は応答に対してディープパケット検査を実施し、第２の制限状態を設定し、又は要求若しくは応答を渡し、
（ｃ）クラウドベースの脅威検出が、要求又は応答がＨＴＴＰ／Ｓストリームであるとき、要求又は応答を脅威宛先に向けられているか否かに分類し、次いで、分類に基づいて、第３の制限状態を設定するか、又は要求若しくは応答を渡し、
（ｄ）クラウドベースのアクティビティのコンテキスト化が、要求又は応答が、クラウドベースのアプリケーションへのアクセスを求めるＨＴＴＰ／Ｓストリームであるとき、コンテンツを含むアクティビティを認識及び処理し、アクティビティを、危険を及ぼしているか否かに分類し、次いで、分類に基づいて、第４の制限状態を設定するか、又は要求若しくは応答を渡し、
制限状態アナライザが、第１の、第２の、第３の、又は第４の制限状態が設定されているかどうかを判定し、状態のいずれかの設定に基づいて、要求又は応答に応答して制限ステップを行うことを含む、有形の非一時的コンピュータ可読媒体。
１４．コンポーネント（ｂ）～（ｄ）の前に、（ａ）クラウドベースのパケットレベルのアクセス制御及びトラフィック検査コンポーネントを通して、着信アクセスストリームを渡すことを更に含む、条項１３に記載の有形の非一時的コンピュータ可読媒体。
１５．コンポーネント（ａ）～（ｄ）は、着信アクセスストリーム処理が進行するにつれて、制限状態メッセージを後続のコンポーネント又は制限状態アナライザに渡すように構成されている、条項１３に記載の有形の非一時的コンピュータ可読媒体。
１６．コンポーネント（ａ）～（ｄ）は、着信アクセスストリーム処理が進行するにつれて、制限状態アナライザによる処理のために、制限状態メッセージを共通状態ストアに送信するように構成されている、条項１３に記載の有形の非一時的コンピュータ可読媒体。
１７．コンポーネント（ａ）～（ｄ）は、着信アクセスストリーム処理が進行するにつれて、制限状態アナライザによる処理のために共通フラグストア内に制限状態フラグを設定するように構成されている、条項１３に記載の有形の非一時的コンピュータ可読媒体。
１８．コンポーネント（ａ）～（ｄ）は、着信アクセスストリーム処理が第１のコンポーネントから最後のコンポーネントに進むときに制限状態フラグを保存し、次いで、着信アクセスストリーム処理が最後のコンポーネントから第１のコンポーネントに進むときに制限ステップを行うために、保存された制限状態フラグを用いて制限状態アナライザを呼び出すように構成されている、条項１３に記載の有形の非一時的コンピュータ可読媒体。

【図1】

【図2】

【図3】

【図4】

【図5】

【図6】

【図7】

【図8】

【図9】

【図10】

【図11】

【図12】

【図13】

【図14】

【国際調査報告】