知財求人 - 知財ポータルサイト「IP Force」
▶ インターナショナル・ビジネス・マシーンズ・コーポレーションの特許一覧
特表2025-501146エッジ・コンピューティングにおける移動クライアント・デバイス
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2025-01-17
(54)【発明の名称】エッジ・コンピューティングにおける移動クライアント・デバイス
(51)【国際特許分類】
G06F 21/57 20130101AFI20250109BHJP
【FI】
G06F21/57
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2024538740
(86)(22)【出願日】2022-12-14
(85)【翻訳文提出日】2024-06-25
(86)【国際出願番号】 EP2022085777
(87)【国際公開番号】W WO2023131484
(87)【国際公開日】2023-07-13
(31)【優先権主張番号】17/568,805
(32)【優先日】2022-01-05
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
(71)【出願人】
【識別番号】390009531
【氏名又は名称】インターナショナル・ビジネス・マシーンズ・コーポレーション
【氏名又は名称原語表記】INTERNATIONAL BUSINESS MACHINES CORPORATION
【住所又は居所原語表記】New Orchard Road, Armonk, New York 10504, United States of America
(74)【代理人】
【識別番号】100112690
【弁理士】
【氏名又は名称】太佐 種一
(74)【代理人】
【識別番号】100120710
【弁理士】
【氏名又は名称】片岡 忠彦
(72)【発明者】
【氏名】カイラリ、スディーシュ
(72)【発明者】
【氏名】ラクシット、サルバジット
(72)【発明者】
【氏名】カラングムバサッカル、ヴィジャイ
(72)【発明者】
【氏名】ナガラトナム、ナタラージュ
(57)【要約】
モバイル・クライアント・デバイスをエッジ・コンピューティング内のある位置から別の位置に動的に移行させるための手法が開示されている。手法は、ニア・エッジおよびファー・エッジの位置を検索することと、1つまたは複数のSCC(セキュリティ・コンプライアンス・センタ)ルールを収集することと、を含む。手法は、1つまたは複数のクライアント・デバイスからのエッジ・アクセスを識別することと、エッジ・アクセスに関連付けられたモビリティ・パターンを判定することと、を含む。手法は、モビリティ・パターンに基づいてエッジ推奨を判定することと、エッジ推奨を適用することと、を含む。
【特許請求の範囲】
【請求項1】
エッジ・コンピューティング・インフラストラクチャにおいて、移動するクライアント・デバイスを動的に移行させるためのコンピュータ実施方法であって、ニア・エッジおよびファー・エッジの位置を検索することと、
1つまたは複数のSCCルールを収集することと、
1つまたは複数のクライアント・デバイスからのエッジ・アクセスを識別することと、
前記エッジ・アクセスに関連付けられたモビリティ・パターンを判定することと、
前記モビリティ・パターンに基づくエッジ推奨と、
前記エッジ推奨を適用することと、を含む、コンピュータ実施方法。
【請求項2】
ニア・エッジおよびファー・エッジの位置を検索することが、前記ニア・エッジおよび前記ファー・エッジならびに1つまたは複数のコレクタに関連付けられた1つまたは複数のマッピング位置を生成することをさらに含む、請求項1に記載のコンピュータ実施方法。
【請求項3】
クライアント・デバイスからのエッジ・アクセスを識別することが、前記1つまたは複数のクライアント・デバイスから前記エッジ・コンピューティング・インフラストラクチャへのアクセスを検出することをさらに含む、請求項1に記載のコンピュータ実施方法。
【請求項4】
前記エッジ・アクセスに関連付けられたモビリティ・パターンを判定することが、第1のコレクタによって、第1の時間間隔に基づいて前記1つまたは複数のクライアント・デバイスの第1の位置を判定することと、
前記第1の位置に関連付けられた前記1つまたは複数のSCCルールを判定することと、
クライアントの履歴分析およびパターンに基づいて、前記1つまたは複数のクライアント・デバイスの第2の位置を予想することと、
前記第2の位置に関連付けられた前記1つまたは複数のSCCルールを判定することと、をさらに含む、請求項1に記載のコンピュータ実施方法。
【請求項5】
前記モビリティ・パターンに基づいて前記エッジ推奨を判定することが、前記1つまたは複数のクライアント・デバイスが前記第2の位置に移動する前に、前記第1のコレクタが、前記1つまたは複数のクライアント・デバイスについて前記1つまたは複数のSCCルールの実行を完了することができるかどうかを判定することをさらに含む、請求項4に記載のコンピュータ実施方法。
【請求項6】
前記エッジ推奨を適用することが、前記第1のコレクタが、前記1つまたは複数のSCCルールの前記実行を完了することができないことに応じて、前記1つまたは複数のSCCルールの前記実行を完了することを前記第2の位置に要求することをさらに含む、請求項5に記載のコンピュータ実施方法。
【請求項7】
前記1つまたは複数のSCCルールが、セキュリティ制御ルールと、エッジ上で稼働するコレクタの追加/削除と、セキュリティ・スキャンと、をさらに含む、請求項1のコンピュータ実施方法。
【請求項8】
前記エッジ推奨が、エッジに送信される新たなセキュリティ・ルールと、非アクティブ化される必要があるルールと、送信される新たなコレクタおよび非アクティブ化されるコレクタと、コレクタおよびルールの転送開始と、クライアント・デバイスが異なるエッジを越えたときにスキャン時間を終了することと、別の位置でのセキュリティ・スキャンを提案することと、セキュリティおよびコンプライアンス・ポスチャがエッジに対して最低限である可能性があることを警告することと、をさらに含む、請求項1に記載のコンピュータ実施方法。
【請求項9】
セキュリティ・エッジ・システムであって、エッジ・コンピューティング・アーキテクチャに関連付けられたクラウド内のSCC(セキュリティ・コンプライアンス・センタ)と、
前記SCCクラウドおよび前記エッジ・コンピューティング・アーキテクチャに関連付けられた1つまたは複数のコレクタと、
前記SCCクラウド内に配置されたセキュリティ・コーディネータであって、前記セキュリティ・コーディネータが、1つまたは複数のセキュリティ・ルールに基づいて前記1つまたは複数のコレクタおよび前記1つまたは複数のクライアント・デバイスを管理するように構成される、前記セキュリティ・コーディネータと、
前記エッジ・コンピューティング・アーキテクチャを利用する1つまたは複数のクライアント・デバイスと、
1つまたは複数のコンピュータ可読記憶媒体と、
前記セキュリティ・コーディネータにより実行するための、前記1つまたは複数のコンピュータ可読記憶媒体上に記憶されたプログラム命令と、を備える、セキュリティ・エッジ・システム。
【請求項10】
前記プログラム命令が、ニア・エッジおよびファー・エッジの位置を検索するプログラム命令と、
1つまたは複数のSCCルールを収集するプログラム命令と、
1つまたは複数のクライアント・デバイスからのエッジ・アクセスを識別するプログラム命令と、
前記エッジ・アクセスに関連付けられたモビリティ・パターンを判定するプログラム命令と、
前記モビリティ・パターンに基づいてエッジ推奨を判定するプログラム命令と、
前記エッジ推奨を適用するプログラム命令と、を含む、請求項9に記載のセキュリティ・エッジ・システム。
【請求項11】
前記1つまたは複数のセキュリティ・ルールが、セキュリティ制御ルールと、エッジ上で稼働するコレクタを追加/削除することと、セキュリティ・スキャンと、さらに含む、請求項9に記載のセキュリティ・エッジ・システム。
【請求項12】
ニア・エッジおよびファー・エッジの位置を検索する前記プログラムが、前記ニア・エッジおよび前記ファー・エッジならびに1つまたは複数のコレクタに関連付けられた1つまたは複数のマッピング位置を生成するプログラム命令をさらに含む、請求項9に記載のセキュリティ・エッジ・システム。
【請求項13】
クライアント・デバイスからのエッジ・アクセスを識別するプログラム命令が、前記1つまたは複数のクライアント・デバイスから前記エッジ・コンピューティング・インフラストラクチャへのアクセスを検出するプログラム命令をさらに含む、請求項9に記載のセキュリティ・エッジ・システム。
【請求項14】
前記エッジ・アクセスに関連付けられたモビリティ・パターンを判定するプログラム命令が、第1の時間間隔に基づいて前記1つまたは複数のクライアント・デバイスの第1の位置を判定するプログラム命令と、
前記第1の位置に関連付けられた前記1つまたは複数のSCCルールを判定するプログラム命令と、
クライアントの履歴分析およびパターンに基づいて、前記1つまたは複数のクライアント・デバイスの第2の位置を予想するプログラム命令と、
前記第2の位置に関連付けられた前記1つまたは複数のSCCルールを判定するプログラム命令と、をさらに含む、請求項9に記載のセキュリティ・エッジ・システム。
【請求項15】
前記モビリティ・パターンに基づいて前記エッジ推奨を判定するプログラム命令が、前記1つまたは複数のクライアント・デバイスが前記第2の位置に移動する前に、前記第1のコレクタが、前記1つまたは複数のクライアント・デバイスについて前記1つまたは複数のSCCルールの実行を完了することができるかどうかを判定するプログラム命令をさらに含む、請求項14に記載のセキュリティ・エッジ・システム。
【請求項16】
前記エッジ推奨を適用するプログラム命令が、前記第1のコレクタが、前記1つまたは複数のSCCルールの前記実行を完了することができないことに応じて、前記1つまたは複数のSCCルールの前記実行を完了することを前記第2の位置に要求するプログラム命令をさらに含む、請求項15に記載のセキュリティ・エッジ・システム。
【請求項17】
エッジ・コンピューティング・インフラストラクチャにおいて、移動するクライアント・デバイスを動的に移行させるためのコンピュータ・プログラム製品であって、ニア・エッジおよびファー・エッジの位置を検索するプログラム命令と、
1つまたは複数のSCCルールを収集するプログラム命令と、
1つまたは複数のクライアント・デバイスからのエッジ・アクセスを識別するプログラム命令と、
前記エッジ・アクセスに関連付けられたモビリティ・パターンを判定するプログラム命令と、
前記モビリティ・パターンに基づいてエッジ推奨を判定するプログラム命令と、
前記エッジ推奨を適用するプログラム命令と、をさらに含む、コンピュータ・プログラム製品。
【請求項18】
前記エッジ・アクセスに関連付けられたモビリティ・パターンを判定するプログラム命令が、第1のコレクタによって、第1の時間間隔に基づいて前記1つまたは複数のクライアント・デバイスの第1の位置を判定するプログラム命令と、
前記第1の位置に関連付けられた前記1つまたは複数のSCCルールを判定するプログラム命令と、
クライアントの履歴分析およびパターンに基づいて、前記1つまたは複数のクライアント・デバイスの第2の位置を予想するプログラム命令と、
前記第2の位置に関連付けられた前記1つまたは複数のSCCルールを判定するプログラム命令と、をさらに含む、請求項17に記載のコンピュータ・プログラム製品。
【請求項19】
前記モビリティ・パターンに基づいて前記エッジ推奨を判定するプログラム命令が、前記1つまたは複数のクライアント・デバイスが前記第2の位置に移動する前に、前記第1のコレクタが、前記1つまたは複数のクライアント・デバイスについて前記1つまたは複数のSCCルールの実行を完了することができるかどうかを判定するプログラム命令をさらに含む、請求項18に記載のコンピュータ・プログラム製品。
【請求項20】
前記エッジ推奨を適用することが、前記第1のコレクタが、前記1つまたは複数のSCCルールの前記実行を完了することができないことに応じて、前記1つまたは複数のSCCルールの前記実行を完了することを前記第2の位置に要求するプログラム命令をさらに含む、請求項19に記載のコンピュータ・プログラム製品。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、一般的には、コンピューティングの分野に関し、より詳細にはエッジ・コンピューティングに関する。
【背景技術】
【0002】
エッジ・コンピューティングの最近のトレンドは、クラウド・コンピューティングおよびモノのインターネット(IoT)をネットワークのエッジまで拡張している。エッジ・コンピューティングは、エンドポイントの数を増やし、それらをユーザであれデバイスであれ、消費者のより近くに位置させることによって、エンド・ユーザのより近くにより多くの計算能力およびリソースを移動する。基本的に、エッジ・コンピューティング・アーキテクチャは、分散システムのための既存の技術および確立されたパラダイムの上に構築され、これは、エッジ・ユース・ケースを構築および配布するための最も有効なアーキテクチャを生成するために利用可能な、多くの十分理解されたコンポーネントがあることを意味する。
【0003】
コレクタは、エッジにインストールされることになる、コンプライアンスおよびセキュリティ・ポスチャ(posture)を収集するエージェントである。
【発明の概要】
【0004】
本発明の態様は、エッジ・コンピューティングにおけるモバイル・クライアント・デバイスを動的に移行させるための、コンピュータ実施方法、コンピュータ・システム、およびコンピュータ・プログラム製品を開示する。コンピュータ実施方法は、1つまたは複数のコンピュータ・プロセッサによって実施されてもよく、ニア・エッジ(near edge)およびファー・エッジ(far edge)の位置を検索することと、クライアント・デバイスからのエッジ・アクセスを識別することと、エッジ・アクセスに関連付けられたモビリティ・パターンを判定することと、SCC(セキュリティ・コンプライアンス・センタ)ルールをエッジ・アクセスに適用することと、を含み得る。
【0005】
本発明の別の態様によれば、コンピュータ・システムが提供される。コンピュータ・システムは、処理ユニットと、処理ユニットに結合され命令を記憶するメモリと、を含む。命令は、処理ユニットによって実行されると、本発明の実施形態による方法の動作を実行する。
【0006】
本発明の別の態様によれば、非一時的な機械可読媒体上に有形的に記憶され、機械実行可能命令を含むコンピュータ・プログラム製品が提供される。命令は、デバイス上で実行されると、デバイスに本発明の実施形態による方法の動作を実行させる。
【0007】
ここで、本発明の好ましい実施形態について、以下の図面を参照しながら単なる例として説明する。
【図面の簡単な説明】
【0008】
【図1】本発明の実施形態による、100と指定されたエッジ環境を示す機能ブロック図である。
【図2A】本発明の実施形態による、ニア・エッジ・コレクタと、クラウドSCCと、静止ファー・エッジ・デバイスと、移動ファー・エッジ・デバイスとの間の接続性を示す機能ブロック図である。
【図2B】本発明の実施形態による、クラウドSCCと、モバイル・エッジ・デバイスと、コレクタとの間のプロセス・フロー/相互作用を示す機能ブロック図である。
【図3】本発明の別の実施形態による、300と指定されたエッジ・コンポーネント111の動作を示す高レベルのフローチャートである。
【図4】本発明の実施形態による、エッジ環境100内でエッジ・コンポーネント111を実行することが可能なサーバ・コンピュータのコンポーネントの、400と指定されたブロック図である。
【発明を実施するための形態】
【0009】
特にクラウド上のエッジ・デバイスを用いたセキュリティおよびコンプライアンスを伴う、エッジ・コンピューティングに関係する現在の技術水準は、いくつかの課題を提示することがある。1つの課題は、例えば、モバイル・ファー・エッジが点1から点2に移動しているシナリオ-点1と点2との間の地理的位置に基づいて、コンプライアンスおよびセキュリティ要件が変化する。したがって、これによって、移動エッジのコンプライアンス要件に対する確実なソリューションを見つけることが困難になる。
【0010】
本発明の実施形態は、エッジ・コンピューティングのためのコンプライアンスおよびセキュリティを提供することに関する現在の技術水準の欠陥を認識し、手法を提供する。一つの手法は、専用コレクタまたはスキャナあるいはその両方を含む。この手法は、移動エッジ・デバイスの位置(例えば、始点から目的地)の収集を可能にし、エッジ・デバイスの位置が変化する間、セキュリティおよびコンプライアンス要件を動的に満たす。例えば、コレクタ/スキャナがあり、それらには、(a)どの目標/ポリシーをスキャンするか、および(b)どのターゲットをスキャンするのかが引き渡される。そして、本開示は、モバイル・エッジの場合にこれをどのようにインテリジェントにハンドリングし得るかについて述べている。
【0011】
本発明のいくつかの実施形態は、クラウド・セキュリティおよびコンプライアンス・センタとのインテリジェント・ハンドシェークによって電力供給されるモバイル・エッジにおけるスマート・コレクタのシステムおよび方法を提供する手法を提供する。
【0012】
本発明のいくつかの実施形態は、SCCマッピングへの位置のためのステップを提供する手法を提供し、そこでは、エッジにおけるセキュリティおよびコンプライアンスにおいて、セキュリティおよびコンプライアンス・ポスチャを収集/スキャンし、これを分析のためにクラウド・サーバに送信し得るコレクタ/エージェントが必要である。この手法によって提供される別のステップは、システムが位置/地域対コンプライアンス&セキュリティ要件の間のマッピングを有する、というものである。このマッピング・コレクタに基づいて(または単に実行するルールもしくはポリシーを変更するだけの場合もある)、各位置が利用可能となり得る。
【0013】
本発明のいくつかの実施形態は、エッジの位置が位置1から位置2に変更されたときに、システムが、SCCマッピングへの位置に基づいて、コレクタまたはルールに変更があるかどうかをチェックする、動的位置ベース・コレクタ(差分&ダウンロード)のためのステップを提供する手法を提供する。
【0014】
本発明のいくつかの実施形態は、場合によっては、新たなルールまたは目標を追加する必要があるステップを提供する。場合によっては、いくつかのルールを非アクティブ化しなければならない。そのような場合、クラウドSCCは、既にエッジで稼働しているコレクタに差分(追加または削除)を送信する。
【0015】
本発明のいくつかの実施形態は、場合によっては、コレクタ・タイプ自体が変化するステップのための手法を提供する。システムは、エッジとハンドシェークし、最新のコレクタをダウンロードし、かつ前のコレクタを非アクティブ化することを可能にする。
【0016】
本発明のいくつかの実施形態は、予測ルート・ベース・コレクタ更新のためのステップを提供する手法を提供し、そこで、システムは、モバイル・エッジのモビリティ・パターンを追跡し続ける。これに基づいて、システムが、エッジが2時間後にSCCマッピングへの位置を越えようとしており、それが相当量のダウンロード(コレクタまたはルール)を必要とすることが分かった場合、システムは、エッジがまだ経路上にいる間にこのデータをエッジに送信し始める。新たなコレクタは、エッジがSCC境界を越えるまでインストールされない。エッジが境界を越えるとすぐに、新たなインストールが発生し、または新たなルールがアクティブ化され、もしくは無効なルールが非アクティブ化される。
【0017】
本発明のいくつかの実施形態は、場合によっては、位置1のSCCルールまたは目標に基づいて収集プロセスが開始している間にエッジ1が輸送中の可能性がある場合の、無関係な収集プロセスのインテリジェントな事前決定のためのステップを開示する手法を提供する。システムが、位置1における以前のスキャン履歴に基づいて、スキャンの完了には通常30分かかり、輸送が15分後に発生することが分かった場合、システムは、結果が利用可能である時間には結果が無関係となるため、収集プロセスを事前に終了することを決定してもよい。
【0018】
本発明のいくつかの実施形態は、場合によっては、位置1が大量のSCC要件を有し得るために、コレクタを稼働するのに必要なリソースが相当量である可能性がある場合の、コンプライアンスおよびセキュリティ・スキャンに必要なリソースに基づくルート調整の推奨のためのステップを開示する手法を提供する。システムは、同じ位置にあったエッジ1、エッジ2に基づいてこれを検出することができる。ここで、エッジ3のモビリティ・パターンに基づいて、エッジ3が位置1に向かって移動していることが分かり、さらに履歴分析システムに基づいて、エッジ3が位置1においてSCCコレクタを稼働するために与える十分なリソースを有しない可能性があることが分かる場合がある。そのような場合、リソース要件を減少させるように、インテリジェントな位置調整アドバイスがエッジに送信され得る。
【0019】
本明細書における「一実施形態」、「実施形態」、「例示的な実施形態」などについての言及は、説明される実施形態が特定の特徴、構造、または特性を含み得ることを示しているが、それぞれの実施形態は、特定の特徴、構造、または特性を必ずしも含まなくてもよい。また、このような語句は、必ずしも同じ実施形態を指しているわけではない。さらに、特定の特徴、構造、または特性が、ある実施形態と関連して説明されるとき、明示的に説明されているか否かにかかわらず、他の実施形態と関連するそのような特徴、構造、または特性に影響を与えることは、当業者の知識の範囲内であると考えられる。
【0020】
図は単に概略的なものであり、一定の縮尺で描かれていないことが理解されるべきである。また、同じまたは類似の部分を示すために、全図を通して同じ参照番号が使用されていることも理解されるべきである。
【0021】
図1は、本発明の実施形態による、100と指定されたエッジ環境を示す機能ブロック図である。図1は、単に一実装形態の例示を提供するものであり、異なる実施形態が実施され得る環境に関していかなる制限も示唆するものではない。特許請求の範囲に記載された本発明の範囲から逸脱することなく、当業者によって、図示された環境に多くの修正が加えられてもよい。
【0022】
エッジ環境100は、ネットワーク101と、クラウドSCC102と、コレクタ103と、クライアント・デバイス104と、を含む。
【0023】
ネットワーク101は、例えば、電気通信ネットワーク、ローカル・エリア・ネットワーク(LAN)、インターネットなどのワイド・エリア・ネットワーク(WAN)、またはその3つの組合せとすることができ、有線接続、無線接続、または光ファイバ接続を含むことができる。ネットワーク101は、音声、データ、およびビデオの情報を含むマルチメディア信号を含むデータ信号、音声信号、またはビデオ信号あるいはその組合せを受信および送信することが可能な1つまたは複数の有線ネットワークまたは無線ネットワークあるいはその両方を含むことができる。一般に、ネットワーク101は、サーバ110と、クラウドSCC102と、コレクタ103と、クライアント・デバイス104と、エッジ環境100内の他のコンピューティング・デバイス(図示せず)との間の通信をサポートすることができる接続およびプロトコルの任意の組合せとすることができる。他のコンピューティング・デバイスは、クライアント・デバイス104、および一連のコンピューティング命令を実行することが可能な任意の電気機械デバイスを含むことができるが、これらに限定されないことに留意されたい。
【0024】
クラウドSCC(セキュリティ・コンプライアンス・センタ)102は、エッジ・コンピューティング・インフラストラクチャに対するエッジ・デバイスの管理(例えば、セキュリティ、コンプライアンスなど)を可能にするシステム(またはサブシステム)である。これは、クラウド内のリソースを含むエッジ・コンピューティング・インフラストラクチャへのエッジ・デバイスのセキュリティ保護された接続を可能にすることを含むことができる。その他の特徴は、(i)セキュリティおよびコンプライアンス・ポスチャの自動化、(ii)構成ガバナンスの有効化、ならびに(iii)脆弱性および脅威の検出、を含み得るが、これらに限定されない。
【0025】
コレクタ103は、エッジにインストールされることになる、コンプライアンスおよびセキュリティ・ポスチャを収集する1つまたは複数のエージェントである。
【0026】
クライアント・デバイス104は、消費者によって日常生活で利用される電子コンピューティング・デバイスである。例えば、スマートフォン、ウェアラブル・スマート・デバイス、スマート車両、IoT(モノのインターネット)デバイス、スマート・センサ、およびタブレット。
【0027】
サーバ110は、スタンドアロン・コンピューティング・デバイス、管理サーバ、ウェブ・サーバ、モバイル・コンピューティング・デバイス、または、データを受信、送信、および処理することが可能な任意の他の電子デバイスもしくはコンピューティング・システムとすることができる。他の実施形態では、サーバ110は、クラウド・コンピューティング環境などにおいて複数のコンピュータをサーバ・システムとして利用するサーバ・コンピューティング・システムを表すことができる。別の実施形態では、サーバ110は、ラップトップ・コンピュータ、タブレット・コンピュータ、ネットブック・コンピュータ、パーソナル・コンピュータ(PC)、デスクトップ・コンピュータ、携帯情報端末(PDA:personal digital assistant)、スマートフォン、またはネットワーク101を介してエッジ環境100内の他のコンピューティング・デバイス(図示せず)と通信することが可能な任意の他のプログラマブル電子デバイスとすることができる。別の実施形態では、サーバ110は、エッジ環境100内でアクセスされたときにシームレスなリソースの単一プールとして作用するクラスタ化されたコンピュータおよびコンポーネント(例えば、データベース・サーバ・コンピュータ、アプリケーション・サーバ・コンピュータなど)を利用するコンピューティング・システムを表す。
【0028】
本発明の実施形態は、サーバ110またはクラウドSCC102上に存在することができる。サーバ110は、エッジ・コンポーネント111およびデータベース116を含む。
【0029】
エッジ・コンポーネント111は、クラウド・セキュリティおよびコンプライアンス・センタとのインテリジェント・ハンドシェークを提供することによって、モバイル・エッジにおいてスマート・コレクタを管理するケイパビリティを提供する。エッジ・コンポーネント111の他のケイパビリティは、(i)コンプライアンスまたはセキュリティあるいはその両方のルールまたは目標の管理(古いルールの非アクティブ化、新たなルールの生成、既存のルールの修正など)、(ii)エッジ・インフラストラクチャへのアクセスを要求する全てのエッジ・デバイスまたはクライアント・デバイスあるいはその両方についての位置の管理、ならびに(iii)ある位置から別の位置へ移動する際のクライアント・デバイスのルート/マッピングの予測、を含むが、これらに限定されない。
【0030】
エッジ・コンポーネント111は、SCCコンポーネント121、エッジ・デバイス122、位置コンポーネント123、およびAIコンポーネント124というサブコンポーネントを含むことができる。
【0031】
SCCコンポーネント121は、エッジ・コンピューティング・インフラストラクチャに対するエッジ・デバイスの管理(例えば、セキュリティ、コンプライアンスなど)のケイパビリティを有する。これは、クラウド内のリソースを含むエッジ・コンピューティング・インフラストラクチャへのエッジ・デバイスのセキュリティ保護された接続を可能にすることを含むことができる。さらに、SCCコンポーネント121は、クラウド内のSCC(セキュリティ・コンプライアンス・センタ)にインターフェースするケイパビリティを提供する。
【0032】
エッジ・デバイス122は、エッジ・コンピューティング・インフラストラクチャ内の全てのエッジ・デバイスを追跡するケイパビリティ、およびエッジ・コンピューティング・リソースを利用する全てのクライアント・デバイス(即ち、クライアント・デバイス104)を追跡するケイパビリティを提供する。
【0033】
位置コンポーネント123は、エッジ・コンピューティング・インフラストラクチャ内のある位置から別の位置へ移動する際に、クライアント・デバイスの位置を追跡するケイパビリティを提供する。
【0034】
位置コンポーネント123の1つの特徴は、「SCC(クラウド内のセキュリティおよびコンプライアンス・センタ)マッピングへの位置」を含む。これは、(i)エッジにおけるセキュリティおよびコンプライアンスでは、セキュリティおよびコンプライアンス・ポスチャを収集/スキャンし、これを分析のためにクラウド・サーバに送信し得るコレクタ/エージェントが必要である、(ii)システムが、位置/地域対コンプライアンス&セキュリティ要件の間のマッピングを有する、という特性を含む。このマッピング・コレクタに基づいて(または単に実行するルールもしくはポリシーを変更するだけの場合もある)、各位置が利用可能となり得る。
【0035】
位置コンポーネント123の1つの特徴は、「動的位置ベース・コレクタ(差分&ダウンロード)」を含む。これは、(i)エッジの位置が位置1から位置2に変更されると、システムはSCCマッピングへの位置に基づいて、コレクタまたはルールに変更があるかどうかをチェックする、(ii)場合によっては、新たなルールまたは目標を追加する必要がある、という特性を含む。場合によっては、いくつかのルールを非アクティブ化しなければならない。このような場合、クラウドSCCは、既にエッジで稼働しているコレクタに差分(追加または削除)を送信し、(iii)場合によっては、コレクタ・タイプ自体が変化する。システムは、エッジとハンドシェークし、最新のコレクタをダウンロードし、かつ前のコレクタを非アクティブ化することを可能にする。
【0036】
AIコンポーネント124は、クライアント・デバイスからの異なるシナリオ/要件に基づいて、セキュリティおよびコンプライアンス・ルールを管理および適用するケイパビリティを提供する。AIコンポーネント124の1つの特徴は、予測/予想すること、「予測ルート・ベース・コレクタ更新」を含む。この特徴は、(i)システムが、モバイル・エッジのモビリティ・パターンを追跡し続ける、という特性を含む。これに基づいて、システムが、エッジが2時間後にSCCマッピングへの位置を越えようとしており、それが相当量のダウンロード(コレクタまたはルール)を必要とすることが分かった場合、システムは、エッジがまだ経路上にいる間にこのデータをエッジに送信し始める。新たなコレクタは、エッジがSCC境界を越えるまでインストールされない。エッジが境界を越えるとすぐに、新たなインストールが発生し、または新たなルールがアクティブ化され、もしくは無効なルールが非アクティブ化される。
【0037】
AIコンポーネント124は、収集プロセスを事前決定すること、「無関係な収集プロセスのインテリジェントな事前決定」を含む。この特徴は、(i)場合によっては、位置1のSCCルールまたは目標に基づいて収集プロセスが開始している間にエッジ1が輸送中の可能性がある、という特性を含む。システムが、位置1における以前のスキャン履歴に基づいて、スキャンの完了には通常30分かかり、輸送が15分後に発生することが分かった場合、システムは、結果が利用可能である時間には結果が無関係となるため、収集プロセスを事前に終了することを決定してもよい。
【0038】
AIコンポーネント124は、ルート調整、「コンプライアンスおよびセキュリティ・スキャンに必要なリソースに基づくルート調整の推奨」を含む。この特徴は、(i)場合によっては、位置1が大量のSCC要件を有し得るために、コレクタを稼働するのに必要なリソースが相当量である可能性があるという特性を含む。システムは、同じ位置にあったエッジ1、エッジ2に基づいてこれを検出することができる。ここで、エッジ3のモビリティ・パターンに基づいて、エッジ3が位置1に向かって移動していることが分かり、さらに履歴分析システムに基づいて、エッジ3が位置1においてSCCコレクタを稼働するために与える十分なリソースを有しない可能性があることが分かる場合がある。そのような場合、リソース要件を減少させるように、インテリジェントな位置調整アドバイスがエッジに送信され得る。
【0039】
データベース116は、エッジ・コンポーネント111によって使用されるデータ用のリポジトリである。データベース116は、データベース・サーバ、ハード・ディスク・ドライブ、またはフラッシュ・メモリなどのサーバ110によってアクセスおよび利用され得るデータおよび構成ファイルを記憶することが可能な任意のタイプの記憶デバイスを用いて実装され得る。データベース116は、当技術分野で知られている複数の技法のうちの1つまたは複数を使用して複数の情報を格納する。図示された実施形態では、データベース116はサーバ110上に存在する。別の実施形態では、エッジ・コンポーネント111がデータベース116にアクセスできることを条件として、データベース116は、エッジ環境100内の他の場所に存在してもよい。データベース116は、ナレッジ・コーパス、患者の医療履歴、IoTデバイス、スマート・ベッド・プロファイルおよび設定、患者のモデリング、患者の活動、ならびにホーム・オートメーション・ルーチンに関連付けられた情報を記憶し得るが、これらに限定されない。
【0040】
図2Aは、本発明の実施形態による、ニア・エッジ・コレクタと、クラウドSCCと、静止ファー・エッジ・デバイスと、移動ファー・エッジ・デバイスとの間の接続性を示す機能ブロック図である。
【0041】
図2Bは、本発明の実施形態による、クラウドSCCと、モバイル・エッジ・デバイスと、コレクタとの間のプロセス・フロー/相互作用を示す機能ブロック図である。
【0042】
図3は、本発明の実施形態による、300と指定されたエッジ・コンポーネント111の動作を示す高レベルのフローチャートである。
【0043】
エッジ・コンポーネント111は、位置を検索する(ステップ302)。実施形態では、エッジ・コンポーネント111は、位置コンポーネント123を通して、ニア・エッジおよびファー・エッジの位置を検索する。エッジ・コンポーネント111は、動作可能なデバイスの状態、負荷、エッジ・コンピューティング・インフラストラクチャ内の全てのリソースの容量を含む、エッジ・コンピューティング・インフラストラクチャ内の全てのエッジ・コンポーネント/デバイスを認識している。
【0044】
さらに、エッジ・コンポーネント111は、分析のために様々な位置についてのセキュリティ・ルールを収集する(ステップ304)。したがって、エッジ・コンポーネント111は、位置/地域対コンプライアンス&セキュリティ要件間のマッピングを有することになる。このマッピング・コレクタに基づいて(または単に実行するルールもしくはポリシーを変更するだけの場合もある)、クライアント・デバイスが位置間を移動するときはいつも、各位置が利用可能となり得る。
【0045】
例として、ユーザ・ケース・シナリオが、ハイレベルなステップを示すために使用される。クライアント・デバイス1は、ユーザ1に属するスマートフォンである。ユーザ1は、フロリダ州マイアミからカリフォルニア州ロサンゼルスに向かっている。クライアント・デバイス1は、ユーザの企業(即ち、ある会議のために準備する機密記録)に関連するアプリケーションにログインしている。エッジ・コンピューティング・インフラストラクチャ内には複数のコレクタがある。
【0046】
エッジ・コンポーネント111は、エッジ・アクセスを識別する(ステップ306)。実施形態では、エッジ・コンポーネント111は、SCCコンポーネント121、エッジ・デバイス122、および位置コンポーネント123を通して、クライアント・デバイスからのエッジ・アクセスを識別する。前のユーザ・ケース・シナリオを続けると、エッジ・コンポーネント111は、クライアント・デバイス1がフロリダ州マイアミのリソースにアクセスしていることを検出する。
【0047】
エッジ・コンポーネント111は、モビリティ・パターンを判定する(ステップ308)。実施形態では、エッジ・コンポーネント111は、AIコンポーネント124を通して、エッジ・アクセスに関連付けられたモビリティ・パターンを判定する。エッジ・コンポーネント111は、クライアント・デバイスがある位置から別の位置に移動する際に、クライアント・デバイスが必要とする「ルート」およびリソース(例えば、必要なソフトウェア、データ/ネットワーク・アクセスなど)を予測/予想しようとし得る。
【0048】
さらに、モビリティ・パターンに基づいて、エッジ・コンポーネント111は、位置の間に(例えば、マイアミからロサンゼルスへ)影響がある位置ベース・ルールがあるかどうかについてチェックすることができる。エッジの位置が、位置1から位置2に変更されたとき、システムは、SCCマッピングへの位置に基づいて、コレクタまたはルールに変更があるかどうかをチェックする。場合によっては、新たなルールまたは目標を追加する必要がある。場合によっては、いくつかのルールを非アクティブ化しなければならない。そのような場合、クラウドSCCは、既にエッジで稼働しているコレクタに差分(追加または削除)を送信する。
【0049】
前のユーザ・ケース・シナリオを続けると、エッジ・コンポーネント111は、ユーザ1の移動パターンに基づいて予想してもよく、ユーザ1が会議のためにロサンゼルスの本社に行く途中であることを予測してもよい。したがって、エッジ・コンポーネント111は、クライアント・デバイス1が移動中に利用し得る可能性のあるリソースを予測してもよい。
【0050】
エッジ・コンポーネント111は、エッジ推奨を判定する(ステップ310)。実施形態では、エッジ・コンポーネント111は、AIコンポーネント124を通して、モビリティ・パターンに関連付けられたSCCルールに基づいてエッジ推奨を判定する。一般的に、エッジ・コンポーネント111は、検出に基づいて、大量のSCC要件がある(即ち、コレクタを稼働するのに必要なリソースが相当量である可能性がある)と判定してもよい。エッジ・コンポーネント111は、同じ位置にあったエッジ1、エッジ2に基づいてこれを検出することができる。ここで、エッジ3のモビリティ・パターンに基づいて、エッジ3が位置1に向かって移動していることが分かり、さらに履歴分析に基づいて、システムは、エッジ3が位置1においてSCCコレクタを稼働するために与える十分なリソースを有しない可能性があることが分かる場合がある。そのような場合、インテリジェントな位置調整は、1つまたは複数のエッジ推奨を提案する。エッジ推奨の1つは、リソース要件を減少させるために追加のリソースをエッジに送信することを含むことができる。
【0051】
他の実施形態では、エッジ・コンポーネント111は、クライアント・デバイスが第2の位置に移動する前に第1のコレクタが1つまたは複数のSCCルールの実行を完了することができるかどうかに基づいて、エッジ推奨を提案してもよい。
【0052】
エッジ・コンポーネント111は、エッジ推奨を適用する(ステップ312)。実施形態では、エッジ・コンポーネント111は、AIコンポーネント124およびSCCコンポーネント121を通して、エッジ・アクセスに対して1つまたは複数のエッジ推奨を実行する。システム管理者は、多くの推奨から適用する1つのソリューションを選択してもよい。AIコンポーネント124は、ユーザ対話なしでソリューションを選択および適用してもよいことに留意されたい。
【0053】
前のユーザ・ケース・シナリオを続けると、エッジ・コンポーネント111は、ユーザ1が2時間後にSCCマッピングへの位置を越えようとしており、それが相当量のダウンロード(コレクタまたはルール)を必要とすることを決定してもよく、その後、エッジ・コンポーネント111は、まだ経路上にいる間にこのデータを他のエッジに送信し始める。新たなコレクタは、エッジがSCC境界を越えるまでインストールされない。エッジが境界を越えるとすぐに、新たなインストールが発生し、または新たなルールがアクティブ化され、もしくは無効なルールが非アクティブ化される。したがって、(途中で企業の機密データにアクセスすることによってプレゼンテーションに取り組みつつ、)ユーザが会議のためにロサンゼルスに到着すると、ユーザにはシームレスな移行/透過的になる。
【0054】
400と指定された図4は、本発明の例示的な実施形態による、エッジ・コンポーネント111のアプリケーションのコンポーネントのブロック図を示す。図4は、単に一実装形態の例示を提供するものであり、異なる実施形態が実装され得る環境に関していかなる制限も示唆するものではないことが理解されるべきである。図示された環境に対して多くの修正が加えられてもよい。
【0055】
図4は、プロセッサ401、キャッシュ403、メモリ402、永続ストレージ405、通信ユニット407、入力/出力(入出力)インターフェース406、および通信ファブリック404を含む。通信ファブリック404は、キャッシュ403と、メモリ402と、永続ストレージ405と、通信ユニット407と、入力/出力(入出力)インターフェース406との間の通信を提供する。通信ファブリック404は、プロセッサ(マイクロプロセッサ、通信およびネットワーク・プロセッサなど)と、システム・メモリと、周辺デバイスと、システム内の任意の他のハードウェア・コンポーネントとの間でデータまたは制御情報あるいはその両方を受け渡すように設計された任意のアーキテクチャを用いて実装され得る。例えば、通信ファブリック404は、1つもしくは複数のバスまたはクロスバー・スイッチを用いて実装され得る。
【0056】
メモリ402および永続ストレージ405は、コンピュータ可読記憶媒体である。この実施形態では、メモリ402は、ランダム・アクセス・メモリ(RAM)を含む。一般に、メモリ402は、任意の好適な揮発性または不揮発性のコンピュータ可読記憶媒体を含むことができる。キャッシュ403は、メモリ402から最近アクセスされたデータおよび最近アクセスされたデータに近いデータを保持することによってプロセッサ401の性能を向上させる高速メモリである。
【0057】
本発明の実施形態を実践するために使用されるプログラム命令およびデータ(例えば、ソフトウェアおよびデータx10)は、キャッシュ403を介したそれぞれのプロセッサ401のうちの1つまたは複数による実行のために、永続ストレージ405およびメモリ402に記憶されてもよい。実施形態では、永続ストレージ405は磁気ハード・ディスク・ドライブを含む。磁気ハード・ディスク・ドライブの代替として、または磁気ハード・ディスク・ドライブに加えて、永続ストレージ405は、ソリッド・ステート・ハード・ドライブ、半導体記憶デバイス、読み取り専用メモリ(ROM)、消去可能プログラマブル読み取り専用メモリ(EPROM)、フラッシュ・メモリ、またはプログラム命令もしくはデジタル情報を記憶することが可能な任意の他のコンピュータ可読記憶媒体を含むことができる。
【0058】
永続ストレージ405によって使用される媒体はまた、取り外し可能であってもよい。例えば、取り外し可能なハード・ドライブが永続ストレージ405に使用されてもよい。他の例には、光ディスクおよび磁気ディスク、サム・ドライブ、ならびに永続ストレージ405の一部でもある別のコンピュータ可読記憶媒体に転送するためにドライブに挿入されるスマート・カードが含まれる。エッジ・コンポーネント111は、キャッシュ403を介したそれぞれのプロセッサ401のうちの1つまたは複数によるアクセスまたは実行あるいはその両方のために、永続ストレージ405に記憶され得る。
【0059】
通信ユニット407は、これらの例では、他のデータ処理システムまたはデバイスとの通信を提供する。これらの例では、通信ユニット407は、1つまたは複数のネットワーク・インターフェース・カードを含む。通信ユニット407は、物理通信リンクと無線通信リンクのいずれかまたは両方を使用することによって通信を提供してもよい。本発明の実施形態を実践するために使用されるプログラム命令およびデータ(例えば、エッジ・コンポーネント111)は、通信ユニット407を介して永続ストレージ405にダウンロードされてもよい。
【0060】
入出力インターフェース406は、各コンピュータ・システムに接続され得る他のデバイスとのデータの入力および出力を可能にする。例えば、入出力インターフェース406は、キーボード、キーパッド、タッチスクリーン、または何らかの他の好適な入力デバイスあるいはその組合せなどの外部デバイス408への接続を提供してもよい。外部デバイス408は、例えば、サム・ドライブ、ポータブル光ディスクまたは磁気ディスク、およびメモリ・カードなどのポータブル・コンピュータ可読記憶媒体を含むこともできる。本発明の実施形態を実践するために使用されるプログラム命令およびデータ(例えば、エッジ・コンポーネント111)は、そのようなポータブル・コンピュータ可読記憶媒体に記憶され、入出力インターフェース406を介して永続ストレージ405にロードされ得る。入出力インターフェース406は、ディスプレイ409にも接続する。
【0061】
ディスプレイ409は、ユーザにデータを表示するためのメカニズムを提供し、例えば、コンピュータ・モニタであってもよい。
【0062】
本明細書に記載のプログラムは、本発明の特定の実施形態においてそのプログラムが実装される目的となるアプリケーションに基づいて識別される。しかしながら、本明細書における特定のプログラムの命名法は単に便宜上使用されており、したがって、本発明が、そのような命名法によって識別される、または暗示される、あるいはその両方である特定のアプリケーションでの使用のみに限定されるべきではないことを理解されたい。
【0063】
本発明は、任意の可能な技術的詳細レベルで統合されたシステム、方法、またはコンピュータ・プログラム製品あるいはその組合せであってもよい。コンピュータ・プログラム製品は、プロセッサに本発明の態様を実施させるためのコンピュータ可読プログラム命令を有するコンピュータ可読記憶媒体(または複数のコンピュータ可読記憶媒体)を含んでもよい。
【0064】
コンピュータ可読記憶媒体は、命令実行デバイスが使用するための命令を保持および記憶することができる有形デバイスとすることができる。コンピュータ可読記憶媒体は、例えば、電子記憶装置、磁気記憶装置、光学記憶装置、電磁気記憶装置、半導体記憶装置、またはこれらの任意の適切な組合せとすることができるが、これらに限定されるものではない。コンピュータ可読記憶媒体のより具体的な例の非網羅的な列挙としては、以下が挙げられる:ポータブル・コンピュータ・ディスケット、ハード・ディスク、ランダム・アクセス・メモリ(RAM)、読み取り専用メモリ(ROM)、消去可能プログラマブル読み取り専用メモリ(EPROMまたはフラッシュ・メモリ)、スタティック・ランダム・アクセス・メモリ(SRAM)、ポータブル・コンパクト・ディスク読み取り専用メモリ(CD-ROM)、デジタル・バーサタイル・ディスク(DVD)、メモリ・スティック、フロッピ・ディスク、命令が記録されたパンチカードまたは溝に刻まれた構造などの機械的にエンコードされたデバイス、および前述のあらゆる好適な組合せ。本明細書において使用される場合、コンピュータ可読記憶媒体は、電波もしくは他の自由に伝搬する電磁波、導波路もしくは他の伝送媒体を介して伝搬する電磁波(例えば、光ファイバ・ケーブルを通過する光パルス)、または電線を介して伝送される電気的信号など、一過性の信号そのものであると解釈されてはならない。
【0065】
本明細書に記載のコンピュータ可読プログラム命令は、コンピュータ可読記憶媒体からそれぞれのコンピューティング/処理デバイスに、または、ネットワーク、例えばインターネット、ローカル・エリア・ネットワーク、ワイド・エリア・ネットワーク、または無線ネットワークあるいはその組合せを介して外部コンピュータまたは外部記憶デバイスにダウンロードされ得る。ネットワークは、銅伝送ケーブル、光伝送ファイバ、無線伝送、ルータ、ファイアウォール、スイッチ、ゲートウェイ・コンピュータ、またはエッジ・サーバあるいはその組合せを含んでもよい。各コンピューティング/処理デバイスにおけるネットワーク・アダプタ・カードまたはネットワーク・インターフェースは、ネットワークからコンピュータ可読プログラム命令を受信し、そのコンピュータ可読プログラム命令を、それぞれのコンピューティング/処理デバイス内のコンピュータ可読記憶媒体に記憶するために転送する。
【0066】
本発明の動作を実行するためのコンピュータ可読プログラム命令は、アセンブラ命令、インストラクション・セット・アーキテクチャ(ISA)命令、機械命令、機械依存命令、マイクロコード、ファームウェア命令、状態設定データ、集積回路用の構成データ、または、Smalltalk(R)、C++などのオブジェクト指向プログラミング言語および「C」プログラミング言語もしくは同様のプログラミング言語などの手続き型プログラミング言語を含む1つまたは複数のプログラミング言語の任意の組合せで記述されたソース・コードもしくはオブジェクト・コードのいずれかであってもよい。コンピュータ可読プログラム命令は、スタンドアロン・ソフトウェア・パッケージとして全体がユーザのコンピュータ上で、一部がユーザのコンピュータ上で、一部がユーザのコンピュータ上かつ一部がリモート・コンピュータ上で、または全体がリモート・コンピュータ上もしくはサーバ上で実行されてもよい。後者のシナリオでは、リモート・コンピュータは、ローカル・エリア・ネットワーク(LAN)もしくはワイド・エリア・ネットワーク(WAN)を含む任意のタイプのネットワークを介してユーザのコンピュータに接続することができ、または接続は(例えば、インターネット・サービス・プロバイダを使用してインターネットを介して)外部のコンピュータに対してなされてもよい。いくつかの実施形態において、例えば、プログラマブル論理回路、フィールド・プログラマブル・ゲート・アレイ(FPGA)、またはプログラマブル論理アレイ(PLA)を含む電子回路は、本発明の態様を実行するために、コンピュータ可読プログラム命令の状態情報を利用することによって、コンピュータ可読プログラム命令を実行して電子回路を個別化することができる。
【0067】
本発明の態様は、本明細書では、本発明の実施形態による方法、装置(システム)、およびコンピュータ・プログラム製品のフローチャートまたはブロック図あるいはその両方を参照しながら説明される。フローチャートまたはブロック図あるいはその両方の各ブロック、およびフローチャートまたはブロック図あるいはその両方におけるブロックの組合せがコンピュータ可読プログラム命令によって実施され得ることが理解されよう。
【0068】
これらのコンピュータ可読プログラム命令は、コンピュータまたは他のプログラマブル・データ処理装置のプロセッサを介して実行される命令が、フローチャートまたはブロック図あるいはその両方の1つまたは複数のブロックで指定された機能/作用を実施するための手段を作り出すように、汎用コンピュータ、専用コンピュータ、または他のプログラマブル・データ処理装置のプロセッサに提供されて、マシンを作り出すものであってもよい。これらのコンピュータ可読プログラム命令はまた、命令が記憶されたコンピュータ可読記憶媒体が、フローチャートまたはブロック図あるいはその両方の1つまたは複数のブロックで指定された機能/作用の態様を実施する命令を含む製造品を含むように、コンピュータ可読媒体に記憶され、コンピュータ、プログラマブル・データ処理装置、または他のデバイスあるいはその組合せに対して特定の方式で機能するように指示できるものであってもよい。
【0069】
コンピュータ可読プログラム命令はまた、コンピュータ、他のプログラマブル装置、または他のデバイスで実行する命令が、フローチャートまたはブロック図あるいはその両方の1つまたは複数のブロックに指定される機能/動作を実装するように、コンピュータ実装処理を作るべく、コンピュータ、他のプログラマブル・データ処理装置、または他のデバイス上にロードされ、コンピュータ、他のプログラマブル装置、または他のデバイス上で一連の動作可能なステップを実行させるものであってもよい。
【0070】
図面中のフローチャートおよびブロック図は、本発明の様々な実施形態に従って、システム、方法、およびコンピュータ・プログラム製品の可能な実装形態の、アーキテクチャ、機能性、および動作を図示している。この点において、フローチャートまたはブロック図のそれぞれのブロックは、指定される論理機能を実装するための1つまたは複数の実行可能な命令を含む、命令のモジュール、セグメント、または部分を表現することができる。いくつかの代替実装形態では、ブロックに記載された機能は、図に記載された順序とは異なる順序で行われてもよい。例えば、関与する機能性に応じて、連続して示されている2つのブロックが実際には実質的に同時に実行されてもよく、またはそれらのブロックが場合によっては逆の順序で実行されてもよい。ブロック図またはフローチャートあるいはその両方の各ブロック、およびブロック図またはフローチャートあるいはその両方におけるブロックの組合せは、指定された機能または作用を実行するか、あるいは専用ハードウェアとコンピュータ命令との組合せを遂行する専用ハードウェア・ベースのシステムによって実装され得ることにも留意されたい。
【0071】
本発明の様々な実施形態の説明を例示の目的で提示してきたが、この説明は、網羅的であることも、開示された実施形態に限定されることも意図していない。当業者には、本発明の範囲および思想から逸脱することなく多くの修正形態および変形形態が明らかであろう。本明細書で使用される用語は、実施形態の原理、実際の適用例、もしくは市場で見られる技術を超える技術的な改良を最もよく説明するように、または本明細書で開示された実施形態を当業者が理解することが可能になるように選択されたものである。
【0072】
添付の特許請求の範囲内の全てのミーンズ・プラス・ファンクション要素またはステップ・プラス・ファンクション要素の対応する構造、材料、作用、および均等物は、具体的に特許請求される他の請求要素と組み合わせて機能を実行するための任意の構造、材料、または作用を含むことを意図している。本発明の説明は、例示および説明を目的として提示されたものであるが、網羅的であること、または開示された形態の本発明に限定されることを意図したものではない。当業者には、本発明の範囲および思想から逸脱することなく、多くの修正形態および変形形態が明らかであろう。実施形態は、本発明の原理および実際の適用例を最も良好に説明するとともに、企図される特定の用途に適するように様々な修正を加えた様々な実施形態について当業者が本発明を理解することを可能にするために、選択および説明されたものである。
【0073】
最後に、提案された概念は、以下の節で簡潔に要約されてもよい。
1.システムは、従来のクラウド中心のエッジ・コンピューティング・アーキテクチャを拡張することによって実装されてもよい。
2.システムは、エッジ・ゲートウェイ・ネットワーク・ケイパビリティに基づいて、ファー・エッジおよびニア・エッジを識別し続ける。
1.到達可能性
2.利用可能性
3.アップロードおよびダウンロード・ケイパビリティ
4.ローカリティ
5.モビリティ
3.各ゲートウェイまたはエッジ・コンピューティング環境は、分類(ファーまたはニア)を有する。これは変化する場合がある。クラウド・サービスは、これらのパラメータを追跡し続ける。
4.各エッジは、クラウド・ベースESCC(エッジ・セキュリティおよびコンプライアンス・センタ)に加わることができる。
5.集中型ESCCでは、管理者は、セキュリティ制御ルール(例えば、動的スキャン・ルールおよびスキャン・タイプ)ならびにコンプライアンス目標を選択することができる。
6.クラウド・サービスは、ファー・エッジのモビリティ・パターンを識別し続ける。
7.システムは、SCCの位置ならびに必要なコレクタおよびセキュリティ・ルールおよびスキャンのマッピングも有する。
8.モバイル・エッジの場合、システムは、SCCの位置が変化することがある地理的位置(MAPポイント)のマッピングを有する。
9.モバイル・エッジSCCの位置が入れ替わった場合、システムは、クラウドSCCとモバイル・エッジとの間でハンドシェークを開始する。
10.クラウドSCCは、差分を計算する。
1.エッジに送信される新たなセキュリティ・ルール
2.非アクティブ化が必要なルール
3.送信される新たなコレクタ
4.非アクティブ化されるコレクタ
11.このリストに基づいて、クラウドSCCは、コレクタおよびルールの転送を開始する。
12.SCCは、ターゲット・システムにインストールされ得るエージェントまたはコレクタから詳細を受信するエンタープライズ・クラウド管理システムのためのセキュリティおよびコンプライアンス・センタである。
13.SCCは、無効なルールおよびコレクタの非アクティブ化も開始する。
14.モビリティ・パターンに基づいて、システムは、(ステップ10で説明された)リストを事前に予測することができる。
15.そのような場合、クラウドSCCは、これらを事前にエッジに送信する。
16.アクティブ化および非アクティブ化は、実際に位置を越えるときにのみ始まる。
17.場合によっては、位置を通る輸送時間は、スキャンおよび収集時間全体と比較して少なくなる。
18.このような場合、SCCは、一旦境界を越えると結果が無関係になるため、スキャンを事前に終了する。
19.クラウドSCCは、スキャンおよび収集プロセスを実行するために必要なリソースを追跡し続ける。
20.これは、全てのエッジ・リソース使用率などの履歴分析を通して行われ得る。
21.クラウドSCCが、収集およびセキュリティ・スキャンが、実際にエッジが提供し得るよりも多くのリソースを必要とする位置に到達しようとしているエッジを発見した場合、システムは、ルートまたはモビリティ・パターンを変更することをエッジに提案してもよい。
22.エッジが要求を受け入れることができない場合、エッジSCCの結果は包括的でない場合があり、ゆえに実際のセキュリティおよびコンプライアンス・ポスチャの可視化は最小限である可能性があるため、クラウドSCCは、エッジの管理者に警告を送信してもよい。
23.そのような場合、管理者は、そのようなコンプライアンスの疑わしい位置で費やす必要がある時間を減少させてもよい。
24.方法は、SCCマッピングへの位置を有するステップを含み、そこで、エッジにおけるセキュリティおよびコンプライアンスにおいて、セキュリティおよびコンプライアンス・ポスチャを収集/スキャンし、これを分析のためにクラウド・サーバに送信し得るコレクタ/エージェントが必要である。
25.方法は、システムが位置/地域対コンプライアンス&セキュリティ要件のマッピングを有するステップを含む。このマッピング・コレクタに基づいて(または単に実行するルールもしくはポリシーを変更するだけの場合もある)、各位置が利用可能となり得る。
26.方法は、動的位置ベース・コレクタ(差分&ダウンロード)のためのステップを含み、そこで、エッジの位置が位置1から位置2に変更されたときに、システムは、SCCマッピングへの位置に基づいて、コレクタまたはルールの変更があるかどうかをチェックする。
27.方法は、場合によっては、新たなルールまたは目標を追加する必要があるステップを含む。場合によっては、いくつかのルールを非アクティブ化しなければならない。そのような場合、クラウドSCCは、既にエッジで稼働しているコレクタに差分(追加または削除)を送信する。
28.方法は、場合によっては、コレクタ・タイプ自体が変化するステップを含む。システムは、エッジとハンドシェークし、最新のコレクタをダウンロードし、かつ前のコレクタを非アクティブ化することを可能にする。
29.方法は、予測ルート・ベース・コレクタ更新のためのステップを含み、システムは、モバイル・エッジのモビリティ・パターンを追跡し続ける。これに基づいて、システムが、エッジが2時間後にSCCマッピングへの位置を越えようとしており、それが相当量のダウンロード(コレクタまたはルール)を必要とすることが分かった場合、システムは、エッジがまだ経路上にいる間にこのデータをエッジに送信し始める。新たなコレクタは、エッジがSCC境界を越えるまでインストールされない。エッジが境界を越えるとすぐに、新たなインストールが発生し、または新たなルールがアクティブ化され、もしくは無効なルールが非アクティブ化される。
30.方法は、場合によっては、位置1のSCCルールまたは目標に基づいて収集プロセスが開始している間にエッジ1が輸送中の可能性がある場合の、無関係な収集プロセスのインテリジェントな事前決定のためのステップを含む。システムが、位置1における以前のスキャン履歴に基づいて、スキャンの完了には通常30分かかり、輸送が15分後に発生することが分かった場合、システムは、結果が利用可能である時間には結果が無関係となるため、収集プロセスを事前に終了することを決定してもよい。
31.方法は、場合によっては、位置1が大量のSCC要件を有し得るために、コレクタを稼働するのに必要なリソースが相当量である可能性がある場合の、コンプライアンスおよびセキュリティ・スキャンに必要なリソースに基づくルート調整の推奨のためのステップを含む。システムは、同じ位置にあったエッジ1、エッジ2に基づいてこれを検出することができる。ここでエッジ3のモビリティ・パターンに基づいて、エッジ3が位置1に向かって移動していることが分かり、さらに履歴分析システムに基づいて、エッジ3が十分有しない可能性があることが分かる場合がある。
32.高レベルのプロセス・フローの他の実施形態は、システムが、エッジ・ゲートウェイ・ネットワーク・ケイパビリティ、a)到達可能性、b)利用可能性、c)アップロードおよびダウンロード・ケイパビリティ、d)ローカリティ、ならびにe)モビリティに基づいて、ファー・エッジおよびニア・エッジを識別し続ける、ステップを含んでもよい。
1.システムは、従来のクラウド中心のエッジ・コンピューティング・アーキテクチャを拡張することによって実装されてもよい。
2.システムは、エッジ・ゲートウェイ・ネットワーク・ケイパビリティに基づいて、ファー・エッジおよびニア・エッジを識別し続ける。
1.到達可能性
2.利用可能性
3.アップロードおよびダウンロード・ケイパビリティ
4.ローカリティ
5.モビリティ
3.各ゲートウェイまたはエッジ・コンピューティング環境は、分類(ファーまたはニア)を有する。これは変化する場合がある。クラウド・サービスは、これらのパラメータを追跡し続ける。
4.各エッジは、クラウド・ベースESCC(エッジ・セキュリティおよびコンプライアンス・センタ)に加わることができる。
5.集中型ESCCでは、管理者は、セキュリティ制御ルール(例えば、動的スキャン・ルールおよびスキャン・タイプ)ならびにコンプライアンス目標を選択することができる。
6.クラウド・サービスは、ファー・エッジのモビリティ・パターンを識別し続ける。
7.システムは、SCCの位置ならびに必要なコレクタおよびセキュリティ・ルールおよびスキャンのマッピングも有する。
8.モバイル・エッジの場合、システムは、SCCの位置が変化することがある地理的位置(MAPポイント)のマッピングを有する。
9.モバイル・エッジSCCの位置が入れ替わった場合、システムは、クラウドSCCとモバイル・エッジとの間でハンドシェークを開始する。
10.クラウドSCCは、差分を計算する。
1.エッジに送信される新たなセキュリティ・ルール
2.非アクティブ化が必要なルール
3.送信される新たなコレクタ
4.非アクティブ化されるコレクタ
11.このリストに基づいて、クラウドSCCは、コレクタおよびルールの転送を開始する。
12.SCCは、ターゲット・システムにインストールされ得るエージェントまたはコレクタから詳細を受信するエンタープライズ・クラウド管理システムのためのセキュリティおよびコンプライアンス・センタである。
13.SCCは、無効なルールおよびコレクタの非アクティブ化も開始する。
14.モビリティ・パターンに基づいて、システムは、(ステップ10で説明された)リストを事前に予測することができる。
15.そのような場合、クラウドSCCは、これらを事前にエッジに送信する。
16.アクティブ化および非アクティブ化は、実際に位置を越えるときにのみ始まる。
17.場合によっては、位置を通る輸送時間は、スキャンおよび収集時間全体と比較して少なくなる。
18.このような場合、SCCは、一旦境界を越えると結果が無関係になるため、スキャンを事前に終了する。
19.クラウドSCCは、スキャンおよび収集プロセスを実行するために必要なリソースを追跡し続ける。
20.これは、全てのエッジ・リソース使用率などの履歴分析を通して行われ得る。
21.クラウドSCCが、収集およびセキュリティ・スキャンが、実際にエッジが提供し得るよりも多くのリソースを必要とする位置に到達しようとしているエッジを発見した場合、システムは、ルートまたはモビリティ・パターンを変更することをエッジに提案してもよい。
22.エッジが要求を受け入れることができない場合、エッジSCCの結果は包括的でない場合があり、ゆえに実際のセキュリティおよびコンプライアンス・ポスチャの可視化は最小限である可能性があるため、クラウドSCCは、エッジの管理者に警告を送信してもよい。
23.そのような場合、管理者は、そのようなコンプライアンスの疑わしい位置で費やす必要がある時間を減少させてもよい。
24.方法は、SCCマッピングへの位置を有するステップを含み、そこで、エッジにおけるセキュリティおよびコンプライアンスにおいて、セキュリティおよびコンプライアンス・ポスチャを収集/スキャンし、これを分析のためにクラウド・サーバに送信し得るコレクタ/エージェントが必要である。
25.方法は、システムが位置/地域対コンプライアンス&セキュリティ要件のマッピングを有するステップを含む。このマッピング・コレクタに基づいて(または単に実行するルールもしくはポリシーを変更するだけの場合もある)、各位置が利用可能となり得る。
26.方法は、動的位置ベース・コレクタ(差分&ダウンロード)のためのステップを含み、そこで、エッジの位置が位置1から位置2に変更されたときに、システムは、SCCマッピングへの位置に基づいて、コレクタまたはルールの変更があるかどうかをチェックする。
27.方法は、場合によっては、新たなルールまたは目標を追加する必要があるステップを含む。場合によっては、いくつかのルールを非アクティブ化しなければならない。そのような場合、クラウドSCCは、既にエッジで稼働しているコレクタに差分(追加または削除)を送信する。
28.方法は、場合によっては、コレクタ・タイプ自体が変化するステップを含む。システムは、エッジとハンドシェークし、最新のコレクタをダウンロードし、かつ前のコレクタを非アクティブ化することを可能にする。
29.方法は、予測ルート・ベース・コレクタ更新のためのステップを含み、システムは、モバイル・エッジのモビリティ・パターンを追跡し続ける。これに基づいて、システムが、エッジが2時間後にSCCマッピングへの位置を越えようとしており、それが相当量のダウンロード(コレクタまたはルール)を必要とすることが分かった場合、システムは、エッジがまだ経路上にいる間にこのデータをエッジに送信し始める。新たなコレクタは、エッジがSCC境界を越えるまでインストールされない。エッジが境界を越えるとすぐに、新たなインストールが発生し、または新たなルールがアクティブ化され、もしくは無効なルールが非アクティブ化される。
30.方法は、場合によっては、位置1のSCCルールまたは目標に基づいて収集プロセスが開始している間にエッジ1が輸送中の可能性がある場合の、無関係な収集プロセスのインテリジェントな事前決定のためのステップを含む。システムが、位置1における以前のスキャン履歴に基づいて、スキャンの完了には通常30分かかり、輸送が15分後に発生することが分かった場合、システムは、結果が利用可能である時間には結果が無関係となるため、収集プロセスを事前に終了することを決定してもよい。
31.方法は、場合によっては、位置1が大量のSCC要件を有し得るために、コレクタを稼働するのに必要なリソースが相当量である可能性がある場合の、コンプライアンスおよびセキュリティ・スキャンに必要なリソースに基づくルート調整の推奨のためのステップを含む。システムは、同じ位置にあったエッジ1、エッジ2に基づいてこれを検出することができる。ここでエッジ3のモビリティ・パターンに基づいて、エッジ3が位置1に向かって移動していることが分かり、さらに履歴分析システムに基づいて、エッジ3が十分有しない可能性があることが分かる場合がある。
32.高レベルのプロセス・フローの他の実施形態は、システムが、エッジ・ゲートウェイ・ネットワーク・ケイパビリティ、a)到達可能性、b)利用可能性、c)アップロードおよびダウンロード・ケイパビリティ、d)ローカリティ、ならびにe)モビリティに基づいて、ファー・エッジおよびニア・エッジを識別し続ける、ステップを含んでもよい。
【図1】
【図2A】
【図2B】
【図3】
【図4】
【手続補正書】
【提出日】2024-12-24
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
エッジ・コンピューティング・インフラストラクチャにおいて、移動するクライアント・デバイスを動的に移行させるためのコンピュータ実施方法であって、コンピュータに、
ニア・エッジおよびファー・エッジの位置を検索することと、
1つまたは複数のSCCルールを収集することと、
1つまたは複数のクライアント・デバイスからのエッジ・アクセスを識別することと、
前記エッジ・アクセスに関連付けられたモビリティ・パターンを判定することと、
前記モビリティ・パターンに基づいてエッジ推奨を判定することと、
前記エッジ推奨を適用することと、を実行させる、コンピュータ実施方法。
【請求項2】
ニア・エッジおよびファー・エッジの位置を検索することが、前記ニア・エッジおよび前記ファー・エッジならびに1つまたは複数のコレクタに関連付けられた1つまたは複数のマッピング位置を生成することをさらに含む、請求項1に記載のコンピュータ実施方法。
【請求項3】
クライアント・デバイスからのエッジ・アクセスを識別することが、前記1つまたは複数のクライアント・デバイスから前記エッジ・コンピューティング・インフラストラクチャへのアクセスを検出することをさらに含む、請求項1に記載のコンピュータ実施方法。
【請求項4】
前記エッジ・アクセスに関連付けられたモビリティ・パターンを判定することが、第1のコレクタによって、第1の時間間隔に基づいて前記1つまたは複数のクライアント・デバイスの第1の位置を判定することと、
前記第1の位置に関連付けられた前記1つまたは複数のSCCルールを判定することと、
クライアントの履歴分析およびパターンに基づいて、前記1つまたは複数のクライアント・デバイスの第2の位置を予想することと、
前記第2の位置に関連付けられた前記1つまたは複数のSCCルールを判定することと、をさらに含む、請求項1に記載のコンピュータ実施方法。
【請求項5】
前記モビリティ・パターンに基づいて前記エッジ推奨を判定することが、前記1つまたは複数のクライアント・デバイスが前記第2の位置に移動する前に、前記第1のコレクタが、前記1つまたは複数のクライアント・デバイスについて前記1つまたは複数のSCCルールの実行を完了することができるかどうかを判定することをさらに含む、請求項4に記載のコンピュータ実施方法。
【請求項6】
前記エッジ推奨を適用することが、前記第1のコレクタが、前記1つまたは複数のSCCルールの前記実行を完了することができないことに応じて、前記1つまたは複数のSCCルールの前記実行を完了することを前記第2の位置に要求することをさらに含む、請求項5に記載のコンピュータ実施方法。
【請求項7】
前記1つまたは複数のSCCルールが、セキュリティ制御ルールと、エッジ上で稼働するコレクタの追加/削除と、セキュリティ・スキャンと、をさらに含む、請求項1のコンピュータ実施方法。
【請求項8】
前記エッジ推奨が、エッジに送信される新たなセキュリティ・ルールと、非アクティブ化される必要があるルールと、送信される新たなコレクタおよび非アクティブ化されるコレクタと、コレクタおよびルールの転送開始と、クライアント・デバイスが異なるエッジを越えたときにスキャン時間を終了することと、別の位置でのセキュリティ・スキャンを提案することと、セキュリティおよびコンプライアンス・ポスチャがエッジに対して最低限である可能性があることを警告することと、をさらに含む、請求項1に記載のコンピュータ実施方法。
【請求項9】
セキュリティ・エッジ・システムであって、エッジ・コンピューティング・インフラストラクチャに関連付けられたクラウド内のSCC(セキュリティ・コンプライアンス・センタ)と、
前記SCCおよび前記エッジ・コンピューティング・インフラストラクチャに関連付けられた1つまたは複数のコレクタと、
前記SCC内に配置されたセキュリティ・コーディネータであって、前記セキュリティ・コーディネータが、1つまたは複数のSCCルールに基づいて前記1つまたは複数のコレクタおよび1つまたは複数のクライアント・デバイスを管理するように構成される、前記セキュリティ・コーディネータと、
前記エッジ・コンピューティング・インフラストラクチャを利用する1つまたは複数のクライアント・デバイスと、
1つまたは複数のコンピュータ可読記憶媒体と、
前記セキュリティ・コーディネータにより実行するための、前記1つまたは複数のコンピュータ可読記憶媒体上に記憶されたプログラム命令と、を備える、セキュリティ・エッジ・システム。
【請求項10】
前記プログラム命令が、ニア・エッジおよびファー・エッジの位置を検索するプログラム命令と、
1つまたは複数のSCCルールを収集するプログラム命令と、
1つまたは複数のクライアント・デバイスからのエッジ・アクセスを識別するプログラム命令と、
前記エッジ・アクセスに関連付けられたモビリティ・パターンを判定するプログラム命令と、
前記モビリティ・パターンに基づいてエッジ推奨を判定するプログラム命令と、
前記エッジ推奨を適用するプログラム命令と、を含む、請求項9に記載のセキュリティ・エッジ・システム。
【請求項11】
前記1つまたは複数のSCCルールが、セキュリティ制御ルールと、エッジ上で稼働するコレクタを追加/削除することと、セキュリティ・スキャンと、さらに含む、請求項9に記載のセキュリティ・エッジ・システム。
【請求項12】
ニア・エッジおよびファー・エッジの位置を検索する前記プログラムが、前記ニア・エッジおよび前記ファー・エッジならびに1つまたは複数のコレクタに関連付けられた1つまたは複数のマッピング位置を生成するプログラム命令をさらに含む、請求項10に記載のセキュリティ・エッジ・システム。
【請求項13】
クライアント・デバイスからのエッジ・アクセスを識別するプログラム命令が、前記1つまたは複数のクライアント・デバイスから前記エッジ・コンピューティング・インフラストラクチャへのアクセスを検出するプログラム命令をさらに含む、請求項10に記載のセキュリティ・エッジ・システム。
【請求項14】
前記エッジ・アクセスに関連付けられたモビリティ・パターンを判定するプログラム命令が、第1の時間間隔に基づいて前記1つまたは複数のクライアント・デバイスの第1の位置を判定するプログラム命令と、
前記第1の位置に関連付けられた前記1つまたは複数のSCCルールを判定するプログラム命令と、
クライアントの履歴分析およびパターンに基づいて、前記1つまたは複数のクライアント・デバイスの第2の位置を予想するプログラム命令と、
前記第2の位置に関連付けられた前記1つまたは複数のSCCルールを判定するプログラム命令と、をさらに含む、請求項10に記載のセキュリティ・エッジ・システム。
【請求項15】
前記モビリティ・パターンに基づいて前記エッジ推奨を判定するプログラム命令が、前記1つまたは複数のクライアント・デバイスが前記第2の位置に移動する前に、前記第1のコレクタが、前記1つまたは複数のクライアント・デバイスについて前記1つまたは複数のSCCルールの実行を完了することができるかどうかを判定するプログラム命令をさらに含む、請求項14に記載のセキュリティ・エッジ・システム。
【請求項16】
前記エッジ推奨を適用するプログラム命令が、前記第1のコレクタが、前記1つまたは複数のSCCルールの前記実行を完了することができないことに応じて、前記1つまたは複数のSCCルールの前記実行を完了することを前記第2の位置に要求するプログラム命令をさらに含む、請求項15に記載のセキュリティ・エッジ・システム。
【請求項17】
エッジ・コンピューティング・インフラストラクチャにおいて、移動するクライアント・デバイスを動的に移行させるためのコンピュータ・プログラムであって、コンピュータに、請求項1ないし請求項8のいずれかに記載の方法を実行させるコンピュータ・プログラム。
【国際調査報告】