| 【発明の名称】 |
データセンター、セキュリティポリシー作成方法及びセキュリティシステム |
| 【発明者】 |
【氏名】佐藤 英明
|
| 【要約】 |
【課題】セキュリティポリシーの作成を的確に行い、その作成に要する時間を短縮し、ユーザシステムとデータセンター間のセキュリティポリシーを容易に合致させ、且つ、不正アクセスを阻止することを目的とする。
【解決手段】ユーザは、センターにアクセスして、ユーザの業種等を考慮して適する雛形を選択する(S101)。センターは、雛形と参考資料をユーザの端末からプリントアウトする(S102)。ユーザは、プリントした雛形を修正し(S103)。雛形の修正部分のデータを入力する(S104)。センターは、入力されたデータに基づいて、セキュリティポリシーを生成し、ユーザの端末でプリントアウトする(S105)。ユーザは、このセキュリティポリシーを確認又は一部修正して確定する(S106)。センターは、確定されたセキュリティポリシーをシステムに反映する(S107)。 |
【特許請求の範囲】
【請求項1】 ユーザのデータを管理し、セキュリティポリシーの作成を支援するセキュリティポリシー作成支援装置を有するデータセンターであって、前記セキュリティポリシー作成支援装置は、複数の雛形のセキュリティポリシーが格納されているデータベースを有し、ユーザは、前記データベースに格納されている雛形のセキュリティポリシーを修正することにより、ユーザのセキュリティポリシーを作成し、作成されたセキュリティポリシーに基づいて、当該ユーザに係るデータセンターのシステムが変更されることを特徴とするデータセンター。
【請求項2】 請求項1記載のデータセンターにおいて、電子認証装置を設け、データセンターへのアクセスの度に、電子認証を行うことにより、不正アクセスを阻止することを特徴とするデータセンター。
【請求項3】 ユーザのデータを管理するデータセンターは、複数の雛形のセキュリティポリシーを前記ユーザに提供するステップと、前記ユーザは、雛形から、自己に見合ったセキュリティポリシーを選択するステップと、前記データセンターは、雛形に対応した参考資料を、前記ユーザに提供するステップと、前記ユーザは、前記雛形のセキュリティポリシーを修正することにより、自己のセキュリティポリシーを作成して、前記データセンターに通知するステップとを有することを特徴とするセキュリティポリシー作成方法。
【請求項4】 請求項3記載のセキュリティポリシー作成方法により作成されたセキュリティポリシーに基づいて、当該ユーザに係るデータセンターのシステム又は/及び当該ユーザのユーザシステムのセキュリティに係るパラメータが変更されることを特徴とするセキュリティシステム。
【請求項5】 ユーザシステムのセキュリティと、ユーザのデータを管理するデータセンターのセキュリティとを管理するセキュリティシステムであって、ユーザシステムとデータセンターのユーザデータとを、同一管理端末で管理することを特徴とするセキュリティシステム。
|
【発明の詳細な説明】【0001】
【発明の属する技術分野】本発明は、データセンター、セキュリティポリシー作成方法及びセキュリティシステムに係り、特に、ユーザのデータ等を集中的に管理するデータセンター、セキュリティポリシー作成方法及びセキュリティシステムに関する。
【0002】
【従来の技術】近来、ユーザは、インターネットサーバのためのコンピュータを購入し、これを自社内で、管理するのではなく、外部のハウジングサービスを行うデータセンターに委託して管理することが行われている。
【0003】図5に従来のハウジングサービスを行うデータセンターの例を示す。
【0004】図5は、ユーザシステム201〜20N、データセンター10から構成されている。ユーザシステム201〜20Nは、ファイアウォール211〜21N及び専用線131〜12Nを介して、データセンター10と接続されている。
【0005】データセンター10は、ユーザのインターネットサーバ111〜11Nと、インタフェース部12から構成されている。
【0006】インターネットサーバ111〜11Nのコンテンツ、コンピュータ等は、ユーザの所有物で、インターネットサーバの運用をユーザ自身若しくはデータセンター10が委託されて行っている。なお、データセンターに運用を委託するものとして、インターネットサーバ運用に限らず、データセンターに委託可能なものであれば、これに限られない。また、サーバとなるコンピュータをデータセンターの所有物としてもよい。
【0007】インタフェース部12は、ユーザシステム201〜20Nとデータセンター10とのインタフェースを取る。これにより、ユーザシステム201〜20Nは、データセンターのインターネットサーバ111〜11Nを、自社内のシステムと同じように利用することができる。
【0008】これにより、ユーザは、インターネットサーバを自社内で維持・管理する場合の人的、設備的負担を軽減することができる。また、データセンターでは、専門家が24時間監視しており、自社で維持・管理するより、万全を期することができる。このように、ユーザは、インターネットサーバを自社内で維持・管理する場合に比較して、より易いコストで実施できる。
【0009】
【発明が解決しようとする課題】しかしながら、従来のものは、インタフェース部で、複数のユーザのインターネットサーバへのアクセスをまとめて管理している。
【0010】そのため、データセンターへのアクセスは、ID及びパスワードでアクセスを管理しているものの、一のユーザシステムから他のユーザのインターネットサーバに侵入することが、完全に阻止できなかった。
【0011】また、外部から一のユーザシステムに侵入し、そのユーザシステムの者に成りすましてデータセンターにアクセスすることが完全に防止できなかった。
【0012】また、データセンターの管理者、ユーザシステムの管理者への内外からの成りすましを完全に阻止できなかった。
【0013】このように、従来のデータセンターでは、不正アクセスに関する問題があった。
【0014】また、セキュリティポリシーは、類似例等をベースに検討して作成する必要があり、この類似例の収集及び検討に使用する参考事例の収集に多くの時間を要するという問題がある。また、類似例及び参考事例が的確に収集できないと、的確なセキュリティポリシーが作成できないという問題がある。
【0015】更に、セキュリティポリシーが作成されても、システムがユーザシステムとデータセンターとに分かれて設置されている場合、そのセキュリティポリシーがユーザシステムとデータセンターとで異なる場合が生じる。ユーザシステムとデータセンターとで、セキュリティポリシーが異なると、使用勝手が良くないばかりか、場合によっては、セキュリティホールがこのために発生するという問題がある。
【0016】本発明は、上記セキュリティ上の問題に鑑みなされたものであり、セキュリティポリシーの作成を的確に行い、その作成に要する時間を短縮し、ユーザシステムとデータセンター間のセキュリティポリシーを容易に合致させ、且つ、不正アクセスを阻止することを目的とするものである。
【0017】
【課題を解決するための手段】上記課題を解決するために、本件発明は、以下の特徴を有する手段を採用している。
【0018】請求項1に記載された発明は、ユーザのデータを管理し、セキュリティポリシーの作成を支援するセキュリティポリシー作成支援装置を有するデータセンターであって、前記セキュリティポリシー作成支援装置は、複数の雛形のセキュリティポリシーが格納されているデータベースを有し、ユーザは、前記データベースに格納されている雛形のセキュリティポリシーを修正することにより、ユーザのセキュリティポリシーを作成し、作成されたセキュリティポリシーに基づいて、当該ユーザに係るデータセンターのシステムが変更されることを特徴とする。
【0019】請求項1記載の発明によれば、セキュリティポリシー作成支援装置は、複数の雛形のセキュリティポリシーが格納されているデータベースを有し、ユーザは、このデータベースに格納されている雛形のセキュリティポリシーを修正することにより、ユーザのセキュリティポリシーを作成し、作成されたセキュリティポリシーに基づいて、当該ユーザに係るデータセンターのシステムが変更されることにより、セキュリティポリシーの作成を的確に行い、その作成に要する時間を短縮し、ユーザシステムとデータセンター間のセキュリティポリシーを容易に合致させ、且つ、不正アクセスを阻止することができる。
【0020】請求項2に記載された発明は、請求項1記載のデータセンターにおいて、電子認証装置を設け、データセンターへのアクセスの度に、電子認証を行うことにより、不正アクセスを阻止することを特徴とする。
【0021】請求項2記載の発明によれば、データセンターへのアクセスの度に、電子認証を行うことにより、不正アクセスを阻止することができる。このように、電子認証を行い各アクセスに対してログをとっていれば、個人別にデータセンターでの処理内容をログの分析により把握することができる。その結果、不正常な処理がおこなわれていれば、その個人にヒヤリング等を行い、不正常な処理を無くすことができる。
【0022】また、必要に応じて、その個人のアクセスを禁止することもできる。
【0023】請求項3に記載された発明は、ユーザのデータを管理するデータセンターは、複数の雛形のセキュリティポリシーを前記ユーザに提供するステップと、前記ユーザは、雛形から、自己に見合ったセキュリティポリシーを選択するステップと、前記データセンターは、雛形に対応した参考資料を、前記ユーザに提供するステップと、前記ユーザは、前記雛形のセキュリティポリシーを修正することにより、自己のセキュリティポリシーを作成して、前記データセンターに通知するステップとを有することを特徴とするセキュリティポリシー作成方法である。
【0024】請求項3記載の発明によれば、ユーザのデータを管理するデータセンターは、複数の雛形のセキュリティポリシーを前記ユーザに提供するステップと、ユーザは、雛形から、自己に見合ったセキュリティポリシーを選択するステップと、データセンターは、雛形に対応した参考資料を、ユーザに提供するステップと、前記ユーザは、雛形のセキュリティポリシーを修正することにより、自己のセキュリティポリシーを作成して、データセンターに通知するステップとを有することにより、ユーザは、システムから提供された的確な類似例と検討に必要な的確な参考事例を十分に参考にして、セキュリティポリシーの検討をおこなうことができるので、セキュリティポリシーの作成を的確に行い、その作成に要する時間を短縮し、ユーザシステムとデータセンター間のセキュリティポリシーを容易に合致させ、且つ、不正アクセスを阻止することができる。
【0025】請求項4に記載された発明は、請求項3記載のセキュリティポリシー作成方法により作成されたセキュリティポリシーに基づいて、当該ユーザに係るデータセンターのシステム又は/及び当該ユーザのユーザシステムのセキュリティに係るパラメータが変更されることを特徴とするセキュリティシステムである。
【0026】請求項4記載の発明によれば、セキュリティポリシー作成方法により作成されたセキュリティポリシーに基づいて、当該ユーザに係るデータセンターのシステム又は/及び当該ユーザのユーザシステムのセキュリティに係るパラメータが変更されることにより、データセンターとユーザシステムとは、作成されたセキュリティポリシーに合致したシステムとなる。また、作成されたセキュリティポリシーに基づいて、当該ユーザに係るデータセンターのシステム及び当該ユーザのユーザシステムのセキュリティに係るパラメータが変更さるので、ユーザシステムとデータセンターのユーザデータとでセキュリティに係る処理が一致し、セキュリティホールが発生しない。
【0027】また、ユーザシステムとデータセンターのユーザデータとでセキュリティに係る処理が一致することから、ユーザシステムとデータセンターのユーザデータの一元管理が容易に且つ的確に行うことが可能となる。
【0028】請求項5に記載された発明は、ユーザシステムのセキュリティと、ユーザのデータを管理するデータセンターのセキュリティとを一括管理するセキュリティシステムであって、ユーザシステムとデータセンターのユーザデータとを、同一管理端末で管理することを特徴とするセキュリティシステムである。
【0029】請求項5記載の発明によれば、ユーザシステムとデータセンターのユーザデータとを、同一管理端末で管理することにより、ユーザシステムとデータセンターのユーザデータを一元管理が容易になる。
【0030】
【発明の実施の形態】次に、本発明の実施の形態について図面と共に説明する。
【0031】図1に本発明のシステム構成図の例を示す。図1のシステムは、ユーザシステム201〜20N、データセンター100から構成されている。ユーザシステム201〜20Nは、ファイアウォール211〜21N及び専用線131〜12Nを介して、データセンター100と接続されている。
【0032】なお、ユーザシステム201〜20Nとデータセンター100とは、専用線でなく、インターネットで接続されていてもよい。また、各ユーザシステム201〜20Nとデータセンター100とは、IP−VPN(Internet Protocol −Virtual Private Network)を構成してもよい。
【0033】データセンター100は、ユーザのインターネットサーバ111〜11N、ファイアウォール1011〜1012、ルータ1021〜1022、認証サーバ103、管理・制御装置104、LAN(Local Area Network)105、セキュリティポリシー作成支援装置106及びデータベース107から構成されている。
【0034】ユーザのインターネットサーバ111〜11Nは、ユーザのインターネットサーバであり、維持・運用をデータセンターで行っている。なお、ユーザのインターネットサーバ111〜11Nは、データセンターがユーザに代わって、維持・運用するものであれば、インターネットサーバに限定されない。
【0035】ファイアウォール1011〜1012は、データセンター100への不正なアクセスを阻止するために設けられる論理的な壁である。パケットフィルタリング方式、アプリケーションゲートウエイ方式等が利用される。
【0036】例えば、プロトコルに合致しない不正パケットを廃棄したり、通過させてはいけないパケットを廃棄したりする。
【0037】また、侵入検出装置を有し、不正な侵入があればアラームを鳴らすようにしてもよい。
【0038】ルータ1021〜1022は、パケットヘッダの宛先アドレスを参照して、中継を判断する。
【0039】認証サーバ103は、本人であるか否かを認証するサーバである。本人認証のための手段として、指紋、虹彩、声紋等の生物学的な本人の特徴を用いる方法、磁気カード、ICカード等の本人の持ち物による方法、本人のみが記憶している情報による方法等があるが、最適なものが利用される。ログインに続く、入力された本人を特定する情報に基づいて、認証サーバ103がアクセスしている者が本人か否かを判定する。
【0040】管理・制御装置104は、データセンター及びユーザシステムと含むシステム全体を制御する装置である。データセンターにおける各アクセスに対して、必要に応じてログをとり、アクセスした者、アクセス開始時刻、アクセス終了時刻等を記録してもよい。また、改竄などの不正が起こった場合、当該アクセスに対して、サービスを停止してもよい。なお、ユーザシステムとデータセンターのユーザデータとを、同一管理端末で管理することから、ユーザシステムとデータセンターのユーザデータを一元管理することが容易となる。
【0041】また、管理・制御装置104は、ユーザシステムとデータセンターとを管理する。管理・制御装置104は、管理機能と制御機能を有し、管理機能と制御機能を別々の装置で行うようにしてもよい。このとき、管理装置は、データセンター100外に設けてもよい。ユーザシステムとデータセンターとを管理する。管理・制御装置104が存在しても、ユーザシステム内に、ユーザシステムを管理する制御装置を有していてもよい。なお、この場合、二つの制御装置が存在するので、システムの制御が混乱しないようにする必要がある。
【0042】LAN105は、データセンターのネットワークである。ネットワークは二重化構成になっている。また、ルータとファイアウォールも二重化されており、負荷分散も行う。
【0043】セキュリティポリシー作成支援装置106は、ユーザに適した雛形のセキュリティポリシーをユーザに示す。ユーザは、雛形のセキュリティポリシーを修正して、ユーザシステムに適したセキュリティポリシーを作成する。
【0044】セキュリティポリシー作成支援装置106によって、セキュリティポリシーが作成された場合、セキュリティポリシーの項目の内、具体的にシステムに反映すべき事項は、管理・制御装置104によって、自動的にシステムの変更(セキュリティに係るパラメータの変更)が成される。このとき、ユーザシステムの変更も同時に変更するようにしてもよい。
【0045】データベース107は、雛形のセキュリティポリシー、セキュリティポリシーを作成するとき参考とする情報、作成されたセキュリティポリシー等が格納されている。
【0046】図2にユーザシステムの端末から、データセンターにアクセスするフローを説明する。
【0047】データセンターにアクセスする(S11)。データセンターからログイン画面が提供されるので、ID及びパスワードを入力してログインする(S12)。ついで、本人認証画面が提供されるので、本人認証のデータを入力する。認証サーバ103が、本人認証を行う(S13)。認証サーバ103は、本人認証のための手段として、生物学的な本人の特徴を用いる方法、ICカード等の本人の持ち物による方法、本人のみが記憶している情報による方法等があるが、最適なものを利用する。
【0048】本人認証がOKであれば、データセンターを利用することができる(S14)。
【0049】データセンターの利用が終了すれば、ログアウト処理を行う(S15)。なお、データセンターの管理・制御装置は、各アクセス毎に、ログインとログアウトの時間を記録してもよい。
【0050】図3は、セキュリティポリシー作成支援装置の構成例を示す。
【0051】図3のセキュリティポリシー作成支援装置は、雛形抽出部110、参考資料抽出部111、データ入力部112、雛形化部113、セキュリティポリシー生成部114、システム変更通知部115及び制御装置116から構成されている。
【0052】雛形抽出部110は、セキュリティポリシーを作成するユーザに適した雛形を抽出して提供する。業種、システムの規模、システム構成等に対応した、複数の雛形のセキュリティポリシーが、データベース107に格納されており、ユーザが、自己の業種、システムの規模、システム構成等を入力すると、ユーザに適した雛形のセキュリティポリシーを提供する。
【0053】参考資料抽出部111は、雛形抽出部110で抽出された雛形のセキュリティポリシーに係る参考資料を抽出して提供する。つまり、ユーザが、雛形を修正して、自己のセキュリティポリシーを作成するに際して、参考すべき資料を提供する。
【0054】データ入力部112は、ユーザが雛形を修正して、セキュリティポリシーを生成したとき、雛形を修正した部分のデータを入力する。データ入力は、セキュリティポリシーの項目毎に入力する。各項目には、雛形の内容がデフォルトで設定されており、それを確認又は修正する形で入力する。なお、一部又は全部を雛形のセキュリティポリシー自体を直接修正する形でデータを入力してもよい。
【0055】雛形化部113は、作成されたセキュリティポリシーを他のユーザの参考とされるように雛形とする。業種、システムの規模、システム構成等で分類し、企業名が判明しないようにして、雛形としデータベース107に格納する。
【0056】セキュリティポリシー生成部114は、データ入力部112で入力されたデータに基づいて、セキュリティポリシーを生成する。
【0057】システム変更通知部115は、作成されたセキュリティポリシーに対応して、システムのセキュリティに係るパラメータを変更するように、管理・制御装置104に通知する。
【0058】制御装置116は、中央処理装置、セキュリティポリシーの生成に係るアプリケーションを含み、セキュリティポリシー作成支援装置の機能が果たされるように、セキュリティポリシー作成支援装置全体を制御する。
【0059】図4にセキュリティポリシー作成支援装置を用いてセキュリティポリシーを作成するフローの例を示す。
【0060】ユーザは、データセンターにアクセスして、セキュリティポリシー作成支援装置を起動して、以下の処理を行う。
【0061】ユーザは、雛形の選択を行う。雛形の選択は、ユーザの業種、システムの規模、システム構成等を入力すると、ユーザに適したセキュリティポリシーの雛形とその特徴が表示されるので、その中から適する雛形を選択する(S101)。
【0062】するとデータセンターは、選択された雛形と参考資料を、ユーザシステムの端末に、一覧表示する。ユーザが確認すれば、雛形と参考資料をプリントアウトする(S102)。なお、一部の資料は、プリントアウトしないようすることができる。
【0063】ユーザは、参考資料を参考にして、プリントした雛形を修正して、自己のセキュリティポリシーを作成する(S103)。このセキュリティポリシーの作成は、オフラインで行われる。
【0064】セキュリティポリシーが作成されると、ユーザシステムの端末から、修正データを入力する。データ入力は、セキュリティポリシーの項目毎に入力する。各項目には、雛形の内容が設定され、それを確認又は修正する形で入力する。
【0065】入力されたデータに基づいて、セキュリティポリシーが生成され、ユーザシステムの端末から、プリントアウトされる(S105)。
【0066】ユーザは、プリントされたセキュリティポリシーを確認又は一部修正して、セキュリティポリシーを確定する(S106)。
【0067】データセンターでは、確定されたセキュリティポリシーに基づいて、当該ユーザに係るデータセンターのシステムのパラメータを変更する(S107)。
【0068】また、同時に、ユーザシステムのパラメータも変更する。
【0069】なお、ユーザのシステムの端末を用いて、セキュリティポリシー作成支援装置を用いてセキュリティポリシーを作成する例を示したが、端末は、ユーザのシステムの端末を用いる必要はない。
【0070】また、ユーザシステムは、データセンターのインターネットサーバを自社内のシステムと同じように利用することができると説明したが、外部から、ユーザシステムインターネットサーバを利用できるようにしてもよい。
【0071】
【発明の効果】上述の如く本発明によれば、次に述べる種々の効果を奏することができる。
【0072】セキュリティポリシーの作成に要する時間を短縮し、ユーザシステムとデータセンター間のセキュリティポリシーを容易に合致させ、且つ、不正アクセスを阻止することができる。
【0073】また、セキュリティポリシーを雛形のセキュリティポリシー(セミカスタマイズされたセキュリティポリシー)を基に、作成することができるので、簡便に且つ、そのユーザに適したセキュリティポリシーを作成することができる。
【0074】また、作成されたセキュリティポリシーに基づいて、当該ユーザに係るデータセンターのシステム及び当該ユーザのユーザシステムのセキュリティに係るパラメータが変更さるので、ユーザシステムとデータセンターのユーザデータとでセキュリティに係る信号処理が一致し、セキュリティホールが発生しない。
【0075】また、ユーザシステムとデータセンターのユーザデータとを、同一管理端末で管理することから、ユーザシステムとデータセンターのユーザデータを一元管理することが可能となる。
【0076】これに伴い、データセンターのユーザを管理する管理者が、ユーザシステムを管理することも可能となる。
【0077】また、コンテンツを、ユーザシステムとデータセンターとで分割して、提供する場合であっても、同一コンサルタントが、管理することが可能となる。
【0078】本人認証を行うことにより、他社のセグメントからの不正アクセス、インターネットからの不正アクセス、専用線からの不正アクセス、ユーザシステムからの不正アクセスを阻止することができる。
|
| 【出願人】 |
【識別番号】500449455
【氏名又は名称】インターナショナル・ネットワークセキュリティ株式会社
|
| 【出願日】 |
平成12年9月26日(2000.9.26) |
| 【代理人】 |
【識別番号】100070150
【弁理士】
【氏名又は名称】伊東 忠彦
|
| 【公開番号】 |
特開2002−108818(P2002−108818A) |
| 【公開日】 |
平成14年4月12日(2002.4.12) |
| 【出願番号】 |
特願2000−293024(P2000−293024) |
|