JP2022094938A - データアクセスを監視及び制御する為の方法、コンピュータ・プログラム、及びセキュリティシステムエージェント機器 - Google Patents

データアクセスを監視及び制御する為の方法、コンピュータ・プログラム、及びセキュリティシステムエージェント機器 Download PDF

Info

Publication number
JP2022094938A
JP2022094938A JP2021196754A JP2021196754A JP2022094938A JP 2022094938 A JP2022094938 A JP 2022094938A JP 2021196754 A JP2021196754 A JP 2021196754A JP 2021196754 A JP2021196754 A JP 2021196754A JP 2022094938 A JP2022094938 A JP 2022094938A
Authority
JP
Japan
Prior art keywords
security system
sensitive data
sensitive
access
data access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2021196754A
Other languages
English (en)
Inventor
タニア,ボトヴスキー
Butovsky Tania
レオニード,ロドニアンスキー
Rodniansky Leonid
ミハイル,シュパック
Shpak Mikhail
ジェレル リチャード,オリィ
Ory Jerrell Richard
ピーター,マニアティス
Maniatis Peter
シドン,シャン
Shidong Shan
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2022094938A publication Critical patent/JP2022094938A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Databases & Information Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Medical Informatics (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】データアクセスを監視及び制御する為の方法を提供する。【解決手段】セキュリティシステムエージェントは、クライアントデバイスからの情報要求に対する、サーバからの応答をインターセプトすることに応答して、事前定義された1セットの機密データパターンルールを使用してパターンマッチングを適用して、応答に含まれる少なくとも1つの機密データアクセスを識別する。事前定義された1セットの機密データパターンルールのうちの1以上と一致する少なくとも1つの機密データアクセスの識別に応答して、セキュリティシステムエージェントは、少なくとも1つの機密データアクセスを機密としてマーク付けすることによってクライアントからの要求を変更し、それによって修正された要求を形成し、修正された要求をセキュリティシステムに送信する。セキュリティシステムは、修正された要求を処理する。【選択図】図5

Description

本出願は、一般的に、改良されたデータ処理装置及び方法に、より具体的には、データアクセスを監視及び制御する為のメカニズムに関する。
セキュリティ解析は、セキュリティの監視及び脅威の検出の為に、データ収集、集約、及び解析ツールを使用するプロセスである。インストールされているツールの種類に応じて、セキュリティ解析ソリューションが、大規模で且つ多様なデータセットを検出アルゴリズム内に組み込みうる。セキュリティ解析データは、下記を包含する幾つかの方法で収集されることができる:
・ネットワークトラフィック、
・エンドポイント及びユーザの挙動データ、
・クラウドリソース、
・ビジネスアプリケーション、
・非IT文脈データ(contextual data)、
・アイデンティティ(Identity)及びアクセス管理データ、
・外部脅威インテリジェンスソース。
セキュリティ解析における最近の技術的進歩は、経験及び学習に基づいて検出モデルを微調整する適応学習システム(adaptive learning system)、並びに異常検出ロジックを含む。これらの技術は、以下を包含するリアルタイムデータを蓄積及び解析する:
・アセットメタデータ
・ジオロケーション
・脅威インテリジェンス
・IPコンテキスト。
次に、これらの形式のデータは、即時の脅威対応及び調査の両方の為に使用されうる。
本発明は、データアクセスを監視及び制御する為の方法、コンピュータ・プログラム、及びセキュリティシステムエージェント機器を提供することを目的とする。
この要約は、本明細書における発明の詳細な説明において更に説明される簡略化された形式での概念の選択を紹介するために提供される。この要約は、主張された主題の主要な要因又は本質的な特徴を識別することを意図しておらず、主張された主題の範囲を制限する為に使用されることも意図されていない。
1つの例示的な実施態様において、データ処理システムにおいて、データアクセスを監視及び制御する方法が提供される。例示的な実施態様において、クライアントデバイスからの情報の要求に対する、サーバからの応答をインターセプトすることに応答して、セキュリティシステムとは別のサーバにインストールされたセキュリティシステムエージェントが、事前定義された1セットの機密データパターンルールを使用してパターンマッチングを適用して、該応答に含まれる少なくとも1つの機密データアクセスを識別する。例示的な実施態様において、セキュリティシステムエージェントが、該少なくとも1つの機密データアクセスが、該事前定義された1ゼットの機密データパターンルールのうちの1以上と一致するか否かを判断する。例示的な実施態様において、セキュリティシステムエージェントが、該少なくとも1つの機密データアクセスが該事前定義された1セットの機密データパターンルールのうちの1以上と一致することに応じて、該セキュリティシステムエージェントが、該少なくとも1つの機密データアクセスを機密としてマーク付けすることによって該クライアントからの該要求を修正し、それによって修正された要求を形成する。例示的な実施態様において、セキュリティシステムエージェントが、該少なくとも1つのマーク付けされた機密データアクセスと共に該修正された要求を該セキュリティシステムに送信し、それによって、該修正された要求内の該少なくとも1つのマーク付けされた機密データアクセスの故に該少なくとも1つのマーク付けされた機密データアクセスに関連付けられた該機密データにアクセスすること無しに、該セキュリティシステムに、該修正された要求を処理させる。
他の例示的な実施態様において、コンピュータ可読プログラムを有するコンピュータ使用可能媒体又はコンピュータ可読媒体を有するコンピュータ・プログラム製品が提供される。該コンピュータ可読プログラムは、コンピューティングデバイス上で実行されるときに、該コンピューティングデバイスに、上記方法の例示的な実施態様に関して、上に概説された動作の様々なもの及びそれらの組み合わせを実行させる。
さらに別の例示的な実施態様において、システム/装置が提供される。該システム/装置は、1以上のプロセッサと、1以上のプロセッサに接続されたメモリとを備えうる。該メモリは、1以上のプロセッサによって実行される場合に、1以上のプロセッサに、上記方法の例示的な実施態様に関して、上に概説された動作の様々なもの及びそれらの組み合わせを実行させる命令を含みうる。
本発明のこれら及び他の特徴及び利点は、本発明の例示的な実施態様の下記の本発明の詳細な説明において記載されているか、又はそれらを考慮して当業者に明らかになるであろう。
本発明、並びにそれらの好ましい使用様式及び更なる目的及び利点が、添付の図面と併せて読まれる場合、例示的な実施態様の下記の本発明の詳細な説明を参照することによって最もよく理解されるであろう。
図1は、本発明の一つの実施態様に従うクラウドコンピューティングノードを示す。 図2は、本発明の一つの実施態様に従うクラウドコンピューティング環境を示す。 図3は、本発明の一つの実施態様に従う抽象化モデル層を示す。 図4は、例示的な実施態様に従う、データアクセス及び監視並びに制御メカニズムの機能的ブロック図の一例を示す。 図5は、例示的な実施態様に従う、セキュリティシステムとセキュリティシステムエージェントとの間の相互作用の一例を提供する。 図6は、例示的な実施態様に従う、データアクセスを監視及び制御する際にセキュリティシステムエージェントによって実行される動作の一つの例を示すフローチャートを図示する。 図7は、例示的な実施態様に従う、データアクセスを監視及び制御する際に、セキュリティシステムによって実行される動作の一つの例を示すフローチャートを図示する。
セキュリティ解析は、セキュリティの監視及び脅威の検出の為の、データ収集、集約及び解析ツールを使用するプロセスである。トランスポートレベルでデータ解析を実行するセキュリティシステムは、2つのインスタンスの間で転送されるネットワークパケットをインターセプト(intercept)しうる。この相互作用は、複数のインスタンス、例えばクライアントとサーバ、の間で発生する。暗号化アルゴリズムは、暗号化キーが危険にさらされている場合でない限り、又は暗号化タイプが古くなっているか若しくは欠陥がある場合でない限り、これら2つのインスタンスの間で転送される情報が読み取れなくなることを生じる。しかしながら、機密情報がネットワークを介して送信され、監視セキュリティシステムによって処理及び保存される場合、そのような機密情報は該セキュリティシステムで危険にさらされうる。従って、例示的な実施態様は、処理する為のデータをセキュリティシステム(アプライアンス)に送信する前に、セキュリティシステムエージェントを介して機密の識別を実装するメカニズムを提供する。該セキュリティシステムエージェントは、該セキュリティシステムによって監視されるサーバ、例えばデータベースサーバ、サービスプラットフォーム等、にインストールされる。
現在、クライアントが処理の為にサーバに要求/クエリを送信するとき、該要求は、サーバによって取得される機密であるデータ、例えば社会保障番号、クレジットカード、患者記録、ジオロケーション座標(geolocation coordinates)等、にアクセスしうる。現在のセキュリティシステムエージェントは、元の要求と該取得したデータとを含む、クライアントへの応答をインターセプトし、そして、該元の要求と該取得したデータを、ネットワーク経由で処理の為のセキュリティシステムに送信する。該アクセスされたデータに関連するセキュリティポリシーを処理する既存の方法は、該セキュリティシステム中に実装される。しかしながら、そのような機密データはセキュリティシステムによる処理に関係せず、従って、例示的な実施態様のメカニズムは、適切な特権を持たない誰かによって機密データが危険にさらされたり又は見られたりするリスクが低減されることを保証する追加のセキュリティ層を生成する。すなわち、例示的な実施態様は、該セキュリティシステムに送信される前に、該サーバで機密データへのアクセスを識別するメカニズムを提供する。一つの実施態様において、機密データへのアクセスは、該元の要求においてセキュリティシステムエージェントによって識別され、及び、機密データは該セキュリティシステムに送信されない。加えて、該セキュリティシステムは、応答において識別された機密データへのアクセスの識別を使用して、データアクセス違反を検出する。一つの実施態様において、機械学習モデルが、該セキュリティシステムに「セキュリティ重要」として送信される修正された要求内のオブジェクトを識別し、従って機密オブジェクトのリストに追加されるように使用されうる。
例示的な実施態様の様々な観点及び例示的な実施態様によって実行される改善されたコンピュータ動作の議論を始める前に、本発明の詳細な説明全体を通して、語「メカニズム」は、様々な動作、機能等を実行する本発明の要素を云う為に使用されるであろうことを最初に理解されたい。本明細書で使用される場合、語「メカニズム」は、装置、手順、又はコンピュータ・プログラム製品の形態での例示的な実施態様の機能又は観点の実装でありうる。手順の場合、該手順は、1以上のデバイス、装置、コンピュータ、データ処理システム等によって実装される。コンピュータ・プログラム製品の場合、該コンピュータ・プログラム製品内又は該コンピュータ・プログラム製品上で具現化されたコンピュータコード又は命令によって表されるロジックは、該機能を実装する為に又は特定の「メカニズム」に関連付けられた動作を実行する為に、1以上のハードウェアデバイスによって実行される。従って、本明細書において記載されたメカニズムは、特殊なハードウェア、ハードウェア上で実行されるソフトウェアとして実装されて、それによって、ソフトウェア命令が該ハードウェアによって容易に実行可能であるように、該ハードウェアが他の方法では実行されることができないであろう本発明の特殊な機能を実装するようにハードウェアを構成し、それによって、本明細書において記載された該記載された機能及び特定のコンピュータ動作、又は該機能を実行する為の手順若しくは方法、又は上記のいずれかの組み合わせを実行する為のハードウェアを具体的に構成しうる。
発明の詳細な説明及び特許請求の範囲は、例示的な実施態様の特定の特徴及び要素に関して、語「一つ」“a”、語「少なくとも1つの」、及び語「1以上の」を使用しうる。これらの語及び句は、特定の例示的な実施態様に存在する特定の特徴又は要素のうちの少なくとも1つが存在するが、複数存在することがまたできることを述べることを意図されていることが理解されるべきである。すなわち、これらの語/句は、発明の詳細な説明又は特許請求の範囲を、存在する単一の特徴/要素に限定すること、又は複数のそのような特徴/要素が存在することを要求することが意図されるものではない。反対に、これらの語/句は、少なくとも単一の特徴/要素のみを必要とし、発明の詳細な説明及び特許請求の範囲内で、複数のそのような特徴/要素の可能性がある。
その上、本発明の実施態様及び特徴を説明することに関して本明細書において使用される場合、語「エンジン」の使用は、例えば、エンジンに起因する若しくはエンジンによって実行される又はそれらの組み合わせによる、アクション、ステップ、プロセス等を達成若しくは実行又はその両方を行う為の何らかの特定の実装を制限することが意図されていないことが理解されるべきである。エンジンは、機械可読メモリ内にロードされ若しくは格納され及びプロセッサによって実行されるところの適切なソフトウェアと組み合わせられた、一般的な若しくは特殊な又はそれらの組み合わせのプロセッサの使用を含むがこれらに限定されない、特定の機能を実行するソフトウェア、ハードウェア若しくはファームウェア又はそれらの組み合わせであり得るが、これらに限定されない。さらに、特定のエンジンに関連付けられた何らかの名前は、特に明記されていない限り、参照の便宜の為であり、及び特定の実装に限定することが意図されたものでない。加えて、エンジンに起因する任意の機能は、複数のエンジンによって等しく実行され、同じ又は異なるタイプの別のエンジンの機能内に取り込まれ若しくは同じ又は異なるタイプの別のエンジンと組み合わせられ又はそれらの両方が行われ、或いは様々な構成の1以上のエンジンにわたって分散されうる。
加えて、下記の説明は、例示的な実施態様の例示的な実装を更に例示し、及び例示的な実施態様のメカニズムの理解を助ける為に、例示的な実施態様の様々な要素についての複数の様々な例を使用することが理解されるべきである。これらの例は、非限定的であることを意図しており、例示的な実施態様のメカニズムを実装する為の様々な可能性を網羅するものでない。本説明に照らして当業者には、本発明の精神及び範囲から逸脱すること無しに、本明細書において提供される例に加えて、又は本明細書において提供される例の代わりに利用されうるこれらの様々な要素の為の多くの他の代替の実装が存在することは明らかであろう。
従って、例示的な実施態様は、多くの異なるタイプのデータ処理環境において利用されうる。例示的な実施態様の特定の要素及び機能の説明の為のコンテキストを提供する為に、図1~図3は、例示的な実施態様の観点が実施されうる例示的な環境として、本明細書の以下において提供される。図1~図3は単なる例であり、及び本発明の観点又は実施態様が実装されうる環境に関する何らの制限を主張又は暗示することが意図されるものでないことが理解されるべきである。描写された環境に対する多くの修正が、本発明の精神及び範囲から逸脱すること無しに行われうる。
本開示はクラウドコンピューティングに関する詳細な説明を含むが、本明細書に列挙される教示の実装はクラウドコンピューティング環境に限定されないことが理解されるべきである。むしろ、本発明の実施態様は、現在知られている又は後で開発される任意の他のタイプのコンピューティング環境と組み合わせて実装されることができる。
クラウドコンピューティングは、最小限の管理労力又はサービスのプロバイダとの相互作用で迅速にプロビジョニングされ且つ解放されることができる構成可能なコンピューティングリソース(例えば、ネットワーク、ネットワーク帯域幅、サーバ、処理(processing)、メモリ、ストレージ、アプリケーション、仮想マシン、及びサービス)の共有プールへの便利なオンデマンドネットワークアクセスを可能にする為のサービス提供のモデルである。このクラウドモデルは、少なくとも5つの特徴、少なくとも3つのサービスモデル、及び少なくとも4つのデプロイメント(deployment)モデルを含みうる。
特徴は下記の通りである。
オンデマンドセルフサービス:クラウドコンシューマ(cloud consumer)は、サービスのプロバイダとのヒューマンインターラクション(human interaction)を必要とせずに、必要に応じて、コンピューティング機能、例えばサーバ時間及びネットワークストレージ、を一方的にプロビジョニングすることができる。
ブロードネットワークアクセス:機能は、ネットワークを介して利用可能であり、及び異種のシン(thin)クライアント・プラットフォーム又はシック(thick)クライアント・プラットフォーム(例えば、携帯電話、ラップトップ、及びPDA)による使用を促進する標準的なメカニズムを介してアクセスされる。
リソースのプーリング:プロバイダのコンピューティングリソースは、マルチテナントモデルを使用して複数のコンシューマにサービスを提供するためにプールされ、及び様々な物理リソースと仮想リソースが需要に従って動的に割り当てられ及び再割り当てされる。コンシューマは一般的に、提供されたリソースの正確な場所についての制御又は知識を有していないが、より高いレベルの抽象化での場所(例えば、国、州又はデータセンター)を特定できうるという点で、場所に依存しないといえる。
迅速な順応性:機能は、迅速かつ弾力的にプロビジョニングされ、場合によっては自動的に、迅速にスケールアウトされ、迅速にリリースされて迅速にスケールインされうる。コンシューマにとって、プロビジョニングに利用可能な機能はしばしば、無制限であり及びいつでも任意の量で購入されることができる。
測定されたサービス:クラウド・システムは、サービスのタイプ(例えば、ストレージ、処理、帯域幅、及びアクティブなユーザアカウント)に適した何らかの抽象化レベルでの計量機能を用いることによって、リソースの使用を自動的に制御し及び最適化する。リソース使用は監視され、制御され、及び報告され、利用されるサービスのプロバイダ及びコンシューマの両方についての透明性を提供することができる。
サービスモデルは下記の通りである。
サービスとしてのソフトウェア(SaaS:Software as a Service):クラウド・インフラストラクチャにおいて実行しているプロバイダのアプリケーションを使用する為に、コンシューマに提供される機能である。該アプリケーションは、シン・クライアント・インターフェース、例えばウェブブラウザ(例えば、ウェブ・ベースの電子メール)、を通じて、様々なクライアントデバイスからアクセス可能である。該コンシューマは、制限されたユーザ固有のアプリケーション構成設定のありうる例外として、基礎をなすクラウド・インフラストラクチャ、例えばネットワーク、サーバ、オペレーティングシステム、ストレージ、又は個々のアプリケーション機能さえも包含する基礎をなすクラウド・インフラストラクチャ、を管理又は制御しない。
サービスとしてのプラットフォーム(PaaS:Platform as a Service):プロバイダによってサポートされるプログラミング言語及びツールを用いて生成された、コンシューマが生成した又は取得したアプリケーションを、クラウド・インフラストラクチャ上に配備する為に、該コンシューマに提供される機能である。該コンシューマは、基礎をなすクラウド・インフラストラクチャ、例えばネットワーク、サーバ、オペレーティングシステム、又はストレージを包含する基礎をなすクラウド・インフラストラクチャ、を管理又は制御しないが、展開されたアプリケーション、及び場合によってはアプリケーション・ホスティング環境構成に対して制御を有する。
サービスとしてのインフラストラクチャ(IaaS:Infrastructure as a Service):コンシューマが、オペレーティングシステム及びアプリケーションを含むことができる任意のソフトウェアを展開及び実行することができる、処理、ストレージ、ネットワーク、及び他の基本的なコンピューティングリソースをプロビジョニンングする為に、該コンシューマに提供される機能である。該コンシューマは、基礎をなすクラウド・インフラストラクチャを管理又は制御しないが、オペレーティングシステム、ストレージ、展開されたアプリケーションに対する制御、及び場合によっては、ネットワーク・コンポーネント(例えば、ホストのファイアウォール)の選択することの制限された制御を有する。
デプロイメントモデル(Deployment Models)は下記の通りである。
プライベートクラウド:クラウド・インフラストラクチャは、ある組織の為のみに運営される。該クラウド・インフラストラクチャは、該組織又は第三者によって管理され得、及びオンプレミス(on-premises)又はオフプレミス(off-premises)に存在しうる。
コミュニティクラウド:クラウド・インフラストラクチャは、幾つかの組織によって共有され、及び共通の関心事項(例えば、ミッション、セキュリティ要件、ポリシー、及びコンプライアンス考慮事項)を有する特定のコミュニティをサポートする。該クラウド・インフラストラクチャは、該組織又は第三者によって管理され得、及びオンプレミス又はオフプレミスに存在しうる。
パブリッククラウド:クラウド・インフラストラクチャは、一般公衆又は大規模な業界グループに対して利用可能であり、及びクラウドサービスを販売する組織によって所有される。
ハイブリッドクラウド:クラウド・インフラストラクチャは、固有のエンティティのままであるが、データ及びアプリケーションの移行性を可能にする標準化された又は専用の技術(例えば、クラウド間の負荷分散のためのクラウド・バースティング)によって一緒にされる2以上のクラウド(プライベート、コミュニティ、又はパブリック)の混成物である。
クラウドコンピューティング環境は、無国籍性(statelessness)、低結合性、モジュール性、及びセマンティック相互運用性(semantic interoperability)に焦点を有する指向されたサービスである。クラウドコンピューティングの中核(heart)は、相互接続されたノードのネットワークを含むインフラストラクチャである。
ここで図1を参照すると、クラウドコンピューティングノードの例の概略図が示されている。クラウドコンピューティングノード100は、適切なクラウドコンピューティングノードの一つの例に過ぎず、本明細書において記載された本発明の実施態様の使用の範囲又は機能に関する何らの制限をも示唆することが意図されるものでない。とにかく、クラウドコンピューティングノード10は、上記された機能のいずれかを実装されること若しくは実行すること又は実装され且つ実行することができる。
クラウドコンピューティングノード100において、コンピュータシステム/サーバ102があり、それは、他の多くの汎用目的の又は特殊目的のコンピューティングシステム環境又は構成で動作する。コンピュータシステム/サーバ102での使用の為に適しうる周知のコンピューティングシステム、環境若しくは構成又はそれらの組み合わせの例は、パーソナルコンピュータシステム、サーバコンピュータシステム、シンクライアント(thin clients)、シッククライアント(thick clients)、ハンドヘルドデバイス又はラップトップデバイス、マルチプロセッサシステム、マイクロプロセッサベースのシステム、セットトップボックス、プログラム可能な家電製品、ネットワークPC、ミニコンピュータシステム、メインフレームコンピュータシステム、及び上記のシステム又はデバイスのいずれかを含む分散型クラウドコンピューティング環境等を包含するが、これらに限定されない。
コンピュータシステム/サーバ102は、コンピュータシステムによって実行されるコンピュータシステム実行可能命令、例えばプログラムモジュール、の一般的な文脈において説明されうる。一般的に、プログラムモジュールは、特定のタスクを実行し又は特定の抽象データ型を実装する、ルーチン、プログラム、オブジェクト、コンポーネント、ロジック、データ構造等を包含しうる。コンピュータシステム/サーバ102は、通信ネットワークを介してリンクされたリモート処理デバイスによってタスクが実行される分散型クラウドコンピューティング環境において実施されうる。
分散型クラウドコンピューティング環境において、プログラムモジュールは、ローカル及びリモートの両方のコンピュータシステムストレージ媒体、例えばメモリストレージデバイスを包含する該コンピュータシステムストレージ媒体、に配置されうる。
図1に示されている通り、クラウドコンピューティングノード100内のコンピュータシステム/サーバ102は、汎用目的コンピューティングデバイスの形態で示されている。コンピュータシステム/サーバ102の構成要素は、1以上のプロセッサ又は処理ユニット104、システムメモリ106、及び様々なシステム構成要素、例えばシステムメモリ106を含む様々なシステム構成要素、をプロセッサ104に接続するバス108を包含しうるが、これらに限定されない。
バス108は、幾つかのタイプのバス構造、例えばメモリバス又はメモリコントローラ、周辺バス、アクセラレーショングラフィックスポート、及び様々なバスアーキテクチャのいずれかを使用するプロセッサ又はローカルバスを包含する幾つかのタイプのバス構造のうちの任意の1以上を表す。例として、限定ではないが、そのようなアーキテクチャは、業界標準アーキテクチャ(ISA:Industry Standard Architecture)バス、マイクロチャネルアーキテクチャ(MCA:Micro Channel Architecture)バス、拡張ISA(EISA:Enhanced ISA)バス、ビデオエレクトロニクススタンダーズアソシエーション(VESA:Video Electronics Standards Association)ローカルバス、及びペリフェラル コンポーネントインターコネクト(PCI:Peripheral Component Interconnect)バスを包含する。
コンピュータシステム/サーバ102は、典型的に、様々なコンピュータシステム可読媒体を備えている。そのような媒体は、コンピュータシステム/サーバ102によってアクセス可能である任意の利用可能な媒体であり得、そしてそれは、揮発性媒体及び不揮発性媒体、リムーバブル媒体及び非リムーバブル媒体の両方を包含する。
システムメモリ106は、揮発性メモリ、例えばランダム・アクセス・メモリ(RAM)110若しくはキャッシュメモリ112又はそれらの組み合わせ、の形態におけるコンピュータシステム可読媒体を備えていることができる。コンピュータシステム/サーバ102は、他の取り外し可能コンピュータシステム記憶媒体/取り外し不可能コンピュータシステム記憶媒体、揮発性コンピュータシステム記憶媒体/不揮発性コンピュータシステム記憶媒体をさらに備えうる。ほんの一例として、記憶システム114は、取り外し不可能な不揮発性磁気媒体(図示されていない、典型的には「ハードドライブ」と呼ばれる)からの読み取り及び書き込みの為に用意されることができる。図示されていないが、取り外し可能な不揮発性磁気ディスク(例えば、「フロッピーディスク」)からの読み取り及び書き込みの為の磁気ディスクドライブ、及び取り外し可能な不揮発性光ディスク、例えばCD-ROM、DVD-ROM又は他の光学媒体、からの読み取り又は書き込みの為の光ディスクドライブ、を用意されることができる。そのような場合、それぞれは、1以上のデータメディアインターフェースによってバス108に接続されることができる。以下で更に描写及び記載されている通り、メモリ106は、本発明の実施態様の機能を実行するように構成されたセット(例えば、少なくとも1つ)のプログラムモジュールを有する少なくとも1つのプログラム製品を含みうる。
セット(例えば、少なくとも1つ)のプログラムモジュール118を有するプログラム/ユーティリティ116、並びに、オペレーティングシステム、1以上のアプリケーションプログラム、他のプログラムモジュール及びプログラムデータが、限定ではなく例として、メモリ106内に格納されうる。オペレーティングシステム、1以上のアプリケーションプログラム、他のプログラムモジュール、及びプログラムデータ又はそれらの幾つかの組み合わせのそれぞれは、ネットワーキング環境の実装を含みうる。プログラムモジュール42は、一般的に、本明細書に記載されている本発明の実施態様の機能若しくは方法論又はそれらの組み合わせを実行する。
コンピュータシステム/サーバ102はまた、1以上の外部デバイス120、例えばキーボード、ポインティングデバイス、ディスプレイ122等;ユーザがコンピュータシステム/サーバ102と対話することを可能にする1以上のデバイス;若しくはコンピュータシステム/サーバ102が1以上の他のコンピューティングデバイスと通信することを可能にする任意のデバイス(例えば、ネットワークカード、モデム等);又はそれらの組み合わせと通信しうる。そのような通信は、入力/出力(I/O)インタフェース124を介して生じることができる。なおさらには、コンピュータシステム/サーバ102は、ネットワークアダプタ126を介して、1以上のネットワーク、例えばローカルエリアネットワーク(LAN)、一般的なワイドエリアネットワーク(WAN)若しくはパブリックネットワーク(例えば、インターネット)又はそれらの組み合わせ、と通信することができる。図示されている通り、ネットワークアダプタ126は、バス108を介してコンピュータシステム/サーバ102の他の構成要素と通信する。示されていないが、他のハードウェアコンポーネント若しくはソフトウェアコンポーネント又はそれらの組み合わせが、コンピュータシステム/サーバ102と組み合わせられて使用されることできることが理解されるべきである。例は、マイクロコード、デバイスドライバー、冗長処理装置、外部ディスクドライブアレイ、RAIDシステム、テープドライブ、及びデータアーカイブストレージシステム等を含むが、これらに限定されない。
ここで図2を参照すると、例示的なクラウドコンピューティング環境200が示されている。示されている通り、クラウドコンピューティング環境200は、クラウドコンシューマによって使用されるローカルコンピューティングデバイス、例えば、パーソナルデジタルアシスタント(PDA:personal digital assistant)又は携帯電話204、デスクトップコンピュータ206、ラップトップコンピュータ208若しくは自動車コンピュータシステム210又はそれらの組み合わせ等、が通信しうる1以上のクラウドコンピューティングノード202を備えている。クラウドコンピューティングノード202は、互いに通信しうる。それらは、1以上のネットワーク、例えば上記された、プライベートクラウド、コミュニティクラウド、パブリッククラウド若しくはハイブリッドクラウド又はそれらの組み合わせ、に、物理的又は仮想的にグループ化されうる(図示されていない)。これは、クラウドコンピューティング環境200が、クラウドコンシューマがローカルコンピューティングデバイス上でリソースを維持する必要がないサービスとして、インフラストラクチャ、プラットフォーム若しくはソフトウェア又はそれらの組み合わせを提供することを許す。図2に示されているコンピューティングデバイス204~210のタイプは、例示のみであることが意図されており、及びコンピューティングノード202及びクラウドコンピューティング環境200は、任意のタイプのネットワーク若しくはネットワークアドレス可能な接続(例えば、Webブラウザを使用)又はそれらの組み合わせを介して任意のタイプのコンピュータ化されたデバイスと通信できることが理解される。
ここで図3を参照すると、クラウドコンピューティング環境、例えば図2のクラウドコンピューティング環境200、によって提供される1セットの機能的抽象化層のセットが示されている。図3に示されているコンポーネント、層及び機能は、例示のみが意図されており、及び本発明の実施態様はそれらに限定されないことが事前に理解されるべきである。図示されている通り、下記の層及び対応する機能が提供される。
ハードウェア及びソフトウェア層302は、ハードウェア及びソフトウェアコンポーネントを含む。ハードウェアコンポーネントの例は、メインフレーム、一つの例ではIBM(登録商標)zSeries(登録商標)システム、RISC(縮小命令セットコンピュータ)アーキテクチャベースのサーバ、一つの例ではIBM(登録商標)pSeries(登録商標)システム、IBM(登録商標)xSeries(登録商標)システム、IBM(登録商標)BladeCenter(登録商標)システム、ストレージ・デバイス、ネットワーク及びネットワーキングコンポーネントを包含する。ソフトウェアコンポーネントの例は、ネットワークアプリケーションサーバソフトウェア、一つの例ではIBM(登録商標)WebSphere(登録商標)アプリケーションサーバーソフトウェア)、及びデータベースソフトウェア(一つの例ではIBM(登録商標)DB2(登録商標)データベースソフトウェア)、(IBM(登録商標)、zSeries(登録商標)、pSeries(登録商標)、xSeries(登録商標)、BladeCenter(登録商標)、WebSphere(登録商標)、及びDB2(登録商標)は、世界中の多くの法域で登録されているInternational Business Machines Corporationの商標である)を包含する。
仮想化層304は、仮想エンティティの下記の例が提供されうる抽象化層を提供する:仮想サーバ;仮想ストレージ;仮想ネットワーク、例えば仮想プライベートネットワークを包含する仮想ネットワーク;仮想アプリケーション及びオペレーティングシステム;並びに、仮想クライアント。
一つの例において、管理層306は、下記に記載された機能を提供しうる。リソースプロビジョニングは、クラウドコンピューティング環境内でタスクを実行するために利用されるコンピューティングリソース及び他のリソースの動的な調達を提供する。メータリング及び価格設定は、リソースがクラウドコンピューティング環境内で利用されるときにコストを追跡し、これらのリソースの消費に対して送り状付き請求書の発行又は請求書の発行を行う。一つの例において、これらのリソースは、アプリケーションソフトウェアライセンスを含みうる。セキュリティは、クラウドコンシューマ及びタスクの本人確認(identity verification)、並びにデータ及び他のリソースの保護を提供する。ユーザポータルは、コンシューマ及びシステム管理者の為に、クラウドコンピューティング環境へのアクセスを提供する。サービスレベル管理は、要求されるサービスレベルが満たされるように、クラウドコンピューティングリソースの割り当てと管理を提供する。サービスレベル契約(SLA:Service Level Agreement)の計画及び履行は、SLAに従って将来の要件が予想されるクラウドコンピューティングリソースの事前準備及び調達を提供する。
ワークロード層308は、クラウドコンピューティング環境が利用されうる機能の例を提供する。このレイヤーから提供されうるワークロード及び機能の例は、マッピング及びナビゲーション、ソフトウェア開発及びライフサイクル管理、仮想クラスルーム教育の提供、データ解析処理、トランザクション処理、及びセキュリティシステムエージェントを包含する。例示的な実施態様に従うと、図示されたクラウドコンピューティング環境において、又は現在知られている若しくは後に開発される任意の他のタイプのコンピューティング環境内に実装されうるセキュリティシステムエージェントは、機密性の高い情報へのアクセスを監視する。すなわち、クライアントは、事前定義された1セットの機密データパターンルールをセキュリティシステムに提供する。起動時に、セキュリティシステムは、セキュリティシステムエージェントが、クライアントによってアクセスされるデータベースサーバ、サービスプラットフォーム等(以下、単にサーバと云われる)に存在するか否かを決定する。存在する場合、該セキュリティシステムは、事前定義された1セットの機密データパターンルールをサーバ上のセキュリティシステムエージェントに送信する。
引き続き、サーバによって受信される複数の異なるアクセスを含みうる情報の要求をクライアントが送信するとき、該サーバは、各アクセスに関連付けられたデータを取得し、及び各アクセスと各アクセスに関連付けられた取得データとを含む応答を生成し、ここで、特定のアクセスに関連付けられた該取得されたデータは、機密性又は非機密性のいずれかでありうる。該応答が該クライアントに戻される前に、該サーバ上で動作するセキュリティシステムエージェントが該応答をインターセプトし、そして、事前定義された1セットの機密データパターンルールを使用してパターンマッチングを適用して、該事前定義された1セットの機密データパターンルールに一致する応答に含まれる機密データ、例えばクレジットカード番号、社会保障番号、パスワード、患者記録、又はジオロケーション座標等、を識別する。例示的な実施態様に従うと、該セキュリティシステムエージェントは、サーバのオペレーティングシステムカーネルにインストールされる。該パターンマッチングを適用する際、該セキュリティシステムエージェントは、元の要求が該セキュリティシステムに送られる前に、該クライアントからの該元の要求を修正し、ここで、該セキュリティシステムエージェントは、該事前定義された1セットの機密データパターンルールのうちの1以上と一致する任意の機密データを識別する場合、該セキュリティシステムエージェントは、該元の要求中の機密データにアクセスしたアクセスを機密としてマーク付けする。次に、該セキュリティシステムエージェントは、該サーバによって生成された元の応答であって、各アクセス及び各アクセスに関連付けられた取得データを含む該元の応答を該クライアントに戻すことを許し、及び機密データへのアクセスに関連付けられたマーク付けされたアクセスと非機密データへのアクセスに関連付けられたマーク付けされていないアクセスと共に、該修正された要求を該セキュリティシステムに送る。それ故に、例示的な実施態様に従って、該セキュリティシステムエージェントは、機密データへのアクセスを識別し、該修正された要求内のアクセスを機密情報にアクセスしたものとしてマーク付けする。
該セキュリティシステムエージェントによって送信された該修正された要求を該セキュリティシステムが受信すると、該セキュリティシステムは、該マーク付けされたアクセス識別の故に、該修正された要求をセキュリティ重要として認識する。次に、該セキュリティシステムは、何らの機密データにアクセスすること無しに、該修正された要求を処理する。すなわち、該セキュリティシステムは、該セキュリティシステムエージェントからのマーク付けを識別し、そして、各アクセスを処理するフィルタを使用して、各アクセスにおけるオブジェクトを解析する。さらに、マーク付けされた任意のオブジェクトに関して、該セキュリティシステムは、該セキュリティシステムエージェントによって機密データへのアクセスであるとしてマーク付けされたアクセスに関連付けられた任意のオブジェクトを解析する。該セキュリティシステムは該オブジェクトを抽出し、そして、機密データを含むオブジェクトとして機密オブジェクトのリストにオブジェクトを追加する。
この例において、機密オブジェクトのリストへの該オブジェクトの追加は簡単であるが、機密として識別された全てのオブジェクトが機密オブジェクトのリストにすぐに追加されるわけではない。すなわち、前の例をさらに一歩進めると、下記の2つの追加の要求が受信される:ここで、第1の要求は、組み合わされた1セットのオブジェクトを有し、該1セットのオブジェクトは、既に機密とマーク付けされている第1のオブジェクトと、機密とマーク付けされている第2のオブジェクトとを含み、なぜならば、それは、第1のオブジェクトと組み合わされるからである;及び、第2の要求は、該第1の要求の第2のオブジェクトと一致するオブジェクトを有し、それは、セキュリティシステムエージェントによって機密としてマーク付けされていない。しかしながら、該2つの追加の要求のうちの第1の要求において、該第2のオブジェクトは機密として識別されるだけであり、なぜならば、該第2のオブジェクトは、機密であることがわかっている該第1のオブジェクトと結合されているという理由だけからであり、それは、機密でないオブジェクトに対してフォールスポジティブを生じる。従って、これらオブジェクトが機密として識別された別のオブジェクトに結合されていると云う理由だけで、該セキュリティシステムは、機密性であるとして誤って識別されたそのようなオブジェクトをフィルタリングして除く。該セキュリティシステムはもし在れば「フォールスポジティブ」をフィルタリングして除いた後、もし在れば機密オブジェクトのリストにまだ含まれていない残りのセキュリティ重要オブジェクトが、機密オブジェクトのリストに追加され、それらは引き続き、1以上のセキュリティポリシーを実装する為の基準として、該セキュリティシステムによって使用される。
図1~図3におけるハードウェアが実装に応じて変化しうることを、当業者は理解するであろう。他の内部ハードウェア又は周辺機器、例えば、フラッシュメモリ、等価な不揮発性メモリ、又は光ディスクドライブ等、が、図1~図3に示されているハードウェアに加えて、又は該ハードウェアの代わりに使用されうる。また、例示的な実施態様の方法は、本発明の精神及び範囲から逸脱すること無しに、前述されたSMPシステム以外のマルチプロセッサデータ処理システムに適用されうる。
図4は、例示的な実施態様に従う、データアクセス及び監視並びに制御メカニズムの機能ブロック図の一例を示す。データ処理システム400は、解析、レポート、アラート等の形式で情報を取得する為にセキュリティシステム404にアクセスするサーバ402を備えている。前述されている通り、サーバ402及びセキュリティシステム404は、クラウドコンピューティング環境内に、例えば図2のクラウドコンピューティング環境200内に、又は現在知られている若しくは後に開発される任意の他のタイプのコンピューティング環境内に実装されうる。最初に、クライアント406は、セキュリティシステム404でアカウントを設定し、それは、クライアント406が、事前定義された1セットの機密データパターンルール408をセキュリティシステム404に提供することを含む。次に、システムの起動時に、セキュリティシステム404は、セキュリティシステムエージェント410がサーバ402上に存在するか否かを決定する。存在する場合、セキュリティシステム404は、事前定義された1セットの機密データパターンルール408をサーバ402上のセキュリティシステムエージェント410に送信する。
続いて、クライアント406が、複数の異なるアクセスを含みうるサーバ402に情報の要求を送信するとき、サーバ402は、各アクセスに関連付けられたデータを検索し、そして、各アクセス及び各アクセスに関連付けられた検索されたデータを含む応答を生成し、ここで、特定のアクセスに関連付けられた該検索されたデータは、機密性又は非機密性のいずれかでありうる。サーバ402によって生成された該応答が、クライアント406に戻される前に、セキュリティシステムエージェント410は、該事前定義された1セットの機密データパターンルール408を使用してパターンマッチングを適用して、もし在れば、該事前定義された1セットの機密データパターンルール408に一致する応答に含まれる機密データ、例えば、クレジットカード番号、社会保障番号、パスワード、患者記録、ジオロケーション座標等、を識別する。該パターンマッチングを適用する際に、セキュリティシステムエージェント410は、元の要求がセキュリティシステム404に送信される前に、クライアント406からの該元の要求を修正し、ここで、セキュリティシステムエージェント410は、もし在れば、該事前定義された1セットの機密データパターンルール408のうちの1以上に一致する機密データへのアクセスを識別する場合、セキュリティシステムエージェント410は、該元の要求内の該機密データにアクセスした該アクセスを機密としてマーク付けする。次に、セキュリティシステムエージェント410は、サーバ402によって生成された、各アクセス及び各アクセスに関連付けられた検索データを含む該元の応答がクライアント406に戻されることを許し、そして、該機密データへのアクセスに関連付けられた該マーク付けされたアクセス及び非機密データへのアクセスに関連付けられたマーク付けされていないアクセスと共に、該修正された要求をセキュリティシステム404に転送する。すなわち、該応答において機密データへの少なくとも1つのアクセスを識別した後、セキュリティシステムエージェント410は、セキュリティシステム410に送信される該元の要求において、該元の要求内のアクセスを機密情報にアクセスしたものとしてマーク付けし、それによって修正された要求を形成する。
セキュリティシステム404がセキュリティシステムエージェント410によって送信された該修正された要求を受信すると、セキュリティシステム404は、該マーク付けされたアクセス識別の故に、該修正された要求をセキュリティ重要として認識する。次に、セキュリティシステム404は、もし在れば、機密データにアクセスすること無しに、該修正された要求を処理する。すなわち、セキュリティシステム404は、セキュリティシステムエージェント410からのマーキングを識別し、そして、各アクセスを処理するフィルタを使用して、各アクセス内のオブジェクトを解析する。さらに、マーク付けされたオブジェクトに関して、もし在れば、セキュリティシステム404は、セキュリティシステムエージェント410によって機密データへのアクセスであるとマーク付けされていたアクセスに関連付けられたオブジェクトを解析する。セキュリティシステム404は、該オブジェクトを抽出し、そして、該オブジェクトを、機密データを含むオブジェクトとして機密オブジェクトのリスト420に追加する。加えて、セキュリティシステム404は、セキュリティポリシー若しくは他の情報418(例えば、解析412、レポート414、アラート416、又はアクセスされた機密データに関連する他の情報418、及び機密オブジェクトのリスト420に追加されたオブジェクト等)又はそれらの組み合わせを実装する為の基準としての、機密オブジェクトのリスト420を使用する。例えば、セキュリティシステム404は、該修正された要求において識別された機密データへのアクセスの識別を使用して、データアクセス違反を検出する。
この例において、機密オブジェクトのリスト420への該オブジェクトの追加は簡単であるが、機密として識別された全てのオブジェクトが、機密オブジェクトのリスト420にすぐに追加されるわけではない。すなわち、前の例をさらに一歩進めると、下記の2つの追加の要求が受信される:ここで、第1の要求は、組み合わされた1セットのオブジェクトを有し、該1セットのオブジェクトは、既に機密とマーク付けされている第1のオブジェクトと、機密とマーク付けされている第2のオブジェクトとを含み、なぜならば、それは、第1のオブジェクトと組み合わされるからである;及び、第2の要求は、該第1の要求の第2のオブジェクトと一致するオブジェクトを有し、それは、セキュリティシステムエージェント410によって機密とマーク付けされていない。しかしながら、該2つの追加の要求のうちの第1の要求において、該第2のオブジェクトは、機密として識別されるだけである。なぜならば、該第2のオブジェクトは、機密であることがわかっている該第1のオブジェクトと結合されているという理由だけからであり、それは、機密でないオブジェクトに対してフォールスポジティブを生じる。該2つの追加要求のうちの第2の要求において、該第2のオブジェクトは該セキュリティシステムエージェントによって機密としてマーク付けされていなかった故に、例えば、機械学習技術、ルールエンジンアプリケーション等を通じて、セキュリティシステム404は、フォールスポジティブである要求オブジェクト、例えば第2のオブジェクト、を識別する。従って、これらオブジェクトが機密として識別された別のオブジェクトに結合されていると云う理由だけで、該セキュリティシステムは、機密として誤って識別されたそのようなオブジェクトをフィルタリングして除く。セキュリティシステム404はもし在れば「フォールスポジティブ」をフィルタリングして除いた後、セキュリティシステム404は、もし在れば機密オブジェクトのリスト420にまだ含まれていない残りのセキュリティ重要オブジェクトを、機密オブジェクトのリスト420に追加する。
図5は、例示的な実施態様に従う、セキュリティシステムとセキュリティシステムエージェントとの間の相互作用の一例を提供する。図示されている通り、セキュリティシステム502は、事前定義された1セットの機密データパターンルールを受け取る。セキュリティシステム502は、該事前定義された1セットの機密データパターンを、サーバ上に存在するセキュリティシステムエージェント504に送信する。セキュリティシステムエージェント504は、クライアント/サーバ応答を監視し、そして、該事前定義された1セットの機密データパターンルールを適用し、そして、該クライアントからの元の要求内の機密アクセスをマーク付けする。次に、セキュリティシステムエージェント504は、該修正された要求をセキュリティシステム502に送信する。ここで、該修正された要求は、マーク付けされた機密データアクセス(存在する場合)を含む。次に、セキュリティシステム502は、該修正された要求を解析し、そして全てのオブジェクトを抽出する。セキュリティシステム502は、もし在れば機密でないオブジェクトをフィルタリングして除き、及びもし在れば新しい機密オブジェクトを機密オブジェクトの該リストに追加する。
従って、該例示的な実施態様は、該セキュリティシステム(アプライアンス)に処理させる為にこのデータを送信する前に、セキュリティシステムエージェントを介して、機密としてユーザによって識別されたデータのパターンマスキングを実装するメカニズムを提供する。該セキュリティシステムエージェントは、該セキュリティシステムによって監視されるサーバ、例えば、データベースサーバ、サービスプラットフォーム等、にインストールされる。
本発明は、システム、方法若しくはコンピュータ・プログラム製品又はその組み合わせでありうる。該コンピュータ・プログラム製品は、プロセッサに本発明の観点を実行させる為のコンピュータ可読プログラム命令を有する1以上のコンピュータ可読記憶媒体を包含しうる。
該コンピュータ可読記憶媒体は、命令実行デバイスによって使用する為の命令を保持且つ記憶することができる有形のデバイスであることができる。該コンピュータ可読記憶媒体は、例えば、電子ストレージ・デバイス、磁気ストレージ・デバイス、光ストレージ・デバイス、電磁ストレージ・デバイス、半導体ストレージ・デバイス、又はこれらの任意の適切な組み合わせでありうるが、これらに限定されない。該コンピュータ可読記憶媒体のより具体的な例の非網羅的なリストは、下記を包含する:ポータブルコンピュータ・ディスケット、ハードディスク、ランダム・アクセス・メモリ(RAM:random access memory)、読み取り専用メモリ(ROM:read-only memory)、消去可能なプログラム可能な読み取り専用メモリ(EPROM(erasable programmable read-only memory)又はフラッシュメモリ)、スタティック・ランダム・アクセス・メモリ(SRAM:static random access memory)、ポータブル・コンパクト・ディスク読み取り専用メモリ(CD-ROM:compact disc read-only memory)、デジタル多用途ディスク(DVD:digital versatile disk)、メモリスティック、フロッピーディスク、機械的に符号化されたデバイス、例えばパンチカード若しくは命令が記録されている溝内の***構造又はこれらの任意の適切な組み合わせ。本明細書において使用される場合、コンピュータ可読記憶媒体は、一時的な信号それ自体、例えば電波又は他の自由に伝播する電磁波、導波管若しく他の伝送媒体を伝播する電磁波(例えば、光ファイバケーブルを通過する光パルス)、又は電線を介して送信される電気信号、であると解釈されるべきでない。
本明細書において記載されたコンピュータ可読プログラム命令は、コンピュータ可読記憶媒体から個々のコンピューティングデバイス/処理デバイスに、又はネットワーク、例えばインターネット、ローカルエリアネットワーク、ワイドエリアネットワーク若しくはワイヤレスネットワーク又はそれらの組み合わせ、を介して外部コンピュータ又は外部記憶デバイスにダウンロードされることができる。該ネットワークは、銅線伝送ケーブル、光伝送ファイバ、無線伝送、ルータ、ファイアウォール、スイッチ、ゲートウェイコンピュータ若しくはエッジサーバ又はこれらの組み合わせで構成されうる。各コンピューティングデバイス/処理デバイスにおけるネットワークアダプタカード又はネットワーク・インターフェースは、ネットワークからコンピュータ可読プログラム命令を受信し、そして、該コンピュータ可読プログラム命令を、個々のコンピューティングデバイス/処理デバイス内にコンピュータ可読記憶媒体中に記憶する為に送信する。
本発明の動作を実行する為のコンピュータ可読プログラム命令は、アセンブラ命令、命令セットアーキテクチャ(ISA:instruction-set-architecture)命令、マシン命令、マシン依存命令、マイクロコード、ファームウェア命令、状態設定データ、集積回路の為の構成データ、又は、1以上のプログラミング言語、例えばオブジェクト指向プログラミング言語、オブジェクト指向プログラミング言語(例えば、Java、Smalltalk、C++等)、慣用的な手続き型プログラミング言語(例えば「C」プログラミング言語又は同様のプログラミング言語)、の任意の組み合わせで書かれているソースコード又はオブジェクトコードのいずれか、でありうる。該コンピュータ可読プログラム命令は、ユーザのコンピュータ上で全体的に、ユーザのコンピュータ上で部分的に、ユーザのコンピュータ上でスタンドアロン・ソフトウェア・パッケージとして部分的に、ユーザのコンピュータ上で部分的に且つリモートコンピュータ上で部分的に、又はリモートコンピュータ若しくはサーバ上で全体的に、実行されうる。後者のシナリオにおいて、該リモートコンピュータは、任意の種類のネットワーク、例えばローカルエリアネットワーク(LAN:local area network)若しくはワイドエリアネットワーク(WAN:wide area network)、を介してユーザのコンピュータに接続されうるか、又は該接続は(例えば、インターネットサービスプロバイダを使用したインターネットを通じて)外部コンピュータに対して行われうる。幾つかの実施態様において、電子回路、例えばプログラマブル論理回路、フィールドプログラマブルゲートアレイ(FPGA:field-programmable gate arrays)又はプログラマブルロジックアレイ(PLA:programmable logic arrays)、は、本発明の観点を実行する為に、コンピュータ可読プログラム命令の状態情報を利用することによって、電子回路をパーソナライズすることによって、コンピュータ可読プログラム命令を実行しうる。
本発明の観点は、本発明の実施態様に従う、方法、装置(システム)及びコンピュータ・プログラム製品のフローチャート図若しくはブロック図又はそれらの組み合わせを参照して本明細書において記載されている。該フローチャート図若しくは該ブロック図又はそれらの組み合わせの各ブロック、並びに該フローチャート図若しくは該ブロック図又はそれらの組み合わせにおける複数のブロックの組み合わせは、コンピュータ可読プログラム命令によって実装されることができることが理解されるであろう。
これらのコンピュータ可読プログラム命令は、該コンピュータ又は他のプログラム可能なデータ処理装置のプロセッサを介して実行する命令が該フローチャート若しくはブロック図又はそれらの組み合わせの1以上のブロックにおいて特定された機能/動作を実装するための手段を生成するように、コンピュータのプロセッサ又は他のプログラム可能なデータ処理装置に提供されて、マシンを作り出しうる。これらのコンピュータ可読プログラム命令はまた、記憶された命令を有するコンピュータ可読記憶媒体は、該フローチャート図若しくはブロック図又はそれらの組み合わせの1以上のブロックにおいて特定される機能/動作の観点を実装する命令を含む製造品を含むように、コンピュータ・プログラム可能なデータ処理装置若しくは他のデバイス又はこれらの組み合わせに特定の様式で機能するように指示することができるコンピュータ可読記憶媒体中に記憶されうる。
該コンピュータ可読プログラム命令はまた、コンピュータ上、他のプログラム可能なデータ処理装置上又は他のデバイス上で実行される命令が、該フローチャート若しくはブロック図若しくはそれらの組み合わせの1以上のブロックにおいて特定される機能/動作を実装するように、上記のコンピュータ上、他のプログラム可能なデータ処理装置上又は他のデバイス上にロードされて、コンピュータ、他のプログラム可能な装置又は他のデバイス上で一連の動作ステップを実行させて、コンピュータに実装されたプロセスを生成しうる。
図6は、例示的な実施態様に従う、データアクセスを監視及び制御する際に、セキュリティシステムエージェントによって実行される動作の一つの例を示すフローチャートを図示する。該動作が開始されると、該セキュリティシステムエージェントは、事前定義された1セットの機密データパターンルールをセキュリティシステムから受信する(ステップ602)。要求の各アクセスと、該セキュリティシステムエージェントがインストールされているサーバからの各アクセスに関連付けられた取得されたデータとを含む応答をインターセプトすることに応答して、セキュリティシステムエージェントは、該事前定義された1セットの機密データパターンルールを使用してパターンマッチングを適用して、クライアントへの応答に含まれる機密データ、例えば、クレジットカード番号、社会保障番号、パスワード、患者記録、ジオロケーション座標等、を識別する(ステップ604)。該セキュリティシステムエージェントは、事前定義された1セットの機密データパターンルールのうちの1以上と一致する何らかの機密データがあるか否かを決定する(ステップ606)。ステップ606で、該セキュリティシステムエージェントが、事前定義された1セットの機密データパターンルールに一致する何らの機密データがないことを決定した場合、該セキュリティシステムエージェントは、該応答をそのまま該セキュリティシステムに転送する(ステップ608)。その後、該プロセスは終了する。
ステップ606で、該セキュリティシステムエージェントが、事前定義された1セットの機密データパターンルールのうちの1以上と一致する機密データを識別する場合、該セキュリティシステムエージェントは、該元の要求内の該識別されたアクセスを機密としてマーク付けし、それによって、修正された要求を形成する(ステップ610)。次に、該セキュリティシステムエージェントは、機密データへのアクセスに関連付けられた該マーク付けされたアクセス及び非機密データへのアクセスに関連付けられたマーク付けされていないアクセスと共に、該修正された要求を該セキュリティシステムに転送する(ステップ612)。その後、該プロセスは終了する。
図7は、例示的な実施態様に従う、データアクセスを監視及び制御する際に、セキュリティシステムによって実行される動作の一つの例を示すフローチャートを図示する。該動作が開始されると、該セキュリティシステムは、修正された要求を、セキュリティシステムエージェントから受信する(ステップ702)。該セキュリティシステムは、マーク付けされたアクセス識別の故に、該修正された要求をセキュリティ重要として認識する(ステップ704)。該セキュリティシステムは、該セキュリティシステムエージェントからのマーキングを識別するフィルタを使用して、該応答の各アクセス内のオブジェクトを解析することによって、もし在れば、機密データにアクセスすること無しに、該修正された要求を処理する(ステップ706)。次に、該セキュリティシステムは、該修正された要求を処理する(ステップ708)。
加えて、該セキュリティシステムは、マーク付けされたアクセスに関連付けられたオブジェクトを、該修正された要求から抽出する(ステップ710)。抽出された各オブジェクトについて、該セキュリティシステムは、実際に機密データにアクセスしたオブジェクトを使用して、又は機密データにアクセスしたオブジェクトに結合されたオブジェクトを使用して決定する(ステップ712)。ステップ712で、該オブジェクトが機密データへのアクセスであるオブジェクトに結合されたオブジェクトである場合、該セキュリティシステムは、該オブジェクトをフォールスポジティブであるとしてフィルタリングして除く(ステップ714)。ステップ712で、該オブジェクトが機密データへのアクセスである場合、該セキュリティシステムは、該オブジェクトを機密オブジェクトの該リストに追加する(ステップ716)。ステップ714及びステップ716から、該セキュリティシステムは、機密オブジェクトの該リストを、1以上のセキュリティポリシーを実装する為の基準として使用する(ステップ718)。その後、該プロセスは終了する。
図面中のフローチャート及びブロック図は、本発明の様々な実施態様に従う、システム、方法及びコンピュータ・プログラム製品のありうる実装の、アーキテクチャ、機能及び動作を示す。これに関連して、該フローチャート又はブロック図における各ブロックは、命令のモジュール、セグメント、又はその一部を表し得、それは、特定された1以上の論理機能を実装する為の1以上の実行可能命令を含む。幾つかの代替の実装において、該ブロックにおいて示されている機能は、図面中に示されている順序とは異なって生じうる。例えば、連続して示されている2つのブロックは、実際には、関与する機能に依存して、同時に、実質的に同時に、部分的又は全体的に時間的に重複する様式で実行される1つのステップとして達成されうるか、又は該ブロックは、逆の順序で実行されうる。該ブロック図若しくはフローチャート図又はこれらの組み合わせの各ブロック、並びに該ブロック図若しくはフローチャート図又はこれらの組み合わせの複数のブロックの組み合わせは、特定された機能又は動作を実行する特別な目的のハードウェアベースのシステムによって実装できることができ、又は特別な目的のハードウェアとコンピュータ命令との組み合わせを実行することができることにまた留意されたい。
上記された通り、例示的な実施態様は、完全にハードウェアの実施態様、完全にソフトウェアの実施態様、又はハードウェア要素とソフトウェア要素の両方を含む実施態様の形をとりうることが理解されるべきである。一つの例の実施態様において、例示的な実施態様のメカニズムはソフトウェアまたはプログラムコードで実装され、それはファームウェア、常駐ソフトウェア、マイクロコード等を包含するが、これらに限定されない。
プログラムコードを格納し若しくは実行し又はそれらの両方を実行する為に適したデータ処理システムは例えば、通信バス、例えばシステムバス、を介してメモリ要素に直接的に又は間接的に接続された少なくとも1つのプロセッサを備えている。該メモリ要素は、プログラムコードの実際の実行中に使用されるローカルメモリ、バルクストレージ、及び実行中にバルクストレージからコードが取得されなければならない回数を減らす為に、少なくとも幾つかのプログラムコードの一時的なストレージを提供するキャッシュメモリを備えていることができる。該メモリは、ROM、PROM、EPROM、EEPROM、DRAM、SRAM、フラッシュメモリ、ソリッドステートメモリ等を包含するが、これらに限定されない様々なタイプでありうる。
入力/出力デバイス、すなわちI/Oデバイス、(キーボード、ディスプレイ、ポインティングデバイス等を包含するが、これらに限定されない)は、直接的に又は介在する有線若しくは無線のI/Oインタフェース若しくはコントローラ又はそれらの組み合わせ等を介してシステムに接続することができる。I/Oデバイスは、慣用的なキーボード、ディスプレイ、ポインティングデバイス等以外の多くの様々な形態、例えば有線又は無線接続を介して接続された通信デバイス、例えばスマートフォン、タブレットコンピュータ、タッチスクリーンデバイス、音声認識デバイスを包含するがこれらに限定されない通信デバイス、等を採りうる。既知の又は後に開発されたI/Oデバイスは、例示的な実施態様の範囲内であることが意図されている。
ネットワークアダプタがまたシステムに結合されて、該データ処理システムが、介在するプライベートネットワーク又はパブリックネットワークを介して、他のデータ処理システム又はリモートプリンタ又はストレージ・デバイスに接続できるようにすることが可能である。モデム、ケーブルモデム、イーサネットカードは、有線通信用に現在利用可能なネットワークアダプタのほんの一部である。802.11a/b/g/n無線通信アダプタ、ブルートゥース(登録商標)無線アダプタ等を包含するがこれらに限定されない、無線通信ベースのネットワークアダプタがまた利用されうる。既知の又は後に開発されたネットワークアダプタは、本発明の精神及び範囲内にあることが意図されている。
本発明の様々な実施態様の記述は、例示の目的の為に示されているが、網羅的であることを意図されるものでなく、開示された実施態様に限定されることを意図されるものでもない。同様に、本明細書に記載された本開示の実施態様の特徴又は機能の例は、特定の実施態様説明において使用されるか又は例として記載されるかにかかわらず、本明細書に記載された本開示の実施態様を限定すること、又は本明細書に記載された例に開示を限定することを意図するものでない。記述された実施態様の範囲及び精神から逸脱すること無しに、多くの修正及び変形が当業者には明らかであろう。本明細書において使用されている語は、実施態様の原理、市場で見られている技術に対する実際の適用若しくは技術的改善を説明する為に、又は当業者が本明細書において開示された実施態様を理解できることを可能にする為に選択された。

Claims (20)

  1. データ処理システムにおいて、データアクセスを監視及び制御する方法であって、
    クライアントデバイスからの情報の要求に対する、サーバからの応答をインターセプトすることに応答して、セキュリティシステムとは別のサーバにインストールされたセキュリティシステムエージェントが、事前定義された1セットの機密データパターンルールを使用してパターンマッチングを適用して、前記応答に含まれる少なくとも1つの機密データアクセスを識別すること、
    前記セキュリティシステムエージェントが、前記少なくとも1つの機密データアクセスが前記事前定義された1セットの機密データパターンルールのうちの1以上と一致するか否かを判断すること、
    前記少なくとも1つの機密データアクセスが前記事前定義された1セットの機密データパターンルールのうちの1以上と一致することに応じて、前記セキュリティシステムエージェントが、前記少なくとも1つの機密データアクセスを機密としてマーク付けすることによって前記クライアントからの前記要求を修正し、それによって修正された要求を形成すること、及び
    前記セキュリティシステムエージェントが、前記少なくとも1つのマーク付けされた機密データアクセスと共に前記修正された要求を前記セキュリティシステムに送信し、それによって、前記修正された要求内の前記少なくとも1つのマーク付けされた機密データアクセスの故に前記少なくとも1つのマーク付けされた機密データアクセスに関連付けられた前記機密データにアクセスすること無しに、前記セキュリティシステムに、前記修正された要求を処理させること
    を含む、前記方法。
  2. 前記事前定義された1セットの機密データパターンルールが前記セキュリティシステムから受信され、及び、最初に、前記事前定義された1セットの機密データパターンルールが前記クライアントデバイスのユーザによって識別される、請求項1に記載の方法。
  3. 前記セキュリティシステムが前記少なくとも1つのマーク付けされた機密データアクセスと共に前記修正された要求を前記セキュリティシステムエージェントから受信することに応答して、
    前記セキュリティシステムが、各アクセスに関連付けられた全てのオブジェクトを、前記修正された要求から抽出すること、
    前記セキュリティシステムが、フォールスポジティブとして識別された少なくとも1つのオブジェクトをフィルタリングして除くこと、及び
    前記セキュリティシステムが、もし在れば、残りのオブジェクトを機密オブジェクトのリストに追加すること
    をさらに含む、請求項1又は2に記載の方法。
  4. フォールスポジティブとして識別された少なくとも1つのオブジェクトをフィルタリングして除くことが、
    前記少なくとも1つのオブジェクトが、機密データにアクセスする別のオブジェクトに結合されている故に、前記少なくとも1つのオブジェクトが機密オブジェクトであると識別されるか否かを前記セキュリティシステムが決定すること、及び
    前記少なくとも1つのオブジェクトが機密データにアクセスする別のオブジェクトに結合されている故に、前記少なくとも1つのオブジェクトが前記機密オブジェクトとして識別されることに応答して、前記セキュリティシステムが、少なくとも1つのオブジェクトをフォールスポジティブとしてフィルタリングして除くこと
    を含む、請求項3に記載の方法。
  5. 前記セキュリティシステムが、1以上のセキュリティポリシーを実装する為の基準としての、機密オブジェクトのリストを使用すること
    をさらに含む、請求項3に記載の方法。
  6. 前記少なくとも1つの機密データアクセスが、クレジットカード番号、社会保障番号、パスワード、患者記録、又はジオロケーション座標の1以上へのアクセスである、請求項1~5のいずれか1項に記載の方法。
  7. 前記セキュリティシステムへの前記少なくとも1つのマーク付けされた機密データアクセスと共に前記修正された要求を送信することに応答して、各アクセスに関連付けられた取得されたデータを含む応答を前記クライアントに返すことを前記セキュリティシステムエージェントが許されること
    をさらに含む、請求項1~6のいずれか1項に記載の方法。
  8. データアクセスを監視及び制御する為のコンピュータ・プログラムであって、セキュリティシステムとは別のサーバにインストールされたデバイスセキュリティシステムエージェントにおいて実行されるときに、
    クライアントデバイスからの情報の要求に対する、サーバからの応答をインターセプトすることに応答して、事前定義された1セットの機密データパターンルールを使用してパターンマッチングを適用して、前記応答に含まれる少なくとも1つの機密データアクセスを識別すること、
    前記少なくとも1つの機密データアクセスが前記事前定義された1セットの機密データパターンルールのうちの1以上と一致するか否かを判断すること、
    前記少なくとも1つの機密データアクセスが前記事前定義された1セットの機密データパターンルールのうちの1以上と一致することに応じて、前記少なくとも1つの機密データアクセスを機密としてマーク付けすることによって前記クライアントからの前記要求を修正し、それによって修正された要求を形成すること、及び
    前記少なくとも1つのマーク付けされた機密データアクセスと共に前記修正された要求を前記セキュリティシステムに送信し、それによって、前記修正された要求内の前記少なくとも1つのマーク付けされた機密データアクセスの故に前記少なくとも1つのマーク付けされた機密データアクセスに関連付けられた前記機密データにアクセスすること無しに、前記セキュリティシステムに、前記修正された要求を処理させること
    をコンピューティングデバイスに実行させる前記コンピュータ・プログラム。
  9. 前記事前定義された1セットの機密データパターンルールが前記セキュリティシステムから受信され、及び、最初に、前記事前定義された1セットの機密データパターンルールが前記クライアントデバイスのユーザによって識別される、請求項8に記載のコンピュータ・プログラム。
  10. 前記セキュリティシステムが前記少なくとも1つのマーク付けされた機密データアクセスと共に前記修正された要求を前記セキュリティシステムエージェントから受信することに応答して、前記セキュリティシステムが、
    各アクセスに関連付けられた全てのオブジェクトを、前記修正された要求から抽出し、
    フォールスポジティブとして識別された少なくとも1つのオブジェクトをフィルタリングして除き、及び
    もし在れば、残りのオブジェクトを機密オブジェクトのリストに追加する、
    請求項8又は9に記載のコンピュータ・プログラム。
  11. 前記セキュリティシステムが、フォールスポジティブとして識別された少なくとも1つのオブジェクトをフィルタリングして除くことが、
    前記少なくとも1つのオブジェクトが、機密データにアクセスする別のオブジェクトに結合されている故に、前記少なくとも1つのオブジェクトが機密オブジェクトであると識別されるか否かを決定すること、及び
    前記少なくとも1つのオブジェクトが機密データにアクセスする別のオブジェクトに結合されている故に、前記少なくとも1つのオブジェクトが前記機密オブジェクトとして識別されることに応答して、少なくとも1つのオブジェクトをフォールスポジティブとしてフィルタリングして除くこと
    を前記セキュリティシステムに行わせる、請求項10に記載のコンピュータ・プログラム。
  12. 前記セキュリティシステムが、1以上のセキュリティポリシーを実装する為の基準としての、機密オブジェクトのリストを使用するようにさらに動作する、請求項10に記載のコンピュータ・プログラム。
  13. 前記少なくとも1つの機密データアクセスが、クレジットカード番号、社会保障番号、パスワード、患者記録、又はジオロケーション座標の1以上へのアクセスである、請求項8~12のいずれか1項に記載のコンピュータ・プログラム。
  14. 前記セキュリティシステムへの前記少なくとも1つのマーク付けされた機密データアクセスと共に前記修正された要求を送信することに応答して、各アクセスに関連付けられた取得されたデータを含む応答を前記クライアントに返すことを許されること
    を前記コンピューティングデバイスに実行させる、請求項8~13のいずれか1項に記載のコンピュータ・プログラム。
  15. データアクセスを監視及び制御する為の、セキュリティシステムとは別のサーバにインストールされたセキュリティシステムエージェント機器であって、
    プロセッサ、及び
    前記プロセッサに接続されたメモリ
    を備えており、
    前記プロセッサによって実行される場合に、
    クライアントデバイスからの情報の要求に対する、サーバからの応答をインターセプトすることに応答して、事前定義された1セットの機密データパターンルールを使用してパターンマッチングを適用して、前記応答に含まれる少なくとも1つの機密データアクセスを識別すること、
    前記少なくとも1つの機密データアクセスが前記事前定義された1セットの機密データパターンルールのうちの1以上と一致するか否かを判断すること、
    前記少なくとも1つの機密データアクセスが前記事前定義された1セットの機密データパターンルールのうちの1以上と一致することに応じて、前記少なくとも1つの機密データアクセスを機密としてマーク付けすることによって前記クライアントからの前記要求を修正し、それによって修正された要求を形成すること、及び
    前記少なくとも1つのマーク付けされた機密データアクセスと共に前記修正された要求を前記セキュリティシステムに送信し、それによって、前記修正された要求内の前記少なくとも1つのマーク付けされた機密データアクセスの故に前記少なくとも1つのマーク付けされた機密データアクセスに関連付けられた前記機密データにアクセスすること無しに、前記セキュリティシステムに、前記修正された要求を処理させること
    前記プロセッサに行わせる命令を前記メモリが有している、前記セキュリティシステムエージェント機器。
  16. 前記事前定義された1セットの機密データパターンルールが前記セキュリティシステムから受信され、及び、最初に、前記事前定義された1セットの機密データパターンルールが前記クライアントデバイスのユーザによって識別される、請求項15に記載のセキュリティシステムエージェント機器。
  17. 前記セキュリティシステムが前記少なくとも1つのマーク付けされた機密データアクセスと共に別途の要求を前記セキュリティシステムエージェントから受信することに応答して、前記セキュリティシステムが、
    各アクセスに関連付けられた全てのオブジェクトを、前記修正された要求から抽出し、
    フォールスポジティブとして識別された少なくとも1つのオブジェクトをフィルタリングして除き、及び
    もし在れば、残りのオブジェクトを機密オブジェクトのリストに追加する、
    請求項15又は16に記載のセキュリティシステムエージェント機器。
  18. フォールスポジティブとして識別された前記少なくとも1つのオブジェクトをフィルタリングして除く前記セキュリティシステムが、
    前記少なくとも1つのオブジェクトが機密データにアクセスする別のオブジェクトに結合されている故に、少なくとも1つのオブジェクトが機密オブジェクトであると識別されるか否かを決定すること、及び
    前記少なくとも1つのオブジェクトが機密データにアクセスする別のオブジェクトに結合されている故に、前記少なくとも1つのオブジェクトが前記機密オブジェクトとして識別されることに応答して、少なくとも1つのオブジェクトをフォールスポジティブとしてフィルタリングして除くこと
    を行う、請求項17に記載のセキュリティシステムエージェント機器。
  19. 前記セキュリティシステムが、1以上のセキュリティポリシーを実装する為の基準としての、機密オブジェクトのリストを使用するようにさらに動作する、請求項17又は18に記載のセキュリティシステムエージェント機器。
  20. 前記命令が、
    前記セキュリティシステムへの前記少なくとも1つのマーク付けされた機密データアクセスと共に前記修正された要求を送信することに応答して、各アクセスに関連付けられた取得されたデータを含む応答を、前記クライアントに返すことを許すこと
    を前記セキュリティシステムエージェント機器に行わせる、請求項15~19のいずれか1項に記載のセキュリティシステムエージェント機器。
JP2021196754A 2020-12-15 2021-12-03 データアクセスを監視及び制御する為の方法、コンピュータ・プログラム、及びセキュリティシステムエージェント機器 Pending JP2022094938A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US17/121,975 US11481508B2 (en) 2020-12-15 2020-12-15 Data access monitoring and control
US17/121,975 2020-12-15

Publications (1)

Publication Number Publication Date
JP2022094938A true JP2022094938A (ja) 2022-06-27

Family

ID=79270395

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021196754A Pending JP2022094938A (ja) 2020-12-15 2021-12-03 データアクセスを監視及び制御する為の方法、コンピュータ・プログラム、及びセキュリティシステムエージェント機器

Country Status (5)

Country Link
US (1) US11481508B2 (ja)
JP (1) JP2022094938A (ja)
CN (1) CN114640713B (ja)
DE (1) DE102021130396A1 (ja)
GB (1) GB2606424B (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11989318B2 (en) 2022-01-04 2024-05-21 Bank Of America Corporation System and method for dynamic masking of data in a network
CN116070280B (zh) * 2023-04-06 2023-06-27 中诚华隆计算机技术有限公司 一种安全访问统计装置、方法和芯片
CN116595573B (zh) * 2023-04-14 2024-01-19 敦源信息科技(广州)有限公司 交管信息***的数据安全加固方法及装置
CN116709336B (zh) * 2023-08-03 2023-09-29 深圳市瑞迅通信息技术有限公司 一种无线通信安全监测方法及***

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8590034B2 (en) 2006-06-21 2013-11-19 Basit Hussain Method, system and apparatus for providing stateful information redaction
US8285748B2 (en) * 2008-05-28 2012-10-09 Oracle International Corporation Proactive information security management
US8983985B2 (en) * 2011-01-28 2015-03-17 International Business Machines Corporation Masking sensitive data of table columns retrieved from a database
EP2689353B1 (en) 2011-03-22 2019-11-06 Informatica LLC System and method for data masking
US8930381B2 (en) 2011-04-07 2015-01-06 Infosys Limited Methods and systems for runtime data anonymization
US20140012833A1 (en) 2011-09-13 2014-01-09 Hans-Christian Humprecht Protection of data privacy in an enterprise system
US8762406B2 (en) 2011-12-01 2014-06-24 Oracle International Corporation Real-time data redaction in a database management system
US8930382B2 (en) 2012-10-10 2015-01-06 International Business Machines Corporation High performance secure data access in a parallel processing system
US10904218B2 (en) * 2013-11-25 2021-01-26 Mcafee, Llc Secure proxy to protect private data
US9413891B2 (en) 2014-01-08 2016-08-09 Callminer, Inc. Real-time conversational analytics facility
US10097582B2 (en) 2014-11-25 2018-10-09 International Business Machines Corporation Secure data redaction and masking in intercepted data interactions
US10362060B2 (en) * 2015-12-30 2019-07-23 International Business Machines Corporation Curtailing search engines from obtaining and controlling information
US10257197B2 (en) 2016-07-14 2019-04-09 Sap Se Private data access controls in mobile applications
US10496847B2 (en) * 2017-02-16 2019-12-03 Visa International Service Association Systems and methods for anonymized behavior analysis
US10044691B1 (en) 2018-02-12 2018-08-07 Symantec Corporation Decrypting network traffic on a middlebox device using a trusted execution environment
US10803197B1 (en) * 2018-04-13 2020-10-13 Amazon Technologies, Inc. Masking sensitive information in records of filtered accesses to unstructured data
CN109492423A (zh) * 2018-09-26 2019-03-19 中国平安人寿保险股份有限公司 敏感信息过滤的方法、装置、计算机设备及存储介质
US10521605B1 (en) 2019-03-15 2019-12-31 ZenPayroll, Inc. Tagging and auditing sensitive information in a database environment
US11200338B2 (en) * 2019-03-15 2021-12-14 ZenPayroll, Inc. Tagging and auditing sensitive information in a database environment
US20210382949A1 (en) * 2020-06-07 2021-12-09 InfoTrust, LLC Systems and methods for web content inspection

Also Published As

Publication number Publication date
US20220188437A1 (en) 2022-06-16
GB2606424B (en) 2024-01-17
GB202117264D0 (en) 2022-01-12
US11481508B2 (en) 2022-10-25
CN114640713B (zh) 2024-04-30
CN114640713A (zh) 2022-06-17
GB2606424A (en) 2022-11-09
DE102021130396A1 (de) 2022-06-15

Similar Documents

Publication Publication Date Title
JP6730997B2 (ja) ソフトウェアによって定義されたインフラストラクチャ内のセキュリティのための方法、コンピュータ・プログラム、コンピュータ・システム
US20180324203A1 (en) Intelligent container resource placement based on container image vulnerability assessment
US10223329B2 (en) Policy based data collection, processing, and negotiation for analytics
US11481508B2 (en) Data access monitoring and control
CN113711561B (zh) 基于意图的治理服务
US9560052B2 (en) Installing virtual machines within different communication pathways to access protected resources
US10891386B2 (en) Dynamically provisioning virtual machines
US10834059B2 (en) Secure message handling of an application across deployment locations
US20180060605A1 (en) Image obfuscation
US9225662B2 (en) Command management in a networked computing environment
US20160080478A1 (en) Managing operations in a cloud management system
JP7369728B2 (ja) ワークロード・プロビジョニングにおけるデータ・プライバシー・アウェアネス
US10693939B2 (en) Providing modified protocol responses
US10237364B2 (en) Resource usage anonymization
US20170169212A1 (en) Security enforcement in the presence of dynamic code loading
WO2022062997A1 (en) Computer file metadata segmentation security system
CN115843359A (zh) 计算秘密的管理
JP2023538941A (ja) コンテナ化された環境のインテリジェントバックアップ及び復元
US11829634B2 (en) Consistent governance with asset constraints across data storage locations
US11194918B2 (en) Data transmission based on verification codes
US11016874B2 (en) Updating taint tags based on runtime behavior profiles

Legal Events

Date Code Title Description
RD16 Notification of change of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7436

Effective date: 20220420

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20220518