JP6497268B2 - 管理プログラム、管理装置及び管理方法 - Google Patents

管理プログラム、管理装置及び管理方法 Download PDF

Info

Publication number
JP6497268B2
JP6497268B2 JP2015160397A JP2015160397A JP6497268B2 JP 6497268 B2 JP6497268 B2 JP 6497268B2 JP 2015160397 A JP2015160397 A JP 2015160397A JP 2015160397 A JP2015160397 A JP 2015160397A JP 6497268 B2 JP6497268 B2 JP 6497268B2
Authority
JP
Japan
Prior art keywords
information
execution
command
management
executed
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2015160397A
Other languages
English (en)
Other versions
JP2017040962A (ja
Inventor
敏嗣 森
敏嗣 森
亨 北山
亨 北山
遼太 川形
遼太 川形
明伸 高石
明伸 高石
清志 ▲高▼下
清志 ▲高▼下
直人 海老根
直人 海老根
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2015160397A priority Critical patent/JP6497268B2/ja
Priority to US15/211,225 priority patent/US10430582B2/en
Publication of JP2017040962A publication Critical patent/JP2017040962A/ja
Application granted granted Critical
Publication of JP6497268B2 publication Critical patent/JP6497268B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/031Protect user input by software means

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Debugging And Monitoring (AREA)

Description

本発明は、管理プログラム、管理装置及び管理方法に関する。
コンピュータセキュリティに関する脅威の増大に対し、セキュリティインシデントの検知から対処までを自動化する取り組みがある。例えば、セキュリティインシデントを検知するセキュリティ検知製品と、運用管理操作を自動で行う運用管理フローとを組み合わせる手法がある。このような自動化手法では、セキュリティ検知製品によって検知されるアラート情報を事前に想定し、想定したアラートが通知された場合に行う対処処理を自動化フローとして定義しておく。これによって、セキュリティ検知製品がセキュリティインシデントを検知してアラートを通知したとき、対処処理が自動的に開始され、迅速なセキュリティインシデント対応が可能となる。
ところで、セキュリティ検知製品は、疑わしいと判断した全ての情報を通知するため、アラート情報には対処が不要な誤検知されたアラートが含まれる場合がある。そこで、発生したアラートの重要度、このアラートを示すオブジェクトの相対的な重要性などを処理基準としたフィルタを設け、アラート情報から誤検知されたアラートを除外する技術がある。
特開2014−10667号公報 特表2004−535624号公報
従来の自動化手法では、アラート情報が誤検知であるか否かの判定基準は、管理者が管理対象のコンピュータに発生するアラートの内容を想定して事前に定義していた。しかしながら、事前に管理対象のコンピュータにおいて実行される処理を調査し、検知され得るアラートを想定して判定基準を定義するのは容易ではない。また、管理対象のコンピュータに実行させる処理に変更が生じた場合、判定基準の再定義が必要となる。このように判定基準の定義には煩雑な作業を要し、精度の維持には随時の更新を行わなければならないため、判定基準の精度の向上は容易ではない。
一側面では、本発明は、アラート情報の誤検知判定精度を向上させることを目的とする。
一態様では、コンピュータに、処理の実行指示を受信した情報処理装置が該処理を実行する際に生成した第1のプロセスまたは実行した第1のコマンドに関する実行情報を取得し、情報処理装置において所定の事象が発生したときに情報処理装置で生成されていた第2のプロセスに関する情報、または、所定の事象が発生したときに情報処理装置で実行されていた第2のコマンドに関する情報、を含むアラート情報の受信に応じ、実行情報とアラート情報とに基づいて、第2のプロセスまたは第2のコマンドが処理の実行指示に応じて生成または実行されたものか否かを判定し、該判定結果と情報処理装置への処理の実行指示のスケジュールとに基づいて、アラート情報をフィルタリングする、処理を実行させる管理プログラム、が提供される。
一態様によれば、アラート情報の誤検知判定精度を向上させることができる。
第1の実施の形態に係る管理装置の一例を示す図である。 第2の実施の形態のシステム構成例を示す図である。 本実施の形態に用いる管理サーバのハードウェアの一構成例を示す図である。 管理サーバの機能を示すブロック図である。 実行予定処理リスト生成処理における情報の流れを示す図である。 運用管理履歴情報の一例を示す図である。 プロセス情報の一例を示す図である。 スケジュール情報の一例を示す図である。 実行予定処理リストの一例を示す図である。 管理処理の手順を示す図である。 実行予定処理リスト生成処理の手順を示す図である。 コマンド判定情報生成処理の手順を示す図である。 フィルタリング処理における情報の流れを示す図である。 フィルタリング処理の手順を示す図である。 運用管理処理によってセキュリティアラートが発生するケースの一例を示す図である。 マルウェアによってセキュリティアラートが発生するケースの一例を示す図である。
以下、本発明の実施の形態について図面を参照して説明する。
[第1の実施の形態]
図1は、第1の実施の形態に係る管理装置の一例を示す図である。管理装置1は、管理部1aと、記憶部1bと、フィルタリング部1cと、を有し、情報処理装置2の運用管理を行う。情報処理装置2は、所定のアプリケーション処理を実行する。管理装置1及び情報処理装置2は、例えば、コンピュータである。セキュリティ検知プログラム3は、情報処理装置2を監視し、不正なアクセス、不正な通信先へのファイル転送、不正なアプリケーションの起動などのセキュリティインシデントの発生を検知する。そして、セキュリティインシデントを検知したときは、その事象を示すアラート情報13aを管理装置1に送信する。アラート情報13aには、例えば情報処理装置2において所定の事象が発生したときに情報処理装置2で生成されていたプロセスに関する情報、または所定の事象が発生したときに情報処理装置2で実行されていたコマンドに関する情報が含まれる。セキュリティ検知プログラム3は、管理装置1または情報処理装置2に実装されてもよいし、他の装置に実装されるとしてもよい。管理装置1の各部について説明する。
管理部1aには、予め実行する運用管理の処理手順が定義されている。運用管理処理には、例えば、情報処理装置2のプロセスの状態確認、保持するファイル内容の確認やバックアップがある。管理部1aは、スケジュール12に設定される工程に従って決められた運用管理処理を起動し、情報処理装置2にコマンドを出力して処理を実行させる。また、情報処理装置2がこの処理を実行したときのプロセスやコマンドなど、処理実行時に採取される実行情報11を情報処理装置2から取得する。管理部1aは、取得した実行情報11を記憶部1bに格納する。記憶部1bは、実行情報11と、スケジュール12を記憶する。
フィルタリング部1cは、セキュリティ検知プログラム3からアラート情報13aを受信し、実行情報11とスケジュール12とに基づくフィルタリング処理を行う。例えばフィルタリング部1cは、アラート情報13aを受信すると、実行情報11とアラート情報13とに基づいて、アラート情報13aに示されるプロセスまたはコマンドが、処理の実行指示に応じて生成または実行されたものか否かを判定する。そしてフィルタリング部1cは、その判定結果と情報処理装置2への処理の実行指示のスケジュール12とに基づいて、アラート情報13aをフィルタリングする。セキュリティ検知プログラム3は、疑わしいと判断した全ての事象をアラート情報13aとして通知する。しかしながら、例えば、ファイル転送処理が外部装置やマルウェアの指示によって行われたのであれば、セキュリティインシデントであるが、管理装置1からの指示によって行われたものであれば、セキュリティインシデントではない。セキュリティ検知プログラム3では、管理装置1からの指示による処理であるかどうかを判断できないため、いずれの場合もアラート情報13aとして通知する。フィルタリング部1cでは、アラート情報13aが管理装置1からの指示による処理について検知されたものであるかどうかを判定し、フィルタリング処理を行う。管理装置1からの指示による処理について検知されたと判定した場合は、アラート情報13aは誤検知であると見なして破棄する。一方、管理装置1からの指示による処理について検知されたものでないと判定した場合は、誤検知ではないと確定し、確定アラート情報13bを出力する。
具体的には、フィルタリング部1cは、記憶部1bに記憶される実行情報11とスケジュール12を読み出し(S01)、実行情報11とスケジュール12に基づいて実行予定のコマンドまたはプロセスを抽出しておく(S02)。抽出した実行予定のコマンドまたはプロセスは、フィルタリング処理の判定基準に用いる。ここまでの処理は、事前に行っておくとしてもよい。フィルタリング部1cは、アラート情報13aに含まれるセキュリティインシデントを検知した情報処理装置2のコマンドまたはプロセスを判定基準と照合し、誤検知ではないと確定した確定アラート情報13bを出力するフィルタリング処理を行う(S03)。
このように、管理装置1は、情報処理装置2において実行された処理に関する実行情報11と、スケジュール12とに基づく判定基準を設定する。そして、情報処理装置2のアラート情報13aを受信したときは、アラート情報13aが誤検知であるか否かを判定し、誤検知ではないと確定した確定アラート情報13bを出力する。対象の情報処理装置2で実際に生成されたプロセスやコマンドに基づいてアラート情報13aの誤検知判定を行うので、アラート情報13aの誤検知判定精度を向上させることができる。
[第2の実施の形態]
次に第2の実施の形態について説明する。第2の実施の形態は、各種業務を行う業務サーバを管理する管理サーバを有するものである。
図2は、第2の実施の形態のシステム構成例を示す図である。ネットワーク40aには、管理サーバ10と、業務サーバ20a,20bと、業務サーバ20a,20bのセキュリティ状態を監視するセキュリティ検知装置30と、が接続されている。また、業務サーバ20a,20bは、ネットワーク40bを介してユーザ端末50a,50bと接続する。
管理サーバ10は、ネットワーク40aを介して業務サーバ20a,20bと、セキュリティ検知装置30と、に接続する。管理サーバ10は、業務サーバ20a,20bの運用管理を行うサーバであり、予め決められた手順によって業務サーバ20a,20bに運用管理処理の実行を指示する。管理サーバ10は、管理装置1の一実施形態である。
業務サーバ20a,20bは、所定の業務を行うサーバであり、例えば、ユーザ端末50a,50bとの間で通信を行って業務を遂行する。業務サーバ20a,20bは、情報処理装置2の一実施形態である。
セキュリティ検知装置30は、業務サーバ20a,20bを監視し、業務サーバ20a,20bにセキュリティインシデントを検知したときは、アラート情報を管理サーバ10に送信する。セキュリティ検知装置30は、例えば、セキュリティ検知プログラム3を実装するコンピュータである。セキュリティ検知装置30は、業務サーバ20a,20bと、ユーザ端末50a,50bや他の業務サーバなど外部機器との間の通信を監視する。そして、業務サーバ20a,20bへの不正なアクセスや業務サーバ20a,20bからの不正なデータ送出など、不正利用の疑いがある通信をセキュリティインシデントと見なし、管理サーバ10にアラート情報を送信する。
ユーザ端末50a,50bは、利用者が所望する情報を業務サーバ20a,20bから取得して表示を行うなど、業務サーバ20a,20bと協働して所定の処理を行う。
なお、図2では、セキュリティ検知装置30を介してネットワーク40aとネットワーク40bとが接続する構成を示しているが、上記の機器がすべて同一のネットワークに接続する構成であってもよい。また、独立したセキュリティ検知装置30を設けなくてもよく、例えば、管理サーバ10または業務サーバ20a,20bにおいてセキュリティ検知処理を行うとしてもよい。
図3は、本実施の形態に用いる管理サーバのハードウェアの一構成例を示す図である。管理サーバ10は、プロセッサ101によって装置全体が制御されている。プロセッサ101には、バス109を介してメモリ102と複数の周辺機器が接続されている。プロセッサ101は、マルチプロセッサであってもよい。プロセッサ101は、例えばCPU(Central Processing Unit)、MPU(Micro Processing Unit)、またはDSP(Digital Signal Processor)である。プロセッサ101がプログラムを実行することで実現する機能の少なくとも一部を、ASIC(Application Specific Integrated Circuit)、PLD(Programmable Logic Device)などの電子回路で実現してもよい。
メモリ102は、管理サーバ10の主記憶装置として使用される。メモリ102には、プロセッサ101に実行させるOS(Operating System)のプログラムやアプリケーションプログラムの少なくとも一部が一時的に格納される。また、メモリ102には、プロセッサ101による処理に利用する各種データが格納される。メモリ102としては、例えばRAM(Random Access Memory)などの揮発性の半導体記憶装置が使用される。
バス109に接続されている周辺機器としては、HDD(Hard Disk Drive)103、グラフィック処理装置104、入力インタフェース105、光学ドライブ装置106、機器接続インタフェース107及びネットワークインタフェース108がある。
HDD103は、内蔵したディスクに対して、磁気的にデータの書き込み及び読み出しを行う。HDD103は、管理サーバ10の補助記憶装置として使用される。HDD103には、OSのプログラム、アプリケーションプログラム、及び各種データが格納される。なお、補助記憶装置としては、フラッシュメモリなどの不揮発性の半導体記憶装置(SSD:Solid State Drive)を使用することもできる。
グラフィック処理装置104には、モニタ61が接続されている。グラフィック処理装置104は、プロセッサ101からの命令に従って、画像をモニタ61の画面に表示させる。モニタ61としては、CRT(Cathode Ray Tube)を用いた表示装置や液晶表示装置などがある。
入力インタフェース105には、キーボード62とマウス63とが接続されている。入力インタフェース105は、キーボード62やマウス63から送られてくる信号をプロセッサ101に送信する。なお、マウス63は、ポインティングデバイスの一例であり、他のポインティングデバイスを使用することもできる。他のポインティングデバイスとしては、タッチパネル、タブレット、タッチパッド、トラックボールなどがある。
光学ドライブ装置106は、レーザ光などを利用して、光ディスク64に記録されたデータの読み取りを行う。光ディスク64は、光の反射によって読み取り可能なようにデータが記録された可搬型の記録媒体である。光ディスク64には、DVD(Digital Versatile Disc)、DVD−RAM、CD−ROM(Compact Disc Read Only Memory)、CD−R(Recordable)/RW(ReWritable)などがある。
機器接続インタフェース107は、管理サーバ10に周辺機器を接続するための通信インタフェースである。例えば機器接続インタフェース107には、メモリ装置65やメモリリーダライタ66を接続することができる。メモリ装置65は、機器接続インタフェース107との通信機能を搭載した記録媒体である。メモリリーダライタ66は、メモリカード67へのデータの書き込み、またはメモリカード67からのデータの読み出しを行う装置である。メモリカード67は、カード型の記録媒体である。
ネットワークインタフェース108は、ネットワーク40に接続されている。ネットワークインタフェース108は、ネットワーク40を介して、他のコンピュータまたは通信機器との間でデータの送受信を行う。
以上のようなハードウェア構成によって、第2の実施の形態の処理機能を実現することができる。なお、業務サーバ20a,20b、セキュリティ検知装置30及びユーザ端末50a,50bも図3に示した管理サーバ10と同様のハードウェアにより実現することができる。また、第1の実施の形態に示した管理装置1も、図3に示した管理サーバ10と同様のハードウェアにより実現することができる。
管理サーバ10は、例えばコンピュータ読み取り可能な記録媒体に記録されたプログラムを実行することにより、第2の実施の形態の処理機能を実現する。管理サーバ10に実行させる処理内容を記述したプログラムは、様々な記録媒体に記録しておくことができる。例えば、管理サーバ10に実行させるプログラムをHDD103に格納しておくことができる。プロセッサ101は、HDD103内のプログラムの少なくとも一部をメモリ102にロードし、プログラムを実行する。また管理サーバ10に実行させるプログラムを、光ディスク64、メモリ装置65、メモリカード67などの可搬型記録媒体に記録しておくこともできる。可搬型記録媒体に格納されたプログラムは、例えばプロセッサ101からの制御により、HDD103にインストールされた後、実行可能となる。またプロセッサ101が、可搬型記録媒体から直接プログラムを読み出して実行することもできる。
図4は、管理サーバの機能を示すブロック図である。管理サーバ10は、フロー管理部110と、記憶部120と、フィルタリング部130と、を有する。なお、管理サーバ10は、複数の業務サーバ20a,20bを管理するが、運用管理処理はサーバ単位に行うので、以下では代表して1台の業務サーバ20に関する処理について説明する。
フロー管理部110は、フロー制御部111と、予め管理者が定義した対処フロー600と、管理フロー700と、を有する。対処フロー600及び管理フロー700は、業務サーバ20に実行を指示する処理を定義したものであり、フロー管理部110の記憶領域に格納されている。なお、対処フロー600及び管理フロー700は、記憶部120に記憶されていてもよい。対処フロー600は、確定アラート情報801が入力したときに、業務サーバ20に実行させる対処処理を定義するものである。対処フロー600は、処理が定義される対処処理部品の組み合わせで記述される。対処フロー600には、例えば、ネットワークからの離脱やアプリケーションの停止などの処理が定義される。管理フロー700は、運用管理のために業務サーバ200において実行する作業を定義したフローである。管理フロー700は運用操作部品の組み合わせで記述される。管理フロー700には、例えば、業務サーバ20におけるファイルの転送、プロセス状態確認、メールの送信、ディレクトリ/ファイルの検索などの作業が定義される。
フロー制御部111は、スケジュール情報540に基づいて管理フロー700を起動する。また、フロー制御部111は、管理フロー700の実行時に業務サーバ20に実行させた作業履歴を運用管理履歴情報520として蓄積し、記憶部120に格納する。また、履歴を採取した作業において業務サーバ20が実行したプロセスやコマンドに関する実行情報500を業務サーバ20から採取する。そして、採取した実行情報500を対応する運用管理履歴情報520の履歴に紐付け、プロセス情報530として記憶部120に蓄積する。なお、実行情報500のうち、履歴情報として蓄積する情報は、例えば、運用管理履歴情報520に追加する。また、フロー制御部111は、フィルタリング部130によって誤検知ではないと確定された確定アラート情報801を取得したときは、確定アラート情報801に対応する対処フロー600を起動する。フロー管理部110は、第1の実施の形態の管理部1aの一実施形態である。
記憶部120は、運用管理履歴情報520、プロセス情報530、スケジュール情報540及び実行予定処理リスト550を記憶する。記憶部120としては、例えば、メモリ102またはHDD103の記憶領域の一部が使用される。
フィルタリング部130は、実行予定処理リスト生成部131と、フィルタリング処理部132とを有する。実行予定処理リスト生成部131は、フロー管理部110が運用管理処理において採取した運用管理履歴情報520と、プロセス情報530と、スケジュール情報540と、管理フロー700と、に基づき、実行予定処理リスト550を作成する。実行予定処理リスト生成部131は、スケジュール情報540に基づいて、所定の期間に実行予定の管理フロー700を特定する。そして、この管理フロー700の実行時に蓄積した運用管理履歴情報520と、運用管理履歴情報520に紐付けされるプロセス情報530とに基づいて、実行予定のコマンドまたはプロセスに関するリストを生成する。実行予定処理リスト550には、実行予定のコマンドまたはプロセスに関し、運用管理履歴情報520またはプロセス情報530からの抽出情報、あるいは、抽出情報に基づいて生成した情報が登録される。フィルタリング処理部132は、実行予定処理リスト550に基づいて、セキュリティ検知装置30から取得したアラート情報800のフィルタリング処理を行う。フィルタリング部130は、第1の実施の形態のフィルタリング部1cの一実施形態である。
業務サーバ20は、所定の業務を行うサーバである。また、管理サーバ10のフロー制御部111から受け取ったコマンドに従って処理を行う。
このように、管理サーバ10では、フロー管理部110は、スケジュール情報540に従って管理フロー700を起動する。第2の実施の形態では、管理フロー700に定義される業務サーバ20に実行させる処理は、業務サーバ20の運用管理作業に関するものであり、定期的に実行される。例えば、決められた日の決められた時刻に同じ管理フロー700が起動される。これにより、過去に行った処理の履歴情報に基づいて、次に同じ管理フロー700を実行する際に、業務サーバ20で起動されるコマンドやプロセス、各処理に要する時間などを予測することができる。フロー管理部110は、業務サーバ200に処理を実行させるごとに実行情報500を採取し、運用管理履歴情報520及びプロセス情報530として蓄積する。フィルタリング部130では、蓄積された運用管理履歴情報520及びプロセス情報530と、スケジュール情報540と、に基づいて実行予定処理リスト550を生成する。
セキュリティ検知装置30は、業務サーバ20のセキュリティインシデントを検知し、アラート情報800を管理サーバ10に送信する。フィルタリング部130は、実行予定処理リスト550に基づいてアラート情報800のセキュリティインシデントがフロー管理部110による処理によるものであるか否かを判定する。フィルタリング部130は、アラート情報800がフロー管理部110によるものであれば誤検知と判定し、フロー管理部100によるものでなければ誤検知ではないと判定する。フィルタリング部130は、誤検知ではないと判定した確定アラート情報801をフロー管理部110に出力する。フロー管理部110では、確定アラート情報801を受け付け、対応する対処フロー600を起動する。
このように、アラート情報800の誤検知の判定を過去に運用管理処理を行ったときに採取した情報を用いて行うので、アラート情報800の誤検知の判定精度を向上することができる。さらに、誤検知されたアラート情報800によって誤った対処処理が実行されることを防止することができる。
以下、具体例を挙げて管理サーバ10の処理を説明する。最初に、実行予定処理リスト550を生成する処理について説明し、次に、実行予定処理リスト550を用いたフィルタリング処理について説明する。
(1)実行予定処理リスト生成処理
図5は、実行予定処理リスト生成処理における情報の流れを示す図である。図5では、図4に示す管理サーバ10の構成のうち、実行予定処理リスト生成処理に関連する構成を抜き出して示す。
管理フロー700は、運用管理処理を定義した複数の管理フロー01(710)、・・・、管理フローn(720)を有する。図5の例では、管理フロー01(710)として、業務サーバ20にファイル転送を指示する部品A(710a)と、部品B(710b)が定義されている。フロー制御部111は、スケジュール情報540に基づいて、管理フロー01(710)の起動時刻に管理フロー01(710)に基づく処理を起動する。管理フロー01(710)に基づいて、部品A(710a)、部品B(710b)に定義される業務サーバ20に対する運用管理処理を実行する。処理の実行は、例えば、リモートログインして業務サーバ20を操作し、ファイルの転送やプロセス状態の確認などの運用管理作業を行う。または、業務サーバ20に配置したエージェントに指示して同様の作業を行う。図5に示す例では、部品A(710a)には「ファイル転送」が定義されており、ssh(Secure Shell)を利用して業務サーバ20上のコマンドを実行する。このとき、フロー制御部111は、sshの接続先とセッションID及び運用操作部品の履歴IDとを記録しておく。履歴IDは、図5の例では部品A(710a)の履歴情報であることを示す識別情報である。
業務サーバ20では、ssh21を介してファイル転送の実行コマンド22が起動される。実行コマンド22ではOSプロセスのサブコマンド23を起動し、指示されたファイル転送処理を実行する。管理サーバ10側は、ファイル転送を指示する指令を出力するが、業務サーバ20のOSプロセスにおいてどのようなコマンドを用いて処理を行うかは、業務サーバ20において決定される。このように、業務サーバ20において実行するコマンドまたはプロセスは、業務サーバ20が決定するため、管理サーバ10側が有する情報から把握することができない。そこで、管理フロー700による処理を行う場合に、業務サーバ20側でもOSプロセスとプロセスツリー情報より、接続セッションIDを特定し、接続セッションIDとプロセスツリー情報を関連付けて記憶しておく。また、業務サーバ20では、プロセスツリー情報の採取に加え、実際に実行されたOSコマンド及びコマンドに渡したパラメータ、コマンドによって実行したモジュールのハッシュ値(以下、実行コマンドハッシュ値とする)などを採取する。また、各コマンドまたはプロセスの処理を実行するごとに、処理の開始時刻と終了時刻とを採取しておく。これらの情報は、コマンドまたはプロセスの特定に用いることができる。また、通信を行ったときは通信アドレスなど通信先の情報をファイアウォールログなどから取得する。こうして業務サーバ20側で採取したプロセスツリー情報、実行コマンド、コマンドパラメータ、実行コマンドハッシュ値、通信先情報及び処理の開始時刻と終了時刻は、実行情報501として接続セッションIDに関連付けて記憶しておく。
業務サーバ20側で部品A(710a)に対応する処理が終了したときは、フロー管理部110は、業務サーバ20が保持する実行情報501を採取する。採取は、フロー制御部111が行うとしてもよいし、予め部品A(710a)内に送信処理を定義しておくとしてもよい。フロー管理部110は、処理に対応付けて保持していた接続セッションID及び履歴IDと、業務サーバ20から採取した実行情報501に対応付けられている接続セッションIDとによって、今回の管理フロー処理に対応する運用管理履歴とプロセス情報とを紐付け、運用管理履歴情報520と、プロセス情報530とに追加登録する。
こうして、記憶部120には、管理フロー700による処理を実行するごとに、運用管理履歴情報520とプロセス情報530とが蓄積される。しかし、運用管理履歴情報520とプロセス情報530とを単に蓄積していくとすると、管理サーバ10のリソースが枯渇するなどの問題が生じる。そこで、フロー管理部110は、取得したプロセス情報を解析し、所定の蓄積条件を満たす情報のみを蓄積する。例えば、業務サーバ20のプロセス定義に変更があった場合の初回の管理フロー700実行時のプロセス情報は蓄積する。また、取得した実行コマンドハッシュ値を前回の処理において取得した同じコマンドの実行コマンドハッシュ値と照合し、異なっているときに今回のプロセス情報を蓄積する。実行コマンドハッシュ値が同じであれば、そのプロセス情報は蓄積しない。このように、フロー制御部111は、蓄積するプロセス情報を取捨選択することにより、管理サーバ10のリソースの枯渇を抑制することができる。
実行予定処理リスト生成部131は、記憶部120に蓄積された運用管理履歴情報520及びプロセス情報530と、スケジュール情報540とに基づいて、実行予定処理リスト550を生成する。実行予定処理リスト生成部131は、予め指定された時刻に処理を開始し、運用管理履歴情報520と、プロセス情報530から参照用の情報を抽出する。例えば、単位期間を1カ月とし、1カ月の間に蓄積された運用管理履歴情報520のうち、1カ月の間に蓄積された履歴を抽出する。また、1カ月の間に蓄積された履歴の数が多いときは、個数を制限するとしてもよい。プロセス情報530は、抽出した運用管理履歴情報に紐づけられたプロセス情報を抽出する。実行予定処理リスト生成部131は、抽出した情報に基づいて実行コマンドリストを作成する。実行コマンドリストは、運用操作部品ごとに、この部品で実行される実行コマンド、実行コマンドハッシュ値、コマンドパラメータなどのコマンドに関する情報を含む。次に、実行予定処理リスト生成部131は、スケジュール情報540に基づいて、所定の期間に起動する管理フロー700を特定し、特定した管理フロー700に対応する運用操作部品の情報を実行コマンドリストより抽出する。また、実行予定処理リスト生成部131は、運用管理履歴情報520の対応する履歴情報を抽出し、処理の終了までにかかる時間の平均値や所要時間の最大・最小値などを算出する。スケジュール情報540に定義される開始時刻及び終了時刻は、予定時刻であり、実際に処理を行う時間との間にずれが生じる。そこで、履歴情報に基づいて実際に処理を行う際の時刻と、予定時刻とのずれの最大値を算出し、検知されたアラートがこの処理によるものであるか否かの判定基準に時間幅を持たせる。
上記の処理によって記憶部120に格納される運用管理履歴情報520、プロセス情報530、スケジュール情報540及び実行予定処理リスト550について説明する。
図6は、運用管理履歴情報の一例を示す図である。運用管理履歴情報520aは、管理フロー700の実行時に、管理サーバ10側で採取した作業情報と、業務サーバ20で採取した実行情報500より抽出した情報と、を含む。作業情報には、管理フロー700の運用操作部品ID、管理フロー名、運用操作部品名、作業開始日時、作業終了日時、作業開始メッセージ、作業終了メッセージ、作業結果内容、作業進捗メッセージ及び作業結果コードがある。実行情報500より抽出した情報には、実行されたコマンドごとに採取した実行コマンド、処理開始日時及び処理終了日時を含む。図6に示す運用管理履歴情報520aは、1つの運用操作部品についての履歴情報であり、フロー管理部110では、同様の履歴情報を管理フロー700に定義される全ての運用操作部品について生成する。また、各運用操作部品の履歴は当該運用操作部品の処理を実行するごとに蓄積される。
運用操作部品IDには、運用操作部品を識別する運用操作部品IDが設定される。運用操作部品IDは、運用操作部品に付された識別情報であり、運用操作部品ごとに個別に付与される。管理フロー名には、フロー制御部111が起動した管理フロー700に付されている名称が設定される。各管理フローは、管理フロー名によって識別される。運用操作部品名には、管理フロー700に定義されている運用操作部品に付されている名称が設定される。名称は、運用操作部品における作業の内容を示すものである。作業開始日時には、管理フロー700が起動して運用操作部品に定義されている作業を開始した日時、作業終了日時には作業を終了した日時が設定される。作業開始メッセージには、運用操作部品に定義されている作業を開始したときに、必要に応じて提示するメッセージが設定される。作業終了メッセージには、運用操作部品に定義されている作業を終了したときのメッセージが設定される。作業結果内容には、作業の結果が設定される。作業進捗メッセージには、運用操作部品に定義されている作業の進捗状態のメッセージが設定される。作業結果コードには、作業結果を示す結果コードが設定される。作業結果コードに基づいて、管理フロー700が次に遷移する遷移先を判断することができる。プロセス情報には、この運用管理履歴情報と紐付けたプロセス情報530aのプロセス情報のIDが設定される。以上が、管理サーバ10側で採取できる管理フロー700の作業情報である。
実行コマンドには、業務サーバ20が実行したコマンドが設定される。処理開始日時には、この実行コマンドの処理を開始した処理開始日時が設定される。処理終了日時には、この実行コマンドの処理を終了した処理終了日時が設定される。項番11から項番13の項目は、実行された実行コマンドの数分登録される。
図7は、プロセス情報の一例を示す図である。プロセス情報530aは、管理フロー名、運用操作部品名、作業開始日時、作業終了日時、実行されるプロセスツリー、実行コマンド、実行コマンドハッシュ値、コマンドパラメータ及び通信先情報の項目を有する。図7に示すプロセス情報530aは、図6に示す運用管理履歴情報520aと紐づけられている。
管理フロー名、運用操作部品名、作業開始日時及び作業終了日時には、紐付けがされた運用管理履歴情報520aと同じ情報が設定される。
実行されるプロセスツリーには、運用操作部品によって指示された作業により業務サーバ20が生成するプロセスツリーが設定される。業務サーバ20は、このプロセスツリーに従って処理を行う。実行コマンドは、運用管理作業で実行されるコマンドであり、プロセスツリーによって判断できる。実行コマンドハッシュ値には、実行コマンドによって実行されるモジュールのハッシュ値が設定される。実行モジュールが同じであれば、同じハッシュ値が得られる。コマンドパラメータには、コマンド実行時に引き渡されるパラメータが設定される。通信先情報には、ファイアウォールログより取得した通信先アドレスが設定される。項番7の実行コマンドから項番10の通信先情報までの情報は、実行されるコマンドが複数ある場合には、それぞれのコマンドに対して設定される。
このように、プロセス情報530aは、業務サーバ20が管理サーバ10からの指示によって行った処理の際に業務サーバ20自身が採取する実行情報500である。
なお、管理サーバ10では、業務サーバ20から取得した実行情報500のうち、コマンドまたはプロセスの処理開始日時及び処理終了日時は、コマンドまたはプロセスごとに運用管理履歴情報520aに登録している。これは、処理開始日時及び処理終了日時は、処理ごとに数値にばらつきが生じるため、実行予定処理リスト550の生成には、統計処理が必要となることによる。一方、プロセス情報530aに設定される情報は、管理フロー700の変更、業務サーバ20側の構成変更などがなければ、変化しない情報である。そこで、これらの情報は、プロセス情報530aとして、運用管理履歴情報520aとは別に管理する。さらに、これらの情報は上記のような変更がなければ変化しないので、毎回記憶部120に蓄積すると、管理サーバ10のリソースが不足する恐れがある。そこで、フロー制御部111は、実行情報500をチェックし、前回取得時から変化がないときは、プロセス情報530aとして蓄積しない。前回取得時から変化があったとき、または初回起動時には実行情報500から該当する箇所を抽出し、実行情報500に基づいて同時に更新処理を行った運用管理履歴情報520aに紐付けて、記憶部120に蓄積する。
図8は、スケジュール情報の一例を示す図である。スケジュール情報540aは、ID、起動対象管理フロー、起動予定時刻、終了予定時刻、作業対象業務サーバ及び実行パラメータの項目を有する。図8に示すスケジュール情報540aには、図6及び図7に示す管理フローを起動するスケジュールが登録されている。
IDは、このスケジュールを識別する情報である。起動対象管理フローには、起動する対象の管理フロー名が設定される。起動予定時刻には、この起動対象管理フローを起動する予定時刻が、終了予定時刻は、この起動対象管理フローが処理を終了する予定時刻が設定される。作業対象業務サーバには、起動対象管理フローの処理を実行させる業務サーバが設定される。実行パラメータには、起動対象管理フローを実行する際に引き渡すパラメータを格納するファイルが設定される。
図9は、実行予定処理リストの一例を示す図である。実行予定処理リスト550aは、コマンド名/OSプロセス名、管理フロー名、運用操作部品ID、親プロセス名、実行コマンドパス、通信先情報、実行コマンドハッシュ値、コマンドパラメータ、運用操作部品名、実行開始予定時刻、実行終了予定時刻、開始遅延時間、平均終了時間、最小終了時間、最大終了時間の項目を有する。各項目の値は、実行予定処理リスト生成部131が、スケジュール情報540a、運用管理履歴情報520a、プロセス情報530a及び管理フロー700の定義に基づいて設定する。図9では、当日に実行予定のコマンドについて実行予定処理リストを生成する場合について説明する。また、図9では、1つのコマンドに関する情報を示すが、実行予定処理リスト生成部131は、当日に実行予定の管理フローによって実行される全コマンドまたは全OSプロセスについて同様の情報を設定してリストを生成する。
コマンド名/OSプロセス名には、実行予定のコマンド名またはOSプロセス名が設定される。管理フロー名には、実行予定の管理フローの名称が設定される。運用操作部品ID及び運用操作部品名は、実行予定の管理フローに定義される運用操作部品ID及び運用操作部品名が設定される。管理フロー名は、実行予定処理リスト生成部131が、スケジュール情報540aに基づいて当日実行する管理フロー名を抽出して設定する。同様に、運用操作部品ID及び運用操作部品名も設定される。コマンド名/OSプロセス名は、抽出した運用操作部品に関する運用管理履歴を運用管理履歴情報520aから抽出し、抽出した運用管理履歴に登録される実行コマンドの項の値を抽出して設定する。例えば、図6の運用管理履歴情報520aの管理フロー名「Flow001」の運用操作部品名「Parts0001」に対応する実行コマンド「sftp」を抽出し、実行予定処理リスト550aに設定する。
通信先情報には、登録されるコマンドの処理を実行したときの通信先が設定される。実行コマンドハッシュ値には、実行予定のコマンドのハッシュ値が設定される。コマンドパラメータには、実行予定のコマンドを起動する際に引き渡すパラメータが設定される。実行予定処理リスト生成部131は、運用管理履歴情報520aに紐付けられている図7に示すプロセス情報530aを抽出し、実行予定処理リスト550aのコマンド名/OSプロセス名に対応する実行コマンドハッシュ値、コマンドパラメータ及び通信先情報を設定する。なお、親プロセス名、実行コマンドパスは、プロセス情報530aの実行されるプロセスツリーの情報に基づいて設定する。
実行開始予定時刻には、処理の起動予定時刻が設定される。実行終了予定時刻には、処理の終了予定時刻が設定される。開始遅延時間は、処理の予定時刻から実際に処理を開始した時刻との差であり、処理の開始が遅延する可能性がある時間を示す。平均終了時間は、過去に実際に処理を行った際に、処理の開始から終了までにかかった時間の平均値である。最小終了時間は、過去において処理にかかった最も短い時間である。最大終了時間は、過去において処理にかかった最も長い時間である。これらの情報は、抽出した運用管理履歴情報520aの該当コマンドの情報に基づいて設定する。これらの情報は、スケジュール情報540aの起動予定時刻と、運用管理履歴情報520aの処理開始日時と処理終了日時に基づいて算出する。なお、第2の実施の形態では、管理フロー700の処理は、毎日同じ起動時間に起動されるとしている。運用管理履歴情報520aは、該当の実行コマンドを実行したときの履歴が複数回分蓄積されている。まず、複数回分の処理開始日時と処理終了日時とを統計処理することにより、開始遅延時間、平均終了時間、最小終了時間、最大終了時間を算出する。実行開始予定時刻は、スケジュール情報540aのフローの起動予定時刻を管理フロー700における最初の開始時刻として、管理フロー700とプロセス情報530aの実行されるプロセスツリーとに基づいて算出する。例えば、プロセスツリーより把握される該当するコマンドの実行順と、各コマンドの平均終了時間とを用いて算出することができる。実行終了予定時刻は、実行開始予定時刻に平均終了時間を加算して算出することができる。開始遅延時間は、算出した実行開始予定時刻と、運用管理履歴情報520aの処理開始日時との差に基づいて、算出することができる。
なお、上記に示す実行予定処理リスト550aの項目と値の算出方法は、一例であり、この中の一部を省略してもよい。また、コマンドまたはプロセスを特定する情報であれば、他の項目を追加するとしてもよい。
以下、フローチャートを用いて管理サーバ10の処理手順を説明する。
図10は、管理処理の手順を示す図である。管理処理は、フロー管理部110が管理フロー700を起動して行う運用管理作業に伴う処理である。フロー制御部111は、記憶部120に格納されるスケジュール情報540を読み出して「起動予定時刻」をチェックし、起動予定時刻が過ぎた管理フロー700を起動する。以下の処理は、管理フロー700に定義される運用操作部品ごとに実行する。
[ステップS11]フロー制御部111は、読み出したスケジュール情報540の「作業対象業務サーバ」の設定に基づいて、設定される業務サーバへ接続し、sshセッションを確立する。このとき付与したセッションIDは、管理サーバ側sshセッションIDとして記録しておく。
[ステップS12]フロー制御部111は、起動した運用操作部品の処理がsshセッションIDで紐付けされる業務サーバへコマンドを出力して実行する運用管理作業を監視する。また、フロー制御部111は、運用管理作業の履歴を運用管理履歴情報520に記録する。業務サーバ20側では、管理サーバ10が出力したコマンドに応じて実行するOSプロセスツリーの構成、コマンドパラメータなどの実行情報500を採取し、実行コマンドに対応付けて記録する。実行情報500の採取は、管理フロー700に処理が定義されているとしてもよい。
[ステップS13]フロー制御部111は、運用操作部品の処理が終了したとき、紐付けされている業務サーバ20が採取した実行情報500を取得する。実行情報500には、業務サーバ20において実行されたコマンドまたはプロセスごとに、処理開始日時と処理終了日時と、OSプロセスツリーと、実行コマンドハッシュ値、コマンドパラメータ、通信先情報などが含まれる。以下では、OSプロセスツリー、実行コマンドハッシュ値、コマンドパラメータ及び通信先情報をプロセス情報530とする。フロー制御部111は、実行コマンドと、この実行コマンドの処理開始日時と処理終了日時とを、紐付けされている運用管理履歴情報520に登録する。
[ステップS14]フロー制御部111は、記憶部120の運用管理履歴情報520を検索し、同じ管理フロー700について過去に採取した履歴情報の有無をチェックする。フロー制御部111は、過去に採取した履歴情報を検出したときは、処理をステップS15に進め、検出しなかったときは処理をステップS16に進める。
[ステップS15]フロー制御部111は、検出した履歴情報に紐づけられたプロセス情報を記憶部120のプロセス情報530から抽出し、今回取得したプロセス情報と照合する。フロー制御部111は、それぞれのプロセスツリー構成、通信先情報、実行コマンドハッシュ値などを比較し、全て同一であるか否かを判定する。フロー制御部111は、プロセスツリー構成、通信先情報及び実行コマンドハッシュ値が同一であるときは、処理を終了し、同一でないときは、処理をステップS16に進める。
[ステップS16]フロー制御部111は、今回取得したプロセス情報と同じものがプロセス情報530に存在しないので、プロセス情報530に蓄積する。また、今回取得したプロセス情報のIDを今回記録した運用管理履歴情報の「プロセス情報」に設定し、プロセス情報と運用管理履歴情報とを紐付けて蓄積する。
以上の処理手順が実行されることにより、管理フロー700の運用操作部品の処理が実行されるごとに、記憶部120の運用管理履歴情報520とプロセス情報530にその履歴が蓄積される。
図11は、実行予定処理リスト生成処理の手順を示す図である。実行予定処理リスト生成部131は、所定の期間に実行予定のあるコマンドに関する実行予定処理リストを生成する。以下では、当日に実行が予定されるコマンドのリストを生成する処理を説明する。
[ステップS21]実行予定処理リスト生成部131は、リスト生成処理を開始する指定時刻となったか否かをチェックする。指定時刻を過ぎていれば処理をステップS22に進め、指定時刻になっていなければ待ち状態を継続する。
[ステップS22]実行予定処理リスト生成部131は、記憶部120からスケジュール情報540を読み出し、管理フロー700の実行スケジュールを取得する。
[ステップS23]実行予定処理リスト生成部131は、管理フロー700のうち、当日実行予定の管理フローを抽出する。例えば、実行予定処理リスト生成部131は、スケジュール情報540aの「起動予定時刻」が当日の管理フローを抽出する。
[ステップS24]実行予定処理リスト生成部131は、抽出した管理フローによって定義されている運用操作部品のうち、実行予定処理リストを作成していない未処理の運用操作部品を1つ選択する。
[ステップS25]実行予定処理リスト生成部131は、選択した運用操作部品の1カ月分の履歴を運用管理履歴情報520より抽出する。実行予定処理リスト生成部131は、運用管理履歴情報520aの「運用操作部品ID」と「作業開始日時」に基づいて、所望の運用管理履歴情報を検索する。なお、1カ月の履歴の数が所定の数に満たないときは、さらに以前の履歴を抽出する。一方、数が多いときは、作業を行った日時が近いものを選択する。
[ステップS26]実行予定処理リスト生成部131は、運用管理履歴情報と紐付けられているプロセス情報を抽出する。
[ステップS27]実行予定処理リスト生成部131は、抽出した運用管理履歴情報及びプロセス情報に基づいて、アラート情報800が誤検知であるか否かの判定基準となるコマンド判定情報生成処理を行う。コマンド判定情報生成処理は、図12を用いて説明する。
[ステップS28]実行予定処理リスト生成部131は、コマンド判定情報が設定されていない未処理の運用操作部品がないかどうか判定する。未処理の運用操作部品があるときは、処理をステップS24に進め、未処理の運用操作部品の処理を行う。未処理の運用操作部品がないときは、処理を終了する。
図12は、コマンド判定情報生成処理の手順を示す図である。
[ステップS271]実行予定処理リスト生成部131は、運用管理履歴情報に設定されている実行コマンドを1つ選択し、選択した実行コマンドの処理開始日時と処理終了日時を抽出する。
[ステップS272]実行予定処理リスト生成部131は、抽出されたプロセス情報から、ステップS271で選択した実行コマンドに対応する「実行されるプロセスツリー」、「実行コマンドハッシュ値」、「コマンドパラメータ」及び「通信先情報」の値を取得する。
[ステップS273]実行予定処理リスト生成部131は、スケジュール情報から該当する管理フローの起動予定時刻と、抽出した運用管理履歴情報の「作業開始日時」及び「作業終了日時」とに基づいて、実行開始予定時刻と実行終了予定時刻とを算出する。運用管理履歴情報の「作業開始日時」及び「作業終了日時」は、運用操作部品の作業開始日時と作業終了日時であり、例えば、毎日同じ時間に作業が開始される。
[ステップS274]実行予定処理リスト生成部131は、算出した実行予定時刻と、運用管理履歴情報の「作業開始日時」との差を算出し、開始時刻が遅延する開始遅延時間とする。運用管理履歴情報は、複数回分の情報を有しているので、例えば、それぞれについて算出した開始遅延時間の平均値を開始遅延時間とする。
[ステップS275]実行予定処理リスト生成部131は、運用管理履歴情報の「作業開始日時」と「作業終了日時」とに基づいて、コマンドの実行にかかる平均終了時間、最小終了時間、最大終了時間を算出する。
[ステップS276]実行予定処理リスト生成部131は、抽出または算出した上記の値を実行予定処理リスト550に登録する。
[ステップS277]実行予定処理リスト生成部131は、実行予定処理リスト550に登録していない未処理のコマンドの有無をチェックする。未処理のコマンドがあるときは、処理をステップS271に進め、未処理のコマンドがないときは処理を終了する。なお、同じ運用操作部品のコマンドであれば、ステップS273からステップS275の処理は省略し、先に算出した値を用いるとしてもよい。
以上の処理手順が実行されることにより、アラート情報800が誤検知であるか否かを判定する判定基準に用いる実行予定処理リスト550が生成される。このように、実行予定処理リスト550は、実際に管理フロー700を実行したときに検出する情報に基づいて自動的に設定される。これにより、アラート情報800の誤検知を検出する判定精度を向上させることができる。また、管理者は事前にフィルタリング処理を定義しなくてもよく、管理者の負担を大幅に低減することができる。
(2)フィルタリング処理
次に、実行予定処理リスト550を用いたフィルタリング処理について説明する。
図13は、フィルタリング処理における情報の流れを示す図である。図13では、図4に示す管理サーバ10の構成のうち、フィルタリング処理に関連する構成を抜き出して示す。
対処フロー600は、セキュリティインシデントに対する対処処理を対処処理部品600a,600bを組み合わせて定義したフローである。想定されるセキュリティインシデントに応じて異なる対処処理を定義した複数の対処フロー600が用意される。
フロー制御部111は、フィルタリング処理部132から確定アラート情報811を取得し、確定アラート情報811に基づいて、検知されたセキュリティインシデントに対する対処フロー600を起動する。起動した対処フロー600に基づいて、対処処理600a、対処処理600bの順に定義された処理を行う。対処処理では、例えば、ネットワークからの遮断や、アプリケーションの停止と影響範囲の調査などの処理を業務サーバ20に実行させるコマンドを出力する。
アラート情報810は、セキュリティ検知装置30が業務サーバ20のセキュリティインシデントを検知したときに管理サーバ10に送信するアラート情報の一例である。図13に示すアラート情報810は、セキュリティレベル、インシデント種別、感染元端末、マルウェア情報、マルウェア動作情報及び検知日時の情報を含む。セキュリティレベルは、セキュリティ検知装置30がセキュリティインシデントに対し設定するセキュリティレベルであり、例えば、High、Mid、Lowなどの段階で表す。インシデント種別は、検知した内容による種別であり、例えば、不正なURL/IPアドレスへの通信、不正な通信先へのファイル転送またはダウンロード、不正なアプリケーションの起動または動作などがある。感染元端末は、検知した端末のIPアドレスである。マルウェア情報は、検知したマルウェアに関する情報であり、マルウェアを示す情報、コマンド・プロセスの情報やプロセスツリー情報などがある。マルウェア動作情報は、マルウェアが行った操作・動作を示す情報である。検知日時は、アラートを検知した日時である。
フィルタリング処理部132は、アラート情報810を受信し、アラート情報810が誤検知されたアラートであるか否かを判定する。また、誤検知の判定を行う前に、アラート情報810に含まれるセキュリティレベルによって、対処処理を行うかどうかを判定するとしてもよい。例えば、アラート情報810のセキュリティレベルをチェックし、Lowであればアラートを記録し対処処理を行わないとする。こうして、フィルタリング処理部132は、セキュリティレベルが所定の基準を超えるものについて、アラート情報810が誤検知であるか否かを判定する。フィルタリング処理部132は、アラート情報810のインシデント種別、感染元端末、マルウェア情報、マルウェア動作情報及び検知日時によって特定されるセキュリティインシデントと、実行予定処理リスト550を照合し、一致するか否かを判定する。判定処理の詳細は図14を用いて後で説明する。フィルタリング処理部132は、実行予定処理リスト550に一致するときは、アラート情報810は誤検知と判定する。一致しないときは、アラート情報810は誤検知ではないと判定する。フィルタリング処理部132は、誤検知でないと判定したアラート情報810を確定アラート情報811としてフロー制御部111へ出力する。
このように、管理サーバ10では、セキュリティ検知装置30からアラート情報810を取得したときは、フィルタリング処理部132が実行予定処理リスト550に基づいてアラート情報810が誤検知されたものであるか否かを判定する。そして、管理サーバ10では、誤検知ではないと判定した確定アラート情報811によって対処フロー600を起動し、自動的に対処処理を行う。これにより、誤検知による対処処理の起動を低減し、迅速な対処処理が可能となる。
図14は、フィルタリング処理の手順を示す図である。図14は、アラート情報810のセキュリティレベルチェックが終了した後の、アラートが検知されたコマンドが実行予定コマンドであるかどうかを判定する処理手順を示すものである。
[ステップS41]フィルタリング処理部132は、アラート情報810からマルウェア情報を抽出する。
[ステップS42]フィルタリング処理部132は、マルウェア情報に基づき、セキュリティ検知装置30によってマルウェアによるものと判定されたコマンドに該当するものが、実行予定処理リスト550に登録されているか否かを判定する。該当するものがあるときは、処理をステップS43に進め、該当するものがないときは、処理をステップS49に進める。
[ステップS43]フィルタリング処理部132は、アラート情報810からアラートの検知日時を取得する。
[ステップS44]フィルタリング処理部132は、実行予定処理リスト550の該当コマンドの実行開始予定時刻、実行終了予定時刻、開始遅延時間、平均終了時間、最小終了時間及び最大終了時間に基づき、実行予定時間帯を算出する。実行予定時間帯は、該当コマンドが実行されると予測される時間範囲であり、例えば、実行開始予定時刻から最も遅く処理が終了した場合の終了時刻との間の時間範囲である。フィルタリング処理部132は、アラート情報810のアラートの検知日時が実行予定時間帯内であるか否かを判定する。アラートの検知日時が実行予定時間帯内であれば処理をステップS45に進め、実行予定時間帯内でなければ処理をステップS49に進める。
[ステップS45]フィルタリング処理部132は、アラート情報810のマルウェア動作情報に含まれるコマンドパラメータ、通信先情報、プロセスツリーと、実行予定処理リスト550の該当コマンドの情報とが一致するか否かを判定する。一致するときは、処理をステップS46に進め、一致しないときは処理をステップS49に進める。
[ステップS46]フィルタリング処理部132は、アラート情報810に基づき、業務サーバ200からアラートが検知された実行コマンドハッシュ値を採取する。
[ステップS47]フィルタリング処理部132は、業務サーバ200から採取した実行コマンドハッシュ値と、実行予定処理リスト550に登録される該当コマンドの実行コマンドハッシュ値とを照合する。ハッシュ値が一致する場合は処理をステップS48に進め、一致していないときは処理をステップS49に進める。
[ステップS48]フィルタリング処理部132は、アラート情報810が実行予定処理リスト550の該当コマンドについて登録される全ての情報と一致するので、運用管理作業による誤検知されたアラートであると判定し、処理を終了する。
[ステップS49]フィルタリング処理部132は、アラート情報810が運用管理作業によって誤検知されたアラートではないと判定し、処理を終了する。
このように、管理サーバ10は、予め運用管理業務を実行する業務サーバ20から採取した実行情報に基づき、運用管理業務によって実行予定のコマンドであるかどうかを判定するための実行予定処理リスト550を記憶しておく。そして、管理サーバ10は、実行予定処理リスト550に基づいて、アラート情報810が運用管理作業によって誤検知されたものであるかどうかを判定する。このように、実際に採取した実行情報に基づいて判定を行うため、アラート情報810の誤検知の判定精度を向上させることができる。特に、コマンドパラメータ、通信先情報、プロセスツリーなど、アラート情報810に含まれる複数の検知項目によって判定を行うことができるので、判定の確度を上げることができる。また、アラート情報810が検知されたときの対処処理は、例えば、ネットワークの遮断やアプリケーション停止など、業務サーバ20が提供している業務への影響が大きい。特に、アラート情報810が誤検知であった場合、本来正常に動作していた業務サーバ20を停止させることとなり、業務上、多大な損失となる。一方、アラート情報810が誤検知でない場合には、迅速に対応しなければ、被害が大きくなってしまう。本発明に係る管理サーバ10によれば、アラート情報810の誤検知の精度が向上することにより、誤検知によって対処処理が起動するリスクを低減し、かつ、誤検知でない場合の対処処理を迅速に行うことができる。
次に、運用管理作業によって誤検知のアラート情報を受信した場合と、セキュリティインシデントによるアラート情報を受信した場合の管理サーバ10の動作について例を挙げて説明する。
図15は、運用管理処理によってセキュリティアラートが発生するケースの一例を示す図である。図15では、図4に示す管理サーバ10の構成のうち、図15に示すアラート処理に関連する構成を抜き出して示す。
管理サーバ10のフロー管理部110は、管理フロー720に基づいて業務サーバA(20a)の運用管理作業を行う。フロー管理部110は、管理フロー720に定義される運用操作部品720a、運用操作部品720bを順次実行する。このうち、運用操作部品720aには、「sample.shの実行指示」が定義されている。フロー制御部111は、スケジュール情報540に定義される起動時刻で管理フロー720を起動する。管理フロー720の運用操作部品720aによって「sample.sh」の実行が業務サーバA(20a)に指示され、業務サーバA(20a)はsample.sh(21a)を起動する。業務サーバA(20a)は、sample.sh(21a)の処理時、プロセスのツリー構造に応じてftpコマンド22aを起動する。処理の終了後、業務サーバA(20a)は、この「sample.sh」を行った際の実行情報502をフロー管理部110に送信する。実行情報502には、ftpコマンド22aを実行した際の処理開始日時、処理終了日時、プロセスツリー、コマンドパラメータ、実行コマンドハッシュ値、通信先情報などが含まれる。管理フロー720の処理終了時、フロー管理部110は、運用管理履歴情報521に対し、管理フローに関し、「sample.batを実行」と、「sample.batを実行完了」との操作履歴を蓄積する。また、フロー管理部110は、実行情報502の内容をプロセス情報530に蓄積する。実行予定処理リスト生成部131は、運用管理履歴情報521と、プロセス情報530と、スケジュール情報540とに基づき、実行予定処理リスト551を生成する。図15の例では、実行予定処理リスト551には、実行予定のコマンドのコマンド名「ftp」と、管理フロー名「sample」と、実行予定時刻「2015.03.12 10:00」が登録されているとする。
このような状態で、管理フロー720の起動時刻になり、管理フロー720が「sample.sh」の開始を業務サーバA(20a)に指示する。業務サーバA(20a)では、sample.sh(21a)を開始し、ftpコマンド22aによる業務サーバB(20b)へのファイル転送処理を実行する。このftpコマンド22aの実行が外部機器へのファイル転送と見なされ、セキュリティ検知装置30がアラート情報820として管理サーバ10に通知する。アラート情報820には、「コマンド:ftp」によるセキュリティインシデントが、「検知日時:2015.03.12 10:03」に検知されたという情報が含まれる。フィルタリング処理部132は、アラート情報820を取得し、実行予定処理リスト551にこのコマンドに対応する情報が有るか否かを判定する。ここでは、「実行予定時刻:2015.03.12 10:00」から「コマンド名:ftp」の実行が予定されているので、アラート情報820はこのコマンドによるものであると判定する。よって、アラート情報820は誤検知と判定し、フロー管理部110に対して確定アラート情報を出力しない。これにより、誤検知によるアラート情報820によって対処フロー610が起動されることがない。
なお、比較のために、実行予定処理リスト551が作成されない従来の場合について説明する。フィルタリング処理部132は、アラート情報820を受け取るが、実行予定処理リスト551がないため、アラート情報820が誤検知であるか否かは運用管理履歴情報521に基づいて判定するしかない。運用管理履歴情報521には、単に、管理フローを起動した旨の履歴しかなく、どのようなコマンドが実行されたかについてはわからない。コマンドに関する情報が設定されていないため、アラート情報820は誤検知ではないと判定される。これにより、フロー管理部110にアラート情報820が通知され、対処フロー610が実行される。このように、実行予定処理リスト551が生成されない構成では、アラート情報820が誤検知の判定を正しく行えない場合がある。この場合では、本来実施不要であった対処処理が実行され、業務の停止が発生してしまう。このように、対処処理の実施が不要な状態で対処処理が行われることを防止するため、実施するか否かの判定が運用管理者に委ねられることも多かった。
次に、セキュリティインシデントが発生している場合の動作について説明する。図16は、マルウェアによってセキュリティアラートが発生するケースの一例を示す図である。図16では、図4に示す管理サーバ10の構成のうち、図16に示すアラート処理に関連する構成を抜き出して示す。
管理サーバ10のフロー管理部110は、管理フロー730に基づいて運用管理業務を行う。フロー管理部110は、管理フロー730に定義される運用操作部品730a、運用操作部品730bを順次実行する。このうち、運用操作部品730aには、「ファイル転送 ftp***」の実行指示が定義されている。スケジュール情報540に定義される起動時刻でフロー管理部110は、管理フロー730を起動する。管理フロー730の運用操作部品730aによって「ファイル転送 ftp***」の実行が業務サーバC(20c)に指示され、業務サーバC(20c)はファイル転送処理を実行する。このような処理に関連し、図16の例では、運用管理履歴情報523に、「ftpによるファイルの転送実行」が登録されるとする。また、実行予定処理リスト553には、実行予定のコマンドのコマンド名「ftp」と、管理フロー名「sample」と、実行予定時刻「2015.03.12 10:00」が登録されるとする。
このような状態で、業務サーバC(20c)に侵入したマルウェア90がftpコマンド91を起動させ、他装置へのファイル転送を実行したとする。このftpコマンド91が外部機器へのファイル転送と見なされ、セキュリティ検知装置30がアラート情報830として管理サーバ10に通知する。アラート情報830には、「コマンド:ftp」によるセキュリティインシデントが、「検知日時:2015.03.12 13:04」に検知されたという情報が含まれる。フィルタリング処理部132は、アラート情報830を取得し、実行予定処理リスト553にこのコマンドに対応する情報が有るか否かを判定する。ここでは、コマンド名は一致するが、検知日時が実行予定時刻と異なるため、この実行予定コマンドによって生じたアラートではないと判定する。よって、アラート情報830は誤検知ではないと判定し、フロー管理部110に対して確定アラート情報831を出力する。これにより、対処フロー610が起動される。
なお、比較のために、実行予定処理リスト553が作成されない従来の場合について説明する。フィルタリング処理部132は、アラート情報830を受け取るが、実行予定処理リスト553がないため、アラート情報830が誤検知であるか否かは運用管理履歴情報523に基づいて判定するしかない。図16の例では、運用管理履歴情報523には、コマンドに関する情報が設定されているが、コマンドの実行予定時間はわからない。例えば、管理フロー730の開始時刻と終了時刻と比較しようとすると、時間帯の幅が広くなるため、管理サーバ10が指示したコマンドと誤る場合がある。すると、アラート情報830は誤検知であると判定する。これにより、対処フロー610は実行されない。このように、実行予定処理リスト553が生成されない構成では、アラート情報830が誤検知の判定を正しく行えない場合がある。この場合では、本来必要であった対処処理が実行されず、マルウェア90が残ってしまう。
このように第2の実施の形態によれば、運用管理業務の実際の動作履歴に基づいてアラート情報が運用管理業務をアラートと判定した誤検知であるか否かの判定を行うので、誤検知の判定精度を向上することができる。また、判定精度が向上することにより、誤検知によって対処フローが起動する可能性を低減することができるため、管理者による対処実施の判断が不要となり、処理の迅速化を実現することができる。
なお、上記の処理機能は、コンピュータによって実現することができる。その場合、管理装置が有すべき機能の処理内容を記述したプログラムが提供される。そのプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、磁気記憶装置、光ディスク、光磁気記録媒体、半導体メモリなどがある。磁気記憶装置には、ハードディスク装置(HDD)、フレキシブルディスク(FD)、磁気テープなどがある。光ディスクには、DVD、DVD−RAM、CD−ROM/RWなどがある。光磁気記録媒体には、MO(Magneto-Optical disk)などがある。
プログラムを流通させる場合には、例えば、そのプログラムが記録されたDVD、CD−ROMなどの可搬型記録媒体が販売される。また、プログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することもできる。
プログラムを実行するコンピュータは、例えば、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、自己の記憶装置に格納する。そして、コンピュータは、自己の記憶装置からプログラムを読み取り、プログラムに従った処理を実行する。なお、コンピュータは、可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することもできる。また、コンピュータは、ネットワークを介して接続されたサーバコンピュータからプログラムが転送されるごとに、逐次、受け取ったプログラムに従った処理を実行することもできる。
また、上記の処理機能の少なくとも一部を、DSP、ASIC、PLDなどの電子回路で実現することもできる。
なお、本発明は上述した実施形態そのままに限定されるものではなく、実施段階でのその要旨を逸脱しない範囲で構成要素を変形して具体化することができる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成することができる。例えば、実施形態に示される全構成要素を適宜組み合わせてもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせてもよい。このような、発明の趣旨を逸脱しない範囲内において種々の変形や応用が可能である。
1 管理装置
1a 管理部
1b 記憶部
1c フィルタリング部
2 情報処理装置
3 セキュリティ検知プログラム
10 管理サーバ
11 実行情報
12 スケジュール
13a アラート情報
13b 確定アラート情報
20,20a,20b 業務サーバ
30 セキュリティ検知装置
40,40a,40b ネットワーク
110 フロー管理部
111 フロー制御部
120 記憶部
130 フィルタリング部
131 実行予定処理リスト生成部
132 フィルタリング処理部
500 実行情報
520 運用管理履歴情報
530 プロセス情報
540 スケジュール情報
550 実行予定処理リスト
600 対処フロー
700 管理フロー
800 アラート情報
801 確定アラート情報

Claims (8)

  1. コンピュータに、
    処理の実行指示を受信した情報処理装置が該処理を実行する際に生成した第1のプロセスまたは実行した第1のコマンドに関する実行情報を取得し、
    前記情報処理装置において所定の事象が発生したときに前記情報処理装置で生成されていた第2のプロセスに関する情報、または、前記所定の事象が発生したときに前記情報処理装置で実行されていた第2のコマンドに関する情報、を含むアラート情報の受信に応じ、前記実行情報と前記アラート情報とに基づいて、前記第2のプロセスまたは前記第2のコマンドが前記処理の実行指示に応じて生成または実行されたものか否かを判定し、
    該判定結果と前記情報処理装置への前記処理の実行指示のスケジュールとに基づいて、前記アラート情報をフィルタリングする、
    処理を実行させる管理プログラム。
  2. 前記コンピュータは、
    前記実行情報と前記スケジュールとに基づいて、所定の期間に、前記実行指示によって前記情報処理装置において実行が予定される前記第1のプロセスまたは前記第1のコマンドに関する実行予定処理リストを生成し、前記実行予定処理リストを用いて前記アラート情報をフィルタリングする、
    請求項1に記載の管理プログラム。
  3. 前記コンピュータは、
    前記情報処理装置が前記実行指示によって実行した前記第1のプロセスまたは前記第1のコマンドのプロセスツリーを採取したプロセスツリー情報を含む前記実行情報を取得し、
    前記アラート情報が示す前記第2のプロセスまたは前記第2のコマンドのプロセスツリーを含むマルウェア情報と、前記実行予定処理リストに登録される実行予定の前記第1のプロセスまたは前記第1のコマンドの前記プロセスツリー情報とを照合して、前記第2のプロセスまたは前記第2のコマンドが前記処理の実行指示に応じて生成または実行されたものか否かを判定する、
    請求項2に記載の管理プログラム。
  4. 前記コンピュータは、
    前記情報処理装置が前記実行指示によって実行した前記第1のプロセスまたは前記第1のコマンドによる処理の開始時刻と終了時刻とを含む前記実行情報を取得し、前記第1のコマンドまたは前記第1のプロセスごとに前記開始時刻と前記終了時刻を履歴情報として蓄積し、
    前記実行予定処理リストと前記スケジュールと前記履歴情報とに基づいて、実行予定の前記第1のプロセスまたは前記第1のコマンドによる処理が実行される実行予定時間帯を算出し、前記アラート情報が示す前記第2のプロセスまたは前記第2のコマンドの検知日時と前記実行予定時間帯とを照合して前記アラート情報をフィルタリングする、
    請求項2に記載の管理プログラム。
  5. 前記コンピュータは、
    前記情報処理装置が前記実行指示によって実行した前記第1のプロセスまたは前記第1のコマンドによって起動される第1のモジュールのハッシュ値を含む前記実行情報を取得し、
    前記情報処理装置から、前記アラート情報が示すマルウェア情報に基づいて特定した前記第2のプロセスまたは前記第2のコマンドによって起動される第2のモジュールのハッシュ値を採取し、前記第2のモジュールのハッシュ値と、前記実行予定処理リストに登録される実行予定の前記第1のモジュールのハッシュ値とを照合して、前記第2のプロセスまたは前記第2のコマンドが前記処理の実行指示に応じて生成または実行されたものか否かを判定する、
    請求項2に記載の管理プログラム。
  6. 前記コンピュータは、
    前記情報処理装置が前記実行指示によって実行した前記第1のプロセスまたは前記第1のコマンドによる通信処理の通信先情報を含む前記実行情報を取得し、
    前記アラート情報が示す前記第2のプロセスまたは前記第2のコマンドによる通信処理の通信先情報と、前記実行予定処理リストに登録される実行予定の前記第1のプロセスまたは前記第1のコマンドの前記通信先情報とを照合して、前記第2のプロセスまたは前記第2のコマンドが前記処理の実行指示に応じて生成または実行されたものか否かを判定する、
    請求項2に記載の管理プログラム。
  7. 処理の実行指示を受信した情報処理装置が該処理を実行する際に生成した第1のプロセスまたは実行した第1のコマンドに関する実行情報を取得する管理部と、
    前記情報処理装置において所定の事象が発生したときに前記情報処理装置で生成されていた第2のプロセスに関する情報、または、前記所定の事象が発生したときに前記情報処理装置で実行されていた第2のコマンドに関する情報、を含むアラート情報の受信に応じ、前記実行情報と前記アラート情報とに基づいて、前記第2のプロセスまたは前記第2のコマンドが前記処理の実行指示に応じて生成または実行されたものか否かを判定し、該判定結果と前記情報処理装置への前記処理の実行指示のスケジュールとに基づいて、前記アラート情報をフィルタリングするフィルタリング部と、
    を有する管理装置。
  8. コンピュータが、
    処理の実行指示を受信した情報処理装置が該処理を実行する際に生成した第1のプロセスまたは実行した第1のコマンドに関する実行情報を取得し、
    前記情報処理装置において所定の事象が発生したときに前記情報処理装置で生成されていた第2のプロセスに関する情報、または、前記所定の事象が発生したときに前記情報処理装置で実行されていた第2のコマンドに関する情報、を含むアラート情報の受信に応じ、前記実行情報と前記アラート情報とに基づいて、前記第2のプロセスまたは前記第2のコマンドが前記処理の実行指示に応じて生成または実行されたものか否かを判定し、
    該判定結果と前記情報処理装置への前記処理の実行指示のスケジュールとに基づいて、前記アラート情報をフィルタリングする、
    管理方法。
JP2015160397A 2015-08-17 2015-08-17 管理プログラム、管理装置及び管理方法 Expired - Fee Related JP6497268B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2015160397A JP6497268B2 (ja) 2015-08-17 2015-08-17 管理プログラム、管理装置及び管理方法
US15/211,225 US10430582B2 (en) 2015-08-17 2016-07-15 Management apparatus and management method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015160397A JP6497268B2 (ja) 2015-08-17 2015-08-17 管理プログラム、管理装置及び管理方法

Publications (2)

Publication Number Publication Date
JP2017040962A JP2017040962A (ja) 2017-02-23
JP6497268B2 true JP6497268B2 (ja) 2019-04-10

Family

ID=58157611

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015160397A Expired - Fee Related JP6497268B2 (ja) 2015-08-17 2015-08-17 管理プログラム、管理装置及び管理方法

Country Status (2)

Country Link
US (1) US10430582B2 (ja)
JP (1) JP6497268B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5971399B2 (ja) * 2013-03-05 2016-08-17 富士通株式会社 実行フロー作成支援プログラム
JP2020013300A (ja) * 2018-07-18 2020-01-23 Zホールディングス株式会社 監視装置、監視方法、およびプログラム

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7315893B2 (en) 1997-07-15 2008-01-01 Computer Associates Think, Inc. Method and apparatus for filtering messages based on context
JP2002082926A (ja) 2000-09-06 2002-03-22 Nippon Telegr & Teleph Corp <Ntt> 分散アプリケーション試験・運用管理システム
JP2004535624A (ja) 2001-03-02 2004-11-25 コンピュータ アソシエイツ シンク,インコーポレイテッド コンテクストに基づいてメッセージをフィルタリングする方法及び装置
US7328366B2 (en) * 2003-06-06 2008-02-05 Cascade Basic Research Corp. Method and system for reciprocal data backup
JP2006318036A (ja) * 2005-05-10 2006-11-24 Hitachi Information Systems Ltd 障害監視システム
US20070067842A1 (en) * 2005-08-08 2007-03-22 Greene Michael P Systems and methods for collecting files related to malware
JP4933218B2 (ja) * 2006-10-31 2012-05-16 株式会社野村総合研究所 リモートアクセス制御装置
JP2010123014A (ja) * 2008-11-21 2010-06-03 Nomura Research Institute Ltd サーバ不正操作監視システム
US20150006895A1 (en) * 2009-06-01 2015-01-01 Maidsafe Foundation Distributed network system
JP5520864B2 (ja) * 2011-03-28 2014-06-11 エヌ・ティ・ティ・コムウェア株式会社 保守装置、保守方法及びプログラム
JP5949222B2 (ja) 2012-06-29 2016-07-06 富士通株式会社 運用管理支援装置、方法及びプログラム
US11165812B2 (en) * 2014-12-03 2021-11-02 Splunk Inc. Containment of security threats within a computing environment

Also Published As

Publication number Publication date
US20170053117A1 (en) 2017-02-23
US10430582B2 (en) 2019-10-01
JP2017040962A (ja) 2017-02-23

Similar Documents

Publication Publication Date Title
US8612372B2 (en) Detection rule-generating facility
JP5531583B2 (ja) ログ出力装置、ログ出力方法、ログ出力用プログラム
JP2011103030A (ja) インシデント管理方法および運用管理サーバ
JP2007087232A (ja) システム構成変更によるポリシ修正を容易にするポリシ作成方法、及びポリシ管理方法
US20170277887A1 (en) Information processing apparatus, information processing method, and computer readable medium
CN113792341B (zh) 应用程序的隐私合规自动化检测方法、装置、设备及介质
JP6256115B2 (ja) 操作探索プログラム、操作探索方法、および操作探索装置
JP6497268B2 (ja) 管理プログラム、管理装置及び管理方法
JP2014010756A (ja) 監視プログラム、方法及び装置
US20140289573A1 (en) Dynamically Altering Error Logging Activities In A Computing System
US20170236181A1 (en) Electronic device, system, and method
JP6594977B2 (ja) コード・セットへの要求を監視する方法、システム、コンピュータ・プログラム及びコンピュータ可読ストレージ媒体
US9881046B2 (en) Recording medium having stored therein process managing program, process managing apparatus and process managing method
US20150326677A1 (en) Screen information collecting computer, screen information collecting method, and computer-readable storage medium
JP5453871B2 (ja) イベント判別装置、イベント判別プログラム、イベント判別方法
JP7097408B2 (ja) 局所的ホットスポットを処理する方法、装置、電子デバイス及び記憶媒体
JP2007295279A (ja) 障害管理装置及び障害管理方法及びプログラム
JP2015191327A (ja) システム監視装置、システムの監視方法、及びプログラム
CN113014675A (zh) 数据处理方法及装置、电子设备和存储介质
JP2012068812A (ja) 対処提示装置、対処提示方法及び対処提示プログラム
JP2011039632A (ja) 障害復旧装置、障害復旧方法、及びプログラム
JP5605370B2 (ja) システムモデル管理支援システム、システムモデル管理支援方法およびプログラム
JP2011118575A (ja) 障害対策情報取得方法および管理サーバ
JP2014032598A (ja) インシデント管理システム及びその方法
JP5978804B2 (ja) システムを管理するためのプログラム、方法及び情報処理装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180514

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190110

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190212

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190225

R150 Certificate of patent or registration of utility model

Ref document number: 6497268

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees