セキュリティイベントを管理する方法及び装置
【課題】効果的にセキュリティイベントを管理する方法及び装置を提供すること。
【解決手段】本発明の一特徴は、モバイル計算装置上にセキュリティイベントマネージャを確立するステップと、前記セキュリティイベントマネージャによって、セキュリティイベントの発生を決定するためのセキュリティイベントルールセットを規定するセキュリティポリシーデータを抽出するステップと、前記セキュリティイベントマネージャによって、前記モバイル計算装置の少なくとも1つのセキュリティイベントソースから生成されるセキュリティイベントデータを受信するステップと、前記セキュリティイベントマネージャによって、前記セキュリティイベントデータと前記セキュリティポリシーデータとに基づき、セキュリティイベントの発生を決定するステップと、前記セキュリティイベントマネージャによって、前記セキュリティイベントに応答するステップとを有する方法に関する。
【解決手段】本発明の一特徴は、モバイル計算装置上にセキュリティイベントマネージャを確立するステップと、前記セキュリティイベントマネージャによって、セキュリティイベントの発生を決定するためのセキュリティイベントルールセットを規定するセキュリティポリシーデータを抽出するステップと、前記セキュリティイベントマネージャによって、前記モバイル計算装置の少なくとも1つのセキュリティイベントソースから生成されるセキュリティイベントデータを受信するステップと、前記セキュリティイベントマネージャによって、前記セキュリティイベントデータと前記セキュリティポリシーデータとに基づき、セキュリティイベントの発生を決定するステップと、前記セキュリティイベントマネージャによって、前記セキュリティイベントに応答するステップとを有する方法に関する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、セキュリティイベントを管理する方法及び装置に関する。
【背景技術】
【0002】
セキュリティイベント管理(SEM)及びセキュリティ情報管理(SIM)システムは、典型的には、複数のセキュリティイベントソースからセキュリティイベントデータを収集、集約及び相関させるよう構成される企業レベルサーバである。標準的なSEM/SIMシステムでは、ユーザのクライアントコンピュータは、レポート、ログ及び他のセキュリティ関連データをSEM/SIMサーバに定期的に送信するよう構成される。SEM/SIMサーバは、セキュリティイベントのレポートを作成するため、クライアントコンピュータやネットワークルータ、ファイアウォール、サービスなどの他の企業装置及びソースから受信するセキュリティデータを集約及び相関させる。典型的には、SEM/SIMサーバは、パッシブであり、セキュリティイベントに自動的には応答しない。セキュリティスタッフが、セキュリティイベントのレポートを確認し、適切なアクションをとる。
【0003】
従来、企業のセキュリティの境界は、計算装置の大部分が固定されたものであったため、企業の物理的境界(すなわち、企業のある建物など)に関連付けされた。しかしながら、計算装置がより可動的になるに従って、企業のセキュリティ境界は拡大し、いくつかのケースでは完全になくなっている。また、従来のSEM/SIMサーバなどの中央配置されたセキュリティシステムは、企業のセキュリティを全体的に維持しようとし、特に多数のモバイル計算装置に対するセキュリティを維持しようとするものである。
【発明の概要】
【発明が解決しようとする課題】
【0004】
上記問題点に鑑み、本発明の課題は、効果的にセキュリティイベントを管理する方法及び装置を提供することである。
【課題を解決するための手段】
【0005】
上記課題を解決するため、本発明の一特徴は、モバイル計算装置上にセキュリティイベントマネージャを確立するステップと、前記セキュリティイベントマネージャによって、セキュリティイベントの発生を決定するためのセキュリティイベントルールセットを規定するセキュリティポリシーデータを抽出するステップと、前記セキュリティイベントマネージャによって、前記モバイル計算装置の少なくとも1つのセキュリティイベントソースから生成されるセキュリティイベントデータを受信するステップと、前記セキュリティイベントマネージャによって、前記セキュリティイベントデータと前記セキュリティポリシーデータとに基づき、セキュリティイベントの発生を決定するステップと、前記セキュリティイベントマネージャによって、前記セキュリティイベントに応答するステップとを有する方法に関する。
【発明の効果】
【0006】
本発明によると、効果的にセキュリティイベントを管理する方法及び装置を提供することができる。
【図面の簡単な説明】
【0007】
【図1】図1は、モバイル計算装置上で生成されるセキュリティイベントを管理するモバイル計算装置の一実施例の簡単化されたブロック図である。
【図2】図2は、図1のモバイル計算装置のソフトウェア環境の簡単化されたブロック図である。
【図3】図3は、図1のモバイル計算装置により実行されるセキュリティイベントを管理する方法の一実施例の簡単化されたフロー図である。
【図4】図4は、図3の方法に私用されるセキュリティイベントデータを解析する方法の一実施例の簡単化されたフロー図である。
【発明を実施するための形態】
【0008】
以下、図面に基づいて本発明の実施の形態を説明する。
【0009】
本開示のコンセプトは様々な改良及び代替的な形態の影響を受けるが、各実施例が図面により図示され、詳細に説明される。しかしながら、本開示のコンセプトを開示された特定の形態に限定することを意図したものでなく、添付した請求項により規定されるような本発明の趣旨及び範囲内に属するすべての改良、均等及び代替をカバーするものである。
【0010】
以下の説明では、ロジック実現形態、オペコードなどの多数の具体的詳細は、オペランド、リソース分割/共有/複製実現形態、システムコンポーネントのタイプ及び相互関係を特定するものであり、本開示のより完全な理解を提供するため、ロジック分割/統合選択が提供されてもよい。しかしながら、本開示の実施例はこのような特定の詳細なしに実現可能であることが当業者に理解されるであろう。他の例では、制御構成、ゲートレベル回路及び完全なソフトウェア命令シーケンスは、本開示を不明りょうにしないように詳細には示されない。当業者は、この開示によって過度な実験なしに適切な機能を実現することが可能であろう。
【0011】
明細書における“一実施例”、“実施例”、“一例となる実施例”などの用語は、開示された実施例が特定の機能、構成又は特徴を有することを示すが、すべての実施例が、特定の機能、構成又は特徴を必ずしも有する必要はない。さらに、このような用語は必ずしも同一の実施例を参照しているとは限らない。さらに、特定の機能、構成又は特徴が実施例に関連して説明されるとき、明示されているか否かにかかわらず、このような機能、構成又は特徴を他の実施例に関して実現することは当業者の知識の範囲内である。
【0012】
本開示のいくつかの実施例は、ハードウェア、ファームウェア、マイクロコード、CPU(Central Processing Unit)命令、ソフトウェア又はこれらの何れかの組み合わせにより実現されてもよい。コンピュータシステムにおいて実現される本開示の実施例は、コンポーネント間の1以上のバスベースインターコネクト及び/又はコンポーネント間の1以上のポイント・ツー・ポイントインターコネクトを有するものであってもよい。本発明の実施例はまた、1以上のプロセッサにより読み込まれ実行される、マシーン可読な有形の媒体に格納される命令として実現されてもよい。マシーン可読な有形媒体は、マシーン(計算装置など)により可読な形態により情報を格納又は送信するための何れかの有形な機構を有するものであってもよい。例えば、マシーン可読な有形媒体は、ROM(Read Only Memory)、RAM(Random Access Memory)、磁気ディスク記憶媒体、光記憶媒体、フラッシュメモリデバイス及び他の有形媒体を含むものであってもよい。
【0013】
図1を参照して、自装置100上で生成されるセキュリティイベントを管理するよう構成されるモバイル計算装置100は、セキュリティイベントマネージャ(SEM)102と、プロセッサ104と、チップセット106と、メモリ108とを有する。計算装置100は、ここに記載される機能を実行可能な何れかのタイプのポータブルな計算装置として実現されてもよい。例えば、いくつかの実施例では、計算装置100は、携帯電話、PDA(Personal Data Assistant)、携帯コンピュータ、ラップトップコンピュータ、モバイルインターネットデバイス(MID)、又は他のコンピュータベースのモバイル装置として実現される。
【0014】
セキュリティイベントマネージャ102は、ここでより詳細に説明されるモバイル計算装置100上で生成されるセキュリティイベントを収集、正規化、集約、関連付け及び応答するため協調するハードウェアコンポーネント、ファームウェアコンポーネント及びソフトウェアコンポーネントを含む複数のコンポーネントとして実現されてもよい。また、セキュリティイベントマネージャ102は、装置100のプロセッサ104から独立した専用のハードウェアプロセッサ及び/又は他の回路を有するものであってもよい。さらに、セキュリティイベントマネージャ102は、セキュア化された環境においてセキュリティイベントマネージャを初期化又は“ブート”するよう構成されるファームウェア命令を有してもよい。一部の実施例では、セキュリティイベントマネージャ102は、セキュリティを向上させるため、メインメモリ108から独立したメモリ(図示せず)を有するか、又は通信接続されてもよい。
【0015】
プロセッサ104は、プロセッサコア110を有するシングルコアプロセッサとして実現される。しかしながら、他の実施例では、プロセッサ104は、複数のプロセッサコア110を有するマルチコアプロセッサとして実現されてもよい。さらに、計算装置100は、1以上のプロセッサコア110を有するさらなるプロセッサ104を有してもよい。プロセッサ104は、いくつかの信号パス112を介しチップセット106に通信接続される。信号パス112は、プロセッサ104とチップセット106との間の通信を実行可能な何れかのタイプの信号パスとして実現されてもよい。例えば、信号パス112は、任意数の配線、プリント回路ボードトレース、ビア、バス、仲介装置などとして実現されてもよい。
【0016】
メモリ108は、DRAM(Dynamic RAM)、SDRAM(Synchronous DRAM)、DDR(Double−Data Rate) SDRAM及び/又は他の揮発性メモリデバイスなどを含む1以上のメモリデバイス又はデータストレージとして実現されてもよい。さらに、図1では1つのメモリデバイス108しか示されていないが、他の実施例では、計算装置100はさらなるメモリデバイス108を有してもよい。
【0017】
チップセット106は、メモリコントローラハブ(MCH)、すなわち、ノースブリッジと、入出力コントローラハブ(ICH)、すなわち、サウスブリッジと、ファームウェアデバイスとを有する。このような実施例では、ファームウェアデバイスは、BIOS(Basic Input/Output System)データ、命令及び/又は他の情報を格納するためのメモリストレージデバイスとして実現されてもよい。チップセット106は、いくつかの信号パス114を介しメモリ108に通信接続される。信号パス112と同様に、信号パス114は、任意数のバスパス、プリント回路ボードトレース、配線、ビア、仲介装置及び/又は他のインターコネクトなど、チップセット106とメモリデバイス108との間の通信を実現可能な何れかのタイプの信号パスとして実現されてもよい。
【0018】
他の実施例では、チップセット106は、プラットフォームコントローラハブ(PCH)として実現されてもよい。このような実施例では、メモリコントローラハブ(MCH)は、プロセッサに搭載されるか、又は関連付けされてもよい。さらに、このような実施例では、メモリ108は、いくつかの信号パス116を介しチップセット106(すなわち、プラットフォームコントローラハブ)でなくプロセッサ104に通信接続されてもよい。信号パス112と同様に、信号パス116は、任意数のバスパス、プリント回路ボードトレース、配線、ビア、仲介装置及び/又は他のインターコネクトなど、プロセッサ104とメモリデバイス108との間の通信を実現可能な何れかのタイプの信号パスとして実現されてもよい。
【0019】
さらなる他の実施例では、計算装置100の2以上のコンポーネントが、単一の集積回路に搭載されてもよい。例えば、いくつかの実施例では、プロセッサ104と、メモリコントローラハブ(MCH)と、入出力コントローラハブ(ICH)と、メモリ108の各部分と、装置100の他のコンポーネントとが、システム・オン・チップ(SoC)集積回路に搭載されてもよい。さらに又は代わりに、このようなコンポーネントの一部がシステム・イン・パッケージ(SiP)集積回路などに搭載されてもよい。また、計算装置100の物理的なレイアウトは図1に図示された実施例に限定されるものでないことが理解されるべきである。
【0020】
一部の実施例では、計算装置100は、データストレージデバイス118、1以上の周辺デバイス120及び通信回路122を有する。このような実施例では、チップセット106はまた、データストレージデバイス118、周辺デバイス120、通信回路122及びセキュリティイベントマネージャ102と信号パス124を介し通信接続される。再び、信号パス112と同様に、信号パス124は、任意数の配線、プリント回路ボードトレース、ビア、バス、仲介装置など、チップセット106と、データストレージデバイス118、周辺デバイス120、通信回路122及びセキュリティイベントマネージャ102との間の通信を実現可能な何れかのタイプの信号パスとして実現されてもよい。
【0021】
データストレージデバイス118は、メモリデバイス、回路、メモリカード、ハードディスクドライブ、ソリッドステートドライブ、他のデータストレージデバイスなど、データの短期又は長期格納のために構成される何れかの個数及びタイプのデバイスとして実現される。周辺デバイス120は、入力デバイス、出力デバイス及び他のインタフェースデバイスを含む何れかの個数の周辺デバイスを含むものであってもよい。例えば、周辺デバイス120は、モバイル計算装置100のディスプレイスクリーンとキーボードとを有してもよい。周辺デバイス120に含まれるデバイスは、例えば、計算装置の意図した利用などに依存するものであってもよい。
【0022】
通信回路122は、モバイル計算装置100と1以上のリモートデバイスとの間の通信を可能にするための何れかの個数のデバイス及び回路として実現されてもよい。例えば、通信回路122は、ネットワーク160を介し企業のセキュリティイベント管理(SEM)サーバ180との有線又は無線通信を実現するための1以上の有線又は無線ネットワークインタフェースを有してもよい。ネットワーク160は、ローカルエリアネットワーク、ワイドエリアネットワーク、公衆に利用可能なグローバルネットワーク(インターネットなど)又は他のネットワークなどの何れかのタイプの有線及び/又は無線ネットワークとして実現されてもよい。さらに、ネットワーク160は、ルータ、スイッチ、仲介装置など、モバイル計算装置100と企業のSEMサーバ180との間の通信を実現するための何れかの個数のさらなるデバイスを有してもよい。
【0023】
いくつかの実施例では、モバイル計算装置100はまた、信号パス132を介しセキュリティイベントマネージャ102に通信接続される1以上のセンサ130を有する。信号パス112と同様に、信号パス132は、センサ130とセキュリティイベントマネージャ102との間の通信を実現可能な何れかのタイプの信号パスとして実現されてもよい。センサ130は、モバイル計算装置100のユーザ又は計算装置100自体の状況の1以上のパラメータを決定するよう構成される何れかのタイプのセンサ又はセンサネットワークとして実現されてもよい。例えば、センサ130は、ユーザの位置を決定する位置センサ(GPSセンサなど)、ユーザの生体データを決定する生体センサ、温度センサ、高度センサ、無線識別情報(RFID)、送信機及び/又は受信機、データスキャナ又はリーダ、及び/又はユーザ(又は計算装置100自体)の状況のパラメータを示すデータを検知又は収集するよう構成された他のセンサ及び/又はデバイスとして実現されてもよい。さらに、計算装置100は説明の簡単化のため図1に示されない他のコンポーネント、サブコンポーネント及びデバイスを有してもよいことが理解されるべきである。
【0024】
企業SEMサーバ180は、何れかのタイプの企業レベルSEMシステム、SIMシステム又はSEIM(Security Event and Information Management)システムとして実現される。サーバ180は、リモートクライアント及び/又は他のセキュリティイベントソースからセキュリティデータを受信し、受信したセキュリティデータを集約し、セキュリティスタッフにより確認のためにセキュリティデータを関連付けるよう構成される1以上のコンピュータサーバマシーンを有してもよい。
【0025】
企業SEMサーバ180は、プロセッサ182と、メモリ184と、通信回路186とを有する。プロセッサ182は、シングル又はマルチコアプロセッサとして実現される。さらに、企業SEMサーバ180は、1以上のプロセッサコアを有する何れかの個数のさらなるプロセッサ182を有してもよい。メモリ184は、DRAM、SDRAM、DDR SDRAM及び/又は他の揮発性メモリデバイスなどを含む1以上のメモリデバイス又はデータストレージとして実現されてもよい。図1には1つのメモリデバイス184しか示されていないが、他の実施例では、企業SEMサーバ180はさらなるメモリデバイス184を有してもよい。通信回路186は、モバイル計算装置100の通信回路122と同様であってもよく、ネットワーク160を介し企業SEMサーバ180とモバイル計算装置100との間の通信を可能にするための何れかの個数のデバイス及び回路として実現されてもよい。さらに、企業SEMサーバ180は、説明のために図1に示されていない企業SEMサーバに典型的に設けられている他のコンポーネント、サブコンポーネント及びデバイスを有するものであってもよいことが理解されるべきである。
【0026】
図2を参照して、モバイル計算装置100は、企業SEMサーバ180と通信する必要なくモバイル計算装置100のセキュリティイベント管理を提供するためのローカルセキュリティイベントマネージャ102を有する。上述されるように、セキュリティイベントマネージャ102は、ハードウェア、ファームウェア及び/又はソフトウェアモジュール及びデバイスとして実現される。セキュリティイベントマネージャ102は、モバイル計算装置の1以上のセキュリティイベントソース200からセキュリティイベントデータを収集又は受信するよう構成される。
【0027】
セキュリティイベントソース200は、セキュリティイベントデータを生成する何れかのファームウェア、ソフトウェア又はハードウェアとして実現されてもよい。例えば、セキュリティイベントソース200は、プロセッサファームウェア、周辺デバイスにより実行されるファームウェア、又は計算装置100の1以上のコンポーネントにより実行される他のファームウェアなど、モバイル計算装置100の1以上のデバイスにより実行されるファームウェア202として実現されてもよい。さらに、セキュリティイベントソース200は、ログ、アクティビティレポートなどのセキュリティイベントデータを生成する1以上のオペレーティングシステム204を有してもよい。セキュリティイベントソース200はさらに、オペレーティングシステム204上で実行されるソフトウェアアプリケーション206を有してもよい。モバイル計算装置100がセンサ130を有する実施例では、セキュリティイベントソース200はまた、センサ130により生成されるセンサデータ208を有する。
【0028】
セキュリティイベントソース200により生成されるセキュリティイベントデータは、セキュリティイベントの発生が決定される何れかのタイプのデータとして実現されてもよい。例えば、セキュリティイベントデータは、1以上のセキュリティイベントソース200から生成されるイベントログ、アクティビティレポート若しくはログ、エラーレポート/ログ及び/又は他のデータを含むものであってもよい。ソース200からセキュリティイベントデータを受信することに応答して、セキュリティイベントマネージャ102は、以下で詳細に説明されるように、セキュリティイベントが発生したか判断するため、セキュリティイベントデータを正規化、集約及び関連付けるよう構成される。セキュリティイベントが発生したと判断された場合、セキュリティイベントマネージャ102は、このようなセキュリティイベントにアクティブに応答し、及び/又はモバイル計算装置100のユーザインタフェースを介しユーザに情報を提供するよう構成される。
【0029】
図示された実施例では、セキュリティイベントマネージャ102は、正規化エンジン210と、集約エンジン212と、相関エンジン214とを有する。各エンジン210,212,214は、独立したファームウェア又はソフトウェアモジュールとして実現されてもよいし、又はセキュリティイベントマネージャの単一のファームウェア及び/又はソフトウェアモジュールに搭載されてもよい。上述されるように、セキュリティイベントマネージャ210は、セキュリティイベントソース200からセキュリティイベントデータを受信する。正規化エンジンは、セキュリティイベントソース200から受信するセキュリティイベントデータを正規化するよう構成される。これを実行するため、正規化エンジン210はセキュリティイベントデータを共通する又は所定のデータフォーマットに変換する。正規化エンジン210により用いられるデータフォーマットは、セキュリティイベントマネージャ102の実現形態及び/又は他の基準に基づき決定されてもよい。セキュリティイベントデータが共通のフォーマットに変換されるため、セキュリティイベントデータが解析される効率性及びスピードが向上する。
【0030】
集約エンジン212は、解析対象の全体的なデータ量を減少させるため、正規化されたセキュリティイベントデータを集約するよう構成される。このようにして、集約エンジン212は、セキュリティイベントデータを概略化する。例えば、セキュリティイベントデータがあるエラーの1000個の別個の事例を含む場合、集約エンジン212は、当該タイプの1000個のエラーが解析タイムウィンドウ内で受信されたことを示す1つのエントリとしてこのようなセキュリティイベントデータを表現するよう構成されてもよい。さらに又は代わりに、集約エンジン212は、上記例において、1000個のエラー事例が単一のエラー事例として表されるように、エラーの1000個の事例を受信したことから生成又は規定される定量的な閾値に基づき、セキュリティイベントデータを表すよう構成されてもよい。
【0031】
相関エンジン214は、セキュリティイベントの発生を決定するため、集約されたセキュリティイベントデータを関連付けるよう構成される。これを実行するため、相関エンジン214は、セキュリティポリシーデータベース220に格納される所定のセキュリティポリシーに基づきセキュリティイベントデータを関連付けする。セキュリティポリシーは、セキュリティイベントデータからセキュリティイベントを特定するのに利用されるセキュリティイベントルールセットを規定する。セキュリティイベントルールは、定量的、時間的、定性的、合成的及び/又は他の基準などのセキュリティイベントを決定するのに利用可能な何れかのタイプの基準に基づくフォーマットを有してもよい。例えば、1つのセキュリティイベントルールは、イベントA及びBが所定の期間内に互いに発生する場合、セキュリティイベントの発生を示すものであってもよい。他のセキュリティイベントルールは、イベントCの個数が所定の閾値に達した場合、セキュリティイベントを示すようにしてもよい。さらに、他の例示的なセキュリティイベントルールは、イベントDがこれまでに発生している場合、セキュリティイベントを示すようにしてもよい。また、セキュリティポリシーは、セキュリティイベントの発生が決定される各種形式を有する何れかの個数のセキュリティポリシーイベントを含むものであってもよい。
【0032】
いくつかの実施例では、相関エンジン214は、セキュリティポリシーとモバイル計算装置100のコンテクストデータベース222に格納されているコンテクストデータとに基づき、セキュリティイベントデータを関連付けるよう構成される。コンテクストデータは、モバイル計算装置100及び/又はユーザのコンテクスト(context)、すなわち、状況を規定又は特定する何れかのタイプのデータを含むものであってもよい。例えば、コンテクストデータは、モバイル計算装置100の位置、ユーザにより実行されているアクティビティ、環境的側面、ユーザの生体データ、履歴データ及び/又は他のコンテクストデータを規定するものであってもよい。このようなコンテクストデータは、様々な程度の仕様を有するものであってもよい。例えば、一部の実施例では、モバイル計算装置100の位置は、装置100がある都市、装置100がある建物、又は装置100のGPS座標として規定されてもよい。コンテクストデータのタイプと仕様との関係なく、このようなデータは、セキュリティイベントの発生を決定するため、及び/又は以下で詳細に説明されるようなこのようなイベントへの応答の仕方を決定するため、セキュリティポリシーと共に利用されてもよい。例えば、イベントA及びBの発生しか、モバイル計算装置100がある位置にある場合、セキュリティイベントを規定しないようにしてもよい。
【0033】
モバイル計算装置100はまた、セキュアなデータベース又は他のメモリストレージ位置に格納される高優先度データ224を有してもよい。このような高優先度データは、特に機密データとして実現されてもよい。高優先度データをセキュリティを向上させるため、セキュリティイベントマネージャ102は、独立したセキュアなバーチャルコンテナに高優先度データを格納するよう構成される。例えば、高優先度データは、セキュアなメモリ位置に格納されてもよい。このようなバーチャルコンテナは、モバイル計算装置100との間の機密データの伝送を可能にする。
【0034】
いくつかの実施例では、セキュリティイベントマネージャ102は、モバイル計算装置100上に表示されるユーザインタフェースとやりとりするよう構成されてもよい。例えば、セキュリティイベントマネージャ102は、ユーザにセキュリティイベントデータに基づく警告又は更新を表示するようにしてもよい。さらに、ユーザインタフェース230は、ユーザ入力を要求するのに利用されてもよい。例えば、ユーザインタフェース230は、セキュリティポリシーデータベース220に格納されているセキュリティポリシー及び/又はコンテクストデータベース222に格納されているコンテクストデータを更新するためユーザにより利用されてもよい。
【0035】
上述されるように、いくつかの実施例では、モバイル計算装置100は、ネットワーク160を介し企業SEMサーバ180と通信する。いくつかの実施例では、企業SEMサーバ180は、標準的な企業レベルのSEMモジュール、SIMモジュール及び/又はSEIMモジュールとして実現される企業セキュリティイベントマネージャ250を有する。企業セキュリティイベントマネージャ250は、モバイル計算装置100などのリモート計算装置からセキュリティイベントデータを受信するよう構成される。このようなセキュリティイベントデータは、データベース252に格納される。使用するとき、企業セキュリティイベントマネージャ250は、セキュリティスタッフによる確認のため、各種リモート計算装置から受信されるセキュリティイベントデータを集約及び関連付けするよう構成される。
【0036】
図3を参照して、モバイル計算装置100上で生成されるセキュリティイベントを管理する方法300は、セキュリティイベントマネージャ102が装置100上で開始されるブロック302から開始される。一部の実施例では、セキュリティイベントマネージャ102は、セキュアな環境において確立される。セキュリティイベントマネージャ102は、計算装置100に電源供給されると、自動的に起動するようにしてもよい。あるいは、他の実施例では、モバイル計算装置100のユーザは、セキュリティイベントマネージャ102を選択的に起動してもよい。さらに、一部の実施例では、セキュリティイベントマネージャ102は、ブロック302において、セキュリティポリシーデータベース220に格納されているセキュリティポリシー及び/又はコンテクストデータベース222に格納されているコンテクストデータを抽出するよう構成されてもよい。
【0037】
ブロック304において、セキュリティイベントマネージャ102は、モバイル計算装置100の1以上のセキュリティイベントソース200により生成されるセキュリティイベントデータを収集又は受信する。上述されるように、セキュリティイベントデータは、セキュリティイベントの発生が決定される何れかのタイプのデータとして実現されてもよい。例えば、セキュリティイベントデータは、1以上のセキュリティイベントソース200から生成されるイベントログ、アクティビティレポート若しくはログ、エラーレポート/ログ及び/又は他のデータを含むものであってもよい。さらに、いくつかの実施例では、セキュリティイベントマネージャ102は、ブロック306において、モバイル計算装置100のユーザのアクティビティをモニタ及び記録するようにしてもよい。このようなアクティビティログは、企業のRBAC(Role Based Access Control)を確保又はモニタするのに利用されてもよい。セキュリティイベントマネージャ102によりモニタ及びログされるアクティビティは、装置100のアプリケーション及びサービスに関する利用情報など、計算装置100上で実行される何れかのタイプのアクティビティを含むものであってもよい。
【0038】
ブロック308では、セキュリティイベントマネージャ102は、計算装置100が企業環境内にあるか判断する。例えば、セキュリティイベントマネージャ102は、装置100が企業の物理的位置内(特定の部屋、建物又はエリアなど)にあるか判断してもよい。これを実行するため、セキュリティイベントマネージャ102は、コンテクストデータベース222に格納されているコンテクストデータを利用する。このような決定の仕様は、実現形態に応じて変更されてもよい。例えば、一部の実施例では、ブロック308において、セキュリティイベントマネージャ102は、装置100が物理的位置でなく企業SEMサーバ180に通信接続されているか判断するよう構成される。
【0039】
セキュリティイベントマネージャ102が、ブロック308においてモバイル計算装置100が企業環境内にあると判断した場合、セキュリティイベントマネージャ102は、ブロック310において、セキュリティイベントデータを企業SEMサーバ180に送信する。一部の実施例では、セキュリティイベントマネージャ102は、ブロック310において、“未処理の”セキュリティイベントデータ(すなわち、セキュリティイベントソース200から受信されるようなセキュリティイベントデータ)をサーバ180に送信してもよい。しかしながら、他の実施例では、セキュリティイベントマネージャ102は、ブロック310において、集約及び正規化されたセキュリティイベントデータをサーバ180に送信するよう構成される。さらに、ブロック312において、セキュリティイベントマネージャ102は、何れかのアクティビティログ又は他のRBACデータをサーバ180に送信する。このようにして、セキュリティイベントデータと多数のリモート装置からの他の情報とが、企業SEMサーバ180により解析される。方法300は、以降にブロック304にループバックし、さらなるセキュリティイベントデータがセキュリティイベントマネージャ102により受信される。
【0040】
ブロック308に戻って、セキュリティイベントマネージャ102が、モバイル計算装置100が企業環境内にないと判断した場合、ブロック314において、セキュリティイベントマネージャ102は、セキュリティイベントデータを解析するか判断する。セキュリティイベントマネージャ102は、定期的に(データが毎時解析される)又は1以上のトリガイベントに基づき(所定量のセキュリティイベントデータが受信されるなど)、セキュリティイベントデータを解析するか判断する。このようなトリガイベントは、例えば、セキュリティポリシーデータベース220に格納されているセキュリティポリシーなどによって規定されてもよい。さらに、他の実施例では、セキュリティイベントマネージャ102は、実質的に連続的にセキュリティイベントソース200から受信されるセキュリティイベントデータを解析するようにしてもよい。このような実施例では、ブロック314はスキップされてもよいし、又は方法300に含まれなくてもよい。
【0041】
セキュリティイベントマネージャが、セキュリティイベントデータが確認されるべきであると判断した場合、ブロック316において、セキュリティイベントマネージャ102は、セキュリティイベントデータを解析する。これを実行するため、セキュリティイベントマネージャ102は、図4に示されるようなセキュリティイベントデータを解析するための方法400を実行する。方法400は、セキュリティイベントデータが正規化されるブロック402から開始される。上述されるように、セキュリティイベントデータは、セキュリティイベントデータを共通する又は所定のデータフォーマットに変換するため、正規化エンジン210により正規化される。正規化エンジン210により用いられるデータフォーマットは、セキュリティイベントマネージャ102の実現形態及び/又は他の基準に基づき決定される。
【0042】
ブロック404において、セキュリティイベントマネージャ102の集約エンジン212は、解析対象のデータ量全体が低減されるように、正規化されたセキュリティイベントデータを概略化するため、正規化されたセキュリティイベントデータを集約する。集約エンジン212は、図2に関して上述されたような定量的閾値などに基づくものなど何れか適切な方法を用いてセキュリティイベントデータを集約する。方法300のブロック316において、正規化及び集約処理がセキュリティイベントデータの解析において実現されるが、このような正規化及び集約処理は、他の実施例では方法300の他の処理において実行されてもよい。例えば、一部の実施例では、セキュリティイベントデータは、セキュリティイベントマネージャ102による受信に応答して、定期的に又は所定のトリガイベントに基づき正規化及び集約化される。
【0043】
方法400のブロック406を参照して、セキュリティイベントマネージャ102の相関エンジン214は、その後にセキュリティイベントの発生を決定するため、集約されたセキュリティイベントデータを関連付ける。上述されるように、相関エンジン214は、セキュリティポリシーデータベース220に格納されてるセキュリティポリシーに基づきセキュリティイベントデータを関連付ける。さらに、一部の実施例では、ブロック408において、相関エンジン214は、モバイル計算装置100のコンテクストデータベース222に格納されているコンテクストデータとセキュリティポリシーとに基づきセキュリティイベントデータを関連付けるよう構成される。また、セキュリティイベントマネージャ102は、コンテクストデータベース222からコンテクストデータを抽出し、当該データとセキュリティポリシーのセキュリティイベントルールとを用いて、セキュリティイベントデータを関連付け、これによりセキュリティイベントが発生したか判断するよう構成される。
【0044】
いくつかの実施例では、セキュリティイベントマネージャ102は、ブロック410において、セキュリティイベントデータに関するさらなる情報のために、ユーザ及び/又は企業SEMサーバ180を促すよう構成されてもよい。このようなさらなる情報はさらに、セキュリティイベントが発生したか判断するのに利用されてもよい。例えば、あるイベントが1日のある時間に一貫して受信される場合、セキュリティイベントマネージャ102は、このようなイベントがセキュリティの脅威であるか、又は許容されるべきか判断するようユーザを促すものであってもよい。さらに、セキュリティイベントマネージャ102は、同様の又は追加的な情報を取得するため、サーバ180と通信してもよい。
【0045】
ブロック412において、セキュリティイベントマネージャ102は、ブロック410において受信した追加的な情報に基づき、セキュリティポリシーを更新するよう構成される。例えば、ユーザが、未知のイベントがセキュリティの脅威でないと判断した場合、セキュリティポリシーは、当該時間にそれが発生したとき、そのイベントを無視するよう更新されてもよい(しかしながら、異なる時間にそれが発生した場合には、当該イベントをセキュリティイベントとして分類してもよい)。このようにして、セキュリティポリシー及びセキュリティイベントデータの相関とは、モバイル計算装置100のセキュリティを向上させるため、経時的に変更されてもよい。
【0046】
図3の方法に戻って、ブロック316においてセキュリティイベントデータを解析した後、セキュリティイベントマネージャ102は、セキュリティイベントがブロック318において発生したか判断する。このような判定は、上述されるように、セキュリティイベントソース200から受信されるセキュリティイベントデータの正規化、集約及び関連付けに基づく。セキュリティイベントが発生していない場合、方法300はブロック304にループバックし、さらなるセキュリティイベントデータがセキュリティイベントソースから受信される。しかしながら、セキュリティイベントマネージャが、セキュリティイベントが発生したと判断した場合、ブロック320において、セキュリティイベントマネージャ102は、セキュリティイベントに応答する。セキュリティイベントマネージャ102は、セキュリティイベントが発生したという判断に応答して、セキュリティイベントの無視、モバイル計算装置100の接続状態の変更、ソフトウェアアプリケーションへのアクセスの変更、モバイル計算装置100のデータフィルタの変更、高優先度データ224などのデータへのアクセスの拒否、モバイル計算装置100のリブート、モバイル計算装置100のオフ、モバイル計算装置100上で実行されるソフトウェアアプリケーション又はサービスの隔離及び/又は1以上の何れかさらなるアクションを含む1以上のアクションを実行する。その後、セキュリティイベントに応答して行われるアクションに応じて、方法300は、さらなるセキュリティイベントデータがセキュリティイベントソース200から受信されるブロック304にループバックする。
【0047】
本開示が図面と説明により詳細に図示及び説明されたが、このような図示及び説明は、単なる一例であって、限定的なものとみなされるべきでなく、単なる例示的な実施例が図示及び説明され、本開示の趣旨の範囲内のすべての変更及び改良が保護されることが所望されることが理解されるべきである。
【0048】
以上、本発明の実施例について詳述したが、本発明は上述した特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
【符号の説明】
【0049】
100 モバイル計算装置
160 ネットワーク
180 企業セキュリティイベント管理サーバ
【技術分野】
【0001】
本発明は、セキュリティイベントを管理する方法及び装置に関する。
【背景技術】
【0002】
セキュリティイベント管理(SEM)及びセキュリティ情報管理(SIM)システムは、典型的には、複数のセキュリティイベントソースからセキュリティイベントデータを収集、集約及び相関させるよう構成される企業レベルサーバである。標準的なSEM/SIMシステムでは、ユーザのクライアントコンピュータは、レポート、ログ及び他のセキュリティ関連データをSEM/SIMサーバに定期的に送信するよう構成される。SEM/SIMサーバは、セキュリティイベントのレポートを作成するため、クライアントコンピュータやネットワークルータ、ファイアウォール、サービスなどの他の企業装置及びソースから受信するセキュリティデータを集約及び相関させる。典型的には、SEM/SIMサーバは、パッシブであり、セキュリティイベントに自動的には応答しない。セキュリティスタッフが、セキュリティイベントのレポートを確認し、適切なアクションをとる。
【0003】
従来、企業のセキュリティの境界は、計算装置の大部分が固定されたものであったため、企業の物理的境界(すなわち、企業のある建物など)に関連付けされた。しかしながら、計算装置がより可動的になるに従って、企業のセキュリティ境界は拡大し、いくつかのケースでは完全になくなっている。また、従来のSEM/SIMサーバなどの中央配置されたセキュリティシステムは、企業のセキュリティを全体的に維持しようとし、特に多数のモバイル計算装置に対するセキュリティを維持しようとするものである。
【発明の概要】
【発明が解決しようとする課題】
【0004】
上記問題点に鑑み、本発明の課題は、効果的にセキュリティイベントを管理する方法及び装置を提供することである。
【課題を解決するための手段】
【0005】
上記課題を解決するため、本発明の一特徴は、モバイル計算装置上にセキュリティイベントマネージャを確立するステップと、前記セキュリティイベントマネージャによって、セキュリティイベントの発生を決定するためのセキュリティイベントルールセットを規定するセキュリティポリシーデータを抽出するステップと、前記セキュリティイベントマネージャによって、前記モバイル計算装置の少なくとも1つのセキュリティイベントソースから生成されるセキュリティイベントデータを受信するステップと、前記セキュリティイベントマネージャによって、前記セキュリティイベントデータと前記セキュリティポリシーデータとに基づき、セキュリティイベントの発生を決定するステップと、前記セキュリティイベントマネージャによって、前記セキュリティイベントに応答するステップとを有する方法に関する。
【発明の効果】
【0006】
本発明によると、効果的にセキュリティイベントを管理する方法及び装置を提供することができる。
【図面の簡単な説明】
【0007】
【図1】図1は、モバイル計算装置上で生成されるセキュリティイベントを管理するモバイル計算装置の一実施例の簡単化されたブロック図である。
【図2】図2は、図1のモバイル計算装置のソフトウェア環境の簡単化されたブロック図である。
【図3】図3は、図1のモバイル計算装置により実行されるセキュリティイベントを管理する方法の一実施例の簡単化されたフロー図である。
【図4】図4は、図3の方法に私用されるセキュリティイベントデータを解析する方法の一実施例の簡単化されたフロー図である。
【発明を実施するための形態】
【0008】
以下、図面に基づいて本発明の実施の形態を説明する。
【0009】
本開示のコンセプトは様々な改良及び代替的な形態の影響を受けるが、各実施例が図面により図示され、詳細に説明される。しかしながら、本開示のコンセプトを開示された特定の形態に限定することを意図したものでなく、添付した請求項により規定されるような本発明の趣旨及び範囲内に属するすべての改良、均等及び代替をカバーするものである。
【0010】
以下の説明では、ロジック実現形態、オペコードなどの多数の具体的詳細は、オペランド、リソース分割/共有/複製実現形態、システムコンポーネントのタイプ及び相互関係を特定するものであり、本開示のより完全な理解を提供するため、ロジック分割/統合選択が提供されてもよい。しかしながら、本開示の実施例はこのような特定の詳細なしに実現可能であることが当業者に理解されるであろう。他の例では、制御構成、ゲートレベル回路及び完全なソフトウェア命令シーケンスは、本開示を不明りょうにしないように詳細には示されない。当業者は、この開示によって過度な実験なしに適切な機能を実現することが可能であろう。
【0011】
明細書における“一実施例”、“実施例”、“一例となる実施例”などの用語は、開示された実施例が特定の機能、構成又は特徴を有することを示すが、すべての実施例が、特定の機能、構成又は特徴を必ずしも有する必要はない。さらに、このような用語は必ずしも同一の実施例を参照しているとは限らない。さらに、特定の機能、構成又は特徴が実施例に関連して説明されるとき、明示されているか否かにかかわらず、このような機能、構成又は特徴を他の実施例に関して実現することは当業者の知識の範囲内である。
【0012】
本開示のいくつかの実施例は、ハードウェア、ファームウェア、マイクロコード、CPU(Central Processing Unit)命令、ソフトウェア又はこれらの何れかの組み合わせにより実現されてもよい。コンピュータシステムにおいて実現される本開示の実施例は、コンポーネント間の1以上のバスベースインターコネクト及び/又はコンポーネント間の1以上のポイント・ツー・ポイントインターコネクトを有するものであってもよい。本発明の実施例はまた、1以上のプロセッサにより読み込まれ実行される、マシーン可読な有形の媒体に格納される命令として実現されてもよい。マシーン可読な有形媒体は、マシーン(計算装置など)により可読な形態により情報を格納又は送信するための何れかの有形な機構を有するものであってもよい。例えば、マシーン可読な有形媒体は、ROM(Read Only Memory)、RAM(Random Access Memory)、磁気ディスク記憶媒体、光記憶媒体、フラッシュメモリデバイス及び他の有形媒体を含むものであってもよい。
【0013】
図1を参照して、自装置100上で生成されるセキュリティイベントを管理するよう構成されるモバイル計算装置100は、セキュリティイベントマネージャ(SEM)102と、プロセッサ104と、チップセット106と、メモリ108とを有する。計算装置100は、ここに記載される機能を実行可能な何れかのタイプのポータブルな計算装置として実現されてもよい。例えば、いくつかの実施例では、計算装置100は、携帯電話、PDA(Personal Data Assistant)、携帯コンピュータ、ラップトップコンピュータ、モバイルインターネットデバイス(MID)、又は他のコンピュータベースのモバイル装置として実現される。
【0014】
セキュリティイベントマネージャ102は、ここでより詳細に説明されるモバイル計算装置100上で生成されるセキュリティイベントを収集、正規化、集約、関連付け及び応答するため協調するハードウェアコンポーネント、ファームウェアコンポーネント及びソフトウェアコンポーネントを含む複数のコンポーネントとして実現されてもよい。また、セキュリティイベントマネージャ102は、装置100のプロセッサ104から独立した専用のハードウェアプロセッサ及び/又は他の回路を有するものであってもよい。さらに、セキュリティイベントマネージャ102は、セキュア化された環境においてセキュリティイベントマネージャを初期化又は“ブート”するよう構成されるファームウェア命令を有してもよい。一部の実施例では、セキュリティイベントマネージャ102は、セキュリティを向上させるため、メインメモリ108から独立したメモリ(図示せず)を有するか、又は通信接続されてもよい。
【0015】
プロセッサ104は、プロセッサコア110を有するシングルコアプロセッサとして実現される。しかしながら、他の実施例では、プロセッサ104は、複数のプロセッサコア110を有するマルチコアプロセッサとして実現されてもよい。さらに、計算装置100は、1以上のプロセッサコア110を有するさらなるプロセッサ104を有してもよい。プロセッサ104は、いくつかの信号パス112を介しチップセット106に通信接続される。信号パス112は、プロセッサ104とチップセット106との間の通信を実行可能な何れかのタイプの信号パスとして実現されてもよい。例えば、信号パス112は、任意数の配線、プリント回路ボードトレース、ビア、バス、仲介装置などとして実現されてもよい。
【0016】
メモリ108は、DRAM(Dynamic RAM)、SDRAM(Synchronous DRAM)、DDR(Double−Data Rate) SDRAM及び/又は他の揮発性メモリデバイスなどを含む1以上のメモリデバイス又はデータストレージとして実現されてもよい。さらに、図1では1つのメモリデバイス108しか示されていないが、他の実施例では、計算装置100はさらなるメモリデバイス108を有してもよい。
【0017】
チップセット106は、メモリコントローラハブ(MCH)、すなわち、ノースブリッジと、入出力コントローラハブ(ICH)、すなわち、サウスブリッジと、ファームウェアデバイスとを有する。このような実施例では、ファームウェアデバイスは、BIOS(Basic Input/Output System)データ、命令及び/又は他の情報を格納するためのメモリストレージデバイスとして実現されてもよい。チップセット106は、いくつかの信号パス114を介しメモリ108に通信接続される。信号パス112と同様に、信号パス114は、任意数のバスパス、プリント回路ボードトレース、配線、ビア、仲介装置及び/又は他のインターコネクトなど、チップセット106とメモリデバイス108との間の通信を実現可能な何れかのタイプの信号パスとして実現されてもよい。
【0018】
他の実施例では、チップセット106は、プラットフォームコントローラハブ(PCH)として実現されてもよい。このような実施例では、メモリコントローラハブ(MCH)は、プロセッサに搭載されるか、又は関連付けされてもよい。さらに、このような実施例では、メモリ108は、いくつかの信号パス116を介しチップセット106(すなわち、プラットフォームコントローラハブ)でなくプロセッサ104に通信接続されてもよい。信号パス112と同様に、信号パス116は、任意数のバスパス、プリント回路ボードトレース、配線、ビア、仲介装置及び/又は他のインターコネクトなど、プロセッサ104とメモリデバイス108との間の通信を実現可能な何れかのタイプの信号パスとして実現されてもよい。
【0019】
さらなる他の実施例では、計算装置100の2以上のコンポーネントが、単一の集積回路に搭載されてもよい。例えば、いくつかの実施例では、プロセッサ104と、メモリコントローラハブ(MCH)と、入出力コントローラハブ(ICH)と、メモリ108の各部分と、装置100の他のコンポーネントとが、システム・オン・チップ(SoC)集積回路に搭載されてもよい。さらに又は代わりに、このようなコンポーネントの一部がシステム・イン・パッケージ(SiP)集積回路などに搭載されてもよい。また、計算装置100の物理的なレイアウトは図1に図示された実施例に限定されるものでないことが理解されるべきである。
【0020】
一部の実施例では、計算装置100は、データストレージデバイス118、1以上の周辺デバイス120及び通信回路122を有する。このような実施例では、チップセット106はまた、データストレージデバイス118、周辺デバイス120、通信回路122及びセキュリティイベントマネージャ102と信号パス124を介し通信接続される。再び、信号パス112と同様に、信号パス124は、任意数の配線、プリント回路ボードトレース、ビア、バス、仲介装置など、チップセット106と、データストレージデバイス118、周辺デバイス120、通信回路122及びセキュリティイベントマネージャ102との間の通信を実現可能な何れかのタイプの信号パスとして実現されてもよい。
【0021】
データストレージデバイス118は、メモリデバイス、回路、メモリカード、ハードディスクドライブ、ソリッドステートドライブ、他のデータストレージデバイスなど、データの短期又は長期格納のために構成される何れかの個数及びタイプのデバイスとして実現される。周辺デバイス120は、入力デバイス、出力デバイス及び他のインタフェースデバイスを含む何れかの個数の周辺デバイスを含むものであってもよい。例えば、周辺デバイス120は、モバイル計算装置100のディスプレイスクリーンとキーボードとを有してもよい。周辺デバイス120に含まれるデバイスは、例えば、計算装置の意図した利用などに依存するものであってもよい。
【0022】
通信回路122は、モバイル計算装置100と1以上のリモートデバイスとの間の通信を可能にするための何れかの個数のデバイス及び回路として実現されてもよい。例えば、通信回路122は、ネットワーク160を介し企業のセキュリティイベント管理(SEM)サーバ180との有線又は無線通信を実現するための1以上の有線又は無線ネットワークインタフェースを有してもよい。ネットワーク160は、ローカルエリアネットワーク、ワイドエリアネットワーク、公衆に利用可能なグローバルネットワーク(インターネットなど)又は他のネットワークなどの何れかのタイプの有線及び/又は無線ネットワークとして実現されてもよい。さらに、ネットワーク160は、ルータ、スイッチ、仲介装置など、モバイル計算装置100と企業のSEMサーバ180との間の通信を実現するための何れかの個数のさらなるデバイスを有してもよい。
【0023】
いくつかの実施例では、モバイル計算装置100はまた、信号パス132を介しセキュリティイベントマネージャ102に通信接続される1以上のセンサ130を有する。信号パス112と同様に、信号パス132は、センサ130とセキュリティイベントマネージャ102との間の通信を実現可能な何れかのタイプの信号パスとして実現されてもよい。センサ130は、モバイル計算装置100のユーザ又は計算装置100自体の状況の1以上のパラメータを決定するよう構成される何れかのタイプのセンサ又はセンサネットワークとして実現されてもよい。例えば、センサ130は、ユーザの位置を決定する位置センサ(GPSセンサなど)、ユーザの生体データを決定する生体センサ、温度センサ、高度センサ、無線識別情報(RFID)、送信機及び/又は受信機、データスキャナ又はリーダ、及び/又はユーザ(又は計算装置100自体)の状況のパラメータを示すデータを検知又は収集するよう構成された他のセンサ及び/又はデバイスとして実現されてもよい。さらに、計算装置100は説明の簡単化のため図1に示されない他のコンポーネント、サブコンポーネント及びデバイスを有してもよいことが理解されるべきである。
【0024】
企業SEMサーバ180は、何れかのタイプの企業レベルSEMシステム、SIMシステム又はSEIM(Security Event and Information Management)システムとして実現される。サーバ180は、リモートクライアント及び/又は他のセキュリティイベントソースからセキュリティデータを受信し、受信したセキュリティデータを集約し、セキュリティスタッフにより確認のためにセキュリティデータを関連付けるよう構成される1以上のコンピュータサーバマシーンを有してもよい。
【0025】
企業SEMサーバ180は、プロセッサ182と、メモリ184と、通信回路186とを有する。プロセッサ182は、シングル又はマルチコアプロセッサとして実現される。さらに、企業SEMサーバ180は、1以上のプロセッサコアを有する何れかの個数のさらなるプロセッサ182を有してもよい。メモリ184は、DRAM、SDRAM、DDR SDRAM及び/又は他の揮発性メモリデバイスなどを含む1以上のメモリデバイス又はデータストレージとして実現されてもよい。図1には1つのメモリデバイス184しか示されていないが、他の実施例では、企業SEMサーバ180はさらなるメモリデバイス184を有してもよい。通信回路186は、モバイル計算装置100の通信回路122と同様であってもよく、ネットワーク160を介し企業SEMサーバ180とモバイル計算装置100との間の通信を可能にするための何れかの個数のデバイス及び回路として実現されてもよい。さらに、企業SEMサーバ180は、説明のために図1に示されていない企業SEMサーバに典型的に設けられている他のコンポーネント、サブコンポーネント及びデバイスを有するものであってもよいことが理解されるべきである。
【0026】
図2を参照して、モバイル計算装置100は、企業SEMサーバ180と通信する必要なくモバイル計算装置100のセキュリティイベント管理を提供するためのローカルセキュリティイベントマネージャ102を有する。上述されるように、セキュリティイベントマネージャ102は、ハードウェア、ファームウェア及び/又はソフトウェアモジュール及びデバイスとして実現される。セキュリティイベントマネージャ102は、モバイル計算装置の1以上のセキュリティイベントソース200からセキュリティイベントデータを収集又は受信するよう構成される。
【0027】
セキュリティイベントソース200は、セキュリティイベントデータを生成する何れかのファームウェア、ソフトウェア又はハードウェアとして実現されてもよい。例えば、セキュリティイベントソース200は、プロセッサファームウェア、周辺デバイスにより実行されるファームウェア、又は計算装置100の1以上のコンポーネントにより実行される他のファームウェアなど、モバイル計算装置100の1以上のデバイスにより実行されるファームウェア202として実現されてもよい。さらに、セキュリティイベントソース200は、ログ、アクティビティレポートなどのセキュリティイベントデータを生成する1以上のオペレーティングシステム204を有してもよい。セキュリティイベントソース200はさらに、オペレーティングシステム204上で実行されるソフトウェアアプリケーション206を有してもよい。モバイル計算装置100がセンサ130を有する実施例では、セキュリティイベントソース200はまた、センサ130により生成されるセンサデータ208を有する。
【0028】
セキュリティイベントソース200により生成されるセキュリティイベントデータは、セキュリティイベントの発生が決定される何れかのタイプのデータとして実現されてもよい。例えば、セキュリティイベントデータは、1以上のセキュリティイベントソース200から生成されるイベントログ、アクティビティレポート若しくはログ、エラーレポート/ログ及び/又は他のデータを含むものであってもよい。ソース200からセキュリティイベントデータを受信することに応答して、セキュリティイベントマネージャ102は、以下で詳細に説明されるように、セキュリティイベントが発生したか判断するため、セキュリティイベントデータを正規化、集約及び関連付けるよう構成される。セキュリティイベントが発生したと判断された場合、セキュリティイベントマネージャ102は、このようなセキュリティイベントにアクティブに応答し、及び/又はモバイル計算装置100のユーザインタフェースを介しユーザに情報を提供するよう構成される。
【0029】
図示された実施例では、セキュリティイベントマネージャ102は、正規化エンジン210と、集約エンジン212と、相関エンジン214とを有する。各エンジン210,212,214は、独立したファームウェア又はソフトウェアモジュールとして実現されてもよいし、又はセキュリティイベントマネージャの単一のファームウェア及び/又はソフトウェアモジュールに搭載されてもよい。上述されるように、セキュリティイベントマネージャ210は、セキュリティイベントソース200からセキュリティイベントデータを受信する。正規化エンジンは、セキュリティイベントソース200から受信するセキュリティイベントデータを正規化するよう構成される。これを実行するため、正規化エンジン210はセキュリティイベントデータを共通する又は所定のデータフォーマットに変換する。正規化エンジン210により用いられるデータフォーマットは、セキュリティイベントマネージャ102の実現形態及び/又は他の基準に基づき決定されてもよい。セキュリティイベントデータが共通のフォーマットに変換されるため、セキュリティイベントデータが解析される効率性及びスピードが向上する。
【0030】
集約エンジン212は、解析対象の全体的なデータ量を減少させるため、正規化されたセキュリティイベントデータを集約するよう構成される。このようにして、集約エンジン212は、セキュリティイベントデータを概略化する。例えば、セキュリティイベントデータがあるエラーの1000個の別個の事例を含む場合、集約エンジン212は、当該タイプの1000個のエラーが解析タイムウィンドウ内で受信されたことを示す1つのエントリとしてこのようなセキュリティイベントデータを表現するよう構成されてもよい。さらに又は代わりに、集約エンジン212は、上記例において、1000個のエラー事例が単一のエラー事例として表されるように、エラーの1000個の事例を受信したことから生成又は規定される定量的な閾値に基づき、セキュリティイベントデータを表すよう構成されてもよい。
【0031】
相関エンジン214は、セキュリティイベントの発生を決定するため、集約されたセキュリティイベントデータを関連付けるよう構成される。これを実行するため、相関エンジン214は、セキュリティポリシーデータベース220に格納される所定のセキュリティポリシーに基づきセキュリティイベントデータを関連付けする。セキュリティポリシーは、セキュリティイベントデータからセキュリティイベントを特定するのに利用されるセキュリティイベントルールセットを規定する。セキュリティイベントルールは、定量的、時間的、定性的、合成的及び/又は他の基準などのセキュリティイベントを決定するのに利用可能な何れかのタイプの基準に基づくフォーマットを有してもよい。例えば、1つのセキュリティイベントルールは、イベントA及びBが所定の期間内に互いに発生する場合、セキュリティイベントの発生を示すものであってもよい。他のセキュリティイベントルールは、イベントCの個数が所定の閾値に達した場合、セキュリティイベントを示すようにしてもよい。さらに、他の例示的なセキュリティイベントルールは、イベントDがこれまでに発生している場合、セキュリティイベントを示すようにしてもよい。また、セキュリティポリシーは、セキュリティイベントの発生が決定される各種形式を有する何れかの個数のセキュリティポリシーイベントを含むものであってもよい。
【0032】
いくつかの実施例では、相関エンジン214は、セキュリティポリシーとモバイル計算装置100のコンテクストデータベース222に格納されているコンテクストデータとに基づき、セキュリティイベントデータを関連付けるよう構成される。コンテクストデータは、モバイル計算装置100及び/又はユーザのコンテクスト(context)、すなわち、状況を規定又は特定する何れかのタイプのデータを含むものであってもよい。例えば、コンテクストデータは、モバイル計算装置100の位置、ユーザにより実行されているアクティビティ、環境的側面、ユーザの生体データ、履歴データ及び/又は他のコンテクストデータを規定するものであってもよい。このようなコンテクストデータは、様々な程度の仕様を有するものであってもよい。例えば、一部の実施例では、モバイル計算装置100の位置は、装置100がある都市、装置100がある建物、又は装置100のGPS座標として規定されてもよい。コンテクストデータのタイプと仕様との関係なく、このようなデータは、セキュリティイベントの発生を決定するため、及び/又は以下で詳細に説明されるようなこのようなイベントへの応答の仕方を決定するため、セキュリティポリシーと共に利用されてもよい。例えば、イベントA及びBの発生しか、モバイル計算装置100がある位置にある場合、セキュリティイベントを規定しないようにしてもよい。
【0033】
モバイル計算装置100はまた、セキュアなデータベース又は他のメモリストレージ位置に格納される高優先度データ224を有してもよい。このような高優先度データは、特に機密データとして実現されてもよい。高優先度データをセキュリティを向上させるため、セキュリティイベントマネージャ102は、独立したセキュアなバーチャルコンテナに高優先度データを格納するよう構成される。例えば、高優先度データは、セキュアなメモリ位置に格納されてもよい。このようなバーチャルコンテナは、モバイル計算装置100との間の機密データの伝送を可能にする。
【0034】
いくつかの実施例では、セキュリティイベントマネージャ102は、モバイル計算装置100上に表示されるユーザインタフェースとやりとりするよう構成されてもよい。例えば、セキュリティイベントマネージャ102は、ユーザにセキュリティイベントデータに基づく警告又は更新を表示するようにしてもよい。さらに、ユーザインタフェース230は、ユーザ入力を要求するのに利用されてもよい。例えば、ユーザインタフェース230は、セキュリティポリシーデータベース220に格納されているセキュリティポリシー及び/又はコンテクストデータベース222に格納されているコンテクストデータを更新するためユーザにより利用されてもよい。
【0035】
上述されるように、いくつかの実施例では、モバイル計算装置100は、ネットワーク160を介し企業SEMサーバ180と通信する。いくつかの実施例では、企業SEMサーバ180は、標準的な企業レベルのSEMモジュール、SIMモジュール及び/又はSEIMモジュールとして実現される企業セキュリティイベントマネージャ250を有する。企業セキュリティイベントマネージャ250は、モバイル計算装置100などのリモート計算装置からセキュリティイベントデータを受信するよう構成される。このようなセキュリティイベントデータは、データベース252に格納される。使用するとき、企業セキュリティイベントマネージャ250は、セキュリティスタッフによる確認のため、各種リモート計算装置から受信されるセキュリティイベントデータを集約及び関連付けするよう構成される。
【0036】
図3を参照して、モバイル計算装置100上で生成されるセキュリティイベントを管理する方法300は、セキュリティイベントマネージャ102が装置100上で開始されるブロック302から開始される。一部の実施例では、セキュリティイベントマネージャ102は、セキュアな環境において確立される。セキュリティイベントマネージャ102は、計算装置100に電源供給されると、自動的に起動するようにしてもよい。あるいは、他の実施例では、モバイル計算装置100のユーザは、セキュリティイベントマネージャ102を選択的に起動してもよい。さらに、一部の実施例では、セキュリティイベントマネージャ102は、ブロック302において、セキュリティポリシーデータベース220に格納されているセキュリティポリシー及び/又はコンテクストデータベース222に格納されているコンテクストデータを抽出するよう構成されてもよい。
【0037】
ブロック304において、セキュリティイベントマネージャ102は、モバイル計算装置100の1以上のセキュリティイベントソース200により生成されるセキュリティイベントデータを収集又は受信する。上述されるように、セキュリティイベントデータは、セキュリティイベントの発生が決定される何れかのタイプのデータとして実現されてもよい。例えば、セキュリティイベントデータは、1以上のセキュリティイベントソース200から生成されるイベントログ、アクティビティレポート若しくはログ、エラーレポート/ログ及び/又は他のデータを含むものであってもよい。さらに、いくつかの実施例では、セキュリティイベントマネージャ102は、ブロック306において、モバイル計算装置100のユーザのアクティビティをモニタ及び記録するようにしてもよい。このようなアクティビティログは、企業のRBAC(Role Based Access Control)を確保又はモニタするのに利用されてもよい。セキュリティイベントマネージャ102によりモニタ及びログされるアクティビティは、装置100のアプリケーション及びサービスに関する利用情報など、計算装置100上で実行される何れかのタイプのアクティビティを含むものであってもよい。
【0038】
ブロック308では、セキュリティイベントマネージャ102は、計算装置100が企業環境内にあるか判断する。例えば、セキュリティイベントマネージャ102は、装置100が企業の物理的位置内(特定の部屋、建物又はエリアなど)にあるか判断してもよい。これを実行するため、セキュリティイベントマネージャ102は、コンテクストデータベース222に格納されているコンテクストデータを利用する。このような決定の仕様は、実現形態に応じて変更されてもよい。例えば、一部の実施例では、ブロック308において、セキュリティイベントマネージャ102は、装置100が物理的位置でなく企業SEMサーバ180に通信接続されているか判断するよう構成される。
【0039】
セキュリティイベントマネージャ102が、ブロック308においてモバイル計算装置100が企業環境内にあると判断した場合、セキュリティイベントマネージャ102は、ブロック310において、セキュリティイベントデータを企業SEMサーバ180に送信する。一部の実施例では、セキュリティイベントマネージャ102は、ブロック310において、“未処理の”セキュリティイベントデータ(すなわち、セキュリティイベントソース200から受信されるようなセキュリティイベントデータ)をサーバ180に送信してもよい。しかしながら、他の実施例では、セキュリティイベントマネージャ102は、ブロック310において、集約及び正規化されたセキュリティイベントデータをサーバ180に送信するよう構成される。さらに、ブロック312において、セキュリティイベントマネージャ102は、何れかのアクティビティログ又は他のRBACデータをサーバ180に送信する。このようにして、セキュリティイベントデータと多数のリモート装置からの他の情報とが、企業SEMサーバ180により解析される。方法300は、以降にブロック304にループバックし、さらなるセキュリティイベントデータがセキュリティイベントマネージャ102により受信される。
【0040】
ブロック308に戻って、セキュリティイベントマネージャ102が、モバイル計算装置100が企業環境内にないと判断した場合、ブロック314において、セキュリティイベントマネージャ102は、セキュリティイベントデータを解析するか判断する。セキュリティイベントマネージャ102は、定期的に(データが毎時解析される)又は1以上のトリガイベントに基づき(所定量のセキュリティイベントデータが受信されるなど)、セキュリティイベントデータを解析するか判断する。このようなトリガイベントは、例えば、セキュリティポリシーデータベース220に格納されているセキュリティポリシーなどによって規定されてもよい。さらに、他の実施例では、セキュリティイベントマネージャ102は、実質的に連続的にセキュリティイベントソース200から受信されるセキュリティイベントデータを解析するようにしてもよい。このような実施例では、ブロック314はスキップされてもよいし、又は方法300に含まれなくてもよい。
【0041】
セキュリティイベントマネージャが、セキュリティイベントデータが確認されるべきであると判断した場合、ブロック316において、セキュリティイベントマネージャ102は、セキュリティイベントデータを解析する。これを実行するため、セキュリティイベントマネージャ102は、図4に示されるようなセキュリティイベントデータを解析するための方法400を実行する。方法400は、セキュリティイベントデータが正規化されるブロック402から開始される。上述されるように、セキュリティイベントデータは、セキュリティイベントデータを共通する又は所定のデータフォーマットに変換するため、正規化エンジン210により正規化される。正規化エンジン210により用いられるデータフォーマットは、セキュリティイベントマネージャ102の実現形態及び/又は他の基準に基づき決定される。
【0042】
ブロック404において、セキュリティイベントマネージャ102の集約エンジン212は、解析対象のデータ量全体が低減されるように、正規化されたセキュリティイベントデータを概略化するため、正規化されたセキュリティイベントデータを集約する。集約エンジン212は、図2に関して上述されたような定量的閾値などに基づくものなど何れか適切な方法を用いてセキュリティイベントデータを集約する。方法300のブロック316において、正規化及び集約処理がセキュリティイベントデータの解析において実現されるが、このような正規化及び集約処理は、他の実施例では方法300の他の処理において実行されてもよい。例えば、一部の実施例では、セキュリティイベントデータは、セキュリティイベントマネージャ102による受信に応答して、定期的に又は所定のトリガイベントに基づき正規化及び集約化される。
【0043】
方法400のブロック406を参照して、セキュリティイベントマネージャ102の相関エンジン214は、その後にセキュリティイベントの発生を決定するため、集約されたセキュリティイベントデータを関連付ける。上述されるように、相関エンジン214は、セキュリティポリシーデータベース220に格納されてるセキュリティポリシーに基づきセキュリティイベントデータを関連付ける。さらに、一部の実施例では、ブロック408において、相関エンジン214は、モバイル計算装置100のコンテクストデータベース222に格納されているコンテクストデータとセキュリティポリシーとに基づきセキュリティイベントデータを関連付けるよう構成される。また、セキュリティイベントマネージャ102は、コンテクストデータベース222からコンテクストデータを抽出し、当該データとセキュリティポリシーのセキュリティイベントルールとを用いて、セキュリティイベントデータを関連付け、これによりセキュリティイベントが発生したか判断するよう構成される。
【0044】
いくつかの実施例では、セキュリティイベントマネージャ102は、ブロック410において、セキュリティイベントデータに関するさらなる情報のために、ユーザ及び/又は企業SEMサーバ180を促すよう構成されてもよい。このようなさらなる情報はさらに、セキュリティイベントが発生したか判断するのに利用されてもよい。例えば、あるイベントが1日のある時間に一貫して受信される場合、セキュリティイベントマネージャ102は、このようなイベントがセキュリティの脅威であるか、又は許容されるべきか判断するようユーザを促すものであってもよい。さらに、セキュリティイベントマネージャ102は、同様の又は追加的な情報を取得するため、サーバ180と通信してもよい。
【0045】
ブロック412において、セキュリティイベントマネージャ102は、ブロック410において受信した追加的な情報に基づき、セキュリティポリシーを更新するよう構成される。例えば、ユーザが、未知のイベントがセキュリティの脅威でないと判断した場合、セキュリティポリシーは、当該時間にそれが発生したとき、そのイベントを無視するよう更新されてもよい(しかしながら、異なる時間にそれが発生した場合には、当該イベントをセキュリティイベントとして分類してもよい)。このようにして、セキュリティポリシー及びセキュリティイベントデータの相関とは、モバイル計算装置100のセキュリティを向上させるため、経時的に変更されてもよい。
【0046】
図3の方法に戻って、ブロック316においてセキュリティイベントデータを解析した後、セキュリティイベントマネージャ102は、セキュリティイベントがブロック318において発生したか判断する。このような判定は、上述されるように、セキュリティイベントソース200から受信されるセキュリティイベントデータの正規化、集約及び関連付けに基づく。セキュリティイベントが発生していない場合、方法300はブロック304にループバックし、さらなるセキュリティイベントデータがセキュリティイベントソースから受信される。しかしながら、セキュリティイベントマネージャが、セキュリティイベントが発生したと判断した場合、ブロック320において、セキュリティイベントマネージャ102は、セキュリティイベントに応答する。セキュリティイベントマネージャ102は、セキュリティイベントが発生したという判断に応答して、セキュリティイベントの無視、モバイル計算装置100の接続状態の変更、ソフトウェアアプリケーションへのアクセスの変更、モバイル計算装置100のデータフィルタの変更、高優先度データ224などのデータへのアクセスの拒否、モバイル計算装置100のリブート、モバイル計算装置100のオフ、モバイル計算装置100上で実行されるソフトウェアアプリケーション又はサービスの隔離及び/又は1以上の何れかさらなるアクションを含む1以上のアクションを実行する。その後、セキュリティイベントに応答して行われるアクションに応じて、方法300は、さらなるセキュリティイベントデータがセキュリティイベントソース200から受信されるブロック304にループバックする。
【0047】
本開示が図面と説明により詳細に図示及び説明されたが、このような図示及び説明は、単なる一例であって、限定的なものとみなされるべきでなく、単なる例示的な実施例が図示及び説明され、本開示の趣旨の範囲内のすべての変更及び改良が保護されることが所望されることが理解されるべきである。
【0048】
以上、本発明の実施例について詳述したが、本発明は上述した特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
【符号の説明】
【0049】
100 モバイル計算装置
160 ネットワーク
180 企業セキュリティイベント管理サーバ
【特許請求の範囲】
【請求項1】
モバイル計算装置上にセキュリティイベントマネージャを確立するステップと、
前記セキュリティイベントマネージャによって、セキュリティイベントの発生を決定するためのセキュリティイベントルールセットを規定するセキュリティポリシーデータを抽出するステップと、
前記セキュリティイベントマネージャによって、前記モバイル計算装置の少なくとも1つのセキュリティイベントソースから生成されるセキュリティイベントデータを受信するステップと、
前記セキュリティイベントマネージャによって、前記セキュリティイベントデータと前記セキュリティポリシーデータとに基づき、セキュリティイベントの発生を決定するステップと、
前記セキュリティイベントマネージャによって、前記セキュリティイベントに応答するステップと、
を有する方法。
【請求項2】
前記セキュリティイベントマネージャを確立するステップは、セキュアなブート環境において前記セキュリティイベントマネージャを確立することからなる、請求項1記載の方法。
【請求項3】
前記セキュリティイベントデータを受信するステップは、前記モバイル計算装置の複数のセキュリティイベントソースから生成されるセキュリティイベントデータを受信することからなる、請求項1記載の方法。
【請求項4】
前記セキュリティイベントデータを受信するステップは、前記モバイル計算装置のファームウェア、前記モバイル計算装置のオペレーティングシステム及び前記モバイル計算装置上で実行されるソフトウェアアプリケーションの少なくとも1つから生成されるセキュリティイベントデータを受信することからなる、請求項1記載の方法。
【請求項5】
前記セキュリティイベントの発生を決定するステップは、前記セキュリティイベントデータを所定のデータフォーマットに正規化することを含む、請求項1記載の方法。
【請求項6】
前記セキュリティイベントの発生を決定するステップは、前記セキュリティイベントデータを概略化するため、前記セキュリティイベントデータを集約することを含む、請求項1記載の方法。
【請求項7】
前記セキュリティイベントの発生を決定するステップは、前記セキュリティポリシーデータに基づきセキュリティイベントの発生を決定するため、前記セキュリティイベントデータを関連付ける、請求項1記載の方法。
【請求項8】
前記セキュリティイベントの発生を決定するステップは、前記モバイル計算装置に関するコンテクストデータと前記セキュリティポリシーとに基づき、セキュリティイベントの発生を決定するため、前記セキュリティイベントデータを関連付ける、請求項1記載の方法。
【請求項9】
前記コンテクストデータは、前記モバイル計算装置のユーザの位置、前記ユーザのアクティビティ、前記ユーザがいる環境の側面及び前記ユーザに関する生体データの少なくとも1つを示すデータを有する、請求項8記載の方法。
【請求項10】
前記セキュリティイベントの発生を決定するステップは、
所定のデータフォーマットを有する正規化されたセキュリティイベントデータを生成するため、前記セキュリティイベントデータを正規化するステップと、
前記正規化されたセキュリティイベントデータを概略する集約されたセキュリティイベントデータを生成するため、前記正規化されたセキュリティイベントデータを集約するステップと、
前記セキュリティポリシーデータに基づきセキュリティイベントの発生を決定するため、前記集約されたセキュリティイベントデータを関連付けるステップと、
を含む、請求項1記載の方法。
【請求項11】
前記セキュリティイベントマネージャによって、前記モバイル計算装置上に格納されているコンテクストデータベースからコンテクストデータを抽出するステップをさらに有し、
前記セキュリティイベントの発生を決定するステップは、前記セキュリティイベントデータと前記コンテクストデータとに基づき、セキュリティイベントの発生を決定する、請求項1記載の方法。
【請求項12】
前記セキュリティイベントに応答するステップは、前記モバイル計算装置の接続状態の変更、前記モバイル計算装置上のソフトウェアアプリケーションへのアクセスの変更、前記セキュリティイベントマネージャのイベントデータフィルタの変更、データへのアクセスの拒絶、前記モバイル計算装置のリブート、前記モバイル計算装置の電力状態の変更、及び前記モバイル計算装置上で実行されるソフトウェアアプリケーション又はサービスの隔離の前記モバイル計算装置上のアクションの少なくとも1つを実行することを含む、請求項1記載の方法。
【請求項13】
前記モバイル計算装置のセンサから生成されるセンサデータを受信するステップと、
前記モバイル計算装置上に格納されているコンテクストデータベースを前記センサデータによって更新するステップと、
をさらに有する、請求項1記載の方法。
【請求項14】
ユーザ入力データを受信するため、前記モバイル計算装置上にユーザインタフェースを表示するステップと、
前記ユーザ入力データに基づき前記セキュリティポリシーデータを更新するステップと、
をさらに有する、請求項1記載の方法。
【請求項15】
企業セキュリティイベントマネージャサーバとのネットワーク通信接続を確立するステップと、
前記モバイル計算装置から前記企業セキュリティイベントマネージャサーバに前記セキュリティイベントデータを送信するステップと、
をさらに有する、請求項1記載の方法。
【請求項16】
セキュリティイベントマネージャと、
プロセッサと、
複数の命令を格納したメモリデバイスと、
を有するモバイル計算装置であって、
前記複数の命令は、前記プロセッサによって実行されると、前記セキュリティイベントマネージャに、
前記モバイル計算装置の複数のセキュリティイベントソースから生成されるセキュリティイベントデータを受信させ、
セキュリティイベントの発生を決定するため、前記モバイル計算装置に格納され、前記セキュリティイベントの発生を決定するセキュリティイベントルールセットを規定するセキュリティポリシーに基づき、前記セキュリティイベントデータを関連付け、
前記セキュリティポリシーに基づき前記セキュリティイベントに応答させるモバイル計算装置。
【請求項17】
前記セキュリティイベントデータの関連付けは、前記セキュリティイベントデータが前記セキュリティポリシーの少なくとも1つのセキュリティイベントルールとの所定の関係を有することに応答して、前記セキュリティイベントの発生を決定することを含む、請求項16記載のモバイル計算装置。
【請求項18】
前記複数の命令はさらに、前記セキュリティイベントマネージャに、
前記セキュリティイベントデータを所定のデータフォーマットに正規化させ、
前記セキュリティイベントデータを概略化するため、前記セキュリティイベントデータを集約させる、請求項16記載のモバイル計算装置。
【請求項19】
前記複数の命令はさらに、前記セキュリティイベントマネージャに当該モバイル計算装置に格納されているコンテクストデータベースから当該モバイル計算装置のユーザに関するコンテクストデータを抽出させ、
前記セキュリティイベントデータの関連付けは、セキュリティポリシーと前記コンテクストデータとに基づき前記セキュリティイベントデータを関連付ける、請求項16記載のモバイル計算装置。
【請求項20】
センサをさらに有し、
前記複数の命令はさらに、前記セキュリティイベントマネージャに、
前記センサから生成されたセンサデータを受信させ、
前記センサデータによって当該モバイル計算装置に格納されているコンテクストデータベースを更新させる、請求項16記載のモバイル計算装置。
【請求項21】
前記複数の命令はさらに、前記セキュリティイベントマネージャに、
企業セキュリティイベントマネージャとのネットワーク通信接続を確立させ、
当該モバイル計算装置から前記企業セキュリティイベントマネージャサーバに前記セキュリティイベントデータを送信させる、請求項16記載のモバイル計算装置。
【請求項22】
複数の命令を有するマシーン可読な有形媒体であって、
前記複数の命令は、実行されると計算装置に、
セキュリティイベントマネージャを確立させ、
前記計算装置の複数のセキュリティイベントソースから生成されるセキュリティイベントデータをセキュリティイベントマネージャに受信させ、
所定のデータフォーマットを有する正規化されたセキュリティイベントデータを生成するため、前記セキュリティイベントマネージャを用いて前記セキュリティイベントデータを正規化させ、
前記正規化されたセキュリティイベントデータを概略化した集約されたセキュリティイベントデータを生成するため、前記セキュリティイベントマネージャを用いて前記正規化されたセキュリティイベントデータを集約させ、
セキュリティイベントが発生したか判断するため、前記セキュリティイベントマネージャを用いて所定のセキュリティポリシーに基づき前記集約されたセキュリティイベントデータを関連付けさせる有形媒体。
【請求項23】
前記集約されたセキュリティイベントデータの関連付けは、前記セキュリティイベントデータが前記所定のセキュリティポリシーにより規定される少なくとも1つのセキュリティイベントルールとの所定の関係を有するか判断することを含む、請求項22記載の有形媒体。
【請求項24】
前記複数の命令はさらに、前記計算装置に前記所定のセキュリティポリシーに基づきセキュリティイベントに応答させる、請求項22記載の有形媒体。
【請求項1】
モバイル計算装置上にセキュリティイベントマネージャを確立するステップと、
前記セキュリティイベントマネージャによって、セキュリティイベントの発生を決定するためのセキュリティイベントルールセットを規定するセキュリティポリシーデータを抽出するステップと、
前記セキュリティイベントマネージャによって、前記モバイル計算装置の少なくとも1つのセキュリティイベントソースから生成されるセキュリティイベントデータを受信するステップと、
前記セキュリティイベントマネージャによって、前記セキュリティイベントデータと前記セキュリティポリシーデータとに基づき、セキュリティイベントの発生を決定するステップと、
前記セキュリティイベントマネージャによって、前記セキュリティイベントに応答するステップと、
を有する方法。
【請求項2】
前記セキュリティイベントマネージャを確立するステップは、セキュアなブート環境において前記セキュリティイベントマネージャを確立することからなる、請求項1記載の方法。
【請求項3】
前記セキュリティイベントデータを受信するステップは、前記モバイル計算装置の複数のセキュリティイベントソースから生成されるセキュリティイベントデータを受信することからなる、請求項1記載の方法。
【請求項4】
前記セキュリティイベントデータを受信するステップは、前記モバイル計算装置のファームウェア、前記モバイル計算装置のオペレーティングシステム及び前記モバイル計算装置上で実行されるソフトウェアアプリケーションの少なくとも1つから生成されるセキュリティイベントデータを受信することからなる、請求項1記載の方法。
【請求項5】
前記セキュリティイベントの発生を決定するステップは、前記セキュリティイベントデータを所定のデータフォーマットに正規化することを含む、請求項1記載の方法。
【請求項6】
前記セキュリティイベントの発生を決定するステップは、前記セキュリティイベントデータを概略化するため、前記セキュリティイベントデータを集約することを含む、請求項1記載の方法。
【請求項7】
前記セキュリティイベントの発生を決定するステップは、前記セキュリティポリシーデータに基づきセキュリティイベントの発生を決定するため、前記セキュリティイベントデータを関連付ける、請求項1記載の方法。
【請求項8】
前記セキュリティイベントの発生を決定するステップは、前記モバイル計算装置に関するコンテクストデータと前記セキュリティポリシーとに基づき、セキュリティイベントの発生を決定するため、前記セキュリティイベントデータを関連付ける、請求項1記載の方法。
【請求項9】
前記コンテクストデータは、前記モバイル計算装置のユーザの位置、前記ユーザのアクティビティ、前記ユーザがいる環境の側面及び前記ユーザに関する生体データの少なくとも1つを示すデータを有する、請求項8記載の方法。
【請求項10】
前記セキュリティイベントの発生を決定するステップは、
所定のデータフォーマットを有する正規化されたセキュリティイベントデータを生成するため、前記セキュリティイベントデータを正規化するステップと、
前記正規化されたセキュリティイベントデータを概略する集約されたセキュリティイベントデータを生成するため、前記正規化されたセキュリティイベントデータを集約するステップと、
前記セキュリティポリシーデータに基づきセキュリティイベントの発生を決定するため、前記集約されたセキュリティイベントデータを関連付けるステップと、
を含む、請求項1記載の方法。
【請求項11】
前記セキュリティイベントマネージャによって、前記モバイル計算装置上に格納されているコンテクストデータベースからコンテクストデータを抽出するステップをさらに有し、
前記セキュリティイベントの発生を決定するステップは、前記セキュリティイベントデータと前記コンテクストデータとに基づき、セキュリティイベントの発生を決定する、請求項1記載の方法。
【請求項12】
前記セキュリティイベントに応答するステップは、前記モバイル計算装置の接続状態の変更、前記モバイル計算装置上のソフトウェアアプリケーションへのアクセスの変更、前記セキュリティイベントマネージャのイベントデータフィルタの変更、データへのアクセスの拒絶、前記モバイル計算装置のリブート、前記モバイル計算装置の電力状態の変更、及び前記モバイル計算装置上で実行されるソフトウェアアプリケーション又はサービスの隔離の前記モバイル計算装置上のアクションの少なくとも1つを実行することを含む、請求項1記載の方法。
【請求項13】
前記モバイル計算装置のセンサから生成されるセンサデータを受信するステップと、
前記モバイル計算装置上に格納されているコンテクストデータベースを前記センサデータによって更新するステップと、
をさらに有する、請求項1記載の方法。
【請求項14】
ユーザ入力データを受信するため、前記モバイル計算装置上にユーザインタフェースを表示するステップと、
前記ユーザ入力データに基づき前記セキュリティポリシーデータを更新するステップと、
をさらに有する、請求項1記載の方法。
【請求項15】
企業セキュリティイベントマネージャサーバとのネットワーク通信接続を確立するステップと、
前記モバイル計算装置から前記企業セキュリティイベントマネージャサーバに前記セキュリティイベントデータを送信するステップと、
をさらに有する、請求項1記載の方法。
【請求項16】
セキュリティイベントマネージャと、
プロセッサと、
複数の命令を格納したメモリデバイスと、
を有するモバイル計算装置であって、
前記複数の命令は、前記プロセッサによって実行されると、前記セキュリティイベントマネージャに、
前記モバイル計算装置の複数のセキュリティイベントソースから生成されるセキュリティイベントデータを受信させ、
セキュリティイベントの発生を決定するため、前記モバイル計算装置に格納され、前記セキュリティイベントの発生を決定するセキュリティイベントルールセットを規定するセキュリティポリシーに基づき、前記セキュリティイベントデータを関連付け、
前記セキュリティポリシーに基づき前記セキュリティイベントに応答させるモバイル計算装置。
【請求項17】
前記セキュリティイベントデータの関連付けは、前記セキュリティイベントデータが前記セキュリティポリシーの少なくとも1つのセキュリティイベントルールとの所定の関係を有することに応答して、前記セキュリティイベントの発生を決定することを含む、請求項16記載のモバイル計算装置。
【請求項18】
前記複数の命令はさらに、前記セキュリティイベントマネージャに、
前記セキュリティイベントデータを所定のデータフォーマットに正規化させ、
前記セキュリティイベントデータを概略化するため、前記セキュリティイベントデータを集約させる、請求項16記載のモバイル計算装置。
【請求項19】
前記複数の命令はさらに、前記セキュリティイベントマネージャに当該モバイル計算装置に格納されているコンテクストデータベースから当該モバイル計算装置のユーザに関するコンテクストデータを抽出させ、
前記セキュリティイベントデータの関連付けは、セキュリティポリシーと前記コンテクストデータとに基づき前記セキュリティイベントデータを関連付ける、請求項16記載のモバイル計算装置。
【請求項20】
センサをさらに有し、
前記複数の命令はさらに、前記セキュリティイベントマネージャに、
前記センサから生成されたセンサデータを受信させ、
前記センサデータによって当該モバイル計算装置に格納されているコンテクストデータベースを更新させる、請求項16記載のモバイル計算装置。
【請求項21】
前記複数の命令はさらに、前記セキュリティイベントマネージャに、
企業セキュリティイベントマネージャとのネットワーク通信接続を確立させ、
当該モバイル計算装置から前記企業セキュリティイベントマネージャサーバに前記セキュリティイベントデータを送信させる、請求項16記載のモバイル計算装置。
【請求項22】
複数の命令を有するマシーン可読な有形媒体であって、
前記複数の命令は、実行されると計算装置に、
セキュリティイベントマネージャを確立させ、
前記計算装置の複数のセキュリティイベントソースから生成されるセキュリティイベントデータをセキュリティイベントマネージャに受信させ、
所定のデータフォーマットを有する正規化されたセキュリティイベントデータを生成するため、前記セキュリティイベントマネージャを用いて前記セキュリティイベントデータを正規化させ、
前記正規化されたセキュリティイベントデータを概略化した集約されたセキュリティイベントデータを生成するため、前記セキュリティイベントマネージャを用いて前記正規化されたセキュリティイベントデータを集約させ、
セキュリティイベントが発生したか判断するため、前記セキュリティイベントマネージャを用いて所定のセキュリティポリシーに基づき前記集約されたセキュリティイベントデータを関連付けさせる有形媒体。
【請求項23】
前記集約されたセキュリティイベントデータの関連付けは、前記セキュリティイベントデータが前記所定のセキュリティポリシーにより規定される少なくとも1つのセキュリティイベントルールとの所定の関係を有するか判断することを含む、請求項22記載の有形媒体。
【請求項24】
前記複数の命令はさらに、前記計算装置に前記所定のセキュリティポリシーに基づきセキュリティイベントに応答させる、請求項22記載の有形媒体。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2011−138505(P2011−138505A)
【公開日】平成23年7月14日(2011.7.14)
【国際特許分類】
【出願番号】特願2010−282624(P2010−282624)
【出願日】平成22年12月20日(2010.12.20)
【出願人】(593096712)インテル コーポレイション (931)
【Fターム(参考)】
【公開日】平成23年7月14日(2011.7.14)
【国際特許分類】
【出願日】平成22年12月20日(2010.12.20)
【出願人】(593096712)インテル コーポレイション (931)
【Fターム(参考)】
[ Back to top ]