プログラムリリース管理システム
【課題】最終的なリリース操作を開発者に委ねつつも、悪意の開発者による不正リリースを有効に防止する。
【解決手段】リリース管理システム10は、開発側領域38及び本番側領域40に区画された記憶装置と制御部36を備えたネットワーク接続ストレージ26と、開発者端末12と、承認者端末14と、ライブラリアン端末16と、リリース端末18と、本番機34と、転送サーバ24と、リリースサーバ32とを備える。転送サーバ24は、ライブラリアン端末16からのコマンド入力に基づいて、開発側領域38に格納された特定のプログラムを本番側領域40に転送させるコマンドを制御部36に発行する。リリースサーバ32は、リリース端末18からのコマンド入力に基づいて、本番側領域40に格納されたプログラムを取得するコマンドを制御部36に発行し、取得したプログラムを本番機34に転送する。
【解決手段】リリース管理システム10は、開発側領域38及び本番側領域40に区画された記憶装置と制御部36を備えたネットワーク接続ストレージ26と、開発者端末12と、承認者端末14と、ライブラリアン端末16と、リリース端末18と、本番機34と、転送サーバ24と、リリースサーバ32とを備える。転送サーバ24は、ライブラリアン端末16からのコマンド入力に基づいて、開発側領域38に格納された特定のプログラムを本番側領域40に転送させるコマンドを制御部36に発行する。リリースサーバ32は、リリース端末18からのコマンド入力に基づいて、本番側領域40に格納されたプログラムを取得するコマンドを制御部36に発行し、取得したプログラムを本番機34に転送する。
【発明の詳細な説明】
【技術分野】
【0001】
この発明はプログラムリリース管理システムに係り、特に、プログラムのリリース時期の選択を開発者に委ねながらも、悪意の開発者による不正プログラムのリリースを有効に防止可能とする技術に関する。
【背景技術】
【0002】
大規模システムの開発においては、完成した多数のプログラムモジュールを本番環境に移設する作業が不可欠であり、これに多くの手間と時間を取られることはもちろんであるが、新旧バージョンの取り違い等、様々な人為的ミスの温床ともなっていた。
【0003】
このような状況を改善するためのものとして、特許文献1に記載のプログラム管理システムが既に提案されている。
このプログラム管理システムは、それまで紙ベースで行われていたプログラムのリリース管理を、データベースを用いたコンピュータシステムに移行させると共に、手作業で行っていた開発プログラムの本番機への実装を自動で実行する機能をも備えているため、開発者の負担や人為的ミスを削減することが可能となる。
【特許文献1】特開2002−287969号
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、この特許文献1のプログラム管理システムの場合、開発者が仮登録場所に保管したプログラムに対して、承認者が全ての試験が完了しているか否かをチェックし、承認者によって承認情報がシステムに入力された時点で物件管理機能がプログラムを本登録場所に自動的に移動させる仕組みであるため、本番リリースの時期を柔軟に制御できないという問題があった。
【0005】
すなわち、顧客企業の都合により、リリース時期が二転三転することは希でなく、通常は開発者が窓口となって最終的なリリースのタイミングが調整される。このため、開発者としてはリリースの準備だけは事前に完了しておきつつも、最終的なリリースについては、自らの操作によって実現したいという希望がある。
上記のプログラム管理システムのように、承認者による承認情報が入力された時点で自動的にリリースされるというのでは、この開発者の希望を叶えることはできず、不便であった。
【0006】
これに対し、承認者による承認が出た後、直ちにプログラムをリリースするのではなく、必要な時期が到来するまで仮登録場所に保管しておき、最終的なリリースは開発者に委ねるようにすると、今度はセキュリティ上の問題が懸念される。
すなわち、開発者は自由に仮登録場所にアクセスできるため、悪意の開発者によって仮登録場所に保管された承認済みのプログラムが不正なものに差し替えられた場合、これがそのまま本番環境に移されてしまう危険性が生じる。
【0007】
例えば、ECサイトの会員による電子決済の都度、端額を開発者の口座に振り込ませるロジックを組み込んだ改竄モジュールを仮登録場所に保管した場合、当該ECサイトのサービスインと同時に改竄モジュールが起動し、不正送金が開始されることとなる。
【0008】
昨今、いわゆる日本版SOX法の整備に伴い、企業の内部統制強化が求められており、システム開発者による不正を未然に防止できる仕組みをシステム的に担保しておくことの重要性が指摘され始めている。
【0009】
この発明は、このような現状の課題を解決するために案出されたものであり、最終的なリリース操作を開発者自身に委ねながらも、悪意の開発者による不正リリースを有効に防止可能な管理システムを提供することを目的としている。
【課題を解決するための手段】
【0010】
上記の目的を達成するため、請求項1に記載したプログラムリリース管理システムは、開発側領域及び本番側領域に区画された記憶装置と制御部を備えたネットワーク接続ストレージと、プログラムの開発者が操作する開発者端末と、プログラムの承認者が操作する承認者端末と、開発者及び承認者の属する部署とは独立した部署に属するライブラリアンが操作するライブラリアン端末と、上記開発者が操作するリリース端末と、開発済のプログラムがリリースされる本番機と、上記ライブラリアン端末からのコマンド入力に基づいて、上記開発側領域に格納された特定のプログラムファイルを本番側領域に転送させるためのコマンドを上記ネットワーク接続ストレージに発行する転送サーバと、上記リリース端末からのコマンド入力に基づいて、上記本番側領域に格納されたプログラムファイルを取得するためのコマンドを上記ネットワーク接続ストレージに発行すると共に、取得したプログラムファイルを上記本番機に転送するリリースサーバとから構成され、上記ネットワーク接続ストレージの制御部が、以下の(1)〜(3)の処理を実行することを特徴としている。
(1)上記開発者端末、承認者端末及び転送サーバからの、上記開発側領域へのアクセスを許可する。
(2)上記転送サーバからのコマンドを受けて、開発側領域に格納されたプログラムファイルを本番側領域に移動させる。
(3)上記リリースサーバからのコマンドを受けて、本番領域に格納されたプログラムファイルを当該リリースサーバに転送する。
【0011】
請求項2に記載したプログラムリリース管理システムは、請求項1に記載のシステムであって、さらに、上記ライブラリアン端末と転送サーバとの間に代理サーバが介装されており、ライブラリアン端末はこの代理サーバを介してコマンドを転送サーバに発行し、上記リリース端末とリリースサーバとの間にアクセス監視サーバが介装されており、リリース端末はこのアクセス監視サーバを介してコマンドをリリースサーバに発行し、上記代理サーバ及びアクセス監視サーバは、アクセスログを記録する機能を備えていることを特徴としている。
【0012】
請求項3に記載したプログラムリリース管理システムは、請求項2に記載のシステムであって、さらに、相互に独立したネットワークセグメントとして、開発セグメント、本番アクセスセグメント、DMZセグメント、本番セグメントを少なくとも備えており、上記開発者端末、承認者端末及びライブラリアン端末は開発セグメントに属しており、上記リリース端末は本番アクセスセグメントに属しており、上記代理サーバ、転送サーバ、アクセス監視サーバはDMZセグメントに属しており、上記本番機及びリリースサーバは本番セグメントに属しており、上記ネットワーク接続ストレージの開発側領域は開発側セグメントに接続され、本番側領域はDMZセグメントに接続されており、上記リリース端末のアクセス先を上記アクセス監視サーバに限定する機能、このアクセス監視サーバのアクセス先を上記リリースサーバに限定する機能、上記ネットワーク接続ストレージの本番領域へのアクセス元を上記リリースサーバに限定する機能を果たすファイアウォールを備えたことを特徴としている。
【0013】
請求項4に記載したプログラムリリース管理システムは、開発側領域及び本番側領域に区画された記憶装置と制御部を備えたネットワーク接続ストレージと、プログラムの開発者が操作する開発者端末と、プログラムの承認者が操作する承認者端末と、上記開発者が操作するリリース端末と、開発済のプログラムがリリースされる本番機と、上記開発者端末から送信された申請データに含まれる対象プログラムの特定情報と、上記承認者端末から送信された承認データに含まれる対象プログラムの特定情報とを比較し、両者が一致する場合に対象プログラムを開発側領域から本番側領域に転送することを求めるコマンドを発行するコマンド発行サーバと、このコマンド発行サーバからのコマンドに基づいて、上記開発側領域に格納されたプログラムファイルを本番側領域に転送させるためのコマンドを上記ネットワーク接続ストレージに発行する転送サーバと、上記リリース端末からのコマンド入力に基づいて、上記本番側領域に格納されたプログラムファイルを取得するためのコマンドを上記ネットワーク接続ストレージに発行すると共に、取得したプログラムファイルを上記本番機に転送するリリースサーバとから構成され、上記ネットワーク接続ストレージの制御部が以下の(1)〜(3)の処理を実行することを特徴としている。
(1)上記開発者端末及び承認者端末からの、上記開発側領域へのアクセスを許可する。
(2)上記転送サーバからのコマンドを受けて、開発側領域に格納されたプログラムファイルを本番側領域に移動させる。
(3)上記リリースサーバからのコマンドを受けて、本番領域に格納されたプログラムファイルを当該リリースサーバに転送する。
【発明の効果】
【0014】
請求項1に記載したプログラムリリース管理システムによれば、転送サーバからのコマンドに基づいてネットワーク接続ストレージの開発側領域から本番側領域にプログラムファイルが移送された後は、リリースサーバからのコマンドに基づいて本番機に移送する場合を除き、当該プログラムファイルを操作することが一切禁じられるため、開発者はその内容を改竄することが不可能となる。
一方で、開発者はリリース端末からリリースサーバに対してコマンドを発行することにより、本番側領域に格納されたプログラムファイルを本番機に転送させることができるため、プログラムのリリース時期を開発者自らが制御可能となる。
【0015】
このシステムにおいて承認者は、承認者端末からネットワーク接続ストレージの開発側領域にアクセスし、開発済みのプログラムファイルに不正なロジックが混入されていないこと等を確認し、ライブラリアンにプログラムファイルの移送に関し承認を与える。この際、承認者はプログラムファイルのファイル名やファイルサイズ、タイムスタンプ等の特定情報をライブラリアンに伝達する。
これを受けたライブラリアンは転送サーバにアクセスし、開発側領域に格納されているプログラムファイルの一覧情報をライブラリアン端末のディスプレイ上でチェックし、ファイル名やファイルサイズ、タイムスタンプに基づいて承認の下りたプログラムファイルを特定し、その移送を求めるコマンドを発行する。
このように、承認者が開発側領域に格納されたプログラムファイルの特定情報をライブラリアンに伝達し、ライブラリアンがこの情報に基づいて転送対象となるプログラムファイルを選択することにより、承認者による承認直後から本番側領域への転送完了までの僅かな間に、開発側領域に格納されたプログラムファイルに対し、開発者がファイルサイズやタイムスタンプの変更を伴う改竄行為を行うことを牽制することができる。
【0016】
請求項2に記載したプログラムリリース管理システムの場合、ライブラリアン端末と転送サーバ間のデータのやり取りが代理サーバに逐一記録され、またリリース端末とリリースサーバ間のデータのやり取りがアクセス監視サーバに逐一記録されるため、ライブラリアンや開発者による不正行為を抑止することが可能となる。
【0017】
請求項3に記載したプログラムリリース管理システムにあっては、開発セグメントと本番セグメントとの間に緩衝地帯として機能するDMZセグメントが設けられており、開発セグメント及び本番アクセスセグメントから本番セグメントに対する直接的なアクセスがファイアウォールによって規制されているため、本番機に対する不正行為をより有効に防止できる。
【0018】
請求項4に記載したプログラムリリース管理システムの場合、コマンド発行サーバが申請データと承認データを突き合わせ、両者が一致する場合にプログラムファイルの転送コマンドが転送サーバに対して自動的に発行される仕組みを備えているため、処理の効率化を実現することが可能となる。
【発明を実施するための最良の形態】
【0019】
図1は、この発明に係るプログラムリリース管理システム10の全体構成を示すネットワーク構成図であり、開発者の操作する開発者端末12と、承認者の操作する承認者端末14と、ライブラリアンの操作するライブラリアン端末16と、開発者の操作するリリース端末18と、開発中のプログラムが実装される開発機20と、代理サーバ(プロキシサーバ)22と、転送サーバ24と、ネットワーク接続ストレージ(NAS)26と、アクセス監視サーバ28と、ファイアウォール30と、リリースサーバ32と、開発済のプログラムが実装される本番機34とを備えている。
【0020】
上記のネットワーク接続ストレージ26は、制御部36と、開発側領域38と、本番側領域40とを備えている。制御部36は、ネットワーク接続ストレージ26のCPUが、ROMに格納されたOS及び制御プログラムに従って動作することにより、実現される。開発側領域38及び本番側領域40は、ネットワーク接続ストレージ26に搭載されたハードディスクよりなり、制御部36によって論理的に仕切られている。開発側領域38は、制御部36を介して開発セグメント42と接続されている。また、本番側領域40は、制御部36を介してDMZ(DeMilitarized Zone/非武装地帯)セグメント44に接続されている。
【0021】
一般に、ネットワーク接続ストレージ(NAS)には、ネットワークケーブルの接続ポートが複数用意されている。通常は、耐障害性向上のため、同一セグメントに複数のネットワークケーブルを接続する冗長構成を取るのに用いられるものであるが、この実施形態においては、ネットワークケーブルの一方を開発セグメント42に、他方をDMZセグメント44に接続するよう工夫することにより、ネットワーク接続ストレージ26を上記の位置に容易に配置することに成功している。
【0022】
上記の開発者端末12、承認者端末14、ライブラリアン端末16、及び開発機20は、開発セグメント42上に設置されている。
また、上記の代理サーバ22、転送サーバ24、アクセス監視サーバ28は、DMZセグメント44上に設置されている。
上記のリリース端末18は、本番アクセスセグメント48上に設置されている。
上記のリリースサーバ32及び本番機34は、本番セグメント51上に設置されている。
【0023】
なお、アクセス監視サーバ28を上記のようにDMZセグメント44上に設置する代わりに、本番アクセスセグメント48とファイアウォール30との間の経路上(図中のαの位置)に設置してもよい。
【0024】
プログラムの開発者は、開発者端末12を用いてプログラムのコーディングを行い、開発機20上で単体テストや結合テストを完了した後、プログラムのオブジェクトファイルをネットワーク接続ストレージ26の開発側領域38に格納する。
つぎに開発者は、直属の上司等である承認者に対して、開発済のプログラムファイルをネットワーク接続ストレージ26の開発側領域38に格納した事実を伝達する。
【0025】
これを受けた承認者は、承認者端末14からネットワーク接続ストレージ26にアクセスし、開発側領域38に格納された対応のプログラムファイルを読み出す。
つぎに承認者は、このプログラムファイルの中身をチェックし、仕様書通りの機能を備えていることや、規定のテスト項目を全てクリアしていること、不正なモジュールが含まれていないことを確認する。
この結果、問題がないと判断した承認者は、開発者に対して承認した旨を伝達する。
【0026】
これを受けた開発者は、上記プログラムを本番側領域40に転送することを求める申請書46を作成し、ライブラリアンに提出する。
ここでライブラリアンとは、開発者や承認者の属する部署からは完全に独立した第三者機関に属する専門職を意味している。
上記の申請書には、開発したプログラムファイルのファイル名、ファイルサイズ、格納場所(開発側領域38におけるディレクトリ)、タイムスタンプ(格納日時)等が記載されている。
【0027】
これと前後して承認者も、上記プログラムの転送を認める承認書47を作成し、ライブラリアンに提出する。この承認書には、承認したプログラムファイルのファイル名、ファイルサイズ、格納場所(開発側領域におけるディレクトリ)、タイムスタンプ(格納日時)等が記載されている。
【0028】
申請書と承認書を受け取ったライブラリアンは、両書類の記載内容を比較し、ファイル名、ファイルサイズ、格納場所、タイムスタンプが一致していることを確認した後、プログラムファイルの転送手続に移行する。
以下、図2のタイミングチャートに従い、このシステム10におけるプログラムファイルの転送手順を説明する。
【0029】
まずライブラリアンは、ライブラリアン端末16から代理サーバ22にアクセスし、転送依頼コマンドを発行する(S10)。この転送依頼コマンドには、ライブラリアン端末16のIPアドレス、転送対象となるプログラムファイルのファイル名、格納場所が含まれている。
【0030】
これを受けた代理サーバ22は、上記の転送依頼コマンドに含まれるIPアドレスが、予め設定されたライブラリアン端末16のIPアドレスと一致することをチェックした後(S12)、転送依頼コマンドを転送サーバ24に転送する(S14)。
この後、代理サーバ22はライブラリアン端末16との間におけるデータのやり取りを、ログファイルに記録する(S16)。
この代理サーバ22に対しては、ライブラリアン端末16のみが認証可能となり、開発者端末12及び承認者端末14からアクセスしても代理サーバ22によって認証不可と判定される。
【0031】
上記の転送依頼コマンドを受け取った転送サーバ24は、転送依頼コマンドに含まれるIPアドレスが、予め設定された代理サーバ22のIPアドレスと一致することをチェックした後(S18)、転送依頼コマンドをネットワーク接続ストレージ26に発行する(S20)。
【0032】
これを受けたネットワーク接続ストレージ26の制御部36は、この転送コマンドに含まれるIPアドレスが、予め設定された転送サーバ24のIPアドレスと一致することをチェックした後(S22)、該当のプログラムファイルを開発側領域38から本番側領域40に転送する(S24)。
転送完了後、転送完了通知がネットワーク接続ストレージ26→転送サーバ24→代理サーバ22→ライブラリアン端末16へと送信される(S26、S28、S30)。
【0033】
この本番側領域40に一旦転送されたプログラムファイルに対しては、後述のようにリリースサーバ32からの転送コマンド以外は受け付けられず、開発者端末12や承認者端末14、ライブラリアン端末16からのアクセスは制御部36によって一切拒絶される。
このため、悪意の開発者がリリース前のプログラムファイルに不正なモジュールを組み込むことは、一切できない。
【0034】
なお、ライブラリアンが転送依頼コマンドを代理サーバ22経由で転送サーバ24に発行するに際しては、転送サーバ24から開発側領域38の特定のディレクトリに格納されたプログラムファイルの一覧情報が、代理サーバ22経由でライブラリアン端末16に送信される。
これに対しライブラリアンは、ディスプレイに表示されたプログラムファイルのリストを目視し、目的のプログラムファイルのタイムスタンプやファイルサイズが承認書47に記載されたものと一致するか否かを確認した上で、転送依頼コマンドを発行する。
この結果、承認者による承認直後から本番側領域40への転送完了までの僅かな間に、開発側領域38に格納されたプログラムファイルに対し、開発者がファイルサイズやタイムスタンプの変更を伴う改竄行為を行ったとしても、転送前にこれを検知することが可能となり、不正リリースを有効に防止できる。
【0035】
つぎに、図3のタイミングチャートに従い、このシステム10におけるプログラムファイルのリリース手順を説明する。
【0036】
まず開発者は、ガラス張りのリリース端末室49に移動し、そこに設置されたリリース端末18からアクセス監視サーバ28にアクセスし、リリース依頼コマンドを発行する(S32)。
【0037】
これを受けたアクセス監視サーバ28は、リリース依頼コマンドに含まれるIPアドレスが予め設定されたリリース端末18のIPアドレスと一致することをチェックした後(S34)、リリース依頼コマンドをリリースサーバ32に転送する(S36)。
この後、アクセス監視サーバ28はリリース端末18との間におけるデータのやり取りを、ログファイルに記録する(S38)。
【0038】
アクセス監視サーバ28からのリリース依頼コマンドを受けたリリースサーバ32は、リリース依頼コマンドに含まれるIPアドレスが、予め設定されたアクセス監視サーバ28のIPアドレスと一致することをチェックした後(S40)、該当のプログラムファイルの転送依頼をネットワーク接続ストレージ26に送信する(S42)。
【0039】
これを受けたネットワーク接続ストレージ26の制御部36は、プログラム転送依頼に含まれるIPアドレスが予め設定されたリリースサーバ32のIPアドレスと一致することをチェックした後(S44)、該当のプログラムファイルを本番側領域40から取り出し、リリースサーバ32に転送する(S46)。
【0040】
これを受けたリリースサーバ32は、本番機34の予め決められたディレクトリに、プログラムファイルを転送する(S48)。この結果、本番機34に対するプログラムファイルのリリースが完了する(S50)。
この後、リリースサーバ32からライブラリアンの電子メールアドレスに宛てて、リリース完了通知(電子メール)50が送信される。
【0041】
これを受けたライブラリアンは、自らが移送したプログラムファイルが本番機34に反映されたことを確認し、リリース管理全体を管理する。
また、リリース予定日になっても本番機34にリリースされない場合、開発者に状況を確認し、リリース延期や中止時には本番側領域40に移送したプログラムファイルを削除するコマンドを発行する。削除されたプログラムファイルを再度リリースしたい場合、開発者は申請書作成から手続きをやり直す。
【0042】
ファイアウォール30のフィルタリング機能により、リリース端末18はアクセス監視サーバ28経由でのみ、リリースサーバ32にリリース依頼コマンドを送信でき、直接送ることはできない。
そして、アクセス監視サーバ28においてアクセスログが逐一記録されるため、悪意の開発者がリリース端末18を介して不正なプログラムを本番機34にリリースさせることは不可能となる。
【0043】
上記においては、開発者から提出された申請書46の記載内容と、承認者から提出された承認書47の記載内容を、ライブラリアンが目視によって突き合わせ、内容(ファイル名、ファイルサイズ、タイムスタンプ)が完全に一致し、開発者による改竄がなされていないことを確認した上で、ライブラリアン端末16から代理サーバ22に対して転送依頼コマンドが発行される例を示したが、両書類の突き合わせ及び転送依頼コマンドの発行を自動化することもできる。
【0044】
図4は、この場合のシステム構成例を示すものであり、開発セグメント42上にコマンド発行サーバ52が設けられている以外、図1のシステム構成例と異ならない。
この場合、開発者は開発者端末12からコマンド発行サーバ52にネットワーク経由でアクセスし、申請データ54を送信する。この申請データ54には、少なくともプログラムのファイル名、タイムスタンプ、サイズが含まれている。また承認者は、承認者端末14からコマンド発行サーバ52にネットワーク経由でアクセスし、承認データ56を送信する。この承認データ56にも、プログラムのファイル名、タイムスタンプ、サイズが少なくとも含まれている。
【0045】
以下、図5のフローチャートに従い、このコマンド発行サーバ52の処理手順を説明する。
まず、コマンド発行サーバ52は、開発者端末12からの申請データ54及び承認者端末14からの承認データ56を受信すると(S60、S62)、申請データと承認データを比較し(S64)、ファイル名、タイムスタンプ、サイズが一致している場合には(S66/Y)、コマンド発行の確認画面をライブラリアン端末16のディスプレイに表示させる(S70)。この確認画面には、図示は省略したが、申請データ54の記載内容と承認データ56の記載内容が列記されている。
【0046】
これに対し、ライブラリアンが画面上の確認ボタンをクリックすると(S72/Y)、コマンド発行サーバ52は転送依頼コマンドを代理サーバ22に対して発行する(S74)。
あとは、図2に示した手順に従い、目的のプログラムファイルがネットワーク接続ストレージ26の開発側領域38から本番側領域40に転送される。
【0047】
申請データ54と承認データ56の内容が不一致の場合には(S66/N)、エラー画面がライブラリアン端末16のディスプレイに表示される(S68)。
このエラー画面においては、一致しないデータ項目がハイライト表示されており、ライブラリアンは開発者及び承認者に連絡を取り、該当箇所に関し事実関係を確認する。
【0048】
なお、ファイル名、タイムスタンプ、サイズが一致している場合に、上記のようにコマンド発行の確認画面をライブラリアン端末16のディスプレイに表示させ、ライブラリアンによる確認入力を待つことなく、直ちに転送依頼コマンドを発行するようにコマンド発行サーバ52を制御してもよい。
【図面の簡単な説明】
【0049】
【図1】この発明に係るプログラムリリース管理システムの全体構成を示すネットワーク構成図である。
【図2】プログラムファイルをネットワーク接続ストレージの開発側領域から本番側領域へ転送する際の手順を示すタイミングチャートである。
【図3】ネットワーク接続ストレージの本番側領域に格納されたプログラムファイルを本番機にリリースする際の手順を示すタイミングチャートである。
【図4】この発明に係るプログラムリリース管理システムの他の構成例を示すネットワーク構成図である。
【図5】コマンド発行サーバの動作手順を示すフローチャートである。
【符号の説明】
【0050】
10 プログラムリリース管理システム
12 開発者端末
14 承認者端末
16 ライブラリアン端末
18 リリース端末
20 開発機
22 代理サーバ
24 転送サーバ
26 ネットワーク接続ストレージ
28 アクセス監視サーバ
30 ファイアウォール
32 リリースサーバ
34 本番機
36 制御部
38 開発側領域
40 本番側領域
42 開発セグメント
44 DMZセグメント
46 申請書
47 承認書
48 本番アクセスセグメント
49 リリース端末室
51 本番セグメント
52 コマンド発行サーバ
54 申請データ
56 承認データ
【技術分野】
【0001】
この発明はプログラムリリース管理システムに係り、特に、プログラムのリリース時期の選択を開発者に委ねながらも、悪意の開発者による不正プログラムのリリースを有効に防止可能とする技術に関する。
【背景技術】
【0002】
大規模システムの開発においては、完成した多数のプログラムモジュールを本番環境に移設する作業が不可欠であり、これに多くの手間と時間を取られることはもちろんであるが、新旧バージョンの取り違い等、様々な人為的ミスの温床ともなっていた。
【0003】
このような状況を改善するためのものとして、特許文献1に記載のプログラム管理システムが既に提案されている。
このプログラム管理システムは、それまで紙ベースで行われていたプログラムのリリース管理を、データベースを用いたコンピュータシステムに移行させると共に、手作業で行っていた開発プログラムの本番機への実装を自動で実行する機能をも備えているため、開発者の負担や人為的ミスを削減することが可能となる。
【特許文献1】特開2002−287969号
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、この特許文献1のプログラム管理システムの場合、開発者が仮登録場所に保管したプログラムに対して、承認者が全ての試験が完了しているか否かをチェックし、承認者によって承認情報がシステムに入力された時点で物件管理機能がプログラムを本登録場所に自動的に移動させる仕組みであるため、本番リリースの時期を柔軟に制御できないという問題があった。
【0005】
すなわち、顧客企業の都合により、リリース時期が二転三転することは希でなく、通常は開発者が窓口となって最終的なリリースのタイミングが調整される。このため、開発者としてはリリースの準備だけは事前に完了しておきつつも、最終的なリリースについては、自らの操作によって実現したいという希望がある。
上記のプログラム管理システムのように、承認者による承認情報が入力された時点で自動的にリリースされるというのでは、この開発者の希望を叶えることはできず、不便であった。
【0006】
これに対し、承認者による承認が出た後、直ちにプログラムをリリースするのではなく、必要な時期が到来するまで仮登録場所に保管しておき、最終的なリリースは開発者に委ねるようにすると、今度はセキュリティ上の問題が懸念される。
すなわち、開発者は自由に仮登録場所にアクセスできるため、悪意の開発者によって仮登録場所に保管された承認済みのプログラムが不正なものに差し替えられた場合、これがそのまま本番環境に移されてしまう危険性が生じる。
【0007】
例えば、ECサイトの会員による電子決済の都度、端額を開発者の口座に振り込ませるロジックを組み込んだ改竄モジュールを仮登録場所に保管した場合、当該ECサイトのサービスインと同時に改竄モジュールが起動し、不正送金が開始されることとなる。
【0008】
昨今、いわゆる日本版SOX法の整備に伴い、企業の内部統制強化が求められており、システム開発者による不正を未然に防止できる仕組みをシステム的に担保しておくことの重要性が指摘され始めている。
【0009】
この発明は、このような現状の課題を解決するために案出されたものであり、最終的なリリース操作を開発者自身に委ねながらも、悪意の開発者による不正リリースを有効に防止可能な管理システムを提供することを目的としている。
【課題を解決するための手段】
【0010】
上記の目的を達成するため、請求項1に記載したプログラムリリース管理システムは、開発側領域及び本番側領域に区画された記憶装置と制御部を備えたネットワーク接続ストレージと、プログラムの開発者が操作する開発者端末と、プログラムの承認者が操作する承認者端末と、開発者及び承認者の属する部署とは独立した部署に属するライブラリアンが操作するライブラリアン端末と、上記開発者が操作するリリース端末と、開発済のプログラムがリリースされる本番機と、上記ライブラリアン端末からのコマンド入力に基づいて、上記開発側領域に格納された特定のプログラムファイルを本番側領域に転送させるためのコマンドを上記ネットワーク接続ストレージに発行する転送サーバと、上記リリース端末からのコマンド入力に基づいて、上記本番側領域に格納されたプログラムファイルを取得するためのコマンドを上記ネットワーク接続ストレージに発行すると共に、取得したプログラムファイルを上記本番機に転送するリリースサーバとから構成され、上記ネットワーク接続ストレージの制御部が、以下の(1)〜(3)の処理を実行することを特徴としている。
(1)上記開発者端末、承認者端末及び転送サーバからの、上記開発側領域へのアクセスを許可する。
(2)上記転送サーバからのコマンドを受けて、開発側領域に格納されたプログラムファイルを本番側領域に移動させる。
(3)上記リリースサーバからのコマンドを受けて、本番領域に格納されたプログラムファイルを当該リリースサーバに転送する。
【0011】
請求項2に記載したプログラムリリース管理システムは、請求項1に記載のシステムであって、さらに、上記ライブラリアン端末と転送サーバとの間に代理サーバが介装されており、ライブラリアン端末はこの代理サーバを介してコマンドを転送サーバに発行し、上記リリース端末とリリースサーバとの間にアクセス監視サーバが介装されており、リリース端末はこのアクセス監視サーバを介してコマンドをリリースサーバに発行し、上記代理サーバ及びアクセス監視サーバは、アクセスログを記録する機能を備えていることを特徴としている。
【0012】
請求項3に記載したプログラムリリース管理システムは、請求項2に記載のシステムであって、さらに、相互に独立したネットワークセグメントとして、開発セグメント、本番アクセスセグメント、DMZセグメント、本番セグメントを少なくとも備えており、上記開発者端末、承認者端末及びライブラリアン端末は開発セグメントに属しており、上記リリース端末は本番アクセスセグメントに属しており、上記代理サーバ、転送サーバ、アクセス監視サーバはDMZセグメントに属しており、上記本番機及びリリースサーバは本番セグメントに属しており、上記ネットワーク接続ストレージの開発側領域は開発側セグメントに接続され、本番側領域はDMZセグメントに接続されており、上記リリース端末のアクセス先を上記アクセス監視サーバに限定する機能、このアクセス監視サーバのアクセス先を上記リリースサーバに限定する機能、上記ネットワーク接続ストレージの本番領域へのアクセス元を上記リリースサーバに限定する機能を果たすファイアウォールを備えたことを特徴としている。
【0013】
請求項4に記載したプログラムリリース管理システムは、開発側領域及び本番側領域に区画された記憶装置と制御部を備えたネットワーク接続ストレージと、プログラムの開発者が操作する開発者端末と、プログラムの承認者が操作する承認者端末と、上記開発者が操作するリリース端末と、開発済のプログラムがリリースされる本番機と、上記開発者端末から送信された申請データに含まれる対象プログラムの特定情報と、上記承認者端末から送信された承認データに含まれる対象プログラムの特定情報とを比較し、両者が一致する場合に対象プログラムを開発側領域から本番側領域に転送することを求めるコマンドを発行するコマンド発行サーバと、このコマンド発行サーバからのコマンドに基づいて、上記開発側領域に格納されたプログラムファイルを本番側領域に転送させるためのコマンドを上記ネットワーク接続ストレージに発行する転送サーバと、上記リリース端末からのコマンド入力に基づいて、上記本番側領域に格納されたプログラムファイルを取得するためのコマンドを上記ネットワーク接続ストレージに発行すると共に、取得したプログラムファイルを上記本番機に転送するリリースサーバとから構成され、上記ネットワーク接続ストレージの制御部が以下の(1)〜(3)の処理を実行することを特徴としている。
(1)上記開発者端末及び承認者端末からの、上記開発側領域へのアクセスを許可する。
(2)上記転送サーバからのコマンドを受けて、開発側領域に格納されたプログラムファイルを本番側領域に移動させる。
(3)上記リリースサーバからのコマンドを受けて、本番領域に格納されたプログラムファイルを当該リリースサーバに転送する。
【発明の効果】
【0014】
請求項1に記載したプログラムリリース管理システムによれば、転送サーバからのコマンドに基づいてネットワーク接続ストレージの開発側領域から本番側領域にプログラムファイルが移送された後は、リリースサーバからのコマンドに基づいて本番機に移送する場合を除き、当該プログラムファイルを操作することが一切禁じられるため、開発者はその内容を改竄することが不可能となる。
一方で、開発者はリリース端末からリリースサーバに対してコマンドを発行することにより、本番側領域に格納されたプログラムファイルを本番機に転送させることができるため、プログラムのリリース時期を開発者自らが制御可能となる。
【0015】
このシステムにおいて承認者は、承認者端末からネットワーク接続ストレージの開発側領域にアクセスし、開発済みのプログラムファイルに不正なロジックが混入されていないこと等を確認し、ライブラリアンにプログラムファイルの移送に関し承認を与える。この際、承認者はプログラムファイルのファイル名やファイルサイズ、タイムスタンプ等の特定情報をライブラリアンに伝達する。
これを受けたライブラリアンは転送サーバにアクセスし、開発側領域に格納されているプログラムファイルの一覧情報をライブラリアン端末のディスプレイ上でチェックし、ファイル名やファイルサイズ、タイムスタンプに基づいて承認の下りたプログラムファイルを特定し、その移送を求めるコマンドを発行する。
このように、承認者が開発側領域に格納されたプログラムファイルの特定情報をライブラリアンに伝達し、ライブラリアンがこの情報に基づいて転送対象となるプログラムファイルを選択することにより、承認者による承認直後から本番側領域への転送完了までの僅かな間に、開発側領域に格納されたプログラムファイルに対し、開発者がファイルサイズやタイムスタンプの変更を伴う改竄行為を行うことを牽制することができる。
【0016】
請求項2に記載したプログラムリリース管理システムの場合、ライブラリアン端末と転送サーバ間のデータのやり取りが代理サーバに逐一記録され、またリリース端末とリリースサーバ間のデータのやり取りがアクセス監視サーバに逐一記録されるため、ライブラリアンや開発者による不正行為を抑止することが可能となる。
【0017】
請求項3に記載したプログラムリリース管理システムにあっては、開発セグメントと本番セグメントとの間に緩衝地帯として機能するDMZセグメントが設けられており、開発セグメント及び本番アクセスセグメントから本番セグメントに対する直接的なアクセスがファイアウォールによって規制されているため、本番機に対する不正行為をより有効に防止できる。
【0018】
請求項4に記載したプログラムリリース管理システムの場合、コマンド発行サーバが申請データと承認データを突き合わせ、両者が一致する場合にプログラムファイルの転送コマンドが転送サーバに対して自動的に発行される仕組みを備えているため、処理の効率化を実現することが可能となる。
【発明を実施するための最良の形態】
【0019】
図1は、この発明に係るプログラムリリース管理システム10の全体構成を示すネットワーク構成図であり、開発者の操作する開発者端末12と、承認者の操作する承認者端末14と、ライブラリアンの操作するライブラリアン端末16と、開発者の操作するリリース端末18と、開発中のプログラムが実装される開発機20と、代理サーバ(プロキシサーバ)22と、転送サーバ24と、ネットワーク接続ストレージ(NAS)26と、アクセス監視サーバ28と、ファイアウォール30と、リリースサーバ32と、開発済のプログラムが実装される本番機34とを備えている。
【0020】
上記のネットワーク接続ストレージ26は、制御部36と、開発側領域38と、本番側領域40とを備えている。制御部36は、ネットワーク接続ストレージ26のCPUが、ROMに格納されたOS及び制御プログラムに従って動作することにより、実現される。開発側領域38及び本番側領域40は、ネットワーク接続ストレージ26に搭載されたハードディスクよりなり、制御部36によって論理的に仕切られている。開発側領域38は、制御部36を介して開発セグメント42と接続されている。また、本番側領域40は、制御部36を介してDMZ(DeMilitarized Zone/非武装地帯)セグメント44に接続されている。
【0021】
一般に、ネットワーク接続ストレージ(NAS)には、ネットワークケーブルの接続ポートが複数用意されている。通常は、耐障害性向上のため、同一セグメントに複数のネットワークケーブルを接続する冗長構成を取るのに用いられるものであるが、この実施形態においては、ネットワークケーブルの一方を開発セグメント42に、他方をDMZセグメント44に接続するよう工夫することにより、ネットワーク接続ストレージ26を上記の位置に容易に配置することに成功している。
【0022】
上記の開発者端末12、承認者端末14、ライブラリアン端末16、及び開発機20は、開発セグメント42上に設置されている。
また、上記の代理サーバ22、転送サーバ24、アクセス監視サーバ28は、DMZセグメント44上に設置されている。
上記のリリース端末18は、本番アクセスセグメント48上に設置されている。
上記のリリースサーバ32及び本番機34は、本番セグメント51上に設置されている。
【0023】
なお、アクセス監視サーバ28を上記のようにDMZセグメント44上に設置する代わりに、本番アクセスセグメント48とファイアウォール30との間の経路上(図中のαの位置)に設置してもよい。
【0024】
プログラムの開発者は、開発者端末12を用いてプログラムのコーディングを行い、開発機20上で単体テストや結合テストを完了した後、プログラムのオブジェクトファイルをネットワーク接続ストレージ26の開発側領域38に格納する。
つぎに開発者は、直属の上司等である承認者に対して、開発済のプログラムファイルをネットワーク接続ストレージ26の開発側領域38に格納した事実を伝達する。
【0025】
これを受けた承認者は、承認者端末14からネットワーク接続ストレージ26にアクセスし、開発側領域38に格納された対応のプログラムファイルを読み出す。
つぎに承認者は、このプログラムファイルの中身をチェックし、仕様書通りの機能を備えていることや、規定のテスト項目を全てクリアしていること、不正なモジュールが含まれていないことを確認する。
この結果、問題がないと判断した承認者は、開発者に対して承認した旨を伝達する。
【0026】
これを受けた開発者は、上記プログラムを本番側領域40に転送することを求める申請書46を作成し、ライブラリアンに提出する。
ここでライブラリアンとは、開発者や承認者の属する部署からは完全に独立した第三者機関に属する専門職を意味している。
上記の申請書には、開発したプログラムファイルのファイル名、ファイルサイズ、格納場所(開発側領域38におけるディレクトリ)、タイムスタンプ(格納日時)等が記載されている。
【0027】
これと前後して承認者も、上記プログラムの転送を認める承認書47を作成し、ライブラリアンに提出する。この承認書には、承認したプログラムファイルのファイル名、ファイルサイズ、格納場所(開発側領域におけるディレクトリ)、タイムスタンプ(格納日時)等が記載されている。
【0028】
申請書と承認書を受け取ったライブラリアンは、両書類の記載内容を比較し、ファイル名、ファイルサイズ、格納場所、タイムスタンプが一致していることを確認した後、プログラムファイルの転送手続に移行する。
以下、図2のタイミングチャートに従い、このシステム10におけるプログラムファイルの転送手順を説明する。
【0029】
まずライブラリアンは、ライブラリアン端末16から代理サーバ22にアクセスし、転送依頼コマンドを発行する(S10)。この転送依頼コマンドには、ライブラリアン端末16のIPアドレス、転送対象となるプログラムファイルのファイル名、格納場所が含まれている。
【0030】
これを受けた代理サーバ22は、上記の転送依頼コマンドに含まれるIPアドレスが、予め設定されたライブラリアン端末16のIPアドレスと一致することをチェックした後(S12)、転送依頼コマンドを転送サーバ24に転送する(S14)。
この後、代理サーバ22はライブラリアン端末16との間におけるデータのやり取りを、ログファイルに記録する(S16)。
この代理サーバ22に対しては、ライブラリアン端末16のみが認証可能となり、開発者端末12及び承認者端末14からアクセスしても代理サーバ22によって認証不可と判定される。
【0031】
上記の転送依頼コマンドを受け取った転送サーバ24は、転送依頼コマンドに含まれるIPアドレスが、予め設定された代理サーバ22のIPアドレスと一致することをチェックした後(S18)、転送依頼コマンドをネットワーク接続ストレージ26に発行する(S20)。
【0032】
これを受けたネットワーク接続ストレージ26の制御部36は、この転送コマンドに含まれるIPアドレスが、予め設定された転送サーバ24のIPアドレスと一致することをチェックした後(S22)、該当のプログラムファイルを開発側領域38から本番側領域40に転送する(S24)。
転送完了後、転送完了通知がネットワーク接続ストレージ26→転送サーバ24→代理サーバ22→ライブラリアン端末16へと送信される(S26、S28、S30)。
【0033】
この本番側領域40に一旦転送されたプログラムファイルに対しては、後述のようにリリースサーバ32からの転送コマンド以外は受け付けられず、開発者端末12や承認者端末14、ライブラリアン端末16からのアクセスは制御部36によって一切拒絶される。
このため、悪意の開発者がリリース前のプログラムファイルに不正なモジュールを組み込むことは、一切できない。
【0034】
なお、ライブラリアンが転送依頼コマンドを代理サーバ22経由で転送サーバ24に発行するに際しては、転送サーバ24から開発側領域38の特定のディレクトリに格納されたプログラムファイルの一覧情報が、代理サーバ22経由でライブラリアン端末16に送信される。
これに対しライブラリアンは、ディスプレイに表示されたプログラムファイルのリストを目視し、目的のプログラムファイルのタイムスタンプやファイルサイズが承認書47に記載されたものと一致するか否かを確認した上で、転送依頼コマンドを発行する。
この結果、承認者による承認直後から本番側領域40への転送完了までの僅かな間に、開発側領域38に格納されたプログラムファイルに対し、開発者がファイルサイズやタイムスタンプの変更を伴う改竄行為を行ったとしても、転送前にこれを検知することが可能となり、不正リリースを有効に防止できる。
【0035】
つぎに、図3のタイミングチャートに従い、このシステム10におけるプログラムファイルのリリース手順を説明する。
【0036】
まず開発者は、ガラス張りのリリース端末室49に移動し、そこに設置されたリリース端末18からアクセス監視サーバ28にアクセスし、リリース依頼コマンドを発行する(S32)。
【0037】
これを受けたアクセス監視サーバ28は、リリース依頼コマンドに含まれるIPアドレスが予め設定されたリリース端末18のIPアドレスと一致することをチェックした後(S34)、リリース依頼コマンドをリリースサーバ32に転送する(S36)。
この後、アクセス監視サーバ28はリリース端末18との間におけるデータのやり取りを、ログファイルに記録する(S38)。
【0038】
アクセス監視サーバ28からのリリース依頼コマンドを受けたリリースサーバ32は、リリース依頼コマンドに含まれるIPアドレスが、予め設定されたアクセス監視サーバ28のIPアドレスと一致することをチェックした後(S40)、該当のプログラムファイルの転送依頼をネットワーク接続ストレージ26に送信する(S42)。
【0039】
これを受けたネットワーク接続ストレージ26の制御部36は、プログラム転送依頼に含まれるIPアドレスが予め設定されたリリースサーバ32のIPアドレスと一致することをチェックした後(S44)、該当のプログラムファイルを本番側領域40から取り出し、リリースサーバ32に転送する(S46)。
【0040】
これを受けたリリースサーバ32は、本番機34の予め決められたディレクトリに、プログラムファイルを転送する(S48)。この結果、本番機34に対するプログラムファイルのリリースが完了する(S50)。
この後、リリースサーバ32からライブラリアンの電子メールアドレスに宛てて、リリース完了通知(電子メール)50が送信される。
【0041】
これを受けたライブラリアンは、自らが移送したプログラムファイルが本番機34に反映されたことを確認し、リリース管理全体を管理する。
また、リリース予定日になっても本番機34にリリースされない場合、開発者に状況を確認し、リリース延期や中止時には本番側領域40に移送したプログラムファイルを削除するコマンドを発行する。削除されたプログラムファイルを再度リリースしたい場合、開発者は申請書作成から手続きをやり直す。
【0042】
ファイアウォール30のフィルタリング機能により、リリース端末18はアクセス監視サーバ28経由でのみ、リリースサーバ32にリリース依頼コマンドを送信でき、直接送ることはできない。
そして、アクセス監視サーバ28においてアクセスログが逐一記録されるため、悪意の開発者がリリース端末18を介して不正なプログラムを本番機34にリリースさせることは不可能となる。
【0043】
上記においては、開発者から提出された申請書46の記載内容と、承認者から提出された承認書47の記載内容を、ライブラリアンが目視によって突き合わせ、内容(ファイル名、ファイルサイズ、タイムスタンプ)が完全に一致し、開発者による改竄がなされていないことを確認した上で、ライブラリアン端末16から代理サーバ22に対して転送依頼コマンドが発行される例を示したが、両書類の突き合わせ及び転送依頼コマンドの発行を自動化することもできる。
【0044】
図4は、この場合のシステム構成例を示すものであり、開発セグメント42上にコマンド発行サーバ52が設けられている以外、図1のシステム構成例と異ならない。
この場合、開発者は開発者端末12からコマンド発行サーバ52にネットワーク経由でアクセスし、申請データ54を送信する。この申請データ54には、少なくともプログラムのファイル名、タイムスタンプ、サイズが含まれている。また承認者は、承認者端末14からコマンド発行サーバ52にネットワーク経由でアクセスし、承認データ56を送信する。この承認データ56にも、プログラムのファイル名、タイムスタンプ、サイズが少なくとも含まれている。
【0045】
以下、図5のフローチャートに従い、このコマンド発行サーバ52の処理手順を説明する。
まず、コマンド発行サーバ52は、開発者端末12からの申請データ54及び承認者端末14からの承認データ56を受信すると(S60、S62)、申請データと承認データを比較し(S64)、ファイル名、タイムスタンプ、サイズが一致している場合には(S66/Y)、コマンド発行の確認画面をライブラリアン端末16のディスプレイに表示させる(S70)。この確認画面には、図示は省略したが、申請データ54の記載内容と承認データ56の記載内容が列記されている。
【0046】
これに対し、ライブラリアンが画面上の確認ボタンをクリックすると(S72/Y)、コマンド発行サーバ52は転送依頼コマンドを代理サーバ22に対して発行する(S74)。
あとは、図2に示した手順に従い、目的のプログラムファイルがネットワーク接続ストレージ26の開発側領域38から本番側領域40に転送される。
【0047】
申請データ54と承認データ56の内容が不一致の場合には(S66/N)、エラー画面がライブラリアン端末16のディスプレイに表示される(S68)。
このエラー画面においては、一致しないデータ項目がハイライト表示されており、ライブラリアンは開発者及び承認者に連絡を取り、該当箇所に関し事実関係を確認する。
【0048】
なお、ファイル名、タイムスタンプ、サイズが一致している場合に、上記のようにコマンド発行の確認画面をライブラリアン端末16のディスプレイに表示させ、ライブラリアンによる確認入力を待つことなく、直ちに転送依頼コマンドを発行するようにコマンド発行サーバ52を制御してもよい。
【図面の簡単な説明】
【0049】
【図1】この発明に係るプログラムリリース管理システムの全体構成を示すネットワーク構成図である。
【図2】プログラムファイルをネットワーク接続ストレージの開発側領域から本番側領域へ転送する際の手順を示すタイミングチャートである。
【図3】ネットワーク接続ストレージの本番側領域に格納されたプログラムファイルを本番機にリリースする際の手順を示すタイミングチャートである。
【図4】この発明に係るプログラムリリース管理システムの他の構成例を示すネットワーク構成図である。
【図5】コマンド発行サーバの動作手順を示すフローチャートである。
【符号の説明】
【0050】
10 プログラムリリース管理システム
12 開発者端末
14 承認者端末
16 ライブラリアン端末
18 リリース端末
20 開発機
22 代理サーバ
24 転送サーバ
26 ネットワーク接続ストレージ
28 アクセス監視サーバ
30 ファイアウォール
32 リリースサーバ
34 本番機
36 制御部
38 開発側領域
40 本番側領域
42 開発セグメント
44 DMZセグメント
46 申請書
47 承認書
48 本番アクセスセグメント
49 リリース端末室
51 本番セグメント
52 コマンド発行サーバ
54 申請データ
56 承認データ
【特許請求の範囲】
【請求項1】
開発側領域及び本番側領域に区画された記憶装置と制御部を備えたネットワーク接続ストレージと、
プログラムの開発者が操作する開発者端末と、
プログラムの承認者が操作する承認者端末と、
開発者及び承認者の属する部署とは独立した部署に属するライブラリアンが操作するライブラリアン端末と、
上記開発者が操作するリリース端末と、
開発済のプログラムがリリースされる本番機と、
上記ライブラリアン端末からのコマンド入力に基づいて、上記開発側領域に格納された特定のプログラムファイルを本番側領域に転送させるためのコマンドを上記ネットワーク接続ストレージに発行する転送サーバと、
上記リリース端末からのコマンド入力に基づいて、上記本番側領域に格納されたプログラムファイルを取得するためのコマンドを上記ネットワーク接続ストレージに発行すると共に、取得したプログラムファイルを上記本番機に転送するリリースサーバとから構成され、
上記ネットワーク接続ストレージの制御部が、以下の(1)〜(3)の処理を実行することを特徴とするプログラムリリース管理システム。
(1)上記開発者端末、承認者端末及び転送サーバからの、上記開発側領域へのアクセスを許可する。
(2)上記転送サーバからのコマンドを受けて、開発側領域に格納されたプログラムファイルを本番側領域に移動させる。
(3)上記リリースサーバからのコマンドを受けて、本番領域に格納されたプログラムファイルを当該リリースサーバに転送する。
【請求項2】
上記ライブラリアン端末と転送サーバとの間に代理サーバが介装されており、ライブラリアン端末はこの代理サーバを介してコマンドを転送サーバに発行し、
上記リリース端末とリリースサーバとの間にアクセス監視サーバが介装されており、リリース端末はこのアクセス監視サーバを介してコマンドをリリースサーバに発行し、
上記代理サーバ及びアクセス監視サーバは、アクセスログを記録する機能を備えていることを特徴とする請求項1に記載のプログラムリリース管理システム。
【請求項3】
相互に独立したネットワークセグメントとして、開発セグメント、本番アクセスセグメント、DMZセグメント、本番セグメントを少なくとも備えており、
上記開発者端末、承認者端末及びライブラリアン端末は開発セグメントに属しており、
上記リリース端末は本番アクセスセグメントに属しており、
上記代理サーバ、転送サーバ、アクセス監視サーバはDMZセグメントに属しており、
上記本番機及びリリースサーバは本番セグメントに属しており、
上記ネットワーク接続ストレージの開発側領域は開発側セグメントに接続され、本番側領域はDMZセグメントに接続されており、
上記リリース端末のアクセス先を上記アクセス監視サーバに限定する機能、このアクセス監視サーバのアクセス先を上記リリースサーバに限定する機能、上記ネットワーク接続ストレージの本番領域へのアクセス元を上記リリースサーバに限定する機能を果たすファイアウォールを備えたことを特徴とする請求項2に記載のプログラムリリース管理システム。
【請求項4】
開発側領域及び本番側領域に区画された記憶装置と制御部を備えたネットワーク接続ストレージと、
プログラムの開発者が操作する開発者端末と、
プログラムの承認者が操作する承認者端末と、
上記開発者が操作するリリース端末と、
開発済のプログラムがリリースされる本番機と、
上記開発者端末から送信された申請データに含まれる対象プログラムの特定情報と、上記承認者端末から送信された承認データに含まれる対象プログラムの特定情報とを比較し、両者が一致する場合に対象プログラムを開発側領域から本番側領域に転送することを求めるコマンドを発行するコマンド発行サーバと、
このコマンド発行サーバからのコマンドに基づいて、上記開発側領域に格納されたプログラムファイルを本番側領域に転送させるためのコマンドを上記ネットワーク接続ストレージに発行する転送サーバと、
上記リリース端末からのコマンド入力に基づいて、上記本番側領域に格納されたプログラムファイルを取得するためのコマンドを上記ネットワーク接続ストレージに発行すると共に、取得したプログラムファイルを上記本番機に転送するリリースサーバとから構成され、
上記ネットワーク接続ストレージの制御部が以下の(1)〜(3)の処理を実行することを特徴とするプログラムリリース管理システム。
(1)上記開発者端末及び承認者端末からの、上記開発側領域へのアクセスを許可する。
(2)上記転送サーバからのコマンドを受けて、開発側領域に格納されたプログラムファイルを本番側領域に移動させる。
(3)上記リリースサーバからのコマンドを受けて、本番領域に格納されたプログラムファイルを当該リリースサーバに転送する。
【請求項1】
開発側領域及び本番側領域に区画された記憶装置と制御部を備えたネットワーク接続ストレージと、
プログラムの開発者が操作する開発者端末と、
プログラムの承認者が操作する承認者端末と、
開発者及び承認者の属する部署とは独立した部署に属するライブラリアンが操作するライブラリアン端末と、
上記開発者が操作するリリース端末と、
開発済のプログラムがリリースされる本番機と、
上記ライブラリアン端末からのコマンド入力に基づいて、上記開発側領域に格納された特定のプログラムファイルを本番側領域に転送させるためのコマンドを上記ネットワーク接続ストレージに発行する転送サーバと、
上記リリース端末からのコマンド入力に基づいて、上記本番側領域に格納されたプログラムファイルを取得するためのコマンドを上記ネットワーク接続ストレージに発行すると共に、取得したプログラムファイルを上記本番機に転送するリリースサーバとから構成され、
上記ネットワーク接続ストレージの制御部が、以下の(1)〜(3)の処理を実行することを特徴とするプログラムリリース管理システム。
(1)上記開発者端末、承認者端末及び転送サーバからの、上記開発側領域へのアクセスを許可する。
(2)上記転送サーバからのコマンドを受けて、開発側領域に格納されたプログラムファイルを本番側領域に移動させる。
(3)上記リリースサーバからのコマンドを受けて、本番領域に格納されたプログラムファイルを当該リリースサーバに転送する。
【請求項2】
上記ライブラリアン端末と転送サーバとの間に代理サーバが介装されており、ライブラリアン端末はこの代理サーバを介してコマンドを転送サーバに発行し、
上記リリース端末とリリースサーバとの間にアクセス監視サーバが介装されており、リリース端末はこのアクセス監視サーバを介してコマンドをリリースサーバに発行し、
上記代理サーバ及びアクセス監視サーバは、アクセスログを記録する機能を備えていることを特徴とする請求項1に記載のプログラムリリース管理システム。
【請求項3】
相互に独立したネットワークセグメントとして、開発セグメント、本番アクセスセグメント、DMZセグメント、本番セグメントを少なくとも備えており、
上記開発者端末、承認者端末及びライブラリアン端末は開発セグメントに属しており、
上記リリース端末は本番アクセスセグメントに属しており、
上記代理サーバ、転送サーバ、アクセス監視サーバはDMZセグメントに属しており、
上記本番機及びリリースサーバは本番セグメントに属しており、
上記ネットワーク接続ストレージの開発側領域は開発側セグメントに接続され、本番側領域はDMZセグメントに接続されており、
上記リリース端末のアクセス先を上記アクセス監視サーバに限定する機能、このアクセス監視サーバのアクセス先を上記リリースサーバに限定する機能、上記ネットワーク接続ストレージの本番領域へのアクセス元を上記リリースサーバに限定する機能を果たすファイアウォールを備えたことを特徴とする請求項2に記載のプログラムリリース管理システム。
【請求項4】
開発側領域及び本番側領域に区画された記憶装置と制御部を備えたネットワーク接続ストレージと、
プログラムの開発者が操作する開発者端末と、
プログラムの承認者が操作する承認者端末と、
上記開発者が操作するリリース端末と、
開発済のプログラムがリリースされる本番機と、
上記開発者端末から送信された申請データに含まれる対象プログラムの特定情報と、上記承認者端末から送信された承認データに含まれる対象プログラムの特定情報とを比較し、両者が一致する場合に対象プログラムを開発側領域から本番側領域に転送することを求めるコマンドを発行するコマンド発行サーバと、
このコマンド発行サーバからのコマンドに基づいて、上記開発側領域に格納されたプログラムファイルを本番側領域に転送させるためのコマンドを上記ネットワーク接続ストレージに発行する転送サーバと、
上記リリース端末からのコマンド入力に基づいて、上記本番側領域に格納されたプログラムファイルを取得するためのコマンドを上記ネットワーク接続ストレージに発行すると共に、取得したプログラムファイルを上記本番機に転送するリリースサーバとから構成され、
上記ネットワーク接続ストレージの制御部が以下の(1)〜(3)の処理を実行することを特徴とするプログラムリリース管理システム。
(1)上記開発者端末及び承認者端末からの、上記開発側領域へのアクセスを許可する。
(2)上記転送サーバからのコマンドを受けて、開発側領域に格納されたプログラムファイルを本番側領域に移動させる。
(3)上記リリースサーバからのコマンドを受けて、本番領域に格納されたプログラムファイルを当該リリースサーバに転送する。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2011−59847(P2011−59847A)
【公開日】平成23年3月24日(2011.3.24)
【国際特許分類】
【出願番号】特願2009−206768(P2009−206768)
【出願日】平成21年9月8日(2009.9.8)
【出願人】(000155469)株式会社野村総合研究所 (1,067)
【Fターム(参考)】
【公開日】平成23年3月24日(2011.3.24)
【国際特許分類】
【出願日】平成21年9月8日(2009.9.8)
【出願人】(000155469)株式会社野村総合研究所 (1,067)
【Fターム(参考)】
[ Back to top ]