WO2014097598A1

WO2014097598A1 - リスク分析を行う情報処理装置及びリスク分析方法

Info

Publication number: WO2014097598A1
Application number: PCT/JP2013/007372
Authority: WO
Inventors: 義晴前野
Original assignee: NEC Corp
Current assignee: NEC Corp
Priority date: 2012-12-17
Filing date: 2013-12-16
Publication date: 2014-06-26
Anticipated expiration: 2015-06-17
Also published as: US20150370886A1; US9898525B2; JPWO2014097598A1

Abstract

　本発明は、システムが提供するサービスの可用性を向上させるために、同時に取り除くのが望ましい複数のリスク要因を、適切に提示する情報処理装置を提供する。その情報処理装置は、リスク要因を持つ構成要素とその構成要素の状態に影響を受ける他の構成要素との関係を示す情報、リスク要因のそれぞれの特性を示す情報、及びサービスとそれらの構成要素との対応を示す情報とに基づいて、それらのサービスのそれぞれへの、それらのリスク要因のそれぞれに対応する、サービス影響度を算出する手段と、算出したサービス影響度に基づいて特定のリスク要因と他のリスク要因との間の類似性を算出し、算出した類似性に基づいて、構成要素識別情報の集合を生成し、出力する手段と、を備える。

Description

リスク分析を行う情報処理装置及びリスク分析方法

　本発明は、システムのリスク分析を行う情報処理装置、リスク分析方法及びそのためのプログラムに関する。

　システムのリスクを分析する様々な技術及びその関連技術が知られている。

　例えば、可用性予測モデルを管理するシステムに係わる技術が知られている。可用性予測モデルは、「可用性を算出、検証、分析するための数学的なモデル」、計算式、パラメータ及び「システムの構成や挙動に関連する様々な情報」を含む。可用性予測の基本機能は、システム全体の稼働率を予測する機能である。

　特に、ハードウェアについては、フォールトツリー（Ｆａｕｌｔ　ｔｒｅｅ）などの数学的なモデルを用いて部品の特性からシステム全体の故障の可能性を分析する方法が広く知られている。一方、ソフトウェアについては、数学的なモデルで状態の遷移を記述し、シミュレーションで遷移を再現して可用性を分析する手法が用いられることが多い。その数学的なモデルは、例えば、確率的ペトリネット（Ｓｔｏｃｈａｓｔｉｃ　Ｐｅｔｒｉ　Ｎｅｔｗｏｒｋ）や確率的報酬ネット（Ｓｔｏｃｈａｓｔｉｃ　ｒｅｗａｒｄ　ｎｅｔｗｏｒｋ）などである。

　可用性（Ａｖａｉｌａｂｉｌｉｔｙ）は、ある一定期間のうち、利用者がサービスを利用できる割合を表す。その可用性は、稼働率と同義で用いられる。例えば、１日のうち平均的に１分だけ利用できない時間帯がある場合の可用性は、１－１÷（２４×６０）＝０．９９９３（９９．９３％）となる。一般に、可用性は、障害が発生する時間間隔（平均故障間隔：ＭＴＢＦ（Ｍｅａｎ　Ｔｉｍｅ　Ｂｅｔｗｅｅｎ　Ｆａｉｌｕｒｅ））と、障害が復旧するまでの時間（平均復旧時間：ＭＴＴＲ（Ｍｅａｎ　Ｔｉｍｅ　Ｔｏ　Ｒｅｐａｉｒ））とから決定される。

　確率的ペトリネットや確率的報酬ネットの技術を用いて、可用性予測モデルから可用性の算出や検証を行う一例を説明する。

　図１７は、情報システムの状態遷移を定義する確率的ペトリネットの一例を示す。その情報システムの構成は、アプリケーションＡＰ１が仮想サーバＶＭ１上で稼働し、仮想サーバＶＭ１が物理サーバＰＳ１上で稼働しているものとする。仮想サーバは仮想マシンとも呼ばれる。以後、仮想サーバ（仮想マシン）をＶＭ（Ｖｉｒｔｕａｌ　Ｍａｃｈｉｎｅ）とも表記する。尚、その仮想サーバは、ハイパーバイザではなく、利用者に割り当てられて利用者がアクセスできる一般の仮想サーバ、つまり、ユーザＶＭのことである。ここで、ハイパーバイザは、データセンタ管理者のみがアクセスできる仮想サーバの制御プログラムを指す。物理サーバＰＳ１は、そこで仮想サーバＶＭ１が実行されている、物理的なコンピュータである。

　図１７に示す確率的ペトリネットにおいて、定義された状態のそれぞれは、角丸四角形の箱で表される。

　例えば、正常に運転している状態を示す「物理サーバＰＳ１稼働中」、「仮想サーバＶＭ１稼働中」及び「アプリケーションＡＰ１稼働中」のそれぞれの状態が、定義されている。また、何らかの障害が発生している状態を示す「物理サーバＰＳ１停止中」、「仮想サーバＶＭ１停止中」及び「アプリケーションＡＰ１停止中」のそれぞれの状態が、定義されている。

　また、その確率的ペトリネットにおいて、定義された遷移のそれぞれは、遷移を引き起こす事象及びその遷移の遷移確率を示す長方形の黒く塗りつぶした箱と、遷移の方向を示す矢印とで表される。

　図１７に示す確率的ペトリネットでは、ＴＣ６７１は、以下を示す。第１に、その物理サーバＰＳ１が稼働中の場合には故障率λＶＭ１の確率で、「仮想サーバＶＭ１稼働中」の状態から「仮想サーバＶＭ１停止中」の状態へ遷移が起こることが定義されている。第２に、物理サーバＰＳ１が停止中の場合には「１」の確率で、「仮想サーバＶＭ１稼働中」の状態から「仮想サーバＶＭ１停止中」の状態へ遷移が起こることが定義されている。

　また、その確率的ペトリネットでは、ＴＣ６７２は、以下を示す。第１に、物理サーバＰＳ１が稼動中の場合には復旧率μＶＭ１の確率で、「仮想サーバＶＭ１停止中」の状態から「仮想サーバＶＭ１稼働中」の状態へ遷移が起こることが定義されている。第２に、物理サーバＰＳ１が停止中の場合には「０」の確率で、「仮想サーバＶＭ１停止中」の状態から「仮想サーバＶＭ１稼働中」の状態へ遷移が起こることが定義されている。

　また、その確率的ペトリネットでは、ＴＣ６７３は、以下を示す。第１に、仮想サーバＶＭ１が稼働中の場合には故障率λＡＰ１の確率で、「アプリケーションＡＰ１稼働中」の状態から「アプリケーションＡＰ１停止中」の状態へ遷移が起こることが定義されている。第２に、仮想サーバＶＭ１が停止中の場合には「１」の確率で、「アプリケーションＡＰ１稼働中」の状態から「アプリケーションＡＰ１停止中」の状態へ遷移が起こることが定義されている。

　また、その確率的ペトリネットでは、ＴＣ６７４は、以下を示す。第１に、仮想サーバＶＭ１が稼動中の場合には復旧率μＡＰ１の確率で、「アプリケーションＡＰ１停止中」の状態から「アプリケーションＡＰ１稼働中」の状態へ遷移が起こることが定義されている。第２に、仮想サーバＶＭ１が停止中の場合には「０」の確率で、「アプリケーションＡＰ１停止中」の状態から「アプリケーションＡＰ１稼働中」の状態へ遷移が起こることが定義されている。

　このような確率的ペトリネットに基づいてシミュレーションを行うことにより、システムの可用性を分析することができる。例えば、充分な時間が経過した後に、「アプリケーション停止中」の状態に遷移している確率から、可用性の値を算出することができる。尚、単純には「アプリケーション停止中」の状態を障害とみなすが、一般的には、可用性の値は障害または稼動の定義に依存して変わる。一般的に、確率的ペトリネットに記述される各状態や各遷移は、データセンタ管理者がサーバインフラの特性とそのサーバインフラに関わるデータセンタ運用手順までを加味した上で、そのデータセンタ管理者によってひとつひとつ作成される。そのため、運用手順に応じて、様々な可用性予測モデルが作成される。

　このように作成される可用性予測モデルを管理する様々な方法が提案されている。例えば、特許文献１は、可用性予測モデルを管理するシステムに係わる技術の一例を開示する。特許文献１の方法は、システムを構成する構成要素の特性と、監視情報とに基づいて、システム全体の稼働率を予測する方法を開示する。ここで、その特性は、システムを構成する個々のコンピュータにおいて、障害が発生する割合や障害の修復に掛かる時間などである。また、その監視情報は、そのシステムの稼働中の障害に関する情報である。

　特許文献２は、可用性予測モデルを管理するシステムに係わる技術の、他の一例を開示する。特許文献２の方法は、ソフトウェア及びハードウェアに係わるシステム構成情報に基づいて、故障の判定を行うためのフォールトツリー（Ｆａｕｌｔ　Ｔｒｅｅ）を合成する。そして、その方法は、そのソフトウェア及びそのハードウェアに係わる故障情報を分析した結果に基づいて故障モードに対応する不稼働率を算出する。次に、その方法は、そのフォールトツリーとその不稼働率とに基づいて、システム稼働率を算出する。次に、その方法は、算出したシステム稼働率が基準値を満たしているかどうかを判定する。更に、その方法は、その判定結果に基づいて、システム稼働率の上昇に関係する基本事象を抽出する。次に、その方法は、抽出した基本事象の不稼働率の低下が可能か否かに基づいて、新たな不稼働率等の再設定処理を行う。

　特許文献３は、可用性予測モデルを管理するシステムに係わる技術の、他の一例を開示する。特許文献３の方法は、可用性をはじめとして、機能、構成、セキュリティ、性能等に関する情報をアプリケーションプログラムやアプリケーションサービスのインストール時にメタデータとして登録しておく。そして、その方法は、その後の構成管理、障害検出、診断、復旧などの分析に、そのメタデータを用いる。

　特許文献４は、可用性予測モデルを管理するシステムに係わる技術の、他の一例を開示する。特許文献４の方法は、故障が起こるたびに、故障が継続した時間と故障によりサービスを利用できなかった利用者数を記憶する。そして、その方法は、これらのデータを蓄積し、故障時間の割合、利用者１人あたりの故障を被った割合、及び実績不稼働率などを算出する。

　特許文献５は、可用性予測モデルを管理するシステムに係わる技術の、他の一例を開示する。特許文献５の方法は、システム構成情報に基づいて、リソースを利用するサービスを特定し、その特定したサービスにおいて、そのリソースと同一の機能を有する同等リソースを特定する。次に、その方法は、その同等リソースの状態及びその数に基づいて、そのリソースがサービスに及ぼす影響度を算出する。次に、その方法は、そのサービスの重要度及び算出した影響度に基づいて、そのリソースの優先度を算出する。尚、そのシステム構成情報は、各リソースの機能、その稼動状態、各サービスが利用するリソース及びサービスにおけるリソース間の関係を定義した情報である。

　特許文献６は、特定の仮想資源を提供している物理資源を発見する技術の、一例を開示する。特許文献６の方法は、環境センサーにより出力されたセンサデータを受け取る。ここで、そのセンサデータは、物理資源の動作に関連するプロパティ値の変化を表すデータである。次に、その方法は、そのセンサデータからパターンを抽出する。次に、その方法は、そのパターンを、特定の仮想資源から生成されたことが既知である識別子パターンと比較し、それらの一致が発見された場合に、その物理資源が特定の仮想資源を提供するために利用されていることを検出する。

特表２００８－５３２１７０号公報特開２００６－１２７４６４号公報特表２００７－５０９４０４号公報特開２００５－０８０１０４号公報特開２００８－２１７２８５号公報特開２０１２－０９４１２９号公報

　しかしながら、上述した特許文献に記載された技術においては、サービスを提供するシステムにおいて、そのサービスの可用性を向上させるために同時に取り除くのが望ましい複数のリスク要因を、適切に提示することができないという問題点がある。

　その同時に取り除くのが望ましい複数のリスク要因を適切に提示することができない理由は、上述の特許文献が開示する技術のいずれも、以下の手段を備えていないからである。その手段は、そのサービスの実行に対して複数のリスク要因のそれぞれが与える影響の関連性に基づいて、複数のリスク要因を提示する手段である。

　具体的には、サービスを提供するシステムに複数のリスク要因が内在する場合、そのシステムにおけるそのサービスの可用性を改善するためには、そのサービスの実行に係るリスク要因を、全て或いは可能な範囲で、同時に取り除く必要がある。

　例えば、あるサービスは、ある物理サーバ上のある仮想サーバで動作するあるアプリケーションプログラムによって実行される。そのような場合、その物理サーバに関しては、機器の冗長化や信頼性の高い別の機器との交換を行って実質的にリスク要因を取り除くことができる。一方、その仮想サーバやそのアプリケーションプログラムにもリスク要因は内在する。従って、そのサービスに対する可用性を改善するためには、これらのリスク要因も取り除かれることが望ましい。

　しかし、上述の特許文献に記載された技術は、それらの複数のリスク要因を適切に抽出し、提示する手段を備えていない。

　本発明の目的は、上述した問題点を解決するリスク分析装置、リスク分析方法及びそのためのプログラムを提供することにある。

　本発明の一様態におけるリスク分析装置は、サービスを提供するシステムに含まれる、リスク要因を持つ構成要素と前記構成要素の状態に影響を受ける他の前記構成要素との関係を示すリスク要因影響情報、前記リスク要因のそれぞれの特性を示す構成要素特性情報、及び前記サービスと前記構成要素との対応を示すサービス情報に基づいて、前記サービスのそれぞれへの、前記リスク要因のそれぞれに対応する、サービス影響度を算出する影響度算出手段と、前記サービス影響度に基づいて特定の前記リスク要因と他の前記リスク要因との間の類似性を算出し、前記類似性に基づいて選択した前記リスク要因に対応する、前記構成要素を示す識別情報の集合を少なくとも含む情報を生成し、出力するリスクグループ生成手段と、を含む。

　本発明の一様態におけるリスク分析方法は、コンピュータが、サービスを提供するシステムに含まれる、リスク要因を持つ構成要素と前記構成要素の状態に影響を受ける他の前記構成要素との関係を示すリスク要因影響情報、前記リスク要因のそれぞれの特性を示す構成要素特性情報、及び前記サービスと前記構成要素との対応を示すサービス情報に基づいて、前記サービスのそれぞれへの、前記リスク要因のそれぞれに対応する、サービス影響度を算出し、前記サービス影響度に基づいて特定の前記リスク要因と他の前記リスク要因との間の類似性を算出し、前記類似性に基づいて選択した前記リスク要因に対応する、前記構成要素を示す識別情報の集合を少なくとも含む情報を生成し、出力する。

　本発明の一様態におけるコンピュータ読み取り可能な不揮発性非一時的記録媒体は、サービスを提供するシステムに含まれる、リスク要因を持つ構成要素と前記構成要素の状態に影響を受ける他の前記構成要素との関係を示すリスク要因影響情報、前記リスク要因のそれぞれの特性を示す構成要素特性情報、及び前記サービスと前記構成要素との対応を示すサービス情報に基づいて、前記サービスのそれぞれへの、前記リスク要因のそれぞれに対応する、サービス影響度を算出する処理と、前記サービス影響度に基づいて特定の前記リスク要因と他の前記リスク要因との間の類似性を算出し、前記類似性に基づいて選択した前記リスク要因に対応する、前記構成要素を示す識別情報の集合を少なくとも含む情報を生成し、出力する処理と、をコンピュータに実行させるプログラムを記録する。

　本発明は、システムが提供するサービスの可用性を向上させるために、同時に取り除くのが望ましい複数のリスク要因を、適切に提示することが可能になるという効果がある。

図１は、本発明の第１の実施形態に係るリスク分析装置の構成を示すブロック図である。図２は、第１の実施形態におけるリスク分析の対象となるシステムの構成の一例を示す図である。図３は、第１の実施形態における管理記憶部を含むリスク分析装置の構成を示すブロック図である。図４は、第１の実施形態におけるリスク要因影響管理表の一例を示す図である。図５は、第１の実施形態における構成要素特性管理表の一例を示す図である。図６は、第１の実施形態におけるサービス管理表の一例を示す図である。図７は、第１の実施形態に係るリスク分析装置を実現するコンピュータのハードウェア構成を示すブロック図である。図８は、第１の実施形態におけるリスク分析装置の動作を示すフローチャートである。図９は、第１の実施形態におけるアプリケーション影響度の算出結果の一例である。図１０は、第１の実施形態におけるサービス影響度の算出結果の一例である。図１１は、第１の実施形態における類似性の指標である距離の算出結果の一例である。図１２は、本発明の第２の実施形態に係るリスク分析装置の構成を示すブロック図である。図１３は、第２の実施形態におけるサービス管理表の一例を示す図である。図１４は、その必須度でサービス影響度を重み付けし、総合影響度を算出した場合の例を示す図である。図１５は、本発明の第３の実施形態に係るリスク分析装置の構成を示すブロック図である。図１６は、第３の実施形態におけるリスク要因影響管理表の一例を示す図である。図１７は、確率的ペトリネットの一例を示す図である。

　本発明を実施するための形態について図面を参照して詳細に説明する。尚、各図面及び明細書記載の各実施の形態において、同様の機能を備える構成要素には同様の符号が与えられている。

　＜＜＜第１の実施形態＞＞＞
　図１は、本発明の第１の実施形態に係るリスク分析装置１００の構成を示すブロック図である。

　図１を参照すると、本実施形態に係るリスク分析装置１００は、影響度算出部１１０と、リスクグループ生成部１２０とを含む。

　図２は、本実施形態におけるリスク分析の対象となる、システムの構成の一例を示す図である。

　図２に示すシステムは、物理サーバ（ＰＳ１）と物理サーバ（ＰＳ２）とを備える。物理サーバ（ＰＳ１）には、仮想サーバ（ＶＭ１）と仮想サーバ（ＶＭ２）とが配置されている。物理サーバ（ＰＳ２）には、仮想サーバ（ＶＭ３）と仮想サーバ（ＶＭ４）とが配置されている。仮想サーバ（ＶＭ１）上では、アプリケーションプログラム（ＡＰ１）が動作する。仮想サーバ（ＶＭ２）上では、アプリケーションプログラム（ＡＰ２）とアプリケーションプログラム（ＡＰ３）とが動作する。仮想サーバ（ＶＭ３）上では、アプリケーションプログラム（ＡＰ４）が動作する。仮想サーバ（ＶＭ４）上では、アプリケーションプログラム（ＡＰ５）とアプリケーションプログラム（ＡＰ６）とが動作する。ここで、（）内は、それらの構成要素の、それぞれの識別子を示す。以後、（）を省略して、例えば「物理サーバＰＳ１」のように記載する。

　図２に示すシステムにおいては、物理サーバＰＳ１、物理サーバＰＳ２、仮想サーバＶＭ１、仮想サーバＶＭ２、仮想サーバＶＭ３及び仮想サーバＶＭ４のそれぞれにリスク要因が内在する。また、そのシステムにおいては、アプリケーションＡＰ１、アプリケーションＡＰ２、アプリケーションＡＰ３、アプリケーションＡＰ４、アプリケーションＡＰ５及びアプリケーションＡＰ６のそれぞれにもリスク要因が内在する。

　図２に示すシステムは、アプリケーションＡＰ１とアプリケーションＡＰ４とを利用して、サービスＳＶ１を提供する。また、そのシステムは、アプリケーションＡＰ１とアプリケーションＡＰ２とアプリケーションＡＰ３とを利用して、サービスＳＶ２を提供する。更に、そのシステムは、アプリケーションＡＰ４とアプリケーションＡＰ５とアプリケーションＡＰ６とを利用して、サービスＳＶ３を提供する。

　次に、第１の実施形態におけるリスク分析装置１００が含む各構成要素について説明する。尚、図１に示す構成要素は、ハードウェア単位の構成要素でも、コンピュータ装置の機能単位に分割された構成要素でもよい。ここでは、図１に示す構成要素は、コンピュータ装置の機能単位に分割された構成要素として説明する。

　＝＝＝影響度算出部１１０＝＝＝
　影響度算出部１１０は、リスク要因影響情報、構成要素特性情報、及びサービス情報に基づいて、システムが提供するサービスのそれぞれへの、そのシステムに内在するリスク要因のそれぞれに対応する影響度（以後、サービス影響度と呼ぶ）を算出する。そのシステムは、例えば、図２に示すシステムである。

　尚、影響度算出部１１０は、例えば、外部の図示しないデータベースに格納された、リスク要因影響情報、構成要素特性情報、及びサービス情報を取得してもよい。

　そのリスク要因影響情報は、そのサービスを提供するシステムに含まれる、第１の構成要素と第２の構成要素との関係を示す情報である。その第１の構成要素は、そのリスク要因を持つ構成要素である。その第２の構成要素は、その第１の構成要素の状態（リスク要因に起因する状態）に影響を受ける構成要素である。尚、第２の構成要素は、同時に第１の構成要素であってもよい。

　ここで、その「影響」は、例えば「仮想サーバＶＭ１と仮想サーバＶＭ１に影響を受けるアプリケーションＡＰ１との関係」を例とした場合、以下のように定義される。

　例えば、図１７に示す確率的ペトリネットにおいて、「アプリケーションＡＰ１稼働中」状態から「アプリケーションＡＰ１停止中」状態への遷移が、仮想サーバＶＭ１が稼働中の場合に、故障率λＡＰ１の確率で起こるものとしている。また、その確率的ペトリネットにおいて、「アプリケーションＡＰ１稼働中」状態から「アプリケーションＡＰ１停止中」状態への遷移が、仮想サーバＶＭ１が停止中の場合に、１００％の確率で起こるものとしている。

　このように、その「影響」は、仮想サーバＶＭ１（第１の構成要素）の状態（稼働中／停止中）に応じて、アプリケーションＡＰ１（第２の構成要素）の状態が異なるという「影響」である。そして、仮想サーバＶＭ１の状態（稼働中／停止中）は、仮想サーバＶＭ１の持つリスク要因に起因する状態である。

　その構成要素特性情報は、それらの第１の構成要素のそれぞれが含むリスク要因の特性を示す情報である。

　ここで、そのリスク要因の特性は、各構成要素の故障及び復旧に関する理論的及び経験的データに基づいて算出される、故障率、復旧率の逆数、故障率と復旧率の逆数との調和平均、平均故障間隔時間、平均復旧時間、障害発生数及び復旧成功数などである。或いは、そのリスク要因特性は、それらの値を任意に組み合わせて算出する値であってもよい。

　例えば、「構成要素の故障率」及び「構成要素の復旧率」は、０から１までの連続な実数値をとる。これらの値は、確率的ペトリネットを応用した可用性予測モデルの状態遷移確率に用いる値（λＡＰ１、λＶＭ１とμＡＰ１、μＶＭ１）と、同じ値（故障率λと復旧率μ）が利用されてよい。

　また、そのサービス情報は、システムが提供するサービスと上述の第２の構成要素との対応を示す情報である。

　＝＝＝リスクグループ生成部１２０＝＝＝
　リスクグループ生成部１２０は、影響度算出部１１０が算出したサービス影響度に基づいて、リスク要因間の類似性を算出する。そして、リスクグループ生成部１２０は、その類似性に基づいて選択したリスク要因に対応する、構成要素を示す識別情報の集合を出力する。以後、「リスクグループ生成部１２０が選択したリスク要因に対応する、構成要素を含む識別情報の集合」を「リスク要因グループ」と呼ぶ。

　具体的には、リスクグループ生成部１２０は、影響度算出部１１０が算出したサービス影響度に基づいて、特定のリスク要因と他のリスク要因の類似性を示す値を算出する。その類似性は、それらのリスク要因のそれぞれに対応するサービス影響度に基づいて算出される距離である。

　次に、リスクグループ生成部１２０は、それらの類似性に基づいて、所定の閾値を満たすリスク要因を選択する。所定の閾値は、例えば、特定の距離を示す値であってよい。続けて、リスクグループ生成部１２０は、その選択したリスク要因とその特定のリスク要因とに対応する、構成要素を含む識別情報の集合（リスク要因グループ）を生成し、出力する。換言すると、リスク要因グループは、特定のリスク要因と他のリスク要因との間の類似性に基づいて選択したリスク要因に対応する、構成要素を示す識別情報の集合を少なくとも含む情報であり、その類似性は、サービス影響度に基づいて算出される。

　例えば、リスクグループ生成部１２０は、このリスク要因グループを同時に取り除くべきリスク要因を示すものとして、ディスプレイ（不図示）に表示したり、ファイル（不図示）に出力したりしてよい。

　以上が、リスク分析装置１００が含む各構成要素についての説明である。

　図３は、リスク分析装置１０１の構成を示す図である。図３に示すように、リスク分析装置１０１は、リスク分析装置１００の構成に加えて、管理表記億部１３０を更に含む。
＝＝＝管理表記億部１３０＝＝＝
　管理表記億部１３０は、リスク要因影響管理表１５０、構成要素特性管理表１６０及びサービス管理表１７０を記憶する。即ち、リスク分析装置１０１は、上述のリスク要因影響情報、構成要素特性情報、及びサービス情報の記憶手段を更に含むリスク分析装置１００に相当する。

　管理表記億部１３０が保持する各管理表の内容は、図示しないネットワークを経由してリスク分析装置１０１が読み込んだデータでよい。また、その内容は、人間の管理者によって、図示しない入力手段から直接入力されたデータでもよい。その図示しない手段は、後述の図７に示す入力部７０４であってよい。

　＝＝＝リスク要因影響管理表１５０＝＝＝
　図４は、図２に示すシステムに対応するリスク要因影響管理表１５０の一例を示す図である。リスク要因影響管理表１５０は、複数のリスク要因影響情報エントリ１５１を含む。リスク要因影響情報エントリ１５１は、リスク要因を持つ構成要素のそれぞれの識別子（リスク要因保有構成要素識別子）と、その構成要素から影響を受ける他の構成要素のそれぞれの識別子（被影響構成要素識別子）との組から成る。

　例えば、リスク要因影響情報エントリ１５１の１行目は、物理サーバＰＳ１に内在するリスク要因が仮想サーバＶＭ１及び仮想サーバＶＭ２に影響することを示す。このような、複数の機器（構成要素）の動作に影響を与え、これらの機器（構成要素）に同時に障害を引き起こすことで、ユーザサービスの実行に影響を与える可能性を持つリスク要因は、共有リスク要因とも呼ばれる。但し、本実施形態では、その共有リスク要因を、単にリスク要因とも記載する。

　尚、本実施形態では、上述の共通リスク要因を持つ構成要素の識別子を、リスク要因保有構成要素識別子としている。しかし、アプリケーションＡＰｋのような、共通リスク要因でないリスク要因を持つ構成要素の、識別子をリスク要因保有構成要素識別子として含めてもよい。

　それらの構成要素が持つリスク要因は、例えば、その構成要素が停止するような、故障や障害によって発生させられる。その構成要素は、例えば、物理サーバ、仮想サーバ或いはルータなどである。更に、その構成要素は、アプリケーションプログラムを機器の一種と捉えて、アプリケーションプログラムであってもよい。また、これらの構成要素の識別子は、「仮想サーバの識別子」、「ルータの識別子」、「アプリケーションプログラムの識別子」など、ひとつひとつの機器（構成要素）を特定できるリソース識別子を使用する。

　リスク要因が影響する機器（構成要素）も、物理サーバ、仮想サーバ、ルータ或いは、アプリケーションプログラムなどである。

　また、１つの機器が複数のリスク要因を持つ場合、それらのリスク要因のそれぞれを持つ、異なる構成要素が擬似的に定義されてもよい。即ち、本明細書の各実施形態においては、構成要素とリスク要因とが１対１に対応しているように説明している。しかし、各実施形態は、物理的或いは論理的な機器とリスク要因とが１対１に対応するように限定するものではない。

　尚、リスク要因影響管理表１５０は、関係データベース（ｒｅｌａｔｉｏｎａｌ　ｄａｔａｂａｓｅ）にテーブルとして保持されてもよいし、ファイルにテキスト形式で保持されてもよい。また、リスク要因影響管理表１５０は、リスク要因影響管理表１５０に新しい項目を逐次的に追記すること、及びリスク要因影響管理表１５０に記載されている項目を削除したり修正したりすることのそれぞれができるように制御されてもよい。

　＝＝＝構成要素特性管理表１６０＝＝＝
　図５は、図２に示すシステムに対応する構成要素特性管理表１６０の一例を示す図である。構成要素特性管理表１６０は、複数の構成要素特性情報エントリ１６１を含む。構成要素特性情報エントリ１６１は、リスク要因を持つ構成要素のそれぞれの識別子（リスク要因保有構成要素識別子）と、そのリスク要因の特性（図５では、故障率λ）との組から成る。

　図５に示す故障率λは、例えば、確率的ペトリネットを応用した可用性予測モデルの状態遷移確率に用いる故障率λの小数第２位までの値を、整数値に変換したものである。

　尚、構成要素特性管理表１６０は、関係データベースにテーブルとして保持されてもよいし、ファイルにテキスト形式で保持されてもよい。また、構成要素特性管理表１６０は、構成要素特性管理表１６０に新しい項目を逐次的に追記すること、及び構成要素特性管理表１６０に記載されている項目を削除したり修正したりすることのそれぞれができるように制御されてもよい。

　＝＝＝サービス管理表１７０＝＝＝
　図６は、図２に示すシステムに対応するサービス管理表１７０の一例を示す図である。サービス管理表１７０は、複数のサービス情報エントリ１７１を含む。サービス情報エントリ１７１は、システムが提供するサービスの識別子であるサービス識別子と、それらのサービスのそれぞれに対応する第２の構成要素との組から成る。ここで、第２の構成要素は、例えば、アプリケーションプログラムである。

　尚、サービス管理表１７０は、関係データベースにテーブルとして保持されてもよいし、ファイルにテキスト形式で保持されてもよい。また、サービス管理表１７０は、サービス管理表１７０に新しい項目を逐次的に追記すること、及びサービス管理表１７０に記載されている項目を削除したり修正したりすることのそれぞれができるように制御されてもよい。

　以上が、リスク分析装置１００とリスク分析装置１０１との機能単位の各構成要素についての説明である。

　次に、リスク分析装置１００及びリスク分析装置１０１のハードウェア単位の構成要素について説明する。

　図７は、本実施形態におけるリスク分析装置１００やリスク分析装置１０１を実現するコンピュータ７００のハードウェア構成を示す図である。

　図７に示すように、コンピュータ７００は、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）７０１、記憶部７０２、記憶装置７０３、入力部７０４、出力部７０５及び通信部７０６を含む。コンピュータ７００は、プロセッサとも呼ばれる。更に、コンピュータ７００は、外部から供給される記録媒体（または記憶媒体）７０７を含む。記録媒体７０７は、情報を非一時的に記憶する不揮発性記録媒体であってもよい。

　ＣＰＵ７０１は、オペレーティングシステム（不図示）を動作させて、コンピュータ７００の全体の動作を制御する。また、ＣＰＵ７０１は、例えば記憶装置７０３に装着された記録媒体７０７から、プログラムやデータを読み込み、読み込んだプログラムやデータを記憶部７０２に書き込む。ここで、そのプログラムは、例えば、後述の図８に示すフローチャートの動作をコンピュータ７００に実行させるプログラムである。

　そして、ＣＰＵ７０１は、読み込んだプログラムに従って、また読み込んだデータに基づいて、図１及び図３に示す影響度算出部１１０及びリスクグループ生成部１２０として各種の処理を実行する。

　尚、ＣＰＵ７０１は、通信網（不図示）に接続されている外部コンピュータ（不図示）から、記憶部７０２にプログラムやデータをダウンロードしてもよい。

　記憶部７０２は、プログラムやデータを記憶する。記憶部７０２は、管理表記億部１３０を含んでよい。

　記憶装置７０３は、例えば、光ディスク、フレキシブルディスク、磁気光ディスク、外付けハードディスク及び半導体メモリであって、記録媒体７０７を含む。記憶装置７０３（記録媒体７０７）は、プログラムをコンピュータ読み取り可能に記憶する。また、記憶装置７０３は、データを記憶してもよい。記憶装置７０３は、管理表記億部１３０を含んでよい。

　入力部７０４は、例えばマウスやキーボード、内蔵のキーボタンなどで実現され、入力操作に用いられる。入力部７０４は、マウスやキーボード、内蔵のキーボタンに限らず、例えばタッチパネルなどでもよい。

　出力部７０５は、例えばディスプレイで実現され、出力を確認するために用いられる。

　通信部７０６は、外部とのインタフェースを実現する。通信部７０６は、影響度算出部１１０、リスクグループ生成部１２０及び管理表記億部１３０の一部として含まれる。

　以上説明したように、図１に示すリスク分析装置１００及び図３に示すリスク分析装置１０１の機能単位のブロックは、図７に示すハードウェア構成のコンピュータ７００によって実現される。但し、コンピュータ７００が備える各部の実現手段は、上記に限定されない。すなわち、コンピュータ７００は、物理的に結合した１つの装置により実現されてもよいし、物理的に分離した２つ以上の装置を有線または無線で接続し、これら複数の装置により実現されてもよい。

　尚、上述のプログラムのコードを記録した記録媒体７０７が、コンピュータ７００に供給され、ＣＰＵ７０１は、記録媒体７０７に格納されたプログラムのコードを読み出して実行するようにしてもよい。或いは、ＣＰＵ７０１は、記録媒体７０７に格納されたプログラムのコードを、記憶部７０２、記憶装置７０３またはその両方に格納してもよい。すなわち、本実施形態は、コンピュータ７００（ＣＰＵ７０１）が実行するプログラム（ソフトウェア）を、一時的にまたは非一時的に、記憶する記録媒体７０７の実施形態を含む。

　以上が、本実施形態におけるリスク分析装置１００及びリスク分析装置１０１を実現するコンピュータ７００の、ハードウェア単位の各構成要素についての説明である。

　次に本実施形態の動作について、図１～図１１を参照して詳細に説明する。

　尚、以後の説明において、図２に示す物理サーバＰＳ１及び物理サーバＰＳ２は、物理サーバＰＳｉとも記載する。この場合、ｉは、１及び２である。仮想サーバＶＭ１、仮想サーバＶＭ２、仮想サーバＶＭ３及び仮想サーバＶＭ４は、仮想サーバＶＭｊとも記載する。この場合、ｊは、１、２、３及び４である。アプリケーションＡＰ１、アプリケーションＡＰ２、アプリケーションＡＰ３、アプリケーションＡＰ４、アプリケーションＡＰ５及びアプリケーションＡＰ６は、アプリケーションＡＰｋとも記載する。この場合、ｋは、１、２、３、４、５及び６である。また、サービスＳＶ１、サービスＳＶ２及びサービスＳＶ３は、サービスＳＶｍとも記載する。この場合、ｍは、１、２及び３である。

　図８は、本実施形態の動作を示すフローチャートである。尚、このフローチャートによる処理は、前述したＣＰＵによるプログラム制御に基づいて、実行されても良い。また、処理のステップ名については、Ｓ６０１のように、記号で記載する。

　影響度算出部１１０は、リスク要因影響管理表１５０と構成要素特性管理表１６０とに基づいて、アプリケーションＡＰｋのそれぞれに対する、物理サーバＰＳｉ及び仮想サーバＶＭｊごとのアプリケーション影響度を算出する（Ｓ６０１）。

　影響度算出部１１０は、物理サーバＰＳｉについては、例えば、以下に示す式１を利用し、アプリケーション影響度（ＰＳｉ→ＡＰｋ）を算出する。

　アプリケーション影響度（ＰＳｉ→ＡＰｋ）＝λＰＳｉ＋λＶＭｊ＋λＡＰｋ　・・・（式１）
　但し、λＰＳｉは、構成要素特性管理表１６０の物理サーバＰＳｉの故障率λである。
同様に、λＶＭｊは仮想サーバＶＭｊの故障率λであり、λＡＰｋはアプリケーションＡＰｋの故障率である。以下も同様である。

　ここで、アプリケーション影響度（ＰＳｉ→ＡＰｋ）は、物理サーバＰＳｉのリスク要因がアプリケーションＡＰｋの動作に与える影響を示す値である。式１は、物理サーバＰＳｉが仮想サーバＶＭｊに影響を与え、その仮想サーバがアプリケーションＡＰｋに影響を与えるものとして、アプリケーション影響度（ＰＳｉ→ＡＰｋ）を算出する式である。アプリケーションプログラムが当該物理サーバから影響を受けない場合には、アプリケーション影響度は「０」とする。

　影響度算出部１１０は、いずれの物理サーバＰＳｉが、いずれのアプリケーションＡＰｋに影響を与えるかを、リスク要因影響管理表１５０を参照することで、判断する。

　図４のリスク要因影響管理表１５０を参照すると、例えば、物理サーバＰＳ１は仮想サーバＶＭ１に影響を与え、仮想サーバＶＭ１はアプリケーションＡＰ１に影響を与える。従って、影響度算出部１１０は、式１に基づいて、アプリケーション影響度（ＰＳ１→ＡＰ１）＝λＰＳ１＋λＶＭ１＋λＡＰ１＝１＋２＋３＝６を算出する。

　また、影響度算出部１１０は、仮想サーバＶＭｊについては、例えば、以下に示す式２を利用し、アプリケーション影響度（ＰＳｉ→ＡＰｋ）の場合と同様にして、アプリケーション影響度（ＶＭｊ→ＡＰｋ）を算出する。

　アプリケーション影響度（ＶＭｊ→ＡＰｋ）＝λＶＭｊ＋λＡＰｋ　・・・（式２）
　図９は、図２のシステムに対応する「アプリケーション影響度の算出結果」の例を示す図である。図９は、影響度算出部１１０が、図４に示すリスク要因影響管理表１５０及び図５に示す構成要素特性管理表１６０に基づいて、式１及び式２を利用してアプリケーション影響度を算出した結果である。図９において、第１列に示す識別子は、リスク要因保有構成要素識別子であり、第１行に示す識別子は、影響を受けるアプリケーションの識別子である。例えば、第２列の第２行の数値がアプリケーション影響度（ＰＳ１→ＡＰ１）を示す。

　次に、影響度算出部１１０は、サービス管理表１７０と算出したアプリケーション影響度とに基づいて、リスク要因保有構成要素識別子に対応するリスク要因ごとにサービス影響度を計算する（Ｓ６０２）。そのサービス影響度は、リスク要因のそれぞれに対応する、サービスＳＶｋのそれぞれへの影響度である。

　影響度算出部１１０は、物理サーバＰＳｉについては、例えば、以下に示す式３を利用し、サービス影響度（ＰＳｉ→ＳＶｍ）を算出する。

　サービス影響度（ＰＳｉ→ＳＶｍ）＝Σアプリケーション影響度（ＰＳｉ→ＡＰｘ）　・・・（式３）
　但し、Σは、ＳＶｍが使用する全てのアプリケーションＡＰｋについてのアプリケーション影響度（ＰＳｉ→ＡＰｘ）の総和を示す。

　また、影響度算出部１１０は、仮想サーバＶＭｊについては、例えば、以下に示す式４を利用し、サービス影響度（ＶＭｊ→ＳＶｍ）を算出する。

　サービス影響度（ＶＭｊ→ＳＶｍ）＝Σアプリケーション影響度（ＶＭｊ→ＡＰｘ）　・・・（式４）
　但し、Σは、ＶＭｊ使用する全てのアプリケーションＡＰｋについてのアプリケーション影響度（ＶＭｊ→ＡＰｘ）の総和を示す。

　図１０は、影響度算出部１１０が、図６に示すサービス管理表１７０及び図９に示すアプリケーション影響度の算出結果に基づいて、式３及び式４を利用して算出した、図２のシステムに対応する「サービス影響度の算出結果」の例を示す図である。図１０において、第１列に示す識別子は、リスク要因保有構成要素識別子であり、第２列から第４列の第１行に示す識別子は、影響を受けるサービスの識別子である。例えば、第２列の第２行の数値は、サービス影響度（ＰＳ１→ＳＶ１）を示す。尚、図１０の表の第５列については後述する。

　次に、リスクグループ生成部１２０は、算出したサービス影響度に基づいて、総合影響度を算出する（Ｓ６０３）。

　リスクグループ生成部１２０は、物理サーバＰＳｉについては、例えば、以下に示す式５を利用し、総合影響度（ＰＳｉ）を算出する。

　総合影響度（ＰＳｉ）＝Σサービス影響度（ＰＳｉ→ＳＶｍ）　・・・（式５）
　但し、Σは、全てのサービスＳＶｍについてのサービス影響度（ＰＳｉ→ＳＶｍ）の総和を示す。
また、リスクグループ生成部１２０は、仮想サーバＶＭｊについては、例えば、以下に示す式６を利用し、総合影響度（ＶＭｊ）を算出する。

　総合影響度（ＶＭｊ）＝Σサービス影響度（ＶＭｊ→ＳＶｍ）　・・・（式６）
　但し、Σは、全てのサービスＳＶｍについてのサービス影響度（ＶＭｊ→ＳＶｍ）の総和を示す。

　図１０の第５列は、サービス影響度の算出結果に基づいて、リスクグループ生成部１２０が式５及び式６を利用して算出した総合影響度（ＰＳｉ）の例を示す。

　次に、リスクグループ生成部１２０は、算出したサービス影響度に基づいて、式７を利用して、総合影響度の最も大きなリスク要因に対する、各リスク要因の距離を算出する（Ｓ６０４）。この場合、「総合影響度の最も大きなリスク要因」が、上述の特定のリスク要因である。

　リスクグループ生成部１２０は、例えば、以下に示す式７を利用し、距離（ｉｊ）を算出する。ここで、距離（ｉｊ）は、最大のリスク要因に対する、物理サーバＰＳｉまたは仮想サーバＶＭｊのそれぞれに内在する、リスク要因の類似性の評価値である。距離の小さいリスク要因が、類似性の高いリスク要因である。

　距離（ｉｊ）＝Σ｛サービス影響度ｍａｘ－サービス影響度（ｉｊ）｝^２　・・・（式７）
　但し、「サービス影響度ｍａｘ」は、サービス影響度（ＰＳｉ→ＳＶｍ）及びサービス影響度（ＶＭｊ→ＳＶｍ）の内の、最大のサービス影響度（図１０に示す例の場合、物理サーバＰＳ２の「２５」）を示す。サービス影響度（ｉｊ）は、「サービス影響度ｍａｘ」を除く、サービス影響度（ＰＳｉ→ＳＶｍ）及びサービス影響度（ＶＭｊ→ＳＶｍ）のそれぞれである。また、Σは、全てのサービスＳＶｍについての｛サービス影響度ｍａｘ－サービス影響度（ｉｊ）｝^２の総和を示す。

　式７は、サービス影響度をユークリッド空間のベクトルとみなした場合の、そのベクトル間の幾何学的な距離を算出する式である。リスクグループ生成部１２０は、マンハッタン距離や一般化したマハラノビス距離を算出してもよい。

　図１１は、リスクグループ生成部１２０が図１０に示すサービス影響度の算出結果に基づいて式７を利用して算出した、図２のシステムに対応する距離（ｉｊ）の算出結果の例を示す図である。図１１において、第１列に示す識別子がリスク要因保有構成要素識別子、第２列から第４列がサービスごとの距離、及び第５列が距離（ｉｊ）である。

　次に、リスクグループ生成部１２０は、リスク要因グループを生成し、出力する（Ｓ６０５）。ここで、リスクグループ生成部１２０は、算出した距離（ｉｊ）が閾値以下のサービス影響度（ｉｊ）に対応するリスク要因と、サービス影響度ｍａｘに対応するリスク要因とを選択する。そして、リスクグループ生成部１２０は、それらの選択したリスク要因に対応する構成要素識別子からなるリスク要因グループを生成する。

　［実施形態１の変形例］
　リスクグループ生成部１２０は、Ｓ６０４において、最大の総合影響度に対応するリスク要因に替えて、任意のリスク要因を特定のリスク要因としてよい。任意のリスク要因は、例えば、入力部７０４を介して管理者が指定したリスク要因である。この場合、Ｓ６０３における総合影響度の算出の処理は、不要である。

　即ち、リスクグループ生成部１２０は、Ｓ６０４において、算出したサービス影響度に基づいて、式７を利用して、その任意のリスク要因に対する、各リスク要因の距離を算出する。

　次に、リスクグループ生成部１２０は、Ｓ６０５において、算出した距離（ｉｊ）が閾値以下のサービス影響度（ｉｊ）に対応するリスク要因と、その任意のリスク要因とを選択する。そして、リスクグループ生成部１２０は、選択したそれらのリスク要因に対応する構成要素識別子の集合を含む、リスク要因グループを生成し、出力する。

　本変形例によれば、例えばどのリスク要因を取り除くかが既に決まっている場合に、そのリスク要因と同時に取り除くべきリスク要因とを示すリスク要因グループを出力することができる。

　また、リスクグループ生成部１２０は、全てのリスク要因のそれぞれについて、Ｓ６０４及びＳ６０５の処理を施し、全てのリスク要因のそれぞれを特定のリスク要因とするリスク要因グループのそれぞれを出力してもよい。

　管理者は、こうして得た複数のリスク要因グループを利用して、柔軟に、リスク要因を取り除く計画を立案することができる。

　上述した本実施形態における第１の効果は、システムが提供するサービスの可用性を向上させるために、同時に取り除くのが望ましい複数のリスク要因を、適切に提示することを可能にする点である。

　その理由は、以下の構成を備えるからである。第１に、影響度算出部１１０が、サービスのそれぞれへの、リスク要因のそれぞれに対応する、サービス影響度を算出する。第２に、リスクグループ生成部１２０が、それらのサービス影響度に基づいてリスク要因間の類似性（類似性を示す評価値）を算出し、その類似性に基づいてリスク要因グループを生成し、出力する。

　上述した本実施形態における第２の効果は、システムが提供するサービスの可用性を向上させるために、同時に取り除くのが望ましい複数のリスク要因を、可用性向上の効果を最大にする観点で、より適切に提示することを可能にする点である。

　その理由は、リスクグループ生成部１２０が、最大の総合影響度に対応するリスク要因のサービス影響度と他のリスク要因のサービス影響度との距離を類似性の評価値として、リスク要因グループを生成し、出力したからである。

　上述した本実施形態における第３の効果は、システムが提供するサービスの可用性を向上させるために、同時に取り除くのが望ましい複数のリスク要因を、管理者の意図に対応する観点で、より適切に提示することを可能にする点である。

　その理由は、リスクグループ生成部１２０が、管理者によって任意に指定されたリスク要因のサービス影響度と他のリスク要因のサービス影響度との距離を類似性の評価値として、リスク要因グループを生成し、出力したからである。

　上述した本実施形態における第４の効果は、システムが提供するサービスの可用性を向上させるために、同時に取り除くのが望ましい複数のリスク要因を、柔軟なリスク除去計画立案の観点で、より適切に提示することを可能にする点である。

　その理由は、リスクグループ生成部１２０が、全てのリスク要因のそれぞれについて、各リスク要因のサービス影響度と他のリスク要因のサービス影響度との距離を類似性の評価値として、リスク要因グループを生成し、出力したからである。

　＜＜＜第２の実施形態＞＞＞
　次に、本発明の第２の実施形態について図面を参照して詳細に説明する。以下、本実施形態の説明が不明確にならない範囲で、前述の説明と重複する内容については説明を省略する。

　図１２は、本発明の第２の実施形態に係るリスク分析装置２００の構成を示すブロック図である。

　図１２を参照すると、本実施形態におけるリスク分析装置２００は、第１の実施形態のリスク分析装置１００と比べて、リスクグループ生成部１２０を、リスクグループ生成部２２０に替えた点が異なる。

　＝＝＝リスクグループ生成部２２０＝＝＝
　リスクグループ生成部２２０は、サービスごとの特性を示すサービス特性でサービス影響度を重み付けし、総合影響度を算出する。ここで、そのサービス特性は、例えば、サービスのそれぞれの、システム全体にとっての重要性である必須度である。その必須度は、例えば、０から１までの連続な実数値をとり、値が大きいほど、必須の度合いが高いことを示す。

　その必須度は、例えば、サービスを利用するユーザに約束しているサービス品質に基づいて、決定される。例えば、サービスの稼働率についてのサービス品質に「極めて高い稼働率」、「比較的高い稼働率」、「概ね安定的な稼働率」の３段階がある場合、これらのサービス品質それぞれに対応するサービスの必須度は１．０、０．６、０．４に設定されてよい。また、必須度は、サービスを利用するユーザが支払う利用料金に基づいて決定されてもよい。例えば、利用料金が月額１００００円、６０００円、５０００円の３つのサービスがある場合、それらのサービスのそれぞれの必須度は１．０、０．６、０．５に設定されてよい。

　図１３は、必須度を更に含むサービス情報エントリ２７１からなるサービス管理表２７０の一例を示す図である。

　図１４は、その必須度でサービス影響度を重み付けし、総合影響度を算出した場合の例を示す図である。図１４に示すように最大の総合影響度（１５．２）に対応するリスク要因保有構成要素識別子はＰＳ１である。

　上述した本実施形態における効果は、第１の実施形態の効果に加えて、複数のリスク要因を、サービス特性への対応の観点で、より適切に提示することを可能にする点である。その複数のリスク要因は、システムが提供するサービスの可用性を向上させるために、同時に取り除くのが望ましい複数のリスク要因である。

　その理由は、リスクグループ生成部２２０が、サービス特性でサービス影響度を重み付けし、総合影響度を算出したからである。

　＜＜＜第３の実施形態＞＞＞
　次に、本発明の第３の実施形態について図面を参照して詳細に説明する。以下、本実施形態の説明が不明確にならない範囲で、前述の説明と重複する内容については説明を省略する。

　図１５は、本発明の第３の実施形態に係るリスク分析装置３００の構成を示すブロック図である。

　図１５を参照すると、本実施形態におけるリスク分析装置３００は、第１の実施形態のリスク分析装置１００と比べて、リスクグループ生成部１２０を、リスクグループ生成部３２０に替えた点が異なる。

　＝＝＝リスクグループ生成部３２０＝＝＝
　リスクグループ生成部３２０は、リスク要因のそれぞれを除去する場合のコストを示す除去コスト情報と、コスト限度値とに基づいて、リスク要因グループを生成する。ここで、コスト限度値は、それらのコストの合計の限度を示す値である。換言すると、リスクグループ生成部３２０は、除去コスト情報に基づいて、リスク要因グループに含まれるリスク要因のコストの合計が、指定されたコスト限度値を超えないようにリスク要因グループを生成する。

　具体的には、リスクグループ生成部３２０は、リスク要因を除去するコストの合計値がコスト限度値を越えない範囲で、距離（ｉｊ）の小さい順にリスク要因を選択し、リスク要因グループを生成する。即ち、リスクグループ生成部３２０は、与えられたコスト限度値の範囲内で、類似性の高いリスク要因を同時に取り除くための、リスク要因グループを生成する。

　そのコストは、リスク要因のそれぞれを除去する場合に必要な費用、時間、期間、作業人数及びこれらを任意に組み合わせて算出される値の、いずれかであってよい。

　例えば、そのコストが機器の交換などの費用である場合、そのコスト限度値は費用を示す値である。そのコストが機器の交換などの作業時間である場合、そのコスト限度値は時間を示す値である。また、そのコストが機器の交換などの作業に従事する技術者の人数である場合、そのコスト限度値は人数を示す値である。

　リスクグループ生成部３２０は、例えば、管理者が図７に示す入力部７０４を介してリスク分析装置３００に入力したそのコスト限度値を利用する。或いは、リスクグループ生成部３２０は、図７に示す通信部７０６を介して、外部からそのコスト限度値を取得してもよい。

　図１６は、除去コスト情報であるコストを含むリスク要因影響情報エントリ３５１からなるリスク要因影響管理表３５０の一例を示す図である。

　例えば、図１０に示すサービス影響度の算出結果の例において、最大の総合影響度に対応するリスク要因を持つ構成要素は、物理サーバＰＳ２である。そして、図１１に示す距離の算出結果の例において、物理サーバＰＳ２のリスク要因との距離が近い順のリスク要因を持つ構成要素は、仮想サーバＶＭ４、仮想サーバＶＭ３、仮想サーバＶＭ１、仮想サーバＶＭ２、物理サーバＰＳ１である。

　ここで、コスト限度値が例えば「１５」であるとする。この場合、リスクグループ生成部３２０は、物理サーバＰＳ２（コストが、「１１」）及び仮想サーバＶＭ４（コストが、「３」）のそれぞれの識別子を含む、リスク要因グループを生成する。

　また、コスト限度値が例えば「２０」であるとする。この場合、リスクグループ生成部３２０は、物理サーバＰＳ２（コストが、「１１」）、仮想サーバＶＭ４（コストが、「３」）及び仮想サーバＶＭ３（コストが、「６」）のそれぞれの識別子を含む、リスク要因グループを生成する。

　上述した本実施形態における効果は、第１の実施形態の効果に加えて、システムが提供するサービスの可用性を向上させるために、同時に取り除くのが望ましい複数のリスク要因を、そのコストの観点で、より適切に提示することを可能にする点である。

　その理由は、リスクグループ生成部３２０が、除去コスト情報に基づいて、リスク要因グループに含まれるリスク要因のコストの合計が、コスト限度値を超えないようにリスク要因グループを生成したからである。

　以上の各実施形態で説明した各構成要素は、必ずしも個々に独立した存在である必要はない。例えば、各構成要素は、複数の構成要素が１個のモジュールとして実現されてもよい。また、各構成要素は、１つの構成要素が複数のモジュールで実現されてもよい。また、各構成要素は、ある構成要素が他の構成要素の一部であるような構成であってよい。また、各構成要素は、ある構成要素の一部と他の構成要素の一部とが重複するような構成であってもよい。

　以上説明した各実施形態における各構成要素及び各構成要素を実現するモジュールは、必要に応じ、可能であれば、ハードウェア的に実現されてよい。また、各構成要素及び各構成要素を実現するモジュールは、コンピュータ及びプログラムで実現されてもよい。また、各構成要素及び各構成要素を実現するモジュールは、ハードウェア的なモジュールとコンピュータ及びプログラムとの混在により実現されてもよい。

　そのプログラムは、例えば、磁気ディスクや半導体メモリなど、不揮発性のコンピュータ可読記録媒体に記録されて提供され、コンピュータの立ち上げ時などにコンピュータに読み取られる。この読み取られたプログラムは、そのコンピュータの動作を制御することにより、そのコンピュータを前述した各実施形態における構成要素として機能させる。

　また、以上説明した各実施形態では、複数の動作をフローチャートの形式で順番に記載してあるが、その記載の順番は複数の動作を実行する順番を限定するものではない。このため、各実施形態を実施するときには、その複数の動作の順番は内容的に支障のない範囲で変更することができる。

　更に、以上説明した各実施形態では、複数の動作は個々に相違するタイミングで実行されることに限定されない。例えば、ある動作の実行中に他の動作が発生したり、ある動作と他の動作との実行タイミングが部分的に乃至全部において重複していたりしていてもよい。

　更に、以上説明した各実施形態では、ある動作が他の動作の契機になるように記載しているが、その記載はある動作と他の動作との全ての関係を限定するものではない。このため、各実施形態を実施するときには、その複数の動作の関係は内容的に支障のない範囲で変更することができる。また各構成要素の各動作の具体的な記載は、各構成要素の各動作を限定するものではない。このため、各構成要素の具体的な各動作は、各実施形態を実施する上で機能的、性能的、その他の特性に対して支障をきたさない範囲内で変更されて良い。

　上記の実施形態の一部または全部は、以下の付記のようにも記載されうるが、以下には限られない。

　（付記１）　サービスを提供するシステムに含まれる、リスク要因を持つ構成要素と前記構成要素の状態に影響を受ける他の前記構成要素との関係を示すリスク要因影響情報、前記リスク要因のそれぞれの特性を示す構成要素特性情報、及び前記サービスと前記構成要素との対応を示すサービス情報に基づいて、前記サービスのそれぞれへの、前記リスク要因のそれぞれに対応する、サービス影響度を算出する影響度算出部と、前記サービス影響度に基づいて特定の前記リスク要因と他の前記リスク要因との間の類似性を算出し、前記類似性に基づいて選択した前記リスク要因に対応する、前記構成要素を示す識別情報の集合を少なくとも含む情報を生成し、出力するリスクグループ生成部と、を含むリスク分析装置。

　（付記２）　前記類似性は、前記リスク要因のそれぞれに対応するサービス影響度間の距離であることを特徴とする付記１記載のリスク分析装置。

　（付記３）　前記距離は、ユークリッド距離、マンハッタン距離、マハラノビス距離及びこれらの距離を任意に組み合わせて算出される値の、いずれかであることを特徴とする付記２記載のリスク分析装置。

　（付記４）　前記リスクグループ生成部は、前記リスク要因ごとに対応する前記サービス影響度を合算した総合影響度を算出し、前記総合影響度が最大の前記リスク要因と他の前記リスク要因との間の前記類似性を算出することを特徴とする付記１乃至３のいずれかに１つに記載のリスク分析装置。

　（付記５）　前記リスクグループ生成部は、前記サービスごとの特性で前記サービス影響度を重み付けし、前記総合影響度を算出することを特徴とする付記４記載のリスク分析装置。

　（付記６）　前記リスクグループ生成部は、外部から指定された前記リスク要因と他の前記リスク要因との間の前記類似性を算出することを特徴とする付記１乃至５のいずれか１つに記載のリスク分析装置。

　（付記７）　前記リスク要因の特性は、故障及び復旧のそれぞれの理論的及び経験的データに基づいて算出される、故障率、復旧率の逆数、故障率と復旧率の逆数との調和平均、平均故障間隔時間、平均復旧時間、障害発生数、復旧成功数、及びこれらを任意に組み合わせて算出される値の、いずれかであることを特徴とする付記１乃至６のいずれか１つに記載のリスク分析装置。

　（付記８）前記リスクグループ生成部は、前記リスク要因のそれぞれを除去する場合のコストを示す除去コスト情報と、前記コストの合計の限度を示すコスト限度値とに基づいて、前記構成要素を示す識別情報の集合を少なくとも含む前記情報を生成することを特徴とする付記１乃至７のいずれか１つに記載のリスク分析装置。

　（付記９）前記コストは、前記リスク要因を除去する場合に必要な費用、時間、期間、作業人数及びこれらを任意に組み合わせて算出される値の、いずれかである
　ことを特徴とする付記８記載のリスク分析装置。

　（付記１０）　前記リスク要因影響情報、前記構成要素特性情報及び前記サービス情報の任意のいずれかの入力を受け付ける入力部を更に含むことを特徴とする付記１乃至９のいずれか１つに記載のリスク分析装置。

　（付記１１）　コンピュータが、サービスを提供するシステムに含まれる、リスク要因を持つ構成要素と前記構成要素の状態に影響を受ける他の前記構成要素との関係を示すリスク要因影響情報、前記リスク要因のそれぞれの特性を示す構成要素特性情報、及び前記サービスと前記構成要素との対応を示すサービス情報に基づいて、前記サービスのそれぞれへの、前記リスク要因のそれぞれに対応する、サービス影響度を算出し、前記サービス影響度に基づいて特定の前記リスク要因と他の前記リスク要因との間の類似性を算出し、前記類似性に基づいて選択した前記リスク要因に対応する、前記構成要素を示す識別情報の集合を少なくとも含む情報を生成し、出力するリスク分析方法。

　（付記１２）　前記類似性を算出する場合に、前記リスク要因ごとに対応する前記サービス影響度を合算した総合影響度を算出し、前記総合影響度が最大の前記リスク要因と他の前記リスク要因との間の前記類似性を算出することを特徴とする付記１１記載のリスク分析方法。

　（付記１３）　前記総合影響度を算出する場合に、前記サービスごとの特性で前記サービス影響度を重み付けし、前記総合影響度を算出することを特徴とする付記１２記載のリスク分析方法。

　（付記１４）　前記構成要素を示す識別情報の集合を少なくとも含む前記情報を生成する場合に、前記リスク要因のそれぞれを除去する場合のコストを示す除去コスト情報と、前記コストの合計の限度を示すコスト限度値とに基づいて、前記情報を生成することを特徴とする付記１１乃至１３のいずれか１つに記載のリスク分析方法。

　（付記１５）　サービスを提供するシステムに含まれる、リスク要因を持つ構成要素と前記構成要素の状態に影響を受ける他の前記構成要素との関係を示すリスク要因影響情報、前記リスク要因のそれぞれの特性を示す構成要素特性情報、及び前記サービスと前記構成要素との対応を示すサービス情報に基づいて、前記サービスのそれぞれへの、前記リスク要因のそれぞれに対応する、サービス影響度を算出する処理と、前記サービス影響度に基づいて特定の前記リスク要因と他の前記リスク要因との間の類似性を算出し、前記類似性に基づいて選択した前記リスク要因に対応する、前記構成要素を示す識別情報の集合を少なくとも含む情報を生成し、出力する処理と、をコンピュータに実行させるプログラム。

　（付記１６）　前記類似性を算出する場合に、前記リスク要因ごとに対応する前記サービス影響度を合算した総合影響度を算出し、前記総合影響度が最大の前記リスク要因と他の前記リスク要因との間の前記類似性を算出する処理をコンピュータに実行させることを特徴とする付記１５記載のプログラム。

　（付記１７）　前記総合影響度を算出する場合に、前記サービスごとの特性で前記サービス影響度を重み付けし、前記総合影響度を算出する処理をコンピュータに実行させることを特徴とする付記１６記載のプログラム。

　（付記１８）　前記構成要素を示す識別情報の集合を少なくとも含む前記情報を生成する場合に、前記リスク要因のそれぞれを除去する場合のコストを示す除去コスト情報と、前記コストの合計の限度を示すコスト限度値とに基づいて、前記情報を生成する処理をコンピュータに実行させることを特徴とする付記１５乃至１７のいずれか１つに記載のプログラム。

　（付記１９）
　プロセッサとプロセッサが影響度算出部及びリスクグループ生成部として動作するための、プロセッサによって実行される命令を保持する記憶部とを含み、前記影響度算出部は、サービスを提供するシステムに含まれる、リスク要因を持つ構成要素と前記構成要素の状態に影響を受ける他の前記構成要素との関係を示すリスク要因影響情報、前記リスク要因のそれぞれの特性を示す構成要素特性情報、及び前記サービスと前記構成要素との対応を示すサービス情報に基づいて、前記サービスのそれぞれへの、前記リスク要因のそれぞれに対応する、サービス影響度を算出し、前記リスクグループ生成部は、前記サービス影響度に基づいて特定の前記リスク要因と他の前記リスク要因との間の類似性を算出し、前記類似性に基づいて選択した前記リスク要因に対応する、前記構成要素を示す識別情報の集合を少なくとも含む情報を生成し、出力する、リスク分析装置。

　以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

　この出願は、２０１２年１２月１７日に出願された日本出願特願２０１２－２７５０７７を基礎とする優先権を主張し、その開示の全てをここに取り込む。

　本発明は、システムのリスク分析を行うリスク分析装置、リスク分析方法及びそのためのプログラムに適用できる。

　１００　　リスク分析装置
　１０１　　リスク分析装置
　１１０　　影響度算出部
　１２０　　リスクグループ生成部
　１３０　　管理表記億部
　１５０　　リスク要因影響管理表
　１５１　　リスク要因影響情報エントリ
　１６０　　構成要素特性管理表
　１６１　　構成要素特性情報エントリ
　１７０　　サービス管理表
　１７１　　サービス情報エントリ
　２００　　リスク分析装置
　２２０　　リスクグループ生成部
　２７０　　サービス管理表
　２７１　　サービス情報エントリ
　３００　　リスク分析装置
　３２０　　リスクグループ生成部
　３５０　　リスク要因影響管理表
　３５１　　リスク要因影響情報エントリ
　７００　　コンピュータ
　７０１　　ＣＰＵ
　７０２　　記憶部
　７０３　　記憶装置
　７０４　　入力部
　７０５　　出力部
　７０６　　通信部
　７０７　　記録媒体

Claims

　サービスを提供するシステムに含まれる、リスク要因を持つ構成要素と前記構成要素の状態に影響を受ける他の前記構成要素との関係を示すリスク要因影響情報、前記リスク要因のそれぞれの特性を示す構成要素特性情報、及び前記サービスと前記構成要素との対応を示すサービス情報に基づいて、前記サービスのそれぞれへの、前記リスク要因のそれぞれに対応する、サービス影響度を算出する影響度算出手段と、
　前記サービス影響度に基づいて特定の前記リスク要因と他の前記リスク要因との間の類似性を算出し、前記類似性に基づいて選択した前記リスク要因に対応する、前記構成要素を示す識別情報の集合を少なくとも含む情報を生成し、出力するリスクグループ生成手段と、を含む
　リスク分析装置。
　前記類似性は、前記リスク要因のそれぞれに対応するサービス影響度間の距離である
　ことを特徴とする請求項１記載のリスク分析装置。
　前記リスクグループ生成手段は、前記リスク要因ごとに対応する前記サービス影響度を合算した総合影響度を算出し、前記総合影響度が最大の前記リスク要因と他の前記リスク要因との間の前記類似性を算出する
　ことを特徴とする請求項１または２に記載のリスク分析装置。
　前記リスクグループ生成手段は、前記サービスごとの特性で前記サービス影響度を重み付けし、前記総合影響度を算出する
　ことを特徴とする請求項３記載のリスク分析装置。
　前記リスクグループ生成手段は、外部から指定された前記リスク要因と他の前記リスク要因との間の前記類似性を算出する
　ことを特徴とする請求項１乃至４のいずれか１項に記載のリスク分析装置。
　前記リスク要因の特性は、故障及び復旧のそれぞれの理論的及び経験的データに基づいて算出される、故障率、復旧率の逆数、故障率と復旧率の逆数との調和平均、平均故障間隔時間、平均復旧時間、障害発生数、復旧成功数、及びこれらを任意に組み合わせて算出される値の、いずれかである
　ことを特徴とする請求項１乃至５のいずれか１項に記載のリスク分析装置。
　前記リスクグループ生成手段は、前記リスク要因のそれぞれを除去する場合のコストを示す除去コスト情報と、前記コストの合計の限度を示すコスト限度値とに基づいて、前記構成要素を示す識別情報の集合を少なくとも含む前記情報を生成する
　ことを特徴とする請求項１乃至６のいずれか１項に記載のリスク分析装置。
　前記リスク要因影響情報、前記構成要素特性情報及び前記サービス情報の任意のいずれかの入力を受け付ける入力手段を更に含む
　ことを特徴とする請求項１乃至７のいずれか１項に記載のリスク分析装置。
　コンピュータが、
　サービスを提供するシステムに含まれる、リスク要因を持つ構成要素と前記構成要素の状態に影響を受ける他の前記構成要素との関係を示すリスク要因影響情報、前記リスク要因のそれぞれの特性を示す構成要素特性情報、及び前記サービスと前記構成要素との対応を示すサービス情報に基づいて、前記サービスのそれぞれへの、前記リスク要因のそれぞれに対応する、サービス影響度を算出し、
　前記サービス影響度に基づいて特定の前記リスク要因と他の前記リスク要因との間の類似性を算出し、前記類似性に基づいて選択した前記リスク要因に対応する、前記構成要素を示す識別情報の集合を少なくとも含む情報を生成し、出力する
　リスク分析方法。
　サービスを提供するシステムに含まれる、リスク要因を持つ構成要素と前記構成要素の状態に影響を受ける他の前記構成要素との関係を示すリスク要因影響情報、前記リスク要因のそれぞれの特性を示す構成要素特性情報、及び前記サービスと前記構成要素との対応を示すサービス情報に基づいて、前記サービスのそれぞれへの、前記リスク要因のそれぞれに対応する、サービス影響度を算出する処理と、前記サービス影響度に基づいて特定の前記リスク要因と他の前記リスク要因との間の類似性を算出する処理と、
　前記類似性に基づいて選択した前記リスク要因に対応する、前記構成要素を示す識別情報の集合を少なくとも含む情報を生成し、出力する処理と、を
　コンピュータに実行させるプログラムを記録したコンピュータ読み取り可能な非一時的記録媒体。