オフィス・ネットワークの見える化 ~横浜本社での社内実践 ......20...

6
PFU Tech. Rev., 26, 1,pp.19-24 (09,2015) 19 オフィス・ネットワークの見える化 ~横浜本社での社内実践事例~ Office Network Visualization - Case Study in Our Yokohama Headquarters - 増澤大悟 * Daigo Masuzawa * ソリューション & ソフトウェアグループ アプライアンスソフトウェア事業部 技術部 PFU は,ネットワークセキュリティ製品やオフィス機器などを提供している.今回,それらから得られる情報 をもとに,オフィス・ネットワーク全体の状況を,脅威状況を中心に俯瞰的に把握できるようにする見える化ツー ルを開発した.マルウェア検出などセキュリティ上の脅威となる各種イベント情報や端末の位置情報を統合し,ど こでどのような脅威が発生しているかを見える化するものである.加えて,電力使用量や印刷量などのオフィス機 器の稼働状況も見える化する機能も実装し,オフィス・ネットワークの統合的な見える化を実現した.横浜本社の ネットワーク環境に導入した社内実践事例をもとに説明する. PFU provides network security products and office equipment. Based on the information obtained from these products, we have developed a tool that can show an overview of the entire office network by focusing on security threats. This tool visualizes what the threats are and where the threats are occurring by integrating various event information that may indicate a security threat, such as malware detection, with the location of the terminal. In addition, we have equipped this tool with functions that can visualize an office equipment's operational status such as power consumption and the printed amount to realize an integrated visualization of the office network. Based on the network environment in our Yokohama headquarters as a case study example, this document explains how a visualization of the office network was implemented. 1 まえがき PFU は社内ネットワークに,安心・安全なネット ワーク環境を実現するネットワークセキュリティ製 品「iNetSec シリーズ」や,統合ネットワークサーバ 「IPCOM シリーズ」など,PFU が開発,又は販売す る製品を含む様々なネットワークセキュリティ装置を多 数導入し活用している 参1),参2),参3),参4) 近年,外部からの脅威は多種多様にわたり,影響は ますます広範囲に広がるようになってきている.これら に対応するために,ネットワーク全体の脅威状況やイベ ント 注1) 発生時の影響の範囲や度合いを把握することが, 今まで以上に重要となってきた. これに対応すべく, 「iNetSec シリーズ」や「IPCOM シリーズ」をはじめとする複数の装置が管理している機 器情報や記録しているセキュリティ上の脅威発生などを 示すイベント情報を統合して視覚的に分かるようにし, PFU 製品をさらに活用しやすくする,オフィス・ネッ トワークの見える化システムを開発することにした. 注1) ネットワークセキュリティ製品が検出する,マルウェアの侵 入,利用許可されていない端末の接続,ウィルス対策ソフトウェ アの設定不備,セキュリティパッチ未適用といったセキュリ ティ上の脅威となりうる事象を示す.

Upload: others

Post on 22-Oct-2020

2 views

Category:

Documents


0 download

TRANSCRIPT

  • PFU Tech. Rev., 26, 1,pp.19-24 (09,2015) 19

    オフィス・ネットワークの見える化~横浜本社での社内実践事例~Office Network Visualization - Case Study in Our Yokohama Headquarters -

    増澤大悟 *Daigo Masuzawa

    * ソリューション&ソフトウェアグループ アプライアンスソフトウェア事業部 技術部

    PFU は,ネットワークセキュリティ製品やオフィス機器などを提供している.今回,それらから得られる情報

    をもとに,オフィス・ネットワーク全体の状況を,脅威状況を中心に俯瞰的に把握できるようにする見える化ツー

    ルを開発した.マルウェア検出などセキュリティ上の脅威となる各種イベント情報や端末の位置情報を統合し,ど

    こでどのような脅威が発生しているかを見える化するものである.加えて,電力使用量や印刷量などのオフィス機

    器の稼働状況も見える化する機能も実装し,オフィス・ネットワークの統合的な見える化を実現した.横浜本社の

    ネットワーク環境に導入した社内実践事例をもとに説明する.

    PFU provides network security products and office equipment. Based on the information

    obtained from these products, we have developed a tool that can show an overview of the

    entire office network by focusing on security threats. This tool visualizes what the threats are

    and where the threats are occurring by integrating various event information that may indicate

    a security threat, such as malware detection, with the location of the terminal. In addition,

    we have equipped this tool with functions that can visualize an office equipment's operational

    status such as power consumption and the printed amount to realize an integrated visualization

    of the office network. Based on the network environment in our Yokohama headquarters as

    a case study example, this document explains how a visualization of the office network was

    implemented.

    1 まえがきPFU は社内ネットワークに,安心・安全なネット

    ワーク環境を実現するネットワークセキュリティ製

    品「iNetSec シリーズ」や,統合ネットワークサーバ

    「IPCOM シリーズ」など,PFU が開発,又は販売す

    る製品を含む様々なネットワークセキュリティ装置を多

    数導入し活用している参1),参2),参3),参4).

    近年,外部からの脅威は多種多様にわたり,影響は

    ますます広範囲に広がるようになってきている.これら

    に対応するために,ネットワーク全体の脅威状況やイベ

    ント注1)発生時の影響の範囲や度合いを把握することが,

    今まで以上に重要となってきた.

    これに対応すべく,「iNetSec シリーズ」や「IPCOM

    シリーズ」をはじめとする複数の装置が管理している機

    器情報や記録しているセキュリティ上の脅威発生などを

    示すイベント情報を統合して視覚的に分かるようにし,

    PFU 製品をさらに活用しやすくする,オフィス・ネッ

    トワークの見える化システムを開発することにした.

    注1) ネットワークセキュリティ製品が検出する,マルウェアの侵入,利用許可されていない端末の接続,ウィルス対策ソフトウェアの設定不備,セキュリティパッチ未適用といったセキュリティ上の脅威となりうる事象を示す.

  • 20

    オフィス・ネットワークの見える化~横浜本社での社内実践事例~

    PFU Tech. Rev., 26, 1, (09,2015)

    2 システム開発の狙い社内ネットワークに導入されているセキュリティ装

    置はそれぞれ専用のユーザーインターフェース(以降,

    UI)を持ち,各装置の機能を使用する範囲においては

    十分有効に機能する.ただ,ネットワーク全体の脅威状

    況を確認したい場合には,複数の装置の UI や検出イベ

    ントを確認しなければならない.また,異なる装置で複

    数のイベントを検出した場合には,それらのイベントの

    脅威の度合いが比較しづらく,脅威の影響範囲も分かり

    にくい.さらに,イベントが発生した端末の物理的な位

    置も特定しにくかった.

    個々のセキュリティ装置には,検出したイベントを外

    部に通知したり,外部から取得したりする機能や,様々

    な管理情報を外部から取得するインターフェースも備

    わっている.それらの機能を使用して取得した情報を,

    物理的な位置情報も含めて統合し,見える化するシステ

    ムを構築することで,どこで何が発生しているかを迅速

    に特定し,脅威の度合いや影響範囲を視覚的に把握でき

    るようにする.これにより,例えばマルウェアに感染し

    た端末を検出した場合,物理的な隔離などの処置が迅速

    に行えるようになる.

    また,ネットワーク接続された複合機など,オフィス

    機器の稼働状況も統合して視覚化することで,セキュリ

    ティ上の脅威状況だけでなく,どこの機器がどういう稼

    働状況であるかということも,簡単に把握できるように

    する.

    3 システムの概要社内ネットワークの情報を収集し,それらの情報を統

    合又は連携させて,フロアマップ,チャートなどで表示

    するシステムを作成することで,個別の情報からは分か

    りにくい事象や傾向などを簡単に把握できるようにした.

    3.1 収集する情報収集する情報は以下とした.また,情報取得対象の装

    置と取得する情報の一覧を表-1に示す.(1) セキュリティ脅威状況

    脅威状況を見える化するために,iNetSec Smart

    Finder マネージャー,iNetSec Intra Wall マネー

    ジャー,iNetSec Inspection Center が管理し通知

    する社内ネットワークのセキュリティ上の脅威イベント

    ログと,ファイアーウォール装置(IPCOM)から取得

    する社外からの許可しないアクセスの遮断情報を収集す

    る.

    (2) セグメントと機器管理情報

    ネットワークの論理構成や機器情報を見える化するた

    めに,iNetSec Smart Finder が管理しているセグメ

    ント構成と機器構成と機器管理情報を収集する.

    (3) オフィス機器の位置情報

    社内ネットワークに接続されているオフィス機器の物

    理的な位置を特定するために L2 スイッチが保持してい

    る接続機器情報を収集する.

    (4) オフィス機器稼働状況

    オフィス機器の稼働状況を見える化するために

    iNetSec Smart Finder マネージャーで登録及び管理

    されたネットワーク上のオフィス機器種別や電力使用

    量,印刷量と,PFU のイメージスキャナ「fi シリーズ」

    や「ScanSnap シリーズ」が接続された端末からスキャ

    ン枚数を収集する.

    3.2 見える化した情報と見せ方収集した情報を元に,目的別の情報を表示する UI を

    作成した(表-2参照).各 UI は,横浜本社全体の物理的な情報と論理的な情

    報が俯瞰できる図-1のような構成を基本とした.UIの左側にフロアの物理的な地図を表すフロアマップを配

    置し,各種ネットワーク装置やオフィス機器の物理的な

    位置を表示する.UI の右側にネットワークの論理構成

    を示すツリーマップを配置し,各フロアに存在するネッ

    トワークセグメントの構成と各セグメント内の端末情報

    を表示する.その他の情報として UI ごとに異なる情報

    ◆表 -1 情報取得対象の装置と取得する情報◆

    装置 取得する情報

    iNetSecSmartFinder マネージャー

    機器管理情報,複写機とプリンタの印刷量,電力使用量,端末接続検知情報など

    iNetSecIntraWallマネージャー

    マルウェア検出情報,禁止アプリケーション検知情報

    iNetSecInspectionCenter

    OS やアプリケーションのパッチ適用状況,ウィルス対策ソフトウェアのパターンファイルアップデート状況など

    IPCOM 社外からの攻撃検知ログと許可しないアクセスの遮断ログ

    L2スイッチ 接続端末情報

    イメージスキャナ(ScanSnap シリーズ,fiシリーズ)

    スキャン枚数

  • PFU Tech. Rev., 26, 1, (09,2015) 21

    オフィス・ネットワークの見える化~横浜本社での社内実践事例~

    (機器種別,電力使用量,スキャン枚数,脅威状態など)

    の内訳や遷移を示すチャートを配置した.

    不正アクセス遮断状況には,社外からの攻撃と不正

    アクセスの遮断状況をアニメーション表示する.ここで

    表示する情報はインターネットからのアクセス情報であ

    るため,他の UI のようなフロアマップ表示ではなく,

    3D 地球儀上に情報表示することにした(図-2参照).

    4 開発時の主な取り組み社内ネットワークに導入されている iNetSec シリー

    ズ,L2 スイッチ,ファイアーウォール装置などのネッ

    トワーク管理機器やセキュリティ装置から各種イベント

    情報や管理情報を収集し,収集した情報からウェブコン

    テンツを生成する見える化専用のサーバを構築した.ク

    ライアント端末から見える化サーバへのウェブアクセス

    によりオフィス機器の状況とネットワークの脅威状況を

    ブラウザで閲覧できるようにした(図-3参照).

    4.1 情報収集の際の取り組み見える化サーバが収集する各種情報は,収集対象の装

    置によってそれぞれフォーマットが異なるため,そのま

    ま使用する場合,それぞれのフォーマットに合わせた処

    理を実装した UI を作成しなければならない.

    装置によって異なる情報を一括して管理し処理できる

    ようにするために,取得した情報に含まれる各データに

    属性を示す統一したタグ付けを行い,見える化サーバ内

    部で動作する検索エンジンに登録する方法を採った.検

    索エンジンに情報登録することで,異なる装置から取得

    した情報であっても,統一した検索手段で情報検索でき

    るため,UI に表示する情報の絞り込み処理などを作り

    ◆表 -2 UI一覧◆

    見える化した情報 UI の表示内容

    機器情報 ネットワーク上の機器種別,機器情報の内訳,検出機器数の遷移

    電力使用量 各端末の電力使用量,機器ごとの電力使用量,電力使用量の遷移

    印刷量 複写機とプリンタの印刷量,印刷量の遷移

    スキャン枚数 イメージスキャナのスキャン枚数,フロアやセグメントごとのスキャン枚数

    脅威状況 マルウェア検出,機器遮断などの脅威イベントの発生状況

    不正アクセス遮断状況

    社外からの攻撃と不正アクセスの遮断状況

    ◆図 -1 電力使用量◆

    (Fig.1-Powerconsumption)

    ◆図 -2 3D地球儀◆

    (Fig.2-3Dglobe)

    ◆図 -3 見える化システム◆

    (Fig.3-Visualizationsystem)

    iNetSec Intra Wall

    iNetSec Smart Finder

    iNetSec Inspection Center

    Internet

    見える化サーバ

    情報収集管理

    ブラウザで閲覧

    L2 スイッチ

    ウェブコンテンツ作成

    ファイアーウォール

  • 22

    オフィス・ネットワークの見える化~横浜本社での社内実践事例~

    PFU Tech. Rev., 26, 1, (09,2015)

    込む必要がなく,UI 作成作業の簡略化と効率化ができ

    た.

    また,新たな情報を追加し UI の機能拡張を行う場合

    や,UI の表示内容を修正する場合でも,大きな工数を

    かけずに対応可能である.

    4.2 見える化の際の取り組み4.2.1 セキュリティ脅威状況の見える化

    (1) 社内ネットワークの脅威状況

    iNetSec Smart Finder, iNetSec Intra Wall,

    iNetSec Inspection Center から取得した各種イベ

    ント情報を元に,セキュリティ上の脅威状況を見える化

    した(図-4参照).この UI には検出されたマルウェア数や,利用承認さ

    れていない機器や管理外 IP アドレスの機器の接続を示

    す不正機器接続数,各種イベント情報を脅威情報として

    表示する.ただ,イベント情報を単に表示するだけで

    は,見える化のメリットは限定的であり,脅威の度合い

    や影響範囲が分かりにくい.そこで,脅威状態の度合い

    を示す「脅威レベル」を導入した.各ネットワークセグ

    メントと各端末に脅威の度合いを示す 0.0 ~ 1.0 の値

    を脅威レベルとして持たせる.ある端末でセキュリティ

    上の脅威イベントが発生した場合,そのイベントの脅威

    度合に応じて,端末の脅威レベル値を上げる.同じよう

    に,あるネットワークセグメント内で脅威イベントが発

    生した場合はその度合いに応じて,そのネットワークセ

    グメントの脅威レベル値を上げる.この脅威レベル値を

    ツリーマップ上のツールチップの色の濃さとして表現す

    ることで,各セグメントと各端末の脅威度合が視覚的に

    分かる仕組みとした.また各フロアの脅威レベル値をグ

    ラフ化し,脅威レベルがどのように遷移しているかが分

    かるようになっている.

    (2) 社外からの脅威状況

    インターネットから PFU への攻撃や不正アクセスの

    状況を,アクセス元地域や国名といった位置情報を含め

    て 3D 地球儀にアニメーション表示した.

    攻撃や不正アクセス情報は,インターネットとイント

    ラネットを結ぶファイアーウォール装置から取得する遮

    断ログ情報を使用する.遮断ログ情報にはアクセス元の

    位置情報は含まれないため,位置情報データベース注2)

    からアクセス元 IP アドレスに対応する位置情報を検索

    し,見える化サーバの検索エンジンに登録する.位置情

    報からは経緯度と国名が分かるため,地球儀上にアクセ

    ス元地域から日本(PFU)へのアクセスを攻撃アニメー

    ションのような効果で表示し,国別のアクセス統計情報

    を表示することができた.

    また,ファイアーウォール装置から見える化サーバへ

    の遮断ログ情報の送信とアクセス元の位置情報の検索,

    UI からの情報検索と表示処理は逐次行われるようにす

    ることで,3D 地球儀にリアルタイムで攻撃や不正アク

    セスの状況を表示することができるように考慮した.

    3D 地球儀への表示を実現することで,単純な遮断ロ

    グ情報からは分からないアクセス元地理情報と合わせ

    て,時間あたりのアクセス量やアクセス種別などの傾向

    が直観的に把握できるようになっている.

    4.2.2 ネットワーク・オフィス機器状態の見える化

    (1) オフィス機器状態の見える化

    社内ネットワークに接続された複写機とプリンタの印

    刷量,ネットワーク機器の電力使用量,イメージスキャ

    ナ(ScanSnapシリーズ,fiシリーズ)のスキャン枚数を,

    機器単位及びセグメント単位でチャート化した参5),参6).

    また,後述のツリーマップ表示とフロアマップ表示と連

    携し,マップ上の端末の情報(機器種別,印刷量,スキャ

    ン枚数,電力使用量など)が分かるようにした.

    印刷量や電力使用量は,iNetSec Smart Finder マ

    ネージャーから取得できるが,スキャン枚数は現状の

    iNetSec Smart Finder マネージャーでは管理対象外

    であるため,イメージスキャナが接続された端末からス

    キャン枚数を取得することにした.ただ,機種によって

    スキャン枚数の取得インターフェースを備えるものと

    そうでないものがあり,見える化サーバから統一した手

    段でスキャン枚数を取得することが難しかった.スキャ

    注2) この処理には MaxMind が作成した GeoLite2 データが含まれており,http://www.maxmind.com から入手いただけます.

    ◆図 -4 脅威状況◆

    (Fig.4-Threatsituation)

  • PFU Tech. Rev., 26, 1, (09,2015) 23

    オフィス・ネットワークの見える化~横浜本社での社内実践事例~

    ン枚数を見える化するために,ScanSnap シリーズに

    対しては,ScanSnap Manager からネットワーク経

    由でスキャン枚数を取得する専用ソフトウェアを本見

    える化システム向けに開発し,ScanSnap シリーズを

    接続した端末からスキャン枚数を取得することを可能と

    した.また,fi シリーズに対しては,スキャナをリモー

    トで管理又はメンテナンスをすることができる自社ソフ

    トウェア SCA(Scanner Central Admin)により

    スキャン枚数を取得することにした参7).本見える化シ

    ステムでのスキャン枚数見える化対象のイメージスキャ

    ナは,USB 接続された ScanSnap iX100, iX500,

    S1300i, SV600 と fi シリーズである.

    (2) ネットワーク構成の見える化

    iNetSec Smart Finder マネージャーからネット

    ワークを構成しているセグメントや,そのセグメントに

    属する機器の情報が取得できる.それらの論理構成情

    報をツリーマップとして表示することにした(図-5参照).ツリーマップは,階層化された情報を二次元平面

    上の領域に入れ子状に分割して視覚的に表現する手段で

    あり,ネットワークの論理構成の視覚化に適している.

    ツリーマップの階層構造をたどることで,フロア上のセ

    グメント構成,セグメント内の機器構成が分かる.また,

    機器構成セグメント内の機器の数をツールチップの相対

    的な大きさで表現し,印刷量やスキャン枚数も相対的な

    色の濃さで表現した.ツリーマップの特性を生かして,

    ネットワークの論理構成と機器管理情報の量を視覚的に

    分かりやすく表現できた.

    (3) 端末位置の見える化

    横浜本社 3 フロア分のフロアマップ上にネットワー

    ク機器の物理的な位置表示を実現した.端末の物理的な

    位置をフロアマップ上に表示するためには,端末の位置

    情報が必要となる.複写機など物理的な設置位置が変わ

    らない機器は,固定座標データを用意することで位置表

    示を行えるが,PC などの個人使用端末は台数が膨大で

    あり,また,移動されることがあるため,固定座標デー

    タを用意して位置表示するのは現実的ではない.フロア

    に設置されている位置固定の L2 スイッチから,L2 ス

    イッチに接続されている端末のMACアドレス情報を収

    集し,iNetSec Smart Finder マネージャーから取得

    した機器管理情報と照合することで,おおよその端末位

    置を特定し,フロアマップ上に位置表示することを可能

    とした.フロアマップ上の端末は機種種別ごとに色付け

    表示し,カーソルを置くことで詳細情報が表示される.

    また,フロアマップはツリーマップと連携動作し,ツ

    リーマップに表示されているネットワークセグメントや

    端末がフロアマップ上のどこに位置するかが分かるよう

    になっている.例えば,ツリーマップ上の端末にカーソ

    ルを置くとフロアマップ上の対応する端末がハイライト

    表示される(図-6参照).これにより端末の論理情報から物理的な位置を簡単に特定可能である.

    4.3 オープンソースソフトウェアの活用本システム構築にあたり,有用なオープンソースソフ

    トウェア(以降,OSS)を活用することで,システム

    に必要な機能実装作業を効率的に行い,短期間で開発を

    行うことができた.使用した OSS について,その概要

    を紹介する.

    ◆図 -5 ツリーマップの階層表示◆

    (Fig.5-Hierarchicaldisplayofthetreemap)

    フロアの構成

    フロア内のセグメント構成

    セグメント内の機器構成

    より詳細に

    より詳細に

    ◆図 -6 フロアマップとツリーマップの連携動作◆

    (Fig.6-Linkingthefloormapandthetreemap)

    対応するフロアマップ上の端末をハイライト表示

  • 24

    オフィス・ネットワークの見える化~横浜本社での社内実践事例~

    PFU Tech. Rev., 26, 1, (09,2015)

    (1) Elasticsearch

    分散型の全文検索サーバであり,スキーマフリー,リ

    アルタイム検索,REST API注3)などの特徴を持つ.

    見える化サーバ上で Elasticsearch を動作させ,収

    集した各種情報を登録し,管理している.

    (2) Fluentd

    各種 OSS などからログデータの収集と加工を行い,

    他のソフトウェアへデータ出力するソフトウェアであ

    る.プラグインを追加することで,未対応のログの収集

    と加工も可能である.

    見える化サーバでは,ログとイベントデータの

    収集とデータ変換を行う独自プラグインを追加し,

    Elasticsearch へのデータ登録を行っている.

    (3) Kibana

    Elasticsearch の検索機能を使用して,ウェブブラ

    ウザ上に様々なチャートやテーブルを作成できるログ可

    視化ツールである.

    各 UI のウェブコンテンツに Kibana 機能を組み込ん

    で各種チャートの生成に使用している.

    (4) WebGL Globe

    WebGLをサポートしたウェブブラウザ上で各種デー

    タを地球儀に表示させるソフトウェアである.GPU ア

    クセラレーション可能な WebGL 対応ブラウザであれ

    ば,非常に滑らかな 3D グラフィック表示が可能である.

    WebGL Globe を機能拡張し,Elasticsearch との

    連携と各種アニメーション効果やテーブル表示機能の追

    加によって,3D 地球儀を実現した.

    注3) あるプログラム(ソフトウェア)が保持する機能やデータを,外部のプログラムから呼び出して利用するための規約の種類の一つで,REST と呼ばれる設計原則に従ったもの.

    5 むすび本システム開発の取り組みにより,各種ネットワーク

    管理装置から取得した情報を統合し,位置情報を含めて

    横断的に見せる基本的な技術を確立し,PFU 横浜本社

    オフィスのネットワーク環境に適用し,社内実践した.

    本見える化システムの一部は,2015 年に開催された

    「情報セキュリティ EXPO(春)」や PFU の製品及び

    技術を紹介する「PFU IT Fair」などの社外展示会場

    でデモ展示を行った.また,社内でもビジネス推進のた

    めのツールとして使用したいという要望があり,企業内

    ネットワークの脅威監視用ツールとして活用することも

    検討され始めている.

    今後は,無線 LAN 接続端末への対応や横浜本社オ

    フィス以外の事業所への展開など,社内運用での実用性

    を高めるための機能追加と改善に取り組む予定である.

    今回の取り組みで培った技術とノウハウを生かして,

    さらに付加価値を高めた情報を見せる技術を追求し,ビ

    ジネス支援ツールや新製品への応用と展開を検討してい

    く.

    参考文献参1) iNetSec シリーズ紹介ホームページ http://www.pfu.fujitsu.com/inetsec/

    参2) 中山,伊藤,青木:多様化する IT 資産をトータルに管理するiNetSec Smart Finder, PFU Tech.Rev.,21,2,pp.1-7(2010)

    参3) 大浴ほか : 標的型サイバー攻撃・内部対策アプライアンス「iNetSec Intra Wall」, PFU Tech.Rev.,25,2,pp.1-7(2014)

    参4) IPCOM シリーズ紹介ホームページ http://fenics.fujitsu.com/products/ipcom/

    参5) カラーイメージスキャナ ScanSnap(スキャンスナップ)紹介ホームページ

    http://scansnap.fujitsu.com/jp/

    参6) 業務用スキャナ fi シリーズ紹介ホームページ http://imagescanner.fujitsu.com/jp/

    参7) Scanner Central Admin 紹介ホームページ http://imagescanner.fujitsu.com/jp/concept/sca/