JP2006184936A - Information system setting device, information system setting method and program - Google Patents
Information system setting device, information system setting method and program Download PDFInfo
- Publication number
- JP2006184936A JP2006184936A JP2004374586A JP2004374586A JP2006184936A JP 2006184936 A JP2006184936 A JP 2006184936A JP 2004374586 A JP2004374586 A JP 2004374586A JP 2004374586 A JP2004374586 A JP 2004374586A JP 2006184936 A JP2006184936 A JP 2006184936A
- Authority
- JP
- Japan
- Prior art keywords
- information
- policy
- property
- setting
- acquired
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 42
- 238000012545 processing Methods 0.000 claims abstract description 110
- 230000008569 process Effects 0.000 claims description 28
- 238000003860 storage Methods 0.000 claims description 10
- 238000007726 management method Methods 0.000 description 77
- 230000010365 information processing Effects 0.000 description 12
- 230000004044 response Effects 0.000 description 8
- 238000004458 analytical method Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 238000012550 audit Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- OKTJSMMVPCPJKN-UHFFFAOYSA-N Carbon Chemical compound [C] OKTJSMMVPCPJKN-UHFFFAOYSA-N 0.000 description 2
- 241000700605 Viruses Species 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 229910052799 carbon Inorganic materials 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 101100365087 Arabidopsis thaliana SCRA gene Proteins 0.000 description 1
- 101100438139 Vulpes vulpes CABYR gene Proteins 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000009385 viral infection Effects 0.000 description 1
Images
Abstract
Description
この発明は、情報セキュリティポリシーに従った情報システムの設定を行う情報システム設定装置などに関する。 The present invention relates to an information system setting device for setting an information system according to an information security policy.
特別な専門知識を必要とすることなく、情報システムにおけるセキュリティの状態を管理可能にする様々な技術が提案されている。例えば、ドキュメントに対するセキュリティポリシーを所定の記述形式に従って電子的に記述することにより、情報システム全体に一貫したセキュリティポリシーを共有させ、例えばドキュメントのタイプ(カテゴリ、レベル)に応じて、どのようなユーザタイプ(カテゴリ、レベル)がドキュメントに対してどのようなオペレーションが可能なのか、オペレーションが可能な場合にはどのような要件を満たさなければならないかといった事項を、明確に記述できるようにしたシステムが提案されている(例えば特許文献1)。
また、アクセス制御を行うときに取得する情報を利用してアクセス制御ポリシーを作成し、そのアクセス制御ポリシーに基づいてファイルアクセス要求の正当性を判定することで、アクセス制御ポリシーを自動的に設定可能とし、特別な知識を有していなくても構築可能なアクセス制御システムが提案されている(例えば特許文献2)。
さらに、被管理対象システムのセキュリティ状態を情報セキュリティポリシーに整合するように制御する管理部や、被管理対象システムの情報セキュリティポリシーに関わるセキュリティの状態を監査する監査部を、複数用意して、抽出した管理部に対応する被管理対象システムのセキュリティ状態を対応する情報セキュリティポリシーに整合するように変更させたり、抽出した監査部に対応する被管理対象システムの情報セキュリティポリシーに関わるセキュリティ状態を監査するシステムが提案されている(例えば特許文献3)。
加えて、 複数のセキュリティポリシーを格納しておき、例えばモバイル機器といった情報処理装置がLANに接続されているかどうかといった、モバイル機器の動作の環境または状況に従ったセキュリティポリシーを選択して、情報処理装置の安全性を判定するシステムが提案されている(例えば特許文献4)。
特許文献1に記載の技術はドキュメントに対するオペレーションでの安全性を確保するためのものであり、特許文献2に記載の技術はファイルアクセスにおける安全性を確保するためのものである。特許文献3に記載の技術では、操作者が選択した情報セキュリティポリシーに対して抽出されたセキュリティ管理プログラムを起動するだけである。このように、特許文献1乃至3に記載の技術では、セキュリティポリシーを設定可能な対象が限定されたり、アクセス要求を行うクライアント端末の種類や環境に応じたセキュリティポリシーに従って柔軟にシステム設定を行うことが困難であるなどの問題があった。 The technique described in Patent Document 1 is for ensuring the safety in the operation for the document, and the technique described in Patent Document 2 is for ensuring the safety in file access. In the technique described in Patent Document 3, only the security management program extracted for the information security policy selected by the operator is activated. As described above, in the technologies described in Patent Documents 1 to 3, the targets to which a security policy can be set are limited, and the system setting is flexibly performed according to the security policy corresponding to the type and environment of the client terminal that makes an access request. There were problems such as being difficult.
また、特許文献4に記載の技術では、情報処理装置が置かれている環境(例えばオフィス内LANでの接続であるか、オフィス外ネットワークでの接続であるかなど)に従ったセキュリティポリシーを選択することは可能であるが、情報処理端末の種類(例えばノートパソコンであるか、PDAであるか、携帯電話機であるかなど)に応じたセキュリティポリシーに従ってシステム設定を行うことはできなかった。 In the technique described in Patent Document 4, the security policy is selected according to the environment in which the information processing apparatus is placed (for example, whether the connection is in the office LAN or the connection in the network outside the office). However, the system setting cannot be performed according to the security policy corresponding to the type of information processing terminal (for example, whether it is a notebook personal computer, a PDA, or a mobile phone).
情報処理技術の進展に伴い、情報システムにアクセス可能なクライアント端末となる情報処理装置が多様化している。そして、情報システムにアクセスする利用者が同一であっても、クライアント端末となる情報処理装置が異なれば、情報管理の安全性も異なるものとなる。そのため、クライアント端末となる情報処理装置に応じたセキュリティポリシーに従って柔軟なシステム設定を行う必要性が高まっている。また、情報システムにアクセスする利用者の所属部署や役職等といった利用者の属性に応じて、アクセス可能な情報資源を変更可能に設定することが望まれている。 As information processing technology advances, information processing apparatuses serving as client terminals that can access information systems are diversifying. Even if the user accessing the information system is the same, if the information processing apparatus serving as the client terminal is different, the safety of information management will be different. For this reason, there is an increasing need to perform flexible system settings in accordance with a security policy corresponding to an information processing apparatus serving as a client terminal. In addition, it is desired to set accessible information resources so that they can be changed according to user attributes such as departments and positions of users who access the information system.
この発明は、上記実状に鑑みてなされたものであり、情報セキュリティポリシーに従ったシステム設定を、クライアント端末の種類を含めた利用者の環境に合わせて動的に行うことができる情報セキュリティポリシー管理システムなどを提供することを目的とする。 The present invention has been made in view of the above circumstances, and information security policy management capable of dynamically performing system settings according to the information security policy in accordance with the user environment including the type of client terminal. The purpose is to provide a system.
上記目的を達成するため、この発明の第1の観点に係る情報システム設定装置は、
情報セキュリティポリシーに従った情報システムの設定を行う情報システム設定装置であって、
情報セキュリティポリシーを記述したポリシー情報を格納するポリシー管理データベースと、
利用者の属性情報を取得する属性情報取得手段と、
前記情報システムに対するアクセス要求を発信した端末装置のプロパティ情報を取得する端末プロパティ情報取得手段と、
前記情報システムを構成する各機器のプロパティ情報を取得するシステムプロパティ情報取得手段と、
前記属性情報取得手段により取得した属性情報と前記端末プロパティ情報取得手段により取得した端末装置のプロパティ情報とに基づいて、前記ポリシー管理データベースに格納されたポリシー情報を読み出すポリシー情報読出手段と、
少なくとも前記ポリシー情報読出手段により読み出されたポリシー情報と前記システムプロパティ情報取得手段により取得したシステムプロパティ情報とに基づいて、前記情報システムの設定情報を作成することにより、前記情報システムの設定を行う設定制御手段とを備える、
ことを特徴とする。
In order to achieve the above object, an information system setting device according to the first aspect of the present invention provides:
An information system setting device for setting an information system according to an information security policy,
A policy management database that stores policy information describing information security policies;
Attribute information acquisition means for acquiring user attribute information;
Terminal property information acquisition means for acquiring property information of a terminal device that has transmitted an access request to the information system;
System property information acquisition means for acquiring property information of each device constituting the information system;
Policy information reading means for reading out the policy information stored in the policy management database based on the attribute information acquired by the attribute information acquisition means and the property information of the terminal device acquired by the terminal property information acquisition means;
The information system is set by creating setting information of the information system based on at least the policy information read by the policy information reading means and the system property information acquired by the system property information acquisition means. Comprising setting control means,
It is characterized by that.
この構成によれば、ポリシー情報読出手段が、属性情報取得手段により取得した属性情報と端末プロパティ情報取得手段により取得した端末装置のプロパティ情報とに基づいて、ポリシー管理データベースに格納されたポリシー情報を読み出す。そして、設定制御手段が、ポリシー情報読出手段により読み出されたポリシー情報とシステムプロパティ情報取得手段により取得したシステムプロパティ情報とに基づいて、情報システムの設定を行うことができる。
これにより、情報システムに対するアクセス要求を発信した端末装置のプロパティ情報や利用者の属性情報に対応する情報セキュリティポリシーに従った情報システムの設定が可能になり、端末装置の種類を含めた環境に応じた情報セキュリティポリシーに従って、情報システムの設定を柔軟に行うことができる。
According to this configuration, the policy information reading unit is configured to retrieve the policy information stored in the policy management database based on the attribute information acquired by the attribute information acquisition unit and the property information of the terminal device acquired by the terminal property information acquisition unit. read out. The setting control means can set the information system based on the policy information read by the policy information reading means and the system property information acquired by the system property information acquisition means.
This makes it possible to set the information system according to the information security policy corresponding to the property information of the terminal device that sent the access request to the information system and the attribute information of the user, and depending on the environment including the type of the terminal device The information system can be flexibly set according to the information security policy.
前記ポリシー管理データベースは、前記情報システムの構成とは独立した情報セキュリティポリシーを記述したメインポリシー情報と、前記メインポリシー情報にて参照されて前記情報システムの設定に関する条件または動作ルールを記述したサブポリシー情報を、前記ポリシー情報として格納してもよい。 The policy management database includes main policy information describing an information security policy independent of the configuration of the information system, and a sub-policy describing conditions or operation rules related to settings of the information system that are referred to by the main policy information Information may be stored as the policy information.
前記ポリシー情報読出手段が前記ポリシー管理データベースから読み出したポリシー情報を解析して、当該ポリシー情報の関連情報を取得する関連情報取得手段を備え、
前記設定制御手段は、前記関連情報取得手段により取得した関連情報に基づいて、前記情報システムの設定を行うことが望ましい。
The policy information reading means comprises the related information acquisition means for analyzing the policy information read from the policy management database and acquiring the related information of the policy information,
It is desirable that the setting control unit sets the information system based on the related information acquired by the related information acquisition unit.
前記ポリシー情報読出手段は、前記端末プロパティ情報取得手段により取得した端末装置のプロパティ情報に基づいて、前記ポリシー管理データベースから読み出すポリシー情報を決定する手段を含んでもよい。 The policy information reading means may include means for determining policy information to be read from the policy management database based on the property information of the terminal device acquired by the terminal property information acquisition means.
上記目的を達成するため、この発明の第2の観点に係る情報システム設定方法は、
情報セキュリティポリシーに従った情報システムの設定を行うコンピュータによる情報システム設定方法であって、
情報セキュリティポリシーを記述したポリシー情報をポリシー管理データベースに格納するポリシー情報格納ステップと、
利用者の属性情報を取得する属性情報取得ステップと、
前記情報システムに対するアクセス要求を発信した端末装置のプロパティ情報を取得する端末プロパティ情報取得ステップと、
前記情報システムを構成する各機器のプロパティ情報を取得するシステムプロパティ情報取得ステップと、
前記属性情報取得ステップにて取得した属性情報と前記端末プロパティ情報取得ステップにて取得した端末装置のプロパティ情報とに基づいて、前記ポリシー管理データベースに格納されたポリシー情報を読み出すポリシー情報読出ステップと、
少なくとも前記ポリシー情報読出ステップにて読み出したポリシー情報と前記システムプロパティ情報取得ステップにて取得したシステムプロパティ情報とに基づいて、前記情報システムの設定情報を作成することにより、前記情報システムの設定を行う設定制御ステップとを備える、
ことを特徴とする。
In order to achieve the above object, an information system setting method according to a second aspect of the present invention includes:
An information system setting method by a computer for setting an information system according to an information security policy,
A policy information storage step for storing policy information describing an information security policy in a policy management database;
An attribute information acquisition step for acquiring user attribute information;
A terminal property information acquisition step of acquiring property information of a terminal device that has transmitted an access request to the information system;
A system property information acquisition step of acquiring property information of each device constituting the information system;
A policy information reading step for reading out the policy information stored in the policy management database based on the attribute information acquired in the attribute information acquisition step and the property information of the terminal device acquired in the terminal property information acquisition step;
The information system is set by creating setting information of the information system based on at least the policy information read in the policy information reading step and the system property information acquired in the system property information acquisition step. A setting control step,
It is characterized by that.
前記ポリシー情報読出ステップにて読み出したポリシー情報を解析して、当該ポリシー情報の関連情報を取得する関連情報取得ステップを備え、
前記設定制御ステップは、前記関連情報取得ステップにて取得した関連情報に基づいて、前記情報システムの設定を行うことが望ましい。
Analyzing the policy information read in the policy information reading step, and providing a related information acquisition step of acquiring related information of the policy information;
The setting control step preferably sets the information system based on the related information acquired in the related information acquisition step.
上記目的を達成するため、この発明の第3の観点に係るプログラムは、
情報セキュリティポリシーに従った情報システムの設定を行うコンピュータに、
情報セキュリティポリシーを記述したポリシー情報をポリシー管理データベースに格納するポリシー情報格納処理と、
利用者の属性情報を取得する属性情報取得処理と、
前記情報システムに対するアクセス要求を発信した端末装置のプロパティ情報を取得する端末プロパティ情報取得処理と、
前記情報システムを構成する各機器のプロパティ情報を取得するシステムプロパティ情報取得処理と、
前記属性情報取得処理にて取得した属性情報と前記端末プロパティ情報取得処理にて取得した端末装置のプロパティ情報とに基づいて、前記ポリシー管理データベースに格納されたポリシー情報を読み出すポリシー情報読出処理と、
少なくとも前記ポリシー情報読出処理にて読み出したポリシー情報と前記システムプロパティ情報取得処理にて取得したシステムプロパティ情報とに基づいて、前記情報システムの設定情報を作成することにより、前記情報システムの設定を行う設定制御処理と、
を実行させる。
In order to achieve the above object, a program according to the third aspect of the present invention provides:
On the computer that sets up the information system according to the information security policy,
Policy information storage processing for storing policy information describing an information security policy in a policy management database;
Attribute information acquisition processing for acquiring user attribute information;
Terminal property information acquisition processing for acquiring property information of a terminal device that has transmitted an access request to the information system;
System property information acquisition processing for acquiring property information of each device constituting the information system;
A policy information reading process for reading out the policy information stored in the policy management database based on the attribute information acquired in the attribute information acquisition process and the property information of the terminal device acquired in the terminal property information acquisition process;
The information system is set by creating setting information of the information system based on at least the policy information read by the policy information reading process and the system property information acquired by the system property information acquisition process. Setting control processing;
Is executed.
また、前記コンピュータに、
前記ポリシー情報読出処理にて読み出したポリシー情報を解析して、当該ポリシー情報の関連情報を取得する関連情報取得処理をさらに実行させ、
前記設定制御処理では、前記関連情報取得処理にて取得した関連情報に基づいて、前記情報システムの設定を行うことが望ましい。
In addition, the computer
Analyzing the policy information read in the policy information reading process, further executing a related information acquisition process for acquiring related information of the policy information,
In the setting control process, it is preferable to set the information system based on the related information acquired in the related information acquisition process.
この発明によれば、情報セキュリティポリシーに従ったシステム設定を、情報システムに対するアクセス要求を発信した端末装置の種類を含めた利用者の環境に合わせて柔軟に行うことができる。 According to the present invention, the system setting according to the information security policy can be flexibly performed according to the environment of the user including the type of the terminal device that has transmitted the access request to the information system.
以下に、この発明の実施の形態に係るポリシー管理装置100について説明する。図1には、ポリシー管理装置100が適用される情報システム10の一構成例が示されている。図1に示す情報システム10は、例えば社内システムとして運用され、外部ネットワーク11にネットワーク接続されており、クライアント端末50からのアクセス要求を受け付ける。外部ネットワーク11は、例えばインターネットや移動体通信網、公衆回線網などの一般的な電気通信ネットワークであればよい。
The
クライアント端末50は、例えばデスクトップパソコンやノートパソコン、PDA(Personal Digital Assistants)、携帯電話機などといった、各種の情報を処理するソフトウェアプログラムを実行可能な情報処理装置であり、アクセスポイント20に接続することにより外部ネットワーク11を介して情報システム10にアクセスしたり、情報システム10が備えるスイッチ120に接続されたりする。すなわち、クライアント端末10は、情報システム10の外部にある場合もあれば、情報システム10の内部にある場合もある。
The
社内システムとして運用される情報システム10は、業務システム15と、ファイアウォール111と、スイッチ120と、検疫システム300とを備えている。情報システム10を構成するこれらの各機器は、例えばLANケーブルあるいは無線通信などを用いて相互にネットワーク接続が可能とされている。また、情報システム10は、VPN(Virtual Private Network)を用いて構築された仮想的な内部ネットワークシステムであってもよい。その他、情報システム10は、例えばルータやブリッジ、リピータ、ハブ、ネットワークストレージ、ファックス、プリンタ、スキャナ、複合機、またはデジタル家電機器など、各種のネットワーク機器や情報処理機器を含んでいてもよい。
The
業務システム15は、ポリシー管理装置100と、利用者管理装置101と、管理者端末102と、複数のサーバ110−1〜110−Nとを備えている。
The
ポリシー管理装置100は、情報セキュリティポリシーに従った情報システム10の設定を行う情報システム設定装置としての機能を有している。ポリシー管理装置100は、例えばCPU、メモリ、ハードディスク装置などの外部記憶装置、情報システム10の内部ネットワークに接続された通信装置、キーボードやマウスなどの入力装置、ディスプレイなどの表示装置、磁気ディスクや光ディスク等の記憶媒体からデータを読み取る読取装置などを備えた一般的なワークステーション等の電子計算機におけるハードウェア構成上に、構築することができる。このポリシー管理装置100では、例えばCPUが所定の記憶装置(例えばハードディスク装置など)から読み出した所定のプログラムを実行することや、所定の記憶装置に所定のデータ構造を有するファイルを格納することなどにより、図2に示すような構成が実現される。図2に示すように、ポリシー管理装置100は、ポリシー登録処理部150と、ポリシー判断処理部151と、システム設定作成処理部152と、ポリシー管理データベース153と、システム情報データベース154とを備えている。
The
ポリシー登録処理部150は、管理者端末102から取得した情報に基づいて情報セキュリティポリシーの登録を行う。例えば、ポリシー登録処理部150は、管理者端末102との通信を行うことにより、所定のポリシー記述言語で情報セキュリティポリシーが記載されたポリシー情報を取得し、取得したポリシー情報をポリシー管理データベース153に格納する。また、ポリシー登録処理部150は、管理者端末102との通信により取得した情報や、情報システム10の内部ネットワークにおけるアクセス制御にて取得した情報に基づいて情報セキュリティポリシーを記載したポリシー情報を作成し、作成したポリシー情報をポリシー管理データベース153に格納してもよい。
The policy
ポリシー判断処理部151は、クライアント端末50からのアクセス要求もしくは管理者端末102からの要求に応答して情報システム10に適用する情報セキュリティポリシーを判断するとともに、システム設定作成処理部152によるシステム設定に必要な各種の情報を取得するための処理を実行する。例えば、ポリシー判断処理部151は、クライアントプロパティ情報取得処理部160と、利用者情報取得処理部161と、システムプロパティ情報取得処理部162と、ポリシー決定処理部163と、ポリシー情報判定処理部164とを備えている。
The policy
クライアントプロパティ情報取得処理部160は、情報システム10へのアクセス要求を発信したクライアント端末50の特性などを特定可能なクライアントプロパティ情報を、クライアント端末50などから取得する。例えば、クライアントプロパティ情報取得処理部160は、クライアント端末50からのアクセス要求があったときに、クライアント端末50の端末識別情報や環境識別情報、ソフトウェアのインストール情報などを、クライアントプロパティ情報として取得する。ここで、端末識別情報の具体例としては、クライアント端末50のIP(Internet Protocol)アドレスやMAC(Media Access Control)アドレス、携帯電話機の端末IDなどであればよい。また、環境識別情報の具体例としては、アクセスポイント20のネットワークアドレスなどであればよい。ソフトウェアのインストール情報の具体例としては、例えばクライアント端末50にインストールされているOS(Operating System)の名称やバージョン、アプリケーションプログラムの名称やバージョン、ウィルス検出ソフトの名称やバージョン、ウィルス定義ファイルのバージョンや更新日時などを特定可能な情報であればよい。
The client property information acquisition processing unit 160 acquires, from the
なお、クライアントプロパティ情報取得処理部160は、クライアント端末50の端末識別情報や環境識別情報、ソフトウェアのインストール情報を全てクライアント端末50から取得してもよいし、一部のみをクライアント端末50から取得し、その他の情報は利用者管理装置101が管理する情報のうちから取得するなどしてもよい。また、クライアントプロパティ情報取得処理部160は、クライアント端末50からのアクセス要求を受ける毎に、クライアントプロパティ情報となる端末識別情報や環境識別情報、ソフトウェアのインストール情報などを全てクライアント端末50から取得する必要はなく、例えばその一部を利用者管理装置101に保持させておくなどして、必要な情報だけをクライアント端末50から取得するようにしてもよい。さらに、クライアントプロパティ情報取得処理部160は、クライアント端末50から送られるアクセス要求のデータフォーマットなどから、例えばクライアント端末50がデスクトップパソコンであるか、ノートパソコンであるか、PDAであるか、携帯電話機であるかといった、クライアント端末50の種類を特定して、端末識別情報を作成するようにしてもよい。
Note that the client property information acquisition processing unit 160 may acquire all of the terminal identification information, environment identification information, and software installation information of the
利用者情報取得処理部161は、情報システム10へのアクセス要求をクライアント端末50から発信させた利用者について、その属性などを示す情報を取得する。例えば、利用者情報取得処理部161は、クライアント端末50からのアクセス要求があったときに、クライアント端末50から送られたユーザIDや、利用者管理装置101が管理する情報のうちで、利用者の属性を示す利用者属性情報などを取得する。ここで、利用者属性情報の具体例としては、利用者の氏名や所属部署名、役職名などを示す情報であればよい。
The user information
システムプロパティ情報取得処理部162は、情報システム10を構成する各機器の特性などを特定可能なシステムプロパティ情報を、システム情報データベース154などから取得する。例えば、システムプロパティ情報取得処理部162は、各サーバ110−1〜110−Nや、ファイアウォール111、スイッチ120といった、情報システム10を構成する各機器の機器識別情報や動作性能情報、設定要素情報などを、システムプロパティ情報として取得する。ここで、機器識別情報の具体例としては、情報システム10を構成する各機器の名称や識別番号、ネットワークアドレスなどを示す情報であればよい。また、動作性能情報の具体例としては、情報システム10を構成する各機器の型式やバージョン、インストールされているソフトウェアの名称やバージョンなどを特定可能な情報であればよい。設定要素情報の具体例としては、アクセス権の内容(例えばファイル読取の可否、ファイル編集の可否、ファイル書込の可否、プログラム実行の可否など)や、ファイルの使用内容(例えば読取の可否、編集の可否、印刷の可否、複写の可否など)、送受信する情報の内容(例えばメール送受信の可否、WEBページ閲覧の可否、実行コマンド送受信の可否、ファイル共有の可否、転送データのファイル形式、転送データの容量など)、情報を送受信する相手方や方式の指定内容(例えば電子メールの宛先、カーボンコピー先、隠蔽カーボンコピー先、開放ポート番号、閉鎖ポート番号、アドレスマスク設定、使用可能なプロトコルなど)などを特定可能な情報であればよい。
The system property information
なお、システムプロパティ情報取得処理部162は、情報システム10を構成する各機器の機器識別情報や動作性能情報、設定要素情報などを全てシステム情報データベース154から取得してもよいし、一部のみをシステム情報データベース154から取得し、その他の情報は情報システム10を構成する各機器そのものから取得してもよい。あるいは、全てのシステムプロパティ情報を、情報システム10を構成する各機器から取得するようにしてもよい。また、システムプロパティ情報取得処理部162は、情報システム10を構成する全ての機器に関するシステムプロパティ情報を取得してもよいし、クライアント端末50からの要求に応じて情報システム10にて実行すべき処理の内容に応じて、情報システム10を構成する一部の機器に関するシステムプロパティ情報を取得してもよい。
The system property information
ポリシー決定処理部163は、ポリシー管理データベース153に格納されているポリシー情報のうちで、情報システム10の設定を行うために必要となるものを決定する。例えば、ポリシー決定処理部163は、クライアントプロパティ情報取得処理部160が取得したクライアントプロパティ情報や、利用者情報取得処理部161が取得した利用者属性情報などから、情報システム10の設定を行うために必要となるポリシー情報を決定する。また、ポリシー決定処理部163は、クライアント端末50からのアクセス要求に応答して情報システム10にて実行すべき処理の内容を特定し、特定された処理内容に基づいてポリシー情報を決定してもよい。ポリシー決定処理部163によって決定されたポリシー情報は、ポリシー情報判定処理部164に通知される。
The policy
ポリシー情報判定処理部164は、ポリシー決定処理部163から通知されたポリシー情報をポリシー管理データベース153から読み出し、読み出したポリシー情報の解析を行う。そして、解析の結果から関連情報が必要か否かを判定し、必要である場合には、その関連情報を取得する。例えば、ポリシー情報判定処理部164は、クライアントプロパティ情報取得処理部160により取得したクライアントプロパティ情報や、利用者情報取得処理部161により取得した利用者属性情報、システムプロパティ情報取得処理部162により取得したシステムプロパティ情報などのうちから、関連情報として必要なものを選択して取得する。また、ポリシー情報判定処理部164は、クライアント端末50からの要求に応じて情報システム10にて実行すべき処理の内容に応じて、例えばサーバ110−1〜110−Nなどの情報システム10を構成する各機器から、ポリシー情報の関連情報を取得してもよい。ポリシー情報判定処理部164によってポリシー管理データベース153から読み出されたポリシー情報や、その関連情報は、システム設定作成処理部152に提供される。
The policy information determination processing unit 164 reads the policy information notified from the policy
システム設定作成処理部152は、ポリシー判断処理部151のポリシー情報判定処理部164より提供されたポリシー情報や、その関連情報などから、情報システム10を構成する各機器の設定内容を示す機器設定情報を作成する。例えば、システム設定作成処理部152は、ポリシー情報によって示される情報セキュリティポリシーの内容を解析し、関連情報に含まれるクライアントプロパティ情報や利用者属性情報、システムプロパティ情報などにあわせて、各サーバ110−1〜110−Nやファイアウォール111、スイッチ120などの各機器における設定内容を示す機器設定情報を作成する。そして、情報システム10を構成する各機器に機器設定情報を提供することにより、情報セキュリティポリシーに従った情報システム10の設定を可能にする。
The system setting
ポリシー管理データベース153は、ポリシー登録処理部150が管理者端末102から取得したポリシー情報を格納して管理する。ここで、ポリシー管理データベース153に格納されるポリシー情報には、情報システム10のシステム構成や各機器の設定とは独立した汎用的な情報セキュリティポリシーを定めるメインポリシー情報と、メインポリシー情報内で参照される具体的な条件や動作ルールを記述したサブポリシー情報とが含まれている。
The
システム情報データベース154は、情報システム10を構成する各機器のシステムプロパティ情報のうちの全部又は一部を格納する。システム情報データベース154に格納されたシステムプロパティ情報は、システム設定作成処理部152による機器設定情報の作成に使用することができる。
The
利用者管理装置101は、例えばワークステーションやパーソナルコンピュータなどの一般的な電子計算機としてのハードウェア構成を有するものであればよく、LDAP(Lightweight Directory Access Protocol)等の所定プロトコルに準拠したディレクトリツリーを使用するなどして、利用者に関する所定の情報を管理する。ここで、利用者管理装置101が管理する情報の具体的な一例としては、各利用者を特定するためのユーザIDや、パスワード、所属部署名や役職名、所属グループ名、情報管理に関する属性(情報提供が許可される程度など)を示す情報などであればよい。
The
管理者端末102は、例えばワークステーションやパーソナルコンピュータなどといった一般的な電子計算機としてのハードウェア構成を有するものであればよい。管理者端末102は、例えば情報システム10を管理する管理者の操作などに応答して、ポリシー情報の入力や作成を行い、ポリシー情報をポリシー管理装置100に提供する。一例として、管理者端末102では、企業のセキュリティ対策部門(情報システム部署など)にて作成された運用手順書などに従った情報セキュリティポリシーが、所定のポリシー記述言語で記載されたポリシー情報として入力される。
The
また、管理者端末102にて入力されるポリシー情報は、キーボードやマウスなどの入力装置を用いて入力されるものであってもよいし、磁気ディスクドライブや光ディスクドライブ、ICメモリインタフェースなどといった記録媒体読取装置を用いることにより、磁気ディスクや光ディスク、ICメモリなどの所定の記録媒体から読み取られるものであってもよい。あるいは、管理者端末102が所定の通信処理を実行してポリシー情報を取得するものや、管理者端末102が所定のアプリケーションプログラムを実行することによりポリシー情報が作成されるものであってもよい。
The policy information input at the
サーバ110−1〜110−Nは、例えばワークステーションやパーソナルコンピュータなどの一般的な電子計算機としてのハードウェア構成を有するものであればよく、クライアント端末50からの要求に応答して所定の情報処理を実行可能な情報処理装置として機能するものであればよい。サーバ110−1〜110−Nの具体例としては、ウェブサーバ、ファイルサーバ、メールサーバ、データベースサーバ、DRM(Digital Rights Management)サーバ、SSO(Single Sign-On)サーバ、アプリケーションサーバのうちで、少なくとも1つを含んだものであればよい。
The servers 110-1 to 110 -N only have to have a hardware configuration as a general electronic computer such as a workstation or a personal computer, and perform predetermined information processing in response to a request from the
ファイアウォール111は、保護対象となる情報システム10の内部ネットワークにおける構成等の情報を外部から隠蔽し、情報システム10の内部ネットワークと外部ネットワーク11との境界において、認証に基づくアクセス制御を実行することで、外部からの進入を防ぎつつ、正当な利用者の通信を可能にする機能を有している。
The
スイッチ120は、例えば認証機能付きのLANスイッチなどであればよく、クライアント端末50を情報システム10内の業務システム15や検疫システム300に接続可能とする設定を行う。
The
検疫システム300は、検疫サーバ30などを用いて構成され、クライアント端末50とネットワーク接続される。検疫システム300は、業務システム15とは隔離して設置されていればよい。検疫システム300に接続されたクライアント端末50は、ウィルスの感染の有無や、セキュリティ・パッチの状況、ウィルス対策ソフトの定義ファイルのバージョン及び稼働状況などが検査される。この検査の結果が情報システム10における情報セキュリティポリシーに合致する場合には、業務システム15への接続が許可される。他方、情報セキュリティポリシーに合致しない場合には、クライアント端末50を情報セキュリティポリシーに適合するように更新し、その後に業務システム15への接続を許可する。
The quarantine system 300 is configured using the
次に、上記構成におけるポリシー管理装置100の動作について説明する。このポリシー管理装置100では、ポリシー登録処理部150が管理者端末102などから取得した情報に基づいてポリシー情報をポリシー管理データベース153に格納することにより、情報セキュリティポリシーが記載されたポリシー情報が予め登録されている。
Next, the operation of the
クライアント端末50は、スイッチ120に接続されることにより、あるいは、アクセスポイント20に接続されて外部ネットワーク11を介することにより、情報システム10へのアクセス要求を発信する。ポリシー管理装置100では、このクライアント端末50からのアクセス要求に応答して、図3のフローチャートに示すような情報システム設定処理を実行する。
The
図3に示す情報システム設定処理を開始すると、まず、利用者情報取得処理部161がクライアント端末50からのアクセス情報などに基づいて利用者を判別し、そのアクセス情報や利用者管理装置101にて管理される情報から、利用者属性情報などを取得する(ステップS101)。また、クライアントプロパティ情報取得処理部160は、クライアント端末50から送られる情報や利用者管理装置101にて管理される情報から、クライアント端末50に関するクライアントプロパティ情報を取得する(ステップS102)。
When the information system setting process shown in FIG. 3 is started, first, the user information
続いて、ポリシー決定処理部163は、ステップS101にて取得した利用者属性情報や、ステップS102にて取得したクライアントプロパティ情報、あるいはクライアント端末50からのアクセス要求に応答して情報システム10にて実行すべき処理の内容などから、情報システム10の設定を行うために必要となるポリシー情報を決定する(ステップS103)。ポリシー情報判定処理部164は、ステップS103にて決定されたポリシー情報をポリシー管理データベース153から読み出して取得する(ステップS104)。ポリシー情報判定処理部164は、ポリシー管理データベース153から読み出したポリシー情報の解析を行う(ステップS105)。
Subsequently, the policy
ステップS105における解析の結果から、ポリシー情報判定処理部164は、関連情報が必要となるか否かを判定する(ステップS106)。このとき、関連情報が必要であると判定された場合には(ステップS106;Yes)、ポリシー情報の関連情報となる情報を、例えばサーバ110−1〜110−Nなどの情報システム10を構成する各機器から取得する(ステップS107)。ステップS107にて取得された関連情報は、ポリシー情報とともにシステム設定作成処理部152に提供される。他方、ステップS106にて関連情報は不要であると判別された場合には(ステップS106;No)、ステップS107の処理をスキップして、ポリシー情報のみをシステム設定作成処理部152に提供してもよい。あるいは、ステップS101にて取得した利用者属性情報や、ステップS102にて取得したクライアントプロパティ情報は、ポリシー情報の解析結果から必要とされる関連情報とは異なる情報であるとして、ポリシー情報とともにシステム設定作成処理部152に提供するようにしてもよい。
From the result of the analysis in step S105, the policy information determination processing unit 164 determines whether or not related information is necessary (step S106). At this time, if it is determined that the related information is necessary (step S106; Yes), the
また、ステップS105におけるポリシー情報の解析結果に基づき、システムプロパティ情報取得処理部162がシステム情報データベース154に格納されている情報や情報システム10を構成する各機器が保持する情報から、システムプロパティ情報を取得する(ステップS108)。ステップS108にて取得されたシステムプロパティ情報は、システム設定作成処理部152に提供される。
Further, based on the analysis result of the policy information in step S105, the system property information
この後、システム設定作成処理部152は、ポリシー判断処理部151の各構成より提供された情報から、情報システム10を構成する各機器の設定内容を示す機器設定情報を作成する(ステップS109)。そして、各機器に作成した機器設定情報を提供することにより、情報セキュリティポリシーに従った情報システム10の設定を完了させる(ステップS110)。
Thereafter, the system setting
以下に、ポリシー管理装置100が管理する情報セキュリティポリシーの具体例について説明する。まず、第1の具体例として、ドキュメントに対する情報セキュリティポリシーについて説明する。この場合、例えばサーバ110−1が文書管理システムを構成するファイルサーバであるものとする。
A specific example of the information security policy managed by the
この具体例では、ポリシー登録処理部150により、図4(A)に示すような「文書種別」に対応したメインポリシー情報と、図4(B)に示すようなサブポリシー情報とが、ポリシー管理データベース153に予め格納される。図4(A)に示すメインポリシー情報は、情報システム10における実際の構成とは独立した汎用的な内容を記述したものであり、例えば文書の種別が「極秘」に対応したメインポリシー情報M11と、文書の種別が「機密」に対応したメインポリシー情報M12とを含んでいる。図4(B)に示すサブポリシー情報は、メインポリシー情報から参照される具体的な条件を記述したものであり、例えば「所属」の条件に対応したサブポリシー情報S11と、「役職」の条件に対応したサブポリシー情報S12と、「期間」の条件に対応したサブポリシー情報S13と、「環境」の条件に対応したサブポリシー情報S14とを含んでいる。
In this specific example, the policy
また、サーバ110−1によって構成される文書管理システムでは、各文書に関連付けられる情報の一例として、図5(A)に示すような文書プロパティ情報が保持されているものとする。図5(A)に示す文書プロパティ情報は、文書管理システムによって管理される各文書に関する情報のみを記述したものであり、情報システム10や文書管理システムにおける実際の設定とは独立した内容のものであればよい。図5(A)に示す例では、「文書XXX」に対応した文書プロパティ情報DP11と、「文書YYY」に対応した文書プロパティ情報DP12と、「文書ZZZ」に対応した文書プロパティ情報DP13とが含まれている。
Also, in the document management system configured by the server 110-1, document property information as shown in FIG. 5A is held as an example of information associated with each document. The document property information shown in FIG. 5A describes only information relating to each document managed by the document management system, and has contents independent of actual settings in the
図5(B)は、システム情報データベース154に格納されるシステムプロパティ情報の一例を示している。図5(B)に示すシステムプロパティ情報は、アクセス権の内容を示す「アクセス権」のシステムプロパティ情報SP11と、ファイルの使用内容を示す「ファイルの利用」のシステムプロパティ情報SP12と、ファイアウォール111の設定内容を示す「FW設定」のシステムプロパティ情報SP13と、サーバ110−1〜110−Nに含まれるメールサーバの設定を示す「メールサーバ設定」のシステムプロパティ情報SP14とが含まれている。
FIG. 5B shows an example of system property information stored in the
次に、第2の具体例として、ネットワークに対する情報セキュリティポリシーについて説明する。この具体例では、ポリシー登録処理部150により、図6(A)に示すような「ネットワークポリシー」に対応したメインポリシー情報と、図6(B)に示すようなサブポリシー情報とが、ポリシー管理データベース153に予め格納される。図6(A)に示すメインポリシー情報も、図4(A)に示したメインポリシー情報と同様に、情報システム10における実際の構成とは独立した汎用的な内容を記述したものであればよく、例えば情報システム10の内部ネットワークで実施される「ウィルス対策」に対応したメインポリシー情報M21と、ファイアウォール111の設定に関する「FW設定」に対応したメインポリシー情報M22とが含まれている。図6(B)に示すサブポリシー情報も、図4(B)に示したサブポリシー情報と同様にメインポリシー情報から参照され、具体的な動作ルールを記述したものであり、例えば「Rule A」に対応したサブポリシー情報S21と、「Rule B」に対応したサブポリシー情報S22と、「Rule C」に対応したサブポリシー情報S23とを含んでいる。
Next, an information security policy for a network will be described as a second specific example. In this specific example, the policy
上記のような各種の情報が格納された状態で、例えばアクセスポイント20に接続したクライアント端末50から、文書の閲覧を目的とするアクセス要求があったものとする。この場合には、まず、図3に示すステップS101の処理が実行されることにより、利用者情報取得処理部161がクライアント端末50からユーザIDを取得するなどして利用者を特定し、特定した利用者の役職や所属部署を示す利用者属性情報を、利用者管理装置101から取得する。また、図3に示すステップS102の処理が実行されることにより、クライアントプロパティ情報取得処理部160がクライアント端末50に関するクライアントプロパティ情報を取得する。このとき取得されたクライアントプロパティ情報には、例えばアクセスポイント20のネットワークアドレスを示す情報などが含まれることで、クライアント端末50からのアクセスが外部ネットワーク11を介したアクセスであることを特定することができる。また、クライアントプロパティ情報には、クライアント端末50がデスクトップパソコンであるか、ノートパソコンであるか、PDAであるか、携帯電話機であるかといった、クライアント端末50の種類を示す情報も含まれている。
Assume that there is an access request for browsing a document from, for example, the
続いて、図3に示すステップS103の処理が実行されることにより、ポリシー決定処理部163は、例えば利用者属性情報から特定される利用者の役職や所属部署、クライアント端末50の種類、クライアントプロパティ情報から特定される外部ネットワーク11からのアクセスであること、また、クライアント端末50からのアクセス要求が文書の閲覧を目的とすることなどに基づいて、情報システム10の設定を行うために必要となるポリシー情報を決定する。そして、図3に示すステップS104の処理が実行されることにより、ポリシー情報判定処理部164がポリシー管理データベース153に格納されているメインポリシー情報やサブポリシー情報を取得し、図3に示すステップS105の処理が実行されることにより、ポリシー情報の解析が行われる。
Subsequently, by executing the process of step S103 shown in FIG. 3, the policy
ステップS105における解析の結果、ポリシー情報の関連情報として、例えば文書プロパティ情報が必要であると判定されれば(ステップS106;Yes)、図3に示すステップS107の処理が実行されることにより、ポリシー情報判定処理部164が、文書管理システムを構成するサーバ110−1から文書プロパティ情報を取得する。また、ステップS105におけるポリシー情報の解析結果に基づき、図3に示すステップS108の処理が実行されることにより、システムプロパティ情報取得処理部162がシステム情報データベース154などからシステムプロパティ情報を取得する。こうして取得された各種の情報は、システム設定作成処理部152に提供されて、図3のステップS108の処理が実行されることによる機器設定情報の作成に用いられる。
As a result of the analysis in step S105, if it is determined that, for example, document property information is necessary as the related information of the policy information (step S106; Yes), the process of step S107 shown in FIG. The information determination processing unit 164 obtains document property information from the server 110-1 constituting the document management system. Further, based on the analysis result of the policy information in step S105, the system property information
図7(A)〜(C)は、システム設定作成処理部152により作成される機器設定情報の具体例を示している。ここで、図7(A)は、例えば文書管理システムを構成するサーバ110−1に提供されて文書ファイルの使用に関する制限事項を定める「文書の制限」を示す機器設定情報CF11を示している。また、図7(B)は、情報システム10を構成する機器のいずれか(例えばサーバ110−1〜110−Nのいずれか)に提供されて情報システム10の内部ネットワークに関する設定を定める「ネットワーク設定」を示す機器設定情報CF12を示している。図7(C)は、例えば文書管理システムを構成するサーバ110−1に提供される「パーソナルファイアウォール」を示す機器設定情報CF13を示している。この機器設定情報CF13の提供を受けたサーバ110−1は、ファイアウォール111によるアクセス制御とは別に独自のアクセス制御を行うための設定が可能になる。
7A to 7C show specific examples of device setting information created by the system setting
また、ポリシー管理データベース153に格納されるポリシー情報は、メインポリシー情報とサブポリシー情報とから構成されるのみならず、さらに、情報システム10の仕様や情報システム10が設置される環境などに応じて、システム設定を柔軟に行うことができるように様々な組合せが可能なものとしてもよい。具体的な一例として、ポリシー管理データベース153に格納されるポリシー情報を複数の上下階層に階層化し、各階層においては、各メインポリシー情報などで記述された情報セキュリティポリシーのそれぞれを1つの要素として、複数の要素を定義できるようにしてもよい。この場合、階層の設定の仕方や各階層に含まれる要素には制限を設けず、状況に応じて適宜、様々な階層の設定や要素の組合せに対応できるものであればよい。一例として、クライアントプロパティ情報を利用してシステム設定を作成するための階層を設け、その階層よりも下位の階層に、システムプロパティ情報を利用してシステム設定を作成するための階層を設けるなどのように、一定の基準に基づいて切り分けられた各階層で複数の要素を定義可能にして階層化したポリシー情報を、ポリシー管理データベース153に格納するようにしてもよい。
The policy information stored in the
加えて、ポリシー決定処理部163の決定に基づいて、ポリシー情報判定処理部164がポリシー管理データベース153に格納されているメインポリシー情報やサブポリシー情報を読み出すときには、複数のポリシー情報を組み合わせることで階層化された1つのポリシー情報を新たに作成するようにしてもよい。この場合にも、階層の設定の仕方や各階層に含まれる要素には制限を設けず、状況に応じて適宜、階層の設定や要素の組合せを決定できるようにすればよい。一例として、ポリシー情報判定処理部164は、クライアントプロパティ情報を利用してシステム設定を作成するための階層を設け、その階層よりも下位の階層に、システムプロパティ情報を利用してシステム設定を作成するための階層を設けるなどのように、各階層を一定の基準に基づいて切り分け、各階層において複数の要素を定義できるようにしてもよい。
In addition, when the policy information determination processing unit 164 reads the main policy information and the sub policy information stored in the
このように、複数の上下階層に階層化されたポリシー情報を作成可能とすることにより、情報セキュリティポリシーを変更する際の影響を限定することができ、情報セキュリティポリシーやシステム設定の管理が容易になる。また、例えば下位の階層には上位の階層に比べてより具体的なシステム構成に応じた情報セキュリティポリシーの定義を用意して、社内の組織ごとなどの個別の設定が可能となり、情報セキュリティポリシーに従ったシステム設定のカスタム化が容易になる。さらに、ポリシー情報内での上下関係を明確化することにより、情報セキュリティポリシーの違反や矛盾を防止することができ、情報セキュリティポリシーに従ったきめ細やかな運用が可能になる。 In this way, by making it possible to create policy information layered in multiple upper and lower layers, it is possible to limit the impact when changing the information security policy, making it easy to manage information security policies and system settings Become. In addition, for example, information security policy definitions corresponding to a more specific system configuration can be prepared in the lower hierarchy compared to the upper hierarchy, and individual settings for each organization in the company can be made. This makes it easy to customize system settings. Furthermore, by clarifying the hierarchical relationship within the policy information, violations and contradictions of the information security policy can be prevented, and detailed operation according to the information security policy becomes possible.
以上説明したように、この発明によれば、クライアントプロパティ情報取得処理部160により取得したクライアントプロパティ情報などに基づいて情報システム10の設定を行うために必要となるポリシー情報を決定している。これにより、例えばクライアント端末50がデスクトップパソコンであるか、ノートパソコンであるか、PDAであるか、携帯電話機であるかといった、クライアント端末50の種類を含めた環境に応じた情報セキュリティポリシーに従って、情報システム10の設定を柔軟に行うことができる。
As described above, according to the present invention, the policy information necessary for setting the
また、システム設定作成処理部152は、ポリシー判断処理部151により取得したポリシー情報を含めた各種の情報から機器設定情報を作成する。ポリシー管理データベース153に格納されるポリシー情報は、情報システム10における実際の構成とは独立した汎用的な内容を記述したメインポリシー情報と、メインポリシー情報から参照されて具体的な条件や動作ルールを記述したサブポリシー情報とから構成されている。そして、システム情報データベース154に格納されたシステムプロパティ情報には、アクセス権の内容などを特定可能な設定要素情報が含まれている。これにより、情報セキュリティポリシーを設定可能な対象が限定されずに、情報セキュリティポリシーに従った情報システム10の設定を柔軟に行うことができ、また、個別の機器設定情報を予め全て用意しておく必要がないので、システム設定に必要な情報量を低減することができる。
The system setting
なお、上記の具体例では、ドキュメントやネットワークに対する情報セキュリティポリシーについて説明したが、この発明はこれに限定されるものではなく、例えば音楽データや映像データ、アプリケーションソフトなどといった各種の情報に対するセキュリティポリシーに従った情報システム10の設定を行う場合にも適用可能である。
In the above specific example, the information security policy for documents and networks has been described. However, the present invention is not limited to this, and the security policy for various information such as music data, video data, application software, and the like is used. The present invention can also be applied when setting the
この発明は、上記実施の形態に限定されるものではなく、様々な変形及び応用が可能である。例えば、上記実施の形態では、ポリシー管理装置100、利用者管理装置101、管理者端末102、サーバ110−1〜110−N、ファイアウォール111などが、全て独立した電子計算機としてのハードウェア構成上に構築されることにより、情報システム10を構成するものとして説明した。しかしながら、この発明はこれに限定されるものではなく、少なくとも1つの電子計算機としてのハードウェア構成上にて、上記実施の形態で説明したポリシー管理装置100、利用者管理装置101、管理者端末102、サーバ110−1〜110−N、ファイアウォール111などのいずれかと同等の処理が実行されるものであればよく、例えば1つの電子計算機としてのハードウェア構成上にて、上記実施の形態における情報システム10の各構成が構築されるものであってもよい。また、ポリシー管理装置100は、情報システム10の内部に設置されるものに限定されず、情報システム10と電気通信ネットワークを介して接続される外部の電子計算機としてのハードウェア構成上に構築されるものであってもよい。
The present invention is not limited to the above embodiment, and various modifications and applications are possible. For example, in the above-described embodiment, the
また、ポリシー管理装置100は、専用のシステムによらず、通常のコンピュータシステムを用いて実現可能である。例えば、上述の動作を実行するためのプログラムをコンピュータ読み取り可能な記録媒体(例えば磁気ディスク、光ディスク、ICメモリ等)に格納して配布し、該プログラムをコンピュータにインストールすることにより、上述の処理を実行するポリシー管理装置を構成してもよい。また、インターネット等のネットワーク上に配置された任意の情報処理装置が有する情報記憶装置にプログラムを格納しておき、例えばコンピュータにダウンロード等するようにしてもよい。
Further, the
10 情報システム
11 外部ネットワーク
20 アクセスポイント
30 検疫サーバ
50 クライアント端末
100 ポリシー管理装置
101 利用者管理装置
102 管理者端末
110−1〜110−N サーバ
111 ファイアウォール
120 スイッチ
150 ポリシー登録処理部
151 ポリシー判断処理部
152 システム設定作成処理部
153 ポリシー管理データベース
154 システム情報データベース
160 クライアントプロパティ情報取得処理部
161 利用者情報取得処理部
162 システムプロパティ情報取得処理部
163 ポリシー決定処理部
164 ポリシー情報判定処理部
300 検疫システム
DESCRIPTION OF
Claims (8)
情報セキュリティポリシーを記述したポリシー情報を格納するポリシー管理データベースと、
利用者の属性情報を取得する属性情報取得手段と、
前記情報システムに対するアクセス要求を発信した端末装置のプロパティ情報を取得する端末プロパティ情報取得手段と、
前記情報システムを構成する各機器のプロパティ情報を取得するシステムプロパティ情報取得手段と、
前記属性情報取得手段により取得した属性情報と前記端末プロパティ情報取得手段により取得した端末装置のプロパティ情報とに基づいて、前記ポリシー管理データベースに格納されたポリシー情報を読み出すポリシー情報読出手段と、
少なくとも前記ポリシー情報読出手段により読み出されたポリシー情報と前記システムプロパティ情報取得手段により取得したシステムプロパティ情報とに基づいて、前記情報システムの設定情報を作成することにより、前記情報システムの設定を行う設定制御手段とを備える、
ことを特徴とする情報システム設定装置。 An information system setting device for setting an information system according to an information security policy,
A policy management database that stores policy information describing information security policies;
Attribute information acquisition means for acquiring user attribute information;
Terminal property information acquisition means for acquiring property information of a terminal device that has transmitted an access request to the information system;
System property information acquisition means for acquiring property information of each device constituting the information system;
Policy information reading means for reading out the policy information stored in the policy management database based on the attribute information acquired by the attribute information acquisition means and the property information of the terminal device acquired by the terminal property information acquisition means;
The information system is set by creating setting information of the information system based on at least the policy information read by the policy information reading means and the system property information acquired by the system property information acquisition means. Comprising setting control means,
An information system setting device.
ことを特徴とする請求項1に記載の情報システム設定装置。 The policy management database includes main policy information describing an information security policy independent of the configuration of the information system, and a sub-policy describing conditions or operation rules related to settings of the information system that are referred to by the main policy information Storing information as the policy information;
The information system setting device according to claim 1.
前記設定制御手段は、前記関連情報取得手段により取得した関連情報に基づいて、前記情報システムの設定を行う、
ことを特徴とする請求項1または2に記載の情報システム設定装置。 The policy information reading means comprises the related information acquisition means for analyzing the policy information read from the policy management database and acquiring the related information of the policy information,
The setting control means sets the information system based on the related information acquired by the related information acquisition means.
The information system setting device according to claim 1, wherein the information system setting device is an information system setting device.
ことを特徴とする請求項1、2または3に記載の情報システム設定装置。 The policy information reading means includes means for determining policy information to be read from the policy management database based on the property information of the terminal device acquired by the terminal property information acquisition means.
The information system setting device according to claim 1, 2, or 3.
情報セキュリティポリシーを記述したポリシー情報をポリシー管理データベースに格納するポリシー情報格納ステップと、
利用者の属性情報を取得する属性情報取得ステップと、
前記情報システムに対するアクセス要求を発信した端末装置のプロパティ情報を取得する端末プロパティ情報取得ステップと、
前記情報システムを構成する各機器のプロパティ情報を取得するシステムプロパティ情報取得ステップと、
前記属性情報取得ステップにて取得した属性情報と前記端末プロパティ情報取得ステップにて取得した端末装置のプロパティ情報とに基づいて、前記ポリシー管理データベースに格納されたポリシー情報を読み出すポリシー情報読出ステップと、
少なくとも前記ポリシー情報読出ステップにて読み出したポリシー情報と前記システムプロパティ情報取得ステップにて取得したシステムプロパティ情報とに基づいて、前記情報システムの設定情報を作成することにより、前記情報システムの設定を行う設定制御ステップとを備える、
ことを特徴とする情報システム設定方法。 An information system setting method by a computer for setting an information system according to an information security policy,
A policy information storage step for storing policy information describing an information security policy in a policy management database;
An attribute information acquisition step for acquiring user attribute information;
A terminal property information acquisition step of acquiring property information of a terminal device that has transmitted an access request to the information system;
A system property information acquisition step of acquiring property information of each device constituting the information system;
A policy information reading step for reading out the policy information stored in the policy management database based on the attribute information acquired in the attribute information acquisition step and the property information of the terminal device acquired in the terminal property information acquisition step;
The information system is set by creating setting information of the information system based on at least the policy information read in the policy information reading step and the system property information acquired in the system property information acquisition step. A setting control step,
An information system setting method characterized by the above.
前記設定制御ステップは、前記関連情報取得ステップにて取得した関連情報に基づいて、前記情報システムの設定を行う、
ことを特徴とする請求項5に記載の情報システム設定方法。 Analyzing the policy information read in the policy information reading step, and providing a related information acquisition step of acquiring related information of the policy information;
The setting control step sets the information system based on the related information acquired in the related information acquisition step.
The information system setting method according to claim 5.
情報セキュリティポリシーを記述したポリシー情報をポリシー管理データベースに格納するポリシー情報格納処理と、
利用者の属性情報を取得する属性情報取得処理と、
前記情報システムに対するアクセス要求を発信した端末装置のプロパティ情報を取得する端末プロパティ情報取得処理と、
前記情報システムを構成する各機器のプロパティ情報を取得するシステムプロパティ情報取得処理と、
前記属性情報取得処理にて取得した属性情報と前記端末プロパティ情報取得処理にて取得した端末装置のプロパティ情報とに基づいて、前記ポリシー管理データベースに格納されたポリシー情報を読み出すポリシー情報読出処理と、
少なくとも前記ポリシー情報読出処理にて読み出したポリシー情報と前記システムプロパティ情報取得処理にて取得したシステムプロパティ情報とに基づいて、前記情報システムの設定情報を作成することにより、前記情報システムの設定を行う設定制御処理と、
を実行させるためのプログラム。 On the computer that sets up the information system according to the information security policy,
Policy information storage processing for storing policy information describing an information security policy in a policy management database;
Attribute information acquisition processing for acquiring user attribute information;
Terminal property information acquisition processing for acquiring property information of a terminal device that has transmitted an access request to the information system;
System property information acquisition processing for acquiring property information of each device constituting the information system;
A policy information reading process for reading out the policy information stored in the policy management database based on the attribute information acquired in the attribute information acquisition process and the property information of the terminal device acquired in the terminal property information acquisition process;
The information system is set by creating setting information of the information system based on at least the policy information read by the policy information reading process and the system property information acquired by the system property information acquisition process. Setting control processing;
A program for running
前記ポリシー情報読出処理にて読み出したポリシー情報を解析して、当該ポリシー情報の関連情報を取得する関連情報取得処理をさらに実行させ、
前記設定制御処理では、前記関連情報取得処理にて取得した関連情報に基づいて、前記情報システムの設定を行う、
ことを特徴とする請求項7に記載のプログラム。
In the computer,
Analyzing the policy information read in the policy information reading process, further executing a related information acquisition process for acquiring related information of the policy information,
In the setting control process, the information system is set based on the related information acquired in the related information acquisition process.
The program according to claim 7.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004374586A JP4640776B2 (en) | 2004-12-24 | 2004-12-24 | Information system setting device, information system setting method and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004374586A JP4640776B2 (en) | 2004-12-24 | 2004-12-24 | Information system setting device, information system setting method and program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006184936A true JP2006184936A (en) | 2006-07-13 |
| JP4640776B2 JP4640776B2 (en) | 2011-03-02 |
Family
ID=36738033
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004374586A Active JP4640776B2 (en) | 2004-12-24 | 2004-12-24 | Information system setting device, information system setting method and program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4640776B2 (en) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008102702A (en) * | 2006-10-18 | 2008-05-01 | Hitachi Software Eng Co Ltd | Security management system |
| JP2009238035A (en) * | 2008-03-27 | 2009-10-15 | Fujitsu Ltd | Firewall device, access control and sharing method, and program |
| JP2010525451A (en) * | 2007-04-16 | 2010-07-22 | マイクロソフト コーポレーション | Policy management infrastructure |
| JP2014504388A (en) * | 2010-11-18 | 2014-02-20 | 北京神州▲緑▼盟信息安全科技股▲分▼有限公司 | Security configuration verification device, security configuration verification method, and network system using the device |
| JP2014132496A (en) * | 2014-04-10 | 2014-07-17 | Hitachi Cable Networks Ltd | Quarantine network system |
| JP2014519131A (en) * | 2011-06-16 | 2014-08-07 | ヒューレット−パッカード デベロップメント カンパニー エル.ピー. | Policy generation system and method |
| JP2015005218A (en) * | 2013-06-21 | 2015-01-08 | キヤノン株式会社 | Network device management apparatus, network device management method, and program for executing network device management method |
| JP2016532957A (en) * | 2013-07-31 | 2016-10-20 | シマンテック コーポレーションSymantec Corporation | Mobile device connection control for synchronization and remote data access |
| JP2017527866A (en) * | 2014-06-28 | 2017-09-21 | マカフィー, インコーポレイテッド | Policy suggestion engine conscious of social graph |
| JP2021140333A (en) * | 2020-03-03 | 2021-09-16 | 株式会社日立製作所 | Mode switching terminal and system |
-
2004
- 2004-12-24 JP JP2004374586A patent/JP4640776B2/en active Active
Non-Patent Citations (1)
| Title |
|---|
| 河井 保博、外1名: "ポリシー・ネットへのアプローチ アクセス制御や帯域制御を容易に実現可能に", 日経インターネットテクノロジー, vol. 第27号, JPN6009061855, 22 September 1999 (1999-09-22), pages 84 - 105, ISSN: 0001477382 * |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008102702A (en) * | 2006-10-18 | 2008-05-01 | Hitachi Software Eng Co Ltd | Security management system |
| JP2010525451A (en) * | 2007-04-16 | 2010-07-22 | マイクロソフト コーポレーション | Policy management infrastructure |
| JP2009238035A (en) * | 2008-03-27 | 2009-10-15 | Fujitsu Ltd | Firewall device, access control and sharing method, and program |
| US8978134B2 (en) | 2010-11-18 | 2015-03-10 | NSFOCUS Information Technology Co., Ltd. | Security configuration verification device and method and network system employing the same |
| JP2014504388A (en) * | 2010-11-18 | 2014-02-20 | 北京神州▲緑▼盟信息安全科技股▲分▼有限公司 | Security configuration verification device, security configuration verification method, and network system using the device |
| US10536483B2 (en) | 2011-06-16 | 2020-01-14 | Hewlett Packard Enterprise Development Lp | System and method for policy generation |
| JP2014519131A (en) * | 2011-06-16 | 2014-08-07 | ヒューレット−パッカード デベロップメント カンパニー エル.ピー. | Policy generation system and method |
| JP2015005218A (en) * | 2013-06-21 | 2015-01-08 | キヤノン株式会社 | Network device management apparatus, network device management method, and program for executing network device management method |
| JP2016532957A (en) * | 2013-07-31 | 2016-10-20 | シマンテック コーポレーションSymantec Corporation | Mobile device connection control for synchronization and remote data access |
| JP2014132496A (en) * | 2014-04-10 | 2014-07-17 | Hitachi Cable Networks Ltd | Quarantine network system |
| JP2017527866A (en) * | 2014-06-28 | 2017-09-21 | マカフィー, インコーポレイテッド | Policy suggestion engine conscious of social graph |
| US10536486B2 (en) | 2014-06-28 | 2020-01-14 | Mcafee, Llc | Social-graph aware policy suggestion engine |
| JP2021140333A (en) * | 2020-03-03 | 2021-09-16 | 株式会社日立製作所 | Mode switching terminal and system |
| JP7291652B2 (en) | 2020-03-03 | 2023-06-15 | 株式会社日立製作所 | Mode switching terminal and system |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4640776B2 (en) | 2011-03-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11272030B2 (en) | Dynamic runtime interface for device management | |
| JP4305525B2 (en) | Document file, document file generation device, and document utilization method | |
| JP4821405B2 (en) | File access control device and file management system | |
| JP4676779B2 (en) | Information processing device, resource management device, attribute change permission determination method, attribute change permission determination program, and recording medium | |
| US10645122B2 (en) | System for monitoring and managing firewall devices and firewall management platforms | |
| US20070016771A1 (en) | Maintaining security for file copy operations | |
| US8701047B2 (en) | Configuration creation for deployment and monitoring | |
| US20070011749A1 (en) | Secure clipboard function | |
| JP5560691B2 (en) | Document use management system, document processing apparatus, operation authority management apparatus, document management apparatus, and program | |
| JP2010251973A (en) | Document management system | |
| JP4640776B2 (en) | Information system setting device, information system setting method and program | |
| US20180173886A1 (en) | Collaborative Database to Promote Data Sharing, Synchronization, and Access Control | |
| US20120167181A1 (en) | Image forming apparatus, image forming method and image forming system | |
| WO2013145125A1 (en) | Computer system and security management method | |
| Nasim et al. | Xacml-based access control for decentralized online social networks | |
| US7950000B2 (en) | Architecture that restricts permissions granted to a build process | |
| JP2007310822A (en) | Information processing system and information control program | |
| US20050198283A1 (en) | Managing a network using generic policy definitions | |
| JP2004046460A (en) | File management system and access control system | |
| JP2005063223A (en) | Secure file sharing method and device | |
| JP2004110549A (en) | Network system and program | |
| TW200825832A (en) | Controlling module for programs and method for the same | |
| KR101550788B1 (en) | Central electronic document management system based on cloud computing with capabilities of management and control of personal information | |
| JP2007304947A (en) | Client terminal device for editing document via network, and document editing system and program | |
| JP2020017308A (en) | Information processing apparatus and program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070316 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091201 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100201 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100323 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100618 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20100701 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100914 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101101 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101124 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101124 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4640776 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131210 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |