JP2008243172A - Access authority control system - Google Patents

Access authority control system Download PDF

Info

Publication number
JP2008243172A
JP2008243172A JP2007170200A JP2007170200A JP2008243172A JP 2008243172 A JP2008243172 A JP 2008243172A JP 2007170200 A JP2007170200 A JP 2007170200A JP 2007170200 A JP2007170200 A JP 2007170200A JP 2008243172 A JP2008243172 A JP 2008243172A
Authority
JP
Japan
Prior art keywords
file
access authority
operation log
log information
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007170200A
Other languages
Japanese (ja)
Other versions
JP4122042B1 (en
Inventor
Minoru Wani
稔 和仁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SKY Co Ltd
Original Assignee
SKY Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SKY Co Ltd filed Critical SKY Co Ltd
Priority to JP2007170200A priority Critical patent/JP4122042B1/en
Application granted granted Critical
Publication of JP4122042B1 publication Critical patent/JP4122042B1/en
Publication of JP2008243172A publication Critical patent/JP2008243172A/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide an access authority control system, making determination by referring to an operational log information of a file in determining the access authority of the file. <P>SOLUTION: This access authority control system includes: an inquiry accepting part for accepting an inquiry about user's access permission/non-permission to a file and file identification information of the file; an operational log information storage part for storing an operation log information at least to the file; an operational log information acquiring part for acquiring corresponding operation log information from the operational log storage part based on the accepted file identification information; an access permission/non-permission determination part for determining the user's access authorization to the file using at least the acquired operation log information; and a result transmission part for transmitting control instruction based on the determination result to an access control part. <P>COPYRIGHT: (C)2009,JPO&INPIT

Description

本発明は、ファイル等のアクセス権限を制御するアクセス権限制御システムに関する。特にファイルのアクセス権限の判定を行う際に、当該ファイルの操作ログ情報を参照することにより、その判定を行うアクセス権限制御システムに関する。
The present invention relates to an access authority control system that controls access authority of files and the like. In particular, the present invention relates to an access authority control system that performs the determination by referring to the operation log information of the file when determining the access authority of the file.

企業などの組織においてファイルを利用する際には、機密情報を含むファイルがあることから、各ファイル毎にアクセス権限が設定されていることが一般的である。例えば社内報のような一般的なファイルは誰が見ても特に問題がないことからアクセス権限が最も低いレベル(例えば社員全員)に設定されており、人事考課などのファイルは社員個人に対する評価などが含まれていることから人事部や担当役職者などしか見られないアクセス権限レベルに設定されており、極秘プロジェクトに係るファイルはそのプロジェクトに携わる者しかアクセスできないアクセス権限レベルに設定されている。   When a file is used in an organization such as a company, since there are files including confidential information, it is common that access authority is set for each file. For example, general files such as company newsletters are set to the lowest access level (for example, all employees) because there is no particular problem for anyone to see, and files such as personnel appraisal are evaluated for individual employees. Because it is included, it is set to an access authority level that can be seen only by the human resources department or the responsible manager, and the file related to the top secret project is set to an access authority level that can be accessed only by those who are involved in the project.

このようにファイルに対するアクセス権限の管理は非常に重要なものであり、それを自動的に管理するシステムとして、下記特許文献1及び特許文献2が存在する。   As described above, management of access authority to a file is very important, and there are Patent Document 1 and Patent Document 2 described below as systems for automatically managing the access authority.

特許文献1の発明は、ファイルであるログ情報を参照する際のアクセス権限について、ログ情報とアクセス権限とを共に記録し、そのログ情報に含まれるアクセス権限を有するユーザに対してのみ、ログ情報の参照を許可するシステムである。   The invention of Patent Document 1 records both log information and access authority with respect to access authority when referring to log information that is a file, and log information only for a user having access authority included in the log information. It is a system that permits reference to

また特許文献2の発明は、ファイルであるログ情報を参照する際のアクセス権限について、ログ情報とアクセス権限とを異なるファイルに記録しておくことによって、ログ情報を参照の際に、アクセス権限が変更されたとしてもそれが反映されるシステムである。   In the invention of Patent Document 2, the access authority when referring to log information that is a file is recorded in different files so that the access authority is referred to when referring to the log information. It is a system that reflects even if it is changed.

特開2000−29751号公報JP 2000-29751 A 特開2006−23924号公報JP 2006-23924 A

上述の特許文献1及び特許文献2のシステムを用いることによってアクセス権限に対する管理を行うことが出来る点で有益である。   It is advantageous in that the access authority can be managed by using the systems of Patent Document 1 and Patent Document 2 described above.

ところがアクセス権限の対象となるファイルの内容、例えばファイル名などが変更されてしまった場合、元のファイルのアクセス権限の確認をすることが出来ないので、そのままファイルが開けてしまう。   However, if the contents of a file subject to access authority, such as the file name, have been changed, the access authority of the original file cannot be confirmed, and the file can be opened as it is.

例えば「人事考課」というファイル名を何らかの方法により「参考ファイル」といったファイル名に変更をした上で、「参考ファイル」を開く場合には、特許文献1や特許文献2の発明を用いたとしても、「参考ファイル」に相当するアクセス権限が設定されていないので、そのファイルの内容は「人事考課」のファイルと同じ内容であるにもかかわらず、本来ならばアクセス権限がないユーザであってもそのファイルを参照できてしまう。   For example, when the “reference file” is opened after changing the file name “HR evaluation” to a file name “reference file” by some method, the inventions of Patent Document 1 and Patent Document 2 may be used. Because the access authority corresponding to the “reference file” is not set, even if the file is the same as the “Personnel Review” file, even if the user does not have access authority You can refer to the file.

このようなことを防ぐために、本来ならばアクセス権限がないユーザによるファイル名の変更などのファイルに係る処理は実行できないように設定されている。しかし例えばアクセス権限のあるユーザが当該ファイルを利用中に離席し、その間に、アクセス権限のない第三者がファイル名の変更等をしてしまう、あるいはアクセス権限のあるユーザが誤ってファイル名を変更して保存してしまう、といった可能性もある。そのような場合には従来ような方法では対応することが出来ない。   In order to prevent such a situation, processing related to a file, such as a file name change by a user who does not have access authority, cannot be executed. However, for example, a user with access authority leaves the file while using the file, and a third party without access authority changes the file name during that time, or a user with access authority mistakes the file name. May be changed and saved. In such a case, it is not possible to cope with the conventional method.

そこで本願発明者は、従来のように単にアクセス権限の確認を行うのではなく、参照しようとするファイルのログ情報を参照することでそのファイルに対する操作履歴を確認して、当該ファイルに対する処理の経過も踏まえた上でアクセス権限の判定を行うアクセス権限制御システムを発明した。   Therefore, the present inventor does not simply check the access authority as in the past, but checks the operation history for the file by referring to the log information of the file to be referred to, and the progress of the process for the file. Based on this, we invented an access authority control system that determines access authority.

請求項1の発明は、ファイルに対する操作ログ情報を用いてアクセス権限の判定を行うアクセス権限制御システムであって、前記アクセス権限制御システムは、ユーザによる前記ファイルへのアクセス可否の問い合わせと前記ファイルのファイル識別情報とを受け付ける問い合わせ受付部と、少なくともファイルに対する操作ログ情報を記憶する操作ログ情報記憶部と、前記受け付けたファイル識別情報に基づいて、対応する操作ログ情報を前記操作ログ情報記憶部から取得する操作ログ情報取得部と、前記操作ログ情報取得部における、前記受け付けたファイル識別情報に対応する操作ログ情報の取得結果に応じて、前記ユーザによる前記ファイルへのアクセス権限の判定を行うアクセス可否判定部と、前記判定結果に基づく制御指示を、ファイルに対するアクセス制御処理を実行するアクセス制御部に送信する結果送信部と、を有するアクセス権限制御システムである。   The invention of claim 1 is an access authority control system for determining access authority using operation log information for a file, the access authority control system including an inquiry about whether or not the user can access the file and the file An inquiry receiving unit that receives file identification information, an operation log information storage unit that stores at least operation log information for a file, and corresponding operation log information based on the received file identification information from the operation log information storage unit The operation log information acquisition unit to be acquired, and the access for determining the access authority to the file by the user according to the operation log information acquisition result corresponding to the received file identification information in the operation log information acquisition unit A control instruction based on the determination unit and the determination result, A result transmitting unit that transmits to the access control unit that performs an access control process for Airu, the access authorization control system having a.

本発明を用いることによって、従来のように単にアクセス権限があるかどうかを判定するのではなく、そのファイルに対する操作履歴である操作ログ情報を確認した上で処理を行うこととなる。これにより、当該ファイルに対する処理の経過も踏まえた上でアクセス権限の判定を行うことが出来る。   By using the present invention, instead of simply determining whether or not there is an access right as in the prior art, processing is performed after confirming operation log information which is an operation history for the file. As a result, the access authority can be determined in consideration of the progress of the processing for the file.

請求項2の発明において、前記アクセス可否判定部は、前記受け付けたファイル識別情報に対応する操作ログ情報を前記操作ログ情報取得部が前記操作ログ情報記憶部から取得できない場合には、アクセス権限がないと判定する、アクセス権限制御システムである。   In the invention of claim 2, the access permission determination unit has an access authority when the operation log information acquisition unit cannot acquire operation log information corresponding to the received file identification information from the operation log information storage unit. It is an access authority control system that judges that there is no.

操作ログ情報を用いたアクセス権限の判定には様々な方法があるが、本発明の方法を用いることが出来る。ファイルの操作ログ情報が存在しない場合には、ユーザが外部からUSBメモリなどの可搬型記憶媒体などによって持ち込んだファイルであることが推察される。従ってウィルスに感染したファイルや、キーロガー、ファイル交換ソフトなど本来ならば使用が許可されるべきでないファイルがユーザのクライアント端末で実行されてしまう可能性がある。しかし本発明のように操作ログ情報の存在しないファイルをアクセス権限がないとして、クライアント端末で使用不可とすることが出来るので、外部からのファイルの持ち込みを防止することが出来る。   There are various methods for determining access authority using operation log information, and the method of the present invention can be used. When the operation log information of the file does not exist, it is assumed that the file is brought in from the outside by a portable storage medium such as a USB memory. Accordingly, there is a possibility that a file infected with a virus, a file that should not be permitted to be used, such as a key logger or file exchange software, may be executed on the user's client terminal. However, as in the present invention, a file without operation log information does not have access authority and can be disabled at the client terminal, so that it is possible to prevent the file from being brought in from the outside.

請求項3の発明において、前記アクセス可否判定部は、前記操作ログ情報取得部が前記操作ログ情報記憶部から取得した操作ログ情報において、ファイル識別情報の変更を示す情報があった場合には、まず変更後のファイル識別情報を用いてアクセス権限の判定を行い、変更後のファイル識別情報でアクセス権限の判定が行えない場合には、変更前のファイル識別情報を用いてアクセス権限の判定を行う、アクセス権限制御システムである。   In the invention of claim 3, when there is information indicating a change in file identification information in the operation log information acquired by the operation log information acquisition unit from the operation log information storage unit, First, the access authority is determined using the file identification information after the change. If the access authority cannot be determined using the file identification information after the change, the access authority is determined using the file identification information before the change. , An access authority control system.

操作ログ情報を用いたアクセス権限の判定には様々な方法があるが、本発明の方法を用いることが出来る。何らかの方法によりファイル名が変更されてしまう場合がある。そのような場合には従来のアクセス権限制御の方法では、新しいファイル名でアクセス権限を設定するか、あるいは元のファイル名を新しいファイル名に変更してアクセス権限を更新するか、の方法しかない。ところがアクセス権限の設定は煩雑であるので、失念することもある。その場合には変更後の新しいファイル名にはアクセス権限が設定されておらず、誰でもがアクセスできてしまう状態となる。しかし本発明によると、操作ログ情報ではファイル名などのファイル識別情報が変更されたことの操作履歴が特定できるので、上述のような従来の作業を行わなくても済む。   There are various methods for determining access authority using operation log information, and the method of the present invention can be used. The file name may be changed by some method. In such a case, the conventional access privilege control method can only set the access privilege with a new file name, or change the original file name to a new file name and update the access privilege. . However, setting the access authority is complicated and may be forgotten. In that case, no access authority is set for the new file name after the change, and anyone can access it. However, according to the present invention, the operation log information can identify the operation history indicating that the file identification information such as the file name has been changed, so that the conventional work as described above need not be performed.

請求項4の発明において、前記アクセス権限制御システムは、更に、各ユーザのユーザ識別情報とアクセス権限レベルの情報とを少なくとも記憶するユーザ情報記憶部、を有しており、前記アクセス可否判定部は、前記操作ログ情報取得部が前記操作ログ情報記憶部から取得した操作ログ情報において、ファイル識別情報の変更を示す情報があった場合には、変更後のファイル識別情報を用いて前記ユーザ情報記憶部からアクセス権限レベルが記憶されているかを判定し、記憶されていれば該アクセス権限レベルを用いてアクセス権限の判定を行い、記憶されていなければ、変更前のファイル識別情報を用いて前記ユーザ情報記憶部に記憶されているかを判定し、それが記憶されていれば該アクセス権限レベルを用いてアクセス権限の判定を行う、アクセス権限制御システムである。   In the invention of claim 4, the access authority control system further includes a user information storage unit that stores at least user identification information and access authority level information of each user, and the access permission determination unit includes: In the operation log information acquired from the operation log information storage unit by the operation log information acquisition unit, if there is information indicating a change in file identification information, the user information storage is performed using the changed file identification information. If the access authority level is stored, the access authority level is determined using the access authority level, and if not stored, the user authority is determined using the file identification information before the change. It is determined whether it is stored in the information storage unit, and if it is stored, the access authority level is determined using the access authority level. Cormorant, which is the access authority control system.

操作ログ情報を用いたアクセス権限の判定には様々な方法があるが、本発明の方法を用いることが出来る。請求項3の発明は、本発明のように構成しても同様の効果を得ることが出来る。   There are various methods for determining access authority using operation log information, and the method of the present invention can be used. The invention of claim 3 can obtain the same effect even if it is configured as in the present invention.

請求項5の発明において、前記問い合わせ受付部は、前記問い合わせの際に、更に、前記ファイルの作成日時または更新日時の情報を受け付け、前記アクセス可否判定部は、前記取得した操作ログ情報におけるファイルの作成日時または更新日時の情報と、前記問い合わせ受付部で受け付けたファイルの作成日時または更新日時の情報とを比較し、それらが一致しているか否かによりアクセス権限の判定を行う、アクセス権限制御システムである。   In the invention of claim 5, the inquiry receiving unit further receives information on the creation date / time or update date / time of the file at the time of the inquiry, and the access permission determination unit is configured to determine whether the file in the acquired operation log information An access authority control system that compares information on creation date / time or update date / time with information on file creation date / time or update date / time received by the inquiry reception unit, and determines access authority based on whether or not they match. It is.

操作ログ情報を用いたアクセス権限の判定には様々な方法があるが、本発明の方法を用いることが出来る。受け取ったファイルの作成日時や更新日時の情報が、ファイルの操作ログ情報における当該ファイルの作成日時や更新日時の情報と一致しない場合には、クライアント端末以外で何らかの操作が行われたと推察される。そして操作後のファイルを、ユーザが外部からUSBメモリなどの可搬型記憶媒体などによって持ち込んだことが推察される。従ってウィルスに感染したファイルである可能性がある。しかし本発明のように操作ログ情報の存在しないファイルをアクセス権限がないとして、クライアント端末で使用不可とすることが出来るので、外部からのファイルの持ち込みを防止することが出来る。   There are various methods for determining access authority using operation log information, and the method of the present invention can be used. If the received file creation date and update date information does not match the file creation date and update date information in the file operation log information, it is inferred that some operation other than the client terminal has been performed. And it is guessed that the user brought the file after the operation from the outside with a portable storage medium such as a USB memory. Therefore, the file may be infected with a virus. However, as in the present invention, a file without operation log information does not have access authority and can be disabled at the client terminal, so that it is possible to prevent the file from being brought in from the outside.

請求項6の発明において、前記アクセス可否判定部は、ユーザ識別情報毎にアクセス権限の判定方法を記憶しており、前記問い合わせ受付部で受け付けたユーザ識別情報に基づいて、アクセス権限の判定方法を特定する、アクセス権限制御システムである。   In the invention of claim 6, the access permission determination unit stores an access authority determination method for each user identification information, and the access authority determination method is based on the user identification information received by the inquiry reception unit. It is an access authority control system to identify.

アクセス権限の判定には上述の各判定方法を用いることが出来るが、それに限定はされず、複数の判定方法を用いるようにしても良い。そしてその場合には、各ユーザ毎に判定方法を変更可能としても良い。例えばUSBメモリなどにより外部からのファイル持ち込みの経歴があるユーザの場合にはそのような状況を判定可能な判定方法(例えば請求項1の発明の方法など)とし、単にアクセス権限レベルの判定を簡素化したい場合にはそれを判定可能な判定方法としても良い。   Although the above-described determination methods can be used for the determination of access authority, the present invention is not limited to this, and a plurality of determination methods may be used. In that case, the determination method may be changed for each user. For example, in the case of a user who has a history of bringing files from the outside using a USB memory or the like, a determination method that can determine such a situation (for example, the method of the invention of claim 1) is used, and the determination of the access authority level is simply simplified When it is desired to make it, it may be a determination method capable of determining it.

請求項7の発明において、前記アクセス制御部は、前記結果送信部から受け取った制御指示に基づいて前記ファイルの制御を行う、アクセス権限制御システムである。   8. The access authority control system according to claim 7, wherein the access control unit controls the file based on a control instruction received from the result transmission unit.

クライアント端末は、管理サーバからの制御指示に基づいて、ファイルの制御を行うことが望ましい。   The client terminal desirably performs file control based on a control instruction from the management server.

請求項9の発明は、少なくともファイルに対する操作ログ情報を記憶装置に記憶しているコンピュータを、ユーザによる前記ファイルへのアクセス可否の問い合わせと前記ファイルのファイル識別情報とを受け付ける問い合わせ受付部、前記受け付けたファイル識別情報に基づいて、対応する操作ログ情報を前記記憶装置から取得する操作ログ情報取得部、前記操作ログ情報取得部における、前記受け付けたファイル識別情報に対応する操作ログ情報の取得結果に応じて、前記ユーザによる前記ファイルへのアクセス権限の判定を行うアクセス可否判定部、前記判定結果に基づく制御指示を、ファイルに対するアクセス制御処理を実行するアクセス制御部に送信する結果送信部、として機能させるアクセス権限制御プログラムである。   According to a ninth aspect of the present invention, there is provided an inquiry reception unit for receiving an inquiry as to whether or not a user can access the file and file identification information of the file, wherein the computer stores at least operation log information for the file in a storage device. Based on the file identification information, the operation log information acquisition unit for acquiring the corresponding operation log information from the storage device, and the operation log information acquisition result corresponding to the received file identification information in the operation log information acquisition unit Accordingly, an access permission determination unit that determines access authority to the file by the user, and a result transmission unit that transmits a control instruction based on the determination result to an access control unit that executes an access control process for the file. This is an access authority control program to be executed.

本発明のプログラムを所定のコンピュータ上で実行することで、上述のアクセス権限制御システムが実現できる。   By executing the program of the present invention on a predetermined computer, the above-mentioned access authority control system can be realized.

本発明によって、従来のように単にアクセス権限の判定を行うのではなく、参照しようとするファイルのログ情報を参照することでそのファイルに対する操作履歴を確認して、当該ファイルに対する処理の経過も踏まえた上でアクセス権限の判定を行うこととなる。これによって、例えばアクセス権限のあるユーザが誤ってファイル名を変更して保存してしまった場合などであっても、ログ情報の操作履歴から元のファイル名を確認することが出来るので、アクセス権限のないユーザによるファイルの参照を防止することが出来る。
According to the present invention, instead of simply determining access authority as in the past, the operation history for the file is confirmed by referring to the log information of the file to be referred to, and the progress of processing for the file is also taken into consideration In addition, the access authority is determined. This allows you to check the original file name from the operation history of the log information, even if a user with access rights accidentally changes and saves the file name. It is possible to prevent a user who does not have a file from being referred to.

本発明の全体の概念図を図1に、システム構成の概念図を図2に示す。本発明のアクセス権限制御システム1の説明においては、ユーザがクライアント端末3で何らかのファイルやフォルダ(本明細書ではこれらを総称して「ファイル」と称する)の情報にアクセスする(ファイルを開くなど)際に、管理サーバ2において当該ユーザが当該ファイルに対してアクセス権限があるかを判定し、その結果をユーザが利用するクライアント端末3に返す場合を説明する。   FIG. 1 shows an overall conceptual diagram of the present invention, and FIG. 2 shows a conceptual diagram of a system configuration. In the description of the access authority control system 1 of the present invention, the user accesses information on any file or folder (generically referred to as “file” in this specification) on the client terminal 3 (opens a file, etc.). At this time, a case will be described in which it is determined whether or not the user has access authority to the file in the management server 2 and the result is returned to the client terminal 3 used by the user.

管理サーバ2においては、問い合わせ受付部4と操作ログ情報記憶部5と操作ログ情報取得部6とユーザ情報記憶部7とアクセス可否判定部8と結果送信部9とを有する。なお管理サーバ2は、ユーザが利用するクライアント端末3と情報の送受信が可能である。また図1及び図2ではクライアント端末3を一台しか図示していないが、実際は複数のクライアント端末3が存在している。   The management server 2 includes an inquiry reception unit 4, an operation log information storage unit 5, an operation log information acquisition unit 6, a user information storage unit 7, an access permission determination unit 8, and a result transmission unit 9. The management server 2 can exchange information with the client terminal 3 used by the user. Although only one client terminal 3 is shown in FIGS. 1 and 2, there are actually a plurality of client terminals 3.

なお本発明に於ける各手段は、その機能が論理的に区別されているのみであって、物理上あるいは事実上は同一の領域を為していても良い。又各記憶手段(記憶部)の記憶方式としては、データベース、データファイルなど様々な方式を用いることが出来る。   The means in the present invention are only logically distinguished in function, and may be physically or virtually the same area. Further, as a storage method of each storage means (storage unit), various methods such as a database and a data file can be used.

問い合わせ受付部4は、クライアント端末3においてユーザがファイルへのアクセスを行う際に、クライアント端末3から当該ユーザが当該ファイルへのアクセス権限を有しているかの問い合わせを受け付ける。なおクライアント端末3においてファイルへのアクセスを行う場合にはクライアント端末3から当該問い合わせを受け付けるが、ファイルサーバにあるファイルにユーザがクライアント端末3からアクセスしようとする場合、当該クライアント端末3またはファイルサーバから問い合わせを受け付けても良い。この問い合わせの際に、クライアント端末3やファイルサーバなどの所定のコンピュータ端末からは、ユーザがアクセスしようとするファイルの識別情報(ファイル名など)、ユーザの識別情報(ユーザ名、ログイン名など)をあわせて受け取る。   The inquiry reception unit 4 receives an inquiry from the client terminal 3 as to whether or not the user has access authority to the file when the user accesses the file at the client terminal 3. When the client terminal 3 accesses a file, the inquiry is accepted from the client terminal 3, but when the user tries to access a file in the file server from the client terminal 3, the client terminal 3 or the file server Inquiries may be accepted. At the time of this inquiry, from a predetermined computer terminal such as the client terminal 3 or the file server, the identification information (file name etc.) of the file to be accessed by the user and the user identification information (user name, login name, etc.) are obtained. Receive together.

操作ログ情報記憶部5は、クライアント端末3で参照可能なファイルに対する操作のログ情報を記憶している。例えばファイル名、ファイルの作成者(ファイル作成者の識別情報)、作成日時、編集者(ファイル編集者の識別情報)、編集日時、ファイルの新規作成、ファイル更新、ファイル削除、ファイル名の変更、アクセス権限の変更、コピーの作成、ファイルの移動など、当該ファイルに対する操作ログ情報を記憶している。これらの操作ログ情報は、各クライアント端末3におけるユーザによる操作などを記録しておき、各クライアント端末3が定期的にまたは不定期に管理サーバ2に送信し、それを管理サーバ2で取得することで、操作ログ情報記憶部5に記憶される。操作ログ情報記憶部5では、各操作ログ情報を各クライアント端末3毎に記憶しておくことが好ましい。   The operation log information storage unit 5 stores operation log information for a file that can be referred to by the client terminal 3. For example, file name, file creator (identification information of file creator), creation date / time, editor (identification information of file editor), editing date / time, new file creation, file update, file deletion, file name change, Stores operation log information for the file, such as access authority change, copy creation, and file movement. These operation log information records operations performed by the user at each client terminal 3, and each client terminal 3 transmits to the management server 2 regularly or irregularly, and acquires it by the management server 2. And stored in the operation log information storage unit 5. The operation log information storage unit 5 preferably stores each operation log information for each client terminal 3.

なお操作ログ情報記憶部5では、各クライアント端末3において、様々なファイルの操作が行われたその操作履歴を操作ログ情報として記憶している。   The operation log information storage unit 5 stores, as operation log information, operation histories of operations performed on various files in each client terminal 3.

操作ログ情報取得部6は、問い合わせ受付部4において問い合わせを受け付けた際に、ファイルの識別情報に基づいて操作ログ情報記憶部5を参照し、当該ファイルに対する操作ログ情報を操作ログ情報記憶部5から取得する。なお、可搬型記憶媒体やハードディスクなどのハードウェアにおけるユニークID(個体識別情報)を操作ログ情報の一部として取得して操作ログ情報記憶部5に記憶させておき、問い合わせ受付部4において問い合わせを受け付けた際にファイル識別情報とユニークIDとを受け付けることで、それらを用いて操作ログ情報記憶部5を参照することで、当該ファイルに対する操作ログ情報を取得するように構成しても良い。   When the inquiry reception unit 4 receives an inquiry, the operation log information acquisition unit 6 refers to the operation log information storage unit 5 based on the file identification information, and the operation log information storage unit 5 stores the operation log information for the file. Get from. A unique ID (individual identification information) in hardware such as a portable storage medium or a hard disk is acquired as part of the operation log information and stored in the operation log information storage unit 5, and an inquiry is received in the inquiry reception unit 4. When the file identification information and the unique ID are received, the operation log information for the file may be acquired by referring to the operation log information storage unit 5 using them.

ユーザ情報記憶部7は、ユーザ毎の属性情報、例えばユーザ名やログイン名などのユーザ識別情報、アクセス権限レベル、所属などの情報を記憶している。なおアクセス権限レベルは各ユーザ毎に一つであっても良いし、ファイル毎に記憶されていても良い。   The user information storage unit 7 stores attribute information for each user, for example, user identification information such as a user name and login name, information such as an access authority level and affiliation. The access authority level may be one for each user, or may be stored for each file.

アクセス可否判定部8は、操作ログ情報取得部6で取得した操作ログ情報を用いて(好適には更に、問い合わせ受付部4で受け付けた当該ユーザの識別情報を用いて)、当該ファイルに対して当該ユーザがアクセス権限があるかを判定する。この判定には様々な方法があるが、例えば下記の4種類の方法がある。なお以下の各判定方法において、操作ログ情報でどのような操作が行われたかは、予めOSなどで決まっているので、その操作を識別する識別情報により、どのような操作が行われたかを特定することが出来る。   The access permission determination unit 8 uses the operation log information acquired by the operation log information acquisition unit 6 (preferably further using the identification information of the user received by the inquiry reception unit 4) for the file. It is determined whether the user has access authority. There are various methods for this determination. For example, there are the following four methods. In each of the following judgment methods, what operation is performed in the operation log information is determined in advance by the OS, etc., so it is specified what operation has been performed by identification information for identifying the operation. I can do it.

第1の方法としては、操作ログ情報取得部6が操作ログ情報記憶部5から取得した、当該ファイルの操作ログ情報におけるファイル作成者の情報(ファイル作成者のユーザ識別情報)に基づいて(作成者ではなく、編集者(編集者のユーザ識別情報)であっても良い)、ユーザ情報記憶部7に記憶する当該ファイル作成者のアクセス権限レベルの情報を抽出し、また問い合わせ受付部4で受け付けた当該ユーザのユーザ識別情報に基づいて、ユーザ情報記憶部7に記憶する当該ユーザのアクセス権限レベルの情報を抽出する。そしてファイル作成者のアクセス権限レベルとユーザのアクセス権限レベルとを比較し、ユーザのアクセス権限レベルがファイル作成者のアクセス権限レベル以上であればアクセス権限があると判定する。一方、ユーザのアクセス権限レベルがファイル作成者のアクセス権限レベル未満であればアクセス権限がないと判定する。   As a first method, based on the file creator information (file creator user identification information) in the operation log information of the file acquired by the operation log information acquisition unit 6 from the operation log information storage unit 5 (created) The user's access authority level information extracted from the file creator stored in the user information storage unit 7 and received by the inquiry reception unit 4 Based on the user identification information of the user, information on the access authority level of the user stored in the user information storage unit 7 is extracted. Then, the access authority level of the file creator is compared with the access authority level of the user. If the access authority level of the user is equal to or higher than the access authority level of the file creator, it is determined that there is an access authority. On the other hand, if the access authority level of the user is lower than the access authority level of the file creator, it is determined that there is no access authority.

第2の方法としては、問い合わせ受付部4で受け付けた当該ファイルの識別情報に基づく操作ログ情報を、操作ログ情報取得部6が操作ログ情報記憶部5から取得できない場合には、そもそもクライアント端末3で使用が許可されていないファイルであるとしてユーザのアクセス権限レベルにかかわらず、アクセス権限がないと判定する。一方、操作ログ情報を取得した場合には、ほかの3方法による判定を行ったり、或いはアクセス権限があると判定する。この方法の場合には例えば、USBメモリのような可搬型記憶媒体をユーザが持ち込んで、そこに記憶したファイルにアクセスすることを制限する場合に有効である。なお可搬型記憶媒体としてはUSBメモリのほかにも、磁気ディスク、光磁気ディスク、光ディスクなども含まれる。   As a second method, when the operation log information acquisition unit 6 cannot acquire the operation log information based on the identification information of the file received by the inquiry reception unit 4 from the operation log information storage unit 5, the client terminal 3 It is determined that there is no access authority regardless of the access authority level of the user as a file that is not permitted to be used. On the other hand, when the operation log information is acquired, it is determined by another three methods or it is determined that the user has access authority. In the case of this method, for example, it is effective when a user brings in a portable storage medium such as a USB memory and restricts access to a file stored therein. In addition to the USB memory, the portable storage medium includes a magnetic disk, a magneto-optical disk, an optical disk, and the like.

第3の方法としては、問い合わせ受付部4で受け付けた当該ファイルの識別情報に基づく操作ログ情報を、操作ログ情報取得部6が操作ログ情報記憶部5から取得した結果、ファイル名の変更の情報があった場合、変更後のファイル名及び/又は変更前のファイル名を用いて当該ユーザ情報記憶部7に記憶する、当該ファイルに対するユーザのアクセス権限レベルの判定を行う。これは、まず変更後のファイル名(ファイル識別情報)でアクセス権限レベルがユーザ情報記憶部7に記憶されているかを判定し、記憶されていればその情報を用いてアクセス権限レベルの判定を行う。変更後のファイル名(ファイル識別情報)によるアクセス権限レベルが記憶されていない場合には、変更前のファイル名(ファイル識別情報)でアクセス権限レベルがユーザ情報記憶部7に記憶されているかを判定し、記憶されていればその情報を用いてアクセス権限レベルの判定を行う。このような判定方法を用いることによって、ファイル名が変更されていたとしても、アクセス権限レベルの判定が容易に行える。この方法の場合には例えば、アクセス権限レベルがファイル毎に設定されている場合に有効である。なおユーザ情報記憶部7にファイルに対するアクセス権限レベルが記憶されておらず、それ以外の記憶部にアクセス権限レベルが記憶されている場合には、その記憶部に対して上述の処理を行うこととなる。   As a third method, as a result of the operation log information acquisition unit 6 acquiring operation log information based on the identification information of the file received by the inquiry reception unit 4 from the operation log information storage unit 5, file name change information If there is, the user's access authority level for the file stored in the user information storage unit 7 is determined using the file name after change and / or the file name before change. First, it is determined whether the access authority level is stored in the user information storage unit 7 based on the changed file name (file identification information), and if it is stored, the access authority level is determined using the information. . If the access authority level based on the changed file name (file identification information) is not stored, it is determined whether the access authority level is stored in the user information storage unit 7 with the file name (file identification information) before the change. If it is stored, the information is used to determine the access authority level. By using such a determination method, the access authority level can be easily determined even if the file name has been changed. This method is effective, for example, when the access authority level is set for each file. If the access authority level for the file is not stored in the user information storage unit 7 and the access authority level is stored in any other storage unit, the above processing is performed on the storage unit. Become.

第4の方法としては、問い合わせ受付部4で受け付けた当該ファイルの識別情報に基づいて操作ログ情報取得部6が操作ログ情報記憶部5から取得した、ファイルの作成日時や最新の更新日時の情報と、ユーザがアクセスしようとするファイルの作成日時や最新の更新日時の情報(この情報は問い合わせ受付部4で問い合わせの際にあわせて所定のコンピュータ端末(クライアント端末3やファイルサーバ、可搬型記憶装置など)から受け付けていることが好ましい)とを比較し、それらが一致していない場合には、そもそもクライアント端末3で使用が許可されていないファイルであるとしてユーザのアクセス権限レベルにかかわらず、アクセス権限がないと判定する。一致している場合には、更に、上述の各方法を用いて判定を行ったり、或いはアクセス権限があると判定する。この方法の場合には例えば、USBメモリのような可搬型記憶媒体をユーザが持ち込んで、そこに記憶したファイルにアクセスすることを制限する場合に有効である。   As a fourth method, the file creation date and the latest update date and time information acquired from the operation log information storage unit 5 by the operation log information acquisition unit 6 based on the identification information of the file received by the inquiry reception unit 4 Information on the creation date and latest update date and time of the file to be accessed by the user (this information is determined by the inquiry reception unit 4 in accordance with a predetermined computer terminal (client terminal 3, file server, portable storage device). If they do not match, the file is not permitted to be used in the client terminal 3 regardless of the access authority level of the user. It is determined that there is no authority. If they match, it is further determined that each of the above methods is used, or it is determined that the user has access authority. In the case of this method, for example, it is effective when a user brings in a portable storage medium such as a USB memory and restricts access to a file stored therein.

なお上記で例示した4つの判定方法以外にもアクセス可否判定部8は操作ログ情報を用いてアクセス権限の判定を行うことが出来、上記方法に限定されるものではない。また管理サーバ2の管理者は、どの判定方法をアクセス可否判定部8で採用するか任意に設定可能であり、また一つの判定方法ではなく、複数の判定方法を用いても良い。またユーザ毎(ユーザ識別情報毎)に判定方法を設定しておき、問い合わせ受付部4で受け付けたユーザ識別情報に基づいてその判定方法を特定して、特定した判定方法によりアクセス権限の判定処理を実行するように構成しても良い。   In addition to the four determination methods exemplified above, the access permission determination unit 8 can determine the access authority using the operation log information, and is not limited to the above method. In addition, the administrator of the management server 2 can arbitrarily set which determination method is adopted by the access permission determination unit 8 and may use a plurality of determination methods instead of a single determination method. In addition, a determination method is set for each user (for each user identification information), the determination method is specified based on the user identification information received by the inquiry reception unit 4, and the access authority determination processing is performed by the specified determination method. It may be configured to execute.

結果送信部9は、アクセス可否判定部8で判定した結果をクライアント端末3などに備えたアクセス制御部(図示せず)に送信する。即ち、アクセス可否判定部8でアクセス権限があると判定していれば、アクセス許可の指示を送信し、アクセス可否判定部8でアクセス権限がないと判定していればアクセス不許可の指示を送信することとなる。この指示をクライアント端末3などのアクセス制御部は受け取り、アクセス許可の指示を受け取った場合には当該ファイルに対するアクセスを許可し、アクセス不許可の指示を受け取った場合には当該ファイルに対するアクセスを許可しない。なおアクセス制御部は、上述のようにクライアント端末3に備えられていても良いし、それ以外のコンピュータ端末(サーバも含む)に備えられていても良い。そしてアクセス制御部は、それを備えたコンピュータ端末において、ファイルに対するアクセス許可、不許可の制御処理を実行することとなる。   The result transmission unit 9 transmits the result determined by the accessibility determination unit 8 to an access control unit (not shown) provided in the client terminal 3 or the like. That is, if the access permission determination unit 8 determines that there is access authority, an access permission instruction is transmitted. If the access permission determination unit 8 determines that there is no access authority, an access permission instruction is transmitted. Will be. The access control unit such as the client terminal 3 receives this instruction, and when the access permission instruction is received, the access to the file is permitted, and when the access non-permission instruction is received, the access to the file is not permitted. . The access control unit may be provided in the client terminal 3 as described above, or may be provided in another computer terminal (including a server). Then, the access control unit executes control processing for permitting or not permitting access to the file in the computer terminal equipped with the access controller.

次に本発明のアクセス権限制御システム1における処理プロセスの一例を図3のフローチャートを用いて説明する。   Next, an example of a processing process in the access authority control system 1 of the present invention will be described with reference to the flowchart of FIG.

ユーザが、クライアント端末3、ファイルサーバ、或いはクライアント端末3と接続した可搬型記憶装置(USBメモリなど)に記憶したファイルへアクセスしようと思った場合、クライアント端末3で所定の操作を行うことにより、ファイルへアクセスする指示を当該クライアント端末3に入力する(S100)。その入力を受けてクライアント端末3は、当該ファイルをクライアント端末3で開く前に、アクセス権限の問い合わせを管理サーバ2に送信する(S110)。なお上述したようにアクセス権限の問い合わせは、クライアント端末3のほかにもファイルサーバなどの所定のコンピュータ端末から管理サーバ2に行われればよい。   When a user wants to access a file stored in a client terminal 3, a file server, or a portable storage device (such as a USB memory) connected to the client terminal 3, by performing a predetermined operation on the client terminal 3, An instruction to access the file is input to the client terminal 3 (S100). In response to the input, the client terminal 3 transmits an access authority inquiry to the management server 2 before opening the file on the client terminal 3 (S110). As described above, the access authority inquiry may be made to the management server 2 from a predetermined computer terminal such as a file server in addition to the client terminal 3.

なおこの問い合わせの際には、ユーザ識別情報、ユーザがアクセスをしようとするファイルのファイル識別情報などがあわせて送信されていることが望ましい。更に当該ファイルの作成日時または最新の更新日時などの情報が送信されていても良い。   In this inquiry, it is desirable that user identification information, file identification information of a file to be accessed by the user, and the like are transmitted together. Furthermore, information such as the creation date and time or the latest update date and time of the file may be transmitted.

問い合わせ受付部4でアクセス権限の問い合わせを受け付けると、操作ログ情報取得部6は、当該受け付けたファイル識別情報に基づいて、操作ログ情報記憶部5に記憶する、当該ファイルに対する操作ログ情報を取得する(S120)。この際に当該ファイルに対する全ての操作ログ情報を取得しても良いし、予め設定されている期間などの一部の操作ログ情報であっても良い。   When the inquiry reception unit 4 receives an access authority inquiry, the operation log information acquisition unit 6 acquires operation log information for the file stored in the operation log information storage unit 5 based on the received file identification information. (S120). At this time, all operation log information for the file may be acquired, or a part of operation log information such as a preset period may be used.

このようにして操作ログ情報取得部6が操作ログ情報記憶部5から当該ファイルに対する操作ログ情報を取得すると、その操作ログ情報を用いて、アクセス可否判定部8が、当該ユーザが当該ファイルに対してアクセス権限があるかを判定する(S130)。   When the operation log information acquisition unit 6 acquires the operation log information for the file from the operation log information storage unit 5 in this way, the access permission determination unit 8 uses the operation log information to allow the user to access the file. It is determined whether there is an access right (S130).

この判定は、上述の4つの判定方法のほかにも様々な方法を用いることが出来る。   In addition to the above four determination methods, various methods can be used for this determination.

そしてアクセス可否判定部8におけるアクセス権限の判定の結果、アクセス権限があると判定した場合には、結果送信部9がアクセス許可の指示をクライアント端末3に送信する(S140)。また判定の結果、アクセス権限がないと判定した場合には、結果送信部9がアクセス不許可の指示をクライアント端末3に送信する(S140)。   If it is determined that there is access authority as a result of the access authority determination in the access permission determination unit 8, the result transmission unit 9 transmits an access permission instruction to the client terminal 3 (S140). As a result of the determination, if it is determined that there is no access authority, the result transmitting unit 9 transmits an access non-permission instruction to the client terminal 3 (S140).

このアクセス許可の指示をクライアント端末3のアクセス制御部で受け取ると、当該クライアント端末3では、S100でアクセスの指示を受け付けたファイルについて、ファイルを開く処理を実行する。一方アクセス不許可の指示をクライアント端末3のアクセス制御部で受け取ると、当該クライアント端末3のアクセス制御部では、S100でアクセスの指示を受け付けたファイルについて、ファイルを開く処理を中止し、「アクセス権限がないため開けません」といったメッセージを表示するなどして、ユーザに通知する。なおアクセス不許可の指示をクライアント端末3のアクセス制御部で受け取った場合にファイルを開く処理を中止するほか、当該ファイルを記憶するUSBメモリなどの可搬型記憶媒体そのものの使用を中止するように構成することも出来る。
When this access permission instruction is received by the access control unit of the client terminal 3, the client terminal 3 executes a process for opening the file for which the access instruction has been received in S100. On the other hand, when the access control unit of the client terminal 3 receives an access non-permission instruction, the access control unit of the client terminal 3 cancels the file opening process for the file for which the access instruction has been received in S100, and the “access authority” Notify the user by displaying a message such as "Cannot open because there is no". When the access control unit of the client terminal 3 receives an access non-permission instruction, the process of opening the file is stopped, and the use of the portable storage medium itself such as a USB memory for storing the file is stopped. You can also

従来のように単にアクセス権限の判定を行うのではなく、参照しようとするファイルのログ情報を参照することでそのファイルに対する操作履歴を確認して、当該ファイルに対する処理の経過も踏まえた上でアクセス権限の判定を行うこととなる。これによって、例えばアクセス権限のあるユーザが誤ってファイル名を変更して保存してしまった場合などであっても、ログ情報の操作履歴から元のファイル名を確認することが出来るので、アクセス権限のないユーザによるファイルの参照を防止することが出来る。
Rather than simply determining access privileges as in the past, check the operation history for the file by referring to the log information of the file to be referenced, and access it after taking into account the progress of processing for the file. The authority will be determined. This allows you to check the original file name from the operation history of the log information, even if a user with access rights accidentally changes and saves the file name. It is possible to prevent a user who does not have a file from being referred to.

本発明の全体の概念図である。1 is an overall conceptual diagram of the present invention. 本発明のシステム構成の一例を示す概念図である。It is a conceptual diagram which shows an example of the system configuration | structure of this invention. 本発明の処理プロセスの一例を示すフローチャートである。It is a flowchart which shows an example of the processing process of this invention.

符号の説明Explanation of symbols

1:アクセス権限制御システム
2:管理サーバ
3:クライアント端末
4:問い合わせ受付部
5:操作ログ情報記憶部
6:操作ログ情報取得部
7:ユーザ情報記憶部
8:アクセス可否判定部
9:結果送信部 1: Access authority control system 2: Management server 3: Client terminal 4: Inquiry reception unit 5: Operation log information storage unit 6: Operation log information acquisition unit 7: User information storage unit 8: Access permission determination unit 9: Result transmission unit

Claims (9)

ファイルに対する操作ログ情報を用いてアクセス権限の判定を行うアクセス権限制御システムであって、
前記アクセス権限制御システムは、
ユーザによる前記ファイルへのアクセス可否の問い合わせと前記ファイルのファイル識別情報とを受け付ける問い合わせ受付部と、
少なくともファイルに対する操作ログ情報を記憶する操作ログ情報記憶部と、
前記受け付けたファイル識別情報に基づいて、対応する操作ログ情報を前記操作ログ情報記憶部から取得する操作ログ情報取得部と、
前記操作ログ情報取得部における、前記受け付けたファイル識別情報に対応する操作ログ情報の取得結果に応じて、前記ユーザによる前記ファイルへのアクセス権限の判定を行うアクセス可否判定部と、
前記判定結果に基づく制御指示を、ファイルに対するアクセス制御処理を実行するアクセス制御部に送信する結果送信部と、
を有することを特徴とするアクセス権限制御システム。 An access authority control system for determining access authority using operation log information for a file,
The access authority control system includes:
An inquiry reception unit for receiving an inquiry about whether or not the user can access the file and file identification information of the file;
An operation log information storage unit for storing operation log information for at least the file;
An operation log information acquisition unit that acquires corresponding operation log information from the operation log information storage unit based on the received file identification information;
An access permission determination unit that determines access authority to the file by the user in accordance with an operation log information acquisition result corresponding to the received file identification information in the operation log information acquisition unit;
A result transmission unit that transmits a control instruction based on the determination result to an access control unit that executes an access control process for the file;
An access authority control system comprising: 前記アクセス可否判定部は、
前記受け付けたファイル識別情報に対応する操作ログ情報を前記操作ログ情報取得部が前記操作ログ情報記憶部から取得できない場合には、アクセス権限がないと判定する、
ことを特徴とする請求項1に記載のアクセス権限制御システム。 The accessibility determination unit
If the operation log information acquisition unit cannot acquire operation log information corresponding to the received file identification information from the operation log information storage unit, it is determined that there is no access authority.
The access authority control system according to claim 1. 前記アクセス可否判定部は、
前記操作ログ情報取得部が前記操作ログ情報記憶部から取得した操作ログ情報において、ファイル識別情報の変更を示す情報があった場合には、まず変更後のファイル識別情報を用いてアクセス権限の判定を行い、変更後のファイル識別情報でアクセス権限の判定が行えない場合には、変更前のファイル識別情報を用いてアクセス権限の判定を行う、
ことを特徴とする請求項1または請求項2に記載のアクセス権限制御システム。 The accessibility determination unit
In the operation log information acquired by the operation log information acquisition unit from the operation log information storage unit, when there is information indicating the change of the file identification information, the access authority is first determined using the changed file identification information. If the access authority cannot be determined using the changed file identification information, the access authority is determined using the file identification information before the change.
The access authority control system according to claim 1 or 2, characterized by the above. 前記アクセス権限制御システムは、更に、
各ユーザのユーザ識別情報とアクセス権限レベルの情報とを少なくとも記憶するユーザ情報記憶部、を有しており、
前記アクセス可否判定部は、
前記操作ログ情報取得部が前記操作ログ情報記憶部から取得した操作ログ情報において、ファイル識別情報の変更を示す情報があった場合には、変更後のファイル識別情報を用いて前記ユーザ情報記憶部からアクセス権限レベルが記憶されているかを判定し、記憶されていれば該アクセス権限レベルを用いてアクセス権限の判定を行い、記憶されていなければ、変更前のファイル識別情報を用いて前記ユーザ情報記憶部に記憶されているかを判定し、それが記憶されていれば該アクセス権限レベルを用いてアクセス権限の判定を行う、
ことを特徴とする請求項1から請求項3のいずれかに記載のアクセス権限制御システム。 The access authority control system further includes:
A user information storage unit that stores at least user identification information and access authority level information of each user;
The accessibility determination unit
In the operation log information acquired from the operation log information storage unit by the operation log information acquisition unit, if there is information indicating a change of file identification information, the user information storage unit is used using the changed file identification information. Whether the access authority level is stored, and if it is stored, the access authority level is determined using the access authority level. If not stored, the user information is used using the file identification information before the change. It is determined whether it is stored in the storage unit, and if it is stored, the access authority is determined using the access authority level.
The access authority control system according to any one of claims 1 to 3, wherein 前記問い合わせ受付部は、前記問い合わせの際に、更に、前記ファイルの作成日時または更新日時の情報を受け付け、
前記アクセス可否判定部は、
前記取得した操作ログ情報におけるファイルの作成日時または更新日時の情報と、前記問い合わせ受付部で受け付けたファイルの作成日時または更新日時の情報とを比較し、それらが一致しているか否かによりアクセス権限の判定を行う、
ことを特徴とする請求項1から請求項4のいずれかに記載のアクセス権限制御システム。 The inquiry receiving unit further receives information on the creation date or update date of the file at the time of the inquiry,
The accessibility determination unit
The file creation date or update date information in the acquired operation log information is compared with the file creation date or update date information received by the inquiry reception unit, and the access authority depends on whether or not they match. Judgment of
The access authority control system according to any one of claims 1 to 4, wherein 前記アクセス可否判定部は、
ユーザ識別情報毎にアクセス権限の判定方法を記憶しており、前記問い合わせ受付部で受け付けたユーザ識別情報に基づいて、アクセス権限の判定方法を特定する、
ことを特徴とする請求項1から請求項5のいずれかに記載のアクセス権限制御システム。 The accessibility determination unit
An access authority determination method is stored for each user identification information, and an access authority determination method is specified based on the user identification information received by the inquiry reception unit.
The access authority control system according to any one of claims 1 to 5, wherein 前記アクセス制御部は、
前記結果送信部から受け取った制御指示に基づいて前記ファイルの制御を行う、
ことを特徴とする請求項1から請求項6のいずれかに記載のアクセス権限制御システム。 The access control unit
The file is controlled based on the control instruction received from the result transmission unit.
The access authority control system according to any one of claims 1 to 6, wherein 前記アクセス制御部は、
前記結果送信部から受け取った制御指示に基づいて前記ファイルを記憶する可搬型記憶媒体の使用中止の制御を行う、
ことを特徴とする請求項1から請求項7のいずれかに記載のアクセス権限制御システム。 The access control unit
Based on the control instruction received from the result transmission unit, the use of the portable storage medium that stores the file is controlled.
The access authority control system according to any one of claims 1 to 7, wherein 少なくともファイルに対する操作ログ情報を記憶装置に記憶しているコンピュータを、
ユーザによる前記ファイルへのアクセス可否の問い合わせと前記ファイルのファイル識別情報とを受け付ける問い合わせ受付部、
前記受け付けたファイル識別情報に基づいて、対応する操作ログ情報を前記記憶装置から取得する操作ログ情報取得部、
前記操作ログ情報取得部における、前記受け付けたファイル識別情報に対応する操作ログ情報の取得結果に応じて、前記ユーザによる前記ファイルへのアクセス権限の判定を行うアクセス可否判定部、
前記判定結果に基づく制御指示を、ファイルに対するアクセス制御処理を実行するアクセス制御部に送信する結果送信部、
として機能させることを特徴とするアクセス権限制御プログラム。 At least a computer storing operation log information for a file in a storage device,
An inquiry reception unit for receiving an inquiry about whether or not the user can access the file and file identification information of the file;
An operation log information acquisition unit that acquires corresponding operation log information from the storage device based on the received file identification information;
In the operation log information acquisition unit, an access permission determination unit that determines access authority to the file by the user according to an operation log information acquisition result corresponding to the received file identification information,
A result transmission unit that transmits a control instruction based on the determination result to an access control unit that executes an access control process for the file;
An access authority control program characterized by functioning as
JP2007170200A 2007-06-28 2007-06-28 Access authority control system Active JP4122042B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007170200A JP4122042B1 (en) 2007-06-28 2007-06-28 Access authority control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007170200A JP4122042B1 (en) 2007-06-28 2007-06-28 Access authority control system

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2007084141A Division JP4005120B1 (en) 2007-03-28 2007-03-28 Access authority control system

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2008059016A Division JP4191239B2 (en) 2008-03-10 2008-03-10 Access authority control system

Publications (2)

Publication Number Publication Date
JP4122042B1 JP4122042B1 (en) 2008-07-23
JP2008243172A true JP2008243172A (en) 2008-10-09

Family

ID=39704903

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007170200A Active JP4122042B1 (en) 2007-06-28 2007-06-28 Access authority control system

Country Status (1)

Country Link
JP (1) JP4122042B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010049365A (en) * 2008-08-19 2010-03-04 Sky Co Ltd File management system

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4769241B2 (en) * 2007-09-25 2011-09-07 Sky株式会社 Access authority control system
JP4636144B2 (en) 2008-08-29 2011-02-23 富士ゼロックス株式会社 Information management program and information management system
JP5404891B2 (en) * 2012-10-17 2014-02-05 Sky株式会社 File management system
JP5379901B2 (en) * 2012-10-17 2013-12-25 Sky株式会社 File management system
CN112084512A (en) * 2020-08-27 2020-12-15 山东英信计算机技术有限公司 Access control method, device, equipment and computer readable storage medium

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010049365A (en) * 2008-08-19 2010-03-04 Sky Co Ltd File management system

Also Published As

Publication number Publication date
JP4122042B1 (en) 2008-07-23

Similar Documents

Publication Publication Date Title
JP5270694B2 (en) Client computer, server computer thereof, method and computer program for protecting confidential file
JP6932175B2 (en) Personal number management device, personal number management method, and personal number management program
CN109643356B (en) Method and system for preventing phishing or extorting software attacks
JP4122042B1 (en) Access authority control system
JP4044126B1 (en) Information leakage prevention device, information leakage prevention program, information leakage prevention recording medium, and information leakage prevention system
JP5141360B2 (en) Work support device for information processing device
JP2006119719A (en) Computer system and user authentication method
JP4191239B2 (en) Access authority control system
JP4850159B2 (en) External device management system
JP4769241B2 (en) Access authority control system
JP2008059063A (en) Information management program
JP4500072B2 (en) Authentication program in network storage device
KR100948812B1 (en) The management system and management method of a secure area
US9202069B2 (en) Role based search
JP4830576B2 (en) Information processing apparatus, data management method, program
JP4005120B1 (en) Access authority control system
JP2015158873A (en) management system, management method, and program
JP4138854B1 (en) External device management system
JP2007004610A (en) Complex access approval method and device
TWI430130B (en) File usage permission management system
JP5226636B2 (en) Security maintenance support system and information terminal
JP6690453B2 (en) Information processing device and program
JP4371995B2 (en) Shared file access control method, system, server device, and program
JP2008225830A (en) Information management system, terminal equipment, information management method, and program
JP2007094749A (en) Method for outputting audit log and client/server system

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080415

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080430

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110509

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4122042

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110509

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120509

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120509

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130509

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130509

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140509

Year of fee payment: 6

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250