JP2011197849A - Security management system and security management program - Google Patents
Security management system and security management program Download PDFInfo
- Publication number
- JP2011197849A JP2011197849A JP2010061819A JP2010061819A JP2011197849A JP 2011197849 A JP2011197849 A JP 2011197849A JP 2010061819 A JP2010061819 A JP 2010061819A JP 2010061819 A JP2010061819 A JP 2010061819A JP 2011197849 A JP2011197849 A JP 2011197849A
- Authority
- JP
- Japan
- Prior art keywords
- file
- policy
- management
- computer
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
Description
本発明は、コンピュータにおけるファイルのセキュリティを管理する技術に関する。 The present invention relates to a technique for managing file security in a computer.
ネットワーク等からの不正なアクセスより、ファイルを保護するためのセキュリティ技術として、アクセス制御ポリシーによるファイルアクセス制御が知られている。アクセス制御ポリシーは、ファイルに対するアクセス権限等のファイルアクセスの制御情報であり、コンピュータシステム毎に存在するポリシーデータの一例であるポリシーファイルに記述される。コンピュータは、ポリシーファイルのアクセス制御ポリシーに基づきファイルアクセス制御を行い、ファイルに対する不正なアクセスを防止する。 File access control based on an access control policy is known as a security technique for protecting a file from unauthorized access from a network or the like. The access control policy is file access control information such as access authority for a file, and is described in a policy file which is an example of policy data existing for each computer system. The computer performs file access control based on the access control policy of the policy file to prevent unauthorized access to the file.
ところで、アプリケーションは少なくとも1つ以上のファイルから構成されている。アプリケーションを構成するファイルのアクセス制御ポリシーをポリシーデータに設定することで、コンピュータはアプリケーションに対するアクセスを制御することが可能である。ところが、ポリシーデータはファイル単位にアクセス制御ポリシーを記述するため、アプリケーションを構成するすべてのファイルのファイル名などの情報をシステム管理者などが事前に把握する必要がある。また、アプリケーションを構成するすべてのファイルの情報をシステム管理者などが、把握するのが困難な場合もある。このため、システム管理者などがファイルのセキュリティ管理を容易に行うことができない。 By the way, the application is composed of at least one file. By setting the access control policy for the files constituting the application in the policy data, the computer can control access to the application. However, since the policy data describes an access control policy for each file, it is necessary for a system administrator or the like to know in advance information such as the file names of all the files constituting the application. In addition, it may be difficult for a system administrator or the like to grasp information on all files constituting an application. For this reason, a system administrator or the like cannot easily manage file security.
また、アプリケーション実行中に作成するファイルについては、セキュリティ管理者は把握することができない。
そこで、このような問題点に鑑み、ファイルのセキュリティ管理を容易に行えるようにする技術を提供することを目的とする。
In addition, the security administrator cannot grasp the files created during application execution.
Therefore, in view of such problems, it is an object of the present invention to provide a technique that facilitates file security management.
本技術の一実施形態では、管理対象コンピュータは、アプリケーションがインストールされたときに、インストールによって作成されたファイル及び作成されたファイルの種別を特定するための第1のファイル情報を生成し、管理コンピュータに送信する。管理コンピュータは、第1のファイル情報を受信したとき、第1のファイル情報に対応するポリシーデータを検索する。管理コンピュータは、該当ポリシーデータが存在する場合には、該当ポリシーデータを、該当ポリシーデータが存在しない場合には、ポリシーデータが存在しないことを示す情報を管理対象コンピュータに送信する。管理対象コンピュータは、ポリシーデータを受信した場合には、ポリシーデータを第1のストレージに記憶する一方、ポリシーデータが存在しないことを示す情報を受信した場合には、ポリシーデータを生成し第1のストレージに記憶する。そして、管理対象コンピュータは、第1のストレージに記憶されたポリシーデータに基づいてファイルアクセス制御を実行する。 In one embodiment of the present technology, when the application is installed, the management target computer generates first file information for specifying the file created by the installation and the type of the created file, and the management computer Send to. When the management computer receives the first file information, the management computer searches for policy data corresponding to the first file information. When the corresponding policy data exists, the management computer transmits the corresponding policy data to the management target computer, and when the corresponding policy data does not exist, the management computer transmits information indicating that the policy data does not exist. When the managed computer receives the policy data, it stores the policy data in the first storage. On the other hand, when it receives information indicating that the policy data does not exist, the managed computer generates the policy data and generates the first data Store in storage. Then, the management target computer executes file access control based on the policy data stored in the first storage.
また、本技術の他の実施形態では、管理対象コンピュータは、アプリケーションによりファイルが作成されたとき、アプリケーションに対応するポリシーデータを更新する必要があるか否かを判定する。更新する必要がある場合、管理対象コンピュータは、作成されたファイルの種別に応じたアクセス制御ポリシーと作成されたファイルとを関連付けた第2のファイル情報を生成し、管理コンピュータに送信する。管理コンピュータは、第2のファイル情報を受信したとき、アクセス制御ポリシーをポリシーデータに追加し、追加されたポリシーデータを管理対象コンピュータに送信する。管理対象コンピュータは、ポリシーデータを受信したとき、ポリシーデータを第1のストレージに記憶する。 In another embodiment of the present technology, when a file is created by an application, the managed computer determines whether it is necessary to update policy data corresponding to the application. When it is necessary to update, the management target computer generates second file information in which the access control policy corresponding to the type of the created file is associated with the created file, and transmits the second file information to the management computer. When receiving the second file information, the management computer adds the access control policy to the policy data, and transmits the added policy data to the management target computer. When the managed computer receives the policy data, the managed computer stores the policy data in the first storage.
本技術によれば、ファイルのセキュリティ管理が容易化しコンピュータシステムの管理コストが軽減される。 According to the present technology, file security management is facilitated and the management cost of the computer system is reduced.
まず、図1を参照して本技術の概要について説明する。
本技術のコンピュータシステムは、管理コンピュータと管理対象コンピュータから構成される。管理対象コンピュータは、アプリケーションのインストールを検出したときに、インストールによって作成されたファイルの情報を生成して管理コンピュータに送信する。管理コンピュータは受信したファイルの情報と予め保持しているポリシーが適用可能かどうか判断し、適用可能なポリシーがあれば該当ポリシーを管理対象コンピュータに送信する。適用可能なポリシーが存在しない場合、管理コンピュータはポリシーが存在しない旨を管理対象コンピュータに通知する。管理対象コンピュータは、ポリシーを受信した場合には受信したポリシーを保存し、ポリシーが存在しない旨を受信した場合には標準ポリシーに基づきポリシーを生成する。
First, an overview of the present technology will be described with reference to FIG.
The computer system of the present technology includes a management computer and a management target computer. When the management target computer detects installation of the application, the management target computer generates information on the file created by the installation and transmits it to the management computer. The management computer determines whether the received file information and the previously stored policy are applicable, and if there is an applicable policy, transmits the policy to the management target computer. If there is no applicable policy, the management computer notifies the management target computer that there is no policy. The management target computer stores the received policy when it receives the policy, and generates a policy based on the standard policy when it receives that the policy does not exist.
また、管理対象コンピュータは、アプリケーション実行時にファイルが生成されたことを検出したときに、生成されたファイルに対応するポリシーがあるかどうかを判断する。ポリシーがない場合、管理対象コンピュータは作成されたファイルに対応するポリシーを生成して管理コンピュータに送信する。管理コンピュータは受信したポリシーを、ポリシーを適用すべき管理対象コンピュータに送信する。 In addition, when the management target computer detects that a file is generated when the application is executed, the management target computer determines whether there is a policy corresponding to the generated file. If there is no policy, the managed computer generates a policy corresponding to the created file and sends it to the management computer. The management computer transmits the received policy to the managed computer to which the policy is to be applied.
以下、添付された図面を参照して本技術を詳述する。
図2は、本技術のコンピュータシステムの構成を示す。管理コンピュータAは、管理対象となる複数の管理対象コンピュータBに接続する。管理コンピュータAは、管理対象コンピュータBに配布するポリシーデータ、即ち、管理対象コンピュータBにインストールされているアプリケーションを構成するファイル(以下、インストールファイルと略記する)のポリシーデータを一括管理する。
Hereinafter, the present technology will be described in detail with reference to the accompanying drawings.
FIG. 2 shows a configuration of a computer system of the present technology. The management computer A is connected to a plurality of management target computers B to be managed. The management computer A collectively manages policy data distributed to the management target computer B, that is, policy data of files (hereinafter abbreviated as installation files) constituting the application installed on the management target computer B.
管理対象コンピュータBには、図2に示すように、ハードディスクドライブなどの第1のストレージB1が備えられている。第1のストレージB1には、アプリケーションに対応したポリシーデータ、及びファイル種別に対応したアクセス制御ポリシーが記憶される。 As shown in FIG. 2, the managed computer B includes a first storage B1 such as a hard disk drive. The first storage B1 stores policy data corresponding to the application and an access control policy corresponding to the file type.
管理対象コンピュータBは、第1のストレージB1などにインストールされたセキュリティ管理プログラムを実行することで、第1の情報生成部B2、第1の情報送信部B3、第1の登録部B4、アクセス制御部B5、ポリシー判定部B6、第2の情報生成部B7、第2の情報送信部B8、及び第2の登録部B9を夫々具現化する。なお、管理対象コンピュータB1の第1のストレージB1には、セキュリティ管理プログラムが記録されたCD−ROM、DVD−ROM等のコンピュータ読取可能な記録媒体から、セキュリティ管理プログラムがインストールされる。管理コンピュータAも同様である。 The managed computer B executes a security management program installed in the first storage B1 or the like, thereby causing the first information generation unit B2, the first information transmission unit B3, the first registration unit B4, and the access control. The unit B5, the policy determination unit B6, the second information generation unit B7, the second information transmission unit B8, and the second registration unit B9 are implemented. The security management program is installed in the first storage B1 of the management target computer B1 from a computer-readable recording medium such as a CD-ROM or DVD-ROM in which the security management program is recorded. The same applies to the management computer A.
第1の情報生成部B2は、インストールによって作成されたインストールファイル及びインストールファイルの種別を特定するための第1のファイル情報を生成する。
第1の情報送信部B3は、第1のファイル情報を管理コンピュータAに送信する。
The first information generation unit B2 generates first file information for specifying the installation file created by the installation and the type of the installation file.
The first information transmission unit B3 transmits the first file information to the management computer A.
第1の登録部B4は、管理コンピュータAから受信したポリシーファイルを第1のストレージB1に記憶する。また、第1の登録部B4は、ポリシーデータを生成して第1のストレージB1に記憶する。 The first registration unit B4 stores the policy file received from the management computer A in the first storage B1. In addition, the first registration unit B4 generates policy data and stores it in the first storage B1.
アクセス制御部B5は、第1のストレージB1に記憶されたポリシーデータに基づいてファイルアクセス制御を実行する。
ポリシー判定部B6は、アプリケーションによりファイルが作成されたときに、アプリケーションに対応するポリシーデータを更新する必要があるか否かを判定する。
The access control unit B5 executes file access control based on the policy data stored in the first storage B1.
The policy determination unit B6 determines whether or not the policy data corresponding to the application needs to be updated when the file is created by the application.
第2の情報生成部B7は、ポリシーデータを更新する必要がある場合に、作成されたファイルの種別に応じたアクセス制御ポリシーと作成されたファイルとを関連付けた第2のファイル情報を生成する。 When it is necessary to update the policy data, the second information generation unit B7 generates second file information in which the access control policy corresponding to the type of the created file is associated with the created file.
第2の情報送信部B8は、第2のファイル情報を管理コンピュータAに送信する。
第2の登録部B9は、管理コンピュータAから受信したポリシーデータを第1のストレージB1に記憶する。
The second information transmission unit B8 transmits the second file information to the management computer A.
The second registration unit B9 stores the policy data received from the management computer A in the first storage B1.
管理コンピュータAには、図2に示すように、ハードディスクドライブなどの第2のストレージA1が備えられている。第2のストレージA1には、複数の管理対象コンピュータBに配布したポリシーデータが記憶される。 The management computer A includes a second storage A1 such as a hard disk drive as shown in FIG. The second storage A1 stores policy data distributed to a plurality of managed computers B.
管理コンピュータAは、第2のストレージA1などにインストールされたセキュリティ管理プログラムを実行することで、ポリシー検索部A2、第1の送信部A3、ポリシー追加部A4、及び第2の送信部A5を夫々具現化する。 The management computer A executes the security management program installed in the second storage A1 or the like, so that the policy search unit A2, the first transmission unit A3, the policy addition unit A4, and the second transmission unit A5 are respectively performed. To embody.
ポリシー検索部A2は、管理対象コンピュータBから第1のファイル情報を受信したときに、第1のファイル情報に対応するポリシーデータを検索する。
第1の送信部A3は、ポリシー検索部A2が検索した結果、該当ポリシーデータが存在する場合には該当ポリシーデータを、該当ポリシーデータが存在しない場合にはポリシーデータが存在しないことを示す情報を管理対象コンピュータBに送信する。
When the policy search unit A2 receives the first file information from the managed computer B, the policy search unit A2 searches for policy data corresponding to the first file information.
As a result of the search by the policy search unit A2, the first transmission unit A3 displays the corresponding policy data when the corresponding policy data exists, and information indicating that the policy data does not exist when the corresponding policy data does not exist. Transmit to the managed computer B.
ポリシー追加部A4は、管理対象コンピュータBから第2のファイル情報を受信したときに、アクセス制御ポリシーをポリシーデータに追加する。
第2の送信部A5は、ポリシー追加部A4によってアクセス制御ポリシーが追加されたポリシーデータを管理対象コンピュータBに送信する。
When the policy adding unit A4 receives the second file information from the managed computer B, the policy adding unit A4 adds the access control policy to the policy data.
The second transmission unit A5 transmits the policy data to which the access control policy is added by the policy addition unit A4 to the managed computer B.
図3は、本技術の適用対象となるコンピュータシステムの一実施形態を示す。管理コンピュータ100は、LAN(Local Area Network)、WAN(Wide Area Network)などのネットワーク300を介して、管理対象となる複数の管理対象コンピュータ400に接続する。管理コンピュータ100は、管理対象コンピュータ400に配布するポリシーファイル、即ち、管理対象コンピュータ400にインストールされているアプリケーションのインストールファイルのポリシーファイルを一括管理する。
FIG. 3 shows an embodiment of a computer system to which the present technology is applied. The
管理対象コンピュータ400には、図4に示すように、ハードディスクドライブなどのストレージ510が備えられている。ストレージ510には、適用フォルダ520、標準ポリシーファイル530、種別定義ファイル540、及びアプリケーション550が夫々記憶される。なお、ストレージ510は第1のストレージの一例として挙げられる。
As shown in FIG. 4, the
適用フォルダ520は、管理コンピュータ100から管理対象コンピュータ400に配布されたポリシーファイル221(ポリシーファイル221についての詳細は後述する)を格納する。適用フォルダ520のポリシーファイル221は、管理対象コンピュータ400のファイルアクセス制御に使用される。
The
標準ポリシーファイル530には、ファイルのファイル種別毎及びファイル名の拡張子毎にアクセス制御ポリシーが定義されている。具体的に標準ポリシーファイル530には、図5に示すように、少なくとも、ファイルのファイル種別、拡張子及びアクセス制御ポリシーを関連付けたレコードが格納される。ここで、図5のアクセス制御ポリシーの項目の各記号は、rが「読み込み」、wが「書き込み」、cが「作成」、dが「削除」、nが「名前変更」、aが「属性変更」、sが「起動」、tが「終了」、Lが「ログ出力処理のみ許可」、Pが「許可」、及びDが「拒否」を示す(後述するポリシーファイル221も同様である。)。標準ポリシーファイル530は、インストールファイルのアクセス制御ポリシーの設定に使用される。システム管理者などは、ファイルのファイル種別毎及び拡張子毎のアクセス制御ポリシーを決定し、標準ポリシーファイル530に記述する。
In the
種別定義ファイル540は、ファイルのファイル種別やファイル形式の判定に使用され、ファイルのファイル種別やファイル形式を定義した情報が記述される。具体的に種別定義ファイル540には、図6に示すように、少なくとも、ファイルの拡張子、ファイル種別及びファイル形式を関連付けたレコードが格納される。ファイルの拡張子、ファイル種別及びファイル形式は、システム管理者などにより記述される。
The
アプリケーション550は、管理対象コンピュータ400にインストールされたアプリケーションソフトウェアである。アプリケーション550は、実行ファイル551、及びファイル552を含む。ファイル552は、アプリケーション550がインストールされた後、実行ファイル551により作成されたファイルである。
The
管理対象コンピュータ400は、ストレージ510などにインストールされたセキュリティ管理プログラムを実行することで、検出部560、一覧生成部570、適用部580、制御部590、監視部600、及びポリシー生成部610を夫々具現化する。なお、管理対象コンピュータ400のストレージ510には、セキュリティ管理プログラムが記録されたCD−ROM、DVD−ROM等のコンピュータ読取可能な記録媒体から、セキュリティ管理プログラムがインストールされる。管理コンピュータ100も同様である。
The
検出部560は、管理対象コンピュータ400で起動されたプログラムが、インストールプログラムである場合、インストールが開始されたことを一覧生成部570に通知する。
If the program started on the
一覧生成部570は、一覧ファイル231(一覧ファイル231についての詳細は後述する)を生成し、管理コンピュータ100に送信する。
なお、検出部560又は一覧生成部570は、第1の情報生成部の一例として挙げられる。また、一覧生成部570は、第1の情報送信部の一例として挙げられる。
The
The
適用部580は、管理コンピュータ100が配布したポリシーファイル221を、適用フォルダ520に格納、又は既存のポリシーファイル221に上書きする。なお、適用部580は、第1の登録部、第2の登録部の一例として挙げられる。
The
制御部590は、管理対象コンピュータ400が実行するファイルに対するI/O処理を、適用フォルダ520のポリシーファイル221の内容に従って制御する。また、制御部590は、アプリケーション550の実行ファイル551が、ファイル552を作成した場合、ファイル552作成時のI/O処理の情報を監視部600に送信する。なお、制御部590は、アクセス制御部及び第2の情報生成部の一例として挙げられる。
The
監視部600は、ファイル552が、制御部590により制御されるファイルか否か判定する。制御されるファイルの場合、監視部600は、I/O処理の情報をポリシー生成部610に送信する。なお、監視部600は、ポリシー判定部及び第2の情報生成部の一例として挙げられる。
The
ポリシー生成部610は、アプリケーション550のポリシーファイル221を生成し、管理コンピュータ100に送信する。なお、ポリシー生成部610は、第1の登録部、第2の情報生成部、及び第2の情報送信部の一例として挙げられる。
The
管理コンピュータ100には、図7に示すように、ハードディスクドライブなどのストレージ210が備えられている。ストレージ210には、ポリシーフォルダ220、一覧フォルダ230、増分一覧フォルダ240、管理ファイル250、配布管理ファイル260、及び種別定義ファイル270が夫々記憶される。
The
ポリシーフォルダ220は、管理コンピュータ100で管理しているポリシーファイル221を格納する。ポリシーファイル221は、管理対象コンピュータ400にインストールされたアプリケーション毎に生成される。また、ポリシーファイル221には、インストールファイルのアクセス制御ポリシーが記述される。具体的にポリシーファイル221には、図8に示すように、少なくとも、ファイルのファイル種別、ファイル名、ファイルが存在するディレクトリのディレクトリパス、及びファイルのアクセス制御ポリシーを関連付けたレコードが格納される。なお、ポリシーファイル221のポリシーファイル名は、対応するアプリケーションの名称とバージョン情報を含んだアプリケーション名に、拡張子“pol”を加えることで作成される。(後述する一覧ファイル名、増分一覧ファイル名も同様である。)。例えば、インストールされたアプリケーションの名称が“FJSVxxxx”、バージョンが“V14.0.0”であった場合、アプリケーション名は“FJSVxxxx_V1400”となる。また、ポリシーファイル名は“FJSVxxxx_V1400.pol”、一覧ファイル名は“FJSVxxxx_V1400.lst”、及び、増分一覧ファイル名は“FJSVxxxx_V1400_add.lst”となる。
The
一覧フォルダ230は、管理コンピュータ100で管理している一覧ファイル231を格納する。一覧ファイル231は、インストールファイルの情報が記述される。また、一覧ファイル231は、管理対象コンピュータ400にインストールされたアプリケーション毎に生成される。具体的に一覧ファイル231には、図9に示すように、少なくとも、ファイルのファイル種別、ファイルの作成元プログラム名、ファイル名、ファイルが存在するディレクトリのディレクトリパス、及びファイルサイズを関連付けたレコードが格納される。なお、一覧ファイル231は、ファイル情報及び第1のファイル情報の一例として挙げられる。
The
増分一覧フォルダ240は、管理コンピュータ100で管理している増分一覧ファイル241を格納する。増分一覧ファイル241は、管理対象コンピュータ400にインストールされたアプリケーションが、インストール後にファイルを作成した場合に生成される。増分一覧ファイル241は、インストール後にファイルを作成したアプリケーション毎に生成される。また、増分一覧ファイル241には、アプリケーションが作成したファイルの情報が記述される。具体的に増分一覧ファイル241には、図10に示すように、少なくとも、ファイルのファイル種別、ファイルの作成元プログラム名、ファイル名、ファイルが存在するディレクトリのディレクトリパス、及びファイルサイズを関連付けたレコードが格納される。
The
管理ファイル250は、アプリケーション、ポリシーフォルダ220のポリシーファイル221、一覧フォルダ230の一覧ファイル231、及び増分一覧フォルダ240の増分一覧ファイル241を関連付けるための情報が記述される。具体的に管理ファイル250には、図11に示すように、少なくとも、アプリケーション名、並びに、アプリケーション名により特定されるアプリケーションの一覧ファイル名、増分一覧ファイル名及びポリシーファイル名を関連付けたレコードが格納される。インストール後にファイルを作成してないアプリケーションの増分一覧ファイル名の項目は、空白となる。
The
配布管理ファイル260は、管理コンピュータ100が管理対象コンピュータ400に配布したポリシーファイル221と、配布先の管理対象コンピュータ400とを関連付けるための情報が記述される。具体的に配布管理ファイル260には、図12に示すように、少なくとも、ポリシーファイル221を配布した配布先コンピュータ名、及び配布ポリシーファイル名を関連付けたレコードが格納される。
The
種別定義ファイル270には、管理対象コンピュータ400の種別定義ファイル540と同一の内容が記述される。
管理コンピュータ100は、ストレージ210などにインストールされたセキュリティ管理プログラムを実行することで、比較部280、及び管理部290を夫々具現化する。なお、ストレージ210は第2のストレージの一例として挙げられる。
The
The
比較部280は、管理対象コンピュータ400から受信した一覧ファイル231と、一覧フォルダ230の一覧ファイル231を比較し、内容が一致する一覧ファイル231の一覧ファイル名を管理部290に送信する。一方、一致する一覧ファイル231が存在しなかった場合、比較部280は、管理対象コンピュータ400から受信した一覧ファイル231を、そのまま管理対象コンピュータ400に返信する。なお、比較部280は、ポリシー検索部及び第1の送信部の一例として挙げられる。
The
管理部290は、ポリシーフォルダ220のポリシーファイル221、一覧フォルダ230の一覧ファイル231、増分一覧フォルダ240の増分一覧ファイル241、管理ファイル250、及び配布管理ファイル260を更新する。また、管理部290は、ポリシーファイル221を、管理対象コンピュータ400に配布する。なお、管理部290は、第1の送信部、ポリシー追加部、及び第2の送信部の一例として挙げられる。
The
図13は、管理対象コンピュータ400の検出部560が、オペレーティングシステム(以下、OSと略記する)から、プログラムが起動された旨を受信したことを契機として実行するインストール検出処理のフローチャートを示す。
FIG. 13 is a flowchart of an installation detection process that is executed when the
ステップ1(図では「S1」と略記する。以下同様)では、検出部560が、起動されたプログラムのプログラム名及びプロセスIDを、OSのサービスプログラムなどにより取得する。
In step 1 (abbreviated as “S1” in the figure, the same applies hereinafter), the
ステップ2では、検出部560は、起動されたプログラムがインストールに関するプログラムであるか否か判定する。例えば、取得したプログラム名が、setup.exe、msi、rpm及びpkgaddなどのインストールコマンドのプログラム、又はtar、zip及びgzipなどのアーカイブ形式のファイルを展開するプログラムであれば、検出部560は、起動されたプログラムがインストールに関するプログラムであるとみなす。そして、検出部560は、起動されたプログラムがインストールに関するプログラムであれば、処理をステップ3に進める一方(Yes)、起動されたプログラムがインストールに関するプログラムでなければ、処理を終了する(No)。
In step 2, the
ステップ3では、検出部560が、取得したプログラム名及びプロセスIDを一覧生成部570に送信する。
かかるインストール検出処理によれば、検出部560は、インストールに関するプログラムが起動されると、プログラムのプログラム名及びプロセスIDを一覧生成部570に送信する。
In
According to such an installation detection process, when a program related to installation is activated, the
図14は、管理対象コンピュータ400の一覧生成部570が、検出部560からプログラム名及びプロセスIDを受信したことを契機として実行する一覧ファイル生成処理のフローチャートを示す。
FIG. 14 is a flowchart of list file generation processing that is executed when the
ステップ11では、一覧生成部570が、OSのI/Oマネージャなどから発行されるI/O処理をフックすることで、I/O処理の情報を取得する。ここで、取得するI/O処理の情報には、I/O処理を発行したプログラムのプログラム名及びプロセスID、並びにI/O処理対象のファイルの作成元プログラム名、ファイル名、ファイルサイズ及びファイルの存在するディレクトリのディレクトリパスが含まれる。また、I/O処理の情報には、インストールされたアプリケーションの名称及びバージョン情報も含まれている。
In step 11, the
ステップ12では、一覧生成部570は、I/O処理の情報からI/O処理を発行したプログラムのプログラム名及びプロセスIDを取り出す。また、一覧生成部570は、取り出したプログラム名及びプロセスIDと、一覧生成部570が受信したプログラム名及びプロセスIDとを比較する。プログラム名及びプロセスIDが共に一致すれば、一覧生成部570が処理をステップ13に進める一方(Yes)、プログラム名及びプロセスIDが一致しなければ、一覧生成部570が処理をステップ14に進める(No)。
In step 12, the
ステップ13では、一覧生成部570が、I/O処理対象ファイルの情報が記述されたインストールファイル情報を作成する。インストールファイル情報には、I/O処理対象ファイルの作成元プログラム名、ファイル名、ファイルの存在するディレクトリのディレクトリパス、ファイルサイズ及びファイルのファイル種別が関連付けた状態で記述される。また、インストールファイル情報には、インストールファイルを含むアプリケーションの名称及びバージョン情報も記述される。一覧生成部570は、I/O処理の情報から、I/O処理対象ファイルの作成元プログラム名、ファイル名、ファイルの存在するディレクトリのディレクトリパス及びファイルサイズを取り出し、インストールファイル情報に記述する。また、一覧生成部570は、I/O処理の情報からインストールファイルを含むアプリケーションの名称及びバージョン情報を取り出し、インストールファイル情報に記述する。さらに、一覧生成部570は、I/O処理対象ファイルのファイル名の拡張子によって特定されるレコードを種別定義ファイル540から取り出す。そして、一覧生成部570は、取り出したレコードのファイル種別をインストールファイル情報に記述する。
In
ステップ14では、一覧生成部570は、受信したプログラム名及びプロセスIDにより特定されるプログラムが終了したか否かを、OSに問い合わせることで判定する。プログラムが終了したのであれば、一覧生成部570が処理をステップ15に進める一方(Yes)、プログラムが続行中であれば、一覧生成部570が処理をステップ11に進める(No)。
In step 14, the
ステップ15では、一覧生成部570が、一覧ファイル231を生成する。一覧ファイル231の一覧ファイル名は、インストールファイル情報のアプリケーションの名称及びバージョン情報に基づいて作成される。例えば、インストールされたアプリケーションの名称が“FJSVxxxx”、バージョンが“V14.0.0”であった場合、一覧ファイル名は“FJSVxxxx_V1400.lst”となる。さらに、一覧生成部570が、インストールファイル情報のI/O処理対象ファイルのファイル種別、作成元プログラム名、ファイル名、ファイルが存在するディレクトリのディレクトリパス、及びファイルサイズを生成した一覧ファイル231に記述する。
In step 15, the
ステップ16では、一覧生成部570は、受信したプログラム名がtar、zip及びgzipなどのアーカイブ形式のファイルを展開するプログラム、又はsetup.exe、msi、rpm及びpkgaddなどのインストールコマンドのプログラムのどちらであるか判定する。アーカイブ形式のファイルを展開するプログラムであれば、一覧生成部570が処理をステップ17に進める一方(Yes)、インストールコマンドのプログラムであれば、一覧生成部570が処理をステップ18に進める(No)。
In step 16, the
ステップ17では、一覧生成部570が、生成した一覧ファイル231に記述されているファイル名の項目に、実行形式ファイルのファイル名が含まれているか否か判定する。ここで、実行形式ファイルとは、ファイルのファイル名の拡張子がexe、dll、若しくはsoであるファイル、並びにファイルヘッダ情報に実行形式と記述されている拡張子を持たないファイルのことである。実行形式ファイルのファイル名が含まれていれば、一覧生成部570が処理をステップ18に進める一方(Yes)、実行形式ファイルのファイル名が含まれていなければ、一覧生成部570が処理をステップ19に進める(No)。
In step 17, the
ステップ18では、一覧生成部570が、生成した一覧ファイル231を、管理コンピュータ100の比較部280に送信する。
ステップ19では、一覧生成部570が、生成した一覧ファイル231を削除する。
In
In
かかる一覧ファイル生成処理によれば、一覧生成部570は、インストールに関するプログラムがストレージ510に複写又は展開したファイルの情報、及びインストールしたアプリケーションの情報から、一覧ファイル231を生成する。また、一覧生成部570は、生成した一覧ファイル231を管理コンピュータ100の比較部280に送信する。
According to the list file generation process, the
図15は、管理対象コンピュータ400の適用部580が、管理コンピュータ100の管理部290からポリシーファイル221を受信したことを契機として実行するポリシーファイル適用処理のフローチャートを示す。
FIG. 15 shows a flowchart of a policy file application process that is executed when the
ステップ21では、適用部580は、受信したポリシーファイル221の名前と同じ名前のポリシーファイル221が、適用フォルダ520に存在するか否か判定する。同じ名前のポリシーファイル221が存在すれば、適用部580が処理をステップ22に進める一方(Yes)、同じ名前のポリシーファイル221が存在しなければ、適用部580が処理をステップ23に進める(No)。
In step 21, the
ステップ22では、適用部580が、受信したポリシーファイル221を、適用フォルダ520にある既存のポリシーファイル221に上書きする。
ステップ23では、適用部580が、受信したポリシーファイル221を適用フォルダ520に格納する。
In step 22, the
In
かかるポリシーファイル適用処理によれば、適用部580が、受信したポリシーファイル221に基づき適用フォルダ520のポリシーファイル221を更新する。
図16は、管理対象コンピュータ400でセキュリティ管理プログラムが実行されたことを契機として、制御部590が繰り返し実行するファイルアクセス制御処理のフローチャートを示す。
According to the policy file application process, the
FIG. 16 shows a flowchart of a file access control process repeatedly executed by the
ステップ31では、制御部590は、管理対象コンピュータ400が発行するI/O処理をフックすることで、I/O処理の情報(以下、I/O情報と略記する)を取得する。ここで、I/O情報には、I/O処理対象ファイルのファイル名、I/O処理対象ファイルに対するI/O処理種別(ファイルの読み込み、作成、更新及び削除など)が含まれる。
In
ステップ32では、制御部590は、フックしたI/O処理がファイルの作成であるか否か、I/O情報のI/O処理種別から判定する。I/O処理種別がファイルの作成でなければ、制御部590が処理をステップ33に進める一方(Yes)、I/O処理種別がファイルの作成であれば、制御部590が処理をステップ36に進める(No)。
In step 32, the
ステップ33では、制御部590は、I/O情報のI/O処理対象ファイルのファイル名によって特定されるレコードが、適用フォルダ520のポリシーファイル221に存在するか否か判定する。レコードが存在すれば、制御部590は、レコードが存在するポリシーファイル221を適用フォルダ520から取り出し、処理をステップ34に進める(Yes)。一方、レコードが存在しなければ、制御部590が処理をステップ35に進める(No)。
In
ステップ34では、制御部590は、取り出したポリシーファイル221から、I/O情報のI/O処理対象ファイルのファイル名により特定されるレコードを取り出す。また、制御部590は、I/O情報のI/O処理種別が、取り出したレコードのアクセス制御ポリシーで許可されているか否か判定する。アクセス制御ポリシーで許可されていれば、制御部590が処理をステップ35に進める一方(Yes)、アクセス制御ポリシーで許可されていなければ、制御部590が処理を終了する(No)。
In step 34, the
ステップ35では、制御部590が、フックしたI/O処理を実行する。
ステップ36では、制御部590が、フックしたI/O処理から、実行ファイル551のファイル名及び実行ファイル551が存在するディレクトリのディレクトリパスを取得し、I/O情報に追加する。また、制御部590は、フックしたI/O処理から、ファイル552のファイル名、ファイル552が作成されたディレクトリのディレクトリパス、ファイル552の作成元プログラム名及びファイルサイズも取得し、I/O情報に追加する。そして、制御部590は、I/O情報を監視部600に送信する。
In
In step 36, the
かかるファイルアクセス制御処理によれば、制御部590が、適用フォルダ520のポリシーファイル221の内容に従いファイルアクセス制御を実行する。また、制御部590は、ファイル552の作成を検出し、監視部600にI/O情報を送信する。
According to such file access control processing, the
図17は、管理対象コンピュータ400の監視部600が、制御部590よりI/O情報を受信したことを契機として実行するファイル作成検出処理のフローチャートを示す。
ステップ41では、監視部600が、I/O情報から、実行ファイル551のファイル名、及び実行ファイル551が存在するディレクトリのディレクトリパスを取り出す。次に、監視部600は、取り出したファイル名及びディレクトリパスにより特定されるレコードが、適用フォルダ520のポリシーファイル221に存在するか否か判定する。レコードが存在すれば、監視部600はレコードが存在するポリシーファイル221を適用フォルダ520から取り出し、処理をステップ42に進める一方(Yes)、レコードが存在しなければ、監視部600は処理を終了する(No)。
FIG. 17 is a flowchart of the file creation detection process that is executed when the
In step 41, the
ステップ42では、監視部600が、I/O情報からファイル552のファイル名、及びファイル552が作成されたディレクトリのディレクトリパスを取り出す。次に、監視部600は、取り出したファイル名及びディレクトリパスによって特定されるレコードが、取り出したポリシーファイル221に存在するか否か判定する。レコードが存在しなければ、監視部600が処理をステップ43に進める一方(Yes)、レコードが存在すれば、監視部600が処理を終了する(No)。
In step 42, the
ステップ43では、監視部600が、I/O情報、及びステップ41で取り出したポリシーファイル221のポリシーファイル名をポリシー生成部610に送信する。
かかるファイル作成検出処理によれば、監視部600は、実行ファイル551の情報が記述されたレコードが存在するポリシーファイル221を、適用フォルダ520から取り出す。また、取り出したポリシーファイル221に、ファイル552の情報が記述されたレコードが存在しない場合、監視部600は、I/O情報、及び取り出したポリシーファイル221のポリシーファイル名をポリシー生成部610に送信する。
In
According to the file creation detection process, the
図18は、管理対象コンピュータ400のポリシー生成部610が、管理コンピュータ100の比較部280から一覧ファイル231、又は、監視部600からI/O情報及びポリシーファイル名を受信したことを契機として実行するポリシーファイル生成処理のフローチャートを示す。
18 is executed when the
ステップ51では、ポリシー生成部610が、一覧ファイル231を受信したか否か判定する。一覧ファイル231を受信していれば、ポリシー生成部610が処理をステップ52に進める一方(Yes)、一覧ファイル231を受信していなければ、ポリシー生成部610が処理をステップ56に進める(No)。
In
ステップ52では、ポリシー生成部610がポリシーファイル221を生成する。生成されるポリシーファイル221のポリシーファイル名は、受信した一覧ファイル231の一覧ファイル名に基づいて作成される。例えば、受信した一覧ファイル231の一覧ファイル名が”FJSVxxxx_V1400.lst“の場合、ポリシーファイル名は、一覧ファイル名の拡張子“.lst”を“.pol”に変更した”FJSVxxxx_V1400.pol“となる。
In
ステップ53では、ポリシー生成部610が、受信した一覧ファイル231に記述されている項目のファイル種別、ファイル名及びディレクトリパスを、生成したポリシーファイル221に記述する。
In
ステップ54では、ポリシー生成部610が、標準ポリシーファイル530に従い、生成したポリシーファイル221の各レコードのアクセス制御ポリシーの項目を設定する。例えば、標準ポリシーファイル530が図5であり、かつ設定対象のレコードのファイル名が“application_1.exe”(ファイル名の拡張子は“exe”)及びファイル種別が“実行ファイル”の場合、アクセス制御ポリシーには“r=P,w=D,c=D,d=D,n=D,a=D,s=P,t=P”が設定される。
In
ステップ55では、ポリシー生成部610が、受信した一覧ファイル231及び生成したポリシーファイル221を管理コンピュータ100の管理部290に送信する。
ステップ56では、ポリシー生成部610が、I/O情報からファイル552のファイル名を取り出す。また、ポリシー生成部610は、取り出したファイル名の拡張子によって標準ポリシーファイル530に記述されているレコードを特定する。さらに、ポリシー生成部610は、特定したレコードのファイル種別及びアクセス制御ポリシーを標準ポリシーファイル530から取り出す。
In
In
ステップ57では、ポリシー生成部610は、ファイル552の情報が記述されたアクセス制御ルールを作成する。アクセス制御ルールには、ファイル552が作成されたディレクトリのディレクトリパス、ファイル552の作成元プログラム名、ファイル名、ファイルサイズ、ファイル種別及びアクセス制御ポリシー、並びに、ポリシーファイル名が記述される。ポリシー生成部610は、I/O情報からファイル552が作成されたディレクトリのディレクトリパス、ファイル552の作成元プログラム名、ファイル名及びファイルサイズ、並びに、ポリシーファイル名を取り出し、アクセス制御ルールに記述する。また、ポリシー生成部610は、取り出したファイル種別及びアクセス制御ポリシーもアクセス制御ルールに記述する。なお、アクセス制御ルールは、ファイル情報及び第2のファイル情報の一例として挙げられる。
In
ステップ58では、ポリシー生成部610が、作成したアクセス制御ルールを管理コンピュータ100の管理部290に送信する。
かかるポリシーファイル生成処理によれば、ポリシー生成部610が一覧ファイル231を受信した場合、ポリシー生成部610は、受信した一覧ファイル231に基づきポリシーファイル221を生成する。そして、ポリシー生成部610は、受信した一覧ファイル231及び生成したポリシーファイル221を、管理コンピュータ100の管理部290に送信する。また、ポリシー生成部610がI/O情報及びポリシーファイル名を受信した場合、ポリシー生成部610は、アクセス制御ルールを作成し、管理コンピュータ100の管理部290に送信する。
In
According to the policy file generation process, when the
図19及び図20は、管理コンピュータ100の比較部280が、管理対象コンピュータ400の一覧生成部570から一覧ファイル231(以下、比較元一覧ファイルと略記する)を受信したことを契機として実行する一覧ファイル比較処理のフローチャートを示す。
19 and 20 are lists that are executed when the
ステップ61では、比較部280は、比較元一覧ファイルと、一覧フォルダ230に格納されているすべての一覧ファイル231との比較が行われたか否か判定する。すべての一覧ファイル231との比較がまだ行われていなければ、比較部280は処理をステップ62に進める一方(Yes)、すべての一覧ファイル231との比較が行われたならば、比較部280は処理をステップ66に進める(No)。
In step 61, the
ステップ62では、比較部280は、比較元一覧ファイルと比較するための一覧ファイル231を一覧フォルダ230から順次取り出し、比較対象一覧ファイルにする。
ステップ63では、比較部280は、比較元一覧ファイルに記述されているレコードの数と、比較対象一覧ファイルに記述されているレコードの数が一致するか否か判定する。レコードの数が一致すれば、比較部280は処理をステップ64に進める一方(Yes)、レコードの数が一致しなければ、比較部280は処理をステップ61に進める(No)。
In
In step 63, the
ステップ64では、比較部280は、比較対象一覧ファイルに記述されているレコードと比較するためのレコードが、比較元一覧ファイルに残っているか否か判定する。比較するためのレコードが残っていれば、比較部280は処理をステップ65に進める一方(Yes)、比較するためのレコードが残っていなければ、比較部280は処理をステップ67に進める(No)。
In step 64, the
ステップ65では、比較部280が、比較対象一覧ファイルのレコードと比較するためのレコードを比較元一覧ファイルから順次取り出し、比較元レコードにする。
ステップ66では、比較部280が、比較元一覧ファイルを管理対象コンピュータ400のポリシー生成部610に返信する。
In
In step 66, the
ステップ67では、比較部280が、比較対象一覧ファイルの一覧ファイル名を管理部290に送信する。
ステップ68では、比較部280は、比較元レコードのファイル名により特定されるレコードが比較対象一覧ファイルに存在するか否か判定する。レコードが存在すれば、比較部280は処理をステップ69に進める一方(Yes)、レコードが存在しなければ、比較部280は処理をステップ61に進める(No)。
In
In step 68, the
ステップ69では、比較部280は、比較元レコードのファイル名により特定したレコードを比較対象一覧ファイルから取り出し、比較対象レコードにする。
ステップ70では、比較部280が、比較元レコードのファイル名の拡張子によって種別定義ファイル270のレコードを特定する。特定した結果、レコードのファイル形式がバイナリならば、比較部280は処理をステップ71に進める一方(Yes)、レコードのファイル形式がバイナリでなければ、比較部280は処理をステップ72に進める(No)。
In
In step 70, the
ステップ71では、比較部280が、比較元レコードと比較対象レコードとの、作成元プログラム名及びファイルサイズの項目が一致するか否か判定する。作成元プログラム名及びファイルサイズの項目が一致すれば、比較部280は処理をステップ64に進める一方(Yes)、作成元プログラム名及びファイルサイズの項目が一致しなければ、比較部280は処理をステップ61に進める(No)。
In step 71, the
ステップ72では、比較部280が、比較元レコードと比較対象レコードとの、作成元プログラム名の項目が一致するか否か判定する。作成元プログラムの項目が一致すれば、比較部280は処理をステップ64に進める一方(Yes)、作成元プログラム名の項目が一致しなければ、比較部280は処理をステップ61に進める(No)。
In step 72, the
かかる一覧ファイル比較処理によれば、比較部280は、比較元一覧ファイルと内容が一致する一覧ファイル231を、一覧フォルダ230から探す。一致する一覧ファイル231が存在すれば、比較部280は、一致する一覧ファイル231の一覧ファイル名を管理部290に送信する。また、一致する一覧ファイル231が存在しなければ、比較部280は、管理対象コンピュータ400のポリシー生成部610に比較元一覧ファイルを返信する。例えば、一覧フォルダ230の一覧ファイル231が図21、図22、図23であり、かつ比較元一覧ファイルが図9の場合、比較部280は、内容が一致する一覧ファイル231が一覧フォルダ230に存在しないと判断する。あるいは、一覧フォルダ230の一覧ファイル231が図21、図22、図23であり、かつ比較元一覧ファイルが図24の場合、比較部280が、内容が一致する一覧ファイル231は、図21が示す一覧ファイル231であると判断する。
According to the list file comparison process, the
なお、本技術では、上述の「比較元一覧ファイルと内容が一致する一覧ファイル231を、一覧フォルダ230から探す」処理を「比較元一覧ファイルの内容を含んだ一覧ファイル231を、一覧フォルダ230から探す」処理に変更してもよい。例えば、一覧フォルダ230の一覧ファイル231が図21、図22、図23であり、かつ比較元一覧ファイルが図25の場合、比較部280が、比較元一覧ファイルの内容を含む一覧ファイル231は、図22が示す一覧ファイル231であると判断する。
In the present technology, the above-described “search for the
図26は、管理コンピュータ100の管理部290が、比較部280から一覧ファイル名、又は、管理対象コンピュータ400のポリシー生成部610からポリシーファイル221及び一覧ファイル231、若しくはアクセス制御ルールを受信したことを契機として実行する管理処理のフローチャートを示す。
26 shows that the
ステップ81では、管理部290が、一覧ファイル名を受信したか否か判定する。一覧ファイル名を受信していれば、管理部290が処理をステップ82に進める一方(Yes)、一覧ファイル名を受信していなければ、管理部290が処理をステップ83に進める(No)。
In
ステップ82では、管理部290が、管理処理1サブルーチンを実行する。
ステップ83では、管理部290が、ポリシーファイル221及び一覧ファイル231を受信したか否か判定する。ポリシーファイル221及び一覧ファイル231を受信していれば、管理部290が処理をステップ84に進める一方(Yes)、ポリシーファイル221及び一覧ファイル231を受信していなければ、管理部290が処理をステップ85に進める(No)。
In
In step 83, the
ステップ84では、管理部290が、管理処理2サブルーチンを実行する。
ステップ85では、管理部290が、管理処理3サブルーチンを実行する。
図27は、管理処理1サブルーチンのフローチャートを示す。
In
In
FIG. 27 shows a flowchart of the
ステップ91では、管理部290が、受信した一覧ファイル名により、管理ファイル250のレコードを特定する。また、管理部290が、特定したレコードのポリシーファイル名により、ポリシーフォルダ220のポリシーファイル221を特定する。
In
ステップ92では、管理部290が、特定したポリシーファイル221を、管理対象コンピュータ400の適用部580に送信する。
ステップ93では、管理部290が、送信したポリシーファイル221の送信先の管理対象コンピュータ400の名前を、配布管理ファイル260の配布先コンピュータ名の項目に記述する。また、管理部290は、送信したポリシーファイル221のポリシーファイル名を、配布管理ファイル260の配布ポリシーファイル名の項目に記述する。
In step 92, the
In
図28は、管理処理2サブルーチンのフローチャートを示す。
ステップ101では、管理部290が、受信した一覧ファイル231を一覧フォルダ230に格納する。また、管理部290は、受信したポリシーファイル221をポリシーフォルダ220に格納する。
FIG. 28 shows a flowchart of the management process 2 subroutine.
In step 101, the
ステップ102では、管理部290が、受信した一覧ファイル231の一覧ファイル名より、受信した一覧ファイル231に対応するアプリケーションのアプリケーション名を決定する。例えば、”FJSVxxxx_V1400.lst“の場合は、アプリケーション名は”FJSVxxxx_V1400“となる。また、管理部290は、受信した一覧ファイル231の一覧ファイル名、受信したポリシーファイル221のポリシーファイル名、及びアプリケーション名を管理ファイル250に記述する。
In step 102, the
ステップ103では、管理部290が、受信したポリシーファイル221を管理対象コンピュータ400の適用部580に返信する。
ステップ104では、管理部290が、返信したポリシーファイル221の返信先の管理対象コンピュータ400の名前を、配布管理ファイル260の配布先コンピュータ名の項目に記述する。また、管理部290は、返信したポリシーファイル221のポリシーファイル名を、配布管理ファイル260の配布ポリシーファイル名の項目に記述する。
In
In
図29は、管理処理3サブルーチンのフローチャートを示す。
ステップ111では、管理部290が、受信したアクセス制御ルールのポリシーファイル名より、管理ファイル250のレコードを特定する。また、管理部290が、特定したレコードの増分一覧ファイル名の項目が空白か否か判定する。増分一覧ファイル名の項目が空白であれば、管理部290は処理をステップ112に進める一方(Yes)、増分一覧ファイル名の項目が空白でなければ、管理部290は処理をステップ114に進める(No)。
FIG. 29 shows a flowchart of the
In step 111, the
ステップ112では、管理部290が、増分一覧ファイル241を生成する。生成される増分一覧ファイル241の増分一覧ファイル名は、アクセス制御ルールのポリシーファイル名に基づいて作成される。例えば、アクセス制御ルールのポリシーファイル名が“FJSVxxxx_V1400.pol”の場合、増分一覧ファイル名は、ポリシーファイル名の拡張子“.pol”を“_add.lst”に変更した“FJSVxxxx_V1400_add.lst”となる。また、管理部290は、生成した増分一覧ファイル241を、増分一覧フォルダ240に格納する。
In
ステップ113では、管理部290が、生成した増分一覧ファイル241の増分一覧ファイル名を、ステップ111で特定した管理ファイル250のレコードに記述する。
ステップ114では、管理部290が、ステップ111で特定した管理ファイル250のレコードの増分一覧ファイル名から、増分一覧フォルダ240の増分一覧ファイル241を特定する。また、管理部290は、アクセス制御ルールに記述されているファイルのファイル種別、作成元プログラム名、ファイル名、ディレクトリパス及びファイルサイズを、特定した増分一覧ファイル241に記述する。
In
In
ステップ115では、管理部290が、アクセス制御ルールのポリシーファイル名からポリシーフォルダ220のポリシーファイル221を特定する。また、管理部290は、アクセス制御ルールに記述されているファイルのファイル種別、ファイル名、ディレクトリパス及びアクセス制御ポリシーを、特定したポリシーファイル221に記述する。
In
ステップ116では、管理部290が、アクセス制御ルールのポリシーファイル名により特定されるレコードを、配布管理ファイル260から取り出す。また、管理部290は、ステップ115で特定したポリシーファイル221の配布先の管理対象コンピュータ400を、取り出したレコードの配布先コンピュータ名により特定する。
In
ステップ117では、管理部290が、ステップ115で特定したポリシーファイル221を、特定した管理対象コンピュータ400の適用部580に送信する。
かかる管理処理によれば、管理部290は、ポリシーフォルダ220のポリシーファイル221、一覧フォルダ230の一覧ファイル231、増分一覧フォルダ240の増分一覧ファイル241、管理ファイル250、及び配布管理ファイル260を更新する。また、管理部290は、ポリシーフォルダ220のポリシーファイル221を、管理対象コンピュータ400の適用部580に送信する。
In
According to such management processing, the
本実施形態で、アプリケーション550が、管理対象コンピュータ400にインストールされたときの各部の動作の流れは次のようになる。管理対象コンピュータ400の検出部560は、アプリケーション550のインストールプログラムの起動を検出し、一覧生成部570にインストールが開始されたことを通知する。一覧生成部570は、検出部560からインストールが開始されたことを通知されると、アプリケーション550の情報、及びインストールプログラムがストレージ510に複写又は展開したファイルの情報を採取する。さらに、一覧生成部570は、採取したファイルの情報から一覧ファイル231を生成し、管理コンピュータ100の比較部280に送信する。管理コンピュータ100の比較部280は、一覧生成部570から受信した一覧ファイル231と内容が一致する一覧ファイル231を、一覧フォルダ230から取り出し、取り出した一覧ファイル231の一覧ファイル名を管理部290に送信する。なお、内容が一致する一覧ファイル231がなかった場合の流れは後述する。管理部290は、比較部280から受信した一覧ファイル名によりポリシーフォルダ220のポリシーファイル221を特定し、管理対象コンピュータ400の適用部580に送信する。また、管理部290は、送信したポリシーファイルの名前及び送信先の管理対象コンピュータ400の名前を、配布管理ファイル260に記述する。管理対象コンピュータ400の適用部580は、管理部290から受信したポリシーファイル221を適用フォルダ520に格納する。制御部590は、適用フォルダ520のポリシーファイル221に記述されているファイルに対するI/O処理を、アクセス制御ポリシーに従って制御する。
In this embodiment, the operation flow of each unit when the
上述で、管理コンピュータ100の比較部280が受信した一覧ファイル231と内容が一致する一覧ファイル231が、一覧フォルダ230になかった場合の各部の動作の流れは次のようになる。管理コンピュータ100の比較部280は、管理対象コンピュータ400から受信した一覧ファイル231を管理対象コンピュータ400のポリシー生成部610に返信する。管理対象コンピュータ400のポリシー生成部610は、比較部280から受信した一覧ファイル231、及び標準ポリシーファイル530に基づきポリシーファイル221を生成し、受信した一覧ファイル231と共に管理コンピュータ100の管理部290に送信する。管理コンピュータ100の管理部290は、ポリシー生成部610から受信したポリシーファイル221及び一覧ファイル231を、ポリシーフォルダ220及び一覧フォルダ230に夫々格納する。また、管理部290は、受信したポリシーファイル221の名前、一覧ファイル231の名前、及びアプリケーション550のアプリケーション名を管理ファイル250に記述する。さらに、管理部290は、受信したポリシーファイル221を管理対象コンピュータ400の適用部580に返信する。そして、管理部290は、返信したポリシーファイル221の名前及び返信先の管理対象コンピュータ400の名前を配布管理ファイル260に記述する。管理対象コンピュータ400の適用部580は、管理部290から受信したポリシーファイル221を適用フォルダ520に格納する。制御部590は、適用フォルダ520のポリシーファイル221に記述されているファイルに対するI/O処理を、アクセス制御ポリシーに従って制御する。
The operation flow of each unit when the
又は、本実施形態で、管理対象コンピュータ400でアプリケーション550のインストール後に、アプリケーション550の実行ファイル551がファイル552を作成したときの、各部の動作の流れは次のようになる。管理対象コンピュータ400の制御部590は、ファイル552の作成を検出し、ファイル552作成時のI/O処理の情報を監視部600に送信する。監視部600は、制御部590から受信したI/O処理の情報に基づき、適用フォルダ520に、実行ファイル551の情報及びファイル552の情報が記述されているポリシーファイル221が存在するか否か判定する。ポリシーファイル221が存在する場合、監視部600は、ファイル552の情報をポリシー生成部610に送信する。ポリシー生成部610は、監視部600から受信したファイル552の情報、及び標準ポリシーファイル530に基づき、ファイル552のアクセス制御ルールを作成し、管理コンピュータ100の管理部290に送信する。管理コンピュータ100の管理部290は、ポリシー生成部610から受信したアクセス制御ルールに基づき、増分一覧フォルダ240の増分一覧ファイル241を更新する。(この時、アプリケーション550の増分一覧ファイル241が増分一覧フォルダ240になければ、管理部290は、増分一覧ファイル241を生成し、増分一覧フォルダ240に格納する。)また、管理部290は、アクセス制御ルールに基づき、管理ファイル250、及びポリシーフォルダ220のポリシーファイル221を更新する。さらに、管理部290は、配布管理ファイル260に基づき、更新したポリシーファイル221の送信先の管理対象コンピュータ400を特定する。そして、管理部290は、特定した管理対象コンピュータ400の適用部580に、更新したポリシーファイル221を送信する。管理対象コンピュータ400の適用部580は、管理部290から受信したポリシーファイル221で、適用フォルダ520のポリシーファイル221を上書きする。制御部590は、適用フォルダ520のポリシーファイル221に記述されているファイルに対するI/O処理を、アクセス制御ポリシーに従って制御する。
Alternatively, in this embodiment, the operation flow of each unit when the
従って、標準ポリシーファイル530に基づき、管理対象コンピュータ400にインストールされたアプリケーションに対応するポリシーファイル221が生成される。又は、一の管理対象コンピュータ400で使用実績のあるポリシーファイル221が、別の管理対象コンピュータ400に流用される。さらに、管理対象コンピュータ400のアプリケーションが作成したファイルのアクセス制御ポリシーが、アプリケーションに対応するポリシーファイル221に追加される。このため、ファイルのセキュリティ管理が容易化しコンピュータシステムの管理コストが軽減される。また、有効なセキュリティ環境が迅速に構築される。
Therefore, based on the
以上の実施形態に関し、更に以下の付記を開示する。
(付記1)ファイル種別に対応したアクセス制御ポリシーを記憶した第1のストレージを有する管理対象コンピュータと、アクセス制御ポリシーが定義されたポリシーデータであって複数の管理対象コンピュータに配布されたポリシーデータを記憶した第2のストレージを有する管理コンピュータと、を有するセキュリティ管理システムであって、前記管理対象コンピュータにおいて、アプリケーションがインストールされたときに、該インストールによって作成されたファイル及び該ファイルの種別を特定するための第1のファイル情報を生成する第1の情報生成部と、前記管理対象コンピュータにおいて、前記第1のファイル情報を前記管理コンピュータに送信する第1の情報送信部と、前記管理コンピュータにおいて、前記第1のファイル情報を受信したときに、前記第1のファイル情報に対応するポリシーデータを前記第2のストレージから検索するポリシー検索部と、前記管理コンピュータにおいて、前記ポリシーデータが存在する場合には、前記ポリシーデータを、前記ポリシーデータが存在しない場合には、前記ポリシーデータが存在しないことを示す情報を前記管理対象コンピュータに送信する第1の送信部と、前記管理対象コンピュータにおいて、前記ポリシーデータを受信した場合には、前記ポリシーデータを、前記ポリシーデータが存在しないことを示す情報を受信した場合には、前記第1のファイル情報により特定される各ファイルについて前記第1のストレージを参照して、前記第1のファイル情報により特定されるファイルの種別に対応したアクセス制御ポリシーと該ファイルとを関連付けたポリシーデータを生成して前記第1のストレージに記憶する第1の登録部と、前記管理対象コンピュータにおいて、前記第1のストレージに記憶されたポリシーデータに基づいてファイルアクセス制御を実行するアクセス制御部と、を有することを特徴とするセキュリティ管理システム。(1)
Regarding the above embodiment, the following additional notes are disclosed.
(Supplementary note 1) A managed computer having a first storage storing an access control policy corresponding to a file type, and policy data in which an access control policy is defined and distributed to a plurality of managed computers A security management system having a stored second storage, wherein when the application is installed in the managed computer, the file created by the installation and the type of the file are specified A first information generating unit that generates first file information for the management target computer, a first information transmitting unit that transmits the first file information to the management computer, and the management computer; The first file In the policy search unit that searches the second storage for policy data corresponding to the first file information when the policy data is received, and when the policy data exists in the management computer, the policy data When the policy data does not exist, the policy data is received by the first sending unit that sends information indicating that the policy data does not exist to the managed computer and the managed computer. In this case, when the policy data is received as information indicating that the policy data does not exist, the first storage for each file specified by the first file information is referred to, and Access corresponding to the file type specified by the first file information A first registration unit that generates policy data in which the control policy is associated with the file and stores the policy data in the first storage; and in the managed computer, based on the policy data stored in the first storage An access control unit that executes file access control. (1)
(付記2)アプリケーションに対応したアクセス制御ポリシーが定義されたポリシーデータ、及びファイル種別に対応したアクセス制御ポリシーを記憶した第1のストレージを有する管理対象コンピュータと、複数の管理対象コンピュータに配布したポリシーデータを記憶した第2のストレージを有する管理コンピュータと、を有するセキュリティ管理システムであって、前記管理対象コンピュータにおいて、アプリケーションによりファイルが作成されたときに、前記第1のストレージを参照して、前記アプリケーションに対応するポリシーデータを更新する必要があるか否かを判定するポリシー判定部と、前記管理対象コンピュータにおいて、前記ポリシーデータを更新する必要がある場合に、前記第1のストレージを参照して、前記ファイルの種別に対応したアクセス制御ポリシーと前記ファイルとを関連付けた第2のファイル情報を生成する第2の情報生成部と、前記管理対象コンピュータにおいて、前記第2のファイル情報を前記管理コンピュータに送信する第2の情報送信部と、前記管理コンピュータにおいて、前記第2のファイル情報を受信したときに、前記第2のストレージに記憶されているポリシーデータのうち、前記アプリケーションに対応するポリシーデータに、前記第2のファイル情報に基づいて前記ファイルのアクセス制御ポリシーを追加するポリシー追加部と、前記管理コンピュータにおいて、アクセス制御ポリシーが追加されたポリシーデータを前記管理対象コンピュータに送信する第2の送信部と、前記管理対象コンピュータにおいて、アクセス制御ポリシーが追加されたポリシーデータを受信したときに、アクセス制御ポリシーが追加されたポリシーデータを前記第1のストレージに記憶する第2の登録部と、前記管理対象コンピュータにおいて、前記第1のストレージに記憶されたポリシーデータに基づいてファイルアクセス制御を実行するアクセス制御部と、を有することを特徴とするセキュリティ管理システム。(2) (Supplementary Note 2) Policy data in which an access control policy corresponding to an application is defined, a managed computer having a first storage storing an access control policy corresponding to a file type, and a policy distributed to a plurality of managed computers A management computer having a second storage for storing data, wherein when a file is created by an application in the managed computer, the first storage is referred to, and In the policy determination unit that determines whether or not it is necessary to update the policy data corresponding to the application, and when the policy data needs to be updated in the managed computer, refer to the first storage , A second information generation unit that generates second file information in which an access control policy corresponding to a file type and the file are associated with each other, and the management target computer transmits the second file information to the management computer And when the second file information is received in the management computer, the policy data corresponding to the application among the policy data stored in the second storage when the second file information is received. A policy addition unit for adding an access control policy for the file based on the second file information; and a second transmission unit for transmitting policy data to which the access control policy is added to the managed computer in the management computer. And access on the managed computer A second registration unit that stores the policy data to which the access control policy has been added in the first storage when the policy data to which the control policy has been added is received; and And an access control unit that executes file access control based on the policy data stored in the security management system. (2)
(付記3)ファイル種別に対応したアクセス制御ポリシーを記憶した第1のストレージを有する管理対象コンピュータと、アクセス制御ポリシーが定義されたポリシーデータであって複数の管理対象コンピュータに配布されたポリシーデータを記憶した第2のストレージを有する管理コンピュータと、を有するセキュリティ管理システムのセキュリティ管理方法であって、前記管理対象コンピュータが、アプリケーションがインストールされたときに、該インストールによって作成されたファイル及び該ファイルの種別を特定するための第1のファイル情報を生成するステップと、前記管理対象コンピュータが、前記第1のファイル情報を前記管理コンピュータに送信するステップと、前記管理コンピュータが、前記第1のファイル情報を受信したときに、前記第1のファイル情報に対応するポリシーデータを前記第2のストレージから検索するステップと、前記管理コンピュータが、前記ポリシーデータが存在する場合には、前記ポリシーデータを、前記ポリシーデータが存在しない場合には、前記ポリシーデータが存在しないことを示す情報を前記管理対象コンピュータに送信するステップと、前記管理対象コンピュータが、前記ポリシーデータを受信した場合には、前記ポリシーデータを、前記ポリシーデータが存在しないことを示す情報を受信した場合には、前記第1のファイル情報により特定される各ファイルについて前記第1のストレージを参照して、前記第1のファイル情報により特定されるファイルの種別に対応したアクセス制御ポリシーと該ファイルとを関連付けたポリシーデータを生成して前記第1のストレージに記憶するステップと、前記管理対象コンピュータが、前記第1のストレージに記憶されたポリシーデータに基づいてファイルアクセス制御を実行するステップと、を実行することを特徴とするセキュリティ管理方法。 (Supplementary Note 3) A managed computer having a first storage storing an access control policy corresponding to a file type, and policy data in which an access control policy is defined and distributed to a plurality of managed computers. A security management method for a security management system, comprising: a management computer having a stored second storage, wherein when the application is installed on the managed computer, the file created by the installation and the file Generating first file information for specifying a type; sending the first file information to the management computer; and managing the computer to send the first file information to the management computer. Received The policy data corresponding to the first file information is retrieved from the second storage, and if the management computer exists the policy data, the policy data is converted to the policy data. If the management target computer receives the policy data, the information indicating that the policy data does not exist is transmitted to the management target computer. When information indicating that policy data does not exist is received, the file specified by the first file information is referred to the first storage for each file specified by the first file information. Associate the access control policy corresponding to the type of file and the file Generating the stored policy data in the first storage, and executing the file access control based on the policy data stored in the first storage by the managed computer. A security management method characterized by the above.
(付記4)アプリケーションに対応したアクセス制御ポリシーが定義されたポリシーデータ、及びファイル種別に対応したアクセス制御ポリシーを記憶した第1のストレージを有する管理対象コンピュータと、複数の管理対象コンピュータに配布したポリシーデータを記憶した第2のストレージを有する管理コンピュータと、を有するセキュリティ管理システムのセキュリティ管理方法であって、前記管理対象コンピュータが、アプリケーションによりファイルが作成されたときに、前記第1のストレージを参照して、前記アプリケーションに対応するポリシーデータを更新する必要があるか否かを判定するステップと、
前記管理対象コンピュータが、前記ポリシーデータを更新する必要がある場合に、前記第1のストレージを参照して、前記ファイルの種別に対応したアクセス制御ポリシーと前記ファイルとを関連付けた第2のファイル情報を生成するステップと、前記管理対象コンピュータが、前記第2のファイル情報を前記管理コンピュータに送信するステップと、前記管理コンピュータが、前記第2のファイル情報を受信したときに、前記第2のストレージに記憶されているポリシーデータのうち、前記アプリケーションに対応するポリシーデータに、前記第2のファイル情報に基づいて前記ファイルのアクセス制御ポリシーを追加するステップと、前記管理コンピュータが、アクセス制御ポリシーが追加されたポリシーデータを前記管理対象コンピュータに送信するステップと、前記管理対象コンピュータが、アクセス制御ポリシーが追加されたポリシーデータを受信したときに、アクセス制御ポリシーが追加されたポリシーデータを前記第1のストレージに記憶するステップと、前記管理対象コンピュータが、前記第1のストレージに記憶されたポリシーデータに基づいてファイルアクセス制御を実行するステップと、を実行することを特徴とするセキュリティ管理方法。
(Appendix 4) Policy data in which an access control policy corresponding to an application is defined, a managed computer having a first storage storing an access control policy corresponding to a file type, and a policy distributed to a plurality of managed computers A security management method of a security management system having a second storage storing data, wherein the managed computer refers to the first storage when a file is created by an application Determining whether it is necessary to update the policy data corresponding to the application;
Second file information that associates the file with an access control policy corresponding to the file type by referring to the first storage when the managed computer needs to update the policy data Generating the second storage information when the management target computer transmits the second file information to the management computer, and when the management computer receives the second file information. Adding the access control policy of the file based on the second file information to the policy data corresponding to the application among the policy data stored in the management data, and adding the access control policy to the management computer The managed policy data is stored in the managed computer. And when the managed computer receives the policy data to which the access control policy has been added, storing the policy data to which the access control policy has been added in the first storage, And a step of executing file access control based on the policy data stored in the first storage by the managed computer.
(付記5)ファイル種別に対応したアクセス制御ポリシーを記憶したストレージを有する管理対象コンピュータに、アプリケーションがインストールされたときに、該インストールによって作成されたファイル及び該ファイルの種別を特定するためのファイル情報を生成するステップと、前記ファイル情報を管理コンピュータに送信するステップと、前記ファイル情報の応答として、前記管理コンピュータからアクセス制御ポリシーが定義されたポリシーデータを受信した場合には、前記ポリシーデータを、前記管理コンピュータからポリシーデータが存在しないことを示す情報を受信した場合には、前記ファイル情報により特定される各ファイルについて前記ストレージを参照して、前記ファイル情報により特定されるファイルの種別に対応したアクセス制御ポリシーと該ファイルとを関連付けたポリシーデータを生成して前記ストレージに記憶するステップと、前記ストレージに記憶されたポリシーデータに基づいてファイルアクセス制御を実行するステップと、を実現させることを特徴とするセキュリティ管理プログラム。(3) (Supplementary Note 5) When an application is installed on a managed computer having a storage storing an access control policy corresponding to the file type, file information for specifying the file created by the installation and the type of the file And when the policy data in which an access control policy is defined is received from the management computer as a response to the file information, the policy data is sent as a response to the file information. When information indicating that no policy data exists from the management computer is received, the storage is referred to for each file specified by the file information, and the file type specified by the file information is matched. Generating the policy data associating the access control policy with the file and storing the policy data in the storage; and executing the file access control based on the policy data stored in the storage. A featured security management program. (3)
(付記6)アクセス制御ポリシーが定義されたポリシーデータであって複数の管理対象コンピュータに配布されたポリシーデータを記憶したストレージを有する管理コンピュータに、前記管理対象コンピュータのいずれかから、アプリケーションのインストールによって作成されたファイル及び前記ファイルの種別を特定するためのファイル情報を受信したときに、前記ファイル情報に対応するポリシーデータを前記ストレージから検索するステップと、前記ファイル情報を送信した前記管理対象コンピュータに、前記ポリシーデータを送信するステップと、を実現させることを特徴とするセキュリティ管理プログラム。(4) (Supplementary Note 6) Policy data in which an access control policy is defined, which is stored in a management computer storing policy data distributed to a plurality of managed computers, can be installed by installing an application from any of the managed computers. When the file information for specifying the created file and the file type is received, the policy data corresponding to the file information is retrieved from the storage; and the managed computer that has transmitted the file information is searched for And a step of transmitting the policy data. (4)
(付記7)アプリケーションに対応したアクセス制御ポリシーが定義されたポリシーデータ、及びファイル種別に対応したアクセス制御ポリシーを記憶したストレージを有する管理対象コンピュータに、アプリケーションによりファイルが作成されたときに、前記ストレージを参照して、前記アプリケーションに対応するポリシーデータを更新する必要があるか否かを判定するステップと、前記ポリシーデータを更新する必要がある場合に、前記ストレージを参照して、前記ファイルの種別に対応したアクセス制御ポリシーと前記ファイルとを関連付けたファイル情報を生成するステップと、前記ファイル情報を管理コンピュータに送信するステップと、前記ファイル情報の応答として、前記管理コンピュータからアクセス制御ポリシーが追加されたポリシーデータを受信したときに、アクセス制御ポリシーが追加されたポリシーデータを前記ストレージに記憶するステップと、前記ストレージに記憶されたポリシーデータに基づいてファイルアクセス制御を実行するステップと、を実現させることを特徴とするセキュリティ管理プログラム。 (Supplementary note 7) When a file is created by an application on a managed computer having a storage storing policy data in which an access control policy corresponding to the application is defined and an access control policy corresponding to the file type, the storage To determine whether it is necessary to update the policy data corresponding to the application, and when the policy data needs to be updated, the storage is referred to and the file type is determined. An access control policy added from the management computer as a response to the file information, generating a file information associating the access control policy corresponding to the file and the file, sending the file information to the management computer When the received policy data is received, the policy data to which the access control policy is added is stored in the storage, and the file access control is executed based on the policy data stored in the storage. Security management program characterized by
(付記8)アプリケーションに対応したアクセス制御ポリシーが定義されたポリシーデータであって、複数の管理対象コンピュータに配布したポリシーデータを記憶したストレージを有する管理コンピュータに、前記管理対象コンピュータのいずれかから、該管理対象コンピュータのアプリケーションにより作成されたファイルと前記ファイルのアクセス制御ポリシーとを関連付けたファイル情報を受信したときに、前記ストレージに記憶されているポリシーデータのうち、前記アプリケーションに対応するポリシーデータに、前記ファイル情報に基づいて前記ファイルのアクセス制御ポリシーを追加するステップと、前記ファイル情報を送信した前記管理対象コンピュータに、アクセス制御ポリシーが追加されたポリシーデータを送信するステップと、を実現させることを特徴とするセキュリティ管理プログラム。 (Supplementary Note 8) Policy data in which an access control policy corresponding to an application is defined, and a management computer having a storage storing policy data distributed to a plurality of managed computers, from any of the managed computers, When the file information that associates the file created by the application of the managed computer with the access control policy of the file is received, the policy data corresponding to the application is the policy data stored in the storage. Adding an access control policy for the file based on the file information, and transmitting policy data with the access control policy added to the managed computer that has transmitted the file information. Security management program for causing achieved and step, the.
A 管理コンピュータ
A1 第2のストレージ
A2 ポリシー検索部
A3 第1の送信部
A4 ポリシー追加部
A5 第2の送信部
B 管理対象コンピュータ
B1 第1のストレージ
B2 第1の情報生成部
B3 第1の情報送信部
B4 第1の登録部
B5 アクセス制御部
B6 ポリシー判定部
B7 第2の情報生成部
B8 第2の情報送信部
B9 第2の登録部
A management computer A1 second storage A2 policy search unit A3 first transmission unit A4 policy addition unit A5 second transmission unit B managed computer B1 first storage B2 first information generation unit B3 first information transmission Unit B4 first registration unit B5 access control unit B6 policy determination unit B7 second information generation unit B8 second information transmission unit B9 second registration unit
Claims (4)
前記管理対象コンピュータにおいて、アプリケーションがインストールされたときに、該インストールによって作成されたファイル及び該ファイルの種別を特定するための第1のファイル情報を生成する第1の情報生成部と、
前記管理対象コンピュータにおいて、前記第1のファイル情報を前記管理コンピュータに送信する第1の情報送信部と、
前記管理コンピュータにおいて、前記第1のファイル情報を受信したときに、前記第1のファイル情報に対応するポリシーデータを前記第2のストレージから検索するポリシー検索部と、
前記管理コンピュータにおいて、前記ポリシーデータが存在する場合には、前記ポリシーデータを、前記ポリシーデータが存在しない場合には、前記ポリシーデータが存在しないことを示す情報を前記管理対象コンピュータに送信する第1の送信部と、
前記管理対象コンピュータにおいて、前記ポリシーデータを受信した場合には、前記ポリシーデータを、前記ポリシーデータが存在しないことを示す情報を受信した場合には、前記第1のファイル情報により特定される各ファイルについて前記第1のストレージを参照して、前記第1のファイル情報により特定されるファイルの種別に対応したアクセス制御ポリシーと該ファイルとを関連付けたポリシーデータを生成して前記第1のストレージに記憶する第1の登録部と、
前記管理対象コンピュータにおいて、前記第1のストレージに記憶されたポリシーデータに基づいてファイルアクセス制御を実行するアクセス制御部と、
を有することを特徴とするセキュリティ管理システム。 A managed computer having a first storage that stores an access control policy corresponding to a file type, and a second that stores policy data in which the access control policy is defined and distributed to a plurality of managed computers A security management system having a storage computer
A first information generation unit configured to generate first file information for specifying a file created by the installation and a type of the file when an application is installed in the managed computer;
A first information transmission unit configured to transmit the first file information to the management computer;
In the management computer, when receiving the first file information, a policy search unit that searches the second storage for policy data corresponding to the first file information;
In the management computer, when the policy data exists, the policy data is transmitted to the management target computer, and when the policy data does not exist, information indicating that the policy data does not exist is transmitted to the management target computer. The transmitter of
In the managed computer, when the policy data is received, the policy data is received. When the information indicating that the policy data does not exist is received, each file specified by the first file information is received. Referring to the first storage with respect to the file, the access control policy corresponding to the file type specified by the first file information and policy data associating the file are generated and stored in the first storage A first registration unit that
An access control unit that executes file access control based on policy data stored in the first storage in the managed computer;
A security management system comprising:
前記管理対象コンピュータにおいて、アプリケーションによりファイルが作成されたときに、前記第1のストレージを参照して、前記アプリケーションに対応するポリシーデータを更新する必要があるか否かを判定するポリシー判定部と、
前記管理対象コンピュータにおいて、前記ポリシーデータを更新する必要がある場合に、前記第1のストレージを参照して、前記ファイルの種別に対応したアクセス制御ポリシーと前記ファイルとを関連付けた第2のファイル情報を生成する第2の情報生成部と、
前記管理対象コンピュータにおいて、前記第2のファイル情報を前記管理コンピュータに送信する第2の情報送信部と、
前記管理コンピュータにおいて、前記第2のファイル情報を受信したときに、前記第2のストレージに記憶されているポリシーデータのうち、前記アプリケーションに対応するポリシーデータに、前記第2のファイル情報に基づいて前記ファイルのアクセス制御ポリシーを追加するポリシー追加部と、
前記管理コンピュータにおいて、アクセス制御ポリシーが追加されたポリシーデータを前記管理対象コンピュータに送信する第2の送信部と、
前記管理対象コンピュータにおいて、アクセス制御ポリシーが追加されたポリシーデータを受信したときに、アクセス制御ポリシーが追加されたポリシーデータを前記第1のストレージに記憶する第2の登録部と、
前記管理対象コンピュータにおいて、前記第1のストレージに記憶されたポリシーデータに基づいてファイルアクセス制御を実行するアクセス制御部と、
を有することを特徴とするセキュリティ管理システム。 Policy data in which an access control policy corresponding to an application is defined, a managed computer having a first storage storing an access control policy corresponding to a file type, and policy data distributed to a plurality of managed computers are stored A security management system having a management computer having a second storage,
In the managed computer, when a file is created by an application, a policy determination unit that determines whether it is necessary to update policy data corresponding to the application with reference to the first storage;
In the managed computer, when the policy data needs to be updated, second file information in which the file is associated with the access control policy corresponding to the file type with reference to the first storage. A second information generation unit for generating
A second information transmission unit configured to transmit the second file information to the management computer in the management target computer;
In the management computer, when the second file information is received, the policy data corresponding to the application among the policy data stored in the second storage is based on the second file information. A policy adding unit for adding an access control policy for the file;
A second transmission unit configured to transmit policy data to which the access control policy is added to the management target computer in the management computer;
A second registration unit that stores the policy data with the access control policy added to the first storage when the managed computer receives the policy data with the access control policy added;
An access control unit that executes file access control based on policy data stored in the first storage in the managed computer;
A security management system comprising:
アプリケーションがインストールされたときに、該インストールによって作成されたファイル及び該ファイルの種別を特定するためのファイル情報を生成するステップと、
前記ファイル情報を管理コンピュータに送信するステップと、
前記ファイル情報の応答として、前記管理コンピュータからアクセス制御ポリシーが定義されたポリシーデータを受信した場合には、前記ポリシーデータを、前記管理コンピュータからポリシーデータが存在しないことを示す情報を受信した場合には、前記ファイル情報により特定される各ファイルについて前記ストレージを参照して、前記ファイル情報により特定されるファイルの種別に対応したアクセス制御ポリシーと該ファイルとを関連付けたポリシーデータを生成して前記ストレージに記憶するステップと、
前記ストレージに記憶されたポリシーデータに基づいてファイルアクセス制御を実行するステップと、
を実現させることを特徴とするセキュリティ管理プログラム。 To a managed computer with storage that stores the access control policy corresponding to the file type,
Generating file information for specifying a file created by the installation and a type of the file when the application is installed;
Sending the file information to a management computer;
As a response to the file information, when policy data in which an access control policy is defined is received from the management computer, the policy data is received, and information indicating that policy data does not exist is received from the management computer. Refers to the storage for each file specified by the file information, generates policy data associating the file with an access control policy corresponding to the file type specified by the file information, and the storage The step of storing in
Performing file access control based on policy data stored in the storage;
Security management program characterized by realizing
前記管理対象コンピュータのいずれかから、アプリケーションのインストールによって作成されたファイル及び前記ファイルの種別を特定するためのファイル情報を受信したときに、前記ファイル情報に対応するポリシーデータを前記ストレージから検索するステップと、
前記ファイル情報を送信した前記管理対象コンピュータに、前記ポリシーデータを送信するステップと、
を実現させることを特徴とするセキュリティ管理プログラム。 To a management computer having a storage storing policy data in which an access control policy is defined and distributed to a plurality of managed computers.
A step of searching the storage for policy data corresponding to the file information when receiving a file created by installing an application and file information for specifying the type of the file from any of the managed computers When,
Sending the policy data to the managed computer that sent the file information;
Security management program characterized by realizing
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010061819A JP5533090B2 (en) | 2010-03-18 | 2010-03-18 | Security management system, security management program, information processing apparatus, information processing method, and information processing program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010061819A JP5533090B2 (en) | 2010-03-18 | 2010-03-18 | Security management system, security management program, information processing apparatus, information processing method, and information processing program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011197849A true JP2011197849A (en) | 2011-10-06 |
JP5533090B2 JP5533090B2 (en) | 2014-06-25 |
Family
ID=44876001
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010061819A Expired - Fee Related JP5533090B2 (en) | 2010-03-18 | 2010-03-18 | Security management system, security management program, information processing apparatus, information processing method, and information processing program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5533090B2 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9354862B2 (en) | 2014-06-16 | 2016-05-31 | Fujitsu Limited | Apparatus and method for software information management |
JPWO2015045048A1 (en) * | 2013-09-26 | 2017-03-02 | 富士通株式会社 | Application data storage area generation method, application data storage area generation device, and application data storage area generation program |
JP2017514205A (en) * | 2014-03-11 | 2017-06-01 | シマンテック コーポレーションSymantec Corporation | System and method for detecting malware on mobile devices prior to installation |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004192601A (en) * | 2002-10-17 | 2004-07-08 | Hitachi Ltd | Policy setting support tool |
JP2005234864A (en) * | 2004-02-19 | 2005-09-02 | Nippon Telegr & Teleph Corp <Ntt> | Distribution server and security policy distribution server |
-
2010
- 2010-03-18 JP JP2010061819A patent/JP5533090B2/en not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004192601A (en) * | 2002-10-17 | 2004-07-08 | Hitachi Ltd | Policy setting support tool |
JP2005234864A (en) * | 2004-02-19 | 2005-09-02 | Nippon Telegr & Teleph Corp <Ntt> | Distribution server and security policy distribution server |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPWO2015045048A1 (en) * | 2013-09-26 | 2017-03-02 | 富士通株式会社 | Application data storage area generation method, application data storage area generation device, and application data storage area generation program |
US10102396B2 (en) | 2013-09-26 | 2018-10-16 | Fujitsu Limited | Application data storage area generation method, application data storage area generation apparatus, and application data storage area generation program |
JP2017514205A (en) * | 2014-03-11 | 2017-06-01 | シマンテック コーポレーションSymantec Corporation | System and method for detecting malware on mobile devices prior to installation |
US9354862B2 (en) | 2014-06-16 | 2016-05-31 | Fujitsu Limited | Apparatus and method for software information management |
Also Published As
Publication number | Publication date |
---|---|
JP5533090B2 (en) | 2014-06-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210173853A1 (en) | Selective synchronization of content items in a content management system | |
US9703790B1 (en) | System and method for managing data on a network | |
AU2011320742B2 (en) | Methods for processing private metadata | |
RU2424568C2 (en) | Efficient storage of registration data with request support, facilating computer network safety | |
US7469260B2 (en) | File storage service system, file management device, file management method, ID denotative NAS server and file reading method | |
US20170195333A1 (en) | Document management systems and methods | |
JP2011192238A (en) | Device management apparatus, device management system, information management method, information management program, and recording medium with the program recorded therein | |
JP5533090B2 (en) | Security management system, security management program, information processing apparatus, information processing method, and information processing program | |
JP5106062B2 (en) | File search method, file search device, search system, and file search program | |
JP4766127B2 (en) | Information processing apparatus, file management system, and program | |
US20190377722A1 (en) | Array structures | |
JP2009176039A (en) | System for managing file, file management server, and file management program | |
JP2006113663A (en) | Data storage system, its method, file server, terminal and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130108 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131115 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140107 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140310 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140401 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5533090 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140414 |
|
LAPS | Cancellation because of no payment of annual fees |