JP2003006027A - アクセス制御ポリシーの自動設定方法およびそのシステム - Google Patents

アクセス制御ポリシーの自動設定方法およびそのシステム

Info

Publication number
JP2003006027A
JP2003006027A JP2001187561A JP2001187561A JP2003006027A JP 2003006027 A JP2003006027 A JP 2003006027A JP 2001187561 A JP2001187561 A JP 2001187561A JP 2001187561 A JP2001187561 A JP 2001187561A JP 2003006027 A JP2003006027 A JP 2003006027A
Authority
JP
Japan
Prior art keywords
access
file
access control
policy
control policy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2001187561A
Other languages
English (en)
Inventor
Koji Matsubara
康治 松原
Michihiro Yamazaki
通弘 山崎
Chiharu Ogawa
千晴 小川
Toshikazu Umetsu
利和 梅都
Osamu Tomita
理 冨田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2001187561A priority Critical patent/JP2003006027A/ja
Publication of JP2003006027A publication Critical patent/JP2003006027A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Storage Device Security (AREA)

Abstract

(57)【要約】 【課題】情報処理装置が管理するファイルを保護するた
めのアクセス制御ポリシーの自動設定を可能にし、特別
な知識を有していなくてもアクセス制御システムを使用
可能にする。 【解決手段】情報処理装置100が管理するファイルへ
のアクセスの正当性を判断するためのアクセス制御ポリ
シーを格納したポリシーファイル109と、アクセス制
御ポリシーを設定するためのアクセス制御ポリシー設定
部107と、ファイルアクセス要求の正当性をアクセス
制御ポリシーに基づき判定するアクセス制御処理部10
6と、情報処理装置100へのファイルアクセス要求の
発行を監視し、発行されたファイルアクセス要求を下部
に伝え、正当性判定結果を受信するアクセス監視処理部
102と、プログラムが起動しているか否かを監視する
プロセス起動終了監視部105とを備える。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、情報処理装置が管
理する情報を不正なアクセスから保護するアクセス制御
システムにおいて、実際に行われたアクセス情報を利用
してアクセス制御ポリシーを自動設定することにより、
情報管理方法に関する特別な知識を有していなくてもア
クセス制御システムを使用することを可能にしたアクセ
ス制御ポリシーの自動設定方法およびそのシステムに関
する。
【0002】
【従来の技術】近年、インターネットサービスプログラ
ム等に潜むセキュリティホールやバグなどを利用した外
部からの情報処理装置への不正アクセスが増加している
が、これらの不正アクセスからファイルを保護する技術
としては、例えば、特開平11−149413号公報に
記載の「改ざん防止/検出機能を有するファイル管理シ
ステム」などがある。
【0003】上記ファイル管理システムでは、主ファイ
ルから生成された認証子を副ファイルに格納し、副ファ
イルから生成された認証子をシステムファイルに格納す
る。計算機側の相互認証部は計算機と記憶装置の双方の
間で相互認証を行い、成功したならば、共通のアクセス
許可鍵を生成し、記憶装置側に渡し、双方に格納する。
ファイルアクセス部は、記憶装置を介してアクセスする
媒体上のセキュア領域にアクセスする場合に、記憶装置
のセキュア領域アクセス部に対してアクセス要求ととも
にアクセス許可鍵を送付する。送付されたアクセス許可
鍵と同一の鍵がアクセス許可鍵記憶部内に存在したなら
ば、セキュア領域アクセス部はセキュア領域へのアクセ
スを行う。
【0004】
【発明が解決しようとする課題】しかしながら、情報処
理装置への不正アクセスからファイルを保護するための
アクセス制御ポリシーには、当該ファイルにアクセスを
行うユーザ名、アクセスを行うプログラム名などといっ
た情報が必要であり、アクセス制御ポリシーを設定する
には、当該ファイルにアクセスを行うプログラムにはど
のようなものがあるのかなどのファイルアクセスに関す
る知識を必要とするため、誰でも簡単に設定ができると
いうものではなかった。そのため、システム管理者など
特定の有識者でないとアクセス制御システムを使用する
ことができなかった。また、管理すべき情報は数多くあ
り、また日夜更新追加が頻繁になされている。従って、
このような状況下で、システム管理者でさえも見落とし
たり、設定操作を誤ってしまうこともあるため、ハッカ
ーが入り込むセキュリティホールを人的に作り出す危険
性があった。
【0005】そこで、本発明の目的は、情報管理に関す
る特定の知識およびポリシー設定操作の正確さを必要と
するアクセス制御ポリシーの設定を自動的に行うことが
でき、かつ特別な知識を有していなくてもアクセス制御
システムを構築し、それを使用可能にすることができる
アクセス制御ポリシーの自動設定方法およびそのシステ
ムを提供することにある。
【0006】
【課題を解決するための手段】上記目的を達成するた
め、本発明のアクセス制御システムは、情報処理装置が
管理するファイルへのアクセスの正当性を判断するため
のアクセス制御ポリシーと、前記アクセス制御ポリシー
を格納したポリシーファイルと、前記アクセス制御ポリ
シーを設定するためのアクセス制御ポリシー設定手段
と、当該ファイルアクセス要求の正当性を前記アクセス
制御ポリシーに基づき判定するアクセス制御処理部と、
情報処理装置へのファイルアクセス要求の発行を監視
し、発行されたファイルアクセス要求を前記アクセス制
御処理部に伝え、正当性判定結果を受信するアクセス監
視処理部とを備え、ファイルアクセス要求が発行された
時に取得したファイルアクセスに関する情報を利用し
て、アクセス制御ポリシーを自動的にポリシーファイル
へ設定することを特徴としている。
【0007】なお、本発明のアクセス制御ポリシーと
は、ファイル名、該ファイルにアクセス可能なプログラ
ム名、アクセスタイプ、アクセス可能なユーザ名および
プログラムのハッシュ値などのアクセス許可指定物を総
称したものであって、これらの指定物以外からアクセス
したことを検出する手段を言う。従来、例えば、Web
サーバのようなシステムにアクセス制御システムを導入
して、アクセス制御ポリシーを設定する際には、どのよ
うなユーザがどのプログラムを使用して保護すべきファ
イルにアクセスしてくるか、ということを調査する必要
があり、その作業は極めて手間と時間がかかってしま
う。そこで、本発明では、該当ファイルへアクセス要求
がある毎に、その要求に対して制御を行うときに取得す
る情報を利用して、アクセス制御ポリシーの設定を行う
ことができる点に着目した。
【0008】そして、本発明においては、ファイル保護
のためのポリシーファイルを設定する場合に、下記
(イ)〜(ハ)の3つの方針のいずれかを選択できるよ
うにする。 (イ)アクセス制御を行うときに取得する情報を利用し
て直ちにポリシーファイルを作成する。(ロ)アクセス
制御を行うとき取得する情報を一旦、ログファイルに蓄
積しておき、その後、その中からポリシーがあるものだ
けを選択して、ポリシーファイルに移管する(ハ)上記
(イ)のうち、ノーマルモード、チェックモードおよび
自動ポリシー設定モードを判断して、ポリシー設定モー
ドのときだけ自動設定する。
【0009】
【発明の実施の形態】以下、本発明の実施例を、図面に
より詳細に説明する。 (第1の実施例(システム構成))図1は、本発明の第
1の実施例(請求項1に対応)を示すアクセス制御シス
テムの構成図である。図1において、100は情報処理
装置であり、使用者がプログラムを通じてファイルにア
クセスを行った時の当該ファイルアクセス要求を発行す
るI/Oマネージャ101と、I/Oマネージャ101
が発行したファイルアクセス要求をフックするファイル
アクセス監視処理部102と、発行されたファイルアク
セス要求を基にファイルへのアクセスを行うファイルシ
ステムドライバ103と、ファイルアクセス監視処理部
102がフックしたファイルアクセス要求に関する情報
を記憶しておくメモリ104とを備えている。
【0010】また、情報処理装置100上でプログラム
が起動しているか起動していないかを監視するプロセス
監視処理部105と、ファイルアクセス監視処理部10
2がフックしたファイルアクセス要求の正当性を判断す
るアクセス制御処理部106と、ファイルアクセスの正
当性を判断するためのアクセス制御ポリシーをポリシー
ファイル109に設定するためのアクセス制御ポリシー
設定処理部107と、情報処理装置100が管理するフ
ァイルが格納された記憶装置(DK)108とを備えて
いる。この記憶装置(DK)108には、アクセス制御
ポリシー設定処理部107によって設定されたアクセス
制御ポリシーを格納するためのポリシーファイル109
と、ファイルアクセス監視処理がフックしたファイルア
クセス要求に関する情報を、ファイルアクセスログとし
て格納するためのアクセスログファイル110が蓄積さ
れる。
【0011】図1において、I/Oマネージャ101で
受けた要求を全てファイルに格納する場合には、I/O
マネージャ101とファイルシステムドライバ103と
記憶装置(DK)108とがあれば足りる。しかるに、
本発明の目的を達成させるために、本発明のアクセス制
御システムでは、I/Oマネージャ101で受けた要求
を途中でフック(横取り)して、それらの要求を解析
し、ポリシーとして良ければ、記憶装置(DK)108
のポリシーファイル109に自動設定するための新たな
処理部を情報処理装置100内に配置する。すなわち、
要求をフックするファイルアクセス監視処理部102
と、プロセスの起動と終了を監視するプロセス起動終了
監視処理部105と、ファイルアクセス要求を解析して
その正当性を判断するアクセス制御処理部106と、正
当性が判断されたならば、ポリシーファイル109に設
定するためのアクセス制御ポリシー設定処理部107と
を配置する。
【0012】(ファイル、テーブル、メモリの構造)図
2は、図1におけるポリシーファイルのデータ構造を示
した図である。図2において、アクセスファイル名20
1は、アクセスを制限すべきファイルの名称を示す。ア
クセス可能プログラム202は、例外的にアクセスファ
イル名201に示されたファイルに対してアクセスを許
可されたプログラムの名称を示す。アクセスタイプ20
3は、アクセスファイル名201に示されたファイルに
対し、例外的に許可されたアクセス方法を示す。アクセ
ス可能ユーザ名204は、アクセスファイル名201に
示されたファイルに対し、例外的にアクセスを許可され
たユーザ名を示す。プログラムのハッシュ値205は、
アクセス可能プログラム202に示されたプログラムの
特徴値を表し、アクセス可能プログラムの正当性、一意
性をより確実にするために使用するものである。つま
り、プログラムのハッシュ値を計算して、格納された値
と一致すれば、本物のプログラムであることが確認でき
る。
【0013】図3は、図1におけるファイルアクセス監
視処理がファイルアクセス要求をフック時に取得する情
報を格納するメモリ(104)のデータ構造を示す図で
ある。図3において、メモリ104に格納されるアクセ
スファイル名301は、使用者がファイルアクセスを行
ったファイルの名称を示す。また、プロセスID302
は、使用者がファイルアクセスを行った時に使用したプ
ログラムのプロセスIDを示す。アクセス実行プログラ
ム名303は、使用者がファイルアクセスを行った時に
使用したプログラムの名称を示し、プロセスID302
をもとに取得する。プログラムのハッシュ値304は、
アクセス実行プログラム名303に示されたプログラム
の特徴値を示す。アクセスタイプ305は、使用者がフ
ァイルアクセスを行った時のアクセス方法を示す。アク
セス実行ユーザ名306は、使用者がファイルアクセス
を行った時のユーザ名を示す。ファイルアクセス監視処
理部102によりフックされた各データがメモリ104
に格納された後、アクセス制御ポリシー設定処理部10
7により読み出されて、ポリシーファイル109に順次
格納される。
【0014】図4は、プロセス監視処理部(105)が
管理するプロセス管理テーブルのデータ構造図である。
このプロセス管理テーブルは、プロセス監視処理部10
5内に設置される。テーブル内のプロセスID401
は、使用者が実行したプログラムのプロセスIDを示
す。実行プログラム名402は、使用者が実行したプロ
グラムの名称を示し、プロセスID401をもとに取得
する。プロセス実行ユーザ名403は、プログラムを実
行したユーザ名を示す。プログラムのハッシュ値404
は、実行プログラム名402に示されたプログラムの特
徴値を示す。
【0015】(全体の構成と動作)図1および図11を
用いて、本発明のシステムの全体構成とその動作を説明
する。情報処理装置にアクセス制御システムを導入し
て、アクセス制御ポリシーを設定する際には、どのよう
なユーザがどのプログラムを使用して保護すべきファイ
ルにアクセスしてくるか、ということを調査する必要が
あり、調査するだけでも膨大な手間と時間がかかる。そ
こで、本発明のアクセス制御システムは、図1に示すよ
うに、通常のアクセス要求の入力等でアクセス制御を行
うときに取得する情報を利用して、アクセス制御ポリシ
ーの設定を行うのである。そのために、受けた要求を途
中でフックして、下部の処理部に処理を依頼するファイ
ルアクセス監視処理部102と、プロセスの起動と終了
を監視するプロセス起動終了監視処理部105と、ファ
イルアクセス要求を解析してその正当性を判断するアク
セス制御処理部106と、それらの要求を解析し、ポリ
シーとして良ければ、記憶装置(DK)108のポリシ
ーファイル109に自動設定するアクセス制御ポリシー
設定処理部107とを新たに配置する
【0016】(第2の実施例(全体動作))図11は、
本発明の第2の実施例(請求項2に対応)を示すアクセ
ス制御ポリシーの自動設定方法の全体動作のフローチャ
ートである。本発明のアクセス制御ポリシー自動設定方
法では、図11に示すように、最初からアクセス要求時
に取得する情報を利用して、アクセス制御ポリシーの設
定を行うか、あるいは一旦、ログファイルに設定する
か、あるいはノーマルモード(通常動作)を行わせるか
の選択を行い(ステップ1101)、最初からポリシー
の設定を行う場合には、さらに自動設定を行うか(ステ
ップ1102)、2回目以降のポリシー設定であるか
(ステップ1103)、あるいは取得した情報のチェッ
クのみを行うかの選択を行う(ステップ1104)。自
動設定の場合(特に1回目)には、アクセス制御を行う
とき取得する情報を利用して直ちにポリシーファイルを
作成する自動設定モードを動作させ(ステップ110
5)、2回目以降の設定の場合には、既にポリシーファ
イルに存在しないものだけを設定する追加モードを動作
させ(ステップ1106)、チェックのみの場合には、
チェックモードを動作させる(ステップ1107)。
【0017】一方、ノーマルモードが選択された場合に
は(ステップ1101)、本発明の処理は行わずに、直
ちに処理を終了する。また、ログファイルに格納するモ
ードが選択された場合には(ステップ1101)、アク
セス制御を行うとき取得する情報を一旦、ログファイル
に蓄積しておき(ステップ1108)、その後、その中
からポリシーがあるものだけを選択して(ステップ11
09)、ポリシーファイルに移管する(ステップ111
0)。本発明においては、その時の状況により、アクセ
ス要求の情報を利用して直ちにポリシーファイルを作成
するか、チェックのみを行うか、ログファイルからポリ
シーに必要なものだけをポリシーファイルに移すか、を
選択できるようにすることも特徴としている。
【0018】(プロセス監視処理)図5は、プロセス監
視処理部(105)によるプログラムの起動または終了
検知時の処理フローチャートである。使用者がプログラ
ムを起動または終了すると、プロセス監視処理部105
はプログラムが起動されたか終了されたかを判定し(ス
テップ501)、プログラムが起動された場合は、起動
されたプログラムのプロセスID401を取得し(ステ
ップ502)、取得したプロセスID401が図4に示
すプロセス管理テーブルに既に登録済みの場合は処理を
終了する(ステップ503)。
【0019】取得したプロセスID401が図4に示す
プロセス管理テーブルに登録されていない場合は(ステ
ップ503)、取得したプロセスID401をもとに実
行プログラム名402を取得し(ステップ504)、プ
ログラムを実行したユーザ名403を取得し(ステップ
505)、プログラムのハッシュ値404の算出を行い
(ステップ506)、プロセスID401、実行プログ
ラム名402、プログラム実行ユーザ名403、プログ
ラムのハッシュ値404を図4に示すプロセス管理テー
ブルに登録する(ステップ507)。
【0020】一方、使用者がプログラムを終了した場合
は(ステップ501)、終了されたプログラムのプロセ
スID401を取得し(ステップ508)、取得したプ
ロセスID401が図4に示すプロセス管理テーブルに
登録されていない場合は直ちに処理を終了する(ステッ
プ509)。また、取得したプロセスID401が図4
に示すプロセス管理テーブルに登録されている場合は
(ステップ509)、該当するプロセスID401、実
行プログラム名402、プログラム実行ユーザ名40
3、プログラムのハッシュ値404を図4に示すプロセ
ス管理テーブルから削除する。
【0021】(第3の実施例(自動設定))図6は、本
発明の第3の実施例(請求項3に対応)を示すアクセス
制御ポリシーの自動設定方法の動作フローチャートであ
る。ファイルアクセス監視処理102は、ノーマルモー
ド(通常動作モード)であるか否かを判別し(ステップ
601)、そうであれば処理を終了する。そうでなけれ
ば、次に使用者がファイルへのアクセスを行うと、I/
Oマネージャ101がファイルアクセス要求を発行し、
ファイルシステムドライバ103に通知時に、発行され
たファイルアクセス要求をフックし(ステップ60
2)、アクセスが行われたファイル名301を取得し
(ステップ603)、ファイルアクセス実行時のアクセ
スタイプ305を取得し(ステップ604)、アクセス
を行ったプログラムのプロセスID302を取得し(ス
テップ605)、取得したプロセスID302をもとに
該当する実行プログラム名、ユーザ名、ハッシュ値を取
得する(ステップ606)。
【0022】この動作(606)を詳述すると、第1段
階で、取得したプロセスID302を基に図4に示すプ
ロセス管理テーブルから該当する実行プログラム名40
2を取得し、図3に示すメモリ104上のアクセス実行
プログラム名303に格納し、プログラム実行ユーザ名
403を取得し、図3に示すメモリ104上のアクセス
実行ユーザ名306に格納し、プログラムのハッシュ値
404を、図3に示すメモリ104上のプログラムのハ
ッシュ値304に格納する。次に、自動設定モードか否
かを判別し(ステップ607)、そうでなければ、チェ
ックモードであることを確認し(ステップ609)、チ
ェックモードのときには取得した各要素をチェックした
後(ステップ610)、処理を終了する。一方、自動設
定モードの場合には、ステップ608でポリシーファイ
ルに各要素を設定する。
【0023】先ず、ポリシーファイル109へのアクセ
ス制御ポリシー登録通知をアクセス制御ポリシー設定処
理部107に行い、アクセス制御ポリシー設定処理部1
07は、ファイルアクセス監視処理部102が図3に示
すメモリ104上のアクセスファイル名301を図2に
示すポリシーファイル109のアクセスファイル名20
1に、図3に示すメモリ104上のアクセス実行プログ
ラム名303を、図2に示すポリシーファイル109の
アクセス可能プログラム名202に、図3に示すメモリ
104上のアクセスタイプ305を、図2に示すポリシ
ーファイル109のアクセスタイプ203に、図3に示
すメモリ104上のアクセス実行ユーザ名を、図2に示
すポリシーファイル109のアクセス可能ユーザ名20
4に、図3に示すメモリ104上のプログラムのハッシ
ュ値304を、図2に示すポリシーファイル109のプ
ログラムのハッシュ値205に設定することで(ステッ
プ608)、実際に行われたアクセス情報をもとにアク
セス制御ポリシーの自動設定を実現する。
【0024】(第4の実施例(自動追加))図7は、本
発明の第4の実施例(請求項4に対応)を示すアクセス
制御ポリシーの自動追加動作のフローチャートである。
ファイルアクセス監視処理部102は、使用者がファイ
ルへのアクセスを行うと、I/Oマネージャ101がフ
ァイルアクセス要求を発行しファイルシステムドライバ
103に通知時に、発行されたファイルアクセス要求を
フックし(ステップ701)、アクセスが行われたファ
イル名301を取得し(ステップ702)、ファイルア
クセス実行時のアクセスタイプ305を取得し(ステッ
プ703)、アクセスを行ったプログラムのプロセスI
D302を取得する(ステップ704)。
【0025】次に、取得したプロセスID302をもと
に、図4に示すプロセス管理テーブルから該当する実行
プログラム名402を取得し、図3に示すメモリ104
上のアクセス実行プログラム名303に格納し、プログ
ラム実行ユーザ名403を取得し、図3に示すメモリ1
04上のアクセス実行ユーザ名306に格納し、プログ
ラムのハッシュ値404を、図3に示すメモリ104上
のプログラムのハッシュ値304に格納する(ステップ
705)。次に、ポリシーファイル109へのアクセス
制御ポリシー登録通知を、アクセス制御ポリシー設定処
理部107に行うことで、アクセス制御ポリシー設定処
理部107は、ファイルアクセス監視処理部102が取
得した、図3に示すメモリ104上のアクセスファイル
名301、アクセス実行プログラム名303、プログラ
ムのハッシュ値304、アクセスタイプ305、アクセ
ス実行ユーザ名306と同一の情報をもつアクセス制御
ポリシーがあるかどうか判定する(ステップ706)。
【0026】メモリ104上に同一の情報をもつアクセ
ス制御ポリシーがある場合は、アクセス制御ポリシーの
自動設定を行わずに処理を終了する。一方、メモリ10
4上に同一の情報をもつアクセス制御ポリシーがない場
合は(ステップ706)、図3に示すメモリ104上の
アクセスファイル名301を、図2に示すポリシーファ
イル109のアクセスファイル名201に、図3に示す
メモリ104上のアクセス実行プログラム名303を、
図2に示すポリシーファイル109のアクセス可能プロ
グラム名202に、図3に示すメモリ104上のアクセ
スタイプ305を、図2に示すポリシーファイル109
のアクセスタイプ203に、図3に示すメモリ104上
のアクセス実行ユーザ名306を、図2に示すポリシー
ファイル109のアクセス可能ユーザ名204に、図3
に示すメモリ104上のプログラムのハッシュ値304
を図2に示すポリシーファイル109のプログラムのハ
ッシュ値205にそれぞれ設定することで(ステップ7
07)、実際に行われたアクセス情報をもとにアクセス
制御ポリシーの自動追加を実現することができる。
【0027】(ログファイル構造)図8は、本発明にお
いて、アクセスログをもとにしたアクセス制御ポリシー
の設定方法に用いられるアクセスログファイル(11
0)のデータ構造図である。アクセス日時801は、フ
ァイルにアクセスした日時を示す。アクセスファイル名
802は、アクセスを行ったファイルの名称を示す。ア
クセス実行プログラム名803は、アクセスを行った時
に使用したプログラムの名称を示す。アクセスタイプ8
04は、アクセスを行った時のアクセス方法を示す。ア
クセス実行ユーザ名805は、アクセスを行ったユーザ
の名称を示す。
【0028】プログラムのハッシュ値806は、アクセ
ス実行プログラム804に示されたプログラムの特徴値
を示す。アクセス結果807は、ファイルアクセス要求
に対するアクセス制御の正当性の判定結果を示し、アク
セス制御ポリシーに許可されたファイルアクセス要求で
あった場合は正常、アクセス制御ポリシーに許可されて
いないファイルアクセス要求であった場合は不正、アク
セス制御ポリシーに設定されていないファイルアクセス
要求であった場合はアクセス制御対象外が設定される。
【0029】(ログファイル格納動作)図9は、本発明
において、アクセスログをもとにしたアクセス制御ポリ
シーの設定方法に用いられるアクセスログファイル(1
10)の記録方法のフローチャートである。ファイルア
クセス監視処理部102は、使用者がファイルへのアク
セスを行うと、I/Oマネージャ101がファイルアク
セス要求を発行し、ファイルシステムドライバ103に
通知時に、発行されたファイルアクセス要求をフックし
(ステップ901)、アクセスが行われたファイル名3
01を取得し(ステップ902)、ファイルアクセス実
行時のアクセスタイプ305を取得する(ステップ90
3)。
【0030】同じく、アクセスを行ったプログラムのプ
ロセスID302を取得し(ステップ904)、取得し
たプロセスID302をもとに図4に示すプロセス管理
テーブルから該当する実行プログラム名402を取得
し、図3に示すメモリ104上のアクセス実行プログラ
ム名303に格納し、プログラム実行ユーザ名403を
取得し、図3に示すメモリ104上のアクセス実行ユー
ザ名306に格納し、プログラムのハッシュ値404
を、図3に示すメモリ104上のプログラムのハッシュ
値304に格納する(ステップ905)。次に、アクセ
ス制御処理部106に対し、ファイルアクセス要求の正
当性判定を依頼する。
【0031】アクセス制御処理部106は、アクセスさ
れたファイルに対応するアクセス制御ポリシーが存在す
るかどうか検索し(ステップ906)、存在しない場合
(No)は、当該ファイルアクセス要求をアクセス制御
対象外としてアクセスログファイル110に記録する
(ステップ910)。アクセスされたファイルに対応す
るアクセス制御ポリシーが存在する場合(Yes)は、
当該ファイルアクセスがアクセス制御ポリシーにて許可
されているかどうか判定し(ステップ907)、許可さ
れている場合(Yes)は、当該ファイルアクセス要求
を正常アクセスとしてアクセスログファイル110に記
録する(ステップ908)。許可されていない場合(N
o)は、当該ファイルアクセス要求を不正アクセスとし
てアクセスログファイル110に記録する(ステップ9
09)。このようにして、アクセスログファイルには、
正常、不正、および対象外であることがセットされる。
【0032】(第5の実施例(ログファイルからの移
動))図10は、本発明の第5の実施例(請求項5に対
応)を示すアクセスログをもとにしたアクセス制御ポリ
シーの設定方法のフローチャートである。使用者はアク
セス制御ポリシー設定処理部107において、アクセス
ログファイル110からアクセス制御ポリシーとして追
加するアクセスログ情報を選択すると(ステップ100
1)、アクセス制御ポリシー設定処理部107は選択さ
れたアクセスログに対応するアクセスファイル名80
2、アクセス実行プログラム名803、アクセスタイプ
804、アクセス実行ユーザ名805、プログラムのハ
ッシュ値806をアクセスログファイル110から取得
する(ステップ1002)。
【0033】次に、取得した情報と同一内容のアクセス
制御ポリシーが存在するかどうか判定し(ステップ10
03)、存在する場合(Yes)は、アクセス制御ポリ
シーの追加は行わずに終了する。取得した情報と同一内
容のアクセス制御ポリシーが存在しない場合(No)は
(ステップ1003)、図8に示すアクセスログファイ
ル110から取得したアクセスファイル名802を、図
2に示すポリシーファイル109のアクセスファイル名
201に、図8に示すアクセスログファイル110から
取得したアクセス実行プログラム名803を、図2に示
すポリシーファイル109のアクセス可能プログラム名
202に、図8に示すアクセスログファイル110から
取得したアクセスタイプ804を、図2に示すポリシー
ファイル109のアクセスタイプ203に、図8に示す
アクセスログファイル110から取得したアクセス実行
ユーザ名805を、図2に示すポリシーファイル109
のアクセス可能ユーザ名204に、図8に示すアクセス
ログファイル110から取得したプログラムのハッシュ
値806を、図2に示すポリシーファイル109のプロ
グラムのハッシュ値205に、それぞれ設定することで
(ステップ1004)、アクセスログをもとにアクセス
制御ポリシーの自動追加を実現する。
【0034】
【発明の効果】以上説明したように、本発明によれば、
情報処理装置が管理するファイルの内容(情報)を、不
正なアクセスから保護するアクセス制御システムのアク
セス制御ポリシーを自動的に設定することができるの
で、特別な知識を有していなくてもアクセス制御システ
ムを構築するとともに使用することが可能になる。
【図面の簡単な説明】
【図1】本発明の第1の実施例を示すアクセス制御シス
テム構成図である。
【図2】図1におけるポリシーファイル(109)のデ
ータ構造を示す図である。
【図3】図1におけるファイルアクセス監視処理(10
2)がファイルアクセス要求をフック時に取得する情報
を格納するメモリ(104)のデータ構造を示す図であ
る。
【図4】図1におけるプロセス監視処理(105)が管
理するプロセス管理テーブルを示す図である。
【図5】本発明におけるプロセス監視処理(105)が
プログラムの起動または終了検知時の処理を示すフロー
チャートである。
【図6】本発明の第3の実施例を示すアクセス制御ポリ
シーの自動設定方法の動作フローチャートである。
【図7】本発明の第4の実施例を示すアクセス制御ポリ
シーの自動追加方法の動作フローチャートである。
【図8】本発明におけるアクセスログをもとにしたアク
セス制御ポリシーの設定方法に用いるアクセスログファ
イル(110)の構造を示す図である。
【図9】本発明におけるアクセスログをもとにしたアク
セス制御ポリシーの設定方法でのアクセスログファイル
(110)の記録方法のフローチャートである。
【図10】本発明の第5の実施例を示すアクセスログフ
ァイル(110)からのアクセス制御ポリシーの設定方
法の動作フローチャートである。
【図11】本発明の第2の実施例を示すアクセス制御ポ
リシー自動設定方法の全体動作フローチャートである。
【符号の説明】
100…情報処理装置、101…I/Oマネージャ、1
02…ファイルアクセス監視処理、104…メモリ、1
05…プロセス起動終了監視処理、106…アクセス制
御処理、107…アクセス制御ポリシー設定処理、10
8…記憶装置(DK)、109…ポリシーファイル、1
10…アクセスログファイル。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 小川 千晴 愛知県尾張旭市晴丘町池上1番地 株式会 社日立製作所情報機器事業部内 (72)発明者 梅都 利和 愛知県尾張旭市晴丘町池上1番地 株式会 社日立製作所情報機器事業部内 (72)発明者 冨田 理 愛知県尾張旭市晴丘町池上1番地 株式会 社日立製作所情報機器事業部内 Fターム(参考) 5B017 AA04 AA07 BA06 CA16 5B082 EA11

Claims (5)

    【特許請求の範囲】
  1. 【請求項1】 情報処理装置が管理するファイルへのア
    クセスの正当性を判断するためのアクセス制御ポリシー
    を格納するポリシーファイルと、 ファイルアクセス要求が発行される毎に、取得したファ
    イルアクセスに関する情報を利用して、前記アクセス制
    御ポリシーを自動的にポリシーファイルへ設定するた
    め、情報処理装置へのファイルアクセス要求の発行を監
    視し、発行されたファイルアクセス要求を配下の処理部
    に転送して、該処理部から正当性判定結果を受信するア
    クセス監視処理部と、 該アクセス監視処理部から転送された当該ファイルアク
    セス要求の正当性を前記アクセス制御ポリシーに基づき
    判定するアクセス制御処理部と、 前記正当性が判定されたファイルアクセス要求の情報で
    アクセス制御ポリシーを完成し、該完成したアクセス制
    御ポリシーを前記ポリシーファイルに自動設定するアク
    セス制御ポリシー設定部とを備え、 前記アクセス制御ポリシーを基に当該ファイルアクセス
    の正当性を判断し、不正なアクセスから情報処理装置が
    管理するファイルの内容を保護することを特徴とするア
    クセス制御システム。
  2. 【請求項2】 アクセス要求時に取得する情報を利用し
    て、アクセス制御ポリシーの設定を行うか、これを行わ
    ずに通常運用時の動作を行うか、あるいは一旦、ログフ
    ァイルに設定するかを判定し、 前記アクセス制御ポリシーの設定を行う場合には、さら
    に自動設定を行うか、2回目以降のポリシー設定である
    か、あるいは取得した情報のチェックのみを行うかの選
    択を行い、 前記自動設定の場合には、アクセス制御を行うとき取得
    する情報を利用して直ちにポリシー制御ファイルを作成
    する自動設定モードを動作させ、 前記2回目以降の設定の場合には、既にポリシーファイ
    ルに存在しないものだけを設定する追加モードを動作さ
    せ、 前記チェックのみの場合には、チェックモードを動作さ
    せ、 一方、前記ログファイルに一旦格納する場合には、アク
    セス制御を行うとき取得する情報を一旦、ログファイル
    に蓄積しておき、その後、その中からポリシーがあるも
    のだけを選択して、ポリシー制御ファイルに移管するこ
    とを特徴とするアクセス制御ポリシーの自動設定方法。
  3. 【請求項3】 請求項2に記載のアクセス制御ポリシー
    の自動設定方法において、 前記自動設定の場合には、アクセス制御ポリシー設定処
    理部は、アクセスファイル名、アクセス実行プログラム
    名、アクセスタイプ、アクセス実行ユーザ名およびハッ
    シュ値の全部ないしそのいずれかを、ファイルアクセス
    要求をフック時に取得して格納したメモリから取り出し
    て、アクセスポリシーファイルに設定することを特徴と
    するアクセス制御ポリシーの自動設定方法。
  4. 【請求項4】 請求項2に記載のアクセス制御ポリシー
    の自動設定方法において、 前記2回目以降の設定の場合には、ファイルアクセス要
    求発行時、前記ファイルアクセスがアクセス制御ポリシ
    ーとして前記ポリシーファイルに登録されていない情報
    であるか否かを判別し、該登録されていない情報のみ前
    記ポリシーファイルに設定することにより、アクセス制
    御ポリシーの自動追加を行うことを特徴とするアクセス
    制御ポリシーの自動設定方法。
  5. 【請求項5】 請求項2に記載のアクセス制御ポリシー
    の自動設定方法において、 前記ログファイルに一旦格納する場合には、アクセス監
    視処理部が検出したファイルアクセス要求をアクセスロ
    グとして一旦アクセスログファイルに格納しておき、そ
    の後、格納したアクセスログをもとにアクセス制御ポリ
    シーのポリシーファイルへ自動設定することを特徴とす
    るアクセス制御ポリシーの自動設定方法。
JP2001187561A 2001-06-21 2001-06-21 アクセス制御ポリシーの自動設定方法およびそのシステム Pending JP2003006027A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001187561A JP2003006027A (ja) 2001-06-21 2001-06-21 アクセス制御ポリシーの自動設定方法およびそのシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001187561A JP2003006027A (ja) 2001-06-21 2001-06-21 アクセス制御ポリシーの自動設定方法およびそのシステム

Publications (1)

Publication Number Publication Date
JP2003006027A true JP2003006027A (ja) 2003-01-10

Family

ID=19026833

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001187561A Pending JP2003006027A (ja) 2001-06-21 2001-06-21 アクセス制御ポリシーの自動設定方法およびそのシステム

Country Status (1)

Country Link
JP (1) JP2003006027A (ja)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004265286A (ja) * 2003-03-04 2004-09-24 Fujitsu Ltd 環境に応じて選択されたセキュリティ・ポリシーに従うモバイル機器の管理
JP2006526851A (ja) * 2003-06-02 2006-11-24 リキッド・マシンズ・インコーポレーション 動的、分散的および協働的な環境におけるデータオブジェクトの管理
JP2007052618A (ja) * 2005-08-18 2007-03-01 Ntt Data Corp 情報処理装置
JP2008033584A (ja) * 2006-07-28 2008-02-14 Nec Corp 情報処理システム、クライアント装置、プログラム、及びファイルアクセス制御方法
JP2008035501A (ja) * 2006-07-04 2008-02-14 Canon Inc 複合機及びその制御方法と画像処理システム
JP2008547111A (ja) * 2005-06-27 2008-12-25 マイクロソフト コーポレーション アクティブ・コンテンツ信頼モデル
JP2009509373A (ja) * 2005-09-16 2009-03-05 ノキア コーポレイション 信頼性のある移動電話のための簡単で、拡張可能で且つ構成可能なセキュアなブート
JP2010146457A (ja) * 2008-12-22 2010-07-01 Kddi Corp 情報処理システムおよびプログラム
US9245142B2 (en) 2011-01-26 2016-01-26 Fujitsu Limited Access control data editing support device and method

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004265286A (ja) * 2003-03-04 2004-09-24 Fujitsu Ltd 環境に応じて選択されたセキュリティ・ポリシーに従うモバイル機器の管理
JP2006526851A (ja) * 2003-06-02 2006-11-24 リキッド・マシンズ・インコーポレーション 動的、分散的および協働的な環境におけるデータオブジェクトの管理
JP4759513B2 (ja) * 2003-06-02 2011-08-31 リキッド・マシンズ・インコーポレーテッド 動的、分散的および協働的な環境におけるデータオブジェクトの管理
JP2008547111A (ja) * 2005-06-27 2008-12-25 マイクロソフト コーポレーション アクティブ・コンテンツ信頼モデル
JP2007052618A (ja) * 2005-08-18 2007-03-01 Ntt Data Corp 情報処理装置
JP4754299B2 (ja) * 2005-08-18 2011-08-24 株式会社エヌ・ティ・ティ・データ 情報処理装置
JP2009509373A (ja) * 2005-09-16 2009-03-05 ノキア コーポレイション 信頼性のある移動電話のための簡単で、拡張可能で且つ構成可能なセキュアなブート
US8201240B2 (en) 2005-09-16 2012-06-12 Nokia Corporation Simple scalable and configurable secure boot for trusted mobile phones
JP2008035501A (ja) * 2006-07-04 2008-02-14 Canon Inc 複合機及びその制御方法と画像処理システム
JP2008033584A (ja) * 2006-07-28 2008-02-14 Nec Corp 情報処理システム、クライアント装置、プログラム、及びファイルアクセス制御方法
JP2010146457A (ja) * 2008-12-22 2010-07-01 Kddi Corp 情報処理システムおよびプログラム
US9245142B2 (en) 2011-01-26 2016-01-26 Fujitsu Limited Access control data editing support device and method

Similar Documents

Publication Publication Date Title
US7035850B2 (en) Access control system
KR100519842B1 (ko) 검색 요구 처리 방법, 장치, 기록 매체 및 바이러스 데이터베이스 구축 방법
JP5098487B2 (ja) 認証情報処理装置及びプログラム
JP5249493B2 (ja) ホストされているアプリケーションをオンラインで利用するためのターミナルサービスアカウントおよびセッションの管理
US8997253B2 (en) Method and system for preventing browser-based abuse
US7665139B1 (en) Method and apparatus to detect and prevent malicious changes to tokens
US20020116627A1 (en) Software audit system
US8205260B2 (en) Detection of window replacement by a malicious software program
JP2000148276A (ja) セキュリティ監視装置,セキュリティ監視方法およびセキュリティ監視用プログラム記録媒体
JP2001337864A (ja) アクセス制御システム
AU2013100355A4 (en) Device-specific content delivery
US20100235916A1 (en) Apparatus and method for computer virus detection and remediation and self-repair of damaged files and/or objects
JP2012526501A (ja) ネットワーク内容改竄防止設備、方法及びそのシステム
JP5293151B2 (ja) コンテンツ保護装置及びコンテンツ保護プログラム
JP2003006027A (ja) アクセス制御ポリシーの自動設定方法およびそのシステム
US11636219B2 (en) System, method, and apparatus for enhanced whitelisting
US7620983B1 (en) Behavior profiling
CN100353277C (zh) 一种利用代理技术实现计算机病毒防治的方法
JP6464544B1 (ja) 情報処理装置、情報処理方法、情報処理プログラム、及び情報処理システム
JP2005321928A (ja) 認証プログラムおよび認証サーバ
JP6884652B2 (ja) ホワイトリスト管理システムおよびホワイトリスト管理方法
JP2011198256A (ja) コンテント保護装置
US20230038774A1 (en) System, Method, and Apparatus for Smart Whitelisting/Blacklisting
JP2002259609A (ja) 権利処理促進装置、権利処理促進方法、権利処理促進プログラムおよび記録媒体
US20230177140A1 (en) Information processing device and determination method