JP2007257352A - アクセス制御装置、アクセス制御シミュレーション方法及びアクセス制御シミュレーションプログラム - Google Patents

アクセス制御装置、アクセス制御シミュレーション方法及びアクセス制御シミュレーションプログラム Download PDF

Info

Publication number
JP2007257352A
JP2007257352A JP2006081517A JP2006081517A JP2007257352A JP 2007257352 A JP2007257352 A JP 2007257352A JP 2006081517 A JP2006081517 A JP 2006081517A JP 2006081517 A JP2006081517 A JP 2006081517A JP 2007257352 A JP2007257352 A JP 2007257352A
Authority
JP
Japan
Prior art keywords
access control
rule
resource
definition
specific
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006081517A
Other languages
English (en)
Other versions
JP4832132B2 (ja
Inventor
Jun Ehata
潤 江畑
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2006081517A priority Critical patent/JP4832132B2/ja
Publication of JP2007257352A publication Critical patent/JP2007257352A/ja
Application granted granted Critical
Publication of JP4832132B2 publication Critical patent/JP4832132B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

【課題】セキュリティポリシーの定義に基づいて行われるアクセス制御の判定結果を簡便に確認させることのできるアクセス制御装置の提供を目的とする。
【解決手段】各資源を分類する資源分類情報と、前記資源を操作する各主体を分類する主体分類情報と、資源の分類と主体の分類との組み合わせに応じて操作の種別ごとに操作の許否判定に関する規則が定義された定義情報とに基づいて、資源に対するアクセス制御を行うアクセス制御装置であって、定義情報に定義された規則に基づいて、資源の集合に含まれるそれぞれの資源について特定の主体による特定の操作の許否を判定する判定手段を有し、特定の主体は資源の集合が表示される表示画面において主体の一覧の中から選択され、特定の操作は表示画面において操作の一覧の中から選択され、判定手段による許否の判定結果は、表示画面において資源ごとに表示されることにより上記課題を解決する。
【選択図】図10

Description

本発明は、アクセス制御装置、アクセス制御シミュレーション方法及びアクセス制御シミュレーションプログラムに関し、特にセキュリティポリシーに基づいてアクセス制御を行うアクセス制御装置、アクセス制御シミュレーション方法及びアクセス制御シミュレーションプログラムに関する。
従来、ドキュメント等のオブジェクトの管理におけるアクセス制御機能に関して、セキュリティの向上、管理の簡便化を目的として、オブジェクト(資源)に対する操作と、操作者と、オブジェクトとが抽象化されて定義されたセキュリティポリシーに基づいてオブジェクトに対するアクセス制御を行う方式が考案されている(例えば、特許文献1)。
また、これに伴って、抽象度の高いセキュリティポリシー及び当該セキュリティポリシーを構成するセキュリティルールの定義と、実際の利用シーンでのアクセス権付与状況とが直ちに結び付き難いことから、これを改善するための方式も考案されている(例えば、特許文献2)。
セキュリティポリシーに基づいて、オブジェクトの分類、操作者の分類、操作の種類の組み合わせに応じたアクセス可否判定と、アクセス実行時の要件定義(責務)からなるアクセス許可ルールに応じたアクセス判定とを行うことにより、適切に管理された少数のセキュリティポリシーを多くの利用シーンに共通に適用させることができる。また、複数の異なる種類のオブジェクトやアプリケーションの操作に関するアクセス制御を包括したセキュリティポリシーにより、アクセス制御情報の一元管理が可能になる。
特開2005−38371号公報 特開2005−301510号公報
しかしながら、セキュリティポリシーに基づくアクセス制御では、個々の利用シーンにおいてどのようなアクセス判定が行われるのかは、セキュリティポリシーの定義を一見して分かりにくい場合があり、また、ルールに誤りがあっても気付きにくいといった問題がある。更に、セキュリティポリシーの定義を修正したり改定したりする場合にも、その妥当性を確認するのが困難であるという問題がる。
本発明は、上記の点に鑑みてなされたものであって、セキュリティポリシーの定義に基づいて行われるアクセス制御の判定結果を簡便に確認させることのできるアクセス制御装置、アクセス制御シミュレーション方法及びアクセス制御シミュレーションプログラムの提供を目的とする。
そこで上記課題を解決するため、本発明は、操作の対象となる各資源を分類する資源分類情報と、前記資源を操作する各主体を分類する主体分類情報と、前記資源の分類と前記主体の分類との組み合わせに応じて前記操作の種別ごとに前記操作の許否判定に関する規則が定義された定義情報とに基づいて、前記資源に対するアクセス制御を行うアクセス制御装置であって、前記定義情報に定義された前記規則に基づいて、前記資源の集合に含まれるそれぞれの資源について特定の前記主体による特定の前記操作の許否を判定する判定手段を有し、前記特定の主体は前記資源の集合が表示される表示画面において前記主体の一覧の中から選択され、前記特定の操作は前記表示画面において前記操作の一覧の中から選択され、前記判定手段による前記許否の判定結果は、前記表示画面において前記資源ごとに表示されることを特徴とする。
このようなアクセス制御装置では、セキュリティポリシーの定義に基づいて行われるアクセス制御の判定結果を簡便に確認させることができる。
また、上記課題を解決するため、本発明は、上記アクセス制御装置におけるアクセス制御シミュレーション方法、前記アクセス制御シミュレーション方法をコンピュータに実行させるためのアクセス制御シミュレーションプログラムとしてもよい。
本発明によれば、セキュリティポリシーの定義に基づいて行われるアクセス制御の判定結果を簡便に確認させることのできるアクセス制御装置、アクセス制御シミュレーション方法及びアクセス制御シミュレーションプログラムを提供することができる。
以下、図面に基づいて本発明の実施の形態を説明する。本実施の形態においては、文書管理システムにおいて管理されている電子文書を、操作の対象(すなわち、アクセス制御の対象)となる資源(オブジェクト)の例として説明する。
図1は、本発明の実施の形態における文書管理システムの構成例を示す図である。図1に示されるように、本実施の形態における文書管理システム1は、アクセス制御サーバ10、文書管理サーバ20、認証サーバ30、管理者用PC(Personal Computer)40、及びクライアントPC50等が、インターネットやLAN(Local Area Network)等のネットワーク60を介して接続されることにより構成されている。
アクセス制御サーバ10は、文書に対するアクセス制御のための各種情報(以下、「セキュリティ情報」という。)の管理を行うためのコンピュータである。後述する文書管理サーバ20において管理されている文書を取り扱う各種アプリケーション又はシステム等は、アクセス制御サーバ10に管理されているセキュリティ情報に基づいて、各ユーザの文書に対する操作権限の有無等を判断する。
文書管理サーバ20は、文書の管理機能(文書の保存、保存されている文書の閲覧、更新及び削除等の手段の提供等)が実装されたコンピュータである。文書管理サーバ20は、文書群を所定の管理体系(分類体系)に基づいて管理し、この管理体系に基づいて文書の操作機能を提供する。ここで、所定の管理体系とは、例えば、一般的に見受けられるようなフォルダ及びその階層構造に基づくものが相当する。すなわち、文書管理サーバ20では、フォルダ及びその階層構造によって文書が分類及び管理されている。
認証サーバ30は、文書管理システム1のユーザの認証を行うための機能が実装されたコンピュータである。すなわち、認証サーバ30によって認証されたユーザのみが、文書管理システム1を利用することができる。
管理者用PC40は、文書管理システム1の管理者ユーザが、文書管理システム1の管理機能等のために利用するコンピュータである。例えば、文書管理システム1の管理機能としては、アクセス制御サーバ10におけるセキュリティ情報のメンテナンスをするための機能が相当する。
クライアントPC50は、文書管理システム1の一般ユーザが、文書管理サーバ20において管理されている文書を操作(閲覧、印刷、削除、又は更新等)するために利用するコンピュータである。
次に、アクセス制御サーバ10の詳細について説明する。図2は、本発明の実施の形態におけるアクセス制御サーバのハードウェア構成例を示す図である。図2のアクセス制御サーバ10は、それぞれバスBで相互に接続されているドライブ装置100と、補助記憶装置102と、メモリ装置103と、演算処理装置104と、インタフェース装置105とを有するように構成される。
アクセス制御サーバ10での処理を実現するプログラムは、CD−ROM等の記録媒体101によって提供される。プログラムを記録した記録媒体101がドライブ装置100にセットされると、プログラムが記録媒体101からドライブ装置100を介して補助記憶装置102にインストールされる。
補助記憶装置102は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。メモリ装置103は、プログラムの起動指示があった場合に、補助記憶装置102からプログラムを読み出して格納する。演算処理装置104は、メモリ装置103に格納されたプログラムに従ってアクセス制御サーバ10に係る機能を実行する。インタフェース装置105は例えばLANカード等で構成され、図1のネットワーク60に接続するために用いられる。
図3は、本発明の実施の形態の文書管理システムにおけるルール適用シミュレーション機能に関する機能構成例を示す図である。図3に示されるように、アクセス制御サーバ10には、セキュリティ管理モジュール11及びルール適用シミュレーションモジュール12等が実装されている。セキュリティ管理モジュール11は、各種のセキュリティ情報の管理機能が実装されたモジュールである。セキュリティ管理モジュール11においては、ユーザプロファイル111、文書プロファイル112、及びポリシー113等がセキュリティ情報として管理されている。
図4は、ユーザプロファイルの例を示す図である。図4に示されるように、ユーザプロファイル111は、各ユーザをいずれの部署の関係者であるかによって分類する情報であり、ユーザごとに、各部署(部署A、部署B、部署C)の関係者であるか否かが定義されている。例えば、プロファイル111において、ユーザAは、部署Aの関係者であるが、部署B及び部署Cの関係者ではないことが定義されている。ここで、「部署の関係者」とは、例えば、当該部署に所属している者や、当該部署におけるプロジェクトに参加している者等が該当する。
図5は、文書プロファイルの例を示す図である。図5に示されるように、文書プロファイル112は、各文書をその機密レベル等によって分類する情報であり、文書ごとに文書名、機密レベル、及び管理部署等が定義されている。文書名は、文書に付された名前である。機密レベルは、文書の機密度である。管理部署は、文書を管理している部署の部署名である。例えば、文書プロファイル112において、文書1は、部署Aにおいて管理されている社外秘文書であるということが定義されている。
図6、図7、及び図8は、ポリシーの定義例を示す図である。図6等におけるポリシー113は、XACML(eXtensible Access Control Markup Language)の仕様を参考に定義されている。ここで、「参考に」と表現しているのは、原則としてXACMLの仕様に従いつつ、本実施の形態において独自の拡張を行っているからである。なお、図6、図7、及び図8は、一つのファイル内においてなされている定義を、便宜上分割して表示したものである。
ポリシー113においては、主体(ユーザ)、資源(文書)、及び操作の組み合わせに応じて、当該操作の許否を判断するための規則(セキュリティルール)が定義されており、一つのセキュリティルールに対応する定義は、<Rule>タグで囲まれたRule定義が該当する。図中においては、Rule定義r1(図6)、Rule定義r2、Rule定義r3(図7)、Rule定義r4(図8)等がRule定義として表示されている。各Rule定義は、<Target>タグで囲まれたTarget定義を要素として含む。例えば、Rule定義r1には、Target定義t1が含まれている。
Target定義は、当該セキュリティルールを適用する対象(主体、資源、操作)を特定するための定義であり、<Subject(s)>タグで囲まれたSubject定義、<Resource(s)>タグで囲まれたResource定義、<Action(s)>タグで囲まれたAction定義等を含む。Subject定義は、セキュリティルールを適用する主体の分類を特定するための定義である。Resource定義は、セキュリティルールを適用する資源の分類を特定するための定義である。Action定義は、セキュリティルールを適用する操作の種別を特定するための定義である。例えば、Target定義t1より、Rule定義r1は、関係者(主体)による秘文書(資源)の閲覧(操作)の許否を判定する際に適用されるセキュリティルールであることが特定される。
セキュリティルールを適用した場合の判定値は、当該Rule定義のEffect属性の値によって特定される。すなわち、Effect属性の値が「Permit」であれば、判定値は「許可」となり、「Deny」であれば判定値は「不許可」となる。例えば、Rule定義r1のEffect属性e1の値は、「Permit」であることから、Rule定義r1が適用される場合の判定値は「許可」であることが分かる。以上より、Rule定義r1には、「関係者による秘文書の閲覧は許可する。」旨が定義されていることとなる。
一つ以上のRule定義は、<Policy>タグで囲まれたPolicy定義によってまとめることができる。図中には、Policy定義p1(図6)、Policy定義p2、Policy定義p3(図7)、及びPolicy定義p4(図8)等がPolicy定義として示されている。一つのPolicy定義には、<Obligation(s)>タグで囲まれたObligation定義、及び<Description>タグで囲まれたDescription定義等を含み得る。例えば、Policy定義p1には、Obligation定義o1とDescription定義d1とが含まれている。
Obligation定義は、資源へのアクセスを許可する場合に強制する責務(又は要件)を規定するための定義であり、当該Obligation定義を含むPolicy定義に属する全てのRule定義に対して共通的に適用される。但し、本実施の形態においては、Policy定義とRule定義とは一対一に対応している。これは、XACMLの仕様上、Obligation定義はPolicy定義ごとに定義されるものであるところ、本実施の形態においては、Rule定義ごとにObligation定義を対応させたいからである。Obligation定義o1には、監査情報の記録が責務として規定されている。したがって、Policy定義p1には、「関係者による秘文書の閲覧は許可する。但し、閲覧の際には、監査情報を記録しなければならない。」旨が定義されていることとなる。
Description定義は、当該Description定義が属するPolicy定義におけるRule定義の定義内容を説明した説明文が定義されたものである。Description定義における説明文(以下「定義内容説明文」という。)は、表示用の文字列として利用される。
Policy定義には、更に、PolicyID属性が定義されている。PolicyID属性は、各Policy定義を一意に識別するためのIDである。例えば、Policy定義p1のPolicyID属性i1の値は「Policy1」として定義されている。
図9は、ポリシーの定義内容を概念的に示す図である。すなわち、図9の表113aは、図6等に示したポリシー113における記述から導出される定義内容を表形式にまとめて表示したものである。図9に示されるように、ポリシー113における記述によって、主体の分類(文書の関係者又は関係者以外)と文書の分類(極秘、秘、社外秘)との組み合わせに応じて、操作の種別(閲覧、印刷)ごとについての許否(○又は×)、責務、定義内容説明文が定義されたこととなる。
なお、図6〜図8のポリシー113においては、閲覧及び印刷以外の操作(例えば、編集、削除等)については定義されていないが、このような場合のアクセス制御は運用に応じて適宜定めればよい。例えば、定義されていないものについては、操作が禁止されることにしてもよいし、操作が無条件に許可されることにしてもよい。
図3に戻る。ルール適用シミュレーションモジュール12は、文書管理サーバ20において管理されている文書ごとに、特定のユーザの特定の操作に関して、ポリシー13に定義されているセキュリティルールを適用させて当該操作の許否を判定し(当該判定処理を、以下「ルール適用シミュレーション」という。)、その判定結果(ルール適用結果)を管理者PC40のアプリケーション41に表示させる。
管理者PC40におけるアプリケーション41は、ルール適用シミュレーションモジュール12によって出力されるルール適用結果の表示画面(以下「ルール適用結果確認画面」という。)を表示させるアプリケーションである。例えば、ルール適用結果確認画面がWebページとして構成される場合は、アプリケーション41は、汎用的なWebブラウザであってもよい。また、ルール適用結果確認画面を専用のWindows(登録商標)アプリケーションによって表示させるようにしてもよい。
図10は、ルール適用結果確認画面の表示例を示す図である。図10のルール適用結果確認画面410は、ユーザ選択領域411、操作選択領域412、フォルダ構成表示領域413、文書一覧表示領域414、及びボタン415等より構成されている。
ユーザ選択領域411は、ルール適用シミュレーションにおいて対象とするユーザをユーザ一覧の中から選択させるための領域であり、本実施の形態では、コンボボックスとして実装されている。操作選択領域412は、ルール適用シミュレーションにおいて対象とする操作を操作一覧の中から選択させるための領域であり、本実施の形態ではコンボボックスとして実装されている。
フォルダ構成表示領域413は、文書管理サーバ20の文書管理における文書の管理体系(すなわち、フォルダ構成表示領域)をツリー構造によって表示される領域である。
文書一覧表示領域414は、フォルダ構成表示領域413において選択されているフォルダに格納されている文書の一覧がその属性情報(ID、文書名、作成日、更新日等)と共に表示される領域である。但し、文書一覧表示領域414では、各文書について、単なる属性情報だけでなく、ルール適用シミュレーションの結果(ルール適用結果)も領域4141に表示される。領域4141では、操作選択領域412で選択された操作の許可は「○」によって、不許可は「−」によって表示される。
すなわち、図10のルール適用結果確認画面410の領域4141においては、フォルダ「部署別/二課」に格納されている文書1、2、3、4のそれぞれについて、ユーザAの閲覧(制限なし)操作に関するルール適用結果が表示されている。ここで、「閲覧(制限なし)」における「(制限なし)」とは、責務が課せられることなく無条件で閲覧が許可されることをいう。したがって、図10では、フォルダ「部署別/二課」に格納されている文書の中で、ユーザAに責務が課せられることなく閲覧可能な文書は、文書1のみであることが確認できる。
なお、ユーザ選択領域411又は操作選択領域412において他のユーザ又は他の操作が選択された際は、新たに選択されたユーザ又は操作に関するルール適用結果が領域4141に表示される。また、フォルダ構成表示領域413において他のフォルダが選択され当該フォルダに格納されている文書の一覧が表示される際は、新たに表示される文書に関するルール適用結果が領域4141に表示される。このように、ルール適用結果確認画面410によれば、対象ユーザ(ここでは「ユーザA」)が文書に対して実際にアクセスしなくても、管理者ユーザが、当該対象ユーザどのような文書に対してどのような操作が許可されているのかを容易に確認することができる。したがって、ポリシー113の定義を変更する場合等において、実際の操作許否判断に与える影響を容易に確認することが可能となる。
ところで、本実施の形態では、ルール適用シミュレーションの実行に際し、ポリシー113に定義されているセキュリティルールの中で、当該ルール適用シミュレーションの適用除外とするセキュリティルールを選択させることができる。当該選択は、例えば、ルール適用結果確認画面410においてボタン415が押下又はクリックされた際に表示される適用ルール選択画面を介して行われる。
図11は、適用ルール選択画面の表示例を示す図である。
図11の適用ルール選択画面420では、図6〜図8に示されているポリシー113に定義されているRule定義r1〜r4の一覧が表示されている。すなわち、図11におけるセキュリティルールr1〜r4は、は、図6〜図8において同一符号に係るRule定義に対応する。図11において、各セキュリティルールには、チェックボタン(421〜424)が割り当てられている。チェックボタン421〜424は、当該チェックボタンに対応するセキュリティルールを、ルール適用シミュレーションの適用対象とするか否かを選択させるためのものである。当該チェックボタンがチェックされているセキュリティルールは適用対象とされ、チェックされていないセキュリティルールは適用除外とされる。図11では、セキュリティルールr3が適用除外とされた例が示されている。この場合、図10のルール適用結果確認画面410においては、セキュリティルールr3を無視したルール適用結果が表示される。なお、適用ルール選択画面420における設定内容は、適用ボタン421が押下又はクリックされることにより確定し、例えば、適用ルール選択情報として、補助記憶装置102に保存される。
以下、文書管理システム1におけるルール適用シミュレーションの処理手順について説明する。図12は、文書管理システムにおけるルール適用シミュレーションの処理概要を説明するためのシーケンス図である。図12には、ルール適用結果確認画面410が管理者用PC40に表示された後、ルール適用シミュレーションが実行され、そのルール適用結果がルール適用結果確認画面に表示されるまでの処理手順が示されている。なお、図12において、文書管理モジュール21は、文書管理サーバ20において文書管理機能を実現するプログラムである。
管理者用PC40において管理者ユーザがアプリケーション41を操作し、ルール適用結果確認画面410の表示を指示すると、アプリケーション41は、文書管理体系、すなわちフォルダ構成の一覧の取得をルール適用シミュレーションモジュール12に要求する(S11)。ルール適用シミュレーションモジュール12は、文書管理モジュール21に対し、フォルダ構成の一覧の取得を要求し(S12)、当該フォルダ構成の一覧を文書管理モジュール21より受信する(S13)。続いて、ルール適用シミュレーションモジュール12が、受信したフォルダ構成一覧の表示指示をアプリケーション41に送信すると、アプリケーション41は、ルール適用結果確認画面410のフォルダ構成表示領域413に当該フォルダ構成を表示させる(S14)。この状態において、ルール適用結果確認画面410には、フォルダ構成のみが表示されており、文書一覧表示領域414には、文書一覧は表示されていない。
ルール適用結果確認画面410のフォルダ構成表示領域413において、管理者ユーザがいずれかのフォルダを選択すると、アプリケーション41は、選択されたフォルダ(以下「選択フォルダ」という。)に格納されている文書一覧の取得をルール適用シミュレーションモジュール12に要求する(S15)。
ルール適用シミュレーションモジュール12は、文書管理モジュール21に対し、選択フォルダに格納されている文書一覧の取得を要求し(S16)、当該文書一覧を文書管理モジュール21より受信する(S17)。続いて、ルール適用シミュレーションモジュール12が、当該文書一覧をアプリケーション41に送信すると、アプリケーション41は、当該文書一覧を、ルール適用結果確認画面410の文書一覧表示領域414に表示させる(S18)。
続いて、管理者ユーザが、ルール適用結果確認画面410のユーザ選択領域411及び操作選択領域412において、ルール適用シミュレーションの対象とするユーザ(以下「対象ユーザ」という。)と操作(以下「対象操作」という。)とを選択すると、アプリケーション41は、対象ユーザ、対象操作、及び文書一覧表示領域414に表示されている文書一覧に含まれる各文書(以下「対象文書」という。)の識別情報を伴って、ルール適用シミュレーションモジュール12に対してルール適用シミュレーションの実行を要求する(S19)。
ルール適用シミュレーションモジュール12は、対象文書のそれぞれに対する対象ユーザによる対象操作の権限の有無を、ユーザプロファイル111、文書プロファイル112、ポリシー113、及び適用ルール選択画面420において設定された適用ルール選択情報等に基づいて判定する(S20)。続いて、ルール適用シミュレーションモジュール12が、その判定結果(ルール適用結果)をアプリケーション41に送信すると(S21)、アプリケーション41は、ルール適用結果確認画面410の領域4141に当該ルール適用結果を文書ごとに表示させる(S21)。
次に、図12のステップS20における処理、すなわち、ルール適用シミュレーションモジュール12によるルール適用シミュレーションについて更に詳しく説明する。図13は、ルール適用シミュレーションモジュールによるルール適用シミュレーションの処理手順を説明するためのフローチャートである。
まず、入力情報として対象ユーザの識別情報(アカウント情報)、対象文書の一覧、対象操作、及び適用ルール選択情報(適用除外とされるセキュリティルールの一覧)を受け付ける(S201)。続いて、ユーザプロファイル111より対象ユーザを検索することにより、対象ユーザのユーザプロファイル情報(対象ユーザが関係者である部署(関係部署))を取得する(S202)。続いて、結果一覧を初期化(空に)する(S203)。ここで、結果一覧とは、ポリシー113に含まれる全てのセキュリティルールに関して処理した結果、対象ユーザに対象操作が許可されるものとして判定された文書が格納されるバッファをいう。
続いて、ステップS204以降は、ポリシー113に含まれているそれぞれのセキュリティルール(図6〜図8によれば、Rule定義r1、r2、r3、及びr4のそれぞれ)についてのループ処理となる。
すなわち、ポリシー113に含まれているセキュリティルールのうち、未処理のセキュリティルールの有無を判定し(S204)、未処理のセキュリティルールが有る場合は(S204でYes)、その中から一つのセキュリティルール(例えば、Rule定義r1)を取り出す(S205)。ここで取り出されたセキュリティルールを以下「カレントルール」という。
続いて、カレントルールが、適用ルール選択情報において適用除外とされているか否かを判定する(S206)。適用除外とされている場合(S206でYes)、ステップS204に戻る。適用除外とされていない場合(S206でNo)、カレントルールが対象ユーザ及び対象操作の組み合わせに適合するルール(以下「適合ルール」という。)であるか否かを検査する(S207)。なお、当該ステップの詳細については後述する。
カレントルールが適合ルールでない場合(S208でNo)、ステップS204に戻る。カレントルールが適合ルールである場合(S208でYes)、カレントルールに基づいて、対象ユーザに対象操作が許可される文書を対象文書の一覧の中から抽出する(S210)。なお、当該ステップの詳細については後述する。続いて、抽出された文書を結果一覧に合成する(S210)。
ポリシー113に含まれている全てのセキュリティルールについて処理が完了すると(S204)、図13の処理を終了させる。
続いて、ステップS207における処理の詳細について説明する。図14は、カレントルールが適合ルールであるかを検査するための処理の処理手順を説明するためのフローチャートである。
まず、カレントルールより、Target定義を取得する(S301)。例えば、カレントルールがRule定義r1である場合、Target定義t1が取得される。
続いて、取得されたTarget定義におけるSubject定義の値及びAction定義の値と、対象ユーザのプロファイル情報及び対象操作とを比較することにより、Subject定義の値とAction定義の値とによって規定される対象範囲に、対象ユーザ及び対象操作の組み合わせが含まれ得る否かを判定し、含まれ得る場合は、カレントルールを適合ルールとして判定する(S302)。
続いて、ステップS209における処理の詳細について説明する。図15は、対象ユーザに対象操作が許可される文書の抽出処理の処理手順を説明するためのフローチャートである。
まず、抽出結果一覧を初期化(空に)する(S401)。ここで、抽出結果一覧とは、カレントルールに関して処理した結果、対象ユーザに対象操作が許可されるものとして判定された文書が格納されるバッファをいう。
続いて、対象文書の一覧の中から一つの文書を取り出す(S402)。対象文書の一覧から文書が正常に取得できた場合、すなわち、対象文書の一覧の中に、以降の処理について未処理の文書が残っていた場合(S403でYes)、ユーザプロファイル111、文書プロファイル112、及びカレントルールに基づいて、取得された文書(以下「カレント文書」という。)に対して対象ユーザによる対象操作の許否を判定する(S404)。
より詳しくは、ユーザプロファイル111に基づいて対象ユーザの関係部署を特定し、文書プロファイル112に基づいて、カレント文書の管理部署及び機密レベルを特定する。ユーザプロファイル111の関係部署の中に、カレント文書の管理部署と一致するものがあれば、対象ユーザはカレント文書の関係者となり、一致するものがなければ対象ユーザはカレント文書の関係者とはならない。続いて、対象ユーザがカレント文書の関係者であるか否か、カレント文書の機密レベル、及び対象操作の組み合わせが、カレントルールのTarget定義に当てはまるか否かを判定し、当てはまる場合は、カレントルールのRule定義のEffect属性の値に基づいて、当該許否を判定する。
ステップS405において、操作が許可される判定された場合(S405)、抽出結果一覧にカレント文書を追加する(S406)。
対象文書の一覧に含まれている全ての文書について上記の処理が完了したら(S403でNo)、図15の処理を終了させる。
したがって、本実施の形態では図12のステップS21において、対象ユーザに対して対象操作が許可される文書の一覧(以下「許可文書一覧」という。)が、ルール適用シミュレーションの判定結果としてルール適用シミュレーションモジュール12からアプリケーション41へ送信される。この場合、アプリケーション41は、ルール適用結果確認画面410の領域4141において、許可文書一覧に含まれている文書については「○」を表示させ、それ以外の文書については「−」を表示させる。
上述したように、本発明の実施の形態における文書管理システム1によれば、ルール適用結果確認画面410を操作することによって、管理者ユーザ等が、各文書に対する各ユーザによる各操作の可否を容易に確認することができる。したがって、セキュリティルールの制定の際や、変更の際等、その制定や変更によるアクセス制御判断に対する影響を容易に確認することができる。
また、適用ルール選択画面420において、ルール適用シミュレーションにおいて適用対象とする(又は適用除外)とするセキュリティルール容易に変更させることができるため、複数のセキュリティルールの定義により、ポリシー113の定義内容が複雑になっている場合等おけるセキュリティルールの改善や修正作業を適切に支援することができる。
更に、ルール適用結果確認画面410は、一般ユーザが文書を利用する際と同様の管理体系(フォルダ構成)に応じた分類によって、文書一覧を表示させるため、実際に一般ユーザが操作する際の操作画面のシミュレートが可能になる。
以上、本発明の実施例について詳述したが、本発明は係る特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
本発明の実施の形態における文書管理システムの構成例を示す図である。 本発明の実施の形態におけるアクセス制御サーバのハードウェア構成例を示す図である。 本発明の実施の形態の文書管理システムにおけるルール適用シミュレーション機能に関する機能構成例を示す図である。 ユーザプロファイルの例を示す図である。 文書プロファイルの例を示す図である。 ポリシーの定義例を示す図である。 ポリシーの定義例を示す図である。 ポリシーの定義例を示す図である。 ポリシーの定義内容を概念的に示す図である。 ルール適用結果確認画面の表示例を示す図である。 適用ルール選択画面の表示例を示す図である。 文書管理システムにおけるルール適用シミュレーションの処理概要を説明するためのシーケンス図である。 ルール適用シミュレーションモジュールによるルール適用シミュレーションの処理手順を説明するためのフローチャートである。 カレントルールが適合ルールであるかを検査するための処理の処理手順を説明するためのフローチャートである。 対象ユーザに対象操作が許可される文書の抽出処理の処理手順を説明するためのフローチャートである。
符号の説明
1 文書管理システム
10 アクセス制御サーバ
11 セキュリティ管理モジュール
12 ルール適用シミュレーションモジュール
20 文書管理サーバ
21 文書管理モジュール
30 認証サーバ
31 認証モジュール
40 管理者用PC
41 アプリケーション
50 クライアントPC
60 ネットワーク
100 ドライブ装置
101 記録媒体
102 補助記憶装置
103 メモリ装置
104 演算処理装置
105 インタフェース装置
111 ユーザプロファイル
112 文書プロファイル
113 ポリシー
B バス

Claims (7)

  1. 操作の対象となる各資源を分類する資源分類情報と、前記資源を操作する各主体を分類する主体分類情報と、前記資源の分類と前記主体の分類との組み合わせに応じて前記操作の種別ごとに前記操作の許否判定に関する規則が定義された定義情報とに基づいて、前記資源に対するアクセス制御を行うアクセス制御装置であって、
    前記定義情報に定義された前記規則に基づいて、前記資源の集合に含まれるそれぞれの資源について特定の前記主体による特定の前記操作の許否を判定する判定手段を有し、
    前記特定の主体は前記資源の集合が表示される表示画面において前記主体の一覧の中から選択され、前記特定の操作は前記表示画面において前記操作の一覧の中から選択され、
    前記判定手段による前記許否の判定結果は、前記表示画面において前記資源ごとに表示されることを特徴とするアクセス制御装置。
  2. 前記判定手段は、前記定義情報に定義された前記規則の中から特定の前記規則を除外して特定の前記資源の集合に含まれるそれぞれの資源について前記特定の主体による前記特定の操作の許否を判定し、
    前記特定の規則は、前記定義情報に定義された前記規則の一覧を表示させる表示画面において選択されることを特徴とする請求項1記載のアクセス制御装置。
  3. 前記表示画面は、前記資源の管理体系に応じて前記資源の集合を表示させることを特徴とする請求項1又は2記載のアクセス制御装置。
  4. 操作の対象となる各資源を分類する資源分類情報と、前記資源を操作する各主体を分類する主体分類情報と、前記資源の分類と前記主体の分類との組み合わせに応じて前記操作の種別ごとに前記操作の許否判定に関する規則が定義された定義情報とに基づいて、前記資源に対するアクセス制御を行うアクセス制御装置が実行するアクセス制御シミュレーション方法であって、
    前記定義情報に定義された前記規則に基づいて、前記資源の集合に含まれるそれぞれの資源について特定の前記主体による特定の前記操作の許否を判定する判定手順を有し、
    前記特定の主体は前記資源の集合が表示される表示画面において前記主体の一覧の中から選択され、前記特定の操作は前記表示画面において前記操作の一覧の中から選択され、
    前記判定手段による前記許否の判定結果は、前記表示画面において前記資源ごとに表示されることを特徴とするアクセス制御シミュレーション方法。
  5. 前記判定手順は、前記定義情報に定義された前記規則の中から特定の前記規則を除外して特定の前記資源の集合に含まれるそれぞれの資源について前記特定の主体による前記特定の操作の許否を判定し、
    前記特定の規則は、前記定義情報に定義された前記規則の一覧を表示させる表示画面において選択されることを特徴とする請求項4記載のアクセス制御シミュレーション方法。
  6. 前記表示画面は、前記資源の管理体系に応じて前記資源の集合を表示させることを特徴とする請求項4又は5記載のアクセス制御シミュレーション方法。
  7. 請求項4乃至6いずれか一項記載のアクセス制御シミュレーション方法をコンピュータに実行させるためのアクセス制御シミュレーションプログラム。
JP2006081517A 2006-03-23 2006-03-23 アクセス制御装置、アクセス制御シミュレーション方法及びアクセス制御シミュレーションプログラム Expired - Fee Related JP4832132B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006081517A JP4832132B2 (ja) 2006-03-23 2006-03-23 アクセス制御装置、アクセス制御シミュレーション方法及びアクセス制御シミュレーションプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006081517A JP4832132B2 (ja) 2006-03-23 2006-03-23 アクセス制御装置、アクセス制御シミュレーション方法及びアクセス制御シミュレーションプログラム

Publications (2)

Publication Number Publication Date
JP2007257352A true JP2007257352A (ja) 2007-10-04
JP4832132B2 JP4832132B2 (ja) 2011-12-07

Family

ID=38631527

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006081517A Expired - Fee Related JP4832132B2 (ja) 2006-03-23 2006-03-23 アクセス制御装置、アクセス制御シミュレーション方法及びアクセス制御シミュレーションプログラム

Country Status (1)

Country Link
JP (1) JP4832132B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009057652A1 (ja) * 2007-10-29 2009-05-07 Kabushiki Kaisha Toshiba ファイルアクセス制御装置及びプログラム
JP2012108891A (ja) * 2010-10-25 2012-06-07 Canon Marketing Japan Inc 文書管理装置。

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07295941A (ja) * 1994-04-22 1995-11-10 Hitachi Ltd アクセス権参照方式及び設定方式
JP2004139292A (ja) * 2002-10-17 2004-05-13 Hitachi Ltd アクセス制御のポリシー診断システム
JP2005316515A (ja) * 2004-04-26 2005-11-10 Ricoh Co Ltd 情報処理装置、操作許否情報生成方法、操作許否情報生成プログラム及び記録媒体

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07295941A (ja) * 1994-04-22 1995-11-10 Hitachi Ltd アクセス権参照方式及び設定方式
JP2004139292A (ja) * 2002-10-17 2004-05-13 Hitachi Ltd アクセス制御のポリシー診断システム
JP2005316515A (ja) * 2004-04-26 2005-11-10 Ricoh Co Ltd 情報処理装置、操作許否情報生成方法、操作許否情報生成プログラム及び記録媒体

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009057652A1 (ja) * 2007-10-29 2009-05-07 Kabushiki Kaisha Toshiba ファイルアクセス制御装置及びプログラム
US8863305B2 (en) 2007-10-29 2014-10-14 Kabushiki Kaisha Toshiba File-access control apparatus and program
JP2012108891A (ja) * 2010-10-25 2012-06-07 Canon Marketing Japan Inc 文書管理装置。
JP2013077311A (ja) * 2010-10-25 2013-04-25 Canon Marketing Japan Inc 文書管理装置。

Also Published As

Publication number Publication date
JP4832132B2 (ja) 2011-12-07

Similar Documents

Publication Publication Date Title
JP6291826B2 (ja) 情報処理システム及びライセンス管理方法
KR20060054280A (ko) 복합 문서를 전자적으로 관리하는 시스템 및 방법
US20210286767A1 (en) Architecture, method and apparatus for enforcing collection and display of computer file metadata
JP2005301510A (ja) 情報処理装置、操作許否情報生成方法、操作許否情報生成プログラム及び記録媒体
US10841342B2 (en) Data driven user interfaces for device management
JP2000020377A (ja) データベースシステム、データ管理方法及びデータ管理用ソフトウェアを記録した記録媒体
US20190215380A1 (en) Data driven user interfaces for device management
JP4587164B2 (ja) 印刷システム、印刷制御方法、並びにプログラム
US7233949B2 (en) System and method for controlling user authorities to access one or more databases
US10303343B1 (en) Data driven user interfaces for device management
JP2005174211A (ja) 情報処理装置及び情報処理方法
JP2008197751A (ja) 電子帳票作成管理システム及び電子帳票作成管理プログラム及びこのプログラムを記憶した記録媒体
JP4602684B2 (ja) 情報処理装置、操作許否判定方法、操作許可情報生成方法、操作許否判定プログラム、操作許可情報生成プログラム及び記録媒体
JP4832132B2 (ja) アクセス制御装置、アクセス制御シミュレーション方法及びアクセス制御シミュレーションプログラム
JP2007233635A (ja) 情報管理システム及び情報管理方法、並びにコンピュータ・プログラム
JP4723930B2 (ja) 複合的アクセス認可方法及び装置
JP2009110241A (ja) 電子ファイル管理装置
JP4887735B2 (ja) 情報処理装置、情報処理システム及びプログラム
JP4731928B2 (ja) データ管理装置、データ管理システム、データ処理装置、データ管理方法、プログラム、及び記憶媒体
JP2021076986A (ja) 1つ以上の情報処理装置、情報処理システム、ロール設定方法
JP2008123243A (ja) 電子文書管理プログラム及び電子文書管理装置
JP6572679B2 (ja) 情報処理装置およびプログラム
JP2009104347A (ja) アクセス可能な電子文書を提供するアクセス制御装置
JP6277778B2 (ja) 情報処理装置、情報処理システム、プログラム
JP4882550B2 (ja) オブジェクト管理システム及びオブジェクト管理方法、並びにコンピュータ・プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090212

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110531

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110607

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110804

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110823

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110920

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4832132

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140930

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees