JP2008299376A - 情報処理装置及びプログラム - Google Patents
情報処理装置及びプログラム Download PDFInfo
- Publication number
- JP2008299376A JP2008299376A JP2007141586A JP2007141586A JP2008299376A JP 2008299376 A JP2008299376 A JP 2008299376A JP 2007141586 A JP2007141586 A JP 2007141586A JP 2007141586 A JP2007141586 A JP 2007141586A JP 2008299376 A JP2008299376 A JP 2008299376A
- Authority
- JP
- Japan
- Prior art keywords
- access
- user group
- information
- user
- users
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】ユーザグループに対する削除や変更等の影響を把握し易くできる情報処理装置を提供する。
【解決手段】少なくとも一部がそれぞれユーザグループに関連づけられた複数のユーザによるアクセス対象となる複数のオブジェクトを記憶するオブジェクト記憶装置に接続され、各ユーザによるオブジェクトに対するアクセスの可否を関連づけられたユーザグループごとに設定されたアクセス権限情報に応じて定め、複数のユーザのそれぞれが過去にアクセスしたオブジェクトを示すアクセス履歴情報を取得し、取得したアクセス履歴情報に基づいて、調査対象として指定された対象ユーザグループに関連づけられたユーザが過去にアクセスしたオブジェクトのうち、当該対象ユーザグループについて設定されたアクセス権限情報に応じてアクセスを許可されたオブジェクトのリストを生成する情報処理装置である。
【選択図】図1
【解決手段】少なくとも一部がそれぞれユーザグループに関連づけられた複数のユーザによるアクセス対象となる複数のオブジェクトを記憶するオブジェクト記憶装置に接続され、各ユーザによるオブジェクトに対するアクセスの可否を関連づけられたユーザグループごとに設定されたアクセス権限情報に応じて定め、複数のユーザのそれぞれが過去にアクセスしたオブジェクトを示すアクセス履歴情報を取得し、取得したアクセス履歴情報に基づいて、調査対象として指定された対象ユーザグループに関連づけられたユーザが過去にアクセスしたオブジェクトのうち、当該対象ユーザグループについて設定されたアクセス権限情報に応じてアクセスを許可されたオブジェクトのリストを生成する情報処理装置である。
【選択図】図1
Description
本発明は、情報処理装置及びプログラムに関する。
従来、コンピュータ上で管理されるファイルやディレクトリなどのオブジェクトに対して、アクセス権限情報を設定する管理が行われている。この場合のアクセス権限情報は、特定のユーザに対して特定のオブジェクトに対する参照や更新等のアクセスを許可したり、逆に禁止したりするためのものである。また、このようなアクセス権限情報は、複数のユーザが関連づけられたユーザグループごとに設定されることもある。これにより、複数のユーザに対して一括してアクセスを許可したり禁止したりすることができる。
このような場合において、あるオブジェクトについて、あるユーザグループのアクセス権限情報を削除する場合に、同じオブジェクトに対する当該ユーザグループに関連づけられたユーザのアクセス権限情報についても、併せて削除する技術がある(特許文献1参照)。これにより、ユーザグループのアクセス権限情報とは別にユーザのアクセス権限情報が設定されていた場合であっても、当該ユーザグループに関連づけられたユーザがオブジェクトにアクセスできなくすることを保証できる。
特開2002‐278822号公報
上記従来例の技術においては、例えばユーザは複数のユーザグループに関連づけられる場合があり、また各オブジェクトに対して様々なユーザグループやユーザごとにアクセス権限情報が設定される。そのため、例えばユーザグループを削除したり、ユーザグループのメンバ(ユーザグループに関連づけられたユーザ)を変更したりすると、あるユーザがこれまでアクセスできていたオブジェクトに対してアクセスできなくなるなど、思わぬ影響が生じる場合がある。このように、ユーザグループに対する削除や変更等の操作を行うことによる影響は容易に把握しにくいため、ユーザグループのメンテナンスに手間がかかるという問題がある。
本発明の目的は、各オブジェクトに対するアクセス権限がユーザグループごとに管理される場合に、ユーザグループの削除や変更等の影響を把握し易くできる情報処理装置及びプログラムを提供することにある。
上記課題を解決するための本発明に係る情報処理装置は、複数のユーザによるアクセス対象となる複数のオブジェクトを記憶するオブジェクト記憶装置に接続され、前記複数のユーザの少なくとも一部は、それぞれ少なくとも一つのユーザグループに関連づけられており、前記ユーザのそれぞれによる前記オブジェクトに対するアクセスの可否を前記関連づけられたユーザグループごとに設定されたアクセス権限情報に応じて定める情報処理装置であって、前記複数のユーザのそれぞれが過去にアクセスしたオブジェクトを示すアクセス履歴情報を取得するアクセス履歴情報取得手段と、前記取得したアクセス履歴情報に基づいて、調査対象として指定された対象ユーザグループについて、当該対象ユーザグループに関連づけられたユーザが過去にアクセスしたオブジェクトのうち、当該対象ユーザグループについて設定された前記アクセス権限情報に応じてアクセスを許可されたオブジェクトのリストを生成するリスト生成手段と、を含むことを特徴とする。
また、本発明に係るプログラムは、複数のユーザによるアクセス対象となる複数のオブジェクトを記憶するオブジェクト記憶装置に接続され、前記複数のユーザの少なくとも一部は、それぞれ少なくとも一つのユーザグループに関連づけられており、前記ユーザのそれぞれによる前記オブジェクトに対するアクセスの可否を前記関連づけられたユーザグループごとに設定されたアクセス権限情報に応じて定める情報処理装置を制御するためのプログラムであって、前記複数のユーザのそれぞれが過去にアクセスしたオブジェクトを示すアクセス履歴情報を取得するアクセス履歴情報取得手段、及び前記取得したアクセス履歴情報に基づいて、調査対象として指定された対象ユーザグループについて、当該対象ユーザグループに関連づけられたユーザが過去にアクセスしたオブジェクトのうち、当該対象ユーザグループについて設定された前記アクセス権限情報に応じてアクセスを許可されたオブジェクトのリストを生成するリスト生成手段、としてコンピュータを機能させるためのプログラムである。このプログラムは、コンピュータ読み取り可能な各種の情報記憶媒体に記憶されてもよい。
また、上記プログラムにおいて、前記アクセス権限情報は、複数種類のアクセスのそれぞれについて定められており、前記アクセス履歴情報は、前記複数のユーザのそれぞれが過去にアクセスしたオブジェクトについて、当該オブジェクトに対するアクセスの種類を示す情報を含み、前記リスト生成手段は、前記アクセス履歴情報に含まれる前記アクセスの種類を示す情報に基づいて、前記対象ユーザグループ及び当該アクセスの種類について設定された前記アクセス権限情報に応じてアクセスを許可されたオブジェクトのリストを生成することとしてもよい。
また、上記プログラムにおいて、前記リスト生成手段は、前記対象ユーザグループに関連づけられたユーザのうち、調査対象として指定された対象ユーザが、前記対象ユーザグループについて設定された前記アクセス権限情報に応じてアクセスを許可されたオブジェクトのリストを生成することとしてもよい。
以下、本発明の実施の形態について、図面を参照しながら説明する。本発明の一実施形態に係る情報処理システムは、図1に示すように、通信ネットワークを介して相互にデータ通信可能に接続された情報処理装置1及びクライアント端末2を含んで構成される。なお、クライアント端末2は複数あってもよい。
情報処理装置1は、例えばサーバコンピュータ等であって、制御部11と、記憶部12と、通信部13と、を含んで構成される。また、情報処理装置1は、オブジェクト記憶装置3と接続されている。
制御部11は、CPU等であって、記憶部12に格納されたプログラムに従って動作する。本実施形態において制御部11が実行する処理の例については、後述する。
記憶部12は、例えばRAMやROM等のメモリ素子を含んで構成される、コンピュータ読み取り可能な情報記憶媒体である。記憶部12には、制御部11で実行されるプログラムが格納される。また、記憶部12は、制御部11のワークメモリとしても動作する。
通信部13は、モデムやLANカード等のネットワークインタフェースであって、制御部11からの指示に従って通信ネットワークに対して情報を送信する。また、通信ネットワークを介して到来した情報を受け入れて、制御部11に対して出力する。
クライアント端末2は、例えばパーソナルコンピュータ等であって、ユーザの指示等に基づいて各種の処理を実行する。本実施形態においてクライアント端末2は、当該クライアント端末2を使用するユーザの指示に従って、情報処理装置1に対してオブジェクトに対するアクセス要求を送信する。また、当該アクセス要求に応じて情報処理装置1が送信するオブジェクトの情報を受信する。
オブジェクト記憶装置3は、例えばハードディスク等のコンピュータ読み取り可能な情報記憶媒体を含んで構成され、複数のユーザによるアクセス対象となる複数のオブジェクトを記憶する。ここでオブジェクトは、例えば文書ファイル等のファイルや、当該ファイルが複数関連づけられたディレクトリなどである。なお、オブジェクト記憶装置3は、情報処理装置1と一体に構成されてもよいし、通信ネットワーク等を介して情報処理装置1と相互にデータ通信可能に接続された装置であってもよい。
以下では具体例として、オブジェクト記憶装置3が記憶するオブジェクトは、図2(a)に示すような階層構造のディレクトリ及びファイルからなるものとする。この場合、オブジェクト記憶装置3はオブジェクト管理テーブルを保持している。オブジェクト管理テーブルは、ファイル又はディレクトリをそれぞれ識別するオブジェクト識別情報と、当該各ファイル又は各ディレクトリが属する親ディレクトリを識別する親オブジェクト識別情報と、を関連づけるテーブルである。図2(b)は、このようなオブジェクト管理テーブルの一例を示している。ここで、親オブジェクト識別情報が「Null」となっているオブジェクト識別情報は、当該オブジェクト識別情報によって識別されるオブジェクトがルートディレクトリであることを示している。
また、クライアント端末2を使用して各オブジェクトに対してアクセスする複数のユーザの少なくとも一部は、情報処理装置1においてそれぞれ少なくとも一つのユーザグループに関連づけて管理されている。以下では具体例として、各ユーザは、図3(a)に示すような階層構造のユーザグループに関連づけられているものとする。情報処理装置1は、図3(a)に示すようなユーザグループの管理を実現するために、例えば図3(b)に示すようなユーザ管理テーブルを保持している。このユーザ管理テーブルは、各ユーザを識別するユーザ識別情報又は各ユーザグループを識別するユーザグループ識別情報と、当該ユーザ又はユーザグループが属する親ユーザグループを識別する親ユーザグループ識別情報と、を関連づけるテーブルである。ここで親ユーザグループ識別情報が「Null」となっているユーザ識別情報又はユーザグループ識別情報は、いずれのユーザグループにも属していないユーザ又はユーザグループであることを示している。図3(b)の例においては、グループG1が親ユーザグループを持たないユーザグループであり、またユーザU7がいずれのユーザグループにも属していないユーザであることを示している。
なお、ユーザ及びユーザグループは、それぞれ複数の親ユーザグループに属することとしてもよい。また、各ユーザが1つの親ユーザグループにしか属していない場合であっても、当該親ユーザグループがさらに他のユーザグループに属していれば、当該ユーザは複数のユーザグループに属することとなる。例えば図3(a)の例においては、一部のユーザグループはより上位のユーザグループに関連づけられている。これにより、例えばユーザU5及びユーザU6は、それぞれグループG1,G2及びG4の3つのユーザグループに属することとなる。
さらに情報処理装置1は、オブジェクト記憶装置3が記憶する各オブジェクトに対する各ユーザからのアクセス要求に応じてアクセスの可否を決定するために、各オブジェクトに対して設定されたアクセス権限情報を参照可能に構成されている。この場合において、アクセス権限情報は、情報処理装置1が管理するユーザ又はユーザグループごとに設定されているものとする。なお、アクセス権限情報は情報処理装置1に保持されてもよいし、オブジェクト記憶装置3に保持されてもよい。
また、アクセス権限情報は、複数種類のアクセスのそれぞれについて、アクセスの可否を定める情報であってよい。ここでアクセスの種類は、アクセスの対象となるオブジェクトに対する操作の内容を示している。例えばオブジェクトがディレクトリであれば、当該ディレクトリに関連づけられたファイルやディレクトリの参照や、当該ディレクトリの削除、また当該ディレクトリに対するファイルのアップロードやディレクトリの作成などである。また、オブジェクトがファイルであれば、ファイルの閲覧やダウンロード、更新、削除等である。
以下では具体例として、図2(a)に示すディレクトリD2、ディレクトリD4、ファイルF1及びファイルF2について、それぞれ図4(a)、図4(b)、図4(c)及び図4(d)に示すようなアクセス権限情報が設定されているものとする。例えば図4(a)は、ディレクトリD2に対するアクセス権限情報として、グループG2に属するユーザ及びユーザU3については読み取り権限及び書き込み権限が、グループG3に属するユーザについては読み取り権限のみが、それぞれ設定されていることを示している。この例において、ディレクトリに対する読み取り権限は、ディレクトリに関連づけられたファイルやディレクトリを参照するアクセスを許可することを示している。また、書き込み権限は、当該ディレクトリを削除したり、当該ディレクトリに対してファイルのアップロードや新たなディレクトリの追加をしたりするアクセスを許可することを示している。さらに、ファイルに対する読み取り権限は、当該ファイルを閲覧したりダウンロードしたりするアクセスを許可することを示しており、ファイルに対する書き込み権限は、当該ファイルを更新したり削除したりするアクセスを許可することを示している。なお、この例においては各ユーザ又はユーザグループに対して読み取り権限と書き込み権限の2種類のアクセス権限が設定されることとしているが、例えば複数種類のアクセスのそれぞれに対応するより細かなアクセス権限情報が設定されてもよい。
次に、本実施形態に係る情報処理装置1が、クライアント端末2からのアクセス要求に応じて実行する処理について、説明する。
クライアント端末2から送信されるアクセス要求には、当該アクセス要求を行ったユーザを識別するユーザ識別情報、当該アクセス要求の対象となるオブジェクトを識別するオブジェクト識別情報、及び要求するアクセスの種類を示す情報が含まれている。
このようなアクセス要求を受信した情報処理装置1は、アクセス要求の対象となったオブジェクトについて設定されたアクセス権限情報に応じて、要求されたアクセスの種類に対するアクセス権限が、アクセス要求を行ったユーザにあるか否かを判定する。この場合において、情報処理装置1は、アクセス要求を行ったユーザ又は当該ユーザに関連づけられたユーザグループのいずれかについてアクセスを許可する旨のアクセス権限情報が設定されていれば、当該ユーザのアクセスを許可することとする。
情報処理装置1は、この判定の結果に応じて、アクセス要求がなされたオブジェクトの情報をクライアント端末2に対して送信したり、オブジェクト記憶装置3に記憶されたオブジェクトの内容を更新したり、あるいはアクセスが許可されないことを通知する情報を送信したりする。
また、情報処理装置1は、少なくともユーザの要求したアクセスを許可した場合、ユーザのアクセスがあったことを示すアクセス履歴情報を記録することとする。アクセス履歴情報は、オブジェクト記憶装置3に記憶された複数のオブジェクトのうち、情報処理装置1によって管理される複数のユーザのそれぞれが過去にアクセスしたオブジェクトを示す情報である。また、アクセス履歴情報は、当該アクセスの種類を示す情報を含んでもよい。具体例として、情報処理装置1は、アクセス要求を許可するごとに、当該アクセス要求に対応するアクセス履歴として、アクセス要求を行ったユーザを識別するユーザ識別情報、当該アクセス要求の対象となったオブジェクトを識別するオブジェクト識別情報、アクセスの種類を示す情報、及びアクセス日時の情報を関連づけてアクセス履歴情報として記憶する。
図5は、このようなアクセス履歴情報の一例を示す説明図である。図5の例においては、アクセス履歴情報に含まれる各アクセス履歴には、ユーザ識別情報、オブジェクト識別情報、アクセス日時の情報、及びアクセスの種類を示す情報に加えて、さらにアクセス対象となったオブジェクトが属する親オブジェクトを識別する親オブジェクト識別情報も含まれている。図5の例においては、アクセスの種類に応じて、オブジェクト識別情報又は親オブジェクト識別情報のいずれかによって識別されるオブジェクトが、アクセス対象のオブジェクトとなる。例えばアクセスの種類が新たなディレクトリの作成の場合、作成されたディレクトリではなく、親オブジェクト識別情報によって識別されるディレクトリ(作成されたディレクトリの親ディレクトリ)が、アクセス対象のオブジェクトになる。
以上説明した情報処理システムにおいて、例えばシステム管理者があるユーザグループの情報を削除しようとする場合などにおいて、情報処理装置1が実現する機能について説明する。情報処理装置1は、機能的に、例えば図6に示すように、アクセス履歴情報取得部21と、リスト生成部22と、リスト出力部23と、を含んで構成される。これらの機能は、例えば制御部11が記憶部12に格納されたプログラムを実行することによって実現できる。このプログラムは、例えばCD−ROMやDVD−ROM等のコンピュータ読み取り可能な各種の情報記憶媒体に格納されて提供されてもよいし、例えばインターネット等の通信ネットワークを介して提供されてもよい。
アクセス履歴情報取得部21は、複数のユーザのそれぞれが過去にアクセスしたオブジェクトを示すアクセス履歴情報を取得する。前述したように、本実施形態においては情報処理装置1がアクセス履歴情報を記憶しているので、アクセス履歴情報取得部21はこの記憶されているアクセス履歴情報を読み出す。この場合において、アクセス履歴情報取得部21は、現在日時の情報を取得して、現在日時に対して過去所定の期間におけるアクセス履歴情報だけを取得することしてもよい。
リスト生成部22は、アクセス履歴情報取得部21が取得したアクセス履歴情報に基づいて、調査対象として指定された対象ユーザグループについて、当該対象ユーザグループに関連づけられたユーザが過去にアクセスしたオブジェクトのうち、当該対象ユーザグループについて設定されたアクセス権限情報に応じてアクセスを許可されたオブジェクトのリスト(以下、調査結果リストLという)を生成する。この場合において、リスト生成部22は、アクセス履歴情報に含まれるアクセスの種類を示す情報に基づいて、対象ユーザグループ及び当該アクセスの種類について設定されたアクセス権限情報に応じてアクセスを許可されたオブジェクトのリストを調査結果リストLとして生成してもよい。
以下、リスト生成部22が実行する処理の例について説明する。まずリスト生成部22は、システム管理者等による指定に基づいて、調査対象となる対象ユーザグループを決定する。そして、ユーザ管理テーブルを参照して、対象ユーザグループのメンバ(対象ユーザグループに関連づけられたユーザ)を特定する。
さらにリスト生成部22は、アクセス履歴情報取得部21が取得したアクセス履歴情報の中から、特定された対象ユーザグループのメンバによるアクセスに関するアクセス履歴を抽出する。さらに、抽出されたアクセス履歴のそれぞれについて、対象ユーザグループについて設定されたアクセス権限情報に応じて許可されたものであるか否かを判定する。そして、判定の結果、対象ユーザグループのアクセス権限情報によってアクセスを許可されたものと判定されたオブジェクトのリストを、調査結果リストLとして生成する。
具体例として、対象ユーザグループがグループG2である場合、リスト生成部22は、図3(b)に示すユーザ管理テーブルから、ユーザU2,U3,U4,U5,及びU6をグループG2のメンバとして特定する。さらに、アクセス履歴情報取得部21が図5に示すアクセス履歴情報を取得している場合、リスト生成部22は、アクセス履歴情報に含まれるアクセス履歴番号3及び9のアクセス履歴を除いたアクセス履歴を、対象ユーザグループのメンバによるアクセスを示すものとして抽出する。
さらにリスト生成部22は、このように抽出されたアクセス履歴のそれぞれについて、グループG2について設定されたアクセス権限情報に応じて許可されたものであるか否かを判定する。例えばアクセス履歴番号2のアクセス履歴は、ユーザU2がディレクトリD2に対して新たなディレクトリD4を作成するアクセスを示しており、当該アクセスには親ディレクトリ(ディレクトリD2)に対する書き込み権限が必要である。そこでディレクトリD2に対するアクセス権限情報を参照すると、図4(a)に示すように、ユーザU3及びグループG2について書き込み権限が設定されている。書き込み権限が設定されたこれらのユーザ及びユーザグループのうち、実際にアクセスを行ったユーザU2が該当するのは、対象ユーザグループであるグループG2だけである。そのため、リスト生成部22は、アクセス履歴番号2によって示されるアクセスは、対象ユーザグループ(グループG2)について設定されたアクセス権限情報に応じて許可されたものであると判定する。
一方、アクセス履歴番号5のアクセス履歴は、ユーザU2によるファイルF2をアップロードするアクセスを示しており、当該アクセスには親ディレクトリ(ディレクトリD4)に対する書き込み権限が必要である。そこでディレクトリD4に対するアクセス権限情報を参照すると、図4(b)に示すように、対象ユーザグループ(グループG2)について書き込み権限は設定されておらず、ユーザU2のアクセスはユーザU2自身に設定された書き込み権限により許可されていると推定される。すのため、リスト生成部22は、アクセス履歴番号5のアクセスは対象ユーザグループについて設定されたアクセス権限情報に応じて許可されたものではないと判定する。
また、アクセス履歴番号10のアクセス履歴は、ユーザU2によるファイルF2をダウンロードするアクセスを示しており、当該アクセスにはファイルF2に対する読み取り権限が必要である。図4(d)に示すように、ファイルF2に対しては、グループG1及びグループG2のそれぞれについて読み取り権限が設定されている。この場合において、ユーザU2は対象ユーザグループであるグループG2のメンバであるが、同時にグループG1のメンバでもある。したがって、仮にグループG2についての読み取り権限がなかったとしても、グループG1について設定されたアクセス権限情報により、ユーザU2はアクセス履歴番号10によって示されるアクセスは可能であったはずである。そこで、リスト生成部22は、アクセス履歴番号10によって示されるアクセスは、対象ユーザグループについて設定されたアクセス権限情報に応じて許可されたものではないと判定する。
このような判定の結果、リスト生成部22は、対象ユーザグループについて設定されたアクセス権限情報に応じて許可されたと判定されるアクセス履歴に応じて、調査結果リストLを生成する。調査結果リストLは、アクセス履歴情報から上記判定結果に応じて抽出されたアクセス履歴そのものを含んだリストであってよい。この場合の調査結果リストLは、例えば図7に示すものになる。
リスト出力部23は、リスト生成部22が生成した調査結果リストLを、例えばモニタ上に表示するなどの方法で出力する。この調査結果リストLを確認することで、例えばシステム管理者は、対象ユーザグループのメンバによる過去のアクセスのうち、対象ユーザグループの情報を削除することによって今後は許可されなくなってしまうアクセスを確認することができる。これによって、システム管理者は、ユーザグループ削除の影響を容易に把握することができる。
なお、リスト生成部22は、対象ユーザグループのメンバのうち、調査対象として指定された対象ユーザが、過去に対象ユーザグループのアクセス権限情報に応じてアクセスを許可されたオブジェクトを示す調査結果リストLを生成してもよい。具体例として、リスト生成部22は、システム管理者の指定に基づいて、対象ユーザを決定するとともに、当該対象ユーザが関連づけられたユーザグループのうちの一つを対象ユーザグループとして決定する。そして、アクセス履歴情報の中から、対象ユーザによるアクセスに関するアクセス履歴を抽出し、抽出されたアクセス履歴のそれぞれについて、対象ユーザグループについて設定されたアクセス権限情報に応じて許可されたものであるか否かを判定する。これにより、システム管理者は、例えば対象ユーザを対象ユーザグループのメンバから外そうとする場合に、このような変更による影響を容易に把握することができる。
また、システム管理者が対象ユーザグループを削除する場合、リスト出力部23は、対象ユーザグループのメンバである各対象ユーザのそれぞれについて生成された調査結果リストLを、それぞれの対象ユーザに通知することとしてもよい。例えばリスト出力部23は、対象ユーザごとに生成された調査結果リストLを、予め登録された当該各対象ユーザの電子メールアドレスに対してそれぞれ送信する。これにより、対象ユーザグループのメンバだった各ユーザは、対象ユーザグループの情報が削除されることによって、自分がこれまでアクセスできていたが今後はアクセスできなくなってしまうオブジェクトを把握することができる。
また、システム管理者が特定のオブジェクトに対して設定された対象ユーザグループのアクセス権限情報を削除しようとする場合などにおいては、当該特定のオブジェクトに関してのみアクセスの影響を調査すればよい。そこで、リスト生成部22は、調査対象として指定された対象オブジェクトに対して、対象ユーザグループについて設定されたアクセス権限情報に応じて許可されたアクセスがあったか否かをアクセス履歴情報に基づいて判定し、判定結果を出力することとしてもよい。
次に、情報処理装置1の制御部11が、記憶部12に格納されたプログラムに従って実行する処理の流れの一例について、図8のフロー図に基づいて説明する。
まず、制御部11は、システム管理者等の指定に基づいて、調査対象となる対象ユーザグループを決定する(S1)。そして、過去所定期間分のアクセス履歴情報を取得する(S2)。
次に制御部11は、ユーザ管理テーブルを参照して、対象ユーザグループに関連づけられたユーザを特定する(S3)。以下の処理は、このS3で特定したユーザのそれぞれについて、繰り返し実行される。
続いて制御部11は、処理の対象となったユーザについて、当該ユーザによるアクセス履歴をS2で取得したアクセス履歴情報の中から抽出する(S4)。そして、抽出されたアクセス履歴のそれぞれについて、S1で決定した対象ユーザグループについて設定されたアクセス権限情報に応じて許可されたアクセスであるか否かを判定する(S5)。S5の判定の結果、判定の対象となったアクセス履歴が対象ユーザグループのアクセス権限情報に応じたアクセスによるものではないと判定した場合には、そのままS7の処理に進む。一方、対象ユーザグループのアクセス権限情報に応じたアクセスによるものであると判定した場合、制御部11は、当該アクセス履歴の内容を調査結果リストLに追記する(S6)。
次に制御部11は、上述したS5及びS6の処理を、S4で抽出された全てのアクセス履歴について実行したか否かを判定する(S7)。まだ未処理のアクセス履歴がある場合には、制御部11はS5の処理に戻って次のアクセス履歴に対して同様の処理を繰り返し実行する。
一方、S7の判定においてS4で抽出された全てのアクセス履歴に対する処理を終えたと判定した場合、続いて制御部11は、S4からS7までの処理をS3で特定された全てのユーザについて実行したか否かを判定する(S8)。まだ未処理のユーザがあれば、制御部11はS4の処理に戻って次のユーザに対して同様の処理を繰り返し実行する。
以上説明した処理によって、対象ユーザグループに関連づけられた全てのユーザによる、対象ユーザグループのアクセス権限情報に応じて許可されたアクセスのアクセス履歴が、調査結果リストLに追記される。最後に制御部11は、S6の追記処理によって生成された調査結果リストLを、所定の出力先に出力する(S9)。
以上説明した本実施の形態によれば、情報処理装置1は、対象ユーザグループに関連づけられたユーザが過去にアクセスしたオブジェクトのうち、当該対象ユーザグループについて設定されたアクセス権限情報に応じてアクセスを許可されたオブジェクトのリストを調査結果リストLとして生成する。これにより、例えばシステム管理者などは、この調査結果リストLを用いて対象ユーザグループの削除や変更等による影響を容易に把握することができる。
なお、本発明の実施の形態は、以上説明したものに限られない。例えば特定のユーザが特定のオブジェクトに対して特定の種類のアクセスを過去に何度も行っている場合、前述した例においては、このようなアクセスを示す複数のアクセス履歴をそれぞれ含んだ調査結果リストLが生成される。このような調査結果リストLには、ユーザ、オブジクト、及びアクセスの種類が共通する複数のアクセス履歴が、重複して含まれることとなる。そこで、情報処理装置1は、このようなユーザ、オブジェクト及びアクセスの種類が共通する複数のアクセス履歴の情報をひとつにまとめた調査結果リストLを生成してもよい。
また、この場合において、情報処理装置1は、ひとつにまとめられたユーザ、オブジェクト、及びアクセスの種類の組み合わせのそれぞれについて、当該組み合わせによって示されるアクセスの過去所定期間における回数を示す情報を調査結果リストLに含めてもよい。こうすれば、調査結果リストL内においてユーザ、オブジェクト及びアクセスの種類が共通するアクセス履歴がひとつにまとめられている場合であっても、システム管理者は、このようなアクセスが過去どの程度の頻度で実行されたかを調査結果リストLによって知ることができる。
また、情報処理装置1は、対象ユーザグループについて設定されたアクセス権限情報に応じてアクセスを許可されたオブジェクトのうち、当該オブジェクトに対する対象ユーザ又は対象ユーザグループの全メンバによるアクセスの回数が所定数以上のオブジェクトを示す調査結果リストLを生成してもよい。これにより、例えばシステム管理者は、対象ユーザグループの削除等を行った場合に対象ユーザグループのメンバがアクセスできなくなってしまうオブジェクトのうち、特にこれまで頻繁に利用されていたオブジェクトを容易に把握することができる。
また、情報処理装置1は、対象ユーザグループの変更や削除等が実際に実行された場合に、以上説明した調査結果リストLを用いて、アクセス権限情報の追加又は更新を行ってもよい。例えば前述した例のように、調査結果リストLにユーザU2のファイルF1をダウンロードするアクセスが含まれる場合において、対象ユーザグループ(グループG2)が削除された場合、情報処理装置1は、ファイルF1に対して、ユーザU2に読み取り権限を付与するアクセス権限情報を新たに設定する。こうすれば、情報処理装置1は、調査結果リストLを利用して、過去の所定期間にわたってユーザが実際にアクセスを許可されたオブジェクトについては、対象ユーザグループに対する変更や削除等が行われた後も当該ユーザがアクセスできるように、アクセス権限情報を更新することができる。
1 情報処理装置、2 クライアント端末、3 オブジェクト記憶装置、11 制御部、12 記憶部、13 通信部。
Claims (4)
- 複数のユーザによるアクセス対象となる複数のオブジェクトを記憶するオブジェクト記憶装置に接続され、
前記複数のユーザの少なくとも一部は、それぞれ少なくとも一つのユーザグループに関連づけられており、
前記ユーザのそれぞれによる前記オブジェクトに対するアクセスの可否を前記関連づけられたユーザグループごとに設定されたアクセス権限情報に応じて定める情報処理装置であって、
前記複数のユーザのそれぞれが過去にアクセスしたオブジェクトを示すアクセス履歴情報を取得するアクセス履歴情報取得手段と、
前記取得したアクセス履歴情報に基づいて、調査対象として指定された対象ユーザグループについて、当該対象ユーザグループに関連づけられたユーザが過去にアクセスしたオブジェクトのうち、当該対象ユーザグループについて設定された前記アクセス権限情報に応じてアクセスを許可されたオブジェクトのリストを生成するリスト生成手段と、
を含むことを特徴とする情報処理装置。 - 複数のユーザによるアクセス対象となる複数のオブジェクトを記憶するオブジェクト記憶装置に接続され、
前記複数のユーザの少なくとも一部は、それぞれ少なくとも一つのユーザグループに関連づけられており、
前記ユーザのそれぞれによる前記オブジェクトに対するアクセスの可否を前記関連づけられたユーザグループごとに設定されたアクセス権限情報に応じて定める情報処理装置を制御するためのプログラムであって、
前記複数のユーザのそれぞれが過去にアクセスしたオブジェクトを示すアクセス履歴情報を取得するアクセス履歴情報取得手段、及び
前記取得したアクセス履歴情報に基づいて、調査対象として指定された対象ユーザグループについて、当該対象ユーザグループに関連づけられたユーザが過去にアクセスしたオブジェクトのうち、当該対象ユーザグループについて設定された前記アクセス権限情報に応じてアクセスを許可されたオブジェクトのリストを生成するリスト生成手段、
としてコンピュータを機能させるためのプログラム。 - 請求項2に記載のプログラムにおいて、
前記アクセス権限情報は、複数種類のアクセスのそれぞれについて定められており、
前記アクセス履歴情報は、前記複数のユーザのそれぞれが過去にアクセスしたオブジェクトについて、当該オブジェクトに対するアクセスの種類を示す情報を含み、
前記リスト生成手段は、前記アクセス履歴情報に含まれる前記アクセスの種類を示す情報に基づいて、前記対象ユーザグループ及び当該アクセスの種類について設定された前記アクセス権限情報に応じてアクセスを許可されたオブジェクトのリストを生成する
ことを特徴とするプログラム。 - 請求項2又は3に記載のプログラムにおいて、
前記リスト生成手段は、前記対象ユーザグループに関連づけられたユーザのうち、調査対象として指定された対象ユーザが、前記対象ユーザグループについて設定された前記アクセス権限情報に応じてアクセスを許可されたオブジェクトのリストを生成する
ことを特徴とするプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007141586A JP2008299376A (ja) | 2007-05-29 | 2007-05-29 | 情報処理装置及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007141586A JP2008299376A (ja) | 2007-05-29 | 2007-05-29 | 情報処理装置及びプログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008299376A true JP2008299376A (ja) | 2008-12-11 |
Family
ID=40172887
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007141586A Pending JP2008299376A (ja) | 2007-05-29 | 2007-05-29 | 情報処理装置及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008299376A (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011128662A (ja) * | 2009-11-18 | 2011-06-30 | Canon Inc | 情報処理装置及びそのセキュリティ設定方法 |
US10462073B2 (en) | 2015-01-06 | 2019-10-29 | The Boeing Company | Aircraft control domain communication framework |
CN113890772A (zh) * | 2021-04-29 | 2022-01-04 | 北京字跳网络技术有限公司 | 信息处理方法、装置和电子设备 |
JP7360040B2 (ja) | 2020-01-23 | 2023-10-12 | 富士通株式会社 | 情報処理システム、情報処理装置およびプログラム |
-
2007
- 2007-05-29 JP JP2007141586A patent/JP2008299376A/ja active Pending
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011128662A (ja) * | 2009-11-18 | 2011-06-30 | Canon Inc | 情報処理装置及びそのセキュリティ設定方法 |
US10462073B2 (en) | 2015-01-06 | 2019-10-29 | The Boeing Company | Aircraft control domain communication framework |
JP7360040B2 (ja) | 2020-01-23 | 2023-10-12 | 富士通株式会社 | 情報処理システム、情報処理装置およびプログラム |
CN113890772A (zh) * | 2021-04-29 | 2022-01-04 | 北京字跳网络技术有限公司 | 信息处理方法、装置和电子设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5000457B2 (ja) | ファイル共有システム及びファイル共有方法 | |
JP5003131B2 (ja) | 文書提供システム及び情報提供プログラム | |
JP4671332B2 (ja) | ユーザ識別情報を変換するファイルサーバ | |
JP5023715B2 (ja) | 情報処理システム、情報処理装置及びプログラム | |
JP2008305094A (ja) | 文書管理方法及びその装置 | |
JP2007172280A (ja) | アクセス権管理方法、装置及びプログラム | |
JP2008003846A (ja) | 文書利用管理システム及び方法、文書管理サーバ及びそのプログラム | |
JP2008299395A (ja) | 文書操作権限情報管理システム、文書操作権限情報管理装置、及び文書操作権限情報管理プログラム | |
JP2010033227A (ja) | 文書管理装置、文書管理プログラム、及び文書管理システム | |
JP2011191862A (ja) | ファイル管理装置、ファイル管理システム、およびファイル管理プログラム | |
JP2010191807A (ja) | 情報中継装置及びプログラム | |
JP4940198B2 (ja) | 文書管理装置、文書管理プログラムおよび記録媒体 | |
JP2008299376A (ja) | 情報処理装置及びプログラム | |
JPH06187213A (ja) | ファイルアクセス履歴管理方式 | |
JP2009087230A (ja) | 情報処理装置、情報処理システム、及びプログラム | |
CN101226529B (zh) | 信息处理装置、信息处理系统、和信息处理方法 | |
JP2003256260A (ja) | データ共有システム,共有センタサーバ,広告スタッフ端末装置,コンピュータプログラム,記憶媒体,および共有センタサーバのデータ共有方法 | |
JP2006031608A (ja) | 計算機、ストレージシステム、計算機が行うファイル管理方法、およびプログラム | |
JP7275477B2 (ja) | 情報処理装置、情報処理システム、及びプログラム | |
JP5224839B2 (ja) | 文書管理システム、文書管理装置、文書管理方法及びプログラム | |
JP2008181446A (ja) | 文書管理装置、情報処理装置、文書管理システム及びプログラム | |
JP2006048527A (ja) | ライセンス管理システム、ライセンス管理方法、ライセンス管理サーバ、及びライセンス管理ソフトウェア | |
JP2008262449A (ja) | 文書管理装置及び文書処理プログラム | |
JP2005011055A (ja) | 電子帳票設計管理方法及び装置並びに処理プログラムと記録媒体 | |
JP2006260074A (ja) | Cadデータ管理装置 |