JP2009093441A - セキュリティシステム - Google Patents
セキュリティシステム Download PDFInfo
- Publication number
- JP2009093441A JP2009093441A JP2007263878A JP2007263878A JP2009093441A JP 2009093441 A JP2009093441 A JP 2009093441A JP 2007263878 A JP2007263878 A JP 2007263878A JP 2007263878 A JP2007263878 A JP 2007263878A JP 2009093441 A JP2009093441 A JP 2009093441A
- Authority
- JP
- Japan
- Prior art keywords
- access control
- control policy
- user
- dummy
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】 システム管理者が各ユーザへのアクセス制御ポリシーの設定を容易に行えるようにする。
【解決手段】 ユーザ登録時に設定されるアクセス制御ポリシーの登録初期値を保持する特別なダミーユーザを導入する。管理者はシステムで固定されたアクセス制御ポリシーの登録初期値だけでなく、用意した複数のダミーユーザから必要なダミーユーザを指定してユーザ登録時を行うことでユーザ登録後の設定変更を不要にし、設定ミスを軽減する。
【選択図】図1
【解決手段】 ユーザ登録時に設定されるアクセス制御ポリシーの登録初期値を保持する特別なダミーユーザを導入する。管理者はシステムで固定されたアクセス制御ポリシーの登録初期値だけでなく、用意した複数のダミーユーザから必要なダミーユーザを指定してユーザ登録時を行うことでユーザ登録後の設定変更を不要にし、設定ミスを軽減する。
【選択図】図1
Description
本発明は、ログイン時に認証サーバよりアクセス制御ポリシーを取得し反映させるクライアントを含むクライアントサーバ型のセキュリティシステムでのサーバにおけるユーザのアクセス制御ポリシー設定に関するものである。
従来からのクライアントマシンにおけるアクセス制御は企業のような情報システムを想定するとクライアントはシステムログイン時に認証サーバよりアクセス制御ポリシーを取得し、そのアクセス制御ポリシーがログイン後に反映され、ログアウト後に再度、全権限が制限された状態に戻るという形式のものが中心となっている。
ユーザ毎のアクセス制御ポリシーはサーバでのユーザデータベース登録時にまず登録初期値が設定され、必要に応じて変更される。通常登録初期値は最も権限の低いアクセス制御ポリシーが自動的に割り当てられる。しかし運用環境によってはこれらの登録初期値を自由に使い分けたいという状況も考えられる。
これらのアクセス制御ポリシーまたは一般的にセキュリティポリシーの設定の運用負担を軽減する方式として特許文献1が提案されている。特許文献1では管理者が特に意識しなくてもISMS等の標準的なセキュリティポリシーに準じた形でポリシー設定を行う方式を提案している。
特開2005−4549号公報
しかしながら特許文献1の技術は、ユーザへのアクセス制御ポリシーではなく情報資産へのセキュリティポリシー設定に関するものであり本発明が提案するユーザ毎のアクセス制御ポリシーとは、方式と領域において異なっている。
本発明の目的は、ユーザのアクセス制御ポリシーの登録初期値を管理者が容易に変更できるシステムを提供することにある。
上記課題を解決するために、本発明のクライアントサーバシステムは、クライアントを認証し該当するアクセス制御ポリシーをクライアントへ送付するサーバと、このサーバからアクセス制御ポリシーを受信する複数のクライアントから成り、サーバには、ユーザの認証とアクセス制御ポリシーに関するデータベースとそれを更新する更新手段を設ける。
アクセス制御ポリシーDBには通常のユーザ毎のアクセス制御ポリシーが保持されるが、それ以外にユーザの登録初期値設定を保持するためだけの特別なダミーユーザも保持されている。
管理者は新規にユーザを登録したとき、あるいは登録済ユーザの設定を初期値に戻す操作を行ったときにユーザに設定されるべきアクセス制御ポリシーをダミーユーザに設定しておく。管理者は通常ユーザに対する方法と同様の方法で、登録したダミーユーザに対しアクセス制御ポリシーを設定できるため覚える操作手順が少なくて済む。
ダミーユーザは複数登録可能でユーザ新規登録時にどのダミーユーザを使用するか管理者は指定する。もし指定されなければシステムで規定された登録初期値が適用される。
アクセス制御ポリシーDBには通常のユーザ毎のアクセス制御ポリシーが保持されるが、それ以外にユーザの登録初期値設定を保持するためだけの特別なダミーユーザも保持されている。
管理者は新規にユーザを登録したとき、あるいは登録済ユーザの設定を初期値に戻す操作を行ったときにユーザに設定されるべきアクセス制御ポリシーをダミーユーザに設定しておく。管理者は通常ユーザに対する方法と同様の方法で、登録したダミーユーザに対しアクセス制御ポリシーを設定できるため覚える操作手順が少なくて済む。
ダミーユーザは複数登録可能でユーザ新規登録時にどのダミーユーザを使用するか管理者は指定する。もし指定されなければシステムで規定された登録初期値が適用される。
請求項1に記載したセキュリティシステムは、イントラネット上におかれたサーバと、複数のクライアントからなるセキュリティシステムであって、前記サーバは、クライアントを認証し該当するアクセス制御ポリシーをクライアントへ送付するアクセス制御ポリシー送付手段と、ユーザの認証とアクセス制御ポリシーに関する情報を格納するアクセス制御ポリシーDBと、該アクセス制御ポリシーDBを更新するDB更新手段とを有し、前記クライアントは、前記サーバからアクセス制御ポリシーを受信するアクセス制御ポリシー受信手段と、該アクセス制御ポリシー受信手段が受信したアクセス制御ポリシーを当該クライアントに適用するアクセス制御ポリシー適用手段とを有し、前記アクセス制御ポリシーDBは、実際に存在しないユーザであるダミーユーザのアクセス制御ポリシーをも保持し、ユーザの登録初期値設定を保持する。
請求項2に記載したセキュリティシステムは、請求項1に記載したセキュリティシステムであって、前記ダミーユーザの情報を複数設定するものである。
本発明の方式によれば、次のような効果がある。
(1)もしアクセス制御ポリシーの登録初期値がシステムで固定されている場合、管理者はユーザ登録後にユーザに対し適切なアクセス制御ポリシーの設定が必ず必要となる。しかし管理者が任意の登録初期値を持てるダミーユーザを事前に登録できれば、アクセス制御ポリシーの設定ミスや設定漏れを軽減することが可能となる。
(2)複数のダミーユーザの登録ができることで各部署毎に異なるアクセス制御ポリシーの登録初期値を設定することができる。管理者は事前によく用いられるアクセス制御ポリシーのテンプレートを複数用意しておき使い分けることでユーザ登録操作が簡易になる。
(1)もしアクセス制御ポリシーの登録初期値がシステムで固定されている場合、管理者はユーザ登録後にユーザに対し適切なアクセス制御ポリシーの設定が必ず必要となる。しかし管理者が任意の登録初期値を持てるダミーユーザを事前に登録できれば、アクセス制御ポリシーの設定ミスや設定漏れを軽減することが可能となる。
(2)複数のダミーユーザの登録ができることで各部署毎に異なるアクセス制御ポリシーの登録初期値を設定することができる。管理者は事前によく用いられるアクセス制御ポリシーのテンプレートを複数用意しておき使い分けることでユーザ登録操作が簡易になる。
以下、本発明を適用したクライアントサーバシステムの実施の一形態について説明する。
図6は、本発明に係るセキュリティシステムの動作環境を示す概念図である。イントラネット601上に設けられたサーバ602上に本発明に係るセキュリティシステムのうちの中心部分であるアクセス制御ポリシー送付手段、ユーザの認証とアクセス制御ポリシーに関する情報を格納するアクセス制御ポリシーDB、該アクセス制御ポリシーDBを更新するDB更新手段などの管理プログラムがインストールされる。端末装置(クライアントコンピュータ)611、612、613などからイントラネット601を介してサーバ602にアクセスすることにより、アクセス制御ポリシーの送付を受ける。本発明のセキュリティシステムのうち、アクセス制御ポリシーを受信する部分、受信したアクセス制御ポリシーをそのクライアントマシンに適用する部分などは、クライアント側にインストールされている。
図7は、端末装置611のハードウェア構成を示すブロック図である。CPU701のバス700上には、RAM(ランダムアクセスメモリ)702、ROM(リードオンリメモリ)703、HDD(ハードディスクドライブ)704、表示回路705、入力信号処理部706、ネットワーク回路部707が接続されている。さらに、表示回路部705には、表示装置715が接続される。表示装置715は、具体的には液晶モニタ装置、CRT装置、プラズマディスプレイ装置などのいずれかが用いられる。そして、入力信号処理部706には、マウス712、キーボード711などの入力装置が接続される。端末装置611の操作者は表示装置の画面上に表示される処理内容を視認しつつ、キーボード711とマウス712とを操作して入力し、さらに端末装置611の処理内容が進められる。ネットワーク回路部707は、さらに必要な機器を介してイントラネット601につながる。端末装置611から管理サーバ602にアクセスするためにネットワーク接続が必要となる。
図1は本発明のシステム構成とログイン時の処理の概要を示している。この図が示すとおりクライアント10はセキュリティシステムにログインするタイミングで認証サーバ100に対してアクセス制御ポリシーを要求し、認証サーバ100はそれを受けてクライアント10に対し、当該ユーザに設定されたアクセス制御ポリシーを送信する。クライアント10は、それを受信して、自らのマシンにそれを適用し、その情報を保存する。アクセス制御ポリシーは、各ユーザ毎に管理者が事前に設定してアクセス制御ポリシーDB110に格納してある。クライアント10とサーバ100との通信は、企業内のネットワークを用いて行われる。
図2はユーザ登録処理のフローである。管理者は、ユーザの新規登録に当たってダミーユーザ名を指定することでアクセス制御ポリシーの登録初期値を容易に指定できる。ダミーユーザ名の指定があれば、ステップ201でTRUEと判断されて、指定されたダミーユーザのアクセス制御ポリシーがその新規登録ユーザに設定される(ステップ202)。ダミーユーザ名の指定がなければステップ201でFALSEと判断されて、システム固定のアクセス制御ポリシー登録初期値が使用される(ステップ203)。
図3は登録済ユーザのアクセス制御ポリシーを初期値に戻す操作のフローである。一時的に特別な設定を行ったユーザに対して再度登録初期値のアクセス制御ポリシーに戻すときに有効である。ユーザに登録初期値を保持するダミーユーザが指定されている場合には、ステップ301でTRUEと判断されて、ダミーユーザに設定されている最新のアクセス制御ポリシーを取得し(ステップ302)、取得したアクセス制御ポリシーをユーザに設定する(ステップ303)。ユーザに登録初期値を保持するダミーユーザが指定されていなければ、ステップ301でFALSEと判断されて、システム固定のアクセス制御ポリシーの登録初期値が設定される(ステップ304)。
図4はダミーユーザ登録処理のフローである。ダミーユーザ登録のメニューが選択されると、まずシステム固定のアクセス制御ポリシーを表示する(ステップ401)。そしてダミーユーザ名の設定をする(ステップ402)。新規のダミーユーザを設定する場合には使用可能なユーザ名の候補を自動的に表示し、管理者は変更の必要がなければ、そのダミーユーザ名を使用する。管理者は、そのダミーユーザ名に対応する任意のアクセス制御ポリシーを設定する(ステップ403)。
図5はアクセス制御ポリシーDBの概略である。ダミーユーザは通常のユーザと混じって登録され、各通常ユーザには対応するダミーユーザ名が設定されている。ここでは、実際に存在するユーザである「User1」と「User2」とに対し、それぞれダミーユーザである「Dummy_User1」、「Dummy_User2」のアクセス制御ポリシーが適用されている。
管理者の変更作業の労力を軽減するセキュリティシステムが提供できる。
10 端末装置(クライアントマシン)
100 認証サーバ
110 アクセス制御ポリシーDB
601 イントラネット
602 サーバ
611,612,613 端末装置
700 バス
701 CPU
702 RAM
703 ROM
704 HDD
705 表示回路部
706 入力信号処理部
707 ネットワーク回路部
711 キーボード
712 マウス
715 表示装置
100 認証サーバ
110 アクセス制御ポリシーDB
601 イントラネット
602 サーバ
611,612,613 端末装置
700 バス
701 CPU
702 RAM
703 ROM
704 HDD
705 表示回路部
706 入力信号処理部
707 ネットワーク回路部
711 キーボード
712 マウス
715 表示装置
Claims (2)
- イントラネット上におかれたサーバと、複数のクライアントからなるセキュリティシステムであって、
前記サーバは、
クライアントを認証し該当するアクセス制御ポリシーをクライアントへ送付するアクセス制御ポリシー送付手段と、
ユーザの認証とアクセス制御ポリシーに関する情報を格納するアクセス制御ポリシーDBと、
該アクセス制御ポリシーDBを更新するDB更新手段と、
を有し、
前記クライアントは、
前記サーバからアクセス制御ポリシーを受信するアクセス制御ポリシー受信手段と、
該アクセス制御ポリシー受信手段が受信したアクセス制御ポリシーを当該クライアントに適用するアクセス制御ポリシー適用手段と
を有し、
前記アクセス制御ポリシーDBは、実際に存在しないユーザであるダミーユーザのアクセス制御ポリシーをも保持し、ユーザの登録初期値設定を保持することとしたセキュリティシステム。 - 請求項1に記載したセキュリティシステムであって、
前記ダミーユーザの情報を複数設定するセキュリティシステム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007263878A JP5060240B2 (ja) | 2007-10-10 | 2007-10-10 | セキュリティシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007263878A JP5060240B2 (ja) | 2007-10-10 | 2007-10-10 | セキュリティシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009093441A true JP2009093441A (ja) | 2009-04-30 |
| JP5060240B2 JP5060240B2 (ja) | 2012-10-31 |
Family
ID=40665365
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007263878A Active JP5060240B2 (ja) | 2007-10-10 | 2007-10-10 | セキュリティシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5060240B2 (ja) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002108818A (ja) * | 2000-09-26 | 2002-04-12 | International Network Securitiy Inc | データセンター、セキュリティポリシー作成方法及びセキュリティシステム |
| JP2005004549A (ja) * | 2003-06-12 | 2005-01-06 | Fuji Electric Holdings Co Ltd | ポリシーサーバ、そのポリシー設定方法、アクセス制御方法、プログラム |
| JP2006180103A (ja) * | 2004-12-21 | 2006-07-06 | Ricoh Co Ltd | 画像形成装置、画像形成プログラム及び記録媒体 |
| WO2007007397A1 (ja) * | 2005-07-12 | 2007-01-18 | Fujitsu Limited | 共用管理プログラム、共用管理方法、端末装置、及び共用管理システム |
| JP2007200460A (ja) * | 2006-01-26 | 2007-08-09 | Sharp Corp | 再生装置及び再生方法 |
-
2007
- 2007-10-10 JP JP2007263878A patent/JP5060240B2/ja active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002108818A (ja) * | 2000-09-26 | 2002-04-12 | International Network Securitiy Inc | データセンター、セキュリティポリシー作成方法及びセキュリティシステム |
| JP2005004549A (ja) * | 2003-06-12 | 2005-01-06 | Fuji Electric Holdings Co Ltd | ポリシーサーバ、そのポリシー設定方法、アクセス制御方法、プログラム |
| JP2006180103A (ja) * | 2004-12-21 | 2006-07-06 | Ricoh Co Ltd | 画像形成装置、画像形成プログラム及び記録媒体 |
| WO2007007397A1 (ja) * | 2005-07-12 | 2007-01-18 | Fujitsu Limited | 共用管理プログラム、共用管理方法、端末装置、及び共用管理システム |
| JP2007200460A (ja) * | 2006-01-26 | 2007-08-09 | Sharp Corp | 再生装置及び再生方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5060240B2 (ja) | 2012-10-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20170223006A1 (en) | Policy enforcement of client devices | |
| US9288213B2 (en) | System and service providing apparatus | |
| JP7225326B2 (ja) | ユーザアカウントと企業ワークスペースとの関連付け | |
| JP6033990B2 (ja) | 単一のフレキシブルかつプラガブルOAuthサーバを備える複数のリソースサーバ、OAuth保護したREST式OAuth許諾管理サービス、およびモバイルアプリケーションシングルサインオンするOAuthサービス | |
| CN113316783A (zh) | 使用活动目录和一次性口令令牌组合的双因素身份认证 | |
| US10419445B2 (en) | Credential change management system | |
| US10911299B2 (en) | Multiuser device staging | |
| US20090260066A1 (en) | Single Sign-On To Administer Target Systems with Disparate Security Models | |
| JP2006119719A (ja) | コンピュータシステム及びユーザ認証方法 | |
| US8185945B1 (en) | Systems and methods for selectively requesting certificates during initiation of secure communication sessions | |
| JPH11308272A (ja) | パケット通信制御システム及びパケット通信制御装置 | |
| JP2005092649A (ja) | デジタルデータインストールシステム、デジタルデータインストール方法、プログラム、及びプログラムを記録した記録媒体 | |
| US20090158412A1 (en) | Secure Automatically Configuring, Self-Authenticating Administrative User Without A Password | |
| CN113949587B (zh) | 一种智慧密码实现方法、装置、电子设备及计算机可读介质 | |
| US20170054699A1 (en) | Information processing apparatus, information processing method, program, storage medium, and password entry apparatus | |
| JP2005107984A (ja) | ユーザ認証システム | |
| JP5060240B2 (ja) | セキュリティシステム | |
| US11411813B2 (en) | Single user device staging | |
| JP2006227786A (ja) | 特権付与プログラム、コンピュータ、方法 | |
| JP2001282667A (ja) | 認証サーバ・クライアントシステム | |
| JP5854070B2 (ja) | アクセス制御装置、端末装置、及びプログラム | |
| JP5623326B2 (ja) | クライアントサーバシステム | |
| US20220368687A1 (en) | Modular secure remote work platform | |
| JP2008226201A (ja) | 仲介システム、プログラム、及び記憶媒体 | |
| JP2008225943A (ja) | セッション管理装置、プログラム、及び記憶媒体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100701 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120418 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120508 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120705 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120731 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120803 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150810 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5060240 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |