JP2009301357A - アクセス制御プログラム - Google Patents
アクセス制御プログラム Download PDFInfo
- Publication number
- JP2009301357A JP2009301357A JP2008155817A JP2008155817A JP2009301357A JP 2009301357 A JP2009301357 A JP 2009301357A JP 2008155817 A JP2008155817 A JP 2008155817A JP 2008155817 A JP2008155817 A JP 2008155817A JP 2009301357 A JP2009301357 A JP 2009301357A
- Authority
- JP
- Japan
- Prior art keywords
- access control
- role
- application
- user
- control information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【解決手段】コンピュータ装置は、アプリケーションによりリソースへアクセスが行われる場合に、当該アプリケーションが実行されている動作環境から、アプリケーションが実行される動作環境に対応付けてユーザのロールを記憶する動作環境DBに記憶されるロールを特定する。そして、コンピュータ装置は、特定されたロールに対応付けられているアクセス制御情報を、ユーザのロールに対応付けてアクセス制御情報を記憶するアクセス制御DBから特定し、特定したアクセス制御情報に基づいて、リソースへのアクセス制御を実施する。
【選択図】 図1
Description
まず最初に、図1を用いて、実施例1に係るアクセス装置の概要を説明する。図1は、実施例1に係るコンピュータ装置の全体構成を示すシステム構成図である。
次に、図2を用いて、図1に示したコンピュータ装置の構成を説明する。図2は、実施例1に係るコンピュータ装置の構成を示すブロック図である。図2に示すように、このコンピュータ装置10は、通信制御I/F部11と、記憶部15と、制御部20とから構成される。
次に、図6を用いて、コンピュータ装置による処理を説明する。図6は、実施例1に係るコンピュータ装置におけるアクセス制御処理の流れを示すフローチャートである。
このように、実施例1によれば、コンピュータ装置は、アプリケーションによりリソースへアクセスが行われる場合に、当該アプリケーションが実行されている動作環境から、アプリケーションが実行される動作環境に対応付けてユーザのロールを記憶する動作環境DB17に記憶されるロールを特定する。そして、コンピュータ装置は、特定されたロールに対応付けられているアクセス制御情報を、ユーザのロールに対応付けてアクセス制御情報を記憶するアクセス制御DB18から特定し、特定したアクセス制御情報に基づいて、リソースへのアクセス制御を実施する。その結果、ユーザロールに従ったアクセス制御をOSレベルで実現することができる結果、アクセス制御を正しく管理することが可能である。
まず、図7を用いて、VMを用いた場合の動作環境分離概要について説明する。実施例1とは異なり、実施例2に係るコンピュータ装置は、『ユーザが属する「Role」、アプリケーションが実行される「VM」』として「Role-X、VM1」や「Role-Y、VM2」などと動作環境DBに記憶する。なお、図7と図8は、実施例2に係るコンピュータ装置の概要を説明するための図である。
次に、図9を用いて、実施例2に係るコンピュータ装置における処理の流れを説明する。なお、図9は、実施例2に係るコンピュータ装置におけるVM起動処理の流れを示すフローチャートである。実施例2に係るコンピュータ装置におけるアクセス制御処理については、動作環境がVMとなることが異なり、処理自体の流れは、実施例1と同様であるので、ここでは、ユーザに対してVMが割り当てられるまでの処理について説明する。
このように、実施例2によれば、コンピュータ装置は、アプリケーションが実行される仮想領域(VM)に対応付けてユーザのロール(Role)を記憶し、アプリケーションによりリソースへアクセスが行われる場合に、当該アプリケーションが実行されている仮想領域から、アプリケーションが実行されるユーザのロールを特定する。その結果、VMを用いたか仮想領域を用いた場合であっても、ユーザロールに従ったアクセス制御をOSレベルで実現することができる結果、アクセス制御を正しく管理することが可能である。
上記した実施例1や実施例2で用いたRole(ロール)とは、ロールベースアクセスコントロールに用いられるロール(役割)のことであり、管理職、一般社員など役割によって分類される情報である。
また、本願が開示するコンピュータ装置は、アプリケーションにより一度読み出された情報に対して、フロー制御を行うようにすることもできる。一般的に、汎用機の時代には、情報のフロー制御が可能であったが、オープンシステムでのサーバのアクセス制御では、ファイルなどのリソースへのアクセス制御を行なっているが、アクセスが一旦許可されて、読み出されたあとの情報に関しては、アクセス制御が行なえなくなっていた。
また、実施例2では、仮想マシンがVM1〜VM3まで実行されている場合の構成について説明したが、実行される仮想マシンの数を限定するものではない。また、本願が開示するコンピュータ装置は、起動されるVM上に新たなXENを起動し、新たなVMを構成することもできる。
また、本願が開示するコンピュータ装置は、ユーザAが複数のRoleに属している場合であっても、正確なアクセス制御を実施することができる。具体的には、ユーザAが「Role1、Role2、Role3」など複数のRoleに属している場合、コンピュータ装置は、ログインの段階で、どのRoleを使用するのかをユーザに問い合わせる。この問い合わせの手法としては、ログイン画面にRoleを選択させるリストを表示したり、ログイン画面のパスワードと同様にRoleを入力する画面を表示したり様々な手法を用いることができる。
アクセス制御先のリソースがDBの場合には、通常のファイルアクセスとは異なり、OSで標準的に適用されているアクセス制御では、DB(Table)単位でのアクセス制御となってしまう。本願が開示するコンピュータ装置では、DBへのアクセスの中身を解釈して、それに応じたアクセス制御情報を記憶することにより、DBへのクエリごとやカラムごとにアクセス制御を実施することができる。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合(例えば、管理部22とロール特定部23とを統合するなど)して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
ところで、上記の実施例で説明した各種の処理は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータシステムで実行することによって実現することができる。そこで、以下では、上記の実施例と同様の機能を有するプログラムを実行するコンピュータシステムを他の実施例として説明する。
アプリケーションによりリソースへアクセスが行われる場合に、当該アプリケーションが実行されている動作環境から、前記アプリケーションが実行される動作環境に対応付けてユーザのロールを記憶する動作環境記憶部に記憶されるロールを特定するロール特定手順と、
前記ロール特定手順により特定されたロールに対応付けられているアクセス制御情報を、前記ユーザのロールに対応付けてアクセス制御情報を記憶するアクセス制御情報記憶部から特定し、特定したアクセス制御情報に基づいて、前記リソースへのアクセス制御を実施するアクセス制御実施手順と、
をコンピュータに実行させることを特徴とするアクセス制御プログラム。
前記アクセス制御情報記憶部は、前記ユーザのロールに対応付けて、前記データベースへ制御コマンドを示すクエリまたは前記データベースのカラムごとにアクセス制御情報を記憶することを特徴とする付記1または2に記載のアクセス制御プログラム。
前記ロール特定手順は、前記アプリケーションによりリソースへアクセスが行われる場合に、当該アプリケーションが実行されている仮想領域から、前記アプリケーションが実行される仮想領域に対応付けてユーザのロールを記憶する動作環境記憶部に記憶されるロールを特定することを特徴とする付記1〜3のいずれか一つに記載のアクセス制御プログラム。
前記ロール特定手順は、前記アプリケーションによりリソースへアクセスが行われる場合に、当該アプリケーションが実行されている前記分離手段により分離された動作環境から、前記動作環境記憶部に記憶されるロールを特定することを特徴とする付記1〜4のいずれか一つに記載のアクセス制御プログラム。
前記アプリケーションが実行される動作環境に対応付けて、前記ユーザのロールを記憶する動作環境記憶手段と、
前記ユーザのロールに対応付けて、前記アクセス制御情報を記憶するアクセス制御情報記憶手段と、
アプリケーションによりリソースへアクセスが行われる場合に、当該アプリケーションが実行されている動作環境から、前記動作環境記憶手段に記憶されるロールを特定するロール特定手順と、
前記ロール特定手順により特定されたロールに対応付けられているアクセス制御情報を前記アクセス制御情報記憶手段から特定し、特定したアクセス制御情報に基づいて、前記リソースへのアクセス制御を実施するアクセス制御実施手順と、
を備えたことを特徴とするアクセス制御装置。
アプリケーションによりリソースへアクセスが行われる場合に、当該アプリケーションが実行されている動作環境から、前記アプリケーションが実行される動作環境に対応付けてユーザのロールを記憶する動作環境記憶部に記憶されるロールを特定するロール特定工程と、
前記ロール特定工程により特定されたロールに対応付けられているアクセス制御情報を、前記ユーザのロールに対応付けてアクセス制御情報を記憶するアクセス制御情報記憶部から特定し、特定したアクセス制御情報に基づいて、前記リソースへのアクセス制御を実施するアクセス制御実施工程と、
をコンピュータに実行させることを特徴とするアクセス制御方法。
11 通信制御I/F部
15 記憶部
16 ログインDB
17 動作環境DB
18 アクセス制御DB
20 制御部
21 ログイン制御部
22 管理部
23 ロール特定部
24 アクセス制御部
100 コンピュータシステム
101 RAM
102 HDD
102a ログインテーブル
102b 動作環境テーブル
102c アクセス制御テーブル
103 ROM
103a ログイン制御プログラム
103b 管理プログラム
103c ロール特定プログラム
103d アクセス制御プログラム
104 CPU
104a ログイン制御プロセス
104b 管理プロセス
104c ロール特定プロセス
104d アクセス制御プロセス
Claims (5)
- リソースへのアクセスを許可するか否かを示すアクセス制御情報に基づいて、アクセス制御を実施することをコンピュータに実行させるアクセス制御プログラムであって、
アプリケーションによりリソースへアクセスが行われる場合に、当該アプリケーションが実行されている動作環境から、前記アプリケーションが実行される動作環境に対応付けてユーザのロールを記憶する動作環境記憶部に記憶されるロールを特定するロール特定手順と、
前記ロール特定手順により特定されたロールに対応付けられているアクセス制御情報を、前記ユーザのロールに対応付けてアクセス制御情報を記憶するアクセス制御情報記憶部から特定し、特定したアクセス制御情報に基づいて、前記リソースへのアクセス制御を実施するアクセス制御実施手順と、
をコンピュータに実行させることを特徴とするアクセス制御プログラム。 - 前記アクセス制御情報記憶部は、前記ユーザのロールに対応付けて、前記アプリケーション間の通信を禁止するか否かを示すアクセス制御情報をさらに記憶することを特徴とする請求項1に記載のアクセス制御プログラム。
- 前記リソースは、各種データを記憶するデータベースであって、
前記アクセス制御情報記憶部は、前記ユーザのロールに対応付けて、前記データベースへ制御コマンドを示すクエリまたは前記データベースのカラムごとにアクセス制御情報を記憶することを特徴とする請求項1または2に記載のアクセス制御プログラム。 - 前記動作環境記憶部は、前記アプリケーションが実行される仮想領域に対応付けてユーザのロールを記憶し、
前記ロール特定手順は、前記アプリケーションによりリソースへアクセスが行われる場合に、当該アプリケーションが実行されている仮想領域から、前記アプリケーションが実行される仮想領域に対応付けてユーザのロールを記憶する動作環境記憶部に記憶されるロールを特定することを特徴とする請求項1〜3のいずれか一つに記載のアクセス制御プログラム。 - 前記ユーザがログインする際に、当該ユーザがアプリケーションを実行させる動作環境を、前記ユーザのロールに基づいて分離する分離手順をさらに備え、
前記ロール特定手順は、前記アプリケーションによりリソースへアクセスが行われる場合に、当該アプリケーションが実行されている前記分離手段により分離された動作環境から、前記動作環境記憶部に記憶されるロールを特定することを特徴とする請求項1〜4のいずれか一つに記載のアクセス制御プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008155817A JP5035129B2 (ja) | 2008-06-13 | 2008-06-13 | アクセス制御プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008155817A JP5035129B2 (ja) | 2008-06-13 | 2008-06-13 | アクセス制御プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009301357A true JP2009301357A (ja) | 2009-12-24 |
JP5035129B2 JP5035129B2 (ja) | 2012-09-26 |
Family
ID=41548170
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008155817A Expired - Fee Related JP5035129B2 (ja) | 2008-06-13 | 2008-06-13 | アクセス制御プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5035129B2 (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012079086A (ja) * | 2010-10-01 | 2012-04-19 | Secom Co Ltd | アクセス制御システム |
JP2017084141A (ja) * | 2015-10-28 | 2017-05-18 | サイエンスパーク株式会社 | 電子データの管理方法、管理プログラム、及びプログラムの記録媒体 |
JP2020508523A (ja) * | 2017-02-27 | 2020-03-19 | イヴァンティ,インコーポレイテッド | ロールベースコンピュータセキュリティ構成のシステム及び方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003044297A (ja) * | 2000-11-20 | 2003-02-14 | Humming Heads Inc | コンピュータリソースの制御を行なう情報処理方法および装置、情報処理システム及びその制御方法並びに記憶媒体、プログラム |
WO2006022161A1 (ja) * | 2004-08-25 | 2006-03-02 | Nec Corporation | 情報通信装置及びプログラム実行環境制御方法 |
JP2007094522A (ja) * | 2005-09-27 | 2007-04-12 | Tokyo Univ Of Agriculture | 統合ユーザ管理システム |
-
2008
- 2008-06-13 JP JP2008155817A patent/JP5035129B2/ja not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003044297A (ja) * | 2000-11-20 | 2003-02-14 | Humming Heads Inc | コンピュータリソースの制御を行なう情報処理方法および装置、情報処理システム及びその制御方法並びに記憶媒体、プログラム |
WO2006022161A1 (ja) * | 2004-08-25 | 2006-03-02 | Nec Corporation | 情報通信装置及びプログラム実行環境制御方法 |
JP2007094522A (ja) * | 2005-09-27 | 2007-04-12 | Tokyo Univ Of Agriculture | 統合ユーザ管理システム |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012079086A (ja) * | 2010-10-01 | 2012-04-19 | Secom Co Ltd | アクセス制御システム |
JP2017084141A (ja) * | 2015-10-28 | 2017-05-18 | サイエンスパーク株式会社 | 電子データの管理方法、管理プログラム、及びプログラムの記録媒体 |
JP2020508523A (ja) * | 2017-02-27 | 2020-03-19 | イヴァンティ,インコーポレイテッド | ロールベースコンピュータセキュリティ構成のシステム及び方法 |
JP7030133B2 (ja) | 2017-02-27 | 2022-03-04 | イヴァンティ,インコーポレイテッド | ロールベースコンピュータセキュリティ構成のシステム及び方法 |
Also Published As
Publication number | Publication date |
---|---|
JP5035129B2 (ja) | 2012-09-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8924703B2 (en) | Secure virtualization environment bootable from an external media device | |
KR101928127B1 (ko) | 애플리케이션용 선택적 파일 액세스 기법 | |
EP2842049B1 (en) | Secure administration of virtual machines | |
JP5989001B2 (ja) | ペルソナベースのアプリケーションエクスペリエンスの提供 | |
JP4972670B2 (ja) | 仮想計算機システム、そのアクセス制御方法及び通信装置 | |
US10019177B2 (en) | System updates with personal virtual disks | |
US20140214922A1 (en) | Method of providing virtual machine and service gateway for real-time virtual desktop service | |
CN108351769B (zh) | 作为远程计算服务的仪表板 | |
US8196137B2 (en) | Remote auto provisioning and publication of applications | |
EP2820542A1 (en) | Assigning states to cloud resources | |
US9489510B1 (en) | Detecting generation of virtual machine authentication | |
JP2010055224A (ja) | アクセス制御システム、アクセス制御方法、アクセス制御プログラム、及びアクセス制御プログラムを記録した記録媒体 | |
US11811749B2 (en) | Authentication of plugins in a virtualized computing environment | |
KR101275293B1 (ko) | 네트워크 장치 및 네트워크 가상화 지원 방법 | |
JP2004158007A (ja) | コンピュータアクセス権限 | |
JP4843499B2 (ja) | 制御プログラム、制御方法及び制御装置 | |
US10701108B2 (en) | System and method for determining a policy in virtual desktop infrastructure (VDI) | |
JP5035129B2 (ja) | アクセス制御プログラム | |
US11783049B2 (en) | Automated code analysis tool | |
JP2007293639A (ja) | アクセス制御方法、アクセス制御方法を用いた機器及びシステム | |
WO2023188092A1 (ja) | 情報処理装置、情報処理方法、及びコンピュータ読み取り可能な記録媒体 | |
Anderson et al. | Windows Server 2008 R2 Remote Desktop Services Resource Kit | |
JP7148824B2 (ja) | 情報処理装置、情報処理方法、プログラム、及び情報処理システム | |
JP2012226655A (ja) | ファイル管理システム及びファイル管理方法 | |
JP2006024003A (ja) | セキュリティ対策システムおよびセキュリティ対策方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110217 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120307 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120313 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120514 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120605 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120618 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150713 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5035129 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |