JP2010287171A - Apparatus and method for visualizing access control, and program of the same - Google Patents
Apparatus and method for visualizing access control, and program of the same Download PDFInfo
- Publication number
- JP2010287171A JP2010287171A JP2009142454A JP2009142454A JP2010287171A JP 2010287171 A JP2010287171 A JP 2010287171A JP 2009142454 A JP2009142454 A JP 2009142454A JP 2009142454 A JP2009142454 A JP 2009142454A JP 2010287171 A JP2010287171 A JP 2010287171A
- Authority
- JP
- Japan
- Prior art keywords
- access control
- data
- rule
- display
- predetermined
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- User Interface Of Digital Computer (AREA)
- Storage Device Security (AREA)
Abstract
Description
本発明は、複数人で利用するシステム上で利用する各種情報に対するアクセス制御の設定を行うためのアクセス制御可視化方法、アクセス制御可視化装置及びそのプログラムに関する。 The present invention relates to an access control visualization method, an access control visualization device, and a program therefor for setting access control for various types of information used on a system used by a plurality of people.
近年のWebシステムの普及により、システムを複数人で共有して利用することが多くなっている。このシステム上で利用する情報の中には、個人情報やビジネス上秘密にしておく情報など、アクセス制御が必要なものがある。アクセス制御は複数のルールから構成され、ルールは対象の利用者、対象の情報、対象の操作の条件を含んでいる。対象の利用者の例としては、管理職や一般社員などが挙げられる。対象の情報の例としては、個人情報などが挙げられる。対象の操作の例としては、書き込み、読み込みなどの操作が挙げられる。また、情報の種別などによっては、詳細な条件を付与することができる。詳細な条件とは例えば、「社員は、午前9時から午後5時までの間、個人情報を、読み込むことができる」といったものが挙げられる。 With the spread of Web systems in recent years, a system is often shared and used by a plurality of people. Some of the information used on this system requires access control, such as personal information and business secret information. Access control is composed of a plurality of rules, and the rules include target users, target information, and target operation conditions. Examples of target users include managers and general employees. Examples of target information include personal information. Examples of target operations include operations such as writing and reading. Further, depending on the type of information, detailed conditions can be given. Examples of the detailed conditions include “an employee can read personal information from 9 am to 5 pm”.
アクセス制御ルールの設定中や設定後に設定状態を確認するためのユーザインタフェースとして、従来、非特許文献1〜3などにおいて開示されている表形式のインタフェースが用いられている。表形式のユーザインタフェースの一例として、アクセス制御のルールを行で示し、対象のグループ、対象のデータ、許可されている処理を列で表示するものがある。表形式のインタフェースは、列で対象のグループ、対象のデータ、許可されている処理が整理されて表示されるため、複数のルールを俯瞰できるという利点がある。図3及び図10にアクセス制御ルールを対象の利用者と対象の情報、及び対象の操作の組み合わせについて表形式で表現した場合の例を示す。図3は、顧客の電話番号をアルバイトが分担してチェックするシステムにおいて設定された、データへのアクセス制御ルールを表形式で一覧化したものであり、アルバイトと監督する社員がそれぞれ、顧客DBとユーザDBのいかなるデータ項目に対し、いかなる書き込み条件、読み込み条件にてアクセスできるかについての設定内容を俯瞰できる。また図10は、参加者がスポーツの試合の勝敗を予測するシステムにおいて設定された、データへのアクセス制御ルールを表形式で一覧化したものであり、参加者と管理者がそれぞれ、ユーザDB、試合日DB、勝敗予測DBのいかなるデータ項目に対し、いかなる書き込み条件、読み込み条件にてアクセスできるかについての設定内容を俯瞰できる。
Conventionally, a tabular interface disclosed in
表形式のインタフェースは、情報(データベースに蓄積された各種データ)に対して各ルールを順次適用した途中経過の絞り込みデータや、全てのルールを適用した後の絞り込みデータを提示することができない。そのため、ルールの設定を行う者(主にシステム管理者)が詳細条件の間違いを発見しにくいという課題がある。 The tabular interface cannot present narrowed-down data obtained by applying each rule sequentially to information (various data accumulated in the database) or narrowed-down data after all rules have been applied. Therefore, there is a problem that it is difficult for a person who sets the rule (mainly a system administrator) to find an error in the detailed condition.
本発明の目的は、利用者の属性等に応じデータにアクセス制御ルールを順次適用して開示するデータの絞り込みを行い、適用したルールとそれにより如何にデータが絞り込まれたかを同時にかつ段階的に表示することにより、ルールの設定を行う者が設定を確認する際における設定間違いの発見を支援する、アクセス制御可視化装置、アクセス制御可視化方法、及びそのプログラムを実現することにある。 An object of the present invention is to narrow down data to be disclosed by sequentially applying access control rules to data according to user attributes and the like, and simultaneously and step by step how the applied rules and how data has been narrowed down. By displaying, an object is to realize an access control visualization device, an access control visualization method, and a program thereof that support the discovery of a setting error when a person who sets a rule confirms the setting.
本発明のアクセス制御可視化装置は、データを蓄積するデータベースと、上記データに所定の1以上のアクセス制御ルールを所定の適用順序に従い順次適用することにより上記データを段階的に絞り込むルール適用部と、上記所定の1以上のアクセス制御ルールを上記所定の適用順序に従い画面上に所定の間隔で配列して表示し、各アクセス制御ルールによる絞り込み後のデータを当該各アクセス制御ルールの表示とその次に適用されるアクセス制御ルールの表示との間にそれぞれ表示する表示部とを備える。 The access control visualization device of the present invention includes a database for storing data, and a rule application unit that narrows down the data in stages by sequentially applying a predetermined one or more access control rules to the data according to a predetermined application order; The predetermined one or more access control rules are arranged and displayed on the screen at predetermined intervals according to the predetermined application order, and the data after narrowing down by each access control rule is displayed next to each access control rule. And a display unit for displaying each of the access control rules to be applied.
本発明のアクセス制御可視化装置によれば、利用者の属性などに応じデータにアクセス制御ルールを順次適用して開示するデータの絞り込みを行い、適用したルールとそれにより如何にデータが絞り込まれたかを同時にかつ段階的に表示することにより、ルールの設定を行う者が設定を確認する際に設定の間違いを発見しやすくなる。 According to the access control visualization device of the present invention, the access control rules are sequentially applied to the data according to the user attributes and the like to narrow down the disclosed data, and the applied rules and how the data has been narrowed down by the applied rules. By displaying simultaneously and gradually, it becomes easy for a person who sets the rule to find a setting error when checking the setting.
図1にアクセス制御可視化装置100の機能構成例を、図2にその処理フロー例を示す。
FIG. 1 shows a functional configuration example of the access
アクセス制御可視化装置100は、データを蓄積するデータベース110と、当該データに所定の1以上のアクセス制御ルールを所定の適用順序に従い順次適用することにより段階的に絞り込むルール適用部120(S1を実行)と、各アクセス制御ルールを所定の適用順序に従い画面上に所定の間隔で(例えば上から下に又は左から右に)配列して表示し、各アクセス制御ルールによる絞り込み後のデータを当該アクセス制御ルールの表示とその次に適用されるアクセス制御ルールの表示との間にそれぞれ表示する表示部130(S2を実行)とを備える。
The access
アクセス制御ルールは、例えば図3、図10に示すような内容の完成版を予めルール適用部120に記憶しておき、それを用いてもよいし、入力部131を更に設けてルールを個別に入力し、入力→絞り込み→入力→絞り込み→・・・というように処理してもよい。また、これらを複合し、一旦完成版により全体の表示を行った後、必要に応じルールを入力部131から個別入力により修正し(S11)、ルール適用部120にて修正ルール適用後の絞り込みデータを生成し(S12)、これを表示部130にて再表示(S13)できるように構成してもよい。データベース110とルール適用部120とをサーバ側に、表示部130(及び入力部131)をクライアント側にそれぞれ配置する構成をとった場合、アクセス制御ルールに完成版を用いることでクライアント側での画面表示生成時の処理が軽くなることが期待できる。一方、ルールを個別に入力する場合、クライアント側での入力の都度、サーバとの間でトランザクションが生じるため完成版を用いる場合より一般に処理は重くなるが、絞り込み過程を確認しながらルールの入力ができるというメリットがある。
As for the access control rule, for example, a completed version having the contents shown in FIGS. 3 and 10 may be stored in the
表示部130における表示に際しては、各絞り込み前後のデータを一括で表示してもよいし、任意の時間間隔で自動で又はマウスクリックやキーボード打鍵により、ルールの適用ごとに絞り込み後のデータを段階的に表示させてもよい。
When displaying on the
また、アニメーションなどにより、データがルールによって絞り込まれる前後の過程を動的に表現してもよい。例えば、絞り込み対象のデータの表示を画面上でスライドさせ、既に表示されているルール表示に絞り込み対象のデータが重なる毎に、データの表示内容が当該ルールの適用前のデータと適用後のデータとで変化し段階的に絞り込まれていくという一連の動的な表示過程により表現することが考えられる。 Further, the process before and after the data is narrowed down by the rule may be dynamically expressed by animation or the like. For example, each time the data to be refined is slid on the screen and the data to be refined overlaps the already displayed rule display, the display contents of the data are the data before and after application of the rule. It can be expressed by a series of dynamic display processes that change and narrow down in stages.
より具体的には、まず、絞り込み対象のデータを画面の上方に表示し、このデータ表示の下方に絞り込みに適用する1以上のルールを所定の適用順序で画面の上から下に向かって表示する。ここで、各ルール表示の間には、ルール適用後のデータを表示するために必要なスペースを空けておく。次に、画面上に適宜設けた「再生」ボタンの押下など所定の契機により、絞り込み対象のデータ表示を画面の上から下へ流れ落ちるように移動させる。なお、このデータ表示の移動経路は、当該データ表示が各ルール表示を上記所定の順序で通過するように設定する。データ表示が各ルール表示を通過する前に、当該ルール適用前のデータを当該ルール表示の上方のスペースに固定的に表示する。続いて、データ表示が当該ルール表示を通過した後に、当該ルール表示の下方のスペースに当該ルール適用後のデータを固定的に表示する。以降、データ表示の移動経路上にまだ適用していないルール表示が残っていれば、前のルール適用後のデータを次のルール適用前のデータとして当該次のルールを適用し上記と同様な画面表示処理を行う。データ表示が画面に表示された全てのルール表示を通過した時、最後のルール表示の下方にシステムに反映する候補となる候補データを表示する。システム管理者などのルール設定者は、この候補データを確認してルールの適否を確認する。なお、視覚的効果を期待して、候補データ以外の絞り込み途中の各データの固定的表示を、データ表示の移動後は薄く表示するようにしてもよい。 More specifically, first, the data to be narrowed down is displayed at the top of the screen, and one or more rules to be applied for narrowing down are displayed below the data display from the top to the bottom of the screen in a predetermined application order. . Here, a space necessary for displaying the data after applying the rule is left between each rule display. Next, the data display to be narrowed down is moved so as to flow down from the top to the bottom of the screen by a predetermined trigger such as pressing a “play” button appropriately provided on the screen. The data display moving path is set so that the data display passes through the rule displays in the predetermined order. Before the data display passes through each rule display, the data before the rule application is fixedly displayed in the space above the rule display. Subsequently, after the data display passes the rule display, the data after the rule application is fixedly displayed in a space below the rule display. After that, if there is a rule display that has not been applied yet on the data display movement path, the screen is the same as above by applying the next rule with the data after applying the previous rule as the data before applying the next rule. Perform display processing. When the data display passes through all the rule displays displayed on the screen, candidate data to be reflected in the system is displayed below the last rule display. A rule setter such as a system administrator confirms the suitability of the rules by checking the candidate data. Note that, in view of a visual effect, the fixed display of each data that is being narrowed down other than the candidate data may be displayed lightly after the data display is moved.
表示部130における表示処理の具体的な実現例を以下(前提条件及び1〜4)に示す。
前提条件.
・データベース110にデータが予め記憶されている。
・表示部130に画面表示制御の規則(一連のアニメーション表示をさせるためのプログラム等)が予め記憶されている。
1.1以上のアクセス制御ルール(絞り込む条件)とこれらのルールを適用する順序を設定する。なお、ルールは必ずしも予め記憶しておいたものを用いる必要はなく、逐次手入力してもよいし、予め用意した選択肢から選択してもよい。
2.「表示」ボタン押下などにより画面表示を指示する。
3.上記「1」での設定に基づき画面情報を生成するとともに、上記「1」で設定したルール適用順序に従い逐次データを絞り込み、この情報を記憶する。具体的には「絞り込む前のデータ」と絞り込み条件である「アクセス制御ルール」と「絞り込み後のデータ」とこれらの順序関係を(メモリなどに)記憶する。
4.記憶した画面情報を表示する。このとき、絞り込みデータの表示を上から下に移動させるアニメーションにより表示する場合は、予め記憶された画面表示制御ルールに基づき表示する。なお、アニメーションによる表示は、データフローを表現するものであれば任意の表示方法を用いて構わない。
A specific implementation example of the display process in the
Precondition.
Data is stored in the
Screen display control rules (such as a program for displaying a series of animations) are stored in advance on the
1.1 or more access control rules (restriction conditions) and the order in which these rules are applied are set. Note that it is not always necessary to use a rule that has been stored in advance, and the rule may be manually input or selected from previously prepared options.
2. The screen display is instructed by pressing the “Display” button.
3. Screen information is generated based on the setting of “1”, and data is sequentially narrowed down according to the rule application order set in “1”, and this information is stored. Specifically, “data before narrowing down”, “access control rule” that is a narrowing condition, “data after narrowing down”, and their order relationship are stored (in a memory or the like).
4). Displays the stored screen information. At this time, when displaying the narrowed-down data by an animation that moves from top to bottom, it is displayed based on a screen display control rule stored in advance. Note that the display by animation may use any display method as long as it represents a data flow.
図3に示すアクセス制御ルールは、顧客の電話番号をアルバイトが分担してチェックするシステムにおいて図4(a)に示すような顧客DBと図4(b)に示すようなユーザDBの2つのデータベースからデータの絞り込みを行う場合に用いるルールの例である。具体的には次のルールが定義されている。
(i-1)社員は、顧客DBとユーザDBに情報を書き込むことができる。
(i-2)社員は、顧客DBとユーザDBから情報を読み込む(参照する)ことができる。
(i-3)アルバイトは、顧客DBから自分が担当で、「チェック」項目が"未"の顧客の情報を読み込むことができる。
(i-4)アルバイトは、顧客DBのうち、自分が担当の顧客の「チェック」項目を"済"に上書きすることができる。
The access control rule shown in FIG. 3 includes two databases, a customer DB as shown in FIG. 4 (a) and a user DB as shown in FIG. 4 (b) in a system in which a part-time job shares and checks a customer's telephone number. This is an example of a rule used when data is narrowed down. Specifically, the following rules are defined.
(i-1) The employee can write information in the customer DB and the user DB.
(i-2) The employee can read (reference) information from the customer DB and the user DB.
(i-3) The part-time job can read information of a customer who is in charge of the customer DB and whose “check” item is “not yet”.
(i-4) The part-time job can overwrite the “check” item of the customer in charge in the customer DB with “done”.
このような内容のアクセス制御ルールを各DBに適用した場合の表示部130における表示例を図5に示す。例えば、顧客DBのデータを「役割」が"アルバイト"である「ユーザ」"γ"用に絞り込む場合、ルール適用部120にて(a)顧客DBのデータをデータベース110から取得し、(b)「担当者」が"γ"であり「チェック」項目が"未"のデータを絞り込み(ルール(i-3))、(c)「チェック」項目のみ"済"に上書き可能に絞り込む(ルール(i-4))、というように段階的な絞り込み処理を行った上で、表示部130にてルールを適用する前後のデータを適用したルールとともに画面上に表示する。表示に際しては、(a)→(a)(b)→(a)(b)(c)という絞り込み過程を一括で表示してもよいし、任意の時間間隔で段階的に表示させてもよいし、マウスクリックやキーボード打鍵により(a)→(a)(b)→(a)(b)(c)と段階的に表示させてもよい。これら一連の表示は設定者用の表示であり、ユーザがシステムを利用する際には絞り込み結果である(c)のみがインタフェース画面として表示される(網掛け部はユーザが修正できない部分)。また、アニメーションなどにより動的に表現してもよい。一例を図6から図9に示す。なお、絞り込み対象のデータ及び適用するルールは図5の場合と同様である。図6(a)の絞り込み前のデータと絞り込みに適用する2つのルールとが表示された状態を初期状態とする。画面上のボタン押下などの契機により、図6(b)に示すように絞り込み前のデータ表示が紙面下方向へスライドして1つ目のルール表示に徐々に重なり合い、やがて通過することにより図7(a)(b)に示すように1つ目のルールによる絞り込み後のデータが表示される。なお、1つ目のルールによる絞り込み前のデータはデータ表示のスライド開始後も図6(b)及び図7(a)(b)に示すように、1つ目のルール表示の上方に薄く表示され続ける。続いて図8(a)に示すように、1つ目のルールによる絞り込み後のデータ表示は更に下方向へスライドして2つ目のルール表示に徐々に重なり合い、やがて通過することにより図8(b)及び図9に示すように2つ目のルールによる絞り込み後のデータが表示される。なお、2つ目のルールによる絞り込み前のデータ(=1つ目のルールによる絞り込み後のデータ)はデータ表示のスライド開始後も図8(a)(b)及び図9に示すように、2つ目のルール表示の上方に薄く表示され続ける。
FIG. 5 shows a display example on the
このように、表示されたルール及び対応する絞り込み前後のデータから、システム管理者などのルール設定者は必要なアクセス設定が適切にされているか否かを容易に確認することができる。 In this manner, a rule setter such as a system administrator can easily confirm whether or not necessary access settings are appropriate from the displayed rules and corresponding data before and after narrowing down.
また、図10に示すアクセス制御ルールは、参加者がスポーツの試合の勝敗を予測するシステムにおいて、図11(a)に示すようなユーザDBと図11(b)に示すような試合日DBと図11(c) に示すような勝敗予測DBの3つのデータベースからデータの絞り込みを行う場合に用いるものの例である。具体的には次のルールが定義されている。
(ii-1)管理者は、すべての情報を読み込む(参照する)ことができる。
(ii-2)管理者は、すべての情報を書き込むことができる。
(ii-3)参加者は、試合日の情報を読み込む(参照する)ことができる。
(ii-4)参加者は、試合日の当日から勝敗予測文章を読み込む(参照する)ことができる。
(ii-5)参加者は、自分の名前で明日から試合日の前日までに勝敗の予測の文章を書き込むことができる。
Further, the access control rule shown in FIG. 10 is based on a user DB as shown in FIG. 11 (a) and a game date DB as shown in FIG. 11 (b) in a system in which participants predict the outcome of a sport game. It is an example of what is used when data is narrowed down from three databases such as a win / loss prediction DB as shown in FIG. Specifically, the following rules are defined.
(ii-1) The administrator can read (reference) all information.
(ii-2) The administrator can write all information.
(ii-3) Participants can read (refer to) information on match dates.
(ii-4) The participant can read (refer to) the winning / losing prediction text from the day of the match date.
(ii-5) Participants can write a statement of the winning or losing prediction from tomorrow to the day before the match date with their own name.
このような内容のアクセス制御ルールを各DBに適用した場合の表示部130における表示例を図12に示す。この例は表示を2009年2月20日に行った場合の例である。例えば、勝敗予測DBのデータを「役割」が"参加者"である「ユーザID」"田中"用に絞り込む場合、ルール適用部120にて(a)勝敗予測DBのデータをデータベース110から取得し、(b) 「ユーザID」が"田中"であり、「試合日」が2009年2月20日までのデータ(試合IDがgameA又はgameB)を絞り込み(ルール(ii-4))、(c) 自分の名前で2009年2月21日以降、「試合日」の前日までに(この例ではgameCが該当)、勝敗の予測の文章を書き込むことを可能とする(ルール(ii-5))、というように段階的な絞り込み処理を行った上で、表示部130にてルールを適用する前後のデータを適用したルールとともに画面上に表示する。表示に際しては図5の例と同様、(a)→(a)(b)→(a)(b)(c)という絞り込み過程を一括で表示してもよいし、任意の時間間隔で段階的に表示させてもよいし、マウスクリックやキーボード打鍵により(a)→(a)(b)→(a)(b)(c)と段階的に表示させてもよい。これら一連の表示は設定者用の表示であり、ユーザがシステムを利用する際には絞り込み結果である(c)のみがインタフェース画面として表示される(ユーザは網掛けの無い部分に書き込み要件を満たす試合ID及び勝敗予測コメントを書き込み可)。また、アニメーションなどにより動的に表現してもよい。一例を図13から図16に示す。なお、絞り込み対象のデータ及び適用するルールは図12の場合と同様である。図13(a)の絞り込み前のデータと絞り込みに適用する2つのルールとが表示された状態を初期状態とする。画面上のボタン押下などの契機により、図13(b)に示すように絞り込み前のデータ表示が紙面下方向へスライドして1つ目のルール表示に徐々に重なり合い、やがて通過することにより図14(a)(b)に示すように1つ目のルールによる絞り込み後のデータが表示される。なお、1つ目のルールによる絞り込み前のデータはデータ表示のスライド開始後も図13(b)及び図14(a)(b)に示すように、1つ目のルール表示の上方に薄く表示され続ける。続いて図15(a)に示すように、1つ目のルールによる絞り込み後のデータ表示は更に下方向へスライドして2つ目のルール表示に徐々に重なり合い、やがて通過することにより図15(b)及び図16に示すように2つ目のルールによる絞り込み後のデータが表示される。なお、2つ目のルールによる絞り込み前のデータ(=1つ目のルールによる絞り込み後のデータ)はデータ表示のスライド開始後も図15(a)(b)及び図16に示すように、2つ目のルール表示の上方に薄く表示され続ける。
FIG. 12 shows a display example on the
このように、表示されたルール及び対応する絞り込み前後のデータから、システム管理者などのルール設定者は必要なアクセス設定が適切にされているか否かを容易に確認することができる。 In this manner, a rule setter such as a system administrator can easily confirm whether or not necessary access settings are appropriate from the displayed rules and corresponding data before and after narrowing down.
以上のようにアクセス制御可視化装置を構成することで、利用者の属性などに応じアクセス制御ルールを順次適用して開示するデータの絞り込みを行い、適用したルールとそれにより如何にデータが絞り込まれたかを同時にかつ段階的に表示することにより、ルールの設定を行う者が設定を確認する際に設定の間違いを発見しやすくなる。なお、図3や図10に示すような表形式のアクセス制御ルールの画面表示をクリックするなどにより、本発明の画面表示に遷移する構成をとってもよい。 By configuring the access control visualization device as described above, the access control rules are sequentially applied according to the user's attributes, etc., to narrow down the disclosed data, and the applied rules and how the data has been narrowed down accordingly Are displayed at the same time and step by step so that it is easy for a person who sets a rule to find a setting error when checking the setting. Note that a configuration may be adopted in which the screen display of the present invention is transitioned to, for example, by clicking the screen display of the tabular access control rule as shown in FIG. 3 or FIG.
そして、本発明のアクセス制御可視化装置によるアクセス制御設定の確認の結果、設定が適切であると判断した場合はその設定をシステムに反映させる。一方、設定の誤りが発見された場合は適宜設定を修正し、修正後のルールが適用された絞り込みデータを再度確認して、適切であると判断した場合にはその設定をシステムに反映させる。 If it is determined that the setting is appropriate as a result of checking the access control setting by the access control visualization apparatus of the present invention, the setting is reflected in the system. On the other hand, if a setting error is found, the setting is corrected as appropriate. The refined data to which the corrected rule is applied is checked again, and if it is determined to be appropriate, the setting is reflected in the system.
上記のアクセス制御可視化装置をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。この場合、処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。また、上記の各種処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。 When the above access control visualization device is realized by a computer, the processing contents of the functions that each device should have are described by a program. The processing functions are realized on the computer by executing the program on the computer. In this case, at least a part of the processing content may be realized by hardware. Further, the various processes described above are not only executed in time series according to the description, but may be executed in parallel or individually according to the processing capability of the apparatus that executes the processes or as necessary. In addition, it can change suitably in the range which does not deviate from the meaning of this invention.
〔効果の検証〕
図3及び図10に示すアクセス制御ルールを正解設定として、それぞれ4ヶ所ずつの設定誤りを埋め込んだアクセス制御ルールを、従来の表形式(図17及び図18)と本発明による表示形式(図示略)のそれぞれについて作成し、10名の被験者に対し設定誤りの発見テストを実施した。その結果、従来の表形式では10名中9名が何らかの誤りを見落としたが、本発明の表示形式を従来の表形式と併用させたところ10名中6名が全ての誤りを発見し、本発明の効果が確認された。
[Verification of effects]
The access control rule shown in FIG. 3 and FIG. 10 is set as the correct answer, and the access control rule in which four setting errors are embedded is displayed in the conventional table format (FIG. 17 and FIG. ) And a test for finding a setting error was performed on 10 subjects. As a result, 9 out of 10 people overlooked some errors in the conventional table format, but when the display format of the present invention was used in combination with the conventional table format, 6 out of 10 people found all errors, The effect of the invention was confirmed.
Claims (9)
上記データに所定の1以上のアクセス制御ルールを所定の適用順序に従い順次適用することにより上記データを段階的に絞り込むルール適用部と、
上記所定の1以上のアクセス制御ルールを上記所定の適用順序に従い画面上に所定の間隔で配列して表示し、各アクセス制御ルールによる絞り込み後のデータを当該各アクセス制御ルールの表示とその次に適用されるアクセス制御ルールの表示との間にそれぞれ表示する表示部と、
を備えるアクセス制御可視化装置。 A database for storing data;
A rule application unit that narrows down the data in stages by sequentially applying a predetermined one or more access control rules to the data according to a predetermined application order;
The predetermined one or more access control rules are arranged and displayed on the screen at predetermined intervals according to the predetermined application order, and the data after narrowing down by each access control rule is displayed next to each access control rule. A display unit for displaying between the display of the applied access control rules,
An access control visualization device comprising:
上記所定の1以上のアクセス制御ルールは、予め用意されたもの又は逐次入力されたものを用いることを特徴とするアクセス制御可視化装置。 The access control visualization device according to claim 1,
The access control visualization device characterized in that the predetermined one or more access control rules are prepared in advance or sequentially input.
上記表示部は、上記絞り込み後のデータを上記アクセス制御ルールの適用順序に従い段階的に表示することを特徴とするアクセス制御可視化装置。 The access control visualization device according to claim 1 or 2,
The access control visualization apparatus, wherein the display unit displays the narrowed-down data stepwise in accordance with the application order of the access control rules.
上記絞り込み後のデータに対して適用されたアクセス制御ルールを修正入力する入力部を更に備え、
上記ルール適用部は、修正入力されたアクセス制御ルールを上記絞り込み前のデータに適用して再度絞り込みを行い、
上記表示部は、上記絞り込み前のデータと上記再度絞り込み後のデータと上記再度絞り込みに用いたアクセス制御ルールとを参照可能とする
ことを特徴とするアクセス制御可視化装置。 The access control visualization device according to any one of claims 1 to 3,
An input unit for correcting and inputting an access control rule applied to the filtered data;
The rule applying unit applies the modified access control rule to the data before narrowing down and narrows down again,
The access control visualization apparatus, wherein the display unit can refer to the data before narrowing down, the data after narrowing down again, and the access control rule used for narrowing down again.
表示部が、上記所定の1以上のアクセス制御ルールを上記所定の適用順序に従い画面上に所定の間隔で配列して表示し、各アクセス制御ルールによる絞り込み後のデータを当該各アクセス制御ルールの表示とその次に適用されるアクセス制御ルールの表示との間にそれぞれ表示する表示ステップと、
を実行するアクセス制御可視化方法。 A rule applying step in which the rule applying unit narrows down the data in stages by sequentially applying predetermined one or more access control rules to the data stored in the database according to a predetermined application order;
The display unit displays the predetermined one or more access control rules arranged on the screen at predetermined intervals according to the predetermined application order, and displays the data after narrowing down by each access control rule. A display step for displaying between each of the access control rules and the display of the next applied access control rule,
Access control visualization method to execute.
上記所定の1以上のアクセス制御ルールは、予め用意されたもの又は逐次入力されたものを用いることを特徴とするアクセス制御可視化方法。 The access control visualization method according to claim 5,
The access control visualization method, wherein the one or more predetermined access control rules are prepared in advance or sequentially input.
上記表示ステップは、上記絞り込み後のデータを上記アクセス制御ルールの適用順序に従い段階的に表示することを特徴とするアクセス制御可視化方法。 The access control visualization method according to any one of claims 5 and 6,
The display step includes a step of displaying the narrowed-down data stepwise in accordance with the application order of the access control rules.
上記表示ステップ後にアクセス制御ルールを修正入力する入力ステップと、
上記修正入力されたアクセス制御ルールを上記絞り込み前のデータに適用して再度絞り込みを行う修正ルール適用ステップと、
上記絞り込み前のデータと上記再度絞り込み後のデータと上記再度絞り込みに用いたアクセス制御ルールとを参照可能とする再表示ステップと、
を更に実行するアクセス制御可視化方法。 The access control visualization method according to any one of claims 5 to 7,
An input step for modifying and entering the access control rule after the display step;
A correction rule application step of applying the modified input access control rule to the data before narrowing down and narrowing down again;
A re-displaying step for making it possible to refer to the data before narrowing down, the data after narrowing down again, and the access control rule used for narrowing down again;
An access control visualization method for further executing.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009142454A JP2010287171A (en) | 2009-06-15 | 2009-06-15 | Apparatus and method for visualizing access control, and program of the same |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009142454A JP2010287171A (en) | 2009-06-15 | 2009-06-15 | Apparatus and method for visualizing access control, and program of the same |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2010287171A true JP2010287171A (en) | 2010-12-24 |
Family
ID=43542801
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009142454A Pending JP2010287171A (en) | 2009-06-15 | 2009-06-15 | Apparatus and method for visualizing access control, and program of the same |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2010287171A (en) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012194801A (en) * | 2011-03-16 | 2012-10-11 | Hitachi Systems Ltd | Security policy management system and security policy management system with security risk management device |
US8805884B2 (en) | 2009-09-09 | 2014-08-12 | Varonis Systems, Inc. | Automatic resource ownership assignment systems and methods |
US8875246B2 (en) | 2011-05-12 | 2014-10-28 | Varonis Systems, Inc. | Automatic resource ownership assignment system and method |
US8909673B2 (en) | 2011-01-27 | 2014-12-09 | Varonis Systems, Inc. | Access permissions management system and method |
US9680839B2 (en) | 2011-01-27 | 2017-06-13 | Varonis Systems, Inc. | Access permissions management system and method |
US10320798B2 (en) | 2013-02-20 | 2019-06-11 | Varonis Systems, Inc. | Systems and methodologies for controlling access to a file system |
US11496476B2 (en) | 2011-01-27 | 2022-11-08 | Varonis Systems, Inc. | Access permissions management system and method |
-
2009
- 2009-06-15 JP JP2009142454A patent/JP2010287171A/en active Pending
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11604791B2 (en) | 2009-09-09 | 2023-03-14 | Varonis Systems, Inc. | Automatic resource ownership assignment systems and methods |
US8805884B2 (en) | 2009-09-09 | 2014-08-12 | Varonis Systems, Inc. | Automatic resource ownership assignment systems and methods |
US9680839B2 (en) | 2011-01-27 | 2017-06-13 | Varonis Systems, Inc. | Access permissions management system and method |
US8909673B2 (en) | 2011-01-27 | 2014-12-09 | Varonis Systems, Inc. | Access permissions management system and method |
US9679148B2 (en) | 2011-01-27 | 2017-06-13 | Varonis Systems, Inc. | Access permissions management system and method |
US11496476B2 (en) | 2011-01-27 | 2022-11-08 | Varonis Systems, Inc. | Access permissions management system and method |
JP2012194801A (en) * | 2011-03-16 | 2012-10-11 | Hitachi Systems Ltd | Security policy management system and security policy management system with security risk management device |
US10721234B2 (en) * | 2011-04-21 | 2020-07-21 | Varonis Systems, Inc. | Access permissions management system and method |
US9275061B2 (en) | 2011-05-12 | 2016-03-01 | Varonis Systems, Inc. | Automatic resource ownership assignment system and method |
US9372862B2 (en) | 2011-05-12 | 2016-06-21 | Varonis Systems, Inc. | Automatic resource ownership assignment system and method |
US9721115B2 (en) | 2011-05-12 | 2017-08-01 | Varonis Systems, Inc. | Automatic resource ownership assignment system and method |
US9721114B2 (en) | 2011-05-12 | 2017-08-01 | Varonis Systems, Inc. | Automatic resource ownership assignment system and method |
US8875246B2 (en) | 2011-05-12 | 2014-10-28 | Varonis Systems, Inc. | Automatic resource ownership assignment system and method |
US10320798B2 (en) | 2013-02-20 | 2019-06-11 | Varonis Systems, Inc. | Systems and methodologies for controlling access to a file system |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2010287171A (en) | Apparatus and method for visualizing access control, and program of the same | |
US9589233B2 (en) | Automatic recognition and insights of data | |
US11416115B2 (en) | Search and locate event on calendar with timeline | |
US20130275904A1 (en) | Interactive data visualization and manipulation | |
US10887338B2 (en) | Creating notes on lock screen | |
CN106844404A (en) | Message display method and terminal device | |
Hung | Influence of the environment on innovation performance of TQM | |
US20130275329A1 (en) | Sales opportunity notification and tracking systems and related methods | |
US20140272898A1 (en) | System and method of providing compound answers to survey questions | |
US8843882B1 (en) | Systems, methods, and algorithms for software source code analytics and software metadata analysis | |
AU2016223229B2 (en) | Remote supervision of client device activity | |
de Carvalho | MEX experience boards: a set of agile tools for user experience design. | |
US9355376B2 (en) | Rules library for sales playbooks | |
JP2010102440A (en) | Information management device, information management method, and information management program | |
Sadana et al. | Touching data: A discoverability-based evaluation of a visualization interface for tablet computers | |
US9972109B2 (en) | Implementing out of order access to reversal operations in images | |
US20150058774A1 (en) | Gesture-based visualization of financial data | |
US10896406B2 (en) | Insight framework for suggesting hosted service and features based on detected usage patterns and behaviors | |
Andrews et al. | Unlock your insight: employing a gamified app to engage manufacturers with servitization | |
JP2013238976A (en) | Source code generation system | |
Kammerer et al. | Collaborative process modeling with tablets and touch tables-a controlled experiment | |
JP6134428B1 (en) | Providing device, providing method, and providing program | |
JP6209049B2 (en) | Sales support terminal | |
JP6670076B2 (en) | Electronic medical record device and electronic medical record control method | |
US20060101394A1 (en) | Computer-implemented outputting of table rows to an output device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20110720 |