JP2011138299A - アクセス制御設定装置、方法及びコンピュータプログラム - Google Patents
アクセス制御設定装置、方法及びコンピュータプログラム Download PDFInfo
- Publication number
- JP2011138299A JP2011138299A JP2009297532A JP2009297532A JP2011138299A JP 2011138299 A JP2011138299 A JP 2011138299A JP 2009297532 A JP2009297532 A JP 2009297532A JP 2009297532 A JP2009297532 A JP 2009297532A JP 2011138299 A JP2011138299 A JP 2011138299A
- Authority
- JP
- Japan
- Prior art keywords
- information
- access control
- group
- setting
- resource
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【解決手段】アクセス制御設定装置100が、ラベル表現形式でアクセス制御の設定がなされた端末装置200から、リソースの情報とそのリソースへのアクセス制御の設定内容とを取得し、処理装置110で、各階層のリソースのIDと当該リソースが属するグループ名とをリンクさせるとともに、各グループ名とそのグループに設定されたアクセス制御の設定内容とをリンクさせることにより、現在のアクセス制御の設定内容をパス表現形式のものに変換する。処理装置110は、さらに、変換された設定内容を表示装置120に表示させるが、その際、設定内容が同一となるリソースについては同一の態様、例えば色で表示させ、意図しない設定内容であることを容易に把握できるようにした。
【選択図】図2
Description
アクセス制御の設定は、具体的には、設定者が、多数存在するリソースの各々がどのグループにグルーピングされ、どのラベルが割り当てられるかを記述したファイルであるマッピングファイルと、どのプロセスがどのラベルにアクセスが可能なのかといったアクセス制御の設定内容が記述されたファイルであるアクセス制御ルールとを作成することにより行われる。
本発明の課題は、例えばラベル表現のような非パス表現形式で設定されたアクセス制御の設定内容をパス表現形式に変換した上で、これを視覚化して、設定内容の把握、設定、変更等を容易にする技術を提供することにある。
本発明のアクセス制御設定装置は、それぞれ、他のリソースと階層的に関連付けられ、且つ、所定のグループに分類可能な状態で存在し、分類されたときはグループ単位でアクセス制御の設定がなされる複数のリソースに対してアクセス可能な端末装置と接続する接続手段と、接続された前記端末装置から、階層構造を表す情報と各々のリソースのIDとを含む第1情報、各々のリソースがどのグループに分類されているかをそのグループ名と共に表す第2情報、及び、各々のグループについて非パス表現形式で設定されたアクセス制御の内容を表す第3情報を取得する情報取得手段と、取得した第1〜第3情報を所定のメモリに保持するメモリ手段と、前記メモリに保持されている情報のうち、前記第1情報により特定される各階層のリソースのIDと、前記第2情報により特定されるそのリソースが属するグループ名とをリンクさせ、さらに、各グループ名と、前記第3情報により特定されるそのグループに設定されたアクセス制御の内容とをリンクさせることにより、当該アクセス制御の設定内容をパス表現形式のものに変換する変換手段と、変換された設定内容を所定の表示装置に表示させるとともに、前記設定内容が同一となる複数のリソースについては同一の態様で表示させる表示制御手段とを有する。
「非パス表現形式」とは、階層構造で表現されるパス表現形式以外の表現形式のものである。例えば、ラベルベースのアクセス制御を行う場合のラベル表現形式は、非パス表現形式の典型である。
このアクセス制御設定装置では、グループ単位でアクセス制御の設定を行う際に、例えば分散して記述されるアクセスポリシを、リソースの階層構造と合わせて視覚化することができ、アクセス制御の内容を容易に把握できるようになる。
本実施形態は、また、セキュアOSを搭載した端末装置に対するアクセス制御内容の設定を外部より行うアクセス制御設定装置の例を挙げる。
図1は、本実施形態のアクセス制御設定装置100と、このアクセス制御設定装置100によりリモート操作される端末装置200とを含む情報処理システムの全体構成図であり、特徴的な部分のみを示してある。端末装置200は、アクセスポリシ240に従ってアクセス制御内容が設定されるセキュアOS210を搭載している。このセキュアOS210は、非パス表現形式の一例となるラベルベースの制御方式によって、リソースに対するアクセス制御が設定されるものである。
まず、アクセス制御設定装置100の構成例を説明する。図2は、本実施形態におけるアクセス制御設定装置の機能ブロック図である。
アクセス制御設定装置100は、CPU(Central Processing Unit)、RAM(Random Access Memory)、ROM(Read Only Memory)、ネットワークカード、入出力インタフェース等を備えた処理装置110と、ディスプレイ等の表示装置120と、キーボード等の入力装置130と、端末装置200又は外部デバイスと接続するための接続インタフェース140とを備えている。
処理装置110は、コンピュータの一種であり、CPUが本発明のコンピュータプログラムを読み込んで実行することにより、端末装置200のアクセス制御設定に関する機能、具体的には、入力受付部111、情報取得部112、設定情報更新部113、表現形式変換部114、表示制御部115、及び、出力制御部116として動作する。
次に、端末装置200の構成を詳しく説明する。端末装置200のセキュアOS210において、OSカーネル211の内部にはアクセス制御モジュール212が存在する。アクセス制御モジュール212は、OS起動時に、アクセスポリシ240からマッピングファイル220とアクセス制御ルール230を読み込み、アクセス制御を開始するものである。マッピングファイル220は、ファイル、ディレクトリ等のリソースが、それぞれ、どのラベルに割り当てられるべきかを記述したファイルであり、アクセス制御ルール230は、どのプロセスが、どのリソースに対して、どのようなアクセスが可能なのかを示すファイルである。
この例の3行目はアクセス主体になりうるプログラムに関するラベル定義の例であり、「/usr/sbin/httpd system_u:object_r:httpd_exec_t:s0」は、「ラベルhttpd_exec_tが、/usr/sbin/httpdに割り当てられる」ことを意味する。
アクセス制御ルール230には、アクセス主体がアクセス客体にどのようなアクセスをしてよいかを記述する。また、アクセス主体が新たにプログラムを起動した場合や新たにファイルを作成した場合、起動されたプログラムや作成されたファイルに付与されるラベルを定義する。また、ユーザ用のプロセスはログインデーモン(プログラム)が生成するので、やはりアクセス制御ルールにおいてラベルを定義する。
2行目の「type_transition usr_t httpd_exec_t:process httpd_t;」は、「アクセス主体usr_tがアクセス客体httpd_exexc_tを実行した結果起動したプロセスは、ラベルhttpd_tに属する」ことを意味する。3行目の「type_transition httpd_t var_run_t:file httpd_var_run_t:」は、「アクセス主体httpd_tがアクセス客体 var_run_t に作ったファイルは、ラベルhttpd_var_run_tに属する」ことを意味する。
図4(b)はアクセス主体がユーザプロセスの場合のラベル定義の例であって、ここではユーザ root がログインした直後のプロセスにラベル「my_root_t」が付与された例を示す。
次に、アクセス制御設定装置100の動作例を説明する。
図5は、全体的な動作手順説明図である。図5を参照すると、アクセス制御設定装置100が端末装置200に接続され、処理装置110が起動すると、処理装置110は、動作環境を整え、端末装置200から現在のリソースの情報及びアクセスポリシ240の内容を表す情報を取得し、RAMに保持するとともに、表示装置120に初期情報入力画面を表示させ、アクセス制御の対象プログラムを定める処理を行う(ステップS1)。
初期情報入力画面は、リソースへのアクセスを許可する主体を定めるための情報の入力を促す画面である。本例では、アクセス主体はどのプログラムか、及びどのユーザ又はどのプログラムがそれを起動したのか、という内容を指定できるようにしている。このような指定を設定者が入力装置130を通じて入力すると、処理装置110は、指定された内容を受け付け、以後の処理のためにRAMに保持する(ステップS2)。
なお、アクセスポリシのパス表現形式への変換は、設定者が指定した範囲で、リソース毎、階層毎又はグループ毎に情報を読み出して行う。例えばあるディレクトリを指定することにより、そのディレクトリに属するファイルのみの情報を読み出す。これにより、全階層のすべての情報を読み込む必要がなくなり、処理量が節約されるので、設定に要する時間が短縮される。
[ステップS1の詳細手順]
対象プログラムを定める処理(ステップS1)の詳細手順を図6に示す。
まず、図11に例示される初期情報入力画面300を表示装置120に表示させる(ステップ210)。図11において、「AP」はアクセス制御の対象となるプロセスを表す。「APのパス」は、そのAPがどこに存在するどのプログラムであるかを指定するパス表現領域310である。「APを起動するユーザ(320)」か、「APを起動するプログラムのパス(330)」は、どちらか一方が必須入力となる。これらは、パス表現領域310の入力内容とあわせて、「以降設定するアクセス制御内容は、領域320で指定されたユーザか、領域330で指定されたプログラムが、領域310で指定したプログラムを実行したときに生成されるプロセスに対して有効である」という意味になる。
例えば、APを起動するプログラムのパスとして「/etc/init.d/httpd」が指定されたとする。処理装置110は、図3のマッピングファイル220における「/etc/init.d/http--system_u:object_r:initrc_exec_t:s0」を参照する。「/etc/init.d/httpd」にはラベル「initrc_exec_t」が付与されていることがわかるので、「initrc_exec_t」をキーとしてアクセス制御ルール230を検索し、例えば「type_transition XXX_t initrc_exec_t:process YYY_t;」のように「initrc_exec_t」を「:」の直前に含むルールを検出し、APを起動するプログラム「/etc/init.d/httpd」のラベル「YYY_t」を得る。
このように、各領域310〜330への指定により、「ユーザ○○/プログラム○○が実行したAPについてのアクセス制御の設定を行う」という内容の初期情報が設定者より入力され、ステップS2により保持されることになる。
表現形式の変換処理(ステップS3)の詳細手順を図7乃至図9に示す。
以下では、主にルートディレクトリ"/"に属するリソースの場合を例にとって説明する。
マッピングファイルは、通常、高々数千行なので、マッピングオブジェクトはマッピングファイル全体を一度に読み込んで生成してもよい。マッピングオブジェクトの属性情報はマッピングファイルの定義を書き写したものなので、マッピングオブジェクトではアクセス制御設定対象となるリソース個々の属性を特定できない。そこで、具体的なアクセス制御設定作業の対象となるリソースと直接関連付けて生成されるラベルオブジェクトを利用して、設定対象リソースの属性を特定する。
直すとどこのことかを特定できないため、パス情報を参照するためのマッピングオブジェクトが必要となる。
マッピングオブジェクトは、例えば、図3のマッピングファイル220の「/var(/.*)? system_u:object_r:var_t:s0」の記述に基づくと、マッピングオブジェクトには、ラベル名は「var_t」、パスは「/var」、正規表現は「(/.*)?」、属性は「正規表現が表すリソースの属性」が記述されることとなる。また、設定者が新しいラベルを作成した場合には、マッピングオブジェクトが新たに作成される。マッピングオブジェクトは、処理の簡易化のため、処理装置110で定義したマッピング設定とデフォルトのマッピング設定と、ラベル名の付与ルールを区別する等して、分けて保持するものとしてもよい。
具体的には、端末装置200に対して、リモート操作によりコマンド“ls /”を実行することにより、例えば、“/”以下のファイル、ディレクトリ等のリソースの一覧を取得する(ステップS315)。
また、端末装置200に対し、コマンド“ls−Z /”を実行することにより、例えば“/”以下のファイル、ディレクトリ等のリソースに対するラベルの一覧を取得する(ステップS320)。その際、上述したように、処理量を減らすために、実際に表示装置120での表示に必要な範囲、例えば、“ /”の1段だけ下位の階層のリソースについてのみ、リソース一覧とラベル一覧を取得し、その他のリソースについては、その下位のリソースが展開される都度、リソース一覧とラベル一覧を取得するものとする。このようにすると、実際に展開され、表示装置120に表示され、設定者に視認される等の必要な範囲でのみ処理を行うため、処理量を分散することができ、一回あたり処理の負担を減らすことができる。
「旧参照」には既存のラベルとの対応関係を示すための情報が記述される。「新参照」は、「旧参照」と同様にラベルとの対応関係を示すためのものであるが、設定者が新しいラベルを割り当てた場合に、その新しいラベルを参照先として記述する。このように、「旧参照」とは別に「新参照」を記述するため、一旦新しいラベルを割り当てた後であっても、「新参照」を削除し、「旧参照」の記述に基づいて、元の状態に容易に戻すことができる。
パーミッションオブジェクトには、この他に「パーミッションなし」、「RWC」、「RWX」のパターンがある。パスオブジェクトがラベルオブジェクトを介してパーミッションオブジェクトと関連づけられることにより、後述するように、図19や図20のようなツリー構造表示において、パスリソースはパーミッションタイプごとに(RWXC情報と共に)色分けして表示される。
次に、図8のステップS335に進み、処理装置110は、ステップS320で取得したラベル一覧の中に、アクセス制御設定装置100により設定されたラベル(以下、「ラベルA」という。また、ラベルAの定義したラベルオブジェクトを「ラベルオブジェクトA」という。)があるか否か判定する(ステップS335)。ラベルAがない場合(ステップS335:No)、図9のステップS340に進み、処理装置110はさらにマッピングオブジェクトを参照して、図12のパターン4または5に該当する、プログラムによって動的に生成・削除されるファイルとラベルの定義したマッピングオブジェクト(以下、「マッピングオブジェクトB」という。また、マッピングオブジェクトBを定義したラベルを「ラベルB」という。)がないか検索する。マッピングオブジェクトBがなければ(S340:No)、表現形式変換処理(ステップS3)を終了する。
[ステップS4の詳細手順]
処理装置110は、ステップS3の処理により、表現形式の変換処理を終えると、設定情報を生成するための処理を行う。設定情報の生成処理(ステップS4)の詳細手順を図10に示す。
ステップS3の処理を終えると、処理装置110はリソースをツリー構造で表現した、「アクセス制御設定画面」をユーザに提示する。各リソースについて種々のパーミッション情報が得られた場合、アクセス制御設定画面に表示されるリソースは、例えば図19や図20のように、パーミッション情報RWXCとともに色分けされて表示される。
アクセス制御設定画面を提示された設定者は、アクセス制御の内容を設定(あるいは変更)したいファイルやディレクトリを指定してクリックする(ステップS410)。
クリック内容を解読した処理装置110は、図14(a)に示すアクセス制御詳細設定画面900を表示装置120に表示させる(ステップS420)。
設定者が、設定画面900に従い、「このパスのアクセス許可」の設定領域901に提示されたパーミッションの中から一つを選び、OKボタン905を押し、パーミッションの設定を行う(ステップS430)。選んだ内容をキャンセルする場合は、キャンセルボタン906を押す。
「同じアクセス許可のパス」の表示領域902には、同じアクセス許可のリソースのパスが表示される。表示領域902にリストされたリソースとは異なるアクセス制御の内容を設定するために、新しいラベルを割り当てる場合には、チェックボックス903を選択する。指定したパスの下位のリソースに同様のアクセス許可を設定する場合には、チェックボックス904を選択する。
以下、図15乃至図18を参照し、パスオブジェクトとラベルオブジェクトのタイプごとに場合分けして、アクセス制御設定作業と各オブジェクトの関係を説明する。
パスオブジェクトの新参照がいずれのラベルオブジェクトも参照していない場合、処理装置110はパスオブジェクトの旧参照にしたがってデフォルトラベルのラベルオブジェクトを参照し、ステップS430で選ばれたパーミッションに基づき、パーミッションオブジェクトのリスト構造に該当するラベルオブジェクトを追加する(図15(a)参照)。この結果、ラベルオブジェクトとパーミッションオブジェクトが関連付けられる(ステップS460)。
パスオブジェクトの新参照が参照する新ラベルのラベルオブジェクトがすでに存在する場合、処理装置110は当該ラベルオブジェクトとパーミッションオブジェクトの関連付けを、ステップ430で選ばれたパーミッションの内容に更新する(図15(c)参照)。
タイプ1は、新ラベルが付与されず、旧参照だけがデフォルトラベルを参照するパスオブジェクトである(図16のタイプ1参照)。
タイプ2は、新ラベルが付与され、旧参照はデフォルトラベルを、新参照は新ラベルを参照するパスオブジェクトである(図16のタイプ2参照)。
タイプ3は、新ラベルが付与されたリソースの子リソースを表すパスオブジェクトであって、新参照が新ラベルオブジェクトを参照することはしないが、親リソースを介して実質的に新ラベルを参照するパスオブジェクトである(図16のタイプ3参照)。
図19は、ステップS3の処理の結果、ルートディレクトリ"/"とその直下のディレクトリからなるツリー構造が、パーミッション情報なしの状態で設定者に提示され、設定者がディレクトリ802、804、806にパーミッション設定を施したものである。
図19において、ディレクトリはリソースの集合を表している。図示の例では、ディレクトリ800を最上位とする階層構造となっており、ディレクトリ804には、さらに下位層のディレクトリが存在することを示す「+」表示のボタン(画像)851が示されている。ディレクトリ813には下位層のディレクトリ814が関連付けられている。「−」表示のボタン(画像)852を押すことにより、ディレクトリ814が表示画面から消え、「−」表示が「+」表示に変わる。
ディレクトリ802は所定の色付けがなされ、且つ、「RX」が表示されている。前述したように、「R」は「読み取り許可(Read)」、「X」は「実行(execute)」であるから、ディレクトリ802には、読み取り許可と実行許可が設定されていることがわかる。また、ディレクトリ804には、別の色が付され、且つ、「RW」が設定されている。「W」は、「書き込み許可(Write)」であるから、ディレクトリ804には、読み取り及び書き込みの許可が設定されていることがわかる。同様に、ディレクトリ806には、読み取り許可のみが設定されていることがわかる。
また、一旦収集した情報を、内部のメモリに記録しておけば、情報収集のため再度同じ処理を行う必要がなくなる。
図14の(b)においてOKボタンを押した直後は、新ラベルを生成し、指定されたパーミッションオブジェクトと関連付けるが、S410で指定したファイルやディレクトリに新ラベルを割当てればよいわけではなく、S410で指定したディレクトリ以下に存在するファイルやディレクトリに対して907で指定した正規表現がマッチングするか調べ、逐次新ラベルを割当てる必要がある(S480)。
ここで再び図7乃至図9に戻り、過去にアクセス制御設定装置100による設定がなされていた場合の、表現形式変換処理(ステップS3)について説明する。
本実施形態による設定作業のためには、パスオブジェクトが前述のとおり、図16に示される3つのタイプで表現されていなければならない。しかし、いったん設定作業を終えて設定内容をアクセスポリシに反映してしまうと、リソースと直接関連するラベル情報は新ラベルに置き換わり、“ls−Z”コマンドでラベル情報を読み込むだけでは、タイプ1(旧参照のみがデフォルトラベルオブジェクトを参照)は再現されるが、タイプ2(旧参照がデフォルトラベルオブジェクトを、新参照が新ラベルオブジェクトを参照するもの)とタイプ3(タイプ2の子ノード)のパスオブジェクトが再現されない。以下、タイプ2とタイプ3のパスオブジェクトを再現する手順を、図7、図17及び図18を用いて説明する。
次に、図8に移り、処理装置110は、ステップ320で取得したラベルがアクセス制御設定装置100が付与したものか否かを判定する。アクセス制御設定装置100が生成したラベルAがあった場合(ステップS335:Yes)、処理装置110はさらにラベルオブジェクトAと関連付けられたパスオブジェクトが、過去に新ラベルを割り当てた親ノードなのか、その子ノードなのか判定する(ステップS345)。パスオブジェクトの名前がマッピングオブジェクトのパスと一致すれば親ノードであり、一致しなければ子ノードである。
まずタイプ2(図17(a))について見ると、"/boot"はマッピングオブジェクト(図17(c))のパス"/boot"と一致するので親ノードであり、この場合は当該パスオブジェクトの新参照にも同じ(新ラベルの)ラベルオブジェクトを参照させる(図17(d):ステップS350)。
ついで、処理装置110は、新ラベルを参照するパスオブジェクトの旧参照と、その親ノードのパスオブジェクトの旧参照とを一致させる(親に従わせる:ステップS355)。すなわち、図18(a)のように"/boot"の親ディレクトリ"/"のパスオブジェクトの旧参照がデフォルトラベルオブジェクト"boot_t"を参照している場合、タイプ2は図18(b)のようになり、タイプ2(図16のタイプ2)が再現される。
また、旧参照のみが新ラベルオブジェクトを参照していたタイプ3(図17(b))の場合は、親ノード("/boot")の旧参照がデフォルトラベルオブジェクト"boot_t"を参照することになったので、図18(c)のようになり、やはりタイプ3(図16のタイプ3)が再現される。
以上の結果、処理装置110は図13に示したような、パスオブジェクト、ラベルオブジェクト、パーミッションオブジェクトの再構成を完了し、ラベルオブジェクトを介して結合されたパーミッションオブジェクトの種類にしたがって、パスオブジェクトが指示するリソースに色づけを行う(ステップS370)。
動的に生成・消滅するファイルBとラベルBの定義がある場合(ステップS340:Yes)、処理装置110はさらにパスオブジェクトを確認し、動的なファイルBがある場合は(ステップS375:Yes)、対応するラベルBをキーにアクセス制御ルールを検索し、ラベルBに関するパーミッション情報を取得する(ステップS380)。処理装置110は得られたパーミッション情報に基づいてラベルオブジェクトBとパーミッションオブジェクトを関連づけ(ステップS385)、パーミッションオブジェクトの種類にしたがって、動的リソースに色付けを行う(ステップS390)。
これにより、過大なアクセス制限が設定されていたり、あるリソースに対しては必要以上に厳しいアクセス制限がなされているなど、ゆる過ぎたり厳しすぎたりする設定がなされている状況の把握が容易になり、端末装置200のセキュアOSを使用する際の初期学習効果を軽減することができる。また、ラベル表現形式でアクセス制御の設定を行った設定者がいなくなった場合でも、階層構造の表現形式に慣れた者が容易に既存の設定内容を把握できるという利点も生じる。
Claims (6)
- それぞれ、他のリソースと階層的に関連付けられ、且つ、所定のグループに分類可能な状態で存在し、分類されたときはグループ単位でアクセス制御の設定がなされる複数のリソースに対してアクセス可能な端末装置と接続する接続手段と、
接続された前記端末装置から、階層構造を表す情報と各々のリソースのIDとを含む第1情報、各々のリソースがどのグループに分類されたかをそのグループ名と共に表す第2情報、及び、各々のグループについて非パス表現形式で設定されたアクセス制御の内容を表す第3情報を取得する情報取得手段と、
取得した第1〜第3情報を所定のメモリに保持するメモリ手段と、
前記メモリに保持されている情報のうち、前記第1情報により特定される各階層のリソースのIDと、前記第2情報により特定されるそのリソースが属するグループ名とをリンクさせ、さらに、各グループ名と、前記第3情報により特定されるそのグループに設定されたアクセス制御の内容とをリンクさせることにより、当該アクセス制御の設定内容をパス表現形式のものに変換する変換手段と、
変換された設定内容を所定の表示装置に表示させるとともに、前記設定内容が同一となる複数のリソースについては同一の態様で表示させる表示制御手段とを有する、
アクセス制御設定装置。 - 前記アクセス制御の設定内容の変更または指定を受け付ける受付手段と、
この受付手段で受け付けた変更または指定の内容に従って前記メモリに保持されている第2及び第3情報を更新する設定情報更新手段と、
更新された前記第2及び第3情報を前記端末装置に出力するための制御を行う出力制御装置とをさらに有しており、
前記表示制御手段は、前記第2及び第3情報を更新したときは更新内容に従って前記表示装置における表示態様を変化させる、
請求項1記載のアクセス制御設定装置。 - 前記設定情報更新手段は、前記第2及び第3情報を更新する際に更新前の第2及び第3情報を保持し、更新後の第2及び第3情報に代えて更新前の第2及び第3情報に復帰可能にする、
請求項2記載のアクセス制御設定装置。 - 前記変換手段は、前記表示装置に表示される範囲内で、リソース毎、階層毎またはグループ毎の前記第1〜第3情報を前記メモリより読み出し、読み出した情報に基づいて前記アクセス制御の内容をパス表現形式のものに変換する、
請求項1,2または3記載のアクセス制御設定装置。 - それぞれ、他のリソースと階層的に関連付けられ、且つ、所定のグループに分類可能な状態で存在し、分類されたときはグループ単位でアクセス制御の設定がなされる複数のリソースに対してアクセス可能な端末装置と接続されるアクセス制御設定装置が実行する方法であって、
前記端末装置から、階層構造を表す情報と各々のリソースのIDとを含む第1情報、各々のリソースがどのグループに分類されたかをそのグループ名と共に表す第2情報、及び、各々のグループについて非パス表現形式で設定されたアクセス制御の内容を表す第3情報を取得し、取得した第1〜第3情報を所定のメモリに保持する段階と、
前記メモリに保持されている情報のうち、前記第1情報により特定される各階層のリソースのIDと、前記第2情報により特定されるそのリソースが属するグループ名とをリンクさせ、さらに、各グループ名と、前記第3情報により特定されるそのグループに設定されたアクセス制御の内容とをリンクさせることにより、当該アクセス制御の設定内容をパス表現形式のものに変換する段階と、
変換された設定内容を所定の表示装置に表示させるとともに、前記設定内容が同一となる複数のリソースについては同一の態様で表示させるための表示制御を行う段階とを有する、方法。 - それぞれ、他のリソースと階層的に関連付けられ、且つ、所定のグループに分類可能な状態で存在し、分類されたときはグループ単位でアクセス制御の設定がなされる複数のリソースに対してアクセス可能な端末装置、及び、前記アクセス制御の設定を行う者が視認可能な表示装置と接続される、メモリを有するコンピュータを、
前記端末装置から、階層構造を表す情報と各々のリソースのIDとを含む第1情報、各々のリソースがどのグループに分類されたかをそのグループ名と共に表す第2情報、及び、各々のグループについて非パス表現形式で設定されたアクセス制御の内容を表す第3情報を取得する情報取得手段、
取得した第1〜第3情報を前記メモリに保持するメモリ手段、
前記メモリに保持されている情報のうち、前記第1情報により特定される各階層のリソースのIDと、前記第2情報により特定されるそのリソースが属するグループ名とをリンクさせ、さらに、各グループ名と、前記第3情報により特定されるそのグループに設定されたアクセス制御の内容とをリンクさせることにより、当該アクセス制御の設定内容をパス表現形式のものに変換する変換手段、
変換された設定内容を前記表示装置に表示させるとともに、前記設定内容が同一となる複数のリソースについては同一の態様で表示させる表示制御手段、として機能させる、
コンピュータプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009297532A JP5427600B2 (ja) | 2009-12-28 | 2009-12-28 | アクセス制御設定装置、方法及びコンピュータプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009297532A JP5427600B2 (ja) | 2009-12-28 | 2009-12-28 | アクセス制御設定装置、方法及びコンピュータプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011138299A true JP2011138299A (ja) | 2011-07-14 |
JP5427600B2 JP5427600B2 (ja) | 2014-02-26 |
Family
ID=44349679
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009297532A Expired - Fee Related JP5427600B2 (ja) | 2009-12-28 | 2009-12-28 | アクセス制御設定装置、方法及びコンピュータプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5427600B2 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014178727A (ja) * | 2013-03-13 | 2014-09-25 | Kddi Corp | 端末、アクセス制限方法およびプログラム |
JP2017162481A (ja) * | 2017-04-04 | 2017-09-14 | Kddi株式会社 | 端末、アクセス制限方法およびプログラム |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002342143A (ja) * | 2001-05-21 | 2002-11-29 | Nippon Telegr & Teleph Corp <Ntt> | アクセス制御システム及びその処理プログラムと記録媒体 |
JP2003162449A (ja) * | 2001-11-27 | 2003-06-06 | Mitsubishi Electric Corp | アクセス統合管理システム、アクセス統合管理装置及び方法並びにプログラム |
JP2005063223A (ja) * | 2003-08-15 | 2005-03-10 | Nippon Telegr & Teleph Corp <Ntt> | セキュアファイル共有方法および装置 |
JP2005209068A (ja) * | 2004-01-26 | 2005-08-04 | Nippon Telegr & Teleph Corp <Ntt> | セキュリティサーバ |
JP2005267237A (ja) * | 2004-03-18 | 2005-09-29 | Hitachi Software Eng Co Ltd | セキュアosにおけるプロセスのアクセス権限可視化表示方法 |
-
2009
- 2009-12-28 JP JP2009297532A patent/JP5427600B2/ja not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002342143A (ja) * | 2001-05-21 | 2002-11-29 | Nippon Telegr & Teleph Corp <Ntt> | アクセス制御システム及びその処理プログラムと記録媒体 |
JP2003162449A (ja) * | 2001-11-27 | 2003-06-06 | Mitsubishi Electric Corp | アクセス統合管理システム、アクセス統合管理装置及び方法並びにプログラム |
JP2005063223A (ja) * | 2003-08-15 | 2005-03-10 | Nippon Telegr & Teleph Corp <Ntt> | セキュアファイル共有方法および装置 |
JP2005209068A (ja) * | 2004-01-26 | 2005-08-04 | Nippon Telegr & Teleph Corp <Ntt> | セキュリティサーバ |
JP2005267237A (ja) * | 2004-03-18 | 2005-09-29 | Hitachi Software Eng Co Ltd | セキュアosにおけるプロセスのアクセス権限可視化表示方法 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014178727A (ja) * | 2013-03-13 | 2014-09-25 | Kddi Corp | 端末、アクセス制限方法およびプログラム |
JP2017162481A (ja) * | 2017-04-04 | 2017-09-14 | Kddi株式会社 | 端末、アクセス制限方法およびプログラム |
Also Published As
Publication number | Publication date |
---|---|
JP5427600B2 (ja) | 2014-02-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5698429B2 (ja) | 構成要素を管理するためのコンピュータ・システム、並びにその方法及びコンピュータ・プログラム | |
US9026508B2 (en) | Document management apparatus and document management method using search folder comprising one or more parent folders | |
JP4756947B2 (ja) | 情報処理装置及び方法 | |
JP4837934B2 (ja) | フラット化された階層構造における分かりやすい名前の生成 | |
JP7231518B2 (ja) | パッケージ化支援システムおよびパッケージ化支援方法 | |
WO2017033441A1 (ja) | システム構築支援システム、方法および記憶媒体 | |
JP2010176574A (ja) | データ管理方法及び装置 | |
EP2674859A2 (en) | Computing system, method for controlling thereof, and computer-readable recording medium having computer program for controlling thereof | |
JP4882498B2 (ja) | 運用管理装置および運用管理方法ならびにプログラム | |
WO2020008991A1 (ja) | 検証自動化装置、検証自動化方法、およびコンピュータ読み取り可能な記録媒体 | |
JP2010061334A (ja) | ファイル管理システム、ファイル管理方法、およびプログラム | |
JP5427600B2 (ja) | アクセス制御設定装置、方法及びコンピュータプログラム | |
JP2011154496A (ja) | アクセス権設定プログラム、アクセス権設定装置及びアクセス権管理システム | |
CN108885444A (zh) | 信息管理装置、信息管理方法及信息管理系统 | |
JP5427599B2 (ja) | アクセス制御設定装置、方法及びコンピュータプログラム | |
JP4883315B2 (ja) | 情報漏洩分析システム | |
JP7018356B2 (ja) | ビジュアルプログラミングツールを用いてプログラムを作成することを支援する装置および方法 | |
JP2009169863A (ja) | 構成要素を管理するためのコンピュータ・システム、並びにその方法及びコンピュータ・プログラム | |
JP2010045423A (ja) | 画像形成装置、ヘルプ画面生成方法及びプログラム | |
JP5532811B2 (ja) | パーツカタログ作成支援装置、プログラム、およびパーツカタログ作成支援方法 | |
JP6251860B2 (ja) | 情報管理装置並びにファイル管理方法 | |
JP2015162200A (ja) | ファイル管理装置 | |
JP2009265902A (ja) | 文書管理装置、文書管理方法、情報処理プログラム及び記録媒体 | |
JP4175280B2 (ja) | コンピュータネットワーク管理システム、コンピュータネットワーク管理方法およびプログラム | |
JP5625757B2 (ja) | 検索条件設定装置及びその制御方法、検索条件設定システム、プログラム、プログラムを記録した記録媒体 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120220 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130306 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130319 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20130515 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130516 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20130816 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131105 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131202 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 5427600 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |