JP2014044612A - セキュリティポリシ競合解消システム、端末管理サーバ、ポリシデータ適用端末、ポリシサーバ、セキュリティポリシ競合解消方法、およびプログラム - Google Patents

セキュリティポリシ競合解消システム、端末管理サーバ、ポリシデータ適用端末、ポリシサーバ、セキュリティポリシ競合解消方法、およびプログラム Download PDF

Info

Publication number
JP2014044612A
JP2014044612A JP2012187253A JP2012187253A JP2014044612A JP 2014044612 A JP2014044612 A JP 2014044612A JP 2012187253 A JP2012187253 A JP 2012187253A JP 2012187253 A JP2012187253 A JP 2012187253A JP 2014044612 A JP2014044612 A JP 2014044612A
Authority
JP
Japan
Prior art keywords
policy
filter
terminal
policy data
control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2012187253A
Other languages
English (en)
Other versions
JP5695002B2 (ja
Inventor
Kenichiro Muto
健一郎 武藤
Ryota Sato
亮太 佐藤
Shigeru Chikara
盛 知加良
Hiroyoshi Takiguchi
浩義 瀧口
Tetsuya Okuda
哲矢 奥田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2012187253A priority Critical patent/JP5695002B2/ja
Publication of JP2014044612A publication Critical patent/JP2014044612A/ja
Application granted granted Critical
Publication of JP5695002B2 publication Critical patent/JP5695002B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

【課題】制御内容の競合をオンデマンドに検知し、制御対象を集合的に扱うようなポリシデータを適用する場合であっても効率的に競合解消を実施する。
【解決手段】ポリシサーバ3はポリシデータをポリシデータ適用端末4へ配信する。ポリシデータ適用端末4にはポリシフィルタが記憶されている。ポリシデータ適用端末4はポリシサーバ3から受信する複数のポリシデータを集約して合成ポリシを生成する。ポリシデータ適用端末4は合成ポリシとポリシフィルタに基づいてポリシフィルタの更新が必要か否かを判断し、ポリシフィルタの更新が必要と判断した場合にはポリシフィルタの更新を端末管理サーバ2へ要求する。端末管理サーバ2はポリシデータ適用端末4の要求に応じてポリシフィルタから新ポリシフィルタを生成し、ポリシデータ適用端末4に送信する。ポリシデータ適用端末4は新ポリシフィルタに従って合成ポリシから抽出したポリシデータを適用する。
【選択図】図5

Description

この発明は、端末機能を遠隔から制御するセキュリティ技術に関する。
端末機能を制御する際には、端末利用者が自身の端末機能を手動で切り替える方法や、端末機能に対する制御内容を規定したデータ(以降、ポリシデータと呼ぶ)をサーバから配信し、遠隔適用する方法が知られている。例えばMDM(Mobile Device Management)などのシステムでは、複数の端末を一元的に管理するサーバを用いてポリシデータを個々の端末に配信・適用する事により、端末機能を遠隔制御するアプローチが採用されている。
このようなアプローチは、企業で支給される業務用端末など、端末を単一のサーバで一元的に管理できる場合には有効である。しかし、端末を複数のサーバの管理下に置き、各サーバから配信されるポリシデータに基づいて端末機能の制御を行う場合には、ポリシデータに含まれる制御内容の競合が発生する問題点がある。
この問題点を解消するためには、ポリシデータに規定されている制御内容が競合した際に、その制御内容を決定する仕組みを備える必要がある。単純な方法としては、競合時に優先する制御内容の優先順位を事前に規定しておき、その優先順位に基づいて競合を解消する方法が考えられる。例えば、主にウェブサービスのアクセス制御を行う技術としてXACML(非特許文献1参照)やP3P(非特許文献2参照)などの技術が提案されている。
OASIS, "eXtensible Access Control Markup Language (XACML) Version 3.0", [online], [平成24年7月27日検索], インターネット<URL:http://docs.oasis-open.org/xacml/3.0/xacml-3.0-core-spec-cs-01-en.pdf> W3C Working Group, "The Platform for Privacy Preferences 1.1 (P3P1.1) Specification", [online], [平成24年7月27日検索], インターネット<URL:http://www.w3.org/TR/2006/NOTE-P3P11-20061113/>
端末に複数のポリシデータを適用する場合、従来技術では、制御内容の競合が発生しないように事前に準備を行う必要があった。例えば、すべてのポリシデータを事前に入手して競合を検知し、競合を解消するための優先順位を事前に設定しておく方法が考えられる。また、ポリシデータを配信するサーバ(以降、ポリシサーバと呼ぶ)間で事前協議を行い、各ポリシサーバから配信されるポリシデータを、制御内容の競合が発生しないように作成するような運用対処も考えられる。しかし、ポリシサーバが独立して運用されている場合やポリシサーバの数が多い場合、将来的にポリシサーバが増設される場合など、すべてのポリシデータを事前に知る事が難しい状況下においては、事前に競合を検知する事が難しく、競合解消の効率的な実施が困難といった課題がある。
特に、指定したアプリケーションの起動を許可し、それ以外のアプリケーションについては起動を一律に禁止するようなポリシデータ(以降、許可リストと呼ぶ)や、指定したアプリケーションの起動を禁止し、それ以外のアプリケーションの起動を許可するようなポリシデータ(以降、禁止リストと呼ぶ)がポリシサーバから配信される場合がある。それらのポリシデータには、制御対象となる機能の全てが個別には指定(記載)されていないため、制御対象が明確に規定されない。このような場合には、これら複数のポリシデータ間で発生する、同一の制御対象における制御内容の競合の有無を検知することは、個別名称をキーとした単純な制御内容の突合では行うことできない。
この発明はこのような点に鑑みてなされたものであり、ポリシデータを適用するタイミングで制御内容の競合をオンデマンドに検知し、禁止リストや許可リストのように制御対象を集合的に扱うようなポリシデータを適用する場合であっても、効率的に競合解消を実施することができるセキュリティポリシ競合解消技術を提供することを目的とする。
上記の課題を解決するために、この発明のセキュリティポリシ競合解消システムは、ポリシサーバと端末管理サーバと少なくとも1台のポリシデータ適用端末とを含み、タイムスタンプと、端末属性に関して記述される制御条件と、任意の端末機能を示す制御対象と、当該制御対象に対する設定値である制御内容とを含む複数のポリシデータをポリシサーバからポリシデータ適用端末へ配信する。ポリシデータ適用端末はポリシフィルタ記憶部と合成部と要求部と適用部とを備える。端末管理サーバは生成部を備える。ポリシデータ適用端末のポリシフィルタ記憶部には設定時刻と制御条件と制御対象と当該制御対象に対して優先的に適用されるポリシデータを示す優先ポリシとを含むポリシフィルタが記憶されている。ポリシデータ適用端末の合成部はポリシサーバから受信する複数のポリシデータを集約して合成ポリシを生成する。ポリシデータ適用端末の要求部は合成ポリシとポリシフィルタに基づいて、前記ポリシフィルタの更新が必要か否かを判断し、ポリシフィルタの更新が必要と判断した場合にはポリシフィルタの更新を端末管理サーバへ要求する。端末管理サーバの生成部はポリシデータ適用端末からの要求に応じて、ポリシフィルタを用いて新ポリシフィルタを生成し、ポリシデータ適用端末に送信する。ポリシデータ適用端末の適用部は端末管理サーバから新ポリシフィルタを受信すると、当該新ポリシフィルタに従って合成ポリシから抽出したポリシデータを適用する。
複数のポリシデータを遠隔配信して同時に適用する事を前提としたセキュリティシステムにおいて、例えば、ポリシサーバの数が多い場合、もしくは将来的にポリシサーバの設置が見込まれる場合など、ポリシデータに含まれる制御内容を事前に確認する事が難しい状況下であっても、制御内容の競合についてポリシデータを適用するタイミングでオンデマンドに検知する事ができる。また、そのタイミングで端末管理サーバへポリシフィルタの作成・追記・再承認を依頼することにより、競合した制御内容の優先順位を確定させて効率的に競合解消を実施する事ができる。
更にこの発明は、禁止リストや許可リストのように、明示的に規定されていない制御対象を集合的に扱う形式のポリシデータを取り扱う場合にも有効であり、その場合には競合の検知・解消がより一層効果的に実施できるようになる。
制御内容の競合が発生する状況を例示する図である。 制御内容の競合が発生する状況を例示する図である。 制御内容の競合が発生する状況を例示する図である。 発明の概要を説明するための図である。 セキュリティポリシ競合解消システムの機能構成を例示する図である。 端末管理サーバ、ポリシサーバ、ポリシデータ適用端末の機能構成を例示する図である。 適用フェーズの処理フローを例示する図である。 許可リスト、禁止リストのデータ構造を例示する図である。 ポリシデータ参照テーブルのデータ構造を例示する図である。 ポリシフィルタのデータ構造を例示する図である。 ポリシデータを合成する処理フローを例示する図である。 ポリシデータのデータ構造を例示する図である。 制御対象リスト、タイムスタンプリストのデータ構造を例示する図である。 補完済みポリシデータのデータ構造を例示する図である。 合成ポリシ(競合未解消)のデータ構造を例示する図である。 該当用途情報の有無を判断する処理フローを例示する図である。 ポリシフィルタを作成する処理フローを例示する図である。 優先ポリシ設定結果のデータ構造を例示する図である。 該当制御条件の有無を判断する処理フローを例示する図である。 ポリシフィルタを追記する方法を例示する図である。 ポリシ更新の有無を判断する処理フローを例示する図である。 合成ポリシの競合を解消する処理フローを例示する図である。 合成ポリシ(競合解消済み)のデータ構造を例示する図である。 承認フェーズの処理フローを例示する図である。 承認要求を作成する処理フローを例示する図である。 非優先ポリシリストのデータ構造を例示する図である。 承認要求のデータ構造を例示する図である。 ポリシフィルタを修正する処理フローを例示する図である。 優先ポリシ修正結果のデータ構造を例示する図である。
以下、この発明の実施の形態について詳細に説明する。なお、図面中において同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。
<制御内容の競合が発生する具体例>
ポリシデータに含まれる制御内容の競合が発生する問題点について、具体例を挙げて説明する。この例では、カメラ撮影に関する機能の制御をロケーションに基づいて実施するシーンを考える。このような制御は、カメラ撮影を制御するポリシデータを作成し、このポリシデータをロケーションに基づいて配信・適用して端末機能を制御する事で実現できる。また、ロケーションに基づいて端末機能の制御を行うには、制御条件として端末の利用環境を表す属性(以降、端末属性と呼ぶ)をポリシデータに加えれば良い。ロケーション情報には、GPS情報や無線LANの基地局情報など様々な情報が考えられるが、例えば企業のオフィス内に設置された無線LANアクセスポイントのSSID(Service Set Identifier)を用いる方法などが考えられる。
図1は、制御内容の競合が発生する第1の例を示す図である。企業Aが入居するビル内で、企業Aがポリシデータを作成して配信する。企業Aのロケーション内ではカメラ撮影を許可するが、特定ロケーションについてはカメラ撮影を禁止する。この例の場合、制御条件は「企業Aのロケーション」又は「企業Aの特定ロケーション」、制御対象は「カメラ機能」、制御内容は「起動許可」又は「起動禁止」となるが、仮にロケーション情報にSSIDを用いたとすると、ビル内には企業Aのロケーション内に特定ロケーションが存在する事になるため、各無線LANの電波の到達範囲が重複することが想定され、特定ロケーション内に端末が存在した場合は、制御内容が競合する問題が発生する。
図2は、制御内容の競合が発生する第2の例を示す図である。企業Aと企業Bが同居するビル内で、企業Aと企業Bが独立にポリシデータを作成して配信する。どちらのデータも、ビルのロケーションに基づいた制御を規定するポリシデータとしており、企業Aのポリシデータではカメラ撮影を許可し、企業Bのポリシデータではカメラ撮影を禁止する。この例の場合、制御条件は「ビルのロケーション」、制御対象は「カメラ機能」、制御内容は「起動許可」又は「起動禁止」となるが、仮にロケーション情報にSSIDを用いたとすると、企業Aと企業Bは同一のビルのロケーションに存在する事になるため、そのビルのロケーション内に端末が存在した場合は、制御内容が競合する問題が発生する。
図3は、制御内容の競合が発生する第3の例を示す図である。企業Aのビルと企業Bのビルが隣接する環境下において、企業Aと企業Bが独立にポリシデータを作成して配信する。企業Aのロケーション内ではカメラ撮影を許可するが、企業Bのロケーション内ではカメラ撮影を禁止する。この例の場合、制御条件は「企業Aのロケーション」又は「企業Bのロケーション」、制御対象は「カメラ機能」、制御内容は「起動許可」又は「起動禁止」となるが、仮にロケーション情報にSSIDを用いたとすると、企業Aと企業Bのビルが隣接しているため各無線LANの電波の到達範囲が重複することが想定され、その到達範囲が重複するロケーション内に端末が存在した場合は、制御内容が競合する問題が発生する。
上記の例はロケーション情報の例であるが、利用環境はロケーション情報以外にも時間や端末所有者など様々な制御条件の下で制御内容の競合が発生し得る。
<従来のセキュリティポリシ競合解消技術の説明>
非特許文献1に記載されているXACMLは、ウェブサービス上のデータリソースに対するアクセス制御を行うための言語仕様である。XACMLでは、制御対象、制御内容、及び制御条件が記述されたルールと呼ばれるポリシデータに基づいてリソースに対する認可制御が行われる。複数ルールを結合してひとつのルールにまとめる事ができる機能を備えており、指定したルール結合アルゴリズムに従ってルール結合後の制御内容を決定する事により、ルール結合時の制御内容の競合を解消する事ができる。ルール結合アルゴリズムは、例えば、複数ルール内の制御内容において、アクセス許可とアクセス拒否が競合した場合はアクセス許可を優先する、などとすることができる。
非特許文献2に記載されているP3Pは、端末上のプライバシ情報に対するアクセス制御を行うための技術である。P3Pでは、提供を許可するプライバシ情報の項目を事前に端末に設定しておき、ウェブサービスからプライバシ情報の要求が発生した時には、その設定に基づいて端末側からのプライバシ情報の提示を行う。許可されている項目以外のプライバシ情報については、ウェブサービスからの要求を拒否し、許可されていないプライバシ情報が要求されている事を端末側に提示する。P3Pでは、常に端末側の設定を優先する技術仕様により、プライバシ情報に関するウェブサービスからの要求と端末側の設定の競合を解消する事ができる。
<課題の詳細な説明>
この発明が解決しようとする課題について、上述の従来技術を踏まえてより具体的に説明する。
第1の課題は、特定の条件下では制御内容の競合を解消することができず、ポリシデータに基づいた端末機能の制御ができないことである。すなわち、XACMLの例では、先に述べたように事前に結合対象とするルールを入手する事が困難な状況下においては、その制御内容を知る事が出来ず指定すべきルール結合アルゴリズムを適切に判断する事が難しい。また、P3Pの例では、ウェブサービスから要求されるプライバシ情報が不明確な状況下においては要求対象となるプライバシ情報の項目を特定することが出来ず、提示可能なプライバシ情報の設定を端末側で実施する事が難しい。つまり、次に述べる条件1)〜3)を満たす状況下では制御内容の競合を検知・解消する事ができず、ポリシデータに基づいた端末機能の制御が出来ない。
条件1)制御条件(例えば、ロケーション情報)、制御対象(例えば、カメラ機能)、制御内容(例えば、起動許可/禁止)が明確に規定されているポリシデータが存在する。
条件2)複数のポリシデータ間で、同時に満足し得る制御条件において、同一の制御対象に対し、異なる制御内容が指定されている。
条件3)複数のポリシデータの作成者が多岐にわたるなどの理由により、それらのポリシデータにおける制御内容の競合を、事前に、すなわちポリシデータを端末に適用しようとするタイミングより前に、解消できない。
この発明は上記課題を解決するために考案されたものであり、条件1)〜3)を満たす状況下において、端末側にポリシデータを適用する際にオンデマンドに制御内容の競合を検知する方法を提供する。更に、当該端末を管理するサーバ(以降、端末管理サーバと呼ぶ)をポリシサーバとは別に設け、競合時の優先順位の設定を当該サーバに依頼する仕組みを導入する事により、当該端末における制御内容の競合を解消する方法を提供する。
上記の例では、条件1)として制御対象、制御内容、制御条件が明確に規定されているポリシデータを扱う場合の課題を説明したが、条件1)が下記の条件1’)のような状況下であった場合には第1の課題はより一層深刻なものとなる。
条件1’)ある制御条件(例えば、ロケーション情報)において、明確に規定されていない制御対象(例えば、カメラ機能)に対する制御内容(例えば、起動許可/禁止)を一律に定めるポリシデータが存在する。
例えば、禁止リストや許可リストがポリシサーバから配信される場合、それらのポリシデータには、制御対象となる機能の全てが個別には指定(記載)されていない。このような場合には、これら複数のポリシデータ間で発生する、同一の制御対象における制御内容の競合の有無を検知することは、制御対象の個別名称が具体的に記載されていないために、個別名称をキーとした単純な制御内容の突合では行うことできない。これが、第2の課題である。
この発明は上記課題の解決にも貢献するものであり、禁止リストや許可リストのように制御対象を集合的に扱うようなポリシデータを適用する場合であっても、競合の検知・解消を効率的に実施する仕組みを提供する。
<発明のポイント>
図4を参照して、この発明のポイントを説明する。この発明では適用するべきポリシデータが複数存在する場合にはポリシデータの合成を行う。複数のポリシデータの間で制御内容の競合がある場合にはポリシフィルタを適用して競合の解消を行う。ポリシフィルタを適用する際には端末にあらかじめ設定された用途情報に対するポリシフィルタが存在するか否かを確認する。該当用途情報が存在しない場合にはポリシフィルタの作成を行う。該当用途情報が存在する場合には自らの端末属性に合致する制御条件が存在するか否かを確認する。該当制御条件が存在しない場合にはポリシフィルタの追記を行う。該当制御条件が存在する場合にはポリシの更新があったか否かを確認する。ポリシの更新があった場合にはポリシフィルタの再承認を行う。このようにポリシフィルタの作成・追記・再承認に関する契機を、用途情報や端末属性、ポリシデータの更新の有無に応じて検知することにより、オンデマンドな優先順位設定を可能とする。
なお、従来技術ではポリシデータの合成、該当用途情報の有無の確認、該当制御条件の有無の確認、ポリシ更新の有無の確認はいずれも行う術がなく、優先ポリシをオンデマンドに決定することができなかった。
[実施形態]
<構成>
図5を参照して、この発明に係るセキュリティポリシ競合解消システム10の構成例を説明する。セキュリティポリシ競合解消システム10は、端末管理サーバ2とM台のポリシサーバ31〜3M(Mは1以上の自然数)とN台のポリシデータ適用端末41〜4N(Nは1以上の自然数)を含む。端末管理サーバ2とM台のポリシサーバ31〜3MとN台のポリシデータ適用端末41〜4Nはネットワーク1に接続される。ネットワーク1は、接続される各装置が相互に通信可能なように構成されていればよく、例えばインターネットやLAN、WANなどで構成することができる。
図6を参照して、セキュリティポリシ競合解消システム10に含まれる各装置の構成例を説明する。図6(A)に端末管理サーバ2の構成例を示す。端末管理サーバ2は生成部21と承認要求部22と要求修正部23を備える。生成部21は作成手段211と追記手段212と再承認手段213を備える。図6(B)にポリシサーバ3の構成例を示す。ポリシサーバ3は配信部31と承認回答部32とポリシデータ記憶部39を備える。図6(C)にポリシデータ適用端末4の構成例を示す。ポリシデータ適用端末4は取得部41と合成部42と要求部43と適用部44とポリシフィルタ記憶部49を備える。要求部43は作成要求手段431と追記要求手段432と再承認要求手段433を備える。ポリシデータ記憶部39とポリシフィルタ記憶部49は例えば、RAM(Random Access Memory)などの主記憶装置、ハードディスクや光ディスクもしくはフラッシュメモリ(Flash Memory)などの半導体メモリ素子により構成される補助記憶装置、などにより構成することができる。
端末管理サーバ2は、ポリシデータ適用端末41〜4Nを管理するサーバであり、ポリシデータ適用端末41〜4Nにおいて複数のポリシデータを適用する際、制御内容が競合するときの優先順位に関する設定要求を受け付け、競合したポリシデータに対する優先順位の設定を制御対象毎に行う。これにより、当該ポリシデータ適用端末41〜4Nにおける制御内容の競合解消を行う。
ポリシサーバ31〜3Mは、ポリシデータを配信するサーバであり、事前に定義・生成したポリシデータをポリシデータ適用端末41〜4Nに配信する。
ポリシデータ適用端末41〜4Nは、ポリシデータを適用する端末であり、ポリシデータに規定された内容に従って端末機能の制御を行う。また、複数ポリシのポリシデータを適用する際には制御内容に関する競合検知を行う。
<適用フェーズ>
図7を参照して、セキュリティポリシ競合解消システム10の実行する適用フェーズの動作例を、実際に行われる手続きの順に従って説明する。適用フェーズとは、ポリシデータ適用端末41〜4Nがポリシサーバ31〜3Mから複数のポリシデータを取得し、それらのポリシデータを同時に適用した際に、制御内容の競合検知、及び競合解消を行う一連の手順である。
ポリシサーバ31〜3Mの備えるポリシデータ記憶部39には、ポリシデータが記憶されている。ポリシデータは、ポリシデータが作成された時刻が記憶されているタイムスタンプと、端末属性を用いてポリシデータの適用条件を規定する制御条件と、制御の対象とする端末機能を規定する制御対象と、制御対象とした端末機能に対する制御内容を含む。このポリシデータを用いた端末機能の制御方法には様々なバリエーションが考えられるが、以下の説明では、端末属性を在圏の無線LANアクセスポイントのSSIDとして、制御条件をロケーション識別子であるSSIDに関して記述されているものとし、制御対象をアプリケーションとし、制御内容を起動許可もしくは起動禁止のいずれかである起動権限であるとする。
図8にポリシデータの具体例を示す。図8(A)は許可リストの例であり、図8(B)は禁止リストの例である。ポリシデータは、一つの「制御条件」に対して複数の「制御対象」がリスト化されており、リストに明示的に規定された制御対象に対する制御内容と、それ以外の制御対象に対する制御内容が規定されている。図8において、それ以外の制御対象は制御対象が「other」の項目である。端末属性が制御条件を満足した場合に、制御対象の端末機能に対し、制御内容に沿った制御を行う。タイムスタンプには、ポリシデータの作成時刻が記録されている。図8(A)の例では、端末属性が「SSID=XX」を満たす場合には、制御対象である「APP1」「APP3」は起動が許可されるが、その他の制御対象は起動が禁止されることを示している。図8(B)の例では、端末属性が「SSID=YY」を満たす場合には、制御対象である「APP2」「APP4」は起動が禁止されるが、その他の制御対象は起動が許可されることを示している。
以降、図8に示したような許可リスト及び禁止リストをポリシデータの例として説明を進めるが、この発明の趣旨はポリシデータの例や制御対象の例に限定されない事に留意されたい。例えば、「制御対象」が明確に規定されているポリシデータの場合、図8のポリシデータとは異なり「otherの項目が存在しない」「制御対象毎に制御内容が規定される」などの違いがあり得るが、このようなポリシデータであってもこの発明は応用可能である。また、端末機能の制御に限らず、端末内のデータリソースへのアクセス制御にも応用可能である事も併せて留意されたい。
ポリシデータ適用端末41〜4Nは、用途情報と端末属性とポリシデータ適用テーブルをあらかじめ保持している。用途情報は、端末の利用目的に応じて設定する情報であり、端末の利用目的を識別するための情報である。例えば、「特定企業下の業務目的での端末利用」や「子供向けでの端末利用」などである。用途情報は事前にポリシデータ適用端末41〜4Nに設定しておくものとする。例えば、そのポリシデータ適用端末41〜4Nの利用者が設定するなどの方法が考えられる。
ある端末において利用目的が変更になった場合には用途情報を変更する。用途情報の変更手段は限定されるものではなく、どのような手段を用いてもよい。例えば、端末の利用者が変更してもよいし、端末管理サーバ2が遠隔から変更してもよい。以降では、用途情報が「特定企業下の業務目的での端末利用」である場合を例に説明を行う。
端末属性は、端末が自身の利用環境からデータを収集して保持する情報であり、端末の利用環境を識別するための情報である。複数の属性値を持つ事を許容し、利用環境の変化とともに保持する属性値が変化する。以降では、端末属性の例としてロケーション識別子(在圏の無線LANアクセスポイントのSSID)を用いた例で説明を行う。
ポリシデータ参照テーブルは、端末がポリシデータを取得するためのポリシサーバ31〜3Mのアクセス先が設定されたテーブルであり、事前にポリシデータ適用端末41〜4N内に保持しておく情報である。ポリシデータ適用端末41〜4Nがポリシデータを取得する際の条件(以降、取得条件と呼ぶ)、及び当該ポリシデータを取得するためのポリシサーバ31〜3Mのアクセス先(以降、ポリシデータ参照子と呼ぶ)が記載されている。ポリシデータを取得する際には、端末属性に含まれる属性値のうち取得条件と一致する属性値を検索し、当該取得条件に対応するポリシデータ参照子にアクセスする事で、ポリシデータ適用端末41〜4Nの利用環境に応じたポリシデータの取得を行う。ポリシデータ参照テーブルの設定手段は限定されるものでは無く、どのような手段を用いてもよい。例えば、ポリシデータ適用端末41〜4Nの利用者が設定する手段や、端末管理サーバ2から遠隔設定する手段、もしくはポリシサーバ31〜3Mが遠隔から設定する手段などが考えられる。
図9に、ポリシ参照テーブルの具体例を示す。取得条件として無線LANアクセスポイントのSSIDを、ポリシデータ参照子としてURLを用いた場合のポリシ参照テーブルの例を記載している。この場合、ポリシデータ適用端末41〜4Nが特定の無線LANアクセスポイントの圏内に入ると、その無線LANアクセスポイントのSSIDに対応したURLにアクセスし、インターネット経由でポリシデータをダウンロードする。これにより、SSIDに対応したポリシデータを取得する動作を実現する事ができる。図9の例では、「SSID=XX」の場合であれば、「ポリシデータAの取得先URL」「ポリシデータBの取得先URL」「ポリシデータCの取得先URL」からそれぞれポリシデータをダウンロードし、「SSID=YY」の場合であれば、「ポリシデータDの取得先URL」からポリシデータをダウンロードすることを示している。
ポリシデータ適用端末41〜4Nの備えるポリシフィルタ記憶部49には、ポリシフィルタが記憶されている。ポリシフィルタは、制御内容の競合が発生した際のポリシデータの優先順位が記録されたデータであり、用途情報毎に作成される情報である。端末管理サーバ2による優先順位の設定結果が制御条件毎に記録されており、ポリシフィルタをポリシデータ適用端末41〜4Nに返送して保持させることで、優先順位のオンデマンドな決定を実現する。ポリシデータ適用端末41〜4Nで保持している用途情報と端末属性、及びポリシサーバ31〜3Mから配信されているポリシデータの更新が無い限り、ポリシデータ適用端末41〜4Nでは保持しているポリシフィルタに基づいて制御内容の競合解消を行う。
図10にポリシフィルタの具体例を示す。ポリシフィルタはある用途情報毎に管理されており、1つの用途情報に対し、複数の制御条件ごとに分けて、その各制御条件下の各制御対象において優先するポリシデータを規定する優先ポリシが記述されている。図10の例では、用途情報は「企業A用途」であり、制御条件が「SSID=AA,BB,CC」の場合であれば制御対象「APP1」は「ポリシデータZ」を優先的に適用し、制御条件が「SSID=XX,YY」の場合であれば制御対象「APP1」は「ポリシデータC」を優先的に適用することを示している。ここで、制御条件が「SSID=AA,BB,CC」のように属性値がカンマ区切りで設定されている場合は、複数の無線LAN圏内(ここでは、SSIDが「AA」「BB」「CC」に設定されたアクセスポイントの電波が重複する範囲)で利用されるなどにより、複数の端末属性を保持している状況を示している。
ポリシデータ適用端末41〜4Nの備える取得部41は、ポリシデータ参照先テーブルを用いて、端末属性に対応したポリシサーバ31〜3Mへポリシデータの取得要求を送信する(S41)。ポリシサーバ31〜3Mの備える配信部31は、ポリシデータ適用端末41〜4Nからのポリシデータ取得要求に対してポリシデータ記憶部39に記憶されているポリシデータを送信する(S311〜M)。図9のポリシデータ参照先テーブルの例であれば、ポリシデータ適用端末41〜4Nは在圏の無線LANアクセスポイントのSSIDに対応したURLが示すポリシサーバ31〜3Mへポリシデータの取得要求を送信し、そのポリシサーバ31〜3Mからポリシデータが送信される事になる。ポリシデータ参照先テーブルにおいて、端末属性に対応する複数のURLが設定されており、ポリシデータ適用端末41〜4Nがポリシサーバ31〜3Mから複数のポリシデータを受信した状態になると、適用フェーズが開始される。
図7の例では、すべてのポリシデータが独立したポリシサーバ31〜3Mから配信される例を図示しているが、ポリシデータ適用端末41〜4Nが複数のポリシデータを受信すればよく、ポリシデータの配信形態はこの限りではない事に留意されたい。例えば、1台のポリシサーバ3が複数の異なるポリシデータを配信してもよいし、2台のポリシサーバ31〜32があるとして、ポリシサーバ31は3つのポリシデータを配信し、ポリシサーバ32は1つのポリシデータを配信してもよい。
ポリシデータ適用端末41〜4Nの備える合成部42は、ポリシサーバ31〜3Mから受信する複数のポリシデータを集約して合成ポリシを生成する(S42)。図11に合成部42の処理フローをより詳細に示す。まず、ポリシデータ適用端末41〜4Nは複数のポリシデータ(ポリシデータA,B,C,D)を受信する。図12に複数のポリシデータの具体例を示す。図12(A)はポリシデータAの例である。ポリシデータAは、制御条件「SSID=XX」に合致する場合に、制御対象「APP1」「APP3」は「起動許可」に設定し、その他の項目は「起動禁止」に設定することを表している。また、タイムスタンプの設定内容により、ポリシデータAが作成された時刻は「2012.4.30」であることも表している。図12(B)はポリシデータB、図12(C)はポリシデータC、図12(D)はポリシデータDである。これらもポリシデータAと同様に設定されているため、詳細な説明は省略する。
まず合成部42は、取得した複数のポリシデータ(ポリシデータA,B,C,D)を比較して各ポリシデータから制御対象を抽出することで制御対象リストを生成する(S421)。図13(A)に制御対象リストの具体例を示す。図13(A)の例では、制御対象に記載されている「APP1」「APP2」「APP3」「APP4」が、ポリシデータA,B,C,Dのいずれかに明示的に設定されていることを示している。
次に合成部42は、制御対象リストを各ポリシデータにフィードバックして、各ポリシデータに規定されている制御対象を補完することで補完済みポリシデータを生成する(S4221〜4)。これにより、あるポリシデータで明示的に規定されている制御対象について、別のポリシデータにおいても当該制御対象が明示的に規定されるようにする。図14に補完済みポリシデータの具体例を示す。図14(A)は図12(A)に示すポリシデータAを図13(A)に示す制御対象リストを用いて補完した補完済みポリシデータAの例である。図12(A)に示すポリシデータAでは「APP2」「APP4」は明示的に指定されていなかったが、図13(A)に示す制御対象リストに存在するため「APP2」「APP4」が追加されている。追加する制御対象に対する制御内容は、その他の項目を表す「other」に対する制御内容と同じ「起動禁止」が設定される。図14(B)は補完済みポリシデータB、図14(C)は補完済みポリシデータC、図14(D)は補完済みポリシデータDである。これらも補完済みポリシデータAと同様に設定されているため、詳細な説明は省略する。
その後合成部42は、複数の補完済みポリシデータを集約して、複数のポリシデータを同時に適用しようとした際の「制御条件」「制御対象」「制御内容」を規定した競合未解消の合成ポリシを生成する(S423)。制御対象が明示的に規定されていない項目については、その他の項目(制御対象がotherの項目)について制御内容の競合が発生しているとみなし、同様に集約を行う。この際、同一の制御条件と制御対象に対して、制御内容に「起動許可」「起動禁止」の両方が含まれる場合、すなわち競合が生じる場合がある。そこで、以降の処理でポリシフィルタを利用して制御内容の優先順位を決定する。図15に競合未解消の合成ポリシの具体例を示す。制御条件「SSID=XX,YY」に合致する場合に、制御対象「APP1」を「起動許可」にするポリシデータは「ポリシデータA,D」であり、「起動禁止」にするポリシデータは「ポリシデータB,C」であることを表している。
また合成部42は、ポリシデータの更新を以降の処理で検出できるようにするために、各ポリシデータのタイムスタンプを集約してタイムスタンプリストを生成する(S424)。図13(B)にタイムスタンプリストの具体例を示す。図13(B)の例では、「ポリシデータA」が「2012.4.30」に作成されたものであり、「ポリシデータB」が「2012.5.30」に作成されたものであり、「ポリシデータC」が「2012.6.30」に作成されたものであり、「ポリシデータD」が「2012.7.30」に作成されたものであることを表している。
ポリシデータ適用端末41〜4Nの備える要求部43は、合成部42の生成する合成ポリシとポリシフィルタ記憶部49に記憶されているポリシフィルタに基づいて、ポリシフィルタの更新が必要か否かを判断する。ポリシフィルタの更新が必要と判断した場合にはポリシフィルタの更新を端末管理サーバ2へ要求する。要求部43は、作成要求手段431と追記要求手段432と再承認要求手段433を備えており、各手段を順に実行する。
端末管理サーバ2の生成部21は、ポリシデータ適用端末41〜4Nからの要求に応じて、その要求と同時に受信するポリシフィルタを用いて新ポリシフィルタを生成する。生成した新ポリシフィルタは、そのポリシフィルタの更新を要求してきたポリシデータ適用端末41〜4Nに送信する。生成部21は、作成手段211と追記手段212と再承認手段213を備えており、ポリシデータ適用端末41〜4Nからの要求の種類に応じて実行する手段を選択する。
ポリシデータ適用端末41〜4Nの要求部43が備える作成要求手段431は、用途情報毎に作成されているポリシフィルタを検索し、自身にあらかじめ設定されている用途情報に合致するポリシフィルタが存在するか否かを判定する。該当用途情報に対するポリシフィルタが存在しない場合には、合成ポリシとその用途情報を含む優先度設定要求を端末管理サーバ2へ送信する(S431)。図16に作成要求手段431の処理フローをより詳細に示す。作成要求手段431は、ポリシフィルタ記憶部49に記憶されているポリシフィルタに含まれている用途情報が、自身が保持している用途情報と一致するか否かを調べる(S4311)。一致していなければ、合成ポリシと用途情報を含む優先度設定要求を端末管理サーバ2に送信し、ポリシフィルタの作成を要求する(S4312)。
端末管理サーバ2の生成部21が備える作成手段211は、ポリシデータ適用端末41〜4Nから受信した優先度設定要求に含まれる合成ポリシに対し、制御条件に対する優先順位を用途情報に基づいて設定し、その設定結果をもとに新ポリシフィルタを作成する(S211)。これにより、ポリシデータ適用端末41〜4Nに適用するポリシデータの優先順位を設定し、その際の用途情報と制御条件、及び制御内容を対応付けて新ポリシフィルタに記録する。図17に作成手段211の処理フローをより詳細に示す。図10に示した通り、ポリシフィルタは用途情報毎に管理されており、1つの用途情報に対し複数の制御条件ごとに分けて、その各制御条件下の各制御対象において優先するポリシデータ(以下、優先ポリシと呼ぶ)が記述されている。具体的なポリシフィルタの作成方法としては、ポリシデータ適用端末41〜4Nから送付された用途情報をもとに、合成ポリシに含まれる制御対象毎に優先ポリシを選択することで、優先ポリシ設定結果を生成する(S2111)。例えば、端末管理サーバ2の管理者が用途情報を参考にしながら手動で暫定的な選択を行うなどの方法が考えられる。その後、優先ポリシ設定結果から新ポリシフィルタを作成し、ポリシデータ適用端末41〜4Nに返送する(S2112)。図18に優先ポリシ設定結果の具体例を示す。図18の例では、制御条件「SSID=XX,YY」に合致する場合は制御対象「APP1」に対して制御内容が「起動禁止」に設定されている「ポリシデータC」を優先することを表している。
ポリシデータ適用端末41〜4Nの要求部43が備える追記要求手段432は、ポリシフィルタに含まれる制御条件と自身が取得した端末属性とを突合し、その値が合致するかどうかを検出する。自身が取得した端末属性に合致する制御条件がポリシフィルタに含まれていない場合には、ポリシフィルタと合成ポリシと用途情報を含む優先度追加設定要求を端末管理サーバ2へ送信する(S432)。これにより、制御条件に応じた優先順位の設定結果の記録の有無を確認し、ポリシフィルタへの優先順位の追記の要否を判定する。図19に追記要求手段432の処理フローをより詳細に示す。追記要求手段432は、ポリシフィルタ記憶部49に記憶されているポリシフィルタについて、自身が保持している端末属性と一致する制御条件が、そのポリシフィルタに含まれるか否かを調べる(S4321)。該当端末属性と一致する制御条件が含まれていなければ、ポリシフィルタと合成ポリシと用途情報を含む優先度追加設定要求を端末管理サーバ2に送信し、ポリシフィルタへの必要な項目の追記を要求する(S4322)。
端末管理サーバ2の生成部21が備える追記手段212は、作成手段211と同様に制御条件に対する優先順位を設定し、ポリシデータ適用端末41〜4Nから受信した優先度追加設定要求に含まれるポリシフィルタにその内容を追記する。これにより、ポリシデータ適用端末41〜4Nに適用するポリシデータの優先順位を設定し、その際の用途情報と制御条件、及び制御内容を対応付けてポリシフィルタに追記することで、新ポリシフィルタを生成する。図20を参照して、追記手段212の処理内容をより詳細に説明する。追記手段212は、作成手段211と同様に、合成ポリシに対する優先ポリシを制御対象毎に選択することで優先ポリシ設定結果を生成する。その後、合成ポリシに含まれる制御条件を抽出し、ポリシデータ適用端末41〜4Nから受信した優先度追加設定要求に含まれるポリシフィルタに、ポリシデータ設定結果の情報を追記する。図20の例では、ポリシデータ適用端末41〜4Nから受信したポリシフィルタには制御条件が「SSID=AA,BB,CC」のみであったが、図18に例示されている優先ポリシ設定結果に基づいて制御条件が「SSID=XX,YY」である情報が追記されたことを表している。
ポリシデータ適用端末41〜4Nの要求部43が備える再承認要求手段433は、合成部42が作成したタイムスタンプリストと、自身で保持しているポリシフィルタ内に記録されている時刻(以降、設定時刻と呼ぶ)との比較を行う。設定時刻よりも新しいタイムスタンプがタイムスタンプリスト内に存在した場合には、ポリシデータが古くなったとみなし、自身で保持しているポリシフィルタと合成ポリシと用途情報を含む再承認要求を端末管理サーバ2へ送付する(S433)。これにより、ポリシデータの更新検知を行う。ポリシフィルタに記録されている優先順位がポリシデータに比べて相対的に古くなっていた場合には、当該ポリシフィルタの継続利用の承認処理を端末管理サーバ2に依頼する。図21に再承認要求手段433の処理フローをより詳細に示す。再承認要求手段433は、ポリシフィルタ記憶部49に記憶されているポリシフィルタに含まれる設定時刻と、合成部42が作成したタイムスタンプリスト内の時刻を比較することにより、優先順位を設定した時刻以降にポリシデータの更新が発生したか否かの検知を行う(S4331)。ポリシフィルタ内には制御条件に対応した設定時刻が含まれているが、この時刻よりも新しい時刻がタイムスタンプリストに少なくとも1つ含まれている場合には、当該制御条件に対する優先度設定結果が古くなったとみなし、この用途情報に関するポリシフィルタを更新するために、ポリシフィルタと合成ポリシと用途情報を含む再承認要求を端末管理サーバ2に送信する(S4332)。
端末管理サーバ2の生成部21が備える再承認手段213は、ポリシデータ適用端末41〜4Nから受信した再承認要求に含まれるポリシフィルタから新ポリシフィルタを生成し、新ポリシデータをポリシデータ適用端末41〜4Nに送信する(S213)。新ポリシフィルタは、ポリシフィルタに含まれる情報から制御条件が端末属性に合致する情報を抽出し、設定時刻を現在時刻に更新することで生成する。生成した新ポリシフィルタについて、ポリシサーバ31〜3Mの合意を得るために、承認フェーズの処理を実施してもよい。承認フェーズの処理はシステムの運用形態に応じて省略してもよい。例えば、そもそも承認を必要としない運用とすることもできるし、単に競合が発生していることを端末管理サーバ2へ通知するのみのシステムとして構成することもできる。承認フェーズの処理内容については、後述する。
ポリシデータ適用端末41〜4Nの備える適用部44は、端末管理サーバ2から返送された新ポリシフィルタがあれば、その新ポリシフィルタに従い、新ポリシフィルタがなければ、ポリシフィルタ記憶部49に記憶されているポリシフィルタに従って、合成ポリシの制御内容の優先順位を制御対象毎に決定する(S44)。これにより、合成ポリシに含まれる制御内容の競合を解消する。図22に適用部44の処理フローをより詳細に示す。適用部44は、新ポリシフィルタを合成ポリシに対して適用し、制御対象毎に優先順位を決定する。新ポリシフィルタから端末属性に合致する制御条件、制御対象、及び優先ポリシを抽出し、合成ポリシの各制御内容について、優先ポリシ以外のポリシデータの制御内容を削除する(S441)。これにより、制御内容の競合が解消される。図23に競合解消後の合成ポリシの具体例を示す。図23の例では、制御条件「SSID=XX,YY」に合致する場合に、制御対象「APP1」は「ポリシデータC」を優先して「起動禁止」とし、制御対象「APP2」は「ポリシデータB」を優先して「起動許可」とすることを表している。
その後、ポリシデータ適用端末41〜4Nは、この競合解消後の合成ポリシに従って自身の端末機能の制御を実施する。
<承認フェーズ>
図24を参照して、セキュリティポリシ競合解消システム10の実行する承認フェーズの動作例を、実際に行われる手続きの順に従って説明する。承認フェーズとは、端末管理サーバ2の生成する新ポリシフィルタにより決定される制御内容について、ポリシサーバ31〜3M同士の認識を一致させる一連の手順である。適用フェーズにおいて、端末管理サーバ2の生成部21が備える作成手段211または追記手段212がポリシフィルタを作成・追記する事により制御内容が競合した際の優先順位が設定されるが、ポリシフィルタを用いてポリシデータ適用端末41〜4Nで制御内容の優先順位を決定することにより、制御内容が反映されないポリシデータが生じてしまう。そこで、各制御対象についてポリシデータ適用端末41〜4Nに適用された制御内容と矛盾が生じた制御内容をポリシデータ毎に抽出してポリシサーバ31〜3Mから承認を得ることにより、ポリシサーバ31〜3Mとポリシデータ適用端末41〜4Nの間で制御内容の認識を一致させる事ができる。承認が得られなかったポリシサーバ3m(1≦m≦M)が存在した場合には、端末管理サーバ2がその回答結果をもとにポリシフィルタの修正を行い、ポリシサーバ31〜3Mへ再承認を依頼する。これにより、新ポリシフィルタを適用することで実現される制御内容について、ポリシサーバ31〜3M同士の認識を一致させるための協議を、端末管理サーバ2を介して実現することができる。
端末管理サーバ2の備える承認要求部22は、合成ポリシに対して、作成手段211又は追記手段212で作成された新ポリシフィルタ、又はポリシデータ適用端末41〜4Nの再承認要求手段433から送付されたポリシフィルタを適用し、端末に適用される制御内容とは矛盾が生じてしまう制御対象、及びポリシデータ(以降、非優先ポリシと呼ぶ)を抽出する。その抽出結果である非優先ポリシをポリシデータごとにまとめて承認要求を作成し、ポリシサーバ31〜3Mに送付する(S22)。承認要求は、ポリシデータに含まれる制御内容がポリシデータ適用端末41〜4Nに反映されなかったポリシデータを配信しているポリシサーバ31〜3Mに対してのみ送付される。これにより、ポリシフィルタの適用によって制御内容が反映されなかった制御対象について、関連するポリシサーバ31〜3Mへの通知と承認依頼を行う。図25に承認要求部22の処理フローをより詳細に示す。端末管理サーバ2の作成手段211又は追記手段212で作成されたポリシフィルタ、又はポリシデータ適用端末41〜4Nの再承認要求手段433から送付されたポリシフィルタを、同タイミングで送信されてきた合成ポリシに適用し、ポリシデータ適用端末41〜4Nで制御内容が反映されない項目を抽出する。この際、反映されない制御内容とその制御内容を規定するポリシデータをリスト化した非優先ポリシリストを生成する(S221)。図26に非優先ポリシリストの具体例を示す。図26の例は、図18に例示した優先ポリシ設定結果から優先ポリシとして選択されなかったポリシデータを抽出したものであり、例えば、制御対象「APP1」については、優先する制御内容である「起動禁止」以外の制御内容が設定されていた「ポリシデータA,D」が非優先ポリシとして記載される。
次に承認要求部22は、非優先ポリシリストをもとに承認要求を作成する(S222)。承認要求の作成では、優先されなかったポリシデータ毎に、反映されなかった制御内容、及び優先されたポリシデータを制御対象毎に列挙し、この承認要求をポリシサーバ31〜3Mに送付する。図27に承認要求の具体例を示す。図27(A)はポリシデータAに対する承認要求の例である。図27(A)の例は、図26に例示した非優先ポリシリストから非優先ポリシが「ポリシデータA」に該当する部分である、制御対象が「APP1」と「APP2」の項目を抽出したものである。図12(A)に例示したポリシデータAでは、制御対象「APP1」は制御内容「起動許可」に設定されているにも関わらず、図23に示す競合解消後の合成ポリシでは「起動禁止」に設定されており、制御内容の矛盾が生じていることがわかる。図27(B)はポリシデータBに対する承認要求である。ポリシデータBの制御内容はすべて優先ポリシの制御内容と同じであるので、承認要求は空で生成されている。ここで、「null」は値が存在しないことを表している。ポリシデータBに対する承認要求は空で生成されているため、ポリシデータBを管理するポリシサーバ3へは承認要求は送信されない。図27(C)はポリシデータCに対する承認要求、図27(D)はポリシデータDに対する承認要求である。これらもポリシデータAに対する承認要求と同様に設定されているため、詳細な説明は省略する。
ポリシサーバ31〜3Mの備える承認回答部32は、端末管理サーバ2から受信する承認要求を承認するか拒否するかを示す承認回答を端末管理サーバ2へ送信する(S321〜M)。例えば、ポリシサーバ31〜3Mの管理者が手動で承認するか拒否するかの選択を行うなどの方法が考えられる。
端末管理サーバ2の備える要求修正部23は、すべてのポリシサーバ31〜3Mから承認回答を受信するまで待機する(S23a)。すべての承認回答を受信すると、受信した承認回答の中に拒否回答が存在するか否かを判定する(S23b)。いずれかのポリシサーバ31〜3Mから拒否回答を受信した場合にはポリシフィルタの修正を行う(S23)。その後、再び承認要求部22により非優先ポリシリストの抽出が行われ、承認依頼を再実行する。これにより、新ポリシフィルタに設定されている優先順位をポリシサーバ31〜3Mが許容できない場合には、端末管理サーバ2へポリシフィルタの優先順位の再設定の要求を行う。図28に要求修正部23の処理フローをより詳細に示す。この処理は、承認要求部22が送信した承認要求に対し、ポリシサーバ31〜3Mからの拒否回答が存在した際に実行される。基本的な処理は、生成部21の備える作成手段211がポリシフィルタを作成する処理に準ずるため詳細な説明は割愛する。作成手段211との差分は、既に存在するポリシフィルタとポリシサーバ31〜3Mからの承認回答の結果をもとに、既に選択されている優先ポリシ以外の優先ポリシへの変更、及びポリシフィルタの上書きを行う点である。図29に優先ポリシ修正結果の具体例を示す。優先ポリシ修正結果は、図18に例示した優先ポリシ設定結果に対して、「承認回答」欄と「優先(修正)」欄を追加して生成する。「承認回答」欄には、現在選択されている優先ポリシを「(優先)」とし、ポリシサーバ3からの承認回答を「承認」もしくは「拒否」として提示する。なお、優先ポリシと制御内容が同一であるため承認要求が送信されなかった場合には、ポリシサーバ3からの承認回答が存在しない。その場合には、承認回答欄を「−」として提示する。そして、「優先(修正)」欄において、例えば端末管理サーバ2の管理者が、いずれかのポリシサーバから拒否された制御対象について、異なる優先ポリシを選択することで、ポリシフィルタを修正する。図29の例では、制御対象「APP1」の制御内容に対して、非優先となったポリシデータAとポリシデータDを管理するポリシサーバ3から承認回答を受信したため、既に選択されている「ポリシデータC」が修正後も優先ポリシとなることを表している。一方、制御対象「APP3」の制御内容に対しては、ポリシデータCを管理するポリシサーバ3から拒否回答を受信したため、優先するポリシデータを「ポリシデータA」から「ポリシデータC」へ変更したことを表している。
ポリシデータの修正を行った際には、承認要求部22による承認要求の作成を再度実行し、ポリシサーバ31〜3Mからの承認回答を受け付ける。これを繰り返す事により、従来、各ポリシサーバ同士で制御内容について認識を一致させるために実施していた協議を、端末管理サーバ2を介して実施できるようになる。
<効果>
この実施形態のセキュリティポリシ競合解消システム10は、複数のポリシデータを遠隔配信して同時に適用する場合であって、例えば、ポリシサーバの数が多い場合、もしくは将来的にポリシサーバの設置が見込まれたりする場合など、ポリシデータに含まれる制御内容を事前に確認する事が難しい状況下であっても、制御内容の競合についてポリシデータを適用するタイミングでオンデマンドに検知する事ができる。また、そのタイミングで端末管理サーバへポリシフィルタの作成・追記・再承認を依頼することにより、競合した制御内容の優先順位を確定させて効率的に競合解消を実施する事ができる。
更に、禁止リストや許可リストのように、明示的に規定されていない制御対象を集合的に扱う形式のポリシデータを取り扱う場合にも有効であり、その場合には競合の検知・解消がより一層効果的に実施できるようになる。
また、承認フェーズを実施するように構成した場合には、ポリシサーバ同士の事前協議を省略するといった効率化が図れる。従来技術では、ポリシデータの競合を発生させないために事前協議が必要であったが、この発明では、競合を解消するために必要な最小限の協議を、承認処理により端末管理サーバを介してオンデマンドに実施する事が可能となる。そのためポリシサーバは、当該ポリシサーバから配信するポリシデータを、事前協議を行う事無く自由に作成する事ができるようになる。
[プログラム、記録媒体]
この発明は上述の実施形態に限定されるものではなく、この発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。上記実施例において説明した各種の処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。
また、上記実施形態で説明した各装置における各種の処理機能をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記各装置における各種の処理機能がコンピュータ上で実現される。
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。
10 セキュリティポリシ競合解消システム
1 ネットワーク
2 端末管理サーバ
3 ポリシサーバ
4 ポリシデータ適用端末
21 生成部
211 作成手段
212 追記手段
213 再承認手段
22 承認要求部
23 要求修正部
31 配信部
32 承認回答部
39 ポリシデータ記憶部
41 取得部
42 合成部
43 要求部
431 作成要求手段
432 追記要求手段
433 再承認要求手段
44 適用部
49 ポリシフィルタ記憶部

Claims (12)

  1. ポリシサーバと端末管理サーバと少なくとも1台のポリシデータ適用端末とを含み、タイムスタンプと、端末属性に関して記述される制御条件と、任意の端末機能を示す制御対象と、当該制御対象に対する設定値である制御内容とを含む複数のポリシデータを前記ポリシサーバから前記ポリシデータ適用端末へ配信するセキュリティポリシ競合解消システムであって、
    前記ポリシデータ適用端末は、
    設定時刻と前記制御条件と前記制御対象と当該制御対象に対して優先的に適用されるポリシデータを示す優先ポリシとを含むポリシフィルタを記憶するポリシフィルタ記憶部と、
    前記ポリシサーバから受信する複数のポリシデータを集約して合成ポリシを生成する合成部と、
    前記合成ポリシと前記ポリシフィルタに基づいて、前記ポリシフィルタの更新が必要か否かを判断し、ポリシフィルタの更新が必要と判断した場合には前記ポリシフィルタの更新を前記端末管理サーバへ要求する要求部と、
    前記端末管理サーバから新ポリシフィルタを受信すると、当該新ポリシフィルタに従って前記合成ポリシから抽出したポリシデータを適用する適用部と、
    を備え、
    前記端末管理サーバは、
    前記ポリシデータ適用端末からの要求に応じて、前記ポリシフィルタを用いて前記新ポリシフィルタを生成し、前記ポリシデータ適用端末に送信する生成部
    を備える
    ことを特徴とするセキュリティポリシ競合解消システム。
  2. 請求項1に記載のセキュリティポリシ競合解消システムであって、
    前記ポリシフィルタは、所定の用途情報毎に作成され、
    前記ポリシデータ適用端末の要求部は、
    あらかじめ設定された用途情報に対するポリシフィルタが存在しない場合には、前記合成ポリシと当該用途情報を含む優先度設定要求を前記端末管理サーバへ送信する作成要求手段
    を備え、
    前記端末管理サーバの生成部は、
    前記ポリシデータ適用端末から前記優先度設定要求を受信すると、当該優先度設定要求に含まれる合成ポリシから当該優先度設定要求に含まれる用途情報に対する前記ポリシフィルタを作成することで前記新ポリシフィルタを生成する作成手段
    を備える
    ことを特徴とするセキュリティポリシ競合解消システム。
  3. 請求項1または2に記載のセキュリティポリシ競合解消システムであって、
    前記ポリシデータ適用端末の要求部は、
    前記ポリシフィルタに前記端末属性に合致する制御条件が存在しない場合には、前記ポリシフィルタと前記合成ポリシを含む優先度追加設定要求を前記端末管理サーバへ送信する追記要求手段
    を備え、
    前記端末管理サーバの生成部は、
    前記ポリシデータ適用端末から前記優先度追加設定要求を受信すると、当該優先度追加設定要求に含まれるポリシフィルタへ前記端末属性に合致する制御条件に対する前記制御対象と前記優先ポリシを追記することで前記新ポリシフィルタを生成する追記手段
    を備える
    ことを特徴とするセキュリティポリシ競合解消システム。
  4. 請求項1から3のいずれかに記載のセキュリティポリシ競合解消システムであって、
    前記ポリシデータ適用端末の要求部は、
    前記合成ポリシに含まれるタイムスタンプと前記ポリシフィルタに含まれる設定時刻を比較してポリシデータの更新有無を検知し、ポリシデータの更新があった場合には前記ポリシフィルタを含む再承認要求を前記端末管理サーバへ送信する再承認要求手段
    を備え、
    前記端末管理サーバの生成部は、
    前記ポリシデータ適用端末から前記再承認要求を受信すると、当該再承認要求に含まれるポリシフィルタから前記新ポリシフィルタを生成し、前記ポリシデータ適用端末に送信する再承認手段
    を備える
    ことを特徴とするセキュリティポリシ競合解消システム。
  5. 請求項1から4のいずれかに記載のセキュリティポリシ競合解消システムであって、
    前記合成部は、
    前記複数のポリシデータそれぞれに含まれる制御対象を抽出した制御対象リストを生成し、当該制御対象リストを用いて前記複数のポリシデータそれぞれを補完して、複数の補完済みポリシデータを集約することで前記合成ポリシを生成する
    ことを特徴とするセキュリティポリシ競合解消システム。
  6. 請求項1から5のいずれかに記載のセキュリティポリシ競合解消システムであって、
    前記端末管理サーバは、
    前記合成ポリシから前記新ポリシフィルタを用いて抽出した承認要求を前記ポリシサーバへ送信する承認要求部と、
    前記ポリシサーバから拒否を示す承認回答を受信すると、前記新ポリシフィルタを修正し、前記合成ポリシから再度抽出した承認要求を前記ポリシサーバへ送信する要求修正部と、
    を備え、
    前記ポリシサーバは、
    前記端末管理サーバから受信する前記承認要求を承認するか拒否するかを示す前記承認回答を前記端末管理サーバへ送信する承認回答部
    を備える
    ことを特徴とするセキュリティポリシ競合解消システム。
  7. 請求項6に記載のセキュリティポリシ競合解消システムであって、
    前記承認要求部は、
    前記新ポリシフィルタにより優先されなくなる制御内容を含むポリシデータを有する前記ポリシサーバのみへ、前記承認要求を送信する
    ことを特徴とするセキュリティポリシ競合解消システム。
  8. タイムスタンプと、端末属性に関して記述される制御条件と、任意の端末機能を示す制御対象と、当該制御対象に対する設定値である制御内容とを含む複数のポリシデータをポリシサーバから受信する少なくとも1台のポリシデータ適用端末を管理する端末管理サーバであって、
    前記ポリシデータ適用端末からの要求に応じて、前記ポリシフィルタを用いて新ポリシフィルタを生成し、前記ポリシデータ適用端末に送信する生成部
    を備え、
    前記ポリシフィルタは、設定時刻と前記制御条件と前記制御対象と当該制御対象に対して優先的に適用されるポリシデータを示す優先ポリシとを含む
    ことを特徴とする端末管理サーバ。
  9. タイムスタンプと、端末属性に関して記述される制御条件と、任意の端末機能を示す制御対象と、当該制御対象に対する設定値である制御内容とを含む複数のポリシデータをポリシサーバから受信するポリシデータ適用端末であって、
    設定時刻と前記制御条件と前記制御対象と当該制御対象に対して優先的に適用されるポリシデータを示す優先ポリシとを含むポリシフィルタを記憶するポリシフィルタ記憶部と、
    前記ポリシサーバから受信する複数のポリシデータを集約して合成ポリシを生成する合成部と、
    前記合成ポリシと前記ポリシフィルタに基づいて、前記ポリシフィルタの更新が必要か否かを判断し、ポリシフィルタの更新が必要と判断した場合には前記ポリシフィルタの更新を前記端末管理サーバへ要求する要求部と、
    前記端末管理サーバから新ポリシフィルタを受信すると、当該新ポリシフィルタに従って前記合成ポリシから抽出したポリシデータを適用する適用部と、
    を備えることを特徴とするポリシデータ適用端末。
  10. タイムスタンプと、端末属性に関して記述される制御条件と、任意の端末機能を示す制御対象と、当該制御対象に対する設定値である制御内容とを含む複数のポリシデータを、少なくとも1台のポリシデータ適用端末へ配信するポリシサーバであって、
    端末管理サーバから受信する承認要求を承認するか拒否するかを示す承認回答を当該端末管理サーバへ送信する承認回答部
    を備え、
    前記承認要求は、前記複数のポリシデータを集約した合成ポリシから設定時刻と前記制御条件と前記制御対象と当該制御対象に対して優先的に適用されるポリシデータを示す優先ポリシとを含む新ポリシフィルタを用いて抽出したものである
    ことを特徴とするポリシサーバ。
  11. タイムスタンプと、端末属性に関して記述される制御条件と、任意の端末機能を示す制御対象と、当該制御対象に対する設定値である制御内容とを含むポリシデータをポリシサーバからポリシデータ適用端末へ配信するセキュリティポリシ競合解消方法であって、
    ポリシデータ適用端末が、設定時刻と前記制御条件と前記制御対象と当該制御対象に対して優先的に適用されるポリシデータを示す優先ポリシとを含むポリシフィルタを記憶しており、
    前記ポリシデータ適用端末が、前記ポリシサーバから受信する複数のポリシデータを集約して合成ポリシを生成する合成ステップと、
    前記ポリシデータ適用端末が、前記合成ポリシと前記ポリシフィルタに基づいて、前記ポリシフィルタの更新が必要か否かを判断し、ポリシフィルタの更新が必要と判断した場合には前記ポリシフィルタの更新を端末管理サーバへ要求する要求ステップと、
    前記端末管理サーバが、前記ポリシデータ適用端末からの要求に応じて、前記ポリシフィルタを用いて前記新ポリシフィルタを生成し、前記ポリシデータ適用端末に送信する生成ステップと、
    前記端末管理サーバから新ポリシフィルタを受信すると、当該新ポリシフィルタに従って前記合成ポリシから抽出したポリシデータを適用する適用ステップと、
    を含む
    ことを特徴とするセキュリティポリシ競合解消方法。
  12. 請求項8に記載の端末管理サーバもしくは請求項9に記載のポリシデータ適用端末もしくは請求項10に記載のポリシサーバとしてコンピュータを機能させるためのプログラム。
JP2012187253A 2012-08-28 2012-08-28 セキュリティポリシ競合解消システム、端末管理サーバ、ポリシデータ適用端末、ポリシサーバ、セキュリティポリシ競合解消方法、およびプログラム Active JP5695002B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012187253A JP5695002B2 (ja) 2012-08-28 2012-08-28 セキュリティポリシ競合解消システム、端末管理サーバ、ポリシデータ適用端末、ポリシサーバ、セキュリティポリシ競合解消方法、およびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012187253A JP5695002B2 (ja) 2012-08-28 2012-08-28 セキュリティポリシ競合解消システム、端末管理サーバ、ポリシデータ適用端末、ポリシサーバ、セキュリティポリシ競合解消方法、およびプログラム

Publications (2)

Publication Number Publication Date
JP2014044612A true JP2014044612A (ja) 2014-03-13
JP5695002B2 JP5695002B2 (ja) 2015-04-01

Family

ID=50395822

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012187253A Active JP5695002B2 (ja) 2012-08-28 2012-08-28 セキュリティポリシ競合解消システム、端末管理サーバ、ポリシデータ適用端末、ポリシサーバ、セキュリティポリシ競合解消方法、およびプログラム

Country Status (1)

Country Link
JP (1) JP5695002B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016048523A (ja) * 2014-08-28 2016-04-07 株式会社東芝 電子機器および電子機器の制御方法
JP2017518594A (ja) * 2014-04-09 2017-07-06 マイクロソフト テクノロジー ライセンシング,エルエルシー デバイス・ポリシー・マネージャ

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11184403B1 (en) 2021-04-23 2021-11-23 Netskope, Inc. Synthetic request injection to generate metadata at points of presence for cloud security enforcement
US11190550B1 (en) 2021-04-22 2021-11-30 Netskope, Inc. Synthetic request injection to improve object security posture for cloud security enforcement
US11647052B2 (en) 2021-04-22 2023-05-09 Netskope, Inc. Synthetic request injection to retrieve expired metadata for cloud policy enforcement
US11178188B1 (en) 2021-04-22 2021-11-16 Netskope, Inc. Synthetic request injection to generate metadata for cloud policy enforcement
US11303647B1 (en) 2021-04-22 2022-04-12 Netskope, Inc. Synthetic request injection to disambiguate bypassed login events for cloud policy enforcement
US11336698B1 (en) 2021-04-22 2022-05-17 Netskope, Inc. Synthetic request injection for cloud policy enforcement
US11271973B1 (en) 2021-04-23 2022-03-08 Netskope, Inc. Synthetic request injection to retrieve object metadata for cloud policy enforcement
US11271972B1 (en) 2021-04-23 2022-03-08 Netskope, Inc. Data flow logic for synthetic request injection for cloud security enforcement
US11943260B2 (en) 2022-02-02 2024-03-26 Netskope, Inc. Synthetic request injection to retrieve metadata for cloud policy enforcement

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008117026A (ja) * 2006-11-01 2008-05-22 Fujitsu Ltd アクセス制御プログラム及びアクセス制御方法並びにアクセス制御システム
JP2009110099A (ja) * 2007-10-26 2009-05-21 Toshiba Corp アクセス判定装置及びアクセス判定プログラム
JP2010026547A (ja) * 2008-07-15 2010-02-04 Fujitsu Ltd ファイアウォール負荷分散方法及びファイアウォール負荷分散システム
WO2010100590A1 (en) * 2009-03-04 2010-09-10 Koninklijke Philips Electronics N.V. Specifying an access control policy

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008117026A (ja) * 2006-11-01 2008-05-22 Fujitsu Ltd アクセス制御プログラム及びアクセス制御方法並びにアクセス制御システム
JP2009110099A (ja) * 2007-10-26 2009-05-21 Toshiba Corp アクセス判定装置及びアクセス判定プログラム
JP2010026547A (ja) * 2008-07-15 2010-02-04 Fujitsu Ltd ファイアウォール負荷分散方法及びファイアウォール負荷分散システム
WO2010100590A1 (en) * 2009-03-04 2010-09-10 Koninklijke Philips Electronics N.V. Specifying an access control policy

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017518594A (ja) * 2014-04-09 2017-07-06 マイクロソフト テクノロジー ライセンシング,エルエルシー デバイス・ポリシー・マネージャ
JP2016048523A (ja) * 2014-08-28 2016-04-07 株式会社東芝 電子機器および電子機器の制御方法

Also Published As

Publication number Publication date
JP5695002B2 (ja) 2015-04-01

Similar Documents

Publication Publication Date Title
JP5695002B2 (ja) セキュリティポリシ競合解消システム、端末管理サーバ、ポリシデータ適用端末、ポリシサーバ、セキュリティポリシ競合解消方法、およびプログラム
US10244001B2 (en) System, apparatus and method for access control list processing in a constrained environment
CN102460389B (zh) 用于将应用启动到现有的隔离环境中的系统和方法
US8656454B2 (en) Data store including a file location attribute
GB2596422A (en) Systems and methods for providing access to a data file stored at a data storage system
EP2771803B1 (en) File fetch from a remote client device
US10237255B2 (en) Data synchronizing system, control method thereof, authorization server, and storage medium thereof
US10051045B2 (en) Searching content associated with multiple applications
US9871778B1 (en) Secure authentication to provide mobile access to shared network resources
US20130088751A1 (en) Job management apparatus, job control system, and job control method
US20190098107A1 (en) Geographic location based user computing asset provisioning in distributed computing systems
JP2008046860A (ja) ファイル管理システム及びファイル管理方法
KR20140036886A (ko) 메타 정보 기반의 클라우드 서비스 방법
KR20120013475A (ko) 분산 파일 시스템에서 url정보를 이용한 데이터 관리 장치 및 그 방법
KR101672962B1 (ko) 적응형 단말기 소프트웨어 관리 시스템 및 이에 의한 단말기 소프트웨어 관리 방법
CN116566656A (zh) 资源访问方法、装置、设备及计算机存储介质
US9286305B2 (en) Virtual storage gate system
JP2004341961A (ja) ストレージシステムおよびストレージプログラム
CN112470442B (zh) 向用户设备部署数据丢失防护策略
US20110289552A1 (en) Information management system
JP5051786B2 (ja) 情報処理装置、情報処理方法及びプログラム
EP3299980B1 (en) Security measure program, file tracking method, information processing device, distribution device, and management device
Kongruangkit et al. A case for connecting SOLiD and blockchains: Enforcement of transparent access rights in personal data stores
CN106533688A (zh) 安全认证的方法及装置
JP2005284573A (ja) アクセス管理システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140626

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150120

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150127

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150205

R150 Certificate of patent or registration of utility model

Ref document number: 5695002

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150