JP2019164829A - Security management system and security management method - Google Patents
Security management system and security management method Download PDFInfo
- Publication number
- JP2019164829A JP2019164829A JP2019101198A JP2019101198A JP2019164829A JP 2019164829 A JP2019164829 A JP 2019164829A JP 2019101198 A JP2019101198 A JP 2019101198A JP 2019101198 A JP2019101198 A JP 2019101198A JP 2019164829 A JP2019164829 A JP 2019164829A
- Authority
- JP
- Japan
- Prior art keywords
- user
- tag
- service
- security
- permitted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
Description
本開示の発明は、サービスを提供するサーバへのユーザアクセスを管理するセキュリティ管理システムおよびセキュリティ管理方法に関する。 The present disclosure relates to a security management system and a security management method for managing user access to a server that provides a service.
従来、タグ情報によってユーザ情報が定義された構造化データを格納するデータベースシステムとして、XMLメールデータ(構造化データ)に含まれるユーザ情報に応じて、当該構造化データに対するユーザのアクセス権を設定するDBサーバを含むものが知られている(例えば、特許文献1参照)。このデータベースシステムにおいて、DBサーバは、各XMLメールデータを登録する際に、XMLメールデータのヘッダ部分の情報に対応するFromタグ、Toタグ、Ccタグ、及びBccタグで囲まれたメールアドレスに対応するユーザに対して、当該XMLメールデータへのアクセス権を付与する。すなわち、DBサーバは、各メールデータに含まれる送信者および受信者の情報に基づいて、複数のXMLメールデータに対するユーザのアクセス権限を特定するアクセス権限テーブルを作成する。そして、DBサーバにより作成されたアクセス権限テーブルに基づいて、外部の端末機器からXMLメールデータへのアクセスが管理される。 Conventionally, as a database system that stores structured data in which user information is defined by tag information, a user access right to the structured data is set according to user information included in XML mail data (structured data). One including a DB server is known (for example, see Patent Document 1). In this database system, when registering each XML mail data, the DB server supports a mail address surrounded by the From tag, To tag, Cc tag, and Bcc tag corresponding to the header part information of the XML mail data. A right to access the XML mail data. That is, the DB server creates an access authority table that identifies the user's access authority for a plurality of XML mail data based on the sender and recipient information included in each mail data. Based on the access authority table created by the DB server, access to the XML mail data from the external terminal device is managed.
上記従来のデータベースシステムでは、DBサーバの管理者が手動でアクセス権限を設定する必要がなくなる。しかしながら、多様な情報やサービスごとに、ユーザの所属や役職、サービスへのアクセス頻度といったユーザの属性に応じた適正なレベルのアクセス権を自動的に多数のユーザに適正に設定するのは容易ではない。 In the above conventional database system, it is not necessary for the administrator of the DB server to manually set the access authority. However, it is not easy to automatically set an appropriate level of access right according to user attributes such as user affiliation, job title, and service access frequency for a variety of information and services. Absent.
そこで、本開示の発明は、少なくとも1つのサーバにより提供される複数のサービスへのユーザアクセスをユーザの属性に応じて容易かつ適正に管理可能とすることを主目的とする。 Accordingly, the main object of the present disclosure is to enable easy and proper management of user access to a plurality of services provided by at least one server in accordance with user attributes.
本開示のセキュリティ管理システムは、少なくとも1つのサーバにより提供される複数のサービスへのユーザアクセスを管理するセキュリティ管理システムであって、前記複数のサービスごとに、該サービスへのアクセスが許可されるユーザの属性を示す許可ユーザタグを定義したセキュリティ定義を記憶するセキュリティ定義記憶装置と、ユーザIDごとに、当該ユーザIDを持つユーザの属性を示すユーザタグを記憶するタグ情報記憶装置と、前記セキュリティ定義から、端末を介してユーザにより要求されたサービスの前記許可ユーザタグを取得する第1取得モジュールと、前記タグ情報記憶装置から、前記端末を操作したユーザのユーザIDに対応した前記ユーザタグを取得する第2取得モジュールと、前記第1取得モジュールにより取得された前記許可ユーザタグに、前記第2取得モジュールにより取得された前記ユーザタグが含まれているか否かを判定し、前記許可ユーザタグに前記ユーザタグが含まれている場合、前記端末を操作した前記ユーザへの前記サービスの提供を許可し、前記許可ユーザタグに前記ユーザタグが含まれていない場合、前記端末を操作した前記ユーザへの前記サービスの提供を禁止する判定モジュールとを備えるものである。 The security management system of the present disclosure is a security management system that manages user access to a plurality of services provided by at least one server, and a user who is permitted to access the services for each of the plurality of services. A security definition storage device that stores a security definition that defines an authorized user tag indicating the attribute of the user, a tag information storage device that stores a user tag indicating the attribute of the user having the user ID for each user ID, and the security definition The first acquisition module that acquires the permitted user tag of the service requested by the user via the terminal, and the user tag corresponding to the user ID of the user who operated the terminal is acquired from the tag information storage device. The second acquisition module and the first acquisition module It is determined whether the acquired user tag acquired by the second acquisition module is included in the acquired allowed user tag, and if the user tag is included in the permitted user tag, the terminal is A determination module that permits provision of the service to the operated user and prohibits the provision of the service to the user who operates the terminal when the permitted user tag does not include the user tag. Is.
このセキュリティ管理システムでは、少なくとも1つのサーバにより提供される複数のサービスごとに、当該サービスへのアクセスが許可されるユーザを示す許可ユーザタグを定義したセキュリティ定義がセキュリティ定義記憶装置に記憶され、ユーザの属性を示すユーザタグがユーザIDごとにタグ情報記憶装置に記憶される。端末を介してユーザによりサービスの提供が要求されると、第1取得モジュールは、当該サービスの許可ユーザタグをセキュリティ定義から取得し、第2取得モジュールは、端末を操作したユーザのユーザIDに対応したユーザタグをタグ情報記憶装置から取得する。更に、判定モジュールは、第1取得モジュールにより取得された許可ユーザタグに、第2取得モジュールにより取得されたユーザタグが含まれているか否かを判定する。そして、許可ユーザタグにユーザタグが含まれている場合、端末を操作したユーザへのサービスの提供が許可され、許可ユーザタグにユーザタグが含まれていない場合、端末を操作したユーザへのサービスの提供が禁止される。 In this security management system, for each of a plurality of services provided by at least one server, a security definition that defines a permitted user tag indicating a user permitted to access the service is stored in a security definition storage device, The user tag indicating the attribute is stored in the tag information storage device for each user ID. When the service is requested by the user via the terminal, the first acquisition module acquires the permitted user tag of the service from the security definition, and the second acquisition module corresponds to the user ID of the user who operated the terminal. The acquired user tag is acquired from the tag information storage device. Further, the determination module determines whether or not the permitted user tag acquired by the first acquisition module includes the user tag acquired by the second acquisition module. If the user tag is included in the permitted user tag, the provision of service to the user who operates the terminal is permitted. If the user tag is not included in the permitted user tag, the service to the user who operates the terminal. Is prohibited.
これにより、セキュリティ定義を定めると共に、ユーザ(ユーザID)に対して当該ユーザの属性を示すユーザタグを付与しておくことで、要求されたサービスへのユーザアクセスを許可するか否かを適正かつ速やかに判定することが可能となる。また、新規サービスが追加されたり、サービスの提供態様が変更されたりしても、セキュリティ定義を更新することで、追加・変更されたサービスへのユーザアクセスを許可するか否かを適正に判定することができる。更に、ユーザの所属や役職等が変更されたり、新規ユーザが追加されたりしても、ユーザ(ユーザID)にユーザタグを付与することで、当該ユーザへのサービスの提供の可否を適正に判定することが可能となる。従って、このセキュリティ管理システムによれば、少なくとも1つのサーバにより提供される複数のサービスへのユーザアクセスを容易かつ適正に管理することができる。 Thus, by defining a security definition and adding a user tag indicating the attribute of the user to a user (user ID), whether or not to permit user access to the requested service is properly determined. It is possible to make a quick determination. Even if a new service is added or the service provision mode is changed, the security definition is updated to appropriately determine whether to permit user access to the added / changed service. be able to. Furthermore, even if a user's affiliation, job title, etc. are changed, or a new user is added, the user tag is assigned to the user (user ID) to appropriately determine whether the service can be provided to the user. It becomes possible to do. Therefore, according to this security management system, user access to a plurality of services provided by at least one server can be easily and appropriately managed.
図1は、本開示のセキュリティ管理システム10を示す概略構成図である。セキュリティ管理システム10は、企業等において複数のシステムサーバ1A,1B,1C…により提供される複数のサービスへのユーザアクセスを管理するのに用いられるものであり、認証サーバ20と、リバースプロキシサーバ30と、セキュリティ管理サーバ40と、タグ管理サーバ50とを含む。図示するように、セキュリティ管理システム10(タグ管理サーバ50)は社内ネットワーク等を介して人事管理サーバ60およびアクセスログ管理サーバ70と接続される。また、当該企業等の役員や従業員、登録された関連会社の従業員や社外業者といったユーザにより使用される多数の端末(クライアントコンピュータ)100は、社内ネットワークや専用回線等を介して、セキュリティ管理システム10の認証サーバ20およびリバースプロキシサーバ30に接続される。
FIG. 1 is a schematic configuration diagram illustrating a
システムサーバ1A,1B,1C…は、CPU,ROM,RAM,入出力装置等を有するコンピュータと、従業員等により作成されたオブジェクトとしての成果物(作成中のものも含む)を格納した成果物データベースを記憶する成果物記憶装置2とを含む。成果物記憶装置2に記憶される成果物には、例えば、識別子としてのオブジェクトIDや、成果物の属性(内容)を示すオブジェクトタグ等がタグ付けされている。また、システムサーバ1A,1B,1C…には、CPUやROM,RAMといったハードウエアと、予めインストールされた各種プログラムとの協働により、成果物管理モジュール3が構築される。図1に示すシステムサーバ1Aの成果物管理モジュール3は、例えば、成果物記憶装置2に記憶されている複数の成果物(オブジェクト)の中から所望の成果物を探し出すための検索ツールの提供や、指定された単一の成果物の提供といったサービスの提供を実行する。なお、本実施形態において、システムサーバ1A,1B,1C…により提供される複数のサービスは、互いに独立したものとされる。
Each of the
認証サーバ20は、CPU,ROM,RAM,入出力装置等を有するコンピュータと、各ユーザに付与されたユーザIDのデータベースを記憶するID情報記憶装置21とを含む。更に、認証サーバ20には、CPUやROM,RAMといったハードウエアと、予めインストールされた各種プログラムとの協働により、認証情報管理モジュール25が構築される。認証情報管理モジュール25は、端末100上でユーザにより入力されたユーザIDや、当該ユーザにより端末100上で要求されたサービスのアドレス(例えば上述のような検索ツールのアドレス(URL)やオブジェクト名等)を取得する。更に、認証情報管理モジュール25は、入力したユーザIDがID情報記憶装置21に記憶されているか否かを判定し、当該ユーザIDがID情報記憶装置21に記憶されている場合、サービスを要求したユーザのユーザIDと共に、要求されたサービスのアドレス等をリバースプロキシサーバ30に送信する。また、ユーザIDがID情報記憶装置21に記憶されていない場合、認証情報管理モジュール25は、要求されたサービスの提供が許可されない旨を端末100に送信する。なお、ユーザが端末100上で選択可能なサービスのアドレスは、当該端末100と認証情報管理モジュール25との間においてのみ用いられるものである。
The
リバースプロキシサーバ30は、CPU,ROM,RAM,入出力装置等を有するコンピュータと、システムアドレス情報記憶装置31とを含み、認証サーバ20を介して受け取った端末100から要求をシステムサーバ1A,1B,1C…へと中継すると共に、システムサーバ1A,1B,1C…からの情報を端末100へと中継するものである。更に、リバースプロキシサーバ30には、CPUやROM,RAMといったハードウエアと、予めインストールされた各種プログラムとの協働により、管理モジュール35が構築される。
The
システムアドレス情報記憶装置31は、システムサーバ1A,1B,1C…により提供される複数のサービス(ツールおよび成果物)ごとに、端末100側でユーザが入力可能なアドレスや、提供主体であるシステムサーバ1A等のID(システムID),システムサーバ1A等におけるサービスのシステムアドレス(ツール等)やオブジェクトID(単一成果物)を記憶するものである。また、管理モジュール35は、システムサーバ1A,1B,1C…と端末100との間の情報のやり取りを管理する。更に、管理モジュール35は、ユーザからのサービスの要求に応じて、認証サーバ20の認証情報管理モジュール25からユーザIDやサービスのアドレスを受け取ると、ユーザにより入力されたサービスを提供するシステムサーバのシステムIDや、当該サービスのアドレスに対応したシステムアドレスまたはオブジェクトIDをシステムアドレス情報記憶装置31から読み出し、読みだしたシステムID、システムアドレスまたはオブジェクトIDをユーザIDと共にセキュリティ管理サーバ40に送信する。
The system address
セキュリティ管理サーバ40は、CPU,ROM,RAM,入出力装置等を有するコンピュータと、セキュリティ定義記憶装置41と、セキュリティキャッシュ記憶装置42とを含む。更に、セキュリティ管理サーバ40には、CPUやROM,RAMといったハードウエアと、予めインストールされた各種プログラムとの協働により、システムサーバ1A,1B,1C…により提供される複数のサービスへのユーザアクセスを許可するか否かを判定するセキュリティ管理モジュール45が構築される。
The
セキュリティ定義記憶装置41は、システムサーバ1A,1B,1C…により提供される複数のサービス(単一成果物を含む)ごとに、当該サービスへのアクセスが許可されるユーザの属性を示す許可ユーザタグを定義したセキュリティ定義を記憶するものである。本実施形態において、セキュリティ定義は、図2に示すように、システムサーバ1A,1B,1C…により提供される複数のサービスのシステムアドレス(ツール等)やオブジェクトタグ(単一成果物)ごとに、セキュリティID(大分類)、詳細セキュリティID(小分類を含むもの)、当該サービスを提供するシステムサーバのID(システムID)、サービスの種別(単一成果物を“オブジェクト”とし、それ以外を“サービス”とする。)を示すリソースタイプ、サービスへのアクセス(閲覧)が許可されるユーザの属性(所属、役職等)を示す許可ユーザタグ(READ)、サービスへのアクセス(編集)が許可されるユーザの属性を示す許可ユーザタグ(EDIT)、当該サービスについてセキュリティ管理モジュール45による判定処理の実行が許可される期間を示す判定許可条件、当該サービスについてセキュリティ管理モジュール45による判定処理が実行されるべきか否かを示すステータス(OK=実行、NG=非実行)を規定するテーブルとして作成される。セキュリティ定義は、サービスの提供や成果物を管理する予め定められた管理者により作成・更新される。
For each of a plurality of services (including single deliverables) provided by the
セキュリティキャッシュ記憶装置42は、セキュリティ管理モジュール45によりサービスへのアクセスが許可されたユーザのユーザID、アクセスが許可されたサービス、および当該サービスを提供するシステムサーバのシステムID等をキャッシュ情報として記憶するものである。キャッシュ情報は、図3に示すように、サービスのシステムアドレスやオブジェクトIDごとに、ユーザID、リソースタイプ、システムID、セキュリティID(大分類)、アクション(閲覧および編集の少なくとも何れか一方)を規定するテーブルとして作成される。本実施形態において、キャッシュ情報は、セキュリティ管理モジュール45により判定処理が実行された後、当該セキュリティ管理モジュール45により適宜設定・更新される。
The security
タグ管理サーバ50は、CPU,ROM,RAM,入出力装置等を有するコンピュータと、タグ定義記憶装置51と、タグ情報記憶装置52とを含む。更に、タグ管理サーバ50には、CPUやROM,RAMといったハードウエアと、予めインストールされた各種プログラムとの協働により、タグ定義記憶装置51やタグ情報記憶装置52に記憶される情報を管理するタグ管理モジュール55が構築される。
The
タグ定義記憶装置51は、図4に示すようなユーザタグ定義および図5に示すようなオブジェクトタグ定義を記憶する。ユーザタグ定義は、図4に示すように、それぞれユーザの属性(所属、役職等)を示す複数のユーザタグごとに、リソースタイプ(この場合、“人”)、人事情報およびログ解析情報の何れに関連するかを示す対象、ユーザタグが示す属性の範囲や内容を示す対象フィールド、当該ユーザタグについてセキュリティ管理モジュール45による判定処理の実行が許可される期間を示す判定許可条件、当該ユーザタグについてセキュリティ管理モジュール45による判定処理が実行されるべきか否かを示すステータス(OK=実行、NG=非実行)を規定するテーブルとして作成される。本実施形態において、ユーザタグ定義は、セキュリティ管理システム10の管理者および/または予め定められた人事責任者等により作成・更新される。
The tag
オブジェクトタグ定義は、図5に示すように、複数のオブジェクトタグごとに、リソースタイプ(この場合、“オブジェクト”)、当該オブジェクトを提供するシステムサーバのシステムID、オブジェクトタグが示す属性の内容、成果物の作成者、重要度等を示す対象フィールド、当該オブジェクトタグについてセキュリティ管理モジュール45による判定処理の実行が許可される期間を示す判定許可条件、当該オブジェクトタグについてセキュリティ管理モジュール45による判定処理が実行されるべきか否かを示すステータス(OK=実行、NG=非実行)を規定するテーブルとして作成される。本実施形態において、オブジェクトタグ定義は、成果物(オブジェクト)を管理する予め定められた管理者により作成・更新される。
As shown in FIG. 5, the object tag definition includes, for each of a plurality of object tags, a resource type (in this case, “object”), a system ID of a system server that provides the object, attribute contents indicated by the object tag, and results A target field indicating the creator of an object, importance, etc., a determination permission condition indicating a period during which determination processing by the
タグ情報記憶装置52は、図6に示すようなユーザタグテーブルおよび図7に示すようなオブジェクトタグテーブルを記憶する。ユーザタグテーブルは、図6に示すように、複数のユーザIDごとに、当該ユーザIDを持つユーザの属性を示すユーザタグと、当該ユーザIDについてセキュリティ管理モジュール45による判定処理が実行されるべきか否かを示すステータス(OK=実行〔有効〕、NG=非実行〔無効〕)とを規定する。ユーザタグテーブルは、セキュリティ管理システム10の管理者および/または予め定められた人事責任者等により作成され、セキュリティ定義に基づいてセキュリティ管理モジュール45により更新されると共に、ユーザタグ定義等に基づいてタグ管理モジュール55により更新される。
The tag
オブジェクトタグテーブルは、図7に示すように、複数のオブジェクトIDごとに、当該オブジェクトIDを持つ成果物(オブジェクト)の属性を示すオブジェクトタグと、当該オブジェクトタグについてセキュリティ管理モジュール45による判定処理が実行されるべきか否かを示すステータス(OK=実行〔有効〕、NG=非実行〔無効〕)とを規定する。オブジェクトタグテーブルは、セキュリティ管理システム10の管理者および/またはオブジェクトを管理する管理者等により作成され、セキュリティ定義に基づいてセキュリティ管理モジュール45により更新されると共に、オブジェクトタグ定義等に基づいてタグ管理モジュール55により更新される。
As shown in FIG. 7, the object tag table includes, for each object ID, an object tag indicating an attribute of a product (object) having the object ID, and a determination process performed by the
セキュリティ管理システム10に接続される人事管理サーバ60は、CPU,ROM,RAM,入出力装置等を有するコンピュータと、人員情報記憶装置61と、組織情報記憶装置62とを含む。更に、人事管理サーバ60には、CPUやROM,RAMといったハードウエアと、予めインストールされた各種プログラムとの協働により、人員情報記憶装置61や組織情報記憶装置62に記憶される情報を管理する人事情報管理モジュール65が構築される。人員情報記憶装置61は、当該企業等の役員や従業員、登録された関連会社の従業員や社外業者といったユーザの詳細な人員情報(ユーザIDや対象フィールドを含む)を記憶し、組織情報記憶装置62は、当該企業や関連会社等の詳細な組織情報を記憶する。人員情報記憶装置61や組織情報記憶装置62に記憶される情報は、人事異動や組織改編等に併せて随時更新される。
The
セキュリティ管理システム10に接続されるアクセスログ管理サーバ70は、CPU,ROM,RAM,入出力装置等を有するコンピュータと、ログ解析情報記憶装置71と、を含む。更に、アクセスログ管理サーバ70には、CPUやROM,RAMといったハードウエアと、予めインストールされた各種プログラムとの協働により、システムサーバ1A,1B,1Cへのユーザアクセスを解析して解析結果をログ解析情報(ユーザIDや対象フィールドを含む)としてログ解析情報記憶装置71に記憶させるログ解析管理モジュール75が構築される。
The access
次に、上述のセキュリティ管理システム10においてシステムサーバ1A,1B,1C…により提供されるサービスへのユーザアクセスの可否を判定する手順について説明する。図8は、ユーザが端末100を操作してシステムサーバ1A等にサービスの提供を要求した際にセキュリティ管理サーバ40のセキュリティ管理モジュール45により実行されるセキュリティ判定ルーチンの一例を示すフローチャートである。
Next, a procedure for determining whether or not user access to a service provided by the
図8に示すセキュリティ判定ルーチンの開始に際して、セキュリティ管理モジュール45(CPU)は、リバースプロキシサーバ30から送信されたユーザID、システムID、システムアドレスまたはオブジェクトIDといった判定処理に必要なデータを入力する(ステップS100)。次いで、セキュリティ管理モジュール45は、ステップS100にて入力したデータとセキュリティキャッシュ記憶装置42に記憶されているキャッシュ情報とを比較し(ステップS110)、当該ユーザIDを持つユーザに対して要求されたサービスへのアクセスが許可されるか否かを判定する(ステップS120)。
At the start of the security determination routine shown in FIG. 8, the security management module 45 (CPU) inputs data necessary for the determination process such as a user ID, a system ID, a system address, or an object ID transmitted from the reverse proxy server 30 ( Step S100). Next, the
すなわち、ステップS110およびS120において、セキュリティ管理モジュール45は、セキュリティキャッシュ記憶装置42に記憶されているキャッシュ情報に、ステップS100にて入力したユーザIDおよびシステムアドレスまたはオブジェクトIDに合致(一致)するものがあるか否かを判定する。そして、セキュリティ管理モジュール45は、ステップS100にて入力したユーザIDおよびシステムアドレスまたはオブジェクトIDに合致するキャッシュ情報が存在していると判定した場合(ステップS120)、当該キャッシュ情報に示されているアクションの実行を当該ユーザに許可すべく、該当するシステムサーバの呼び出しを許可する旨の指令をリバースプロキシサーバ30に送信し(ステップS220)、本ルーチンを終了させる。
That is, in steps S110 and S120, the
このように、上述のようなキャッシュ情報をセキュリティキャッシュ記憶装置42に記憶させておき、当該キャッシュ情報に基づいて判定処理を実行することで、サービスの提供可否の判定をより速やかに実行することが可能となる。なお、リバースプロキシサーバ30は、セキュリティ管理モジュール45からの指令に応じて、該当するシステムサーバを呼び出す。これにより、当該システムサーバから、上記システムアドレスまたはオブジェクトIDに対応したサービスがリバースプロキシサーバ30を中継して端末100すなわち当該端末100を操作したユーザに提供されることになる。
As described above, the cache information as described above is stored in the security
一方、ステップS100にて入力したユーザIDおよびシステムアドレスまたはオブジェクトIDに合致(一致)するキャッシュ情報が存在していないと判定した場合(ステップS120)、セキュリティ管理モジュール45は、セキュリティ定義記憶装置41からセキュリティ定義を読み出し(ステップS130)、更にステップS100にて入力したシステムアドレスまたはオブジェクトIDに基づいて、ユーザに要求された対象が単一成果物(オブジェクト)であるか否かを判定する(ステップS140)。ユーザに要求されたサービスが単一成果物である場合、セキュリティ管理モジュール45は、セキュリティ定義からステータスがOKであるオブジェクトタグのすべてを取得する(ステップS150)。以下、ステップS150にて取得されるオブジェクトタグを適宜「定義済みオブジェクトタグ」という。
On the other hand, if it is determined that there is no cache information that matches (matches) the user ID and system address or object ID input in step S100 (step S120), the
続いて、セキュリティ管理モジュール45は、ステップS100にて入力したオブジェクトIDに対応したオブジェクトタグをタグ管理サーバ50から取得する(ステップS160)。すなわち、ステップS160において、セキュリティ管理モジュール45は、ステップS100にて入力したオブジェクトIDをタグ管理サーバ50のタグ管理モジュール55に送信する。セキュリティ管理モジュール45からオブジェクトIDを受信したタグ管理モジュール55は、受信したオブジェクトIDに対応したステータスがOKであるオブジェクトタグをタグ情報記憶装置52に記憶されているオブジェクトタグテーブルから取得し、取得したオブジェクトタグをセキュリティ管理モジュール45に送信する。
Subsequently, the
ステップS160にてタグ管理サーバ50からオブジェクトタグを取得すると、セキュリティ管理モジュール45は、ステップS150にてセキュリティ定義から取得したオブジェクトタグ(定義済みオブジェクトタグ)の中にステップS160にてタグ管理サーバ50から取得したオブジェクトタグが含まれているか(オブジェクトタグの一致があるか)否かを判定する(ステップS170)。タグ管理サーバ50から取得したオブジェクトタグが定義済みオブジェクトタグに含まれていない場合、セキュリティ管理モジュール45は、端末100を操作したユーザの成果物(オブジェクト)へのアクセスを禁止する旨の指令をリバースプロキシサーバ30に送信し(ステップS230)、本ルーチンを終了させる。なお、ステップS140にてユーザに要求された対象が単一成果物ではないと判定された場合、上述のステップS150からS170の処理はスキップされる。
When the object tag is acquired from the
これに対して、ステップS140にてユーザに要求された対象が検索ツール等のサービスであると判定した場合、およびタグ管理サーバ50から取得したオブジェクトタグが定義済みオブジェクトタグに含まれていると判定した場合、セキュリティ管理モジュール45は、ステップ100にて入力したシステムアドレスまたはステップS160にて取得したオブジェクトタグに対応した許可ユーザタグをセキュリティ定義から取得する(ステップS180)。更に、セキュリティ管理モジュール45は、ステップS100にて入力したユーザIDに対応したユーザタグをタグ管理サーバ50から取得する(ステップS190)。すなわち、ステップS190において、セキュリティ管理モジュール45は、ステップS100にて入力したユーザIDをタグ管理サーバ50のタグ管理モジュール55に送信する。セキュリティ管理モジュール45からユーザIDを受信したタグ管理モジュール55は、受信したユーザIDに対応したステータスがOKであるユーザタグをタグ情報記憶装置52に記憶されているユーザタグテーブルから取得し、取得したユーザタグをセキュリティ管理モジュール45に送信する。
On the other hand, when it is determined in step S140 that the target requested by the user is a service such as a search tool, it is determined that the object tag acquired from the
ステップS190にてタグ管理モジュール55からユーザタグを取得すると、セキュリティ管理モジュール45は、ステップS180にてセキュリティ定義から取得した許可ユーザタグの中にステップS190にてタグ管理サーバ50から取得したユーザタグが含まれているか(ユーザタグの一致があるか)否かを判定する(ステップS200)。タグ管理サーバ50から取得したユーザタグがセキュリティ定義から取得した許可ユーザタグに含まれていない場合、セキュリティ管理モジュール45は、端末100を操作したユーザのサービスへのアクセスを禁止する旨の指令をリバースプロキシサーバ30に送信し(ステップS230)、本ルーチンを終了させる。
When the user tag is acquired from the tag management module 55 in step S190, the
これに対して、タグ管理サーバ50から取得したユーザタグがセキュリティ定義から取得した許可ユーザタグに含まれていると判定した場合、セキュリティ管理モジュール45は、ステップS100にて入力したユーザID、当該ユーザIDにより要求されたサービスのシステムアドレスまたはオブジェクトID、リソースタイプ、システムID、セキュリティ定義上で許可されているアクションをキャッシュ情報としてセキュリティキャッシュ記憶装置42に記憶させる(ステップS210)。そして、セキュリティ管理モジュール45は、セキュリティ定義上で許可されているアクションの実行をユーザに許可すべく、該当するシステムサーバの呼び出しを許可する旨の指令をリバースプロキシサーバ30に送信し(ステップS220)、本ルーチンを終了させる。
On the other hand, if it is determined that the user tag acquired from the
上述のように、セキュリティ管理システム10では、システムサーバ1A,1B,1C…により提供される複数のサービスごとに、当該サービスへのアクセスが許可されるユーザを示す許可ユーザタグを定義したセキュリティ定義がセキュリティ管理サーバ40のセキュリティ定義記憶装置41に記憶される。また、タグ管理サーバ50のタグ情報記憶装置52には、ユーザの属性を示すユーザタグをユーザIDごとに規定するユーザタグテーブルが記憶される。そして、端末100を介してユーザによりサービスの提供が要求されると、セキュリティ管理モジュール45は、当該サービスの許可ユーザタグをセキュリティ定義から取得すると共に(ステップS180)、端末を操作したユーザのユーザIDに対応したユーザタグをタグ管理サーバ50(タグ情報記憶装置52)から取得する(ステップS190)。更に、セキュリティ管理モジュール45は、ステップS180にて取得した許可ユーザタグに、ステップS190にて取得したユーザタグが含まれているか否かを判定し(ステップS200)、許可ユーザタグにユーザタグが含まれている場合、端末100を操作したユーザへのサービスの提供を許可する。これに対して、許可ユーザタグにユーザタグが含まれていない場合、端末100を操作したユーザへのサービスの提供が禁止される。
As described above, in the
これにより、セキュリティ定義を定めると共に、ユーザ(ユーザID)に対して当該ユーザの属性を示すユーザタグを付与しておくことで、要求されたサービスへのユーザアクセスを許可するか否かを適正かつ速やかに判定することが可能となる。また、新規サービス(新規成果物)が追加されたり、サービスの提供態様が変更されたりしても、セキュリティ定義を更新することで、追加・変更されたサービスへのユーザアクセスを許可するか否かを適正に判定することができる。更に、ユーザの所属や役職等が変更されたり、新規ユーザが追加されたりしても、ユーザ(ユーザID)にユーザタグを付与することで、当該ユーザへのサービスの提供の可否を適正に判定することが可能となる。従って、上記セキュリティ管理システム10によれば、システムサーバ1A,1B,1C…により提供される複数のサービスへのユーザアクセスを容易かつ適正に管理することができる。
Thus, by defining a security definition and adding a user tag indicating the attribute of the user to a user (user ID), whether or not to permit user access to the requested service is properly determined. It is possible to make a quick determination. Whether or not to allow user access to the added / changed service by updating the security definition even when a new service (new deliverable) is added or the service provision mode is changed Can be determined appropriately. Furthermore, even if a user's affiliation, job title, etc. are changed, or a new user is added, the user tag is assigned to the user (user ID) to appropriately determine whether the service can be provided to the user. It becomes possible to do. Therefore, according to the
また、セキュリティ管理システム10では、図8のステップS180からS200の処理が実行される前に、セキュリティキャッシュ記憶装置42に記憶されたキャッシュ情報に基づいて、ユーザにより要求されたサービスの当該ユーザへの提供を許可するか否かが判定される(ステップS110,S120)、これにより、サービスの提供可否の判定をより速やかに実行することが可能となる。更に、セキュリティ管理システム10では、ユーザにより成果物(オブジェクト)の提供が要求された場合、許可ユーザタグとユーザIDに対応したユーザタグとの比較(ステップS180からS200)の前に、セキュリティ定義から取得されたオブジェクトタグに、タグ管理サーバ50から取得されたオブジェクトタグ(オブジェクトIDに対応したもの)が含まれるか否かが判定される(ステップS150からS170)。これにより、より機密性が高い成果物へのユーザアクセスをより厳格に管理することが可能となる。
Further, in the
なお、上述のセキュリティ定義は、システムサーバ1A,1B,1C…により提供されるサービスのシステムアドレスやオブジェクトタグごとに、サービスや成果物へのアクセスが許可される許可ユーザタグを定義するものであるが、これに限られるものではない。すなわち、セキュリティ定義は、複数のサービスごとに、当該サービスへのアクセスが禁止される禁止ユーザタグを定義するように作成されてもよい。そして、セキュリティ定義から取得された禁止ユーザタグにタグ管理サーバ50から取得されたユーザタグ(ユーザIDに対応したもの)が含まれている場合、端末100を操作したユーザのサービスへのアクセスを禁止してもよい。また、この場合、サービスへのアクセスが禁止されたユーザのユーザIDと当該サービスとに合致するキャッシュ情報が存在していれば、当該キャッシュ情報をセキュリティキャッシュ記憶装置42から削除するとよい。更に、セキュリティ定義は、複数のサービスごとに、当該サービスについてセキュリティ管理モジュール45による判定処理の実行を禁止する条件である判定禁止条件を定義するように作成されてもよく、判定許可条件や判定禁止条件に有効期間が設定されてもよい。
The above-described security definition defines an authorized user tag that is permitted to access a service or product for each system address or object tag of a service provided by the
図9は、セキュリティ管理サーバ40のセキュリティ管理モジュール45により実行されるキャッシュ情報更新ルーチンの一例を示すフローチャートである。同図に示すキャッシュ情報更新ルーチンは、セキュリティ定義が更新された際、および/または予め定められた期間が経過するたびにセキュリティ管理モジュール45により実行される。
FIG. 9 is a flowchart showing an example of a cache information update routine executed by the
図9のキャッシュ情報更新ルーチンの開始に際して、セキュリティ管理モジュール45(CPU)は、予め定められた順番に従い、セキュリティ定義記憶装置41に記憶されているセキュリティ定義から、更新されている判定許可条件を取得し(ステップS300)、取得した判定許可条件に示される期間に本ルーチンの実行タイミングが含まれるか否かを判定する(ステップS310)。ステップS300にて取得した判定許可条件に示される期間に当該実行タイミングが含まれていない場合、セキュリティ管理モジュール45は、ステップS300にて取得した判定許可条件に対応したサービスのステータスをNGに設定する(ステップS320)。更に、セキュリティ管理モジュール45は、当該判定許可条件に対応したサービスまたはオブジェクトについてのキャッシュ情報をセキュリティキャッシュ記憶装置42から削除する(ステップS330)。
At the start of the cache information update routine of FIG. 9, the security management module 45 (CPU) acquires the updated determination permission condition from the security definition stored in the security
また、ステップS300にて取得した判定許可条件に示される期間に本ルーチンの実行タイミングが含まれている場合、セキュリティ管理モジュール45は、ステップS300にて取得した判定許可条件に対応したサービスのステータスをOKに設定する(ステップS340)。ステップS330またはS340の処理の後、セキュリティ管理モジュール45は、更新された判定許可条件のすべてについて処理が完了したか否かを判定し(ステップS350)、全対象について処理が完了するまで、ステップS300からS340の処理を繰り返し実行する。
When the execution timing of this routine is included in the period indicated in the determination permission condition acquired in step S300, the
このように、更新されていくセキュリティ定義に応じて、セキュリティ管理モジュール45による判定処理の実行が許可されていないサービスのキャッシュ情報を削除することで、キャッシュ情報を適正化し、当該キャッシュ情報に基づくサービスの提供可否の判定(特に、許可判定)をより速やかに実行することが可能となる。
As described above, according to the updated security definition, the cache information of the service that is not permitted to execute the determination process by the
図10は、タグ管理サーバ50のタグ管理モジュール55により実行されるユーザタグ情報更新ルーチンの一例を示すフローチャートである。同図に示すユーザタグ情報更新ルーチンは、ユーザタグ定義が更新された際、並びに人事管理サーバ60において人員情報や組織情報が更新された際にタグ管理モジュール55により実行される。
FIG. 10 is a flowchart illustrating an example of a user tag information update routine executed by the tag management module 55 of the
図10のユーザタグ情報更新ルーチンの開始に際して、タグ管理モジュール55(CPU)は、予め定められた順番に従い、タグ定義記憶装置51に記憶されているユーザタグ定義から、更新されている判定許可条件およびそれに対応したユーザタグを取得し(ステップS400)、取得した判定許可条件に示される期間に本ルーチンの実行タイミングが含まれるか否かを判定する(ステップS410)。ステップS400にて取得した判定許可条件に示される期間に当該実行タイミングが含まれていない場合、タグ管理モジュール55は、ステップS400にて取得した判定許可条件に対応したユーザタグのステータスをNGに設定する(ステップS420)。
At the start of the user tag information update routine of FIG. 10, the tag management module 55 (CPU) follows the predetermined order and the determination permission condition updated from the user tag definition stored in the tag
一方、ステップS400にて取得した判定許可条件に示される期間に本ルーチンの実行タイミングが含まれている場合、タグ管理モジュール55は、ステップS400にて取得した判定許可条件に対応したユーザタグのステータスをOKに設定する(ステップS430)。ステップS420またはS430の処理の後、タグ管理モジュール55は、更新された判定許可条件のすべてについて処理が完了したか否かを判定し(ステップS440)、全対象について処理が完了するまで、ステップS400からS430の処理を繰り返し実行する。 On the other hand, when the execution timing of this routine is included in the period indicated in the determination permission condition acquired in step S400, the tag management module 55 determines the status of the user tag corresponding to the determination permission condition acquired in step S400. Is set to OK (step S430). After the process of step S420 or S430, the tag management module 55 determines whether or not the process has been completed for all of the updated determination permission conditions (step S440), and step S400 until the process is completed for all objects. To S430 are repeatedly executed.
ステップS440にて判定許可条件についての処理が完了したと判定すると、タグ管理モジュール55は、予め定められた順番に従い、タグ定義記憶装置51に記憶されているユーザタグ定義から、ステータスがOKである人事情報を対象としたユーザタグのうち、少なくとも更新されたユーザタグを取得すると共に、当該ユーザタグに対応した対象フィールドを取得する(ステップS450)。次いで、タグ管理モジュール55は、ステップS450にて取得した対象フィールドに対応したユーザIDを人事管理サーバ60から取得する(ステップS460)。すなわち、ステップS460において、タグ管理モジュール55は、ステップS450にて取得した対象フィールドを人事管理サーバ60の人事情報管理モジュール65に送信する。タグ管理モジュール55から対象フィールドを受信した人事情報管理モジュール65は、受信した対象フィールドに該当するユーザIDを人員情報記憶装置61から取得し、取得したすべてのユーザIDをタグ管理モジュール55に送信する。
If it is determined in step S440 that the processing for the determination permission condition has been completed, the tag management module 55 follows the predetermined order, and the status is OK from the user tag definition stored in the tag
タグ管理モジュール55は、ステップS460にて人事管理サーバ60からユーザIDを取得すると、取得したユーザIDに基づいて、タグ情報記憶装置52に記憶されているユーザタグテーブルを更新する(ステップS470)。すなわち、ステップS470において、タグ管理モジュール55は、人事管理サーバ60から取得したすべてのユーザIDにステップS450にて取得したユーザタグを割り当てる(タグ付けする)と共に当該ユーザIDのステータスをOKに設定する。これにより、ユーザタグ定義上で人事情報を対象とするユーザタグが更新されている場合、すなわちユーザタグ定義に人事情報を対象とする新規ユーザタグが追加されている場合、当該ユーザタグにより示される属性を持ったユーザのユーザIDに新規ユーザタグが割り当てられる(タグ付けされる)。また、人事管理サーバ60の人員情報に新規ユーザ(例えば、新入社員等)の新規ユーザIDが追加されている場合、当該ユーザIDとそれに対応したユーザタグがユーザタグテーブルに追加される。更に、人事異動等によりユーザの属性(所属や役職)が変更された場合には、当該ユーザのユーザIDに新たなユーザタグが割り当てられる(タグ付けされる)ことになる。ステップS470の処理の後、タグ管理モジュール55は、人事情報を対象とするユーザタグのすべてについて処理が完了したか否かを判定し(ステップS480)、全対象について処理が完了するまで、ステップS450からS470の処理を繰り返し実行する。
When the tag management module 55 acquires the user ID from the
ステップS480にて人事情報を対象とするユーザタグのすべてについての処理が完了したと判定すると、タグ管理モジュール55は、予め定められた順番に従い、タグ定義記憶装置51に記憶されているユーザタグ定義から、ステータスがOKであるログ解析情報を対象としたユーザタグおよびそれに対応した対象フィールドを取得する(ステップS490)。次いで、タグ管理モジュール55は、ステップS490にて取得した対象フィールドに対応したユーザIDをアクセスログ管理サーバ70から取得する(ステップS500)。すなわち、ステップS500において、タグ管理モジュール55は、ステップS490にて取得した対象フィールドをアクセスログ管理サーバ70のログ解析管理モジュール75に送信する。タグ管理モジュール55から対象フィールドを受信したログ解析管理モジュール75は、受信した対象フィールドに対応したユーザIDをログ解析情報記憶装置71から取得し、取得したすべてのユーザIDをタグ管理モジュール55に送信する。
If the tag management module 55 determines in step S480 that the processing for all user tags targeted for personnel information has been completed, the tag management module 55 follows the predetermined order and stores the user tag definitions stored in the tag
タグ管理モジュール55は、ステップS500にてアクセスログ管理サーバ70からユーザIDを取得すると、取得したユーザIDに基づいて、タグ情報記憶装置52に記憶されているユーザタグテーブルを更新する(ステップS510)。すなわち、ステップS510において、タグ管理モジュール55は、ステップS510にて取得したすべてのユーザIDにステップS500にて取得したユーザタグを割り当てる(タグ付けする)と共に当該ユーザIDのステータスをOKに設定する。これにより、ユーザタグ定義上でログ解析情報を対象とするユーザタグが更新されている場合、すなわちユーザタグ定義にログ解析情報を対象とする新規ユーザタグが追加されている場合、当該ユーザタグにより示される属性を持ったユーザのユーザIDに新規ユーザタグが割り当てられる(タグ付けされる)。また、アクセスログ管理サーバ70のログ解析情報に新規ユーザ(例えば、新規不正使用者等)の新規ユーザIDが追加されている場合、当該ユーザIDとそれに対応したユーザタグがユーザタグテーブルに追加される。ステップS510の処理の後、タグ管理モジュール55は、ログ解析情報を対象とするユーザタグのすべてについて処理が完了したか否かを判定し(ステップS520)、全対象について処理が完了するまで、ステップS490からS510の処理を繰り返し実行する。そして、ステップS520にてログ解析情報を対象とするユーザタグのすべてについての処理が完了したと判定すると、タグ管理モジュール55は、本ルーチンを終了させる。
When the tag management module 55 acquires the user ID from the access
上述のように、セキュリティ管理システム10では、ユーザタグ定義のユーザタグおよび判定許可条件に基づいて、ユーザIDごとにタグ情報記憶装置52に記憶されているユーザタグテーブルのユーザタグが有効化(OKに設定)または無効化(NGに設定)される(図9のステップS400からS440)。これにより、サービスの提供可否の判定に用いる必要のないユーザタグを無効化し、要求されたサービスへのユーザアクセスを許可するか否かをより速やかに判定することが可能となる。
As described above, the
また、タグ管理サーバ50のタグ管理モジュール55は、ユーザタグ定義のユーザタグごとに、当該ユーザタグが示す属性に該当するユーザIDを人事管理サーバ60(人員情報記憶装置61)やアクセスログ管理サーバ70(ログ解析情報記憶装置71)から取得し、取得したユーザIDにユーザタグを割り当ててタグ情報記憶装置52に記憶されているユーザタグテーブルを更新する(ステップS450からS520)。これにより、ユーザタグ定義に新規ユーザタグが追加された際に、該当するユーザのユーザIDに当該新規ユーザタグを割り当てることが可能となる。また、ユーザの所属や役職等が変更されたり、新規ユーザが追加されたりしても、該当するユーザのユーザIDに、対応したユーザタグを割り当てることができる。この結果、サービスの提供の可否をより柔軟かつ適正に判定することが可能となる。
The tag management module 55 of the
なお、上記セキュリティ管理システム10のタグ管理サーバ50に構築されるタグ管理モジュール55は、オブジェクトタグ定義が更新された際、例えばシステムサーバから新規成果物の追加が通知された際、並びに予め定められた期間が経過するたびに、該当するシステムサーバからオブジェクトタグ定義から取得した対象フィールドに対応したオブジェクトIDを取得し、取得したオブジェクトIDに基づいてオブジェクトタグテーブルを更新する。このような場合、成果物がXMLデータ等の構造化データにより作成されていれば、システムサーバにおいて、成果物の対象フィールドを容易に判別することが可能となる。
The tag management module 55 constructed in the
また、ユーザタグ定義の更新に伴って図9のステップS450からS480の処理が実行される場合、当該ステップS450からS480の処理は、人事情報を対象とする更新されたユーザタグのみについて実行されてもよい。同様に、ユーザタグ定義の更新に伴ってステップS490からS520の処理が実行される場合も、当該ステップS490からS520の処理は、ログ解析情報を対象とする更新されたユーザタグのみについて実行されてもよい。更に、図9のステップS400からS440の処理と、ステップS450からS480の処理と、ステップS490からS520の処理とは、必ずしも連続して実行される必要はなく、互いに異なるタイミングで実行されてもよい。また、図9のS420では、ステータスがNGとなるユーザタグおよびそれに対応したユーザIDをユーザタグテーブルから削除してもよい。 In addition, when the process from step S450 to S480 in FIG. 9 is executed in accordance with the update of the user tag definition, the process from step S450 to S480 is executed only for the updated user tag for personnel information. Also good. Similarly, when the processing from step S490 to S520 is executed in accordance with the update of the user tag definition, the processing from step S490 to S520 is executed only for the updated user tag for the log analysis information. Also good. Furthermore, the processing from Steps S400 to S440, the processing from Steps S450 to S480, and the processing from Steps S490 to S520 in FIG. 9 are not necessarily performed continuously, and may be performed at different timings. . Further, in S420 of FIG. 9, the user tag whose status is NG and the corresponding user ID may be deleted from the user tag table.
以上説明したように、本開示のセキュリティ管理システム(10)は、少なくとも1つのサーバ(1A,1B,1C…)により提供される複数のサービスへのユーザアクセスを管理するセキュリティ管理システムであって、前記複数のサービスごとに、該サービスへのアクセスが許可されるユーザの属性を示す許可ユーザタグを定義したセキュリティ定義を記憶するセキュリティ定義記憶装置(41)と、ユーザIDごとに、当該ユーザIDを持つユーザの属性を示すユーザタグを記憶するタグ情報記憶装置(52)と、前記セキュリティ定義から、端末(100)を介してユーザにより要求されたサービスの前記許可ユーザタグを取得する第1取得モジュール(45,S180)と、前記タグ情報記憶装置(52)から、前記端末(100)を操作したユーザのユーザIDに対応した前記ユーザタグを取得する第2取得モジュール(45,S190)と、前記第1取得モジュールにより取得された前記許可ユーザタグに、前記第2取得モジュールにより取得された前記ユーザタグが含まれているか否かを判定し、前記許可ユーザタグに前記ユーザタグが含まれている場合、前記端末を操作した前記ユーザへの前記サービスの提供を許可し、前記許可ユーザタグに前記ユーザタグが含まれていない場合、前記端末を操作した前記ユーザへの前記サービスの提供を禁止する判定モジュール(45,S200−S230)とを備えるものである。 As described above, the security management system (10) of the present disclosure is a security management system that manages user access to a plurality of services provided by at least one server (1A, 1B, 1C ...), For each of the plurality of services, a security definition storage device (41) that stores a security definition that defines an authorized user tag indicating an attribute of a user permitted to access the service; A tag information storage device (52) for storing a user tag indicating an attribute of the user, and a first acquisition module for acquiring the permitted user tag of the service requested by the user via the terminal (100) from the security definition (45, S180) and the tag information storage device (52) to the terminal (100 The second acquisition module (45, S190) that acquires the user tag corresponding to the user ID of the user who operated the button, and the permitted user tag acquired by the first acquisition module are acquired by the second acquisition module. If the user tag is included in the permitted user tag, the provision of the service to the user who operated the terminal is permitted, and the authorized user is determined. And a determination module (45, S200-S230) that prohibits the provision of the service to the user who has operated the terminal when the tag does not include the user tag.
すなわち、本開示のセキュリティ管理システムでは、少なくとも1つのサーバにより提供される複数のサービスごとに、当該サービスへのアクセスが許可されるユーザを示す許可ユーザタグを定義したセキュリティ定義がセキュリティ定義記憶装置に記憶され、ユーザの属性を示すユーザタグがユーザIDごとにタグ情報記憶装置に記憶される。端末を介してユーザによりサービスの提供が要求されると、第1取得モジュールは、当該サービスの許可ユーザタグをセキュリティ定義から取得し、第2取得モジュールは、端末を操作したユーザのユーザIDに対応したユーザタグをタグ情報記憶手段から取得する。更に、判定モジュールは、第1取得モジュールにより取得された許可ユーザタグに、第2取得モジュールにより取得されたユーザタグが含まれているか否かを判定する。そして、許可ユーザタグにユーザタグが含まれている場合、端末を操作したユーザへのサービスの提供が許可され、許可ユーザタグにユーザタグが含まれていない場合、端末を操作したユーザへのサービスの提供が禁止される。 That is, in the security management system of the present disclosure, for each of a plurality of services provided by at least one server, a security definition that defines an authorized user tag that indicates a user permitted to access the service is stored in the security definition storage device. User tags stored and indicating user attributes are stored in the tag information storage device for each user ID. When the service is requested by the user via the terminal, the first acquisition module acquires the permitted user tag of the service from the security definition, and the second acquisition module corresponds to the user ID of the user who operated the terminal. The acquired user tag is acquired from the tag information storage means. Further, the determination module determines whether or not the permitted user tag acquired by the first acquisition module includes the user tag acquired by the second acquisition module. If the user tag is included in the permitted user tag, the provision of service to the user who operates the terminal is permitted. If the user tag is not included in the permitted user tag, the service to the user who operates the terminal. Is prohibited.
これにより、セキュリティ定義を定めると共に、ユーザ(ユーザID)に対して当該ユーザの属性を示すユーザタグを付与しておくことで、要求されたサービスへのユーザアクセスを許可するか否かを適正かつ速やかに判定することが可能となる。また、新規サービスが追加されたり、サービスの提供態様が変更されたりしても、セキュリティ定義を更新することで、追加・変更されたサービスへのユーザアクセスを許可するか否かを適正に判定することができる。更に、ユーザの所属や役職等が変更されたり、新規ユーザが追加されたりしても、ユーザ(ユーザID)にユーザタグを付与することで、当該ユーザへのサービスの提供の可否を適正に判定することが可能となる。従って、本開示のセキュリティ管理システムによれば、少なくとも1つのサーバにより提供される複数のサービスへのユーザアクセスを容易かつ適正に管理することができる。なお、サービスの提供には、上述のように、複数のオブジェクトから所望のオブジェクトを探し出すための検索ツールの提供や、単一のオブジェクトの提供が含まれてもよい。 Thus, by defining a security definition and adding a user tag indicating the attribute of the user to a user (user ID), whether or not to permit user access to the requested service is properly determined. It is possible to make a quick determination. Even if a new service is added or the service provision mode is changed, the security definition is updated to appropriately determine whether to permit user access to the added / changed service. be able to. Furthermore, even if a user's affiliation, job title, etc. are changed, or a new user is added, the user tag is assigned to the user (user ID) to appropriately determine whether the service can be provided to the user. It becomes possible to do. Therefore, according to the security management system of the present disclosure, it is possible to easily and appropriately manage user access to a plurality of services provided by at least one server. As described above, provision of services may include provision of a search tool for finding a desired object from a plurality of objects, or provision of a single object.
また、前記セキュリティ管理システム(10)は、前記ユーザタグごとに、前記判定モジュールによる判定処理の実行を許可する条件である判定許可条件を定義したユーザタグ定義を記憶するタグ定義記憶装置(51)と、前記ユーザタグ定義の前記ユーザタグおよび前記判定許可条件に基づいて、前記ユーザIDごとに前記タグ情報記憶装置(51)に記憶されている前記ユーザタグを有効化または無効化するタグ情報更新モジュール(55,S400−S440)とを更に備えてもよい。これにより、サービスの提供可否の判定に用いる必要のないユーザタグを無効化し、要求されたサービスへのユーザアクセスを許可するか否かをより速やかに判定することが可能となる。 In addition, the security management system (10) stores, for each user tag, a tag definition storage device (51) that stores a user tag definition that defines a determination permission condition that is a condition for permitting execution of the determination process by the determination module. And updating tag information for validating or invalidating the user tag stored in the tag information storage device (51) for each user ID based on the user tag of the user tag definition and the determination permission condition A module (55, S400-S440) may be further provided. As a result, it is possible to invalidate a user tag that does not need to be used for determining whether or not to provide a service, and more quickly determine whether or not to permit user access to the requested service.
更に、前記セキュリティ管理システム(10)は、前記ユーザIDごとに、ユーザの属性を記憶するユーザ情報記憶装置(61,71)を備えてもよく、前記タグ情報更新モジュール(55,S450−S490)は、前記ユーザタグ定義の前記ユーザタグごとに、該ユーザタグが示す属性に該当するユーザIDを前記ユーザ情報記憶装置(61,71)から取得し、取得したユーザIDに前記ユーザタグを割り当てて前記タグ情報記憶装置(52)に記憶させてもよい。これにより、ユーザタグ定義に新規ユーザタグが追加された際に、該当するユーザのユーザIDに当該新規ユーザタグを割り当てることが可能となる。また、ユーザの所属や役職等が変更されたり、新規ユーザが追加されたりしても、該当するユーザのユーザIDに、対応したユーザタグを割り当てることができる。この結果、サービスの提供の可否をより柔軟かつ適正に判定することが可能となる。なお、ユーザ情報記憶装置に記憶される情報(ユーザの属性を示す情報)には、アクセスログの解析情報が含まれてもよい。 Further, the security management system (10) may include a user information storage device (61, 71) for storing a user attribute for each user ID, and the tag information update module (55, S450-S490). For each user tag of the user tag definition, a user ID corresponding to the attribute indicated by the user tag is acquired from the user information storage device (61, 71), and the user tag is assigned to the acquired user ID. You may memorize | store in the said tag information storage device (52). Thereby, when a new user tag is added to the user tag definition, the new user tag can be assigned to the user ID of the corresponding user. Moreover, even if a user's affiliation, job title, or the like is changed or a new user is added, a corresponding user tag can be assigned to the user ID of the corresponding user. As a result, it is possible to more flexibly and appropriately determine whether the service can be provided. The information stored in the user information storage device (information indicating user attributes) may include access log analysis information.
また、前記セキュリティ管理システム(10)は、前記判定モジュール(45,S200−S230)により前記サービスへのアクセスが許可された前記ユーザの前記ユーザID、該ユーザにアクセスが許可された前記サービス、および該サービスを提供する前記サーバのIDをキャッシュ情報として記憶するキャッシュ情報記憶装置(42)を更に備えてもよく、前記判定モジュール(45,S110,S120)は、前記第1取得モジュール(45,S180)により取得された前記許可ユーザタグと、前記第2取得モジュール(45,S190)により取得された前記ユーザタグとを比較する前に、前記キャッシュ情報に基づいて、ユーザにより要求されたサービスの該ユーザへの提供を許可するか否かを判定してもよい。これにより、サービスの提供可否の判定をより速やかに実行することが可能となる。 The security management system (10) includes the user ID of the user permitted to access the service by the determination module (45, S200 to S230), the service permitted to the user, and The information processing apparatus may further include a cache information storage device (42) that stores the ID of the server providing the service as cache information, and the determination module (45, S110, S120) includes the first acquisition module (45, S180). ) Of the service requested by the user based on the cache information before comparing the authorized user tag acquired by the second acquisition module (45, S190) with the user tag acquired by the second acquisition module (45, S190). It may be determined whether or not the provision to the user is permitted. As a result, it is possible to more quickly determine whether the service can be provided.
更に、前記セキュリティ定義は、前記サービスごとに、前記判定モジュールによる判定処理の実行を許可する条件である判定許可条件を定義してもよく、前記セキュリティ管理システム(10)は、前記セキュリティ定義の前記判定許可条件に基づいて、前記判定処理の実行が許可されていないサービスの前記キャッシュ情報を削除するキャッシュ情報更新モジュール(45,S300−S350)を更に備えてもよい。これにより、セキュリティ定義に応じてキャッシュ情報を適正化し、キャッシュ情報に基づくサービスの提供可否の判定をより速やかに実行することが可能となる。 Further, the security definition may define a determination permission condition that is a condition for permitting execution of the determination process by the determination module for each service, and the security management system (10) A cache information update module (45, S300 to S350) that deletes the cache information of a service that is not permitted to execute the determination process based on a determination permission condition may be further provided. As a result, it is possible to optimize the cache information according to the security definition, and to more quickly execute the determination of whether or not the service can be provided based on the cache information.
また、本開示のセキュリティ管理方法は、サーバにより提供されるサービスへのユーザアクセスを管理するセキュリティ管理方法であって、
(a)複数のサービスごとに、該サービスへのアクセスが許可されるユーザの属性を示す許可ユーザタグを定義したセキュリティ定義をセキュリティ定義記憶装置(41)に記憶させると共に、ユーザIDごとに、当該ユーザIDを持つユーザの属性を示すユーザタグをタグ情報記憶装置(52)に記憶させるステップと、
(b)前記セキュリティ定義から、端末(100)を介してユーザにより要求されたサービスの前記許可ユーザタグを取得すると共に(S180)、前記タグ情報記憶装置(52)から、前記端末(100)を操作したユーザのユーザIDに対応した前記ユーザタグを取得するステップ(S190)と、
(c)ステップ(b)にて取得された前記許可ユーザタグに、ステップ(b)にて取得された前記ユーザタグが含まれているか否かを判定し、前記許可ユーザタグに前記ユーザタグが含まれている場合、前記端末を操作した前記ユーザへの前記サービスの提供を許可し、前記許可ユーザタグに前記ユーザタグが含まれていない場合、前記端末を操作した前記ユーザへの前記サービスの提供を禁止するステップ(S200−S230)と、
を含むものである。
The security management method of the present disclosure is a security management method for managing user access to a service provided by a server,
(A) For each of a plurality of services, a security definition that defines an authorized user tag indicating an attribute of a user permitted to access the service is stored in the security definition storage device (41), and for each user ID, Storing a user tag indicating an attribute of a user having a user ID in the tag information storage device (52);
(B) The authorized user tag of the service requested by the user via the terminal (100) is acquired from the security definition (S180), and the terminal (100) is retrieved from the tag information storage device (52). Obtaining the user tag corresponding to the user ID of the operated user (S190);
(C) It is determined whether or not the user tag acquired in step (b) is included in the permitted user tag acquired in step (b), and the user tag is included in the permitted user tag. If it is included, the provision of the service to the user who operates the terminal is permitted, and if the user tag is not included in the permitted user tag, the service to the user who operates the terminal A step of prohibiting the provision (S200-S230);
Is included.
本開示のセキュリティ管理方法のように、セキュリティ定義を定めると共に、ユーザ(ユーザID)に対して当該ユーザの属性を示すユーザタグを付与しておくことで、要求されたサービスへのユーザアクセスを許可するか否かを適正に判定することが可能となる。また、新規サービスが追加されたり、サービスの提供態様が変更されたりしても、セキュリティ定義を更新することで、追加・変更されたサービスへのユーザアクセスを許可するか否かを適正に判定することができる。更に、ユーザの所属や役職等が変更されたり、新規ユーザが追加されたりしても、ユーザ(ユーザID)にユーザタグを付与することで、当該ユーザへのサービスの提供の可否を適正に判定することが可能となる。従って、本開示のセキュリティ管理方法によれは、少なくとも1つのサーバにより提供される複数のサービスへのユーザアクセスを容易かつ適正に管理することができる。 As in the security management method of the present disclosure, the user is allowed to access the requested service by defining the security definition and assigning a user tag indicating the attribute of the user to the user (user ID). It is possible to appropriately determine whether or not to do so. Even if a new service is added or the service provision mode is changed, the security definition is updated to appropriately determine whether to permit user access to the added / changed service. be able to. Furthermore, even if a user's affiliation, job title, etc. are changed, or a new user is added, the user tag is assigned to the user (user ID) to appropriately determine whether the service can be provided to the user. It becomes possible to do. Therefore, according to the security management method of the present disclosure, user access to a plurality of services provided by at least one server can be easily and appropriately managed.
ただし、本開示の発明は上記実施形態に何ら限定されるものではなく、本開示の外延の範囲内において様々な変更をなし得ることはいうまでもない。更に、上記実施形態は、あくまで発明の概要の欄に記載された発明の具体的な一形態に過ぎず、発明の概要の欄に記載された発明の要素を限定するものではない。 However, the invention of the present disclosure is not limited to the embodiment described above, and it is needless to say that various changes can be made within the scope of the extension of the present disclosure. Furthermore, the above-described embodiment is merely a specific form of the invention described in the Summary of Invention column, and does not limit the elements of the invention described in the Summary of Invention column.
本開示の発明は、企業等において、サービスを提供するサーバへのユーザアクセスを管理するのに有用である。 The invention of the present disclosure is useful for managing user access to a server that provides a service in a company or the like.
1A,1B,1C システムサーバ、2 成果物記憶装置、3 成果物管理モジュール、10 セキュリティ管理システム、20 認証サーバ、21 ID情報記憶装置、25 認証情報管理モジュール、30 リバースプロキシサーバ、31 システムアドレス情報記憶装置、35 管理モジュール、40 セキュリティ管理サーバ、41 セキュリティ定義記憶装置、42 セキュリティキャッシュ記憶装置、45 セキュリティ管理モジュール、50 タグ管理サーバ、51 タグ定義記憶装置、52 タグ情報記憶装置、55 タグ管理モジュール、60 人事管理サーバ、61 人員情報記憶装置、62 組織情報記憶装置、65 人事情報管理モジュール、70 アクセスログ管理サーバ、71 ログ解析情報記憶装置、75 ログ解析管理モジュール、100 端末。
1A, 1B, 1C system server, 2 product storage device, 3 product management module, 10 security management system, 20 authentication server, 21 ID information storage device, 25 authentication information management module, 30 reverse proxy server, 31 system address
Claims (6)
前記複数のサービスおよび前記複数のオブジェクトごとに、該サービスまたは前記オブジェクトへのアクセスが許可されるユーザの属性を示す許可ユーザタグを定義したセキュリティ定義を記憶するセキュリティ定義記憶装置と、
ユーザIDごとに、当該ユーザIDを持つユーザの属性を示すユーザタグを記憶するユーザタグ情報記憶装置と、
オブジェクトIDごとに、当該オブジェクトIDを持つオブジェクトの属性を示すオブジェクトタグを記憶するオブジェクトタグ情報記憶装置と、
前記オブジェクトタグ情報記憶装置から、端末を介してユーザにより要求されたオブジェクトの前記オブジェクトIDに対応した前記オブジェクトタグを取得するオブジェクトタグ取得モジュールと、
前記セキュリティ定義から、前記端末を介してユーザにより要求されたサービスまたは前記オブジェクトタグ取得モジュールにより取得された前記オブジェクトタグに対応した前記許可ユーザタグを取得する第1取得モジュールと、
前記ユーザタグ情報記憶装置から、前記端末を操作したユーザのユーザIDに対応した前記ユーザタグを取得する第2取得モジュールと、
前記第1取得モジュールにより取得された前記許可ユーザタグに、前記第2取得モジュールにより取得された前記ユーザタグが含まれているか否かを判定し、前記許可ユーザタグに前記ユーザタグが含まれている場合、前記端末を操作した前記ユーザへの前記サービスまたは前記オブジェクトの提供を許可し、前記許可ユーザタグに前記ユーザタグが含まれていない場合、前記端末を操作した前記ユーザへの前記サービスまたは前記オブジェクトの提供を禁止する判定モジュールと、
を備えるセキュリティ管理システム。 A security management system for managing user access to a plurality of services and a plurality of objects provided by at least one server,
A security definition storage device for storing a security definition defining an authorized user tag indicating an attribute of a user permitted to access the service or the object for each of the plurality of services and the plurality of objects;
For each user ID, a user tag information storage device that stores a user tag indicating an attribute of the user having the user ID;
An object tag information storage device for storing an object tag indicating an attribute of an object having the object ID for each object ID;
An object tag acquisition module that acquires the object tag corresponding to the object ID of the object requested by the user via the terminal from the object tag information storage device;
A first acquisition module that acquires the permitted user tag corresponding to the object tag acquired by the service requested by the user via the terminal or the object tag acquisition module from the security definition;
A second acquisition module that acquires, from the user tag information storage device, the user tag corresponding to the user ID of the user who operated the terminal;
It is determined whether or not the permitted user tag acquired by the first acquisition module includes the user tag acquired by the second acquisition module, and the permitted user tag includes the user tag. If the user tag is permitted to be provided to the user who has operated the terminal, and the user tag is not included in the permitted user tag, the service to the user who has operated the terminal or A determination module for prohibiting the provision of the object;
A security management system comprising:
前記判定モジュールは、ユーザによりオブジェクトの提供が要求された場合、前記第1取得モジュールにより取得された前記許可ユーザタグと、前記第2取得モジュールにより取得された前記ユーザタグとを比較する前に、前記セキュリティ定義から取得された前記オブジェクトタグに前記オブジェクトタグ情報記憶装置から取得された前記オブジェクトタグが含まれているか否かを判定するセキュリティ管理システム。 The security management system according to claim 1,
The determination module, when the provision of an object is requested by a user, before comparing the authorized user tag acquired by the first acquisition module and the user tag acquired by the second acquisition module, A security management system for determining whether or not the object tag acquired from the object tag information storage device is included in the object tag acquired from the security definition.
前記オブジェクトタグごとに、前記判定モジュールによる判定処理の実行を許可する条件である判定許可条件を定義したオブジェクトタグ定義を記憶するタグ定義記憶装置と、
少なくとも前記オブジェクトタグ定義が更新された際に、前記オブジェクトIDに基づいて前記タグ情報記憶装置に記憶された前記オブジェクトタグを更新するタグ情報更新モジュールと、
を更に備えるセキュリティ管理システム。 In the security management system according to claim 1 or 2,
For each object tag, a tag definition storage device that stores an object tag definition that defines a determination permission condition that is a condition for permitting execution of a determination process by the determination module;
A tag information update module that updates the object tag stored in the tag information storage device based on the object ID when at least the object tag definition is updated;
A security management system further comprising:
前記判定モジュールにより前記サービスへのアクセスが許可された前記ユーザの前記ユーザID、該ユーザにアクセスが許可された前記サービス、該サービスを提供する前記サーバのID、前記判定モジュールにより前記オブジェクトへのアクセスが許可された前記ユーザの前記ユーザID、該ユーザにアクセスが許可された前記オブジェクト、および該オブジェクトを提供する前記サーバのIDをキャッシュ情報として記憶するキャッシュ情報記憶装置を更に備え、
前記判定モジュールは、前記第1取得モジュールにより取得された前記許可ユーザタグと、前記第2取得モジュールにより取得された前記ユーザタグとを比較する前に、前記キャッシュ情報に基づいて、ユーザにより要求されたサービスまたはオブジェクトの該ユーザへの提供を許可するか否かを判定するセキュリティ管理システム。 In the security management system according to any one of claims 1 to 3,
The user ID of the user permitted to access the service by the determination module, the service permitted to access the user, the ID of the server providing the service, and the access to the object by the determination module A cache information storage device that stores, as cache information, the user ID of the user who is permitted to access, the object that the user is permitted to access, and the ID of the server that provides the object;
The determination module is requested by the user based on the cache information before comparing the authorized user tag acquired by the first acquisition module with the user tag acquired by the second acquisition module. Security management system for determining whether or not to permit provision of a service or object to the user.
前記セキュリティ定義は、前記サービスおよび前記オブジェクトごとに、前記判定モジュールによる判定処理の実行を許可する条件である判定許可条件を定義しており、
前記セキュリティ定義の前記判定許可条件に基づいて、前記判定処理の実行が許可されていないサービスおよびオブジェクトの前記キャッシュ情報を削除するキャッシュ情報更新モジュールを更に備えるセキュリティ管理システム。 In the security management system according to claim 4,
The security definition defines a determination permission condition that is a condition for permitting execution of the determination process by the determination module for each of the service and the object.
A security management system further comprising: a cache information update module that deletes the cache information of services and objects that are not permitted to execute the determination process based on the determination permission condition of the security definition.
(a)複数のサービスおよび複数のオブジェクトごとに、該サービスまたは前記オブジェクトへのアクセスが許可されるユーザの属性を示す許可ユーザタグを定義したセキュリティ定義をセキュリティ定義記憶装置に記憶させると共に、ユーザIDごとに、当該ユーザIDを持つユーザの属性を示すユーザタグをユーザタグ情報記憶装置に記憶させ、かつオブジェクトIDごとに、当該オブジェクトIDを持つオブジェクトの属性を示すオブジェクトタグをオブジェクトタグ情報記憶装置に記憶させるステップと、
(b)前記セキュリティ定義から、端末を介してユーザにより要求されたサービスまたはユーザにより要求されたオブジェクトの前記オブジェクトタグに対応した前記許可ユーザタグを取得すると共に、前記ユーザタグ情報記憶装置から、前記端末を操作したユーザのユーザIDに対応した前記ユーザタグを取得するステップと、
(c)ステップ(b)にて取得された前記許可ユーザタグに、ステップ(b)にて取得された前記ユーザタグが含まれているか否かを判定し、前記許可ユーザタグに前記ユーザタグが含まれている場合、前記端末を操作した前記ユーザへの前記サービスまたは前記オブジェクトの提供を許可し、前記許可ユーザタグに前記ユーザタグが含まれていない場合、前記端末を操作した前記ユーザへの前記サービスまたは前記オブジェクトの提供を禁止するステップと、
を含むセキュリティ管理方法。 A security management method for managing user access to services and objects provided by a server, comprising:
(A) For each of a plurality of services and a plurality of objects, a security definition defining an authorized user tag indicating an attribute of a user permitted to access the service or the object is stored in a security definition storage device, and a user ID A user tag indicating the attribute of the user having the user ID is stored in the user tag information storage device, and an object tag indicating the attribute of the object having the object ID is stored in the object tag information storage device for each object ID. Memorizing step;
(B) obtaining the permitted user tag corresponding to the object tag of the service requested by the user via the terminal or the object requested by the user from the security definition, and from the user tag information storage device, Obtaining the user tag corresponding to the user ID of the user who operated the terminal;
(C) It is determined whether or not the user tag acquired in step (b) is included in the permitted user tag acquired in step (b), and the user tag is included in the permitted user tag. If included, the provision of the service or the object to the user who operated the terminal is permitted, and when the user tag is not included in the permitted user tag, the user who operated the terminal Prohibiting the provision of the service or the object;
Security management method including.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019101198A JP6852752B2 (en) | 2019-05-30 | 2019-05-30 | Security management system and security management method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019101198A JP6852752B2 (en) | 2019-05-30 | 2019-05-30 | Security management system and security management method |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015058269A Division JP6536109B2 (en) | 2015-03-20 | 2015-03-20 | Security management system and security management method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019164829A true JP2019164829A (en) | 2019-09-26 |
JP6852752B2 JP6852752B2 (en) | 2021-03-31 |
Family
ID=68065665
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019101198A Active JP6852752B2 (en) | 2019-05-30 | 2019-05-30 | Security management system and security management method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6852752B2 (en) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006323535A (en) * | 2005-05-17 | 2006-11-30 | Ricoh Co Ltd | Access controller, access control method, access control program and recording medium, and access control data and relation describing data |
JP2010039763A (en) * | 2008-08-05 | 2010-02-18 | Nomura Research Institute Ltd | Server system |
JP2013008229A (en) * | 2011-06-24 | 2013-01-10 | Canon Inc | Authentication system, authentication method and program |
-
2019
- 2019-05-30 JP JP2019101198A patent/JP6852752B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006323535A (en) * | 2005-05-17 | 2006-11-30 | Ricoh Co Ltd | Access controller, access control method, access control program and recording medium, and access control data and relation describing data |
JP2010039763A (en) * | 2008-08-05 | 2010-02-18 | Nomura Research Institute Ltd | Server system |
JP2013008229A (en) * | 2011-06-24 | 2013-01-10 | Canon Inc | Authentication system, authentication method and program |
Also Published As
Publication number | Publication date |
---|---|
JP6852752B2 (en) | 2021-03-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8752045B2 (en) | Methods and apparatus for using tags to control and manage assets | |
US8799321B2 (en) | License management apparatus, license management method, and computer readable medium | |
JP2010026653A (en) | Data access control method, data access control apparatus, and program | |
US11641356B2 (en) | Authorization apparatus, data server and communication system | |
US20110264767A1 (en) | Interactive processing method and apparatus between content-id management servers | |
JP2013196349A (en) | Employee information management system, information processing apparatus, employee information management system generation method, employee information management system generation program and information acquisition method | |
JP4240929B2 (en) | Access control method in file management system | |
JP6536109B2 (en) | Security management system and security management method | |
JP2007004210A (en) | Workflow processing method, device and program | |
JP3827690B2 (en) | Data management apparatus, data management method and program thereof | |
JP2003186747A (en) | Access authority management system, its management method and program | |
JP6852752B2 (en) | Security management system and security management method | |
JP2002202956A (en) | Security management system, security management method, and security management program | |
JP2004054779A (en) | Access right management system | |
JP2009187401A (en) | Document management system, document management apparatus, and document managing method and program | |
JP2007226428A (en) | Management system, management device and management program for authority of utilization | |
JPH11345211A (en) | Data processor and storage medium | |
JP2012190354A (en) | Document management system and document management method | |
JP2020150562A (en) | Information processing apparatus, information processing method, and computer program | |
JP2006085705A (en) | Data processor and storage medium | |
US20050108342A1 (en) | Management of account information for mail exchange | |
JP2005258591A (en) | Database access control system | |
JP5316015B2 (en) | Information processing apparatus and program | |
JP2008217740A (en) | Erp user information management method and device, and erp system and program | |
JP6669696B2 (en) | Message generation device, message generation method, and message generation program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190530 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200327 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200512 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20200710 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200722 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201215 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210119 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210209 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210222 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6852752 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20210423 |