JP3700788B2 - セキュリティ管理方法 - Google Patents
セキュリティ管理方法 Download PDFInfo
- Publication number
- JP3700788B2 JP3700788B2 JP2004017282A JP2004017282A JP3700788B2 JP 3700788 B2 JP3700788 B2 JP 3700788B2 JP 2004017282 A JP2004017282 A JP 2004017282A JP 2004017282 A JP2004017282 A JP 2004017282A JP 3700788 B2 JP3700788 B2 JP 3700788B2
- Authority
- JP
- Japan
- Prior art keywords
- menu
- user
- department
- file
- personal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は情報処理システムにおけるセキュリティ管理方法に関する。
情報処理システムにおいてセキュリティ管理を行う方法として、特公平03−37224号公報(特許文献1)にあるようにパスワードによる利用者の識別と、利用者毎の利用可能なメニューおよびデータ範囲の設定が一般的である。さらに、進んだ方法として企業における利用を主眼とした場合は、特開平03−246742号公報(特許文献2)のように、利用者・部門別の画面利用情報をデータとして管理し、重要メニュー、サブメニューの様に階層化して利用者名、パスワードと一致した場合のみ利用可能とすることにより機密性を高める方法がある。このような現在のセキュリティ管理を利用しても企業内の組織体系に合わせた設定を行うことは可能であり、情報処理システムを管理する部署が利用者の身分あるいは部門、課などを考慮してメニューの設定を行っている。
しかし従来技術では利用者数が少ないうちは問題ないが、従業員一人一人に上記のパスワード、メニューを設定した場合や、組織の数が増加した場合、情報処理システム管理部門の作業負荷が大幅に増えることになる。また情報処理システム管理部門は、組織内の各部署がどのような処理やデータを利用するか詳しく知らないために、必要以上に許可範囲を狭くしたり、逆に本来許可されるべきでない情報も許可されるといった弊害もでてくる。企業では組織の変更や人員の異動は頻繁に行われるが、人事異動などが発生した場合は個人毎の許可範囲が変わるので改めてメニューやパスワードの設定を行なう必要があり、保守にも手間がかかるといった問題がある。またその対応が遅かったり忘れた場合は本来は禁止されるべき元の部署の情報がアクセスでき、新しい部署での情報にアクセスができないといった問題が起きる。
本発明は、このようなセキュリティ管理と企業組織との不整合を無くして、企業組織に合った形でセキュリティ管理ができ、設定および変更を容易にすることにより、情報システム部門の作業負荷を軽減し、かつ機密安全性を高めることを目的とする。
本発明のセキュリティ管理方法は、
少なくとも、入力装置、表示装置及び補助記憶装置を備えた情報処理システムにおけるセキュリティ管理方法であって、
前記入力装置から入力された情報処理システムの利用者の社員コード又はログイン名及びパスワードに基づいて前記補助記憶装置に記憶されているパスワードファイルを検索することにより、前記利用者が正当な利用者であるか否かを判定する工程と、
前記工程において、前記利用者が正当な利用者であると判定された場合、前記利用者の個人メニューファイルがあるか否かを判断する工程と、
前記工程において、前記利用者の個人メニューファイルがないと判断された場合、前記利用者の社員コードに基づいて前記補助記憶装置に記憶されている組織データファイルを検索することにより、前記利用者の組織上の上位者を特定する工程と、
特定された前記上位者の個人メニューファイルを前記補助記憶装置から獲得する工程と、
獲得された前記上位者の個人メニューファイルに基づいて表示データを作成し、前記表示装置にメニューを表示する工程と、
表示された前記メニューに対する前記入力装置から入力されたメニュー項目選択指示に基づいて前記利用者の個人メニューを作成する工程と
を備えたことを特徴とする。
少なくとも、入力装置、表示装置及び補助記憶装置を備えた情報処理システムにおけるセキュリティ管理方法であって、
前記入力装置から入力された情報処理システムの利用者の社員コード又はログイン名及びパスワードに基づいて前記補助記憶装置に記憶されているパスワードファイルを検索することにより、前記利用者が正当な利用者であるか否かを判定する工程と、
前記工程において、前記利用者が正当な利用者であると判定された場合、前記利用者の個人メニューファイルがあるか否かを判断する工程と、
前記工程において、前記利用者の個人メニューファイルがないと判断された場合、前記利用者の社員コードに基づいて前記補助記憶装置に記憶されている組織データファイルを検索することにより、前記利用者の組織上の上位者を特定する工程と、
特定された前記上位者の個人メニューファイルを前記補助記憶装置から獲得する工程と、
獲得された前記上位者の個人メニューファイルに基づいて表示データを作成し、前記表示装置にメニューを表示する工程と、
表示された前記メニューに対する前記入力装置から入力されたメニュー項目選択指示に基づいて前記利用者の個人メニューを作成する工程と
を備えたことを特徴とする。
また、本発明のセキュリティ管理方法は、
情報処理システムの利用者の所属部署が変更になった場合、前記入力装置から入力された前記利用者の社員コードに基づいて前記補助記憶装置に記憶されている前記利用者の個人メニューファイルを削除する工程と、
前記補助記憶装置に記憶されている前記組織データファイルから前記利用者の社員コードを削除する工程と、
前記入力装置から入力された前記利用者の異動先の所属部署の部署コードに基づいて前記組織データファイルの中の前記異動先の部署の欄に前記利用者の社員コードを追加する工程と
を更に備えたことを特徴とする。
情報処理システムの利用者の所属部署が変更になった場合、前記入力装置から入力された前記利用者の社員コードに基づいて前記補助記憶装置に記憶されている前記利用者の個人メニューファイルを削除する工程と、
前記補助記憶装置に記憶されている前記組織データファイルから前記利用者の社員コードを削除する工程と、
前記入力装置から入力された前記利用者の異動先の所属部署の部署コードに基づいて前記組織データファイルの中の前記異動先の部署の欄に前記利用者の社員コードを追加する工程と
を更に備えたことを特徴とする。
本発明によれば、下位者の個人メニューをその上位者のメニューから作成することによって、情報システム管理部門の作業負荷を軽減し、その部署に適合したセキュリティを設定することができるので、機密安全性が高まる。また、下位者は上位者の持つメニューを基にさらに制限したメニューからのみ情報システムにアクセスするので機密安全性が高まる。また、担当者自身が上位者の持つメニューを基に許可された範囲から自分のメニューを作成、編集できるので情報システムを操作するときの操作性、視認性が高まる。また、人事異動によって担当者が別の部署に異動した場合でも、組織データを更新するだけで異動者の許可範囲を変更できるので、情報システム管理部門の作業負荷を軽減でき、人事異動と許可範囲変更の時間差をなくすことができる。
本発明の実施例を図を用いて説明する。図1は本発明のブロック図である。ログイン名、パスワード、社員コード等を入力するための入力装置1と、入力されたログイン名、パスワード、社員コード等から正当な利用者かどうかをチェックするチェック部2と、表示メニューを作成するためのメニュー作成部3と、作成したメニューを表示するためのCRT等の表示装置4から構成され、さらにチェック部2で正当な利用者かチェックを行うための正当な利用者の情報が格納されたパスワードデータファイル5と、組織の階層情報、社員コード等が格納された組織データファイル6と、利用者の個人毎のメニューの情報が格納された個人メニューデータファイル7から構成されている。5、6、7はそれぞれ補助記憶装置に格納されている。
図10は本実施例の概念を実際のメニュー例として示した図である。情報システムの機能の全メニューが101であり、管理レベルは全社、トップ管理者が利用できるメニューである。全メニュー101より財務会計部分のメニューのみを作成したメニューが102であり、管理レベルは部、管理する部門は財務部で、財務部の部門管理者が使用するメニューである。さらに管理レベルが部門のメニューから管理レベルが課単位のメニューを経て、管理レベルが担当者のメニュー103を作成している。これらの過程で組織データファイル6に含まれる会社の組織構造を参照して下位のメニューを作成している。
図2はパスワードデータファイル5の例であり、全ての利用者を識別するための情報が21に格納されている。利用者を識別するためのログイン名、利用者を特定するための利用者のみが知るパスワード、社内で従業員に一意的に付けられた利用者の社員コード、利用者毎のメニューの情報が格納された個人メニューファイル7のファイル名から構成されている。
図3は個人メニューファイル7の例であり、利用者一人一人に31に示す情報が格納されたファイルがある。一つ一つのメニュー項目を識別するためのメニューコード、メニューを表示装置4に表示するときに表示するかどうかを示す表示フラグ、メニュー作成部3で表示データを作成する時に使用するメニューの表示名、利用者が情報システムを使用して処理を起動するとき、メニュー項目と処理プログラムを結び付けるための起動プログラム名から構成されている。
図4は組織データファイル6の例であり、会社の組織構造を格納したファイル41である。企業内で組織の階層に従って部署毎に一意に付けられた部署コードと部署名、その部署の管理者(例えば課長)の社員コード、その部署の所属員の社員コード(複数)から構成され、社員コードから所属部署が検索できるようになっている。また部署コードにより上位部署名も分かるように構成されている。
次に本実施例を図5のフローチャートを用いて説明する。図5は個人メニューを利用する担当者以外の人が個人メニューファイルを作成する時の処理フローチャートである。入力装置1より作成する担当者の社員コードを入力する(ST1)と、社員コードが正当かチェック部2でチェックする。正当であればメニュー作成部3で組織データファイル6を補助記憶装置から読み込む(ST2)。組織データファイル6では社員と所属部署の関係を情報として格納しているので、社員コードを基に所属部署とその部署の管理者を検索する(ST3)。検索の結果から管理者の社員コードが分かるので、パスワードデータファイル5から管理者の個人メニューファイル名を検索し、個人メニューファイル7を読み込む(ST4)。メニュー作成部3では、この管理者の個人メニューファイルから表示データを作成し、表示装置4にメニューを表示する(ST5)。
ST6、ST7、ST8は管理者の個人メニューの中から担当者に表示を許可するかどうかを入力する処理であり、入力装置1から認可、否認可を入力し(ST6)、否認可とするメニュー項目は削除し(ST7N、ST8)、認可するメニュー項目はそのまま残す(ST7Y)。設定項目が終了したら(ST9Y)担当者の個人メニューファイルに書き込む。これにより、管理者の個人メニューファイルから認可するメニュー項目のみで構成された担当者用の個人メニューファイルが作成できる。
図6は図5のフローチャートの処理に従って担当者用のメニューを作成した例である。
経理1課の課長に許可されたメニュー61は、この課長の個人のメニューであり7個のメニュー項目からなる。このメニューから作成され担当者に許可されたメニューが62であり、3個のメニュー項目となっている。このように本実施例によれば、組織上の上位者のメニューから制限して下位者のメニューを作る事ができるので全体メニューから作る場合に比べ少ない操作で担当者のメニューを作成できる。また、経理1課の許可範囲が課長自身のメニューにより制限されているので、経理1課の業務に詳しくない人が設定しても許可範囲の誤りなく個人メニューファイルを作成できる。
経理1課の課長に許可されたメニュー61は、この課長の個人のメニューであり7個のメニュー項目からなる。このメニューから作成され担当者に許可されたメニューが62であり、3個のメニュー項目となっている。このように本実施例によれば、組織上の上位者のメニューから制限して下位者のメニューを作る事ができるので全体メニューから作る場合に比べ少ない操作で担当者のメニューを作成できる。また、経理1課の許可範囲が課長自身のメニューにより制限されているので、経理1課の業務に詳しくない人が設定しても許可範囲の誤りなく個人メニューファイルを作成できる。
つぎに、担当者が自分のメニューを作成するときの実施例を図7のフローチャートに従って説明する。担当者は入力装置1より自分のログイン名、パスワードを入力すると(ST21)、チェック部2ではパスワードデータファイル5を検索して利用者に登録されているかどうかをチェックする(ST22)。正当な利用者であればメニュー作成部3で、この担当者の個人メニューファイルが作成済かどうかをチェックし(ST23)、作成済であればST23Yに行く。未作成であればST23Nに行き、組織データファイル6を読み込む(ST24)。社員コードを基に組織データファイル6から所属部署とその部署の管理者を検索する(ST25)。検索の結果から管理者の社員コードが分かるので、パスワードデータファイル5から管理者の個人メニューファイル名を獲得し、この管理者の個人メニューファイルを担当者の個人メニューファイルにコピーする(ST26)。この情報を基に表示データを作成して表示装置4にメニューを表示する(ST27)。ST28、ST29、ST30では担当者自らが必要と思われるメニュー項目を表示する、しないを入力する。表示する場合は個人メニューファイル31の表示フラグをON(ST31)、表示しない場合はOFF(ST30)とする。メニュー項目の設定が終了(ST32Y)段階で個人メニューファイルを書き込む。これにより、この担当者の個人メニューファイルが作成される。
担当者が自分のメニューを作成するのは次の二つの場合が考えられる。一つは上位者(例えば課長)が図5のフローチャートによって作成済みの個人メニューファイルがあるが、担当者がさらに操作性を向上したい場合であり、もう一つは上位者と担当者のセキュリティ管理レベルがほとんど同じ(例えば課内のグループ長と担当者)場合で担当者は未作成の状態から個人メニューを作れば良い。
図8は作成済みの個人メニューを基に各メニュー項目を編集することによって、見やすく操作性を向上するための操作画面例である。作成済みの個人メニューを表示したウインドウが81であり、作成済み個人メニューウインドウ81を階層構造で表示した基メニューウインドウが83である。これを基に表示、非表示の入力、およびメニュー項目の順番入れ換えなどの操作を行う編集ウインドウが82である。個人メニューを変更するには、基メニューウインドウ83の中で設定ボタンをポインティングデバイス例えばマウスでクリックすると、基ウインドウ83と同じ内容が編集ウインドウ82に表示される。この編集ウインドウ82の中で、例えば日常業務のメニュー項目をクリックし、非表示に設定、経営分析のメニュー項目をクリックしメニューの先頭に移動などの操作を行う。その結果が編集ウインドウ82の様に、先頭に経営分析、経営分析情報設定、帳表作成のメニューとなっている。この編集操作を終了すれば、メニューウインドウ81は編集ウインドウ83に従ったメニューになる。
図9は人事異動にともなって担当者の所属部署が変更になったときの、個人メニューを無効とするフローチャートである。入力装置1から異動者の社員コードを入力する(ST50)。社員コードの正当性をチェック後、社員コードを基にパスワードデータファイル5から個人メニューファイル名を得て、このファイルを削除する(ST51)。次に組織データファイルを読み込んで(ST52)元籍の部署から異動者の社員コードを削除する(ST53)。次に入力装置1から異動先の部署の部署コードを入力し(ST54)、異動先部署に異動者の社員コードを追加する(ST55)。組織データファイルを補助記憶装置に書き込み(ST56)、終了する。これにより組織データを変更するだけで異動した担当者のメニューは削除され、しかもパスワードは残されているので、この後異動者が情報システムを利用しようとするとログインは可能であるが元籍の部署のメニューは表示されない。新たなメニューは新しい部署での上位管理者のメニューから作成するので、システム管理部門の手間をかけずに、人事異動に伴うセキュリティ管理が容易にできる。
さらに、本実施例では管理者の個人メニューファイルを基に下位者の個人メニューファイル7を作成する例を示したが、組織変更にともなって管理者自身も人事異動することもある。この場合、一時的に管理者レベルの個人メニューファイルが無くなってしまう不都合も発生する。これを防ぐには管理者の個人メニューファイルではなく、仮想的な管理者を設定し仮想管理者のパスワード、個人メニューファイルを作成して置けばよい。さらに仮想管理者のログイン名を部署コードと一致させれば、即ち部署単位のメニューが作成できることになる。パスワードデータファイルの中に部署コードをログイン名として設定すれば、図5のフローチャートにより、部署単位のメニューが作成できる。担当者の個人メニューを仮想管理者(部門)の個人メニューから作成すれば、管理者個人のメニューと、組織上のメニューと分離することができる。
また本実施例ではログイン名と社員コードを別のものとして説明したが、共に情報システム内では一意であるので、ログイン名に社員コードを使用すれば、パスワードデータファイル5の容量が少なくなり、情報システム管理部門の作業負荷も少なくなる。
また、本実施例では企業内の組織を例に説明したが、関連会社を含めた組織にも適用できる。例えば、本社と複数の関連会社がある場合、関連会社を一部門に位置付けて組織データファイルに組み込めば、関連会社の担当者もセキュリティ管理された情報システムのメニューを利用できる。今まで説明したように、本実施例を用いると情報処理システム管理部門では利用者のパスワード管理を行う必要があるが、一人一人の許可範囲についてまで関わる必要はなくなる。一人一人の許可範囲は組織の上位管理者およびその下の中間管理者が決めれば、必然的に下位者の範囲も決定されてくるので、許可範囲の誤りも少なくなる。このように本発明によれば企業における組織図に則ってセキュリティ管理の設定が容易にできるようになり、また下位者が組織図の範囲を越えてデータを利用することもできなくなり、情報処理システムの機密安全性が高められる。
1 入力装置
2 チェック部
3 メニュー作成部
4 表示装置
5 パスワードデータファイル
6 組織データファイル
7 個人メニューファイル
2 チェック部
3 メニュー作成部
4 表示装置
5 パスワードデータファイル
6 組織データファイル
7 個人メニューファイル
Claims (2)
- 少なくとも、入力装置、表示装置及び補助記憶装置を備えた情報処理システムにおけるセキュリティ管理方法であって、
前記入力装置から入力された情報処理システムの利用者の社員コード又はログイン名及びパスワードに基づいて前記補助記憶装置に記憶されているパスワードファイルを検索することにより、前記利用者が正当な利用者であるか否かを判定する工程と、
前記工程において、前記利用者が正当な利用者であると判定された場合、前記利用者の個人メニューファイルがあるか否かを判断する工程と、
前記工程において、前記利用者の個人メニューファイルがないと判断された場合、前記利用者の社員コードに基づいて前記補助記憶装置に記憶されている組織データファイルを検索することにより、前記利用者の組織上の上位者を特定する工程と、
特定された前記上位者の個人メニューファイルを前記補助記憶装置から獲得する工程と、
獲得された前記上位者の個人メニューファイルに基づいて表示データを作成し、前記表示装置にメニューを表示する工程と、
表示された前記メニューに対する前記入力装置から入力されたメニュー項目選択指示に基づいて前記利用者の個人メニューを作成する工程と
を備えたことを特徴とする情報処理システムにおけるセキュリティ管理方法。 - 情報処理システムの利用者の所属部署が変更になった場合、前記入力装置から入力された前記利用者の社員コードに基づいて前記補助記憶装置に記憶されている前記利用者の個人メニューファイルを削除する工程と、
前記補助記憶装置に記憶されている前記組織データファイルから前記利用者の社員コードを削除する工程と、
前記入力装置から入力された前記利用者の異動先の所属部署の部署コードに基づいて前記組織データファイルの中の前記異動先の部署の欄に前記利用者の社員コードを追加する工程と
を更に備えたことを特徴とする請求項1に記載の情報処理システムにおけるセキュリティ管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004017282A JP3700788B2 (ja) | 2004-01-26 | 2004-01-26 | セキュリティ管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004017282A JP3700788B2 (ja) | 2004-01-26 | 2004-01-26 | セキュリティ管理方法 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP32764693A Division JP3536329B2 (ja) | 1993-12-24 | 1993-12-24 | セキュリティ管理装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004164676A JP2004164676A (ja) | 2004-06-10 |
| JP3700788B2 true JP3700788B2 (ja) | 2005-09-28 |
Family
ID=32821995
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004017282A Expired - Fee Related JP3700788B2 (ja) | 2004-01-26 | 2004-01-26 | セキュリティ管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3700788B2 (ja) |
-
2004
- 2004-01-26 JP JP2004017282A patent/JP3700788B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2004164676A (ja) | 2004-06-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU735365B2 (en) | A method and apparatus for document management utilizing a messaging system | |
| US7703021B1 (en) | Defining user access in highly-configurable systems | |
| JP4299447B2 (ja) | ワークフローシステム、情報処理装置、および記憶媒体 | |
| JP4709612B2 (ja) | プロジェクトを構成するタスクに人員を割当てるための方法、プログラムおよびコンピュータ | |
| KR19980071452A (ko) | 정보 등록 방법 및 문서 정보 처리 장치 | |
| KR20100047220A (ko) | 문서관리장치, 방법 및 프로그램 | |
| JP2011198109A (ja) | Id管理方法、id管理システム、およびid管理プログラム | |
| JP2003030026A (ja) | データ管理装置 | |
| JP5369364B2 (ja) | Id管理装置、id管理システム、id管理方法 | |
| JP4940198B2 (ja) | 文書管理装置、文書管理プログラムおよび記録媒体 | |
| JP3536329B2 (ja) | セキュリティ管理装置 | |
| JPWO2002071269A1 (ja) | インターネットによる特許または実用新案の情報検索管理システム | |
| JP3700788B2 (ja) | セキュリティ管理方法 | |
| JP4276717B2 (ja) | データベースシステム | |
| JPH06318167A (ja) | オブジェクト走査装置及び方法 | |
| JP5394178B2 (ja) | 情報処理装置及びプログラム | |
| JP2005285008A (ja) | データセキュリティ管理システム、プログラム、データセキュリティ管理方法 | |
| JP4955434B2 (ja) | 認証処理装置 | |
| JP2007226428A (ja) | 利用権限管理システム、利用権限管理装置、および利用権限管理プログラム | |
| US20090235168A1 (en) | User mediated embedded help system | |
| JPH0850559A (ja) | ファイル記憶保護装置 | |
| JP2004030622A (ja) | 事務手続処理装置及び事務手続処理システム | |
| KR20000018264A (ko) | 네트워크를 이용한 정보 제공 방법 | |
| JP2006085705A (ja) | データ処理装置及び記憶媒体 | |
| JPH0969112A (ja) | 知的財産情報管理システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050405 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050526 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20050526 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20050622 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20050705 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080722 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090722 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100722 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110722 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110722 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120722 Year of fee payment: 7 |
|
| LAPS | Cancellation because of no payment of annual fees |