JP4417819B2 - Information processing apparatus, responsibility determination method, responsibility determination program, and recording medium - Google Patents

Information processing apparatus, responsibility determination method, responsibility determination program, and recording medium Download PDF

Info

Publication number
JP4417819B2
JP4417819B2 JP2004324894A JP2004324894A JP4417819B2 JP 4417819 B2 JP4417819 B2 JP 4417819B2 JP 2004324894 A JP2004324894 A JP 2004324894A JP 2004324894 A JP2004324894 A JP 2004324894A JP 4417819 B2 JP4417819 B2 JP 4417819B2
Authority
JP
Japan
Prior art keywords
classification
resource
subject
responsibility
information storage
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004324894A
Other languages
Japanese (ja)
Other versions
JP2006134216A (en
Inventor
実希 米山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2004324894A priority Critical patent/JP4417819B2/en
Publication of JP2006134216A publication Critical patent/JP2006134216A/en
Application granted granted Critical
Publication of JP4417819B2 publication Critical patent/JP4417819B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、情報処理装置、責務判定方法、責務判定プログラム及び記録媒体に関し、特にセキュリティポリシーに基づいて資源に対する操作の許否を判定させる情報処理装置、責務判定方法、責務判定プログラム及び記録媒体に関する。   The present invention relates to an information processing device, an obligation determination method, an obligation determination program, and a recording medium, and more particularly, to an information processing device, an obligation determination method, an obligation determination program, and a recording medium that determine whether a resource is permitted to operate based on a security policy.

コンピュータシステムにおいては、文書等の資源の不正利用等を防止すべく各資源に対してアクセス権が定義されているのが一般である。かかるアクセス権が定義されたデータは、一般にACL(Access Control List)と呼ばれている。ACLは、文書ごとに定義されており、その定義内容は、各ユーザに対する各種操作権限の有無を示すものである
他方において、従来、各種システムごとに保持されていた操作権限情報を、各種のセキュリティ情報と合わせて特定のサーバ(以下、「セキュリティサーバ」という。)において一元管理することにより、複数のシステムにおける資源に対するアクセス制御について、共通のセキュリティルールを適用することが可能なシステム形態が採用され始めている。ここで、セキュリティサーバにおいて管理されている情報は、一般にセキュリティポリシーと呼ばれている。 In computer systems, access rights are generally defined for each resource in order to prevent unauthorized use of resources such as documents. Data in which such access rights are defined is generally called an ACL (Access Control List). The ACL is defined for each document, and the definition content indicates the presence or absence of various operation authorities for each user. On the other hand, the operation authority information that has been conventionally held for each system is changed to various security functions. A system configuration is adopted in which a common security rule can be applied to access control for resources in a plurality of systems by centrally managing a specific server (hereinafter referred to as “security server”) together with information. I'm starting. Here, information managed in the security server is generally called a security policy.

セキュリティポリシーにおいては、文書等、操作(閲覧、印刷、編集、削除等)の対象となる資源を当該資源の特定の属性に基づいて分類し、ユーザ等、操作の主体を当該主体の特定の属性に基づいて分類し、資源の分類と主体の分類との組み合わせに応じて、各操作の種別ごとに当該操作の許否判定に関する規則(セキュリティルール)が定義される。セキュリティルールにおいて操作が許可される場合は、当該操作を実行する際に併せて実行すべき責務についても定義され得る。   In the security policy, resources such as documents that are subject to operations (viewing, printing, editing, deletion, etc.) are classified based on specific attributes of the resources, and the operation subject such as a user is specified by the specific attributes of the subject. In accordance with the combination of the resource classification and the subject classification, a rule (security rule) for determining whether or not to permit the operation is defined for each operation type. When the operation is permitted in the security rule, it is possible to define the responsibility to be executed together with the operation.

代表的な責務の一つがログ記録である。許可された操作に対する責務としてログ記録が定義されている場合、操作が正常に終了した際に、いつ、誰が、どの資源に対して、当該操作を実行したか等に関する情報をログ(アクセスログ)として記録することが義務付けられる。また、許可された操作を実行中にエラーが発生した場合は、責務としてログ記録が規定されているかどうかに関わらず、操作の種類や発生したエラーの程度に応じたログ(エラーログ)を記録しておく必要もある。
特開2002−56176号公報 特開2003−150751号公報 One of the typical responsibilities is logging. When logging is defined as the responsibility for an authorized operation, when the operation is completed successfully, information on when and who performed the operation on which resource is logged (access log) Must be recorded as Also, if an error occurs during execution of an allowed operation, a log (error log) corresponding to the type of operation and the degree of error that occurred is recorded regardless of whether or not logging is defined as a responsibility. It is also necessary to keep it.
JP 2002-56176 A JP 2003-150751 A

しかしながら、上述したように、セキュリティルールは、資源の分類と主体の分類との組み合わせごとに定義されるところ、セキュリティルールに応じて出力するログの内容が異なる場合は、その組み合わせごとに責務の定義を行う必要がある。したがって、セキュリティポリシーの保守作業が煩雑となるだけでなく、セキュリティポリシー全体として矛盾のない定義を行うことが困難となるという問題がある。   However, as described above, security rules are defined for each combination of resource classification and subject classification. If the log contents to be output differ depending on the security rule, the responsibility definition is defined for each combination. Need to do. Accordingly, there is a problem that not only the maintenance work of the security policy becomes complicated, but also it is difficult to make a consistent definition as a whole security policy.

本発明は、上記の点に鑑みてなされたものであって、セキュリティポリシーにおける責務の定義を容易に行わせることのできる情報処理装置、責務判定方法、責務判定プログラム及び記録媒体の提供を目的とする。   The present invention has been made in view of the above points, and it is an object of the present invention to provide an information processing apparatus, an obligation determination method, an obligation determination program, and a recording medium that can easily define an obligation in a security policy. To do.

そこで上記課題を解決するため、本発明は、操作の主体の識別名ごとに前記主体が属する主体分類を記憶した主体分類情報記憶手段と、操作の対象となる資源の識別名ごとに前記資源が属する資源分類を記憶した資源分類情報記憶手段と、前記資源に対して可能な操作ごとに前記操作が属する操作分類を記憶した操作分類情報記憶手段と、前記主体分類及び前記資源分類の組み合わせに応じて前記操作分類ごとに操作の許否を示す情報と、当該操作の実行に伴って要求される責務の有無を示す情報とを記憶したポリシー記憶手段と、操作の主体の識別名及び操作対象とされた資源の識別名が指定された操作要求に応じ、当該主体が属する前記主体分類を当該主体の識別名と前記主体分類情報記憶手段とに基づいて判定し、当該資源が属する前記資源分類を当該資源の識別名と前記資源分類情報記憶手段とに基づいて判定し、当該操作要求に係る操作が属する前記操作分類を前記操作分類情報記憶手段に基づいて判定し、判定された前記主体分類、前記資源分類、及び前記操作分類と前記ポリシー記憶手段とに基づいて前記操作要求に係る操作の許否と前記責務の有無とを判定する操作許否判定手段と、前記操作要求に係る操作が許可され、前記責務が有ると判定された場合に、前記操作分類に応じ、前記資源分類及び前記主体分類とは非依存に前記責務の内容を記憶する責務詳細情報記憶手段を用いて前記責務の内容を判定する責務内容判定手段とを有する
In order to solve the above-described problem, the present invention provides a subject classification information storage unit that stores a subject classification to which the subject belongs for each identifier of the subject of the operation, and a resource for each identifier of the resource to be operated. Depending on the combination of the resource classification information storage means storing the resource classification to which it belongs, the operation classification information storage means storing the operation classification to which the operation belongs for every possible operation on the resource, and the combination of the subject classification and the resource classification Policy storage means storing information indicating whether or not an operation is permitted for each operation classification, and information indicating the presence or absence of a duty required when the operation is performed, and an identification name and an operation target of an operation subject. In response to an operation request in which a resource identification name is designated, the subject classification to which the subject belongs is determined based on the subject identification name and the subject classification information storage unit, and before the resource belongs to The resource classification is determined based on the resource identification name and the resource classification information storage means, the operation classification to which the operation related to the operation request belongs is determined based on the operation classification information storage means, and the determined Operation permission / rejection determination means for determining permission / rejection of the operation according to the operation request and presence / absence of the responsibility based on the subject classification, the resource classification, and the operation classification and the policy storage means, and an operation according to the operation request. If it is determined that the responsibility is granted, the responsibility detailed information storage unit stores the content of the responsibility independently of the resource classification and the subject classification according to the operation classification. And responsibility content determination means for determining the content .

このような情報処理装置では、操作の分類に対応させて責務に関する情報を定義すればよいため、上記許否判定に関する規則ごとに責務に関する情報を定義する必要はなく、セキュリティポリシーにおける責務の定義を容易に行わせることができる。   In such an information processing apparatus, it is only necessary to define information on duties corresponding to the classification of operations. Therefore, it is not necessary to define information on duties for each rule relating to the above permission / rejection determination, and it is easy to define duties in the security policy. Can be done.

また、上記課題を解決するため、本発明は、上記情報処理装置における責務判定方法、前記責務判定方法を前記情報処理装置に実行させるための責務判定プログラム、又は前記責務判定プログラムを記録した記録媒体としてもよい。   In order to solve the above-described problems, the present invention provides a duty determination method in the information processing apparatus, a duty determination program for causing the information processing apparatus to execute the duty determination method, or a recording medium on which the duty determination program is recorded. It is good.

本発明によれば、セキュリティポリシーにおける責務の定義を容易に行わせることのできる情報処理装置、責務判定方法、責務判定プログラム及び記録媒体を提供することができる。   According to the present invention, it is possible to provide an information processing apparatus, an obligation determination method, an obligation determination program, and a recording medium that can easily define an obligation in a security policy.

以下、図面に基づいて本発明の実施の形態を説明する。図1は、本発明の実施の形態における文書管理システムの構成例を示す図である。図1に示されるように、本実施の形態における文書管理システム1は、セキュリティ管理サーバ10、文書管理サーバ20、認証サーバ30、クライアント装置40、印刷サーバ51、変換サーバ52及び配信サーバ53等が、インターネットやLAN(Local Area Network)等のネットワーク60(有線又は無線の別は問わない。)を介して接続されることにより構成されている。   Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is a diagram showing a configuration example of a document management system according to an embodiment of the present invention. As shown in FIG. 1, the document management system 1 according to the present embodiment includes a security management server 10, a document management server 20, an authentication server 30, a client device 40, a print server 51, a conversion server 52, a distribution server 53, and the like. It is configured by being connected through a network 60 (whether wired or wireless), such as the Internet or a LAN (Local Area Network).

セキュリティ管理サーバ10は、文書に関連したセキュリティ上の各種情報(以下、「セキュリティ情報」という。)の管理を行うためのコンピュータである。文書管理システム1において文書を取り扱う各種サーバ(文書管理サーバ10、印刷サーバ51、変換サーバ52、及び配信サーバ53)は、セキュリティ管理サーバ10に管理されているセキュリティ情報に基づいて、各ユーザの文書に対する操作権限の有無等を判断する。   The security management server 10 is a computer for managing various types of security information (hereinafter referred to as “security information”) related to documents. Various servers (document management server 10, print server 51, conversion server 52, and distribution server 53) that handle documents in the document management system 1 are based on the security information managed by the security management server 10. The presence or absence of the operation authority for is judged.

文書管理サーバ20は、文書の管理機能等が実装されたコンピュータである。   The document management server 20 is a computer on which a document management function and the like are implemented.

認証サーバ30は、文書管理システム1のユーザの認証を行うための認証モジュール31が実装されたコンピュータである。認証モジュール31は、認証要求に応じてユーザの認証を行い、ユーザが認証された場合は、当該ユーザが認証された旨を証明する電子的な証明書(以下、「チケット」という。)を認証要求元に対して発行する。   The authentication server 30 is a computer on which an authentication module 31 for authenticating a user of the document management system 1 is installed. The authentication module 31 authenticates the user in response to the authentication request, and when the user is authenticated, authenticates an electronic certificate (hereinafter referred to as “ticket”) that proves that the user is authenticated. Issued to the requester.

印刷サーバ51、変換サーバ52及び配信サーバ53等は、文書管理サーバ20に管理されている文書を扱う各種サーバの例示である。印刷サーバ51は、文書をプリンタに印刷させるための機能が実装されたコンピュータである。変換サーバ52は、文書を所定のデータ形式に変換するための機能が実装されたコンピュータである。配信サーバ53は、文書を所定の宛先に配信するための機能が実装されたコンピュータである。   The print server 51, the conversion server 52, the distribution server 53, and the like are examples of various servers that handle documents managed by the document management server 20. The print server 51 is a computer having a function for causing a printer to print a document. The conversion server 52 is a computer having a function for converting a document into a predetermined data format. The distribution server 53 is a computer on which a function for distributing a document to a predetermined destination is installed.

クライアント装置40は、上述した各種サーバの機能を利用するアプリケーションが実装されたコンピュータである。但し、クライアント装置40は、ユーザが直接利用する端末であるとは限らない。例えば、クライアント装置40は、Webサーバであってもよく、その場合、クライアント装置40に実装されたアプリケーションは、Webアプリケーションに相当する。   The client device 40 is a computer in which an application that uses the functions of the various servers described above is installed. However, the client device 40 is not necessarily a terminal used directly by the user. For example, the client device 40 may be a Web server, and in this case, an application installed in the client device 40 corresponds to a Web application.

なお、上記各サーバにおける各機能は、Webサービスとして実装されていてもよい。この場合、クライアント装置40及び各サーバ間の通信はSOAP(Simple Object Access Protocol)によって行われる。   Each function in each of the above servers may be implemented as a Web service. In this case, communication between the client device 40 and each server is performed by SOAP (Simple Object Access Protocol).

次に、文書管理サーバ20の詳細について説明する。図2は、本発明の実施の形態における文書管理サーバのハードウェア構成例を示す図である。図2の文書管理サーバ20は、それぞれバスBで相互に接続されているドライブ装置200と、補助記憶装置202と、メモリ装置203と、演算処理装置204と、インタフェース装置205とを有するように構成される。   Next, details of the document management server 20 will be described. FIG. 2 is a diagram illustrating a hardware configuration example of the document management server according to the embodiment of the present invention. The document management server 20 shown in FIG. 2 includes a drive device 200, an auxiliary storage device 202, a memory device 203, an arithmetic processing device 204, and an interface device 205 that are connected to each other via a bus B. Is done.

文書管理サーバ20での処理を実現するプログラムは、CD−ROM等の記録媒体201によって提供される。プログラムが記録された記録媒体201がドライブ装置200にセットされると、当該プログラムが記録媒体201からドライブ装置200を介して補助記憶装置202にインストールされる。   A program for realizing processing in the document management server 20 is provided by a recording medium 201 such as a CD-ROM. When the recording medium 201 on which the program is recorded is set in the drive device 200, the program is installed from the recording medium 201 to the auxiliary storage device 202 via the drive device 200.

補助記憶装置202は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。メモリ装置203は、プログラムの起動指示があった場合に、補助記憶装置202からプログラムを読み出して格納する。演算処理装置204は、メモリ装置203に格納されたプログラムに従って文書管理サーバ20に係る機能を実行する。インタフェース装置205は例えばモデム、ルータ等で構成され、図1のネットワーク60に接続するために用いられる。   The auxiliary storage device 202 stores the installed program and stores necessary files and data. The memory device 203 reads the program from the auxiliary storage device 202 and stores it when there is an instruction to start the program. The arithmetic processing unit 204 executes functions related to the document management server 20 in accordance with a program stored in the memory device 203. The interface device 205 includes, for example, a modem, a router, etc., and is used to connect to the network 60 in FIG.

なお、セキュリティ管理サーバ10、認証サーバ30、印刷サーバ51、変換サーバ52、及び配信サーバ53等についても図2に示されるハードウェア構成によって実現することができる。   Note that the security management server 10, authentication server 30, print server 51, conversion server 52, distribution server 53, and the like can also be realized by the hardware configuration shown in FIG.

図3は、本発明の実施の形態における文書管理サーバ及びセキュリティ管理サーバの機能構成例を示す図である。図3において、文書管理サーバ20は、文書管理モジュール21、責務内容判定モジュール22及び操作分類情報23等より構成される。   FIG. 3 is a diagram illustrating a functional configuration example of the document management server and the security management server in the embodiment of the present invention. In FIG. 3, the document management server 20 includes a document management module 21, a responsibility content determination module 22, and operation classification information 23.

文書管理モジュール21は、管理している文書に対する各種の操作手段(閲覧、印刷、削除、及び属性変更等)を提供するモジュールである。文書管理モジュール21は、アプリケーション41から要求される文書の操作についての許否判定をセキュリティ管理サーバ10のセキュリティ管理モジュール11に要求し、当該許否判定において許可された場合に当該操作を実行する。但し、後述されるように、セキュリティ管理サーバ10においては、他のサーバ(印刷サーバ51、変換サーバ52、及び配信サーバ53等)からも共通に利用可能なように、抽象度の高い概念によって各種操作が分類されている。したがって、文書管理モジュール21は、操作の許否判定をセキュリティ管理サーバ10に要求するに際し、操作分類情報23に基づいて、当該操作が属する分類を判別し、当該分類についての許否判定を要求する。   The document management module 21 is a module that provides various operation means (viewing, printing, deleting, changing attributes, etc.) for a managed document. The document management module 21 requests the security management module 11 of the security management server 10 for permission / prohibition regarding the operation of the document requested by the application 41, and executes the operation when permitted in the permission / rejection determination. However, as will be described later, in the security management server 10, there are various types of concepts according to a high abstraction level so that they can be shared by other servers (print server 51, conversion server 52, distribution server 53, etc.). Operations are classified. Therefore, when the document management module 21 requests the security management server 10 to determine whether or not to permit an operation, the document management module 21 determines a classification to which the operation belongs based on the operation classification information 23 and requests a permission determination for the classification.

図4は、操作分類情報の例を示す図である。図4に示されるように、操作分類情報23は、文書管理モジュール21における各種操作を当該操作の特徴に応じてより抽象度の高い概念に分類するものである。すなわち、操作分類情報23は、文書管理モジュール21における各種操作と、当該抽象度の高い分類との対応づけを管理している。例えば、図4より、文書の閲覧及び印刷は、情報出力に、文書の削除は、消去に、文書の属性変更は、変更機能に属することが分かる。また、ネットワーク設定変更は、管理機能及び変更機能に属することが分かる。なお、操作分類情報23は、例えば、システム設計時等において、システム設計者によって予め定義される。   FIG. 4 is a diagram illustrating an example of operation classification information. As shown in FIG. 4, the operation classification information 23 classifies various operations in the document management module 21 into concepts with a higher abstraction level according to the characteristics of the operations. That is, the operation classification information 23 manages the association between various operations in the document management module 21 and the classification with a high level of abstraction. For example, it can be seen from FIG. 4 that document viewing and printing belong to information output, document deletion belongs to deletion, and document attribute change belongs to a change function. It can also be seen that the network setting change belongs to the management function and the change function. The operation classification information 23 is defined in advance by the system designer at the time of system design, for example.

責務内容判定モジュール22は、アプリケーション41より要求された操作に対応する責務として「ログ記録」が後述されるポリシー113において規定されていた場合に、いかなる種類のログを出力すべきかを責務詳細情報114に基づいて判定する機能である。   The responsibility content determination module 22 determines what type of log should be output when “log recording” is defined in the policy 113 described later as the responsibility corresponding to the operation requested by the application 41. It is a function to determine based on

図5は、責務詳細情報の例を示す図である。図5に示されるように責務詳細情報114は、操作が属する分類ごとに当該分類に対応するログの種別を規定する情報である。すなわち、図5より、管理機能に係る操作を実行した際にログ記録の必要がある場合は、通常のアクセスログを出力すべきことが分かり、変更機能又は情報出力に係る操作を実行した際にログ記録の必要がある場合は、通常のアクセスログと、異常が発生した場合には更に不正処理に関するエラーログを出力する必要があることが分かる。また、消去に係る操作を実行した際にログ記録の必要がある場合は、詳細なアクセスログと、異常が発生した場合は、警告レベルのエラーログと不正処理に関するエラーログとを出力する必要があるのが分かる。なお、ここで、アクセスログとは、いつ、誰が、どの資源に対して、どの操作を実行したか等を示すログをいう。このように、本実施の形態において、責務がログ記録である場合に具体的にどのようなログを出力すべきかについては、操作が属する分類に依存し、後述される操作の主体の分類や、操作の対象となる資源の分類に対して非依存に定められる。実運用においては、操作が属する分類に応じて定めてあれば十分な場合が多く、主体の分類や資源の分類をも考慮すると責務詳細情報の構成が複雑となり、管理が煩雑となるからである。但し、運用上必要であれば、主体の分類や資源の分類をも考慮して責務詳細情報を規定してもよい。   FIG. 5 is a diagram showing an example of detailed responsibility information. As shown in FIG. 5, the detailed responsibility information 114 is information that defines the type of log corresponding to the category for each category to which the operation belongs. That is, from FIG. 5, it is understood that when an operation related to the management function is executed and log recording is necessary, a normal access log should be output, and when an operation related to the change function or information output is executed. It can be seen that when log recording is necessary, it is necessary to output a normal access log and an error log related to unauthorized processing when an abnormality occurs. In addition, if it is necessary to record logs when performing operations related to deletion, it is necessary to output a detailed access log, and if an error occurs, a warning level error log and an error processing error log are output. I understand that there is. Here, the access log refers to a log indicating when and who performed which operation on which resource. Thus, in this embodiment, when the responsibility is log recording, what kind of log should be output depends on the classification to which the operation belongs, the classification of the subject of the operation described later, It is determined independent of the classification of the resource to be operated. In actual operation, it is often sufficient to determine according to the classification to which the operation belongs, and the structure of detailed responsibility information becomes complicated and management becomes complicated when the classification of the subject and the classification of resources are taken into consideration. . However, if necessary for operation, detailed responsibility information may be defined in consideration of the classification of the subject and the classification of resources.

なお、本実施の形態において、責務詳細情報114は、セキュリティ管理サーバ10において管理されているものが、文書管理サーバ20にダウンロードされて利用される。   In the present embodiment, the detailed responsibility information 114 managed by the security management server 10 is downloaded to the document management server 20 and used.

一方、図3において、セキュリティ管理サーバ10には、セキュリティ管理モジュール11が実装されている。セキュリティ管理モジュール11は、各種セキュリティ情報の管理機能が実装されたモジュールである。セキュリティ管理モジュール11においては、主体分類情報111、資源分類情報112、ポリシー113及び責務詳細情報114等がセキュリティ情報として管理されている。   On the other hand, in FIG. 3, a security management module 11 is mounted on the security management server 10. The security management module 11 is a module in which various security information management functions are implemented. In the security management module 11, subject classification information 111, resource classification information 112, policy 113, responsibility detailed information 114, and the like are managed as security information.

図6は、主体分類情報の例を示す図である。図6に示されるように、主体分類情報111は、各ユーザ(主体)を、当該ユーザが関係している部署、及び当該ユーザの権限レベルを基準として分類する情報であり、ユーザごとに、各部署(部署A、部署B、部署C)の関係者であるか否かについて(以下、「ユーザ区分」という。)と権限レベルとが定義されている。ここで、「部署の関係者」とは、例えば、当該部署に所属している者や、当該部署におけるプロジェクトに参加している者等が該当する。また、権限レベルとは、企業等の組織における役職等が該当する。例えば、主体分類情報111において、ユーザAは、部署Aの関係者であって正社員であるが、部署B及び部署Cの関係者ではないことが定義されている。   FIG. 6 is a diagram illustrating an example of subject classification information. As shown in FIG. 6, subject classification information 111 is information for classifying each user (subject) based on the department to which the user is related and the authority level of the user. Whether or not it is a person related to a department (department A, department B, department C) (hereinafter referred to as “user category”) and an authority level are defined. Here, the “participant in the department” corresponds to, for example, a person who belongs to the department or a person who participates in a project in the department. The authority level corresponds to a position in an organization such as a company. For example, in the subject classification information 111, it is defined that the user A is a person related to the department A and a regular employee, but is not a person related to the department B and the department C.

図7は、資源分類情報の例を示す図である。図7に示されるように、資源分類情報112は、文書管理モジュール21において管理されている各文書を文書カテゴリ、機密レベル及び管理部署等を基準として分類する情報であり、文書ごとに文書名、文書カテゴリ、機密レベル、及び管理部署等が定義されている。文書名は、文書に付された名前である。文書カテゴリは、設計文書、技術文書、人事文書、議事録、仕様書及び一般文書等の別のように、文書の内容に基づく分類である。機密レベルは、文書の機密度である。管理部署は、文書を管理している部署の部署名である。例えば、資源分類情報112において、文書1は、部署Aにおいて管理されている社外秘扱いの議事録であるということが定義されている。   FIG. 7 is a diagram illustrating an example of resource classification information. As shown in FIG. 7, the resource classification information 112 is information for classifying each document managed in the document management module 21 based on the document category, the confidential level, the management department, and the like. Document categories, confidentiality levels, management departments, etc. are defined. The document name is a name given to the document. The document category is a classification based on the content of the document, such as a design document, a technical document, a personnel document, a minutes, a specification, and a general document. The security level is the sensitivity of the document. The management department is the department name of the department that manages the document. For example, in the resource classification information 112, it is defined that the document 1 is a confidential minutes that are managed in the department A.

図8及び図9は、ポリシーの定義例を示す図である。図8等におけるポリシー113には、操作の対象となる資源の分類と、資源を操作する主体の分類と、資源の分類との組み合わせに応じて操作の分類ごとに当該操作の許否判定に関する規則が、XACML(eXtensible Access Control Markup Language)の仕様を参考に定義されている。なお、図8及び図9は、一つのファイル内においてなされている定義を、便宜上分割して表示したものである。   8 and 9 are diagrams showing examples of policy definitions. In the policy 113 in FIG. 8 and the like, there are rules regarding whether or not to permit the operation for each operation classification according to the combination of the classification of the resource to be operated, the classification of the subject that operates the resource, and the classification of the resource. The XACML (eXtensible Access Control Markup Language) specification is defined as a reference. 8 and 9 show the definitions made in one file divided for convenience.

図8及び図9のポリシー113は、開始タグps1−1(図8)及び終了タグps1−2(図9)に囲まれた一つのPolicySet定義(以下、当該PolicySet定義を「PolicySet定義ps1」という。)として定義されている。PolicySet定義は、Target定義を子要素として含むことができ、PolicySet定義ps1には、Target定義t1が含まれている。   The policy 113 in FIG. 8 and FIG. 9 is a PolicySet definition surrounded by a start tag ps1-1 (FIG. 8) and an end tag ps1-2 (FIG. 9) (hereinafter, the PolicySet definition is referred to as “PolicySet definition ps1”). .). The PolicySet definition can include the Target definition as a child element, and the PolicySet definition ps1 includes the Target definition t1.

Target定義は、PolicySet定義や、後述されるPolicy定義、又はRule定義等の子要素として定義され、当該Target定義が属するこれらの親要素による定義の適用対象を特定する。Target定義は、主体を特定するためのSubject定義、資源を特定するためのResource定義、及び操作の分類を特定するためのAction定義等を子要素として含む。Target定義t1において、Subject定義s1、Resource定義r1、及びAction定義a1の値はいずれも「ANY」であるため、PolicySet定義ps1は、全ての主体、資源及び操作を適用対象とする定義であることが分かる。   The Target definition is defined as a child element such as a PolicySet definition, a Policy definition described later, or a Rule definition, and specifies an application target of the definition by these parent elements to which the Target definition belongs. The Target definition includes, as child elements, a Subject definition for specifying a subject, a Resource definition for specifying a resource, an Action definition for specifying a classification of an operation, and the like. In the Target definition t1, the values of the Subject definition s1, the Resource definition r1, and the Action definition a1 are all “ANY”, so the PolicySet definition ps1 is a definition that applies to all subjects, resources, and operations. I understand.

PolicySet定義は、また、一つ以上のPolicySet定義や、Policy定義等を子要素として含むことができ、PolicySet定義ps1は、開始タグps2−1(図8)及び終了タグps2−2(図9)で囲まれた一つのPolicySet定義(以下「PolicySet定義ps2」という。)を含んでいる。PolicySet定義ps2のTarget定義t2におけるResource定義r2の値より、PolicySet定義ps2は、文書カテゴリが「議事録」であり、機密レベルが「社外秘」である文書(資源)に対する定義であることが分かる。なお、親要素において定義されたTarget定義は、その子要素に対しても有効となる。したがって、ポリシー113は、PolicySet定義ps1においては、全ての資源が適用対象だったが、PolicySet定義ps2において特定の文書を適用対象とするものに絞り込まれたことになる。   The PolicySet definition can also include one or more PolicySet definitions, Policy definitions, and the like as child elements. The PolicySet definition ps1 includes a start tag ps2-1 (FIG. 8) and an end tag ps2-2 (FIG. 9). 1 PolicySet definition (hereinafter referred to as “PolicySet definition ps2”). From the value of the Resource definition r2 in the Target definition t2 of the PolicySet definition ps2, it can be seen that the PolicySet definition ps2 is a definition for a document (resource) whose document category is “Minutes” and whose confidential level is “Confidential”. Note that the Target definition defined in the parent element is also valid for its child elements. Therefore, the policy 113 is applied to all resources in the PolicySet definition ps1, but has been narrowed down to a specific document in the PolicySet definition ps2.

PolicySet定義ps2には、PolicySet定義ps3(図8)及びPolicySet定義ps4(図9)の二つのPolicySet定義が含まれている。PolicySet定義ps3は、Target定義t3におけるSubject定義s3の値より、ユーザカテゴリが「関係者」であり、権限レベルが「正社員」であるユーザ(主体)に対する定義であることが分かる。また、PolicySet定義ps4は、Target定義t4におけるSubject定義s4の値より、ユーザカテゴリが「関係者」であり、権限レベルが「派遣」であるユーザ(主体)に対する定義であることが分かる。ここでの「関係者」とは、操作対象となっている文書に対する関係者を意味する。すなわち、操作対象となっている文書の管理部署と、操作の主体となっているユーザが関係を有する部署とが同じ場合は、当該ユーザは当該文書の「関係者」であるとされる。   The PolicySet definition ps2 includes two PolicySet definitions: PolicySet definition ps3 (FIG. 8) and PolicySet definition ps4 (FIG. 9). The PolicySet definition ps3 is a definition for a user (subject) whose user category is “related party” and whose authority level is “regular employee” from the value of the Subject definition s3 in the Target definition t3. The PolicySet definition ps4 is a definition for a user (subject) whose user category is “related party” and whose authority level is “dispatch” from the value of the Subject definition s4 in the Target definition t4. The “related party” here means a related party for the document to be operated. That is, if the management department of the document to be operated is the same as the department to which the user who is the subject of the operation has a relationship, the user is assumed to be the “related party” of the document.

PolicySet定義ps3は、Policy定義p31及びPolicy定義p32の二つのPolicy定義を含んでいる。Policy定義は、一つのセキュリティルールが規定された要素である。各Policy定義には、Target定義の他にRule定義、及びObbligation定義等を子要素として含んでいる。   PolicySet definition ps3 includes two Policy definitions, Policy definition p31 and Policy definition p32. The Policy definition is an element in which one security rule is defined. Each Policy definition includes a Rule definition, an Obligation definition and the like as child elements in addition to the Target definition.

Rule定義は、そのEffect属性において、当該Policy定義が適用される場合の判定値(許可又は不許可)が定義される要素である。Obbligation定義は、当該Policy定義において対象となった操作を実行する際に併せて実行することが義務付けられる責務の内容が定義される要素である。   The Rule definition is an element in which a determination value (permitted or not permitted) is defined in the Effect attribute when the Policy definition is applied. The Obligation definition is an element in which the content of the responsibility that is obliged to be executed together with the target operation in the Policy definition is defined.

Policy定義p31は、そのTarget定義31におけるAction定義31より、「情報出力」操作に対する定義であることが分かる。また、Rule定義r31より、その判定値は許可(Permit)であり、Obbligation定義o31より、「ログ記録」が責務とされていることが分かる。すなわち、Policy定義p31は、PolicySet定義ps2におけるTarget定義t2と、PolicySet定義ps3におけるTarget定義t3とによる資源及び主体の限定を継承することにより、「社外秘の議事録については、当該議事録の関係者である正社員のユーザによる情報出力は、許可する。但し、その際にはログ記録をしなければならない。」という規則が規定していることとなる。   It can be understood that the Policy definition p31 is a definition for the “information output” operation from the Action definition 31 in the Target definition 31. Further, it can be seen from the Rule definition r31 that the determination value is permission (Permit), and from the Obligation definition o31, “log recording” is the responsibility. In other words, the Policy definition p31 inherits the resource and subject limitation of the Target definition t2 in the PolicySet definition ps2 and the Target definition t3 in the PolicySet definition ps3, so that “the secret minutes are related to the minutes concerned”. The information output by a regular employee user is permitted. However, in this case, a log must be recorded. "

同様に、Policy定義p32は、「社外秘の議事録については、当該議事録の関係者である正社員のユーザによる消去は、許可する。但し、その際にはログ記録をしなければならない。」旨を規定する。   Similarly, the policy definition p32 states that “the confidential minutes of a company are permitted to be deleted by a regular employee who is a person related to the minutes. However, in this case, a log must be recorded”. Is specified.

また、Policy定義p41は、「社外秘の議事録については、当該議事録の関係者である派遣のユーザによる情報出力は、許可する。但し、その際にはログ記録をしなければならない。」旨を規定する。更に、Policy定義p42は、「社外秘の議事録については、当該議事録の関係者である派遣のユーザによる消去は、許可する。但し、その際にはログ記録をしなければならない。」旨を規定する。   Further, the policy definition p41 indicates that “information regarding confidential minutes is allowed to be output by a dispatching user who is a person concerned with the minutes. However, in that case, the log must be recorded”. Is specified. Furthermore, the policy definition p42 states that “the confidential minutes of the company are allowed to be deleted by the dispatching user who is the person concerned with the minutes. However, in that case, the log must be recorded”. Stipulate.

なお、ポリシー113においては、いずれの責務に関しても「ログ記録」として定義されており、ログの種別については特定されていない点に注意を要する。後述されるように、ログの種別については、責務詳細情報114に基づいて判断されるため、ポリシー113内においてそのような細部まで特定する必要はないからである。   It should be noted that in the policy 113, all responsibilities are defined as “log recording”, and the log type is not specified. As will be described later, since the type of log is determined based on the detailed responsibility information 114, it is not necessary to specify such details in the policy 113.

以下、図1の文書管理システム1の処理手順について説明する。図10は、文書管理システムの処理を説明するためのシーケンス図である。   Hereinafter, the processing procedure of the document management system 1 of FIG. 1 will be described. FIG. 10 is a sequence diagram for explaining processing of the document management system.

ステップS101において、責務内容判定モジュール22は、責務詳細情報114の提供をセキュリティ管理モジュール11に要求し、責務詳細情報114を文書管理サーバ20にダウンロードする(S102)。なお、この処理は、例えば、文書管理サーバ20の起動時等、後述される処理とは非同期に、予め、又は定期的に実行されるものである。但し、責務詳細情報114は、後述されるタイミング(S116)において、操作の許否判定の判定結果と共に文書管理モジュール21が受信するようにしてもよい。   In step S101, the responsibility content determination module 22 requests the security management module 11 to provide the detailed responsibility information 114, and downloads the detailed responsibility information 114 to the document management server 20 (S102). Note that this processing is executed in advance or periodically, for example, asynchronously with processing described later, such as when the document management server 20 is activated. However, the responsibility detailed information 114 may be received by the document management module 21 together with the determination result of the operation permission / rejection determination at a timing (S116) described later.

ステップS103からステップS111までは、文書管理サーバ10に管理されている文書を操作するに際し前提となる処理(セッションの開設、文書の検索等)である。すなわち、ユーザによるユーザ名及びパスワードの入力に基づいて、アプリケーション41は、ユーザ名及びパスワードを引数として認証モジュール31に対してユーザの認証を要求する(S103)。認証モジュール31は、ユーザを認証し、ユーザが認証された場合はその旨を証明するチケットを生成する(S104)。チケットには、例えば、当該チケットを識別するチケットID、当該チケットが有効なサービスを示す有効範囲、当該チケットによってサービスを利用できる有効期限、ユーザID、及び改竄チェック用のコード等が記録される。チケットは、その内容を認証モジュール31のみが参照可能なように暗号化され、アプリケーション41に送信される(S105)。   Steps S103 to S111 are processes (session establishment, document search, etc.) that are prerequisites for operating the document managed by the document management server 10. That is, based on the user name and password input by the user, the application 41 requests the authentication module 31 to authenticate the user with the user name and password as arguments (S103). The authentication module 31 authenticates the user, and if the user is authenticated, generates a ticket that proves that fact (S104). In the ticket, for example, a ticket ID for identifying the ticket, a valid range indicating a service in which the ticket is valid, an expiration date for using the service by the ticket, a user ID, a code for tampering check, and the like are recorded. The ticket is encrypted so that only the authentication module 31 can refer to the ticket, and transmitted to the application 41 (S105).

アプリケーション41は、チケットを引数としてセッションの開設要求を文書管理モジュール21に送信する(S106)。文書管理モジュール21は、受信したチケットの正当性の検証を認証モジュール31に要求し(S107)、正当である旨の検証結果が返信されると(S108)、セッションIDをアプリケーション41に対して返信する(S109)。なお、文書管理モジュール21は、チケットをセッションIDと関連付けて保存しておく。   The application 41 transmits a session establishment request to the document management module 21 using the ticket as an argument (S106). The document management module 21 requests the authentication module 31 to verify the validity of the received ticket (S107). When a verification result indicating that the ticket is valid is returned (S108), the session ID is returned to the application 41. (S109). The document management module 21 stores the ticket in association with the session ID.

セッションの開設後、ユーザが、文書の検索を指示すると、アプリケーション41は、セッションID及び検索条件等を引数として文書の検索要求を文書管理モジュール21に送信する(S110)。文書管理モジュール21は、検索条件に基づいて文書を検索し、その検索結果をアプリケーション41に送信する(S111)。   After the session is established, when the user instructs to search for a document, the application 41 transmits a document search request to the document management module 21 with the session ID and search conditions as arguments (S110). The document management module 21 searches for a document based on the search condition, and transmits the search result to the application 41 (S111).

この時点で、ユーザには、検索された文書の一覧を含む文書一覧画面が提示される。そこで、ユーザが任意の文書を選択し(選択された文書を以下「カレント文書」という。)、カレント文書を対象として閲覧、印刷、削除又は属性変更等の操作の実行を指示すると、アプリケーション41は、チケット、カレント文書の文書ID、及び指示された操作を識別する操作IDを引数として、当該操作の実行を文書管理モジュール21に要求する(S112)。   At this point, the user is presented with a document list screen that includes a list of retrieved documents. Therefore, when the user selects an arbitrary document (the selected document is hereinafter referred to as “current document”) and instructs the execution of operations such as browsing, printing, deletion, or attribute change for the current document, the application 41 The document management module 21 is requested to execute the operation using the ticket, the document ID of the current document, and the operation ID for identifying the instructed operation as arguments (S112).

ステップS112に続いてステップS113に進み、文書管理モジュール21は、操作分類情報23に基づいて指示された操作が属する分類を特定する。例えば、閲覧が指示された場合は、当該分類は、「情報出力」として特定される(図4参照)。なお、ここで特定された分類を以下「カレント操作分類」という。   Progressing to step S113 following step S112, the document management module 21 specifies the classification to which the designated operation belongs based on the operation classification information 23. For example, when browsing is instructed, the classification is specified as “information output” (see FIG. 4). The classification specified here is hereinafter referred to as “current operation classification”.

ステップS113に続いてステップS114に進み、文書管理モジュール21は、カレントユーザによるカレント文書に対するカレント操作分類の実行の許否判定をセキュリティモジュール11に要求する。ステップS114に続いてステップS115に進み、セキュリティ管理モジュールは、主体分類情報111に基づいて、カレントユーザの権限レベルを判定し、資源分類情報112に基づいてカレント文書の文書カテゴリ及び機密レベルを判定し、主体分類情報111及び資源分類情報112に基づいてカレントユーザがカレント文書の関係者であるか否かを判定した後、その判定結果をポリシー113に当てはめて、カレント操作分類の実行が許可されるか否かや、許可される場合における責務等を判定する。   Progressing to step S114 following step S113, the document management module 21 requests the security module 11 to determine whether or not to execute the current operation classification for the current document by the current user. Progressing to step S115 following step S114, the security management module determines the authority level of the current user based on the subject classification information 111, and determines the document category and confidential level of the current document based on the resource classification information 112. After determining whether or not the current user is a related person of the current document based on the subject classification information 111 and the resource classification information 112, the determination result is applied to the policy 113, and execution of the current operation classification is permitted. Whether or not, and the responsibilities and the like when permitted.

例えば、カレントユーザが「ユーザA」であり、カレント文書が「文書1」である場合は、カレントユーザの権限レベルは、「正社員」であり、カレント文書の文書カテゴリ、機密レベルは、それぞれ「議事録」、「社外秘」ということとなる。また、文書1の管理部署は「部署A」であり、ユーザAは、「部署A」の関係者であることから、カレントユーザはカレント文書の関係者であるということとなる。ここで、例えばカレント操作分類が「情報出力」である場合は、ポリシー113におけるポリシー定義p31(図8)が適用される。そうすると、当該操作分類の実行は許可され、「ログ記録」が責務として要求される旨が判定される。   For example, when the current user is “user A” and the current document is “document 1”, the authority level of the current user is “full-time employee”, and the document category and confidential level of the current document are “agenda”, respectively. "Record", "Confidential". Further, since the management department of document 1 is “department A” and user A is an affiliate of “department A”, the current user is an affiliate of the current document. Here, for example, when the current operation classification is “information output”, the policy definition p31 (FIG. 8) in the policy 113 is applied. Then, the execution of the operation classification is permitted, and it is determined that “log recording” is required as the responsibility.

ステップS115に続いてステップS116に進み、セキュリティ管理モジュール11は、判定結果(操作の許否、及び責務等)を文書管理モジュール21に対して返信する。ステップS116に続いてステップS117に進み、文書管理モジュール21は、アプリケーション41より要求された操作、例えば、カレント文書を閲覧させるための処理等を実行する。ステップS117に続いてステップS118に進み、ステップS116においてセキュリティ管理モジュール11より返信された判定結果において責務として「ログ記録」が指定されている場合は、文書管理モジュール21は、カレント操作分類を識別するIDと、イベントIDとを引数として責務内容判定モジュール22に対して出力すべきログの種別を問い合わせる。ここで、イベントIDとは、操作を実行した際に発生したエラー等を識別するためのIDである。   Proceeding to step S 116 following step S 115, the security management module 11 returns a determination result (operation permission / inhibition, responsibility, etc.) to the document management module 21. Progressing to step S117 following step S116, the document management module 21 executes an operation requested by the application 41, for example, a process for browsing the current document. Progressing to step S118 following step S117, when “log recording” is designated as the responsibility in the determination result returned from the security management module 11 in step S116, the document management module 21 identifies the current operation classification. Inquires about the type of log to be output to the responsibility content determination module 22 using the ID and the event ID as arguments. Here, the event ID is an ID for identifying an error or the like that occurs when the operation is executed.

ステップS118に続いてステップS119に進み、責務内容判定モジュール22は、責務詳細情報114(図4)に基づいて、カレント操作分類に対応したログ種別を判定し、その判定結果を文書管理モジュール21に出力する。例えば、情報出力に係る操作が実行された場合は、通常のアクセスログが、また、イベントIDにエラーが発生した旨が示されている場合には、更に、不正処理に関するエラー処理が出力すべきログの種別として判定される。   Proceeding to step S119 following step S118, the responsibility content determination module 22 determines the log type corresponding to the current operation classification based on the detailed responsibility information 114 (FIG. 4), and sends the determination result to the document management module 21. Output. For example, when an operation related to information output is executed, an error process related to unauthorized processing should be further output when a normal access log indicates that an error has occurred in the event ID It is determined as the log type.

ステップS119に続いてステップS120に進み、文書管理モジュール21は、責務内容判定モジュール22によって判定された種別によるログを出力すると共に、実行された操作の成否等、処理結果を示す情報をアプリケーション41に返信し(S121)、処理を終了させる。   Proceeding to step S120 following step S119, the document management module 21 outputs a log according to the type determined by the responsibility content determination module 22, and information indicating the processing result, such as success or failure of the executed operation, to the application 41. A reply is made (S121), and the process is terminated.

上述したように、本実施の形態における文書管理システム1によれば、責務詳細情報114に基づいて、記録すべきログの種別が判定されるため、ポリシー113内におけるPolicy定義ごとにログの種別を特定して責務を定義する必要は無い。したがって、操作に応じたログの種別を変更させたい場合は、責務詳細情報114において当該操作に対応する箇所を修正すればよく、ポリシー113の保守作業を簡略化させることができると共に、矛盾の無い定義を容易に行わせることができる。   As described above, according to the document management system 1 according to the present embodiment, the type of log to be recorded is determined based on the detailed responsibility information 114. Therefore, the log type for each policy definition in the policy 113 is determined. There is no need to identify and define responsibilities. Therefore, if it is desired to change the log type according to the operation, it is only necessary to correct the portion corresponding to the operation in the detailed responsibility information 114, which can simplify the maintenance work of the policy 113 and there is no contradiction. Definition can be made easily.

なお、本実施の形態においては、責務の具体例としてログ記録を例として説明したが、本発明は、特定の責務に限定されず、様々な責務に関して適用可能である。   In the present embodiment, log recording has been described as a specific example of duties. However, the present invention is not limited to specific duties, and can be applied to various duties.

本発明は係る特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。   The present invention is not limited to such specific embodiments, and various modifications and changes can be made within the scope of the gist of the present invention described in the claims.

本発明の実施の形態における文書管理システムの構成例を示す図である。It is a figure which shows the structural example of the document management system in embodiment of this invention. 本発明の実施の形態における文書管理サーバのハードウェア構成例を示す図である。It is a figure which shows the hardware structural example of the document management server in embodiment of this invention. 本発明の実施の形態における文書管理サーバ及びセキュリティ管理サーバの機能構成例を示す図である。It is a figure which shows the function structural example of the document management server and security management server in embodiment of this invention. 操作分類情報の例を示す図である。It is a figure which shows the example of operation classification information. 責務詳細情報の例を示す図である。It is a figure which shows the example of responsibility detailed information. 主体分類情報の例を示す図である。It is a figure which shows the example of subject classification information. 資源分類情報の例を示す図である。It is a figure which shows the example of resource classification information. ポリシーの定義例を示す図である。It is a figure which shows the example of a policy definition. ポリシーの定義例を示す図である。It is a figure which shows the example of a policy definition. 文書管理システムの処理を説明するためのシーケンス図である。It is a sequence diagram for demonstrating the process of a document management system.

符号の説明Explanation of symbols

1 文書管理システム
10 セキュリティ管理サーバ
11 セキュリティ管理モジュール
20 文書管理サーバ
21 文書管理モジュール
22 責務内容判定モジュール
23 操作分類情報
30 認証サーバ
31 認証モジュール
40 クライアント装置
41 アプリケーション
51 印刷サーバ
52 変換サーバ
53 配信サーバ
111 主体分類情報
112 資源分類情報
113 ポリシー
114 責務詳細情報
200 ドライブ装置
201 記録媒体
202 補助記憶装置
203 メモリ装置
204 演算処理装置
205 インタフェース装置
B バス DESCRIPTION OF SYMBOLS 1 Document management system 10 Security management server 11 Security management module 20 Document management server 21 Document management module 22 Responsibility determination module 23 Operation classification information 30 Authentication server 31 Authentication module 40 Client apparatus 41 Application 51 Print server 52 Conversion server 53 Distribution server 111 Subject classification information 112 Resource classification information 113 Policy 114 Responsibility detailed information 200 Drive device 201 Recording medium 202 Auxiliary storage device 203 Memory device 204 Arithmetic processing device 205 Interface device B Bus

Claims (7)

操作の主体の識別名ごとに前記主体が属する主体分類を記憶した主体分類情報記憶手段と、
操作の対象となる資源の識別名ごとに前記資源が属する資源分類を記憶した資源分類情報記憶手段と、
前記資源に対して可能な操作ごとに前記操作が属する操作分類を記憶した操作分類情報記憶手段と、
前記主体分類及び前記資源分類の組み合わせに応じて前記操作分類ごとに操作の許否を示す情報と、当該操作の実行に伴って要求される責務の有無を示す情報とを記憶したポリシー記憶手段と、
操作の主体の識別名及び操作対象とされた資源の識別名が指定された操作要求に応じ、当該主体が属する前記主体分類を当該主体の識別名と前記主体分類情報記憶手段とに基づいて判定し、当該資源が属する前記資源分類を当該資源の識別名と前記資源分類情報記憶手段とに基づいて判定し、当該操作要求に係る操作が属する前記操作分類を前記操作分類情報記憶手段に基づいて判定し、判定された前記主体分類、前記資源分類、及び前記操作分類と前記ポリシー記憶手段とに基づいて前記操作要求に係る操作の許否と前記責務の有無とを判定する操作許否判定手段と、
前記操作要求に係る操作が許可され、前記責務が有ると判定された場合に、前記操作分類に応じ、前記資源分類及び前記主体分類とは非依存に前記責務の内容を記憶する責務詳細情報記憶手段を用いて前記責務の内容を判定する責務内容判定手段とを有する情報処理装置。 Subject classification information storage means for storing the subject classification to which the subject belongs for each identifier of the subject of operation;
Resource classification information storage means for storing a resource classification to which the resource belongs for each identification name of the resource to be operated;
Operation classification information storage means storing operation classification to which the operation belongs for each possible operation on the resource;
Policy storage means for storing information indicating whether or not an operation is permitted for each operation classification according to a combination of the subject classification and the resource classification, and information indicating whether or not there is a responsibility required in performing the operation,
In response to an operation request in which the identification name of the operation subject and the identification name of the resource to be operated are specified, the subject classification to which the subject belongs is determined based on the identification name of the subject and the subject classification information storage unit And determining the resource classification to which the resource belongs based on the identification name of the resource and the resource classification information storage means, and determining the operation classification to which the operation related to the operation request belongs based on the operation classification information storage means. An operation permission / rejection determination unit that determines whether to perform the operation according to the operation request and the presence / absence of the responsibility based on the determined subject classification, the resource classification, and the operation classification and the policy storage unit;
Responsibility detailed information storage for storing the content of the responsibility independent of the resource classification and the subject classification according to the operation classification when it is determined that the operation related to the operation request is permitted and the responsibility is present An information processing apparatus comprising responsibility content determination means for determining the content of the responsibility using means . 前記操作分類は、前記資源に対して可能な操作を抽象化させた概念により分類されている請求項1記載の情報処理装置。 The operation classification information processing apparatus according to claim 1, are classified by the concept is abstracted operable with respect to the resource. 前記責務詳細情報記憶手段は、前記操作を実行するときに記録すべきログの種別を前記操作分類に対応づけて記憶する請求項1又は2記載の情報処理装置。 The responsibilities More information storage means, the information processing apparatus according to claim 1 or 2, wherein storing the type of the log to be recorded when performing the operation in association with the operation classification. 前記責務内容判定手段によって判定された責務を実行する責務実行手段を有する請求項1乃至3いずれか一項記載の情報処理装置。The information processing apparatus according to claim 1, further comprising duty execution means for executing the duty determined by the duty content determination means. コンピュータが実行する責務判定方法であって、
操作の主体の識別名及び操作対象とされた資源の識別名が指定された操作要求に応じ、当該主体が属する主体分類を当該主体の識別名と主体分類情報記憶手段とに基づいて判定し、当該資源が属する資源分類を当該資源の識別名と資源分類情報記憶手段とに基づいて判定し、当該操作要求に係る操作が属する操作分類を操作分類情報記憶手段に基づいて判定し、判定された前記主体分類、前記資源分類、及び前記操作分類とポリシー記憶手段とに基づいて前記操作要求に係る操作の許否と責務の有無とを判定する操作許否判定手順と、
前記操作要求に係る操作が許可され、前記責務が有ると判定された場合に、前記操作分類に応じ、前記資源分類及び前記主体分類とは非依存に前記責務の内容を記憶する責務詳細情報記憶手段を用いて前記責務の内容を判定する責務内容判定手順とを有し、
前記主体分類情報記憶手段は、操作の主体の識別名ごとに前記主体が属する前記主体分類を記憶し、
前記資源分類情報記憶手段は、操作の対象となる資源の識別名ごとに前記資源が属する前記資源分類を記憶し、
前記操作分類情報記憶手段は、前記資源に対して可能な操作ごとに前記操作が属する前記操作分類を記憶し、
前記ポリシー記憶手段は、前記主体分類及び前記資源分類の組み合わせに応じて前記操作分類ごとに操作の許否を示す情報と、当該操作の実行に伴って要求される前記責務の有無を示す情報とを記憶する責務判定方法。 A responsibility determination method executed by a computer,
In response to the operation request in which the identification name of the subject of the operation and the identification name of the resource to be operated are specified, the subject classification to which the subject belongs is determined based on the identification name of the subject and the subject classification information storage unit, The resource classification to which the resource belongs is determined based on the identification name of the resource and the resource classification information storage means, and the operation classification to which the operation related to the operation request belongs is determined based on the operation classification information storage means. An operation permission / rejection determination procedure for determining permission / inhibition of operation and presence / absence of responsibility according to the operation request based on the subject classification, the resource classification, and the operation classification and policy storage unit;
Responsibility detailed information storage for storing the content of the responsibility independent of the resource classification and the subject classification according to the operation classification when it is determined that the operation related to the operation request is permitted and the responsibility is present A responsibility content determination procedure for determining the content of the responsibility using means,
The subject classification information storage means stores the subject classification to which the subject belongs for each identification name of the subject of operation,
The resource classification information storage means stores the resource classification to which the resource belongs for each identifier of the resource to be operated,
The operation classification information storage means stores the operation classification to which the operation belongs for every possible operation on the resource,
The policy storage means includes information indicating whether or not an operation is permitted for each operation classification according to a combination of the subject classification and the resource classification, and information indicating the presence or absence of the responsibility required when the operation is performed. Duty judgment method to remember . コンピュータに、
操作の主体の識別名及び操作対象とされた資源の識別名が指定された操作要求に応じ、当該主体が属する主体分類を当該主体の識別名と主体分類情報記憶手段とに基づいて判定し、当該資源が属する資源分類を当該資源の識別名と資源分類情報記憶手段とに基づいて判定し、当該操作要求に係る操作が属する操作分類を操作分類情報記憶手段に基づいて判定し、判定された前記主体分類、前記資源分類、及び前記操作分類とポリシー記憶手段とに基づいて前記操作要求に係る操作の許否と責務の有無とを判定する操作許否判定手順と、
前記操作要求に係る操作が許可され、前記責務が有ると判定された場合に、前記操作分類に応じ、前記資源分類及び前記主体分類とは非依存に前記責務の内容を記憶する責務詳細情報記憶手段を用いて前記責務の内容を判定する責務内容判定手順とを実行させ、
前記主体分類情報記憶手段は、操作の主体の識別名ごとに前記主体が属する前記主体分類を記憶し、
前記資源分類情報記憶手段は、操作の対象となる資源の識別名ごとに前記資源が属する前記資源分類を記憶し、
前記操作分類情報記憶手段は、前記資源に対して可能な操作ごとに前記操作が属する前記操作分類を記憶し、
前記ポリシー記憶手段は、前記主体分類及び前記資源分類の組み合わせに応じて前記操作分類ごとに操作の許否を示す情報と、当該操作の実行に伴って要求される前記責務の有無を示す情報とを記憶する責務判定プログラム。 On the computer,
In response to the operation request in which the identification name of the subject of the operation and the identification name of the resource to be operated are specified, the subject classification to which the subject belongs is determined based on the identification name of the subject and the subject classification information storage unit, The resource classification to which the resource belongs is determined based on the identification name of the resource and the resource classification information storage means, and the operation classification to which the operation related to the operation request belongs is determined based on the operation classification information storage means. An operation permission / rejection determination procedure for determining permission / inhibition of operation and presence / absence of responsibility according to the operation request based on the subject classification, the resource classification, and the operation classification and policy storage unit;
Responsibility detailed information storage for storing the content of the responsibility independent of the resource classification and the subject classification according to the operation classification when it is determined that the operation related to the operation request is permitted and the responsibility is present A responsibility content determination procedure for determining the content of the responsibility using a means,
The subject classification information storage means stores the subject classification to which the subject belongs for each identification name of the subject of operation,
The resource classification information storage means stores the resource classification to which the resource belongs for each identifier of the resource to be operated,
The operation classification information storage means stores the operation classification to which the operation belongs for every possible operation on the resource,
The policy storage means includes information indicating whether or not an operation is permitted for each operation classification according to a combination of the subject classification and the resource classification, and information indicating the presence or absence of the responsibility required when the operation is performed. Responsibility judgment program to remember . 請求項記載の責務判定プログラムを記録したコンピュータ読み取り可能な記録媒体。
A computer-readable recording medium on which the responsibility determining program according to claim 6 is recorded.
JP2004324894A 2004-11-09 2004-11-09 Information processing apparatus, responsibility determination method, responsibility determination program, and recording medium Expired - Fee Related JP4417819B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004324894A JP4417819B2 (en) 2004-11-09 2004-11-09 Information processing apparatus, responsibility determination method, responsibility determination program, and recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004324894A JP4417819B2 (en) 2004-11-09 2004-11-09 Information processing apparatus, responsibility determination method, responsibility determination program, and recording medium

Publications (2)

Publication Number Publication Date
JP2006134216A JP2006134216A (en) 2006-05-25
JP4417819B2 true JP4417819B2 (en) 2010-02-17

Family

ID=36727686

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004324894A Expired - Fee Related JP4417819B2 (en) 2004-11-09 2004-11-09 Information processing apparatus, responsibility determination method, responsibility determination program, and recording medium

Country Status (1)

Country Link
JP (1) JP4417819B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7979896B2 (en) * 2007-04-20 2011-07-12 Microsoft Corporation Authorization for access to web service resources
JP2009009469A (en) * 2007-06-29 2009-01-15 Kyocera Mita Corp Log storage device and program

Also Published As

Publication number Publication date
JP2006134216A (en) 2006-05-25

Similar Documents

Publication Publication Date Title
JP4676779B2 (en) Information processing device, resource management device, attribute change permission determination method, attribute change permission determination program, and recording medium
JP4625334B2 (en) Information processing apparatus, information processing method, information processing program, recording medium, and resource management apparatus
US10911428B1 (en) Use of metadata for computing resource access
US20050168769A1 (en) Security print system and method
JP4606052B2 (en) Information processing apparatus, operation permission information generation method, operation permission information generation program, and recording medium
US9712536B2 (en) Access control device, access control method, and program
AU2019222893B2 (en) Document management system and processing apparatus
US20080256593A1 (en) Policy-Management Infrastructure
CN101816006A (en) Security policy validation for web services
US20180268157A1 (en) Document management system and management apparatus
JP2009258820A (en) Account management system, account management device, and account management method
CN113094055A (en) Maintaining control over restricted data during deployment to a cloud computing environment
JP4676782B2 (en) Information processing apparatus, operation permission data generation method, operation permission data generation permission determination method, operation permission data generation program, operation permission data generation permission determination program, and recording medium
KR100621318B1 (en) Method for managing access and use of resources by verifying conditions and conditions for use therewith
AU2019261686B2 (en) Management apparatus and document management system
CN111814152A (en) Security assessment method, device, electronic equipment and medium
US8176535B2 (en) Information processing system, information processing method, and computer readable medium
US20150212468A1 (en) Image forming apparatus capable of limiting range of operation during maintenance, control method therefor, and storage medium
JP4602684B2 (en) Information processing apparatus, operation permission determination method, operation permission information generation method, operation permission determination program, operation permission information generation program, and recording medium
JP4764614B2 (en) Information processing apparatus, operation permission information generation method, operation permission information generation program, and recording medium
JP4417819B2 (en) Information processing apparatus, responsibility determination method, responsibility determination program, and recording medium
US9473508B2 (en) Method for the protected deposit of event protocol data of a computer system, computer program product and computer system
JP4723930B2 (en) Compound access authorization method and apparatus
JP4890372B2 (en) Portable information processing device, electronic device, operation control method, and operation control program
JP2006277379A (en) Personal information management method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070216

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090625

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090707

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090903

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20091124

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20091126

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121204

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131204

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees