JP4417819B2 - Information processing apparatus, responsibility determination method, responsibility determination program, and recording medium - Google Patents
Information processing apparatus, responsibility determination method, responsibility determination program, and recording medium Download PDFInfo
- Publication number
- JP4417819B2 JP4417819B2 JP2004324894A JP2004324894A JP4417819B2 JP 4417819 B2 JP4417819 B2 JP 4417819B2 JP 2004324894 A JP2004324894 A JP 2004324894A JP 2004324894 A JP2004324894 A JP 2004324894A JP 4417819 B2 JP4417819 B2 JP 4417819B2
- Authority
- JP
- Japan
- Prior art keywords
- classification
- resource
- subject
- responsibility
- information storage
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本発明は、情報処理装置、責務判定方法、責務判定プログラム及び記録媒体に関し、特にセキュリティポリシーに基づいて資源に対する操作の許否を判定させる情報処理装置、責務判定方法、責務判定プログラム及び記録媒体に関する。 The present invention relates to an information processing device, an obligation determination method, an obligation determination program, and a recording medium, and more particularly, to an information processing device, an obligation determination method, an obligation determination program, and a recording medium that determine whether a resource is permitted to operate based on a security policy.
コンピュータシステムにおいては、文書等の資源の不正利用等を防止すべく各資源に対してアクセス権が定義されているのが一般である。かかるアクセス権が定義されたデータは、一般にACL(Access Control List)と呼ばれている。ACLは、文書ごとに定義されており、その定義内容は、各ユーザに対する各種操作権限の有無を示すものである
他方において、従来、各種システムごとに保持されていた操作権限情報を、各種のセキュリティ情報と合わせて特定のサーバ(以下、「セキュリティサーバ」という。)において一元管理することにより、複数のシステムにおける資源に対するアクセス制御について、共通のセキュリティルールを適用することが可能なシステム形態が採用され始めている。ここで、セキュリティサーバにおいて管理されている情報は、一般にセキュリティポリシーと呼ばれている。
In computer systems, access rights are generally defined for each resource in order to prevent unauthorized use of resources such as documents. Data in which such access rights are defined is generally called an ACL (Access Control List). The ACL is defined for each document, and the definition content indicates the presence or absence of various operation authorities for each user. On the other hand, the operation authority information that has been conventionally held for each system is changed to various security functions. A system configuration is adopted in which a common security rule can be applied to access control for resources in a plurality of systems by centrally managing a specific server (hereinafter referred to as “security server”) together with information. I'm starting. Here, information managed in the security server is generally called a security policy.
セキュリティポリシーにおいては、文書等、操作(閲覧、印刷、編集、削除等)の対象となる資源を当該資源の特定の属性に基づいて分類し、ユーザ等、操作の主体を当該主体の特定の属性に基づいて分類し、資源の分類と主体の分類との組み合わせに応じて、各操作の種別ごとに当該操作の許否判定に関する規則(セキュリティルール)が定義される。セキュリティルールにおいて操作が許可される場合は、当該操作を実行する際に併せて実行すべき責務についても定義され得る。 In the security policy, resources such as documents that are subject to operations (viewing, printing, editing, deletion, etc.) are classified based on specific attributes of the resources, and the operation subject such as a user is specified by the specific attributes of the subject. In accordance with the combination of the resource classification and the subject classification, a rule (security rule) for determining whether or not to permit the operation is defined for each operation type. When the operation is permitted in the security rule, it is possible to define the responsibility to be executed together with the operation.
代表的な責務の一つがログ記録である。許可された操作に対する責務としてログ記録が定義されている場合、操作が正常に終了した際に、いつ、誰が、どの資源に対して、当該操作を実行したか等に関する情報をログ(アクセスログ)として記録することが義務付けられる。また、許可された操作を実行中にエラーが発生した場合は、責務としてログ記録が規定されているかどうかに関わらず、操作の種類や発生したエラーの程度に応じたログ(エラーログ)を記録しておく必要もある。
しかしながら、上述したように、セキュリティルールは、資源の分類と主体の分類との組み合わせごとに定義されるところ、セキュリティルールに応じて出力するログの内容が異なる場合は、その組み合わせごとに責務の定義を行う必要がある。したがって、セキュリティポリシーの保守作業が煩雑となるだけでなく、セキュリティポリシー全体として矛盾のない定義を行うことが困難となるという問題がある。 However, as described above, security rules are defined for each combination of resource classification and subject classification. If the log contents to be output differ depending on the security rule, the responsibility definition is defined for each combination. Need to do. Accordingly, there is a problem that not only the maintenance work of the security policy becomes complicated, but also it is difficult to make a consistent definition as a whole security policy.
本発明は、上記の点に鑑みてなされたものであって、セキュリティポリシーにおける責務の定義を容易に行わせることのできる情報処理装置、責務判定方法、責務判定プログラム及び記録媒体の提供を目的とする。 The present invention has been made in view of the above points, and it is an object of the present invention to provide an information processing apparatus, an obligation determination method, an obligation determination program, and a recording medium that can easily define an obligation in a security policy. To do.
そこで上記課題を解決するため、本発明は、操作の主体の識別名ごとに前記主体が属する主体分類を記憶した主体分類情報記憶手段と、操作の対象となる資源の識別名ごとに前記資源が属する資源分類を記憶した資源分類情報記憶手段と、前記資源に対して可能な操作ごとに前記操作が属する操作分類を記憶した操作分類情報記憶手段と、前記主体分類及び前記資源分類の組み合わせに応じて前記操作分類ごとに操作の許否を示す情報と、当該操作の実行に伴って要求される責務の有無を示す情報とを記憶したポリシー記憶手段と、操作の主体の識別名及び操作対象とされた資源の識別名が指定された操作要求に応じ、当該主体が属する前記主体分類を当該主体の識別名と前記主体分類情報記憶手段とに基づいて判定し、当該資源が属する前記資源分類を当該資源の識別名と前記資源分類情報記憶手段とに基づいて判定し、当該操作要求に係る操作が属する前記操作分類を前記操作分類情報記憶手段に基づいて判定し、判定された前記主体分類、前記資源分類、及び前記操作分類と前記ポリシー記憶手段とに基づいて前記操作要求に係る操作の許否と前記責務の有無とを判定する操作許否判定手段と、前記操作要求に係る操作が許可され、前記責務が有ると判定された場合に、前記操作分類に応じ、前記資源分類及び前記主体分類とは非依存に前記責務の内容を記憶する責務詳細情報記憶手段を用いて前記責務の内容を判定する責務内容判定手段とを有する。
In order to solve the above-described problem, the present invention provides a subject classification information storage unit that stores a subject classification to which the subject belongs for each identifier of the subject of the operation, and a resource for each identifier of the resource to be operated. Depending on the combination of the resource classification information storage means storing the resource classification to which it belongs, the operation classification information storage means storing the operation classification to which the operation belongs for every possible operation on the resource, and the combination of the subject classification and the resource classification Policy storage means storing information indicating whether or not an operation is permitted for each operation classification, and information indicating the presence or absence of a duty required when the operation is performed, and an identification name and an operation target of an operation subject. In response to an operation request in which a resource identification name is designated, the subject classification to which the subject belongs is determined based on the subject identification name and the subject classification information storage unit, and before the resource belongs to The resource classification is determined based on the resource identification name and the resource classification information storage means, the operation classification to which the operation related to the operation request belongs is determined based on the operation classification information storage means, and the determined Operation permission / rejection determination means for determining permission / rejection of the operation according to the operation request and presence / absence of the responsibility based on the subject classification, the resource classification, and the operation classification and the policy storage means, and an operation according to the operation request. If it is determined that the responsibility is granted, the responsibility detailed information storage unit stores the content of the responsibility independently of the resource classification and the subject classification according to the operation classification. And responsibility content determination means for determining the content .
このような情報処理装置では、操作の分類に対応させて責務に関する情報を定義すればよいため、上記許否判定に関する規則ごとに責務に関する情報を定義する必要はなく、セキュリティポリシーにおける責務の定義を容易に行わせることができる。 In such an information processing apparatus, it is only necessary to define information on duties corresponding to the classification of operations. Therefore, it is not necessary to define information on duties for each rule relating to the above permission / rejection determination, and it is easy to define duties in the security policy. Can be done.
また、上記課題を解決するため、本発明は、上記情報処理装置における責務判定方法、前記責務判定方法を前記情報処理装置に実行させるための責務判定プログラム、又は前記責務判定プログラムを記録した記録媒体としてもよい。 In order to solve the above-described problems, the present invention provides a duty determination method in the information processing apparatus, a duty determination program for causing the information processing apparatus to execute the duty determination method, or a recording medium on which the duty determination program is recorded. It is good.
本発明によれば、セキュリティポリシーにおける責務の定義を容易に行わせることのできる情報処理装置、責務判定方法、責務判定プログラム及び記録媒体を提供することができる。 According to the present invention, it is possible to provide an information processing apparatus, an obligation determination method, an obligation determination program, and a recording medium that can easily define an obligation in a security policy.
以下、図面に基づいて本発明の実施の形態を説明する。図1は、本発明の実施の形態における文書管理システムの構成例を示す図である。図1に示されるように、本実施の形態における文書管理システム1は、セキュリティ管理サーバ10、文書管理サーバ20、認証サーバ30、クライアント装置40、印刷サーバ51、変換サーバ52及び配信サーバ53等が、インターネットやLAN(Local Area Network)等のネットワーク60(有線又は無線の別は問わない。)を介して接続されることにより構成されている。
Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is a diagram showing a configuration example of a document management system according to an embodiment of the present invention. As shown in FIG. 1, the
セキュリティ管理サーバ10は、文書に関連したセキュリティ上の各種情報(以下、「セキュリティ情報」という。)の管理を行うためのコンピュータである。文書管理システム1において文書を取り扱う各種サーバ(文書管理サーバ10、印刷サーバ51、変換サーバ52、及び配信サーバ53)は、セキュリティ管理サーバ10に管理されているセキュリティ情報に基づいて、各ユーザの文書に対する操作権限の有無等を判断する。
The
文書管理サーバ20は、文書の管理機能等が実装されたコンピュータである。
The
認証サーバ30は、文書管理システム1のユーザの認証を行うための認証モジュール31が実装されたコンピュータである。認証モジュール31は、認証要求に応じてユーザの認証を行い、ユーザが認証された場合は、当該ユーザが認証された旨を証明する電子的な証明書(以下、「チケット」という。)を認証要求元に対して発行する。
The
印刷サーバ51、変換サーバ52及び配信サーバ53等は、文書管理サーバ20に管理されている文書を扱う各種サーバの例示である。印刷サーバ51は、文書をプリンタに印刷させるための機能が実装されたコンピュータである。変換サーバ52は、文書を所定のデータ形式に変換するための機能が実装されたコンピュータである。配信サーバ53は、文書を所定の宛先に配信するための機能が実装されたコンピュータである。
The
クライアント装置40は、上述した各種サーバの機能を利用するアプリケーションが実装されたコンピュータである。但し、クライアント装置40は、ユーザが直接利用する端末であるとは限らない。例えば、クライアント装置40は、Webサーバであってもよく、その場合、クライアント装置40に実装されたアプリケーションは、Webアプリケーションに相当する。
The
なお、上記各サーバにおける各機能は、Webサービスとして実装されていてもよい。この場合、クライアント装置40及び各サーバ間の通信はSOAP(Simple Object Access Protocol)によって行われる。
Each function in each of the above servers may be implemented as a Web service. In this case, communication between the
次に、文書管理サーバ20の詳細について説明する。図2は、本発明の実施の形態における文書管理サーバのハードウェア構成例を示す図である。図2の文書管理サーバ20は、それぞれバスBで相互に接続されているドライブ装置200と、補助記憶装置202と、メモリ装置203と、演算処理装置204と、インタフェース装置205とを有するように構成される。
Next, details of the
文書管理サーバ20での処理を実現するプログラムは、CD−ROM等の記録媒体201によって提供される。プログラムが記録された記録媒体201がドライブ装置200にセットされると、当該プログラムが記録媒体201からドライブ装置200を介して補助記憶装置202にインストールされる。
A program for realizing processing in the
補助記憶装置202は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。メモリ装置203は、プログラムの起動指示があった場合に、補助記憶装置202からプログラムを読み出して格納する。演算処理装置204は、メモリ装置203に格納されたプログラムに従って文書管理サーバ20に係る機能を実行する。インタフェース装置205は例えばモデム、ルータ等で構成され、図1のネットワーク60に接続するために用いられる。
The
なお、セキュリティ管理サーバ10、認証サーバ30、印刷サーバ51、変換サーバ52、及び配信サーバ53等についても図2に示されるハードウェア構成によって実現することができる。
Note that the
図3は、本発明の実施の形態における文書管理サーバ及びセキュリティ管理サーバの機能構成例を示す図である。図3において、文書管理サーバ20は、文書管理モジュール21、責務内容判定モジュール22及び操作分類情報23等より構成される。
FIG. 3 is a diagram illustrating a functional configuration example of the document management server and the security management server in the embodiment of the present invention. In FIG. 3, the
文書管理モジュール21は、管理している文書に対する各種の操作手段(閲覧、印刷、削除、及び属性変更等)を提供するモジュールである。文書管理モジュール21は、アプリケーション41から要求される文書の操作についての許否判定をセキュリティ管理サーバ10のセキュリティ管理モジュール11に要求し、当該許否判定において許可された場合に当該操作を実行する。但し、後述されるように、セキュリティ管理サーバ10においては、他のサーバ(印刷サーバ51、変換サーバ52、及び配信サーバ53等)からも共通に利用可能なように、抽象度の高い概念によって各種操作が分類されている。したがって、文書管理モジュール21は、操作の許否判定をセキュリティ管理サーバ10に要求するに際し、操作分類情報23に基づいて、当該操作が属する分類を判別し、当該分類についての許否判定を要求する。
The
図4は、操作分類情報の例を示す図である。図4に示されるように、操作分類情報23は、文書管理モジュール21における各種操作を当該操作の特徴に応じてより抽象度の高い概念に分類するものである。すなわち、操作分類情報23は、文書管理モジュール21における各種操作と、当該抽象度の高い分類との対応づけを管理している。例えば、図4より、文書の閲覧及び印刷は、情報出力に、文書の削除は、消去に、文書の属性変更は、変更機能に属することが分かる。また、ネットワーク設定変更は、管理機能及び変更機能に属することが分かる。なお、操作分類情報23は、例えば、システム設計時等において、システム設計者によって予め定義される。
FIG. 4 is a diagram illustrating an example of operation classification information. As shown in FIG. 4, the
責務内容判定モジュール22は、アプリケーション41より要求された操作に対応する責務として「ログ記録」が後述されるポリシー113において規定されていた場合に、いかなる種類のログを出力すべきかを責務詳細情報114に基づいて判定する機能である。
The responsibility
図5は、責務詳細情報の例を示す図である。図5に示されるように責務詳細情報114は、操作が属する分類ごとに当該分類に対応するログの種別を規定する情報である。すなわち、図5より、管理機能に係る操作を実行した際にログ記録の必要がある場合は、通常のアクセスログを出力すべきことが分かり、変更機能又は情報出力に係る操作を実行した際にログ記録の必要がある場合は、通常のアクセスログと、異常が発生した場合には更に不正処理に関するエラーログを出力する必要があることが分かる。また、消去に係る操作を実行した際にログ記録の必要がある場合は、詳細なアクセスログと、異常が発生した場合は、警告レベルのエラーログと不正処理に関するエラーログとを出力する必要があるのが分かる。なお、ここで、アクセスログとは、いつ、誰が、どの資源に対して、どの操作を実行したか等を示すログをいう。このように、本実施の形態において、責務がログ記録である場合に具体的にどのようなログを出力すべきかについては、操作が属する分類に依存し、後述される操作の主体の分類や、操作の対象となる資源の分類に対して非依存に定められる。実運用においては、操作が属する分類に応じて定めてあれば十分な場合が多く、主体の分類や資源の分類をも考慮すると責務詳細情報の構成が複雑となり、管理が煩雑となるからである。但し、運用上必要であれば、主体の分類や資源の分類をも考慮して責務詳細情報を規定してもよい。
FIG. 5 is a diagram showing an example of detailed responsibility information. As shown in FIG. 5, the
なお、本実施の形態において、責務詳細情報114は、セキュリティ管理サーバ10において管理されているものが、文書管理サーバ20にダウンロードされて利用される。
In the present embodiment, the
一方、図3において、セキュリティ管理サーバ10には、セキュリティ管理モジュール11が実装されている。セキュリティ管理モジュール11は、各種セキュリティ情報の管理機能が実装されたモジュールである。セキュリティ管理モジュール11においては、主体分類情報111、資源分類情報112、ポリシー113及び責務詳細情報114等がセキュリティ情報として管理されている。
On the other hand, in FIG. 3, a
図6は、主体分類情報の例を示す図である。図6に示されるように、主体分類情報111は、各ユーザ(主体)を、当該ユーザが関係している部署、及び当該ユーザの権限レベルを基準として分類する情報であり、ユーザごとに、各部署(部署A、部署B、部署C)の関係者であるか否かについて(以下、「ユーザ区分」という。)と権限レベルとが定義されている。ここで、「部署の関係者」とは、例えば、当該部署に所属している者や、当該部署におけるプロジェクトに参加している者等が該当する。また、権限レベルとは、企業等の組織における役職等が該当する。例えば、主体分類情報111において、ユーザAは、部署Aの関係者であって正社員であるが、部署B及び部署Cの関係者ではないことが定義されている。
FIG. 6 is a diagram illustrating an example of subject classification information. As shown in FIG. 6,
図7は、資源分類情報の例を示す図である。図7に示されるように、資源分類情報112は、文書管理モジュール21において管理されている各文書を文書カテゴリ、機密レベル及び管理部署等を基準として分類する情報であり、文書ごとに文書名、文書カテゴリ、機密レベル、及び管理部署等が定義されている。文書名は、文書に付された名前である。文書カテゴリは、設計文書、技術文書、人事文書、議事録、仕様書及び一般文書等の別のように、文書の内容に基づく分類である。機密レベルは、文書の機密度である。管理部署は、文書を管理している部署の部署名である。例えば、資源分類情報112において、文書1は、部署Aにおいて管理されている社外秘扱いの議事録であるということが定義されている。
FIG. 7 is a diagram illustrating an example of resource classification information. As shown in FIG. 7, the
図8及び図9は、ポリシーの定義例を示す図である。図8等におけるポリシー113には、操作の対象となる資源の分類と、資源を操作する主体の分類と、資源の分類との組み合わせに応じて操作の分類ごとに当該操作の許否判定に関する規則が、XACML(eXtensible Access Control Markup Language)の仕様を参考に定義されている。なお、図8及び図9は、一つのファイル内においてなされている定義を、便宜上分割して表示したものである。
8 and 9 are diagrams showing examples of policy definitions. In the
図8及び図9のポリシー113は、開始タグps1−1(図8)及び終了タグps1−2(図9)に囲まれた一つのPolicySet定義(以下、当該PolicySet定義を「PolicySet定義ps1」という。)として定義されている。PolicySet定義は、Target定義を子要素として含むことができ、PolicySet定義ps1には、Target定義t1が含まれている。
The
Target定義は、PolicySet定義や、後述されるPolicy定義、又はRule定義等の子要素として定義され、当該Target定義が属するこれらの親要素による定義の適用対象を特定する。Target定義は、主体を特定するためのSubject定義、資源を特定するためのResource定義、及び操作の分類を特定するためのAction定義等を子要素として含む。Target定義t1において、Subject定義s1、Resource定義r1、及びAction定義a1の値はいずれも「ANY」であるため、PolicySet定義ps1は、全ての主体、資源及び操作を適用対象とする定義であることが分かる。 The Target definition is defined as a child element such as a PolicySet definition, a Policy definition described later, or a Rule definition, and specifies an application target of the definition by these parent elements to which the Target definition belongs. The Target definition includes, as child elements, a Subject definition for specifying a subject, a Resource definition for specifying a resource, an Action definition for specifying a classification of an operation, and the like. In the Target definition t1, the values of the Subject definition s1, the Resource definition r1, and the Action definition a1 are all “ANY”, so the PolicySet definition ps1 is a definition that applies to all subjects, resources, and operations. I understand.
PolicySet定義は、また、一つ以上のPolicySet定義や、Policy定義等を子要素として含むことができ、PolicySet定義ps1は、開始タグps2−1(図8)及び終了タグps2−2(図9)で囲まれた一つのPolicySet定義(以下「PolicySet定義ps2」という。)を含んでいる。PolicySet定義ps2のTarget定義t2におけるResource定義r2の値より、PolicySet定義ps2は、文書カテゴリが「議事録」であり、機密レベルが「社外秘」である文書(資源)に対する定義であることが分かる。なお、親要素において定義されたTarget定義は、その子要素に対しても有効となる。したがって、ポリシー113は、PolicySet定義ps1においては、全ての資源が適用対象だったが、PolicySet定義ps2において特定の文書を適用対象とするものに絞り込まれたことになる。
The PolicySet definition can also include one or more PolicySet definitions, Policy definitions, and the like as child elements. The PolicySet definition ps1 includes a start tag ps2-1 (FIG. 8) and an end tag ps2-2 (FIG. 9). 1 PolicySet definition (hereinafter referred to as “PolicySet definition ps2”). From the value of the Resource definition r2 in the Target definition t2 of the PolicySet definition ps2, it can be seen that the PolicySet definition ps2 is a definition for a document (resource) whose document category is “Minutes” and whose confidential level is “Confidential”. Note that the Target definition defined in the parent element is also valid for its child elements. Therefore, the
PolicySet定義ps2には、PolicySet定義ps3(図8)及びPolicySet定義ps4(図9)の二つのPolicySet定義が含まれている。PolicySet定義ps3は、Target定義t3におけるSubject定義s3の値より、ユーザカテゴリが「関係者」であり、権限レベルが「正社員」であるユーザ(主体)に対する定義であることが分かる。また、PolicySet定義ps4は、Target定義t4におけるSubject定義s4の値より、ユーザカテゴリが「関係者」であり、権限レベルが「派遣」であるユーザ(主体)に対する定義であることが分かる。ここでの「関係者」とは、操作対象となっている文書に対する関係者を意味する。すなわち、操作対象となっている文書の管理部署と、操作の主体となっているユーザが関係を有する部署とが同じ場合は、当該ユーザは当該文書の「関係者」であるとされる。 The PolicySet definition ps2 includes two PolicySet definitions: PolicySet definition ps3 (FIG. 8) and PolicySet definition ps4 (FIG. 9). The PolicySet definition ps3 is a definition for a user (subject) whose user category is “related party” and whose authority level is “regular employee” from the value of the Subject definition s3 in the Target definition t3. The PolicySet definition ps4 is a definition for a user (subject) whose user category is “related party” and whose authority level is “dispatch” from the value of the Subject definition s4 in the Target definition t4. The “related party” here means a related party for the document to be operated. That is, if the management department of the document to be operated is the same as the department to which the user who is the subject of the operation has a relationship, the user is assumed to be the “related party” of the document.
PolicySet定義ps3は、Policy定義p31及びPolicy定義p32の二つのPolicy定義を含んでいる。Policy定義は、一つのセキュリティルールが規定された要素である。各Policy定義には、Target定義の他にRule定義、及びObbligation定義等を子要素として含んでいる。 PolicySet definition ps3 includes two Policy definitions, Policy definition p31 and Policy definition p32. The Policy definition is an element in which one security rule is defined. Each Policy definition includes a Rule definition, an Obligation definition and the like as child elements in addition to the Target definition.
Rule定義は、そのEffect属性において、当該Policy定義が適用される場合の判定値(許可又は不許可)が定義される要素である。Obbligation定義は、当該Policy定義において対象となった操作を実行する際に併せて実行することが義務付けられる責務の内容が定義される要素である。 The Rule definition is an element in which a determination value (permitted or not permitted) is defined in the Effect attribute when the Policy definition is applied. The Obligation definition is an element in which the content of the responsibility that is obliged to be executed together with the target operation in the Policy definition is defined.
Policy定義p31は、そのTarget定義31におけるAction定義31より、「情報出力」操作に対する定義であることが分かる。また、Rule定義r31より、その判定値は許可(Permit)であり、Obbligation定義o31より、「ログ記録」が責務とされていることが分かる。すなわち、Policy定義p31は、PolicySet定義ps2におけるTarget定義t2と、PolicySet定義ps3におけるTarget定義t3とによる資源及び主体の限定を継承することにより、「社外秘の議事録については、当該議事録の関係者である正社員のユーザによる情報出力は、許可する。但し、その際にはログ記録をしなければならない。」という規則が規定していることとなる。
It can be understood that the Policy definition p31 is a definition for the “information output” operation from the
同様に、Policy定義p32は、「社外秘の議事録については、当該議事録の関係者である正社員のユーザによる消去は、許可する。但し、その際にはログ記録をしなければならない。」旨を規定する。 Similarly, the policy definition p32 states that “the confidential minutes of a company are permitted to be deleted by a regular employee who is a person related to the minutes. However, in this case, a log must be recorded”. Is specified.
また、Policy定義p41は、「社外秘の議事録については、当該議事録の関係者である派遣のユーザによる情報出力は、許可する。但し、その際にはログ記録をしなければならない。」旨を規定する。更に、Policy定義p42は、「社外秘の議事録については、当該議事録の関係者である派遣のユーザによる消去は、許可する。但し、その際にはログ記録をしなければならない。」旨を規定する。 Further, the policy definition p41 indicates that “information regarding confidential minutes is allowed to be output by a dispatching user who is a person concerned with the minutes. However, in that case, the log must be recorded”. Is specified. Furthermore, the policy definition p42 states that “the confidential minutes of the company are allowed to be deleted by the dispatching user who is the person concerned with the minutes. However, in that case, the log must be recorded”. Stipulate.
なお、ポリシー113においては、いずれの責務に関しても「ログ記録」として定義されており、ログの種別については特定されていない点に注意を要する。後述されるように、ログの種別については、責務詳細情報114に基づいて判断されるため、ポリシー113内においてそのような細部まで特定する必要はないからである。
It should be noted that in the
以下、図1の文書管理システム1の処理手順について説明する。図10は、文書管理システムの処理を説明するためのシーケンス図である。
Hereinafter, the processing procedure of the
ステップS101において、責務内容判定モジュール22は、責務詳細情報114の提供をセキュリティ管理モジュール11に要求し、責務詳細情報114を文書管理サーバ20にダウンロードする(S102)。なお、この処理は、例えば、文書管理サーバ20の起動時等、後述される処理とは非同期に、予め、又は定期的に実行されるものである。但し、責務詳細情報114は、後述されるタイミング(S116)において、操作の許否判定の判定結果と共に文書管理モジュール21が受信するようにしてもよい。
In step S101, the responsibility
ステップS103からステップS111までは、文書管理サーバ10に管理されている文書を操作するに際し前提となる処理(セッションの開設、文書の検索等)である。すなわち、ユーザによるユーザ名及びパスワードの入力に基づいて、アプリケーション41は、ユーザ名及びパスワードを引数として認証モジュール31に対してユーザの認証を要求する(S103)。認証モジュール31は、ユーザを認証し、ユーザが認証された場合はその旨を証明するチケットを生成する(S104)。チケットには、例えば、当該チケットを識別するチケットID、当該チケットが有効なサービスを示す有効範囲、当該チケットによってサービスを利用できる有効期限、ユーザID、及び改竄チェック用のコード等が記録される。チケットは、その内容を認証モジュール31のみが参照可能なように暗号化され、アプリケーション41に送信される(S105)。
Steps S103 to S111 are processes (session establishment, document search, etc.) that are prerequisites for operating the document managed by the
アプリケーション41は、チケットを引数としてセッションの開設要求を文書管理モジュール21に送信する(S106)。文書管理モジュール21は、受信したチケットの正当性の検証を認証モジュール31に要求し(S107)、正当である旨の検証結果が返信されると(S108)、セッションIDをアプリケーション41に対して返信する(S109)。なお、文書管理モジュール21は、チケットをセッションIDと関連付けて保存しておく。
The
セッションの開設後、ユーザが、文書の検索を指示すると、アプリケーション41は、セッションID及び検索条件等を引数として文書の検索要求を文書管理モジュール21に送信する(S110)。文書管理モジュール21は、検索条件に基づいて文書を検索し、その検索結果をアプリケーション41に送信する(S111)。
After the session is established, when the user instructs to search for a document, the
この時点で、ユーザには、検索された文書の一覧を含む文書一覧画面が提示される。そこで、ユーザが任意の文書を選択し(選択された文書を以下「カレント文書」という。)、カレント文書を対象として閲覧、印刷、削除又は属性変更等の操作の実行を指示すると、アプリケーション41は、チケット、カレント文書の文書ID、及び指示された操作を識別する操作IDを引数として、当該操作の実行を文書管理モジュール21に要求する(S112)。
At this point, the user is presented with a document list screen that includes a list of retrieved documents. Therefore, when the user selects an arbitrary document (the selected document is hereinafter referred to as “current document”) and instructs the execution of operations such as browsing, printing, deletion, or attribute change for the current document, the
ステップS112に続いてステップS113に進み、文書管理モジュール21は、操作分類情報23に基づいて指示された操作が属する分類を特定する。例えば、閲覧が指示された場合は、当該分類は、「情報出力」として特定される(図4参照)。なお、ここで特定された分類を以下「カレント操作分類」という。
Progressing to step S113 following step S112, the
ステップS113に続いてステップS114に進み、文書管理モジュール21は、カレントユーザによるカレント文書に対するカレント操作分類の実行の許否判定をセキュリティモジュール11に要求する。ステップS114に続いてステップS115に進み、セキュリティ管理モジュールは、主体分類情報111に基づいて、カレントユーザの権限レベルを判定し、資源分類情報112に基づいてカレント文書の文書カテゴリ及び機密レベルを判定し、主体分類情報111及び資源分類情報112に基づいてカレントユーザがカレント文書の関係者であるか否かを判定した後、その判定結果をポリシー113に当てはめて、カレント操作分類の実行が許可されるか否かや、許可される場合における責務等を判定する。
Progressing to step S114 following step S113, the
例えば、カレントユーザが「ユーザA」であり、カレント文書が「文書1」である場合は、カレントユーザの権限レベルは、「正社員」であり、カレント文書の文書カテゴリ、機密レベルは、それぞれ「議事録」、「社外秘」ということとなる。また、文書1の管理部署は「部署A」であり、ユーザAは、「部署A」の関係者であることから、カレントユーザはカレント文書の関係者であるということとなる。ここで、例えばカレント操作分類が「情報出力」である場合は、ポリシー113におけるポリシー定義p31(図8)が適用される。そうすると、当該操作分類の実行は許可され、「ログ記録」が責務として要求される旨が判定される。
For example, when the current user is “user A” and the current document is “
ステップS115に続いてステップS116に進み、セキュリティ管理モジュール11は、判定結果(操作の許否、及び責務等)を文書管理モジュール21に対して返信する。ステップS116に続いてステップS117に進み、文書管理モジュール21は、アプリケーション41より要求された操作、例えば、カレント文書を閲覧させるための処理等を実行する。ステップS117に続いてステップS118に進み、ステップS116においてセキュリティ管理モジュール11より返信された判定結果において責務として「ログ記録」が指定されている場合は、文書管理モジュール21は、カレント操作分類を識別するIDと、イベントIDとを引数として責務内容判定モジュール22に対して出力すべきログの種別を問い合わせる。ここで、イベントIDとは、操作を実行した際に発生したエラー等を識別するためのIDである。
Proceeding to step
ステップS118に続いてステップS119に進み、責務内容判定モジュール22は、責務詳細情報114(図4)に基づいて、カレント操作分類に対応したログ種別を判定し、その判定結果を文書管理モジュール21に出力する。例えば、情報出力に係る操作が実行された場合は、通常のアクセスログが、また、イベントIDにエラーが発生した旨が示されている場合には、更に、不正処理に関するエラー処理が出力すべきログの種別として判定される。
Proceeding to step S119 following step S118, the responsibility
ステップS119に続いてステップS120に進み、文書管理モジュール21は、責務内容判定モジュール22によって判定された種別によるログを出力すると共に、実行された操作の成否等、処理結果を示す情報をアプリケーション41に返信し(S121)、処理を終了させる。
Proceeding to step S120 following step S119, the
上述したように、本実施の形態における文書管理システム1によれば、責務詳細情報114に基づいて、記録すべきログの種別が判定されるため、ポリシー113内におけるPolicy定義ごとにログの種別を特定して責務を定義する必要は無い。したがって、操作に応じたログの種別を変更させたい場合は、責務詳細情報114において当該操作に対応する箇所を修正すればよく、ポリシー113の保守作業を簡略化させることができると共に、矛盾の無い定義を容易に行わせることができる。
As described above, according to the
なお、本実施の形態においては、責務の具体例としてログ記録を例として説明したが、本発明は、特定の責務に限定されず、様々な責務に関して適用可能である。 In the present embodiment, log recording has been described as a specific example of duties. However, the present invention is not limited to specific duties, and can be applied to various duties.
本発明は係る特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。 The present invention is not limited to such specific embodiments, and various modifications and changes can be made within the scope of the gist of the present invention described in the claims.
1 文書管理システム
10 セキュリティ管理サーバ
11 セキュリティ管理モジュール
20 文書管理サーバ
21 文書管理モジュール
22 責務内容判定モジュール
23 操作分類情報
30 認証サーバ
31 認証モジュール
40 クライアント装置
41 アプリケーション
51 印刷サーバ
52 変換サーバ
53 配信サーバ
111 主体分類情報
112 資源分類情報
113 ポリシー
114 責務詳細情報
200 ドライブ装置
201 記録媒体
202 補助記憶装置
203 メモリ装置
204 演算処理装置
205 インタフェース装置
B バス
DESCRIPTION OF
Claims (7)
操作の対象となる資源の識別名ごとに前記資源が属する資源分類を記憶した資源分類情報記憶手段と、
前記資源に対して可能な操作ごとに前記操作が属する操作分類を記憶した操作分類情報記憶手段と、
前記主体分類及び前記資源分類の組み合わせに応じて前記操作分類ごとに操作の許否を示す情報と、当該操作の実行に伴って要求される責務の有無を示す情報とを記憶したポリシー記憶手段と、
操作の主体の識別名及び操作対象とされた資源の識別名が指定された操作要求に応じ、当該主体が属する前記主体分類を当該主体の識別名と前記主体分類情報記憶手段とに基づいて判定し、当該資源が属する前記資源分類を当該資源の識別名と前記資源分類情報記憶手段とに基づいて判定し、当該操作要求に係る操作が属する前記操作分類を前記操作分類情報記憶手段に基づいて判定し、判定された前記主体分類、前記資源分類、及び前記操作分類と前記ポリシー記憶手段とに基づいて前記操作要求に係る操作の許否と前記責務の有無とを判定する操作許否判定手段と、
前記操作要求に係る操作が許可され、前記責務が有ると判定された場合に、前記操作分類に応じ、前記資源分類及び前記主体分類とは非依存に前記責務の内容を記憶する責務詳細情報記憶手段を用いて前記責務の内容を判定する責務内容判定手段とを有する情報処理装置。 Subject classification information storage means for storing the subject classification to which the subject belongs for each identifier of the subject of operation;
Resource classification information storage means for storing a resource classification to which the resource belongs for each identification name of the resource to be operated;
Operation classification information storage means storing operation classification to which the operation belongs for each possible operation on the resource;
Policy storage means for storing information indicating whether or not an operation is permitted for each operation classification according to a combination of the subject classification and the resource classification, and information indicating whether or not there is a responsibility required in performing the operation,
In response to an operation request in which the identification name of the operation subject and the identification name of the resource to be operated are specified, the subject classification to which the subject belongs is determined based on the identification name of the subject and the subject classification information storage unit And determining the resource classification to which the resource belongs based on the identification name of the resource and the resource classification information storage means, and determining the operation classification to which the operation related to the operation request belongs based on the operation classification information storage means. An operation permission / rejection determination unit that determines whether to perform the operation according to the operation request and the presence / absence of the responsibility based on the determined subject classification, the resource classification, and the operation classification and the policy storage unit;
Responsibility detailed information storage for storing the content of the responsibility independent of the resource classification and the subject classification according to the operation classification when it is determined that the operation related to the operation request is permitted and the responsibility is present An information processing apparatus comprising responsibility content determination means for determining the content of the responsibility using means .
操作の主体の識別名及び操作対象とされた資源の識別名が指定された操作要求に応じ、当該主体が属する主体分類を当該主体の識別名と主体分類情報記憶手段とに基づいて判定し、当該資源が属する資源分類を当該資源の識別名と資源分類情報記憶手段とに基づいて判定し、当該操作要求に係る操作が属する操作分類を操作分類情報記憶手段に基づいて判定し、判定された前記主体分類、前記資源分類、及び前記操作分類とポリシー記憶手段とに基づいて前記操作要求に係る操作の許否と責務の有無とを判定する操作許否判定手順と、
前記操作要求に係る操作が許可され、前記責務が有ると判定された場合に、前記操作分類に応じ、前記資源分類及び前記主体分類とは非依存に前記責務の内容を記憶する責務詳細情報記憶手段を用いて前記責務の内容を判定する責務内容判定手順とを有し、
前記主体分類情報記憶手段は、操作の主体の識別名ごとに前記主体が属する前記主体分類を記憶し、
前記資源分類情報記憶手段は、操作の対象となる資源の識別名ごとに前記資源が属する前記資源分類を記憶し、
前記操作分類情報記憶手段は、前記資源に対して可能な操作ごとに前記操作が属する前記操作分類を記憶し、
前記ポリシー記憶手段は、前記主体分類及び前記資源分類の組み合わせに応じて前記操作分類ごとに操作の許否を示す情報と、当該操作の実行に伴って要求される前記責務の有無を示す情報とを記憶する責務判定方法。 A responsibility determination method executed by a computer,
In response to the operation request in which the identification name of the subject of the operation and the identification name of the resource to be operated are specified, the subject classification to which the subject belongs is determined based on the identification name of the subject and the subject classification information storage unit, The resource classification to which the resource belongs is determined based on the identification name of the resource and the resource classification information storage means, and the operation classification to which the operation related to the operation request belongs is determined based on the operation classification information storage means. An operation permission / rejection determination procedure for determining permission / inhibition of operation and presence / absence of responsibility according to the operation request based on the subject classification, the resource classification, and the operation classification and policy storage unit;
Responsibility detailed information storage for storing the content of the responsibility independent of the resource classification and the subject classification according to the operation classification when it is determined that the operation related to the operation request is permitted and the responsibility is present A responsibility content determination procedure for determining the content of the responsibility using means,
The subject classification information storage means stores the subject classification to which the subject belongs for each identification name of the subject of operation,
The resource classification information storage means stores the resource classification to which the resource belongs for each identifier of the resource to be operated,
The operation classification information storage means stores the operation classification to which the operation belongs for every possible operation on the resource,
The policy storage means includes information indicating whether or not an operation is permitted for each operation classification according to a combination of the subject classification and the resource classification, and information indicating the presence or absence of the responsibility required when the operation is performed. Duty judgment method to remember .
操作の主体の識別名及び操作対象とされた資源の識別名が指定された操作要求に応じ、当該主体が属する主体分類を当該主体の識別名と主体分類情報記憶手段とに基づいて判定し、当該資源が属する資源分類を当該資源の識別名と資源分類情報記憶手段とに基づいて判定し、当該操作要求に係る操作が属する操作分類を操作分類情報記憶手段に基づいて判定し、判定された前記主体分類、前記資源分類、及び前記操作分類とポリシー記憶手段とに基づいて前記操作要求に係る操作の許否と責務の有無とを判定する操作許否判定手順と、
前記操作要求に係る操作が許可され、前記責務が有ると判定された場合に、前記操作分類に応じ、前記資源分類及び前記主体分類とは非依存に前記責務の内容を記憶する責務詳細情報記憶手段を用いて前記責務の内容を判定する責務内容判定手順とを実行させ、
前記主体分類情報記憶手段は、操作の主体の識別名ごとに前記主体が属する前記主体分類を記憶し、
前記資源分類情報記憶手段は、操作の対象となる資源の識別名ごとに前記資源が属する前記資源分類を記憶し、
前記操作分類情報記憶手段は、前記資源に対して可能な操作ごとに前記操作が属する前記操作分類を記憶し、
前記ポリシー記憶手段は、前記主体分類及び前記資源分類の組み合わせに応じて前記操作分類ごとに操作の許否を示す情報と、当該操作の実行に伴って要求される前記責務の有無を示す情報とを記憶する責務判定プログラム。 On the computer,
In response to the operation request in which the identification name of the subject of the operation and the identification name of the resource to be operated are specified, the subject classification to which the subject belongs is determined based on the identification name of the subject and the subject classification information storage unit, The resource classification to which the resource belongs is determined based on the identification name of the resource and the resource classification information storage means, and the operation classification to which the operation related to the operation request belongs is determined based on the operation classification information storage means. An operation permission / rejection determination procedure for determining permission / inhibition of operation and presence / absence of responsibility according to the operation request based on the subject classification, the resource classification, and the operation classification and policy storage unit;
Responsibility detailed information storage for storing the content of the responsibility independent of the resource classification and the subject classification according to the operation classification when it is determined that the operation related to the operation request is permitted and the responsibility is present A responsibility content determination procedure for determining the content of the responsibility using a means,
The subject classification information storage means stores the subject classification to which the subject belongs for each identification name of the subject of operation,
The resource classification information storage means stores the resource classification to which the resource belongs for each identifier of the resource to be operated,
The operation classification information storage means stores the operation classification to which the operation belongs for every possible operation on the resource,
The policy storage means includes information indicating whether or not an operation is permitted for each operation classification according to a combination of the subject classification and the resource classification, and information indicating the presence or absence of the responsibility required when the operation is performed. Responsibility judgment program to remember .
A computer-readable recording medium on which the responsibility determining program according to claim 6 is recorded.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004324894A JP4417819B2 (en) | 2004-11-09 | 2004-11-09 | Information processing apparatus, responsibility determination method, responsibility determination program, and recording medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004324894A JP4417819B2 (en) | 2004-11-09 | 2004-11-09 | Information processing apparatus, responsibility determination method, responsibility determination program, and recording medium |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006134216A JP2006134216A (en) | 2006-05-25 |
JP4417819B2 true JP4417819B2 (en) | 2010-02-17 |
Family
ID=36727686
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004324894A Expired - Fee Related JP4417819B2 (en) | 2004-11-09 | 2004-11-09 | Information processing apparatus, responsibility determination method, responsibility determination program, and recording medium |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4417819B2 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7979896B2 (en) * | 2007-04-20 | 2011-07-12 | Microsoft Corporation | Authorization for access to web service resources |
JP2009009469A (en) * | 2007-06-29 | 2009-01-15 | Kyocera Mita Corp | Log storage device and program |
-
2004
- 2004-11-09 JP JP2004324894A patent/JP4417819B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2006134216A (en) | 2006-05-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4676779B2 (en) | Information processing device, resource management device, attribute change permission determination method, attribute change permission determination program, and recording medium | |
JP4625334B2 (en) | Information processing apparatus, information processing method, information processing program, recording medium, and resource management apparatus | |
US10911428B1 (en) | Use of metadata for computing resource access | |
US20050168769A1 (en) | Security print system and method | |
JP4606052B2 (en) | Information processing apparatus, operation permission information generation method, operation permission information generation program, and recording medium | |
US9712536B2 (en) | Access control device, access control method, and program | |
AU2019222893B2 (en) | Document management system and processing apparatus | |
US20080256593A1 (en) | Policy-Management Infrastructure | |
CN101816006A (en) | Security policy validation for web services | |
US20180268157A1 (en) | Document management system and management apparatus | |
JP2009258820A (en) | Account management system, account management device, and account management method | |
CN113094055A (en) | Maintaining control over restricted data during deployment to a cloud computing environment | |
JP4676782B2 (en) | Information processing apparatus, operation permission data generation method, operation permission data generation permission determination method, operation permission data generation program, operation permission data generation permission determination program, and recording medium | |
KR100621318B1 (en) | Method for managing access and use of resources by verifying conditions and conditions for use therewith | |
AU2019261686B2 (en) | Management apparatus and document management system | |
CN111814152A (en) | Security assessment method, device, electronic equipment and medium | |
US8176535B2 (en) | Information processing system, information processing method, and computer readable medium | |
US20150212468A1 (en) | Image forming apparatus capable of limiting range of operation during maintenance, control method therefor, and storage medium | |
JP4602684B2 (en) | Information processing apparatus, operation permission determination method, operation permission information generation method, operation permission determination program, operation permission information generation program, and recording medium | |
JP4764614B2 (en) | Information processing apparatus, operation permission information generation method, operation permission information generation program, and recording medium | |
JP4417819B2 (en) | Information processing apparatus, responsibility determination method, responsibility determination program, and recording medium | |
US9473508B2 (en) | Method for the protected deposit of event protocol data of a computer system, computer program product and computer system | |
JP4723930B2 (en) | Compound access authorization method and apparatus | |
JP4890372B2 (en) | Portable information processing device, electronic device, operation control method, and operation control program | |
JP2006277379A (en) | Personal information management method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070216 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090625 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090707 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090903 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20091124 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20091126 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121204 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131204 Year of fee payment: 4 |
|
LAPS | Cancellation because of no payment of annual fees |