JP4791760B2 - アクセス制御装置、アクセス制御方法、及びアクセス制御プログラム - Google Patents

アクセス制御装置、アクセス制御方法、及びアクセス制御プログラム Download PDF

Info

Publication number
JP4791760B2
JP4791760B2 JP2005144602A JP2005144602A JP4791760B2 JP 4791760 B2 JP4791760 B2 JP 4791760B2 JP 2005144602 A JP2005144602 A JP 2005144602A JP 2005144602 A JP2005144602 A JP 2005144602A JP 4791760 B2 JP4791760 B2 JP 4791760B2
Authority
JP
Japan
Prior art keywords
specific
type
access control
access
permitted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005144602A
Other languages
English (en)
Other versions
JP2006323535A (ja
Inventor
洋一 金井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2005144602A priority Critical patent/JP4791760B2/ja
Priority to US11/413,211 priority patent/US7716490B2/en
Publication of JP2006323535A publication Critical patent/JP2006323535A/ja
Application granted granted Critical
Publication of JP4791760B2 publication Critical patent/JP4791760B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Description

本発明は、アクセス制御装置、アクセス制御方法、及びアクセス制御プログラムに関し、特に所定の資源に対するアクセス制御を行うアクセス制御装置、アクセス制御方法、及びアクセス制御プログラに関する。
コンピュータ技術の発達により、各種の情報を電子的な文書として保存及び管理することが一般的となっている。しかしながら、電子文書は、紙文書に比較してコピーが容易である等、セキュリティに対する脆弱性を有している。そこで、従来、電子文書のセキュリティを確保するための技術が各種提案されている。
例えば、アクセス制御ポリシーを記述するフォーマットとしては,OASIS(Organization for the Advancement of Structured Information Standards)が業界標準規格としてまとめているXACML(eXtensible Access Control Markup Language)2.0が挙げられる(例えば、非特許文献1)。XACMLを使用すると,どのようなドキュメントにはどのようなアクセスを許可するのか、更に許可をする際に責務(Obligation)を課すようなアクセス制御ポリシーを記述することができる。但し、XACMLは、アクセス制御ポリシーの記述フォーマットを定めたものであり、それを具体的にどのように利用してセキュリティを確保するのかについては定められていない。
機密文書ファイルを配布する際等に電子文書の複製を制限する技術としてDRM(Digital Rights Management)技術がある。具体的な実施形態は様々であるが、例えば、配布文書を暗号化しておき、正当なユーザのみが復号鍵を入手することができるようにすることで、機密文書の配布による情報の漏洩を防止しているものもある。
その他にも各種のセキュリティ技術が提案されており(例えば、特許文献1)、電子文書のセキュリティに対する関心の高さを窺わせる。
特許第3546787号公報 http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=xacml
しかしながら、企業等の組織の中での実際の運用を考えると、文書とユーザ又はグループとの組み合わせごとに定義されたアクセス制御情報、すなわち、「誰に、どの文書の閲覧を許可する」といったような定義内容に基づいて文書に対するアクセスの許否判定を行うようなシステムでは運用しにくいケースがある。
例えば、ある部門Aから部門Bの担当者b1に機密文書を配布したときに、担当者b1はその機密文書の内容を自分の上司b2や同僚b3に見せて相談したり報告したりする必要があるであろう。しかし、部門Aから配布されてきた機密文書に、担当者b1の閲覧権限が付与されていない場合、担当者b1は配布元の部門Aに対して、上司b2や同僚b3の閲覧権限も付与してもらうように依頼する必要が生じる。そうすると部門A側は、改めて機密文書に上司b2や同僚b3の閲覧権限をつけて配布し直さなければならない。
このような手続きは部門Aにとっても担当者b1にとっても非常に煩雑であり、セキュリティ確保のための作業コストとしても許容し難いものがある。だからといって、担当者b1が勝手に関係のない人に閲覧権限を与えることができてしまうと文書の横流しが可能になってしまうという問題がある。
部門A側から見れば、担当者b1に機密文書の横流しをされると困るが、その担当者b1の上司が誰なのかを予め把握するのは困難である。同様に、普段担当者b1が同僚の誰と相談して仕事を進めるのか把握するのは困難であるため、誰に権限を与えておくべきか決めることができないという問題がある。
本発明は、上記の点に鑑みてなされたものであって、資源に対するアクセス制御をより柔軟に行うことのできるアクセス制御装置、アクセス制御方法、及びアクセス制御プログラムの提供を目的とする。
そこで上記課題を解決するため、本発明は、所定の資源に対するアクセス制御を行うアクセス制御装置であって、前記所定の資源にアクセスする主体間の所定の関係が定義された主体関係定義情報と、前記所定の関係に応じて前記所定の資源に対するアクセス権限が定義された間接アクセス制御情報と、アクセス権限の評価対象とされた主体と前記所定の関係を有する関係主体を、前記主体関係定義情報に基づいて検索し、検索された前記関係主体との前記所定の関係と前記間接アクセス制御情報とに基づいて、前記評価対象とされた主体のアクセス権限を判定する間接アクセス権限判定手段とを有することを特徴とする。
また、上記課題を解決するため、本発明は、上記アクセス制御装置におけるアクセス制御方法、前記アクセス制御方法をコンピュータに実行させるためのアクセス制御プログラム、又は前記アクセス制御プログラムを記録した記録媒体としてもよい。
本発明によれば、資源に対するアクセス制御をより柔軟に行うことのできるアクセス制御装置、アクセス制御方法、及びアクセス制御プログラムを提供することができる。
以下、図面に基づいて本発明の実施の形態を説明する。本発明の実施の形態では、所定の資源として電子的な文書を、所定の資源にアクセスする主体としてユーザを具体例として説明する。但し、所定の資源は、電子的な文書に限られず、例えば、ネットワークに接続された各種資源(記憶装置、コンピュータ、又はプリンタ等のネットワーク機器)であってもよい。また、所定の資源にアクセスする主体は、ユーザ(アカウント名)によって識別するのではなく、PC(Personal Computer)等のホスト名等によって識別してもよい。
図1は、本発明の実施の形態における文書アクセス制御システムの概略構成例を示す図である。図1において、文書アクセス制御システム1は、LAN(Local Area Network)又はインターネット等のネットワーク(有線又は無線の別は問わない)によって相互に接続されたポリシーサーバ10と、文書保護装置20と、文書アクセス装置30とより構成されている。
文書保護装置20は、配布元ユーザ51が他のユーザ(例えば、配布先ユーザ52)に配布するための文書を保護するための処理(以下「文書保護処理」という。)を実行するプログラム(文書保護プログラム)が実装されているPC(Personal Computer)等のコンピュータである。文書保護プログラムによって文書保護処理が施された文書を以下「保護済み文書」という。
文書アクセス装置30は、配布元ユーザ51より配布された保護済み文書に対して編集、表示、及び印刷等のアクセスを行うプログラム(文書アクセスプログラム)が実装されているPC(Personal Computer)等のコンピュータである。
ポリシーサーバ10は、保護済み文書に対するアクセス制御を行うPC(Personal Computer)等のコンピュータである。
図1の文書保護装置20において、配布元ユーザ51が、オリジナル文書60と、オリジナル文書60に付与するセキュリティ属性とを文書保護プログラムに入力すると(S11)、文書保護プログラムは、オリジナル文書に対して文書保護処理を施す。ここで、セキュリティ属性とは,例えば,オリジナル文書60が所属するドメイン、文書のカテゴリ、機密レベル、そしてその文書の関係者等、文書に関する属性のうちポリシーサーバ10がアクセス制御を行う際に参照される情報である.
図2は、文書保護処理を説明するための図である。図2に示されるように、文書保護プログラムは、暗号化/復号化キーを生成し,その暗号化キーを使ってオリジナル文書60を暗号化し、暗号化文書60aを生成する。更に、オリジナル文書60を特定するための一意な識別情報として文書IDを生成し、その文書IDを暗号化文書60aに付加することにより保護済み文書61を生成する。
図1に戻る。文書保護プログラムは、文書保護処理の後、文書ID、復号化キー及びセキュリティ属性の登録をポリシーサーバ10に要求し(S12)、生成された保護済み文書61をユーザに渡す(S13)。ここで、「ユーザに渡す」とは、例えば、生成された保護済み文書61をユーザに認識可能な記憶領域に配置することをいう。
なお、ポリシーサーバ10においては、登録要求されたセキュリティ属性は、セキュリティ属性DB11に登録され、保持される。
図3は、セキュリティ属性DBを構成するセキュリティ属性テーブルの例を示す図である。図3においては、セキュリティ属性テーブル111に、文書ID、復号化キー、ドメイン、文書カテゴリ、機密レベル、及び関係者/対象者が登録された例が示されている。ここで、関係者/対象者とは、例えば、オリジナル文書61の作成者や配布者元ユーザ51(両者が同一の場合もある)等が該当する。
以上で、保護済み文書を生成するまでのプロセスが完了する。これによって、配布元ユーザ51は、保護済み文書61を他のユーザに配布することができる。
続いて、保護済み文書61の配布を受けた配布先ユーザ52が、保護済み文書61にアクセスしようとした際に実行させる処理について説明する。
配布先ユーザ52は、文書アクセス装置30において、文書アクセスプログラムにユーザを認証するための認証情報(例えばユーザ名及びパスワード)と、保護済み文書61ファイルとを入力して保護済み文書61の表示や印刷を指示する(S21)。
文書アクセスプログラムは,入力された保護済み文書61に付加されている文書IDを取得し、取得された文書IDと、入力されたユーザ認証情報と、要求されたアクセスの種別(表示や印刷)とをポリシーサーバ10に送信する(S22)。ポリシーサーバ10は、アクセス種別によって指定されたアクセスについての許否判定を行い、その判定結果と、責務と、更に、アクセスが許可される場合は復号化キーとを文書アクセスプログラムに送信する。なお、責務とは、例えば、ログの採取等、セキュリティ確保の観点より文書にアクセスする際に実行が課される事項をいう。また、ポリシーサーバ10におけるアクセスの許否判定の詳細については後述する。
文書アクセスプログラムは、判定結果が不許可だった場合、配布先ユーザ52には要求されたアクセスは許可されないことを通知して処理を終了する。一方、アクセスが許可された場合、文書アクセスプログラムは受信した復号化キーを用いて保護済み文書61の中の暗号化文書60aを復号してオリジナル文書60とする。更に、文書アクセスプログラムは、復号されたオリジナル文書60をレンダリングする等して要求されたアクセス処理(例えば、表示や印刷)を行う。また、責務が課されている場合は、文書アクセスプログラムは、アクセス処理の実行に伴って、その責務を実行する。
以下、図1において説明した、保護済み文書51にアクセスする際の処理に実行される処理について更に詳しく説明する。
まず、文書アクセス装置30の詳細について説明する。図4は、文書アクセス装置の機能構成例を示す図である。図4において、文書アクセス装置30には、文書アクセスプログラム31が実装されている。文書アクセスプログラム31は、アクセス執行部311、文書ID取得部312、アクセス制御判断要求部313、データ復号部314、レンダリング部315、表示指示部316、印刷指示部317、及び責務執行部318等より構成される。
アクセス執行部311は、配布先ユーザ52から認証情報(ユーザ名、パスワード等)と保護済み文書61、アクセス種別(文書を開く場合には「open」、印刷する場合には「print」等、要求するアクセス(操作)を識別するための文字列)とを含むアクセス要求を受け付ける。アクセス執行部311は、文書ID取得部312に保護済み文書61より文書IDを取得させ、アクセス制御判断要求部313に文書ID、認証情報、及びアクセス種別を含むアクセス制御の判断要求を出力する。アクセス制御判断要求部313はその判断要求をポリシーサーバ10に送信し、アクセスの許否判定の結果、復号化キー、及び責務等を含む判断結果の返信を受ける。アクセス制御判断要求部313は、返信された情報をアクセス執行部311に出力する。
アクセス執行部311は、判断結果が「不許可」であれば、配布先ユーザ52に権限が無いことを通知して処理を終了する。判断結果が「許可」だった場合、アクセス執行部311は、判断結果に含まれる責務を責務執行部318に執行させ、執行結果を受け取る。この際、責務の執行結果が失敗であった場合には責務を果たせなかったとしてアクセス執行部311はユーザにエラーを提示して処理を終了する。
責務が執行できた場合、アクセス執行部311は、ポリシーサーバ10からの判断結果に含まれている復号化キーと保護済み文書61をとデータ復号部314に出力して復号データ(すなわち、オリジナル文書60)を受け取る。アクセス執行部311は、その復号データをレンダリング部315に出力してレンダリングデータを受け取り、そのレンダリングデータをアクセス種別に応じて表示指示部316又は印刷指示部317に出力する。表示指示部316は、レンダリングデータを表示イメージに変換し、その表示イメージをディスプレイ等の表示装置に表示させる。印刷指示部317は、レンダリングデータをPDL等による印刷データに変換し、その印刷データをプリンタに印刷させる。
このようにして文書アクセスプログラム31は、ポリシーサーバ10によるアクセス制御判断結果に基づいて保護済み文書61に対するアクセス制御を行う。
続いて、ポリシーサーバ10の詳細について説明する。図5は、第一の実施の形態におけるポリシーサーバの機能構成例を示す図である。
図5において、ポリシーサーバ10は、上述したセキュリティ属性DB11の他、ポリシーサーバプログラム12、ユーザ管理DB13、ポリシーデータ14、間接ポリシーデータ15、ユーザ関係記述データA16、及びユーザ関係記述データB17等を有する。
ポリシーサーバプログラム12は、文書に対するアクセス制御判断処理をポリシーサーバ10に実行させるプログラムであり、ポリシーサーバ主制御部121、ユーザ認証部122、セキュリティ属性管理部123、ポリシー評価部124、及び間接ポリシー評価部125等より構成される。
ポリシーサーバ主制御部121は、文書アクセスプログラム31からアクセス制御要求(認証情報、文書ID、アクセス種別)を受信する。ポリシーサーバ主制御部121は、受信した認証情報をユーザ認証部122に出力してユーザ(配布先ユーザ52)の認証を行わせ、認証結果として認証の成否と、認証に成功した場合にはユーザ情報とを受け取る。認証に失敗した場合、ポリシーサーバ主制御部121は、文書アクセスプログラム31にエラーを返信して処理を終了させる。
認証に成功した場合、ポリシーサーバ主制御部121は文書IDをセキュリティ属性管理部123に出力してその文書IDに対応するセキュリティ属性情報(文書カテゴリ、機密レベル、関係者リスト、ドメイン等)をセキュリティ属性DB11より取得させる。ポリシーサーバ主制御部121は、ユーザ情報、セキュリティ属性情報、アクセス種別を含むアクセス権限の評価要求をポリシー評価部124に出力することにより、アクセス種別によって識別されるアクセスの許否判定を行わる。
ポリシー評価部124は、ユーザ情報、セキュリティ属性情報、アクセス種別をポリシーデータ14に当てはめることにより、アクセスの許否判定を行い、許否判定の結果として、アクセスの許否及び責務を含む評価結果を出力する。ここで、ポリシーデータ15は、ユーザ又はユーザの分類に応じて文書に対するアクセス制御情報が定義されているデータである。
図6、図7及び図8は、第一の実施の形態におけるポリシーデータのポリシー記述の例を示す図である。便宜上一つのポリシーデータ14におけるポリシー記述が三つの図面に分割されて表示されている。なお、図6等のポリシー記述141は、XACML(eXtensible Access Control Markup Language)を参考にXML(eXtensible Markup Language)によって記述した例である。但し、必ずしも、XACMLやXMLの記述形式に従うことは必要とされない。
図6等に示されるように、一つのポリシー記述141は、一つのPolicy要素(<Policy>タグで囲まれた要素)をルート要素として有する。Policy要素は、一つのドメインに対するアクセス制御情報を規定する要素であり、一つ以上のRule要素を子要素として含む。図6等においては、Policy要素は、Rule要素r1、r2及びr3の三つのRule要素を含んでいる。
各Rule要素は、DocCategory要素、Sensitivity要素、及び一つ以上のAccessControl要素を子要素として含み、文書の分類及び文書の操作主体(すなわち、ユーザ)の分類との組み合わせに応じて許可されるアクセス種別(操作)及び責務を規定する。例えば、Rule要素r1は、DocCategory要素d1と、Sensitivity要素s1と、AccessControl要素a11及びa12とを含んでいる。
DocCategory要素は、その値(<DocCategory>タグで囲まれた内容)によって、当該DocCategory要素が属するRule要素が対象とする文書カテゴリを示す。例えば、DocCategory要素d1の値は「ANY」であるが、これは、あらゆる文書カテゴリの文書が対象となることを意味する。一方、DocCategory要素d2(図7)の値は「HUMAN_RESOURCE」であるが、これは、文書カテゴリの値が「HUMAN_RESOURCE」(人事部の文書)である文書が対象となることを意味する。
Sensitivity要素は、その値によって、当該Sensitivity要素が属するRule要素が対象とする機密レベルを示す。例えば、Sensitivity要素s1の値は「TOP_SECRET」であるが、これは、機密レベルの値が「TOP_SECRET」(極秘)である文書が対象となることを意味する。
AccessControl要素は、Role要素及びOperetions要素を子要素として含み、当該AccessControl要素が属するRule要素が対象とする文書に対してアクセスが許可されるユーザの分類(ロール)、及び許可されるアクセス種別を規定する。
Role要素は、その値によって当該AccessControl要素が対象とするユーザのロールを示す。例えば、Role要素r11の値は「RELATED_PERSONS」であるが、これは、ロールの値が「RELATED_PERSONS」(関係者)であるユーザが対象となることを意味する。また、Role要素r21(図7)の値は「PRINCIPAL」であるが、これは、ロールの値が「PRINCIPAL」(対象者)であるユーザが対象となることを意味する。
Operations要素は、一つ以上のOperation要素を子要素として含む。Operation要素は、Name要素及びObligation要素を子要素として含み、許可されるアクセス種別とそのアクセスの実行に際して課される責務とを規定する。Name要素は、その値によって許可されるアクセス種別を示す。例えば、Name要素n11の値は「READ」であるが、これは、「閲覧」を意味する。また、「PRINT」は印刷を意味する。
Obligation要素は、Name要素及びSupplement要素を子要素として含み、責務を規定する。Name要素は、当該責務の識別子を示し、Supplement要素は、責務に関する補足事項を示す。例えば、Obligation要素ob11は、Name要素の値が「SHOW_DIALOG」であり、Supplement要素の値が「極秘文書につき取扱注意」であるが、これは、「極秘文書につき取扱注意」というメッセージを表示するダイアログの表示が責務とされることを意味する。
上記より、Rule要素r1には、「機密文書については、いずれの文書カテゴリに属しているかを問わず、関係者に対して表示を許可する。但し、表示の際には、”極秘文書につき取扱注意”というメッセージを表示するダイアログを表示させなければならない。」という規則が規定されていることが分かる。Rule要素r2及びr3についても同様に解釈することができる。
アクセスが許可される場合、ポリシーサーバ主制御部121は、評価結果とセキュリティ属性情報に含まれる復号化キーとをアクセス制御判断結果として文書アクセスプログラム31に返信する。
一方、アクセスが許可されない場合、ポリシーサーバ主制御部121は、更にユーザ情報、セキュリティ属性情報、アクセス種別を含む評価要求を間接ポリシー評価部125に出力して、間接的なアクセス権限が認められるか否かを判定させる。ここで、間接的なアクセス権限とは、他のユーザとの所定の関係に基づいて認められるアクセス権限である。より詳しくは、アクセス権限の評価対象とされているユーザが、他の特定ユーザと所定の関係を有していることによって認められるアクセス権限をいう。
間接ポリシー評価部125は、ユーザ情報、セキュリティ属性情報、アクセス種別を、ユーザ関係記述データA16、ユーザ関係記述データB17及び間接ポリシーデータ15等に当てはめることにより、間接的なアクセス権限の有無を判定する。また、間接ポリシー評価部125は、評価対象とされたユーザが所定の関係を有するユーザのアクセス権限についてポリシー評価部124に対して問い合わせ(評価要求)を行い、ポリシー評価部124による評価結果に基づいて間接的なアクセス権限を判定する。
ユーザ関係記述データA16及びユーザ関係記述データB17は、ユーザ間の関係が定義されているデータである。ユーザ関係記述データA16とユーザ関係記述データB17とには、それぞれ異なる観点からのユーザ間の関係が定義されている。本実施の形態では、ユーザ関係記述データA16には、図9に示される組織構成に基づくユーザ間の関係が定義されている場合を例とする。
図9は、本発明の実施の形態における組織構成の例を示す図である。図9では以下の旨が表現されている。
製品設計部には、第一設計課と第二設計課とが属している。製品設計部の部長、次長(部長代理)、部長秘書の名前は、それぞれbucho、jicho、hishoである。第一設計課には、課長であるkacho1の他にkain11、kain12及びkain13が所属している。第二設計課には、課長であるkacho2の他にkain21、kain22、kain23が所属している。
なお、図9において、bucho、jicho、hisho、kacho1、kain11、kain12、kain13、kacho2、kain21、kain22、及びkain23は、それぞれ特定の個人の名前(ユーザ名)を示す。
また、ユーザ関係記述データB17には、空間的なユーザ間の関係、より具体的には、座席のレイアウトに基づくユーザ間の関係が定義されている。本実施の形態では、ユーザ関係記述データB17には、図10に示される座席レイアウトにおけるユーザ間の関係が定義されている場合を例とする。
図10は、本発明の実施の形態における座席レイアウトの例を示す図である。図10は、A事業所の7Fの座席レイアウトを示している。図10に示されるように、A事業所の7Fは、コールセンターとコンピュータルームとの二つのパーティションより構成されている。コールセンターには、山田さん、田中さん、中井さん、井上さん、今井さん、井原、原田さん、及び田村さんの座席がある。コンピュータルームには、佐藤さん、藤田さん、野村さん、及び村井さんの座席がある。
図9に示した組織構成に基づくユーザ関係記述データA16の記述(ユーザ関係記述)、及び図10に示した座席レイアウトに基づくユーザ関係記述データB17のユーザ関係記述の例を以下に示す。
図11は、第一の実施の形態における組織構成に基づくユーザ関係記述の例を示す図である。また、図12は、第一の実施の形態における座席レイアウトに基づくユーザ関係記述の例を示す図である。
図11及び図12に示されるように、一つのユーザ関係記述は、RelationDescription要素をルート要素として持つ。RelationDescription要素は、num属性を有し、そのnum属性の値によって各ユーザ関係記述が識別される。
RelationDescription要素は、Group要素及びElement要素を子要素として含み得る。
Group要素は、複数のユーザ又はグループより構成されるグループを表現し、当該グループの名前を示すName要素と、当該グループに属するユーザ又はグループに対応するElement要素又はGroup要素を子要素として含み得る。
Element要素は、一人のユーザを表現し、当該ユーザのユーザ名を示すName要素と、一つ以上のRole要素を子要素として含み得る。Role要素は、当該Role要素が属するElement要素のユーザが有する他のユーザとの関係を表現するための要素であり、Type要素及びTarget要素を子要素として有する。
Type要素は、他のユーザ又はグループとの関係の種別を示し、その値として関係を識別する文字列をとる。Target要素は当該他のユーザ又はグループを識別するための要素であり、その値として当該他のユーザ又はグループのユーザ名又はグループ名をとる。なお、Target要素の値がグループ名である場合、そのグループに属する全てのユーザとType要素によって識別される関係が有ることを意味する。
例えば、図11のユーザ関係記述161において、Group要素g1は、そのName要素n1より、製品設計部を表現する要素であることが分かる。また、Group要素g1の子要素としてElement要素e11、e12、及びe13と、Group要素g11及びg12が含まれていることにより、製品設計部には、bucho、jicho、hisoh、第一設計部、第二設計部が属していることが分かる。
Element要素e11のRole要素r11において、Type要素の値は、「MANAGER」であり、Target要素の値は「製品設計部」である。これは、Element要素e11に対応するユーザ(bucho)は、製品設計部に属する全てのユーザに対してMANAGER(部長)という関係(ロール)を持つことを示す。
また、Element要素e13のRole要素r13において、Type要素の値は「SECRETARY」であり、Target要素の値は「bucho」である。これは、Element要素e13に対応するユーザ(hisho)は、buchoに対してSECRETARY(秘書)という関係(ロール)を持つことを示す。
図12のユーザ関係記述171についても同様に解釈することができる。図12のユーザ関係記述171において、Group要素g1は、そのName要素n1より、A事業所を表現する要素であることが分かる。Group要素g1には各フロアに対応する複数のGroup要素が子要素として定義されている。
例えば、Group要素g11は、そのName要素n11より1Fを表現する要素であることが分かる。また、Group要素g12は、そのName要素n12より7Fを表現する要素であることが分かる。なお、他のフロアに対するGroup要素については便宜上省略されている。
7FのGroup要素g12には、更に、Group要素g121及びGroup要素g122が子要素として定義されている。Group要素g121は、そのName要素n121よりコールセンターを表現する要素である。Group要素g122は、そのName要素n122よりコンピュータルームを表現する要素である。
Group要素g121には、コールセンターに座席を有する各ユーザに対応するElement要素が子要素として定義されている。例えば、Element要素e1211は、山田さんに対応する要素であるが、三つのRole要素を含んでいることから、山田さんは三つの関係(ロール)を有していることが示されている。
すなわち、Role要素r12111では、コールセンターに属する全ユーザに対して「SAME_PARTITION」というロールを有することが定義されている。また、Role要素r12112では、7Fに属する全ユーザに対して「SAME_FLOOR」というロールを有することが定義されている。また、Role要素r12113では、A事業所に属する全ユーザに対して「SAME_BUILDING」というロールを有することが定義されている。
図11及び図12より明らかなように、本実施の形態におけるユーザ関係記述の記述形式は汎用的に設計されているため、異なる関係を同一の記述形式(タグ等)によって表現することができる。したがって、本実施の形態おける記述形式は、組織構成や座席レイアウトだけでなく、他の関係を表現する場合にも容易に適用することができる。
図5に戻る。間接ポリシーデータ15は、間接的なアクセス権限を判定するための制御情報、すなわち図11及び図12のユーザ関係記述に定義されたユーザ間の関係に基づくアクセス制御情報が定義されているデータである。
図13は、第一の実施の形態における間接ポリシーデータの間接ポリシー記述の例を示す図である。間接ポリシー記述151の記述形式は、基本的に図6等において説明したポリシー記述141と同様である。すなわち、ルート要素としてPolicy要素が存在し、その子要素として一つ以上のRule要素が定義されている。各Rule要素は、DocCategory要素、Sensitivity要素、及びAccessControl要素より構成され、文書カテゴリ及び機密レベルと、ロールとの組み合わせに応じて、許可されるアクセス種別を規定する。
但し、間接ポリシー記述におけるRole要素の意味は、ポリシー記述におけるRole要素と異なる。すなわち、ポリシー記述141におけるRole要素の値が取り得るRELATED_PERSONS(関係者)又はPRINCIPAL(対象者)は、文書との関係において与えられるロールを意味する。一方、間接ポリシー記述151におけるRole要素の値が取り得る、MANAGER、ACTING_MANAGER、SECRETARYは、他のユーザとの関係において与えられるロールを意味する。すなわち、間接ポリシーデータ15は、ユーザ間の関係に応じて文書に対するアクセス権限が定義されたデータということができる。
また、間接ポリシー記述のAccessControl要素は、子要素としてRole要素及びOperations要素の他に、SameAsTheRoleTarget要素を含み得る。SameAsTheRoleTarget要素については、具体例に基づいて説明する。
例えば、図13における間接ポリシー記述151は、Policy要素の子要素としてRule要素r1、r2及びr3等が定義されている。Rule要素r1は、DocCategory要素d1及びSensitivity要素s1より、文書カテゴリが「HUMAN_RESOUCE」であり、機密レベルが「SECRET」(マル秘)の文書を対象とすることが示されている。また、role要素r1より、ロールが「Manager」であるユーザを対象とすることが示されている。ここで、ポリシー記述141であればOperations要素が定義される位置に、SameAsTheRoleTarget要素t1が定義されている。SameAsTheRoleTarget要素は、Role要素での「ロール対象ユーザ」と同一のアクセス権限を与えることを意味する。ここで、「ロール対象ユーザ」とは、当該ロールを有するユーザにとって、当該ロールによって識別される役割、立場、又は関係が成立する相手側のユーザをいう。例えば、当該ロールがMANAGERである場合、当該ロールを有するユーザが部長又は課長であるという役割、立場、又は関係が成立する相手側のユーザ、すなわち、その部、又は課に所属するユーザが「ロール対象ユーザ」に該当する。
より客観的には、「ロール対象ユーザ」は、ユーザ関係記述(図11及び図12)において、Role要素のTarget要素の値によって特定されるユーザをいう。
例えば、図11を参照すると、buchoは、MANAGERというロールを製品設計部に対して有する旨がElement要素e11に定義されている。ここで、製品設計部に属する全ユーザが、buchoのMANAGERとしてのロール対象ユーザとなる。同様に、Element要素e111におけるkacho1のMANAGERとしてのロール対象ユーザは、第一設計課に属する全ユーザとなる。
すなわち、ロール対象ユーザは、ロールの識別名(MANAGER、SECRETARY等)だけでなく、当該ロールを有するユーザが誰であるか(buchoやkacho1)によって異なる。
なお、間接ポリシー記述151において、SameAsTheRoleTarget要素ではなくOperations要素を定義することによって、ロール対象ユーザと異なるアクセス権限を許可してもよい。例えば、図13において、AccessControl要素a32には、SameAsTheRoleTarget要素ではなく、Operations要素によってアクセス権限が定義されている。この場合、Operations要素に含まれているOperation要素に基づいてアクセス権限の評価が行われる。
図5に戻る。ポリシーサーバ主制御部121は、間接ポリシー評価部125による評価結果においてアクセスが許可される場合は、ポリシー評価部124によって許可された場合と同様に、セキュリティ属性情報に含まれている復号化キーと評価結果とを合わせてアクセス制御判断結果として文書アクセスプログラム31に返信する。
一方、間接ポリシー評価部125によってもアクセスが許可されない場合、ポリシーサーバ主制御部121は、アクセス制御判断結果としてアクセスを許可しない旨を文書アクセスプログラム31に返信する。
このように、ポリシーサーバプログラム12においては、ポリシー評価部124によって直接的なアクセス権限が認められない場合であっても、間接ポリシー評価部125によって間接的なアクセス権限が認められる場合はアクセスが許可される。
なお、ポリシーデータ14、間接ポリシーデータ15、ユーザ関係記述データA16,及びユーザ関係記述データB17等は、予めポリシーサーバプログラム12に設定しておくものであるが、セキュリティポリシーは部門ごとに異なる可能性があるため、ポリシーサーバプログラム12には複数のポリシーデータ14及び間接ポリシーデータ15を設定できるようにするとよい。複数のポリシーデータ14及び間接ポリシーデータ15を設定する場合には、どの部門のセキュリティポリシーであるかを示すドメイン名と関連付けてポリシーデータ14及び間接ポリシーデータ15を管理するようにするとよい。
図14は、本発明の実施の形態におけるポリシーサーバのハードウェア構成例を示す図である。図14のポリシーサーバ10は、それぞれバスBで相互に接続されているドライブ装置100と、補助記憶装置102と、メモリ装置103と、演算処理装置104と、インタフェース装置105とを有するように構成される。
ポリシーサーバ10での処理を実現するポリシーサーバプログラム12は、CD−ROM等の記録媒体101によって提供される。ポリシーサーバプログラム12が記録された記録媒体101がドライブ装置100にセットされると、ポリシーサーバプログラム12が記録媒体101からドライブ装置100を介して補助記憶装置102にインストールされる。
補助記憶装置102は、インストールされたポリシーサーバプログラム12を格納すると共に、必要なファイルやデータ等を格納する。メモリ装置103は、ポリシーサーバプログラム12の起動指示があった場合に、補助記憶装置102からポリシーサーバプログラム12を読み出して格納する。演算処理装置104は、メモリ装置103に格納されたポリシーサーバプログラム12に従ってポリシーサーバ10に係る機能を実行する。インタフェース装置105はネットワークに接続するためのインタフェースとして用いられる。
以下、図5においてその概要を説明したポリシーサーバプログラム12における各部の処理についてより具体的に説明する。
図15は、ユーザ認証部によるユーザ認証処理を説明するためのフローチャートである。ポリシーサーバ主制御部121からのユーザの認証要求に応じて、ユーザ認証部122は、以下の処理を実行する。
ポリシーサーバ主制御部121より認証情報を受け取ると(S101)、認証情報よりユーザ名及びパスワードを取り出す(S102)。続いて、取り出されたユーザ名及びパスワードを、ユーザ管理DB13に登録されているユーザ管理情報(ユーザ名及びパスワードとの組)と照合することによりユーザの認証を行う(S103)。
ユーザが認証された場合(S104でYes)、ユーザ情報(例えば、ユーザ名やグループ名等を含む情報)をポリシーサーバ主制御部121に返却する(S105)。ユーザが認証されなかった場合(S104でNo)、ユーザの認証に失敗した旨、すなわちエラーをポリシーサーバ主制御部121に返却する(S106)。
次に、ユーザが認証された場合に実行される、セキュリティ属性管理部123による処理を説明する。図16は、セキュリティ属性管理部によるセキュリティ属性情報の検索処理を説明するためのフローチャートである。
ポリシーサーバ主制御部121より文書IDを受け取ると(S201)、文書IDに基づいてセキュリティ属性DB11より当該文書IDに対応するセキュリティ属性情報を検索する(S202)。
該当するレコードが有った場合(S203でYes)、検索されたセキュリティ属性情報(ドメイン、文書カテゴリ、機密レベル、関係者、復号キー等)をポリシーサーバ主制御部121に返却する(S204)。該当レコードが無かった場合(S203でNo)、検索に失敗した旨、すなわちエラーをポリシーサーバ主制御部121に返却する(S205)。
次に、セキュリティ属性情報の検索に成功した場合に実行される、ポリシー評価部124による処理を説明する。図17は、第一の実施の形態におけるポリシー評価部によるアクセス権限の評価処理を説明するためのフローチャートである。
ポリシーサーバ主制御部121よりユーザ情報、セキュリティ属性情報及びアクセス種別を含む評価要求を受け付けると(S301)、セキュリティ属性に含まれているドメインに対応するポリシーデータ14を取得し、当該ポリシーデータ14に記述されているポリシー記述141(図6、図7及び図8参照)を読み込む(S302)。
ポリシー記述141の読み込みに続いて、アクセス主体のユーザ(以下「カレントユーザ」という。)は、アクセス対象の文書(以下「カレント文書」という。)の関係者又は対象者であるかを判定する(S303)。ユーザ情報に含まれているユーザ名が、セキュリティ属性情報における関係者/対象者に含まれている場合は、関係者/対象者と判定される。
カレントユーザは、関係者/対象者であると判定された場合、カレントユーザのロールに「RELATED_PERSONS」と「PRINCIPAL」とを含める。
続いて、ステップS305以降は、ポリシー記述141におけるRule要素ごとのループ処理となる。各ループ処理において処理対象とされるRule要素を以下「カレントRule要素」という。
まず、カレントRule要素がカレント文書へ適用される規則であるか否かを判定する(S306)。カレントRule要素のDocCategory要素の値とSensitivity要素の値とのそれぞれが、セキュリティ属性情報に含まれている文書カテゴリ、機密レベルを含む場合、カレントRule要素は、カレント文書への適用規則であると判定される。それ以外(S306でNo)は、適用対象外と判定され、次のRule要素が処理対象(カレントRule要素)とされる。
カレントRule要素がカレント文書への適用規則であった場合(S306でYes)、カレントRule要素に属するAccessControl要素の中から、カレントユーザに適用されるものを検索する(S307、S308)。すなわち、カレントRule要素に属するいずれかのAccessControl要素のRole要素の値が、カレントユーザのロールを含んでいる場合、当該AccessControl要素はカレントユーザへの適用対象とされる。いずれのAccessControl要素も適用対象でなかった場合(S307でNo)、次のRule要素が処理対象とされる。
カレントユーザに適用されるAccessControl要素が検索された場合(S308でYes)、当該AccessControl要素に属するOperation要素の中から、要求されているアクセス種別を対象とするOperation要素を検索する(S309)。
Operation要素が検索された場合(S309でYes)、評価結果に「許可」を含め(S310)、更に当該Operation要素に属するObligation要素に規定されている責務の内容を評価結果に含める(S311)。続いて、評価結果をポリシーサーバ主制御部121に返却し(S312)、処理を終了させる。
一方、Operation要素が検索されなかった場合(S309でNo)、評価結果に「不許可」を含め(S313)、その評価結果をポリシーサーバ主制御部121に返却する(S312)。
次に、ポリシー評価部124による評価結果が「不許可」だった場合に実行される、間接ポリシー評価部125による処理を説明する。図18は、第一の実施の形態における間接ポリシー評価部による間接アクセス権限の評価処理を説明するためのフローチャートである。
ポリシーサーバ主制御部121よりユーザ情報、セキュリティ属性情報及びアクセス種別を含む間接評価要求を受け付けると(S401)、セキュリティ属性に含まれているドメインに対応する間接ポリシーデータ15を取得し、当該間接ポリシーデータ15に記述されている間接ポリシー記述151(図13参照)を読み込む(S402)。
続いて、各ユーザ関係記述データについてステップS404からS406までの処理を実行する(S403)。すなわち、ユーザ関係記述データA16及びユーザ関係記述データB17のそれぞれより、ユーザ関係記述161又はユーザ関係記述171を読み込み(S404)、アクセス主体のユーザ(以下「カレントユーザ」という。)が有しているロールを列挙する(S405)。具体的には、カレントユーザに対応するElement要素に属する全てのRole要素におけるType要素の値を列挙する。なお、カレントユーザは、ユーザ情報に含まれているユーザ名によって識別される。
続いて、列挙された各ロール対象ユーザのユーザ名、すなわち、各Role要素におけるTarget要素の値を列挙する(S406)。ここで列挙されたユーザ名のリストを以下「ロール対象ユーザリスト」という。なお、Target要素の値がグループ名である場合は、そのグループに属するユーザ名が再帰的に検索され、ロール対象ユーザリストに追加される。
全てのユーザ関係記述データに基づくロール対象ユーザリストの生成が完了すると(S403でNo)、間接ポリシー記述151におけるRule要素ごとのループ処理を実行する(S407)。各ループ処理において処理対象とされるRule要素を以下「カレントRule要素」という。
まず、カレントRule要素がアクセス対象の文書(以下「カレント文書」という。)へ適用される規則であるか否かを判定する(S408)。カレントRule要素のDocCategory要素の値とSensitivity要素の値とのそれぞれが、セキュリティ属性情報に含まれている文書カテゴリ、機密レベルを含む場合、カレントRule要素は、カレント文書への適用規則であると判定される。それ以外(S408でNo)は、適用対象外と判定され、次のRule要素が処理対象(カレントRule要素)とされる。
カレントRule要素がカレント文書への適用規則であった場合(S408でYes)、カレントRule要素に属するAccessControl要素の中から、カレントユーザ
に適用されるものを検索する(S409、S410)。すなわち、カレントRule要素に属するいずれかのAccessControl要素のRole要素の値が、カレントユーザの有するロール(S405で列挙されたロール)を含んでいる場合、当該AccessControl要素はカレントユーザへの適用対象とされる。いずれのAccessControl要素も適用対象でなかった場合(S409でNo)、次のRule要素が処理対象とされる。
カレントユーザに適用されるAccessControl要素が検索された場合(S410でYes)、検索されたAccessControl要素(以下「カレントAccessControl要素」という。)におけるRole要素のロール(以下「カレントロール」という。)に対応するロール対象ユーザリストに含まれている各ロール対象ユーザについてユーザ情報を生成し(S412)、ポリシー評価部124に対してアクセス制御の評価を要求する(S413)。
なお、ステップS413では、セキュリティ属性情報と、アクセス種別と、ロール対象ユーザのユーザ情報とがポリシー評価部124に出力される。ロール対象ユーザに関する評価を要求されたポリシー評価部124は、ロール対象ユーザをアクセス主体のユーザとして、図17において説明した処理、すなわち、ポリシーデータ14に基づくアクセス権限の評価処理を実行し、その評価結果を間接ポリシー評価部125に出力する。
ポリシー評価部124によってカレントロールの全てのロール対象ユーザに対してアクセスが許可されない場合(S411No)、カレントRule要素における次のAccessControl要素を処理対象としてステップS409以降を実行する。
ポリシー評価部124によっていずれかのロール対象ユーザに対してアクセスが許可された場合(S414でYes)、カレントAccessControl要素にSameAsTheRoleTarget要素が存在するか否かを判定する(S415)。SameAsTheRoleTarget要素が存在する場合(S415でYes)、ポリシー評価部124による評価結果を間接ポリシー評価部125による評価結果としてポリシーサーバ主制御部121に返却する(S416)。すなわち、この場合、カレントユーザのロール対象ユーザの権限に基づいて、カレントユーザが直接的には有していないアクセス権限が許可されることになる。
一方、カレントAccessControl要素にSameAsTheRoleTargetが存在しない場合(S415でNo)、カレントAccessControl要素に属するOperation要素の中から、要求されているアクセス種別を対象とするOperation要素を検索する(S417)。
要求されているアクセス種別を対象とするOperation要素素が検索された場合(S417でYes)、評価結果に「許可」を含め(S418)、更に当該Operation要素に属するObligation要素に規定されている責務の内容を評価結果に含める(S419)。続いて、その評価結果をポリシーサーバ主制御部121に返却し(S420)、処理を終了させる。
一方、Operation要素が検索されなかった場合(S417でNo)、評価結果に「不許可」を含め(S421)、その評価結果をポリシーサーバ主制御部121に返却する(S420)。
なお、図18の処理では、ロール対象ユーザにアクセス権限が認められなければ、カレントユーザにアクセス権限が認められることはない。すなわち、SameAsTheRoleTarget要素が存在しない場合(Operation要素によってアクセス権限が定義されている場合)、ロール対象ユーザに対して「許可」がされているかどうかを調べた上で、許可されている場合に、Operaiton要素を評価に利用するといった仕組みである。
但し、本発明はかかる仕組みに限定されない。例えば、Operation要素によってアクセス権限が設定されている場合、ロール対象ユーザに対してアクセス権限が認められているか否かをチェックしないといった方針を採用してもよい。この場合、セキュリティ属性情報に含まれる関係者/対象者にロール対象ユーザが含まれていれば、そのOperation要素に基づいてアクセス権限を評価すればよい。
図17及び図18の処理に具体的な値を当てはめてみる。ユーザとしてkain12が図3のセキュリティ属性を有する文書、すなわち、文書IDがSEC000123の文書を閲覧しようとしている場合を考える。図3より、kain12はSEC000123のレコードに関係者/対象者として含まれている。したがって、kain12のロールはRELATED_PERSONS又はPRINCIPALとなる(図17、S304)。SEC000123は経理部(FINANCE)のマル秘(SECRET)の文書であるため、ポリシーデータ14のポリシー記述141においてDocCategoryがANYで、SensitivityがSECRETのRule要素r3(図8)が適用される。
更に、Rule要素r3において、Role要素の値がRELATED_PERSONSであるAccessControl要素a3が適用対象となる。AccessControl要素a3には、READに対応するOperation要素op3が含まれているため、閲覧は許可される。但し、責務としてログの記録(RECORD_AUDIT_DATA)が要求される。
同じ文書(SEC000123)をkacho1が閲覧しようとした場合を考える。図3より、kacho1はSEC000123の関係者/対象者には含まれていない。したがって、ポリシー評価部124による評価結果は不許可となる。
そこで、kacho1の評価は、間接ポリシー評価部125に要求される(S401)。ユーザ関係記述データA16のユーザ関係記述161(図11)によれば、kacho1に対応するElement要素e111には、Type要素の値が「MANAGER」であり、Target要素の値が「第一設計部」のRole要素が含まれている。したがって、kacho1は、ロール対象ユーザが第一設計部に所属するユーザ(kain11、kain12、kain13)であるロールとしてMANAGERを有することになる。
SEC000123は経理部(FINANCE)のマル秘(SECRET)の文書であるため、間接ポリシーデータ15の間接ポリシー記述151(図13)においてDocCategoryがANYで、SensitivityがSECRETのRule要素r3(図8)が適用される。
更に、Rule要素r3において、Role要素の値がMANAGERであるAccessControl要素a31が適用対象となる。AccessControl要素a31には、SameAsTheRoletarget要素が含まれているため、ロール対象ユーザであるkain12のアクセス権限についてポリシー評価部124に対する問い合わせが行われる。
kain12の評価については、上述した通りであり、閲覧は許可されるが責務としてログの記録(RECORD_AUDIT_DATA)が要求される。この評価が間接ポリシー評価部125によるkacho1に対する評価として採用される。
上述したように、第一の実施の形態におけるポリシーサーバ10によれば、ユーザ間の関係に基づいて文書に対するアクセス制御を行うことができる。したがって、例えば、上司と部下、秘書とその対象者、権限代行者とその対象者の関係のような、企業等の組織上の人間関係や、空間的に同じ区域に属しているかどうかといった人間関係の有無に基づく柔軟性のあるアクセス制御を簡便に実現することができる。よって、文書を配布する側にとっても、配布先のユーザがどのような関係者に対して文書を提示する必要があるか等を考慮する必要がない。
また、第一の実施の形態における間接ポリシー記述151では、SameAsTheRoleTarget要素によって、ロール対象ユーザと同一の権限を付与する旨を容易に定義することができる。すなわち、間接ポリシー記述151における記述形式は、セキュリティを維持しながら実用的なポリシー記述が可能となり、非常に利便性が高い。
また、第一の実施の形態における文書アクセス制御システム1によれば、上記の効果を有するポリシーサーバ10を用いて、暗号化された保護済み文書に対するアクセス制御を行う。すなわち、文書アクセス制御システム1は、保護済み文書へのアクセスに関して、アクセス権を規定したポリシーに基づいたアクセス権限の有無の判定と、ユーザ間の関係を規定したユーザ関係記述に基づいたアクセス権の有無の判定とを同時に行う。また、そのようなアクセス権の有無の判定結果に基づいて保護済み文書の復号鍵の提供を制御する。したがって、保護済み文書に直接アクセス権を与えるようにポリシーで規定されていなくともユーザ関係記述に基づいて保護済み文書に対するアクセス制御ができ、機密文書の流通において柔軟なアクセス制御の実現が可能となる。
更に、第一の実施の形態におけるユーザ関係記述の記述形式は、汎用的に設計されている。したがって、第一の実施の形態において例示した組織構成に基づくユーザ関係や、座席レイアウトに基づくユーザ関係だけでなく、例えば、ネットワークセグメントの異同によるユーザ関係等、様々なユーザ関係を表現することができる。よって、様々なユーザ関係に基づくアクセス制御を容易に実現することができる。
ところで、従来技術として、複数のユーザの集合によるグループという概念を用いたアクセス制御技術が存在する。グループに対して閲覧権限を与えると、そのグループに所属しているメンバ全員に閲覧権限が与えられるという仕組みである。例えば、この仕組みを用いて第一の実施の形態におけるアクセス制御と同様の機能を実現しようとした場合を考える。ここでは、第一設計課のメンバであるkain11に閲覧権限を与えると、そのkain11の上司に同様の権限が与えられるようにしたいとする。この場合、kain11の上司を示すグループとしてkain11_bossというグループを作成し、そのkain11_bossグループに権限を与えるようなことをしなければならない。すなわち、かかるグループを、kain11との関係に基づいてアクセス権を付与したい全てのユーザのそれぞれについて作成しなければならならない。このような方式は、直感的でないばかりでなく、非常に非効率であるといえる。
また、ロールを用いたアクセス制御の従来技術として、RBAC(Role Based Access Control )が知られている。RBACでは、ユーザにはロールを複数割り当てることができ、ある文書に対して、あるロールの閲覧権限を与えると、当該ロールを持つユーザによる当該文書の閲覧が許可される、という仕組みである。例えば、b_joushi_1にmanagerというロールを持たせ、配布文書にはmanagerによる閲覧を許可するように設定しておけば、b_joushi_1はb_tantou_1に配布された文書を閲覧することができるようになる。但し、ここでいうロールには、”誰の”上司であるのかという情報までは含まれていない。すなわち、managerというロールを持つユーザであれば、配布文書の宛先であったb_tantou_1の上司でなくても、その配布文書を閲覧できてしまうということになる。しかし、第一の実施の形態におけるポリシーサーバ10によれば、権限を与えたb_tantou_1の上司b_joushi_1に対してだけ権限を与えるということできる。このような機能は、単なるRBACのメカニズムでは直ちに実現するのは困難である。なおRBACについては、http://csrc.nist.gov/rbac/rbacSTD-ACM.pdfに詳しく記述されている。
次に、第二の実施の形態について説明する。図19は、第二の実施の形態におけるポリシーサーバの機能構成例を示す図である。図19中、図5と同一部分には同一符号を付し、その説明は省略する。
図19において、ポリシーデータ14aは、図5におけるポリシーデータ14及びポリシーデータ15を含む情報に相当する。したがって、ポリシー評価部124及び間接ポリシー評価部125の双方より参照される。また、ポリシー評価部124と間接ポリシー評価部125が同一のポリシーデータ14aを参照することにより、間接ポリシー評価部125からポリシー評価部124に対する問い合わせは行われない。
なお、第二の実施の形態において、文書アクセス制御システム1の他の構成要素については第一の実施の形態と同様でよい。
第二の実施の形態以降においては、説明が冗長となるのを避けるため、組織構成に基づくユーザ関係についてのみ言及する。したがって、図19におけるユーザ関係記述データ16aには、組織構成に基づくユーザ関係記述が定義されている。
図20は、第二の実施の形態における組織構成に基づくユーザ関係記述の例を示す図である。
図20のユーザ関係記述161aは、図11のユーザ関係記述161と同様、図9に示される組織構成を表現したユーザ関係記述である。但し、第一の実施の形態におけるユーザ関係記述161は、組織構成のみならず他のユーザ関係の表現にも対応可能な汎用的な記述形式に基づくのに対し、第二の実施の形態におけるユーザ関係記述161aは、組織構成に特化した記述形式が採用されている。したがって、ユーザ関係記述161aにおけるタグには「Organization」等、組織構成特有のタグ名が用いられている。ユーザ関係が所定のものに限られており、システムの拡張性が必要とされない場合、図20のような、所定のユーザ関係に特化した記述形式によるユーザ関係記述を定義してもよい。
図20において、ユーザ関係記述161aは、Organization要素をルート要素として持つ。Organization要素は一つの組織を表現し、Name要素及びMembers要素と含むことができ、更に当該Organization要素によって表現される組織に属する組織に対応するOrganization要素を子要素として再帰的に含み得る。
Name要素は、組織名を表現する要素である。Members要素は、組織に属するメンバ群を表現する要素であり、一つ以上のPerson要素を子要素として含む。Person要素は一構成員(ユーザ)を表現する要素でありName要素とRole要素とを子要素として有する。Name要素は当該構成員の名前を示す要素である。Role要素は、当該Role要素が属するPerson要素のユーザが有する他のユーザとの関係を表現するための要素であり、Type要素及びTarget要素を子要素として有する。なお、Role要素については、第一の実施の形態におけるユーザ関係記述と基本的に同様である。但し、Type要素の値が「MANAGER」の場合、その対象はその構成員が所属する部門であることが自明であるため、Target要素は省略されている。
例えば、図20のユーザ関係記述161aにおいて、Organization要素or1は、そのName要素n1より、製品設計部を表現する要素であることが分かる。また、Organization要素or1の子要素として定義されているMembers要素m11、Organization要素or11及びOrganization要素or12より、製品設計部には、bucho、jicho、hisoh、第一設計部、第二設計部が属していることが分かる。
Person要素p11のRole要素r11において、Type要素の値は、「MANAGER」である。したがって、Role要素r11は、ユーザbuchoは、製品設計部に属する全てのユーザに対してMANAGER(部長)という関係(ロール)を持つことを示す。
また、Person要素p12のRole要素r12において、Type要素の値は「SECRETARY」であり、Target要素の値は「bucho」である。これは、Person要素p12に対応するユーザ(hisho)は、buchoに対してSECRETARY(秘書)という関係(ロール)を持つことを示す。
図21及び図22は、第二の実施の形態におけるポリシーデータのポリシー記述の例を示す図である。
第二の実施の形態におけるポリシー記述141aの記述形式は、その大半において第一の実施の形態と同様であるため、その記述内容は適宜省略されている。ここでは、第一の実施の形態との相違点について説明する。
まず、第一の相違点として、図21及び図22のポリシー記述141aには、第一の実施の形態のポリシーデータ14と間接ポリシーデータ15とをマージした内容が記述されている。すなわち、第一の実施の形態においては、関係者及び対象者についてはポリシーデータ14に記述されており、それ以外(MANAGER、ACTING_MANAGER、SECRETARY等)については、間接ポリシーデータ15に記述されていた。しかし、第二の実施の形態においては、関係者及び対象者とそれ以外とに対する定義が一つのポリシーデータ14a内に混在している。
例えば、図21のRule要素r2において、AccessControl要素a21は、PRINCIPAL(対象者)に対する定義である。一方、AccessControl要素a12は、MANAGERに対する定義である。
次に第二の相違点として、SameAsTheRoleTarget要素の代わりにSameAs要素が用いられている。但し、SameAs要素の機能は、SameAsTheRoleTarget要素と同様である。すなわち、SameAs要素は、その値に示されたロールに対応するユーザと同一のアクセス権限を認めることを定義するための要素である。例えば、図21において、SameAs要素s22の値はPRINCIPALであるが、これは、対象者と同一のアクセス権限が認められることを示す。
以下、第二の実施の形態における間接ポリシー評価部125の処理手順について説明する。なお、ポリシー評価部124の処理手順は第一の実施の形態と同様であるため、その説明は省略する。
図23は、第二の実施の形態における間接ポリシー評価部による間接アクセス権限の評価処理を説明するためのフローチャートである。
ポリシーサーバ主制御部121よりユーザ情報、セキュリティ属性情報及びアクセス種別を含む間接評価要求を受け付けると(S501)、セキュリティ属性に含まれているドメインに対応する間接ポリシーデータ14aを取得し、当該間接ポリシーデータ14aに記述されているポリシー記述141aを読み込む(S502)。続いて、ユーザ関係記述データ16aを取得し、ユーザ関係記述161aを読み込む(S503)。
続いて、ユーザ関係記述161aにおいて、アクセス主体のユーザ(以下「カレントユーザ」という。)が「MANAGER」のロールを有している場合、カレントユーザの部下の中にアクセス対象の文書(以下「カレント文書」という。)の関係者又は対象者が含まれているかを判定する(S504)。具体的には、カレントユーザがMANAGERとしてのロールを持つ組織(Organization要素)に子要素として含まれるMembers要素又はOrganization要素に含まれるPerson要素に係るユーザ名を再帰的に列挙することにより、部下リストを作成する。その部下リストに含まれているユーザ名の中に、セキュリティ属性情報に含まれている関係者/対象者に含まれているものが有る場合、カレントユーザの部下の中にカレント文書の関係者又は対象者は含まれていると判定される。
ステップS504における判定が肯定的な場合(S504でYes)、カレントユーザのロールにMANAGERを与える(S505)。
続いて、ユーザ関係記述161aにおいて、カレントユーザが「ACTING_MANAGER」のロールを有している場合、カレントユーザが代行できるユーザ(以下「代行対象ユーザ」という。)の中にカレント文書の関係者又は対象者が含まれているかを判定する(S506)。具体的には、カレントユーザに対応するPerson要素のRole要素におけるTarget要素に示されているユーザ名を列挙し、代行対象リストを作成する。その代行対象リスト含まれているユーザ名の中に、セキュリティ属性情報に含まれている関係者/対象者に含まれているものが有る場合、カレントユーザの代行対象者の中にカレント文書の関係者又は対象者は含まれていると判定される。
ステップS506における判定が肯定的な場合(S506でYes)、カレントユーザのロールにACTING_MANAGERを与える(S507)。
続いて、ユーザ関係記述161aにおいて、カレントユーザが「SECRETARY」のロールを有している場合、カレントユーザが秘書をしているユーザ(以下「秘書対象ユーザ」という。)の中にカレント文書の関係者又は対象者が含まれているかを判定する(S506)。具体的には、カレントユーザに対応するPerson要素のRole要素におけるTarget要素に示されているユーザ名を列挙し、秘書対象リストを作成する。その秘書対象リスト含まれているユーザ名の中に、セキュリティ属性情報に含まれている関係者/対象者に含まれているものが有る場合、カレントユーザの秘書対象者の中にカレント文書の関係者又は対象者は含まれていると判定される。
ステップS508における判定が肯定的な場合(S508でYes)、カレントユーザのロールにSECRETARYを与える(S509)。
続いて、ポリシー記述141aにおけるRule要素ごとのループ処理を実行する(S510)。各ループ処理において処理対象とされるRule要素を以下「カレントRule要素」という。
まず、カレントRule要素がカレント文書に適用される規則であるか否かを判定する(S511)。この判定方法は、第一の実施の形態と同様である。適用対象外の場合(S511でNo)、次のRule要素が処理対象(カレントRule要素)とされる。
カレントRule要素がカレント文書への適用規則であった場合(S511でYes)、カレントRule要素に属するAccessControl要素の中から、カレントユーザに適用されるものを検索する(S512、S513)。すなわち、カレントRule要素に属するいずれかのAccessControl要素のRole要素の値が、S504からS509においてカレントユーザに与えられたロールを含んでいる場合、当該AccessControl要素はカレントユーザへの適用対象とされる。いずれのAccessControl要素も適用対象でなかった場合(S512でNo)、次のRule要素が処理対象とされる。
カレントユーザに適用されるAccessControl要素が検索された場合(S513でYes)、カレントAccessControl要素に属するOperation要素の中から、要求されているアクセス種別を対象とするものを検索する(S514)。
Operation要素が検索された場合(S514でYes)、評価結果に「許可」を含め(S515)、更に当該Operation要素に属するObligation要素に規定されている責務の内容を評価結果に含める(S516)。続いて、その評価結果をポリシーサーバ主制御部121に返却し(S517)、処理を終了させる。
一方、Operation要素が検索されなかった場合(S514でNo)、カレントAccessControl要素に属するOperation要素の中から、SameAs要素を子要素として有するものを検索する(S518)。SameAs要素を有するOperation要素が検索された場合(S518でYes)、当該SameAs要素の値に示されているロールに対応するAccessControl要素に基づいて、カンレトユーザに対するアクセス権限を評価し(S519)、その評価結果をポリシーサーバ主制御部121に返却する(S517)。
一方、SameAs要素を有するOperation要素が検索されなかった場合(S518でNo)、評価結果に「不許可」を含め(S520)、その評価結果をポリシーサーバ主制御部121に返却する(S517)。
例えば、機密レベルが「SECRET」で、文書カテゴリが「HUMAN_RESOURCE」であり、関係者/対象者は、kain12の文書を、kacho1が閲覧しようとした場合を考える。kacho1は当該文書の関係者/対象者には含まれていない。したがって、ポリシー評価部124による評価結果は不許可となる。
そこで、kacho1の評価は、間接ポリシー評価部125に要求される。ユーザ関係記述データ16aのユーザ関係記述161a(図20)によれば、kacho1に対応するPerson要素p13には、Type要素の値が「MANAGER」であるRole要素が含まれている。また、kacho1は、第一設計課の所属である。したがって、kacho1の部下リストには、第一設計課の所属であるkain11、kain12、kain13が含められる。ここで、kain12はSEC000123の関係者/対象者であるため、kacho1にはMANAGERのロールが与えられる。
当該文書の文書カテゴリ(HUMAN_RESOUCES)と機密レベル(SECRET)とにより、ポリシーデータ14aのポリシー記述141aにおいてDocCategoryがHUMAN_RESOUCESで、SensitivityがSECRETのRule要素r2(図21)が適用される。
更に、Rule要素r2において、Role要素の値がMANAGERであるAccessControl要素a22が適用対象となる。AccessControl要素a22には、SameAs要素s22を子要素として持つOperation要素が含まれている。したがって、SameAs要素s22の値であるPRINCIPALに対するAccessControl要素a21に基づいてアクセス権限の評価が行われる。
次に、第三の実施の形態について説明する。第二の実施の形態ではポリシー評価部124と間接ポリシー評価部125とが同じポリシーデータ14aを参照する例について説明した。但し、第一の実施の形態にも示されているように、ポリシー評価部124と間接ポリシー評価部125とは、必ずしも同一のポリシーデータ14aを参照する必要はない。そこで、第三の実施の形態では、ポリシーデータ14aをポリシー評価部124で使用するポリシーデータと、間接ポリシー評価部125で使用する間接ポリシーデータとに分割した例について説明する。
図24は、第三の実施の形態におけるポリシーサーバの機能構成例を示す図である。図24中、図19又は図5と同一部分には同一符号を付し、その説明は省略する。
図24において、ポリシー評価部124と間接ポリシー評価部125とが、それぞれ別個のポリシーデータを参照する点が第二の実施の形態と異なる。すなわち、ポリシー評価部124は、ポリシーデータ14bを参照し、間接ポリシー評価部125は、ポリシーデータ15bを参照する。

この場合、ポリシーデータ14bには、関係者及び対象者に関する記述だけを含めればよい。図25は、第三の実施の形態におけるポリシーデータのポリシー記述の例を示す図である。
図25のポリシー記述141bには、三つのRule要素(r1、r2、及びr3)が定義されているが、それぞれのRole要素r11、r21、及びr31より明らかなように、いずれのRule要素もRELATED_PERSONS(関係者)又はPRINCIPAL(対象者)に対する定義である。すなわち、ポリシー記述141bは、第二の実施の形態におけるポリシーデータ14aより、関係者又は対象者に関するRule要素を抽出したものに相当する。したがって、ポリシー記述141bの記述形式については前述の実施の形態におけるものと同様であるため、詳細な説明は省略する。
図26及び図27は、第三の実施の形態における間接ポリシーデータの間接ポリシー記述の例を示す図である。図26及び図27のポリシー記述151bは、第二の実施の形態におけるポリシーデータ14aより、関係者及び対象者以外の評価に必要なRRule要素が抽出されたものである。
ところで、ポリシー記述151bのRule要素r1において、MANAGERを対象とするAccessControl要素a12の他に、PRINCIPAL(対象者)を対象とするAccessControl要素a11が定義されている。これは、AccessControl要素a12におけるSameAs要素s12においてPRINCIPALに対する定義を参照する必要があるからである。
なお、第三の実施の形態において、ポリシー評価部124及び間接ポリシー評価部125の処理は、それぞれがポリシーデータ14b又は間接ポリシーデータ15bを読み込むことを除き第二の実施の形態と同様である。したがって、ここでの説明は省略する。
次に、第四の実施の形態について説明する。上記のように、第三の実施の形態における間接ポリシーデータ15bには、SameAs要素によって参照される対象者又は関係者に対するAccessControl要素が定義されている。この部分の定義についてはポリシーデータ14bと間接ポリシーデータ15bとで重複することになる。そこで、第四の実施の形態では、第三の実施の形態における間接ポリシーデータ15bの定義内容をより簡略化した例について説明する。
図28は、第四の実施の形態におけるポリシーサーバの機能構成例を示す図である。図28中、図24又は図5と同一部分には同一符号を付し、その説明は省略する。図28において、間接ポリシーデータ15cは、第二の実施の形態における間接ポリシーデータ15bに比較してその記述内容が簡略化されている。
図29は、第四の実施の形態における間接ポリシーデータの間接ポリシー記述の例を示す図である。図29における間接ポリシー記述151cには、Rule要素r1、r2及びr3において、4つのSameAs要素(s11、s21、s22、s23)が定義されているが、各SameAs要素の参照先であるPRINCIPALに対するAccessControl要素は定義されていない。これは、PRINCIPALに対する評価についてはポリシーデータ15bに基づいて行われるためのである。すなわち、間接ポリシー記述151cは、第三の実施の形態における間接ポリシー記述151bより対象者及び関係者に対する定義を削除したものに相当する。そのため、間接ポリシー評価部125は、SameAs要素の参照先のアクセス権限の評価についてポリシー評価部124に対して問い合わせる必要が生じる。図28における間接ポリシー評価部125とポリシー評価部124との間の矢印は、その問い合わせと問い合わせに対する応答とを表現している。
なお、間接ポリシー記述151cは、全てのロールに対するOperations要素に対してSameAs要素が定義されている。すなわち、間接ポリシー記述151cには、関係者又は対象者と所定の関係を有するユーザに関係者又は対象者と同じ権限を与えることが定義されている。
第四の実施の形態における間接ポリシー評価部125の処理手順は、SameAs要素に対する評価がポリシー評価部124に委譲される点において第二及び第三の実施の形態と異なる。なお、ポリシー評価部124による処理は、第二及び第三の実施の形態と同様である。
図30は、第四の実施の形態における間接ポリシー評価部による間接アクセス権限の評価処理を説明するためのフローチャートである。
ポリシーサーバ主制御部121よりユーザ情報、セキュリティ属性情報及びアクセス種別を含む間接評価要求を受け付けると(S601)、セキュリティ属性に含まれているドメインに対応する間接ポリシーデータ15cを取得し、当該間接ポリシーデータ15cに記述されている間接ポリシー記述151c(図29参照)を読み込む(S602)。続いて、ユーザ関係記述データ16aを取得し、ユーザ関係記述161a(図20)を読み込む(S603)。
続いて、ユーザ関係記述161aにおいて、アクセス主体のユーザ(以下「カレントユーザ」という。)が「MANAGER」のロールを有している場合、カレントユーザがMANAGERとしてのロールを持つ組織(Organization要素)に子要素として含まれるMembers要素又はOrganization要素に含まれるPerson要素に係るユーザ名を再帰的に列挙することにより、部下リストを作成する(S604)。
続いて、ユーザ関係記述161aにおいて、カレントユーザが「ACTING_MANAGER」のロールを有している場合、カレントユーザに対応するPerson要素のRole要素におけるTarget要素に示されているユーザ名を列挙し、代行対象リストを作成する(S605)。
続いて、ユーザ関係記述161aにおいて、カレントユーザが「SECRETARY」のロールを有している場合、カレントユーザに対応するPerson要素のRole要素におけるTarget要素に示されているユーザ名を列挙し、秘書対象リストを作成する(S606)。
続いて、間接ポリシー記述151cにおけるRule要素ごとのループ処理を実行する(S607)。ループ処理において処理対象とされるRule要素を以下「カレントRule要素」という。
まず、カレントRule要素がカレント文書に適用される規則であるか否かを判定する(S608)。この判定方法は、第一の実施の形態と同様である。適用対象外の場合(S608でNo)、次のRule要素が処理対象(カレントRule要素)とされる。
カレントRule要素がカレント文書への適用規則であった場合(S608でYes)、カレントRule要素に属するAccessControl要素ごとにループ処理が実行される(S609)。ループ処理において処理対象とされるAccessControl要素を以下「カレントAccessControl要素」という。
まず、カレントAccessControl要素におけるRole要素(以下「カレントRole要素」という。)の値を判定する(S610、S616、S622)。
続いて、カレントRole要素の値(MANAGER、ACTING_MANAGER、又はSECRETARY)に応じて、部下リスト、代行対象リスト、又は秘書対象リストに含まれている各ユーザ(以下「ロール対象ユーザ」と総称する)について(S611、S617、又はS623)ユーザ情報を生成する(S612、S618、又はS624)。更に、生成したユーザ情報、セキュリティ情報及びアクセス種別をポリシー評価部124に出力することにより、ロール対象ユーザに対するアクセス権限の評価をポリシー評価部124に要求する(S613、S619、又はS625)。
ポリシー評価部124によっていずれかのロール対象ユーザに対してアクセスが許可された場合(S614、S620、又はS626でYes)、当該ロール対象ユーザに対するポリシー評価部124による評価結果を間接ポリシー評価部125による評価結果としてポリシーサーバ主制御部121に返却する(S615、S621又はS627)。ポリシー評価部124によっていずれのロール対象ユーザに対してもアクセスが許可されなかった場合(S611、S617又はS623でNo)、カレントRule要素における次のAccessControl要素が処理対象とされる。
また、カレントRule要素におけるいずれのAccessControl要素も適用対象でなかった場合(S609でNo)、次のRule要素が処理対象とされる。更に、いずれのRule要素についても適用対象でなかった場合(S607でNo)、評価結果に「不許可」を含め(S628)、その評価結果をポリシーサーバ主制御部121に返却する(S629)。
次に、第五の実施の形態について説明する。上記第一から第四の実施の形態においては、ポリシー評価部124と間接ポリシー評価部125とが、それぞれ独立した機能モジュール(例えば、ライブラリ又は関数等)として図示されていた。しかし、両者は必ずしも独立している必要はなく、双方の機能を備えた一つの機能モジュールとして統合されていてもよい。そこで、第五の実施の形態として、ポリシー評価部124と間接ポリシー評価部125とが統合された例について説明する。
図31は、第五の実施の形態におけるポリシーサーバの機能構成例を示す図である。図31中、図19と同一部分には同一符号を付し、その説明は省略する。
図31においてポリシー評価部124aは、上記におけるポリシー評価部124及び間接ポリシー評価部125双方の機能を実行する。すなわちポリシー評価部124aは、対象者又は関係者に対するアクセス権限のみならず、間接的なアクセス権限についても評価を行う。
図32は、第五の実施の形態におけるポリシー評価部によるアクセス権限の評価処理を説明するためのフローチャートである。
図32のフローチャートは、第二の実施の形態における間接ポリシー評価部125による処理手順(図23)とよく似ている。したがって、図23との相違点に基づいて、図32の内容を説明する。
図23の処理は、カレントユーザのロール対象ユーザがカレント文書の関係者又は対象者であるかによって、カレントユーザに対してロール(MANAGER、ACTING_MANAGER、又はSECRETARY)を与え、カレントユーザに与えられたロールに対するAcessControl要素に基づいて評価を行うというものであった。
図32では、図23の処理に加え、カレントユーザ自身が関係者又は対象者であるかを判定し(S703)、その判定が肯定的な場合はカレントユーザに対してRELATED_PERSONSとPRINCIPALとを与えている(S704)。これによって、ステップS715の判定において、Role要素の値が、RELATED_PERSONS又はPRINCIPALのAccessControl要素もカレントユーザの適用対象とされる。したがって、図23における間接的な権限の評価のみならず、対象者及び関係者に対する直接的なアクセス権限の評価も行われる。
ところで、上記第二から第五の実施の形態においては、組織構成に基づくユーザ関係についてのみ言及したが、他のユーザ関係についても同様の原理で間接的なアクセス権限の評価が可能である。
例えば、座席レイアウトに基づくユーザ関係を第二から第五の実施の形態に適用する場合、そのユーザ関係記述データは、例えば、以下のように定義してもよい。
図33は、第二の実施の形態以降における座席レイアウトに基づくユーザ関係記述の例を示す図である。
図33のユーザ関係記述171aは、図12のユーザ関係記述171と同様、図10に示される組織構成を表現したユーザ関係記述である。但し、第一の実施の形態におけるユーザ関係記述171は、組織構成のみならず他のユーザ関係の表現にも対応可能な汎用的な記述形式に基づくのに対し、ユーザ関係記述171aは、組織構成に特化した記述形式が採用されている。したがって、ユーザ関係記述171aにおけるタグには「Partition」等、組織構成特有のタグ名が用いられている。
図33において、ユーザ関係記述171aは、Partition要素をルート要素として持つ。Partition要素は一つの空間的な区切り(区域)を表現する。本実施の形態において空間的な区切りとは、事業所(一つのビル)、ビルの各フロア、及びフロアにおける各パーティションを意味する。以下においては、この空間的な区切りを「パーティション」として総称する。
Partition要素は、Name要素及びDeskFor要素を子要素として含むことができ、更に当該Partition要素によって表現されるパーティションに含まれるパーティションに対応するPartition要素を子要素として再帰的に含み得る。
Name要素は、当該パーティションを識別する名前(パーティション名)を表現する要素である。DeskFor要素は各ユーザの座席を表現する要素であり、その値は当該座席が割り当てられているユーザのユーザ名を示す。
例えば、図33のユーザ関係記述171aにおいて、Partition要素pa1は、そのName要素n1より、A事業所を表現する要素であることが分かる。また、Partition要素pa1の子要素として定義されているPartition要素pa11及びpa12は、A事業所における各フロアを表現する要素である。7Fに対応するPartition要素pa12には、更にPartition要素pa121及びpa122が含まれている。
Partision要素pa121は、コールセンターを表現する要素であり、それに含まれているDeskFor要素によって、コールセンターに座席を有する各ユーザが定義されている。
Partision要素pa122は、コンピュータルームを表現する要素であり、それに含まれているDeskFor要素によって、コンピュータルームに座席を有する各ユーザが定義されている。
なお、ユーザ関係記述171aには、Role要素が定義されていない。これは、Role要素を定義しなくても、各ユーザのロールを明確に解釈することが可能だからである。すなわち、同一事業所に属する各ユーザは、他の全ての同一事業所のユーザに対してSAME_BUILDINGロールを有していると解釈することができる。同様に、同一フロアに属する各ユーザは、他の全ての同一フロアのユーザに対してSAME_FLOORロールを有し、同一パーティション(ここでは、フロアを区切るパーティションを意味する)に属する各ユーザは、他の全ての同一パーティションのユーザに対してSAME_PARTITIONロールを有すると解釈することができる。
図34及び図35は、座席レイアウトに対応するポリシーデータのポリシー記述の例を示す図である。すなわち、図34及び図35におけるポリシー記述141cは、図21及び図22におけるポリシー記述141aが組織構成に基づくユーザ関係に対するポリシー記述であるのに対し、図33に示した座席レイアウトに基づくユーザ関係に対応するポリシー記述の例である。なお、ポリシー記述141cの記述形式は、ポリシー記述141aと同様であるため、ポリシー記述141cの内容に関する説明は省略する。
更に、図33におけるユーザ関係記述171aと、図34及び図35におけるポリシー記述141cとを第五の実施の形態におけるポリシーサーバ10(図31)に適用した場合のポリシー評価部の処理手順を図36に示す
図36は、第五の実施の形態におけるポリシー評価部による座席レイアウトに基づくアクセス権限の評価処理を説明するためのフローチャートである。
図36の処理は、評価の対象となるロールが、座席レイアウトに対応したもの(SAME_BUILDING、SAME_FLOOR、又はSAME_PARTITION)である点を除き、図32と同様であるため、その詳細な説明については省略する。
座席レイアウトに基づくユーザ関係に対してアクセス制御を行うことにより、例えば情報システムのネットワーク管理担当である佐藤さんや藤田さんに、ネットワーク構成情報が記載された情報システム関連のマル秘文書が保護済み文書として配布された場合に、彼らはコンピュータルームにいる周囲の人に当該文書の内容を見てもらって相談するといった柔軟な対応が可能となる。その一方でその上でそれ以上の横流しができないような機密管理を実現できる。
次に、第六の実施の形態について説明する。図37は、第六の実施の形態におけるポリシーサーバの機能構成例を示す図である。図37中、図28又は図31等と同一部分には同一符号を付し、その説明は省略する。
図37において、ユーザ関係記述データA16d及びユーザ関係記述データB17dは、それぞれ異なるユーザ関係が定義されたユーザ関係記述データである。例えば、ユーザ関係記述データA16dには組織構成に基づくユーザ関係が定義されており、ユーザ関係記述データB17dには座席レイアウトに基づくユーザ関係が定義されている。なお、各ユーザ関係記述データの記述形式は、第一〜第五の実施の形態におけるいずれのものであっても構わない。または、上記実施の形態において示した以外のものであっても構わない。
また、間接ポリシー評価部125a及び間接ポリシー評価部125bは、上記の実施の形態における間接ポリシー評価部125に相当し、ユーザ関係に基づく間接的なアクセス権限を評価する。但し、間接ポリシー評価部125aは、ユーザ関係記述データA16dに基づく評価を行う。また、間接ポリシー評価部125bは、ユーザ関係記述データB17dに基づく評価を行う。
すなわち、第六の実施の形態におけるポリシーサーバ10は、ユーザ関係記述データごとに間接ポリシー評価部を有するというモデルを採用している。ポリシーサーバ主制御部121は、ポリシー評価部124による評価結果が否定的な場合、あらかじめ登録されている複数の間接ポリシー評価部を順番に又は並列的に利用して、いずれかの間接ポリシー評価部によって肯定的な評価結果が得られた場合にアクセスを許可する旨を文書アクセスプログラム31に返信する。一方、いずれの間接ポリシー評価部によってもアクセスが許可されない場合、ポリシーサーバ主制御部121は、アクセスを許可しない旨を文書アクセスプログラム31に返信する。
なお、図37におけるポリシー評価部124、間接ポリシー評価部125a及び間接ポリシー評価部125bによるアクセス権限の評価処理については、上記の実施の形態における説明より自明であるため、ここでの説明は省略する。
なお、上記実施の形態においては、XML(eXtensible Markup Language)を用いてユーザ関係記述データを定義する例を示したが、ユーザ間の関係は、XML以外によって定義してもよい。例えば、ディレクトリサーバ等で組織構成を管理しているような場合には、ディレクトリツリーの情報をLDIF(LDAP Data Interchange Format)形式で出力するようなツールを用いて作成したデータを用いてもよい。
また、描画した組織図をDataDiagrammingMLというXML形式で出力することができるアプリケーションも市販されている。そのようにして出力されたデータを用いてユーザ関係記述データを実現してもよい。
以上、本発明の実施例について詳述したが、本発明は係る特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
本発明の実施の形態における文書アクセス制御システムの概略構成例を示す図である。 文書保護処理を説明するための図である。 セキュリティ属性DBを構成するセキュリティ属性テーブルの例を示す図である。 文書アクセス装置の機能構成例を示す図である。 第一の実施の形態におけるポリシーサーバの機能構成例を示す図である。 第一の実施の形態におけるポリシーデータのポリシー記述の例を示す図である。 第一の実施の形態におけるポリシーデータのポリシー記述の例を示す図である。 第一の実施の形態におけるポリシーデータのポリシー記述の例を示す図である。 本発明の実施の形態における組織構成の例を示す図である。 本発明の実施の形態における座席レイアウトの例を示す図である。 第一の実施の形態における組織構成に基づくユーザ関係記述の例を示す図である。 第一の実施の形態における座席レイアウトに基づくユーザ関係記述の例を示す図である。 第一の実施の形態における間接ポリシーデータの間接ポリシー記述の例を示す図である。 本発明の実施の形態におけるポリシーサーバのハードウェア構成例を示す図である。 ユーザ認証部によるユーザ認証処理を説明するためのフローチャートである。 セキュリティ属性管理部によるセキュリティ属性情報の検索処理を説明するためのフローチャートである。 第一の実施の形態におけるポリシー評価部によるアクセス権限の評価処理を説明するためのフローチャートである。 第一の実施の形態における間接ポリシー評価部による間接アクセス権限の評価処理を説明するためのフローチャートである。 第二の実施の形態におけるポリシーサーバの機能構成例を示す図である。 第二の実施の形態における組織構成に基づくユーザ関係記述の例を示す図である。 第二の実施の形態におけるポリシーデータのポリシー記述の例を示す図である。 第二の実施の形態におけるポリシーデータのポリシー記述の例を示す図である。 第二の実施の形態における間接ポリシー評価部による間接アクセス権限の評価処理を説明するためのフローチャートである。 第三の実施の形態におけるポリシーサーバの機能構成例を示す図である。 第三の実施の形態におけるポリシーデータのポリシー記述の例を示す図である。 第三の実施の形態における間接ポリシーデータの間接ポリシー記述の例を示す図である。 第三の実施の形態における間接ポリシーデータの間接ポリシー記述の例を示す図である。 第四の実施の形態におけるポリシーサーバの機能構成例を示す図である。 第四の実施の形態における間接ポリシーデータの間接ポリシー記述の例を示す図である。 第四の実施の形態における間接ポリシー評価部による間接アクセス権限の評価処理を説明するためのフローチャートである。 第五の実施の形態におけるポリシーサーバの機能構成例を示す図である。 第五の実施の形態におけるポリシー評価部によるアクセス権限の評価処理を説明するためのフローチャートである。 第二の実施の形態以降における座席レイアウトに基づくユーザ関係記述の例を示す図である。 座席レイアウトに対応するポリシーデータのポリシー記述の例を示す図である。 座席レイアウトに対応するポリシーデータのポリシー記述の例を示す図である。 第五の実施の形態におけるポリシー評価部による座席レイアウトに基づくアクセス権限の評価処理を説明するためのフローチャートである。 第六の実施の形態におけるポリシーサーバの機能構成例を示す図である。
符号の説明
1 文書アクセス制御システム
10 ポリシーサーバ
11 セキュリティ属性DB
12 ポリシーサーバプログラム
13 ユーザ管理DB
14、14a、14b ポリシーデータ
15、15b、15c 間接ポリシーデータ
16、16a、16d ユーザ関係記述データA
17、17d ユーザ関係記述データB
20 文書保護装置
30 文書アクセス装置
31 文書アクセスプログラム
40 プリンタ
60 オリジナル文書
60a 暗号化文書
61 保護済み文書
100 ドライブ装置
101 記録媒体
102 補助記憶装置
103 メモリ装置
104 演算処理装置
105 インタフェース装置
121 ポリシーサーバ主制御部
122 ユーザ認証部
123 セキュリティ属性管理部
124 ポリシー評価部
125、125a、125b 間接ポリシー評価部
311 アクセス執行部
312 文書ID取得部
313 アクセス制御判断要求部
314 データ復号部
315 レンダリング部
316 表示指示部
317 印刷指示部
B バス

Claims (17)

  1. 資源に対するアクセス制御を行うアクセス制御装置であって、
    前記資源にアクセスする主体ごとに、当該主体が関係を有する他の主体と、当該関係の種別とを示す情報を含む主体関係定義情報と、
    前記資源と前記主体との組み合わせに応じて許可されるアクセス種別が定義された直接アクセス制御情報と、
    前記資源と前記関係の種別との組み合わせに応じて許可されるアクセス種別が定義された間接アクセス制御情報と、
    特定の主体による特定の資源に対する特定のアクセス種別の許否の問い合わせに応じ、前記特定のアクセス種別が、前記特定の資源と前記特定の主体との組み合わせに関して前記直接アクセス制御情報おいて許可されているアクセス種別に含まれているか否かに基づいて前記特定のアクセス種別の許否を判定する直接アクセス制御手段と、
    前記直接アクセス制御手段によって前記特定のアクセス種別が許可されない場合に、前記特定の主体が前記関係を有する他の主体と該関係の種別とを前記主体関係定義情報に基づいて特定し、前記特定の資源と特定された前記関係の種別との組み合わせに関して前記間接アクセス制御情報において許可されているアクセス種別が所定の値である場合に、特定された他の主体と前記特定の資源との組み合わせに関して前記直接アクセス制御情報に基づいて前記特定のアクセス種別が許可されているか否かに基づいて、前記特定の主体に関して前記特定のアクセス種別の許否を判定する間接アクセス制御手段とを有することを特徴とするアクセス制御装置。
  2. 前記間接アクセス制御手段は、前記特定の資源と前記特定された関係の種別との組み合わせに関して前記間接アクセス制御情報において許可されているアクセス種別が前記所定の値である場合に、前記特定された他の主体と前記特定の資源との組み合わせに関する前記特定のアクセス種別の許否の判定を前記直接アクセス制御手段に実行させ、前記直接アクセス制御手段による判定結果を前記特定の主体に関する判定結果とすることを特徴とする請求項1記載のアクセス制御装置。
  3. 前記主体関係定義情報には、前記主体が属する組織構成に基づく前記関係の種別が定義されていることを特徴とする請求項1又は2記載のアクセス制御装置。
  4. 前記関係の種別は、上司、部下、秘書、権限代行者の少なくともいずれか一つの関係を含むことを特徴とする請求項3記載のアクセス制御装置。
  5. 前記主体関係定義情報には、前記主体の座席位置に基づく前記関係の種別が定義されていることを特徴とする請求項1乃至4いずれか一項記載のアクセス制御装置。
  6. 前記関係の種別は、座席が同一の区域内に属していることを含むことを特徴とする請求項5記載のアクセス制御装置。
  7. 暗号化された電子データに関連付けて該電子データの復号鍵を記憶する電子データ属性管理手段を有し、
    前記直接アクセス制御手段は、前記特定の主体による特定の前記電子データに対する特定のアクセス種別に係るアクセス要求に応じ、前記特定のアクセス種別が、前記特定の電子データと前記特定の主体との組み合わせに関して前記直接アクセス制御情報おいて許可されているアクセス種別に含まれているか否かに基づいて前記特定のアクセス種別の許否を判定し、
    前記間接アクセス制御手段は、前記直接アクセス制御手段によって前記特定のアクセス種別が許可されない場合に、前記特定の主体が前記関係を有する他の主体と該関係の種別とを前記主体関係定義情報に基づいて特定し、前記特定の電子データと特定された前記関係の種別との組み合わせに関して前記間接アクセス制御情報において許可されているアクセス種別が所定の値である場合に、特定された他の主体と前記特定の電子データとの組み合わせに関して前記直接アクセス制御情報に基づいて前記特定のアクセス種別が許可されているか否かに基づいて、前記特定の主体に関して前記特定のアクセス種別の許否を判定し、
    前記直接アクセス制御手段又は前記間接アクセス制御手段によって前記特定のアクセス種別が許可された場合に、前記特定電子データの復号鍵を前記電子データ属性管理手段より取得し、当該復号鍵を前記アクセス要求に対する応答として返信することを特徴とする請求項1乃至6いずれか一項記載のアクセス制御装置。
  8. 資源に対するアクセス制御を行うアクセス制御装置が、
    前記資源にアクセスする主体ごとに、当該主体が関係を有する他の主体と、当該関係の種別とを示す情報を含む主体関係定義情報と、
    前記資源と前記主体との組み合わせに応じて許可されるアクセス種別が定義された直接アクセス制御情報と
    前記資源と前記関係の種別との組み合わせに応じて許可されるアクセス種別が定義された間接アクセス制御情報とを用いて、
    特定の主体による特定の資源に対する特定のアクセス種別の許否の問い合わせに応じ、前記特定のアクセス種別が、前記特定の資源と前記特定の主体との組み合わせに関して前記直接アクセス制御情報おいて許可されているアクセス種別に含まれているか否かに基づいて前記特定のアクセス種別の許否を判定する直接アクセス制御手順と、
    前記直接アクセス制御手順によって前記特定のアクセス種別が許可されない場合に、前記特定の主体が前記関係を有する他の主体と該関係の種別とを前記主体関係定義情報に基づいて特定し、前記特定の資源と特定された前記関係の種別との組み合わせに関して前記間接アクセス制御情報において許可されているアクセス種別が所定の値である場合に、特定された他の主体と前記特定の資源との組み合わせに関して前記直接アクセス制御情報に基づいて前記特定のアクセス種別が許可されているか否かに基づいて、前記特定の主体に関して前記特定のアクセス種別の許否を判定する間接アクセス制御手順とを実行することを特徴とするアクセス制御方法。
  9. 前記間接アクセス制御手順は、前記特定の資源と前記特定された関係の種別との組み合わせに関して前記間接アクセス制御情報において許可されているアクセス種別が前記所定の値である場合に、前記特定された他の主体と前記特定の資源との組み合わせに関する前記特定のアクセス種別の許否の判定を前記直接アクセス制御手順に実行させ、前記直接アクセス制御手順による判定結果を前記特定の主体に関する判定結果とすることを特徴とする請求項8記載のアクセス制御方法。
  10. 前記主体関係定義情報には、前記主体が属する組織構成に基づく前記関係の種別が定義されていることを特徴とする請求項8又は9記載のアクセス制御方法。
  11. 前記関係の種別は、上司、部下、秘書、権限代行者の少なくともいずれか一つの関係を含むことを特徴とする請求項10記載のアクセス制御方法。
  12. 前記主体関係定義情報には、前記主体の座席位置に基づく前記関係の種別が定義されていることを特徴とする請求項8乃至11いずれか一項記載のアクセス制御方法。
  13. 前記関係の種別は、座席が同一の区域内に属していることを含むことを特徴とする請求項12記載のアクセス制御方法。
  14. 暗号化された電子データに関連付けて該電子データの復号鍵を記憶する電子データ属性管理手段を用いて、
    前記直接アクセス制御手順は、前記特定の主体による特定の前記電子データに対する特定のアクセス種別に係るアクセス要求に応じ、前記特定のアクセス種別が、前記特定の電子データと前記特定の主体との組み合わせに関して前記直接アクセス制御情報おいて許可されているアクセス種別に含まれているか否かに基づいて前記特定のアクセス種別の許否を判定し、
    前記間接アクセス制御手順は、前記直接アクセス制御手順によって前記特定のアクセス種別が許可されない場合に、前記特定の主体が前記関係を有する他の主体と該関係の種別とを前記主体関係定義情報に基づいて特定し、前記特定の電子データと特定された前記関係の種別との組み合わせに関して前記間接アクセス制御情報において許可されているアクセス種別が所定の値である場合に、特定された他の主体と前記特定の電子データとの組み合わせに関して前記直接アクセス制御情報に基づいて前記特定のアクセス種別が許可されているか否かに基づいて、前記特定の主体に関して前記特定のアクセス種別の許否を判定し、
    前記直接アクセス制御手順又は前記間接アクセス制御手順によって前記特定のアクセス種別が許可された場合に、前記特定電子データの復号鍵を前記電子データ属性管理手段より取得し、当該復号鍵を前記アクセス要求に対する応答として前記アクセス制御装置が返信することを特徴とする請求項8乃至13いずれか一項記載のアクセス制御方法。
  15. 資源にアクセスする主体ごとに、当該主体が関係を有する他の主体と、当該関係の種別とを示す情報を含む主体関係定義情報と、
    前記資源と前記主体との組み合わせに応じて許可されるアクセス種別が定義された直接アクセス制御情報と
    前記資源と前記関係の種別との組み合わせに応じて許可されるアクセス種別が定義された間接アクセス制御情報とを用いて、
    特定の主体による特定の資源に対する特定のアクセス種別の許否の問い合わせに応じ、前記特定のアクセス種別が、前記特定の資源と前記特定の主体との組み合わせに関して前記直接アクセス制御情報おいて許可されているアクセス種別に含まれているか否かに基づいて前記特定のアクセス種別の許否を判定する直接アクセス制御手順と、
    前記直接アクセス制御手順によって前記特定のアクセス種別が許可されない場合に、前記特定の主体が前記関係を有する他の主体と該関係の種別とを前記主体関係定義情報に基づいて特定し、前記特定の資源と特定された前記関係の種別との組み合わせに関して前記間接アクセス制御情報において許可されているアクセス種別が所定の値である場合に、特定された他の主体と前記特定の資源との組み合わせに関して前記直接アクセス制御情報に基づいて前記特定のアクセス種別が許可されているか否かに基づいて、前記特定の主体に関して前記特定のアクセス種別の許否を判定する間接アクセス制御手順とをコンピュータに実行させるアクセス制御プログラム。
  16. 前記間接アクセス制御手順は、前記特定の資源と前記特定された関係の種別との組み合わせに関して前記間接アクセス制御情報において許可されているアクセス種別が前記所定の値である場合に、前記特定された他の主体と前記特定の資源との組み合わせに関する前記特定のアクセス種別の許否の判定を前記直接アクセス制御手順に実行させ、前記直接アクセス制御手順による判定結果を前記特定の主体に関する判定結果とすることを特徴とする請求項15記載のアクセス制御プログラム。
  17. 暗号化された電子データに関連付けて該電子データの復号鍵を記憶する電子データ属性管理手段を用いて、
    前記直接アクセス制御手順は、前記特定の主体による特定の前記電子データに対する特定のアクセス種別に係るアクセス要求に応じ、前記特定のアクセス種別が、前記特定の電子データと前記特定の主体との組み合わせに関して前記直接アクセス制御情報おいて許可されているアクセス種別に含まれているか否かに基づいて前記特定のアクセス種別の許否を判定し、
    前記間接アクセス制御手順は、前記直接アクセス制御手順によって前記特定のアクセス種別が許可されない場合に、前記特定の主体が前記関係を有する他の主体と該関係の種別とを前記主体関係定義情報に基づいて特定し、前記特定の電子データと特定された前記関係の種別との組み合わせに関して前記間接アクセス制御情報において許可されているアクセス種別が所定の値である場合に、特定された他の主体と前記特定の電子データとの組み合わせに関して前記直接アクセス制御情報に基づいて前記特定のアクセス種別が許可されているか否かに基づいて、前記特定の主体に関して前記特定のアクセス種別の許否を判定し、
    前記直接アクセス制御手順又は前記間接アクセス制御手順によって前記特定のアクセス種別が許可された場合に、前記特定電子データの復号鍵を前記電子データ属性管理手段より取得し、当該復号鍵を前記アクセス要求に対する応答として前記コンピュータに返信させることを特徴とする請求項15又は16記載のアクセス制御プログラム。
JP2005144602A 2005-05-17 2005-05-17 アクセス制御装置、アクセス制御方法、及びアクセス制御プログラム Expired - Fee Related JP4791760B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2005144602A JP4791760B2 (ja) 2005-05-17 2005-05-17 アクセス制御装置、アクセス制御方法、及びアクセス制御プログラム
US11/413,211 US7716490B2 (en) 2005-05-17 2006-04-28 Access control apparatus, access control method, access control program, recording medium, access control data, and relation description data

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005144602A JP4791760B2 (ja) 2005-05-17 2005-05-17 アクセス制御装置、アクセス制御方法、及びアクセス制御プログラム

Publications (2)

Publication Number Publication Date
JP2006323535A JP2006323535A (ja) 2006-11-30
JP4791760B2 true JP4791760B2 (ja) 2011-10-12

Family

ID=37449653

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005144602A Expired - Fee Related JP4791760B2 (ja) 2005-05-17 2005-05-17 アクセス制御装置、アクセス制御方法、及びアクセス制御プログラム

Country Status (2)

Country Link
US (1) US7716490B2 (ja)
JP (1) JP4791760B2 (ja)

Families Citing this family (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8171567B1 (en) 2002-09-04 2012-05-01 Tracer Detection Technology Corp. Authentication method and system
JP4745822B2 (ja) * 2005-12-27 2011-08-10 キヤノン株式会社 情報処理方法およびその装置
WO2007120360A2 (en) * 2005-12-29 2007-10-25 Blue Jungle Information management system
US8832048B2 (en) 2005-12-29 2014-09-09 Nextlabs, Inc. Techniques and system to monitor and log access of information based on system and user context using policies
JP4856433B2 (ja) * 2006-01-27 2012-01-18 株式会社リコー 計測機器、計測データ編集装置及び計測時刻検証装置
JP4973032B2 (ja) * 2006-07-03 2012-07-11 富士通株式会社 アクセス権限管理プログラム、アクセス権限管理装置およびアクセス権限管理方法
JP4783236B2 (ja) * 2006-08-09 2011-09-28 株式会社リコー 画像読取装置、画像情報検証装置、画像読取方法、画像情報検証方法、及び、画像読取プログラム
JP2008059063A (ja) 2006-08-29 2008-03-13 Fujitsu Ltd 情報管理プログラム
US7987495B2 (en) * 2006-12-26 2011-07-26 Computer Associates Think, Inc. System and method for multi-context policy management
US7913309B2 (en) * 2007-06-13 2011-03-22 Microsoft Corporation Information rights management
JP2009110241A (ja) * 2007-10-30 2009-05-21 Mitsubishi Electric Corp 電子ファイル管理装置
US7890530B2 (en) * 2008-02-05 2011-02-15 International Business Machines Corporation Method and system for controlling access to data via a data-centric security model
US20090292578A1 (en) * 2008-05-20 2009-11-26 Catalina Maria Danis Articulation Workload Metrics
FR2934392B1 (fr) * 2008-07-22 2010-08-13 Jean Patrice Glafkides Procede pour gerer des objets accessibles a des utilisateurs et dispositif informatique implique par la mise en oeuvre du procede
US9338166B2 (en) * 2008-11-04 2016-05-10 Adobe Systems Incorporated System and method for a single request and single response authentication protocol
JP4780179B2 (ja) * 2008-11-20 2011-09-28 富士ゼロックス株式会社 情報処理装置および情報処理プログラム
JP4649523B2 (ja) * 2009-06-03 2011-03-09 株式会社東芝 アクセス制御システム
US8953189B1 (en) * 2009-08-11 2015-02-10 Symantec Corporation Method and apparatus for verifying print jobs to prevent confidential data loss
US8688907B2 (en) * 2009-11-25 2014-04-01 Cleversafe, Inc. Large scale subscription based dispersed storage network
US9105009B2 (en) 2011-03-21 2015-08-11 Microsoft Technology Licensing, Llc Email-based automated recovery action in a hosted environment
US9477660B2 (en) * 2011-08-05 2016-10-25 Bank Of America Corporation Privacy compliance in data retrieval
EP2575070B1 (en) * 2011-09-30 2019-08-28 Tata Consultancy Services Limited Classification-based digital rights management
US20130091562A1 (en) * 2011-10-05 2013-04-11 Hitachi, Ltd. Computer
BR112014008613A2 (pt) * 2011-10-13 2017-04-18 Koninklijke Philips Nv método de operação de sistema de recomendação, produto de programa de computador, e, sistema de recomendação
US8839257B2 (en) 2011-11-22 2014-09-16 Microsoft Corporation Superseding of recovery actions based on aggregation of requests for automated sequencing and cancellation
US9460303B2 (en) * 2012-03-06 2016-10-04 Microsoft Technology Licensing, Llc Operating large scale systems and cloud services with zero-standing elevated permissions
US8881249B2 (en) 2012-12-12 2014-11-04 Microsoft Corporation Scalable and automated secret management
US9294485B2 (en) * 2013-01-27 2016-03-22 Dropbox, Inc. Controlling access to shared content in an online content management system
US20160232369A1 (en) * 2015-02-11 2016-08-11 Ricoh Company, Ltd. Managing Access To Images Using Roles
US9762585B2 (en) 2015-03-19 2017-09-12 Microsoft Technology Licensing, Llc Tenant lockbox
US10326768B2 (en) * 2015-05-28 2019-06-18 Google Llc Access control for enterprise knowledge
US10931682B2 (en) 2015-06-30 2021-02-23 Microsoft Technology Licensing, Llc Privileged identity management
US10108809B2 (en) * 2015-10-30 2018-10-23 Airwatch Llc Applying rights management policies to protected files
US9882911B2 (en) 2015-12-01 2018-01-30 International Business Machines Corporation Autonomous trust evaluation engine to grant access to user private data
US20180204215A1 (en) * 2017-01-17 2018-07-19 Hung-Tzaw Hu Detecting electronic intruders via updatable data structures
JP6852752B2 (ja) * 2019-05-30 2021-03-31 アイシン・エィ・ダブリュ株式会社 セキュリティ管理システムおよびセキュリティ管理方法
US11954218B2 (en) 2020-02-10 2024-04-09 Visa International Service Association Real-time access rules using aggregation of periodic historical outcomes
US11263317B2 (en) 2020-02-26 2022-03-01 Cyberark Software Ltd. Understanding and mediating among diversely structured operational policies
US11392766B2 (en) * 2020-02-26 2022-07-19 Cyberark Software Ltd. Understanding and mediating among diversely structured operational policies
US11734445B2 (en) 2020-12-02 2023-08-22 International Business Machines Corporation Document access control based on document component layouts

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6023765A (en) * 1996-12-06 2000-02-08 The United States Of America As Represented By The Secretary Of Commerce Implementation of role-based access control in multi-level secure systems
US6044466A (en) * 1997-11-25 2000-03-28 International Business Machines Corp. Flexible and dynamic derivation of permissions
JPH11338825A (ja) * 1998-05-29 1999-12-10 Hitachi Ltd 組織構成を考慮したアクセス制御方法
JP2000099470A (ja) * 1998-09-18 2000-04-07 Sony Corp データベース装置、情報管理装置とその方法およびデータ管理プログラムが記録されたコンピュータ読み取り可能な記録媒体
JP3576008B2 (ja) * 1998-10-09 2004-10-13 株式会社東芝 アクセス制御設定システム及び記憶媒体
US7143144B2 (en) 1999-11-30 2006-11-28 Ricoh Company, Ltd. System, method and computer readable medium for certifying release of electronic information on an internet
JP3546787B2 (ja) 1999-12-16 2004-07-28 インターナショナル・ビジネス・マシーンズ・コーポレーション アクセス制御システム、アクセス制御方法、及び記憶媒体
JP2004152261A (ja) 2002-09-13 2004-05-27 Ricoh Co Ltd ドキュメント印刷プログラム、ドキュメント保護プログラムおよびドキュメント保護システム
US20040125402A1 (en) 2002-09-13 2004-07-01 Yoichi Kanai Document printing program, document protecting program, document protecting system, document printing apparatus for printing out a document based on security policy
US20040128555A1 (en) 2002-09-19 2004-07-01 Atsuhisa Saitoh Image forming device controlling operation according to document security policy
EP1507402A3 (en) 2003-06-23 2005-07-20 Ricoh Company, Ltd. Access control decision system, access control enforcing system, and security policy
JP4070708B2 (ja) 2003-11-14 2008-04-02 株式会社リコー セキュリティ確保支援プログラム及びそのプログラムを実行するサーバ装置並びにそのプログラムを記憶した記憶媒体
JP4217146B2 (ja) 2003-11-21 2009-01-28 株式会社リコー スキャナ装置、ビューア装置、画像保護方法、
JP2007026412A (ja) 2004-08-25 2007-02-01 Ricoh Co Ltd 保守仲介装置、保守対象機器の保守方法、保守プログラム、保守プログラムが記録された記録媒体及び保守システム
US7657746B2 (en) * 2005-04-22 2010-02-02 Microsoft Corporation Supporting statements for credential based access control

Also Published As

Publication number Publication date
JP2006323535A (ja) 2006-11-30
US7716490B2 (en) 2010-05-11
US20060265599A1 (en) 2006-11-23

Similar Documents

Publication Publication Date Title
JP4791760B2 (ja) アクセス制御装置、アクセス制御方法、及びアクセス制御プログラム
CN101512479B (zh) 对数字内容的部分的选择性访问
US20070208743A1 (en) System and Method For Searching Rights Enabled Documents
US10599817B2 (en) Portion-level digital rights management in digital content
JPH10143414A (ja) 媒体文書管理システムおよび媒体文書管理方法
JP4728610B2 (ja) アクセス制御リスト添付システム、オリジナルコンテンツ作成者端末、ポリシーサーバ、オリジナルコンテンツデータ管理サーバ、プログラム及び記録媒体
JP2008204070A (ja) 文書ファイル、文書ファイル生成装置、及び文書利用方法
JP2015508256A (ja) Epub基盤コンテンツに関するデジタル著作権管理装置及び方法、並びにユーザ権限によるepub基盤コンテンツ提供装置及び方法
JP5560691B2 (ja) 文書利用管理システム、文書処理装置、操作権限管理装置、文書管理装置及びプログラム
JP2006323503A (ja) 文書管理装置及びその制御方法、コンピュータプログラム、記憶媒体
JP4706750B2 (ja) 情報処理システムおよび情報処理プログラム
KR20020067663A (ko) 데이터배포시스템
JP5119840B2 (ja) 情報処理装置、情報処理システム、及びプログラム
CN104036162A (zh) 分布式扫描系统中的委托访问
JP2018156410A (ja) 情報処理装置及びプログラム
US8549621B2 (en) Client apparatus and a method therefor
JP5390327B2 (ja) 文書管理システム及び文書管理方法
JP4266897B2 (ja) ライセンス管理システム、ライセンス管理方法、ライセンス管理サーバ、及びライセンス管理ソフトウェア
JP6199458B1 (ja) 印刷ログ秘匿システム、印刷ログ秘匿方法、および印刷ログ秘匿プログラム
JP4764614B2 (ja) 情報処理装置、操作許否情報生成方法、操作許否情報生成プログラム及び記録媒体
JP2013150309A (ja) 情報処理装置および情報処理方法およびプログラム
JP2002288161A (ja) 文書管理システム
JP4956969B2 (ja) 文書配信装置、プログラム及び文書配信システム
JP2006048220A (ja) 電子ドキュメントのセキュリティ属性付与方法およびそのプログラム
KR101242171B1 (ko) 출력물의 보안 및 활용도를 개선시킨 문서 출력 관리 장치, 방법 및 이를 기록한 기록 매체

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20071225

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100720

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100921

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101109

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110107

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110628

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110722

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140729

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees