まず、本発明の第1の実施形態について説明する。
図1は、第1の実施形態におけるアクセス制御システム10の構成の一例を示すシステム構成図である。アクセス制御システム10は、アクセス管理装置20、物理アクセス制御装置30、および複数の機密書類格納機器40を備える。
アクセス管理装置20と物理アクセス制御装置30とは、通信回線11を介して通信する。物理アクセス制御装置30と複数の機密書類格納機器40のそれぞれとは、通信回線12を介して通信する。なお、本実施形態において、通信回線11と通信回線12とは物理的に異なる通信回線として説明するが、他の形態として、通信回線11と通信回線12とは、同一の通信回線であってもよく、同一の通信回線がVLAN(Virtual Local Area Network)等により論理的に分けられたものであってもよい。
物理アクセス制御装置30は、機密書類へのアクセスをユーザから要求された場合に、ユーザ毎に機密書類格納機器40へのアクセス可否が定められたアクセス権情報を参照して、当該ユーザのアクセスが許可されている機密書類格納機器40に、通信回線12を介して開錠を指示する。
それぞれの機密書類格納機器40は機密書類を格納している書庫の引出であり、通信回線12を介して物理アクセス制御装置30から開錠を指示された場合に、鍵を開け、ユーザによる機密書類へのアクセスを許容する。また、機密書類格納機器40は、引出の開閉、開錠、施錠、機密書類が取り出された旨、および機密書類が戻された旨等を、動作内容として物理アクセス制御装置30へ通信回線12を介して送信する。
物理アクセス制御装置30および複数の機密書類格納機器40は、例えば図2に示すように配置される。ユーザは、認証情報読取装置303を介して指紋等の認証情報を読み取らせ、キーボード301またはマウス302を操作して、物理アクセス制御装置30に機密書類へのアクセスを要求する。物理アクセス制御装置30は、当該ユーザのアクセスが許可されている機密書類格納機器40に開錠を指示し、開錠を指示された機密書類格納機器40は鍵を開け、開錠した旨を、LED(Light Emitting Diode)等の通知部41によってユーザに通知する。
アクセス管理装置20は、ユーザ毎に、当該ユーザが実行する業務の手順を示す業務フローを格納している。そして、アクセス管理装置20は、物理アクセス制御装置30を介して、機密書類格納機器40から動作内容を受け取り、ユーザが実行している業務フローにおいて、次に実行すべき処理に必要な機密書類が格納されている機密書類格納機器40へのアクセスの許可を物理アクセス制御装置30内のアクセス権情報に登録させる。
このように、ユーザが実行中の業務において、次の処理に必要な機密書類へのアクセスを、前の処理が終了した後に許可するので、業務の遂行を妨げることなく、ユーザの機密書類へのアクセスを極力少なくすることができる。また、業務フローと異なる手順では機密情報にアクセスすることができなくなるため、業務の手順を間違えることなく正しい手順で作業者に業務を遂行させることができる。
図3は、機密書類格納機器40の詳細な機能構成の一例を示す図である。機密書類格納機器40は、通知部41、鍵制御部42、動作内容通知部43、センサ44、および機密書類格納部45を備える。
機密書類格納部45は、機密書類を格納する。センサ44は、引出の開閉センサやタグリーダ等である。それぞれの機密書類にはRFタグが取り付けられており、センサ44は、当該RFタグと通信することにより、機密書類格納部45から機密書類が取り出されたり、機密書類が機密書類格納部45内に戻された旨を検出する。
鍵制御部42は、通信回線12を介して物理アクセス制御装置30から開錠を指示された場合に、機密書類格納部45の鍵を開けると共に、開錠した旨を通知部41に通知する。通知部41は、点灯、点滅、または、点灯や点滅における発光色を変える等により、開錠された旨をユーザに通知する。動作内容通知部43は、引出の開錠および施錠、引出の開閉、ならびに、機密書類の出し入れ等の機密書類格納機器40の動作内容を通信回線12を介して物理アクセス制御装置30に通知する。
図4は、物理アクセス制御装置30の詳細な機能構成の一例を示す図である。物理アクセス制御装置30は、認証情報格納部31、認証情報受付部32、物理アクセス可否判定部33、物理アクセス権変更部34、物理アクセス権格納部35、および占有情報格納部36を備える。
認証情報格納部31には、例えば図5に示すように、指紋データ等の認証情報311が、それぞれのユーザを識別するユーザID310に対応付けて格納されている。認証情報受付部32は、キーボード301、マウス302、または認証情報読取装置303を介してユーザから認証情報を含む物理アクセス要求を受け付ける。そして、認証情報受付部32は、受け付けた物理アクセス要求に含まれる認証情報が認証情報格納部31に登録されているか否かを判定する。
受け付けた物理アクセス要求に含まれる認証情報が認証情報格納部31に登録されていない場合、認証情報受付部32は、アクセスが許可されていない旨を表示装置300に表示する。一方、受け付けた物理アクセス要求に含まれる認証情報が認証情報格納部31に登録されている場合、認証情報受付部32は、当該物理アクセス要求を送信したユーザのユーザIDとして、当該認証情報に対応付けて認証情報格納部31に登録されているユーザIDを抽出し、抽出したユーザIDを物理アクセス可否判定部33へ送る。
物理アクセス権格納部35には、例えば図6に示すように、ユーザID351毎に物理アクセス権テーブル350が格納されている。それぞれの物理アクセス権テーブル350には、それぞれの機密書類格納機器40を識別する機器ID352毎に、当該機密書類格納機器40へのアクセス可否353を示す情報が格納されている。占有情報格納部36には、現在他のユーザによって既に使用中となっている機密書類格納機器40の機器IDが格納されている。
物理アクセス可否判定部33は、認証情報受付部32からユーザIDを受け付けた場合に、物理アクセス権格納部35を参照して、当該ユーザIDに対応する物理アクセス権テーブル350を特定し、特定した物理アクセス権テーブル350において、アクセスが許可されている機密書類格納機器40が存在するか否かを判定する。アクセスが許可されている機密書類格納機器40が存在しない場合、物理アクセス可否判定部33は、アクセスが許可されていない旨を表示装置300に表示する。
アクセスが許可されている機密書類格納機器40が存在する場合、物理アクセス可否判定部33は、アクセスが許可されている機密書類格納機器40の機器IDを物理アクセス権格納部35から抽出し、抽出した機器IDが占有情報格納部36内に登録されているか否かを判定する。抽出した機器IDが占有情報格納部36内に登録されている場合、物理アクセス可否判定部33は、アクセスが許可されていない旨を表示装置300に表示する。
一方、抽出した機器IDが占有情報格納部36内に登録されていない場合、物理アクセス可否判定部33は、当該機器IDに対応する機密書類格納機器40に通信回線12を介して開錠を指示すると共に、当該機密書類格納機器40の機器IDを占有情報格納部36に登録する。
そして、物理アクセス可否判定部33は、認証情報受付部32から受け付けたユーザIDに対応する物理アクセス権テーブル350において、開錠を指示した機密書類格納機器40の機器IDのアクセス可否を、アクセス禁止を示す情報に変更する。また、物理アクセス可否判定部33は、開錠を指示した機密書類格納機器40の機器IDと、当該機密書類格納機器40へのアクセスが許可されているユーザのユーザIDとを対応付けて保持する。
そして、物理アクセス可否判定部33は、機密書類格納機器40からの動作内容の通知を通信回線12を介して受信し、当該機密書類格納機器40へのアクセスが終了したか否かを判定する。物理アクセス可否判定部33は、例えば、機密書類格納機器40へ開錠を指示した後に、当該機密書類格納機器40から施錠した旨の動作内容を通知された場合に、アクセスが終了したと判定する。
アクセスが終了したと判定した場合、物理アクセス可否判定部33は、当該アクセスが終了した機密書類格納機器40の機器IDを占有情報格納部36から削除し、アクセスの開始から終了までに機密書類格納機器40から通知された動作内容、当該機密書類格納機器40へのアクセスが許可されているユーザのユーザID、およびアクセスが終了した日時(例えば施錠された日時)を含む履歴情報を、通信回線11を介してアクセス管理装置20へ送信する。
物理アクセス権変更部34は、アクセス管理装置20から、ユーザIDおよび機器IDを含むアクセス許可要求を、通信回線11を介して受信した場合に、物理アクセス権格納部35を参照して、当該アクセス許可要求に含まれるユーザIDに対応する物理アクセス権テーブル350を特定し、特定した物理アクセス権テーブル350内で、当該アクセス許可要求に含まれる機器IDのアクセス可否を、アクセス許可を示す情報に変更する。
図7は、第1の実施形態におけるアクセス管理装置20の詳細な機能構成の一例を示す図である。アクセス管理装置20は、フロー情報格納部21、処理履歴格納部22、履歴情報取得部23、業務情報格納部24、処理情報格納部25、アクセス先情報格納部26、およびアクセス権制御部27を備える。
処理情報格納部25には、例えば図8に示すように、業務フローにおけるそれぞれの処理を識別する処理ID250毎に、当該処理の処理内容251が格納されている。処理履歴格納部22には、例えば図9に示すように、ユーザID221毎の履歴テーブル220が格納されている。それぞれの履歴テーブル220には、処理ID222毎に、当該処理ID222に対応する処理が実行された日時である処理日時223が格納されている。
履歴情報取得部23は、通信回線11を介して物理アクセス制御装置30から履歴情報を受信した場合に、処理情報格納部25を参照して、当該履歴情報に含まれる動作内容と一致する処理内容に対応付けられている処理IDを抽出する。そして、履歴情報取得部23は、処理履歴格納部22を参照して、履歴情報に含まれるユーザIDに対応する履歴テーブル220に、履歴情報に含まれる処理日時を抽出した処理IDに対応付けて格納する。なお、履歴情報取得部23は、所定時間(例えば3日)以上経過した処理日時および当該処理日時に対応付けられている処理IDを、処理履歴格納部22から削除する。
フロー情報格納部21には、例えば図10に示すように、業務フローを識別するフローID211毎にフローテーブル210が格納されている。それぞれのフローテーブル210には、業務フローに含まれる処理の処理ID213が、当該業務フローにおける処理の順番212を示す情報に対応付けて格納されている。
業務情報格納部24には、例えば図11に示すように、ユーザID240毎に、当該ユーザID240に対応するユーザが実行すべき業務フローのフローID241が格納されている。なお、本実施形態において、業務情報格納部24内のデータは、ユーザによって業務が実行される前に管理者等によって予め設定されている。
アクセス先情報格納部26には、例えば図12に示すように、処理ID260毎に、当該処理ID260に対応する処理で用いられる機密書類格納機器40の機器ID261が格納されている。なお、1つの処理に複数の機密書類格納機器40が用いられる場合には、1つの処理ID260に対応付けられて複数の機器ID261が格納される。
アクセス権制御部27は、処理履歴格納部22に新たに処理IDが格納された場合に、当該処理IDが格納された履歴テーブルのユーザIDに基づいて業務情報格納部24を参照し、当該ユーザIDに対応付けられているフローIDを抽出する。そして、アクセス権制御部27は、抽出したフローIDに基づいてフロー情報格納部21を参照し、処理履歴格納部22に新たに格納された処理IDに対応する処理の次に実行されるべき処理の処理IDを特定する。
次に、アクセス権制御部27は、特定した処理IDに基づいてアクセス先情報格納部26を参照し、当該処理IDに対応する処理において使用される機密書類格納機器40の機器IDを特定する。そして、アクセス権制御部27は、特定した機器IDと、処理履歴格納部22に新たに処理IDが登録された履歴テーブルのユーザIDとを含むアクセス許可要求を、通信回線11を介して物理アクセス制御装置30へ送信する。
なお、アクセス権制御部27は、処理履歴格納部22に新たに格納された処理IDが、業務情報格納部24に格納されているフローIDに対応する業務フローに含まれていない場合に、業務が正しく行われていない旨を、通信回線11を介して物理アクセス制御装置30に通知し、物理アクセス制御装置30がその旨をユーザに通知するようにしてもよい。
図13は、物理アクセス制御装置30の動作の一例を示すフローチャートである。例えば電源が投入される等の所定のタイミングで、物理アクセス制御装置30は、本フローチャートに示す動作を開始する。
まず、認証情報受付部32は、入力装置を介して物理アクセス要求を受信したか否かを判定する(S100)。物理アクセス要求を受信した場合(S100:Yes)、認証情報受付部32は、受信した物理アクセス要求に含まれる認証情報が認証情報格納部31に登録されているか否かを判定する(S101)。
受信した物理アクセス要求に含まれる認証情報が認証情報格納部31に登録されていない場合(S101:No)、認証情報受付部32は、アクセスが許可されていない旨を表示装置300に表示し(S107)、再びステップS100に示した処理を実行する。
受信した物理アクセス要求に含まれる認証情報が認証情報格納部31に登録されている場合(S101:Yes)、認証情報受付部32は、当該物理アクセス要求を送信したユーザのユーザIDとして、当該認証情報に対応付けて認証情報格納部31に登録されているユーザIDを抽出し、抽出したユーザIDを物理アクセス可否判定部33へ送る。
次に、物理アクセス可否判定部33は、認証情報受付部32から受け取ったユーザIDに基づいて物理アクセス権格納部35を参照し、当該ユーザIDに対応する物理アクセス権テーブル350を特定する。そして、物理アクセス可否判定部33は、特定した物理アクセス権テーブル350において、アクセスが許可されている機密書類格納機器40が存在するか否かを判定する(S102)。
アクセスが許可されている機密書類格納機器40が存在しない場合(S102:No)、物理アクセス可否判定部33は、アクセスが許可されていない旨を表示装置300に表示し(S107)、認証情報受付部32は、再びステップS100に示した処理を実行する。
アクセスが許可されている機密書類格納機器40が存在する場合(S102:Yes)、物理アクセス可否判定部33は、アクセスが許可されている機密書類格納機器40の機器IDを物理アクセス権格納部35から抽出し、抽出した機器IDが占有情報格納部36内に登録されているか否かを判定する(S103)。
抽出した機器IDが占有情報格納部36内に登録されている場合(S103:Yes)、物理アクセス可否判定部33は、アクセスが許可されていない旨を表示装置300に表示し(S107)、認証情報受付部32は、再びステップS100に示した処理を実行する。
抽出した機器IDが占有情報格納部36内に登録されていない場合(S103:No)、物理アクセス可否判定部33は、当該機器IDに対応する機密書類格納機器40に、通信回線12を介して開錠を指示すると共に(S104)、当該機密書類格納機器40の機器IDを占有情報格納部36に登録する(S105)。
次に、物理アクセス可否判定部33は、開錠を指示した機密書類格納機器40の機器IDと、当該機密書類格納機器40へのアクセスが許可されているユーザのユーザIDとを対応付けて保持すると共に、認証情報受付部32から受け付けたユーザIDに対応する物理アクセス権テーブル350において、開錠を指示した機密書類格納機器40の機器IDのアクセス可否を、アクセス禁止を示す情報に変更し(S106)、認証情報受付部32は、再びステップS100に示した処理を実行する。
ステップS100において、情報アクセス要求を受信していない場合(S100:No)、物理アクセス可否判定部33は、通信回線12を介して、機密書類格納機器40から動作内容が通知されたか否かを判定する(S108)。機密書類格納機器40から動作内容が通知された場合(S108:Yes)、物理アクセス可否判定部33は、通知された動作内容を、当該動作内容を通知した機密書類格納機器40を占有しているユーザのユーザIDに対応付けて保持する(S109)。
そして、物理アクセス可否判定部33は、機密書類格納機器40へのアクセスが終了したか否かを判定する(S110)。機密書類格納機器40へのアクセスが終了していない場合(S110:No)、認証情報受付部32は、再びステップS100に示した処理を実行する。
機密書類格納機器40へのアクセスが終了した場合(S110:Yes)、物理アクセス可否判定部33は、当該アクセスが終了した機密書類格納機器40の機器IDを占有情報格納部36から削除する(S111)。そして、物理アクセス可否判定部33は、アクセスの開始から終了までに機密書類格納機器40から通知された動作内容、当該機密書類格納機器40へのアクセスが許可されているユーザのユーザID、およびアクセスが終了した日時を含む履歴情報を、通信回線11を介してアクセス管理装置20へ送信し(S112)、認証情報受付部32は、再びステップS100に示した処理を実行する。
ステップS108において、機密書類格納機器40から動作内容が通知されていない場合(S108:No)、物理アクセス権変更部34は、通信回線11を介してアクセス管理装置20から、ユーザIDおよび機器IDを含むアクセス許可要求を受信したか否かを判定する(S113)。アクセス許可要求を受信していない場合(S113:No)、認証情報受付部32は、再びステップS100に示した処理を実行する。
アクセス許可要求を受信した場合(S113:Yes)、物理アクセス権変更部34は、物理アクセス権格納部35を参照して、当該アクセス許可要求に含まれるユーザIDに対応する物理アクセス権テーブル350を特定し、特定した物理アクセス権テーブル350内で、当該アクセス許可要求に含まれる機器IDのアクセス可否を、アクセス許可を示す情報に変更し(S114)、認証情報受付部32は、再びステップS100に示した処理を実行する。
図14は、第1の実施形態におけるアクセス管理装置20の動作の一例を示すフローチャートである。例えば電源が投入される等の所定のタイミングで、アクセス管理装置20は、本フローチャートに示す動作を開始する。
まず、履歴情報取得部23は、通信回線11を介して物理アクセス制御装置30から履歴情報を受信したか否かを判定する(S200)。履歴情報を受信した場合(S200:Yes)、履歴情報取得部23は、処理情報格納部25を参照して、当該履歴情報に含まれる動作内容と一致する処理内容に対応付けられている処理IDを抽出する。そして、履歴情報取得部23は、処理履歴格納部22を参照して、履歴情報に含まれるユーザIDに対応する履歴テーブル220に、履歴情報に含まれる処理日時を抽出した処理IDに対応付けて格納する(S201)。
次に、アクセス権制御部27は、処理履歴格納部22に新たに処理IDが登録された履歴テーブルのユーザIDに基づいて業務情報格納部24を参照し、当該ユーザIDに対応付けられているフローIDを抽出する。そして、アクセス権制御部27は、抽出したフローIDに基づいてフロー情報格納部21を参照し、処理履歴格納部22に新たに格納された処理IDに対応する処理の次に実行されるべき処理の処理IDを特定する(S202)。
次に、アクセス権制御部27は、特定した処理IDに基づいてアクセス先情報格納部26を参照し、当該処理IDに対応する処理において使用される機密書類格納機器40の機器IDを特定する(S203)。そして、アクセス権制御部27は、特定した機器IDと、処理履歴格納部22に新たに処理IDが登録された履歴テーブルのユーザIDとを含むアクセス許可要求を、通信回線11を介して物理アクセス制御装置30へ送信し(S204)、履歴情報取得部23は、再びステップS200に示した処理を実行する。
ステップS200において、履歴情報を受信していない場合(S200:No)、履歴情報取得部23は、処理履歴格納部22を参照して、所定時間以上経過した処理日時が存在するか否かを判定する(S205)。所定時間以上経過した処理日時が処理履歴格納部22内に存在しない場合(S205:No)、履歴情報取得部23は、再びステップS200に示した処理を実行する。
所定時間以上経過した処理日時が処理履歴格納部22内に存在する場合(S205:Yes)、履歴情報取得部23は、当該処理日時および当該処理日時に対応付けられている処理IDを、処理履歴格納部22から削除し(S206)、再びステップS200に示した処理を実行する。
図15は、第1の実施形態におけるアクセス制御システム10の動作の一例を示すシーケンス図である。
まず、ユーザは、認証情報読取装置303等の入力装置を介して、物理アクセス制御装置30に物理アクセス要求を入力する(S300)。物理アクセス制御装置30は、当該物理アクセス要求に含まれる認証情報が登録されていること、当該認証情報に対応するユーザIDにアクセスが許可されている機器IDが対応付けられていること、および、当該機器IDに対応する機密書類格納機器40が占有されていないことを検出して、対応する機密書類格納機器40に開錠を指示する(S301)。機密書類格納機器40は、開錠指示に応じて鍵を開け、開錠した旨をユーザに通知する(S302)。
次に、ユーザは、機密書類格納機器40の引出を開ける、機密書類を取り出す等の機密書類格納機器40へのアクセスを実行し(S303)、機密書類格納機器40は、ユーザの動作内容を物理アクセス制御装置30へ通知する(S304)。そして、物理アクセス制御装置30は、一連の処理が終了したことを検出し(S305)、履歴情報をアクセス管理装置20へ送信する(S306)。
アクセス管理装置20は、受信した履歴情報から、ユーザが実行中の業務フローにおいて、次に実行されるべき処理を特定し(S307)、当該処理に使用される機密書類格納機器40の機器IDおよびユーザIDを含むアクセス許可要求を物理アクセス制御装置30へ送信する(S308)。物理アクセス制御装置30は、受信したアクセス許可要求に含まれるユーザIDについて、当該アクセス許可要求に含まれる機器IDに対応する機密書類格納機器40のアクセスを許可する(S309)。
以上、本発明の第1の実施形態について説明した。
上記説明から明らかなように、本実施形態のアクセス制御システム10によれば、機密情報のセキュリティを高く保つと共に、業務を正しい手順で作業者に遂行させることができる。
なお、上記した第1の実施形態において、物理アクセス制御装置30と複数の機密書類格納装置40とは、それぞれ別個の装置によって実現されているが、他の形態として、これらの装置は1つの装置として実現されていてもよい。
次に、本発明の第2の実施形態について説明する。
図16は、第2の実施形態におけるアクセス制御システム10の構成の一例を示すシステム構成図である。アクセス制御システム10は、アクセス管理装置20、物理アクセス制御装置30、複数の機密書類格納機器40、情報アクセス制御装置50、および情報提供装置60を備える。なお、以下に説明する点を除き、図16において、図1と同じ符号を付した構成は、図1における構成と同一または同様の機能を有するため説明を省略する。
アクセス管理装置20と情報アクセス制御装置50とは、通信回線11を介して通信する。情報アクセス制御装置50と情報提供装置60とは、通信回線13を介して通信する。なお、通信回線11、通信回線12、および通信回線13は物理的に異なる通信回線として説明するが、同一の通信回線であってもよく、同一の通信回線が論理的に分けられたものであってもよい。
情報提供装置60は、例えば機密情報を格納しているファイルサーバであり、ユーザコンピュータ14を介してユーザから機密情報を要求された場合に、機密情報を識別する情報ID、当該機密情報を要求したユーザのユーザID、および当該ユーザの認証情報を含む情報アクセス要求を通信回線13を介して情報アクセス制御装置50へ送信する。そして、情報提供装置60は、ユーザIDおよび情報IDを含む許可応答を情報アクセス制御装置50から受信した場合に、当該情報IDに対応する機密情報を、当該ユーザIDに対応するユーザのユーザコンピュータ14へ、通信回線13を介して送信する。
また、情報提供装置60は、機密情報以外の非機密情報も格納しており、非機密情報については、ユーザコンピュータ14から要求されたデータを提供する。情報提供装置60は、ユーザコンピュータ14からのアクセスを動作内容として情報アクセス制御装置50へ通知する。
情報アクセス制御装置50は、ユーザID毎に機密情報へのアクセス可否が定められたアクセス権情報を格納しており、情報提供装置60から情報アクセス要求を受信した場合に、受信した情報アクセス要求に含まれるユーザIDおよび情報IDの組み合わせについて、アクセスが許可されている場合に、許可応答を、通信回線13を介して情報提供装置60へ送信する。
アクセス管理装置20は、物理アクセス制御装置30から受け取った動作内容、および、情報アクセス制御装置50から受け取った動作内容に基づいて、ユーザが実行している業務フローにおいて、次に実行すべき処理に必要な機密書類格納機器40または機密情報へのアクセスの許可を、物理アクセス制御装置30または情報アクセス制御装置50に送信する。
本実施形態において、アクセス管理装置20内のアクセス先情報格納部26は、例えば図17に示すように、処理ID260毎に、当該処理ID260に対応する処理で使用される機密書類格納機器40の機器ID261、または、当該処理ID260に対応する処理で使用される機密情報の情報ID262が格納されている。
このように、本実施形態のアクセス制御システム10は、物理的な機密情報へのアクセスだけでなく、データとして情報提供装置60に格納されている機密情報へのアクセスも必要な業務において、ユーザが実行中の業務に基づいて機密情報へのアクセスを制御することができる。
図18は、情報提供装置60の詳細な機能構成の一例を示す図である。情報提供装置60は、情報アクセス要求部61、情報提供部62、機密情報格納部63、および非機密情報格納部64を備える。
機密情報格納部63には、例えば図19に示すように、機密情報631が、それぞれの情報を識別する情報ID630に対応付けて格納されている。非機密情報格納部64には、図示は省略するが、図19と同様に、非機密情報が情報IDに対応付けて格納されている。
情報アクセス要求部61は、通信回線13を介してユーザコンピュータ14から、ユーザIDおよび情報IDを含む情報要求を受信した場合に、当該情報要求に含まれる情報IDが非機密情報格納部64に格納されているならば、ユーザIDおよび情報IDを情報提供部62に送る。
一方、情報要求に含まれる情報IDが機密情報格納部63に格納されている場合、情報アクセス要求部61は、当該情報要求の送信元のユーザコンピュータ14に認証情報を要求する。そして、ユーザコンピュータ14から受け取った認証情報、当該認証情報により認証されるユーザのユーザID、および当該ユーザが要求した機密情報の情報IDを含む情報アクセス要求を、通信回線13を介して情報アクセス制御装置50へ送信する。
そして、許可応答を情報アクセス制御装置50から受信した場合に、情報アクセス要求部61は、当該許可応答に含まれるユーザIDおよび情報IDを情報提供部62に送る。また、情報アクセス要求部61は、ユーザからのアクセスに応じて行った動作を通信回線13を介して情報アクセス制御装置50に通知する。
情報提供部62は、情報アクセス要求部61から受け取った情報IDに対応する機密情報または非機密情報を、機密情報格納部63または非機密情報格納部64から取得し、取得した情報を、情報アクセス要求部61から受け取ったユーザIDに対応するユーザのユーザコンピュータ14へ、通信回線13を介して提供する。また、情報提供部62は、ユーザからのアクセスに応じて行った動作を通信回線13を介して情報アクセス制御装置50に通知する。
図20は、情報アクセス制御装置50の詳細な機能構成の一例を示す図である。情報アクセス制御装置50は、認証情報格納部51、認証情報受付部52、情報アクセス可否判定部53、情報アクセス権変更部54、および情報アクセス権格納部55を備える。
認証情報格納部51には、図示は省略するが、例えば図5と同様に、指紋データ等の認証情報が、それぞれのユーザを識別するユーザIDに対応付けて格納されている。認証情報受付部52は、情報提供装置60から情報アクセス要求を受け付け、受け付けた情報アクセス要求に含まれるユーザIDおよび認証情報の組み合わせが認証情報格納部51に登録されているか否かを判定する。
受け付けた情報アクセス要求に含まれるユーザIDおよび認証情報の組み合わせが認証情報格納部51に登録されていない場合、認証情報受付部52は、アクセスが許可されていない旨を情報提供装置60に通知する。一方、受け付けた情報アクセス要求に含まれるユーザIDおよび認証情報の組み合わせが認証情報格納部51に登録されている場合、認証情報受付部52は、当該ユーザIDを、情報アクセス要求に含まれている情報IDと共に情報アクセス可否判定部53へ送る。
情報アクセス権格納部55には、例えば図21に示すように、ユーザID551毎に情報アクセス権テーブル550が格納されている。それぞれの情報アクセス権テーブル550には、それぞれの機密情報を識別する情報ID552毎に、当該機密情報へのアクセス可否553を示す情報が格納されている。
情報アクセス可否判定部53は、認証情報受付部52からユーザIDおよび情報IDを受け取った場合に、情報アクセス権格納部55を参照して、当該ユーザIDに対応する情報アクセス権テーブル550を特定する。そして、情報アクセス可否判定部53は、特定した情報アクセス権テーブル550において、認証情報受付部52から受け取った情報IDに対応する機密情報へのアクセスが許可されているか否かを判定する。認証情報受付部52から受け取った情報IDに対応する機密情報へのアクセスが許可されていない場合、情報アクセス可否判定部53は、アクセスが許可されていない旨を情報提供装置60に通知する。
認証情報受付部52から受け取った情報IDに対応する機密情報へのアクセスが許可されている場合、情報アクセス可否判定部53は、アクセスが許可されている機密情報の情報IDおよび情報アクセス要求に含まれているユーザIDを含む許可応答を情報提供装置60へ送信する。そして、情報アクセス可否判定部53は、情報アクセス要求に含まれるユーザIDに対応する情報アクセス権テーブル550において、許可応答に含めた情報IDに対応するアクセス可否を、アクセス禁止を示す情報に変更する。
また、情報アクセス可否判定部53は、許可応答に含めた情報IDと、当該情報IDに対応する機密情報へのアクセスを許可したユーザのユーザIDとを対応付けて保持する。また、情報アクセス可否判定部53は、情報提供装置60からの動作内容の通知を通信回線13を介して受信し、ユーザによるアクセスが終了したか否かを判定する。情報アクセス可否判定部53は、例えば、機密情報へのアクセスの後、情報提供装置60とのコネクションを切断した旨や、他の機密情報へのアクセスを試行した旨等が動作内容として通知された場合に、ユーザによるアクセスが終了したと判定する。
アクセスが終了したと判定した場合、情報アクセス可否判定部53は、アクセスの開始から終了までに情報提供装置60から通知された動作内容、当該機密情報へのアクセスが許可されているユーザのユーザID、およびアクセスが終了した日時(例えばユーザコンピュータ14と情報提供装置60とのコネクションが切断された日時)を含む履歴情報を、通信回線11を介してアクセス管理装置20へ送信する。
情報アクセス権変更部54は、アクセス管理装置20から、ユーザIDおよび情報IDを含むアクセス許可要求を、通信回線11を介して受信した場合に、情報アクセス権格納部55を参照して、当該アクセス許可要求に含まれるユーザIDに対応する情報アクセス権テーブル550を特定し、特定した情報アクセス権テーブル550内で、当該アクセス許可要求に含まれる情報IDのアクセス可否を、アクセス許可を示す情報に変更する。
図22は、情報アクセス制御装置50の動作の一例を示すフローチャートである。例えば電源が投入される等の所定のタイミングで、情報アクセス制御装置50は、本フローチャートに示す動作を開始する。
まず、認証情報受付部52は、情報提供装置60から情報アクセス要求を受信したか否かを判定する(S400)。情報アクセス要求を受信した場合(S400:Yes)、情報アクセス可否判定部53は、受信した情報アクセス要求に含まれるユーザIDおよび認証情報の組み合わせが認証情報格納部51に登録されているか否かを判定する(S401)。
受信した情報アクセス要求に含まれるユーザIDおよび認証情報の組み合わせが認証情報格納部51に登録されていない場合(S401:No)、認証情報受付部52は、アクセスが許可されていない旨を情報提供装置60に通知し(S405)、再びステップS400に示した処理を実行する。
受信した情報アクセス要求に含まれるユーザIDおよび認証情報の組み合わせが認証情報格納部51に登録されている場合(S401:Yes)、認証情報受付部52は、当該ユーザIDを、当該情報アクセス要求に含まれている情報IDと共に情報アクセス可否判定部53へ送る。
次に、情報アクセス可否判定部53は、認証情報受付部52から受け取ったユーザIDに基づいて情報アクセス権格納部55を参照し、当該ユーザIDに対応する情報アクセス権テーブル550を特定する。そして、情報アクセス可否判定部53は、特定した情報アクセス権テーブル550において、認証情報受付部52から受け取った情報IDに対応する機密情報へのアクセスが許可されているか否かを判定する(S402)。
対応する機密情報へのアクセスが許可されていない場合(S402:No)、情報アクセス可否判定部53は、アクセスが許可されていない旨を情報提供装置60に通知し(S405)、認証情報受付部52は、再びステップS100に示した処理を実行する。
対応する機密情報へのアクセスが許可されている場合(S402:Yes)、情報アクセス可否判定部53は、アクセスが許可されている機密情報の情報IDおよび情報アクセス要求に含まれているユーザIDを含む許可応答を情報提供装置60へ送信する(S403)。そして、情報アクセス可否判定部53は、情報アクセス要求に含まれるユーザIDに対応する情報アクセス権テーブル550において、許可応答に含めた情報IDに対応するアクセス可否を、アクセス禁止を示す情報に変更し(S404)、認証情報受付部52は、再びステップS100に示した処理を実行する。
ステップS400において、情報アクセス要求を受け付けていない場合(S400:No)、情報アクセス可否判定部53は、通信回線13を介して、情報提供装置60から動作内容が通知されたか否かを判定する(S406)。情報提供装置60から動作内容が通知された場合(S406:Yes)、情報アクセス可否判定部53は、通知された動作内容を、当該動作内容の契機となった機密情報を要求したユーザのユーザIDに対応付けて保持する(S407)。
そして、情報アクセス可否判定部53は、アクセスが終了したか否かを判定する(S408)。アクセスが終了していない場合(S408:No)、認証情報受付部52は、再びステップS400に示した処理を実行する。
アクセスが終了した場合(S408:Yes)、情報アクセス可否判定部53は、アクセスの開始から終了までに情報提供装置60から通知された動作内容、アクセスが許可されているユーザのユーザID、およびアクセスが終了した日時を含む履歴情報を、通信回線11を介してアクセス管理装置20へ送信し(S409)、認証情報受付部52は、再びステップS400に示した処理を実行する。
ステップS406において、情報提供装置60から動作内容が通知されていない場合(S406:No)、情報アクセス権変更部54は、通信回線11を介してアクセス管理装置20から、ユーザIDおよび情報IDを含むアクセス許可要求を受信したか否かを判定する(S410)。アクセス許可要求を受信していない場合(S410:No)、認証情報受付部52は、再びステップS400に示した処理を実行する。
アクセス許可要求を受信した場合(S410:Yes)、情報アクセス権変更部54は、情報アクセス権格納部55を参照して、当該アクセス許可要求に含まれるユーザIDに対応する情報アクセス権テーブル550を特定し、特定した情報アクセス権テーブル550内で、当該アクセス許可要求に含まれる情報IDのアクセス可否を、アクセス許可を示す情報に変更し(S411)、認証情報受付部52は、再びステップS400に示した処理を実行する。
図23は、第2の実施形態におけるアクセス管理装置20の動作の一例を示すフローチャートである。なお、以下に説明する点を除き、図23において、図14と同じ符号を付した処理は、図14と同様の処理であるため説明を省略する。
処理履歴格納部22に新たに格納された処理IDに対応する処理の次に実行されるべき処理の処理IDを特定した後(S202)、アクセス権制御部27は、特定した処理IDに基づいてアクセス先情報格納部26を参照し、当該処理IDに対応する処理において使用されるアクセス先を特定する(S210)。そいて、アクセス権制御部27は、次の処理で使用されるアクセス先が機密書類格納機器40か否かを判定する(S211)。
次の処理で使用されるアクセス先が機密書類格納機器40である場合(S211:Yes)、アクセス権制御部27は、当該機密書類格納機器40の機器IDと、処理履歴格納部22に新たに処理IDが登録された履歴テーブルのユーザIDとを含むアクセス許可要求を、通信回線11を介して物理アクセス制御装置30へ送信し(S212)、履歴情報取得部23は、再びステップS200に示した処理を実行する。
次の処理で使用されるアクセス先が機密情報である場合(S211:No)、アクセス権制御部27は、当該機密情報の機器IDと、処理履歴格納部22に新たに処理IDが登録された履歴テーブルのユーザIDとを含むアクセス許可要求を、通信回線11を介して情報アクセス制御装置50へ送信し(S213)、履歴情報取得部23は、再びステップS200に示した処理を実行する。
図24は、第2の実施形態におけるアクセス制御システム10の動作の一例を示すシーケンス図である。なお、以下に説明する点を除き、図24において、図15と同じ符号を付した処理は、図15と同様の処理であるため説明を省略する。
ユーザからの物理アクセス要求に応じて、機密書類格納機器40のアクセスが許可され、アクセス管理装置20は、ユーザのアクセス終了を検出して次処理を特定する(S307)。図24に示す例では、次の処理には情報提供装置60内の機密情報が使用されるものとする。情報提供装置60は、ユーザIDおよび情報IDを含むアクセス許可要求を情報アクセス制御装置50へ送信する(S310)。情報アクセス制御装置50は、当該アクセス許可要求に含まれるユーザIDに対応する情報IDのアクセス可否を、アクセス許可を示す情報に変更する(S311)。
次に、ユーザは、ユーザコンピュータ14を操作し(S312)、ユーザコンピュータ14は、ユーザIDおよび情報IDを含む情報要求を情報提供装置60へ送信する(S313)。情報提供装置60は、受信した情報要求に含まれる情報IDが機密情報の情報IDであることを検出して、ユーザコンピュータ14へ認証情報を要求する(S314)。ユーザは、認証情報読取装置303等により認証情報を入力し(S315)、ユーザコンピュータ14は、入力された認証情報を情報提供装置60へ送信する(S316)。
情報提供装置60は、ユーザID、認証情報、および情報IDを含む情報アクセス要求を情報アクセス制御装置50へ送信する(S317)。情報アクセス制御装置50は、受信した情報アクセス要求に含まれるユーザIDおよび認証情報の組み合わせが認証情報格納部51に登録されており、かつ、当該ユーザIDについて、情報アクセス要求に含まれている情報IDに対応する機密情報へのアクセスが許可されていることを検出し、ユーザIDおよび情報IDを含む許可応答を情報提供装置60へ送信する(S318)。
情報提供装置60は、受信した許可応答に含まれる情報IDに対応する機密情報を、当該許可応答に含まれるユーザIDに対応するユーザのユーザコンピュータ14に提供する(S319)。ユーザコンピュータ14は、受信した機密情報を表示する(S320)。
次に、ユーザは、ユーザコンピュータ14を操作して、機密情報以外の情報を要求し(S321、S322)、情報提供装置60は、動作内容を情報アクセス制御装置50へ通知すると共に(S323)、要求された非機密情報をユーザコンピュータ14へ提供し(S324)、ユーザコンピュータ14は、情報提供装置60から提供された非機密情報を表示する(S325)。
そして、情報アクセス制御装置50は、通知された動作内容に基づいて、アクセスの終了を検出し(S326)、一連の処理について履歴情報を生成してアクセス管理装置20へ送信する(S327)。アクセス管理装置20は、受信した履歴情報から、ユーザが実行中の業務フローにおいて、次に実行されるべき処理を特定する(S328)。そして、アクセス管理装置20は、次の処理に機密書類格納機器40が使用される場合には、アクセス許可を情報提供装置60へ送信し、次の処理に機密情報が使用される場合には、アクセス許可を情報アクセス制御装置50へ送信する。
以上、本発明の第2の実施形態について説明した。
本実施形態のアクセス制御システム10によれば、機密書類格納機器40へのアクセスと情報提供装置60内の機密情報へのアクセスとが含まれる業務フローにおいても、機密情報のセキュリティを高く保つと共に、業務を正しい手順で作業者に遂行させることができる。
次に、本発明の第3の実施形態について説明する。
図25は、第3の実施形態におけるアクセス管理装置20の詳細な機能構成の一例を示す図である。本実施形態のアクセス管理装置20は、フロー情報格納部21、処理履歴格納部22、履歴情報取得部23、業務情報格納部24、処理情報格納部25、アクセス先情報格納部26、アクセス権制御部27、および業務フロー推定部28を備える。
なお、以下に説明する点を除き、図25において、図7と同じ符号を付した構成は、図7における構成と同一または同様の機能を有するため説明を省略する。また、本実施形態のアクセス制御システム10は、アクセス管理装置20の構成のみが、第2の実施形態のアクセス制御システム10とは異なる点である。
業務情報格納部24には、例えば図26に示すように、ユーザID240毎に、当該ユーザID240に対応するユーザが実行している可能性のある業務フローのフローID241が1つ以上格納されている。
業務フロー推定部28は、処理履歴格納部22に処理IDが新たに格納された場合に、当該新たに格納された処理IDに対応付けられて処理履歴格納部22に格納されているユーザIDを抽出する。そして、業務フロー推定部28は、業務情報格納部24を参照して、抽出したユーザIDにフローIDが対応付けて登録されているか否かを判定する。
抽出したユーザIDにフローIDが対応付けて業務情報格納部24に登録されている場合、業務フロー推定部28は、当該フローIDに対応する業務フローを、抽出したユーザIDに対応するユーザが実行中の業務フローとして特定する。一方、抽出したユーザIDにフローIDが対応付けて業務情報格納部24に登録されていない場合、業務フロー推定部28は、フロー情報格納部21に格納されている全てのフローIDに対応する業務フローを、抽出したユーザIDに対応するユーザが実行中の業務フローとして特定する。
次に、業務フロー推定部28は、特定した業務フローの中で、新たに処理履歴格納部22に格納された処理IDを含む業務フローを抽出する。そして、業務フロー推定部28は、抽出した業務フローの中で、該当するユーザIDの履歴テーブル内の全ての処理IDを、当該履歴テーブルと同一の順番で含む業務フロー、および、業務フローにおいて最初に実行される処理の処理IDから当該新たに処理履歴格納部22に格納された処理IDまでを、当該履歴テーブルと同一の順番で含む業務フローを抽出する。
例えば、図27(a)に示すように、履歴テーブル220内に、a、b、c、d、eの順で処理IDの履歴が格納されている場合、業務フロー推定部28は、図27(b)に示すような業務フローを、履歴テーブル220内の全ての処理ID222を、当該履歴テーブル220と同一の順番で含む業務フローとして抽出する。
また、業務フロー推定部28は、図27(c)に示すような業務フローを、業務フローにおいて最初に実行される処理の処理ID(図27(c)の例では「b」)から当該新たに処理履歴格納部22に格納された処理ID(図27(a)の例では「e」)までを、当該履歴テーブル220と同一の順番で含む業務フローとして抽出する。
そして、業務フロー推定部28は、抽出した業務フローのフローIDを、当該新たに格納された処理IDに対応付けられて処理履歴格納部22に格納されているユーザIDに対応付けて業務情報格納部24に登録する。アクセス権制御部27は、業務情報格納部24に登録されたそれぞれのフローIDについて、次に実行されるべき処理の処理IDを特定する。
なお、履歴テーブル内の全ての処理IDを、当該履歴テーブルと同一の順番で含む業務フロー、または、業務フローにおいて最初に実行される処理の処理IDから、新たに処理履歴格納部22に格納された処理IDまでを、当該履歴テーブルと同一の順番で含む業務フローのいずれに該当する業務フローも存在しない場合、業務フロー推定部28は、フローIDを業務情報格納部24に登録しない。このとき、前回登録されたフローIDが業務情報格納部24内に存在する場合には、業務フロー推定部28は、当該フローIDを業務情報格納部24から削除する。
アクセス権制御部27は、業務情報格納部24内に対応するユーザのフローIDが登録されていない場合、または、処理履歴格納部22に新たに格納された処理IDが、業務情報格納部24に格納されているフローIDに対応する業務フローに含まれていない場合に、業務が正しく行われていない旨を、通信回線11を介して物理アクセス制御装置30に通知し、物理アクセス制御装置30がその旨をユーザに通知するようにしてもよい。
図28は、第3の実施形態におけるアクセス管理装置20の動作の一例を示すフローチャートである。なお、以下に説明する点を除き、図28において、図23と同じ符号を付した処理は、図23と同様の処理であるため説明を省略する。
本実施形態において、履歴情報取得部23がステップS201に示す処理を実行した後に、業務フロー推定部28は図29において後述する業務フローの推定処理を実行して、ユーザによって実行されている業務フローを1つ以上推定する(S220)。
そして、アクセス権制御部27は、処理履歴格納部22に新たに処理IDが登録された履歴テーブルのユーザIDに基づいて業務情報格納部24を参照し、当該ユーザIDに対応付けられているフローIDを全て抽出する。そして、アクセス権制御部27は、抽出したそれぞれのフローIDに基づいてフロー情報格納部21を参照し、処理履歴格納部22に新たに格納された処理IDに対応する処理の次に実行されるべき処理の処理IDをそれぞれ特定する(S202)。
次に、アクセス権制御部27は、特定したそれぞれの処理IDに基づいてアクセス先情報格納部26を参照し、当該処理IDに対応する処理において使用される機密書類格納機器40の機器IDを特定する(S203)。それ以降の処理は、図23において説明した内容と同様であるため説明を省略する。
図29は、業務フローの推定処理(S220)の一例を示すフローチャートである。
まず、業務フロー推定部28は、処理履歴格納部22に新たに処理IDが格納された履歴テーブルのユーザIDについて、業務情報格納部24内にフローIDが登録されているか否かを判定する(S221)。業務情報格納部24内にフローIDが登録されている場合(S221:Yes)、業務フロー推定部28は、フロー情報格納部21を参照して、業務情報格納部24内に登録されているフローIDに対応する業務フローの中から、処理履歴格納部22に履歴として新たに格納された処理IDを含む業務フローを抽出する(S222)。
一方、業務情報格納部24内にフローIDが登録されていない場合(S221:No)、業務フロー推定部28は、フロー情報格納部21に格納されている全ての業務フローの中から、処理履歴格納部22に履歴として新たに格納された処理IDを含む業務フローを抽出する(S223)。
次に、業務フロー推定部28は、ステップS222またはS223で抽出した業務フローの中で、未選択の業務フローを1つ選択し(S224)、選択した業務フローにおいて、処理履歴格納部22に履歴として新たに格納された処理IDの順番をNとして保持する(S225)。例えば、図27(a)に示すように、処理履歴格納部22に履歴として新たに格納された処理IDが「e」である場合、業務フロー推定部28は、図27(b)の業務フローについては、処理IDが「e」の順番である「n+4」をNとして保持する。
次に、業務フロー推定部28は、処理履歴格納部22に履歴として新たに格納された処理IDをLとして保持する(S226)。例えば、図27(a)に示すように、処理履歴格納部22に履歴として新たに格納された処理IDが「e」である場合、業務フロー推定部28は、処理ID「e」をLとして保持する。
次に、業務フロー推定部28は、Nを1デクリメントし(S227)、Nが0より大きいか否かを判定する(S228)。Nが0以下である場合(S228:No)、業務フロー推定部28は、ステップS224で選択した業務フローのフローIDを、処理履歴格納部22に新たに処理IDが登録された履歴テーブルのユーザIDに対応付けて業務情報格納部24に登録する(S232)。
そして、業務フロー推定部28は、ステップS222またはS223で抽出した業務フローを全て選択したか否かを判定する(S233)。ステップS222またはS223で抽出した業務フローの中に未選択の業務フローがある場合(S233:No)、業務フロー推定部28は、再びステップS224に示した処理を実行する。一方、ステップS222またはS223で抽出した業務フローを全て選択した場合(S233:Yes)、業務フロー推定部28は、本フローチャートに示した業務フローの推定処理を終了する。
ステップS228において、Nが0より大きい場合(S228:Yes)、業務フロー推定部28は、処理履歴格納部22内にLよりも古い処理IDが履歴として格納されているか否かを判定する(S229)。処理履歴格納部22内にLよりも古い処理IDが履歴として格納されていない場合(S229:No)、業務フロー推定部28は、ステップS232に示した処理を実行する。
処理履歴格納部22内にLよりも古い処理IDが履歴として格納されている場合(S229:Yes)、業務フロー推定部28は、選択中の業務フローにおいて、N番目の処理IDがLよりも1つ古い処理IDと同一か否かを判定する(S230)。N番目の処理IDがLよりも1つ古い処理IDと異なる場合(S230:No)、業務フロー推定部28は、再びステップS224に示す処理を実行する。
N番目の処理IDがLよりも1つ古い処理IDと同一である場合(S230:Yes)、業務フロー推定部28は、処理履歴格納部22内で1つ古い処理IDをLとして保持し(S230)、再びステップS227に示した処理を実行する(S231)。
図27(b)に示した例において、1デクリメントされたNが「n+3」である場合、N番目の処理IDは「d」となる。ステップ226において、Lとして「e」が保持されているので、ステップS230において、業務フロー推定部28は、処理履歴格納部22内でLよりも1つ古い処理IDとして「d」を特定する。そして、業務フロー推定部28は、両者が一致していることを検出し、ステップS231において、Lとして保持されている「e」よりも、処理履歴格納部22内で1つ古い処理IDである「d」をLとして保持する。
以上、本発明の第3の実施形態について説明した。
本実施形態のアクセス制御システム10によれば、ユーザによる処理から業務フローを推定するので、業務フローを予め指定する必要がなく、より利便性の高いシステムを提供することができる。
なお、上記第1の実施形態、第2の実施形態、または第3の実施形態におけるアクセス管理装置20、物理アクセス制御装置30、情報アクセス制御装置50、または情報提供装置60は、例えば図30に示すような構成のコンピュータ70によって実現される。コンピュータ70は、CPU(Central Processing Unit)71、RAM(Random Access Memory)72、ROM(Read Only Memory)73、HDD(Hard Disk Drive)74、通信インターフェイス(I/F)75、入出力インターフェイス(I/F)76、およびメディアインターフェイス(I/F)77を備える。
CPU71は、ROM73またはHDD74に格納されたプログラムに基づいて動作し、各部の制御を行う。ROM73は、コンピュータ70の起動時にCPU71が実行するブートプログラムや、コンピュータ70のハードウェアに依存するプログラム等を格納する。
HDD74は、CPU71によって実行されるプログラムを格納する。通信インターフェイス75は、通信回線を介して他の機器からデータを受信してCPU71へ送ると共に、CPU71が生成したデータを、通信回線を介して他の機器へ送信する。
CPU71は、入出力インターフェイス76を介して、モニタ等の出力装置、および、キーボードやマウス等の入力装置を制御する。CPU71は、入出力インターフェイス76を介して、入力装置からデータを取得する。また、CPU71は、生成したデータを、入出力インターフェイス76を介して出力装置へ出力する。
メディアインターフェイス77は、記録媒体78に格納されたプログラムまたはデータを読み取り、RAM72に提供する。RAM72を介してCPU71に提供されるプログラムは、記録媒体78に格納されている。当該プログラムは、記録媒体78から読み出されて、RAM72を介してコンピュータ70にインストールされ、CPU71によって実行される。記録媒体78は、例えばDVD(Digital Versatile Disk)、PD(Phase change rewritable Disk)等の光学記録媒体、MO(Magneto-Optical disk)等の光磁気記録媒体、テープ媒体、磁気記録媒体、または半導体メモリ等である。
コンピュータ70がアクセス管理装置20として機能する場合、コンピュータ70にインストールされて実行されるプログラムは、コンピュータ70を、フロー情報格納部21、処理履歴格納部22、履歴情報取得部23、業務情報格納部24、処理情報格納部25、アクセス先情報格納部26、アクセス権制御部27、および業務フロー推定部28として機能させる。
コンピュータ70が物理アクセス制御装置30として機能する場合、コンピュータ70にインストールされて実行されるプログラムは、コンピュータ70を、認証情報格納部31、認証情報受付部32、物理アクセス可否判定部33、物理アクセス権変更部34、物理アクセス権格納部35、および占有情報格納部36として機能させる。
コンピュータ70が情報アクセス制御装置50として機能する場合、コンピュータ70にインストールされて実行されるプログラムは、コンピュータ70を、認証情報格納部51、認証情報受付部52、情報アクセス可否判定部53、情報アクセス権変更部54、および情報アクセス権格納部55として機能させる。
コンピュータ70が情報提供装置60として機能する場合、コンピュータ70にインストールされて実行されるプログラムは、コンピュータ70を、情報アクセス要求部61、情報提供部62、機密情報格納部63、および非機密情報格納部64として機能させる。
コンピュータ70は、これらのプログラムを、記録媒体78から読み取って実行するが、他の例として、他の装置から、通信媒体を介してこれらのプログラムを取得してもよい。通信媒体とは、通信回線、または、当該通信回線を伝搬するディジタル信号もしくは搬送波を指す。
なお、本発明は、上記した実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。
例えば、上記した各実施形態において、業務を構成するそれぞれの処理は、認証が必要な処理の単位であったが、本発明はこれに限られず、実行中のユーザを特定可能な処理であれば、どのような単位で業務が区切られていてもよい。例えば、物理アクセス制御装置30が、それぞれのユーザの顔画像をユーザIDに対応付けて予め格納し、部屋の入り口に設けられたカメラで、入退室するユーザの顔を撮像し、撮像した顔画像から、ユーザのIDを特定することにより、特定の部屋へのユーザの入退室を業務の1つの処理として認識するようにしてもよい。
また、上記した各実施形態において、アクセス管理装置20、物理アクセス制御装置30、情報アクセス制御装置50、および情報提供装置60は、それぞれ、別個のコンピュータによって実現されるが、他の形態として、これらの装置は、1台のコンピュータによって実現されてもよい。また、アクセス管理装置20、物理アクセス制御装置30、情報アクセス制御装置50、および情報提供装置60のそれぞれは、1台以上のコンピュータを通信回線を介して相互に接続することにより、複数のコンピュータによって実現されてもよい。
10・・・アクセス制御システム、11・・・通信回線、12・・・通信回線、13・・・通信回線、14・・・ユーザコンピュータ、20・・・アクセス管理装置、21・・・フロー情報格納部、22・・・処理履歴格納部、23・・・履歴情報取得部、24・・・業務情報格納部、25・・・処理情報格納部、26・・・アクセス先情報格納部、27・・・アクセス権制御部、28・・・業務フロー推定部、30・・・物理アクセス制御装置、31・・・認証情報格納部、32・・・認証情報受付部、33・・・物理アクセス可否判定部、34・・・物理アクセス権変更部、35・・・物理アクセス権格納部、36・・・占有情報格納部、40・・・機密書類格納機器、41・・・通知部、42・・・鍵制御部、43・・・動作内容通知部、44・・・センサ、45・・・機密書類格納部、50・・・情報アクセス制御装置、51・・・認証情報格納部、52・・・認証情報受付部、53・・・情報アクセス可否判定部、54・・・情報アクセス権変更部、55・・・情報アクセス権格納部、60・・・情報提供装置、61・・・情報アクセス要求部、62・・・情報提供部、63・・・機密情報格納部、64・・・非機密情報格納部