JP5060240B2 - セキュリティシステム - Google Patents
セキュリティシステム Download PDFInfo
- Publication number
- JP5060240B2 JP5060240B2 JP2007263878A JP2007263878A JP5060240B2 JP 5060240 B2 JP5060240 B2 JP 5060240B2 JP 2007263878 A JP2007263878 A JP 2007263878A JP 2007263878 A JP2007263878 A JP 2007263878A JP 5060240 B2 JP5060240 B2 JP 5060240B2
- Authority
- JP
- Japan
- Prior art keywords
- access control
- control policy
- user
- dummy
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000004044 response Effects 0.000 claims description 2
- 238000000034 method Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 1
- 238000001038 ionspray mass spectrometry Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
Images
Description
本発明は、ログイン時に認証サーバよりアクセス制御ポリシーを取得し反映させるクライアントを含むクライアントサーバ型のセキュリティシステムでのサーバにおけるユーザのアクセス制御ポリシー設定に関するものである。
従来からのクライアントマシンにおけるアクセス制御は企業のような情報システムを想定するとクライアントはシステムログイン時に認証サーバよりアクセス制御ポリシーを取得し、そのアクセス制御ポリシーがログイン後に反映され、ログアウト後に再度、全権限が制限された状態に戻るという形式のものが中心となっている。
ユーザ毎のアクセス制御ポリシーはサーバでのユーザデータベース登録時にまず登録初期値が設定され、必要に応じて変更される。通常登録初期値は最も権限の低いアクセス制御ポリシーが自動的に割り当てられる。しかし運用環境によってはこれらの登録初期値を自由に使い分けたいという状況も考えられる。
これらのアクセス制御ポリシーまたは一般的にセキュリティポリシーの設定の運用負担を軽減する方式として特許文献1が提案されている。特許文献1では管理者が特に意識しなくてもISMS等の標準的なセキュリティポリシーに準じた形でポリシー設定を行う方式を提案している。
特開2005−4549号公報
しかしながら特許文献1の技術は、ユーザへのアクセス制御ポリシーではなく情報資産へのセキュリティポリシー設定に関するものであり本発明が提案するユーザ毎のアクセス制御ポリシーとは、方式と領域において異なっている。
本発明の目的は、ユーザのアクセス制御ポリシーの登録初期値を管理者が容易に変更できるシステムを提供することにある。
上記課題を解決するために、本発明のクライアントサーバシステムは、クライアントを認証し該当するアクセス制御ポリシーをクライアントへ送付するサーバと、このサーバからアクセス制御ポリシーを受信する複数のクライアントから成り、サーバには、ユーザの認証とアクセス制御ポリシーに関するデータベースとそれを更新する更新手段を設ける。
アクセス制御ポリシーDBには通常のユーザ毎のアクセス制御ポリシーが保持されるが、それ以外にユーザの登録初期値設定を保持するためだけの特別なダミーユーザも保持されている。
管理者は新規にユーザを登録したとき、あるいは登録済ユーザの設定を初期値に戻す操作を行ったときにユーザに設定されるべきアクセス制御ポリシーをダミーユーザに設定しておく。管理者は通常ユーザに対する方法と同様の方法で、登録したダミーユーザに対しアクセス制御ポリシーを設定できるため覚える操作手順が少なくて済む。
ダミーユーザは複数登録可能でユーザ新規登録時にどのダミーユーザを使用するか管理者は指定する。もし指定されなければシステムで規定された登録初期値が適用される。
アクセス制御ポリシーDBには通常のユーザ毎のアクセス制御ポリシーが保持されるが、それ以外にユーザの登録初期値設定を保持するためだけの特別なダミーユーザも保持されている。
管理者は新規にユーザを登録したとき、あるいは登録済ユーザの設定を初期値に戻す操作を行ったときにユーザに設定されるべきアクセス制御ポリシーをダミーユーザに設定しておく。管理者は通常ユーザに対する方法と同様の方法で、登録したダミーユーザに対しアクセス制御ポリシーを設定できるため覚える操作手順が少なくて済む。
ダミーユーザは複数登録可能でユーザ新規登録時にどのダミーユーザを使用するか管理者は指定する。もし指定されなければシステムで規定された登録初期値が適用される。
請求項1に記載したセキュリティシステムは、
イントラネット上におかれたサーバと、複数のクライアントからなるセキュリティシステムであって、
前記サーバは、
前記クライアントからの要求に応答して、ユーザ毎に設定されたアクセス制御ポリシーをクライアントへ送付するアクセス制御ポリシー送付手段と、
ユーザの認証と前記アクセス制御ポリシーに関する情報を格納するアクセス制御ポリシーDBと、
該アクセス制御ポリシーDBを更新するDB更新手段と、
を有し、
前記クライアントは、
前記サーバからアクセス制御ポリシーを受信するアクセス制御ポリシー受信手段と、
該アクセス制御ポリシー受信手段が受信したアクセス制御ポリシーを当該クライアントに適用するアクセス制御ポリシー適用手段と、
を有し、
前記アクセス制御ポリシーDBは、実際に存在しないユーザであるダミーユーザのアクセス制御ポリシーを複数保持し、ユーザの登録初期値として設定される前記ダミーユーザのアクセス制御ポリシーを示すダミーユーザの名前をユーザ毎に保持し、
前記DB更新手段は、新規にユーザを登録するとき、あるいは登録済ユーザの設定を登録初期値に戻すとき、当該ユーザのアクセス制御ポリシーとして、前記ダミーユーザの名前の指定がある場合には当該指定された名前の前記ダミーユーザのアクセス制御ポリシーを設定し、前記ダミーユーザの名前の指定がない場合にはシステム固定のアクセス制御ポリシー登録初期値を設定する、
ことを特徴とする。
イントラネット上におかれたサーバと、複数のクライアントからなるセキュリティシステムであって、
前記サーバは、
前記クライアントからの要求に応答して、ユーザ毎に設定されたアクセス制御ポリシーをクライアントへ送付するアクセス制御ポリシー送付手段と、
ユーザの認証と前記アクセス制御ポリシーに関する情報を格納するアクセス制御ポリシーDBと、
該アクセス制御ポリシーDBを更新するDB更新手段と、
を有し、
前記クライアントは、
前記サーバからアクセス制御ポリシーを受信するアクセス制御ポリシー受信手段と、
該アクセス制御ポリシー受信手段が受信したアクセス制御ポリシーを当該クライアントに適用するアクセス制御ポリシー適用手段と、
を有し、
前記アクセス制御ポリシーDBは、実際に存在しないユーザであるダミーユーザのアクセス制御ポリシーを複数保持し、ユーザの登録初期値として設定される前記ダミーユーザのアクセス制御ポリシーを示すダミーユーザの名前をユーザ毎に保持し、
前記DB更新手段は、新規にユーザを登録するとき、あるいは登録済ユーザの設定を登録初期値に戻すとき、当該ユーザのアクセス制御ポリシーとして、前記ダミーユーザの名前の指定がある場合には当該指定された名前の前記ダミーユーザのアクセス制御ポリシーを設定し、前記ダミーユーザの名前の指定がない場合にはシステム固定のアクセス制御ポリシー登録初期値を設定する、
ことを特徴とする。
本発明の方式によれば、次のような効果がある。
(1)もしアクセス制御ポリシーの登録初期値がシステムで固定されている場合、管理者はユーザ登録後にユーザに対し適切なアクセス制御ポリシーの設定が必ず必要となる。しかし管理者が任意の登録初期値を持てるダミーユーザを事前に登録できれば、アクセス制御ポリシーの設定ミスや設定漏れを軽減することが可能となる。
(2)複数のダミーユーザの登録ができることで各部署毎に異なるアクセス制御ポリシーの登録初期値を設定することができる。管理者は事前によく用いられるアクセス制御ポリシーのテンプレートを複数用意しておき使い分けることでユーザ登録操作が簡易になる。
(1)もしアクセス制御ポリシーの登録初期値がシステムで固定されている場合、管理者はユーザ登録後にユーザに対し適切なアクセス制御ポリシーの設定が必ず必要となる。しかし管理者が任意の登録初期値を持てるダミーユーザを事前に登録できれば、アクセス制御ポリシーの設定ミスや設定漏れを軽減することが可能となる。
(2)複数のダミーユーザの登録ができることで各部署毎に異なるアクセス制御ポリシーの登録初期値を設定することができる。管理者は事前によく用いられるアクセス制御ポリシーのテンプレートを複数用意しておき使い分けることでユーザ登録操作が簡易になる。
以下、本発明を適用したクライアントサーバシステムの実施の一形態について説明する。
図6は、本発明に係るセキュリティシステムの動作環境を示す概念図である。イントラネット601上に設けられたサーバ602上に本発明に係るセキュリティシステムのうちの中心部分であるアクセス制御ポリシー送付手段、ユーザの認証とアクセス制御ポリシーに関する情報を格納するアクセス制御ポリシーDB、該アクセス制御ポリシーDBを更新するDB更新手段などの管理プログラムがインストールされる。端末装置(クライアントコンピュータ)611、612、613などからイントラネット601を介してサーバ602にアクセスすることにより、アクセス制御ポリシーの送付を受ける。本発明のセキュリティシステムのうち、アクセス制御ポリシーを受信する部分、受信したアクセス制御ポリシーをそのクライアントマシンに適用する部分などは、クライアント側にインストールされている。
図7は、端末装置611のハードウェア構成を示すブロック図である。CPU701のバス700上には、RAM(ランダムアクセスメモリ)702、ROM(リードオンリメモリ)703、HDD(ハードディスクドライブ)704、表示回路705、入力信号処理部706、ネットワーク回路部707が接続されている。さらに、表示回路部705には、表示装置715が接続される。表示装置715は、具体的には液晶モニタ装置、CRT装置、プラズマディスプレイ装置などのいずれかが用いられる。そして、入力信号処理部706には、マウス712、キーボード711などの入力装置が接続される。端末装置611の操作者は表示装置の画面上に表示される処理内容を視認しつつ、キーボード711とマウス712とを操作して入力し、さらに端末装置611の処理内容が進められる。ネットワーク回路部707は、さらに必要な機器を介してイントラネット601につながる。端末装置611から管理サーバ602にアクセスするためにネットワーク接続が必要となる。
図1は本発明のシステム構成とログイン時の処理の概要を示している。この図が示すとおりクライアント10はセキュリティシステムにログインするタイミングで認証サーバ100に対してアクセス制御ポリシーを要求し、認証サーバ100はそれを受けてクライアント10に対し、当該ユーザに設定されたアクセス制御ポリシーを送信する。クライアント10は、それを受信して、自らのマシンにそれを適用し、その情報を保存する。アクセス制御ポリシーは、各ユーザ毎に管理者が事前に設定してアクセス制御ポリシーDB110に格納してある。クライアント10とサーバ100との通信は、企業内のネットワークを用いて行われる。
図2はユーザ登録処理のフローである。管理者は、ユーザの新規登録に当たってダミーユーザ名を指定することでアクセス制御ポリシーの登録初期値を容易に指定できる。ダミーユーザ名の指定があれば、ステップ201でTRUEと判断されて、指定されたダミーユーザのアクセス制御ポリシーがその新規登録ユーザに設定される(ステップ202)。ダミーユーザ名の指定がなければステップ201でFALSEと判断されて、システム固定のアクセス制御ポリシー登録初期値が使用される(ステップ203)。
図3は登録済ユーザのアクセス制御ポリシーを初期値に戻す操作のフローである。一時的に特別な設定を行ったユーザに対して再度登録初期値のアクセス制御ポリシーに戻すときに有効である。ユーザに登録初期値を保持するダミーユーザが指定されている場合には、ステップ301でTRUEと判断されて、ダミーユーザに設定されている最新のアクセス制御ポリシーを取得し(ステップ302)、取得したアクセス制御ポリシーをユーザに設定する(ステップ303)。ユーザに登録初期値を保持するダミーユーザが指定されていなければ、ステップ301でFALSEと判断されて、システム固定のアクセス制御ポリシーの登録初期値が設定される(ステップ304)。
図4はダミーユーザ登録処理のフローである。ダミーユーザ登録のメニューが選択されると、まずシステム固定のアクセス制御ポリシーを表示する(ステップ401)。そしてダミーユーザ名の設定をする(ステップ402)。新規のダミーユーザを設定する場合には使用可能なユーザ名の候補を自動的に表示し、管理者は変更の必要がなければ、そのダミーユーザ名を使用する。管理者は、そのダミーユーザ名に対応する任意のアクセス制御ポリシーを設定する(ステップ403)。
図5はアクセス制御ポリシーDBの概略である。ダミーユーザは通常のユーザと混じって登録され、各通常ユーザには対応するダミーユーザ名が設定されている。ここでは、実際に存在するユーザである「User1」と「User2」とに対し、それぞれダミーユーザである「Dummy_User1」、「Dummy_User2」のアクセス制御ポリシーが適用されている。
管理者の変更作業の労力を軽減するセキュリティシステムが提供できる。
10 端末装置(クライアントマシン)
100 認証サーバ
110 アクセス制御ポリシーDB
601 イントラネット
602 サーバ
611,612,613 端末装置
700 バス
701 CPU
702 RAM
703 ROM
704 HDD
705 表示回路部
706 入力信号処理部
707 ネットワーク回路部
711 キーボード
712 マウス
715 表示装置
100 認証サーバ
110 アクセス制御ポリシーDB
601 イントラネット
602 サーバ
611,612,613 端末装置
700 バス
701 CPU
702 RAM
703 ROM
704 HDD
705 表示回路部
706 入力信号処理部
707 ネットワーク回路部
711 キーボード
712 マウス
715 表示装置
Claims (1)
- イントラネット上におかれたサーバと、複数のクライアントからなるセキュリティシステムであって、
前記サーバは、
前記クライアントからの要求に応答して、ユーザ毎に設定されたアクセス制御ポリシーをクライアントへ送付するアクセス制御ポリシー送付手段と、
ユーザの認証と前記アクセス制御ポリシーに関する情報を格納するアクセス制御ポリシーDBと、
該アクセス制御ポリシーDBを更新するDB更新手段と、
を有し、
前記クライアントは、
前記サーバからアクセス制御ポリシーを受信するアクセス制御ポリシー受信手段と、
該アクセス制御ポリシー受信手段が受信したアクセス制御ポリシーを当該クライアントに適用するアクセス制御ポリシー適用手段と、
を有し、
前記アクセス制御ポリシーDBは、実際に存在しないユーザであるダミーユーザのアクセス制御ポリシーを複数保持し、ユーザの登録初期値として設定される前記ダミーユーザのアクセス制御ポリシーを示すダミーユーザの名前をユーザ毎に保持し、
前記DB更新手段は、新規にユーザを登録するとき、あるいは登録済ユーザの設定を登録初期値に戻すとき、当該ユーザのアクセス制御ポリシーとして、前記ダミーユーザの名前の指定がある場合には当該指定された名前の前記ダミーユーザのアクセス制御ポリシーを設定し、前記ダミーユーザの名前の指定がない場合にはシステム固定のアクセス制御ポリシー登録初期値を設定する、
ことを特徴とするセキュリティシステム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007263878A JP5060240B2 (ja) | 2007-10-10 | 2007-10-10 | セキュリティシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007263878A JP5060240B2 (ja) | 2007-10-10 | 2007-10-10 | セキュリティシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009093441A JP2009093441A (ja) | 2009-04-30 |
| JP5060240B2 true JP5060240B2 (ja) | 2012-10-31 |
Family
ID=40665365
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007263878A Active JP5060240B2 (ja) | 2007-10-10 | 2007-10-10 | セキュリティシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5060240B2 (ja) |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002108818A (ja) * | 2000-09-26 | 2002-04-12 | International Network Securitiy Inc | データセンター、セキュリティポリシー作成方法及びセキュリティシステム |
| JP2005004549A (ja) * | 2003-06-12 | 2005-01-06 | Fuji Electric Holdings Co Ltd | ポリシーサーバ、そのポリシー設定方法、アクセス制御方法、プログラム |
| JP2006180103A (ja) * | 2004-12-21 | 2006-07-06 | Ricoh Co Ltd | 画像形成装置、画像形成プログラム及び記録媒体 |
| WO2007007397A1 (ja) * | 2005-07-12 | 2007-01-18 | Fujitsu Limited | 共用管理プログラム、共用管理方法、端末装置、及び共用管理システム |
| JP2007200460A (ja) * | 2006-01-26 | 2007-08-09 | Sharp Corp | 再生装置及び再生方法 |
-
2007
- 2007-10-10 JP JP2007263878A patent/JP5060240B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2009093441A (ja) | 2009-04-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10091210B2 (en) | Policy enforcement of client devices | |
| US9288213B2 (en) | System and service providing apparatus | |
| JP6033990B2 (ja) | 単一のフレキシブルかつプラガブルOAuthサーバを備える複数のリソースサーバ、OAuth保護したREST式OAuth許諾管理サービス、およびモバイルアプリケーションシングルサインオンするOAuthサービス | |
| JP7225326B2 (ja) | ユーザアカウントと企業ワークスペースとの関連付け | |
| US10742649B1 (en) | Secure authentication and virtual environment setup | |
| US10419445B2 (en) | Credential change management system | |
| US10333778B2 (en) | Multiuser device staging | |
| JP4579597B2 (ja) | 情報処理装置、情報処理方法およびプログラム | |
| US20090260066A1 (en) | Single Sign-On To Administer Target Systems with Disparate Security Models | |
| US11461459B1 (en) | User device authentication gateway module | |
| JP2006119719A (ja) | コンピュータシステム及びユーザ認証方法 | |
| US9977915B2 (en) | System for controlling database security and access | |
| JP2005092649A (ja) | デジタルデータインストールシステム、デジタルデータインストール方法、プログラム、及びプログラムを記録した記録媒体 | |
| US20090158412A1 (en) | Secure Automatically Configuring, Self-Authenticating Administrative User Without A Password | |
| US20220368687A1 (en) | Modular secure remote work platform | |
| US10282527B2 (en) | Information processing apparatus, information processing method, program, storage medium, and password entry apparatus | |
| JP5060240B2 (ja) | セキュリティシステム | |
| JP2005107984A (ja) | ユーザ認証システム | |
| JP2006227786A (ja) | 特権付与プログラム、コンピュータ、方法 | |
| US20200336371A1 (en) | Single user device staging | |
| JP2002132725A (ja) | ログイン制御方法およびログイン制御システムならびにログイン制御プログラムを記録した情報記録媒体 | |
| JP2018041347A (ja) | 認証システム | |
| JP5328828B2 (ja) | パスワード管理装置、パスワード管理方法、及びパスワード管理システム | |
| JP4814131B2 (ja) | 仲介システム、プログラム、及び記憶媒体 | |
| JP4993083B2 (ja) | セッション管理装置、プログラム、及び記憶媒体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100701 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120418 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120508 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120705 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120731 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120803 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150810 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5060240 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |