JP5278533B2 - アクセス制御装置、情報管理装置およびアクセス制御方法 - Google Patents

アクセス制御装置、情報管理装置およびアクセス制御方法 Download PDF

Info

Publication number
JP5278533B2
JP5278533B2 JP2011504693A JP2011504693A JP5278533B2 JP 5278533 B2 JP5278533 B2 JP 5278533B2 JP 2011504693 A JP2011504693 A JP 2011504693A JP 2011504693 A JP2011504693 A JP 2011504693A JP 5278533 B2 JP5278533 B2 JP 5278533B2
Authority
JP
Japan
Prior art keywords
component
user
type
accessible
stored
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2011504693A
Other languages
English (en)
Other versions
JPWO2010106679A1 (ja
Inventor
浩 大塚
安英 松本
裕二 和田
正純 松原
幸洋 渡辺
邦昭 嶋田
健司 森本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Publication of JPWO2010106679A1 publication Critical patent/JPWO2010106679A1/ja
Application granted granted Critical
Publication of JP5278533B2 publication Critical patent/JP5278533B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • G06F16/2457Query processing with adaptation to user needs
    • G06F16/24573Query processing with adaptation to user needs using data annotations, e.g. user-defined metadata
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Description

この発明は、アクセス制御装置、情報管理装置およびアクセス制御方法に関する。
近年、複雑化するITシステムを適切に管理するために、データベースを用いてITシステムの構成情報を一元管理する手法が提案されている(特許文献1参照)。このような手法の1つとして、FCMDB(Federated Configuration Management Database)と呼ばれる情報管理装置を用いて構成情報を管理する手法が知られている。図13に、FCMDBの概要を説明するための図を示す。
図13に示すように、FCMDBは、ITシステムの構成情報をそれぞれ独自に収集、管理するMDR(Management Data Repository)と呼ばれる装置とネットワーク等を介して接続し、各MDRに散在する各種の構成情報を仮想的に統合して管理する。システム管理者等の作業者は、FCMDBを利用することにより、MDRによって分散管理されている構成情報を横断的に操作することができる。
FCMDBは、図14に示すように、構成アイテム(CI,Configuration Item)とCI間の関係情報(リレーション)とを記憶することによって、ITシステムの構成情報を管理する。CIは、サーバや、ネットワーク、サービス等のITシステムを構成する要素単位に設けられ、具体的には、ノード名、IPアドレス、アプリケーション名などの情報を含む。リレーションは、CIとCIの間に設けられ、これらCIがどのような関係を有するかを、Connected To(〜と接続される)、Operated By(〜により操作される)、Belong To(〜に属する)などの情報によって表す。
ところで、FCMDBで管理される構成情報は、サービスマネージャやオペレータ、センタ管理者など様々な立場の作業者により参照されるため、各作業者の立場に応じたアクセス制御を行うことが望ましい。例えば、図14に示すように、作業者がセンタ管理者である場合は構成情報の全てを参照可能とするが、オペレータである場合は業務に必要な範囲の構成情報のみを参照可能とするといったアクセス制御を行うことにより、構成情報の機密性の維持することができる。
ITシステムを構成する要素の数は膨大であるため、FCMDBに記憶されているCIやリレーションの数も膨大である。したがって、例えば、図15、図16に示すように、参照を許可するCIやリレーションを各作業者について設定しようとした場合、設定作業工数が膨大となるため、現実的ではない。また、作業者が増えるたびに、新たな作業者に対して全てのCI、リレーションに対するアクセスの可否を設定しなければならず、非効率的である。
ここで、WEBサーバのように膨大な情報量を有する情報管理装置に対し効率的にアクセス権を設定するための手法として、データの階層構造を利用してアクセス権を設定する「.htaccess」などの手法が知られている。具体的には、かかるアクセス権設定手法は、あるファイルに対してアクセス権が設定された場合、当該ファイル内に存在するファイル(サブファイルともいう)に対しても同様のアクセス権が設定されたものとみなす。このような手法を用いれば、複数の情報に対するアクセス権の設定を一度に行うことができるため、設定作業工数を大幅に削減することができる。
特開2006−221399号公報
しかしながら、リレーションによって結ばれるCI間の関係は、階層構造のように親データ及び子データというような関係を有しないため、FCMDBで管理される構成情報に対して上述したようなアクセス権設定手法を適用することは困難である。
開示の技術は、上述した従来技術による問題点を解消するためになされたものであり、情報システムの構成情報に対するアクセス権の設定を効率的に行うことのできるアクセス制御装置、情報管理装置およびアクセス制御方法を提供することを目的とする。
上述した課題を解決し、目的を達成するため、本件に開示するアクセス制御装置、情報管理装置およびアクセス制御方法は、一つの態様として、複数の構成要素と、構成要素間の関係を示す関係要素とを構成情報として記憶する情報管理装置へのアクセスを制御するアクセス制御装置であって、ユーザごとに設定されるアクセス制御ルールとして、前記構成要素をユーザを識別するユーザ情報と関連付けて記憶するとともに、構成要素の種別と関係要素の種別との組合せを前記ユーザ情報と関連付けて記憶するルール記憶手段と、ユーザ情報と関連付けて前記ルール記憶手段に記憶されている構成要素の種別と、当該構成要素と他の構成要素との関係を示す関係要素の種別との組合せが、当該ユーザ情報と関連付けて前記ルール記憶手段に記憶されている場合、当該他の構成要素をアクセス可能と判定するアクセス可否決定手段と、を備える。
本件に開示するアクセス制御装置、情報管理装置およびアクセス制御方法の一つの態様によれば、情報システムの構成情報に対するアクセス権の設定を効率的に行うことができるという効果を奏する。
図1は、本実施例にかかるアクセス制御方法を説明するための図である。 図2は、本実施例にかかるFCMDBの構成を示すブロック図である。 図3は、アクセス可能CI管理テーブルの一例を示す図である。 図4は、アクセス可能リレーション管理テーブルの一例を示す図である。 図5は、本実施例にかかるコアCI管理テーブルの一例を示す図である。 図6は、本実施例にかかる種別組合せ管理テーブルの一例を示す図である。 図7は、アクセス可能CI管理テーブルの一例を示す図である。 図8は、アクセス可能リレーション管理テーブルの一例を示す図である。 図9は、適用段数によりアクセス可否が決定される様子を示す図である。 図10は、本実施例にかかるアクセス処理部の処理手順を示すフローチャートである。 図11は、CIアクセス可否決定処理の処理手順を示すフローチャートである。 図12は、リレーションアクセス可否決定処理の処理手順を示すフローチャートである。 図13は、FCMDBの概要を説明するための図である。 図14は、FCMDBで管理される構成情報に対して、作業者の立場に応じたアクセス権が与えられる様子を示す図である。 図15は、各作業者に対して設定されるアクセス可能なCIの一例を示す図である。 図16は、各作業者に対して設定されるアクセス可能なリレーションの一例を示す図である。
符号の説明
1 FCMDB
2 ユーザ端末
10 アクセス制御部
11 段階的検索式生成部
12 検索処理部
13 ルール記憶部
14 アクセス可能要素記憶部
15 アクセス可否決定部
16 結果提示部
20 構成情報記憶部
131 コアCI管理テーブル
132 種別組合せ管理テーブル
201 CI管理テーブル
202 リレーション管理テーブル
以下に添付図面を参照して、本件に開示するアクセス制御装置、情報管理装置およびアクセス制御方法の実施例を図面に基づいて詳細に説明する。なお、以下の実施例では、情報管理装置の一例として、ITシステムの構成情報を管理するFCMDBを用いて説明するが、本願に開示する技術は、オブジェクト指向データを管理するサーバ装置等に対しても適用可能である。
まず、本実施例にかかるアクセス制御方法について図面を用いて説明する。図1は、本実施例にかかるアクセス制御方法を説明するための図である。本実施例にかかるアクセス制御方法は、アクセス制御ルールに基づき、ITシステムの構成情報を管理するFCMDBに対するアクセスを制御する。
FCMDBは、図1に示すように、構成アイテム(CI,Configuration Item)とCI間の関係情報(リレーション)とを記憶することによって、ITシステムの構成情報を管理する。CIは、サーバや、ネットワーク、サービス等のITシステムを構成する構成要素単位に設けられる。リレーションは、CIとCIの間に設けられ、これらCIがどのような関係を有するかを、Connected To(〜と接続される)、Operated By(〜により操作される)、Belong To(〜に属する)などの情報によって表す。なお、各CIおよびリレーションには、それぞれ固有のidが割り当てられている。
本実施例にかかるアクセス制御方法では、アクセス制御ルールとして、アクセス可能なCI(以下、「コアCI」という)のidと、CI種別及びリレーション種別の組とが記憶される。例えば、図1に示す例では、コアCIのidとして「r004」が記憶され、CI種別とリレーション種別の組合せとして「Network、Connected TO」が設定されている。
そして、本実施例にかかるアクセス制御方法では、コアCIのidとして設定されたidを有するCIの種別と、当該CIと他のCIとの関係を示すリレーションの種別との組合せが、アクセス制御ルールとして記憶されている場合、当該他のCIをアクセス可能と判定する。
すなわち、例えば図1に示すように、コアCIのid「r004」を有するCI200aの種別は「Network」であり、CI200aとCI200b〜200dとは、「Connected To」の種別を有するリレーションによって結ばれているとする。かかる場合、CI種別とリレーション種別との組合せ「Network、Connected TO」は、アクセス制御ルールとして記憶されているため、CI200b〜200dをアクセス可能と判定する。
このように、本実施例にかかるアクセス制御方法では、アクセス制御ルールとして、コアCIのidと、CI種別およびリレーション種別の組合せとを予め記憶しておき、当該アクセス制御ルールに該当するCIをアクセス可能と判定する。これにより、FCMDBにおいて管理されるITシステムの構成情報に対するアクセス権の設定を効率的に行うことができる。
次に、本実施例にかかるFCMDBの構成について説明する。図2は本実施例にかかるFCMDBの構成を示すブロック図、図3はアクセス可能CI管理テーブルの一例を示す図、図4はアクセス可能リレーション管理テーブルの一例を示す図である。
図2に示すように、本実施例にかかるFCMDB1は、アクセス制御部10と、構成情報記憶部20とを含む。構成情報記憶部20は、ITシステムの構成情報を記憶する記憶部であり、構成要素であるCIを管理するCI管理テーブル201と、構成要素間の関係を示す関係要素であるリレーションを管理するリレーション管理テーブル202とを有する。
CI管理テーブル201は、CIの詳細情報として、例えば図3に示すように、CI種別、レコード情報およびOS情報をidと関連付けて記憶する。レコード情報とは、CIに含まれる情報が実態情報であるか設計情報であるかを示す情報である。実態情報とは、CIが示す機器やソフトウェア等の実際の情報であり、「Real」で示される。設計情報とは、CIが示す機器やソフトウェア等の設計上の情報であり、「Spec」で示される。idは、各CI固有の識別情報である。OS情報は、CIが示す機器に搭載されたOSの情報である。
例えば、CI管理テーブル201は、id「r001」を割り当てられたCIの詳細情報として、CI種別「Server」、レコード情報「Real」、OS情報「aaaaa」を記憶する。すなわち、id「r001」を割り当てられたCIは、OS「aaaaa」が搭載されたサーバ装置の実態情報である。なお、CI管理テーブル201は、CI種別やレコード情報、OS情報、idだけでなく、例えばサーバ装置のモデル名で示されるCIの名称等も記憶する。
また、リレーション管理テーブル202は、リレーションの詳細情報として、図4に示すように、リレーション種別、src(Source)およびdst(Destination)を記憶する。srcは、リレーションの起点となるCIのidを示す情報であり、dstは、リレーションの到着点を示す情報である。
例えば、リレーション管理テーブル202は、id「007」を割り当てられたリレーションの詳細情報として、リレーション種別「Connected To」、src「r001」、dst「r004」を記憶する。すなわち、id「007」を割り当てられたリレーションは、id「r001」のサーバ装置とid「r004」のネットワークとの接続関係を示す情報である(図1参照)。
なお、FCMDB1は、これら構成情報を、ITシステムの構成情報をそれぞれ独自に収集・管理するMDR(図示せず)からネットワーク等を介して取得する。
アクセス制御部10は、アクセス制御装置に相当し、構成情報記憶部20へのアクセス制御を行う。アクセス制御部10は、段階的検索式生成部11と、検索処理部12と、ルール記憶部13と、アクセス可能要素記憶部14と、アクセス可否決定部15と、結果提示部16とを有する。
段階的検索式生成部11は、ユーザからの検索要求を取得すると、当該検索要求に含まれる検索式から、段階的検索式を生成する。ここで、ユーザからの検索要求について説明する。
ユーザは、FCMDB1とインターネット等の通信経路を介して接続されたユーザ端末2を用いて、構成情報の検索要求を行う。ユーザ端末2は、専用のコンピュータのほか、一般的なパーソナルコンピュータ等を適用することができる。
検索要求には、ユーザ情報と検索式とが含まれる。ユーザ情報は、検索要求を行ったユーザを識別するための識別情報であり、例えば、ユーザごとに与えられるIDやパスワード等である。検索式は、情報を要求するCIの種別やリレーションの種別などを指定する。例えば、サーバ装置の情報、すなわちCI種別「Server」を有するCIの情報を要求する場合、検索式は「/%Server」で表される。なお、名称の前に「%」を付すことにより、その名称がCIの名称であることが特定される。
また、「/」を区切りとして、CI及びリレーションを交互に並べることで、CI間の関係を辿る検索が可能となる。例えば、サーバ装置の管理者の情報を要求する場合、検索式は、「/%Server/&Managed By/%Person」で表される。なお、「&」は、その後に付された情報がリレーション種別であることを示す。
また、「%」または「&」の後に「*」を付すことにより、全てのCI種別またリレーション種別を指定した検索が可能となる。例えば、「/%Server/&*/%Person」で表される検索式は、CI種別「Server」と何らかの関係を持つ人の情報が要求されていることを示す。
また、CI種別の後に、要求するCIを具体的に指定する情報を付すことにより、CIについての詳細検索が可能となる。例えば、管理者Aが管理するサーバ装置の情報を要求する検索式は、「/%Server[&Managed By/%Person A]」で表される。
また、CIまたはリレーションの何れかの情報を要求する場合、検索式は、「entity-id(****)」(「****」は、要求するCIまたはリレーションのid)により表される。このように、本実施例において、構成情報の検索式は、検索の起点となるCIを指定するとともに、当該CIを起点としてリレーションやCIをどの順序で辿るかべきかを指定する。
段階的検索式生成部11は、ユーザ端末2から取得した検索式に基づき段階的検索式を生成する。段階的検索式とは、ユーザ端末2から取得した検索式に基づく検索処理の各段階を示す検索式であり、検索式を「/」単位で分割して生成される。例えば、ユーザ端末2から「%Network[id=r004]/&Connected TO/%*」で指定される検索式を取得した場合、段階的検索式生成部11は、段階的検索式として「%Network[id=r004]」、「%Network[id=r004]/&Connected TO」および「%Network[id=r004]/&Connected TO/%*」で示される検索式を生成する。
検索処理部12は、段階的検索式生成部11により生成された段階的検索式に基づき、構成情報記憶部20に対して、当該段階的検索式が要求する構成情報の検索を行う。例えば、検索処理部12は、段階的検索式「%Network[id=r004]」(すなわち、id「r004」を有するネットワークの情報を要求する検索式)に基づき検索を行うことにより、検索結果として、図1に示すCI200aの詳細情報を構成情報記憶部20から取出す。
同様に、検索処理部12は、段階的検索式「%Network[id=r004]/&Connected TO」(id「r004」を有するネットワークと他のCIとの接続関係を示すリレーションの情報を要求する検索式)に基づき検索を行った場合、検索結果として、id「007」、「008」、「009」の3つのリレーションの詳細情報を構成情報記憶部20から取出す。
ルール記憶部13は、構成情報記憶部20へのアクセス制御を行う場合に用いるアクセス制御ルールを記憶する。具体的には、ルール記憶部13は、コアCI管理テーブル131と、種別組合せ管理テーブル132とを記憶する。ここで、コアCI管理テーブル131及び種別組合せ管理テーブル132の構成について説明する。図5は本実施例にかかるコアCI管理テーブルの一例を示す図、図6は本実施例にかかる種別組合せ管理テーブルの一例を示す図である。
図5に示すように、コアCI管理テーブル131は、コアCIのidをユーザ情報と関連付けて記憶する。コアCIとは、アクセスが許可されるCIとしてコアCI管理テーブル131に記憶されているCIを示す。例えば、コアCI管理テーブル131は、ユーザ情報「engineer01」をコアCIのid「r004」と関連付けて記憶しており、ユーザ情報「engineer01」が割り当てられたユーザが、id「r004」を有するCIに対してアクセス権があることを示している。
また、図6に示すように、種別組合せ管理テーブル132は、CI種別、リレーション種別および適用段数をユーザ情報と関連付けて記憶する。例えば、種別組合せ管理テーブル132は、ユーザ情報「engineer01」をCI種別「Server」、リレーション種別「Operated By」および適用段数「−」と関連付けて記憶する。
ここで、適用段数とは、CI種別およびリレーション種別の組合せをアクセス制御ルールとして適用可能な範囲を示す情報である。「段数」とは、検索の起点となるCIから検索結果のCIに至るまでに辿るリレーションの数を示す。適用段数の詳細については、後述する。
このように、ルール記憶部13は、ユーザごとに設定されるアクセス制御ルールとして、コアCIのidをユーザ情報と関連付けて記憶するとともに、CI種別とリレーション種別との組合せをユーザ情報と関連付けて記憶するルール記憶手段に相当する。なお、これらアクセス制御ルールは、例えば、センタ管理者等によって予め記憶される。
アクセス可能要素記憶部14は、後述するアクセス可否決定部15によりアクセス可能と判定されたCIまたはリレーションのidを、当該CIまたはリレーションについてアクセス可能と判定されたユーザのユーザ情報と関連付けて記憶する。以下、アクセス可能要素記憶部14に記憶される情報について説明する。図7はアクセス可能CI管理テーブルの一例を示す図、図8はアクセス可能リレーション管理テーブルの一例を示す図である。
図7に示すように、アクセス可能CI管理テーブル141は、アクセス可能と判定されたCIのidをユーザ情報と関連付けて記憶する。例えば、アクセス可能CI管理テーブル141は、ユーザ情報「engineer01」と関連付けて、CIのid「r001」、「r002」、「r003」を記憶する。すなわち、アクセス可能CI管理テーブル141は、ユーザ情報「engineer01」を割り当てられたユーザが、id「r001」、「r002」、「r003」を有するCIに対してアクセス可能であることを示す。
また、図8に示すように、アクセス可能リレーション管理テーブル142は、アクセス可能と判定されたリレーションのidをユーザ情報と関連付けて記憶する。例えば、アクセス可能リレーション管理テーブル142は、ユーザ情報「engineer01」と関連付けて、リレーションのid「007」、「008」、「009」を記憶する。すなわち、アクセス可能要素記憶部14は、ユーザ情報「engineer01」を割り当てられたユーザが、id「007」、「008」、「009」を有するリレーションに対してアクセス可能であることを示す。
アクセス可否決定部15は、アクセス可否決定手段として機能し、ユーザ情報と関連付けてコアCI管理テーブル131に記憶されているCIの種別と、当該CIと他のCIとの関係を示すリレーションの種別との組合せが、種別組合せ管理テーブル132にユーザ情報と関連付けて記憶されている場合、当該他のCIをアクセス可能と判定する。
例えば、図5に示すコアCI管理テーブル131において、ユーザ情報「engineer01」と関連付けて記憶されているid「r004」を有するコアCI(図1に示すCI200a)の種別が「Network」であるとする。かかる場合、アクセス可否決定部15は、コアCI200aの種別「Network」と、コアCI200aとCI200cとの関係を示すリレーションの種別「Connected To」との組合せが、種別組合せ管理テーブル132にユーザ情報「engineer01」と関連付けて記憶されている場合、CI200cをアクセス可能と判定する。なお、コアCIの種別は、検索処理部12による構成情報記憶部20への検索処理によって特定される。
また、アクセス可否決定部15は、ユーザがアクセス可能と判定したCIまたはリレーションのidを、当該ユーザのユーザ情報と関連付けてアクセス可能要素記憶部14に記憶する。そして、アクセス可否決定部15は、アクセス可能要素記憶部14に記憶されているCIを、当該CIと関連付けられたユーザ情報を割り当てられたユーザがアクセス可能なCIと判定する。すなわち、本実施例では、アクセス可否決定部15によるアクセス制御を行うことにより、アクセス可能要素記憶部14にアクセス権情報が自動的に蓄積される。
また、アクセス可否決定部15は、アクセス可能要素記憶部14に記憶した情報に基づいて、アクセスの可否を決定する。具体的には、アクセス可否決定部15は、アクセス可能要素記憶部14に記憶されたCIの種別と、当該CIと他のCIとの関係を示すリレーションの種別との組合せが、ユーザ情報と関連付けて種別組合せ管理テーブル132に記憶されている場合には、当該ユーザ情報を割り当てられたユーザが、当該他のCIに対してアクセス可能であると判定する。
また、アクセス可否決定部15は、ユーザからの構成情報の検索要求を取得した場合、後述するアクセス可能要素記憶部14に記憶されたCIの種別と、当該CIと他のCIとの関係を示すリレーションの種別との組合せが、種別組合せ管理テーブル132に当該ユーザのユーザ情報と関連付けて記憶されている場合であっても、起点となるCIから他のCIに至るまでに辿るリレーションの数が、適用段数よりも大きい場合は、当該他のCIをアクセス不可能と判定する。以下、かかる処理について図9を用いて説明する。図9は、適用段数によりアクセス可否が決定される様子を示す図である。
例えば、種別組合せ管理テーブル132において、ユーザ情報「engineer01」、CI種別「Server」、リレーション種別「Connected To」と関連付けて記憶されている適用段数が「1」であるとする(図6参照)。かかる場合において、検索処理部12が、段階的検索式「%Network[id=r004]/&Connected TO/%*」に基づく検索を行ったとする。かかる場合、図9に示すように、検索の起点となるCI200aから、上記段階的検索式に基づく検索結果の1つであるCI200cに至るまでに辿るリレーションの数は「1」である。したがって、アクセス可否決定部15は、種別組合せ管理テーブル132に記憶されたCI種別とリレーション種別の組合せ「CI:Network、Rel:Connected To」を適用して、ユーザ情報「engineer01」を割り当てられたユーザがCI200cに対してアクセス可能であると判定する。
一方、検索処理部12が、段階的検索式「%Network[id=r004]/&Connected TO/%*/&Connected TO/%*」に基づく検索を行ったとする。かかる場合、検索の起点となるCI200aから、上記段階的検索式に基づく検索結果であるCI200eに至るまでに辿るリレーションの数は「2」である。したがって、アクセス可否決定部15は、種別組合せ管理テーブル132に記憶されたCI種別とリレーション種別の組合せ「CI:Network、Rel:Connected To」を適用せず、ユーザ情報「engineer01」を割り当てられたユーザがCI200eに対してアクセス不可であると判定する。
結果提示部16は、段階的検索式生成部11により生成された段階的検索式のうち、検索処理の最後の段階を示す段階的検索式に基づく検索結果に対して、アクセス可否決定部15がアクセス可能と判定した場合、当該検索結果をユーザ端末2に送信する。これにより、ユーザは、検索要求に応じた構成情報を参照することができる。
ここで、本実施例にかかるアクセス制御処理の具体例として、ユーザ情報「engineer01」を割り当てられたユーザAが、検索式「%Network[id=r004]/&Connected TO/%*」を含む検索要求を行った場合を例とし、当該検索式がアクセス制御部10によってどのように処理されるかについて説明する。
先ず、段階的検索式生成部11は、検索式「%Network[id=r004]/&Connected TO/%*」に基づき、段階的検索式「%Network[id=r004]」、「%Network[id=r004]/&Connected TO」および「%Network[id=r004]/&Connected TO/%*」を生成する。
続いて、検索処理部12は、生成された3つの段階的検索式の中から、検索条件を1つだけ含む段階的検索式「%Network[id=r004]」(「最初の段階の段階的検索式」とする)を取出す。そして、検索処理部12は、取出した段階的検索式「%Network[id=r004]」に基づく検索処理を行い、検索結果として、CI200aに関する情報を得る(図1参照)。CI200aに関する情報には、CI200aの種別「Network」が含まれる。
続いて、アクセス可否決定部15は、検索結果として得られたCI200aのid「r004」がユーザAのユーザ情報「engineer01」と関連付けてコアCI管理テーブル131に記憶されているか否かを判定する。そして、図5に示すように、CI200aのid「r004」がユーザ情報「engineer01」と関連付けて記憶されている場合、アクセス可否決定部15は、段階的検索式「%Network[id=r004]」に関して、ユーザAはアクセス可能であると判定する。
続いて、検索処理部12は、3つの段階的検索式の中から、検索条件を2つ含んだ段階的検索式「%Network[id=r004]/&Connected TO」を取出し、検索処理を行う。そして、検索処理部12は、検索結果として、CI200aにつながる、id「007」、「008」、「009」を有する3つのリレーションに関する情報を得る(図1参照)。
続いて、アクセス可否決定部15は、CI200aの種別「Network」と、id「007」、「008」、「009」を有する3つのリレーションの種別「Connected To」との組合せが、ユーザAのユーザ情報「engineer01」と関連付けて種別組合せ管理テーブル132に記憶されているか否かを判定する。そして、図6に示すように、CI種別とリレーション種別の組合せ「Network、Connected TO」がユーザ情報「engineer01」と関連付けて種別組合せ管理テーブル132に記憶されている場合、アクセス可否決定部15は、段階的検索式「%Network[id=r004]/&Connected TO」に関して、ユーザAはアクセス可能であると判定する。また、アクセス可否決定部15は、アクセス可能であると判定した上記3つのリレーションによりCI200aと結ばれるCI200b〜200dのidをアクセス可能要素記憶部14にユーザ情報「engineer01」と関連付けて記憶する。
続いて、検索処理部12は、段階的検索式生成部11により生成された3つの段階的検索式の中から、検索条件を3つ含んだ段階的検索式「%Network[id=r004]/&Connected TO/%*」(最後の段階の段階的検索式とする)を取出す。そして、検索処理部12は、取出した段階的検索式に基づく検索処理を行い、検索結果として、CI200b〜200dに関する情報を得る(図1参照)。
続いて、アクセス可否決定部15は、検索結果として得られたCI200b〜200dのid「r001」、「r002」、「r003」がユーザAのユーザ情報「engineer01」と関連付けてアクセス可能要素記憶部14に記憶されているか否かを判定する。そして、CI200b〜200dのid「r001」、「r002」、「r003」がユーザ情報「engineer01」と関連付けてアクセス可能要素記憶部14に記憶されている場合、アクセス可否決定部15は、最後の段階の段階的検索式「%Network[id=r004]/&Connected TO/%*」に関して、ユーザAはアクセス可能であると判定する。
そして、最後の段階の段階的検索式(すなわち、ユーザAからの検索要求に含まれる検索式)に関してアクセス可能であると判定した場合、結果提示部16は、検索結果として、id「r001」、「r002」、「r003」を有するCI200b〜200dに関する情報がユーザAに提示される。
次に、本実施例にかかるFCMDBの具体的動作について図面を参照して説明する。図10は、本実施例にかかるアクセス処理部の処理手順を示すフローチャートである。なお、図10においては、FCMDB1が実行する処理手順のうち、アクセス制御に関する処理手順のみを示す。
なお、以下では、上述した具体例と同様、ユーザ情報「engineer01」を割り当てられたユーザAが、検索式「%Network[id=r004]/&Connected TO/%*」を含む検索要求を行った場合を例として説明する。ここで、図10に示す処理を実行する場合には、「n」および「t」の2つの情報が設定される。これら「n」および「t」は、後述するリレーションアクセス可否決定処理において用いられる情報であり、処理開始時においては、n=0、t=nullに設定されている。
ユーザAの使用するユーザ端末2から構成情報の検索要求を受けると、図10に示すように、段階的検索式生成部11は、検索要求に含まれる検索式に基づき、段階的検索式を生成する(ステップS101)。すなわち、段階的検索式生成部11は、検索式「%Network[id=r004]/&Connected TO/%*」に基づき、「%Network[id=r004]」、「%Network[id=r004]/&Connected TO」および「%Network[id=r004]/&Connected TO/%*」で示される3つの段階的検索式を生成する。
続いて、検索処理部12は、ステップS101において生成した段階的検索式を段階順に1つ取出し(ステップS102)、取出した段階的検索式に基づき、構成情報記憶部20に記憶された構成情報の検索を行う(ステップS103)。すなわち、検索処理部12は、先ず、上記3つの段階的検索式のうち、最初の段階である段階的検索式「%Network[id=r004]」に基づき検索処理を行う。
続いて、アクセス制御部10は、検索結果が全てCIであるか否かを判定する(ステップS104)。この処理において、検索結果が全てCIであると判定すると(ステップS104肯定)、アクセス制御部10は、CIアクセス可否決定処理へ移行する(ステップS105)。例えば、段階的検索式「%Network[id=r004]」に基づき検索処理を行い、検索結果としてCI200aに関する情報を得た場合、アクセス制御部10は、検索結果が全てCIであると判定し、CIアクセス可否決定処理を実行する。CIアクセス可否決定処理は、ステップS103において検出されたCIのアクセス可否を決定する処理である。CIアクセス可否決定処理は、図11に示す処理であり、後述する。
一方、ステップS104において、検索結果が全てCIであると判定しないとき(ステップS104否定)、アクセス制御部10は、検索結果が全てリレーションであるか否かを判定する(ステップS106)。この処理において、検索結果が全てリレーションであると判定すると(ステップS106肯定)、アクセス制御部10は、リレーションアクセス可否決定処理を行う(ステップS107)。
例えば、段階的検索式「%Network[id=r004]/&Connected TO」に基づき検索処理を行い、検索結果として、それぞれid「007」、「008」、「009」を有するリレーションに関する情報を得たとする。かかる場合、アクセス制御部10は、検索結果が全てリレーションであると判定し、リレーションアクセス可否決定処理を実行する。リレーションアクセス可否決定処理は、ステップS103において検出されたリレーションのアクセス可否を決定する処理である。リレーションアクセス可否決定処理は、図12に示す処理であり、後述する。
ステップS105、S107の処理を終えたとき、アクセス制御部10は、許可フラグがセットされているか否かを判定する(ステップS108)。許可フラグは、後述するCIアクセス可否決定処理またはリレーションアクセス可否決定処理においてセットされるフラグである。この処理において、許可フラグがセットされていない場合(ステップS108否定)、すなわち拒否フラグがセットされている場合、あるいは、ステップS106において検索結果が全てリレーションであると判定しないとき(ステップS106否定)、アクセス可否決定部15は、ユーザAが検索結果に対してアクセス不可能であると判定する(ステップS109)。そして、結果提示部16は、エラー結果として、ユーザAにアクセス権がない旨の通知をインターネット等のネットワークを介してユーザ端末2に送信する(ステップS110)。
一方、ステップS108において許可フラグがセットされていると判定した場合(ステップS108肯定)、アクセス制御部10は、ステップS101において生成した全ての段階的検索式について処理済みか否かを判定する(ステップS111)。この処理において全ての段階的検索式について処理済みでないとき(ステップS111否定)、アクセス制御部10は、処理をステップS102へ移行する。
一方、全ての段階的検索式について処理済みであると判定すると(ステップS111肯定)、アクセス可否決定部15は、ユーザAが、検索結果に対してアクセス可能である、すなわちアクセス権があると判定する(ステップS112)。そして、結果提示部16は、検索処理部12による検索結果をネットワークを介してユーザ端末2に送信する(ステップS113)。ステップS110、S113の処理を終えたとき、アクセス制御部10は、アクセス制御に関する処理手順のみを示す。
続いて、ステップS105に示すCIアクセス可否決定処理について、図11を参照して説明する。図11は、CIアクセス可否決定処理の処理手順を示すフローチャートである。
図11に示すように、CIアクセス可否決定処理を開始すると、アクセス可否決定部15は、検索結果として得られたCIのidがユーザAのユーザ情報と関連付けてアクセス可能要素記憶部14に記憶されているか否かを判定する(ステップS201)。この処理において、検索結果として得られたCIのidがユーザAのユーザ情報と関連付けてアクセス可能要素記憶部14に記憶されていると判定すると(ステップS201肯定)、アクセス可否決定部15は、許可フラグをセットする(ステップS202)。
一方、検索結果として得られたCIのidがユーザAのユーザ情報と関連付けてアクセス可能要素記憶部14に記憶されていないとき(ステップS201否定)、アクセス可否決定部15は、当該CIのidがユーザAのユーザ情報と関連付けてコアCI管理テーブル131に記憶されているか否かを判定する(ステップS203)。この処理において、検索結果として得られたCIのidがユーザAのユーザ情報と関連付けてアクセス可能要素記憶部14に記憶されていると判定すると(ステップS203肯定)、アクセス可否決定部15は、許可フラグをセットする(ステップS204)。
続いて、アクセス可否決定部15は、検索結果として得られたCIのidをアクセス可能要素記憶部14に記憶する(ステップS205)。続いて、アクセス可否決定部15は、検索結果として得られたCIの種別が複数存在するか否かを判定する(ステップS206)。すなわち、アクセス可否決定部15は、検索結果として得られたCIが複数存在する場合に、それらCIの種別が異なるか否かを判定する。
この処理において、検索結果として得られたCIの種別が複数存在しない場合(ステップS206否定)、または、ステップS202の処理を終えたとき、アクセス可否決定部15は、後述するリレーションアクセス可否決定処理において用いるCI種別の情報「t」として、検索処理により得られたCIの種別を設定する(ステップS207)。例えば、検索結果としてCI200aが得られた場合、アクセス可否決定部15は、後述するリレーションアクセス可否決定処理において用いるCI種別の情報「t」として「Network」を設定する。
一方、ステップS206において、検索結果として得られたCIの種別が複数存在すると判定した場合(ステップS206肯定)、アクセス可否決定部15は、検索処理部12による検索処理が最後の段階の段階的検索式に基づく検索処理であったか否かを判定する(ステップS208)。最後の段階の段階的検索式は、ユーザからの検索要求に含まれる検索式と同一であり、本例においては、「%Network[id=r004]/&Connected TO/%*」で示される段階的検索式である。
この処理において、検索処理部12による検索処理が最後の段階の段階的検索式に基づく検索処理ではないとき(ステップS208否定)、あるいは、ステップS203において、検索結果として得られたCIのidがユーザAのユーザ情報と関連付けてアクセス可能要素記憶部14に記憶されていないとき(ステップS203否定)、アクセス可否決定部15は、拒否フラグをセットする(ステップS209)。
ステップS207、S209の処理を終えたとき、あるいは、ステップS208において、検索処理部12による検索処理が最後の段階の段階的検索式に基づく検索処理であったと判定した場合(ステップS208肯定)、アクセス可否決定部15は、CIアクセス可否決定処理を終了する。
続いて、ステップS107におけるリレーションアクセス可否決定処理について図12を参照して説明する。図12は、リレーションアクセス可否決定処理の処理手順を示すフローチャートである。
図12に示すように、リレーションアクセス可否決定処理を開始すると、アクセス可否決定部15は、n=n+1とする(ステップS301)。例えば、nが初期設定値「0」である場合、アクセス可否決定部15は、nを「1」とする。
続いて、アクセス可否決定部15は、検索結果として得られたリレーションのidがユーザAのユーザ情報と関連付けてアクセス可能要素記憶部14に記憶されているか否かを判定する(ステップS302)。この処理において、検索結果として得られたリレーションのidがユーザAのユーザ情報と関連付けてアクセス可能要素記憶部14に記憶されていると判定すると(ステップS302肯定)、アクセス可否決定部15は、許可フラグをセットする(ステップS303)。
一方、検索結果として得られたリレーションのidがユーザAのユーザ情報と関連付けてアクセス可能要素記憶部14に記憶されていないとする(ステップS302否定)。かかる場合、アクセス可否決定部15は、検索結果として得られたリレーションの種別と、ステップS207において設定した「t」(例えば、段階的検索式「%Network[id=r004]」の検索結果として得られたCIの種別)との組合せが、ユーザAのユーザ情報と関連付けて種別組合せ管理テーブル132に記憶されているか否かを判定する(ステップS304)。この処理において、検索結果として得られたリレーションの種別と「t」との組合せが、種別組合せ管理テーブル132に記憶されている場合(ステップS304肯定)、アクセス可否決定部15は、処理をステップS305へ移行する。
ステップS305において、アクセス可否決定部15は、種別組合せ管理テーブル132に記憶される、検索結果として得られたリレーションの種別と「t」との組合せと同じ組合せに関連付けられた適用段数がn以下であるか否かを判定する。この処理において、適用段数がn以下ではないと(ステップS305否定)、あるいは、ステップS304において、検索結果として得られたリレーションの種別と「t」との組合せが種別組合せ管理テーブル132に記憶されていない場合(ステップS304否定)、アクセス可否決定部15は、拒否フラグをセットする(ステップS306)。
一方、ステップS305において、適用段数がn以下であると判定すると(ステップS305肯定)、アクセス可否決定部15は、許可フラグをセットし(ステップS307)、検索結果として得られたリレーションのidをアクセス可能要素記憶部14に記憶する(ステップS308)。
そして、アクセス可否決定部15は、今回の検索結果により得られたリレーションによって、前段階の段階的検索式に基づき得られた検索結果のCIと結ばれるCIのidをアクセス可能要素記憶部14に記憶する(ステップS309)。例えば、段階的検索式「%Network[id=r004]」に基づく検索結果としてCI200aの情報が得られた場合、次の段階の段階的検索式「%Network[id=r004]/&Connected TO/」に基づく検索結果としてid「007」、「008」、「009」を有するリレーションによりそれぞれCI200aと結ばれるCI200b〜200dのidをアクセス可能要素記憶部14に記憶する。
ステップS303、S306、S309の処理を終えたとき、アクセス可否決定部15は、リレーションアクセス可否決定処理を終了する。
上述してきたように、本実施例では、ユーザごとに設定されるアクセス制御ルールとして、コアCIをユーザ情報と関連付けて記憶するとともに、CI種別とリレーション種別との組合せをユーザ情報と関連付けて記憶し、あるユーザ情報と関連付けられたコアCIの種別と、当該コアCIと他のCIとの関係を示すリレーションの種別との組合せが、当該ユーザ情報と関連付けて記憶されている場合、当該他のCIをアクセス可能と判定する。
これにより、システム管理者等の作業者は、アクセス権の設定作業として、アクセス制御ルールの設定作業を行うだけでよくなり、例えば、構成情報記憶部20に記憶されているCIやリレーションの1つ1つに対してアクセス権を設定するといった作業を行う必要がなくなる。すなわち、本実施例によれば、ITシステムの構成情報に対するアクセス権の設定を効率的に行うことができる。
また、本実施例では、アクセス可否決定部15によりアクセス可能と判定された構成情報をユーザ情報と関連付けてアクセス可能要素記憶部14に記憶し、アクセス可能要素記憶部14に記憶された構成情報を、当該構成情報と関連付けられたユーザ情報を有するユーザがアクセス可能な構成情報であると判定する。
これにより、アクセス可能要素記憶部14に記憶されている構成情報については、コアCI管理テーブル131や種別組合せ管理テーブル132を参照することなくアクセス可能と判定でき、アクセス制御処理の処理手順を簡略化することができる。
また、本実施例において、アクセス可否決定部15は、あるユーザ情報と関連付けてアクセス可能要素記憶部14に記憶されたCIの種別と、当該CIと他のCIとの関係を示すリレーションの種別との組合せが、当該ユーザ情報と関連付けて種別組合せ管理テーブル132に記憶されている場合には、当該他のCIをアクセス可能と判定する。
このように、アクセス可否決定部15によりアクセス可能と判定されたCIをコアCIとして用いることにより、アクセス権の設定をより効率的に行うことができる。
また、本実施例において、アクセス可否決定部15は、あるユーザから検索要求を受けた場合、当該ユーザのユーザ情報と関連付けてアクセス可能要素記憶部14に記憶されたCIの種別と、当該CIと他のCIとの関係を示すリレーションの種別との組合せが、当該ユーザのユーザ情報と関連付けて記憶されている場合であっても、検索の起点となるCIから当該他のCIに至るまでに辿るリレーションの数が、種別組合せ管理テーブル132に記憶された適用段数よりも大きい場合は、当該他のCIをアクセス不可能と判定する。
これにより、種別組合せ管理テーブル132に記憶されたCI種別とリレーション種別の組合せの適用を必要に応じて制限できるため、より詳細なアクセス権の設定が可能となる。
以上、本発明の実施の形態のいくつかを図面に基づいて詳細に説明したが、これらは例示であり、発明の開示の欄に記載の態様を始めとして、当業者の知識に基づいて種々の変形、改良を施した他の形態で本発明を実施することが可能である。
例えば、本実施例では、検索処理部12の検索処理により得られたCIの種別が複数存在し、当該検索処理が最後の段階の段階的検索式に基づく処理はでない場合(図11のステップS208否定)、「t」が一意に決められないため、拒否フラグをセットすることとした。すなわち、かかる場合、ユーザには、検索結果が提示されないことになる。そこで、かかる場合であっても、ユーザに検索結果を提示できるようにしてもよい。
例えば、ユーザから検索式「%Network[id=r006]/&*/%*/&Connected TO/%*」(id「r006」を有するネットワークと何らかの関係を持つCIと接続するCIに関する情報を要求する検索式)を含んだ検索要求を受けたとする。また、かかる場合において、段階的検索式「%Network[id=r006]/&*/%*」に基づく検索結果として、id「u001」を有するCI(種別は「User」)、id「v002」を有するCI(種別は「Service」)、id「r005」を有するCI(種別は「Server」)を得たとする(図1参照)。
このような場合、先ず、アクセス可否決定部15は、検索式「entity_id(u001)/&Connected TO」、「entity_id(v002)/&Connected TO」および「entity_id(r005)/&Connected TO」に基づく検索処理をそれぞれ行う。そして、検索処理部12は、上記各検索式の結果として得られたCI(あるいはリレーション)のidを用い、検索式「entity_id(得られた検索結果のid)/%*」に基づく検索を行う。
このように、検索処理部12の検索結果として得られたCIの中に、異なるCI種別を有するCIが含まれる場合、アクセス制御部10は、CI種別ごとに、図10〜12に示す処理を実行する。そして、全てにおいて許可フラグがセットされた場合、結果提示部16は、最終的な検索結果をユーザに提示する。これにより、検索結果に複数のCI種別が含まれる場合であっても、ユーザに検索結果を提示することができる。

Claims (8)

  1. 複数の構成要素と、構成要素間の関係を示す関係要素とを構成情報として記憶する情報管理装置へのアクセスを制御するアクセス制御装置であって、
    ユーザごとに設定されるアクセス制御ルールとして、ユーザを識別するユーザ情報と関連付けて所定の構成要素を記憶するとともに、構成要素の種別と関係要素の種別との組合せを前記ユーザ情報と関連付けて記憶するルール記憶手段と、
    ユーザ情報と関連付けて前記ルール記憶手段に記憶されている構成要素の種別と、当該構成要素と他の構成要素との関係を示す関係要素の種別との組合せが、当該ユーザ情報と関連付けて前記ルール記憶手段に記憶されている場合、当該他の構成要素をアクセス可能と判定するアクセス可否決定手段と、
    を備えたことを特徴とするアクセス制御装置。
  2. 前記アクセス可否決定手段によりアクセス可能と判定された構成要素を、前記ユーザのユーザ情報と関連付けて記憶するアクセス可能要素記憶手段を備え、
    前記アクセス可否決定手段は、前記アクセス可能要素記憶手段に記憶されている構成要素を、当該構成要素と関連付けられたユーザ情報を有するユーザがアクセス可能な構成要素と判定する
    ことを特徴とする請求項1に記載のアクセス制御装置。
  3. 前記アクセス可否決定手段は、前記アクセス可能要素記憶手段に記憶された構成要素の種別と、当該構成要素と他の構成要素との関係を示す関係要素の種別との組合せが、前記ユーザのユーザ情報と関連付けて前記ルール記憶手段に記憶されている場合には、当該他の構成要素をアクセス可能と判定することを特徴とする請求項2に記載のアクセス制御装置。
  4. 前記ルール記憶手段は、構成要素の種別および関係要素の種別の組合せと、当該組合せをアクセス制御ルールとして適用可能な範囲を示す適用段数とを前記ユーザ情報と関連付けて記憶し、
    前記アクセス可否決定手段は、前記ユーザからの構成情報の検索要求として、検索の起点となる構成要素を指定するとともに、当該構成要素を起点として複数の関係要素および構成要素をどの順序で辿るかを指定する検索式を取得した場合、前記アクセス可能要素記憶手段に記憶された構成要素の種別と、当該構成要素と他の構成要素との関係を示す関係要素の種別との組合せが、前記ルール記憶手段に前記ユーザのユーザ情報と関連付けて記憶されている場合であっても、前記起点となる構成要素から前記他の構成要素に至るまでに辿る関係要素の数が、前記適用段数よりも大きい場合は、当該他の構成要素をアクセス不可能と判定する
    ことを特徴とする請求項3に記載のアクセス制御装置。
  5. 複数の構成要素と、構成要素間の関係を示す関係要素とを構成情報として記憶する構成情報記憶手段と、
    ユーザごとに設定されるアクセス制御ルールとして、ユーザを識別するユーザ情報と関連付けて所定の構成要素を記憶するとともに、構成要素の種別と関係要素の種別との組合せを前記ユーザ情報と関連付けて記憶するルール記憶手段と、
    ユーザ情報と関連付けて前記ルール記憶手段に記憶されている構成要素の種別と、当該構成要素と他の構成要素との関係を示す関係要素の種別との組合せが、当該ユーザ情報と関連付けて前記ルール記憶手段に記憶されている場合、当該他の構成要素をアクセス可能と判定するアクセス可否決定手段と、
    を備えたことを特徴とする情報管理装置。
  6. 前記アクセス可否決定手段によりアクセス可能と判定された構成要素を、前記ユーザのユーザ情報と関連付けて記憶するアクセス可能要素記憶手段を備え、
    前記アクセス可否決定手段は、前記アクセス可能要素記憶手段に記憶されている構成要素を、当該構成要素と関連付けられたユーザ情報を有するユーザがアクセス可能な構成要素と判定する
    ことを特徴とする請求項5に記載の情報管理装置。
  7. 前記アクセス可否決定手段は、前記アクセス可能要素記憶手段に記憶された構成要素の種別と、当該構成要素と他の構成要素との関係を示す関係要素の種別との組合せが、前記ユーザのユーザ情報と関連付けて前記ルール記憶手段に記憶されている場合には、当該他の構成要素をアクセス可能と判定することを特徴とする請求項6に記載の情報管理装置。
  8. 複数の構成要素と、構成要素間の関係を示す関係要素とを構成情報として記憶する情報管理装置へのアクセスを制御するアクセス制御方法であって、
    ユーザごとに設定されるアクセス制御ルールとして、ユーザを識別するユーザ情報と関連付けてルール記憶部に所定の構成要素を記憶するとともに、構成要素の種別と関係要素の種別との組合せを前記ユーザ情報と関連付けて前記ルール記憶部に記憶するルール記憶ステップと、
    ユーザ情報と関連付けて前記ルール記憶部に記憶されている構成要素の種別と、当該構成要素と他の構成要素との関係を示す関係要素の種別との組合せが、当該ユーザ情報と関連付けて前記ルール記憶部に記憶されている場合、当該他の構成要素をアクセス可能と判定するアクセス可否決定ステップと、
    を含んだことを特徴とするアクセス制御方法。
JP2011504693A 2009-03-19 2009-03-19 アクセス制御装置、情報管理装置およびアクセス制御方法 Expired - Fee Related JP5278533B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2009/055520 WO2010106679A1 (ja) 2009-03-19 2009-03-19 アクセス制御装置、情報管理装置およびアクセス制御方法

Publications (2)

Publication Number Publication Date
JPWO2010106679A1 JPWO2010106679A1 (ja) 2012-09-20
JP5278533B2 true JP5278533B2 (ja) 2013-09-04

Family

ID=42739348

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011504693A Expired - Fee Related JP5278533B2 (ja) 2009-03-19 2009-03-19 アクセス制御装置、情報管理装置およびアクセス制御方法

Country Status (4)

Country Link
US (1) US8561132B2 (ja)
JP (1) JP5278533B2 (ja)
GB (1) GB2483568B (ja)
WO (1) WO2010106679A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5623271B2 (ja) * 2010-12-27 2014-11-12 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 情報処理装置、権限管理方法、プログラムおよび記録媒体
JP6755864B2 (ja) * 2014-11-05 2020-09-16 アビニシオ テクノロジー エルエルシー データベースセキュリティ
CN108197480A (zh) * 2017-12-12 2018-06-22 泰康保险集团股份有限公司 访问控制方法、装置及计算机可读存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002304317A (ja) * 2001-04-06 2002-10-18 System Consultant Co Ltd データ管理システム及びデータ管理方法
JP2004021450A (ja) * 2002-06-14 2004-01-22 Fuji Xerox Co Ltd 情報管理システム、情報管理方法及び情報管理プログラム
JP2006221399A (ja) * 2005-02-10 2006-08-24 Yokogawa Electric Corp 分散情報統合方法及びこれを用いたシステム

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4495508B2 (ja) * 2004-04-23 2010-07-07 株式会社日立製作所 計算機システムの構成管理方法および構成管理装置
JP4620784B2 (ja) * 2006-01-27 2011-01-26 インターナショナル・ビジネス・マシーンズ・コーポレーション 現存するitリソース構造を自動的に複製する方法及びシステム
US7904456B2 (en) * 2006-09-01 2011-03-08 Robert John Hennan Security monitoring tool for computer network
US7853675B2 (en) * 2007-03-02 2010-12-14 International Business Machines Corporation Automatically enforcing change control in operations performed by operational management products
US8185550B1 (en) * 2008-10-06 2012-05-22 United Services Automobile Association (Usaa) Systems and methods for event-based provisioning of elevated system privileges
WO2010070700A1 (en) * 2008-12-15 2010-06-24 Hitachi, Ltd. Information processing apparatus validating a storage configuration change and operation method of the same

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002304317A (ja) * 2001-04-06 2002-10-18 System Consultant Co Ltd データ管理システム及びデータ管理方法
JP2004021450A (ja) * 2002-06-14 2004-01-22 Fuji Xerox Co Ltd 情報管理システム、情報管理方法及び情報管理プログラム
JP2006221399A (ja) * 2005-02-10 2006-08-24 Yokogawa Electric Corp 分散情報統合方法及びこれを用いたシステム

Also Published As

Publication number Publication date
WO2010106679A1 (ja) 2010-09-23
JPWO2010106679A1 (ja) 2012-09-20
GB2483568B (en) 2014-06-11
US20120090014A1 (en) 2012-04-12
GB201116133D0 (en) 2011-11-02
GB2483568A (en) 2012-03-14
US8561132B2 (en) 2013-10-15

Similar Documents

Publication Publication Date Title
CN108280367B (zh) 数据操作权限的管理方法、装置、计算设备及存储介质
US10445069B2 (en) System and method for generating an application structure for an application in a computerized organization
US11128465B2 (en) Zero-knowledge identity verification in a distributed computing system
TWI473029B (zh) 可延伸及可程式化之多租戶服務結構
CN109977690A (zh) 一种数据处理方法、装置和介质
JP2009169860A (ja) 構成要素を管理するためのコンピュータ・システム、並びにその方法及びコンピュータ・プログラム
JP2010237898A (ja) ログイン処理装置、ログイン処理方法及びプログラム
JP5146020B2 (ja) 情報処理装置、リソース同定プログラム、リソース同定方法
US9514176B2 (en) Database update notification method
JP2011192238A (ja) 機器管理装置、機器管理システム、情報管理方法、情報管理プログラム、及びそのプログラムを記録した記録媒体
JP5991386B2 (ja) ネットワークシステム
US20220043927A1 (en) Dynamic monitoring of movement of data
US20180157699A1 (en) Identifying schema changes in a data streaming system
JP5278533B2 (ja) アクセス制御装置、情報管理装置およびアクセス制御方法
JP2015184991A (ja) リソース管理装置、リソース管理方法およびリソース管理プログラム
EP2887703A1 (en) Application protection in a mobile telecommunication device
CN110611591B (zh) 一种网络拓扑建立方法及装置
JP5239072B2 (ja) 構成要素を管理するためのコンピュータ・システム、並びにその方法及びコンピュータ・プログラム
US9621424B2 (en) Providing a common interface for accessing and presenting component configuration settings
JP6114028B2 (ja) 情報管理プログラム、情報管理方法及び情報管理装置
US20230239348A1 (en) Decentralized information management database system
JP2004054779A (ja) アクセス権管理システム
CN114489772A (zh) 工作流执行方法及装置、存储介质、设备
CN110493326B (zh) 基于zookeeper管理集群配置文件的系统和方法
JP5402066B2 (ja) 情報検索システム、情報検索装置、情報検索プログラム及び情報検索方法

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130423

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130506

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees