JP5509941B2 - 情報管理装置および方法 - Google Patents
情報管理装置および方法 Download PDFInfo
- Publication number
- JP5509941B2 JP5509941B2 JP2010052914A JP2010052914A JP5509941B2 JP 5509941 B2 JP5509941 B2 JP 5509941B2 JP 2010052914 A JP2010052914 A JP 2010052914A JP 2010052914 A JP2010052914 A JP 2010052914A JP 5509941 B2 JP5509941 B2 JP 5509941B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- user
- inconsistency
- role
- account
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Storage Device Security (AREA)
Description
図2に、アカウント管理情報を説明する図を示す。図2に示すように、アカウント管理情報200には、ユーザ毎に、業務システムで使用するアカウントが定義されている。例えば、ユーザAには、業務システム1で使用するアカウントAが定義されている。
以上の構成において、前記不整合是正案作成部は、前記ユーザ情報を変更して前記複数のロールのいずれかと前記管理情報の不整合が検出された利用者との関係を新たに規定することで前記不整合を是正する不整合是正案を複数作成する場合には、前記管理情報の不整合が検出された利用者以外の利用者との関係が前記ユーザ情報において規定されているロールのうちで利用者の数がより多いロールについての不整合是正案から順に出力する。
図4に示す情報管理装置400は、定義情報記憶部410と、管理情報生成部420と、不整合検出部430と、不整合是正案作成部440と、不整合是正案実行部450と、を備える情報処理装置である。情報管理装置400は、第1の情報処理システム1〜nそれぞれとネットワークまたは専用線などを介して通信可能に接続されている。また、情報管理装置400は、第2の情報処理システムともネットワークまたは専用線などを介して通信可能に接続することができる。
上述のように、不整合検出部430が検出した第1の管理情報421と第2の管理情報460との不整合について、不整合是正案作成部440は、不整合是正案441を作成する。利用者等は、不整合是正案441の中から必要な不整合是正案を選択して不整合是正案実行部450に実行させることにより、第1の定義情報411を変更し、第1の管理情報421と第2の管理情報460との不整合を是正することができる。
図5に示す情報処理システム500は、業務システム1〜4と、情報管理装置501と、を備える。業務システム1〜4と、情報管理装置501と、はネットワークまたは専用線などで通信可能に接続されている。
情報管理装置501は、業務システム1〜4の少なくとも1つを利用するユーザと業務システムとの関係をロールを用いて定義する定義情報502を備える。そして、情報管理装置501は、定義情報502にしたがって、ユーザのアカウントを含むアカウント管理情報503を生成し保持する。また、情報管理装置501は、アカウント管理情報503に登録されているアカウントのうち各業務システムに必要なアカウントの情報を、業務システム1〜4それぞれに配信する。このとき配信されるアカウントの情報を「アカウント配信情報」という。
図6に示す定義情報502は、ユーザ情報と、ロール情報と、業務システム情報と、を備える。これらユーザ情報、ロール情報、および業務システム情報は、Identityと称する特徴を示す情報の一例である。
図7に示すアカウント管理情報503は、ユーザ毎に、業務システムのアカウントを備える。アカウント管理情報503は、情報管理装置501が定義情報502にしたがって生成する情報である。
ここで、ユーザに割当てるアカウント、例えば、ユーザAに割当てるアカウントAやユーザBに割当てるアカウントBなどは、情報管理装置501に予め登録しておいてもよいし、任意の文字列を用いて自動生成してもよい。
図8に示す業務システム5は、所定のアプリケーションを実行することにより業務を遂行する情報処理装置である。業務システム5は、図5に示した業務システム1〜4と同様に、アカウント情報を備える。
図9に示す更新定義情報900は、図6に示した定義情報502に変更を加えた定義情報である。図9には、ロール情報の一部と業務システム情報の一部に変更を加えた場合の例を示している。
ステップS1001において、情報管理装置501は、情報管理装置501に備わる入力装置を介して入力される既存アカウント情報800を取得する。また、情報管理装置501は、必要に応じて情報管理装置501に備わる入力装置を介して入力される更新定義情報900を取得する。
ステップS1201において、情報管理装置501は、不整合是正案を格納する候補リストを作成し、何も登録されていない状態に候補リストを初期化する。なお、候補リストは、1または2以上の不整合是正案を格納する一定サイズの記憶領域についての情報を意味するが、リスト構造などを用いて実現してもよい。
図13は、本実施例に係る「不整合アカウントを持つユーザに割当てられているロール」を選択する処理(ステップS1202)を示すフローチャートである。
以上の処理が終了すると、情報管理装置501は、不整合アカウントを持つユーザに割当てられているロールを選択する処理を終了する(ステップS1305)。
ステップS1401において、情報管理装置501は、既存アカウント情報800から不整合アカウントを除くアカウントを持つユーザをリストアップする。例えば、図8に示した既存アカウント情報800と図9に示した更新定義情報900を使用した場合、ステップS1003の処理で不整合と検出されたアカウント以外のアカウントAおよびCそれぞれのユーザAおよびCがリストアップされる。
図15では、図9に示したように、業務システム5を定義情報502の業務システム情報に追加し、ロール1とロール4に業務システム5を対応付ける変更をロール情報に対して行なった場合に情報管理装置501が作成する候補リストの表示例を示している。
図16に示す情報管理装置501は、CPU1601、メモリ1602、入力装置1603、出力装置1604、外部記録装置1605、媒体駆動装置1606および、ネットワーク接続装置1608を備える。そして、各装置はバスに接続されて相互にデータの受け渡しを行なうことが可能となっている。
メモリ1602は、プログラムを実行するためにデータ等を記憶する装置である。メモリ1602には、例えば、RAM(Random Access Memory)などの揮発メモリを使用することができる。
出力装置1604は、データ等を表示装置に出力する装置である。なお、出力装置1604には、ディスプレイ装置などの表示装置も含むことができる。
ネットワーク接続装置1608は、ネットワーク1609に接続する装置である。
(付記1)
1または2以上の情報処理システムで使用される利用者の識別情報を管理する情報管理装置において、
任意の役割を定義した役割情報と、前記役割情報に対応付けられた第1の情報処理システムと、前記役割情報に割当てられた前記利用者と、を含む第1の定義情報を記憶する定義情報記憶部と、
前記定義情報記憶部から前記第1の定義情報を読み出し、前記第1の定義情報に含まれる前記役割情報に基づいて、前記利用者に対応付けられた前記第1の情報処理システムにおける前記識別情報を含む第1の管理情報を生成する管理情報生成部と、
前記第1の管理情報と、前記第1の情報処理システムと異なる第2の情報処理システムで使用される利用者の識別情報を含む第2の管理情報と、の不整合を検出する不整合検出部と、
前記第1の定義情報において、前記役割情報と、前記第2の情報処理システムまたは前記利用者と、の関係を変更することにより前記不整合を是正する1または2以上の不整合是正案を作成する不整合是正案作成部と、
前記不整合是正案を実行して前記不整合を是正する不整合是正案実行部と、
を備える情報管理装置。
(付記2)
前記管理情報生成部は、利用者からの指示にしたがって、前記役割情報に対して前記第2の情報処理システムとの対応付けを追加した第2の定義情報に基づいて、前記利用者に対応付けられた前記第1または第2の情報処理システムにおける前記識別情報を含む第3の管理情報を生成し、
前記不整合検出部は、前記第2の管理情報と前記第3の管理情報との不整合を検出する、付記1に記載の情報管理装置。
(付記3)
前記不整合是正案作成部は、前記不整合検出部が検出した不整合識別情報に対応付けられた前記利用者に割当てられた前記役割情報に対して、前記第2の情報処理システムを対応付ける不整合是正案を作成する、付記1に記載の情報管理装置。
(付記4)
前記不整合是正案作成部は、前記不整合検出部が検出した不整合識別情報に対応付けられた前記利用者に割当てられた前記役割情報が複数ある場合には、不整合識別情報に対応付けられた前記利用者に最も多く割当てられている前記役割情報から順に、前記新たな情報処理システムを対応付ける不整合是正案を作成する、付記3に記載の情報管理装置。
(付記5)
前記不整合是正案作成部は、前記不整合検出部が検出した不整合識別情報に対応付けられた前記利用者に対して、前記第2の情報処理システムに対応付けられた前記役割情報を割当てる不整合是正案を作成する、付記1に記載の情報管理装置。
(付記6)
前記不整合是正案作成部は、前記第2の情報処理システムに対応付けられた前記役割情報が複数ある場合には、前記不整合検出部が検出した不整合識別情報以外の識別情報に対応付けられた前記利用者に最も多く割当てられている前記役割情報を、前記不整合検出部が検出した不整合識別情報に対応付けられた前記利用者に対して割当てる不整合是正案を作成する、付記5に記載の情報管理装置。
(付記7)
前記不整合是正案作成部は、前記第1の管理情報に、新たな役割情報を追加し、前記新たな役割情報に前記第2の情報処理システムを対応付けるとともに、前記新たな役割情報に前記不整合検出部が検出した不整合識別情報に対応付けられた前記利用者を割当てる不整合是正案を作成する、付記1に記載の情報管理装置。
(付記8)
前記不整合是正案作成部は、前記第2の情報処理システムに備わる前記第2の管理情報から、前記不整合検出部が検出した不整合識別情報を削除する不整合是正案を作成する、付記1に記載の情報管理装置。
(付記9)
前記不整合是正案作成部は、
前記不整合検出部が検出した不整合識別情報に対応付けられた前記利用者に割当てられた前記役割情報に対して、前記第2の情報処理システムを対応付ける不整合是正案と、
前記不整合検出部が検出した不整合識別情報に対応付けられた前記利用者に対して、前記第2の情報処理システムに対応付けられた前記役割情報を割当てる不整合是正案と、
前記第1の管理情報に、新たな役割情報を追加し、前記新たな役割情報に前記第2の情報処理システムを対応付けるとともに、前記新たな役割情報に前記不整合検出部が検出した不整合識別情報に対応付けられた前記利用者を割当てる不整合是正案と、
前記第2の情報処理システムに備わる前記第2の管理情報から、前記不整合検出部が検出した不整合識別情報を削除する不整合是正案と、
のうち少なくとも1つを作成する、付記1に記載の情報管理装置。(
(付記10)
1または2以上の情報処理システムで使用される利用者の識別情報を管理する方法において、
任意の役割を定義した役割情報と、前記役割情報に対応付けられた第1の情報処理システムと、前記役割情報に割当てられた前記利用者と、を含む第1の定義情報を記憶する定義情報記憶部から前記第1の定義情報を読み出し、前記第1の定義情報に含まれる前記役割情報に基づいて、前記利用者に対応付けられた前記第1の情報処理システムにおける前記識別情報を含む第1の管理情報を生成する管理情報生成処理と、
前記第1の管理情報と、前記第1の情報処理システムと異なる第2の情報処理システムで使用される利用者の識別情報を含む第2の管理情報と、の不整合を検出する不整合検出処理と、
前記第1の定義情報において、前記役割情報と、前記第2の情報処理システムまたは前記利用者と、の関係を変更することにより前記不整合を是正する1または2以上の不整合是正案を作成する不整合是正案作成処理と、
前記不整合是正案を実行して前記不整合を是正する不整合是正案実行処理と、
を行う方法。
(付記11)
前記管理情報生成処理は、利用者からの指示にしたがって、前記役割情報に対して前記第2の情報処理システムとの対応付けを追加した第2の定義情報に基づいて、前記利用者に対応付けられた前記第1または第2の情報処理システムにおける前記識別情報を含む第3の管理情報を生成し、
前記不整合検出処理は、前記第2の管理情報と前記第3の管理情報との不整合を検出する、付記10に記載の方法。
(付記12)
前記不整合是正案作成処理は、前記不整合検出処理で検出した不整合識別情報に対応付けられた前記利用者に割当てられた前記役割情報に対して、前記第2の情報処理システムを対応付ける不整合是正案を作成する、付記10に記載の方法。
(付記13)
前記不整合是正案作成処理は、前記不整合検出処理で検出した不整合識別情報に対応付けられた前記利用者に対して、前記第2の情報処理システムに対応付けられた前記役割情報を割当てる不整合是正案を作成する、付記10に記載の方法。
(付記14)
前記不整合是正案作成処理は、前記第1の管理情報に、新たな役割情報を追加し、前記新たな役割情報に前記第2の情報処理システムを対応付けるとともに、前記新たな役割情報に前記不整合検出処理で検出した不整合識別情報に対応付けられた前記利用者を割当てる不整合是正案を作成する、付記10に記載の方法。
(付記15)
前記不整合是正案作成処理は、前記第2の情報処理システムに備わる前記第2の管理情報から、前記不整合検出処理で検出した不整合識別情報を削除する不整合是正案を作成する、付記10に記載の方法。
(付記16)
前記不整合是正案作成処理は、
前記不整合検出処理で検出した不整合識別情報に対応付けられた前記利用者に割当てられた前記役割情報に対して、前記第2の情報処理システムを対応付ける不整合是正案と、
前記不整合検出処理で検出した不整合識別情報に対応付けられた前記利用者に対して、前記第2の情報処理システムに対応付けられた前記役割情報を割当てる不整合是正案と、
前記第1の管理情報に、新たな役割情報を追加し、前記新たな役割情報に前記第2の情報処理システムを対応付けるとともに、前記新たな役割情報に前記不整合検出処理で検出した不整合識別情報に対応付けられた前記利用者を割当てる不整合是正案と、
前記第2の情報処理システムに備わる前記第2の管理情報から、前記不整合検出処理で検出した不整合識別情報を削除する不整合是正案と、
のうち少なくとも1つを作成する、付記10に記載の方法。
410 第1の定義情報記憶部
420 管理情報生成部
430 不整合検出部
440 不整合是正案作成部
450 不整合是正案実行部
460 第2の管理情報
501 情報管理装置
502 定義情報
503 アカウント管理情報
Claims (4)
- 各利用者の役割に対応する複数のロールそれぞれについて、各ロールと対応づけられた処理システムを規定するロール情報と、前記複数のロールと利用者との関係を規定したユーザ情報とを記憶する定義情報記憶部と、
前記ロール情報及び前記ユーザ情報に基づいて、各処理システムにおける各利用者の識別情報を含む、利用者ごとの管理情報を生成する管理情報生成部と、
前記管理情報と新たに管理対象とする処理システムについての利用者の管理情報との不整合を検出する不整合検出部と、
前記不整合検出部により検出された不整合を是正する不整合是正案を作成して出力する不整合是正案作成部と、
前記出力された不整合是正案のうちから選択指示されたものを実行して前記不整合を是正する不整合是正案実行部と、
を備え、
前記不整合是正案作成部は、前記ユーザ情報を変更して前記複数のロールのいずれかと前記管理情報の不整合が検出された利用者との関係を新たに規定することで前記不整合を是正する不整合是正案を複数作成する場合には、前記管理情報の不整合が検出された利用者以外の利用者との関係が前記ユーザ情報において規定されているロールのうちで利用者の数がより多いロールについての不整合是正案からの順で、作成した不整合是正案を出力する、
情報管理装置。 - 前記不整合是正案作成部は、前記ロール情報を変更することで前記不整合を是正する不整合是正案を作成する場合に、前記管理情報の不整合が検出された利用者との関係が前記ユーザ情報で規定されているロールに対して、前記新たに管理対象とする処理システムを対応付ける不整合是正案を作成する、請求項1に記載の情報管理装置。
- 前記不整合是正案作成部は、前記ロール情報及び前記ユーザ情報の両者を変更することで前記不整合を是正する不整合是正案を作成する場合に、前記複数のロールのいずれとも異なる新たなロールと前記新たに管理対象とする処理システムとの対応付けを前記ロール情報において新たに規定すると共に、前記新たなロールと前記管理情報の不整合が検出された利用者との関係を前記ユーザ情報において新たに規定する不整合是正案を作成する、請求項1に記載の情報管理装置。
- 各利用者の役割に対応する複数のロールそれぞれについて、各ロールと対応づけられた処理システムを規定するロール情報と、前記複数のロールと利用者との関係を規定したユーザ情報とに基づいて、各処理システムにおける各利用者の識別情報を含む、利用者ごとの管理情報を生成する管理情報生成処理と、
前記管理情報と新たに管理対象とする処理システムについての利用者の管理情報との不整合を検出する不整合検出処理と、
前記不整合検出処理により検出された不整合を是正する不整合是正案を作成して出力する不整合是正案作成処理と、
前記出力された不整合是正案のうちから選択指示されたものを実行して前記不整合を是正する不整合是正案実行処理と、
を情報管理装置が行い、
前記不整合是正案作成処理は、前記ユーザ情報を変更して前記複数のロールのいずれかと前記管理情報の不整合が検出された利用者との関係を新たに規定することで前記不整合を是正する不整合是正案を複数作成する場合には、前記管理情報の不整合が検出された利用者以外の利用者との関係が前記ユーザ情報において規定されているロールのうちで利用者の数がより多いロールについての不整合是正案からの順で、作成した不整合是正案を出力する、
情報管理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010052914A JP5509941B2 (ja) | 2010-03-10 | 2010-03-10 | 情報管理装置および方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010052914A JP5509941B2 (ja) | 2010-03-10 | 2010-03-10 | 情報管理装置および方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011186891A JP2011186891A (ja) | 2011-09-22 |
JP5509941B2 true JP5509941B2 (ja) | 2014-06-04 |
Family
ID=44793062
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010052914A Expired - Fee Related JP5509941B2 (ja) | 2010-03-10 | 2010-03-10 | 情報管理装置および方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5509941B2 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7215861B2 (ja) * | 2018-09-26 | 2023-01-31 | Nttテクノクロス株式会社 | アカウント管理システム、アカウント管理装置、アカウント管理方法及びプログラム |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0697662B1 (en) * | 1994-08-15 | 2001-05-30 | International Business Machines Corporation | Method and system for advanced role-based access control in distributed and centralized computer systems |
JP3756457B2 (ja) * | 2002-03-19 | 2006-03-15 | 株式会社エヌ・ティ・ティ・データ | アクセス制御付ディレクトリ機能装置及びプログラム |
JP4632446B2 (ja) * | 2006-01-24 | 2011-02-16 | キヤノン株式会社 | 画像処理システム、その管理方法、および制御装置 |
US8381306B2 (en) * | 2006-05-30 | 2013-02-19 | Microsoft Corporation | Translating role-based access control policy to resource authorization policy |
JP2009238191A (ja) * | 2008-03-28 | 2009-10-15 | Mitsubishi Electric Corp | Webアプリケーションシステム |
-
2010
- 2010-03-10 JP JP2010052914A patent/JP5509941B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2011186891A (ja) | 2011-09-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20220159041A1 (en) | Data processing and scanning systems for generating and populating a data inventory | |
US11144670B2 (en) | Data processing systems for identifying and modifying processes that are subject to data subject access requests | |
US10346638B2 (en) | Data processing systems for identifying and modifying processes that are subject to data subject access requests | |
US10346637B2 (en) | Data processing systems for the identification and deletion of personal data in computer systems | |
US10430740B2 (en) | Data processing systems for calculating and communicating cost of fulfilling data subject access requests and related methods | |
US20190138746A1 (en) | Data processing systems for generating and populating a data inventory | |
US20190129902A1 (en) | Data processing systems for generating and populating a data inventory | |
US20190096020A1 (en) | Consent receipt management systems and related methods | |
US20220215125A1 (en) | Viewing, selecting, and triggering a data pipeline to derive a collaborative dataset | |
US10642870B2 (en) | Data processing systems and methods for automatically detecting and documenting privacy-related aspects of computer software | |
US10776514B2 (en) | Data processing systems for the identification and deletion of personal data in computer systems | |
US10776517B2 (en) | Data processing systems for calculating and communicating cost of fulfilling data subject access requests and related methods | |
WO2019028405A1 (en) | DATA PROCESSING SYSTEMS FOR THE IDENTIFICATION AND DELETION OF PERSONAL DATA IN COMPUTER SYSTEMS | |
US10282700B2 (en) | Data processing systems for generating and populating a data inventory | |
JP2018005829A (ja) | 情報処理装置、情報処理方法、プログラム及び情報処理システム | |
JP5509941B2 (ja) | 情報管理装置および方法 | |
US20160266900A1 (en) | Information processing apparatus, work flow creation method, and storage medium | |
US20210303603A1 (en) | Data processing systems for generating and populating a data inventory | |
US11625502B2 (en) | Data processing systems for identifying and modifying processes that are subject to data subject access requests | |
JP5884925B2 (ja) | 管理支援装置、管理支援方法及び管理支援プログラム | |
JP5064337B2 (ja) | ソフトウェア開発管理システム | |
US11138242B2 (en) | Data processing systems and methods for automatically detecting and documenting privacy-related aspects of computer software | |
JP2007257603A (ja) | リスト登録対象情報取得システム、方法、プログラム及び装置 | |
JP6442139B2 (ja) | 作業支援装置、作業支援方法および作業支援プログラム | |
JP6600368B2 (ja) | データ変換装置、データ変換方法およびデータ変換プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130108 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131128 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131203 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140203 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140225 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140310 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5509941 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |