JP5575341B1 - アクセス制御装置、画面生成装置、プログラム、アクセス制御方法及び画面生成方法 - Google Patents

アクセス制御装置、画面生成装置、プログラム、アクセス制御方法及び画面生成方法 Download PDF

Info

Publication number
JP5575341B1
JP5575341B1 JP2014014645A JP2014014645A JP5575341B1 JP 5575341 B1 JP5575341 B1 JP 5575341B1 JP 2014014645 A JP2014014645 A JP 2014014645A JP 2014014645 A JP2014014645 A JP 2014014645A JP 5575341 B1 JP5575341 B1 JP 5575341B1
Authority
JP
Japan
Prior art keywords
computer
access
identification information
information
setting
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014014645A
Other languages
English (en)
Other versions
JP2015141609A (ja
Inventor
登志夫 道具
則行 高橋
Original Assignee
デジタルア−ツ株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by デジタルア−ツ株式会社 filed Critical デジタルア−ツ株式会社
Priority to JP2014014645A priority Critical patent/JP5575341B1/ja
Application granted granted Critical
Publication of JP5575341B1 publication Critical patent/JP5575341B1/ja
Publication of JP2015141609A publication Critical patent/JP2015141609A/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Information Transfer Between Computers (AREA)
  • User Interface Of Digital Computer (AREA)

Abstract

【課題】Webアプリケーション、P2Pプログラムなどの機能を制御する技術の開発が望まれている。
【解決手段】第1のコンピュータから第2のコンピュータへのアクセス要求を受信するアクセス要求受信部と、第1のコンピュータに対して予め定められた1以上のアクセス制限条件を含むユーザ設定に基づいて、第1のコンピュータから第2のコンピュータへのアクセスが制限されるか否かを決定する決定部と、1以上のアクセス制限条件の少なくとも1つを設定するための設定画面を生成する設定画面生成部とを備える。
【選択図】図1

Description

本発明は、アクセス制御装置、画面生成装置、プログラム、アクセス制御方法及び画面生成方法に関する。
インターネット上の情報の閲覧を制御して管理する方法が知られている(例えば、特許文献1を参照。)。
特許文献1 特開2001−282797号公報
近年、インターネット上でサービスを提供するWebアプリケーション、P2Pプログラムなどを介した情報漏洩のリスクが増加している。そのため、Webアプリケーション、P2Pプログラムなどの機能を制御する技術の開発が望まれている。
本発明の第1の態様においては、第1のコンピュータから第2のコンピュータへのアクセス要求を受信するアクセス要求受信部と、第1のコンピュータに対して予め定められた1以上のアクセス制限条件を含むユーザ設定に基づいて、第1のコンピュータから第2のコンピュータへのアクセスが制限されるか否かを決定する決定部と、1以上のアクセス制限条件の少なくとも1つを設定するための設定画面を生成する設定画面生成部とを備え、設定画面は、第2のコンピュータにより提供されるサービスを一意に識別するサービス識別情報と、サービスに含まれる1以上の機能のそれぞれを識別する機能識別情報と、1以上の機能のそれぞれに付与されたカテゴリを識別するカテゴリ識別情報及び1以上の機能のそれぞれに付与されたリスク情報を識別するリスク識別情報の少なくとも一方と、第1のコンピュータにおいて、1以上の機能のそれぞれの利用が制限されるか否かを示す制限情報とを含むアクセス制御装置が提供される。
本発明の第2の態様においては、第1のコンピュータから第2のコンピュータへのアクセス要求を受信するアクセス要求受信部と、第1のコンピュータに対して予め定められた1以上のアクセス制限条件を含むユーザ設定に基づいて、第1のコンピュータから第2のコンピュータへのアクセスが制限されるか否かを決定する決定部とを備えるアクセス管理装置のユーザ設定を設定するための画面を生成する画面生成装置であって、1以上のアクセス制限条件の少なくとも1つを設定するための設定画面を生成する設定画面生成部を備え、設定画面は、第2のコンピュータにより提供されるサービスを一意に識別するサービス識別情報と、サービスに含まれる1以上の機能のそれぞれを識別する機能識別情報と、1以上の機能のそれぞれに付与されたカテゴリを識別するカテゴリ識別情報及び1以上の機能のそれぞれに付与されたリスク情報を識別するリスク識別情報の少なくとも一方と、第1のコンピュータにおいて、1以上の機能のそれぞれの利用が制限されるか否かを示す制限情報とを含む画面生成装置が提供される。
本発明の第3の態様においては、コンピュータを、上記のアクセス制御装置又は画面生成装置として機能させるためのプログラムが提供される。
本発明の第4の態様においては、第1のコンピュータから第2のコンピュータへのアクセス要求を受信するアクセス要求受信段階と、第1のコンピュータに対して予め定められた1以上のアクセス制限条件を含むユーザ設定に基づいて、第1のコンピュータから第2のコンピュータへのアクセスが制限されるか否かを決定する決定段階と、1以上のアクセス制限条件の少なくとも1つを設定するための設定画面を生成する設定画面生成段階とを備え、設定画面は、第2のコンピュータにより提供されるサービスを一意に識別するサービス識別情報と、サービスに含まれる1以上の機能のそれぞれを識別する機能識別情報と、1以上の機能のそれぞれに付与されたカテゴリを識別するカテゴリ識別情報及び1以上の機能のそれぞれに付与されたリスク情報を識別するリスク識別情報の少なくとも一方と、第1のコンピュータにおいて、1以上の機能のそれぞれの利用が制限されるか否かを示す制限情報とを含むアクセス制御方法が提供される。
本発明の第5の態様においては、第1のコンピュータから第2のコンピュータへのアクセス要求を受信するアクセス要求受信部と、第1のコンピュータに対して予め定められた1以上のアクセス制限条件を含むユーザ設定に基づいて、第1のコンピュータから第2のコンピュータへのアクセスが制限されるか否かを決定する決定部とを備えるアクセス管理装置のユーザ設定を設定するための画面を生成する画面生成方法であって、1以上のアクセス制限条件の少なくとも1つを設定するための設定画面を生成する設定画面生成段階を備え、設定画面は、第2のコンピュータにより提供されるサービスを一意に識別するサービス識別情報と、サービスに含まれる1以上の機能のそれぞれを識別する機能識別情報と、1以上の機能のそれぞれに付与されたカテゴリを識別するカテゴリ識別情報及び1以上の機能のそれぞれに付与されたリスク情報を識別するリスク識別情報の少なくとも一方と、第1のコンピュータにおいて、1以上の機能のそれぞれの利用が制限されるか否かを示す制限情報とを含む画面生成方法が提供される。
なお、上記の発明の概要は、本発明の必要な特徴の全てを列挙したものではない。また、これらの特徴群のサブコンビネーションもまた、発明となりうる。
アクセス制御サーバ100の一例を概略的に示す。 アクセス制御サーバ100のシステム構成の一例を概略的に示す。 格納部230のシステム構成の一例を概略的に示す。 設定画面400の一例を概略的に示す。 データテーブル500の一例を概略的に示す。 データテーブル600の一例を概略的に示す。 データテーブル700の一例を概略的に示す。 ユーザ設定を確認するための画面800の一例を概略的に示す。 ユーザ設定を追加するための画面900の一例を概略的に示す。
以下、発明の実施の形態を通じて本発明を説明するが、以下の実施形態は特許請求の範囲にかかる発明を限定するものではない。また、実施形態の中で説明されている特徴の組み合わせの全てが発明の解決手段に必須であるとは限らない。
図1は、アクセス制御サーバ100の一例を概略的に示す。アクセス制御サーバ100は、アクセス要求受信部110と、決定部120と、設定画面生成部130とを備える。
本実施形態において、アクセス制御サーバ100は、クライアント端末12からサービス提供サーバ14へのアクセスを制御する。クライアント端末12は、第1のコンピュータの一例であってよい。サービス提供サーバ14は、第2のコンピュータの一例であってよい。アクセス制御サーバ100は、アクセス制御装置の一例であってよい。設定画面生成部130は、画面生成装置の一例であってよい。
アクセス制御サーバ100は、通信ネットワーク10を介して、クライアント端末12と情報を送受する。アクセス制御サーバ100は、通信ネットワーク10を介して、サービス提供サーバ14と情報を送受してもよい。例えば、アクセス制御サーバ100が、クライアント端末12及びサービス提供サーバ14の間のSSL(Secure Sockets Layer)通信の通信内容を解析する場合、アクセス制御サーバ100は、通信ネットワーク10を介して、クライアント端末12及びサービス提供サーバ14と情報を送受する。
アクセス制御サーバ100は、例えば、下記の手順により、クライアント端末12及びサービス提供サーバ14の間のSSL通信の通信内容を解析する。まず、アクセス制御サーバ100が、クライアント端末12からサービス提供サーバ14へのアクセス要求を、クライアント端末12から受信する。次に、アクセス制御サーバ100は、クライアント端末12に対して第1の証明書を提示して、アクセス制御サーバ100及びクライアント端末12の間でSSL通信を確立する。一方、アクセス制御サーバ100は、サービス提供サーバ14にアクセスして、サービス提供サーバ14から第2の証明書を受け取り、アクセス制御サーバ100及びサービス提供サーバ14の間でSSL通信を確立する。その後、アクセス制御サーバ100は、クライアント端末12及びサービス提供サーバ14の間の通信を中継する。これにより、アクセス制御サーバ100は、クライアント端末12及びサービス提供サーバ14の間のSSL通信の通信内容を解析することができる。
アクセス制御サーバ100の各部は、ハードウエアにより実現されてもよく、ソフトウエアにより実現されてもよく、ハードウエアとソフトウエアとの組み合わせにより実現されてもよい。例えば、プログラムが実行されることにより、コンピュータが、アクセス制御サーバ100の各部として機能する。
上記のソフトウエア又はプログラムは、CD−ROM、DVD−ROM、メモリ、ハードディスクなどのコンピュータ読み取り可能な媒体に記憶されていてもよく、ネットワークに接続された記憶装置に記憶されていてもよい。ソフトウエア又はプログラムは、コンピュータ読み取り可能な媒体又はネットワークに接続された記憶装置から、アクセス制御サーバ100のコンピュータにインストールされてよい。
コンピュータを、アクセス制御サーバ100の各部として機能させるプログラムは、アクセス制御サーバ100の各部の動作を規定したモジュールを備えてよい。これらのプログラム又はモジュールは、プロセッサ、通信インターフェース等に働きかけて、コンピュータをアクセス制御サーバ100の各部として機能させたり、コンピュータにアクセス制御サーバ100の各部における情報処理方法を実行させたりする。
これらのプログラムに記述された情報処理は、コンピュータに読込まれることにより、ソフトウエアと、アクセス制御サーバ100の各部のハードウエア資源とが協働した具体的手段として機能する。そして、これらの具体的手段によって、本実施形態におけるコンピュータの使用目的に応じた情報の演算又は加工を実現することにより、使用目的に応じたアクセス制御サーバ100を構築することができる。
アクセス制御サーバ100は、一般的な構成の情報処理装置において、アクセス制御サーバ100の各部の動作を規定したソフトウエア又はプログラムを起動することにより実現されてよい。アクセス制御サーバ100として用いられる情報処理装置は、CPU等のプロセッサ、ROM、RAM、通信インターフェースなどを有するデータ処理装置と、キーボード、タッチパネル、マイクなどの入力装置と、液晶ディスプレイなどの表示装置と、スピーカなどの出力装置と、メモリ、HDDなどの記憶装置とを備えてよい。上記のデータ処理装置又は記憶装置は、上記のソフトウエア又はプログラムを記憶してよい。アクセス制御サーバ100は、仮想サーバ又はクラウドシステムであってもよい。また、アクセス制御サーバ100の各部の機能が、複数のサーバによって実現されてもよい。
アクセス要求受信部110は、クライアント端末12からサービス提供サーバ14のアクセス要求を受信する。決定部120は、クライアント端末12に対して予め定められた1以上のアクセス制限条件を含むユーザ設定に基づいて、クライアント端末12からサービス提供サーバ14へのアクセスが制限されるか否かを決定する。設定画面生成部130は、1以上のアクセス制限条件の少なくとも1つを設定するための設定画面を生成する。
通信ネットワーク10は、無線通信の伝送路であってもよく、有線通信の伝送路であってもよく、それらの組み合わせであってもよい。通信ネットワーク10は、携帯電話回線網などの移動体通信網、無線パケット通信網、インターネット及び専用回線であってもよく、それらの組み合わせであってもよい。
クライアント端末12は、通信ネットワーク10を介して、アクセス制御サーバ100及びサービス提供サーバ14と情報を送受することができる装置であればよく、Webブラウザソフトが導入されたパーソナルコンピュータ、携帯端末、無線端末、無人端末などであってよい。携帯端末としては、携帯電話若しくはスマートフォン、ノートブック・コンピュータ若しくはラップトップ・コンピュータ、PDA、タブレット端末、ウェアラブル・コンピュータなどを例示することができる。ウェアラブル・コンピュータとしては、メガネ型、腕輪型、指輪型などのウェアラブル・コンピュータを例示することができる。無人端末としては、農業用センサー、工業用センサー、監視カメラなどの無人端末を例示することができる。
クライアント端末12は、CPU等のプロセッサ、ROM、RAM、通信インターフェースなどを有するデータ処理装置と、キーボード、タッチパネル、マイク、GPS情報受信装置などの入力装置と、液晶ディスプレイなどの表示装置と、スピーカなどの出力装置と、メモリ、HDDなどの記憶装置とを備えてよい。クライアント端末12の各部は、ハードウエアにより実現されてもよく、ソフトウエアにより実現されてもよく、ハードウエアとソフトウエアとの組み合わせにより実現されてもよい。例えば、プログラムが実行されることにより、コンピュータが、クライアント端末12の少なくとも一部として機能する。
サービス提供サーバ14は、通信ネットワーク10を介して、クライアント端末12のユーザにサービスを提供する。ユーザは、サービス提供サーバ14により提供されるサービスの様々な機能を利用することができる。サービスの機能としては、Webメール、SNS、BBS(Bulletin Board System)、チャット、オンラインショッピング、オンラインストレージ、スケジューラ、ワードプロセッサ、スプレッドシートなどを例示することができる。
サービス提供サーバ14は、通信ネットワーク10を介して、クライアント端末12と情報を送受することができる装置であればよく、特に限定はされない。サービス提供サーバ14は、通信ネットワーク10を介して、アクセス制御サーバ100と情報を送受してもよい。
サービス提供サーバ14は、CPU等のプロセッサ、ROM、RAM、通信インターフェースなどを有するデータ処理装置と、キーボード、タッチパネル、マイクなどの入力装置と、液晶ディスプレイなどの表示装置と、スピーカなどの出力装置と、メモリ、HDDなどの記憶装置とを備えてよい。サービス提供サーバ14の各部は、ハードウエアにより実現されてもよく、ソフトウエアにより実現されてもよく、ハードウエアとソフトウエアとの組み合わせにより実現されてもよい。例えば、プログラムが実行されることにより、コンピュータが、サービス提供サーバ14の少なくとも一部として機能する。サービス提供サーバ14は、仮想サーバ又はクラウドシステムであってもよい。また、サービス提供サーバ14の各部の機能が、複数のサーバによって実現されてもよい。
次に、アクセス制御サーバ100におけるアクセス制御方法の一例について説明する。まず、通信制御部22が、クライアント端末12からサービス提供サーバ14へのアクセス要求をアクセス制御サーバ100に送信する。アクセス要求受信部110は、上記アクセス要求を受信する。アクセス要求受信部110は、上記アクセス要求を決定部120に送信する。
決定部120は、上記アクセス要求を受け取り、ユーザ設定に基づいて、クライアント端末12からサービス提供サーバ14へのアクセスが制限されるか否かを決定する。決定部120は、クライアント端末12からサービス提供サーバ14へのアクセスが制限されるか否かを示す情報を通信制御部22に送信する。
通信制御部22が、決定部120から、クライアント端末12からサービス提供サーバ14へのアクセスが許可されたことを示す情報を受信した場合、通信制御部22は、サービス提供サーバ14への接続処理を実行する。クライアント端末12及びサービス提供サーバ14の間の通信が暗号化される場合、通信制御部22は、アクセス制御サーバ100を介して、クライアント端末12及びサービス提供サーバ14の間で情報を送受してよい。一方、通信制御部22が、決定部120から、クライアント端末12からサービス提供サーバ14へのアクセスが禁止(ブロックと称する場合がある。)されたことを示す情報を受信した場合、通信制御部22は、サービス提供サーバ14への接続処理を中断して、アクセスが禁止されたことをユーザに通知する。
本実施形態において、アクセス要求受信部110及び決定部120が、アクセス制御サーバ100上で動作する場合について説明した。しかし、アクセス制御装置は本実施形態に限定されない。他の実施形態において、アクセス要求受信部110及び決定部120の少なくとも一部が、クライアント端末12上で動作してもよい。
本実施形態において、クライアント端末12のユーザがWebブラウザを介してサービス提供サーバ14にアクセスする場合において、アクセス制御サーバ100が当該アクセスを制御する場合について説明した。しかし、アクセス制御サーバ100によるアクセスを制御は本実施形態に限定されない。他の実施形態において、アクセス制御サーバ100は、2台の情報処理装置がピア・ツー・ピア(peer to peer)で情報を送受信する場合において、一方から他方へのアクセスを制御する。
図2は、アクセス制御サーバ100のシステム構成の一例を概略的に示す。本実施形態において、アクセス制御サーバ100は、アクセス要求受信部110と、決定部120と、設定画面生成部130と、入力受付部210と、入力部220と、格納部230と、更新情報生成部240と、復号部250と、ログ情報管理部260とを備える。アクセス制御サーバ100の各部は、互いに情報を送受することができる。
アクセス要求受信部110は、クライアント端末12からサービス提供サーバ14のアクセス要求を受信する。アクセス要求受信部110は、アクセス要求を決定部120及びログ情報管理部260に通知する。アクセス要求が暗号化されている場合、アクセス要求受信部110は、アクセス要求を復号部250に送信してよい。この場合において、アクセス要求は復号部250において復号され、復号された情報が、決定部120及びログ情報管理部260に通知されてよい。
決定部120は、アクセス要求受信部110又は復号部250からアクセス要求を受信する。決定部120は、格納部230に格納されたユーザ設定を参照して、当該ユーザ設定に基づいて、クライアント端末12からサービス提供サーバ14へのアクセスが制限されるか否かを決定する。決定部120は、クライアント端末12からサービス提供サーバ14へのアクセスが制限されるか否かを示す情報をクライアント端末12に送信する。
ユーザ設定は、クライアント端末12に対して予め定められた1以上のアクセス制限条件を含む。決定部120は、例えば、1以上のアクセス制限条件の少なくとも1つに基づいて、クライアント端末12からサービス提供サーバ14へのアクセスが制限されるか否かを決定する。
決定部120は、1以上のアクセス制限条件の組み合わせに基づいて、クライアント端末12からサービス提供サーバ14へのアクセスが制限されるか否かを決定してもよい。一実施形態において、決定部120は、1以上のアクセス制限条件に含まれる第1のアクセス制限条件により、クライアント端末12からサービス提供サーバ14へのアクセスが制限される場合であっても、1以上のアクセス制限条件に含まれる第2のアクセス制限条件により、当該アクセスが許可される場合には、当該アクセスが許可されると判断してよい。
他の実施形態において、決定部120は、第1のアクセス制限条件により、クライアント端末12からサービス提供サーバ14へのアクセスが制限されない又は許可される場合であっても、第2のアクセス制限条件により、当該アクセスが制限される場合には、当該アクセスが制限されると判断してもよい。第1のアクセス制限条件は、サービス提供サーバ14又はサービス提供サーバ14により提供されるサービスと、サービス提供サーバ14又は当該サービスに付与されたカテゴリと、制限情報とを対応付けた条件であってよい。第2のアクセス制御条件は、サービスの機能と、制限情報とを対応付けた条件であってよい。
例えば、決定部120は、まず、第1のアクセス制限条件に基づいて、クライアント端末12からサービス提供サーバ14へのアクセスが禁止されるか否かを決定する。第1のアクセス制限条件は、例えば、サービス提供サーバ14のURIの情報に基づいて、サービス提供サーバ14へのアクセスが制限されるか否かを決定するための条件である。
第1のアクセス制限条件に基づいて上記アクセスが禁止される場合、決定部120は、第2のアクセス制限条件に基づいて、上記アクセスが許可されるか否かを決定する。第2のアクセス制限条件は、例えば、サービス提供サーバ14により提供されるサービスの機能ごとに、当該機能の利用が制限されるか否かを決定するための条件である。第2のアクセス制限条件に基づいて上記アクセスが許可される場合、決定部120は、上記アクセスを許可することを決定する。第2のアクセス制限条件に基づいて上記アクセスが許可されない場合、決定部120は、上記アクセスを禁止することを決定する。アクセスが禁止される場合は、アクセスが制限される場合の一例であってよい。
一方、第1のアクセス制限条件に基づいて上記アクセスが禁止されない場合、決定部120は、第2のアクセス制限条件に基づいて、上記アクセスが禁止されるか否かを決定する。第2のアクセス制限条件に基づいて上記アクセスが禁止される場合、決定部120は、上記アクセスを禁止することを決定する。第2のアクセス制限条件に基づいて上記アクセスが禁止されない場合、決定部120は、上記アクセスを許可することを決定する。
決定部120が、1以上のアクセス制限条件の組み合わせに基づいて、クライアント端末12からサービス提供サーバ14へのアクセスが制限されるか否かを決定することで、アクセスの可否をより詳細に設定することができる。その結果、例えば、ユーザの利便性を犠牲にすることなく、情報漏洩のリスクを低減させることができる。
一方、アクセスの可否をより詳細に設定しようとすると、ユーザ設定が複雑になる。そこで、本実施形態において、アクセス制御サーバ100は、設定画面生成部130を備え、複雑なユーザ設定を簡単に作成できるようにするためのユーザインターフェースを提供する。
設定画面生成部130は、アクセス制御サーバ100のユーザ設定を設定するための画面を生成する。例えば、設定画面生成部130は、1以上のアクセス制限条件の少なくとも1つを設定するための設定画面を生成する。設定画面生成部130は、格納部230に格納された情報を参照して、設定画面を生成してよい。
一実施形態において、設定画面は、サービス提供サーバ14により提供されるサービスを一意に識別するサービス識別情報と、上記サービスに含まれる1以上の機能のそれぞれを識別する機能識別情報と、上記1以上の機能のそれぞれに付与されたカテゴリを識別するカテゴリ識別情報及び上記1以上の機能のそれぞれに付与されたリスク情報を識別するリスク識別情報の少なくとも一方と、上記第1のコンピュータにおいて、上記1以上の機能のそれぞれの利用が制限されるか否かを示す制限情報とを含む。これにより、サービスの機能と、制限情報との関係が明確になる。その結果、サービスの機能ごとに、当該機能のそれぞれの利用が制限されるか否かを簡単に設定することができる。
リスク情報は、サービスに含まれる機能のそれぞれのリスクを評価するための指標であってよい。リスク情報は、アクセス制御サーバ100のユーザ又は管理者により定められた数値又は記号であってもよい。リスク情報は、サービスに含まれる機能に、コンピュータの機能を阻害する要因及び情報漏洩を誘発する要因の少なくとも一方が含まれるか否かに関する情報を含んでよい。例えば、Webメール機能及びオンラインストレージ機能は、コンピュータ・ウイルスの感染源となる可能性があることから、コンピュータの機能を阻害する要因を含む。また、外部に情報を送信してしまう可能性があることから、情報漏洩を誘発する要因を含む。
他の実施形態において、設定画面は、ユーザ(この場合、ユーザ設定の作成者を示す。)からの指示に基づいて、上記1以上のアクセス制限条件に含まれる第1のアクセス制限条件を設定するための画面を表示させるための命令と、ユーザ(この場合、ユーザ設定の作成者を示す。)からの指示に基づいて、上記1以上のアクセス制限条件に含まれる第2のアクセス制限条件を設定するための画面を表示させるための命令とを含む。これにより、1以上のアクセス制限条件の組み合わせに基づいて、クライアント端末12からサービス提供サーバ14へのアクセスが制限されるか否かを規定するユーザ設定を、簡単な操作で作成することができる。
他の実施形態において、設定画面は、ユーザ(この場合、ユーザ設定の作成者を示す。)からの指示に基づいて、上記設定画面に表示された情報の少なくとも一部に関連付けられた情報を表示させるための命令を含む。上記の命令は、プログラムであってもよく、スクリプトであってもよい。上記の命令は、ユーザ(この場合、ユーザ設定の作成者を示す。)が、設定画面中の特定の箇所にポインタを合わせた場合に、当該箇所に関連する情報を表示させるプログラム又はスクリプト(ポップアップと称される場合がある。)であってよい。
他の実施形態において、設定画面は、作成されたユーザ設定に基づく、アクセス制御処理を確認するための画面を含む。一実施形態において、アクセス制御処理を確認するための画面は、ユーザ設定の作成者に1以上の機能のいずれかを選択させ、当該作成者により選択された機能に関する情報を取得する命令と、当該作成者により選択された機能に関するアクセス要求があったと仮定した場合に、当該アクセス要求に対するアクセス制御処理の結果を表示するための命令とを含む。アクセス制御処理の結果は、当該アクセス要求が禁止されることを示す文字又はアイコン、当該アクセス要求が許可されることを示す文字又はアイコンであってよい。これにより、ユーザ設定の作成者は、希望通りの設定がなされているか否かを容易に判断することができる。
他の実施形態において、アクセス制御処理を確認するための画面は、特定の条件に合致するユーザ設定を抽出するための命令を含む。これにより、ユーザ設定の作成者は、例えば、特定のWebサイトへのアクセスを禁止するという条件に合致するユーザ設定の一覧を取得することができる。これにより、ユーザ設定の作成者は、ユーザ設定が過不足なく設定されていることを容易に確認することができる。
また、ユーザ設定の一覧を表示するための画面に、ユーザ設定を追加または削除するための命令が配されてよい。ユーザ設定を追加するための命令は、ユーザ設定の一覧を抽出するための条件をコピーして、新たなユーザ設定を作成するための命令を含んでよい。これにより、例えば、ユーザ設定の一覧を抽出するための条件をコピーして、ユーザ設定の一覧に表示されていないサービス又は機能に関するユーザ設定を容易に追加することができる。
設定画面生成部130は、更新情報生成部240から更新情報を受信して、更新情報に基づいて、設定画面を生成してもよい。一実施形態において、設定画面生成部130は、上記更新情報に含まれるリスク情報を示すリスク識別情報の表現形式と、上記更新情報に含まれないリスク情報を示すリスク識別情報の表現形式とが異なるように、上記設定画面を生成する。
他の実施形態において、設定画面生成部130は、上記更新情報に含まれるカテゴリを示すカテゴリ識別情報の表現形式と、上記更新情報に含まれないカテゴリを示すカテゴリ識別情報の表現形式とが異なるように、上記設定画面を生成する。他の実施形態において、設定画面生成部130は、上記更新情報に含まれるリスク情報を示すリスク識別情報及び上記更新情報に含まれるカテゴリを示すカテゴリ識別情報の表現形式と、上記更新情報に含まれないリスク情報を示すリスク識別情報及び上記更新情報に含まれないカテゴリを示すカテゴリ識別情報の表現形式とが異なるように、上記設定画面を生成する。
設定画面生成部130は、生成された設定画面を、例えばクライアント端末12に送信する。なお、ユーザ設定は、クライアント端末12を利用するユーザにより作成されてもよく、クライアント端末12を管理する管理者により作成されてもよい。ユーザ設定は、クライアント端末12を介して作成されてもよく、クライアント端末12とは異なる情報処理装置を介して作成されてもよい。
入力受付部210は、ユーザ設定の作成者の情報処理装置から、設定画面生成部130により生成された設定画面において、ユーザ設定の作成者が入力した情報を受信する。入力受付部210は、受信した情報を格納部230に格納する。
入力部220は、サービスの機能のそれぞれにつき、当該機能を利用することにより生じるリスクに関する情報(リスク情報と称する場合がある。)を取得する。サービスを提供する情報処理装置又はWebサイトのURIのカテゴリに関する情報を取得する。入力部220は、取得された情報に基づいて、格納部230に格納された情報を更新する。
格納部230は、1以上の機能のそれぞれにつき、機能識別情報と、当該機能識別情報により識別される機能のリスクに関するリスク情報及び機能識別情報により識別される機能のカテゴリの少なくとも一方とを対応づけて格納する。格納部230は、情報格納部の一例であってよい。格納部230は、入力受付部210から、設定画面生成部130により生成された設定画面におけるユーザの入力に関する情報を受け取り、ユーザ設定として格納してよい。格納部230は、ログ情報管理部260から、クライアント端末12からのアクセス要求の履歴に関する情報を受け取り、ログ履歴として格納してよい。
更新情報生成部240は、格納部230に格納されたリスク情報及びカテゴリに関する情報の少なくとも一部が更新されたことを示す更新情報を生成する。更新情報生成部240は、更新情報を設定画面生成部130に送信してよい。
一実施形態において、更新情報生成部240は、格納部230に格納されたリスク情報及びカテゴリに関する情報が更新されるたびに、更新情報を生成してよい。この場合において、更新情報生成部240は、情報が更新された時間と、更新された情報の内容とが対応付けられた更新履歴を生成してよい。なお、更新履歴も更新情報の一例であってよい。
他の実施形態において、更新情報生成部240は、定期的に更新情報を作成してよい。この場合において、更新情報生成部240は、更新履歴を参照して、前回の更新情報の作成処理が終了してから、今回の更新情報の作成処理が開始されるまでの期間に更新された情報を抽出することにより、更新情報を生成する。
他の実施形態において、更新情報生成部240は、ユーザ設定の作成のたびに更新情報を作成してよい。この場合において、更新情報生成部240は、更新履歴を参照して、前回のユーザ設定の作成処理が終了してから、今回のユーザ設定の作成処理が開始されるまでの期間に更新された情報を抽出することにより、更新情報を生成する。
復号部250は、暗号化された情報を復号する。本実施形態において、復号部250は、アクセス要求受信部110から、少なくとも一部が暗号化されたアクセス要求を受信する。復号部250は、暗号化されたアクセス要求を復号して、決定部120及びログ情報管理部260に送信する。
復号部250は、ユーザ設定に基づいて、アクセス要求を復号するか否かを決定してよい。これにより、復号される情報の範囲を必要最小限に留めることができる。また、復号に関わるコンピュータのリソース使用を抑えることができ、全体のアクセスレスポンスを向上させることができる。
一実施形態によれば、ユーザ設定において、特定のWebサイトにより提供されるサービスの全ての機能について、同一の制限情報が設定されている場合、復号部250は、当該Webサイトへのアクセス要求を復号せずに決定部120に送信する。この場合、決定部120は、暗号化されたアクセス要求に基づいて、上記Webサイトへのアクセスが制限されるか否かを決定する。例えば、決定部120は、アクセス要求のヘッダに含まれる情報と、ユーザ設定に含まれる上記WebサイトのURIへのアクセス制限に関する情報とに基づいて、上記Webサイトへのアクセスが制限されるか否かを決定する。
他の実施形態によれば、ユーザ設定において、特定のWebサイトにより提供されるサービスの全ての機能について制限情報が設定されていない場合、復号部250は、当該Webサイトへのアクセス要求を復号せずに決定部120に送信する。復号部250は、当該Webサイトへのアクセス要求を一切復号せずに、決定部120に送信してもよい。
復号部250は、サービス提供サーバ14から暗号化された情報を受信し、当該情報を復号してもよい。例えば、アクセス制御サーバ100が、クライアント端末12及びサービス提供サーバ14の間で暗号化された情報を中継する場合、又はアクセス制御サーバ100が、クライアント端末12及びサービス提供サーバ14の間の暗号化された通信内容を解析する場合、復号部250は、サービス提供サーバ14から受信した情報を復号する。この場合において、復号部250は、復号した情報を再度暗号化して、クライアント端末12に送信してよい。
ログ情報管理部260は、アクセス要求受信部110又は復号部250から、クライアント端末12からのアクセス要求を受信する。ログ情報管理部260は、上記アクセス要求を一意に識別するアクセス要求識別情報と、上記アクセス要求がアクセス要求受信部110において受信された時間に関する情報と、上記アクセス要求のアクセス要求元に関する情報と、上記アクセス要求のアクセス要求先に関する情報とが対応付けられたログ履歴を生成してよい。ログ情報管理部260は、生成されたログ履歴を格納部230に格納してよい。
ログ情報管理部260は、受信されたアクセス要求のそれぞれについて、当該アクセス要求が予め定められた条件に適合するか否かを判断する。ログ情報管理部260は、予め定められた条件に適合するアクセス要求を検出した場合、検出結果をユーザに通知してよい。ログ情報管理部260は、予め定められた条件に適合するアクセス要求を検出するたびに、検出結果をユーザに通知してもよく、予め定められたタイミングで検出結果をユーザに通知してもよい。
予め定められた条件としては、アクセス要求のアクセス要求先が、予め定められたURIを含むという条件、アクセス要求のアクセス要求先が、予め定められたURIを含まないという条件、アクセス要求のアクセス要求先のリスクレベルが、予め定められた値よりも大きいという条件を例示することができる。例えば、クライアント端末12からのアクセス要求のアクセス要求先が、予め定められたURIを含まない場合、クライアント端末12のユーザが、アクセス制御サーバ100により把握されていない新たなサービスの利用を開始した可能性がある。ログ情報管理部260がこのようなアクセス要求を検出して、ユーザに通知することで、情報漏洩のリスクをさらに低減させることができる。
図3は、格納部230のシステム構成の一例を概略的に示す。本実施形態において、格納部230は、リスク情報格納部310と、カテゴリ情報格納部320と、ユーザ設定格納部330と、ログ履歴格納部340とを備える。
リスク情報格納部310は、1以上の機能のそれぞれにつき、機能識別情報と、当該機能識別情報により識別される機能のリスクに関するリスク情報とを対応づけて格納する。カテゴリ情報格納部320は、1以上の機能のそれぞれにつき、機能識別情報と、当該機能識別情報により識別される機能のカテゴリに関する情報とを対応づけて格納する。ユーザ設定格納部330は、入力受付部210から、設定画面生成部130により生成された設定画面におけるユーザの入力に関する情報を受け取り、ユーザ設定として格納する。ログ履歴格納部340は、ログ情報管理部260により生成されたログ履歴を格納する。
図4は、設定画面400の一例を概略的に示す。設定画面400は、クライアント端末のユーザのグループごとに適用されるユーザ設定を作成するための画面の一例であってよい。本実施形態において、設定画面400は、グループリスト表示部402と、グループ名表示部404と、タブ412と、タブ414と、タブ416と、タブ418と、タブ420と、アクセス制限テーブル430と、ドロップダウンリスト452と、ドロップダウンリスト454とを含む。
グループリスト表示部402は、クライアント端末のユーザのグループとして登録されているグループのグループ名を表示するためのプログラム又はスクリプトである。ユーザ設定の作成者が、グループリスト表示部402に表示されているグループを選択すると、グループが選択された時点において当該グループに適用されるユーザ設定が、格納部230から設定画面生成部130に読み込まれる。設定画面生成部130は、選択されたグループに適用されるアクセス制限テーブル430を含む設定画面400を生成する。グループ名表示部404は、設定画面400に表示されているユーザ設定が適用されるグルーブのグループ名を表示するためのプログラム又はスクリプトである。
タブ412、タブ414、タブ416、タブ418及びタブ420は、ユーザの指示に基づいて、設定画面400内で、表示内容を切り替えるためのプログラム又はスクリプトである。ユーザ設定の作成者が、いずれかのタブを選択すると、選択されたタブに応じた内容の設定画面400が表示される。タブ412、タブ414、タブ416、タブ418及びタブ420は、命令の一例であってよい。
タブ412は、第1のアクセス制限条件を設定するための画面を表示させるためのプログラム又はスクリプトである。タブ414は、第1のアクセス制限条件とは異なる第2のアクセス制限条件を設定するための画面を表示させるためのプログラム又はスクリプトである。タブ416は、ユーザ設定が適用される時間を設定するための画面を表示させるためのプログラム又はスクリプトである。タブ418は、アクセスが制限された場合にユーザに通知されるメッセージ設定するための画面を表示させるためのプログラム又はスクリプトである。タブ420は、作成されたユーザ設定に基づく、アクセス制御処理を確認するための画面を表示させるためのプログラム又はスクリプトである。
タブ412、タブ414、タブ416、タブ418及びタブ420は、特定の規則に従って、配列されてよい。一実施形態において、タブ412、タブ414、タブ416、タブ418及びタブ420は、一列に配列される。複数のタブの配列方向は、設定画面400における上下方向であっても、左右方向であってもよい。複数のタブは、円弧状に配列されてもよく、曲線状に配列されてもよい。複数のタブは、ユーザ設定の作成者が、タブの配列に従って順番にタブを選択し、各タブを選択することにより表示される画面の表示に従って設定を入力することで、ユーザ設定が完了するように、配列されてよい。複数のタブの少なくとも2つは、ユーザ設定の作成者が、設定画面400におけるタブの配列順を変更できるように配されていてもよい。
アクセス制限テーブル430は、フィールド432と、フィールド434と、フィールド436と、フィールド438と、フィールド440と、フィールド442とを含む。アクセス制限テーブル430は、アクセス制限条件の一例であってよい。
フィールド432は、1以上のサービス提供サーバにより提供される1以上のサービスの名称を示す。サービスの名称は、サービス識別情報の一例であってよい。フィールド434は、上記1以上のサービスに含まれる1以上の機能の名称を示す。機能の名称は、機能識別情報の一例であってよい。
フィールド436は、上記1以上の機能のそれぞれに付与されたカテゴリの名称を示す。カテゴリの名称は、カテゴリ識別情報の一例であってよい。フィールド438は、上記1以上の機能のそれぞれに付与されたリスクレベルを示す。リスクレベルは、当該機能を利用した場合に生じるリスクの程度を示す。リスクレベルは、リスク情報及びリスク識別情報の一例であってよい。
フィールド440は、フィールド442に入力された情報がユーザ設定に反映されるか否かを示す。例えば、フィールド440に「有効」と入力されていれば、フィールド442に入力された設定がユーザ設定に反映される。フィールド440に「無効」と入力されていれば、フィールド442に入力された設定はユーザ設定に反映されない。
フィールド442は、上記1以上の機能のそれぞれに対するアクションを示す。アクションとしては、当該機能の利用の禁止と、当該機能の利用の許可とを例示することができる。アクションは、1以上の機能のそれぞれの利用が制限されるか否かを示す制限情報の一例であってよい。
ドロップダウンリスト452及びドロップダウンリスト454は、アクセス制限テーブル430を操作するためのプログラム又はスクリプトである。ユーザ設定の作成者が、設定画面400上でドロップダウンリスト452を選択すると、アクセス制御サーバ100によるアクセス制御の対象となるサービスのリストが表示される。ユーザ設定の作成者が、リストに示されたサービスの1つを選択すると、アクセス制限テーブル430の内容が更新され、当該作成者により選択されたサービスに含まれる機能名の一覧が表示される。
この場合、フィールド432には、上記作成者により選択されたサービスのサービス名が表示され、フィールド434には、当該作成者により選択されたサービスに含まれる機能名が表示される。フィールド436には、各機能のカテゴリ名が表示され、フィールド438には、各機能のリスクレベルが表示される。フィールド440及びフィールド442には、例えば、それぞれの初期設定が表示される。
同様に、ユーザ設定の作成者が、設定画面400上でドロップダウンリスト454を選択すると、アクセス制御サーバ100に登録されているカテゴリのリストが表示される。ユーザ設定の作成者が、リストに示されたカテゴリの1つを選択すると、アクセス制限テーブル430の内容が更新され、当該作成者により選択されたカテゴリが付与された機能名の一覧が表示される。各フィールドの内容については説明を省略する。
図5は、データテーブル500の一例を概略的に示す。データテーブル500は、リスク情報格納部310に格納されたデータテーブルの一例であってよい。データテーブル500は、サービスID502と、機能ID504と、サービス名506と、機能名508と、カテゴリID510と、リスクレベル512と、機能の概要514と、リスクの概要516とを対応付けて格納する。
サービスID502及びサービス名506のそれぞれは、サービス識別情報の一例であってよい。機能ID504及び機能名508のそれぞれは、機能識別情報の一例であってよい。カテゴリID510は、カテゴリ識別情報の一例であってよい。リスクレベル512は、リスク識別情報の一例であってよい。
本実施形態において、サービス名506は、設定画面400のフィールド432に表示される。機能名508は、設定画面400のフィールド434に表示される。リスクレベル512は、設定画面400のフィールド438に表示される。機能の概要514は、ユーザ設定の作成者が、設定画面400のフィールド434にポインタを合わせた場合に表示されるポップアップウィンドウに表示される。リスクの概要516は、ユーザ設定の作成者が、設定画面400のフィールド438にポインタを合わせた場合に表示されるポップアップウィンドウに表示される。
本実施形態において、特定の機能に対して、サービスID502及び機能ID504が付与される場合について説明した。しかし、サービス識別情報及び機能識別情報は本実施形態に限定されない。他の実施形態において、特定の機能を識別する単一の情報が、サービス識別情報及び機能識別情報の両方の役割を担ってもよい。例えば、機能ID504又は機能名508が、機能識別情報としてだけでなく、サービス識別情報としても利用される。このように、サービス識別情報と機能識別情報とを含むとは、特定の機能を識別する単一の情報を含む場合も含まれる。
図6は、データテーブル600の一例を概略的に示す。図7は、データテーブル700の一例を概略的に示す。データテーブル600及びデータテーブル700は、カテゴリ情報格納部320に格納されたデータテーブルの一例であってよい。
データテーブル600は、アクセス要求のアクセス先のURIの情報602と、カテゴリID604とを対応付けて格納する。データテーブル700は、カテゴリID702と、カテゴリ名704と、カテゴリの概要706とを対応付けて格納する。カテゴリID604、カテゴリID702及びカテゴリ名704は、カテゴリ識別情報の一例であってよい。本実施形態において、カテゴリ名704は、設定画面400のフィールド436に表示される。カテゴリの概要706は、ユーザ設定の作成者が、設定画面400のフィールド436にポインタを合わせた場合に表示されるポップアップウィンドウに表示される。
図8は、ユーザ設定を確認するための画面800の一例を概略的に示す。本実施形態において、画面800は、特定の条件に合致するユーザ設定を抽出するための画面である。画面800は、特定の条件を設定するための複数の要素を含む。本実施形態において、画面800は、要素802、要素804及び要素806を含み、要素806は、要素812、要素814、要素816及び要素818を含む。
本実施形態において、要素802は、アクセス要求が要素804及び要素806の条件を満たす場合に実行されるアクセス制御処理の内容を設定するために用いられる。要素804は、当該アクセス要求の通信のタイプが、リクエストであるか、レスポンスであるかを設定するために用いられる。要素806は、アクセス要求のヘッダ及びボディの内容を設定するために用いられる。
要素812は、アクセス要求の送信先に関する条件を設定するために用いられる。要素814は、リクエスト行の内容を設定するために用いられる。リクエスト行の内容としては、メソッドの種類、プロトコルの種類などを例示することができる。要素816は、アクセス要求が送受信される時間に関する条件を設定するために用いられる。要素818は、アクセス要求のボディの内容を設定するために用いられる。
本実施形態において、画面800に入力された事項は、設定画面生成部130に送信される。設定画面生成部130は、ユーザ設定格納部330を参照して、画面800に入力された条件に合致するユーザ設定を抽出する。設定画面生成部130は、抽出結果に基づいて、抽出されたユーザ設定の一覧を表示するための画面を生成する。これにより、ユーザ設定の作成者は、例えば、特定の条件に合致するユーザ設定の一覧を取得することができる。なお、ユーザ設定の一覧を表示するための画面は、ユーザ設定を追加または削除するための命令を含んでよい。
図9は、ユーザ設定を追加するための画面900の一例を概略的に示す。画面900は、例えば、図8に関連して説明したユーザ設定の一覧を表示するための画面に配されたユーザ設定を追加または削除するための命令が実行されることにより、ユーザ設定の作成者の端末に表示される。
本実施形態において、画面900は、要素902、要素904及び要素906を含む。要素902は、1以上のサービス又は機能を抽出するための条件を設定するために用いられる。1以上のサービス又は機能を抽出するための条件は、抽出すべきサービス又は機能のサービス識別情報、機能識別情報、カテゴリ識別情報及びリスク情報の少なくとも1つを含んでよい。要素904は、抽出されたサービス又は機能に関する情報を表示し、ユーザ設定の作成者により選択されたサービス又は機能を特定するために用いられる。
要素906は、ユーザ設定の作成者により選択されたサービス又は機能に関する新たなユーザ設定を追加するための命令を含む。例えば、要素906はボタンアイコンであり、ユーザ設定の作成者が当該ボタンアイコンをクリックすることで、ボタンアイコンに対応づけられた命令が実行される。上記の命令が実行されることにより、例えば、ユーザ設定の作成者により選択されたサービス又は機能について、図8に関連して説明した特定の条件と同一の条件を有するユーザ設定が生成され、ユーザ設定格納部330に格納される。
以上、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態に記載の範囲には限定されない。上記実施の形態に、多様な変更または改良を加えることが可能であることが当業者に明らかである。また、技術的に矛盾しない範囲において、特定の実施形態について説明した事項を、他の実施形態に適用することができる。その様な変更または改良を加えた形態も本発明の技術的範囲に含まれ得ることが、特許請求の範囲の記載から明らかである。
特許請求の範囲、明細書、および図面中において示した装置、システム、プログラム、および方法における動作、手順、ステップ、および段階等の各処理の実行順序は、特段「より前に」、「先立って」等と明示しておらず、また、前の処理の出力を後の処理で用いるのでない限り、任意の順序で実現しうることに留意すべきである。特許請求の範囲、明細書、および図面中の動作フローに関して、便宜上「まず、」、「次に、」等を用いて説明したとしても、この順で実施することが必須であることを意味するものではない。
10 通信ネットワーク、12 クライアント端末、14 サービス提供サーバ、22 通信制御部、100 アクセス制御サーバ、110 アクセス要求受信部、120 決定部、130 設定画面生成部、210 入力受付部、220 入力部、230 格納部、240 更新情報生成部、250 復号部、260 ログ情報管理部、310 リスク情報格納部、320 カテゴリ情報格納部、330 ユーザ設定格納部、340 ログ履歴格納部、400 設定画面、402 グループリスト表示部、404 グループ名表示部、412 タブ、414 タブ、416 タブ、418 タブ、420 タブ、430 アクセス制限テーブル、432 フィールド、434 フィールド、436 フィールド、438 フィールド、440 フィールド、442 フィールド、452 ドロップダウンリスト、454 ドロップダウンリスト、500 データテーブル、502 サービスID、504 機能ID、506 サービス名、508 機能名、510 カテゴリID、512 リスクレベル、514 機能の概要、516 リスクの概要、600 データテーブル、602 URIの情報、604 カテゴリID、700 データテーブル、702 カテゴリID、704 カテゴリ名、706 カテゴリの概要、800 画面、802 要素、804 要素、806 要素、812 要素、814 要素、816 要素、818 要素、900 画面、902 要素、904 要素、906 要素

Claims (12)

  1. 第1のコンピュータから第2のコンピュータへのアクセス要求を受信するアクセス要求受信部と、
    前記第1のコンピュータに対して予め定められた1以上のアクセス制限条件を含むユーザ設定に基づいて、前記第1のコンピュータから前記第2のコンピュータへのアクセスが制限されるか否かを決定する決定部と、
    前記1以上のアクセス制限条件の少なくとも1つを設定するための設定画面を生成する設定画面生成部と、
    を備え、
    前記設定画面は、
    前記第2のコンピュータにより提供されるサービスを一意に識別するサービス識別情報と、
    前記サービスに含まれる1以上の機能のそれぞれを識別する機能識別情報と、
    前記1以上の機能のそれぞれに付与されたカテゴリを識別するカテゴリ識別情報及び前記1以上の機能のそれぞれに付与されたリスク情報を識別するリスク識別情報の少なくとも一方と、
    前記第1のコンピュータにおいて、前記1以上の機能のそれぞれの利用が制限されるか否かを示す制限情報と、
    を含む、
    アクセス制御装置。
  2. 前記1以上の機能のそれぞれにつき、前記機能識別情報と、前記機能識別情報により識別される機能のリスクに関する前記リスク情報及び前記機能識別情報により識別される機能のカテゴリの少なくとも一方とを対応づけて格納する情報格納部と、
    前記情報格納部に格納された前記リスク情報及びカテゴリの少なくとも一部が更新されたことを示す更新情報を生成する更新情報生成部と、
    をさらに備え、
    前記設定画面生成部は、
    前記更新情報に含まれるリスク情報を示すリスク識別情報の表現形式と、前記更新情報に含まれないリスク情報を示すリスク識別情報の表現形式とが異なるように、前記設定画面を生成する、
    前記更新情報に含まれるカテゴリを示すカテゴリ識別情報の表現形式と、前記更新情報に含まれないカテゴリを示すカテゴリ識別情報の表現形式とが異なるように、前記設定画面を生成する、又は、
    前記更新情報に含まれるリスク情報を示すリスク識別情報及び前記更新情報に含まれるカテゴリを示すカテゴリ識別情報の表現形式と、前記更新情報に含まれないリスク情報を示すリスク識別情報及び前記更新情報に含まれないカテゴリを示すカテゴリ識別情報の表現形式とが異なるように、前記設定画面を生成する、
    請求項1に記載のアクセス制御装置。
  3. 前記アクセス要求が暗号化されている場合に、前記アクセス要求を復号する復号部を更に備える、
    請求項1又は請求項2に記載のアクセス制御装置。
  4. 前記復号部は、前記ユーザ設定に基づいて、前記アクセス要求を復号するか否かを決定する、
    請求項3に記載のアクセス制御装置。
  5. 前記設定画面は、
    ユーザからの指示に基づいて、前記1以上のアクセス制限条件に含まれる第1のアクセス制限条件を設定するための画面を表示させるための命令と、
    ユーザからの指示に基づいて、前記1以上のアクセス制限条件に含まれる第2のアクセス制限条件を設定するための画面を表示させるための命令と、
    を含む、
    請求項1から請求項4までの何れか一項に記載のアクセス制御装置。
  6. 前記決定部は、
    前記1以上のアクセス制限条件に含まれる第1のアクセス制限条件により、前記第1のコンピュータから前記第2のコンピュータへのアクセスが制限される場合であっても、前記1以上のアクセス制限条件に含まれる第2のアクセス制限条件により、前記第1のコンピュータから前記第2のコンピュータへのアクセスが許可される場合には、前記第1のコンピュータから前記第2のコンピュータへのアクセスが許可されると判断する、
    請求項1から請求項4までの何れか一項に記載のアクセス制御装置。
  7. 前記決定部は、
    前記第1のアクセス制限条件により、前記第1のコンピュータから前記第2のコンピュータへのアクセスが制限されない場合であっても、前記第2のアクセス制限条件により、前記第1のコンピュータから前記第2のコンピュータへのアクセスが制限される場合には、前記第1のコンピュータから前記第2のコンピュータへのアクセスが制限されると判断する、
    請求項6に記載のアクセス制御装置。
  8. 第1のコンピュータから第2のコンピュータへのアクセス要求を受信するアクセス要求受信部と、前記第1のコンピュータに対して予め定められた1以上のアクセス制限条件を含むユーザ設定に基づいて、前記第1のコンピュータから前記第2のコンピュータへのアクセスが制限されるか否かを決定する決定部とを備えるアクセス管理装置の前記ユーザ設定を設定するための画面を生成する画面生成装置であって、
    前記1以上のアクセス制限条件の少なくとも1つを設定するための設定画面を生成する設定画面生成部を備え、
    前記設定画面は、
    前記第2のコンピュータにより提供されるサービスを一意に識別するサービス識別情報と、
    前記サービスに含まれる1以上の機能のそれぞれを識別する機能識別情報と、
    前記1以上の機能のそれぞれに付与されたカテゴリを識別するカテゴリ識別情報及び前記1以上の機能のそれぞれに付与されたリスク情報を識別するリスク識別情報の少なくとも一方と、
    前記第1のコンピュータにおいて、前記1以上の機能のそれぞれの利用が制限されるか否かを示す制限情報と、
    を含む、
    画面生成装置。
  9. コンピュータを、請求項1から請求項7までの何れか一項に記載のアクセス制御装置として機能させるためのプログラム。
  10. コンピュータを、請求項8に記載の画面生成装置として機能させるためのプログラム。
  11. 第1のコンピュータから第2のコンピュータへのアクセス要求を受信するアクセス要求受信段階と、
    前記第1のコンピュータに対して予め定められた1以上のアクセス制限条件を含むユーザ設定に基づいて、前記第1のコンピュータから前記第2のコンピュータへのアクセスが制限されるか否かを決定する決定段階と、
    前記1以上のアクセス制限条件の少なくとも1つを設定するための設定画面を生成する設定画面生成段階と、
    を備え、
    前記設定画面は、
    前記第2のコンピュータにより提供されるサービスを一意に識別するサービス識別情報と、
    前記サービスに含まれる1以上の機能のそれぞれを識別する機能識別情報と、
    前記1以上の機能のそれぞれに付与されたカテゴリを識別するカテゴリ識別情報及び前記1以上の機能のそれぞれに付与されたリスク情報を識別するリスク識別情報の少なくとも一方と、
    前記第1のコンピュータにおいて、前記1以上の機能のそれぞれの利用が制限されるか否かを示す制限情報と、
    を含む、
    アクセス制御方法。
  12. 第1のコンピュータから第2のコンピュータへのアクセス要求を受信するアクセス要求受信部と、前記第1のコンピュータに対して予め定められた1以上のアクセス制限条件を含むユーザ設定に基づいて、前記第1のコンピュータから前記第2のコンピュータへのアクセスが制限されるか否かを決定する決定部とを備えるアクセス管理装置の前記ユーザ設定を設定するための画面を生成する画面生成方法であって、
    前記1以上のアクセス制限条件の少なくとも1つを設定するための設定画面を生成する設定画面生成段階を備え、
    前記設定画面は、
    前記第2のコンピュータにより提供されるサービスを一意に識別するサービス識別情報と、
    前記サービスに含まれる1以上の機能のそれぞれを識別する機能識別情報と、
    前記1以上の機能のそれぞれに付与されたカテゴリを識別するカテゴリ識別情報及び前記1以上の機能のそれぞれに付与されたリスク情報を識別するリスク識別情報の少なくとも一方と、
    前記第1のコンピュータにおいて、前記1以上の機能のそれぞれの利用が制限されるか否かを示す制限情報と、
    を含む、
    画面生成方法。
JP2014014645A 2014-01-29 2014-01-29 アクセス制御装置、画面生成装置、プログラム、アクセス制御方法及び画面生成方法 Active JP5575341B1 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014014645A JP5575341B1 (ja) 2014-01-29 2014-01-29 アクセス制御装置、画面生成装置、プログラム、アクセス制御方法及び画面生成方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014014645A JP5575341B1 (ja) 2014-01-29 2014-01-29 アクセス制御装置、画面生成装置、プログラム、アクセス制御方法及び画面生成方法

Publications (2)

Publication Number Publication Date
JP5575341B1 true JP5575341B1 (ja) 2014-08-20
JP2015141609A JP2015141609A (ja) 2015-08-03

Family

ID=51579013

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014014645A Active JP5575341B1 (ja) 2014-01-29 2014-01-29 アクセス制御装置、画面生成装置、プログラム、アクセス制御方法及び画面生成方法

Country Status (1)

Country Link
JP (1) JP5575341B1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6576387B2 (ja) * 2017-05-08 2019-09-18 デジタルア−ツ株式会社 情報処理装置、情報処理方法、情報処理プログラム、記録媒体及びアクセス制御システム
JP7102775B2 (ja) * 2018-02-26 2022-07-20 カシオ計算機株式会社 情報処理装置、データ登録支援方法及びプログラム

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001282797A (ja) * 2000-03-31 2001-10-12 Digital Arts Inc インターネット閲覧制御方法、その方法を実施するプログラムを記録した媒体およびインターネット閲覧制御装置

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001282797A (ja) * 2000-03-31 2001-10-12 Digital Arts Inc インターネット閲覧制御方法、その方法を実施するプログラムを記録した媒体およびインターネット閲覧制御装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JPN6014024716; InterSafe WebFilter v8.0 管理者マニュアル 第3版, 201303, p.119-125, アルプスシステムインテグレーション株式会社 *

Also Published As

Publication number Publication date
JP2015141609A (ja) 2015-08-03

Similar Documents

Publication Publication Date Title
US11153257B1 (en) System and method for managing and displaying data messages
US9571526B2 (en) Methods and devices for analyzing user privacy based on a user's online presence
US11140228B2 (en) Methods, apparatuses and computer program products for a group-based communication system interacting with remote resources for remote data objects
US11706173B2 (en) Method, apparatus and computer program product for metadata search in a group-based communication platform
EP4303707A1 (en) Application sharing method and apparatus
WO2014183043A1 (en) Authorizing push notifications for websites
TW201635181A (zh) 隨選密碼
US20210026504A1 (en) Group-based communication system and apparatus configured to render suggested graphical objects
JP2011040045A (ja) コンピュータ装置間での動的なコンテンツ・プレファレンス及び動作の共有
US11275572B2 (en) Systems and methods for providing a packaged plurality of application data within a group-based communication system
US11863640B2 (en) System, method, and apparatus for generating a third-party resource usage map in a group based communication system
US11281761B2 (en) Method and system for using a plurality of accounts in an instant messaging application
JP5575341B1 (ja) アクセス制御装置、画面生成装置、プログラム、アクセス制御方法及び画面生成方法
US10481792B2 (en) Secure authenticated connected keyboard
WO2012068044A2 (en) System and method for interoperability
JP5197681B2 (ja) ログインシール管理システム及び管理サーバ
JP6244771B2 (ja) 情報処理システム、処理装置、分散処理方法、及び、プログラム
JP6249474B2 (ja) セキュリティ状態可視化方法、プログラム及びシステム
JP2017182396A (ja) 情報処理装置、制御方法、及びプログラム
JP6413540B2 (ja) 中継装置、データ処理システム及びプログラム
JP5770354B1 (ja) サーバシステム及びリクエスト実行制御方法
JP2016009469A (ja) 認証システム、認証方法、認証装置及びプログラム
US12015725B1 (en) Blockchain-based protocols for metadata linkage control
JP5551114B2 (ja) 属性情報開示制御システム、属性情報開示制御方法、情報保有サーバ、及び属性情報開示制御プログラム
JP5944568B1 (ja) 管理システム、プログラム及び方法

Legal Events

Date Code Title Description
A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20140609

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140617

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140701

R150 Certificate of patent or registration of utility model

Ref document number: 5575341

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250