JP5673543B2 - ロール設定装置、ロール設定方法及びロール設定プログラム - Google Patents
ロール設定装置、ロール設定方法及びロール設定プログラム Download PDFInfo
- Publication number
- JP5673543B2 JP5673543B2 JP2011530837A JP2011530837A JP5673543B2 JP 5673543 B2 JP5673543 B2 JP 5673543B2 JP 2011530837 A JP2011530837 A JP 2011530837A JP 2011530837 A JP2011530837 A JP 2011530837A JP 5673543 B2 JP5673543 B2 JP 5673543B2
- Authority
- JP
- Japan
- Prior art keywords
- role
- attribute
- user
- acl
- access rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本発明は、ロールベースアクセス制御に関し、特にロール設定装置、ロール設定方法及びロール設定プログラムに関する。
企業や団体などの組織は、内部統制を徹底するために、組織に所属するユーザが情報やシステムへ適切にアクセス可能となるようアクセス制御を行う必要がある。アクセス制御は、通常、アクセスの主体となるユーザと、アクセスの対象となるリソースと、ユーザのリソースに対する操作の許可又は非許可を規定するアクションとの組(以下、アクセスルールと呼ぶ)を設定することによってなされる。
アクセス制御を行う方法の一つとして、ロールベースアクセス制御(RBAC)モデルが非特許文献1(R.S.Sandhu、E.J.Coyne、H.L.Feinstein、C.E.Youman、「Role−Based Access Control Models」、IEEE Computer、IEEE Press、1996年2月、第29巻、第2号、p.38−47)に記載されている。RBACモデルは、組織階層や職位などに基づいたロール(役割)を定義することでアクセス制御を行う方法である。1つのロールには、複数のパーミッション(リソースとアクションとの組)と、複数のユーザとを割り当てることができる。そして、RBACモデルは、1つのロールに割り当てられた全てのユーザが、対応付けされた全てのパーミッションを持つように、アクセス制御を行うことができる。RBACモデルは、ユーザの役割に基づいてアクセス制御できるため、内部統制の徹底に適したアクセス制御を行いやすい。従って、RBACモデルは、企業内におけるアクセス制御方法として近年注目を集めている。
RBACモデルを用いてアクセス制御を行うためには、ロールをユーザとパーミッションとに割り当てる設定をする必要がある。ロールの設定方法は、通常、組織全体のアクセス設定を管理する管理者(以下、セキュリティ管理者と呼ぶ)が、役割定義書を参照しながら各役割定義名にユーザとパーミッションとを割り当てることで行われる。以下、この方法をトップダウンなロール設定方法と呼ぶ。
もう一つのロール設定方法として、ロールマイニング方法が非特許文献2(Alina Ene、外5名、「Fast Exact and Heuristic Methods for Role Minimization Problems」、SACMAT’08、ACM Press、2008年6月、p.1−10)に記載されている。このロールマイニング方法は、以下のステップを含む。まず、稼働中のサーバにすでに設定されている、アクセスルールが複数記述されたアクセス制御リスト(Access Control List:ACL)を受け取る。次に、ACLに含まれているすべてのアクセスルールを、ユーザの集合とパーミッションの集合との直積集合で表したアクセスルールの集合に分類する。尚、このとき、アクセスルールの集合は、集合数が少なくなるように分類される。そして、分類されたアクセスルールの集合から、ユーザの集合とパーミッションの集合との組として表したアクセスルールカテゴリを生成し、アクセスルールカテゴリをロールとして扱うように動作する。以下、この方法をボトムアップなロール設定方法と呼ぶ。
R.S.Sandhu、E.J.Coyne、H.L.Feinstein、C.E.Youman、「Role−Based Access Control Models」、IEEE Computer、IEEE Press、1996年2月、第29巻、第2号、p.38−47
Alina Ene、外5名、「Fast Exact and Heuristic Methods for Role Minimization Problems」、SACMAT’08、ACM Press、2008年6月、p.1−10
トップダウンなロール設定方法は、組織全体が過不足なく情報にアクセスできる環境を構築することを考慮している。そのため、セキュリティ管理者は、組織全体にわたって個人単位の業務内容を把握し、その情報からロールを設定することが必要である。しかし、これはセキュリティ管理者にとって大きな負担となる。そこで、実際のロール設定方法では、セキュリティ管理者は分かる範囲でロールを設定することになる。そして、RBACモデルで設定できないアクセスルールは、例外的に、個人単位でアクセスルールを設定するように運用されている。トップダウンなロール設定方法は、役割定義書に基づいたロールを設定するため、セキュリティ管理者にとって分かりやすいロールを設定することができるが、現場の実情と乖離したロールが設定されてしまう問題がある。
一方、ボトムアップなロール設定方法は、ACLを基にアクセスルールカテゴリを生成し、ロールとするため、コストをかけずに現場の実情をそのままロール化することができる。しかし、現在のボトムアップなロール設定方法は、ACLに記述されたパーミッションが同じユーザ同士を、単純に一つのアクセスルールカテゴリのユーザの集合としてしまう。そのため、設定された複数のアクセスルールカテゴリの各々が、どの役割定義に対応するかが自明でなく、対応付けが困難である。従って、ボトムアップなロール設定方法は、ロールの管理が困難になり、内部統制上問題がある。
このように、トップダウンなロール設定方法とボトムアップなロール設定方法には、それぞれ一長一短があり、両方の長所を生かした方法が求められている。本発明は、トップダウンなロール設定方法とボトムアップなロール設定方法との利点を持つように、セキュリティ管理者にとって分かり易いロールと、現場の実情を反映したアクセスルールカテゴリとを容易に対応付けすることができるロール設定装置を提供することにある。
本発明のロール設定装置は、アクセス対象であるリソースを識別するリソースIDとリソースに対する操作の許可又は非許可を規定するアクションとの組である少なくとも1つのパーミッションと、アクセス主体である複数のユーザを識別する複数のユーザIDとを関連付けたアクセスルールカテゴリを出力するACL分類部と、複数のユーザIDと、複数の属性要素とを対応付けて格納するID属性格納部と、複数の属性要素と、複数の役割定義名とを対応付けて格納する役割定義格納部と、アクセスルールカテゴリの複数のユーザIDに基づいて、ID属性格納部が格納する複数の属性要素から、複数のユーザIDに共通する共通属性を取得し、共通属性に基づいて、役割定義格納部が格納する複数の役割定義名から第1役割定義名を取得し、アクセスルールカテゴリと第1役割定義名とを対応づけるロールマッピング部とを具備する。
本発明のロール設定方法は、アクセス対象であるリソースを識別するリソースIDとリソースに対する操作の許可又は非許可を規定するアクションとの組である少なくとも1つのパーミッションと、アクセス主体である複数のユーザを識別する複数のユーザIDとを関連付けたアクセスルールカテゴリを出力するステップと、複数のユーザIDと複数の属性要素とを対応付けて格納するID属性格納部から、アクセスルールカテゴリの複数のユーザIDに基づいて、複数のユーザIDに共通する共通属性を取得するステップと、複数の属性要素と複数の役割定義名とを対応付けて格納する役割定義格納部から、共通属性に基づいて、第1役割定義名を取得するステップと、アクセスルールカテゴリと第1役割定義名とを対応づけるステップとを具備する。
本発明のロール設定プログラムは、アクセス対象であるリソースを識別するリソースIDとリソースに対する操作の許可又は非許可を規定するアクションとの組である少なくとも1つのパーミッションと、アクセス主体である複数のユーザを識別する複数のユーザIDとを関連付けたアクセスルールカテゴリを出力するステップと、複数のユーザIDと複数の属性要素とを対応付けて格納するID属性格納部から、アクセスルールカテゴリの複数のユーザIDに基づいて、複数のユーザIDに共通する共通属性を取得するステップと、複数の属性要素と複数の役割定義名とを対応付けて格納する役割定義格納部から、共通属性に基づいて、第1役割定義名を取得するステップと、アクセスルールカテゴリと第1役割定義名とを対応づけるステップとをコンピュータに実行させる。
本発明のロール設定装置は、セキュリティ管理者にとって分かり易いロールと、現場の実情を反映したアクセスルールカテゴリとを容易に対応付けすることができる。
上記発明の目的、効果、特徴は、添付される図面と連携して実施の形態から、より明らかになる。
図1は、本発明のロール設定装置100の構成例を示したブロック図である。
図2は、ACL格納部110が格納するACLの一例である。
図3は、ACLに基づいて生成されたアクセスルールカテゴリの集合の一例を示した図である。
図4は、ID属性格納部130が格納する、ユーザIDとID属性との一例を示した図である。
図5は、役割定義格納部140が格納する、役割定義名と役割定義属性との一例を示した図である。
図6は、ロール情報格納部160が格納する、アクセスルールカテゴリと役割定義名とが対応付けされたアクセスルールの一例を示した図である。
図7は、本発明のロール設定装置100の実施の形態における、ハードウエア構成例を示すブロック図である。
図8は、本発明のロール設定装置100の実施の形態による処理動作を示したフローチャートである。
図9は、ロールマッピング部150が、アクセスルールカテゴリと対応付けする役割定義名を決定する処理動作を示したフローチャートである。
図10は、本発明の実施例におけるロール設定装置100の構成例を示すブロック図である。
図11は、ACL分類部120がアクセスルールカテゴリの集合を生成する処理動作を示したフローチャートである。
図12は、ACL分類部120が図2のACLに基づいて、ユーザIDとパーミッション集合とを関連づけた図である。
以下、添付図面を参照して本発明の実施の形態によるロール設定装置、ロール設定方法、ロール設定プログラムを説明する。
図1は、本発明のロール設定装置100の構成例を示したブロック図である。図1を参照すると、ロール設定装置100は、ACL(Access Control List)格納部110と、ACL分類部120と、ID属性格納部130と、役割定義格納部140と、ロールマッピング部150と、ロール情報格納部160とを具備する。
ACL格納部110は、複数のアクセスルールが記述されたACLを格納する。アクセスルールは、ユーザの氏名や番号などユーザを識別するユーザIDと、リソース名称や番号などリソースを識別するリソースIDと、当該リソースに対する当該ユーザの操作の許可又は非許可を規定するアクションとの組で記述される。図2は、ACL格納部110が格納するACLの一例である。図2を参照すると、ACLは、ユーザIDと、リソースIDと、アクションとの項目を有する。1つのアクセスルールは、例えば、ユーザ1と、サーバ1と、アクション可との組で表される。
ACL分類部120は、ACL格納部110からACLを取得する。ACL分類部120は、取得したACLに記述されているアクセスルールの集合(複数のアクセスルール)を、ユーザIDの集合(複数のユーザID)と、パーミッションの集合(少なくとも1つのパーミッション)との直積集合に分類し、アクセスルールカテゴリの集合(複数のアクセスルールカテゴリ)を生成する。ACL分類部120は、アクセスルールカテゴリの集合を生成するとき、アクセスルールカテゴリの数が少なくなるように、アクセスルールの集合を分類する。ACL分類部120は、生成したアクセスルールカテゴリの集合をロールマッピング部150に出力する。図3は、ACLに基づいて生成されたアクセスルールカテゴリの集合の一例を示した図である。図3を参照すると、1つのアクセスルールカテゴリに、ユーザIDの集合(複数のユーザID)と、パーミッション集合(少なくとも1つのパーミッション)とが対応付けられている。つまり、ACL分類部120は、アクセス対象であるリソースを識別するリソースIDとリソースに対する操作の許可又は非許可を規定するアクションとの組である少なくとも1つのパーミッションと、アクセス主体である複数のユーザを識別する複数のユーザIDとを関連付けたアクセスルールカテゴリを出力する。尚、ACL分類部120が、アクセスルールの集合に基づいて、アクセスルールカテゴリの集合を生成する詳細は後述する。
ID属性格納部130は、全てのユーザIDと、ID属性とを対応付けて格納する。ID属性は複数の属性タイプを含み、各属性タイプは1つ以上の属性集合から選択される1つ以上の属性要素で表される。図4は、ID属性格納部130が格納する、ユーザIDとID属性との一例を示した図である。図4を参照すると、ID属性は、2つの属性タイプ“組織”と“職位”とを有する。属性タイプ“組織”は、2つの属性集合“部”と“課”とから選択される1つ以上の属性要素で表される。このように、ID属性格納部130は、複数のユーザIDと、ID属性すなわち複数の属性要素とを対応付けて格納する。
役割定義格納部140は、トップダウンに定められた複数の役割定義名と、複数の役割定義名の各々を特徴づける役割定義属性とを対応付けて格納する。役割定義属性は複数の属性タイプを含み、各属性タイプは1つ以上の属性集合から選択される1つ以上の属性要素で表される。図5は、役割定義格納部140が格納する、役割定義名と役割定義属性との一例を示した図である。図5を参照すると、役割定義属性は、2つの属性タイプ“組織”と“職位”とを有する。属性タイプの“組織”は、2つの属性集合の“部”と“課”とから選択される1つ以上の属性要素で表される。このように、役割定義格納部140は、複数の役割定義名と、役割定義属性すなわち複数の属性要素とを対応付けて格納する。尚、役割定義格納部140が格納する役割定義属性と、ID属性格納部130が格納するID属性とは、属性タイプがすべて共通する。更に、ID属性と役割定義属性との共通する属性タイプに設定される各属性要素は、同じ属性集合の中から選択される。
ロールマッピング部150は、ACL分類部120からアクセスルールカテゴリの集合を受け取る。ロールマッピング部150は、ID属性格納部130と役割定義格納部140とを用いて、アクセスルールカテゴリと対応付けする役割定義名を決定する。詳細には、ロールマッピング部150は、1つのアクセスルールカテゴリに含まれる、全てのユーザIDを取得する。ロールマッピング部150は、ID属性格納部130が格納するID属性(複数の属性要素)から、取得した複数のユーザIDに共通する共通ID属性を算出する。そして、ロールマッピング部150は、共通ID属性に基づいて、役割定義格納部140が格納する複数の役割定義名から役割定義名を取得し、アクセスルールカテゴリと対応づける。ロールマッピング部150は、アクセスルールカテゴリと役割定義名とをマッピングし、ロール情報格納部160へ出力する。
ロール情報格納部160はロールマッピング部150から受け取る、アクセスルールカテゴリと役割定義名とが対応付けされたアクセスルールを格納する。図6は、ロール情報格納部160が格納する、アクセスルールカテゴリと役割定義名とが対応付けされたアクセスルールの一例を示した図である。
本発明の実施の形態によるロール設定装置100は、コンピュータを用いて実現可能である。図7は、本発明のロール設定装置100の実施の形態における、ハードウエア構成例を示すブロック図である。図7を参照すると、本発明のロール設定装置100は、CPU(Central Processing Unit)10と、記憶装置20と、入力装置30と、出力装置40と、各装置を接続するバス50とを備えるコンピュータシステムで構成される。
CPU10は、記憶装置20に格納されている本発明のロール設定装置100に係る演算処理及び制御処理を行う。記憶装置20は、ハードディスクやメモリなど、情報の記録を行う装置である。記憶装置20は、CD−ROMやDVD等のコンピュータ読み取り可能な記憶媒体から読み取られたプログラム、入力装置30から入力された信号やプログラム、及びCPU10の処理結果を格納する。入力装置20は、マウス、キーボード、マイクロフォンなど、セキュリティ管理者がコマンド及び信号を入力することが出来る装置である。出力装置40は、ディスプレイ、スピーカなど、セキュリティ管理者に出力結果を認識させる装置である。尚、本発明はハードウエア構成例と示したものに限定されず、各部はハードウエアとソフトウエアとを単独又は組み合わせて実現することが出来る。
図8は、本発明のロール設定装置100の実施の形態による処理動作を示したフローチャートである。図8を参照して、本発明の実施の形態による処理動作を説明する。
ACL分類部120は、ACL格納部110からACLを取得する(ステップA01)。
ACL分類部120は、取得したACLを用いてアクセスルールカテゴリ集合Rを生成する(ステップA02)。詳細には、ACL分類部120は、取得したACLに記述されているアクセスルールの集合を、ユーザIDの集合と、パーミッションの集合との直積集合に分類し、アクセスルールカテゴリ集合Rを生成する。このとき、ACL分類部120は、アクセスルールカテゴリ集合Rに含まれる、アクセスルールカテゴリの数が少なくなるように分類する。尚、ACL分類部120は、アクセスルールの集合を、アクセスルールカテゴリの集合として出力するのであれば、どのような方法を用いてもよい。例えば、非特許文献2に記載のロールマイニング方法をACL分類部120に利用することができる。
ロールマッピング部150は、役割定義名とマッピングされていないアクセスルールカテゴリを、ACL分類部120から受け取ったアクセスルールカテゴリ集合Rの中から1つ選択する(ステップA03)。
ロールマッピング部150は、ID属性格納部130と役割定義格納部140とを用いて、アクセスルールカテゴリと対応付けする役割定義名を決定する(ステップA04)。
ロールマッピング部150は、アクセスルールカテゴリと役割定義名とをマッピングし、アクセスルールカテゴリと役割定義名との組を、ロール情報格納部160へ出力する(ステップA05)。
ロールマッピング部150は、取得したアクセスルールカテゴリ集合Rに含まれる全てのアクセスルールカテゴリが、役割定義名とマッピングされたか否かを判定する(ステップA06)。
ステップA06においてマッピングが完了していなければ、ロールマッピング部150は、選択されていないアクセスルールカテゴリを選択するステップA03へ戻る。ステップA06においてマッピングが完了していれば、ロールマッピング部150は処理を終了する。
図9は、ロールマッピング部150が、アクセスルールカテゴリと対応付けする役割定義名を決定する処理動作を示したフローチャートである。図9を参照して、図8のステップA04における、ロールマッピング部150の処理動作について説明する。
ロールマッピング部150は、選択した1つのアクセスルールカテゴリに含まれているユーザIDの集合Uを取得する(ステップB01)。
ロールマッピング部150は、ユーザIDの集合Uに含まれる全てのユーザu∈Uに対して、ユーザu毎にID属性(複数の属性要素)I(u)をID属性格納部130から取得する(ステップB02)。
ロールマッピング部150は、取得したユーザID毎のID属性I(u)の中から(ユーザIDの集合Uに含まれる全ユーザuのID属性I(u)の中から)、全てのユーザIDに対して共通するID属性である共通ID属性Icを算出する(ステップB03)。共通ID属性の算出方法は、全ての属性タイプ毎に、全ユーザに共通する複数の属性要素を導出し、共通する複数の属性要素(共通属性集合)と属性タイプとの組を得る方法が挙げられる。
ロールマッピング部150は、役割定義格納部140から、共通ID属性Icと完全一致する役割定義属性を持つ役割定義名R(Ic)を検索し、取得する(ステップB04)。検索処理では、ロールマッピング部150は、全ての属性タイプ毎に、共通ID属性Icの共通属性集合と役割定義属性の複数の属性要素とが完全一致する役割定義名R(Ic)を検索する。該当する役割定義名R(Ic)がない場合は、該当役割定義名R(Ic)無しとして出力する。
以上説明したように、本発明のロール設定装置100は、ACL分類部120が現場の実情と乖離しないように、ACLから自動的にロールとするべきアクセスルールの集合をアクセスルールカテゴリの集合として出力する。そして、ロールマッピング部150が、ボトムアップに生成された現場の実情を反映しているアクセスルールカテゴリと、トップダウンに定められた組織名や職位などセキュリティ管理者に理解可能な役割定義名とをマッピングすることができる。これによって、本発明のロール設定装置100は、トップダウンなロール設定方法とボトムアップなロール設定方法との両方の利点を効果として奏することができる。即ち、本発明のロール設定装置100は、現場の実情を反映させ、且つ、セキュリティ管理者が理解しやすいロール設定を自動的に行うことができる。更に、本発明のロール設定装置100は、ロール設定のコストも低減できる効果を奏する。
本発明のロール設定装置100の処理動作を、具体的な実施例を用いて詳細に説明する。本実施例では、ロール設定装置100が、企業内におけるサーバへのアクセス制御を行う場合を説明する。処理の概要は以下のようになる。ロール設定装置100は、ユーザの所属部門をユーザのID属性として格納し、組織名を役割定義名として格納する。ロール設定装置100は、企業内におけるサーバへのアクセス制御を行うACLを収集して、アクセスルールカテゴリを設定する。そして、ロール設定装置100はアクセスルールカテゴリを、組織名で表される役割定義名にマッピングさせる。
図10は、本発明の実施例におけるロール設定装置100の構成例を示すブロック図である。図10を参照すると、ロール設定装置100は、ACL格納部110と、ACL分類部120と、ID属性格納部130と、役割定義格納部140、ロールマッピング部150と、ロール情報格納部160と、ID属性入力部170と、役割定義入力部180とを具備する。
ID属性入力部170は、ロール設定装置100を操作するセキュリティ管理者の入力に基づいて、ユーザID及びID属性をID属性格納部130に出力する。役割定義入力部180は、セキュリティ管理者の入力に基づいて、役割定義名及び役割定義属性を役割定義格納部140に出力する。
ACL収集部200は、ACLが設定されている複数のサーバ(サーバ211、212、・・・、21N)から、ACLを取得する。ACL格納部110は、ACL収集部200に接続され、複数のサーバのACLを取得する。
図10に示したロール設定装置100の処理動作、即ち、自動的にアクセスルールカテゴリを設定し、役割定義名にマッピングする動作について詳細に説明する。尚、図8に記載のフローチャートに基づいて説明する。
ID属性入力部170は、セキュリティ管理者入力に基づいて、ユーザID及びID属性をID属性格納部130へ出力する。ID属性格納部130は、ユーザIDとID属性とを対応付けて格納する。図4を参照してID属性部130が格納する、ユーザIDとID属性とを説明する。図4を参照すると、本実施例では、属性タイプとして“組織”と“職位”とを有している。属性タイプ“組織”に対応する属性集合は、ユーザの所属する“部”と“課”である。属性タイプ“組織”には、属性集合“部”と“課”の中から選択された複数の属性要素(研究部、営業部、研究課、知財課、営業一課、営業二課)が設定されている。属性タイプ“職位”に対する属性集合は、職位として定められた集合であり、その集合の中から選択された属性要素(遂行職、管理職)が設定されている。図4において、ユーザ3は、“研究課”と“知財課”を兼務していることを示している。尚、セキュリティ管理者は、人事情報からユーザIDとID属性との対応関係を容易に入力することができる。
役割定義入力部180は、セキュリティ管理者入力に基づいて、役割定義名及び役割定義属性を役割定義格納部140へ出力する。図5を参照して役割定義格納部140が格納する、役割定義名と役割定義属性とを説明する。役割定義名は、組織を表している。役割定義属性は、ID属性格納部130のID属性と同じ、“組織”と“職位”とを有している。前述したID属性と同様に、属性タイプ“組織”に対応する属性集合は、ユーザの所属する“部”と“課”である。属性タイプ“組織”には、属性集合“部”と“課”の中から選択された複数の属性要素(研究部、営業部、研究課、知財課)が設定されている。また、属性タイプ“職位”に対する属性集合は、職位として定められた集合であり、その集合の中から選択された属性要素(遂行職、管理職)が設定されている。尚、セキュリティ管理者は、組織情報から役割定義名と役割定義属性との対応関係を容易に入力することができる。
次に、ACL収集部200は、複数のサーバ(サーバ271、272、・・・、27N)に設定されたACLを収集する。ACL収集部200は、ACLをACL格納部110に提供する。図2を参照して、本実施例においてACL格納部110が格納するACLを説明する。図2を参照すると、本実施例のACLは、ユーザIDとして社員名と、リソースIDとしてサーバ名と、アクションとしてアクセスの許可、拒否を含む。
ACL分類部120は、ACL格納部110からACLを取得する(図8のステップA01)。
ACL分類部120は、ACLからアクセスルールカテゴリ集合を生成する(図8のステップA02)。本実施例では非特許文献2の方法に従ってACL分類部120がアクセスルールカテゴリの集合を生成するものとする。図11は、ACL分類部120がアクセスルールカテゴリの集合を生成する処理動作を示したフローチャートである。図11を参照して、ACL分類部120の処理動作を説明する。
ACL分類部120は、ACL格納部110に格納されている全てのACLを取得する(ステップC01)。
ACL分類部120は、ACLに含まれるアクセスルール(ユーザIDと、リソースIDと、アクションとの組)の集合から、任意のユーザIDを抽出し、ユーザIDとパーミッション(リソースIDとアクションとの組)の集合の対を生成する。ACL分類部120は、全てのユーザIDに対して、ユーザIDとパーミッション集合の対を生成する(ステップC02)。図12は、ACL分類部120が図2のACLに基づいて、ユーザIDとパーミッション集合とを関連づけた図である。図12を参照すると、例えば、ユーザ1のパーミッション集合は、{(サーバ1、可)、(サーバ2、可)}とすることができる。
ACL分類部120は、アクセスルールカテゴリ集合Rを空集合R=Φとして初期化する(ステップC03)。
ACL分類部120は、パーミッション集合P(u)が|P(u)|>0を満たすユーザuを任意に選択する(ステップC04)。例えば、図12のユーザ1はパーミッション集合として{(サーバ1、可)、(サーバ2、可)}を持っているので選択することができる。
ACL分類部120は、ユーザuのパーミッション集合P(u)を包含するパーミッション集合を持つユーザIDを列挙し、それを集合Uとする(ステップC05)。例えば、ユーザuとしてユーザ1が持つパーミッション集合{(サーバ1、可)、(サーバ2、可)}を包含するパーミッション集合を持っているユーザIDには、ユーザ1と、ユーザ2と、ユーザ3が列挙される。つまり、ユーザ2は、パーミッション集合{(サーバ1、可)、(サーバ2、可)}を持ち、ユーザ3は、パーミッション集合{(サーバ1、可)、(サーバ2、可)、(サーバ3、可)}を持つ。ユーザIDの集合Uは、集合U={ユーザ1、ユーザ2、ユーザ3}となる。
ACL分類部120は、列挙したユーザIDの集合Uとパーミッション集合P(u)との組を、新規アクセスルールカテゴリとしてアクセスルールカテゴリ集合Rに登録する(ステップC06)。ここでは、列挙したユーザIDの集合U={ユーザ1、ユーザ2、ユーザ3}と、ユーザ1のパーミッション集合P(u)={(サーバ1、可)、(サーバ2、可)}との組を、アクセスルールカテゴリ1としてアクセスルールカテゴリ集合Rに登録する。アクセスルールカテゴリ集合Rは、R={アクセスルールカテゴリ1}となる。
ACL分類部120は、パーミッション集合P(u)を、ユーザu’∈Uのパーミッション集合から取り除く。ここでは、アクセスルールカテゴリ1に割り当てられたパーミッション(サーバ1、可)、(サーバ2、可)を、ユーザ1、ユーザ2、ユーザ3のそれぞれのパーミッション集合から取り除く(ステップC07)。この結果、ユーザ1、ユーザ2のパーミッション集合はなくなり、ユーザ3のパーミッション集合は{(サーバ3、可)}が残り、ユーザ5〜8はパーミッション集合に変化なしということになる。
ステップC08において全ユーザのパーミッション集合が空集合になっていない場合、ACL分類部120は、ユーザuを任意に選択するステップC04の処理を行う。ステップC08において全ユーザのパーミッション集合が空集合になった場合、ACL分類部120は処理を終了する。ここでは、ユーザ3、ユーザ4、ユーザ5、ユーザ6、ユーザ7、ユーザ8のパーミッション集合が空集合でないのでステップC04に戻る。最後に、ACL分類部120は、アクセスルールカテゴリ集合Rを出力し、処理を終了する。本実施例では、ACL分類部120は、図3のように4つのアクセスルールカテゴリが登録されたアクセスルールカテゴリ集合Rを出力し、ACL分類部の処理を終了する。
次に、ロールマッピング部150は、アクセスルールカテゴリ集合Rに含まれる各アクセスルールカテゴリに対して、マッピングすべき役割定義名を決定する。ロールマッピング部150は、役割定義名がまだマッピングされていないアクセスルールカテゴリとしてアクセスルールカテゴリ1を選択する(図8のステップA03)。
ロールマッピング部150は、アクセスルールカテゴリ1に含まれるユーザIDの集合U={ユーザ1、ユーザ2、ユーザ3}を取得する(図8のステップA04、図9のステップB01)。
ロールマッピング部150は、ユーザIDの集合Uに含まれる全てのユーザu∈Uに対して、ユーザu毎にID属性I(u)をID属性格納部130から取得する(図9のステップB02)。ID属性を{“属性タイプ”→(属性集合)}の形で表すと、ユーザ1のID属性は、I(ユーザ1)={“組織”→(研究部、研究課)、“職位”→(遂行職)}となる。ユーザ2のID属性は、I(ユーザ2)={“組織”→(研究部、研究課)、“職位”→(遂行職)}となる。ユーザ3のID属性は、I(ユーザ3)={“組織”→(研究部、研究課、知財課)、“職位”→(遂行職)}となる。
ロールマッピング部150は、ユーザID毎のID属性の中から、全てのユーザに共通するID属性を共通ID属性としてIc={“組織”→(研究部、研究課)、“職位”→(遂行職)}を取り出す(図9のステップB03)。
ロールマッピング部150は、役割定義格納部140から、共通ID属性Ic={“組織”→(研究部、研究課)、“職位”→(遂行職)}と完全一致する役割定義属性を持つ役割定義名を検索する。ここでは、ロールマッピング部150は、役割定義名R(Ic)=“研究遂行職”を取得する(図9のステップB04)。
ロールマッピング部150は、アクセスルールカテゴリ1と、役割定義名R(Ic)=“研究遂行職”とをマッピングし、アクセスルールカテゴリ1と役割定義名R(Ic)=“研究遂行職”との組を、ロール情報格納部160へ出力する(ステップA05)。ロール情報格納部160は、アクセスルールカテゴリ1と役割定義名R(Ic)=“研究遂行職”との組を格納する。
ロールマッピング部150は、全てのアクセスルールカテゴリに役割定義名がマッピングされるまでステップA03〜ステップA05を繰り返す。これにより、アクセスルールカテゴリ2、アクセスルールカテゴリ3にもマッピングが同様に行われ、アクセスルールカテゴリ2には役割定義名“知財遂行職”が、アクセスルールカテゴリ3には役割定義名“営業遂行職”が、アクセスルールカテゴリ4には“営業管理職”がマッピングされ、ロール情報格納部160に格納される。最終的に、全てのアクセスルールカテゴリに対してマッピング処理を終えると、ロール情報格納部の内容は図6のようになる。
本実施例では、ACLからアクセスルールカテゴリを自動的に分類し、それを組織と職位より定められた役割定義名にマッピングすることにより、アクセスルールカテゴリに理解しやすい名前付けを行うことができ、自動生成されたアクセスルールカテゴリがどの組織のどの職位のユーザのものかを簡単に理解することができる。このため、コストをかけず、現場の実情から乖離せず、セキュリティ管理者が分かりやすいロールを設定することができる。
以上、実施形態(及び実施例)を参照して本発明を説明したが、本発明は上記実施形態(及び実施例)に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
この出願は、2009年9月10日に出願された日本出願特願2009−209846を基礎とする優先権を主張し、その開示の全てをここに取り込む。
Claims (6)
- アクセス対象であるリソースを識別するリソースIDと前記リソースに対する操作の許可又は非許可を規定するアクションとの組である少なくとも1つのパーミッションと、アクセス主体である複数のユーザを識別する複数のユーザIDとを関連付けたアクセスルールカテゴリを出力するACL分類部と、
前記複数のユーザIDと、複数の属性要素とを対応付けて格納するID属性格納部と、
前記複数の属性要素と、複数の役割定義名とを対応付けて格納する役割定義格納部と、
前記アクセスルールカテゴリの前記複数のユーザIDに基づいて、前記ID属性格納部が格納する前記複数の属性要素から、前記複数のユーザIDに共通する共通属性を取得し、前記共通属性に基づいて、前記役割定義格納部が格納する前記複数の役割定義名から第1役割定義名を取得し、前記アクセスルールカテゴリと前記第1役割定義名とを対応づけるロールマッピング部と
を具備する
ロール設定装置。 - 請求項1に記載のロール設定装置であって、
前記パーミッションと、前記複数のユーザIDとの組であるアクセスルールを複数格納するACL格納部
を更に具備し、
前記ACL分類部は、複数の前記アクセスルールを取得し、複数の前記アクセスルールに含まれる前記パーミッションに対応付けられた前記複数のユーザIDをユーザID集合とし、前記ユーザID集合と前記パーミッションとの組を前記アクセスルールカテゴリとする
ロール設定装置。 - 請求項2に記載のロール設定装置であって、
前記ACL格納部は、複数のサーバが有する複数の前記アクセスルールを取得する
ロール設定装置。 - ACL分類部とロールマッピング部とを具備するロール設定装置を用いたロール設定方法であって、
前記ACL分類部が、アクセス対象であるリソースを識別するリソースIDと前記リソースに対する操作の許可又は非許可を規定するアクションとの組である少なくとも1つのパーミッションと、アクセス主体である複数のユーザを識別する複数のユーザIDとを関連付けたアクセスルールカテゴリを出力するステップと、
前記ロールマッピング部が、前記複数のユーザIDと複数の属性要素とを対応付けて格納するID属性格納部から、前記アクセスルールカテゴリの前記複数のユーザIDに基づいて、前記複数のユーザIDに共通する共通属性を取得するステップと、
前記ロールマッピング部が、前記複数の属性要素と複数の役割定義名とを対応付けて格納する役割定義格納部から、前記共通属性に基づいて、第1役割定義名を取得するステップと、
前記ロールマッピング部が、前記アクセスルールカテゴリと前記第1役割定義名とを対応づけるステップと
を具備する
ロール設定方法。 - 請求項4に記載のロール設定方法であって、
前記ACL分類部が、前記アクセスルールカテゴリを出力するステップは、
前記パーミッションと、前記複数のユーザIDとの組であるアクセスルールを複数格納するACL格納部から、複数の前記アクセスルールを取得するステップと、
複数の前記アクセスルールに含まれる前記パーミッションに対応付けられた前記複数のユーザIDをユーザID集合とし、前記ユーザID集合と前記パーミッションとの組を前記アクセスルールカテゴリとして出力するステップと
を含む
ロール設定方法。 - 請求項4又は5に記載の方法をコンピュータに実行させる
ロール設定プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011530837A JP5673543B2 (ja) | 2009-09-10 | 2010-09-07 | ロール設定装置、ロール設定方法及びロール設定プログラム |
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009209846 | 2009-09-10 | ||
| JP2009209846 | 2009-09-10 | ||
| PCT/JP2010/065318 WO2011030755A1 (ja) | 2009-09-10 | 2010-09-07 | ロール設定装置、ロール設定方法及びロール設定プログラム |
| JP2011530837A JP5673543B2 (ja) | 2009-09-10 | 2010-09-07 | ロール設定装置、ロール設定方法及びロール設定プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2011030755A1 JPWO2011030755A1 (ja) | 2013-02-07 |
| JP5673543B2 true JP5673543B2 (ja) | 2015-02-18 |
Family
ID=43732427
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011530837A Active JP5673543B2 (ja) | 2009-09-10 | 2010-09-07 | ロール設定装置、ロール設定方法及びロール設定プログラム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20120174194A1 (ja) |
| JP (1) | JP5673543B2 (ja) |
| WO (1) | WO2011030755A1 (ja) |
Families Citing this family (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120174205A1 (en) * | 2010-12-31 | 2012-07-05 | International Business Machines Corporation | User profile and usage pattern based user identification prediction |
| US20120246609A1 (en) | 2011-03-24 | 2012-09-27 | International Business Machines Corporation | Automatic generation of user stories for software products via a product content space |
| US9665393B1 (en) | 2012-04-17 | 2017-05-30 | Facebook, Inc. | Storage and privacy service |
| US9411671B1 (en) * | 2012-04-17 | 2016-08-09 | Facebook, Inc. | Storage and privacy service |
| US9081950B2 (en) * | 2012-05-29 | 2015-07-14 | International Business Machines Corporation | Enabling host based RBAC roles for LDAP users |
| US9111040B2 (en) | 2013-01-15 | 2015-08-18 | International Business Machines Corporation | Integration of a software content space with test planning and test case generation |
| US9218161B2 (en) | 2013-01-15 | 2015-12-22 | International Business Machines Corporation | Embedding a software content space for run-time implementation |
| US9063809B2 (en) | 2013-01-15 | 2015-06-23 | International Business Machines Corporation | Content space environment representation |
| US9081645B2 (en) | 2013-01-15 | 2015-07-14 | International Business Machines Corporation | Software product licensing based on a content space |
| US9069647B2 (en) | 2013-01-15 | 2015-06-30 | International Business Machines Corporation | Logging and profiling content space data and coverage metric self-reporting |
| US9087155B2 (en) | 2013-01-15 | 2015-07-21 | International Business Machines Corporation | Automated data collection, computation and reporting of content space coverage metrics for software products |
| US9396342B2 (en) * | 2013-01-15 | 2016-07-19 | International Business Machines Corporation | Role based authorization based on product content space |
| US9075544B2 (en) | 2013-01-15 | 2015-07-07 | International Business Machines Corporation | Integration and user story generation and requirements management |
| US9141379B2 (en) | 2013-01-15 | 2015-09-22 | International Business Machines Corporation | Automated code coverage measurement and tracking per user story and requirement |
| US9659053B2 (en) | 2013-01-15 | 2017-05-23 | International Business Machines Corporation | Graphical user interface streamlining implementing a content space |
| US9148350B1 (en) | 2013-03-11 | 2015-09-29 | Amazon Technologies, Inc. | Automated data synchronization |
| US10142406B2 (en) | 2013-03-11 | 2018-11-27 | Amazon Technologies, Inc. | Automated data center selection |
| US9002982B2 (en) | 2013-03-11 | 2015-04-07 | Amazon Technologies, Inc. | Automated desktop placement |
| US10313345B2 (en) | 2013-03-11 | 2019-06-04 | Amazon Technologies, Inc. | Application marketplace for virtual desktops |
| US9467452B2 (en) | 2013-05-13 | 2016-10-11 | International Business Machines Corporation | Transferring services in a networked environment |
| US10686646B1 (en) | 2013-06-26 | 2020-06-16 | Amazon Technologies, Inc. | Management of computing sessions |
| US10623243B2 (en) | 2013-06-26 | 2020-04-14 | Amazon Technologies, Inc. | Management of computing sessions |
| US9104884B2 (en) * | 2013-07-31 | 2015-08-11 | International Business Machines Corporation | Implementing role based security in an enterprise content management system |
| JP5962736B2 (ja) | 2014-10-30 | 2016-08-03 | 日本電気株式会社 | 情報処理システム、分類方法、及びそのためのプログラム |
| US10277603B2 (en) * | 2016-06-14 | 2019-04-30 | Solus Ps Sdn Bhd | Method for secure access to a network resource |
| US10951624B2 (en) * | 2018-12-14 | 2021-03-16 | Jpmorgan Chase Bank, N.A. | Systems and methods for data driven infrastructure access control |
| US11178151B2 (en) | 2018-12-19 | 2021-11-16 | International Business Machines Corporation | Decentralized database identity management system |
| US11921869B1 (en) * | 2019-12-06 | 2024-03-05 | Seeq Corporation | Authorization methods and systems for accessing multiple data sources |
| US11595202B1 (en) * | 2022-02-09 | 2023-02-28 | My Job Matcher, Inc. | Apparatus and methods for mapping user-associated data to an identifier |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020144142A1 (en) * | 2001-04-03 | 2002-10-03 | Dalia Shohat | Automatic creation of roles for a role-based access control system |
| JP2004533075A (ja) * | 2001-06-11 | 2004-10-28 | ビーイーエイ システムズ, インコーポレイテッド | サーバーセキュリティ及び権限付与処理のためのシステム及びその方法 |
| US20060090208A1 (en) * | 2004-10-21 | 2006-04-27 | Smith Michael R | Method and system for generating user group identifiers |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3937548B2 (ja) * | 1997-12-29 | 2007-06-27 | カシオ計算機株式会社 | データアクセス制御装置およびそのプログラム記録媒体 |
| JPH11313102A (ja) * | 1998-02-27 | 1999-11-09 | Fujitsu Ltd | アクセス制御リスト生成方法及びその装置 |
| JP3576008B2 (ja) * | 1998-10-09 | 2004-10-13 | 株式会社東芝 | アクセス制御設定システム及び記憶媒体 |
| JP3546787B2 (ja) * | 1999-12-16 | 2004-07-28 | インターナショナル・ビジネス・マシーンズ・コーポレーション | アクセス制御システム、アクセス制御方法、及び記憶媒体 |
| US10033700B2 (en) * | 2001-12-12 | 2018-07-24 | Intellectual Ventures I Llc | Dynamic evaluation of access rights |
| US7844717B2 (en) * | 2003-07-18 | 2010-11-30 | Herz Frederick S M | Use of proxy servers and pseudonymous transactions to maintain individual's privacy in the competitive business of maintaining personal history databases |
| US7350237B2 (en) * | 2003-08-18 | 2008-03-25 | Sap Ag | Managing access control information |
| US7530112B2 (en) * | 2003-09-10 | 2009-05-05 | Cisco Technology, Inc. | Method and apparatus for providing network security using role-based access control |
| US20050138419A1 (en) * | 2003-12-19 | 2005-06-23 | Pratik Gupta | Automated role discovery |
| US20050138420A1 (en) * | 2003-12-19 | 2005-06-23 | Govindaraj Sampathkumar | Automatic role hierarchy generation and inheritance discovery |
| US7284000B2 (en) * | 2003-12-19 | 2007-10-16 | International Business Machines Corporation | Automatic policy generation based on role entitlements and identity attributes |
| JP4969585B2 (ja) * | 2006-01-31 | 2012-07-04 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | 役割ベースアクセス制御 |
| US8336078B2 (en) * | 2006-07-11 | 2012-12-18 | Fmr Corp. | Role-based access in a multi-customer computing environment |
| US8676845B2 (en) * | 2006-08-22 | 2014-03-18 | International Business Machines Corporation | Database entitlement |
| US9356935B2 (en) * | 2006-09-12 | 2016-05-31 | Adobe Systems Incorporated | Selective access to portions of digital content |
| US7650633B2 (en) * | 2007-01-04 | 2010-01-19 | International Business Machines Corporation | Automated organizational role modeling for role based access controls |
| US7853687B2 (en) * | 2007-03-05 | 2010-12-14 | Alcatel Lucent | Access control list generation and validation tool |
| JP4907603B2 (ja) * | 2007-06-27 | 2012-04-04 | ヒューレット−パッカード デベロップメント カンパニー エル.ピー. | アクセス制御システムおよびアクセス制御方法 |
| US7962426B2 (en) * | 2007-12-18 | 2011-06-14 | Microsoft Corporation | Role/persona based applications |
| US8042150B2 (en) * | 2008-12-08 | 2011-10-18 | Motorola Mobility, Inc. | Automatic generation of policies and roles for role based access control |
| US8826455B2 (en) * | 2009-02-17 | 2014-09-02 | International Business Machines Corporation | Method and apparatus for automated assignment of access permissions to users |
| US8983877B2 (en) * | 2011-03-21 | 2015-03-17 | International Business Machines Corporation | Role mining with user attribution using generative models |
-
2010
- 2010-09-07 US US13/395,389 patent/US20120174194A1/en not_active Abandoned
- 2010-09-07 WO PCT/JP2010/065318 patent/WO2011030755A1/ja active Application Filing
- 2010-09-07 JP JP2011530837A patent/JP5673543B2/ja active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020144142A1 (en) * | 2001-04-03 | 2002-10-03 | Dalia Shohat | Automatic creation of roles for a role-based access control system |
| JP2004533075A (ja) * | 2001-06-11 | 2004-10-28 | ビーイーエイ システムズ, インコーポレイテッド | サーバーセキュリティ及び権限付与処理のためのシステム及びその方法 |
| US20060090208A1 (en) * | 2004-10-21 | 2006-04-27 | Smith Michael R | Method and system for generating user group identifiers |
Non-Patent Citations (6)
| Title |
|---|
| JPN6010057917; Ian Molloy, Hong Chen, Tiancheng Li, Qihua Wang, Ninghui Li, Elisa Bertino, Seraphin Calo, Jorge Lob: 'Mining Roles with Semantic Meanings' Proceedings of the 13th ACM Symposium on Access Control Models and Technologies , 200806, p.21-30, ACM * |
| JPN6010057919; Martin Kuhlmann, Dalia Shohat, Gerhard Schimpf: 'Role Mining - Revealing Business Roles for Security Administration using Data Mining Technology' Proceedings of the eighth ACM Symposium on Access Control Models and Technologies , 200306, p.179-186, ACM * |
| JPN6010057923; Ian Molloy, Ninghui Li, Tiancheng Li, Ziqing Mao, Qihua Wang, Jorge Lobo: 'Evaluating Role Mining Algorithms' Proceedings of the 14th ACM Symposium on Access Control Models and Technologies , 200906, p.95-104, ACM * |
| JPN6010057926; Sun Role Manager 4.1 User's Guide , 20080912, p.63-92, Sun Microsystems, Inc. * |
| JPN6014033351; Al-Kahtani, M.A., Sandhu, R.: 'A model for attribute-based user-role assignment' Computer Security Applications Conference, 2002. Proceedings. 18th Annual , 2002, pp. 353-362, IEEE * |
| JPN7014002398; Axel Kern, Claudia Walhorn: 'Rule support for role-based access control' SACMAT '05 Proceedings of the tenth ACM symposium on Access control models and technologies , 2005, Pages 130 - 138, ACM * |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2011030755A1 (ja) | 2011-03-17 |
| US20120174194A1 (en) | 2012-07-05 |
| JPWO2011030755A1 (ja) | 2013-02-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5673543B2 (ja) | ロール設定装置、ロール設定方法及びロール設定プログラム | |
| US20240022608A1 (en) | Method, apparatus, and computer-readable medium for data protection simulation and optimization in a computer network | |
| US20080016546A1 (en) | Dynamic profile access control | |
| US11770450B2 (en) | Dynamic routing of file system objects | |
| JP2014041458A (ja) | データへのアクセス制御の内容を決定する装置及び方法 | |
| JP2016031733A (ja) | 推論容易性算出プログラム、装置、及び方法 | |
| US20130060758A1 (en) | Graph authorization | |
| JP2004054779A (ja) | アクセス権管理システム | |
| Kurtan et al. | PELTE: Privacy estimation of images from tags | |
| JP6280270B1 (ja) | 内部取引判定装置、内部取引判定方法および内部取引判定プログラム | |
| JP6631091B2 (ja) | 情報処理装置及び情報処理プログラム | |
| Ergenç Bostanoǧlu et al. | Minimizing information loss in shared data: Hiding frequent patterns with multiple sensitive support thresholds | |
| JP4899428B2 (ja) | 情報共有度分析システム | |
| JP6358819B2 (ja) | ワークフロー統合システム | |
| RU2587422C2 (ru) | Способ и система автоматического управления лицензиями | |
| JP5296146B2 (ja) | 文書データ管理装置、文書データ継承方法およびプログラム | |
| US20210303706A1 (en) | Data access control system and data access control method | |
| US10984019B2 (en) | Data management system and storage medium | |
| JP5358981B2 (ja) | 情報処理装置、情報処理装置の制御方法および情報処理装置の制御用プログラム | |
| JP6277778B2 (ja) | 情報処理装置、情報処理システム、プログラム | |
| JP6824303B2 (ja) | データ参照権限管理装置、データ参照権限管理方法およびデータ参照権限管理プログラム | |
| JP2008287663A (ja) | リソース管理装置 | |
| JP7279410B2 (ja) | 情報処理装置及びプログラム | |
| US20220353288A1 (en) | Parallelizing colaborative filtering in recommendation intrusion detection systems | |
| JP6472904B2 (ja) | データ参照権限管理装置、データ参照権限管理方法およびデータ参照権限管理プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130807 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140807 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140925 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20141202 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20141215 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5673543 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |