JP5990264B2 - ポリシー生成システム及び方法 - Google Patents

ポリシー生成システム及び方法 Download PDF

Info

Publication number
JP5990264B2
JP5990264B2 JP2014514445A JP2014514445A JP5990264B2 JP 5990264 B2 JP5990264 B2 JP 5990264B2 JP 2014514445 A JP2014514445 A JP 2014514445A JP 2014514445 A JP2014514445 A JP 2014514445A JP 5990264 B2 JP5990264 B2 JP 5990264B2
Authority
JP
Japan
Prior art keywords
policy
organization
computer
layers
interface
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014514445A
Other languages
English (en)
Other versions
JP2014519131A (ja
Inventor
モント,マルコ,カサッサ
ピアソン,シアニ
ブラムホール,ピート
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hewlett Packard Development Co LP
Original Assignee
Hewlett Packard Development Co LP
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hewlett Packard Development Co LP filed Critical Hewlett Packard Development Co LP
Publication of JP2014519131A publication Critical patent/JP2014519131A/ja
Application granted granted Critical
Publication of JP5990264B2 publication Critical patent/JP5990264B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0631Resource planning, allocation, distributing or scheduling for enterprises or organisations
    • G06Q10/06311Scheduling, planning or task assignment for a person or group
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0637Strategic management or analysis, e.g. setting a goal or target of an organisation; Planning actions based on goals; Analysis or evaluation of effectiveness of goals

Description

分散コンピューティングは、複数の分散システムを一般に伴うコンピュータサイエンスの一分野であり、その1つの分散システムは、コンピュータネットワークを介して通信を行う複数の自律コンピュータ(又は複数のコンピュータタスク)から一般に構成される。1つの分散システムで実行されるコンピュータプログラムは、分散プログラムと称され、この場合、分散プログラミングとは、かかるプログラムを書くプロセスのことである。
連携ポリシー改良サービスのためのマシン読み取り可能命令を有するコンピュータ読み取り可能媒体の一例を示している。 連携ポリシー改良サービスのためのシステムの一例を示している。 ポリシー改良のために採用することができる複数の層をなす組織の一例を示している。 連携ポリシー改良サービスの一例を示している。 連携ポリシーを生成するための方法の一例のフローチャートを示している。 図1ないし図5に示すシステム及び方法の実施に採用することができるコンピュータシステムの一例を示している。
図1は、セキュリティ及びプライバシーポリシーを生成するためのシステム100の一例を示している。該システム100は、所与の組織のためのセキュリティ又はプライバシーポリシーを生成するための様々な機能を提供する実行可能命令110を含む。一実施形態では、これは、マシン読み取り可能命令を含むマシン読み取り可能媒体110を含む。かかる命令は、複数の組織層からのポリシー入力130を集約し及び該複数の組織層にわたる一貫したセキュリティポリシー140を生成するための連携ポリシー改良サービス120を含むことが可能である。該ポリシー入力130は、組織内の様々なユーザにより生成されたインタフェイスデータを含むことが可能であり、この場合、かかるインタフェイスデータは、該組織の関連層のためのポリシー(例えば、データベースにアクセスすることが可能な管理者又は監督者といった必要とされる役割)を定義するものである。例えば、組織層は、法務レベル、業務レベル、セキュリティレベル、プライバシーレベル、インフォメーションテクノロジー(IT)レベル、研究レベル、エンジニアリングレベル、生産レベル、マーケティングレベルなどといった、一定の組織レベルに関連するデータベースを含むことが可能であり、この場合、各層又はレベルは、該組織のためのポリシーを生成し又は実施することが可能である。
対話型ポリシーコンポーネント150は、組織層間の連携的な対話と、生成されたセキュリティポリシー140に関連する制限の決定とを容易化する。例えば、組織内の下位層(例えばITレベル)に位置するユーザは、所与のポリシーの実施を試行することは可能であるが、連携ポリシー改良サービス120は、かかるポリシーが何らかの一層高レベル(例えば法務レベル)のポリシーと一致せず又は矛盾することを判定してかかる矛盾を該ユーザへ通知する。次いで該ユーザは、対話型ポリシーコンポーネント150を使用して、該矛盾が存在し又は検出され得る上位層のユーザ又はシステムとの間で矛盾が存在する理由並びにその解決方法を判定する。よって、対話型ポリシーコンポーネント150を使用して、所与の組織レベルで所与のポリシーの実施を試行する際の制限又は制約を判定することが可能である。
対話型ポリシーコンポーネント150の一例では、自動生成されたE-mail又はリアルタイムオーディオ又はビデオダイアログをユーザに提供することが可能であり、該E-mail又はダイアログで、該ユーザを、矛盾が存在し得る上位層に関連するユーザ及び/又はシステムに接続することができる。このため、ユーザは、矛盾が存在する理由(又は該ユーザのアクションが所与の態様に制限される理由)及び該矛盾を適切に解決する方法を、対話型ポリシーコンポーネント150を介して照会することができる。本書で用いる場合、用語「一貫した」は、組織の所与の1つの層又はレベルについて生成されたポリシー140が、該組織の他の層と相関し又は矛盾しないことを意味する。例えば、組織の最高レベルは、該組織の残り全てが従うべき法務ポリシーを定義する法務レベルであり、よって、該最高レベルよりも低いレベルは、個々のポリシーを実施するかかるポリシー又はルールに拘束され又はその制約を受けることになる。
一例では、業務レベル等の別のレベルでポリシーの生成を試行するユーザは、例えば、法務レベル又は一層上位のレベルを満たさず又はそれらレベルと矛盾するポリシーを生成することができないことになる。このため、連携ポリシー改良サービス120は、組織の1つのレベル又は階層からのポリシー入力130が該組織の他のレベルと矛盾せず又は一貫することを容易にする。連携ポリシー改良サービス120によって、セキュリティ又はプライバシーポリシーの矛盾(例えば複数層間でのポリシーの不適合)が複数の組織層間で検出された場合、対話型ポリシーコンポーネント150は、かかる矛盾の解決を容易化することができる。例えば、対話型ポリシーコンポーネント150は、(図2に関して後述する)ユーザインタフェイスからのクエリを処理することができ、該処理は、試行されたポリシーの実施又は変更が組織内の他のポリシーと何故矛盾し又は一貫性を有さないかについての答えを提供するものである。複数層間のポリシーの不適合の解決に資すべく、対話型ポリシーコンポーネント150により自動的で対話型のポリシー提案を提供することが可能である。例えば、対話型ポリシーコンポーネント150は、試行したポリシー入力130が該組織の他の何らかのレベルと一貫せず又は不適合となる理由を記述したメッセージを生成することが可能である。単にポリシーの矛盾を強調するのではなく、対話型ポリシーコンポーネント150は、該組織の他の何らかの層により課せられるポリシーの制約を満たすものとなる代替的なポリシーの決定又は選択についてユーザ又はシステムを対話的に案内する(例えば、上位層と矛盾しないよう予め決定された代替的なポリシーテンプレートを提供する)ことができる。
図2に関して以下で説明するように、組織層に割り当てられたステークホルダに関連づけられたインタフェイスを提供することが可能であり、この場合、該インタフェイスは、対話型ポリシーコンポーネント150との更なる連携を容易にするものである。これは、複数の組織層にわたってポリシーの依存関係を追跡することにより複数の異なる抽象化レベルでセキュリティポリシー140の定義及び改良を行うことを可能にする命令を含むことができる。例えば、複数の組織層と複数のセキュリティポリシー140との間のマッピングを可能にするテンプレートを提供することが可能である。該インタフェイスはまた、ユーザの役割により定義されるセキュリティポリシーの生成を可能にすることができ、及び複数のポリシーと複数の組織層との間の複数の依存関係リンクをユーザが定義することを可能にする。該インタフェイスは、ユーザの役割に従って修正することが可能であり、及びセキュリティポリシーの定義に関連する監視、警告、又は違反を提供する。該インタフェイスはまた、該監視、警告、又は違反を組織の他のメンバに対して共有することが可能である。
説明の単純化のため、本実施形態では、システム100の異なる構成要素は、異なる機能を実行するものとして図示され説明されている。しかし、本開示の各構成要素の機能を異なる構成要素により実行することが可能であり、及び幾つかの構成要素の機能を組み合わせて単一の構成要素で実行することが可能である、ということが当業者には理解され評価されよう。かかる構成要素は、例えば、ソフトウェア(例えばコンピュータ実行可能命令)、ハードウェア(例えば特定用途向け集積回路(ASIC))、又はその両者の組み合わせ(例えばファームウェア)として実施することが可能である。別の実施形態では、該構成要素は、図2に関して一層詳細に説明するように、ネットワークを介して複数のリモート装置間で分散させることが可能である。
図2は、連携ポリシー改良サービスのためのシステム200の一例を示している。該システム200は、命令メモリ220(ファームウェア又はコンピュータに関するコンピュータ実行可能を格納するための記憶媒体を含む)からの命令を実行する処理装置(又はプロセッサ)210を含む。該処理装置210及びメモリ220は、組織の様々なレベル又は層にわたって適用することができるセキュリティ又はプライバシーポリシー出力240を生成するために使用される連携ツール230の一部として提供することが可能である。連携ポリシー改良サービス250は、所与の組織の所与のレベルからのポリシー入力260-268を受信するよう構成されており、該ポリシー入力が解析されて該組織の他のレベルとの適合性が判定される。かかるポリシー入力260-268は、ネットワーク270にわたって、及び個々のレベル間のクエリ288を処理することができるサービスインタフェイス284を備えたコンピュータ280を介して、該組織の様々なレベルから収集することが可能である。対話型ポリシーコンポーネント290は、ポリシー入力260-268に関するクエリ288を受信するよう構成されており、この場合、該クエリは、該組織の他のレベルにより課せられる適合性又は制約の判定を容易にする。図示のように、連携ポリシー対話292は、サービスインタフェイス284及び/又はクエリ288を介して所与の組織のシステムのメンバ間で発生し得るものである。連携の後、該組織に対するセキュリティ及びプライバシーアクセスを制御するためにポリシー出力240が構成され、該ポリシー出力は、該組織の複数のレベルにわたって適合性を有するものとなるようにポリシー入力260-268及びクエリ288に部分的に基づいて改良される。
一実施形態では、システム200は、異なる背景及び目的を有する組織292のメンバ間の連携対話を容易化する。例えば、組織の下層の所与のメンバが、コンピュータのローカルサブシステムに対するアクセスのためのローカルポリシー240を生成することを所望する場合がある。該下層のためにポリシー240が生成されると、連携ポリシー改良サービス290は、該ポリシー入力260-268を解析して、かかるポリシーが組織の他の複数のレベルと適合性を有するか否かを判定し、かかるポリシー及び組織に関するデータは、様々なデータベース294に維持することが可能である。かかるポリシーは、それが適合性を有さない場合には、次いで対話型ポリシーコンポーネント290を介して連携的に改良することが可能である。例えば、サービスインタフェイス284を介してクエリ288を生成して連携ポリシー対話292を利用可能にすることが可能である。該クエリ288は、試行したポリシーの決定が何れかの他のシステム又はポリシーの制約に抵触した理由について質問することを含むことが可能である。該クエリ288に応じて、対話型ポリシーコンポーネント290は、該クエリに関するエキスパートへの連絡を試行すること、又は利用可能であり且つ組織の他の目的と一貫する代替的なポリシーの選択に関する案内をユーザに対して自動的に試行することが可能である。かかる連携ポリシー対話292における前後の連携は、同時に発生すること又は所与の期間後にスケジュールすることが可能であり、例えば、ポリシー入力260-268に関する更なる案内を要求する企業ユーザにE-mailを生成することが可能である。
図3は、ポリシーの改良に採用することができる所与の組織の例示的な複数の層300を示している。図示のように、該例示的な複数の層300は、法務層310、業務層320、プロセス層330、アプリケーション/サービス層340、情報/データ層350、システム/デバイス層360、及びネットワーク層370を含むことが可能である。その他の層を配設することも可能である。ポリシーの改良は、該層300に関連する組織階層380の様々なレベルにわたって示されている。一般に、階層380の高いレベルに現れるポリシー入力は、より低いレベルに現れるポリシー入力を制御している。その他の制御関係、例えば、階層380の所与の階層における1つのポリシーがそれと同じ階層の他のポリシーを制御する(例えば、左に分岐するポリシーがそれと同じ階層で右に分岐するポリシーを制御する)こともあり得る。
層300及び階層380は、プライバシー及びセキュリティポリシー改良のための図2に符号250で図示し上述した連携サービスに関連付けることが可能である。この連携サービスは、異なる背景を有する異なるステークホルダを共に結びつけるものである。該連携サービスは、それらに共通の一貫した環境(ポリシー並びに異なる抽象化レベルでのリンク関連のコンセプト及びポリシーを探索し、及び連携した態様で主張及び議論を行うためのもの)を提供する。これにより、それら異なるレベルで定義されたコンセプトの依存関係を追跡することによる、異なる抽象化レベルでのポリシーの定義及び改良が可能となる。様々な抽象化レベル及びマッピング基準で様々なポリシーテンプレートが利用可能となる。テンプレートに基づく異なるレベルのコンセプトのマッピング及びポリシーの形成の自動化という意味でのサポートもまた存在する。一態様では、組織は、複数のステークホルダがセキュリティ及びプライバシーポリシーを生成してその一貫性及び適合性を確保する場合に、ポリシー改良サービスを採用する。例えば、層300は、様々な考え得る複数層の定義及び複数レベルの改良が存在するという意味で、現在の組織のポリシーを取り扱う複雑さを示している。これらの複数のポリシー層の各々毎に、このレベルでポリシーを表現し検討することを所望する更なるステークホルダのグループが潜在的に存在し得る(但し、ステークホルダは2つ以上の層を取り扱うことを所望する場合もある)。
図4は、連携ポリシー改良サービス400の一例を示している。該サービス400は、ポリシー改良ツール410、ディスカッションデータベース414、ポリシーコンセプト生成コンポーネント420、コンセプトリンク管理コンポーネント430、ポリシーコンセプトアグリゲータ440、及びポリシーナビゲータ及びマネージャ450を含む。該サービス400は、符号460で示す様々な層、ポリシーデータ及び構造テンプレート470、並びにコンセプト、リンク、及び改良されたポリシー層の共有ナレッジベース480から、ポリシー入力を受信する。
多数のステークホルダがサービス400にアクセスし対話することが可能である。該サービス400は、該ステークホルダから受信した入力に基づくコンセプトの中央リポジトリ、及び該入力の結果として表現され又は改良されたポリシーのリポジトリを管理する。一組の所定のコンセプト及びポリシーテンプレートがポリシー及びデータ構造テンプレート470で提供されるが、新たなテンプレートを導入することが可能である。該テンプレートは、ポリシーの議論及び改良を開始するための、様々なレベルのコンセプトについての第1の抽象化を提供する。該システムは、高レベルコンセプトの低レベルコンセプトへの半自動的なマッピングをサポートするが、最終的には複数のステークホルダが、異なる抽象化レベルにおけるこれらコンセプト間の依存関係リンクを連携して生成して、(潜在的にこれらのテンプレートドリブンな)ポリシーへの関連する要件及びクラスタコンセプト(及び要件)を導出することが可能である。
中央及び共通のナレッジベース480及び様々な企業ステークホルダにより生成される情報が存在することが可能である。ステークホルダは、組織の所与の層におけるコンセプト及び要件の役割によって定義される専門知識レベルで該コンセプト及び要件を定義する。それらは、上位又は下位レベルで定義されたコンセプトをナビゲートし探索することが可能である。この関係で、それらは、他のステークホルダ(異なる抽象化レベルで動作するもの)と対話して説明及び更なる詳細を求めることが可能である。これらのディスカッションを追跡してディスカッションデータベース414に格納することが可能である。これにより、ステークホルダがコンセプトを連携して改良してそれらの間に(同一レベルで又は複数レベルにわたって)依存関係リンクを導入することが可能となる。このサービスにより提供される機能は、ステークホルダが、次いで所定のテンプレート(例えばガイドライン)を潜在的に使用することによりコンセプト(及び関連する要件、ドキュメント化、詳細など)をポリシーへと集約させることを可能にすることである。コンセプトの処理と同様にして、ステークホルダは、これらのポリシーを他のステークホルダと共に改訂し、問題提起し、及び議論して、それらの間の依存関係リンクを生成し、並びに矛盾及び非一貫性を潜在的に識別することが可能である。異なる抽象化レベルにわたるコンセプト及びポリシーの変化による影響は、依存関係を使用することによりサービス400により自動的に追跡することが可能である。関係するステークホルダに通知が行われ、このため、様々な抽象化レベルにわたる更なる議論及び潜在的な改良が可能となる。
連携サービス400は、様々なステークホルダの様々な役割及び背景に応じて構成された様々なユーザインタフェイス(UI)及びサポート能力を提供する。全体的な改良の連鎖のビューが、その検討、議論、及び変更のために、関連するステークホルダに提供される。高レベルポリシーの一例が、法的措置により設定された一組のデータ保護原理(例えば英国データ保護法)である。概念的には、プライバシーコンセプト及びセキュリティコンセプトを下位レベルの一様な表現で1つにまとめることが可能であり、例えば、かかる原理の一態様に対応するIF THEN...表現を用いて一層改良された抽象化レベルでそれらポリシーを定義することが可能であり、例えば、Target: Personal Data DIF (Data Requestor is User U/Role R in Context C) AND (Data Requestor wants to access personal data D for Purpose P) AND (data subject has given consent for this data) THEN Allow Access to X ELSE Deny Access.(ターゲット:個人データDIF(データ要求者はコンテキストCでユーザU/役割Rである)且つ(データ要求者が目的Pのために個人データDへのアクセスを所望している)且つ(データ主体がこのデータのための同意を与えている)である場合にはXへのアクセスを許可し、それ以外の場合にはアクセスを拒否する。)これらの要件及びポリシーは、例えば、XACML等の言語で、強制実施可能な技術的ポリシーへとマッピングすることが可能である。サービス400の出力は、一組の階層的なコンセプト及びポリシーとすることが可能である。ポリシーの最下位レベルは、様々な動作制御ポイント、例えば、強制実施、監視、コンプライアンスチェックへとマッピングされる。
上述した構造的及び機能的な特徴に鑑み、図5を参照して例示的な方法を一層良好に理解することができよう。説明の単純化のため、図5の実施形態は、各ステップを順次実行するものとして図示し説明するが、本実施形態は、かかる図示の順序に限定されるものではなく、別の実施形態では本書で図示し説明する幾つかのアクションをそれとは異なる順序で及び/又は同時に実行することが可能である、ということが理解され評価されよう。更に、本方法を実施するために本開示の全てのアクションを実行する必要はない。
図5は、連携ポリシーを生成するための例示的な方法500を示している。該方法500は、例えばコンピュータにより実行することが可能である。ステップ510で、方法500は、所与の組織の複数の層からポリシー入力を収集することを含む。例えば、これは、図2に関して上述したようなユーザインタフェイスで実施することが可能である。ステップ520で、方法500は、前記ポリシー入力を解析して前記複数の層間のポリシー適合性を判定することを含む。例えば、これは、連携ポリシー改良サービスを利用して複数の層間に又は複数の層自体の内部に矛盾又は不一致が存在することを判定することを含むことが可能である。ステップ530で、方法500は、複数の層間のポリシーの矛盾を解決するために対話型インタフェイスを起動させることを含む。例えば、これは、ポリシー上の問題を解決するための更なる連携及び議論のために組織の様々な層におけるユーザ及びシステムを自動的に接続する対話型ポリシーコンポーネントを採用することを含むことが可能である。ステップ540で、方法500は、組織の複数の層間で適合性を有するポリシーを生成することを含む。例えば、これは、連携ポリシー改良サービス及び対話型ポリシーコンポーネントからの入力を利用して一組織にわたり一貫性及び適合性を有するポリシーを生成する連携ツールを採用することを含むことが可能である。
図6は、図1ないし図5で開示した実施形態を実施することができるハードウェア要素の例示的なシステム600の概要を示すブロック図である。該システム600は、様々なシステム及びサブシステムを含むことが可能である。システム600は、パーソナルコンピュータ、ラップトップコンピュータ、ワークステーション、コンピュータシステム、アプライアンス、特定用途向け集積回路(ASIC)、サーバ、サーバブレードセンター、サーバファーム、スマートフォン等のモバイル装置、携帯情報端末(PDA)その他とすることが可能である。
該システム600は、システムバス602、処理装置604、システムメモリ606、記憶装置608,610、通信インタフェイス612(例えばネットワークインタフェイス)、通信リンク614、ディスプレイ616(例えばビデオ画面)、及び入力装置618(例えばキーボード及び/又はマウス)を含むことが可能である。システムバス602は、処理装置604及びシステムメモリ606と通信可能な状態にある。ハードディスクドライブ、サーバ、スタンドアロンデータベース、又はその他の不揮発性メモリといった更なる記憶装置608,610もまた、システムバス602と通信可能な状態にある。システムバス602は、処理装置604、記憶装置608,610、通信インタフェイス612、ディスプレイ616、及び入力装置618を動作可能な状態で相互接続する。実施形態によっては、システムバス602は、USB(Universal Serial Bus)ポート等の更なるポート(図示せず)もまた動作可能な状態で相互接続する。
処理装置604は、コンピューティング装置とすることが可能であり、また特定用途向け集積回路(ASIC)を含むことが可能である。処理装置604は、本書で開示する実施形態の操作を実施するために一組の命令を実行する。該処理装置はプロセッサコアを含むことが可能である。
更なる記憶装置606,608,610は、データ、プログラム、命令、テキスト形態又はコンパイルされた形態でのデータベースクエリ、及びコンピュータを動作させるために必要となり得る他の任意の情報を格納することが可能である。記憶装置606,608,610は、メモリカード、ディスクドライブ、コンパクトディスク(CD)、ネットワークを介してアクセスすることが可能なサーバといったコンピュータ読み取り可能媒体(内蔵又はリムーバブル)として実施することが可能である。特定の実施形態では、記憶装置606,608,610は、テキスト、イメージ、ビデオ、及び/又はオーディオを含むことが可能である。
更に、記憶装置608,610は、データベース又はデータストレージとして働くことが可能である。追加的又は代替的に、システム600は、システムバス602及び通信リンク614と通信することが可能な通信インタフェイス612を介して外部システム(例えばウェブサービス)にアクセスすることが可能である。
動作時に、システム600を使用して、例えば、クライアントコンピュータ、プリンタサーバ、及びプリントジョブを管理するシステムで用いることができるプリンタの少なくとも幾つかの構成要素を実施することが可能である。システム600を実施するためのコンピュータ実行可能ロジックは、特定の実施形態に応じて、システムメモリ606内及び/又は記憶装置608及び/又は610内に存在することが可能である。処理装置604は、システムメモリ606及び記憶装置608,610を出所とする1つ以上のコンピュータ実行可能命令を実行する。本書で用いる用語「コンピュータ読み取り可能媒体」は、命令をその実行のために処理装置604へ提供することに関与する媒体を称するものである。
上述したものは実施形態である。構成要素又は方法の考え得る全ての組み合わせを説明することが不可能であることは勿論であるが、多数の更なる組み合わせ及び置換が可能であることが当業者には理解されよう。したがって、本開示は、特許請求の範囲を含む本願の範囲内に含まれるかかる変更、修正、変形の全てを包含することを意図したものである。

Claims (15)

  1. マシン読み取り可能命令を格納するためのマシン読み取り可能記憶媒体を備えたシステムであって、該マシン読み取り可能命令が、
    組織の複数の層から複数のポリシー入力を収集し、及び該複数のポリシー入力を解析して前記組織の前記複数の層間で矛盾が存在するか否かを判定する、という各ステップをコンピュータに実行させる、連携ポリシー改良サービスと、
    前記矛盾が存在すると判定された場合に該矛盾を解決するために対話型インタフェイスを起動させて該矛盾を解決するための更なる連携及び議論のために前記組織の様々な層におけるユーザ及びシステムを自動的に接続するステップを前記コンピュータに実行させる、対話型ポリシーコンポーネントとからなり、
    前記連携ポリシー改良サービスが更に、前記組織の前記複数の層にわたり一貫性を有するポリシーを生成するステップを前記コンピュータに実行させるものである、
    システム。
  2. 前記組織の前記複数の層が、法務層、業務層、プロセス層、アプリケーション/サービス層、情報/データ層、システム/デバイス層、又はネットワーク層に関係するものである、請求項1に記載のシステム。
  3. 前記組織の前記層に割り当てられたステークホルダに関連づけられたインタフェイスを更に含み、該インタフェイスが、前記対話型ポリシーコンポーネントとの連携を容易化する、請求項1又は請求項2に記載のシステム。
  4. 前記マシン読み取り可能命令が、前記組織の前記複数の層にわたってポリシーの依存関係を追跡することにより様々な抽象化レベルでセキュリティポリシーを定義し改良するステップを前記コンピュータに実行させる命令を更に含む、請求項1ないし請求項3の何れか一項に記載のシステム。
  5. 前記組織の前記複数の層と前記セキュリティポリシーとの間のマッピングを可能にするテンプレートを更に含む、請求項1ないし請求項4の何れか一項に記載のシステム。
  6. 前記インタフェイスが、ユーザの役割によって定義されるセキュリティポリシーの生成を可能にする、請求項3に記載のシステム。
  7. 前記インタフェイスが、前記ポリシーと前記組織の前記複数の層との間の依存関係リンクをユーザが定義することを可能にする、請求項6に記載のシステム。
  8. 前記インタフェイスが、前記ユーザの役割に従って修正される、請求項6に記載のシステム。
  9. 前記インタフェイスが、セキュリティポリシーの定義に関連する監視、警告、又は違反を提供する、請求項6に記載のシステム。
  10. 前記インタフェイスが、前記監視、前記警告、又は前記違反を前記組織の他のメンバに対して共有する、請求項9に記載のシステム。
  11. コンピュータのメモリに格納されている連携ポリシー改良サービスプログラムを該コンピュータにより実行することにより組織の複数の層から複数のポリシー入力を収集し、
    前記コンピュータにより前記連携ポリシー改良サービスプログラムを実行することにより前記複数のポリシー入力を解析して前記組織の前記複数の層間のポリシーの適合性を判定し、
    該ポリシーの非適合性が存在すると判定された場合に、前記コンピュータの前記メモリに格納されている対話型ポリシーコンポーネントプログラムを該コンピュータにより実行することにより、前記組織の前記複数の層間のポリシーの非適合性を解決するために対話型インタフェイスを起動して組織の複数の層間の該ポリシーの非適合性を解決するための更なる連携及び議論のために該組織の様々な層におけるユーザ及びシステムを自動的に接続し、
    前記組織の前記複数の層間で適合性を有するポリシーを連携ツールにより生成する、
    という各ステップからなる、コンピュータにより実施される方法。
  12. 前記コンピュータにより改良プログラムを実行することにより、前記組織の前記複数の層にわたってポリシーの依存関係を追跡することにより様々な抽象化レベルでポリシーを改良するステップを更に含む、請求項11に記載のコンピュータにより実施される方法。
  13. 前記コンピュータにより対話型ポリシーコンポーネントプログラムを実行することにより、前記組織の前記複数の層と前記ポリシーとの間のマッピングを可能にするテンプレートを生成するステップを更に含む、請求項11又は請求項12に記載のコンピュータにより実施される方法。
  14. ユーザの役割に従うポリシーをインタフェイスにより生成するステップを更に含む、請求項13に記載のコンピュータにより実施される方法。
  15. コンピュータに関するコンピュータ実行可能命令を格納するための記憶手段と、
    該記憶手段にアクセスして前記コンピュータ実行可能命令を実行するための処理装置とを備えたシステムであって、該コンピュータ実行可能命令が、
    所与の組織の所与のレベルからポリシー入力を受信する連携ポリシー改良サービスであって、該ポリシー入力を解析して該組織の他のレベルとの適合性を判定する、連携ポリシー改良サービスと、
    非適合性が存在すると判定された場合に、前記組織の複数の層間のポリシーの非適合性を解決するために対話型インタフェイスを起動させて組織の複数の層間の該ポリシーの非適合性を解決するための更なる連携及び議論のために前記組織の様々な層におけるユーザ及びシステムを自動的に接続する、対話型ポリシーコンポーネントであって、前記ポリシー入力に関連するクエリを受信して前記組織の前記他のレベルとの非適合性の解決を容易化させる、対話型ポリシーコンポーネントと、
    前記組織に対するセキュリティ及びプライバシーアクセスを制御するポリシー出力であって、該ポリシー出力が、前記組織の複数のレベルにわたって前記ポリシー入力及び前記クエリに部分的に基づいて改良される、ポリシー出力と、
    前記組織の前記レベルに割り当てられたステークホルダに関連づけられたインタフェイスであって、前記対話型ポリシーコンポーネントとの更なる連携を容易化する、インタフェイスと、
    前記組織の前記レベルと前記ポリシー出力との間のマッピングを可能にするテンプレートと
    からなる、システム。
JP2014514445A 2011-06-16 2011-06-16 ポリシー生成システム及び方法 Active JP5990264B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/US2011/040658 WO2012173626A1 (en) 2011-06-16 2011-06-16 System and method for policy generation

Publications (2)

Publication Number Publication Date
JP2014519131A JP2014519131A (ja) 2014-08-07
JP5990264B2 true JP5990264B2 (ja) 2016-09-07

Family

ID=47357385

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014514445A Active JP5990264B2 (ja) 2011-06-16 2011-06-16 ポリシー生成システム及び方法

Country Status (7)

Country Link
US (1) US10536483B2 (ja)
EP (1) EP2721485A4 (ja)
JP (1) JP5990264B2 (ja)
KR (1) KR20140043389A (ja)
CN (1) CN103597445A (ja)
BR (1) BR112013032289A8 (ja)
WO (1) WO2012173626A1 (ja)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8650250B2 (en) 2010-11-24 2014-02-11 Oracle International Corporation Identifying compatible web service policies
US9589145B2 (en) 2010-11-24 2017-03-07 Oracle International Corporation Attaching web service policies to a group of policy subjects
US8560819B2 (en) 2011-05-31 2013-10-15 Oracle International Corporation Software execution using multiple initialization modes
US8914843B2 (en) * 2011-09-30 2014-12-16 Oracle International Corporation Conflict resolution when identical policies are attached to a single policy subject
US9189644B2 (en) 2012-12-20 2015-11-17 Bank Of America Corporation Access requests at IAM system implementing IAM data model
US9529629B2 (en) 2012-12-20 2016-12-27 Bank Of America Corporation Computing resource inventory system
US9537892B2 (en) * 2012-12-20 2017-01-03 Bank Of America Corporation Facilitating separation-of-duties when provisioning access rights in a computing system
US9294364B2 (en) * 2013-11-01 2016-03-22 Nokia Technologies Oy Method and apparatus for transforming application access and data storage details to privacy policies
US10069868B2 (en) * 2014-03-28 2018-09-04 Intel Corporation Systems and methods to facilitate multi-factor authentication policy enforcement using one or more policy handlers
US9817977B2 (en) * 2014-04-04 2017-11-14 Palo Alto Research Center Incorporated Methods for selection of collaborators for online threat mitigation
EP3216177B1 (en) * 2014-11-06 2021-04-14 Hewlett Packard Enterprise Development LP Network policy graphs
CN109716345B (zh) * 2016-04-29 2023-09-15 普威达有限公司 计算机实现的隐私工程系统和方法
US10812342B2 (en) 2017-04-28 2020-10-20 Hewlett Packard Enterprise Development Lp Generating composite network policy
US10715554B2 (en) * 2018-09-26 2020-07-14 EMC IP Holding Company LLC Translating existing security policies enforced in upper layers into new security policies enforced in lower layers
US11146403B2 (en) * 2019-01-15 2021-10-12 Dell Products L.P. Self-governed secure attestation policy for server data privacy logs

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0752652B1 (en) 1995-07-03 1998-12-16 Sun Microsystems, Inc. System and method for implementing a hierarchical policy for computer system administration
US6466932B1 (en) * 1998-08-14 2002-10-15 Microsoft Corporation System and method for implementing group policy
US6167445A (en) 1998-10-26 2000-12-26 Cisco Technology, Inc. Method and apparatus for defining and implementing high-level quality of service policies in computer networks
US6393474B1 (en) * 1998-12-31 2002-05-21 3Com Corporation Dynamic policy management apparatus and method using active network devices
DE60015709T2 (de) * 2000-01-19 2005-11-10 Hewlett-Packard Development Co., L.P., Houston Sicherheitspolitik, die auf eine Gemeinschaftsdaten-Sicherheitsarchitektur angewendet wird
US7171459B2 (en) * 2000-06-07 2007-01-30 Microsoft Corporation Method and apparatus for handling policies in an enterprise
JP4346815B2 (ja) 2000-12-28 2009-10-21 三菱電機株式会社 ネットワーク設定管理装置及びネットワークシステム並びにネットワーク設定管理方法
US7434202B2 (en) * 2002-09-05 2008-10-07 Bea Systems, Inc. System and method for software component dependency checking
US7546633B2 (en) 2002-10-25 2009-06-09 Microsoft Corporation Role-based authorization management framework
US20040111643A1 (en) * 2002-12-02 2004-06-10 Farmer Daniel G. System and method for providing an enterprise-based computer security policy
US7308711B2 (en) * 2003-06-06 2007-12-11 Microsoft Corporation Method and framework for integrating a plurality of network policies
US7484237B2 (en) 2004-05-13 2009-01-27 Hewlett-Packard Development Company, L.P. Method and apparatus for role-based security policy management
JP4640776B2 (ja) * 2004-12-24 2011-03-02 株式会社エヌ・ティ・ティ・データ 情報システム設定装置、情報システム設定方法及びプログラム
US20070113288A1 (en) * 2005-11-17 2007-05-17 Steven Blumenau Systems and Methods for Digital Asset Policy Reconciliation
US9407662B2 (en) 2005-12-29 2016-08-02 Nextlabs, Inc. Analyzing activity data of an information management system
CN100527694C (zh) * 2006-05-10 2009-08-12 华为技术有限公司 为小型网络提供多个公网业务的方法及设备
JP4882671B2 (ja) 2006-11-01 2012-02-22 富士通株式会社 アクセス制御方法及びアクセス制御システム並びにプログラム
US8010991B2 (en) * 2007-01-29 2011-08-30 Cisco Technology, Inc. Policy resolution in an entitlement management system
US8023504B2 (en) * 2008-08-27 2011-09-20 Cisco Technology, Inc. Integrating security server policies with optimized routing control
KR101294951B1 (ko) * 2009-02-10 2013-08-23 닛본 덴끼 가부시끼가이샤 폴리시 관리 장치, 폴리시 관리 시스템, 그것에 이용하는 방법 및 정보 저장 매체
EP2404259A1 (en) * 2009-03-04 2012-01-11 Koninklijke Philips Electronics N.V. Specifying an access control policy
US9742778B2 (en) * 2009-09-09 2017-08-22 International Business Machines Corporation Differential security policies in email systems
WO2011061804A1 (ja) 2009-11-19 2011-05-26 株式会社日立製作所 コンピュータシステム、管理システム及び記録媒体
CN101916404A (zh) * 2010-08-06 2010-12-15 沈阳工业大学 一种装备制造过程多厂协同调度优化方法

Also Published As

Publication number Publication date
KR20140043389A (ko) 2014-04-09
EP2721485A1 (en) 2014-04-23
BR112013032289A2 (pt) 2016-12-20
JP2014519131A (ja) 2014-08-07
WO2012173626A1 (en) 2012-12-20
US10536483B2 (en) 2020-01-14
US20140096188A1 (en) 2014-04-03
EP2721485A4 (en) 2014-12-10
CN103597445A (zh) 2014-02-19
BR112013032289A8 (pt) 2018-04-03

Similar Documents

Publication Publication Date Title
JP5990264B2 (ja) ポリシー生成システム及び方法
Vom Brocke et al. Towards a business process-oriented approach to enterprise content management: the ECM-blueprinting framework
US8978114B1 (en) Recommendation engine for unified identity management across internal and shared computing applications
US11416830B2 (en) Method and system for automatically creating action plans based on an action plan template
US20220172222A1 (en) Determining a combined compliance assessment metric
US11171825B2 (en) Context-based resource allocation with extended user concepts
CN111552953B (zh) 安全策略作为服务
US20150101017A1 (en) Cloud resource cloning based on collaborative content
Takabi et al. Semantic-based policy management for cloud computing environments
US11055093B1 (en) Methods and systems for automated, intelligent application development by scanning metadata by a plug-in to make recommendations
US11120155B2 (en) Extensibility tools for defining custom restriction rules in access control
US20160189085A1 (en) Expert response team assembler solution
US11055308B2 (en) Systems and methods for integrated dynamic runtime ETL tool and scalable analytics server platform
US11829387B2 (en) Similarity based digital asset management
Tawfique et al. Decision to migrate to the Cloud: A focus on security from the consumer perspective
Masuda et al. Direction of digital it and enterprise architecture
US11063951B1 (en) Systems and methods for correcting file system permissions
Ruiz et al. A framework and implementation for secure knowledge management in large communities
US20220237550A1 (en) Enterprise legal platform backed by custom tables integrated into a data lake
Aljarba et al. Business intelligence challenges: Case studies of Saudi general agencies
Radeck Automated deployment of machine learning applications to the cloud
US20230153363A1 (en) Systems and methods for enhanced content management interoperability services interfaces and repository integration
US20090007157A1 (en) Mapping Data Sources to a Procedural API
US20230368225A1 (en) Systems and Methods Facilitating Survey Completion and Review
US20230421567A1 (en) Systems for Securely Tracking Incident Data and Automatically Generating Data Incident Reports Using Collaboration Rooms with Dynamic Tenancy

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20141126

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20141202

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150225

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20150609

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151008

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20151019

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20151106

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160812

R150 Certificate of patent or registration of utility model

Ref document number: 5990264

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R360 Written notification for declining of transfer of rights

Free format text: JAPANESE INTERMEDIATE CODE: R360

R360 Written notification for declining of transfer of rights

Free format text: JAPANESE INTERMEDIATE CODE: R360

R371 Transfer withdrawn

Free format text: JAPANESE INTERMEDIATE CODE: R371

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250