本発明では、ファイルサーバの管理者が、ファイルサーバ内の各フォルダのアクセス権限を管理しやすい構成に設定し直していく状況(整理や棚卸しなど)を想定する。
本実施形態では、ファイルサーバ内の各フォルダにアクセス権が付与されているユーザ単位のアクセス権限を、現在の権限と継承状態とを維持しながら、グループ単位のアクセス権限へ変更する旨の推薦を行う。また、本実施形態では、グループ単位のアクセス権の設定が行えるような、ディレクトリサービス内のグループに所属するメンバ構成の変更する旨の推薦を行う。
ここで、ディレクトリサービスとは、ネットワーク上に存在するユーザ及びグループ、サーバ、プリンタなどの資源を一元的に管理する機能のことである。
また、本発明では、以下の性質を利用する。
第一に、通常、ファイルサーバの共有フォルダ内の各フォルダは、事業部など部署や、プロジェクト、製品チーム、作業チームなどの単位で利用できるようなアクセス権が設定されることが多い。
しかし、同じフォルダに権限が設定されているユーザでも、一般利用者と共有フォルダを管理する管理者や役職が高いユーザとでは、設定されている権限が異なることがほとんどである。例えば、一般利用者ユーザには、“書き込み・読み取り”権限のみが設定される一方、フォルダ管理者ユーザには、“フルコントロール”権限が設定されている場合が多い。
このため、同じフォルダに同じアクセス権が付与されているユーザ同士は、同じ製品チームなどに所属している可能性があり、同じグループに所属させた方が良い、または、関連性が大きいと判断できる。
また、フォルダのアクセス権には、アクセス権を管理しやすくするために、親フォルダと同じアクセス権を設定する“継承”という仕組みがある。継承元の親フォルダのアクセス権が変更されると、継承先のアクセス権も変更されるという仕組みである。
継承されたアクセス権のユーザは、上位フォルダにもアクセス権があるなど、アクセスできる範囲が広い。一方、継承されていないアクセス権のユーザは、そのフォルダのみアクセスできるなど、アクセスできる範囲が狭い。このように、継承の有無により、アクセスできる範囲は、異なる可能性が高い。
例えば、フォルダ管理者ユーザは、上位フォルダ配下のすべてのフォルダに対して、継承によりアクセス権が設定されることが多い。また、フォルダ末端のプロジェクトチームのフォルダには、継承されたフォルダ管理者ユーザのアクセス権とは異なり、プロジェクト作業者ユーザのアクセス権が非継承で付与される。
同じフォルダに付与されている継承状態が異なるユーザ同士は、アクセス可能なフォルダ範囲が異なる可能性が大きく、アクセス可能なレベルが異なることため、同じグループとしない方が良い、または、関連性が小さいと判断できる。
第二に、ディレクトリサービス内のユーザにはプロパティ情報(属性情報)が設定でき、特定の属性には、所属や役職などの利用者の情報を登録しておくことが一般的である。このため、例えば、“所属”属性の値が同じユーザ同士は、同じ事業部に所属している可能性が高いため、同じグループに所属させた方が良い可能性が高い、または、関連性が大きいと判断できる。一方、属性値が異なるユーザ同士は、別のグループに所属させた方が良い可能性が高い、または、関連性が小さいと判断できる。
また、同じフォルダに同じアクセス権限または継承状態で付与されている各ユーザの属性値情報も参照することで、同じグループに所属させた方が良いか否かを判断する際の信頼度を、より上げることができる。さらに、同じグループに所属する各ユーザの属性値情報を参照することで、グループの所属メンバの構成を推薦する際の信頼度を上げることもできる。
第三に、対象フォルダへのアクセス権が付与されているユーザが、他のフォルダにも個別ユーザとしてアクセス権が付与されている場合、他のフォルダのアクセス権も参照して、グループ構成とアクセス権を推薦することが好ましい。他のフォルダも考慮することで、ユーザ同士の関連の大きさを、より推薦に反映できる。一方で、他のフォルダを考慮しないと、所属メンバが重複するグループが複数できてしまう可能性もある。
上記特徴を利用して、本発明では、多数のフォルダへのアクセス許可および継承状態を考慮した各グループの所属メンバ構成の推薦を可能とする。また、本発明では、上記特徴を利用して、現在の権限からアクセス権の範囲が広がらないようなアクセス権の推薦およびグループの所属メンバ構成の推薦を可能とする。
本発明のアクセス権整理補助装置は、概略、以下の処理を行う。
まず、アクセス権整理補助装置は、対象フォルダに個別にアクセス権が設定されているユーザを、アクセス種別(許可・拒否)ごと、アクセス許可(読み取り権限、書き込み権限など)ごと、継承状態(継承されている、継承されていない)ごとに、各タイプに分類する(ステップS1)。
アクセス権整理補助装置は、各フォルダで、ステップS1で分類した同じタイプのユーザの組み合わせと、同じタイプのユーザの属性値とから、同じグループに所属させた方が良い可能性の高さを表す数値(以下、“グループ所属推薦度”と記す。)を算出する(ステップS2)。
アクセス権整理補助装置は、グループ所属推薦度が高いユーザの組み合わせが、所属メンバとして、すべて(または、9割以上など、一定数以上)含まれるグループを検出する(ステップS3)。
アクセス権整理補助装置は、ステップS3で検出したグループに対して、所属メンバであるユーザの属性値などから、所属メンバの一部を新規グループへ分離させた方が良い度合いを示す推薦度(以下、“ユーザ分離推薦度”と記す。)を算出する。また、アクセス権整理補助装置は、既存グループの所属メンバにユーザを追加した方が良い度合いを示す推薦度(以下、“ユーザ追加推薦度”と記す。)を算出する(ステップS4)。
アクセス権整理補助装置は、ステップS4で算出した推薦度に基づいて、新規グループへのユーザの分離や、既存グループへのユーザの追加など、グループの所属メンバの構成変更を推薦する。さらに、アクセス権整理補助装置は、分離した新規グループに対象フォルダのアクセス権を付与したり、既存グループにアクセス権を付与したりする推薦を行う(ステップS5)。
以下、本発明の実施形態を図面を参照して詳細に説明する。
実施形態1.
図1は、本発明によるアクセス権整理補助装置の一実施形態を示すブロック図である。本実施形態のアクセス権整理補助装置10は、ユーザ属性取得部102と、グループ所属ユーザ取得部104と、フォルダ毎アクセス権取得分類部106と、グループ所属推薦度算出部108と、グループ所属メンバ分離・追加推薦部110と、アクセス権推薦部111と、アクセス権・所属メンバ構成反映部114とを備えている。
さらに、本実施形態のアクセス権整理補助装置10は、オブジェクト情報格納部101と、グループ所属ユーザ格納部103と、アクセス権分類タイプ格納部105と、フォルダ毎アクセス権格納部107と、グループ所属推薦度格納部109と、推薦グループ所属メンバ構成格納部112と、推薦アクセス権格納部113とを備えている。
オブジェクト情報格納部101と、グループ所属ユーザ格納部103と、アクセス権分類タイプ格納部105と、フォルダ毎アクセス権格納部107と、グループ所属推薦度格納部109と、推薦グループ所属メンバ構成格納部112と、推薦アクセス権格納部113とは、例えば、磁気ディスク装置により実現される。なお、本実施形態では、保持する情報ごとに格納部が存在するが、1つの格納部が複数の情報を記憶するようにしてもよい。
また、本実施形態のアクセス権整理補助装置10は、アクセス権およびグループ構成を推薦する装置であることから、アクセス権整理補助装置のことをアクセス権・グループ構成推薦装置ということができる。
図2は、グループの構成および各フォルダのアクセス権を推薦する処理の例を示す説明図である。図2(a)は、ある共有フォルダ内のフォルダ構成において、各ユーザのアクセス権をグループ単位のアクセス権に変更する推薦処理を例示している。
図2(a)に示す例では、Aプロジェクトフォルダの権限として、ユーザ「開発太郎」および「開発次郎」には「書き込み・許可・非継承」が、ユーザ「開発部長」には、「フルコントロール・許可・継承」が、それぞれ設定されているとする。このとき、アクセス権整理補助装置10は、Aプロジェクトフォルダについて「書き込み・許可・非継承」のアクセス権が設定されたグループ(開発担当)および「フルコントロール・許可・継承」のアクセス権が設定されたグループ(開発管理職)へのアクセス権の変更を推薦する。
図2(b)は、あるディレクトリサービスのグループに所属する所属メンバ構成の変更推薦処理を例示している。図2(b)に示す例では、グループ「開発部」配下のグループ構成があまり管理されていない状況である。そこで、アクセス権整理補助装置10は、開発部のグループ内を3つのグループへ変更する推薦処理、および、各グループの所属メンバの構成を変更する推薦処理を行う。
図3は、本実施形態のアクセス権整理補助装置10の処理およびデータの流れを含む動作例を示す説明図である。図3において、実線の矢印は処理の流れを示し、破線の矢印はデータの流れを示す。
アクセス権整理補助装置10は、ファイルサーバ20、ディレクトリサービスサーバ30およびクライアント端末40と接続される。
ファイルサーバ20は、フォルダ・ファイル構成201と、フォルダ・ファイルアクセス権202とを保持する。
ディレクトリサービスサーバ30は、ユーザ・グループ構成301と、グループ所属メンバ情報302と、ユーザ・グループ属性情報303を保持する。
クライアント端末40は、推薦されるアクセス権やグループ所属メンバ構成を表示する表示部401を含む。
ユーザ属性取得部102は、ディレクトリサービスサーバ30が保持するユーザ・グループ構成301とグループ所属メンバ情報302から、ユーザとグループの情報(プロパティ情報)を取得する。ユーザ属性取得部102は、取得した各ユーザのプロパティ情報の中から、特定の属性の値を抽出し、まとめた情報をオブジェクト情報格納部101に記憶させる。
図4は、オブジェクト情報格納部101が記憶する情報の例を示す説明図である。図4に示す例では、オブジェクト情報格納部101が、各ユーザまたは各グループをそれぞれ1つのオブジェクトとして、そのオブジェクトの属性を表形式で記憶していることを示す。
例えば、図4に示す例では、オブジェクトID=1で特定される「開発太郎」はユーザであり、属性値“役職”、“部署”および“説明”が、それぞれ、“担当”、“開発部”および“A製品担当”であることを示す。
グループ所属ユーザ取得部104は、グループ所属メンバ情報302から、各グループの所属メンバ情報を取得する。ここで、所属メンバにグループが含まれる場合、グループ所属ユーザ取得部104は、さらにそのグループの所属メンバを取得する。本実施形態では、所属メンバにはユーザおよびグループが含まれる。グループ所属ユーザ取得部104は、所属するすべてのユーザを取得すると、まとめた情報をグループ所属ユーザ格納部103に記憶させる。
図5は、グループ所属ユーザ格納部103が記憶する情報の例を示す説明図である。図5に示す例では、グループ所属ユーザ格納部103が、各グループに所属するユーザ(所属メンバ)を表形式で記憶していることを示す。
例えば、図5に示す例では、グループのオブジェクトID=3で特定されるグループには、ユーザのオブジェクトID=1,2,6で特定されるユーザが所属しており、そのうち、ユーザのオブジェクトID=1で特定されるユーザのみが直下に属するユーザであることを示す。
フォルダ毎アクセス権取得分類部106は、ファイルサーバ20から、共有フォルダ内の各フォルダパスと、各フォルダパスに付与されているアクセス権の設定情報を取得する。また、フォルダ毎アクセス権取得分類部106は、オブジェクト情報格納部101の表から、フォルダパスで特定される各フォルダにアクセス権が付与されているユーザおよびグループの情報(具体的には、オブジェクトID、オブジェクト名、ユーザまたはグループ、などの情報)を取得する。
そして、フォルダ毎アクセス権取得分類部106は、アクセス権の分類タイプに当てはまる識別子(以下、分類タイプIDと記す。)を取得し、フォルダ毎にアクセス権を特定して、フォルダ毎アクセス権格納部107に格納する。アクセス権の分類タイプは、予め作成され、例えば、アクセス権分類タイプ格納部105に表形式で保持される。
図6は、アクセス権分類タイプの例を示す説明図である。図6に示す例では、分類タイプIDで識別されるアクセス権の分類タイプは、アクセスを許可するか拒否するかを示す種別(アクセス権種別)、アクセスが許可される内容(アクセス許可)、および継承の状態を示す内容(継承状態)で特定される。
また、図7は、フォルダ毎のアクセス権の例を示す説明図である。図7に示す例では、フォルダパスごとに、アクセス権が付与されているオブジェクトのオブジェクトID、アクセス権の分類タイプIDおよび(継承元が存在する場合には)継承元のフォルダ名が対応付けられていることを示す。
すなわち、フォルダ毎アクセス権取得分類部106は、各フォルダ内に存在するユーザまたはグループを示すオブジェクトに設定されているアクセス権に基づいて、フォルダごとに各オブジェクトのアクセス権の分類タイプ(アクセス権種別・アクセス許可・継承状態)を特定する。
グループ所属推薦度算出部108は、フォルダ毎アクセス権格納部107に格納された情報とオブジェクト情報格納部101に格納された情報から、各フォルダに付与されているアクセス権と、整理対象フォルダにアクセス権が設定されているユーザの属性値を取得する。
また、グループ所属推薦度算出部108は、整理対象フォルダに存在する同じ分類タイプIDのユーザの組み合わせ毎に、各属性値が一致する数(以下、属性値数と記す。)を算出する。さらに、グループ所属推薦度算出部108は、整理対象フォルダ以外で、同じ分類タイプIDのユーザの組み合わせが存在するフォルダ数を特定する。そして、グループ所属推薦度算出部108は、特定したフォルダ数と属性値数とから、グループ所属推薦度を算出する。
ここで、同じ分類タイプIDのユーザの組み合わせが存在する整理対象フォルダ以外のフォルダ数には、継承状態になっているユーザの組み合わせが存在するフォルダを含まない。継承されている場合、配下フォルダすべての継承されるアクセス権が付与されるため、継承されているユーザの組み合わせも数に含めてしまうと、継承されているユーザの組み合わせの傾向が意図せず強くなってしまうからである。
グループ所属推薦度算出部108は、算出したグループ所属推薦度をグループ所属推薦度格納部109に格納する。図8は、グループ所属推薦度の例を示す説明図である。図8に示す例では、グループ所属推薦度格納部109が、ユーザの組み合わせごとに算出されたグループ所属推薦度を表形式で格納していることを示す。
すなわち、グループ所属推薦度算出部108は、対象フォルダに存在する分類タイプを含むフォルダ数を対象フォルダ以外で特定し、対象フォルダの分類タイプごとにアクセス権が設定されているユーザの属性値を取得し、属性値が一致する属性値数が多いほど、かつ、フォルダ数が多いほど大きくなるようにグループ所属推薦度を算出する。
グループ所属メンバ分離・追加推薦部110は、グループ所属推薦度格納部109から、グループ所属推薦度を取得し、最もグループ所属推薦度が高いユーザの組み合わせを取得する。また、グループ所属メンバ分離・追加推薦部110は、グループ所属ユーザ格納部103から、各グループの所属メンバ(ユーザ)を取得し、オブジェクト情報格納部101から、各グループの所属メンバになるユーザの属性値を取得する。
そして、グループ所属メンバ分離・追加推薦部110は、取得したこれらの情報から、既存のグループの所属メンバ構成に変更が必要ないか、既存のグループの所属メンバにユーザを追加したら良いか、または、既存グループの所属メンバの一部を新規に作成したグループの所属メンバに移行する方が良いかを判定する。
グループ所属メンバ分離・追加推薦部110は、判定した結果として、推薦するグループの所属メンバの構成を、推薦グループ所属メンバ構成格納部112に格納する。なお、グループ所属メンバ分離・追加推薦部110が判定する方法は、後述される。
図9は、推薦グループおよび構成メンバの判定結果例を示す説明図である。図9に示す例では、変更を推薦するグループごとに所属メンバ(または含まれるグループ)を対応付けていることを示す。
アクセス権推薦部111は、推薦グループ所属メンバ構成格納部112から推薦するグループ所属メンバ構成を取得し、取得した情報をもとに、整理対象フォルダについて推薦するアクセス権の設定を作成する。アクセス権推薦部111は、作成した設定を推薦アクセス権格納部113に格納する。また、アクセス権推薦部111は、クライアント端末40に、推薦するアクセス権の設定を送信する。
図10は、推薦するアクセス権の設定例を示す説明図である。図10に示す例では、整理対象のフォルダ(フォルダパス)ごとに、推薦するアクセス権を付与するオブジェクト名(グループ名)および、その権限の内容(アクセス権種別、アクセス許可および継承状態)を対応付けていることを示す。
アクセス権・所属メンバ構成反映部114は、後述するクライアント端末40から変更を了承する旨の通知を受けると、ディレクトリサービスサーバ30内のグループ所属メンバ情報302に対して、推薦するグループ所属メンバへの変更指示を行う。合わせて、アクセス権・所属メンバ構成反映部114は、ファイルサーバ20内のフォルダ・ファイルアクセス権202に対して、推薦するアクセス権への変更指示を行う。
なお、クライアント端末40の表示部401は、推薦するアクセス権の設定を受信する。具体的には、表示部401は、アクセス権推薦部111から推薦グループ所属メンバ構成格納部112および推薦アクセス権格納部113に格納された整理対象フォルダについて推薦するアクセス権およびディレクトリサービス内の各グループの所属メンバ構成を受信し、ユーザに表示する。表示部401は、表示した画面上でユーザが推薦されたアクセス権変更と所属メンバ構成変更を了承する旨の指示(例えば、了承ボタン押下)を検知すると、アクセス権整理補助装置10に了承する旨を通知する。
ユーザ属性取得部102と、グループ所属ユーザ取得部104と、フォルダ毎アクセス権取得分類部106と、グループ所属推薦度算出部108と、グループ所属メンバ分離・追加推薦部110と、アクセス権推薦部111と、アクセス権・所属メンバ構成反映部114とは、プログラム(アクセス権整理補助プログラム)に従って動作するコンピュータのCPUによって実現される。
例えば、プログラムは、アクセス権整理補助装置10の記憶部(図示せず)に記憶され、CPUは、そのプログラムを読み込み、プログラムに従って、ユーザ属性取得部102、グループ所属ユーザ取得部104、フォルダ毎アクセス権取得分類部106、グループ所属推薦度算出部108、グループ所属メンバ分離・追加推薦部110、アクセス権推薦部111およびアクセス権・所属メンバ構成反映部114として動作してもよい。
また、ユーザ属性取得部102と、グループ所属ユーザ取得部104と、フォルダ毎アクセス権取得分類部106と、グループ所属推薦度算出部108と、グループ所属メンバ分離・追加推薦部110と、アクセス権推薦部111と、アクセス権・所属メンバ構成反映部114とは、それぞれが専用のハードウェアで実現されていてもよい。
次に、本実施形態のアクセス権整理補助装置10の動作を説明する。図11は、グループ所属推薦度算出部108がグループ所属推薦度を算出する処理の例を示すフローチャートである。
まず、グループ所属推薦度算出部108は、フォルダ毎アクセス権格納部107から、整理対象フォルダにアクセス権が付与されているユーザのオブジェクト名および分類タイプIDを取得する(ステップA1)。
次に、グループ所属推薦度算出部108は、ステップA1で取得した同じ分類タイプIDで特定されるユーザの組み合わせが存在する整理対象フォルダ以外のフォルダパスを取得する(ステップA2)。また、グループ所属推薦度算出部108は、オブジェクト情報格納部101から、ステップA1で取得した同じ分類タイプIDのユーザの特定を表す属性値も取得する(ステップA3)。
グループ所属推薦度算出部108は、ステップA2で取得したフォルダパス数と、ステップA3で取得した属性値で一致する属性値数から、ステップA1で取得した同じ分類タイプIDのユーザの組み合わせのそれぞれについて、グループ所属推薦度を算出する(ステップA4)。
ここで、グループ所属推薦度算出部108は、同権限および同継承状態のユーザの組み合わせ(すなわち、同じ分類タイプのユーザの組み合わせ)が存在するフォルダが多く、また、同権限および同継承状態のユーザの組み合わせで、一致する属性値数が多いほど同じグループに所属させた方が良いと判断し、グループ所属推薦度が大きくなるようにする。
グループ所属推薦度算出部108は、例えば、以下の式1に示す計算式に基づいて、グループ所属推薦度Aを算出してもよい。
A=x1・d/e+x2・f (式1)
式1において、dは、管理対象パス内で、同権限および同継承状態の権限が設定された同一のユーザの組み合わせが存在するフォルダ数であり、eは、管理対象パス内の全フォルダ数である。また、fは、同権限および同継承状態のユーザの組み合わせで一致する属性値数であり、x1およびx2は、それぞれ重み値である。
図12は、グループ所属メンバ分離・追加推薦部110が推薦するグループの所属メンバ構成を決定する処理の例を示すフローチャートである。
グループ所属メンバ分離・追加推薦部110は、グループ所属推薦度格納部109から、対象フォルダで最も推薦度の高い組み合わせのユーザ群(以下、”組み合わせユーザ”と呼ぶ)を取得する(ステップB1)。
グループ所属メンバ分離・追加推薦部110は、グループ所属ユーザ格納部103から、各グループの所属メンバ情報を取得する。このとき、グループの所属メンバにグループが含まれる場合、グループ所属メンバ分離・追加推薦部110は、そのグループの所属メンバも取得するなど、含まれるすべての所属メンバのユーザを取得する(ステップB2)。
次に、グループ所属メンバ分離・追加推薦部110は、ステップB2で取得した各グループの所属メンバに、ステップB1で取得した組み合わせユーザがすべて含まれるかを確認する(ステップB3)。組み合わせユーザがすべて含まれるグループが存在する場合(ステップB3におけるYes)、グループ所属メンバ分離・追加推薦部110は、そのグループの所属メンバが、組み合わせユーザのみであるかを確認する(ステップB4)。
グループの所属メンバが組み合わせユーザのみの場合(ステップB4におけるYes)、グループ所属メンバ分離・追加推薦部110は、グループの所属メンバ構成の変更は推薦しないと判断し(ステップB5)、この処理が終了する(ステップB6)。
一方、グループの所属メンバが組み合わせユーザのみではなかった場合、すなわち、所属メンバに組み合わせユーザ以外のユーザも存在する場合(ステップB4におけるNo)、グループ所属メンバ分離・追加推薦部110は、グループの所属メンバの属性値からユーザ分離推薦度を算出する(ステップB18)。
ユーザ分離推薦度は、上述するように、所属メンバの一部を新規グループへ分離させた方が良いかを表す推薦度である。グループ所属メンバ分離・追加推薦部110は、既存グループの所属メンバの中で、グループ所属推薦度の大きい組み合わせユーザとそれ以外のユーザとで一致する属性値が少ないほど、ユーザを分離した方が良い可能性が高いと判断し、ユーザ分離推薦度を大きくするよう計算にする。また、グループ所属メンバ分離・追加推薦部110は、グループ所属推薦度が大きい場合も、ユーザ同士の関連性が高いと判断し、ユーザ分離推薦度を大きくするように計算する。
グループ所属メンバ分離・追加推薦部110は、例えば、以下の式2に示す計算式に基づいて、ユーザ分離推薦度Bを算出してもよい。
B=x3・A+x4・g/h (式2)
式2において、Aは、上述するグループ所属推薦度であり、gは、グループの所属メンバに含まれるユーザ数である。また、hは、グループの所属メンバに含まれる各ユーザの属性で一致する属性値数であり、x3およびx4は、それぞれ重み値である。
また、グループ所属メンバ分離・追加推薦部110は、所属メンバ内に存在する組み合わせユーザが、直下ユーザが配下ユーザかをグループ所属ユーザ格納部103より取得する。そして、グループ所属メンバ分離・追加推薦部110は、ユーザ分離推薦度が一定値以上、かつ、所属メンバ内に存在する組み合わせユーザがすべて直下ユーザであるかを確認する(ステップB13)。
ユーザ分離推薦度が一定値以上、かつ、所属メンバ内に存在する組み合わせユーザがすべて直下ユーザである場合(ステップB13におけるYes)、グループ所属メンバ分離・追加推薦部110は、既存グループの所属メンバに含まれる組み合わせユーザを、新規作成したグループの所属メンバとして移動させることを推薦し(ステップB14)、この処理が終了する(ステップB15)。
一方、ユーザ分離推薦度が一定値未満、または、所属メンバ内に存在する組み合わせユーザがすべて直下ユーザでない場合(ステップB13におけるNo)、グループ所属メンバ分離・追加推薦部110は、既存グループの所属メンバの変更を推薦しない。そして、グループ所属メンバ分離・追加推薦部110は、新規作成したグループの所属メンバに組み合わせユーザを登録することを推薦し(ステップB16)、この処理が終了する(ステップB17)。
図13は、ユーザを分離する処理の例を示す説明図である。図13に例示するように、開発部グループ内に、ユーザとして、開発太郎、開発次郎、開発部長および開発副部長が含まれ、開発太郎および開発次郎の役職属性値が“担当”であり、開発部長および開発副部長の役職属性値が“管理職”であるとする。
ここで、グループ所属推薦度の高い組み合わせユーザが「開発太郎および開発次郎」であるとする。この場合、開発太郎および開発次郎の属性値と、開発部長および開発副部長の属性値とは異なる。そのため、グループ所属メンバ分離・追加推薦部110は、これらのユーザを分離した方がよい可能性が高いと判断する。
一方、ステップB3において、組み合わせユーザがすべて含まれるグループが存在しなかった場合(ステップB3におけるNo)、グループ所属メンバ分離・追加推薦部110は、各グループの所属メンバに、組み合わせユーザが所定の割合以上含まれるグループが存在するかを確認する(ステップB7)。所定の割合は、例えば9割であるが、9割という割合には限定されない。
組み合わせユーザが所定の割合含まれるグループが存在する場合(ステップB7におけるYes)、グループ所属メンバ分離・追加推薦部110は、ステップB7で存在するとされたグループの所属メンバの属性値と、組み合わせユーザの属性値とからユーザ追加推薦度を算出する。
ユーザ追加推薦度は、上述するように、既存グループの所属メンバにユーザを追加した方が良いかを表す推薦度である。グループ所属メンバ分離・追加推薦部110は、既存グループの所属メンバと、追加を検討するユーザとで一致する属性値が多いほど、ユーザを追加した方が良い可能性が高いと判断し、ユーザ追加推薦度を大きくするように算出する。また、グループ所属メンバ分離・追加推薦部110は、グループ所属推薦度が大きい場合も、ユーザ同士の関連性が高いと判断し、ユーザ追加推薦度を大きくするように算出する。
グループ所属メンバ分離・追加推薦部110は、例えば、以下の式3に示す計算式に基づいて、ユーザ追加推薦度Cを算出してもよい。
C=x5・A+x6・j/i (式3)
式3において、Aは、上述するグループ所属推薦度であり、iは、グループの所属メンバに含まれるユーザ数と追加を検討するユーザ数との合計である。また、jは、グループの所属メンバに含まれるユーザと追加を検討する各ユーザの属性で一致する属性値数であり、x5およびx6は、それぞれ重み値である。
グループ所属メンバ分離・追加推薦部110は、ユーザ追加推薦度が一定値以上かを確認する(ステップB8)。推薦度が一定値以上だった場合(ステップB8におけるYes)、グループ所属メンバ分離・追加推薦部110は、組み合わせユーザのうち、既存グループの所属メンバに含まれていないユーザを、既存グループの所属メンバへ追加することを推薦し(ステップB9)、この処理が終了する(ステップB10)。
一方、ユーザ追加推薦度が一定値未満だった場合(ステップB8におけるNo)、グループ所属メンバ分離・追加推薦部110は、既存グループの所属メンバの変更を推薦しない。そして、グループ所属メンバ分離・追加推薦部110は、新規作成したグループの所属メンバに組み合わせユーザを登録することを推薦し(ステップB11)、この処理が終了する(ステップB12)。
また、ステップB7において、組み合わせユーザが所定の割合含まれるグループが存在しない場合(ステップB7におけるNo)にも、グループ所属メンバ分離・追加推薦部110は、ステップB11と同様の処理を行う。すなわち、グループ所属メンバ分離・追加推薦部110は、既存グループの所属メンバの変更を推薦せず、新規作成したグループの所属メンバに組み合わせユーザを登録することを推薦する。
図14は、ユーザを追加する処理の例を示す説明図である。図14に例示するように、開発担当グループ内に、ユーザとして、開発太郎および開発次郎が含まれ、開発太郎および開発次郎の役職属性値が“担当”であるとする。
ここで、グループ所属推薦度の高い組み合わせユーザが「開発太郎、開発次郎および開発三郎」であるとする。この場合、開発太郎および開発次郎の属性値と、開発三郎の属性値とは一致する。そのため、グループ所属メンバ分離・追加推薦部110は、開発担当グループに追加を検討するユーザである開発三郎を追加した方がよい可能性が高いと判断する。
図15は、アクセス権推薦部111が整理対象フォルダの適切なアクセス権を推薦する処理の例を示すフローチャートである。
図12に例示する処理において、グループ所属メンバ分離・追加推薦部110がグループの所属メンバ構成の変更は推薦しないと決定したとする(すなわち、ステップB6で処理が終了したとする)(ステップC1におけるYes)。このとき、アクセス権推薦部111は、組み合わせユーザのみが存在するグループのアクセス権の付与を推薦する。
この場合、アクセス権推薦部111は、アクセス権のアクセス権種別(許可または拒否)、アクセス許可(フルコントロールなど)、継承状態(継承する、継承しない)および継承元パスに、組み合わせユーザに現在付与されている状態を推薦する(ステップC5)。
具体的には、アクセス権推薦部111は、フォルダ毎アクセス権格納部107の表から組み合わせユーザの分類タイプIDを取得し、アクセス権分類タイプ格納部105の表から対応する分類タイプIDの行の情報を取得することで、現在付与されているアクセス権種別、アクセス許可および継承状態を取得する。なお、継承状態が”継承”の場合、アクセス権推薦部111は、フォルダ毎アクセス権格納部107の表から継承元パスを取得する。
一方、図12に例示する処理において、グループ所属メンバ分離・追加推薦部110が新規作成したグループの所属メンバとして移動させることを推薦すると決定したとする(すなわち、ステップB15で処理が終了したとする)(ステップC2におけるYes)。このとき、アクセス権推薦部111は、ステップB14で新規作成されたグループのアクセス権を推薦する。
この場合、アクセス権推薦部111は、アクセス権のアクセス権種別、アクセス許可、継承状態および継承元パスに、ステップC5の場合と同様、組み合わせユーザに現在付与されている状態を推薦する(ステップC6)。
また、図12に例示する処理において、既存グループの所属メンバへの追加することを推薦すると決定したとする(すなわち、ステップB10で処理が終了したとする)(ステップC3におけるYes)。このとき、アクセス権推薦部111は、ステップB9で所属メンバを追加したグループのアクセス権の付与を推薦する。
この場合、アクセス権推薦部111は、アクセス権のアクセス権種別、アクセス許可、継承状態および継承元パスに、ステップC5の場合と同様、組み合わせユーザに現在付与されている状態を推薦する(ステップC7)。
また、図12に例示する処理において、既存グループの所属メンバへの追加することを推薦すると決定したとする(すなわち、ステップB12またはB17で処理が終了したとする)(ステップC4におけるYes)。このとき、アクセス権推薦部111は、新規に作成したグループのアクセス権の付与を推薦する。
この場合、アクセス権推薦部111は、アクセス権のアクセス権種別、アクセス許可、継承状態および継承元パスに、ステップC5の場合と同様、組み合わせユーザに現在付与されている状態を推薦する(ステップC8)。
以上のように、本実施形態では、フォルダ毎アクセス権取得分類部106が、各フォルダ内に存在するオブジェクト(ユーザまたはユーザグループ)に設定されているアクセス権に基づいて、フォルダごとに各オブジェクトのアクセス権の分類タイプを特定する。グループ所属推薦度算出部108が、対象フォルダ以外で、その対象フォルダに存在する分類タイプを含むフォルダ数を特定し、対象フォルダの分類タイプごとにアクセス権が設定されているユーザの属性値を取得する。また、グループ所属推薦度算出部108が、分類タイプごとに、属性値が一致する数である属性値数が多いほど、かつ、フォルダ数が多いほどグループ所属推薦度を大きくするように算出する。
そして、グループ所属メンバ分離・追加推薦部110が、対象フォルダ内でグループ所属推薦度が最も高い分類タイプのユーザ群が含まれるユーザグループを特定する。特定されたユーザグループに含まれるユーザがユーザ群のみの場合、グループ所属メンバ分離・追加推薦部110は、ユーザグループに含まれるメンバの構成は変更しないことを推薦すると判定する。一方、特定されたユーザグループに含まれるユーザがユーザ群以外も含む場合、グループ所属メンバ分離・追加推薦部110は、そのユーザグループに含まれるメンバの属性値とユーザ群の属性値との一致度合いに基づいてユーザ分離推薦度を算出し、そのユーザ分離推薦度およびグループ所属推薦度が高いほど、ユーザ群をユーザグループから新規ユーザグループのメンバとして移動することを推薦すると判定する。
そのような構成により、現在付与されている権限状態を大きく変更せずに、ユーザ単位のアクセス権限をグループ単位のアクセス権限に変更できるよう、グループの構成および各フォルダのアクセス権を推薦できる。
例えば、上述する特許文献には、ユーザ単位のアクセス権をグループ単位のアクセス権に変更する旨の内容は記載されていない。また、例えば、上述する特許文献には、同一フォルダに同アクセス権で付与されているユーザの組み合わせ情報、ユーザの属性情報、グループの所属メンバの特徴を利用して、管理しやすいアクセス権とグループの所属メンバ構成を推薦するといったことも記載されていない。
一方、本実施形態では、上述する構成により、現在のアクセス権限からアクセス権の範囲を大きく変更せず、現在のアクセス権と継承状態を維持したまま、グループ単位の適切なアクセス権の設定とディレクトリサービス内のグループの所属メンバ構成の推薦を実施することができる。
具体的には、本実施形態では、付与された適切なアクセス権の付け方をグループ単位で推薦できるため、管理者がアクセス権限の整理および棚卸を実施する工数を削減できる。また、本実施形態では、現在の継承状態、アクセス権限を維持しながら、ユーザ単位のアクセス権をグループ単位のアクセス権へ変更することを推薦できる。さらに、本実施形態では、現在のアクセス権の範囲を広げずに、最小限のアクセス権の付与を推薦できる。また、本実施形態では、現在のアクセス権の範囲を広げずに、グループ単位のアクセス権を付与できるようなディレクトリサービス内のグループの所属メンバ構成も推薦できる。
なお、本実施形態では、ファイルサーバ上の共有フォルダ内のアクセス権の整理について説明した。ただし、アクセス権の整理の対象は、ファイルサーバ上の共有ファイルに限定されず、ローカルのパーソナルコンピュータ内の各フォルダのアクセス権の整理にも本実施形態のアクセス権整理補助装置を利用可能である。
また、本実施形態では、ディレクトリサービス内のグループの所属メンバの整理について説明した。ただし、所属メンバの対象は、ディレクトリサービス内のグループの所属メンバに限定されず、ローカルのグループの所属メンバの整理にも本実施形態のアクセス権整理補助装置を利用可能である。
次に、本発明の概要を説明する。図16は、本発明によるアクセス権整理補助装置の概要を示すブロック図である。本発明によるアクセス権整理補助装置80(例えば、アクセス権整理補助装置10)は、各フォルダ内に存在するユーザまたはユーザグループを示すオブジェクトに設定されているアクセス権に基づいて、フォルダごとに各オブジェクトのアクセス権の分類タイプを特定する分類部81(例えば、フォルダ毎アクセス権取得分類部106)と、対象フォルダ以外で、その対象フォルダに存在する分類タイプを含むフォルダ数を特定し、対象フォルダの分類タイプごとにアクセス権が設定されているユーザの属性値を取得し、分類タイプごとに、属性値が一致する数である属性値数が多いほど、かつ、フォルダ数が多いほど、同じグループに所属させた方が良い可能性の高さを表す数値であるグループ所属推薦度を大きくするように算出するグループ所属推薦度算出部82(例えば、グループ所属推薦度算出部108)と、対象フォルダ内でグループ所属推薦度が最も高い分類タイプのユーザ群(例えば、組み合わせユーザ)が含まれるユーザグループを特定し、特定されたユーザグループに含まれるユーザがユーザ群のみの場合、ユーザグループに含まれるメンバの構成は変更しないことを推薦すると判定し、特定されたユーザグループに含まれるユーザがユーザ群以外も含む場合、そのユーザグループに含まれるメンバの属性値とユーザ群の属性値との一致度合いに基づいて、メンバの一部を新規ユーザグループへ分離させた方が良い度合いを示すユーザ分離推薦度を算出し、そのユーザ分離推薦度およびグループ所属推薦度が高いほど、ユーザ群をユーザグループから新規ユーザグループのメンバとして移動することを推薦すると判定する第一判定部83(例えば、グループ所属メンバ分離・追加推薦部110)とを備えている。
そのような構成により、現在付与されている権限状態を大きく変更せずに、ユーザ単位のアクセス権限をグループ単位のアクセス権限に変更できるよう、グループの構成および各フォルダのアクセス権を推薦できる。
また、第一判定部83は、ユーザグループのメンバのうち、ユーザ群の属性値とそのユーザ群を除いたユーザの属性値との一致が少ないほど、ユーザ分離推薦度を高く算出してもよい。
また、グループ所属推薦度算出部82は、対象フォルダ以外で、その対象フォルダに存在する分類タイプを含むフォルダ数のうち、継承状態にあるフォルダ数を除いてもよい。
また、本発明によるアクセス権整理補助装置80は、ユーザ群の一部を含む既存ユーザグループを特定し、特定された既存ユーザグループに含まれるメンバの属性値に基づいて、既存ユーザグループのメンバにユーザを追加した方が良い度合いを示すユーザ追加推薦度を算出し、そのユーザ追加推薦度およびグループ所属推薦度が高いほど、既存ユーザグループに含まれていないユーザ群のユーザである追加検討ユーザを、その既存ユーザグループに追加することを推薦すると判定する第二判定部(例えば、グループ所属メンバ分離・追加推薦部110)を備えていてもよい。
また、第二判定部は、既存ユーザグループの所属メンバの属性値と、追加検討ユーザの属性値との一致が多いほど、ユーザ追加推薦度を高く算出してもよい。
また、本発明によるアクセス権整理補助装置80は、判定結果(例えば、第一判定部83または第二判定部の判定結果)に基づいてアクセス権を推薦するアクセス権推薦部(例えば、アクセス権推薦部111)を備えていてもよい。