JP6805809B2 - アクセス権整理補助装置、アクセス権整理補助方法およびアクセス権整理補助プログラム - Google Patents

アクセス権整理補助装置、アクセス権整理補助方法およびアクセス権整理補助プログラム Download PDF

Info

Publication number
JP6805809B2
JP6805809B2 JP2016251298A JP2016251298A JP6805809B2 JP 6805809 B2 JP6805809 B2 JP 6805809B2 JP 2016251298 A JP2016251298 A JP 2016251298A JP 2016251298 A JP2016251298 A JP 2016251298A JP 6805809 B2 JP6805809 B2 JP 6805809B2
Authority
JP
Japan
Prior art keywords
group
user
access right
user group
recommendation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016251298A
Other languages
English (en)
Other versions
JP2018106382A (ja
Inventor
敦典 坂井
敦典 坂井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2016251298A priority Critical patent/JP6805809B2/ja
Publication of JP2018106382A publication Critical patent/JP2018106382A/ja
Application granted granted Critical
Publication of JP6805809B2 publication Critical patent/JP6805809B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、グループ単位でアクセス権を整理するアクセス権整理補助装置、アクセス権整理補助方法およびアクセス権整理補助プログラムに関する。
近年、内部犯行による情報漏えいが増加しており、ファイルサーバ内の各フォルダの適切なアクセス権設定が重要になってきている。
各企業のファイルサーバ内のフォルダには、個別にユーザにアクセス権付与してしまうことが多々ある。しかし、ユーザに対して個別でアクセス権を付与するよりも、ユーザをまとめたグループ単位でアクセス権を付与しておき、グループへのメンバの追加および削除を行う方法で管理する方が好ましい。
図17は、ファイルサーバ向けの管理ソフトウェアの画面を示す説明図である。図17に示すような管理用ソフトウェアは、ユーザ単位でアクセス権が付与されているフォルダを一覧で検出する機能を有する。
グループ単位でアクセス権を管理することで、人事変更などがあった場合でもグループの所属メンバを変更するだけで対応が可能であり、また、大量に存在するフォルダのアクセス権を1つ1つ確認して、アクセス権を変更する必要がなくなる。そのため、アクセス権の設定ミスを防止でき、かつ、アクセス権設定の作業負荷を低減させることができる。
多くの企業では、アクセス権の設定のミスを防止し、アクセス権の管理工数を削減するために、これまでユーザ単位で設定していたアクセス権を、グループ単位のアクセス権の運用に切り替えるニーズも増えてきている。しかし、ファイルサーバの大容量化に伴い、ファイルサーバ内のすべてのフォルダを確認し、グループ単位のアクセス権への切り替えを手動で行うには、多大な工数がかかっているのが現状である。
特許文献1には、適切なアクセス権の設定を補助するアクセス権管理プログラムが記載されている。特許文献1に記載されたプログラムは、オブジェクトに対して行う使用者の操作の履歴を用いて使用者の操作回数を集計し、集計された操作回数と使用者とを関連付けて表示して、アクセス権の編集を実行する。
特許文献2には、適切な範囲のユーザグループに所定のフォルダへのアクセス権を設定できる情報装置が記載されている。特許文献2に記載された情報装置は、フォルダへアクセスしたユーザのアクセスログおよびユーザがそれぞれ属するユーザグループ情報に基づいて、フォルダへのアクセス権を設定する範囲としての適性を示す評価値を算出する。
特許文献3には、適切なアクセス制限がかけられたフォルダを情報処理装置が記載されている。特許文献3に記載された情報処理装置は、ユーザ端末が位置する場所を認識し、そのユーザ端末が現在位置する場所に対応付けて、ユーザ端末にアクセス権限を与えたフォルダを作成する。
また、特許文献4には、無くなったグループに割り当てられていたアクセス権を変更後のグループに割り当て直す作業を支援するアクセス権管理方法が記載されている。特許文献4に記載された方法では、組織変更前の不整合グループのメンバの割合が高いグループを置き換え先の候補として選ぶことで、それまでにアクセス権が与えられていたユーザに対し効率よくアクセス権を付与する。
特開2008−52651号公報 特開2016−53886号公報 特開2014−81912号公報 特開2007−172280号公報
ユーザ単位に付与されているアクセス権をグループ単位のアクセス権に変更する際、ディレクトリサービス内のグループの所属メンバ構成があまり整理されていない場合、安易の既存のグループをアクセス権付与してしまうと、必要以上にアクセス権の範囲が広がってしまう可能性がある。このため、最低限のアクセス権を付与するには、最適なグループの所属メンバ構成に変更する必要がある。
しかし、現在設定されている各フォルダのアクセス権限の範囲の大きく崩さずに、グループの所属メンバ構成を考える場合、以下に示す理由により多大な工数がかかっている。
まず、管理対象のフォルダ全ての現在のアクセス権の設定状態を確認する必要がある。これは、多くのフォルダの権限を確認しないと、所属メンバが重複するグループが多くできてしまうなどの問題が発生するからである。
また、同フォルダに付与されているアクセス許可(フルコントロール、書き込み、など)ごとにグループを分ける必要がある。また、継承状態も考慮してグループの所属メンバの構成を考える必要がある。
一般に、図17に示すような管理用ソフトウェアは、アクセス権が付与されたフォルダを検出しても、その後に、適切なアクセス権の設定を推薦するような機能を有していない。
特許文献1に記載されたプログラムは、編集操作の履歴により操作履歴と使用者を関連づけて表示し、アクセス権の編集を補助する。すなわち、特許文献1に記載されたプログラムは、アクセス権の編集の補助をする際に操作履歴の情報が必要になるため、操作履歴を保持しておかなければならないという問題がある。
特許文献2に記載された情報装置は、アクセスログを利用して、フォルダへの不要なアクセス権を削除するように推薦する。しかし、特許文献2に記載された発明もアクセスログを利用しているが、このようなアクセスログを利用することなくアクセス権を整理できることが好ましい。また、特許文献2に記載された情報装置は、不要なアクセス権の削除を目的としているが、グループ単位へのアクセス権への変更や、グループに所属するメンバの構成も推薦できることが好ましい。
特許文献3に記載された情報処理装置は、一定範囲(場所)内にいるユーザ端末(例えば、ノート型パーソナルコンピュータなど)のみがアクセスできるようなアクセス権をフォルダに自動設定する。しかし、特許文献3に記載された発明のように、アクセス権を自動設定するのではなく、ユーザ単位のアクセス権をグループ単位のアクセス権に変更することや、グループの所属メンバの構成も推薦できることが好ましい。
また、特許文献4に記載された管理方法では、もともとグループに所属していたユーザのアクセス権限を変更することを想定している。しかし、グループに所属していたユーザだけでなく、個別に権限が付与されたユーザに対しても適切にアクセス権を推薦できることが好ましい。
そこで、本発明は、現在付与されている権限状態を大きく変更せずに、ユーザ単位のアクセス権限をグループ単位のアクセス権限に変更できるよう、グループの構成および各フォルダのアクセス権を推薦できるアクセス権整理補助装置、アクセス権整理補助方法およびアクセス権整理補助プログラムを提供することを目的とする。
本発明によるアクセス権整理補助装置は、各フォルダ内に存在するユーザまたはユーザグループを示すオブジェクトに設定されているアクセス権に基づいて、フォルダごとに各オブジェクトのアクセス権の分類タイプを特定する分類部と、対象フォルダ以外で、その対象フォルダに存在する分類タイプを含むフォルダ数を特定し、対象フォルダの分類タイプごとにアクセス権が設定されているユーザの属性値を取得し、分類タイプごとに、属性値が一致する数である属性値数が多いほど、かつ、フォルダ数が多いほど、同じグループに所属させた方が良い可能性の高さを表す数値であるグループ所属推薦度を大きくするように算出するグループ所属推薦度算出部と、対象フォルダ内でグループ所属推薦度が最も高い分類タイプのユーザ群が含まれるユーザグループを特定し、特定されたユーザグループに含まれるユーザがユーザ群のみの場合、ユーザグループに含まれるメンバの構成は変更しないことを推薦すると判定し、特定されたユーザグループに含まれるユーザがユーザ群以外も含む場合、そのユーザグループに含まれるメンバの属性値とユーザ群の属性値との一致度合いに基づいて、メンバの一部を新規ユーザグループへ分離させた方が良い度合いを示すユーザ分離推薦度を算出し、そのユーザ分離推薦度およびグループ所属推薦度が高いほど、ユーザ群をユーザグループから新規ユーザグループのメンバとして移動することを推薦すると判定する第一判定部とを備えたことを特徴とする。
本発明によるアクセス権整理補助方法は、コンピュータが、各フォルダ内に存在するユーザまたはユーザグループを示すオブジェクトに設定されているアクセス権に基づいて、フォルダごとに各オブジェクトのアクセス権の分類タイプを特定し、コンピュータが、対象フォルダ以外で、その対象フォルダに存在する分類タイプを含むフォルダ数を特定し、コンピュータが、対象フォルダの分類タイプごとにアクセス権が設定されているユーザの属性値を取得し、コンピュータが、分類タイプごとに、属性値が一致する数である属性値数が多いほど、かつ、フォルダ数が多いほど、同じグループに所属させた方が良い可能性の高さを表す数値であるグループ所属推薦度を大きくするように算出し、コンピュータが、対象フォルダ内でグループ所属推薦度が最も高い分類タイプのユーザ群が含まれるユーザグループを特定し、コンピュータが、特定されたユーザグループに含まれるユーザがユーザ群のみの場合、ユーザグループに含まれるメンバの構成は変更しないことを推薦すると判定し、コンピュータが、特定されたユーザグループに含まれるユーザがユーザ群以外も含む場合、そのユーザグループに含まれるメンバの属性値とユーザ群の属性値との一致度合いに基づいて、メンバの一部を新規ユーザグループへ分離させた方が良い度合いを示すユーザ分離推薦度を算出し、そのユーザ分離推薦度およびグループ所属推薦度が高いほど、ユーザ群をユーザグループから新規ユーザグループのメンバとして移動することを推薦すると判定することを特徴とする。
本発明によるアクセス権整理補助プログラムは、コンピュータに、各フォルダ内に存在するユーザまたはユーザグループを示すオブジェクトに設定されているアクセス権に基づいて、フォルダごとに各オブジェクトのアクセス権の分類タイプを特定する分類処理、対象フォルダ以外で、その対象フォルダに存在する分類タイプを含むフォルダ数を特定し、対象フォルダの分類タイプごとにアクセス権が設定されているユーザの属性値を取得し、分類タイプごとに、属性値が一致する数である属性値数が多いほど、かつ、フォルダ数が多いほど、同じグループに所属させた方が良い可能性の高さを表す数値であるグループ所属推薦度を大きくするように算出するグループ所属推薦度算出処理、および、対象フォルダ内でグループ所属推薦度が最も高い分類タイプのユーザ群が含まれるユーザグループを特定し、特定されたユーザグループに含まれるユーザがユーザ群のみの場合、ユーザグループに含まれるメンバの構成は変更しないことを推薦すると判定し、特定されたユーザグループに含まれるユーザがユーザ群以外も含む場合、そのユーザグループに含まれるメンバの属性値とユーザ群の属性値との一致度合いに基づいて、メンバの一部を新規ユーザグループへ分離させた方が良い度合いを示すユーザ分離推薦度を算出し、そのユーザ分離推薦度およびグループ所属推薦度が高いほど、ユーザ群をユーザグループから新規ユーザグループのメンバとして移動することを推薦すると判定する第一判定処理を実行させることを特徴とする。
本発明によれば、現在付与されている権限状態を大きく変更せずに、ユーザ単位のアクセス権限をグループ単位のアクセス権限に変更できるよう、グループの構成および各フォルダのアクセス権を推薦できる。
本発明によるアクセス権整理補助装置の一実施形態を示すブロック図である。 グループの構成および各フォルダのアクセス権を推薦する処理の例を示す説明図である。 アクセス権整理補助装置の処理およびデータの流れを含む動作例を示す説明図である。 オブジェクト情報格納部101が記憶する情報の例を示す説明図である。 グループ所属ユーザ格納部103が記憶する情報の例を示す説明図である。 アクセス権分類タイプの例を示す説明図である。 フォルダ毎のアクセス権の例を示す説明図である。 グループ所属推薦度の例を示す説明図である。 推薦グループおよび構成メンバの判定結果例を示す説明図である。 推薦するアクセス権の設定例を示す説明図である。 グループ所属推薦度を算出する処理の例を示すフローチャートである。 推薦するグループの所属メンバ構成を決定する処理の例を示すフローチャートである。 ユーザを分離する処理の例を示す説明図である。 ユーザを追加する処理の例を示す説明図である。 整理対象フォルダの適切なアクセス権を推薦する処理の例を示すフローチャートである。 本発明によるアクセス権整理補助装置の概要を示すブロック図である。 ファイルサーバ向けの管理ソフトウェアの画面を示す説明図である。
本発明では、ファイルサーバの管理者が、ファイルサーバ内の各フォルダのアクセス権限を管理しやすい構成に設定し直していく状況(整理や棚卸しなど)を想定する。
本実施形態では、ファイルサーバ内の各フォルダにアクセス権が付与されているユーザ単位のアクセス権限を、現在の権限と継承状態とを維持しながら、グループ単位のアクセス権限へ変更する旨の推薦を行う。また、本実施形態では、グループ単位のアクセス権の設定が行えるような、ディレクトリサービス内のグループに所属するメンバ構成の変更する旨の推薦を行う。
ここで、ディレクトリサービスとは、ネットワーク上に存在するユーザ及びグループ、サーバ、プリンタなどの資源を一元的に管理する機能のことである。
また、本発明では、以下の性質を利用する。
第一に、通常、ファイルサーバの共有フォルダ内の各フォルダは、事業部など部署や、プロジェクト、製品チーム、作業チームなどの単位で利用できるようなアクセス権が設定されることが多い。
しかし、同じフォルダに権限が設定されているユーザでも、一般利用者と共有フォルダを管理する管理者や役職が高いユーザとでは、設定されている権限が異なることがほとんどである。例えば、一般利用者ユーザには、“書き込み・読み取り”権限のみが設定される一方、フォルダ管理者ユーザには、“フルコントロール”権限が設定されている場合が多い。
このため、同じフォルダに同じアクセス権が付与されているユーザ同士は、同じ製品チームなどに所属している可能性があり、同じグループに所属させた方が良い、または、関連性が大きいと判断できる。
また、フォルダのアクセス権には、アクセス権を管理しやすくするために、親フォルダと同じアクセス権を設定する“継承”という仕組みがある。継承元の親フォルダのアクセス権が変更されると、継承先のアクセス権も変更されるという仕組みである。
継承されたアクセス権のユーザは、上位フォルダにもアクセス権があるなど、アクセスできる範囲が広い。一方、継承されていないアクセス権のユーザは、そのフォルダのみアクセスできるなど、アクセスできる範囲が狭い。このように、継承の有無により、アクセスできる範囲は、異なる可能性が高い。
例えば、フォルダ管理者ユーザは、上位フォルダ配下のすべてのフォルダに対して、継承によりアクセス権が設定されることが多い。また、フォルダ末端のプロジェクトチームのフォルダには、継承されたフォルダ管理者ユーザのアクセス権とは異なり、プロジェクト作業者ユーザのアクセス権が非継承で付与される。
同じフォルダに付与されている継承状態が異なるユーザ同士は、アクセス可能なフォルダ範囲が異なる可能性が大きく、アクセス可能なレベルが異なることため、同じグループとしない方が良い、または、関連性が小さいと判断できる。
第二に、ディレクトリサービス内のユーザにはプロパティ情報(属性情報)が設定でき、特定の属性には、所属や役職などの利用者の情報を登録しておくことが一般的である。このため、例えば、“所属”属性の値が同じユーザ同士は、同じ事業部に所属している可能性が高いため、同じグループに所属させた方が良い可能性が高い、または、関連性が大きいと判断できる。一方、属性値が異なるユーザ同士は、別のグループに所属させた方が良い可能性が高い、または、関連性が小さいと判断できる。
また、同じフォルダに同じアクセス権限または継承状態で付与されている各ユーザの属性値情報も参照することで、同じグループに所属させた方が良いか否かを判断する際の信頼度を、より上げることができる。さらに、同じグループに所属する各ユーザの属性値情報を参照することで、グループの所属メンバの構成を推薦する際の信頼度を上げることもできる。
第三に、対象フォルダへのアクセス権が付与されているユーザが、他のフォルダにも個別ユーザとしてアクセス権が付与されている場合、他のフォルダのアクセス権も参照して、グループ構成とアクセス権を推薦することが好ましい。他のフォルダも考慮することで、ユーザ同士の関連の大きさを、より推薦に反映できる。一方で、他のフォルダを考慮しないと、所属メンバが重複するグループが複数できてしまう可能性もある。
上記特徴を利用して、本発明では、多数のフォルダへのアクセス許可および継承状態を考慮した各グループの所属メンバ構成の推薦を可能とする。また、本発明では、上記特徴を利用して、現在の権限からアクセス権の範囲が広がらないようなアクセス権の推薦およびグループの所属メンバ構成の推薦を可能とする。
本発明のアクセス権整理補助装置は、概略、以下の処理を行う。
まず、アクセス権整理補助装置は、対象フォルダに個別にアクセス権が設定されているユーザを、アクセス種別(許可・拒否)ごと、アクセス許可(読み取り権限、書き込み権限など)ごと、継承状態(継承されている、継承されていない)ごとに、各タイプに分類する(ステップS1)。
アクセス権整理補助装置は、各フォルダで、ステップS1で分類した同じタイプのユーザの組み合わせと、同じタイプのユーザの属性値とから、同じグループに所属させた方が良い可能性の高さを表す数値(以下、“グループ所属推薦度”と記す。)を算出する(ステップS2)。
アクセス権整理補助装置は、グループ所属推薦度が高いユーザの組み合わせが、所属メンバとして、すべて(または、9割以上など、一定数以上)含まれるグループを検出する(ステップS3)。
アクセス権整理補助装置は、ステップS3で検出したグループに対して、所属メンバであるユーザの属性値などから、所属メンバの一部を新規グループへ分離させた方が良い度合いを示す推薦度(以下、“ユーザ分離推薦度”と記す。)を算出する。また、アクセス権整理補助装置は、既存グループの所属メンバにユーザを追加した方が良い度合いを示す推薦度(以下、“ユーザ追加推薦度”と記す。)を算出する(ステップS4)。
アクセス権整理補助装置は、ステップS4で算出した推薦度に基づいて、新規グループへのユーザの分離や、既存グループへのユーザの追加など、グループの所属メンバの構成変更を推薦する。さらに、アクセス権整理補助装置は、分離した新規グループに対象フォルダのアクセス権を付与したり、既存グループにアクセス権を付与したりする推薦を行う(ステップS5)。
以下、本発明の実施形態を図面を参照して詳細に説明する。
実施形態1.
図1は、本発明によるアクセス権整理補助装置の一実施形態を示すブロック図である。本実施形態のアクセス権整理補助装置10は、ユーザ属性取得部102と、グループ所属ユーザ取得部104と、フォルダ毎アクセス権取得分類部106と、グループ所属推薦度算出部108と、グループ所属メンバ分離・追加推薦部110と、アクセス権推薦部111と、アクセス権・所属メンバ構成反映部114とを備えている。
さらに、本実施形態のアクセス権整理補助装置10は、オブジェクト情報格納部101と、グループ所属ユーザ格納部103と、アクセス権分類タイプ格納部105と、フォルダ毎アクセス権格納部107と、グループ所属推薦度格納部109と、推薦グループ所属メンバ構成格納部112と、推薦アクセス権格納部113とを備えている。
オブジェクト情報格納部101と、グループ所属ユーザ格納部103と、アクセス権分類タイプ格納部105と、フォルダ毎アクセス権格納部107と、グループ所属推薦度格納部109と、推薦グループ所属メンバ構成格納部112と、推薦アクセス権格納部113とは、例えば、磁気ディスク装置により実現される。なお、本実施形態では、保持する情報ごとに格納部が存在するが、1つの格納部が複数の情報を記憶するようにしてもよい。
また、本実施形態のアクセス権整理補助装置10は、アクセス権およびグループ構成を推薦する装置であることから、アクセス権整理補助装置のことをアクセス権・グループ構成推薦装置ということができる。
図2は、グループの構成および各フォルダのアクセス権を推薦する処理の例を示す説明図である。図2(a)は、ある共有フォルダ内のフォルダ構成において、各ユーザのアクセス権をグループ単位のアクセス権に変更する推薦処理を例示している。
図2(a)に示す例では、Aプロジェクトフォルダの権限として、ユーザ「開発太郎」および「開発次郎」には「書き込み・許可・非継承」が、ユーザ「開発部長」には、「フルコントロール・許可・継承」が、それぞれ設定されているとする。このとき、アクセス権整理補助装置10は、Aプロジェクトフォルダについて「書き込み・許可・非継承」のアクセス権が設定されたグループ(開発担当)および「フルコントロール・許可・継承」のアクセス権が設定されたグループ(開発管理職)へのアクセス権の変更を推薦する。
図2(b)は、あるディレクトリサービスのグループに所属する所属メンバ構成の変更推薦処理を例示している。図2(b)に示す例では、グループ「開発部」配下のグループ構成があまり管理されていない状況である。そこで、アクセス権整理補助装置10は、開発部のグループ内を3つのグループへ変更する推薦処理、および、各グループの所属メンバの構成を変更する推薦処理を行う。
図3は、本実施形態のアクセス権整理補助装置10の処理およびデータの流れを含む動作例を示す説明図である。図3において、実線の矢印は処理の流れを示し、破線の矢印はデータの流れを示す。
アクセス権整理補助装置10は、ファイルサーバ20、ディレクトリサービスサーバ30およびクライアント端末40と接続される。
ファイルサーバ20は、フォルダ・ファイル構成201と、フォルダ・ファイルアクセス権202とを保持する。
ディレクトリサービスサーバ30は、ユーザ・グループ構成301と、グループ所属メンバ情報302と、ユーザ・グループ属性情報303を保持する。
クライアント端末40は、推薦されるアクセス権やグループ所属メンバ構成を表示する表示部401を含む。
ユーザ属性取得部102は、ディレクトリサービスサーバ30が保持するユーザ・グループ構成301とグループ所属メンバ情報302から、ユーザとグループの情報(プロパティ情報)を取得する。ユーザ属性取得部102は、取得した各ユーザのプロパティ情報の中から、特定の属性の値を抽出し、まとめた情報をオブジェクト情報格納部101に記憶させる。
図4は、オブジェクト情報格納部101が記憶する情報の例を示す説明図である。図4に示す例では、オブジェクト情報格納部101が、各ユーザまたは各グループをそれぞれ1つのオブジェクトとして、そのオブジェクトの属性を表形式で記憶していることを示す。
例えば、図4に示す例では、オブジェクトID=1で特定される「開発太郎」はユーザであり、属性値“役職”、“部署”および“説明”が、それぞれ、“担当”、“開発部”および“A製品担当”であることを示す。
グループ所属ユーザ取得部104は、グループ所属メンバ情報302から、各グループの所属メンバ情報を取得する。ここで、所属メンバにグループが含まれる場合、グループ所属ユーザ取得部104は、さらにそのグループの所属メンバを取得する。本実施形態では、所属メンバにはユーザおよびグループが含まれる。グループ所属ユーザ取得部104は、所属するすべてのユーザを取得すると、まとめた情報をグループ所属ユーザ格納部103に記憶させる。
図5は、グループ所属ユーザ格納部103が記憶する情報の例を示す説明図である。図5に示す例では、グループ所属ユーザ格納部103が、各グループに所属するユーザ(所属メンバ)を表形式で記憶していることを示す。
例えば、図5に示す例では、グループのオブジェクトID=3で特定されるグループには、ユーザのオブジェクトID=1,2,6で特定されるユーザが所属しており、そのうち、ユーザのオブジェクトID=1で特定されるユーザのみが直下に属するユーザであることを示す。
フォルダ毎アクセス権取得分類部106は、ファイルサーバ20から、共有フォルダ内の各フォルダパスと、各フォルダパスに付与されているアクセス権の設定情報を取得する。また、フォルダ毎アクセス権取得分類部106は、オブジェクト情報格納部101の表から、フォルダパスで特定される各フォルダにアクセス権が付与されているユーザおよびグループの情報(具体的には、オブジェクトID、オブジェクト名、ユーザまたはグループ、などの情報)を取得する。
そして、フォルダ毎アクセス権取得分類部106は、アクセス権の分類タイプに当てはまる識別子(以下、分類タイプIDと記す。)を取得し、フォルダ毎にアクセス権を特定して、フォルダ毎アクセス権格納部107に格納する。アクセス権の分類タイプは、予め作成され、例えば、アクセス権分類タイプ格納部105に表形式で保持される。
図6は、アクセス権分類タイプの例を示す説明図である。図6に示す例では、分類タイプIDで識別されるアクセス権の分類タイプは、アクセスを許可するか拒否するかを示す種別(アクセス権種別)、アクセスが許可される内容(アクセス許可)、および継承の状態を示す内容(継承状態)で特定される。
また、図7は、フォルダ毎のアクセス権の例を示す説明図である。図7に示す例では、フォルダパスごとに、アクセス権が付与されているオブジェクトのオブジェクトID、アクセス権の分類タイプIDおよび(継承元が存在する場合には)継承元のフォルダ名が対応付けられていることを示す。
すなわち、フォルダ毎アクセス権取得分類部106は、各フォルダ内に存在するユーザまたはグループを示すオブジェクトに設定されているアクセス権に基づいて、フォルダごとに各オブジェクトのアクセス権の分類タイプ(アクセス権種別・アクセス許可・継承状態)を特定する。
グループ所属推薦度算出部108は、フォルダ毎アクセス権格納部107に格納された情報とオブジェクト情報格納部101に格納された情報から、各フォルダに付与されているアクセス権と、整理対象フォルダにアクセス権が設定されているユーザの属性値を取得する。
また、グループ所属推薦度算出部108は、整理対象フォルダに存在する同じ分類タイプIDのユーザの組み合わせ毎に、各属性値が一致する数(以下、属性値数と記す。)を算出する。さらに、グループ所属推薦度算出部108は、整理対象フォルダ以外で、同じ分類タイプIDのユーザの組み合わせが存在するフォルダ数を特定する。そして、グループ所属推薦度算出部108は、特定したフォルダ数と属性値数とから、グループ所属推薦度を算出する。
ここで、同じ分類タイプIDのユーザの組み合わせが存在する整理対象フォルダ以外のフォルダ数には、継承状態になっているユーザの組み合わせが存在するフォルダを含まない。継承されている場合、配下フォルダすべての継承されるアクセス権が付与されるため、継承されているユーザの組み合わせも数に含めてしまうと、継承されているユーザの組み合わせの傾向が意図せず強くなってしまうからである。
グループ所属推薦度算出部108は、算出したグループ所属推薦度をグループ所属推薦度格納部109に格納する。図8は、グループ所属推薦度の例を示す説明図である。図8に示す例では、グループ所属推薦度格納部109が、ユーザの組み合わせごとに算出されたグループ所属推薦度を表形式で格納していることを示す。
すなわち、グループ所属推薦度算出部108は、対象フォルダに存在する分類タイプを含むフォルダ数を対象フォルダ以外で特定し、対象フォルダの分類タイプごとにアクセス権が設定されているユーザの属性値を取得し、属性値が一致する属性値数が多いほど、かつ、フォルダ数が多いほど大きくなるようにグループ所属推薦度を算出する。
グループ所属メンバ分離・追加推薦部110は、グループ所属推薦度格納部109から、グループ所属推薦度を取得し、最もグループ所属推薦度が高いユーザの組み合わせを取得する。また、グループ所属メンバ分離・追加推薦部110は、グループ所属ユーザ格納部103から、各グループの所属メンバ(ユーザ)を取得し、オブジェクト情報格納部101から、各グループの所属メンバになるユーザの属性値を取得する。
そして、グループ所属メンバ分離・追加推薦部110は、取得したこれらの情報から、既存のグループの所属メンバ構成に変更が必要ないか、既存のグループの所属メンバにユーザを追加したら良いか、または、既存グループの所属メンバの一部を新規に作成したグループの所属メンバに移行する方が良いかを判定する。
グループ所属メンバ分離・追加推薦部110は、判定した結果として、推薦するグループの所属メンバの構成を、推薦グループ所属メンバ構成格納部112に格納する。なお、グループ所属メンバ分離・追加推薦部110が判定する方法は、後述される。
図9は、推薦グループおよび構成メンバの判定結果例を示す説明図である。図9に示す例では、変更を推薦するグループごとに所属メンバ(または含まれるグループ)を対応付けていることを示す。
アクセス権推薦部111は、推薦グループ所属メンバ構成格納部112から推薦するグループ所属メンバ構成を取得し、取得した情報をもとに、整理対象フォルダについて推薦するアクセス権の設定を作成する。アクセス権推薦部111は、作成した設定を推薦アクセス権格納部113に格納する。また、アクセス権推薦部111は、クライアント端末40に、推薦するアクセス権の設定を送信する。
図10は、推薦するアクセス権の設定例を示す説明図である。図10に示す例では、整理対象のフォルダ(フォルダパス)ごとに、推薦するアクセス権を付与するオブジェクト名(グループ名)および、その権限の内容(アクセス権種別、アクセス許可および継承状態)を対応付けていることを示す。
アクセス権・所属メンバ構成反映部114は、後述するクライアント端末40から変更を了承する旨の通知を受けると、ディレクトリサービスサーバ30内のグループ所属メンバ情報302に対して、推薦するグループ所属メンバへの変更指示を行う。合わせて、アクセス権・所属メンバ構成反映部114は、ファイルサーバ20内のフォルダ・ファイルアクセス権202に対して、推薦するアクセス権への変更指示を行う。
なお、クライアント端末40の表示部401は、推薦するアクセス権の設定を受信する。具体的には、表示部401は、アクセス権推薦部111から推薦グループ所属メンバ構成格納部112および推薦アクセス権格納部113に格納された整理対象フォルダについて推薦するアクセス権およびディレクトリサービス内の各グループの所属メンバ構成を受信し、ユーザに表示する。表示部401は、表示した画面上でユーザが推薦されたアクセス権変更と所属メンバ構成変更を了承する旨の指示(例えば、了承ボタン押下)を検知すると、アクセス権整理補助装置10に了承する旨を通知する。
ユーザ属性取得部102と、グループ所属ユーザ取得部104と、フォルダ毎アクセス権取得分類部106と、グループ所属推薦度算出部108と、グループ所属メンバ分離・追加推薦部110と、アクセス権推薦部111と、アクセス権・所属メンバ構成反映部114とは、プログラム(アクセス権整理補助プログラム)に従って動作するコンピュータのCPUによって実現される。
例えば、プログラムは、アクセス権整理補助装置10の記憶部(図示せず)に記憶され、CPUは、そのプログラムを読み込み、プログラムに従って、ユーザ属性取得部102、グループ所属ユーザ取得部104、フォルダ毎アクセス権取得分類部106、グループ所属推薦度算出部108、グループ所属メンバ分離・追加推薦部110、アクセス権推薦部111およびアクセス権・所属メンバ構成反映部114として動作してもよい。
また、ユーザ属性取得部102と、グループ所属ユーザ取得部104と、フォルダ毎アクセス権取得分類部106と、グループ所属推薦度算出部108と、グループ所属メンバ分離・追加推薦部110と、アクセス権推薦部111と、アクセス権・所属メンバ構成反映部114とは、それぞれが専用のハードウェアで実現されていてもよい。
次に、本実施形態のアクセス権整理補助装置10の動作を説明する。図11は、グループ所属推薦度算出部108がグループ所属推薦度を算出する処理の例を示すフローチャートである。
まず、グループ所属推薦度算出部108は、フォルダ毎アクセス権格納部107から、整理対象フォルダにアクセス権が付与されているユーザのオブジェクト名および分類タイプIDを取得する(ステップA1)。
次に、グループ所属推薦度算出部108は、ステップA1で取得した同じ分類タイプIDで特定されるユーザの組み合わせが存在する整理対象フォルダ以外のフォルダパスを取得する(ステップA2)。また、グループ所属推薦度算出部108は、オブジェクト情報格納部101から、ステップA1で取得した同じ分類タイプIDのユーザの特定を表す属性値も取得する(ステップA3)。
グループ所属推薦度算出部108は、ステップA2で取得したフォルダパス数と、ステップA3で取得した属性値で一致する属性値数から、ステップA1で取得した同じ分類タイプIDのユーザの組み合わせのそれぞれについて、グループ所属推薦度を算出する(ステップA4)。
ここで、グループ所属推薦度算出部108は、同権限および同継承状態のユーザの組み合わせ(すなわち、同じ分類タイプのユーザの組み合わせ)が存在するフォルダが多く、また、同権限および同継承状態のユーザの組み合わせで、一致する属性値数が多いほど同じグループに所属させた方が良いと判断し、グループ所属推薦度が大きくなるようにする。
グループ所属推薦度算出部108は、例えば、以下の式1に示す計算式に基づいて、グループ所属推薦度Aを算出してもよい。
A=x・d/e+x・f (式1)
式1において、dは、管理対象パス内で、同権限および同継承状態の権限が設定された同一のユーザの組み合わせが存在するフォルダ数であり、eは、管理対象パス内の全フォルダ数である。また、fは、同権限および同継承状態のユーザの組み合わせで一致する属性値数であり、xおよびxは、それぞれ重み値である。
図12は、グループ所属メンバ分離・追加推薦部110が推薦するグループの所属メンバ構成を決定する処理の例を示すフローチャートである。
グループ所属メンバ分離・追加推薦部110は、グループ所属推薦度格納部109から、対象フォルダで最も推薦度の高い組み合わせのユーザ群(以下、”組み合わせユーザ”と呼ぶ)を取得する(ステップB1)。
グループ所属メンバ分離・追加推薦部110は、グループ所属ユーザ格納部103から、各グループの所属メンバ情報を取得する。このとき、グループの所属メンバにグループが含まれる場合、グループ所属メンバ分離・追加推薦部110は、そのグループの所属メンバも取得するなど、含まれるすべての所属メンバのユーザを取得する(ステップB2)。
次に、グループ所属メンバ分離・追加推薦部110は、ステップB2で取得した各グループの所属メンバに、ステップB1で取得した組み合わせユーザがすべて含まれるかを確認する(ステップB3)。組み合わせユーザがすべて含まれるグループが存在する場合(ステップB3におけるYes)、グループ所属メンバ分離・追加推薦部110は、そのグループの所属メンバが、組み合わせユーザのみであるかを確認する(ステップB4)。
グループの所属メンバが組み合わせユーザのみの場合(ステップB4におけるYes)、グループ所属メンバ分離・追加推薦部110は、グループの所属メンバ構成の変更は推薦しないと判断し(ステップB5)、この処理が終了する(ステップB6)。
一方、グループの所属メンバが組み合わせユーザのみではなかった場合、すなわち、所属メンバに組み合わせユーザ以外のユーザも存在する場合(ステップB4におけるNo)、グループ所属メンバ分離・追加推薦部110は、グループの所属メンバの属性値からユーザ分離推薦度を算出する(ステップB18)。
ユーザ分離推薦度は、上述するように、所属メンバの一部を新規グループへ分離させた方が良いかを表す推薦度である。グループ所属メンバ分離・追加推薦部110は、既存グループの所属メンバの中で、グループ所属推薦度の大きい組み合わせユーザとそれ以外のユーザとで一致する属性値が少ないほど、ユーザを分離した方が良い可能性が高いと判断し、ユーザ分離推薦度を大きくするよう計算にする。また、グループ所属メンバ分離・追加推薦部110は、グループ所属推薦度が大きい場合も、ユーザ同士の関連性が高いと判断し、ユーザ分離推薦度を大きくするように計算する。
グループ所属メンバ分離・追加推薦部110は、例えば、以下の式2に示す計算式に基づいて、ユーザ分離推薦度Bを算出してもよい。
B=x・A+x・g/h (式2)
式2において、Aは、上述するグループ所属推薦度であり、gは、グループの所属メンバに含まれるユーザ数である。また、hは、グループの所属メンバに含まれる各ユーザの属性で一致する属性値数であり、xおよびxは、それぞれ重み値である。
また、グループ所属メンバ分離・追加推薦部110は、所属メンバ内に存在する組み合わせユーザが、直下ユーザが配下ユーザかをグループ所属ユーザ格納部103より取得する。そして、グループ所属メンバ分離・追加推薦部110は、ユーザ分離推薦度が一定値以上、かつ、所属メンバ内に存在する組み合わせユーザがすべて直下ユーザであるかを確認する(ステップB13)。
ユーザ分離推薦度が一定値以上、かつ、所属メンバ内に存在する組み合わせユーザがすべて直下ユーザである場合(ステップB13におけるYes)、グループ所属メンバ分離・追加推薦部110は、既存グループの所属メンバに含まれる組み合わせユーザを、新規作成したグループの所属メンバとして移動させることを推薦し(ステップB14)、この処理が終了する(ステップB15)。
一方、ユーザ分離推薦度が一定値未満、または、所属メンバ内に存在する組み合わせユーザがすべて直下ユーザでない場合(ステップB13におけるNo)、グループ所属メンバ分離・追加推薦部110は、既存グループの所属メンバの変更を推薦しない。そして、グループ所属メンバ分離・追加推薦部110は、新規作成したグループの所属メンバに組み合わせユーザを登録することを推薦し(ステップB16)、この処理が終了する(ステップB17)。
図13は、ユーザを分離する処理の例を示す説明図である。図13に例示するように、開発部グループ内に、ユーザとして、開発太郎、開発次郎、開発部長および開発副部長が含まれ、開発太郎および開発次郎の役職属性値が“担当”であり、開発部長および開発副部長の役職属性値が“管理職”であるとする。
ここで、グループ所属推薦度の高い組み合わせユーザが「開発太郎および開発次郎」であるとする。この場合、開発太郎および開発次郎の属性値と、開発部長および開発副部長の属性値とは異なる。そのため、グループ所属メンバ分離・追加推薦部110は、これらのユーザを分離した方がよい可能性が高いと判断する。
一方、ステップB3において、組み合わせユーザがすべて含まれるグループが存在しなかった場合(ステップB3におけるNo)、グループ所属メンバ分離・追加推薦部110は、各グループの所属メンバに、組み合わせユーザが所定の割合以上含まれるグループが存在するかを確認する(ステップB7)。所定の割合は、例えば9割であるが、9割という割合には限定されない。
組み合わせユーザが所定の割合含まれるグループが存在する場合(ステップB7におけるYes)、グループ所属メンバ分離・追加推薦部110は、ステップB7で存在するとされたグループの所属メンバの属性値と、組み合わせユーザの属性値とからユーザ追加推薦度を算出する。
ユーザ追加推薦度は、上述するように、既存グループの所属メンバにユーザを追加した方が良いかを表す推薦度である。グループ所属メンバ分離・追加推薦部110は、既存グループの所属メンバと、追加を検討するユーザとで一致する属性値が多いほど、ユーザを追加した方が良い可能性が高いと判断し、ユーザ追加推薦度を大きくするように算出する。また、グループ所属メンバ分離・追加推薦部110は、グループ所属推薦度が大きい場合も、ユーザ同士の関連性が高いと判断し、ユーザ追加推薦度を大きくするように算出する。
グループ所属メンバ分離・追加推薦部110は、例えば、以下の式3に示す計算式に基づいて、ユーザ追加推薦度Cを算出してもよい。
C=x・A+x・j/i (式3)
式3において、Aは、上述するグループ所属推薦度であり、iは、グループの所属メンバに含まれるユーザ数と追加を検討するユーザ数との合計である。また、jは、グループの所属メンバに含まれるユーザと追加を検討する各ユーザの属性で一致する属性値数であり、xおよびxは、それぞれ重み値である。
グループ所属メンバ分離・追加推薦部110は、ユーザ追加推薦度が一定値以上かを確認する(ステップB8)。推薦度が一定値以上だった場合(ステップB8におけるYes)、グループ所属メンバ分離・追加推薦部110は、組み合わせユーザのうち、既存グループの所属メンバに含まれていないユーザを、既存グループの所属メンバへ追加することを推薦し(ステップB9)、この処理が終了する(ステップB10)。
一方、ユーザ追加推薦度が一定値未満だった場合(ステップB8におけるNo)、グループ所属メンバ分離・追加推薦部110は、既存グループの所属メンバの変更を推薦しない。そして、グループ所属メンバ分離・追加推薦部110は、新規作成したグループの所属メンバに組み合わせユーザを登録することを推薦し(ステップB11)、この処理が終了する(ステップB12)。
また、ステップB7において、組み合わせユーザが所定の割合含まれるグループが存在しない場合(ステップB7におけるNo)にも、グループ所属メンバ分離・追加推薦部110は、ステップB11と同様の処理を行う。すなわち、グループ所属メンバ分離・追加推薦部110は、既存グループの所属メンバの変更を推薦せず、新規作成したグループの所属メンバに組み合わせユーザを登録することを推薦する。
図14は、ユーザを追加する処理の例を示す説明図である。図14に例示するように、開発担当グループ内に、ユーザとして、開発太郎および開発次郎が含まれ、開発太郎および開発次郎の役職属性値が“担当”であるとする。
ここで、グループ所属推薦度の高い組み合わせユーザが「開発太郎、開発次郎および開発三郎」であるとする。この場合、開発太郎および開発次郎の属性値と、開発三郎の属性値とは一致する。そのため、グループ所属メンバ分離・追加推薦部110は、開発担当グループに追加を検討するユーザである開発三郎を追加した方がよい可能性が高いと判断する。
図15は、アクセス権推薦部111が整理対象フォルダの適切なアクセス権を推薦する処理の例を示すフローチャートである。
図12に例示する処理において、グループ所属メンバ分離・追加推薦部110がグループの所属メンバ構成の変更は推薦しないと決定したとする(すなわち、ステップB6で処理が終了したとする)(ステップC1におけるYes)。このとき、アクセス権推薦部111は、組み合わせユーザのみが存在するグループのアクセス権の付与を推薦する。
この場合、アクセス権推薦部111は、アクセス権のアクセス権種別(許可または拒否)、アクセス許可(フルコントロールなど)、継承状態(継承する、継承しない)および継承元パスに、組み合わせユーザに現在付与されている状態を推薦する(ステップC5)。
具体的には、アクセス権推薦部111は、フォルダ毎アクセス権格納部107の表から組み合わせユーザの分類タイプIDを取得し、アクセス権分類タイプ格納部105の表から対応する分類タイプIDの行の情報を取得することで、現在付与されているアクセス権種別、アクセス許可および継承状態を取得する。なお、継承状態が”継承”の場合、アクセス権推薦部111は、フォルダ毎アクセス権格納部107の表から継承元パスを取得する。
一方、図12に例示する処理において、グループ所属メンバ分離・追加推薦部110が新規作成したグループの所属メンバとして移動させることを推薦すると決定したとする(すなわち、ステップB15で処理が終了したとする)(ステップC2におけるYes)。このとき、アクセス権推薦部111は、ステップB14で新規作成されたグループのアクセス権を推薦する。
この場合、アクセス権推薦部111は、アクセス権のアクセス権種別、アクセス許可、継承状態および継承元パスに、ステップC5の場合と同様、組み合わせユーザに現在付与されている状態を推薦する(ステップC6)。
また、図12に例示する処理において、既存グループの所属メンバへの追加することを推薦すると決定したとする(すなわち、ステップB10で処理が終了したとする)(ステップC3におけるYes)。このとき、アクセス権推薦部111は、ステップB9で所属メンバを追加したグループのアクセス権の付与を推薦する。
この場合、アクセス権推薦部111は、アクセス権のアクセス権種別、アクセス許可、継承状態および継承元パスに、ステップC5の場合と同様、組み合わせユーザに現在付与されている状態を推薦する(ステップC7)。
また、図12に例示する処理において、既存グループの所属メンバへの追加することを推薦すると決定したとする(すなわち、ステップB12またはB17で処理が終了したとする)(ステップC4におけるYes)。このとき、アクセス権推薦部111は、新規に作成したグループのアクセス権の付与を推薦する。
この場合、アクセス権推薦部111は、アクセス権のアクセス権種別、アクセス許可、継承状態および継承元パスに、ステップC5の場合と同様、組み合わせユーザに現在付与されている状態を推薦する(ステップC8)。
以上のように、本実施形態では、フォルダ毎アクセス権取得分類部106が、各フォルダ内に存在するオブジェクト(ユーザまたはユーザグループ)に設定されているアクセス権に基づいて、フォルダごとに各オブジェクトのアクセス権の分類タイプを特定する。グループ所属推薦度算出部108が、対象フォルダ以外で、その対象フォルダに存在する分類タイプを含むフォルダ数を特定し、対象フォルダの分類タイプごとにアクセス権が設定されているユーザの属性値を取得する。また、グループ所属推薦度算出部108が、分類タイプごとに、属性値が一致する数である属性値数が多いほど、かつ、フォルダ数が多いほどグループ所属推薦度を大きくするように算出する。
そして、グループ所属メンバ分離・追加推薦部110が、対象フォルダ内でグループ所属推薦度が最も高い分類タイプのユーザ群が含まれるユーザグループを特定する。特定されたユーザグループに含まれるユーザがユーザ群のみの場合、グループ所属メンバ分離・追加推薦部110は、ユーザグループに含まれるメンバの構成は変更しないことを推薦すると判定する。一方、特定されたユーザグループに含まれるユーザがユーザ群以外も含む場合、グループ所属メンバ分離・追加推薦部110は、そのユーザグループに含まれるメンバの属性値とユーザ群の属性値との一致度合いに基づいてユーザ分離推薦度を算出し、そのユーザ分離推薦度およびグループ所属推薦度が高いほど、ユーザ群をユーザグループから新規ユーザグループのメンバとして移動することを推薦すると判定する。
そのような構成により、現在付与されている権限状態を大きく変更せずに、ユーザ単位のアクセス権限をグループ単位のアクセス権限に変更できるよう、グループの構成および各フォルダのアクセス権を推薦できる。
例えば、上述する特許文献には、ユーザ単位のアクセス権をグループ単位のアクセス権に変更する旨の内容は記載されていない。また、例えば、上述する特許文献には、同一フォルダに同アクセス権で付与されているユーザの組み合わせ情報、ユーザの属性情報、グループの所属メンバの特徴を利用して、管理しやすいアクセス権とグループの所属メンバ構成を推薦するといったことも記載されていない。
一方、本実施形態では、上述する構成により、現在のアクセス権限からアクセス権の範囲を大きく変更せず、現在のアクセス権と継承状態を維持したまま、グループ単位の適切なアクセス権の設定とディレクトリサービス内のグループの所属メンバ構成の推薦を実施することができる。
具体的には、本実施形態では、付与された適切なアクセス権の付け方をグループ単位で推薦できるため、管理者がアクセス権限の整理および棚卸を実施する工数を削減できる。また、本実施形態では、現在の継承状態、アクセス権限を維持しながら、ユーザ単位のアクセス権をグループ単位のアクセス権へ変更することを推薦できる。さらに、本実施形態では、現在のアクセス権の範囲を広げずに、最小限のアクセス権の付与を推薦できる。また、本実施形態では、現在のアクセス権の範囲を広げずに、グループ単位のアクセス権を付与できるようなディレクトリサービス内のグループの所属メンバ構成も推薦できる。
なお、本実施形態では、ファイルサーバ上の共有フォルダ内のアクセス権の整理について説明した。ただし、アクセス権の整理の対象は、ファイルサーバ上の共有ファイルに限定されず、ローカルのパーソナルコンピュータ内の各フォルダのアクセス権の整理にも本実施形態のアクセス権整理補助装置を利用可能である。
また、本実施形態では、ディレクトリサービス内のグループの所属メンバの整理について説明した。ただし、所属メンバの対象は、ディレクトリサービス内のグループの所属メンバに限定されず、ローカルのグループの所属メンバの整理にも本実施形態のアクセス権整理補助装置を利用可能である。
次に、本発明の概要を説明する。図16は、本発明によるアクセス権整理補助装置の概要を示すブロック図である。本発明によるアクセス権整理補助装置80(例えば、アクセス権整理補助装置10)は、各フォルダ内に存在するユーザまたはユーザグループを示すオブジェクトに設定されているアクセス権に基づいて、フォルダごとに各オブジェクトのアクセス権の分類タイプを特定する分類部81(例えば、フォルダ毎アクセス権取得分類部106)と、対象フォルダ以外で、その対象フォルダに存在する分類タイプを含むフォルダ数を特定し、対象フォルダの分類タイプごとにアクセス権が設定されているユーザの属性値を取得し、分類タイプごとに、属性値が一致する数である属性値数が多いほど、かつ、フォルダ数が多いほど、同じグループに所属させた方が良い可能性の高さを表す数値であるグループ所属推薦度を大きくするように算出するグループ所属推薦度算出部82(例えば、グループ所属推薦度算出部108)と、対象フォルダ内でグループ所属推薦度が最も高い分類タイプのユーザ群(例えば、組み合わせユーザ)が含まれるユーザグループを特定し、特定されたユーザグループに含まれるユーザがユーザ群のみの場合、ユーザグループに含まれるメンバの構成は変更しないことを推薦すると判定し、特定されたユーザグループに含まれるユーザがユーザ群以外も含む場合、そのユーザグループに含まれるメンバの属性値とユーザ群の属性値との一致度合いに基づいて、メンバの一部を新規ユーザグループへ分離させた方が良い度合いを示すユーザ分離推薦度を算出し、そのユーザ分離推薦度およびグループ所属推薦度が高いほど、ユーザ群をユーザグループから新規ユーザグループのメンバとして移動することを推薦すると判定する第一判定部83(例えば、グループ所属メンバ分離・追加推薦部110)とを備えている。
そのような構成により、現在付与されている権限状態を大きく変更せずに、ユーザ単位のアクセス権限をグループ単位のアクセス権限に変更できるよう、グループの構成および各フォルダのアクセス権を推薦できる。
また、第一判定部83は、ユーザグループのメンバのうち、ユーザ群の属性値とそのユーザ群を除いたユーザの属性値との一致が少ないほど、ユーザ分離推薦度を高く算出してもよい。
また、グループ所属推薦度算出部82は、対象フォルダ以外で、その対象フォルダに存在する分類タイプを含むフォルダ数のうち、継承状態にあるフォルダ数を除いてもよい。
また、本発明によるアクセス権整理補助装置80は、ユーザ群の一部を含む既存ユーザグループを特定し、特定された既存ユーザグループに含まれるメンバの属性値に基づいて、既存ユーザグループのメンバにユーザを追加した方が良い度合いを示すユーザ追加推薦度を算出し、そのユーザ追加推薦度およびグループ所属推薦度が高いほど、既存ユーザグループに含まれていないユーザ群のユーザである追加検討ユーザを、その既存ユーザグループに追加することを推薦すると判定する第二判定部(例えば、グループ所属メンバ分離・追加推薦部110)を備えていてもよい。
また、第二判定部は、既存ユーザグループの所属メンバの属性値と、追加検討ユーザの属性値との一致が多いほど、ユーザ追加推薦度を高く算出してもよい。
また、本発明によるアクセス権整理補助装置80は、判定結果(例えば、第一判定部83または第二判定部の判定結果)に基づいてアクセス権を推薦するアクセス権推薦部(例えば、アクセス権推薦部111)を備えていてもよい。
10 アクセス権整理補助装置
20 ファイルサーバ
30 ディレクトリサービスサーバ
40 クライアント端末
101 オブジェクト情報格納部
102 ユーザ属性取得部
103 グループ所属ユーザ格納部
104 グループ所属ユーザ取得部
105 アクセス権分類タイプ格納部
106 フォルダ毎アクセス権取得分類部
107 フォルダ毎アクセス権格納部
108 グループ所属推薦度算出部
109 グループ所属推薦度格納部
110 グループ所属メンバ分離・追加推薦部
111 アクセス権推薦部
112 推薦グループ所属メンバ構成格納部
113 推薦アクセス権格納部
114 アクセス権・所属メンバ構成反映部
201 フォルダ・ファイル構成
202 フォルダ・ファイルアクセス権
301 ユーザ・グループ構成
302 グループ所属メンバ情報
303 ユーザ・グループ属性情報

Claims (10)

  1. 各フォルダ内に存在するユーザまたはユーザグループを示すオブジェクトに設定されているアクセス権に基づいて、フォルダごとに各オブジェクトのアクセス権の分類タイプを特定する分類部と、
    対象フォルダ以外で、当該対象フォルダに存在する分類タイプを含むフォルダ数を特定し、前記対象フォルダの分類タイプごとにアクセス権が設定されているユーザの属性値を取得し、前記分類タイプごとに、前記属性値が一致する数である属性値数が多いほど、かつ、前記フォルダ数が多いほど、同じグループに所属させた方が良い可能性の高さを表す数値であるグループ所属推薦度を大きくするように算出するグループ所属推薦度算出部と、
    前記対象フォルダ内で前記グループ所属推薦度が最も高い分類タイプのユーザ群が含まれるユーザグループを特定し、特定されたユーザグループに含まれるユーザが前記ユーザ群のみの場合、前記ユーザグループに含まれるメンバの構成は変更しないことを推薦すると判定し、特定されたユーザグループに含まれるユーザが前記ユーザ群以外も含む場合、当該ユーザグループに含まれるメンバの属性値と前記ユーザ群の属性値との一致度合いに基づいて、メンバの一部を新規ユーザグループへ分離させた方が良い度合いを示すユーザ分離推薦度を算出し、当該ユーザ分離推薦度および前記グループ所属推薦度が高いほど、前記ユーザ群を前記ユーザグループから新規ユーザグループのメンバとして移動することを推薦すると判定する第一判定部とを備えた
    ことを特徴とするアクセス権整理補助装置。
  2. 第一判定部は、ユーザグループのメンバのうち、ユーザ群の属性値と当該ユーザ群を除いたユーザの属性値との一致が少ないほど、ユーザ分離推薦度を高く算出する
    請求項1記載のアクセス権整理補助装置。
  3. グループ所属推薦度算出部は、対象フォルダ以外で、当該対象フォルダに存在する分類タイプを含むフォルダ数のうち、継承状態にあるフォルダ数を除く
    請求項1または請求項2記載のアクセス権整理補助装置。
  4. ユーザ群の一部を含む既存ユーザグループを特定し、特定された既存ユーザグループに含まれるメンバの属性値に基づいて、前記既存ユーザグループのメンバにユーザを追加した方が良い度合いを示すユーザ追加推薦度を算出し、当該ユーザ追加推薦度およびグループ所属推薦度が高いほど、前記既存ユーザグループに含まれていないユーザ群のユーザである追加検討ユーザを、当該既存ユーザグループに追加することを推薦すると判定する第二判定部を備えた
    請求項1から請求項3のうちのいずれか1項に記載のアクセス権整理補助装置。
  5. 第二判定部は、既存ユーザグループの所属メンバの属性値と、追加検討ユーザの属性値との一致が多いほど、ユーザ追加推薦度を高く算出する
    請求項4記載のアクセス権整理補助装置。
  6. 判定結果に基づいてアクセス権を推薦するアクセス権推薦部を備えた
    請求項1から請求項5のうちのいずれか1項に記載のアクセス権整理補助装置。
  7. コンピュータが、各フォルダ内に存在するユーザまたはユーザグループを示すオブジェクトに設定されているアクセス権に基づいて、フォルダごとに各オブジェクトのアクセス権の分類タイプを特定し、
    前記コンピュータが、対象フォルダ以外で、当該対象フォルダに存在する分類タイプを含むフォルダ数を特定し、
    前記コンピュータが、前記対象フォルダの分類タイプごとにアクセス権が設定されているユーザの属性値を取得し、
    前記コンピュータが、前記分類タイプごとに、前記属性値が一致する数である属性値数が多いほど、かつ、前記フォルダ数が多いほど、同じグループに所属させた方が良い可能性の高さを表す数値であるグループ所属推薦度を大きくするように算出し、
    前記コンピュータが、前記対象フォルダ内で前記グループ所属推薦度が最も高い分類タイプのユーザ群が含まれるユーザグループを特定し、
    前記コンピュータが、特定されたユーザグループに含まれるユーザが前記ユーザ群のみの場合、前記ユーザグループに含まれるメンバの構成は変更しないことを推薦すると判定し、
    前記コンピュータが、特定されたユーザグループに含まれるユーザが前記ユーザ群以外も含む場合、当該ユーザグループに含まれるメンバの属性値と前記ユーザ群の属性値との一致度合いに基づいて、メンバの一部を新規ユーザグループへ分離させた方が良い度合いを示すユーザ分離推薦度を算出し、当該ユーザ分離推薦度および前記グループ所属推薦度が高いほど、前記ユーザ群を前記ユーザグループから新規ユーザグループのメンバとして移動することを推薦すると判定する
    ことを特徴とするアクセス権整理補助方法。
  8. コンピュータが、ユーザグループのメンバのうち、ユーザ群の属性値と当該ユーザ群を除いたユーザの属性値との一致が少ないほど、ユーザ分離推薦度を高く算出する
    請求項7記載のアクセス権整理補助方法。
  9. コンピュータに、
    各フォルダ内に存在するユーザまたはユーザグループを示すオブジェクトに設定されているアクセス権に基づいて、フォルダごとに各オブジェクトのアクセス権の分類タイプを特定する分類処理、
    対象フォルダ以外で、当該対象フォルダに存在する分類タイプを含むフォルダ数を特定し、前記対象フォルダの分類タイプごとにアクセス権が設定されているユーザの属性値を取得し、前記分類タイプごとに、前記属性値が一致する数である属性値数が多いほど、かつ、前記フォルダ数が多いほど、同じグループに所属させた方が良い可能性の高さを表す数値であるグループ所属推薦度を大きくするように算出するグループ所属推薦度算出処理、および、
    前記対象フォルダ内で前記グループ所属推薦度が最も高い分類タイプのユーザ群が含まれるユーザグループを特定し、特定されたユーザグループに含まれるユーザが前記ユーザ群のみの場合、前記ユーザグループに含まれるメンバの構成は変更しないことを推薦すると判定し、特定されたユーザグループに含まれるユーザが前記ユーザ群以外も含む場合、当該ユーザグループに含まれるメンバの属性値と前記ユーザ群の属性値との一致度合いに基づいて、メンバの一部を新規ユーザグループへ分離させた方が良い度合いを示すユーザ分離推薦度を算出し、当該ユーザ分離推薦度および前記グループ所属推薦度が高いほど、前記ユーザ群を前記ユーザグループから新規ユーザグループのメンバとして移動することを推薦すると判定する第一判定処理
    を実行させるためのアクセス権整理補助プログラム。
  10. コンピュータに、
    第一判定処理で、ユーザグループのメンバのうち、ユーザ群の属性値と当該ユーザ群を除いたユーザの属性値との一致が少ないほど、ユーザ分離推薦度を高く算出させる
    請求項9記載のアクセス権整理補助プログラム。
JP2016251298A 2016-12-26 2016-12-26 アクセス権整理補助装置、アクセス権整理補助方法およびアクセス権整理補助プログラム Active JP6805809B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016251298A JP6805809B2 (ja) 2016-12-26 2016-12-26 アクセス権整理補助装置、アクセス権整理補助方法およびアクセス権整理補助プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016251298A JP6805809B2 (ja) 2016-12-26 2016-12-26 アクセス権整理補助装置、アクセス権整理補助方法およびアクセス権整理補助プログラム

Publications (2)

Publication Number Publication Date
JP2018106382A JP2018106382A (ja) 2018-07-05
JP6805809B2 true JP6805809B2 (ja) 2020-12-23

Family

ID=62786987

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016251298A Active JP6805809B2 (ja) 2016-12-26 2016-12-26 アクセス権整理補助装置、アクセス権整理補助方法およびアクセス権整理補助プログラム

Country Status (1)

Country Link
JP (1) JP6805809B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7328948B2 (ja) * 2019-11-28 2023-08-17 不二輸送機工業株式会社 情報処理装置、情報処理方法、情報処理プログラム

Also Published As

Publication number Publication date
JP2018106382A (ja) 2018-07-05

Similar Documents

Publication Publication Date Title
EP3133507A1 (en) Context-based data classification
US20150006596A1 (en) Method for selecting storage cloud for storage of entity files from plurality of storage clouds, and computer and computer program therefor
JP2007172280A (ja) アクセス権管理方法、装置及びプログラム
US11770450B2 (en) Dynamic routing of file system objects
US9466025B2 (en) Method, apparatus and computer program product for loading content items
US8423550B2 (en) Storage medium for electronic information processing program, electronic information processing system, and electronic information processing method
US10467209B2 (en) Document management client apparatus and document management method
US9760842B2 (en) Operation target management apparatus and non-transitory computer readable medium
JP5512570B2 (ja) 文書処理装置、及びファイルサーバ管理支援方法、並びにファイルサーバ管理支援プログラム
JP2018092389A (ja) ファイル管理装置及びプログラム
JP6805809B2 (ja) アクセス権整理補助装置、アクセス権整理補助方法およびアクセス権整理補助プログラム
JP2019016146A (ja) ジョブ共有許可装置、ジョブ共有許可方法およびジョブ共有許可プログラム
JP6578637B2 (ja) 情報装置、情報システムおよびアクセス権評価方法
US20190317983A1 (en) Information processing apparatus, information processing system, and non-transitory computer readable medium
JP2007193826A (ja) データ管理装置、データ管理処理方法およびその方法をコンピュータに実行させるプログラムを記録したコンピュータ読み取り可能な記録媒体
CN107148625B (zh) 对存储在单个数据库中的信息对象进行分割的管理的方法
US20170262439A1 (en) Information processing apparatus and non-transitory computer readable medium
JP4731928B2 (ja) データ管理装置、データ管理システム、データ処理装置、データ管理方法、プログラム、及び記憶媒体
JP5887236B2 (ja) 業務文書処理装置、業務文書処理方法及び業務文書処理プログラム
JP5998835B2 (ja) 情報処理装置及びプログラム
JP6695847B2 (ja) ソフトウェア部品管理システム、計算機
JP2012252586A (ja) 文書データ管理装置、文書データ継承方法およびプログラム
JP2013196561A (ja) 更新装置、更新方法、および更新プログラム
JP6305177B2 (ja) 情報処理装置、文書管理システム、情報処理方法及びプログラム
JP6865367B2 (ja) 情報処理装置及び情報処理プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191107

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200817

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200901

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201012

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20201104

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20201117

R150 Certificate of patent or registration of utility model

Ref document number: 6805809

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150