JP7047537B2 - 情報管理装置、情報管理方法、及び情報管理プログラム - Google Patents
情報管理装置、情報管理方法、及び情報管理プログラム Download PDFInfo
- Publication number
- JP7047537B2 JP7047537B2 JP2018066058A JP2018066058A JP7047537B2 JP 7047537 B2 JP7047537 B2 JP 7047537B2 JP 2018066058 A JP2018066058 A JP 2018066058A JP 2018066058 A JP2018066058 A JP 2018066058A JP 7047537 B2 JP7047537 B2 JP 7047537B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- identification information
- access
- user
- authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
Description
本発明は、情報に対する権限を管理する、情報管理装置、情報管理方法、及び情報管理プログラムに関する。
近年、ファイルへの不正アクセスによる情報漏洩が増加している。そこで、情報漏洩対策として、ファイルを暗号化している。そして、ファイルの暗号化にともない、暗号化したファイルにアクセス権限を付与して、暗号化したファイルを管理している。
アクセス権限とは、暗号化した状態において、暗号化したファイルにアクセスできる権限である。具体的には、暗号化したファイルがテキストファイルである場合、暗号化した状態で、ファイルを閲覧したり、編集したりできる権限である。
ところが、このようなアクセス権限を暗号化したファイルに付与するには、暗号化したファイルの利用状況を把握しなければならない。そのため、暗号化したファイルの利用状況の把握が難しい場合、現状では、暗号化したファイルにアクセス権限が適切に関連付けられないことがある。
関連する技術として、特許文献1には、ファイルを利用するグループに対して、フォルダへのアクセス権限を設定する情報装置が開示されている。その情報装置によれば、フォルダへアクセスした利用者のアクセス履歴情報と、利用者が属するグループ情報とを用いて、利用者がフォルダにアクセスした実績を評価する。そして、その情報装置は、その評価に基づいて、適切な範囲のグループに対するフォルダへのアクセス権限を設定する。
また、特許文献2には、アクセス権限の設定とファイルの利用状況とを対比し、管理者に提示し、適切なアクセス権限の設定を補助する、アクセス権管理システムが開示されている。アクセス権管理システムによれば、利用者のアクセス履歴情報と、利用者のファイルへのアクセス回数を示す情報とに基づいて、ファイルへのアクセス権限に対する許可が適切であるか否かを、管理者に提示する。
しかしながら、アクセス権限が関連付けられた、暗号化したファイルの利用状況を把握するには、暗号化したファイルの利用状況の分析、設定などの作業が必要である。そして、そのためには、それらの作業を行う時間と費用とがかかるという問題がある。
また、アクセス権限が、暗号化したファイルに適切に関連付けられていない場合、セキュリティの低下をまねくという問題がある。更に、アクセス権限が適切に関連付けられていない場合、暗号化したファイルへのアクセスが制限されるため、利用者の利便性が低下するという問題がある。
なお、上述した特許文献1、2では、アクセス権限が関連付けられた、暗号化したファ
イルを対象としていないので、特許文献1、2を用いたとしても、上述した問題を解決することはできない。
イルを対象としていないので、特許文献1、2を用いたとしても、上述した問題を解決することはできない。
本発明の目的の一例は、暗号化したファイルに関連付けられたアクセス権限を更新する、情報管理装置、情報管理方法、及び情報管理プログラムを提供することにある。
上記目的を達成するため、本発明の一側面における情報管理装置は、
利用者を識別する利用者識別情報と、前記利用者が属するグループを識別するグループ識別情報と、アクセスを識別するアクセス識別情報と、前記利用者ごとに設定された重み情報とを用いて、同じグループ識別情報に関連付けられた同じアクセス識別情報ごとに判定値を算出する、判定値算出部と、
前記判定値が予め設定した閾値以上である場合、暗号化したファイルに関連付けられたアクセス権限情報を更新するために用いる更新権限情報を更新する、権限更新部と、
を有することを特徴とする。
利用者を識別する利用者識別情報と、前記利用者が属するグループを識別するグループ識別情報と、アクセスを識別するアクセス識別情報と、前記利用者ごとに設定された重み情報とを用いて、同じグループ識別情報に関連付けられた同じアクセス識別情報ごとに判定値を算出する、判定値算出部と、
前記判定値が予め設定した閾値以上である場合、暗号化したファイルに関連付けられたアクセス権限情報を更新するために用いる更新権限情報を更新する、権限更新部と、
を有することを特徴とする。
また、上記目的を達成するため、本発明の一側面における情報管理方法は、
(A)利用者を識別する利用者識別情報と、前記利用者が属するグループを識別するグループ識別情報と、アクセスを識別するアクセス識別情報と、前記利用者ごとに設定された重み情報とを用いて、同じグループ識別情報に関連付けられた同じアクセス識別情報ごとに判定値を算出する、ステップと、
(B)前記判定値が予め設定した閾値以上である場合、暗号化したファイルに関連付けられたアクセス権限情報を更新するために用いる更新権限情報を更新する、ステップと、
を有することを特徴とする。
(A)利用者を識別する利用者識別情報と、前記利用者が属するグループを識別するグループ識別情報と、アクセスを識別するアクセス識別情報と、前記利用者ごとに設定された重み情報とを用いて、同じグループ識別情報に関連付けられた同じアクセス識別情報ごとに判定値を算出する、ステップと、
(B)前記判定値が予め設定した閾値以上である場合、暗号化したファイルに関連付けられたアクセス権限情報を更新するために用いる更新権限情報を更新する、ステップと、
を有することを特徴とする。
更に、上記目的を達成するため、本発明の一側面における情報管理プログラムは、
コンピュータに、
(A)利用者を識別する利用者識別情報と、前記利用者が属するグループを識別するグループ識別情報と、アクセスを識別するアクセス識別情報と、前記利用者ごとに設定された重み情報とを用いて、同じグループ識別情報に関連付けられた同じアクセス識別情報ごとに判定値を算出する、ステップと、
(B)前記判定値が予め設定した閾値以上である場合、暗号化したファイルに関連付けられたアクセス権限情報を更新するために用いる更新権限情報を更新する、ステップと、
を実行させることを特徴とする。
コンピュータに、
(A)利用者を識別する利用者識別情報と、前記利用者が属するグループを識別するグループ識別情報と、アクセスを識別するアクセス識別情報と、前記利用者ごとに設定された重み情報とを用いて、同じグループ識別情報に関連付けられた同じアクセス識別情報ごとに判定値を算出する、ステップと、
(B)前記判定値が予め設定した閾値以上である場合、暗号化したファイルに関連付けられたアクセス権限情報を更新するために用いる更新権限情報を更新する、ステップと、
を実行させることを特徴とする。
以上のように本発明によれば、暗号化したファイルに関連付けられたアクセス権限を更新できる。
(実施の形態)
以下、本発明の実施の形態について、図1から図15を参照しながら説明する。
以下、本発明の実施の形態について、図1から図15を参照しながら説明する。
[装置構成]
最初に、図1を用いて、本実施の形態における情報管理装置1の構成について説明する。図1は、情報管理装置の一例を示す図である。
最初に、図1を用いて、本実施の形態における情報管理装置1の構成について説明する。図1は、情報管理装置の一例を示す図である。
図1に示す本実施の形態における情報管理装置1は、暗号化したファイルに関連付けられたアクセス権限を更新する装置である。図1に示すように、情報管理装置1は、判定値算出部2と、権限更新部3とを有する。
このうち、判定値算出部2は、利用者を識別する利用者識別情報と、利用者が属するグループを識別するグループ識別情報と、アクセスを識別するアクセス識別情報と、利用者ごとに設定された重み情報とを用いて、同じグループ識別情報に関連付けられたアクセス識別情報ごとに判定値を算出する。権限更新部3は、判定値が予め設定した閾値以上である場合、暗号化したファイルに関連付けられたアクセス権限情報を更新する。
このように、本実施の形態では、暗号化したファイルに関連付けられたアクセス権限を更新するので、アクセス権限が関連付けられた、暗号化したファイルの利用状況を把握するために必要となる分析、設定などの作業にかかる時間と費用とを軽減できる。
アクセス権限が、適切に関連づけられるので、暗号化したファイルへのアクセスに対する利便性を保ちつつ、セキュリティを向上できる。
[システム構成]
続いて、図2を用いて、本実施の形態における情報管理システムの構成を説明する。図2は、情報管理システムの一例を示す図である。図2に示すように、本実施の形態における情報管理システムは、情報管理装置100(1)に加えて、利用者管理装置200と、端末装置300とを有する。
続いて、図2を用いて、本実施の形態における情報管理システムの構成を説明する。図2は、情報管理システムの一例を示す図である。図2に示すように、本実施の形態における情報管理システムは、情報管理装置100(1)に加えて、利用者管理装置200と、端末装置300とを有する。
情報管理装置100は、ネットワークに接続されたサーバ装置などである。情報管理装置100は、分類部101と、算出部102と、生成部103と、更新部104と、通信部105とを有する。利用者管理装置200は、ネットワークに接続されたサーバ装置などである。また、利用者管理装置200は、利用者管理部201と、権限管理部202と、通信部203とを有する。端末装置300は、ネットワークに接続された端末装置などである。端末装置300は、暗号化部301と、アクセス部302と、通信部303とを有する。
情報管理装置について具体的に説明する。
分類部101は、アクセス履歴情報を、グループ識別情報ごとに分類する。例えば、図3に示すアクセス履歴情報30の場合であれば、分類部101は、「○○事業部」グループと「××事業部」グループとに分類する。
分類部101は、アクセス履歴情報を、グループ識別情報ごとに分類する。例えば、図3に示すアクセス履歴情報30の場合であれば、分類部101は、「○○事業部」グループと「××事業部」グループとに分類する。
アクセス履歴情報は、少なくとも、利用者を識別する利用者識別情報と、利用者が属するグループを識別するグループ識別情報と、アクセスを識別するアクセス識別情報とを有する。また、グループ識別情報と、利用者識別情報と、アクセス識別情報とが、関連付けられている。例えば、アクセス履歴情報は、図3に示すような情報である。図3は、アクセス履歴情報の一例を示す図である。図3において、アクセス履歴情報30には、利用者識別情報として、「ユーザA」、「ユーザB」、「ユーザC」が示されている。グループ識別情報として、「○○事業部」「××事業部」が示されている。アクセス識別情報として、「保護解除(失敗)」「閲覧」が示されている。なお、保護解除とは、暗号化したファイルを復号したことを示す。また、(失敗)は、保護解除をしたが失敗したことを示している。
続いて、分類部101は、アクセス履歴情報をグループ識別情報ごとに分類したグループそれぞれにおいて、利用者識別情報ごとにアクセス識別情報を分類する。具体的には、分類部101は、図4に示すように、利用者ごとにアクセスを分類する。図4は、アクセス履歴情報を分類したことを示す図である。また、図4に示すアクセス履歴情報30を分類したことを示す情報40においては、「○○事業部」グループについて、「○○事業部」グループに属する利用者「ユーザA」「ユーザC」のアクセスを、利用者ごとに分類したことを示している。
算出部102は、利用者識別情報を用いて、利用者情報を参照し、重み情報を取得する。具体的には、算出部102は、図4に示すアクセス履歴情報30を分類した情報40に示される、利用者識別情報「ユーザA」「ユーザC」を用いて、利用者情報50を参照し、利用者識別情報「ユーザA」「ユーザC」に対応する重み情報(管理職)(一般職)を取得する。
利用者情報は、少なくとも、グループ識別情報と、利用者識別情報と、グループが所属する親グループを識別するグループ所属識別情報とを有する。また、グループ識別情報と、利用者識別情報と、グループ所属識別情報とが関連付けられている。例えば、利用者情報は、図5に示すような情報である。図5は、利用者情報の一例を示す図である。図5においては、利用者情報50には、グループ識別情報として、「○○事業部」「××事業部」「◆◆部」が示されている。利用者識別情報(重み情報)として、「ユーザA(管理職)/ユーザC(一般職)・・・」「ユーザD(管理職)/ユーザB(一般職)・・・」「ユーザE(管理職)/ユーザF(一般職)・・・」が示されている。グループ所属識別情報としては、「なし」「○○事業部」が示されている。
続いて、算出部102は、重み情報に応じて、利用者識別情報に対応する重み値を算出する。具体的には、算出部102は、重み情報を用いて、重み値を算出する。重み値は、例えば、役職(管理職)(一般職)ごとに設定されている重み情報を用いて算出する。例えば、管理職と一般職との二つの場合、予め設定された閾値を用いて、重み情報を算出する。管理職の重み情報は、閾値を定数2で割った値(閾値/2)とし、一般職の重みは、閾値をグループに属する利用者の数(N)に定数1を加えた値で割った値(閾値/N+1)とする。ただし、重み値の算出は、上述した方法に限定されない。
続いて、算出部102は、同じグループにいて、同じアクセス識別情報ごとに、同じアクセス識別情報に対応する重み値の総和を算出して判定値とする。具体的には、図6に示すように、算出部102は判定値を算出する。図6は、判定値の算出を説明するための図である。例えば、「○○事業部」に管理職が3人、一般職が9人属し、管理者が閾値として5を設定した場合について説明する。なお、図6の情報61に示す重み値は、上述した方法により算出する。すなわち、管理職の重み値は2.5(=5/2)となる。一般職の重みは0.5(=5/(9+1))となる。
次に、図6の情報62に示す判定値は、以下のように算出する。「○○事業部」において、「保護解除(失敗)」をした利用者は、「ユーザA」「ユーザC」「ユーザE」であるので、「ユーザA」「ユーザC」「ユーザE」それぞれに関連付けられている、重み値の総和は5.5(=2.5+2.5+0.5)となる。次に、「○○事業部」において、「閲覧」をした利用者は、「ユーザA」「ユーザD」であるので、「ユーザA」「ユーザD」それぞれに関連付けられている、重み値の総和は3.0(=2.5+0.5)となる。なお、「○○事業部」において、「印刷」をした利用者はいないので、重み値の総和は0.0である。
生成部103は、算出部102において、アクセス識別情報ごとに算出した判定値に対して、それらの判定値が上述した閾値以上であるか否かを判定する。生成部103は、アクセス識別情報に対応する判定値が閾値以上である場合、アクセス識別情報に対応するアクセスに対して権限を付与する情報を含む、更新権限情報を生成する。また、アクセス識別情報に対応する判定値が0より大きく閾値より小さい場合、アクセス識別情報に対応するアクセスに対して権限を改めて設定(付与)しない。
具体的には、生成部103は、アクセス識別情報に対応する判定値が0.0の場合、当該アクセス識別情報に対応するアクセス権限を削除(除去)する、更新権限情報を生成する。生成部103は、アクセス識別情報に対応する判定値が5.0以上の場合、当該アクセス識別情報に対応するアクセス権限を設定(付与)する、更新権限情報を生成する。
例えば、図6の情報62に示したように、「○○事業部」においては、「保護解除」の判定値が5.5、「閲覧」の判定値が3.0、「印刷」の判定値が0.0であるので、図7に示すように、アクセス権限を設定する更新権限情報70を生成する。「保護解除」の判定値は5.5なので、アクセス権限を設定することを示す情報「付与」が関連付けられる。「閲覧」の判定値は3.0なので、アクセス権限を設定しない。「印刷」の判定値は0.0なので、アクセス権限を削除することを示す情報「除去」が関連付けられる。
更新部104は、生成部103が生成した更新権限情報を参照して、更新権限情報の内容に基づいて、権限管理情報を更新する。具体的には、更新部104は、図9に示すように、更新権限情報70を参照し、権限管理情報80の「○○事業部」に関連付けられるアクセス識別情報「印刷」を削除し、「保護解除」を追加し、権限管理情報80を更新する。
権限管理情報は、少なくとも、グループ識別情報と、暗号化したファイルへのアクセス権限を示すアクセス権限情報とを有する。また、グループ識別情報と、アクセス権限情報とが、関連付けられている。具体的には、権限管理情報は、グループごとに、暗号化したファイルに対するアクセス権限を管理する情報である。例えば、権限管理情報は、図8に示すような情報である。図8は、権限管理情報の一例を示す図である。図8において、権限管理情報80には、グループ識別情報として、「グループ名:○○事業部」「グループ名:△△事業部」「グループ名:××事業部」が示されている。アクセス権限情報として、「権限:編集、閲覧、印刷」「権限:保護解除、編集、閲覧」「権限:閲覧」が示されている。
通信部105は、端末装置300が有する通信部303から送信されるアクセス履歴情報を受信し、受信したアクセス履歴情報を分類部101へ送る。また、通信部105は、利用者管理装置200が有する通信部203から送信される利用者情報、権限管理情報を受信し、受信した利用者情報を分類部101へ送り、受信した権限管理情報を更新部104へ送る。通信部105は、例えば、有線通信、又は無線通信をする通信装置である。
利用者管理装置について具体的に説明する。
利用者管理部201は、上述した利用者情報を管理する。例えば、利用者管理部201は、図5に示すような利用者情報50を管理する。
利用者管理部201は、上述した利用者情報を管理する。例えば、利用者管理部201は、図5に示すような利用者情報50を管理する。
権限管理部202は、上述した権限管理情報を管理する。例えば、権限管理部202は、図8に示すような権限管理情報80を管理する。また、権限管理部202が管理する権限管理情報は、情報管理装置100の有する更新部104により、通信部105、203を介して更新する。
通信部203は、利用者情報、権限管理情報を、情報管理装置100が有する通信部105へ送信する。また、通信部203は、権限管理情報を、端末装置300の通信部303へ送信する。通信部203は、例えば、有線通信、又は無線通信をする通信装置である。
なお、利用者管理部201及び権限管理部202は、情報管理装置100に設けてもよい。
端末装置について具体的に説明する。
暗号化部301は、ファイルを暗号化する場合、暗号化したファイルに、権限管理情報に基づいて、アクセス権限情報を付与する。
暗号化部301は、ファイルを暗号化する場合、暗号化したファイルに、権限管理情報に基づいて、アクセス権限情報を付与する。
アクセス部302は、暗号化されたファイルにアクセスした場合、アクセス権限情報に基づいて、ファイルへのアクセスを行う。また、アクセス部302は、ファイルへアクセスした履歴を、アクセス履歴情報へ記録する。
通信部303は、アクセス履歴情報を、情報管理装置100が有する通信部105へ送信する。また、通信部303は、権限管理情報を、利用者管理装置200の通信部203から受信する。通信部303は、例えば、有線通信、又は無線通信をする通信装置である。
なお、利用者管理部201及び権限管理部202が、情報管理装置100に設けられている場合、通信部303は、権限管理情報を、情報管理装置100が有する通信部105から受信する。
[装置動作]
次に、本発明の実施の形態における情報管理装置の動作について図10、図11、図12、図13、図14を用いて説明する。図10は、情報管理装置の動作の一例を示す図である。図11は、分類部の動作の一例を示す図である。図12は、算出部の動作の一例を示す図である。図13は、生成部の動作の一例を示す図である。図14は、更新部の動作の一例を示す図である。
次に、本発明の実施の形態における情報管理装置の動作について図10、図11、図12、図13、図14を用いて説明する。図10は、情報管理装置の動作の一例を示す図である。図11は、分類部の動作の一例を示す図である。図12は、算出部の動作の一例を示す図である。図13は、生成部の動作の一例を示す図である。図14は、更新部の動作の一例を示す図である。
以下の説明においては、適宜図1から図9を参酌する。また、本実施の形態では、情報管理装置を動作させることによって、情報管理方法が実施される。よって、本実施の形態における情報管理方法の説明は、以下の情報管理装置の動作説明に代える。
図10に示すように、最初に、分類部101は、グループ識別情報ごとに分類したグループそれぞれにおいて、利用者識別情報ごとにアクセス識別情報を分類する。(ステップA1)。算出部102は、利用者識別情報ごとに判定値を算出する(ステップA2)。生成部103は、判定値と閾値とを比較した結果を用いて、更新権限情報を生成する(ステ
ップA3)。更新部104は、更新権限情報に基づいて、権限管理情報を更新する(ステップA4)。
ップA3)。更新部104は、更新権限情報に基づいて、権限管理情報を更新する(ステップA4)。
ステップA1について、図11を用いて具体的に説明する。
最初に、情報管理装置1は、情報管理システムの管理者が設定した日時又はアクセス履歴情報の履歴あるいは記憶容量が一定量を超えた場合、アクセス権限の更新を開始する。又は、情報管理装置1は、毎週決まった日時において、アクセス権限の更新を開始する。
最初に、情報管理装置1は、情報管理システムの管理者が設定した日時又はアクセス履歴情報の履歴あるいは記憶容量が一定量を超えた場合、アクセス権限の更新を開始する。又は、情報管理装置1は、毎週決まった日時において、アクセス権限の更新を開始する。
ステップB1において、分類部101は、前回のアクセス権限の更新後に生成されたアクセス履歴情報があるか否かを判定する。前回のアクセス権限更新後にアクセス履歴情報がある場合(ステップB1:Yes)、ステップB2において、分類部101は、前回のアクセス権限の更新後に生成された、アクセス履歴情報を抽出する。前回のアクセス権限更新後にアクセス履歴情報がない場合(ステップB1:No)、アクセス権限の更新をせず処理を終了する。
ステップB3において、分類部101は、アクセス履歴情報を、グループ識別情報ごとに分類する。例えば、図3に示すアクセス履歴情報30の場合であれば、分類部101は、「○○事業部」グループと「××事業部」グループとに分類する。
ステップB4において、分類部101は、分類したグループに属する利用者数が所定人数以下であるか否かを判定する。例えば、分類したグループに属する利用者数が一桁台(9人以下)の人数である場合(ステップB4:Yes)、ステップB5において、分類部101は、親グループのアクセス履歴情報を抽出する。
具体的には、利用者管理装置200の利用者管理部201から、図5に示すような利用者情報を取得し、親グループの情報を取得し、親グループの利用者のアクセス履歴情報を抽出する。その後、当該グループに、抽出したアクセス履歴情報を加える。なお、ステップB4において、分類部101は、分類したグループに属する利用者数が一桁台の人数でない場合(ステップB4:No)、ステップB6の処理へ移行する。
ステップB6において、分類部101は、分類したグループそれぞれにおいて、利用者識別情報ごとにアクセス識別情報を分類する。具体的には、分類部101は、図4に示すように、利用者ごとにアクセス識別情報を分類する。
ステップA2について、図12を用いて具体的に説明する。
ステップC1において、利用者識別情報を用いて、利用者情報を参照し、重み情報を取得する。ステップC2において、算出部102は、重み情報に応じて、利用者識別情報に対応する重み値を算出する。ステップC3において、算出部102は、グループ内のアクセス識別情報ごとに、重み値の総和を算出して判定値とする。
ステップC1において、利用者識別情報を用いて、利用者情報を参照し、重み情報を取得する。ステップC2において、算出部102は、重み情報に応じて、利用者識別情報に対応する重み値を算出する。ステップC3において、算出部102は、グループ内のアクセス識別情報ごとに、重み値の総和を算出して判定値とする。
ステップA3について、図13を用いて具体的に説明する。
ステップD1において、生成部103は、アクセス識別情報ごとに算出した判定値に対して、それらの判定値が0であるか否かを判定する。判定値が0でない場合(ステップD1:No)、ステップD2において、生成部103は、アクセス識別情報ごとに算出した判定値に対して、それらの判定値が上述した閾値以上であるか否かを判定する。判定値が0である場合(ステップD1:Yes)、ステップD3の処理へ移行する。
ステップD1において、生成部103は、アクセス識別情報ごとに算出した判定値に対して、それらの判定値が0であるか否かを判定する。判定値が0でない場合(ステップD1:No)、ステップD2において、生成部103は、アクセス識別情報ごとに算出した判定値に対して、それらの判定値が上述した閾値以上であるか否かを判定する。判定値が0である場合(ステップD1:Yes)、ステップD3の処理へ移行する。
ステップD3において、生成部103は、アクセス識別情報に対応する判定値が閾値以上である場合(ステップD2:Yes)、アクセス識別情報に対応するアクセスに対して権限を付与する情報を含む、更新権限情報を生成する。また、ステップD3において、生
成部103は、判定値が0である場合(ステップD1:Yes)、アクセス識別情報に対応するアクセスに対して権限を除去する情報を含む、更新権限情報を生成する。また、アクセス識別情報に対応する判定値が0より大きく閾値より小さい場合、アクセス識別情報に対応するアクセスに対して権限を付与又は除去をしない。
成部103は、判定値が0である場合(ステップD1:Yes)、アクセス識別情報に対応するアクセスに対して権限を除去する情報を含む、更新権限情報を生成する。また、アクセス識別情報に対応する判定値が0より大きく閾値より小さい場合、アクセス識別情報に対応するアクセスに対して権限を付与又は除去をしない。
ステップA4について、図14を用いて具体的に説明する。
ステップE1において、更新部104は、更新権限情報を参照して、更新権限情報が生成されたか否かを判定する。更新権限情報が更新されている場合(ステップE1:Yes)、ステップE2において、更新部104は、更新権限情報を参照して、更新権限情報の内容に基づいて、権限管理情報を更新する。更新権限情報が更新されていない場合(ステップE1:No)、権限管理情報の更新をせず処理を終了する。
ステップE1において、更新部104は、更新権限情報を参照して、更新権限情報が生成されたか否かを判定する。更新権限情報が更新されている場合(ステップE1:Yes)、ステップE2において、更新部104は、更新権限情報を参照して、更新権限情報の内容に基づいて、権限管理情報を更新する。更新権限情報が更新されていない場合(ステップE1:No)、権限管理情報の更新をせず処理を終了する。
[本実施の形態の効果]
以上のように本実施の形態によれば、暗号化したファイルに関連付けられたアクセス権限を更新するので、アクセス権限が関連付けられた、暗号化したファイルの利用状況を把握するために必要となる分析、設定などの作業にかかる時間と費用とを軽減できる。
以上のように本実施の形態によれば、暗号化したファイルに関連付けられたアクセス権限を更新するので、アクセス権限が関連付けられた、暗号化したファイルの利用状況を把握するために必要となる分析、設定などの作業にかかる時間と費用とを軽減できる。
アクセス権限が、適切に関連づけられるので、暗号化したファイルへのアクセスに対する利便性を保ちつつ、セキュリティを向上できる。
[プログラム]
本発明の実施の形態における情報管理プログラムは、コンピュータに、図11に示すステップA1(ステップB1からB6)、ステップA2(ステップC1からC3)、ステップA3(ステップD1からD3)、ステップA4(ステップE1からE2)、を実行させるプログラムであればよい。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態における情報管理装置と情報管理方法とを実現することができる。この場合、コンピュータのプロセッサは、判定値算出部2(分類部101、算出部102)、権限更新部3(生成部103、更新部104)として機能し、処理を行なう。
本発明の実施の形態における情報管理プログラムは、コンピュータに、図11に示すステップA1(ステップB1からB6)、ステップA2(ステップC1からC3)、ステップA3(ステップD1からD3)、ステップA4(ステップE1からE2)、を実行させるプログラムであればよい。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態における情報管理装置と情報管理方法とを実現することができる。この場合、コンピュータのプロセッサは、判定値算出部2(分類部101、算出部102)、権限更新部3(生成部103、更新部104)として機能し、処理を行なう。
また、本実施の形態におけるプログラムは、複数のコンピュータによって構築されたコンピュータシステムによって実行されてもよい。この場合は、例えば、各コンピュータが、それぞれ、判定値算出部2、権限更新部3のいずれかとして機能してもよい。
[物理構成]
ここで、実施の形態におけるプログラムを実行することによって、情報管理装置を実現するコンピュータについて図15を用いて説明する。図15は、情報管理装置を実現するコンピュータの一例を示すブロック図である。
ここで、実施の形態におけるプログラムを実行することによって、情報管理装置を実現するコンピュータについて図15を用いて説明する。図15は、情報管理装置を実現するコンピュータの一例を示すブロック図である。
図15に示すように、コンピュータ110は、CPU111と、メインメモリ112と、記憶装置113と、入力インターフェイス114と、表示コントローラ115と、データリーダ/ライタ116と、通信インターフェイス117とを備える。これらの各部は、バス121を介して、互いにデータ通信可能に接続される。なお、コンピュータ110は、CPU111に加えて、又はCPU111に代えて、GPU(Graphics Processing Unit)、又はFPGA(Field-Programmable Gate Array)を備えていてもよい。
CPU111は、記憶装置113に格納された、本実施の形態におけるプログラム(コード)をメインメモリ112に展開し、これらを所定順序で実行することにより、各種の演算を実施する。メインメモリ112は、典型的には、DRAM(Dynamic Random Access Memory)等の揮発性の記憶装置である。また、本実施の形態におけるプログラムは、コンピュータ読み取り可能な記録媒体120に格納された状態で提供される。なお、本実施
の形態におけるプログラムは、通信インターフェイス117を介して接続されたインターネット上で流通するものであってもよい。
の形態におけるプログラムは、通信インターフェイス117を介して接続されたインターネット上で流通するものであってもよい。
また、記憶装置113の具体例としては、ハードディスクドライブの他、フラッシュメモリ等の半導体記憶装置があげられる。入力インターフェイス114は、CPU111と、キーボード及びマウスといった入力機器118との間のデータ伝送を仲介する。表示コントローラ115は、ディスプレイ装置119と接続され、ディスプレイ装置119での表示を制御する。
データリーダ/ライタ116は、CPU111と記録媒体120との間のデータ伝送を仲介し、記録媒体120からのプログラムの読み出し、及びコンピュータ110における処理結果の記録媒体120への書き込みを実行する。通信インターフェイス117は、CPU111と、他のコンピュータとの間のデータ伝送を仲介する。
また、記録媒体120の具体例としては、CF(Compact Flash(登録商標))及びSD(Secure Digital)等の汎用的な半導体記憶デバイス、フレキシブルディスク(Flexible Disk)等の磁気記録媒体、又はCD-ROM(Compact Disk Read Only Memory)などの光学記録媒体があげられる。
[付記]
以上の実施の形態に関し、更に以下の付記を開示する。上述した実施の形態の一部又は全部は、以下に記載する(付記1)から(付記12)により表現することができるが、以下の記載に限定されるものではない。
以上の実施の形態に関し、更に以下の付記を開示する。上述した実施の形態の一部又は全部は、以下に記載する(付記1)から(付記12)により表現することができるが、以下の記載に限定されるものではない。
(付記1)
利用者を識別する利用者識別情報と、前記利用者が属するグループを識別するグループ識別情報と、アクセスを識別するアクセス識別情報と、前記利用者ごとに設定された重み情報とを用いて、同じグループ識別情報に関連付けられた同じアクセス識別情報ごとに判定値を算出する、判定値算出部と、
前記判定値が予め設定した閾値以上である場合、暗号化したファイルに関連付けられたアクセス権限情報を更新するために用いる更新権限情報を更新する、権限更新部と、
を有する情報管理装置。
利用者を識別する利用者識別情報と、前記利用者が属するグループを識別するグループ識別情報と、アクセスを識別するアクセス識別情報と、前記利用者ごとに設定された重み情報とを用いて、同じグループ識別情報に関連付けられた同じアクセス識別情報ごとに判定値を算出する、判定値算出部と、
前記判定値が予め設定した閾値以上である場合、暗号化したファイルに関連付けられたアクセス権限情報を更新するために用いる更新権限情報を更新する、権限更新部と、
を有する情報管理装置。
(付記2)
付記1に記載の情報管理装置であって、
前記判定値算出部は、前記重み情報に応じて前記利用者識別情報に対応する重み値を算出し、同じ前記グループ識別情報に関連付けられた同じアクセス識別情報ごとに、同じアクセス識別情報に対応する前記重み値の総和を算出して前記判定値とする。
付記1に記載の情報管理装置であって、
前記判定値算出部は、前記重み情報に応じて前記利用者識別情報に対応する重み値を算出し、同じ前記グループ識別情報に関連付けられた同じアクセス識別情報ごとに、同じアクセス識別情報に対応する前記重み値の総和を算出して前記判定値とする。
(付記3)
付記2に記載の情報管理装置であって、
前記権限更新部は、前記判定値が0である場合、前記更新権限情報からアクセス権限情報を削除する。
付記2に記載の情報管理装置であって、
前記権限更新部は、前記判定値が0である場合、前記更新権限情報からアクセス権限情報を削除する。
(付記4)
付記1から3のいずれか一つに記載の情報管理装置であって、
前記判定値算出部は、前記グループに属する前記利用者が所定人数以下である場合、前記グループに前記グループの属する親グループのアクセス履歴情報を加える。
付記1から3のいずれか一つに記載の情報管理装置であって、
前記判定値算出部は、前記グループに属する前記利用者が所定人数以下である場合、前記グループに前記グループの属する親グループのアクセス履歴情報を加える。
(付記5)
(A)利用者を識別する利用者識別情報と、前記利用者が属するグループを識別するグループ識別情報と、アクセスを識別するアクセス識別情報と、前記利用者ごとに設定された重み情報とを用いて、同じグループ識別情報に関連付けられた同じアクセス識別情報ごとに判定値を算出する、ステップと、
(B)前記判定値が予め設定した閾値以上である場合、暗号化したファイルに関連付けられたアクセス権限情報を更新するために用いる更新権限情報を更新する、ステップと、
を有する情報管理方法。
(A)利用者を識別する利用者識別情報と、前記利用者が属するグループを識別するグループ識別情報と、アクセスを識別するアクセス識別情報と、前記利用者ごとに設定された重み情報とを用いて、同じグループ識別情報に関連付けられた同じアクセス識別情報ごとに判定値を算出する、ステップと、
(B)前記判定値が予め設定した閾値以上である場合、暗号化したファイルに関連付けられたアクセス権限情報を更新するために用いる更新権限情報を更新する、ステップと、
を有する情報管理方法。
(付記6)
付記5に記載の情報管理方法であって、
前記(A)において、前記重み情報に応じて前記利用者識別情報に対応する重み値を算出し、同じ前記グループ識別情報に関連付けられた同じアクセス識別情報ごとに、同じアクセス識別情報に対応する前記重み値の総和を算出して前記判定値とする。
付記5に記載の情報管理方法であって、
前記(A)において、前記重み情報に応じて前記利用者識別情報に対応する重み値を算出し、同じ前記グループ識別情報に関連付けられた同じアクセス識別情報ごとに、同じアクセス識別情報に対応する前記重み値の総和を算出して前記判定値とする。
(付記7)
付記6に記載の情報管理方法であって、
前記(B)において、前記判定値が0である場合、前記更新権限情報からアクセス権限情報を削除する。
付記6に記載の情報管理方法であって、
前記(B)において、前記判定値が0である場合、前記更新権限情報からアクセス権限情報を削除する。
(付記8)
付記5から6のいずれか一つに記載の情報管理方法であって、
前記(A)において、前記グループに属する前記利用者が所定人数以下である場合、前記グループに前記グループの属する親グループのアクセス履歴情報を加える。
付記5から6のいずれか一つに記載の情報管理方法であって、
前記(A)において、前記グループに属する前記利用者が所定人数以下である場合、前記グループに前記グループの属する親グループのアクセス履歴情報を加える。
(付記9)
コンピュータに、
(A)利用者を識別する利用者識別情報と、前記利用者が属するグループを識別するグループ識別情報と、アクセスを識別するアクセス識別情報と、前記利用者ごとに設定された重み情報とを用いて、同じグループ識別情報に関連付けられた同じアクセス識別情報ごとに判定値を算出する、ステップと、
(B)前記判定値が予め設定した閾値以上である場合、暗号化したファイルに関連付けられたアクセス権限情報を更新するために用いる更新権限情報を更新する、ステップと、
を実行させる情報管理プログラム。
コンピュータに、
(A)利用者を識別する利用者識別情報と、前記利用者が属するグループを識別するグループ識別情報と、アクセスを識別するアクセス識別情報と、前記利用者ごとに設定された重み情報とを用いて、同じグループ識別情報に関連付けられた同じアクセス識別情報ごとに判定値を算出する、ステップと、
(B)前記判定値が予め設定した閾値以上である場合、暗号化したファイルに関連付けられたアクセス権限情報を更新するために用いる更新権限情報を更新する、ステップと、
を実行させる情報管理プログラム。
(付記10)
付記9に記載の情報管理プログラムであって、
前記(A)において、前記重み情報に応じて前記利用者識別情報に対応する重み値を算出し、同じ前記グループ識別情報に関連付けられた同じアクセス識別情報ごとに、同じアクセス識別情報に対応する前記重み値の総和を算出して前記判定値とする。
付記9に記載の情報管理プログラムであって、
前記(A)において、前記重み情報に応じて前記利用者識別情報に対応する重み値を算出し、同じ前記グループ識別情報に関連付けられた同じアクセス識別情報ごとに、同じアクセス識別情報に対応する前記重み値の総和を算出して前記判定値とする。
(付記11)
付記10に記載の情報管理プログラムであって、
前記(B)において、前記判定値が0である場合、前記更新権限情報からアクセス権限情報を削除する。
付記10に記載の情報管理プログラムであって、
前記(B)において、前記判定値が0である場合、前記更新権限情報からアクセス権限情報を削除する。
(付記12)
付記9から11のいずれか一つに記載の情報管理プログラムであって、
前記(A)において、前記グループに属する前記利用者が所定人数以下である場合、前記グループに前記グループの属する親グループのアクセス履歴情報を加える。
付記9から11のいずれか一つに記載の情報管理プログラムであって、
前記(A)において、前記グループに属する前記利用者が所定人数以下である場合、前記グループに前記グループの属する親グループのアクセス履歴情報を加える。
以上のように本発明によれば、暗号化したファイルに関連付けられたアクセス権限を更新できる。本発明は、暗号化したファイルに関連付けられたアクセス権限を更新が必要な分野において有用である。
1、100 情報管理装置
2 判定値算出部
3 権限更新部
101 分類部
102 算出部
103 生成部
104 更新部
105 通信部
200 利用者管理装置
201 利用者管理部
202 権限管理部
203 通信部
301 暗号化部
302 アクセス部
303 通信部
110 コンピュータ
111 CPU
112 メインメモリ
113 記憶装置
114 入力インターフェイス
115 表示コントローラ
116 データリーダ/ライタ
117 通信インターフェイス
118 入力機器
119 ディスプレイ装置
120 記録媒体
121 バス
2 判定値算出部
3 権限更新部
101 分類部
102 算出部
103 生成部
104 更新部
105 通信部
200 利用者管理装置
201 利用者管理部
202 権限管理部
203 通信部
301 暗号化部
302 アクセス部
303 通信部
110 コンピュータ
111 CPU
112 メインメモリ
113 記憶装置
114 入力インターフェイス
115 表示コントローラ
116 データリーダ/ライタ
117 通信インターフェイス
118 入力機器
119 ディスプレイ装置
120 記録媒体
121 バス
Claims (10)
- 利用者を識別する利用者識別情報と、前記利用者が属するグループを識別するグループ識別情報と、アクセスを識別するアクセス識別情報と、前記利用者ごとに設定された重み情報とを用いて、同じグループ識別情報に関連付けられた同じアクセス識別情報ごとに判定値を算出する、判定値算出部と、
前記判定値が予め設定した閾値以上である場合、暗号化したファイルに関連付けられたアクセス権限情報を更新するために用いる更新権限情報を更新する、権限更新部と、
を有する情報管理装置。 - 請求項1に記載の情報管理装置であって、
前記判定値算出部は、前記重み情報に応じて前記利用者識別情報に対応する重み値を算出し、同じ前記グループ識別情報に関連付けられた同じアクセス識別情報ごとに、同じアクセス識別情報に対応する前記重み値の総和を算出して前記判定値とする。 - 請求項2に記載の情報管理装置であって、
前記権限更新部は、前記判定値が0である場合、前記更新権限情報からアクセス権限情報を削除する。 - 請求項1から3のいずれか一つに記載の情報管理装置であって、
前記判定値算出部は、前記グループに属する前記利用者が所定人数以下である場合、前記グループに前記グループの属する親グループのアクセス履歴情報を加える。 - コンピュータが、
(A)利用者を識別する利用者識別情報と、前記利用者が属するグループを識別するグループ識別情報と、アクセスを識別するアクセス識別情報と、前記利用者ごとに設定された重み情報とを用いて、同じグループ識別情報に関連付けられた同じアクセス識別情報ごとに判定値を算出する、ステップと、
(B)前記判定値が予め設定した閾値以上である場合、暗号化したファイルに関連付けられたアクセス権限情報を更新するために用いる更新権限情報を更新する、ステップと、
を実行する情報管理方法。 - 請求項5に記載の情報管理方法であって、
前記(A)において、前記重み情報に応じて前記利用者識別情報に対応する重み値を算出し、同じ前記グループ識別情報に関連付けられた同じアクセス識別情報ごとに、同じアクセス識別情報に対応する前記重み値の総和を算出して前記判定値とする。 - 請求項6に記載の情報管理方法であって、
前記(B)において、前記判定値が0である場合、前記更新権限情報からアクセス権限情報を削除する。 - 請求項5から6のいずれか一つに記載の情報管理方法であって、
前記(A)において、前記グループに属する前記利用者が所定人数以下である場合、前記グループに前記グループの属する親グループのアクセス履歴情報を加える。 - コンピュータに、
(A)利用者を識別する利用者識別情報と、前記利用者が属するグループを識別するグループ識別情報と、アクセスを識別するアクセス識別情報と、前記利用者ごとに設定された重み情報とを用いて、同じグループ識別情報に関連付けられた同じアクセス識別情報ごとに判定値を算出する、ステップと、
(B)前記判定値が予め設定した閾値以上である場合、暗号化したファイルに関連付けられたアクセス権限情報を更新するために用いる更新権限情報を更新する、ステップと、
を実行させる情報管理プログラム。 - 請求項9に記載の情報管理プログラムであって、
前記(A)において、前記重み情報に応じて前記利用者識別情報に対応する重み値を算出し、同じ前記グループ識別情報に関連付けられた同じアクセス識別情報ごとに、同じアクセス識別情報に対応する前記重み値の総和を算出して前記判定値とする。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018066058A JP7047537B2 (ja) | 2018-03-29 | 2018-03-29 | 情報管理装置、情報管理方法、及び情報管理プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018066058A JP7047537B2 (ja) | 2018-03-29 | 2018-03-29 | 情報管理装置、情報管理方法、及び情報管理プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019175374A JP2019175374A (ja) | 2019-10-10 |
| JP7047537B2 true JP7047537B2 (ja) | 2022-04-05 |
Family
ID=68166960
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018066058A Active JP7047537B2 (ja) | 2018-03-29 | 2018-03-29 | 情報管理装置、情報管理方法、及び情報管理プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7047537B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024062794A1 (ja) * | 2022-09-21 | 2024-03-28 | 富士フイルム株式会社 | アクセス管理システム |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008003934A (ja) | 2006-06-23 | 2008-01-10 | Canon Inc | ライセンス管理システム、管理サーバ装置、ライセンスを利用する情報処理装置およびその制御方法、プログラム、記憶媒体 |
| JP2008052651A (ja) | 2006-08-28 | 2008-03-06 | Fuji Xerox Co Ltd | アクセス権管理プログラムおよびアクセス権管理システム |
-
2018
- 2018-03-29 JP JP2018066058A patent/JP7047537B2/ja active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008003934A (ja) | 2006-06-23 | 2008-01-10 | Canon Inc | ライセンス管理システム、管理サーバ装置、ライセンスを利用する情報処理装置およびその制御方法、プログラム、記憶媒体 |
| JP2008052651A (ja) | 2006-08-28 | 2008-03-06 | Fuji Xerox Co Ltd | アクセス権管理プログラムおよびアクセス権管理システム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019175374A (ja) | 2019-10-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2345977B1 (en) | Client computer for protecting confidential file, server computer therefor, method therefor, and computer program | |
| US20070016771A1 (en) | Maintaining security for file copy operations | |
| US8424054B2 (en) | Secret information management apparatus, information processing apparatus, and secret information management system | |
| US20070011469A1 (en) | Secure local storage of files | |
| US20070011749A1 (en) | Secure clipboard function | |
| EP1365306A2 (en) | Data protection system | |
| US9465924B2 (en) | Apparatus for preventing replay attack and method for preventing replay attack | |
| US8176535B2 (en) | Information processing system, information processing method, and computer readable medium | |
| US20160036859A1 (en) | System and method for securing use of a portable drive with a computer network | |
| WO2017222504A1 (en) | Document operation compliance | |
| US8863304B1 (en) | Method and apparatus for remediating backup data to control access to sensitive data | |
| US20140282842A1 (en) | User centric method and adaptor for digital rights management system | |
| JP5293151B2 (ja) | コンテンツ保護装置及びコンテンツ保護プログラム | |
| JP7047537B2 (ja) | 情報管理装置、情報管理方法、及び情報管理プログラム | |
| JP4093811B2 (ja) | ユーザアクセス権制御装置及び方法 | |
| JP5630193B2 (ja) | 操作制限管理プログラム、操作制限管理装置及び操作制限管理方法 | |
| JP5047664B2 (ja) | 電子文書管理装置、コンピュータプログラム、及び電子文書管理方法 | |
| WO2015162688A1 (ja) | データ処理システム、データ処理方法 | |
| AU2008344947B2 (en) | System and method for securely storing information | |
| JP6107286B2 (ja) | 分散ストレージシステム、ノード、データ管理方法、及びプログラム | |
| JP7508320B2 (ja) | 情報処理装置、判定方法および判定プログラム | |
| CN108063771B (zh) | 加密压缩文件的监控方法及装置 | |
| JP7533252B2 (ja) | 印刷履歴管理システム、印刷履歴管理方法、印刷履歴管理プログラム、情報処理装置及び内部システム | |
| JP4468755B2 (ja) | ログ管理装置、ログ管理方法及びログ管理プログラム | |
| KR102488337B1 (ko) | 디지털포렌식을 이용한 디지털정보 관리 방법 및 그 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210204 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20211130 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211214 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220209 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220222 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220307 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 7047537 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |