JP7261136B2 - LEAST PRIVILEGE IDENTIFICATION DEVICE AND LEAST PRIVILEGE IDENTIFICATION METHOD - Google Patents
LEAST PRIVILEGE IDENTIFICATION DEVICE AND LEAST PRIVILEGE IDENTIFICATION METHOD Download PDFInfo
- Publication number
- JP7261136B2 JP7261136B2 JP2019183444A JP2019183444A JP7261136B2 JP 7261136 B2 JP7261136 B2 JP 7261136B2 JP 2019183444 A JP2019183444 A JP 2019183444A JP 2019183444 A JP2019183444 A JP 2019183444A JP 7261136 B2 JP7261136 B2 JP 7261136B2
- Authority
- JP
- Japan
- Prior art keywords
- authority
- information
- program
- minimum
- target program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
- Stored Programmes (AREA)
Description
本発明は、最小権限特定装置、及び最小権限特定方法に関する。 The present invention relates to a least privilege specifying device and a least privilege specifying method.
近年のプログラム開発の複雑化及びセキュリティ意識の向上に伴い、プログラムには複雑な実行権限が設定されることが多くなっている。そのようなプログラムを利用して業務を行う者は、プログラムの実行に際して適切な権限設定を行わなければならない。 In recent years, as program development has become more complicated and security awareness has increased, complicated execution rights are often set for programs. A person who uses such a program to do business must set appropriate authority when executing the program.
そこで、このようなプログラムを実行するために必要な権限を自動的に検出する技術が提案されている。例えば、特許文献1には、権限の設定を要求するAPI(権限要求API)の呼出と、オブジェクトに対して実際に実行したAPI(実アクセスAPI)の呼出とをトレースし、権限要求APIのトレースログから想定されるアクセスAPI(想定アクセスAPI)の呼出を導出して、想定アクセスAPIと実アクセスAPIとが適切に対応付けられない場合には、最小権限違反と判断することが開示されている。
Therefore, techniques have been proposed for automatically detecting the authority required to execute such programs. For example, in
しかしながら、特許文献1は、APIにおける権限の設定の過程、すなわち行使した権限のログを取得可能な場合を想定しており、このようなログを取得できない場合には最小権限を特定できない。近年では、クラウドサービスのようにその処理内容がブラックボックス化されたサービスにより提供されるプログラムを利用するケースが格段に増えているが、特許文献1はこのようなサービスを利用する場合に対して適用が難しい。 However, Japanese Patent Laid-Open No. 2004-101002 assumes that the process of setting privileges in the API, that is, the log of exercised privileges can be acquired, and the minimum privilege cannot be specified if such a log cannot be acquired. In recent years, there has been a marked increase in the number of cases of using programs provided by services whose processing contents are black boxes, such as cloud services. Difficult to apply.
本発明はこのような背景に鑑みてなされたものであり、その目的は、権限の設定に関する情報を取得できないプログラムを実行する場合であってもそのプログラムの実行に必要な最小権限を特定することが可能な、最小権限特定装置、及び最小権限特定方法を提供することにある。 The present invention has been made in view of this background, and its object is to specify the minimum authority required to execute a program even when executing a program for which information on authority settings cannot be obtained. To provide a minimum authority identifying device and a minimum authority identifying method capable of
上記課題を解決するための、本発明の一つは、対象プログラムに対して設定可能な権限の一部又は全部を設定した状態で、他の情報処理装置で前記対象プログラムを実行させ、当該対象プログラムの実行に成功したか否かを示す情報を所定プログラムにより前記他の情報処理装置から受信し、受信した情報に基づき、前記対象プログラムの実行に必要な最小限の権限を特定する最小権限特定処理を実行する演算装置を備える、最小権限特定装置、とする。 In order to solve the above problems, one of the present invention is to execute the target program on another information processing device in a state where all or part of the authority that can be set for the target program is set, and Minimum authority identification for receiving information indicating whether or not the execution of the program has succeeded from the other information processing device by a predetermined program, and identifying the minimum authority required to execute the target program based on the received information. It is assumed to be a least-privilege specifying device comprising an arithmetic device for executing processing.
また、本発明の他の一つは、情報処理装置が、対象プログラムに対して設定可能な権限の一部又は全部を設定した状態で、他の情報処理装置で前記対象プログラムを実行させ、当該対象プログラムの実行に成功したか否かを示す情報を所定プログラムにより前記他の情報処理装置から受信し、受信した情報に基づき、前記対象プログラムの実行に必要な最小限の権限を特定する最小権限特定処理を実行する、最小権限特定方法、とする。 According to another aspect of the present invention, an information processing apparatus causes another information processing apparatus to execute the target program in a state in which a part or all of the authority that can be set for the target program is set, and the Minimum authority for receiving information indicating whether or not the target program has been successfully executed from the other information processing device by a predetermined program, and specifying the minimum authority required to execute the target program based on the received information It is assumed to be a least privileged method for executing specific processing.
本発明によれば、権限の設定に関する情報を取得できないプログラムを実行する場合であってもそのプログラムの実行に必要な最小権限を特定することができる。 According to the present invention, even when executing a program for which information on authority setting cannot be obtained, it is possible to specify the minimum authority required to execute the program.
上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。 Problems, configurations, and effects other than those described above will be clarified by the following description of the embodiments.
[システム構成]
図1は、本実施形態に係るクラウド実行システム1の構成の一例を示す図である。クラウド実行システム1は、所定のユーザが使用する最小権限特定装置10と、クラウドシステム20とを含んで構成されている。最小権限特定装置10及びクラウドシステム20の間は、例えば、インターネット、LAN(Local Area Network)、WAN(Wide Area Network)等の有線又は無線の通信ネットワーク5によって通信可能に接続される。
[System configuration]
FIG. 1 is a diagram showing an example of the configuration of a
クラウドシステム20は、クラウドコンピューティングサービス(ウェブサービス)を提供する。具体的には、クラウドシステム20は、1又は複数の情報処理装置によって構成され、ユーザが利用可能な複数のプログラム又はAPI(Application Programming Interface)(以下、サービスプログラムという)を記憶している。
The
最小権限特定装置10は、CPU(Central Processing Unit)などの演算装置11と
、RAM(Random Access Memory)、ROM(Read Only Memory)等のメモリ12と、HDD(Hard Disk Drive)、SSD(Solid State Drive)等の外部記憶装置13と、キーボード、マウス、又はタッチパネル等の入力装置15と、ディスプレイ及びタッチパネル等の出力装置14と、通信装置16とを備える。また、クラウドシステム20は、CPU(Central Processing Unit)などの演算装置21、RAM(Random Access Memory)、
ROM(Read Only Memory)等のメモリ22、HDD(Hard Disk Drive)、SSD(Solid State Drive)等の外部記憶装置23、及び、通信装置24等を備える。
The least
It includes a
最小権限特定装置10は、ユーザが作成した、各サービスプログラムに関する複数の処
理を記述した所定のプログラム(以下、対象プログラムという)をクラウドシステム20にアップロードする。具体的には、最小権限特定装置10は、ユーザから、対象プログラムの入力を受け付け、入力されたプログラムをクラウドシステム20に送信する。クラウドシステム20に送信された対象プログラムは、自身が記憶している各サービスプログラムを実行する。
The least
ここで、各サービスプログラムは、その種類に応じて複雑な権限の設定を必要としており、各サービスプログラムを実行するためには、ユーザがそれらに対応した権限を予め設定しなければならない。具体的には、ユーザが、必要な権限を設定した所定のファイル(プログラム付与権限情報)を作成し、これをクラウドシステム20に送信する。したがって、対象プログラムが複数のサービスプログラムを利用する場合は、処理効率上、また悪意ある第三者からのプログラム乗っ取り時のリスク抑制のため、対象プログラムの実行に必要最小限な権限(以下、最小権限という)を特定しておくことが好ましい。
Here, each service program requires complicated authorization settings according to its type, and in order to execute each service program, the user must preset authorizations corresponding to them. Specifically, the user creates a predetermined file (program grant authority information) in which necessary authority is set, and transmits this to the
しかしながら、最小権限を特定することは、対象プログラムの構成が複雑になるほど困難となる。そこで、本実施形態の最小権限特定装置10は、この最小権限を特定する。
However, specifying the least privilege becomes more difficult as the structure of the target program becomes more complex. Therefore, the minimum
ここで、最小権限特定装置10が備える機能について説明する。
Here, functions provided in the least
<最小権限特定装置の機能>
図2は、最小権限特定装置10が備える機能の一例を説明する図である。最小権限特定装置10は、入力部101、プログラム特徴解析部103、初期付与権限決定部105、最小権限特定部107、及び最小権限違反判定部109の各機能を備える。
<Function of Least Privilege Identification Device>
FIG. 2 is a diagram for explaining an example of the functions of the least
入力部101は、ユーザから、対象プログラム401の入力を受け付ける。また、入力部101は、ユーザから、対象プログラム401に設定する権限の情報(プログラム付与権限情報301)の入力を受け付ける。
The
また、入力部101は、ユーザから、最小権限を特定するための、後述する実行結果判定用プログラム501の入力を受け付ける。実行結果判定用プログラムは、クラウドシステム20にアップロードされた対象プログラム401を実行し、当該対象プログラム401の実行に成功したか否かを示す情報を取得するためのプログラムである。
The
なお、本実施形態では、対象プログラム401、プログラム付与権限情報301、及び実行結果判定用プログラム501は、後述する最小権限特定処理の実行前にクラウドシステム20に送信される(アップロードされる)ものとする。
Note that in the present embodiment, the
ここで、対象プログラム401及びプログラム付与権限情報301について説明する。
Here, the
(対象プログラム)
図3は、対象プログラム401の一例を示す図である。対象プログラム401は、クラウドシステム20に記憶されているサービスプログラムを実行するプログラムである。同図の例では、対象プログラム401は、クラウドシステム20が提供するサービスプログラムであるストレージの指定(s3)、領域の特定(some-bucket-name)、オブジェクトの読み込み、及び、オブジェクトの最終更新日の取得、といった複数の処理を行っている。
(target program)
FIG. 3 is a diagram showing an example of the
(プログラム付与権限情報)
図4は、プログラム付与権限情報の一例を示す図である。プログラム付与権限情報301は、クラウドシステム20に記憶されているサービスプログラムの実行環境及び権限を設定した情報である。
(program grant authority information)
FIG. 4 is a diagram showing an example of program grant authority information. The program
同図の例では、プログラム付与権限情報301は、各サービスプログラム(Logs、S3等)へのアクセスを行うための権限(Logsに対しては全権限、S3に対してはPutObject)を設定している第1権限設定部302と、他のサービスプログラム(Lambda)をクラウドシステム20で利用することおよび当該サービスプログラム(Lambda)に第1権限設定部302で設定された権限を付与することを設定している第2権限設定部303とを含む。
In the example shown in the figure, the program
なお、プログラム付与権限情報301は、ユーザが設定してもよいし、所定のプログラムによって自動的に作成されるようにしてもよい。ただし、プログラム付与権限情報301には、対象プログラム401をクラウドシステム20で実行するための必要かつ十分な権限が設定されているとは限らない。
The program
次に、図2に示すように、プログラム特徴解析部103は、対象プログラム401及びプログラム付与権限情報301に基づき、対象プログラム401の特徴を解析する。この解析結果(以下、特徴データという)は、後述する解析結果情報701に記憶される。
Next, as shown in FIG. 2 , the program
初期付与権限決定部105は、解析結果情報701に基づき、対象プログラム401に類似する特徴を有する類似プログラムを特定し、特定した類似プログラムの実行に必要な権限(以下、初期付与権限という)の情報を取得する。初期付与権限は、後述する権限要否判定状況情報901に記憶される。
Based on the analysis result
なお、初期付与権限決定部105は、類似プログラムを、後述する過去最小権限特定結果情報801から特定する。
Note that the initially granted
最小権限特定部107は、対象プログラム401に対して設定可能な権限の一部又は全部(すなわち、初期付与権限)を付与した状態で、他の情報処理装置(すなわち、クラウドシステム20)で対象プログラム401を実行させ、対象プログラム401の実行に成功したか否かを示す情報を所定プログラム(実行結果判定用プログラム501)によりクラウドシステム20から受信し、受信した情報に基づき、対象プログラム401の実行に必要な最小限の権限(最小権限)を特定する。
The minimum
なお、最小権限特定部107は、サービスプログラム及び権限の関係を記憶した権限分類情報921を参照することにより、付与する権限を具体的に特定する。
Note that the minimum
また、最小権限特定部107は、対象プログラム401と、対象プログラム401の特徴と、最小権限特定部107が特定した最小限の権限とを対応づけて過去最小権限情報(過去最小権限特定結果情報801)として記憶する。
The minimum
この場合、初期付与権限決定部105は、最小権限特定部107が記憶した過去最小権限情報に基づき、新たな対象プログラム401に対して、その新たな対象プログラム401に対応する類似プログラムを特定すると共に、その類似プログラムの実行に必要な権限の情報を過去最小権限情報(過去最小権限特定結果情報801)から取得する。すなわち、最小権限特定部107は、特定した最小権限の履歴を初期付与権限決定部105にフィードバックさせる。
In this case, the initially granted
なお、最小権限特定部107は、対象プログラム401の実行の結果を示す情報を出力する。
Note that the least
最小権限違反判定部109は、最小権限特定部107が特定した最小限の権限の情報と、入力部101で入力された権限の情報とを比較し、両者の権限が一致しないと判定した場合に、その旨を示す情報を出力する。なお、最小権限違反判定部109の処理結果は、判定結果情報961に記憶される。
The minimum authority
以上に説明した最小権限特定装置10及びクラウドシステム20の各機能は、それらのハードウェアによって、もしくは、それらの演算装置11、21が、メモリ11、21や外部記憶装置13、23に記憶されている各プログラムを読み出して実行することにより実現される。また、これらのプログラムは、例えば、二次記憶デバイスや不揮発性半導体メモリ、ハードディスクドライブ、SSDなどの記憶デバイス、又は、ICカード、SDカード、DVDなどの、各情報処理装置で読み取り可能な非一時的データ記憶媒体に格納される。
Each function of the least
[処理説明]
続いて、クラウド実行システム1において行われる処理について説明する。
[Description of processing]
Next, processing performed in the
<最小権限特定処理>
図5は、対象プログラム401の最小権限を特定する処理(最小権限特定処理)の一例を説明するフロー図である。
<Least Privilege Specific Processing>
FIG. 5 is a flow diagram illustrating an example of processing for specifying the minimum authority of the target program 401 (minimum authority identification processing).
まず、最小権限特定装置10は、対象プログラム401、プログラム付与権限情報301、及び実行結果判定用プログラム501の入力をユーザから受け付ける入力処理を実行する(s1)。そして、最小権限特定装置10は、対象プログラム401の特徴を推定するプログラム特徴解析処理を実行する(s3)。最小権限特定装置10は、s3で特定した特徴に基づき、初期付与権限を推定する初期付与権限決定処理を実行する(s5)。
First, the least
最小権限特定装置10は、s5で推定した初期付与権限に基づき最小権限を推定する最小権限特定処理を実行する(s7)。そして、最小権限特定装置10は、s7で推定した最小権限に基づき、s1で作成したプログラム付与権限情報301が妥当か否かを判定する最小権限違反判定処理を実行する(s9)。
The minimum
以下、これらの各処理の詳細を説明する。 The details of each of these processes will be described below.
<プログラム特徴解析処理>
図6は、プログラム特徴解析処理の一例を説明するフロー図である。まず、プログラム特徴解析部103は、対象プログラム401の特徴データを取得する(s601)。具体的には、例えば、プログラム特徴解析部103は、入力処理s1で入力された対象プログラム401に記述されている各サービスプログラム(例えば、s3、s3.Bucket)を特定す
る。
<Program feature analysis processing>
FIG. 6 is a flowchart illustrating an example of program feature analysis processing. First, the program
また、プログラム特徴解析部103は、入力処理s1で入力されたプログラム付与権限情報301の特徴データを取得する(s603)。具体的には、例えば、プログラム特徴解析部103は、プログラム付与権限情報301の内容を取得し、プログラム付与権限情報301に記述されている各サービスプログラム(例えば、AWS::IAM::Role、AWS::Lambda::Function、Logs、s3:PutBoject)を特定する。
Also, the program
プログラム特徴解析部103は、s601及びs602で取得した特徴データを、解析結果情報701に記録する(s603)。
The program
ここで、解析結果情報701について説明する。
Here, the analysis result
(解析結果情報)
図7は、解析結果情報701の一例を説明する図である。解析結果情報701は、特徴データが記述されていた場所(例えば、対象プログラム401、プログラム付与権限情報301)を特定する情報が格納される定義場所702と、定義場所702に係る場所に記述されていた特徴データの内容(例えば、サービスプログラム名又はAPI名)が格納される特徴703の各項目を有する、1以上のレコードで構成される。
(Analysis result information)
FIG. 7 is a diagram illustrating an example of analysis result
次に、初期付与権限決定処理s5について説明する。 Next, the initial grant authority determination processing s5 will be described.
<初期付与権限決定処理>
図8は、初期付与権限決定処理の一例を説明するフロー図である。最小権限特定装置10の初期付与権限決定部105は、解析結果情報701及び過去最小権限特定結果情報801の内容を取得する(s701)。
<Initial Granted Authority Determination Processing>
FIG. 8 is a flow diagram illustrating an example of the initial authorization authority determination process. The initially granted
(過去最小権限特定結果情報)
図9は、過去最小権限特定結果情報801の一例を説明する図である。過去最小権限特定結果情報801は、(過去に処理された)類似プログラムの識別子(プログラムID)が設定されるプログラムID802、プログラムID802に係るプログラムから抽出された特徴データが格納される特徴803、及び、プログラムID802に係るプログラムの最小権限(権限のリスト)が格納される最小権限804、の各項目を有する、少なくとも1以上のレコードで構成される。なお、最小権限804には、過去に最小権限特定処理によって特定された最小権限が設定されてもよいし、それ以外の方法で特定された最小権限が設定されてもよい。
(Past minimum privilege identification result information)
FIG. 9 is a diagram illustrating an example of past minimum privilege identification result
次に、図8のs702に示すように、初期付与権限決定部105は、対象プログラム401と各類似プログラムとの間の類似度を算出する。具体的には、例えば、初期付与権限決定部105は、過去最小権限特定結果情報801の各レコードの特徴803の内容と、プログラム特徴解析処理s3で作成した解析結果情報701の特徴703との間の類似度を算出する。なお、類似度の算出方法には様々な手法が可能であり特に限定されないが、例えば、Jaccard係数、Dice係数を用いて、共通集合、差集合等を特定する。
Next, as shown in s702 of FIG. 8, the initially granted
初期付与権限決定部105は、s702で算出した各類似度を示した画面(初期付与権限選択画面)を表示すると共に、ユーザから、対象プログラム401と最も類似する類似プログラムを同画面により選択させる(s703)。
The initial grant
ここで、初期付与権限選択画面の具体例を説明する。 Here, a specific example of the initial authority selection screen will be described.
(初期付与権限選択画面)
図10は、初期付与権限選択画面の一例を示す図である。初期付与権限選択画面1001は、類似プログラムのプログラムIDが表示されるプログラムID表示欄1002、プログラムID表示欄1002に係る類似プログラムの特徴データ(過去最小権限特定結果情報801の特徴803に対応)が表示される特徴表示欄1003、プログラムID表示欄1002に係る類似プログラムの最小権限(権限のリスト。過去最小権限特定結果情報801の最小権限804に対応。)が表示される最小権限表示欄1004、プログラムID表示欄1002に係る類似プログラムと対象プログラム401との間の類似度が表示される類似度表示欄1005、及び、プログラムID表示欄1002に係る類似プログラムをユーザに選択させるための選択欄1006を備える。
(Initial authorization selection screen)
FIG. 10 is a diagram showing an example of an initial authority selection screen. The initially granted
なお、初期付与権限選択画面1001は、類似プログラムの一部のみ、例えば、類似度が所定値以上の類似プログラムの情報のみ、を表示するようにしてもよい。これにより、ユーザは、適切な類似プログラムを迅速に選択することができる。
Note that the initially granted
次に、図8のs704に示すように、初期付与権限決定部105は、s703でユーザにより選択された類似プログラムの権限の情報を、初期付与権限の情報として、後述する権限要否判定状況情報に記録する。
Next, as shown in s704 of FIG. 8, the initial grant
(権限要否判定状況情報)
図11は、権限要否判定状況情報の一例を示す図である。権限要否判定状況情報901は、後述の最小権限特定処理s7が参照する作業情報である。
(Authority necessity judgment status information)
FIG. 11 is a diagram showing an example of authority necessity determination status information. The authority necessity
権限要否判定状況情報901は、s704で選択された最小権限(すなわち、初期付与権限)が格納されるチェック対象権限902、チェック対象権限902に係る権限に関する、最小権限特定処理s7によるチェック状態の情報が格納されるチェック状態903、チェック対象権限902に係る権限に関する、最小権限特定処理s7によるチェックが完了したことを示す情報が格納されるテスト時利用904、及び、最小権限特定処理s7により判定された、チェック対象権限902に係る権限の要否を示す情報が格納される要否905、の各項目を有する、1以上のレコードで構成される。なお、権限要否判定状況情報901のレコード数は、最小権限特定処理によって増減しうる。
The authority necessity
続いて、最小権限特定処理s7について説明する。最小権限特定処理s7は、検証対象プログラム401、プログラム付与権限情報301、及び実行結果判定用プログラム501がクラウドシステム20にアップロードされた後に実行される。
Next, the minimum authority specifying process s7 will be described. The minimum authority specifying process s7 is executed after the
<最小権限特定処理>
図12は、最小権限特定処理の一例を説明するフロー図である。まず、最小権限特定装置10の最小権限特定部107は、権限分類情報921を読み込む(s1300)。
<Least Privilege Specific Processing>
FIG. 12 is a flow diagram illustrating an example of minimum authority specifying processing. First, the minimum
ここで、権限分類情報921について説明する。
Here, the
(権限分類情報)
図13は、権限分類情報の一例を示す図である。権限分類情報921は、構造木として表現され、根ノード1201と、根ノード1201の下位のノードでありサービスプログラムを表す複数の第1ノード1202と、各第1ノード1202の下位のノードであり第1ノード1202に係るサービスプログラムの実行に必要な権限の大分類を表す1又は複数の第2ノード1203と、第2ノード1203の下位のノードであり第2ノード1203に係る権限の小分類である1又は複数の第3ノード1204とを含んで構成されている。同図の例では、サービスプログラムs3にはWrite、Read、Listの権限の設定が考えられ、このうちWrite権限は、PutObjectACL及びPutObjectの各権限を含む。
(privilege classification information)
FIG. 13 is a diagram showing an example of authority classification information. The
なお、権限分類情報921は、最小権限特定装置10が予め記憶しておいてもよいし、他の情報処理装置から受信してもよい。また、権限分類情報921は、ユーザ入力により作成してもよいし、所定の解析プログラムにより自動的に作成してもよい。
Note that the
図12に戻り、最小権限特定部107は、初期付与権限のうち一部を選択する(s1301)。具体的には、例えば、最小権限特定部107は、権限分類情報921を参照することにより、初期付与権限決定処理s5で作成した権限要否判定状況情報901のレコードのうち適切なレコードのチェック対象権限902の内容を取得する。
Returning to FIG. 12, the minimum
最小権限特定部107は、s1301で選択した権限を設定し、実行結果判定用プログラム501を実行する(s1302)。
The minimum
ここで、実行結果判定用プログラムについて説明する。 Here, the execution result determination program will be described.
(実行結果判定用プログラム)
図14は、実行結果判定用プログラムの一例を示す図である。実行結果判定用プログラム501は、対象プログラム401の実行部502と、対象プログラム401が正しく実行されたか否かを判定する判定部505とを有する。
(Execution result judgment program)
FIG. 14 is a diagram showing an example of an execution result determination program. The execution
判定部505は、対象プログラム401の実行結果の内容(例えば、データフォーマット)の妥当性を判定する第1判定部503と、実行結果が記録されている所定のログファイルを参照して当該ログファイルが有意なデータを有しているかを判定する第2判定部504とを有する。
The
判定部505は、対象プログラム401が正しく実行されたと判定した場合には、「実行成功」の情報を出力し、対象プログラム401が正しく実行されなかったと判定した場合には、「実行失敗」の情報を出力する。
If the
次に、図12に示すように、実行結果判定用プログラム501の実行の結果、最小権限特定部107が、クラウドシステム20(実行結果判定用プログラム501)から実行成功の情報を受信した場合には(s1302:成功)、最小権限特定部107は、後述するs1304の処理を実行する。他方、実行結果判定用プログラム501の実行の結果、クラウドシステム20から実行失敗の情報を受信した場合には(s1302:失敗)、最小権限特定部107は、次述するs1303の処理を実行する。
Next, as shown in FIG. 12, as a result of execution of the execution
s1303において最小権限特定部107は、新たな権限を追加し、この新たな権限(新たな初期付与権限)により実行結果判定用プログラム501を再度実行する(s1302)。具体的には、例えば、最小権限特定部107は、権限分類情報921を参照することにより、権限要否判定状況情報901で現在選択されていないレコードのうち適切なレコードのチェック対象権限902の内容を取得し、取得した内容(権限)を現在選択されている権限に加えて、その権限を設定した上で実行結果判定用プログラム501を実行する。
In s1303, the minimum
他方、s1304において最小権限特定部107は、現在の未使用の権限が、対象プログラム401に不要な権限である旨を記憶する。具体的には、例えば、最小権限特定部107は、権限要否判定状況情報901のレコードのうち現在選択されていない各レコードの要否905に「不要」を設定する。なお、最小権限特定部107は、権限要否判定状況情報901のレコードのうち現在選択されている各レコードの要否905に「要」を設定してもよい。
On the other hand, in s1304, the minimum
(s1301~s1304の具体例)
ここで、最小権限特定処理におけるs1301~s1304の具体例について説明する。最小権限特定部107は、s1301~s1304において、構造木を下位から上位にたどることで、選択する権限を増やす。
(Specific examples of s1301 to s1304)
A specific example of s1301 to s1304 in the minimum authority specifying process will now be described. In s1301 to s1304, the minimum
すなわち、図13に示すように、最小権限特定部107は、第1ノード1202たるS3の下位のうち第2ノード1203のWriteに関して、その下位の第3ノード1204であ
るPutObject及びCreateLogGroupの各権限を設定し、実行結果判定用プログラム501を
実行する(図12のs1301、s1302)。実行に失敗した場合、最小権限特定部107は、「Write」の下位の全ての権限(全ての第3ノード1204)を設定し(s1303)、設定したこれらの権限により、実行結果判定用プログラム501を再び実行する(s1302)。
That is, as shown in FIG. 13, the minimum
最小権限特定部107は、この実行結果判定用プログラム501の再実行に失敗した場合(s1302:失敗)、他の第1ノード1202たるLogsの下位の第2ノード1203のWriteの下位の全ての権限(全ての第3ノード1204)を設定し(s1303)、設
定したこれらの権限により、実行結果判定用プログラム501を再び実行する(s1302)。
When the execution
最小権限特定部107は、この実行結果判定用プログラム501の再実行にも失敗した場合(s1302:失敗)、第1ノード1202たるS3の全ての下位の権限(Write以下
の全権限、Read以下の全権限、List以下の全権限)を設定し(s1303)、設定したこれらの権限により、実行結果判定用プログラム501を再び実行する(s1302)。
If the execution
なお、ある時点で実行結果判定用プログラム501の実行に成功した場合、最小権限特定部107は、その時点で設定されていない権限を、対象プログラム401の実行に不要な権限の情報として記憶する(s1304)。
Note that if the execution
次に、図12に示すように、s1304の実行後、最小権限特定部107は、使用する権限を減少させた新たな権限(新たな初期付与権限)により、s1302と同様に実行結果判定用プログラム501を再度実行する(s1305)。具体的には、例えば、最小権限特定部107は、権限分類情報921を参照することにより、現在選択されている権限要否判定状況情報901のレコードのうち適切なレコードを選択し、その選択したレコードを選択対象から除外する。
Next, as shown in FIG. 12, after execution of s1304, the minimum
実行結果判定用プログラム501の実行の結果、最小権限特定部107が、クラウドシステム20(実行結果判定用プログラム501)から実行成功の情報を受信した場合には(s1306:成功)、最小権限特定部107は、後述するs1307の処理を実行する。他方、実行結果判定用プログラム501の実行の結果、クラウドシステム20から実行失敗の情報を受信した場合には(s1306:失敗)、最小権限特定部107は、次述するs1308の処理を実行する。
As a result of execution of the execution
s1307において最小権限特定部107は、s1305で減少させた権限は対象プログラム401に不要であると記憶する。その後は、s1309の処理が行われる。
In s1307, the least
他方、s1308においては最小権限特定部107は、s1305で減少させた権限は対象プログラム401に必要であると記憶する。その後は、s1309の処理が行われる。
On the other hand, in s1308, the least
s1309において最小権限特定部107は、s1307又はs1308の結果を権限要否判定状況情報901に設定する。具体的には、例えば、最小権限特定部107は、s1305で除外した権限要否判定状況情報901のレコードの要否905に「不要」(s1307の場合)又は「要」(s1308の場合)を設定する。
In s1309, the minimum
そして、最小権限特定部107は、全ての初期付与権限についてs1306のチェックを行ったか否かを判定する(s1310)。具体的には、例えば、最小権限特定部107は、s1305を最初に実行した際に選択されていた権限要否判定状況情報901の全てのレコードを対象にs1305の処理を行ったか否かを判定する。
Then, the minimum
s1305のチェックを行っていない初期付与権限がある場合には(s1310:NO)、最小権限特定部107は、その権限についてs1305の処理を繰り返し、全ての初期付与権限についてs1305のチェックを行った場合には(s1310:YES)、最
小権限特定部107は、次述するs1311の処理を行う。
If there is an initial grant authority that has not been checked in s1305 (s1310: NO), the minimum
s1311において最小権限特定部107は、これまでの処理で特定した、対象プログラム401の最小権限の情報を最小権限情報941に登録する。
In s<b>1311 , the minimum
(最小権限情報)
図15は、最小権限情報941の一例を示す図である。最小権限情報941は、権限要否判定状況情報901のレコードのうち、要否905に「要」が設定されたレコードのチェック対象権限902の内容のリスト943を含む。
(least privilege information)
FIG. 15 is a diagram showing an example of the
(s1305~s1310の具体例)
ここで、最小権限特定処理におけるs1305~s1310の具体例について説明する。最小権限特定部107は、s1301~s1304とは逆に、構造木を上位から下位に探索して選択していき、選択した各ノードの配下の権限を剥奪する。
(Specific example of s1305 to s1310)
A specific example of s1305 to s1310 in the minimum authority identification process will now be described. Contrary to s1301 to s1304, the minimum
すなわち、図13に示すように、最小権限特定部107は、根ノード1201の下位の第1ノード1202のうちS3に関して、S3の下位の全ての権限(第1ノード1202のWrite、Read、List及びそれらの下位の全ての第3ノード1203に係る権限)を剥奪し(
図12のs1305)、実行結果判定用プログラム501を実行する(s1306)。
That is, as shown in FIG. 13 , the least
s1305 in FIG. 12), and the execution
実行結果判定用プログラム501の実行に成功した場合、最小権限特定部107は、それらの全ての権限(S3以下の全ての権限)が不要と記憶する(s1307)。他方、実行結果判定用プログラム501の実行に失敗した場合、S3の下位のいずれかの権限(第2ノード1203又は第3ノード1204)が必要であるため、最小権限特定部107は、例えば、S3の下位の第3ノード1204のうちWriteについて、その下位の全ての権限(全ての第3ノードに係る権限)を剥奪し(s1305)、実行結果判定用プログラム501を実行する(s1306)。
When the execution
(進捗結果画面)
ここで、最小権限特定処理s7を実行中に表示される画面について説明する。
(Progress result screen)
Here, the screen displayed during execution of the minimum authority specifying process s7 will be described.
図16は、最小権限特定処理の実行中に最小権限特定装置10が表示する進捗結果画面の一例を示す図である。進捗結果画面1101は、処理対象の各権限の項目欄1103と、項目欄1103に係る権限についての処理の状態(未チェック(未処理)、チェック中(処理中)、チェック済(処理完了))が表示されるチェック状態欄1104と、項目欄1103に係る権限についての処理が完了したか否かの情報が表示される要否表示欄1105とを有する。また、進捗結果画面1101は、最小権限特定処理の現在の進捗状況が表示される進捗表示欄1106を有する。
FIG. 16 is a diagram showing an example of a progress result screen displayed by the least
次に、最小権限違反判定処理s7について説明する。 Next, the minimum authority violation determination processing s7 will be described.
<最小権限違反判定処理>
図17は、最小権限違反判定処理の一例を説明するフロー図である。まず、最小権限特定装置10の最小権限違反判定部109は、最小権限情報941の内容を取得する(s601)。また、最小権限違反判定部109は、開発者等のユーザが作成したプログラム付与権限情報301の内容を取得する(s602)。
<Least Privilege Violation Judgment Processing>
FIG. 17 is a flowchart for explaining an example of the minimum authority violation determination process. First, the least privilege
そして、最小権限違反判定部109は、s601で取得した最小権限情報941の内容と、s602で取得したプログラム付与権限情報301の内容とを比較する(s603)。
Then, the minimum authority
最小権限情報941の内容とプログラム付与権限情報301の内容とが一致する場合(s603:YES)、最小権限違反判定部109は、最小権限情報941に誤りがないとして、その旨を示す情報を、判定結果情報961に設定する(s605)。他方、最小権限情報941の内容とプログラム付与権限情報301の内容とが一致しない場合(s603:NO)、最小権限違反判定部109は、最小権限情報941に誤りがあるとして、その旨を示す情報を、判定結果情報961に設定する(s606)。
If the contents of the
(最小権限進捗結果画面)
ここで、最小権限違反判定処理の実行後に表示される画面について説明する。
(Minimum privilege progress screen)
Here, the screen displayed after execution of the minimum authority violation determination process will be described.
図18は、最小権限違反判定処理の実行後に最小権限特定装置10が表示する進捗結果画面の一例を示す図である。この進捗結果画面1401は、最小権限情報941の内容とプログラム付与権限情報301の内容とが一致したか否かを示す情報が表示される違反判定結果表示欄1402と、最小権限情報941の内容が一覧表示される最小権限表示欄1403と、プログラム付与権限情報301の内容が一覧表示されるプログラム付与権限表示欄1404と、プログラム付与権限情報301と最小権限情報941との差分の示す情報が権限ごとに表示される差分表示欄1405とを有する。
FIG. 18 is a diagram showing an example of a progress result screen displayed by the least
ユーザは、この進捗結果画面1401を参照することにより、プログラム付与権限情報301に対して誤って設定した権限(すなわち、過不足のあった権限)を特定し、プログラム付与権限情報301を正しい内容(必要かつ十分な権限を設定した情報)に修正することができる。
By referring to the
以上のように、本実施形態の最小権限特定装置10は、各権限を付与した状態でクラウドシステム20上で対象プログラム401を実行させ、その実行に成功したか否かを示す情報を実行結果判定用プログラム501に基づきクラウドシステム20から受信し、受信した情報に基づいて対象プログラム401の最小権限を特定する。
As described above, the least
すなわち、本実施形態の最小権限特定装置10は、対象プログラム401の実行に必要な権限の情報が不明な場合(例えば、対象プログラム401が実行するサービスプログラムがクラウドサービスとして提供されている場合)であっても、類似プログラムに基づき決定した各権限を設定した状態で対象プログラム401を実行することで、対象プログラム401の最小権限を特定することができる。
That is, the least
このように、本実施形態の最小権限特定装置10によれば、権限の設定に関する情報を取得できないプログラムを実行する場合であってもそのプログラムの実行に必要な最小権限を特定することができる。
As described above, according to the minimum
以上の実施形態の説明は、本発明の理解を容易にするためのものであり、本発明を限定するものではない。本発明はその趣旨を逸脱することなく、変更、改良され得ると共に本発明にはその等価物が含まれる。 The above description of the embodiments is intended to facilitate understanding of the present invention, and is not intended to limit the present invention. The present invention may be modified and improved without departing from its spirit, and the present invention includes equivalents thereof.
例えば、最小権限特定装置10の一部の機能は、ユーザ端末等の他の情報処理装置に実装してもよい。
For example, some functions of the least
また、実行結果判定用プログラム501は、本実施形態では、クラウドシステム20にアップロードして実行するものとしたが、最小権限特定装置10に記憶させ、クラウドシステム20を操作するものとしてもよい。
In addition, although the execution
また、本実施形態では、対象プログラム401は最小権限特定装置10からユーザ入力されるものとしたが、最小権限特定装置10が他の端末から受信するようにしてもよい。
Also, in the present embodiment, the
また、権限分類情報921の構造木は、クラウドサービス(サービスプログラム)及びAPIの種類によって分類したものであるが、サービスやプログラムの種類に応じたその他の分類を行ったものであってもよい。
The structure tree of the
以上の本明細書の記載により、少なくとも次のことが明らかにされる。すなわち、本実施形態の最小権限特定装置10においては、前記演算装置が、前記対象プログラムに類似する特徴を有する類似プログラムを特定し、特定した類似プログラムの実行に必要な権限の情報を取得する初期付与権限決定処理を実行し、前記最小権限特定処理において、前記取得した権限の一部又は全部を付与した状態で、前記他の情報処理装置で前記対象プログラムを実行させる、としてもよい。
At least the following will be clarified by the above description of this specification. That is, in the least
このように、対象プログラム401と類似する特徴を有する類似プログラムに基づき決定した権限を利用することで、最小権限を迅速に特定することができる。
In this way, by using the authority determined based on a similar program having characteristics similar to those of the
また、本実施形態の最小権限特定装置においては、前記最小権限特定処理において、前記対象プログラムと、前記対象プログラムの特徴と、前記特定した最小限の権限とを対応づけて過去最小権限情報として記憶する記憶装置を備え、前記演算装置が、前記初期権限取得処理において、前記記憶した過去最小権限情報に基づき、新たな対象プログラムに対して、当該新たな対象プログラムに対応する類似プログラムを特定すると共に、当該類似プログラムの実行に必要な前記権限の情報を前記過去最小権限情報から取得する、としてもよい。 Further, in the least privilege specifying device of the present embodiment, in the least privilege specifying process, the target program, the characteristics of the target program, and the specified minimum privilege are associated with each other and stored as past minimum privilege information. wherein, in the initial authority acquisition process, the computing device identifies a similar program corresponding to the new target program based on the stored past minimum authority information, and , the information on the authority necessary for executing the similar program may be acquired from the past minimum authority information.
このように、対象プログラム401、対象プログラム401の特徴、及び、対象プログラム401の実行に必要最小限の権限を対応づけた過去最小権限情報(過去最小権限特定結果情報801)に基づき、新たな対象プログラム401に対する類似プログラムを特定することにより、最小権限特定装置10は、最小権限の履歴から適切な類似プログラムを迅速に特定することができる。
In this way, based on the
また、本実施形態の最小権限特定装置10においては、前記演算装置が、ユーザから、前記対象プログラムに設定する権限の情報の入力を受け付ける入力処理と、前記特定した最小限の権限の情報と、前記入力された権限の情報とを比較し、両者の権限が一致しないと判定した場合に、その旨を示す情報を出力する最小権限違反判定処理とを実行する、としてもよい。
Further, in the least
このように、ユーザから入力された、対象プログラム401の実行のための権限の情報と、最小権限特定装置10が特定した最小権限の情報とが一致しないと判定した場合に、その旨を示す情報を出力することで、ユーザは、自身が入力した権限の設定の誤りに容易に気づき、これを修正することができる。
In this way, when it is determined that the information about the authority for executing the
また、本実施形態の最小権限特定装置10においては、前記演算装置が、前記最小権限特定処理において、前記対象プログラムの実行の結果を示す情報を出力する、としてもよい。
Further, in the least
このように、対象プログラム401の実行の結果を示す情報を出力することで、ユーザは、対象プログラム401の最小権限の特定のプロセスを確認することができる。
By outputting the information indicating the execution result of the
1 クラウド実行システム、10 最小権限特定装置、20 クラウドシステム、101
入力部、103 プログラム特徴解析部、105 初期付与権限決定部、107 最小権限特定部、109 最小権限違反判定部、401 対象プログラム
1 cloud execution system, 10 least privilege identification device, 20 cloud system, 101
Claims (10)
最小権限特定装置。 In a state in which a part or all of the authority that can be set for the target program is set, the target program is executed by another information processing apparatus, and information indicating whether or not the execution of the target program is successful is transmitted to the predetermined program. a computing device that receives from the other information processing device by and executes a minimum privilege specifying process for specifying the minimum privilege required for executing the target program based on the received information,
Least privilege specific device.
前記対象プログラムに類似する特徴を有する類似プログラムを特定し、特定した類似プログラムの実行に必要な権限の情報を取得する初期付与権限決定処理を実行し、
前記最小権限特定処理において、前記取得した権限の一部又は全部を前記対象プログラムに設定した状態で、前記他の情報処理装置で前記対象プログラムを実行させる、
請求項1に記載の最小権限特定装置。 The computing device
identifying a similar program having features similar to the target program, and executing an initial grant authority determination process for acquiring information about authority necessary for executing the identified similar program;
causing the other information processing device to execute the target program in a state in which part or all of the acquired authority is set in the target program in the least privilege specifying process;
2. The least privilege specifying device according to claim 1.
前記演算装置が、
前記初期付与権限決定処理において、前記記憶した過去最小権限情報に基づき、新たな対象プログラムに対して、当該新たな対象プログラムに対応する類似プログラムを特定すると共に、当該類似プログラムの実行に必要な前記権限の情報を前記過去最小権限情報から取得する、
請求項2に記載の最小権限特定装置。 a storage device that associates the target program, the characteristics of the target program, and the identified minimum authority in the minimum authority identification process and stores them as past minimum authority information;
The computing device
In the initial grant authority determination process , based on the stored past minimum authority information, for a new target program, a similar program corresponding to the new target program is specified, and the similar program necessary for executing the similar program is specified. obtaining authority information from the past minimum authority information;
3. The least privilege specifying device according to claim 2.
ユーザから、前記対象プログラムに設定する権限の情報の入力を受け付ける入力処理と、
前記特定した最小限の権限の情報と、前記入力された権限の情報とを比較し、両者の権限が一致しないと判定した場合に、その旨を示す情報を出力する最小権限違反判定処理と
を実行する、請求項1に記載の最小権限特定装置。 The computing device
an input process for accepting input of authority information to be set in the target program from a user;
a minimum authority violation determination process for comparing the specified minimum authority information and the input authority information, and outputting information indicating that when it is determined that the authority does not match between the two. 2. The least privileged determining device of claim 1, executing.
前記最小権限特定処理において、前記対象プログラムの実行の結果を示す情報を出力する、請求項1に記載の最小権限特定装置。 The computing device
2. The least privilege specifying device according to claim 1, wherein, in said least privilege specifying process, information indicating a result of execution of said target program is output.
対象プログラムに対して設定可能な権限の一部又は全部を設定した状態で、他の情報処理装置で前記対象プログラムを実行させ、当該対象プログラムの実行に成功したか否かを示す情報を所定プログラムにより前記他の情報処理装置から受信し、受信した情報に基づき、前記対象プログラムの実行に必要な最小限の権限を特定する最小権限特定処理を実行する、
最小権限特定方法。 The information processing device
In a state in which a part or all of the authority that can be set for the target program is set, the target program is executed by another information processing apparatus, and information indicating whether or not the execution of the target program is successful is transmitted to the predetermined program. receives from the other information processing device by and executes a minimum authority identification process for identifying the minimum authority required to execute the target program based on the received information;
Least Privilege Identification Method.
前記対象プログラムに類似する特徴を有する類似プログラムを特定し、特定した類似プログラムの実行に必要な権限の情報を取得する初期付与権限決定処理を実行し、
前記最小権限特定処理において、前記取得した権限の一部又は全部を前記対象プログラムに設定した状態で、前記他の情報処理装置で前記対象プログラムを実行させる、
請求項6に記載の最小権限特定方法。 The information processing device
identifying a similar program having features similar to the target program, and executing an initial grant authority determination process for acquiring information about authority necessary for executing the identified similar program;
causing the other information processing device to execute the target program in a state in which part or all of the acquired authority is set in the target program in the least privilege specifying process;
7. The method for specifying least privilege according to claim 6.
前記最小権限特定処理において、前記対象プログラムと、前記対象プログラムの特徴と、前記特定した最小限の権限とを対応づけて過去最小権限情報として記憶し、
前記初期付与権限決定処理において、前記記憶した過去最小権限情報に基づき、新たな対象プログラムに対して、当該新たな対象プログラムに対応する類似プログラムを特定すると共に、当該類似プログラムの実行に必要な前記権限の情報を前記過去最小権限情報から取得する、
請求項7に記載の最小権限特定方法。 The information processing device
in the least privilege specifying process, the target program, the characteristics of the target program, and the specified minimum privilege are associated with each other and stored as past minimum privilege information;
In the initial grant authority determination process , based on the stored past minimum authority information, for a new target program, a similar program corresponding to the new target program is specified, and the similar program necessary for executing the similar program is specified. obtaining authority information from the past minimum authority information;
The method for specifying least privilege according to claim 7.
ユーザから、前記対象プログラムに設定する権限の情報の入力を受け付ける入力処理と、
前記特定した最小限の権限の情報と、前記入力された権限の情報とを比較し、両者の権限が一致しないと判定した場合に、その旨を示す情報を出力する最小権限違反判定処理と
を実行する、請求項6に記載の最小権限特定方法。 The information processing device
an input process for accepting input of authority information to be set in the target program from a user;
a minimum authority violation determination process for comparing the specified minimum authority information and the input authority information, and outputting information indicating that when it is determined that the authority does not match between the two. 7. The method of determining least privilege according to claim 6, wherein:
前記最小権限特定処理において、前記対象プログラムの実行の結果を示す情報を出力する、請求項6に記載の最小権限特定方法。 The information processing device
7. The least privilege specifying method according to claim 6, wherein, in said least privilege specifying processing, information indicating a result of execution of said target program is output.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019183444A JP7261136B2 (en) | 2019-10-04 | 2019-10-04 | LEAST PRIVILEGE IDENTIFICATION DEVICE AND LEAST PRIVILEGE IDENTIFICATION METHOD |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019183444A JP7261136B2 (en) | 2019-10-04 | 2019-10-04 | LEAST PRIVILEGE IDENTIFICATION DEVICE AND LEAST PRIVILEGE IDENTIFICATION METHOD |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2021060702A JP2021060702A (en) | 2021-04-15 |
JP2021060702A5 JP2021060702A5 (en) | 2022-04-28 |
JP7261136B2 true JP7261136B2 (en) | 2023-04-19 |
Family
ID=75380121
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019183444A Active JP7261136B2 (en) | 2019-10-04 | 2019-10-04 | LEAST PRIVILEGE IDENTIFICATION DEVICE AND LEAST PRIVILEGE IDENTIFICATION METHOD |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7261136B2 (en) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005128623A (en) | 2003-10-21 | 2005-05-19 | Ntt Data Corp | Access history recording device and access control system |
JP2010176167A (en) | 2009-01-27 | 2010-08-12 | Fujitsu Ltd | Program for detecting least privilege violation |
US9830469B1 (en) | 2016-10-31 | 2017-11-28 | International Business Machines Corporation | Automated mechanism to secure customer data |
JP2017215785A (en) | 2016-05-31 | 2017-12-07 | 住友セメントシステム開発株式会社 | Authority test device and program |
JP2018081384A (en) | 2016-11-14 | 2018-05-24 | キヤノン株式会社 | Information processing device and authority management method and program |
-
2019
- 2019-10-04 JP JP2019183444A patent/JP7261136B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005128623A (en) | 2003-10-21 | 2005-05-19 | Ntt Data Corp | Access history recording device and access control system |
JP2010176167A (en) | 2009-01-27 | 2010-08-12 | Fujitsu Ltd | Program for detecting least privilege violation |
JP2017215785A (en) | 2016-05-31 | 2017-12-07 | 住友セメントシステム開発株式会社 | Authority test device and program |
US9830469B1 (en) | 2016-10-31 | 2017-11-28 | International Business Machines Corporation | Automated mechanism to secure customer data |
JP2018081384A (en) | 2016-11-14 | 2018-05-24 | キヤノン株式会社 | Information processing device and authority management method and program |
Also Published As
Publication number | Publication date |
---|---|
JP2021060702A (en) | 2021-04-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
USRE42382E1 (en) | Volume mount authentication | |
US10587612B2 (en) | Automated detection of login sequence for web form-based authentication | |
US10587653B2 (en) | Policy approval layer | |
CN110516428B (en) | Data reading and writing method and device of mobile storage equipment and storage medium | |
US10691822B1 (en) | Policy validation management | |
Xu et al. | How do system administrators resolve access-denied issues in the real world? | |
US9596087B2 (en) | Token authentication for touch sensitive display devices | |
US20180143958A1 (en) | Automated form generation and analysis | |
CN112464214A (en) | Authority detection method and device, electronic equipment and readable storage medium | |
US11899770B2 (en) | Verification method and apparatus, and computer readable storage medium | |
US20240202344A1 (en) | Use of word embeddings to locate sensitive text in computer programming scripts | |
JP6634055B2 (en) | System and method for preventing unfair evaluation of an application by a user | |
JP7261136B2 (en) | LEAST PRIVILEGE IDENTIFICATION DEVICE AND LEAST PRIVILEGE IDENTIFICATION METHOD | |
EP2174256A1 (en) | Method and apparatus for changing and adding activation keys for functions of digital content without having to change and recompile the digital content | |
CN106127558B (en) | Bill generation method and mobile terminal | |
US20180089446A1 (en) | Apparatus and system for information processing | |
WO2018175643A1 (en) | System and method for providing restricted access to production files in a code development environment | |
US20180276410A1 (en) | System and Method for Providing Secure Access to Production Files in a Code Deployment Environment | |
CN112685365A (en) | Data report exporting method, device, equipment and storage medium | |
Mecke et al. | A design space for security indicators for behavioural biometrics on mobile touchscreen devices | |
Cusack et al. | Comparing the Performance of Three Digital Forensic Tools. | |
JP6716929B2 (en) | Information processing apparatus and information processing program | |
RU2534599C1 (en) | Access control system to resources of computer system with subject of access "user, processes" | |
TWI728635B (en) | Storage device information management method compatible with different storage specifications | |
CN113626796B (en) | Permission obtaining method and device based on USB flash disk, display equipment and storage medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220420 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220420 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230220 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230404 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230407 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7261136 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |