JPWO2020250103A5 - - Google Patents

Download PDF

Info

Publication number
JPWO2020250103A5
JPWO2020250103A5 JP2021571288A JP2021571288A JPWO2020250103A5 JP WO2020250103 A5 JPWO2020250103 A5 JP WO2020250103A5 JP 2021571288 A JP2021571288 A JP 2021571288A JP 2021571288 A JP2021571288 A JP 2021571288A JP WO2020250103 A5 JPWO2020250103 A5 JP WO2020250103A5
Authority
JP
Japan
Prior art keywords
computing system
trigger
control
policy
indicator
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2021571288A
Other languages
Japanese (ja)
Other versions
JP7470474B2 (en
JP2022536057A (en
Publication date
Priority claimed from US16/438,633 external-priority patent/US11206262B2/en
Application filed filed Critical
Publication of JP2022536057A publication Critical patent/JP2022536057A/en
Publication of JPWO2020250103A5 publication Critical patent/JPWO2020250103A5/ja
Application granted granted Critical
Publication of JP7470474B2 publication Critical patent/JP7470474B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Claims (17)

1つまたは複数の対象による情報技術システムの1つまたは複数のリソースへのアクセスを制御するためのアクセス制御情報の保守を容易にするための方法であって、
制御コンピューティング・システムによって、前記リソースと、前記対象と、前記対象による前記リソースへの前記アクセスとに関連する1つまたは複数のポリシー・パラメータにそれぞれ基づく1つまたは複数のトリガー・ポリシーを取り出すことと、
前記制御コンピューティング・システムによって、前記ポリシー・パラメータを取り出すことと、
前記制御コンピューティング・システムによって、対応する前記ポリシー・パラメータに従って前記トリガー・ポリシーを評価することと、
前記制御コンピューティング・システムによって、前記トリガー・ポリシーの前記評価の結果に従ってトリガー・インジケータを決定することと、
前記制御コンピューティング・システムによって、前記トリガー・インジケータに応答して前記アクセス制御情報の修正をトリガーするための前記トリガー・インジケータの指示を出力することであって、前記修正が、前記対象を前記リソースにマッピングするためのマイニング・アクティビティおよび前記マイニング・アクティビティの結果に基づく前記アクセス制御情報の可能性のある更新を含む、前記出力することとを含む、方法。 A method for facilitating maintenance of access control information for controlling access by one or more subjects to one or more resources of an information technology system, comprising:
retrieving, by a controlling computing system, one or more trigger policies, each based on one or more policy parameters associated with said resource, said subject, and said access to said resource by said subject; When,
retrieving the policy parameters by the control computing system;
evaluating, by the control computing system, the trigger policy according to the corresponding policy parameters;
determining, by the control computing system, a trigger indicator according to results of the evaluation of the trigger policy;
outputting, by the control computing system, an indication of the trigger indicator for triggering modification of the access control information in response to the trigger indicator, wherein the modification causes the target to be the resource; and said outputting comprising a mining activity to map to and possible updating of said access control information based on results of said mining activity. 前記修正の必要性を示す正の値を有する前記トリガー・インジケータに応答して前記マイニング・アクティビティを実行することをさらに含む、請求項1に記載の方法。 2. The method of claim 1, further comprising performing the mining activity in response to the trigger indicator having a positive value indicating the need for modification. 前記マイニング・アクティビティの前記結果に従って前記アクセス制御情報を更新することをさらに含む、請求項1または2に記載の方法。 3. The method of claim 1 or 2, further comprising updating said access control information according to said result of said mining activity. 前記アクセス制御情報が、前記情報技術システムにおいて1つまたは複数のアクティビティを実行するための1つまたは複数の権限をそれぞれ含んでいる1つまたは複数のロールの指示、および前記対象の各々に割り当てられた前記ロールのうちの1つまたは複数の指示を含み、前記マイニング・アクティビティがロール・マイニングである、請求項1ないし3のいずれか一項に記載の方法。 wherein said access control information is assigned to each of said subjects and an indication of one or more roles each including one or more privileges to perform one or more activities in said information technology system; 4. A method according to any one of claims 1 to 3, comprising an indication of one or more of said roles in which said mining activity is role mining. 前記アクセス制御情報が、1つまたは複数のルールを含み、各ルールが、1つまたは複数の属性に基づいており、前記ルールが満たされた場合の前記情報技術システムにおけるアクティビティに関連する少なくとも1つの権限を示し、前記マイニング・アクティビティがルール・マイニングである、請求項1ないし4のいずれか一項に記載の方法。 The access control information includes one or more rules, each rule based on one or more attributes, and at least one associated with activity in the information technology system when the rule is satisfied. 5. A method according to any one of claims 1 to 4, wherein the authorization is indicated and the mining activity is rule mining. 前記制御コンピューティング・システムによって、前記トリガー・ポリシーに割り当てられた対応するスコアに従って前記トリガー・インジケータを決定することをさらに含む、請求項1ないし5のいずれか一項に記載の方法。 6. The method of any one of claims 1-5, further comprising determining, by the control computing system, the trigger indicator according to a corresponding score assigned to the trigger policy. 前記制御コンピューティング・システムによって、前記修正をトリガーすることに寄与する前記トリガー・ポリシーのうちの関連する1つまたは複数に関連付けて前記修正を示す履歴情報を格納することと、
前記制御コンピューティング・システムによって、前記修正後のランク付け時に、前記履歴情報および前記アクセス制御情報に従って、前記関連するトリガー・ポリシーの前記スコアを更新することとをさらに含む、請求項1ないし6のいずれか一項に記載の方法。 storing, by the control computing system, historical information indicative of the modification in association with associated one or more of the trigger policies that contribute to triggering the modification;
updating, by the control computing system, the scores of the associated trigger policies according to the history information and the access control information upon the modified ranking, according to the history information and the access control information. A method according to any one of paragraphs. 前記制御コンピューティング・システムによって、ランク付け時に、1つまたは複数の影響を受けた制御項目の指示を含んでいる履歴情報を格納することと、
前記制御コンピューティング・システムによって、前記ランク付け時に、前記影響を受けた制御項目に従って前記関連するトリガー・ポリシーの前記スコアを更新することとをさらに含む、請求項1ないし7のいずれか一項に記載の方法。 storing, by the control computing system, historical information including an indication of one or more affected control items when ranked ;
Updating, by the control computing system, the scores of the associated trigger policies according to the affected control items during the ranking, according to any one of claims 1 to 7. described method. 前記制御コンピューティング・システムによって、ランク付け時に、影響を受けた制御項目の対応する存続期間インジケータを取り出すことと、
前記制御コンピューティング・システムによって、前記影響を受けた制御項目の前記存続期間インジケータに従って前記関連するトリガー・ポリシーの前記スコアを更新することとをさらに含む、請求項1ないし8のいずれか一項に記載の方法。 retrieving, by the control computing system, corresponding lifetime indicators of affected control items during ranking ;
Updating, by the control computing system, the score of the associated trigger policy according to the lifetime indicator of the affected control item. described method. 前記制御コンピューティング・システムによって、ランク付け時に、影響を受けた制御項目の対応する範囲インジケータを取り出すことと、
前記制御コンピューティング・システムによって、前記影響を受けた制御項目の前記範囲インジケータに従って前記関連するトリガー・ポリシーの前記スコアを更新することとをさらに含む、請求項1ないし9のいずれか一項に記載の方法。 retrieving, by the control computing system, corresponding range indicators of affected control items when ranking ;
Updating, by the control computing system, the score of the associated trigger policy according to the range indicator of the affected control item. the method of. 前記影響を受けた制御項目の各々の前記範囲インジケータが、前記影響を受けた制御項目に対応する前記対象に基づく、請求項10に記載の方法。 11. The method of claim 10, wherein the range indicator for each of the affected control items is based on the target corresponding to the affected control item. 前記影響を受けた制御項目の各々の前記範囲インジケータが、前記情報技術システムにおいてアクティビティを実行するための前記影響を受けた制御項目の権限に基づく、請求項10または11に記載の方法。 12. The method of claim 10 or 11, wherein the extent indicator for each of the affected control items is based on the authority of the affected control item to perform activities in the information technology system. 前記トリガー・ポリシーのうちの条件付けられた1つまたは複数が、1つまたは複数の評価条件の指示を含み、
前記方法が、前記制御コンピューティング・システムによって、前記条件付けられたトリガー・ポリシーの各々の前記評価を、対応する前記評価条件で条件付けることをさらに含む、請求項1ないし12のいずれか一項に記載の方法。 conditioned one or more of the trigger policies include an indication of one or more evaluation conditions;
13. The method of any preceding claim, wherein the method further comprises, by the controlling computing system, conditioning the evaluation of each of the conditioned trigger policies with the corresponding evaluation condition. described method. 前記評価条件のうちの少なくとも1つが、対応する条件付けタスクの完了である、請求項13に記載の方法。 14. The method of claim 13, wherein at least one of said evaluation conditions is completion of a corresponding conditioning task. 前記制御コンピューティング・システムによって、前記ポリシー・パラメータの大きな変更を決定することと、
前記制御コンピューティング・システムによって、前記ポリシー・パラメータの前記大きな変更に応答して、前述の前記トリガー・ポリシーを前記取り出すこと、前記ポリシー・パラメータを取り出すこと、前記トリガー・ポリシーを評価すること、前記トリガー・インジケータを決定すること、および前記トリガー・インジケータの前記指示を出力することを含む、検証プロセスを実行することとをさらに含む、請求項1ないし14のいずれか一項に記載の方法。 determining, by the controlling computing system, a major change in the policy parameters;
retrieving, by the controlling computing system, said trigger policy in response to said major change in said policy parameter; retrieving said policy parameter; evaluating said trigger policy; 15. The method of any one of claims 1-14, further comprising performing a verification process comprising determining a trigger indicator and outputting the indication of the trigger indicator. 請求項1ないし15のいずれか一項に記載の方法における各ステップを制御コンピューティング・システムに実行させるためのコンピュータ・プログラム。A computer program for causing a control computing system to perform the steps of the method according to any one of claims 1 to 15. 請求項1ないし15のいずれか一項に記載の方法における各ステップを制御コンピューティング・システムに実行させるためのコンピュータ・プログラムを記録した、コンピュータ可読ストレージ媒体。16. A computer readable storage medium having recorded thereon a computer program for causing a control computing system to perform the steps of the method according to any one of claims 1 to 15.
JP2021571288A 2019-06-12 2020-06-08 Policy-based triggering of modification of access control information Active JP7470474B2 (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US16/438,633 US11206262B2 (en) 2019-06-12 2019-06-12 Policy-based triggering of revision of access control information
US16/438,633 2019-06-12
PCT/IB2020/055358 WO2020250103A1 (en) 2019-06-12 2020-06-08 Policy-based triggering of revision of access control information

Publications (3)

Publication Number Publication Date
JP2022536057A JP2022536057A (en) 2022-08-12
JPWO2020250103A5 true JPWO2020250103A5 (en) 2022-10-27
JP7470474B2 JP7470474B2 (en) 2024-04-18

Family

ID=73745638

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021571288A Active JP7470474B2 (en) 2019-06-12 2020-06-08 Policy-based triggering of modification of access control information

Country Status (6)

Country Link
US (1) US11206262B2 (en)
JP (1) JP7470474B2 (en)
CN (1) CN113711216A (en)
DE (1) DE112020001688B4 (en)
GB (1) GB2599582A (en)
WO (1) WO2020250103A1 (en)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11206262B2 (en) 2019-06-12 2021-12-21 International Business Machines Corporation Policy-based triggering of revision of access control information
US11677754B2 (en) * 2019-12-09 2023-06-13 Daniel Chien Access control systems and methods
CN112800413B (en) * 2021-02-26 2024-03-15 上海派拉软件股份有限公司 Authority information pushing method, device, equipment and storage medium
US11909773B2 (en) * 2021-04-02 2024-02-20 Target Brands, Inc. Continuous improvement of security detection rules
US11599677B2 (en) * 2021-04-30 2023-03-07 People Center, Inc. Synchronizing organizational data across a plurality of third-party applications
US11805125B2 (en) * 2021-05-26 2023-10-31 Microsoft Technology Licensing, Llc Task based access rights control
US11627155B1 (en) 2021-09-20 2023-04-11 Normalyze, Inc. Cloud infrastructure detection with resource path tracing
US20230094856A1 (en) * 2021-09-20 2023-03-30 Normalyze, Inc. Compact cloud access network based on role-to-resource detection with resource state change tracking and provenance

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7779247B2 (en) 2003-01-09 2010-08-17 Jericho Systems Corporation Method and system for dynamically implementing an enterprise resource policy
EP2009865A1 (en) * 2007-06-25 2008-12-31 Alcatel Lucent Method of providing an access control system
JP5083042B2 (en) 2008-05-30 2012-11-28 富士通株式会社 Access control policy compliance check program
GB2487466A (en) 2009-11-06 2012-07-25 Ibm Method and system for managing security objects
US10027711B2 (en) 2009-11-20 2018-07-17 Alert Enterprise, Inc. Situational intelligence
WO2011063269A1 (en) 2009-11-20 2011-05-26 Alert Enterprise, Inc. Method and apparatus for risk visualization and remediation
US8983877B2 (en) 2011-03-21 2015-03-17 International Business Machines Corporation Role mining with user attribution using generative models
US8681803B2 (en) 2011-09-20 2014-03-25 Nec Corporation Communication system, policy management apparatus, communication method, and program
US8635689B2 (en) 2011-10-27 2014-01-21 International Business Machines Corporation Hybrid role mining
US10139789B2 (en) 2012-03-02 2018-11-27 Philips Lighting Holding B.V. System and method for access decision evaluation for building automation and control systems
US9154507B2 (en) 2012-10-15 2015-10-06 International Business Machines Corporation Automated role and entitlements mining using network observations
US9137263B2 (en) 2013-01-04 2015-09-15 International Business Machines Corporation Generating role-based access control policies based on discovered risk-averse roles
US9147055B2 (en) 2013-08-29 2015-09-29 Bank Of America Corporation Entitlement predictions
US20200076818A1 (en) 2013-10-03 2020-03-05 The Board Of Regents Of The University Of Texas System Risk-aware sessions in role based access control systems and methods of use
US9979733B2 (en) 2015-09-24 2018-05-22 International Business Machines Corporation Automatically provisioning new accounts on managed targets by pattern recognition of existing account attributes
US11178182B2 (en) 2018-04-20 2021-11-16 Sailpoint Technologies, Inc. Automated access control management for computing systems
CN109165516A (en) 2018-08-14 2019-01-08 中国银联股份有限公司 A kind of access control method and device
US11206262B2 (en) 2019-06-12 2021-12-21 International Business Machines Corporation Policy-based triggering of revision of access control information

Similar Documents

Publication Publication Date Title
GB2599582A (en) Policy-based triggering of revision of access control information
CN100412871C (en) System and method to generate domain knowledge for automated system management
US20150379453A1 (en) System and method for evaluating employees and job seekers at an organization
JP4711343B2 (en) Method and system for protecting personal information
US11176481B2 (en) Evaluation of a training set
JPWO2020250103A5 (en)
Bindewald et al. Measuring human trust behavior in human-machine teams
Ramavandi et al. Risk assessment of hot and humid environments through an integrated fuzzy AHP-VIKOR method
CN109726764A (en) A kind of model selection method, device, equipment and medium
Spiridonov et al. Prediction of main factors’ values of air transportation system safety based on system dynamics
CN115423318A (en) Method and system for evaluating health degree of computer equipment based on combination weight
CN112860523B (en) Batch job processing fault prediction method, device and server
US20190205811A1 (en) Employee turnover and retention dashboard using well-being program data
US7484221B2 (en) Method and apparatus for logging the execution history of an operating system kernel
Ladaniuk et al. The model of strategic management of organizational and technical systems, taking into account risk-based cognitive approach
CN111767212A (en) Software code quality evaluation method, device, equipment and storage medium
Kwon et al. Accident prediction model using environmental sensors for industrial internet of things
CN112330141B (en) Ship network security assessment method, system, storage medium and terminal
JP7397763B2 (en) Design process support system, design process support method and program
JP2018022378A (en) Abnormality notification device and abnormality notification method
US10970643B2 (en) Assigning a fire system safety score and predictive analysis via data mining
Plotnikov The method of soft computing of pilot reliability depending on age
CN117579329B (en) Method for predicting security exposure risk of organization network, electronic equipment and storage medium
Bland et al. Conclusions: Integrating Research into Practice
Choi et al. Feedback frequency effect on performance time in dynamic decision making task