WO2014049741A1

WO2014049741A1 - ポリシ更新システム及びポリシ更新装置

Info

Publication number: WO2014049741A1
Application number: PCT/JP2012/074768
Authority: WO
Inventors: 浩二合田; 実西澤; 健二郎苗村; 誠也平原
Original assignee: 株式会社東芝; 東芝ソリューション株式会社
Priority date: 2012-09-26
Filing date: 2012-09-26
Publication date: 2014-04-03
Also published as: JPWO2014049741A1; CN104718551A; US20150199506A1; US9600655B2; SG11201502307PA; CN104718551B; JP5362125B1

Abstract

　実施形態のポリシ更新システムは、ユーザに複数のサービスを提供可能なサーバ装置であって各サービスを利用可能なユーザを識別する第１ユーザＩＤを前記サービス毎に少なくとも記憶する記憶手段を有したサーバ装置と、第１ユーザＩＤに対応した第２ユーザＩＤを少なくとも含む複数の項目が関連付けられたユーザ属性情報を記述した少なくとも１つの条件から成り、ユーザ属性情報の値が前記条件を満足するときにサービスの利用を許可する各サービスの利用権限を規定した複数のポリシを記憶するポリシ記憶装置と、ユーザ属性情報が変更されたときに記憶された各ポリシを更新可能なポリシ更新装置と、変更後のユーザ属性情報と、変更前のユーザ属性情報と変更後のユーザ属性情報との間で異なる値を示す変更内容であって、変更前のユーザ属性情報の値と変更後のユーザ属性情報の値とを含む第２ユーザＩＤ毎の変更内容とを記憶するユーザ属性情報記憶装置とを含む。

Description

ポリシ更新システム及びポリシ更新装置

　本発明の実施形態は、ポリシ更新システム及びポリシ更新装置に関する。

　社会、経済、生活のオンラインサービスへの依存度が増す情勢を背景に、個人や組織に関する情報を管理するアイデンティティ管理の重要性が高まっている。アイデンティティ管理とは、様々なサービスやシステムにおいて、個人や組織に関する情報の安全性と利便性を図り、登録から変更、削除までのアイデンティティのライフサイクル全体を管理する技術である。

　ここで、アイデンティティとは、ある状況で個人やグループ、組織・企業を特定する情報の総体であり、識別子やクレデンシャル、属性が含まれる。識別子とは、アイデンティティを識別するための情報であり、アカウントや社員番号などに相当する。クレデンシャルとは、ある情報内容の正当性を示すための情報であり、パスワードなどがある。属性とは、アイデンティティを特徴付ける情報であり、氏名や住所、生年月日などを指す。

　このようなアイデンティティ管理を利用した技術の代表例として、シングルサインオン（Single Sign-On、以降ＳＳＯと略す）がある。ＳＳＯは、一度の認証手続きで複数のアプリケーションやサービスを利用できる技術である。ＳＳＯは、一つの企業のイントラネットのようなシングルドメインにおいて、複数のアプリケーションが備える認証を統合させる場合が多かった。この場合、ＳＳＯは、一般的にＨＴＴＰＣｏｏｋｉｅに認証結果を含め、アプリケーション間で認証結果を共有させる方式によって実現される。また、このようなＳＳＯ方式をＳＩ（System Integration）ベンダやミドルウェアベンダが個別にアクセス管理製品として製造していた。

　近年、シングルドメインを超えた異なるドメイン間（以下、クロスドメインともいう）でのＳＳＯが求められてきた。理由としては、企業統合や合併、海外展開などの活発化、および台頭してきたクラウドコンピューティングのＳａａＳ（Software as a Service）等によるアウトソーシングが挙げられる。例えば、ＳａａＳ等は、使いたいときに素早く使える点がメリットの一つである。

　しかしながら、クロスドメインのＳＳＯを実現する場合、認証結果の共有に大きな手間が発生していた。主な原因としては２点ある。１点目は、ＨＴＴＰＣｏｏｋｉｅの利用がシングルドメインに限定されているため、ドメイン間でＨＴＴＰＣｏｏｋｉｅを利用して認証結果を共有できないことである。２点目は、ドメインごとに採用しているアクセス管理製品のＳＳＯ方式がベンダ間で異なるため、単純に導入できず、別途、施策を用意する必要があったためである。

　このような原因を解消するため、ＳＳＯの標準化の要望が高まるようになった。このような要望に応じた代表的な標準技術の一つとして、非営利団体ＯＡＳＩＳ（Organization for the Advancement of Structured Information Standards）が策定したＳＡＭＬ（Security Assertion Markup Language）がある。

　ＳＡＭＬは認証・認可・属性に関する情報の表現形式、および送受信手順が定義された仕様であり、目的に応じて様々な実装形態を可能にするように体系的に規定されている。主体の構成はアイデンティティ提供者（Identity Provider、以降、ＩｄＰと略し、ＩＤプロバイダという）、サービス提供者（Service Provider、以降ＳＰと略し、サービスプロバイダという）、ユーザの３者であり、ＩＤプロバイダが発行する認証結果をサービスプロバイダが信頼することでＳＳＯを実現している。

　ＳＡＭＬに基づくＳＳＯを開始する場合、一般的に次の２点について事前に準備する必要がある。１点目は、サービスプロバイダとＩＤプロバイダとの間でビジネスや技術面での情報交換や合意形成を通じて、信頼関係を構築しておくことである。２点目では、一人のユーザがサービスプロバイダごとに個別のアカウントを持ち、これらの個別のＳＰアカウントとＩＤプロバイダのアカウントを事前に連携させておくことである。これら信頼関係の構築及び事前のアカウント連携といった事前準備を終えた状態でないとＳＳＯを開始することはできない。

　このような事前準備の後、ＳＳＯは以下のような手順（１）～（６）に沿って実現される。ここでは、Ｗｅｂブラウザを介したＳＳＯの手順を説明する。

　（１）ユーザがサービスプロバイダに対してサービス提供を要求する。

　（２）サービスプロバイダは、まだユーザの認証をしていないため、ユーザ側のＷｅｂブラウザを介して、認証リクエストをＩＤプロバイダに送る。

　（３）ＩＤプロバイダは何らかの手段でユーザを認証し、認証アサーションを作成する。なお、ＳＡＭＬは、認証手段を規定せず、認証アサーションをサービスプロバイダに伝える仕組みを規定している。認証アサーションとは、サービスプロバイダが認証結果を信用できるかを判断するため、認証手段の種類やクレデンシャルがどのように作成されたかなどの情報が含まれる。

　（４）ＩＤプロバイダは、作成した認証アサーションを含む認証結果を、ユーザ側のＷｅｂブラウザを介してサービスプロバイダに返信する。

　（５）サービスプロバイダは、ＩＤプロバイダの認証結果に基づき、サービス提供の可否を決定する。

　（６）ユーザは、サービスプロバイダからサービス提供を受ける。

　このように、ＳＡＭＬに基づくＳＳＯでは、ユーザが一度の認証手続きをＩＤプロバイダに行うだけで更なる認証手続きを実行せずに、複数のサービスが使用可能となる。現在では、個別のＳＳＯ方式を実装していたミドルウェアベンダは、クロスドメインの相互運用性を確保するために、ＳＡＭＬのＩＤプロバイダ・サービスプロバイダ機能を実装したアクセス管理製品の販売や、ＳＡＭＬのサービスプロバイダ機能を実装した商用のＷｅｂサービスへの導入を実行している。

　ところで、ＳＡＭＬに基づくＳＳＯでは、上述したように、事前のアカウント連携及び登録が必要である。通常、企業において、サービスプロバイダが提供するサービスを利用する場合、ＩＳ（Information System）部門がサービスプロバイダに対して、アカウント登録及び連携を行う。

　ＩＳ部門は、企業に所属する多数のユーザに応じた大量の事前処理を一括して行うか、又はユーザによる任意のタイミングで一連の承認フローを通した手続きを経た後に当該ユーザに対するアカウント登録及び連携を行う。

　ここで、前者の事前処理を行う場合は、ＳＳＯの過程でアカウント登録及び連携を実行する必要がないので、前述したデータ処理システムとは無関係である。

　一方、後者の承認フローを通す場合は、ユーザだけでなく、ユーザが所属する組織階層ごとの上長や調達部門、ＩＳ部門など多くの人手を介すことになり、大量の手間暇を要する。更に、ＩＳ部門が事前処理を一括して行わないことから、人手による作業が発生し、負担が大きい上、効率や利便性も悪い。例えば、ＳａａＳ等における素早く使えるメリットを生かすことができない。

　従って、ＳＳＯの過程でアカウント登録及び連携を実行するシステムでは、人手を介さずにサービス利用可否を決定するシームレスな仕組みを備えていることが望ましい。

　このため、ＳＳＯの手順の（２）と（３）との間に、事前に定義したサービス利用に関するポリシとサービスの利用状況とに基づき、サービスプロバイダが提供するサービスの利用可否を評価した後に、アカウント連携及び登録を実行する処理を割り込ませることで、サービスプロバイダが提供するサービスの利用申請からＳＳＯに至る一連の処理を自動化させる技術がある。

特許第４８９２０９３号公報特開２００７－３２３３５７号公報

"Assertions and Protocols for the OASIS Security Assertion Markup Language（SAML） V2.0"，OASIS Standard，15 March 2005， http://docs.oasis-open.org/security/saml/v2.0/saml-core-2.0-os.pdf

　以上説明した技術は、通常、問題ない。しかしながら、本発明者の検討によれば、以下に述べるように改良の余地がある。

　通常、企業では、組織変更や人事異動が行われると、ユーザに関するアイデンティティ情報であるユーザ属性情報が更新される。これに伴い、ポリシの更新作業やシステム環境の更新作業を行う必要があり、一般的に、これら作業は人手を介して行われる（つまり、ユーザがポリシ更新作業やシステム環境更新作業を行う）。

　しかしながら、人手による作業はユーザへの負担が大きい上、作業ミス（ヒューマンエラー）が生じる恐れがある。

　本発明が解決しようとする課題は、人手を介さずに、ポリシ更新作業及びシステム環境更新作業を実現し得るポリシ更新システム及びポリシ更新装置を提供することである。

　実施形態のポリシ更新システムは、ユーザに複数のサービスを提供可能なサーバ装置であって、前記各サービスを利用可能なユーザを識別する第１ユーザＩＤを前記サービス毎に少なくとも記憶する記憶手段を有したサーバ装置と、前記ユーザに関するアイデンティティ情報であり、前記第１ユーザＩＤに対応した第２ユーザＩＤを少なくとも含む複数の項目が関連付けられたユーザ属性情報を記述した少なくとも１つの条件から成り、前記ユーザ属性情報の値が前記条件を満足するときに前記サービスの利用を許可する前記各サービスの利用権限を規定した複数のポリシを記憶するポリシ記憶装置と、前記ユーザ属性情報が変更されたときに前記記憶された各ポリシを更新可能なポリシ更新装置と、変更後のユーザ属性情報と、変更前のユーザ属性情報と変更後のユーザ属性情報との間で異なる値を示す変更内容であって、変更前のユーザ属性情報の値と変更後のユーザ属性情報の値とを含む前記第２ユーザＩＤ毎の変更内容とを記憶するユーザ属性情報記憶装置とを含む。

　前記ポリシ更新装置は、検出手段、作成手段、収集手段、評価手段、特定手段、更新手段及び削除手段を備えている。

　前記検出手段は、前記ユーザ属性情報記憶装置に記憶された変更内容に基づいて、前記ポリシ記憶装置に記憶された各ポリシのうち、修正が必要となる修正対象ポリシを検出する。

　前記作成手段は、前記検出された修正対象ポリシに記述されたユーザ属性情報の値を、前記記憶された変更内容内の変更前のユーザ属性情報の値から変更後のユーザ属性情報の値に修正した修正ポリシを作成する。

　前記収集手段は、前記サーバ装置により提供されるサービスを利用可能なユーザの第２ユーザＩＤを含む変更後のユーザ属性情報をポリシ評価用ユーザ属性情報として前記ユーザ属性情報記憶装置から収集する。

　前記評価手段は、前記ポリシ記憶装置に記憶された各ポリシのうち、前記作成された修正ポリシを除くポリシと、前記作成された修正ポリシとに基づいて、前記収集されたポリシ評価用ユーザ属性情報を前記第２ユーザＩＤ毎に評価する。

　前記特定手段は、前記評価手段による評価結果のうち、前記ユーザ属性情報記憶装置に記憶された変更内容内の変更前のユーザ属性情報の値ではポリシを満足するが、前記収集されたポリシ評価用ユーザ属性情報の値ではポリシ及び／または修正ポリシを満足しない旨の評価結果を示す第２ユーザＩＤを特定する。

　前記更新手段は、前記ポリシ記憶装置に記憶された各ポリシのうち、前記作成した修正ポリシに対応するポリシを当該修正ポリシに更新する。

　前記削除手段は、前記特定された第２ユーザＩＤに対応する第１ユーザＩＤを前記サーバ装置内の前記記憶手段から削除する。

図１は一実施形態に係るポリシ更新システムの構成例を示す模式図である。図２は同実施形態に係るユーザストアに記憶されるユーザ関連情報の一例を示す模式図である。図３は同実施形態に係るユーザストアに記憶されるユーザ関連情報の一例を示す模式図である。図４は同実施形態に係るユーザストアに記憶されるユーザ関連情報の一例を示す模式図である。図５は同実施形態に係るユーザストアに記憶されるユーザ関連情報の一例を示す模式図である。図６は同実施形態に係るユーザストアに記憶されるユーザ関連情報の一例を示す模式図である。図７は同実施形態に係るユーザストアに記憶されるユーザ関連情報の一例を示す模式図である。図８は同実施形態に係るユーザストアに記憶されるユーザ関連情報の一例を示す模式図である。図９は同実施形態に係るユーザストアに記憶されるユーザ関連情報の一例を示す模式図である。図１０は同実施形態に係るＩＤ記憶装置に記憶されるＩＤ登録情報の一例を示す模式図である。図１１は同実施形態に係るＩＤ記憶装置に記憶されるＩＤ登録情報の一例を示す模式図である。図１２は同実施形態に係るＩＤ記憶装置に記憶されるＩＤ登録情報の一例を示す模式図である。図１３は同実施形態に係るポリシ記憶装置に記憶されるポリシの一例を示す模式図である。図１４は同実施形態に係る削除ユーザ一時記憶装置に記憶される削除対象ユーザ情報の一例を示す模式図である。図１５は同実施形態に係る修正ポリシ作成装置の動作の一例を示すフローチャートである。図１６は同実施形態に係るポリシ評価用ユーザ属性情報の一例を示す模式図である。図１７は同実施形態に係る評価結果情報の一例を示す模式図である。図１８は同実施形態に係る削除ユーザ特定装置の動作の一例を示すフローチャートである。図１９は同実施形態に係るユーザ削除承認装置の動作の一例を示す模式図である。図２０は同実施形態に係る修正ポリシの一例を示す模式図である。

　図１は一実施形態に係るポリシ更新システムの構成例を示す模式図であり、図２乃至図９は同実施形態に係るユーザストアに記憶されるユーザ関連情報の一例を示す模式図であり、図１０乃至図１２は同実施形態に係るＩＤ記憶装置に記憶されるＩＤ登録情報の一例を示す模式図であり、図１３は同実施形態に係るポリシ記憶装置に記憶されるポリシの一例を示す模式図であり、図１４は同実施形態に係る削除ユーザ一時記憶装置に記憶される削除対象ユーザ情報の一例を示す模式図であり、図１５は同実施形態に係る修正ポリシ作成装置の動作の一例を示すフローチャートであり、図１６は同実施形態に係るポリシ評価用ユーザ属性情報の一例を示す模式図であり、図１７は同実施形態に係る評価結果情報の一例を示す模式図であり、図１８は同実施形態に係る削除ユーザ特定装置の動作の一例を示すフローチャートであり、図１９は同実施形態に係るユーザ削除承認装置の動作の一例を示す模式図であって、図２０は同実施形態に係る修正ポリシの一例を示す模式図である。

　ポリシ更新システム１は、図１に示すように、ユーザストア１０、クラウドサーバ装置２０、ポリシ記憶装置３０及びポリシ更新装置４０を備えている。なお、ポリシ更新装置４０と、ユーザストア１０、クラウドサーバ装置２０及びポリシ記憶装置３０とは、有線又は無線を介して通信可能である。

　ユーザストア１０は、図１に示すように、変更前ユーザストア１０Ａ及び変更後ユーザストア１０Ｂを更に備えている。

　変更前ユーザストア１０Ａは、図２乃至図６に示すように、変更前のユーザ関連情報を記憶する記憶装置である。ユーザ関連情報とは、クラウドサーバ装置２０により提供されるＳａａＳ（Software as a Service）を利用し、且つポリシ更新装置４０が配置される組織に所属するユーザに関する情報であり、具体的には、ユーザ属性情報、部情報、課情報、役職情報及びＳａａＳ情報などの情報である。なお、ユーザ関連情報は、上記したユーザ属性情報、部情報、課情報、役職情報及びＳａａＳ情報に限定されるものでない。

　ユーザ属性情報とは、上記ユーザに関するアイデンティティ情報であり、例えば、図２に示すように、ユーザＩｄ（userId）、ユーザ名、部Ｉｄ、課Ｉｄ、役職Ｉｄ及びメールアドレスが関連付けられた情報、つまり、個人の情報を特徴付ける情報の集合体である。ユーザＩｄはユーザを識別するための識別情報である。部Ｉｄはポリシ更新装置４０が配置される組織を構成する部を識別するための識別情報である。課Ｉｄはポリシ更新装置４０が配置される組織を構成する課を識別するための識別情報である。役職Ｉｄはポリシ更新装置４０が配置される組織に所属するユーザの役職を識別するための識別情報である。

　部情報とは、ポリシ更新装置４０が配置される組織を構成する部に関する情報であり、例えば、図３に示すように、部Ｉｄ、部名及び削除フラグが関連付けられた情報である。部名は、例えば、総務部、営業部、研究部及び開発部など、部Ｉｄで識別される部の名称を示す。削除フラグは当該削除フラグを含む情報、この場合、部情報が削除対象の情報であるか否かを示すものであり、「true」又は「false」のどちらか一方を示す。具体的には、削除フラグが「true」を示す場合は、当該削除フラグを含む情報が削除対象の情報であることを示し、削除フラグが「false」を示す場合は、当該削除フラグを含む情報が非削除対象の情報であることを示す。なお、削除フラグが「true」を示したとしても、当該削除フラグを含む情報は削除されたわけではなく、あくまで削除フラグは当該削除フラグを含む情報が削除対象であるか否かを示す情報である。

　課情報とは、ポリシ更新装置４０が配置される組織を構成する課に関する情報であり、例えば、図４に示すように、課Ｉｄ、課名及び削除フラグが関連付けられた情報である。課名は、例えば、○○技術課、××技術課及び開発支援技術課など、課Ｉｄで識別される課の名称を示す。

　役職情報とは、ポリシ更新装置４０が配置される組織に存在する役職に関する情報であり、例えば、図５に示すように、役職Ｉｄ、役職名及び削除フラグが関連付けられた情報である。役職名は、例えば、部長、課長及び担当など、役職Ｉｄで識別される役職の名称を示す。

　ＳａａＳ情報とは、ポリシ更新装置４０が配置される組織が利用可能なＳａａＳに関する情報であり、例えば、図６に示すように、ＳａａＳＩｄ、ＳａａＳ名及び管理者Ｉｄが関連付けられた情報である。ＳａａＳＩｄは、クラウドサーバ装置２０により提供されるＳａａＳのうち、ポリシ更新装置４０が配置される組織が利用可能なＳａａＳを識別するための識別情報である。ＳａａＳ名は、例えば、ＳａａＳ１乃至ＳａａＳ３など、ＳａａＳＩｄで識別されるＳａａＳの名称を示す。管理者Ｉｄは、ポリシ更新装置４０が配置される組織において、関連付けられたＳａａＳＩｄで識別されるＳａａＳの利用者を管理するユーザのユーザＩｄを示す情報である。

　なお、本実施形態では、変更前ユーザストア１０Ａには、変更前のユーザ属性情報が図２に示すような形式で記憶されるとしたが、これに限定されず、例えば、変更前のユーザ属性情報と変更後のユーザ属性情報との間で異なる値を示す変更内容であって、変更前のユーザ属性情報の値と変更後のユーザ属性情報の値とを含むユーザＩｄ毎の変更内容のみを示す形式で記憶されるとしてもよい。

　変更後ユーザストア１０Ｂは、図７乃至図９に示すように、変更前ユーザストア１０Ａに記憶されたユーザ関連情報から変更されたユーザ関連情報を記憶する記憶装置である。なお、変更後のユーザ関連情報は、変更前のユーザ関連情報と同様な形式の情報であるため、ここでは詳細な説明は省略する。また、本実施形態では、役職情報及びＳａａＳ情報は変更されないとして変更後の役職情報及びＳａａＳ情報を図示しないが、別の態様において、図５及び図６と同様な形式の変更後の役職情報及びＳａａＳ情報が変更後ユーザストア１０Ｂに記憶されてもよいことは明白なことである。

　クラウドサーバ装置２０は、複数のＳａａＳをユーザに対して提供する装置である。クラウドサーバ装置２０は、複数のＩＤ記憶装置２０Ａを備えており、これらＩＤ記憶装置２０Ａは、例えば、図１０乃至図１２に示すように、ＳａａＳを利用可能なユーザのユーザＩｄとユーザ名とが関連付けられたＩＤ登録情報を、クラウドサーバ装置２０が提供可能なＳａａＳ毎に記憶する記憶装置である。本実施形態では、ＳａａＳ１乃至ＳａａＳ３にそれぞれ対応したＩＤ記憶装置２０Ａがクラウドサーバ装置２０内に設けられる。

　なお、本実施形態では、ユーザストア１０に記憶されるユーザ関連情報、この場合、ユーザ属性情報内のユーザＩｄと、各ＩＤ記憶装置２０Ａに記憶されるＩＤ登録情報内のユーザＩｄとが同様な形式のユーザＩｄであるとして説明するが、これに限定されず、ユーザ属性情報内のユーザＩｄとＩＤ登録情報内のユーザＩｄとは対応付けられていれば、必ずしも同様な形式のユーザＩｄでなくとも構わない。

　ポリシ記憶装置３０は、例えば、図１３に示すようにクラウドサーバ装置２０により提供されるＳａａＳの現行の利用権限を規定した少なくとも１つの条件から成るポリシを記憶する記憶装置である。より詳細には、ポリシとは、ユーザ関連情報を用いた少なくとも１つの条件から成り、ＳａａＳを利用する際に通知されるユーザ関連情報が当該条件を満足する場合に許可、つまり、ＳａａＳの利用を許可し、許可を示さない場合にはＳａａＳの利用を拒否するもの（禁止型ポリシ）である。図１３では、クラウドサーバ装置２０により提供される３つのＳａａＳ、つまり、ＳａａＳ１乃至ＳａａＳ３に関するポリシの一例を示す。例えば、ＳａａＳ１に関するポリシは、ユーザ関連情報が「部Ｉｄがdept3であり、且つ役職Ｉｄがpost1またはpost2である」という条件を満足する場合に、ＳａａＳ１の利用を許可し、それ以外はＳａａＳ１の利用を拒否するポリシである。なお、ポリシの記述形式は、図１３に示す記述形式に限定されるものでなく、例えば、各種名称（部名、課名及び役職名など）を用いて記述するなど、任意の記述形式で構わない。

　ここで、ポリシ更新装置４０は、図１に示すように、修正ポリシ一時記憶装置４１、削除ユーザ一時記憶装置４２、修正ポリシ作成装置４３、削除ユーザ特定装置４４、ユーザ削除承認装置４５、ポリシ更新装置４６及びユーザ削除装置４７を備えている。

　修正ポリシ一時記憶装置４１は、修正ポリシ作成装置４３により作成される修正ポリシを含む複数のポリシを一時的に記憶する記憶装置である。

　削除対象ユーザ一時記憶装置４２は、例えば、図１４に示すように、削除ユーザ特定装置により生成される削除対象ユーザ情報を一時的に記憶する記憶装置である。削除対象ユーザ情報とは、ユーザＩｄ及び削除対象ＳａａＳが関連付けられた情報である。

　修正ポリシ作成装置４３は、図１に示すように、修正対象ポリシ検出部４３Ａ、修正ポリシ作成部４３Ｂ及び修正ポリシ保存部４３Ｃを更に備えている。

　修正対象ポリシ検出部４３Ａは、変更前ユーザストア１０Ａ及び変更後ユーザストア１０Ｂに各々記憶されたユーザ関連情報と、ポリシ記憶装置３０に記憶されたポリシとに基づいて、修正が必要なポリシ（以下、修正対象ポリシと表記）を検出する。具体的には、修正対象ポリシ検出部４３Ａは、以下の各機能(f43A-1)乃至(f43A-4)をもっている。

　(f43A-1)　変更前ユーザストア１０Ａ及び変更後ユーザストア１０Ｂに記憶されたユーザ関連情報を参照しながら、変更前のユーザ関連情報と変更後のユーザ関連情報、この場合、変更前のユーザ属性情報Ｕ_Ｂと変更後のユーザ属性情報Ｕ_Ａとを比較して、変更前のユーザ属性情報Ｕ_Ｂと変更後のユーザ属性情報Ｕ_Ａとで異なる内容、つまり、変更前の値と変更後の値とを含む変更内容をユーザＩｄ毎に検出する機能。

　なお、上記したように、変更前ユーザストア１０Ａに記憶された変更前のユーザ属性情報が変更内容のみを示す形式である場合、当該(f43-1)の機能は省略される。

　(f43A-2)　変更前ユーザストア１０Ａ及び変更後ユーザストア１０Ｂに記憶されたユーザ関連情報を参照して、(f43A-1)の機能により検出した変更内容に含まれる変更後の値が変更前のユーザ関連情報、この場合、変更前の部情報Ｄ_Ｂ、課情報Ｓ_Ｂ及び役職情報Ｐ_Ｂに含まれる値（Ｉｄ）のみから成るか否かを変更内容毎に判定する機能。

　なお、(f43-1)の機能が省略される場合、当該(f43-2)の機能は、変更前ユーザストア１０Ａ及び変更後ユーザストア１０Ｂに記憶されたユーザ関連情報を参照して、変更前ユーザストア１０Ａに記憶された変更内容内の変更後の値が変更前の部情報Ｄ_Ｂ、課情報Ｓ_Ｂ及び役職情報Ｐ_Ｂに含まれる値（Ｉｄ）のみから成るか否かを変更内容毎に検出する機能となる。

　(f43A-3)　(f43A-2)の機能による判定結果が変更前のユーザ関連情報のみから成る旨を示す場合、当該変更内容がポリシに影響を及ぼすものでないとした上で、ポリシ記憶装置３０に記憶されたポリシを参照して、当該変更内容に関連付けられたユーザＩｄで識別される変更前のユーザ関連情報、この場合、変更前のユーザ属性情報Ｕ_Ｂが満足するポリシを修正対象ポリシとして検出しない機能。

　(f43A-4)　(f43A-2)の機能による判定結果が否を示す場合、当該変更内容がポリシに影響を及ぼすものであるとした上で、ポリシ記憶装置３０に記憶されたポリシを参照して、当該変更内容に関連付けられたユーザＩｄで識別される変更前のユーザ関連情報、この場合、変更前のユーザ属性情報Ｕ_Ｂが満足するポリシを修正対象ポリシとして検出する機能。

　修正ポリシ作成部４３Ｂは、修正ポリシ検出部４３Ａにより検出された修正対象ポリシに記述されたユーザ関連情報を、検出した変更内容に含まれる変更前の値から変更後の値に修正した修正ポリシを作成する。

　修正ポリシ保存部４３Ｃは、修正対象ポリシ検出部４３Ａにより検出された修正対象ポリシ以外のポリシ（即ち、修正対象ポリシとして検出されなかったポリシ）と、修正ポリシ作成部４３Ｂにより作成された修正ポリシとを修正ポリシ一時記憶装置４１に書込む。

　ここで、以上のように構成された修正ポリシ作成装置の動作の一例について、図２乃至図９，図１３の模式図と、図１５のフローチャートとを参照しながら説明する。

　始めに、修正対象ポリシ検出部４３Ａは、変更前ユーザストア１０Ａ及び変更後ユーザストア１０Ｂに記憶されたユーザ関連情報を参照しながら、変更前のユーザ属性情報Ｕ_Ｂと変更後のユーザ属性情報Ｕ_Ａとを比較して、変更前のユーザ属性情報Ｕ_Ｂと変更後のユーザ属性情報Ｕ_Ａとで異なる値を示す変更内容をユーザＩｄ毎に検出する（ステップＳ１）。

　具体的には、修正対象ポリシ検出部４３Ａは、user03の「sect1－sect2」，user06の「sect2-sect1」，user08の「dept3,sect3,post2-dept5,sect4,post1」，user09の「dept3,sect3,post3-dept5,sect4,post2」，user10の「dept3,sect3-dept5,sect4」を変更内容（以下、順に変更内容Ａ乃至Ｅと表記）として検出する。なお、ここでは、“（ユーザＩＤ）の「（変更前の値）－（変更後の値）」”の形式を用いて変更内容を示している。

　続いて、修正対象ポリシ検出部４３Ａは、変更前ユーザストア１０Ａ及び変更後ユーザストア１０Ｂに記憶されたユーザ関連情報を参照して、検出した変更内容Ａ乃至Ｅに含まれる変更後の値が変更前の部情報Ｄ_Ｂ、課情報Ｓ_Ｂ及び役職情報Ｐ_Ｂに含まれる値（Ｉｄ）のみから成るか否かを変更内容Ａ乃至Ｅ毎に判定する（ステップＳ２）。

　具体的には、変更内容Ａ及びＢの変更後の値は、sect2またはsect1であり、これらsect2またはsect1は、図４に示すように、変更前の課情報Ｓ_Ｂに含まれるため、変更内容Ａ及びＢは、修正対象ポリシ検出部４３Ａにより変更前のユーザ関連情報（課情報Ｓ_Ｂ）のみから成ると判定される。また、変更内容Ｃ乃至Ｅの変更後の値は、dept5やsect4を含んでおり、これらdept5やsect4は、図３及び図４に示すように、変更前の部情報Ｄ_Ｂ及び課情報Ｓ_Ｂには含まれていないため、変更内容Ｃ乃至Ｅは、修正対象ポリシ検出部４３Ａにより変更前のユーザ関連情報（部情報Ｄ_Ｂ及び課情報Ｓ_Ｂ）のみから成らないと判定される。

　ステップＳ２の処理による判定結果が変更前のユーザ関連情報のみから成る旨を示す場合（ステップＳ２のＹｅｓ）には、修正対象ポリシ検出部４３Ａは、当該変更内容Ａ及びＢがポリシに影響を及ぼすものでないとした上で、ポリシ記憶装置３０に記憶されたポリシを参照して、当該変更内容Ａ及びＢに関連付けられたユーザＩｄ「user03」及び「user06」で識別される変更前のユーザ属性情報Ｕ_Ｂ３，Ｕ_Ｂ６が満足するポリシＰ_１，Ｐ_２を修正対象ポリシとして検出しない（ステップＳ３）。

　ステップＳ２の処理による判定結果が否を示す場合（ステップＳ２のＮｏ）には、修正対象ポリシ検出部４３Ａは、当該変更内容Ｃ乃至Ｅがポリシに影響を及ぼすものであるとした上で、ポリシ記憶装置３０に記憶されたポリシを参照して、当該変更内容Ｃ乃至Ｅに関連付けられたユーザＩｄ「user08」、「user09」及び「user10」で識別される変更前のユーザ属性情報Ｕ_Ｂ８乃至Ｕ_Ｂ１０が満足するポリシＰ_３を修正対象ポリシとして検出する（ステップＳ４）。

　次に、修正ポリシ作成部４４Ｂは、ステップＳ４の処理において検出された修正対象ポリシＰ_３に記述されたユーザ属性情報「dept3」及び「sect3」を、当該変更内容Ｃ乃至Ｅに含まれる変更後の値「dept5」及び「sect4」に修正した修正ポリシを作成する（ステップＳ５）。

　しかる後、修正ポリシ保存部４３Ｃは、ステップＳ３の処理において修正対象ポリシとして検出されなかったポリシＰ_１，Ｐ_２と、ステップＳ５の処理において作成された修正ポリシとを修正ポリシ一時記憶装置４１に書込む（ステップＳ６）。

　削除ユーザ特定装置４４は、図１に示すように、ユーザ属性情報収集部４４Ａ、ポリシ評価部４４Ｂ及び削除ユーザ保存部４４Ｃを更に備えている。

　ユーザ属性情報収集部４４Ａは、例えば、図１６に示すように、クラウドサーバ装置２０より提供されるＳａａＳを利用可能なユーザの変更後のユーザ属性情報をポリシ評価に必要な情報（以下、ポリシ評価用ユーザ属性情報と表記）として収集する。具体的には、ユーザ属性情報収集部４４Ａは、以下の各機能(f44A-1)及び(f44A-2)をもっている。

　(f44A-1)　クラウドサーバ装置２０内の各ＩＤ記憶装置２０Ａに記憶されたＩＤ登録情報を参照しながら、ＩＤ登録情報内のユーザＩＤを含む変更後のユーザ関連情報、この場合、変更後のユーザ属性情報Ｕ_Ａをポリシ評価用ユーザ属性情報として変更後ユーザストア１０Ｂから収集する機能。

　(f44A-2)　(f44A-1)の機能により収集されたポリシ評価用ユーザ属性情報を図示しない一時メモリに書込む機能。

　ポリシ評価部４４Ｂは、修正ポリシ一時記憶装置４１に記憶されたポリシ及び修正ポリシに基づいて、ユーザ属性情報収集部４４Ａにより収集されたポリシ評価用ユーザ属性情報を評価する。具体的には、ポリシ評価部４４Ｂは、以下の各機能(f44B-1)及び(f44B-2)をもっている。

　(f44B-1)　修正ポリシ一時記憶装置４１に記憶されたポリシ及び修正ポリシに基づいて、ユーザ属性情報収集部４４Ａにより収集されたポリシ評価用ユーザ属性情報を評価する、つまり、ポリシ評価用ユーザ属性情報がポリシ及び修正ポリシを満足するか否かを評価する機能。

　(f44B-2)　(f44B-1)の機能による評価結果を示す評価結果情報を生成した後に、当該生成した評価結果情報を図示しない一時メモリに書込む機能。

　なお、評価結果情報は、例えば、図１７に示すように、ユーザＩＤ、ユーザ名及びＳａａＳ利用権限が関連付けられた情報である。ＳａａＳ利用権限はポリシ更新装置４０が配置される組織に対してクラウドサーバ装置２０が提供可能なＳａａＳに対応しており、ここでは、ＳａａＳ１乃至ＳａａＳ３の利用権限に関する評価結果を示す。具体的には、ＳａａＳ利用権限は、図１７に示すように、「許可」、「拒否」または「－」のいずれかの値を用いて表す。「許可」は、ポリシ評価用ユーザ属性情報が当該ＳａａＳに関するポリシ及び／または修正ポリシを満足した旨の評価結果を示す。「拒否」は、変更前のユーザ属性情報Ｕ_Ｂでは当該ＳａａＳに関するポリシを満足するが、ポリシ評価用ユーザ属性情報では当該ＳａａＳに関するポリシ及び／または修正ポリシを満足しない旨の評価結果を示す。「－」は、変更前のユーザ属性情報Ｕ_Ｂとポリシ評価用ユーザ属性情報とが共に当該ＳａａＳに関するポリシ及び／または修正ポリシを満足しない旨の評価結果を示す。

　削除ユーザ保存部４４Ｃは、ポリシ評価部４４Ｂにより生成された評価結果情報に基づいて、削除対象ユーザ情報を生成した後に、当該生成した削除対象ユーザ情報を削除対象ユーザ一時記憶装置４２に書込む。

　なお、削除対象ユーザ情報は、例えば、図１４に示すように、ユーザＩＤ及び削除対象ＳａａＳが関連付けられた情報である。削除対象ＳａａＳはポリシ更新装置４０が配置される組織に対してクラウドサーバ装置２０が提供可能なＳａａＳに対応しており、ここでは、ＳａａＳ１乃至ＳａａＳ３に対応する各ＩＤ記憶装置２０Ａに記憶されたＩＤ登録情報の削除に関する。具体的には、削除対象ＳａａＳは、図１４に示すように、「○」、「×」及び「－」のいずれかの値を用いて表す。「○」は、ポリシ評価部４４Ｂにより生成された評価結果情報内のＳａａＳ利用権限の「拒否」に対応し、当該ＳａａＳに対応するＩＤ記憶装置２０Ａに記憶され、当該削除対象ＳａａＳに関連付けられたユーザＩＤを含むＩＤ登録情報が削除対象である旨を示す。「×」は、ポリシ評価部４４Ｂにより生成された評価結果情報内のＳａａＳ利用権限の「許可」に対応し、当該ＳａａＳに対応するＩＤ記憶装置２０Ａに記憶され、当該削除対象ＳａａＳに関連付けられたユーザＩＤを含むＩＤ登録情報が非削除対象である旨を示す。「－」は、ポリシ評価部４４Ｂにより生成された評価結果情報内のＳａａＳ利用権限の「－」に対応し、当該ＳａａＳに対応するＩＤ記憶装置２０Ａに当該削除対象ＳａａＳに関連付けられたユーザＩＤを含むＩＤ登録情報が記憶されていない旨を示す。

　ここで、以上のように構成された削除ユーザ特定装置の動作の一例について、図７，図１０乃至図１２，図１４，図１７の模式図と、図１８のフローチャートとを参照しながら説明する。但し、本動作例では、修正ポリシ作成装置４３により上記したステップＳ１乃至Ｓ６の処理が実行され、修正ポリシ一時記憶装置４１には、ポリシＰ_１，Ｐ_２とポリシＰ_３に対応する修正ポリシとが記憶されているものとする。

　ステップＳ６の処理に続いて、ユーザ属性情報収集部４４Ａは、クラウドサーバ装置２０内の各ＩＤ記憶装置２０Ａに記憶されたＩＤ登録情報Ｒ_１乃至Ｒ_３を参照しながら、ＩＤ登録情報Ｒ_１乃至Ｒ_３内のユーザＩＤを含む変更後のユーザ関連情報、この場合、変更後のユーザ属性情報Ｕ_Ａ１乃至Ｕ_Ａ３，Ｕ_Ａ８乃至Ｕ_Ａ１０をポリシ評価用ユーザ属性情報Ｍとして変更後ユーザストア１０Ｂから収集する（ステップＳ７）。

　次に、ポリシ評価部４４Ｂは、修正ポリシ一時記憶装置４１に記憶されたポリシＰ_１，Ｐ_２及び修正ポリシに基づいて、ステップＳ７の処理において収集されたポリシ評価用ユーザ属性情報Ｍを評価する、つまり、ポリシ評価用ユーザ属性情報ＭがポリシＰ_１，Ｐ_２及び修正ポリシを満足するか否かを評価する（ステップＳ８）。

　続いて、ポリシ評価部４４Ｂは、図１７に示すように、ステップＳ８の処理による評価結果を示す評価結果情報Ｎを生成する（ステップＳ９）。

　しかる後、削除ユーザ保存部４４Ｃは、ステップＳ９の処理により生成された評価結果情報Ｎに基づいて、図１４に示すような削除対象ユーザ情報Ｔを生成した後に、当該生成した削除対象ユーザ情報Ｔを削除ユーザ一時記憶装置４２に書込む（ステップＳ１０）。

　ユーザ削除承認装置４５は、図１に示すように、承認依頼部４５Ａ、削除対象ユーザ削除部４５Ｂ及び修正ポリシ修正部４５Ｃを備えている。

　承認依頼部４５Ａは、削除対象ユーザ一時記憶装置４２に記憶された削除対象ユーザ情報内の削除対象ＳａａＳが削除対象である旨の値を示すＳａａＳに関して、変更前ユーザストア１０Ａに記憶された変更前のユーザ関連情報、この場合、当該ＳａａＳに関するＳａａＳ情報内の管理者ＩＤで識別されるユーザ（の管理者端末）に対して、当該削除対象ＳａａＳに関連付けられたユーザＩＤを含むＩＤ登録情報を当該ＳａａＳに対応したＩＤ記憶装置２０Ａから削除することに関する承認／却下を依頼する。

　なお、管理者端末は承認依頼部４５Ａからの依頼を受けると、ユーザ（管理者）の操作に応じて、当該依頼を承認するまたは却下する旨のメッセージとユーザＩＤとを含む応答メッセージをユーザ削除承認装置４５に送信する。

　削除対象ユーザ削除部４５Ｂは、管理者端末から送信された却下する旨のメッセージを含む応答メッセージの入力を受け付けると、当該入力を受け付けた応答メッセージ内のユーザＩＤを含む削除対象ユーザ情報を削除ユーザ一時記憶装置４２から削除する。

　修正ポリシ修正部４５Ｃは、削除対象ユーザ削除部４５Ｂで入力を受け付けた応答メッセージ内のユーザＩＤで識別されるユーザが、削除対象ユーザ情報内の当該ユーザＩＤに関連付けられた削除対象ＳａａＳが削除対象である旨の値を示すＳａａＳを継続して利用できるよう、当該ＳａａＳに関するポリシを修正した修正ポリシを作成し、修正ポリシ一時記憶装置４１に記憶された当該ＳａａＳに関するポリシを当該作成した修正ポリシに更新する（書き換える）。

　ここで、以上のように構成されたユーザ削除承認装置の動作の一例について、図６，図１０乃至図１２，図２０の模式図と、図１９のフローチャートとを参照しながら説明する。但し、本動作例では、修正ポリシ作成装置４３により上記したステップＳ１乃至Ｓ６の処理が実行され、修正ポリシ一時記憶装置４１には、ポリシＰ_１，Ｐ_２とポリシＰ_３に対応する修正ポリシとが記憶されているものとし、また、削除ユーザ特定装置４４により上記したステップＳ７乃至Ｓ１０の処理が実行され、削除ユーザ一時記憶装置４２には、図１４に示す削除対象ユーザ情報が記憶されているものとする。

　ステップＳ１０の処理に続いて、承認依頼部４５Ａは、削除対象ユーザ一時記憶装置４２に記憶された削除対象ユーザ情報Ｔ内の削除対象ＳａａＳが削除対象である旨の値を示すＳａａＳ１及びＳａａＳ２に関して、変更前ユーザストア１０Ａに記憶された当該ＳａａＳ１及びＳａａＳ２に関するＳａａＳ情報Ｓａ_１，Ｓａ_２内の管理者ＩＤ「user01」及び「user02」で識別されるユーザ（の管理者端末）に対して、当該削除対象ＳａａＳに関連付けられたユーザＩＤ「user08」及び「user03」を含むＩＤ登録情報Ｒ１_３，Ｒ２_２を当該ＳａａＳ１及びＳａａＳ２に対応した各ＩＤ記憶装置２０Ａから削除することに関する承認／却下を依頼する（ステップＳ１１）。

　なお、ここでは、管理者端末は承認依頼部４５Ａからの依頼に対して、ユーザＩＤ「user08」を含むＩＤ登録情報Ｒ１_３の削除を却下する旨のメッセージと、ユーザＩＤ「user03」を含むＩＤ登録情報Ｒ２_２の削除を承認する旨のメッセージとを応答メッセージとして削除対象ユーザ削除部４５Ｂに送信する。

　次に、削除対象ユーザ削除部４５Ｂは、管理者端末から送信された応答メッセージの入力を受け付けると、当該入力を受け付けた応答メッセージ内のメッセージに従った処理を実行する（ステップＳ１２）。

　ここでは、削除対象ユーザ削除部４５Ｂは、ユーザＩＤ「user08」を含むＩＤ登録情報Ｒ１_３の削除を却下する旨のメッセージを含む応答メッセージに関して、当該ユーザＩＤ「user08」を含む削除対象ユーザ情報を削除ユーザ一時記憶装置４２から削除する。

　また、削除対象ユーザ削除部４５Ｂは、ユーザＩＤ「user03」を含むＩＤ登録情報Ｒ２_２の削除を承認する旨のメッセージを含む応答メッセージに関して、ＩＤ登録情報Ｒ２_２を削除するよう要求する削除要求メッセージを後述するユーザ削除装置４７に送信する。そして、ユーザ削除装置４７において、ＩＤ登録情報Ｒ２_２の削除が実行される。

　しかる後、修正ポリシ修正部４５Ｃは、削除対象ユーザ削除部４５Ｂで入力を受け付けた応答メッセージ内のユーザＩＤ「user08」で識別されるユーザが、削除対象ユーザ情報内の当該ユーザＩＤに関連付けられた削除対象ＳａａＳが削除対象である旨の値を示すＳａａＳ１を継続して利用できるよう、当該ＳａａＳ１に関するポリシＰ_１を修正した修正ポリシを作成し、修正ポリシ一時記憶装置４１に記憶された当該ＳａａＳ１に関するポリシＰ_１を当該作成した修正ポリシに更新する（ステップＳ１３）。

　具体的には、修正ポリシ修正部４５Ｃは、ユーザＩＤ「user08」を含む変更後のユーザ関連情報、この場合、ユーザ属性情報Ｕ_Ｂ８を参照して、図２０に示すように、当該ユーザ属性情報Ｕ_Ｂ８に含まれる部Ｉｄと役職Ｉｄとを用いた「部Ｉｄがdept5であり、且つ役職Ｉｄがpost1である」旨の条件を追加する。なお、ここでは、ポリシＰ１がユーザ属性情報内の部Ｉｄ及び役職Ｉｄを用いた条件から成るため、部Ｉｄと役職Ｉｄとを用いた条件が追加される、つまり、対応するポリシを構成する条件に用いられたユーザ属性情報に対応するようにして、条件の追加は行われる。

　ポリシ更新装置４６は、修正ポリシ一時記憶装置４１に記憶されたポリシ及び修正ポリシに従って、ポリシ記憶装置３０に記憶されたポリシを更新する。

　ユーザ削除装置４７は、ユーザ削除承認装置４５により送信された削除要求メッセージの入力を受け付けると、当該入力を受け付けた削除要求メッセージに従って、クラウドサーバ装置２０内のＩＤ記憶装置２０Ａに記憶されたＩＤ登録情報を削除する。

　以上説明した一実施形態によれば、人手を介さずに、ポリシ更新作業及びシステム環境更新作業を実現することができる。

　なお、上記の各実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク（フロッピー（登録商標）ディスク、ハードディスクなど）、光ディスク（ＣＤ－ＲＯＭ、ＤＶＤなど）、光磁気ディスク（ＭＯ）、半導体メモリなどの記憶媒体に格納して頒布することもできる。

　また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。

　また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているＯＳ（オペレーティングシステム）や、データベース管理ソフト、ネットワークソフト等のＭＷ（ミドルウェア）等が上記実施形態を実現するための各処理の一部を実行しても良い。

　さらに、各実施形態における記憶媒体は、コンピュータと独立した媒体に限らず、ＬＡＮやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。

　また、記憶媒体は１つに限らず、複数の媒体から上記の各実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。

　なお、各実施形態におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記の各実施形態における各処理を実行するものであって、パソコン等の１つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。

　また、各実施形態におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。

　なお、本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。

Claims

　ユーザに複数のサービスを提供可能なサーバ装置であって、前記各サービスを利用可能なユーザを識別する第１ユーザＩＤを前記サービス毎に少なくとも記憶する記憶手段を有したサーバ装置と、前記ユーザに関するアイデンティティ情報であり、前記第１ユーザＩＤに対応した第２ユーザＩＤを少なくとも含む複数の項目が関連付けられたユーザ属性情報を記述した少なくとも１つの条件から成り、前記ユーザ属性情報の値が前記条件を満足するときに前記サービスの利用を許可する前記各サービスの利用権限を規定した複数のポリシを記憶するポリシ記憶装置と、前記ユーザ属性情報が変更されたときに前記記憶された各ポリシを更新可能なポリシ更新装置と、変更後のユーザ属性情報と、変更前のユーザ属性情報と変更後のユーザ属性情報との間で異なる値を示す変更内容であって、変更前のユーザ属性情報の値と変更後のユーザ属性情報の値とを含む前記第２ユーザＩＤ毎の変更内容とを記憶するユーザ属性情報記憶装置とを含むポリシ更新システムであって、
　前記ポリシ更新装置は、
　前記ユーザ属性情報記憶装置に記憶された変更内容に基づいて、前記ポリシ記憶装置に記憶された各ポリシのうち、修正が必要となる修正対象ポリシを検出する検出手段と、
　前記検出された修正対象ポリシに記述されたユーザ属性情報の値を、前記記憶された変更内容内の変更前のユーザ属性情報の値から変更後のユーザ属性情報の値に修正した修正ポリシを作成する作成手段と、
　前記サーバ装置により提供されるサービスを利用可能なユーザの第２ユーザＩＤを含む変更後のユーザ属性情報をポリシ評価用ユーザ属性情報として前記ユーザ属性情報記憶装置から収集する収集手段と、
　前記ポリシ記憶装置に記憶された各ポリシのうち、前記作成された修正ポリシを除くポリシと、前記作成された修正ポリシとに基づいて、前記収集されたポリシ評価用ユーザ属性情報を前記第２ユーザＩＤ毎に評価する評価手段と、
　前記評価手段による評価結果のうち、前記ユーザ属性情報記憶装置に記憶された変更内容内の変更前のユーザ属性情報の値ではポリシを満足するが、前記収集されたポリシ評価用ユーザ属性情報の値ではポリシ及び／または修正ポリシを満足しない旨の評価結果を示す第２ユーザＩＤを特定する特定手段と、
　前記ポリシ記憶装置に記憶された各ポリシのうち、前記作成した修正ポリシに対応するポリシを当該修正ポリシに更新する更新手段と、
　前記特定された第２ユーザＩＤに対応する第１ユーザＩＤを前記サーバ装置内の前記記憶手段から削除する削除手段と
　を備えたことを特徴とするポリシ更新システム。
　請求項１に記載のポリシ更新システムにおいて、
　前記ポリシ更新装置は、
　前記特定された第２ユーザＩＤに対応する第１ユーザＩＤの削除に関して、前記サーバ装置により提供される各サービスを管理する管理者が操作する管理者端末に当該第１ユーザＩＤの削除の承認を依頼する依頼手段と、
　前記依頼手段により依頼された削除の承認に対する前記管理者端末からの応答に応じて、前記第１ユーザＩＤの削除を実行する削除実行手段と
　を更に備えたことを特徴とするポリシ更新システム。
　ユーザに複数のサービスを提供可能なサーバ装置であって、前記各サービスを利用可能なユーザを識別する第１ユーザＩＤを前記サービス毎に少なくとも記憶する記憶手段を有したサーバ装置と、前記ユーザに関するアイデンティティ情報であり、前記第１ユーザＩＤに対応した第２ユーザＩＤを少なくとも含む複数の項目が関連付けられたユーザ属性情報を記述した少なくとも１つの条件から成り、前記ユーザ属性情報の値が前記条件を満足するときに前記サービスの利用を許可する前記各サービスの利用権限を規定した複数のポリシを記憶するポリシ記憶装置と、前記ユーザ属性情報が変更される場合に、変更後のユーザ属性情報と、変更前のユーザ属性情報と変更後のユーザ属性情報との間で異なる値を示す変更内容であって、変更前のユーザ属性情報の値と変更後のユーザ属性情報の値とを含む前記第２ユーザＩＤ毎の変更内容とを記憶するユーザ属性情報記憶装置と接続可能なポリシ更新装置であって、
　前記ユーザ属性情報記憶装置に記憶された変更内容に基づいて、前記ポリシ記憶装置に記憶された各ポリシのうち、修正が必要となる修正対象ポリシを検出する検出手段と、
　前記検出された修正対象ポリシに記述されたユーザ属性情報の値を、前記記憶された変更内容内の変更前のユーザ属性情報の値から変更後のユーザ属性情報の値に修正した修正ポリシを作成する作成手段と、
　前記サーバ装置により提供されるサービスを利用可能なユーザの第２ユーザＩＤを含む変更後のユーザ属性情報をポリシ評価用ユーザ属性情報として前記ユーザ属性情報記憶装置から収集する収集手段と、
　前記ポリシ記憶装置に記憶された各ポリシのうち、前記作成された修正ポリシを除くポリシと、前記作成された修正ポリシとに基づいて、前記収集されたポリシ評価用ユーザ属性情報を前記第２ユーザＩＤ毎に評価する評価手段と、
　前記評価手段による評価結果のうち、前記ユーザ属性情報記憶装置に記憶された変更内容内の変更前のユーザ属性情報の値ではポリシを満足するが、前記収集されたポリシ評価用ユーザ属性情報の値ではポリシ及び／または修正ポリシを満足しない旨の評価結果を示す第２ユーザＩＤを特定する特定手段と、
　前記ポリシ記憶装置に記憶された各ポリシのうち、前記作成した修正ポリシに対応するポリシを当該修正ポリシに更新する更新手段と、
　前記特定された第２ユーザＩＤに対応する第１ユーザＩＤを前記サーバ装置内の前記記憶手段から削除する削除手段と
　を備えたことを特徴とするポリシ更新装置。
　請求項３に記載のポリシ更新装置において、
　前記特定された第２ユーザＩＤに対応する第１ユーザＩＤの削除に関して、前記サーバ装置により提供される各サービスを管理する管理者が操作する管理者端末に当該第１ユーザＩＤの削除の承認を依頼する依頼手段と、
　前記依頼手段により依頼された削除の承認に対する前記管理者端末からの応答に応じて、前記第１ユーザＩＤの削除を実行する削除実行手段と
　を更に備えたことを特徴とするポリシ更新装置。