WO2021024415A1

WO2021024415A1 - ポリシー評価装置、制御方法、及びプログラム

Info

Publication number: WO2021024415A1
Application number: PCT/JP2019/031119
Authority: WO
Inventors: 淳西岡; 純明榮; 和彦磯山; 貴史小梨
Original assignee: 日本電気株式会社
Priority date: 2019-08-07
Filing date: 2019-08-07
Publication date: 2021-02-11
Also published as: JP7268742B2; JPWO2021024415A1; US20220284107A1

Abstract

ポリシー評価装置（２０００）は、評価対象グループを含む複数の制御グループ（１０）それぞれについて制御ポリシー（２０）を取得する。制御ポリシー（２０）は、アプリケーションの実行許否を示す。さらに、ポリシー評価装置（２０００）は、評価対象グループの制御ポリシー（２０）である評価対象ポリシーと、他の複数の制御ポリシー（２０）とを比較し、その比較結果に基づく評価情報（３０）を生成する。

Description

ポリシー評価装置、制御方法、及びプログラム

　本発明はアプリケーションの実行を制御するためのポリシーに関する。

　セキュリティポリシーに従ってアプリケーションの実行を監視する技術が開発されている。例えば特許文献１には、各コンピュータにおいてセキュリティポリシーが遵守されているか否かを監視し、その監視結果に基づいてセキュリティポリシーを変更する技術が開示されている。

特開２０１８－０４１２６６号公報

　本発明者は、アプリケーションの実行を制御するポリシーについて、その妥当性の検証が重要であることを見出した。この点、引用文献１の技術では、セキュリティポリシーの妥当性を検証することも難しい。また、引用文献１の技術は、アプリケーションの実行を監視することを想定しており、アプリケーションの実行を制御することは想定していない。

　本発明は、上記の課題に鑑みてなされたものであり、その目的の一つは、アプリケーションの実行を制御するポリシーについて、その妥当性の検証を容易にする技術を提供することである。

　本発明のポリシー評価装置は、１）評価対象グループを含む複数の制御グループそれぞれについて、その制御グループに含まれる端末におけるアプリケーションの実行許否を示す制御ポリシーを取得する取得部と、２）評価対象グループの制御ポリシーである評価対象ポリシーと、他の複数の制御ポリシーとを比較し、その比較結果に基づく評価情報を生成する評価部と、を有する。

　本発明の制御方法はコンピュータによって実行される。当該制御方法は、１）評価対象グループを含む複数の制御グループそれぞれについて、その制御グループに含まれる端末におけるアプリケーションの実行許否を示す制御ポリシーを取得する取得ステップと、２）評価対象グループの制御ポリシーである評価対象ポリシーと、他の複数の制御ポリシーとを比較し、その比較結果に基づく評価情報を生成する評価ステップと、を有する。

　本発明のプログラムは、本発明の制御方法の各ステップをコンピュータに実行させる。

　本発明によれば、アプリケーションの実行を制御するポリシーについて、その妥当性の検証を容易にする技術が提供される。

　上述した目的、およびその他の目的、特徴および利点は、以下に述べる好適な実施の形態、およびそれに付随する以下の図面によってさらに明らかになる。
本実施形態のポリシー評価装置の動作の概要を例示する図である。実施形態１のポリシー評価装置の構成を例示する図である。ポリシー評価装置を実現するための計算機を例示する図である。実施形態１のポリシー評価装置によって実行される処理の流れを例示するフローチャートである。ポリシー評価装置の利用形態を例示する第１の図である。ポリシー評価装置の利用形態を例示する第２の図である。制御ポリシーの構成をテーブル形式で例示する図である。評価情報を例示する図である。詳細画面を例示する図である。判定一致率を含む評価情報３０を例示する図である。

　以下、本発明の実施の形態について、図面を用いて説明する。尚、すべての図面において、同様な構成要素には同様の符号を付し、適宜説明を省略する。また、特に説明する場合を除き、各ブロック図において、各ブロックは、ハードウエア単位の構成ではなく、機能単位の構成を表している。

＜概要＞
　図１は、本実施形態のポリシー評価装置２０００の動作の概要を例示する図である。図１は、ポリシー評価装置２０００の動作についての理解を容易にするための概念的な説明を表す図であり、ポリシー評価装置２０００の動作を具体的に限定するものではない。

　ポリシー評価装置２０００は、或る制御グループ１０で利用されている制御ポリシー２０について、複数の制御グループ１０それぞれで利用されている制御ポリシー２０に基づく評価を行う。そして、ポリシー評価装置２０００は、その評価結果を表す評価情報３０を出力する。以下、評価対象の制御ポリシー２０を評価対象ポリシーと呼び、評価対象ポリシーが利用されている制御グループ１０を評価対象グループと呼ぶ。

　制御グループ１０は１つ以上の端末１２で構成される。同一の制御グループ１０に含まれる端末１２では、その上で動作するアプリケーションの実行が、共通の制御ポリシー２０によって制御される。ここで、端末１２は、物理マシンであってもよいし、仮想マシンであってもよい。

　端末１２におけるアプリケーションの実行許否は、制御ポリシー２０に基づいて判定される。制御ポリシー２０に基づく判定は、端末１２で実行されてもよいし、端末１２の外部で実行されてもよい。後者の場合、例えば、端末１２からアプリケーションの実行可否の問い合わせを受け付けるサーバ（後述するグループサーバ４０など）を制御グループ１０に設けておき、そのサーバが問い合わせに応じて判定を行うようにする。

　制御ポリシー２０は、アプリケーションの実行許否を示すエントリを複数含む。例えば、制御ポリシー２０のエントリは、制御対象のアプリケーションを特定する条件（以下、制御条件）と、その制御条件を満たすアプリケーションの実行許否（実行を許可するか否かを示すフラグなど）とを対応づけた情報である。制御条件は、例えば、アプリケーションの識別情報（実行パスなど）、属性、又は導入に関する条件を示す。アプリケーションの導入に関する条件とは、アプリケーションの導入経路等に関する条件である。詳しくは後述する。

　評価情報３０が示す評価結果には、様々なものを採用できる。例えば評価情報３０は、他の制御ポリシー２０から得られる統計からの乖離が大きい評価対象ポリシーのエントリを示す。

＜作用効果の一例＞
　アプリケーションの実行許否に関するポリシーの管理者がそのポリシーの妥当性を検証する方法の一つとして、他のグループで利用されている同様のポリシーと比較する方法が考えられる。例えば、グループＡにおけるポリシーがアプリケーションＸについて実行を許可することを示している一方、他の多くのグループのポリシーがアプリケーションＸについて実行を許可しないことを示しているとする。この場合、グループＡのポリシーの管理者は、アプリケーションＸについてのポリシーの設定の適切さを確認すべきであると考えられる。このように、管理対象のポリシーについて、他のポリシーから得られる統計との乖離が大きい設定などを容易に把握することができると、ポリシーの管理者にとって、そのポリシーの内容の妥当性の検証が容易になる。

　そこで本実施形態のポリシー評価装置２０００は、アプリケーションの実行を制御するためのポリシーである制御ポリシー２０について、他の複数の制御ポリシー２０との比較に基づく評価を行う。このような他の制御ポリシー２０との比較に基づく評価の結果を利用することにより、ポリシーの管理者は、その内容の妥当性を容易に検証することができるようになる。

　以下、本実施形態のポリシー評価装置２０００についてさらに詳細に説明する。

＜ポリシー評価装置２０００の機能構成の例＞
　図２は、実施形態１のポリシー評価装置２０００の構成を例示する図である。ポリシー評価装置２０００は、取得部２０２０及び評価部２０４０を有する。取得部２０２０は、評価対象グループを含む複数の制御グループ１０それぞれについての制御ポリシー２０を取得する。評価部２０４０は、取得した複数の制御ポリシー２０に基づいて、評価対象ポリシーの評価を行い、その評価結果を表す評価情報３０を生成する。

＜ポリシー評価装置２０００のハードウエア構成＞
　ポリシー評価装置２０００の各機能構成部は、各機能構成部を実現するハードウエア（例：ハードワイヤードされた電子回路など）で実現されてもよいし、ハードウエアとソフトウエアとの組み合わせ（例：電子回路とそれを制御するプログラムの組み合わせなど）で実現されてもよい。以下、ポリシー評価装置２０００の各機能構成部がハードウエアとソフトウエアとの組み合わせで実現される場合について、さらに説明する。

　例えばポリシー評価装置２０００は、１つの計算機で実現される。図３は、ポリシー評価装置２０００を実現するための計算機１０００を例示する図である。計算機１０００は任意の計算機である。例えば計算機１０００は、Personal Computer（PC）、サーバマシン、タブレット端末、又はスマートフォンなどである。計算機１０００は、ポリシー評価装置２０００を実現するために設計された専用の計算機であってもよいし、汎用の計算機であってもよい。

　計算機１０００は、バス１０２０、プロセッサ１０４０、メモリ１０６０、ストレージデバイス１０８０、入出力インタフェース１１００、及びネットワークインタフェース１１２０を有する。バス１０２０は、プロセッサ１０４０、メモリ１０６０、ストレージデバイス１０８０、入出力インタフェース１１００、及びネットワークインタフェース１１２０が、相互にデータを送受信するためのデータ伝送路である。ただし、プロセッサ１０４０などを互いに接続する方法は、バス接続に限定されない。プロセッサ１０４０は、CPU（Central Processing Unit）、GPU（Graphics Processing Unit）、又は FPGA（Field-Programmable Gate Array）などのプロセッサである。メモリ１０６０は、RAM（Random Access Memory）などを用いて実現される主記憶装置である。ストレージデバイス１０８０は、ハードディスクドライブ、SSD（Solid State Drive）、メモリカード、又は ROM（Read Only Memory）などを用いて実現される補助記憶装置である。ただし、ストレージデバイス１０８０は、RAM など、主記憶装置を構成するハードウエアと同様のハードウエアで構成されてもよい。

　入出力インタフェース１１００は、計算機１０００と入出力デバイスとを接続するためのインタフェースである。ネットワークインタフェース１１２０は、計算機１０００を通信網に接続するためのインタフェースである。この通信網は、例えば LAN（Local Area Network）や WAN（Wide Area Network）である。ネットワークインタフェース１１２０が通信網に接続する方法は、無線接続であってもよいし、有線接続であってもよい。

　ストレージデバイス１０８０は、ポリシー評価装置２０００の機能構成部を実現するプログラムモジュールを記憶している。プロセッサ１０４０は、これら各プログラムモジュールをメモリ１０６０に読み出して実行することで、各プログラムモジュールに対応する機能を実現する。

　ポリシー評価装置２０００は、２つ以上の計算機で実現されてもよい。この場合における各計算機も、例えば、図３に示したハードウエア構成を持つ。

＜処理の流れ＞
　図４は、実施形態１のポリシー評価装置２０００によって実行される処理の流れを例示するフローチャートである。取得部２０２０は、複数の制御グループ１０それぞれについての制御ポリシー２０を取得する（Ｓ１０２）。評価部２０４０は、取得した複数の制御ポリシー２０に基づいて、評価対象ポリシーの評価を行う（Ｓ１０４）。評価部２０４０は、評価結果を表す評価情報３０を生成する（Ｓ１０６）。評価部２０４０は、評価情報３０を出力する（Ｓ１０８）。

＜ポリシー評価装置２０００の利用形態の例＞
　ポリシー評価装置２０００の利用形態には、様々なものを採用しうる。以下、ポリシー評価装置２０００の利用形態をいくつか例示する。

＜＜利用形態１＞＞
　図５は、ポリシー評価装置２０００の利用形態を例示する第１の図である。図５において、各制御グループ１０には、グループサーバ４０が含まれている。グループサーバ４０は、そのグループサーバ４０が含まれる制御グループ１０で利用されている制御ポリシー２０を評価対象として、制御ポリシー２０の評価を行う。すなわち、この利用形態では、制御グループ１０ごとに、その制御グループ１０で利用されている制御ポリシー２０の評価を行うポリシー評価装置２０００として機能するグループサーバ４０が設けられている。また、図５の例では、グループサーバ４０は、制御ポリシー２０に基づいて各端末１２におけるアプリケーションの実行を制御するサーバとしても機能している。ただし、制御ポリシー２０の評価を行う装置とアプリケーションの実行を制御する装置とは、互いに異なる装置として実現されてもよい。

＜＜利用形態２＞＞
　図６は、ポリシー評価装置２０００の利用形態を例示する第２の図である。図６では、制御グループ１０の外部にポリシー評価装置２０００が設けられている。そのため、ポリシー評価装置２０００が、１つ以上の制御グループ１０それぞれで利用されている制御ポリシー２０についての評価を行う。

　例えば、制御グループ１０においてアプリケーションの実行を制御しているグループサーバ４０から、ポリシー評価装置２０００に対して、自身が利用している制御ポリシー２０の評価を依頼するリクエストを送信する。リクエストの送信は、グループサーバ４０によって自動で行われてもよいし、グループサーバ４０のユーザ（IT 管理者など）によって手動で行われてもよい。前者の場合、例えばグループサーバ４０は、定期的なタイミングでリクエストの送信を行う。ポリシー評価装置２０００は、リクエストの受信に応じ、リクエストを送信したグループサーバ４０が管理している制御ポリシー２０を評価対象とした評価を行う。その他にも例えば、ポリシー評価装置２０００は、定期的なタイミングで、全ての制御ポリシー２０それぞれの評価を行うようにしてもよい。この場合、全ての制御ポリシー２０それぞれが評価対象として扱われる。

＜制御ポリシー２０について＞
　制御ポリシー２０について例示する。制御ポリシー２０は、アプリケーションの実行を制御するための基準を示す。例えば制御ポリシー２０は、制御条件と、その制御条件をアプリケーションの実行許否とを対応づけたエントリを１つ以上有する。前述した様に、例えば制御条件は、アプリケーションの識別情報、属性、又は導入に関する条件である。

　アプリケーションの識別情報に関する条件は、例えば、アプリケーションの識別情報そのもの、すなわち、アプリケーションを一意に特定する情報を示す。アプリケーションの識別情報には、例えば、アプリケーションの名称、アプリケーションの実行ファイルの名称、又はその実行ファイルのパスなどを用いることができる。その他にも例えば、アプリケーションの識別情報に関する条件には、アプリケーションの実行ファイルが属するディレクトリを用いることができる。この場合、制御条件に示されたディレクトリの配下に位置する１つ以上のアプリケーションについての実行許否を、１つのエントリで表すことができる。その他にも例えば、アプリケーションの識別情報に関する条件として、１つ以上のアプリケーションの総称を示してもよい。

　アプリケーションの属性に関する条件には、例えば、アプリケーションの実行ファイルに添付されている証明書そのものや、その証明書に関する条件（例えば、証明書の作成者など）などを用いることができる。その他にも例えば、アプリケーションの属性に関する条件には、アプリケーションの実行ファイルのバイナリのハッシュ値などを用いることができる。

　アプリケーションの導入に関する条件は、例えば、以下の情報のいずれか１つ又はそれらの組み合わせで表すことができる。以下、これらを併せて、導入関連情報と呼ぶ。
１）経路情報：アプリケーションの導入経路に関する情報
２）配置情報：アプリケーションが配置された場所に関する情報
３）設定情報：アプリケーションの導入に伴う設定に関する情報

　経路情報は、アプリケーションの導入に関わるソフトウエア、ハードウエア、及びサービスなどに関する情報を含む。アプリケーションの導入に関わるソフトウエアは、例えば、アプリケーションをダウンロードするために利用されるダウンローダや、アプリケーションのインストールに利用されるインストーラである。また、アプリケーションのインストーラ等が、圧縮ファイルとして取得される場合、その圧縮ファイルの解凍に利用される解凍ソフトウエアも、アプリケーションの導入に関わるソフトウエアといえる。アプリケーションの導入に関わるハードウエアは、例えば、アプリケーションのインストーラや実行ファイルなどが格納されている記憶装置などである。アプリケーションの導入に関わるサービスは、例えば、アプリケーションのインストーラなどを提供する Web サイトや、アプリケーションの提供元とアプリケーションが導入されるマシンとの間に配置されるプロキシなどである。

　例えば、アプリケーションＸのインストーラＩの圧縮ファイルであるファイルＦがサーバＳで提供されているとする。そして、ダウンローダＤを用いてサーバＳからファイルＦをダウンロードし、ファイルＦを解凍ソフトウエアＢで解凍し、この解凍によって得られたアプリケーションＸのインストーラＩを実行することで、マシンにアプリケーションＸが導入されたとする。この場合、例えばアプリケーションＸについての経路情報は、「サーバＳ、ダウンローダＤ、解凍ソフトウエアＢ、インストーラＩ」という情報を示す。

　前述した「サーバＳ、ダウンローダＤ、解凍ソフトウエアＢ、インストーラＩ」という経路情報が、制御条件として示されているとする。この場合、「ダウンローダＤを用いてサーバＳからファイルＦをダウンロードし、ファイルＦを解凍ソフトウエアＢで解凍し、この解凍によって得られたアプリケーションＸのインストーラＩを実行することで、マシンに導入された」という条件を満たすアプリケーションが、この制御条件を満たすアプリケーションとなる。

　配置情報は、アプリケーションに関連するファイル（実行ファイルや設定ファイルなど）が書き込まれた場所（ディレクトリなど）に関する情報などを示す。

　設定情報は、アプリケーションの導入に伴って変更が加えられたレジストリや既存の設定ファイルについて、その設定の変更を表す情報である。

　図７は、制御ポリシー２０の構成をテーブル形式で例示する図である。図６の制御ポリシー２０を、テーブル２００と呼ぶ。テーブル２００は、制御条件２０２、許否フラグ２０４、及び理由２０６を有する。制御条件２０２は、前述した制御条件を示す。許否フラグ２０４は、アプリケーションの実行の許否を示す。例えば許否フラグ２０４は、値が１の場合には実行許可を表し、値が０の場合には実行不許可を表す。理由２０６は、アプリケーションの実行を許可する理由又は許可しない理由を示す。

＜制御ポリシー２０を利用した制御について＞
　制御ポリシー２０を利用してアプリケーションの実行可否を制御する方法について説明する。制御ポリシー２０は、端末１２におけるアプリケーションの実行の許否の判定に利用される。例えば、端末１２においてアプリケーションの起動が検出されたら、その起動を一時的に中断し、そのアプリケーションについて、端末１２が属する制御グループ１０で用いられる制御ポリシー２０を利用した実行可否の判定が行われる。アプリケーションの実行が許可された場合、アプリケーションの起動が再開される。一方、アプリケーションの実行が許可されなかった場合、アプリケーションの起動を終了したりするなどの方法により、アプリケーションが実行されないようにする。なお、アプリケーションの起動を検出し、その起動を一時的に中断して他の処理を介在させる技術には、既存の技術を利用することができる。

　制御ポリシー２０を利用した実行制御を行う装置を、実行制御装置と呼ぶ。実行制御装置は、端末１２として実現されてもよいし、端末１２からリクエストを受け付けるサーバとして実現されてもよい。

　実行制御装置は、端末１２においてアプリケーションの起動が開始されたら、その起動中のアプリケーションに関する情報を取得し、そのアプリケーションの情報と制御ポリシー２０の各エントリとを比較することで、起動中のアプリケーションによって制御条件が満たされるエントリを特定する。そして、実行制御装置は、特定したエントリが示すアプリケーションの実行許否（前述した許否フラグ２０４）に基づいて、アプリケーションの実行許否を決定する。ここで、アプリケーションの識別情報や属性に関する情報を取得する技術には、既存の技術を利用することができる。

　アプリケーションの導入関連情報は、そのアプリケーションの導入時に生成し、端末１２又は実行制御装置からアクセス可能な記憶装置に格納しておく。例えば、端末１２にプロセスの動作を監視するエージェントソフトウエアを予め導入しておく。エージェントソフトウエアは、例えば、プロセスが発生させたイベント（例えばシステムコールの実行）の履歴を記録する。例えばイベントの履歴は、イベントの主体、客体、及び内容の組み合わせで表される。アプリケーションの導入関連情報は、アプリケーションの導入の際に発生したイベントの列を解析・記録することで生成することができる。

　起動中のアプリケーションの導入関連情報が、制御ポリシー２０が示す制御条件を満たすか否かは、起動中のアプリケーションの導入関連情報と、制御ポリシー２０が制御条件として示す導入関連情報との類似度合いによって決定する。具体的には、その類似度合いが閾値以上である場合に、制御条件を満たすと判定される。

　ここで、導入経路情報の類似度は、導入経路を表すグラフの類似度合いとして算出することができる。グラフの類似度合いを算出する技術には、既存の技術を利用することができる。

＜制御ポリシー２０の取得：Ｓ１０２＞
　取得部２０２０は、評価対象ポリシーを含む複数の制御ポリシー２０を取得する（Ｓ１０２）。以下、評価対象ポリシーの取得と、それ以外の制御ポリシー２０の取得とに分けて説明する。

＜＜評価対象ポリシーの取得＞＞
　取得部２０２０が評価対象ポリシーを取得する方法は様々である。例えば取得部２０２０は、各制御グループ１０についての制御ポリシー２０が格納されている記憶装置（以下、ポリシー格納装置）にアクセスして、評価対象ポリシーを取得する。この場合、取得部２０２０は、評価対象ポリシーを特定するための識別情報を取得し、その識別情報で特定される制御ポリシー２０を、評価対象ポリシーとして、ポリシー格納装置から取得する。例えば、ポリシー格納装置では、制御グループ１０の識別情報に対応づけて、その制御グループ１０で利用される制御ポリシー２０が格納されているとする。この場合、取得部２０２０は、評価対象の制御グループ１０の識別情報を取得し、その識別情報に対応づけられている制御ポリシー２０を、評価対象ポリシーとして取得する。

　ここで、前述した利用形態１のように、ポリシー評価装置２０００が各グループサーバ４０で実現されているとする。この場合、グループサーバ４０は、評価対象グループの識別情報を予め把握している。すなわち、評価対象グループの識別情報は、グループサーバ４０からアクセス可能な記憶装置に予め格納されている。そのため、取得部２０２０は、その記憶装置にアクセスすることで、評価対象グループの識別情報を取得する。

　一方、前述した利用形態２のように、ポリシー評価装置２０００が複数の制御グループ１０を評価対象とできる場合、例えば取得部２０２０は、評価対象グループを指定する入力を受け付ける。例えば、取得部２０２０は、評価対象グループの識別情報が含まれるリクエストを受信する。この場合、取得部２０２０は、このリクエストから評価対象グループの識別情報を抽出して利用する。その他にも例えば、取得部２０２０は、評価対象グループを指定するユーザ入力（キーボード入力など）を受け付けることで、評価対象グループの識別情報を取得してもよい。

　取得部２０２０は、評価対象ポリシーそのものを外部から受信してもよい。例えば取得部２０２０は、評価対象ポリシーが含まれるリクエストを受信する。この場合、取得部２０２０は、このリクエストから評価ポリシーを抽出することで、評価対象ポリシーを取得する。

　なお、制御ポリシー２０の取得は、ポリシー評価装置２０００が主導して行ってもよい。例えば取得部２０２０は、定期的なタイミングで各制御ポリシー２０をポリシー格納装置から取得し、各制御ポリシー２０の評価を行う。その他にも例えば、取得部２０２０は、定期的なタイミングで、各グループサーバ４０に対し、制御ポリシー２０の送信を要求するリクエストを送信してもよい。この場合、取得部２０２０は、このリクエストに対するレスポンスから制御ポリシー２０を抽出する。

＜＜比較対象とする制御ポリシー２０の取得＞＞
　取得部２０２０は、さらに、評価対象ポリシーとの比較対象として利用する複数の制御ポリシー２０を取得する。ここで、取得部２０２０は、全ての制御グループ１０それぞれについて制御ポリシー２０を取得してもよいし、一部の制御グループ１０のみについて制御ポリシー２０を取得してもよい。

　後者の場合において、どの制御グループ１０について制御ポリシー２０を取得するかを定める方法は様々である。例えば取得部２０２０は、所定数の制御グループ１０をランダムに選択し、選択した制御グループ１０それぞれについての制御ポリシー２０を取得する。

　その他にも例えば、取得部２０２０は、固定で定められている複数の制御グループ１０について制御ポリシー２０を取得する。例えば、制御ポリシー２０の質が高いことが保証されている制御グループ１０（企業の IT 部門に属している制御グループ１０や、セキュリティ関連の企業に属している制御グループ１０など）を、予め、比較対象として利用する制御グループ１０として定めておく。

　その他にも例えば、取得部２０２０は、評価対象グループの属性と類似する属性を持つ制御グループ１０について制御ポリシー２０を取得する。例えば各制御グループ１０が、複数の企業のいずれかに属しているグループ（例えば事業部など）であるとする。この場合、例えば取得部２０２０は、評価対象グループと同一の企業に属している制御グループ１０や、評価対象グループが属している企業とグループ関係にある制御グループ１０について、制御ポリシー２０を取得する。

　なお、このように制御グループ１０の属性を利用する場合、各制御グループ１０の属性を表す情報を予め用意しておく。例えば前述したポリシー格納装置において、「制御グループ１０の識別情報、その制御グループ１０の属性、その制御グループ１０で利用されている制御ポリシー２０」という組みの情報を格納しておく。

　ここで、「同一企業内」や「グループ企業内」など、どのような属性を利用するかは、予め固定で定められていてもよいし、ユーザ（IT 管理者など）によって指定可能であってもよい。後者の場合、例えば、取得部２０２０が受信するリクエストに、評価対象グループの識別情報又は評価対象ポリシーと共に、利用する属性が含まれるようにする。その他にも例えば、取得部２０２０は、利用する属性を指定する。

　取得する制御ポリシー２０を定める方法は、制御グループ１０の属性を利用する方法に限定されない。例えば取得部２０２０は、所定の閾値以上のエントリを有する制御ポリシー２０のみを取得する。その他にも例えば、取得部２０２０は、評価対象ポリシーとの重複度が所定の閾値以上である制御ポリシー２０を取得する。ここで、エントリ数や重複度の閾値は、予め定められていてもよいし、ユーザによって指定されてもよい。

　なお、評価対象ポリシーと他の制御ポリシー２０との重複度は、以下の数式（１）などによって算出することができる。

　集合 E は、評価対象ポリシーに含まれる全てのエントリの集合である。集合 S は、評価対象ポリシーと他の制御ポリシー２０との間で重複しているエントリ（制御条件と実行許否との対応付けが一致しているエントリ）の集合である。|・|は、集合の要素数を表す。

＜評価対象ポリシーの評価：Ｓ１０４＞
　評価部２０４０は、評価対象ポリシーの評価を行う（Ｓ１０４）。ここで、評価部２０４０が行う評価の基準としては、様々な基準を採用することができる。

　例えば取得部２０２０は、取得した複数の制御ポリシー２０から、統計情報を生成する。ここで、統計情報の生成に利用する制御ポリシー２０には、評価対象ポリシーを含めてもよいし、含めなくてもよい。

　例えば統計情報は、制御条件ごとに、その制御条件に対応づけられている許可と不許可の割合や、その制御条件を示すエントリの存否の割合（設定の存否の割合）を示す。例として、取得部２０２０が、５０個の制御ポリシー２０を取得したとする。これらのうち、「アプリケーション名：xyz」という制御条件のエントリを持つ制御ポリシー２０が４０個であったとする。また、これら４０個の制御ポリシー２０のうち、許可を示す制御ポリシー２０が３０個で、不許可を示す制御ポリシー２０が１０個であったとする。この場合、統計情報は、xyz というアプリケーションについて、エントリの存否の割合として 4:1 を示し、許否の割合として 3:1 を示す。

　評価部２０４０は、評価対象ポリシーの各エントリを統計情報と比較することで、評価対象ポリシーを評価する。例えば評価部２０４０は、制御条件のうち、評価対象ポリシーと統計情報との間でポリシーの設定に関する乖離が大きいものを特定する。以下、評価対象ポリシーと統計情報との間でポリシーの設定に関する乖離が大きい制御条件を、注目制御条件と呼ぶ。このように評価対象ポリシーと統計情報との間でポリシーの設定に関する乖離が大きい制御条件を特定することには、１）ポリシー設定者の判断の見落としを見つけることができる、２）今後不要になりそうなポリシーを見つけることができる、３）対策や調査といった確認作業が必要なポリシーを見つけることができる、などといった利点がある。以下、注目制御条件の特定の仕方とともに、その利点についても併せて説明する。

　例えば評価部２０４０は、評価対象ポリシーが示す各制御条件について、その制御条件について評価対象ポリシーが示す実行の許否と、その制御条件について統計情報が示す実行の許否とを比較する。例えば、評価部２０４０は、評価対象ポリシーが示す実行の許否と、統計情報が示す実行の許否うち割合が大きい方とが一致していない制御条件を、注目制御条件として特定する。すなわち、１）評価対象ポリシーでは実行許可が示されており、なおかつ統計情報では実行不許可の割合が実行許可の割合よりも多いことが示されている制御条件、及び２）評価対象ポリシーでは実行不許可が示されており、なおかつ統計情報では実行許可の割合が実行不許可の割合よりも多いことが示されている制御条件のそれぞれが、注目制御条件として特定される。これは、実行許否の設定が多数派と食い違っている制御条件が注目制御条件として特定されるとも表現できる。

　例えば、評価対象ポリシーがアプリケーション xyz について「実行許可」を示しており、統計情報においてアプリケーション xyz についての実行許否の割合が「実行許可：実行不許可＝1:4」であったとする。この場合、評価対象ポリシーが示す「実行許可」は、統計情報において多数派である「実行不許可」と一致していない。よって、評価部２０４０により、アプリケーション xyz が注目制御条件として特定される。

　このように実行許否の設定が多数派と異なっている制御条件については、ポリシー設定者による実行許否の判断に見落としがある可能性がある。よって、このような注目制御条件を特定することにより、ポリシー設定者の判断の見落としを見つけることができる。

　その他にも例えば、評価部２０４０は、評価対象ポリシーに示されている制御条件のうち、統計情報において設定無しの割合が多いもの（所定の閾値以上のもの）を、注目制御条件として特定する。すなわち、多くの制御ポリシー２０では実行許否の設定がなされていない（エントリが存在しない）一方で、評価対象ポリシーでは実行許否の設定がなされている（エントリが存在する）制御条件が、注目制御条件として特定される。

　例えば、評価対象ポリシーがアプリケーション xyz について「実行許可」を示しており、統計情報においてアプリケーション xyz についての設定の存否の割合が「有り：無し＝1:4」であったとする。また、設定存否の割合についての所定の閾値として、70% が設定されているとする。この場合、「アプリケーション名：アプリケーション xyz」という制御条件については、評価対象ポリシーでは実行許否が設定されているものの、所定の割合以上の制御ポリシー２０においては実行許否が設定されていない。そのため、アプリケーション xyz が注目制御条件として特定される。

　このように評価対象ポリシーでは実行許否の設定がなされている制御条件について、他の多くの制御ポリシー２０で実行許否の設定がされていない場合、そのような制御条件については実行許否の設定が不要になる可能性がある。よって、このような制御条件を注目制御条件として特定することにより、今後不要になりそうなポリシーを見つけることができる。

　一方、評価対象ポリシーでは実行許否の設定がなされていない制御条件について、他の多くの制御ポリシー２０で実行許否の設定がなされている場合、評価対象ポリシーにおいて、必要なポリシーが欠けている可能性がある。よって、このような制御条件を注目制御条件として特定することにより、ポリシー設定者の判断の見落としを見つけることができる。

　また、評価対象ポリシーに示されている制御条件について、他の制御ポリシー２０において実行許否の判断が分かれていることがある。すなわち、許可と不許可の割合の差が小さい（所定の閾値以下である）ことがある。このような制御条件については、対策や調査などの確認作業を行うことで、正しいポリシー設定を見出すことが好適である。そのため、このような制御条件を注目制御条件として特定することで、確認作業が必要なポリシーを見つけることができる。

　ここで、統計情報が示す情報は、実行許否の割合や設定の存否の割合に限定されない。例えば統計情報は、過去所定期間における設定の変化を示してもよい。具体的には、過去所定期間における実行許否の割合の変化、設定の存否の割合の変化、実行許可の割合の増加率や減少率、実行許否の割合の増加率や減少率、設定有りの増加率や減少率、設定無しの増加率や減少率などを統計情報に含めることができる。なお、このように時間的な変化に着目する場合、各制御グループ１０について、制御ポリシー２０の変更の履歴を、ポイリシー格納装置などに格納しておき、その履歴を利用して、設定の変化を算出する。

　例えば、評価部２０４０は、評価対象ポリシーに示されていない制御条件のうち、過去所定期間にその制御条件に関するエントリが追加された制御ポリシー２０の割合が、所定の閾値以上であるものを、注目制御条件として特定する。なお、ここでいう割合とは、取得部２０２０によって取得された制御ポリシー２０の総数に対する比率である。このように他の制御ポリシー２０でポリシーが設定され始めている制御条件については、評価対象グループにおいても実行制御の対象とすべきかどうかを確認する必要が高いと言える。そのため、このような制御条件を注目制御条件として特定することで、確認作業が必要なポリシーを見つけることができる。

　その他にも例えば、評価部２０４０は、評価対象ポリシーに示されている制御条件のうち、過去所定期間にその制御条件に関するエントリが削除された制御ポリシー２０の割合が所定の閾値以上であるものを、注目制御条件として特定する。このように他の制御ポリシー２０でポリシーが削除され始めている制御条件については、評価対象グループにおいても実行制御の対象から除外すべきかどうかを確認する必要が高いと言える。そのため、このような制御条件を注目制御条件として特定することで、確認作業が必要なポリシーを見つけることができる。

＜＜制御が実行された回数の考慮＞＞
　評価部２０４０は、前述した統計情報に、制御ポリシー２０を用いた制御が実際に行われた回数（すなわち、端末１２においてアプリケーションの実行が試みられた回数）やその時間変化（過去所定期間ごとの回数の履歴）をさらに含めてもよい。制御ポリシー２０を用いた制御が行われた回数は、その制御を行った装置（例えばグループサーバ４０）が制御の履歴を記録しておくことで把握することができる。以下、或る制御条件について制御ポリシー２０を用いた制御が実際に行われた回数を、制御回数と呼ぶ。

　ここで、制御回数を考慮するケースでは、その前提として、制御ポリシー２０に示されている制御条件のいずれにも当てはまらないアプリケーションについては、管理者によって制御の指定が行われるとする。具体的には、そのようなアプリケーションが端末１２で起動された場合、端末１２において、その起動が一時中断される。そして、管理者がグループサーバ４０を利用してそのアプリケーションの実行許否を手動で指定する。なお、この際、手動で指定したアプリケーションの実行許否が自動的に制御ポリシー２０に追加されるようにしてもよいし、そのような追加を行わなくてもよい。

　このような前提の下、例えば評価部２０４０は、評価対象ポリシーに示されている制御条件のうち、統計情報に示されている制御回数が所定の閾値以下であるものを、注目制御条件に設定する。この場合、制御条件を満たすアプリケーションが実行される回数が少ないため、そのアプリケーションの実行許否を予め制御ポリシー２０に設定しておかず、前述した管理者による手動での制御を毎回行うようにしてもよいと考えられるためである。

　その他にも例えば、評価部２０４０は、前述した各方法で特定された注目制御条件のうち、制御回数が所定の閾値以上であるもののみを、注目制御条件として扱うようにする。このようにすることで、前述した種々の理由で注目すべき制御条件のうち、制御回数が多いために制御ポリシー２０を利用した実行制御の自動化が特に有用なものに的を絞って、注目制御条件として扱うことができる。また、或る制御条件について統計情報が示す制御回数が大きいということは、その制御条件に該当するアプリケーションの制御に制御ポリシー２０が実際に多く利用されていることを意味する。すなわち、その制御条件について制御ポリシー２０が示す制御の信頼性が比較的高いことを意味する。よって、注目制御条件の特定において制御回数をさらに考慮することにより、より高い精度で注目すべき制御条件を特定することができる。

＜評価情報３０の生成：Ｓ１０６＞
　評価部２０４０は、特定した注目制御条件に基づいて、評価情報３０を生成する（Ｓ１０６）。例えば評価部２０４０は、各制御条件を示す評価情報３０を生成する。また、評価情報３０には、各注目制御条件が注目制御条件として特定された理由を表す情報がさらに含まれてもよい。

　図８は、評価情報３０を例示する図である。図８では、評価情報３０が評価画面５０として実現されているケースを例示している。評価画面５０には、注目制御条件として特定された各制御条件と、その制御条件が注目制御条件として特定された理由とを含むテーブル５２が含まれている。また、テーブル５２の各行には、詳細ボタン５４が設けられている。ユーザが詳細ボタン５４を押すと、対応する制御条件についての詳細な情報を示す詳細画面６０が出力される。

　図９は、詳細画面を例示する図である。詳細画面６０には、選択された制御条件についての統計情報が示されている。また、統計情報に加え、注目制御条件として特定された理由を表すメッセージが含まれている。

　ここで、評価情報３０は必ずしも画面として実現される必要はない。例えば評価情報３０は、前述したテーブル５２のように、注目制御条件として特定された制御条件やその特定の理由を示す情報を含むファイルとして実現することができる。なお、そのファイル形式は任意である。

＜＜評価情報３０の他の例＞＞
　制御条件として導入関連情報を扱う場合、以下で説明する評価情報３０を生成してもよい。評価部２０４０は、評価対象ポリシーの中から、制御条件として導入関連情報を示すエントリを抽出する。さらに、評価部２０４０は、比較対象の各制御ポリシー２０から、制御条件として導入関連情報を示し、なおかつ、評価対象ポリシーから抽出したエントリと実行許否の設定が同じであるエントリを抽出する。例えば評価対象ポリシーから抽出されたエントリが「実行不許可」を示す場合、このエントリは、「実行を不許可とする導入の条件」を示すエントリである。そこで、他の制御ポリシー２０からも、同様に「実行を不許可とする導入の条件」を示すエントリを抽出する。

　評価部２０４０は、各制御ポリシー２０から抽出されたエントリについて、その制御ポリシー２０を用いて実行制御装置によって制御されたアプリケーションのうち、そのエントリが示す制御条件を満たすと判定されたものの割合（以下、判定一致率）を取得する。そのために、各実行制御装置は、起動中のアプリケーションについて行った、そのアプリケーションが各エントリの制御条件を満たすかどうかの判定について、その判定結果を表す情報を記録しておく。このように記録された情報により、制御条件として導入関連情報を示す各エントリについて、起動中のアプリケーションが制御条件を満たすと判定された割合を特定することができる。

　評価部２０４０は、制御ポリシー２０ごとに算出した判定一致率に関する情報を、評価情報３０として生成する。図１０は、判定一致率を含む評価情報３０を例示する図である。図１０の詳細画面７０は、制御条件として導入関連情報を示すレコードが図８のテーブル５２に含まれる場合に、そのレコードの詳細ボタン５４を押すことで表示される詳細画面の例である。

　詳細画面７０において、評価対象の制御ポリシー２０では、判定一致率が閾値未満となっている。一方、その他の制御グループ１０の制御ポリシー２０では、判定一致率が閾値以上となっている。そのため、評価対象の制御ポリシー２０では、他の制御ポリシー２０と比較し、判定一致率が低いことが分かる。そのため、他の制御グループ１０の制御ポリシーを参考にして、制御に利用する導入関連情報を変更することが好適であることが分かる。

　なお、詳細画面７０において、制御条件である導入関連情報についての詳細は表示されておらず、詳細ボタンを押すことで、導入経路を表すグラフ等の情報が表示されるようになっている。しかしながら、詳細画面７０内のスペースに余裕がある場合、詳細画面７０内に導入関連情報の詳細を含めてもよい。

＜評価情報３０の出力：Ｓ１０８＞
　評価部２０４０は、生成した評価情報３０を出力する（Ｓ１０８）。評価情報３０の出力先は任意である。例えば評価部２０４０は、ポリシー評価装置２０００からアクセス可能なディスプレイ装置に評価情報３０を表示させたり、ポリシー評価装置２０００からアクセス可能な記憶装置に評価情報３０を格納したりする。その他にも例えば、評価部２０４０は、ポリシー評価装置２０００からアクセス可能な他の装置に対して、評価情報３０を送信してもよい。例えばポリシー評価装置２０００が、他の装置からのリクエストに応じて、評価対象ポリシーの評価を行うとする（利用形態２のケース）。この場合、評価部２０４０は、リクエストを送信してきた装置に対して、評価情報３０を送信する。

　以上、図面を参照して本発明の実施形態について述べたが、これらは本発明の例示であり、上記以外の様々な構成を採用することもできる。

　上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
１．　評価対象グループを含む複数の制御グループそれぞれについて、その制御グループに含まれる端末におけるアプリケーションの実行許否を示す制御ポリシーを取得する取得部と、
　前記評価対象グループの制御ポリシーである評価対象ポリシーと、他の複数の前記制御ポリシーとを比較し、その比較結果に基づく評価情報を生成する評価部と、を有するポリシー評価装置。
２．　前記制御ポリシーは、制御対象のアプリケーションを特定する条件である制御条件と、その制御条件で特定されるアプリケーションの実行許否とを対応づけて示し、
　前記評価部は、
　　前記評価対象ポリシーにおいて実行許可が対応づけられている制御条件であって、その制御条件に対して実行不許可を示す制御ポリシーの方が実行許可を示す制御ポリシーよりも多い制御条件に関する情報を前記評価情報に含めるか、又は、
　　前記評価対象ポリシーにおいて実行不許可が対応づけられている制御条件であって、その制御条件に対して実行許可を示す制御ポリシーの方が実行不許可を示す制御ポリシーよりも多い制御条件に関する情報を前記評価情報に含める、１．に記載のポリシー評価装置。
３．　前記制御ポリシーは、制御対象のアプリケーションを特定する条件である制御条件と、その制御条件で特定されるアプリケーションの実行許否とを対応づけて示し、
　前記評価部は、前記評価対象ポリシーが示す制御条件のうち、その制御条件を示すエントリを持たない制御ポリシーの割合が所定の閾値以上である制御条件に関する情報を前記評価情報に含める、１．に記載のポリシー評価装置。
４．　前記制御ポリシーは、制御対象のアプリケーションを特定する条件である制御条件と、その制御条件で特定されるアプリケーションの実行許否とを対応づけて示し、
　前記評価部は、前記評価対象ポリシーが示す制御条件のうち、その制御条件について実行許可を示す制御ポリシーの割合と実行不許可を示す制御ポリシーの割合の差が所定の閾値以下である制御条件に関する情報を前記評価情報に含める、１．に記載のポリシー評価装置。
５．　前記制御ポリシーは、制御対象のアプリケーションを特定する条件である制御条件と、その制御条件で特定されるアプリケーションの実行許否とを対応づけて示し、
　前記評価部は、前記評価対象ポリシーに示されていない制御条件のうち、過去所定期間にその制御条件を示すエントリが追加された制御ポリシーの割合が所定の閾値以上である制御条件に関する情報を、前記評価情報に含める、１．に記載のポリシー評価装置。
６．　前記制御ポリシーは、制御対象のアプリケーションを特定する条件である制御条件と、その制御条件で特定されるアプリケーションの実行許否とを対応づけて示し、
　前記評価部は、
　　前記取得した複数の制御ポリシーについて、制御条件ごとに、その制御条件に実行許可が対応づけられている制御ポリシーと実行不許可が対応づけられている制御ポリシーとの割合、又はその制御条件を示すエントリが存在する制御ポリシーと存在しない制御ポリシーとの割合を示す統計情報を生成し、
　　前記評価対象ポリシーと前記統計情報との間で乖離度が大きい前記制御条件を、注目制御条件として特定し、
　　前記注目制御条件に関する情報を前記評価情報に含める、１．乃至５．いずれか一つに記載のポリシー評価装置。
７．　前記制御条件は、アプリケーションの識別情報、アプリケーションの属性、及びアプリケーションの導入に関連する導入関連情報のいずれか１つを示す、２．乃至６．いずれか一つに記載のポリシー評価装置。
８．　前記導入関連情報は、アプリケーションの導入経路に関する情報、アプリケーションが配置された場所に関する情報、及びアプリケーションの導入に伴う設定に関する情報のいずれか１つ以上を示す、７．に記載のポリシー評価装置。
９．　前記取得部は、前記評価対象グループの属性と類似する属性を持つ各制御グループについて、前記制御ポリシーを取得する、１．乃至８．いずれか一つに記載のポリシー評価装置。
１０．　前記取得部は、前記評価対象ポリシーとの重複度が所定の閾値以上である各制御ポリシーを取得する、１．乃至８．いずれか一つに記載のポリシー評価装置。
１１．　コンピュータによって実行される制御方法であって、
　評価対象グループを含む複数の制御グループそれぞれについて、その制御グループに含まれる端末におけるアプリケーションの実行許否を示す制御ポリシーを取得する取得ステップと、
　前記評価対象グループの制御ポリシーである評価対象ポリシーと、他の複数の前記制御ポリシーとを比較し、その比較結果に基づく評価情報を生成する評価ステップと、を有する制御方法。
１２．　前記制御ポリシーは、制御対象のアプリケーションを特定する条件である制御条件と、その制御条件で特定されるアプリケーションの実行許否とを対応づけて示し、
　前記評価ステップにおいて、
　　前記評価対象ポリシーにおいて実行許可が対応づけられている制御条件であって、その制御条件に対して実行不許可を示す制御ポリシーの方が実行許可を示す制御ポリシーよりも多い制御条件に関する情報を前記評価情報に含めるか、又は、
　　前記評価対象ポリシーにおいて実行不許可が対応づけられている制御条件であって、その制御条件に対して実行許可を示す制御ポリシーの方が実行不許可を示す制御ポリシーよりも多い制御条件に関する情報を前記評価情報に含める、１１．に記載の制御方法。
１３．　前記制御ポリシーは、制御対象のアプリケーションを特定する条件である制御条件と、その制御条件で特定されるアプリケーションの実行許否とを対応づけて示し、
　前記評価ステップにおいて、前記評価対象ポリシーが示す制御条件のうち、その制御条件を示すエントリを持たない制御ポリシーの割合が所定の閾値以上である制御条件に関する情報を前記評価情報に含める、１１．に記載の制御方法。
１４．　前記制御ポリシーは、制御対象のアプリケーションを特定する条件である制御条件と、その制御条件で特定されるアプリケーションの実行許否とを対応づけて示し、
　前記評価ステップにおいて、前記評価対象ポリシーが示す制御条件のうち、その制御条件について実行許可を示す制御ポリシーの割合と実行不許可を示す制御ポリシーの割合の差が所定の閾値以下である制御条件に関する情報を前記評価情報に含める、１１．に記載の制御方法。
１５．　前記制御ポリシーは、制御対象のアプリケーションを特定する条件である制御条件と、その制御条件で特定されるアプリケーションの実行許否とを対応づけて示し、
　前記評価ステップにおいて、前記評価対象ポリシーに示されていない制御条件のうち、過去所定期間にその制御条件を示すエントリが追加された制御ポリシーの割合が所定の閾値以上である制御条件に関する情報を、前記評価情報に含める、１１．に記載の制御方法。
１６．　前記制御ポリシーは、制御対象のアプリケーションを特定する条件である制御条件と、その制御条件で特定されるアプリケーションの実行許否とを対応づけて示し、
　前記評価ステップにおいて、
　　前記取得した複数の制御ポリシーについて、制御条件ごとに、その制御条件に実行許可が対応づけられている制御ポリシーと実行不許可が対応づけられている制御ポリシーとの割合、又はその制御条件を示すエントリが存在する制御ポリシーと存在しない制御ポリシーとの割合を示す統計情報を生成し、
　　前記評価対象ポリシーと前記統計情報との間で乖離度が大きい前記制御条件を、注目制御条件として特定し、
　　前記注目制御条件に関する情報を前記評価情報に含める、１１．乃至１５．いずれか一つに記載の制御方法。
１７．　前記制御条件は、アプリケーションの識別情報、アプリケーションの属性、及びアプリケーションの導入に関連する導入関連情報のいずれか１つを示す、１２．乃至１６．いずれか一つに記載の制御方法。
１８．　前記導入関連情報は、アプリケーションの導入経路に関する情報、アプリケーションが配置された場所に関する情報、及びアプリケーションの導入に伴う設定に関する情報のいずれか１つ以上を示す、１７．に記載の制御方法。
１９．　前記取得ステップにおいて、前記評価対象グループの属性と類似する属性を持つ各制御グループについて、前記制御ポリシーを取得する、１１．乃至１８．いずれか一つに記載の制御方法。
２０．　前記取得ステップにおいて、前記評価対象ポリシーとの重複度が所定の閾値以上である各制御ポリシーを取得する、１１．乃至１８．いずれか一つに記載の制御方法。
２１．　１１．乃至２０．いずれか一つに記載の制御方法の各ステップをコンピュータに実行させるプログラム。

Claims

　評価対象グループを含む複数の制御グループそれぞれについて、その制御グループに含まれる端末におけるアプリケーションの実行許否を示す制御ポリシーを取得する取得部と、
　前記評価対象グループの制御ポリシーである評価対象ポリシーと、他の複数の前記制御ポリシーとを比較し、その比較結果に基づく評価情報を生成する評価部と、を有するポリシー評価装置。
　前記制御ポリシーは、制御対象のアプリケーションを特定する条件である制御条件と、その制御条件で特定されるアプリケーションの実行許否とを対応づけて示し、
　前記評価部は、
　　前記評価対象ポリシーにおいて実行許可が対応づけられている制御条件であって、その制御条件に対して実行不許可を示す制御ポリシーの方が実行許可を示す制御ポリシーよりも多い制御条件に関する情報を前記評価情報に含めるか、又は、
　　前記評価対象ポリシーにおいて実行不許可が対応づけられている制御条件であって、その制御条件に対して実行許可を示す制御ポリシーの方が実行不許可を示す制御ポリシーよりも多い制御条件に関する情報を前記評価情報に含める、請求項１に記載のポリシー評価装置。
　前記制御ポリシーは、制御対象のアプリケーションを特定する条件である制御条件と、その制御条件で特定されるアプリケーションの実行許否とを対応づけて示し、
　前記評価部は、前記評価対象ポリシーが示す制御条件のうち、その制御条件を示すエントリを持たない制御ポリシーの割合が所定の閾値以上である制御条件に関する情報を前記評価情報に含める、請求項１に記載のポリシー評価装置。
　前記制御ポリシーは、制御対象のアプリケーションを特定する条件である制御条件と、その制御条件で特定されるアプリケーションの実行許否とを対応づけて示し、
　前記評価部は、前記評価対象ポリシーが示す制御条件のうち、その制御条件について実行許可を示す制御ポリシーの割合と実行不許可を示す制御ポリシーの割合の差が所定の閾値以下である制御条件に関する情報を前記評価情報に含める、請求項１に記載のポリシー評価装置。
　前記制御ポリシーは、制御対象のアプリケーションを特定する条件である制御条件と、その制御条件で特定されるアプリケーションの実行許否とを対応づけて示し、
　前記評価部は、前記評価対象ポリシーに示されていない制御条件のうち、過去所定期間にその制御条件を示すエントリが追加された制御ポリシーの割合が所定の閾値以上である制御条件に関する情報を、前記評価情報に含める、請求項１に記載のポリシー評価装置。
　前記制御ポリシーは、制御対象のアプリケーションを特定する条件である制御条件と、その制御条件で特定されるアプリケーションの実行許否とを対応づけて示し、
　前記評価部は、
　　前記取得した複数の制御ポリシーについて、制御条件ごとに、その制御条件に実行許可が対応づけられている制御ポリシーと実行不許可が対応づけられている制御ポリシーとの割合、又はその制御条件を示すエントリが存在する制御ポリシーと存在しない制御ポリシーとの割合を示す統計情報を生成し、
　　前記評価対象ポリシーと前記統計情報との間で乖離度が大きい前記制御条件を、注目制御条件として特定し、
　　前記注目制御条件に関する情報を前記評価情報に含める、請求項１乃至５いずれか一項に記載のポリシー評価装置。
　前記制御条件は、アプリケーションの識別情報、アプリケーションの属性、及びアプリケーションの導入に関連する導入関連情報のいずれか１つを示す、請求項２乃至６いずれか一項に記載のポリシー評価装置。
　前記導入関連情報は、アプリケーションの導入経路に関する情報、アプリケーションが配置された場所に関する情報、及びアプリケーションの導入に伴う設定に関する情報のいずれか１つ以上を示す、請求項７に記載のポリシー評価装置。
　前記取得部は、前記評価対象グループの属性と類似する属性を持つ各制御グループについて、前記制御ポリシーを取得する、請求項１乃至８いずれか一項に記載のポリシー評価装置。
　前記取得部は、前記評価対象ポリシーとの重複度が所定の閾値以上である各制御ポリシーを取得する、請求項１乃至８いずれか一項に記載のポリシー評価装置。
　コンピュータによって実行される制御方法であって、
　評価対象グループを含む複数の制御グループそれぞれについて、その制御グループに含まれる端末におけるアプリケーションの実行許否を示す制御ポリシーを取得する取得ステップと、
　前記評価対象グループの制御ポリシーである評価対象ポリシーと、他の複数の前記制御ポリシーとを比較し、その比較結果に基づく評価情報を生成する評価ステップと、を有する制御方法。
　前記制御ポリシーは、制御対象のアプリケーションを特定する条件である制御条件と、その制御条件で特定されるアプリケーションの実行許否とを対応づけて示し、
　前記評価ステップにおいて、
　　前記評価対象ポリシーにおいて実行許可が対応づけられている制御条件であって、その制御条件に対して実行不許可を示す制御ポリシーの方が実行許可を示す制御ポリシーよりも多い制御条件に関する情報を前記評価情報に含めるか、又は、
　　前記評価対象ポリシーにおいて実行不許可が対応づけられている制御条件であって、その制御条件に対して実行許可を示す制御ポリシーの方が実行不許可を示す制御ポリシーよりも多い制御条件に関する情報を前記評価情報に含める、請求項１１に記載の制御方法。
　前記制御ポリシーは、制御対象のアプリケーションを特定する条件である制御条件と、その制御条件で特定されるアプリケーションの実行許否とを対応づけて示し、
　前記評価ステップにおいて、前記評価対象ポリシーが示す制御条件のうち、その制御条件を示すエントリを持たない制御ポリシーの割合が所定の閾値以上である制御条件に関する情報を前記評価情報に含める、請求項１１に記載の制御方法。
　前記制御ポリシーは、制御対象のアプリケーションを特定する条件である制御条件と、その制御条件で特定されるアプリケーションの実行許否とを対応づけて示し、
　前記評価ステップにおいて、前記評価対象ポリシーが示す制御条件のうち、その制御条件について実行許可を示す制御ポリシーの割合と実行不許可を示す制御ポリシーの割合の差が所定の閾値以下である制御条件に関する情報を前記評価情報に含める、請求項１１に記載の制御方法。
　前記制御ポリシーは、制御対象のアプリケーションを特定する条件である制御条件と、その制御条件で特定されるアプリケーションの実行許否とを対応づけて示し、
　前記評価ステップにおいて、前記評価対象ポリシーに示されていない制御条件のうち、過去所定期間にその制御条件を示すエントリが追加された制御ポリシーの割合が所定の閾値以上である制御条件に関する情報を、前記評価情報に含める、請求項１１に記載の制御方法。
　前記制御ポリシーは、制御対象のアプリケーションを特定する条件である制御条件と、その制御条件で特定されるアプリケーションの実行許否とを対応づけて示し、
　前記評価ステップにおいて、
　　前記取得した複数の制御ポリシーについて、制御条件ごとに、その制御条件に実行許可が対応づけられている制御ポリシーと実行不許可が対応づけられている制御ポリシーとの割合、又はその制御条件を示すエントリが存在する制御ポリシーと存在しない制御ポリシーとの割合を示す統計情報を生成し、
　　前記評価対象ポリシーと前記統計情報との間で乖離度が大きい前記制御条件を、注目制御条件として特定し、
　　前記注目制御条件に関する情報を前記評価情報に含める、請求項１１乃至１５いずれか一項に記載の制御方法。
　前記制御条件は、アプリケーションの識別情報、アプリケーションの属性、及びアプリケーションの導入に関連する導入関連情報のいずれか１つを示す、請求項１２乃至１６いずれか一項に記載の制御方法。
　前記導入関連情報は、アプリケーションの導入経路に関する情報、アプリケーションが配置された場所に関する情報、及びアプリケーションの導入に伴う設定に関する情報のいずれか１つ以上を示す、請求項１７に記載の制御方法。
　前記取得ステップにおいて、前記評価対象グループの属性と類似する属性を持つ各制御グループについて、前記制御ポリシーを取得する、請求項１１乃至１８いずれか一項に記載の制御方法。
　前記取得ステップにおいて、前記評価対象ポリシーとの重複度が所定の閾値以上である各制御ポリシーを取得する、請求項１１乃至１８いずれか一項に記載の制御方法。
　請求項１１乃至２０いずれか一項に記載の制御方法の各ステップをコンピュータに実行させるプログラム。