WO2022149226A1

WO2022149226A1 - アクセス判定装置、アクセス判定方法、および、アクセス判定プログラム

Info

Publication number: WO2022149226A1
Application number: PCT/JP2021/000278
Authority: WO
Inventors: 拓海森; 真浩藤田; 陽一柴田; 規松田
Original assignee: 三菱電機株式会社
Priority date: 2021-01-07
Filing date: 2021-01-07
Publication date: 2022-07-14
Also published as: DE112021005812T5; JPWO2022149226A1; JP7229446B1; US20230283615A1; CN116685972A

Abstract

オントロジー生成部（１１０）は、アクセスの属性ごとにアクセスポリシーを階層構造により表した情報を複数のオントロジー（３０）として生成する。適用ルール生成部（１２０）は、適用ルール（４０）を生成する。ポリシー候補抽出部（１４０）は、アクセス要求（５１）を取得し、アクセス要求（５１）に含まれる属性を含むオントロジー（３０）をアクセスポリシー候補として複数のオントロジーから抽出する。アクセスルール決定部（１５０）は、アクセスポリシー候補からアクセス要求（５１）に含まれる属性に合致する複数のアクセスポリシーを特定し、複数のアクセスポリシーに適用ルール（４０）を適用し、アクセスルールを決定する。可否判定部（１６０）は、アクセスルールに基づいて、アクセスの可否を判定する。

Description

アクセス判定装置、アクセス判定方法、および、アクセス判定プログラム

　本開示は、アクセス判定装置、アクセス判定方法、および、アクセス判定プログラムに関する。

　企業機密は、オンプレミスあるいは社内クラウドに保存されており、社内または社外、昼または夜、および国内または海外といった様々な環境からアクセスされる。そこで、信頼度といった利用者らしさに応じて、認証あるいはアクセス制御を厳格に行い、情報漏洩リスクを低減する技術が求められている。

　機械学習により、ファイルの属性あるいは内容からアクセスポリシーを判断する方法があるが、この方法では説明可能にならないという課題がある。適用するアクセスポリシーの妥当性が評価できず、インシデント発生時の説明責任を果たせない。
　また、機械学習は一般的には計算コストが高い。入力データの変化によって分類器の再構成、すなわち再学習が必要となる。高精度の推論エンジンの構成には、膨大な学習データが必要となる。
　さらに、機械学習では、エラー状態の事前定義が難しいといった課題もある。エラー状態、すなわち適用するポリシーが無いといった場合の挙動が未定義であり、安全サイドに倒してアクセス拒否すると可用性が損なわれる。

　また、従来のＡＣＬ（アクセス・コントロール・リスト）では複数条件を考慮したアクセス制御が困難である。

　特許文献１には、アクセスポリシーのテンプレートを用意し、アクセス対象のファイルに対して適用する技術が開示されている。

特開２００５－０９９９８２号公報

　特許文献１の技術では、ファイルのコピーあるいはファイルそのものの改変がなされた場合にはアクセスポリシーを追従可能である。しかし、作成者、ファイルの機密等級、あるいはアクセス経路といったアクセス条件の複数の属性が変更された場合に追従することができない。また、特許文献１の技術では、アクセスポリシーがエラー状態に陥った場合に、可用性を担保することができない。

　本開示では、複数のアクセスポリシーに適用ルールを適用してアクセスルールを決定することで、アクセス条件における複数の属性が変更された場合でもアクセスポリシーを追従することができる。また、複数のアクセスポリシーがエラー状態に陥った場合でも、可用性を担保することができる。

　本開示に係るアクセス判定装置は、
　ファイルに対するアクセスの可否を判定するアクセス判定装置において、
　アクセスの属性ごとにアクセス条件を表すアクセスポリシーを階層構造により表した情報を複数のオントロジーとして生成するオントロジー生成部と、
　アクセスポリシー同士を組み合わせる際のルールと、アクセスポリシー同士が衝突する際のルールとを含む適用ルールを生成する適用ルール生成部と、
　前記ファイルに対するアクセス要求であって複数の属性を含むアクセス要求を取得し、前記アクセス要求に含まれる属性を含むオントロジーをアクセスポリシー候補として前記複数のオントロジーから抽出するポリシー候補抽出部と、
　前記アクセスポリシー候補から前記アクセス要求に含まれる属性に合致する複数のアクセスポリシーを特定し、前記複数のアクセスポリシーに前記適用ルールを適用し、前記ファイルに対するアクセスルールを決定するアクセスルール決定部と、
　前記アクセスルールに基づいて、前記ファイルに対するアクセスの可否を判定する可否判定部と
を備える。

　本開示に係るアクセス判定装置では、複数のアクセスポリシーに適用ルールを適用してアクセスルールを決定する。よって、本開示に係るアクセス判定装置によれば、アクセス条件における複数の属性が変更された場合でもアクセスポリシーを追従することができる。また、複数のアクセスポリシーがエラー状態に陥った場合でも、可用性を担保することができる。

実施の形態１に係るファイルアクセスシステムの全体構成例。実施の形態１に係るアクセス判定装置の構成例。実施の形態１係るオントロジー生成処理を示すフロー図。実施の形態１に係るオントロジーの例を示す図。実施の形態１に係るオントロジーの例を示す図。実施の形態１に係るオントロジーの例を示す図。実施の形態１に係るオントロジーにおける未定義ポリシーの例を示す図。実施の形態１に係る適用ルール生成処理を示すフロー図。実施の形態１に係る適用ルールにおけるアクセスポリシー同士が衝突する際のルールの例を示す図。実施の形態１に係る実施フェーズを示すフロー図。実施の形態１に係る実施フェーズの具体例を示す模式図。実施の形態１に係るアクセスルール決定処理の詳細フロー図。実施の形態１の変形例１に係るアクセス判定装置の構成例。実施の形態１の変形例２に係るオントロジーの例を示す図。実施の形態１の変形例３に係るアクセスルール決定処理を示す模式図。実施の形態２に係るオントロジーの例を示す模式図。実施の形態２に係るオントロジーの別例を示す図。実施の形態３に係るアクセス判定装置の構成例。実施の形態３に係るオントロジー生成処理およびアクセスルール決定処理の例を示す模式図。

　以下、本実施の形態について、図を用いて説明する。各図中、同一または相当する部分には、同一符号を付している。実施の形態の説明において、同一または相当する部分については、説明を適宜省略または簡略化する。また、以下の図では各構成部材の大きさの関係が実際のものとは異なる場合がある。また、実施の形態の説明において、上、下、左、右、前、後、表、裏といった向きあるいは位置が示されている場合がある。これらの表記は、説明の便宜上の記載であり、装置、器具、あるいは部品等の配置、方向および向きを限定するものではない。

　実施の形態１．
＊＊＊構成の説明＊＊＊
　図１は、本実施の形態に係るファイルアクセスシステム５００の全体構成例を示す図である。
　ファイルアクセスシステム５００には、アクセス判定装置１００とファイルサーバ２００が含まれる。
　アクセス判定装置１００は、ユーザ１２からのアクセス要求５１を受け付け、ユーザ１２の信頼度をリアルタイムに評価し、ユーザ１２によるアクセスの可否を判定する。
　ファイルサーバ２００には、各種のアクセス対象文書であるファイル２１が記憶されている。ファイル２１には、秘密文書、社外秘の文書、あるいは公開文書といったものが含まれる。

　ユーザ１２は、様々な環境からファイル２１にアクセスする。例えば、社内から昼にアクセスする、自宅から夜にアクセスする、あるいは海外から昼にアクセスするといったように、ユーザ１２は、様々な環境からファイル２１にアクセスする。

　また、ファイルアクセスシステム５００は、アクセス判定装置１００とファイルサーバ２００とに加え、認証サーバ３００を備えていてもよい。アクセス判定装置１００は、認証サーバ３００と連携して、ユーザ１２の信頼度をリアルタイムに評価し、ユーザ１２によるアクセスの可否を判定する構成でもよい。

　ファイルアクセスシステム５００の管理者１１は、アクセス判定装置１００によるアクセス判定処理に必要な情報の設定、変更、あるいは更新といった処理を行う。

　図２を用いて、本実施の形態に係るアクセス判定装置１００の構成例について説明する。
　アクセス判定装置１００は、コンピュータである。アクセス判定装置１００は、プロセッサ９１０を備えるとともに、メモリ９２１、補助記憶装置９２２、入力インタフェース９３０、出力インタフェース９４０、および通信装置９５０といった他のハードウェアを備える。プロセッサ９１０は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。

　アクセス判定装置１００は、機能要素として、オントロジー生成部１１０と適用ルール生成部１２０とアクセス要求受信部１３０とポリシー候補抽出部１４０とアクセスルール決定部１５０と可否判定部１６０と記憶部１７０とを備える。記憶部１７０は、オントロジー保管部１７１と適用ルール保管部１７２を備える。

　オントロジー生成部１１０と適用ルール生成部１２０とアクセス要求受信部１３０とポリシー候補抽出部１４０とアクセスルール決定部１５０と可否判定部１６０の機能は、ソフトウェアにより実現される。記憶部１７０は、メモリ９２１に備えられる。なお、記憶部１７０は、補助記憶装置９２２に備えられていてもよいし、メモリ９２１と補助記憶装置９２２に分散して備えられていてもよい。

　プロセッサ９１０は、アクセス判定プログラムを実行する装置である。アクセス判定プログラムは、オントロジー生成部１１０と適用ルール生成部１２０とアクセス要求受信部１３０とポリシー候補抽出部１４０とアクセスルール決定部１５０と可否判定部１６０の機能を実現するプログラムである。
　プロセッサ９１０は、演算処理を行うＩＣ（Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）である。プロセッサ９１０の具体例は、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）、ＤＳＰ（Ｄｉｇｉｔａｌ　Ｓｉｇｎａｌ　Ｐｒｏｃｅｓｓｏｒ）、ＧＰＵ（Ｇｒａｐｈｉｃｓ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）である。

　メモリ９２１は、データを一時的に記憶する記憶装置である。メモリ９２１の具体例は、ＳＲＡＭ（Ｓｔａｔｉｃ　Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）、あるいはＤＲＡＭ（Ｄｙｎａｍｉｃ　Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）である。
　補助記憶装置９２２は、データを保管する記憶装置である。補助記憶装置９２２の具体例は、ＨＤＤである。また、補助記憶装置９２２は、ＳＤ（登録商標）メモリカード、ＣＦ、ＮＡＮＤフラッシュ、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ（登録商標）ディスク、ＤＶＤといった可搬の記憶媒体であってもよい。なお、ＨＤＤは、Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅの略語である。ＳＤ（登録商標）は、Ｓｅｃｕｒｅ　Ｄｉｇｉｔａｌの略語である。ＣＦは、ＣｏｍｐａｃｔＦｌａｓｈ（登録商標）の略語である。ＤＶＤは、Ｄｉｇｉｔａｌ　Ｖｅｒｓａｔｉｌｅ　Ｄｉｓｋの略語である。

　入力インタフェース９３０は、マウス、キーボード、あるいはタッチパネルといった入力装置と接続されるポートである。入力インタフェース９３０は、具体的には、ＵＳＢ（Ｕｎｉｖｅｒｓａｌ　Ｓｅｒｉａｌ　Ｂｕｓ）端子である。なお、入力インタフェース９３０は、ＬＡＮ（Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）と接続されるポートであってもよい。

　出力インタフェース９４０は、ディスプレイといった出力機器のケーブルが接続されるポートである。出力インタフェース９４０は、具体的には、ＵＳＢ端子またはＨＤＭＩ（登録商標）（Ｈｉｇｈ　Ｄｅｆｉｎｉｔｉｏｎ　Ｍｕｌｔｉｍｅｄｉａ　Ｉｎｔｅｒｆａｃｅ）端子である。ディスプレイは、具体的には、ＬＣＤ（Ｌｉｑｕｉｄ　Ｃｒｙｓｔａｌ　Ｄｉｓｐｌａｙ）である。出力インタフェース９４０は、表示器インタフェースともいう。

　通信装置９５０は、レシーバとトランスミッタを有する。通信装置９５０は、ＬＡＮ、インターネット、あるいは電話回線といった通信網に接続している。通信装置９５０は、具体的には、通信チップまたはＮＩＣ（Ｎｅｔｗｏｒｋ　Ｉｎｔｅｒｆａｃｅ　Ｃａｒｄ）である。

　アクセス判定プログラムは、アクセス判定装置１００において実行される。アクセス判定プログラムは、プロセッサ９１０に読み込まれ、プロセッサ９１０によって実行される。メモリ９２１には、アクセス判定プログラムだけでなく、ＯＳ（Ｏｐｅｒａｔｉｎｇ　Ｓｙｓｔｅｍ）も記憶されている。プロセッサ９１０は、ＯＳを実行しながら、アクセス判定プログラムを実行する。アクセス判定プログラムおよびＯＳは、補助記憶装置９２２に記憶されていてもよい。補助記憶装置９２２に記憶されているアクセス判定プログラムおよびＯＳは、メモリ９２１にロードされ、プロセッサ９１０によって実行される。なお、アクセス判定プログラムの一部または全部がＯＳに組み込まれていてもよい。

　アクセス判定装置１００は、プロセッサ９１０を代替する複数のプロセッサを備えていてもよい。これら複数のプロセッサは、アクセス判定プログラムの実行を分担する。それぞれのプロセッサは、プロセッサ９１０と同じように、アクセス判定プログラムを実行する装置である。

　アクセス判定プログラムにより利用、処理または出力されるデータ、情報、信号値および変数値は、メモリ９２１、補助記憶装置９２２、または、プロセッサ９１０内のレジスタあるいはキャッシュメモリに記憶される。

　オントロジー生成部１１０と適用ルール生成部１２０とアクセス要求受信部１３０とポリシー候補抽出部１４０とアクセスルール決定部１５０と可否判定部１６０の各部の「部」を「回路」、「工程」、「手順」、「処理」、あるいは「サーキットリー」に読み替えてもよい。アクセス判定プログラムは、オントロジー生成処理と適用ルール生成処理とアクセス要求受信処理とポリシー候補抽出処理とアクセスルール決定処理と可否判定処理を、コンピュータに実行させる。オントロジー生成処理と適用ルール生成処理とアクセス要求受信処理とポリシー候補抽出処理とアクセスルール決定処理と可否判定処理の「処理」を「プログラム」、「プログラムプロダクト」、「プログラムを記憶したコンピュータ読取可能な記憶媒体」、または「プログラムを記録したコンピュータ読取可能な記録媒体」に読み替えてもよい。また、アクセス判定方法は、アクセス判定装置１００がアクセス判定プログラムを実行することにより行われる方法である。
　アクセス判定プログラムは、コンピュータ読取可能な記録媒体に格納されて提供されてもよい。また、アクセス判定プログラムは、プログラムプロダクトとして提供されてもよい。

＊＊＊動作の説明＊＊＊
　次に、本実施の形態に係るアクセス判定装置１００の動作であるアクセス判定処理について説明する。アクセス判定装置１００の動作手順は、アクセス判定方法に相当する。また、アクセス判定装置１００の動作を実現するプログラムは、アクセス判定プログラムに相当する。

　アクセス判定処理は、準備フェーズと実施フェーズに分けられる。
　準備フェーズには、オントロジー３０を生成するオントロジー生成処理と、適用ルール４０を生成する適用ルール生成処理が含まれる。
　実施フェーズには、には、複数のアクセスポリシー候補３０１を抽出するポリシー候補抽出処理と、ファイル２１に対するアクセスルール４１を決定するアクセスルール決定処理と、ファイル２１に対するアクセスの可否を判定する可否判定処理とが含まれる。

＜準備フェーズ＞
＜＜オントロジー生成処理＞＞
　図３は、本実施の形態に係るオントロジー生成処理を示すフロー図である。
　オントロジー生成処理では、オントロジー生成部１１０が、アクセスの属性３１ごとにアクセス条件を表すアクセスポリシー３２を階層構造により表した情報をオントロジー３０として生成する。オントロジー生成部１１０は、アクセスの属性３１ごとのオントロジー３０を複数生成する。オントロジー生成部１１０は、管理者１１によるオントロジー３０の生成に用いられるインタフェースあるいはツールである。管理者１１は、オントロジー生成部１１０を用いてオントロジー３０を生成する。
　具体的には、以下の通りである。

　ステップＳ１０１において、オントロジー生成部１１０は、アクセス可否の判定に用いるアクセス条件であるアクセスポリシー３２を取得する。アクセスポリシー３２は、アクセスの属性３１ごとに入力される。
　アクセスの属性３１とは、アクセス条件の属性である。属性３１には、業務、アクセス経路、場所、所属、認証状態、役職、あるいは、ファイルに関する情報といった、アクセスの可否の判定に用いるアクセスポリシー３２が属する種別である。
　アクセスポリシー３２とは、アクセス条件である。例えば、アクセスポリシー３２には、属性３１が業務の場合、「ユーザ１２がプロジェクト２を担当するならば、アクセス対象ファイルの作成者がＡ部、かつ、機密等級は極秘以外を許可」といったアクセス条件が記述されている。また、アクセス条件として、追加認証といったユーザとの相互作用動作を含んでも良い。追加認証の場合の詳細は実施の形態３で説明する。

　ステップＳ１０２において、オントロジー生成部１１０は、アクセスポリシー３２を形式的表現に変換する。具体的には、オントロジー生成部１１０は、アクセスポリシー３２を属性３１ごとに階層構造により表したオントロジー３０を生成する。オントロジー３０は、例えば、ツリー構造である。
　また、オントロジー３０は、アクセスポリシーが未定義である場合のポリシーが記述された未定義ポリシー３２３を含むものとする。アクセスポリシーが未定義である場合のポリシーは未定義ルールともいう。

　オントロジー３０は、管理者１１によりオントロジー生成部１１０を用いて生成されてもよいし、オントロジー生成部１１０が入力されたアクセスポリシー３２から自動的に生成してもよい。

　ステップＳ１０３において、オントロジー生成部１１０は、オントロジー３０をオントロジー保管部１７１に保管する。オントロジー３０は属性３１ごとに生成されるため、オントロジー保管部１７１には、複数のオントロジー３０が保管される。複数のオントロジー３０はリスト構造で保管することが一般的だが、保管する形式は問わない。また、オントロジー３０は属性３１を見出しとして保管される。

　図４から図６は、本実施の形態に係るオントロジー３０の例を示す図である。
　図４では、属性３１が「業務」のオントロジー３０と、属性３１が「アクセス経路」のオントロジー３０が示されている。その他、図５および図６に示すように、属性３１が「所属」、「認証状態」、「役職」、「アクセス元アプリケーション」、および「ファイル情報」といったオントロジー３０も作成可能である。
　オントロジー３０において、アクセスポリシー３２の各々を、ノードあるいはリーフとも呼ぶ。

　図７は、本実施の形態に係るオントロジー３０における未定義ポリシー３２３の例を示す図である。
　図７では、アクセスを要求したユーザ１２がプロジェクト３に所属するものとする。しかし、図７の業務のオントロジー３０にはプロジェクト３の場合のアクセスポリシー３２は未定義である。
　未定義ポリシー３２３には、アクセスポリシーが未定義である場合のポリシーが記述されている。オントロジー３０には、未定義ポリシー３２３が定義されているものとする。
　未定義ポリシー３２３に定義されるポリシーの例は以下の通りである。
（Ａ）他の属性（オントロジー）のルールを採用
（Ｂ）パブリックフォルダのみ許可
（Ｃ）アクセスを拒否（暗黙的拒否に相当）

＜＜適用ルール生成処理＞＞
　図８は、本実施の形態に係る適用ルール生成処理を示すフロー図である。
　ステップＳ２０１において、適用ルール生成部１２０は、アクセスポリシー同士を組み合わせる際のルールと、アクセスポリシー同士が衝突する際のルールとを含む適用ルール４０を生成する。適用ルール生成部１２０は、管理者１１による適用ルール４０の生成に用いられるインタフェースあるいはツールである。管理者１１は、適用ルール生成部１２０を用いて適用ルール４０を入力する。
　なお、適用ルール４０の生成は、少なくとも実施フェーズより前に実施され、１つ以上の適用ルールを登録する。実施フェーズ後も任意のタイミングで適用ルールを登録してよい。

　アクセスポリシー同士を組み合わせる際のルールには、複数のアクセスポリシー候補を組み合わせる場合のルールが設定される。具体的には、明示的拒否＞明示的許可＞暗黙的拒否といった優先順位である。あるいは、アクセスポリシー同士をＯＲとする、アクセスポリシー同士ＡＮＤとする、といったルールである。

　図９は、本実施の形態に係る適用ルールにおけるアクセスポリシー同士が衝突する際のルールの例を示す図である。
　アクセスポリシー同士が衝突するとは、複数のアクセスポリシーのルールが矛盾することを意味する。
　図９の例では、アクセスポリシー同士が衝突する例として、ユーザ１２がプロジェクト１とプロジェクト２との両方に所属する場合が挙げられている。

　適用ルール４０の例は以下の通りである。
（Ａ）あるノードの全リーフの権限を持つ場合、上位のノードのルールを適用→「案件１」の権限でアクセス
（Ｂ）明示的拒否＞明示的許可＞暗黙的拒否の順で優先、同一順の場合はそれぞれのルールのＯＲとする→優先順位は同じなので、両方のルールのＯＲでアクセス
（Ｃ）ユーザに対し、どちらの所属でアクセスするか問い合わせる
（Ｄ）アクセスを拒否

　なお、衝突と未定義の両方が発生するパターンもある。
　例えば、未定義ポリシー３２３のポリシーを（Ｃ）「暗黙的拒否」とする。ユーザ１２がプロジェクト１とプロジェクト３に所属の場合、未定義ノードのルールとプロジェクト２のルールが衝突する。（Ｃ）は暗黙的拒否なので、衝突時の適用ルール（Ｂ）を使う場合はプロジェクト２のルールが優先される。

　ステップＳ２０１において、適用ルール生成部１２０は、適用ルール４０を適用ルール保管部１７２に保管する。

＜実施フェーズ＞
＜＜ポリシー候補抽出処理＞＞
　図１０は、本実施の形態に係る実施フェーズを示すフロー図である。
　ステップＳ３０１において、アクセス要求受信部１３０は、ファイル２１に対するアクセス要求５１を受信する。アクセス要求５１には、複数の属性３１が含まれる。
　アクセス要求受信部１３０は、ユーザ１２からアクセス要求５１を受信する。アクセス要求５１には、アクセス可否を判断するアクセス条件に関連する属性情報を含むものとする。例えば以下のような情報から構成する。
・ユーザに関する情報：ユーザＩＤ、ユーザ名、所属、役職
・アクセス対象ファイルに関する情報：ファイルＩＤ、ファイル名、ファイルプロパティ、ＵＲＬ、作成者
・アクセス元アプリ情報：業務Ｗｅｂアプリ、業務用デスクトップアプリ、業務用スマホアプリ、ＦＴＰアプリ
・アクセス経路情報：社内、社外、自席、共有エリア、ＶＰＮ（Ｖｉｒｔｕａｌ　Ｐｒｉｖａｔｅ　Ｎｅｔｗｏｒｋ）、自宅、公衆無線ＬＡＮ・認証状態：ＰＣ（Ｐｅｒｓｏｎａｌ　Ｃｏｍｐｕｔｅｒ）ログイン済、メールサーバ認証済、ＶＰＮ認証済、ディレクトリ認証済

　ステップＳ３０２において、ポリシー候補抽出部１４０は、アクセス要求５１を取得し、アクセス要求５１に含まれる属性３１を含むオントロジーをアクセスポリシー候補３０１として複数のオントロジーから抽出する。
　具体的には、ポリシー候補抽出部１４０は、オントロジー保管部１７１から、アクセス要求５１に含まれる属性３１を含むオントロジーをアクセスポリシー候補３０１として抽出する。

　図１１は、本実施の形態に係る実施フェーズの具体例を示す模式図である。
　図１１では、アクセス要求５１には、アクセス対象文書であるファイル２１とユーザ１２の業務とアクセス経路が属性３１として含まれるものとする。ここでは、ユーザ１２の業務が「プロジェクト２」であり、アクセス経路が「ＶＰＮ接続」であるものとする。
　ポリシー候補抽出部１４０は、オントロジー保管部１７１から、アクセス要求５１に含まれる属性３１である「業務」および「アクセス経路」の各々を属性３１とするオントロジー３０をアクセスポリシー候補３０１として抽出する。
　ここでは、図４の２つのオントロジー３０がアクセスポリシー候補３０１として抽出される。

＜＜アクセスルール決定処理＞＞
　ステップＳ３０３において、アクセスルール決定部１５０によるアクセスルール決定処理が実施される。

　図１２は、本実施の形態に係るアクセスルール決定処理の詳細フロー図である。
　ステップＳ３３１において、アクセスルール決定部１５０は、アクセスポリシー候補３０１からアクセス要求５１に含まれる属性３１に合致する複数のアクセスポリシー３２を特定する。

　図４および図１１の例では、アクセスルール決定部１５０は、「業務」のオントロジー３０から、アクセス要求５１に含まれる「業務が「プロジェクト２」」に合致するアクセスポリシー３２を特定する。また、アクセスルール決定部１５０は、「アクセス経路」のオントロジー３０から、アクセス要求５１に含まれる「アクセス経路が「ＶＰＮ接続」」に合致するアクセスポリシー３２を特定する。

　図４および図１１の例では、「作成者＝Ａ部１課：明示的許可，機密等級＝極秘以外：明示的拒否」のアクセスポリシー３２ａと、「メールサーバ、Ｗｅｂサーバのみ許可：明示的許可」のアクセスポリシー３２ｂが特定される。

　なお、アクセスルール決定部１５０は、アクセス要求５１に含まれる属性３１に合致するアクセスポリシーが、アクセスポリシー候補３０１に定義されていない場合は、未定義ポリシー３２３を複数のアクセスポリシーの１つとして特定する。
　例えば、図７に示すように、アクセス要求５１に含まれる「業務が「プロジェクト３」」に合致するアクセスポリシー３２が定義されていない場合、アクセスルール決定部１５０は、未定義ポリシー３２３を特定する。

　また、アクセス要求５１に含まれる属性３１が複数のアクセスポリシー３２に該当する場合もある。その場合は該当するアクセスポリシー３２をすべて特定する。具体的には、図９の例に示すように、ユーザ１２がプロジェクト１とプロジェクト２の両方に所属する場合である。

　ステップＳ３３２からステップＳ３３４において、アクセスルール決定部１５０は、複数のアクセスポリシー３２に適用ルール４０を適用し、ファイル２１に対するアクセスルール４１を決定する。
　具体的には、以下の通りである。

　ステップＳ３３２において、アクセスルール決定部１５０は、複数のアクセスポリシー３２が衝突するか否かを判定する。複数のアクセスポリシー３２が衝突する場合とは、図９の例で説明したとおりである。
　複数のアクセスポリシー３２が衝突する場合は、ステップＳ３３３に進む。複数のアクセスポリシー３２が衝突しない場合は、ステップＳ３３４に進む。

　ステップＳ３３３において、アクセスルール決定部１５０は、複数のアクセスポリシー３２が衝突するので、適用ルール４０のうち、アクセスポリシー同士が衝突する際のルールを複数のアクセスポリシー３２に適用して、アクセスルール４１を決定する。

　ステップＳ３３４において、アクセスルール決定部１５０は、複数のアクセスポリシー３２が衝突しないので、適用ルール４０のうち、アクセスポリシー同士を組み合わせる際のルールを複数のアクセスポリシー３２に適用して、アクセスルール４１を決定する。

　図１１の例では、「作成者＝Ａ部１課：明示的許可、機密等級＝極秘以外：明示的拒否」のアクセスポリシー３２ａと、「メールサーバ、Ｗｅｂサーバのみ許可：明示的許可」のアクセスポリシー３２ｂが特定されている。
　また、適用ルール４０のうち、アクセスポリシー同士を組み合わせる際のルールは、図９の（Ｂ）であるものとする。よって、アクセスルール決定部１５０は、アクセスポリシー３２ａとアクセスポリシー３２ｂに、「明示的拒否＞明示的許可＞暗黙的拒否の順で優先、同一順の場合はそれぞれのルールのＯＲとするであるものとする。」というルールを適用する。
　これにより、アクセスルール決定部１５０は、「アクセス対象文書がメールサーバかＷｅｂサーバにあり、かつ、ファイルの作成者がＡ部１課で極秘以外であればアクセス可能」というアクセスルール４１を決定する。

＜＜可否判定処理＞＞
　ステップＳ３０４において、可否判定部１６０は、アクセスルール４１に基づいて、ファイル２１に対するアクセスの可否を判定する。具体的には、可否判定部１６０は、アクセスルール４１を使い、ユーザ１２からのアクセス要求５１に対し、アクセス対象文書であるファイル２１へのアクセスの可否を判定する。可否判定部１６０は、判定結果をユーザ１２に返信する。

　図１１の例で、アクセス要求５１には、要求元のユーザ１２の業務が「プロジェクト２」であり、アクセス経路が「ＶＰＮ接続」である。よって、アクセス対象文書がメールサーバかＷｅｂサーバにあり、かつ、ファイルの作成者がＡ部１課で極秘以外であれば上記アクセスルール４１を満たすため、可否判定部１６０は、アクセス可の判定結果をユーザ１２に返信する。

　＊＊＊他の構成＊＊＊
＜変形例１＞
　本実施の形態では、オントロジー生成部１１０と適用ルール生成部１２０とアクセス要求受信部１３０とポリシー候補抽出部１４０とアクセスルール決定部１５０と可否判定部１６０の機能がソフトウェアで実現される。変形例として、オントロジー生成部１１０と適用ルール生成部１２０とアクセス要求受信部１３０とポリシー候補抽出部１４０とアクセスルール決定部１５０と可否判定部１６０の機能がハードウェアで実現されてもよい。
　具体的には、アクセス判定装置１００は、プロセッサ９１０に替えて電子回路９０９を備える。

　図１３は、本実施の形態の変形例１に係るアクセス判定装置１００の構成を示す図である。
　電子回路９０９は、オントロジー生成部１１０と適用ルール生成部１２０とアクセス要求受信部１３０とポリシー候補抽出部１４０とアクセスルール決定部１５０と可否判定部１６０の機能を実現する専用の電子回路である。電子回路９０９は、具体的には、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックＩＣ、ＧＡ、ＡＳＩＣ、または、ＦＰＧＡである。ＧＡは、Ｇａｔｅ　Ａｒｒａｙの略語である。ＡＳＩＣは、Ａｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔの略語である。ＦＰＧＡは、Ｆｉｅｌｄ－Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙの略語である。

　オントロジー生成部１１０と適用ルール生成部１２０とアクセス要求受信部１３０とポリシー候補抽出部１４０とアクセスルール決定部１５０と可否判定部１６０の機能は、１つの電子回路で実現されてもよいし、複数の電子回路に分散して実現されてもよい。

　別の変形例として、オントロジー生成部１１０と適用ルール生成部１２０とアクセス要求受信部１３０とポリシー候補抽出部１４０とアクセスルール決定部１５０と可否判定部１６０の一部の機能が電子回路で実現され、残りの機能がソフトウェアで実現されてもよい。また、オントロジー生成部１１０と適用ルール生成部１２０とアクセス要求受信部１３０とポリシー候補抽出部１４０とアクセスルール決定部１５０と可否判定部１６０の一部またはすべての機能がファームウェアで実現されてもよい。

　プロセッサと電子回路の各々は、プロセッシングサーキットリとも呼ばれる。つまり、オントロジー生成部１１０と適用ルール生成部１２０とアクセス要求受信部１３０とポリシー候補抽出部１４０とアクセスルール決定部１５０と可否判定部１６０の機能は、プロセッシングサーキットリにより実現される。

＜変形例２＞
　本実施の形態では、オントロジー３０はツリー構造であった。しかし、オントロジー３０をグラフ構造で構成してもよい。

　図１４は、本実施の形態の変形例２に係るオントロジー３０の例を示す図である。
　本実施の形態では、ツリー構造のオントロジー３０の例について説明した。
　しかし、変形例２のようなグラフ構造のオントロジー３０でも、属性の始点を特定することにより、ツリー状に展開して同様に処理可能である

　図１４の具体例を用いて説明する。
　前提として、目的ごとにファイルへのアクセス手段であるアプリケーションが決まっており、ユーザの属性確認を実施するものとする。
　Ａ部、かつ、プロジェクトＢの担当社員がファイルサーバにアクセスするものとする。
　事務目的の場合、「申請書」、および「作業用フォルダ」にアクセス可能である。
　会議目的の場合、「週報」、「報告書」、および「議事録」にアクセス可能である。
　開発目的の場合、「計画書」、「仕様書」、および「ソースコード」にはアクセスできない。しかし、事務あるいは会議目的であれば、「週報」、「報告書」、および「作業用」フォルダにはアクセス可能である。
　このようなグラフ構造のオントロジー３０は、基本動作のとおり複数用意され、アクセスポリシーを決定する。

＜変形例３＞
　図１５は、本実施の形態の変形例３に係るアクセスルール決定処理を示す模式図である。
　また、図１に示すように、本実施の形態の変形例３に係るファイルアクセスシステム５００は、アクセス判定装置１００とファイルサーバ２００に加え、認証サーバ３００を備える。メールサーバはファイルサーバ２００の例である。

　本実施の形態の変形例３では、オントロジー生成部１１０は、アクセスポリシー３２にアクセス条件として追加認証といった追加条件を設定可能である。
　図１５に示すように、オントロジー３０のアクセスポリシー３２に追加認証の条件を付与することができる。図１５では、アクセスポリシー３２ｘ１に「ｉｆ　追加認証：ＩＤ／Ｐａｓｓ　ｔｈｅｎ　メールサーバ許可」との追加認証の条件が付与されている。また、アクセスポリシー３２ｘ２に「ｉｆ　追加認証：指紋ｔｈｅｎ　個人フォルダ許可」との追加認証の条件が付与されている。

　図１５では、アクセスポリシー３２ｘ１に追加条件が追加され、アクセスポリシー３２ｘ１が特定されたものとする。
（１）社外からメールサーバにアクセス要求
（２）社外からなので拒否、追加認証を要求
（３）追加認証の情報（ＩＤ／Ｐａｓｓ）を送信
（４）メールサーバへのアクセスを許可
　ここで、（２）および（３）のフローは、ユーザが明示的に実施せずコンテキストで認証しても良い。

＊＊＊本実施の形態の効果の説明＊＊＊
　本実施の形態に係るアクセス判定装置１００によれば、アクセス可否を判断するためのオントロジーをアクセスの属性ごとに定義できるので、アクセスパターンを漏れなく定義することができる。また、管理者は、アクセス条件に変更があった場合には、オントロジー生成部により、いつでもオントロジーを変更することができる。
　よって、動的アクセスポリシーが矛盾するようなエラー状態であっても可用性を損ねないという効果を奏する。

　本実施の形態に係るアクセス判定装置１００によれば、ファイルアクセスが発生した時にアクセス可否の評価を行うため、アクセス時点におけるファイルの属性およびアクセス条件の属性に応じたアクセスポリシーが適用される。よって、アクセス対象のファイルの内容が書き替わったり、アクセスの属性が変更されたりした場合でもアクセスポリシーを追従可能である。

　本実施の形態に係るアクセス判定装置１００によれば、情報を組織化する構造的フレームワークである「オントロジー」を利用し、動的アクセスポリシーをオントロジーで形式的に表現する。
（１）アクセス条件を整理して説明可能なオントロジーを構成することができる。具体的には、アクセス対象者、ファイルの属性、ファイルの内容、時間、およびアクセス経路といった属性でアクセスポリシーテンプレートを整理することができる。
（２）オントロジーを作成してしまえば、推論コストは低く抑えることができる。
　アクセスポリシーテンプレート（オントロジー）は社規などのルールから生成する。ルールは頻繁には変化しないので、オントロジーを一度作成すれば見直しはあまり必要ない。
（３）オントロジーはエラー状態のときの適用ルールがクリアである。
　エラー状態を漏れなく定義可能な点がオントロジーの特徴である。エラー状態時の適用ルール（特権、デフォルト）を設定可能である。
（４）オントロジーではアクセスのための条件を整理して定義可能である。
　ファイル内容だけではなく、著者の属性や上長による承認を受けたか、などの条件を記述可能である。
　なお、オントロジーを木構造にする場合、終点は問わないが、終了条件（ノード）に到達するためのパスの検索ルールの定義が必要となる。例えば、「業務」ツリーであれば、ユーザの所属が「案件１」となっていれば「案件１」ノードが終点となり、所属が「案件１／プロジェクト１」となっていれば「プロジェクト１」ノードまでたどるといった定義である。所属が「案件１」に合致するユーザは、例えば、プロジェクト１とプロジェクト２を統括するマネージャである。このように、上位ノードほど権限の強い人が割り当てられることになる。

　実施の形態２．
　本実施の形態では、主に、実施の形態１と異なる点および実施の形態１に追加する点について説明する。
　本実施の形態において、実施の形態１と同様の機能を有する構成については同一の符号を付し、その説明を省略する。

　図１６は、本実施の形態に係るオントロジー３０の例を示す模式図である。
　本実施の形態では、オントロジー生成部１１０は、アクセスポリシー３２に表されるアクセス条件として、アクセスの信頼度を表す信頼性スコアを設定可能である。
　データの種類によっては、ツリーのノードであるアクセスポリシー３２に信頼性スコアを設定し、信頼性スコアによってアクセスを許可する方式とする。

　図１６では、アクセスポリシー３２に信頼性スコアが設定されている。
　また、アクセスポリシー３２ｘ３が特定されているものとする。
（１）ＶＰＮでメールサーバにアクセス要求
（２）ＶＰＮからなので信頼性スコアは５０である。メールサーバのアクセスに必要な信頼性スコアは５０なので、メールサーバへのアクセスを許可

　なお、実施の形態１の変形例３と組み合わせ、追加の認証要求で信頼性スコアを引き上げても良い。

　図１７は、本実施の形態に係るオントロジー３０の別例を示す図である。
　また、オントロジー生成部１１０は、複数のオントロジーの各オントロジーに重み付け値を設定可能であり、信頼性スコアに重み付け値を掛け合わせたスコアを最終的な信頼性スコアとして算出してもよい。
　重み付け値とは、評価の重みを表す。

　例えば、適用ルール４０が、「スコア＊重みの合計値がサーバアクセスに必要な信頼値を満たしているか」であるものとする。
　図１７の例では、関係会社社員が社内からアクセスするものとする。このとき、信頼性スコアは、５０＊０．７＋５０＊０．３＝５０となる。よって、信頼性スコア「５０」がサーバアクセスに必要な信頼値を満たしていれば、アクセス可となる。

　実施の形態３．
　本実施の形態では、主に、実施の形態１，２と異なる点および実施の形態１に追加する点について説明する。
　本実施の形態において、実施の形態１，２と同様の機能を有する構成については同一の符号を付し、その説明を省略する。

　図１８は、本実施の形態に係るアクセス判定装置１００の構成例を示す図である。
　図１９は、本実施の形態に係るオントロジー生成処理およびアクセスルール決定処理の例を示す模式図である。
　本実施の形態に係るアクセス判定装置１００は、実施の形態１で説明した構成に加え、記憶部１７０にアクセスログ保管部１７３を備える。
　本実施の形態では、オントロジー生成部１１０は、オントロジーの階層構造のベースを表した基底階層であるベースオントロジー７３２と、ファイルに対するアクセスのログであるアクセスログ７３１とを用いて、動的にオントロジーを生成する。ベースオントロジー７３２は、管理者により作成される。

　アクセスログ保管部１７３には、ユーザのアクセス要求とその判定結果がアクセスログ７３１として保管されている。
　オントロジー生成部１１０は、アクセスログ７３１とベースオントロジー７３２とを用いて、動的にオントロジー３０を生成する。具体的には、オントロジー生成部１１０は、曜日によるファイルあるいはフォルダへのアクセスパターンをアクセスログ７３１から分析し、オントロジー３０を自動構築する。ここで、動的にオントロジー３０を生成する方法については、例えば、「古崎晃司，日原圭祐，および溝口理一郎，「視点に基づくｉｓ－ａ階層の動的生成」，人工知能学会論文誌，２７巻３号Ｊ，ｐｐ．２３５－２４４（２０１２）．」に記載された方法を適用してもよい。

　以上の実施の形態１から３では、ファイルアクセスを例示したが、特定の「機能」へのアクセスに拡張しても良い。アクセス対象を「メール機能」、「スケジュール」、「社内Ｗｅｂ」、あるいは「開発環境」といったものとしてもよい。

　以上の実施の形態１から３では、アクセス判定装置の各部を独立した機能ブロックとして説明した。しかし、アクセス判定装置の構成は、上述した実施の形態のような構成でなくてもよい。アクセス判定装置の機能ブロックは、上述した実施の形態で説明した機能を実現することができれば、どのような構成でもよい。また、アクセス判定装置は、１つの装置でなく、複数の装置から構成されたシステムでもよい。
　また、実施の形態１から３のうち、複数の部分を組み合わせて実施しても構わない。あるいは、これらの実施の形態のうち、１つの部分を実施しても構わない。その他、これら実施の形態を、全体としてあるいは部分的に、どのように組み合わせて実施しても構わない。
　すなわち、実施の形態１から３では、各実施の形態の自由な組み合わせ、あるいは各実施の形態の任意の構成要素の変形、もしくは各実施の形態において任意の構成要素の省略が可能である。

　なお、上述した実施の形態は、本質的に好ましい例示であって、本開示の範囲、本開示の適用物の範囲、および本開示の用途の範囲を制限することを意図するものではない。上述した実施の形態は、必要に応じて種々の変更が可能である。

　１１　管理者、１２　ユーザ、３０　オントロジー、３０１　アクセスポリシー候補、３１　属性、３２，３２ａ，３２ｂ３２ｘ１，３２ｘ２，３２ｘ３，３２ｘ４　アクセスポリシー、３２３　未定義ポリシー、４０　適用ルール、４１　アクセスルール、５１　アクセス要求、５２　判定結果、１００　アクセス判定装置、１１０　オントロジー生成部、１２０　適用ルール生成部、１３０　アクセス要求受信部、１４０　ポリシー候補抽出部、１５０　アクセスルール決定部、１６０　可否判定部、１７０　記憶部、１７１　オントロジー保管部、１７２　適用ルール保管部、１７３　アクセスログ保管部、７３１　アクセスログ、７３２　ベースオントロジー、９０９　電子回路、９１０　プロセッサ、９２１　メモリ、９２２　補助記憶装置、９３０　入力インタフェース、９４０　出力インタフェース、９５０　通信装置。

Claims

　ファイルに対するアクセスの可否を判定するアクセス判定装置において、
　アクセスの属性ごとにアクセス条件を表すアクセスポリシーを階層構造により表した情報を複数のオントロジーとして生成するオントロジー生成部と、
　アクセスポリシー同士を組み合わせる際のルールと、アクセスポリシー同士が衝突する際のルールとを含む適用ルールを生成する適用ルール生成部と、
　前記ファイルに対するアクセス要求であって複数の属性を含むアクセス要求を取得し、前記アクセス要求に含まれる属性を含むオントロジーをアクセスポリシー候補として前記複数のオントロジーから抽出するポリシー候補抽出部と、
　前記アクセスポリシー候補から前記アクセス要求に含まれる属性に合致する複数のアクセスポリシーを特定し、前記複数のアクセスポリシーに前記適用ルールを適用し、前記ファイルに対するアクセスルールを決定するアクセスルール決定部と、
　前記アクセスルールに基づいて、前記ファイルに対するアクセスの可否を判定する可否判定部と
を備えたアクセス判定装置。
　前記複数のオントロジーの各オントロジーは、アクセスポリシーが未定義である場合のポリシーが記述された未定義ポリシーを含み、
　前記アクセスルール決定部は、
　前記アクセス要求に含まれる属性に合致するアクセスポリシーが、前記アクセスポリシー候補に定義されていない場合は、前記未定義ポリシーを前記複数のアクセスポリシーの１つとして特定する請求項１に記載のアクセス判定装置。
　前記アクセスルール決定部は、
　前記複数のアクセスポリシーが衝突するか否かを判定し、前記複数のアクセスポリシーが衝突しない場合には、前記アクセスポリシー同士を組み合わせる際のルールを前記複数のアクセスポリシーに適用して、前記アクセスルールを決定する請求項１または請求項２に記載のアクセス判定装置。
　前記アクセスルール決定部は、
　前記複数のアクセスポリシーが衝突する場合には、前記アクセスポリシー同士が衝突する際のルールを前記複数のアクセスポリシーに適用して、前記アクセスルールを決定する請求項３に記載のアクセス判定装置。
　前記オントロジーの階層構造は、ツリー構造あるいはグラフ構造である請求項１から請求項４のいずれか１項に記載のアクセス判定装置。
　前記オントロジー生成部は、
　前記アクセスポリシーに表される前記アクセス条件として追加条件を設定可能である請求項１から請求項５のいずれか１項に記載のアクセス判定装置。
　前記オントロジー生成部は、
　前記アクセスポリシーに表される前記アクセス条件として、アクセスの信頼度を表す信頼性スコアを設定可能である請求項１から請求項５のいずれか１項に記載のアクセス判定装置。
　前記オントロジー生成部は、
　前記複数のオントロジーの各オントロジーに重み付け値を設定可能であり、前記信頼性スコアに前記重み付け値を掛け合わせたスコアを最終的な信頼性スコアとして算出する請求項７に記載のアクセス判定装置。
　前記オントロジー生成部は、
　オントロジーの階層構造のベースを表した基底階層と、前記ファイルに対するアクセスのログとを用いて、動的にオントロジーを生成する請求項１から請求項５のいずれか１項に記載のアクセス判定装置。
　ファイルに対するアクセスの可否を判定するアクセス判定装置に用いられるアクセス判定方法において、
　オントロジー生成部が、アクセスの属性ごとにアクセス条件を表すアクセスポリシーを階層構造により表した情報を複数のオントロジーとして生成し、
　適用ルール生成部が、アクセスポリシー同士を組み合わせる際のルールと、アクセスポリシー同士が衝突する際のルールとを含む適用ルールを生成し、
　ポリシー候補抽出部が、前記ファイルに対するアクセス要求であって複数の属性を含むアクセス要求を取得し、前記アクセス要求に含まれる属性を含むオントロジーをアクセスポリシー候補として前記複数のオントロジーから抽出し、
　アクセスルール決定部が、前記アクセスポリシー候補から前記アクセス要求に含まれる属性に合致する複数のアクセスポリシーを特定し、前記複数のアクセスポリシーに前記適用ルールを適用し、前記ファイルに対するアクセスルールを決定し、
　可否判定部が、前記アクセスルールに基づいて、前記ファイルに対するアクセスの可否を判定するアクセス判定方法。
　ファイルに対するアクセスの可否を判定するアクセス判定プログラムにおいて、
　アクセスの属性ごとにアクセス条件を表すアクセスポリシーを階層構造により表した情報を複数のオントロジーとして生成するオントロジー生成処理と、
　アクセスポリシー同士を組み合わせる際のルールと、アクセスポリシー同士が衝突する際のルールとを含む適用ルールを生成する適用ルール生成処理と、
　前記ファイルに対するアクセス要求であって複数の属性を含むアクセス要求を取得し、前記アクセス要求に含まれる属性を含むオントロジーをアクセスポリシー候補として前記複数のオントロジーから抽出するポリシー候補抽出処理と、
　前記アクセスポリシー候補から前記アクセス要求に含まれる属性に合致する複数のアクセスポリシーを特定し、前記複数のアクセスポリシーに前記適用ルールを適用し、前記ファイルに対するアクセスルールを決定するアクセスルール決定処理と、
　前記アクセスルールに基づいて、前記ファイルに対するアクセスの可否を判定する可否判定処理と
をコンピュータに実行させるアクセス判定プログラム。