WO2022149226A1 - アクセス判定装置、アクセス判定方法、および、アクセス判定プログラム - Google Patents

アクセス判定装置、アクセス判定方法、および、アクセス判定プログラム Download PDF

Info

Publication number
WO2022149226A1
WO2022149226A1 PCT/JP2021/000278 JP2021000278W WO2022149226A1 WO 2022149226 A1 WO2022149226 A1 WO 2022149226A1 JP 2021000278 W JP2021000278 W JP 2021000278W WO 2022149226 A1 WO2022149226 A1 WO 2022149226A1
Authority
WO
WIPO (PCT)
Prior art keywords
access
rule
ontology
policy
policies
Prior art date
Application number
PCT/JP2021/000278
Other languages
English (en)
French (fr)
Inventor
拓海 森
真浩 藤田
陽一 柴田
規 松田
Original Assignee
三菱電機株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 三菱電機株式会社 filed Critical 三菱電機株式会社
Priority to PCT/JP2021/000278 priority Critical patent/WO2022149226A1/ja
Priority to DE112021005812.6T priority patent/DE112021005812T5/de
Priority to CN202180088144.5A priority patent/CN116685972A/zh
Priority to JP2022573252A priority patent/JP7229446B1/ja
Publication of WO2022149226A1 publication Critical patent/WO2022149226A1/ja
Priority to US18/196,715 priority patent/US20230283615A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security

Definitions

  • This disclosure relates to an access determination device, an access determination method, and an access determination program.
  • Patent Document 1 prepares an access policy template and discloses a technique to be applied to an access target file.
  • Patent Document 1 With the technique of Patent Document 1, it is possible to follow the access policy when the file is copied or the file itself is modified. However, it cannot follow when multiple attributes of the access condition, such as the creator, the confidentiality of the file, or the access route, are changed. Further, in the technique of Patent Document 1, availability cannot be guaranteed when the access policy falls into an error state.
  • the access policy can be followed even if a plurality of attributes in the access condition are changed.
  • availability can be ensured even when a plurality of access policies fall into an error state.
  • the access determination device is In the access judgment device that determines whether or not the file can be accessed, An ontology generator that generates information that expresses access policies that represent access conditions for each access attribute in a hierarchical structure as multiple ontology. An application rule generator that generates an application rule that includes a rule for combining access policies and a rule for conflicting access policies. A policy candidate extraction unit that acquires an access request that is an access request to the file and includes a plurality of attributes, and extracts an ontology including the attributes included in the access request as an access policy candidate from the plurality of ontology.
  • An access rule determination unit that identifies a plurality of access policies that match the attributes included in the access request from the access policy candidates, applies the application rule to the plurality of access policies, and determines an access rule for the file. Based on the access rule, the file is provided with a propriety determination unit for determining whether or not the file can be accessed.
  • the access determination device applies application rules to a plurality of access policies to determine access rules. Therefore, according to the access determination device according to the present disclosure, the access policy can be followed even when a plurality of attributes in the access conditions are changed. In addition, availability can be ensured even when a plurality of access policies fall into an error state.
  • FIG. 1 An example of the overall configuration of the file access system according to the first embodiment.
  • FIG. The flow diagram which shows the application rule generation processing which concerns on Embodiment 1.
  • FIG. A configuration example of the access determination device according to the first modification of the first embodiment.
  • FIG. The schematic diagram which shows the example of the ontology which concerns on Embodiment 2.
  • the schematic diagram which shows the example of the ontology generation processing and access rule determination processing which concerns on Embodiment 3.
  • FIG. 1 is a diagram showing an overall configuration example of the file access system 500 according to the present embodiment.
  • the file access system 500 includes an access determination device 100 and a file server 200.
  • the access determination device 100 receives the access request 51 from the user 12, evaluates the reliability of the user 12 in real time, and determines whether or not the access by the user 12 is possible.
  • the file server 200 stores files 21 which are various access target documents.
  • the file 21 includes a confidential document, a confidential document, or a public document.
  • User 12 accesses file 21 from various environments.
  • the user 12 accesses the file 21 from various environments, such as accessing from the company in the daytime, accessing from home at night, or accessing from overseas in the daytime.
  • the file access system 500 may include an authentication server 300 in addition to the access determination device 100 and the file server 200.
  • the access determination device 100 may be configured to evaluate the reliability of the user 12 in real time in cooperation with the authentication server 300 and determine whether or not the user 12 can access the device.
  • the administrator 11 of the file access system 500 performs processing such as setting, changing, or updating information necessary for the access determination processing by the access determination device 100.
  • the access determination device 100 is a computer.
  • the access determination device 100 includes a processor 910 and other hardware such as a memory 921, an auxiliary storage device 922, an input interface 930, an output interface 940, and a communication device 950.
  • the processor 910 is connected to other hardware via a signal line and controls these other hardware.
  • the access determination device 100 includes an ontology generation unit 110, an application rule generation unit 120, an access request reception unit 130, a policy candidate extraction unit 140, an access rule determination unit 150, a pass / fail determination unit 160, and a storage unit 170 as functional elements. ..
  • the storage unit 170 includes an ontology storage unit 171 and an application rule storage unit 172.
  • the functions of the ontology generation unit 110, the application rule generation unit 120, the access request reception unit 130, the policy candidate extraction unit 140, the access rule determination unit 150, and the pass / fail determination unit 160 are realized by software.
  • the storage unit 170 is provided in the memory 921.
  • the storage unit 170 may be provided in the auxiliary storage device 922, or may be distributed in the memory 921 and the auxiliary storage device 922.
  • the processor 910 is a device that executes an access determination program.
  • the access determination program is a program that realizes the functions of the ontology generation unit 110, the application rule generation unit 120, the access request reception unit 130, the policy candidate extraction unit 140, the access rule determination unit 150, and the pass / fail determination unit 160.
  • the processor 910 is an IC (Integrated Circuit) that performs arithmetic processing. Specific examples of the processor 910 are a CPU (Central Processing Unit), a DSP (Digital Signal Processor), and a GPU (Graphics Processing Unit).
  • the memory 921 is a storage device that temporarily stores data.
  • a specific example of the memory 921 is a SRAM (Static Random Access Memory) or a DRAM (Dynamic Random Access Memory).
  • the auxiliary storage device 922 is a storage device for storing data.
  • a specific example of the auxiliary storage device 922 is an HDD.
  • the auxiliary storage device 922 may be a portable storage medium such as an SD (registered trademark) memory card, CF, NAND flash, flexible disk, optical disk, compact disc, Blu-ray (registered trademark) disk, or DVD.
  • HDD is an abbreviation for Hard Disk Drive.
  • SD (registered trademark) is an abbreviation for Secure Digital.
  • CF is an abbreviation for CompactFlash®.
  • DVD is an abbreviation for Digital Versaille Disk.
  • the input interface 930 is a port connected to an input device such as a mouse, keyboard, or touch panel. Specifically, the input interface 930 is a USB (Universal Serial Bus) terminal. The input interface 930 may be a port connected to a LAN (Local Area Network).
  • LAN Local Area Network
  • the output interface 940 is a port to which a cable of an output device such as a display is connected.
  • the output interface 940 is a USB terminal or an HDMI (registered trademark) (High Definition Multimedia Interface) terminal.
  • the display is an LCD (Liquid Crystal Display).
  • the output interface 940 is also referred to as a display interface.
  • the communication device 950 has a receiver and a transmitter.
  • the communication device 950 is connected to a communication network such as a LAN, the Internet, or a telephone line.
  • the communication device 950 is a communication chip or a NIC (Network Interface Card).
  • the access determination program is executed by the access determination device 100.
  • the access determination program is read into the processor 910 and executed by the processor 910.
  • the OS Operating System
  • the processor 910 executes the access determination program while executing the OS.
  • the access determination program and the OS may be stored in the auxiliary storage device 922.
  • the access determination program and the OS stored in the auxiliary storage device 922 are loaded into the memory 921 and executed by the processor 910. A part or all of the access determination program may be incorporated in the OS.
  • the access determination device 100 may include a plurality of processors that replace the processor 910. These plurality of processors share the execution of the access determination program. Each processor is a device that executes an access determination program, like the processor 910.
  • Data, information, signal values and variable values used, processed or output by the access determination program are stored in the memory 921, the auxiliary storage device 922, or the register or cache memory in the processor 910.
  • the "parts" of the ontology generation unit 110, the application rule generation unit 120, the access request reception unit 130, the policy candidate extraction unit 140, the access rule determination unit 150, and the pass / fail determination unit 160 are "circuits", “processes”, and “procedures”. , "Processing”, or "Circuitry”.
  • the access determination program causes a computer to execute an ontology generation process, an application rule generation process, an access request reception process, a policy candidate extraction process, an access rule determination process, and a pass / fail determination process.
  • the access determination method is a method performed by the access determination device 100 executing an access determination program.
  • the access determination program may be provided stored in a computer-readable recording medium. Further, the access determination program may be provided as a program product.
  • the access determination process which is the operation of the access determination device 100 according to the present embodiment, will be described.
  • the operation procedure of the access determination device 100 corresponds to the access determination method.
  • the program that realizes the operation of the access determination device 100 corresponds to the access determination program.
  • the access determination process is divided into a preparation phase and an implementation phase.
  • the preparation phase includes an ontology generation process for generating an ontology 30 and an application rule generation process for generating an application rule 40.
  • the implementation phase there are a policy candidate extraction process for extracting a plurality of access policy candidates 301, an access rule determination process for determining the access rule 41 for the file 21, and a propriety determination process for determining whether or not the file 21 can be accessed. And are included.
  • FIG. 3 is a flow chart showing an ontology generation process according to the present embodiment.
  • the ontology generation unit 110 generates information representing the access policy 32 representing the access condition for each access attribute 31 as the ontology 30 in a hierarchical structure.
  • the ontology generation unit 110 generates a plurality of ontology 30 for each access attribute 31.
  • the ontology generation unit 110 is an interface or tool used by the administrator 11 to generate the ontology 30.
  • the administrator 11 generates the ontology 30 by using the ontology generation unit 110. Specifically, it is as follows.
  • the ontology generation unit 110 acquires the access policy 32, which is an access condition used for determining accessability.
  • the access policy 32 is input for each access attribute 31.
  • the access attribute 31 is an attribute of the access condition.
  • the attribute 31 is a type to which the access policy 32 used for determining accessability, such as business, access route, location, affiliation, authentication status, job title, or file information, belongs.
  • the access policy 32 is an access condition.
  • the access condition such as "If the user 12 is in charge of the project 2, the creator of the access target file is the A part and the confidentiality grade is not confidential". Is described.
  • the access condition may include an interaction operation with the user such as additional authentication. Details in the case of additional authentication will be described in the third embodiment.
  • the ontology generation unit 110 converts the access policy 32 into a formal representation. Specifically, the ontology generation unit 110 generates an ontology 30 in which the access policy 32 is represented by a hierarchical structure for each attribute 31.
  • the ontology 30 is, for example, a tree structure.
  • the ontology 30 includes an undefined policy 323 in which a policy when the access policy is undefined is described. A policy when an access policy is undefined is also called an undefined rule.
  • the ontology 30 may be generated by the administrator 11 using the ontology generation unit 110, or may be automatically generated from the access policy 32 input by the ontology generation unit 110.
  • the ontology generation unit 110 stores the ontology 30 in the ontology storage unit 171. Since the ontology 30 is generated for each attribute 31, a plurality of ontology 30s are stored in the ontology storage unit 171. A plurality of ontology 30s are generally stored in a list structure, but the storage format does not matter. Further, the ontology 30 is stored with the attribute 31 as a heading.
  • FIGS. 4 to 6 are diagrams showing an example of the ontology 30 according to the present embodiment.
  • an ontology 30 whose attribute 31 is “business” and an ontology 30 whose attribute 31 is “access route” are shown.
  • an ontology 30 in which the attribute 31 is "affiliation”, “authentication status”, “post”, “access source application”, and "file information” can also be created.
  • each of the access policies 32 is also referred to as a node or a leaf.
  • FIG. 7 is a diagram showing an example of the undefined policy 323 in the ontology 30 according to the present embodiment.
  • the access policy 32 in the case of project 3 is not defined in the business ontology 30 of FIG. 7.
  • the undefined policy 323 describes a policy when the access policy is undefined. It is assumed that the undefined policy 323 is defined in the ontology 30. Examples of policies defined in undefined policy 323 are as follows. (A) Adopt rules of other attributes (ontology) (B) Allow only public folders (C) Deny access (corresponds to implicit denial)
  • FIG. 8 is a flow chart showing an application rule generation process according to the present embodiment.
  • the application rule generation unit 120 generates an application rule 40 including a rule for combining access policies and a rule for conflicting access policies.
  • the application rule generation unit 120 is an interface or tool used by the administrator 11 to generate the application rule 40.
  • the administrator 11 inputs the application rule 40 using the application rule generation unit 120.
  • the generation of the application rule 40 is performed at least before the implementation phase, and one or more application rules are registered.
  • the application rule may be registered at any time even after the implementation phase.
  • the rules for combining access policies are set as the rules for combining multiple access policy candidates. Specifically, the order of priority is explicit refusal> explicit permission> implicit refusal. Alternatively, there are rules such as ORing access policies and ANDing access policies.
  • FIG. 9 is a diagram showing an example of a rule when access policies collide with each other in the application rule according to the present embodiment.
  • Conflicting access policies means that the rules of multiple access policies are inconsistent.
  • the case where the user 12 belongs to both the project 1 and the project 2 is mentioned.
  • An example of the application rule 40 is as follows. (A) If you have the authority of all the leaves of a certain node, apply the rule of the upper node ⁇ Access with the authority of "Matter 1" (B) Priority and same in the order of explicit refusal> explicit permission> implicit refusal In the case of order, it is the OR of each rule ⁇ Since the priority is the same, access by OR of both rules (C) Ask the user which affiliation to access (D) Deny access
  • the policy of undefined policy 323 is (C) "implicit refusal".
  • (C) is an implicit refusal
  • the rule of project 2 takes precedence when the application rule (B) at the time of collision is used.
  • step S201 the application rule generation unit 120 stores the application rule 40 in the application rule storage unit 172.
  • FIG. 10 is a flow chart showing an implementation phase according to the present embodiment.
  • the access request receiving unit 130 receives the access request 51 for the file 21.
  • the access request 51 includes a plurality of attributes 31.
  • the access request receiving unit 130 receives the access request 51 from the user 12. It is assumed that the access request 51 includes attribute information related to the access condition for determining accessability. For example, it is composed of the following information.
  • -User information User ID, user name, affiliation, job title-Access target file information: File ID, file name, file property, URL, creator / access source application information: Business Web application, business desktop application, business Smartphone application, FTP application ⁇ Access route information: Internal, external, own seat, shared area, VPN (Virtual Private Network), home, public wireless LAN ⁇ Authentication status: PC (Personal Computer) logged in, mail server authenticated, VPN authentication Done, directory authenticated
  • step S302 the policy candidate extraction unit 140 acquires the access request 51 and extracts the ontology including the attribute 31 included in the access request 51 from the plurality of ontology as the access policy candidate 301. Specifically, the policy candidate extraction unit 140 extracts the ontology including the attribute 31 included in the access request 51 from the ontology storage unit 171 as the access policy candidate 301.
  • FIG. 11 is a schematic diagram showing a specific example of the implementation phase according to the present embodiment.
  • the access request 51 includes the file 21 which is the access target document, the business of the user 12, and the access route as the attribute 31.
  • the business of the user 12 is "project 2" and the access route is "VPN connection”.
  • the policy candidate extraction unit 140 extracts from the ontology storage unit 171 the ontology 30 having each of the attributes 31 "business" and "access route" included in the access request 51 as the attribute 31 as the access policy candidate 301.
  • the two ontology 30s of FIG. 4 are extracted as access policy candidates 301.
  • step S303 the access rule determination process by the access rule determination unit 150 is executed.
  • FIG. 12 is a detailed flow chart of the access rule determination process according to the present embodiment.
  • the access rule determination unit 150 identifies a plurality of access policies 32 that match the attribute 31 included in the access request 51 from the access policy candidate 301.
  • the access rule determination unit 150 identifies the access policy 32 that matches the “business is“ project 2 ”” included in the access request 51 from the ontology 30 of the “business”. Further, the access rule determination unit 150 identifies an access policy 32 that matches the “access route is“ VPN connection ”” included in the access request 51 from the ontology 30 of the “access route”.
  • the access rule determination unit 150 specifies the undefined policy 323 as one of a plurality of access policies. do. For example, as shown in FIG. 7, when the access policy 32 that matches the “business is“ project 3 ”” included in the access request 51 is not defined, the access rule determination unit 150 specifies the undefined policy 323. ..
  • the attribute 31 included in the access request 51 may correspond to a plurality of access policies 32. In that case, specify all applicable access policies 32. Specifically, as shown in the example of FIG. 9, the user 12 belongs to both the project 1 and the project 2.
  • the access rule determination unit 150 applies the application rule 40 to the plurality of access policies 32, and determines the access rule 41 for the file 21. Specifically, it is as follows.
  • step S332 the access rule determination unit 150 determines whether or not a plurality of access policies 32 collide. The case where a plurality of access policies 32 collide is as described in the example of FIG. If a plurality of access policies 32 conflict with each other, the process proceeds to step S333. If the plurality of access policies 32 do not collide, the process proceeds to step S334.
  • step S333 since the access rule determination unit 150 collides with a plurality of access policies 32, the access rule 41 applies the rule when the access policies collide with each other among the application rules 40 to the plurality of access policies 32. To decide.
  • step S334 since the access rule determination unit 150 does not collide with the plurality of access policies 32, the access rule 41 is applied to the plurality of access policies 32 by applying the rule for combining the access policies among the application rules 40 to the plurality of access policies 32. decide.
  • the rule for combining the access policies is assumed to be FIG. 9B. Therefore, the access rule determination unit 150 gives priority to the access policy 32a and the access policy 32b in the order of "explicit denial> explicit permission> implicit denial, and if they are in the same order, it is an OR of each rule. And apply the rule.
  • the access rule determination unit 150 determines the access rule 41 that "accessible if the access target document is on the mail server or the Web server and the creator of the file is not confidential in Part A Section 1". ..
  • step S304 the propriety determination unit 160 determines whether or not the file 21 can be accessed based on the access rule 41. Specifically, the approval / disapproval determination unit 160 uses the access rule 41 to determine whether or not the access to the file 21 which is the access target document can be accessed in response to the access request 51 from the user 12. The approval / disapproval determination unit 160 returns the determination result to the user 12.
  • the business of the requesting user 12 is "project 2", and the access route is "VPN connection". Therefore, if the access target document is on the mail server or the Web server, and the creator of the file is not confidential in Part A, Section 1, the above access rule 41 is satisfied. Is replied to the user 12.
  • the functions of the ontology generation unit 110, the application rule generation unit 120, the access request reception unit 130, the policy candidate extraction unit 140, the access rule determination unit 150, and the pass / fail determination unit 160 are realized by software.
  • the functions of the ontology generation unit 110, the application rule generation unit 120, the access request reception unit 130, the policy candidate extraction unit 140, the access rule determination unit 150, and the pass / fail determination unit 160 may be realized by hardware.
  • the access determination device 100 includes an electronic circuit 909 instead of the processor 910.
  • FIG. 13 is a diagram showing the configuration of the access determination device 100 according to the first modification of the present embodiment.
  • the electronic circuit 909 is a dedicated electronic circuit that realizes the functions of the ontology generation unit 110, the application rule generation unit 120, the access request reception unit 130, the policy candidate extraction unit 140, the access rule determination unit 150, and the pass / fail determination unit 160.
  • the electronic circuit 909 is specifically a single circuit, a composite circuit, a programmed processor, a parallel programmed processor, a logic IC, a GA, an ASIC, or an FPGA.
  • GA is an abbreviation for Gate Array.
  • ASIC is an abbreviation for Application Specific Integrated Circuit.
  • FPGA is an abbreviation for Field-Programmable Gate Array.
  • the functions of the ontology generation unit 110, the application rule generation unit 120, the access request reception unit 130, the policy candidate extraction unit 140, the access rule determination unit 150, and the pass / fail determination unit 160 may be realized by one electronic circuit or a plurality of functions. It may be realized by being distributed in the electronic circuit of.
  • some functions of the ontology generation unit 110, the application rule generation unit 120, the access request reception unit 130, the policy candidate extraction unit 140, the access rule determination unit 150, and the pass / fail determination unit 160 are realized by an electronic circuit.
  • the remaining functions may be realized by software.
  • some or all the functions of the ontology generation unit 110, the application rule generation unit 120, the access request reception unit 130, the policy candidate extraction unit 140, the access rule determination unit 150, and the pass / fail determination unit 160 may be realized by the firmware. ..
  • Each of the processor and the electronic circuit is also called a processing circuit. That is, the functions of the ontology generation unit 110, the application rule generation unit 120, the access request reception unit 130, the policy candidate extraction unit 140, the access rule determination unit 150, and the pass / fail determination unit 160 are realized by the processing circuit.
  • the ontology 30 has a tree structure.
  • the ontology 30 may be configured in a graph structure.
  • FIG. 14 is a diagram showing an example of the ontology 30 according to the second modification of the present embodiment.
  • an example of the tree structure ontology 30 has been described.
  • the ontology 30 of the graph structure as in the modification 2 by specifying the start point of the attribute, it can be expanded in a tree shape and processed in the same manner.
  • the application that is the access means to the file is decided for each purpose, and the attribute of the user is confirmed. It is assumed that the employee in charge of Department A and Project B accesses the file server. For business purposes, you can access the "application form” and the "working folder”. For meeting purposes, access to the Weekly Report, Report, and Minutes. For development purposes, you do not have access to "plans,”"specifications," and "source code.” However, for office or meeting purposes, the Weekly Report, Report, and Working folders are accessible. A plurality of ontology 30s having such a graph structure are prepared according to the basic operation, and an access policy is determined.
  • FIG. 15 is a schematic diagram showing an access rule determination process according to the third modification of the present embodiment.
  • the file access system 500 according to the third modification of the present embodiment includes an authentication server 300 in addition to the access determination device 100 and the file server 200.
  • the mail server is an example of the file server 200.
  • the ontology generation unit 110 can set an additional condition such as additional authentication as an access condition in the access policy 32.
  • additional authentication conditions can be added to the access policy 32 of the ontology 30.
  • the access policy 32x1 is given the condition of additional authentication of "if additional authentication: ID / Pass the mail server permission”.
  • the access policy 32x2 is given the condition of additional authentication of "if additional authentication: fingerprint the personal folder permission”.
  • the ontology for determining accessability can be defined for each access attribute, so that the access pattern can be defined without omission.
  • the administrator can change the ontology at any time by the ontology generation unit when the access condition is changed. Therefore, there is an effect that availability is not impaired even in an error state in which the dynamic access policy is inconsistent.
  • the access determination device 100 in order to evaluate accessability when a file access occurs, an access policy according to the file attribute and the access condition attribute at the time of access is applied. Therefore, even if the content of the file to be accessed is rewritten or the access attribute is changed, the access policy can be followed.
  • the dynamic access policy is formally expressed by the ontology by using the “ontology” which is a structural framework for organizing information.
  • ontology is a structural framework for organizing information.
  • access policy templates can be organized by attributes such as access target, file attributes, file contents, time, and access route.
  • the access policy template (ontology) is generated from rules such as company regulations. The rules don't change often, so once you create an ontology, you don't need to review it much.
  • Ontology has a clear application rule when it is in an error state. A feature of ontology is that error states can be defined without omission.
  • the application rule (privilege, default) when an error occurs.
  • the conditions for access can be organized and defined. It is possible to describe not only the contents of the file but also the attributes of the author and conditions such as whether or not the approval has been obtained by the superior.
  • the end point does not matter, but it is necessary to define a path search rule for reaching the end condition (node). For example, in the "Business" tree, if the user's affiliation is "Matter 1", the "Matter 1" node is the end point, and if the affiliation is "Matter 1 / Project 1", "Project 1". The definition is to trace to a node. The user whose affiliation matches "Proposal 1" is, for example, a manager who supervises Project 1 and Project 2. In this way, the higher the node, the stronger the person assigned.
  • Embodiment 2 the points different from the first embodiment and the points to be added to the first embodiment will be mainly described.
  • the same reference numerals are given to the configurations having the same functions as those in the first embodiment, and the description thereof will be omitted.
  • FIG. 16 is a schematic diagram showing an example of the ontology 30 according to the present embodiment.
  • the ontology generation unit 110 can set a reliability score representing the reliability of access as an access condition represented by the access policy 32.
  • a reliability score is set in the access policy 32, which is a node of the tree, and access is permitted by the reliability score.
  • a reliability score is set in the access policy 32. Further, it is assumed that the access policy 32x3 is specified. (1) Access request to the mail server by VPN (2) Since it is from VPN, the reliability score is 50. The reliability score required to access the mail server is 50, so allow access to the mail server.
  • the reliability score may be raised by an additional authentication request in combination with the modification 3 of the first embodiment.
  • FIG. 17 is a diagram showing another example of the ontology 30 according to the present embodiment.
  • the ontology generation unit 110 can set a weighted value for each ontology of a plurality of ontology, and may calculate a score obtained by multiplying the reliability score by the weighted value as the final reliability score.
  • the weighted value represents the weight of evaluation.
  • the application rule 40 is "whether the total value of the score * weight satisfies the trust value required for server access".
  • Embodiment 3 the points different from the first and second embodiments and the points to be added to the first embodiment will be mainly described.
  • the same reference numerals are given to the configurations having the same functions as those in the first and second embodiments, and the description thereof will be omitted.
  • FIG. 18 is a diagram showing a configuration example of the access determination device 100 according to the present embodiment.
  • FIG. 19 is a schematic diagram showing an example of an ontology generation process and an access rule determination process according to the present embodiment.
  • the access determination device 100 according to the present embodiment includes an access log storage unit 173 in the storage unit 170 in addition to the configuration described in the first embodiment.
  • the ontology generation unit 110 dynamically generates an ontology by using a base ontology 732 which is a base hierarchy representing the base of the hierarchy structure of the ontology and an access log 731 which is a log of access to a file. Generate.
  • the base ontology 732 is created by the administrator.
  • the access log storage unit 173 stores the user's access request and the determination result as the access log 731.
  • the ontology generation unit 110 dynamically generates the ontology 30 by using the access log 731 and the base ontology 732. Specifically, the ontology generation unit 110 analyzes the access pattern to the file or folder according to the day of the week from the access log 731, and automatically constructs the ontology 30.
  • the method of dynamically generating the ontology 30 for example, “Koji Furusaki, Keisuke Hihara, and Riichiro Mizoguchi," Dynamic generation of is-a hierarchy based on viewpoint ", Journal of the Japanese Society for Artificial Intelligence, 27. Volume 3 J, pp. 235-244 (2012). ] May be applied.
  • file access is illustrated in the above embodiments 1 to 3, it may be extended to access to a specific "function".
  • the access target may be "mail function”, “schedule”, “in-house Web”, or "development environment”.
  • each part of the access determination device has been described as an independent functional block.
  • the configuration of the access determination device does not have to be the configuration as in the above-described embodiment.
  • the functional block of the access determination device may have any configuration as long as it can realize the functions described in the above-described embodiment.
  • the access determination device may be a system composed of a plurality of devices instead of one device.
  • a plurality of parts of the first to third embodiments may be combined and carried out.
  • one part of these embodiments may be implemented.
  • these embodiments may be implemented in any combination as a whole or partially. That is, in the first to third embodiments, it is possible to freely combine the embodiments, modify any component of each embodiment, or omit any component in each embodiment.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Storage Device Security (AREA)

Abstract

オントロジー生成部(110)は、アクセスの属性ごとにアクセスポリシーを階層構造により表した情報を複数のオントロジー(30)として生成する。適用ルール生成部(120)は、適用ルール(40)を生成する。ポリシー候補抽出部(140)は、アクセス要求(51)を取得し、アクセス要求(51)に含まれる属性を含むオントロジー(30)をアクセスポリシー候補として複数のオントロジーから抽出する。アクセスルール決定部(150)は、アクセスポリシー候補からアクセス要求(51)に含まれる属性に合致する複数のアクセスポリシーを特定し、複数のアクセスポリシーに適用ルール(40)を適用し、アクセスルールを決定する。可否判定部(160)は、アクセスルールに基づいて、アクセスの可否を判定する。

Description

アクセス判定装置、アクセス判定方法、および、アクセス判定プログラム
 本開示は、アクセス判定装置、アクセス判定方法、および、アクセス判定プログラムに関する。
 企業機密は、オンプレミスあるいは社内クラウドに保存されており、社内または社外、昼または夜、および国内または海外といった様々な環境からアクセスされる。そこで、信頼度といった利用者らしさに応じて、認証あるいはアクセス制御を厳格に行い、情報漏洩リスクを低減する技術が求められている。
 機械学習により、ファイルの属性あるいは内容からアクセスポリシーを判断する方法があるが、この方法では説明可能にならないという課題がある。適用するアクセスポリシーの妥当性が評価できず、インシデント発生時の説明責任を果たせない。
 また、機械学習は一般的には計算コストが高い。入力データの変化によって分類器の再構成、すなわち再学習が必要となる。高精度の推論エンジンの構成には、膨大な学習データが必要となる。
 さらに、機械学習では、エラー状態の事前定義が難しいといった課題もある。エラー状態、すなわち適用するポリシーが無いといった場合の挙動が未定義であり、安全サイドに倒してアクセス拒否すると可用性が損なわれる。
 また、従来のACL(アクセス・コントロール・リスト)では複数条件を考慮したアクセス制御が困難である。
 特許文献1には、アクセスポリシーのテンプレートを用意し、アクセス対象のファイルに対して適用する技術が開示されている。
特開2005-099982号公報
 特許文献1の技術では、ファイルのコピーあるいはファイルそのものの改変がなされた場合にはアクセスポリシーを追従可能である。しかし、作成者、ファイルの機密等級、あるいはアクセス経路といったアクセス条件の複数の属性が変更された場合に追従することができない。また、特許文献1の技術では、アクセスポリシーがエラー状態に陥った場合に、可用性を担保することができない。
 本開示では、複数のアクセスポリシーに適用ルールを適用してアクセスルールを決定することで、アクセス条件における複数の属性が変更された場合でもアクセスポリシーを追従することができる。また、複数のアクセスポリシーがエラー状態に陥った場合でも、可用性を担保することができる。
 本開示に係るアクセス判定装置は、
 ファイルに対するアクセスの可否を判定するアクセス判定装置において、
 アクセスの属性ごとにアクセス条件を表すアクセスポリシーを階層構造により表した情報を複数のオントロジーとして生成するオントロジー生成部と、
 アクセスポリシー同士を組み合わせる際のルールと、アクセスポリシー同士が衝突する際のルールとを含む適用ルールを生成する適用ルール生成部と、
 前記ファイルに対するアクセス要求であって複数の属性を含むアクセス要求を取得し、前記アクセス要求に含まれる属性を含むオントロジーをアクセスポリシー候補として前記複数のオントロジーから抽出するポリシー候補抽出部と、
 前記アクセスポリシー候補から前記アクセス要求に含まれる属性に合致する複数のアクセスポリシーを特定し、前記複数のアクセスポリシーに前記適用ルールを適用し、前記ファイルに対するアクセスルールを決定するアクセスルール決定部と、
 前記アクセスルールに基づいて、前記ファイルに対するアクセスの可否を判定する可否判定部と
を備える。
 本開示に係るアクセス判定装置では、複数のアクセスポリシーに適用ルールを適用してアクセスルールを決定する。よって、本開示に係るアクセス判定装置によれば、アクセス条件における複数の属性が変更された場合でもアクセスポリシーを追従することができる。また、複数のアクセスポリシーがエラー状態に陥った場合でも、可用性を担保することができる。
実施の形態1に係るファイルアクセスシステムの全体構成例。 実施の形態1に係るアクセス判定装置の構成例。 実施の形態1係るオントロジー生成処理を示すフロー図。 実施の形態1に係るオントロジーの例を示す図。 実施の形態1に係るオントロジーの例を示す図。 実施の形態1に係るオントロジーの例を示す図。 実施の形態1に係るオントロジーにおける未定義ポリシーの例を示す図。 実施の形態1に係る適用ルール生成処理を示すフロー図。 実施の形態1に係る適用ルールにおけるアクセスポリシー同士が衝突する際のルールの例を示す図。 実施の形態1に係る実施フェーズを示すフロー図。 実施の形態1に係る実施フェーズの具体例を示す模式図。 実施の形態1に係るアクセスルール決定処理の詳細フロー図。 実施の形態1の変形例1に係るアクセス判定装置の構成例。 実施の形態1の変形例2に係るオントロジーの例を示す図。 実施の形態1の変形例3に係るアクセスルール決定処理を示す模式図。 実施の形態2に係るオントロジーの例を示す模式図。 実施の形態2に係るオントロジーの別例を示す図。 実施の形態3に係るアクセス判定装置の構成例。 実施の形態3に係るオントロジー生成処理およびアクセスルール決定処理の例を示す模式図。
 以下、本実施の形態について、図を用いて説明する。各図中、同一または相当する部分には、同一符号を付している。実施の形態の説明において、同一または相当する部分については、説明を適宜省略または簡略化する。また、以下の図では各構成部材の大きさの関係が実際のものとは異なる場合がある。また、実施の形態の説明において、上、下、左、右、前、後、表、裏といった向きあるいは位置が示されている場合がある。これらの表記は、説明の便宜上の記載であり、装置、器具、あるいは部品等の配置、方向および向きを限定するものではない。
 実施の形態1.
***構成の説明***
 図1は、本実施の形態に係るファイルアクセスシステム500の全体構成例を示す図である。
 ファイルアクセスシステム500には、アクセス判定装置100とファイルサーバ200が含まれる。
 アクセス判定装置100は、ユーザ12からのアクセス要求51を受け付け、ユーザ12の信頼度をリアルタイムに評価し、ユーザ12によるアクセスの可否を判定する。
 ファイルサーバ200には、各種のアクセス対象文書であるファイル21が記憶されている。ファイル21には、秘密文書、社外秘の文書、あるいは公開文書といったものが含まれる。
 ユーザ12は、様々な環境からファイル21にアクセスする。例えば、社内から昼にアクセスする、自宅から夜にアクセスする、あるいは海外から昼にアクセスするといったように、ユーザ12は、様々な環境からファイル21にアクセスする。
 また、ファイルアクセスシステム500は、アクセス判定装置100とファイルサーバ200とに加え、認証サーバ300を備えていてもよい。アクセス判定装置100は、認証サーバ300と連携して、ユーザ12の信頼度をリアルタイムに評価し、ユーザ12によるアクセスの可否を判定する構成でもよい。
 ファイルアクセスシステム500の管理者11は、アクセス判定装置100によるアクセス判定処理に必要な情報の設定、変更、あるいは更新といった処理を行う。
 図2を用いて、本実施の形態に係るアクセス判定装置100の構成例について説明する。
 アクセス判定装置100は、コンピュータである。アクセス判定装置100は、プロセッサ910を備えるとともに、メモリ921、補助記憶装置922、入力インタフェース930、出力インタフェース940、および通信装置950といった他のハードウェアを備える。プロセッサ910は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
 アクセス判定装置100は、機能要素として、オントロジー生成部110と適用ルール生成部120とアクセス要求受信部130とポリシー候補抽出部140とアクセスルール決定部150と可否判定部160と記憶部170とを備える。記憶部170は、オントロジー保管部171と適用ルール保管部172を備える。
 オントロジー生成部110と適用ルール生成部120とアクセス要求受信部130とポリシー候補抽出部140とアクセスルール決定部150と可否判定部160の機能は、ソフトウェアにより実現される。記憶部170は、メモリ921に備えられる。なお、記憶部170は、補助記憶装置922に備えられていてもよいし、メモリ921と補助記憶装置922に分散して備えられていてもよい。
 プロセッサ910は、アクセス判定プログラムを実行する装置である。アクセス判定プログラムは、オントロジー生成部110と適用ルール生成部120とアクセス要求受信部130とポリシー候補抽出部140とアクセスルール決定部150と可否判定部160の機能を実現するプログラムである。
 プロセッサ910は、演算処理を行うIC(Integrated Circuit)である。プロセッサ910の具体例は、CPU(Central Processing Unit)、DSP(Digital Signal Processor)、GPU(Graphics Processing Unit)である。
 メモリ921は、データを一時的に記憶する記憶装置である。メモリ921の具体例は、SRAM(Static Random Access Memory)、あるいはDRAM(Dynamic Random Access Memory)である。
 補助記憶装置922は、データを保管する記憶装置である。補助記憶装置922の具体例は、HDDである。また、補助記憶装置922は、SD(登録商標)メモリカード、CF、NANDフラッシュ、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVDといった可搬の記憶媒体であってもよい。なお、HDDは、Hard Disk Driveの略語である。SD(登録商標)は、Secure Digitalの略語である。CFは、CompactFlash(登録商標)の略語である。DVDは、Digital Versatile Diskの略語である。
 入力インタフェース930は、マウス、キーボード、あるいはタッチパネルといった入力装置と接続されるポートである。入力インタフェース930は、具体的には、USB(Universal Serial Bus)端子である。なお、入力インタフェース930は、LAN(Local Area Network)と接続されるポートであってもよい。
 出力インタフェース940は、ディスプレイといった出力機器のケーブルが接続されるポートである。出力インタフェース940は、具体的には、USB端子またはHDMI(登録商標)(High Definition Multimedia Interface)端子である。ディスプレイは、具体的には、LCD(Liquid Crystal Display)である。出力インタフェース940は、表示器インタフェースともいう。
 通信装置950は、レシーバとトランスミッタを有する。通信装置950は、LAN、インターネット、あるいは電話回線といった通信網に接続している。通信装置950は、具体的には、通信チップまたはNIC(Network Interface Card)である。
 アクセス判定プログラムは、アクセス判定装置100において実行される。アクセス判定プログラムは、プロセッサ910に読み込まれ、プロセッサ910によって実行される。メモリ921には、アクセス判定プログラムだけでなく、OS(Operating System)も記憶されている。プロセッサ910は、OSを実行しながら、アクセス判定プログラムを実行する。アクセス判定プログラムおよびOSは、補助記憶装置922に記憶されていてもよい。補助記憶装置922に記憶されているアクセス判定プログラムおよびOSは、メモリ921にロードされ、プロセッサ910によって実行される。なお、アクセス判定プログラムの一部または全部がOSに組み込まれていてもよい。
 アクセス判定装置100は、プロセッサ910を代替する複数のプロセッサを備えていてもよい。これら複数のプロセッサは、アクセス判定プログラムの実行を分担する。それぞれのプロセッサは、プロセッサ910と同じように、アクセス判定プログラムを実行する装置である。
 アクセス判定プログラムにより利用、処理または出力されるデータ、情報、信号値および変数値は、メモリ921、補助記憶装置922、または、プロセッサ910内のレジスタあるいはキャッシュメモリに記憶される。
 オントロジー生成部110と適用ルール生成部120とアクセス要求受信部130とポリシー候補抽出部140とアクセスルール決定部150と可否判定部160の各部の「部」を「回路」、「工程」、「手順」、「処理」、あるいは「サーキットリー」に読み替えてもよい。アクセス判定プログラムは、オントロジー生成処理と適用ルール生成処理とアクセス要求受信処理とポリシー候補抽出処理とアクセスルール決定処理と可否判定処理を、コンピュータに実行させる。オントロジー生成処理と適用ルール生成処理とアクセス要求受信処理とポリシー候補抽出処理とアクセスルール決定処理と可否判定処理の「処理」を「プログラム」、「プログラムプロダクト」、「プログラムを記憶したコンピュータ読取可能な記憶媒体」、または「プログラムを記録したコンピュータ読取可能な記録媒体」に読み替えてもよい。また、アクセス判定方法は、アクセス判定装置100がアクセス判定プログラムを実行することにより行われる方法である。
 アクセス判定プログラムは、コンピュータ読取可能な記録媒体に格納されて提供されてもよい。また、アクセス判定プログラムは、プログラムプロダクトとして提供されてもよい。
***動作の説明***
 次に、本実施の形態に係るアクセス判定装置100の動作であるアクセス判定処理について説明する。アクセス判定装置100の動作手順は、アクセス判定方法に相当する。また、アクセス判定装置100の動作を実現するプログラムは、アクセス判定プログラムに相当する。
 アクセス判定処理は、準備フェーズと実施フェーズに分けられる。
 準備フェーズには、オントロジー30を生成するオントロジー生成処理と、適用ルール40を生成する適用ルール生成処理が含まれる。
 実施フェーズには、には、複数のアクセスポリシー候補301を抽出するポリシー候補抽出処理と、ファイル21に対するアクセスルール41を決定するアクセスルール決定処理と、ファイル21に対するアクセスの可否を判定する可否判定処理とが含まれる。
<準備フェーズ>
<<オントロジー生成処理>>
 図3は、本実施の形態に係るオントロジー生成処理を示すフロー図である。
 オントロジー生成処理では、オントロジー生成部110が、アクセスの属性31ごとにアクセス条件を表すアクセスポリシー32を階層構造により表した情報をオントロジー30として生成する。オントロジー生成部110は、アクセスの属性31ごとのオントロジー30を複数生成する。オントロジー生成部110は、管理者11によるオントロジー30の生成に用いられるインタフェースあるいはツールである。管理者11は、オントロジー生成部110を用いてオントロジー30を生成する。
 具体的には、以下の通りである。
 ステップS101において、オントロジー生成部110は、アクセス可否の判定に用いるアクセス条件であるアクセスポリシー32を取得する。アクセスポリシー32は、アクセスの属性31ごとに入力される。
 アクセスの属性31とは、アクセス条件の属性である。属性31には、業務、アクセス経路、場所、所属、認証状態、役職、あるいは、ファイルに関する情報といった、アクセスの可否の判定に用いるアクセスポリシー32が属する種別である。
 アクセスポリシー32とは、アクセス条件である。例えば、アクセスポリシー32には、属性31が業務の場合、「ユーザ12がプロジェクト2を担当するならば、アクセス対象ファイルの作成者がA部、かつ、機密等級は極秘以外を許可」といったアクセス条件が記述されている。また、アクセス条件として、追加認証といったユーザとの相互作用動作を含んでも良い。追加認証の場合の詳細は実施の形態3で説明する。
 ステップS102において、オントロジー生成部110は、アクセスポリシー32を形式的表現に変換する。具体的には、オントロジー生成部110は、アクセスポリシー32を属性31ごとに階層構造により表したオントロジー30を生成する。オントロジー30は、例えば、ツリー構造である。
 また、オントロジー30は、アクセスポリシーが未定義である場合のポリシーが記述された未定義ポリシー323を含むものとする。アクセスポリシーが未定義である場合のポリシーは未定義ルールともいう。
 オントロジー30は、管理者11によりオントロジー生成部110を用いて生成されてもよいし、オントロジー生成部110が入力されたアクセスポリシー32から自動的に生成してもよい。
 ステップS103において、オントロジー生成部110は、オントロジー30をオントロジー保管部171に保管する。オントロジー30は属性31ごとに生成されるため、オントロジー保管部171には、複数のオントロジー30が保管される。複数のオントロジー30はリスト構造で保管することが一般的だが、保管する形式は問わない。また、オントロジー30は属性31を見出しとして保管される。
 図4から図6は、本実施の形態に係るオントロジー30の例を示す図である。
 図4では、属性31が「業務」のオントロジー30と、属性31が「アクセス経路」のオントロジー30が示されている。その他、図5および図6に示すように、属性31が「所属」、「認証状態」、「役職」、「アクセス元アプリケーション」、および「ファイル情報」といったオントロジー30も作成可能である。
 オントロジー30において、アクセスポリシー32の各々を、ノードあるいはリーフとも呼ぶ。
 図7は、本実施の形態に係るオントロジー30における未定義ポリシー323の例を示す図である。
 図7では、アクセスを要求したユーザ12がプロジェクト3に所属するものとする。しかし、図7の業務のオントロジー30にはプロジェクト3の場合のアクセスポリシー32は未定義である。
 未定義ポリシー323には、アクセスポリシーが未定義である場合のポリシーが記述されている。オントロジー30には、未定義ポリシー323が定義されているものとする。
 未定義ポリシー323に定義されるポリシーの例は以下の通りである。
(A)他の属性(オントロジー)のルールを採用
(B)パブリックフォルダのみ許可
(C)アクセスを拒否(暗黙的拒否に相当)
<<適用ルール生成処理>>
 図8は、本実施の形態に係る適用ルール生成処理を示すフロー図である。
 ステップS201において、適用ルール生成部120は、アクセスポリシー同士を組み合わせる際のルールと、アクセスポリシー同士が衝突する際のルールとを含む適用ルール40を生成する。適用ルール生成部120は、管理者11による適用ルール40の生成に用いられるインタフェースあるいはツールである。管理者11は、適用ルール生成部120を用いて適用ルール40を入力する。
 なお、適用ルール40の生成は、少なくとも実施フェーズより前に実施され、1つ以上の適用ルールを登録する。実施フェーズ後も任意のタイミングで適用ルールを登録してよい。
 アクセスポリシー同士を組み合わせる際のルールには、複数のアクセスポリシー候補を組み合わせる場合のルールが設定される。具体的には、明示的拒否>明示的許可>暗黙的拒否といった優先順位である。あるいは、アクセスポリシー同士をORとする、アクセスポリシー同士ANDとする、といったルールである。
 図9は、本実施の形態に係る適用ルールにおけるアクセスポリシー同士が衝突する際のルールの例を示す図である。
 アクセスポリシー同士が衝突するとは、複数のアクセスポリシーのルールが矛盾することを意味する。
 図9の例では、アクセスポリシー同士が衝突する例として、ユーザ12がプロジェクト1とプロジェクト2との両方に所属する場合が挙げられている。
 適用ルール40の例は以下の通りである。
(A)あるノードの全リーフの権限を持つ場合、上位のノードのルールを適用→「案件1」の権限でアクセス
(B)明示的拒否>明示的許可>暗黙的拒否の順で優先、同一順の場合はそれぞれのルールのORとする→優先順位は同じなので、両方のルールのORでアクセス
(C)ユーザに対し、どちらの所属でアクセスするか問い合わせる
(D)アクセスを拒否
 なお、衝突と未定義の両方が発生するパターンもある。
 例えば、未定義ポリシー323のポリシーを(C)「暗黙的拒否」とする。ユーザ12がプロジェクト1とプロジェクト3に所属の場合、未定義ノードのルールとプロジェクト2のルールが衝突する。(C)は暗黙的拒否なので、衝突時の適用ルール(B)を使う場合はプロジェクト2のルールが優先される。
 ステップS201において、適用ルール生成部120は、適用ルール40を適用ルール保管部172に保管する。
<実施フェーズ>
<<ポリシー候補抽出処理>>
 図10は、本実施の形態に係る実施フェーズを示すフロー図である。
 ステップS301において、アクセス要求受信部130は、ファイル21に対するアクセス要求51を受信する。アクセス要求51には、複数の属性31が含まれる。
 アクセス要求受信部130は、ユーザ12からアクセス要求51を受信する。アクセス要求51には、アクセス可否を判断するアクセス条件に関連する属性情報を含むものとする。例えば以下のような情報から構成する。
・ユーザに関する情報:ユーザID、ユーザ名、所属、役職
・アクセス対象ファイルに関する情報:ファイルID、ファイル名、ファイルプロパティ、URL、作成者
・アクセス元アプリ情報:業務Webアプリ、業務用デスクトップアプリ、業務用スマホアプリ、FTPアプリ
・アクセス経路情報:社内、社外、自席、共有エリア、VPN(Virtual Private Network)、自宅、公衆無線LAN・認証状態:PC(Personal Computer)ログイン済、メールサーバ認証済、VPN認証済、ディレクトリ認証済
 ステップS302において、ポリシー候補抽出部140は、アクセス要求51を取得し、アクセス要求51に含まれる属性31を含むオントロジーをアクセスポリシー候補301として複数のオントロジーから抽出する。
 具体的には、ポリシー候補抽出部140は、オントロジー保管部171から、アクセス要求51に含まれる属性31を含むオントロジーをアクセスポリシー候補301として抽出する。
 図11は、本実施の形態に係る実施フェーズの具体例を示す模式図である。
 図11では、アクセス要求51には、アクセス対象文書であるファイル21とユーザ12の業務とアクセス経路が属性31として含まれるものとする。ここでは、ユーザ12の業務が「プロジェクト2」であり、アクセス経路が「VPN接続」であるものとする。
 ポリシー候補抽出部140は、オントロジー保管部171から、アクセス要求51に含まれる属性31である「業務」および「アクセス経路」の各々を属性31とするオントロジー30をアクセスポリシー候補301として抽出する。
 ここでは、図4の2つのオントロジー30がアクセスポリシー候補301として抽出される。
<<アクセスルール決定処理>>
 ステップS303において、アクセスルール決定部150によるアクセスルール決定処理が実施される。
 図12は、本実施の形態に係るアクセスルール決定処理の詳細フロー図である。
 ステップS331において、アクセスルール決定部150は、アクセスポリシー候補301からアクセス要求51に含まれる属性31に合致する複数のアクセスポリシー32を特定する。
 図4および図11の例では、アクセスルール決定部150は、「業務」のオントロジー30から、アクセス要求51に含まれる「業務が「プロジェクト2」」に合致するアクセスポリシー32を特定する。また、アクセスルール決定部150は、「アクセス経路」のオントロジー30から、アクセス要求51に含まれる「アクセス経路が「VPN接続」」に合致するアクセスポリシー32を特定する。
 図4および図11の例では、「作成者=A部1課:明示的許可,機密等級=極秘以外:明示的拒否」のアクセスポリシー32aと、「メールサーバ、Webサーバのみ許可:明示的許可」のアクセスポリシー32bが特定される。
 なお、アクセスルール決定部150は、アクセス要求51に含まれる属性31に合致するアクセスポリシーが、アクセスポリシー候補301に定義されていない場合は、未定義ポリシー323を複数のアクセスポリシーの1つとして特定する。
 例えば、図7に示すように、アクセス要求51に含まれる「業務が「プロジェクト3」」に合致するアクセスポリシー32が定義されていない場合、アクセスルール決定部150は、未定義ポリシー323を特定する。
 また、アクセス要求51に含まれる属性31が複数のアクセスポリシー32に該当する場合もある。その場合は該当するアクセスポリシー32をすべて特定する。具体的には、図9の例に示すように、ユーザ12がプロジェクト1とプロジェクト2の両方に所属する場合である。
 ステップS332からステップS334において、アクセスルール決定部150は、複数のアクセスポリシー32に適用ルール40を適用し、ファイル21に対するアクセスルール41を決定する。
 具体的には、以下の通りである。
 ステップS332において、アクセスルール決定部150は、複数のアクセスポリシー32が衝突するか否かを判定する。複数のアクセスポリシー32が衝突する場合とは、図9の例で説明したとおりである。
 複数のアクセスポリシー32が衝突する場合は、ステップS333に進む。複数のアクセスポリシー32が衝突しない場合は、ステップS334に進む。
 ステップS333において、アクセスルール決定部150は、複数のアクセスポリシー32が衝突するので、適用ルール40のうち、アクセスポリシー同士が衝突する際のルールを複数のアクセスポリシー32に適用して、アクセスルール41を決定する。
 ステップS334において、アクセスルール決定部150は、複数のアクセスポリシー32が衝突しないので、適用ルール40のうち、アクセスポリシー同士を組み合わせる際のルールを複数のアクセスポリシー32に適用して、アクセスルール41を決定する。
 図11の例では、「作成者=A部1課:明示的許可、機密等級=極秘以外:明示的拒否」のアクセスポリシー32aと、「メールサーバ、Webサーバのみ許可:明示的許可」のアクセスポリシー32bが特定されている。
 また、適用ルール40のうち、アクセスポリシー同士を組み合わせる際のルールは、図9の(B)であるものとする。よって、アクセスルール決定部150は、アクセスポリシー32aとアクセスポリシー32bに、「明示的拒否>明示的許可>暗黙的拒否の順で優先、同一順の場合はそれぞれのルールのORとするであるものとする。」というルールを適用する。
 これにより、アクセスルール決定部150は、「アクセス対象文書がメールサーバかWebサーバにあり、かつ、ファイルの作成者がA部1課で極秘以外であればアクセス可能」というアクセスルール41を決定する。
<<可否判定処理>>
 ステップS304において、可否判定部160は、アクセスルール41に基づいて、ファイル21に対するアクセスの可否を判定する。具体的には、可否判定部160は、アクセスルール41を使い、ユーザ12からのアクセス要求51に対し、アクセス対象文書であるファイル21へのアクセスの可否を判定する。可否判定部160は、判定結果をユーザ12に返信する。
 図11の例で、アクセス要求51には、要求元のユーザ12の業務が「プロジェクト2」であり、アクセス経路が「VPN接続」である。よって、アクセス対象文書がメールサーバかWebサーバにあり、かつ、ファイルの作成者がA部1課で極秘以外であれば上記アクセスルール41を満たすため、可否判定部160は、アクセス可の判定結果をユーザ12に返信する。
 ***他の構成***
<変形例1>
 本実施の形態では、オントロジー生成部110と適用ルール生成部120とアクセス要求受信部130とポリシー候補抽出部140とアクセスルール決定部150と可否判定部160の機能がソフトウェアで実現される。変形例として、オントロジー生成部110と適用ルール生成部120とアクセス要求受信部130とポリシー候補抽出部140とアクセスルール決定部150と可否判定部160の機能がハードウェアで実現されてもよい。
 具体的には、アクセス判定装置100は、プロセッサ910に替えて電子回路909を備える。
 図13は、本実施の形態の変形例1に係るアクセス判定装置100の構成を示す図である。
 電子回路909は、オントロジー生成部110と適用ルール生成部120とアクセス要求受信部130とポリシー候補抽出部140とアクセスルール決定部150と可否判定部160の機能を実現する専用の電子回路である。電子回路909は、具体的には、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックIC、GA、ASIC、または、FPGAである。GAは、Gate Arrayの略語である。ASICは、Application Specific Integrated Circuitの略語である。FPGAは、Field-Programmable Gate Arrayの略語である。
 オントロジー生成部110と適用ルール生成部120とアクセス要求受信部130とポリシー候補抽出部140とアクセスルール決定部150と可否判定部160の機能は、1つの電子回路で実現されてもよいし、複数の電子回路に分散して実現されてもよい。
 別の変形例として、オントロジー生成部110と適用ルール生成部120とアクセス要求受信部130とポリシー候補抽出部140とアクセスルール決定部150と可否判定部160の一部の機能が電子回路で実現され、残りの機能がソフトウェアで実現されてもよい。また、オントロジー生成部110と適用ルール生成部120とアクセス要求受信部130とポリシー候補抽出部140とアクセスルール決定部150と可否判定部160の一部またはすべての機能がファームウェアで実現されてもよい。
 プロセッサと電子回路の各々は、プロセッシングサーキットリとも呼ばれる。つまり、オントロジー生成部110と適用ルール生成部120とアクセス要求受信部130とポリシー候補抽出部140とアクセスルール決定部150と可否判定部160の機能は、プロセッシングサーキットリにより実現される。
<変形例2>
 本実施の形態では、オントロジー30はツリー構造であった。しかし、オントロジー30をグラフ構造で構成してもよい。
 図14は、本実施の形態の変形例2に係るオントロジー30の例を示す図である。
 本実施の形態では、ツリー構造のオントロジー30の例について説明した。
 しかし、変形例2のようなグラフ構造のオントロジー30でも、属性の始点を特定することにより、ツリー状に展開して同様に処理可能である
 図14の具体例を用いて説明する。
 前提として、目的ごとにファイルへのアクセス手段であるアプリケーションが決まっており、ユーザの属性確認を実施するものとする。
 A部、かつ、プロジェクトBの担当社員がファイルサーバにアクセスするものとする。
 事務目的の場合、「申請書」、および「作業用フォルダ」にアクセス可能である。
 会議目的の場合、「週報」、「報告書」、および「議事録」にアクセス可能である。
 開発目的の場合、「計画書」、「仕様書」、および「ソースコード」にはアクセスできない。しかし、事務あるいは会議目的であれば、「週報」、「報告書」、および「作業用」フォルダにはアクセス可能である。
 このようなグラフ構造のオントロジー30は、基本動作のとおり複数用意され、アクセスポリシーを決定する。
<変形例3>
 図15は、本実施の形態の変形例3に係るアクセスルール決定処理を示す模式図である。
 また、図1に示すように、本実施の形態の変形例3に係るファイルアクセスシステム500は、アクセス判定装置100とファイルサーバ200に加え、認証サーバ300を備える。メールサーバはファイルサーバ200の例である。
 本実施の形態の変形例3では、オントロジー生成部110は、アクセスポリシー32にアクセス条件として追加認証といった追加条件を設定可能である。
 図15に示すように、オントロジー30のアクセスポリシー32に追加認証の条件を付与することができる。図15では、アクセスポリシー32x1に「if 追加認証:ID/Pass then メールサーバ許可」との追加認証の条件が付与されている。また、アクセスポリシー32x2に「if 追加認証:指紋then 個人フォルダ許可」との追加認証の条件が付与されている。
 図15では、アクセスポリシー32x1に追加条件が追加され、アクセスポリシー32x1が特定されたものとする。
(1)社外からメールサーバにアクセス要求
(2)社外からなので拒否、追加認証を要求
(3)追加認証の情報(ID/Pass)を送信
(4)メールサーバへのアクセスを許可
 ここで、(2)および(3)のフローは、ユーザが明示的に実施せずコンテキストで認証しても良い。
***本実施の形態の効果の説明***
 本実施の形態に係るアクセス判定装置100によれば、アクセス可否を判断するためのオントロジーをアクセスの属性ごとに定義できるので、アクセスパターンを漏れなく定義することができる。また、管理者は、アクセス条件に変更があった場合には、オントロジー生成部により、いつでもオントロジーを変更することができる。
 よって、動的アクセスポリシーが矛盾するようなエラー状態であっても可用性を損ねないという効果を奏する。
 本実施の形態に係るアクセス判定装置100によれば、ファイルアクセスが発生した時にアクセス可否の評価を行うため、アクセス時点におけるファイルの属性およびアクセス条件の属性に応じたアクセスポリシーが適用される。よって、アクセス対象のファイルの内容が書き替わったり、アクセスの属性が変更されたりした場合でもアクセスポリシーを追従可能である。
 本実施の形態に係るアクセス判定装置100によれば、情報を組織化する構造的フレームワークである「オントロジー」を利用し、動的アクセスポリシーをオントロジーで形式的に表現する。
(1)アクセス条件を整理して説明可能なオントロジーを構成することができる。具体的には、アクセス対象者、ファイルの属性、ファイルの内容、時間、およびアクセス経路といった属性でアクセスポリシーテンプレートを整理することができる。
(2)オントロジーを作成してしまえば、推論コストは低く抑えることができる。
 アクセスポリシーテンプレート(オントロジー)は社規などのルールから生成する。ルールは頻繁には変化しないので、オントロジーを一度作成すれば見直しはあまり必要ない。
(3)オントロジーはエラー状態のときの適用ルールがクリアである。
 エラー状態を漏れなく定義可能な点がオントロジーの特徴である。エラー状態時の適用ルール(特権、デフォルト)を設定可能である。
(4)オントロジーではアクセスのための条件を整理して定義可能である。
 ファイル内容だけではなく、著者の属性や上長による承認を受けたか、などの条件を記述可能である。
 なお、オントロジーを木構造にする場合、終点は問わないが、終了条件(ノード)に到達するためのパスの検索ルールの定義が必要となる。例えば、「業務」ツリーであれば、ユーザの所属が「案件1」となっていれば「案件1」ノードが終点となり、所属が「案件1/プロジェクト1」となっていれば「プロジェクト1」ノードまでたどるといった定義である。所属が「案件1」に合致するユーザは、例えば、プロジェクト1とプロジェクト2を統括するマネージャである。このように、上位ノードほど権限の強い人が割り当てられることになる。
 実施の形態2.
 本実施の形態では、主に、実施の形態1と異なる点および実施の形態1に追加する点について説明する。
 本実施の形態において、実施の形態1と同様の機能を有する構成については同一の符号を付し、その説明を省略する。
 図16は、本実施の形態に係るオントロジー30の例を示す模式図である。
 本実施の形態では、オントロジー生成部110は、アクセスポリシー32に表されるアクセス条件として、アクセスの信頼度を表す信頼性スコアを設定可能である。
 データの種類によっては、ツリーのノードであるアクセスポリシー32に信頼性スコアを設定し、信頼性スコアによってアクセスを許可する方式とする。
 図16では、アクセスポリシー32に信頼性スコアが設定されている。
 また、アクセスポリシー32x3が特定されているものとする。
(1)VPNでメールサーバにアクセス要求
(2)VPNからなので信頼性スコアは50である。メールサーバのアクセスに必要な信頼性スコアは50なので、メールサーバへのアクセスを許可
 なお、実施の形態1の変形例3と組み合わせ、追加の認証要求で信頼性スコアを引き上げても良い。
 図17は、本実施の形態に係るオントロジー30の別例を示す図である。
 また、オントロジー生成部110は、複数のオントロジーの各オントロジーに重み付け値を設定可能であり、信頼性スコアに重み付け値を掛け合わせたスコアを最終的な信頼性スコアとして算出してもよい。
 重み付け値とは、評価の重みを表す。
 例えば、適用ルール40が、「スコア*重みの合計値がサーバアクセスに必要な信頼値を満たしているか」であるものとする。
 図17の例では、関係会社社員が社内からアクセスするものとする。このとき、信頼性スコアは、50*0.7+50*0.3=50となる。よって、信頼性スコア「50」がサーバアクセスに必要な信頼値を満たしていれば、アクセス可となる。
 実施の形態3.
 本実施の形態では、主に、実施の形態1,2と異なる点および実施の形態1に追加する点について説明する。
 本実施の形態において、実施の形態1,2と同様の機能を有する構成については同一の符号を付し、その説明を省略する。
 図18は、本実施の形態に係るアクセス判定装置100の構成例を示す図である。
 図19は、本実施の形態に係るオントロジー生成処理およびアクセスルール決定処理の例を示す模式図である。
 本実施の形態に係るアクセス判定装置100は、実施の形態1で説明した構成に加え、記憶部170にアクセスログ保管部173を備える。
 本実施の形態では、オントロジー生成部110は、オントロジーの階層構造のベースを表した基底階層であるベースオントロジー732と、ファイルに対するアクセスのログであるアクセスログ731とを用いて、動的にオントロジーを生成する。ベースオントロジー732は、管理者により作成される。
 アクセスログ保管部173には、ユーザのアクセス要求とその判定結果がアクセスログ731として保管されている。
 オントロジー生成部110は、アクセスログ731とベースオントロジー732とを用いて、動的にオントロジー30を生成する。具体的には、オントロジー生成部110は、曜日によるファイルあるいはフォルダへのアクセスパターンをアクセスログ731から分析し、オントロジー30を自動構築する。ここで、動的にオントロジー30を生成する方法については、例えば、「古崎晃司,日原圭祐,および溝口理一郎,「視点に基づくis-a階層の動的生成」,人工知能学会論文誌,27巻3号J,pp.235-244(2012).」に記載された方法を適用してもよい。
 以上の実施の形態1から3では、ファイルアクセスを例示したが、特定の「機能」へのアクセスに拡張しても良い。アクセス対象を「メール機能」、「スケジュール」、「社内Web」、あるいは「開発環境」といったものとしてもよい。
 以上の実施の形態1から3では、アクセス判定装置の各部を独立した機能ブロックとして説明した。しかし、アクセス判定装置の構成は、上述した実施の形態のような構成でなくてもよい。アクセス判定装置の機能ブロックは、上述した実施の形態で説明した機能を実現することができれば、どのような構成でもよい。また、アクセス判定装置は、1つの装置でなく、複数の装置から構成されたシステムでもよい。
 また、実施の形態1から3のうち、複数の部分を組み合わせて実施しても構わない。あるいは、これらの実施の形態のうち、1つの部分を実施しても構わない。その他、これら実施の形態を、全体としてあるいは部分的に、どのように組み合わせて実施しても構わない。
 すなわち、実施の形態1から3では、各実施の形態の自由な組み合わせ、あるいは各実施の形態の任意の構成要素の変形、もしくは各実施の形態において任意の構成要素の省略が可能である。
 なお、上述した実施の形態は、本質的に好ましい例示であって、本開示の範囲、本開示の適用物の範囲、および本開示の用途の範囲を制限することを意図するものではない。上述した実施の形態は、必要に応じて種々の変更が可能である。
 11 管理者、12 ユーザ、30 オントロジー、301 アクセスポリシー候補、31 属性、32,32a,32b32x1,32x2,32x3,32x4 アクセスポリシー、323 未定義ポリシー、40 適用ルール、41 アクセスルール、51 アクセス要求、52 判定結果、100 アクセス判定装置、110 オントロジー生成部、120 適用ルール生成部、130 アクセス要求受信部、140 ポリシー候補抽出部、150 アクセスルール決定部、160 可否判定部、170 記憶部、171 オントロジー保管部、172 適用ルール保管部、173 アクセスログ保管部、731 アクセスログ、732 ベースオントロジー、909 電子回路、910 プロセッサ、921 メモリ、922 補助記憶装置、930 入力インタフェース、940 出力インタフェース、950 通信装置。

Claims (11)

  1.  ファイルに対するアクセスの可否を判定するアクセス判定装置において、
     アクセスの属性ごとにアクセス条件を表すアクセスポリシーを階層構造により表した情報を複数のオントロジーとして生成するオントロジー生成部と、
     アクセスポリシー同士を組み合わせる際のルールと、アクセスポリシー同士が衝突する際のルールとを含む適用ルールを生成する適用ルール生成部と、
     前記ファイルに対するアクセス要求であって複数の属性を含むアクセス要求を取得し、前記アクセス要求に含まれる属性を含むオントロジーをアクセスポリシー候補として前記複数のオントロジーから抽出するポリシー候補抽出部と、
     前記アクセスポリシー候補から前記アクセス要求に含まれる属性に合致する複数のアクセスポリシーを特定し、前記複数のアクセスポリシーに前記適用ルールを適用し、前記ファイルに対するアクセスルールを決定するアクセスルール決定部と、
     前記アクセスルールに基づいて、前記ファイルに対するアクセスの可否を判定する可否判定部と
    を備えたアクセス判定装置。
  2.  前記複数のオントロジーの各オントロジーは、アクセスポリシーが未定義である場合のポリシーが記述された未定義ポリシーを含み、
     前記アクセスルール決定部は、
     前記アクセス要求に含まれる属性に合致するアクセスポリシーが、前記アクセスポリシー候補に定義されていない場合は、前記未定義ポリシーを前記複数のアクセスポリシーの1つとして特定する請求項1に記載のアクセス判定装置。
  3.  前記アクセスルール決定部は、
     前記複数のアクセスポリシーが衝突するか否かを判定し、前記複数のアクセスポリシーが衝突しない場合には、前記アクセスポリシー同士を組み合わせる際のルールを前記複数のアクセスポリシーに適用して、前記アクセスルールを決定する請求項1または請求項2に記載のアクセス判定装置。
  4.  前記アクセスルール決定部は、
     前記複数のアクセスポリシーが衝突する場合には、前記アクセスポリシー同士が衝突する際のルールを前記複数のアクセスポリシーに適用して、前記アクセスルールを決定する請求項3に記載のアクセス判定装置。
  5.  前記オントロジーの階層構造は、ツリー構造あるいはグラフ構造である請求項1から請求項4のいずれか1項に記載のアクセス判定装置。
  6.  前記オントロジー生成部は、
     前記アクセスポリシーに表される前記アクセス条件として追加条件を設定可能である請求項1から請求項5のいずれか1項に記載のアクセス判定装置。
  7.  前記オントロジー生成部は、
     前記アクセスポリシーに表される前記アクセス条件として、アクセスの信頼度を表す信頼性スコアを設定可能である請求項1から請求項5のいずれか1項に記載のアクセス判定装置。
  8.  前記オントロジー生成部は、
     前記複数のオントロジーの各オントロジーに重み付け値を設定可能であり、前記信頼性スコアに前記重み付け値を掛け合わせたスコアを最終的な信頼性スコアとして算出する請求項7に記載のアクセス判定装置。
  9.  前記オントロジー生成部は、
     オントロジーの階層構造のベースを表した基底階層と、前記ファイルに対するアクセスのログとを用いて、動的にオントロジーを生成する請求項1から請求項5のいずれか1項に記載のアクセス判定装置。
  10.  ファイルに対するアクセスの可否を判定するアクセス判定装置に用いられるアクセス判定方法において、
     オントロジー生成部が、アクセスの属性ごとにアクセス条件を表すアクセスポリシーを階層構造により表した情報を複数のオントロジーとして生成し、
     適用ルール生成部が、アクセスポリシー同士を組み合わせる際のルールと、アクセスポリシー同士が衝突する際のルールとを含む適用ルールを生成し、
     ポリシー候補抽出部が、前記ファイルに対するアクセス要求であって複数の属性を含むアクセス要求を取得し、前記アクセス要求に含まれる属性を含むオントロジーをアクセスポリシー候補として前記複数のオントロジーから抽出し、
     アクセスルール決定部が、前記アクセスポリシー候補から前記アクセス要求に含まれる属性に合致する複数のアクセスポリシーを特定し、前記複数のアクセスポリシーに前記適用ルールを適用し、前記ファイルに対するアクセスルールを決定し、
     可否判定部が、前記アクセスルールに基づいて、前記ファイルに対するアクセスの可否を判定するアクセス判定方法。
  11.  ファイルに対するアクセスの可否を判定するアクセス判定プログラムにおいて、
     アクセスの属性ごとにアクセス条件を表すアクセスポリシーを階層構造により表した情報を複数のオントロジーとして生成するオントロジー生成処理と、
     アクセスポリシー同士を組み合わせる際のルールと、アクセスポリシー同士が衝突する際のルールとを含む適用ルールを生成する適用ルール生成処理と、
     前記ファイルに対するアクセス要求であって複数の属性を含むアクセス要求を取得し、前記アクセス要求に含まれる属性を含むオントロジーをアクセスポリシー候補として前記複数のオントロジーから抽出するポリシー候補抽出処理と、
     前記アクセスポリシー候補から前記アクセス要求に含まれる属性に合致する複数のアクセスポリシーを特定し、前記複数のアクセスポリシーに前記適用ルールを適用し、前記ファイルに対するアクセスルールを決定するアクセスルール決定処理と、
     前記アクセスルールに基づいて、前記ファイルに対するアクセスの可否を判定する可否判定処理と
    をコンピュータに実行させるアクセス判定プログラム。
PCT/JP2021/000278 2021-01-07 2021-01-07 アクセス判定装置、アクセス判定方法、および、アクセス判定プログラム WO2022149226A1 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
PCT/JP2021/000278 WO2022149226A1 (ja) 2021-01-07 2021-01-07 アクセス判定装置、アクセス判定方法、および、アクセス判定プログラム
DE112021005812.6T DE112021005812T5 (de) 2021-01-07 2021-01-07 Zugriffsentscheidungsvorrichtung, zugriffsentscheidungsverfahren und zugriffsentscheidungsprogramm
CN202180088144.5A CN116685972A (zh) 2021-01-07 2021-01-07 访问判定装置、访问判定方法和访问判定程序
JP2022573252A JP7229446B1 (ja) 2021-01-07 2021-01-07 アクセス判定装置、アクセス判定方法、および、アクセス判定プログラム
US18/196,715 US20230283615A1 (en) 2021-01-07 2023-05-12 Access decision device, access decision method and computer readable medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2021/000278 WO2022149226A1 (ja) 2021-01-07 2021-01-07 アクセス判定装置、アクセス判定方法、および、アクセス判定プログラム

Related Child Applications (1)

Application Number Title Priority Date Filing Date
US18/196,715 Continuation US20230283615A1 (en) 2021-01-07 2023-05-12 Access decision device, access decision method and computer readable medium

Publications (1)

Publication Number Publication Date
WO2022149226A1 true WO2022149226A1 (ja) 2022-07-14

Family

ID=82358175

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2021/000278 WO2022149226A1 (ja) 2021-01-07 2021-01-07 アクセス判定装置、アクセス判定方法、および、アクセス判定プログラム

Country Status (5)

Country Link
US (1) US20230283615A1 (ja)
JP (1) JP7229446B1 (ja)
CN (1) CN116685972A (ja)
DE (1) DE112021005812T5 (ja)
WO (1) WO2022149226A1 (ja)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004062241A (ja) * 2002-07-24 2004-02-26 Fujitsu Ltd ユーザアクセス権制御装置及び方法
US20100023997A1 (en) * 2008-07-25 2010-01-28 International Business Machines Corporation Method of using xpath and ontology engine in authorization control of assets and resources
JP2010271747A (ja) * 2009-05-19 2010-12-02 Hitachi Ltd ファイルアクセス制御方法
JP2018147464A (ja) * 2017-03-02 2018-09-20 株式会社リコー 衝突検知方法と検知装置及びアクセス制御方法とアクセス制御装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005099982A (ja) 2003-09-24 2005-04-14 Hitachi Ltd ファイル監視装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004062241A (ja) * 2002-07-24 2004-02-26 Fujitsu Ltd ユーザアクセス権制御装置及び方法
US20100023997A1 (en) * 2008-07-25 2010-01-28 International Business Machines Corporation Method of using xpath and ontology engine in authorization control of assets and resources
JP2010271747A (ja) * 2009-05-19 2010-12-02 Hitachi Ltd ファイルアクセス制御方法
JP2018147464A (ja) * 2017-03-02 2018-09-20 株式会社リコー 衝突検知方法と検知装置及びアクセス制御方法とアクセス制御装置

Also Published As

Publication number Publication date
DE112021005812T5 (de) 2023-08-24
JPWO2022149226A1 (ja) 2022-07-14
JP7229446B1 (ja) 2023-02-27
US20230283615A1 (en) 2023-09-07
CN116685972A (zh) 2023-09-01

Similar Documents

Publication Publication Date Title
US7574745B2 (en) Information processing apparatus, information processing method, computer-readable medium having information processing program embodied therein, and resource management apparatus
US9430662B2 (en) Provisioning authorization claims using attribute-based access-control policies
JP4676779B2 (ja) 情報処理装置、資源管理装置、属性変更許否判定方法、属性変更許否判定プログラム及び記録媒体
CN102112990B (zh) 为计算过程授予最小特权访问
US7814534B2 (en) Auditing authorization decisions
US20080141334A1 (en) Method and Apparatus for Dissociating Binding Information from Objects to Enable Proper Rights Management
US9509722B2 (en) Provisioning access control using SDDL on the basis of an XACML policy
JPH05250247A (ja) アクセスの制御方法及びデータ処理装置
US8595256B2 (en) Policy generation and conversion system, policy distribution system, and method and program therefor
CN104050424A (zh) 智能卡文件访问安全权限管理的实现及文件访问方法
US9202080B2 (en) Method and system for policy driven data distribution
KR102381539B1 (ko) 구조화 문서에 포함된 자원들에 관한 권한을 관리하는 방법 및 이를 이용한 장치
WO2022149226A1 (ja) アクセス判定装置、アクセス判定方法、および、アクセス判定プログラム
Jakšić et al. Linked data privacy
JP4723930B2 (ja) 複合的アクセス認可方法及び装置
US7975143B2 (en) Method, system, and program product for generating and validating digital signatures
Delessy et al. Patterns for access control in distributed systems
JP2005301602A (ja) 情報処理装置、操作許否判定方法、操作許可情報生成方法、操作許否判定プログラム、操作許可情報生成プログラム及び記録媒体
Hüffmeyer et al. Formal comparison of an attribute based access control language for restful services with xacml
Dang et al. XACs-DyPol: Towards an XACML-based Access Control Model for Dynamic Security Policy
US20230237827A1 (en) Visualization of the impact of training data
US20240201955A1 (en) Code advisory system
Massonet et al. GridTrust—A Usage Control-Based Trust and Security Framework for Service-Based Grids
CN113935017A (zh) 一种基于属性策略的细粒度数据权限管控配置方法及系统
CN118153035A (zh) 基于沙箱的智能合约保护方法、装置和电子设备

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 21917453

Country of ref document: EP

Kind code of ref document: A1

ENP Entry into the national phase

Ref document number: 2022573252

Country of ref document: JP

Kind code of ref document: A

WWE Wipo information: entry into national phase

Ref document number: 202180088144.5

Country of ref document: CN

122 Ep: pct application non-entry in european phase

Ref document number: 21917453

Country of ref document: EP

Kind code of ref document: A1