WO2023181219A1 - 分析装置、分析方法及び非一時的なコンピュータ可読媒体 - Google Patents

分析装置、分析方法及び非一時的なコンピュータ可読媒体 Download PDF

Info

Publication number
WO2023181219A1
WO2023181219A1 PCT/JP2022/013742 JP2022013742W WO2023181219A1 WO 2023181219 A1 WO2023181219 A1 WO 2023181219A1 JP 2022013742 W JP2022013742 W JP 2022013742W WO 2023181219 A1 WO2023181219 A1 WO 2023181219A1
Authority
WO
WIPO (PCT)
Prior art keywords
pattern
access
action
state
access control
Prior art date
Application number
PCT/JP2022/013742
Other languages
English (en)
French (fr)
Inventor
昌平 三谷
啓文 植田
ナクル ガハテ
Original Assignee
日本電気株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 日本電気株式会社 filed Critical 日本電気株式会社
Priority to JP2023518232A priority Critical patent/JPWO2023181219A5/ja
Priority to US18/025,162 priority patent/US20240283792A1/en
Priority to PCT/JP2022/013742 priority patent/WO2023181219A1/ja
Publication of WO2023181219A1 publication Critical patent/WO2023181219A1/ja

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules

Definitions

  • the present invention relates to an analysis device, an analysis method, and a non-transitory computer-readable medium.
  • Access control in networks is important for network security and maintaining necessary access.
  • Reference 1 describes using a policy containing one or more dynamic access controls linked to a data source such as a database or web service to control access to assets such as electronic documents or hardware components.
  • a data source such as a database or web service
  • a method for dynamic management is disclosed.
  • access attribute information such as the location of the device performing access and the application to be used changes frequently.
  • the access attribute may change before the access control device determines an action corresponding to the acquired access attribute information based on the policy and controls the action.
  • the processing of the access control device may not be able to keep up and the preferred action may not be realized.
  • you try to speed up the processing of the access control device it will be necessary to collect access attribute information or decide on actions more frequently, which will increase the cost of executing access control. There was a concern.
  • This disclosure provides an analysis device, an analysis method, and a non-transitory computer-readable medium that can contribute to increasing the possibility of executing actions determined by a policy in access control.
  • An analysis device includes a data set in which a plurality of combinations of a first pattern of one or more elements indicating an access attribute and an access control action corresponding to the first pattern are defined. , a second pattern of one or more elements indicating an access attribute that changes over time; transition information indicating a state transition in the one or more elements indicating an access attribute; an evaluation means for evaluating the execution cost of changing the action corresponding to the second pattern over time using at least the second pattern; and at least the evaluation result of the evaluation means and the data set. , comprising determining means for determining an action corresponding to the second pattern.
  • An analysis method includes a data set in which a plurality of combinations of a first pattern of one or more elements indicating an access attribute and an access control action corresponding to the first pattern are defined. , a second pattern of one or more elements indicating an access attribute that changes over time, transition information indicating a state transition in the one or more elements indicating the access attribute, and the second pattern. and, using at least the following, evaluate the execution cost when changing the action corresponding to the second pattern over time, and use at least the result of the evaluation and the data set to respond to the second pattern.
  • the computer determines the action to take.
  • a non-transitory computer-readable medium defines a plurality of combinations of a first pattern of one or more elements indicating an access attribute and an access control action corresponding to the first pattern. and a second pattern of one or more elements indicating the access attribute that changes over time, and transition information indicating a state transition in the one or more elements indicating the access attribute; using at least the second pattern to evaluate the execution cost when changing the action corresponding to the second pattern over time, and using at least the result of the evaluation and the data set, This method causes a computer to determine an action corresponding to the second pattern.
  • an analysis device an analysis method, and a non-transitory computer-readable medium that can contribute to increasing the possibility of executing actions determined by a policy in access control.
  • FIG. 1 is a block diagram showing an example of an analysis device according to a first embodiment
  • FIG. 3 is a flowchart illustrating an example of typical processing of the analyzer according to the first embodiment
  • FIG. 2 is a block diagram illustrating an example of an access control system according to a second embodiment.
  • FIG. 3 is a diagram showing an example of a state space. This is an example of a table in which actions in each area are defined in a judgment sample.
  • FIG. 3 is a diagram illustrating an example of an access control situation. This is an example of a table in which actions in each area are defined in a judgment sample.
  • FIG. 6 is a diagram showing an example of an action determined by a determination unit.
  • 5A is an example of action control performed in the situation shown in FIG. 5A.
  • FIG. 3 is a block diagram illustrating an example of an access control system according to a third embodiment.
  • FIG. 3 is a diagram illustrating an example of an access control situation. It is a graph showing an example of a band usage rate in wireless communication of a robot.
  • 7A is a graph showing an example of action control performed in the situation of FIG. 7A.
  • FIG. 7A is a graph showing an example of action control performed in the situation of FIG. 7A.
  • FIG. FIG. 2 is a block diagram showing an example of the hardware configuration of a device according to each embodiment.
  • FIG. 1 is a block diagram showing an example of an analysis device.
  • the analysis device 10 includes an acquisition section 11, an evaluation section 12, and a determination section 13.
  • Each section (each means) of the analyzer 10 is controlled by a control section (controller) not shown. Each part will be explained below.
  • the acquisition unit 11 acquires a data set in which a plurality of combinations of a first pattern of one or more elements indicating an access attribute and an access control action corresponding to the first pattern are defined, and a data set that changes over time. and a second pattern of one or more elements indicating attributes of access to be performed.
  • One or more patterns may exist as each of the first and second patterns.
  • the acquisition unit 11 is configured with an interface that acquires information from inside or outside the analysis device 10. The acquisition process may be automatically executed by the acquisition unit 11 or may be performed by manual input.
  • the "element indicating the attribute of access" in the first pattern and the second pattern indicates an arbitrary element that specifies the nature of the access.
  • Specific examples of elements include one or more arbitrary specifics related to the nature of the access, such as (1) various data at the access source, (2) various data at the access destination, (3) other data indicating the nature of the access, etc. information (value) may be included.
  • the access source includes information on the ID (IDentification) of the access source, information on the user, information on the device of the access source, information on the IP (Internet Protocol) address of the access source, and information on port numbers. It includes one or more of information, software name (for example, application name), access authentication means, etc.
  • the information regarding the access source ID includes any one or more of the access source ID (user ID), user name, device ID, application ID, user authentication result (authentication history) of the access source ID, etc.
  • Information regarding the user includes the user's affiliation (organization), position, job type, user position (or location of the accessing device), affiliation of the accessing device, degree of abnormal behavior of the user or the accessing device, etc.
  • the information regarding the access source device includes one or more of the OS (Operating System) version and manufacturer name used by the access source device.
  • the information regarding the access source IP address includes any one or more of the access source IP address, the risk level of the access source IP address, and the like.
  • the OS version indicates vulnerability in access
  • the degree of behavioral abnormality indicates the possibility of attack.
  • Specific examples of various data at the access destination include information regarding the ID of the access destination, information regarding the data at the access destination, IP address of the access destination, information on the OS used by the device at the access destination, operation type, etc. Among them, one or more arbitrary ones are included.
  • the information regarding the ID of the access destination includes one or more of the resource ID of the access destination, the owner name of the resource ID of the access destination, and the like.
  • Information regarding the data to be accessed includes any one or more of the following: the organization to be accessed (the organization that owns the resource), the type of data (resource) requested to be accessed, the creator, the date and time of creation, the confidentiality level, etc. Contains things.
  • the sensitivity of a resource indicates the damage that can be expected if it is attacked.
  • data indicating the nature of the access include the frequency of requests from the ID of the access source to the resource ID of the access destination, the access time zone (or time), the session key method, and the
  • the information includes one or more of the following: importance of resources, band usage rate (degree of tightness of wireless resources), degree of abnormality, encryption strength of traffic, various types of data regarding authentication, etc.
  • the various data related to authentication include one or more of the following: various authentication methods (including information on authentication strength, for example), device authentication results, application authentication results, various authentication times, and the number of failures of various authentications. .
  • the importance of the resource to the requesting subject indicates the usability of the access, and the bandwidth utilization indicates the potential for performance degradation when controlling multiple accesses.
  • the elements shown above are merely examples, and elements indicating access attributes are not limited to these.
  • a pattern of one or more elements indicating access attributes means that one or more of these elements exist. For example, assuming X, Y, and Z as access attributes, X1 and X2 are elements of the same attribute X with different values, Y1 and Y2 are elements of the same attribute Y with different values, and elements of the same attribute Z with different values. Assume Z1 and Z2. In this case, the "pattern of elements indicating access attributes" is “X1", “Y1", “Z1", “X1, Y1”, “X1, Z1", “Y1, Z1”, “X1, Y2” , ... "X1, Y1, Z1” ... "X2, Y2, Z2", any one or more patterns are included. Note that at least one or more elements among the elements constituting the first pattern and the second pattern may be different.
  • the data set acquired by the acquisition unit 11 further includes access control actions corresponding to each of the first patterns.
  • access control actions corresponding to each of the first patterns.
  • two or more different actions are defined.
  • two or more types of actions may be defined among authorization, denial, and conditional authorization (additional authentication request).
  • the actions shown above are merely examples, and the types of actions are not limited to these.
  • a plurality of combinations of first patterns of one or more elements indicating the access attributes shown above and access control actions corresponding to each of the first patterns are defined in the data set.
  • “X1, Y1”, “X1, Z1”, and “Y1, Z1” exist as patterns of multiple elements indicating access attributes, and the actions corresponding to each pattern are “authorization” and “denial”.
  • "authorization” exists, the combinations of these are defined in the data set as "X1, Y1 ⁇ authorization", “X1, Z1 ⁇ denial", and "Y1, Z1 ⁇ authorization”.
  • the evaluation unit 12 uses at least transition information indicating a state transition in one or more elements indicating attributes of access and the second pattern acquired by the acquisition unit 11 to evaluate the action corresponding to the second pattern over time. Evaluate the execution cost when making changes.
  • the transition information may indicate, for example, a transition state over time of one or more elements indicating attributes of access in the second pattern. Alternatively, the transition information may indicate a transition state over time of an element that is related to one or more elements indicating attributes of access in the second pattern.
  • the evaluation unit 12 evaluates the execution cost when the action corresponding to the second pattern is changed over time, especially using the transition state of such an element indicated by the transition information. Note that the transition information may be generated by the evaluation unit 12 based on data, or may be acquired by the evaluation unit 12.
  • execution cost refers to any cost in hardware, software, or system that arises when a specific action is executed or is necessary to execute a specific action. show. Specific examples include the time required for process processing, the amount of hardware occupied such as memory and processors, the amount of power consumed, the communication band occupancy rate, and the required processing power such as response speed. Examples of execution costs is not limited to this. For example, this execution cost becomes low when the same action as the currently executed action is executed, and becomes high when an action different from the currently executed action is executed.
  • the determining unit 13 determines the action corresponding to the second pattern, using at least the evaluation result of the evaluating unit 12 and the data set acquired by the acquiring unit 11.
  • the action determined by the determining unit 13 may be an action at one timing, or may be an action at two or more timings with an interval between them.
  • the determined action is one action in two or more different steps, and for example, one of authorization, denial, and conditional authorization (additional authentication request) is determined.
  • the determining unit 13 may use a pre-learned AI (Artificial Intelligence) model in determining the action. In this case, by inputting the evaluation result and the data set to the trained AI model, the AI model outputs an action corresponding to the second pattern. However, the determining unit 13 may determine the action corresponding to the second pattern by analyzing the evaluation results and the data set using another algorithm.
  • AI Artificial Intelligence
  • FIG. 2 is a flowchart showing an example of typical processing of the analysis device 10, and the processing of the analysis device 10 will be explained with this flowchart. Note that the details of each process are as described above.
  • the acquisition unit 11 of the analysis device 10 acquires a data set in which a plurality of combinations of a first pattern of one or more elements indicating an access attribute and an access control action corresponding to the first pattern are defined. and a second pattern of one or more elements indicating attributes of access that change over time (step S11: acquisition step).
  • the evaluation unit 12 changes the action corresponding to the second pattern over time using at least the second pattern and transition information indicating a state transition in one or more elements indicating the access attribute.
  • the execution cost in the case of executing the program is evaluated (step S12: evaluation step).
  • the determining unit 13 determines an action corresponding to the second pattern using at least the evaluation result of the evaluating unit 12 and the data set (step S13: determining step).
  • the evaluation unit 12 evaluates the execution cost of the second pattern, and the determination unit 13 uses the execution cost when determining the action corresponding to the second pattern. This prevents the determining unit 13 from determining an action with a high execution cost. Therefore, the analysis device 10 can contribute to increasing the possibility of executing actions determined by policy in access control.
  • Embodiment 2 Hereinafter, in Embodiment 2, a specific example of the analysis device 10 described in Embodiment 1 will be disclosed.
  • FIG. 3 is a block diagram illustrating an example of an access control system 20A that executes access control determination on a zero trust network.
  • the access control system 20A includes a policy generation system 21, a determination unit 22, a data store 23, and an enforcer 24. The details of each part will be explained below.
  • the policy generation system 21 corresponds to a specific example of the analysis device 10 according to the first embodiment.
  • the policy generation system 21 generates an access control policy for access control based on the input information, and outputs the generated access control policy to the determination unit 22.
  • the input information may include different information in addition to the determination sample (corresponding to the data set in Embodiment 1) and transition information indicating state transition of attribute information. Details of this policy generation system 21 will be described later.
  • the access control policy is defined as a plurality of combinations of one or more patterns indicating access attributes and access control actions corresponding to the one or more patterns.
  • the combination of elements is (location of the access source device: A, resource type: resource A)
  • the access control policy may define the corresponding action as "authorization”. good.
  • the determination unit 22 acquires attribute information related to the elements of the request from the enforcer 24 or the like. Then, using the acquired attribute information and the access control policy generated by the policy generation system 21, an action corresponding to the request is determined. In other words, the determination unit 22 functions as a policy engine.
  • the element related to the request has the same meaning as the element indicating the access attribute described in the first embodiment.
  • the determination unit 22 includes (i) attribute information of an element indicating the access attribute included in the request obtained from the enforcer 24 as elements related to the request, and (ii) background information stored in the data store 23. Attribute information is input.
  • attribute information As an example of the information in (i), the ID of the access source, the IP address of the access source, the resource ID of the access destination, the operation type, the session key, etc. are assumed, but the information on the elements included in the request is limited to this. Not done.
  • the information (ii) may be any information regarding devices, users, applications, networks, and resources within the system, as well as other threat information and environment information.
  • the user name of the ID of the access source the user's affiliation, position or occupation, the manufacturer name of the device, the location of the device that is the access source, the user location, the user authentication result, the risk level of the IP address of the access source,
  • the name of the owner of the resource ID to be accessed the type and creation date and time of the data to be accessed, the encryption strength, the frequency of requests from the access source ID to the resource ID to be accessed, the access time, various authentication methods, device authentication results, Although application authentication results, various authentication times, the number of failures of various types of authentication, etc. are assumed, the element information included in the background attribute information is not limited to these.
  • the information (ii) may further include information on the results of at least one of the risk evaluation and needs (or usability) evaluation performed using the above background attribute information.
  • risk indicates a risk related to security, for example, a risk that access may be used for unauthorized access (attack).
  • the determination unit 22 may use both (i) and (ii) or only (i) in determining the action.
  • the determining unit 22 compares elements related to the request with combinations of multiple elements defined in the access control policy, and selects a combination of elements defined in the access control policy that satisfies the conditions of the elements related to the request. Identify. Then, the action defined corresponding to each combination is determined as the action for the request, and information on the determined action is output to the enforcer 24.
  • Actions that can be taken in the second embodiment include authorization, additional authentication request, manual authorization request, transfer to a detailed analysis engine, denial, etc., but are not limited to these.
  • possible actions include forwarding access to a server that performs a more detailed check, or requesting approval from an administrator.
  • This action constitutes a totally ordered set that satisfies the reflective law, the transitive law, the antisymmetric law, and the perfect law.
  • a totally ordered set indicating the degree of influence on an action is defined for a pattern.
  • the direction toward "approval” or “denial” is defined as “order of influence”
  • the information indicating how much it moves toward "approval” or “denial” is "magnitude of influence”. Define.
  • the determination unit 22 may further calculate data (for example, the reliability of the access source) that is a parameter related to the request but is not included in the acquired elements.
  • data for example, the reliability of the access source
  • the determination unit 22 functions as a trust engine.
  • the determining unit 22 may determine an action by a method other than determining an action for each individual request and outputting the action to the enforcer 24.
  • the determination unit 22 determines and outputs actions for various IDs of various (plural) request sources or request destinations in one go using the access control policy generated by the policy generation system 21 before a request is made. be able to.
  • the output set of a plurality of actions can be output as an ACL (Access Control List) to the Enforcer 24 that executes access control for the request.
  • ACL Access Control List
  • the determination unit 22 can be realized by any means such as a proxy server for access control, an application gateway, and attribute-based encryption (ABE).
  • the determination unit 22 can determine an action using any means such as a decision tree, a linear model, or a neural network. Further, when the determination unit 22 calculates the reliability, the reliability can be calculated by any means such as Naive Bayes, fuzzy logic, weighted sum, etc.
  • the data store 23 is a storage (storage unit) in which background attribute information used in the determination unit 22 described above is stored.
  • the access control system 20A stores automatically collected data in the data store 23.
  • the determination unit 22 refers to the data store 23 to obtain background attribute information corresponding to the request.
  • the background attribute information stored in the data store 23 may be any information regarding devices, users, applications, networks, and resources within the system, as well as other threat information and environment information, and may be used to perform actions using that information. Information on the results of at least one of the risk assessment and needs assessment may also be included.
  • the data store 23 includes, for example, asset management functions, authentication/ID management infrastructure, workload monitoring functions, threat information infrastructure, user behavior logs, CDM (Continuous Diagnostics and Mitigation), SIEM (Security Information and Event Management), etc. It may be realized by the function of
  • the enforcer 24 is an access control device provided on the user network, and when it receives an access control request, it outputs element information (access attribute information) regarding the request to the determination unit 22. Then, information on the action determined by the determination unit 22 is acquired, and access control for the request is executed based on the information on the action. If access is granted, the enforcer 24 forwards the packet related to the access to the resource (access destination), whereas if the access is denied, the enforcer 24 discards the packet related to the access. Further, types of actions other than approval and denial are also assumed. As an example, enforcer 24 may forward the access to a detailed analysis engine (not shown). The detailed analysis engine performs a detailed analysis of the access and determines whether to approve or deny the access. As described above, the access control system 20A executes access control based on the generated access control policy.
  • the enforcer 24 may obtain the ACL, which is a set of actions, from the determination unit 22, as described above. In this case, when the enforcer 24 receives a request, the enforcer 24 can determine the action for the request without inquiring the determination unit 22 by referring to the ACL and specifying the action corresponding to the request. .
  • the enforcer 24 may be realized, for example, by functions such as a reverse proxy, a firewall, a gateway, and an attribute-based cryptographic infrastructure.
  • the policy generation system 21 includes an information acquisition section 211, an execution cost evaluation section 212, a policy generation section 213, a parameter storage section 214, and a display section 215. Each part will be explained below.
  • the information acquisition unit 211 acquires information for the policy generation unit 213 to generate a policy, which will be described later.
  • the information acquisition unit 211 is configured, for example, as an input unit for inputting information.
  • the information acquisition unit 211 generates a pattern of one or more elements indicating attributes of access that change over time, which is the target of policy generation (corresponding to the second pattern in Embodiment 1, hereinafter referred to as target pattern). and obtain information for policy generation.
  • Information for policy generation includes, for example, determination samples.
  • the decision sample includes multiple sample policies defined by the user (or existing automation method).
  • a sample policy defines a plurality of correspondences between a plurality of element patterns indicating access attributes (hereinafter also referred to as sample patterns) and access control actions for the sample patterns. As described above, since an action is uniquely defined, such as approval or denial, quantitative information for generating a policy is defined as a judgment sample. Note that the sample policy may define a correspondence between only one element and an access control action for that element. The fewer sample policies required for policy generation, the less effort required to design the policy.
  • the plurality of sample policies may be defined from different viewpoints for each individual policy.
  • elements such as the encryption strength of traffic, the OS version of the access source device, the application authentication result, the user authentication strength, the creator of the resource, and the type of the resource may be set as viewpoints based on the security function.
  • the user's position, department for example, project in charge
  • resource creator for example, resource type, user location, location of the access source device, etc.
  • Elements may be set. In this way, different viewpoints may have different elements or the same elements.
  • a specific example of the sample policy is ⁇ Affiliation of the device that is the access source, location of the device ⁇ Authorization/denial''.
  • some of the elements of the sample policy may be expressed in a format that cannot be uniquely identified (that is, "anonymized”).
  • the user's affiliation in the sample policy is expressed as "Human Resources Department” or “Development Department” in the non-anonymized state, but in the anonymized state, it is expressed as "Department A” or “Department B.” ” is expressed like this.
  • Such anonymization is performed, for example, to protect the organization's confidential information when presenting the sample policy to people or systems outside the organization.
  • such anonymization may have occurred because elements of the underlying data were not uniquely identified when generating the sample policy in the first place (e.g., the underlying data was less readable). It is also assumed that
  • the information acquisition unit 211 may output the acquired determination sample as is to the execution cost evaluation unit 212 and the policy generation unit 213. Alternatively, the information acquisition unit 211 may further acquire data indicating ideal access control for a specific pattern, and output this data to the execution cost evaluation unit 212 and the policy generation unit 213 as a determination sample.
  • the number of patterns included in this data may be, for example, several to several tens of patterns, but is not limited to this. This makes it possible to further improve the accuracy of the policy generated by the policy generation unit 213.
  • the information acquisition unit 211 can also acquire modification information regarding modification of the access control policy, which is input by the user after making a decision with reference to the display unit 215, which will be described later.
  • the information acquisition unit 211 outputs the modified information to the policy generation unit 213. Further, the determination sample acquired by the information acquisition unit 211 may be changed as appropriate by the user.
  • the information acquisition unit 211 may acquire an intention (third pattern) that is assumed to be used by the decision maker when determining an action based on one or more factors.
  • intent refers to the knowledge necessary for policy generation, and more specifically includes a pattern of one or more elements indicating attributes of access.
  • the information acquisition unit 211 may acquire, as the intention, an intention in which at least one of the order and magnitude of the degree of influence that influences the action is defined in correspondence with a pattern of one or more elements. Furthermore, as described below, this intention may be defined in an ambiguous form.
  • the information acquisition unit 211 can acquire any number of combinations greater than or equal to one.
  • Examples of patterns of one or more elements include a set of "location of the access source device, type of requested data, or organization that owns the resource," a set of "OS, software name, or application name,” and a single "access source Possible items include “device affiliation” and "abnormality degree". For example, in access control, the type of data to which access is authorized or the organization that owns the resource may differ depending on the affiliation (or location) of the accessing device. Therefore, "the user's affiliation, the type of requested data, or the organization that owns the resource” may be defined as an element of intent.
  • the security level of access may change depending on the combination of the OS and software or application of the access source, the authentication method, and the degree of abnormality (that is, permission or denial of access may change).
  • OS, software name, or application name “authentication means”, and “abnormality degree” may be defined as elements of intention.
  • the information on the degree of influence that influences the action is information that indicates how much the action moves in the direction of "approval” or “denial".
  • the direction toward "approval” or “denial” is defined as the "order of influence”
  • the information indicating how much it moves toward "approval” or “denial” is defined as "magnitude of influence”. It is defined as For example, arranging the "magnitude of influence” in descending order becomes the “order of influence”. This impact information does not need to indicate the exact action to be taken.
  • the information acquisition unit 211 may acquire data such as numerical values expressed quantitatively as the degree of influence on intention, or may acquire information in a qualitative (ambiguous) format.
  • a specific example of the latter is, for example, regarding the direction of the action toward "authorization" (positive direction), "location of access source device: A, request data: resource A” changes from “location of access source device: This information means that the resource is larger than "A.
  • the access source device is a device that communicates while moving (a drone in this example), and resources A and B are surrounding map data regarding flights in areas A and B, respectively. When a drone flies over a certain area, it is natural to obtain map data related to that area in order to fly safely, and it is considered appropriate to approve access control for this area.
  • the action is "authorized”. It is preferable that However, it may be undesirable for security for the drone to acquire map data of an area different from the area in which it is currently flying. Therefore, the action for "location of access source device: A, requested data: resource A" is more likely to be “authorization” than for "location of access source device: A, requested data: resource B.”
  • parameters such as the newness of the OS version of the access source, the low degree of behavioral abnormality of the access source device, and the degree of public disclosure (low confidentiality) of the type of access destination resource may have a large value.
  • the degree of influence may be set such that the more the action is shown, the greater the direction of the action toward "authorization.”
  • the degree of influence is set so that the action on that resource is directed toward "authorization”. Also good.
  • the direction in which the action moves toward "approval” positive direction
  • the direction in which the action moves toward "denial” negative direction
  • the degree of influence is qualitative information that indicates a general trend, unlike quantitative information that indicates whether to actually approve or deny.
  • the degree of influence can be expressed in three or more levels instead of two (for example, it can be expressed as "high influence”, “slightly high influence”, and “low influence” in descending order of influence). It may be expressed as Qualitative information can be determined by a user making access control decisions, for example.
  • the information acquisition unit 211 When the information acquisition unit 211 acquires such qualitative impact information, the information acquisition unit 211 changes the impact information to a numerical value in which the order and magnitude of the impact are defined, and then converts the information to the policy generation unit 213. can be output to. For example, when assigning a positive score as the direction of "authorization”, the information acquisition unit 211 determines that "user affiliation: development department, requested data: design data” is "user affiliation: development department, requested data: human resources”. Since it is easier to define the action as "authorization" than "data”, the former may be assigned an impact level of "1", and the latter may be assigned a numerical value of "0".
  • the execution cost evaluation unit 212 generates and retains a model (state transition model: an example of transition information in Embodiment 1) regarding temporal changes in attribute information in one or more elements indicating attributes of access.
  • the state in the second embodiment refers to a vector consisting of a set of one or more other attribute information when a control unit such as a device ID, resource ID, etc. is fixed.
  • the execution cost evaluation unit 212 uses this state transition model to evaluate the execution cost of the action corresponding to the target pattern.
  • the explanation of the action execution cost is as described in the first embodiment. The higher the execution cost of an action, the less desirable the action is to be executed, and the lower the execution cost of the action, the more desirable the action is. Since the policy generation unit 213 generates a policy for the target pattern using the evaluated execution cost, actions that are difficult to control in reality are prevented from being defined in the policy. Therefore, it is possible to suppress the occurrence of unnecessary execution costs.
  • the execution cost evaluation unit 212 may construct a graph-structured state space in which states with high transition probabilities are connected by weighted edges using at least one of attribute information logs and design information.
  • the attribute information log shows a history of actually performed accesses to attributes that change over time and actions corresponding to the accesses.
  • the design information is information in which access to attributes that change over time and corresponding actions are defined in advance.
  • the device is a device that communicates while moving, such as a drone, and the current position of the device is state 1, and the position after a unit time has elapsed from the current location is state 2.
  • the higher the transition probability from state 1 to state 2 the closer the distance between state 1 and state 2 in the state space becomes, and the greater the weight of the edge in the graph structure becomes.
  • the closer the bandwidth usage rate of state 1 and the bandwidth usage rate of state 2 the higher the transition probability from state 1 to state 2, so the execution cost evaluation unit 212 increases the weight of the edge.
  • the execution cost evaluation unit 212 (A) smoothes the probabilities of possible actions between state 1 and state 2 according to the set edge weight. This process (A) will be explained in detail below.
  • FIG. 4A shows an example of the state space.
  • This state space shows a state in which the access source drone R communicates while moving.
  • drone R is located in area ⁇ at initial time t0, and this state is defined as state 1.
  • the drone R can move to either area ⁇ 1 or area ⁇ 2.
  • a state in which the drone R is located in area ⁇ 1 at time t1 is defined as state 2
  • a state in which drone R is located in area ⁇ 2 at time t2 is defined as state 3.
  • the transition probability from state 1 to state 2 is higher than the transition probability from state 1 to state 3. Therefore, the execution cost evaluation unit 212 sets the weight of the edge from state 1 to state 2 to be larger than the weight of the edge from state 1 to state 3.
  • FIG. 4B is an example of a table in which actions in each area ⁇ , ⁇ 1, and ⁇ 2 are defined in the determination sample acquired by the information acquisition unit 211 in this example.
  • Resources A, B1, and B2 in the table are map data related to flights in areas ⁇ , ⁇ 1, and ⁇ 2, respectively, and are access destination data.
  • drone R when drone R flies in areas ⁇ , ⁇ 1, and ⁇ 2, it is authorized to acquire map data regarding each area, but map data regarding areas where drone R is not currently flying is authorized. That is denied.
  • the execution cost evaluation unit 212 refers to the state space data shown in FIG. 4A and the determination sample data shown in FIG. 4B. Then, the weight of the edge from state 1 to state 2 is greater than the weight of the edge from state 1 to state 3 (that is, the transition probability from state 1 to state 2 is greater than the transition probability from state 1 to state 3). ). Based on this determination result, the execution cost evaluation unit 212 evaluates the execution cost of denying access to resource B1 in state 1 to be higher than the execution cost of denying access to resource B2 in state 1. This is because when denying access to resource B1 in state 1, it is necessary to switch the access control operation to resource B1 from denial to authorization, for example, in order to authorize access to resource B1 in synchronization with the transition to state 2.
  • the drone R is a mobile device, even if the access control system 20A recognizes that it is in area ⁇ (state 1), it is actually in area ⁇ 1 (state 2). Or, it may be in area ⁇ 2 (state 3). As shown in FIG. 4A, the drone R is more likely to move to state 2 than state 3 in the state space. Therefore, when the access control system 20A side recognizes that the user is in the area ⁇ (state 1), the probability that the user is actually in the area ⁇ 1 is higher than the probability that the user is actually in the area ⁇ 2. Furthermore, as shown in FIG. 4B, in states 2 and 3, access to resources B1 and B2 is permitted, respectively.
  • the execution cost evaluation unit 212 sets the possibility that access to resource B1 is permitted in state 1 to be higher than the possibility that access to resource B2 is permitted in state 1. The above-mentioned process is executed to increase the value.
  • the execution cost evaluation unit 212 determines whether the resource B3 (not shown) is acquired in state 1. The execution cost of denying access to B3 is evaluated higher than the execution cost of denying access to resource B2 in state 1. Furthermore, in the determination sample data shown in FIG. 4B, it is denied that the drone R is allowed to acquire the resource B1 when flying in the area ⁇ 1, and it is denied that the resource B2 is obtained when the drone R is flying in the area ⁇ 2. It is also assumed that there may be cases where In this case, the execution cost evaluation unit 212 evaluates the execution cost of authorizing access to resource B1 in state 1 to be higher than the execution cost of authorizing access to resource B2 in state 1.
  • the execution cost evaluation unit 212 calculates the execution cost of executing an action in state 1 that is different from the action defined in state 2 in the judgment sample, and the execution cost of executing an action that is different from the action defined in state 3 in the judgment sample. Evaluate the execution cost so that it is higher than the execution cost of performing the action.
  • the execution cost evaluation unit 212 outputs the execution cost evaluation result to the policy generation unit 213.
  • the execution cost evaluation unit 212 can also execute the process (B) shown below.
  • the execution cost evaluation unit 212 determines that the time interval at which the state transitions from state 1 to state 2 is less than or equal to a predetermined allowable time interval (threshold), and that in the determination sample, state 1 and state 2, a sample policy is generated that defines the actions corresponding to the access as the same action (for example, authorization or denial).
  • a predetermined allowable time interval for example, authorization or denial.
  • the fact that the time interval for transitioning from state 1 to state 2 is less than or equal to the predetermined allowable time interval indicates the feasibility of changing the action between state 1 and state 2 (the feasibility of changing the action over time). ) is less than a predetermined threshold.
  • the execution cost evaluation unit 212 uses, for example, the determination sample acquired by the information acquisition unit 211 or information on the results of at least one of the risk evaluation and the needs evaluation stored in the data store 23 to determine the state 1. and determine the same action to define for state 2.
  • the risk evaluation indicates the level of security required for the access pattern that is the subject of access control determination
  • the needs assessment indicates the level of need that is required for the access pattern that is the subject of access control determination.
  • the execution cost evaluation unit 212 determines that the action defined for state 1 and state 2 is "deny". do. As another example, if the risk set in the ID of Drone R is less than a predetermined threshold in the risk assessment, and the needs set in the ID of Drone R are greater than or equal to the predetermined threshold in the needs assessment, the execution cost evaluation The unit 212 determines the action defined for state 1 and state 2 to be "authorization.” Note that if the risk set in the ID of Drone R is less than a predetermined threshold in the risk assessment, and the needs set in the ID of Drone R are less than the predetermined threshold in the needs assessment, the execution cost evaluation unit 212 The action defined for state 1 and state 2 may be determined to be either "authorization” or "denial.” In this way, the execution cost evaluation unit 212 determines an action that satisfies one of the levels of needs and security, and newly generates a
  • the additional determination sample policy set in this way (hereinafter also referred to as additional determination sample) is input to the policy generation model described below. Thereby, the policy generated by the policy generation unit 213 is controlled so as to define the same action for state 1 and state 2.
  • processing (B) allows the actions determined for state 1 and state 2 to be the same action, thereby making it possible to suppress the execution cost associated with access control.
  • the execution cost evaluation unit 212 does not generate additional determination samples.
  • the policy generation unit 213 can determine an action so that the needs and security defined in the needs assessment and risk assessment in the access pattern subject to access control are satisfied.
  • the policy generation unit 213 acquires the target pattern, judgment sample, intent, and other information for policy generation from the information acquisition unit 211, and receives the execution cost evaluation result (and generated information) from the execution cost evaluation unit 212. (if applicable, additional judgment samples are also obtained).
  • the judgment sample is information that reflects quantitative intentions for generating a policy.
  • information for policy generation may include qualitative information such as the positive or negative effect that arbitrary attribute information has on action decisions as intention information.
  • the policy generation unit 213 also acquires information on risk evaluation and needs evaluation.
  • the policy generation unit 213 inputs this information into an access control policy generation model (hereinafter referred to as a policy generation model).
  • the policy generation model has undergone machine learning in advance to generate an access control policy based on input. Thereby, the policy generation model generates and outputs an access control policy in which access control actions are defined along the direction indicated by the input information.
  • the access control policy is defined by a combination of one or more element patterns (target patterns) indicating access attributes and actions.
  • the pattern of elements included in the access control policy may be a sample pattern defined by information for policy generation and additional determination samples.
  • the policy generation model mimics how a sample policy was determined by an administrator of an access-controlled network based on input information that was not clearly defined in the sample policy (e.g., was out of scope, Patterns of combinations of elements (which were ignored because they do not have a substantial impact on access control decisions) and combinations of actions can be determined in detail as access control policies.
  • the policy generation model can automatically adjust the order and magnitude of the degree of influence corresponding to the combination of elements based on intention, and set appropriate values.
  • the policy generation model can generate an access control policy so that influence information (for example, order and size) corresponding to the element pattern acquired from the information acquisition unit 211 is saved.
  • the policy generation model generates the access control policy so that the quantitative action corresponding to the target pattern defined in the access control policy is consistent with the qualitative impact information acquired from the information acquisition unit 211. can be generated.
  • the generated access control policy may uniquely specify an anonymized portion in the sample policy.
  • the policy generation model is designed to ensure that the quantitative action corresponding to the target pattern defined in the access control policy is consistent with the evaluation results and additional judgment samples output by the execution cost evaluation unit 212. can also be generated.
  • the policy generation model is used when the information for policy generation such as the judgment sample acquired from the information acquisition unit 211 changes, or when the information such as the execution cost evaluation result acquired from the execution cost evaluation unit 212 changes.
  • the generated access control policy can be changed accordingly.
  • the policy generation unit 213 acquires access control policy modification information from the information acquisition unit 211, it can also modify the generated access control policy according to the modification information.
  • the policy generation unit 213 described above can be implemented using any means such as a linear model, support vector machine, neural network, decision tree, ensemble decision tree, Bayesian model, non-negative weight linear model, monotonic neural network, monotonic decision tree, etc. It can be realized.
  • the policy generation unit 213 may generate some kind of algorithm (for example, a program) instead of the access control policy.
  • This program outputs an action corresponding to the pattern when a pattern of a plurality of elements indicating attributes of a predetermined (eg, requested) access is input.
  • the policy generation unit 213 outputs the program to the determination unit 22, and the determination unit 22 uses the program to determine the action related to the request.
  • the policy generation unit 213 outputs the generated access control policy (or algorithm) to the determination unit 22 and the display unit 215.
  • the parameter storage unit 214 stores parameters necessary for the policy generation unit 213 to generate an access control policy (for example, parameters necessary for setting a policy generation model).
  • the policy generation unit 213 obtains parameters from the parameter storage unit 214 when generating an access control policy.
  • the display unit 215 is an interface that organizes and displays the access control policies generated by the policy generation unit 213 so that the user can easily understand them.
  • the display unit 215 has display functions such as GUI (Graphical User Interface) and CLI (Command Line Interface). Furthermore, the display unit 215 may have an interface such as a computer (for example, a management cloud server) for a user to manage access control.
  • the display unit 215 can display, as the content of the access control policy, the permitted status and the permitted users and devices for each organization that owns the access destination resource. At this time, the display unit 215 can omit displaying attribute information of elements whose influence on the action is less than or equal to a threshold value. In addition, the display unit 215 displays the access control policy on the GUI that is common to the input unit, so that the information such as the determination sample input by the user in the input unit and the access control policy displayed on the display unit 215 can be It is also possible to make the user recognize the consistency in an easy-to-understand manner.
  • the user inputs correction information for the portion of the access control policy that is considered to be inappropriate using the input unit.
  • the modification information is output from the information acquisition section 211 to the policy generation section 213, so that the policy generation section 213 modifies the portion specified by the modification information in the access control policy.
  • the user can confirm the modification of the access control policy.
  • the user may input additional determination samples to the policy generation system 21 via the input unit based on the display result of the access control policy on the display unit 215.
  • the policy generation unit 213 can generate an access control policy that is more suited to the situation at the timing of generating an access control policy from next time onward, using the additional determination sample acquired by the information acquisition unit 211. .
  • FIG. 5A is a diagram showing an example of the access control situation.
  • the drone R is moving by flight from area ⁇ to area ⁇ , and is located in area ⁇ in FIG. 5A.
  • An enforcer 24, which is an access control device, is connected to each of the areas ⁇ to ⁇ , and an AP (Access Point) 1 that enables wireless communication with the drone R when the drone R moves to each area ⁇ to ⁇ . ⁇ 4 will be provided.
  • the enforcer 24 requests a resource
  • the enforcer 24 receives the request from the AP in the area where the drone R is located.
  • the enforcer 24 transmits the ID of the access source drone R, the position information of the drone R (information indicating which area the drone R is in), etc. to the determination unit 22 (not shown in FIG. 5A). ).
  • the enforcer 24 authorizes or denies access to each of the resources A, B, C, and D included in the resource S connected to the enforcer 24 based on the action instruction from the determination unit 22.
  • FIG. 5B is an example of a table in which actions in each area ⁇ , ⁇ , ⁇ , and ⁇ are defined in the determination sample acquired by the information acquisition unit 211 in this example.
  • Resources A, B, C, and D in the table are data included in resource S, and are map data regarding flights in areas ⁇ , ⁇ , ⁇ , and ⁇ , respectively.
  • drone R when drone R flies in areas ⁇ , ⁇ , ⁇ , and ⁇ , it is authorized to acquire map data regarding each area, but map data regarding areas where drone R is not currently flying is authorized. Acquisition is denied.
  • FIG. 5C is a diagram showing an example of an action determined by the determination unit 22 when the drone R is located in area ⁇ and the determination sample shown in FIG. 5B is used as is as the access control policy.
  • drone R is allowed to access resource B, but is denied access to other resources.
  • the enforcer 24 recognizes the position of drone R as being in area ⁇ , the actual position of drone R may move to a different position (for example, area ⁇ , ⁇ ).
  • the drone R cannot acquire resources related to the area it is currently in, but instead acquires resources related to the area it has already flown, and there is a possibility that access control cannot be performed in accordance with the actual situation.
  • FIG. 5D is an example of action control performed in the situation shown in FIG. 5A using the access control policy generated by the policy generation unit 213 based on the above-described processing.
  • access control 1 to 4 four types of examples of access control 1 to 4 are shown as action control depending on the situation.
  • action controls 1, 2, and 4 indicate that the moving speed of the drone R is fast and the time interval for state transition in the state space is equal to or less than a predetermined threshold
  • action control 3 indicates that the moving speed of the drone R is This indicates a case where the time interval between state transitions in the state space is larger than a predetermined threshold value.
  • Action control 1 determines that the need for drone R to access the resource is determined to be equal to or higher than a predetermined threshold in the needs assessment, and that the risk for drone R to access the resource is less than a first threshold Th1 in the risk assessment. Indicates the case where it is determined that there is.
  • the policy generation model provides access not only to resource B corresponding to area ⁇ , which is the position of drone R recognized by enforcer 24, but also to resources C and D corresponding to areas ⁇ and ⁇ located in the direction of flight. Configure access control policy to allow. As described above, it is assumed that while the enforcer 24 recognizes the position of the drone R as being in the area ⁇ , the actual position of the drone R moves to the area ⁇ or ⁇ . Therefore, if the drone R has a high need to acquire resources, it is preferable to allow access to the resources C and D.
  • Action control 2 determines in the needs assessment that the need for access to the resource by the drone R is equal to or greater than a predetermined threshold, and in the risk assessment, the risk for the access to the resource by the drone R is determined to be equal to or greater than a first threshold Th1. 2 (Th1 is smaller than Th2).
  • the policy generation model controls access so as to permit access not only to resource B corresponding to area ⁇ , which is the location of drone R recognized by enforcer 24, but also to resource C corresponding to area ⁇ adjacent thereto.
  • Set policies In the situation of action control 2, although there is a high need for access to resources, compared to the situation of action control 1, the risk of the drone R collecting resources is high. Therefore, compared to action control 1, there are fewer resources to which access is authorized. Specifically, access to resource D is denied.
  • action controls 1 and 2 access to information around the area where the device is located is permitted or denied depending on the needs, risks, and movement probability of the access source device.
  • Action control 3 determines in the needs assessment that the need for access to the resource by the drone R is greater than or equal to a predetermined threshold, and in the risk assessment, the risk for the access to the resource by the drone R is determined to be greater than or equal to the first threshold Th1. 2 is determined to be less than the threshold value Th2. As described above, since the moving speed of the drone R is not fast, it is considered that the enforcer 24 accurately recognizes the position of the drone R. Therefore, in action control 3, access is authorized only to resource B corresponding to area ⁇ , which is the location of drone R, and access to other resources is denied.
  • Action control 4 determines in the needs assessment that the need for access to the resource by the drone R is determined to be less than a predetermined threshold, and in the risk assessment, the risk for the access to the resource by the drone R is greater than or equal to a second threshold Th2. Indicates the case where it is determined that there is. In this case, since the moving speed of the drone R is fast, the enforcer 24 may not accurately recognize the position of the drone R. Since the need for access is low and the risk is high, the policy generation model is set to deny access to all resources for Drone R. This action control 4 is set by the process (B) of the execution cost evaluation unit 212 described above.
  • the execution cost evaluation unit 212 uses the state transition model to evaluate the execution cost when changing the action corresponding to the target pattern over time. Then, the policy generation unit 213 uses at least the evaluation result and the determination sample acquired by the information acquisition unit 211 to determine an action corresponding to the target pattern. This makes it possible to generate an access control policy that not only meets security and needs, but also satisfies the feasibility of control.
  • the policy generation unit 213 generates an access control policy so that the action is executed.
  • the policy generation unit 213 refers to at least one of the risk assessment and the needs assessment, so that an action that satisfies one of security and needs is executed even though one of them is not satisfied. , generate an access control policy.
  • the access control system 20A can automatically generate an access control policy that takes into account the trade-off between security needs and feasibility, based on coarse accuracy or a small number of determination samples. .
  • the determination unit 22 can set a set of many actions as an ACL for the access control device (enforcer 24).
  • the access control device can determine the action to take in response to the access request by simply referring to the ACL, so there is no need to obtain and search background attribute information related to access when determining the action. . Therefore, the access control processing of the access control device can be performed at high speed. However, reducing the execution cost for generating and updating ACLs in access control system 20A may still be a challenge.
  • since it is possible to generate an access control policy in which actions that are highly likely to be executed are defined it is possible to reduce the number of times that an ACL based on the access control policy is updated.
  • the risk of access from the access source device is low (for example, below a predetermined threshold)
  • the number of resources that the access control policy authorizes for access from that device will increase.
  • the access control policy when the access source device moves, the access control policy also applies to resources related to the location where the access source device is likely to move in the future. , can authorize that access. Therefore, the enforcer 24 can reduce the frequency of communication with the access source device.
  • the enforcer 24 can reduce the frequency of communication with the access source device.
  • it is highly possible to increase the number of resources authorized for access from the access source device if an ACL is generated, it is possible to reduce the number of times the ACL is updated. .
  • the access control policy may be set to deny access from the device in situations that pose a high security risk, and to authorize access in situations where continued service to the device is required.
  • the policy generation unit 213 determines, based on risk assessment and needs assessment, that security risks increase only under certain circumstances and that needs must be maintained except for those circumstances.
  • an access control policy is generated that executes detailed access control even if the ACL update frequency is increased. This has the effect of ensuring security by prohibiting access at an early stage when the risk of access begins to rise.
  • the ACL update frequency is reduced and execution costs can be lowered.
  • the information acquisition unit 211 acquires intention information indicating an attribute of access, in which at least one of the order and magnitude of the degree of influence that influences the action is defined, and the policy generation unit 213 , information on the intention may be further used to generate an access control policy. This allows the accuracy of the access control policy to be further improved.
  • the policy generation unit 213 can determine an action corresponding to the target pattern by further using information indicating the needs and/or security level of the target pattern. Thereby, access control policies can be generated to meet needs and/or security aspects.
  • the execution cost evaluation unit 212 can also evaluate the feasibility of changing an action over time. If the evaluated feasibility is equal to or higher than a predetermined threshold, the policy generation unit 213 takes an action corresponding to the pattern to satisfy both the needs and security level required by the pattern to be access controlled. Determine. On the other hand, if the evaluated feasibility is less than the predetermined threshold, the policy generation unit 213 sets the level of one of the required needs and security based on the levels of both the required needs and security. Determine the action that corresponds to that pattern so that it satisfies the pattern. This allows the access control policy to reliably define actions that are realistically executable.
  • the execution cost evaluation unit 212 may generate a log or a model (for example, a state transition model) indicating changes in access attributes over time as transition information, and evaluate the execution cost using the transition information. Thereby, the execution cost evaluation unit 212 can evaluate the execution cost using a simple method. However, the execution cost evaluation unit 212 may acquire the above-mentioned transition information from other components of the access control system.
  • a model for example, a state transition model
  • the execution cost evaluation unit 212 determines that the probability of transitioning from the first state to the second state over time for the attribute of the access related to the target pattern is determined from the first state to the second state. If it is determined that the probability of transitioning to state 3 over time is higher than the probability of transition over time, the execution cost may be evaluated as follows. In other words, when the attribute is in the first state, the execution cost of executing an action that is different from the action defined when the attribute is in the second state in the judgment sample is calculated when the attribute is in the third state in the judgment sample. The execution cost is evaluated to make it higher than the execution cost of performing an action different from the defined action in a given case. As a result, in the access control policy, actions that can be taken in a state with a high probability of transition in the near future are more likely to be executed, making it easier to acquire resources and increasing needs.
  • the policy generation unit 213 determines that the time interval at which the access attribute related to the pattern subject to access control transitions over time from the first state to the second state is equal to or less than a predetermined threshold, and that For an access in which different actions are defined in the first state and the second state, the actions in the first state and the second state in the access can be determined to be the same action.
  • the policy generation unit 213 maintains executable actions before and after the transition when the time interval until the transition is short and it is unlikely to change the action before or after the transition. be able to. Therefore, the execution cost related to the action can be reduced.
  • the policy generation unit 213 may execute the above-described action determination method by inputting the determination sample added by the execution cost evaluation unit 212 into the policy generation model. Thereby, the policy generation unit 213 can train the policy generation model to match reality.
  • Embodiment 3 Hereinafter, in Embodiment 3, a further specific example of the analysis device 10 described in Embodiment 1 will be disclosed. Note that descriptions that are the same as those in Embodiment 2 will be omitted as appropriate.
  • FIG. 6 is a block diagram illustrating an example of an access control system 20B that executes access control decisions on a zero trust network.
  • the access control system 20B further includes a control state storage unit 25 in addition to a policy generation system 21, a determination unit 22, a data store 23, and an enforcer 24.
  • a control state storage unit 25 in addition to a policy generation system 21, a determination unit 22, a data store 23, and an enforcer 24.
  • the control state storage unit 25 in addition to explaining the control state storage unit 25, only the differences from the second embodiment will be explained regarding the processes executed by the policy generation system 21 to the enforcer 24, and the explanation of common processes will be omitted.
  • the control state storage unit 25 stores past action history determined by the determination unit 22, which is a policy engine.
  • the past action history includes, for example, a set of the ID of the request source device and the ID of the request destination.
  • the determination unit 22 can use the action history stored in the control state storage unit 25 to determine an action.
  • the following process (C) is executed by the information acquisition unit 211.
  • the information acquisition unit 211 obtains at least one of the order and magnitude of the degree of influence that influences the action as information on an intention in which at least one of the order and magnitude of the degree of influence that influences the action is defined. , at least one of the following processes can be performed. That is, it is a process of giving a positive effect to setting the same action before and after the passage of time, or giving a negative effect to setting different actions before and after the passage of time.
  • the information acquisition unit 211 can execute the process (C) by acquiring the past action history from the control state storage unit 25 and identifying the content of the most recently performed action in the target pattern.
  • the policy generation unit 213 determines an action and generates an access control policy by further using information on the intention set by the information acquisition unit 211 in process (C) in addition to the determination sample.
  • the information acquisition unit 211 sets qualitative effects as intention information so that the action performed in the most recent access control is more likely to be executed in the current access control. Therefore, it is possible to generate an access control policy that takes into account the feasibility of access control with a process that is simpler than the smoothing process shown in process (A).
  • FIG. 7A is a diagram showing an example of the access control situation.
  • the robot T requests resources from the enforcer 24, which is an access control device connected to the AP 5, by performing wireless communication with the AP 5.
  • the enforcer 24 outputs device attribute information such as the ID of the robot T that is the access source and the bandwidth usage rate in communication with the robot T to the determination unit 22 (not shown in FIG. 7A). do.
  • the enforcer 24 authorizes or denies access to each of the resources E and F included in the resource S connected to the enforcer 24, based on the action instruction from the determination unit 22.
  • Resource E is video content
  • resource F is a text file. Therefore, when the robot T accesses the resource E, the load on the wireless communication band usage is higher than when the robot T accesses the resource F.
  • FIG. 7B is a graph showing an example of the band usage rate in wireless communication of the robot T. As shown in FIG. 7B, the graph of the band usage rate has two peaks, peaks PA1 and PA2, over time. Note that the peak PA2 has a larger maximum value of the band usage rate and a longer peak period than the peak PA1.
  • resource E is video content. Therefore, if the robot T is allowed to access the resource E when the bandwidth usage rate is high, there is a possibility that communication between other robots and the enforcer 24 will not be possible.
  • one threshold is defined for the bandwidth usage rate, and if the bandwidth usage rate exceeds that threshold, it is defined to deny robot T access to resource E. There are ways to do this.
  • Another possible method is to set two types of hysteresis thresholds Th3 and Th4 (Th4>Th3) in the access control policy.
  • Th3 and Th4 Th4>Th3
  • FIG. 7C and 7D are graphs showing examples of action control performed in the situation of FIG. 7A by the access control policy generated by the policy generation unit 213 based on the above-described processing to solve such problems.
  • FIG. 7C is an example of an access control policy when the access risk of the robot T evaluated by the risk assessment is less than a predetermined threshold (when the risk is medium).
  • FIG. 7D is an example of an access control policy when the access risk of the robot T evaluated by the risk evaluation is equal to or higher than a predetermined threshold (when the risk is high).
  • the interval (hysteresis margin) between the hysteresis thresholds Th3 and Th4 is 0.4, which is a relatively long interval. Further, the value of Th4 is relatively large. Therefore, in the action control in FIG. 7C, access to resource E is authorized at peak PA1, while access to resource E is denied at peak PA2. Specifically, near peak PA2 in FIG. 7C, access to resource E is denied after time t3 when the band usage rate exceeds threshold Th4. In this way, an access control policy with a large hysteresis margin is generated when both the access risk and the need determined in the risk assessment and needs assessment are below a predetermined threshold. This makes it possible to suppress frequent changes in the action, thereby reducing execution costs. Furthermore, when the access control system 20 generates an ACL, the frequency of updating the ACL can be reduced.
  • the interval (hysteresis margin) between the hysteresis thresholds Th3 and Th4 is 0.1, which is a relatively short interval.
  • Th3 and Th4 in FIG. 7D are smaller than Th3 and Th4 in FIG. 7C, respectively (in this example, Th4 in FIG. 7D is equal to Th3 in FIG. 7C). Therefore, in the action control in FIG. 7D, access to resource E is denied at peaks PA1 and PA2. Specifically, near the peak PA2 in FIG. D, access to the resource E is denied after time t4 when the band usage rate exceeds the threshold Th4. At this time, time t4 is earlier than time t3, so in the situation of FIG.
  • the information acquisition unit 211 acquires the same information before and after the passage of time with respect to at least one of the order and magnitude of the degree of influence that influences the action, as information on the intention. It is possible to perform at least one of giving a positive effect to setting an action, or giving a negative effect to setting different actions before and after the passage of time.
  • the policy generation unit 213 generates an access control policy using information on an intention to which at least one of a positive effect and a negative effect is given. This makes it possible to generate an access control policy that not only meets security and needs, but also satisfies the feasibility of control.
  • the policy generation unit 213 generates different access control policies (for example, policies with different determination thresholds and hysteresis margins) depending on whether at least one of the required access risks and needs is high and when both are low. ) can be automatically generated. This increases the degree of freedom in access control, and contributes to reducing execution costs associated with access control to the extent possible while maintaining required security and needs.
  • policies for example, policies with different determination thresholds and hysteresis margins
  • the process (A) in the second embodiment is an internal process executed by the execution cost evaluation unit 212.
  • what is used in the process (C) in the third embodiment is the action history performed in the most recent access control. Therefore, when the user adjusts the method of processing (A) or (C), the user can more easily check the action history than the result of the internal processing of the execution cost evaluation unit 212. Therefore, the process (C) is easier for the user to understand and process for modifying the access control policy than the process (A).
  • the other effects provided by the access control system 20B are similar to those provided by the access control system 20A, so their description will be omitted.
  • the access control system 20 shown in Embodiments 2 and 3 can design an access control policy with a high degree of control freedom, for example, in fields such as CPS (Cyber-Physical System) and Beyond 5G.
  • the access control system 20 is a zero trust platform that constantly collects various information on devices and the environment and performs access control in a synchronous CPS where a large number of devices are connected and the state continues to change dynamically. It is useful for generating.
  • attribute information such as the location of the device and the applications used fluctuate frequently, the access control processing in the access control device cannot keep up with the fluctuations, so it is necessary to use a policy generated in advance. Street action control may not be possible.
  • the access control system 20 of the present disclosure is capable of generating in advance an access control policy that is highly executable and that does not cause the access control execution cost to be excessive, while taking into account the needs and risks in the action. .
  • the policy generation unit 213 generates only one of the needs defined in the needs assessment and the security defined in the risk assessment in the access pattern subject to access control, rather than both. Actions can also be determined so that the following conditions are met.
  • this disclosure has been described as a hardware configuration, but this disclosure is not limited to this.
  • This disclosure can also realize the processing (steps) of the policy generation device or policy generation system described in the above embodiments by causing a processor in a computer to execute a computer program.
  • FIG. 8 is a block diagram showing an example of the hardware configuration of an information processing device (signal processing device) that executes the processing of each embodiment shown above.
  • this information processing device 90 includes a signal processing circuit 91, a processor 92, and a memory 93.
  • the signal processing circuit 91 is a circuit for processing signals under the control of the processor 92. Note that the signal processing circuit 91 may include a communication circuit that receives signals from a transmitting device.
  • the processor 92 is connected (coupled) with the memory 93, and reads software (computer program) from the memory 93 and executes it to perform the processing of the apparatus described in the above embodiment.
  • the processor 92 one of a CPU (Central Processing Unit), MPU (Micro Processing Unit), FPGA (Field-Programmable Gate Array), DSP (Demand-Side Platform), and ASIC (Application Specific Integrated Circuit) is used. or a plurality of them may be used in parallel.
  • the memory 93 is composed of volatile memory, nonvolatile memory, or a combination thereof.
  • the number of memories 93 is not limited to one, and a plurality of memories may be provided.
  • the volatile memory may be, for example, RAM (Random Access Memory) such as DRAM (Dynamic Random Access Memory) or SRAM (Static Random Access Memory).
  • the nonvolatile memory may be, for example, a ROM (Read Only Memory) such as a PROM (Programmable Random Only Memory) or an EPROM (Erasable Programmable Read Only Memory), a flash memory, or a SSD (Solid State Drive).
  • Memory 93 is used to store one or more instructions.
  • one or more instructions are stored in memory 93 as a group of software modules.
  • the processor 92 can perform the processing described in the above embodiment by reading out and executing these software module groups from the memory 93.
  • the memory 93 may include one built into the processor 92 in addition to one provided outside the processor 92. Furthermore, the memory 93 may include storage located apart from the processors that constitute the processor 92. In this case, the processor 92 can access the memory 93 via an I/O (Input/Output) interface.
  • I/O Input/Output
  • processors included in each device in the embodiments described above executes one or more programs including a group of instructions for causing a computer to execute the algorithm described using the drawings. . Through this processing, the signal processing method described in each embodiment can be realized.
  • a program includes a set of instructions (or software code) that, when loaded into a computer, causes the computer to perform one or more of the functions described in the embodiments.
  • the program may be stored on a non-transitory computer readable medium or a tangible storage medium.
  • computer readable or tangible storage media may include random-access memory (RAM), read-only memory (ROM), flash memory, solid-state drive (SSD) or other memory technology, CD - Including ROM, digital versatile disk (DVD), Blu-ray disk or other optical disk storage, magnetic cassette, magnetic tape, magnetic disk storage or other magnetic storage device.
  • the program may be transmitted on a transitory computer-readable medium or a communication medium.
  • transitory computer-readable or communication media includes electrical, optical, acoustic, or other forms of propagating signals.
  • the acquisition means further acquires a third pattern of one or more elements indicating an attribute of access, in which at least one of the order and magnitude of influence affecting the action is defined,
  • the determining means further determines the action using the third pattern.
  • the analysis device described in Appendix 1. (Additional note 3) In the third pattern, the acquisition means imparts a positive effect to setting the same action before and after the passage of time on at least one of the order or magnitude of the degree of influence that influences the action. or giving a negative effect to setting different actions before and after the passage of time;
  • the determining means further uses the third pattern to which at least one of the positive effect and the negative effect is added to determine the action.
  • the determining means determines an action corresponding to the second pattern, further using information indicating at least a level of needs or security required in the second pattern.
  • the analysis device according to any one of Supplementary Notes 1 to 3. (Appendix 5)
  • the evaluation means further evaluates the feasibility of changing the action over time,
  • the determining means determines the second pattern so as to satisfy both the needs and security level required in the second pattern when the feasibility evaluated by the evaluation means is equal to or higher than a predetermined threshold. determine the corresponding action, If the feasibility evaluated by the evaluation means is less than a predetermined threshold, one of the needs and security that should be satisfied based on the levels of both needs and security required in the second pattern.
  • the evaluation means acquires or generates a log or a model indicating a change in the access attribute over time as the transition information, and evaluates the execution cost using at least the transition information and the second pattern. do, The analysis device according to any one of Supplementary Notes 1 to 3. (Appendix 7) By referring to the transition information, the evaluation means determines that the probability of transitioning from a first state to a second state over time with respect to the attribute of the access according to the second pattern is determined from the first state to the second state.
  • the determining means is configured such that a time interval at which the access attribute according to the second pattern transits over time from a first state to a second state is less than or equal to a predetermined threshold, and for an access in which different actions are defined in a state and the second state, determining the actions in the first state and the second state in the access to be the same action;
  • the analysis device according to any one of Supplementary Notes 1 to 3.
  • the determining means is determining an action corresponding to the second pattern using a model trained to output an action corresponding to the second pattern by inputting at least the evaluation result and the data set;
  • the time interval at which the attribute of the access according to the second pattern transits over time from the first state to the second state is less than or equal to a predetermined threshold, and the first state and the second state are different from each other in the dataset.
  • the analysis device according to any one of Supplementary Notes 1 to 3. (Appendix 10) A dataset in which a plurality of combinations of a first pattern of one or more elements indicating an access attribute and an access control action corresponding to the first pattern are defined, and an access attribute that changes over time.
  • a second pattern of one or more elements shown Using at least transition information indicating a state transition in one or more elements indicating attributes of access and the second pattern, the execution cost in the case of changing the action corresponding to the second pattern over time is calculated.
  • a non-transitory computer-readable medium that stores a program that causes a computer to perform certain tasks.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Debugging And Monitoring (AREA)
  • Storage Device Security (AREA)

Abstract

本開示の一実施の形態にかかる分析装置(10)は、アクセスの属性を示す1以上の要素の第1のパターンと、第1のパターンに対応するアクセス制御のアクションと、の組み合わせが複数定義されたデータセットと、経時的に変化するアクセスの属性を示す1以上の要素の第2のパターンと、を少なくとも取得する取得部(11)と、アクセスの属性を示す1以上の要素における状態遷移を示す遷移情報と、第2のパターンと、を少なくとも用いて、第2のパターンに対応するアクションを経時的に変化させる場合の実行コストを評価する評価部(12)と、評価部(12)の評価結果及びデータセットを少なくとも用いて、第2のパターンに対応するアクションを決定する決定部(13)を備える。

Description

分析装置、分析方法及び非一時的なコンピュータ可読媒体
 本発明は分析装置、分析方法及び非一時的なコンピュータ可読媒体に関する。
 ネットワークにおけるアクセス制御は、ネットワークのセキュリティ及び必要なアクセスの維持にとって重要である。
 例えば、引用文献1には、データベースまたはウェブサービスのようなデータソースにリンクされる1つ以上の動的アクセスコントロールを含むポリシーを用いて、電子ドキュメントまたはハードウェア部品のような資産へのアクセスを動的に管理するための方法が開示されている。
特開2012-009027号公報
 アクセス制御において、アクセスを実行するデバイスの位置、利用対象となるアプリケーションといったアクセス属性の情報が高頻度に変動する場合が想定される。このような場合、アクセス制御装置が、取得したアクセス属性の情報に対応するアクションをポリシーに基づいて決定し、そのアクションについての制御をする前に、アクセス属性が変わってしまうことが考えられる。このとき、変動後のアクセス属性に対して好ましいアクションが元々のポリシーで定義付けられていた場合であっても、アクセス制御装置の処理が追い付かず、好ましいアクションを実現できない可能性がある。このような状況を回避するため、アクセス制御装置の処理を早くしようとすると、アクセス属性情報の収集、又はアクションの決定の頻度を高くする必要が生じるため、アクセス制御の実行コストが高くなってしまうという懸念があった。
 この開示は、アクセス制御において、ポリシーで決定されるアクションの実行可能性を高めることに寄与することが可能な分析装置、分析方法及び非一時的なコンピュータ可読媒体を提供する。
 一実施の形態にかかる分析装置は、アクセスの属性を示す1以上の要素の第1のパターンと、前記第1のパターンに対応するアクセス制御のアクションと、の組み合わせが複数定義されたデータセットと、経時的に変化するアクセスの属性を示す1以上の要素の第2のパターンと、を少なくとも取得する取得手段と、アクセスの属性を示す1以上の要素における状態遷移を示す遷移情報と、前記第2のパターンと、を少なくとも用いて、前記第2のパターンに対応するアクションを経時的に変化させる場合の実行コストを評価する評価手段と、前記評価手段の評価結果及び前記データセットを少なくとも用いて、前記第2のパターンに対応するアクションを決定する決定手段を備える。
 一実施の形態にかかる分析方法は、アクセスの属性を示す1以上の要素の第1のパターンと、前記第1のパターンに対応するアクセス制御のアクションと、の組み合わせが複数定義されたデータセットと、経時的に変化するアクセスの属性を示す1以上の要素の第2のパターンと、を少なくとも取得し、アクセスの属性を示す1以上の要素における状態遷移を示す遷移情報と、前記第2のパターンと、を少なくとも用いて、前記第2のパターンに対応するアクションを経時的に変化させる場合の実行コストを評価し、前記評価の結果及び前記データセットを少なくとも用いて、前記第2のパターンに対応するアクションを決定することをコンピュータが実行するものである。
 一実施の形態にかかる非一時的なコンピュータ可読媒体は、アクセスの属性を示す1以上の要素の第1のパターンと、前記第1のパターンに対応するアクセス制御のアクションと、の組み合わせが複数定義されたデータセットと、経時的に変化するアクセスの属性を示す1以上の要素の第2のパターンと、を少なくとも取得し、アクセスの属性を示す1以上の要素における状態遷移を示す遷移情報と、前記第2のパターンと、を少なくとも用いて、前記第2のパターンに対応するアクションを経時的に変化させる場合の実行コストを評価し、前記評価の結果及び前記データセットを少なくとも用いて、前記第2のパターンに対応するアクションを決定することをコンピュータに実行させるものである。
 この開示により、アクセス制御において、ポリシーで決定されるアクションの実行可能性を高めることに寄与することが可能な分析装置、分析方法及び非一時的なコンピュータ可読媒体を提供することができる。
実施の形態1にかかる分析装置の一例を示すブロック図である。 実施の形態1にかかる分析装置の代表的な処理の一例を示すフローチャートである。 実施の形態2にかかるアクセス制御システムの一例を示すブロック図である。 状態空間の一例を示す図である。 判定サンプルにおける、各エリアでのアクションが定義されたテーブルの一例である。 アクセス制御の状況の一例を示す図である。 判定サンプルにおける、各エリアでのアクションが定義されたテーブルの一例である。 判定部が決定するアクションの一例を示した図である。 図5Aに示した状況においてなされるアクション制御の例である。 実施の形態3にかかるアクセス制御システムの一例を示すブロック図である。 アクセス制御の状況の一例を示す図である。 ロボットの無線通信における帯域使用率の一例を示したグラフである。 図7Aの状況においてなされるアクション制御の例を示したグラフである。 図7Aの状況においてなされるアクション制御の例を示したグラフである。 各実施の形態にかかる装置のハードウェア構成の一例を示すブロック図である。
 以下、図面を参照して各実施の形態について説明する。なお、以下の記載及び図面は、説明の明確化のため、適宜、省略及び簡略化がなされている。また、本開示では、明記のない限り、複数の項目について「その少なくともいずれか」が定義された場合、その定義は、任意の1つの項目を意味しても良いし、任意の複数の項目(全ての項目を含む)を意味しても良い。
 実施の形態1
 図1は、分析装置の一例を示すブロック図である。分析装置10は、取得部11、評価部12及び決定部13を備える。分析装置10の各部(各手段)は、不図示の制御部(コントローラ)により制御される。以下、各部について説明する。
 取得部11は、アクセスの属性を示す1以上の要素の第1のパターンと、その第1のパターンに対応するアクセス制御のアクションと、の組み合わせが複数定義されたデータセットと、経時的に変化するアクセスの属性を示す1以上の要素の第2のパターンと、を少なくとも取得する。第1、第2のパターンとして、それぞれ1又は複数のパターンが存在しても良い。なお、取得部11は、分析装置10の内部又は外部から情報を取得するインタフェースで構成される。取得の処理は、取得部11が自動的に実行しても良いし、手動での入力によってなされても良い。
 ここで、第1のパターン及び第2のパターンにおける「アクセスの属性を示す要素」は、アクセスの性質を特定する任意の要素を示す。要素の具体例としては、(1)アクセス元の各種データ、(2)アクセス先の各種データ、(3)その他アクセスの性質を示すデータ、等のアクセスの性質に関連する1以上の任意の具体的な情報(値)が含まれ得る。
 (1)アクセス元の各種データの具体例としては、アクセス元のID(IDentification)に関する情報、ユーザに関する情報、アクセス元の機器に関する情報、アクセス元のIP(Internet Protocol)アドレスに関する情報、ポート番号に関する情報、ソフトウェア名(例えばアプリケーション名)、アクセスの認証手段等のうち、1以上の任意のものが含まれる。ここで、アクセス元のIDに関する情報には、アクセス元のID(ユーザID)、ユーザ名、デバイスID、アプリケーションID、アクセス元のIDのユーザ認証結果(認証履歴)等のうち、1以上の任意のものが含まれる。ユーザに関する情報には、ユーザの所属(組織)、役職、職種、ユーザ位置(又は、アクセス元の機器の位置)、アクセス元の機器の所属、ユーザ又はアクセス元の機器の振る舞い異常度等のうち、1以上の任意のものが含まれる。アクセス元の機器に関する情報には、アクセス元の機器が使用しているOS(Operating System)のバージョン、メーカー名のうち、1以上の任意のものが含まれる。アクセス元のIPアドレスに関する情報には、アクセス元のIPアドレス、アクセス元のIPアドレスの危険度等のうち、1以上の任意のものが含まれる。以上において、OSのバージョンは、アクセスにおける脆弱性を示し、振る舞い異常度は、攻撃の可能性を示す。
 (2)アクセス先の各種データの具体例としては、アクセス先のIDに関する情報、アクセス先のデータに関する情報、アクセス先のIPアドレス、アクセス先の機器が使用しているOSの情報、オペレーション種別等のうち、1以上の任意のものが含まれる。アクセス先のIDに関する情報には、アクセス先のリソースID、アクセス先のリソースIDの所有者名等のうち、1以上の任意のものが含まれる。アクセス先のデータに関する情報には、アクセス先の組織(リソース所有の組織)、要求されるアクセス先のデータ(リソース)の種別、作成者、作成日時や機密度等のうち、1以上の任意のものが含まれる。リソースの機密度は、攻撃を受けた場合に想定される損害を示す。
 (3)その他アクセスの性質を示すデータの具体例としては、アクセス元のIDからアクセス先のリソースIDへのリクエスト頻度、アクセスの時間帯(又は時刻)、セッション鍵の方式、リクエスト元サブジェクトにとってのリソースの重要性、帯域使用率(無線リソースの逼迫度合い)、異常度、トラフィックの暗号強度、認証に関する各種データ等のうち、1以上の任意のものが含まれる。認証に関する各種データには、各種認証方法(例えば認証強度の情報を含む)、デバイス認証結果、アプリケーション認証結果、各種認証時刻、各種認証の失敗回数等のうち、1以上の任意のものが含まれる。リクエスト元サブジェクトにとってのリソースの重要性は、アクセスに関するユーザビリティを示し、帯域使用率は、複数のアクセスを制御する際のパフォーマンスの低下の可能性を示す。ただし、以上に示した要素はあくまで例示であり、アクセスの属性を示す要素はこれらに限られない。
 「アクセスの属性を示す1以上の要素のパターン」は、これらの要素が1又は複数存在することを意味する。例えば、アクセスの属性としてX、Y、Zを仮定し、同じ属性Xの異なる値の要素としてX1、X2、同じ属性Yの異なる値の要素としてY1、Y2、同じ属性Zの異なる値の要素としてZ1、Z2を仮定する。この場合、「アクセスの属性を示す要素のパターン」として、「X1」、「Y1」、「Z1」、「X1、Y1」、「X1、Z1」、「Y1、Z1」、「X1、Y2」、・・・「X1、Y1、Z1」・・・「X2、Y2、Z2」のうちで任意の1以上のパターンが含まれる。なお、第1のパターン及び第2のパターンをそれぞれ構成する要素のうち、少なくとも1以上の要素が異なるものであっても良い。
 取得部11が取得するデータセットには、第1のパターンの各々に対応するアクセス制御のアクションがさらに含まれる。このアクションとしては、2段階以上の異なるアクションが定義される。例えば、アクションとして、認可、否認、条件つきでの認可(追加認証要求)のうち、2種類以上のものが定義されてもよい。ただし、以上に示したアクションはあくまで例示であり、アクションの種類はこれらに限られない。
 データセットには、以上に示したアクセスの属性を示す1以上の要素の第1のパターンと、その第1のパターンに各々対応するアクセス制御のアクションと、の組み合わせが複数定義されている。例えば、アクセスの属性を示す複数の要素のパターンとして、「X1、Y1」、「X1、Z1」、「Y1、Z1」が存在し、各パターンに各々対応するアクションとして「認可」、「否認」、「認可」が存在する場合、データセットには、これらの組み合わせとして「X1、Y1⇒認可」「X1、Z1⇒否認」、「Y1、Z1⇒認可」が定義されることになる。
 評価部12は、アクセスの属性を示す1以上の要素における状態遷移を示す遷移情報と、取得部11が取得した第2のパターンと、を少なくとも用いて、第2のパターンに対応するアクションを経時的に変化させる場合の実行コストを評価する。遷移情報には、例えば、第2のパターンにおけるアクセスの属性を示す1以上の要素の経時的な遷移状態が示されてもよい。または、遷移情報には、第2のパターンにおけるアクセスの属性を示す1以上の要素と関連性がある要素の経時的な遷移状態が示されてもよい。評価部12は、遷移情報で示されたこのような要素の遷移状態を特に用いて、第2のパターンに対応するアクションを経時的に変化させる場合の実行コストを評価する。なお、遷移情報は、評価部12がデータに基づいて生成したものでも良いし、評価部12が取得しても良い。
 また、「実行コスト」とは、特定のアクションを実行した場合において生ずるか、又は特定のアクションを実行するために必要となる、ハードウェア上又はソフトウェア又はシステム上の少なくともいずれかにおける任意のコストを示す。具体例として、プロセス処理に必要な時間、メモリ、プロセッサ等のハードウェアの占有量、消費電力量、通信帯域占有率、応答速度等の要求される処理能力等が挙げられるが、実行コストの例はこれに限られない。この実行コストは、例えば、現在実行中のアクションと同じアクションが実行された場合に低くなり、現在実行中のアクションと異なるアクションが実行された場合に高くなる。
 決定部13は、評価部12の評価結果及び取得部11が取得したデータセットを少なくとも用いて、第2のパターンに対応するアクションを決定する。決定部13が決定するアクションは、ある1タイミングにおけるアクションであっても良いし、間隔が空いた2以上のタイミングにおけるそれぞれのアクションであっても良い。決定されるアクションは、2段階以上の異なるアクションにおける1のアクションであり、例えば、認可、否認、条件つきでの認可(追加認証要求)のうちのいずれかが決定される。
 決定部13は、アクションの決定において、予め学習されたAI(Artificial Intelligence)モデルを用いてもよい。この場合、学習済のAIモデルに評価結果及びデータセットが入力されることにより、AIモデルは第2のパターンに対応するアクションを出力する。ただし、決定部13は、他のアルゴリズムを用いて評価結果及びデータセットを解析することにより、第2のパターンに対応するアクションを決定してもよい。
 図2は、分析装置10の代表的な処理の一例を示したフローチャートであり、このフローチャートによって、分析装置10の処理が説明される。なお、各処理の詳細については上述の通りである。
 まず、分析装置10の取得部11は、アクセスの属性を示す1以上の要素の第1のパターンと、その第1のパターンに対応するアクセス制御のアクションと、の組み合わせが複数定義されたデータセットと、経時的に変化するアクセスの属性を示す1以上の要素の第2のパターンと、を少なくとも取得する(ステップS11:取得ステップ)。
 次に、評価部12は、アクセスの属性を示す1以上の要素における状態遷移を示す遷移情報と、第2のパターンと、を少なくとも用いて、第2のパターンに対応するアクションを経時的に変化させる場合の実行コストを評価する(ステップS12:評価ステップ)。そして、決定部13は、評価部12の評価結果及びデータセットを少なくとも用いて、第2のパターンに対応するアクションを決定する(ステップS13:決定ステップ)。
 このように、実施の形態1では、評価部12が第2のパターンにおける実行コストを評価し、決定部13は、第2のパターンに対応するアクションを決定する際に、その実行コストを用いる。これにより、決定部13が実行コストの高いアクションを決定するような事態が抑制される。したがって、分析装置10は、アクセス制御において、ポリシーで決定されるアクションの実行可能性を高めることに寄与することができる。
 実施の形態2
 以下、実施の形態2では、実施の形態1にて説明した分析装置10の具体例を開示する。
 図3は、ゼロトラストネットワーク上におけるアクセス制御の判定を実行するアクセス制御システム20Aの一例を示すブロック図である。アクセス制御システム20Aは、ポリシー生成システム21、判定部22、データストア23及びエンフォーサ24を備える。以下、各部の詳細について説明する。
 ポリシー生成システム21は、実施の形態1にかかる分析装置10の具体例に対応する。ポリシー生成システム21は、入力される情報に基づいて、アクセス制御用にアクセス制御ポリシーを生成し、生成したアクセス制御ポリシーを判定部22に出力する。入力される情報には、判定サンプル(実施の形態1におけるデータセットに対応)及び属性情報の状態遷移を示す遷移情報のほか、異なる情報が含まれてもよい。このポリシー生成システム21の詳細については後述する。
 ここで、アクセス制御ポリシーとは、アクセスの属性を示す1以上のパターンと、その1以上のパターンに対応するアクセス制御のアクションと、の組み合わせが複数定義されたものである。具体例として、要素の組み合わせが(アクセス元であるデバイスの位置:A、リソースの種別:リソースA)であった場合に、アクセス制御ポリシーでは、それに対応するアクションが「認可」と定義されてもよい。
 判定部22は、アクセス制御の問い合わせ(リクエスト)がなされたときに、エンフォーサ24等から、そのリクエストの要素に関連する属性情報を取得する。そして、取得した属性情報と、ポリシー生成システム21が生成したアクセス制御ポリシーを用いて、リクエストに対応するアクションを決定する。換言すれば、判定部22は、ポリシーエンジンとして機能する。リクエストに関する要素は、実施の形態1で説明したアクセスの属性を示す要素と同じものを意味する。
 詳細には、判定部22には、リクエストに関する要素として、エンフォーサ24から取得した(i)リクエスト中に含まれるアクセスの属性を示す要素の属性情報と、データストア23に格納された(ii)背景属性の情報とが入力される。(i)の情報の一例として、アクセス元のID、アクセス元のIPアドレス、アクセス先のリソースID、オペレーション種別、セッション鍵等が想定されるが、リクエスト中に含まれる要素の情報はこれに限定されない。また、(ii)の情報は、システム内のデバイス、ユーザ、アプリケーション、ネットワーク、リソースに関する任意の情報、その他の脅威情報や環境情報であっても良い。具体的には、アクセス元のIDのユーザ名、ユーザの所属、役職や職種、機器のメーカー名、アクセス元であるデバイスの位置、ユーザ位置、ユーザ認証結果、アクセス元のIPアドレスの危険度、アクセス先のリソースIDの所有者名、アクセス先のデータの種別や作成日時、暗号強度、アクセス元のIDからアクセス先のリソースIDへのリクエスト頻度、アクセスの時刻、各種認証方法、デバイス認証結果、アプリケーション認証結果、各種認証時刻、各種認証の失敗回数等が想定されるが、背景属性の情報に含まれる要素の情報はこれに限定されない。さらに、(ii)の情報として、以上の背景属性の情報を用いてなされたリスク評価又はニーズ(又はユーザビリティ)評価の少なくともいずれかの結果の情報がさらに含まれても良い。ここで、リスクとは、セキュリティに関するリスクを示し、例えばアクセスが不正なアクセス(攻撃)に用いられるリスクを示す。なお、判定部22は、アクションの決定において、(i)及び(ii)の両方を用いても良いし、(i)のみを用いても良い。
 判定部22は、リクエストに関する要素と、アクセス制御ポリシー中に定義された複数の要素の組み合わせとを比較して、リクエストに関する要素の条件を満たすような、アクセス制御ポリシー中に定義された要素の組み合わせを特定する。そして、その各々の組み合わせに対応して定義されたアクションを、リクエストに対するアクションとして決定し、決定したアクションの情報をエンフォーサ24に出力する。
 実施の形態2において取り得るアクションは、認可、追加認証要求、手動認可要求、詳細分析エンジンへの転送、否認等であるが、これらに限られるものではない。例えば、アクションとして、より詳細なチェックを実施するサーバーへのアクセスの転送や、管理者への承認要求なども考えられる。このアクションは、反射律、推移律、反対称律及び完全律を満たす全順序集合を構成する。また、本実施の形態では、パターンに対して、アクションに対する影響度を示す全順序集合が規定される。ここで、「認可」又は「否認」に向かう方向性を「影響度の順序」と定義し、「認可」又は「否認」にどの程度移動するかを示す情報を「影響度の大きさ」と定義する。
 また、判定部22は、リクエストに関するパラメータであるが、取得した要素に含まれないデータ(例えば、アクセス元の信頼度など)をさらに算出しても良い。判定部22が信頼度を算出する場合、判定部22は、トラストエンジンとして機能する。
 さらに、判定部22は、個別のリクエストに対してアクションを決定し、エンフォーサ24にそのアクションを出力する以外の方法で、アクションを決定しても良い。判定部22は、様々な(複数の)リクエスト元又はリクエスト先のIDに対するアクションを、リクエストがなされる前に、ポリシー生成システム21が生成したアクセス制御ポリシーを用いて1回で決定し、出力することができる。出力された複数のアクションのセットは、ACL(Access Control List)として、リクエストに対するアクセス制御を実行するエンフォーサ24に対して出力することが可能である。エンフォーサ24は、リクエストを受け付けた場合にこのACLを用いることにより、判定部22に問い合わせをすることなく、そのリクエストに対するアクションを決定することができる。
 判定部22は、例えば、アクセス制御用のプロキシサーバ、アプリケーションゲートウェイ、属性ベース暗号(Attribute-based Encryption:ABE)等の任意の手段によって実現することができる。判定部22は、アクションの決定を、決定木、線形モデル、ニューラルネットワーク等の任意の手段によって実現することができる。また、判定部22が信頼度を算出する場合、信頼度の算出は、ナイーブベイズ、ファジー論理、重み付き和等の任意の手段によって実現することができる。
 データストア23は、上述の判定部22において用いられる背景属性の情報が格納されたストレージ(記憶部)である。アクセス制御システム20Aは、自動的に収集したデータをデータストア23に格納する。判定部22は、アクセス制御のリクエストがあった場合に、データストア23を参照することで、そのリクエストに対応する背景属性の情報を取得する。データストア23に格納された背景属性の情報は、システム内のデバイス、ユーザ、アプリケーション、ネットワーク、リソースに関する任意の情報、その他の脅威情報や環境情報であっても良いし、その情報を用いてなされたリスク評価又はニーズ評価の少なくともいずれかの結果の情報が含まれても良い。
 データストア23は、例えば、アセット管理機能、認証・ID管理基盤、ワークロード監視機能、脅威情報基盤といったものや、ユーザ行動ログ、CDM(Continuous Diagnostics and Mitigation)、SIEM(Security Information and Event Management)等の機能によって実現されても良い。
 エンフォーサ24は、ユーザーネットワーク上に設けられたアクセス制御機器であって、アクセス制御のリクエストを受け付けた場合に、そのリクエストに関する要素の情報(アクセス属性の情報)を判定部22に出力する。そして、判定部22が決定したアクションの情報を取得し、そのアクションの情報に基づいて、リクエストに対するアクセス制御を実行する。アクセスが認可される場合には、エンフォーサ24はアクセスにかかるパケットをリソース(アクセス先)に転送する一方、アクセスが否認される場合には、エンフォーサ24はアクセスにかかるパケットを破棄する。また、アクションは、認可、否認以外の種類のものも想定される。一例として、エンフォーサ24は、アクセスを詳細分析エンジン(不図示)に転送しても良い。詳細分析エンジンでアクセスの詳細な分析がなされることにより、アクセスに対するアクションとして、認可又は否認のいずれかが決定される。以上のようにして、アクセス制御システム20Aは、生成されたアクセス制御ポリシーに基づくアクセス制御を実行する。
 別の例として、エンフォーサ24は、上述の通り、判定部22からアクションのセットであるACLを取得しても良い。この場合、エンフォーサ24は、リクエストを受け付けた場合に、ACLを参照してリクエストに対応するアクションを特定することにより、判定部22に問い合わせをすることなく、そのリクエストに対するアクションを決定することができる。
 エンフォーサ24は、例えば、リバースプロキシ、ファイアウォール、ゲートウェイ、属性ベース暗号基盤等の機能によって実現されても良い。
 次に、ポリシー生成システム21の詳細について説明する。図3に記載の通り、ポリシー生成システム21は、情報取得部211、実行コスト評価部212、ポリシー生成部213、パラメータ格納部214及び表示部215を備える。以下、各部について説明する。
 情報取得部211は、ポリシー生成部213が後述のポリシーを生成するための情報を取得する。情報取得部211は、例えば情報入力の入力部として構成される。
 情報取得部211は、ポリシー生成の対象である、経時的に変化するアクセスの属性を示す1以上の要素のパターン(実施の形態1における第2のパターンに対応し、以下、対象パターンと記載)と、ポリシー生成のための情報を取得する。ポリシー生成のための情報には、例えば判定サンプルが含まれる。判定サンプルは、ユーザ(又は既存の自動化手法)が定義した複数のサンプルポリシーを含む。サンプルポリシーは、アクセスの属性を示す複数の要素のパターン(以降、サンプルパターンとも記載)と、そのサンプルパターンについてのアクセス制御のアクションとの対応関係が、複数定義されたものである。アクションは、上述の通り、認可、否認等一義的に定められるものであるため、判定サンプルは、ポリシーを生成するための定量的な情報が定義されている。なお、サンプルポリシーには、1つのみの要素と、その要素についてのアクセス制御のアクションとの対応関係が定義されていても良い。ポリシー生成に必要なサンプルポリシーが少なくなるほど、ポリシー設計の労力を小さく抑えることができる。
 ここで、複数のサンプルポリシーは、個々のポリシー毎に異なる観点から定義されたものであってもよい。例えば、セキュリティ機能に基づく観点として、トラフィックの暗号強度、アクセス元の機器のOSバージョン、アプリケーション認証結果、ユーザの認証強度、リソースの作成者、リソースの種別等の要素が設定されてもよい。また、アクセスにおける組織の部門構造(所属や役職等)に基づく観点として、ユーザの役職、所属(例えば担当プロジェクト)、リソースの作成者、リソースの種別、ユーザ位置、アクセス元の機器の位置等の要素が設定されてもよい。このように、異なる観点は、異なる要素を有しても良いし、同じ要素を有しても良い。サンプルポリシーの具体例は、「アクセス元であるデバイスの所属、デバイスの位置⇒認可/否認」といったものである。
 また、サンプルポリシーは、その要素の一部が、一意的に特定できない(すなわち、「匿名化された」)形式で表現されても良い。例えば、サンプルポリシーにおけるユーザの所属は、匿名化されていない状態では「人事部」、「開発部」のように表現されるのに対し、匿名化された状態では「A部」、「B部」のように表現される。このような匿名化は、例えば、サンプルポリシーを組織外部の人やシステムへ提示するにあたり、組織の秘密情報を保護するために行われる。または、元々、サンプルポリシーを生成する際に、基礎となるデータの要素の特定が一意的になされなかった(例えば、基礎となるデータの可読性が低かった)ことで、そのような匿名化がなされることも想定される。
 情報取得部211は、取得した判定サンプルをそのまま実行コスト評価部212及びポリシー生成部213に出力しても良い。または、情報取得部211は、特定のパターンに対する理想的なアクセス制御を示すデータをさらに取得し、そのデータも判定サンプルとして、実行コスト評価部212及びポリシー生成部213に出力しても良い。このデータが含むパターン数は、例えば数~数十パターン程度が考えられるが、これに限定されない。これにより、ポリシー生成部213が生成するポリシーの精度をより高めることが可能となる。
 なお、情報取得部211は、ユーザが後述の表示部215を参照して判断した後に入力した、アクセス制御ポリシーの修正に関する修正情報を取得することもできる。情報取得部211は、その修正情報をポリシー生成部213に出力する。また、情報取得部211が取得する判定サンプルは、ユーザによって適宜変更されても良い。
 さらに、情報取得部211は、1以上の要素に基づいてアクションを決定するに際し決定者が用いると想定される意図(第3のパターン)を取得してもよい。意図は、ポリシー生成に必要な知識を意味し、より具体的には、アクセスの属性を示す1以上の要素のパターンを含む。
 情報取得部211は、意図として、アクションに影響を与える影響度の順序及び大きさの少なくともいずれかが、1以上の要素のパターンに対応して定義された意図を取得しても良い。また、後述の通り、この意図は、曖昧な形式による定義が許容される。情報取得部211は、この組み合わせを、1以上の任意の数だけ取得することができる。
 1以上の要素のパターンの例としては、「アクセス元の機器の位置、要求データの種類又はリソース所有の組織」のセット、「OS、ソフトウェア名又はアプリケーション名」のセット、単体の「アクセス元の機器の所属」、「異常度」等が考えられる。例えば、アクセス制御において、アクセスが認可される対象となるデータの種類又はリソースを所有する組織は、アクセス元の機器の所属(又はその位置)によって異なると考えられる。そのため、「ユーザの所属、要求データの種類又はリソース所有の組織」が意図の要素として定義されてもよい。同様に、アクセス制御において、アクセス元のOS及びソフトウェア又はアプリケーションの組み合わせ、認証手段や異常度によってアクセスのセキュリティレベルが変化し得る(つまり、アクセスの認可又は否認が変化し得る)と考えられるため、「OS、ソフトウェア名又はアプリケーション名」や「認証手段」、「異常度」が意図の要素として定義されてもよい。
 また、アクションに影響を与える影響度の情報は、アクションが「認可」又は「否認」のいずれの方向にどの程度移動するかを示す情報である。上述の通り、「認可」又は「否認」に向かう方向性を「影響度の順序」と定義し、「認可」又は「否認」にどの程度移動するかを示す情報を「影響度の大きさ」と定義する。例えば、「影響度の大きさ」を降順に並べたものが、「影響度の順序」となる。この影響度の情報は、実行されるべきアクションそのものを示す必要はない。
 ここで、情報取得部211は、意図における影響度として、定量的に表現される数値等のデータを取得しても良いし、定性的な(あいまいな)形式の情報を取得しても良い。後者の具体例は、例えば、アクションが「認可」に向かう方向性(ポジティブな方向性)に関して、「アクセス元の機器の位置:A、要求データ:リソースA」が「アクセス元の機器の位置:A、要求データ:リソースB」よりも大きいことを意味するような情報である。ここで、アクセス元の機器は移動しながら通信を行う装置(この例ではドローン)であり、リソースA、BはそれぞれエリアA、Bの飛行に関する周辺の地図データである。ドローンがあるエリアを飛行する場合、安全な飛行をするために、そのエリアに関する地図データを取得することが自然であり、それに関するアクセス制御が認可されるのが妥当と考えられる。そのため、アクセス元の機器の位置と要求データの対象とするエリアとが一致する場合、又はアクセス元の機器の位置と要求データの対象とするエリアとが近接する場合には、アクションが「認可」となるのが好ましい。しかしながら、ドローンが、現在自身が飛行するエリアと異なるエリアの地図データを取得することは、セキュリティ上好ましくない可能性がある。そのため、「アクセス元の機器の位置:A、要求データ:リソースA」は、「アクセス元の機器の位置:A、要求データ:リソースB」よりも、アクションが「認可」となりやすい。
 その他の例として、アクセス元のOSのバージョンの新しさ、アクセス元の機器の振る舞い異常度の低さ、アクセス先のリソースの種別の公開度合い(機密度の低さ)といったパラメータについては、大きい値を示すほど、アクションが「認可」に向かう方向性が大きいように影響度が設定されても良い。また、アクセス先のリソースIDの所有者(リソース所有者)が作成したアクセス権限において許可されているユーザは、そのリソースに対するアクションが「認可」に向かう方向性となるように影響度が設定されても良い。なお、以上の例では、アクションが「認可」に向かう方向性(ポジティブな方向性)について説明したが、アクションが「否認」に向かう方向性(ネガティブな方向性)についても、同様に定義することができる。
 このように、影響度は、実際に認可するか否認するかを示す定量的な形式の情報とは異なり、一般的な傾向を示す定性的な情報である。なお、影響度の大きさは2段階でなく3段階以上(例えば、影響度が大きい順に「影響度が大きい」、「影響度がやや大きい」、「影響度が小さい」のように表現可能)で表現されても良い。定性的な情報は、例えばアクセス制御を判断するユーザが決定することができる。
 情報取得部211は、このような定性的な影響度の情報を取得した場合に、その影響度の情報を、影響度の順序及び大きさが定義された数値として変更した後に、ポリシー生成部213に出力することができる。例えば、「認可」の方向性として正のスコアを割り当てる場合に、情報取得部211は、「ユーザの所属:開発部、要求データ:設計データ」が「ユーザの所属:開発部、要求データ:人事データ」よりもアクションを「認可」とし易いため、前者に影響度「1」、後者に影響度「0」の数値を割り当てても良い。
 実行コスト評価部212は、アクセスの属性を示す1以上の要素における属性情報の時間変化に関するモデル(状態遷移モデル:実施の形態1における遷移情報の一例)を生成し、保有する。実施の形態2における状態とは、デバイスID、リソースID等といった制御単位が固定された場合の、その他の1以上の属性情報の組からなるベクトルをいう。実行コスト評価部212は、この状態遷移モデルを用いることにより、対象パターンに対応するアクションの実行コストを評価する。アクションの実行コストの説明は、実施の形態1に記載した通りである。アクションの実行コストが高いほど、そのアクションは実行されることが好ましくないアクションとなり、アクションの実行コストが低いほど、そのアクションは実行されることが好ましいアクションとなる。ポリシー生成部213は、この評価された実行コストを用いて対象パターンのポリシーを生成するため、現実に制御が実行しにくいアクションがポリシーで定義されることが抑制される。そのため、結果的にムダとなる実行コストが生じることを抑制することができる。
 例えば、実行コスト評価部212は、遷移確率が高い状態の間を重み付きエッジで接続したグラフ構造の状態空間を、属性情報ログ又は設計情報の少なくともいずれかを用いて構築してもよい。属性情報ログは、実際になされた経時的に変化する属性のアクセス及びそれに対応するアクションの履歴を示す。設計情報は、経時的に変化する属性のアクセス及びそれに対応するアクションが予め定義されたものである。
 具体例として、装置がドローン等、移動しながら通信を行う装置であるとし、装置の現在の位置を状態1、現在から単位時間経過後の位置を状態2とする。ここで、状態1から状態2への遷移確率が高いほど、状態空間における状態1と状態2間の距離は近接し、グラフ構造におけるエッジの重みが大きくなる。例えば、状態1と状態2との実空間上での位置が近いほど、状態1から状態2への遷移確率は高くなるので、実行コスト評価部212は、エッジの重みを大きくする。他の例として、状態1の帯域使用率と状態2の帯域使用率とが近いほど、状態1から状態2への遷移確率は高くなるので、実行コスト評価部212は、エッジの重みを大きくする。
 このとき、実行コスト評価部212は、(A)設定したエッジの重みに応じて、状態1と状態2との間で、取り得るアクションの確率を平滑化する。以下、この処理(A)について、詳細に説明する。
 図4Aは、状態空間の一例を示す。この状態空間は、アクセス元のドローンRが移動しながら通信を行う状態を示す。図4Aの状態空間において、ドローンRは初期時刻t0でエリアαに位置し、この状態を状態1と定義する。そして、初期時刻t0から時間が経過した時刻t1において、ドローンRは、エリアβ1とエリアβ2のいずれかの場所に移動し得る。ドローンRが時刻t1でエリアβ1に位置する状態を状態2と定義し、ドローンRが時刻t2でエリアβ2に位置する状態を状態3と定義する。なお、図4Aでは、状態1から状態2への遷移確率が、状態1から状態3への遷移確率よりも高い。そのため、実行コスト評価部212は、状態1から状態2へのエッジの重みを、状態1から状態3へのエッジの重みよりも大きく設定する。
 図4Bは、この例において情報取得部211が取得した判定サンプルにおける、各エリアα、β1、β2でのアクションが定義されたテーブルの一例である。テーブルにおけるリソースA、B1、B2は、それぞれエリアα、β1、β2の飛行に関する地図データであり、アクセス先のデータである。図4Bでは、ドローンRがエリアα、β1、β2を飛行する場合に、各々のエリアに関する地図データを取得することは認可されるが、ドローンRが現在飛行していないエリアに関する地図データを取得することは否認される。
 実行コスト評価部212は、図4Aに示す状態空間のデータと、図4Bに示す判定サンプルのデータを参照する。そして、状態1から状態2へのエッジの重みが、状態1から状態3へのエッジの重みよりも大きい(つまり、状態1から状態2への遷移確率が、状態1から状態3への遷移確率よりも高い)ことを判定する。実行コスト評価部212は、この判定結果に基づいて、状態1においてリソースB1へのアクセスを否認する実行コストを、状態1においてリソースB2へのアクセスを否認する実行コストよりも高く評価する。なぜなら、状態1においてリソースB1へのアクセスを否認する場合、例えば状態2への遷移に同期してリソースB1へのアクセスを認可するよう、リソースB1へのアクセス制御動作を否認から認可へ切り替える必要があるためである。この場合、高い確率で動作の切り替えが生じることになり、平均的な実行コストが高くなる。一方で、状態1から状態3への遷移確率は比較的低いため、リソースB1へのアクセス制御動作の切り替えに伴う実行コストは平均的に低くなる。
 さらに詳細に説明すると、ドローンRは、移動可能な装置であるため、アクセス制御システム20A側でエリアαにいる(状態1)と認識していても、実際にはエリアβ1にいる(状態2)か、又はエリアβ2にいる(状態3)可能性がある。図4Aに示す通り、ドローンRは、状態空間において、状態3よりも状態2に移動しやすい。そのため、アクセス制御システム20A側でエリアαにいる(状態1)と認識している場合に、実際にはエリアβ1にいる確率が、実際にはエリアβ2にいる確率よりも高い。また、図4Bに示す通り、状態2、3においては、それぞれリソースB1、B2へのアクセスが許可される。したがって、実行コスト評価部212は、後のポリシー生成部213におけるポリシー生成において、状態1においてリソースB1にアクセスが許可される可能性を、状態1においてリソースB2にアクセスが許可される可能性よりも高くするように、上述の処理を実行する。
 なお、図4Bに示す判定サンプルのデータにおいて、仮にドローンRがエリアβ1を飛行する場合にリソースB3(不図示)を取得することは認可される場合、実行コスト評価部212は、状態1においてリソースB3へのアクセスを否認する実行コストを、状態1においてリソースB2へのアクセスを否認する実行コストよりも高く評価する。また、図4Bに示す判定サンプルのデータにおいて、ドローンRがエリアβ1を飛行する場合にリソースB1を取得することが否認され、ドローンRがエリアβ2を飛行する場合にリソースB2を取得することが否認される場合も想定される。この場合、実行コスト評価部212は、状態1においてリソースB1へのアクセスを認可する実行コストを、状態1においてリソースB2へのアクセスを認可する実行コストよりも高く評価する。
 以上に示したように、実行コスト評価部212は、状態1において、判定サンプルにおける状態2で定義されたアクションと異なるアクションを実行する実行コストを、判定サンプルにおける状態3で定義されたアクションと異なるアクションを実行する実行コストよりも高いものとするように、実行コストを評価する。実行コスト評価部212は、実行コストの評価結果を、ポリシー生成部213に出力する。
 また、実行コスト評価部212は、処理(A)のほか、以下に示す処理(B)を実行することも可能である。(B)実行コスト評価部212は、状態空間を解析した結果、状態が状態1から状態2に遷移する時間間隔が所定の許容時間の間隔(閾値)以下であり、判定サンプルにおいて状態1と状態2とで異なるアクションが定義されるアクセスに対して、そのアクセスに対応するアクションを同一のアクション(例えば認可又は否認)として定義するサンプルポリシーを生成する。状態1から状態2に遷移する時間間隔が所定の許容時間の間隔以下であることは、状態1と状態2とでアクションを変更することの実行可能性(アクションを経時的に変化させる実行可能性)が所定の閾値未満であることを意味する。
 実行コスト評価部212は、例えば情報取得部211が取得した判定サンプル、又はデータストア23に格納されたリスク評価又はニーズ評価の少なくともいずれかの結果の情報、の少なくともいずれかを用いて、状態1及び状態2に対して定義する同一のアクションを決定する。リスク評価は、アクセス制御の判定対象となるアクセスパターンに要求されるセキュリティのレベルを示し、ニーズ評価は、アクセス制御の判定対象となるアクセスパターンに要求されるニーズのレベルを示す。
 例えば、リスク評価において、ドローンRのIDに設定されたリスクが所定の閾値以上である場合には、実行コスト評価部212は、状態1及び状態2に対して定義するアクションを「否認」に決定する。別の例として、ドローンRのIDに設定されたリスクがリスク評価において所定の閾値未満であり、ドローンRのIDに設定されたニーズがニーズ評価において所定の閾値以上である場合に、実行コスト評価部212は、状態1及び状態2に対して定義するアクションを「認可」に決定する。なお、ドローンRのIDに設定されたリスクがリスク評価において所定の閾値未満であり、ドローンRのIDに設定されたニーズがニーズ評価において所定の閾値未満である場合には、実行コスト評価部212は、状態1及び状態2に対して定義するアクションを「認可」又は「否認」のどちらに決定しても良い。実行コスト評価部212は、このようにして、ニーズ及びセキュリティのうち一方のレベルが満たされるようなアクションを決定し、決定されたアクションが定義されたサンプルポリシーを新たに生成する。
 このように設定された追加の判定サンプルポリシー(以下、追加の判定サンプルとも記載)は、後述するポリシー生成モデルに入力される。これにより、ポリシー生成部213が生成するポリシーが、状態1及び状態2に対して同一のアクションを定義するように制御される。
 例えば、図4Aに示した例において、ドローンRの移動速度が非常に速いため、アクセス制御装置によってドローンRの移動状態を正確に把握してアクセスを制御するのが実質的に困難な状態が想定される。このような状況下で、判定サンプルにおいて、ドローンRの位置に応じてアクションが変更されることが定義されていた場合、その定義に基づいてアクセス制御をするのは現実的ではなく、実行コストが高くなることが想定される。このような場合に、処理(B)によって、状態1及び状態2に対して決定されるアクションが同一のアクションとされることで、アクセス制御にかかる実行コストを抑制することができる。
 一方で、状態1から状態2に遷移する時間間隔が所定の許容時間の間隔より大きい場合は、状態1と状態2とでアクションを変更することの実行可能性が所定の閾値以上であることを意味する。この場合には、実行コスト評価部212は、追加の判定サンプルを生成しない。これにより、後述の通り、ポリシー生成部213は、アクセス制御の対象となるアクセスパターンにおけるニーズ評価及びリスク評価に定義された、ニーズ及びセキュリティが満たされるようにアクションを決定することができる。
 図3に戻り、ポリシー生成部213について説明する。ポリシー生成部213は、情報取得部211から、対象パターンと、判定サンプル、意図等のポリシー生成のための情報とを取得し、実行コスト評価部212から、実行コストの評価結果(及び、生成された場合には追加の判定サンプルも)を取得する。上述の通り、判定サンプルは、ポリシーを生成するための定量的な意図が反映された情報である。一方、ポリシー生成のための情報には、意図の情報として、任意の属性情報がアクションの決定に与えるポジティブ又はネガティブな効果といった定性的な情報が含まれ得る。また、ポリシー生成部213は、リスク評価、ニーズ評価の情報についても取得する。
 ポリシー生成部213は、これらの情報を、アクセス制御ポリシー生成のモデル(以下、ポリシー生成モデルと記載)に入力する。ポリシー生成モデルは、入力に基づくアクセス制御ポリシーを生成するよう、予め機械学習がなされている。これにより、ポリシー生成モデルは、入力された情報が示す方向性に沿ったアクセス制御のアクションが定義されたアクセス制御ポリシーを生成し、出力する。アクセス制御ポリシーは、アクセスの属性を示す1以上の要素のパターン(対象パターン)とアクションとの組み合わせで定義されたものである。アクセス制御ポリシーに含まれる要素のパターンは、ポリシー生成のための情報及び追加の判定サンプルで定義されたサンプルパターンであっても良い。
 ポリシー生成モデルは、入力された情報に基づき、アクセス制御対象ネットワークの管理者等がサンプルポリシーを決定した方法を模倣して、サンプルポリシーで明確に定義されていなかった(例えば、範囲外であったか、アクセス制御の判断に実質的な影響を与えるものでないため無視されていた)要素の組み合わせとアクションの組み合わせのパターンを、アクセス制御ポリシーとして詳細に決定することができる。ここで、ポリシー生成モデルは、意図に基づく要素の組み合わせと対応する影響度の順序及び大きさについて、自動的に調整し、適切な値とすることができる。
 例えば、ポリシー生成モデルは、情報取得部211から取得した、要素のパターンに対応する影響度の情報(例えば、順序及び大きさ)が保存されるように、アクセス制御ポリシーを生成することができる。すなわち、ポリシー生成モデルは、アクセス制御ポリシーで定義される対象パターンに対応する定量的なアクションが、情報取得部211から取得した定性的な影響度の情報と矛盾がないように、アクセス制御ポリシーを生成することができる。そして、一例として、生成されたアクセス制御ポリシーは、サンプルポリシーにおいて匿名化された箇所が一意的に特定されるものであってもよい。
 さらに、ポリシー生成モデルは、アクセス制御ポリシーで定義される対象パターンに対応する定量的なアクションが、実行コスト評価部212が出力した評価結果及び追加の判定サンプルと矛盾がないように、アクセス制御ポリシーを生成することもできる。
 また、ポリシー生成モデルは、情報取得部211から取得した判定サンプル等のポリシー生成のための情報が変化した場合、又は実行コスト評価部212から取得した実行コストの評価結果等の情報が変化した場合に、その変化に応じて、生成するアクセス制御ポリシーを変更することができる。
 さらに、ポリシー生成部213は、情報取得部211からアクセス制御ポリシーの修正情報を取得した場合、その修正情報に応じて、生成するアクセス制御ポリシーを修正することもできる。
 以上に示したポリシー生成部213は、線形モデル、サポートベクトルマシン、ニューラルネットワーク、決定木、アンサンブル決定木、ベイズモデル、非負重み線形モデル、モノトニックニューラルネットワーク、モノトニック決定木等の任意の手段によって実現することができる。
 また、ポリシー生成部213は、アクセス制御ポリシーに代えて、何らかのアルゴリズム(例えばプログラム)を生成しても良い。このプログラムは、所定の(例えばリクエストがなされた)アクセスの属性を示す複数の要素のパターンが入力された場合に、そのパターンに対応するアクションを出力するものである。ポリシー生成部213は、そのプログラムを判定部22に出力し、判定部22はそのプログラムを用いてリクエストにかかるアクションを決定する。ポリシー生成部213は、生成したアクセス制御ポリシー(又はアルゴリズム)を、判定部22と表示部215に出力する。
 パラメータ格納部214は、ポリシー生成部213がアクセス制御ポリシーを生成するのに必要なパラメータ(例えば、ポリシー生成モデルの設定に必要なパラメータ)を格納する。ポリシー生成部213は、アクセス制御ポリシーを生成するときに、パラメータ格納部214からパラメータを取得する。
 表示部215は、ポリシー生成部213が生成したアクセス制御ポリシーを、ユーザが理解しやすくなるように、整理して表示するインタフェースである。表示部215は、例えば、GUI(Graphical User Interface)、CLI(Command Line Interface)等の表示機能を有する。さらに、表示部215は、ユーザがアクセス制御を管理するためのコンピュータ(例えば、管理用クラウドサーバ)等のインタフェースを有しても良い。
 例えば、表示部215は、アクセス制御ポリシーの内容として、アクセス先リソースの所有組織毎に、許可される状況と、許可対象であるユーザ、デバイスをまとめて表示することができる。このとき、表示部215は、アクションに与える影響が閾値以下である要素の属性情報の表示を省略することができる。また、表示部215は、入力部と共通のGUI上でアクセス制御ポリシーを表示することにより、ユーザが入力部で入力した判定サンプル等の情報と、表示部215で表示されるアクセス制御ポリシーとの整合性を、ユーザに分かりやすく認識させることもできる。
 ユーザは、表示部215を参照することにより、アクセス制御ポリシーのうち妥当ではないと考えられる部分についての修正情報を、入力部で入力する。これにより、情報取得部211からポリシー生成部213に修正情報が出力されることで、ポリシー生成部213は、アクセス制御ポリシーにおいて、修正情報で指定された部分を修正する。また、修正されたアクセス制御ポリシーが表示部215に表示されることで、ユーザは、アクセス制御ポリシーの修正を確認することができる。
 また、ユーザは、表示部215でのアクセス制御ポリシーの表示結果に基づいて、入力部を介して追加の判定サンプルをポリシー生成システム21に入力しても良い。これにより、ポリシー生成部213は、情報取得部211により取得した追加の判定サンプルを用いて、次回以降にアクセス制御ポリシーを生成するタイミングで、より状況に則したアクセス制御ポリシーを生成することができる。
 以上に示したアクセス制御システム20Aの処理について、さらに詳細な例を示して説明する。
 図5Aは、アクセス制御の状況の一例を示す図である。図5Aにおいて、ドローンRはエリアαからエリアδまで飛行による移動中であり、図5Aではエリアβに位置する。エリアα~δのそれぞれには、アクセス制御機器であるエンフォーサ24が接続され、各エリアα~δにドローンRが移動した場合に、ドローンRとの無線通信が可能であるAP(Access Point)1~4が設けられる。エンフォーサ24は、ドローンRからリソースへのリクエストがなされた場合に、そのリクエストを、ドローンRが位置するエリアのAPから受信する。エンフォーサ24は、このリクエストを受信した場合に、アクセス元であるドローンRのID、ドローンRの位置情報(ドローンRがどのエリアにいるかを示す情報)等を、判定部22(図5Aで不図示)に出力する。エンフォーサ24は、判定部22からのアクションの指示に基づき、エンフォーサ24に接続されたリソースSに含まれる各リソースA、B、C、Dへのアクセスを認可又は否認する。
 図5Bは、この例において情報取得部211が取得した判定サンプルにおける、各エリアα、β、γ、δでのアクションが定義されたテーブルの一例である。テーブルにおけるリソースA、B、C、Dは、リソースSに含まれたデータであり、それぞれエリアα、β、γ、δの飛行に関する地図データである。図5Bでは、ドローンRがエリアα、β、γ、δを飛行する場合に、各々のエリアに関する地図データを取得することは認可されるが、ドローンRが現在飛行していないエリアに関する地図データを取得することは否認される。
 図5Cは、ドローンRがエリアβに位置し、アクセス制御ポリシーとして図5Bで示された判定サンプルがそのまま用いられた場合に、判定部22が決定するアクションの一例を示した図である。図5Cに示された通り、ドローンRのリソースBに対するアクセスは許可されるが、他のリソースに対するアクセスは否認される。しかしながら、ドローンRの速度が速い場合、エンフォーサ24がドローンRの位置をエリアβであると認識している間に、実際のドローンRの位置が異なる位置(例えばエリアγ、δ)に移動している可能性が想定される。この場合、ドローンRは、現在いるエリアに関するリソースを取得できない代わりに、既に飛行を終了したエリアに関するリソースを取得することになり、実際の状況に則したアクセス制御ができなくなるという可能性がある。
 図5Dは、上述の処理に基づいてポリシー生成部213が生成するアクセス制御ポリシーにより、図5Aに示した状況においてなされるアクション制御の例である。図5Dでは、状況に応じたアクション制御として、アクセス制御1~4の4種類の例が示されている。ここで、アクション制御1、2、4は、ドローンRの移動速度が速く、状態空間において状態遷移する時間間隔が所定の閾値以下である場合を示し、アクション制御3は、ドローンRの移動速度が速くなく、状態空間において状態遷移する時間間隔が所定の閾値よりも大きい場合を示す。以下、各制御について説明する。
 アクション制御1は、ニーズ評価においてドローンRによるリソースへのアクセスのニーズが所定の閾値以上であると判定され、かつ、リスク評価においてドローンRによるリソースへのアクセスのリスクが第1の閾値Th1未満であると判定される場合を示す。この場合、ポリシー生成モデルは、エンフォーサ24が認識するドローンRの位置であるエリアβに対応するリソースBだけでなく、その飛行する方向に位置するエリアγ、δに対応するリソースC、Dに対するアクセスを許可するように、アクセス制御ポリシーを設定する。上述の通り、エンフォーサ24がドローンRの位置をエリアβであると認識している間に、実際のドローンRの位置がエリアγ又はδに移動する状態が想定される。そのため、ドローンRがリソースを取得するニーズが高い場合には、リソースC、Dに対するアクセスを許可することが好ましい。
 アクション制御2は、ニーズ評価においてドローンRによるリソースへのアクセスのニーズが所定の閾値以上であると判定され、かつ、リスク評価においてドローンRによるリソースへのアクセスのリスクが第1の閾値Th1以上第2の閾値Th2未満(Th1はTh2よりも小さい)であると判定される場合を示す。この場合、ポリシー生成モデルは、エンフォーサ24が認識するドローンRの位置であるエリアβに対応するリソースBだけでなく、それに隣接するエリアγに対応するリソースCに対するアクセスを許可するように、アクセス制御ポリシーを設定する。ここで、アクション制御2の状況では、リソースへのアクセスのニーズが高いものの、アクション制御1の状況と比較すると、ドローンRがリソースを収集するリスクが高くなる。そのため、アクション制御1と比較すると、アクセスを認可する対象となるリソースが少なくなる。具体的には、リソースDに対するアクセスが否認される。以上に示したように、アクション制御1、2では、機器が位置するエリア周辺の情報へのアクセスが、ニーズ、リスク及びアクセス元の機器の移動確率に応じて、許可又は否認される。
 アクション制御3は、ニーズ評価においてドローンRによるリソースへのアクセスのニーズが所定の閾値以上であると判定され、かつ、リスク評価においてドローンRによるリソースへのアクセスのリスクが第1の閾値Th1以上第2の閾値Th2未満であると判定される場合を示す。上述の通り、ドローンRの移動速度は速くないため、エンフォーサ24は、ドローンRの位置を正確に認識していると考えられる。このため、アクション制御3では、ドローンRの位置であるエリアβに対応するリソースBのみに対するアクセスが認可され、他のリソースに対するアクセスは否認される。
 アクション制御4は、ニーズ評価においてドローンRによるリソースへのアクセスのニーズが所定の閾値未満であると判定され、かつ、リスク評価においてドローンRによるリソースへのアクセスのリスクが第2の閾値Th2以上であると判定される場合を示す。この場合、ドローンRの移動速度が速いため、エンフォーサ24は、ドローンRの位置を正確に認識しない可能性がある。そして、アクセスへのニーズが低く、リスクが高いため、ポリシー生成モデルは、ドローンRのアクセスを、全てのリソースに対して否認するように設定する。このアクション制御4は、上述の実行コスト評価部212の(B)の処理によって設定される。
 以上に示したように、アクセス制御システム20Aにおいて、実行コスト評価部212は状態遷移モデルを用いて、対象パターンに対応するアクションを経時的に変化させる場合の実行コストを評価する。そして、ポリシー生成部213は、その評価結果と、情報取得部211が取得した判定サンプルを少なくとも用いて、対象パターンに対応するアクションを決定する。これにより、セキュリティとニーズを両立するだけでなく、さらに制御の実行可能性を満たすアクセス制御ポリシーを生成することができる。
 例えば、情報取得部211が取得した情報(例えば、判定サンプル又は意図の情報)で要求されたセキュリティとニーズを両立させるアクションがあり、そのアクションの実行可能性が高い場合が想定される。この場合には、ポリシー生成部213は、そのアクションが実行されるようにアクセス制御ポリシーを生成する。
 一方、情報取得部211が取得した情報で要求されたセキュリティとニーズを両立させるアクションがあるが、そのアクションの実行可能性が低い場合も想定される。この場合には、ポリシー生成部213は、リスク評価又はニーズ評価の少なくともいずれかを参照して、セキュリティとニーズのうち一方は満たさないが、いずれか一方を満たすようなアクションが実行されるように、アクセス制御ポリシーを生成する。このようにして、アクセス制御システム20Aは、セキュリティ・ニーズ・実行可能性のトレードオフを考慮したアクセス制御ポリシーを、精度が粗い、又は少数の判定サンプルに基づいて、自動的に生成することができる。
 また、上述の通り、判定部22は、多数のアクションのセットをACLとして、アクセス制御機器(エンフォーサ24)に対して設定することが可能である。この場合、アクセス制御機器は、アクセスのリクエストに対してACLを参照するだけでアクションを決定することができるため、アクション決定に際し、アクセスに関連する背景属性の情報を取得して検索する必要がない。そのため、アクセス制御機器のアクセス制御処理を高速にすることができる。しかしながら、アクセス制御システム20AにおいてACLを生成及び更新するための実行コストを削減することが、依然として課題となり得る。実施の形態2では、実行可能性が高いアクションが定義されたアクセス制御ポリシーを生成することができるため、そのアクセス制御ポリシーに基づいたACLを更新する回数を減少させることができる。
 また、アクセス元の機器からなされるアクセスのリスクが低い(例えば、所定の閾値以下である)場合、その機器からのアクセスに対してアクセス制御ポリシーが認可するリソースの数は増加すると想定される。例えば、図5Dのアクセス制御ポリシー1、2に示した通り、アクセス元の機器が移動する場合、アクセス制御ポリシーは、アクセス元の機器が将来移動する確率が高い位置に関連するリソースに対しても、そのアクセスを認可することができる。したがって、エンフォーサ24は、アクセス元の機器との通信頻度を減らすことが可能である。また、アクセス元の機器からのアクセスに対して認可されるリソースの数を増加させる対応の実行可能性は高いため、ACLが生成される場合には、ACLを更新する回数を減少させることができる。
 その一方で、アクセス制御ポリシーは、高いセキュリティリスクが生じる状況では機器からのアクセスを否認し、機器へのサービス継続が必要な状況ではアクセスを認可するように設定されても良い。例えば、ポリシー生成部213が、リスク評価及びニーズ評価に基づき、セキュリティリスクが特定の状況下でのみ増大し、その状況を除いてはニーズの維持が必要であると判定したと仮定する。この場合、セキュリティリスクが増大する状況に至る前後では、ACLの更新頻度を増大させてでも詳細なアクセス制御を実行するようなアクセス制御ポリシーが生成される。これにより、アクセスのリスクが上昇し始める時点で、アクセスが早期に禁止され、セキュリティを確保できるという効果が生じる。また、その状況以外では、ACLの更新頻度は減少し、実行コストを低くすることができる。
 また、詳細には、情報取得部211は、アクションに影響を与える影響度の順序又は大きさの少なくともいずれかが定義された、アクセスの属性を示す意図の情報を取得し、ポリシー生成部213は、その意図の情報をさらに用いてアクセス制御ポリシーを生成しても良い。これにより、アクセス制御ポリシーの精度をさらに高めることができる。
 また、ポリシー生成部213は、対象パターンのニーズ又はセキュリティの少なくともいずれかのレベルを示す情報をさらに用いて、そのパターンに対応するアクションを決定することができる。これにより、アクセス制御ポリシーは、ニーズ又はセキュリティの少なくともいずれかの観点を満たすように生成されることができる。
 詳細には、実行コスト評価部212は、アクションを経時的に変化させる実行可能性を評価することもできる。ポリシー生成部213は、評価された実行可能性が所定の閾値以上である場合に、アクセス制御対象となるパターンにおいて要求されるニーズ及びセキュリティの両方のレベルを満たすように、そのパターンに対応するアクションを決定する。一方、評価された実行可能性が所定の閾値未満である場合に、ポリシー生成部213は、要求されるニーズ及びセキュリティの両方のレベルに基づいて、要求されるニーズ及びセキュリティのうち一方のレベルを満たすように、そのパターンに対応するアクションを決定する。これにより、アクセス制御ポリシーは、現実的に実行可能となるアクションを確実に定義することができる。
 また、実行コスト評価部212は、アクセスの属性の経時的な変化を示すログ又はモデル(例えば状態遷移モデル)を遷移情報として生成し、その遷移情報を用いて実行コストを評価しても良い。これにより、実行コスト評価部212は、実行コストを簡易な手法で評価することができる。ただし、実行コスト評価部212は、上述の遷移情報を、アクセス制御システムの他の構成要素から取得しても良い。
 また、実行コスト評価部212は、遷移情報を参照することにより、対象パターンにかかるアクセスの属性について、第1の状態から第2の状態に経時的に遷移する確率が、第1の状態から第3の状態に経時的に遷移する確率よりも高いと判定した場合に、以下のように実行コストを評価しても良い。すなわち、属性が第1の状態にある場合において、判定サンプルで属性が第2の状態にある場合において定義されたアクションと異なるアクションを実行する実行コストを、判定サンプルで属性が第3の状態にある場合において定義されたアクションと異なるアクションを実行する実行コストよりも高いものにするように、実行コストが評価される。これにより、アクセス制御ポリシーでは、近い将来遷移する確率が高い状態において取り得るアクションが実行されやすくなるため、リソースを取得しやすくなり、ニーズを高めることができる。
 また、ポリシー生成部213は、アクセス制御の対象となるパターンにかかるアクセスの属性が第1の状態から第2の状態に経時的に遷移する時間間隔が所定の閾値以下であり、判定サンプルにおいて第1の状態と第2の状態とで異なるアクションが定義されるアクセスに対して、そのアクセスにおける第1の状態と第2の状態でのアクションを同一のアクションに決定することができる。これにより、ポリシー生成部213は、遷移するまでの時間間隔が短く、その前後でアクションを変更することの実現可能性が低いような場合に、その前後で実行可能なアクションを維持するようにすることができる。そのため、アクションに関する実行コストを低くすることができる。
 詳細には、ポリシー生成部213は、実行コスト評価部212が追加した判定サンプルをポリシー生成モデルに入力することにより、上述のアクションの決定方法を実行しても良い。これにより、ポリシー生成部213は、ポリシー生成モデルを現実に則するように学習させることができる。
 実施の形態3
 以下、実施の形態3では、実施の形態1にて説明した分析装置10の更なる具体例を開示する。なお、実施の形態2で示した説明と同じものについては適宜省略する。
 図6は、ゼロトラストネットワーク上におけるアクセス制御の判定を実行するアクセス制御システム20Bの一例を示すブロック図である。アクセス制御システム20Bは、ポリシー生成システム21、判定部22、データストア23及びエンフォーサ24のほか、 制御状態記憶部25をさらに備える。以下、制御状態記憶部25について説明するほか、ポリシー生成システム21~エンフォーサ24が実行する処理については、実施の形態2と異なる点についてのみ説明し、共通の処理については説明を省略する。
 制御状態記憶部25は、ポリシーエンジンである判定部22で決定された過去のアクション履歴を格納する。過去のアクション履歴は、例えば、リクエスト元の機器のIDと、リクエスト先のIDの組とを含む。判定部22は、制御状態記憶部25に格納されたアクション履歴を、アクションの決定に利用することができる。
 アクセス制御システム20Bにおいては、実行コスト評価部212で実行される処理(A)に代えて、情報取得部211による以下の処理(C)が実行される。(C)情報取得部211は、アクションに影響を与える影響度の順序又は大きさの少なくともいずれかが定義された意図の情報として、アクションに影響を与える影響度の順序又は大きさの少なくともいずれかに対し、以下の少なくともいずれかの処理を実行することができる。すなわち、時間経過の前後において同一のアクションを設定することに正の効果を付与すること、又は、時間経過の前後において異なるアクションを設定することに負の効果を付与すること、の処理である。情報取得部211は、制御状態記憶部25から過去のアクション履歴を取得して、対象パターンにおいて直近でなされたアクションの内容を特定することにより、処理(C)を実行することができる。
 ポリシー生成部213は、判定サンプル等のほか、情報取得部211が処理(C)によって設定した意図の情報をさらに用いて、アクションを決定し、アクセス制御ポリシーを生成する。このように、情報取得部211は、アクションの決定において、直近のアクセス制御でなされたアクションが今回のアクセス制御でも実行されやすくなるように、定性的な効果を意図の情報として設定する。そのため、処理(A)に示す平滑化の処理よりもより簡易な処理で、アクセス制御の実行可能性を考慮に入れたアクセス制御ポリシーを生成することができる。
 図7Aは、アクセス制御の状況の一例を示す図である。図7Aにおいて、ロボットTはAP5と無線通信を実行することで、AP5と接続されたアクセス制御機器であるエンフォーサ24に対してリソースをリクエストする。エンフォーサ24は、このリクエストを受信した場合に、アクセス元であるロボットTのID、ロボットTとの通信における帯域使用率等のデバイスの属性情報を、判定部22(図7Aで不図示)に出力する。エンフォーサ24は、判定部22からのアクションの指示に基づき、エンフォーサ24に接続されたリソースSに含まれる各リソースE、Fへのアクセスを認可又は否認する。リソースEは、動画コンテンツであり、リソースFは、テキストファイルである。そのため、ロボットTがリソースEにアクセスする方が、リソースFにアクセス場合と比較して、無線通信の帯域使用における負荷が高くなる。
 図7Bは、ロボットTの無線通信における帯域使用率の一例を示したグラフである。図7Bに示す通り、帯域使用率のグラフは、時間経過に応じて、ピークPA1とPA2の2つのピークを有する。なお、ピークPA2の方が、ピークPA1と比較して、帯域使用率の最大値が大きく、かつ、ピークの期間が長い。
 上述の通り、リソースEは動画コンテンツである。そのため、帯域使用率が大きい場合に、ロボットTによるリソースEへのアクセスを許可すると、他のロボットとエンフォーサ24との通信ができなくなる可能性がある。この問題を解決するために、アクセス制御ポリシーにおいて、帯域使用率について1つの閾値を定義し、帯域使用率がその閾値を超えた場合に、ロボットTによるリソースEへのアクセスを否認するように定義する方法が考えられる。
 しかしながら、図7Bに示したような、帯域使用率の変化の度合いが大きい状況でこの方法を適用した場合には、帯域使用率が閾値を超えた状態と閾値以下になる状態とが高頻度で切り替わることになる。この切り替わる時間が所定の許容時間の間隔(閾値)以下である場合、エンフォーサ24による情報収集又はエンフォーサ24に与えられたACLの更新が、実際の帯域使用率の変動に追従できなくなる。したがって、エンフォーサ24によってアクセス制御のアクションを認可と否認とで切り替える対応が、実際の帯域使用率の変動に間に合わなくなるため、アクセス制御ポリシーに記載通りのアクセス制御を実行できなくなってしまう。これにより、セキュリティリスクが生じたり、無線通信のサービス品質が低下したりすることが生じ得る。この課題を解決するために、エンフォーサ24による情報収集又はエンフォーサ24に与えられたACLの更新の頻度を高めようとすると、アクセス制御に伴う実行コストが高くなってしまう。
 また、アクセス制御ポリシーにおいて2種類のヒステリシス用の閾値Th3及びTh4(Th4>Th3)を設定する方法も考えられる。この場合、帯域使用率が閾値Th3を超えた後Th4を超えた場合に、リソースEへのアクセスが認可される状態から否認される状態となり、帯域使用率が閾値Th4以下になった後Th3以下になった場合に、リソースEへのアクセスが否認される状態から認可される状態となる。しかしながら、この方法では、各閾値が固定された値となる。そのため、セキュリティとニーズの詳細な比較に基づいて予め生成された理想的なポリシーがある場合には、そのポリシーと実際の制御との間にズレが生じてしまう。
 図7C、7Dは、このような課題を解決するため、上述の処理に基づいてポリシー生成部213が生成するアクセス制御ポリシーにより、図7Aの状況においてなされるアクション制御の例を示したグラフである。図7Cは、リスク評価によって評価されたロボットTのアクセスのリスクが所定の閾値未満の場合(リスクが中程度の場合)における、アクセス制御ポリシーの例である。図7Dは、リスク評価によって評価されたロボットTのアクセスのリスクが所定の閾値以上の場合(リスクが高い場合)における、アクセス制御ポリシーの例である。
 図7Cでは、ヒステリシス用の閾値Th3とTh4との間隔(ヒステリシスマージン)が0.4となっており、間隔が比較的長い。また、Th4の値は比較的大きい。そのため、図7Cにおけるアクション制御では、ピークPA1においてリソースEへのアクセスは認可される一方、ピークPA2においてリソースEへのアクセスは否認される。詳細には、図7CにおけるピークPA2付近では、帯域使用率が閾値Th4を超えた時刻t3以降において、リソースEへのアクセスが否認される。このように、ヒステリシスマージンが大きくとられるアクセス制御ポリシーは、リスク評価及びニーズ評価において判定されるアクセスのリスク及びニーズがいずれも所定の閾値以下である場合に生成される。これにより、アクションが頻繁に変動することを抑制することができるため、実行コストを低くすることができる。また、アクセス制御システム20がACLを生成する場合には、ACLの更新頻度を低くすることができる。
 図7Dでは、ヒステリシス用の閾値Th3とTh4との間隔(ヒステリシスマージン)が0.1となっており、間隔が比較的短い。また、図7DにおけるTh3及びTh4は、それぞれ、図7CにおけるTh3及びTh4よりも小さい(この例では、図7DにおけるTh4が、図7CにおけるTh3と等しい)。そのため、図7Dにおけるアクション制御では、ピークPA1及びPA2においてリソースEへのアクセスが否認される。詳細には、図DにおけるピークPA2付近では、帯域使用率が閾値Th4を超えた時刻t4以降において、リソースEへのアクセスが否認される。このとき、時刻t4は時刻t3よりも前のタイミングとなるため、図7Dの状況では、図7Cの状況と比較して、リソースEへのアクセスが否認される時間が長くなる。このように、ヒステリシスマージンが小さくとられるアクセス制御ポリシーは、リスク評価において判定されるアクセスのリスク、又はニーズ評価において判定されるアクセスのニーズの少なくともいずれかが所定の閾値よりも高い場合に生成される。これにより、アクションを詳細に制御することができるため、要求されるリスク又はニーズに基づくアクセス制御が可能となる。また、アクセス制御システム20がACLを生成する場合には、ACLの更新頻度を低くすることができる。
 以上に示したように、アクセス制御システム20Bにおいて、情報取得部211は、意図の情報として、アクションに影響を与える影響度の順序又は大きさの少なくともいずれかに対し、時間経過の前後において同一のアクションを設定することに正の効果を付与すること、又は、時間経過の前後において異なるアクションを設定することに負の効果を付与すること、の少なくともいずれかを実行することができる。ポリシー生成部213は、正の効果又は負の効果の少なくともいずれかが付与された意図の情報を用いて、アクセス制御ポリシーを生成する。これにより、セキュリティとニーズを両立するだけでなく、さらに制御の実行可能性を満たすアクセス制御ポリシーを生成することができる。
 詳細には、要求されるアクセスのリスク又はニーズの少なくともいずれか高い場合と、両者とも低い場合とで、ポリシー生成部213は、異なるアクセス制御ポリシー(例えば、判定用の閾値及びヒステリシスマージンが異なるポリシー)を自動的に生成することができる。これにより、アクセス制御の自由度が向上し、要求されるセキュリティとニーズを維持しながら、可能な範囲でアクセス制御に伴う実行コストの抑制に寄与することができる。
 また、実施の形態2での処理(A)は、実行コスト評価部212が実行する内部処理である。これに対し、実施の形態3での処理(C)で用いられるのは、直近のアクセス制御でなされたアクション履歴である。そのため、処理(A)又は(C)の手法をユーザが調整する場合、ユーザがより容易に確認できるのは、実行コスト評価部212の内部処理の結果よりも、アクション履歴の方である。したがって、処理(C)は処理(A)に比べて、ユーザがアクセス制御ポリシーを修正するための理解及びそのための処理が、より容易となる。
 その他のアクセス制御システム20Bによる効果は、アクセス制御システム20Aによる効果と同様であるため、説明を省略する。
 実施の形態2、3に示したアクセス制御システム20は、例えばCPS(Cyber-Physical System)、Beyond5Gといった分野において、制御の自由度が高いアクセス制御ポリシーを設計することができる。さらなる具体例として、アクセス制御システム20は、多数のデバイスが接続され、状態が動的に変化し続ける同期型CPSにおいて、常にデバイスや環境の様々な情報を収集し、アクセス制御を行うゼロトラストプラットフォームを生成することに役立つ。このようなアクセス制御を実行する際には、装置の位置や利用アプリケーション等の属性情報が高頻度に変動する一方で、アクセス制御機器におけるアクセス制御の処理がそれに追いつかないことにより、予め生成したポリシー通りのアクション制御が行えない可能性がある。この課題を解決するために、情報収集やアクセス制御機器のACL更新等を高頻度に実行すると、アクセス制御に伴う実行コストが、効果に見合わない過大なものになってしまうという課題が生じる。しかしながら、本開示のアクセス制御システム20は、アクションにおけるニーズとリスクを考慮しながら、アクセス制御の実行コストが過大なものとならない、実行可能性が高いアクセス制御ポリシーを予め生成することが可能である。
 なお、本開示は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。例えば、実施の形態2又は3において、ポリシー生成部213は、アクセス制御の対象となるアクセスパターンにおけるニーズ評価に定義されたニーズ、及びリスク評価に定義されたセキュリティの両方ではなく、そのいずれか一方が満たされるようにアクションを決定することもできる。
 以上に示した実施の形態では、この開示をハードウェアの構成として説明したが、この開示は、これに限定されるものではない。この開示は、上述の実施形態において説明されたポリシー生成装置又はポリシー生成システムの処理(ステップ)を、コンピュータ内のプロセッサにコンピュータプログラムを実行させることにより実現することも可能である。
 図8は、以上に示した各実施の形態の処理が実行される情報処理装置(信号処理装置)のハードウェア構成例を示すブロック図である。図8を参照すると、この情報処理装置90は、信号処理回路91、プロセッサ92及びメモリ93を含む。
 信号処理回路91は、プロセッサ92の制御に応じて、信号を処理するための回路である。なお、信号処理回路91は、送信装置から信号を受信する通信回路を含んでいても良い。
 プロセッサ92は、メモリ93と接続されて(結合して)おり、メモリ93からソフトウェア(コンピュータプログラム)を読み出して実行することで、上述の実施形態において説明された装置の処理を行う。プロセッサ92の一例として、CPU(Central Processing Unit)、MPU(Micro Processing Unit)、FPGA(Field-Programmable Gate Array)、DSP(Demand-Side Platform)、ASIC(Application Specific Integrated Circuit)のうち一つを用いてもよいし、そのうちの複数を並列で用いてもよい。
 メモリ93は、揮発性メモリや不揮発性メモリ、またはそれらの組み合わせで構成される。メモリ93は、1個に限られず、複数設けられてもよい。なお、揮発性メモリは、例えば、DRAM (Dynamic Random Access Memory)、SRAM (Static Random Access Memory)等のRAM (Random Access Memory)であってもよい。不揮発性メモリは、例えば、PROM (Programmable Random Only Memory)、EPROM (Erasable Programmable Read Only Memory) 等のROM (Read Only Memory)、フラッシュメモリや、SSD(Solid State Drive)であってもよい。
 メモリ93は、1以上の命令を格納するために使用される。ここで、1以上の命令は、ソフトウェアモジュール群としてメモリ93に格納される。プロセッサ92は、これらのソフトウェアモジュール群をメモリ93から読み出して実行することで、上述の実施形態において説明された処理を行うことができる。
 なお、メモリ93は、プロセッサ92の外部に設けられるものに加えて、プロセッサ92に内蔵されているものを含んでもよい。また、メモリ93は、プロセッサ92を構成するプロセッサから離れて配置されたストレージを含んでもよい。この場合、プロセッサ92は、I/O(Input/Output)インタフェースを介してメモリ93にアクセスすることができる。
 以上に説明したように、上述の実施形態における各装置が有する1又は複数のプロセッサは、図面を用いて説明されたアルゴリズムをコンピュータに行わせるための命令群を含む1又は複数のプログラムを実行する。この処理により、各実施の形態に記載された信号処理方法が実現できる。
 プログラムは、コンピュータに読み込まれた場合に、実施形態で説明された1又はそれ以上の機能をコンピュータに行わせるための命令群(又はソフトウェアコード)を含む。プログラムは、非一時的なコンピュータ可読媒体又は実体のある記憶媒体に格納されてもよい。限定ではなく例として、コンピュータ可読媒体又は実体のある記憶媒体は、random-access memory(RAM)、read-only memory(ROM)、フラッシュメモリ、solid-state drive(SSD)又はその他のメモリ技術、CD-ROM、digital versatile disk(DVD)、Blu-ray(登録商標)ディスク又はその他の光ディスクストレージ、磁気カセット、磁気テープ、磁気ディスクストレージ又はその他の磁気ストレージデバイスを含む。プログラムは、一時的なコンピュータ可読媒体又は通信媒体上で送信されてもよい。限定ではなく例として、一時的なコンピュータ可読媒体又は通信媒体は、電気的、光学的、音響的、またはその他の形式の伝搬信号を含む。
 上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
 (付記1)
 アクセスの属性を示す1以上の要素の第1のパターンと、前記第1のパターンに対応するアクセス制御のアクションと、の組み合わせが複数定義されたデータセットと、経時的に変化するアクセスの属性を示す1以上の要素の第2のパターンと、を少なくとも取得する取得手段と、
 アクセスの属性を示す1以上の要素における状態遷移を示す遷移情報と、前記第2のパターンと、を少なくとも用いて、前記第2のパターンに対応するアクションを経時的に変化させる場合の実行コストを評価する評価手段と、
 前記評価手段の評価結果及び前記データセットを少なくとも用いて、前記第2のパターンに対応するアクションを決定する決定手段と、を備える
 分析装置。
 (付記2)
 前記取得手段は、前記アクションに影響を与える影響度の順序又は大きさの少なくともいずれかが定義された、アクセスの属性を示す1以上の要素の第3のパターンをさらに取得し、
 前記決定手段は、前記第3のパターンをさらに用いて前記アクションを決定する、
 付記1に記載の分析装置。
 (付記3)
 前記取得手段は、前記第3のパターンにおいて、前記アクションに影響を与える影響度の順序又は大きさの少なくともいずれかに対し、時間経過の前後において同一のアクションを設定することに正の効果を付与すること、又は、時間経過の前後において異なるアクションを設定することに負の効果を付与すること、の少なくともいずれかを実行し、
 前記決定手段は、前記正の効果又は負の効果の少なくともいずれかが付与された前記第3のパターンをさらに用いて、前記アクションを決定する、
 付記2に記載の分析装置。
 (付記4)
 前記決定手段は、前記第2のパターンにおいて要求されるニーズ又はセキュリティの少なくともいずれかのレベルを示す情報をさらに用いて、前記第2のパターンに対応するアクションを決定する、
 付記1乃至3のいずれか1項に記載の分析装置。
 (付記5)
 前記評価手段は、アクションを経時的に変化させる実行可能性をさらに評価し、
 前記決定手段は、前記評価手段が評価した前記実行可能性が所定の閾値以上である場合に、前記第2のパターンにおいて要求されるニーズ及びセキュリティの両方のレベルを満たすように前記第2のパターンに対応するアクションを決定し、
 前記評価手段が評価した前記実行可能性が所定の閾値未満である場合に、前記第2のパターンにおいて要求されるニーズ及びセキュリティの両方のレベルに基づいて、当該ニーズ及びセキュリティのうち満たされるべき一方のレベルを決定し、決定された一方のレベルが満たされるように前記第2のパターンに対応するアクションを決定する、
 付記4に記載の分析装置。
 (付記6)
 前記評価手段は、前記アクセスの属性の経時的な変化を示すログ又はモデルを前記遷移情報として取得または生成し、当該遷移情報と、前記第2のパターンと、を少なくとも用いて前記実行コストを評価する、
 付記1乃至3のいずれか1項に記載の分析装置。
 (付記7)
 前記評価手段は、前記遷移情報を参照することにより、前記第2のパターンにかかる前記アクセスの属性について、第1の状態から第2の状態に経時的に遷移する確率が、前記第1の状態から第3の状態に経時的に遷移する確率よりも高いと判定した場合に、前記属性が前記第1の状態にある場合において、前記データセットにおいて前記属性が前記第2の状態にある場合において定義されたアクションと異なるアクションを実行する実行コストを、前記データセットにおいて前記属性が前記第3の状態にある場合において定義されたアクションと異なるアクションを実行する実行コストよりも高いものにするように、前記実行コストを評価する、
 付記1又は2に記載の分析装置。
 (付記8)
 前記決定手段は、前記第2のパターンにかかる前記アクセスの属性が第1の状態から第2の状態に経時的に遷移する時間間隔が所定の閾値以下であり、前記データセットにおいて前記第1の状態と前記第2の状態とで異なるアクションが定義されるアクセスに対して、前記アクセスにおける前記第1の状態と前記第2の状態でのアクションを同一のアクションに決定する、
 付記1乃至3のいずれか1項に記載の分析装置。
 (付記9)
 前記決定手段は、
 前記評価結果及び前記データセットを少なくとも入力することで、前記第2のパターンに対応するアクションを出力するように学習がなされたモデルを用いて、前記第2のパターンに対応するアクションを決定し、
 前記第2のパターンにかかる前記アクセスの属性が第1の状態から第2の状態に経時的に遷移する時間間隔が所定の閾値以下であり、前記データセットにおいて前記第1の状態と前記第2の状態とで異なるアクションが定義されるアクセスに対して、前記アクセスにおける前記第1の状態と前記第2の状態でのアクションが同一のアクションとして定義されたデータを、前記データセットとして前記モデルに入力させる、
 付記1乃至3のいずれか1項に記載の分析装置。
 (付記10)
 アクセスの属性を示す1以上の要素の第1のパターンと、前記第1のパターンに対応するアクセス制御のアクションと、の組み合わせが複数定義されたデータセットと、経時的に変化するアクセスの属性を示す1以上の要素の第2のパターンと、を少なくとも取得し、
 アクセスの属性を示す1以上の要素における状態遷移を示す遷移情報と、前記第2のパターンと、を少なくとも用いて、前記第2のパターンに対応するアクションを経時的に変化させる場合の実行コストを評価し、
 前記評価の結果及び前記データセットを少なくとも用いて、前記第2のパターンに対応するアクションを決定する、
 コンピュータが実行する分析方法。
 (付記11)
 アクセスの属性を示す1以上の要素の第1のパターンと、前記第1のパターンに対応するアクセス制御のアクションと、の組み合わせが複数定義されたデータセットと、経時的に変化するアクセスの属性を示す1以上の要素の第2のパターンと、を少なくとも取得し、
 アクセスの属性を示す1以上の要素における状態遷移を示す遷移情報と、前記第2のパターンと、を少なくとも用いて、前記第2のパターンに対応するアクションを経時的に変化させる場合の実行コストを評価し、
 前記評価の結果及び前記データセットを少なくとも用いて、前記第2のパターンに対応するアクションを決定する、
 ことをコンピュータに実行させるプログラムが格納された非一時的なコンピュータ可読媒体。
 以上、実施の形態を参照して本開示を説明したが、本開示は上記によって限定されるものではない。本開示の構成や詳細には、開示のスコープ内で当業者が理解し得る様々な変更をすることができる。
10   分析装置
11   取得部         12   評価部
13   決定部
20   アクセス制御システム
21   ポリシー生成システム  22   決定部
23   データストア      24   エンフォーサ
25   制御状態記憶部
211  情報取得部       212  実行コスト評価部
213  ポリシー生成部     214  パラメータ格納部
215  表示部

Claims (11)

  1.  アクセスの属性を示す1以上の要素の第1のパターンと、前記第1のパターンに対応するアクセス制御のアクションと、の組み合わせが複数定義されたデータセットと、経時的に変化するアクセスの属性を示す1以上の要素の第2のパターンと、を少なくとも取得する取得手段と、
     アクセスの属性を示す1以上の要素における状態遷移を示す遷移情報と、前記第2のパターンと、を少なくとも用いて、前記第2のパターンに対応するアクションを経時的に変化させる場合の実行コストを評価する評価手段と、
     前記評価手段の評価結果及び前記データセットを少なくとも用いて、前記第2のパターンに対応するアクションを決定する決定手段と、を備える
     分析装置。
  2.  前記取得手段は、前記アクションに影響を与える影響度の順序又は大きさの少なくともいずれかが定義された、アクセスの属性を示す1以上の要素の第3のパターンをさらに取得し、
     前記決定手段は、前記第3のパターンをさらに用いて前記アクションを決定する、
     請求項1に記載の分析装置。
  3.  前記取得手段は、前記第3のパターンにおいて、前記アクションに影響を与える影響度の順序又は大きさの少なくともいずれかに対し、時間経過の前後において同一のアクションを設定することに正の効果を付与すること、又は、時間経過の前後において異なるアクションを設定することに負の効果を付与すること、の少なくともいずれかを実行し、
     前記決定手段は、前記正の効果又は負の効果の少なくともいずれかが付与された前記第3のパターンをさらに用いて、前記アクションを決定する、
     請求項2に記載の分析装置。
  4.  前記決定手段は、前記第2のパターンにおいて要求されるニーズ又はセキュリティの少なくともいずれかのレベルを示す情報をさらに用いて、前記第2のパターンに対応するアクションを決定する、
     請求項1乃至3のいずれか1項に記載の分析装置。
  5.  前記評価手段は、アクションを経時的に変化させる実行可能性をさらに評価し、
     前記決定手段は、前記評価手段が評価した前記実行可能性が所定の閾値以上である場合に、前記第2のパターンにおいて要求されるニーズ及びセキュリティの両方のレベルを満たすように前記第2のパターンに対応するアクションを決定し、
     前記評価手段が評価した前記実行可能性が所定の閾値未満である場合に、前記第2のパターンにおいて要求されるニーズ及びセキュリティの両方のレベルに基づいて、当該ニーズ及びセキュリティのうち満たされるべき一方のレベルを決定し、決定された一方のレベルが満たされるように前記第2のパターンに対応するアクションを決定する、
     請求項4に記載の分析装置。
  6.  前記評価手段は、前記アクセスの属性の経時的な変化を示すログ又はモデルを前記遷移情報として取得または生成し、当該遷移情報と、前記第2のパターンと、を少なくとも用いて前記実行コストを評価する、
     請求項1乃至3のいずれか1項に記載の分析装置。
  7.  前記評価手段は、前記遷移情報を参照することにより、前記第2のパターンにかかる前記アクセスの属性について、第1の状態から第2の状態に経時的に遷移する確率が、前記第1の状態から第3の状態に経時的に遷移する確率よりも高いと判定した場合に、前記属性が前記第1の状態にある場合において、前記データセットにおいて前記属性が前記第2の状態にある場合において定義されたアクションと異なるアクションを実行する実行コストを、前記データセットにおいて前記属性が前記第3の状態にある場合において定義されたアクションと異なるアクションを実行する実行コストよりも高いものにするように、前記実行コストを評価する、
     請求項1又は2に記載の分析装置。
  8.  前記決定手段は、前記第2のパターンにかかる前記アクセスの属性が第1の状態から第2の状態に経時的に遷移する時間間隔が所定の閾値以下であり、前記データセットにおいて前記第1の状態と前記第2の状態とで異なるアクションが定義されるアクセスに対して、前記アクセスにおける前記第1の状態と前記第2の状態でのアクションを同一のアクションに決定する、
     請求項1乃至3のいずれか1項に記載の分析装置。
  9.  前記決定手段は、
     前記評価結果及び前記データセットを少なくとも入力することで、前記第2のパターンに対応するアクションを出力するように学習がなされたモデルを用いて、前記第2のパターンに対応するアクションを決定し、
     前記第2のパターンにかかる前記アクセスの属性が第1の状態から第2の状態に経時的に遷移する時間間隔が所定の閾値以下であり、前記データセットにおいて前記第1の状態と前記第2の状態とで異なるアクションが定義されるアクセスに対して、前記アクセスにおける前記第1の状態と前記第2の状態でのアクションが同一のアクションとして定義されたデータを、前記データセットとして前記モデルに入力させる、
     請求項1乃至3のいずれか1項に記載の分析装置。
  10.  アクセスの属性を示す1以上の要素の第1のパターンと、前記第1のパターンに対応するアクセス制御のアクションと、の組み合わせが複数定義されたデータセットと、経時的に変化するアクセスの属性を示す1以上の要素の第2のパターンと、を少なくとも取得し、
     アクセスの属性を示す1以上の要素における状態遷移を示す遷移情報と、前記第2のパターンと、を少なくとも用いて、前記第2のパターンに対応するアクションを経時的に変化させる場合の実行コストを評価し、
     前記評価の結果及び前記データセットを少なくとも用いて、前記第2のパターンに対応するアクションを決定する、
     コンピュータが実行する分析方法。
  11.  アクセスの属性を示す1以上の要素の第1のパターンと、前記第1のパターンに対応するアクセス制御のアクションと、の組み合わせが複数定義されたデータセットと、経時的に変化するアクセスの属性を示す1以上の要素の第2のパターンと、を少なくとも取得し、
     アクセスの属性を示す1以上の要素における状態遷移を示す遷移情報と、前記第2のパターンと、を少なくとも用いて、前記第2のパターンに対応するアクションを経時的に変化させる場合の実行コストを評価し、
     前記評価の結果及び前記データセットを少なくとも用いて、前記第2のパターンに対応するアクションを決定する、
     ことをコンピュータに実行させるプログラムが格納された非一時的なコンピュータ可読媒体。
PCT/JP2022/013742 2022-03-23 2022-03-23 分析装置、分析方法及び非一時的なコンピュータ可読媒体 WO2023181219A1 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2023518232A JPWO2023181219A5 (ja) 2022-03-23 分析装置、分析方法及びプログラム
US18/025,162 US20240283792A1 (en) 2022-03-23 2022-03-23 Analysis apparatus, analysis method, and non-transitory computer readable medium
PCT/JP2022/013742 WO2023181219A1 (ja) 2022-03-23 2022-03-23 分析装置、分析方法及び非一時的なコンピュータ可読媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2022/013742 WO2023181219A1 (ja) 2022-03-23 2022-03-23 分析装置、分析方法及び非一時的なコンピュータ可読媒体

Publications (1)

Publication Number Publication Date
WO2023181219A1 true WO2023181219A1 (ja) 2023-09-28

Family

ID=88100579

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2022/013742 WO2023181219A1 (ja) 2022-03-23 2022-03-23 分析装置、分析方法及び非一時的なコンピュータ可読媒体

Country Status (2)

Country Link
US (1) US20240283792A1 (ja)
WO (1) WO2023181219A1 (ja)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160072704A1 (en) * 2014-09-09 2016-03-10 Microsoft Corporation Resource control for virtual datacenters
US20170064556A1 (en) * 2015-09-02 2017-03-02 International Business Machines Corporation On-Device Authorization of Devices for Collaboration and Association
JP2017162223A (ja) * 2016-03-10 2017-09-14 カシオ計算機株式会社 コンテンツ評価装置、コンテンツ評価方法及びプログラム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160072704A1 (en) * 2014-09-09 2016-03-10 Microsoft Corporation Resource control for virtual datacenters
US20170064556A1 (en) * 2015-09-02 2017-03-02 International Business Machines Corporation On-Device Authorization of Devices for Collaboration and Association
JP2017162223A (ja) * 2016-03-10 2017-09-14 カシオ計算機株式会社 コンテンツ評価装置、コンテンツ評価方法及びプログラム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
HIKONE, KAZUNORI; IKEDA, MITSUJI; HATAYAMA, KAZUMI; HAYASHI, TERUMINE: "Sequential circuit test generation by real number simulation", DENSHI JOHO TSUSHIN GAKKAI RONBUNSHI. D-2 - TRANSACTIONS OF THEINSTITUTE OF ELECTRONICS, INFORMATION AND COMMUNICATION ENGINEERSSECTION J-D-2, TOKYO, JP, vol. J75-D-I, no. 11, 25 November 1992 (1992-11-25), JP , pages 1089 - 1098, XP009549373, ISSN: 0915-1923 *

Also Published As

Publication number Publication date
JPWO2023181219A1 (ja) 2023-09-28
US20240283792A1 (en) 2024-08-22

Similar Documents

Publication Publication Date Title
US11783069B2 (en) Enterprise document classification
US11171980B2 (en) Contagion risk detection, analysis and protection
CN103530106B (zh) 用于职责分离的上下文相关的事务性管理的方法和系统
JP2020508523A (ja) ロールベースコンピュータセキュリティ構成のシステム及び方法
US11880453B2 (en) Malware mitigation based on runtime memory allocation
CN117978556B (zh) 一种数据访问控制方法、网络交换子系统及智能计算平台
Ficco et al. Security and resilience in intelligent data-centric systems and communication networks
US11895121B1 (en) Efficient identification and remediation of excessive privileges of identity and access management roles and policies
WO2023181219A1 (ja) 分析装置、分析方法及び非一時的なコンピュータ可読媒体
KR101988205B1 (ko) 가상사설망 서비스 시스템
Duarte et al. On the Prospect of using Cognitive Systems to Enforce Data Access Control
WO2024018589A1 (ja) ポリシー管理装置、ポリシー管理方法及び非一時的なコンピュータ可読媒体
WO2023144905A1 (ja) 情報処理装置、情報処理方法及び非一時的なコンピュータ可読媒体
WO2022244179A1 (ja) ポリシー生成装置、ポリシー生成方法及びプログラムが格納された非一時的なコンピュータ可読媒体
US20240289463A1 (en) Modification of vulnerable pods
Alkhresheh Dynamic Access Control Framework for Internet of Things
Savinov et al. A risk management approach for distributed event-based systems

Legal Events

Date Code Title Description
WWE Wipo information: entry into national phase

Ref document number: 18025162

Country of ref document: US

WWE Wipo information: entry into national phase

Ref document number: 2023518232

Country of ref document: JP

121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 22933361

Country of ref document: EP

Kind code of ref document: A1