特開2024-135462アクセスポリシー表示装置およびアクセスポリシー表示方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024135462
(43)【公開日】2024-10-04
(54)【発明の名称】アクセスポリシー表示装置およびアクセスポリシー表示方法
(51)【国際特許分類】
G06F 21/60 20130101AFI20240927BHJP
【FI】
G06F21/60 340
【審査請求】未請求
【請求項の数】9
【出願形態】OL
(21)【出願番号】P 2023046154
(22)【出願日】2023-03-23
(71)【出願人】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100103090
【弁理士】
【氏名又は名称】岩壁 冬樹
(74)【代理人】
【識別番号】100124501
【弁理士】
【氏名又は名称】塩川 誠人
(72)【発明者】
【氏名】井ノ口 真樹
(72)【発明者】
【氏名】木下 峻一
(72)【発明者】
【氏名】三谷 昌平
(57)【要約】
【課題】視認性が向上したアクセスポリシーに関する情報を表示する。
【解決手段】アクセスポリシー表示装置10は、アクセスポリシーの条件を構成する2つ以上の属性から選択された2つ属性における一方の属性の属性値と他方の属性の属性値との組み合わせごとに画像領域を設定し、複数の組み合わせにおけるアクセス許可またはアクセス拒否の度合いを算出し、当該度合いを区別可能に複数の画像領域が表示された画像を生成する画像生成部11と、画像を表示する表示部12とを含む。
【選択図】図25
【解決手段】アクセスポリシー表示装置10は、アクセスポリシーの条件を構成する2つ以上の属性から選択された2つ属性における一方の属性の属性値と他方の属性の属性値との組み合わせごとに画像領域を設定し、複数の組み合わせにおけるアクセス許可またはアクセス拒否の度合いを算出し、当該度合いを区別可能に複数の画像領域が表示された画像を生成する画像生成部11と、画像を表示する表示部12とを含む。
【選択図】図25
【特許請求の範囲】
【請求項1】
アクセスポリシーの条件を構成する2つ以上の属性から選択された2つ属性における一方の属性の属性値と他方の属性の属性値との組み合わせごとに画像領域を設定し、複数の前記組み合わせにおけるアクセス許可またはアクセス拒否の度合いを算出し、当該度合いを区別可能に複数の前記画像領域が表示された画像を生成する画像生成手段と、
前記画像を表示する表示手段と
を備えたアクセスポリシー表示装置。
前記画像を表示する表示手段と
を備えたアクセスポリシー表示装置。
【請求項2】
アクセス許可またはアクセス拒否に関連するアクセス関連情報を前記画像に重畳する情報付加手段を備えた
請求項1記載のアクセスポリシー表示装置。
請求項1記載のアクセスポリシー表示装置。
【請求項3】
前記画像生成手段は、前記2つ属性の組み合わせの種類が異なる複数の画像を生成し、
前記表示手段は、一画面に前記複数の画像を表示する
請求項1または請求項2記載のアクセスポリシー表示装置。
前記表示手段は、一画面に前記複数の画像を表示する
請求項1または請求項2記載のアクセスポリシー表示装置。
【請求項4】
属性値の入力を受け付ける属性入力手段を備え、
前記画像生成手段は、属性の属性値を、当該入力された属性値に固定して、前記画像を生成する
請求項3記載のアクセスポリシー表示装置。
前記画像生成手段は、属性の属性値を、当該入力された属性値に固定して、前記画像を生成する
請求項3記載のアクセスポリシー表示装置。
【請求項5】
ポリシー定義情報を基に前記アクセスポリシーを生成するポリシー生成手段と、
前記ポリシー定義情報に基づいて属性値を決定する属性値決定手段とを備え、
前記画像生成手段は、属性の属性値を、当該決定された属性値に固定して、前記画像を生成する
請求項3記載のアクセスポリシー表示装置。
前記ポリシー定義情報に基づいて属性値を決定する属性値決定手段とを備え、
前記画像生成手段は、属性の属性値を、当該決定された属性値に固定して、前記画像を生成する
請求項3記載のアクセスポリシー表示装置。
【請求項6】
アクセスポリシーの条件を構成する2つ以上の属性から選択された2つ属性における一方の属性の属性値と他方の属性の属性値との組み合わせごとに画像領域を設定し、複数の前記組み合わせにおけるアクセス許可またはアクセス拒否の度合いを算出し、当該度合いを区別可能に複数の前記画像領域が表示された画像を生成し、
前記画像を表示器に表示する
アクセスポリシー表示方法。
前記画像を表示器に表示する
アクセスポリシー表示方法。
【請求項7】
アクセス許可またはアクセス拒否に関連するアクセス関連情報を前記画像に重畳する
請求項6記載のアクセスポリシー表示方法。
請求項6記載のアクセスポリシー表示方法。
【請求項8】
コンピュータに、
アクセスポリシーの条件を構成する2つ以上の属性から選択された2つ属性における一方の属性の属性値と他方の属性の属性値との組み合わせごとに画像領域を設定し、複数の前記組み合わせにおけるアクセス許可またはアクセス拒否の度合いを算出し、当該度合いを区別可能に複数の前記画像領域が表示された画像を生成する処理と、
前記画像を表示器に表示する処理と
を実行させるためのアクセスポリシー表示プログラム。
アクセスポリシーの条件を構成する2つ以上の属性から選択された2つ属性における一方の属性の属性値と他方の属性の属性値との組み合わせごとに画像領域を設定し、複数の前記組み合わせにおけるアクセス許可またはアクセス拒否の度合いを算出し、当該度合いを区別可能に複数の前記画像領域が表示された画像を生成する処理と、
前記画像を表示器に表示する処理と
を実行させるためのアクセスポリシー表示プログラム。
【請求項9】
コンピュータに、
アクセス許可またはアクセス拒否に関連するアクセス関連情報を前記画像に重畳させる
請求項8記載のアクセスポリシー表示プログラム。
アクセス許可またはアクセス拒否に関連するアクセス関連情報を前記画像に重畳させる
請求項8記載のアクセスポリシー表示プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、アクセスポリシーを可視化するアクセスポリシー表示装置およびアクセスポリシー表示方法に関する。
【背景技術】
【0002】
アクセスポリシーに基づいてアクセス制御が行われることがある。
【0003】
ユーザがアクセスポリシーを把握しやすくするために、アクセスポリシーまたはアクセスポリシーに基づく情報を表示するように構成された装置がある(例えば、特許文献1,2参照)。
【0004】
特許文献1には、アクセスポリシーに基づくルールを、if-then形式で表すことが記載されている。特許文献2には、アクセスを分析するために決定木を使用することが記載されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2022-126712号公報
【特許文献2】特開2022-50462号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
アクセスポリシーに基づくルールをif-then形式で表す場合を想定する。ユーザがアクセスポリシーを把握しやすくするためにif-then形式のテキストを表示すると、アクセスポリシーの是非の判断に利用される属性が多い場合に、テキストの行数が増えて視認性が低下する。
【0007】
ユーザがアクセスポリシーを把握しやすくするために決定木を表示すると、画像サイズが大きくなって、やはり視認性が低下する。
【0008】
本発明は、視認性が向上したアクセスポリシーに関する情報を表示できるアクセスポリシー表示装置およびアクセスポリシー表示方法を提供することを目的とする。
【課題を解決するための手段】
【0009】
本発明によるアクセスポリシー表示装置は、アクセスポリシーの条件を構成する2つ以上の属性から選択された2つ属性における一方の属性の属性値と他方の属性の属性値との組み合わせごとに画像領域を設定し、複数の組み合わせにおけるアクセス許可またはアクセス拒否の度合いを算出し、当該度合いを区別可能に複数の画像領域が表示された画像を生成する画像生成手段と、画像を表示する表示手段とを含む。
【0010】
本発明によるアクセスポリシー表示方法は、アクセスポリシーの条件を構成する2つ以上の属性から選択された2つ属性における一方の属性の属性値と他方の属性の属性値との組み合わせごとに画像領域を設定し、複数の組み合わせにおけるアクセス許可またはアクセス拒否の度合いを算出し、当該度合いを区別可能に複数の画像領域が表示された画像を生成し、画像を表示器に表示する。
【0011】
本発明によるアクセスポリシー表示プログラムは、コンピュータに、アクセスポリシーの条件を構成する2つ以上の属性から選択された2つ属性における一方の属性の属性値と他方の属性の属性値との組み合わせごとに画像領域を設定し、複数の組み合わせにおけるアクセス許可またはアクセス拒否の度合いを算出し、当該度合いを区別可能に複数の画像領域が表示された画像を生成する処理と、画像を表示器に表示する処理とを実行させる。
【発明の効果】
【0012】
本発明によれば、視認性が向上したアクセスポリシーに関する情報を表示できる。
【図面の簡単な説明】
【0013】
【図1】属性定義情報の一例を示す説明図である。
【図2】第1の実施形態のアクセスポリシー表示装置の構成例を示すブロック図である。
【図3】ポリシー画像生成部の処理の例を説明するための説明図である。
【図4】ポリシー画像生成部の処理の例を説明するための説明図である。
【図5】情報付加部の処理の例を説明するための説明図である。
【図6】表示器の表示例を示す説明図である。
【図7】2次元画像と表示例との関係の一例を示す説明図である。
【図8】第1の実施形態のアクセスポリシー表示装置の動作を示すフローチャートである。
【図9】第2の実施形態のアクセスポリシー表示装置の構成例を示すブロック図である。
【図10】第2の実施形態における属性値入力部から入力される情報と表示器の表示の例を示す説明図である。
【図11】第2の実施形態のアクセスポリシー表示装置の動作を示すフローチャートである。
【図12】第3の実施形態のアクセスポリシー表示装置の構成例を示すブロック図である。
【図13】ポリシー定義の例を示す説明図である。
【図14】第3の実施形態における属性値入力部の処理例を説明するとともに、表示器の表示の例を示す説明図である。
【図15】第3の実施形態のアクセスポリシー表示装置の動作を示すフローチャートである。
【図16】第4の実施形態のアクセスポリシー表示装置の構成例を示すブロック図である。
【図17】傾向情報の例を示す説明図である。
【図18】傾向情報が参照されて生成されたポリシー画像の表示例を示す説明図である。
【図19】第4の実施形態のアクセスポリシー表示装置の動作を示すフローチャートである。
【図20】第1の変形例を説明するための説明図である。
【図21】第1の変形例を説明するための説明図である。
【図22】第1の変形例を説明するための説明図である。
【図23】第2の変形例における表示例を示す説明図である。
【図24】CPUを有するコンピュータの一例を示すブロック図である。
【図25】アクセスポリシー表示装置の主要部を示すブロック図である。
【発明を実施するための形態】
【0014】
以下、本発明の実施形態を図面を参照して説明する。
【0015】
まず、本明細書で使用される用語を説明する。
【0016】
アクセスポリシー情報:入力されたアクセス属性に対して、アクセス許可またはアクセス拒否の判断を行うことができる情報である。アクセスポリシー情報を、属性の組み合わせに対してアクセス可否の判断を返す関数と表現してもよい。アクセスポリシー情報は、if-then形式のルール、決定木、ニューラルネットワークのモデル、対応表などで表現可能である。以下、アクセスポリシーを、単にポリシーということがある。
【0017】
アクセス属性:アクセスに関するタイプである。例えば、アクセス者のタイプ、アクセスレベルのタイプ、アクセス先リソースのタイプ、または、アクセス先で行うアクションのタイプ(読み込み、書き込み、実行など)である。以下、アクセス属性を、単に、属性ということがある。
【0018】
属性定義情報:アクセスポリシーの判断に用いられる属性の値(属性値)がとりうる値や画像出力する際の領域の区切り方などの情報を含む。属性定義情報がカテゴリ変数で表される場合には、属性定義情報は、当該変数が取りうるラベルの集合である。属性定義情報が数値変数で表される場合には、属性定義情報は、当該変数がとりうる値の範囲と画像出力する際のステップ幅とが定義される。属性値がベクトルの場合には、ベクトルの各要素を異なる属性とみなして、定義域やステップ幅が定められる。
【0019】
付加情報:アクセス関連情報を含む情報である。アクセス関連情報は、少なくとも、アクセス許可またはアクセス拒否に関連する情報を含む。アクセス関連情報は、アクセスポリシー画像(ポリシー画像)と重畳表示される。付加情報として、例えば、アクセスログ、通信ログ、既存ポリシーがある。なお、ポリシー画像は、例えば、アクセスが許可される範囲と拒否される範囲とを示す2次元画像である。
【0020】
図1は、属性定義情報の一例を示す説明図である。図1には、3つの属性が例示されている。「職位」の属性については、定義域として、属性定義情報としてのラベルの集合が例示されている。「トラストスコア」(信用度)の属性については、定義域として、変数がとりうる値の範囲が例示されている。「脆弱性数」の属性については、定義域として、属性値がとりうる値が例示されている。
【0021】
実施形態1.
図2は、第1の実施形態のアクセスポリシー表示装置の構成例を示すブロック図である。図2に示すアクセスポリシー表示装置100は、ポリシー画像生成部110と、情報付加部120と、表示器130とを備えている。図2における矢印は、信号(データ)の流れの方向を端的に示すが、双方向性を排除するものではない。このことは、他のブロック図についても同様である。
図2は、第1の実施形態のアクセスポリシー表示装置の構成例を示すブロック図である。図2に示すアクセスポリシー表示装置100は、ポリシー画像生成部110と、情報付加部120と、表示器130とを備えている。図2における矢印は、信号(データ)の流れの方向を端的に示すが、双方向性を排除するものではない。このことは、他のブロック図についても同様である。
【0022】
ポリシー画像生成部110は、2つの属性(属性X,Yとする。)における一方の属性値と他方の属性の属性値との組み合わせのいずれかに対応する画像領域(以下、領域という。)からなる2次元画像を作成する。ポリシー画像生成部110は、各サンプルについて、アクセスポリシー情報に従って、アクセスを許可すべきか拒否すべきかを判定する。サンプルの詳細は、後述される。そして、アクセス許可の比率([アクセス許可の数/(アクセス許可の数+アクセス拒否の数)])に応じて、2次元画像における領域の表示の種類を決定する。
【0023】
本実施形態では、領域の表示の種類は、色の種類である。色の種類は、例えば、色の濃淡である。色の種類は、色そのもの(赤、青、黄など)であってもよい。つまり、ポリシー画像生成部110は、アクセス許可の比率に応じて、領域の表示色(濃淡、または、色そのもの)を決定する。領域が着色された2次元画像をポリシー画像という。
【0024】
なお、表示の種類が色の種類であることは一例である。アクセス許可の比率を区別可能であれば、領域の表示の種類は、色の種類に限られない。例えば、パターン(模様)の違いによって、アクセス許可の比率の違いを認識可能にしてもよい。また、領域の縁取りの仕方を変えることによって、アクセス許可の比率の違いを認識可能にしてもよい。
【0025】
情報付加部120は、ポリシー画像に、付加情報に含まれるアクセス許可またはアクセス拒否に関連する情報を付加する。すなわち、情報付加部120は、ポリシー画像に、アクセス関連情報を重畳する。以下、付加情報に含まれるアクセス許可またはアクセス拒否に関連する情報が付加されたポリシー画像を、付加情報が付加されたポリシー画像ということがある。
【0026】
表示器130は、付加情報が付加された1つまたは複数のポリシー画像を表示する。
【0027】
【0028】
ポリシー画像生成部110は、属性X,Yを選択する。図3に示す例では、属性X,Yとして、「機密レベル」と「職位」とが選択されている。ポリシー画像生成部110は、2次元画像における縦軸に属性Yを割り当て、横軸に属性Xを割り当てる。
【0029】
ポリシー画像生成部110は、属性定義情報に基づいて、属性X,Yがとりうる値の範囲で、指定された区切り方(図1参照)で領域を分割する。図3に示す例では、縦軸は、「担当」、「主任」、「課長」、「部長」、「事業部長」で区切られている。横軸は、"Public"、"Low"、"Medium"、"High"で区切られている。
【0030】
ポリシー画像生成部110は、各領域について、属性X,Y以外の属性の値をランダムに変えたサンプルを生成する。図3には、職位:「課長」、機密レベル:"Medium"の領域の例が示されている。すなわち、「課長」および"Medium"以外の属性の値をランダムに変えた複数のサンプルが生成された例が示されている。
【0031】
さらに、ポリシー画像生成部110は、生成した各属性値のサンプルを対象として、アクセスポリシー情報に基づいて、アクセスを許可すべきか拒否すべきかを判定する。図4には、2つのサンプルがアクセス許可と判定され、1つのサンプルがアクセス拒否と判定された例が示されている。
【0032】
ポリシー画像生成部110は、領域の色として、アクセス許可の比率に応じた色に決定する。図4には、アクセス許可の比率が[2/3]であって、2番目に白に近い色(具体的には、2番目に白に近い濃度)に決定されたことが例示されている。
【0033】
図3および図4には、属性X,Yの値が「課長」および"Medium"である場合が例示されているが、ポリシー画像生成部110は、全ての職位の値(「担当」、「主任」、「課長」、「部長」、「事業部長」)と全ての機密レベルの値("Public"、"Low"、"Medium"、"High")の組み合わせを対象として、「課長」と"Medium"の組み合わせと同様に、領域の色を決定する。
【0034】
図5は、情報付加部120の処理の例を説明するための説明図である。
【0035】
上述したように、情報付加部120は、ポリシー画像に、付加情報に含まれるアクセス許可またはアクセス拒否に関連する情報を付加する。上述したように、付加情報は、例えば、アクセスログ、通信ログ、既存ポリシーである。
【0036】
情報付加部120は、付加情報に含まれるアクセス許可の事例に応じて、例えば、アクセス許可を把握可能なマーク(一例として、丸)を付加する。情報付加部120は、付加情報に含まれるアクセス拒否の事例に応じて、例えば、アクセス拒否を把握可能なマーク(一例として、×)を付加する。
【0037】
なお、領域に対応する複数のログ等がある場合には、情報付加部120は、例えば、多数決によって、アクセス許可を把握可能なマークを付加するかアクセス拒否を把握可能なマークを付加するのか決定する。また、領域に対応する複数のログ等がある場合に、情報付加部120は、アクセス許可または拒否のどちらか一方を優先するようにしてもよい。また、情報付加部120は、アクセスログ、通信ログ、既存ポリシー等が存在しない領域を、アクセス許可の比率に応じて表示される色とは異なる色で表示してもよい。
【0038】
図5は、「部長」、"Low"、「許可」を示すログと、「主任」、"High"、「拒否」を示すログとがあったことが例示されている。
【0039】
【0040】
図6には、ポリシー画像生成部110が、属性X,Yの複数の組み合わせの各々に対応するポリシー画像を生成した場合の例が示されている。図6には、ポリシー画像生成部110が、9種類のポリシー画像を生成した場合が例示されている。
【0041】
情報付加部120は、複数のポリシー画像の各々に、付加情報に含まれるアクセス許可またはアクセス拒否に関連する情報を付加した後、付加情報が付加された複数のポリシー画像が並んで表示されるような画像信号を表示器130に出力する。表示器130は、一画面に、複数のポリシー画像を並べて表示する。
【0042】
図7は、2次元画像と表示例との関係の一例を示す説明図である。図7における左側には、図3に例示されたポリシー画像が示されている。図7における右側に示されている、図3に例示されたポリシー画像以外の8種類のポリシー画像は、ポリシー画像生成部110が、図3に例示されたポリシー画像と同様に(ただし、属性の組み合わせは異なる。)作成した複数のポリシー画像である。
【0043】
付加情報が付加された複数のポリシー画像が並んで表示されることによって、ユーザは、ポリシーの全体像を視覚的に容易に把握できる。
【0044】
次に、図8のフローチャートを参照して、第1の実施形態のアクセスポリシー表示装置100の動作を説明する。
【0045】
ポリシー画像生成部110は、アクセスポリシー情報と属性定義情報とを入力する(ステップS101)。ポリシー画像生成部110は、図3および図4を参照して説明したように、ポリシー画像を生成する(ステップS102)。
【0046】
情報付加部120は、付加情報を入力する(ステップS103)。情報付加部120は、図5を参照して説明したように、ポリシー画像に付加情報を付加する。そして、情報付加部120は、付加情報が付加されたポリシー画像の画像信号を表示器130に出力する(ステップS104)。表示器130に出力される画像信号は、例えば、図6に例示された画像を表示するための信号である。
【0047】
表示器130は、情報付加部120からの画像信号を用いて、例えば、図6に例示された画像を表示する(ステップS105)。
【0048】
なお、アクセスポリシー情報、属性定義情報および付加情報の入力タイミングは、図8に示されたタイミングに限られない。例えば、属性定義情報および付加情報の入力タイミングは、あらかじめ、ポリシー画像生成部110および情報付加部120に入力されるようにしてもよい。
【0049】
以上に説明したように、本実施形態では、ポリシー画像生成部110は、属性値の組み合わせの各々に対応する領域からなる2次元画像を生成する。さらに、ポリシー画像生成部110は、アクセス許可の度合いの一例としてのアクセス許可の比率を算出する。ポリシー画像生成部110は、アクセス許可の比率に応じて領域の表示の種類を変える。情報付加部120は、領域に、アクセス関連情報を重畳する。そのような処理が実行されることによって、視認性が向上したアクセスポリシーに関する情報が表示される。なお、ポリシー画像生成部110は、アクセス許可の比率を算出するのではなく、アクセス拒否の比率([アクセス拒否の数/(アクセス許可の数+アクセス拒否の数)])を算出してもよい。
【0050】
本実施形態では、ポリシー画像生成部110は、ランダムに属性の値が設定されたサンプルを生成する。しかし、ポリシー画像生成部110は、アクセスログや通信ログなどを利用してサンプルを生成してもよい。例えば、ポリシー画像生成部110は、ログ情報をそのままサンプルとしてもよい。一例として、図3に示された例に関して、職位:「課長」、機密レベル:"Medium"を含むアクセスログをログ記憶部(図示せず)から抽出し、抽出したアクセスログをサンプルとする。
【0051】
また、ポリシー画像生成部110は、アクセスログや通信ログに基づいて各属性値の分布を計算し、分布を基にサンプルを生成してもよい。例えば、ポリシー画像生成部110は、アクセスログに含まれる職位の属性値の分布が、担当:0.4、主任:0.3、課長:0.15、部長:0.1、事業部長:0.05となっていた場合、サンプルに設定される属性値もその分布に従うように、サンプルを設定する。
【0052】
なお、情報付加部120が属性の組み合わせごとに画像を生成すると、画像の数が膨大になって視認しづらくなることも予想される。また、属性X,Y以外の属性の影響が大きい場合には、属性X,Yの値を変えても画像中の各領域のアクセス許可の比率が少ししか変わらないため、画像から情報が読み取りづらくなることが予想される。
【0053】
下記の実施形態は、第1の実施形態で生ずる可能性がある視認性の低下を防止しうる実施形態である。
【0054】
実施形態2.
第2の実施形態では、属性ごとに具体的な値を指定可能な入力部(入力インタフェース)を設けることによって、視認性の低下を防止する。図9は、第2の実施形態のアクセスポリシー表示装置200の構成例を示すブロック図である。
第2の実施形態では、属性ごとに具体的な値を指定可能な入力部(入力インタフェース)を設けることによって、視認性の低下を防止する。図9は、第2の実施形態のアクセスポリシー表示装置200の構成例を示すブロック図である。
【0055】
図9に示すアクセスポリシー表示装置200は、図2に示されたアクセスポリシー表示装置100の構成に加えて、属性値入力部140を備えている。属性値入力部140は、属性値X,Yの組み合わせを特定するための情報をポリシー画像生成部110に供給する。
【0056】
図10は、属性値入力部140から入力される情報と表示器(図示せず)の表示の例を示す説明図である。なお、表示器は、表示器130と兼用されてもよい。
【0057】
属性値入力部140は、例えば、GUI(Graphical User Interface)を備えている。図10における左側には、複数の属性の各々の属性値の入力画面例が示されている。図10には、ユーザは、「職位」、「トラストスコア」、および「機密レベル」の欄に、何も入力しなかったことが例示されている。すなわち、ユーザは、それらの属性の欄を空欄とした。また、「職位」、「トラストスコア」、および「機密レベル」以外の属性の欄に、何らかの値やデータを入力したことが例示されている。
【0058】
属性値入力部140は、空欄に対応する属性をポリシー画像生成部110に供給する。また、属性値入力部140は、何らかの値やデータが入力された欄に対応する属性について、入力された値やデータをポリシー画像生成部110に供給する。
【0059】
ポリシー画像生成部110は、空欄に対応する属性X,Yの組み合わせを対象として、ポリシー画像を生成する。第一の実施の形態において、ポリシー画像生成部110は、属性X,Y以外の属性の値をランダムに変えたサンプルを生成していた。それに対して、第2の実施形態では、ポリシー画像生成部110は、属性X,Y以外の属性の値のうち、属性値入力部140で値が入力されなかった属性についてランダムに値を設定し、値が入力された属性については入力された値を固定値として用いる。例えば、属性:職位で「課長」が入力された場合には、ポリシー画像生成部110は、生成されるサンプルでは、属性:職位を常に「課長」を設定する。なお、ポリシー画像生成部110は、何らかの値やデータが入力された欄に対応する属性についてのポリシー画像を全く生成しないようにしてもよい。
【0060】
属性値入力部140は、各属性について特定の属性値を入力する機能とポリシー画像の軸として使う属性を指定する機能を持つと言い換えることができる。図10に示す例では、空欄にすることでポリシー画像の軸として利用する属性を指定しているといえる。第1の実施形態では属性の種類数がNであるなら、ポリシー画像はNC2個生成されることになる。なおnCrはn個の中から異なるr個を取り出す組み合わせの数を表す。第2の実施の形態ではポリシー画像の軸として使う属性をNより少ない数に限定するため、ポリシー画像の数を低減することができる。
【0061】
さらに、一部の属性値を固定値にすることで、画像からより明確に情報を読み取れるようになることが期待される。例えば、属性:職位が「主任」、「担当」の場合は、他の属性にかかわらず常に拒否、「部長」、「事業部長」の場合は、常に許可を返し、「課長」の場合のみ、他の属性に依存してアクセス可否が決まるようなアクセスポリシーを考える。第1の実施形態では、職位以外の属性X,Yのポリシー画像では、すべての職位が均等に表れるようにサンプルを生成した場合、属性X,Yの値にかかわらず全体の4割が許可(職位が「部長」、「事業部長」のもの)、全体の4割が拒否(職位が「主任」、「担当」のもの)と判断される。すなわち、アクセス許可の比率が0.4~0.6の範囲に限定されることになる。一方、第2の実施形態において、属性値入力部140が「職位」の入力欄に「課長」を指定した場合、生成されるサンプルが「課長」のみとなり、このような限定を受けることがなくなる。このため、よりアクセス許可の比率がとる値の範囲が広がるため、ポリシー画像上でより明確な違いとして認識することが可能になる。
【0062】
次に、図11のフローチャートを参照して、第2の実施形態のアクセスポリシー表示装置200の動作を説明する。ステップS201の処理以外の処理は、第1の実施形態のアクセスポリシー表示装置100が実行する処理(図8参照)と同じである。ただし、ステップS102の処理は、第1の実施形態における処理とやや異なる。
【0063】
ステップS201で、属性値入力部140は、GUIを介して、空欄に対応する属性を入力するとともに、何らかの値やデータが入力された欄に対応する属性について、入力された値やデータを入力する。属性値入力部140は、それらを、ポリシー画像生成部110に供給する。
【0064】
ポリシー画像生成部110は、上述したように、限られた属性X,Yを対象としてポリシー画像を生成する。ポリシー画像生成部110はアクセス許可/アクセス拒否の判断を行うサンプルを生成する際に、値が入力された属性について当該値を固定値として用いる。
【0065】
図10における右側には、表示器130の表示例が示されている。図10に示された例では、「職位」、「トラストスコア」、および「機密レベル」の欄が空欄であるから(図10における左側参照)、ポリシー画像生成部110は、属性X,Y:「職位」および「機密レベル」に対応するポリシー画像と、属性X,Y:「トラストスコア」および「職位」に対応するポリシー画像と、属性X,Y:「トラストスコア」および「機密レベル」に対応するポリシー画像とを生成する。
【0066】
情報付加部120は、第1の実施形態の場合と同様に、付加情報をポリシー画像に付加し、ポリシー画像の画像信号を表示器130に出力する。その結果、表示器130には、一例として、図10の右側に例示されたような表示がなされる。
【0067】
本実施形態では、限られた数の属性の組み合わせについてのみ、ポリシー画像を生成するため画像数が削減される。また、一部の属性について固定値を用いることで当該属性値がアクセス可否判断に与える影響を排除し、より明確に視認可能なポリシー画像とすることができる。よって、ポリシー画像の視認性の低下が防止される。
【0068】
なお、第2の実施形態において、各属性に入力される値は一つとは限らない。1つの属性に対して、複数の値を受け付けるように実施することも可能である。その場合、ポリシー画像生成部110は、サンプル生成時に入力された複数の値の中からランダムに値を選ぶことができる。例えば、属性:職位の入力欄で「課長」と「主任」の二つの値が入力された場合には、ポリシー画像生成部110は、サンプル生成時に「課長」または「主任」のいずれかを、属性:職位の属性値としてランダムに選択する。
【0069】
実施形態3.
第3の実施形態では、ポリシー情報の生成に利用されるルールの定義情報を用いて属性ごとの値の指定を行うことによって、視認性の低下を防止する。図12は、第3の実施形態のアクセスポリシー表示装置300の構成例を示すブロック図である。
第3の実施形態では、ポリシー情報の生成に利用されるルールの定義情報を用いて属性ごとの値の指定を行うことによって、視認性の低下を防止する。図12は、第3の実施形態のアクセスポリシー表示装置300の構成例を示すブロック図である。
【0070】
図12に示すアクセスポリシー表示装置300は、図9に示されたアクセスポリシー表示装置200の構成にポリシー生成部160が追加されて構成される。ただし、第3の実施形態では、属性値入力部140に代えて、ポリシー定義(ポリシー定義情報)を使用する属性値決定部150が設けられている。
【0071】
ポリシー定義情報には、属性値が特定の値を取ることや、特定の範囲の値を取った場合にアクセス許可とするかアクセス拒否とするかの情報が含まれている。
【0072】
図13は、ポリシー定義の例を示す説明図である。図13に示す例では、ポリシー定義には、属性:所属の属性値が「人事部」であり、属性:役職の属性値が「課長」であり、属性:リソース部署が「人事部」である場合に、アクセス許可とすることを表す情報が含まれている。
【0073】
ポリシー生成部160は、図13に例示されたようなポリシー定義(粗い粒度のポリシー定義)に対して不足を補完することによって、アクセスポリシー情報を生成する。なお、補完は、あらかじめ定められている複数種類の属性のうち、ポリシー定義には記述されていない属性を追加することである。
【0074】
図14は、第3の実施形態における属性値決定部150の処理例を説明するとともに、表示器の表示の例を示す説明図である。第3の実施形態では、ポリシー定義として、複数のルールがあらかじめ定められている。
【0075】
図14における左側には、ユーザがポリシー定義を選択するための欄の例が示されている。図14における中央には、複数の属性の各々の属性値の入力画面例が示されている。なお、図14に記載されている"Windows"は、登録商標である。
【0076】
ユーザが特定のポリシー定義を選択すると、属性値決定部150は、選択されたポリシー定義に記述されている属性値を、属性値の入力画面の対応箇所に当てはめる。
【0077】
図14には、ユーザが「R&Dルール1」というポリシー定義を選択したことが例示されている。属性値決定部150は、「R&Dルール1」に記述されている属性およびその属性値を、入力画面の対応箇所に当てはめる。
【0078】
ポリシー画像生成部110は、第2の実施形態の場合と同様に、空欄に対応する属性を属性X,Yとして、ポリシー画像を生成する。
【0079】
図14における右側には、表示器130の表示例が示されている。図14に示された例では、属性X,Y:「脆弱性数」および「トラストスコア」に対応するポリシー画像が生成されている。「脆弱性数」および「トラストスコア」は、「R&Dルール1」に含まれていなかった属性である。
【0080】
次に、図15のフローチャートを参照して、第3の実施形態のアクセスポリシー表示装置300の動作を説明する。ステップS301,S302の処理以外の処理は、第2の実施形態のアクセスポリシー表示装置200が実行する処理(図11参照)と同じである。
【0081】
ステップS301では、ポリシー生成部160は、粗いポリシー定義に対して不足を補完することによって、アクセスポリシー情報を生成する。ポリシー生成部160は、生成したアクセスポリシー情報をポリシー画像生成部110に出力する。
【0082】
ステップS302では、属性値決定部150は、空欄の属性、および空欄でない属性の属性値を決定する。具体的には、属性値決定部150は、GUIを介して選択されたポリシー定義に基づいて、各属性に対して属性値を設定する。属性値決定部150は、空欄(属性値が設定されなかった欄)に対応する属性を、ポリシー画像生成部110に供給するとともに、何らかの値やデータが入力された欄に対応する属性について、入力された値やデータをポリシー画像生成部110に供給する。
【0083】
その他の処理は、第2の実施形態のアクセスポリシー表示装置200が実行する処理と同じである。
【0084】
第3の実施形態では、ポリシー定義における具体的な記述がない部分(ポリシー生成部160が補完する部分)のアクセス許可/アクセス拒否の判断を可視化できる。
【0085】
実施形態4.
第4の実施形態では、ポリシー生成部は、ポリシー情報の生成に利用されるルールの定義情報と傾向情報とを用いて、ポリシー情報を生成する。図16は、第4の実施形態のアクセスポリシー表示装置400の構成例を示すブロック図である。
第4の実施形態では、ポリシー生成部は、ポリシー情報の生成に利用されるルールの定義情報と傾向情報とを用いて、ポリシー情報を生成する。図16は、第4の実施形態のアクセスポリシー表示装置400の構成例を示すブロック図である。
【0086】
アクセスポリシー表示装置400は、図2に示されたアクセスポリシー表示装置100の構成に加えて、ポリシー生成部170を備えている。
【0087】
ポリシー生成部170は、図13に例示されたようなポリシー定義(粗い粒度のポリシー定義)に対して不足を補完するとともに、傾向情報を参照して、アクセスポリシー情報を生成する。
【0088】
傾向情報は、単一の属性がとる属性値や、複数の属性の属性値の組み合わせについて、アクセスを許可すべきか拒否すべきかの傾向を示す情報である。換言すると、傾向情報は、1つ以上の属性値を組み合わせた条件について、当該条件が成立したときに許可すべきか拒否すべきかの傾向を示す情報である。傾向情報は、例えば、スコア化されている。
【0089】
図17は、傾向情報の例を示す説明図である。図17には、2つの傾向情報が例示されている。図17における左側に示されている傾向情報は、脆弱性数という属性に関する傾向情報である。図17に示す例では、脆弱性の数が多いほどアクセスを拒否すべきという傾向が-1~1のスコアで表現されている。スコアが「1」に近づくほど、アクセスを許可すべき傾向が高い。
【0090】
図17における右側に示されている傾向情報は、2つの属性(所属部署という属性とアクションという属性)を用いた傾向情報である。さらに、3つ以上の属性を組み合わせて傾向情報を表現することが可能である。
【0091】
図18は、傾向情報が参照されて生成されたポリシー画像の表示例を示す説明図である。図18における左側には、傾向情報の選択欄が示されている。右側には、生成したポリシー画像の表示部が示されている。図18に例示するように、複数の傾向情報があるとする(図18に示す例では、傾向情報1~傾向情報7)。なお、図18において、TSは、トラストスコアを意味する。
【0092】
ポリシー生成部170が傾向情報1を使用する場合を例にする。傾向情報1には、属性:職位の属性値と属性:トラストスコアの属性値との組み合わせが所定条件を満たす場合のスコアが記述されている。なお、図18に示す例では、所定条件は、例えば、職位の属性値が「部長以上」であり、かつ、トラストスコアが0.9以上であるという条件である。
【0093】
ポリシー生成部170は、ポリシー定義を基に、傾向情報を参照して、詳細なポリシー情報(アクセスポリシー情報)を生成する。傾向情報は、アクセスを許可すべきか拒否すべきかの傾向を示す情報であるから、ポリシー生成部170は、ポリシー定義で規定される属性値または属性値の組み合わせに対して、アクセスを許可すべきか拒否すべきかの傾向を示すスコアなどを付すことによって、詳細なポリシー情報を生成できる。
【0094】
ポリシー画像生成部110は、傾向情報を用いて軸を決定する。すなわち、2次元画像のX軸方向の分割点またはY軸方向の分割点を決定する。換言すれば、ポリシー画像生成部110は、傾向情報でアクセス傾向が明示されている属性値やその組み合わせを参照して、画像の分割の仕方を決定する。例えば、ポリシー画像生成部110は、傾向情報が小さい順に、項目(属性値の組み合わせ)を並べる(図18の右側参照)。なお、X軸とY軸との両方について傾向情報をもとに分割点を決定してもよい。その場合には、図18における左側の傾向情報選択欄で傾向情報を2つ選ぶことができる。一方、いずれかの軸については、第1の実施形態や第2の実施形態と同様に、属性を選んでもよい。この場合、傾向情報選択欄で選択される傾向情報の数は1つになる。また、右側のポリシー画像表示部を、傾向情報をもとに分割点が決定された軸ではない方の軸に対応して選択される属性の数だけのポリシー画像を並べて表示することができる。
【0095】
次に、図19のフローチャートを参照して、第4の実施形態のアクセスポリシー表示装置400の動作を説明する。ステップS401,S402の処理以外の処理は、第1の実施形態のアクセスポリシー表示装置100が実行する処理(図8参照)と同じである。ただし、ステップS102の処理は、第1の実施形態におけるステップS102の処理とやや異なる。
【0096】
ステップS401で、ポリシー生成部170は、上述したように、ポリシー定義を基に、傾向情報を参照して、詳細なポリシー情報を生成する。
【0097】
ステップS402で、ポリシー画像生成部110は、属性定義情報入力するとともに、ポリシー生成部170からアクセスポリシー情報を入力し、さらに、傾向情報を入力する。
【0098】
そして、ポリシー画像生成部110は、ポリシー画像を生成する(ステップS102).本実施形態では、ポリシー画像生成部110は、ポリシー画像を生成するときに、傾向情報を参照して軸を決定する。
【0099】
その他の処理は、第1の実施形態のアクセスポリシー表示装置100が実行する処理と同じである。
【0100】
[変形例1]
図20~図22は、第1の変形例を説明するための説明図である。第2の実施形態では、属性ごとに具体的な属性値を指定可能な入力インタフェースが設けられたが、第1の変形例では、ユーザによる属性値の入力方法が簡略化される。
図20~図22は、第1の変形例を説明するための説明図である。第2の実施形態では、属性ごとに具体的な属性値を指定可能な入力インタフェースが設けられたが、第1の変形例では、ユーザによる属性値の入力方法が簡略化される。
【0101】
【0102】
図20の右側には、アクセス履歴がマーキングされた複数の画像(図20に示す例では、9個の画像、以下、アクセス履歴画像という。)が表示された例が示されている。ユーザは、画像を選択(例えば、クリックする。)ことによって、属性値を入力することができる。図21には、選択の仕方の一例が示されている。図21に示す例では、ユーザが、9個のアクセス履歴画像のうちの属性X,Yが機密レベルおよび職位であるアクセス履歴画像を選択したことが例示されている。具体的には、「課長」および"Medium"に対応する領域を選択したことが例示されている(図21における矢印参照)。
【0103】
属性値入力部140は、「課長」および"Medium"に対応する領域が選択されたことを検知する。そして、図22に例示されるように、属性:「職位」に対応する属性値の欄に「課課長」を設定する。また、属性:「機密レベル」に対応する属性値の欄に"Medium"を設定する。
【0104】
[変形例2]
表示器130に、複数の情報を重ねて表示してもよい。第3の実施形態および第4の実施形態では、ポリシー生成部160,170は、図13に例示されたようなポリシー定義を基にアクセスポリシー情報を生成した。図23には、ポリシー定義情報とアクセスポリシー情報とが重ねて表示される例が示されている。"before"で表示されている部分がポリシー定義情報に基づくアクセスポリシーに相当する。"after"で表示されている部分がアクセスポリシー情報に基づくアクセスポリシーに相当する。
表示器130に、複数の情報を重ねて表示してもよい。第3の実施形態および第4の実施形態では、ポリシー生成部160,170は、図13に例示されたようなポリシー定義を基にアクセスポリシー情報を生成した。図23には、ポリシー定義情報とアクセスポリシー情報とが重ねて表示される例が示されている。"before"で表示されている部分がポリシー定義情報に基づくアクセスポリシーに相当する。"after"で表示されている部分がアクセスポリシー情報に基づくアクセスポリシーに相当する。
【0105】
図23に例示されたような表示がなされることによって、アクセスポリシーが詳細化される様子を可視化できるようになる。また、例えば、組織において定められるアクセスポリシーと組織における部署で定められるアクセスポリシーとを表示して、それらを比較できるようにすることもできる。
【0106】
また、複数のアクセスポリシーの差分に色を付けて表示するようにしてもよい。例えば、ポリシー画像生成部が、アクセス許可の比率をもとに色を決定するのではなく、[一方のポリシーで許可になる数-他方のポリシーで許可になる数]の値に応じて色を付ける。
【0107】
また、複数のポリシー画像を表示するときに、画像に優先度をつけることによって、表示順を変えてもよい。例えば、アクセス許可またはアクセス拒否の領域の差分が大きいものから順に表示するようにしてもよい。また、アクセスポリシーとアクセス履歴との食い違いが大きい画像を優先表示するようにしてもよい。
【0108】
また、上記の各実施形態を、ハードウェアで構成することも可能であるが、コンピュータプログラムにより実現することも可能である。
【0109】
図24は、CPUを有するコンピュータの一例を示すブロック図である。コンピュータは、アクセスポリシー表示装置に実装される。CPU1000は、記憶装置1001に格納されたプログラム(ソフトウェア要素:コード)に従って処理を実行することによって、上記の実施形態における各機能を実現する。
【0110】
すなわち、コンピュータは、図2に示されたアクセスポリシー表示装置100におけるポリシー画像生成部110および情報付加部120の機能を実現できる。また、コンピュータは、図9に示されたアクセスポリシー表示装置200におけるポリシー画像生成部110、情報付加部120および属性値入力部140の機能を実現できる。また、コンピュータは、図12に示されたアクセスポリシー表示装置300におけるポリシー画像生成部110、情報付加部120、属性値決定部150およびポリシー生成部160の機能を実現できる。また、コンピュータは、図16に示されたアクセスポリシー表示装置400におけるポリシー画像生成部110、情報付加部120、およびポリシー生成部170の機能を実現できる。
【0111】
記憶装置1001は、例えば、非一時的なコンピュータ可読媒体(non-transitory computer readable medium)である。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の具体例として、磁気記録媒体(例えば、ハードディスク)、光磁気記録媒体(例えば、光磁気ディスク)、CD-ROM(Compact Disc-Read Only Memory)、CD-R(Compact Disc-Recordable)、CD-R/W(Compact Disc-ReWritable)、半導体メモリ(例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM )、フラッシュROM)がある。
【0112】
また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)に格納されてもよい。一時的なコンピュータ可読媒体には、例えば、有線通信路または無線通信路を介して、すなわち、電気信号、光信号または電磁波を介して、プログラムが供給される。
【0113】
メモリ1002は、例えばRAM(Random Access Memory)で実現され、CPU1000が処理を実行するときに一時的にデータを格納する記憶手段である。メモリ1002に、記憶装置1001または一時的なコンピュータ可読媒体が保持するプログラムが転送され、CPU1000がメモリ1002内のプログラムに基づいて処理を実行するような形態も想定しうる。
【0114】
図25は、アクセスポリシー表示装置の主要部を示すブロック図である。図25に示すアクセスポリシー表示装置10は、アクセスポリシーの条件を構成する2つ以上の属性(例えば、職位、トラストスコア、脆弱性数、機密レベル)から選択された2つ属性(例えば、職位と機密レベル)における一方の属性の属性値と他方の属性の属性値との組み合わせごとに画像領域を設定し、複数の組み合わせにおけるアクセス許可またはアクセス拒否の度合いを算出し、当該度合いを区別可能に複数の画像領域が表示された画像(例えば、2次元画像であるポリシー画像)を生成する画像生成部(画像生成手段)11(実施形態では、ポリシー画像生成部110で実現される。)と、画像を表示する表示部(表示手段)12(実施形態では、情報付加部120と表示器130とで実現される。)とを備えている。
【0115】
アクセスポリシー表示装置10は、アクセス許可またはアクセス拒否に関連するアクセス関連情報を画像に重畳する情報付加部(情報付加手段)(実施形態では、情報付加部120で実現される。)を備えていてもよい。
【0116】
アクセスポリシー表示装置10は、属性値の入力を受け付ける属性入力部(属性入力手段)(実施形態では、属性値入力部140で実現される。)を備え、画像生成部11は、属性の属性値を、当該入力された属性値に固定して、画像を生成するように構成されていてもよい。
【0117】
アクセスポリシー表示装置10は、ポリシー定義情報を基にアクセスポリシーを生成するポリシー生成部(ポリシー生成手段)(実施形態では、ポリシー生成部120で実現される。)と、ポリシー定義情報に基づいて属性値を決定する属性値決定部(属性値決定手段)(実施形態では、属性値決定部150で実現される。)とを備え、画像生成部11は、属性の属性値を、当該決定された属性値に固定して、画像を生成するように構成されていてもよい。
【符号の説明】
【0118】
10,100,200,300,400 アクセスポリシー表示装置
11 画像生成部
12 表示部
110 ポリシー画像生成部
120 情報付加部
130 表示器
140 属性値入力部
150 属性値決定部
160,170 ポリシー生成部
1000 CPU
1001 記憶装置
1002 メモリ
11 画像生成部
12 表示部
110 ポリシー画像生成部
120 情報付加部
130 表示器
140 属性値入力部
150 属性値決定部
160,170 ポリシー生成部
1000 CPU
1001 記憶装置
1002 メモリ
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】