(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024098838
(43)【公開日】2024-07-24
(54)【発明の名称】情報処理装置、情報処理方法、及びプログラム
(51)【国際特許分類】
G06F 21/60 20130101AFI20240717BHJP
【FI】
G06F21/60 340
【審査請求】未請求
【請求項の数】18
【出願形態】OL
(21)【出願番号】P 2023002589
(22)【出願日】2023-01-11
(71)【出願人】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】110002044
【氏名又は名称】弁理士法人ブライタス
(72)【発明者】
【氏名】木下 峻一
(57)【要約】
【課題】学習モデルで構築された複数のセキュリティポリシー間における乖離の程度を推定する。
【解決手段】情報処理装置10は、アクセス属性が入力されると当該アクセス属性をもつアクセスに対する判断の結果を出力する、第1のポリシーモデル及び第2のポリシーモデルにおいて、それぞれに入力された場合に第1のポリシーモデルと第2のポリシーモデルとの出力結果が相違することとなるアクセス属性を特定する、アクセス属性特定部11と、特定されたアクセス属性が入力されたときの、第1のポリシーモデルの出力結果と第2のポリシーモデルの出力結果との比較を行うことによって、第1のポリシーモデルと第2のポリシーモデルとにおける判断の結果の乖離度合を算出する、乖離度合算出部12と、を備えている。
【選択図】
図1
【特許請求の範囲】
【請求項1】
アクセス属性が入力されると当該アクセス属性をもつアクセスに対する判断の結果を出力する、第1のポリシーモデル及び第2のポリシーモデルにおいて、それぞれに入力された場合に前記第1のポリシーモデルと前記第2のポリシーモデルとの出力結果が相違することとなるアクセス属性を特定する、アクセス属性特定部と、
特定された前記アクセス属性が入力されたときの、前記第1のポリシーモデルの出力結果と前記第2のポリシーモデルの出力結果との比較を行うことによって、前記第1のポリシーモデルと前記第2のポリシーモデルとにおける判断の結果の乖離度合を算出する、乖離度合算出部と、
を備えている、ことを特徴とする情報処理装置。
【請求項2】
前記アクセス属性特定部が、複数の前記アクセス属性を特定し、
前記乖離度合算出部が、複数の前記アクセス属性それぞれ毎に、前記乖離度合を算出し、そして、算出した前記乖離度合全てを用いて統計処理を実行する、
請求項1に記載の情報処理装置。
【請求項3】
単一の前記第1のポリシーモデルと、複数の前記第2のポリシーモデルとが存在する場合において、
前記アクセス属性特定部が、複数の前記第2のポリシーモデルそれぞれ毎に、前記アクセス属性を特定し、
前記乖離度合算出部が、複数の前記第2のポリシーモデルそれぞれ毎に、前記乖離度合を算出する、
請求項1に記載の情報処理装置。
【請求項4】
前記第1のポリシーモデルが、組織のコンピュータシステム全体におけるセキュリティポリシーを規定するモデルであり、
前記第2のポリシーモデルが、前記組織を構成するグループそれぞれにおけるセキュリティポリシーを規定するモデルである、
請求項3に記載の情報処理装置。
【請求項5】
前記乖離度合算出部によって算出された前記乖離度合と、前記アクセス属性特定部によって特定された前記アクセス属性と、を出力する、出力部を更に備えている、
請求項1に記載の情報処理装置。
【請求項6】
前記第1のポリシーモデル及び前記第2のポリシーモデルが、機械学習モデルであって、アクセス属性と当該アクセス属性をもつアクセスに対する判断との関係を機械学習している、
請求項1に記載の情報処理装置。
【請求項7】
アクセス属性が入力されると当該アクセス属性をもつアクセスに対する判断の結果を出力する、第1のポリシーモデル及び第2のポリシーモデルにおいて、それぞれに入力された場合に前記第1のポリシーモデルと前記第2のポリシーモデルとの出力結果が相違することとなるアクセス属性を特定する、アクセス属性特定ステップと、
特定された前記アクセス属性が入力されたときの、前記第1のポリシーモデルの出力結果と前記第2のポリシーモデルの出力結果との比較を行うことによって、前記第1のポリシーモデルと前記第2のポリシーモデルとにおける判断の結果の乖離度合を算出する、乖離度合算出ステップと、
を有する、ことを特徴とする情報処理方法。
【請求項8】
前記アクセス属性特定ステップにおいて、複数の前記アクセス属性を特定し、
前記乖離度合算出ステップにおいて、複数の前記アクセス属性それぞれ毎に、前記乖離度合を算出し、そして、算出した前記乖離度合全てを用いて統計処理を実行する、
請求項7に記載の情報処理方法。
【請求項9】
単一の前記第1のポリシーモデルと、複数の前記第2のポリシーモデルとが存在する場合において、
前記アクセス属性特定ステップにおいて、複数の前記第2のポリシーモデルそれぞれ毎に、前記アクセス属性を特定し、
前記乖離度合算出ステップにおいて、複数の前記第2のポリシーモデルそれぞれ毎に、前記乖離度合を算出する、
請求項7に記載の情報処理方法。
【請求項10】
前記第1のポリシーモデルが、組織のコンピュータシステム全体におけるセキュリティポリシーを規定するモデルであり、
前記第2のポリシーモデルが、前記組織を構成するグループそれぞれにおけるセキュリティポリシーを規定するモデルである、
請求項9に記載の情報処理方法。
【請求項11】
前記乖離度合算出ステップによって算出された前記乖離度合と、前記アクセス属性特定ステップによって特定された前記アクセス属性と、を出力する、出力ステップを更に備えている、
請求項7に記載の情報処理方法。
【請求項12】
前記第1のポリシーモデル及び前記第2のポリシーモデルが、機械学習モデルであって、アクセス属性と当該アクセス属性をもつアクセスに対する判断との関係を機械学習している、
請求項7に記載の情報処理方法。
【請求項13】
コンピュータに、
アクセス属性が入力されると当該アクセス属性をもつアクセスに対する判断の結果を出力する、第1のポリシーモデル及び第2のポリシーモデルにおいて、それぞれに入力された場合に前記第1のポリシーモデルと前記第2のポリシーモデルとの出力結果が相違することとなるアクセス属性を特定する、アクセス属性特定ステップと、
特定された前記アクセス属性が入力されたときの、前記第1のポリシーモデルの出力結果と前記第2のポリシーモデルの出力結果との比較を行うことによって、前記第1のポリシーモデルと前記第2のポリシーモデルとにおける判断の結果の乖離度合を算出する、乖離度合算出ステップと、
を実行させる、プログラム。
【請求項14】
前記アクセス属性特定ステップにおいて、複数の前記アクセス属性を特定し、
前記乖離度合算出ステップにおいて、複数の前記アクセス属性それぞれ毎に、前記乖離度合を算出し、そして、算出した前記乖離度合全てを用いて統計処理を実行する、
請求項13に記載のプログラム。
【請求項15】
単一の前記第1のポリシーモデルと、複数の前記第2のポリシーモデルとが存在する場合において、
前記アクセス属性特定ステップにおいて、複数の前記第2のポリシーモデルそれぞれ毎に、前記アクセス属性を特定し、
前記乖離度合算出ステップにおいて、複数の前記第2のポリシーモデルそれぞれ毎に、前記乖離度合を算出する、
請求項13に記載のプログラム。
【請求項16】
前記第1のポリシーモデルが、組織のコンピュータシステム全体におけるセキュリティポリシーを規定するモデルであり、
前記第2のポリシーモデルが、前記組織を構成するグループそれぞれにおけるセキュリティポリシーを規定するモデルである、
請求項15に記載のプログラム。
【請求項17】
前記コンピュータに、
前記乖離度合算出ステップによって算出された前記乖離度合と、前記アクセス属性特定ステップによって特定された前記アクセス属性と、を出力する、出力ステップを更に実行させる、
請求項13に記載のプログラム。
【請求項18】
前記第1のポリシーモデル及び前記第2のポリシーモデルが、機械学習モデルであって、アクセス属性と当該アクセス属性をもつアクセスに対する判断との関係を機械学習している、
請求項13に記載のプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、コンピュータのアクセス制御に使用するセキュリティポリシーの管理を支援するための、情報処理装置及び情報処理方法に関し、更には、これらを実現するためのプログラムに関する。
【背景技術】
【0002】
近年、企業等、大規模なコンピュータシステムを運用する組織では、コンピュータシステムのセキュリティを確保するため、セキュリティポリシーが重要となっている。セキュリティポリシーは、組織が情報のセキュリティを保つために設定した指針である。コンピュータシステムでは、セキュリティポリシーに沿って、誰にアクセスを許可すべきか、誰のアクセスを否認すべきか等が決定される。
【0003】
また、企業等の組織においては、全体の指針を決めるベースラインポリシーに加えて、組織を構成する個々のグループ毎に、各グループのシステムに応じた運用を決める運用ポリシーが設定される。そして、この場合、コンピュータシステムの管理者は、システムの状況に応じて、ベースラインポリシーと各運用ポリシーとを比較し、必要に応じて各運用ポリシーの更新を進める必要がある。
【0004】
但し、コンピュータシステムの管理者において、複数のセキュリティポリシーを比較して適切にアップデートすることは大きな負担である。また、アップデートは頻繁に行う必要がある。このため、特許文献1及び特許文献2は、セキュリティポリシーの管理を支援するためのシステムを開示している。
【0005】
具体的には、特許文献1は、2つのセキュリティポリシーの同等性を解析し、2つのセキュリティポリシーが同等であるかどうかを示す結果を発行する、システムを開示している。特許文献1において、セキュリティポリシーは、ニューラルネットワークといった学習モデルによって構築されている。セキュリティポリシーは、クライアントからのアクセスを許可すべきかどうか判断し、結果を出力する。
【0006】
また、特許文献2は、セキュリティポリシー間の類似度を推定する、システムを開示している。特許文献2に開示されたシステムは、セキュリティポリシー間において、それぞれを構成するルール間での相違点をカウントし、カウント結果を用いて類似度を算出する。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特表2020-525898号公報
【特許文献2】特開2007-072582号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
しかしながら、特許文献1に開示されたシステムでは、2つのセキュリティポリシーが同等であるかどうかを示す結果が出力されるのみであり、管理者は、セキュリティポリシー間の乖離の程度を判断することができないという問題がある。また、このため、管理者においては、セキュリティポリシーのどの部分からアップデートを進めるべきかを判断することが困難である。
【0009】
一方、特許文献2に開示されたシステムでは、管理者は、セキュリティポリシー間の乖離の程度を判断することはできる。しかし、特許文献2に開示されたシステムは、セキュリティポリシーが設定ルールで構成されていることを前提としている。特許文献2に開示されたシステムでは、学習モデルによって構築されたセキュリティポリシーに対応できないという問題がある。
【0010】
本開示の目的の一例は、学習モデルで構築された複数のセキュリティポリシー間における乖離の程度を推定することにある。
【0011】
上記目的を達成するため、本開示の一側面における情報処理装置は、
アクセス属性が入力されると当該アクセス属性をもつアクセスに対する判断の結果を出力する、第1のポリシーモデル及び第2のポリシーモデルにおいて、それぞれに入力された場合に前記第1のポリシーモデルと前記第2のポリシーモデルとの出力結果が相違することとなるアクセス属性を特定する、アクセス属性特定部と、
特定された前記アクセス属性が入力されたときの、前記第1のポリシーモデルの出力結果と前記第2のポリシーモデルの出力結果との比較を行うことによって、前記第1のポリシーモデルと前記第2のポリシーモデルとにおける判断の結果の乖離度合を算出する、乖離度合算出部と、
を備えている、ことを特徴とする。
【0012】
また、上記目的を達成するため、本開示の一側面における情報処理方法は、
アクセス属性が入力されると当該アクセス属性をもつアクセスに対する判断の結果を出力する、第1のポリシーモデル及び第2のポリシーモデルにおいて、それぞれに入力された場合に前記第1のポリシーモデルと前記第2のポリシーモデルとの出力結果が相違することとなるアクセス属性を特定する、アクセス属性特定ステップと、
特定された前記アクセス属性が入力されたときの、前記第1のポリシーモデルの出力結果と前記第2のポリシーモデルの出力結果との比較を行うことによって、前記第1のポリシーモデルと前記第2のポリシーモデルとにおける判断の結果の乖離度合を算出する、乖離度合算出ステップと、
を有する、ことを特徴とする。
【0013】
更に、上記目的を達成するため、本開示の一側面におけるプログラムは、
コンピュータに、
アクセス属性が入力されると当該アクセス属性をもつアクセスに対する判断の結果を出力する、第1のポリシーモデル及び第2のポリシーモデルにおいて、それぞれに入力された場合に前記第1のポリシーモデルと前記第2のポリシーモデルとの出力結果が相違することとなるアクセス属性を特定する、アクセス属性特定ステップと、
特定された前記アクセス属性が入力されたときの、前記第1のポリシーモデルの出力結果と前記第2のポリシーモデルの出力結果との比較を行うことによって、前記第1のポリシーモデルと前記第2のポリシーモデルとにおける判断の結果の乖離度合を算出する、乖離度合算出ステップと、
を実行させる、ことを特徴とする。
【発明の効果】
【0014】
以上のように本開示によれば、学習モデルで構築された複数のセキュリティポリシー間における乖離の程度を判断することができる。
【図面の簡単な説明】
【0015】
【
図1】
図1は、実施の形態1における情報処理装置の概略構成を示す構成図である。
【
図2】
図2は、実施の形態1における情報処理装置の構成を具体的に示す構成図である。
【
図3】
図3は、実施の形態1において用いられる第1及び第2のポリシーモデルの構成を概念的に示す構成図である。
【
図4】
図4は、実施の形態1における情報処理装置の動作を示すフロー図である。
【
図5】
図5は、実施の形態1における変形例で用いられる第1及び第2のポリシーモデルの構成を概念的に示す構成図である。
【
図6】
図6は、実施の形態2における情報処理装置の構成を示す構成図である。
【
図7】
図7は、実施の形態2における情報処理装置の動作を示すフロー図である。
【
図8】
図8は、実施の形態3における情報処理装置の構成を示す構成図である。
【
図9】
図9は、実施の形態3における情報処理装置の動作を示すフロー図である。
【
図10】
図10は、実施の形態1~3における情報処理装置を実現するコンピュータの一例を示すブロック図である。
【発明を実施するための形態】
【0016】
(実施の形態1)
以下、実施の形態1における、情報処理装置、情報処理方法、及びプログラムについて、
図1~
図5を参照しながら説明する。
【0017】
[装置構成]
最初に、実施の形態1における情報処理装置の概略構成について
図1を用いて説明する。
図1は、実施の形態1における情報処理装置の概略構成を示す構成図である。
【0018】
図1に示す、実施の形態1における情報処理装置10は、コンピュータのアクセス制御に使用するセキュリティポリシーの管理を支援するための、セキュリティポリシー管理支援装置である。
図1に示すように、情報処理装置10は、アクセス属性特定部11と、乖離度合算出部12とを備えている。
【0019】
アクセス属性特定部11は、第1のポリシーモデル及び第2のポリシーモデルそれぞれに入力された場合に第1のポリシーモデルと第2のポリシーモデルとの出力結果が相違することとなるアクセス属性を特定する。第1のポリシーモデル及び第2のポリシーモデルは、アクセス属性が入力されると、入力されたアクセス属性をもつアクセスに対する判断の結果を出力するモデルである。
【0020】
乖離度合算出部12は、特定されたアクセス属性が入力されたときの、第1のポリシーモデルの出力結果と第2のポリシーモデルの出力結果との比較を行う。そして、乖離度合算出部12は、この比較によって、第1のポリシーモデルと第2のポリシーモデルとにおける判断の結果の乖離度合を算出する。
【0021】
以上のように、実施の形態1によれば、学習モデルで構築された複数のセキュリティポリシー間における乖離の程度が推定される。実施の形態1を用いれば、管理者は、セキュリティポリシーのどの部分からアップデート等の対応をすべきかを容易に判断できる。
【0022】
続いて、
図2及び
図3を用いて、実施の形態1における情報処理装置10の構成及び機能について具体的に説明する。
図2は、実施の形態1における情報処理装置の構成を具体的に示す構成図である。
図3は、実施の形態1において用いられる第1及び第2のポリシーモデルの構成を概念的に示す構成図である。
【0023】
図2に示すように、情報処理装置10には、外部の計算機20に、ネットワーク等を介してデータ通信可能に接続されている。計算機20は、第1のポリシーモデル21と、第2のポリシーモデル22とを実装している。実施の形態では、第1のポリシーモデル21と、第2のポリシーモデル22とは、アクセス属性とこのアクセス属性をもつアクセスに対する判断との関係を機械学習している機械学習モデルであり、計算機20で実行される機械学習プログラムによって実装されている。なお、第1のポリシーモデル21及び第2のポリシーモデル22のうち一方又は両方は、情報処理装置10に実装されていても良い。
【0024】
また、第1のポリシーモデル21と、第2のポリシーモデル22とは、それぞれ、アクセス属性と、そのアクセス属性に対するアクセスの可否とを、訓練データとして、機械学習を実行することによって構築されている。
図3に示すように、実施の形態1では、第1のポリシーモデル21と、第2のポリシーモデル22とは、ニューラルネットワークであり、入力層と、中間層と、出力層とを備えている。なお、
図3に示したニューラルネットワークの構成は例示に過ぎず、層数、各層のノード数、等は特に限定されるものではない。また、結合させるノードの組合せは適宜選択されても良い。
【0025】
また、
図3に示すように、実施の形態1では、第1のポリシーモデル21(又は第2のポリシーモデル22)では、入力層にアクセス属性が入力されると、入力されたアクセス属性に応じて、出力層からスコアが出力される。そして、第1のポリシーモデル21(又は第2のポリシーモデル22)は、スコアが閾値以上の場合はアクセス許可を出力し、そうでない場合はアクセス不許可を出力する。また、アクセス属性は、スカラー又はベクトルに変換され、その後、第1のポリシーモデル21(又は第2のポリシーモデル22)に入力されても良い。
【0026】
アクセス属性の具体例としては、例えば、以下の(a)から(c)、更にはこれらの組合せが挙げられる。
(a)アクセス元サブジェクトのロール(例えば、部署、役職等)
(b)アクセス先オブクトのラベル(例えば、秘密分類、該否判定等)
(c)アクセス元、アクセス先、及び通信路における、リスク状態、アクセス履歴、脅威情報等
【0027】
アクセス属性特定部11は、上述したように、第1のポリシーモデル21と第2のポリシーモデル22とで出力が異なるアクセス属性を特定する。例えば、アクセス属性特定部11は、実施の形態1では、予め用意された同じアクセス属性を、第1のポリシーモデル21及び第2のポリシーモデル22の両方に入力する。そして、アクセス属性特定部11は、両者からの出力が異なる場合に、入力したアクセス属性を、両者の出力結果が異なるアクセス属性として特定する。
【0028】
また、アクセス属性特定部11は、第1のポリシーモデル21及び第2のポリシーモデル22それぞれを、命題論理式に変換し、変換後の2つの命題論理式の充足可能性問題を解くことで、両ポリシーモデルからの出力を異ならせるアクセス属性を特定しても良い。
【0029】
更に、アクセス属性特定部11は、複数のアクセス属性をランダムに生成し、それらを第1のポリシーモデル21及び第2のポリシーモデル22に入力することもできる。この場合、アクセス属性特定部11は、両者からの出力が異なる場合に、入力したアクセス属性を、両者の出力結果が異なるアクセス属性として特定する。
【0030】
このように、実施の形態1では、アクセス属性特定部11は、例えば、第1のポリシーモデル21ではアクセス許可と出力されるが、第2のポリシーモデル22ではアクセス不許可と出力されるアクセス属性を特定する。また、アクセス属性特定部11は、第1のポリシーモデル21ではアクセス不許可と出力されるが、第2のポリシーモデル22ではアクセス許可と出力されるアクセス属性を特定することもできる。
【0031】
乖離度合算出部12は、実施の形態1では、アクセス属性特定部11が特定したアクセス属性が入力されたときの、第1のポリシーモデル21の出力層の出力するスコアと第2のポリシーモデル22の出力層の出力するスコアとの差分を算出する。そして、乖離度合算出部12は、算出した差分を、第1のポリシーモデル21と第2のポリシーモデル22とにおける判断の結果の乖離度合とする。なお、実施の形態1において、差分の算出方法は、特に限定されるものではない。差分の算出方法としては、両スコアの減算処理が用いられていても良いし、両スコアの差の絶対値を採用する方法が用いられても良い。
【0032】
また、
図2に示すように、実施の形態1では、情報処理装置10は、上述のアクセス属性特定部11及び乖離度合算出部12に加えて、出力部13を備えている。出力部13は、乖離度合算出部12によって算出された乖離度合と、アクセス属性特定部11によって特定されたアクセス属性と、を出力する。実施の形態1では、出力部13は、乖離度合とアクセス属性とを、セキュリティポリシーの管理者の端末装置30に送信する。
【0033】
[装置動作]
次に、実施の形態1における情報処理装置10の動作について
図4を用いて説明する。
図4は、実施の形態1における情報処理装置の動作を示すフロー図である。以下の説明においては、適宜
図1~
図3を参照する。また、実施の形態1では、情報処理装置10を動作させることによって、情報処理方法が実施される。よって、実施の形態1における情報処理方法の説明は、以下の情報処理装置10の動作説明に代える。
【0034】
図4に示すように、最初に、アクセス属性特定部11が、第1のポリシーモデル21及び第2のポリシーモデル22それぞれに入力された場合に両者の出力結果を異ならせるアクセス属性を特定する(ステップA1)。
【0035】
具体的には、ステップA1では、アクセス属性特定部11は、第1のポリシーモデル21及び第2のポリシーモデル22の両方に、予め用意された同じアクセス属性を入力する。そして、アクセス属性特定部11は、両者からの出力が異なる場合に、入力したアクセス属性を、両者の出力結果が異なるアクセス属性として特定する。
【0036】
次に、乖離度合算出部12が、ステップA1で特定されたアクセス属性が入力されたときの、第1のポリシーモデルの出力結果と第2のポリシーモデルの出力結果とを比較し、比較の結果から、第1のポリシーモデル21と第2のポリシーモデル22とにおける判断の結果の乖離度合を算出する(ステップA2)。
【0037】
具体的には、ステップA2では、乖離度合算出部12は、比較した両者の差分を算出し、算出した差分を、第1のポリシーモデル21と第2のポリシーモデル22とにおける判断の結果の乖離度合とする。
【0038】
次に、出力部13が、ステップA2で算出された乖離度合と、ステップA1で特定されたアクセス属性と、を出力する(ステップA3)。具体的には、ステップA3では、出力部13は、乖離度合とアクセス属性とを、セキュリティポリシーの管理者の端末装置30に送信する。
【0039】
以上のように、ステップA1~A3が実行されると、第1のポリシーモデル21と第2のポリシーモデル22との間における乖離の程度が推定され、管理者に提示される。このため、実施の形態1によれば、管理者は、セキュリティポリシーの更新について適切な優先度を設定でき、セキュリティポリシーのどの部分からアップデート等の対応をすべきかを容易に判断できる。
【0040】
[プログラム]
実施の形態1におけるプログラムは、コンピュータに、
図4に示すステップA1~A3を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、実施の形態1における情報処理装置10と情報処理方法とを実現することができる。この場合、コンピュータのプロセッサは、アクセス属性特定部11、乖離度合算出部12、及び出力部13として機能し、処理を行なう。コンピュータとしては、汎用のPCの他に、スマートフォン、タブレット型端末装置が挙げられる。
【0041】
また、実施の形態1におけるプログラムは、複数のコンピュータによって構築されたコンピュータシステムによって実行されても良い。この場合は、例えば、各コンピュータが、それぞれ、アクセス属性特定部11、乖離度合算出部12、及び出力部13のいずれかとして機能しても良い。
【0042】
[変形例]
ここで、実施の形態1における情報処理装置10の変形例について説明する。
図5は、実施の形態1における変形例で用いられる第1及び第2のポリシーモデルの構成を概念的に示す構成図である。
【0043】
変形例においては、第1のポリシーモデル21と、第2のポリシーモデル22とは、アクセス属性とこのアクセス属性に対応するアクションとの関係を機械学習している機械学習モデルである。変形例では、第1のポリシーモデル21と、第2のポリシーモデル22とは、それぞれ、アクセス属性と、そのアクセス属性に対応するアクションとを、訓練データとして、機械学習を実行することによって構築される。
【0044】
アクションの例としては、上述した「アクセスを許可」及び「アクセスを拒否」の他に、「多要素認証を求める」、「アラートを出力」等がある。
【0045】
そして、
図5に示すように、変形例では、第1のポリシーモデル21(又は第2のポリシーモデル22)は、出力層において、アクションの数に応じて複数のノードを有する。このため、第1のポリシーモデル21(又は第2のポリシーモデル22)では、入力層にアクセス属性が入力されると、入力されたアクセス属性に応じて、出力層の各ノードからスコアが出力される。そして、第1のポリシーモデル21(又は第2のポリシーモデル22)は、スコアが最大値となるノードを特定し、特定したノードが対応しているアクションを出力する。
【0046】
このため、変形例では、乖離度合算出部12は、第1のポリシーモデル21及び第2のポリシーモデル22それぞれにおいて、出力層の各ノードのスコアを取得し、それをベクトルとして扱う。そして、乖離度合算出部12は、第1のポリシーモデル21の出力層から得られたベクトルと第2のポリシーモデル22の出力層から得られたベクトルとの差分を、第1のポリシーモデル21と第2のポリシーモデル22とにおける判断の結果の乖離度合とする。
【0047】
ベクトル間の差分の具体例としては、ソフトマックス関数の交差エントロピ、符号を反転させたコサイン類似度、ユークリッド距離が挙げられる。乖離度合算出部12は、これらの算出方法を用いて、ベクトル間の差分を算出することができる。このように、変形例によれば、出力層が多ノードのポリシーモデルが用いられている場合にも対応できる。
【0048】
(実施の形態2)
続いて、実施の形態2における、情報処理装置、情報処理方法、及びプログラムについて、
図6及び
図7を参照しながら説明する。
【0049】
[装置構成]
次に、実施の形態2における情報処理装置の構成について
図6を用いて説明する。
図6は、実施の形態2における情報処理装置の構成を示す構成図である。
【0050】
図6に示す、実施の形態2における情報処理装置40も、実施の形態1と同様に、コンピュータのアクセス制御に使用するセキュリティポリシーの管理を支援するための、セキュリティポリシー管理支援装置である。
【0051】
但し、
図6に示すように、実施の形態2では、情報処理装置40は、実施の形態1において
図2に示した情報処理装置10と異なり、乖離度合算出部12は、統計処理部41を備えている。以下、実施の形態1との相違点について説明する。
【0052】
まず、実施の形態2では、アクセス属性特定部11は、第1のポリシーモデルと第2のポリシーモデルとの出力結果が相違することとなるアクセス属性を特定する。そして、乖離度合算出部12は、特定されたアクセス属性毎に、乖離度合を算出する。なお、特定されるアクセス属性は、1つであっても良いし、複数であっても良い。
【0053】
そして、乖離度合算出部12において、統計処理部41は、算出した乖離度合全てを用いて統計処理を実行し、統計処理の結果を、最終的な乖離度合とする。具体的な統計処理としては、各乖離度合の合算処理、乖離度合の平均値の算出処理、乖離度合の最大値の選択処理等が挙げられる。
【0054】
[装置動作]
次に、実施の形態2における情報処理装置40の動作について
図7を用いて説明する。
図7は、実施の形態2における情報処理装置の動作を示すフロー図である。以下の説明においては、適宜
図6を参照する。また、実施の形態2では、情報処理装置40を動作させることによって、情報処理方法が実施される。よって、実施の形態2における情報処理方法の説明は、以下の情報処理装置40の動作説明に代える。
【0055】
図7に示すように、最初に、アクセス属性特定部11が、第1のポリシーモデル21及び第2のポリシーモデル22それぞれに入力された場合に両者の出力結果を異ならせるアクセス属性を複数特定する(ステップB1)。
【0056】
ステップB1は、
図4に示したステップA1と同様のステップである。但し、ステップB1では、複数のアクセス属性が特定されるまで、ステップA1と同様の処理が複数回行われる。
【0057】
次に、乖離度合算出部12が、ステップB1で特定された複数のアクセス属性それぞれについて、第1のポリシーモデル21と第2のポリシーモデル22とにおける判断の結果の乖離度合を算出する(ステップB2)。
【0058】
ステップB2は、
図4に示したステップA2と同様のステップである。但し、ステップB2では、複数のアクセス属性それぞれ毎に、ステップA2と同様の処理が行われる。
【0059】
次に、乖離度合算出部12において、統計処理部41は、ステップB2で算出した乖離度合全てを用いて統計処理を実行し、統計処理の結果を、最終的な乖離度合とする(ステップB3)。
【0060】
次に、出力部13が、ステップB3で算出された統計処理の結果(乖離度合)と、ステップB1で特定された各アクセス属性と、を出力する(ステップB4)。具体的には、ステップB4では、出力部13は、統計処理の結果と各アクセス属性とを、セキュリティポリシーの管理者の端末装置30に送信する。
【0061】
以上のように、ステップB1~B4が実行されると、第1のポリシーモデル21と第2のポリシーモデル22との間における乖離の程度が推定され、管理者に提示される。このため、実施の形態2においても、管理者は、セキュリティポリシーの更新について適切な優先度を設定でき、セキュリティポリシーのどの部分からアップデート等の対応をすべきかを容易に判断できる。また、実施の形態2では、複数のアクセス属性を用いて、判断ができるため、真に更新が必要なセキュリティポリシーの特定が容易となる。
【0062】
[プログラム]
実施の形態2におけるプログラムは、コンピュータに、
図7に示すステップB1~B4を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、実施の形態2における情報処理装置40と情報処理方法とを実現することができる。この場合、コンピュータのプロセッサは、アクセス属性特定部11、乖離度合算出部12、及び出力部13として機能し、処理を行なう。コンピュータとしては、汎用のPCの他に、スマートフォン、タブレット型端末装置が挙げられる。
【0063】
また、実施の形態2におけるプログラムは、複数のコンピュータによって構築されたコンピュータシステムによって実行されても良い。この場合は、例えば、各コンピュータが、それぞれ、アクセス属性特定部11、乖離度合算出部12、及び出力部13のいずれかとして機能しても良い。
【0064】
(実施の形態3)
続いて、実施の形態3における、情報処理装置、情報処理方法、及びプログラムについて、
図8及び
図9を参照しながら説明する。
【0065】
[装置構成]
次に、実施の形態3における情報処理装置の構成について
図8を用いて説明する。
図8は、実施の形態3における情報処理装置の構成を示す構成図である。
【0066】
図8に示す、実施の形態3における情報処理装置50も、実施の形態1及び2と同様に、コンピュータのアクセス制御に使用するセキュリティポリシーの管理を支援するための、セキュリティポリシー管理支援装置である。
【0067】
但し、
図8に示すように、実施の形態3では、情報処理装置40は、実施の形態1において
図2に示した情報処理装置10、及び実施の形態2において
図6に示した情報処理装置40と異なり、複数の第2のポリシーモデル22に対応する。以下、実施の形態1及び2との相違点について説明する。
【0068】
実施の形態3では、
図8に示すように、単一の第1のポリシーモデル21と、複数の第2のポリシーモデル22とが存在する。この場合において、アクセス属性特定部11は、第2のポリシーモデル22毎に、第1のポリシーモデル21との間で出力結果を異ならせるアクセス属性を特定する。
【0069】
また、乖離度合算出部12は、実施の形態3では、第2のポリシーモデル22毎に、第1のポリシーモデル21との間の判断結果についての乖離度合を算出する。
【0070】
更に、実施の形態3では、第1のポリシーモデル21は、組織のコンピュータシステム全体におけるセキュリティポリシーを規定するモデル(以下「ベースラインポリシーモデル」と表記する。)である。第2のポリシーモデル22は、組織を構成するグループそれぞれにおけるセキュリティポリシーを規定するモデル(以下「運用ポリシーモデル」)である。
【0071】
[装置動作]
次に、実施の形態3における情報処理装置50の動作について
図9を用いて説明する。
図9は、実施の形態3における情報処理装置の動作を示すフロー図である。以下の説明においては、適宜
図8を参照する。また、実施の形態3では、情報処理装置50を動作させることによって、情報処理方法が実施される。よって、実施の形態3における情報処理方法の説明は、以下の情報処理装置50の動作説明に代える。
【0072】
図9に示すように、最初に、アクセス属性特定部11は、いずれかの第2のポリシーモデルを選択する(ステップC1)。
【0073】
次に、アクセス属性特定部11は、第1のポリシーモデル21及びステップC1で選択した第2のポリシーモデル22それぞれに入力された場合に両者の出力結果を異ならせるアクセス属性を特定する(ステップC2)。ステップC2は、
図4に示したステップA1と同様のステップである。
【0074】
次に、乖離度合算出部12が、ステップC1で特定されたアクセス属性が入力されたときの、第1のポリシーモデルの出力結果とステップC1で選択した第2のポリシーモデルの出力結果とを比較し、比較の結果から、第1のポリシーモデル21と第2のポリシーモデル22とにおける判断の結果の乖離度合を算出する(ステップC3)。ステップC3は、
図4に示したステップA2と同様のステップである。
【0075】
次に、乖離度合算出部12は、全ての第2のポリシーモデルについて剥離度合が算出済であるかどうかを判定する(ステップC4)。ステップC4の判定の結果、全ての第2のポリシーモデルについて剥離度合が算出済でない場合は、再度ステップC1が実行される。
【0076】
一方、ステップC4の判定の結果、全ての第2のポリシーモデルについて剥離度合が算出済である場合は、出力部13が、第2のポリシーモデル22毎に、ステップC3で算出された乖離度合と、ステップC2で特定されたアクセス属性と、を出力する(ステップC5)。具体的には、ステップC5では、出力部13は、第2のポリシーモデル22毎に乖離度合とアクセス属性とを、セキュリティポリシーの管理者の端末装置30に送信する。
【0077】
以上のように、ステップC1~C5が実行されると、第2のポリシーモデル22毎に、第1のポリシーモデル21との間における乖離の程度が推定され、管理者に提示される。このため、実施の形態3によれば、管理者は、組織を構成するグループ毎に、セキュリティポリシーの更新について適切な優先度を設定でき、セキュリティポリシーのどの部分からアップデート等の対応をすべきかを容易に判断できる。
【0078】
[プログラム]
実施の形態3におけるプログラムは、コンピュータに、
図9に示すステップC1~C5を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、実施の形態3における情報処理装置50と情報処理方法とを実現することができる。この場合、コンピュータのプロセッサは、アクセス属性特定部11、乖離度合算出部12、及び出力部13として機能し、処理を行なう。コンピュータとしては、汎用のPCの他に、スマートフォン、タブレット型端末装置が挙げられる。
【0079】
また、実施の形態3におけるプログラムは、複数のコンピュータによって構築されたコンピュータシステムによって実行されても良い。この場合は、例えば、各コンピュータが、それぞれ、アクセス属性特定部11、乖離度合算出部12、及び出力部13のいずれかとして機能しても良い。
【0080】
[物理構成]
ここで、実施の形態1~3におけるプログラムを実行することによって、情報処理装置を実現するコンピュータについて
図10を用いて説明する。
図10は、実施の形態1~3における情報処理装置を実現するコンピュータの一例を示すブロック図である。
【0081】
図10に示すように、コンピュータ110は、CPU(Central Processing Unit)111と、メインメモリ112と、記憶装置113と、入力インターフェイス114と、表示コントローラ115と、データリーダ/ライタ116と、通信インターフェイス117とを備える。これらの各部は、バス121を介して、互いにデータ通信可能に接続される。
【0082】
また、コンピュータ110は、CPU111に加えて、又はCPU111に代えて、GPU(Graphics Processing Unit)、又はFPGA(Field-Programmable Gate Array)を備えていても良い。この態様では、GPU又はFPGAが、実施の形態におけるプログラムを実行することができる。
【0083】
CPU111は、記憶装置113に格納された、コード群で構成された実施の形態におけるプログラムをメインメモリ112に展開し、各コードを所定順序で実行することにより、各種の演算を実施する。メインメモリ112は、典型的には、DRAM(Dynamic Random Access Memory)等の揮発性の記憶装置である。
【0084】
また、実施の形態におけるプログラムは、コンピュータ読み取り可能な記録媒体120に格納された状態で提供される。なお、本実施の形態におけるプログラムは、通信インターフェイス117を介して接続されたインターネット上で流通するものであっても良い。
【0085】
また、記憶装置113の具体例としては、ハードディスクドライブの他、フラッシュメモリ等の半導体記憶装置が挙げられる。入力インターフェイス114は、CPU111と、キーボード及びマウスといった入力機器118との間のデータ伝送を仲介する。表示コントローラ115は、ディスプレイ装置119と接続され、ディスプレイ装置119での表示を制御する。
【0086】
データリーダ/ライタ116は、CPU111と記録媒体120との間のデータ伝送を仲介し、記録媒体120からのプログラムの読み出し、及びコンピュータ110における処理結果の記録媒体120への書き込みを実行する。通信インターフェイス117は、CPU111と、他のコンピュータとの間のデータ伝送を仲介する。
【0087】
また、記録媒体120の具体例としては、CF(Compact Flash(登録商標))及びSD(Secure Digital)等の汎用的な半導体記憶デバイス、フレキシブルディスク(Flexible Disk)等の磁気記録媒体、又はCD-ROM(Compact Disk Read Only Memory)などの光学記録媒体が挙げられる。
【0088】
なお、実施の形態における情報処理装置は、プログラムがインストールされたコンピュータではなく、各部に対応したハードウェア、例えば、電子回路を用いることによっても実現可能である。更に、情報処理装置は、一部がプログラムで実現され、残りの部分がハードウェアで実現されていてもよい。実施の形態において、コンピュータは、
図10に示すコンピュータに限定されることはない。
【0089】
上述した実施の形態の一部又は全部は、以下に記載する(付記1)~(付記18)によって表現することができるが、以下の記載に限定されるものではない。
【0090】
(付記1)
アクセス属性が入力されると当該アクセス属性をもつアクセスに対する判断の結果を出力する、第1のポリシーモデル及び第2のポリシーモデルにおいて、それぞれに入力された場合に前記第1のポリシーモデルと前記第2のポリシーモデルとの出力結果が相違することとなるアクセス属性を特定する、アクセス属性特定部と、
特定された前記アクセス属性が入力されたときの、前記第1のポリシーモデルの出力結果と前記第2のポリシーモデルの出力結果との比較を行うことによって、前記第1のポリシーモデルと前記第2のポリシーモデルとにおける判断の結果の乖離度合を算出する、乖離度合算出部と、
を備えている、ことを特徴とする情報処理装置。
【0091】
(付記2)
前記アクセス属性特定部が、複数の前記アクセス属性を特定し、
前記乖離度合算出部が、複数の前記アクセス属性それぞれ毎に、前記乖離度合を算出し、そして、算出した前記乖離度合全てを用いて統計処理を実行する、
付記1に記載の情報処理装置。
【0092】
(付記3)
単一の前記第1のポリシーモデルと、複数の前記第2のポリシーモデルとが存在する場合において、
前記アクセス属性特定部が、複数の前記第2のポリシーモデルそれぞれ毎に、前記アクセス属性を特定し、
前記乖離度合算出部が、複数の前記第2のポリシーモデルそれぞれ毎に、前記乖離度合を算出する、
付記1に記載の情報処理装置。
【0093】
(付記4)
前記第1のポリシーモデルが、組織のコンピュータシステム全体におけるセキュリティポリシーを規定するモデルであり、
前記第2のポリシーモデルが、前記組織を構成するグループそれぞれにおけるセキュリティポリシーを規定するモデルである、
付記3に記載の情報処理装置。
【0094】
(付記5)
前記乖離度合算出部によって算出された前記乖離度合と、前記アクセス属性特定部によって特定された前記アクセス属性と、を出力する、出力部を更に備えている、
付記1に記載の情報処理装置。
【0095】
(付記6)
前記第1のポリシーモデル及び前記第2のポリシーモデルが、機械学習モデルであって、アクセス属性と当該アクセス属性をもつアクセスに対する判断との関係を機械学習している、
付記1に記載の情報処理装置。
【0096】
(付記7)
アクセス属性が入力されると当該アクセス属性をもつアクセスに対する判断の結果を出力する、第1のポリシーモデル及び第2のポリシーモデルにおいて、それぞれに入力された場合に前記第1のポリシーモデルと前記第2のポリシーモデルとの出力結果が相違することとなるアクセス属性を特定する、アクセス属性特定ステップと、
特定された前記アクセス属性が入力されたときの、前記第1のポリシーモデルの出力結果と前記第2のポリシーモデルの出力結果との比較を行うことによって、前記第1のポリシーモデルと前記第2のポリシーモデルとにおける判断の結果の乖離度合を算出する、乖離度合算出ステップと、
を有する、ことを特徴とする情報処理方法。
【0097】
(付記8)
前記アクセス属性特定ステップにおいて、複数の前記アクセス属性を特定し、
前記乖離度合算出ステップにおいて、複数の前記アクセス属性それぞれ毎に、前記乖離度合を算出し、そして、算出した前記乖離度合全てを用いて統計処理を実行する、
付記7に記載の情報処理方法。
【0098】
(付記9)
単一の前記第1のポリシーモデルと、複数の前記第2のポリシーモデルとが存在する場合において、
前記アクセス属性特定ステップにおいて、複数の前記第2のポリシーモデルそれぞれ毎に、前記アクセス属性を特定し、
前記乖離度合算出ステップにおいて、複数の前記第2のポリシーモデルそれぞれ毎に、前記乖離度合を算出する、
付記7に記載の情報処理方法。
【0099】
(付記10)
前記第1のポリシーモデルが、組織のコンピュータシステム全体におけるセキュリティポリシーを規定するモデルであり、
前記第2のポリシーモデルが、前記組織を構成するグループそれぞれにおけるセキュリティポリシーを規定するモデルである、
付記9に記載の情報処理方法。
【0100】
(付記11)
前記乖離度合算出ステップによって算出された前記乖離度合と、前記アクセス属性特定ステップによって特定された前記アクセス属性と、を出力する、出力ステップを更に備えている、
付記7に記載の情報処理方法。
【0101】
(付記12)
前記第1のポリシーモデル及び前記第2のポリシーモデルが、機械学習モデルであって、アクセス属性と当該アクセス属性をもつアクセスに対する判断との関係を機械学習している、
付記7に記載の情報処理方法。
【0102】
(付記13)
コンピュータに、
アクセス属性が入力されると当該アクセス属性をもつアクセスに対する判断の結果を出力する、第1のポリシーモデル及び第2のポリシーモデルにおいて、それぞれに入力された場合に前記第1のポリシーモデルと前記第2のポリシーモデルとの出力結果が相違することとなるアクセス属性を特定する、アクセス属性特定ステップと、
特定された前記アクセス属性が入力されたときの、前記第1のポリシーモデルの出力結果と前記第2のポリシーモデルの出力結果との比較を行うことによって、前記第1のポリシーモデルと前記第2のポリシーモデルとにおける判断の結果の乖離度合を算出する、乖離度合算出ステップと、
を実行させる、プログラム。
【0103】
(付記14)
前記アクセス属性特定ステップにおいて、複数の前記アクセス属性を特定し、
前記乖離度合算出ステップにおいて、複数の前記アクセス属性それぞれ毎に、前記乖離度合を算出し、そして、算出した前記乖離度合全てを用いて統計処理を実行する、
付記13に記載のプログラム。
【0104】
(付記15)
単一の前記第1のポリシーモデルと、複数の前記第2のポリシーモデルとが存在する場合において、
前記アクセス属性特定ステップにおいて、複数の前記第2のポリシーモデルそれぞれ毎に、前記アクセス属性を特定し、
前記乖離度合算出ステップにおいて、複数の前記第2のポリシーモデルそれぞれ毎に、前記乖離度合を算出する、
付記13に記載のプログラム。
【0105】
(付記16)
前記第1のポリシーモデルが、組織のコンピュータシステム全体におけるセキュリティポリシーを規定するモデルであり、
前記第2のポリシーモデルが、前記組織を構成するグループそれぞれにおけるセキュリティポリシーを規定するモデルである、
付記15に記載のプログラム。
【0106】
(付記17)
前記コンピュータに、
前記乖離度合算出ステップによって算出された前記乖離度合と、前記アクセス属性特定ステップによって特定された前記アクセス属性と、を出力する、出力ステップを更に実行させる、
付記13に記載のプログラム。
【0107】
(付記18)
前記第1のポリシーモデル及び前記第2のポリシーモデルが、機械学習モデルであって、アクセス属性と当該アクセス属性をもつアクセスに対する判断との関係を機械学習している、
付記13に記載のプログラム。
【産業上の利用可能性】
【0108】
以上のように本開示によれば、学習モデルで構築された複数のセキュリティポリシー間における乖離の程度を判断することができる。本開示は、セキュリティポリシーの管理が必要となるシステムに有用である。
【符号の説明】
【0109】
10 情報処理装置(実施の形態1)
11 アクセス属性特定部
12 乖離度合算出部
13 出力部
20 計算機
21 第1のポリシーモデル
22 第2のポリシーモデル
30 管理者の端末装置
40 情報処理装置(実施の形態2)
41 統計処理部
50 情報処理装置(実施の形態3)
110 コンピュータ
111 CPU
112 メインメモリ
113 記憶装置
114 入力インターフェイス
115 表示コントローラ
116 データリーダ/ライタ
117 通信インターフェイス
118 入力機器
119 ディスプレイ装置
120 記録媒体
121 バス