IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > デジタルアーツ株式会社

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ デジタルア−ツ株式会社の特許一覧

特許7121779情報処理装置、情報処理方法、及び情報処理プログラム
<>
  • 特許-情報処理装置、情報処理方法、及び情報処理プログラム 図1
  • 特許-情報処理装置、情報処理方法、及び情報処理プログラム 図2
  • 特許-情報処理装置、情報処理方法、及び情報処理プログラム 図3
  • 特許-情報処理装置、情報処理方法、及び情報処理プログラム 図4
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-08-09
(45)【発行日】2022-08-18
(54)【発明の名称】情報処理装置、情報処理方法、及び情報処理プログラム
(51)【国際特許分類】
   G06F 21/62 20130101AFI20220810BHJP
   G06F 21/55 20130101ALI20220810BHJP
   G06F 21/31 20130101ALI20220810BHJP
【FI】
G06F21/62 309
G06F21/55
G06F21/31
【請求項の数】 5
(21)【出願番号】P 2020143177
(22)【出願日】2020-08-27
(65)【公開番号】P2022038591
(43)【公開日】2022-03-10
【審査請求日】2021-02-03
(73)【特許権者】
【識別番号】500147023
【氏名又は名称】デジタルアーツ株式会社
(72)【発明者】
【氏名】松本 卓也
(72)【発明者】
【氏名】木村 剛
(72)【発明者】
【氏名】内山 智
【審査官】松平 英
(56)【参考文献】
【文献】特開2017-045106(JP,A)
【文献】特開2005-309887(JP,A)
【文献】特開2012-203624(JP,A)
【文献】特開2003-271438(JP,A)
【文献】特開2007-148946(JP,A)
【文献】特開2008-171101(JP,A)
【文献】特開2006-4189(JP,A)
【文献】特開2020-27510(JP,A)
【文献】特開2020-86547(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F12/14
21/00-21/88
G09C 1/00-5/00
H04K 1/00-3/00
H04L 9/00-9/40
(57)【特許請求の範囲】
【請求項1】
保護されたファイルに対応するアクセス許可者の情報を含むアクセス権限情報を取得するアクセス権限取得部と、
ファイルに対する不適切なアクセス条件を不正条件として予め設定する不正条件保存部と、
端末から受け付けたユーザを識別するユーザ識別情報と前記アクセス権限情報とに基づいて、前記ファイルの保護を解除してアクセスを許可する解除情報を前記端末に送信するか否かを判定するアクセス制御部と、
前記アクセス権限情報が設定された際、または前記ファイルが前記端末によりアクセスされたときに、設定された前記不正条件に基づいて不正なアクセスか否かを判定し、不正と判定する場合には管理者端末に通知する通知部と、を備えて、
前記不正条件は、端末による前記アクセス権限情報を設定する際の条件を含み、
前記通知部は、前記アクセス権限情報の設定がされたとき、前記不正条件に基づき不正なアクセスと判定された場合に当該アクセス権限情報の設定を許可しない、
を備えることを特徴とする情報処理装置。
【請求項2】
前記通知部は、前記管理者端末に対して、前記アクセス権限情報設定した端末の情報、または、ファイルにアクセスした端末の情報を通知する、
ことを特徴とする請求項に記載の情報処理装置。
【請求項3】
前記通知部は、前記管理者端末から、設定を許可する承諾通知を受け付けた際に、前記アクセス権限情報の設定を許可する、
ことを特徴とする請求項1または請求項2に記載の情報処理装置。
【請求項4】
保護されたファイルに対応するアクセス許可者の情報を含むアクセス権限情報を取得するステップと、
ファイルに対する不適切なアクセス条件を不正条件として予め設定するステップと、
端末から受け付けたユーザを識別するユーザ識別情報と前記アクセス権限情報とに基づいて、前記ファイルの保護を解除してアクセスを許可する解除情報を前記端末に送信するか否かを判定するステップと、
前記アクセス権限情報が設定された際、または前記ファイルが前記端末によりアクセスされたときに、設定された前記不正条件に基づいて不正なアクセスか否かを判定し、不正と判定する場合には管理者端末に通知するステップと、を含み、
前記不正条件は、端末による前記アクセス権限情報を設定する際の条件を含んで、
前記アクセス権限情報の設定がされたとき、前記不正条件に基づき不正なアクセスと判定された場合に当該アクセス権限情報の設定を許可しない、
ことを特徴とする情報処理方法。
【請求項5】
コンピュータを、
保護されたファイルに対応するアクセス許可者の情報を含むアクセス権限情報を取得する機能、
ファイルに対する不適切なアクセス条件を不正条件として予め設定する機能、
端末から受け付けたユーザを識別するユーザ識別情報と前記アクセス権限情報とに基づいて、前記ファイルの保護を解除してアクセスを許可する解除情報を前記端末に送信するか否かを判定する機能、
前記アクセス権限情報が設定された際、または前記ファイルが前記端末によりアクセスされたときに、設定された前記不正条件に基づいて不正なアクセスか否かを判定し、不正と判定する場合には管理者端末に通知する機能、として機能させて、
前記不正条件は、端末による前記アクセス権限情報を設定する際の条件を含んで、
前記アクセス権限情報の設定がされたとき、前記不正条件に基づき不正なアクセスと判定された場合に当該アクセス権限情報の設定を許可しない、
ことを特徴とする情報処理プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明の実施形態は、情報処理装置、情報処理方法、及び情報処理プログラムに関する。
【背景技術】
【0002】
ユーザにより作成された文書データや画像データ等のファイルについて、権限を有するユーザのみがファイルの閲覧や編集等できるようにファイル管理を行うIRM(Information Rights Management)技術が知られている。
【0003】
従来では、専用のアプリケーションプログラムを用いてファイルを暗号化して、その暗号化ファイルを復号してアクセスできるユーザのアクセス権限をサーバで管理する技術が開示されている。この技術では、アクセス権限を有する者がファイルにアクセスした場合、暗号化されたファイルを復号する復号鍵がサーバを介してユーザに付与されて閲覧可能となる。
【0004】
サーバを介してユーザのアクセス権限を管理することで、ファイルが電子メールに添付されて相手方に送信されるなど、ファイルが作成者の管理から離れた場合であっても、設定されたアクセス権限によりファイルへのアクセスを常に制限することが可能となる。
【先行技術文献】
【特許文献】
【0005】
【文献】特開2006-99419号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
上述のファイルへのアクセス制御を行うIRM技術において、ファイルへのアクセス可能な正当なユーザをアクセス権限者情報としてサーバで管理している。
【0007】
この技術では、ファイルへのアクセス、及びファイルのアクセス権限を設定・変更可能な者が、不正に外部に持ち出す目的でファイルへのアクセス権限情報を変更した場合(例えば外部の第三者をアクセス許可者に加えるなど)には容易に組織外部にファイルを持ち出すことが可能となり、その検知は困難となる。事後的にシステムの管理者がアクセス権限を変更できたとしても、ファイルが漏洩してからでは手遅れになるおそれがある。
【0008】
本発明はこのような事情を考慮してなされたもので、保護されたファイルへの不正なアクセスを即時に検知できる情報処理装置、情報処理方法、及び情報処理プログラムを提供することを目的とする。
【課題を解決するための手段】
【0009】
本発明の実施形態に係る情報処理装置は、保護されたファイルに対応するアクセス許可者の情報を含むアクセス権限情報を取得するアクセス権限取得部と、ファイルに対する不適切なアクセス条件を不正条件として予め設定する不正条件保存部と、端末から受け付けたユーザを識別するユーザ識別情報と前記アクセス権限情報とに基づいて、前記ファイルの保護を解除してアクセスを許可する解除情報を前記端末に送信するか否かを判定するアクセス制御部と、前記アクセス権限情報が設定された際、または前記ファイルが前記端末によりアクセスされたときに、設定された前記不正条件に基づいて不正なアクセスか否かを判定し、不正と判定する場合には管理者端末に通知する通知部と、を備えて、前記不正条件は、端末による前記アクセス権限情報を設定する際の条件を含み、前記通知部は、前記アクセス権限情報の設定がされたとき、前記不正条件に基づき不正なアクセスと判定された場合に当該アクセス権限情報の設定を許可しない、ことを特徴とする。
【発明の効果】
【0010】
本発明の実施形態により、保護されたファイルへの不正なアクセスを即時に検知できる情報処理装置、情報処理方法、及び情報処理プログラムが提供される。
【図面の簡単な説明】
【0011】
図1】本実施形態に係る情報処理装置を用いたアクセス制御システムの構成の一例を示す構成図。
図2】送信者端末によるアクセス権限情報の設定の一例を示す図。
図3】不正条件保存部に登録される不正条件の一例を示す図。
図4】本実施形態に係る情報処理方法において、不正なアクセスを検知する際のフローの一例を示す図。
【発明を実施するための形態】
【0012】
以下、本発明の実施形態を添付図面に基づいて説明する。
図1は、本実施形態に係る情報処理装置10を用いたアクセス制御システム100の構成の一例を示す図である。
【0013】
まず、全体の構成について説明する。
アクセス制御システム100は、保護されたファイルに対してアクセス権限が設定されたユーザの端末を情報処理装置10(管理サーバ)で認証してファイルへのアクセス制御を行うシステムである。
【0014】
アクセス制御システム100は、情報処理装置10と、送信者端末11と、受信者端末12と、管理者端末20と、から構成されている。
【0015】
情報処理装置10と、ファイルを受信者端末12に送る側の端末である送信者端末11とは、ネットワークを介して通信可能に接続されている。また、情報処理装置10と、ファイルを送信者端末11から受け取る側の端末である受信者端末12とは、ネットワークを介して通信可能に接続されている。また、情報処理装置10とこのシステムの管理者の端末である管理者端末20とはネットワークを介して通信可能に接続されている。
【0016】
送信者端末11は、当該端末で作成、または保有するファイルに対して、アクセス(ファイルを開き閲覧する)する権限者の設定を行い、ファイルを保護する端末である。
【0017】
送信者端末11は、アクセス権限設定部13を有している。アクセス権限設定部13は、ファイルに対してアクセス権限が付与されるユーザの情報を含むアクセス権限情報を設定する。ファイルに対してアクセス権限が付与されるユーザの情報は、ユーザを一意に特定できる識別情報で設定できればよく、例えばユーザに対応する電子メールアドレスにより設定される。また、ファイルに対してアクセス権限が付与されるユーザの情報としては、ユーザが保有する電話やスマホ等の携帯機器の電話番号、当該携帯機器のそれぞれを識別するための識別情報、あるいは、ファイルを受信する受信者端末12内で動作する認証用のアプリケーション情報により設定されてもよい。
【0018】
また、アクセス権限情報には、アクセス権限が与えられたユーザがファイルを操作する際の各種制御動作(例えば、ファイルの暗号化を解いた状態での生ファイルの取り出し許可、ファイルの編集、上書き保存、印刷、コピーなど)の制限に関する制限情報が含まれてもよい。
【0019】
アクセス権限設定部13は、ファイルに対してアクセス権限情報が設定される際に、パスワードロックや暗号化処理などにより、解除情報を有するユーザのみがファイルへアクセスできるようにファイルを保護する。アクセス権限設定部13は、ファイルの保護を解除するための解除情報、具体的にはパスワードロックを解除するためのパスワードや暗号化されたファイルを復号するための復号鍵を生成する。
【0020】
送信者端末11は、ファイルに対して設定されたアクセス権限情報、及び保護されたファイルを解除してアクセスするための解除情報を情報処理装置10に送信する。送信者端末11は、当該端末自身を識別するための識別情報(端末IDやユーザIDなど)、アクセス権限情報の設定時間、端末の位置情報などを情報処理装置10に送信する。
【0021】
図2は、送信者端末11によるアクセス権限情報の設定の一例を示す図である。ファイルへのアクセス権限を付与するユーザが電子メールアドレスで設定されている。図2では、“xxx@aaa.co.jp”,”yyy@bbb.co.jp”、“zzz@kensaku.co.jp”の3人のユーザにアクセス権限が付与されている。また、アクセス権限情報として、ファイルに対する上書き保存、印刷、コピーの制御動作を制限するか否かが選択可能に設定されている。
【0022】
送信者端末11は、アクセスを許可するユーザの情報、ファイルへの制御動作の設定をアクセス権限情報として送信する。このとき、ファイルは、アクセス権限設定部13において暗号化処理などにより保護されて、保護を解除するための解除情報が情報処理装置10に送信される。
【0023】
アクセス許可者や制御動作のアクセス権限情報は、情報処理装置10に保存された後に、送信者端末11からの設定変更の指令を受け付けて変更可能となる。
【0024】
送信者端末11で保護されたファイルは、受信者端末12に送信される。送信者端末11から受信者端末12へのファイルの送信は、電子メールに添付して送信される。また、送信者端末11から受信者端末12へのファイルの受け渡しは、電子メールを介した方法に限定されるものでは無く、例えば送信者端末11内の保護されたファイルをUSBなどの記憶媒体に記録して、記憶媒体を介して受信者端末12にファイルのデータを送る方法を用いてもよい。
【0025】
また、電子メールを用いてファイルを送信者端末11から受信者端末12に送る場合に、予めアクセス権限情報をユーザにより設定する必要はなく、アクセス権限設定部13は、ファイルが添付された電子メールに設定されている宛先(TO,CC,BCC)のメールアドレスを、アクセス許可者とするアクセス権限情報を自動で生成してもよい。この場合は、電子メールには、添付されていたファイルに変えて、保護されたファイルが新たに添付されて受信者端末12に送信される。このとき、自動で生成されたアクセス権限情報と、ファイルの保護を解除するための解除情報とが情報処理装置10に送信される。
【0026】
受信者端末12は、保護されたファイルを送信者端末11から受け取り、ファイルにアクセスする(閲覧する)端末であり、識別情報送信部19と、解除情報取得部18と、を有している。
【0027】
識別情報送信部19は、保護されたファイルにアクセスする際に、受信者端末12のユーザのメールアドレスを含む識別情報を情報処理装置10に送信する。そして、情報処理装置10において受け付けた識別情報を用いてユーザの認証がされて、ファイルへのアクセスが許可されたユーザと判定された場合に、ファイルの保護を解除するための解除情報が情報処理装置10から送信される。
【0028】
解除情報取得部18は、情報処理装置10から取得した解除情報(パスワードや暗号化されたファイルの復号鍵)を取得する。受信者端末12は、解除情報によりファイルの保護を解除してファイルへのアクセスが可能となる。解除情報取得部18で解除情報が取得できない場合には、ファイルの保護を解除することができないためファイルにアクセスすることはできない。
【0029】
実施形態に係る情報処理装置10は、送信者端末11からアクセス権限情報を取得して、受信者端末12から送信されたユーザの識別情報に基づいてユーザの認証を行いアクセス制御する管理サーバであって、ユーザによるファイルへのアクセス権限情報の設定を、予め設定された不正条件と照合して、不正と判定された場合に管理者端末20に通知するものである。
【0030】
実施形態に係る情報処理装置10の具体的な構成について説明する。
情報処理装置10は、アクセス権限取得部14、不正条件保存部15、アクセス制御部16、通知部17、を備えている。
【0031】
なお、情報処理装置10を構成する各ユニットの機能は、所定のプログラムコードを、プロセッサを用いて実行することによって実現しても良く、このようなソフトウェア処理に限らず、例えば、ASIC等を用いたハードウェア処理で実現してもよいし、ソフトウェア処理とハードウェア処理とを組み合わせて実現してもよい。
【0032】
アクセス権限取得部14は、送信者端末11において保護されたファイルに対応する、アクセス許可者の情報(アクセス権限が付与されたユーザの電子メールアドレス)を含むアクセス権限情報を送信者端末11から取得する。アクセス権限取得部14は、ファイルのそれぞれを識別する識別情報に対応づけてアクセス権限情報を保存する。また、送信者端末11から受信したファイルの保護を解除するための解除情報が、ファイルに対応付けて保存される。
【0033】
また、アクセス権限取得部14は、アクセス権限情報を設定する送信者端末11の識別情報を取得する。送信者端末11によりアクセス権限情報が設定変更された際には、変更後のアクセス権限情報を保存する。
【0034】
不正条件保存部15は、ファイルに対する不適切なアクセス条件を不正条件として予め保存している。不適切なアクセス条件とは、通常のファイルアクセス操作時には想定されない、意図的に組織外部でのファイル利用を目的とするアクセス条件を意味する。
【0035】
不正条件として、送信者端末11から送信されてアクセス権限取得部14で保存されるアクセス権限情報の設定について、不適切なものが条件として設定され、例えば個人用の電子メールで利用されるプライベートドメインを含むメールアドレスをアクセス許可者に設定するなどが例示される。また、不正条件として、送信者端末11または受信者端末12においてファイルへのアクセス状態について、不適切なものが条件として設定され、例えばアクセスが想定される位置範囲外からのファイルアクセスなどが例示される。なお、不正条件としては、複数の条件を設定することが可能である。
【0036】
図3は、不正条件保存部15に登録される不正条件の一例を示す図である。
図3では、4つの不正条件が設定されており、個人用の電子メールで利用されるプライベートドメインを含むメールアドレスをアクセス許可者に追加した場合、特定のフォルダX内のファイルについて外部ドメイン有するメールアドレスをアクセス許可者に追加した場合が設定されている。
【0037】
さらに、就業時間として想定される9:00~24:00以外における端末のファイルアクセスを不正なアクセスとして不正条件に設定している。さらに、アクセスした端末の位置情報が所定の範囲外(例えば勤務地の敷地外)にある場合を不正条件に設定している。この場合には、いずれか1つの条件に合致する場合には、不正なアクセス状態として判定される。
【0038】
アクセス制御部16は、受信者端末12がファイルにアクセスする際に、ユーザを識別するユーザ識別情報を受信者端末12から受け付けて、取得したアクセス許可者の情報と照合してユーザの認証を行う。ユーザを識別するユーザ識別情報には、受信者端末12に対応するユーザのメールアドレスが含まれている。アクセス制御部16は、受信者端末12がファイルアクセスする際のアクセス時間、端末の位置情報などを取得してもよい。
【0039】
アクセス制御部16は、取得した受信者端末12に対応するユーザのメールアドレスが、ファイルに対応付けられて保存されているアクセス権限情報内のアクセス許可者に含まれているか否かを判定して、当該受信者端末12ユーザがファイルへの正当なアクセス権限を有するか否かを判定して、ファイルの保護を解除してアクセスを許可する解除情報を受信者端末12に送信するか否かを判定する。
【0040】
具体的には、受信者端末12に対応するユーザのメールアドレスが、アクセス権限情報に設定されているアクセス許可者のメールアドレスに含まれている場合には、受信者端末12のユーザを正当なアクセス権限者として認証する。アクセス許可者のメールアドレスに含まれていない場合には、認証は不整合となる。なお、ユーザ認証は、ワンタイムパスワード認証、SAML認証、AD認証、これらを組み合わせてユーザ認証を行ってもよい。加えて、受信者端末12に対応するユーザが保有する電話やスマホ等の携帯機器の電話番号、当該携帯機器のそれぞれを識別するための識別番号、あるいは、ファイルを受信する受信者端末12内で動作する認証用のアプリケーション情報を用いてユーザ認証を行ってもよい。
【0041】
アクセス制御部16は、認証が整合する場合には、ファイルのアクセス許可を認めて、受信者端末12にファイルに対応する解除情報を送信する。一方で、認証が整合しない場合には、ファイルのアクセス許可を認めず、解除情報は送信しない。
【0042】
通知部17は、アクセス権限情報が設定された際、またはファイルが端末によりアクセスされたときに、不正条件に基づいて不正なアクセスか否かを判定し、不正と判定する場合には管理者端末20にその旨を通知する。
【0043】
具体的には、通知部17は、送信者端末11においてアクセス権限情報が設定(または変更)されたときに、不正条件保存部15において保存された不正条件と照合して、不正条件に合致する場合には不正なアクセスと判定する。不正と判定された場合には、管理者端末20にその旨を通知する。
【0044】
このときに、通知部17は、対象ファイル名、当該送信者端末11の端末情報(メールアドレス、IPアドレス、位置情報など)やアクセス時間などを管理者端末20に通知する。加えて、通知部17は、送信者端末11においてアクセス権限情報による設定を不許可にする。管理者端末20では、不許可の設定にかかる送信者端末11の端末情報などの情報が表示されて管理者が確認可能となる。この場合、さらに通知部17は、不適切なアクセス権限の変更を管理者端末20に通知した後に、その変更情報を確認した管理者端末20から、設定を許可する承諾通知を受け付けた際に、アクセス権限情報の設定変更を許可してもよい。
【0045】
これにより、不適切なアクセス権限の変更は即時に管理者端末20において検知されて、アクセス権限情報の設定は防止される。さらに、不適切なアクセスにかかる端末を特定することができる。
【0046】
また、通知部17は、送信者端末11または受信者端末12がファイルにアクセスしたときに、不正条件保存部15において保存された不正条件と照合して、不正条件に合致する場合には不正なアクセスと判定する。また、不正と判定された場合には、管理者端末20にその旨を通知する。このときに、通知部17は、当該送信者端末11または受信者端末12の端末情報(メールアドレス、IPアドレス、位置情報など)を管理者端末20に通知する。このとき、当該送信者端末11または受信者端末12によるファイルへのアクセスを不許可にする。
【0047】
また、通知部17は、不適切なアクセスを管理者端末20に通知した後に、管理者端末20から、アクセスを許可する承諾通知を受け付けた際に、受信者端末12のアクセスを許可してもよい。
【0048】
これにより、不適切なアクセスは即時に管理者端末20において検知されて、不適切なアクセスが防止される。加えて、不適切なアクセスかかる端末を特定することができる。
【0049】
本実施形態に係る情報処理装置10の動作について説明する。
図4は、本実施形態に係る情報処理方法において、不正なアクセスを検知する際のフローの一例を示す図である(適宜、図1参照)。
【0050】
不正条件保存部15は、不正条件保存部15は、ファイルに対する不適切なアクセス条件を不正条件として予め設定する(S10)。
【0051】
アクセス権限取得部14は、送信者端末11において保護されたファイルに対応する、アクセス許可者の情報を含むアクセス権限情報を送信者端末11から取得する(S11)。
【0052】
通知部17は、アクセス権限情報が設定された際に、アクセス権限情報の当該設定を不正条件と照合して、不正条件に合致する場合には不正と判定して管理者端末20に通知する(S12:YES、S13)。
【0053】
そして、通知部17は、送信者端末11においてアクセス権限情報による設定を不許可にする(S14)。
【0054】
一方で、通知部17は、アクセス権限情報の設定が、不正条件に合致しない場合にはアクセス権限の設定を許可する(S15)。
【0055】
このように、本実施形態に係る情報処理装置10によれば、保護されたファイルへのアクセス権限情報の変更を、予め設定された不正条件と照合して、照合結果に基づいて管理者端末20に通知することにより、保護されたファイルへの不正なアクセスを即時に検知できる。
【0056】
なお、情報処理装置10で実行されるプログラムは、ROM等の記憶回路に予め組み込んで提供される。もしくは、このプログラムは、インストール可能な形式または実行可能な形式のファイルでCD-ROM、CD-R、メモリカード、DVD、フレキシブルディスク等のコンピュータで読み取り可能な記憶媒体に記憶されて提供するようにしてもよい。また、情報処理装置10で実行されるプログラムは、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせて提供するようにしてもよい。
【0057】
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
【符号の説明】
【0058】
10…情報処理装置(管理サーバ)、11…送信者端末、12…受信者端末、13…アクセス権限設定部、14…アクセス権限取得部、15…不正条件保存部、16…アクセス制御部、17…通知部、18…解除情報取得部、19…識別情報送信部、20…管理者端末、100…アクセス制御システム。
図1
図2
図3
図4
Copyright © 2010-2024 Science Impact Inc. All Rights Reserved.