▶ アクセンチュア グローバル ソリューションズ リミテッドの特許一覧
特許7219325対象システムおよびアプリケーションに対するアクセス権を制御するシステム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-01-30
(45)【発行日】2023-02-07
(54)【発明の名称】対象システムおよびアプリケーションに対するアクセス権を制御するシステム
(51)【国際特許分類】
G06F 21/62 20130101AFI20230131BHJP
【FI】
G06F21/62 318
【請求項の数】
17
(21)【出願番号】P 2021194612
(22)【出願日】2021-11-30
(62)【分割の表示】P 2019027807の分割
【原出願日】2019-02-19
(65)【公開番号】P2022028899
(43)【公開日】2022-02-16
【審査請求日】2021-11-30
(31)【優先権主張番号】15/900,475
(32)【優先日】2018-02-20
(33)【優先権主張国・地域又は機関】US
(31)【優先権主張番号】16/016,154
(32)【優先日】2018-06-22
(33)【優先権主張国・地域又は機関】US
(73)【特許権者】
【識別番号】516172237
【氏名又は名称】アクセンチュア グローバル ソリューションズ リミテッド
(74)【代理人】
【識別番号】100102406
【弁理士】
【氏名又は名称】黒田 健二
(74)【代理人】
【識別番号】100100240
【弁理士】
【氏名又は名称】松本 孝
(72)【発明者】
【氏名】テクストン,レクサル イー.
(72)【発明者】
【氏名】タンドン,ガウラヴ
(72)【発明者】
【氏名】シュクラ,サンジーヴ
(72)【発明者】
【氏名】マッコイ,アンソニー
(72)【発明者】
【氏名】マディヤンサラジ,シダス
(72)【発明者】
【氏名】プール,アンドリュー
(72)【発明者】
【氏名】クラドック,ハンナ
(72)【発明者】
【氏名】エイン,クルラット ウル
(72)【発明者】
【氏名】コノリー,コリーン
(72)【発明者】
【氏名】カミアブ,ファルボッド
【審査官】岸野 徹
(56)【参考文献】
【文献】米国特許出願公開第2015/0135305(US,A1)
【文献】米国特許出願公開第2017/0093871(US,A1)
【文献】特開2012-073812(JP,A)
【文献】特開2016-051460(JP,A)
【文献】特開平10-049443(JP,A)
【文献】特開2003-216497(JP,A)
【文献】特開2006-073003(JP,A)
【文献】特開2004-054732(JP,A)
【文献】特開2003-162612(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/62
(57)【特許請求の範囲】
【請求項1】
1つ以上の対象システムおよび/またはアプリケーションに対するアクセス権を制御するシステムであって、前記システムは、対象個人による1つ以上の対象システムおよび/またはアプリケーションに対するアクセスを促進するために1つ以上の対象システムに命令を伝達するように構成された入出力(IO)サブシステムと、
複数の個人に関連する1つ以上の特徴を定義するプロファイルデータと当該個人の1つ以上の資格とを関連付けるモデルを含むストレージデバイスであって、各資格は、対象システム/アプリケーションのアクセス権を示し、前記モデルは、複数の確率を含み、前記確率はそれぞれ、前記複数の個人のうち、前記1つ以上の特徴のうちの特定の特徴を有する個人が、前記1つ以上の資格のうちの特定の資格を有する確率を示す、前記ストレージデバイスと、
前記IOサブシステムおよび前記ストレージデバイスと通信しているプロセッサと、
命令コードを格納し前記プロセッサと通信している非一時的コンピュータ可読媒体と、
を含み、前記命令コードは、前記プロセッサにより実行されると前記プロセッサに、
対象個人に関連し、且つ前記対象個人に関連する特徴を定義するプロファイルデータを受信するように前記IOサブシステムを制御することと、
前記プロファイルデータおよび前記モデルに基づいて、資格を前記対象個人に関連付けるリスティングを生成することであって、前記リスティングの生成は、前記プロファイルデータ内の前記対象個人に関連する前記特徴と、付与された資格を有する前記プロファイルデータ内の他の個人の特徴との対比を含む、前記リスティングを生成することと、
前記資格と種々の特徴の組み合わせとの関連性の信頼値を生成することであって、前記信頼値は、前記資格と種々の特徴の組み合わせとの関連性の正確さを示す、前記信頼値を生成することと、
前記モデルの確率のうち、前記対象個人に関連する前記特徴に関連するサブセットを、前記信頼値に従って選択することであって、前記選択された確率のサブセットは、前記対象個人に関連する前記特徴の組み合わせに関連する確率を含む、前記選択することと、
前記確率のサブセットから、前記確率のサブセットにそれ自体関連している資格それぞれに関連する最大の確率を判断することと、
最上位N個の最大確率に関連する資格を、前記対象個人に付与される資格として選択することと、
前記最上位N個の最大確率に関連する前記選択された資格それぞれについて、前記選択された資格に関連する対象システムに対するアクセスを前記対象個人に許可するよう、対象システムに命令を伝達するように前記IOサブシステムを制御することと、
をさせる、システム。
【請求項2】
前記非一時的コンピュータ可読媒体に格納されたさらなる命令コードを含み、前記命令コードは、前記プロセッサにより実行されると前記プロセッサに、前記対象システムの1つ以上から使用情報を受信することであって、前記使用情報は、個人がどの程度頻繁に各対象システムを利用するかを示す、前記受信することと、
特定の対象システムから受信された特定の個人に関連する前記使用情報が、所定の閾値未満の使用を示すことに応答して、
前記特定の対象システムに関連する対応する資格を前記特定の個人から取り消すよう、前記特定の対象システムに命令を伝達することと、
前記特定の個人が前記対応する資格をもはや有しないことを反映するために前記モデルを更新することと、
をさせる、請求項1に記載のシステム。
【請求項3】
前記プロファイルデータ内の前記対象個人に関連する特徴と、付与された資格を有する前記プロファイルデータ内の他の個人の特徴との対比は、前記プロファイルデータに基づいて、前記モデルから、前記複数の個人の1つ以上の特徴それぞれのノードを含むモデル化された決定樹グラフを生成することと、前記モデル化された決定樹グラフから、前記対象個人の特徴に基づいて前記対象個人に付与される資格を判断することとを含む、請求項1に記載のシステム。
【請求項4】
前記プロファイルデータ内の前記対象個人に関連する特徴と、付与された資格を有する前記プロファイルデータ内の他の個人の特徴との対比は、前記対象個人が属する前記複数の個人のクラスをK近傍アルゴリズムに従って判断することと、前記クラスの前記複数の個人に関連する資格を判断することと、各資格について、前記クラスの前記複数の個人のうち、前記資格を有するメンバーの数を判断することと、所定の閾値を上回るメンバーの数、N、に関連する資格を、前記対象個人に付与される資格として選択することとを含む、請求項1に記載のシステム。
【請求項5】
前記プロセッサに前記信頼値を生成することをさせる命令コードは、前記プロセッサに、前記複数の個人の種々のサブセットに基づく複数の分類子を生成することと、
各分類子について、前記対象個人に付与される可能性がある各資格に関する信頼値を生成することと、
各分類子から、可能性がある各資格の前記信頼値を集約することであって、前記集約された信頼値が所定の閾値を上回ることは、対応する資格が前記対象個人に付与されるべきか否かを示す、前記集約することと、
をさせる命令コードを含む、請求項1に記載のシステム。
【請求項6】
前記プロセッサに前記信頼値を生成することをさせる命令コードは、前記プロセッサに、特定の資格それぞれと一緒に発生する前記対象個人の特徴の複数の組み合わせそれぞれについて、前記信頼値を計算させる命令コードを含む、請求項1に記載のシステム。
【請求項7】
1つ以上の対象システムに対するアクセス権を制御する方法であって、前記方法は、デバイスにより、複数の個人に関連する1つ以上の特徴を定義するプロファイルデータおよび当該個人に付与された1つ以上の資格を受信するステップであって、各資格は、対象システムのアクセス権を示す、前記受信するステップと、
前記デバイスにより、前記複数の個人の前記1つ以上の特徴と前記1つ以上の資格とを関連付けるモデルを生成するステップであって、前記モデルは、複数の確率を含み、前記確率はそれぞれ、前記複数の個人のうち、前記1つ以上の特徴のうちの特定の特徴を有する個人が、前記1つ以上の資格のうちの特定の資格を有する確率を示す、前記モデルを生成するステップと、
前記デバイスにより、対象個人に関連する1つ以上の特徴を定義するプロファイルデータを受信するステップと、
前記デバイスにより、前記プロファイルデータおよび前記モデルに基づいて、前記対象個人に関連する1つ以上の資格を含むリスティングを生成するステップであって、前記リスティングを生成するステップは、
前記デバイスにより、前記プロファイルデータ内の前記対象個人の前記1つ以上の特徴と、1つ以上の付与された資格を有する他の個人のプロファイルデータとを対比するステップと、
前記デバイスにより、前記1つ以上の資格と前記対象個人との関連性の信頼値を生成するステップであって、前記信頼値の少なくともいくつかは、前記資格と前記対象個人の特徴の組み合わせとの関連性の正確さを示す、前記信頼値を生成するステップとを含む、前記リスティングを生成するステップと、
前記デバイスにより、前記モデルの確率のうち、前記対象個人に関連する前記1つ以上の特徴に関連するサブセットを、前記信頼値に従って選択するステップであって、前記選択された確率のサブセットは、前記対象個人に関連する前記1つ以上の特徴の組み合わせに関連する確率を含む、前記選択するステップと、
前記デバイスにより、前記確率のサブセットから、前記確率のサブセットにそれ自体関連している資格それぞれに関連する最大の確率を判断するステップと、
前記デバイスにより、最上位N個の最大確率に関連する資格を、前記対象個人に付与される資格として選択するステップと、
前記デバイスにより、前記最上位N個の最大確率に関連する資格それぞれについて、前記最上位N個の最大確率に関連する資格に関連する対象システムに対する前記対象個人のアクセスを許可するよう、前記対象システムに命令を伝達するステップと、
を含む方法。
【請求項8】
前記デバイスにより、前記複数の個人の種々のサブセットに基づく複数の分類子を生成するステップと、前記デバイスにより、各分類子について、前記対象個人に付与される可能性がある各資格に関する信頼値を生成するステップと、
前記デバイスにより、各分類子から、可能性がある各資格の前記信頼値を集約するステップと、
前記デバイスにより、所定の閾値を上回る集約された信頼値を有する資格を、前記対象個人に付与される資格として選択するステップと、
をさらに含む、請求項7に記載の方法。
【請求項9】
前記デバイスにより、前記対象個人に関連する前記1つ以上の資格および前記1つ以上の資格に関連する信頼値の前記リスティングを含むレポートを生成するステップをさらに含む、請求項7に記載の方法。
【請求項10】
前記デバイスにより、前記対象システムの1つ以上から使用情報を受信するステップであって、前記使用情報は、個人がどの程度頻繁に各対象システムを利用するかを示す、前記受信するステップと、特定の対象システムから受信された特定の個人に関連する前記使用情報が、所定の閾値未満の使用を示す場合、
前記デバイスにより、前記対象システムに関連する対応する資格を前記特定の個人から取り消すよう、前記対象システムに命令を伝達するステップと、
前記デバイスにより、前記特定の個人が前記対応する資格をもはや有しないことを反映するために前記モデルを更新するステップと、
をさらに含む、請求項7に記載の方法。
【請求項11】
前記プロファイルデータ内の前記対象個人に関連する1つ以上の特徴と、1つ以上の付与された資格を有する他の個人のプロファイルデータとを対比するステップは、前記デバイスにより、前記プロファイルデータに基づいて、前記モデルから、前記複数の個人の1つ以上の特徴それぞれのノードを含むモデル化された決定樹グラフを生成するステップと、前記デバイスにより、前記モデル化された決定樹グラフから、前記対象個人の特徴に基づいて前記対象個人に付与される1つ以上の資格を判断するステップとを含む、請求項7に記載の方法。
【請求項12】
前記プロファイルデータ内の前記対象個人に関連する1つ以上の特徴と、1つ以上の付与された資格を有する他の個人のプロファイルデータとを対比するステップは、前記デバイスにより、前記対象個人が属する前記複数の個人のクラスをK近傍アルゴリズムに従って判断するステップと、前記クラスの前記複数の個人に関連する1つ以上の資格を判断するステップと、前記デバイスにより、前記1つ以上の資格の中の各資格について、前記クラスの前記複数の個人のうち、前記資格を有するメンバーの数を判断するステップと、前記デバイスにより、所定の閾値を上回るメンバーの数、N、に関連する資格を、前記対象個人に付与される資格として選択するステップとを含む、請求項7に記載の方法。
【請求項13】
1つ以上の対象システムに対するアクセス権を制御するための命令コードを格納する非一時的コンピュータ可読媒体であって、前記命令コードは、機械に動作を実行させるために前記機械により実行可能であり、前記動作は、複数の個人に関連する1つ以上の特徴を定義するプロファイルデータを当該個人の1つ以上の資格とともに受信することであって、各資格は、対象システムのアクセス権を示す、前記受信することと、
前記複数の個人の前記1つ以上の特徴と前記1つ以上の資格とを関連付けるモデルを生成することであって、前記モデルは、複数の確率を含み、前記確率はそれぞれ、前記複数の個人のうち、前記1つ以上の特徴のうちの特定の特徴を有する個人が、前記1つ以上の資格のうちの特定の資格を有する確率を示す、前記モデルを生成することと、
対象個人に関連する1つ以上の特徴を定義するプロファイルデータを受信することと、
前記プロファイルデータおよび前記モデルに基づいて、前記対象個人に関連する1つ以上の資格および前記1つ以上の資格に関連する信頼値を含むリスティングを生成することであって、各信頼値は、対応する資格が前記対象個人に付与されるべきかどうかを示し、前記リスティングの生成は、前記機械に、
前記モデルの確率のうち、前記対象個人に関連する前記1つ以上の特徴に関連するサブセットを選択することであって、前記モデルの複数の確率は、前記複数の個人のうち、前記1つ以上の特徴のうちの特定の特徴の組み合わせを有する個人が、前記1つ以上の資格のうちの特定の資格を有する確率を示し、前記選択された確率のサブセットは、前記対象個人に関連する1つ以上の特徴の組み合わせに関連付けられた確率を含む、前記サブセットを選択することと、
前記確率のサブセットから、前記確率のサブセットにそれ自体関連している資格それぞれに関連する最大の確率を判断することと、
最上位N個の最大確率に関連する資格を、前記対象個人に付与される資格として選択することと、
の動作をさせる、前記リスティングを生成することと、
前記最上位N個の最大確率に関連する選択された資格それぞれについて、前記選択された資格に関連する対象システムに対する前記対象個人のアクセスを許可するよう、前記対象システムに命令を伝達することと、
を含む、非一時的コンピュータ可読媒体。
【請求項14】
前記機械により実行可能なさらなる命令コードを含み、前記命令コードは前記機械に、前記対象システムの1つ以上から使用情報を受信することであって、前記使用情報は、個人がどの程度頻繁に各対象システムを利用するかを示す、前記受信することと、
特定の対象システムから受信された特定の個人に関連する前記使用情報が、所定の閾値未満の使用を示す場合、
前記特定の対象システムに関連する対応する資格を前記特定の個人から取り消すよう、前記特定の対象システムに命令を伝達することと、
前記特定の個人が前記対応する資格をもはや有しないことを反映するために前記モデルを更新することと、
をさらに含む動作を実行させる、請求項13に記載の非一時的コンピュータ可読媒体。
【請求項15】
前記機械により実行可能なさらなる命令コードを含み、前記命令コードは前記機械に、前記プロファイルデータに基づいて、前記モデルから、前記複数の個人の1つ以上の特徴それぞれのノードを含むモデル化された決定樹グラフを生成することと、前記モデル化された決定樹グラフから、前記対象個人の特徴に基づいて前記対象個人に付与される1つ以上の資格を判断することとをさらに含む動作をさせる、請求項13に記載の非一時的コンピュータ可読媒体。
【請求項16】
前記機械により実行可能なさらなる命令コードを含み、前記命令コードは前記機械に、前記対象個人の業務役割データおよび他の従業員の資格データを含む前記プロファイルデータから、前記対象個人に付与される1つ以上の資格を判断する動作をさせる、請求項13に記載の非一時的コンピュータ可読媒体。
【請求項17】
前記機械により実行可能なさらなる命令コードを含み、前記命令コードは前記機械に、前記対象個人が属する前記複数の個人のクラスをK近傍アルゴリズムに従って判断することと、前記クラスの前記複数の個人に関連する1つ以上の資格を判断することと、前記1つ以上の資格の中の各資格について、前記クラスの前記複数の個人のうち、前記資格を有するメンバーの数を判断することと、所定の閾値を上回るメンバーの数、N、に関連する資格を、前記対象個人に付与される資格として選択することとをさらに含む動作をさせる、請求項13に記載の非一時的コンピュータ可読媒体。
【発明の詳細な説明】
【技術分野】
【0001】
本願は、全般的に、エンタープライズ内のコンピュータ管理に関する。特に、本願は、組織内の対象システムおよびアプリケーションに対するアクセス権を制御するシステムおよび方法について記載する。
【背景技術】
【0002】
企業は、典型的には、エンタープライズリソースプラニング(ERP:enterprise resources planning)システム、顧客関係管理(CRM:customer relationship management)システム、サプライチェーン管理(SCM:supply chain management)システムなどのシステムを利用して、マーケティングプロセス、販売プロセス、物流プロセスなど企業のコアビジネスプロセスの管理機能を統合する。これらシステムそれぞれに対するアクセス権は、典型的には、システム所有者(ITまたはビジネス)により制御され、個々のシステムの管理者により管理される。この場合、管理者はシステム所有者の代理として行動する。
【0003】
従業員または請負人(要求者)がこれらシステムのうちの1つに対するアクセス権を必要とするとき、従業員は、アクセス権を取得するために、システムに関連する無数の煩雑なハードル、要求方法、フォームおよびシステムリスト、アクセス資格、プロファイルならびに役割にうまく対応しなければならないこともある。例として、要求者はまず、何(例えばシステム、資格、役割またはプロファイル)を要求すべきか、何が必要となり得るかを知る必要があると思われ、次に、自分の指揮系統の中の様々な個人からの承認を要求しなければならないかもしれない。承認を受けると、要求者は、必要な承認を受けた証拠を、各管理者、システム所有者の代理などに提供しなければならないかもしれない。したがって、アクセス権の取得には時間がかかる可能性があり、重要な処理およびネットワーク帯域幅を停滞させることもある。
【0004】
アクセス権管理(すなわち作成、変更および削除)要求は、要求された結果を実現するために特定順序での実行が必要な一連のタスクを必要とする、バンドルされたタスクの複合アクションであることが多い。タスクのそうしたバンドルは、当該要求の要求者および承認者が、何が必要なのか、および何の承認が必要なのかを特定しやすくするためにも実行される。そうした要求をアンバンドルすること、および実行が必要なタスクを判断することは、人間である管理者と、基礎をなすシステムランドスケープまたはアクセス権管理システムのような中間システムについての管理者の知識とに委ねられる。そのような技術的な複雑性は、主として、以下に起因する。
・多層防御またはレイヤードセキュリティ。すなわち、重要システムがファイアウォール、VLAN、VPN、セキュアデスクトップアクセスのような、数々の制御デバイスおよび制御方式により保護されている。
・最小特権の原則。すなわち、システムに対するアクセス権は、タスクを実行するのに必要な場合にのみ提供されなければならない。
・極めて特権的なタスクおよび管理タスクに対するアクセス権を制限するための責任の分離。
・アクセス権管理の容易さ。例えばシステムまたはLDAPのような外部セキュリティメカニズムに対し類似した特権を必要とする個人のグループ化。
・ネットワーク設計(セキュリティゾーン)および物理的実装の考慮。
・ユーザ管理システムを通したアクセス権管理の集中化。
・外部認証システムの使用。
・多層防御またはレイヤードセキュリティ。すなわち、重要システムがファイアウォール、VLAN、VPN、セキュアデスクトップアクセスのような、数々の制御デバイスおよび制御方式により保護されている。
・最小特権の原則。すなわち、システムに対するアクセス権は、タスクを実行するのに必要な場合にのみ提供されなければならない。
・極めて特権的なタスクおよび管理タスクに対するアクセス権を制限するための責任の分離。
・アクセス権管理の容易さ。例えばシステムまたはLDAPのような外部セキュリティメカニズムに対し類似した特権を必要とする個人のグループ化。
・ネットワーク設計(セキュリティゾーン)および物理的実装の考慮。
・ユーザ管理システムを通したアクセス権管理の集中化。
・外部認証システムの使用。
【発明の概要】
【発明が解決しようとする課題】
【0005】
要求をグループ化および簡素化しようとする試みにもかかわらず、上述した要因は多くの場合、要求者および承認者が理解し記入する必要がある複雑なデータおよびフォームをもたらす。よって、要求者および承認者は、実際に必要とされるものよりも大きなアクセス権を個人について要求することもあるし、または個人とは関連性がない場合もある別の人物のアクセス特権に基づいてその個人のアクセス権を要求することもある。場合によっては、企業内での制御が限られた、またはまったくない、様々なシステムに対する全権アクセス権が要求されることもある。
【0006】
しかしながら、より大きな組織では、このような形でのアクセス権の付与は、これらシステムに関連するセキュリティ上の懸念を増大させ得る。さらに、全従業員によるアクセスに対応するために、追加の処理能力、ネットワークリソース、ストレージなどが必要になる。これは、そのようなアクセス権が実際には必要ない場合に、企業のリソースの非効率な使用につながり得る。
【課題を解決するための手段】
【0007】
第1の側面において、複数の対象システムおよび/またはアプリケーションのうちの1つ以上に対するアクセス権を制御するシステムは、入出力(IO:input/output)サブシステム、ストレージデバイス、プロセッサ、およびプロセッサと通信している非一時的コンピュータ可読媒体を含む。IOサブシステムは、人事(HR:human resources)システムまたは請負人管理システムまたはユーザ管理システムから対象個人に関連する1つ以上の特徴を定義するプロファイルデータを受信して、1つ以上の対象システム/アプリケーションに対する対象個人のアクセスを促進するための命令を伝達するように構成される。ストレージデバイスは、複数の個人に関連する1つ以上の特徴を定義するプロファイルデータと、当該個人の1つ以上の資格とを関連付けるモデルを含む。各資格は、対象システム/アプリケーションのアクセス権を示す。プロセッサは、IOサブシステム、ストレージデバイス、および非一時的コンピュータ可読媒体と通信している。非一時的コンピュータ可読媒体は、プロセッサにより実行されるとプロセッサに、対象個人に関連するプロファイルデータを受信するようIOサブシステムを制御させる、命令コードを格納する。プロセッサは、プロファイルデータおよびモデルに基づいて、対象個人に関連する1つ以上の資格、および1つ以上の資格に関連する信頼値を含むリスティングを生成する。各信頼値は、対応する資格が対象個人に付与されるべきかどうかを示す。所定の閾値よりも高い対応する信頼値を有する資格それぞれについて、プロセッサは、対象個人に対しアクセスを許可するよう、中間システム(ユーザプロビジョニングシステムまたは手動プロビジョニングのためのチケットキュー)に、または資格に関連する対象システム/アプリケーションに直接、命令を伝達するようにIOサブシステムを制御する。
【0008】
第2の側面において、複数の対象システム/アプリケーションのうちの1つ以上に対するアクセス権を制御する方法は、複数の個人に関連する1つ以上の特徴を定義するプロファイルデータを当該個人の1つ以上の資格とともに受信することを含む。各資格は、対象システム/アプリケーションのアクセス権を示す。本方法はさらに、1つ以上の特徴と複数の個人の1つ以上の資格とを関連付けるモデルを生成することを含む。対象個人に関連する1つ以上の特徴を定義するプロファイルデータは、人事(HR)システムまたは請負人管理システムまたはユーザ管理システムから受信される。対象個人に関連する1つ以上の資格、および1つ以上の資格に関連する信頼値を含むリスティングが、プロファイルデータおよびモデルに基づいて生成される。各信頼値は、対応する資格が対象個人に付与されるべきかどうかを示す。所定の閾値よりも高い対応する信頼値を有する資格それぞれについて、対象システムに対する対象個人によるアクセスを許可するよう、資格に関連する対象システム/アプリケーションに命令が伝達される。
【0009】
第3の側面において、複数の対象システム/アプリケーションのうちの1つ以上に対するアクセス権を制御するための命令コードを格納する非一時的コンピュータ可読媒体が提供される。命令コードは、複数の個人に関連する1つ以上の特徴を定義するプロファイルデータを当該個人の1つ以上の資格とともに受信することを含む動作を機械に実行させるために機械によって実行可能であり、各資格は、対象システム/アプリケーションのアクセス権を示す。1つ以上の特徴と複数の個人の1つ以上の資格とを関連付けるモデルが生成される。人事(HR)システムまたは請負人管理システムまたはユーザ管理システムからの、対象個人に関連する1つ以上の特徴を定義するプロファイルデータが受信される。プロセッサは、プロファイルデータおよびルールに基づいて、対象個人に関連する1つ以上の資格、および1つ以上の資格に関連する信頼値を含むリスティングを生成する。各信頼値は、対応する資格が対象個人に付与されるべきかどうかを示す。所定の閾値よりも高い対応する信頼値を有する資格それぞれについて、プロセッサは、対象個人に対しアクセスを許可するよう、中間システム(ユーザプロビジョニングシステムまたは手動プロビジョニングのためのチケットキュー)に、または資格に関連する対象システム/アプリケーションに直接、命令を伝達する。
【図面の簡単な説明】
【0010】
【図1】対象システムおよび/またはアプリケーションのグループに対するアクセス権の制御を促進するシステムを含む例示的なエンタープライズ環境を示す。
【図2】対象システムおよび/またはアプリケーションのグループに対するアクセス権を制御するために確率論的手法を実装する第1の例示的な動作を示す。
【図3】対象システムおよび/またはアプリケーションのグループに対するアクセス権を制御するためにルールベースの手法を実装する第2の例示的な動作を示す。
【図4A】特徴の組み合わせと資格とを関連付けた例示的なルールの生成を促進する情報の例示的な表を示す。
【図4B】特徴の組み合わせと資格とを関連付けた例示的なルールの生成を促進する情報の例示的な表を示す。
【図4C】特徴の組み合わせと資格とを関連付けた例示的なルールの生成を促進する情報の例示的な表を示す。
【図4D】特徴の組み合わせと資格とを関連付けた例示的なルールの生成を促進する情報の例示的な表を示す。
【図4E】特徴の組み合わせと資格とを関連付けた例示的なルールの生成を促進する情報の例示的な表を示す。
【図4F】特徴の組み合わせと資格とを関連付けた例示的なルールの生成を促進する情報の例示的な表を示す。
【図4G】特徴の組み合わせと資格とを関連付けた例示的なルールの生成を促進する情報の例示的な表を示す。
【図4H】特徴の組み合わせと資格とを関連付けた例示的なルールの生成を促進する情報の例示的な表を示す。
【図5】決定樹に対応する例示的な予測モデルの一部を示す。
【図6】K近傍アルゴリズムにより予測モデルを生成する動作を示す。
【図7】使用基準に基づく1人以上の個人の資格の自動取り消しのための動作を示す。
【図8】図面または以下の各段落に記載されるシステムの一部を構成しまたはそれを実装し得る、例示的なコンピュータシステムを示す。
【発明を実施するための形態】
【0011】
後述する実施形態は、対象個人/従業員により必要とされる資格を自動的に判断するシステムを提供することにより、背景に記載された問題を克服する。本願明細書で使用されるとき、資格および特権という用語は、特定の対象システムおよび/または対象システム上で動作しているアプリケーションに対する個人によるアクセス権を指す。対象システムおよび/またはアプリケーションに対する資格を有する個人には、対象システムおよび/またはアプリケーションに対するアクセス権が付与される。
【0012】
概して、システムは、種々の資格に関連する特徴の組み合わせを信頼値にマッピングする、種々の資格についてのルールのセットを生成する。特徴は、開始日、肩書、上司の氏名、グループIDなど、エンタープライズの個人に関連する種々の属性に対応する。対象個人がエンタープライズに参加すると、システムは、対象個人に対して付与する可能性がある資格を判断するために対象個人に対してルールを適用する。一部の実装において、システムは、アクセス権を付与するよう、資格に関連する対象システムおよび/またはアプリケーションに命令を自動的に伝達してもよい。さらに、または代わりに、システムは、適切な人員による検討のために資格推奨を生成してもよく、これは次に、承認または拒否されてもよい。
【0013】
システムはさらに、これらの対象システムに対する資格を持つ個人が実際にこれらの対象システムに対するアクセス権を必要とするかどうかを判断するために、対象システム/アプリケーションに使用情報を定期的に要求してもよい。アクセス権を必要としないとみなされた個人の資格は取り消されてもよい。より大きなエンタープライズでは、これにより、エンタープライズの対象システムに対する資格を有する個人の数が大幅に削減され得る。これは結果として、対象システムにより必要とされるプロセッサ、ネットワークリソース、ストレージなどの数の削減を促進する。
【0014】
このシステムは、反復して、またはリアルタイムでフィードから学習し続ける。システムは、このデータを使用して、支援を受けない形でまたは場合によっては人間との最小限の相互作用の支援によりモデルを更新して、資格に関するその予測および信頼度を自動的に適宜調整する。
【0015】
図1は、複数の対象システムに対するアクセス権の制御を促進する様々なシステム/デバイスを含む例示的なエンタープライズ環境100を示す。環境100の例示的なシステム/デバイスは、アクセス権制御システム(ACS:access control system)102、人事(HR)システム104および対象システムのグループ106を含む。ACS102、HRシステム104および対象システム106は、インターネットなどのネットワーク107を介して互いに通信してもよい。
【0016】
HRシステム104および対象システム106は、Intel(登録商標)、AMD(登録商標)、もしくはPowerPC(登録商標)ベースのコンピュータシステムまたは別のコンピュータシステムなどのコンピュータシステムに対応してもよく、特定用途向けのコンピュータシステムを含むことができる。コンピュータシステムは、Microsoft Windows(登録商標)、Linux、Unix(登録商標)またはその他オペレーティングシステムなどのオペレーティングシステムを含んでもよい。
【0017】
HRシステム104は、エンタープライズ100に関連する人事の管理者などのエンタープライズ100に関連するユーザ/個人により運用されてもよい。HRシステム104は、プロファイルデータなどの、対象個人に関連する情報の特定を促進してもよい。例示的なプロファイルデータは、雇用開始日、肩書、階級レベル、マネージャの氏名、グループ、経験年数などのエンタープライズ特有の情報とともに、人物情報(例えば氏名、住所)を含んでもよい。
【0018】
HRシステム/s104は、対象個人に関連する情報を、エンタープライズ100の任意数の従業員に関連するプロファイル情報を含むデータベースリポジトリに格納してもよい。この関連で、HRシステム/s104は、データベースリポジトリに格納されたプロファイル情報を、ACS102のAPI1つ以上を介してACS102に伝達するのを促進するように構成されてもよい。例として、HRシステム/s104は、ウェブサーバAPI、SOAPベースのウェブサービス、RESTful API、および/または別のタイプのAPIなどのAPIを介してACS102と通信するように構成されてもよい。
【0019】
対象システム106は、特定のタスクを実行するように構成されエンタープライズ中に位置する様々なコンピュータに対応する。例として、第1の対象システム106はエンタープライズリソースプラニング(ERP)システムに対応してもよく、第2の対象システム106は顧客関係管理(CRM)システムに対応してもよく、第3の対象システム106はサプライチェーン管理(SCM)システムに対応してもよい。各対象システム106は、権限のないアクセスを防止するために一種のアクセス権制御を実装してもよい。さらに、各対象システム106は様々なアプリケーションをホストしてもよく、各アプリケーションは権限のないアクセスを防止するためにその独自の形態のアクセス権制御を有してもよい。本願明細書で使用される、システムおよび/またはシステム上で動作しているアプリケーションに対するアクセス権は、資格または特権と呼ばれる。
【0020】
各対象システム106はさらに、ACS102のAPI1つ以上を介して資格関係情報を伝達しそれを受信するように構成される。例として各対象システム106は、ウェブサーバAPI、SOAPベースのウェブサービス、RESTful API、および/または別のタイプのAPIなどのAPIを介してACS102と通信するように構成されてもよい。資格関係情報は、対象システム106および/または対象システム106上で動作する特定のアプリケーションに対するアクセス権を付与せよとの、ACS102からの命令に対応してもよい。資格関係情報は、対象システム106および/または対象システム106上で動作するアプリケーションに対する資格を備えた個人のリスティングを提供し対象システム106からACS102に伝達される情報に対応してもよい。
【0021】
さらに、対象システム106から伝達される情報は、どの程度頻繁に個人が対象システム106および/または対象システム106上で動作するアプリケーションを使用するかを示す使用情報を提供してもよい。例として使用情報は、個人が対象システム106を使用した最後の時、使用の頻度(例えば1ヶ月あたりの回数)などを示してもよい。この情報は、個人が実際に対象システム106にアクセスする必要があるかどうかの判断を促進する。
【0022】
ACS102は、プロセッサ125、入出力サブシステム110、モデルストレージ120、および命令コードストレージ127を含んでもよい。ACS102は、他のサブシステムを含んでもよい。さらに詳細に後述されるように、ACS102は、HRシステム104から受信されたプロファイルデータと、対象システム106から受信された資格情報とを関連付けるモデル120を生成してもよい。ACS102は、モデル120を使用して、新たな従業員などの対象個人の資格を予測する。
【0023】
ACS102のI/Oサブシステム110は、ACS102外のエンティティとの通信を促進するように構成される。この関連で、I/Oプロセッサ110は、判断された通信方式を使用してエンティティに情報を伝達するために、環境100のエンティティにより利用される通信方式を動的に判断するように構成されてもよい。例としてI/Oサブシステム110は、第1のエンティティがRESTful APIを利用していると判断してもよく、したがって、RESTful通信方式を使用してエンティティと通信してもよい。
【0024】
さらに詳細に後述されるように、I/Oサブシステム110は、エンタープライズのユーザがACS102と相互作用するために用いることができるウェブベースのインターフェース1つ以上の生成を促進するウェブブラウザを実装してもよい。ウェブブラウザは、コンピュータを介してウェブベースの機能性の一部を自動化するのを促進するウェブサービスインターフェースを実装してもよい。例として、環境100のエンティティのうちの1つ以上は、ACS102によって格納された情報に、ウェブサービスインターフェースを利用してアクセスしてもよい。
【0025】
プロセッサ125は、ACS102の様々なサブシステム間で実行されるアクティビティを調整するために、メモリデバイス127に格納された命令コードを実行する。本願明細書で参照されるACS102のサブシステムのいずれかのプロセッサ125は、Intel(登録商標)、AMD(登録商標)、またはPowerPC(登録商標)ベースのコンピュータシステムまたは別のコンピュータシステムなどのスタンドアロンコンピュータシステムに対応してもよく、特定用途向けのコンピュータシステムを含むことができる。コンピュータシステムは、Microsoft Windows(登録商標)、Linux、Unix(登録商標)またはその他オペレーティングシステムなどのオペレーティングシステムを含んでもよい。様々なサブシステム上で実行される動作が、迅速なスケーリング、コスト削減などを促進するために、より少数またはより多数のサブシステムへと組み合わされてもよいと考えられる。
【0026】
複数の対象システム106に対するアクセス権を制御する際にACS102のプロセッサ125により実行される例示的な動作が、下記に示される。この関連で、動作は、サブシステム内に存在する非一時的コンピュータ可読媒体127に格納され個々のサブシステムに図面に示され本願明細書で説明された動作を実行させるように構成された命令コードを介して実装されてもよい。
【0027】
図2は、複数の対象システム106に対するアクセス権を制御するために確率論的手法を実装する第1の例示的な動作を示す。
【0028】
動作200にて、IOサブシステム110は、エンタープライズの全部または多数の個人/従業員に関連するプロファイルデータをHRシステム104から、資格情報を対象システム106から、受信してもよい。
【0029】
動作205にて、プロセッサは、表1に示されるように、データセット全体の中で、特定の資格に対して特定のプロファイル特徴を有する人の割合を表すモデル120を生成してもよい。
【0030】
【表1】
【0031】
表1を参照する。各行は、特定の対象システム106または対象システム106上で動作しているアプリケーションに対するアクセス権などの特定の資格(すなわちE1、E2、E3など)に対応する。各列は、特徴(すなわちF1、F2、F3など)に関連する。例示的な特徴のリストが表2に提供される。
【0032】
【表2】
【0033】
各セル内の値は、特定の資格および特徴を有する従業員の比率に対応する。例として、P(E1|F1)は、資格E1および特徴F1を有する従業員の比率、E1/F1に対応する。
【0034】
動作210にて、対象個人に関連性のある比率のサブセットが判断される。例として、特徴F1およびF3を有する対象個人に関連する比率のサブセットが表3に示されている。
【0035】
【表3】
【0036】
動作215にて、サブセット内の各資格について、行の中の比率の最大値が得られ、これは以下の式により表現できる。
W(E)=MAX[P(E|Fi)]
W(E)=MAX[P(E|Fi)]
【0037】
式中、Eは資格に対応し、W(E)。例えば、P(E1|F1)が0.10でありP(E1|F3)が0.5である場合、最大比率Wは0.5に対応する。
【0038】
動作220にて、資格はそれらの対応する最大比率Wに基づいてソートされる。動作225にて、ソートされた資格の中の最初のN(例えば5)個の資格が、対象個人と関連性があると判断される。
【0039】
動作230にて、ACS102は、最初のN個の資格に関連する対象システム106および/または対象システム106上で動作しているアプリケーションに、対象個人に対しアクセス権を付与するよう命令してもよい。
【0040】
別の実装において、動作235にて資格および対応する比率Wのレポートが、オペレータによる検討のために推奨の形で生成されてもよい。例として、推奨の検討を促進するために、ウェブページがオペレータに伝達されてもよい。ウェブページは、オペレータが推奨を承認または拒否できるフィールドを有してもよい。
【0041】
動作240にて、オペレータは、決定とともにウェブページフォームをACS102に提出してもよい。その結果としてACS102は、承認された資格に関連する対象システム106および/または対象システム106上で動作するアプリケーションに、対象個人に対しアクセス権を付与するよう命令してもよい。
【0042】
動作245にて、モデル120は、対象個人に属すると考えられる資格を反映するように更新されてもよい。
【0043】
図3は、複数の対象システム106に対するアクセス権を個人に許可する、個人に与える資格の選択を促進するルールを生成する第2の例示的な動作を示す。第2の例示的な動作は、単独で、または確率モデル120を強化する手段として図2の確率論的手法に追加されるレイヤとして実行されてもよい。第2の例示的な動作では、資格ごとに1つの特徴の割合を求めるのではなく、単一の各資格に関連する複数の特徴の様々な組み合わせが識別される。図3の動作は、図4Aおよび図4Hを参照することでよりよく理解される。
【0044】
図3を参照する。動作300にて、特定の資格に関連するプロファイルデータが選択される。プロファイルデータにおいて表される従業員の数は、数千、数十万などである可能性があり、任意数の資格が従業員に付与されていてもよい。ただし、説明を簡単にするために、図4Aの従業員プロファイルデータ400の例示的な表に示されるように、従業員が10名のみで有効な資格がENT_Aの1つである企業を想定する。
【0045】
図4Aの表400によれば、従業員2~10は資格ENT_Aを有するのに対して、従業員1は有しない。さらに、表400によれば、3つのHRプロファイル記述語(すなわち特徴)、つまり部門、場所およびレベルがある。
【0046】
最初の問題として、説明を簡単にするために、データセットは、図4Bの表410に示されるように、モデル化される資格(例えばENT_A)を有する当該従業員のみを含むようにプルーニングされてもよい。プルーニングは、モデル化されるすべての資格に対して繰り返されてもよく、または採用される特定のアルゴリズム次第で、プルーニングが必須ではなく且つ同じ結果を生じる手法を促進してもよい。各資格が独立して訓練されてもよい。一度に1つだけの資格に基づく独立した訓練は、訓練中に何らかの技術的問題が生じた場合に有益である。なぜなら、技術的問題の発生段階までモデル化された資格は、無事に保存でき、訓練は中止されたところから再開できるからである。資格はさらに、バッチまたはグループで訓練されてもよく、同時に訓練されてもよい。例えば、訓練のこの側面は、資格のルールの発見とみなされてもよい。
【0047】
動作302にて、いわゆる頻出アイテムマイニングが、選択されたプロファイルデータの特徴に対して実行されてもよい。つまり、データセット内の、閾値(サポートとして知られる)を上回るすべてのHR特徴の頻度が計算されてもよく、図4Cの表420に示されるように、出現頻度に従って優先リストが作成されてもよい。次に、図4Dの表430に示されるように、各トランザクション、または従業員プロファイルが、この優先リストにより配列し直されてもよい。
【0048】
例示的な一実装において、頻出アイテムマイニングを実行するためにFP-growthアルゴリズムが利用されてもよい。FP-growthアルゴリズムが、Apache Spark(登録商標)などのACS102のデータ解析実行エンジンに実装されてもよく、このアルゴリズムは、各従業員トランザクションをイテレートすることにより図4Eに示される樹形図440を生成してもよい。この樹は、抽出可能な資格の図4Fの表440にリストされたルールすべてを含むモデルとみなされてもよい。この手法は、プロファイルプルーニングの必要性をなくして、従業員データセット全体(すなわち、問題になっている資格を有するものおよび有しないもの)に対して同時に実行されてもよい。
【0049】
動作305にて、種々の特徴組み合わせ/ルールについて信頼値が求められてもよい。動作300にて上述したように、従業員リストは、モデル化される資格を有する当該従業員のみに限定されてもよい。よって、図4Fの表450にリストされたルールは、モデル化された資格に特有であったものであり、資格を有しない従業員のプロファイルを考慮したものではなかった。したがって、得られたルールそれぞれに信頼度スコアが割り当てられるとすれば、信頼度スコアはちょうど100%となるであろう。つまり、発見された各ルールは、常に、モデル化された資格を有するという結果になる。しかし、これは真の信頼値、つまり、資格ありのルールの発生と、従業員ランドスケープ全体におけるルールの発生との比率を反映していない。したがって、図4Gの表460に示されるように、特定のルールが従業員ランドスケープ全体の中でどの程度頻繁に発生するかを判断することにより真の信頼度レベルが計算される。FPGrowthアルゴリズムが利用される場合、方法は1つのステップで樹全体を正確な信頼度スコアにより構築できるので、このステップは必須ではない。
【0050】
図4Gの表460によれば、ファイナンスにいてレベル8である従業員は全員、資格ENT_Aを有し、ベルリンを拠点とするファイナンスの従業員は全員、資格ENT_Aを有する。信頼度レベルは次のように計算できる:
信頼度=(HR特徴&資格の頻度)/(データセット全体の中のHR特徴の頻度)
信頼度=(HR特徴&資格の頻度)/(データセット全体の中のHR特徴の頻度)
【0051】
動作307にて、重複した特徴組み合わせ/ルールがルールセットから除去されてもよい。頻出アイテムセットすべてについて信頼度スコアが計算された後、ルールがより高いレベル(親)のルールにより包含されることが理由で重複しているアイテムが、或る割合あるかもしれない。例として、図4Fの表450によれば、従業員は、ファイナンスにいてレベル8である場合、100%の可能性でENT_Aを有する。したがって、従業員がファイナンスに属しレベル8である限り、余分な場所情報(例えば[ファイナンス,レベル8,ダブリン]および[ファイナンス,レベル8,ベルリン]および[ファイナンス,レベル8,ロンドン])は問題にならない。このシナリオでは、図4Hの表470の取り消し線を引かれた行によって示されるように、3つのルールは除去されてもよい。
【0052】
実際には、発見されるルールのうち約90%が、このように重複することが分かった。なお、ルールが除去されてもよいのは、親と子との信頼度スコアが極めて近い(例えばすべてが100%)場合のみであろう。[ファイナンス,レベル8]は、[ファイナンス]のみが存在するという事実によっては重複とされないことに注目されたい。この理由は、信頼度スコアに10%の差があり、したがって、この事例では追加情報が重要と考えられるからである。この点は、予測のためにも重要であろう。従業員に資格を割り当てる最上位レベルの理由を見つけることが重要であり、このステップはこの側面を促す。例えば、例として「生得権」資格など、組織内の全従業員が有する資格があったとすれば、その資格を個人に割り当てる関連性のある理由は、彼らが従業員であるという事実のみである。その資格について発見される可能性のある他のルールはすべて問題とされないであろう。
【0053】
同様に、25人のプロジェクトチームが資格を必要とする場合、重要なのは、彼らがそのプロジェクトに携わっているということだけのはずである。彼らがプロジェクトで行う、または有する具体的なタスク/機能は問題とされなくてもよい。一方、プロジェクトに携わっているIT従業員5名のみが資格を必要とするのであれば、従業員がプロジェクトに携わっていて且つITに属しているという事実が最上位レベルの理由である。前述の各事項は、問題になっているルールが同じ(または非常に近い)信頼度スコアを有する、つまり、子ルールの追加情報が、親について得られた信頼度スコアに影響を与えないことを想定している。
【0054】
上記の動作は、プロファイルデータにおいて識別される資格の全部またはサブセットに対して実行され得る。各資格について、図4Hの表470などのルール表が保存されてもよい。
【0055】
実行され得る後の動作は、動作220~230において上述したものに類似する。例として、動作310にて、資格が対応する最大信頼値に基づいてソートされてもよい。動作315にて、ソートされた資格の中の最初のN個の資格が、対象個人と関連性があると判断されてもよい。動作320にて、これらの資格は、対象個人に自動的に割り当てられてもよく、または動作325にて、動作時に承認または拒否されるべき推奨として対応する信頼値とともに検討者に提示されてもよい。動作330にてフィードバックが受信されてもよく、動作335にてモデル120が更新されてもよい。
【0056】
一部の事例では、データセット全体に対して動作を実行する前に、上記の動作により生成され得るルールの数を予測することが有用かもしれない。これは、システム実装中に分かると有益な、メモリ使用量および/またはシステムが必要とするであろうその他リソース要件の予測を促進する。一部の実装において、これは、訓練データセットを使用して動作を実行することにより達成されてもよい。訓練データセットが繰り返し処理されて、或る範囲の特徴に対する相対的に小さいが代表的な資格のサンプルに関連するルールが識別されてもよい。各資格および特徴パラメータの各選択に対していくつルールが生成されると予想されるかを予測しやすくするであろう関係の判断を促進するために、このデータセット中の各実行は十分であろう。
【0057】
さらに別の実装において、上記で生成されたルールは、例えばルールの信頼値が基礎をなすデータに適合するかどうかをテストすることにより、検証されてもよい。
【0058】
図5および図6は、複数の対象システム106に対するアクセス権の制御を促進するために生成され得る異なるタイプの予測モデル120を示す。例として、図5は、決定樹に対応する例示的な予測モデルの一部500を示し、各ノードは特徴に対応する。決定樹モデル500は、HRシステム104から受信された従業員プロファイルデータに基づいて訓練されたものであってもよい。この事例においてモデル500を訓練するために使用された例示的な予測モデル500の主要な特徴には、CapabilityDescr、CountryNm、CompanyDescrが含まれた。グラフに示されておらず訓練に使用される他の特徴には、CostCenterDescr、FacilityDescr、MetroCityDescr、ProfitCenterDescr、TalentSegmentDescr、time_since_joinedおよびその他多数の特徴が含まれ得る。
【0059】
訓練中、決定樹モデル500は、特権/資格に対応する結果の予測を促進するために必要なルールを学習してもよい。これらのルールは、各特徴でノードを分けて、可能な2つの経路から1つを選択することによって作成される。例として、「CapabilityDescr」が「ソフトウェアエンジニアリング」であり、「CountryNm」が「英国」であり、「CompanyDescr」が「アクセンチュア」であれば、決定樹モデル500の資格出力はE1となるであろう。
【0060】
図6は、K近傍アルゴリズムにより予測モデルを生成する例示的な動作を示す。ブロック600にて、対象個人がエンタープライズの全従業員を表す空間内にプロットされてもよい。
【0061】
ブロック605にて、特徴に基づく対象個人の最近傍が判断される。例として、対象個人のものに類似した特徴を有するエンタープライズの従業員を選択するために、K近傍アルゴリズムにおいてKが3、5または7にセットされてもよい。
【0062】
ブロック610にて、表4に示されるように、対象個人の最近傍の資格を表すクラスタ特権プロファイル(CPP:cluster privilege profile)が生成される。
【0063】
【表4】
【0064】
表4を参照する。各列は、対応する近傍従業員が有するかもしれない考えられる資格を表す。セル内の1の値は、従業員が対応する資格を有することを示し、0の値は、従業員が対応する資格を有しないことを示す。各資格に対する重みは、列内のセルの値の合計に対応し、各資格の信頼度は、重み/近傍数の比率に対応する。したがって、表4によれば、最高の信頼度を有する資格はE1に対応する。次に高いのはE2およびE3、のようになる。
【0065】
ブロック615にて、所定の閾値より高い信頼度(例えば>50%)を有する資格が、対象個人に関連性があると判断される。
【0066】
動作620にて、ACS102は、これらの資格に関連する対象システム106および/または対象システム106上で動作するアプリケーションに、対象個人に対しアクセス権を付与するよう命令してもよい。他の手法と同様に、推奨のリストが検討者に伝達されてもよく(動作625)、検討者はACS102によってされた推奨を承諾または拒否してもよい(動作630)。検討者により提供されたフィードバックに基づいてモデル120が更新されてもよい(動作635)。
【0067】
他の予測モデルが利用されてもよい。例として、別の実施形態において、アンサンブルモデルを生成するためにアンサンブル方法が利用されてもよい。アンサンブル方法の中心となる目標は、複数の分類モデルにより行われる予測を集約することである。例として、1つのアンサンブル方法では、エンタープライズの全従業員に関連する特徴データに対応する訓練データが訓練データのサブセットへと分割される。訓練データの各サブセットについて、種々のモデルが訓練される。
【0068】
各モデルを訓練した後、テストデータが使用されて資格ごとのモデルの平均性能が計算されてもよい。資格データは、2値ベクトルの形式で表されてもよく、モデルの性能は、平均精度、再現率、および/またはF1スコアのいずれかにより測定されてもよい。
【0069】
上述した様々な実施形態は、エンタープライズ100の新たな従業員の資格の効率的な設定を促進する。従業員の資格を設定するのに加え、ACS102はさらに、使用基準に基づく1人以上の個人の資格の自動取り消しを促進してもよい。例として図7を参照すると、動作700にて第1の対象システム106は、使用情報をACS102にレポートしてもよい。使用情報は、個人が対象システム106を利用した頻度、個人が対象システム106を使用した最後の時、および/または別の使用メトリックを示してもよい。
【0070】
動作705にてACS102は、資格の取り消しが正当とされるかどうかを判断するために、使用情報と使用閾値とを比較してもよい。
【0071】
動作710にて取り消しが正当とされれば、動作715にてACS102は、資格を取り消すよう命令を対象システム106に伝達する。
【0072】
動作720にて、ACS102は、資格を取り消された個人がもはや資格を有しないことを反映するためにモデル内の情報を更新してもよい。
【0073】
図7に記載された動作は、毎日、毎週、毎月またはリアルタイムでなど、一定間隔で発生してもよい。動作は、不必要な資格の数の削減を促進し、これは、対象システム106にアクセスできる個人の数を削減することにより対象システム106のセキュリティを改善するという追加の利点を有する。モデルに対する変更は、資格を対象個人に割り当てるとき上記で行われた予測に対する変更をもたらしてもよい。このように、時間外に、エンタープライズ中の全個人または不必要に多数の個人ではなく、対象システム106へのアクセス権を真に必要としている者に資格が提供され得る。
【0074】
図8は、上述したシステム、環境、デバイスなどの一部を構成しまたはそれを実装し得る、コンピュータシステム800を示す。コンピュータシステム800は、上述した動作のいずれかをコンピュータシステム800に実行させるためにプロセッサ805が実行してもよい命令845のセットを含んでもよい。コンピュータシステム800は、スタンドアロンデバイスとして動作しても、または例えばネットワークを使用して他のコンピュータシステムもしくは周辺デバイスに接続されてもよい。
【0075】
ネットワーク化された展開では、コンピュータシステム800は、サーバ・クライアントネットワーク環境のサーバの資格で、もしくはクライアントコンピュータとして、またはピアツーピア(もしくは分散型)環境のピアコンピュータシステムとして動作してもよい。コンピュータシステム800はさらに、デバイスに1つ以上のアクションを実行させる命令845(シーケンシャルまたはその他)を実行できる、パーソナルコンピュータまたはモバイルデバイスなどの様々なデバイスとして実装されること、またはこれに組み入れられることができる。さらに、記載されたシステムはそれぞれ、個別に、または共同で、命令の1つまたは複数のセットを実行して1つ以上のコンピュータ動作を実行する、サブシステムの集合を含んでもよい。
【0076】
コンピュータシステム800は、情報を伝達するためにバス820に通信接続された1つ以上のメモリデバイス810を含んでもよい。さらに、コンピュータシステムに上述の動作を実行させるよう動作可能なコードが、メモリ810に格納されてもよい。メモリ810は、ランダムアクセスメモリ、読み取り専用メモリ、プログラマブルメモリ、ハードディスクドライブまたはその他任意のタイプのメモリもしくはストレージデバイスであってもよい。
【0077】
コンピュータシステム800は、液晶ディスプレイ(LCD:liquid crystal display)、陰極線管(CRT:cathode ray tube)またはそのほか情報伝達に適した任意のディスプレイなどのディスプレイ830を含んでもよい。ディスプレイ830は、プロセッサ805によりもたらされる処理結果をユーザが見るためのインターフェースとしての役割を果たしてもよい。
【0078】
さらに、コンピュータシステム800は、ユーザがシステム800のコンポーネントと相互作用できるようにするよう構成された、キーボードまたはマウスまたはタッチスクリーンなどの入力デバイス825を含んでもよい。
【0079】
コンピュータシステム800はさらに、ディスクまたは光学式ドライブユニット815を含んでもよい。ドライブユニット815は、命令845が格納されてもよいコンピュータ可読媒体840を含んでもよい。この命令845は、コンピュータシステム800による実行中、完全または少なくとも部分的にメモリ810内および/またはプロセッサ805内に存在してもよい。メモリ810およびプロセッサ805はさらに、上記のコンピュータ可読媒体を含んでもよい。
【0080】
コンピュータシステム800は、通信ネットワーク850を介した通信をサポートする通信インターフェース835を含んでもよい。ネットワーク850は、有線ネットワーク、無線ネットワークまたはその組み合わせを含んでもよい。通信インターフェース835は、802.11、802.12、802.20、WiMAX、携帯電話規格またはその他通信規格などの任意数の通信規格を介した通信を可能にしてもよい。
【0081】
したがって、本願明細書に記載された方法およびシステムは、ハードウェア、ソフトウェア、またはハードウェアとソフトウェアとの組み合わせにおいて実現されてもよい。本方法およびシステムは、少なくとも1つのコンピュータシステムにおいて集中方式で実現されてもよく、または種々の構成要素が相互接続されたコンピュータシステムに散在する分散方式で実現されてもよい。任意の種類のコンピュータシステム、またはそのほか本願明細書に記載の方法を実行するようになっている装置が採用され得る。
【0082】
本願明細書に記載される方法およびシステムはさらに、本願明細書に記載された動作の実装を可能にするすべての特徴を含みコンピュータシステムにロードされると当該動作を実行できる、コンピュータプログラム製品に組み込まれてもよい。本願明細書で使用されるコンピュータプログラムは、直接にか、またはa)第1の言語、コードもしくは表記法の別の言語、コードもしくは表記法への変換と、b)第1の言語、コードもしくは表記法の複製とのうちの1つ以上の後にか、のいずれかで、デバイスに特定の機能を実行させることを目的とした、機械実行可能命令のセットの機械実行可能言語、コードまたは表記法での表現を指す。
【0083】
方法およびシステムについて、特定の実施形態を参照して記載してきたが、当業者には当然のことながら、特許請求の範囲に記載の範囲から逸脱することなく、様々な変更が加えられることも、等価物が代わりに用いられることもある。したがって、本方法およびシステムは、開示された特定の実施形態に限定されず、開示された方法およびシステムは、添付の特許請求の範囲に記載の範囲内に入るすべての実施形態を含むものとする。
【図1】
【図2】
【図3】
【図4A】
【図4B】
【図4C】
【図4D】
【図4E】
【図4F】
【図4G】
【図4H】
【図5】
【図6】
【図7】
【図8】