IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > JPMorgan Chase Bank,N.A.

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ ジェイピーモルガン・チェース・バンク,ナショナル・アソシエーションの特許一覧

特許7465971ロールベースアクセス制御クラスタリング機械学習モデル実行モジュールを実装する方法および装置
<>
  • 特許-ロールベースアクセス制御クラスタリング機械学習モデル実行モジュールを実装する方法および装置 図1
  • 特許-ロールベースアクセス制御クラスタリング機械学習モデル実行モジュールを実装する方法および装置 図2
  • 特許-ロールベースアクセス制御クラスタリング機械学習モデル実行モジュールを実装する方法および装置 図3
  • 特許-ロールベースアクセス制御クラスタリング機械学習モデル実行モジュールを実装する方法および装置 図4
  • 特許-ロールベースアクセス制御クラスタリング機械学習モデル実行モジュールを実装する方法および装置 図5
  • 特許-ロールベースアクセス制御クラスタリング機械学習モデル実行モジュールを実装する方法および装置 図6A
  • 特許-ロールベースアクセス制御クラスタリング機械学習モデル実行モジュールを実装する方法および装置 図6B
  • 特許-ロールベースアクセス制御クラスタリング機械学習モデル実行モジュールを実装する方法および装置 図7
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-04-03
(45)【発行日】2024-04-11
(54)【発明の名称】ロールベースアクセス制御クラスタリング機械学習モデル実行モジュールを実装する方法および装置
(51)【国際特許分類】
   G06F 18/231 20230101AFI20240404BHJP
   G06F 18/241 20230101ALI20240404BHJP
   G06N 20/10 20190101ALI20240404BHJP
【FI】
G06F18/231
G06F18/241
G06N20/10
【請求項の数】 20
(21)【出願番号】P 2022534735
(86)(22)【出願日】2020-12-08
(65)【公表番号】
(43)【公表日】2023-02-01
(86)【国際出願番号】 US2020063807
(87)【国際公開番号】W WO2021119010
(87)【国際公開日】2021-06-17
【審査請求日】2023-11-28
(31)【優先権主張番号】16/707,836
(32)【優先日】2019-12-09
(33)【優先権主張国・地域又は機関】US
【早期審査対象出願】
(73)【特許権者】
【識別番号】519022104
【氏名又は名称】ジェイピーモルガン・チェース・バンク,ナショナル・アソシエーション
【氏名又は名称原語表記】JPMorgan Chase Bank,N.A.
【住所又は居所原語表記】383 Madison Avenue,New York,NY 10179,United States of America
(74)【代理人】
【識別番号】100087941
【弁理士】
【氏名又は名称】杉本 修司
(74)【代理人】
【識別番号】100112829
【弁理士】
【氏名又は名称】堤 健郎
(74)【代理人】
【識別番号】100142608
【弁理士】
【氏名又は名称】小林 由佳
(74)【代理人】
【識別番号】100155963
【弁理士】
【氏名又は名称】金子 大輔
(74)【代理人】
【識別番号】100154771
【弁理士】
【氏名又は名称】中田 健一
(74)【代理人】
【識別番号】100150566
【弁理士】
【氏名又は名称】谷口 洋樹
(74)【代理人】
【識別番号】100213470
【弁理士】
【氏名又は名称】中尾 真二
(74)【代理人】
【識別番号】100220489
【弁理士】
【氏名又は名称】笹沼 崇
(74)【代理人】
【識別番号】100187469
【弁理士】
【氏名又は名称】藤原 由子
(74)【代理人】
【識別番号】100225026
【弁理士】
【氏名又は名称】古後 亜紀
(72)【発明者】
【氏名】ショルナック・ローラ
(72)【発明者】
【氏名】ファーガソン・デレク
(72)【発明者】
【氏名】ホーキンス・メーガン
(72)【発明者】
【氏名】ポーター・ライアン・エヴァン
(72)【発明者】
【氏名】モディ・シーヴ
(72)【発明者】
【氏名】グレス・オーガスト
(72)【発明者】
【氏名】ビンドール・シュレア
(72)【発明者】
【氏名】ワン・ロンズ
(72)【発明者】
【氏名】ヂゥー・ジァーミン
(72)【発明者】
【氏名】ヴォンダーハイド・ベンジャミン
【審査官】坂庭 剛史
(56)【参考文献】
【文献】特開平11-194974(JP,A)
【文献】特開2002-279165(JP,A)
【文献】特開2008-033936(JP,A)
【文献】特表2008-525917(JP,A)
【文献】米国特許出願公開第2008/0126523(US,A1)
【文献】米国特許出願公開第2012/0246098(US,A1)
【文献】米国特許出願公開第2014/0075492(US,A1)
【文献】米国特許出願公開第2014/0129268(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 18/231
G06F 18/241
G06F 16/906
G06F 21/62
G06N 20/10
(57)【特許請求の範囲】
【請求項1】
複数のアプリケーションへのアクセス権を付与するための最適数のクラスタを少なくとも1つのプロセッサ及び少なくとも1つのメモリを用いて自動的に生成する機械学習モデル実行モジュールを実装する方法であって、
ユーザの人事(HR)属性及びプロファイル情報データを記憶するデータベースを用意する過程と、
前記データベースにおけるユーザの前記HR属性及び前記プロファイル情報データにアクセスする過程と、
プロセッサを用いて階層クラスタリングアルゴリズムを適用し、ユーザの前記プロファイル情報データに対応したアプリケーションへの同ユーザが有するアクセス権に基づいて、アプリケーションへの一クラスタ内の全ユーザのアクセス権が互いに最も類似したものとなるようにユーザ同士をクラスタリングすることにより、機械学習モデルを生成する過程と、
前記データベースにおけるユーザの前記HR属性及び前記プロファイル情報データにアクセスする前記過程を、前記機械学習モデル用に最適数のクラスタが生成されたと判断されるまで反復する過程と、
前記機械学習モデル内の1つ以上のアプリケーションへのアクセス要求を新規ユーザから受け取る過程と、
前記新規ユーザのプロファイル情報が対応するアプリケーションと既にクラスタに属しているユーザのプロファイル情報が対応するアプリケーションとの共通度を求めることに基づいて、前記機械学習モデルのうちの、同新規ユーザが属すべきクラスタを自動的に更新する過程であって、前記共通度は、前記新規ユーザのプロファイル情報が対応するアプリケーションと既にクラスタに属しているユーザのプロファイル情報が対応するアプリケーションとが約70%から約90%の類似度であることを含む過程と、
更新された前記機械学習モデルにおける1つ以上の要求されたアプリケーションへのアクセス権を、前記新規ユーザにリアルタイムで付与する過程と、
を備える、方法。
【請求項2】
請求項1に記載の方法において、さらに、
ユーザの現行のアプリケーションと同ユーザが属するプロファイルに含まれるアプリケーションとの類似度を前記共通度とし、最大数の前記共通度を有する最小数のクラスタを求めることに基づいて、前記最適数のクラスタを求める過程、
を備える、方法。
【請求項3】
請求項2に記載の方法において、前記最適数のクラスタは、クラスタ数がx軸に対応して共通度がy軸に対応するグラフの曲線上の、クラスタ数をそれ以上増やしても共通度が増加しない一点である、方法。
【請求項4】
請求項2に記載の方法において、前記共通度は、前記新規ユーザのプロファイル情報が対応するアプリケーションと既にクラスタに属しているユーザのプロファイル情報が対応するアプリケーションとの間の約0%から約25%の範囲内の類似度が除外される、方法。
【請求項5】
請求項1に記載の方法において、前記機械学習モデルが、前記最適数のクラスタを有するロールベースアクセス制御機械学習モデルである、方法。
【請求項6】
請求項1に記載の方法において、各クラスタが、同クラスタに属する全ユーザの固有セキュリティ識別子、およびユーザ同士に共通するアプリケーションへのアクセス権に関するデータを含む、方法。
【請求項7】
請求項1に記載の方法において、各ユーザの前記HR属性が、業務コード、コストセンター、場所、役職および職位のうちの少なくとも1つについてのデータを含む、方法。
【請求項8】
請求項1に記載の方法において、さらに、更新された前記クラスタに基づいて、前記機械学習モデルを動的に且つ自動的に更新する過程を備える、方法。
【請求項9】
請求項に記載の方法において、さらに、機械学習モデルが最適数のクラスタの各々を含み、グラフィカルユーザインターフェースに機械学習モデルを表示する過程を備える、方法。
【請求項10】
請求項1に記載の方法において、さらに、
前記機械学習モデル内の1つ以上のアプリケーションへのアクセス要求を新規ユーザから受け取る過程と、
受け取った前記要求を前記機械学習モデルによってリアルタイムで評価し、前記新規ユーザのプロファイル情報が1つ以上の要求されたアプリケーションを含んでいないと判断することに基づいて、当該1つ以上の要求されたアプリケーションへのアクセス権を拒否する過程と、
を備える、方法。
【請求項11】
複数のアプリケーションへのアクセス権を付与するための最適数のクラスタを自動的に生成する機械学習モデル実行モジュールを実装するシステムであって、
ユーザの人事(HR)属性及びプロファイル情報データを記憶するデータベースと、
通信ネットワークで前記データベースに動作可能に接続されたプロセッサと、
を備え、前記プロセッサは、
前記データベースにおけるユーザの前記HR属性及び前記プロファイル情報データにアクセスし、
階層クラスタリングアルゴリズムを適用し、ユーザの前記プロファイル情報データに対応したアプリケーションへの同ユーザが有するアクセス権に基づいて、アプリケーションへの一クラスタ内の全ユーザのアクセス権が互いに最も類似したものとなるようにユーザ同士をクラスタリングすることにより、機械学習モデルを生成し、
前記データベースにおけるユーザの前記HR属性及び前記プロファイル情報データにアクセスする処理を、前記機械学習モデル用に最適数のクラスタが生成されたと判断されるまで反復
前記機械学習モデル内の1つ以上のアプリケーションへのアクセス要求を新規ユーザから受け取り、
前記新規ユーザのプロファイル情報が対応するアプリケーションと既にクラスタに属しているユーザのプロファイル情報が対応するアプリケーションとの共通度を求めることに基づいて、前記機械学習モデルのうちの、同新規ユーザが属すべきクラスタを自動的に更新し、前記共通度は、前記新規ユーザのプロファイル情報が対応するアプリケーションと既にクラスタに属しているユーザのプロファイル情報が対応するアプリケーションとが約70%から約90%の類似度であることを含み、
前記プロセッサは、更新された前記機械学習モデルにおける1つ以上の要求されたアプリケーションへのアクセス権を、前記新規ユーザにリアルタイムで付与する、
ように構成されている、システム。
【請求項12】
請求項11に記載のシステムにおいて、前記プロセッサは、さらに、
ユーザの現行のアプリケーションと同ユーザが属するプロファイルに含まれるアプリケーションとの類似度を前記共通度とし、最大数の前記共通度を有する最小数のクラスタを求めることに基づいて、前記最適数のクラスタを求める、
ように構成されている、システム。
【請求項13】
請求項12に記載のシステムにおいて、前記最適数のクラスタは、クラスタ数がx軸に対応して共通度がy軸に対応するグラフの曲線上の、クラスタ数をそれ以上増やしても共通度が増加しない一点である、システム。
【請求項14】
請求項12に記載のシステムにおいて、前記共通度は、前記新規ユーザのプロファイル情報が対応するアプリケーションと既にクラスタに属しているユーザのプロファイル情報が対応するアプリケーションとの間の約0%から約25%の範囲内の類似度が除外される、システム。
【請求項15】
請求項11に記載のシステムにおいて、各クラスタが、同クラスタに属する全ユーザの
固有セキュリティ識別子、およびユーザ同士に共通するアプリケーションへのアクセス権に関するデータを含む、システム。
【請求項16】
請求項11に記載のシステムにおいて、各ユーザの前記HR属性が、業務コード、コストセンター、場所、役職および職位のうちの少なくとも1つについてのデータを含む、システム。
【請求項17】
請求項11に記載のシステムにおいて、前記プロセッサは、さらに、更新された前記クラスタに基づいて、前記機械学習モデルを動的に且つ自動的に更新するように構成されている、システム。
【請求項18】
請求項15に記載のシステムにおいて、さらに、機械学習モデルが最適数のクラスタの各々を含み、前記プロセッサは、グラフィカルユーザインターフェースに機械学習モデルを表示する、システム。
【請求項19】
請求項11に記載のシステムにおいて、前記プロセッサは、さらに、
前記機械学習モデル内の1つ以上のアプリケーションへのアクセス要求を新規ユーザから受け取り、
受け取った前記要求を前記機械学習モデルによってリアルタイムで評価し、前記新規ユーザのプロファイル情報が1つ以上の要求されたアプリケーションを含んでいないと判断することに基づいて、当該1つ以上の要求されたアプリケーションへのアクセス権を拒否する、
ように構成されている、システム。
【請求項20】
複数のアプリケーションへのアクセス権を付与するための最適数のクラスタを自動的に生成する機械学習モデル実行モジュールを実装するための命令を記憶するように構成された非過渡的なコンピュータ読取り可能媒体であって、
前記命令が実行されると、プロセッサは、
データベースにおけるユーザの人事(HR)属性及びプロファイル情報データにアクセスする手順と、
階層クラスタリングアルゴリズムを適用し、ユーザの前記プロファイル情報データに対応したアプリケーションへの同ユーザが有するアクセス権に基づいて、アプリケーションへの一クラスタ内の全ユーザのアクセス権が互いに最も類似したものとなるようにユーザ同士をクラスタリングすることにより、機械学習モデルを生成する手順と、
前記データベースにおけるユーザの前記HR属性及び前記プロファイル情報データにアクセスする前記手順を、前記機械学習モデル用に最適数のクラスタが生成されたと判断されるまで反復する手順と、
前記機械学習モデル内の1つ以上のアプリケーションへのアクセス要求を新規ユーザから受け取る手順と、
前記新規ユーザのプロファイル情報が対応するアプリケーションと既にクラスタに属しているユーザのプロファイル情報が対応するアプリケーションとの共通度を求めることに基づいて、前記機械学習モデルのうちの、同新規ユーザが属すべきクラスタを自動的に更新する手順であって、前記共通度は、前記新規ユーザのプロファイル情報が対応するアプリケーションと既にクラスタに属しているユーザのプロファイル情報が対応するアプリケーションとが約70%から約90%の類似度であることを含む手順と、
更新された前記機械学習モデルにおける1つ以上の要求されたアプリケーションへのアクセス権を、前記新規ユーザにリアルタイムで付与する手順と、
を実行する、非過渡的なコンピュータ読取り可能媒体。
【発明の詳細な説明】
【関連出願】
【0001】
本国際出願は、2019年12月9日付出願の米国特許出願第16/707,836号の利益を主張する。同出願の全開示内容は、参照をもって本明細書へと明確に取り入れたものとする。
【技術分野】
【0002】
本開示は、概して、ロール(役割)ベースアクセス制御(RBAC)モデルに関し、より具体的には、最適数のクラスタを自動的に生成することで、コンピューティング装置から受け取った1つ以上のアプリケーションへのアクセス要求の処理時間を大幅に短縮するRBACクラスタリング機械学習モデル実行モジュールの実装方法、システムおよび装置に関する。
【背景技術】
【0003】
現在、多数の従業員を抱える企業や組織の多くは、共通のアプリケーションや資格を有する従業員(すなわち、ユーザ)同士をグループにクラスタリングする(clustering a group of)際に、困難に直面する。例えば、企業や組織は、各従業員に対する特定のアプリケーションへのアクセス権限の割当てを、同企業や同組織の人材(HR)データベースまたは人事(HR)データベースから受信した同従業員のHR属性に基づいて行う場合がある。従来、多数の従業員に対するアプリケーション及び同アプリケーションへのアクセス権(access)付与の判断は、同企業や同組織のセキュリティ管理ツール(SAT)チームにより、同従業員が属するコンシューマービジネス(CB)又はラインオブビジネス(LOB)を判断することに基づいて行われることがあった。従来、その際には、各従業員のHR属性、すなわち、業務コードやコストセンターに基づいて比較的多数のプロファイルやロールを作成することで、従業員同士を手作業でグループ分け又はクラスタリングすることがあった。このような(These)手作業でのグループ分け又はクラスタ生成は極めて時間がかかると共に一貫性に欠けており、具体的に述べると、ユーザ間でのアプリケーションの共通度やアプリケーションのロール外アクセス権(out of role access)に不満が残る。しかも、アプリケーションへのアクセス権を有する従業員を管理する管理職は、同アクセス権が同従業員にとって今でも必要か否かを年に少なくとも数回再確認する(re-certify)よう企業や組織から求められる場合がある。例えば、大半の企業や組織では機密領域へのアクセス権についての再認証を定期的に実施することもあるが、このとき、アプリケーションへのアクセス権を有する従業員を管理する管理職は、同従業員のアクセス権が今でも必要か否かについての確認を求められる場合がある。極めて大規模な企業では、権限も極めて大量になるので、極めて早いうちに手に負えなくなってくる可能性が高い。
【発明の概要】
【発明が解決しようとする課題】
【0004】
上記に鑑みて、前述した欠点や短所を解消する解決手段として、1つ以上のアプリケーションへのアクセス要求や再認証作業(recertification)を極めて短時間で、すなわち、数分以内で効率的に処理するという解決手段の提供が望ましい。
【課題を解決するための手段】
【0005】
本開示は、とりわけ、最適数のクラスタを動的に且つ自動的に生成することで、コンピューティング装置から受け取った1つ以上のアプリケーションへのアクセス要求の処理時間を大幅に短縮するRBACクラスタリング機械学習モデル実行モジュールを実装するための各種システムやサーバや装置や方法や媒体やプログラムやプラットフォームを、一以上の各種態様および/または実施形態および/または具体的構成もしくは構成要素(sub-component)をとおして提供する。本開示は、とりわけ、最適数のクラスタを動的に且つ自動的に生成することで、コンピューティング装置から受け取った1つ以上のアプリケーションへのアクセス要求の処理時間を大幅に短縮し、従来のように権限やロール一式を作成し且つこれらを静的に割り当てる必要性をなくしたRBACクラスタリング機械学習モデル実行モジュールを実装するための各種システムやサーバや装置や方法や媒体やプログラムやプラットフォームについても、一以上の各種態様および/または実施形態および/または具体的構成もしくは構成要素をとおして提供する。本開示の例示的な実施形態の環境では、ユーザから要求された1つ以上のアプリケーションへのアクセス権を付与するか否かの判断が、1つ以上のアプリケーションへの同アクセス要求時に、前記RBACクラスタリング機械学習モデル実行モジュールを用いてリアルタイムで(例えば、本開示を限定するものではないが、約100ミリ秒から約1秒の範囲内に)行われ得る。
【0006】
本開示の一態様では、複数のアプリケーションへのアクセス権を付与するための最適数のクラスタを少なくとも1つのプロセッサ及び少なくとも1つのメモリを用いて自動的に生成する機械学習モデル実行モジュールを実装する方法について開示する。同方法は、ユーザの人事(HR)属性及びプロファイル情報データを記憶するデータベースを用意する過程と、前記データベースにおける(from)ユーザの前記HR属性及び前記プロファイル情報データにアクセスする過程と、プロセッサを用いて階層クラスタリングアルゴリズムを適用し、ユーザの前記プロファイル情報データに対応したアプリケーションへの同ユーザが有するアクセス権に基づいて、アプリケーションへの一クラスタ内の全ユーザのアクセス権が互いに最も類似したものとなるようにユーザ同士をクラスタリングすることにより、機械学習モデルを生成する過程と、前記データベースにおけるユーザの前記HR属性及び前記プロファイル情報データにアクセスする前記過程を、前記機械学習モデル用に最適数のクラスタが生成されたと判断されるまで反復する過程と、を備え得る。
【0007】
本開示の他の態様において、前記方法は、さらに、ユーザの現行のアプリケーションと同ユーザが属するプロファイルに含まれるアプリケーションとの類似度を共通度とし、最大数の共通度を有する最小数のクラスタを求めることに基づいて、前記最適数のクラスタを求める過程、を備え得る。
【0008】
本開示のさらなる他の態様において、前記最適数のクラスタは、クラスタ数がx軸に対応して共通度がy軸に対応するグラフの曲線上の、クラスタ数をそれ以上増やしても共通度が増加しない一点であり得る。
【0009】
本開示のさらなる他の態様において、前記最大数の共通度は、ユーザの現行のアプリケーションと同ユーザが属するプロファイルに含まれるアプリケーションとが約70%から約90%の類似度であることを含み得る。
【0010】
本開示のさらなる他の態様において、前記機械学習モデルは、前記最適数のクラスタを有するロールベースアクセス制御機械学習モデルであり得る。
【0011】
本開示のさらなる他の態様において、各クラスタは、同クラスタに属する全ユーザの固有セキュリティ識別子、およびユーザ同士に共通するアプリケーションへのアクセス権に関するデータを含み得る。
【0012】
本開示のさらなる他の態様において、各ユーザの前記HR属性は、業務コード、コストセンター、場所、役職および職位のうちの少なくとも1つについてのデータを含み得る(但し、本開示は、同構成に限定されない)。
【0013】
本開示のさらなる他の態様において、前記方法は、さらに、前記機械学習モデル内の1つ以上のアプリケーションへのアクセス要求を新規ユーザから受け取る過程と、前記新規ユーザのプロファイル情報に対応するアプリケーションと所与のクラスタに既に属しているユーザのプロファイル情報に対応するアプリケーションとの共通度を求めることに基づいて、前記機械学習モデルのうちの、同新規ユーザが属すべきクラスタを自動的に更新する過程と、更新された前記クラスタに基づいて、前記機械学習モデルを動的に且つ自動的に更新する過程と、更新された前記機械学習モデルにおける1つ以上の要求されたアプリケーションへのアクセス権を、前記新規ユーザにリアルタイムで付与する過程と、を備え得る。
【0014】
本開示のさらなる他の態様において、前記共通度は、前記新規ユーザのプロファイル情報に対応するアプリケーションと前記クラスタに既に属しているユーザのプロファイル情報に対応するアプリケーションとが約70%から約90%の類似度であることを含み得る。
【0015】
本開示のさらなる他の態様において、前記方法は、さらに、前記機械学習モデル内の1つ以上のアプリケーションへのアクセス要求を新規ユーザから受け取る過程と、受け取った前記要求を前記機械学習モデルによってリアルタイムで評価し、前記新規ユーザのプロファイル情報が1つ以上の要求されたアプリケーションを含んでいないと判断することに基づいて、当該1つ以上の要求されたアプリケーションへのアクセス権を拒否する過程と、を備え得る。
【0016】
本開示のさらなる他の態様では、複数のアプリケーションへのアクセス権を付与するための最適数のクラスタを自動的に生成する機械学習モデル実行モジュールを実装するシステムについて開示する。同システムは、ユーザの人事(HR)属性及びプロファイル情報データを記憶するデータベースと、通信ネットワークで前記データベースに動作可能に接続されたプロセッサと、を備え得る。前記プロセッサは、前記データベースにおけるユーザの前記HR属性及び前記プロファイル情報データにアクセスし、階層クラスタリングアルゴリズムを適用し、ユーザの前記プロファイル情報データに対応したアプリケーションへの同ユーザが有するアクセス権に基づいて、アプリケーションへの一クラスタ内の全ユーザのアクセス権が互いに最も類似したものとなるようにユーザ同士をクラスタリングすることにより、機械学習モデルを生成し、前記データベースにおけるユーザの前記HR属性及び前記プロファイル情報データにアクセスする処理を、前記機械学習モデル用に最適数のクラスタが生成されたと判断されるまで反復するように構成されたものであり得る。
【0017】
本開示のさらなる他の態様において、前記プロセッサは、さらに、ユーザの現行のアプリケーションと同ユーザが属するプロファイルに含まれるアプリケーションとの類似度を共通度とし、最大数の共通度を有する最小数のクラスタを求めることに基づいて、前記最適数のクラスタを求めるように構成されたものであり得る。
【0018】
本開示のさらなる他の態様において、前記プロセッサは、さらに、前記機械学習モデル内の1つ以上のアプリケーションへのアクセス要求を新規ユーザから受け取り、前記新規ユーザのプロファイル情報に対応するアプリケーションと所与のクラスタに既に属しているユーザのプロファイル情報に対応するアプリケーションとの共通度を求めることに基づいて、前記機械学習モデルのうちの、同新規ユーザが属すべきクラスタを自動的に更新し、更新された前記クラスタに基づいて、前記機械学習モデルを動的に且つ自動的に更新し、更新された前記機械学習モデルにおける1つ以上の要求されたアプリケーションへのアクセス権を、前記新規ユーザにリアルタイムで付与するように構成されたものであり得る。
【0019】
本開示のさらなる他の態様において、前記プロセッサは、さらに、前記機械学習モデル内の1つ以上のアプリケーションへのアクセス要求を新規ユーザから受け取り、受け取った前記要求を前記機械学習モデルによってリアルタイムで評価し、前記新規ユーザのプロファイル情報が1つ以上の要求されたアプリケーションを含んでいないと判断することに基づいて、当該1つ以上の要求されたアプリケーションへのアクセス権を拒否するように構成されたものであり得る。
【0020】
本開示のさらなる他の態様では、複数のアプリケーションへのアクセス権を付与するための最適数のクラスタを自動的に生成する機械学習モデル実行モジュールを実装するための命令を記憶するように構成された非過渡的なコンピュータ読取り可能媒体について開示する。前記命令が実行されると、プロセッサは、データベースにおけるユーザの人事(HR)属性及びプロファイル情報データにアクセスする手順と、階層クラスタリングアルゴリズムを適用し、ユーザの前記プロファイル情報データに対応したアプリケーションへの同ユーザが有するアクセス権に基づいて、アプリケーションへの一クラスタ内の全ユーザのアクセス権が互いに最も類似したものとなるようにユーザ同士をクラスタリングすることにより、機械学習モデルを生成する手順と、前記データベースにおけるユーザの前記HR属性及び前記プロファイル情報データにアクセスする前記手順を、前記機械学習モデル用に最適数のクラスタが生成されたと判断されるまで反復する手順と、を実行し得る。
【0021】
以下の詳細な説明では、本開示の好適な実施形態についての本開示を限定しない実施例を用いて、下記の(noted)複数の図面を参照しながら本開示について詳述する。複数の図をとおして、同一の符号は、同一の構成/構成要素(element)を表すものとする。
【図面の簡単な説明】
【0022】
図1】例示的な一実施形態において、機械学習モデル実行モジュールを実装するコンピュータシステムを示す図である。
図2】例示的な一実施形態において、機械学習モデル実行装置を含むネットワーク環境の一例を示す図である。
図3】例示的な一実施形態において、機械学習モデル実行モジュールを含む図2の機械学習モデル実行装置を実装するシステムを示す図である。
図4】例示的な一実施形態において、図3の機械学習モデル実行モジュールを実装するシステムを示す図である。
図5】例示的な一実施形態において、機械学習モデル実行モジュールによって生成された機械学習モデルを表示するグラフィカルユーザインターフェース(GUI)を示す図である。
図6A】本開示の機械学習モデル実行モジュールを使わずに生成されたクラスタとアプリケーション共通度のグラフである。
図6B】例示的な一実施形態の機械学習モデル実行モジュールを使って生成されたクラスタとアプリケーション共通度のグラフである。
図7】例示的な一実施形態において、機械学習モデル実行モジュールを実装する方法の一例を示すフローチャートである。
【発明を実施するための形態】
【0023】
本開示は、一以上の各種態様および/または実施形態および/または具体的構成もしくは構成要素(sub-component)をとおして、先に詳述した利点や後で説明する利点の少なくとも1つを奏するものであるように意図している。
【0024】
また、実施例は、本明細書で例示的に図示・説明する本技術の少なくとも1つの態様についての命令が記憶された、少なくとも1つの非過渡的なコンピュータ読取り可能媒体として具現化され得る。一部の実施例における命令は、少なくとも1つのプロセッサによって実行されることで本明細書で図示・説明する本技術の実施例の方法を実現するのに必要となる手順を同プロセッサに実施させる、実行可能なコードを含有する。
【0025】
本開示の分野における慣習どおり、例示的な実施形態は、機能ブロックおよび/または機能単位および/またはモジュールによって図示・説明している。当業者であれば、このようなブロックおよび/または機能単位および/またはモジュールが、論理回路、ディスクリート部品、マイクロプロセッサ、ハードワイヤード回路、メモリ素子、配線接続部などの、半導体ベースの製造技術やその他の技術を用いて形成され得る電子回路(または光回路)によって物理的に実現されるということが分かるであろう。マイクロプロセッサなどで実現される際のブロックおよび/または機能単位および/またはモジュールは、本明細書で説明する各種機能を実行するようにソフトウェア(例えば、マイクロコード等)でプログラムされ得るほか、場合に応じて(optionally)、ファームウェアおよび/またはソフトウェアによって駆動され得る。ほかにも、各ブロックおよび/または機能単位および/またはモジュールは、専用ハードウェアで実現されたり、一部の機能を実行する専用ハードウェアとその他の機能を実行するプロセッサ(例えば、プログラムされた少なくとも1つのマイクロプロセッサおよび対応付けられた回路等)との組合せとして実現されたりし得る。また、例示的な実施形態の各ブロックおよび/または機能単位および/またはモジュールは、本発明の概念の範囲を逸脱しない範疇で、2つ以上の相互作用する別々のブロックおよび/または機能単位および/またはモジュールに物理的に分割されることもある。さらに、例示的な実施形態のブロックおよび/または機能単位および/またはモジュール同士は、本開示の範囲を逸脱しない範疇で、より複雑なブロックおよび/または機能単位および/またはモジュールへと物理的に合体されることもある。
【0026】
「略」、「約」、「凡そ」などの用語は、量、寸法、向き又は配置に比較的僅かな違いしかないこと、かつ/あるいは、特定の(certain)構成要素の動作、機能又は構造を著しく変えない程度の量、寸法、向き又は配置のばらつきを反映した用語であり得る。例えば、「約0.1から約1」という範囲は、例えば0.1±0%~5%から1±0%~5%などの範囲を、(記載の範囲と同じ効果が維持されるのであれば尚更)包含し得る。
【0027】
図1に、本明細書に記載する実施形態に係る用途のシステムの一例を示す。システム100は、概略的に図示したものであり、コンピュータシステム102(同符号は同システム全体を指す)を含み得る。
【0028】
コンピュータシステム102は、命令群を具備し得る。同命令群が実行されると、コンピュータシステム102は、本明細書に開示する方法やコンピュータベースの機能のうちの任意の1つ以上を、単独で又は後述する他の装置と協働で実行し得る。コンピュータシステム102は、スタンドアロン装置として動作するものであってもよいし、他のシステム又は周辺装置と接続されたものであってもよい。例えば、コンピュータシステム102は、コンピュータやサーバやシステムや通信ネットワークやクラウド環境のうちの任意の1つ以上を有していてもよいし、そのような任意の1つ以上の内部に含められたものであってもよい。さらに言えば、前記命令は、そのようなクラウドベースのコンピューティング環境で動作するものであり得る。
【0029】
ネットワーク型の実装では、コンピュータシステム102が、サーバとして動作する構成もあれば、サーバ-クライアントユーザネットワーク環境におけるクライアントユーザコンピュータ、クラウドコンピューティング環境におけるクライアントユーザコンピュータ、またはピアツーピア(すなわち、分散)ネットワーク環境におけるピアコンピュータシステムとして動作する構成もある。コンピュータシステム102またはコンピュータシステム102の一部は、パーソナルコンピュータ、タブレットコンピュータ、セットトップボックス、携帯情報端末(PDA)、モバイルデバイス、パームトップコンピュータ、ラップトップコンピュータ、デスクトップコンピュータ、通信装置、ワイヤレススマートフォン、パーソナルトラステッドデバイス(personal trusted device)、ウェアラブルデバイス、全球測位衛星(GPS)装置、ウェブアプライアンス、またはマシン自身が行うべき処理を指定する命令群(逐次命令群または非逐次命令群)を実行することが可能なその他の任意のマシンなどの各種装置として実現され得るか、あるいは、そのような各種装置に組み込まれ得る。また、コンピュータシステム102は一つしか描かれていないが、別の実施形態として、命令実行や機能実行を各自又は共同で行うシステムやサブシステムを集団で含んだ実施形態もあり得る。本開示をとおして、システムという用語は、1つ以上の命令群を各自又は共同で実行することによって1つ以上のコンピュータ機能を実施するシステム群やサブシステム群を包含していると解釈されたい。
【0030】
図1に示すように、コンピュータシステム102は、少なくとも1つのプロセッサ104を備え得る。プロセッサ104は、有形物であり且つ非過渡的なものである。本明細書で用いる「非過渡的」という用語は、ある状態の永続的性質ではなく、ある状態の一定期間の持続的性質のことであると解釈されたい。具体的に述べると、「非過渡的」という用語は、特定の搬送波、信号又はその他の形態物についての任意の場所の任意の瞬間の一時的にしか存在しない性質などといった、一過性の性質を否定する用語である。プロセッサ104は、製造品および/またはマシンコンポーネントである。プロセッサ104は、ソフトウェア命令を実行することによって本明細書の各実施形態で説明する機能を実施するように構成されている。プロセッサ104は、汎用プロセッサである場合もあれば、特定用途向け集積回路(ASIC)の一部である場合もある。また、プロセッサ104は、マイクロプロセッサ、マイクロコンピュータ、プロセッサチップ、コントローラ、マイクロコントローラ、デジタルシグナルプロセッサ(DSP)、状態マシンまたはプログラマブルロジックデバイスであってもよい。また、プロセッサ104は、フィールドプログラマブルゲートアレイ(FPGA)などのプログラマブルゲートアレイ(PGA)を含む論理回路とされてもよいし、ディスクリート型ゲート(discrete gate)および/またはトランジスタロジックを含む他種の回路とされてもよい。プロセッサ104は、中央演算処理装置(CPU)、グラフィックスプロセシングユニット(GPU)、または両者であってもよい。また、本明細書で説明するいずれのプロセッサも、複数のプロセッサ、並列プロセッサ、または両者からなるものであってよい。複数のプロセッサは、一つの装置に含まれるか又は一つの装置と接続されたものであってもよいし、複数の装置に含まれるか又は複数の装置と接続されたものであってもよい。
【0031】
コンピュータシステム102は、さらに、コンピュータメモリ106を備え得る。コンピュータメモリ106は、通信可能な(in communication)静的メモリ、動的メモリ、または両者からなり得る。本明細書で説明するメモリは、データや実行可能な命令を記憶し得る有形物の記憶媒体であり、命令が記憶されているあいだは非過渡的といえる。再び述べるが、本明細書で用いる「非過渡的」という用語は、ある状態の永続的性質ではなく、ある状態の一定期間の持続的性質のことであると解釈されたい。具体的に述べると、「非過渡的」という用語は、特定の搬送波、信号又はその他の形態物(form)についての任意の場所の任意の瞬間の一時的にしか存在しない性質などといった、一過性の性質を否定する用語である。前記メモリは、製造品および/またはマシンコンポーネントである。本明細書で説明するメモリは、コンピュータによってデータや実行可能な命令が読み取られることが可能なコンピュータ読取り可能媒体である。本明細書で説明するメモリは、ランダムアクセスメモリ(RAM)、読出し専用メモリ(ROM)、フラッシュメモリ、電気的にプログラム可能な読出し専用メモリ(EPROM)、電気的に消去可能でプログラム可能な読出し専用メモリ(EEPROM)、レジスタ、ハードディスク、キャッシュ、リムーバブルディスク、テープ、コンパクトディスク読出し専用メモリ(CD-ROM)、デジタル多用途ディスク(DVD)、フロッピーディスク、ブルーレイディスク、または当該技術分野で知られているその他の任意の形態の記憶媒体であり得る。メモリは、揮発性であっても不揮発性であってもよく、セキュアで且つ/或いは暗号化されたものであっても非セキュアで且つ/或いは暗号化されていないものであってもよい。当然ながら、コンピュータメモリ106は、メモリ同士の任意の組合せからなるものであっても単一の記憶装置(storage)からなるものであってもよい。
【0032】
コンピュータシステム102は、さらに、液晶ディスプレイ(LCD)、有機発光ダイオード(OLED)、フラットパネルディスプレイ、固体表示装置、陰極線管(CRT)、プラズマディスプレイ、その他に知られている任意の表示装置などのディスプレイ108を備え得る。
【0033】
コンピュータシステム102は、さらに、キーボード、タッチセンサ入力型の画面又はパッド(touch-sensitive input screen or pad)、音声入力、マウス、ワイヤレスキーパッド付の遠隔制御(リモコン)装置、音声認識エンジンと接続されたマイクロフォン、ビデオカメラやスチルカメラなどのカメラ、カーソル制御装置、全地球測位システム(GPS)装置、高度計、ジャイロスコープ、加速度計、近接センサ、これらの任意の組合せなどといった、少なくとも1つの入力装置110を備え得る。当業者であれば、コンピュータシステム102の各(various)実施形態が複数の入力装置110を備える場合もあることが分かるであろう。また、当業者であれば、入力装置110の上記の例が全てを網羅したものではなく、コンピュータシステム102が他の入力装置110や代わりの入力装置110を備えていてもよいことがさらに分かるであろう。
【0034】
コンピュータシステム102は、さらに、本明細書で説明する任意のメモリから任意の1つ以上の命令群(例えば、ソフトウェア等)を読み取るように構成された媒体リーダー112を備え得る。同命令は、プロセッサで実行されることにより、本明細書で説明する方法や処理のうちの1つ以上を実施するように用いられ得る。具体的な一実施形態において、コンピュータシステム102で実行される際の同命令は、その全体または少なくとも一部がメモリ106および/または媒体リーダー112および/またはプロセッサ110内部に存在し得る。
【0035】
コンピュータシステム102は、さらに、ネットワークインターフェース114、出力装置116などといった(但し、これらに限定されない)、コンピュータシステムとともに使用されるか又はコンピュータシステム内に含められるものとして一般的に周知・理解されている任意の追加の装置、コンポーネント、部品、周辺装置、ハードウェア、ソフトウェア、又はこれらの任意の組合せを備えていてもよい。出力装置116は、スピーカー、音声出力、映像出力、遠隔制御(リモコン)出力、プリンター、又はこれらの任意の組合せであり得る(但し、これらに限定されない)。
【0036】
コンピュータシステム102の各コンポーネントは、バス118又はその他の通信リンクで相互接続されて通信を行い得る。各コンポーネントは、図1に示すように、内部バスで相互接続されて通信を行うものであってもよい。しかしながら、当業者であれば、いずれのコンポーネントも拡張バスで接続されてよいことが分かるであろう。また、バス118は、peripheral component interconnect (PCI)、peripheral component interconnect (PCI) express、parallel advanced technology attachment、serial advanced technology attachmentなどの(但し、これらに限定されない)一般的に周知・理解されている任意の標準や他種の規格によって通信が可能なものであり得る。
【0037】
コンピュータシステム102は、ネットワーク122によって少なくとも1つの追加のコンピュータ装置120と通信可能であり得る。ネットワーク122は、ローカルエリアネットワーク(LAN)、ワイドエリアネットワーク(WAN)、インターネット、電話網、狭域ネットワーク、又は当該技術分野において一般的に周知・理解されているその他の任意のネットワークであり得る(但し、これらに限定されない)。狭域ネットワークには、例えば、Bluetooth、Zigbee、赤外線、近距離通信、超広帯域(ultraband)、これらの任意の組合せ等が含まれ得る。当業者であれば、周知・理解されている別のネットワーク122が追加で又は代わりに使用されてもよく、例示したネットワーク122は本開示を限定するものでなければ(not limiting)全てを網羅したものでもないことが分かるであろう。また、当業者であれば、図1のネットワーク122が無線ネットワークとして描かれているものの、同ネットワーク122が有線ネットワークであってもよいことが分かるであろう。
【0038】
図1では、追加のコンピュータ装置120がパーソナルコンピュータとして描かれている。しかし、当業者であれば、本願の代替的な実施形態として、コンピュータ装置120がラップトップコンピュータ、タブレットPC、携帯情報端末(PDA)、モバイルデバイス、パームトップコンピュータ、デスクトップコンピュータ、通信装置、無線電話、パーソナルトラステッドデバイス、ウェブアプライアンス、サーバ、あるいは、装置自身が行うべき処理を指定する逐次命令群又は非逐次命令群を実行することが可能なその他の任意の装置であってもよいことが分かるであろう。当然ながら、当業者であれば、上記の装置が例示(exemplary devices)に過ぎず、本願の範囲を逸脱しない範疇で装置120が当該技術分野において一般的に周知・理解されている別の装置や機器(apparatus)であってもよいことが分かるであろう。例えば、コンピュータ装置120は、コンピュータシステム102と同一又は同様のものであってもよい。また、当業者であれば、同装置が装置や機器同士の任意の組合せであってもよいことを同じく理解するであろう。
【0039】
当然ながら、当業者であれば、コンピュータシステム102の前述した各コンポーネントが例示に過ぎず、全てを網羅したもの及び/又は全てを含んだものでないことが分かるであろう。さらに、前述したコンポーネントの各例についても例示に過ぎず、同じく全てを網羅したもの及び/又は全てを含んだものではない。
【0040】
本開示の各実施形態では、本明細書で説明する方法が、ソフトウェアプログラムを実行するハードウェアコンピュータシステムで実現され得る。また、本開示を限定しない例示的な一実施形態での実装形態には、分散処理、コンポーネント/オブジェクト分散処理、および並列処理が含まれ得る。本明細書で説明する方法や機能のうちの1つ以上を実現するのに、仮想コンピュータシステム処理が構築されてもよく、仮想処理環境をサポートするものとして、本明細書で説明するプロセッサが用いられてもよい。
【0041】
本明細書に記載する各実施形態は、最適数のクラスタを動的に且つ自動的に生成することで、コンピューティング装置から受け取った1つ以上のアプリケーションへのアクセス要求の処理時間を大幅に短縮する機械学習モデル実行モジュールを実装する、最適化された方法を提供し得る。例示的な実施形態において、同機械学習モデル実行モジュールは、ロールベースアクセス制御(RBAC)クラスタリング機械学習モデル実行モジュールであり得る。本明細書に記載する各実施形態は、さらに、最適数のクラスタを自動的に生成することで、コンピューティング装置から受け取った1つ以上のアプリケーションへのアクセス要求の処理時間を大幅に短縮し、従来のように権限やロール一式を作成し且つこれらを静的に割り当てる必要性をなくしたRBACクラスタリング機械学習モデル実行モジュールを実装する、最適化された方法を提供し得る。本開示の例示的な実施形態の環境(context)では、ユーザから要求された1つ以上のアプリケーションへのアクセス権を付与するか否かの判断が、1つ以上のアプリケーションへの同アクセス要求時に、前記RBACクラスタリング機械学習モデル実行モジュールを用いてリアルタイムで(例えば、本開示を限定するものではないが、約100ミリ秒から約1秒の範囲内に)行われ得る。
【0042】
図2を参照すると、本開示の機械学習モデル実行装置(MLMED)を実現するためのネットワーク環境200の一例の概要が描かれている。
【0043】
本開示のMLMEDを実装していない従来のシステムでは、最適数のクラスタを自動的に且つ動的に生成することができないため、コンピューティング装置から受け取った1つ以上のアプリケーションへのアクセス要求の処理時間が大幅に長期化する可能性がある。つまり、従来のシステムでは、権限(permission)やロール一式を作成し且つこれらを手作業で静的に割り当てる必要があるが、一貫性に欠ける可能性があり、具体的には、クラスタ内のメンバ同士のアプリケーションの共通度やクラスタ内のメンバ同士のアプリケーションのロール外アクセス権(out of role access)に不満が残る。
【0044】
例示的な実施形態では、図2に示すような脆弱性公開管理モジュールを備えたMLMED202を実装することで、従来のシステムにまつわる上記の問題点が解消され得る。MLMED202は、図1に関して説明したコンピュータシステム102と同一又は同様のものであってもよい。
【0045】
MLMED202は、実行可能な命令を含み得る少なくとも1つのアプリケーションを記憶し得る。MLMED202は、同命令を実行することで、例えばネットワークメッセージの送信、受信、処理等の動作を実施したり図面を参照しながら後で図示・説明するその他の動作を実施したりする。同アプリケーションは、別のアプリケーションのモジュールやコンポーネントとして実現される場合もある。また、同アプリケーションは、オペレーティングシステムの拡張、モジュール、プラグインなどとして実現される場合もある。
【0046】
さらに言えば、同アプリケーションは、クラウドベースのコンピューティング環境で動作する場合もある。同アプリケーションは、クラウドベースのコンピューティング環境で管理され得る仮想マシン又は仮想サーバ内で、あるいは、そのような仮想マシン又は仮想サーバとして実行され得る。また、同アプリケーション(さらに言えば、MLMED202自体)は、少なくとも1つの特定の物理ネットワークコンピューティング装置に結び付けられるのではなく、クラウドベースのコンピューティング環境上で動作する仮想サーバに位置していてもよい。また、同アプリケーションは、MLMED202で実行される少なくとも1つの仮想マシン(VM)上で動作するものであってもよい。また、本技術の少なくとも1つの実施形態において、MLMED202上で動作する仮想マシンは、ハイパーバイザーによって管理又は監督され得る。
【0047】
図2のネットワーク環境200では、MLMED202が、通信ネットワーク210によって複数のクライアント装置208(1)~208(n)と、複数のデータベース206(1)~206(n)をホストする(すなわち、ホスト機能で動作する)複数のサーバ装置204(1)~204(n)とに接続されている。MLMED202は、通信インターフェース(例えば、図1のコンピュータシステム102のネットワークインターフェース114等)により、通信ネットワーク210で互いに繋がった当該MLMED202および/またはサーバ装置204(1)~204(n)および/またはクライアント装置208(1)~208(n)間の動作可能な接続や通信を行う(但し、これとは異なる種類及び/又は数の通信ネットワークやシステムが、これとは異なる種類及び/又は数の接続及び/又は構成で、他の装置及び/又は構成要素との間に適用されてもよい)。
【0048】
通信ネットワーク210は、図1に関して説明したネットワーク122と同一又は同様のものであってもよい(但し、MLMED202および/またはサーバ装置204(1)~204(n)および/またはクライアント装置208(1)~208(n)は、別のトポロジーで互いに接続されてもよい)。また、ネットワーク環境200は、当該技術分野において周知なので本明細書では説明を省略する例えば少なくとも1つのルータおよび/またはスイッチ等といった別のネットワーク装置を含んでいてもよい。
【0049】
例示に過ぎないが、通信ネットワーク210は、ローカルエリアネットワーク(LAN)やワイドエリアネットワーク(WAN)からなり得て、イーサネットや業界標準プロトコル上でTCP/IPを用いるものであり得る(但し、これとは異なる種類及び/又は数のプロトコル及び/又は通信ネットワークが使用されてもよい)。本例の通信ネットワーク202は、適切なインターフェースメカニズムやネットワーク通信技術であれば、例えば、任意の適切な形態の通信トラフィック(例えば、音声、モデム等)、公衆交換電話網(PSTN)、イーサネットベースのパケットデータネットワーク(PDN)、これらの組合せ等を含め、どのようなインターフェースメカニズムやネットワーク通信技術を用いたものであってもよい。
【0050】
MLMED202は、スタンドアロン装置であってもよいし、例えばサーバ装置204(1)~204(n)のうちの1つ以上等といった少なくとも1つの他の装置又は機器と一体的なものであってもよい。一具体例において、MLMED202は、サーバ装置204(1)~204(n)のいずれかにホストされるものであってもよいし、それとは別の配置構成も可能である。また、MLMED202内の装置のうちの1つ以上が、例えば公衆ネットワーク、私設ネットワーク、クラウドネットワーク等の1つ以上を含む同一の又は別々の通信ネットワーク内にあってもよい。
【0051】
複数のサーバ装置204(1)~204(n)は、図1に関して説明したコンピュータシステム102やコンピュータ装置120と、同図に関して説明した任意の構成や構成同士の任意の組合せを含め、同一又は同様のものであってもよい。例えば、任意のサーバ装置204(1)~204(n)は、自身の特徴のなかでも特に、少なくとも1つのプロセッサとメモリと通信インターフェースとを有し、それらがバスやその他の通信リンクで互いに接続されていてもよい(但し、これとは異なる(other)数及び/又は種類のネットワーク装置が適用されてもよい)。本例のサーバ装置204(1)~204(n)は、通信ネットワーク210を介してMLMED202から受け取る要求を、例えばHTTPベースのプロトコル及び/又はJavaScript Object Notation(JSON)プロトコル等に準拠して処理し得る(但し、これとは異なるプロトコルが用いられてもよい)。
【0052】
サーバ装置204(1)~204(n)は、ハードウェア又はソフトウェアである場合もあれば、内部ネットワークや外部ネットワークを含み得るプール内に複数のサーバを具備したシステムを示している場合もある。サーバ装置204(1)~204(n)は、メタデータ群やデータ品質ルールや新たに生成されたデータを記憶するように構成されたデータベース206(1)~206(n)をホストする。
【0053】
サーバ装置204(1)~204(n)はそれぞれ単一の装置として描かれているが、各サーバ装置204(1)~204(n)の処理のうちの1つ以上が、少なくとも1つのサーバ装置204(1)~204(n)を共同で構成する少なくとも1つの個々のネットワークコンピューティング装置間で分散される場合もある。また、サーバ装置204(1)~204(n)は、特定の構成形態に限定されない。つまり、サーバ装置204(1)~204(n)は、それらのうちの一方のネットワークコンピューティング装置が他方のネットワークコンピューティング装置の動作を管理及び/又は調整するように稼働するという、マスタ/スレーブ的アプローチ(master/slave approach)で動作する複数のネットワークコンピューティング装置からなるものとされてもよい。
【0054】
サーバ装置204(1)~204(n)は、例えばクラスタアーキテクチャ内、ピアツーピアアーキテクチャ内、仮想マシン群内、クラウドアーキテクチャ内等において複数のネットワークコンピューティング装置として動作するものであってもよい。つまり、本明細書で開示する技術は単一の環境に限定されるかの如く解釈されるべきではなく、それ以外の構成形態やアーキテクチャも想定される。
【0055】
複数のクライアント装置208(1)~208(n)も、図1に関して説明したコンピュータシステム102やコンピュータ装置120と、同図に関して説明した任意の構成や構成同士の任意の組合せを含め、同一又は同様のものであってよい。この文脈でのクライアント装置とは、通信ネットワーク210にインターフェース接続して1つ以上のサーバ装置204(1)~204(n)や別のクライアント装置208(1)~208(n)からリソースを取得するあらゆるコンピューティング装置のことを指している。
【0056】
例示的な実施形態において、本例のクライアント装置208(1)~208(n)は、最適数のクラスタを動的に且つ自動的に生成することでコンピューティング装置から受け取った1つ以上のアプリケーションへのアクセス要求の処理時間を大幅に短縮するように構成され得るMLMED202の実現を支援し(facilitate)得る、任意の種類のコンピューティング装置からなるものであり得る。つまり、クライアント装置208(1)~208(n)は、例えばチャットアプリケーション、電子メールアプリケーション、音声テキスト変換(voice-to-text)アプリケーション等をホストする、モバイルコンピューティング装置、デスクトップコンピューティング装置、ラップトップコンピューティング装置、タブレットコンピューティング装置、仮想マシン(クラウドベースのコンピュータを含む)などであり得る。
【0057】
クライアント装置208(1)~208(n)は、通信ネットワーク210でMLMED202と通信を行ってユーザ要求を伝えるためのインターフェースを提供し得る標準ウェブブラウザやスタンドアロンクライアントアプリケーションなどのインターフェースアプリケーションを実行し得る。また、クライアント装置208(1)~208(n)は、数ある構成要素の中でも特に、表示画面、タッチスクリーンなどの表示装置および/または例えばキーボード等の入力装置を備え得る。
【0058】
本明細書ではネットワーク環境200の一例としてMLMED202、サーバ装置204(1)~204(n)、クライアント装置208(1)~208(n)および通信ネットワーク210を含むネットワーク環境200について図示・説明しているが、これとは異なる種類及び/又は数のシステム及び/又は装置及び/又はコンポーネント及び/又は構成要素がこれとは異なるトポロジーで適用されてもよい。本明細書に記載する各例のシステムが例示的なものに過ぎないという点は、同例を実現するのに用いられる特定のハードウェアやソフトウェアの変形例が本技術分野またはその関連分野の当業者であれば分かるように数多く考えられ得ることからも理解されるであろう。
【0059】
ネットワーク環境200に示されている例えばMLMED202、サーバ装置204(1)~204(n)、クライアント装置208(1)~208(n)等の装置のうちの1つ以上が、同じ物理マシン上の仮想インスタンスとして動作するように構成されてもよい。例えば、MLMED202やサーバ装置204(1)~204(n)やクライアント装置208(1)~208(n)のうちの1つ以上が、通信ネットワーク210で通信を行う別々の装置ではなく、同一の物理的装置上で動作するものとされてもよい。また、MLMED202やサーバ装置204(1)~204(n)やクライアント装置208(1)~208(n)の数は、図2で描いている数よりも多くても少なくてもよい。
【0060】
また、いずれの例においても、任意の1つのシステムや装置が2つ以上のコンピューティングシステムや装置で置き換えられてよい。これにより、冗長性やレプリケーションなどの分散処理の原理や利点も適宜実現され、望んだように(as desired)、各例の装置やシステムの堅牢性や性能を向上させることにもなり得る。また、各例は、例えば任意の適切な形態の通信トラフィック(例えば、音声、モデム等)単独、無線トラフィックネットワーク、セルラートラフィックネットワーク、パケットデータネットワーク(PDN)、インターネット、イントラネット、これらの組合せ等を含む任意の適切なインターフェースメカニズムやトラフィック技術を用いた任意の適切なネットワークをまたいで広がるコンピュータシステムによって実現されてもよい。
【0061】
図3は、例示的な一実施形態において、MLMEMを備えたMLMEDを実装するシステムを示す図である。
【0062】
図3に示すように、MLMEM306を備えたMLMED302は、通信ネットワーク310を介してサーバ304、人事(HR)属性データベース312およびプロファイル情報データベース314に接続され得る。また、MLMED302は、通信ネットワーク310を介して第1のクライアント装置308(1)と第2のクライアント装置308(n)とに接続され得る(但し、本開示はこれらに限定されない)。
【0063】
例示的な実施形態において、MLMED302は、図3に図示・説明するようにMLMED306を備えるものとなっているが、例えば、その他のルール、ポリシー、モジュール、データベース、アプリケーション等も備え得る。例示的な実施形態では、HR属性データベース312とプロファイル情報データベース314が共同で単一のデータベースを構成し得る。例示的な実施形態では、HR属性データベース312とプロファイル情報データベース314が、いずれもMLMED302内またはMLMEM306内に組み込まれ得る。例示的な実施形態において、HR属性データベース312は、ユーザ(例えば、企業や組織の従業員や管理職等)のHR属性データを記憶し得る(但し、本開示はこれらに限定されない)。例示的な実施形態において、HR属性データには、企業や組織の全従業員及び管理職並びに新規の従業員及び管理職の業務コード及び/又はコストセンター及び/又は場所及び/又は役職及び/又は職位などの本開示を限定しないデータのうちの少なくとも1つが含まれ得る。HR属性データベース312は、全従業員及び管理職の固有セキュリティ識別子(SID)を記憶し得て、対応するHR属性データやプロファイル情報データとの結び付けを行い得る。
【0064】
例示的な実施形態において、プロファイル情報データベース314は、各SIDと関連付けられたプロファイルに対応するデータを記憶し得る。プロファイルには、各SIDごとのアプリケーションや資格が含まれ得る。例えば、プロファイルは、自身のHR属性データに応じて同プロファイルにユーザが属する場合に同ユーザがアクセスすることが可能となるアプリケーションを特定し得る。
【0065】
後述するように、MLMED302は、HR属性データベース312におけるユーザの前記HR属性とプロファイル情報データベース314におけるユーザの前記プロファイル情報データにアクセスすると共に、MLMED302内またはMLMEM306内に組み込まれたプロセッサを用いて階層クラスタリングアルゴリズムを適用し、プロファイル情報データベース314から受け取ったユーザ(例えば、全従業員及び管理職等)の前記プロファイル情報データに対応したアプリケーションへの、同ユーザが有するアクセス権に基づいてユーザ同士をクラスタリングすることにより、機械学習モデルを生成するように構成され得る。アプリケーションへの一クラスタ内の全ユーザのアクセス権は、互いに最も類似したものとなる。後述するように、MLMED302は、さらに、HR属性データベース312におけるユーザの前記HR属性とプロファイル情報データベース314におけるユーザの前記プロファイル情報データにアクセスする処理を、前記機械学習モデル用に最適数のクラスタが生成されたと判断されるまで反復するように構成され得る。
【0066】
第1のクライアント装置308(1)および第2のクライアント装置308(n)は、MLMED302と通信可能なものとして描かれている。この点で、第1のクライアント装置308(1)および第2のクライアント装置308(n)は、MLMED302の「クライアント」であり得て、本明細書ではそのようなものであるとの前提で説明している。ただし、第1のクライアント装置308(1)および/または第2のクライアント装置308(n)が必ずしもMLMED302の「クライアント」や本明細書において同「クライアント」との関連で説明している任意の存在(any entity described in association therewith herein)でなくてもよいという点は、周知の事項であり且つ理解されることであろう。第1のクライアント装置308(1)及び第2のクライアント装置308(n)のうちの一方又は両方とMLMED302との間には、さらなる関係や代わりの関係が存在していてもよいし関係が全く存在していなくてもよい。
【0067】
第1のクライアント装置308(1)は、例えば、スマートフォンであり得る。当然ながら、第1のクライアント装置308(1)は、本明細書に記載した別のどの装置であってもよい。第2のクライアント装置308(n)は、例えば、パーソナルコンピュータ(PC)であり得る。当然ながら、第2のクライアント装置308(n)も、本明細書に記載した別のどの装置であってもよい。例示的な実施形態において、サーバ304は、図2に描かれたサーバ装置204と同一又は同等のものであってもよい。
【0068】
処理は、通信ネットワーク310を介して実行され得る。通信ネットワーク310は、前述のように複数のネットワークからなるものであってもよい。例えば、例示的な一実施形態では、第1のクライアント装置308(1)及び第2のクライアント装置308(n)のうちの一方又は両方が、広帯域通信又はセルラー通信でMLMED302と通信を行い得る。当然ながら、このような実施形態は例示に過ぎず、本開示を限定するものでも全てを網羅したものでもない。
【0069】
図4は、例示的な一実施形態において、図3の機械学習モデル実行モジュールを実装するシステムを示す図である。図4に示すように、システム400は、内部にMLMEM406が組み込まれ得るMLMED402、人事(HR)属性データベース412、プロファイル情報データベース414、サーバ404、および通信ネットワーク410を備え得る。
【0070】
図4に示すように、MLMEM406は、通信モジュール408、受信モジュール416、アクセスモジュール418、グラフィカルユーザインターフェース(GUI)420、生成モジュール422、反復モジュール424、判断モジュール426、更新モジュール428、実行モジュール430、および評価モジュール432を含み得る。例示的な実施形態では、(HR)属性データベース412およびプロファイル情報データベース414もMLMEM406内またはMLMED402内に組み込まれ得るほか、MLMED402に、企業や組織によって管理・稼働される各種システムが含まれている場合がある。例えば、企業や組織のセキュリティ管理ツールチームが、共通のアプリケーションを有する(may share similar applications)従業員同士についての最適数のクラスタを、MLMED402を利用して自動的に且つ動的に生成する場合がある。
【0071】
例示的な実施形態において、通信モジュール408、受信モジュール416、アクセスモジュール418、生成モジュール422、反復モジュール424、判断モジュール426、更新モジュール428、実行モジュール430、および評価モジュール432は、それぞれマイクロプロセッサなど(microprocessors or similar)で実現され得て、本明細書で説明する各種機能を実行するようにソフトウェア(例えば、マイクロコード等)でプログラムされ得るほか、場合に応じて、ファームウェアおよび/またはソフトウェアによって駆動され得る。ほかにも、通信モジュール408、受信モジュール416、アクセスモジュール418、生成モジュール422、反復モジュール424、判断モジュール426、更新モジュール428、実行モジュール430、および評価モジュール432が、それぞれ専用ハードウェアで実現されたり、一部の機能を実行する専用ハードウェアとその他の機能を実行するプロセッサ(例えば、プログラムされた少なくとも1つのマイクロプロセッサおよび対応付けられた回路等)との組合せとして実現されたりし得る。また、例示的な実施形態の通信モジュール408、受信モジュール416、アクセスモジュール418、生成モジュール422、反復モジュール424、判断モジュール426、更新モジュール428、実行モジュール430、および評価モジュール432は、それぞれ本発明の概念の範囲を逸脱しない範疇で、2つ以上の相互作用する別々のモジュールに物理的に分割されることもある。
【0072】
処理は、通信ネットワーク410を介して実行され得る。通信ネットワーク410は、前述のように複数のネットワークからなるものであってもよい。例えば、例示的な一実施形態では、MLMEM406の各コンポーネントが、通信モジュール408および通信ネットワーク410を介してサーバ404、HR属性データベース412およびプロファイル情報データベース414と通信を行い得る。当然ながら、このような実施形態は例示に過ぎず、本開示を限定するものでも全てを網羅したものでもない。
【0073】
例示的な実施形態では、通信モジュール408が、通信ネットワーク410を介してHR属性データベース412とプロファイル情報データベース414との間にリンクを確立するように構成され得る。
【0074】
例示的な実施形態では、受信モジュール416が、HR属性データとプロファイル情報データの連続フィードをHRデータベース412とプロファイル情報データベース414から毎日ベースで受信するように構成され得ると共に、MLMEM406が、HR属性データとプロファイル情報データの前記フィードをメモリ(図示せず)に記憶しておくことによって、共通のアプリケーションを有する(may share similar applications)ユーザ同士のクラスタをコンシューマービジネス及び/又はラインオブビジネスのユーザ同士の類似度に基づいて自動的に生成するという用途に同フィードを現在進行形で又は後から利用する(for current and future use)ように構成され得る(但し、本開示はこれらに限定されない)。
【0075】
例示的な実施形態では、アクセスモジュール418が、HRデータベース412におけるユーザ(例えば、従業員、管理職等)の前記HR属性データとプロファイル情報データベース414におけるユーザのプロファイル情報データにアクセスするように構成され得る。例示的な実施形態では、HR属性データベース412とプロファイル情報データベース414とが単一のデータベースを構成し得て、この単一のデータベースが、ユーザからこれまでに受け取った1つ以上のアプリケーションへのアクセス要求及び新規で受け取るアクセス要求の全てに関するデータについても記憶し得る。例示的な実施形態では、アクセスモジュール418が、ユーザのHR属性、ユーザのプロファイル情報、ならびにユーザからこれまでに受け取った1つ以上のアプリケーションへのアクセス要求及び新規で受け取るアクセス要求の全てに関する全データにアクセスするように構成され得る。これらのアクセス要求は、共通のアプリケーションを有する(may share similar applications)ユーザ同士のクラスタを生成モジュール422が生成する際に(to)利用される。
【0076】
例示的な実施形態では、生成モジュール422が、ユーザのHR属性、ユーザのプロファイル情報、ならびにユーザからこれまでに受け取った1つ以上のアプリケーションへのアクセス要求及び新規で受け取るアクセス要求の全てに関する全データを受信するように構成され得ると共に、階層クラスタリングアルゴリズムを適用し、ユーザの前記プロファイル情報データに対応したアプリケーションへの同ユーザが有するアクセス権に基づいてユーザ同士をクラスタリングすることによって機械学習モデルを生成するように構成され得る。生成された機械学習モデルは、GUI420に表示され得る。アプリケーションへの一クラスタ内の全ユーザのアクセス権は、互いに最も類似したものとなる。
【0077】
例示的な実施形態では、反復モジュール424が、対応するデータベース412及びデータベース414、あるいは、前記単一のデータベースにおける、ユーザの前記HR属性及び前記プロファイル情報データにアクセスする処理を、前記機械学習モデル用に最適数のクラスタが生成されたと判断されるまで反復するように構成され得る。
【0078】
例示的な実施形態では、判断モジュール426が、ユーザの現行のアプリケーションと同ユーザが属するプロファイルに含まれるアプリケーションとの類似度を共通度とし、最大数の共通度を有する最小数のクラスタを求めることに基づいて、前記最適数のクラスタを求めるように構成され得る。
【0079】
例示的な実施形態では、受信モジュール416が、さらに、前記機械学習モデル内の1つ以上のアプリケーションへのアクセス要求を新規ユーザから受け取るように構成され得る。
【0080】
例示的な実施形態では、更新モジュール428が、前記新規ユーザのプロファイル情報に対応するアプリケーションと所与のクラスタに既に属しているユーザのプロファイル情報に対応するアプリケーションとの共通度を求めることに基づいて、前記機械学習モデルのうちの、同新規ユーザが属すべきクラスタを自動的に更新するように構成され得る。
【0081】
例示的な実施形態では、更新モジュール428が、さらに、更新された前記クラスタに基づいて、前記機械学習モデルを動的に且つ自動的に更新するように構成され得る。
【0082】
例示的な実施形態では、実行モジュール430が、更新された前記機械学習モデルにおける1つ以上の要求されたアプリケーションへのアクセス権を、前記新規ユーザにリアルタイムで付与するように構成され得る。
【0083】
図5は、例示的な一実施形態において、機械学習モデル実行モジュールによって生成された機械学習モデルを表示するグラフィカルユーザインターフェース(GUI)を示す図である。
【0084】
図5に示すように、GUI520には、生成モジュール422によって生成された機械学習モデル500が表示される。機械学習モデル500は、ユーザ同士の複数のクラスタを有する。例示的な実施形態では、GUI520が、6個のクラスタ522,524,526,528,530,532を有する機械学習モデル500を表示しているが、本開示はこれらに限定されない。GUI520には、MLMEM406によって自動的に求められた前記最適数のクラスタとして、どのような数のクラスタも表示され得る。
【0085】
例えば、生成モジュール422は、階層クラスタリングモデルアルゴリズムを適用し、共通の(similar)プリケーション群を使用する各ユーザを分析することによって最適なクラスタを生成するように構成され得る。生成モジュール422は、このような分析に基づいて、ユーザ同士を最適なクラスタにグループ分け又はクラスタリングするように構成され得る。例えば、例示的な一実施形態では、クラスタ522の生成時に、ユーザD001807、ユーザE513256およびユーザI9385639(各ユーザの固有SID)がいずれも共通の(similar)融資システムや共通の(similar)データベースや共通の(similar)アプリケーションへのアクセス権を有する一方で、いずれも1つ又は2つのアクセス権が共通していない、と判断モジュール426が判断し得る。例えば、ユーザD001807、ユーザE513256およびユーザI9385639はいずれもデータベースやアプリケーションを多数共有する一方で、ユーザD001807は、残り2人のユーザE513256およびユーザI9385639がアクセス権を有さない特定のデータベースや特定のアプリケーションへのアクセス権を有している可能性があり、その逆も然りである。それでも、判断モジュール426は、共通度の値が所定の閾値内であり且つロール外アクセス権(out of role access)に対応する値が所定の閾値未満であると判断することにより、3人のユーザD001807、ユーザE513256およびユーザI9385639全員がクラスタ522にグループ化されるべきであると判断し得る。
【0086】
例示的な実施形態では、共通度の値が、ユーザの現行のアプリケーションと同ユーザのプロファイルのアプリケーションとの類似度の値を表す。例示的な実施形態において、共通度の値の比較に用いられる前記所定の閾値は、ユーザの現行のアプリケーションと同ユーザが属するプロファイルに含まれるアプリケーションとの約70%から約90%の類似度の範囲内で前記最大数の共通度が得られること、さらには、約0%から約25%の範囲内で最小数のロール外アクセス権の値が得られることを含み得るが、本開示はこれらに限定されない。
【0087】
例えば、ユーザD001807はアプリケーション群[a,b,c,d]へのアクセス権を有し得て、クラスタ522は同クラスタ内のメンバにアプリケーション群[b,c,d,e]へのアクセスを許可する。判断モジュール426は、ユーザD001807がクラスタ522に対して75%の共通度(同ユーザの4つのアプリケーションのうち、3つのアプリケーション[b,c,d]がクラスタ522に属するアプリケーションと共通している)および25%のロール外アクセス権を有していることから、同ユーザがクラスタ522に属すべきと判断し得る。本例では、アプリケーションeがロール外アクセス権になる。
【0088】
例示的な実施形態において、前記最適数のクラスタは、クラスタ数がグラフのx軸に対応して共通度がグラフのy軸に対応する場合に、クラスタ数をそれ以上増やしても共通度が増加しないグラフの曲線上の一点であり得る。
【0089】
例えば、図6Aは、本開示の機械学習モデル実行モジュールを使わずに生成された、クラスタと、アプリケーション共通度のグラフである。図6Aに示すように、アプリケーション共通度は凡そ40%(図6Aの線A)、アプリケーションのロール外アクセス権は凡そ35%となり、前記最適数のクラスタは550個となる。
【0090】
例えば、本開示のMLMEM406を実装していない従来のシステムでは、最適数のクラスタを自動的に且つ動的に生成することができないため、コンピューティング装置から受け取った1つ以上のアプリケーションへのアクセス要求の処理時間が大幅に長期化する可能性がある。つまり、従来のシステムでは、権限やロール一式を作成し且つこれらを手作業で静的に割り当てる必要があるが、一貫性に欠ける可能性があり、具体的には、クラスタ内のメンバ同士のアプリケーションの共通度やクラスタ内のメンバ同士のアプリケーションのロール外アクセス権に不満が残る(共通度の値およびロール外アクセス権の値に関して先に開示した所定の許容可能閾値外となる)。
【0091】
図6Bは、例示的な一実施形態のMLMEM406を使って生成された、クラスタと、アプリケーション共通度のグラフである。図6Bに示すように、アプリケーション共通度は凡そ72%(図6Bの線B)、アプリケーションのロール外アクセス権は凡そ17%となり、前記最適数(最小数)のクラスタは300個となる。例えば、本開示のMLMEM406を実装するシステムは、最適数のクラスタを自動的に且つ動的に生成することで、コンピューティング装置から受け取った1つ以上のアプリケーションへのアクセス要求の処理時間を大幅に短縮できる可能性がある。つまり、例示的な実施形態のシステムでは、権限やロール一式を作成し且つこれらを手作業で静的に割り当てる必要がなく、一貫性に欠ける恐れがない。さらに、MLMEM406を用いることで、クラスタ内のメンバ同士のアプリケーションの共通度やクラスタ内のメンバ同士のアプリケーションのロール外アクセス権が満足なものになる(共通度の値およびロール外アクセス権の値に関して先に開示した所定の許容可能閾値内となる)。
【0092】
例示的な実施形態では、判断モジュール426が、最小数のクラスタで最大数の共通度を求めるように構成され得る。例えば、判断モジュール426は、クラスタ数をそれ以上増やしても共通度が増加しない一点(図6Bに示す曲線B上の点C)を自動的に求めるように構成され得る。つまり、判断モジュール426は、クラスタを追加しても同線が上向くことなく共通度が直線に近付くプラトー点(図6Bに示す曲線B上の点C)を特定するように構成され得る。例示的な本実施形態では、曲線B上の点Cが最大数の共通度(例えば、72%の共通度)を有する最小数のクラスタ(例えば、300個のクラスタ)を示した際に、最適なクラスタ点に到達したものと判断モジュール426が判断している。
【0093】
例えば、判断モジュール426が曲線B上の点Cの前記最適なクラスタ点を求める際には、生成モジュール422が生成した新たなクラスタ群(例えば、50個の新たなクラスタ)を追加するたびに、パーセントポイント(%pt)増が得られなくなったか否かの判断が行われる(it has been determined that no gain of multiple percentage point are received)。具体的に述べると、判断モジュール426は、これらの新たなクラスタをそれぞれ分析し、当該新たなクラスタに含まれるユーザに対応したHR属性データ(例えば、業務コード、コストセンター、場所、職位等)及びプロファイル情報データから(with)、これらの新たなクラスタに属するユーザがアクセス可能となるはずであった(may be accessible)共通の(general)アプリケーションが何なのかを調べるように構成され得る。そして、判断モジュール426は、それらの(these)新たなクラスタを解除して既に生成済みの最適なクラスタ群(図6Bの本例では、既に生成済みの300個のクラスタが最適なクラスタ群であると判断される)のうちのどのクラスタ(one)に当該新たなクラスタ内の各ユーザを追加するのかを、先に開示した最大共通度・最小ロール外アクセス権アルゴリズムを判断することに基づいて決定するように構成され得る。
【0094】
例示的な実施形態では、一人のユーザが、一つのクラスタにのみ属し得る。例えば、図5に示すクラスタ522内のユーザは、クラスタ524,526,528,530,532に属すべきでなく、クラスタ522以外のクラスタ内のユーザについても然りである(and vice versa)。
【0095】
例示的な実施形態では、機械学習モデル500が、前記最適数(すなわち、300個)のクラスタを有するロールベースアクセス制御機械学習モデルであり得る。
【0096】
例示的な実施形態では、各クラスタ522,524,526,528,530,532が、同クラスタに属する全ユーザの固有セキュリティ識別子(SID)、およびユーザ同士に共通するアプリケーションへのアクセス権に関するデータを含み得る。
【0097】
例示的な実施形態では、各ユーザの前記HR属性が、業務コード、コストセンター、場所、役職および職位のうちの少なくとも1つについてのデータを含み得るが、本開示はこれらに限定されない。
【0098】
例示的な実施形態では、受信モジュール416が、さらに、前記機械学習モデル内の1つ以上のアプリケーションへのアクセス要求を新規ユーザから受け取るように構成され得て、評価モジュール432が、受け取った前記要求を前記機械学習モデルによってリアルタイムで評価するように構成され得る。実行モジュール430は、前記新規ユーザのプロファイル情報が1つ以上の要求されたアプリケーションを含んでいないとの判断モジュール426の判断に基づいて、当該1つ以上の要求されたアプリケーションへのアクセス権を拒否するように構成され得る。拒否の通知は、通信モジュール408を介して電子メール又はその他の形態の電子的通信によってユーザ又は同ユーザの管理職に伝えられ得る。
【0099】
例示的な実施形態では、前記共通度が判断モジュール426によって求められ得て、同共通度は、前記新規ユーザのプロファイル情報に対応するアプリケーションと所与のクラスタに既に属しているユーザのプロファイル情報に対応するアプリケーションとの類似度が約70%から約90%であることを含み得る。
【0100】
例示的な実施形態では、更新モジュール428が、前記新規ユーザのプロファイル情報に対応するアプリケーションと所与のクラスタに既に属しているユーザのプロファイル情報に対応するアプリケーションとの共通度を求めることに基づいて、機械学習モデル500のうちの、同新規ユーザが属すべきクラスタ(例えば、クラスタ522,524,526,528,530,532のうちの一つ)を自動的に更新するように構成され得る。
【0101】
例示的な実施形態では、更新モジュール428が、さらに、更新された前記クラスタに基づいて、機械学習モデル500を動的に且つ自動的に更新するように構成され得る。
【0102】
例示的な実施形態では、実行モジュール430が、更新された機械学習モデル500における1つ以上の要求されたアプリケーションへのアクセス権を、前記新規ユーザにリアルタイムで付与するように構成され得る。
【0103】
例示的な実施形態では、非過渡的なコンピュータ読取り可能媒体が、MLMEM406を実装するための命令を記憶するように構成され得る。例示的な実施形態では、前記命令が実行されると、MLMEM406内又はMLMED402内に組み込まれたプロセッサが、データベースにおけるユーザの人事(HR)属性及びプロファイル情報データにアクセスする手順と、階層クラスタリングアルゴリズムを適用し、ユーザの前記プロファイル情報データに対応したアプリケーションへの同ユーザが有するアクセス権に基づいて、アプリケーションへの一クラスタ内の全ユーザのアクセス権が互いに最も類似したものとなるようにユーザ同士をクラスタリングすることにより、機械学習モデルを生成する手順と、前記データベースにおけるユーザの前記HR属性及び前記プロファイル情報データにアクセスする前記手順を、前記機械学習モデル用に最適数のクラスタが生成されたと判断されるまで反復する手順と、を実行し得る。前記プロセッサは、図1に示すプロセッサ104と同一又は同様のものであってもよい。
【0104】
図7は、例示的な一実施形態において、機械学習モデル実行モジュールを実装する方法の一例を示すフローチャートである。同機械学習モデル実行モジュールは、図3に示すMLMEM306又は図4に示すMLMEM406であり得る。
【0105】
図7の方法700では、ステップS702にて、ユーザの人事(HR)属性及びプロファイル情報データを記憶するデータベースが用意され得る。
【0106】
ステップS704にて、前記データベースにおけるユーザの前記HR属性及び前記プロファイル情報データがアクセスされ得る。
【0107】
ステップS706にて、階層クラスタリングアルゴリズムを適用し、ユーザの前記プロファイル情報データに対応したアプリケーションへの同ユーザが有するアクセス権に基づいてユーザ同士をクラスタリングすることにより、機械学習モデルが生成され得る。アプリケーションへの一クラスタ内の全ユーザのアクセス権は、互いに最も類似したものとなり得る。
【0108】
ステップS708にて、前記データベースにおけるユーザの前記HR属性及び前記プロファイル情報データにアクセスする処理が、前記機械学習モデル用に最適数のクラスタが生成されたと判断されるまで反復され得る。例示的な実施形態では、ステップS708にて、ユーザの現行のアプリケーションと同ユーザが属するプロファイルに含まれるアプリケーションとの類似度を共通度とし、最大数の共通度を有する最小数のクラスタを求めることに基づいて、前記最適数のクラスタが求められ得る。例示的な実施形態において、前記最適数のクラスタは、クラスタ数がグラフのx軸に対応して共通度がグラフのy軸に対応する場合に、クラスタ数をそれ以上増やしても共通度が増加しないグラフの曲線上の一点でありうる。
【0109】
ステップS710にて、前記機械学習モデル内の1つ以上のアプリケーションへのアクセス要求が、新規ユーザから受け取られ得る。
【0110】
ステップS712にて、前記新規ユーザのプロファイル情報に対応するアプリケーションと所与のクラスタに既に属しているユーザのプロファイル情報に対応するアプリケーションとの共通度を求めることに基づいて、前記機械学習モデルのうちの、同新規ユーザが属すべきクラスタが自動的に更新され得る。
【0111】
ステップS714にて、更新された前記クラスタに基づいて、前記機械学習モデルが動的に且つ自動的に更新され得る。
【0112】
ステップS716にて、更新された前記機械学習モデルにおける1つ以上の要求されたアプリケーションへのアクセス権が、前記新規ユーザにリアルタイムで付与され得る。
【0113】
例示的な実施形態では、方法700が、さらに、前記機械学習モデル内の1つ以上のアプリケーションへのアクセス要求を新規ユーザから受け取る過程と、受け取った前記要求を前記機械学習モデルによってリアルタイムで評価し、前記新規ユーザのプロファイル情報が1つ以上の要求されたアプリケーションを含んでいないと判断することに基づいて、当該1つ以上の要求されたアプリケーションへのアクセス権を拒否する過程と、を備え得る。
【0114】
例示的な幾つかの実施形態を参照しながら本発明について説明したが、使用した文言は図示・説明の文言であって限定的な文言ではないことを理解されたい。本開示の態様の範囲や精神を逸脱しない範疇で変更が施されてもよく、同変更は現行・補正後にかかわらず添付の特許請求の範囲内のものであるとする。特定の手段や物体(materials)や実施形態を参照しながら本発明について説明したが、本発明は具体的な開示(particulars disclosed)に限定されないものとする。むしろ、本発明は機能的に等価なあらゆる構造、方法及び用途に及ぶものであり、これらも添付の特許請求の範囲内のものであるとする。
【0115】
例えば、前記コンピュータ読取り可能媒体は単一の媒体であるかの如く(as)説明しているかもしれないが、「コンピュータ読取り可能媒体」という用語は、集中型データベースや分散型データベースなどの単一の媒体や複数の媒体、および/または、1つ以上の命令群を記憶する対応付けられたキャッシュやサーバを包含するものとする。「コンピュータ読取り可能媒体」という用語は、さらに、プロセッサで実行される命令群を記憶、暗号化又は搬送することが可能なあらゆる媒体や、本明細書で開示した任意の1つ以上の実施形態をコンピュータシステムに実行させるあらゆる媒体も包含するものとする。
【0116】
前記コンピュータ読取り可能媒体は、非過渡的なコンピュータ読取り可能媒体および/または過渡的なコンピュータ読取り可能媒体からなり得る。本開示を限定しない例示的な特定の一実施形態では、前記コンピュータ読取り可能媒体が、例えばメモリカードや、1つ以上の不揮発性の読み出し専用メモリを収めたその他のパッケージ体等といった、固体メモリからなり得る。また、前記コンピュータ読取り可能媒体は、ランダムアクセスメモリ又はその他の書き換え可能揮発性メモリであってもよい。また、前記コンピュータ読取り可能媒体は、例えばディスクやテープや、伝送媒体で伝えられた信号などの搬送波信号を保存する(capture)その他の記憶装置等といった、光磁気媒体又は光媒体からなる場合もある。つまり、本開示は、データや命令が記憶され得るあらゆるコンピュータ読取り可能媒体やその他の等価物や後継の媒体も包含していると考えられたい。
【0117】
本願では、具体的な実施形態をコンピュータ読取り可能媒体のコンピュータプログラムやコードセグメントとして実現されるかの如く説明しているが、本明細書に記載した1つ以上の実施形態を実現するのに、特定用途向け集積回路(ASIC)、プログラマブルロジックアレイ、その他のハードウェア装置などの専用ハードウェア実現体を構築することも可能であると理解されたい。本明細書に記載した各(various)実施形態を具備し得る用途例には、様々な電子システムやコンピュータシステムが広く含まれ得る。つまり、本願は、ソフトウェア実現体やファームウェア実現体やハードウェア実現体、さらには、これらの組合せを包含し得る。本願のどの内容も、ハードウェアではなくソフトウェアでしか実現されないかの如く、あるいは、ハードウェアではなくソフトウェアでしか実現することができないかの如く解釈されるべきではない。
【0118】
本願では、具体的な実施形態のなかで特定の規格やプロトコルに準拠して実現され得るコンポーネントや機能について説明したが、本開示はそのような規格やプロトコルに限定されない。このような規格は、一定期間が経つと(periodically)、基本的に同じ機能を有するより高速な又はより効率的な等価物に取って代わられる。したがって、同じ又は同様の機能を有する後任の規格やプロトコルも、同規格や同プロトコルと等価的なものであると見なされる。
【0119】
本明細書に記載した実施形態についての図面は、各実施形態の基本的な(general)理解をもたらすためのものである。同図面は、本明細書で説明した構造や方法を用いた装置やシステムの構成や構成要素の全てを完全に説明するためのものではない。当業者であれば、本開示を検討することで他にも数多くの実施形態が明白となり得るであろう。本開示の範囲を逸脱しない範疇で構造や論理を置き換えたり変更したりすることで、本開示とは別の実施形態が用いられたり本開示から別の実施形態が導き出されたりし得る。また、図面は例示に過ぎず、縮尺どおりでない場合もある。図中の縮尺比(proportion)は誇張されている場合もあれば、わざと小さくしている場合もある。したがって、本開示と図面は、限定的なものではなく例示的なものと見なされるべきである。
【0120】
本明細書では、本開示の1つ以上の実施形態を、それぞれ単独で且つ/或いは複数まとめて「本発明」と言及している場合もあるが、これらは便宜上のものに過ぎず、本願の範囲を特定の発明や発明思想に意図的に限定しているわけではない。また、本明細書では特定の実施形態について図示・説明しているものの、図示の特定の実施形態がそれと同一又は同様の目的を達成するように設計された任意の後発的な配置構成と置き換えられてもよい点については分かるかと思われる。本開示は、各実施形態についての後発的なあらゆる改変物や変形物を包含しているものとする。当業者であれば、本説明を検討することで、前述の実施形態同士を組み合わせることや本明細書に具体的に記載されていない別の実施形態についても歴然となるであろう。
【0121】
要約書は、特許請求の範囲や意味の解釈や限定に利用されないという前提(understanding)の下で提出したものである。また、前述の詳細な説明では、本開示の合理化の目的から、様々な構成を互いに一まとめにしたり同じ(single)実施形態で説明したりしている場合がある。本開示は、各請求項に対応する実施形態が各請求項に明記しているものよりも多くの構成を要求していると示唆しているかの如く解釈されるべきではない。むしろ、添付の特許請求の範囲が表すように、発明の主題は、本開示の任意の実施形態内の全構成数よりも少ない数の構成に向けられているものであり得る。したがって、添付の特許請求の範囲は、各請求項が別々の発明の主題を独立して定めるようなかたちで前記詳細な説明へと読み込まれるものであるといえる。
【0122】
これまでに開示した主題は、例示的なものであって限定的なものではなく、かつ、添付の特許請求の範囲は、本開示の真正な精神及び範囲内に収まるものである限り、かかる変更、改良および他の実施形態を全て包含しているものとする。つまり、本開示の範囲は、法律が認める最大限の範疇における添付の特許請求の範囲及びその均等物についての最大限の広義な解釈によって決定されるものであり、前述の詳細な説明によって限定されたり制限されたりするものではない。
なお、本発明は、実施の態様として以下の内容を含む。
[態様1]
複数のアプリケーションへのアクセス権を付与するための最適数のクラスタを少なくとも1つのプロセッサ及び少なくとも1つのメモリを用いて自動的に生成する機械学習モデル実行モジュールを実装する方法であって、
ユーザの人事(HR)属性及びプロファイル情報データを記憶するデータベースを用意する過程と、
前記データベースにおけるユーザの前記HR属性及び前記プロファイル情報データにアクセスする過程と、
プロセッサを用いて階層クラスタリングアルゴリズムを適用し、ユーザの前記プロファイル情報データに対応したアプリケーションへの同ユーザが有するアクセス権に基づいて、アプリケーションへの一クラスタ内の全ユーザのアクセス権が互いに最も類似したものとなるようにユーザ同士をクラスタリングすることにより、機械学習モデルを生成する過程と、
前記データベースにおけるユーザの前記HR属性及び前記プロファイル情報データにアクセスする前記過程を、前記機械学習モデル用に最適数のクラスタが生成されたと判断されるまで反復する過程と、
を備える、方法。
[態様2]
態様1に記載の方法において、さらに、
ユーザの現行のアプリケーションと同ユーザが属するプロファイルに含まれるアプリケーションとの類似度を共通度とし、最大数の共通度を有する最小数のクラスタを求めることに基づいて、前記最適数のクラスタを求める過程、
を備える、方法。
[態様3]
態様2に記載の方法において、前記最適数のクラスタは、クラスタ数がx軸に対応して共通度がy軸に対応するグラフの曲線上の、クラスタ数をそれ以上増やしても共通度が増加しない一点である、方法。
[態様4]
態様2に記載の方法において、前記最大数の共通度は、ユーザの現行のアプリケーションと同ユーザが属するプロファイルに含まれるアプリケーションとが約70%から約90%の類似度であることを含む、方法。
[態様5]
態様1に記載の方法において、前記機械学習モデルが、前記最適数のクラスタを有するロールベースアクセス制御機械学習モデルである、方法。
[態様6]
態様1に記載の方法において、各クラスタが、同クラスタに属する全ユーザの固有セキュリティ識別子、およびユーザ同士に共通するアプリケーションへのアクセス権に関するデータを含む、方法。
[態様7]
態様1に記載の方法において、各ユーザの前記HR属性が、業務コード、コストセンター、場所、役職および職位のうちの少なくとも1つについてのデータを含む、方法。
[態様8]
態様1に記載の方法において、さらに、
前記機械学習モデル内の1つ以上のアプリケーションへのアクセス要求を新規ユーザから受け取る過程と、
前記新規ユーザのプロファイル情報に対応するアプリケーションと所与のクラスタに既に属しているユーザのプロファイル情報に対応するアプリケーションとの共通度を求めることに基づいて、前記機械学習モデルのうちの、同新規ユーザが属すべきクラスタを自動的に更新する過程と、
更新された前記クラスタに基づいて、前記機械学習モデルを動的に且つ自動的に更新する過程と、
更新された前記機械学習モデルにおける1つ以上の要求されたアプリケーションへのアクセス権を、前記新規ユーザにリアルタイムで付与する過程と、
を備える、方法。
[態様9]
態様8に記載の方法において、前記共通度は、前記新規ユーザのプロファイル情報に対応するアプリケーションと前記クラスタに既に属しているユーザのプロファイル情報に対応するアプリケーションとが約70%から約90%の類似度であることを含む、方法。
[態様10]
態様1に記載の方法において、さらに、
前記機械学習モデル内の1つ以上のアプリケーションへのアクセス要求を新規ユーザから受け取る過程と、
受け取った前記要求を前記機械学習モデルによってリアルタイムで評価し、前記新規ユーザのプロファイル情報が1つ以上の要求されたアプリケーションを含んでいないと判断することに基づいて、当該1つ以上の要求されたアプリケーションへのアクセス権を拒否する過程と、
を備える、方法。
[態様11]
複数のアプリケーションへのアクセス権を付与するための最適数のクラスタを自動的に生成する機械学習モデル実行モジュールを実装するシステムであって、
ユーザの人事(HR)属性及びプロファイル情報データを記憶するデータベースと、
通信ネットワークで前記データベースに動作可能に接続されたプロセッサと、
を備え、前記プロセッサは、
前記データベースにおけるユーザの前記HR属性及び前記プロファイル情報データにアクセスし、
階層クラスタリングアルゴリズムを適用し、ユーザの前記プロファイル情報データに対応したアプリケーションへの同ユーザが有するアクセス権に基づいて、アプリケーションへの一クラスタ内の全ユーザのアクセス権が互いに最も類似したものとなるようにユーザ同士をクラスタリングすることにより、機械学習モデルを生成し、
前記データベースにおけるユーザの前記HR属性及び前記プロファイル情報データにアクセスする処理を、前記機械学習モデル用に最適数のクラスタが生成されたと判断されるまで反復する、
ように構成されている、システム。
[態様12]
態様11に記載のシステムにおいて、前記プロセッサは、さらに、
ユーザの現行のアプリケーションと同ユーザが属するプロファイルに含まれるアプリケーションとの類似度を共通度とし、最大数の共通度を有する最小数のクラスタを求めることに基づいて、前記最適数のクラスタを求める、
ように構成されている、システム。
[態様13]
態様12に記載のシステムにおいて、前記最適数のクラスタは、クラスタ数がx軸に対応して共通度がy軸に対応するグラフの曲線上の、クラスタ数をそれ以上増やしても共通度が増加しない一点である、システム。
[態様14]
態様12に記載のシステムにおいて、前記最大数の共通度は、ユーザの現行のアプリケーションと同ユーザが属するプロファイルに含まれるアプリケーションとが約70%から約90%の類似度であることを含む、システム。
[態様15]
態様11に記載のシステムにおいて、各クラスタが、同クラスタに属する全ユーザの
固有セキュリティ識別子、およびユーザ同士に共通するアプリケーションへのアクセス権に関するデータを含む、システム。
[態様16]
態様11に記載のシステムにおいて、各ユーザの前記HR属性が、業務コード、コストセンター、場所、役職および職位のうちの少なくとも1つについてのデータを含む、システム。
[態様17]
態様11に記載のシステムにおいて、前記プロセッサは、さらに、
前記機械学習モデル内の1つ以上のアプリケーションへのアクセス要求を新規ユーザから受け取り、
前記新規ユーザのプロファイル情報に対応するアプリケーションと所与のクラスタに既に属しているユーザのプロファイル情報に対応するアプリケーションとの共通度を求めることに基づいて、前記機械学習モデルのうちの、同新規ユーザが属すべきクラスタを自動的に更新し、
更新された前記クラスタに基づいて、前記機械学習モデルを動的に且つ自動的に更新し、
更新された前記機械学習モデルにおける1つ以上の要求されたアプリケーションへのアクセス権を、前記新規ユーザにリアルタイムで付与する、
ように構成されている、システム。
[態様18]
態様17に記載のシステムにおいて、前記共通度は、前記新規ユーザのプロファイル情報に対応するアプリケーションと前記クラスタに既に属しているユーザのプロファイル情報に対応するアプリケーションとが約70%から約90%の類似度であることを含む、システム。
[態様19]
態様11に記載のシステムにおいて、前記プロセッサは、さらに、
前記機械学習モデル内の1つ以上のアプリケーションへのアクセス要求を新規ユーザから受け取り、
受け取った前記要求を前記機械学習モデルによってリアルタイムで評価し、前記新規ユーザのプロファイル情報が1つ以上の要求されたアプリケーションを含んでいないと判断することに基づいて、当該1つ以上の要求されたアプリケーションへのアクセス権を拒否する、
ように構成されている、システム。
[態様20]
複数のアプリケーションへのアクセス権を付与するための最適数のクラスタを自動的に生成する機械学習モデル実行モジュールを実装するための命令を記憶するように構成された非過渡的なコンピュータ読取り可能媒体であって、
前記命令が実行されると、プロセッサは、
データベースにおけるユーザの人事(HR)属性及びプロファイル情報データにアクセスする手順と、
階層クラスタリングアルゴリズムを適用し、ユーザの前記プロファイル情報データに対応したアプリケーションへの同ユーザが有するアクセス権に基づいて、アプリケーションへの一クラスタ内の全ユーザのアクセス権が互いに最も類似したものとなるようにユーザ同士をクラスタリングすることにより、機械学習モデルを生成する手順と、
前記データベースにおけるユーザの前記HR属性及び前記プロファイル情報データにアクセスする前記手順を、前記機械学習モデル用に最適数のクラスタが生成されたと判断されるまで反復する手順と、
を実行する、非過渡的なコンピュータ読取り可能媒体。
図1
図2
図3
図4
図5
図6A
図6B
図7
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.