IP Force 特許公報掲載プロジェクト 2022.1.31 β版

知財求人 - 知財ポータルサイト「IP Force」

▶ 株式会社日立製作所の特許一覧

特許7564144ポリシー設定制御装置、ポリシー設定制御方法、及びポリシー設定制御プログラム
<>
  • 特許-ポリシー設定制御装置、ポリシー設定制御方法、及びポリシー設定制御プログラム 図1
  • 特許-ポリシー設定制御装置、ポリシー設定制御方法、及びポリシー設定制御プログラム 図2
  • 特許-ポリシー設定制御装置、ポリシー設定制御方法、及びポリシー設定制御プログラム 図3
  • 特許-ポリシー設定制御装置、ポリシー設定制御方法、及びポリシー設定制御プログラム 図4
  • 特許-ポリシー設定制御装置、ポリシー設定制御方法、及びポリシー設定制御プログラム 図5
  • 特許-ポリシー設定制御装置、ポリシー設定制御方法、及びポリシー設定制御プログラム 図6
  • 特許-ポリシー設定制御装置、ポリシー設定制御方法、及びポリシー設定制御プログラム 図7
  • 特許-ポリシー設定制御装置、ポリシー設定制御方法、及びポリシー設定制御プログラム 図8
  • 特許-ポリシー設定制御装置、ポリシー設定制御方法、及びポリシー設定制御プログラム 図9
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-09-30
(45)【発行日】2024-10-08
(54)【発明の名称】ポリシー設定制御装置、ポリシー設定制御方法、及びポリシー設定制御プログラム
(51)【国際特許分類】
   G06F 21/60 20130101AFI20241001BHJP
【FI】
G06F21/60 340
【請求項の数】 13
(21)【出願番号】P 2022041067
(22)【出願日】2022-03-16
(65)【公開番号】P2023135797
(43)【公開日】2023-09-29
【審査請求日】2024-02-21
(73)【特許権者】
【識別番号】000005108
【氏名又は名称】株式会社日立製作所
(74)【代理人】
【識別番号】110000279
【氏名又は名称】弁理士法人ウィルフォート国際特許事務所
(72)【発明者】
【氏名】馬場 恒彦
(72)【発明者】
【氏名】大越 淳平
(72)【発明者】
【氏名】増田 博亮
【審査官】塩澤 如正
(56)【参考文献】
【文献】特開平7-141296(JP,A)
【文献】特開2009-193289(JP,A)
【文献】特開2007-233610(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/60
(57)【特許請求の範囲】
【請求項1】
資源に対するアクセスを制御するポリシーの設定を制御するポリシー設定制御装置であって、
前記ポリシー設定制御装置は、プロセッサを有し、
前記ポリシーは、アクセス対象の資源と、アクセスする主体と、アクセスの動作とを含み、
前記プロセッサは、
新たに設定する候補となる候補ポリシーの入力を受け付け、
前記候補ポリシーに含まれる主体及び/又は資源の値に対応する属性値を取得し、
前記候補ポリシーの主体及び/又は資源の値を、前記取得した属性値に変更することにより、1以上の変換後ポリシーを生成し、
生成したすべての変換後ポリシーについて、既存ポリシーと整合性がとれている場合には、前記候補ポリシーを新たなポリシーとして設定させる
ポリシー設定制御装置。
【請求項2】
前記プロセッサは、
前記変換後ポリシーと前記既存ポリシーとの整合性がとれているか否かを判定する
請求項1に記載のポリシー設定制御装置。
【請求項3】
前記プロセッサは、
前記変換後ポリシーと前記既存ポリシーとの整合性がとれていない場合には、前記候補ポリシーにおける動作を実行しないと変更し、変更後のポリシーを設定させる
請求項1に記載のポリシー設定制御装置。
【請求項4】
前記プロセッサは、
前記変換後ポリシーと前記既存ポリシーとの整合性がとれていない場合には、前記候補ポリシーをより狭いポリシーに変更し、変更後のポリシーを設定させる
請求項1に記載のポリシー設定制御装置。
【請求項5】
前記プロセッサは、
前記変換後ポリシーと前記既存ポリシーとの整合性がとれていない場合には、前記候補ポリシーの動作をより狭い動作に変更する
請求項4に記載のポリシー設定制御装置。
【請求項6】
前記プロセッサは、
前記候補ポリシーを、前記候補ポリシーの資源の少なくとも一部のデータをマスキングして提供する動作に変更する
請求項5に記載のポリシー設定制御装置。
【請求項7】
前記プロセッサは、
前記変換後ポリシーと前記既存ポリシーとの整合性がとれていない場合には、管理者から修正ポリシーを受け付け、候補ポリシーを前記修正ポリシーに対応する内容に変更し、変更後のポリシーを新たなポリシーとして設定させる
請求項1に記載のポリシー設定制御装置。
【請求項8】
前記プロセッサは、
前記修正ポリシーが、既存ポリシーとの整合性をとれている場合に、前記候補ポリシーを前記修正ポリシーに対応する内容に変更し、変更後のポリシーを新たなポリシーとして設定させる
請求項7に記載のポリシー設定制御装置。
【請求項9】
前記プロセッサは、
前記候補ポリシーの第1資源と類似する第2資源に対するポリシーに基づいて、前記第1資源に対するポリシーを類推し、類推したポリシーを前記既存ポリシーに追加する
請求項1に記載のポリシー設定制御装置。
【請求項10】
前記第1資源及び第2資源は、テーブルである
請求項9に記載のポリシー設定制御装置。
【請求項11】
前記プロセッサは、
前記変換後ポリシーと、前記変換後ポリシーと前記既存ポリシーとの整合性結果とを表示出力させる
請求項1に記載のポリシー設定制御装置。
【請求項12】
資源に対するアクセスを制御するポリシーの設定を制御するポリシー設定制御装置によるポリシー設定制御方法であって、
前記ポリシーは、アクセス対象の資源と、アクセスする主体と、アクセスの動作とを含み、
前記ポリシー設定制御装置は、
新たに設定する候補となる候補ポリシーの入力を受け付け、
前記候補ポリシーに含まれる主体及び/又は資源の値に対応する属性値を取得し、
前記候補ポリシーの主体及び/又は資源の値を、前記取得した属性値に変更することにより、1以上の変換後ポリシーを生成し、
生成したすべての変換後ポリシーについて、既存ポリシーと整合性がとれている場合には、前記候補ポリシーを新たなポリシーとして設定させる
ポリシー設定制御方法。
【請求項13】
資源に対するアクセスを制御するポリシーの設定を制御するコンピュータに実行させるポリシー設定制御プログラムであって、
前記ポリシーは、アクセス対象の資源と、アクセスする主体と、アクセスの動作とを含み、
前記コンピュータに、
新たに設定する候補となる候補ポリシーの入力を受け付けさせ、
前記候補ポリシーに含まれる主体及び/又は資源の値に対応する属性値を取得させ、
前記候補ポリシーの主体及び/又は資源の値を、前記取得した属性値に変更することにより、1以上の変換後ポリシーを生成させ、
生成したすべての変換後ポリシーについて、既存ポリシーと整合性がとれている場合には、前記候補ポリシーを新たなポリシーとして設定させる
ポリシー設定制御プログラム。


【発明の詳細な説明】
【技術分野】
【0001】
本発明は、データが格納される資源に対するアクセスのポリシーの設定を制御する技術に関する。
【背景技術】
【0002】
例えば、企業では、組織変更や人事異動が行われると、ユーザに関するアイデンティティ情報であるユーザ属性情報が更新される。これに伴って、企業で使用している情報システムにおいては、データへのアクセスに関するポリシーの更新作業や、システム環境の更新作業が必要となる。一般的には、ポリシーの更新作業や、システム環境の更新作業は、人手を介して行われることとなる。
【0003】
データへのアクセスに関するポリシーは、例えば、ユーザ等の主体、アクセス方法等の動作、及びデータストア等の資源(リソース)により構成され、これらの要素と属性によって構成される。情報システムにおいては、マスタデータ管理、セキュリティ・プライバシー管理、ライフサイクル管理等の管理目的に応じて異なる体系のポリシーが利用されており、データガバナンスでは、これらの異なる体系においてポリシーの整合性が保たれることが不可欠である。
【0004】
ポリシーに関する技術としては、例えば、組織の複数の層からポリシー入力を収集し及び該組織の複数の層にわたって一貫性を有するセキュリティポリシーを生成するサービスが知られている(特許文献1参照)。また、階層関係にある対象にそれぞれ対応するポリシが存在する場合に、対象同士の階層関係を予め関係付けておき、任意の対象に対応するポリシについて、そのポリシに対応する対象を基に階層関係での上位対象を特定しそれに対応する相手ポリシとの矛盾の有無などを判定し出力する技術が知られている(特許文献2参照)。また、第1ユーザIDに対応した第2ユーザIDを少なくとも含む複数の項目が関連付けられたユーザ属性情報を記述した少なくとも1つの条件から成り、ユーザ属性情報の値が前記条件を満足する時にサービスの利用を許可する各サービスの利用権限を規定した複数のポリシを記憶するポリシ記憶装置と、ユーザ属性情報が変更されたときに記憶された各ポリシを更新可能なポリシ更新装置と、変更後のユーザ属性情報と、変更前のユーザ属性情報の値と変更後のユーザ属性情報の値とを含む第2ユーザID毎の変更内容とを記憶するユーザ属性情報記憶装置とを含むシステムが知られている(特許文献3参照)。
【先行技術文献】
【特許文献】
【0005】
【文献】特表2014-519131号公報
【文献】特開2012-108629号公報
【文献】国際公開第2014/049741号
【発明の概要】
【発明が解決しようとする課題】
【0006】
新たなポリシーを設定する場合には、既存のポリシーと整合性がとれていることが必要であるが、このようなポリシーを把握して設定することは、手間がかかり困難である場合が多い。
【0007】
本発明は、上記事情に鑑みなされたものであり、その目的は、ポリシーを容易且つ適切に設定することのできる技術を提供することにある。
【課題を解決するための手段】
【0008】
上記目的を達成するため、一観点に係るポリシー設定制御装置は、資源に対するアクセスを制御するポリシーの設定を制御するポリシー設定制御装置であって、前記ポリシー設定制御装置は、プロセッサを有し、前記ポリシーは、アクセス対象の資源と、アクセスする主体と、アクセスの動作とを含み、前記プロセッサは、新たに設定する候補となる候補ポリシーの入力を受け付け、前記候補ポリシーに含まれる主体及び/又は資源の値に対応する属性値を取得し、前記候補ポリシーの主体及び/又は資源の値を、前記取得した属性値に変更することにより、1以上の変換後ポリシーを生成し、生成したすべての変換後ポリシーについて、既存ポリシーと整合性がとれている場合には、前記候補ポリシーを新たなポリシーとして設定させる。
【発明の効果】
【0009】
本発明によれば、ポリシーを容易且つ適切に設定することができる。
【図面の簡単な説明】
【0010】
図1図1は、一実施形態に係るポリシー利用システムの全体構成図である。
図2図2は、一実施形態に係るポリシー設定制御装置の構成図である。
図3図3は、一実施形態に係るポリシー決定処理のフローチャートである。
図4図4は、第1実施例に係るポリシー設定制御装置の第1処理動作例を説明する図である。
図5図5は、第1実施例に係るポリシー設定制御装置の第2処理動作例を説明する図である。
図6図6は、第2実施例に係るポリシー設定制御装置の処理動作例を説明する図である。
図7図7は、第3実施例に係るポリシー設定制御装置の処理動作例を説明する図である。
図8図8は、第4実施例に係るポリシー設定制御装置の第1処理動作例を説明する図である。
図9図9は、第4実施例に係るポリシー設定制御装置の第2処理動作例を説明する図である。
【発明を実施するための形態】
【0011】
実施形態について、図面を参照して説明する。なお、以下に説明する実施形態は特許請求の範囲に係る発明を限定するものではなく、また実施形態の中で説明されている諸要素及びその組み合わせの全てが発明の解決手段に必須であるとは限らない。
【0012】
以下の説明では、「AAAテーブル」の表現にて情報を説明することがあるが、情報は、どのようなデータ構造で表現されていてもよい。すなわち、情報がデータ構造に依存しないことを示すために、「AAAテーブル」を「AAA情報」と呼ぶことができる。
【0013】
図1は、第1実施形態に係るポリシー利用システムの全体構成図である。
【0014】
ポリシー利用システム1は、PAP(Policy Administration Point)サーバ10と、ポリシー設定制御装置100と、PIP(Policy Information Point)サーバ20とを備える。PAPサーバ10と、ポリシー設定制御装置100と、PIPサーバ20とは、例えば、WAN(Wide Area Netowork)、LAN(Local Area Network)等を介して接続されている。
【0015】
PAPサーバ10は、データを管理する資源に対するアクセス制御ポリシーを管理する。具体的には、PAPサーバ10は、資源を利用する主体からの資源に対する動作の指示を受け付けて、資源に対して指示された動作を許容するか否かを判定し、許容すると判定した場合に、主体からの資源に対する動作を許容する。PIPサーバ20は、主体、資源、各種環境の属性情報等を管理する。
【0016】
ポリシー設定制御装置100は、ポリシーマッピング部101と、ポリシールール記憶部102と、PDP問い合わせ部104と、ポリシー判定部105と、ポリシー判定結果チェック部107と、ポリシー決定部108と、ポリシー自動修正部109と、ポリシー受付部110と、類似ポリシー抽出部111とを含む。
【0017】
ポリシー記憶部102は、PAPサーバ10で使用しているポリシーを特定可能なルール(ポリシールール)を格納する。ポリシールールは、PAPサーバ10で使用している複数のポリシーであってもよい。この場合、任意のタイミングでPAPサーバ10からポリシーを取得するようにしてもよい。
【0018】
ポリシーマッピング部101は、PAPサーバ10から候補となる入力ポリシー11(候補ポリシー)を受け付け、ポリシールール記憶部102のポリシールールを参照し、PIPサーバ20から入力ポリシー11に対応する必要な属性情報を取得し、入力ポリシー11に対して取得した属性情報を適用した変換後ポリシー103を生成する。
【0019】
PDP問い合わせ部104は、変換後ポリシー103の各ポリシーについてポリシー判定部105に既存ポリシーに適合するかを問合せ、ポリシー判定部105から判定結果を受け取り、変換後ポリシー103に対して判定結果を対応付けた判定後ポリシー106を出力する。
【0020】
ポリシー判定部105は、PDP(Policy Decision Point)として機能し、PDP問い合わせ部104から問い合わせを受けた各変換後ポリシー103のそれぞれについて既存ポリシーに適合するか否かを判定し、判定結果(整合性結果)をPDP問い合わせ部104に通知する。
【0021】
ポリシー判定結果チェック部107は、判定後ポリシー106を参照し、判定後ポリシー106のすべてが既存ポリシーに適合するか否かを判定し、判定後ポリシー106のすべてが既存ポリシーを満たしている場合(可である場合)には、ポリシー決定部108にその旨を通知する一方、判定後ポリシー106のいずれかが既存ポリシーを満たしていない場合(不可である場合)には、その旨をポリシー自動修正部109に通知する。なお、ポリシー判定結果チェック部107は、判定後ポリシー106を管理者が認識可能に表示出力してもよい。
【0022】
類似ポリシー抽出部111は、入力ポリシー11のデータ属性に類似するデータ属性のポリシーをポリシールール記憶部102のポリシールールに基づいて修正した修正ポリシー候補をポリシー自動修正部109に出力する。
【0023】
ポリシー自動修正部109は、ポリシー判定結果チェック部107から既存ポリシーを満たしていない旨の通知を受けた場合において、入力ポリシー11を既存ポリシーに矛盾しないポリシーに修正する。なお、類似ポリシー抽出部111から抽出された修正ポリシー候補を修正してもよい。
【0024】
ポリシー受付部110は、データ管理者から新たに適用する修正ポリシーを受け付ける。なお、ポリシー受付部110は、ポリシー自動修正部109により作成されたポリシーに対する修正を受け付けることにより、修正ポリシーを受け付けてもよい。
【0025】
ポリシー決定部108は、ポリシー判定結果チェック部107から判定後ポリシー106のすべてが既存ポリシーを満たしている旨の通知を受けた場合における入力ポリシー11、ポリシー自動修正部109から受け付けた修正ポリシー、又はポリシー受付部110がデータ管理者から受け付けた管理者入力ポリシーのいずれかをPAPサーバ10に設定する確定ポリシー112に決定し、PAPサーバ10に送信する。
【0026】
図2は、一実施形態に係るポリシー設定制御装置の構成図である。
【0027】
ポリシー設定制御装置100は、例えば、PC(Personal Computer)やサーバ装置等のコンピュータにより構成され、通信インターフェース(I/F)121と、プロセッサの一例としてのCPU(Central Processing Unit)122と、入力装置123と、記憶デバイス124と、メモリ125と、表示装置126と、を備えている。通信I/F121と、CPU122と、入力装置123と、記憶デバイス124と、メモリ125と、表示装置126とは、内部バス127を介して接続されている。
【0028】
通信I/F121は、例えば、有線LANカードや無線LANカードなどのインターフェースであり、図示しないネットワークを介して他の装置(例えば、PAPサーバ10、PIPサーバ20)と通信する。
【0029】
CPU122は、メモリ125及び/又は記憶デバイス124に格納されているプログラムに従って各種処理を実行する。本実施形態では、ポリシーマッピング部101、PDP問い合わせ部104、ポリシー判定部105、ポリシー判定結果チェック部107、ポリシー決定部108、ポリシー自動修正部109、ポリシー受付部110、及び類似ポリシー抽出部111は、メモリ125に格納されているポリシー設定制御プログラムをCPU122が実行することにより構成される。
【0030】
メモリ125は、例えば、RAM(RANDOM ACCESS MEMORY)であり、CPU122で実行されるプログラム(例えば、ポリシー設定制御プログラム)や、必要な情報を記憶する。メモリ125は、変換後ポリシー103や、判定後ポリシー106を記憶する。
【0031】
記憶デバイス124は、例えば、ハードディスクやフラッシュメモリなどであり、CPU122で実行されるプログラムや、CPU122に利用されるデータを記憶する。本実施形態では、記憶デバイス124は、ポリシールール記憶部102に対応する。
【0032】
入力装置123は、例えば、マウス、キーボード等であり、ユーザによる情報の入力を受け付ける。表示装置126は、例えば、ディスプレイであり、各種情報を含むユーザインターフェースを表示出力する。
【0033】
次に、ポリシー決定処理について説明する。
【0034】
図3は、一実施形態に係るポリシー決定処理のフローチャートである。
【0035】
ポリシーマッピング部101は、PAPサーバ10から新たに設定する候補とする入力ポリシー11を受信する(ステップS11)。
【0036】
次いで、ポリシーマッピング部101は、入力ポリシー11のポリシー体系を判定し、ポリシールール記憶部102から入力ポリシー11に対して適用可能な既存ポリシーのポリシー体系を抽出し、抽出したポリシー体系に必要な属性情報をPIPサーバ20から取得し、入力ポリシー11を、取得した属性情報により変換することにより変換後ポリシー103を生成する(ステップS12)。
【0037】
次いで、PDP問い合わせ部104は、ポリシー判定部105によって、変換後ポリシー103が既存ポリシーに適合するか否かを判定させ、判定結果を受け付けて、判定後ポリシー106を生成する(ステップS13)。
【0038】
次いで、ポリシー判定結果チェック部107は、判定後ポリシー106を参照し、すべての変換後ポリシーに対する判定結果が可である否かを判定する(ステップS14)。
【0039】
この結果、すべての判定結果が可である場合(ステップS14:YES)には、ポリシー決定部108は、入力ポリシー11を設定するポリシーに確定し(ステップS15)、処理をステップS17に進める。一方、いずれかの判定結果が不可である場合(ステップS14:NO)には、ポリシー自動修正部109は、矛盾が生じないポリシーを用いて、入力ポリシー11を修正し(ステップS16)、処理をステップS17に進める。
【0040】
ステップS17では、ポリシー決定部108は、ポリシー受付部110によりデータ管理者からの修正を受け付けた場合には、入力ポリシー11又はポリシー自動修正部109により修正されたポリシーを、データ管理者からの指示に従って書き換えて確定ポリシーを生成し、確定ポリシーをPAPサーバ10に送信し、ポリシー決定処理を終了する。
【0041】
次に、第1実施例に係るポリシー設定制御装置100の第1処理動作例を説明する。
【0042】
図4は、第1実施例に係るポリシー設定制御装置の第1処理動作例を説明する図である。
【0043】
ここで、第1処理動作例では、データ資源としては、図4(A)に示すように、データストア1に実データ1が存在し、データストア2に実データ2(テーブル2)が存在し、ABAC(Attribute Based Access Control)が採用されている体系AにおけるポリシーX1、X2が存在し、RBAC(Role Based Access Control)が採用されている体系Bに従ったポリシーY1が存在し、ポリシーZ0を新たに設定する候補のポリシー(入力ポリシー)とする場合を図4(B)を参照して説明する。
【0044】
入力ポリシー401は、ポリシーIDがポリシーZ0であり、主体がユーザBであり、動作がCRUD(Create/Read/Update/Delete)であり、資源が実データ2となっている。
【0045】
PIPサーバ20は、ユーザの属性を管理するユーザ情報テーブル201を記憶している。ユーザ情報テーブル201は、ユーザ毎の属性情報を含むエントリを格納する。ユーザ情報テーブル201のエントリは、ユーザIDと、組織と、役職と、役割とのフィールドを含む。ユーザIDには、エントリに対応するユーザのIDが格納される。組織には、エントリに対応するユーザの属する組織名が格納される。役職には、エントリに対応するユーザの役職が格納される。役割には、エントリに対応するユーザの役割が格納される。図4の例では、ユーザAは、製造Aの組織に属し、役職は主任であり、役割はデータ管理者である。ユーザBは、事務Cの組織に属し、役職は主任であり、役割はデータ管理者である。ユーザCは、分析Eの組織に属し、役職は主任であり、役割はデータ利用者である。
【0046】
ポリシールール記憶部102のポリシールール406は、ポリシーIDと、主体と、動作と、資源とを含む1以上のポリシーを格納する。図4の例では、ポリシールール406には、ポリシーX1と、ポリシーX2と、ポリシーY1とが含まれている。
【0047】
ポリシーマッピング部101は、入力ポリシー401であるポリシーZ0を受け付ける。次いで、ポリシーマッピング部101は、ポリシールール406を参照して、主体及び/又は資源についての属性情報を取得するためにPIPサーバ20に入力する必要がある項目(入力項目)を特定する。例えば、図4の例では、主体については、ポリシールール406の主体に設定されている情報から、ユーザ役職と、ユーザ役割とを特定し、資源については、データストアを特定する。次いで、ポリシーマッピング部101は、特定した入力項目と、入力ポリシー401の主体及び/又は資源の設定値とを対応付けた属性問合せ情報を、PIPサーバ20に入力する。ここで、図4の例では、属性問合せ情報は、属性取得インターフェース402の「in:」から始まる情報である。
【0048】
PIPサーバ20は、ポリシーマッピング部101から属性問合せ情報を取得すると、ユーザ情報テーブル201等を参照して、属性問合せ情報に含まれる主体及び/又は資源に対応する属性情報を特定し、問合せ回答情報としてポリシーマッピング部101に返送する。ここで、図4の例では、問合せ回答情報は、属性取得インターフェース402の「Out:」から始まる情報である。図4の例では、ユーザBの役職として、主任が返され、ユーザBの役割として、データ管理者が返され、実データ2の属するデータストアとして、データストア2が返されている。
【0049】
次いで、ポリシーマッピング部101は、入力ポリシー401に対して、取得した属性を当てはめることによりポリシーを変換して1以上の変換後ポリシー403を生成する。ここで、生成する変換後ポリシーとしては、すべての可能性のある組合せに対応するポリシーとしてもよいし、判定する必要がないと考えられるポリシーについては含めなくてもよい。
【0050】
図4の例では、ポリシーマッピング部101は、変換後ポリシー403として、主体がユーザ役割=データ管理者であり、動作がCRUDであり、資源がデータストア2であるポリシーZ0-1と、主体がユーザ役職=主任であり、動作がCRUDであり、資源がデータストア2であるポリシーZ0-2とが生成される。
【0051】
次いで、PDP問い合わせ部104は、ポリシー判定部105に変換後ポリシー403のそれぞれについて既存ポリシー(本実施例では、基本的には、ポリシールール406と同じ内容)に適合するか否かを判定させ、判定結果(応答)404を受け付けて、変換後ポリシー403と判定結果404とを組み合わせて判定後ポリシー405を生成する。
【0052】
図4の例では、ポリシー判定部105は、ポリシーZ0-1については、ポリシーY1に適合していると判定してOK(可)を返し、ポリシーZ0-2については、ポリシーX1に適合していると判定してOK(可)を返す。
【0053】
次いで、ポリシー判定結果チェック部107は、判定後ポリシー405を参照し、すべてのポリシーに対する判定結果が可である否かを判定し、本例では、すべてのポリシーに対する判定結果が可であるので、ポリシー決定部108にすべてが可であることを通知する。
【0054】
ポリシー決定部108は、ポリシー判定結果チェック部107からすべてのポリシーに対する判定結果が可であるとの通知を受けると、ポリシー受付部110が、入力ポリシー401をPAPサーバ10に設定する確定ポリシー112に決定し、PAPサーバ10に送信する。なお、この後、PAPサーバ10は、確定ポリシー112を登録し、この登録された確定ポリシー112を用いて、アクセス判定を行うこととなる。
【0055】
この処理によると、複数の体系において矛盾のない入力ポリシーを適切にPAPサーバ10に登録することができる。
【0056】
次に、第1実施例に係るポリシー設定制御装置100の第2処理動作例を説明する。なお、第1処理動作例と同様な構成については同一の符号を付し、重複する説明を省略する場合がある。
【0057】
図5は、第1実施例に係るポリシー設定制御装置の第2処理動作例を説明する図である。
【0058】
ここで、第2処理動作例では、データ資源としては、図5(A)に示すように、データストア1に実データ1が存在し、データストア2に実データ2(テーブル2)が存在し、ABACが採用されている体系AにおけるポリシーX1、X2が存在し、RBACが採用されている体系Bに従ったポリシーY1が存在し、ポリシーZ1を新たに設定する候補のポリシー(入力ポリシー)とし、ポリシーZ1に代えて修正したポリシーZ1’を設定する場合を図5(B)を参照して説明する。
【0059】
入力ポリシー501は、ポリシーIDがポリシーZ1であり、主体がユーザ=“ユーザC”であり、動作がCRUDであり、資源が実データ2となっている。
【0060】
PIPサーバ20は、ユーザの属性を管理するユーザ情報テーブル201と、資源情報テーブル202とを記憶している。資源情報テーブル202は、資源に対応する属性情報を含むエントリを格納する。資源情報テーブル202のエントリは、資源IDと、役職と、役割と、動作とのフィールドを含む。資源IDには、エントリに対応する資源のIDが格納される。役職には、エントリに対応する資源にアクセス可能な役職名が格納される。なお、アクセス可能な役職の指定がない場合には、任意の役職でいいことを示す記号(例えば、*)が格納される。役割には、エントリに対応する資源にアクセス可能な役割が格納される。なお、アクセス可能な役割の指定がない場合には、任意の役割でいいことを示す記号(例えば、*)が格納される。動作には、エントリに対応する資源にアクセス可能な動作が格納される。図5の例では、資源情報テーブル202は、データストア2に対しては、役割がデータ管理者である場合に、CRUDのアクセスが可能であり、また、データストア2に対しては役職が担当である場合に、R(Read)のアクセスが可能であることを示している。
【0061】
ポリシーマッピング部101は、入力ポリシー501であるポリシーZ1を受け付ける。次いで、ポリシーマッピング部101は、ポリシールール406を参照して、主体及び/又は資源についての属性情報を取得するためにPIPサーバ20に入力する必要がある項目(入力項目)を特定する。例えば、図5の例では、主体については、ポリシールール406の主体に設定されている情報から、ユーザ役職と、ユーザ役割とを特定し、資源については、データストアを特定する。次いで、ポリシーマッピング部101は、特定した入力項目と、入力ポリシー501の主体及び/又は資源の設定値とを対応付けた属性問合せ情報を、PIPサーバ20に入力する。ここで、図5の例では、属性問合せ情報は、属性取得インターフェース502の「in:」から始まる情報である。
【0062】
PIPサーバ20は、ポリシーマッピング部101から属性問合せ情報を取得すると、ユーザ情報テーブル201、資源情報テーブル202等を参照して、属性問合せ情報に含まれる主体及び/又は資源に対応する属性情報を特定し、問合せ回答情報としてポリシーマッピング部101に返送する。ここで、図5の例では、問合せ回答情報は、属性取得インターフェース402の「Out:」から始まる情報である。図5の例では、ユーザCの役職として、主任が返され、ユーザCの役割として、データ利用者が返され、実データ2の属するデータストアとして、データストア2が返されている。
【0063】
次いで、ポリシーマッピング部101は、入力ポリシー501に対して、取得した属性を当てはめることによりポリシーを変換して1以上の変換後ポリシー503を生成する。ここで、生成する変換後ポリシーとしては、すべての可能性のある組合せに対応するポリシーとしてもよいし、判定する必要がないと考えられるポリシーについては含めなくてもよい。
【0064】
図5の例では、ポリシーマッピング部101は、変換後ポリシー503として、主体がユーザ役割=データ利用者であり、動作がCRUDであり、資源がデータストア2であるポリシーZ1-1と、主体がユーザ役職=データ利用者であり、動作がCRUDであり、資源がデータストア2であるポリシーZ1-2とが生成される。
【0065】
次いで、PDP問い合わせ部104は、ポリシー判定部105に変換後ポリシー503のそれぞれについて既存ポリシーに適合するか否かを判定させ、判定結果(応答)504を受け付けて、変換後ポリシー503と判定結果504とを組み合わせて判定後ポリシー505を生成する。
【0066】
図5の例では、ポリシー判定部105は、ポリシーZ1-1については、ポリシーY1に適合していないと判定してNG(不可)を返し、ポリシーZ1-2については、ポリシーX1に適合していると判定してOK(可)を返す。
【0067】
次いで、ポリシー判定結果チェック部107は、判定後ポリシー505を参照し、すべてのポリシーに対する判定結果が可である否かを判定し、本例では、すべてのポリシーに対する判定結果が可でないので、ポリシー自動修正部109に判定結果が不可であることを通知する。
【0068】
ポリシー自動修正部109は、ポリシー判定結果チェック部107から判定結果が不可であるとの通知を受けると、ポリシー自動修正部109は、入力ポリシー501をポリシールール406と矛盾しないポリシー(自動修正ポリシー507)に修正し、ポリシー決定部108に渡す。矛盾しないポリシーへの修正方法としては、例えば、入力ポリシー501の動作をDENY(アクセス不可)とする。
【0069】
ポリシー決定部108は、ポリシー自動修正部109から受け取った自動修正ポリシー507をPAPサーバ10に設定する確定ポリシー112に決定し、PAPサーバ10に送信する。
【0070】
なお、ポリシー自動修正部109により生成された自動修正ポリシー507について、入力ポリシー501と同様なチェックをして、変換後ポリシーのすべてについての判定結果が可である場合にのみ、ポリシー決定部108に渡すようにしてもよい。
【0071】
この処理によると、入力ポリシーを矛盾のない適切なポリシーに修正して登録することができる。
【0072】
次に、第2実施例に係るポリシー設定制御装置の処理動作例を説明する。なお、第2実施例に係るポリシー設定制御装置の基本的な構成は、第1実施例に係るポリシー設定制御装置100と、同様であるので、便宜的に、第1実施例と同様又は対応する構成については、同一の符号を付し、重複する説明を省略する場合がある。
【0073】
図6は、第2実施例に係るポリシー設定制御装置の処理動作を説明する図である。
【0074】
ここで、この処理動作例では、データ資源としては、図6(A)に示すように、データストア1に実データ1が存在し、データストア2に実データ2(テーブル2)が存在し、ABACが採用されている体系AにおけるポリシーX1、X2が存在し、RBACが採用されている体系Bに従ったポリシーY1が存在し、ポリシーZ1を新たに設定する候補のポリシー(入力ポリシー)とし、ポリシーZ1に代えて管理者の修正に基づくポリシーZ1’’を設定する場合を図6(B)を参照して説明する。
【0075】
PIPサーバ20は、ユーザの属性を管理するユーザ情報テーブル201と、資源情報テーブル202とを記憶している。なお、資源情報テーブル202における3行目のエントリについては、処理の開始時点においては、存在していない。
【0076】
本処理動作例では、上記した第1実施例の第2処理動作例における自動修正ポリシー507を生成するまでの処理は同様である。
【0077】
ポリシー受付部110は、生成された自動修正ポリシー507を表示し、データ管理者から新たに適用する修正ポリシー(管理者修正ポリシー508)を受け付ける。図6の例では、管理者修正ポリシー508は、ポリシーIDがポリシーZ1’であり、主体がユーザ.役割=“データ利用者”であり、動作がRであり、資源がデータストア2となっている。
【0078】
ポリシー決定部108は、ポリシー受付部110がデータ管理者から受け付けた管理者修正ポリシーに基づいて、自動修正ポリシー507を修正して(例えば、動作を変更した内容に修正して)再修正ポリシー509を生成し、再修正ポリシー509をPAPサーバ10に設定する確定ポリシー112に決定し、PAPサーバ10に送信する。なお、ポリシー決定部108は、管理者修正ポリシー508に対応するエントリ(図6(B)の資源情報テーブル202の3つ目のエントリ)を資源情報テーブル202に追加するようにしてもよい。
【0079】
この処理によると、入力ポリシーを矛盾のないポリシーに修正し、このポリシーに対して管理者の修正を受け付けて再修正したポリシーを登録することができる。
【0080】
次に、第3実施例に係るポリシー設定制御装置の処理動作例を説明する。なお、第3実施例に係るポリシー設定制御装置の基本的な構成は、第1実施例に係るポリシー設定制御装置100と、同様であるので、便宜的に、第1実施例と同様又は対応する構成については、同一の符号を付し、重複する説明を省略する場合がある。
【0081】
図7は、第3実施例に係るポリシー設定制御装置の処理動作例を説明する図である。
【0082】
ここで、処理動作例では、データ資源としては、図7(A)に示すように、データストア1に実データ1が存在し、データストア2に実データ2(テーブル1)が存在し、ABACが採用されている体系AにおけるポリシーX3、X4が存在し、RBACが採用されている体系Bに従ったポリシーY3が存在し、ポリシーZ2を新たに設定する候補のポリシー(入力ポリシー)とし、ポリシーZ2に代えて自動で生成されたポリシーZ2’を設定する場合を図7(B)を参照して説明する。
【0083】
入力ポリシー601は、ポリシーIDがポリシーZ2であり、主体がユーザ=“ユーザC”であり、動作がCRUDであり、資源がテーブル1となっている。
【0084】
PIPサーバ20は、ユーザの属性を管理するユーザ情報テーブル201と、資源情報テーブル203とを記憶している。資源情報テーブル203は、資源に対応するエントリを格納する。資源情報テーブル203のエントリの構成は、図6の資源情報テーブル202と同様である。図7の例では、資源情報テーブル203は、テーブル1/データストア2に対しては、役割がデータ管理者である場合に、CRUDのアクセスが可能であり、また、テーブル1/データストア2に対しては役職が担当である場合に、R(Read)のアクセスが可能であり、また、テーブル1/データストア2に対しては役割がデータ利用者である場合に、Rのアクセスが可能であることを示している。なお、資源情報テーブル203における3行目のエントリについては、処理の開始時点においては、存在していない。
【0085】
ポリシールール記憶部102のポリシールール606は、ポリシーIDと、主体と、動作と、資源とを含む1以上のポリシーを格納する。図7の例では、ポリシールール606には、ポリシーX3と、ポリシーX4と、ポリシーY3とが含まれている。
【0086】
ポリシーマッピング部101は、入力ポリシー601であるポリシーZ2を受け付ける。次いで、ポリシーマッピング部101は、ポリシールール606を参照して、主体及び/又は資源についての属性情報を取得するためにPIPサーバ20に入力する必要がある項目(入力項目)を特定する。例えば、図7の例では、主体については、ポリシールール406の主体に設定されている情報から、ユーザ役職と、ユーザ役割とを特定し、資源については、データストアを特定する。次いで、ポリシーマッピング部101は、特定した入力項目と、入力ポリシー601の主体及び/又は資源の設定値とを対応付けた属性問合せ情報を、PIPサーバ20に入力する。ここで、図7の例では、属性問合せ情報は、属性取得インターフェース602の「in:」から始まる情報である。
【0087】
PIPサーバ20は、ポリシーマッピング部101から属性問合せ情報を取得すると、ユーザ情報テーブル201、資源情報テーブル203等を参照して、属性問合せ情報に含まれる主体及び/又は資源に対応する属性情報を特定し、問合せ回答情報としてポリシーマッピング部101に返送する。ここで、図7の例では、問合せ回答情報は、属性取得インターフェース602の「Out:」から始まる情報である。図7の例では、ユーザCの役職として、主任が返され、ユーザCの役割として、データ利用者が返され、テーブル1の属するデータストアとして、データストア2が返されている。
【0088】
次いで、ポリシーマッピング部101は、入力ポリシー601に対して、取得した属性を当てはめることによりポリシーを変換して1以上の変換後ポリシー603を生成する。ここで、生成する変換後ポリシーとしては、すべての可能性のある組合せに対応するポリシーとしてもよいし、判定する必要がないと考えられるポリシーについては含めなくてもよい。
【0089】
図7の例では、ポリシーマッピング部101は、変換後ポリシー603として、主体がユーザ役割=データ利用者であり、動作がCRUDであり、資源がデータストア2であるポリシーZ2-1と、主体がユーザ役職=データ利用者であり、動作がCRUDであり、資源がデータストア2であるポリシーZ2-2とが生成される。
【0090】
次いで、PDP問い合わせ部104は、ポリシー判定部105に変換後ポリシー603のそれぞれについて既存ポリシーに適合するか否かを判定させ、判定結果(応答)604を受け付けて、変換後ポリシー603と判定結果604とを組み合わせて判定後ポリシー605を生成する。
【0091】
図7の例では、ポリシー判定部105は、ポリシーZ2-1については、ポリシーY3に適合していないと判定してNG(不可)を返し、ポリシーZ2-2については、ポリシーX3に適合していると判定してNG(不可)を返す。
【0092】
次いで、ポリシー判定結果チェック部107は、判定後ポリシー605を参照し、すべてのポリシーに対する判定結果が可である否かを判定し、本例では、すべてのポリシーに対する判定結果が可でないので、ポリシー自動修正部109に判定結果が不可であることを通知する。
【0093】
ポリシー自動修正部109は、ポリシー判定結果チェック部107から判定結果が不可であるとの通知を受けると、ポリシー自動修正部109は、入力ポリシー601をポリシールール606と矛盾しないポリシー(自動修正ポリシー607)に修正し、ポリシー決定部108に渡す。矛盾しないポリシーの修正方法としては、例えば、入力ポリシー601の動作をNGの判定に使用されたポリシールール606のポリシー(例えば、ポリシーY3)の動作と同じ動作(この例では、R)としてもよい。
【0094】
ポリシー決定部108は、ポリシー自動修正部109から受け取った自動修正ポリシー607をPAPサーバ10に設定する確定ポリシー112に決定し、PAPサーバ10に送信する。なお、ポリシー決定部108は、自動修正ポリシー607に対応するエントリ(図7(B)の資源情報テーブル203の3つ目のエントリ)を資源情報テーブル203に追加するようにしてもよい。
【0095】
なお、ポリシー自動修正部109により生成された自動修正ポリシー607について、入力ポリシー601と同様なチェックをして、変換後ポリシーのすべての判定結果が可である場合にのみ、ポリシー決定部108に渡すようにしてもよい。
【0096】
この処理によると、入力ポリシーを矛盾のないより適切なポリシーに管理者の関与なしで修正して登録することができる。
【0097】
次に、第4実施例に係るポリシー設定制御装置の処理動作例を説明する。なお、第4実施例に係るポリシー設定制御装置の基本的な構成は、第1実施例に係るポリシー設定制御装置100と、同様であるので、便宜的に、第1実施例と同様又は対応する構成については、同一の符号を付し、重複する説明を省略する場合がある。
【0098】
図8は、第4実施例に係るポリシー設定制御装置の第1処理動作例を説明する図である。
【0099】
入力ポリシー701は、ポリシーIDがポリシーZ3であり、主体がユーザ=“ユーザC”であり、動作がCRUDであり、資源がテーブル1となっている。
【0100】
PIPサーバ20は、ユーザの属性を管理するユーザ情報テーブル201と、資源情報テーブル204とを記憶している。資源情報テーブル204は、資源に対応するエントリを格納する。資源情報テーブル204のエントリは、資源IDと、属性と、主体と、動作とのフィールドを含む。資源IDには、エントリに対応する資源のIDが格納される。資源は、データストアのテーブルを単位としてもよく、テーブルにおけるカラムを単位としてもよい。属性には、エントリに対応する資源のデータについての属性が格納される。属性としては、機微、その他等がある。なお、1つの資源に対して複数の属性が対応付けられてもよい。主体には、エントリに対応する資源をアクセス可能な主体が格納される。動作には、エントリに対応する資源に対するアクセスに使用可能なAPI(Application Programming Inteface)及びアクセス可能な動作が格納される。
【0101】
図8の例では、資源情報テーブル204は、データストア2のテーブル1(テーブル1/データストア2と表記することもある)に対して、(1)役割がデータ管理者又は役職が主任(役割=データ管理者 OR 役職=主任)である主体は、API1によりCRUDのアクセスが可能であること、(2)データストア2のテーブル1のカラム1の機微Xに対しては、役割がデータ利用者である主体は、API2により機微データにマスクをかけた状態でのR(Mask+R)でのアクセスが可能であること、(3)データストア2のテーブル1のカラム1の機微X以外に対しては、役割がデータ利用者でなく、役職が担当以上である主体は、API3によりRでのアクセスが可能であること、(4)データストア2のテーブル1のカラム1以外のカラムに対しては、役割がデータ利用者である、又は役職が担当以上である主体は、API3によりRでのアクセスが可能であること、(5)データストア2のテーブル1に対しては、(1)~(4)に該当しない場合、API3によるアクセスがDENY(不能)であることを示している。
【0102】
ポリシールール記憶部102のポリシールール706は、ポリシーIDと、主体と、動作と、資源とを含む1以上のポリシーを格納する。図8の例では、ポリシールール706には、ポリシーX5と、ポリシーX6と、ポリシーW1と、ポリシーW2とが含まれている。ポリシーX5は、主体の役職が主任以上である場合に、データストア2に対してCRUDが可能であることを示し、ポリシーX6は、主体の役職が担当以上である場合に、データストア2に対してRが可能であることを示し、ポリシーW1は、主体の役割がデータ利用者である場合に、データストア2のテーブル1のカラム1に対してAPI2により、情報にマスクをかけたRが可能であることを示し、ポリシーW2は、主体の役割がデータ利用者である場合に、データストア2のテーブル1のカラム1以外に対してAPI3により、Rが可能であることを示している。
【0103】
ポリシーマッピング部101は、入力ポリシー701であるポリシーZ3を受け付ける。次いで、ポリシーマッピング部101は、ポリシールール706を参照して、主体及び/又は資源についての属性情報を取得するためにPIPサーバ20に入力する必要がある項目(入力項目)を特定する。例えば、図8の例では、主体については、ポリシールール706の主体に設定されている情報から、ユーザ役職と、ユーザ役割とを特定し、資源については、データストアを特定する。次いで、ポリシーマッピング部101は、特定した入力項目と、入力ポリシー701の主体及び/又は資源の設定値とを対応付けた属性問合せ情報を、PIPサーバ20に入力する。ここで、図8の例では、属性問合せ情報は、属性取得インターフェース402の「in:」から始まる情報である。
【0104】
PIPサーバ20は、ポリシーマッピング部101から属性問合せ情報を取得すると、ユーザ情報テーブル201等を参照して、問合せ情報に含まれる主体及び/又は資源に対応する属性情報を特定し、問合せ回答情報としてポリシーマッピング部101に返送する。ここで、図8の例では、問合せ回答情報は、属性取得インターフェース402の「Out:」から始まる情報である。図8の例では、ユーザCの役職として、主任が返され、ユーザCの役割として、データ利用者が返され、テーブル1に関する資源及びAPIとして、データストア2、カラム1機微データX,API2(主体/動作)、その他、API3(管理者)、API1が返されている。
【0105】
次いで、ポリシーマッピング部101は、入力ポリシー701に対して、取得した属性を当てはめることによりポリシーを変換して1以上の変換後ポリシー703を生成する。ここで、生成する変換後ポリシーとしては、すべての可能性のある組合せに対応するポリシーとしてもよいし、判定する必要がないと考えられるポリシーについては含めなくてもよい。
【0106】
図8の例では、ポリシーマッピング部101は、変換後ポリシー703として、主体がユーザ役割=データ利用者であり、動作がCRUDであり、データストア2のテーブル1のカラム1に対してAPI2を使うとのポリシーZ3-1と、主体がユーザ役割=データ利用者であり、動作がCRUDであり、データストア2のテーブル1のカラム1以外に対してAPI3を使うとのポリシーZ3-2と、主体がユーザ役職=主任であり、動作がCRUDであり、データストア2のテーブル1に対してAPI1を使うとのポリシーZ3-3とが生成される。
【0107】
次いで、PDP問い合わせ部104は、ポリシー判定部105に変換後ポリシー703のそれぞれについて既存ポリシー(本実施例では、基本的には、ポリシールール706と同じ内容)に適合するか否かを判定させ、判定結果(応答)704を受け付けて、変換後ポリシー703と判定結果704とを組み合わせて判定後ポリシー705を生成する。
【0108】
図8の例では、ポリシー判定部105は、ポリシーZ3-1については、ポリシーW1に適合していないと判定してNG(不可)を返し、ポリシーZ3-2については、ポリシーW2に適合していないと判定してNG(不可)を返し、ポリシーZ3-3については、ポリシーX5、X6に適合していないと判定してNG(不可)を返す。
【0109】
次いで、ポリシー判定結果チェック部107は、判定後ポリシー705を参照し、すべてのポリシーに対する判定結果が可である否かを判定し、本例では、すべてのポリシーに対する判定結果が可でないので、ポリシー自動修正部109に判定結果が不可であることを通知する。
【0110】
ポリシー自動修正部109は、ポリシー判定結果チェック部107から判定結果が不可であるとの通知を受けると、ポリシー自動修正部109は、入力ポリシー701をポリシールール706と矛盾しないポリシー(自動修正ポリシー707)に修正し、ポリシー決定部108に渡す。矛盾しないポリシーの修正方法としては、例えば、入力ポリシー701の動作をNGの判定に使用されたポリシールール706のポリシーの動作と同じ動作とする。例えば、ポリシーZ3の資源の中のテーブル1のカラム1については、ポリシーW1の動作(API2を使用したMask+R)としたポリシー(ポリシーZ3-1’)とし、ポリシーZ3の資源の中のテーブル1のカラム1以外については、ポリシーW2の動作(API3を使用したR)としたポリシー(ポリシーZ3-2’)とする。
【0111】
ポリシー決定部108は、ポリシー自動修正部109から受け取った自動修正ポリシー707をPAPサーバ10に設定する確定ポリシー112に決定し、PAPサーバ10に送信する。
【0112】
次に、第4実施例に係るポリシー設定制御装置の第2処理動作例を説明する。
【0113】
図9は、第4実施例に係るポリシー設定制御装置の第2処理動作例を説明する図である。
【0114】
入力ポリシー801は、ポリシーIDがポリシーZ4であり、主体がユーザ=“ユーザC”であり、動作がCRUDであり、資源がテーブル2となっている。
【0115】
PIPサーバ20は、ユーザの属性を管理するユーザ情報テーブル201と、資源情報テーブル205とを記憶している。資源情報テーブル205は、図8の資源情報テーブル204と構成が同じであり、図8に示していないエントリを更に含んでいる。図9の資源情報テーブル205は、資源情報テーブル204のエントリに加えて、データストア2のテーブル2(テーブル2/データストア2と表記することもある)に対して、(1)役割がデータ管理者又は役職が主任(役割=データ管理者 OR 役職=主任)である主体は、API1によりCRUDのアクセスが可能であること、(2)データストア2のテーブル2に対しては、役割がデータ利用者である、又は役職が担当以上である主体は、API3によりRでのアクセスが可能であること、(3)データストア2のテーブル2に対しては、(1)~(2)に該当しない場合、API3によるアクセスがDENY(不能)であることを示している。
【0116】
ポリシールール記憶部102のポリシールール806は、ポリシーIDと、主体と、動作と、資源とを含む1以上のポリシーを格納する。図9の例では、ポリシールール806には、ポリシーX7と、ポリシーX8と、ポリシーW3と、ポリシーW4と、ポリシーW5とが含まれている。ポリシーX7は、主体の役職が主任以上である場合に、データストア2に対してCRUDが可能であることを示し、ポリシーX8は、主体の役職が担当以上である場合に、データストア2に対してRが可能であることを示し、ポリシーW3は、主体の役割がデータ利用者である場合に、データストア2のテーブル2に対してAPI2により、Rが可能であることを示し、ポリシーW4は、主体の役割がデータ利用者である場合に、データストア2のテーブル2のカラム1に対してAPI2により、情報にマスクをかけたRが可能であることを示し、ポリシーW5は、主体の役割がデータ利用者である場合に、データストア2のテーブル2のカラム1以外に対してAPI3により、Rが可能であることを示している。なお、ポリシーW4と、ポリシーW5については、類似ポリシー抽出部111がテーブル2(第1資源の一例)に対するポリシーとして、このテーブル2に類似する他のテーブル(第2資源の一例:本例では、テーブル1)を特定し、特定した他のテーブルについてアクセス制限されているポリシーに基づいて、テーブル2におけるポリシーとして類推することにより作成されたポリシーである。
【0117】
ポリシーマッピング部101は、入力ポリシー801であるポリシーZ4を受け付ける。次いで、ポリシーマッピング部101は、ポリシールール806を参照して、主体と資源とについての属性情報を取得するためにPIPサーバ20に入力する必要がある項目(入力項目)を特定する。例えば、図9の例では、主体については、ポリシールール806の主体に設定されている情報から、ユーザ役職と、ユーザ役割とを特定し、資源については、データストアを特定する。次いで、ポリシーマッピング部101は、特定した入力項目と、入力ポリシー801の主体及び/又は資源の設定値とを対応付けた属性問合せ情報を、PIPサーバ20に入力する。ここで、図9の例では、属性問合せ情報は、属性取得インターフェース402の「in:」から始まる情報である。
【0118】
PIPサーバ20は、ポリシーマッピング部101から属性問合せ情報を取得すると、ユーザ情報テーブル201等を参照して、問合せ情報に含まれる主体及び/又は資源に対応する属性情報を特定し、問合せ回答情報としてポリシーマッピング部101に返送する。ここで、図9の例では、問合せ回答情報は、属性取得インターフェース402の「Out:」から始まる情報である。図9の例では、ユーザCの役職として、主任が返され、ユーザCの役割として、データ利用者が返され、テーブル2に関する資源及びAPIとして、データストア2、カラム1機微データX,API2(主体/動作)、その他、API3(管理者)、API1が返されている。
【0119】
次いで、ポリシーマッピング部101は、入力ポリシー801に対して、取得した属性を当てはめることによりポリシーを変換して1以上の変換後ポリシー803を生成する。ここで、生成する変換後ポリシーとしては、すべての可能性のある組合せに対応するポリシーとしてもよいし、判定する必要がないと考えられるポリシーについては含めなくてもよい。
【0120】
図9の例では、ポリシーマッピング部101は、変換後ポリシー803として、主体がユーザ役割=データ利用者であり、動作がCRUDであり、データストア2のデータ2のカラム2に対してAPI2を使うとのポリシーZ4-1と、主体がユーザ役割=データ利用者であり、動作がCRUDであり、データストア2のテーブル2のカラム1以外に対してAPI3を使うとのポリシーZ4-2と、主体がユーザ役職=主任であり、動作がCRUDであり、データストア2のテーブル1に対してAPI1を使うとのポリシーZ4-3とが生成される。
【0121】
次いで、PDP問い合わせ部104は、ポリシー判定部105に変換後ポリシー803のそれぞれについて既存ポリシー(本実施例では、基本的には、ポリシールール806と同じ内容)に適合するか否かを判定させ、判定結果(応答)804を受け付けて、変換後ポリシー803と判定結果804とを組み合わせて判定後ポリシー805を生成する。
【0122】
図9の例では、ポリシー判定部105は、ポリシーZ4-1については、ポリシーW4に適合していないと判定してNG(不可)を返し、ポリシーZ4-2については、ポリシーW5に適合していないと判定してNG(不可)を返し、ポリシーZ4-3については、ポリシーX7、X8に適合していないと判定してNG(不可)を返す。
【0123】
次いで、ポリシー判定結果チェック部107は、判定後ポリシー805を参照し、すべてのポリシーに対する判定結果が可である否かを判定し、本例では、すべてのポリシーに対する判定結果が可でないので、ポリシー自動修正部109に判定結果が不可であることを通知する。
【0124】
ポリシー自動修正部109は、ポリシー判定結果チェック部107から判定結果が不可であるとの通知を受けると、ポリシー自動修正部109は、入力ポリシー801をポリシールール806と矛盾しないポリシー(自動修正ポリシー807)に修正し、ポリシー決定部108に渡す。矛盾しないポリシーの修正方法としては、例えば、入力ポリシー801の動作をNGの判定に使用されたポリシールール806のポリシーの動作と同じ動作とする。例えば、ポリシーZ4の資源の中のテーブル2のカラム1については、ポリシーW4の動作(API2を使用したMask+R)としたポリシー(ポリシーZ4-1’)とし、ポリシーZ4の資源の中のテーブル2のカラム1以外については、ポリシーW5の動作(API3を使用したR)としたポリシー(ポリシーZ4-2’)とする。
【0125】
ポリシー決定部108は、ポリシー自動修正部109から受け取った自動修正ポリシー807をPAPサーバ10に設定する確定ポリシー112に決定し、PAPサーバ10に送信する。なお、この後、PAPサーバ10は、確定ポリシー112を登録し、この登録された確定ポリシー112を用いて、アクセス判定を行うこととなる。
【0126】
この処理によると、テーブルに対して機微情報に対応するポリシーが設定されていな場合であっても、類似する他のテーブルのポリシーを利用して、入力ポリシーを矛盾のない適切なポリシーに修正して登録することができる。
【0127】
なお、本発明は、上述の実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で、適宜変形して実施することが可能である。
【0128】
例えば、上記実施形態では、ポリシー判定部105をポリシー設定制御装置100内に備えるようにしていたが、ポリシー判定部105の機能をポリシー設定制御装置100とは別の外部の装置に備えるようにしてもよい。
【0129】
また、上記実施形態では、CPUが行っていた処理の一部又は全部を、ハードウェア回路で行うようにしてもよい。また、上記実施形態におけるプログラムは、プログラムソースからインストールされてよい。プログラムソースは、プログラム配布サーバ又は記憶メディア(例えば可搬型の記憶メディア)であってもよい。
【符号の説明】
【0130】
1…ポリシー利用システム、10…PAPサーバ、20…PIPサーバ、100…ポリシー設定制御装置、101…ポリシーマッピング部、102…ポリシールール記憶部、104…PDP問い合わせ部、105…ポリシー判定部、107…ポリシー判定結果チェック部、108…ポリシー決定部、109…ポリシー自動修正部、110…ポリシー受付部、111…類似ポリシー抽出部、122…CPU

図1
図2
図3
図4
図5
図6
図7
図8
図9