(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-10-21
(45)【発行日】2024-10-29
(54)【発明の名称】分析装置、分析方法及びプログラム
(51)【国際特許分類】
G06F 21/62 20130101AFI20241022BHJP
【FI】
G06F21/62 309
【請求項の数】
11
(21)【出願番号】P 2023518232
(86)(22)【出願日】2022-03-23
(86)【国際出願番号】 JP2022013742
(87)【国際公開番号】W WO2023181219
(87)【国際公開日】2023-09-28
【審査請求日】2023-03-20
【国等の委託研究の成果に係る記載事項】(出願人による申告)令和3年度、国立研究開発法人情報通信研究機構「革新的情報通信技術研究開発委託研究/Beyond 5G研究開発促進事業/Beyond 5Gで実現する同期型CPSコンピューティング基盤の研究開発」産業技術力強化法第17条の適用を受ける特許出願
(73)【特許権者】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100103894
【弁理士】
【氏名又は名称】家入 健
(72)【発明者】
【氏名】三谷 昌平
(72)【発明者】
【氏名】植田 啓文
(72)【発明者】
【氏名】ガハテ ナクル
【審査官】青木 重徳
(56)【参考文献】
【文献】中国特許出願公開第113051602(CN,A)
【文献】特開2017-162223(JP,A)
【文献】米国特許出願公開第2016/0072704(US,A1)
【文献】米国特許出願公開第2017/0064556(US,A1)
【文献】彦根 和文 ほか,実数値シミュレーションを利用した順序回路テスト生成,電子情報通信学会論文誌 D-I,日本,社団法人電子情報通信学会,1992年11月25日,Vol. J75-D-I No. 11,p. 1089-1098
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/62
(57)【特許請求の範囲】
【請求項1】
アクセスの属性を示す1以上の要素の第1のパターンと、前記第1のパターンに対応するアクセス制御のアクションと、の組み合わせが複数定義されたデータセットと、経時的に変化するアクセスの属性を示す1以上の要素の第2のパターンと、を少なくとも取得する取得手段と、アクセスの属性を示す1以上の要素における状態遷移を示す遷移情報と、前記第2のパターンと、を少なくとも用いて、前記第2のパターンに対応するアクションを経時的に変化させる場合の実行コストを評価する評価手段と、
前記評価手段の評価結果及び前記データセットを少なくとも用いて、前記第2のパターンに対応するアクションを決定する決定手段と、を備える
分析装置。
【請求項2】
前記取得手段は、前記アクションに影響を与える影響度の順序又は大きさの少なくともいずれかが定義された、アクセスの属性を示す1以上の要素の第3のパターンをさらに取得し、前記決定手段は、前記第3のパターンをさらに用いて前記アクションを決定する、
請求項1に記載の分析装置。
【請求項3】
前記取得手段は、前記第3のパターンにおいて、前記アクションに影響を与える影響度の順序又は大きさの少なくともいずれかに対し、時間経過の前後において同一のアクションを設定することに正の効果を付与すること、又は、時間経過の前後において異なるアクションを設定することに負の効果を付与すること、の少なくともいずれかを実行し、前記決定手段は、前記正の効果又は負の効果の少なくともいずれかが付与された前記第3のパターンをさらに用いて、前記アクションを決定する、
請求項2に記載の分析装置。
【請求項4】
前記決定手段は、前記第2のパターンにおいて要求されるニーズ又はセキュリティの少なくともいずれかのレベルを示す情報をさらに用いて、前記第2のパターンに対応するアクションを決定する、請求項1乃至3のいずれか1項に記載の分析装置。
【請求項5】
前記評価手段は、アクションを経時的に変化させる実行可能性をさらに評価し、前記決定手段は、前記評価手段が評価した前記実行可能性が所定の閾値以上である場合に、前記第2のパターンにおいて要求されるニーズ及びセキュリティの両方のレベルを満たすように前記第2のパターンに対応するアクションを決定し、
前記評価手段が評価した前記実行可能性が所定の閾値未満である場合に、前記第2のパターンにおいて要求されるニーズ及びセキュリティの両方のレベルに基づいて、当該ニーズ及びセキュリティのうち満たされるべき一方のレベルを決定し、決定された一方のレベルが満たされるように前記第2のパターンに対応するアクションを決定する、
請求項4に記載の分析装置。
【請求項6】
前記評価手段は、前記アクセスの属性の経時的な変化を示すログ又はモデルを前記遷移情報として取得または生成し、当該遷移情報と、前記第2のパターンと、を少なくとも用いて前記実行コストを評価する、請求項1乃至3のいずれか1項に記載の分析装置。
【請求項7】
前記評価手段は、前記遷移情報を参照することにより、前記第2のパターンにかかる前記アクセスの属性について、第1の状態から第2の状態に経時的に遷移する確率が、前記第1の状態から第3の状態に経時的に遷移する確率よりも高いと判定した場合に、前記属性が前記第1の状態にある場合において、前記データセットにおいて前記属性が前記第2の状態にある場合において定義されたアクションと異なるアクションを実行する実行コストを、前記データセットにおいて前記属性が前記第3の状態にある場合において定義されたアクションと異なるアクションを実行する実行コストよりも高いものにするように、前記実行コストを評価する、請求項1又は2に記載の分析装置。
【請求項8】
前記決定手段は、前記第2のパターンにかかる前記アクセスの属性が第1の状態から第2の状態に経時的に遷移する時間間隔が所定の閾値以下であり、前記データセットにおいて前記第1の状態と前記第2の状態とで異なるアクションが定義されるアクセスに対して、前記アクセスにおける前記第1の状態と前記第2の状態でのアクションを同一のアクションに決定する、請求項1乃至3のいずれか1項に記載の分析装置。
【請求項9】
前記決定手段は、前記評価結果及び前記データセットを少なくとも入力することで、前記第2のパターンに対応するアクションを出力するように学習がなされたモデルを用いて、前記第2のパターンに対応するアクションを決定し、
前記第2のパターンにかかる前記アクセスの属性が第1の状態から第2の状態に経時的に遷移する時間間隔が所定の閾値以下であり、前記データセットにおいて前記第1の状態と前記第2の状態とで異なるアクションが定義されるアクセスに対して、前記アクセスにおける前記第1の状態と前記第2の状態でのアクションが同一のアクションとして定義されたデータを、前記データセットとして前記モデルに入力させる、
請求項1乃至3のいずれか1項に記載の分析装置。
【請求項10】
取得手段が、アクセスの属性を示す1以上の要素の第1のパターンと、前記第1のパターンに対応するアクセス制御のアクションと、の組み合わせが複数定義されたデータセットと、経時的に変化するアクセスの属性を示す1以上の要素の第2のパターンと、を少なくとも取得するステップ、評価手段が、アクセスの属性を示す1以上の要素における状態遷移を示す遷移情報と、前記第2のパターンと、を少なくとも用いて、前記第2のパターンに対応するアクションを経時的に変化させる場合の実行コストを評価し、評価の結果を決定手段に出力するステップ、
前記決定手段が、前記評価の結果及び前記データセットを少なくとも用いて、前記第2のパターンに対応するアクションを決定するステップ、
から構成される、コンピュータが実行する分析方法。
【請求項11】
コンピュータを、
アクセスの属性を示す1以上の要素の第1のパターンと、前記第1のパターンに対応するアクセス制御のアクションと、の組み合わせが複数定義されたデータセットと、経時的に変化するアクセスの属性を示す1以上の要素の第2のパターンと、を少なくとも取得する取得手段、
アクセスの属性を示す1以上の要素における状態遷移を示す遷移情報と、前記第2のパターンと、を少なくとも用いて、前記第2のパターンに対応するアクションを経時的に変化させる場合の実行コストを評価し、評価の結果を決定手段に出力する評価手段、及び
前記評価の結果及び前記データセットを少なくとも用いて、前記第2のパターンに対応するアクションを決定する決定手段、
として機能させるためのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は分析装置、分析方法及び非一時的なコンピュータ可読媒体に関する。
【背景技術】
【0002】
ネットワークにおけるアクセス制御は、ネットワークのセキュリティ及び必要なアクセスの維持にとって重要である。
【0003】
例えば、引用文献1には、データベースまたはウェブサービスのようなデータソースにリンクされる1つ以上の動的アクセスコントロールを含むポリシーを用いて、電子ドキュメントまたはハードウェア部品のような資産へのアクセスを動的に管理するための方法が開示されている。
【先行技術文献】
【特許文献】
【0004】
【文献】特開2012-009027号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
アクセス制御において、アクセスを実行するデバイスの位置、利用対象となるアプリケーションといったアクセス属性の情報が高頻度に変動する場合が想定される。このような場合、アクセス制御装置が、取得したアクセス属性の情報に対応するアクションをポリシーに基づいて決定し、そのアクションについての制御をする前に、アクセス属性が変わってしまうことが考えられる。このとき、変動後のアクセス属性に対して好ましいアクションが元々のポリシーで定義付けられていた場合であっても、アクセス制御装置の処理が追い付かず、好ましいアクションを実現できない可能性がある。このような状況を回避するため、アクセス制御装置の処理を早くしようとすると、アクセス属性情報の収集、又はアクションの決定の頻度を高くする必要が生じるため、アクセス制御の実行コストが高くなってしまうという懸念があった。
【0006】
この開示は、アクセス制御において、ポリシーで決定されるアクションの実行可能性を高めることに寄与することが可能な分析装置、分析方法及び非一時的なコンピュータ可読媒体を提供する。
【課題を解決するための手段】
【0007】
一実施の形態にかかる分析装置は、アクセスの属性を示す1以上の要素の第1のパターンと、前記第1のパターンに対応するアクセス制御のアクションと、の組み合わせが複数定義されたデータセットと、経時的に変化するアクセスの属性を示す1以上の要素の第2のパターンと、を少なくとも取得する取得手段と、アクセスの属性を示す1以上の要素における状態遷移を示す遷移情報と、前記第2のパターンと、を少なくとも用いて、前記第2のパターンに対応するアクションを経時的に変化させる場合の実行コストを評価する評価手段と、前記評価手段の評価結果及び前記データセットを少なくとも用いて、前記第2のパターンに対応するアクションを決定する決定手段を備える。
【0008】
一実施の形態にかかる分析方法は、アクセスの属性を示す1以上の要素の第1のパターンと、前記第1のパターンに対応するアクセス制御のアクションと、の組み合わせが複数定義されたデータセットと、経時的に変化するアクセスの属性を示す1以上の要素の第2のパターンと、を少なくとも取得し、アクセスの属性を示す1以上の要素における状態遷移を示す遷移情報と、前記第2のパターンと、を少なくとも用いて、前記第2のパターンに対応するアクションを経時的に変化させる場合の実行コストを評価し、前記評価の結果及び前記データセットを少なくとも用いて、前記第2のパターンに対応するアクションを決定することをコンピュータが実行するものである。
【0009】
一実施の形態にかかる非一時的なコンピュータ可読媒体は、アクセスの属性を示す1以上の要素の第1のパターンと、前記第1のパターンに対応するアクセス制御のアクションと、の組み合わせが複数定義されたデータセットと、経時的に変化するアクセスの属性を示す1以上の要素の第2のパターンと、を少なくとも取得し、アクセスの属性を示す1以上の要素における状態遷移を示す遷移情報と、前記第2のパターンと、を少なくとも用いて、前記第2のパターンに対応するアクションを経時的に変化させる場合の実行コストを評価し、前記評価の結果及び前記データセットを少なくとも用いて、前記第2のパターンに対応するアクションを決定することをコンピュータに実行させるものである。
【発明の効果】
【0010】
この開示により、アクセス制御において、ポリシーで決定されるアクションの実行可能性を高めることに寄与することが可能な分析装置、分析方法及び非一時的なコンピュータ可読媒体を提供することができる。
【図面の簡単な説明】
【0011】
【図1】実施の形態1にかかる分析装置の一例を示すブロック図である。
【図2】実施の形態1にかかる分析装置の代表的な処理の一例を示すフローチャートである。
【図3】実施の形態2にかかるアクセス制御システムの一例を示すブロック図である。
【図4A】状態空間の一例を示す図である。
【図4B】判定サンプルにおける、各エリアでのアクションが定義されたテーブルの一例である。
【図5A】アクセス制御の状況の一例を示す図である。
【図5B】判定サンプルにおける、各エリアでのアクションが定義されたテーブルの一例である。
【図5C】判定部が決定するアクションの一例を示した図である。
【図6】実施の形態3にかかるアクセス制御システムの一例を示すブロック図である。
【図7A】アクセス制御の状況の一例を示す図である。
【図7B】ロボットの無線通信における帯域使用率の一例を示したグラフである。
【図8】各実施の形態にかかる装置のハードウェア構成の一例を示すブロック図である。
【発明を実施するための形態】
【0012】
以下、図面を参照して各実施の形態について説明する。なお、以下の記載及び図面は、説明の明確化のため、適宜、省略及び簡略化がなされている。また、本開示では、明記のない限り、複数の項目について「その少なくともいずれか」が定義された場合、その定義は、任意の1つの項目を意味しても良いし、任意の複数の項目(全ての項目を含む)を意味しても良い。
【0013】
実施の形態1
図1は、分析装置の一例を示すブロック図である。分析装置10は、取得部11、評価部12及び決定部13を備える。分析装置10の各部(各手段)は、不図示の制御部(コントローラ)により制御される。以下、各部について説明する。
図1は、分析装置の一例を示すブロック図である。分析装置10は、取得部11、評価部12及び決定部13を備える。分析装置10の各部(各手段)は、不図示の制御部(コントローラ)により制御される。以下、各部について説明する。
【0014】
取得部11は、アクセスの属性を示す1以上の要素の第1のパターンと、その第1のパターンに対応するアクセス制御のアクションと、の組み合わせが複数定義されたデータセットと、経時的に変化するアクセスの属性を示す1以上の要素の第2のパターンと、を少なくとも取得する。第1、第2のパターンとして、それぞれ1又は複数のパターンが存在しても良い。なお、取得部11は、分析装置10の内部又は外部から情報を取得するインタフェースで構成される。取得の処理は、取得部11が自動的に実行しても良いし、手動での入力によってなされても良い。
【0015】
ここで、第1のパターン及び第2のパターンにおける「アクセスの属性を示す要素」は、アクセスの性質を特定する任意の要素を示す。要素の具体例としては、(1)アクセス元の各種データ、(2)アクセス先の各種データ、(3)その他アクセスの性質を示すデータ、等のアクセスの性質に関連する1以上の任意の具体的な情報(値)が含まれ得る。
【0016】
(1)アクセス元の各種データの具体例としては、アクセス元のID(IDentification)に関する情報、ユーザに関する情報、アクセス元の機器に関する情報、アクセス元のIP(Internet Protocol)アドレスに関する情報、ポート番号に関する情報、ソフトウェア名(例えばアプリケーション名)、アクセスの認証手段等のうち、1以上の任意のものが含まれる。ここで、アクセス元のIDに関する情報には、アクセス元のID(ユーザID)、ユーザ名、デバイスID、アプリケーションID、アクセス元のIDのユーザ認証結果(認証履歴)等のうち、1以上の任意のものが含まれる。ユーザに関する情報には、ユーザの所属(組織)、役職、職種、ユーザ位置(又は、アクセス元の機器の位置)、アクセス元の機器の所属、ユーザ又はアクセス元の機器の振る舞い異常度等のうち、1以上の任意のものが含まれる。アクセス元の機器に関する情報には、アクセス元の機器が使用しているOS(Operating System)のバージョン、メーカー名のうち、1以上の任意のものが含まれる。アクセス元のIPアドレスに関する情報には、アクセス元のIPアドレス、アクセス元のIPアドレスの危険度等のうち、1以上の任意のものが含まれる。以上において、OSのバージョンは、アクセスにおける脆弱性を示し、振る舞い異常度は、攻撃の可能性を示す。
【0017】
(2)アクセス先の各種データの具体例としては、アクセス先のIDに関する情報、アクセス先のデータに関する情報、アクセス先のIPアドレス、アクセス先の機器が使用しているOSの情報、オペレーション種別等のうち、1以上の任意のものが含まれる。アクセス先のIDに関する情報には、アクセス先のリソースID、アクセス先のリソースIDの所有者名等のうち、1以上の任意のものが含まれる。アクセス先のデータに関する情報には、アクセス先の組織(リソース所有の組織)、要求されるアクセス先のデータ(リソース)の種別、作成者、作成日時や機密度等のうち、1以上の任意のものが含まれる。リソースの機密度は、攻撃を受けた場合に想定される損害を示す。
【0018】
(3)その他アクセスの性質を示すデータの具体例としては、アクセス元のIDからアクセス先のリソースIDへのリクエスト頻度、アクセスの時間帯(又は時刻)、セッション鍵の方式、リクエスト元サブジェクトにとってのリソースの重要性、帯域使用率(無線リソースの逼迫度合い)、異常度、トラフィックの暗号強度、認証に関する各種データ等のうち、1以上の任意のものが含まれる。認証に関する各種データには、各種認証方法(例えば認証強度の情報を含む)、デバイス認証結果、アプリケーション認証結果、各種認証時刻、各種認証の失敗回数等のうち、1以上の任意のものが含まれる。リクエスト元サブジェクトにとってのリソースの重要性は、アクセスに関するユーザビリティを示し、帯域使用率は、複数のアクセスを制御する際のパフォーマンスの低下の可能性を示す。ただし、以上に示した要素はあくまで例示であり、アクセスの属性を示す要素はこれらに限られない。
【0019】
「アクセスの属性を示す1以上の要素のパターン」は、これらの要素が1又は複数存在することを意味する。例えば、アクセスの属性としてX、Y、Zを仮定し、同じ属性Xの異なる値の要素としてX1、X2、同じ属性Yの異なる値の要素としてY1、Y2、同じ属性Zの異なる値の要素としてZ1、Z2を仮定する。この場合、「アクセスの属性を示す要素のパターン」として、「X1」、「Y1」、「Z1」、「X1、Y1」、「X1、Z1」、「Y1、Z1」、「X1、Y2」、・・・「X1、Y1、Z1」・・・「X2、Y2、Z2」のうちで任意の1以上のパターンが含まれる。なお、第1のパターン及び第2のパターンをそれぞれ構成する要素のうち、少なくとも1以上の要素が異なるものであっても良い。
【0020】
取得部11が取得するデータセットには、第1のパターンの各々に対応するアクセス制御のアクションがさらに含まれる。このアクションとしては、2段階以上の異なるアクションが定義される。例えば、アクションとして、認可、否認、条件つきでの認可(追加認証要求)のうち、2種類以上のものが定義されてもよい。ただし、以上に示したアクションはあくまで例示であり、アクションの種類はこれらに限られない。
【0021】
データセットには、以上に示したアクセスの属性を示す1以上の要素の第1のパターンと、その第1のパターンに各々対応するアクセス制御のアクションと、の組み合わせが複数定義されている。例えば、アクセスの属性を示す複数の要素のパターンとして、「X1、Y1」、「X1、Z1」、「Y1、Z1」が存在し、各パターンに各々対応するアクションとして「認可」、「否認」、「認可」が存在する場合、データセットには、これらの組み合わせとして「X1、Y1⇒認可」「X1、Z1⇒否認」、「Y1、Z1⇒認可」が定義されることになる。
【0022】
評価部12は、アクセスの属性を示す1以上の要素における状態遷移を示す遷移情報と、取得部11が取得した第2のパターンと、を少なくとも用いて、第2のパターンに対応するアクションを経時的に変化させる場合の実行コストを評価する。遷移情報には、例えば、第2のパターンにおけるアクセスの属性を示す1以上の要素の経時的な遷移状態が示されてもよい。または、遷移情報には、第2のパターンにおけるアクセスの属性を示す1以上の要素と関連性がある要素の経時的な遷移状態が示されてもよい。評価部12は、遷移情報で示されたこのような要素の遷移状態を特に用いて、第2のパターンに対応するアクションを経時的に変化させる場合の実行コストを評価する。なお、遷移情報は、評価部12がデータに基づいて生成したものでも良いし、評価部12が取得しても良い。
【0023】
また、「実行コスト」とは、特定のアクションを実行した場合において生ずるか、又は特定のアクションを実行するために必要となる、ハードウェア上又はソフトウェア又はシステム上の少なくともいずれかにおける任意のコストを示す。具体例として、プロセス処理に必要な時間、メモリ、プロセッサ等のハードウェアの占有量、消費電力量、通信帯域占有率、応答速度等の要求される処理能力等が挙げられるが、実行コストの例はこれに限られない。この実行コストは、例えば、現在実行中のアクションと同じアクションが実行された場合に低くなり、現在実行中のアクションと異なるアクションが実行された場合に高くなる。
【0024】
決定部13は、評価部12の評価結果及び取得部11が取得したデータセットを少なくとも用いて、第2のパターンに対応するアクションを決定する。決定部13が決定するアクションは、ある1タイミングにおけるアクションであっても良いし、間隔が空いた2以上のタイミングにおけるそれぞれのアクションであっても良い。決定されるアクションは、2段階以上の異なるアクションにおける1のアクションであり、例えば、認可、否認、条件つきでの認可(追加認証要求)のうちのいずれかが決定される。
【0025】
決定部13は、アクションの決定において、予め学習されたAI(Artificial Intelligence)モデルを用いてもよい。この場合、学習済のAIモデルに評価結果及びデータセットが入力されることにより、AIモデルは第2のパターンに対応するアクションを出力する。ただし、決定部13は、他のアルゴリズムを用いて評価結果及びデータセットを解析することにより、第2のパターンに対応するアクションを決定してもよい。
【0026】
図2は、分析装置10の代表的な処理の一例を示したフローチャートであり、このフローチャートによって、分析装置10の処理が説明される。なお、各処理の詳細については上述の通りである。
【0027】
まず、分析装置10の取得部11は、アクセスの属性を示す1以上の要素の第1のパターンと、その第1のパターンに対応するアクセス制御のアクションと、の組み合わせが複数定義されたデータセットと、経時的に変化するアクセスの属性を示す1以上の要素の第2のパターンと、を少なくとも取得する(ステップS11:取得ステップ)。
【0028】
次に、評価部12は、アクセスの属性を示す1以上の要素における状態遷移を示す遷移情報と、第2のパターンと、を少なくとも用いて、第2のパターンに対応するアクションを経時的に変化させる場合の実行コストを評価する(ステップS12:評価ステップ)。そして、決定部13は、評価部12の評価結果及びデータセットを少なくとも用いて、第2のパターンに対応するアクションを決定する(ステップS13:決定ステップ)。
【0029】
このように、実施の形態1では、評価部12が第2のパターンにおける実行コストを評価し、決定部13は、第2のパターンに対応するアクションを決定する際に、その実行コストを用いる。これにより、決定部13が実行コストの高いアクションを決定するような事態が抑制される。したがって、分析装置10は、アクセス制御において、ポリシーで決定されるアクションの実行可能性を高めることに寄与することができる。
【0030】
実施の形態2
以下、実施の形態2では、実施の形態1にて説明した分析装置10の具体例を開示する。
以下、実施の形態2では、実施の形態1にて説明した分析装置10の具体例を開示する。
【0031】
図3は、ゼロトラストネットワーク上におけるアクセス制御の判定を実行するアクセス制御システム20Aの一例を示すブロック図である。アクセス制御システム20Aは、ポリシー生成システム21、判定部22、データストア23及びエンフォーサ24を備える。以下、各部の詳細について説明する。
【0032】
ポリシー生成システム21は、実施の形態1にかかる分析装置10の具体例に対応する。ポリシー生成システム21は、入力される情報に基づいて、アクセス制御用にアクセス制御ポリシーを生成し、生成したアクセス制御ポリシーを判定部22に出力する。入力される情報には、判定サンプル(実施の形態1におけるデータセットに対応)及び属性情報の状態遷移を示す遷移情報のほか、異なる情報が含まれてもよい。このポリシー生成システム21の詳細については後述する。
【0033】
ここで、アクセス制御ポリシーとは、アクセスの属性を示す1以上のパターンと、その1以上のパターンに対応するアクセス制御のアクションと、の組み合わせが複数定義されたものである。具体例として、要素の組み合わせが(アクセス元であるデバイスの位置:A、リソースの種別:リソースA)であった場合に、アクセス制御ポリシーでは、それに対応するアクションが「認可」と定義されてもよい。
【0034】
判定部22は、アクセス制御の問い合わせ(リクエスト)がなされたときに、エンフォーサ24等から、そのリクエストの要素に関連する属性情報を取得する。そして、取得した属性情報と、ポリシー生成システム21が生成したアクセス制御ポリシーを用いて、リクエストに対応するアクションを決定する。換言すれば、判定部22は、ポリシーエンジンとして機能する。リクエストに関する要素は、実施の形態1で説明したアクセスの属性を示す要素と同じものを意味する。
【0035】
詳細には、判定部22には、リクエストに関する要素として、エンフォーサ24から取得した(i)リクエスト中に含まれるアクセスの属性を示す要素の属性情報と、データストア23に格納された(ii)背景属性の情報とが入力される。(i)の情報の一例として、アクセス元のID、アクセス元のIPアドレス、アクセス先のリソースID、オペレーション種別、セッション鍵等が想定されるが、リクエスト中に含まれる要素の情報はこれに限定されない。また、(ii)の情報は、システム内のデバイス、ユーザ、アプリケーション、ネットワーク、リソースに関する任意の情報、その他の脅威情報や環境情報であっても良い。具体的には、アクセス元のIDのユーザ名、ユーザの所属、役職や職種、機器のメーカー名、アクセス元であるデバイスの位置、ユーザ位置、ユーザ認証結果、アクセス元のIPアドレスの危険度、アクセス先のリソースIDの所有者名、アクセス先のデータの種別や作成日時、暗号強度、アクセス元のIDからアクセス先のリソースIDへのリクエスト頻度、アクセスの時刻、各種認証方法、デバイス認証結果、アプリケーション認証結果、各種認証時刻、各種認証の失敗回数等が想定されるが、背景属性の情報に含まれる要素の情報はこれに限定されない。さらに、(ii)の情報として、以上の背景属性の情報を用いてなされたリスク評価又はニーズ(又はユーザビリティ)評価の少なくともいずれかの結果の情報がさらに含まれても良い。ここで、リスクとは、セキュリティに関するリスクを示し、例えばアクセスが不正なアクセス(攻撃)に用いられるリスクを示す。なお、判定部22は、アクションの決定において、(i)及び(ii)の両方を用いても良いし、(i)のみを用いても良い。
【0036】
判定部22は、リクエストに関する要素と、アクセス制御ポリシー中に定義された複数の要素の組み合わせとを比較して、リクエストに関する要素の条件を満たすような、アクセス制御ポリシー中に定義された要素の組み合わせを特定する。そして、その各々の組み合わせに対応して定義されたアクションを、リクエストに対するアクションとして決定し、決定したアクションの情報をエンフォーサ24に出力する。
【0037】
実施の形態2において取り得るアクションは、認可、追加認証要求、手動認可要求、詳細分析エンジンへの転送、否認等であるが、これらに限られるものではない。例えば、アクションとして、より詳細なチェックを実施するサーバーへのアクセスの転送や、管理者への承認要求なども考えられる。このアクションは、反射律、推移律、反対称律及び完全律を満たす全順序集合を構成する。また、本実施の形態では、パターンに対して、アクションに対する影響度を示す全順序集合が規定される。ここで、「認可」又は「否認」に向かう方向性を「影響度の順序」と定義し、「認可」又は「否認」にどの程度移動するかを示す情報を「影響度の大きさ」と定義する。
【0038】
また、判定部22は、リクエストに関するパラメータであるが、取得した要素に含まれないデータ(例えば、アクセス元の信頼度など)をさらに算出しても良い。判定部22が信頼度を算出する場合、判定部22は、トラストエンジンとして機能する。
【0039】
さらに、判定部22は、個別のリクエストに対してアクションを決定し、エンフォーサ24にそのアクションを出力する以外の方法で、アクションを決定しても良い。判定部22は、様々な(複数の)リクエスト元又はリクエスト先のIDに対するアクションを、リクエストがなされる前に、ポリシー生成システム21が生成したアクセス制御ポリシーを用いて1回で決定し、出力することができる。出力された複数のアクションのセットは、ACL(Access Control List)として、リクエストに対するアクセス制御を実行するエンフォーサ24に対して出力することが可能である。エンフォーサ24は、リクエストを受け付けた場合にこのACLを用いることにより、判定部22に問い合わせをすることなく、そのリクエストに対するアクションを決定することができる。
【0040】
判定部22は、例えば、アクセス制御用のプロキシサーバ、アプリケーションゲートウェイ、属性ベース暗号(Attribute-based Encryption:ABE)等の任意の手段によって実現することができる。判定部22は、アクションの決定を、決定木、線形モデル、ニューラルネットワーク等の任意の手段によって実現することができる。また、判定部22が信頼度を算出する場合、信頼度の算出は、ナイーブベイズ、ファジー論理、重み付き和等の任意の手段によって実現することができる。
【0041】
データストア23は、上述の判定部22において用いられる背景属性の情報が格納されたストレージ(記憶部)である。アクセス制御システム20Aは、自動的に収集したデータをデータストア23に格納する。判定部22は、アクセス制御のリクエストがあった場合に、データストア23を参照することで、そのリクエストに対応する背景属性の情報を取得する。データストア23に格納された背景属性の情報は、システム内のデバイス、ユーザ、アプリケーション、ネットワーク、リソースに関する任意の情報、その他の脅威情報や環境情報であっても良いし、その情報を用いてなされたリスク評価又はニーズ評価の少なくともいずれかの結果の情報が含まれても良い。
【0042】
データストア23は、例えば、アセット管理機能、認証・ID管理基盤、ワークロード監視機能、脅威情報基盤といったものや、ユーザ行動ログ、CDM(Continuous Diagnostics and Mitigation)、SIEM(Security Information and Event Management)等の機能によって実現されても良い。
【0043】
エンフォーサ24は、ユーザーネットワーク上に設けられたアクセス制御機器であって、アクセス制御のリクエストを受け付けた場合に、そのリクエストに関する要素の情報(アクセス属性の情報)を判定部22に出力する。そして、判定部22が決定したアクションの情報を取得し、そのアクションの情報に基づいて、リクエストに対するアクセス制御を実行する。アクセスが認可される場合には、エンフォーサ24はアクセスにかかるパケットをリソース(アクセス先)に転送する一方、アクセスが否認される場合には、エンフォーサ24はアクセスにかかるパケットを破棄する。また、アクションは、認可、否認以外の種類のものも想定される。一例として、エンフォーサ24は、アクセスを詳細分析エンジン(不図示)に転送しても良い。詳細分析エンジンでアクセスの詳細な分析がなされることにより、アクセスに対するアクションとして、認可又は否認のいずれかが決定される。以上のようにして、アクセス制御システム20Aは、生成されたアクセス制御ポリシーに基づくアクセス制御を実行する。
【0044】
別の例として、エンフォーサ24は、上述の通り、判定部22からアクションのセットであるACLを取得しても良い。この場合、エンフォーサ24は、リクエストを受け付けた場合に、ACLを参照してリクエストに対応するアクションを特定することにより、判定部22に問い合わせをすることなく、そのリクエストに対するアクションを決定することができる。
【0045】
エンフォーサ24は、例えば、リバースプロキシ、ファイアウォール、ゲートウェイ、属性ベース暗号基盤等の機能によって実現されても良い。
【0046】
次に、ポリシー生成システム21の詳細について説明する。図3に記載の通り、ポリシー生成システム21は、情報取得部211、実行コスト評価部212、ポリシー生成部213、パラメータ格納部214及び表示部215を備える。以下、各部について説明する。
【0047】
情報取得部211は、ポリシー生成部213が後述のポリシーを生成するための情報を取得する。情報取得部211は、例えば情報入力の入力部として構成される。
【0048】
情報取得部211は、ポリシー生成の対象である、経時的に変化するアクセスの属性を示す1以上の要素のパターン(実施の形態1における第2のパターンに対応し、以下、対象パターンと記載)と、ポリシー生成のための情報を取得する。ポリシー生成のための情報には、例えば判定サンプルが含まれる。判定サンプルは、ユーザ(又は既存の自動化手法)が定義した複数のサンプルポリシーを含む。サンプルポリシーは、アクセスの属性を示す複数の要素のパターン(以降、サンプルパターンとも記載)と、そのサンプルパターンについてのアクセス制御のアクションとの対応関係が、複数定義されたものである。アクションは、上述の通り、認可、否認等一義的に定められるものであるため、判定サンプルは、ポリシーを生成するための定量的な情報が定義されている。なお、サンプルポリシーには、1つのみの要素と、その要素についてのアクセス制御のアクションとの対応関係が定義されていても良い。ポリシー生成に必要なサンプルポリシーが少なくなるほど、ポリシー設計の労力を小さく抑えることができる。
【0049】
ここで、複数のサンプルポリシーは、個々のポリシー毎に異なる観点から定義されたものであってもよい。例えば、セキュリティ機能に基づく観点として、トラフィックの暗号強度、アクセス元の機器のOSバージョン、アプリケーション認証結果、ユーザの認証強度、リソースの作成者、リソースの種別等の要素が設定されてもよい。また、アクセスにおける組織の部門構造(所属や役職等)に基づく観点として、ユーザの役職、所属(例えば担当プロジェクト)、リソースの作成者、リソースの種別、ユーザ位置、アクセス元の機器の位置等の要素が設定されてもよい。このように、異なる観点は、異なる要素を有しても良いし、同じ要素を有しても良い。サンプルポリシーの具体例は、「アクセス元であるデバイスの所属、デバイスの位置⇒認可/否認」といったものである。
【0050】
また、サンプルポリシーは、その要素の一部が、一意的に特定できない(すなわち、「匿名化された」)形式で表現されても良い。例えば、サンプルポリシーにおけるユーザの所属は、匿名化されていない状態では「人事部」、「開発部」のように表現されるのに対し、匿名化された状態では「A部」、「B部」のように表現される。このような匿名化は、例えば、サンプルポリシーを組織外部の人やシステムへ提示するにあたり、組織の秘密情報を保護するために行われる。または、元々、サンプルポリシーを生成する際に、基礎となるデータの要素の特定が一意的になされなかった(例えば、基礎となるデータの可読性が低かった)ことで、そのような匿名化がなされることも想定される。
【0051】
情報取得部211は、取得した判定サンプルをそのまま実行コスト評価部212及びポリシー生成部213に出力しても良い。または、情報取得部211は、特定のパターンに対する理想的なアクセス制御を示すデータをさらに取得し、そのデータも判定サンプルとして、実行コスト評価部212及びポリシー生成部213に出力しても良い。このデータが含むパターン数は、例えば数~数十パターン程度が考えられるが、これに限定されない。これにより、ポリシー生成部213が生成するポリシーの精度をより高めることが可能となる。
【0052】
なお、情報取得部211は、ユーザが後述の表示部215を参照して判断した後に入力した、アクセス制御ポリシーの修正に関する修正情報を取得することもできる。情報取得部211は、その修正情報をポリシー生成部213に出力する。また、情報取得部211が取得する判定サンプルは、ユーザによって適宜変更されても良い。
【0053】
さらに、情報取得部211は、1以上の要素に基づいてアクションを決定するに際し決定者が用いると想定される意図(第3のパターン)を取得してもよい。意図は、ポリシー生成に必要な知識を意味し、より具体的には、アクセスの属性を示す1以上の要素のパターンを含む。
【0054】
情報取得部211は、意図として、アクションに影響を与える影響度の順序及び大きさの少なくともいずれかが、1以上の要素のパターンに対応して定義された意図を取得しても良い。また、後述の通り、この意図は、曖昧な形式による定義が許容される。情報取得部211は、この組み合わせを、1以上の任意の数だけ取得することができる。
【0055】
1以上の要素のパターンの例としては、「アクセス元の機器の位置、要求データの種類又はリソース所有の組織」のセット、「OS、ソフトウェア名又はアプリケーション名」のセット、単体の「アクセス元の機器の所属」、「異常度」等が考えられる。例えば、アクセス制御において、アクセスが認可される対象となるデータの種類又はリソースを所有する組織は、アクセス元の機器の所属(又はその位置)によって異なると考えられる。そのため、「ユーザの所属、要求データの種類又はリソース所有の組織」が意図の要素として定義されてもよい。同様に、アクセス制御において、アクセス元のOS及びソフトウェア又はアプリケーションの組み合わせ、認証手段や異常度によってアクセスのセキュリティレベルが変化し得る(つまり、アクセスの認可又は否認が変化し得る)と考えられるため、「OS、ソフトウェア名又はアプリケーション名」や「認証手段」、「異常度」が意図の要素として定義されてもよい。
【0056】
また、アクションに影響を与える影響度の情報は、アクションが「認可」又は「否認」のいずれの方向にどの程度移動するかを示す情報である。上述の通り、「認可」又は「否認」に向かう方向性を「影響度の順序」と定義し、「認可」又は「否認」にどの程度移動するかを示す情報を「影響度の大きさ」と定義する。例えば、「影響度の大きさ」を降順に並べたものが、「影響度の順序」となる。この影響度の情報は、実行されるべきアクションそのものを示す必要はない。
【0057】
ここで、情報取得部211は、意図における影響度として、定量的に表現される数値等のデータを取得しても良いし、定性的な(あいまいな)形式の情報を取得しても良い。後者の具体例は、例えば、アクションが「認可」に向かう方向性(ポジティブな方向性)に関して、「アクセス元の機器の位置:A、要求データ:リソースA」が「アクセス元の機器の位置:A、要求データ:リソースB」よりも大きいことを意味するような情報である。ここで、アクセス元の機器は移動しながら通信を行う装置(この例ではドローン)であり、リソースA、BはそれぞれエリアA、Bの飛行に関する周辺の地図データである。ドローンがあるエリアを飛行する場合、安全な飛行をするために、そのエリアに関する地図データを取得することが自然であり、それに関するアクセス制御が認可されるのが妥当と考えられる。そのため、アクセス元の機器の位置と要求データの対象とするエリアとが一致する場合、又はアクセス元の機器の位置と要求データの対象とするエリアとが近接する場合には、アクションが「認可」となるのが好ましい。しかしながら、ドローンが、現在自身が飛行するエリアと異なるエリアの地図データを取得することは、セキュリティ上好ましくない可能性がある。そのため、「アクセス元の機器の位置:A、要求データ:リソースA」は、「アクセス元の機器の位置:A、要求データ:リソースB」よりも、アクションが「認可」となりやすい。
【0058】
その他の例として、アクセス元のOSのバージョンの新しさ、アクセス元の機器の振る舞い異常度の低さ、アクセス先のリソースの種別の公開度合い(機密度の低さ)といったパラメータについては、大きい値を示すほど、アクションが「認可」に向かう方向性が大きいように影響度が設定されても良い。また、アクセス先のリソースIDの所有者(リソース所有者)が作成したアクセス権限において許可されているユーザは、そのリソースに対するアクションが「認可」に向かう方向性となるように影響度が設定されても良い。なお、以上の例では、アクションが「認可」に向かう方向性(ポジティブな方向性)について説明したが、アクションが「否認」に向かう方向性(ネガティブな方向性)についても、同様に定義することができる。
【0059】
このように、影響度は、実際に認可するか否認するかを示す定量的な形式の情報とは異なり、一般的な傾向を示す定性的な情報である。なお、影響度の大きさは2段階でなく3段階以上(例えば、影響度が大きい順に「影響度が大きい」、「影響度がやや大きい」、「影響度が小さい」のように表現可能)で表現されても良い。定性的な情報は、例えばアクセス制御を判断するユーザが決定することができる。
【0060】
情報取得部211は、このような定性的な影響度の情報を取得した場合に、その影響度の情報を、影響度の順序及び大きさが定義された数値として変更した後に、ポリシー生成部213に出力することができる。例えば、「認可」の方向性として正のスコアを割り当てる場合に、情報取得部211は、「ユーザの所属:開発部、要求データ:設計データ」が「ユーザの所属:開発部、要求データ:人事データ」よりもアクションを「認可」とし易いため、前者に影響度「1」、後者に影響度「0」の数値を割り当てても良い。
【0061】
実行コスト評価部212は、アクセスの属性を示す1以上の要素における属性情報の時間変化に関するモデル(状態遷移モデル:実施の形態1における遷移情報の一例)を生成し、保有する。実施の形態2における状態とは、デバイスID、リソースID等といった制御単位が固定された場合の、その他の1以上の属性情報の組からなるベクトルをいう。実行コスト評価部212は、この状態遷移モデルを用いることにより、対象パターンに対応するアクションの実行コストを評価する。アクションの実行コストの説明は、実施の形態1に記載した通りである。アクションの実行コストが高いほど、そのアクションは実行されることが好ましくないアクションとなり、アクションの実行コストが低いほど、そのアクションは実行されることが好ましいアクションとなる。ポリシー生成部213は、この評価された実行コストを用いて対象パターンのポリシーを生成するため、現実に制御が実行しにくいアクションがポリシーで定義されることが抑制される。そのため、結果的にムダとなる実行コストが生じることを抑制することができる。
【0062】
例えば、実行コスト評価部212は、遷移確率が高い状態の間を重み付きエッジで接続したグラフ構造の状態空間を、属性情報ログ又は設計情報の少なくともいずれかを用いて構築してもよい。属性情報ログは、実際になされた経時的に変化する属性のアクセス及びそれに対応するアクションの履歴を示す。設計情報は、経時的に変化する属性のアクセス及びそれに対応するアクションが予め定義されたものである。
【0063】
具体例として、装置がドローン等、移動しながら通信を行う装置であるとし、装置の現在の位置を状態1、現在から単位時間経過後の位置を状態2とする。ここで、状態1から状態2への遷移確率が高いほど、状態空間における状態1と状態2間の距離は近接し、グラフ構造におけるエッジの重みが大きくなる。例えば、状態1と状態2との実空間上での位置が近いほど、状態1から状態2への遷移確率は高くなるので、実行コスト評価部212は、エッジの重みを大きくする。他の例として、状態1の帯域使用率と状態2の帯域使用率とが近いほど、状態1から状態2への遷移確率は高くなるので、実行コスト評価部212は、エッジの重みを大きくする。
【0064】
このとき、実行コスト評価部212は、(A)設定したエッジの重みに応じて、状態1と状態2との間で、取り得るアクションの確率を平滑化する。以下、この処理(A)について、詳細に説明する。
【0065】
図4Aは、状態空間の一例を示す。この状態空間は、アクセス元のドローンRが移動しながら通信を行う状態を示す。図4Aの状態空間において、ドローンRは初期時刻t0でエリアαに位置し、この状態を状態1と定義する。そして、初期時刻t0から時間が経過した時刻t1において、ドローンRは、エリアβ1とエリアβ2のいずれかの場所に移動し得る。ドローンRが時刻t1でエリアβ1に位置する状態を状態2と定義し、ドローンRが時刻t2でエリアβ2に位置する状態を状態3と定義する。なお、図4Aでは、状態1から状態2への遷移確率が、状態1から状態3への遷移確率よりも高い。そのため、実行コスト評価部212は、状態1から状態2へのエッジの重みを、状態1から状態3へのエッジの重みよりも大きく設定する。
【0066】
図4Bは、この例において情報取得部211が取得した判定サンプルにおける、各エリアα、β1、β2でのアクションが定義されたテーブルの一例である。テーブルにおけるリソースA、B1、B2は、それぞれエリアα、β1、β2の飛行に関する地図データであり、アクセス先のデータである。図4Bでは、ドローンRがエリアα、β1、β2を飛行する場合に、各々のエリアに関する地図データを取得することは認可されるが、ドローンRが現在飛行していないエリアに関する地図データを取得することは否認される。
【0067】
実行コスト評価部212は、図4Aに示す状態空間のデータと、図4Bに示す判定サンプルのデータを参照する。そして、状態1から状態2へのエッジの重みが、状態1から状態3へのエッジの重みよりも大きい(つまり、状態1から状態2への遷移確率が、状態1から状態3への遷移確率よりも高い)ことを判定する。実行コスト評価部212は、この判定結果に基づいて、状態1においてリソースB1へのアクセスを否認する実行コストを、状態1においてリソースB2へのアクセスを否認する実行コストよりも高く評価する。なぜなら、状態1においてリソースB1へのアクセスを否認する場合、例えば状態2への遷移に同期してリソースB1へのアクセスを認可するよう、リソースB1へのアクセス制御動作を否認から認可へ切り替える必要があるためである。この場合、高い確率で動作の切り替えが生じることになり、平均的な実行コストが高くなる。一方で、状態1から状態3への遷移確率は比較的低いため、リソースB1へのアクセス制御動作の切り替えに伴う実行コストは平均的に低くなる。
【0068】
さらに詳細に説明すると、ドローンRは、移動可能な装置であるため、アクセス制御システム20A側でエリアαにいる(状態1)と認識していても、実際にはエリアβ1にいる(状態2)か、又はエリアβ2にいる(状態3)可能性がある。図4Aに示す通り、ドローンRは、状態空間において、状態3よりも状態2に移動しやすい。そのため、アクセス制御システム20A側でエリアαにいる(状態1)と認識している場合に、実際にはエリアβ1にいる確率が、実際にはエリアβ2にいる確率よりも高い。また、図4Bに示す通り、状態2、3においては、それぞれリソースB1、B2へのアクセスが許可される。したがって、実行コスト評価部212は、後のポリシー生成部213におけるポリシー生成において、状態1においてリソースB1にアクセスが許可される可能性を、状態1においてリソースB2にアクセスが許可される可能性よりも高くするように、上述の処理を実行する。
【0069】
なお、図4Bに示す判定サンプルのデータにおいて、仮にドローンRがエリアβ1を飛行する場合にリソースB3(不図示)を取得することは認可される場合、実行コスト評価部212は、状態1においてリソースB3へのアクセスを否認する実行コストを、状態1においてリソースB2へのアクセスを否認する実行コストよりも高く評価する。また、図4Bに示す判定サンプルのデータにおいて、ドローンRがエリアβ1を飛行する場合にリソースB1を取得することが否認され、ドローンRがエリアβ2を飛行する場合にリソースB2を取得することが否認される場合も想定される。この場合、実行コスト評価部212は、状態1においてリソースB1へのアクセスを認可する実行コストを、状態1においてリソースB2へのアクセスを認可する実行コストよりも高く評価する。
【0070】
以上に示したように、実行コスト評価部212は、状態1において、判定サンプルにおける状態2で定義されたアクションと異なるアクションを実行する実行コストを、判定サンプルにおける状態3で定義されたアクションと異なるアクションを実行する実行コストよりも高いものとするように、実行コストを評価する。実行コスト評価部212は、実行コストの評価結果を、ポリシー生成部213に出力する。
【0071】
また、実行コスト評価部212は、処理(A)のほか、以下に示す処理(B)を実行することも可能である。(B)実行コスト評価部212は、状態空間を解析した結果、状態が状態1から状態2に遷移する時間間隔が所定の許容時間の間隔(閾値)以下であり、判定サンプルにおいて状態1と状態2とで異なるアクションが定義されるアクセスに対して、そのアクセスに対応するアクションを同一のアクション(例えば認可又は否認)として定義するサンプルポリシーを生成する。状態1から状態2に遷移する時間間隔が所定の許容時間の間隔以下であることは、状態1と状態2とでアクションを変更することの実行可能性(アクションを経時的に変化させる実行可能性)が所定の閾値未満であることを意味する。
【0072】
実行コスト評価部212は、例えば情報取得部211が取得した判定サンプル、又はデータストア23に格納されたリスク評価又はニーズ評価の少なくともいずれかの結果の情報、の少なくともいずれかを用いて、状態1及び状態2に対して定義する同一のアクションを決定する。リスク評価は、アクセス制御の判定対象となるアクセスパターンに要求されるセキュリティのレベルを示し、ニーズ評価は、アクセス制御の判定対象となるアクセスパターンに要求されるニーズのレベルを示す。
【0073】
例えば、リスク評価において、ドローンRのIDに設定されたリスクが所定の閾値以上である場合には、実行コスト評価部212は、状態1及び状態2に対して定義するアクションを「否認」に決定する。別の例として、ドローンRのIDに設定されたリスクがリスク評価において所定の閾値未満であり、ドローンRのIDに設定されたニーズがニーズ評価において所定の閾値以上である場合に、実行コスト評価部212は、状態1及び状態2に対して定義するアクションを「認可」に決定する。なお、ドローンRのIDに設定されたリスクがリスク評価において所定の閾値未満であり、ドローンRのIDに設定されたニーズがニーズ評価において所定の閾値未満である場合には、実行コスト評価部212は、状態1及び状態2に対して定義するアクションを「認可」又は「否認」のどちらに決定しても良い。実行コスト評価部212は、このようにして、ニーズ及びセキュリティのうち一方のレベルが満たされるようなアクションを決定し、決定されたアクションが定義されたサンプルポリシーを新たに生成する。
【0074】
このように設定された追加の判定サンプルポリシー(以下、追加の判定サンプルとも記載)は、後述するポリシー生成モデルに入力される。これにより、ポリシー生成部213が生成するポリシーが、状態1及び状態2に対して同一のアクションを定義するように制御される。
【0075】
例えば、図4Aに示した例において、ドローンRの移動速度が非常に速いため、アクセス制御装置によってドローンRの移動状態を正確に把握してアクセスを制御するのが実質的に困難な状態が想定される。このような状況下で、判定サンプルにおいて、ドローンRの位置に応じてアクションが変更されることが定義されていた場合、その定義に基づいてアクセス制御をするのは現実的ではなく、実行コストが高くなることが想定される。このような場合に、処理(B)によって、状態1及び状態2に対して決定されるアクションが同一のアクションとされることで、アクセス制御にかかる実行コストを抑制することができる。
【0076】
一方で、状態1から状態2に遷移する時間間隔が所定の許容時間の間隔より大きい場合は、状態1と状態2とでアクションを変更することの実行可能性が所定の閾値以上であることを意味する。この場合には、実行コスト評価部212は、追加の判定サンプルを生成しない。これにより、後述の通り、ポリシー生成部213は、アクセス制御の対象となるアクセスパターンにおけるニーズ評価及びリスク評価に定義された、ニーズ及びセキュリティが満たされるようにアクションを決定することができる。
【0077】
図3に戻り、ポリシー生成部213について説明する。ポリシー生成部213は、情報取得部211から、対象パターンと、判定サンプル、意図等のポリシー生成のための情報とを取得し、実行コスト評価部212から、実行コストの評価結果(及び、生成された場合には追加の判定サンプルも)を取得する。上述の通り、判定サンプルは、ポリシーを生成するための定量的な意図が反映された情報である。一方、ポリシー生成のための情報には、意図の情報として、任意の属性情報がアクションの決定に与えるポジティブ又はネガティブな効果といった定性的な情報が含まれ得る。また、ポリシー生成部213は、リスク評価、ニーズ評価の情報についても取得する。
【0078】
ポリシー生成部213は、これらの情報を、アクセス制御ポリシー生成のモデル(以下、ポリシー生成モデルと記載)に入力する。ポリシー生成モデルは、入力に基づくアクセス制御ポリシーを生成するよう、予め機械学習がなされている。これにより、ポリシー生成モデルは、入力された情報が示す方向性に沿ったアクセス制御のアクションが定義されたアクセス制御ポリシーを生成し、出力する。アクセス制御ポリシーは、アクセスの属性を示す1以上の要素のパターン(対象パターン)とアクションとの組み合わせで定義されたものである。アクセス制御ポリシーに含まれる要素のパターンは、ポリシー生成のための情報及び追加の判定サンプルで定義されたサンプルパターンであっても良い。
【0079】
ポリシー生成モデルは、入力された情報に基づき、アクセス制御対象ネットワークの管理者等がサンプルポリシーを決定した方法を模倣して、サンプルポリシーで明確に定義されていなかった(例えば、範囲外であったか、アクセス制御の判断に実質的な影響を与えるものでないため無視されていた)要素の組み合わせとアクションの組み合わせのパターンを、アクセス制御ポリシーとして詳細に決定することができる。ここで、ポリシー生成モデルは、意図に基づく要素の組み合わせと対応する影響度の順序及び大きさについて、自動的に調整し、適切な値とすることができる。
【0080】
例えば、ポリシー生成モデルは、情報取得部211から取得した、要素のパターンに対応する影響度の情報(例えば、順序及び大きさ)が保存されるように、アクセス制御ポリシーを生成することができる。すなわち、ポリシー生成モデルは、アクセス制御ポリシーで定義される対象パターンに対応する定量的なアクションが、情報取得部211から取得した定性的な影響度の情報と矛盾がないように、アクセス制御ポリシーを生成することができる。そして、一例として、生成されたアクセス制御ポリシーは、サンプルポリシーにおいて匿名化された箇所が一意的に特定されるものであってもよい。
【0081】
さらに、ポリシー生成モデルは、アクセス制御ポリシーで定義される対象パターンに対応する定量的なアクションが、実行コスト評価部212が出力した評価結果及び追加の判定サンプルと矛盾がないように、アクセス制御ポリシーを生成することもできる。
【0082】
また、ポリシー生成モデルは、情報取得部211から取得した判定サンプル等のポリシー生成のための情報が変化した場合、又は実行コスト評価部212から取得した実行コストの評価結果等の情報が変化した場合に、その変化に応じて、生成するアクセス制御ポリシーを変更することができる。
【0083】
さらに、ポリシー生成部213は、情報取得部211からアクセス制御ポリシーの修正情報を取得した場合、その修正情報に応じて、生成するアクセス制御ポリシーを修正することもできる。
【0084】
以上に示したポリシー生成部213は、線形モデル、サポートベクトルマシン、ニューラルネットワーク、決定木、アンサンブル決定木、ベイズモデル、非負重み線形モデル、モノトニックニューラルネットワーク、モノトニック決定木等の任意の手段によって実現することができる。
【0085】
また、ポリシー生成部213は、アクセス制御ポリシーに代えて、何らかのアルゴリズム(例えばプログラム)を生成しても良い。このプログラムは、所定の(例えばリクエストがなされた)アクセスの属性を示す複数の要素のパターンが入力された場合に、そのパターンに対応するアクションを出力するものである。ポリシー生成部213は、そのプログラムを判定部22に出力し、判定部22はそのプログラムを用いてリクエストにかかるアクションを決定する。ポリシー生成部213は、生成したアクセス制御ポリシー(又はアルゴリズム)を、判定部22と表示部215に出力する。
【0086】
パラメータ格納部214は、ポリシー生成部213がアクセス制御ポリシーを生成するのに必要なパラメータ(例えば、ポリシー生成モデルの設定に必要なパラメータ)を格納する。ポリシー生成部213は、アクセス制御ポリシーを生成するときに、パラメータ格納部214からパラメータを取得する。
【0087】
表示部215は、ポリシー生成部213が生成したアクセス制御ポリシーを、ユーザが理解しやすくなるように、整理して表示するインタフェースである。表示部215は、例えば、GUI(Graphical User Interface)、CLI(Command Line Interface)等の表示機能を有する。さらに、表示部215は、ユーザがアクセス制御を管理するためのコンピュータ(例えば、管理用クラウドサーバ)等のインタフェースを有しても良い。
【0088】
例えば、表示部215は、アクセス制御ポリシーの内容として、アクセス先リソースの所有組織毎に、許可される状況と、許可対象であるユーザ、デバイスをまとめて表示することができる。このとき、表示部215は、アクションに与える影響が閾値以下である要素の属性情報の表示を省略することができる。また、表示部215は、入力部と共通のGUI上でアクセス制御ポリシーを表示することにより、ユーザが入力部で入力した判定サンプル等の情報と、表示部215で表示されるアクセス制御ポリシーとの整合性を、ユーザに分かりやすく認識させることもできる。
【0089】
ユーザは、表示部215を参照することにより、アクセス制御ポリシーのうち妥当ではないと考えられる部分についての修正情報を、入力部で入力する。これにより、情報取得部211からポリシー生成部213に修正情報が出力されることで、ポリシー生成部213は、アクセス制御ポリシーにおいて、修正情報で指定された部分を修正する。また、修正されたアクセス制御ポリシーが表示部215に表示されることで、ユーザは、アクセス制御ポリシーの修正を確認することができる。
【0090】
また、ユーザは、表示部215でのアクセス制御ポリシーの表示結果に基づいて、入力部を介して追加の判定サンプルをポリシー生成システム21に入力しても良い。これにより、ポリシー生成部213は、情報取得部211により取得した追加の判定サンプルを用いて、次回以降にアクセス制御ポリシーを生成するタイミングで、より状況に則したアクセス制御ポリシーを生成することができる。
【0091】
以上に示したアクセス制御システム20Aの処理について、さらに詳細な例を示して説明する。
【0092】
図5Aは、アクセス制御の状況の一例を示す図である。図5Aにおいて、ドローンRはエリアαからエリアδまで飛行による移動中であり、図5Aではエリアβに位置する。エリアα~δのそれぞれには、アクセス制御機器であるエンフォーサ24が接続され、各エリアα~δにドローンRが移動した場合に、ドローンRとの無線通信が可能であるAP(Access Point)1~4が設けられる。エンフォーサ24は、ドローンRからリソースへのリクエストがなされた場合に、そのリクエストを、ドローンRが位置するエリアのAPから受信する。エンフォーサ24は、このリクエストを受信した場合に、アクセス元であるドローンRのID、ドローンRの位置情報(ドローンRがどのエリアにいるかを示す情報)等を、判定部22(図5Aで不図示)に出力する。エンフォーサ24は、判定部22からのアクションの指示に基づき、エンフォーサ24に接続されたリソースSに含まれる各リソースA、B、C、Dへのアクセスを認可又は否認する。
【0093】
図5Bは、この例において情報取得部211が取得した判定サンプルにおける、各エリアα、β、γ、δでのアクションが定義されたテーブルの一例である。テーブルにおけるリソースA、B、C、Dは、リソースSに含まれたデータであり、それぞれエリアα、β、γ、δの飛行に関する地図データである。図5Bでは、ドローンRがエリアα、β、γ、δを飛行する場合に、各々のエリアに関する地図データを取得することは認可されるが、ドローンRが現在飛行していないエリアに関する地図データを取得することは否認される。
【0094】
図5Cは、ドローンRがエリアβに位置し、アクセス制御ポリシーとして図5Bで示された判定サンプルがそのまま用いられた場合に、判定部22が決定するアクションの一例を示した図である。図5Cに示された通り、ドローンRのリソースBに対するアクセスは許可されるが、他のリソースに対するアクセスは否認される。しかしながら、ドローンRの速度が速い場合、エンフォーサ24がドローンRの位置をエリアβであると認識している間に、実際のドローンRの位置が異なる位置(例えばエリアγ、δ)に移動している可能性が想定される。この場合、ドローンRは、現在いるエリアに関するリソースを取得できない代わりに、既に飛行を終了したエリアに関するリソースを取得することになり、実際の状況に則したアクセス制御ができなくなるという可能性がある。
【0095】
図5Dは、上述の処理に基づいてポリシー生成部213が生成するアクセス制御ポリシーにより、図5Aに示した状況においてなされるアクション制御の例である。図5Dでは、状況に応じたアクション制御として、アクセス制御1~4の4種類の例が示されている。ここで、アクション制御1、2、4は、ドローンRの移動速度が速く、状態空間において状態遷移する時間間隔が所定の閾値以下である場合を示し、アクション制御3は、ドローンRの移動速度が速くなく、状態空間において状態遷移する時間間隔が所定の閾値よりも大きい場合を示す。以下、各制御について説明する。
【0096】
アクション制御1は、ニーズ評価においてドローンRによるリソースへのアクセスのニーズが所定の閾値以上であると判定され、かつ、リスク評価においてドローンRによるリソースへのアクセスのリスクが第1の閾値Th1未満であると判定される場合を示す。この場合、ポリシー生成モデルは、エンフォーサ24が認識するドローンRの位置であるエリアβに対応するリソースBだけでなく、その飛行する方向に位置するエリアγ、δに対応するリソースC、Dに対するアクセスを許可するように、アクセス制御ポリシーを設定する。上述の通り、エンフォーサ24がドローンRの位置をエリアβであると認識している間に、実際のドローンRの位置がエリアγ又はδに移動する状態が想定される。そのため、ドローンRがリソースを取得するニーズが高い場合には、リソースC、Dに対するアクセスを許可することが好ましい。
【0097】
アクション制御2は、ニーズ評価においてドローンRによるリソースへのアクセスのニーズが所定の閾値以上であると判定され、かつ、リスク評価においてドローンRによるリソースへのアクセスのリスクが第1の閾値Th1以上第2の閾値Th2未満(Th1はTh2よりも小さい)であると判定される場合を示す。この場合、ポリシー生成モデルは、エンフォーサ24が認識するドローンRの位置であるエリアβに対応するリソースBだけでなく、それに隣接するエリアγに対応するリソースCに対するアクセスを許可するように、アクセス制御ポリシーを設定する。ここで、アクション制御2の状況では、リソースへのアクセスのニーズが高いものの、アクション制御1の状況と比較すると、ドローンRがリソースを収集するリスクが高くなる。そのため、アクション制御1と比較すると、アクセスを認可する対象となるリソースが少なくなる。具体的には、リソースDに対するアクセスが否認される。以上に示したように、アクション制御1、2では、機器が位置するエリア周辺の情報へのアクセスが、ニーズ、リスク及びアクセス元の機器の移動確率に応じて、許可又は否認される。
【0098】
アクション制御3は、ニーズ評価においてドローンRによるリソースへのアクセスのニーズが所定の閾値以上であると判定され、かつ、リスク評価においてドローンRによるリソースへのアクセスのリスクが第1の閾値Th1以上第2の閾値Th2未満であると判定される場合を示す。上述の通り、ドローンRの移動速度は速くないため、エンフォーサ24は、ドローンRの位置を正確に認識していると考えられる。このため、アクション制御3では、ドローンRの位置であるエリアβに対応するリソースBのみに対するアクセスが認可され、他のリソースに対するアクセスは否認される。
【0099】
アクション制御4は、ニーズ評価においてドローンRによるリソースへのアクセスのニーズが所定の閾値未満であると判定され、かつ、リスク評価においてドローンRによるリソースへのアクセスのリスクが第2の閾値Th2以上であると判定される場合を示す。この場合、ドローンRの移動速度が速いため、エンフォーサ24は、ドローンRの位置を正確に認識しない可能性がある。そして、アクセスへのニーズが低く、リスクが高いため、ポリシー生成モデルは、ドローンRのアクセスを、全てのリソースに対して否認するように設定する。このアクション制御4は、上述の実行コスト評価部212の(B)の処理によって設定される。
【0100】
以上に示したように、アクセス制御システム20Aにおいて、実行コスト評価部212は状態遷移モデルを用いて、対象パターンに対応するアクションを経時的に変化させる場合の実行コストを評価する。そして、ポリシー生成部213は、その評価結果と、情報取得部211が取得した判定サンプルを少なくとも用いて、対象パターンに対応するアクションを決定する。これにより、セキュリティとニーズを両立するだけでなく、さらに制御の実行可能性を満たすアクセス制御ポリシーを生成することができる。
【0101】
例えば、情報取得部211が取得した情報(例えば、判定サンプル又は意図の情報)で要求されたセキュリティとニーズを両立させるアクションがあり、そのアクションの実行可能性が高い場合が想定される。この場合には、ポリシー生成部213は、そのアクションが実行されるようにアクセス制御ポリシーを生成する。
【0102】
一方、情報取得部211が取得した情報で要求されたセキュリティとニーズを両立させるアクションがあるが、そのアクションの実行可能性が低い場合も想定される。この場合には、ポリシー生成部213は、リスク評価又はニーズ評価の少なくともいずれかを参照して、セキュリティとニーズのうち一方は満たさないが、いずれか一方を満たすようなアクションが実行されるように、アクセス制御ポリシーを生成する。このようにして、アクセス制御システム20Aは、セキュリティ・ニーズ・実行可能性のトレードオフを考慮したアクセス制御ポリシーを、精度が粗い、又は少数の判定サンプルに基づいて、自動的に生成することができる。
【0103】
また、上述の通り、判定部22は、多数のアクションのセットをACLとして、アクセス制御機器(エンフォーサ24)に対して設定することが可能である。この場合、アクセス制御機器は、アクセスのリクエストに対してACLを参照するだけでアクションを決定することができるため、アクション決定に際し、アクセスに関連する背景属性の情報を取得して検索する必要がない。そのため、アクセス制御機器のアクセス制御処理を高速にすることができる。しかしながら、アクセス制御システム20AにおいてACLを生成及び更新するための実行コストを削減することが、依然として課題となり得る。実施の形態2では、実行可能性が高いアクションが定義されたアクセス制御ポリシーを生成することができるため、そのアクセス制御ポリシーに基づいたACLを更新する回数を減少させることができる。
【0104】
また、アクセス元の機器からなされるアクセスのリスクが低い(例えば、所定の閾値以下である)場合、その機器からのアクセスに対してアクセス制御ポリシーが認可するリソースの数は増加すると想定される。例えば、図5Dのアクセス制御ポリシー1、2に示した通り、アクセス元の機器が移動する場合、アクセス制御ポリシーは、アクセス元の機器が将来移動する確率が高い位置に関連するリソースに対しても、そのアクセスを認可することができる。したがって、エンフォーサ24は、アクセス元の機器との通信頻度を減らすことが可能である。また、アクセス元の機器からのアクセスに対して認可されるリソースの数を増加させる対応の実行可能性は高いため、ACLが生成される場合には、ACLを更新する回数を減少させることができる。
【0105】
その一方で、アクセス制御ポリシーは、高いセキュリティリスクが生じる状況では機器からのアクセスを否認し、機器へのサービス継続が必要な状況ではアクセスを認可するように設定されても良い。例えば、ポリシー生成部213が、リスク評価及びニーズ評価に基づき、セキュリティリスクが特定の状況下でのみ増大し、その状況を除いてはニーズの維持が必要であると判定したと仮定する。この場合、セキュリティリスクが増大する状況に至る前後では、ACLの更新頻度を増大させてでも詳細なアクセス制御を実行するようなアクセス制御ポリシーが生成される。これにより、アクセスのリスクが上昇し始める時点で、アクセスが早期に禁止され、セキュリティを確保できるという効果が生じる。また、その状況以外では、ACLの更新頻度は減少し、実行コストを低くすることができる。
【0106】
また、詳細には、情報取得部211は、アクションに影響を与える影響度の順序又は大きさの少なくともいずれかが定義された、アクセスの属性を示す意図の情報を取得し、ポリシー生成部213は、その意図の情報をさらに用いてアクセス制御ポリシーを生成しても良い。これにより、アクセス制御ポリシーの精度をさらに高めることができる。
【0107】
また、ポリシー生成部213は、対象パターンのニーズ又はセキュリティの少なくともいずれかのレベルを示す情報をさらに用いて、そのパターンに対応するアクションを決定することができる。これにより、アクセス制御ポリシーは、ニーズ又はセキュリティの少なくともいずれかの観点を満たすように生成されることができる。
【0108】
詳細には、実行コスト評価部212は、アクションを経時的に変化させる実行可能性を評価することもできる。ポリシー生成部213は、評価された実行可能性が所定の閾値以上である場合に、アクセス制御対象となるパターンにおいて要求されるニーズ及びセキュリティの両方のレベルを満たすように、そのパターンに対応するアクションを決定する。一方、評価された実行可能性が所定の閾値未満である場合に、ポリシー生成部213は、要求されるニーズ及びセキュリティの両方のレベルに基づいて、要求されるニーズ及びセキュリティのうち一方のレベルを満たすように、そのパターンに対応するアクションを決定する。これにより、アクセス制御ポリシーは、現実的に実行可能となるアクションを確実に定義することができる。
【0109】
また、実行コスト評価部212は、アクセスの属性の経時的な変化を示すログ又はモデル(例えば状態遷移モデル)を遷移情報として生成し、その遷移情報を用いて実行コストを評価しても良い。これにより、実行コスト評価部212は、実行コストを簡易な手法で評価することができる。ただし、実行コスト評価部212は、上述の遷移情報を、アクセス制御システムの他の構成要素から取得しても良い。
【0110】
また、実行コスト評価部212は、遷移情報を参照することにより、対象パターンにかかるアクセスの属性について、第1の状態から第2の状態に経時的に遷移する確率が、第1の状態から第3の状態に経時的に遷移する確率よりも高いと判定した場合に、以下のように実行コストを評価しても良い。すなわち、属性が第1の状態にある場合において、判定サンプルで属性が第2の状態にある場合において定義されたアクションと異なるアクションを実行する実行コストを、判定サンプルで属性が第3の状態にある場合において定義されたアクションと異なるアクションを実行する実行コストよりも高いものにするように、実行コストが評価される。これにより、アクセス制御ポリシーでは、近い将来遷移する確率が高い状態において取り得るアクションが実行されやすくなるため、リソースを取得しやすくなり、ニーズを高めることができる。
【0111】
また、ポリシー生成部213は、アクセス制御の対象となるパターンにかかるアクセスの属性が第1の状態から第2の状態に経時的に遷移する時間間隔が所定の閾値以下であり、判定サンプルにおいて第1の状態と第2の状態とで異なるアクションが定義されるアクセスに対して、そのアクセスにおける第1の状態と第2の状態でのアクションを同一のアクションに決定することができる。これにより、ポリシー生成部213は、遷移するまでの時間間隔が短く、その前後でアクションを変更することの実現可能性が低いような場合に、その前後で実行可能なアクションを維持するようにすることができる。そのため、アクションに関する実行コストを低くすることができる。
【0112】
詳細には、ポリシー生成部213は、実行コスト評価部212が追加した判定サンプルをポリシー生成モデルに入力することにより、上述のアクションの決定方法を実行しても良い。これにより、ポリシー生成部213は、ポリシー生成モデルを現実に則するように学習させることができる。
【0113】
実施の形態3
以下、実施の形態3では、実施の形態1にて説明した分析装置10の更なる具体例を開示する。なお、実施の形態2で示した説明と同じものについては適宜省略する。
以下、実施の形態3では、実施の形態1にて説明した分析装置10の更なる具体例を開示する。なお、実施の形態2で示した説明と同じものについては適宜省略する。
【0114】
図6は、ゼロトラストネットワーク上におけるアクセス制御の判定を実行するアクセス制御システム20Bの一例を示すブロック図である。アクセス制御システム20Bは、ポリシー生成システム21、判定部22、データストア23及びエンフォーサ24のほか、 制御状態記憶部25をさらに備える。以下、制御状態記憶部25について説明するほか、ポリシー生成システム21~エンフォーサ24が実行する処理については、実施の形態2と異なる点についてのみ説明し、共通の処理については説明を省略する。
【0115】
制御状態記憶部25は、ポリシーエンジンである判定部22で決定された過去のアクション履歴を格納する。過去のアクション履歴は、例えば、リクエスト元の機器のIDと、リクエスト先のIDの組とを含む。判定部22は、制御状態記憶部25に格納されたアクション履歴を、アクションの決定に利用することができる。
【0116】
アクセス制御システム20Bにおいては、実行コスト評価部212で実行される処理(A)に代えて、情報取得部211による以下の処理(C)が実行される。(C)情報取得部211は、アクションに影響を与える影響度の順序又は大きさの少なくともいずれかが定義された意図の情報として、アクションに影響を与える影響度の順序又は大きさの少なくともいずれかに対し、以下の少なくともいずれかの処理を実行することができる。すなわち、時間経過の前後において同一のアクションを設定することに正の効果を付与すること、又は、時間経過の前後において異なるアクションを設定することに負の効果を付与すること、の処理である。情報取得部211は、制御状態記憶部25から過去のアクション履歴を取得して、対象パターンにおいて直近でなされたアクションの内容を特定することにより、処理(C)を実行することができる。
【0117】
ポリシー生成部213は、判定サンプル等のほか、情報取得部211が処理(C)によって設定した意図の情報をさらに用いて、アクションを決定し、アクセス制御ポリシーを生成する。このように、情報取得部211は、アクションの決定において、直近のアクセス制御でなされたアクションが今回のアクセス制御でも実行されやすくなるように、定性的な効果を意図の情報として設定する。そのため、処理(A)に示す平滑化の処理よりもより簡易な処理で、アクセス制御の実行可能性を考慮に入れたアクセス制御ポリシーを生成することができる。
【0118】
図7Aは、アクセス制御の状況の一例を示す図である。図7Aにおいて、ロボットTはAP5と無線通信を実行することで、AP5と接続されたアクセス制御機器であるエンフォーサ24に対してリソースをリクエストする。エンフォーサ24は、このリクエストを受信した場合に、アクセス元であるロボットTのID、ロボットTとの通信における帯域使用率等のデバイスの属性情報を、判定部22(図7Aで不図示)に出力する。エンフォーサ24は、判定部22からのアクションの指示に基づき、エンフォーサ24に接続されたリソースSに含まれる各リソースE、Fへのアクセスを認可又は否認する。リソースEは、動画コンテンツであり、リソースFは、テキストファイルである。そのため、ロボットTがリソースEにアクセスする方が、リソースFにアクセス場合と比較して、無線通信の帯域使用における負荷が高くなる。
【0119】
図7Bは、ロボットTの無線通信における帯域使用率の一例を示したグラフである。図7Bに示す通り、帯域使用率のグラフは、時間経過に応じて、ピークPA1とPA2の2つのピークを有する。なお、ピークPA2の方が、ピークPA1と比較して、帯域使用率の最大値が大きく、かつ、ピークの期間が長い。
【0120】
上述の通り、リソースEは動画コンテンツである。そのため、帯域使用率が大きい場合に、ロボットTによるリソースEへのアクセスを許可すると、他のロボットとエンフォーサ24との通信ができなくなる可能性がある。この問題を解決するために、アクセス制御ポリシーにおいて、帯域使用率について1つの閾値を定義し、帯域使用率がその閾値を超えた場合に、ロボットTによるリソースEへのアクセスを否認するように定義する方法が考えられる。
【0121】
しかしながら、図7Bに示したような、帯域使用率の変化の度合いが大きい状況でこの方法を適用した場合には、帯域使用率が閾値を超えた状態と閾値以下になる状態とが高頻度で切り替わることになる。この切り替わる時間が所定の許容時間の間隔(閾値)以下である場合、エンフォーサ24による情報収集又はエンフォーサ24に与えられたACLの更新が、実際の帯域使用率の変動に追従できなくなる。したがって、エンフォーサ24によってアクセス制御のアクションを認可と否認とで切り替える対応が、実際の帯域使用率の変動に間に合わなくなるため、アクセス制御ポリシーに記載通りのアクセス制御を実行できなくなってしまう。これにより、セキュリティリスクが生じたり、無線通信のサービス品質が低下したりすることが生じ得る。この課題を解決するために、エンフォーサ24による情報収集又はエンフォーサ24に与えられたACLの更新の頻度を高めようとすると、アクセス制御に伴う実行コストが高くなってしまう。
【0122】
また、アクセス制御ポリシーにおいて2種類のヒステリシス用の閾値Th3及びTh4(Th4>Th3)を設定する方法も考えられる。この場合、帯域使用率が閾値Th3を超えた後Th4を超えた場合に、リソースEへのアクセスが認可される状態から否認される状態となり、帯域使用率が閾値Th4以下になった後Th3以下になった場合に、リソースEへのアクセスが否認される状態から認可される状態となる。しかしながら、この方法では、各閾値が固定された値となる。そのため、セキュリティとニーズの詳細な比較に基づいて予め生成された理想的なポリシーがある場合には、そのポリシーと実際の制御との間にズレが生じてしまう。
【0123】
図7C、7Dは、このような課題を解決するため、上述の処理に基づいてポリシー生成部213が生成するアクセス制御ポリシーにより、図7Aの状況においてなされるアクション制御の例を示したグラフである。図7Cは、リスク評価によって評価されたロボットTのアクセスのリスクが所定の閾値未満の場合(リスクが中程度の場合)における、アクセス制御ポリシーの例である。図7Dは、リスク評価によって評価されたロボットTのアクセスのリスクが所定の閾値以上の場合(リスクが高い場合)における、アクセス制御ポリシーの例である。
【0124】
図7Cでは、ヒステリシス用の閾値Th3とTh4との間隔(ヒステリシスマージン)が0.4となっており、間隔が比較的長い。また、Th4の値は比較的大きい。そのため、図7Cにおけるアクション制御では、ピークPA1においてリソースEへのアクセスは認可される一方、ピークPA2においてリソースEへのアクセスは否認される。詳細には、図7CにおけるピークPA2付近では、帯域使用率が閾値Th4を超えた時刻t3以降において、リソースEへのアクセスが否認される。このように、ヒステリシスマージンが大きくとられるアクセス制御ポリシーは、リスク評価及びニーズ評価において判定されるアクセスのリスク及びニーズがいずれも所定の閾値以下である場合に生成される。これにより、アクションが頻繁に変動することを抑制することができるため、実行コストを低くすることができる。また、アクセス制御システム20がACLを生成する場合には、ACLの更新頻度を低くすることができる。
【0125】
図7Dでは、ヒステリシス用の閾値Th3とTh4との間隔(ヒステリシスマージン)が0.1となっており、間隔が比較的短い。また、図7DにおけるTh3及びTh4は、それぞれ、図7CにおけるTh3及びTh4よりも小さい(この例では、図7DにおけるTh4が、図7CにおけるTh3と等しい)。そのため、図7Dにおけるアクション制御では、ピークPA1及びPA2においてリソースEへのアクセスが否認される。詳細には、図DにおけるピークPA2付近では、帯域使用率が閾値Th4を超えた時刻t4以降において、リソースEへのアクセスが否認される。このとき、時刻t4は時刻t3よりも前のタイミングとなるため、図7Dの状況では、図7Cの状況と比較して、リソースEへのアクセスが否認される時間が長くなる。このように、ヒステリシスマージンが小さくとられるアクセス制御ポリシーは、リスク評価において判定されるアクセスのリスク、又はニーズ評価において判定されるアクセスのニーズの少なくともいずれかが所定の閾値よりも高い場合に生成される。これにより、アクションを詳細に制御することができるため、要求されるリスク又はニーズに基づくアクセス制御が可能となる。また、アクセス制御システム20がACLを生成する場合には、ACLの更新頻度を低くすることができる。
【0126】
以上に示したように、アクセス制御システム20Bにおいて、情報取得部211は、意図の情報として、アクションに影響を与える影響度の順序又は大きさの少なくともいずれかに対し、時間経過の前後において同一のアクションを設定することに正の効果を付与すること、又は、時間経過の前後において異なるアクションを設定することに負の効果を付与すること、の少なくともいずれかを実行することができる。ポリシー生成部213は、正の効果又は負の効果の少なくともいずれかが付与された意図の情報を用いて、アクセス制御ポリシーを生成する。これにより、セキュリティとニーズを両立するだけでなく、さらに制御の実行可能性を満たすアクセス制御ポリシーを生成することができる。
【0127】
詳細には、要求されるアクセスのリスク又はニーズの少なくともいずれか高い場合と、両者とも低い場合とで、ポリシー生成部213は、異なるアクセス制御ポリシー(例えば、判定用の閾値及びヒステリシスマージンが異なるポリシー)を自動的に生成することができる。これにより、アクセス制御の自由度が向上し、要求されるセキュリティとニーズを維持しながら、可能な範囲でアクセス制御に伴う実行コストの抑制に寄与することができる。
【0128】
また、実施の形態2での処理(A)は、実行コスト評価部212が実行する内部処理である。これに対し、実施の形態3での処理(C)で用いられるのは、直近のアクセス制御でなされたアクション履歴である。そのため、処理(A)又は(C)の手法をユーザが調整する場合、ユーザがより容易に確認できるのは、実行コスト評価部212の内部処理の結果よりも、アクション履歴の方である。したがって、処理(C)は処理(A)に比べて、ユーザがアクセス制御ポリシーを修正するための理解及びそのための処理が、より容易となる。
【0129】
その他のアクセス制御システム20Bによる効果は、アクセス制御システム20Aによる効果と同様であるため、説明を省略する。
【0130】
実施の形態2、3に示したアクセス制御システム20は、例えばCPS(Cyber-Physical System)、Beyond5Gといった分野において、制御の自由度が高いアクセス制御ポリシーを設計することができる。さらなる具体例として、アクセス制御システム20は、多数のデバイスが接続され、状態が動的に変化し続ける同期型CPSにおいて、常にデバイスや環境の様々な情報を収集し、アクセス制御を行うゼロトラストプラットフォームを生成することに役立つ。このようなアクセス制御を実行する際には、装置の位置や利用アプリケーション等の属性情報が高頻度に変動する一方で、アクセス制御機器におけるアクセス制御の処理がそれに追いつかないことにより、予め生成したポリシー通りのアクション制御が行えない可能性がある。この課題を解決するために、情報収集やアクセス制御機器のACL更新等を高頻度に実行すると、アクセス制御に伴う実行コストが、効果に見合わない過大なものになってしまうという課題が生じる。しかしながら、本開示のアクセス制御システム20は、アクションにおけるニーズとリスクを考慮しながら、アクセス制御の実行コストが過大なものとならない、実行可能性が高いアクセス制御ポリシーを予め生成することが可能である。
【0131】
なお、本開示は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。例えば、実施の形態2又は3において、ポリシー生成部213は、アクセス制御の対象となるアクセスパターンにおけるニーズ評価に定義されたニーズ、及びリスク評価に定義されたセキュリティの両方ではなく、そのいずれか一方が満たされるようにアクションを決定することもできる。
【0132】
以上に示した実施の形態では、この開示をハードウェアの構成として説明したが、この開示は、これに限定されるものではない。この開示は、上述の実施形態において説明されたポリシー生成装置又はポリシー生成システムの処理(ステップ)を、コンピュータ内のプロセッサにコンピュータプログラムを実行させることにより実現することも可能である。
【0133】
図8は、以上に示した各実施の形態の処理が実行される情報処理装置(信号処理装置)のハードウェア構成例を示すブロック図である。図8を参照すると、この情報処理装置90は、信号処理回路91、プロセッサ92及びメモリ93を含む。
【0134】
信号処理回路91は、プロセッサ92の制御に応じて、信号を処理するための回路である。なお、信号処理回路91は、送信装置から信号を受信する通信回路を含んでいても良い。
【0135】
プロセッサ92は、メモリ93と接続されて(結合して)おり、メモリ93からソフトウェア(コンピュータプログラム)を読み出して実行することで、上述の実施形態において説明された装置の処理を行う。プロセッサ92の一例として、CPU(Central Processing Unit)、MPU(Micro Processing Unit)、FPGA(Field-Programmable Gate Array)、DSP(Demand-Side Platform)、ASIC(Application Specific Integrated Circuit)のうち一つを用いてもよいし、そのうちの複数を並列で用いてもよい。
【0136】
メモリ93は、揮発性メモリや不揮発性メモリ、またはそれらの組み合わせで構成される。メモリ93は、1個に限られず、複数設けられてもよい。なお、揮発性メモリは、例えば、DRAM (Dynamic Random Access Memory)、SRAM (Static Random Access Memory)等のRAM (Random Access Memory)であってもよい。不揮発性メモリは、例えば、PROM (Programmable Random Only Memory)、EPROM (Erasable Programmable Read Only Memory) 等のROM (Read Only Memory)、フラッシュメモリや、SSD(Solid State Drive)であってもよい。
【0137】
メモリ93は、1以上の命令を格納するために使用される。ここで、1以上の命令は、ソフトウェアモジュール群としてメモリ93に格納される。プロセッサ92は、これらのソフトウェアモジュール群をメモリ93から読み出して実行することで、上述の実施形態において説明された処理を行うことができる。
【0138】
なお、メモリ93は、プロセッサ92の外部に設けられるものに加えて、プロセッサ92に内蔵されているものを含んでもよい。また、メモリ93は、プロセッサ92を構成するプロセッサから離れて配置されたストレージを含んでもよい。この場合、プロセッサ92は、I/O(Input/Output)インタフェースを介してメモリ93にアクセスすることができる。
【0139】
以上に説明したように、上述の実施形態における各装置が有する1又は複数のプロセッサは、図面を用いて説明されたアルゴリズムをコンピュータに行わせるための命令群を含む1又は複数のプログラムを実行する。この処理により、各実施の形態に記載された信号処理方法が実現できる。
【0140】
プログラムは、コンピュータに読み込まれた場合に、実施形態で説明された1又はそれ以上の機能をコンピュータに行わせるための命令群(又はソフトウェアコード)を含む。プログラムは、非一時的なコンピュータ可読媒体又は実体のある記憶媒体に格納されてもよい。限定ではなく例として、コンピュータ可読媒体又は実体のある記憶媒体は、random-access memory(RAM)、read-only memory(ROM)、フラッシュメモリ、solid-state drive(SSD)又はその他のメモリ技術、CD-ROM、digital versatile disk(DVD)、Blu-ray(登録商標)ディスク又はその他の光ディスクストレージ、磁気カセット、磁気テープ、磁気ディスクストレージ又はその他の磁気ストレージデバイスを含む。プログラムは、一時的なコンピュータ可読媒体又は通信媒体上で送信されてもよい。限定ではなく例として、一時的なコンピュータ可読媒体又は通信媒体は、電気的、光学的、音響的、またはその他の形式の伝搬信号を含む。
【0141】
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)
アクセスの属性を示す1以上の要素の第1のパターンと、前記第1のパターンに対応するアクセス制御のアクションと、の組み合わせが複数定義されたデータセットと、経時的に変化するアクセスの属性を示す1以上の要素の第2のパターンと、を少なくとも取得する取得手段と、
アクセスの属性を示す1以上の要素における状態遷移を示す遷移情報と、前記第2のパターンと、を少なくとも用いて、前記第2のパターンに対応するアクションを経時的に変化させる場合の実行コストを評価する評価手段と、
前記評価手段の評価結果及び前記データセットを少なくとも用いて、前記第2のパターンに対応するアクションを決定する決定手段と、を備える
分析装置。
(付記2)
前記取得手段は、前記アクションに影響を与える影響度の順序又は大きさの少なくともいずれかが定義された、アクセスの属性を示す1以上の要素の第3のパターンをさらに取得し、
前記決定手段は、前記第3のパターンをさらに用いて前記アクションを決定する、
付記1に記載の分析装置。
(付記3)
前記取得手段は、前記第3のパターンにおいて、前記アクションに影響を与える影響度の順序又は大きさの少なくともいずれかに対し、時間経過の前後において同一のアクションを設定することに正の効果を付与すること、又は、時間経過の前後において異なるアクションを設定することに負の効果を付与すること、の少なくともいずれかを実行し、
前記決定手段は、前記正の効果又は負の効果の少なくともいずれかが付与された前記第3のパターンをさらに用いて、前記アクションを決定する、
付記2に記載の分析装置。
(付記4)
前記決定手段は、前記第2のパターンにおいて要求されるニーズ又はセキュリティの少なくともいずれかのレベルを示す情報をさらに用いて、前記第2のパターンに対応するアクションを決定する、
付記1乃至3のいずれか1項に記載の分析装置。
(付記5)
前記評価手段は、アクションを経時的に変化させる実行可能性をさらに評価し、
前記決定手段は、前記評価手段が評価した前記実行可能性が所定の閾値以上である場合に、前記第2のパターンにおいて要求されるニーズ及びセキュリティの両方のレベルを満たすように前記第2のパターンに対応するアクションを決定し、
前記評価手段が評価した前記実行可能性が所定の閾値未満である場合に、前記第2のパターンにおいて要求されるニーズ及びセキュリティの両方のレベルに基づいて、当該ニーズ及びセキュリティのうち満たされるべき一方のレベルを決定し、決定された一方のレベルが満たされるように前記第2のパターンに対応するアクションを決定する、
付記4に記載の分析装置。
(付記6)
前記評価手段は、前記アクセスの属性の経時的な変化を示すログ又はモデルを前記遷移情報として取得または生成し、当該遷移情報と、前記第2のパターンと、を少なくとも用いて前記実行コストを評価する、
付記1乃至3のいずれか1項に記載の分析装置。
(付記7)
前記評価手段は、前記遷移情報を参照することにより、前記第2のパターンにかかる前記アクセスの属性について、第1の状態から第2の状態に経時的に遷移する確率が、前記第1の状態から第3の状態に経時的に遷移する確率よりも高いと判定した場合に、前記属性が前記第1の状態にある場合において、前記データセットにおいて前記属性が前記第2の状態にある場合において定義されたアクションと異なるアクションを実行する実行コストを、前記データセットにおいて前記属性が前記第3の状態にある場合において定義されたアクションと異なるアクションを実行する実行コストよりも高いものにするように、前記実行コストを評価する、
付記1又は2に記載の分析装置。
(付記8)
前記決定手段は、前記第2のパターンにかかる前記アクセスの属性が第1の状態から第2の状態に経時的に遷移する時間間隔が所定の閾値以下であり、前記データセットにおいて前記第1の状態と前記第2の状態とで異なるアクションが定義されるアクセスに対して、前記アクセスにおける前記第1の状態と前記第2の状態でのアクションを同一のアクションに決定する、
付記1乃至3のいずれか1項に記載の分析装置。
(付記9)
前記決定手段は、
前記評価結果及び前記データセットを少なくとも入力することで、前記第2のパターンに対応するアクションを出力するように学習がなされたモデルを用いて、前記第2のパターンに対応するアクションを決定し、
前記第2のパターンにかかる前記アクセスの属性が第1の状態から第2の状態に経時的に遷移する時間間隔が所定の閾値以下であり、前記データセットにおいて前記第1の状態と前記第2の状態とで異なるアクションが定義されるアクセスに対して、前記アクセスにおける前記第1の状態と前記第2の状態でのアクションが同一のアクションとして定義されたデータを、前記データセットとして前記モデルに入力させる、
付記1乃至3のいずれか1項に記載の分析装置。
(付記10)
アクセスの属性を示す1以上の要素の第1のパターンと、前記第1のパターンに対応するアクセス制御のアクションと、の組み合わせが複数定義されたデータセットと、経時的に変化するアクセスの属性を示す1以上の要素の第2のパターンと、を少なくとも取得し、
アクセスの属性を示す1以上の要素における状態遷移を示す遷移情報と、前記第2のパターンと、を少なくとも用いて、前記第2のパターンに対応するアクションを経時的に変化させる場合の実行コストを評価し、
前記評価の結果及び前記データセットを少なくとも用いて、前記第2のパターンに対応するアクションを決定する、
コンピュータが実行する分析方法。
(付記11)
アクセスの属性を示す1以上の要素の第1のパターンと、前記第1のパターンに対応するアクセス制御のアクションと、の組み合わせが複数定義されたデータセットと、経時的に変化するアクセスの属性を示す1以上の要素の第2のパターンと、を少なくとも取得し、
アクセスの属性を示す1以上の要素における状態遷移を示す遷移情報と、前記第2のパターンと、を少なくとも用いて、前記第2のパターンに対応するアクションを経時的に変化させる場合の実行コストを評価し、
前記評価の結果及び前記データセットを少なくとも用いて、前記第2のパターンに対応するアクションを決定する、
ことをコンピュータに実行させるプログラムが格納された非一時的なコンピュータ可読媒体。
(付記1)
アクセスの属性を示す1以上の要素の第1のパターンと、前記第1のパターンに対応するアクセス制御のアクションと、の組み合わせが複数定義されたデータセットと、経時的に変化するアクセスの属性を示す1以上の要素の第2のパターンと、を少なくとも取得する取得手段と、
アクセスの属性を示す1以上の要素における状態遷移を示す遷移情報と、前記第2のパターンと、を少なくとも用いて、前記第2のパターンに対応するアクションを経時的に変化させる場合の実行コストを評価する評価手段と、
前記評価手段の評価結果及び前記データセットを少なくとも用いて、前記第2のパターンに対応するアクションを決定する決定手段と、を備える
分析装置。
(付記2)
前記取得手段は、前記アクションに影響を与える影響度の順序又は大きさの少なくともいずれかが定義された、アクセスの属性を示す1以上の要素の第3のパターンをさらに取得し、
前記決定手段は、前記第3のパターンをさらに用いて前記アクションを決定する、
付記1に記載の分析装置。
(付記3)
前記取得手段は、前記第3のパターンにおいて、前記アクションに影響を与える影響度の順序又は大きさの少なくともいずれかに対し、時間経過の前後において同一のアクションを設定することに正の効果を付与すること、又は、時間経過の前後において異なるアクションを設定することに負の効果を付与すること、の少なくともいずれかを実行し、
前記決定手段は、前記正の効果又は負の効果の少なくともいずれかが付与された前記第3のパターンをさらに用いて、前記アクションを決定する、
付記2に記載の分析装置。
(付記4)
前記決定手段は、前記第2のパターンにおいて要求されるニーズ又はセキュリティの少なくともいずれかのレベルを示す情報をさらに用いて、前記第2のパターンに対応するアクションを決定する、
付記1乃至3のいずれか1項に記載の分析装置。
(付記5)
前記評価手段は、アクションを経時的に変化させる実行可能性をさらに評価し、
前記決定手段は、前記評価手段が評価した前記実行可能性が所定の閾値以上である場合に、前記第2のパターンにおいて要求されるニーズ及びセキュリティの両方のレベルを満たすように前記第2のパターンに対応するアクションを決定し、
前記評価手段が評価した前記実行可能性が所定の閾値未満である場合に、前記第2のパターンにおいて要求されるニーズ及びセキュリティの両方のレベルに基づいて、当該ニーズ及びセキュリティのうち満たされるべき一方のレベルを決定し、決定された一方のレベルが満たされるように前記第2のパターンに対応するアクションを決定する、
付記4に記載の分析装置。
(付記6)
前記評価手段は、前記アクセスの属性の経時的な変化を示すログ又はモデルを前記遷移情報として取得または生成し、当該遷移情報と、前記第2のパターンと、を少なくとも用いて前記実行コストを評価する、
付記1乃至3のいずれか1項に記載の分析装置。
(付記7)
前記評価手段は、前記遷移情報を参照することにより、前記第2のパターンにかかる前記アクセスの属性について、第1の状態から第2の状態に経時的に遷移する確率が、前記第1の状態から第3の状態に経時的に遷移する確率よりも高いと判定した場合に、前記属性が前記第1の状態にある場合において、前記データセットにおいて前記属性が前記第2の状態にある場合において定義されたアクションと異なるアクションを実行する実行コストを、前記データセットにおいて前記属性が前記第3の状態にある場合において定義されたアクションと異なるアクションを実行する実行コストよりも高いものにするように、前記実行コストを評価する、
付記1又は2に記載の分析装置。
(付記8)
前記決定手段は、前記第2のパターンにかかる前記アクセスの属性が第1の状態から第2の状態に経時的に遷移する時間間隔が所定の閾値以下であり、前記データセットにおいて前記第1の状態と前記第2の状態とで異なるアクションが定義されるアクセスに対して、前記アクセスにおける前記第1の状態と前記第2の状態でのアクションを同一のアクションに決定する、
付記1乃至3のいずれか1項に記載の分析装置。
(付記9)
前記決定手段は、
前記評価結果及び前記データセットを少なくとも入力することで、前記第2のパターンに対応するアクションを出力するように学習がなされたモデルを用いて、前記第2のパターンに対応するアクションを決定し、
前記第2のパターンにかかる前記アクセスの属性が第1の状態から第2の状態に経時的に遷移する時間間隔が所定の閾値以下であり、前記データセットにおいて前記第1の状態と前記第2の状態とで異なるアクションが定義されるアクセスに対して、前記アクセスにおける前記第1の状態と前記第2の状態でのアクションが同一のアクションとして定義されたデータを、前記データセットとして前記モデルに入力させる、
付記1乃至3のいずれか1項に記載の分析装置。
(付記10)
アクセスの属性を示す1以上の要素の第1のパターンと、前記第1のパターンに対応するアクセス制御のアクションと、の組み合わせが複数定義されたデータセットと、経時的に変化するアクセスの属性を示す1以上の要素の第2のパターンと、を少なくとも取得し、
アクセスの属性を示す1以上の要素における状態遷移を示す遷移情報と、前記第2のパターンと、を少なくとも用いて、前記第2のパターンに対応するアクションを経時的に変化させる場合の実行コストを評価し、
前記評価の結果及び前記データセットを少なくとも用いて、前記第2のパターンに対応するアクションを決定する、
コンピュータが実行する分析方法。
(付記11)
アクセスの属性を示す1以上の要素の第1のパターンと、前記第1のパターンに対応するアクセス制御のアクションと、の組み合わせが複数定義されたデータセットと、経時的に変化するアクセスの属性を示す1以上の要素の第2のパターンと、を少なくとも取得し、
アクセスの属性を示す1以上の要素における状態遷移を示す遷移情報と、前記第2のパターンと、を少なくとも用いて、前記第2のパターンに対応するアクションを経時的に変化させる場合の実行コストを評価し、
前記評価の結果及び前記データセットを少なくとも用いて、前記第2のパターンに対応するアクションを決定する、
ことをコンピュータに実行させるプログラムが格納された非一時的なコンピュータ可読媒体。
【0142】
以上、実施の形態を参照して本開示を説明したが、本開示は上記によって限定されるものではない。本開示の構成や詳細には、開示のスコープ内で当業者が理解し得る様々な変更をすることができる。
【符号の説明】
【0143】
10 分析装置
11 取得部 12 評価部
13 決定部
20 アクセス制御システム
21 ポリシー生成システム 22 決定部
23 データストア 24 エンフォーサ
25 制御状態記憶部
211 情報取得部 212 実行コスト評価部
213 ポリシー生成部 214 パラメータ格納部
215 表示部
11 取得部 12 評価部
13 決定部
20 アクセス制御システム
21 ポリシー生成システム 22 決定部
23 データストア 24 エンフォーサ
25 制御状態記憶部
211 情報取得部 212 実行コスト評価部
213 ポリシー生成部 214 パラメータ格納部
215 表示部
【図1】
【図2】
【図3】
【図4A】
【図4B】
【図5A】
【図5B】
【図5C】
【図5D】
【図6】
【図7A】
【図7B】
【図7C】
【図7D】
【図8】