IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 富士フイルムビジネスイノベーション株式会社

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 富士ゼロックス株式会社の特許一覧

<>
  • 特許-情報処理装置及び情報処理プログラム 図1
  • 特許-情報処理装置及び情報処理プログラム 図2
  • 特許-情報処理装置及び情報処理プログラム 図3
  • 特許-情報処理装置及び情報処理プログラム 図4
  • 特許-情報処理装置及び情報処理プログラム 図5
  • 特許-情報処理装置及び情報処理プログラム 図6
  • 特許-情報処理装置及び情報処理プログラム 図7
  • 特許-情報処理装置及び情報処理プログラム 図8
  • 特許-情報処理装置及び情報処理プログラム 図9
  • 特許-情報処理装置及び情報処理プログラム 図10
  • 特許-情報処理装置及び情報処理プログラム 図11
  • 特許-情報処理装置及び情報処理プログラム 図12
  • 特許-情報処理装置及び情報処理プログラム 図13
  • 特許-情報処理装置及び情報処理プログラム 図14
  • 特許-情報処理装置及び情報処理プログラム 図15
  • 特許-情報処理装置及び情報処理プログラム 図16
  • 特許-情報処理装置及び情報処理プログラム 図17
  • 特許-情報処理装置及び情報処理プログラム 図18
  • 特許-情報処理装置及び情報処理プログラム 図19
  • 特許-情報処理装置及び情報処理プログラム 図20
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2025-01-06
(45)【発行日】2025-01-15
(54)【発明の名称】情報処理装置及び情報処理プログラム
(51)【国際特許分類】
   G06F 21/45 20130101AFI20250107BHJP
【FI】
G06F21/45
【請求項の数】 7
(21)【出願番号】P 2021055246
(22)【出願日】2021-03-29
(65)【公開番号】P2022152462
(43)【公開日】2022-10-12
【審査請求日】2024-02-26
(73)【特許権者】
【識別番号】000005496
【氏名又は名称】富士フイルムビジネスイノベーション株式会社
(74)【代理人】
【識別番号】110001519
【氏名又は名称】弁理士法人太陽国際特許事務所
(72)【発明者】
【氏名】網倉 聡
【審査官】石坂 知樹
(56)【参考文献】
【文献】特開2013-041514(JP,A)
【文献】特開2014-182738(JP,A)
【文献】特開2020-042502(JP,A)
【文献】特開2008-205850(JP,A)
【文献】特開2020-060904(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/45
G06F 21/31
(57)【特許請求の範囲】
【請求項1】
プロセッサを備え、
前記プロセッサは、
サービスの利用に関する管理を行うグループを利用するための認証情報を受け付け、
受け付けた前記認証情報が、ユーザが所属するグループのそれぞれに定められた前記認証情報の条件の中で、最もセキュリティレベルが高い条件を満たさない場合、前記認証情報の変更を促す旨を提示する、
情報処理装置。
【請求項2】
前記プロセッサは、前記グループに所属していないユーザから前記認証情報を受け付けた場合は、当該受け付けた認証情報が、当該ユーザが所属する会社が契約しているグループに定められた前記認証情報の条件を満たさない場合に、前記認証情報の変更を促す旨を提示する、
請求項1に記載の情報処理装置。
【請求項3】
前記最もセキュリティレベルが高い条件は、前記所属するグループのそれぞれに定められた前記認証情報の条件のうち、項目別でセキュリティレベルが最も高い項目を最も多く含む認証情報の条件である、
請求項1又は請求項2に記載の情報処理装置。
【請求項4】
前記最もセキュリティレベルが高い条件は、前記所属するグループのそれぞれに定められた前記認証情報の条件のうち、条件の項目のそれぞれを表す値に、予め定められた乗数を乗じた値を、当該項目毎に合算した値が最も高い条件である、
請求項1又は請求項2に記載の情報処理装置。
【請求項5】
前記プロセッサは、前記最もセキュリティレベルが高い条件が複数ある場合、前記認証情報の変更を促す旨を提示するか否かを判定するための条件として適用する条件の選択を受け付ける、
請求項1から請求項4までの何れか1項に記載の情報処理装置。
【請求項6】
前記プロセッサは、前記最もセキュリティレベルが高い条件が複数ある場合、前記予め定められた乗数の変更を受け付ける、
請求項4に記載の情報処理装置。
【請求項7】
サービスの利用に関する管理を行うグループを利用するための認証情報を受け付け、
受け付けた前記認証情報が、ユーザが所属するグループのそれぞれに定められた前記認証情報の条件の中で、最もセキュリティレベルが高い条件を満たさない場合、前記認証情報の変更を促す旨を提示する、
処理をコンピュータに実行させるための情報処理プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理装置及び情報処理プログラムに関する。
【背景技術】
【0002】
特許文献1には、ネットワーク上の複数の資源にユーザがアクセスするために、当該ユーザの認証を行う認証手段と、前記資源ごとに異なって設けられる認証情報の強度に関する条件を取得する取得手段と、を備える情報処理装置が開示されている。なお、この情報処理装置は、複数の資源のうち一の資源に対してユーザがアクセスを行う際に、当該一の資源の前記強度に関する条件と前記ユーザの認証情報の強度に関する強度情報とに基づいて当該一の資源に対するアクセスを制御する制御手段を備える。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2020-042502号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
一度の認証処理により、サービスの利用に関する管理を行うグループのうち、ユーザが所属する全てのグループに対応するサービスを利用することができる技術がある。この技術では、ユーザが複数のグループに所属しており、かつグループ毎に認証情報の条件が定められている場合、ユーザは認証処理において、最初に所属したグループに定められた認証情報の条件又はデフォルトで定められた認証情報の条件等に従う必要があった。なお、グループ毎に認証情報の条件が定められているため、セキュリティレベルも、グループ毎に定められている。したがって、ユーザが、上記従う必要がある認証情報の条件に比較して、セキュリティレベルが高い認証情報の条件が定められたグループを利用する場合、当該高い条件に従う必要がないため、セキュリティレベルを維持できないという課題があった。
【0005】
本発明は、ユーザが複数のグループに所属している場合であっても、各々のグループに定められたセキュリティレベルを維持できることを目的とする。
【課題を解決するための手段】
【0006】
上記目的を達成するために、第1態様に係る情報処理装置は、プロセッサを備え、前記プロセッサは、サービスの利用に関する管理を行うグループを利用するための認証情報を受け付け、受け付けた前記認証情報が、ユーザが所属するグループのそれぞれに定められた前記認証情報の条件の中で、最もセキュリティレベルが高い条件を満たさない場合、前記認証情報の変更を促す旨を提示する。
【0007】
また、第2態様に係る情報処理装置は、第1態様に係る情報処理装置において、前記プロセッサは、前記グループに所属していないユーザから前記認証情報を受け付けた場合は、当該受け付けた認証情報が、当該ユーザが所属する会社が契約しているグループに定められた前記認証情報の条件を満たさない場合に、前記認証情報の変更を促す旨を提示する。
【0008】
また、第3態様に係る情報処理装置は、第1態様又は第2態様に係る情報処理装置において、前記最もセキュリティレベルが高い条件は、前記所属するグループのそれぞれに定められた前記認証情報の条件のうち、項目別でセキュリティレベルが最も高い項目を最も多く含む認証情報の条件である。
【0009】
また、第4態様に係る情報処理装置は、第1態様又は第2態様に係る情報処理装置において、前記最もセキュリティレベルが高い条件は、前記所属するグループのそれぞれに定められた前記認証情報の条件のうち、条件の項目のそれぞれを表す値に、予め定められた乗数を乗じた値を、当該項目毎に合算した値が最も高い条件である。
【0010】
また、第5態様に係る情報処理装置は、第1態様から第4態様の何れか1態様に係る情報処理装置において、前記プロセッサは、前記最もセキュリティレベルが高い条件が複数ある場合、前記認証情報の変更を促す旨を提示するか否かを判定するための条件として適用する条件の選択を受け付ける。
【0011】
また、第6態様に係る情報処理装置は、第4態様に係る情報処理装置において、前記プロセッサは、前記最もセキュリティレベルが高い条件が複数ある場合、前記予め定められた乗数の変更を受け付ける。
【0012】
更に、上記目的を達成するために、第7態様に係る情報処理プログラムは、サービスの利用に関する管理を行うグループを利用するための認証情報を受け付け、受け付けた前記認証情報が、ユーザが所属するグループのそれぞれに定められた前記認証情報の条件の中で、最もセキュリティレベルが高い条件を満たさない場合、前記認証情報の変更を促す旨を提示する、処理をコンピュータに実行させる。
【発明の効果】
【0013】
第1態様及び第7態様によれば、ユーザが複数のグループに所属している場合であっても、各々のグループに定められたセキュリティレベルを維持できる。
【0014】
第2態様によれば、グループに所属していないユーザから認証情報を受け付けた場合であっても、当該ユーザが所属する会社が契約しているグループに定められたセキュリティレベルを維持できる。
【0015】
第3態様によれば、セキュリティレベルが最も高い項目の数を用いることなくセキュリティレベルを導出する場合に比較して、セキュリティレベルを簡易に導出することができる。
【0016】
第4態様によれば、認証情報の条件の項目のそれぞれを表す値に、異なる乗数を乗じた値をセキュリティレベルとして導出することができる。
【0017】
第5態様によれば、最もセキュリティレベルが高い条件の中から、認証情報の変更を促す旨を提示するか否かを判定するために適用する条件を選択することができる。
【0018】
第6態様によれば、最もセキュリティレベルが高い条件が複数ある場合は、セキュリティレベルを算出するための乗数を変更することができる。
【図面の簡単な説明】
【0019】
図1】実施形態に係る情報処理システムのハードウェア構成の一例を示す模式図である。
図2】実施形態に係る情報処理装置のハードウェア構成の一例を示す模式図である。
図3】実施形態に係るテナントデータベースの構成の一例を示す模式図である。
図4】実施形態に係るユーザデータベースの構成の一例を示す模式図である。
図5】実施形態に係る情報処理の一例を示すフローチャートである。
図6】実施形態に係る第1認証情報変更画面の一例を示す模式図である。
図7】実施形態に係る第2認証情報変更画面の一例を示す模式図である。
図8】実施形態に係る第3認証情報変更画面の一例を示す模式図である。
図9】実施形態に係る第4認証情報変更画面の一例を示す模式図である。
図10】第1実施形態に係るホームポリシー導出処理の一例を示すフローチャートである。
図11】実施形態に係るホームテナント選択画面の一例を示す模式図である。
図12】実施形態に係るユーザ設定処理の一例を示すフローチャートである。
図13】実施形態に係るユーザ設定画面の一例を示す模式図である。
図14】実施形態に係るポリシー設定処理の一例を示すフローチャートである。
図15】実施形態に係る適用可能ポリシー画面の一例を示す模式図である。
図16】実施形態に係るポリシー設定画面の一例を示す模式図である。
図17】実施形態に係るポリシー変更処理の一例を示すフローチャートである。
図18】実施形態に係るポリシー変更画面の一例を示す模式図である。
図19】第2実施形態に係るホームポリシー導出処理の一例を示すフローチャートである。
図20】第2実施形態に係る乗数変更画面の一例を示す模式図である。
【発明を実施するための形態】
【0020】
以下、本開示の実施形態の一例を、図面を参照しつつ説明する。なお、各図面において同一または等価な構成要素及び部分には同一の参照符号を付与している。また、図面の寸法比率は、説明の都合上誇張されており、実際の比率とは異なる場合がある。
【0021】
図1に示すように、本実施形態に係る情報処理システム100は、複数のユーザ端末装置10A、10B、10C・・・と、テナントサーバ20とを含む。以下では、複数のユーザ端末装置10A、10B、10C・・・を区別することなく説明する場合は単に「ユーザ端末装置10」と総称する。
【0022】
ユーザ端末装置10及びテナントサーバ20は、通信手段Nを介して相互に通信可能とされている。なお、本実施形態では、通信手段NとしてLAN(Local Area Network)、又はWAN(Wide Area Network)等の企業内の通信回線を適用している。しかし、通信手段Nとして、インターネット又は電話回線等の公共の通信回線を適用してもよいし、企業内の通信回線及び公共の通信回線を組み合わせて適用してもよい。また、本実施形態では、通信手段Nとして有線の通信回線を適用している。しかし、通信手段Nとして、無線の通信回線を適用してもよいし、有線及び無線の各通信回線を組み合わせて適用してもよい。
【0023】
本実施形態に係るユーザ端末装置10は、通信手段Nを介してテナントサーバ20に接続し、後述するサービスを利用することができる情報処理端末である。本実施形態では、ユーザ端末装置10として、パーソナルコンピュータを適用している。しかし、ユーザ端末装置10として、タブレット端末又はスマートフォン等のいかなる情報処理端末を適用してもよい。
【0024】
本実施形態に係るユーザ端末装置10は、入力部12及び表示部14を備えている。
【0025】
入力部12は、マウス等のポインティングデバイス、及びキーボードを含み、各種の入力された情報を受け付けるために使用される。
【0026】
表示部14は、例えば、液晶ディスプレイであり、各種の情報を表示する。表示部14は、タッチパネル方式を採用して、入力部12として機能しても良い。
【0027】
本実施形態に係るテナントサーバ20は、ユーザがユーザ端末装置10を用いて通信手段N上のサービスを利用するための権限を、マルチテナント型の管理方式により管理するサーバである。本実施形態では、通信手段N上のサービス(以下、単に「サービス」という。)として、クラウド・サービス又はWebサービスを適用している。しかし、サービスとして、ユーザが通信手段Nを介して利用し得るハードウェア、ソフトウェア、又はデータ等の資源が提供する、いかなるサービスを適用してもよい。
【0028】
マルチテナント型の管理方式とは、サービスの利用に関する管理を行うグループを示すテナント(図1に示す例では、テナントA及びテナントB)を複数設定し、当該テナントごとにサービスを利用するための権限の管理を行う管理方式である。本実施形態では、上記サービスの利用に関する管理として、サービスを利用することができるユーザの管理、及び当該ユーザの権限の管理を適用している。
【0029】
テナントに所属しているユーザは、当該所属するテナントに対応するサービスを利用することができる。なお、本実施形態では、1つのサービスを管理するテナントは1つである場合について説明する。
【0030】
テナントを契約している会社は、テナントを管理するための管理者(以下、「管理者」という。)を設定している。管理者は、管理対象のテナントに所属するユーザの登録及び削除と、当該所属するユーザが対応するサービスを利用するための認証情報の条件の設定等を行う。
【0031】
また、本実施形態に係るテナントサーバ20は、情報処理装置30を内蔵している。本実施形態では、情報処理装置30として、サーバコンピュータを適用している。しかし、情報処理装置30として、パーソナルコンピュータ等のいかなる情報処理装置を適用してもよい。また、テナントサーバ20及び情報処理装置30は、別体で構成されていてもよい。
【0032】
図2に示すように、本実施形態に係る情報処理装置30は、CPU31、一時記憶領域としてのメモリ32、不揮発性の記憶部33、及び通信I/F部38を備えている。各構成はバスB3を介して互いに接続されている。
【0033】
記憶部33は、HDD、SSD、又はフラッシュメモリ等の記憶装置によって実現される。なお、記憶媒体としての記憶部33には、情報処理プログラム33A、ユーザ設定プログラム33C、ポリシー設定プログラム33D、及びポリシー変更プログラム33Eが記憶されている。CPU31は、これらのプログラムを記憶部33から読み出してメモリ32に展開し、当該プログラムが有するプロセスを順次実行する。各プログラムの実行の詳細な説明は、後述する。また、記憶部33には、テナントデータベース33F及びユーザデータベース33G等の各種データベースが記憶される。
【0034】
通信I/F部38は、情報処理装置30がユーザ端末装置10等の外部装置と通信するためのインタフェースである。当該通信には、例えば、イーサネット(登録商標)若しくはFDDI等の有線通信の規格、又は、4G、5G、若しくはWi-Fi(登録商標)等の無線通信の規格が用いられる。
【0035】
次に、図3を参照して、本実施形態に係るテナントデータベース33Fについて説明する。図3に示すテナントデータベース33Fでは、テナントサーバ20が管理しているテナントに関する情報であるテナント情報が記憶されている。図3において、各行がそれぞれテナント情報を表す。各テナント情報においては、テナントID、パスワードポリシー、及び契約会社の各情報が関連付けられている。
【0036】
上記テナントIDは、テナントを個別に特定するための情報であり、テナント毎に異なる情報として予め付与されたIDである。
【0037】
上記パスワードポリシーは、対応するテナントに対応するサービスを、ユーザが利用するための認証情報の条件を示す情報である。本実施形態では、上記パスワードポリシーとして、認証情報の長さの下限値(以下、「パスワード長下限値」という。)、及びアルファベットの大文字の使用の要否(以下、「英大文字要否」という。)を適用している。さらに、本実施形態では、上記パスワードポリシーとして、アルファベットの小文字の使用の要否(以下、「英小文字要否」という。)、数字の使用の要否(以下、「数字要否」という。)、及び認証情報の有効期限(以下、単に「有効期限」という。)を適用している。しかし、上記パスワードポリシーとして、記号の使用の要否、及び同一の認証情報の繰り返し使用の回数の上限等の条件を適用してもよいし、これらの条件の単一又は複数の組み合わせを適用してもよい。
【0038】
上記契約会社は、対応するテナントを契約する会社の名称を示す情報である。
【0039】
次に、図4を参照して、本実施形態に係るユーザデータベース33Gについて説明する。図4に示すユーザデータベース33Gでは、ユーザ端末装置10を用いてサービスを利用するユーザに関する情報であるユーザ情報が記憶されている。図4において、各行がそれぞれユーザ情報を表す。各ユーザ情報においては、ユーザID、所属テナント、所属会社、及びホームテナントの各情報が関連付けられている。なお、各ユーザ情報においては、認証情報をハッシュ値で示す情報、当該認証情報を設定した日時を示す情報、及び当該認証情報の変更履歴も関連付けられている。さらに、各ユーザ情報においては、ユーザの名称を示す情報、ユーザの所属する組織の名称を示す情報、及びユーザのメールアドレスを示す情報も関連付けられている。しかし、錯綜を回避するため、これらの情報の図示及び説明を省略する。
【0040】
上記ユーザIDは、ユーザを個別に特定するための情報であり、ユーザ毎に異なる情報として予め付与されたIDである。
【0041】
上記所属テナントは、対応するユーザが所属するテナントのテナントIDを示す情報である。図4に示すように、テナントに所属していないユーザに対応する所属テナントは、「なし」と記憶されている。
【0042】
上記所属会社は、対応するユーザが所属する会社の名称を示す情報である。
【0043】
上記ホームテナントは、対応する所属テナントのそれぞれに定められたパスワードポリシーの中で、最もセキュリティレベルが高いパスワードポリシーであるホームポリシーに対応する所属テナントである。なお、ホームテナントは必ずしもホームポリシーと一致している必要はなく、例えば最初に所属したテナントや管理者からホームテナントと設定したテナントであってもよい。この場合でも、ユーザごとにホームポリシーが設定されており、以下と同じ発明が適用できる。また、テナントに所属していないユーザのホームテナントには、対応する所属会社が契約しているテナントである契約テナントが記憶されている。
【0044】
次に、図5から図18を参照して、本実施形態に係る情報処理装置30の作用を説明する。まず、図5から図11を参照して、情報処理を実行する場合の情報処理装置30の作用を説明する。ユーザによって情報処理プログラム33Aの実行を開始する指示が入力部12を介して行われた場合に、情報処理装置30のCPU31が情報処理プログラム33Aを実行することにより、図5に示す情報処理が実行される。
【0045】
ステップ100で、CPU31は、ユーザが所属する全てのテナントに対応するサービスを利用するための認証情報(以下、単に「パスワード」という。)を、入力部12から通信I/F部38を介して受け付けるまで待機する。
【0046】
ステップ102で、CPU31は、ユーザに対応するホームポリシーを導出する処理であるホームポリシー導出処理を実行する。本実施形態に係るホームポリシー導出処理については、図10を参照して後述する。
【0047】
ステップ104で、CPU31は、ステップ100で受け付けたパスワードが、ステップ102で導出したホームポリシーを満たすか否かを判定する。CPU31は、ステップ104の処理において肯定判定となった場合はステップ106へ移行する。
【0048】
なお、CPU31は、ステップ100を実行せずに、ステップ104で、記憶部33に予め記憶されているパスワードが、ステップ102で導出したホームポリシーを満たすか否かを判定し、肯定判定となった場合にステップ106へ移行してもよい。また、ステップ104で、CPU31は、記憶部33に予め記憶されているホームポリシーが、ステップ102で導出したホームポリシーよりセキュリティレベルが高いか否かを判定し、肯定判定となった場合にステップ106へ移行してもよい。
【0049】
ステップ106で、CPU31は、ログインを許可し、本情報処理を終了する。言い換えると、CPU31は、ユーザが所属テナントに対応する全てのサービスを利用できるようにし、本情報処理を終了する。
【0050】
一方、CPU31は、ステップ104の処理において否定判定となった場合はステップ108へ移行する。ステップ108で、CPU31は、ユーザデータベース33Gからユーザに対応する所属テナントを読み出し、ユーザがテナントに所属しているか否かを判定する。言い換えると、CPU31は、ホームポリシーが最大テナントであるか否かを判定する。なお、最大テナントの説明は後述する。CPU31は、ステップ108の処理において否定判定となった場合はステップ110へ移行する。
【0051】
ステップ110で、CPU31は、予め定められたフォーマットに従う第1認証情報変更画面を表示部14に表示する。
【0052】
図6に示すように、本実施形態に係る第1認証情報変更画面では、ステップ100で受け付けたパスワードが、契約テナントに定められたパスワードポリシーを満たしていない旨を表すメッセージが表示される。また、本実施形態に係る第1認証情報変更画面では、契約テナントに定められたパスワードポリシーを満たすようにパスワードの変更を促すメッセージが表示される。また、本実施形態に係る第1認証情報変更画面では、契約テナントに定められたパスワードポリシーも表示される。ユーザは、入力部12を介して、変更後のパスワードをパスワード入力欄14Aに入力する。
【0053】
ステップ112で、CPU31は、ステップ110、ステップ118、ステップ122、又はステップ124の処理において受け付けたパスワードが、ユーザに対応するホームポリシーを満たすまで待機する。
【0054】
ステップ114で、CPU31は、ステップ110、ステップ118、ステップ122、又はステップ124の処理において受け付けたパスワードを、ユーザに対応するパスワードとして、記憶部33に記憶する。
【0055】
一方、CPU31は、ステップ108の処理において肯定判定となった場合はステップ116へ移行する。ステップ116で、CPU31は、記憶部33を読み出し、後述するユーザ設定処理においてユーザが新たにテナントに所属されたために、ホームポリシーが変更されたか否かを判定する。言い換えると、ステップ116で、CPU31は、ユーザが新たに所属されたテナントに定められたパスワードポリシーが、予め記憶されていたホームポリシーよりもセキュリティレベルが高いか否かを判定する。CPU31は、ステップ116の処理において肯定判定となった場合はステップ118へ移行する。
【0056】
ステップ118で、CPU31は、予め定められたフォーマットに従う第2認証情報変更画面を表示部14に表示する。
【0057】
図7に示すように、本実施形態に係る第2認証情報変更画面では、テナントに新たに所属されたためにホームテナントが変更された旨を表すメッセージと、ホームポリシーを満たすようにパスワードの変更を促すメッセージが表示される。また、本実施形態に係る第2認証情報変更画面では、ホームポリシーも表示される。ユーザは、入力部12を介して、変更後のパスワードをパスワード入力欄14Bに入力する。
【0058】
一方、CPU31は、ステップ116の処理において否定判定となった場合はステップ120へ移行する。ステップ120で、CPU31は、記憶部33を読み出し、後述するユーザ設定処理においてユーザが所属テナントから削除されたために、ホームポリシーが変更されたか否かを判定する。CPU31は、ステップ120の処理において肯定判定となった場合はステップ122へ移行する。
【0059】
ステップ122で、CPU31は、予め定められたフォーマットに従う第3認証情報変更画面を表示部14に表示する。
【0060】
図8に示すように、本実施形態に係る第3認証情報変更画面では、所属テナントから削除されたためにホームテナントが変更された旨を表すメッセージと、ホームポリシーを満たすようにパスワードの変更を促すメッセージが表示される。また、本実施形態に係る第3認証情報変更画面では、ホームポリシーも表示される。ユーザは、入力部12を介して、変更後のパスワードをパスワード入力欄14Cに入力する。
【0061】
一方、CPU31は、ステップ120の処理において否定判定となった場合はステップ124へ移行する。ステップ124で、CPU31は、予め定められたフォーマットに従う第4認証情報変更画面を表示部14に表示する。
【0062】
図9に示すように、本実施形態に係る第4認証情報変更画面では、所属テナントに対応するパスワードポリシーの変更によりホームポリシーが変更された旨と、ホームポリシーを満たすようにパスワードの変更を促すメッセージが表示される。また、本実施形態に係る第4認証情報変更画面では、ホームポリシーも表示される。ユーザは、入力部12を介して、変更後のパスワードをパスワード入力欄14Dに入力する。
【0063】
なお、ステップ110、ステップ118、ステップ122、又はステップ124で、CPU31は画面に表示したメッセージ及びホームポリシーを、ユーザ端末装置10のスピーカを介して音声で提示してもよい。
【0064】
また、本実施形態では、CPU31が受け付けたパスワードがホームポリシーを満たす場合(ステップ104:Y)は、常にパスワードの変更を促す旨を提示しない場合について説明した。しかし、CPU31が受け付けたパスワードがホームポリシーを満たす場合は、現状設定されているパスワードに比較してセキュリティレベルが低いパスワードであって、ホームポリシーを満たすパスワードに変更を促す旨を提示してもよい。
【0065】
次に、本実施形態に係るホームポリシー導出処理の詳細について、図10を参照して説明する。
【0066】
ステップ200で、CPU31は、ユーザデータベース33Gからユーザに対応する所属テナントを読み出し、ユーザが所属するテナントがあるか否かを判定する。CPU31は、ステップ200の処理において肯定判定となった場合はステップ202へ移行する。
【0067】
ステップ202で、CPU31は、テナントデータベース33Fから所属テナントに対応するパスワード長下限値を読み出し、パスワード長下限値が最も長い所属テナントを特定する。
【0068】
ステップ204で、CPU31は、テナントデータベース33Fから所属テナントに対応する英大文字要否を読み出し、アルファベットの大文字の使用が必須である所属テナントを特定する。
【0069】
ステップ206で、CPU31は、テナントデータベース33Fから所属テナントに対応する英小文字要否を読み出し、アルファベットの小文字の使用が必須である所属テナントを特定する。
【0070】
ステップ208で、CPU31は、テナントデータベース33Fから所属テナントに対応する数字要否を読み出し、数字の使用が必須である所属テナントを特定する。
【0071】
ステップ210で、CPU31は、テナントデータベース33Fから所属テナントに対応する有効期限を読み出し、有効期限が最も短い所属テナントを特定する。
【0072】
ステップ212で、CPU31は、ステップ202からステップ210で特定した数が最も多い所属テナントである最大テナントを特定する。具体的には、CPU31は、セキュリティレベルが最も高い項目を最も多く含む所属テナントである最大テナントを特定する。
【0073】
ステップ214で、CPU31は、最大テナントが複数あるか否かを判定する。CPU31は、ステップ214の処理において否定判定となった場合はステップ216へ移行し、肯定判定となった場合はステップ218へ移行する。
【0074】
ステップ216で、CPU31は、最大テナントに対応するパスワードポリシーをホームポリシーとし、情報処理のステップ104へ移行する。
【0075】
ステップ218で、CPU31は、予め定められたフォーマットに従うホームテナント選択画面を、管理者が所有するユーザ端末装置10の表示部14に表示する。
【0076】
図11に示すように、本実施形態に係るホームテナント選択画面では、最大テナントが複数ある旨を表すメッセージと、当該複数の最大テナントに定められたパスワードポリシーが表示される。管理者は、入力部12を介して、ホームテナントとして適用する最大テナントを、ホームテナント選択欄14Eに入力する。
【0077】
ステップ220で、CPU31は、ホームテナント選択欄14Eに入力された最大テナントに対応するパスワードポリシーをホームポリシーとし、情報処理のステップ104へ移行する。
【0078】
一方、CPU31は、ステップ200の処理において否定判定となった場合はステップ222へ移行する。ステップ222で、CPU31は、契約テナントに対応するパスワードをホームポリシーとし、情報処理のステップ104へ移行する。
【0079】
次に、本実施形態に係るユーザ設定処理の詳細について、図12及び図13を参照して説明する。管理者によってユーザ設定プログラム33Cの実行を開始する指示が入力部12を介して行われた場合に、情報処理装置30のCPU31がユーザ設定プログラム33Cを実行することにより、図12に示すユーザ設定処理が実行される。
【0080】
ステップ300で、CPU31は、予め定められたフォーマットに従うユーザ設定画面更面を表示部14に表示する。
【0081】
図13に示すように、本実施形態に係るユーザ設定画面では、ユーザIDの入力と、入力したユーザIDに対して管理対象のテナントに所属させる処理又は当該ユーザを管理対象のテナントから削除する処理の選択を促すメッセージが表示される。管理者は、まず、入力部12を介して、ユーザIDをユーザID入力欄14Fに入力する。次に、管理者は、ユーザID入力欄14Fに入力したユーザIDを、管理対象のテナントに所属させる場合は、入力部12を介して所属ボタン14Gを選択し、管理対象のテナントから削除させる場合は、入力部12を介して削除ボタン14Hを選択する。
【0082】
ステップ302で、CPU31は、ユーザ設定画面更面で所属ボタン14Gが選択されたか否かを判定する。CPU31は、ステップ302の処理において肯定判定となった場合はステップ304へ移行し、否定判定となった場合はステップ306へ移行する。
【0083】
ステップ304で、CPU31は、ユーザデータベース33Gにおける、ユーザID入力欄14Fに入力されたユーザIDに対応する所属テナントに、管理者の管理対象のテナントを追加して、本ユーザ設定処理を終了する。
【0084】
ステップ306で、CPU31は、ユーザデータベース33Gにおける、ユーザID入力欄14Fに入力されたユーザIDに対応する所属テナントから、管理者の管理対象のテナントを削除して、本ユーザ設定処理を終了する。
【0085】
次に、本実施形態に係るポリシー設定処理の詳細について、図14から図16を参照して説明する。管理者によって、ポリシー設定プログラム33Dの実行を開始する指示が入力部12を介して行われた場合に、情報処理装置30のCPU31がポリシー設定プログラム33Dを実行することにより、図14に示すポリシー設定処理が実行される。
【0086】
ステップ400で、CPU31は、テナントデータベース33Fを読み出し、管理対象のテナントを契約する会社と同一の会社が契約するテナントがあるか否かを判定する。CPU31は、ステップ400の処理において肯定判定となった場合はステップ402へ移行し、否定判定となった場合はステップ408へ移行する。
【0087】
ステップ402で、CPU31は、予め定められたフォーマットに従う適用可能ポリシー画面を表示部14に表示する。
【0088】
図15に示すように、本実施形態に係る適用可能ポリシー画面では、管理対象のテナントを契約する会社と同一の会社が契約するテナントがある旨のメッセージと、当該同一の会社が契約するテナントに定められたパスワードポリシーが表示される。管理者は、当該同一の会社が契約するテナントに定められたパスワードポリシーを、管理対象のテナントのパスワードポリシーとしてそのまま適用する場合は適用するボタン14Iを、適用しない場合は適用しないボタン14Jを、入力部12を介して選択する。
【0089】
ステップ404で、CPU31は、適用可能ポリシー画面で適用するボタン14Iが選択されたか否かを判定する。CPU31は、ステップ404の処理において肯定判定となった場合はステップ406へ移行し、否定判定となった場合はステップ408へ移行する。
【0090】
ステップ406で、CPU31は、テナントデータベース33Fにおける管理対象のテナントのパスワードポリシーとして、上記同一の会社が契約するテナントに定められたパスワードポリシーを記憶して、本ポリシー設定処理を終了する。
【0091】
ステップ408で、CPU31は、予め定められたフォーマットに従うポリシー設定画面を表示部14に表示する。
【0092】
図16に示すように、本実施形態に係るポリシー設定画面では、パスワードポリシーの入力を促すメッセージが表示される。管理者は、管理対象のテナントのパスワードポリシーを、パスワードポリシー入力欄14Kに入力部12を介して入力する。
【0093】
ステップ410で、CPU31は、テナントデータベース33Fにおける管理対象のテナントのパスワードポリシーとして、ポリシー設定画面のパスワードポリシー入力欄14Kに入力されたパスワードポリシーを記憶して、本ポリシー設定処理を終了する。
【0094】
なお、CPU31がステップ406の処理によってパスワードポリシーを設定した場合において、適用したパスワードポリシーが後述するポリシー変更処理によって変更された場合は、当該設定したパスワードポリシーを追従して変更させてもよい。
【0095】
次に、本実施形態に係るポリシー変更処理の詳細について、図17及び図18を参照して説明する。管理者によって、ポリシー変更プログラム33Eの実行を開始する指示が入力部12を介して行われた場合に、情報処理装置30のCPU31がポリシー変更プログラム33Eを実行することにより、図17に示すポリシー変更処理が実行される。
【0096】
ステップ500で、CPU31は、予め定められたフォーマットに従うポリシー変更画面を表示部14に表示する。
【0097】
図18に示すように、本実施形態に係るポリシー変更画面では、変更後のパスワードポリシーの入力を促すメッセージが表示される。管理者は、管理対象のテナントの変更後のパスワードポリシーを、変更後パスワードポリシー入力欄14Lに入力部12を介して入力する。
【0098】
ステップ502で、CPU31は、テナントデータベース33Fにおける管理対象のテナントのパスワードポリシーに、ポリシー変更画面の変更後パスワードポリシー入力欄14Lに入力されたパスワードポリシーを上書きして、本ポリシー変更処理を終了する。
【0099】
なお、CPU31は、ユーザ設定処理又はポリシー変更処理を実行した後、情報処理を実行してもよい。この場合、CPU31は、情報処理におけるステップ100を実行せずにホームポリシーを導出し、記憶部33に予め記憶されているパスワードが、当該導出したホームポリシーを満たさない場合に、パスワードの変更を促す旨を提示する。また、CPU31は、ユーザデータベース33Gに予め記憶されているホームテナントに対応するパスワードポリシーが、上記導出したホームポリシーよりセキュリティレベルが低い場合に、パスワードの変更を促す旨を提示してもよい。
【0100】
また、CPU31は、現状のパスワードポリシーの全ての項目が、ホームポリシーの項目別での最もセキュリティレベルが低い項目と比較してセキュリティレベルが低い場合は、パスワードの変更を促す旨を提示してもよい。
【0101】
[第2実施形態]
第2実施形態では、最大テナントとして、パスワードポリシーの項目のそれぞれを表す値に、予め定められた乗数を乗じた値を、当該項目毎に合算した値であるポリシースコアが最も高いパスワードポリシーに対応する所属テナントを適用する点が第1実施形態と異なる。以下、詳細に説明する。
【0102】
なお、本実施形態に係る情報処理装置30のハードウェア構成については、第1実施形態に係る構成(図1から図4参照。)と同一であるため、ここでの説明を省略する。
【0103】
次に、図19を参照して、ホームポリシー導出処理を実行する場合の情報処理装置30の作用を説明する。なお、図19に示す情報処理のステップ600の処理及びステップ630から638までの処理は、図10に示す情報処理のステップ200の処理及びステップ214から222までの処理と同一の処理であるため、説明を省略する。
【0104】
図19のステップ602で、CPU31は、テナントデータベース33Fから所属テナントに対応するパスワード長下限値を読み出し、当該値を0以上1以下の値に正規化した値に、予め定められた乗数である乗数Aを乗じた値を、パスワード長スコアとして導出する。CPU31は、導出したパスワード長スコアを記憶部33に記憶する。
【0105】
ステップ604で、CPU31は、テナントデータベース33Fから所属テナントに対応する英大文字要否を読み出し、アルファベットの大文字の使用が必須であるか否かを判定する。CPU31は、ステップ604の処理において肯定判定となった場合はステップ606へ移行し、否定判定となった場合はステップ608へ移行する。
【0106】
ステップ606で、CPU31は、1に、予め定められた乗数であって、0以上1以下の値である乗数Bを乗じた値を、英大文字スコアとして導出する。CPU31は、導出した英大文字スコアを記憶部33に記憶する。
【0107】
ステップ608で、CPU31は、英大文字スコアを0とし、当該英大文字スコアを記憶部33に記憶する。
【0108】
ステップ610で、CPU31は、テナントデータベース33Fから所属テナントに対応する英小文字要否を読み出し、アルファベットの小文字の使用が必須であるか否かを判定する。CPU31は、ステップ610の処理において肯定判定となった場合はステップ612へ移行し、否定判定となった場合はステップ614へ移行する。
【0109】
ステップ612で、CPU31は、1に、予め定められた乗数であって、0以上1以下の値である乗数Cを乗じた値を、英小文字スコアとして導出する。CPU31は、導出した英小文字スコアを記憶部33に記憶する。
【0110】
ステップ614で、CPU31は、英小文字スコアを0とし、当該英小文字スコアを記憶部33に記憶する。
【0111】
ステップ616で、CPU31は、テナントデータベース33Fから所属テナントに対応する数字要否を読み出し、数字の使用が必須であるか否かを判定する。CPU31は、ステップ616の処理において肯定判定となった場合はステップ618へ移行し、否定判定となった場合はステップ620へ移行する。
【0112】
ステップ618で、CPU31は、1に、予め定められた乗数であって、0以上1以下の値である乗数Dを乗じた値を、数字スコアとして導出する。CPU31は、導出した数字スコアを記憶部33に記憶する。
【0113】
ステップ620で、CPU31は、数字スコアを0とし、当該数字スコアを記憶部33に記憶する。
【0114】
ステップ622で、CPU31は、テナントデータベース33Fから所属テナントに対応する有効期限を読み出し、当該有効期限の逆数に、予め定められた乗数である乗数Eを乗じた値を、有効期限スコアとして導出する。CPU31は、導出した有効期限スコアを記憶部33に記憶する。
【0115】
ステップ624で、CPU31は、パスワード長スコア、英大文字スコア、英小文字スコア、数字スコア、及び有効期限スコアの和をポリシースコアとして導出し、当該ポリシースコアを記憶部33に記憶する。
【0116】
ステップ626で、CPU31は、対象ユーザが所属する全てのテナントのポリシースコアを導出したか否かを判定する。CPU31は、ステップ626の処理において肯定判定となった場合は本ポリシースコア導出処理を終了し、否定判定となった場合はステップ602へ戻る。
【0117】
ステップ628で、CPU31は、ポリシースコアが最も高いパスワードポリシーに対応する所属テナントを、最大テナントとする。
【0118】
なお、本実施形態では、CPU31は、各スコアが0以上1以下の値となるように導出している。しかし、CPU31は、各スコアが上記範囲以外の値となるように導出してもよい。
【0119】
また、CPU31は、最大テナントが複数ある場合に(ステップ630:Y)、ステップ634及びステップ636を実行せずに、乗数Aから乗数Eの変更を受け付け、当該受け付けた乗数を用いてポリシースコアを再度導出してもよい。
【0120】
具体的には、CPU31は、ホームテナント選択画面に代えて、予め定められたフォーマットに従う乗数変更画面を、管理者が所有するユーザ端末装置10の表示部14に表示する。
【0121】
図20に示すように、本実施形態に係る乗数変更画面では、最大テナントが複数ある旨を表すメッセージと、乗数Aから乗数Eの変更を促すメッセージが表示される。管理者は、入力部12を介して、乗数Aから乗数Eとして適用する値を、乗数入力欄14Mに入力する。
【0122】
次に、CPU31はステップ602へ戻り、乗数入力欄14Mに入力された値を用いて、ポリシースコアを再度導出する。
【0123】
以上、実施の形態を説明したが、本発明の技術的範囲は上記実施の形態に記載の範囲には限定されない。発明の要旨を逸脱しない範囲で上記実施の形態に多様な変更又は改良を加えることができ、該変更又は改良を加えた形態も本発明の技術的範囲に含まれる。
【0124】
また、上記実施の形態は、クレーム(請求項)にかかる発明を限定するものではなく、また実施の形態の中で説明されている特徴の組み合わせの全てが発明の解決手段に必須であるとは限らない。前述した実施の形態には種々の段階の発明が含まれており、開示される複数の構成要件の組み合わせにより種々の発明が抽出される。実施の形態に示される全構成要件から幾つかの構成要件が削除されても、効果が得られる限りにおいて、この幾つかの構成要件が削除された構成が発明として抽出され得る。
【0125】
また、上記各実施形態において、プロセッサとは広義的なプロセッサを指し、汎用的なプロセッサ(例えばCPU:Central Processing Unit、等)や、専用のプロセッサ(例えばGPU:Graphics Processing Unit、ASIC:Application Specific Integrated Circuit、FPGA:Field Programmable Gate Array、プログラマブル論理デバイス、等)を含むものである。
【0126】
また、上記各実施形態におけるプロセッサの動作は、1つのプロセッサによって成すのみでなく、物理的に離れた位置に存在する複数のプロセッサが協働して成すものであってもよい。また、プロセッサの各動作の順序は上記各実施形態において記載した順序のみに限定されるものではなく、適宜変更してもよい。
【0127】
本実施形態では、情報処理プログラム33Aが記憶部33にインストールされている形態を説明したが、これに限定されるものではない。本実施形態に係る情報処理プログラム33Aを、コンピュータ読取可能な記憶媒体に記録した形態で提供してもよい。例えば、本実施形態に係る情報処理プログラム33Aを、CD(Compact Disc)-ROM及びDVD(Digital Versatile Disc)-ROM等の光ディスクに記録した形態、若しくはUSB(Universal Serial Bus)メモリ及びメモリカード等の半導体メモリに記録した形態で提供してもよい。また、本実施形態に係る情報処理プログラム33Aを、通信I/F部38を介して外部の装置から取得するようにしてもよい。
【0128】
また、上記実施形態では、情報処理を、プログラムを実行することにより、コンピュータを利用してソフトウェア構成により実現する場合について説明したが、本発明はこれに限定されるものではない。例えば、情報処理を、ハードウェア構成や、ハードウェア構成とソフトウェア構成の組み合わせによって実現する形態としてもよい。
【0129】
その他、上記実施形態で説明した情報処理装置30の構成は一例であり、本発明の主旨を逸脱しない範囲内において不要な部分を削除したり、新たな部分を追加したりしてもよいことは言うまでもない。
【0130】
また、上記実施の形態で説明した情報処理プログラムの処理の流れ(図5参照)も一例であり、本発明の主旨を逸脱しない範囲内において不要なステップを削除したり、新たなステップを追加したり、処理順序を入れ替えたりしてもよいことは言うまでもない。
【符号の説明】
【0131】
10 ユーザ端末装置
12 入力部
14 表示部
20 テナントサーバ
30 情報処理装置
31 CPU
32 メモリ
33 記憶部
33A 情報処理プログラム
33C ユーザ設定プログラム
33D ポリシー設定プログラム
33E ポリシー変更プログラム
33F テナントデータベース
33G ユーザデータベース
33D 履歴データベース
38 通信I/F部
100 情報処理システム
N 通信手段
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
図13
図14
図15
図16
図17
図18
図19
図20
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.