IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > ベリタス テクノロジーズ エルエルシー

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ ベリタス テクノロジーズ エルエルシーの特許一覧

特表2022-507092情報保持システム内に記憶された情報へのアクセスを制御するためのシステム及び方法
<>
  • 特表-情報保持システム内に記憶された情報へのアクセスを制御するためのシステム及び方法 図1
  • 特表-情報保持システム内に記憶された情報へのアクセスを制御するためのシステム及び方法 図2
  • 特表-情報保持システム内に記憶された情報へのアクセスを制御するためのシステム及び方法 図3
  • 特表-情報保持システム内に記憶された情報へのアクセスを制御するためのシステム及び方法 図4
  • 特表-情報保持システム内に記憶された情報へのアクセスを制御するためのシステム及び方法 図5
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2022-01-18
(54)【発明の名称】情報保持システム内に記憶された情報へのアクセスを制御するためのシステム及び方法
(51)【国際特許分類】
   G06F 21/62 20130101AFI20220111BHJP
   G06F 16/14 20190101ALI20220111BHJP
【FI】
G06F21/62 318
G06F16/14
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2021525286
(86)(22)【出願日】2019-12-02
(85)【翻訳文提出日】2021-05-10
(86)【国際出願番号】 US2019064065
(87)【国際公開番号】W WO2020117711
(87)【国際公開日】2020-06-11
(31)【優先権主張番号】16/208,282
(32)【優先日】2018-12-03
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Blu-ray
(71)【出願人】
【識別番号】516222277
【氏名又は名称】ベリタス テクノロジーズ エルエルシー
(74)【代理人】
【識別番号】100147485
【弁理士】
【氏名又は名称】杉村 憲司
(72)【発明者】
【氏名】ヴェド、アンバー
(57)【要約】
情報保持システム内に記憶された情報へのアクセスを制御するための開示されたコンピュータ実施方法は、(1)コンピューティングデバイスにおいて、それぞれのオブジェクトのオブジェクトタイプに関連付けられたメタデータを受信することであって、それぞれのオブジェクトのうちの少なくとも2つは、異なるドメイン内にある、ことと、(2)メタデータから、少なくとも2つのオブジェクトのそれぞれのオブジェクトタイプを決定することと、(3)それぞれのオブジェクトタイプの相対的な特徴に基づいて、少なくとも2つのオブジェクトの階層を形成することと、(4)セキュリティアクションを実施することであって、セキュリティアクションは、(A)少なくとも2つのオブジェクトへの、少なくとも1人のユーザーによるアクセスを制御する、少なくとも1つのアクセスルールを受信することと、(B)情報保持システム内の少なくとも1つの記憶デバイス内に、少なくとも1つのアクセスルール、オブジェクトの階層、及び少なくとも2つのオブジェクトを記憶することと、を含む、ことと、を含み得る。様々な他の方法、システム、及びコンピュータ可読媒体もまた開示される。
【選択図】図3
【特許請求の範囲】
【請求項1】
情報保持システム内に記憶された情報へのアクセスを制御するためのコンピュータ実施方法であって、前記方法の少なくとも一部分は、少なくとも1つのプロセッサを含むコンピューティングデバイスによって実施され、前記方法は、
前記コンピューティングデバイスにおいて、複数のオブジェクト内のそれぞれのオブジェクトのオブジェクトタイプに関連付けられたメタデータを受信することであって、前記それぞれのオブジェクトのうちの少なくとも2つは、異なるドメイン内にある、ことと、
前記メタデータから、前記複数のオブジェクト内の少なくとも2つのオブジェクトの前記それぞれのオブジェクトタイプを決定することと、
前記それぞれのオブジェクトタイプの相対的な特徴に基づいて、前記少なくとも2つのオブジェクトの階層を形成することと、
セキュリティアクションを実施することであって、前記セキュリティアクションは、
前記複数のオブジェクト内の前記少なくとも2つのオブジェクトへの、少なくとも1人のユーザーによるアクセスを制御する、少なくとも1つのアクセスルールを受信することと、
前記情報保持システム内の少なくとも1つの記憶デバイス内に、前記少なくとも1つのアクセスルール、前記オブジェクトの前記階層、及び前記複数のオブジェクト内の前記少なくとも2つのオブジェクトを記憶することと、を含む、ことと、を含む、コンピュータ実施方法。
【請求項2】
前記複数のオブジェクト内のオブジェクトが、変数、関数、及びデータ構造のうちの少なくとも1つを記述する、請求項1に記載のコンピュータ実施方法。
【請求項3】
前記複数のオブジェクト内のオブジェクトが、データベーステーブル、ファイル、フォルダ、データベース、又はそれらの組み合わせを含む、請求項1に記載のコンピュータ実施方法。
【請求項4】
前記複数のオブジェクト内の前記少なくとも2つのオブジェクトが、異なるアプリケーションに関連付けられている、請求項1に記載のコンピュータ実施方法。
【請求項5】
前記それぞれのオブジェクトタイプを決定することが、前記少なくとも2つのオブジェクトの前記メタデータを、メタデータ及びオブジェクトタイプの相互参照と比較することを更に含む、請求項1に記載のコンピュータ実施方法。
【請求項6】
前記それぞれのオブジェクトタイプを決定することが、前記メタデータから前記それぞれのオブジェクトタイプを読み取ることを更に含む、請求項1に記載のコンピュータ実施方法。
【請求項7】
前記少なくとも1つのアクセスルールが、前記階層の少なくとも1つのそれぞれの部分への、前記少なくとも1人のユーザーによるアクセスを可能にする、請求項1に記載のコンピュータ実施方法。
【請求項8】
前記階層の前記少なくとも1つのそれぞれの部分への、前記少なくとも1人のユーザーによるアクセスを可能にすることが、前記階層の前記少なくとも1つのそれぞれの部分よりも低い前記階層の全てのレベルへのアクセスを可能にすることを含む、請求項7に記載のコンピュータ実施方法。
【請求項9】
前記少なくとも1つのアクセスルールが、前記階層の少なくとも1つのそれぞれの部分への、前記少なくとも1人のユーザーによるアクセスを拒否する、請求項1に記載のコンピュータ実施方法。
【請求項10】
前記階層の前記少なくとも1つのそれぞれの部分への、前記少なくとも1人のユーザーによるアクセスを拒否することが、前記階層の前記少なくとも1つのそれぞれの部分の少なくとも一部への、前記少なくとも1人のユーザーによるアクセスを可能にすることに優先する、請求項9に記載のコンピュータ実施方法。
【請求項11】
前記階層の前記少なくとも1つのそれぞれの部分への、前記少なくとも1人のユーザーによるアクセスを拒否することが、前記階層の前記少なくとも1つのそれぞれの部分内の少なくとも1つのオブジェクトの読み取り、書き込み、削除、及び復元を拒否することを含む、請求項9に記載のコンピュータ実施方法。
【請求項12】
前記少なくとも1つのアクセスルールが、前記複数のオブジェクト内の少なくとも1つのオブジェクトへの、前記少なくとも1人のユーザーによるアクセスを可能にする、請求項1に記載のコンピュータ実施方法。
【請求項13】
前記少なくとも1つのアクセスルールが、前記複数のオブジェクト内の少なくとも1つのオブジェクトへの、前記少なくとも1人のユーザーによるアクセスを拒否する、請求項1に記載のコンピュータ実施方法。
【請求項14】
前記セキュリティアクションを実施することが、
前記複数のオブジェクト内の少なくとも1つのそれぞれのオブジェクトへの、前記少なくとも1人のユーザーによるアクセスを制御する追加のアクセスルールを受信することと、
前記受信したアクセスルールの少なくとも一部分を、少なくとも1つの統合アクセスルールに組み込むことと、を更に含む、請求項1に記載のコンピュータ実施方法。
【請求項15】
情報保持システム内に記憶された情報へのアクセスを制御するためのシステムであって、前記システムは、
複数のオブジェクト内のそれぞれのオブジェクトのオブジェクトタイプに関連付けられたメタデータを受信する、メモリ内に記憶された受信モジュールであって、前記それぞれのオブジェクトのうちの少なくとも2つは、異なるドメイン内にある、受信モジュールと、
前記メタデータから、前記複数のオブジェクト内の少なくとも2つのオブジェクトの前記それぞれのオブジェクトタイプを決定する、前記メモリ内に記憶された決定モジュールと、
前記それぞれのオブジェクトタイプの相対的な特徴に基づいて、前記少なくとも2つのオブジェクトの階層を形成する、前記メモリ内に記憶された形成モジュールと、
セキュリティアクションを実施する、前記メモリ内に記憶された実施モジュールであって、前記セキュリティアクションは、
前記複数のオブジェクト内の前記少なくとも2つのオブジェクトへの、少なくとも1人のユーザーによるアクセスを制御する、少なくとも1つのアクセスルールを受信することと、
前記情報保持システム内の少なくとも1つの記憶デバイス内に、前記少なくとも1つのアクセスルール、前記オブジェクトの前記階層、及び前記複数のオブジェクト内の前記少なくとも2つのオブジェクトを記憶することと、を含む、実施モジュールと、
前記受信モジュール、前記決定モジュール、前記形成モジュール、及び前記実施モジュールを実行する、少なくとも1つの物理プロセッサと、を備える、システム。
【請求項16】
前記少なくとも1つのアクセスルールが、前記階層の少なくとも1つのそれぞれの部分への、前記少なくとも1人のユーザーによるアクセスを拒否する、請求項15に記載のシステム。
【請求項17】
前記セキュリティアクションが、
前記複数のオブジェクト内の少なくとも1つのそれぞれのオブジェクトへの、前記少なくとも1人のユーザーによるアクセスを制御する追加のアクセスルールを受信することと、
前記受信したアクセスルールの少なくとも一部分を、少なくとも1つの統合アクセスルールに組み込むことと、を更に含む、請求項15に記載のシステム。
【請求項18】
1つ以上のコンピュータ実行可能命令を含む非一過性コンピュータ可読媒体であって、前記命令は、コンピューティングデバイスの少なくとも1つのプロセッサによって実行されるとき、前記コンピューティングデバイスに、
前記コンピューティングデバイスにおいて、複数のオブジェクト内のそれぞれのオブジェクトのオブジェクトタイプに関連付けられたメタデータを受信することであって、前記それぞれのオブジェクトのうちの少なくとも2つは、異なるドメイン内にある、ことと、
前記メタデータから、前記複数のオブジェクト内の少なくとも2つのオブジェクトの前記それぞれのオブジェクトタイプを決定することと、
前記それぞれのオブジェクトタイプの相対的な特徴に基づいて、前記少なくとも2つのオブジェクトの階層を形成することと、
セキュリティアクションを実施することであって、前記セキュリティアクションは、
前記複数のオブジェクト内の前記少なくとも2つのオブジェクトへの、少なくとも1人のユーザーによるアクセスを制御する、少なくとも1つのアクセスルールを受信することと、
前記情報保持システム内の少なくとも1つの記憶デバイス内に、前記少なくとも1つのアクセスルール、前記オブジェクトの前記階層、及び前記複数のオブジェクト内の前記少なくとも2つのオブジェクトを記憶することと、を含む、ことと、を行わせる、非一過性コンピュータ可読媒体。
【請求項19】
前記少なくとも1つのアクセスルールが、前記階層の少なくとも1つのそれぞれの部分への、前記少なくとも1人のユーザーによるアクセスを拒否する、請求項18に記載の非一過性コンピュータ可読媒体。
【請求項20】
前記セキュリティアクションが、
前記複数のオブジェクト内の少なくとも1つのそれぞれのオブジェクトへの、前記少なくとも1人のユーザーによるアクセスを制御する追加のアクセスルールを受信することと、
前記受信したアクセスルールの少なくとも一部分を、少なくとも1つの統合アクセスルールに組み込むことと、を更に含む、請求項18に記載の非一過性コンピュータ可読媒体。
【発明の詳細な説明】
【背景技術】
【0001】
バックアップ情報は、情報システムに対する悪意のある攻撃後の復旧作業を早め得る予防的なセキュリティアクションである。バックアップ情報は、困難で複雑かつ重要な動作であり得る。複雑性の一部は、バックアップ情報へのアクセスの定義及び制御を含む。例えば、2人の従業員のみが何年も前にバックアップされた重要な情報にアクセスすることが許可されており、これら2人の従業員が退職した場合、誰がバックアップ情報にアクセスすることを許可されるべきであろうか。いくつかの他の複雑性は、類似のバックアップアプリケーションが、異なるアクセスモデル、異なるオブジェクト、異なるオブジェクト配置、及び/又は異なるアクセスルールを有し得ることを含む。加えて、一部の情報記憶システムは、不適合なアクセス管理サービスを実装し得る、クラウドサービスプロバイダなどのサードパーティサービスプロバイダが関与する場合がある。更に、時間の変化に伴い、情報保持システム内に記憶されたバックアップデータは、記憶されてから未変更のままである一方、ユーザー、ユーザーの役割、アプリケーション、アプリケーションの役割、コンピューティング技術、アクセス制御技術、及び/又は記憶技術は変化する可能性がある。
【発明の概要】
【0002】
以下でより詳細に説明するように、本開示は、情報保持システムに記憶された情報へのアクセスを制御するための様々なシステム及び方法を記載する。
【0003】
一実施形態では、情報保持システムに記憶された情報へのアクセスを制御するための方法は、(1)コンピューティングデバイスにおいて、複数のオブジェクト内のそれぞれのオブジェクトのオブジェクトタイプに関連付けられたメタデータを受信することであって、それぞれのオブジェクトのうちの少なくとも2つは、異なるドメイン内にある、ことと、(2)メタデータから、複数のオブジェクト内の少なくとも2つのオブジェクトのそれぞれのオブジェクトタイプを決定することと、(3)それぞれのオブジェクトタイプの相対的な特徴に基づいて、少なくとも2つのオブジェクトの階層を形成することと、(4)セキュリティアクションを実行することと、を含み得る。セキュリティアクションは、(A)複数のオブジェクト内の少なくとも2つのオブジェクトへの、少なくとも1人のユーザーによるアクセスを制御する、少なくとも1つのアクセスルールを受信することと、(B)情報保持システム内の少なくとも1つの記憶デバイス内に、少なくとも1つのアクセスルール、オブジェクトの階層、及び複数のオブジェクト内の少なくとも2つのオブジェクトを記憶することと、を含み得る。
【0004】
一例では、複数のオブジェクト内のオブジェクトは、変数、関数、及びデータ構造のうちの少なくとも1つを記述してもよい。一実施形態では、複数のオブジェクト内のオブジェクトは、データベーステーブル、ファイル、フォルダ、データベース、又はこれらの組み合わせを含んでもよい。いくつかの実施形態では、複数のオブジェクト内の少なくとも2つのオブジェクトは、異なるアプリケーションに関連付けられてもよい。
【0005】
いくつかの例では、それぞれのオブジェクトタイプを決定することは、少なくとも2つのオブジェクトのメタデータをメタデータ及びオブジェクトタイプの相互参照と比較することを更に含んでもよい。一例では、それぞれのオブジェクトタイプを決定することは、メタデータからそれぞれのオブジェクトタイプを読み取ることを更に含んでもよい。
【0006】
一実施形態では、少なくとも1つのアクセスルールは、階層の少なくとも1つのそれぞれの部分への、少なくとも1人のユーザーによるアクセスを可能にしてもよい。いくつかの実施形態では、階層の少なくとも1つのそれぞれの部分への、少なくとも1人のユーザーによるアクセスを可能にすることは、階層の少なくとも1つのそれぞれの部分よりも低い階層の全てのレベルへのアクセスを可能にすることを含んでもよい。
【0007】
いくつかの例では、少なくとも1つのアクセスルールは、階層の少なくとも1つのそれぞれの部分への、少なくとも1人のユーザーによるアクセスを拒否してもよい。一例では、階層の少なくとも1つのそれぞれの部分への、少なくとも1人のユーザーによるアクセスを拒否することが、階層の少なくとも1つのそれぞれの部分の少なくとも一部への、少なくとも1人のユーザーによるアクセスを可能にすることに優先してもよい。一実施形態では、階層の少なくとも1つのそれぞれの部分への、少なくとも1人のユーザーによるアクセスを拒否することは、階層の少なくとも1つのそれぞれの部分内の少なくとも1つのオブジェクトの読み取り、書き込み、削除、及び復元を拒否することを含んでもよい。
【0008】
いくつかの実施形態では、少なくとも1つのアクセスルールは、複数のオブジェクト内の少なくとも1つのオブジェクトへの、少なくとも1人のユーザーによるアクセスを可能にしてもよい。いくつかの例では、少なくとも1つのアクセスルールは、複数のオブジェクト内の少なくとも1つのオブジェクトへの、少なくとも1人のユーザーによるアクセスを拒否してもよい。
【0009】
一例では、セキュリティアクションを実行することは、(1)複数のオブジェクト内の少なくとも1つのそれぞれのオブジェクトへの、少なくとも1人のユーザーによるアクセスを制御する、追加のアクセスルールを受信することと、(2)受信したアクセスルールの少なくとも一部分を少なくとも1つの統合アクセスルールに組み込むことと、を含んでもよい。
【0010】
一例では、情報保持システムに記憶された情報へのアクセスを制御するためのシステムは、(1)複数のオブジェクト内のそれぞれのオブジェクトのオブジェクトタイプに関連付けられたメタデータを受信する、メモリ内に記憶された受信モジュールであって、それぞれのオブジェクトのうちの少なくとも2つは、異なるドメイン内にある、受信モジュールと、(2)メタデータから、複数のオブジェクト内の少なくとも2つのオブジェクトのそれぞれのオブジェクトタイプを決定する、メモリ内に記憶された決定モジュールと、(3)それぞれのオブジェクトタイプの相対的な特徴に基づいて、少なくとも2つのオブジェクトの階層を形成する、メモリ内に記憶された形成モジュールと、(4)セキュリティアクションを実施する、メモリ内に記憶された実施モジュールと、を含む、メモリ内に記憶された数個のモジュールを含んでもよい。セキュリティアクションは、(A)複数のオブジェクト内の少なくとも2つのオブジェクトへの、少なくとも1人のユーザーによるアクセスを制御する、少なくとも1つのアクセスルールを受信することと、(B)情報保持システム内の少なくとも1つの記憶デバイス内に、少なくとも1つのアクセスルール、オブジェクトの階層、及び複数のオブジェクト内の少なくとも2つのオブジェクトを記憶することと、を含み得る。本システムはまた、受信モジュール、決定モジュール、形成モジュール、及び実施モジュールを実行する、少なくとも1つの物理プロセッサを含んでもよい。
【0011】
いくつかの例では、上記の方法は、非一過性コンピュータ可読媒体上にコンピュータ可読命令としてコード化されてもよい。例えば、コンピュータ可読媒体は、1つ以上のコンピュータ実行可能命令を含んでもよく、コンピュータ実行可能命令は、コンピューティングデバイスの少なくとも1つのプロセッサによって実行されると、コンピューティングデバイスに、(1)コンピューティングデバイスにおいて、複数のオブジェクト内のそれぞれのオブジェクトのオブジェクトタイプに関連付けられたメタデータを受信することであって、それぞれのオブジェクトのうちの少なくとも2つは、異なるドメイン内にある、ことと、(2)メタデータから、複数のオブジェクト内の少なくとも2つのオブジェクトのそれぞれのオブジェクトタイプを決定することと、(3)それぞれのオブジェクトタイプの相対的な特徴に基づいて、少なくとも2つのオブジェクトの階層を形成することと、(4)セキュリティアクションを実施することと、を行わせ得る。セキュリティアクションは、(A)複数のオブジェクト内の少なくとも2つのオブジェクトへの、少なくとも1人のユーザーによるアクセスを制御する、少なくとも1つのアクセスルールを受信することと、(B)情報保持システム内の少なくとも1つの記憶デバイス内に、少なくとも1つのアクセスルール、オブジェクトの階層、及び複数のオブジェクト内の少なくとも2つのオブジェクトを記憶することと、を含み得る。
【0012】
本明細書で述べた実施形態のうちのいずれかからの特性は、本明細書で説明する一般原理に従って互いと組み合わせて使用されてもよい。これらの及び他の実施形態、特性、及び利点は、添付の図面及び請求項と併せて、以下の詳細な説明を一読することで、より完全に理解されよう。
【図面の簡単な説明】
【0013】
添付の図面は、いくつかの例示的な実施形態を例解し、かつ本明細書の一部である。以下の説明と共に、これらの図面は、本開示の種々の原理を実証及び説明する。
図1】情報保持システム内に記憶された情報へのアクセスを制御するための例示的なシステムのブロック図である。
図2】情報保持システム内に記憶された情報へのアクセスを制御するための追加の例示的なシステムのブロック図である。
図3】情報保持システム内に記憶された情報へのアクセスを制御するための例示的な方法のフロー図である。
図4】例示的な情報保持システムにおけるオブジェクトのブロック図である。
図5図4の例示的な情報保持システムにおけるオブジェクトの例示的な階層の図である。
【0014】
図面を通じて、同一の参照文字及び説明は、類似であるが、必ずしも同一ではない要素を示す。本明細書において説明される例示的な実施形態は、種々の修正及び代替的な形態が可能であるが、具体的な実施形態が、図面において、例として示されており、かつ本明細書において詳細に説明される。しかしながら、本明細書において説明される例示的な実施形態は、開示される特定の形態に限定されることを意図しない。むしろ、本開示は、添付の特許請求の範囲内にある全ての修正物、同等物、及び代替物を網羅する。
【発明を実施するための形態】
【0015】
本開示は、一般に、情報保持システム内に記憶された情報へのアクセスを制御するためのシステム及び方法を対象とする。提供される技術の例は、長期データ保持システムなどの保持システム内に記憶された情報をセキュアに管理することを可能にするための汎用アプリケーション認識方法を提供し得る。提供される技術の例は、長期データ保持システムなどの情報保持システムにおける統合マルチアプリケーションドメインデータアクセス制御の方法を提供し得る。いくつかの実施形態では、提供される技術は、異なるアプリケーションドメイン及びその特定用途向けオブジェクトにわたる柔軟な階層構成を実装することによって、統一された方法で異なるアプリケーションをバックアップすることを可能にし得る。
【0016】
提供されるシステム及び方法によって対処される問題のいくつかとしては、(1)多くの企業ソフトウェアアプリケーション(例えば、オペレーティングシステム、仮想化のようなワークロード、データベースのようなアプリケーションなど)が、アプリケーション固有のユーザーアクセス要件及びアプリケーション固有の要件を満たすアクセスルールを定義すること、(2)多くのアプリケーションが、異なるスタイルのオブジェクトを定義し、使用すること、(3)バックアップ及び長期データ保護アプリケーションが、時間の経過と共に、アプリケーションが進化するにつれて互いの同期がとれなくなり、古いコピーが変更されないままであるアプリケーション許可を用いて情報をアーカイブし得ること、(4)アプリケーションバックアップ動作のために、多くの場合は、特定の時点でアプリケーションデータの一貫性を維持することが望ましく、したがって、同時に異なるユーザーの間で、単一ユーザーとして実施されるバックアップ動作を必要とすること(例えば、一貫性を維持するために、単一のパスでデータベース内の全てのテーブルのデータを保存すること)、かつ/又は(5)サービス品質保証(Service Level Agreements、SLA)における目標復旧時間(Recovery Time Objectives、RTO)は、バックアップアプリケーション全体よりも少量のバックアップ情報の復元を可能にすることを必要とし得ることが挙げられ得る。
【0017】
提供されるシステム及び方法のいくつかの例は、データベースアプリケーションにおけるテーブル、仮想化アプリケーションにおける仮想マシンなど、アプリケーションによって作成及び/又は使用される高レベルソフトウェアオブジェクトを分析することができる。分析結果は、異なるアプリケーション及び/又は異なるドメインからのオブジェクトを、親子階層などの階層に編成するために使用され得る、それぞれのオブジェクト特性を提供する。オブジェクトを編成するこの方法は、(1)バックアップアプリケーションのものと一致する必要はなく、(2)意味のあるように検出及び管理され得るのと同じように高レベルから低レベルであってもよく、かつ/又は(3)個々のアプリケーションユーザー若しくはグループ情報が理解される必要はない。オブジェクトは記憶されてもよく、階層も記憶されてもよい。データアクセスルール(すなわち、ルールベースアクセス制御(Rule-Based Access Control、RBAC))は、階層内のオブジェクトにアクセスするユーザー及び/又は処理へのアクセスを制御するために作成及び/又は適用されてもよい。例えば、管理者は、特定のユーザーのみが、階層の第1の部分にアクセスすることを許可される一方で、全てのユーザーが階層の別の部分にアクセスすることを許可されることを定義することができる。提供される技術は、(1)アプリケーションのアクセスモデルをアプリケーションのオブジェクトに強く結合することを回避することと、(2)アプリケーション内の特定のオブジェクトへのアクセス制御を詳細レベルで定義することとの両方のバランスを取るアプローチを提供する。
【0018】
そうすることによって、本明細書に記載されるシステム及び方法は、アプリケーション固有のユーザーアクセス要件及びアクセスルールによって制限されることなく、バックアップ情報を管理することによって、コンピューティングデバイスの機能を改善し得る。更に、本明細書に記載されるシステム及び方法は、異なるアプリケーションによって使用されるオブジェクトの異なるスタイルによる拘束なしに、バックアップ情報を管理することによって、コンピューティングデバイスの機能を改善し得る。いくつかの実施形態では、本明細書に記載されるシステム及び方法は、時間の経過と共に、アプリケーションが進化するにつれて互いに同期がとれなくなり、古いコピーが変更されないままであるアプリケーション許可の影響を受けることなく、アーカイブ情報を管理することによって、コンピューティングデバイスの機能を改善し得る。更に、本明細書に記載されるシステム及び方法は、異なるユーザー間で同時に、単一ユーザーとして実施されるバックアップ動作を必要とせずに、バンクアップ情報を管理することによって、コンピューティングデバイスの機能を改善し得る。いくつかの実施形態では、本明細書に記載されるシステム及び方法は、アプリケーション全体よりも少量のバックアップ情報を復元することを可能にする方法でアーカイブ情報を管理し、それにより復旧時間を改善することによって、コンピューティングデバイスの機能を改善し得る。加えて、いくつかの例では、アプリケーションの観点から、本明細書に記載されるシステム及び方法は、アプリケーションに対して透過的に見える場合がある。
【0019】
下記において、図1図2を参照して、情報保持システム内に記憶された情報へのアクセスを制御するための例示的なシステムの詳細な説明が提供される。対応するコンピュータ実施方法についての詳細な説明もまた、図3に関連して提供される。加えて、例示的な情報保持システム及び関連するオブジェクト階層の詳細な説明が図4図5に示される。
【0020】
図1は、情報保持システム内に記憶された情報へのアクセスを制御するための例示的なシステム100のブロック図である。いくつかの実施形態では、例示的なシステム100は、情報保持システムの構成要素であってもよい。この図に示されているように、例示的なシステム100は、1つ以上のタスクを実施するための1つ以上のモジュール102を含んでもよい。以下でより詳細に説明するように、モジュール102は、受信モジュール104、決定モジュール106、形成モジュール108、及び実施モジュール110を含んでもよい。別個の要素として示されるが、図1のモジュール102のうちの1つ以上は、単一のモジュール又はアプリケーションの一部分を表し得る。
【0021】
特定の実施形態では、図1のモジュール102のうちの1つ以上は、コンピューティングデバイスによって実行されるとき、コンピューティングデバイスに、1つ以上のタスクを実施させてもよい1つ以上のソフトウェアアプリケーション又はプログラムを表してもよい。例えば、以下でより詳細に記載されるように、1つ以上のモジュール102は、図2内に例解されたデバイス(例えば、コンピューティングデバイス202、サーバ206、及び/又はサーバ「N」208)などの、1つ以上のコンピューティングデバイス上で記憶され、動作するように構成されたモジュールを表現し得る。図1のモジュール102のうちの1つ以上はまた、1つ以上のタスクを実施するように構成された1つ以上の特殊目的のコンピュータの全て又は一部分を表してもよい。
【0022】
図1に例解されるように、例示的なシステム100はまた、記憶デバイス120など、1つ以上の記憶デバイスも含み得る。記憶デバイス120は、一般に、データ及び/又はコンピュータ可読命令を記憶できる、任意の種類又は形式の揮発性又は不揮発性の記憶デバイス又は媒体を表す。一例では、記憶デバイス120は、メタデータ121、オブジェクトタイプ122、オブジェクト123、階層124、それぞれのオブジェクトタイプの相対的な特徴125、セキュリティアクション126、及び/又はアクセスルール127のうちの1つ以上を記憶、ロード、及び/又は維持し得る。記憶デバイス120の例としては、限定するものではないが、ランダムアクセスメモリ(RAM)、読み取り専用メモリ(ROM)、フラッシュメモリ、ハードディスクドライブ(HDD)、ソリッドステートドライブ(SSD)、光ディスクドライブ、キャッシュ、これらのうちの1つ以上の変形若しくは組み合わせ、及び/又は任意の他の好適な記憶メモリが挙げられる。
【0023】
いくつかの非限定的な実施形態では、セキュリティアクション126は、デバイス(例えば、記憶デバイス、メモリ、ネットワークデバイスなど)へのアクセスをブロックすること、デバイスへの制限付きアクセスを許可すること、デバイスへの読み取り専用アクセスを許可すること、情報を暗号化すること、及び/又はデバイスへのアクセスを制限する他の行為を含んでもよい。いくつかの例では、セキュリティアクションは自動的に実施されてもよい。いくつかの実施形態では、セキュリティアクションは、アクセスルール127などのアクセスルールの実行に基づいて実施されてもよい。
【0024】
いくつかの実施形態では、セキュリティアクション126は、潜在的なセキュリティリスクを識別及び/又は改善することを試みてもよい。追加の実施例では、セキュリティアクション126は、アクセスルール127を違反していることを示す警告をユーザーディスプレイ上に表示することを含んでもよい。いくつかの例では、セキュリティアクション126は、認証されたプロセス及び/又はユーザーのみがアクセスすることのできる情報へのアクセスを許可することを更に含んでもよい。いくつかの例では、セキュリティアクション126は、データ損失防止(DLP)ポリシーに従って実施されてもよい。
【0025】
図1に示されているように、例示的なシステム100はまた、物理的プロセッサ130など、1つ以上の物理的プロセッサも含み得る。物理プロセッサ130は、概して、コンピュータ可読命令を解釈でき、かつ/又は実行できる任意のタイプ又は形式のハードウェア実装処理ユニットを表す。一例では、物理プロセッサ130は、メモリ140に記憶されたモジュール102のうちの1つ以上にアクセスし得、かつ/又はこれらを修正し得る。追加的に又は代替的に、物理プロセッサ130は、情報保持システム内に記憶された情報へのアクセスを制御することを容易にするため、モジュール102のうちの1つ以上を実行し得る。物理的プロセッサ130の例としては、マイクロプロセッサ、マイクロコントローラ、中央処理ユニット(Central Processing Unit、CPU)、ソフトコアプロセッサを実装しているフィールドプログラマブルゲートアレイ(Field-Programmable Gate Array、FPGA)、特定用途向け集積回路(Application-Specific Integrated Circuit、ASIC)、これらのうちの1つ以上の部分、これらのうちの1つ以上の変形若しくは組み合わせ、又は任意の他の好適な物理的プロセッサが挙げられるが、これらに限定されない。
【0026】
図1に示されているように、例示的なシステム100はまた、メモリ140など、1つ以上のメモリデバイスも含み得る。メモリ140は、概して、データ及び/又はコンピュータ可読命令を記憶できる、任意の種類又は形式の揮発性又は不揮発性の記憶デバイス又は媒体を表す。一例では、メモリ140は、モジュール102のうちの1つ以上を記憶、ロード、及び/又は維持し得る。メモリ140の例としては、限定するものではないが、ランダムアクセスメモリ(RAM)、読み取り専用メモリ(ROM)、フラッシュメモリ、ハードディスクドライブ(HDD)、ソリッドステートドライブ(SSD)、光ディスクドライブ、キャッシュ、任意の他の好適な記憶メモリ、及び/又はこれらのうちの1つ以上の変形又は組み合わせが挙げられる。
【0027】
図1に示されているように、例示的なシステム100はまた、ディスプレイ150など、1つ以上のディスプレイを含んでもよい。いくつかの例では、ディスプレイ150はタッチスクリーンであってもよい。したがって、ディスプレイ150は、スワイプなど、ユーザーがディスプレイ150に触れたときにディスプレイ150上にユーザーによって付与されるユーザーのタッチを介して、入力を受信するように構成されたタッチ感知デバイスであってもよい。いくつかの例では、ディスプレイ150は、容量感知、抵抗感知、圧力感知などの技術を実施してもよい。ディスプレイ150はまた、アクセスルール、階層、及び/又はオブジェクトを表示し得るユーザーインターフェースを表示するように構成された画像(例えば、ビデオ)表示デバイスであってもよい。
【0028】
図1に示されているように、例示的なシステム100はまた、ネットワークインターフェース160など、1つ以上のネットワークインターフェースを含んでもよい。ネットワークインターフェース160は、例示的なシステム100と、1つ以上の追加のデバイス(例えば、図2のネットワーク204)との間の通信を容易にすることが可能な任意のタイプ又は形式の通信デバイス又はアダプタを広く表す。例えば、特定の実施形態では、ネットワークインターフェース160は、例示的なシステム100と、クラウドベース情報記憶システムなどのコンピューティングシステムに連結されたネットワークとの間の通信を容易にし得る。ネットワークインターフェース160の例としては、限定するものではないが、有線ネットワークインターフェース(ネットワークインターフェースカードなど)、無線ネットワークインターフェース(無線ネットワークインターフェースカードなど)、モデム、及び任意の他の好適なインターフェースが挙げられる。少なくとも1つの実施形態では、ネットワークインターフェース160は、インターネットなどのネットワークへのリンクを介して、遠隔サーバへの直接的な接続を提供してもよい。ネットワークインターフェース160はまた、例えば、ローカルエリアネットワーク(イーサネットネットワークなど)、パーソナルエリアネットワーク、電話若しくはケーブルネットワーク、携帯電話接続、衛星データ接続、又は任意の他の好適な接続を通じて、かかる接続を間接的に提供してもよい。
【0029】
特定の実施形態では、ネットワークインターフェース160はまた、外部バス又は通信チャネルを介して、例示的なシステム100と、1つ以上の追加のネットワーク又は記憶デバイスとの間の通信を容易にするように構成されたホストアダプタを表してもよい。ホストアダプタの例としては、限定することなく、スモールコンピュータシステムインターフェース(SCSI)ホストアダプタ、ユニバーサルシリアルバス(USB)ホストアダプタ、米国電気電子技術者協会(IEEE)1394ホストアダプタ、アドバンストテクノロジーアタッチメント(ATA)、パラレルATA(PATA)、シリアルATA(SATA)、及びエクスターナルSATA(eSATA)ホストアダプタ、ファイバチャネルインターフェースアダプタ、イーサネットアダプタなどが挙げられる。ネットワークインターフェース160はまた、例示的なシステム100が分散又は遠隔コンピューティング及び/又は情報記憶に関与することを可能にしてもよい。例えば、ネットワークインターフェース160は、実行のために、遠隔デバイスから命令を受信するか、又は遠隔デバイスに命令を送信してもよい。
【0030】
図1の例示的なシステム100は、様々な態様で実装され得る。例えば、例示的なシステム100の全て又は一部分は、図2の例示的なシステム200の部分を表し得る。図2に示されるように、システム200は、ネットワーク204を介して第1のサーバ206及び/又はサーバ「N」208と通信するコンピューティングデバイス202を含んでもよい。一例では、モジュール102の機能性の全て又は一部分は、コンピューティングデバイス202、第1のサーバ206、サーバ「N」208、及び/又は任意の他の好適なコンピューティングシステムによって実施されてもよい。以下でより詳細に記載されるように、図1のモジュール102のうちの1つ以上は、コンピューティングデバイス202、第1のサーバ206、及び/又はサーバ「N」208のうちの少なくとも1つのプロセッサによって実行されるとき、コンピューティングデバイス202、第1のサーバ206、及び/又はサーバ「N」208が保持システム内に記憶された情報へのアクセスを制御することを可能にし得る。いくつかの例では、システム200は情報保持システムであってもよい。
【0031】
コンピューティングデバイス202は、コンピュータ実行可能命令を読み出すことができる任意のタイプ又は形式のコンピューティングデバイスを概して表す。例えば、コンピューティングデバイス202は、情報記憶管理ソフトウェアを実行するデバイスを表し得る。コンピューティングデバイス202の追加例としては、限定するものではないが、ノートブック、タブレット、デスクトップ、サーバ、携帯電話、個人情報機器(PDA)、マルチメディアプレイヤー、組み込みシステム、ウェアラブルデバイス(例えば、スマートウォッチ、スマートグラスなど)、スマートビークル、IoTデバイス(例えば、スマート家電など)、ゲーム機、これらのうちの1つ以上の変形若しくは組み合わせ、又は任意の他の好適なコンピューティングデバイスが挙げられる。
【0032】
ネットワーク204は、通信又はデータ転送を容易にすることができる任意の媒体又はアーキテクチャを概して表す。一例では、ネットワーク204は、コンピューティングデバイス202とサーバ206~208との間の通信を容易にし得る。この例では、ネットワーク204は、無線及び/又は有線接続を使用して、通信又はデータ転送を容易にし得る。ネットワーク204の例としては、限定するものではないが、イントラネット、ワイドエリアネットワーク(Wide Area Network、WAN)、ローカルエリアネットワーク(Local Area Network、LAN)、パーソナルエリアネットワーク(Personal Area Network、PAN)、インターネット、電力線通信(Power Line Communication、PLC)、セルラネットワーク(例えば、汎欧州デジタル移動電話方式(Global System for Mobile Communication、GSM)ネットワーク)、1つ以上の上記の部分、上記のうちの1つ以上の変形若しくは組み合わせ、又は任意の他の好適なネットワークを含む。
【0033】
サーバ206~208は、一般に、コンピュータ実行可能命令を読み取ることができる任意のタイプ又は形式のコンピューティングデバイスを表す。例えば、サーバ206~208は、情報記憶管理ソフトウェアを実行するデバイスを表し得る。サーバ206~208の更なる例としては、限定するものではないが、記憶サーバ、データベースサーバ、アプリケーションサーバ、並びに/又は特定のソフトウェアアプリケーションを動作させ、かつ/又は様々な記憶、データベース、及び/若しくはウェブサービスを提供するように構成されたウェブサーバが挙げられる。図2において単一体として例解されるが、サーバ206~208は、互いに連動して働き、かつ/又は動作する複数のサーバを含み、かつ/又は表してもよい。一例では、サーバ206~208は、クラウドベースの情報保持システムの構成要素であってもよい。
【0034】
いくつかの例では、サーバ206~208は、第1の記憶デバイス220及び/又は「N番目」の記憶デバイス222などの1つ以上の記憶デバイスを含み、かつ/又はそれに連結されてもよい。第1の記憶デバイス220及び/又は「N番目」の記憶デバイス222は、一般に、情報及び/又はコンピュータ可読命令を記憶することができる、任意のタイプ又は形式の揮発性又は不揮発性の記憶デバイス又は媒体を表し得る。第1の記憶デバイス220及び/又は「N番目」の記憶デバイス222の例としては、限定するものではないが、RAM、ROM、フラッシュメモリ、HDD、SSD、光ディスクドライブ、キャッシュ、記憶メモリ、任意の他の好適な記憶デバイス、及び/又はこれらのうちの1つ以上の変形若しくは組み合わせが挙げられ得る。
【0035】
多くの他のデバイス又はサブシステムは、図1のシステム100及び/又は図2のシステム200に接続され得る。逆に、図1及び図2に示す構成要素及びデバイスの全てが、本明細書において説明及び/又は例示される実施形態を実践するために存在する必要があるわけではない。上記で述べたデバイス及びサブシステムはまた、図2に示すものとは異なる様式で相互接続されてもよい。システム100及び200はまた、任意の数のソフトウェア、ファームウェア、及び/又はハードウェア構成を採用してもよい。例えば、本明細書において開示される例示的な実施形態のうちの1つ以上は、コンピュータ可読媒体上に、コンピュータプログラム(コンピュータソフトウェア、ソフトウェアアプリケーション、コンピュータ可読命令、及び/又はコンピュータ制御論理とも称される)としてコード化され得る。
【0036】
「コンピュータ可読媒体」という用語は、本明細書において使用される際、概して、コンピュータ可読命令を記憶又は担持することが可能な任意の形態のデバイス、キャリア、又は媒体を指す。コンピュータ可読媒体の例としては、限定することなく、搬送波などの伝送タイプ媒体、並びに磁気記憶媒体(例えば、ハードディスクドライブ、テープドライブ、及びフロッピーディスク)、光記憶媒体(例えば、コンパクトディスク(Compact Disk、CD)、デジタルビデオディスク(Digital Video Disk、DVD)、及びBLU-RAYディスク)、電子記憶媒体(例えば、ソリッドステートドライブ及びフラッシュ媒体)などの非一時的タイプ媒体、並びに他の分散システムが挙げられる。
【0037】
図3は、情報保持システム内に記憶された情報へのアクセスを制御するための例示的なコンピュータ実施方法300のフロー図である。図3に示されている工程は、図1のシステム100、図2のシステム200、及び/又はこれらのうちの1つ以上の変形若しくは組み合わせを含む、任意の好適なコンピュータ実行可能コード及び/又はコンピューティングシステムによって実施され得る。一例では、図3に示されている工程のそれぞれは、複数の副工程を含む及び/又はそれらによって表される構造を有するアルゴリズムを表すものであり得、これらの例を以下に詳細に示す。
【0038】
図3に示すように、工程302において、本明細書に記載されるシステムのうちの1つ以上は、複数のオブジェクト内のそれぞれのオブジェクトのオブジェクトタイプに関連付けられたメタデータを受信してもよい。例では、それぞれのオブジェクトのうちの少なくとも2つは、異なるドメイン内にあってもよい。いくつかの例では、メタデータは、それぞれのオブジェクトが階層の特定のフォルダ、ファイル、テーブル、又は他の部分、構造、及び/若しくは分割に属することを確立する際に補助し得る。本明細書に記載されるシステムは、様々な方法で工程302を実施し得る。例えば、受信モジュール104は、図2のコンピューティングデバイス202、サーバ206、及び/又はサーバ「N」208の一部として、複数のオブジェクト内のそれぞれのオブジェクト123のオブジェクトタイプ122に関連付けられたメタデータ121を受信してもよい。例では、それぞれのオブジェクト123のうちの少なくとも2つは、異なるドメイン内にあってもよい。
【0039】
一例では、複数のオブジェクト内のオブジェクトは、変数、関数、及び/又はデータ構造のうちの少なくとも1つを記述してもよい。一例では、複数のオブジェクト内のオブジェクトは、データベーステーブル、ファイル、フォルダ、データベース、又はこれらの組み合わせを含んでもよい。一実施形態では、複数のオブジェクト内の少なくとも2つのオブジェクトは、異なるアプリケーションからのものであってもよい。
【0040】
図3に示すように、工程304において、本明細書に記載されるシステムのうちの1つ以上は、メタデータから、複数のオブジェクト内の少なくとも2つのオブジェクトのそれぞれのオブジェクトタイプを決定し得る。本明細書に記載のシステムは、様々な方法で工程304を実施し得る。例えば、決定モジュール106は、図2のコンピューティングデバイス202、サーバ206、及び/又はサーバ「N」208の一部として、メタデータ121から、複数のオブジェクト内の少なくとも2つのオブジェクト123のそれぞれのオブジェクトタイプ122を決定してもよい。
【0041】
一例では、それぞれのオブジェクトタイプを決定することは、少なくとも2つのオブジェクトのメタデータをメタデータ及びオブジェクトタイプの相互参照と比較することを含んでもよい。一例では、それぞれのオブジェクトタイプを決定することは、メタデータからそれぞれのオブジェクトタイプを読み取ることを含んでもよい。
【0042】
いくつかの例では、この方法は、アプリケーション関連であり、かつアプリケーション内のそれぞれのオブジェクトに関係する代理(例えば、偽の)データアクセスオブジェクトを定義することを含んでもよい。それぞれのオブジェクトタイプは、定義プロセスの一部として決定されてもよい。
【0043】
図3に示すように、工程306において、本明細書に記載されるシステムのうちの1つ以上は、それぞれのオブジェクトタイプの相対的な特徴に基づいて、少なくとも2つのオブジェクトの階層を形成してもよい。本明細書に記載されるシステムは、様々な方法で工程306を実施し得る。例えば、形成モジュール108は、図2のコンピューティングデバイス202、サーバ206、及び/又はサーバ「N」208の一部として、それぞれのオブジェクトタイプ125の相対的な特徴に基づいて、少なくとも2つのオブジェクト123の階層124を形成してもよい。一例では、階層は、異なるドメインを横断してもよく、中間経路又は完全経路を可能にするメタデータとして記憶された疑似順のオブジェクトの組み合わせであってもよい。図4図5は、複数のドメインにわたって作製された階層及び関連するルールベースアクセス制御の例を示す。
【0044】
図3に戻ると、一例では、ファイルシステムの階層は、ファイルとフォルダとの組み合わせを含んでもよい。別の実施例では、仮想マシンの階層は、データセンタ、フォルダ、クラスタ、及び/又はラベルの組み合わせを含んでもよい。非限定的な実施形態では、複数のドメインを横断する階層は、(1)階層内の最高レベルとしてのクラウド記憶システム、(2)クラウド記憶システム及び第1のドメイン内のデータセンタ、(3)データセンタ及び第1のドメイン内の第1の仮想マシン、(4)第1の仮想マシン及び第1のドメイン内の第1のフォルダ、(5)第1のフォルダ及び第1のドメイン内のファイル、並びに(6)第1のフォルダ、第1のドメイン、及び第2のドメイン内の第2の仮想マシンを含んでもよい。第2のドメインは、(7)第2の仮想マシン内のオペレーティングシステム記憶域、(8)オペレーティングシステム記憶域内の第2のフォルダ、並びに(9)第2のフォルダ及び第3のドメインの両方の中のファイルを含んでもよい。
【0045】
図3に示されるように、工程308において、本明細書に記載されるシステムのうちの1つ以上は、階層を使用して、複数のドメイン及び/又は異なるアイデンティティプロバイダ(IDP)にわたるルールベースの情報アクセス制御を確立するなどのセキュリティアクションを実施し得る。いくつかの実施形態では、セキュリティアクションは、(A)複数のオブジェクト内の少なくとも2つのオブジェクトへの、少なくとも1人のユーザーによるアクセスを制御する、少なくとも1つのアクセスルールを受信すること、並びに/又は(B)情報保持システム内の少なくとも1つの記憶デバイス内に、少なくとも1つのアクセスルール、オブジェクトの階層、及び/若しくは複数のオブジェクト内の少なくとも2つのオブジェクトを記憶することを含み得る。本明細書に記載のシステムは、様々な方法で工程308を実施し得る。例えば、実施モジュール110は、図2のコンピューティングデバイス202、サーバ206、及び/又はサーバ「N」208の一部として、セキュリティアクション126を実施してもよい。いくつかの実施形態では、セキュリティアクション126は、(A)複数のオブジェクト内の少なくとも2つのオブジェクト123への、少なくとも1人のユーザー及び/若しくはプロセスによるアクセスを制御する、少なくとも1つのアクセスルール127を受信すること、並びに/又は(B)情報保持システム内の少なくとも1つの記憶デバイス(例えば、記憶デバイス120、第1の記憶デバイス220、及び/又は「N番目」の記憶デバイス222)内に、少なくとも1つのアクセスルール127、オブジェクト123の階層124、及び/若しくは複数のオブジェクト内の少なくとも2つのオブジェクト123を記憶することを含んでもよい。いくつかの例では、アクセスルールによって許可が異なってもよい。
【0046】
いくつかの例において簡略化された方法では、アクセスルールは、ユーザー「X」が階層の「Y」部分にアクセスすることができることを定めてもよい。例えば、第1のルールは、ユーザー1が、階層内のオブジェクト1によって表される特定のファイル1を読み取る及び/又は復元することができることを定めてもよい。更なる例として、第2のルールは、管理者が、ファイル1が構成ファイルであるフォルダを復元することはできるが、管理者はファイル1を読み取ることはできないことを定めてもよい。
【0047】
一実施形態では、少なくとも1つのアクセスルールは、階層の少なくとも1つのそれぞれの部分への、少なくとも1人のユーザーによるアクセスを可能にしてもよい。いくつかの実施形態では、階層の少なくとも1つのそれぞれの部分への、少なくとも1人のユーザーによるアクセスを可能にすることは、階層の少なくとも1つのそれぞれの部分よりも低い階層の全てのレベルへのアクセスを可能にすることを含んでもよい。いくつかの実施形態では、階層の少なくとも1つのそれぞれの部分への、少なくとも1人のユーザーによるアクセスを可能にすることは、階層の少なくとも1つのそれぞれの部分内の少なくとも1つのオブジェクトの読み取り、書き込み、削除、及び/又は復元を許可することを含んでもよい。
【0048】
一例では、少なくとも1つのアクセスルールは、階層の少なくとも1つのそれぞれの部分への、少なくとも1人のユーザーによるアクセスを拒否してもよい。一実施形態では、階層の少なくとも1つのそれぞれの部分への、少なくとも1人のユーザーによるアクセスを拒否することが、階層の少なくとも1つのそれぞれの部分の少なくとも一部への、少なくとも1人のユーザーによるアクセスを可能にすることに優先してもよい。いくつかの実施形態では、階層の少なくとも1つのそれぞれの部分への、少なくとも1人のユーザーによるアクセスを拒否することは、階層の少なくとも1つのそれぞれの部分内の少なくとも1つのオブジェクトの読み取り、書き込み、削除、及び/又は復元を拒否することを含んでもよい。
【0049】
いくつかの例では、少なくとも1つのアクセスルールは、複数のオブジェクト内の少なくとも1つのオブジェクトへの、少なくとも1人のユーザーによるアクセスを可能にしてもよい。いくつかの実施形態では、少なくとも1つのアクセスルールは、複数のオブジェクト内の少なくとも1つのオブジェクトへの、少なくとも1人のユーザーによるアクセスを拒否してもよい。
【0050】
いくつかの実施形態では、少なくとも1人のユーザーによるアクセスを制御するアクセスルールは、デフォルトのアクセスレベルを提供してもよい。例えば、ユーザーによるデフォルトのアクセスレベルは、オブジェクトの特定のグループ及び/又は階層のレベルへのアクセスを可能にすることを含んでもよい。いくつかの実施例では、ユーザーによるデフォルトのアクセスレベルは、オブジェクトの特定のグループ及び/又は階層のレベルへのアクセスを拒否することを含んでもよい。
【0051】
一例では、セキュリティアクションを実施することは、複数のオブジェクト内の少なくとも1つのそれぞれのオブジェクトへの、少なくとも1人のユーザーによるアクセスを制御する、追加のアクセスルールを受信することを含んでもよい。いくつかの実施形態では、セキュリティアクションを実施することは、受信したアクセスルールの少なくとも一部分を、少なくとも1つの統合アクセスルールに組み込むことを含んでもよい。
【0052】
図4は、例示的な情報保持システム400のブロック図である。情報保持システム400は、図示されたオブジェクトなど、情報を記憶するコンピューティングデバイス及び/又は記憶デバイスを含む情報保持システムを提供するデータセンタ402を含んでもよい。「Admin DC」404、「Admins RnD」406、エンジニア408、及び/又は「CPA」410などのユーザーは、それぞれのアクセスルールによって提供されるように、情報保持システム400内の特定のオブジェクトにアクセスすることができる。情報保持システム400は、複数のドメインを含み、第1のドメインは「Finance Machine Folder」であり、第2のドメインは「RnD Machine Folders」である。
【0053】
例えば、「Admin DC」404などのデータセンタ管理者は、第1のボックス412によって表されるオブジェクトの特定のグループを復元するために、第1のルールによってアクセスを許可されてもよい。第1のルールは、「Admin DC」404がR&D Adv IPオブジェクト内の企業秘密情報にアクセスすることを可能にすることなく、「Admin DC」404がデータセンタの管理タスクを実施するための、「Admin DC」404による十分なアクセスを可能にする。
【0054】
更なる例として、研究開発部門の管理者「Admins RnD」406は、第2のボックス414によって表されるオブジェクトの特定のグループを復元するために、第2のルールによってアクセスを許可されてもよい。第2のルールは、「Admins RnD」406がR&D Adv IPオブジェクト内の企業秘密情報にアクセスすることを可能にすることなく、「Admins RnD」406が研究開発部門の管理タスクを実施するための、「Admins RnD」406による十分なアクセスを可能にする。
【0055】
加えて、エンジニア408は、第3のボックス416によって表されるオブジェクトの特定のグループにアクセスするため、第3のルールによってアクセスを許可されてもよい。第3のルールは、エンジニア408がFIN_VM1オブジェクト内の金融部門情報にアクセスすることを可能にすることなく、エンジニア408が研究開発タスクを実施するための、エンジニア408による十分なアクセスを可能にする。
【0056】
更なる例として、会計係「CPA」410は、第4のボックス418によって表されるオブジェクトの特定のグループにアクセスするため、第4のルールによってアクセスを許可されてもよい。第4のルールは、「CPA」410がR&D Adv IPオブジェクト内の企業秘密情報にアクセスすることを可能にすることなく、「CPA」410が会計タスクを実施するための、「CPA」410による十分なアクセスを可能にする。
【0057】
別の実施形態では、データセンタ管理者「Admin DC」404は、第3のボックス416によって表されるオブジェクトのグループへのアクセスを、第5のルールによって拒否されてもよい。第5のルールは、「Admin DC」404がR&D Adv IPオブジェクト内の企業秘密情報にアクセスすることを明示的に拒否する一方、「Admin DC」404がデータセンタの管理タスクを実施するための、「Admin DC」404による十分なアクセスを可能にする。
【0058】
別の実施形態では、データセンタ管理者「Admin DC」404は、第2のボックス414によって表されるオブジェクトのグループへのアクセスを、第6のルールによって拒否されてもよい。第6のルールが、第1のルールによって「Admin DC」404に許可されたアクセスに優先してもよい。したがって、ルール1によってオブジェクト「RnD Machine Folders」へのアクセスが許可されているにもかかわらず、データセンタ管理者「Admin DC」404は、優先するルール6によってアクセスを拒否されているため、オブジェクト「RnD Machine Folders」を復元することができない。
【0059】
図5は、例示的な情報保持システム400内のオブジェクトの例示的階層500の図である。階層500は、複数のドメインにわたるオブジェクトの階層の例である。
【0060】
上で詳述したように、図3の方法300及び図4図5の実施例に概説される工程は、情報保持システム内に記憶された情報へのアクセスを制御するためのシステム及び方法を提供し得る。そうすることによって、本明細書に記載されるシステム及び方法は、アプリケーション固有のユーザーアクセス要件、アクセスルール、異なるアプリケーションによって使用される異なるスタイルのオブジェクト、及び/又は非同期のアプリケーション許可によって制限されることなく、バックアップ情報を管理することによって、コンピューティングデバイスの機能を改善することができる。いくつかの実施形態では、本明細書に記載されるシステム及び方法は、アプリケーション全体のものよりも小さいバックアップ情報の量を復元することを可能にする方法でアーカイブ情報を管理し、それにより復旧時間を改善することによって、コンピューティングデバイスの機能を改善し得る。
【0061】
上述の開示は、具体的なブロック図、フローチャート、及び実施例を使用して、種々の実施形態を記載するが、本明細書において説明及び/又は例解される各ブロック図の構成要素、フローチャートの工程、動作、及び/又は構成要素は、広範なハードウェア、ソフトウェア、又はファームウェア(又はこれらの任意の組み合わせ)構成を使用して、個々に、かつ/又は集合的に実装され得る。加えて、他の構成要素内に含まれる構成要素のいずれの開示も、多くの他のアーキテクチャを実装して、同じ機能性を達成することができるため、事実上、例としてみなされるべきである。
【0062】
いくつかの例では、図1の例示的なシステム100の全て又は一部分は、クラウドコンピューティング又はネットワークベース環境の部分を表してもよい。クラウドコンピューティング環境は、インターネットを介して、種々のサービス及びアプリケーションを提供し得る。これらのクラウドベースのサービス(例えば、サービスとしてのソフトウェア、サービスとしてプラットフォーム、サービスとしてのインフラストラクチャなど)は、ウェブブラウザ又は他のリモートインターフェースを通じて、アクセス可能であり得る。本明細書において説明される種々の機能は、リモートデスクトップ環境又は任意の他のクラウドベースのコンピューティング環境を通じて提供され得る。
【0063】
種々の実施形態において、図1の例示的なシステム100の全て又は一部分は、クラウドベースのコンピューティング環境内のマルチテナンシーを容易にし得る。換言すると、本明細書において説明されるモジュールは、本明細書において説明される機能のうちの1つ以上に対するマルチテナンシーを容易にするように、コンピューティングシステム(例えば、サーバ)を構成し得る。例えば、本明細書において説明されるモジュールのうちの1つ以上は、2つ以上のクライアント(例えば、顧客)が、サーバ上で実行されているアプリケーションを共有することを可能にするように、サーバをプログラムし得る。このようにプログラムされたサーバは、複数の顧客(すなわち、テナント)間でアプリケーション、オペレーティングシステム、処理システム、及び/又は記憶システムを共有し得る。本明細書において説明されるモジュールのうちの1つ以上はまた、ある顧客が別の顧客のデータ及び/又は構成情報にアクセスすることができないように、各顧客に対して、マルチテナントアプリケーションのデータ及び/又は構成情報を分割し得る。
【0064】
種々の実施形態によれば、図1の例示的なシステム100の全て又は一部分は、仮想環境内で実装され得る。例えば、本明細書において説明されるモジュール及び/又はデータは、仮想マシン内に存在し得る、かつ/又はそこで実行し得る。本明細書において使用される際、「仮想マシン」という用語は、概して、仮想マシンマネージャ(例えば、ハイパーバイザ)によって、コンピューティングハードウェアから抽象化される任意のオペレーティングシステム環境を指す。
【0065】
いくつかの例では、図1の例示的なシステム100の全て又は一部分は、モバイルコンピューティング環境の部分を表し得る。モバイルコンピューティング環境は、モバイル電話、タブレットコンピュータ、電子書籍リーダ、パーソナルデジタルアシスタント、ウェアラブルコンピューティングデバイス(例えば、頭部装着型ディスプレイ、スマートウォッチなどを有するコンピューティングデバイス)、これらのうちの1つ以上の変形若しくは組み合わせ、又は任意の他の好適なモバイルコンピューティングデバイスを含む、広範なモバイルコンピューティングデバイスによって実装され得る。いくつかの例において、モバイルコンピューティング環境は、例えば、バッテリ電力への依存、任意の所与の時間に1つのフォアグラウンドアプリケーションのみを提示すること、遠隔管理特性、タッチスクリーン特性、場所及び移動データ(例えば、グローバルポジショニングシステム、ジャイロスコープ、加速度計などによって提供される)、システムレベルの構成への修正を制限する、かつ/又は第3者のソフトウェアが他のアプリケーションの挙動を検査する能力を制限する、制限されたプラットフォーム、アプリケーションのインストールを制限する(例えば、承認されたアプリケーションストアのみから得る)管理などを含む、1つ以上の異なる特性を含み得る。本明細書において説明される種々の機能は、モバイルコンピューティング環境に対して提供され得る、かつ/又はモバイルコンピューティング環境と相互作用し得る。
【0066】
本明細書において説明及び/又は例解される工程のプロセスパラメータ及び順序は、例として示されるに過ぎず、所望に応じて変化させることができる。例えば、本明細書において例解及び/又は説明される工程は、特定の順序で図示又は考察されるが、これらの工程は、必ずしも例解又は考察される順序で実施される必要はない。本明細書において説明及び/又は例解される種々の例示的な方法もまた、本明細書において説明若しくは例解される工程のうちの1つ以上を省略し得るか、又は開示されるものに加えて追加の工程を含み得る。
【0067】
種々の実施形態が、完全に機能的なコンピューティングシステムの文脈で、本明細書において説明及び/又は例解されているが、これらの例示的な実施形態のうちの1つ以上は、分散を実際に行うために使用される特定のタイプのコンピュータ可読媒体にかかわらず、様々な形態のプログラム製品として分散され得る。本明細書において開示される実施形態はまた、あるタスクを実施するモジュールを使用して、実装され得る。これらのモジュールは、コンピュータ可読記憶憶媒体上に、又はコンピューティングシステム内に記憶され得る、スクリプト、バッチ、又は他の実行可能なファイルを含み得る。いくつかの実施形態では、これらのモジュールは、本明細書において開示される例示的な実施形態のうちの1つ以上を実施するように、コンピューティングシステムを構成し得る。
【0068】
先述の説明は、当業者が、本明細書において開示される例示的な実施形態の種々の態様を最良に利用することを可能にするために提供されている。この例示的な説明は、網羅的であることを意図するものでも、開示されたいずれかの正確な形態に限定されることを意図するものでもない。多くの修正及び改変が、本開示の趣旨及び範囲から逸脱することなく、可能である。本明細書において開示される実施形態は、全ての点において、例解的であり、制限的ではないとみなされるべきである。本開示の範囲を判定する上では、添付の請求項及びそれらの同等物を参照するべきである。
【0069】
別途記載されない限り、「~に接続される(connected to)」及び「~に連結される(coupled to)」という用語(及びそれらの派生語)は、本明細書及び請求項において使用される際、直接的及び間接的(すなわち、他の要素又は構成要素を介した)接続の両方を許容するとして解釈されるものとする。加えて、「a」又は「an」という用語は、本明細書及び請求項において使用される際、「~のうちの少なくとも1つ(at least one of)」を意味するとして解釈されるものとする。最後に、使用を容易にするために、「含む(including)」及び「有する(having)」という用語(及びそれらの派生語)は、本明細書及び請求項において使用される際、「備える(comprising)」という語と同義的であり、かつ同じ意味を有する。
図1
図2
図3
図4
図5
【手続補正書】
【提出日】2021-05-10
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
情報保持システム内に記憶された情報へのアクセスを制御するためのコンピュータ実施方法であって、前記方法の少なくとも一部分は、少なくとも1つのプロセッサを含むコンピューティングデバイスによって実施され、前記方法は、
前記コンピューティングデバイスにおいて、複数のオブジェクト内のそれぞれのオブジェクトのオブジェクトタイプに関連付けられたメタデータを受信することであって、前記それぞれのオブジェクトのうちの少なくとも2つは、異なるドメイン内にある、ことと、
前記メタデータから、前記複数のオブジェクト内の少なくとも2つのオブジェクトの前記それぞれのオブジェクトタイプを決定することと、
前記それぞれのオブジェクトタイプの相対的な特徴に基づいて、前記少なくとも2つのオブジェクトの階層を形成することと、
セキュリティアクションを実施することであって、前記セキュリティアクションは、
前記複数のオブジェクト内の前記少なくとも2つのオブジェクトへの、少なくとも1人のユーザーによるアクセスを制御する、少なくとも1つのアクセスルールを受信することと、
前記情報保持システム内の少なくとも1つの記憶装置内に、前記少なくとも1つのアクセスルール、前記オブジェクトの前記階層、及び前記複数のオブジェクト内の前記少なくとも2つのオブジェクトを記憶することと、を含む、ことと、を含む、コンピュータ実施方法。
【請求項2】
前記複数のオブジェクト内のオブジェクトが、変数、関数、及びデータ構造のうちの少なくとも1つを記述する、請求項1に記載のコンピュータ実施方法。
【請求項3】
前記複数のオブジェクト内のオブジェクトが、データベーステーブル、ファイル、フォルダ、データベース、又はそれらの組み合わせを含む、請求項1又は2に記載のコンピュータ実施方法。
【請求項4】
前記複数のオブジェクト内の前記少なくとも2つのオブジェクトが、異なるアプリケーションに関連付けられている、請求項1、2、又は3に記載のコンピュータ実施方法。
【請求項5】
前記それぞれのオブジェクトタイプを決定することが、前記少なくとも2つのオブジェクトの前記メタデータを、メタデータ及びオブジェクトタイプの相互参照と比較することを更に含む、請求項1~4のいずれか一項に記載のコンピュータ実施方法。
【請求項6】
前記それぞれのオブジェクトタイプを決定することが、前記メタデータから前記それぞれのオブジェクトタイプを読み取ることを更に含む、請求項1~5のいずれか一項に記載のコンピュータ実施方法。
【請求項7】
前記少なくとも1つのアクセスルールが、前記階層の少なくとも1つのそれぞれの部分への、前記少なくとも1人のユーザーによるアクセスを可能にする、請求項1~6のいずれか一項に記載のコンピュータ実施方法。
【請求項8】
前記階層の前記少なくとも1つのそれぞれの部分への、前記少なくとも1人のユーザーによるアクセスを可能にすることが、前記階層の前記少なくとも1つのそれぞれの部分よりも低い前記階層の全てのレベルへのアクセスを可能にすることを含む、請求項7に記載のコンピュータ実施方法。
【請求項9】
前記少なくとも1つのアクセスルールが、前記階層の少なくとも1つのそれぞれの部分への、前記少なくとも1人のユーザーによるアクセスを拒否する、請求項1~8のいずれか一項に記載のコンピュータ実施方法。
【請求項10】
前記階層の前記少なくとも1つのそれぞれの部分への、前記少なくとも1人のユーザーによるアクセスを拒否することが、前記階層の前記少なくとも1つのそれぞれの部分内の少なくとも1つのオブジェクトの読み取り、書き込み、削除、及び復元を拒否することを含む、請求項9に記載のコンピュータ実施方法。
【請求項11】
前記少なくとも1つのアクセスルールが、前記複数のオブジェクト内の少なくとも1つのオブジェクトへの、前記少なくとも1人のユーザーによるアクセスを可能にする、請求項1~10のいずれか一項に記載のコンピュータ実施方法。
【請求項12】
前記少なくとも1つのアクセスルールが、前記複数のオブジェクト内の少なくとも1つのオブジェクトへの、前記少なくとも1人のユーザーによるアクセスを拒否する、請求項1~11のいずれか一項に記載のコンピュータ実施方法。
【請求項13】
前記セキュリティアクションを実施することが、
前記複数のオブジェクト内の少なくとも1つのそれぞれのオブジェクトへの、前記少なくとも1人のユーザーによるアクセスを制御する追加のアクセスルールを受信することと、
前記受信したアクセスルールの少なくとも一部分を、少なくとも1つの統合アクセスルールに組み込むことと、を更に含む、請求項1~12のいずれか一項に記載のコンピュータ実施方法。
【請求項14】
情報保持システム内に記憶された情報へのアクセスを制御するためのシステムであって、前記システムは、
複数のオブジェクト内のそれぞれのオブジェクトのオブジェクトタイプに関連付けられたメタデータを受信するための手段であって、前記それぞれのオブジェクトのうちの少なくとも2つは、異なるドメイン内にある、手段と、
前記メタデータから、前記複数のオブジェクト内の少なくとも2つのオブジェクトの前記それぞれのオブジェクトタイプを決定するための手段と、
前記それぞれのオブジェクトタイプの相対的な特徴に基づいて、前記少なくとも2つのオブジェクトの階層を形成するための手段と、
セキュリティアクションを実施するための手段であって、前記セキュリティアクションは、
前記複数のオブジェクト内の前記少なくとも2つのオブジェクトへの、少なくとも1人のユーザーによるアクセスを制御する、少なくとも1つのアクセスルールを受信することと、
前記情報保持システム内の少なくとも1つの記憶装置内に、前記少なくとも1つのアクセスルール、前記オブジェクトの前記階層、及び前記複数のオブジェクト内の前記少なくとも2つのオブジェクトを記憶することと、を含む、手段と、を備える、システム。
【請求項15】
1つ以上のコンピュータ実行可能命令を含む非一過性コンピュータ可読媒体であって、前記命令は、コンピューティングデバイスの少なくとも1つのプロセッサによって実行されるとき、前記コンピューティングデバイスに、
前記コンピューティングデバイスにおいて、複数のオブジェクト内のそれぞれのオブジェクトのオブジェクトタイプに関連付けられたメタデータを受信することであって、前記それぞれのオブジェクトのうちの少なくとも2つは、異なるドメイン内にある、ことと、
前記メタデータから、前記複数のオブジェクト内の少なくとも2つのオブジェクトの前記それぞれのオブジェクトタイプを決定することと、
前記それぞれのオブジェクトタイプの相対的な特徴に基づいて、前記少なくとも2つのオブジェクトの階層を形成することと、
セキュリティアクションを実施することであって、前記セキュリティアクションは、
前記複数のオブジェクト内の前記少なくとも2つのオブジェクトへの、少なくとも1人のユーザーによるアクセスを制御する、少なくとも1つのアクセスルールを受信することと、
情報保持システム内の少なくとも1つの記憶装置内に、前記少なくとも1つのアクセスルール、前記オブジェクトの前記階層、及び前記複数のオブジェクト内の前記少なくとも2つのオブジェクトを記憶することと、を含む、ことと、を行わせる、非一過性コンピュータ可読媒体。
【国際調査報告】
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.