(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2022-01-26
(54)【発明の名称】ネットワークアイデンティティグラフのクラスタベースの分析を使用した、アイデンティティ管理人工知能システムにおけるピアグループ検出、可視化、および分析のためのシステムならびに方法
(51)【国際特許分類】
G06Q 10/00 20120101AFI20220119BHJP
【FI】
G06Q10/00
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2021530292
(86)(22)【出願日】2019-11-22
(85)【翻訳文提出日】2021-07-13
(86)【国際出願番号】 US2019062743
(87)【国際公開番号】W WO2020112522
(87)【国際公開日】2020-06-04
(32)【優先日】2018-11-27
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
(71)【出願人】
【識別番号】521228684
【氏名又は名称】セールポイント テクノロジーズ, インコーポレイテッド
(74)【代理人】
【識別番号】100078282
【氏名又は名称】山本 秀策
(74)【代理人】
【識別番号】100113413
【氏名又は名称】森下 夏樹
(74)【代理人】
【識別番号】100181674
【氏名又は名称】飯田 貴敏
(74)【代理人】
【識別番号】100181641
【氏名又は名称】石川 大輔
(74)【代理人】
【識別番号】230113332
【氏名又は名称】山本 健策
(72)【発明者】
【氏名】バダウィ, モハメド エム.
(72)【発明者】
【氏名】ホー, ジョスティン フェイ
【テーマコード(参考)】
5L049
【Fターム(参考)】
5L049AA20
(57)【要約】
アイデンティティ管理システムのためのグラフベースの人工知能システムのためのシステムおよび方法が、開示される。本明細書に開示されるアイデンティティ管理システムの実施形態は、分散型のネットワーク化された企業コンピューティング環境のアイデンティティのピアグループ化に対してネットワークグラフアプローチを利用し得る。具体的には、ある実施形態では、アイデンティティおよび企業コンピュータ環境内で利用されるような各アイデンティティに割り当てられる個別の権利に関するデータが、アイデンティティ管理システムによって取得され得る。ネットワークアイデンティティグラフが、アイデンティティおよび権利データを使用して構築され得る。アイデンティティグラフは、次いで、アイデンティティのピアグループにクラスタ化されることができる。
【特許請求の範囲】
【請求項1】
アイデンティティ管理システムであって、前記システムは、
グラフデータストアと、
プロセッサと、
非一過性コンピュータ可読記憶媒体であって、前記非一過性コンピュータ可読記憶媒体は、
アイデンティティ管理データを分散型企業コンピューティング環境内の1つ以上のアイデンティティ管理システムから取得することであって、前記アイデンティティ管理データは、アイデンティティのセットと、前記分散型企業コンピューティング環境内のアイデンティティ管理において利用される前記アイデンティティのセットと関連付けられる権利のセットとに関するデータを備える、ことと、
前記アイデンティティ管理データを評価し、前記アイデンティティのセットと、前記アイデンティティのセットと関連付けられる権利のセットとを判定することと、
前記判定されたアイデンティティのセット毎に、第1のアイデンティティグラフのノードを作成することと、
前記権利のセットのうちの少なくとも1つの権利を共有する第1のアイデンティティおよび第2のアイデンティティ毎に、前記第1のアイデンティティを表す第1のノードと前記第2のアイデンティティを表す前記アイデンティティグラフの第2のノードとの間の前記第1のアイデンティティグラフのエッジを作成することと、
前記第1のアイデンティティグラフのエッジ毎に、前記第1のノードによって表される前記第1のアイデンティティと前記第2のノードによって表される前記第2のアイデンティティとの間で共有される前記権利のセットの数に基づいて、各第1のノードと第2のノードとの間の類似性加重を生成することと
によって、前記第1のアイデンティティグラフを前記アイデンティティ管理データから生成することと、
前記第1のアイデンティティグラフを前記グラフデータストア内に記憶することと、
前記第1のアイデンティティグラフの各エッジと関連付けられる類似性加重と、プルーニング閾値とに基づいて、前記第1のアイデンティティグラフのエッジのセットをプルーニングし、第2のアイデンティティグラフを生成することと、
前記第2のアイデンティティグラフを前記グラフデータストア内に記憶することと、
前記アイデンティティのセットを表す前記第2のアイデンティティグラフのノードと、前記第2のアイデンティティグラフのエッジと、前記第2のアイデンティティグラフのエッジのそれぞれの類似性加重とを含む、前記第2のアイデンティティグラフに基づいて、前記第2のアイデンティティグラフのノードによって表されるアイデンティティのセットをピアグループのセットにクラスタ化することと、
前記アイデンティティのセットのそれぞれを、対応するピアグループと関連付けることと、
前記第2のアイデンティティグラフと、前記アイデンティティのセットのそれぞれと前記対応するピアグループとの間の関連付けとに基づいて、インターフェースを生成することと
のためのコンピュータ命令を含む、非一過性コンピュータ可読記憶媒体と
を備える、システム。
【請求項2】
前記命令はさらに、
前記ピアグループのセットに基づいて、ピアグループ査定メトリックを判定し、前記ピアグループ査定メトリックを品質閾値と比較することと、
前記ピアグループ査定メトリックが、前記品質閾値を下回るとき、
a)前記プルーニング閾値を調節することと、
b)前記第1のアイデンティティグラフのエッジのセットをプルーニングし、前記第1のアイデンティティグラフの各エッジと関連付けられる類似性加重と、前記調節されたプルーニング閾値とに基づいて、前記第2のアイデンティティグラフを生成することと、
c)前記アイデンティティのセットを表す前記第2のアイデンティティグラフのノードと、前記第2のアイデンティティグラフのエッジと、前記第2のアイデンティティグラフのエッジのそれぞれの類似性加重とを含む、前記第2のアイデンティティグラフに基づいて、前記第2のアイデンティティグラフのノードによって表される前記アイデンティティのセットをピアグループのセットにクラスタ化することと、
d)前記ピアグループ査定メトリックを判定し、前記ピアグループ査定メトリックを前記品質閾値と比較することと、
e)前記ピアグループ査定メトリックが前記品質閾値を超えるまで、ステップa-dを繰り返すことと
のためのものである、請求項1に記載のシステム。
【請求項3】
前記命令はさらに、ステップa-dが実施される1回目に、前記プルーニング閾値を第1の量だけ調節することと、ステップa-dが実施される2回目に、前記プルーニング閾値を第2の量だけ調節することとのためのものである、請求項2に記載のシステム。
【請求項4】
前記プルーニング閾値は、上方または下方に調節される、請求項3に記載のシステム。
【請求項5】
前記第2のアイデンティティグラフをクラスタ化することは、Louvainコミュニティ検出を使用して実施される、請求項1に記載のシステム。
【請求項6】
前記ピアグループ査定メトリックは、前記アイデンティティのセットのクラスタ化から結果として生じるモジュラリティ値である、請求項1に記載のシステム。
【請求項7】
前記ピアグループ査定メトリックは、ユーザ規定基準である、請求項1に記載のシステム。
【請求項8】
方法であって、前記方法は、
アイデンティティ管理データを分散型企業コンピューティング環境内の1つ以上のアイデンティティ管理システムから取得することであって、前記アイデンティティ管理データは、アイデンティティのセットと、前記分散型企業コンピューティング環境内のアイデンティティ管理において利用される前記アイデンティティのセットと関連付けられる権利のセットとに関するデータを備える、ことと、
前記アイデンティティ管理データを評価し、前記アイデンティティのセットと、前記アイデンティティのセットと関連付けられる権利のセットとを判定することと、
前記判定されたアイデンティティのセット毎に、第1のアイデンティティグラフのノードを作成することと、
前記権利のセットのうちの少なくとも1つの権利を共有する第1のアイデンティティおよび第2のアイデンティティ毎に、前記第1のアイデンティティを表す第1のノードと前記第2のアイデンティティを表す前記アイデンティティグラフの第2のノードとの間の前記第1のアイデンティティグラフのエッジを作成することと、
前記第1のアイデンティティグラフのエッジ毎に、前記第1のノードによって表される前記第1のアイデンティティと前記第2のノードによって表される前記第2のアイデンティティとの間で共有される前記権利のセットの数に基づいて、各第1のノードと第2のノードとの間の類似性加重を生成することと
によって、前記第1のアイデンティティグラフを前記アイデンティティ管理データから生成することと、
前記第1のアイデンティティグラフをグラフデータストア内に記憶することと、
前記第1のアイデンティティグラフの各エッジと関連付けられる類似性加重と、プルーニング閾値とに基づいて、前記第1のアイデンティティグラフのエッジのセットをプルーニングし、第2のアイデンティティグラフを生成することと、
前記第2のアイデンティティグラフを前記グラフデータストア内に記憶することと、
前記アイデンティティのセットを表す前記第2のアイデンティティグラフのノードと、前記第2のアイデンティティグラフのエッジと、前記第2のアイデンティティグラフのエッジのそれぞれの類似性加重とを含む、前記第2のアイデンティティグラフに基づいて、前記第2のアイデンティティグラフのノードによって表されるアイデンティティのセットをピアグループのセットにクラスタ化することと、
前記アイデンティティのセットのそれぞれを対応するピアグループと関連付けることと、
前記第2のアイデンティティグラフと、前記アイデンティティのセットのそれぞれと前記対応するピアグループとの間の関連付けとに基づいて、インターフェースを生成することと
を含む、方法。
【請求項9】
前記ピアグループのセットに基づいて、ピアグループ査定メトリックを判定し、前記ピアグループ査定メトリックを品質閾値と比較することと、
前記ピアグループ査定メトリックが、前記品質閾値を下回るとき、
a)前記プルーニング閾値を調節することと、
b)前記第1のアイデンティティグラフのエッジのセットをプルーニングし、前記第1のアイデンティティグラフの各エッジと関連付けられる類似性加重と、前記調節されたプルーニング閾値とに基づいて、前記第2のアイデンティティグラフを生成することと、
c)前記アイデンティティのセットを表す前記第2のアイデンティティグラフのノードと、前記第2のアイデンティティグラフのエッジと、前記第2のアイデンティティグラフのエッジのそれぞれの類似性加重とを含む、前記第2のアイデンティティグラフに基づいて、前記第2のアイデンティティグラフのノードによって表されるアイデンティティのセットをピアグループのセットにクラスタ化することと、
d)前記ピアグループ査定メトリックを判定し、前記ピアグループ査定メトリックを前記品質閾値と比較することと、
e)前記ピアグループ査定メトリックが前記品質閾値を超えるまで、ステップa-dを繰り返すことと
をさらに含む、請求項8に記載の方法。
【請求項10】
ステップa-dが実施される1回目に、前記プルーニング閾値を第1の量だけ調節することと、ステップa-dが実施される2回目に、前記プルーニング閾値を第2の量だけ調節することとをさらに含む、請求項9に記載の方法。
【請求項11】
前記プルーニング閾値は、上方または下方に調節される、請求項10に記載の方法。
【請求項12】
前記第2のアイデンティティグラフをクラスタ化することは、Louvainコミュニティ検出を使用して実施される、請求項8に記載の方法。
【請求項13】
前記ピアグループ査定メトリックは、前記アイデンティティのセットのクラスタ化から結果として生じるモジュラリティ値である、請求項8に記載の方法。
【請求項14】
前記ピアグループ査定メトリックは、ユーザ規定基準である、請求項8に記載の方法。
【請求項15】
非一過性コンピュータ可読媒体であって、前記非一過性コンピュータ可読媒体は、
アイデンティティ管理データを分散型企業コンピューティング環境内の1つ以上のアイデンティティ管理システムから取得することであって、前記アイデンティティ管理データは、アイデンティティのセットと、前記分散型企業コンピューティング環境内のアイデンティティ管理において利用される前記アイデンティティのセットと関連付けられる権利のセットとに関するデータを備える、ことと、
前記アイデンティティ管理データを評価し、前記アイデンティティのセットと、前記アイデンティティのセットと関連付けられる権利のセットとを判定することと、
前記判定されたアイデンティティのセット毎に、第1のアイデンティティグラフのノードを作成することと、
前記権利のセットのうちの少なくとも1つの権利を共有する第1のアイデンティティおよび第2のアイデンティティ毎に、前記第1のアイデンティティを表す第1のノードと前記第2のアイデンティティを表す前記アイデンティティグラフの第2のノードとの間の前記第1のアイデンティティグラフのエッジを作成することと、
前記第1のアイデンティティグラフのエッジ毎に、前記第1のノードによって表される前記第1のアイデンティティと前記第2のノードによって表される前記第2のアイデンティティとの間で共有される前記権利のセットの数に基づいて、各第1のノードと第2のノードとの間の類似性加重を生成することと
によって、前記第1のアイデンティティグラフを前記アイデンティティ管理データから生成することと、
前記第1のアイデンティティグラフをグラフデータストア内に記憶することと、
前記第1のアイデンティティグラフの各エッジと関連付けられる類似性加重と、プルーニング閾値とに基づいて、前記第1のアイデンティティグラフのエッジのセットをプルーニングし、第2のアイデンティティグラフを生成することと、
前記第2のアイデンティティグラフを前記グラフデータストア内に記憶することと、
前記アイデンティティのセットを表す前記第2のアイデンティティグラフのノードと、前記第2のアイデンティティグラフのエッジと、前記第2のアイデンティティグラフのエッジのそれぞれの類似性加重とを含む、前記第2のアイデンティティグラフに基づいて、前記第2のアイデンティティグラフのノードによって表されるアイデンティティのセットをピアグループのセットにクラスタ化することと、
前記アイデンティティのセットのそれぞれを対応するピアグループと関連付けることと、
前記第2のアイデンティティグラフと、前記アイデンティティのセットのそれぞれと前記対応するピアグループとの間の関連付けとに基づいて、インターフェースを生成することと
のための命令を備える、非一過性コンピュータ可読媒体。
【請求項16】
前記命令はさらに、
前記ピアグループのセットに基づいて、ピアグループ査定メトリックを判定し、前記ピアグループ査定メトリックを品質閾値と比較することと、
前記ピアグループ査定メトリックが、前記品質閾値を下回るとき、
a)前記プルーニング閾値を調節することと、
b)前記第1のアイデンティティグラフのエッジのセットをプルーニングし、前記第1のアイデンティティグラフの各エッジと関連付けられる類似性加重と、前記調節されたプルーニング閾値とに基づいて、前記第2のアイデンティティグラフを生成することと、
c)前記アイデンティティのセットを表す前記第2のアイデンティティグラフのノードと、前記第2のアイデンティティグラフのエッジと、前記第2のアイデンティティグラフのエッジのそれぞれの類似性加重とを含む、前記第2のアイデンティティグラフに基づいて、前記第2のアイデンティティグラフのノードによって表されるアイデンティティのセットをピアグループのセットにクラスタ化することと、
d)前記ピアグループ査定メトリックを判定し、前記ピアグループ査定メトリックを前記品質閾値と比較することと、
e)前記ピアグループ査定メトリックが前記品質閾値を超えるまで、ステップa-dを繰り返すことと
のためのものである、請求項15に記載の非一過性コンピュータ可読媒体。
【請求項17】
前記命令はさらに、ステップa-dが実施される1回目に、前記プルーニング閾値を第1の量だけ調節することと、ステップa-dが実施される2回目に、前記プルーニング閾値を第2の量だけ調節することとのためのものである、請求項16に記載の非一過性コンピュータ可読媒体。
【請求項18】
前記プルーニング閾値は、上方または下方に調節される、請求項17に記載の非一過性コンピュータ可読媒体。
【請求項19】
前記第2のアイデンティティグラフをクラスタ化することは、Louvainコミュニティ検出を使用して実施される、請求項15に記載の非一過性コンピュータ可読媒体。
【請求項20】
前記ピアグループ査定メトリックは、アイデンティティのセットのクラスタ化から結果として生じるモジュラリティ値である、請求項15に記載の非一過性コンピュータ可読媒体。
【請求項21】
前記ピアグループ査定メトリックは、ユーザ規定基準である、請求項15に記載の非一過性コンピュータ可読媒体。
【発明の詳細な説明】
【技術分野】
【0001】
(著作権表示)
本特許文書の開示の一部は、著作権保護の対象となる資料を含む。著作権者は、特許商標庁の特許ファイルまたは記録に見られるような、特許文書または特許開示の任意の者によるファクシミリ複製に異議を唱えないが、それ以外の場合は全ての著作権を留保する。
【0002】
本開示は、概して、コンピュータセキュリティに関する。特に、本開示は、分散型かつネットワーク化されたコンピューティング環境におけるアイデンティティ管理に関する。さらにより具体的には、本開示は、企業コンピューティング環境におけるアイデンティティ統制および管理のためのグラフベースのアイデンティティピアグループ化および分析ならびにその使用に関する。
【背景技術】
【0003】
詐欺行為、データ改竄、プライバシ侵害、知的財産の窃盗、および企業秘密の暴露は、今日のビジネス業界における第1面記事となっている。内部関係者、すなわち、情報アセットへのアクセスが許可される人物によって呈されるセキュリティアクセスリスクは、その規模を増しており、商標の評判を損傷させ、利益を低下させ、時価総額を下げるほどの力を持つ。
【0004】
アイデンティティおよびアクセス管理(IAM)またはアイデンティティ統制(IG)としても知られる、アイデンティティ管理(IM)は、正しい個人が、正しい時間に、正しい理由から、正しいリソースにアクセスすることを可能かつ確実にする、ポリシおよび措置の有効化および施行に関わるコンピュータセキュリティの分野である。これは、ますます異種性を増す技術環境を横断して、リソースへの適切なアクセスを確実にし、ますます厳格になるコンプライアンス要件を満たす必要性に対処する。セキュリティおよびプライバシ懸念の急増は、統制、アクセスリスク管理、およびコンプライアンスを最先端のアイデンティティ管理へと突き動かしている。事実上、アイデンティティ管理のために企業に課される要件および所望を満たすために、これらの企業は、重要なアプリケーションおよびデータへのアクセスを有する人物の強力かつ一貫した制御を有することを証明することが要求され得る。また、規制要件および成長するセキュリティアクセスリスクに応答して、大部分の企業は、ある形態のユーザアクセスまたはアイデンティティ統制を実践している。
【0005】
しかし、多くの企業が、依然として、通常、複雑な分散型のネットワーク化されたコンピューティング環境であるものにおいて、実際のリスクに対処するためにコンプライアンス努力に焦点を当てる方法を模索している。特定のユーザに付与することが望ましいアクセス権利についての決定は、典型的には、ユーザが組織内で担っている、役割に基づく。大組織では、ユーザアクセス権利を付与し、維持することは、困難かつ複雑なプロセスであって、権利を数千人のユーザならびに数百の異なるアプリケーションおよびデータベースに付与するかどうかに関する決定を伴う。本複雑性は、高従業員異動率、再編成率、ならびに種々のアクセス可能システムおよびリソースの再構成によって悪化され得る。
【0006】
そのアイデンティティコンプライアンス努力を最大アクセスリスクのエリアに焦点を当てることが不可能である、組織は、部署を横断して全てのユーザおよび全てのアプリケーションに対してコンプライアンス監視および制御に適用する、時間、労働力、ならびに他のリソースを無駄にし得る。さらに、アイデンティティコンプライアンスのベースライン測定を確立するための手段がない状態では、組織は、改良を経時的に定量化し、そのアイデンティティ制御が、機能を発揮し、事実上、アクセスリスクを低減させていることを実証する方法がない。
【0007】
大組織の情報技術(IT)要員は、多くの場合、その最大セキュリティリスクが、外部攻撃とは対照的に、「内部関係者脅威」に由来すると感じている。内部関係者によって呈されるアクセスリスクは、不注意な怠慢から、より深刻な場合、財務上の詐欺、産業スパイ、またはシステムおよびデータの悪意のある妨害行為に及ぶ。ユーザアクセス先を見越して管理することができない組織は、規制上の罰金、訴訟上の不利益、公共関係の手数料、顧客信用の喪失、ならびに最終的には、収入減および株式評価の低下に直面し得る。内部関係者(および外部関係者)によって呈されるセキュリティリスクを最小限にするために、事業エンティティおよび同様の施設は、多くの場合、そのようなアクセスリスクを排除または少なくとも低減させ、ユーザアクセス権利の先を見越した監督および管理を実装し、定義されたポリシおよび他の優良実践へのコンプライアンスを確実にする、アクセスまたは他の統制ポリシを確立する。
【0008】
これらのリスクを軽減することを補助するために、したがって、企業環境内のアクセスまたは権利データを効果的に分析し、そのような統制ポリシの有効性または施行を判定または査定し、潜在的リスクを識別することが最も重要である。その結果、分散型のネットワーク化されたコンピューティング環境におけるアクセスデータを定量的または定質的に分析し、その環境内のアイデンティティ統制を改良するために、そのような分析の結果を利用するための改良された方法が、所望される。
【発明の概要】
【課題を解決するための手段】
【0009】
故に、これらの問題点を改善する、またはそれに対処するために、他の目的の中でもとりわけ、本明細書に開示されるアイデンティティ管理システムの実施形態は、分散型のネットワーク化された企業コンピューティング環境のアイデンティティのピアグループ化に対してネットワークグラフアプローチを利用し得る。具体的には、ある実施形態では、アイデンティティおよび企業コンピュータ環境内で利用されるような各アイデンティティに割り当てられる個別の権利に関するデータが、アイデンティティ管理システムによって取得され得る。アイデンティティおよび権利データを使用して、次いで、ネットワークアイデンティティグラフが、グラフのノードが、アイデンティティのそれぞれに対応し、それを表すように構築され得る。グラフの各エッジ(または関係)は、グラフの2つのノードを繋ぎ合わせ、個別のノードのアイデンティティ間の類似性の程度を表す、類似性加重と関連付けられ得る。アイデンティティグラフは、次いで、弱エッジ(例えば、その類似性加重がプルーニング閾値を下回り得る、それらのエッジ)を除去するようにプルーニングされ得る。プルーニングされたアイデンティティグラフは、次いで、アイデンティティのピアグループにクラスタ化されることができる(例えば、グラフベースのコミュニティ検出アルゴリズムを使用して)。これらのアイデンティティのピアグループは、次いで、記憶され(例えば、別個に、またはアイデンティティグラフ内に)、アイデンティティ管理システムによって使用されることができる。例えば、グラフの視覚的表現が、アイデンティティ管理のユーザに提示され、企業によって現在使用されているようなアイデンティティおよび権利のコンプライアンスまたは証明書査定もしくは評価を補助してもよい。
【0010】
ある実施形態では、アイデンティティのクラスタ化は、例えば、アイデンティティグラフまたは判定されたピアグループに基づいて判定される、グラフモジュラリティ等のピアグループ査定メトリックに基づいて、最適化されてもよい。例えば、一実施形態では、ピアグループ査定メトリックが、品質閾値を下回る(または上回る)場合、フィードバックループが、設けられてもよく、それによって、プルーニング閾値は、ある量だけ(上方または下方に)調節され、元々判定されたアイデンティティグラフは、調節されたプルーニング閾値に基づいて、プルーニングされる(または以前にプルーニングされたアイデンティティグラフが、さらにプルーニングされてもよい)。本新しくプルーニングされたアイデンティティグラフは、次いで、新しいアイデンティティのピアグループにクラスタ化され、ピアグループ査定メトリックが、新しくプルーニングされたアイデンティティグラフまたは新しく判定されたピアグループに基づいて判定されることができる。本新しいピア査定メトリックが、ここで、品質閾値を上回る(または下回る)場合、フィードバックループは、停止してもよく、アイデンティティのこれらのピアグループは、次いで、記憶され(例えば、別個に、またはアイデンティティグラフ内に)、アイデンティティ管理システムによって使用されることができる。
【0011】
そうでなければ、フィードバックループは、再び、プルーニング閾値をさらに(例えば、フィードバックループの前の反復に対してさらに上方またはさらに下方に)調節し、調節されたプルーニング閾値に基づいて、アイデンティティグラフを再プルーニングし、本新しくプルーニングされたグラフをクラスタ化し、別のピアグループ査定メトリックを判定し、本メトリックと品質閾値を比較することによって、継続し得る。このように、プルーニング閾値の調節、グラフの再プルーニング、アイデンティティグラフのピアグループへの再クラスタ化のフィードバックループは、ピアグループ査定メトリックが所望の閾値に到達するまで、繰り返されてもよい。さらに、ドメインまたは企業特有基準を含む、もしくは反映させるように、ピアグループ査定メトリックおよび品質閾値を調整することによって、クラスタ化結果(例えば、クラスタ化から結果として生じるピアグループ)は、特定の企業の特定の要件または必要性をより正確に反射させる、もしくは特定の使用により良好に調整され得る。
【0012】
実施形態は、アクセスリスクを測定するための以前に利用可能であったシステムおよび方法に優る多数の利点を提供する。実施形態は、アイデンティティ管理データのグラフ表現に基づくため、グラフ構造は、データの物理的モデルとしての役割を果たし、データへのより直感的アクセスを可能にし得る(例えば、グラフデータベースクエリを介して、またはグラフ可視化技法を介して)。本能力は、アイデンティティ管理システムのユーザのためのより深いかつより関連した洞察をもたらし得る。そのような能力はまた、開示されるような実施形態によって生産された結果の正確度の派生物でもある。
【0013】
さらに、開示されるような実施形態は、そのような実施形態によって実装される改良されたデータ構造ならびにグラフ処理および分析を通して、これらの実施形態を実装するシステムの算出負担およびメモリ要件を低減させる、技術的改良をもたらし得る。故に、実施形態は、算出時間および要求されるプロセッササイクル(例えば、したがって、処理速度を改良する)を低減させ、同時に、メモリ使用量または他のメモリ要件を低減させることによって、アイデンティティグラフおよびクラスタ化アプローチのそのような実施形態を利用する、アイデンティティ管理システムの性能および応答性を改良し得る。
【0014】
同様に、ピアグループ化に対するネットワークグラフアプローチは、本ユースケースにおいて固有の強固な同類性側面を露見させ、利用するであろう。アイデンティティ統制の同類性性質を捕捉することによって、アイデンティティグラフのピアグループの多数のアプリケーションに関して、とりわけ、例えば、外れ値アイデンティティの識別および軽減、役割マイニング、アクセス承認および証明書キャンペーンの自動化、ピアグループまたは母集団全体内の権利普及もしくは拡散の予測モデル化、ならびにコンプライアンス査定ユースケースを含む、機会が生じる。
【0015】
さらに別の利点として、実施形態は、時間に対して動的であって、データ収集のスナップショット間のデルタを使用して、開発更新プロセスを可能にし、動作コストを下げ、実施形態の性能およびロバスト性を改良し得る。
【0016】
さらに、ある実施形態によって使用されるグラフフォーマットは、ドメインおよび企業特有概念、現象、および問題点の、有形で、定量化可能で、かつ照合可能な仮説への変換を可能にし、これは、グラフベースのアルゴリズムを用いて検査または検証され得る。故に、実施形態は、特に、リスクおよびセキュリティポリシまたは同等物へのコンプライアンスを査定する際に有用であり得る。
【0017】
歴史的には、ユーザ権利と関連付けられる、そのようなセキュリティリスクは、定量化することが困難であった。大組織では、ユーザアクセスデータまたはユーザ権利に関するデータは、数百のシステムおよびアプリケーションを横断して散乱され得、コンパイルし、分析し、管理可能フォーマットで、情報に作用する人物に提示することが困難であり得る。その結果、大部分の組織は、単一アプリケーションまたはシステム上に一度に集中させる、非一元型様式において、リスクを管理するように試みる。
【0018】
そのような非一元型の1度に1つのアプローチは、いくつかの短所を有する。そのようなアプローチを用いることで、マネージャ、監査者、またはコンプライアンス事務員は、全てのリスクに瀕したリソースを横断してアクセスリスクの企業レベル可視性を得られ得ない。リスク管理は、組織内であっても、突発的に適用され得、したがって、内部ユーザによって呈されるアクセスリスクを最小限にする際、不十分または非効果的であると証明され得る。また、リスク管理が、分散されるとき、リスクを査定する際に利用されるベースライン(規格、測定値、ベンチマーク等)は、同一組織内でも、部署毎、システム毎、およびアプリケーション毎に変動し得る。さらに、以前に利用可能であったアプローチは、従来のリスク管理プロセスが、多くの場合、ユーザ権利およびアクセスリストの手動精査から成るため、時間がかかり、冗漫で、実践不可能で、かつ高価であり得る。
【0019】
本明細書に開示されるシステムおよび方法は、ITコンプライアンスおよび統制マネージャ、監査者、コンプライアンス事務員、ならびにその他に、アイデンティティ管理の有効性と、多数のアイデンティティ、権利、ユーザ、アプリケーション、システム等を横断して関連付けられるアクセスリスクとを査定するための、単純で直感的手段を提供することができる。種々のリソースを横断して種々のレベルにおけるユーザアクセスリスクの可視性を増加させることによって、企業は、リスクに瀕したエリアをピンポイントで見出し、そのセキュリティおよびアクセス制御努力を焦点が所望され得る場所にそのような焦点を当てることができる。
【0020】
種々の実施形態は、したがって、アクセスリスクへの新しい徹底的な洞察を可能にし得、これは、企業が、効率的に、効果的に、かつ大域的に、リソースへのユーザアクセスを追跡、分析、および制御することを可能にすることができる。アクセスリスクは、いくつかの実施形態では、迅速かつ容易に、査定されることができる。アクセスリスク問題点は、種々の実施形態では、識別される、優先順位化される、直ちに是正される、または軽減されることができる。アクセスリスク管理は、種々の実施形態によると、企業統制に関連する適切な規格もまた満たしながら、コスト効果的様式において、規制コンプライアンスを確実にすることに役立ち得る。いくつかの実施形態によると、組織は、そのアクセスリスク管理努力の焦点を方略的に当て、進行度を経時的に追跡し、向上されたセキュリティおよび低減されたアクセスリスクの定量化可能な証拠を提供することができる。
【0021】
本開示のこれらおよび他の側面は、以下の説明および付随の図面と併せて検討されるとき、より深く認識および理解されるであろう。しかしながら、以下の説明は、本開示の種々の実施形態およびその多数の具体的詳細を示すが、例証として与えられ、限定ではないことを理解されたい。多くの代用、修正、追加、および/または再配列が、その精神から逸脱することなく、本開示の範囲内で行われてもよく、本開示は、全てのそのような代用、修正、追加、および/または再配列を含む。
【図面の簡単な説明】
【0022】
付随され、本明細書の一部を形成する、図面は、本発明のある側面を描写するために含まれる。本発明ならびに本発明とともに提供されるシステムのコンポーネントおよび動作のより鮮明な印象は、例示的であって、したがって、非限定的である、同じ参照番号が同一コンポーネントを指定する、図面に図示される実施形態を参照することによって、より容易に明白となるであろう。図面に図示される特徴は、必ずしも、正確な縮尺で描かれていないことに留意されたい。
【0023】
【
図1】
図1は、アイデンティティ管理システムの一実施形態を含む、分散型のネットワーク化されたコンピュータ環境のブロック図である。
【0024】
【
図2】
図2は、アイデンティティグラフのクラスタベースの分析を使用した、ピアグループ検出および分析のための方法の一実施形態のフロー図である。
【0025】
【
図3A】
図3A、3B、3C、および3Dは、アイデンティティグラフの例示的視覚的表現を描写する。
【
図3B】
図3A、3B、3C、および3Dは、アイデンティティグラフの例示的視覚的表現を描写する。
【
図3C】
図3A、3B、3C、および3Dは、アイデンティティグラフの例示的視覚的表現を描写する。
【
図3D】
図3A、3B、3C、および3Dは、アイデンティティグラフの例示的視覚的表現を描写する。
【0026】
【
図4】
図4-7は、アイデンティティ管理システムの実施形態によって利用され得る、インターフェースを描写する。
【
図5】
図4-7は、アイデンティティ管理システムの実施形態によって利用され得る、インターフェースを描写する。
【
図6】
図4-7は、アイデンティティ管理システムの実施形態によって利用され得る、インターフェースを描写する。
【
図7】
図4-7は、アイデンティティ管理システムの実施形態によって利用され得る、インターフェースを描写する。
【発明を実施するための形態】
【0027】
本発明およびその種々の特徴ならびに有利な詳細は、付随の図面に図示され、以下の説明に詳述される、非限定的実施形態をより完全に参照して解説される。周知の開始材料、処理技法、コンポーネント、および機器の説明は、詳細において本発明を不必要に曖昧にしないように省略される。しかしながら、発明を実施するための形態および具体的実施例は、本発明のいくつかの実施形態を示すが、例証としてのみ与えられ、限定ではないことを理解されたい。下層にある本発明の概念の精神および/または範囲内の種々の代用、修正、追加、および/または再配列は、本開示から当業者に明白となるであろう。
【0028】
本明細書に開示される具体的実施形態に関してさらに詳細に掘り下げる前に、あるコンテキストが、有用であり得る。規制要件ならびにセキュリティアクセスリスクおよび懸念に応答して、大部分の企業は、ある形態のコンピュータセキュリティまたはアクセス制御を実装している。企業環境内でセキュリティ措置およびアクセス制御を実装することを補助するために、これらの企業の多くは、その分散型のネットワーク化されたコンピュータ環境と関連付けられる、アイデンティティ管理を実装している。アイデンティティ管理ソリューションは、企業と関連付けられる、機能またはエンティティの定義を可能にする。アイデンティティは、したがって、企業が定義することを所望するであろう、大体の物理的または仮想物、場所、人物、もしくは他のアイテムであり得る。アイデンティティは、したがって、例えば、役割または資格(例えば、マネージャ、エンジニア、チームリーダ等)、肩書(例えば、主任技術者)、グループ(開発、試験、会計等)、プロセス(例えば、夜間バックアッププロセス)、物理的場所(例えば、カフェテリア、会議室)、個々のユーザまたは人間(例えば、John Locke)、もしくはほぼあらゆる他の物理的または仮想物、場所、人物、もしくは他のアイテムであることができる。これらのアイデンティティはそれぞれ、したがって、分散型のネットワーク化されたコンピュータ環境に対するゼロ以上の権利を割り当てられ得る。権利は、例えば、コンピューティングシステム、アプリケーション、ファイルシステム、特定のデータまたはデータアイテム、ネットワーク、サブネットワークまたはネットワーク場所等にアクセスすることを含む、分散型のネットワーク化されたコンピュータ環境内の機能を実施する、またはそれにアクセスする能力であり得る。
【0029】
それに対して企業コンピューティング環境内のユーザが割り当てられる、アイデンティティまたは複数のアイデンティティを管理することによって、ユーザが割り当てられ得る、権利(例えば、ユーザが可能にされ得る、機能またはアクセス)が、制御され得る。しかしながら、セキュリティおよびプライバシ懸念の急増は、統制、アクセスリスク管理、およびコンプライアンスを最先端のアイデンティティ管理へと突き動かしている。事実上、アイデンティティ管理のために企業に課される要件および所望を満たすために、これらの企業は、重要なアプリケーションおよびデータへのアクセスを有する人物の強力かつ一貫した制御を有することを証明することが要求され得る。
【0030】
しかし、多くの企業が、依然として、通常、複雑な分散型のネットワーク化されたコンピューティング環境であるものにおいて、実際のリスクに対処するためにコンプライアンス努力に焦点を当てる方法を模索している。特定のユーザに付与することが望ましいアクセス権利についての決定は、典型的には、ユーザが組織内で担っている、役割に基づく。大組織では、ユーザアクセス権利を付与し、維持することは、困難かつ複雑なプロセスであって、権利を数千人のユーザならびに数百の異なるアプリケーションおよびデータベースに付与するかどうかに関する決定を伴う。本複雑性は、高従業員異動率、再編成率、ならびに種々のアクセス可能システムおよびリソースの再構成によって悪化され得る。
【0031】
しかしながら、概して、アイデンティティ空間における良好な統制実践は、著しく類似する属性を伴う、アイデンティティが、同じではないにしても、類似するアクセス権利を割り当てられるべきであるという、「ソーシャル」原理に依拠する。アイデンティティ統制および運営の領域では、本アプローチは、義務の分離を可能にし、したがって、権限が付与されたアクセスと関連付けられる、リスクを識別、評価、優先順位化するように実行可能にする。
【0032】
ロバストなアイデンティティ管理システムの一部として、したがって、企業のデータを分析し、潜在的リスクを識別することが非常に望ましい。原理上、厳密に施行されている既存の統制ポリシは、著しく類似するアクセス権限を伴う、アイデンティティが、著しく類似することを確実にするはずである。したがって、ピアグループ内のアイデンティティが、そのグループのアイデンティティに割り当てられる権利のセットに関して類似する(例えば、他のアイデンティティまたは他のグループに対して)ように、企業のアイデンティティをピアグループにグループまたはクラスタ化することが望ましいであろう。企業内のアイデンティティのピアグループ化(またはアイデンティティのピアグループの閲覧)は、例えば、コンプライアンス分析または評価を実施する監査者または他の人物が、定量的および定質的に、任意の適用可能な既存のポリシの有効性またはその欠如およびそれらが施行されている厳密度を査定することを可能にし得る。
【0033】
しかしながら、大部分のアイデンティティ管理システムによって利用されるデータは、厳密には、数値データではない。多くの場合、本データは、アイデンティティの識別(例えば、アイデンティティ管理システムによって維持されるようなアイデンティティのための英数字識別子)と、アそれらのアイデンティティと関連付けられる、権利の識別(例えば、アイデンティティ管理システムによって維持されるような権利のための英数字識別子)とを含む。本タイプのカテゴリデータのクラスタ化(例えば、アイデンティティのピアグループ化のため)は、典型的には、数値タイプのデータのクラスタ化より困難なタスクである。特に、カテゴリデータのクラスタ化は、特に、実際の生活において体験される、直感的幾何学的ベースの距離測定、例えば、ユークリッド距離が、定義上、数値データに排他的であるため、困難である。距離測定は、最低レベルでも、2つのデータ点の類似/異なる程度を判定するために利用されるため、任意のクラスタ化アルゴリズムの重大な成分である。
【0034】
例えば、カテゴリデータを数値データに変換し得る、ワンホットエンコーディングデータ変換は、これらのタイプの場合では、機能しない。多数の権利に起因して、数値の高次元のワンホットエンコーディングされたデータと従来的幾何学的距離(例えば、ユークリッド)を組み合わせるとき、データ点間の距離は、非常に大きくなり、不可能ではないにしても、クラスタ化アルゴリズムが、有意義な出力をもたらすことを困難にするであろう。これは、周囲空間の高次元に対する直接的数学的結果である。これは、データ科学文献において十分に立証されている問題であって、適用可能な命名法は、「次元の呪い」である。典型的次元低減技法、例えば、PCA、t-SNEが、実験されているが、これらのクラスタ化アルゴリズムが数値データを操作する方法に起因して、結果として生じる変換は、解釈不可能な方法において、オリジナルデータを操作し、故に、本コンテキストでは、有用ではあり得ない。
【0035】
故に、Kモード、または同値類変換(ECLAT)等のデータマイニングパターン発見アルゴリズムと関連付けられて使用される、Kモード等の従来の統計的クラスタ化は、したがって、不適正であることが証明されている。そのような典型的クラスタ化アプローチの不適正に関する理由の多くは、算出上およびメモリ上の両方で集約的であって、そのようなクラスタ化アプローチを利用する、アイデンティティ管理システムの性能および応答性を低減または妨害する、そのようなクラスタ化のコンピュータ実装の算出上集約的性質と関係がある。
【0036】
クラスタ化を改変し、あまり一般的ではないアイデンティティまたは権利を破棄または無視し、そのアプリケーション内の信号対雑音比を向上させることによって、これらの問題を是正するための試みは、成功には至っておらず、判定されるクラスタ内の適正な結果またはそのようなクラスタ化を採用するシステムの性能もしくはメモリ使用量の改良のいずれも達成していない。これらの欠点のための他の回避策もまた、本タイプのアイデンティティおよび権利データには機能不能であることが証明されている。
【0037】
さらに、カテゴリデータに基づいて、クラスタ化するように試みるとき、典型的クラスタ化アルゴリズムは、アイデンティティ統制のソーシャル側面を捕捉しない。ソーシャル科学に定義されるようなソーシャルネットワーク内の同類性は、類似する他者と交際し、結び付く、個人の傾向である。アイデンティティ統制では、アイデンティティ空間内の同類性は、通常、類似アイデンティティが類似アクセス権利を割り当てられるべきであるという統制原理を施行する結果としての結果である。したがって、アイデンティティ管理のためにピアグループ化するとき、本同類性を捕捉または別様に利用するように試みることが重要である。全てのこれらの欠点の結果として、アイデンティティ管理のコンテキストにおける、アイデンティティクラスタ化に対する以前のアプローチからの結果は、解釈することがより困難であって、より少ない洞察をもたらし、アイデンティティ管理システムの速度、効率、および全体的品質に悪影響を及ぼしていた。しかしながら、ピアグループへのアイデンティティのデータ駆動型クラスタ化アプローチは、監査およびコンプライアンス目的のために、アイデンティティのそのようなクラスタを精査および可視化する有用性を含む、種々の理由から、分散型かつネットワーク化されたコンピューティング環境におけるアイデンティティ管理の重大な成分のままである。
【0038】
故に、これらの問題点を改善するために、他の目的の中でもとりわけ、本明細書に開示されるアイデンティティ管理システムの実施形態は、分散型のネットワーク化された企業コンピューティング環境のアイデンティティのピアグループ化に対してネットワークグラフアプローチを利用し得る。具体的には、ある実施形態では、アイデンティティおよび企業コンピュータ環境内で利用されるような各アイデンティティに割り当てられる個別の権利に関するデータが、アイデンティティ管理システムによって取得され得る。アイデンティティおよび権利データを使用して、次いで、ネットワークアイデンティティグラフが、グラフのノードが、アイデンティティのそれぞれに対応し、それを表すように構築され得る。グラフの各エッジ(または関係)は、グラフの2つのノードを繋ぎ合わせ、個別のノードのアイデンティティ間の類似性の程度を表す、類似性加重と関連付けられ得る。アイデンティティグラフは、次いで、弱エッジ(例えば、その類似性加重がプルーニング閾値を下回り得る、それらのエッジ)を除去するようにプルーニングされ得る。プルーニングされたアイデンティティグラフは、次いで、アイデンティティのピアグループにクラスタ化されることができる(例えば、グラフベースのコミュニティ検出アルゴリズムを使用して)。これらのアイデンティティのピアグループは、次いで、記憶され(例えば、別個に、またはアイデンティティグラフ内に)、アイデンティティ管理システムによって使用されることができる。例えば、グラフの視覚的表現が、アイデンティティ管理のユーザに提示され、企業によって現在使用されているようなアイデンティティおよび権利のコンプライアンスまたは証明書査定もしくは評価を補助してもよい。
【0039】
ある実施形態では、アイデンティティのクラスタ化は、例えば、アイデンティティグラフまたは判定されたピアグループに基づいて判定される、グラフモジュラリティ等のピアグループ査定メトリックに基づいて、最適化されてもよい。例えば、一実施形態では、ピアグループ査定メトリックが、品質閾値を下回る(または上回る)場合、フィードバックループが、設けられてもよく、それによって、プルーニング閾値は、ある量だけ(上方または下方に)調節され、元々判定されたアイデンティティグラフは、調節されたプルーニング閾値に基づいて、プルーニングされる(または以前にプルーニングされたアイデンティティグラフが、さらにプルーニングされてもよい)。本新しくプルーニングされたアイデンティティグラフは、次いで、アイデンティティの新しいピアグループにクラスタ化され、ピアグループ査定メトリックが、新しくプルーニングされたアイデンティティグラフまたは新しく判定されたピアグループに基づいて判定されることができる。本新しいピア査定メトリックが、ここで、品質閾値を上回る(または下回る)場合、フィードバックループは、停止してもよく、アイデンティティのこれらのピアグループは、次いで、記憶され(例えば、別個に、またはアイデンティティグラフ内に)、アイデンティティ管理システムによって使用されることができる。
【0040】
そうでなければ、フィードバックループは、再び、プルーニング閾値をさらに(例えば、フィードバックループの前の反復に対してさらに上方またはさらに下方に)調節し、調節されたプルーニング閾値に基づいて、アイデンティティグラフを再プルーニングし、本新しくプルーニングされたグラフをクラスタ化し、別のピアグループ査定メトリックを判定し、本メトリックと品質閾値を比較することによって、継続し得る。このように、プルーニング閾値の調節、グラフの再プルーニング、アイデンティティグラフのピアグループへの再クラスタ化のフィードバックループは、ピアグループ査定メトリックが所望の閾値に到達するまで、繰り返されてもよい。さらに、ドメインまたは企業特有基準を含む、もしくは反映させるように、ピアグループ査定メトリックおよび品質閾値を調整することによって、クラスタ化結果(例えば、クラスタ化から結果として生じるピアグループ)は、特定の企業の特定の要件または必要性をより正確に反射させる、もしくは特定の使用により良好に調整され得る。
【0041】
実施形態は、したがって、データへのより直感的アクセスを可能にする(例えば、グラフデータベースクエリを介して、またはグラフ可視化技法を介して)ことを含む、いくつかの利点を提供し得、これは、ひいては、アイデンティティ管理システムのユーザのためのより深いかつより関連した洞察をもたらし得る。さらに、開示されるような実施形態は、そのような実施形態によって実装される改良されたデータ構造ならびにグラフ処理および分析を通して、これらの実施形態を実装するシステムの算出負担およびメモリ要件を低減させる、技術的改良をもたらし得る。故に、実施形態は、そのような実施形態を利用する、アイデンティティ管理システムの性能および応答性を改良し得る。同様に、実施形態は、時間に対して動的であって、データ収集のスナップショット間のデルタを使用して、開発更新プロセスを可能にし、動作コストを下げ、実施形態の性能およびロバスト性を改良し得る。さらに、ある実施形態によって使用されるグラフフォーマットは、ドメインおよび企業特有概念、現象、および問題点の、有形で、定量化可能で、かつ照合可能な仮説への変換を可能にし、これは、グラフベースのアルゴリズムを用いて検査または検証され得る。故に、実施形態は、特に、リスクおよびセキュリティポリシまたは同等物へのコンプライアンスを査定する際に有用であり得る。
【0042】
最初に、
図1に目を向けると、そこでは、アイデンティティ管理システムの一実施形態を含む、分散型のネットワーク化されたコンピュータ環境が、描写される。ここでは、ネットワーク化されたコンピュータ環境は、企業コンピューティング環境100を含んでもよい。企業環境100は、コンピュータネットワーク102、またはインターネット、イントラネット、インターネット、広域ネットワーク(WAN)、ローカルエリアネットワーク(LAN)、セルラーネットワーク、無線もしくは有線ネットワーク、または別のタイプのネットワーク等のコンピュータネットワークの組み合わせを経由して結合され得る、いくつかのコンピューティングデバイスまたはアプリケーションを含む。企業環境100は、したがって、企業(本開示の目的のために、任意の営利または非営利エンティティもしくは組織)と関連付けられる、ある数のリソース、種々のリソースグループ、およびユーザを含み得る。ユーザは、企業環境100と関連付けられる、種々のプロセスまたはタスク内で実施するための種々の役割、仕事の機能、責任等を有し得る。ユーザは、企業100と関連付けられる、従業員、監督者、マネージャ、IT要員、ベンダ、供給業者、顧客、ロボットまたはアプリケーションベースのユーザ等を含むことができる。
【0043】
ユーザは、企業環境100のリソースにアクセスし、その仕事と関連付けられる機能を実施する、企業100ならびにその製品、サービス、およびリソースについての情報を取得する、それに関する情報を打ち込む、または操作する、企業100内のアクティビティを監視する、企業100のための備品およびサービスを注文する、在庫を管理する、財務上の分析および報告を生成する、または概して、企業100に関連する、任意のタスク、アクティビティ、またはプロセスを実施し得る。したがって、その責任を遂行するために、ユーザは、企業環境100のリソースにアクセスするための権利を有し得る。これらの権利は、リソースの不注意なまたは悪意のある使用のリスクを引き起こし得る。
【0044】
具体的には、異なる機能を遂行するために、異なるユーザは、異なるリソースへの異なるアクセス権利を有し得る。いくつかのアクセス権利は、特定のユーザが、比較的に無害であり得る、リソース内の情報を取得する、打ち込む、操作すること等を可能にし得る。いくつかのアクセス権利は、特定のユーザが、比較的に取扱に注意を要する場合がある、企業100のリソース内の情報を操作することを可能にし得る。いくつかの取扱に注意を要する情報は、人事ファイル、財務上の記録、マーケティング計画、知的財産ファイル等を含むことができる。取扱に注意を要する情報へのアクセスは、不注意なまたは悪意のあるアクティビティが、企業自体に損害を及ぼすことを可能にすることができる。アクセスリスクは、したがって、別のユーザの権利へのアクセスを得るため、または他の理由から、特定のユーザがアクセスを有するべきではない、リソースに、ユーザがアクセスし得る、権利を有する、ユーザからの結果であり得る。アクセスリスクはまた、権利が種々のユーザ間に最適に分散されないまま、偏移、変化、進化等し得る、企業環境100内の役割からも生じ得る。
【0045】
種々のユーザに割り当てられる権利を管理する、より一般的には、企業環境100内のアクセスリスクを管理および査定することを補助するために、アイデンティティ管理システム150が、採用されてもよい。そのようなアイデンティティ管理システム150は、管理者または他のタイプのユーザが、例えば、管理者インターフェース152を使用して、1つ以上のアイデンティティおよび1つ以上の権利を定義し、これらのアイデンティティと権利を関連付けることを可能にし得る。そのようなアイデンティティ管理システムの実施例は、Sailpoint’s IdentityIQおよびIdentityNow製品である。ここでは、アイデンティティ管理システム150は、略図では、企業環境100と別個かつ明確に異なり、コンピュータネットワーク104(ネットワーク102と同一である、または異なり得る)を経由して、企業環境100に結合されるように描写されているが、そのようなアイデンティティ管理システム150は、企業環境100の一部として、企業環境から遠隔で、クラウドベースのアプリケーションまたはサービスのセットとして、もしくは別の構成において、展開され得るように実現されるであろうことに留意されたい。
【0046】
アイデンティティは、したがって、企業が定義することを所望するであろう、大体の物理的または仮想物、場所、人物、もしくは他のアイテムであり得る。例えば、アイデンティティは、役割または資格、肩書、グループ、プロセス、物理的場所、個々のユーザまたは人間、もしくはほぼあらゆる他の物理的または仮想物、場所、人物、もしくは他のアイテムであり得る。権利は、例えば、コンピューティングシステム、アプリケーション、ファイルシステム、特定のデータまたはデータアイテム、ネットワーク、サブネットワークまたはネットワーク場所等にアクセスすることを含む、分散型のネットワーク化された企業コンピュータ環境100内の機能を実施する、またはそれにアクセスする能力であり得る。これらのアイデンティティはそれぞれ、したがって、分散型のネットワーク化されたコンピュータ環境に対するゼロ以上の権利を割り当てられ得る。
【0047】
アイデンティティ管理システム150は、したがって、アイデンティティ管理データ154を記憶し得る。記憶されるアイデンティティ管理データ154は、各エントリが、アイデンティティ管理システムによって定義および管理されるようなアイデンティティ(例えば、アイデンティティのための英数字識別子)に対応し、それを含む、エントリのセットと、アイデンティティ管理システムによってそのアイデンティティに割り当てられる権利のリストまたはベクトルと、アイデンティティ管理データがアイデンティティ管理システムから収集されたときのタイムスタンプとを含んでもよい。アイデンティティと関連付けられる、肩書、場所、または部署等の他のシステムから提供され得る、データを含む、他のデータもまた、各アイデンティティと関連付けられ得る。
【0048】
アイデンティティ管理システム150のコレクタ156は、したがって、データを企業環境100内の種々のタッチポイントシステムから要求または別様に取得してもよい。これらのタッチポイントシステムは、例えば、アクティブディレクトリシステム、企業100内のJava(登録商標)データベースコネクタ、Microsoft SQLサーバ、Azureアクティブディレクトリサーバ、OpenLDAPサーバ、Oracleデータベース、SalesForceアプリケーション、ServiceNowアプリケーション、SAPアプリケーション、またはGoogle GSuiteを含んでもよい。
【0049】
故に、アイデンティティ管理システム150のコレクタ156は、イベントデータを企業環境100内の種々のシステムから取得または収集し、イベントデータを処理し、イベントデータとアイデンティティ管理データ154に定義されるアイデンティティを関連付け、アイデンティティ管理コンテキスト内のこれらのイベントまたは他のデータを評価または分析してもよい。ユーザは、ユーザインターフェース158を通して、アイデンティティ管理システム150と相互作用し、アイデンティティ、権利、イベント、または概して、企業環境100に対するアイデンティティ管理に関するデータにアクセスする、もしくはそれを操作してもよい。
【0050】
ロバストなアイデンティティ管理システムの一部として、企業100と関連付けられる、アイデンティティ管理データ154を分析することが望ましい。具体的には、ピアグループ内のアイデンティティが、そのグループのアイデンティティに割り当てられる権利のセットに対して類似する(例えば、他のアイデンティティまたは他のグループに対して)ように、企業100のアイデンティティをピアグループにグループまたはクラスタ化することが望ましい。企業内のアイデンティティのピアグループ化(もしくはアイデンティティのピアグループの閲覧)は、例えば、コンプライアンス分析または評価を実施する監査者もしくは他の人物が、定量的および定質的に、任意の適用可能な既存のポリシの有効性またはその欠如およびそれらが施行されている厳密度を査定することを可能にし得る。
【0051】
故に、アイデンティティ管理システム160は、ハーベスタ162と、グラフジェネレータ164とを含んでもよい。ハーベスタ162は、アイデンティティ管理データを、企業100と関連付けられる、1つ以上のアイデンティティ管理システム150から取得してもよい。アイデンティティ管理データは、例えば、アイデンティティ管理システム150に接続し、そこからアイデンティティ管理データを要求することによって、ある規則的インターバルで実施される、規則的収集または回収プロセスの一部として取得されてもよい。記憶されるアイデンティティ管理データは、各エントリが、アイデンティティ管理システムによって定義および管理されるようなアイデンティティに対応し、それを含む、エントリのセットと、アイデンティティ管理システムによってそのアイデンティティに割り当てられる権利のリストまたはベクトルと、アイデンティティ管理データがアイデンティティ管理システム150から収集されたときのタイムスタンプとを含んでもよい。
【0052】
グラフジェネレータ164は、ピアグループ化されたアイデンティティグラフを取得されたアイデンティティ管理データから生成してもよい。具体的には、一実施形態では、アイデンティティグラフは、企業から取得される、アイデンティティ管理データから生成されてもよい。アイデンティティはそれぞれ、直近のアイデンティティ管理データから取得され、グラフのノードが、アイデンティティ毎に作成される。エッジが、少なくとも1つの権利を共有する、全ての対のノード(例えば、アイデンティティ)間に構築される。グラフの各エッジはまた、そのエッジによって繋ぎ合わされる個別のノードのアイデンティティ間の類似性の程度を表す、類似性加重と関連付けられてもよい。故に、取得されたアイデンティティ管理データは、アイデンティティグラフによって表され、グラフデータストア166内に記憶されてもよい。
【0053】
いったんアイデンティティグラフが、グラフジェネレータ164によって生成されると、グラフは、次いで、その加重に基づいて、プルーニングされ、エッジを除去してもよい。プルーニングされたアイデンティティグラフは、次いで、アイデンティティをアイデンティティのピアグループにクラスタ化するために使用されることができる。本クラスタ化は、例えば、コミュニティ検出アルゴリズムによって、遂行されてもよい。本クラスタ化結果はまた、生成されたピアグループの品質を査定するための所望のメトリックが所望の閾値を超えるまで、エッジのプルーニングを最適化するために、グラフジェネレータ164によって、フィードバックループの使用を通して最適化されてもよい。いったんアイデンティティのピアグループが、判定されると、ピアグループは、次いで、記憶され(例えば、別個に、またはアイデンティティグラフ自体内に)、アイデンティティ管理システム160によって使用されることができる。例えば、各ピアグループは、ピアグループ識別子を割り当てられ、各アイデンティティと関連付けられる、ピアグループ識別子は、そのアイデンティティを表す、グラフ内のノードと関連付けられたピアグループ識別子を記憶することによって、ピアグループに割り当てられてもよい。
【0054】
アイデンティティ管理システム160のインターフェース168は、議論されるであろうように、グラフデータストア166内のアイデンティティグラフまたは関連付けられるピアグループを使用して、リスク査定のために使用され得る、1つ以上のインターフェースを提示してもよい。例えば、インターフェース168は、グラフ、アイデンティティ、またはアイデンティティグラフ内のピアグループの視覚的表現を、企業100と関連付けられる、アイデンティティ管理システム160のユーザに提示し、企業によって現在使用されているような(例えば、アイデンティティ管理システム150のアイデンティティ管理データ154内に表されるような)アイデンティティおよび権利のコンプライアンスまたは証明書査定もしくは評価を補助してもよい。
【0055】
次に進む前に、ここでは、アイデンティティ管理システム160およびアイデンティティ管理システム150は、解説および例証の目的のために、別個に描写されているが、アイデンティティ管理システム150、160の機能性は、特定の実施形態のための所望に応じて、単一または複数のアイデンティティ管理システムに組み合わせられてもよく、アイデンティティ管理システムおよびその個別の機能性の描写ならびに分離は、描写および説明の容易性の目的のためだけに、別個に描写されていることが明白であろうことに留意されたい。
【0056】
ここで
図2に目を向けると、グラフデータベースを使用した、アイデンティティのピアグループを判定するための方法の一実施形態のためのフロー図が、描写される。そのような方法の実施形態は、上記に議論されるように、アイデンティティ管理システムのグラフジェネレータによって採用され、アイデンティティグラフおよび関連付けられるピアグループをアイデンティティ管理データから生成してもよい。最初に、ステップ210では、アイデンティティ管理データが、取得されてもよい。議論されるように、一実施形態では、本アイデンティティ管理データは、企業の分散型コンピューティング環境と関連付けられて展開される、1つ以上のアイデンティティ管理システムから取得されてもよい。したがって、アイデンティティ管理データは、例えば、アイデンティティ管理システムに接続し、そこからアイデンティティ管理データを要求することによって、ある規則的インターバルにおいて実施される、規則的収集または回収プロセスの一部として、取得されてもよい。アイデンティティ管理データはまた、1回限りまたはユーザ開始ベースで取得されてもよい。
【0057】
理解されるであろうように、アイデンティティ管理データの収集およびピアグループの判定は、規則的、半規則的、または繰り返しベースで実装されてもよい、したがって、時間的に動的に実装されてもよい。故に、データが、取得されるにつれて、タイムスタンプ付きスナップショットとして記憶されてもよい。記憶されるアイデンティティ管理データは、したがって、エントリのセットであって、各エントリは、アイデンティティ管理システムによって定義および管理されるようなアイデンティティ(例えば、アイデンティティのための英数字識別子)に対応し、それを含む、エントリのセットと、アイデンティティ管理システムによってそのアイデンティティに割り当てられる権利のリストまたはベクトルと、アイデンティティ管理データがアイデンティティ管理システムから収集されたときのタイムスタンプとを含んでもよい。アイデンティティと関連付けられる、肩書、場所、または部署等の管理システムから提供され得る、データを含む、他のデータもまた、各アイデンティティと関連付けられ得る。同一タイムスタンプと関連付けられる、エントリまたはアイデンティティの収集は、したがって、アイデンティティ管理システムによる管理としての、企業コンピューティング環境のアイデンティティおよび権利のその時点からのスナップショットと見なされ得る。
【0058】
アイデンティティ管理システムから取得され得る、アイデンティティ管理データの実施例として、以下は、アイデンティティに関連し得る、JavaScript(登録商標) Object Notation(JSON)オブジェクトの一実施例である。
【化1-1】
【化1-2】
【0059】
アイデンティティ管理システムから取得され得る、アイデンティティ管理データの別の実施例として、以下は、権利に関連し得る、JSONオブジェクトの一実施例である。
【化2-1】
【化2-2】
【0060】
ステップ220では、アイデンティティグラフが、企業から取得されるアイデンティティ管理データから生成されてもよい。具体的には、アイデンティティ管理データの直近のスナップショットからのアイデンティティがそれぞれ、取得され、グラフのノードが、アイデンティティ毎に作成されてもよい。エッジが、少なくとも1つの権利を共有する、全ての対のノード(例えば、アイデンティティ)間に構築される。(例えば、エッジは、それらが少なくとも1つの権利を共通して有する場合かつその場合のみ、2つのアイデンティティノードを接続する)。グラフの各エッジは、そのエッジによって繋ぎ合わされる個別のノードのアイデンティティ間の類似性の程度を表す、類似性加重と関連付けられてもよい。本類似性加重は、2つの繋ぎ合わされるノード間で共有される権利の数に基づいて、生成されてもよい。一実施例にすぎないが、類似性加重は、権利の和集合によって除算される、2つのアイデンティティ間の類似性(例えば、権利の重複または交点)の計数に基づき得る。例えば、一実施形態では、エッジは、適切な類似性関数(例えば、Jaccard類似性)を介して加重される。一実施形態では、権利バイナリベクトルdの非類似性測定値が、選定されてもよく、次いで、誘発類似性1-d(x,y)が、類似性加重をノードx,yを繋ぎ合わせるエッジに割り当てるために使用されてもよい。2つのノード間の類似性加重を判定するための他の方法も、可能性として考えられ、本明細書で完全に想定される。
【0061】
1つの具体的実施形態では、対称行列が、行列の各軸に沿って、ユーザアイデンティティのそれぞれを用いて判定されてもよい。行列の対角線は、全て0であり得る一方、値の残りは、値に対応する軸上の2つのノード間で判定された類似性加重である。このように、本対称行列は、軸上のアイデンティティおよび行列の類似性値をグラフストアコマンドに変換し、アイデンティティグラフを構築する、グラフコンストラクタに提供されてもよい。
【0062】
故に、アイデンティティ管理データは、k個のタイプのエンティティ(ノード/頂点、例えば、アイデンティティ-id、肩書、場所、権利等)を伴う、k部グラフによって忠実に表され、グラフデータストア内に記憶され得る。グラフデータストア132は、例えば、そのようなNeo4j、トリプルストア、関係データベース等のグラフストアを含む、任意の好適なフォーマットで、任意の好適な記憶装置に従って、記憶されてもよいことに留意されたい。本グラフデータストアへのアクセスおよびクエリは、したがって、関連付けられるアクセスならびにクエリ言語(例えば、Neo4jグラフストアが利用される場合、Cypher等)を使用して、遂行されてもよい。
【0063】
いったんアイデンティティグラフが、生成されると、グラフは、次いで、ステップ230において、プルーニングされてもよい。ここでは、アイデンティティグラフは、次いで、プルーニングされ、弱エッジ(例えば、その類似性加重がプルーニング閾値を下回る、それらのエッジ)を除去してもよい。グラフのプルーニングは、アイデンティティのアクセス権利が著しく異なる権利パターン(例えば、弱接続エッジ)を伴う、別のアイデンティティによって、全くではないにしても、直接、影響されるべきではない、アイデンティティ統制の局所性側面と関連付けられる。故に、そのようなエッジの除去は、アイデンティティグラフの大域的トポロジを劇的に改変し得ない。初期プルーニング閾値が、最初に、設定または判定されてもよく(例えば、50%類似性もしくは同等物として)、後の時点で、実質的に最適化または別様に調節されてもよい。別の実施例として、類似性加重のヒストグラムが、構築されてもよく、ヒストグラムの類似性加重における間隙に対応する、類似性加重が、初期プルーニング閾値として選定されてもよい。
【0064】
プルーニングされたアイデンティティグラフは、次いで、ステップ240において、アイデンティティをアイデンティティのピアグループにクラスタ化するために使用されることができる。本グラフアプローチでは、ピアグループの表現が、全てのアイデンティティが、ピアグループ内の1つおきのアイデンティティに強接続され(例えば、類似し)、その結果、クリークの構成員が全て、権利の比較的に大きい、故に、優勢な共通コアを共有する、最大クリークによって表され得る。しかしながら、グラフの全ての最大クリークを見出す問題は、メモリおよび算出上集約的問題であり得る。グラフ理論における大部分のクリーク関連問題は、困難であって、そのうちのいくつかはさらに、NP完全であって、指数関数的に多くの最大クリークを伴うグラフが存在し得るにつれて、終了するために指数関数的時間を要求する。
【0065】
故に、一実施形態では、コミュニティ検出アルゴリズムが、利点の中でもとりわけ、アイデンティティグラフのアイデンティティをピアグループ化し、ピアグループの判定を加速し、算出オーバーヘッドを低減させ、メモリを節約するために利用されてもよい。多数の適用可能および高性能コミュニティ検出およびグラフクラスタ化アルゴリズムが、ある実施形態によると、利用されてもよい。これらのアルゴリズムのうちのいくつかは、少なくとも数万または数十万の(もしくはそれを上回る)ノードおよび数百万のエッジを伴う、グラフとして大まかに記述され得る、大グラフに具体的に標的化される。そのようなグラフコミュニティ検出アルゴリズムは、例えば、Louvain、Fast-greedy、Label propagation、またはStochastic Block Modelingを含んでもよい。他のグラフコミュニティ検出アルゴリズムも、利用されてもよく、本明細書で完全に想定される。
【0066】
ある実施形態では、クラスタ化結果は、下記に議論されるように、フィードバックループの使用を通して最適化されてもよい。したがって、一実施形態では、判定されたピアグループまたはアイデンティティグラフの品質査定のためのピアグループ査定メトリックの簡単な判定を可能にするために提供され得る、ピアグループの判定のために、コミュニティ検出アルゴリズムを利用することが望ましくあり得る。故に、ピアグループ査定メトリックとして使用され得る、グラフベースのメトリック(例えば、モジュラリティ、進化するトポロジ、接続される成分、中心性測定値、例えば、中間にある状態、接近度、コミュニティ重複測定値(例えば、NMI、Omegaインデックス))の判定に基づく、またはそれを可能にし得る、コミュニティ検出アルゴリズムが、利用されてもよい。
【0067】
具体的には、一実施形態では、Louvainアルゴリズムが、コミュニティ検出アルゴリズムとして利用されてもよく、モジュラリティが、ピア査定メトリックとして使用されてもよい。Louvainアルゴリズムは、大グラフを取り扱い、それに関して効率的であり得る、スケーラブルなアルゴリズムであり得るだけではなく、加えて、Louvainアルゴリズムは、モジュラリティに基づく、またはモジュラリティ最適化され得る。モジュラリティは、そのグラフまたはそのグループもしくはサブグラフに関して判定され得る、スカラーである。本モジュラリティは、ランダム機会によって生成されていないように(例えば、アルゴリズムによって)生成されるクラスタの尤度を反映する。高モジュラリティ値(例えば、正であって、かつ0から離れる)は、クラスタ化結果が機会の積である可能性が低いことを示し得る。本モジュラリティは、したがって、ピアグループ査定メトリックとして使用されることができる。
【0068】
さらに、そのようなコミュニティ検出アルゴリズムを使用して判定された、ピアグループまたはアイデンティティグラフを最適化するための、ピアグループ査定メトリックの適用に加え、アイデンティティ管理システムは、アラートベースのこれらのピアグループ査定メトリックを採用してもよい。例えば、ユーザへのアラートは、アラート閾値(例えば、ピアグループ査定メトリックが、ある閾値を下回るまたは上回る場合)、またはある閾値を上回る任意の変化がピアグループ査定メトリックに対して生じるかどうかに基づいてもよい。例えば、モジュラリティのための経験的低閾値の設定は、組み合わせられたユーザアラートとともに、ピアグループまたはアイデンティティグラフの低下する品質に関する警告としての役割を果たし得る。これは、入力データがパイプライン内のある時点で破損したこと、または他の場合では、特定の企業のためのアクセス権利プロセスが、正当な法規が著しく欠けていることに起因し得る。下層原因にかかわらず、そのような早期警告システムは、ピアグループ査定および判定プロセスにおける疑わしいデータ品質の伝搬を停止し、より一般的には、企業内のアイデンティティ管理目標に有用であり得る。
【0069】
多くの場合、ある実施形態において利用されるコミュニティ検出または他のクラスタ化アルゴリズムは、通常、教師なし機械学習と称されるものの亜種に該当し得る。これらのタイプの教師なし学習アルゴリズムの結果は、ある解釈の余地を残し得、その中にそれらが適用されている、ドメインまたはコンテキストが考慮されるとき、最適化される、出力を、必ずしも、または本質的に、提供するわけではない。その結果、これらの問題点のうちのいくつかを軽減させ、アイデンティティ統制コンテキストにおけるピアグループおよびアイデンティティグラフの使用を最適化するために、アイデンティティグラフを使用した、そのようなアイデンティティのピアグループを採用する、アイデンティティ管理システムの実施形態は、ある程度のユーザ構成を可能にし得、ユーザ構成の少なくとも一部が、グラフ判定、ピアグループ化、またはそのようなピアグループ判定の最適化において適用されてもよい。
【0070】
本構成可能性は、アイデンティティ管理システムのユーザが、特定のユースケースまたはアプリケーションのためのクラスタ化結果を向上させるために、例えば、いくつかの制約を課す、またはコミュニティ検出(または他のピアグループ化)アルゴリズムのためのある構成パラメータを設定することを可能にし得る。ユーザ構成のいくつかの非包括的実施例が、したがって、提示される。ユーザは、「ピア」を構成する内容の詳細に定義された概念を有してもよい。これは、ピアを構成する内容のユーザの仕様が、統計的方法を用いて(例えば、モジュラリティに依拠するのではなく)、プルーニング閾値を導出するために使用され得ることを伴い得る。
【0071】
構成可能性の別の実施例として、ユーザは、階層クラスタ化出力、またはピアグループがある平均サイズを有するはずであることを選んでもよく、これは、コミュニティ検出アルゴリズムの数回の連続反復が実施されることを可能にすることを伴い得る(本明細書にさらに詳細に解説されるであろうように)。ユーザはまた、全てのアイデンティティのために起動することとは対照的に、アイデンティティのある部分毎にピアグループ化を起動することを選んでもよい。アイデンティティのフィルタリングされた母集団は、地理的場所、事業役割、事業単位等の観点から規定されてもよい。同様に、ユーザは、あるアイデンティティ属性、例えば、アイデンティティ役割、アイデンティティ肩書、アイデンティティ場所等の観点から、コミュニティ検出アルゴリズムの出力をフィルタリングすることを選んでもよい。結果は、次いで、既存の統制ポリシに対して定量的および定質的に対比され、これらのポリシとのコンプライアンスを測定、査定、および認定し得る。
【0072】
概して、次いで、ユーザは、事業内のアイデンティティ統制ポリシ施行の品質のより多くの洞察を得るために、ピアグループ化特徴を、アイデンティティ統制の他のツールと組み合わせて、利用することを選んでもよい。これは、ピアグループ化が、他の(例えば、第三者)アイデンティティ管理ツールとペアリングされることを可能にするために十分に構成可能かつフレキシブルであるべきであることを伴う。故に、ある制限が、アイデンティティグラフまたはピアグループのサイズ、フォーマット、詳細レベル等に課されてもよい。
【0073】
いずれの場合も、いったんアイデンティティのピアグループが、プルーニングされると、アイデンティティグラフは、次いで、ステップ240において、アイデンティティをアイデンティティのピアグループにクラスタ化するために使用されることができ、判定されたピアグループは、次いで、記憶され(例えば、別個に、またはアイデンティティグラフ自体内に)、アイデンティティ管理システムによって使用されることができる。例えば、各ピアグループは、ピアグループ識別子を割り当てられ、各アイデンティティと関連付けられる、ピアグループ識別子は、そのアイデンティティを表す、グラフ内のノードと関連付けられた、ピアグループ識別子を記憶することによって、ピアグループに割り当てられ得る。
【0074】
使用の実施例として、グラフ、アイデンティティ、またはアイデンティティグラフ内のピアグループの視覚的表現が、アイデンティティ管理のユーザに提示され、企業によって現在使用されているアイデンティティおよび権利のコンプライアンスまたは証明書査定もしくは評価を補助してもよい。原理上、厳密に施行されている既存の統制ポリシは、著しく類似するアクセス権限を伴う、アイデンティティが、著しく類似する(例えば、同一ピアグループ内にある)ことを確実にするはずである。そのようなピアグループの提示は、したがって、例えば、監査者またはコンプライアンス査定者が、定量的および定質的に、任意の適用可能な既存のポリシの有効性またはその欠如およびそれらが施行されている厳密度を査定することを可能にし得る。
【0075】
そのような収集、グラフ判定、およびピアグループ化ステップの間、ある実施形態では、いくつかの効率性が、収集プロセスを加速し、記憶されなければならないデータの量を低減させ、そのようなデータのそのようなデータ収集、グラフ判定、およびピアグループ化と関連付けられる、コンピュータ処理オーバーヘッドおよびコンピューティングサイクルを低減させるために実装されてもよい。具体的には、一実施形態では、デルタ変化査定が、現在の時間周期において、アイデンティティ管理データが、収集される、またはピアグループが、判定されるとき、実施されてもよい。より具体的には、アイデンティティ管理データが、前の時間周期において収集された、または前のピアグループ化が、以前に作成されたアイデンティティグラフのアイデンティティ上で実施されている場合、直近の前のスナップショットに対応するアイデンティティのセットと、現在の時間周期において取得されたアイデンティティのセットとの間の差異(またはデルタ)の査定が、行われることができる(例えば、データクエリスクリプトまたはプロセスによって)。本査定は、アイデンティティ、関連付けられる権利、または他の属性の変化が、前のスナップショットと現在のスナップショット(例えば、現在の時間周期において収集された直近のアイデンティティ管理データ)との間の時間に生じた回数の判定を含んでもよい。
【0076】
査定はまた、直近の前のスナップショットから判定されたピアグループと、現在の時間周期において取得されたピアグループとの間の差異から行われてもよい。本査定は、異なるピアグループと関連付けられる(例えば、前の直近のスナップショットから判定されるアイデンティティのピアグループ化に対して)、アイデンティティの数、アイデンティティへの変化、または確立された(もしくは新しい)ピアグループと関連付けられる、新しいアイデンティティの数の判定を備えてもよい。
【0077】
判定される変化が存在しない、または変化が、ある閾値数を下回る、もしくは既存のピアグループの大部分にとって、わずかである、局所的である、または取るに足りない場合、アクションは、前のスナップショットまたはアイデンティティグラフのデータ内で影響されるアイデンティティを更新する以外、必要とされない。アイデンティティの現在のスナップショットを構成する、エントリ内の新しいエントリが、任意の新しく識別されたアイデンティティのために作成されてもよい。加えて、新しいアイデンティティに対応する、グラフ内のノードが、本新しいアイデンティティと既存のピアグループの類似性に基づいて、適切なピアグループに付加されることができる(例えば、新しいアイデンティティを同一部署/肩書のピアグループに割り当てる)。
【0078】
差異(例えば、変化、新しいアイデンティティ、異なるピアグループ割当等の数)が、些細ではなく、ピアグループを横断して多数のアイデンティティに影響を及ぼす場合、新しいピアグループ化プロセスが、新しくリフレッシュされたデータ上に生じてもよい。そのような場合、検出アルゴリズムが、以前に判定されたピアグループをその最近の対応物に進化および存続させるために使用されてもよい。これは、ある「マーカ」アイデンティティ、例えば、インフルエンサ、またはピアグループの両方のバージョンにおける、高中心性値および/または高接続度を伴う、アイデンティティを監視することによって行われることができる。多数決アプローチを利用して、前のピアグループがより新しいものに進化する方法が、判定されることができる。前のピアグループの予期される更新されたバージョンは、分裂、マージ、拡張、縮小を含む。より新しい分裂されたピアグループは、例えば、「古い」ピアグループ識別子を継承してもよい。
【0079】
そのようなデルタ検出および更新機構の実施形態は、アイデンティティ管理システムによって、ピアグループまたはアイデンティティグラフ、その変化、またはその進化を経時的に追跡することを介して、各ピアグループの品質および安定性が監視されることを可能にする、さらなる利点を有し得る。ピアグループまたはアイデンティティグラフの2つ以上の連続バージョン間のこれらの変化度を能動的に監視および査定することによって、低下する品質の問題点が、アイデンティティグラフまたはそこから判定されたピアグループにおいて生じる、もしくは明らかになるにつれて検出され得る。同様に、アイデンティティグラフ、そこから判定されたピアグループ、またはピアグループ査定メトリックを使用して、グラフ進化モデルが、ある実施形態では、構築されてもよい(例えば、疫学的感受性、感染、および回復タイプモデルに基づいて)。アイデンティティ、権利、またはピアグループの観察される進化を、理論的予測に対して比較することは、ピアグループ、またはより一般的には、アイデンティティ管理の品質に悪影響を及ぼし得る、高速または極限変化に対して、アイデンティティ管理システムのユーザに警告するための別のツールを提供し得る。
【0080】
再び、いったんアイデンティティのピアグループが、プルーニングされたアイデンティティグラフから判定され、記憶されると(ステップ240において)、ピアグループ査定メトリックが、ステップ250において、アイデンティティグラフまたは判定されたピアグループに基づいて判定されてもよい。議論されるように、本ピアグループ査定メトリックは、ピアグループまたは判定されたアイデンティティグラフに基づいて、別個に判定されてもよい、もしくはメトリックは、ピアグループ査定メトリックがピアグループ判定プロセスの一部として判定され得るように、コミュニティ検出アルゴリズムによって利用されてもよい。ある実施形態では、次いで、コミュニティ検出アルゴリズムの適用は、ピアグループ査定メトリックとして使用され得る、そのようなピアグループ査定メトリック(例えば、モジュラリティ、進化するトポロジ、接続される成分、中心性測定値、例えば、中間にある状態、接近度、コミュニティ重複測定値(例えば、NMI、Omegaインデックス))が利用され得る結果をもたらし得る。
【0081】
例えば、上記に議論されるように、Louvainアルゴリズムは、グラフベースのモジュラリティ最適化コミュニティ検出アルゴリズムであってもよい。したがって、判定されたピアグループと関連付けられる、モジュラリティが、Louvainアルゴリズムを使用して、ピアグループの判定から生じ得る。モジュラリティは、グラフまたはそのグループもしくはサブグラフに関して判定され得る、スカラーであって、ランダム機会によって生成されていないように(例えば、アルゴリズムによって)生成されるクラスタの尤度を反映する。高モジュラリティ値(例えば、正であって、かつ0から離れる)は、クラスタ化結果が機会の積である可能性が低いことを示し得る。本モジュラリティは、一実施形態では、ピアグループ査定メトリックとして使用されることができる。
【0082】
故に、ある実施形態では、アイデンティティのピアグループへのクラスタ化は、本ピアグループ査定メトリックに基づいて、最適化されてもよい。具体的には、フィードバックループが、最適プルーニング閾値を判定するために利用されてもよい。最適化ループは、ある適切なメトリック(例えば、グラフモジュラリティまたは他のピアグループ査定メトリック)に対するグラフクラスタ化の品質を実質的に増加または最大限にする役割を果たし得る。付加的ドメイン特有の企業あたりの基準が、ある実施形態では、ある要件を正確に反射させる、クラスタ化結果をレンダリングし、特定の企業またはグループもしくはアイデンティティグラフあたりの使用により良好なサービス提供するために、本ステップにおいて利用されてもよい。
【0083】
例えば、一実施形態では、ピアグループ査定メトリックが、ステップ260において、品質閾値を上回る(または上回る)場合、現在のスナップショットにおいて取得されるアイデンティティのピアグループの判定は、ステップ262において終了し得る。アイデンティティの判定されたピアグループは、次いで、記憶され(例えば、別個に、またはアイデンティティグラフ内に)、アイデンティティ管理システムによって使用されることができる。
【0084】
しかしながら、ピアグループ査定メトリックが、ステップ260において、品質閾値を下回る(または上回る)場合、フィードバックループが、設けられてもよく、それによって、プルーニング閾値は、ステップ270において、ある量だけ(上方または下方に)調節され、元々判定されたアイデンティティグラフは、再び、ステップ230において、調節されたプルーニング閾値に基づいて、プルーニングされる(または以前にプルーニングされたアイデンティティグラフが、さらにプルーニングされてもよい)。プルーニング閾値の調節は、種々の実施形態では、多種多様な基準に基づいてもよく、フィードバックループを通して、反復毎に、固定または異なる量で調節されてもよい。加えて、いくつかの実施形態では、種々の機械学習技法(例えば、k-平均、モーメント法、ニューラルネットワーク等の教師なし機械学習技法)が、プルーニング閾値または調節されたプルーニング閾値のための値を調節するための量を判定するために使用されてもよい。本新しくプルーニングされたアイデンティティグラフは、次いで、ステップ240において、アイデンティティの新しいピアグループにクラスタ化され、ピアグループ査定メトリックが、ステップ250において、新しくプルーニングされたアイデンティティグラフまたは新しく判定されたピアグループに基づいて判定されることができる。
【0085】
本新しいピア査定メトリックが、ここで、ステップ260において、品質閾値を上回る(または下回る)場合、フィードバックループは、停止され得、現在のスナップショット内で取得されたアイデンティティのピアグループの判定は、ステップ262において終了し得る。これらのアイデンティティのピアグループは、次いで、記憶され(例えば、別個に、またはアイデンティティグラフ内に)、アイデンティティ管理システムによって使用されることができる。
【0086】
そうでなければ、フィードバックループは、再び、ステップ270において、プルーニング閾値をさらに(例えば、フィードバックループの前の反復に対してさらに上方またはさらに下方に)調節し、ステップ230において、調節されたプルーニング閾値に基づいて、アイデンティティグラフを再プルーニングし、ステップ240において、本新しくプルーニングされたグラフをクラスタ化し、ステップ250において、別のピアグループ査定メトリックを判定し、ステップ260において、本メトリックと品質閾値を比較することによって、継続し得る。このように、プルーニング閾値の調節、グラフの再プルーニング、アイデンティティグラフのピアグループへの再クラスタ化のフィードバックループは、ピアグループ査定メトリックが所望の閾値に到達するまで、繰り返されてもよい。さらに、ドメインまたは企業特有基準(例えば、アイデンティティ管理システムのユーザによって規定され得る)を含む、もしくは反映させるように、ピアグループ査定メトリックおよび品質閾値を調整することによって、クラスタ化結果(例えば、クラスタ化から結果として生じるピアグループ)は、特定の企業の特定の要件または必要性をより正確に反射させる、もしくは特定の使用により良好に調整され得る。
【0087】
いったんフィードバックループが、終了されると(ステップ262)、判定されたアイデンティティのピアグループは、次いで、記憶され(例えば、別個に、またはアイデンティティグラフ内に)、アイデンティティ管理システムによって使用されることができる。例えば、グラフの視覚的表現が、アイデンティティ管理のユーザに提示され、企業によって現在使用されているようなアイデンティティおよび権利のコンプライアンスまたは証明書査定もしくは評価を補助してもよい。
【0088】
ここで、そのようなアイデンティティグラフに基づいて作成または提示され得る、アイデンティティグラフまたはインターフェースのそのような視覚的描写および提示に目を向けることが有用であり得る。これらの描写およびインターフェースが、提示または利用され得る、描写およびインターフェースの実施例にすぎず、アイデンティティ、権利、ピアグループ、議論される他の関連付けられるデータに基づく、ほぼあらゆるタイプの提示、描写、またはインターフェースが、本明細書に開示されるアイデンティティ管理システムの実施形態と関連付けられて利用されてもよいことは、明白であろう。
【0089】
議論されるように、開示されるようなアイデンティティ管理システムの実施形態は、アイデンティティグラフを作成、維持、または利用してもよい。これらのアイデンティティグラフは、ノードおよびエッジから成る、グラフを含んでもよく、ノードは、例えば、アイデンティティ、権利、またはピアグループを表す、アイデンティティ管理ノードを含んでもよく、エッジは、これらのアイデンティティ管理ノード間の関係を含んでもよい。アイデンティティグラフのエッジによって表される関係は、例えば、議論されるように、アイデンティティを表す2つのノード間の類似性を含む、関係によって関連されるノード間の類似性度を示す、加重またはスコアを割り当てられてもよい。加えて、関係は、それらが単一方向にのみトラバースされ得るように指向性である、または関係がトラバースされる、もしくはノードが関連される方向に応じて、異なる加重を有してもよい。そのようなアイデンティティグラフの実施形態は、したがって、検索(またはナビゲート)され、1つ以上のノードと関連付けられる、データを判定することができる。さらに、例えば、アイデンティティ間の類似性は、アイデンティティグラフ内の関係の加重を使用して判定されてもよい。
【0090】
具体的には、ある実施形態では、アイデンティティグラフは、いくつかの相互に関連されるノードを備える、グラフと見なされ得る。これらのノードは、ノードのタイプを定義する、ラベル(例えば、「物」のタイプ、またはアイデンティティ、権利、もしくはピアグループ等、ノードが表す、エンティティ)と、そのノードの属性またはデータを定義する、性質とを有し得る、ノードを含んでもよい。例えば、アイデンティティグラフのノードのラベルは、「Identity」、「Entitlement」、または「PeerGroup」を含んでもよい。ノードの性質は、「id」、「 Company」、「dept」、「title」、「location」、「source」、「size」、「clique」、「mean_similarty」、または同等物を含んでもよい。
【0091】
アイデンティティグラフのノードは、グラフのエッジを形成する、関係を使用して、相互に関連されてもよい。関係は、指向性様式において、2つのノードを接続してもよい。これらの関係はまた、関係のタイプを定義する、ラベルと、その関係の属性またはデータを定義する、性質とを有してもよい。これらの性質は、関係によって関連されるノードのアイデンティティ、関係の指向性のアイデンティティ、または2つのノード間の関係に関する加重もしくは類縁度を含んでもよい。例えば、アイデンティティグラフの関係のラベルは、「Similarity」または「SIM」、「Has_Entitlement」もしくは「HAS_ENT」、「Belongs_To_PeerGroup」または「BELONGS_TO_PG」、もしくは同等物を含んでもよい。
【0092】
次いで、
図3Aを参照すると、例示的アイデンティティグラフ300の一部のグラフィカル描写が、描写される。ここでは、ノードは、円形によって表され、関係は、ノード間の指向性矢印によって表される。そのようなアイデンティティグラフ300は、アイデンティティ、権利、またはピアグループ、その関連付け、およびノードによって表されるアイデンティティ間の類似性度を表し得る。したがって、例えば、アイデンティティノード302a、302bは、それらがアイデンティティノードであることを示す、ラベル「Identity」を有する。アイデンティティノード302bは、そのアイデンティティノード302bの属性またはデータを定義する、性質のセットと関連付けられるように示され、ここでは、アイデンティティノード302bの「id」は、「a123」であって、アイデンティティノード302bの「Company」は、「Ajax」であって、アイデンティティノード302bの「dept」は、「Sales」であって、アイデンティティノード302bの「title」は、「Manager」、アイデンティティノード302bの「location」は、「Austin, TX」であることを含む。
【0093】
アイデンティティグラフ300のこれらのアイデンティティノード302は、指向関係312a、312bによって形成される、エッジによって繋ぎ合わされる。指向関係312aは、アイデンティティノード302aのアイデンティティが、アイデンティティノード302bによって表されるアイデンティティに類似することを表し得る(標識された「SIM」関係312aによって表される)。同様に、指向関係312bは、アイデンティティノード302bのアイデンティティが、アイデンティティノード302aによって表されるアイデンティティに類似することを表し得る(標識された「SIM」関係312bによって表される)。ここでは、関係312bは、0.79の類似性加重を割り当てられている。これらの関係312a、312bは、個々の指向性関係として描写されるが、そのような類似関係は、単一類似性加重を割り当てられる、単一双方向性関係であってもよいことに留意されたい。
【0094】
権利ノード304は、権利ノードであることを示す、ラベル「Entitlement」を有する。権利ノード304は、その権利ノード304の属性またはデータを定義する、性質のセットと関連付けられるように示され、ここでは、権利ノード304の「id」は、「ad137」であって、権利ノード304の「source」は、「Active Directory」であることを含む。アイデンティティグラフ300のアイデンティティノード302bおよび権利ノード304は、指向関係316によって形成される、エッジによって繋ぎ合わされる。指向関係316は、アイデンティティノード302bのアイデンティティが、権利ノード304によって表される、権利を有することを表し得る(標識された「HAS_ENT」関係316によって表される)。
【0095】
ピアグループノード306は、ピアグループノードであることを示す、ラベル「PeerGroup」を有する。ピアグループノード306は、そのピアグループノード306の属性またはデータを定義する、性質のセットと関連付けられるように示され、ここでは、ピアグループノード306の「id」は、「pg314」であって、ピアグループノード306の「size」は、「287」であって、ピアグループノード306の「clique」は、「0.83」であって、ピアグループノード306の「mean_sim」または平均類似性値は、「0.78」であることを含む。アイデンティティグラフ300のアイデンティティノード302bおよびピアグループノード306は、指向関係314によって形成される、エッジによって繋ぎ合わされる。指向関係314は、アイデンティティノード302bのアイデンティティが、権利ノード304によって表される、ピアグループに属することを表し得る(標識された「BELONGS_TO_PG」関係314によって表される)。
【0096】
ここで、
図3B、3C、および3Dを参照すると、アイデンティティグラフ内のピアグループ化の例示的表現が、描写される。ここでは、アイデンティティグラフの各アイデンティティノードは、円形によって表され、各エッジは、ノードを繋ぎ合わせる線によって表される。これらの視覚的描写では、ノードに近いほど、ノード間の類似性値がより高い。そのような視覚的描写は、ユーザに提示されるとき、ユーザが企業によって利用されるアイデンティティの数、それらのアイデンティティ間の関係、それらのアイデンティティに対する権利の分布、または例えば、コンプライアンス査定もしくは監査を含む、アイデンティティ統制および管理において利用され得る、アイデンティティまたは権利に関連する他の情報をより良好に知覚することを可能にし得る。
【0097】
図4は、アイデンティティ管理システムによって、企業内のアイデンティティのために判定されたピアグループに関するデータを視覚的に提示するために利用され得る、インターフェースの実施形態を描写する。本実施例では、企業は、9,235個の関連付けられるアイデンティティを有し、インターフェースは、アイデンティティと関連付けられる権利に基づいて判定されている、それらのアイデンティティの6つのピアグループが存在することを描写する。インターフェース内に描写される円形410はそれぞれ、ピアグループのうちの1つを表し、それらのピアグループのそれぞれと関連付けられる、アイデンティティの数を表示する。さらに、各円形410のサイズおよび場所は、アイデンティティのピアグループの相対的サイズと、それらのピアグループ間で共有される権利またはそれらのピアグループ内のアイデンティティの数とを描写し得る。
【0098】
図5は、アイデンティティ管理システムによって、企業内のアイデンティティのために判定されたピアグループに関するデータを視覚的に提示するために利用され得る、インターフェースの実施形態を描写する。ここでは、インターフェースは、上記に議論されるように、アイデンティティグラフの視覚的表現を提示してもよく、各アイデンティティノードは、円形によって表され、各エッジは、ノードを繋ぎ合わせる線によって表され、ノードがより近いほど、ノード間の類似性値がより高い。インターフェースはまた、提示されているアイデンティティグラフのために判定されたピアグループ(クラスタ)の数(本実施例では、11)に関する情報を提示してもよい。
【0099】
インターフェースまたはその一部は、ユーザが、アイデンティティグラフをナビゲートし、表されるノードもしくは権利に関する情報を取得するために「掘り下げる」ことを可能にし得る。描写される実施例では、ユーザは、アイデンティティグラフのノード510の上方にポインタをかざしており、そのアイデンティティについての情報は、インターフェースを通してユーザに提示される。そのようなアイデンティティグラフを閲覧することによって、ユーザは、例えば、どのアイデンティティが、「高伝染性」である、または他のアイデンティティ管理リスクもしくはコンプライアンス問題点を表し得るかを判別することが可能であり得る。アイデンティティは、例えば、それらのアイデンティティが、アイデンティティ統制監督(例えば、他のユーザに割り当てられる)を伴わずに複製される場合、意図されない権利異常発生等のアイデンティティ統制問題点を生じさせ得るように、そのアイデンティティが、ある数またはタイプの権利を有し得る場合、「高伝染性」である、または別様に、アイデンティティ統制リスクを表し得る。
【0100】
図6は、アイデンティティ管理システムによって、企業内のアイデンティティのために判定されたピアグループに関するデータを視覚的に提示するために利用され得る、別のインターフェースの実施形態を描写する。本実施例では、インターフェースは、例えば、そのピアグループ内のアイデンティティの数、そのピアグループ内の権利の内容、それらの権利を共有するアイデンティティ、またはそれらのアイデンティティがともにグループ化されている理由を示す、アイデンティティグラフのために判定された特定のピアグループに関するデータを提示することができる。インターフェースはまた、例えば、そのピアグループ、そのピアグループ内のアイデンティティ、または他の権利が、相互もしくは企業の他の判定されたピアグループ、アイデンティティ、または権利に関連する方法を含む、ピアグループまたはその(もしくは他の)ピアグループ内のアイデンティティまたは権利に関する多種多様な他のデータを提示してもよい。したがって、そのようなインターフェースを閲覧するユーザは、アイデンティティがグループ化されている理由を確認し、外れ値を探索し、これらのアイデンティティが相互に共通して有する権利ならびに異なるそれらが企業のアイデンティティおよび権利の残りとどのように異なるかを確認することが可能であり得る。さらに、ユーザはまた、さらなる詳細に関して「掘り下げ」、含まれるアイデンティティおよび割り当てられる権利を発見してもよい。
【0101】
図7は、アイデンティティ管理システムによって、企業内のアイデンティティのために判定されたピアグループに関するデータを視覚的に提示するために利用され得る、さらに別のインターフェースの実施形態を描写する。本実施例では、インターフェースは、例えば、ピアグループのアイデンティティの部署、場所、または仕事上の肩書との相関等、ピアグループ内のアイデンティティの分布を示す、アイデンティティグラフのために判定された特定のピアグループ(例えば、ピアグループ43)に関するデータを提示することができる。
【0102】
当業者は、本発明が、限定ではないが、マルチプロセッサシステム、ネットワークデバイス、ミニコンピュータ、主要なフレームコンピュータ、データプロセッサ、および同等物を含む、他のコンピュータシステム構成で実装または実践され得ることを理解されるであろう。実施形態は、タスクまたはモジュールが、LAN、WAN、および/またはインターネット等の通信ネットワークを通してリンクされる、遠隔処理デバイスによって実施される、分散型コンピューティング環境において採用されることができる。分散型コンピューティング環境では、プログラムモジュールまたはサブルーチンは、ローカルおよび遠隔メモリ記憶デバイスの両方内に位置してもよい。これらのプログラムモジュールまたはサブルーチンは、例えば、磁気および光学的に可読ならびにリムーバブルなコンピュータディスクを含む、コンピュータ可読媒体上に記憶または分散される、チップ内のファームウェアとして記憶され、かつインターネットを経由して、または他のネットワーク(無線ネットワークを含む)を経由して電子的に分散されてもよい。例示的チップは、電気的消去可能プログラマブル読取専用メモリ(EEPROM)チップを含んでもよい。本明細書で議論される実施形態は、非一過性コンピュータ可読媒体、ハードウェア回路網、または同等物、もしくは任意の組み合わせ上に常駐し得、1つ以上のサーバ機械によって変換可能であり得る、好適な命令内に実装されることができる。非一過性コンピュータ可読媒体の実施例は、本開示では、下記に提供される。
【0103】
本発明は、その具体的実施形態に関して説明されたが、これらの実施形態は、単に、例証であって、本発明の制限ではない。むしろ、説明は、当業者に、説明される任意のそのような実施形態特徴または機能を含め、本発明を任意の特に説明される実施形態、特徴、または機能に限定せず、本発明を理解するための背景を提供するために、例証的実施形態、特徴、および機能を説明することを意図する。本発明の具体的実施形態およびその実施例は、例証目的のためだけに本明細書に説明されるが、種々の均等修正も、当業者が認識および理解するであろうように、本発明の精神および範囲内において可能である。
【0104】
示されるように、これらの修正は、本発明の図示される実施形態の前述の説明に照らして、本発明に行われてもよく、本発明の精神および範囲内に含まれるものとする。したがって、本発明は、その特定の実施形態を参照して、本明細書に説明されるが、様々な修正、種々の変更、および代用が、前述の開示内で意図され、いくつかの事例では、記載されるような本発明の範囲および精神から逸脱することなく、本発明の実施形態のいくつかの特徴が、他の特徴の対応する使用を伴わずに、採用されるであろうことを理解されるであろう。したがって、多くの修正は、特定の状況または材料を本発明の本質的範囲および精神に適合させるために行われ得る。
【0105】
本明細書の全体を通した「one embodiment(一実施形態)」、「an embodiment(ある実施形態)」、または「a specific embodiment(具体的実施形態)」、もしくは同様の専門用語の参照は、実施形態に関連して説明される特定の特徴、構造、または特性が、少なくとも1つの実施形態に含まれ、必ずしも、全実施形態に存在しなくてもよいことを意味する。したがって、語句「in one embodiment(一実施形態では)」、「in an embodiment(ある実施形態では)」、または「in a specific embodiment(具体的実施形態では)」、もしくは本明細書の全体を通した種々の場所における同様の専門用語のそれぞれの表出は、必ずしも、同一の実施形態を参照するわけではない。さらに、任意の特定の実施形態の特定の特徴、構造、または特性は、任意の好適な様式において、1つ以上の他の実施形態と組み合わせられ得る。本明細書に説明および図示される実施形態の他の変形例ならびに修正も、本明細書の教示に照らして可能であり、本発明の精神および範囲の一部として見なされるべきであることを理解されたい。
【0106】
本明細書の説明では、多数の具体的詳細が、構成要素および/または方法の実施例等、本発明の実施形態の完全理解を提供するために提供される。しかしながら、当業者は、実施形態が、具体的詳細のうちの1つ以上のものを伴わずに、もしくは他の装置、システム、アセンブリ、方法、構成要素、材料、部品、および/または同等物を伴って、実践可能であり得ることを認識するであろう。他の事例では、公知の構造、構成要素、システム、材料、または動作は、本発明の実施形態の側面を曖昧にすることを回避するために、具体的には、詳細に図示または説明されない。本発明は、特定の実施形態を使用することによって図示され得るが、これは、任意の特定の実施形態ではなく、本発明をそれに限定するわけでもなく、当業者は、付加的実施形態が、容易に理解可能であって、本発明の一部であることを認識するであろう。
【0107】
本明細書で議論される実施形態は、ネットワーク(例えば、インターネット)に通信可能に結合される、分散型コンピュータのセット内に実装されることができる。R、Python、C、C++、Java(登録商標)、JavaScript(登録商標)、HTML、または任意の他のプログラミングもしくはスクリプトコード等を含む、任意の好適なプログラミング言語が、本明細書に説明される本発明の実施形態のルーチン、方法、またはプログラムを実装するために使用されることができる。他のソフトウェア/ハードウェア/ネットワークアーキテクチャも、使用されてもよい。実施形態を実装するコンピュータ間の通信は、任意の電子、光学、無線周波数信号、または既知のネットワークプロトコルに準拠する、他の好適な方法および通信ツールを使用して遂行されることができる。
【0108】
ステップ、動作、または算出は、具体的順番で提示され得るが、本順番は、異なる実施形態では、変更され得る。いくつかの実施形態では、複数のステップが本明細書に順次的として示される範囲において、代替実施形態におけるそのようなステップのいくつかの組み合わせは、同時に行われてもよい。本明細書に説明される動作のシーケンスは、オペレーティングシステム、カーネル等の別のプロセスによって中断、一時停止、または別様に制御することができる。ルーチンは、オペレーティングシステム環境内において、または独立ルーチンとして、動作することができる。本明細書に説明される機能、ルーチン、方法、ステップ、および動作は、ハードウェア、ソフトウェア、ファームウェア、または任意のそれらの組み合わせにおいて行うことができる。
【0109】
本明細書に説明される実施形態は、ソフトウェア、またはハードウェア、または両方の組み合わせにおいて、制御論理の形態で実装することができる。制御論理は、情報処理デバイスに、種々の実施形態に開示される一組のステップを行うよう指示するように適合された複数の命令として、コンピュータ読み取り可能な媒体等の情報記憶媒体内に記憶され得る。本明細書に提供される本開示および教示に基づいて、当業者は、本発明を実装するための他の手法および/または方法を理解するであろう。
【0110】
「コンピュータ可読媒体」は、命令実行システム、装置、システム、またはデバイスによって、もしくはそれと併せて使用するために、プログラムを含有、記憶、通信、伝搬、またはトランスポートすることができる、任意の媒体であり得る。コンピュータ可読媒体は、限定ではなく、単なる一例として、電子、磁気、光学、電磁、赤外線、または半導体システム、装置、システム、デバイス、伝搬媒体、もしくはコンピュータメモリであり得る。そのようなコンピュータ可読媒体は、概して、機械可読であって、人間可読(例えば、ソースコード)または機械可読(例えば、オブジェクトコード)であり得る、ソフトウェアプログラミングまたはコードを含むものとする。非一過性コンピュータ可読媒体の実施例は、ランダムアクセスメモリ、読み取り専用メモリ、ハードドライブ、データカートリッジ、磁気テープ、フロッピー(登録商標)ディスケット、フラッシュメモリドライブ、光学データ記憶デバイス、コンパクトディスク読み取り専用メモリ、ならびに他の適切なコンピュータメモリおよびデータ記憶デバイスを含むことができる。
【0111】
本明細書で使用される場合、用語「comprise(~を備える)」、「comprising(~を備える)」、「include(~を含む)」、「including(~を含む)」、「has(~を有する)」、「having(~を有する)」、またはその任意の他の変形例は、非排他的含有を網羅することが意図される。例えば、要素のリストを備えている、プロセス、製品、物品、または装置は、必ずしも、それらの要素のみに限定されず、明示的にリストされていない、もしくはそのようなプロセス、製品、物品、または装置に固有の他の要素を含み得る。
【0112】
さらに、用語「or(または)」は、本明細書で使用される場合、別様に示されない限り、概して、「and/or(および/または)」を意味すると意図される。例えば、条件AまたはBは、以下のうちの任意の1つによって充足される:Aは、真(または、存在)であって、Bは、偽(または、不在)である、Aは、偽(または、不在)であって、Bは、真(または、存在)である、ならびにAおよびBの両方が、真(または、存在)である。本明細書で使用されるように、「a」または「an」(および先行詞が「a」または「an」であるときは、「the」)によって先行される用語は、別様に請求項内で明確に示されない限り、そのような用語の単数形および複数形の両方を含む(すなわち、「a」または「an」の参照は、単数形のみまたは複数形のみを明確に示す)。また、本明細書の説明および以下の請求項全体を通して使用されるように、「in(~の中に)」の意味は、文脈によって明確に別様に示されない限り、「in(~の中に)」および「on(~の上に)」を含む。
【国際調査報告】