JP2003316745A - アクセス制御システムおよびアクセス権管理方法 - Google Patents
アクセス制御システムおよびアクセス権管理方法Info
- Publication number
- JP2003316745A JP2003316745A JP2002120338A JP2002120338A JP2003316745A JP 2003316745 A JP2003316745 A JP 2003316745A JP 2002120338 A JP2002120338 A JP 2002120338A JP 2002120338 A JP2002120338 A JP 2002120338A JP 2003316745 A JP2003316745 A JP 2003316745A
- Authority
- JP
- Japan
- Prior art keywords
- group
- access
- access control
- host
- host computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【課題】 多重帰属を考慮した状況において、情報漏洩
や踏み台攻撃に対するアクセス制御対象の安全性を高め
ることが可能なアクセス制御システムを提供する。 【解決手段】 複数のグループにグループ分けされた複
数のホストコンピュータと、グループ管理機構と、アク
セス制御機構とを備えるアクセス制御システムであっ
て、グループ管理機構が、各ホストコンピュータから同
一グループ内あるいは他のグループ内の他のホストコン
ピュータへのアクセスが各ホストコンピュータが属する
全グループのグループポリシで許可されている場合に、
各ホストコンピュータから前記他のホストコンピュータ
へのアクセスを許可し、それ以外の場合には不許可とす
るアクセス制御条件を各ホストコンピュータ毎に設定
し、アクセス制御機構が、グループ管理機構で設定され
たアクセス制御条件に基づき、各ホストコンピュータか
ら前記他のホストコンピュータへのアクセスを制御す
る。
や踏み台攻撃に対するアクセス制御対象の安全性を高め
ることが可能なアクセス制御システムを提供する。 【解決手段】 複数のグループにグループ分けされた複
数のホストコンピュータと、グループ管理機構と、アク
セス制御機構とを備えるアクセス制御システムであっ
て、グループ管理機構が、各ホストコンピュータから同
一グループ内あるいは他のグループ内の他のホストコン
ピュータへのアクセスが各ホストコンピュータが属する
全グループのグループポリシで許可されている場合に、
各ホストコンピュータから前記他のホストコンピュータ
へのアクセスを許可し、それ以外の場合には不許可とす
るアクセス制御条件を各ホストコンピュータ毎に設定
し、アクセス制御機構が、グループ管理機構で設定され
たアクセス制御条件に基づき、各ホストコンピュータか
ら前記他のホストコンピュータへのアクセスを制御す
る。
Description
【0001】
【発明の属する技術分野】本発明は、アクセス制御シス
テムおよびアクセス権管理方法に係わり、特に、グルー
プメンバが複数グループヘ所属する多重帰属の環境にお
いて有効な技術に関する。
テムおよびアクセス権管理方法に係わり、特に、グルー
プメンバが複数グループヘ所属する多重帰属の環境にお
いて有効な技術に関する。
【0002】
【従来の技術】情報システムは、数多くのハードウェア
リソース、ソフトウェアリソース、データリソース、ネ
ットワークリソースから構成されている。ネットワーク
で接続されたこれらのリソースに対する不正アクセスを
防止する技術がアクセス制御技術である。アクセス制御
技術が実装された装置やソフトウェアのことを、アクセ
ス制御機構と呼び、アクセス制御機構の具体的な例とし
ては、データベース管理システム、WWWサーバ、ファ
イルシステム、パケットフィルタリングなどが挙げられ
る。リソースヘのアクセス要求を発する者をアクセス要
求者と呼び、アクセス要求者の具体的な例としては、人
間であるユーザやコンピュータであるホストが挙げられ
る。アクセス制御技術は、アクセス権限の認証とアクセ
ス制御の仕組みから構成される。アクセス権限の認証の
段階では、ユーザIDやパスワードなどによってアクセ
ス要求者の正当性を確認する。アクセス制御の段階で
は、アクセス要求者のアクセス要求種別が、アクセス要
求者に与えられたアクセス権の許容範囲かどうかを確認
し、許容範囲内ならリソースへのアクセスを許可する。
各種リソースに対するユーザ毎のアクセス権を決定し、
アクセス制御機構への設定を行う者をアクセス管理者と
呼ぶ。アクセス制御を実現するために、リソースへのア
クセスが必要な業務の遂行の効率性と、情報セキュリテ
ィの確保を両立させるように、アクセス管理者は、適切
にアクセス制御機構を設定しなければならない。
リソース、ソフトウェアリソース、データリソース、ネ
ットワークリソースから構成されている。ネットワーク
で接続されたこれらのリソースに対する不正アクセスを
防止する技術がアクセス制御技術である。アクセス制御
技術が実装された装置やソフトウェアのことを、アクセ
ス制御機構と呼び、アクセス制御機構の具体的な例とし
ては、データベース管理システム、WWWサーバ、ファ
イルシステム、パケットフィルタリングなどが挙げられ
る。リソースヘのアクセス要求を発する者をアクセス要
求者と呼び、アクセス要求者の具体的な例としては、人
間であるユーザやコンピュータであるホストが挙げられ
る。アクセス制御技術は、アクセス権限の認証とアクセ
ス制御の仕組みから構成される。アクセス権限の認証の
段階では、ユーザIDやパスワードなどによってアクセ
ス要求者の正当性を確認する。アクセス制御の段階で
は、アクセス要求者のアクセス要求種別が、アクセス要
求者に与えられたアクセス権の許容範囲かどうかを確認
し、許容範囲内ならリソースへのアクセスを許可する。
各種リソースに対するユーザ毎のアクセス権を決定し、
アクセス制御機構への設定を行う者をアクセス管理者と
呼ぶ。アクセス制御を実現するために、リソースへのア
クセスが必要な業務の遂行の効率性と、情報セキュリテ
ィの確保を両立させるように、アクセス管理者は、適切
にアクセス制御機構を設定しなければならない。
【0003】多くのリソースから構成される分散システ
ムにおいて、個々のリソース毎に、すべてのアクセス要
求者のアクセス権を設定するには、アクセス管理者にも
大きな作業負担をもたらすことになる。また、アクセス
権をチェックするアクセス制御機構側にも大きな負荷が
かかり、システム全体の効率性に影響を与える。アクセ
ス制御を行うことによって、システムやアクセス管理者
にかかる負荷のことをアクセス制御コストと呼ぶ。アク
セス制御コストを低く抑える一つの方法として、すべて
のリソースに対してアクセス要求者毎にアクセス権を設
定するのではなく、複数のリソースや、複数のアクセス
要求者に対して別名を付けて集約し、制御する数を減ら
す方法がある。集約する例としては、ユーザの業務種別
や職務権限による分類や、ホストに割り振られたIP
(Internet Protocol)アドレスのネットワーク単位に
よる分類などである。業務種別で分類するより具体的な
ものとして、例えば、経理部では会計処理に必要なプロ
グラムやファイルをサーバ単位やディレクトリ単位に集
約し、他の部署からのアクセスを禁止することが挙げら
れる。職務権限で分類するより具体的なものとして、例
えば、部長、課長、社員、アルバイトといった職務権限
別にアクセス制御を行うことが挙げられる。
ムにおいて、個々のリソース毎に、すべてのアクセス要
求者のアクセス権を設定するには、アクセス管理者にも
大きな作業負担をもたらすことになる。また、アクセス
権をチェックするアクセス制御機構側にも大きな負荷が
かかり、システム全体の効率性に影響を与える。アクセ
ス制御を行うことによって、システムやアクセス管理者
にかかる負荷のことをアクセス制御コストと呼ぶ。アク
セス制御コストを低く抑える一つの方法として、すべて
のリソースに対してアクセス要求者毎にアクセス権を設
定するのではなく、複数のリソースや、複数のアクセス
要求者に対して別名を付けて集約し、制御する数を減ら
す方法がある。集約する例としては、ユーザの業務種別
や職務権限による分類や、ホストに割り振られたIP
(Internet Protocol)アドレスのネットワーク単位に
よる分類などである。業務種別で分類するより具体的な
ものとして、例えば、経理部では会計処理に必要なプロ
グラムやファイルをサーバ単位やディレクトリ単位に集
約し、他の部署からのアクセスを禁止することが挙げら
れる。職務権限で分類するより具体的なものとして、例
えば、部長、課長、社員、アルバイトといった職務権限
別にアクセス制御を行うことが挙げられる。
【0004】
【発明が解決しようとする課題】多くのリソースから構
成される分散システムにおいて、一つのアクセス要求者
に対して、同時にアクセスを許可できないリソースが存
在する。その一例として、企業内で人事情報データベー
スヘのアクセスが許可されているユーザは、企業外部へ
の情報漏洩を防止するために、インターネットなどの外
部ネットワークへのアクセスを許可しない、とういうも
のが挙げられる。別の例としては、協力企業とVPN
(Virtual Private Network;仮想専用網)経由でアク
セスが許可されているホストに対しては、踏み台攻撃に
利用されることを防止するために、部署外のホストから
のアクセスを許可しない、というものが挙げられる。前
述した通り、複数のアクセス要求者に対して別名を付け
て集約することは、アクセス制御コストを低く抑える方
法の一つである。一方、企業内の組織を越えたワークグ
ループなどでは、一つのアクセス要求者が複数の業務種
別や職務権限に属することになる。これは、一つのアク
セス要求者が、同時に複数の別名に含まれることを意味
し、この状態を多重帰属と呼ぶ。多重帰属を考慮した状
況では、各々の別名を管理するアクセス管理者は、個々
のアクセス要求者が属している複数の別名が、同時に属
することが許可されるかも考慮しなければならない。
成される分散システムにおいて、一つのアクセス要求者
に対して、同時にアクセスを許可できないリソースが存
在する。その一例として、企業内で人事情報データベー
スヘのアクセスが許可されているユーザは、企業外部へ
の情報漏洩を防止するために、インターネットなどの外
部ネットワークへのアクセスを許可しない、とういうも
のが挙げられる。別の例としては、協力企業とVPN
(Virtual Private Network;仮想専用網)経由でアク
セスが許可されているホストに対しては、踏み台攻撃に
利用されることを防止するために、部署外のホストから
のアクセスを許可しない、というものが挙げられる。前
述した通り、複数のアクセス要求者に対して別名を付け
て集約することは、アクセス制御コストを低く抑える方
法の一つである。一方、企業内の組織を越えたワークグ
ループなどでは、一つのアクセス要求者が複数の業務種
別や職務権限に属することになる。これは、一つのアク
セス要求者が、同時に複数の別名に含まれることを意味
し、この状態を多重帰属と呼ぶ。多重帰属を考慮した状
況では、各々の別名を管理するアクセス管理者は、個々
のアクセス要求者が属している複数の別名が、同時に属
することが許可されるかも考慮しなければならない。
【0005】従来の、別名に属しているアクセス要求者
リストを管理し、別名に対するアクセス権を管理する技
術では、自身の管理するアクセス制御対象へのアクセス
権しか管理できない。アクセス制御対象のアクセス管理
者が異なる場合、そのアクセス制御対象へのアクセス要
求者の行動を把握することができないため、情報漏洩や
踏み台攻撃の危険性を避けることができない。本発明
は、前記従来技術の問題点を解決するためになされたも
のであり、本発明の目的は、多重帰属を考慮した状況に
おいて、情報漏洩や踏み台攻撃に対するアクセス制御対
象の安全性を高めることが可能なアクセス制御システム
およびアクセス権管理方法を提供することにある。本発
明の前記ならびにその他の目的と新規な特徴は、本明細
書の記述及び添付図面によって明らかにする。
リストを管理し、別名に対するアクセス権を管理する技
術では、自身の管理するアクセス制御対象へのアクセス
権しか管理できない。アクセス制御対象のアクセス管理
者が異なる場合、そのアクセス制御対象へのアクセス要
求者の行動を把握することができないため、情報漏洩や
踏み台攻撃の危険性を避けることができない。本発明
は、前記従来技術の問題点を解決するためになされたも
のであり、本発明の目的は、多重帰属を考慮した状況に
おいて、情報漏洩や踏み台攻撃に対するアクセス制御対
象の安全性を高めることが可能なアクセス制御システム
およびアクセス権管理方法を提供することにある。本発
明の前記ならびにその他の目的と新規な特徴は、本明細
書の記述及び添付図面によって明らかにする。
【0006】
【課題を解決するための手段】本願において開示される
発明のうち、代表的なものの概要を簡単に説明すれば、
下記の通りである。即ち、本発明は、複数のグループに
グループ分けされた複数のホストコンピュータと、アク
セス制御機構とを備えるアクセス制御システムにおける
アクセス権管理方法であって、前記アクセス制御機構
が、前記各ホストコンピュータから、同一グループ内あ
るいは他のグループ内の他のホストコンピュータへのア
クセスが、前記各ホストコンピュータが属する全グルー
プのグループポリシで許可されている場合に、前記各ホ
ストコンピュータから前記他のホストコンピュータへの
アクセスを許可し、それ以外の場合には不許可とする。
即ち、本発明では、グループ管理機構を備え、前記グル
ープ管理機構が、前記各ホストコンピュータから前記他
のホストコンピュータへのアクセスが、前記各ホストコ
ンピュータが属する全グループのグループポリシで許可
されている場合に、前記各ホストコンピュータから前記
他のホストコンピュータへのアクセスを許可し、それ以
外の場合には不許可とするアクセス制御条件を、前記各
ホストコンピュータ毎に設定し、アクセス制御機構は、
前記グループ管理機構で設定されたアクセス制御条件に
基づき、前記各ホストコンピュータから前記他のホスト
コンピュータへのアクセスを制御する。
発明のうち、代表的なものの概要を簡単に説明すれば、
下記の通りである。即ち、本発明は、複数のグループに
グループ分けされた複数のホストコンピュータと、アク
セス制御機構とを備えるアクセス制御システムにおける
アクセス権管理方法であって、前記アクセス制御機構
が、前記各ホストコンピュータから、同一グループ内あ
るいは他のグループ内の他のホストコンピュータへのア
クセスが、前記各ホストコンピュータが属する全グルー
プのグループポリシで許可されている場合に、前記各ホ
ストコンピュータから前記他のホストコンピュータへの
アクセスを許可し、それ以外の場合には不許可とする。
即ち、本発明では、グループ管理機構を備え、前記グル
ープ管理機構が、前記各ホストコンピュータから前記他
のホストコンピュータへのアクセスが、前記各ホストコ
ンピュータが属する全グループのグループポリシで許可
されている場合に、前記各ホストコンピュータから前記
他のホストコンピュータへのアクセスを許可し、それ以
外の場合には不許可とするアクセス制御条件を、前記各
ホストコンピュータ毎に設定し、アクセス制御機構は、
前記グループ管理機構で設定されたアクセス制御条件に
基づき、前記各ホストコンピュータから前記他のホスト
コンピュータへのアクセスを制御する。
【0007】本発明の好ましい実施の形態では、前記グ
ループ管理機構が、前記各グループに所属するホストコ
ンピュータと、前記各グループのグループポリシとを管
理するとともに、前記各グループ毎のホストコンピュー
タと、前記各グループのグループポリシとに基づき、前
記各ホストコンピュータ毎のアクセス制御条件を生成す
る。本発明の好ましい実施の形態では、前記アクセス制
御機構が、パケットフィルタリング装置である。本発明
の好ましい実施の形態では、前記ホストコンピュータの
少なくとも1つが、複数のグループに属している。
ループ管理機構が、前記各グループに所属するホストコ
ンピュータと、前記各グループのグループポリシとを管
理するとともに、前記各グループ毎のホストコンピュー
タと、前記各グループのグループポリシとに基づき、前
記各ホストコンピュータ毎のアクセス制御条件を生成す
る。本発明の好ましい実施の形態では、前記アクセス制
御機構が、パケットフィルタリング装置である。本発明
の好ましい実施の形態では、前記ホストコンピュータの
少なくとも1つが、複数のグループに属している。
【0008】本発明は、「アクセス制御機構」と、「ア
クセス制御対象」と、「アクセス要求者」と、「アクセ
ス管理者」と、「グループ管理機構」とから構成され
る。「アクセス制御機構」は、前記の通り、アクセス制
御技術が実装された装置やソフトウェアである。「アク
セス制御対象」は、データやサービス、ホストコンピュ
ータなどの各種リソースである。「アクセス要求者」
は、前記の通り、ユーザやホストコンピュータである。
「アクセス管理者」は、「アクセス制御対象」に対する
「アクセス要求者」のアクセス権を決定し、「アクセス
制御機構」の設定を行う者である。「グループ管理機
構」は、「グループメンバ管理機構」、「グループポリ
シ管理機構」、「グループポリシ変換機構」、「アクセ
ス制御設定機構」で構成される。グループとは、ひとま
とまりのアクセス制御のポリシ、アクセス制御の対象と
なる「アクセス制御対象」、および、アクセス制御のポ
リシが適用される「アクセス要求者」の集合を意味す
る。グループの「アクセス制御のポリシ」を、以降「グ
ループポリシ」と呼ぶ。
クセス制御対象」と、「アクセス要求者」と、「アクセ
ス管理者」と、「グループ管理機構」とから構成され
る。「アクセス制御機構」は、前記の通り、アクセス制
御技術が実装された装置やソフトウェアである。「アク
セス制御対象」は、データやサービス、ホストコンピュ
ータなどの各種リソースである。「アクセス要求者」
は、前記の通り、ユーザやホストコンピュータである。
「アクセス管理者」は、「アクセス制御対象」に対する
「アクセス要求者」のアクセス権を決定し、「アクセス
制御機構」の設定を行う者である。「グループ管理機
構」は、「グループメンバ管理機構」、「グループポリ
シ管理機構」、「グループポリシ変換機構」、「アクセ
ス制御設定機構」で構成される。グループとは、ひとま
とまりのアクセス制御のポリシ、アクセス制御の対象と
なる「アクセス制御対象」、および、アクセス制御のポ
リシが適用される「アクセス要求者」の集合を意味す
る。グループの「アクセス制御のポリシ」を、以降「グ
ループポリシ」と呼ぶ。
【0009】「グループポリシ」によって、アクセス制
御の制約を受ける「アクセス要求者」を「グループメン
バ」と呼ぶ。グループ管理機構の「グループメンバ管理
機構」は、グループメンバ情報を管理する機能、およ
び、アクセス管理者からの編集要求を受付け、処理する
機能を有する。グループメンバ情報は、各グループに所
属するグループメンバのリストからなる。ここで、「グ
ループに所属する」とは、所属するグループメンバが、
グループ内外のアクセス制御対象に対するアクセスに関
して、グループポリシの制約を受けることを意味する。
グループ管理機構の「グループポリシ管理機構」は、グ
ループポリシ情報を管理する機能、および、アクセス管
理者からの編集要求を受付け、処理する機能を有する。
グループポリシ情報は、リソースアクセス権、および、
メンバアクセス権からなる。リソースアクセス権とは、
グループ内のアクセス制御対象への、グループ内外から
のアクセス権を意味し、メンバアクセス権とは、グルー
プメンバからの、グループ内外のアクセス制御対象への
アクセス権を意味する。
御の制約を受ける「アクセス要求者」を「グループメン
バ」と呼ぶ。グループ管理機構の「グループメンバ管理
機構」は、グループメンバ情報を管理する機能、およ
び、アクセス管理者からの編集要求を受付け、処理する
機能を有する。グループメンバ情報は、各グループに所
属するグループメンバのリストからなる。ここで、「グ
ループに所属する」とは、所属するグループメンバが、
グループ内外のアクセス制御対象に対するアクセスに関
して、グループポリシの制約を受けることを意味する。
グループ管理機構の「グループポリシ管理機構」は、グ
ループポリシ情報を管理する機能、および、アクセス管
理者からの編集要求を受付け、処理する機能を有する。
グループポリシ情報は、リソースアクセス権、および、
メンバアクセス権からなる。リソースアクセス権とは、
グループ内のアクセス制御対象への、グループ内外から
のアクセス権を意味し、メンバアクセス権とは、グルー
プメンバからの、グループ内外のアクセス制御対象への
アクセス権を意味する。
【0010】グループ管理機構の「グループポリシ変換
機構」は、アクセス制御機構に関する情報を管理する機
能、および、グループメンバ管理機構とグループポリシ
管理機構に登録された情報からアクセス制御機構の設定
内容を生成する機能を有する。アクセス制御機構に関す
る情報とは、各アクセス制御機構でアクセス制御処理が
可能な、アクセス要求者とアクセス制御対象の情報、ア
クセス制御処理に必要な設定情報の書式に関する情報、
および、アクセス制御処理に必要な設定情報の設定方法
に関する情報である。あるアクセス要求者の、あるアク
セス制御対象へのアクセス要求を許可するかは、以下の
ように判断する。アクセス要求者の所属する全グループ
のグループポリシを調べ、アクセス要求の内容が全グル
ープポリシで許可されている場合のみ、実際のアクセス
が許可される。一つでもアクセス要求の内容が許可され
ていないグループが存在する場合は、実際のアクセスは
許可されない。グループ管理機構の「アクセス制御設定
機構」は、グループポリシ変換機構によって生成された
アクセス制御機構の設定内容を、アクセス制御機構に設
定する機能を有する。
機構」は、アクセス制御機構に関する情報を管理する機
能、および、グループメンバ管理機構とグループポリシ
管理機構に登録された情報からアクセス制御機構の設定
内容を生成する機能を有する。アクセス制御機構に関す
る情報とは、各アクセス制御機構でアクセス制御処理が
可能な、アクセス要求者とアクセス制御対象の情報、ア
クセス制御処理に必要な設定情報の書式に関する情報、
および、アクセス制御処理に必要な設定情報の設定方法
に関する情報である。あるアクセス要求者の、あるアク
セス制御対象へのアクセス要求を許可するかは、以下の
ように判断する。アクセス要求者の所属する全グループ
のグループポリシを調べ、アクセス要求の内容が全グル
ープポリシで許可されている場合のみ、実際のアクセス
が許可される。一つでもアクセス要求の内容が許可され
ていないグループが存在する場合は、実際のアクセスは
許可されない。グループ管理機構の「アクセス制御設定
機構」は、グループポリシ変換機構によって生成された
アクセス制御機構の設定内容を、アクセス制御機構に設
定する機能を有する。
【0011】アクセス管理者は、グループ管理機構毎、
または、グループ毎に存在する。アクセス管理者は、グ
ループ管理機構に対して、グループメンバ情報の編集要
求、グループポリシ情報の編集要求、アクセス制御機構
設定要求を送出する。アクセス要求者は、ホストやネッ
トワークを介し、アクセス制御機構に対して、アクセス
制御対象へのアクセス要求を発する。アクセス要求者
は、自身のアクセス要求が、アクセス制御機構によって
許可されれば、アクセス制御対象を利用することがで
き、許可されなければ、アクセス制御対象を利用するこ
とができない。アクセス管理者は、メンバアクセス権、
特にグループメンバからグループ外部のアクセス制御対
象へのアクセス権を設定することにより、グループメン
バの行動に制約を加えることができる。これによりアク
セス管理者は、グループメンバが複数グループヘ所属す
る多重帰属の環境に対応したアクセス権の設定が可能に
なる。このように、本発明では、多重帰属を考慮した状
況において、グループメンバの行動にアクセス制御ポリ
シによる制約を加え、情報漏洩や踏み台攻撃に対するア
クセス制御対象の安全性を高めることが可能となる。
または、グループ毎に存在する。アクセス管理者は、グ
ループ管理機構に対して、グループメンバ情報の編集要
求、グループポリシ情報の編集要求、アクセス制御機構
設定要求を送出する。アクセス要求者は、ホストやネッ
トワークを介し、アクセス制御機構に対して、アクセス
制御対象へのアクセス要求を発する。アクセス要求者
は、自身のアクセス要求が、アクセス制御機構によって
許可されれば、アクセス制御対象を利用することがで
き、許可されなければ、アクセス制御対象を利用するこ
とができない。アクセス管理者は、メンバアクセス権、
特にグループメンバからグループ外部のアクセス制御対
象へのアクセス権を設定することにより、グループメン
バの行動に制約を加えることができる。これによりアク
セス管理者は、グループメンバが複数グループヘ所属す
る多重帰属の環境に対応したアクセス権の設定が可能に
なる。このように、本発明では、多重帰属を考慮した状
況において、グループメンバの行動にアクセス制御ポリ
シによる制約を加え、情報漏洩や踏み台攻撃に対するア
クセス制御対象の安全性を高めることが可能となる。
【0012】
【発明の実施の形態】以下、図面を参照して本発明の実
施の形態を詳細に説明する。なお、実施の形態を説明す
るための全図において、同一機能を有するものは同一符
号を付け、その繰り返しの説明は省略する。図1は、本
発明の実施の形態のアクセス制御システムの概略構成を
示すブロック図である。図1において、110,12
0,210,220,310,320は、IPネットワ
ーク通信機能を備えたホストコンピュータ(以下、単
に、ホストという)である。各ホストは、他のホストヘ
アクセスを要求するアクセス要求者の機能と、他のホス
トからのアクセスを受付けるアクセス制御対象の機能を
備える。400は、IPパケットのフィルタリングによ
るアクセス制御機構を有するパケットフィルタリング装
置である。前述の各ホストは、パケットフィルタリング
装置400と接続され、パケットフィルタリング装置4
00を介して相互に通信が可能である。500は、グル
ープ管理機構を実装したグループ管理装置である。グル
ープ管理装置500は、グループメンバ管理機構51
0、グループポリシ管理機構520、グループポリシ変
換機構530、パケットフィルタリング装置400に対
する設定機能を有するアクセス制御設定機構540を備
える。経理部グループ100、インターネットグループ
200、開発部グループ300は、グループ管理装置5
00内で定義されているグループである。
施の形態を詳細に説明する。なお、実施の形態を説明す
るための全図において、同一機能を有するものは同一符
号を付け、その繰り返しの説明は省略する。図1は、本
発明の実施の形態のアクセス制御システムの概略構成を
示すブロック図である。図1において、110,12
0,210,220,310,320は、IPネットワ
ーク通信機能を備えたホストコンピュータ(以下、単
に、ホストという)である。各ホストは、他のホストヘ
アクセスを要求するアクセス要求者の機能と、他のホス
トからのアクセスを受付けるアクセス制御対象の機能を
備える。400は、IPパケットのフィルタリングによ
るアクセス制御機構を有するパケットフィルタリング装
置である。前述の各ホストは、パケットフィルタリング
装置400と接続され、パケットフィルタリング装置4
00を介して相互に通信が可能である。500は、グル
ープ管理機構を実装したグループ管理装置である。グル
ープ管理装置500は、グループメンバ管理機構51
0、グループポリシ管理機構520、グループポリシ変
換機構530、パケットフィルタリング装置400に対
する設定機能を有するアクセス制御設定機構540を備
える。経理部グループ100、インターネットグループ
200、開発部グループ300は、グループ管理装置5
00内で定義されているグループである。
【0013】図2は、図1に示すグループ管理装置50
0の処理手順を示すフローチャートである。グループ管
理装置500は、アクセス管理者からの要求を受け付け
(ステップ11)、当該要求の種別を判定し(ステップ
12)、グループメンバ情報の更新処理(ステップ1
3)、グループポリシ情報の更新処理(ステップ1
4)、グループポリシ変換処理(ステップ15)、アク
セス制御機構設定処理(ステップ16)、および、終了
処理の各処理を実行する。本実施の形態において、各グ
ループのアクセス管理者は、前記各種類の要求を、グル
ープに所属している任意のホストからグループ管理装置
500へ送出できるものとする。図3は、図2に示すグ
ループメンバ情報の更新処理の処理手順を示すフローチ
ャートである。グループメンバ情報管理機構510は、
アクセス管理者からの要求を受け付け(ステップ2
1)、当該要求の種別を判定し(ステップ22)、グル
ープメンバ情報の追加処理(ステップ23)、グループ
メンバ情報の変更処理(ステップ24)、および、グル
ープメンバ情報の削除処理(ステップ25)の各処理を
実行する。
0の処理手順を示すフローチャートである。グループ管
理装置500は、アクセス管理者からの要求を受け付け
(ステップ11)、当該要求の種別を判定し(ステップ
12)、グループメンバ情報の更新処理(ステップ1
3)、グループポリシ情報の更新処理(ステップ1
4)、グループポリシ変換処理(ステップ15)、アク
セス制御機構設定処理(ステップ16)、および、終了
処理の各処理を実行する。本実施の形態において、各グ
ループのアクセス管理者は、前記各種類の要求を、グル
ープに所属している任意のホストからグループ管理装置
500へ送出できるものとする。図3は、図2に示すグ
ループメンバ情報の更新処理の処理手順を示すフローチ
ャートである。グループメンバ情報管理機構510は、
アクセス管理者からの要求を受け付け(ステップ2
1)、当該要求の種別を判定し(ステップ22)、グル
ープメンバ情報の追加処理(ステップ23)、グループ
メンバ情報の変更処理(ステップ24)、および、グル
ープメンバ情報の削除処理(ステップ25)の各処理を
実行する。
【0014】図4は、図2に示すグループポリシ情報の
更新処理の処理手順を示すフローチャートである。グル
ープポリシ情報管理機構520は、アクセス管理者から
の要求を受け付け(ステップ31)、当該要求の種別を
判定し(ステップ32)、グループポリシ情報の追加処
理(ステップ33)、グループポリシ情報の変更処理
(ステップ34)、および、グループポリシ情報の削除
処理(ステップ35)の各処理を実行する。本実施の形
態において、グループポリシ変換機構530には、パケ
ットフィルタリング装置400の設定情報の書式に関す
る情報、パケットフィルタリング装置400の設定情報
の設定方法に関する情報、および、ホスト(110,1
20,210,220,310,320)が、パケット
フィルタリング装置400でアクセス制御が可能なアク
セス要求者であり、かつ、アクセス制御対象であること
が登録されているものとする。
更新処理の処理手順を示すフローチャートである。グル
ープポリシ情報管理機構520は、アクセス管理者から
の要求を受け付け(ステップ31)、当該要求の種別を
判定し(ステップ32)、グループポリシ情報の追加処
理(ステップ33)、グループポリシ情報の変更処理
(ステップ34)、および、グループポリシ情報の削除
処理(ステップ35)の各処理を実行する。本実施の形
態において、グループポリシ変換機構530には、パケ
ットフィルタリング装置400の設定情報の書式に関す
る情報、パケットフィルタリング装置400の設定情報
の設定方法に関する情報、および、ホスト(110,1
20,210,220,310,320)が、パケット
フィルタリング装置400でアクセス制御が可能なアク
セス要求者であり、かつ、アクセス制御対象であること
が登録されているものとする。
【0015】本実施の形態において、グループメンバ管
理機構510と、グループポリシ管理機構520で管理
される情報を図5に示す。図5に示すグループポリシの
記述において、「○」は通信の許可を、「×」は通信の
不許可を表している。「A→B」は、アクセス要求者で
あるホストAから、アクセス制御対象であるホストBへ
の通信を表している。Aがグループメンバであるグルー
プポリシはメンバアクセス権を、Aがグループメンバで
ないグループポリシはリソースアクセス権を表してい
る。「A←→B」は、「A→B」と「B→A」の二つを
省略した表記である。「(α)」は、グループαに所属
する全てのメンバを表している。「All」は、グルー
プ内外の全てのホストを表している。
理機構510と、グループポリシ管理機構520で管理
される情報を図5に示す。図5に示すグループポリシの
記述において、「○」は通信の許可を、「×」は通信の
不許可を表している。「A→B」は、アクセス要求者で
あるホストAから、アクセス制御対象であるホストBへ
の通信を表している。Aがグループメンバであるグルー
プポリシはメンバアクセス権を、Aがグループメンバで
ないグループポリシはリソースアクセス権を表してい
る。「A←→B」は、「A→B」と「B→A」の二つを
省略した表記である。「(α)」は、グループαに所属
する全てのメンバを表している。「All」は、グルー
プ内外の全てのホストを表している。
【0016】図6は、図2に示すグループポリシ変換処
理の処理手順を示すフローチャートである。グループポ
リシ変換機構530は、パケットフィルタリング装置4
00でアクセス制御が可能なアクセス要求者(ホスト)
と、アクセス制御対象(ホスト)の全ての組合せについ
て通信の可否を調べる(ステップ51〜ステップ6
4)。「X(アクセス要求者)→Y(アクセス制御対
象)」の通信の可否は、以下のように判断する。初め
に、各組合せ毎に通信許可フラグをONにセットし(ス
テップ52)、アクセス要求者Xの所属する全グループ
を検索して所属グループリストを作成する(ステップ5
3)。次に、検索した各グループ(ステップ54〜ステ
ップ60)のグループポリシを上から順に検索し(ステ
ップ55〜ステップ58)、「X→Y」の組合せが最初
に含まれるグループポリシが、通信許可か、通信不許可
かを調べる(ステップ56、ステップ57)。
理の処理手順を示すフローチャートである。グループポ
リシ変換機構530は、パケットフィルタリング装置4
00でアクセス制御が可能なアクセス要求者(ホスト)
と、アクセス制御対象(ホスト)の全ての組合せについ
て通信の可否を調べる(ステップ51〜ステップ6
4)。「X(アクセス要求者)→Y(アクセス制御対
象)」の通信の可否は、以下のように判断する。初め
に、各組合せ毎に通信許可フラグをONにセットし(ス
テップ52)、アクセス要求者Xの所属する全グループ
を検索して所属グループリストを作成する(ステップ5
3)。次に、検索した各グループ(ステップ54〜ステ
ップ60)のグループポリシを上から順に検索し(ステ
ップ55〜ステップ58)、「X→Y」の組合せが最初
に含まれるグループポリシが、通信許可か、通信不許可
かを調べる(ステップ56、ステップ57)。
【0017】アクセス要求者Xの所属する全グループの
グループポリシにおいて、「X→Y」が通信許可であっ
た場合のみ通信を許可し、一つでもアクセス要求の内容
が許可されていないグループが存在した場合は、通信許
可フラグをOFFにセットする(ステップ59)。ま
た、グループ内の全てのグループポリシに、「X→Y」
の組合せが含まれなかった場合にも、通信許可フラグを
OFFにセットする(ステップ59)。次に、通信許可
フラグがONの場合には、アクセス制御機構の設定内容
を通信許可の内容で作成し(ステップ61、ステップ6
2)、また、通信許可フラグがOFFの場合には、アク
セス制御機構の設定内容を通信不許可の内容で作成する
(ステップ61、ステップ63)アクセス制御設定機構
540は、前記作成したアクセス制御機構の設定内容
を、パケットフィルタリング装置400に設定する。
グループポリシにおいて、「X→Y」が通信許可であっ
た場合のみ通信を許可し、一つでもアクセス要求の内容
が許可されていないグループが存在した場合は、通信許
可フラグをOFFにセットする(ステップ59)。ま
た、グループ内の全てのグループポリシに、「X→Y」
の組合せが含まれなかった場合にも、通信許可フラグを
OFFにセットする(ステップ59)。次に、通信許可
フラグがONの場合には、アクセス制御機構の設定内容
を通信許可の内容で作成し(ステップ61、ステップ6
2)、また、通信許可フラグがOFFの場合には、アク
セス制御機構の設定内容を通信不許可の内容で作成する
(ステップ61、ステップ63)アクセス制御設定機構
540は、前記作成したアクセス制御機構の設定内容
を、パケットフィルタリング装置400に設定する。
【0018】以下、図5を用いて、前述の通信許可と通
信不許可の判断について具体的に説明する。 ○状態1 図5に示す状態1は、本実施の形態の初期状態を示すも
のであり、本実施の形態の初期状態において、経理部グ
ループ100のグループメンバは、ホスト110とホス
ト120である。経理部グループ100のグループポリ
シは、「ホスト110とホスト120の通信は許可し、
経理部グループ100のメンバとインターネットグルー
プ200の通信は許可しない」という内容である。な
お、図5の「×(100)←→(200)」の記述は、
前述の通信許可と通信不許可の判断手順に従えば本来不
要であるが、ここでは説明のために明示的に記述してい
る。インターネットグループ200のグループメンバ
は、ホスト210とホスト220である。インターネッ
トグループ200のグループポリシは、グループ内外の
全ての通信を許可する、という内容である。開発部グル
ープ300のグループメンバは、ホスト310とホスト
320である。開発部グループ300のグループポリシ
は、開発部グループ300内の通信のみ許可する、とい
う内容である。
信不許可の判断について具体的に説明する。 ○状態1 図5に示す状態1は、本実施の形態の初期状態を示すも
のであり、本実施の形態の初期状態において、経理部グ
ループ100のグループメンバは、ホスト110とホス
ト120である。経理部グループ100のグループポリ
シは、「ホスト110とホスト120の通信は許可し、
経理部グループ100のメンバとインターネットグルー
プ200の通信は許可しない」という内容である。な
お、図5の「×(100)←→(200)」の記述は、
前述の通信許可と通信不許可の判断手順に従えば本来不
要であるが、ここでは説明のために明示的に記述してい
る。インターネットグループ200のグループメンバ
は、ホスト210とホスト220である。インターネッ
トグループ200のグループポリシは、グループ内外の
全ての通信を許可する、という内容である。開発部グル
ープ300のグループメンバは、ホスト310とホスト
320である。開発部グループ300のグループポリシ
は、開発部グループ300内の通信のみ許可する、とい
う内容である。
【0019】○状態2
図5に示す状態2は、状態1において、ホスト320か
らホスト220への通信を許可した状態である。グルー
プポリシのエントリ[521]は、開発部グループ30
0のグループポリシとして、ホスト320からホスト2
20への通信は許可し、ホスト220からホスト320
への通信は許可しないことを表す。
らホスト220への通信を許可した状態である。グルー
プポリシのエントリ[521]は、開発部グループ30
0のグループポリシとして、ホスト320からホスト2
20への通信は許可し、ホスト220からホスト320
への通信は許可しないことを表す。
【0020】○状態3
図5に示す状態3は、状態2において、ホスト310を
経理部グループ100に所属させた状態である。 ・グループポリシのエントリ[522]は、経理部グル
ープ100のグループポリシとして、ホスト110とホ
スト310の通信を許可することを表す。 ・グループメンバのエントリ[511]は、経理部グル
ープ100のグループポリシとして、ホスト310から
の通信先に関してアクセス制御を行うことを表す。 ・グループポリシのエントリ[523]は、経理部グル
ープ100のグループポリシにおいても、開発部グルー
プ300に所属しているホスト同士の通信は許可するこ
とを表す。 ・グループポリシのエントリ[524]は、開発部グル
ープ300のグループポリシとして、ホスト110とホ
スト310の通信を許可することを表す。 なお、ホスト120とホスト310はどちらも経理部グ
ループ100に所属するが、相互の通信は経理部グルー
プ100のグループポリシで許可されない。
経理部グループ100に所属させた状態である。 ・グループポリシのエントリ[522]は、経理部グル
ープ100のグループポリシとして、ホスト110とホ
スト310の通信を許可することを表す。 ・グループメンバのエントリ[511]は、経理部グル
ープ100のグループポリシとして、ホスト310から
の通信先に関してアクセス制御を行うことを表す。 ・グループポリシのエントリ[523]は、経理部グル
ープ100のグループポリシにおいても、開発部グルー
プ300に所属しているホスト同士の通信は許可するこ
とを表す。 ・グループポリシのエントリ[524]は、開発部グル
ープ300のグループポリシとして、ホスト110とホ
スト310の通信を許可することを表す。 なお、ホスト120とホスト310はどちらも経理部グ
ループ100に所属するが、相互の通信は経理部グルー
プ100のグループポリシで許可されない。
【0021】○状態4
図5に示す状態4は、状態3において、ホスト320を
経理部グループ100に所属させた状態である。グルー
プポリシのエントリ[525]は、経理部グループ10
0のグループポリシとして、ホスト110とホスト32
0の通信を許可することを表す。グループメンバのエン
トリ[512]は、経理部グループ100のグループポ
リシとして、ホスト320からの通信先に関してアクセ
ス制御を行うことを表す。グループポリシのエントリ
[526]は、開発部グループ300のグループポリシ
として、ホスト110とホスト320の通信を許可する
ことを表す。ここで、ホスト220とホスト320の通
信可否について説明する。ホスト220の所属するグル
ープは、インターネットグループ200のみであり、イ
ンターネットグループ200のグループポリシではホス
ト220とホスト320の通信は許可される。
経理部グループ100に所属させた状態である。グルー
プポリシのエントリ[525]は、経理部グループ10
0のグループポリシとして、ホスト110とホスト32
0の通信を許可することを表す。グループメンバのエン
トリ[512]は、経理部グループ100のグループポ
リシとして、ホスト320からの通信先に関してアクセ
ス制御を行うことを表す。グループポリシのエントリ
[526]は、開発部グループ300のグループポリシ
として、ホスト110とホスト320の通信を許可する
ことを表す。ここで、ホスト220とホスト320の通
信可否について説明する。ホスト220の所属するグル
ープは、インターネットグループ200のみであり、イ
ンターネットグループ200のグループポリシではホス
ト220とホスト320の通信は許可される。
【0022】一方、ホスト320の所属するグループ
は、開発部グループ300と経理部グループ100であ
る。開発部グループ300のグループポリシでは、エン
トリ[521]によってホスト320からホスト220
への通信は許可される。経理部グループ100のグルー
プポリシでは、エントリ[527]によってホスト22
0とホスト320の通信が許可されない。以上により、
各々のホストが所属するグループのグループポリシを調
べた結果、通信が許可されないポリシが存在するため、
ホスト220とホスト320の通信が許可されない。ホ
スト220とホスト320の通信が許可されないこと
は、ホスト320が、経理部グループ100と開発部グ
ループ300に多重帰属していても、「経理部グループ
100のメンバは、インターネットグループ200との
通信を許可しない」という、経理グループ100のグル
ープポリシに基づくものである。
は、開発部グループ300と経理部グループ100であ
る。開発部グループ300のグループポリシでは、エン
トリ[521]によってホスト320からホスト220
への通信は許可される。経理部グループ100のグルー
プポリシでは、エントリ[527]によってホスト22
0とホスト320の通信が許可されない。以上により、
各々のホストが所属するグループのグループポリシを調
べた結果、通信が許可されないポリシが存在するため、
ホスト220とホスト320の通信が許可されない。ホ
スト220とホスト320の通信が許可されないこと
は、ホスト320が、経理部グループ100と開発部グ
ループ300に多重帰属していても、「経理部グループ
100のメンバは、インターネットグループ200との
通信を許可しない」という、経理グループ100のグル
ープポリシに基づくものである。
【0023】前述した従来技術では、経理部グループ1
00のアクセス管理者は、ホスト320を経理部グルー
プ100のグループメンバに加える際に、ホスト320
が他のどのグループに所属しているかが分かったとして
も、どのようなアクセス権限を持っているかを知った
り、アクセス権限に制約を加えることはできなかった。
仮に、開発部グループ300のアクセス管理者に問い合
わせをしたり、アクセス制御の依頼を行えば実現は可能
であるが、この場合はアクセス制御コストが膨大にな
る。本発明によれば、アクセス管理者が、各メンバがど
のグループに所属しているかを知ること、および、各メ
ンバの複数グループのアクセス権の内容を相互にチェッ
クすることが不要になる。これにより、多重帰属を考慮
した状況において、情報漏洩や踏み台攻撃に対するアク
セス制御対象の安全性を高めることを実現するだけでな
く、アクセス管理者に発生するアクセス制御コストを低
く抑えることができるといえる。また、本発明は、IP
−VPNサービスにおけるVPN間通信サービスのよう
に、複数ネットワークの中間点で集中的アクセス制御を
行うような環境に特に適している。このようなサービス
に、本発明のグループ管理機能を導入することで、同様
のサービスと差異化を図ることが可能である。以上、本
発明者によってなされた発明を、前記実施の形態に基づ
き具体的に説明したが、本発明は、前記実施の形態に限
定されるものではなく、その要旨を逸脱しない範囲にお
いて種々変更可能であることは勿論である。
00のアクセス管理者は、ホスト320を経理部グルー
プ100のグループメンバに加える際に、ホスト320
が他のどのグループに所属しているかが分かったとして
も、どのようなアクセス権限を持っているかを知った
り、アクセス権限に制約を加えることはできなかった。
仮に、開発部グループ300のアクセス管理者に問い合
わせをしたり、アクセス制御の依頼を行えば実現は可能
であるが、この場合はアクセス制御コストが膨大にな
る。本発明によれば、アクセス管理者が、各メンバがど
のグループに所属しているかを知ること、および、各メ
ンバの複数グループのアクセス権の内容を相互にチェッ
クすることが不要になる。これにより、多重帰属を考慮
した状況において、情報漏洩や踏み台攻撃に対するアク
セス制御対象の安全性を高めることを実現するだけでな
く、アクセス管理者に発生するアクセス制御コストを低
く抑えることができるといえる。また、本発明は、IP
−VPNサービスにおけるVPN間通信サービスのよう
に、複数ネットワークの中間点で集中的アクセス制御を
行うような環境に特に適している。このようなサービス
に、本発明のグループ管理機能を導入することで、同様
のサービスと差異化を図ることが可能である。以上、本
発明者によってなされた発明を、前記実施の形態に基づ
き具体的に説明したが、本発明は、前記実施の形態に限
定されるものではなく、その要旨を逸脱しない範囲にお
いて種々変更可能であることは勿論である。
【0024】
【発明の効果】本願において開示される発明のうち代表
的なものによって得られる効果を簡単に説明すれば、下
記の通りである。本発明によれば、アクセス管理者が、
各メンバがどのグループに所属しているかを知ること、
および、各メンバの複数グループのアクセス権の内容を
相互にチェックすることが不要になる。これにより、多
重帰属を考慮した状況において、情報漏洩や踏み台攻撃
に対するアクセス制御対象の安全性を高めることが可能
となるばかりでなく、アクセス管理者に発生するアクセ
ス制御コストを低く抑えることが可能となる。
的なものによって得られる効果を簡単に説明すれば、下
記の通りである。本発明によれば、アクセス管理者が、
各メンバがどのグループに所属しているかを知ること、
および、各メンバの複数グループのアクセス権の内容を
相互にチェックすることが不要になる。これにより、多
重帰属を考慮した状況において、情報漏洩や踏み台攻撃
に対するアクセス制御対象の安全性を高めることが可能
となるばかりでなく、アクセス管理者に発生するアクセ
ス制御コストを低く抑えることが可能となる。
【図1】本発明の実施の形態のアクセス制御システムの
概略構成を示すブロック図である。
概略構成を示すブロック図である。
【図2】図1に示すグループ管理装置の処理手順を示す
フローチャートである。
フローチャートである。
【図3】図2に示すグループメンバ情報更新処理の処理
手順を示すフローチャートである。
手順を示すフローチャートである。
【図4】図2に示すグループポリシ情報の更新処理の処
理手順を示すフローチャートである。
理手順を示すフローチャートである。
【図5】本実施の形態において、グループメンバ管理機
構と、グループポリシ管理機構で管理される情報を説明
するための図である。
構と、グループポリシ管理機構で管理される情報を説明
するための図である。
【図6】図2に示すグループポリシ変換処理の処理手順
を示すフローチャートである。
を示すフローチャートである。
100…経理部グループ、110,120,210,2
20,310,320…ホストコンピュータ、200…
インターネットグループ、300…開発部グループ、4
00…パケットフィルタリング装置、500…グループ
管理装置、510…グループメンバ管理機構、520…
グループポリシ管理機構、530…グループポリシ変換
機構、540…アクセス制御設定機構。
20,310,320…ホストコンピュータ、200…
インターネットグループ、300…開発部グループ、4
00…パケットフィルタリング装置、500…グループ
管理装置、510…グループメンバ管理機構、520…
グループポリシ管理機構、530…グループポリシ変換
機構、540…アクセス制御設定機構。
Claims (10)
- 【請求項1】 複数のグループにグループ分けされた複
数のホストコンピュータと、アクセス制御機構とを備え
るアクセス制御システムであって、 前記アクセス制御機構は、前記各ホストコンピュータか
ら、同一グループ内あるいは他のグループ内の他のホス
トコンピュータへのアクセスが、前記各ホストコンピュ
ータが属する全グループのグループポリシで許可されて
いる場合に、前記各ホストコンピュータから前記他のホ
ストコンピュータへのアクセスを許可し、それ以外の場
合には不許可とすることを特徴とするアクセス制御シス
テム。 - 【請求項2】 グループ管理機構を備え、 前記グループ管理機構は、前記各ホストコンピュータか
ら前記他のホストコンピュータへのアクセスが、前記各
ホストコンピュータが属する全グループのグループポリ
シで許可されている場合に、前記各ホストコンピュータ
から前記他のホストコンピュータへのアクセスを許可
し、それ以外の場合には不許可とするアクセス制御条件
を、前記各ホストコンピュータ毎に設定し、 アクセス制御機構は、前記グループ管理機構で設定され
たアクセス制御条件に基づき、前記各ホストコンピュー
タから前記他のホストコンピュータへのアクセスを制御
することを特徴とする請求項1に記載のアクセス制御シ
ステム。 - 【請求項3】 前記グループ管理機構は、各グループに
所属するホストコンピュータを管理するグループメンバ
管理機能と、 前記各グループのグループポリシを管理するグループポ
リシ管理機構と、 前記グループメンバ管理機能で管理する各グループ毎の
ホストコンピュータと、前記グループポリシ管理機構で
管理する各グループのグループポリシとに基づき、前記
各ホストコンピュータ毎のアクセス制御条件を生成する
グループポリシ変換機構と、 前記グループポリシ変換機構で生成されたアクセス制御
条件を前記アクセス制御機構に設定するアクセス制御設
定機構とを有することを特徴とする請求項2に記載のア
クセス制御システム。 - 【請求項4】 前記アクセス制御機構は、パケットフィ
ルタリング装置であることを特徴とする請求項1ないし
請求項3のいずれか1項に記載のアクセス制御システ
ム。 - 【請求項5】 前記ホストコンピュータの少なくとも1
つは、複数のグループに属していることを特徴とする請
求項1ないし請求項4のいずれか1項に記載のアクセス
制御システム。 - 【請求項6】 複数のグループにグループ分けされた複
数のホストコンピュータと、アクセス制御機構とを備え
るアクセス制御システムにおけるアクセス権管理方法で
あって、 前記アクセス制御機構は、前記各ホストコンピュータか
ら、同一グループ内あるいは他のグループ内の他のホス
トコンピュータへのアクセスが、前記各ホストコンピュ
ータが属する全グループのグループポリシで許可されて
いる場合に、前記各ホストコンピュータから前記他のホ
ストコンピュータへのアクセスを許可し、それ以外の場
合には不許可とすることを特徴とするアクセス権管理方
法。 - 【請求項7】 グループ管理機構を備え、 前記グループ管理機構は、前記各ホストコンピュータか
ら前記他のホストコンピュータへのアクセスが、前記各
ホストコンピュータが属する全グループのグループポリ
シで許可されている場合に、前記各ホストコンピュータ
から前記他のホストコンピュータへのアクセスを許可
し、それ以外の場合には不許可とするアクセス制御条件
を、前記各ホストコンピュータ毎に設定し、 アクセス制御機構は、前記グループ管理機構で設定され
たアクセス制御条件に基づき、前記各ホストコンピュー
タから前記他のホストコンピュータへのアクセスを制御
することを特徴とする請求項6に記載のアクセス権管理
方法。 - 【請求項8】 前記グループ管理機構は、前記各グルー
プに所属するホストコンピュータと、前記各グループの
グループポリシとを管理するとともに、前記各グループ
毎のホストコンピュータと、前記各グループのグループ
ポリシとに基づき、前記各ホストコンピュータ毎のアク
セス制御条件を生成することを特徴とする請求項7に記
載のアクセス権管理方法。 - 【請求項9】 前記アクセス制御機構は、パケットフィ
ルタリング装置であることを特徴とする請求項6ないし
請求項8のいずれか1項に記載のアクセス権管理方法。 - 【請求項10】 前記ホストコンピュータの少なくとも
1つは、複数のグループに属していることを特徴とする
請求項6ないし請求項9のいずれか1項に記載のアクセ
ス権管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002120338A JP2003316745A (ja) | 2002-04-23 | 2002-04-23 | アクセス制御システムおよびアクセス権管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002120338A JP2003316745A (ja) | 2002-04-23 | 2002-04-23 | アクセス制御システムおよびアクセス権管理方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003316745A true JP2003316745A (ja) | 2003-11-07 |
Family
ID=29536590
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002120338A Pending JP2003316745A (ja) | 2002-04-23 | 2002-04-23 | アクセス制御システムおよびアクセス権管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003316745A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006040812A1 (ja) * | 2004-10-12 | 2006-04-20 | Fujitsu Limited | 運用管理プログラム、運用管理方法および運用管理装置 |
| JP7209791B1 (ja) | 2021-09-27 | 2023-01-20 | 三菱電機株式会社 | マスター装置、通信制御方法、通信制御プログラム及び通信制御システム |
-
2002
- 2002-04-23 JP JP2002120338A patent/JP2003316745A/ja active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006040812A1 (ja) * | 2004-10-12 | 2006-04-20 | Fujitsu Limited | 運用管理プログラム、運用管理方法および運用管理装置 |
| JPWO2006040812A1 (ja) * | 2004-10-12 | 2008-05-15 | 富士通株式会社 | 運用管理プログラム、運用管理方法および運用管理装置 |
| JP4843499B2 (ja) * | 2004-10-12 | 2011-12-21 | 富士通株式会社 | 制御プログラム、制御方法及び制御装置 |
| US8341705B2 (en) | 2004-10-12 | 2012-12-25 | Fujitsu Limited | Method, apparatus, and computer product for managing operation |
| JP7209791B1 (ja) | 2021-09-27 | 2023-01-20 | 三菱電機株式会社 | マスター装置、通信制御方法、通信制御プログラム及び通信制御システム |
| JP2023047950A (ja) * | 2021-09-27 | 2023-04-06 | 三菱電機株式会社 | マスター装置、通信制御方法、通信制御プログラム及び通信制御システム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11070591B2 (en) | Distributed network application security policy enforcement | |
| US10154067B2 (en) | Network application security policy enforcement | |
| US7249374B1 (en) | Method and apparatus for selectively enforcing network security policies using group identifiers | |
| US8001610B1 (en) | Network defense system utilizing endpoint health indicators and user identity | |
| US7257815B2 (en) | Methods and system of managing concurrent access to multiple resources | |
| EP1634175B1 (en) | Multilayer access control security system | |
| US8407240B2 (en) | Autonomic self-healing network | |
| US8935398B2 (en) | Access control in client-server systems | |
| EP2620893B1 (en) | Role-based access control permissions | |
| Majumder et al. | Taxonomy and classification of access control models for cloud environments | |
| US20070150934A1 (en) | Dynamic Network Identity and Policy management | |
| US20030177376A1 (en) | Framework for maintaining information security in computer networks | |
| KR20060128015A (ko) | 내부 네트워크 보호 시스템 및 보안 방법 | |
| JP2005318584A (ja) | デバイスのセキュリティ状況に基づいたネットワーク・セキュリティのための方法および装置 | |
| KR20050026624A (ko) | 정책기반 네트워크를 이용한 피씨의 통합 보안시스템 및방법 | |
| Salman et al. | Multi-level security for the 5G/IoT ubiquitous network | |
| CN100586123C (zh) | 基于角色管理的安全审计方法及*** | |
| WO2006001647A1 (en) | Network integrated management system | |
| CN103069767B (zh) | 交付认证方法 | |
| KR20060044494A (ko) | 인증 서버와 연동되는 네트워크 관리 시스템 및 네트워크관리 서버 | |
| US7072969B2 (en) | Information processing system | |
| CN102972005A (zh) | 交付认证方法 | |
| Chandersekaran et al. | Use case based access control | |
| JP5056153B2 (ja) | ファイル情報の管理方法及び情報処理装置 | |
| JP2003316745A (ja) | アクセス制御システムおよびアクセス権管理方法 |