JP4832132B2 - Access control device, access control simulation method, and access control simulation program - Google Patents

Access control device, access control simulation method, and access control simulation program Download PDF

Info

Publication number
JP4832132B2
JP4832132B2 JP2006081517A JP2006081517A JP4832132B2 JP 4832132 B2 JP4832132 B2 JP 4832132B2 JP 2006081517 A JP2006081517 A JP 2006081517A JP 2006081517 A JP2006081517 A JP 2006081517A JP 4832132 B2 JP4832132 B2 JP 4832132B2
Authority
JP
Japan
Prior art keywords
rule
access control
resource
list
document
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006081517A
Other languages
Japanese (ja)
Other versions
JP2007257352A (en
Inventor
潤 江畑
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2006081517A priority Critical patent/JP4832132B2/en
Publication of JP2007257352A publication Critical patent/JP2007257352A/en
Application granted granted Critical
Publication of JP4832132B2 publication Critical patent/JP4832132B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Description

本発明は、アクセス制御装置、アクセス制御シミュレーション方法及びアクセス制御シミュレーションプログラムに関し、特にセキュリティポリシーに基づいてアクセス制御を行うアクセス制御装置、アクセス制御シミュレーション方法及びアクセス制御シミュレーションプログラムに関する。   The present invention relates to an access control device, an access control simulation method, and an access control simulation program, and more particularly to an access control device, an access control simulation method, and an access control simulation program that perform access control based on a security policy.

従来、ドキュメント等のオブジェクトの管理におけるアクセス制御機能に関して、セキュリティの向上、管理の簡便化を目的として、オブジェクト(資源)に対する操作と、操作者と、オブジェクトとが抽象化されて定義されたセキュリティポリシーに基づいてオブジェクトに対するアクセス制御を行う方式が考案されている(例えば、特許文献1)。   Conventionally, with regard to the access control function in the management of objects such as documents, for the purpose of improving security and simplifying management, the security policy defined by abstracting operations on objects (resources), operators, and objects A method for controlling access to an object based on the above has been devised (for example, Patent Document 1).

また、これに伴って、抽象度の高いセキュリティポリシー及び当該セキュリティポリシーを構成するセキュリティルールの定義と、実際の利用シーンでのアクセス権付与状況とが直ちに結び付き難いことから、これを改善するための方式も考案されている(例えば、特許文献2)。   Along with this, the definition of security policies with a high level of abstraction and the security rules that make up the security policy are difficult to be immediately linked to the status of granting access rights in actual usage scenes. A method has also been devised (for example, Patent Document 2).

セキュリティポリシーに基づいて、オブジェクトの分類、操作者の分類、操作の種類の組み合わせに応じたアクセス可否判定と、アクセス実行時の要件定義(責務)からなるアクセス許可ルールに応じたアクセス判定とを行うことにより、適切に管理された少数のセキュリティポリシーを多くの利用シーンに共通に適用させることができる。また、複数の異なる種類のオブジェクトやアプリケーションの操作に関するアクセス制御を包括したセキュリティポリシーにより、アクセス制御情報の一元管理が可能になる。
特開2005−38371号公報 特開2005−301510号公報 Based on the security policy, access permission determination according to the combination of object classification, operator classification, and operation type, and access determination according to the access permission rule consisting of requirement definition (responsibility) at the time of access execution are performed. Thus, a small number of appropriately managed security policies can be commonly applied to many usage scenes. In addition, a security policy including access control related to operations of a plurality of different types of objects and applications enables unified management of access control information.
JP 2005-38371 A JP 2005-301510 A

しかしながら、セキュリティポリシーに基づくアクセス制御では、個々の利用シーンにおいてどのようなアクセス判定が行われるのかは、セキュリティポリシーの定義を一見して分かりにくい場合があり、また、ルールに誤りがあっても気付きにくいといった問題がある。更に、セキュリティポリシーの定義を修正したり改定したりする場合にも、その妥当性を確認するのが困難であるという問題がる。   However, in access control based on security policies, it may be difficult to understand what kind of access judgment is performed in each usage scene at first glance, and even if there is an error in the rules, There is a problem that it is difficult. Furthermore, there is a problem that it is difficult to confirm the validity even when the definition of the security policy is modified or revised.

本発明は、上記の点に鑑みてなされたものであって、セキュリティポリシーの定義に基づいて行われるアクセス制御の判定結果を簡便に確認させることのできるアクセス制御装置、アクセス制御シミュレーション方法及びアクセス制御シミュレーションプログラムの提供を目的とする。   The present invention has been made in view of the above points, and is an access control device, an access control simulation method, and access control capable of easily confirming a determination result of access control performed based on the definition of a security policy. The purpose is to provide a simulation program.

そこで上記課題を解決するため、本発明は、操作の対象となる各資源を分類する資源分類情報と、前記資源を操作する各主体を分類する主体分類情報と、前記資源の分類と前記主体の分類との組み合わせに応じて前記操作の種別ごとに前記操作の許否判定に関する規則が定義された定義情報とに基づいて、前記資源に対するアクセス制御を行うアクセス制御装置であって、前記定義情報に定義された前記規則に基づいて、前記資源の集合に含まれるそれぞれの資源について特定の前記主体による特定の前記操作の許否を判定する判定手段を有し、前記特定の主体は前記資源の集合が表示される表示画面において前記主体の一覧の中から選択され、前記特定の操作は前記表示画面において前記操作の一覧の中から選択され、前記判定手段による前記許否の判定結果は、前記表示画面において前記資源ごとに表示されることを特徴とする。   Therefore, in order to solve the above problems, the present invention provides resource classification information for classifying each resource to be operated, entity classification information for classifying each entity that operates the resource, classification of the resource, and An access control device that performs access control on the resource based on definition information in which a rule relating to whether or not to permit the operation is defined for each type of operation according to a combination with a classification, and is defined in the definition information And determining means for determining whether or not the specific operation by the specific entity is permitted for each resource included in the set of resources based on the rule, wherein the specific entity displays the set of resources. Selected from the list of subjects on the display screen, and the specific operation is selected from the list of operations on the display screen, and is determined by the determination means. Serial permission determination result is characterized in that it is displayed on each of the resources in the display screen.

このようなアクセス制御装置では、セキュリティポリシーの定義に基づいて行われるアクセス制御の判定結果を簡便に確認させることができる。   In such an access control device, it is possible to easily check the determination result of access control performed based on the definition of the security policy.

また、上記課題を解決するため、本発明は、上記アクセス制御装置におけるアクセス制御シミュレーション方法、前記アクセス制御シミュレーション方法をコンピュータに実行させるためのアクセス制御シミュレーションプログラムとしてもよい。   In order to solve the above problems, the present invention may be an access control simulation method in the access control apparatus and an access control simulation program for causing a computer to execute the access control simulation method.

本発明によれば、セキュリティポリシーの定義に基づいて行われるアクセス制御の判定結果を簡便に確認させることのできるアクセス制御装置、アクセス制御シミュレーション方法及びアクセス制御シミュレーションプログラムを提供することができる。   According to the present invention, it is possible to provide an access control device, an access control simulation method, and an access control simulation program capable of easily confirming a determination result of access control performed based on a security policy definition.

以下、図面に基づいて本発明の実施の形態を説明する。本実施の形態においては、文書管理システムにおいて管理されている電子文書を、操作の対象(すなわち、アクセス制御の対象)となる資源(オブジェクト)の例として説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings. In the present embodiment, an electronic document managed in a document management system will be described as an example of a resource (object) that is an operation target (that is, an access control target).

図1は、本発明の実施の形態における文書管理システムの構成例を示す図である。図1に示されるように、本実施の形態における文書管理システム1は、アクセス制御サーバ10、文書管理サーバ20、認証サーバ30、管理者用PC(Personal Computer)40、及びクライアントPC50等が、インターネットやLAN(Local Area Network)等のネットワーク60を介して接続されることにより構成されている。   FIG. 1 is a diagram showing a configuration example of a document management system according to an embodiment of the present invention. As shown in FIG. 1, the document management system 1 according to the present embodiment includes an access control server 10, a document management server 20, an authentication server 30, an administrator PC (Personal Computer) 40, a client PC 50, etc. And a network 60 such as a LAN (Local Area Network).

アクセス制御サーバ10は、文書に対するアクセス制御のための各種情報(以下、「セキュリティ情報」という。)の管理を行うためのコンピュータである。後述する文書管理サーバ20において管理されている文書を取り扱う各種アプリケーション又はシステム等は、アクセス制御サーバ10に管理されているセキュリティ情報に基づいて、各ユーザの文書に対する操作権限の有無等を判断する。   The access control server 10 is a computer for managing various information for controlling access to documents (hereinafter referred to as “security information”). Various applications or systems that handle documents managed by the document management server 20 to be described later determine whether or not each user has an operation authority for the document based on the security information managed by the access control server 10.

文書管理サーバ20は、文書の管理機能(文書の保存、保存されている文書の閲覧、更新及び削除等の手段の提供等)が実装されたコンピュータである。文書管理サーバ20は、文書群を所定の管理体系(分類体系)に基づいて管理し、この管理体系に基づいて文書の操作機能を提供する。ここで、所定の管理体系とは、例えば、一般的に見受けられるようなフォルダ及びその階層構造に基づくものが相当する。すなわち、文書管理サーバ20では、フォルダ及びその階層構造によって文書が分類及び管理されている。   The document management server 20 is a computer on which a document management function (storing a document, providing a means such as browsing, updating, and deleting a stored document) is implemented. The document management server 20 manages a document group based on a predetermined management system (classification system) and provides a document operation function based on this management system. Here, the predetermined management system corresponds to, for example, a folder based on a generally found folder and its hierarchical structure. That is, the document management server 20 classifies and manages documents by folders and their hierarchical structure.

認証サーバ30は、文書管理システム1のユーザの認証を行うための機能が実装されたコンピュータである。すなわち、認証サーバ30によって認証されたユーザのみが、文書管理システム1を利用することができる。   The authentication server 30 is a computer on which a function for authenticating a user of the document management system 1 is installed. That is, only the user authenticated by the authentication server 30 can use the document management system 1.

管理者用PC40は、文書管理システム1の管理者ユーザが、文書管理システム1の管理機能等のために利用するコンピュータである。例えば、文書管理システム1の管理機能としては、アクセス制御サーバ10におけるセキュリティ情報のメンテナンスをするための機能が相当する。   The administrator PC 40 is a computer that is used by the administrator user of the document management system 1 for the management function and the like of the document management system 1. For example, the management function of the document management system 1 corresponds to a function for maintaining security information in the access control server 10.

クライアントPC50は、文書管理システム1の一般ユーザが、文書管理サーバ20において管理されている文書を操作(閲覧、印刷、削除、又は更新等)するために利用するコンピュータである。   The client PC 50 is a computer used by a general user of the document management system 1 to operate (view, print, delete, update, etc.) a document managed in the document management server 20.

次に、アクセス制御サーバ10の詳細について説明する。図2は、本発明の実施の形態におけるアクセス制御サーバのハードウェア構成例を示す図である。図2のアクセス制御サーバ10は、それぞれバスBで相互に接続されているドライブ装置100と、補助記憶装置102と、メモリ装置103と、演算処理装置104と、インタフェース装置105とを有するように構成される。   Next, details of the access control server 10 will be described. FIG. 2 is a diagram illustrating a hardware configuration example of the access control server according to the embodiment of the present invention. The access control server 10 shown in FIG. 2 includes a drive device 100, an auxiliary storage device 102, a memory device 103, an arithmetic processing device 104, and an interface device 105 that are connected to each other via a bus B. Is done.

アクセス制御サーバ10での処理を実現するプログラムは、CD−ROM等の記録媒体101によって提供される。プログラムを記録した記録媒体101がドライブ装置100にセットされると、プログラムが記録媒体101からドライブ装置100を介して補助記憶装置102にインストールされる。   A program for realizing processing in the access control server 10 is provided by a recording medium 101 such as a CD-ROM. When the recording medium 101 on which the program is recorded is set in the drive device 100, the program is installed from the recording medium 101 to the auxiliary storage device 102 via the drive device 100.

補助記憶装置102は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。メモリ装置103は、プログラムの起動指示があった場合に、補助記憶装置102からプログラムを読み出して格納する。演算処理装置104は、メモリ装置103に格納されたプログラムに従ってアクセス制御サーバ10に係る機能を実行する。インタフェース装置105は例えばLANカード等で構成され、図1のネットワーク60に接続するために用いられる。   The auxiliary storage device 102 stores the installed program and also stores necessary files and data. The memory device 103 reads the program from the auxiliary storage device 102 and stores it when there is an instruction to start the program. The arithmetic processing unit 104 executes functions related to the access control server 10 according to a program stored in the memory device 103. The interface device 105 is composed of, for example, a LAN card or the like, and is used to connect to the network 60 in FIG.

図3は、本発明の実施の形態の文書管理システムにおけるルール適用シミュレーション機能に関する機能構成例を示す図である。図3に示されるように、アクセス制御サーバ10には、セキュリティ管理モジュール11及びルール適用シミュレーションモジュール12等が実装されている。セキュリティ管理モジュール11は、各種のセキュリティ情報の管理機能が実装されたモジュールである。セキュリティ管理モジュール11においては、ユーザプロファイル111、文書プロファイル112、及びポリシー113等がセキュリティ情報として管理されている。   FIG. 3 is a diagram illustrating a functional configuration example related to the rule application simulation function in the document management system according to the embodiment of this invention. As shown in FIG. 3, a security management module 11, a rule application simulation module 12, and the like are mounted on the access control server 10. The security management module 11 is a module in which various security information management functions are implemented. In the security management module 11, a user profile 111, a document profile 112, a policy 113, and the like are managed as security information.

図4は、ユーザプロファイルの例を示す図である。図4に示されるように、ユーザプロファイル111は、各ユーザをいずれの部署の関係者であるかによって分類する情報であり、ユーザごとに、各部署(部署A、部署B、部署C)の関係者であるか否かが定義されている。例えば、プロファイル111において、ユーザAは、部署Aの関係者であるが、部署B及び部署Cの関係者ではないことが定義されている。ここで、「部署の関係者」とは、例えば、当該部署に所属している者や、当該部署におけるプロジェクトに参加している者等が該当する。   FIG. 4 is a diagram illustrating an example of a user profile. As shown in FIG. 4, the user profile 111 is information that classifies each user according to which department the person is related to, and the relationship between each department (department A, department B, department C) for each user. Or not. For example, in the profile 111, it is defined that the user A is a person related to the department A, but is not a person related to the department B and the department C. Here, the “participant in the department” corresponds to, for example, a person who belongs to the department or a person who participates in a project in the department.

図5は、文書プロファイルの例を示す図である。図5に示されるように、文書プロファイル112は、各文書をその機密レベル等によって分類する情報であり、文書ごとに文書名、機密レベル、及び管理部署等が定義されている。文書名は、文書に付された名前である。機密レベルは、文書の機密度である。管理部署は、文書を管理している部署の部署名である。例えば、文書プロファイル112において、文書1は、部署Aにおいて管理されている社外秘文書であるということが定義されている。   FIG. 5 is a diagram illustrating an example of a document profile. As shown in FIG. 5, the document profile 112 is information for classifying each document according to its security level, and the document name, security level, management department, etc. are defined for each document. The document name is a name given to the document. The security level is the sensitivity of the document. The management department is the department name of the department that manages the document. For example, in the document profile 112, it is defined that the document 1 is a confidential document managed in the department A.

図6、図7、及び図8は、ポリシーの定義例を示す図である。図6等におけるポリシー113は、XACML(eXtensible Access Control Markup Language)の仕様を参考に定義されている。ここで、「参考に」と表現しているのは、原則としてXACMLの仕様に従いつつ、本実施の形態において独自の拡張を行っているからである。なお、図6、図7、及び図8は、一つのファイル内においてなされている定義を、便宜上分割して表示したものである。   6, FIG. 7, and FIG. 8 are diagrams showing examples of policy definitions. The policy 113 in FIG. 6 and the like is defined with reference to the specification of XACML (eXtensible Access Control Markup Language). Here, the expression “for reference” is because, in principle, the present embodiment performs an original extension while following the XACML specifications. 6, 7, and 8 show the definitions made in one file divided for convenience.

ポリシー113においては、主体(ユーザ)、資源(文書)、及び操作の組み合わせに応じて、当該操作の許否を判断するための規則(セキュリティルール)が定義されており、一つのセキュリティルールに対応する定義は、<Rule>タグで囲まれたRule定義が該当する。図中においては、Rule定義r1(図6)、Rule定義r2、Rule定義r3(図7)、Rule定義r4(図8)等がRule定義として表示されている。各Rule定義は、<Target>タグで囲まれたTarget定義を要素として含む。例えば、Rule定義r1には、Target定義t1が含まれている。   In the policy 113, a rule (security rule) for determining whether or not the operation is permitted is defined according to the combination of the subject (user), the resource (document), and the operation, and corresponds to one security rule. The definition corresponds to a Rule definition surrounded by <Rule> tags. In the figure, Rule definition r1 (FIG. 6), Rule definition r2, Rule definition r3 (FIG. 7), Rule definition r4 (FIG. 8), etc. are displayed as Rule definitions. Each Rule definition includes a Target definition surrounded by <Target> tags as an element. For example, the Rule definition r1 includes a Target definition t1.

Target定義は、当該セキュリティルールを適用する対象(主体、資源、操作)を特定するための定義であり、<Subject(s)>タグで囲まれたSubject定義、<Resource(s)>タグで囲まれたResource定義、<Action(s)>タグで囲まれたAction定義等を含む。Subject定義は、セキュリティルールを適用する主体の分類を特定するための定義である。Resource定義は、セキュリティルールを適用する資源の分類を特定するための定義である。Action定義は、セキュリティルールを適用する操作の種別を特定するための定義である。例えば、Target定義t1より、Rule定義r1は、関係者(主体)による秘文書(資源)の閲覧(操作)の許否を判定する際に適用されるセキュリティルールであることが特定される。   The Target definition is a definition for specifying the target (subject, resource, operation) to which the security rule is applied. The Subject definition is enclosed in <Subject (s)> tags, and is enclosed in <Resource (s)> tags. Resource definition, Action definition enclosed in <Action (s)> tags, and the like. The Subject definition is a definition for specifying the classification of the subject to which the security rule is applied. The Resource definition is a definition for specifying a resource classification to which the security rule is applied. The Action definition is a definition for specifying the type of operation to which the security rule is applied. For example, from the target definition t1, the Rule definition r1 is specified to be a security rule that is applied when determining permission / refusal of browsing (operation) of a secret document (resource) by a party (subject).

セキュリティルールを適用した場合の判定値は、当該Rule定義のEffect属性の値によって特定される。すなわち、Effect属性の値が「Permit」であれば、判定値は「許可」となり、「Deny」であれば判定値は「不許可」となる。例えば、Rule定義r1のEffect属性e1の値は、「Permit」であることから、Rule定義r1が適用される場合の判定値は「許可」であることが分かる。以上より、Rule定義r1には、「関係者による秘文書の閲覧は許可する。」旨が定義されていることとなる。   The determination value when the security rule is applied is specified by the value of the Effect attribute of the Rule definition. That is, if the value of the Effect attribute is “Permit”, the determination value is “permitted”, and if it is “Deny”, the determination value is “not permitted”. For example, since the value of the Effect attribute e1 of the Rule definition r1 is “Permit”, it can be seen that the determination value when the Rule definition r1 is applied is “permitted”. As described above, the Rule definition r1 defines “permission of browsing of secret documents by related parties”.

一つ以上のRule定義は、<Policy>タグで囲まれたPolicy定義によってまとめることができる。図中には、Policy定義p1(図6)、Policy定義p2、Policy定義p3(図7)、及びPolicy定義p4(図8)等がPolicy定義として示されている。一つのPolicy定義には、<Obligation(s)>タグで囲まれたObligation定義、及び<Description>タグで囲まれたDescription定義等を含み得る。例えば、Policy定義p1には、Obligation定義o1とDescription定義d1とが含まれている。   One or more Rule definitions can be grouped by a Policy definition surrounded by <Policy> tags. In the figure, Policy definition p1 (FIG. 6), Policy definition p2, Policy definition p3 (FIG. 7), Policy definition p4 (FIG. 8), etc. are shown as Policy definitions. One Policy definition can include an Obligation definition surrounded by <Obligation (s)> tags, a Description definition enclosed by <Description> tags, and the like. For example, the Policy definition p1 includes an Origin definition o1 and a Description definition d1.

Obligation定義は、資源へのアクセスを許可する場合に強制する責務(又は要件)を規定するための定義であり、当該Obligation定義を含むPolicy定義に属する全てのRule定義に対して共通的に適用される。但し、本実施の形態においては、Policy定義とRule定義とは一対一に対応している。これは、XACMLの仕様上、Obligation定義はPolicy定義ごとに定義されるものであるところ、本実施の形態においては、Rule定義ごとにObligation定義を対応させたいからである。Obligation定義o1には、監査情報の記録が責務として規定されている。したがって、Policy定義p1には、「関係者による秘文書の閲覧は許可する。但し、閲覧の際には、監査情報を記録しなければならない。」旨が定義されていることとなる。   The Origin definition is a definition for specifying the obligation (or requirement) to be compulsory when permitting access to a resource, and is applied to all Rule definitions belonging to the Policy definition including the Origin definition. The However, in the present embodiment, the Policy definition and the Rule definition correspond one-to-one. This is because, in the specification of XACML, the definition of the definition is defined for each policy definition, but in the present embodiment, it is desired to associate the definition of the definition for each rule definition. In the definition of o1, the recording of audit information is defined as the responsibility. Accordingly, the Policy definition p1 defines that “permission of browsing of secret documents by related parties is permitted. However, audit information must be recorded at the time of browsing”.

Description定義は、当該Description定義が属するPolicy定義におけるRule定義の定義内容を説明した説明文が定義されたものである。Description定義における説明文(以下「定義内容説明文」という。)は、表示用の文字列として利用される。   In the description definition, an explanatory text describing the definition content of the Rule definition in the Policy definition to which the description definition belongs is defined. An explanatory text in the description definition (hereinafter referred to as “definition contents explanatory text”) is used as a character string for display.

Policy定義には、更に、PolicyID属性が定義されている。PolicyID属性は、各Policy定義を一意に識別するためのIDである。例えば、Policy定義p1のPolicyID属性i1の値は「Policy1」として定義されている。   In the Policy definition, a PolicyID attribute is further defined. The PolicyID attribute is an ID for uniquely identifying each Policy definition. For example, the value of the PolicyID attribute i1 of the Policy definition p1 is defined as “Policy1”.

図9は、ポリシーの定義内容を概念的に示す図である。すなわち、図9の表113aは、図6等に示したポリシー113における記述から導出される定義内容を表形式にまとめて表示したものである。図9に示されるように、ポリシー113における記述によって、主体の分類(文書の関係者又は関係者以外)と文書の分類(極秘、秘、社外秘)との組み合わせに応じて、操作の種別(閲覧、印刷)ごとについての許否(○又は×)、責務、定義内容説明文が定義されたこととなる。   FIG. 9 is a diagram conceptually showing the definition contents of the policy. That is, the table 113a in FIG. 9 displays the definition contents derived from the description in the policy 113 shown in FIG. As shown in FIG. 9, according to the description in the policy 113, the type of operation (viewing) according to the combination of the subject classification (document related person or non-related person) and the document classification (confidential, confidential, confidential). , Printing), permission / rejection (O or X), responsibility, and description of definition contents are defined.

なお、図6〜図8のポリシー113においては、閲覧及び印刷以外の操作(例えば、編集、削除等)については定義されていないが、このような場合のアクセス制御は運用に応じて適宜定めればよい。例えば、定義されていないものについては、操作が禁止されることにしてもよいし、操作が無条件に許可されることにしてもよい。   6 to 8, operations other than browsing and printing (for example, editing, deletion, etc.) are not defined, but access control in such a case is appropriately determined according to the operation. That's fine. For example, operations that are not defined may be prohibited or may be permitted unconditionally.

図3に戻る。ルール適用シミュレーションモジュール12は、文書管理サーバ20において管理されている文書ごとに、特定のユーザの特定の操作に関して、ポリシー13に定義されているセキュリティルールを適用させて当該操作の許否を判定し(当該判定処理を、以下「ルール適用シミュレーション」という。)、その判定結果(ルール適用結果)を管理者PC40のアプリケーション41に表示させる。   Returning to FIG. The rule application simulation module 12 applies a security rule defined in the policy 13 for a specific operation of a specific user for each document managed in the document management server 20, and determines whether the operation is permitted or not ( The determination process is hereinafter referred to as “rule application simulation”), and the determination result (rule application result) is displayed on the application 41 of the administrator PC 40.

管理者PC40におけるアプリケーション41は、ルール適用シミュレーションモジュール12によって出力されるルール適用結果の表示画面(以下「ルール適用結果確認画面」という。)を表示させるアプリケーションである。例えば、ルール適用結果確認画面がWebページとして構成される場合は、アプリケーション41は、汎用的なWebブラウザであってもよい。また、ルール適用結果確認画面を専用のWindows(登録商標)アプリケーションによって表示させるようにしてもよい。   The application 41 in the administrator PC 40 is an application that displays a rule application result display screen (hereinafter referred to as “rule application result confirmation screen”) output by the rule application simulation module 12. For example, when the rule application result confirmation screen is configured as a Web page, the application 41 may be a general-purpose Web browser. The rule application result confirmation screen may be displayed by a dedicated Windows (registered trademark) application.

図10は、ルール適用結果確認画面の表示例を示す図である。図10のルール適用結果確認画面410は、ユーザ選択領域411、操作選択領域412、フォルダ構成表示領域413、文書一覧表示領域414、及びボタン415等より構成されている。   FIG. 10 is a diagram illustrating a display example of the rule application result confirmation screen. 10 includes a user selection area 411, an operation selection area 412, a folder configuration display area 413, a document list display area 414, a button 415, and the like.

ユーザ選択領域411は、ルール適用シミュレーションにおいて対象とするユーザをユーザ一覧の中から選択させるための領域であり、本実施の形態では、コンボボックスとして実装されている。操作選択領域412は、ルール適用シミュレーションにおいて対象とする操作を操作一覧の中から選択させるための領域であり、本実施の形態ではコンボボックスとして実装されている。   The user selection area 411 is an area for selecting a target user in the rule application simulation from the user list, and is implemented as a combo box in the present embodiment. The operation selection area 412 is an area for selecting a target operation in the rule application simulation from the operation list, and is implemented as a combo box in the present embodiment.

フォルダ構成表示領域413は、文書管理サーバ20の文書管理における文書の管理体系(すなわち、フォルダ構成表示領域)をツリー構造によって表示される領域である。   The folder structure display area 413 is an area in which a document management system (that is, a folder structure display area) in document management of the document management server 20 is displayed in a tree structure.

文書一覧表示領域414は、フォルダ構成表示領域413において選択されているフォルダに格納されている文書の一覧がその属性情報(ID、文書名、作成日、更新日等)と共に表示される領域である。但し、文書一覧表示領域414では、各文書について、単なる属性情報だけでなく、ルール適用シミュレーションの結果(ルール適用結果)も領域4141に表示される。領域4141では、操作選択領域412で選択された操作の許可は「○」によって、不許可は「−」によって表示される。   The document list display area 414 is an area in which a list of documents stored in the folder selected in the folder configuration display area 413 is displayed together with its attribute information (ID, document name, creation date, update date, etc.). . However, in the document list display area 414, not only simple attribute information but also a result of rule application simulation (rule application result) is displayed in the area 4141 for each document. In the area 4141, permission of the operation selected in the operation selection area 412 is displayed by “◯” and non-permission is displayed by “−”.

すなわち、図10のルール適用結果確認画面410の領域4141においては、フォルダ「部署別/二課」に格納されている文書1、2、3、4のそれぞれについて、ユーザAの閲覧(制限なし)操作に関するルール適用結果が表示されている。ここで、「閲覧(制限なし)」における「(制限なし)」とは、責務が課せられることなく無条件で閲覧が許可されることをいう。したがって、図10では、フォルダ「部署別/二課」に格納されている文書の中で、ユーザAに責務が課せられることなく閲覧可能な文書は、文書1のみであることが確認できる。   In other words, in the area 4141 of the rule application result confirmation screen 410 in FIG. 10, the user A's browsing (no restriction) for each of the documents 1, 2, 3, and 4 stored in the folder “by department / second section” The rule application result for the operation is displayed. Here, “(unrestricted)” in “browse (unrestricted)” means that unrestricted viewing is permitted without any obligation being imposed. Therefore, in FIG. 10, it can be confirmed that, among the documents stored in the folder “by department / second section”, the document that can be browsed without any responsibility imposed on the user A is only the document 1.

なお、ユーザ選択領域411又は操作選択領域412において他のユーザ又は他の操作が選択された際は、新たに選択されたユーザ又は操作に関するルール適用結果が領域4141に表示される。また、フォルダ構成表示領域413において他のフォルダが選択され当該フォルダに格納されている文書の一覧が表示される際は、新たに表示される文書に関するルール適用結果が領域4141に表示される。このように、ルール適用結果確認画面410によれば、対象ユーザ(ここでは「ユーザA」)が文書に対して実際にアクセスしなくても、管理者ユーザが、当該対象ユーザどのような文書に対してどのような操作が許可されているのかを容易に確認することができる。したがって、ポリシー113の定義を変更する場合等において、実際の操作許否判断に与える影響を容易に確認することが可能となる。   When another user or another operation is selected in the user selection area 411 or the operation selection area 412, the rule application result regarding the newly selected user or operation is displayed in the area 4141. Further, when another folder is selected in the folder configuration display area 413 and a list of documents stored in the folder is displayed, a rule application result regarding the newly displayed document is displayed in the area 4141. As described above, according to the rule application result confirmation screen 410, even if the target user (in this case, “user A”) does not actually access the document, the administrator user can determine what document the target user has. On the other hand, it is possible to easily confirm what kind of operation is permitted. Therefore, when the definition of the policy 113 is changed, it is possible to easily check the influence on the actual operation permission determination.

ところで、本実施の形態では、ルール適用シミュレーションの実行に際し、ポリシー113に定義されているセキュリティルールの中で、当該ルール適用シミュレーションの適用除外とするセキュリティルールを選択させることができる。当該選択は、例えば、ルール適用結果確認画面410においてボタン415が押下又はクリックされた際に表示される適用ルール選択画面を介して行われる。   By the way, in the present embodiment, when executing the rule application simulation, it is possible to select a security rule to be excluded from application of the rule application simulation from among the security rules defined in the policy 113. The selection is performed, for example, via an application rule selection screen displayed when the button 415 is pressed or clicked on the rule application result confirmation screen 410.

図11は、適用ルール選択画面の表示例を示す図である。   FIG. 11 is a diagram illustrating a display example of the application rule selection screen.

図11の適用ルール選択画面420では、図6〜図8に示されているポリシー113に定義されているRule定義r1〜r4の一覧が表示されている。すなわち、図11におけるセキュリティルールr1〜r4は、は、図6〜図8において同一符号に係るRule定義に対応する。図11において、各セキュリティルールには、チェックボタン(421〜424)が割り当てられている。チェックボタン421〜424は、当該チェックボタンに対応するセキュリティルールを、ルール適用シミュレーションの適用対象とするか否かを選択させるためのものである。当該チェックボタンがチェックされているセキュリティルールは適用対象とされ、チェックされていないセキュリティルールは適用除外とされる。図11では、セキュリティルールr3が適用除外とされた例が示されている。この場合、図10のルール適用結果確認画面410においては、セキュリティルールr3を無視したルール適用結果が表示される。なお、適用ルール選択画面420における設定内容は、適用ボタン421が押下又はクリックされることにより確定し、例えば、適用ルール選択情報として、補助記憶装置102に保存される。   In the applied rule selection screen 420 of FIG. 11, a list of Rule definitions r1 to r4 defined in the policy 113 shown in FIGS. 6 to 8 is displayed. That is, the security rules r1 to r4 in FIG. 11 correspond to the Rule definitions related to the same reference numerals in FIGS. In FIG. 11, check buttons (421 to 424) are assigned to each security rule. The check buttons 421 to 424 are for selecting whether or not the security rule corresponding to the check button is an application target of the rule application simulation. Security rules whose check buttons are checked are subject to application, and security rules that are not checked are excluded. FIG. 11 shows an example in which the security rule r3 is excluded from application. In this case, on the rule application result confirmation screen 410 in FIG. 10, the rule application result ignoring the security rule r3 is displayed. Note that the setting content on the application rule selection screen 420 is determined when the application button 421 is pressed or clicked, and is stored in the auxiliary storage device 102 as application rule selection information, for example.

以下、文書管理システム1におけるルール適用シミュレーションの処理手順について説明する。図12は、文書管理システムにおけるルール適用シミュレーションの処理概要を説明するためのシーケンス図である。図12には、ルール適用結果確認画面410が管理者用PC40に表示された後、ルール適用シミュレーションが実行され、そのルール適用結果がルール適用結果確認画面に表示されるまでの処理手順が示されている。なお、図12において、文書管理モジュール21は、文書管理サーバ20において文書管理機能を実現するプログラムである。   The rule application simulation processing procedure in the document management system 1 will be described below. FIG. 12 is a sequence diagram for explaining an outline of rule application simulation processing in the document management system. FIG. 12 shows a processing procedure until the rule application simulation is executed after the rule application result confirmation screen 410 is displayed on the administrator PC 40 and the rule application result is displayed on the rule application result confirmation screen. ing. In FIG. 12, the document management module 21 is a program that implements a document management function in the document management server 20.

管理者用PC40において管理者ユーザがアプリケーション41を操作し、ルール適用結果確認画面410の表示を指示すると、アプリケーション41は、文書管理体系、すなわちフォルダ構成の一覧の取得をルール適用シミュレーションモジュール12に要求する(S11)。ルール適用シミュレーションモジュール12は、文書管理モジュール21に対し、フォルダ構成の一覧の取得を要求し(S12)、当該フォルダ構成の一覧を文書管理モジュール21より受信する(S13)。続いて、ルール適用シミュレーションモジュール12が、受信したフォルダ構成一覧の表示指示をアプリケーション41に送信すると、アプリケーション41は、ルール適用結果確認画面410のフォルダ構成表示領域413に当該フォルダ構成を表示させる(S14)。この状態において、ルール適用結果確認画面410には、フォルダ構成のみが表示されており、文書一覧表示領域414には、文書一覧は表示されていない。   When the administrator user operates the application 41 on the administrator PC 40 and instructs display of the rule application result confirmation screen 410, the application 41 requests the rule application simulation module 12 to acquire a document management system, that is, a list of folder configurations. (S11). The rule application simulation module 12 requests the document management module 21 to acquire a folder configuration list (S12), and receives the folder configuration list from the document management module 21 (S13). Subsequently, when the rule application simulation module 12 transmits the received folder configuration list display instruction to the application 41, the application 41 displays the folder configuration in the folder configuration display area 413 of the rule application result confirmation screen 410 (S14). ). In this state, only the folder configuration is displayed on the rule application result confirmation screen 410, and no document list is displayed in the document list display area 414.

ルール適用結果確認画面410のフォルダ構成表示領域413において、管理者ユーザがいずれかのフォルダを選択すると、アプリケーション41は、選択されたフォルダ(以下「選択フォルダ」という。)に格納されている文書一覧の取得をルール適用シミュレーションモジュール12に要求する(S15)。   When the administrator user selects any folder in the folder configuration display area 413 of the rule application result confirmation screen 410, the application 41 displays a list of documents stored in the selected folder (hereinafter referred to as “selected folder”). Is obtained from the rule application simulation module 12 (S15).

ルール適用シミュレーションモジュール12は、文書管理モジュール21に対し、選択フォルダに格納されている文書一覧の取得を要求し(S16)、当該文書一覧を文書管理モジュール21より受信する(S17)。続いて、ルール適用シミュレーションモジュール12が、当該文書一覧をアプリケーション41に送信すると、アプリケーション41は、当該文書一覧を、ルール適用結果確認画面410の文書一覧表示領域414に表示させる(S18)。   The rule application simulation module 12 requests the document management module 21 to obtain a document list stored in the selected folder (S16), and receives the document list from the document management module 21 (S17). Subsequently, when the rule application simulation module 12 transmits the document list to the application 41, the application 41 displays the document list in the document list display area 414 of the rule application result confirmation screen 410 (S18).

続いて、管理者ユーザが、ルール適用結果確認画面410のユーザ選択領域411及び操作選択領域412において、ルール適用シミュレーションの対象とするユーザ(以下「対象ユーザ」という。)と操作(以下「対象操作」という。)とを選択すると、アプリケーション41は、対象ユーザ、対象操作、及び文書一覧表示領域414に表示されている文書一覧に含まれる各文書(以下「対象文書」という。)の識別情報を伴って、ルール適用シミュレーションモジュール12に対してルール適用シミュレーションの実行を要求する(S19)。   Subsequently, in the user selection area 411 and the operation selection area 412 of the rule application result confirmation screen 410, the administrator user performs a user (hereinafter referred to as “target user”) and an operation (hereinafter “target operation”) as a target of rule application simulation. The application 41 selects identification information of the target user, the target operation, and each document (hereinafter referred to as “target document”) included in the document list displayed in the document list display area 414. Along with this, the rule application simulation module 12 is requested to execute the rule application simulation (S19).

ルール適用シミュレーションモジュール12は、対象文書のそれぞれに対する対象ユーザによる対象操作の権限の有無を、ユーザプロファイル111、文書プロファイル112、ポリシー113、及び適用ルール選択画面420において設定された適用ルール選択情報等に基づいて判定する(S20)。続いて、ルール適用シミュレーションモジュール12が、その判定結果(ルール適用結果)をアプリケーション41に送信すると(S21)、アプリケーション41は、ルール適用結果確認画面410の領域4141に当該ルール適用結果を文書ごとに表示させる(S21)。   The rule application simulation module 12 uses the application rule selection information set in the user profile 111, the document profile 112, the policy 113, and the application rule selection screen 420 as to whether or not the target user has authority for the target operation for each target document. Based on the determination (S20). Subsequently, when the rule application simulation module 12 transmits the determination result (rule application result) to the application 41 (S21), the application 41 stores the rule application result for each document in an area 4141 of the rule application result confirmation screen 410. It is displayed (S21).

次に、図12のステップS20における処理、すなわち、ルール適用シミュレーションモジュール12によるルール適用シミュレーションについて更に詳しく説明する。図13は、ルール適用シミュレーションモジュールによるルール適用シミュレーションの処理手順を説明するためのフローチャートである。   Next, the process in step S20 of FIG. 12, that is, the rule application simulation by the rule application simulation module 12 will be described in more detail. FIG. 13 is a flowchart for explaining a rule application simulation processing procedure by the rule application simulation module.

まず、入力情報として対象ユーザの識別情報(アカウント情報)、対象文書の一覧、対象操作、及び適用ルール選択情報(適用除外とされるセキュリティルールの一覧)を受け付ける(S201)。続いて、ユーザプロファイル111より対象ユーザを検索することにより、対象ユーザのユーザプロファイル情報(対象ユーザが関係者である部署(関係部署))を取得する(S202)。続いて、結果一覧を初期化(空に)する(S203)。ここで、結果一覧とは、ポリシー113に含まれる全てのセキュリティルールに関して処理した結果、対象ユーザに対象操作が許可されるものとして判定された文書が格納されるバッファをいう。   First, identification information (account information) of a target user, a list of target documents, a target operation, and application rule selection information (a list of security rules to be excluded) are received as input information (S201). Subsequently, by searching for the target user from the user profile 111, the user profile information of the target user (a department (related department) in which the target user is a related party) is acquired (S202). Subsequently, the result list is initialized (empty) (S203). Here, the result list refers to a buffer that stores a document that is determined as a result of processing on all security rules included in the policy 113 and the target user is permitted to perform the target operation.

続いて、ステップS204以降は、ポリシー113に含まれているそれぞれのセキュリティルール(図6〜図8によれば、Rule定義r1、r2、r3、及びr4のそれぞれ)についてのループ処理となる。   Subsequently, step S204 and subsequent steps are loop processing for each security rule (each of the Rule definitions r1, r2, r3, and r4 according to FIGS. 6 to 8) included in the policy 113.

すなわち、ポリシー113に含まれているセキュリティルールのうち、未処理のセキュリティルールの有無を判定し(S204)、未処理のセキュリティルールが有る場合は(S204でYes)、その中から一つのセキュリティルール(例えば、Rule定義r1)を取り出す(S205)。ここで取り出されたセキュリティルールを以下「カレントルール」という。   That is, it is determined whether or not there is an unprocessed security rule among the security rules included in the policy 113 (S204). If there is an unprocessed security rule (Yes in S204), one security rule is selected from them. (For example, Rule definition r1) is extracted (S205). The security rule extracted here is hereinafter referred to as “current rule”.

続いて、カレントルールが、適用ルール選択情報において適用除外とされているか否かを判定する(S206)。適用除外とされている場合(S206でYes)、ステップS204に戻る。適用除外とされていない場合(S206でNo)、カレントルールが対象ユーザ及び対象操作の組み合わせに適合するルール(以下「適合ルール」という。)であるか否かを検査する(S207)。なお、当該ステップの詳細については後述する。   Subsequently, it is determined whether or not the current rule is excluded from the application rule selection information (S206). If it is determined that the application is excluded (Yes in S206), the process returns to step S204. If it is not excluded (No in S206), it is checked whether or not the current rule is a rule that conforms to the combination of the target user and the target operation (hereinafter referred to as “applicable rule”) (S207). Details of this step will be described later.

カレントルールが適合ルールでない場合(S208でNo)、ステップS204に戻る。カレントルールが適合ルールである場合(S208でYes)、カレントルールに基づいて、対象ユーザに対象操作が許可される文書を対象文書の一覧の中から抽出する(S210)。なお、当該ステップの詳細については後述する。続いて、抽出された文書を結果一覧に合成する(S210)。   If the current rule is not a conforming rule (No in S208), the process returns to step S204. If the current rule is a conforming rule (Yes in S208), based on the current rule, a document that allows the target user to perform the target operation is extracted from the list of target documents (S210). Details of this step will be described later. Subsequently, the extracted document is combined with the result list (S210).

ポリシー113に含まれている全てのセキュリティルールについて処理が完了すると(S204)、図13の処理を終了させる。   When the processing is completed for all the security rules included in the policy 113 (S204), the processing in FIG. 13 is terminated.

続いて、ステップS207における処理の詳細について説明する。図14は、カレントルールが適合ルールであるかを検査するための処理の処理手順を説明するためのフローチャートである。   Next, details of the process in step S207 will be described. FIG. 14 is a flowchart for explaining a processing procedure of processing for checking whether or not the current rule is a conforming rule.

まず、カレントルールより、Target定義を取得する(S301)。例えば、カレントルールがRule定義r1である場合、Target定義t1が取得される。   First, a Target definition is acquired from the current rule (S301). For example, if the current rule is the Rule definition r1, the Target definition t1 is acquired.

続いて、取得されたTarget定義におけるSubject定義の値及びAction定義の値と、対象ユーザのプロファイル情報及び対象操作とを比較することにより、Subject定義の値とAction定義の値とによって規定される対象範囲に、対象ユーザ及び対象操作の組み合わせが含まれ得る否かを判定し、含まれ得る場合は、カレントルールを適合ルールとして判定する(S302)。   Subsequently, the target defined by the value of the Subject definition and the value of the Action definition by comparing the value of the Subject definition and the value of the Action definition in the acquired Target definition with the profile information and the target operation of the target user. It is determined whether or not a combination of the target user and the target operation can be included in the range, and if it can be included, the current rule is determined as a matching rule (S302).

続いて、ステップS209における処理の詳細について説明する。図15は、対象ユーザに対象操作が許可される文書の抽出処理の処理手順を説明するためのフローチャートである。   Next, details of the process in step S209 will be described. FIG. 15 is a flowchart for explaining a processing procedure of document extraction processing in which the target user is permitted to perform the target operation.

まず、抽出結果一覧を初期化(空に)する(S401)。ここで、抽出結果一覧とは、カレントルールに関して処理した結果、対象ユーザに対象操作が許可されるものとして判定された文書が格納されるバッファをいう。   First, the extraction result list is initialized (empty) (S401). Here, the extraction result list refers to a buffer that stores a document that is determined to be subject to the target user as a result of processing on the current rule.

続いて、対象文書の一覧の中から一つの文書を取り出す(S402)。対象文書の一覧から文書が正常に取得できた場合、すなわち、対象文書の一覧の中に、以降の処理について未処理の文書が残っていた場合(S403でYes)、ユーザプロファイル111、文書プロファイル112、及びカレントルールに基づいて、取得された文書(以下「カレント文書」という。)に対して対象ユーザによる対象操作の許否を判定する(S404)。   Subsequently, one document is extracted from the target document list (S402). When a document can be normally acquired from the list of target documents, that is, when an unprocessed document remains in the list of target documents (Yes in S403), the user profile 111 and the document profile 112 Based on the current rule, whether or not the target user can perform the target operation on the acquired document (hereinafter referred to as “current document”) is determined (S404).

より詳しくは、ユーザプロファイル111に基づいて対象ユーザの関係部署を特定し、文書プロファイル112に基づいて、カレント文書の管理部署及び機密レベルを特定する。ユーザプロファイル111の関係部署の中に、カレント文書の管理部署と一致するものがあれば、対象ユーザはカレント文書の関係者となり、一致するものがなければ対象ユーザはカレント文書の関係者とはならない。続いて、対象ユーザがカレント文書の関係者であるか否か、カレント文書の機密レベル、及び対象操作の組み合わせが、カレントルールのTarget定義に当てはまるか否かを判定し、当てはまる場合は、カレントルールのRule定義のEffect属性の値に基づいて、当該許否を判定する。   More specifically, the related department of the target user is specified based on the user profile 111, and the management department and confidential level of the current document are specified based on the document profile 112. If there is a matching department in the user profile 111 that matches the management department of the current document, the target user becomes a party related to the current document, and if there is no matching, the target user does not become a party related to the current document. . Subsequently, it is determined whether or not the target user is a related person of the current document, whether the combination of the confidential level of the current document and the target operation is applicable to the Target definition of the current rule. The permission / refusal is determined based on the value of the Effect attribute of the Rule definition.

ステップS405において、操作が許可される判定された場合(S405)、抽出結果一覧にカレント文書を追加する(S406)。   If it is determined in step S405 that the operation is permitted (S405), the current document is added to the extraction result list (S406).

対象文書の一覧に含まれている全ての文書について上記の処理が完了したら(S403でNo)、図15の処理を終了させる。   When the above processing is completed for all the documents included in the target document list (No in S403), the processing in FIG. 15 is terminated.

したがって、本実施の形態では図12のステップS21において、対象ユーザに対して対象操作が許可される文書の一覧(以下「許可文書一覧」という。)が、ルール適用シミュレーションの判定結果としてルール適用シミュレーションモジュール12からアプリケーション41へ送信される。この場合、アプリケーション41は、ルール適用結果確認画面410の領域4141において、許可文書一覧に含まれている文書については「○」を表示させ、それ以外の文書については「−」を表示させる。   Therefore, in this embodiment, in step S21 of FIG. 12, a list of documents that are permitted to be operated by the target user (hereinafter referred to as “permitted document list”) is used as a rule application simulation determination result. It is transmitted from the module 12 to the application 41. In this case, in the area 4141 of the rule application result confirmation screen 410, the application 41 displays “◯” for documents included in the allowed document list and displays “-” for other documents.

上述したように、本発明の実施の形態における文書管理システム1によれば、ルール適用結果確認画面410を操作することによって、管理者ユーザ等が、各文書に対する各ユーザによる各操作の可否を容易に確認することができる。したがって、セキュリティルールの制定の際や、変更の際等、その制定や変更によるアクセス制御判断に対する影響を容易に確認することができる。   As described above, according to the document management system 1 in the embodiment of the present invention, by operating the rule application result confirmation screen 410, an administrator user or the like can easily determine whether each user can perform each operation on each document. Can be confirmed. Therefore, it is possible to easily confirm the influence on the access control judgment by the establishment or change when the security rule is established or changed.

また、適用ルール選択画面420において、ルール適用シミュレーションにおいて適用対象とする(又は適用除外)とするセキュリティルール容易に変更させることができるため、複数のセキュリティルールの定義により、ポリシー113の定義内容が複雑になっている場合等おけるセキュリティルールの改善や修正作業を適切に支援することができる。   In addition, in the application rule selection screen 420, the security rule that is the application target (or application exclusion) in the rule application simulation can be easily changed. Therefore, the definition content of the policy 113 is complicated by the definition of a plurality of security rules. It is possible to appropriately support improvement and correction work of security rules in the case of

更に、ルール適用結果確認画面410は、一般ユーザが文書を利用する際と同様の管理体系(フォルダ構成)に応じた分類によって、文書一覧を表示させるため、実際に一般ユーザが操作する際の操作画面のシミュレートが可能になる。   Further, the rule application result confirmation screen 410 displays the document list according to the classification according to the same management system (folder configuration) as when the general user uses the document. The screen can be simulated.

以上、本発明の実施例について詳述したが、本発明は係る特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。   As mentioned above, although the Example of this invention was explained in full detail, this invention is not limited to the specific embodiment which concerns, In the range of the summary of this invention described in the claim, various deformation | transformation * It can be changed.

本発明の実施の形態における文書管理システムの構成例を示す図である。It is a figure which shows the structural example of the document management system in embodiment of this invention. 本発明の実施の形態におけるアクセス制御サーバのハードウェア構成例を示す図である。It is a figure which shows the hardware structural example of the access control server in embodiment of this invention. 本発明の実施の形態の文書管理システムにおけるルール適用シミュレーション機能に関する機能構成例を示す図である。It is a figure which shows the function structural example regarding the rule application simulation function in the document management system of embodiment of this invention. ユーザプロファイルの例を示す図である。It is a figure which shows the example of a user profile. 文書プロファイルの例を示す図である。It is a figure which shows the example of a document profile. ポリシーの定義例を示す図である。It is a figure which shows the example of a policy definition. ポリシーの定義例を示す図である。It is a figure which shows the example of a policy definition. ポリシーの定義例を示す図である。It is a figure which shows the example of a policy definition. ポリシーの定義内容を概念的に示す図である。It is a figure which shows the definition content of a policy notionally. ルール適用結果確認画面の表示例を示す図である。It is a figure which shows the example of a display of a rule application result confirmation screen. 適用ルール選択画面の表示例を示す図である。It is a figure which shows the example of a display of an application rule selection screen. 文書管理システムにおけるルール適用シミュレーションの処理概要を説明するためのシーケンス図である。It is a sequence diagram for demonstrating the process outline | summary of the rule application simulation in a document management system. ルール適用シミュレーションモジュールによるルール適用シミュレーションの処理手順を説明するためのフローチャートである。It is a flowchart for demonstrating the process procedure of the rule application simulation by a rule application simulation module. カレントルールが適合ルールであるかを検査するための処理の処理手順を説明するためのフローチャートである。It is a flowchart for demonstrating the process sequence of the process for test | inspecting whether a current rule is a conformity rule. 対象ユーザに対象操作が許可される文書の抽出処理の処理手順を説明するためのフローチャートである。It is a flowchart for demonstrating the process sequence of the extraction process of the document in which object operation is permitted by the object user.

符号の説明Explanation of symbols

1 文書管理システム
10 アクセス制御サーバ
11 セキュリティ管理モジュール
12 ルール適用シミュレーションモジュール
20 文書管理サーバ
21 文書管理モジュール
30 認証サーバ
31 認証モジュール
40 管理者用PC
41 アプリケーション
50 クライアントPC
60 ネットワーク
100 ドライブ装置
101 記録媒体
102 補助記憶装置
103 メモリ装置
104 演算処理装置
105 インタフェース装置
111 ユーザプロファイル
112 文書プロファイル
113 ポリシー
B バス DESCRIPTION OF SYMBOLS 1 Document management system 10 Access control server 11 Security management module 12 Rule application simulation module 20 Document management server 21 Document management module 30 Authentication server 31 Authentication module 40 PC for administrators
41 Application 50 Client PC
60 Network 100 Drive device 101 Recording medium 102 Auxiliary storage device 103 Memory device 104 Arithmetic processing device 105 Interface device 111 User profile 112 Document profile 113 Policy B bus

Claims (7)

操作の対象となる各資源を分類する資源分類情報と、前記資源を操作する各主体を分類する主体分類情報と、前記資源の分類と前記主体の分類との組み合わせに応じて前記操作の種別ごとに前記操作の許否判定に関する規則が定義された定義情報とに基づいて、前記資源に対するアクセス制御を行うアクセス制御装置であって、
前記定義情報に定義された前記規則の内容を示す規則名を一覧にして表示する表示手段と、
前記表示手段によって表示された一覧において、前記操作の許否判定に適用しない前記規則を除外する規則適用除外手段と、
前記規則適用除外手段において除外されなかった前記規則に基づいて、前記資源の集合に含まれるそれぞれの資源について特定の前記主体による特定の前記操作の許否を判定する判定手段を有し、
前記特定の主体は前記資源の集合が表示される表示画面において前記主体の一覧の中から選択され、前記特定の操作は前記表示画面において前記操作の一覧の中から選択され、
前記判定手段による前記許否の判定結果は、前記表示画面において前記資源ごとに表示されることを特徴とするアクセス制御装置。 Each type of operation according to a combination of resource classification information for classifying each resource to be operated, entity classification information for classifying each entity that operates the resource, and the classification of the resource and the category of the entity An access control device that performs access control on the resource based on definition information in which a rule regarding whether to permit or reject the operation is defined,
Display means for displaying a list of rule names indicating the contents of the rules defined in the definition information ;
In the list displayed by the display means, rule application excluding means for excluding the rules that do not apply to the permission judgment of the operation;
Wherein based on the rule that has not been excluded in rule applying excluding means has judging means for judging approval or disapproval of a particular of the operation by certain of the principal for each resource included in the set of the resource,
The specific subject is selected from the list of subjects on the display screen on which the set of resources is displayed, the specific operation is selected from the list of operations on the display screen,
The access control apparatus according to claim 1, wherein the determination result of the permission / refusal by the determining means is displayed for each resource on the display screen. 前記規則適用除外手段において、前記操作の許否判定に適用しない前記規則は、前記表示手段によって表示された一覧を表示させる一覧表示画面において選択されることを特徴とする請求項1記載のアクセス制御装置。 2. The access control apparatus according to claim 1, wherein the rule application excluding means is selected on a list display screen for displaying a list displayed by the display means. . 前記表示画面は、前記資源の管理体系に応じて前記資源の集合を表示させることを特徴とする請求項1又は2記載のアクセス制御装置。   The access control apparatus according to claim 1, wherein the display screen displays the set of resources according to a management system of the resources. 操作の対象となる各資源を分類する資源分類情報と、前記資源を操作する各主体を分類する主体分類情報と、前記資源の分類と前記主体の分類との組み合わせに応じて前記操作の種別ごとに前記操作の許否判定に関する規則が定義された定義情報とに基づいて、前記資源に対するアクセス制御を行うアクセス制御装置が実行するアクセス制御シミュレーション方法であって、
前記定義情報に定義された前記規則の内容を示す規則名を一覧にして表示する表示手順と、
前記表示手順によって表示された一覧において、前記操作の許否判定に適用しない前記規則を除外する規則適用除外手順と、
前記規則適用除外手順において除外されなかった前記規則に基づいて、前記資源の集合に含まれるそれぞれの資源について特定の前記主体による特定の前記操作の許否を判定する判定手順を有し、
前記特定の主体は前記資源の集合が表示される表示画面において前記主体の一覧の中から選択され、前記特定の操作は前記表示画面において前記操作の一覧の中から選択され、
前記判定手順による前記許否の判定結果は、前記表示画面において前記資源ごとに表示されることを特徴とするアクセス制御シミュレーション方法。 Each type of operation according to a combination of resource classification information for classifying each resource to be operated, entity classification information for classifying each entity that operates the resource, and the classification of the resource and the category of the entity And an access control simulation method executed by an access control device that performs access control on the resource based on definition information in which a rule relating to whether or not to permit the operation is defined.
A display procedure for displaying a list of rule names indicating the contents of the rules defined in the definition information ;
In the list displayed by the display procedure, a rule application exclusion procedure for excluding the rule that does not apply to the permission determination of the operation;
Based on the rules that were not excluded in the rule application exclusion procedure, a determination procedure for determining whether or not a specific operation by a specific subject is permitted for each resource included in the set of resources,
The specific subject is selected from the list of subjects on the display screen on which the set of resources is displayed, the specific operation is selected from the list of operations on the display screen,
The access control simulation method, wherein the determination result of the permission / refusal according to the determination procedure is displayed for each resource on the display screen. 前記規則適用除外手順において、前記操作の許否判定に適用しない前記規則は、前記表示手順によって表示された一覧を表示させる一覧表示画面において選択されることを特徴とする請求項4記載のアクセス制御シミュレーション方法。 5. The access control simulation according to claim 4, wherein, in the rule application exclusion procedure, the rule that is not applied to the determination of whether or not the operation is permitted is selected on a list display screen that displays a list displayed by the display procedure. Method. 前記表示画面は、前記資源の管理体系に応じて前記資源の集合を表示させることを特徴とする請求項4又は5記載のアクセス制御シミュレーション方法。   6. The access control simulation method according to claim 4, wherein the display screen displays the set of resources according to a management system of the resources. 請求項4乃至6いずれか一項記載のアクセス制御シミュレーション方法をコンピュータに実行させるためのアクセス制御シミュレーションプログラム。   An access control simulation program for causing a computer to execute the access control simulation method according to claim 4.
JP2006081517A 2006-03-23 2006-03-23 Access control device, access control simulation method, and access control simulation program Expired - Fee Related JP4832132B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006081517A JP4832132B2 (en) 2006-03-23 2006-03-23 Access control device, access control simulation method, and access control simulation program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006081517A JP4832132B2 (en) 2006-03-23 2006-03-23 Access control device, access control simulation method, and access control simulation program

Publications (2)

Publication Number Publication Date
JP2007257352A JP2007257352A (en) 2007-10-04
JP4832132B2 true JP4832132B2 (en) 2011-12-07

Family

ID=38631527

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006081517A Expired - Fee Related JP4832132B2 (en) 2006-03-23 2006-03-23 Access control device, access control simulation method, and access control simulation program

Country Status (1)

Country Link
JP (1) JP4832132B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4342584B2 (en) 2007-10-29 2009-10-14 株式会社東芝 File access control device and program
JP5170597B2 (en) * 2010-10-25 2013-03-27 キヤノンマーケティングジャパン株式会社 Document management device.

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07295941A (en) * 1994-04-22 1995-11-10 Hitachi Ltd Access right referring system and setting system
JP2004139292A (en) * 2002-10-17 2004-05-13 Hitachi Ltd Policy diagnostic system of access control
JP4764614B2 (en) * 2004-04-26 2011-09-07 株式会社リコー Information processing apparatus, operation permission information generation method, operation permission information generation program, and recording medium

Also Published As

Publication number Publication date
JP2007257352A (en) 2007-10-04

Similar Documents

Publication Publication Date Title
KR100781730B1 (en) System and method for electronically managing composite documents
JP6291826B2 (en) Information processing system and license management method
JP4606052B2 (en) Information processing apparatus, operation permission information generation method, operation permission information generation program, and recording medium
JP2016029558A (en) Method of developing application to be executed in workflow management system, and device for supporting creation of application to be executed in workflow management system
US20210286767A1 (en) Architecture, method and apparatus for enforcing collection and display of computer file metadata
JP2000020377A (en) Database system, data managing method and storage medium storing software for data management
JP4587164B2 (en) Printing system, printing control method, and program
US10841342B2 (en) Data driven user interfaces for device management
US7233949B2 (en) System and method for controlling user authorities to access one or more databases
JP5894319B1 (en) Personal information management system, personal information management method and program
JP2005174211A (en) Information processing apparatus and information processing method
US20190215380A1 (en) Data driven user interfaces for device management
JP4832132B2 (en) Access control device, access control simulation method, and access control simulation program
JP4602684B2 (en) Information processing apparatus, operation permission determination method, operation permission information generation method, operation permission determination program, operation permission information generation program, and recording medium
JP4764614B2 (en) Information processing apparatus, operation permission information generation method, operation permission information generation program, and recording medium
JP2014219708A (en) Information processing device, information processing method, and program
JP4723930B2 (en) Compound access authorization method and apparatus
JP4887735B2 (en) Information processing apparatus, information processing system, and program
JP2007066200A (en) System, server, method and program for document management
JP2008123243A (en) Electronic document management program and electronic document management device
JP6572679B2 (en) Information processing apparatus and program
JP2021076986A (en) At least one information processor and information processing system and roll setting method
JP2007233635A (en) Information management system, information management method, and computer program
JP2009104347A (en) Access controller for providing accessible electronic document
JP2008204436A (en) Drawing distribution system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090212

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110531

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110607

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110804

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110823

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110920

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4832132

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140930

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees