アクセス権管理方法、情報管理システムおよび情報管理装置
【課題】使用されないID情報やアクセス権情報がデータベースに残存するのを防止するアクセス権管理方法を得ること。
【解決手段】本発明にかかるアクセス権管理方法においては、ユーザIDの削除指示を外部から受けてユーザIDを削除した場合に、削除したユーザIDに対応付けられていたアクセス権情報のうち、当該ユーザIDにのみ対応付けられていたアクセス権情報をアクセス権情報データベース32から削除するアクセス権情報データベース管理ステップと、アクセス権情報の削除指示を外部から受けてアクセス権情報を削除した場合に、削除したアクセス権情報に対応付けられていたユーザIDのうち、当該アクセス権情報のみが対応付けられていたユーザIDをID情報データベース31から削除するID情報データベース管理ステップと、を含む。
【解決手段】本発明にかかるアクセス権管理方法においては、ユーザIDの削除指示を外部から受けてユーザIDを削除した場合に、削除したユーザIDに対応付けられていたアクセス権情報のうち、当該ユーザIDにのみ対応付けられていたアクセス権情報をアクセス権情報データベース32から削除するアクセス権情報データベース管理ステップと、アクセス権情報の削除指示を外部から受けてアクセス権情報を削除した場合に、削除したアクセス権情報に対応付けられていたユーザIDのうち、当該アクセス権情報のみが対応付けられていたユーザIDをID情報データベース31から削除するID情報データベース管理ステップと、を含む。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、アクセス権情報の管理方法に関するものであり、特に、企業等において、異動や退職などに伴いアクセス権設定に変更が生じた場合のアクセス権管理方法に関する。
【背景技術】
【0002】
従来のアクセス権管理においては、情報や情報システムを利用する人の新規採用、役割変更、退職といったライフサイクルに応じて、情報システムの認証(所定情報へのアクセスを許可するか否かの判定)に用いられるIDの発行、IDに紐付く属性情報(所属、職位など)の変更、IDの削除などが行われている。
【0003】
企業内の人事異動、契約社員等の契約満了などに伴ってIDの利用者(人)が不在となった場合において、IDを自動的に改廃する仕組みは存在する。一方で情報に対するアクセス権情報が1つも紐付かないIDも不要なIDと見なすことができるが、IDとアクセス権情報の関連は管理されず、自動的に改廃処理を行えないことが一般的である。また、利用者(ID)が紐付かないアクセス権情報も管理されていない状態となる。そのため、不要なIDの棚卸しが不十分となり、例えばアクセス制御が適切に実装されておらず、IDとパスワードの認証のみで情報やシステムへ自由にアクセスできてしなうような場合、IDとパスワードが盗難された時点で情報漏洩などの危険がある。
【0004】
上記のようなアクセス権の管理に関連する従来の技術としては、たとえば、不要となったIDやアクセス権情報を検知し、ポリシー遵守レベルを表示・通知する技術(特許文献1参照)や、複数IDの名寄せを行うことでIDとアクセス権情報の管理を効率的に行う技術(特許文献2参照)が存在する。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2009−289137号公報
【特許文献2】特開2008−117220号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、上記従来の技術を示した文献においては、ポリシー違反を検知する手段の提供について説明はあるが、具体的に不要なIDやアクセス権情報を棚卸しする(削除する)手段については開示されていない。
【0007】
ID管理データベースで情報システムのアクセス権情報を管理する方法も考えられるが、本来ID管理データベースのような基盤システムに情報システム固有の情報を持ち込むと、管理が破綻し、メンテナンスされない情報が蓄積してしまう恐れがあるため、情報システムが個別で管理するのが得策である。しかし、その場合には、ID情報とアクセス制御情報が一元管理されず、使用されないIDやアクセス制御情報が残存し、セキュリティホールに繋がる危険性がある。そのため、ID情報とアクセス制御情報を一元管理する仕組みの提供が望まれている。
【0008】
本発明は、上記に鑑みてなされたものであって、ID情報とアクセス権情報を個別に管理するように構成されたシステムにおいて、ID情報とアクセス権情報を一元管理し、使用されないID情報やアクセス権情報が残存するのを防止するアクセス権管理方法、情報管理システムおよび情報管理装置を得ることを目的とする。
【課題を解決するための手段】
【0009】
上述した課題を解決し、目的を達成するために、本発明は、情報データベースと、アクセス権情報を管理するアクセス権情報データベースと、前記情報データベースのユーザの識別情報であるユーザIDを管理するID情報データベースとを備え、ユーザIDに対してアクセス権情報を1つ以上対応付けて前記情報データベースへのアクセス制御を行う情報管理システム、において実行するアクセス権管理方法であって、前記ID情報データベース内の任意のユーザIDの削除指示を外部から受けてユーザIDを削除した場合に、当該削除したユーザIDに対応付けられていたアクセス権情報のうち、当該ユーザIDにのみ対応付けられていたアクセス権情報を前記アクセス権情報データベースから削除するアクセス権情報データベース管理ステップと、前記アクセス権情報データベース内の任意のアクセス権情報の削除指示を外部から受けてアクセス権情報を削除した場合に、当該削除したアクセス権情報に対応付けられていたユーザIDのうち、当該アクセス権情報のみが対応付けられていたユーザIDを前記ID情報データベースから削除するID情報データベース管理ステップと、を含むことを特徴とする。
【発明の効果】
【0010】
本発明によれば、使用されないユーザIDやアクセス権情報がデータベース内に残存するのを防止できる、という効果を奏する。
【図面の簡単な説明】
【0011】
【図1】図1は、本発明にかかる情報管理システムの構成例を示す図である。
【図2】図2は、ID管理DBが管理している認証情報の構成例を示す図である。
【図3】図3は、アクセス権情報DBが管理しているアクセス権情報の構造例を示す図である。
【図4】図4は、アクセス権情報の定義例を示す図である。
【図5】図5は、ID情報制御DBが管理しているID情報の構成例を示す図である。
【図6】図6は、ID管理DBからレコードを削除した場合に実行するアクセス権情報の棚卸し手順の一例を示すフローチャートである。
【図7】図7は、アクセス権情報DBからレコードを削除した場合に実行するID情報の棚卸し手順の一例を示すフローチャートである。
【発明を実施するための形態】
【0012】
以下に、本発明にかかるアクセス権管理方法、情報管理システムおよび情報管理装置の実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。
【0013】
実施の形態.
図1は、本発明にかかる情報管理システムの構成例を示す図である。図1に示した情報管理システムは、人事情報データベース1、ID管理データベース2、情報システム3、および情報管理装置であるID情報管理装置4を備える。また、情報システム3は、情報システムID情報データベース31、アクセス権情報データベース32および情報データベース33を備え、ID情報管理装置4は、ID情報制御データベース41、ID情報制御部42、棚卸処理部43およびアクセス権情報制御部44を備える。なお、図1では情報システム3を複数備えている構成例を示したが、この情報システム3は1つであってもよい。以下の説明においては、「データベース」を「DB」と記載する。
【0014】
人事情報DB1は、社員の人事情報(ユーザ属性情報)を管理する。ユーザ属性情報には、社員の氏名、識別情報(社員番号)、所属部署、役職、住所、入社年月日、など、企業の人事部などで管理すべき各種情報が含まれている。この人事情報DB1では、正社員のユーザ属性情報のみを管理対象としている。
【0015】
ID管理DB2は、情報システム3における認証処理などで必要とされる認証情報を管理する。認証情報には、ユーザIDやパスワードなどが含まれる。このID管理DB2は、情報システム3の利用者となりうる全てのユーザのIDを管理しており、利用者となりうるユーザには、正社員以外(解約社員や派遣社員、アルバイトなど)も含まれる。正社員の認証情報は、たとえば人事情報DB1で管理されているユーザ属性情報に基づいて生成される。正社員以外(以下、非正社員と記載する)の認証情報は、PC(パーソナルコンピュータ)等を利用して実現されたオンライン画面にて入力された情報、またはファイルアップロードなどの手段により入力された情報に基づいて生成される。ID管理DB2は、認証情報が新たに登録された場合、この新たに登録された認証情報をID情報管理装置4のID情報制御部42にプロビジョニング(配信)する。また、各情報システム3に対する配信も行う。なお、ID情報制御部42への配信では、必要とされる情報を認証情報から抽出し、抽出した情報のみを配信するようにしてもよい。また、登録されている認証情報が削除された場合には、削除された認証情報についてID情報管理装置4の棚卸処理部43に通知するとともに、これと同じ認証情報を削除するように各情報システム3に指示を出す。
【0016】
ID管理DB2の構造は、たとえば図2に示したものとなる。図2はID管理DB2が管理している認証情報の構成例を示す図であり、図示したように、認証情報の1レコードはID(ユーザID)、社員番号、パスワード、などを含んでいる。また、1人の社員(社員番号)に対して複数のユーザIDを割り当てることが可能であるものとする。図2の例では、社員番号D00004に対して2つのユーザID(ID4,ID5)が割り当てられている。
【0017】
各情報システム3では、情報DB33において文書データやファイルなどの利用データ(電子データ)を管理しており、ID情報DB31で管理されている情報を用いて利用者の認証を行うとともに、アクセス権情報DB32で管理されているアクセス権情報を用いてアクセス制御を行う。
【0018】
ID情報DB31で管理している情報はID管理DB2から配信される認証情報である。ID情報DB31は、ID管理DB2から認証情報を受け取った場合、この認証情報を追加登録する。また、ID管理DB2から認証情報の削除指示を受けた場合には、指示された認証情報(指示内容に対応するレコード)を削除する。
【0019】
アクセス権情報DB32は、情報システム3におけるアクセス制御(情報DB33に対するアクセス制御)で使用するアクセス権情報を管理する。アクセス権情報DB32の構造は、たとえば図3に示したものとなる。図3は、アクセス権情報DB32が管理しているアクセス権情報の構造例を示す図であり、図示したように、アクセス権情報の1レコードは、ユーザIDとアクセス権の情報(アクセス権情報)を含んで構成されている。これら以外の情報を含んでいてもよい。また、1つのユーザIDに対して複数のアクセス権情報を割り当てることが可能である。図3の例では、ID2,ID3に対して2つのアクセス権情報がそれぞれ割り当てられている。アクセス権情報は、例えば図4に示した定義(制限動作)を示し、各情報システム3では、図示した各定義に従ってアクセス制御を行う。図4に示した定義例では、最も簡単な例として、文書単位でアクセスを許可する場合を示しているが、文書の種類に基づきアクセスを許可する(たとえば、「アプリケーションXXXで作成された文書へのアクセスを許可する」,「拡張子がYYYの文書へのアクセスを許可する」)、文書の作成者に基づきアクセスを許可する(たとえば、「社員Aにより作成された文書へのアクセスを許可する」,「○○部所属の社員により作成された文書へのアクセスを許可する」)、文書の作成日時を基にアクセスを許可する(たとえば、「作成日時がAAAA〜BBBBの文書へのアクセスを許可する」,「作成日時がCCCC以降の文書へのアクセスを許可する」)、など、他の定義内容を使用することももちろん可能である。アクセス権情報は、PC(パーソナルコンピュータ)等を利用して実現されたオンライン画面にて入力された情報、またはファイルアップロードなどの手段により入力された情報に基づいて生成される。このアクセス権情報は、各情報システム3の管理者によりメンテナンスされる。
【0020】
ID情報管理装置4は、ID管理DB2および各情報システム3のアクセス権情報DB32の状態を監視し、必要に応じてID管理DB2およびアクセス権情報DB32を更新する。なお、ID情報管理装置4においては、ID情報制御DB41、ID情報制御部42およびアクセス権情報制御部44がテーブル生成保持手段を構成し、棚卸制御部43およびID情報制御部42がユーザID管理手段を構成し、棚卸処理部43およびアクセス権情報制御部44がアクセス権情報管理手段を構成する。
【0021】
ID情報管理装置4において、ID情報制御DB41は、ID管理DB2およびアクセス権情報DB32で管理されているデータを収集して生成されたID情報を管理する。図5は、ID情報制御DB41が管理しているID情報の構成例を示す図である。図示したように、ID情報の1レコードは、社員番号、ユーザIDおよびアクセス権情報を含んで構成されている。このID情報は、ID情報制御部42がID管理DB2から取得した情報とアクセス権情報制御部44が各情報システム3のアクセス権情報DB32から取得した情報とに基づいて生成される。すなわち、ID管理DB2で管理されている情報およびアクセス権情報DB32で管理されている情報の双方に含まれるユーザIDを用いて社員番号とアクセス権情報の対応付けを行ってID情報が生成される。
【0022】
ID情報制御部42は、ID管理DB2から取得した情報(配信されてきた情報)に基づいてID情報制御DB41を更新する。ID管理DB2から取得した情報には、少なくとも社員番号情報とこれに対応付けられたユーザIDが含まれるものとする。ID情報制御部42は、たとえば、ID管理DB2から情報を取得すると、取得した情報に含まれる社員番号が登録されたレコードがID情報制御DB41内に存在するかどうかを確認し、レコードが存在する場合、そのレコードにユーザIDを書き込む。該当レコードにユーザIDが書き込み済みの場合、上記取得した情報に含まれるユーザIDを追記する。レコードが存在しない場合には、上記取得した情報に含まれる社員番号とユーザIDを書き込んだレコードを追加する。また、ID情報制御部42は、ID情報制御DB41に登録されているレコードの削除要求を棚卸処理部43から受けた場合、要求されたレコードをID情報制御DB41から削除する。さらに、ID管理DB2に登録されているレコードの削除要求を棚卸処理部43から受けた場合、要求されたレコードをID管理DB2から削除する。
【0023】
棚卸処理部43は、ID管理DB2または各情報システム3のアクセス権情報DB32に登録されているレコードが削除されたことを検出した場合、削除されたレコードの他に削除すべきレコードがID管理DB2または各アクセス権情報DB32に存在しているかどうかを、ID情報制御DB41で管理されているID情報に基づいて判定する。そして、削除すべき他のレコードが存在していると判断した場合、そのレコードを削除するようにID情報制御部42およびアクセス権情報制御部44を制御する。
【0024】
アクセス権情報制御部44は、各情報システム3のアクセス権情報DB32から取得した情報に基づいてID情報制御DB41を更新する。アクセス権情報DB32から取得した情報には、少なくともユーザIDとアクセス権情報が含まれるものとする。アクセス権情報制御部44は、たとえば、アクセス権情報DB32から情報を取得すると、ID情報制御DB41のレコードのうち、取得した情報に含まれるユーザIDが登録されたレコードにアクセス権情報を書き込む。該当レコードにアクセス権情報が書き込み済みの場合、上記取得した情報に含まれるアクセス権情報を追記する。また、アクセス権情報制御部44は、アクセス権情報DB32に登録されているレコードの削除要求を棚卸処理部43から受けた場合、要求されたレコードをアクセス権情報DB32から削除する。
【0025】
つづいて、本実施の形態の情報管理システムにおける特徴的な動作である、ID管理DB2またはアクセス権情報DB32からレコードを削除した場合の情報(ID情報,アクセス権情報)の棚卸し動作について、図1〜図7(特に図6,図7)を参照しながら説明する。なお、図6は、ID管理DB2からレコードを削除した場合に実行するアクセス権情報の棚卸し手順の一例を示すフローチャートであり、図7は、アクセス権情報DB32からレコードを削除した場合に実行するID情報の棚卸し手順の一例を示すフローチャートである。
【0026】
以下の説明では、説明を簡単化するために、情報システム3が単一であるものとする。また、ID管理DB2には図2に示した各情報(認証情報)が登録され、アクセス権情報DB32には図3に示した各情報(アクセス権情報)が登録され、ID情報制御DB41には図5に示した各情報(ID情報)が登録されているものとして説明を行う。
【0027】
[ID管理DB2からレコードを削除した場合の棚卸し動作]
図6に示したように、ID登録更新者によりID管理DB2へ社員番号Xの退職情報が直接入力された場合、または人事情報DB1において社員番号Xの退職情報が入力され、その情報がID管理DB2に入力された場合(ステップS11,S12)、ID管理DB2では、この社員番号Xと対応付けられているID(ユーザID)を検索する(ステップS13)。なお、図6の例では、社員番号Xに対応するユーザIDをIDnとしている。既に説明したように、1つの社員番号に対して複数のユーザIDが割り当てられている場合もあり得る。
【0028】
ステップS13の検索動作が終了すると、ID管理DB2では、検索結果に対応するレコード(IDnが登録されているレコード)を削除するとともに、情報システム3のID情報DB31に対して、IDnのレコードを削除するように要求する(ステップS14,S15)。ステップS15の要求を受けたID情報DB31は、IDnのレコードを削除する(ステップS16)。上記社員番号Xに対して複数のユーザIDが割り当てられていた場合、割り当てられている全てのユーザIDについて、上記のステップS14〜S16の処理を実行して対応するレコードを削除する。なお、図6において矢印が双方向となっているのは、要求を受けた側が、要求された動作を完了した場合にその旨を示す通知(応答)を要求元に対して行っていることを示している。この表現方法は図7においても同様である。
【0029】
ID情報DB31におけるレコード削除処理(上記ステップS16の処理)が終了したことを検出すると、次に、ID管理DB2は、ID情報管理装置4の棚卸処理部43に対して、上記ステップS14で削除したレコードに対応するユーザID(IDn)を通知し、この通知を受けた棚卸処理部43は、通知されたユーザID(IDn)をキーとしたID情報(ID情報制御DB41)の検索をID情報制御部42経由で実行し(図5参照)、IDnに対応するアクセス権情報ACmを取得する(ステップS17,S18,S19)。そして、棚卸処理部43は、取得したACmが他のユーザIDに紐付けられているかどうかを確認し(ステップS20)、紐付けられていれば(ステップS20:Yes)、ID情報制御部42に対して、ID情報制御DB41からIDnのレコードを削除するように要求し、ID情報制御部42は、要求されたレコードを削除して棚卸し動作を終了する(ステップS23,S24)。なお、ステップS20において、棚卸処理部43は、アクセス権情報ACmをキーとしてID情報制御DB41を検索し、該当するレコードが複数存在していれば(IDnとは異なるユーザIDとACmが登録されたレコードが存在していれば)、上記ACmが他のユーザIDに紐付けられていると判断する。
【0030】
一方、上記ACmが他のユーザIDに紐付けられていないと判断した場合(ステップS20:No)、棚卸処理部43は、アクセス権情報制御部44に対して、アクセス権情報制御DB32からACmのレコードを削除するように要求し、アクセス権情報制御部44は、要求されたレコードを削除する(ステップS21,S22)。この場合においても、上記のステップS23,S24の動作を実行してID情報制御DB41からIDnのレコードを削除する。
【0031】
ここで、図6に示した棚卸し動作の具体例を示す。
【0032】
<例1:上記ステップS11で入力された社員番号Xが社員番号A00001の場合>
この場合、まず、ID管理DB2では社員番号A00001に割り当てられているユーザID=ID1のレコードを削除する。これに伴って情報システム3では、ID情報DB31の対応するレコード(ユーザID=ID1のレコード)を削除する。次に、ID情報管理装置4では、棚卸処理部43がID情報制御DB41(図5参照)からユーザID=ID1のレコードを読み出し、このレコードに登録されている各アクセス権情報(複数の場合もある)について、他のユーザIDと対応付けられているかどうかを確認する。図5に示した例ではユーザID=ID1のレコードに登録されているアクセス権情報(AC1)が他のユーザIDと対応付けられていないので、棚卸処理部43が、情報システム3のアクセス権情報DB32に対してアクセス権情報AC1のレコードを削除するように要求し、アクセス権情報DB32は、アクセス権情報AC1のレコードを削除する。また、ID情報管理装置4では、ユーザID=ID1のレコードをID情報制御DB41から削除する。
【0033】
<例2:上記ステップS11で入力された社員番号Xが社員番号B00002の場合>
この場合、まず、ID管理DB2では社員番号B00002に割り当てられているユーザID=ID2のレコードを削除する。これに伴って情報システム3では、ID情報DB31の対応するレコード(ユーザID=ID2のレコード)を削除する。次に、ID情報管理装置4では、棚卸処理部43がID情報制御DB41からユーザID=ID2のレコードを読み出し、このレコードに登録されている各アクセス権情報(この場合、AC2,AC3となる)について、他のユーザIDと対応付けられているかどうかを確認する。図5に示した例ではユーザID=ID2のレコードに登録されているアクセス権情報(AC2,AC3)が他のユーザIDと対応付けられている。従って、これらのAC2,AC3が登録されたレコードを情報システム3のアクセス権情報DB32から削除する動作(AC2のレコード,AC3のレコードを削除するようにアクセス権情報DB32に対して要求する動作)を実行することなく、ユーザID=ID2のレコードをID情報制御DB41から削除する。
【0034】
<例3:上記ステップS11で入力された社員番号Xが社員番号C00003の場合>
この場合、まず、ID管理DB2では社員番号C00003に割り当てられているユーザID=ID3のレコードを削除する。これに伴って情報システム3では、ID情報DB31の対応するレコード(ユーザID=ID3のレコード)を削除する。次に、ID情報管理装置4では、棚卸処理部43がID情報制御DB41からユーザID=ID3のレコードを読み出し、このレコードに登録されている各アクセス権情報(この場合、AC2,AC4となる)について、他のユーザIDと対応付けられているかどうかを確認する。図5に示した例では、上記AC2,AC4のうち、AC2のみが他のユーザIDと対応付けられている(AC4は他のユーザIDと対応付けられていない)。従って、棚卸処理部43が、情報システム3のアクセス権情報DB32に対して、アクセス権情報がAC4のレコードのみを削除するように要求し、アクセス権情報DB32は、アクセス権情報がAC4のレコードを削除する。また、ID情報管理装置4では、ユーザID=ID3のレコードをID情報制御DB41から削除する。
【0035】
<例4:上記ステップS11で入力された社員番号Xが社員番号D00004の場合>
この場合、まず、ID管理DB2では社員番号D00004に割り当てられているユーザID=ID4,ID5のレコードを削除する。これに伴って情報システム3では、ID情報DB31の対応するレコード(ユーザID=ID4,ID5のレコード)を削除する。次に、ID情報管理装置4では、棚卸処理部43がID情報制御DB41からユーザID=ID4およびID5のレコードを読み出し、これらのレコードに登録されている各アクセス権情報(この場合、AC3,AC5となる)について、他のユーザIDと対応付けられているかどうかを確認する。図5に示した例では、上記AC3,AC5のうち、AC3のみが他のユーザIDと対応付けられている(AC5は他のユーザIDと対応付けられていない)。従って、棚卸処理部43が、情報システム3のアクセス権情報DB32に対してアクセス権情報がAC5のレコードのみを削除するように要求し、アクセス権情報DB32は、アクセス権情報がAC5のレコードを削除する。また、ID情報管理装置4では、ユーザID=ID4,ID5のレコードをID情報制御DB41から削除する。
【0036】
このように、図6に示した棚卸し動作(ID管理DB2からレコードを削除した場合の棚卸し動作)では、ID管理DB2のレコードが削除された場合、この削除されたレコードに登録されていたユーザIDに対応付けられていた各アクセス権情報が他のユーザIDに対応付けられているかどうかを確認し、他のユーザIDに対応付けられていなければ、アクセス権情報DB32の対応するレコードを削除することとした。これにより、使用されないアクセス権情報(ID情報DB31に登録されているユーザIDのいずれにも対応付けられていないアクセス権情報、すなわち、有効なユーザIDに対応付けられていないアクセス権情報)がアクセス権情報DB32に残存するのを防止できる。
【0037】
[アクセス権情報DB32からレコードを削除した場合の棚卸し動作]
図7に示したように、アクセス権情報管理者により情報システム3のアクセス権情報DB32からアクセス権情報がACmのレコードが削除された場合(ステップS31,S32)、アクセス権情報DB32は削除されたレコードに登録されていたアクセス権情報(ACm)をID情報管理装置4の棚卸処理部43に通知し、この通知を受けた棚卸処理部43は、通知されたアクセス権情報(ACm)をキーとしたID情報(ID情報制御DB41)の検索をアクセス権情報制御部44経由で実行し(図5参照)、ACmに対応するユーザID(IDn)を取得する(ステップS33,S34,S35,S36)。そして、棚卸処理部43は、取得したユーザIDが1つかどうか(検索キーとしたACmが対応付けられているユーザIDが1つかどうか)を確認し(ステップS37)、1つでなければ(ステップS37:No)、ここで棚卸し動作を終了する。これに対して、上記取得したユーザIDが1つの場合(ステップS37:Yes)、このユーザID(IDn)が他のアクセス権情報に紐付けられているかどうかを確認し(ステップS38)、紐付けられていれば(ステップS38:Yes)、ここで棚卸し動作を終了する。なお、ステップS38において、棚卸処理部43は、ユーザID(IDn)をキーとしてID情報制御DB41を検索し、該当するレコードが複数存在していれば(ACmとは異なるアクセス権情報とユーザIDnが登録されたレコードが存在していれば)、上記ユーザIDnが他のアクセス権情報に紐付けられていると判断する。
【0038】
一方、上記ユーザID(IDn)が他のアクセス権情報に紐付けられていないと判断した場合(ステップS38:No)、棚卸処理部43は、ID情報制御部42に対して、ID情報制御DB41からIDnのレコードを削除するように要求し、ID情報制御部42は、要求されたレコードを削除する(ステップS39,S40)。この動作に加えて、棚卸処理部43は、ID管理DB2に対して、IDnのレコードを削除するように要求し、ID管理DB2は、要求されたレコード(IDnのレコード)を削除する(ステップS41)。これに伴い、情報システム3のID情報DB32の対応するレコード(IDnのレコード)も削除される(ステップS42)。以上が図7に示した棚卸し動作である。
【0039】
ここで、図7に示した棚卸し動作の具体例を示す。
【0040】
<例1:上記ステップS31で削除されたアクセス権情報(ACm)がAC1の場合>
この場合、ID情報管理装置4では、棚卸処理部43がID情報制御DB41(図5参照)からアクセス権情報ACm=AC1のレコードを読み出し、このレコードに登録されている各ユーザID(複数の場合もある)について、他のアクセス権情報と対応付けられているかどうかを確認する。図5に示した例ではACm=AC1のレコードに登録されているユーザID(ID1)が他のアクセス権情報と対応付けられていないので、棚卸処理部43が、ID管理DB2に対してユーザIDがID1のレコードを削除するように要求し、ID管理DB2は、ユーザID=ID1のレコードを削除する。また、ID情報管理装置4では、ユーザID=ID1のレコードをID情報制御DB41から削除する。
【0041】
<例2:上記ステップS31で削除されたアクセス権情報(ACm)がAC2の場合>
この場合、ID情報管理装置4では、棚卸処理部43がID情報制御DB41からアクセス権情報ACm=AC2のレコードを読み出す。図5に示した例ではAC2がID2とID3に対応付けられているので、複数のレコードが読み出される。よって、ここで棚卸し動作を終了する。
【0042】
<例3:上記ステップS31で削除されたアクセス権情報(ACm)がAC3の場合>
この場合、ID情報管理装置4では、棚卸処理部43がID情報制御DB41からアクセス権情報ACm=AC3のレコードを読み出す。図5に示した例ではAC3がID2とID4に対応付けられているので、複数のレコードが読み出される。よって、ここで棚卸し動作を終了する。
【0043】
<例4:上記ステップS31で削除されたアクセス権情報(ACm)がAC4の場合>
この場合、ID情報管理装置4では、棚卸処理部43がID情報制御DB41からアクセス権情報ACm=AC4のレコードを読み出す。図5に示した例ではAC4がID3のみに対応付けられているので、1つのレコードが読み出される。よって、さらに、このID3が他のアクセス権情報と対応付けられているかどうかを確認する。図5に示した例では上記ID3は他のアクセス権情報(AC2)と対応付けられている。従って、ここで棚卸し動作を終了する。
【0044】
<例5:上記ステップS31で削除されたアクセス権情報(ACm)がAC5の場合>
この場合、ID情報管理装置4では、棚卸処理部43がID情報制御DB41からアクセス権情報ACm=AC5のレコードを読み出す。図5に示した例ではAC5がID5のみに対応付けられているので、1つのレコードが読み出される。よって、さらに、このID5が他のアクセス権情報と対応付けられているかどうかを確認する。図5に示した例では上記ID5は他のアクセス権情報と対応付けられていないので、棚卸処理部43が、ID管理DB2に対してユーザIDがID5のレコードを削除するように要求し、ID管理DB2は、ユーザID=ID5のレコードを削除する。また、ID情報管理装置4では、ユーザID=ID5のレコードをID情報制御DB41から削除する。
【0045】
このように、図7に示した棚卸し動作(アクセス権情報DB32からレコードを削除した場合の棚卸し動作)では、アクセス権情報DB32のレコードが削除された場合、この削除されたレコードに登録されていたアクセス権情報に対応付けられていた各ユーザIDが他のアクセス権情報に対応付けられているかどうかを確認し、他のアクセス権情報に対応付けられていなければ、ID管理DB2の対応するレコードを削除することとした。これにより、使用されない認証情報(アクセス権情報DB32のいずれのレコードにも登録されていない認証情報)がID管理DB2に残存するのを防止できる。
【0046】
本実施の形態にかかる情報管理システムでは、図6,図7に示した棚卸し動作を実行するようにしたので、ID管理DB2やアクセス権情報DB32から不要なレコードを効率的に削除することができ、なおかつ不要なレコードがデータベースに残存してしまうのを防止できる。
【0047】
ID情報管理装置4は、図6に示した棚卸し動作において、さらに、ID情報DB2からユーザIDが削除され、これに伴ってアクセス権情報DB32からアクセス権情報を削除した場合、その旨を示す通知を利用者(アクセス権情報の管理者)に対して行うようにしてもよい。すなわち、上述したステップS21,S22を実施した場合に、そのことについて管理者に通知するようにしてもよい。これにより、アクセス権情報の管理者は、ID情報管理装置4の動作によりアクセス権情報DB32が更新されたことを知ることができる。図7に示した棚卸し動作においても同様に、アクセス権情報DB32からアクセス権情報が削除され、これに伴ってID情報DB2からユーザIDを削除した場合、その旨を示す通知を利用者(ユーザIDの管理者)に対して行うようにしてもよい。上記の通知は、たとえば、PCのモニタなどに棚卸し動作の内容を表示して行う。動作内容を示した電子メールを管理者宛に送信するようにしてもよい。
【産業上の利用可能性】
【0048】
以上のように、本発明にかかるアクセス権管理方法は、文書等の電子データを管理する情報システムに対して有用であり、特に、情報システムにおけるアクセス制御で使用されるアクセス権情報などの管理において有用である。
【符号の説明】
【0049】
1 人事情報データベース
2 ID管理データベース
3 情報システム
4 ID情報管理装置
31 ID情報データベース
32 アクセス権情報データベース
33 情報データベース
41 ID情報制御データベース
42 ID情報制御部
43 棚卸処理部
44 アクセス権情報制御部
【技術分野】
【0001】
本発明は、アクセス権情報の管理方法に関するものであり、特に、企業等において、異動や退職などに伴いアクセス権設定に変更が生じた場合のアクセス権管理方法に関する。
【背景技術】
【0002】
従来のアクセス権管理においては、情報や情報システムを利用する人の新規採用、役割変更、退職といったライフサイクルに応じて、情報システムの認証(所定情報へのアクセスを許可するか否かの判定)に用いられるIDの発行、IDに紐付く属性情報(所属、職位など)の変更、IDの削除などが行われている。
【0003】
企業内の人事異動、契約社員等の契約満了などに伴ってIDの利用者(人)が不在となった場合において、IDを自動的に改廃する仕組みは存在する。一方で情報に対するアクセス権情報が1つも紐付かないIDも不要なIDと見なすことができるが、IDとアクセス権情報の関連は管理されず、自動的に改廃処理を行えないことが一般的である。また、利用者(ID)が紐付かないアクセス権情報も管理されていない状態となる。そのため、不要なIDの棚卸しが不十分となり、例えばアクセス制御が適切に実装されておらず、IDとパスワードの認証のみで情報やシステムへ自由にアクセスできてしなうような場合、IDとパスワードが盗難された時点で情報漏洩などの危険がある。
【0004】
上記のようなアクセス権の管理に関連する従来の技術としては、たとえば、不要となったIDやアクセス権情報を検知し、ポリシー遵守レベルを表示・通知する技術(特許文献1参照)や、複数IDの名寄せを行うことでIDとアクセス権情報の管理を効率的に行う技術(特許文献2参照)が存在する。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2009−289137号公報
【特許文献2】特開2008−117220号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、上記従来の技術を示した文献においては、ポリシー違反を検知する手段の提供について説明はあるが、具体的に不要なIDやアクセス権情報を棚卸しする(削除する)手段については開示されていない。
【0007】
ID管理データベースで情報システムのアクセス権情報を管理する方法も考えられるが、本来ID管理データベースのような基盤システムに情報システム固有の情報を持ち込むと、管理が破綻し、メンテナンスされない情報が蓄積してしまう恐れがあるため、情報システムが個別で管理するのが得策である。しかし、その場合には、ID情報とアクセス制御情報が一元管理されず、使用されないIDやアクセス制御情報が残存し、セキュリティホールに繋がる危険性がある。そのため、ID情報とアクセス制御情報を一元管理する仕組みの提供が望まれている。
【0008】
本発明は、上記に鑑みてなされたものであって、ID情報とアクセス権情報を個別に管理するように構成されたシステムにおいて、ID情報とアクセス権情報を一元管理し、使用されないID情報やアクセス権情報が残存するのを防止するアクセス権管理方法、情報管理システムおよび情報管理装置を得ることを目的とする。
【課題を解決するための手段】
【0009】
上述した課題を解決し、目的を達成するために、本発明は、情報データベースと、アクセス権情報を管理するアクセス権情報データベースと、前記情報データベースのユーザの識別情報であるユーザIDを管理するID情報データベースとを備え、ユーザIDに対してアクセス権情報を1つ以上対応付けて前記情報データベースへのアクセス制御を行う情報管理システム、において実行するアクセス権管理方法であって、前記ID情報データベース内の任意のユーザIDの削除指示を外部から受けてユーザIDを削除した場合に、当該削除したユーザIDに対応付けられていたアクセス権情報のうち、当該ユーザIDにのみ対応付けられていたアクセス権情報を前記アクセス権情報データベースから削除するアクセス権情報データベース管理ステップと、前記アクセス権情報データベース内の任意のアクセス権情報の削除指示を外部から受けてアクセス権情報を削除した場合に、当該削除したアクセス権情報に対応付けられていたユーザIDのうち、当該アクセス権情報のみが対応付けられていたユーザIDを前記ID情報データベースから削除するID情報データベース管理ステップと、を含むことを特徴とする。
【発明の効果】
【0010】
本発明によれば、使用されないユーザIDやアクセス権情報がデータベース内に残存するのを防止できる、という効果を奏する。
【図面の簡単な説明】
【0011】
【図1】図1は、本発明にかかる情報管理システムの構成例を示す図である。
【図2】図2は、ID管理DBが管理している認証情報の構成例を示す図である。
【図3】図3は、アクセス権情報DBが管理しているアクセス権情報の構造例を示す図である。
【図4】図4は、アクセス権情報の定義例を示す図である。
【図5】図5は、ID情報制御DBが管理しているID情報の構成例を示す図である。
【図6】図6は、ID管理DBからレコードを削除した場合に実行するアクセス権情報の棚卸し手順の一例を示すフローチャートである。
【図7】図7は、アクセス権情報DBからレコードを削除した場合に実行するID情報の棚卸し手順の一例を示すフローチャートである。
【発明を実施するための形態】
【0012】
以下に、本発明にかかるアクセス権管理方法、情報管理システムおよび情報管理装置の実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。
【0013】
実施の形態.
図1は、本発明にかかる情報管理システムの構成例を示す図である。図1に示した情報管理システムは、人事情報データベース1、ID管理データベース2、情報システム3、および情報管理装置であるID情報管理装置4を備える。また、情報システム3は、情報システムID情報データベース31、アクセス権情報データベース32および情報データベース33を備え、ID情報管理装置4は、ID情報制御データベース41、ID情報制御部42、棚卸処理部43およびアクセス権情報制御部44を備える。なお、図1では情報システム3を複数備えている構成例を示したが、この情報システム3は1つであってもよい。以下の説明においては、「データベース」を「DB」と記載する。
【0014】
人事情報DB1は、社員の人事情報(ユーザ属性情報)を管理する。ユーザ属性情報には、社員の氏名、識別情報(社員番号)、所属部署、役職、住所、入社年月日、など、企業の人事部などで管理すべき各種情報が含まれている。この人事情報DB1では、正社員のユーザ属性情報のみを管理対象としている。
【0015】
ID管理DB2は、情報システム3における認証処理などで必要とされる認証情報を管理する。認証情報には、ユーザIDやパスワードなどが含まれる。このID管理DB2は、情報システム3の利用者となりうる全てのユーザのIDを管理しており、利用者となりうるユーザには、正社員以外(解約社員や派遣社員、アルバイトなど)も含まれる。正社員の認証情報は、たとえば人事情報DB1で管理されているユーザ属性情報に基づいて生成される。正社員以外(以下、非正社員と記載する)の認証情報は、PC(パーソナルコンピュータ)等を利用して実現されたオンライン画面にて入力された情報、またはファイルアップロードなどの手段により入力された情報に基づいて生成される。ID管理DB2は、認証情報が新たに登録された場合、この新たに登録された認証情報をID情報管理装置4のID情報制御部42にプロビジョニング(配信)する。また、各情報システム3に対する配信も行う。なお、ID情報制御部42への配信では、必要とされる情報を認証情報から抽出し、抽出した情報のみを配信するようにしてもよい。また、登録されている認証情報が削除された場合には、削除された認証情報についてID情報管理装置4の棚卸処理部43に通知するとともに、これと同じ認証情報を削除するように各情報システム3に指示を出す。
【0016】
ID管理DB2の構造は、たとえば図2に示したものとなる。図2はID管理DB2が管理している認証情報の構成例を示す図であり、図示したように、認証情報の1レコードはID(ユーザID)、社員番号、パスワード、などを含んでいる。また、1人の社員(社員番号)に対して複数のユーザIDを割り当てることが可能であるものとする。図2の例では、社員番号D00004に対して2つのユーザID(ID4,ID5)が割り当てられている。
【0017】
各情報システム3では、情報DB33において文書データやファイルなどの利用データ(電子データ)を管理しており、ID情報DB31で管理されている情報を用いて利用者の認証を行うとともに、アクセス権情報DB32で管理されているアクセス権情報を用いてアクセス制御を行う。
【0018】
ID情報DB31で管理している情報はID管理DB2から配信される認証情報である。ID情報DB31は、ID管理DB2から認証情報を受け取った場合、この認証情報を追加登録する。また、ID管理DB2から認証情報の削除指示を受けた場合には、指示された認証情報(指示内容に対応するレコード)を削除する。
【0019】
アクセス権情報DB32は、情報システム3におけるアクセス制御(情報DB33に対するアクセス制御)で使用するアクセス権情報を管理する。アクセス権情報DB32の構造は、たとえば図3に示したものとなる。図3は、アクセス権情報DB32が管理しているアクセス権情報の構造例を示す図であり、図示したように、アクセス権情報の1レコードは、ユーザIDとアクセス権の情報(アクセス権情報)を含んで構成されている。これら以外の情報を含んでいてもよい。また、1つのユーザIDに対して複数のアクセス権情報を割り当てることが可能である。図3の例では、ID2,ID3に対して2つのアクセス権情報がそれぞれ割り当てられている。アクセス権情報は、例えば図4に示した定義(制限動作)を示し、各情報システム3では、図示した各定義に従ってアクセス制御を行う。図4に示した定義例では、最も簡単な例として、文書単位でアクセスを許可する場合を示しているが、文書の種類に基づきアクセスを許可する(たとえば、「アプリケーションXXXで作成された文書へのアクセスを許可する」,「拡張子がYYYの文書へのアクセスを許可する」)、文書の作成者に基づきアクセスを許可する(たとえば、「社員Aにより作成された文書へのアクセスを許可する」,「○○部所属の社員により作成された文書へのアクセスを許可する」)、文書の作成日時を基にアクセスを許可する(たとえば、「作成日時がAAAA〜BBBBの文書へのアクセスを許可する」,「作成日時がCCCC以降の文書へのアクセスを許可する」)、など、他の定義内容を使用することももちろん可能である。アクセス権情報は、PC(パーソナルコンピュータ)等を利用して実現されたオンライン画面にて入力された情報、またはファイルアップロードなどの手段により入力された情報に基づいて生成される。このアクセス権情報は、各情報システム3の管理者によりメンテナンスされる。
【0020】
ID情報管理装置4は、ID管理DB2および各情報システム3のアクセス権情報DB32の状態を監視し、必要に応じてID管理DB2およびアクセス権情報DB32を更新する。なお、ID情報管理装置4においては、ID情報制御DB41、ID情報制御部42およびアクセス権情報制御部44がテーブル生成保持手段を構成し、棚卸制御部43およびID情報制御部42がユーザID管理手段を構成し、棚卸処理部43およびアクセス権情報制御部44がアクセス権情報管理手段を構成する。
【0021】
ID情報管理装置4において、ID情報制御DB41は、ID管理DB2およびアクセス権情報DB32で管理されているデータを収集して生成されたID情報を管理する。図5は、ID情報制御DB41が管理しているID情報の構成例を示す図である。図示したように、ID情報の1レコードは、社員番号、ユーザIDおよびアクセス権情報を含んで構成されている。このID情報は、ID情報制御部42がID管理DB2から取得した情報とアクセス権情報制御部44が各情報システム3のアクセス権情報DB32から取得した情報とに基づいて生成される。すなわち、ID管理DB2で管理されている情報およびアクセス権情報DB32で管理されている情報の双方に含まれるユーザIDを用いて社員番号とアクセス権情報の対応付けを行ってID情報が生成される。
【0022】
ID情報制御部42は、ID管理DB2から取得した情報(配信されてきた情報)に基づいてID情報制御DB41を更新する。ID管理DB2から取得した情報には、少なくとも社員番号情報とこれに対応付けられたユーザIDが含まれるものとする。ID情報制御部42は、たとえば、ID管理DB2から情報を取得すると、取得した情報に含まれる社員番号が登録されたレコードがID情報制御DB41内に存在するかどうかを確認し、レコードが存在する場合、そのレコードにユーザIDを書き込む。該当レコードにユーザIDが書き込み済みの場合、上記取得した情報に含まれるユーザIDを追記する。レコードが存在しない場合には、上記取得した情報に含まれる社員番号とユーザIDを書き込んだレコードを追加する。また、ID情報制御部42は、ID情報制御DB41に登録されているレコードの削除要求を棚卸処理部43から受けた場合、要求されたレコードをID情報制御DB41から削除する。さらに、ID管理DB2に登録されているレコードの削除要求を棚卸処理部43から受けた場合、要求されたレコードをID管理DB2から削除する。
【0023】
棚卸処理部43は、ID管理DB2または各情報システム3のアクセス権情報DB32に登録されているレコードが削除されたことを検出した場合、削除されたレコードの他に削除すべきレコードがID管理DB2または各アクセス権情報DB32に存在しているかどうかを、ID情報制御DB41で管理されているID情報に基づいて判定する。そして、削除すべき他のレコードが存在していると判断した場合、そのレコードを削除するようにID情報制御部42およびアクセス権情報制御部44を制御する。
【0024】
アクセス権情報制御部44は、各情報システム3のアクセス権情報DB32から取得した情報に基づいてID情報制御DB41を更新する。アクセス権情報DB32から取得した情報には、少なくともユーザIDとアクセス権情報が含まれるものとする。アクセス権情報制御部44は、たとえば、アクセス権情報DB32から情報を取得すると、ID情報制御DB41のレコードのうち、取得した情報に含まれるユーザIDが登録されたレコードにアクセス権情報を書き込む。該当レコードにアクセス権情報が書き込み済みの場合、上記取得した情報に含まれるアクセス権情報を追記する。また、アクセス権情報制御部44は、アクセス権情報DB32に登録されているレコードの削除要求を棚卸処理部43から受けた場合、要求されたレコードをアクセス権情報DB32から削除する。
【0025】
つづいて、本実施の形態の情報管理システムにおける特徴的な動作である、ID管理DB2またはアクセス権情報DB32からレコードを削除した場合の情報(ID情報,アクセス権情報)の棚卸し動作について、図1〜図7(特に図6,図7)を参照しながら説明する。なお、図6は、ID管理DB2からレコードを削除した場合に実行するアクセス権情報の棚卸し手順の一例を示すフローチャートであり、図7は、アクセス権情報DB32からレコードを削除した場合に実行するID情報の棚卸し手順の一例を示すフローチャートである。
【0026】
以下の説明では、説明を簡単化するために、情報システム3が単一であるものとする。また、ID管理DB2には図2に示した各情報(認証情報)が登録され、アクセス権情報DB32には図3に示した各情報(アクセス権情報)が登録され、ID情報制御DB41には図5に示した各情報(ID情報)が登録されているものとして説明を行う。
【0027】
[ID管理DB2からレコードを削除した場合の棚卸し動作]
図6に示したように、ID登録更新者によりID管理DB2へ社員番号Xの退職情報が直接入力された場合、または人事情報DB1において社員番号Xの退職情報が入力され、その情報がID管理DB2に入力された場合(ステップS11,S12)、ID管理DB2では、この社員番号Xと対応付けられているID(ユーザID)を検索する(ステップS13)。なお、図6の例では、社員番号Xに対応するユーザIDをIDnとしている。既に説明したように、1つの社員番号に対して複数のユーザIDが割り当てられている場合もあり得る。
【0028】
ステップS13の検索動作が終了すると、ID管理DB2では、検索結果に対応するレコード(IDnが登録されているレコード)を削除するとともに、情報システム3のID情報DB31に対して、IDnのレコードを削除するように要求する(ステップS14,S15)。ステップS15の要求を受けたID情報DB31は、IDnのレコードを削除する(ステップS16)。上記社員番号Xに対して複数のユーザIDが割り当てられていた場合、割り当てられている全てのユーザIDについて、上記のステップS14〜S16の処理を実行して対応するレコードを削除する。なお、図6において矢印が双方向となっているのは、要求を受けた側が、要求された動作を完了した場合にその旨を示す通知(応答)を要求元に対して行っていることを示している。この表現方法は図7においても同様である。
【0029】
ID情報DB31におけるレコード削除処理(上記ステップS16の処理)が終了したことを検出すると、次に、ID管理DB2は、ID情報管理装置4の棚卸処理部43に対して、上記ステップS14で削除したレコードに対応するユーザID(IDn)を通知し、この通知を受けた棚卸処理部43は、通知されたユーザID(IDn)をキーとしたID情報(ID情報制御DB41)の検索をID情報制御部42経由で実行し(図5参照)、IDnに対応するアクセス権情報ACmを取得する(ステップS17,S18,S19)。そして、棚卸処理部43は、取得したACmが他のユーザIDに紐付けられているかどうかを確認し(ステップS20)、紐付けられていれば(ステップS20:Yes)、ID情報制御部42に対して、ID情報制御DB41からIDnのレコードを削除するように要求し、ID情報制御部42は、要求されたレコードを削除して棚卸し動作を終了する(ステップS23,S24)。なお、ステップS20において、棚卸処理部43は、アクセス権情報ACmをキーとしてID情報制御DB41を検索し、該当するレコードが複数存在していれば(IDnとは異なるユーザIDとACmが登録されたレコードが存在していれば)、上記ACmが他のユーザIDに紐付けられていると判断する。
【0030】
一方、上記ACmが他のユーザIDに紐付けられていないと判断した場合(ステップS20:No)、棚卸処理部43は、アクセス権情報制御部44に対して、アクセス権情報制御DB32からACmのレコードを削除するように要求し、アクセス権情報制御部44は、要求されたレコードを削除する(ステップS21,S22)。この場合においても、上記のステップS23,S24の動作を実行してID情報制御DB41からIDnのレコードを削除する。
【0031】
ここで、図6に示した棚卸し動作の具体例を示す。
【0032】
<例1:上記ステップS11で入力された社員番号Xが社員番号A00001の場合>
この場合、まず、ID管理DB2では社員番号A00001に割り当てられているユーザID=ID1のレコードを削除する。これに伴って情報システム3では、ID情報DB31の対応するレコード(ユーザID=ID1のレコード)を削除する。次に、ID情報管理装置4では、棚卸処理部43がID情報制御DB41(図5参照)からユーザID=ID1のレコードを読み出し、このレコードに登録されている各アクセス権情報(複数の場合もある)について、他のユーザIDと対応付けられているかどうかを確認する。図5に示した例ではユーザID=ID1のレコードに登録されているアクセス権情報(AC1)が他のユーザIDと対応付けられていないので、棚卸処理部43が、情報システム3のアクセス権情報DB32に対してアクセス権情報AC1のレコードを削除するように要求し、アクセス権情報DB32は、アクセス権情報AC1のレコードを削除する。また、ID情報管理装置4では、ユーザID=ID1のレコードをID情報制御DB41から削除する。
【0033】
<例2:上記ステップS11で入力された社員番号Xが社員番号B00002の場合>
この場合、まず、ID管理DB2では社員番号B00002に割り当てられているユーザID=ID2のレコードを削除する。これに伴って情報システム3では、ID情報DB31の対応するレコード(ユーザID=ID2のレコード)を削除する。次に、ID情報管理装置4では、棚卸処理部43がID情報制御DB41からユーザID=ID2のレコードを読み出し、このレコードに登録されている各アクセス権情報(この場合、AC2,AC3となる)について、他のユーザIDと対応付けられているかどうかを確認する。図5に示した例ではユーザID=ID2のレコードに登録されているアクセス権情報(AC2,AC3)が他のユーザIDと対応付けられている。従って、これらのAC2,AC3が登録されたレコードを情報システム3のアクセス権情報DB32から削除する動作(AC2のレコード,AC3のレコードを削除するようにアクセス権情報DB32に対して要求する動作)を実行することなく、ユーザID=ID2のレコードをID情報制御DB41から削除する。
【0034】
<例3:上記ステップS11で入力された社員番号Xが社員番号C00003の場合>
この場合、まず、ID管理DB2では社員番号C00003に割り当てられているユーザID=ID3のレコードを削除する。これに伴って情報システム3では、ID情報DB31の対応するレコード(ユーザID=ID3のレコード)を削除する。次に、ID情報管理装置4では、棚卸処理部43がID情報制御DB41からユーザID=ID3のレコードを読み出し、このレコードに登録されている各アクセス権情報(この場合、AC2,AC4となる)について、他のユーザIDと対応付けられているかどうかを確認する。図5に示した例では、上記AC2,AC4のうち、AC2のみが他のユーザIDと対応付けられている(AC4は他のユーザIDと対応付けられていない)。従って、棚卸処理部43が、情報システム3のアクセス権情報DB32に対して、アクセス権情報がAC4のレコードのみを削除するように要求し、アクセス権情報DB32は、アクセス権情報がAC4のレコードを削除する。また、ID情報管理装置4では、ユーザID=ID3のレコードをID情報制御DB41から削除する。
【0035】
<例4:上記ステップS11で入力された社員番号Xが社員番号D00004の場合>
この場合、まず、ID管理DB2では社員番号D00004に割り当てられているユーザID=ID4,ID5のレコードを削除する。これに伴って情報システム3では、ID情報DB31の対応するレコード(ユーザID=ID4,ID5のレコード)を削除する。次に、ID情報管理装置4では、棚卸処理部43がID情報制御DB41からユーザID=ID4およびID5のレコードを読み出し、これらのレコードに登録されている各アクセス権情報(この場合、AC3,AC5となる)について、他のユーザIDと対応付けられているかどうかを確認する。図5に示した例では、上記AC3,AC5のうち、AC3のみが他のユーザIDと対応付けられている(AC5は他のユーザIDと対応付けられていない)。従って、棚卸処理部43が、情報システム3のアクセス権情報DB32に対してアクセス権情報がAC5のレコードのみを削除するように要求し、アクセス権情報DB32は、アクセス権情報がAC5のレコードを削除する。また、ID情報管理装置4では、ユーザID=ID4,ID5のレコードをID情報制御DB41から削除する。
【0036】
このように、図6に示した棚卸し動作(ID管理DB2からレコードを削除した場合の棚卸し動作)では、ID管理DB2のレコードが削除された場合、この削除されたレコードに登録されていたユーザIDに対応付けられていた各アクセス権情報が他のユーザIDに対応付けられているかどうかを確認し、他のユーザIDに対応付けられていなければ、アクセス権情報DB32の対応するレコードを削除することとした。これにより、使用されないアクセス権情報(ID情報DB31に登録されているユーザIDのいずれにも対応付けられていないアクセス権情報、すなわち、有効なユーザIDに対応付けられていないアクセス権情報)がアクセス権情報DB32に残存するのを防止できる。
【0037】
[アクセス権情報DB32からレコードを削除した場合の棚卸し動作]
図7に示したように、アクセス権情報管理者により情報システム3のアクセス権情報DB32からアクセス権情報がACmのレコードが削除された場合(ステップS31,S32)、アクセス権情報DB32は削除されたレコードに登録されていたアクセス権情報(ACm)をID情報管理装置4の棚卸処理部43に通知し、この通知を受けた棚卸処理部43は、通知されたアクセス権情報(ACm)をキーとしたID情報(ID情報制御DB41)の検索をアクセス権情報制御部44経由で実行し(図5参照)、ACmに対応するユーザID(IDn)を取得する(ステップS33,S34,S35,S36)。そして、棚卸処理部43は、取得したユーザIDが1つかどうか(検索キーとしたACmが対応付けられているユーザIDが1つかどうか)を確認し(ステップS37)、1つでなければ(ステップS37:No)、ここで棚卸し動作を終了する。これに対して、上記取得したユーザIDが1つの場合(ステップS37:Yes)、このユーザID(IDn)が他のアクセス権情報に紐付けられているかどうかを確認し(ステップS38)、紐付けられていれば(ステップS38:Yes)、ここで棚卸し動作を終了する。なお、ステップS38において、棚卸処理部43は、ユーザID(IDn)をキーとしてID情報制御DB41を検索し、該当するレコードが複数存在していれば(ACmとは異なるアクセス権情報とユーザIDnが登録されたレコードが存在していれば)、上記ユーザIDnが他のアクセス権情報に紐付けられていると判断する。
【0038】
一方、上記ユーザID(IDn)が他のアクセス権情報に紐付けられていないと判断した場合(ステップS38:No)、棚卸処理部43は、ID情報制御部42に対して、ID情報制御DB41からIDnのレコードを削除するように要求し、ID情報制御部42は、要求されたレコードを削除する(ステップS39,S40)。この動作に加えて、棚卸処理部43は、ID管理DB2に対して、IDnのレコードを削除するように要求し、ID管理DB2は、要求されたレコード(IDnのレコード)を削除する(ステップS41)。これに伴い、情報システム3のID情報DB32の対応するレコード(IDnのレコード)も削除される(ステップS42)。以上が図7に示した棚卸し動作である。
【0039】
ここで、図7に示した棚卸し動作の具体例を示す。
【0040】
<例1:上記ステップS31で削除されたアクセス権情報(ACm)がAC1の場合>
この場合、ID情報管理装置4では、棚卸処理部43がID情報制御DB41(図5参照)からアクセス権情報ACm=AC1のレコードを読み出し、このレコードに登録されている各ユーザID(複数の場合もある)について、他のアクセス権情報と対応付けられているかどうかを確認する。図5に示した例ではACm=AC1のレコードに登録されているユーザID(ID1)が他のアクセス権情報と対応付けられていないので、棚卸処理部43が、ID管理DB2に対してユーザIDがID1のレコードを削除するように要求し、ID管理DB2は、ユーザID=ID1のレコードを削除する。また、ID情報管理装置4では、ユーザID=ID1のレコードをID情報制御DB41から削除する。
【0041】
<例2:上記ステップS31で削除されたアクセス権情報(ACm)がAC2の場合>
この場合、ID情報管理装置4では、棚卸処理部43がID情報制御DB41からアクセス権情報ACm=AC2のレコードを読み出す。図5に示した例ではAC2がID2とID3に対応付けられているので、複数のレコードが読み出される。よって、ここで棚卸し動作を終了する。
【0042】
<例3:上記ステップS31で削除されたアクセス権情報(ACm)がAC3の場合>
この場合、ID情報管理装置4では、棚卸処理部43がID情報制御DB41からアクセス権情報ACm=AC3のレコードを読み出す。図5に示した例ではAC3がID2とID4に対応付けられているので、複数のレコードが読み出される。よって、ここで棚卸し動作を終了する。
【0043】
<例4:上記ステップS31で削除されたアクセス権情報(ACm)がAC4の場合>
この場合、ID情報管理装置4では、棚卸処理部43がID情報制御DB41からアクセス権情報ACm=AC4のレコードを読み出す。図5に示した例ではAC4がID3のみに対応付けられているので、1つのレコードが読み出される。よって、さらに、このID3が他のアクセス権情報と対応付けられているかどうかを確認する。図5に示した例では上記ID3は他のアクセス権情報(AC2)と対応付けられている。従って、ここで棚卸し動作を終了する。
【0044】
<例5:上記ステップS31で削除されたアクセス権情報(ACm)がAC5の場合>
この場合、ID情報管理装置4では、棚卸処理部43がID情報制御DB41からアクセス権情報ACm=AC5のレコードを読み出す。図5に示した例ではAC5がID5のみに対応付けられているので、1つのレコードが読み出される。よって、さらに、このID5が他のアクセス権情報と対応付けられているかどうかを確認する。図5に示した例では上記ID5は他のアクセス権情報と対応付けられていないので、棚卸処理部43が、ID管理DB2に対してユーザIDがID5のレコードを削除するように要求し、ID管理DB2は、ユーザID=ID5のレコードを削除する。また、ID情報管理装置4では、ユーザID=ID5のレコードをID情報制御DB41から削除する。
【0045】
このように、図7に示した棚卸し動作(アクセス権情報DB32からレコードを削除した場合の棚卸し動作)では、アクセス権情報DB32のレコードが削除された場合、この削除されたレコードに登録されていたアクセス権情報に対応付けられていた各ユーザIDが他のアクセス権情報に対応付けられているかどうかを確認し、他のアクセス権情報に対応付けられていなければ、ID管理DB2の対応するレコードを削除することとした。これにより、使用されない認証情報(アクセス権情報DB32のいずれのレコードにも登録されていない認証情報)がID管理DB2に残存するのを防止できる。
【0046】
本実施の形態にかかる情報管理システムでは、図6,図7に示した棚卸し動作を実行するようにしたので、ID管理DB2やアクセス権情報DB32から不要なレコードを効率的に削除することができ、なおかつ不要なレコードがデータベースに残存してしまうのを防止できる。
【0047】
ID情報管理装置4は、図6に示した棚卸し動作において、さらに、ID情報DB2からユーザIDが削除され、これに伴ってアクセス権情報DB32からアクセス権情報を削除した場合、その旨を示す通知を利用者(アクセス権情報の管理者)に対して行うようにしてもよい。すなわち、上述したステップS21,S22を実施した場合に、そのことについて管理者に通知するようにしてもよい。これにより、アクセス権情報の管理者は、ID情報管理装置4の動作によりアクセス権情報DB32が更新されたことを知ることができる。図7に示した棚卸し動作においても同様に、アクセス権情報DB32からアクセス権情報が削除され、これに伴ってID情報DB2からユーザIDを削除した場合、その旨を示す通知を利用者(ユーザIDの管理者)に対して行うようにしてもよい。上記の通知は、たとえば、PCのモニタなどに棚卸し動作の内容を表示して行う。動作内容を示した電子メールを管理者宛に送信するようにしてもよい。
【産業上の利用可能性】
【0048】
以上のように、本発明にかかるアクセス権管理方法は、文書等の電子データを管理する情報システムに対して有用であり、特に、情報システムにおけるアクセス制御で使用されるアクセス権情報などの管理において有用である。
【符号の説明】
【0049】
1 人事情報データベース
2 ID管理データベース
3 情報システム
4 ID情報管理装置
31 ID情報データベース
32 アクセス権情報データベース
33 情報データベース
41 ID情報制御データベース
42 ID情報制御部
43 棚卸処理部
44 アクセス権情報制御部
【特許請求の範囲】
【請求項1】
情報データベースと、アクセス権情報を管理するアクセス権情報データベースと、前記情報データベースのユーザの識別情報であるユーザIDを管理するID情報データベースとを備え、ユーザIDに対してアクセス権情報を1つ以上対応付けて前記情報データベースへのアクセス制御を行う情報管理システム、において実行するアクセス権管理方法であって、
前記ID情報データベース内の任意のユーザIDの削除指示を外部から受けてユーザIDを削除した場合に、当該削除したユーザIDに対応付けられていたアクセス権情報のうち、当該ユーザIDにのみ対応付けられていたアクセス権情報を前記アクセス権情報データベースから削除するアクセス権情報データベース管理ステップと、
前記アクセス権情報データベース内の任意のアクセス権情報の削除指示を外部から受けてアクセス権情報を削除した場合に、当該削除したアクセス権情報に対応付けられていたユーザIDのうち、当該アクセス権情報のみが対応付けられていたユーザIDを前記ID情報データベースから削除するID情報データベース管理ステップと、
を含むことを特徴とするアクセス権管理方法。
【請求項2】
前記アクセス権情報データベース管理ステップでは、
前記アクセス権情報データベースからアクセス権情報を削除した場合、その旨を示す通知をアクセス権情報の管理者に対して行う
ことを特徴とする請求項1に記載のアクセス権管理方法。
【請求項3】
前記ID情報データベース管理ステップでは、
前記ID情報データベースからユーザIDを削除した場合、その旨を示す通知をユーザIDの管理者に対して行う
ことを特徴とする請求項1または2に記載のアクセス権管理方法。
【請求項4】
情報データベースと、アクセス権情報を管理するアクセス権情報データベースと、前記情報データベースのユーザの識別情報であるユーザIDを管理するID情報データベースとを備え、ユーザIDに対してアクセス権情報を1つ以上対応付けて前記情報データベースへのアクセス制御を行う情報管理システムであって、
前記ID情報データベース内の任意のユーザIDの削除指示を外部から受けてユーザIDを削除した場合、当該削除したユーザIDに対応付けられていたアクセス権情報のうち、当該ユーザIDにのみ対応付けられていたアクセス権情報を前記アクセス権情報データベースから削除し、
また、
前記アクセス権情報データベース内の任意のアクセス権情報の削除指示を外部から受けてアクセス権情報を削除した場合、当該削除したアクセス権情報に対応付けられていたユーザIDのうち、当該アクセス権情報のみが対応付けられていたユーザIDを前記ID情報データベースから削除する
ことを特徴とする情報管理システム。
【請求項5】
情報データベースと、アクセス権情報を管理するアクセス権情報データベースと、前記情報データベースのユーザの識別情報であるユーザIDを管理するID情報データベースとを備え、ユーザIDに対してアクセス権情報を1つ以上対応付けて前記情報データベースへのアクセス制御を行う情報管理システム、において、前記アクセス権情報データベースと前記ID情報データベースを管理する情報管理装置であって、
前記アクセス権情報データベースで管理されている情報および前記ID情報データベースで管理されている情報に基づいて、ユーザIDとアクセス権情報との対応関係を示す対応テーブルを生成して保持しておくテーブル生成保持手段と、
ユーザIDが削除されたことを示す通知を前記ID情報データベースから受けた場合、前記対応テーブルを確認することにより、前記通知内容が示すユーザIDに対応付けられているアクセス権情報を特定するとともに、当該特定したアクセス権情報が他のユーザIDに対応付けられているかどうかを確認し、前記通知内容が示すユーザIDにのみ対応付けられているアクセス権情報を前記アクセス権情報データベースから削除するアクセス権情報管理手段と、
アクセス権情報が削除されたことを示す通知を前記アクセス権情報データベースから受けた場合、前記対応テーブルを確認することにより、前記通知内容が示すアクセス権情報に対応付けられているユーザIDを特定するとともに、当該特定したユーザIDが1つでありかつ他のアクセス権情報に対応付けられているかどうかを確認し、当該特定したユーザIDが1つでありかつ他のアクセス権情報に対応付けられていなければ、当該特定したユーザIDを前記ID情報データベースから削除するユーザID管理手段と、
を備えることを特徴とする情報管理装置。
【請求項1】
情報データベースと、アクセス権情報を管理するアクセス権情報データベースと、前記情報データベースのユーザの識別情報であるユーザIDを管理するID情報データベースとを備え、ユーザIDに対してアクセス権情報を1つ以上対応付けて前記情報データベースへのアクセス制御を行う情報管理システム、において実行するアクセス権管理方法であって、
前記ID情報データベース内の任意のユーザIDの削除指示を外部から受けてユーザIDを削除した場合に、当該削除したユーザIDに対応付けられていたアクセス権情報のうち、当該ユーザIDにのみ対応付けられていたアクセス権情報を前記アクセス権情報データベースから削除するアクセス権情報データベース管理ステップと、
前記アクセス権情報データベース内の任意のアクセス権情報の削除指示を外部から受けてアクセス権情報を削除した場合に、当該削除したアクセス権情報に対応付けられていたユーザIDのうち、当該アクセス権情報のみが対応付けられていたユーザIDを前記ID情報データベースから削除するID情報データベース管理ステップと、
を含むことを特徴とするアクセス権管理方法。
【請求項2】
前記アクセス権情報データベース管理ステップでは、
前記アクセス権情報データベースからアクセス権情報を削除した場合、その旨を示す通知をアクセス権情報の管理者に対して行う
ことを特徴とする請求項1に記載のアクセス権管理方法。
【請求項3】
前記ID情報データベース管理ステップでは、
前記ID情報データベースからユーザIDを削除した場合、その旨を示す通知をユーザIDの管理者に対して行う
ことを特徴とする請求項1または2に記載のアクセス権管理方法。
【請求項4】
情報データベースと、アクセス権情報を管理するアクセス権情報データベースと、前記情報データベースのユーザの識別情報であるユーザIDを管理するID情報データベースとを備え、ユーザIDに対してアクセス権情報を1つ以上対応付けて前記情報データベースへのアクセス制御を行う情報管理システムであって、
前記ID情報データベース内の任意のユーザIDの削除指示を外部から受けてユーザIDを削除した場合、当該削除したユーザIDに対応付けられていたアクセス権情報のうち、当該ユーザIDにのみ対応付けられていたアクセス権情報を前記アクセス権情報データベースから削除し、
また、
前記アクセス権情報データベース内の任意のアクセス権情報の削除指示を外部から受けてアクセス権情報を削除した場合、当該削除したアクセス権情報に対応付けられていたユーザIDのうち、当該アクセス権情報のみが対応付けられていたユーザIDを前記ID情報データベースから削除する
ことを特徴とする情報管理システム。
【請求項5】
情報データベースと、アクセス権情報を管理するアクセス権情報データベースと、前記情報データベースのユーザの識別情報であるユーザIDを管理するID情報データベースとを備え、ユーザIDに対してアクセス権情報を1つ以上対応付けて前記情報データベースへのアクセス制御を行う情報管理システム、において、前記アクセス権情報データベースと前記ID情報データベースを管理する情報管理装置であって、
前記アクセス権情報データベースで管理されている情報および前記ID情報データベースで管理されている情報に基づいて、ユーザIDとアクセス権情報との対応関係を示す対応テーブルを生成して保持しておくテーブル生成保持手段と、
ユーザIDが削除されたことを示す通知を前記ID情報データベースから受けた場合、前記対応テーブルを確認することにより、前記通知内容が示すユーザIDに対応付けられているアクセス権情報を特定するとともに、当該特定したアクセス権情報が他のユーザIDに対応付けられているかどうかを確認し、前記通知内容が示すユーザIDにのみ対応付けられているアクセス権情報を前記アクセス権情報データベースから削除するアクセス権情報管理手段と、
アクセス権情報が削除されたことを示す通知を前記アクセス権情報データベースから受けた場合、前記対応テーブルを確認することにより、前記通知内容が示すアクセス権情報に対応付けられているユーザIDを特定するとともに、当該特定したユーザIDが1つでありかつ他のアクセス権情報に対応付けられているかどうかを確認し、当該特定したユーザIDが1つでありかつ他のアクセス権情報に対応付けられていなければ、当該特定したユーザIDを前記ID情報データベースから削除するユーザID管理手段と、
を備えることを特徴とする情報管理装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2012−43124(P2012−43124A)
【公開日】平成24年3月1日(2012.3.1)
【国際特許分類】
【出願番号】特願2010−182981(P2010−182981)
【出願日】平成22年8月18日(2010.8.18)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
【公開日】平成24年3月1日(2012.3.1)
【国際特許分類】
【出願日】平成22年8月18日(2010.8.18)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
[ Back to top ]