アクセス権管理装置およびアクセス権管理プログラム
【課題】ディレクトリサービスを使用せずに、組織変更や人事異動があっても、組織全体のアクセス権の管理を容易に行うことができるようにする。
【解決手段】ある主体からアクセス要求のあったオブジェクトを所有する主体を基準にして、当該アクセス要求を行った主体が上位、同位および下位のうち何れの位置に該当するかを特定する。そして、上位、同位および下位という抽象的な概念により表した主体と、当該主体のオブジェクトへのアクセス権とを関連付けたアクセス権情報に基づいて、アクセス要求を行った主体に対して、上位、同位および下位のうち特定した位置に対応するアクセス権を付与することにより、階層構造情報、所有情報およびアクセス権情報を定義しておくだけで、オブジェクトを所有する主体を基準にして上位、同位および下位に位置する主体に関する当該オブジェクトへのアクセス権が制御されるようにする。
【解決手段】ある主体からアクセス要求のあったオブジェクトを所有する主体を基準にして、当該アクセス要求を行った主体が上位、同位および下位のうち何れの位置に該当するかを特定する。そして、上位、同位および下位という抽象的な概念により表した主体と、当該主体のオブジェクトへのアクセス権とを関連付けたアクセス権情報に基づいて、アクセス要求を行った主体に対して、上位、同位および下位のうち特定した位置に対応するアクセス権を付与することにより、階層構造情報、所有情報およびアクセス権情報を定義しておくだけで、オブジェクトを所有する主体を基準にして上位、同位および下位に位置する主体に関する当該オブジェクトへのアクセス権が制御されるようにする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、アクセス権管理装置およびアクセス権管理プログラムに関し、例えば、組織階層に基づき各組織に所属するユーザに対して、オブジェクト(ファイルやフォルダ)のアクセス権を付与するアクセス権管理装置およびアクセス権管理プログラムに関するものである。
【背景技術】
【0002】
ファイル管理システムでは、オブジェクト(ファイルやフォルダ)に対するアクセス権をユーザや、複数のユーザからなるグループに対して付与し、アクセス権が与えられたユーザ又はグループからのみ当該オブジェクトへのアクセスを認めるようなアクセス権管理を行うものが多い。
【0003】
アクセス権管理の代表的な方法として、アクセス制御リスト(ACL:Access Control List)を用いる方法が知られている。アクセス制御リストは、個々のユーザ又はグループと、それらに対して与えられているオブジェクトへのアクセス権限の種類とをオブジェクト毎にリストとして定義したものである。
【0004】
ところで、企業においては、部や課などの複数の組織からなる組織階層の構造および各組織に所属する社員を示す組織情報を組織データベースで管理している。そして、ファイル管理システムにおけるアクセス権管理を、組織データベースに連動させる運用を行っている場合も多い。この場合、社員および組織は、アクセス制御リスト(ACL)によりアクセス権が付与されるユーザおよびグループにそれぞれ対応する。
【0005】
このように、アクセス権管理を組織データベースに連動させて行っている場合、管理者は、企業内において組織変更や人事異動を行う都度、組織データベースを変更するだけでなく、アクセス制御リストも変更しなければならず、当該管理者の負担が重いという問題があった。
【0006】
一方、企業内の本社・部門・部・課といった組織形態に合わせ、ユーザやオブジェクトを階層構造で一元管理し、オブジェクトに対するユーザのアクセス権を容易に設定することができるディレクトリサービスが普及している。例えば、階層構造において上位組織に設定したアクセス権をそのまま下位組織に継承させることができる。この継承機能を使用すれば、アクセス権を設定した上位組織の下位組織に変更があった場合や、人事異動により下位組織に新規ユーザの追加があった場合でも、当該下位組織に所属するユーザに対して上位組織のアクセス権を継承させることができる。
【0007】
なお、ディレクトリサービスを利用した技術として、下位組織に設定した権限をそのまま上位組織に継承させることができるようにしたものが開示されている(例えば、特許文献1を参照)。この特許文献1に記載の技術によれば、組織階層と逆向きのグループ階層をディレクトリサービスデータベースに登録し、上位組織(例えば、部グループ)を下位組織(例えば、課グループ)のメンバとして登録することにより、下位組織が有する権限を上位組織に所属するユーザに委譲できるようにしている。
【先行技術文献】
【特許文献】
【0008】
【特許文献1】特開2008−117052号公報
【発明の概要】
【発明が解決しようとする課題】
【0009】
しかしながら、特許文献1に記載の技術には、以下に示すような問題点があった。すなわち、アクセス権を設定した下位組織の上位組織に変更があった場合や、人事異動により上位組織に新規ユーザの追加があった場合、その都度、組織変更や人事異動の結果を反映した組織階層と逆向きのグループ階層をディレクトリサービスデータベースに登録し直す必要があった。そのため、組織全体のアクセス権の管理のために、管理者は面倒な作業を強いられていた。
【0010】
本発明は、このような問題を解決するために成されたものであり、ディレクトリサービスを使用せずに、組織変更や人事異動があっても、組織全体のアクセス権の管理を容易に行うことができるようにすることを目的とする。
【課題を解決するための手段】
【0011】
上記した課題を解決するために、本発明では、上位、同位および下位という抽象的な概念により表した主体と、当該主体のオブジェクトへのアクセス権とを関連付けてアクセス権情報を構成する。ある主体からオブジェクトへのアクセス要求があったとき、そのオブジェクトを所有する主体を所有情報に基づき特定するとともに、当該アクセス要求を行った主体を階層構造情報に基づき特定する。そして、オブジェクトの所有主体を基準として、アクセス要求を行った主体が上位、同位および下位のうち何れの位置に該当するかを特定し、特定した位置に対応するアクセス権をアクセス権情報に基づき付与するようにしている。
【発明の効果】
【0012】
上記のように構成した本発明によれば、階層構造情報、所有情報およびアクセス権情報を定義しておくだけで、オブジェクトを所有する主体を基準にして上位、同位および下位に位置する主体に関する当該オブジェクトへのアクセス権が制御される。さらに、主体がユーザの属する組織である場合には、アクセス権情報においてアクセス権を付与する対象組織を抽象的な概念(上位、同位および下位)で特定することにより、組織変更でオブジェクトを所有する組織の上位または下位に位置する組織に変更があったり、人事異動により当該上位または下位の組織に属するユーザに変更があったときでも、管理者が階層構造情報を変更するという簡単な処理を行うだけで、組織変更後の上位または下位の組織や、人事異動後のユーザに関するオブジェクトへのアクセス権が自動的に制御される。したがって、ディレクトリサービスを使用せずに、組織変更や人事異動があっても、組織全体のアクセス権の管理を容易に行うことができる。
【図面の簡単な説明】
【0013】
【図1】本実施形態によるアクセス権管理装置を含むアクセス権管理システムの全体構成例を示すブロック図である。
【図2】本実施形態によるアクセス権管理装置において使用される各種情報の例を示す図である。
【図3】本実施形態によるアクセス権管理装置のアクセス権付与処理の例を示す図である。
【図4】本実施形態による組織変更が行われた場合におけるアクセス権管理装置のアクセス権付与処理の例を示す図である。
【図5】本実施形態による人事異動が行われた場合におけるアクセス権管理装置のアクセス権付与処理の例を示す図である。
【図6】本実施形態によるオブジェクトを所有する組織の変更が行われた場合におけるアクセス権管理装置のアクセス権付与処理の例を示す図である。
【図7】本実施形態によるアクセス権管理装置の動作例を示すフローチャートである。
【発明を実施するための形態】
【0014】
以下、本発明の一実施形態(以下、「本実施形態」という)を図面に基づいて説明する。図1は、本実施形態によるアクセス権管理装置100を含むアクセス権管理システム50の全体構成例を示す図である。図1に示すように、本実施形態のアクセス権管理システム50は、アクセス権管理装置100、複数の情報端末110(例えば、PC、携帯端末など)を含み、これらが有線または無線の通信回線にて接続されている。
【0015】
アクセス権管理装置100は、一の情報端末110に保管されているオブジェクト(ファイルやフォルダ)に対する他の情報端末110からのアクセスを制御する装置である。ここで、アクセスとは、オブジェクトへの各種操作(例えば、読み込み、書き込み、実行など)を意味する。本実施形態では、アクセス権管理装置100は、企業内の本社・部門・部・課といった組織形態に合わせ、各組織に所属するユーザや各組織の情報端末110に保管されているオブジェクトを階層構造で一元管理し、オブジェクトに対するユーザのアクセス権をユーザの集合体から成る組織毎に管理している。
【0016】
アクセス権管理装置100は、情報端末110を介して、ユーザから任意のオブジェクトに対するアクセスの要求を受け付けた際には、当該オブジェクトに対する当該ユーザが属する組織のアクセス権を確認する。そして、アクセス権管理装置100は、アクセス要求を行ったユーザが所属する組織に対してオブジェクトへのアクセスが許可されている場合、当該組織に属するユーザに対して当該オブジェクトへのアクセス権を付与する。また、アクセス権管理装置100は、アクセス要求を行ったユーザが所属する組織に対してオブジェクトへのアクセスが許可されていない場合、当該組織に属するユーザに対して当該オブジェクトへのアクセス権を付与しない。この場合、アクセス要求を行ったユーザは、オブジェクトに対してアクセスすることができない。
【0017】
次に、アクセス権管理装置100の具体的な機能構成例について説明する。図1に示すように、アクセス権管理装置100は、組織情報記憶部120(本発明の階層構造情報記憶部に対応)、所有情報記憶部140、アクセス権情報記憶部160、アクセス要求受付部180、組織特定部200(本発明の第1主体特定部に対応)およびアクセス権付与部220(本発明の第2主体特定部、位置特定部およびアクセス権付与部に対応)を備えて構成されている。
【0018】
組織情報記憶部120は、複数の組織(本発明の主体に対応)からなる組織階層の構造および各組織に所属するユーザを示す組織情報(本発明の階層構造情報に対応)を記憶する。図2(a)は、組織情報の詳細を示す図である。図2(a)に示すように、組織情報は、本社・部門・部・課などの組織を示す「組織」、当該組織に所属するユーザを示す「所属ユーザ」および、当該組織の直属下位に位置する組織を示す「直属下位組織」を含む。組織情報には、これ以外の情報を含んでいても良いが、ここでは本発明に特に関係するもののみを示している。図2(a)の組織情報に示すように、組織10にはユーザAが所属しており、組織10の直属下位には組織20,21が位置していることが第1レコードに設定されている。また、組織21にはユーザBが所属しており、組織21の直属下位には組織32,33が位置していることが第2レコードに設定されている。
【0019】
所有情報記憶部140は、アクセス対象のオブジェクトを所有する組織を示す所有情報を記憶する。図2(b)は、所有情報の詳細を示す図である。図2(b)に示すように、所有情報は、アクセス対象のオブジェクトを示す「オブジェクト」および、当該オブジェクトを所有する組織を示す「組織」を含む。所有情報には、これ以外の情報を含んでいても良いが、ここでは本発明に特に関係するもののみを示している。図2(b)の所有情報に示すように、オブジェクトαは、組織32に所有されていることが第1レコードに設定されている。また、オブジェクトβは、組織20に所有されていることが第2レコードに設定されている。
【0020】
アクセス権情報記憶部160は、上位、同位および下位という抽象的な概念により表した組織と、当該組織のオブジェクトへのアクセス権とを関連付けた情報であるアクセス権情報を記憶する。図2(c)は、アクセス権情報の詳細を示す図である。図2(c)に示すように、アクセス権情報は、オブジェクト毎に存在し、当該オブジェクトを所有する組織を基準にして上位、同位および下位という抽象的な概念により表した組織を示す「組織」、当該組織のオブジェクトへのアクセス(読み込み)の許否を示す「読み込み」、当該組織のオブジェクトへのアクセス(書き込み)の許否を示す「書き込み」および、当該組織のオブジェクトへのアクセス(実行)の許否を示す「実行」を含む。アクセス権情報には、これ以外の情報を含んでいても良いが、ここでは本発明に特に関係するもののみを示している。
【0021】
なお、オブジェクトへのアクセス(読み込み)が許可されている場合、項目情報「読み込み」の値には「○(許可)」が設定される。その一方、オブジェクトへのアクセス(読み込み)が許可されていない場合、項目情報「読み込み」の値には「×(拒否)」が設定される。また、オブジェクトへのアクセス(書き込み)が許可されている場合、項目情報「書き込み」の値には「○(許可)」が設定される。その一方、オブジェクトへのアクセス(書き込み)が許可されていない場合、項目情報「書き込み」の値には「×(拒否)」が設定される。また、オブジェクトへのアクセス(実行)が許可されている場合、項目情報「実行」の値には「○(許可)」が設定される。その一方、オブジェクトへのアクセス(実行)が許可されていない場合、項目情報「実行」の値には「×(拒否)」が設定される。
【0022】
図2(c)のアクセス権情報に示すように、オブジェクトαを所有する組織を基準にして上位という抽象的な概念により表した組織に所属するユーザは、オブジェクトαへのアクセス(読み込み、書き込みおよび実行)が許可されていない。また、オブジェクトαを所有する組織を基準にして同位という抽象的な概念により表した組織に所属するユーザは、オブジェクトαへのアクセス(読み込み、書き込みおよび実行)が許可されている。また、オブジェクトαを所有する組織を基準にして下位という抽象的な概念により表した組織に所属するユーザは、オブジェクトαへのアクセス(読み込み、書き込みおよび実行)が許可されている。
【0023】
アクセス要求受付部180は、情報端末110の操作部(図示せず)を介して、ユーザが行った任意のオブジェクトに対するアクセス(本実施形態では、読み込み、書き込みおよび実行の何れか)の要求を受け付ける。そして、アクセス要求受付部180は、アクセス要求されたオブジェクトを示すオブジェクト情報を組織特定部200およびアクセス権付与部220に出力する。また、アクセス要求受付部180は、アクセスの要求を行ったユーザを示すユーザ情報および、アクセスの種別(本実施形態では、読み込み、書き込みおよび実行の何れか)を示すアクセス種別情報をアクセス権付与部220に出力する。本実施形態では、ユーザ情報は、あらかじめ情報端末110に設定されており、アクセス要求の際に情報端末110からアクセス要求受付部180に送信される。
【0024】
組織特定部200は、ユーザからアクセス要求のあったオブジェクトを所有している組織を所有情報に基づき特定する。具体的には、組織特定部200は、アクセス要求受付部180から出力されたオブジェクト情報により示されるオブジェクトを所有している組織を、所有情報記憶部140に記憶されている所有情報に基づき特定する。
【0025】
次に、組織特定部200は、オブジェクトを所有している組織を基準にして上位、同位および下位に位置する具体的な組織を組織情報記憶部120に記憶されている組織情報に基づき特定する。そして、組織特定部200は、特定した上位、同位および下位に位置する具体的な組織をそれぞれ示す上位・同位・下位組織情報をアクセス権付与部220に出力する。
【0026】
具体的には、組織特定部200は、組織情報記憶部120に記憶されている組織情報を参照し、オブジェクトを所有している組織が「直属下位組織」の値に設定されているレコードがあれば、その組織情報を抽出する。そして、組織特定部200は、抽出したレコードに含まれる「組織」に設定されている組織(以下、直属上位組織という)を、オブジェクトを所有している組織を基準にして上位に位置する具体的な組織として特定する。
【0027】
さらに、組織特定部200は、組織情報記憶部120に記憶されている組織情報を参照し、直属上位組織が「直属下位組織」の値に設定されているレコードがあれば、そのレコードも抽出する。そして、組織特定部200は、抽出したレコードに含まれる「組織」に設定されている組織も、オブジェクトを所有している組織を基準にして上位に位置する具体的な組織として特定する。以上のような処理を行うことによって、組織特定部200は、組織情報記憶部120に記憶されている組織情報を参照し、オブジェクトを所有している組織を基準にして上位に位置する具体的な組織を特定することができる。
【0028】
また、組織特定部200は、所有情報記憶部140に記憶されている所有情報に基づき特定した組織をそのまま、オブジェクトを所有している組織を基準にして同位に位置する具体的な組織として特定する。
【0029】
また、組織特定部200は、組織情報記憶部120に記憶されている各組織情報を参照し、オブジェクトを所有している組織が「組織」の値に設定されているレコードがあれば、そのレコードを抽出する。そして、組織特定部200は、抽出したレコードに含まれる「直属下位組織」に設定されている組織(以下、直属下位組織という)を、オブジェクトを所有している組織を基準にして下位に位置する具体的な組織として特定する。
【0030】
さらに、組織特定部200は、組織情報記憶部120に記憶されている組織情報を参照し、直属下位組織が「組織」の値に設定されているレコードがあれば、そのレコードも抽出する。そして、組織特定部200は、抽出したレコードに含まれる「組織」に設定されている組織も、オブジェクトを所有している組織を基準にして下位に位置する具体的な組織として特定する。以上のような処理を行うことによって、組織特定部200は、組織情報記憶部120に記憶されている組織情報を参照し、オブジェクトを所有している組織を基準にして下位に位置する具体的な組織をすべて特定することができる。
【0031】
アクセス権付与部220は、アクセス要求を行ったユーザが属する組織を組織情報に基づき特定する。具体的には、アクセス権付与部220は、アクセス要求受付部180から出力されたユーザ情報により示されるユーザが属する組織を組織情報記憶部120に記憶されている組織情報に基づき特定する。
【0032】
また、アクセス権付与部220は、アクセス権情報記憶部160に記憶されているアクセス権情報に基づいて、組織特定部200から出力された上位・同位・下位組織情報により示される上位、同位および下位に位置する組織のうち、アクセス要求を行ったユーザが属する組織に所属するユーザに対して、アクセス要求のあったオブジェクトへのアクセス権を付与するように制御する。
【0033】
具体的には、まず、アクセス権付与部220は、アクセス要求を行ったユーザが属する組織として特定した組織が組織特定部200から出力された上位・同位・下位組織情報により示される上位、同位および下位に位置する具体的組織の何れかに該当するか否かについて判定する。
【0034】
アクセス権付与部220は、アクセス要求を行ったユーザの属する組織が上位、同位および下位に位置する具体的な組織の何れにも該当しないと判定した場合、アクセス要求受付部180から出力されたユーザ情報により示されるユーザに対してアクセス要求受付部180から出力されたオブジェクト情報により示されるオブジェクトに対するアクセス権を付与する処理を行わない。
【0035】
その一方、アクセス権付与部220は、アクセス要求を行ったユーザの属する組織が上位、同位および下位に位置する具体的な組織の何れかに該当すると判定した場合、アクセス権情報記憶部160に記憶されているアクセス権情報に基づいて、アクセス要求受付部180から出力されたオブジェクト情報により示されるオブジェクトについて、上位、同位および下位に位置する具体的な組織の何れかに該当すると判定した組織に所属するユーザが、アクセス要求受付部180から出力されたアクセス種別情報により示されるアクセス(読み込み、書き込みおよび実行のいずれか)を許可されているか否かについて判定する。
【0036】
アクセス権付与部220は、アクセスが許可されていると判定した場合、アクセス要求受付部180から出力されたユーザ情報により示されるユーザに対してアクセス要求受付部180から出力されたオブジェクト情報により示されるオブジェクトに対するアクセス権を付与する処理を行う。その一方、アクセス権付与部220は、アクセスが許可されていないと判定した場合、アクセス要求受付部180から出力されたユーザ情報により示されるユーザに対してアクセス要求受付部180から出力されたオブジェクト情報により示されるオブジェクトに対するアクセス権を付与する処理を行わない。
【0037】
以上に説明した本実施形態によるアクセス権管理装置100の機能は、実際にはコンピュータのCPUあるいはMPU、RAM、ROMなどで構成され、RAMやROMに記憶されたプログラムが動作することによって実現できる。したがって、コンピュータが上記の機能を果たすように動作させるプログラムを例えばCD−ROMのような記録媒体に記録し、コンピュータに読み込ませることによって実現できるものである。
【0038】
上記プログラムを記録する記録媒体としては、CD−ROM以外に、フレキシブルディスク、ハードディスク、磁気テープ、光ディスク、光磁気ディスク、DVD、不揮発性メモリカード等を用いることができる。また、上記プログラムをインターネット等のネットワークを介してコンピュータにダウンロードすることによっても実現できる。
【0039】
また、コンピュータが供給されたプログラムを実行することにより上述の実施形態の機能が実現されるだけでなく、そのプログラムがコンピュータにおいて稼働しているOS(オペレーティングシステム)あるいは他のアプリケーションソフト等と共同して上述の実施形態の機能が実現される場合や、供給されたプログラムの処理の全てあるいは一部がコンピュータの機能拡張ボードや機能拡張ユニットにより行われて上述の実施形態の機能が実現される場合も、かかるプログラムは本実施形態に含まれる。
【0040】
次に、アクセス権管理装置100によるアクセス権付与処理について例を挙げて説明する。図3は、アクセス権管理装置100によるアクセス権付与処理の例を示す図である。図3(a)は、複数の組織10,20,21,32,33,41,42からなる組織階層の構造を示している。図3(a)に示すように、組織10の直属下位には組織20,21が位置している。組織21の直属下位には組織32,33が位置している。組織32の直属下位には組織41,42が位置している。なお、図3(a)の例では、組織20,33,41,42の直属下位に位置する組織は存在しない。
【0041】
図3(b)は、組織情報記憶部120に記憶されている組織情報のうち組織21,32,42,20に関する組織情報を示している。図3(b)の組織情報に示すように、組織21,32,42,20には、ユーザA,B,C,Dがそれぞれ所属する。
【0042】
図3(c)は、オブジェクトαについて、上位、同位および下位という抽象的な概念により表した組織と、当該組織に所属するユーザのオブジェクトαへのアクセス権とを関連付けたアクセス権情報の内容を示している。図3(d)は、アクセス対象のオブジェクトαを所有する組織32を示す所有情報の内容を示している。
【0043】
まず、アクセス要求受付部180が、組織21に所属するユーザAからオブジェクトαに対するアクセス(読み込み)の要求を受け付けた場合について説明する。この場合、組織特定部200は、ユーザAからアクセス要求のあったオブジェクトαを所有している組織32を図3(d)に示す所有情報に基づき特定する。そして、組織特定部200は、オブジェクトαを所有している組織32を基準にして上位に位置する組織10,21、同位に位置する組織32、下位に位置する組織41,42を図3(b)に示す組織情報に基づき特定する。
【0044】
次に、アクセス権付与部220は、アクセス要求を行ったユーザAが属する組織21を図3(b)に示す組織情報に基づき特定する。次に、アクセス権付与部220は、特定した組織21が組織特定部200により特定された上位、同位および下位に位置する組織10,21,32,41,42の何れかに該当するか否かについて判定する。図3の例では、アクセス権付与部220は、アクセス要求を行ったユーザAが属する組織21が、オブジェクトαを所有している組織32を基準にして上位に位置する組織に該当すると判定する。
【0045】
この場合、アクセス権付与部220は、図3(c)に示すアクセス権情報に基づいて、オブジェクトαについて、上位に位置する組織21に所属するユーザがアクセス(読み込み)を許可されているか否かについて判定する。図3の例では、アクセス権付与部220は、アクセスが許可されていない(項目「読み込み」の値に「×」が設定されている)と判定し、ユーザAに対してオブジェクトαへのアクセス権を付与する処理を行わない。
【0046】
次に、アクセス要求受付部180が、組織32に所属するユーザBからオブジェクトαに対するアクセス(書き込み)の要求を受け付けた場合について説明する。この場合、組織特定部200は、ユーザBからアクセス要求のあったオブジェクトαを所有している組織32を図3(d)に示す所有情報に基づき特定する。そして、組織特定部200は、オブジェクトαを所有している組織32を基準にして上位に位置する組織10,21、同位に位置する組織32、下位に位置する組織41,42を図3(b)に示す組織情報に基づき特定する。
【0047】
次に、アクセス権付与部220は、アクセス要求を行ったユーザBが属する組織32を図3(b)に示す組織情報に基づき特定する。次に、アクセス権付与部220は、特定した組織32が組織特定部200により特定された上位、同位および下位に位置する組織10,21,32,41,42の何れかに該当するか否かについて判定する。図3の例では、アクセス権付与部220は、アクセス要求を行ったユーザBが属する組織32が、オブジェクトαを所有している組織32を基準にして同位に位置する組織に該当すると判定する。この場合、アクセス権付与部220は、図3(c)に示すアクセス権情報に基づいて、オブジェクトαについて、同位に位置する組織32に所属するユーザがアクセス(書き込み)を許可されているか否かについて判定する。図3の例では、アクセス権付与部220は、アクセスが許可されている(項目「書き込み」の値に「○」が設定されている)と判定し、ユーザBに対してオブジェクトαに対する書き込みに関するアクセス権を付与する処理を行う。
【0048】
次に、アクセス要求受付部180が、組織42に所属するユーザCからオブジェクトαに対するアクセス(実行)の要求を受け付けた場合について説明する。この場合、組織特定部200は、ユーザCからアクセス要求のあったオブジェクトαを所有している組織32を図3(d)に示す所有情報に基づき特定する。そして、組織特定部200は、オブジェクトαを所有している組織32を基準にして上位に位置する組織10,21、同位に位置する組織32、下位に位置する組織41,42を図3(b)に示す組織情報に基づき特定する。
【0049】
次に、アクセス権付与部220は、アクセス要求を行ったユーザCが属する組織42を図3(b)に示す組織情報に基づき特定する。次に、アクセス権付与部220は、特定した組織42が組織特定部200により特定された上位、同位および下位に位置する組織10,21,32,41,42の何れかに該当するか否かについて判定する。図3の例では、アクセス権付与部220は、アクセス要求を行ったユーザCの属する組織42が、オブジェクトαを所有している組織32を基準にして下位に位置する組織に該当すると判定する。この場合、アクセス権付与部220は、図3(c)に示すアクセス権情報に基づいて、オブジェクトαについて、下位に位置する組織42に所属するユーザがアクセス(実行)を許可されているか否かについて判定する。図3の例では、アクセス権付与部220は、アクセスが許可されている(項目「実行」の値に「○」が設定されている)と判定し、ユーザCに対してオブジェクトαに対する実行に関するアクセス権を付与する処理を行う。
【0050】
最後に、アクセス要求受付部180が、組織20に所属するユーザDからオブジェクトαに対するアクセス(読み込み)の要求を受け付けた場合について説明する。この場合、組織特定部200は、ユーザDからアクセス要求のあったオブジェクトαを所有している組織32を図3(d)に示す所有情報に基づき特定する。そして、組織特定部200は、オブジェクトαを所有している組織32を基準にして上位に位置する組織10,21、同位に位置する組織32、下位に位置する組織41,42を図3(b)に示す組織情報に基づき特定する。
【0051】
次に、アクセス権付与部220は、アクセス要求を行ったユーザDが属する組織20を図3(b)に示す組織情報に基づき特定する。次に、アクセス権付与部220は、特定した組織20が組織特定部200により特定された上位、同位および下位に位置する組織10,21,32,41,42の何れかに該当するか否かについて判定する。図3の例では、アクセス権付与部220は、アクセス要求を行ったユーザDが属する組織21が、オブジェクトαを所有している組織32を基準にして上位、同位および下位に位置する組織の何れにも該当しないと判定する。この場合、アクセス権付与部220は、ユーザDに対して、オブジェクトαに対するアクセス権を付与する処理を行わない。
【0052】
図3を参照しながら説明したように、組織情報、所有情報およびアクセス権情報を定義しておくだけで、オブジェクトαを所有する組織32を基準にして上位、同位および下位に位置する組織21,32,42に所属するユーザA,B,Cに関する当該オブジェクトへのアクセス権が制御される。したがって、ディレクトリサービスを使用せずに、組織全体のアクセス権の管理を容易に行うことができる。
【0053】
次に、組織階層の一部に組織変更が行われた場合におけるアクセス権管理装置100によるアクセス権付与処理について例を挙げて説明する。図4は、組織階層の一部に組織変更が行われた場合におけるアクセス権管理装置100によるアクセス権付与処理の例を示す図である。
【0054】
図4(a)は、複数の組織10,20,21,32,33,41,42からなる組織階層の構造を示している。図4(a)に示すように、組織10の直属下位には組織20,21が位置している。組織21の直属下位には組織32,33が位置している。組織32の直属下位には組織41,42が位置している。なお、図4(a)に示す組織階層の構造は、組織変更前の状態を示しており、組織20,33,41,42の直属下位に位置する組織は存在しない。
【0055】
図4(b)は、組織情報記憶部120に記憶されている組織情報のうち組織21,32,42,20に関するレコードを示している。図4(b)の組織情報に示すように、組織21,32,42,20には、ユーザA,B,C,Dがそれぞれ所属する。
【0056】
図4(c)は、オブジェクトαについて、上位、同位および下位という抽象的な概念により表した組織と、当該組織に所属するユーザのオブジェクトαへのアクセス権とを関連付けた情報であるアクセス権情報の内容を示している。図4(d)は、アクセス対象のオブジェクトαを所有する組織32を示す所有情報の内容を示している。なお、図4(a)〜(d)に示す各情報は図3(a)〜(d)に示す各情報と同じであるため、アクセス権管理装置100によるアクセス権付与処理は図3を参照しながら説明した処理と同じである。
【0057】
図4(e)は、組織階層の一部に組織変更があった場合、複数の組織10,20,21,32,33,41,42からなる組織階層の構造を示している。図4(e)に示すように、組織10の直属下位には組織20,21が位置している。組織20の直属下位には組織32が位置している。組織21の直属下位には組織33が位置している。組織32の直属下位には、組織41,42が位置している。すなわち、組織変更によって、直属下位に組織41,42が位置している組織32は、組織21の直属下位の位置から組織20の直属下位の位置に移動している。
【0058】
図4(f)は、組織情報記憶部120に記憶されている組織情報のうち組織21,32,42,20に関する組織情報を示している。図4(f)に示すように、組織21,32,42,20には、ユーザA,B,C,Dがそれぞれ所属する。なお、組織変更によって、組織21に関する組織情報の「直属下位組織」の値は、「組織32,33」から「組織33」に設定変更されている。また、組織変更によって、組織20に関する組織情報の「直属下位組織」の値は、「−(直属下位に位置する組織はない)」から「組織32」に設定変更されている。また、図4(g)は、図4(c)に示すアクセス権情報と同じ情報である。図4(h)は、図4(d)に示す所有情報と同じ情報である。
【0059】
まず、アクセス要求受付部180が、組織21に所属するユーザAからオブジェクトαに対するアクセス(読み込み)の要求を受け付けた場合について説明する。この場合、組織特定部200は、ユーザAからアクセス要求のあったオブジェクトαを所有している組織32を図4(h)に示す所有情報に基づき特定する。そして、組織特定部200は、オブジェクトαを所有している組織32を基準にして上位に位置する組織10,20、同位に位置する組織32、下位に位置する組織41,42を図4(f)に示す組織情報に基づき特定する。
【0060】
次に、アクセス権付与部220は、アクセス要求を行ったユーザAが属する組織21を図4(f)に示す組織情報に基づき特定する。次に、アクセス権付与部220は、特定した組織21が組織特定部200により特定された上位、同位および下位に位置する組織10,20,32,41,42の何れかに該当するか否かについて判定する。図4の例では、アクセス権付与部220は、アクセス要求を行ったユーザAの属する組織21が、オブジェクトαを所有している組織32を基準にして上位、同位および下位に位置する組織の何れにも該当しないと判定する。この場合、アクセス権付与部220は、ユーザAに対してオブジェクトαに対するアクセス権を付与する処理を行わない。
【0061】
次に、アクセス要求受付部180が、組織32に所属するユーザBからオブジェクトαに対するアクセス(書き込み)の要求を受け付けた場合について説明する。この場合、組織特定部200は、ユーザBからアクセス要求のあったオブジェクトαを所有している組織32を図4(h)に示す所有情報に基づき特定する。そして、組織特定部200は、オブジェクトαを所有している組織32を基準にして上位に位置する組織10,20、同位に位置する組織32、下位に位置する組織41,42を図4(f)に示す組織情報に基づき特定する。
【0062】
次に、アクセス権付与部220は、アクセス要求を行ったユーザBが属する組織32を図4(f)に示す組織情報に基づき特定する。次に、アクセス権付与部220は、特定した組織32が組織特定部200により特定された上位、同位および下位に位置する組織10,20,32,41,42の何れかに該当するか否かについて判定する。図4の例では、アクセス権付与部220は、アクセス要求を行ったユーザBが属する組織32が、オブジェクトαを所有している組織32を基準にして同位に位置する組織に該当すると判定する。この場合、アクセス権付与部220は、図4(g)に示すアクセス権情報に基づいて、オブジェクトαについて、同位に位置する組織32に所属するユーザがアクセス(書き込み)を許可されているか否かについて判定する。図4の例では、アクセス権付与部220は、アクセスが許可されている(項目「書き込み」の値に「○」が設定されている)と判定し、ユーザBに対してオブジェクトαに対する書き込みに関するアクセス権を付与する処理を行う。
【0063】
次に、アクセス要求受付部180が、組織42に所属するユーザCからオブジェクトαに対するアクセス(実行)の要求を受け付けた場合について説明する。この場合、組織特定部200は、ユーザCからアクセス要求のあったオブジェクトαを所有している組織32を図4(h)に示す所有情報に基づき特定する。そして、組織特定部200は、オブジェクトαを所有している組織32を基準にして上位に位置する組織10,20、同位に位置する組織32、下位に位置する組織41,42を図4(f)に示す組織情報に基づき特定する。
【0064】
次に、アクセス権付与部220は、アクセス要求を行ったユーザCが属する組織42を図4(f)に示す組織情報に基づき特定する。次に、アクセス権付与部220は、特定した組織42が組織特定部200により特定された上位、同位および下位に位置する組織10,20,32,41,42の何れかに該当するか否かについて判定する。図4の例では、アクセス権付与部220は、アクセス要求を行ったユーザCが属する組織42が、オブジェクトαを所有している組織32を基準にして下位に位置する組織に該当すると判定する。この場合、アクセス権付与部220は、図4(g)に示すアクセス権情報に基づいて、オブジェクトαについて、下位に位置する組織42に所属するユーザがアクセス(実行)を許可されているか否かについて判定する。図4の例では、アクセス権付与部220は、アクセスが許可されている(項目「実行」の値に「○」が設定されている)と判定し、ユーザCに対してオブジェクトαに対する実行に関するアクセス権を付与する処理を行う。
【0065】
最後に、アクセス要求受付部180が、組織20に所属するユーザDからオブジェクトαに対するアクセス(読み込み)の要求を受け付けた場合について説明する。この場合、組織特定部200は、ユーザDからアクセス要求のあったオブジェクトαを所有している組織32を図4(h)に示す所有情報に基づき特定する。そして、組織特定部200は、オブジェクトαを所有している組織32を基準にして上位に位置する組織10,20、同位に位置する組織32、下位に位置する組織41,42を図4(f)に示す組織情報に基づき特定する。
【0066】
次に、アクセス権付与部220は、アクセス要求を行ったユーザDが属する組織20を図4(f)に示す組織情報に基づき特定する。次に、アクセス権付与部220は、特定した組織20が組織特定部200により特定された上位、同位および下位に位置する組織10,20,32,41,42の何れかに該当するか否かについて判定する。図4の例では、アクセス権付与部220は、アクセス要求を行ったユーザDが属する組織20が、オブジェクトαを所有している組織32を基準にして上位に位置する組織に該当すると判定する。この場合、アクセス権付与部220は、図4(g)に示すアクセス権情報に基づいて、オブジェクトαについて、上位に位置する組織20に所属するユーザがアクセス(読み込み)を許可されているか否かについて判定する。図4の例では、アクセス権付与部220は、アクセスが許可されていない(項目「読み込み」の値に「×」が設定されている)と判定し、ユーザDに対してオブジェクトαに対するアクセス権を付与する処理を行わない。
【0067】
図4を参照しながら説明したように、組織変更でオブジェクトαを所有する組織32の上位に位置する組織に変更があった場合でも、管理者が組織情報を変更するという簡単な処理を行うだけで、組織変更後のオブジェクトαを所有する組織32の上位に位置する組織20や下位に位置する組織42に所属するユーザC,Dに関するオブジェクトαへのアクセス権が自動的に制御される。したがって、組織変更があっても、組織全体のアクセス権の管理を容易に行うことができる。
【0068】
次に、人事異動が行われた場合におけるアクセス権管理装置100によるアクセス権付与処理について例を挙げて説明する。図5は、人事異動が行われた場合におけるアクセス権管理装置100によるアクセス権付与処理の例を示す図である。
【0069】
図5(a)は、複数の組織10,20,21,32,33,41,42からなる組織階層の構造を示している。図5(a)に示すように、組織10の直属下位には組織20,21が位置している。組織21の直属下位には組織32,33が位置している。組織32の直属下位には組織41,42が位置している。なお、図5(a)に示す組織階層の構造では、組織20,33,41,42の直属下位に位置する組織は存在しない。
【0070】
図5(b)は、組織情報記憶部120に記憶されている組織情報のうち組織21,32,42,20に所属するユーザを示す組織情報を示している。図5(b)の組織情報に示すように、組織21,32,42,20には、ユーザA,B,C,Dがそれぞれ所属している。
【0071】
図5(c)は、オブジェクトαについて、上位、同位および下位という抽象的な概念により表した組織と、当該組織に所属するユーザのオブジェクトαへのアクセス権とを関連付けた情報であるアクセス権情報の内容を示している。図5(d)は、アクセス対象のオブジェクトαを所有する組織32を示す所有情報の内容を示している。なお、図5(a)〜(d)に示す各情報は図3(a)〜(d)に示す各情報と同じであるため、アクセス権管理装置100によるアクセス権付与処理は図3を参照しながら説明した処理と同じである。
【0072】
図5(e)は、人事異動が行われた場合、複数の組織10,20,21,32,33,41,42からなる組織階層の構造を示している。図5(e)に示すように、組織10の直属下位には組織20,21が位置している。組織21の直属下位には組織32,33が位置している。組織32の直属下位には組織41,42が位置している。
【0073】
図5(f)は、組織情報記憶部120に記憶されている組織情報のうち組織21,32,42,20に関する組織情報を示している。図5(f)に示すように、組織21には、ユーザAに加えて、人事異動(例えば、昇格)によりユーザBが新たに所属する。すなわち、組織21に関する組織情報の「所属ユーザ」の値は、「ユーザA」から「ユーザA,B」に設定変更されている。組織32には、人事異動により所属するユーザがいなくなっている。すなわち、組織32に関する組織情報の「所属ユーザ」の値は、「ユーザB」から「−(所属するユーザはなし)」に設定変更されている。
【0074】
組織20には、ユーザDが所属する。組織42には、ユーザCに加えて、人事変更(例えば、転職)によりユーザEが新たに所属する。すなわち、組織42に関する組織情報の「所属ユーザ」の値は、「ユーザC」から「ユーザC,E」に設定変更されている。図5(g)は、図5(c)に示すアクセス権情報と同じ情報である。図5(h)は、図5(d)に示す所有情報と同じ情報である。
【0075】
まず、アクセス要求受付部180が、組織21に新たに所属することとなったユーザBからオブジェクトαに対するアクセス(読み込み)の要求を受け付けた場合について説明する。この場合、組織特定部200は、ユーザBからアクセス要求のあったオブジェクトαを所有している組織32を図5(h)に示す所有情報に基づき特定する。そして、組織特定部200は、オブジェクトαを所有している組織32を基準にして上位に位置する組織10,21、同位に位置する組織32、下位に位置する組織41,42を図5(f)に示す組織情報に基づき特定する。
【0076】
次に、アクセス権付与部220は、アクセス要求を行ったユーザBが属する組織21を図5(f)に示す組織情報に基づき特定する。次に、アクセス権付与部220は、特定した組織21が組織特定部200により特定された上位、同位および下位に位置する組織10,21,32,41,42の何れかに該当するか否かについて判定する。図5の例では、アクセス権付与部220は、アクセス要求を行ったユーザBが属する組織21が、オブジェクトαを所有している組織32を基準にして上位に位置する組織に該当すると判定する。この場合、アクセス権付与部220は、図5(g)に示すアクセス権情報に基づいて、オブジェクトαについて、上位に位置する組織21に所属するユーザがアクセス(読み込み)を許可されているか否かについて判定する。図5の例では、アクセス権付与部220は、アクセスが許可されていない(項目「読み込み」の値に「×」が設定されている)と判定し、ユーザBに対してオブジェクトαに対するアクセス権を付与する処理を行わない。
【0077】
次に、アクセス要求受付部180が、組織42に新たに所属することとなったユーザEからオブジェクトαに対するアクセス(実行)の要求を受け付けた場合について説明する。この場合、組織特定部200は、ユーザEからアクセス要求のあったオブジェクトαを所有している組織32を図5(h)に示す所有情報に基づき特定する。そして、組織特定部200は、オブジェクトαを所有している組織32を基準にして上位に位置する組織10,21、同位に位置する組織32、下位に位置する組織41,42を組織情報記憶部120に記憶されている組織情報に基づき特定する。
【0078】
次に、アクセス権付与部220は、アクセス要求を行ったユーザEが属する組織20を図5(f)に示す組織情報に基づき特定する。次に、アクセス権付与部220は、特定した組織20が組織特定部200により特定された上位、同位および下位に位置する組織10,21,32,41,42の何れかに該当するか否かについて判定する。図5の例では、アクセス権付与部220は、アクセス要求を行ったユーザEが属する組織42が、オブジェクトαを所有している組織32を基準にして下位に位置する組織に該当すると判定する。この場合、アクセス権付与部220は、図5(g)に示すアクセス権情報に基づいて、オブジェクトαについて、下位に位置する組織42に所属するユーザがアクセス(実行)を許可されているか否かについて判定する。図5の例では、アクセス権付与部220は、アクセスが許可されている(項目「書き込み」の値に「○」が設定されている)と判定し、ユーザEに対してオブジェクトαに対する実行に関するアクセス権を付与する処理を行う。
【0079】
図5を参照しながら説明したように、人事異動により、オブジェクトαを所有している組織32を基準にして同位に位置する組織32から上位に位置する組織21にユーザBが移動したり、下位に位置する組織42にユーザEの追加が行われた場合でも、管理者が組織情報を変更するという簡単な処理を行うだけで、人事異動後に異動対象のユーザB,Eに関するオブジェクトαへのアクセス権が自動的に制御される。したがって、人事異動があっても、組織全体のアクセス権の管理を容易に行うことができる。
【0080】
次に、オブジェクトを所有している組織の変更が行われた場合におけるアクセス権管理装置100によるアクセス権付与処理について例を挙げて説明する。図6は、オブジェクトを所有している組織の変更が行われた場合におけるアクセス権管理装置100によるアクセス権付与処理の例を示す図である。
【0081】
図6(a)は、複数の組織10,20,21,32,33,41,42からなる組織階層の構造を示している。図6(a)に示すように、組織10の直属下位には組織20,21が位置している。組織21の直属下位には組織32,33が位置している。組織32の直属下位には組織41,42が位置している。なお、図6(a)に示す組織階層の構造では、組織20,33,41,42の直属下位に位置する組織は存在しない。
【0082】
図6(b)は、組織情報記憶部120に記憶されている組織情報のうち組織21,32,42,20に所属するユーザを示す組織情報を示している。図6(b)の組織情報に示すように、組織21,32,42,20には、ユーザA,B,C,Dがそれぞれ所属している。
【0083】
図6(c)は、オブジェクトαについて、上位、同位および下位という抽象的な概念により表した組織と、当該組織に所属するユーザのオブジェクトαへのアクセス権とを関連付けた情報であるアクセス権情報の内容を示している。図6(d)は、アクセス対象のオブジェクトαを所有する組織32を示す所有情報の内容を示している。なお、図6(a)〜(d)に示す各情報は図3(a)〜(d)に示す各情報と同じであるため、アクセス権管理装置100によるアクセス権付与処理は図3を参照しながら説明した処理と同じである。
【0084】
図6(e)は、オブジェクトを所有している組織の変更が行われた場合、複数の組織10,20,21,32,33,41,42からなる組織階層の構造を示している。図6(e)に示すように、組織10の直属下位には組織20,21が位置している。組織21の直属下位には組織32,33が位置している。組織32の直属下位には組織41,42が位置している。
【0085】
図6(f)は、図6(b)に示す組織情報と同じ情報である。図6(g)は、図6(c)に示すアクセス権情報と同じ情報である。図6(h)は、アクセス対象のオブジェクトαを所有する組織32を示す所有情報の内容を示している。図6(h)に示すように、オブジェクトを所有している組織の変更によって、オブジェクトαに関する所有情報の「組織」の値は、「組織32」から「組織20」に設定変更されている。
【0086】
まず、アクセス要求受付部180が、組織21に所属するユーザAからオブジェクトαに対するアクセス(読み込み)の要求を受け付けた場合について説明する。この場合、組織特定部200は、ユーザAからアクセス要求のあったオブジェクトαを所有している組織20を図6(h)に示す所有情報に基づき特定する。そして、組織特定部200は、オブジェクトαを所有している組織20を基準にして上位に位置する組織10および同位に位置する組織20(下位に位置する組織はなし)を図6(f)に示す組織情報に基づき特定する。
【0087】
次に、アクセス権付与部220は、アクセス要求を行ったユーザAが属する組織21を図6(f)に示す組織情報に基づき特定する。次に、アクセス権付与部220は、特定した組織21が組織特定部200により特定された上位および同位に位置する組織10,20の何れかに該当するか否かについて判定する。図6の例では、アクセス権付与部220は、アクセス要求を行ったユーザAが属する組織21が、オブジェクトαを所有している組織20を基準にして上位および同位に位置する組織10,20の何れにも該当しないと判定する。この場合、アクセス権付与部220は、ユーザAに対して、オブジェクトαに対するアクセス権を付与する処理を行わない。
【0088】
次に、アクセス要求受付部180が、組織32に所属するユーザBからオブジェクトαに対するアクセス(書き込み)の要求を受け付けた場合について説明する。この場合、組織特定部200は、ユーザBからアクセス要求のあったオブジェクトαを所有している組織20を図6(h)に示す所有情報に基づき特定する。そして、組織特定部200は、オブジェクトαを所有している組織20を基準にして上位に位置する組織10および同位に位置する組織20(下位に位置する組織はなし)を図6(f)に示す組織情報に基づき特定する。
【0089】
次に、アクセス権付与部220は、アクセス要求を行ったユーザBが属する組織32を図6(f)に示す組織情報に基づき特定する。次に、アクセス権付与部220は、特定した組織32が組織特定部200により特定された上位および同位に位置する組織10,20の何れかに該当するか否かについて判定する。図6の例では、アクセス権付与部220は、アクセス要求を行ったユーザBが属する組織32が、オブジェクトαを所有している組織20を基準にして上位および同位に位置する組織10,20の何れにも該当しないと判定する。この場合、アクセス権付与部220は、ユーザBに対してオブジェクトαに対するアクセス権を付与する処理を行わない。
【0090】
次に、アクセス要求受付部180が、組織42に所属するユーザCからオブジェクトαに対するアクセス(実行)の要求を受け付けた場合について説明する。この場合、組織特定部200は、ユーザCからアクセス要求のあったオブジェクトαを所有している組織20を図6(h)に示す所有情報に基づき特定する。そして、組織特定部200は、オブジェクトαを所有している組織20を基準にして上位に位置する組織10および同位に位置する組織20(下位に位置する組織はなし)を図6(f)に示す組織情報に基づき特定する。
【0091】
次に、アクセス権付与部220は、アクセス要求を行ったユーザCが属する組織42を図6(f)に示す組織情報に基づき特定する。次に、アクセス権付与部220は、特定した組織42が組織特定部200により特定された上位および同位に位置する組織10,20の何れかに該当するか否かについて判定する。図6の例では、アクセス権付与部220は、アクセス要求を行ったユーザCが属する組織42が、オブジェクトαを所有している組織20を基準にして上位および同位に位置する組織10,20の何れにも該当しないと判定する。この場合、アクセス権付与部220は、ユーザCに対してオブジェクトαに対するアクセス権を付与する処理を行わない。
【0092】
最後に、アクセス要求受付部180が、組織20に所属するユーザDからオブジェクトαに対するアクセス(読み込み)の要求を受け付けた場合について説明する。この場合、組織特定部200は、ユーザDからアクセス要求のあったオブジェクトαを所有している組織20を図6(h)に示す所有情報に基づき特定する。そして、組織特定部200は、オブジェクトαを所有している組織20を基準にして上位に位置する組織10および同位に位置する組織20(下位に位置する組織はなし)を図6(f)に示す組織情報に基づき特定する。
【0093】
次に、アクセス権付与部220は、アクセス要求を行ったユーザDが属する組織20を図6(f)に示す組織情報に基づき特定する。次に、アクセス権付与部220は、特定した組織20が組織特定部200により特定された上位および同位に位置する組織10,20の何れかに該当するか否かについて判定する。図6の例では、アクセス権付与部220は、アクセス要求を行ったユーザDが属する組織20が、オブジェクトαを所有している組織20を基準にして同位に位置する組織に該当すると判定する。この場合、アクセス権付与部220は、図6(g)に示すアクセス権情報に基づいて、オブジェクトαについて、同位に位置する組織20に所属するユーザがアクセス(読み込み)を許可されているか否かについて判定する。図6の例では、アクセス権付与部220は、アクセスが許可されている(項目「読み込み」の値に「○」が設定されている)と判定し、ユーザDに対して、オブジェクトαに対する書き込みに関するアクセス権を付与する処理を行う。
【0094】
図6を参照しながら説明したように、オブジェクトαを所有している組織の変更によって、オブジェクトαを所有する組織の上位、同位および下位に位置する組織に変更があった場合でも、管理者が組織情報を変更するという簡単な処理を行うだけで、オブジェクトαを所有している組織の変更後の上位、同位および下位に位置する組織に所属するユーザに関するオブジェクトαへのアクセス権が自動的に制御される。したがって、オブジェクトを所有している組織の変更があっても、組織全体のアクセス権の管理を容易に行うことができる。
【0095】
次に、本実施形態によるアクセス権管理装置100のアクセス権付与に関する動作について説明する。図7は、本実施形態によるアクセス権管理装置100のアクセス権付与に関する動作例を示すフローチャートである。まず、アクセス要求受付部180は、情報端末110の操作部(図示せず)を介して、ユーザが行った任意のオブジェクトに対するアクセス(本実施形態では、読み込み、書き込みおよび実行の何れか)の要求を受け付けたか否かについて判定する(ステップS100)。
【0096】
もし、アクセスの要求を受け付けていないとアクセス要求受付部180にて判定した場合(ステップS100にてNO)、処理はステップS240に遷移する。一方、アクセスの要求を受け付けたとアクセス要求受付部180にて判定した場合(ステップS100にてYES)、アクセス要求受付部180は、アクセス要求されたオブジェクトを示すオブジェクト情報を組織特定部200およびアクセス権付与部220に出力する。また、アクセス要求受付部180は、アクセスの要求を行ったユーザを示すユーザ情報および、当該アクセスの種別(本実施形態では、読み込み、書き込みおよび実行の何れか)を示すアクセス種別情報をアクセス権付与部220に出力する。
【0097】
次に、組織特定部200は、アクセス要求受付部180から出力されたオブジェクト情報により示されるオブジェクトを所有している組織を所有情報記憶部140に記憶されている所有情報に基づき特定する(ステップS120)。次に、組織特定部200は、特定した組織を基準にして上位、同位および下位に位置する具体的な組織を組織情報記憶部120に記憶されている組織情報に基づき特定する(ステップS140)。そして、組織特定部200は、特定した上位、同位および下位に位置する具体的な組織をそれぞれ示す上位・同位・下位組織情報をアクセス権付与部220に出力する。
【0098】
次に、アクセス権付与部220は、アクセス要求受付部180から出力されたユーザ情報により示されるユーザが属する組織を組織情報記憶部120に記憶されている組織情報に基づき特定する(ステップS160)。次に、アクセス権付与部220は、アクセス要求を行ったユーザが属する組織として特定した組織が組織特定部200から出力された上位・同位・下位組織情報により示される上位、同位および下位に位置する具体的組織の何れかに該当するか否かについて判定する(ステップS180)。
【0099】
もし、上位、同位および下位に位置する具体的な組織の何れにも該当しないとアクセス権付与部220にて判定した場合(ステップS180にてNO)、処理はステップS240に遷移する。一方、上位、同位および下位に位置する具体的な組織の何れかに該当するとアクセス権付与部220にて判定した場合(ステップS180にてYES)、アクセス権付与部220は、アクセス権情報記憶部160に記憶されているアクセス権情報に基づいて、アクセス要求受付部180から出力されたオブジェクト情報により示されるオブジェクトについて、上位、同位および下位に位置する具体的な組織の何れかに該当すると判定した組織に所属するユーザがアクセス要求受付部180から出力されたアクセス種別情報により示されるアクセス(読み込み、書き込みおよび実行のいずれか)を許可されているか否かについて判定する(ステップS200)。
【0100】
もし、アクセスが許可されていないとアクセス権付与部220にて判定した場合(ステップS200にてNO)、処理はステップS240に遷移する。一方、アクセスが許可されているとアクセス権付与部220にて判定した場合(ステップS200にてYES)、アクセス権付与部220は、アクセス要求受付部180から出力されたユーザ情報により示されるユーザに対して、アクセス要求受付部180から出力されたオブジェクト情報により示されるオブジェクトに対するアクセス権を付与する処理を行う(ステップS220)。
【0101】
最後に、アクセス権管理装置100は、アクセス権管理装置100に備えられた操作部(図示せず)に対してユーザによる電源オフ操作が行なわれたか否かについて判定する(ステップS240)。もし、電源オフ操作が行なわれていないとアクセス権管理装置100にて判定した場合(ステップS240にてNO)、処理はステップS100に遷移する。一方、電源オフ操作が行なわれたとアクセス権管理装置100にて判定した場合(ステップS240にてYES)、アクセス権管理装置100は図7における処理を終了する。
【0102】
以上詳しく説明したように、本実施形態では、組織情報を記憶する組織情報記憶部120、所有情報を記憶する所有情報記憶部140および、アクセス権情報を記憶するアクセス権情報記憶部160を備えている。そして、情報端末110の操作部を介してユーザからアクセス要求のあったオブジェクトを所有している組織を所有情報に基づき特定するとともに、当該特定した組織を基準にして上位、同位および下位に位置する具体的な組織を組織情報に基づき特定し、アクセス権情報に基づいて、当該特定した具体的な組織に所属するユーザに関するオブジェクトへのアクセス権を制御するようにしている。
【0103】
このように構成した本実施形態によれば、組織情報、所有情報およびアクセス権情報を組織情報記憶部120、所有情報記憶部140およびアクセス権情報記憶部160にそれぞれ定義しておくだけで、オブジェクトを所有する組織を基準にして上位、同位および下位に位置する組織に所属するユーザに関する当該オブジェクトへのアクセス権が制御される。
【0104】
さらに、本実施形態では、アクセス権情報においてアクセス権を付与する対象組織を抽象的な概念(上位、同位および下位)で特定している。これにより、組織変更でオブジェクトを所有する組織の上位または下位に位置する組織に変更が行われたり、人事異動により当該上位または下位の組織に属するユーザの変更が行われた場合でも、管理者が組織情報を変更するという簡単な処理を行うだけで、組織変更後の上位組織や下位組織や、人事異動後のユーザに関するオブジェクトへのアクセス権が自動的に制御される。したがって、ディレクトリサービスを使用せずに、組織変更や人事異動があっても、組織全体のアクセス権の管理を容易に行うことができる。
【0105】
また、本実施形態によれば、オブジェクトを所有している組織の変更が行われたことによって、オブジェクトを所有している組織の上位、同位および下位に位置する組織に変更があった場合でも、管理者が所有情報を変更するという簡単な処理を行うだけで、オブジェクトを所有している組織の変更後の上位組織、同位組織および下位組織に所属するユーザに関するオブジェクトへのアクセス権が自動的に制御される。したがって、オブジェクトを所有している組織の変更があっても、組織全体のアクセス権の管理を容易に行うことができる。
【0106】
なお、上記実施形態では、アクセス権情報においてアクセス権を付与する対象組織を上位、同位および下位という抽象的な概念で特定する例について説明したが、本発明はこれに限定されない。例えば、アクセス権情報においてアクセス権を付与する対象組織を直属上位、同位および直属下位という抽象的な概念で特定するようにしても良い。また、アクセス権情報においてアクセス権を付与する対象組織を上位、直属上位、同位、直属下位および下位という抽象的な概念で特定するようにしても良い。このようにすれば、ユーザに関するオブジェクトへのアクセス権をきめ細かく制御することができるので、より好ましい。
【0107】
ただし、アクセス権情報においてアクセス権を付与する対象組織を上位、直属上位、同位、直属下位および下位という抽象的な概念で特定する場合には、上位および直属上位の両方に位置する組織に該当することが発生する可能性がある。この場合、アクセス権情報において上位に位置する組織に対して設定されたアクセス権をユーザに対して付与するのか、または、直属上位に対して設定されたアクセス権をユーザに対して付与するのか問題となる。この問題に対しては、例えば、アクセス権情報において、上位に位置する組織に対して設定されたアクセス権、直属上位に対して設定されたアクセス権のうち、より上位(または下位)のレコードに設定されたアクセス権をユーザに対して優先的に付与するようにしても良い。
【0108】
また、上記実施形態では、アクセス要求を行ったユーザの属する組織が、オブジェクトを所有している組織を基準にして上位、同位および下位の何れにも該当しない場合、当該ユーザに対してオブジェクトに対するアクセス権を付与する処理を行わない例について説明したが、本発明はこれに限定されない。例えば、アクセス要求を行ったユーザの属する組織が、オブジェクトを所有している組織を基準にして上位、同位および下位の何れにも該当しない場合であっても、あらかじめ設定されたデフォルトのアクセス権(例えば、オブジェクトの読み込みのみ可能)を付与するようにしても良い。
【0109】
また、上記実施形態では、ユーザに関するオブジェクトへのアクセス権の種類として、読み込み、書き込みおよび実行が存在する例について説明したが、本発明はこれに限定されない。例えば、ユーザに関するオブジェクトへのアクセス権の種類として、読み込み、書き込みおよび実行以外に、削除や印刷などが存在しても良い。
【0110】
また、上記実施形態では、ユーザからアクセス要求のあったオブジェクトを所有する組織を特定した後、当該特定した組織を基準にして上位、同位および下位に位置する具体的な組織を特定する例について説明したが、本発明における処理の流れはこれに限定されない。例えば、ユーザからアクセス要求のあったオブジェクトを所有する組織を特定した後、アクセス要求を行ったユーザが属する組織を特定する。そして、当該オブジェクトを所有する組織を基準にして当該ユーザの属する組織が上位、同位および下位のうち何れの位置に該当するかを特定し、当該特定した位置に該当する組織に所属するユーザに対して、アクセス要求のあったオブジェクトへのアクセス権を付与するようにしても良い。
【0111】
また、上記実施形態では、複数の組織を階層構造で管理し、オブジェクトに対するユーザのアクセス権を組織毎に管理する例について説明したが、本発明はこれに限定されない。例えば、組織という概念をなくし、複数のユーザを階層構造で管理し、オブジェクトに対するユーザのアクセス権をユーザ毎に管理するようにしても良い。すなわち、本発明の主体は、組織やユーザグループのように、アクセスを直接要求する一次主体への解決を必要とする二次主体に限らず、アクセスを直接要求するユーザのような一次主体であっても良い。
【0112】
また、アクセス権情報記憶部160に記憶されるアクセス権情報には、上位、同位および下位という抽象的な概念により表した組織と当該組織に所属するユーザのオブジェクトへのアクセス権とを関連付けた情報だけでなく、具体的な組織(例えば、組織10)と当該組織に所属するユーザのオブジェクトへのアクセス権とを関連付けた情報が含まれても良い。
【0113】
その他、上記実施形態は、何れも本発明を実施するにあたっての具体化の一例を示したものに過ぎず、これらによって本発明の技術的範囲が限定的に解釈されてはならないものである。すなわち、本発明はその精神、またはその主要な特徴から逸脱することなく、様々な形で実施することができる。
【符号の説明】
【0114】
10,20,21,32,33,41,42 組織
A,B,C,D,E ユーザ
α,β オブジェクト
50 アクセス権管理システム
100 アクセス権管理装置
110 情報端末
120 組織情報記憶部
140 所有情報記憶部
160 アクセス権情報記憶部
180 アクセス要求受付部
200 組織特定部
220 アクセス権付与部
【技術分野】
【0001】
本発明は、アクセス権管理装置およびアクセス権管理プログラムに関し、例えば、組織階層に基づき各組織に所属するユーザに対して、オブジェクト(ファイルやフォルダ)のアクセス権を付与するアクセス権管理装置およびアクセス権管理プログラムに関するものである。
【背景技術】
【0002】
ファイル管理システムでは、オブジェクト(ファイルやフォルダ)に対するアクセス権をユーザや、複数のユーザからなるグループに対して付与し、アクセス権が与えられたユーザ又はグループからのみ当該オブジェクトへのアクセスを認めるようなアクセス権管理を行うものが多い。
【0003】
アクセス権管理の代表的な方法として、アクセス制御リスト(ACL:Access Control List)を用いる方法が知られている。アクセス制御リストは、個々のユーザ又はグループと、それらに対して与えられているオブジェクトへのアクセス権限の種類とをオブジェクト毎にリストとして定義したものである。
【0004】
ところで、企業においては、部や課などの複数の組織からなる組織階層の構造および各組織に所属する社員を示す組織情報を組織データベースで管理している。そして、ファイル管理システムにおけるアクセス権管理を、組織データベースに連動させる運用を行っている場合も多い。この場合、社員および組織は、アクセス制御リスト(ACL)によりアクセス権が付与されるユーザおよびグループにそれぞれ対応する。
【0005】
このように、アクセス権管理を組織データベースに連動させて行っている場合、管理者は、企業内において組織変更や人事異動を行う都度、組織データベースを変更するだけでなく、アクセス制御リストも変更しなければならず、当該管理者の負担が重いという問題があった。
【0006】
一方、企業内の本社・部門・部・課といった組織形態に合わせ、ユーザやオブジェクトを階層構造で一元管理し、オブジェクトに対するユーザのアクセス権を容易に設定することができるディレクトリサービスが普及している。例えば、階層構造において上位組織に設定したアクセス権をそのまま下位組織に継承させることができる。この継承機能を使用すれば、アクセス権を設定した上位組織の下位組織に変更があった場合や、人事異動により下位組織に新規ユーザの追加があった場合でも、当該下位組織に所属するユーザに対して上位組織のアクセス権を継承させることができる。
【0007】
なお、ディレクトリサービスを利用した技術として、下位組織に設定した権限をそのまま上位組織に継承させることができるようにしたものが開示されている(例えば、特許文献1を参照)。この特許文献1に記載の技術によれば、組織階層と逆向きのグループ階層をディレクトリサービスデータベースに登録し、上位組織(例えば、部グループ)を下位組織(例えば、課グループ)のメンバとして登録することにより、下位組織が有する権限を上位組織に所属するユーザに委譲できるようにしている。
【先行技術文献】
【特許文献】
【0008】
【特許文献1】特開2008−117052号公報
【発明の概要】
【発明が解決しようとする課題】
【0009】
しかしながら、特許文献1に記載の技術には、以下に示すような問題点があった。すなわち、アクセス権を設定した下位組織の上位組織に変更があった場合や、人事異動により上位組織に新規ユーザの追加があった場合、その都度、組織変更や人事異動の結果を反映した組織階層と逆向きのグループ階層をディレクトリサービスデータベースに登録し直す必要があった。そのため、組織全体のアクセス権の管理のために、管理者は面倒な作業を強いられていた。
【0010】
本発明は、このような問題を解決するために成されたものであり、ディレクトリサービスを使用せずに、組織変更や人事異動があっても、組織全体のアクセス権の管理を容易に行うことができるようにすることを目的とする。
【課題を解決するための手段】
【0011】
上記した課題を解決するために、本発明では、上位、同位および下位という抽象的な概念により表した主体と、当該主体のオブジェクトへのアクセス権とを関連付けてアクセス権情報を構成する。ある主体からオブジェクトへのアクセス要求があったとき、そのオブジェクトを所有する主体を所有情報に基づき特定するとともに、当該アクセス要求を行った主体を階層構造情報に基づき特定する。そして、オブジェクトの所有主体を基準として、アクセス要求を行った主体が上位、同位および下位のうち何れの位置に該当するかを特定し、特定した位置に対応するアクセス権をアクセス権情報に基づき付与するようにしている。
【発明の効果】
【0012】
上記のように構成した本発明によれば、階層構造情報、所有情報およびアクセス権情報を定義しておくだけで、オブジェクトを所有する主体を基準にして上位、同位および下位に位置する主体に関する当該オブジェクトへのアクセス権が制御される。さらに、主体がユーザの属する組織である場合には、アクセス権情報においてアクセス権を付与する対象組織を抽象的な概念(上位、同位および下位)で特定することにより、組織変更でオブジェクトを所有する組織の上位または下位に位置する組織に変更があったり、人事異動により当該上位または下位の組織に属するユーザに変更があったときでも、管理者が階層構造情報を変更するという簡単な処理を行うだけで、組織変更後の上位または下位の組織や、人事異動後のユーザに関するオブジェクトへのアクセス権が自動的に制御される。したがって、ディレクトリサービスを使用せずに、組織変更や人事異動があっても、組織全体のアクセス権の管理を容易に行うことができる。
【図面の簡単な説明】
【0013】
【図1】本実施形態によるアクセス権管理装置を含むアクセス権管理システムの全体構成例を示すブロック図である。
【図2】本実施形態によるアクセス権管理装置において使用される各種情報の例を示す図である。
【図3】本実施形態によるアクセス権管理装置のアクセス権付与処理の例を示す図である。
【図4】本実施形態による組織変更が行われた場合におけるアクセス権管理装置のアクセス権付与処理の例を示す図である。
【図5】本実施形態による人事異動が行われた場合におけるアクセス権管理装置のアクセス権付与処理の例を示す図である。
【図6】本実施形態によるオブジェクトを所有する組織の変更が行われた場合におけるアクセス権管理装置のアクセス権付与処理の例を示す図である。
【図7】本実施形態によるアクセス権管理装置の動作例を示すフローチャートである。
【発明を実施するための形態】
【0014】
以下、本発明の一実施形態(以下、「本実施形態」という)を図面に基づいて説明する。図1は、本実施形態によるアクセス権管理装置100を含むアクセス権管理システム50の全体構成例を示す図である。図1に示すように、本実施形態のアクセス権管理システム50は、アクセス権管理装置100、複数の情報端末110(例えば、PC、携帯端末など)を含み、これらが有線または無線の通信回線にて接続されている。
【0015】
アクセス権管理装置100は、一の情報端末110に保管されているオブジェクト(ファイルやフォルダ)に対する他の情報端末110からのアクセスを制御する装置である。ここで、アクセスとは、オブジェクトへの各種操作(例えば、読み込み、書き込み、実行など)を意味する。本実施形態では、アクセス権管理装置100は、企業内の本社・部門・部・課といった組織形態に合わせ、各組織に所属するユーザや各組織の情報端末110に保管されているオブジェクトを階層構造で一元管理し、オブジェクトに対するユーザのアクセス権をユーザの集合体から成る組織毎に管理している。
【0016】
アクセス権管理装置100は、情報端末110を介して、ユーザから任意のオブジェクトに対するアクセスの要求を受け付けた際には、当該オブジェクトに対する当該ユーザが属する組織のアクセス権を確認する。そして、アクセス権管理装置100は、アクセス要求を行ったユーザが所属する組織に対してオブジェクトへのアクセスが許可されている場合、当該組織に属するユーザに対して当該オブジェクトへのアクセス権を付与する。また、アクセス権管理装置100は、アクセス要求を行ったユーザが所属する組織に対してオブジェクトへのアクセスが許可されていない場合、当該組織に属するユーザに対して当該オブジェクトへのアクセス権を付与しない。この場合、アクセス要求を行ったユーザは、オブジェクトに対してアクセスすることができない。
【0017】
次に、アクセス権管理装置100の具体的な機能構成例について説明する。図1に示すように、アクセス権管理装置100は、組織情報記憶部120(本発明の階層構造情報記憶部に対応)、所有情報記憶部140、アクセス権情報記憶部160、アクセス要求受付部180、組織特定部200(本発明の第1主体特定部に対応)およびアクセス権付与部220(本発明の第2主体特定部、位置特定部およびアクセス権付与部に対応)を備えて構成されている。
【0018】
組織情報記憶部120は、複数の組織(本発明の主体に対応)からなる組織階層の構造および各組織に所属するユーザを示す組織情報(本発明の階層構造情報に対応)を記憶する。図2(a)は、組織情報の詳細を示す図である。図2(a)に示すように、組織情報は、本社・部門・部・課などの組織を示す「組織」、当該組織に所属するユーザを示す「所属ユーザ」および、当該組織の直属下位に位置する組織を示す「直属下位組織」を含む。組織情報には、これ以外の情報を含んでいても良いが、ここでは本発明に特に関係するもののみを示している。図2(a)の組織情報に示すように、組織10にはユーザAが所属しており、組織10の直属下位には組織20,21が位置していることが第1レコードに設定されている。また、組織21にはユーザBが所属しており、組織21の直属下位には組織32,33が位置していることが第2レコードに設定されている。
【0019】
所有情報記憶部140は、アクセス対象のオブジェクトを所有する組織を示す所有情報を記憶する。図2(b)は、所有情報の詳細を示す図である。図2(b)に示すように、所有情報は、アクセス対象のオブジェクトを示す「オブジェクト」および、当該オブジェクトを所有する組織を示す「組織」を含む。所有情報には、これ以外の情報を含んでいても良いが、ここでは本発明に特に関係するもののみを示している。図2(b)の所有情報に示すように、オブジェクトαは、組織32に所有されていることが第1レコードに設定されている。また、オブジェクトβは、組織20に所有されていることが第2レコードに設定されている。
【0020】
アクセス権情報記憶部160は、上位、同位および下位という抽象的な概念により表した組織と、当該組織のオブジェクトへのアクセス権とを関連付けた情報であるアクセス権情報を記憶する。図2(c)は、アクセス権情報の詳細を示す図である。図2(c)に示すように、アクセス権情報は、オブジェクト毎に存在し、当該オブジェクトを所有する組織を基準にして上位、同位および下位という抽象的な概念により表した組織を示す「組織」、当該組織のオブジェクトへのアクセス(読み込み)の許否を示す「読み込み」、当該組織のオブジェクトへのアクセス(書き込み)の許否を示す「書き込み」および、当該組織のオブジェクトへのアクセス(実行)の許否を示す「実行」を含む。アクセス権情報には、これ以外の情報を含んでいても良いが、ここでは本発明に特に関係するもののみを示している。
【0021】
なお、オブジェクトへのアクセス(読み込み)が許可されている場合、項目情報「読み込み」の値には「○(許可)」が設定される。その一方、オブジェクトへのアクセス(読み込み)が許可されていない場合、項目情報「読み込み」の値には「×(拒否)」が設定される。また、オブジェクトへのアクセス(書き込み)が許可されている場合、項目情報「書き込み」の値には「○(許可)」が設定される。その一方、オブジェクトへのアクセス(書き込み)が許可されていない場合、項目情報「書き込み」の値には「×(拒否)」が設定される。また、オブジェクトへのアクセス(実行)が許可されている場合、項目情報「実行」の値には「○(許可)」が設定される。その一方、オブジェクトへのアクセス(実行)が許可されていない場合、項目情報「実行」の値には「×(拒否)」が設定される。
【0022】
図2(c)のアクセス権情報に示すように、オブジェクトαを所有する組織を基準にして上位という抽象的な概念により表した組織に所属するユーザは、オブジェクトαへのアクセス(読み込み、書き込みおよび実行)が許可されていない。また、オブジェクトαを所有する組織を基準にして同位という抽象的な概念により表した組織に所属するユーザは、オブジェクトαへのアクセス(読み込み、書き込みおよび実行)が許可されている。また、オブジェクトαを所有する組織を基準にして下位という抽象的な概念により表した組織に所属するユーザは、オブジェクトαへのアクセス(読み込み、書き込みおよび実行)が許可されている。
【0023】
アクセス要求受付部180は、情報端末110の操作部(図示せず)を介して、ユーザが行った任意のオブジェクトに対するアクセス(本実施形態では、読み込み、書き込みおよび実行の何れか)の要求を受け付ける。そして、アクセス要求受付部180は、アクセス要求されたオブジェクトを示すオブジェクト情報を組織特定部200およびアクセス権付与部220に出力する。また、アクセス要求受付部180は、アクセスの要求を行ったユーザを示すユーザ情報および、アクセスの種別(本実施形態では、読み込み、書き込みおよび実行の何れか)を示すアクセス種別情報をアクセス権付与部220に出力する。本実施形態では、ユーザ情報は、あらかじめ情報端末110に設定されており、アクセス要求の際に情報端末110からアクセス要求受付部180に送信される。
【0024】
組織特定部200は、ユーザからアクセス要求のあったオブジェクトを所有している組織を所有情報に基づき特定する。具体的には、組織特定部200は、アクセス要求受付部180から出力されたオブジェクト情報により示されるオブジェクトを所有している組織を、所有情報記憶部140に記憶されている所有情報に基づき特定する。
【0025】
次に、組織特定部200は、オブジェクトを所有している組織を基準にして上位、同位および下位に位置する具体的な組織を組織情報記憶部120に記憶されている組織情報に基づき特定する。そして、組織特定部200は、特定した上位、同位および下位に位置する具体的な組織をそれぞれ示す上位・同位・下位組織情報をアクセス権付与部220に出力する。
【0026】
具体的には、組織特定部200は、組織情報記憶部120に記憶されている組織情報を参照し、オブジェクトを所有している組織が「直属下位組織」の値に設定されているレコードがあれば、その組織情報を抽出する。そして、組織特定部200は、抽出したレコードに含まれる「組織」に設定されている組織(以下、直属上位組織という)を、オブジェクトを所有している組織を基準にして上位に位置する具体的な組織として特定する。
【0027】
さらに、組織特定部200は、組織情報記憶部120に記憶されている組織情報を参照し、直属上位組織が「直属下位組織」の値に設定されているレコードがあれば、そのレコードも抽出する。そして、組織特定部200は、抽出したレコードに含まれる「組織」に設定されている組織も、オブジェクトを所有している組織を基準にして上位に位置する具体的な組織として特定する。以上のような処理を行うことによって、組織特定部200は、組織情報記憶部120に記憶されている組織情報を参照し、オブジェクトを所有している組織を基準にして上位に位置する具体的な組織を特定することができる。
【0028】
また、組織特定部200は、所有情報記憶部140に記憶されている所有情報に基づき特定した組織をそのまま、オブジェクトを所有している組織を基準にして同位に位置する具体的な組織として特定する。
【0029】
また、組織特定部200は、組織情報記憶部120に記憶されている各組織情報を参照し、オブジェクトを所有している組織が「組織」の値に設定されているレコードがあれば、そのレコードを抽出する。そして、組織特定部200は、抽出したレコードに含まれる「直属下位組織」に設定されている組織(以下、直属下位組織という)を、オブジェクトを所有している組織を基準にして下位に位置する具体的な組織として特定する。
【0030】
さらに、組織特定部200は、組織情報記憶部120に記憶されている組織情報を参照し、直属下位組織が「組織」の値に設定されているレコードがあれば、そのレコードも抽出する。そして、組織特定部200は、抽出したレコードに含まれる「組織」に設定されている組織も、オブジェクトを所有している組織を基準にして下位に位置する具体的な組織として特定する。以上のような処理を行うことによって、組織特定部200は、組織情報記憶部120に記憶されている組織情報を参照し、オブジェクトを所有している組織を基準にして下位に位置する具体的な組織をすべて特定することができる。
【0031】
アクセス権付与部220は、アクセス要求を行ったユーザが属する組織を組織情報に基づき特定する。具体的には、アクセス権付与部220は、アクセス要求受付部180から出力されたユーザ情報により示されるユーザが属する組織を組織情報記憶部120に記憶されている組織情報に基づき特定する。
【0032】
また、アクセス権付与部220は、アクセス権情報記憶部160に記憶されているアクセス権情報に基づいて、組織特定部200から出力された上位・同位・下位組織情報により示される上位、同位および下位に位置する組織のうち、アクセス要求を行ったユーザが属する組織に所属するユーザに対して、アクセス要求のあったオブジェクトへのアクセス権を付与するように制御する。
【0033】
具体的には、まず、アクセス権付与部220は、アクセス要求を行ったユーザが属する組織として特定した組織が組織特定部200から出力された上位・同位・下位組織情報により示される上位、同位および下位に位置する具体的組織の何れかに該当するか否かについて判定する。
【0034】
アクセス権付与部220は、アクセス要求を行ったユーザの属する組織が上位、同位および下位に位置する具体的な組織の何れにも該当しないと判定した場合、アクセス要求受付部180から出力されたユーザ情報により示されるユーザに対してアクセス要求受付部180から出力されたオブジェクト情報により示されるオブジェクトに対するアクセス権を付与する処理を行わない。
【0035】
その一方、アクセス権付与部220は、アクセス要求を行ったユーザの属する組織が上位、同位および下位に位置する具体的な組織の何れかに該当すると判定した場合、アクセス権情報記憶部160に記憶されているアクセス権情報に基づいて、アクセス要求受付部180から出力されたオブジェクト情報により示されるオブジェクトについて、上位、同位および下位に位置する具体的な組織の何れかに該当すると判定した組織に所属するユーザが、アクセス要求受付部180から出力されたアクセス種別情報により示されるアクセス(読み込み、書き込みおよび実行のいずれか)を許可されているか否かについて判定する。
【0036】
アクセス権付与部220は、アクセスが許可されていると判定した場合、アクセス要求受付部180から出力されたユーザ情報により示されるユーザに対してアクセス要求受付部180から出力されたオブジェクト情報により示されるオブジェクトに対するアクセス権を付与する処理を行う。その一方、アクセス権付与部220は、アクセスが許可されていないと判定した場合、アクセス要求受付部180から出力されたユーザ情報により示されるユーザに対してアクセス要求受付部180から出力されたオブジェクト情報により示されるオブジェクトに対するアクセス権を付与する処理を行わない。
【0037】
以上に説明した本実施形態によるアクセス権管理装置100の機能は、実際にはコンピュータのCPUあるいはMPU、RAM、ROMなどで構成され、RAMやROMに記憶されたプログラムが動作することによって実現できる。したがって、コンピュータが上記の機能を果たすように動作させるプログラムを例えばCD−ROMのような記録媒体に記録し、コンピュータに読み込ませることによって実現できるものである。
【0038】
上記プログラムを記録する記録媒体としては、CD−ROM以外に、フレキシブルディスク、ハードディスク、磁気テープ、光ディスク、光磁気ディスク、DVD、不揮発性メモリカード等を用いることができる。また、上記プログラムをインターネット等のネットワークを介してコンピュータにダウンロードすることによっても実現できる。
【0039】
また、コンピュータが供給されたプログラムを実行することにより上述の実施形態の機能が実現されるだけでなく、そのプログラムがコンピュータにおいて稼働しているOS(オペレーティングシステム)あるいは他のアプリケーションソフト等と共同して上述の実施形態の機能が実現される場合や、供給されたプログラムの処理の全てあるいは一部がコンピュータの機能拡張ボードや機能拡張ユニットにより行われて上述の実施形態の機能が実現される場合も、かかるプログラムは本実施形態に含まれる。
【0040】
次に、アクセス権管理装置100によるアクセス権付与処理について例を挙げて説明する。図3は、アクセス権管理装置100によるアクセス権付与処理の例を示す図である。図3(a)は、複数の組織10,20,21,32,33,41,42からなる組織階層の構造を示している。図3(a)に示すように、組織10の直属下位には組織20,21が位置している。組織21の直属下位には組織32,33が位置している。組織32の直属下位には組織41,42が位置している。なお、図3(a)の例では、組織20,33,41,42の直属下位に位置する組織は存在しない。
【0041】
図3(b)は、組織情報記憶部120に記憶されている組織情報のうち組織21,32,42,20に関する組織情報を示している。図3(b)の組織情報に示すように、組織21,32,42,20には、ユーザA,B,C,Dがそれぞれ所属する。
【0042】
図3(c)は、オブジェクトαについて、上位、同位および下位という抽象的な概念により表した組織と、当該組織に所属するユーザのオブジェクトαへのアクセス権とを関連付けたアクセス権情報の内容を示している。図3(d)は、アクセス対象のオブジェクトαを所有する組織32を示す所有情報の内容を示している。
【0043】
まず、アクセス要求受付部180が、組織21に所属するユーザAからオブジェクトαに対するアクセス(読み込み)の要求を受け付けた場合について説明する。この場合、組織特定部200は、ユーザAからアクセス要求のあったオブジェクトαを所有している組織32を図3(d)に示す所有情報に基づき特定する。そして、組織特定部200は、オブジェクトαを所有している組織32を基準にして上位に位置する組織10,21、同位に位置する組織32、下位に位置する組織41,42を図3(b)に示す組織情報に基づき特定する。
【0044】
次に、アクセス権付与部220は、アクセス要求を行ったユーザAが属する組織21を図3(b)に示す組織情報に基づき特定する。次に、アクセス権付与部220は、特定した組織21が組織特定部200により特定された上位、同位および下位に位置する組織10,21,32,41,42の何れかに該当するか否かについて判定する。図3の例では、アクセス権付与部220は、アクセス要求を行ったユーザAが属する組織21が、オブジェクトαを所有している組織32を基準にして上位に位置する組織に該当すると判定する。
【0045】
この場合、アクセス権付与部220は、図3(c)に示すアクセス権情報に基づいて、オブジェクトαについて、上位に位置する組織21に所属するユーザがアクセス(読み込み)を許可されているか否かについて判定する。図3の例では、アクセス権付与部220は、アクセスが許可されていない(項目「読み込み」の値に「×」が設定されている)と判定し、ユーザAに対してオブジェクトαへのアクセス権を付与する処理を行わない。
【0046】
次に、アクセス要求受付部180が、組織32に所属するユーザBからオブジェクトαに対するアクセス(書き込み)の要求を受け付けた場合について説明する。この場合、組織特定部200は、ユーザBからアクセス要求のあったオブジェクトαを所有している組織32を図3(d)に示す所有情報に基づき特定する。そして、組織特定部200は、オブジェクトαを所有している組織32を基準にして上位に位置する組織10,21、同位に位置する組織32、下位に位置する組織41,42を図3(b)に示す組織情報に基づき特定する。
【0047】
次に、アクセス権付与部220は、アクセス要求を行ったユーザBが属する組織32を図3(b)に示す組織情報に基づき特定する。次に、アクセス権付与部220は、特定した組織32が組織特定部200により特定された上位、同位および下位に位置する組織10,21,32,41,42の何れかに該当するか否かについて判定する。図3の例では、アクセス権付与部220は、アクセス要求を行ったユーザBが属する組織32が、オブジェクトαを所有している組織32を基準にして同位に位置する組織に該当すると判定する。この場合、アクセス権付与部220は、図3(c)に示すアクセス権情報に基づいて、オブジェクトαについて、同位に位置する組織32に所属するユーザがアクセス(書き込み)を許可されているか否かについて判定する。図3の例では、アクセス権付与部220は、アクセスが許可されている(項目「書き込み」の値に「○」が設定されている)と判定し、ユーザBに対してオブジェクトαに対する書き込みに関するアクセス権を付与する処理を行う。
【0048】
次に、アクセス要求受付部180が、組織42に所属するユーザCからオブジェクトαに対するアクセス(実行)の要求を受け付けた場合について説明する。この場合、組織特定部200は、ユーザCからアクセス要求のあったオブジェクトαを所有している組織32を図3(d)に示す所有情報に基づき特定する。そして、組織特定部200は、オブジェクトαを所有している組織32を基準にして上位に位置する組織10,21、同位に位置する組織32、下位に位置する組織41,42を図3(b)に示す組織情報に基づき特定する。
【0049】
次に、アクセス権付与部220は、アクセス要求を行ったユーザCが属する組織42を図3(b)に示す組織情報に基づき特定する。次に、アクセス権付与部220は、特定した組織42が組織特定部200により特定された上位、同位および下位に位置する組織10,21,32,41,42の何れかに該当するか否かについて判定する。図3の例では、アクセス権付与部220は、アクセス要求を行ったユーザCの属する組織42が、オブジェクトαを所有している組織32を基準にして下位に位置する組織に該当すると判定する。この場合、アクセス権付与部220は、図3(c)に示すアクセス権情報に基づいて、オブジェクトαについて、下位に位置する組織42に所属するユーザがアクセス(実行)を許可されているか否かについて判定する。図3の例では、アクセス権付与部220は、アクセスが許可されている(項目「実行」の値に「○」が設定されている)と判定し、ユーザCに対してオブジェクトαに対する実行に関するアクセス権を付与する処理を行う。
【0050】
最後に、アクセス要求受付部180が、組織20に所属するユーザDからオブジェクトαに対するアクセス(読み込み)の要求を受け付けた場合について説明する。この場合、組織特定部200は、ユーザDからアクセス要求のあったオブジェクトαを所有している組織32を図3(d)に示す所有情報に基づき特定する。そして、組織特定部200は、オブジェクトαを所有している組織32を基準にして上位に位置する組織10,21、同位に位置する組織32、下位に位置する組織41,42を図3(b)に示す組織情報に基づき特定する。
【0051】
次に、アクセス権付与部220は、アクセス要求を行ったユーザDが属する組織20を図3(b)に示す組織情報に基づき特定する。次に、アクセス権付与部220は、特定した組織20が組織特定部200により特定された上位、同位および下位に位置する組織10,21,32,41,42の何れかに該当するか否かについて判定する。図3の例では、アクセス権付与部220は、アクセス要求を行ったユーザDが属する組織21が、オブジェクトαを所有している組織32を基準にして上位、同位および下位に位置する組織の何れにも該当しないと判定する。この場合、アクセス権付与部220は、ユーザDに対して、オブジェクトαに対するアクセス権を付与する処理を行わない。
【0052】
図3を参照しながら説明したように、組織情報、所有情報およびアクセス権情報を定義しておくだけで、オブジェクトαを所有する組織32を基準にして上位、同位および下位に位置する組織21,32,42に所属するユーザA,B,Cに関する当該オブジェクトへのアクセス権が制御される。したがって、ディレクトリサービスを使用せずに、組織全体のアクセス権の管理を容易に行うことができる。
【0053】
次に、組織階層の一部に組織変更が行われた場合におけるアクセス権管理装置100によるアクセス権付与処理について例を挙げて説明する。図4は、組織階層の一部に組織変更が行われた場合におけるアクセス権管理装置100によるアクセス権付与処理の例を示す図である。
【0054】
図4(a)は、複数の組織10,20,21,32,33,41,42からなる組織階層の構造を示している。図4(a)に示すように、組織10の直属下位には組織20,21が位置している。組織21の直属下位には組織32,33が位置している。組織32の直属下位には組織41,42が位置している。なお、図4(a)に示す組織階層の構造は、組織変更前の状態を示しており、組織20,33,41,42の直属下位に位置する組織は存在しない。
【0055】
図4(b)は、組織情報記憶部120に記憶されている組織情報のうち組織21,32,42,20に関するレコードを示している。図4(b)の組織情報に示すように、組織21,32,42,20には、ユーザA,B,C,Dがそれぞれ所属する。
【0056】
図4(c)は、オブジェクトαについて、上位、同位および下位という抽象的な概念により表した組織と、当該組織に所属するユーザのオブジェクトαへのアクセス権とを関連付けた情報であるアクセス権情報の内容を示している。図4(d)は、アクセス対象のオブジェクトαを所有する組織32を示す所有情報の内容を示している。なお、図4(a)〜(d)に示す各情報は図3(a)〜(d)に示す各情報と同じであるため、アクセス権管理装置100によるアクセス権付与処理は図3を参照しながら説明した処理と同じである。
【0057】
図4(e)は、組織階層の一部に組織変更があった場合、複数の組織10,20,21,32,33,41,42からなる組織階層の構造を示している。図4(e)に示すように、組織10の直属下位には組織20,21が位置している。組織20の直属下位には組織32が位置している。組織21の直属下位には組織33が位置している。組織32の直属下位には、組織41,42が位置している。すなわち、組織変更によって、直属下位に組織41,42が位置している組織32は、組織21の直属下位の位置から組織20の直属下位の位置に移動している。
【0058】
図4(f)は、組織情報記憶部120に記憶されている組織情報のうち組織21,32,42,20に関する組織情報を示している。図4(f)に示すように、組織21,32,42,20には、ユーザA,B,C,Dがそれぞれ所属する。なお、組織変更によって、組織21に関する組織情報の「直属下位組織」の値は、「組織32,33」から「組織33」に設定変更されている。また、組織変更によって、組織20に関する組織情報の「直属下位組織」の値は、「−(直属下位に位置する組織はない)」から「組織32」に設定変更されている。また、図4(g)は、図4(c)に示すアクセス権情報と同じ情報である。図4(h)は、図4(d)に示す所有情報と同じ情報である。
【0059】
まず、アクセス要求受付部180が、組織21に所属するユーザAからオブジェクトαに対するアクセス(読み込み)の要求を受け付けた場合について説明する。この場合、組織特定部200は、ユーザAからアクセス要求のあったオブジェクトαを所有している組織32を図4(h)に示す所有情報に基づき特定する。そして、組織特定部200は、オブジェクトαを所有している組織32を基準にして上位に位置する組織10,20、同位に位置する組織32、下位に位置する組織41,42を図4(f)に示す組織情報に基づき特定する。
【0060】
次に、アクセス権付与部220は、アクセス要求を行ったユーザAが属する組織21を図4(f)に示す組織情報に基づき特定する。次に、アクセス権付与部220は、特定した組織21が組織特定部200により特定された上位、同位および下位に位置する組織10,20,32,41,42の何れかに該当するか否かについて判定する。図4の例では、アクセス権付与部220は、アクセス要求を行ったユーザAの属する組織21が、オブジェクトαを所有している組織32を基準にして上位、同位および下位に位置する組織の何れにも該当しないと判定する。この場合、アクセス権付与部220は、ユーザAに対してオブジェクトαに対するアクセス権を付与する処理を行わない。
【0061】
次に、アクセス要求受付部180が、組織32に所属するユーザBからオブジェクトαに対するアクセス(書き込み)の要求を受け付けた場合について説明する。この場合、組織特定部200は、ユーザBからアクセス要求のあったオブジェクトαを所有している組織32を図4(h)に示す所有情報に基づき特定する。そして、組織特定部200は、オブジェクトαを所有している組織32を基準にして上位に位置する組織10,20、同位に位置する組織32、下位に位置する組織41,42を図4(f)に示す組織情報に基づき特定する。
【0062】
次に、アクセス権付与部220は、アクセス要求を行ったユーザBが属する組織32を図4(f)に示す組織情報に基づき特定する。次に、アクセス権付与部220は、特定した組織32が組織特定部200により特定された上位、同位および下位に位置する組織10,20,32,41,42の何れかに該当するか否かについて判定する。図4の例では、アクセス権付与部220は、アクセス要求を行ったユーザBが属する組織32が、オブジェクトαを所有している組織32を基準にして同位に位置する組織に該当すると判定する。この場合、アクセス権付与部220は、図4(g)に示すアクセス権情報に基づいて、オブジェクトαについて、同位に位置する組織32に所属するユーザがアクセス(書き込み)を許可されているか否かについて判定する。図4の例では、アクセス権付与部220は、アクセスが許可されている(項目「書き込み」の値に「○」が設定されている)と判定し、ユーザBに対してオブジェクトαに対する書き込みに関するアクセス権を付与する処理を行う。
【0063】
次に、アクセス要求受付部180が、組織42に所属するユーザCからオブジェクトαに対するアクセス(実行)の要求を受け付けた場合について説明する。この場合、組織特定部200は、ユーザCからアクセス要求のあったオブジェクトαを所有している組織32を図4(h)に示す所有情報に基づき特定する。そして、組織特定部200は、オブジェクトαを所有している組織32を基準にして上位に位置する組織10,20、同位に位置する組織32、下位に位置する組織41,42を図4(f)に示す組織情報に基づき特定する。
【0064】
次に、アクセス権付与部220は、アクセス要求を行ったユーザCが属する組織42を図4(f)に示す組織情報に基づき特定する。次に、アクセス権付与部220は、特定した組織42が組織特定部200により特定された上位、同位および下位に位置する組織10,20,32,41,42の何れかに該当するか否かについて判定する。図4の例では、アクセス権付与部220は、アクセス要求を行ったユーザCが属する組織42が、オブジェクトαを所有している組織32を基準にして下位に位置する組織に該当すると判定する。この場合、アクセス権付与部220は、図4(g)に示すアクセス権情報に基づいて、オブジェクトαについて、下位に位置する組織42に所属するユーザがアクセス(実行)を許可されているか否かについて判定する。図4の例では、アクセス権付与部220は、アクセスが許可されている(項目「実行」の値に「○」が設定されている)と判定し、ユーザCに対してオブジェクトαに対する実行に関するアクセス権を付与する処理を行う。
【0065】
最後に、アクセス要求受付部180が、組織20に所属するユーザDからオブジェクトαに対するアクセス(読み込み)の要求を受け付けた場合について説明する。この場合、組織特定部200は、ユーザDからアクセス要求のあったオブジェクトαを所有している組織32を図4(h)に示す所有情報に基づき特定する。そして、組織特定部200は、オブジェクトαを所有している組織32を基準にして上位に位置する組織10,20、同位に位置する組織32、下位に位置する組織41,42を図4(f)に示す組織情報に基づき特定する。
【0066】
次に、アクセス権付与部220は、アクセス要求を行ったユーザDが属する組織20を図4(f)に示す組織情報に基づき特定する。次に、アクセス権付与部220は、特定した組織20が組織特定部200により特定された上位、同位および下位に位置する組織10,20,32,41,42の何れかに該当するか否かについて判定する。図4の例では、アクセス権付与部220は、アクセス要求を行ったユーザDが属する組織20が、オブジェクトαを所有している組織32を基準にして上位に位置する組織に該当すると判定する。この場合、アクセス権付与部220は、図4(g)に示すアクセス権情報に基づいて、オブジェクトαについて、上位に位置する組織20に所属するユーザがアクセス(読み込み)を許可されているか否かについて判定する。図4の例では、アクセス権付与部220は、アクセスが許可されていない(項目「読み込み」の値に「×」が設定されている)と判定し、ユーザDに対してオブジェクトαに対するアクセス権を付与する処理を行わない。
【0067】
図4を参照しながら説明したように、組織変更でオブジェクトαを所有する組織32の上位に位置する組織に変更があった場合でも、管理者が組織情報を変更するという簡単な処理を行うだけで、組織変更後のオブジェクトαを所有する組織32の上位に位置する組織20や下位に位置する組織42に所属するユーザC,Dに関するオブジェクトαへのアクセス権が自動的に制御される。したがって、組織変更があっても、組織全体のアクセス権の管理を容易に行うことができる。
【0068】
次に、人事異動が行われた場合におけるアクセス権管理装置100によるアクセス権付与処理について例を挙げて説明する。図5は、人事異動が行われた場合におけるアクセス権管理装置100によるアクセス権付与処理の例を示す図である。
【0069】
図5(a)は、複数の組織10,20,21,32,33,41,42からなる組織階層の構造を示している。図5(a)に示すように、組織10の直属下位には組織20,21が位置している。組織21の直属下位には組織32,33が位置している。組織32の直属下位には組織41,42が位置している。なお、図5(a)に示す組織階層の構造では、組織20,33,41,42の直属下位に位置する組織は存在しない。
【0070】
図5(b)は、組織情報記憶部120に記憶されている組織情報のうち組織21,32,42,20に所属するユーザを示す組織情報を示している。図5(b)の組織情報に示すように、組織21,32,42,20には、ユーザA,B,C,Dがそれぞれ所属している。
【0071】
図5(c)は、オブジェクトαについて、上位、同位および下位という抽象的な概念により表した組織と、当該組織に所属するユーザのオブジェクトαへのアクセス権とを関連付けた情報であるアクセス権情報の内容を示している。図5(d)は、アクセス対象のオブジェクトαを所有する組織32を示す所有情報の内容を示している。なお、図5(a)〜(d)に示す各情報は図3(a)〜(d)に示す各情報と同じであるため、アクセス権管理装置100によるアクセス権付与処理は図3を参照しながら説明した処理と同じである。
【0072】
図5(e)は、人事異動が行われた場合、複数の組織10,20,21,32,33,41,42からなる組織階層の構造を示している。図5(e)に示すように、組織10の直属下位には組織20,21が位置している。組織21の直属下位には組織32,33が位置している。組織32の直属下位には組織41,42が位置している。
【0073】
図5(f)は、組織情報記憶部120に記憶されている組織情報のうち組織21,32,42,20に関する組織情報を示している。図5(f)に示すように、組織21には、ユーザAに加えて、人事異動(例えば、昇格)によりユーザBが新たに所属する。すなわち、組織21に関する組織情報の「所属ユーザ」の値は、「ユーザA」から「ユーザA,B」に設定変更されている。組織32には、人事異動により所属するユーザがいなくなっている。すなわち、組織32に関する組織情報の「所属ユーザ」の値は、「ユーザB」から「−(所属するユーザはなし)」に設定変更されている。
【0074】
組織20には、ユーザDが所属する。組織42には、ユーザCに加えて、人事変更(例えば、転職)によりユーザEが新たに所属する。すなわち、組織42に関する組織情報の「所属ユーザ」の値は、「ユーザC」から「ユーザC,E」に設定変更されている。図5(g)は、図5(c)に示すアクセス権情報と同じ情報である。図5(h)は、図5(d)に示す所有情報と同じ情報である。
【0075】
まず、アクセス要求受付部180が、組織21に新たに所属することとなったユーザBからオブジェクトαに対するアクセス(読み込み)の要求を受け付けた場合について説明する。この場合、組織特定部200は、ユーザBからアクセス要求のあったオブジェクトαを所有している組織32を図5(h)に示す所有情報に基づき特定する。そして、組織特定部200は、オブジェクトαを所有している組織32を基準にして上位に位置する組織10,21、同位に位置する組織32、下位に位置する組織41,42を図5(f)に示す組織情報に基づき特定する。
【0076】
次に、アクセス権付与部220は、アクセス要求を行ったユーザBが属する組織21を図5(f)に示す組織情報に基づき特定する。次に、アクセス権付与部220は、特定した組織21が組織特定部200により特定された上位、同位および下位に位置する組織10,21,32,41,42の何れかに該当するか否かについて判定する。図5の例では、アクセス権付与部220は、アクセス要求を行ったユーザBが属する組織21が、オブジェクトαを所有している組織32を基準にして上位に位置する組織に該当すると判定する。この場合、アクセス権付与部220は、図5(g)に示すアクセス権情報に基づいて、オブジェクトαについて、上位に位置する組織21に所属するユーザがアクセス(読み込み)を許可されているか否かについて判定する。図5の例では、アクセス権付与部220は、アクセスが許可されていない(項目「読み込み」の値に「×」が設定されている)と判定し、ユーザBに対してオブジェクトαに対するアクセス権を付与する処理を行わない。
【0077】
次に、アクセス要求受付部180が、組織42に新たに所属することとなったユーザEからオブジェクトαに対するアクセス(実行)の要求を受け付けた場合について説明する。この場合、組織特定部200は、ユーザEからアクセス要求のあったオブジェクトαを所有している組織32を図5(h)に示す所有情報に基づき特定する。そして、組織特定部200は、オブジェクトαを所有している組織32を基準にして上位に位置する組織10,21、同位に位置する組織32、下位に位置する組織41,42を組織情報記憶部120に記憶されている組織情報に基づき特定する。
【0078】
次に、アクセス権付与部220は、アクセス要求を行ったユーザEが属する組織20を図5(f)に示す組織情報に基づき特定する。次に、アクセス権付与部220は、特定した組織20が組織特定部200により特定された上位、同位および下位に位置する組織10,21,32,41,42の何れかに該当するか否かについて判定する。図5の例では、アクセス権付与部220は、アクセス要求を行ったユーザEが属する組織42が、オブジェクトαを所有している組織32を基準にして下位に位置する組織に該当すると判定する。この場合、アクセス権付与部220は、図5(g)に示すアクセス権情報に基づいて、オブジェクトαについて、下位に位置する組織42に所属するユーザがアクセス(実行)を許可されているか否かについて判定する。図5の例では、アクセス権付与部220は、アクセスが許可されている(項目「書き込み」の値に「○」が設定されている)と判定し、ユーザEに対してオブジェクトαに対する実行に関するアクセス権を付与する処理を行う。
【0079】
図5を参照しながら説明したように、人事異動により、オブジェクトαを所有している組織32を基準にして同位に位置する組織32から上位に位置する組織21にユーザBが移動したり、下位に位置する組織42にユーザEの追加が行われた場合でも、管理者が組織情報を変更するという簡単な処理を行うだけで、人事異動後に異動対象のユーザB,Eに関するオブジェクトαへのアクセス権が自動的に制御される。したがって、人事異動があっても、組織全体のアクセス権の管理を容易に行うことができる。
【0080】
次に、オブジェクトを所有している組織の変更が行われた場合におけるアクセス権管理装置100によるアクセス権付与処理について例を挙げて説明する。図6は、オブジェクトを所有している組織の変更が行われた場合におけるアクセス権管理装置100によるアクセス権付与処理の例を示す図である。
【0081】
図6(a)は、複数の組織10,20,21,32,33,41,42からなる組織階層の構造を示している。図6(a)に示すように、組織10の直属下位には組織20,21が位置している。組織21の直属下位には組織32,33が位置している。組織32の直属下位には組織41,42が位置している。なお、図6(a)に示す組織階層の構造では、組織20,33,41,42の直属下位に位置する組織は存在しない。
【0082】
図6(b)は、組織情報記憶部120に記憶されている組織情報のうち組織21,32,42,20に所属するユーザを示す組織情報を示している。図6(b)の組織情報に示すように、組織21,32,42,20には、ユーザA,B,C,Dがそれぞれ所属している。
【0083】
図6(c)は、オブジェクトαについて、上位、同位および下位という抽象的な概念により表した組織と、当該組織に所属するユーザのオブジェクトαへのアクセス権とを関連付けた情報であるアクセス権情報の内容を示している。図6(d)は、アクセス対象のオブジェクトαを所有する組織32を示す所有情報の内容を示している。なお、図6(a)〜(d)に示す各情報は図3(a)〜(d)に示す各情報と同じであるため、アクセス権管理装置100によるアクセス権付与処理は図3を参照しながら説明した処理と同じである。
【0084】
図6(e)は、オブジェクトを所有している組織の変更が行われた場合、複数の組織10,20,21,32,33,41,42からなる組織階層の構造を示している。図6(e)に示すように、組織10の直属下位には組織20,21が位置している。組織21の直属下位には組織32,33が位置している。組織32の直属下位には組織41,42が位置している。
【0085】
図6(f)は、図6(b)に示す組織情報と同じ情報である。図6(g)は、図6(c)に示すアクセス権情報と同じ情報である。図6(h)は、アクセス対象のオブジェクトαを所有する組織32を示す所有情報の内容を示している。図6(h)に示すように、オブジェクトを所有している組織の変更によって、オブジェクトαに関する所有情報の「組織」の値は、「組織32」から「組織20」に設定変更されている。
【0086】
まず、アクセス要求受付部180が、組織21に所属するユーザAからオブジェクトαに対するアクセス(読み込み)の要求を受け付けた場合について説明する。この場合、組織特定部200は、ユーザAからアクセス要求のあったオブジェクトαを所有している組織20を図6(h)に示す所有情報に基づき特定する。そして、組織特定部200は、オブジェクトαを所有している組織20を基準にして上位に位置する組織10および同位に位置する組織20(下位に位置する組織はなし)を図6(f)に示す組織情報に基づき特定する。
【0087】
次に、アクセス権付与部220は、アクセス要求を行ったユーザAが属する組織21を図6(f)に示す組織情報に基づき特定する。次に、アクセス権付与部220は、特定した組織21が組織特定部200により特定された上位および同位に位置する組織10,20の何れかに該当するか否かについて判定する。図6の例では、アクセス権付与部220は、アクセス要求を行ったユーザAが属する組織21が、オブジェクトαを所有している組織20を基準にして上位および同位に位置する組織10,20の何れにも該当しないと判定する。この場合、アクセス権付与部220は、ユーザAに対して、オブジェクトαに対するアクセス権を付与する処理を行わない。
【0088】
次に、アクセス要求受付部180が、組織32に所属するユーザBからオブジェクトαに対するアクセス(書き込み)の要求を受け付けた場合について説明する。この場合、組織特定部200は、ユーザBからアクセス要求のあったオブジェクトαを所有している組織20を図6(h)に示す所有情報に基づき特定する。そして、組織特定部200は、オブジェクトαを所有している組織20を基準にして上位に位置する組織10および同位に位置する組織20(下位に位置する組織はなし)を図6(f)に示す組織情報に基づき特定する。
【0089】
次に、アクセス権付与部220は、アクセス要求を行ったユーザBが属する組織32を図6(f)に示す組織情報に基づき特定する。次に、アクセス権付与部220は、特定した組織32が組織特定部200により特定された上位および同位に位置する組織10,20の何れかに該当するか否かについて判定する。図6の例では、アクセス権付与部220は、アクセス要求を行ったユーザBが属する組織32が、オブジェクトαを所有している組織20を基準にして上位および同位に位置する組織10,20の何れにも該当しないと判定する。この場合、アクセス権付与部220は、ユーザBに対してオブジェクトαに対するアクセス権を付与する処理を行わない。
【0090】
次に、アクセス要求受付部180が、組織42に所属するユーザCからオブジェクトαに対するアクセス(実行)の要求を受け付けた場合について説明する。この場合、組織特定部200は、ユーザCからアクセス要求のあったオブジェクトαを所有している組織20を図6(h)に示す所有情報に基づき特定する。そして、組織特定部200は、オブジェクトαを所有している組織20を基準にして上位に位置する組織10および同位に位置する組織20(下位に位置する組織はなし)を図6(f)に示す組織情報に基づき特定する。
【0091】
次に、アクセス権付与部220は、アクセス要求を行ったユーザCが属する組織42を図6(f)に示す組織情報に基づき特定する。次に、アクセス権付与部220は、特定した組織42が組織特定部200により特定された上位および同位に位置する組織10,20の何れかに該当するか否かについて判定する。図6の例では、アクセス権付与部220は、アクセス要求を行ったユーザCが属する組織42が、オブジェクトαを所有している組織20を基準にして上位および同位に位置する組織10,20の何れにも該当しないと判定する。この場合、アクセス権付与部220は、ユーザCに対してオブジェクトαに対するアクセス権を付与する処理を行わない。
【0092】
最後に、アクセス要求受付部180が、組織20に所属するユーザDからオブジェクトαに対するアクセス(読み込み)の要求を受け付けた場合について説明する。この場合、組織特定部200は、ユーザDからアクセス要求のあったオブジェクトαを所有している組織20を図6(h)に示す所有情報に基づき特定する。そして、組織特定部200は、オブジェクトαを所有している組織20を基準にして上位に位置する組織10および同位に位置する組織20(下位に位置する組織はなし)を図6(f)に示す組織情報に基づき特定する。
【0093】
次に、アクセス権付与部220は、アクセス要求を行ったユーザDが属する組織20を図6(f)に示す組織情報に基づき特定する。次に、アクセス権付与部220は、特定した組織20が組織特定部200により特定された上位および同位に位置する組織10,20の何れかに該当するか否かについて判定する。図6の例では、アクセス権付与部220は、アクセス要求を行ったユーザDが属する組織20が、オブジェクトαを所有している組織20を基準にして同位に位置する組織に該当すると判定する。この場合、アクセス権付与部220は、図6(g)に示すアクセス権情報に基づいて、オブジェクトαについて、同位に位置する組織20に所属するユーザがアクセス(読み込み)を許可されているか否かについて判定する。図6の例では、アクセス権付与部220は、アクセスが許可されている(項目「読み込み」の値に「○」が設定されている)と判定し、ユーザDに対して、オブジェクトαに対する書き込みに関するアクセス権を付与する処理を行う。
【0094】
図6を参照しながら説明したように、オブジェクトαを所有している組織の変更によって、オブジェクトαを所有する組織の上位、同位および下位に位置する組織に変更があった場合でも、管理者が組織情報を変更するという簡単な処理を行うだけで、オブジェクトαを所有している組織の変更後の上位、同位および下位に位置する組織に所属するユーザに関するオブジェクトαへのアクセス権が自動的に制御される。したがって、オブジェクトを所有している組織の変更があっても、組織全体のアクセス権の管理を容易に行うことができる。
【0095】
次に、本実施形態によるアクセス権管理装置100のアクセス権付与に関する動作について説明する。図7は、本実施形態によるアクセス権管理装置100のアクセス権付与に関する動作例を示すフローチャートである。まず、アクセス要求受付部180は、情報端末110の操作部(図示せず)を介して、ユーザが行った任意のオブジェクトに対するアクセス(本実施形態では、読み込み、書き込みおよび実行の何れか)の要求を受け付けたか否かについて判定する(ステップS100)。
【0096】
もし、アクセスの要求を受け付けていないとアクセス要求受付部180にて判定した場合(ステップS100にてNO)、処理はステップS240に遷移する。一方、アクセスの要求を受け付けたとアクセス要求受付部180にて判定した場合(ステップS100にてYES)、アクセス要求受付部180は、アクセス要求されたオブジェクトを示すオブジェクト情報を組織特定部200およびアクセス権付与部220に出力する。また、アクセス要求受付部180は、アクセスの要求を行ったユーザを示すユーザ情報および、当該アクセスの種別(本実施形態では、読み込み、書き込みおよび実行の何れか)を示すアクセス種別情報をアクセス権付与部220に出力する。
【0097】
次に、組織特定部200は、アクセス要求受付部180から出力されたオブジェクト情報により示されるオブジェクトを所有している組織を所有情報記憶部140に記憶されている所有情報に基づき特定する(ステップS120)。次に、組織特定部200は、特定した組織を基準にして上位、同位および下位に位置する具体的な組織を組織情報記憶部120に記憶されている組織情報に基づき特定する(ステップS140)。そして、組織特定部200は、特定した上位、同位および下位に位置する具体的な組織をそれぞれ示す上位・同位・下位組織情報をアクセス権付与部220に出力する。
【0098】
次に、アクセス権付与部220は、アクセス要求受付部180から出力されたユーザ情報により示されるユーザが属する組織を組織情報記憶部120に記憶されている組織情報に基づき特定する(ステップS160)。次に、アクセス権付与部220は、アクセス要求を行ったユーザが属する組織として特定した組織が組織特定部200から出力された上位・同位・下位組織情報により示される上位、同位および下位に位置する具体的組織の何れかに該当するか否かについて判定する(ステップS180)。
【0099】
もし、上位、同位および下位に位置する具体的な組織の何れにも該当しないとアクセス権付与部220にて判定した場合(ステップS180にてNO)、処理はステップS240に遷移する。一方、上位、同位および下位に位置する具体的な組織の何れかに該当するとアクセス権付与部220にて判定した場合(ステップS180にてYES)、アクセス権付与部220は、アクセス権情報記憶部160に記憶されているアクセス権情報に基づいて、アクセス要求受付部180から出力されたオブジェクト情報により示されるオブジェクトについて、上位、同位および下位に位置する具体的な組織の何れかに該当すると判定した組織に所属するユーザがアクセス要求受付部180から出力されたアクセス種別情報により示されるアクセス(読み込み、書き込みおよび実行のいずれか)を許可されているか否かについて判定する(ステップS200)。
【0100】
もし、アクセスが許可されていないとアクセス権付与部220にて判定した場合(ステップS200にてNO)、処理はステップS240に遷移する。一方、アクセスが許可されているとアクセス権付与部220にて判定した場合(ステップS200にてYES)、アクセス権付与部220は、アクセス要求受付部180から出力されたユーザ情報により示されるユーザに対して、アクセス要求受付部180から出力されたオブジェクト情報により示されるオブジェクトに対するアクセス権を付与する処理を行う(ステップS220)。
【0101】
最後に、アクセス権管理装置100は、アクセス権管理装置100に備えられた操作部(図示せず)に対してユーザによる電源オフ操作が行なわれたか否かについて判定する(ステップS240)。もし、電源オフ操作が行なわれていないとアクセス権管理装置100にて判定した場合(ステップS240にてNO)、処理はステップS100に遷移する。一方、電源オフ操作が行なわれたとアクセス権管理装置100にて判定した場合(ステップS240にてYES)、アクセス権管理装置100は図7における処理を終了する。
【0102】
以上詳しく説明したように、本実施形態では、組織情報を記憶する組織情報記憶部120、所有情報を記憶する所有情報記憶部140および、アクセス権情報を記憶するアクセス権情報記憶部160を備えている。そして、情報端末110の操作部を介してユーザからアクセス要求のあったオブジェクトを所有している組織を所有情報に基づき特定するとともに、当該特定した組織を基準にして上位、同位および下位に位置する具体的な組織を組織情報に基づき特定し、アクセス権情報に基づいて、当該特定した具体的な組織に所属するユーザに関するオブジェクトへのアクセス権を制御するようにしている。
【0103】
このように構成した本実施形態によれば、組織情報、所有情報およびアクセス権情報を組織情報記憶部120、所有情報記憶部140およびアクセス権情報記憶部160にそれぞれ定義しておくだけで、オブジェクトを所有する組織を基準にして上位、同位および下位に位置する組織に所属するユーザに関する当該オブジェクトへのアクセス権が制御される。
【0104】
さらに、本実施形態では、アクセス権情報においてアクセス権を付与する対象組織を抽象的な概念(上位、同位および下位)で特定している。これにより、組織変更でオブジェクトを所有する組織の上位または下位に位置する組織に変更が行われたり、人事異動により当該上位または下位の組織に属するユーザの変更が行われた場合でも、管理者が組織情報を変更するという簡単な処理を行うだけで、組織変更後の上位組織や下位組織や、人事異動後のユーザに関するオブジェクトへのアクセス権が自動的に制御される。したがって、ディレクトリサービスを使用せずに、組織変更や人事異動があっても、組織全体のアクセス権の管理を容易に行うことができる。
【0105】
また、本実施形態によれば、オブジェクトを所有している組織の変更が行われたことによって、オブジェクトを所有している組織の上位、同位および下位に位置する組織に変更があった場合でも、管理者が所有情報を変更するという簡単な処理を行うだけで、オブジェクトを所有している組織の変更後の上位組織、同位組織および下位組織に所属するユーザに関するオブジェクトへのアクセス権が自動的に制御される。したがって、オブジェクトを所有している組織の変更があっても、組織全体のアクセス権の管理を容易に行うことができる。
【0106】
なお、上記実施形態では、アクセス権情報においてアクセス権を付与する対象組織を上位、同位および下位という抽象的な概念で特定する例について説明したが、本発明はこれに限定されない。例えば、アクセス権情報においてアクセス権を付与する対象組織を直属上位、同位および直属下位という抽象的な概念で特定するようにしても良い。また、アクセス権情報においてアクセス権を付与する対象組織を上位、直属上位、同位、直属下位および下位という抽象的な概念で特定するようにしても良い。このようにすれば、ユーザに関するオブジェクトへのアクセス権をきめ細かく制御することができるので、より好ましい。
【0107】
ただし、アクセス権情報においてアクセス権を付与する対象組織を上位、直属上位、同位、直属下位および下位という抽象的な概念で特定する場合には、上位および直属上位の両方に位置する組織に該当することが発生する可能性がある。この場合、アクセス権情報において上位に位置する組織に対して設定されたアクセス権をユーザに対して付与するのか、または、直属上位に対して設定されたアクセス権をユーザに対して付与するのか問題となる。この問題に対しては、例えば、アクセス権情報において、上位に位置する組織に対して設定されたアクセス権、直属上位に対して設定されたアクセス権のうち、より上位(または下位)のレコードに設定されたアクセス権をユーザに対して優先的に付与するようにしても良い。
【0108】
また、上記実施形態では、アクセス要求を行ったユーザの属する組織が、オブジェクトを所有している組織を基準にして上位、同位および下位の何れにも該当しない場合、当該ユーザに対してオブジェクトに対するアクセス権を付与する処理を行わない例について説明したが、本発明はこれに限定されない。例えば、アクセス要求を行ったユーザの属する組織が、オブジェクトを所有している組織を基準にして上位、同位および下位の何れにも該当しない場合であっても、あらかじめ設定されたデフォルトのアクセス権(例えば、オブジェクトの読み込みのみ可能)を付与するようにしても良い。
【0109】
また、上記実施形態では、ユーザに関するオブジェクトへのアクセス権の種類として、読み込み、書き込みおよび実行が存在する例について説明したが、本発明はこれに限定されない。例えば、ユーザに関するオブジェクトへのアクセス権の種類として、読み込み、書き込みおよび実行以外に、削除や印刷などが存在しても良い。
【0110】
また、上記実施形態では、ユーザからアクセス要求のあったオブジェクトを所有する組織を特定した後、当該特定した組織を基準にして上位、同位および下位に位置する具体的な組織を特定する例について説明したが、本発明における処理の流れはこれに限定されない。例えば、ユーザからアクセス要求のあったオブジェクトを所有する組織を特定した後、アクセス要求を行ったユーザが属する組織を特定する。そして、当該オブジェクトを所有する組織を基準にして当該ユーザの属する組織が上位、同位および下位のうち何れの位置に該当するかを特定し、当該特定した位置に該当する組織に所属するユーザに対して、アクセス要求のあったオブジェクトへのアクセス権を付与するようにしても良い。
【0111】
また、上記実施形態では、複数の組織を階層構造で管理し、オブジェクトに対するユーザのアクセス権を組織毎に管理する例について説明したが、本発明はこれに限定されない。例えば、組織という概念をなくし、複数のユーザを階層構造で管理し、オブジェクトに対するユーザのアクセス権をユーザ毎に管理するようにしても良い。すなわち、本発明の主体は、組織やユーザグループのように、アクセスを直接要求する一次主体への解決を必要とする二次主体に限らず、アクセスを直接要求するユーザのような一次主体であっても良い。
【0112】
また、アクセス権情報記憶部160に記憶されるアクセス権情報には、上位、同位および下位という抽象的な概念により表した組織と当該組織に所属するユーザのオブジェクトへのアクセス権とを関連付けた情報だけでなく、具体的な組織(例えば、組織10)と当該組織に所属するユーザのオブジェクトへのアクセス権とを関連付けた情報が含まれても良い。
【0113】
その他、上記実施形態は、何れも本発明を実施するにあたっての具体化の一例を示したものに過ぎず、これらによって本発明の技術的範囲が限定的に解釈されてはならないものである。すなわち、本発明はその精神、またはその主要な特徴から逸脱することなく、様々な形で実施することができる。
【符号の説明】
【0114】
10,20,21,32,33,41,42 組織
A,B,C,D,E ユーザ
α,β オブジェクト
50 アクセス権管理システム
100 アクセス権管理装置
110 情報端末
120 組織情報記憶部
140 所有情報記憶部
160 アクセス権情報記憶部
180 アクセス要求受付部
200 組織特定部
220 アクセス権付与部
【特許請求の範囲】
【請求項1】
オブジェクトにアクセスする複数の主体からなる階層構造に関する階層構造情報を記憶する階層構造情報記憶部と、
アクセス対象のオブジェクトを所有する主体を示す所有情報を記憶する所有情報記憶部と、
上位、同位および下位という抽象的な概念により表した主体と、当該主体の前記オブジェクトへのアクセス権とを関連付けた情報であるアクセス権情報を記憶するアクセス権情報記憶部と、
アクセス要求のあったオブジェクトを所有している主体を前記所有情報に基づき特定する第1主体特定部と、
前記アクセス要求を行った主体を前記階層構造情報に基づき特定する第2主体特定部と、
前記第1主体特定部により特定された主体を基準にして、前記第2主体特定部により特定された主体が上位、同位および下位のうち何れの位置に該当するかを特定する位置特定部と、
前記アクセス権情報に基づいて、前記アクセス要求を行った主体に対して、前記位置特定部により特定された位置に対応するアクセス権を付与するように制御するアクセス権付与部とを備えたことを特徴とするアクセス権管理装置。
【請求項2】
アクセス対象のオブジェクトを所有する主体を示す所有情報に基づいて、アクセス要求のあったオブジェクトを所有する主体を特定する第1主体特定手段、
オブジェクトにアクセスする複数の主体からなる階層構造に関する階層構造情報に基づいて、前記アクセス要求を行った主体を特定する第2主体特定手段、
前記第1主体特定手段により特定された主体を基準にして、前記第2主体特定手段により特定された主体が上位、同位および下位のうち何れの位置に該当するかを特定する位置特定手段、および
上位、同位および下位という抽象的な概念により表した主体と当該主体の前記オブジェクトへのアクセス権とを関連付けた情報であるアクセス権情報に基づいて、前記アクセス要求を行った主体に対して、前記位置特定手段により特定された位置に対応するアクセス権を付与するように制御するアクセス権付与手段として機能させるためのコンピュータ読み取り可能なアクセス権管理プログラム。
【請求項1】
オブジェクトにアクセスする複数の主体からなる階層構造に関する階層構造情報を記憶する階層構造情報記憶部と、
アクセス対象のオブジェクトを所有する主体を示す所有情報を記憶する所有情報記憶部と、
上位、同位および下位という抽象的な概念により表した主体と、当該主体の前記オブジェクトへのアクセス権とを関連付けた情報であるアクセス権情報を記憶するアクセス権情報記憶部と、
アクセス要求のあったオブジェクトを所有している主体を前記所有情報に基づき特定する第1主体特定部と、
前記アクセス要求を行った主体を前記階層構造情報に基づき特定する第2主体特定部と、
前記第1主体特定部により特定された主体を基準にして、前記第2主体特定部により特定された主体が上位、同位および下位のうち何れの位置に該当するかを特定する位置特定部と、
前記アクセス権情報に基づいて、前記アクセス要求を行った主体に対して、前記位置特定部により特定された位置に対応するアクセス権を付与するように制御するアクセス権付与部とを備えたことを特徴とするアクセス権管理装置。
【請求項2】
アクセス対象のオブジェクトを所有する主体を示す所有情報に基づいて、アクセス要求のあったオブジェクトを所有する主体を特定する第1主体特定手段、
オブジェクトにアクセスする複数の主体からなる階層構造に関する階層構造情報に基づいて、前記アクセス要求を行った主体を特定する第2主体特定手段、
前記第1主体特定手段により特定された主体を基準にして、前記第2主体特定手段により特定された主体が上位、同位および下位のうち何れの位置に該当するかを特定する位置特定手段、および
上位、同位および下位という抽象的な概念により表した主体と当該主体の前記オブジェクトへのアクセス権とを関連付けた情報であるアクセス権情報に基づいて、前記アクセス要求を行った主体に対して、前記位置特定手段により特定された位置に対応するアクセス権を付与するように制御するアクセス権付与手段として機能させるためのコンピュータ読み取り可能なアクセス権管理プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2011−76569(P2011−76569A)
【公開日】平成23年4月14日(2011.4.14)
【国際特許分類】
【出願番号】特願2009−230393(P2009−230393)
【出願日】平成21年10月2日(2009.10.2)
【出願人】(502220160)アリエル・ネットワーク株式会社 (3)
【Fターム(参考)】
【公開日】平成23年4月14日(2011.4.14)
【国際特許分類】
【出願日】平成21年10月2日(2009.10.2)
【出願人】(502220160)アリエル・ネットワーク株式会社 (3)
【Fターム(参考)】
[ Back to top ]