セキュリティポリシー管理システム及びセキュリティリスク管理装置を備えたセキュリティポリシー管理システム
【課題】各認証システムのACLの設定、セキュリティポリシーの変更、不正アクセスの分析などの作業を共通したインターフェイスで行えるようする。
【解決手段】認証システム2a〜2eのセキュリティポリシーの新規追加/変更/削除がある場合、部署別ポリシー設定部11の表示部11a上にて該当する認証システムのアクセス制御設定を行う。ポリシーマスタ生成部12はアクセス制御の設定状態に基づいてセキュリティポリシーの更新を行い、更新されたセキュリティポリシーに基づいて認証システム別変換ルールDB17の変換ルールに従って各管理システム2a〜2eのACLに変換し、当該ACLを各認証システム2a〜2eに自動配布する。セキュリティリスク管理装置20は、管理システム2a〜2eから出力されるログをリスク分析ルールに従って判定し、セキュリティポリシー違反判断条件にマッチするログがあると、セキュリティリスク表示部22aに警告表示する。
【解決手段】認証システム2a〜2eのセキュリティポリシーの新規追加/変更/削除がある場合、部署別ポリシー設定部11の表示部11a上にて該当する認証システムのアクセス制御設定を行う。ポリシーマスタ生成部12はアクセス制御の設定状態に基づいてセキュリティポリシーの更新を行い、更新されたセキュリティポリシーに基づいて認証システム別変換ルールDB17の変換ルールに従って各管理システム2a〜2eのACLに変換し、当該ACLを各認証システム2a〜2eに自動配布する。セキュリティリスク管理装置20は、管理システム2a〜2eから出力されるログをリスク分析ルールに従って判定し、セキュリティポリシー違反判断条件にマッチするログがあると、セキュリティリスク表示部22aに警告表示する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、各種認証システムとネットワークを介して接続され、該認証システムの認証対象機器に対するアクセス制御リストの設定や認証システムの追加、削除、変更に伴うアクセス制御リストの更新を一元的に管理するセキュリティポリシー管理システム及びセキュリティリスク管理装置を備えたセキュリティポリシー管理システムに関する。
【背景技術】
【0002】
近年、オフィスの業務では、業務の効率化を図るため、パソコン(PC)やプリンタなどの情報システムが共有化され、ネットワークを介して必要な情報に簡単にアクセスすることが可能であるから、機密情報など重要な情報を含むファイルの漏洩や改ざんを防ぐために、アクセス制御などのポリシーを定めて管理するセキュリティポリシー管理が非常に重要となってきており、例えば、特許文献1には、コンピュータシステムにおけるファイルやアプリケーションやサービス等などに対して個別のアクセス権限のレベルを設定し、その設定されたルール(規則)に従ってアクセス制御リスト(以下、ACL:Access Control List)を作成し、アクセス時において、ACLと照らし合わせてチェックすることにより、アクセスを許可するか拒否するかを判断する管理システムが提案されている。また、重要な機密情報や機密書類あるいは資産を収納するセキュリティエリアに立ち入る際の扉やキャビネットや収納庫の扉あるいはデスクの引出等を施錠・開錠する鍵を電子化し、ICカード認証や生体認証等によりアクセス制御する技術として特許文献2には、複数台の机、キャビネット等の引出、扉の施錠管理を施錠管理者の権限に応じて制御するシステムが開示されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2005−182478号公報
【特許文献2】特開平7−238723号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
特許文献1はパソコン(PC)やプリンタなどの情報システムのアクセス制御に関し、他方特許文献2はキャビネット、机の扉、引出等に対して施錠/解錠するアクセス制御に関するものであるがオフィスなどの環境下では、これらパソコン(PC)やプリンタなどの情報システムや施錠/解錠に関するアクセス制御をそれぞれ個別に管理するのではなく、一元的に管理することが組織全体として一貫したセキュリティを確保する上で望ましい。すなわち、オフィスなどの環境下ではアクセス者の地位(例えば、「一般社員」「課長」「部長」「幹部」など)によってもセキュリティレベルが設定され、パソコン(PC)やプリンタや施錠/解錠の管理をそれぞれ個別に管理したのではシステムが複雑となり、システム開発や運用コストがかかってしまう。さらに、パソコン(PC)やプリンタ、施錠/解錠のアクセス管理をそれぞれ個別の認証システムで管理する場合、各認証システム毎にACLを設定する必要があるとともに、例えば、ある部署でセキュリティポリシーを変更する場合、各認証システム毎に変更する必要があるため、非効率的である。また、セキュリティ対策として各認証システムにおいて不正アクセスの分析や不正アクセスの際のセキュリティリスクの表示なども各認証システム毎に行う場合、組織全体として一貫したリスク管理も難しく、これらの各認証システム毎のACLの設定、セキュリティポリシーの変更あるいは不正アクセスの分析やセキュリティリスクの表示などは共通したインターフェイスで行えるのが望ましい。
【0005】
本発明は上記課題を鑑みてなされたものであり、システム全体に一貫したセキュリティポリシーを共有させてポリシー変更などに伴うアクセス制御の変更を簡単かつ迅速に対応できるとともに、各認証システムのACLの設定、セキュリティポリシーの変更、不正アクセスの分析などの作業を共通したインターフェイスで行え、かつ、不正アクセスの分析によるセキュリティリスクを共通したインターフェイスに表示することができるセキュリティリスク管理装置を備えたセキュリティポリシー管理システムを提供することを目的とする。
【課題を解決するための手段】
【0006】
請求項1のセキュリティポリシー管理システムは、対象機器又はシステムをそれぞれ個別にアクセス制御する各種の認証システムと、この各認証システムとネットワークを介して接続され、該認証システムの認証対象機器に対するアクセス制御の設定や認証システムの追加、削除、変更に伴うアクセス制御リストの更新を一元的に管理するセキュリティポリシー管理システムであって、前記セキュリティポリシー管理システムは、オフィスの部署毎に個別に決められたセキュリティポリシーに従って前記認証システムそれぞれのアクセス制御を設定する部署別ポリシー設定部と、この部署別ポリシー設定部で設定した値に基づいたセキュリティポリシーを生成するポリシーマスタ生成部と、該ポリシーマスタ生成部にて生成されたセキュリティポリシーを登録するポリシーマスタDB(データベース)と、該ポリシーマスタDBに登録されたセキュリティポリシーを、前記認証システムに合致したアクセス制御リストに変換するためのルールを格納する認証システム別変換ルールDB(データベース)と、前記ポリシーマスタDBに登録されたセキュリティポリシーを、前記認証システム別変換ルールDBに登録された変換ルールに従って変換することで得られるアクセス制御リストを前記各認証システムに送付するポリシー自動配布部とを備え、前記部署別ポリシー設定部は、各部署毎の設定パラメータ情報を格納する設定パラメータDB(データベース)と、この設定パラメータDBに格納される前記各部署の設定パラメータ毎にセキュリティポリシーを設定するための表示部を備え、この表示部で各部署別のセキュリティポリシーを設定すると、前記ポリシーマスタ生成部は、前記表示部で設定したセキュリティポリシーに従って前記ポリシーマスタDBを更新し、前記ポリシー自動配布部は、更新したセキュリティポリシーを認証システム別変換ルールDBに登録された変換ルールに従って各認証システム独自の命令であるアクセス制御リストに変換し、当該アクセス制御リストを前記各認証システムに配布するように構成したことを特徴とする。
【0007】
請求項1の構成によれば、設定パラメータDBには認証システム毎の設定パラメータとして各認証システムの認証対象(サーバ、PC、プリンタ、可搬媒体、ドアなど)やその認証対象に対してアクセスを許可するか拒否するかの判定情報が格納される。部署別ポリシー設定部の表示部には設定パラメータDBに格納される情報に基づいて部署(例えば、総務部、経理部、営業部、開発部、事業部など)毎に各認証システムと各認証システムが制御する認証対象が表示されるとともに、各認証対象に対してアクセスを許可するか拒否するかを設定するチェック項目が表示される。このチェック項目にて各部署毎に各認証対象に対するアクセスの許可又は拒否を設定すると、これらのアクセスの許可又は拒否の設定が各部署別のセキュリティポリシーとしてポリシーマスタ生成部によってポリシーマスタDBに反映され、該セキュリティポリシーは認証システム別変換ルールDBに登録される変換ルールに従ってポリシー自動配布部によりアクセス制御リストに変換され、この変換されたアクセス制御リストが同じくポリシー自動配布部から各認証システムに配布される。
【0008】
請求項2のセキュリティリスク管理装置を備えたセキュリティポリシー管理システムは、請求項1記載のセキュリティポリシー管理システムにおいて、前記各認証システムから送られるログを監視し、そのログを分析してセキュリティリスクを管理するセキュリティリスク管理装置を備え、このセキュリティリスク管理装置は、前記各認証システムから送られるログを自動収集するログ収集部と、このログ収集部で収集した前記各認証システムのログを分析してポリシー違反を判定するセキュリティリスク分析部を備えるとともに、このセキュリティリスク分析部による分析結果を表示する表示部を備えたことを特徴とする。
【0009】
請求項2の構成によれば、ログ収集部は、各認証システムから出力されるログを収集し、収集したログをセキュリティリスク分析部で分析し、ポリシー違反が無いか否かを判定し、その分析結果を表示部に表示する。
【0010】
請求項3の前記セキュリティリスク分析部は、前記ログ収集部で収集した前記各認証システムのログの相関関係に従ってポリシー違反か否かを判定する際のルールを格納するリスク分析ルールDB(データベース)を備え、そのリスク分析ルールDBに格納した判定ルールに従ってポリシー違反と判定された際、前記表示部に警告表示することを特徴とする。
【0011】
請求項3の構成によれば、リスク分析ルールDBに格納した判定ルールに従ってポリシー違反の判断条件にマッチするログがあると、表示部に警告表示する。
【発明の効果】
【0012】
本発明によれば、オフィスにおける各種認証システム及びそれら各認証システムの認証対象機器に対するアクセス制御リストの設定や認証システムの追加、削除、変更に伴うアクセス制御リストの更新を部署別ポリシー設定部によって一元的に管理することができるとともに、これら各認証システムのセキュリティポリシーの設定やセキュリティポリシーの変更を部署別ポリシー設定部により一元的に処理できる。さらに、各認証システムから出力されるログを分析し、セキュリティリスク管理装置の表示部にリスク発生状況の一覧を表示することによって、ログの分析結果としてセキュリティポリシー違反があると、表示部に警告表示されるのでセキュリティポリシー違反を早期に発見することができ、セキュリティの安全性も向上することができる。
【図面の簡単な説明】
【0013】
【図1】本発明の一実施例におけるシステム構成図である。
【図2】同上、認証システムの追加、削除、変更に伴う処理手順を示すフローチャートである。
【図3】同上、セキュリティポリシーの設定から更新したACLを各認証システムへ配布するまでの処理を示すフローチャートである。
【図4】同上、セキュリティリスクの分析処理を示すフローチャートである。
【図5】同上、部署別ポリシー設定部の設定管理画面を示す説明図である。
【図6】同上、セキュリティリスクの発生状況を一覧表示した表示画面を示す説明図である。
【図7】同上、設定パラメータDBのデータの一例を示す説明図である。
【図8】同上、ポリシーマスタDBのデータの一例を示す説明図である。
【図9】同上、認証システム別変換ルールDBデータの一例を示す説明図である。
【図10】同上、リスク分析ルールDBデータの一例を示す説明図である。
【発明を実施するための形態】
【0014】
以下、本発明を実施するための最良の形態としての実施例を図1から図10を参照して説明する。もちろん、本発明は、その発明の趣旨に反さない範囲で、実施例において説明した以外のものに対しても容易に適用可能なことは説明を要するまでもない。
【0015】
以下、本実施例におけるセキュリティポリシー管理システムの構成について、添付図面を参照して説明する。図1に示すようにオフィスにおけるアクセス対象機器、例えばファイルサーバ1a、パソコン(PC)1b、プリンタ1c、可搬媒体を収納するキャビネット1d、オフィスの各部署などに出入りするためのドア1eといった機器やシステム毎に認証システムとしてのサーバ管理システム2a、クライアント管理システム2b、印刷管理システム2c、持出管理システム2d、入退室管理システム2eがそれぞれ接続され、その各管理システム2a〜2eがセキュリティポリシー管理/配布装置10によって一元的に管理されている。さらに、各管理システム2a〜2eから出力されるログはネットワークを介してセキュリティリスク管理装置20に出力される。
【0016】
前記セキュリティポリシー管理/配布装置10は、部署別ポリシー設定部11と、管理システム2a〜2eにアクセスする際のセキュリティポリシーを生成するポリシーマスタ生成部12と、ポリシーマスタ生成部12で生成したセキュリティポリシーを後述の変換ルールに従ってアクセス制御ルールとなるACL(アクセス制御リスト)に変換し、ACLを各管理システム2a〜2eに配布するポリシー自動配布部13と、各種の設定パラメータを格納する設定パラメータDB(データベース)15と、前記ポリシーマスタ生成部12で生成したセキュリティポリシーを格納するポリシーマスタDB16と、各認証システム別のACLに変換するためのルールを格納する認証システム別変換ルールDB17とを備えている。
【0017】
前記設定パラメータDB15には、認証システム毎の設定パラメータテーブル100が格納されており、例えば、図7に示すように、各認証システム(サーバ管理システム、クライアント管理システム、印刷管理システム、持出管理システム、入退室管理システム)毎に、当該認証システムを制御するアプリケーションと、制御する認証対象(サーバ、PC、プリンタ、可搬媒体、ドアなど)と、当該認証対象に対してアクセスを許可するか拒否するかの判定情報が格納され、デフォルトでは、全てアクセス拒否に設定されている。これらの情報が前記部署別ポリシー設定部11の表示部11aに表示される。すなわち、前記表示部11aには設定管理画面aが表示され、その設定管理画面aは、前記設定パラメータテーブル100を参照して例えば、図5に示すように、部署(総務部、経理部、営業部、開発部、事業部など)毎に各認証システム(サーバ管理システム、クライアント管理システム、印刷管理システム、持出管理システム、入退室管理システム)と各認証システムが制御する認証対象(サーバ、PC、プリンタ、可搬媒体、ドアなど)及び各認証対象に対してアクセスを許可するか拒否するかを設定するチェック項目が表示される。このチェック項目をチェックして各部署毎に各認証対象のアクセスを許可又は拒否と設定することにより、各部署別のポリシーとして反映される。この各部署別のポリシーはポリシーマスタ生成部12によりポリシーマスタDB16のポリシーマスタテーブル110に格納される。このポリシーマスタテーブル110は、例えば図8に示すように部署(総務部、経理部、営業部、開発部、事業部など)毎に各認証システムの認証対象(サーバ、PC、プリンタ、可搬媒体、ドアなど)と、当該認証対象に対してアクセスを許可するか拒否するかの判定情報が格納される。
【0018】
認証システム別変換ルールDB17には例えば、図9に示すように、認証システム毎の変換ルールテーブル120が格納されており、各認証システム(サーバ管理システム、クライアント管理システム、印刷管理システム、持出管理システム、入退室管理システム)毎に、当該認証システムを制御するアプリケーションと、制御する認証対象(サーバ、PC、プリンタ、可搬媒体、ドアなど)と、変換ルール(当該認証システムのアクセス制御を管理するDBに対して、「ドア1」のアクセス許可フラグを変更するためのSQL文を実行など)と、変換先、接続情報が格納され、この変換ルールテーブル120に格納される情報に基づいてポリシーマスタDB16の情報を各認証システム(サーバ管理システム、クライアント管理システム、印刷管理システム、持出管理システム、入退室管理システム)毎のACLとしてポリシー自動配布部13によって変換し、このACLを各管理システム2a〜2eへ配布し、各管理システム2a〜2eはACLのアクセス制御ルールに従ってアクセスを制御する。
【0019】
前記セキュリティリスク管理装置20は、管理システム2a〜2eから出力されるログを収集するログ収集部21と、このログ収集部21で収集したログを分析するセキュリティリスク分析部22とを備え、ログ収集部21で収集したログをログ保管DB23に記憶する。また、セキュリティリスク分析部22は、ログ保管DB23に格納されるログを分析してセキュリティポリシー違反が無いか否かを判定するためのルールを格納するリスク分析ルールDB24を備えている。
【0020】
前記リスク分析ルールDB24には図10に示すように、分析ルールテーブル130が格納されており、具体的にはリスク分類(情報漏洩、コンプライアンス、システム障害など)毎にリスクの重要度(中、高など)を示す情報と、リスクの分析ルール(入室記録がないユーザがPCにログイン、ブルートフォース攻撃後にPCにログインなど)と、リスクの重要度に対応するアクション情報が格納され、前記各管理システム2a〜2eから出力されるログをセキュリティリスク分析部22で分析し、リスク分析ルールDB24に格納される分析ルールに従ってセキュリティリスク発生状況の一覧をセキュリティリスク管理装置20の表示部22aに表示する。この表示部22aの表示画面bには図6に示すように、各認証システム(サーバ管理システム、クライアント管理システム、印刷管理システム、持出管理システム、入退室管理システム)毎にリスクの発生有無と発生したリスクの重要度を表示する認証システム別リスク表示部b1と、リスクの分類(情報漏洩リスク、コンプライアンス、システム障害)毎にリスクの発生有無と発生したリスクの重要度を表示するリスク分類別リスク表示部b2などを備え、セキュリティリスクが発生した際、認証システム別リスク表示部b1およびリスク分類別リスク表示部b2を点灯させることによりリスクが発生した認証システムおよび発生したリスクの種類が特定され、かつ、前記各リスク表示部b1、b2に点灯する発光表示色(青、黄、赤など)によってリスクの重要度が表示されるようになっている。
【0021】
次にセキュリティポリシー管理/配布装置10における一連の処理手順について図2〜図4のフローチャートを参照して説明する。まず、図2に示すように、アクセス制御する認証システムに新規追加/変更/削除があると(ステップS1)、システム管理者は、設定パラメータDB15と認証システム別変換ルールDB17に当該認証システムの新規追加/変更/削除を登録する(ステップS2)。
【0022】
図3は認証システムのセキュリティポリシーの設定から各認証システム2a〜2eへACLを配布するまでの処理を示しており、同図で示すように、まず、部署別ポリシーの設定作業は、部署別ポリシー設定部11の表示部11aに表示される設定管理画面aで行う。すなわち、表示部11aの設定管理画面aには、図1及び図5に示すように、システム管理者が登録した設定パラメータテーブル100を参照して部署(総務部、経理部、営業部、開発部、事業部など)毎に各認証システム(サーバ管理システム、クライアント管理システム、印刷管理システム、持出管理システム、入退室管理システム)と各認証システムが制御する認証対象(サーバ、PC、プリンタ、可搬媒体、ドアなど)及び各認証対象に対してアクセスを許可するか拒否するかのアクセス制御を設定するチェック項目と現在の設定状態が表示され(ステップS11)、設定管理画面a上にて該当する部署の認証システムに関し、アクセスを許可か拒否かの設定を行う(ステップS12)。ポリシーマスタ生成部12はアクセス制御の更新状態をチェックし(ステップS13)、アクセス制御の設定が更新されると(ステップS13にてYes)、更新された情報に基づいてポリシーマスタDB16のポリシーマスタテーブル110に更新されたセキュリティポリシーが登録される(ステップS14)。また、ポリシー自動配布部13はポリシーマスタテーブル110に登録されているセキュリティポリシーに変更があると、認証システム別変換ルールDB17に格納されるルールに従ってACLに変換し、各管理システム2a〜2eへACLを配布する(ステップS15)。
【0023】
図4はセキュリティリスクの分析処理を示しており、同図に示すように、前記セキュリティリスク管理装置20のログ収集部21は、定期的に各管理システム2a〜2eから出力されるログを収集し、ログ保管DB23に記憶する(ステップS21)。セキュリティリスク分析部22は、リスク分析ルールDB24に格納したリスク分析ルールに従って、ログ保管DB23に格納されるログを分析し、セキュリティポリシー違反が無いか否かを判定する。(ステップS22)ログ分析ルールのセキュリティポリシー違反判断条件にマッチするログがあると(ステップS23にてYes)、セキュリティリスク管理装置20の表示部22aに表示する(ステップS24)。すなわち、図6に示すように、セキュリティリスク管理装置20の表示部22aには、リスク発生状況の一覧が表示され、ログの分析結果としてセキュリティポリシー違反、(例えば、入出記録がないユーザがPCにログインなど)があると、リスク分析ルールに従って青、黄、赤などリスクの重要度に応じて表示部b2の表示色を変更する。これにより、システム管理者は、リスク発生状況がセキュリティリスク管理装置20の表示部22a上で確認できる(ステップS25)。
【0024】
このように、本実施例においては、オフィス内におけるサーバ1a、パソコン(PC)1b、プリンタ1c、可搬媒体を収納するキャビネット1d、オフィスの各部署などに出入りするためのドア1eといった対象機器及び各認証システム2a〜2eの追加、削除、変更に伴うセキュリティポリシーの更新をセキュリティポリシー管理/配布装置10によって一元的に管理することができるとともに、これら各管理装置2a〜2eのアクセス制御の更新を部署別ポリシー設定部11(共通インターフェイス)で簡単かつ迅速に設定することができる。また、部署別ポリシー設定部11によりアクセス制御の設定が更新されると、ポリシーマスタ生成部12により、ポリシーマスタDB16の該当するセキュリティポリシーの値を自動更新し、各認証システム2a〜2eに更新したセキュリティポリシーを変換ルールに従って変換したACLを送信することが可能である。これにより、各管理システム2a〜2e毎にACLの更新を設定する必要はなく、一括処理することが可能であり、セキュリティを管理するシステム管理者の利便性も向上する。また、既存の各種の認証システムにも簡単に適用可能であるから、新たにアクセス制御システムを構築することなく、コストの削減が可能である。さらに、各認証システム2a〜2eから出力されるログを分析し、セキュリティリスク管理装置20の表示部22aにリスク発生状況の一覧を表示することによって、セキュリティポリシー違反の有無を視覚的に確認することができ、かつ、ログの分析結果としてセキュリティポリシー違反があると、リスクの重要度に応じた警告表示が成されるのでセキュリティポリシー違反を早期に発見することができ、セキュリティの安全性も向上させることができる。
【0025】
以上、本発明の一実施例について詳述したが、本発明は前記実施例に限定されるものではなく、本発明の要旨の範囲内で種々の変形実施が可能である。例えば、各認証システムとしてファイルサーバ管理システム2a、クライアント管理システム2b、印刷管理システム2c、持出管理システム2b、入退室管理システム2eを例示したが、これに限らず各種の認証システムに適用可能である。また、ポリシー違反の際の警報手段なども前記実施例の表示手段に限らず、例えば警報音での警告することも可能である。また、図6で示すようにセキュリティリスク管理装置20の表示部22aでは、例えば情報漏えいが発生したとき、警告表示部分b3をタッチすると詳細画面b4を表示するようにして、情報漏えいが発生した経過等を可視化するように構成することも可能である。
【符号の説明】
【0026】
1a〜1e アクセス対象機器
2a〜2e 管理システム(認証システム)
10 セキュリティポリシー管理/配布装置
11 部署別ポリシー設定部
11a 部署別ポリシー表示部
12 ポリシーマスタ生成部
13 ポリシー自動配布部
15 設定パラメータDB
16 ポリシーマスタDB
17 認証システム別変換ルールDB
20 セキュリティリスク管理装置
21 ログ収集部
22 セキュリティリスク分析部
22a セキュリティリスク表示部
23 ログ保管DB
24 リスク分析ルールDB
100 認証システム毎の設定パラメータテーブル
110 ポリシーマスタテーブル
120 認証システム毎の変換ルールテーブル
130 リスク分析ルールテーブル
【技術分野】
【0001】
本発明は、各種認証システムとネットワークを介して接続され、該認証システムの認証対象機器に対するアクセス制御リストの設定や認証システムの追加、削除、変更に伴うアクセス制御リストの更新を一元的に管理するセキュリティポリシー管理システム及びセキュリティリスク管理装置を備えたセキュリティポリシー管理システムに関する。
【背景技術】
【0002】
近年、オフィスの業務では、業務の効率化を図るため、パソコン(PC)やプリンタなどの情報システムが共有化され、ネットワークを介して必要な情報に簡単にアクセスすることが可能であるから、機密情報など重要な情報を含むファイルの漏洩や改ざんを防ぐために、アクセス制御などのポリシーを定めて管理するセキュリティポリシー管理が非常に重要となってきており、例えば、特許文献1には、コンピュータシステムにおけるファイルやアプリケーションやサービス等などに対して個別のアクセス権限のレベルを設定し、その設定されたルール(規則)に従ってアクセス制御リスト(以下、ACL:Access Control List)を作成し、アクセス時において、ACLと照らし合わせてチェックすることにより、アクセスを許可するか拒否するかを判断する管理システムが提案されている。また、重要な機密情報や機密書類あるいは資産を収納するセキュリティエリアに立ち入る際の扉やキャビネットや収納庫の扉あるいはデスクの引出等を施錠・開錠する鍵を電子化し、ICカード認証や生体認証等によりアクセス制御する技術として特許文献2には、複数台の机、キャビネット等の引出、扉の施錠管理を施錠管理者の権限に応じて制御するシステムが開示されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2005−182478号公報
【特許文献2】特開平7−238723号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
特許文献1はパソコン(PC)やプリンタなどの情報システムのアクセス制御に関し、他方特許文献2はキャビネット、机の扉、引出等に対して施錠/解錠するアクセス制御に関するものであるがオフィスなどの環境下では、これらパソコン(PC)やプリンタなどの情報システムや施錠/解錠に関するアクセス制御をそれぞれ個別に管理するのではなく、一元的に管理することが組織全体として一貫したセキュリティを確保する上で望ましい。すなわち、オフィスなどの環境下ではアクセス者の地位(例えば、「一般社員」「課長」「部長」「幹部」など)によってもセキュリティレベルが設定され、パソコン(PC)やプリンタや施錠/解錠の管理をそれぞれ個別に管理したのではシステムが複雑となり、システム開発や運用コストがかかってしまう。さらに、パソコン(PC)やプリンタ、施錠/解錠のアクセス管理をそれぞれ個別の認証システムで管理する場合、各認証システム毎にACLを設定する必要があるとともに、例えば、ある部署でセキュリティポリシーを変更する場合、各認証システム毎に変更する必要があるため、非効率的である。また、セキュリティ対策として各認証システムにおいて不正アクセスの分析や不正アクセスの際のセキュリティリスクの表示なども各認証システム毎に行う場合、組織全体として一貫したリスク管理も難しく、これらの各認証システム毎のACLの設定、セキュリティポリシーの変更あるいは不正アクセスの分析やセキュリティリスクの表示などは共通したインターフェイスで行えるのが望ましい。
【0005】
本発明は上記課題を鑑みてなされたものであり、システム全体に一貫したセキュリティポリシーを共有させてポリシー変更などに伴うアクセス制御の変更を簡単かつ迅速に対応できるとともに、各認証システムのACLの設定、セキュリティポリシーの変更、不正アクセスの分析などの作業を共通したインターフェイスで行え、かつ、不正アクセスの分析によるセキュリティリスクを共通したインターフェイスに表示することができるセキュリティリスク管理装置を備えたセキュリティポリシー管理システムを提供することを目的とする。
【課題を解決するための手段】
【0006】
請求項1のセキュリティポリシー管理システムは、対象機器又はシステムをそれぞれ個別にアクセス制御する各種の認証システムと、この各認証システムとネットワークを介して接続され、該認証システムの認証対象機器に対するアクセス制御の設定や認証システムの追加、削除、変更に伴うアクセス制御リストの更新を一元的に管理するセキュリティポリシー管理システムであって、前記セキュリティポリシー管理システムは、オフィスの部署毎に個別に決められたセキュリティポリシーに従って前記認証システムそれぞれのアクセス制御を設定する部署別ポリシー設定部と、この部署別ポリシー設定部で設定した値に基づいたセキュリティポリシーを生成するポリシーマスタ生成部と、該ポリシーマスタ生成部にて生成されたセキュリティポリシーを登録するポリシーマスタDB(データベース)と、該ポリシーマスタDBに登録されたセキュリティポリシーを、前記認証システムに合致したアクセス制御リストに変換するためのルールを格納する認証システム別変換ルールDB(データベース)と、前記ポリシーマスタDBに登録されたセキュリティポリシーを、前記認証システム別変換ルールDBに登録された変換ルールに従って変換することで得られるアクセス制御リストを前記各認証システムに送付するポリシー自動配布部とを備え、前記部署別ポリシー設定部は、各部署毎の設定パラメータ情報を格納する設定パラメータDB(データベース)と、この設定パラメータDBに格納される前記各部署の設定パラメータ毎にセキュリティポリシーを設定するための表示部を備え、この表示部で各部署別のセキュリティポリシーを設定すると、前記ポリシーマスタ生成部は、前記表示部で設定したセキュリティポリシーに従って前記ポリシーマスタDBを更新し、前記ポリシー自動配布部は、更新したセキュリティポリシーを認証システム別変換ルールDBに登録された変換ルールに従って各認証システム独自の命令であるアクセス制御リストに変換し、当該アクセス制御リストを前記各認証システムに配布するように構成したことを特徴とする。
【0007】
請求項1の構成によれば、設定パラメータDBには認証システム毎の設定パラメータとして各認証システムの認証対象(サーバ、PC、プリンタ、可搬媒体、ドアなど)やその認証対象に対してアクセスを許可するか拒否するかの判定情報が格納される。部署別ポリシー設定部の表示部には設定パラメータDBに格納される情報に基づいて部署(例えば、総務部、経理部、営業部、開発部、事業部など)毎に各認証システムと各認証システムが制御する認証対象が表示されるとともに、各認証対象に対してアクセスを許可するか拒否するかを設定するチェック項目が表示される。このチェック項目にて各部署毎に各認証対象に対するアクセスの許可又は拒否を設定すると、これらのアクセスの許可又は拒否の設定が各部署別のセキュリティポリシーとしてポリシーマスタ生成部によってポリシーマスタDBに反映され、該セキュリティポリシーは認証システム別変換ルールDBに登録される変換ルールに従ってポリシー自動配布部によりアクセス制御リストに変換され、この変換されたアクセス制御リストが同じくポリシー自動配布部から各認証システムに配布される。
【0008】
請求項2のセキュリティリスク管理装置を備えたセキュリティポリシー管理システムは、請求項1記載のセキュリティポリシー管理システムにおいて、前記各認証システムから送られるログを監視し、そのログを分析してセキュリティリスクを管理するセキュリティリスク管理装置を備え、このセキュリティリスク管理装置は、前記各認証システムから送られるログを自動収集するログ収集部と、このログ収集部で収集した前記各認証システムのログを分析してポリシー違反を判定するセキュリティリスク分析部を備えるとともに、このセキュリティリスク分析部による分析結果を表示する表示部を備えたことを特徴とする。
【0009】
請求項2の構成によれば、ログ収集部は、各認証システムから出力されるログを収集し、収集したログをセキュリティリスク分析部で分析し、ポリシー違反が無いか否かを判定し、その分析結果を表示部に表示する。
【0010】
請求項3の前記セキュリティリスク分析部は、前記ログ収集部で収集した前記各認証システムのログの相関関係に従ってポリシー違反か否かを判定する際のルールを格納するリスク分析ルールDB(データベース)を備え、そのリスク分析ルールDBに格納した判定ルールに従ってポリシー違反と判定された際、前記表示部に警告表示することを特徴とする。
【0011】
請求項3の構成によれば、リスク分析ルールDBに格納した判定ルールに従ってポリシー違反の判断条件にマッチするログがあると、表示部に警告表示する。
【発明の効果】
【0012】
本発明によれば、オフィスにおける各種認証システム及びそれら各認証システムの認証対象機器に対するアクセス制御リストの設定や認証システムの追加、削除、変更に伴うアクセス制御リストの更新を部署別ポリシー設定部によって一元的に管理することができるとともに、これら各認証システムのセキュリティポリシーの設定やセキュリティポリシーの変更を部署別ポリシー設定部により一元的に処理できる。さらに、各認証システムから出力されるログを分析し、セキュリティリスク管理装置の表示部にリスク発生状況の一覧を表示することによって、ログの分析結果としてセキュリティポリシー違反があると、表示部に警告表示されるのでセキュリティポリシー違反を早期に発見することができ、セキュリティの安全性も向上することができる。
【図面の簡単な説明】
【0013】
【図1】本発明の一実施例におけるシステム構成図である。
【図2】同上、認証システムの追加、削除、変更に伴う処理手順を示すフローチャートである。
【図3】同上、セキュリティポリシーの設定から更新したACLを各認証システムへ配布するまでの処理を示すフローチャートである。
【図4】同上、セキュリティリスクの分析処理を示すフローチャートである。
【図5】同上、部署別ポリシー設定部の設定管理画面を示す説明図である。
【図6】同上、セキュリティリスクの発生状況を一覧表示した表示画面を示す説明図である。
【図7】同上、設定パラメータDBのデータの一例を示す説明図である。
【図8】同上、ポリシーマスタDBのデータの一例を示す説明図である。
【図9】同上、認証システム別変換ルールDBデータの一例を示す説明図である。
【図10】同上、リスク分析ルールDBデータの一例を示す説明図である。
【発明を実施するための形態】
【0014】
以下、本発明を実施するための最良の形態としての実施例を図1から図10を参照して説明する。もちろん、本発明は、その発明の趣旨に反さない範囲で、実施例において説明した以外のものに対しても容易に適用可能なことは説明を要するまでもない。
【0015】
以下、本実施例におけるセキュリティポリシー管理システムの構成について、添付図面を参照して説明する。図1に示すようにオフィスにおけるアクセス対象機器、例えばファイルサーバ1a、パソコン(PC)1b、プリンタ1c、可搬媒体を収納するキャビネット1d、オフィスの各部署などに出入りするためのドア1eといった機器やシステム毎に認証システムとしてのサーバ管理システム2a、クライアント管理システム2b、印刷管理システム2c、持出管理システム2d、入退室管理システム2eがそれぞれ接続され、その各管理システム2a〜2eがセキュリティポリシー管理/配布装置10によって一元的に管理されている。さらに、各管理システム2a〜2eから出力されるログはネットワークを介してセキュリティリスク管理装置20に出力される。
【0016】
前記セキュリティポリシー管理/配布装置10は、部署別ポリシー設定部11と、管理システム2a〜2eにアクセスする際のセキュリティポリシーを生成するポリシーマスタ生成部12と、ポリシーマスタ生成部12で生成したセキュリティポリシーを後述の変換ルールに従ってアクセス制御ルールとなるACL(アクセス制御リスト)に変換し、ACLを各管理システム2a〜2eに配布するポリシー自動配布部13と、各種の設定パラメータを格納する設定パラメータDB(データベース)15と、前記ポリシーマスタ生成部12で生成したセキュリティポリシーを格納するポリシーマスタDB16と、各認証システム別のACLに変換するためのルールを格納する認証システム別変換ルールDB17とを備えている。
【0017】
前記設定パラメータDB15には、認証システム毎の設定パラメータテーブル100が格納されており、例えば、図7に示すように、各認証システム(サーバ管理システム、クライアント管理システム、印刷管理システム、持出管理システム、入退室管理システム)毎に、当該認証システムを制御するアプリケーションと、制御する認証対象(サーバ、PC、プリンタ、可搬媒体、ドアなど)と、当該認証対象に対してアクセスを許可するか拒否するかの判定情報が格納され、デフォルトでは、全てアクセス拒否に設定されている。これらの情報が前記部署別ポリシー設定部11の表示部11aに表示される。すなわち、前記表示部11aには設定管理画面aが表示され、その設定管理画面aは、前記設定パラメータテーブル100を参照して例えば、図5に示すように、部署(総務部、経理部、営業部、開発部、事業部など)毎に各認証システム(サーバ管理システム、クライアント管理システム、印刷管理システム、持出管理システム、入退室管理システム)と各認証システムが制御する認証対象(サーバ、PC、プリンタ、可搬媒体、ドアなど)及び各認証対象に対してアクセスを許可するか拒否するかを設定するチェック項目が表示される。このチェック項目をチェックして各部署毎に各認証対象のアクセスを許可又は拒否と設定することにより、各部署別のポリシーとして反映される。この各部署別のポリシーはポリシーマスタ生成部12によりポリシーマスタDB16のポリシーマスタテーブル110に格納される。このポリシーマスタテーブル110は、例えば図8に示すように部署(総務部、経理部、営業部、開発部、事業部など)毎に各認証システムの認証対象(サーバ、PC、プリンタ、可搬媒体、ドアなど)と、当該認証対象に対してアクセスを許可するか拒否するかの判定情報が格納される。
【0018】
認証システム別変換ルールDB17には例えば、図9に示すように、認証システム毎の変換ルールテーブル120が格納されており、各認証システム(サーバ管理システム、クライアント管理システム、印刷管理システム、持出管理システム、入退室管理システム)毎に、当該認証システムを制御するアプリケーションと、制御する認証対象(サーバ、PC、プリンタ、可搬媒体、ドアなど)と、変換ルール(当該認証システムのアクセス制御を管理するDBに対して、「ドア1」のアクセス許可フラグを変更するためのSQL文を実行など)と、変換先、接続情報が格納され、この変換ルールテーブル120に格納される情報に基づいてポリシーマスタDB16の情報を各認証システム(サーバ管理システム、クライアント管理システム、印刷管理システム、持出管理システム、入退室管理システム)毎のACLとしてポリシー自動配布部13によって変換し、このACLを各管理システム2a〜2eへ配布し、各管理システム2a〜2eはACLのアクセス制御ルールに従ってアクセスを制御する。
【0019】
前記セキュリティリスク管理装置20は、管理システム2a〜2eから出力されるログを収集するログ収集部21と、このログ収集部21で収集したログを分析するセキュリティリスク分析部22とを備え、ログ収集部21で収集したログをログ保管DB23に記憶する。また、セキュリティリスク分析部22は、ログ保管DB23に格納されるログを分析してセキュリティポリシー違反が無いか否かを判定するためのルールを格納するリスク分析ルールDB24を備えている。
【0020】
前記リスク分析ルールDB24には図10に示すように、分析ルールテーブル130が格納されており、具体的にはリスク分類(情報漏洩、コンプライアンス、システム障害など)毎にリスクの重要度(中、高など)を示す情報と、リスクの分析ルール(入室記録がないユーザがPCにログイン、ブルートフォース攻撃後にPCにログインなど)と、リスクの重要度に対応するアクション情報が格納され、前記各管理システム2a〜2eから出力されるログをセキュリティリスク分析部22で分析し、リスク分析ルールDB24に格納される分析ルールに従ってセキュリティリスク発生状況の一覧をセキュリティリスク管理装置20の表示部22aに表示する。この表示部22aの表示画面bには図6に示すように、各認証システム(サーバ管理システム、クライアント管理システム、印刷管理システム、持出管理システム、入退室管理システム)毎にリスクの発生有無と発生したリスクの重要度を表示する認証システム別リスク表示部b1と、リスクの分類(情報漏洩リスク、コンプライアンス、システム障害)毎にリスクの発生有無と発生したリスクの重要度を表示するリスク分類別リスク表示部b2などを備え、セキュリティリスクが発生した際、認証システム別リスク表示部b1およびリスク分類別リスク表示部b2を点灯させることによりリスクが発生した認証システムおよび発生したリスクの種類が特定され、かつ、前記各リスク表示部b1、b2に点灯する発光表示色(青、黄、赤など)によってリスクの重要度が表示されるようになっている。
【0021】
次にセキュリティポリシー管理/配布装置10における一連の処理手順について図2〜図4のフローチャートを参照して説明する。まず、図2に示すように、アクセス制御する認証システムに新規追加/変更/削除があると(ステップS1)、システム管理者は、設定パラメータDB15と認証システム別変換ルールDB17に当該認証システムの新規追加/変更/削除を登録する(ステップS2)。
【0022】
図3は認証システムのセキュリティポリシーの設定から各認証システム2a〜2eへACLを配布するまでの処理を示しており、同図で示すように、まず、部署別ポリシーの設定作業は、部署別ポリシー設定部11の表示部11aに表示される設定管理画面aで行う。すなわち、表示部11aの設定管理画面aには、図1及び図5に示すように、システム管理者が登録した設定パラメータテーブル100を参照して部署(総務部、経理部、営業部、開発部、事業部など)毎に各認証システム(サーバ管理システム、クライアント管理システム、印刷管理システム、持出管理システム、入退室管理システム)と各認証システムが制御する認証対象(サーバ、PC、プリンタ、可搬媒体、ドアなど)及び各認証対象に対してアクセスを許可するか拒否するかのアクセス制御を設定するチェック項目と現在の設定状態が表示され(ステップS11)、設定管理画面a上にて該当する部署の認証システムに関し、アクセスを許可か拒否かの設定を行う(ステップS12)。ポリシーマスタ生成部12はアクセス制御の更新状態をチェックし(ステップS13)、アクセス制御の設定が更新されると(ステップS13にてYes)、更新された情報に基づいてポリシーマスタDB16のポリシーマスタテーブル110に更新されたセキュリティポリシーが登録される(ステップS14)。また、ポリシー自動配布部13はポリシーマスタテーブル110に登録されているセキュリティポリシーに変更があると、認証システム別変換ルールDB17に格納されるルールに従ってACLに変換し、各管理システム2a〜2eへACLを配布する(ステップS15)。
【0023】
図4はセキュリティリスクの分析処理を示しており、同図に示すように、前記セキュリティリスク管理装置20のログ収集部21は、定期的に各管理システム2a〜2eから出力されるログを収集し、ログ保管DB23に記憶する(ステップS21)。セキュリティリスク分析部22は、リスク分析ルールDB24に格納したリスク分析ルールに従って、ログ保管DB23に格納されるログを分析し、セキュリティポリシー違反が無いか否かを判定する。(ステップS22)ログ分析ルールのセキュリティポリシー違反判断条件にマッチするログがあると(ステップS23にてYes)、セキュリティリスク管理装置20の表示部22aに表示する(ステップS24)。すなわち、図6に示すように、セキュリティリスク管理装置20の表示部22aには、リスク発生状況の一覧が表示され、ログの分析結果としてセキュリティポリシー違反、(例えば、入出記録がないユーザがPCにログインなど)があると、リスク分析ルールに従って青、黄、赤などリスクの重要度に応じて表示部b2の表示色を変更する。これにより、システム管理者は、リスク発生状況がセキュリティリスク管理装置20の表示部22a上で確認できる(ステップS25)。
【0024】
このように、本実施例においては、オフィス内におけるサーバ1a、パソコン(PC)1b、プリンタ1c、可搬媒体を収納するキャビネット1d、オフィスの各部署などに出入りするためのドア1eといった対象機器及び各認証システム2a〜2eの追加、削除、変更に伴うセキュリティポリシーの更新をセキュリティポリシー管理/配布装置10によって一元的に管理することができるとともに、これら各管理装置2a〜2eのアクセス制御の更新を部署別ポリシー設定部11(共通インターフェイス)で簡単かつ迅速に設定することができる。また、部署別ポリシー設定部11によりアクセス制御の設定が更新されると、ポリシーマスタ生成部12により、ポリシーマスタDB16の該当するセキュリティポリシーの値を自動更新し、各認証システム2a〜2eに更新したセキュリティポリシーを変換ルールに従って変換したACLを送信することが可能である。これにより、各管理システム2a〜2e毎にACLの更新を設定する必要はなく、一括処理することが可能であり、セキュリティを管理するシステム管理者の利便性も向上する。また、既存の各種の認証システムにも簡単に適用可能であるから、新たにアクセス制御システムを構築することなく、コストの削減が可能である。さらに、各認証システム2a〜2eから出力されるログを分析し、セキュリティリスク管理装置20の表示部22aにリスク発生状況の一覧を表示することによって、セキュリティポリシー違反の有無を視覚的に確認することができ、かつ、ログの分析結果としてセキュリティポリシー違反があると、リスクの重要度に応じた警告表示が成されるのでセキュリティポリシー違反を早期に発見することができ、セキュリティの安全性も向上させることができる。
【0025】
以上、本発明の一実施例について詳述したが、本発明は前記実施例に限定されるものではなく、本発明の要旨の範囲内で種々の変形実施が可能である。例えば、各認証システムとしてファイルサーバ管理システム2a、クライアント管理システム2b、印刷管理システム2c、持出管理システム2b、入退室管理システム2eを例示したが、これに限らず各種の認証システムに適用可能である。また、ポリシー違反の際の警報手段なども前記実施例の表示手段に限らず、例えば警報音での警告することも可能である。また、図6で示すようにセキュリティリスク管理装置20の表示部22aでは、例えば情報漏えいが発生したとき、警告表示部分b3をタッチすると詳細画面b4を表示するようにして、情報漏えいが発生した経過等を可視化するように構成することも可能である。
【符号の説明】
【0026】
1a〜1e アクセス対象機器
2a〜2e 管理システム(認証システム)
10 セキュリティポリシー管理/配布装置
11 部署別ポリシー設定部
11a 部署別ポリシー表示部
12 ポリシーマスタ生成部
13 ポリシー自動配布部
15 設定パラメータDB
16 ポリシーマスタDB
17 認証システム別変換ルールDB
20 セキュリティリスク管理装置
21 ログ収集部
22 セキュリティリスク分析部
22a セキュリティリスク表示部
23 ログ保管DB
24 リスク分析ルールDB
100 認証システム毎の設定パラメータテーブル
110 ポリシーマスタテーブル
120 認証システム毎の変換ルールテーブル
130 リスク分析ルールテーブル
【特許請求の範囲】
【請求項1】
対象機器又はシステムをそれぞれ個別にアクセス制御する各種の認証システムと、
この各認証システムとネットワークを介して接続され、該認証システムの認証対象機器に対するアクセス制御の設定や認証システムの追加、削除、変更に伴うアクセス制御リストの更新を一元的に管理するセキュリティポリシー管理システムであって、
前記セキュリティポリシー管理システムは、
オフィスの部署毎に個別に決められたセキュリティポリシーに従って前記認証システムそれぞれのアクセス制御を設定する部署別ポリシー設定部と、
この部署別ポリシー設定部で設定した値に基づいたセキュリティポリシーを生成するポリシーマスタ生成部と、
該ポリシーマスタ生成部にて生成されたセキュリティポリシーを登録するポリシーマスタDB(データベース)と、
該ポリシーマスタDBに登録されたセキュリティポリシーを、前記認証システムに合致したアクセス制御リストに変換するためのルールを格納する認証システム別変換ルールDB(データベース)と、
前記ポリシーマスタDBに登録されたセキュリティポリシーを、前記認証システム別変換ルールDBに登録された変換ルールに従って変換することで得られるアクセス制御リストを前記各認証システムに送付するポリシー自動配布部と
を備え、
前記部署別ポリシー設定部は、
各部署毎の設定パラメータ情報を格納する設定パラメータDB(データベース)と、
この設定パラメータDBに格納される前記各部署の設定パラメータ毎にセキュリティポリシーを設定するための表示部を備え、
この表示部で各部署別のセキュリティポリシーを設定すると、
前記ポリシーマスタ生成部は、前記表示部で設定したセキュリティポリシーに従って前記ポリシーマスタDBを更新し、前記ポリシー自動配布部は、更新したセキュリティポリシーを認証システム別変換ルールDBに登録された変換ルールに従って各認証システム独自の命令であるアクセス制御リストに変換し、当該アクセス制御リストを前記各認証システムに配布するように構成したことを特徴とするセキュリティポリシー管理システム。
【請求項2】
請求項1記載のセキュリティポリシー管理システムは、前記各認証システムから送られるログを監視し、そのログを分析してセキュリティリスクを管理するセキュリティリスク管理装置を備え、このセキュリティリスク管理装置は、前記各認証システムから送られるログを自動収集するログ収集部と、このログ収集部で収集した前記各認証システムのログを分析してポリシー違反を判定するセキュリティリスク分析部を備えるとともに、このセキュリティリスク分析部による分析結果を表示する表示部を備えたことを特徴とするセキュリティリスク管理装置を備えたセキュリティポリシー管理システム。
【請求項3】
前記セキュリティリスク分析部は、前記ログ収集部で収集した前記各認証システムのログの相関関係に従ってポリシー違反か否かを判定する際のルールを格納するリスク分析ルールDB(データベース)を備え、その判定ルールに従ってポリシー違反と判定された際、前記表示部に警告表示することを特徴とする請求項2記載のセキュリティリスク管理装置を備えたセキュリティポリシー管理システム。
【請求項1】
対象機器又はシステムをそれぞれ個別にアクセス制御する各種の認証システムと、
この各認証システムとネットワークを介して接続され、該認証システムの認証対象機器に対するアクセス制御の設定や認証システムの追加、削除、変更に伴うアクセス制御リストの更新を一元的に管理するセキュリティポリシー管理システムであって、
前記セキュリティポリシー管理システムは、
オフィスの部署毎に個別に決められたセキュリティポリシーに従って前記認証システムそれぞれのアクセス制御を設定する部署別ポリシー設定部と、
この部署別ポリシー設定部で設定した値に基づいたセキュリティポリシーを生成するポリシーマスタ生成部と、
該ポリシーマスタ生成部にて生成されたセキュリティポリシーを登録するポリシーマスタDB(データベース)と、
該ポリシーマスタDBに登録されたセキュリティポリシーを、前記認証システムに合致したアクセス制御リストに変換するためのルールを格納する認証システム別変換ルールDB(データベース)と、
前記ポリシーマスタDBに登録されたセキュリティポリシーを、前記認証システム別変換ルールDBに登録された変換ルールに従って変換することで得られるアクセス制御リストを前記各認証システムに送付するポリシー自動配布部と
を備え、
前記部署別ポリシー設定部は、
各部署毎の設定パラメータ情報を格納する設定パラメータDB(データベース)と、
この設定パラメータDBに格納される前記各部署の設定パラメータ毎にセキュリティポリシーを設定するための表示部を備え、
この表示部で各部署別のセキュリティポリシーを設定すると、
前記ポリシーマスタ生成部は、前記表示部で設定したセキュリティポリシーに従って前記ポリシーマスタDBを更新し、前記ポリシー自動配布部は、更新したセキュリティポリシーを認証システム別変換ルールDBに登録された変換ルールに従って各認証システム独自の命令であるアクセス制御リストに変換し、当該アクセス制御リストを前記各認証システムに配布するように構成したことを特徴とするセキュリティポリシー管理システム。
【請求項2】
請求項1記載のセキュリティポリシー管理システムは、前記各認証システムから送られるログを監視し、そのログを分析してセキュリティリスクを管理するセキュリティリスク管理装置を備え、このセキュリティリスク管理装置は、前記各認証システムから送られるログを自動収集するログ収集部と、このログ収集部で収集した前記各認証システムのログを分析してポリシー違反を判定するセキュリティリスク分析部を備えるとともに、このセキュリティリスク分析部による分析結果を表示する表示部を備えたことを特徴とするセキュリティリスク管理装置を備えたセキュリティポリシー管理システム。
【請求項3】
前記セキュリティリスク分析部は、前記ログ収集部で収集した前記各認証システムのログの相関関係に従ってポリシー違反か否かを判定する際のルールを格納するリスク分析ルールDB(データベース)を備え、その判定ルールに従ってポリシー違反と判定された際、前記表示部に警告表示することを特徴とする請求項2記載のセキュリティリスク管理装置を備えたセキュリティポリシー管理システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2012−194801(P2012−194801A)
【公開日】平成24年10月11日(2012.10.11)
【国際特許分類】
【出願番号】特願2011−58415(P2011−58415)
【出願日】平成23年3月16日(2011.3.16)
【出願人】(000233491)株式会社日立システムズ (394)
【Fターム(参考)】
【公開日】平成24年10月11日(2012.10.11)
【国際特許分類】
【出願日】平成23年3月16日(2011.3.16)
【出願人】(000233491)株式会社日立システムズ (394)
【Fターム(参考)】
[ Back to top ]