情報システム設定装置、情報システム設定方法及びプログラム
【課題】 情報セキュリティポリシーに従ったシステム設定を、クライアント端末の種類を含めた利用者の環境に合わせて動的に実行可能にする。
【解決手段】 ポリシー決定処理部163は、利用者情報取得処理部161がクライアント端末からのアクセス情報や利用者管理装置にて管理される情報から取得した利用者属性情報や、クライアントプロパティ情報取得処理部160がクライアント端末から送られる情報や利用者管理装置にて管理される情報から取得したクライアントプロパティ情報、あるいは、情報システムにて実行すべき処理の内容などから、情報システムの設定を行うために必要となるポリシー情報を決定する。システム設定作成処理部152は、ポリシー判断処理部151の各構成より提供された情報から、情報システムを構成する各機器の設定内容を示す機器設定情報を作成する。
【解決手段】 ポリシー決定処理部163は、利用者情報取得処理部161がクライアント端末からのアクセス情報や利用者管理装置にて管理される情報から取得した利用者属性情報や、クライアントプロパティ情報取得処理部160がクライアント端末から送られる情報や利用者管理装置にて管理される情報から取得したクライアントプロパティ情報、あるいは、情報システムにて実行すべき処理の内容などから、情報システムの設定を行うために必要となるポリシー情報を決定する。システム設定作成処理部152は、ポリシー判断処理部151の各構成より提供された情報から、情報システムを構成する各機器の設定内容を示す機器設定情報を作成する。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、情報セキュリティポリシーに従った情報システムの設定を行う情報システム設定装置などに関する。
【背景技術】
【0002】
特別な専門知識を必要とすることなく、情報システムにおけるセキュリティの状態を管理可能にする様々な技術が提案されている。例えば、ドキュメントに対するセキュリティポリシーを所定の記述形式に従って電子的に記述することにより、情報システム全体に一貫したセキュリティポリシーを共有させ、例えばドキュメントのタイプ(カテゴリ、レベル)に応じて、どのようなユーザタイプ(カテゴリ、レベル)がドキュメントに対してどのようなオペレーションが可能なのか、オペレーションが可能な場合にはどのような要件を満たさなければならないかといった事項を、明確に記述できるようにしたシステムが提案されている(例えば特許文献1)。
【特許文献1】特開2004−102907号公報
【0003】
また、アクセス制御を行うときに取得する情報を利用してアクセス制御ポリシーを作成し、そのアクセス制御ポリシーに基づいてファイルアクセス要求の正当性を判定することで、アクセス制御ポリシーを自動的に設定可能とし、特別な知識を有していなくても構築可能なアクセス制御システムが提案されている(例えば特許文献2)。
【特許文献2】特開2003−6027号公報
【0004】
さらに、被管理対象システムのセキュリティ状態を情報セキュリティポリシーに整合するように制御する管理部や、被管理対象システムの情報セキュリティポリシーに関わるセキュリティの状態を監査する監査部を、複数用意して、抽出した管理部に対応する被管理対象システムのセキュリティ状態を対応する情報セキュリティポリシーに整合するように変更させたり、抽出した監査部に対応する被管理対象システムの情報セキュリティポリシーに関わるセキュリティ状態を監査するシステムが提案されている(例えば特許文献3)。
【特許文献3】特開2002−247033号公報
【0005】
加えて、 複数のセキュリティポリシーを格納しておき、例えばモバイル機器といった情報処理装置がLANに接続されているかどうかといった、モバイル機器の動作の環境または状況に従ったセキュリティポリシーを選択して、情報処理装置の安全性を判定するシステムが提案されている(例えば特許文献4)。
【特許文献4】特開2004−265286号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
特許文献1に記載の技術はドキュメントに対するオペレーションでの安全性を確保するためのものであり、特許文献2に記載の技術はファイルアクセスにおける安全性を確保するためのものである。特許文献3に記載の技術では、操作者が選択した情報セキュリティポリシーに対して抽出されたセキュリティ管理プログラムを起動するだけである。このように、特許文献1乃至3に記載の技術では、セキュリティポリシーを設定可能な対象が限定されたり、アクセス要求を行うクライアント端末の種類や環境に応じたセキュリティポリシーに従って柔軟にシステム設定を行うことが困難であるなどの問題があった。
【0007】
また、特許文献4に記載の技術では、情報処理装置が置かれている環境(例えばオフィス内LANでの接続であるか、オフィス外ネットワークでの接続であるかなど)に従ったセキュリティポリシーを選択することは可能であるが、情報処理端末の種類(例えばノートパソコンであるか、PDAであるか、携帯電話機であるかなど)に応じたセキュリティポリシーに従ってシステム設定を行うことはできなかった。
【0008】
情報処理技術の進展に伴い、情報システムにアクセス可能なクライアント端末となる情報処理装置が多様化している。そして、情報システムにアクセスする利用者が同一であっても、クライアント端末となる情報処理装置が異なれば、情報管理の安全性も異なるものとなる。そのため、クライアント端末となる情報処理装置に応じたセキュリティポリシーに従って柔軟なシステム設定を行う必要性が高まっている。また、情報システムにアクセスする利用者の所属部署や役職等といった利用者の属性に応じて、アクセス可能な情報資源を変更可能に設定することが望まれている。
【0009】
この発明は、上記実状に鑑みてなされたものであり、情報セキュリティポリシーに従ったシステム設定を、クライアント端末の種類を含めた利用者の環境に合わせて動的に行うことができる情報セキュリティポリシー管理システムなどを提供することを目的とする。
【課題を解決するための手段】
【0010】
上記目的を達成するため、この発明の第1の観点に係る情報システム設定装置は、
情報セキュリティポリシーに従った情報システムの設定を行う情報システム設定装置であって、
情報セキュリティポリシーを記述したポリシー情報を格納するポリシー管理データベースと、
利用者の属性情報を取得する属性情報取得手段と、
前記情報システムに対するアクセス要求を発信した端末装置のプロパティ情報を取得する端末プロパティ情報取得手段と、
前記情報システムを構成する各機器のプロパティ情報を取得するシステムプロパティ情報取得手段と、
前記属性情報取得手段により取得した属性情報と前記端末プロパティ情報取得手段により取得した端末装置のプロパティ情報とに基づいて、前記ポリシー管理データベースに格納されたポリシー情報を読み出すポリシー情報読出手段と、
少なくとも前記ポリシー情報読出手段により読み出されたポリシー情報と前記システムプロパティ情報取得手段により取得したシステムプロパティ情報とに基づいて、前記情報システムの設定情報を作成することにより、前記情報システムの設定を行う設定制御手段とを備える、
ことを特徴とする。
【0011】
この構成によれば、ポリシー情報読出手段が、属性情報取得手段により取得した属性情報と端末プロパティ情報取得手段により取得した端末装置のプロパティ情報とに基づいて、ポリシー管理データベースに格納されたポリシー情報を読み出す。そして、設定制御手段が、ポリシー情報読出手段により読み出されたポリシー情報とシステムプロパティ情報取得手段により取得したシステムプロパティ情報とに基づいて、情報システムの設定を行うことができる。
これにより、情報システムに対するアクセス要求を発信した端末装置のプロパティ情報や利用者の属性情報に対応する情報セキュリティポリシーに従った情報システムの設定が可能になり、端末装置の種類を含めた環境に応じた情報セキュリティポリシーに従って、情報システムの設定を柔軟に行うことができる。
【0012】
前記ポリシー管理データベースは、前記情報システムの構成とは独立した情報セキュリティポリシーを記述したメインポリシー情報と、前記メインポリシー情報にて参照されて前記情報システムの設定に関する条件または動作ルールを記述したサブポリシー情報を、前記ポリシー情報として格納してもよい。
【0013】
前記ポリシー情報読出手段が前記ポリシー管理データベースから読み出したポリシー情報を解析して、当該ポリシー情報の関連情報を取得する関連情報取得手段を備え、
前記設定制御手段は、前記関連情報取得手段により取得した関連情報に基づいて、前記情報システムの設定を行うことが望ましい。
【0014】
前記ポリシー情報読出手段は、前記端末プロパティ情報取得手段により取得した端末装置のプロパティ情報に基づいて、前記ポリシー管理データベースから読み出すポリシー情報を決定する手段を含んでもよい。
【0015】
上記目的を達成するため、この発明の第2の観点に係る情報システム設定方法は、
情報セキュリティポリシーに従った情報システムの設定を行うコンピュータによる情報システム設定方法であって、
情報セキュリティポリシーを記述したポリシー情報をポリシー管理データベースに格納するポリシー情報格納ステップと、
利用者の属性情報を取得する属性情報取得ステップと、
前記情報システムに対するアクセス要求を発信した端末装置のプロパティ情報を取得する端末プロパティ情報取得ステップと、
前記情報システムを構成する各機器のプロパティ情報を取得するシステムプロパティ情報取得ステップと、
前記属性情報取得ステップにて取得した属性情報と前記端末プロパティ情報取得ステップにて取得した端末装置のプロパティ情報とに基づいて、前記ポリシー管理データベースに格納されたポリシー情報を読み出すポリシー情報読出ステップと、
少なくとも前記ポリシー情報読出ステップにて読み出したポリシー情報と前記システムプロパティ情報取得ステップにて取得したシステムプロパティ情報とに基づいて、前記情報システムの設定情報を作成することにより、前記情報システムの設定を行う設定制御ステップとを備える、
ことを特徴とする。
【0016】
前記ポリシー情報読出ステップにて読み出したポリシー情報を解析して、当該ポリシー情報の関連情報を取得する関連情報取得ステップを備え、
前記設定制御ステップは、前記関連情報取得ステップにて取得した関連情報に基づいて、前記情報システムの設定を行うことが望ましい。
【0017】
上記目的を達成するため、この発明の第3の観点に係るプログラムは、
情報セキュリティポリシーに従った情報システムの設定を行うコンピュータに、
情報セキュリティポリシーを記述したポリシー情報をポリシー管理データベースに格納するポリシー情報格納処理と、
利用者の属性情報を取得する属性情報取得処理と、
前記情報システムに対するアクセス要求を発信した端末装置のプロパティ情報を取得する端末プロパティ情報取得処理と、
前記情報システムを構成する各機器のプロパティ情報を取得するシステムプロパティ情報取得処理と、
前記属性情報取得処理にて取得した属性情報と前記端末プロパティ情報取得処理にて取得した端末装置のプロパティ情報とに基づいて、前記ポリシー管理データベースに格納されたポリシー情報を読み出すポリシー情報読出処理と、
少なくとも前記ポリシー情報読出処理にて読み出したポリシー情報と前記システムプロパティ情報取得処理にて取得したシステムプロパティ情報とに基づいて、前記情報システムの設定情報を作成することにより、前記情報システムの設定を行う設定制御処理と、
を実行させる。
【0018】
また、前記コンピュータに、
前記ポリシー情報読出処理にて読み出したポリシー情報を解析して、当該ポリシー情報の関連情報を取得する関連情報取得処理をさらに実行させ、
前記設定制御処理では、前記関連情報取得処理にて取得した関連情報に基づいて、前記情報システムの設定を行うことが望ましい。
【発明の効果】
【0019】
この発明によれば、情報セキュリティポリシーに従ったシステム設定を、情報システムに対するアクセス要求を発信した端末装置の種類を含めた利用者の環境に合わせて柔軟に行うことができる。
【発明を実施するための最良の形態】
【0020】
以下に、この発明の実施の形態に係るポリシー管理装置100について説明する。図1には、ポリシー管理装置100が適用される情報システム10の一構成例が示されている。図1に示す情報システム10は、例えば社内システムとして運用され、外部ネットワーク11にネットワーク接続されており、クライアント端末50からのアクセス要求を受け付ける。外部ネットワーク11は、例えばインターネットや移動体通信網、公衆回線網などの一般的な電気通信ネットワークであればよい。
【0021】
クライアント端末50は、例えばデスクトップパソコンやノートパソコン、PDA(Personal Digital Assistants)、携帯電話機などといった、各種の情報を処理するソフトウェアプログラムを実行可能な情報処理装置であり、アクセスポイント20に接続することにより外部ネットワーク11を介して情報システム10にアクセスしたり、情報システム10が備えるスイッチ120に接続されたりする。すなわち、クライアント端末10は、情報システム10の外部にある場合もあれば、情報システム10の内部にある場合もある。
【0022】
社内システムとして運用される情報システム10は、業務システム15と、ファイアウォール111と、スイッチ120と、検疫システム300とを備えている。情報システム10を構成するこれらの各機器は、例えばLANケーブルあるいは無線通信などを用いて相互にネットワーク接続が可能とされている。また、情報システム10は、VPN(Virtual Private Network)を用いて構築された仮想的な内部ネットワークシステムであってもよい。その他、情報システム10は、例えばルータやブリッジ、リピータ、ハブ、ネットワークストレージ、ファックス、プリンタ、スキャナ、複合機、またはデジタル家電機器など、各種のネットワーク機器や情報処理機器を含んでいてもよい。
【0023】
業務システム15は、ポリシー管理装置100と、利用者管理装置101と、管理者端末102と、複数のサーバ110−1〜110−Nとを備えている。
【0024】
ポリシー管理装置100は、情報セキュリティポリシーに従った情報システム10の設定を行う情報システム設定装置としての機能を有している。ポリシー管理装置100は、例えばCPU、メモリ、ハードディスク装置などの外部記憶装置、情報システム10の内部ネットワークに接続された通信装置、キーボードやマウスなどの入力装置、ディスプレイなどの表示装置、磁気ディスクや光ディスク等の記憶媒体からデータを読み取る読取装置などを備えた一般的なワークステーション等の電子計算機におけるハードウェア構成上に、構築することができる。このポリシー管理装置100では、例えばCPUが所定の記憶装置(例えばハードディスク装置など)から読み出した所定のプログラムを実行することや、所定の記憶装置に所定のデータ構造を有するファイルを格納することなどにより、図2に示すような構成が実現される。図2に示すように、ポリシー管理装置100は、ポリシー登録処理部150と、ポリシー判断処理部151と、システム設定作成処理部152と、ポリシー管理データベース153と、システム情報データベース154とを備えている。
【0025】
ポリシー登録処理部150は、管理者端末102から取得した情報に基づいて情報セキュリティポリシーの登録を行う。例えば、ポリシー登録処理部150は、管理者端末102との通信を行うことにより、所定のポリシー記述言語で情報セキュリティポリシーが記載されたポリシー情報を取得し、取得したポリシー情報をポリシー管理データベース153に格納する。また、ポリシー登録処理部150は、管理者端末102との通信により取得した情報や、情報システム10の内部ネットワークにおけるアクセス制御にて取得した情報に基づいて情報セキュリティポリシーを記載したポリシー情報を作成し、作成したポリシー情報をポリシー管理データベース153に格納してもよい。
【0026】
ポリシー判断処理部151は、クライアント端末50からのアクセス要求もしくは管理者端末102からの要求に応答して情報システム10に適用する情報セキュリティポリシーを判断するとともに、システム設定作成処理部152によるシステム設定に必要な各種の情報を取得するための処理を実行する。例えば、ポリシー判断処理部151は、クライアントプロパティ情報取得処理部160と、利用者情報取得処理部161と、システムプロパティ情報取得処理部162と、ポリシー決定処理部163と、ポリシー情報判定処理部164とを備えている。
【0027】
クライアントプロパティ情報取得処理部160は、情報システム10へのアクセス要求を発信したクライアント端末50の特性などを特定可能なクライアントプロパティ情報を、クライアント端末50などから取得する。例えば、クライアントプロパティ情報取得処理部160は、クライアント端末50からのアクセス要求があったときに、クライアント端末50の端末識別情報や環境識別情報、ソフトウェアのインストール情報などを、クライアントプロパティ情報として取得する。ここで、端末識別情報の具体例としては、クライアント端末50のIP(Internet Protocol)アドレスやMAC(Media Access Control)アドレス、携帯電話機の端末IDなどであればよい。また、環境識別情報の具体例としては、アクセスポイント20のネットワークアドレスなどであればよい。ソフトウェアのインストール情報の具体例としては、例えばクライアント端末50にインストールされているOS(Operating System)の名称やバージョン、アプリケーションプログラムの名称やバージョン、ウィルス検出ソフトの名称やバージョン、ウィルス定義ファイルのバージョンや更新日時などを特定可能な情報であればよい。
【0028】
なお、クライアントプロパティ情報取得処理部160は、クライアント端末50の端末識別情報や環境識別情報、ソフトウェアのインストール情報を全てクライアント端末50から取得してもよいし、一部のみをクライアント端末50から取得し、その他の情報は利用者管理装置101が管理する情報のうちから取得するなどしてもよい。また、クライアントプロパティ情報取得処理部160は、クライアント端末50からのアクセス要求を受ける毎に、クライアントプロパティ情報となる端末識別情報や環境識別情報、ソフトウェアのインストール情報などを全てクライアント端末50から取得する必要はなく、例えばその一部を利用者管理装置101に保持させておくなどして、必要な情報だけをクライアント端末50から取得するようにしてもよい。さらに、クライアントプロパティ情報取得処理部160は、クライアント端末50から送られるアクセス要求のデータフォーマットなどから、例えばクライアント端末50がデスクトップパソコンであるか、ノートパソコンであるか、PDAであるか、携帯電話機であるかといった、クライアント端末50の種類を特定して、端末識別情報を作成するようにしてもよい。
【0029】
利用者情報取得処理部161は、情報システム10へのアクセス要求をクライアント端末50から発信させた利用者について、その属性などを示す情報を取得する。例えば、利用者情報取得処理部161は、クライアント端末50からのアクセス要求があったときに、クライアント端末50から送られたユーザIDや、利用者管理装置101が管理する情報のうちで、利用者の属性を示す利用者属性情報などを取得する。ここで、利用者属性情報の具体例としては、利用者の氏名や所属部署名、役職名などを示す情報であればよい。
【0030】
システムプロパティ情報取得処理部162は、情報システム10を構成する各機器の特性などを特定可能なシステムプロパティ情報を、システム情報データベース154などから取得する。例えば、システムプロパティ情報取得処理部162は、各サーバ110−1〜110−Nや、ファイアウォール111、スイッチ120といった、情報システム10を構成する各機器の機器識別情報や動作性能情報、設定要素情報などを、システムプロパティ情報として取得する。ここで、機器識別情報の具体例としては、情報システム10を構成する各機器の名称や識別番号、ネットワークアドレスなどを示す情報であればよい。また、動作性能情報の具体例としては、情報システム10を構成する各機器の型式やバージョン、インストールされているソフトウェアの名称やバージョンなどを特定可能な情報であればよい。設定要素情報の具体例としては、アクセス権の内容(例えばファイル読取の可否、ファイル編集の可否、ファイル書込の可否、プログラム実行の可否など)や、ファイルの使用内容(例えば読取の可否、編集の可否、印刷の可否、複写の可否など)、送受信する情報の内容(例えばメール送受信の可否、WEBページ閲覧の可否、実行コマンド送受信の可否、ファイル共有の可否、転送データのファイル形式、転送データの容量など)、情報を送受信する相手方や方式の指定内容(例えば電子メールの宛先、カーボンコピー先、隠蔽カーボンコピー先、開放ポート番号、閉鎖ポート番号、アドレスマスク設定、使用可能なプロトコルなど)などを特定可能な情報であればよい。
【0031】
なお、システムプロパティ情報取得処理部162は、情報システム10を構成する各機器の機器識別情報や動作性能情報、設定要素情報などを全てシステム情報データベース154から取得してもよいし、一部のみをシステム情報データベース154から取得し、その他の情報は情報システム10を構成する各機器そのものから取得してもよい。あるいは、全てのシステムプロパティ情報を、情報システム10を構成する各機器から取得するようにしてもよい。また、システムプロパティ情報取得処理部162は、情報システム10を構成する全ての機器に関するシステムプロパティ情報を取得してもよいし、クライアント端末50からの要求に応じて情報システム10にて実行すべき処理の内容に応じて、情報システム10を構成する一部の機器に関するシステムプロパティ情報を取得してもよい。
【0032】
ポリシー決定処理部163は、ポリシー管理データベース153に格納されているポリシー情報のうちで、情報システム10の設定を行うために必要となるものを決定する。例えば、ポリシー決定処理部163は、クライアントプロパティ情報取得処理部160が取得したクライアントプロパティ情報や、利用者情報取得処理部161が取得した利用者属性情報などから、情報システム10の設定を行うために必要となるポリシー情報を決定する。また、ポリシー決定処理部163は、クライアント端末50からのアクセス要求に応答して情報システム10にて実行すべき処理の内容を特定し、特定された処理内容に基づいてポリシー情報を決定してもよい。ポリシー決定処理部163によって決定されたポリシー情報は、ポリシー情報判定処理部164に通知される。
【0033】
ポリシー情報判定処理部164は、ポリシー決定処理部163から通知されたポリシー情報をポリシー管理データベース153から読み出し、読み出したポリシー情報の解析を行う。そして、解析の結果から関連情報が必要か否かを判定し、必要である場合には、その関連情報を取得する。例えば、ポリシー情報判定処理部164は、クライアントプロパティ情報取得処理部160により取得したクライアントプロパティ情報や、利用者情報取得処理部161により取得した利用者属性情報、システムプロパティ情報取得処理部162により取得したシステムプロパティ情報などのうちから、関連情報として必要なものを選択して取得する。また、ポリシー情報判定処理部164は、クライアント端末50からの要求に応じて情報システム10にて実行すべき処理の内容に応じて、例えばサーバ110−1〜110−Nなどの情報システム10を構成する各機器から、ポリシー情報の関連情報を取得してもよい。ポリシー情報判定処理部164によってポリシー管理データベース153から読み出されたポリシー情報や、その関連情報は、システム設定作成処理部152に提供される。
【0034】
システム設定作成処理部152は、ポリシー判断処理部151のポリシー情報判定処理部164より提供されたポリシー情報や、その関連情報などから、情報システム10を構成する各機器の設定内容を示す機器設定情報を作成する。例えば、システム設定作成処理部152は、ポリシー情報によって示される情報セキュリティポリシーの内容を解析し、関連情報に含まれるクライアントプロパティ情報や利用者属性情報、システムプロパティ情報などにあわせて、各サーバ110−1〜110−Nやファイアウォール111、スイッチ120などの各機器における設定内容を示す機器設定情報を作成する。そして、情報システム10を構成する各機器に機器設定情報を提供することにより、情報セキュリティポリシーに従った情報システム10の設定を可能にする。
【0035】
ポリシー管理データベース153は、ポリシー登録処理部150が管理者端末102から取得したポリシー情報を格納して管理する。ここで、ポリシー管理データベース153に格納されるポリシー情報には、情報システム10のシステム構成や各機器の設定とは独立した汎用的な情報セキュリティポリシーを定めるメインポリシー情報と、メインポリシー情報内で参照される具体的な条件や動作ルールを記述したサブポリシー情報とが含まれている。
【0036】
システム情報データベース154は、情報システム10を構成する各機器のシステムプロパティ情報のうちの全部又は一部を格納する。システム情報データベース154に格納されたシステムプロパティ情報は、システム設定作成処理部152による機器設定情報の作成に使用することができる。
【0037】
利用者管理装置101は、例えばワークステーションやパーソナルコンピュータなどの一般的な電子計算機としてのハードウェア構成を有するものであればよく、LDAP(Lightweight Directory Access Protocol)等の所定プロトコルに準拠したディレクトリツリーを使用するなどして、利用者に関する所定の情報を管理する。ここで、利用者管理装置101が管理する情報の具体的な一例としては、各利用者を特定するためのユーザIDや、パスワード、所属部署名や役職名、所属グループ名、情報管理に関する属性(情報提供が許可される程度など)を示す情報などであればよい。
【0038】
管理者端末102は、例えばワークステーションやパーソナルコンピュータなどといった一般的な電子計算機としてのハードウェア構成を有するものであればよい。管理者端末102は、例えば情報システム10を管理する管理者の操作などに応答して、ポリシー情報の入力や作成を行い、ポリシー情報をポリシー管理装置100に提供する。一例として、管理者端末102では、企業のセキュリティ対策部門(情報システム部署など)にて作成された運用手順書などに従った情報セキュリティポリシーが、所定のポリシー記述言語で記載されたポリシー情報として入力される。
【0039】
また、管理者端末102にて入力されるポリシー情報は、キーボードやマウスなどの入力装置を用いて入力されるものであってもよいし、磁気ディスクドライブや光ディスクドライブ、ICメモリインタフェースなどといった記録媒体読取装置を用いることにより、磁気ディスクや光ディスク、ICメモリなどの所定の記録媒体から読み取られるものであってもよい。あるいは、管理者端末102が所定の通信処理を実行してポリシー情報を取得するものや、管理者端末102が所定のアプリケーションプログラムを実行することによりポリシー情報が作成されるものであってもよい。
【0040】
サーバ110−1〜110−Nは、例えばワークステーションやパーソナルコンピュータなどの一般的な電子計算機としてのハードウェア構成を有するものであればよく、クライアント端末50からの要求に応答して所定の情報処理を実行可能な情報処理装置として機能するものであればよい。サーバ110−1〜110−Nの具体例としては、ウェブサーバ、ファイルサーバ、メールサーバ、データベースサーバ、DRM(Digital Rights Management)サーバ、SSO(Single Sign-On)サーバ、アプリケーションサーバのうちで、少なくとも1つを含んだものであればよい。
【0041】
ファイアウォール111は、保護対象となる情報システム10の内部ネットワークにおける構成等の情報を外部から隠蔽し、情報システム10の内部ネットワークと外部ネットワーク11との境界において、認証に基づくアクセス制御を実行することで、外部からの進入を防ぎつつ、正当な利用者の通信を可能にする機能を有している。
【0042】
スイッチ120は、例えば認証機能付きのLANスイッチなどであればよく、クライアント端末50を情報システム10内の業務システム15や検疫システム300に接続可能とする設定を行う。
【0043】
検疫システム300は、検疫サーバ30などを用いて構成され、クライアント端末50とネットワーク接続される。検疫システム300は、業務システム15とは隔離して設置されていればよい。検疫システム300に接続されたクライアント端末50は、ウィルスの感染の有無や、セキュリティ・パッチの状況、ウィルス対策ソフトの定義ファイルのバージョン及び稼働状況などが検査される。この検査の結果が情報システム10における情報セキュリティポリシーに合致する場合には、業務システム15への接続が許可される。他方、情報セキュリティポリシーに合致しない場合には、クライアント端末50を情報セキュリティポリシーに適合するように更新し、その後に業務システム15への接続を許可する。
【0044】
次に、上記構成におけるポリシー管理装置100の動作について説明する。このポリシー管理装置100では、ポリシー登録処理部150が管理者端末102などから取得した情報に基づいてポリシー情報をポリシー管理データベース153に格納することにより、情報セキュリティポリシーが記載されたポリシー情報が予め登録されている。
【0045】
クライアント端末50は、スイッチ120に接続されることにより、あるいは、アクセスポイント20に接続されて外部ネットワーク11を介することにより、情報システム10へのアクセス要求を発信する。ポリシー管理装置100では、このクライアント端末50からのアクセス要求に応答して、図3のフローチャートに示すような情報システム設定処理を実行する。
【0046】
図3に示す情報システム設定処理を開始すると、まず、利用者情報取得処理部161がクライアント端末50からのアクセス情報などに基づいて利用者を判別し、そのアクセス情報や利用者管理装置101にて管理される情報から、利用者属性情報などを取得する(ステップS101)。また、クライアントプロパティ情報取得処理部160は、クライアント端末50から送られる情報や利用者管理装置101にて管理される情報から、クライアント端末50に関するクライアントプロパティ情報を取得する(ステップS102)。
【0047】
続いて、ポリシー決定処理部163は、ステップS101にて取得した利用者属性情報や、ステップS102にて取得したクライアントプロパティ情報、あるいはクライアント端末50からのアクセス要求に応答して情報システム10にて実行すべき処理の内容などから、情報システム10の設定を行うために必要となるポリシー情報を決定する(ステップS103)。ポリシー情報判定処理部164は、ステップS103にて決定されたポリシー情報をポリシー管理データベース153から読み出して取得する(ステップS104)。ポリシー情報判定処理部164は、ポリシー管理データベース153から読み出したポリシー情報の解析を行う(ステップS105)。
【0048】
ステップS105における解析の結果から、ポリシー情報判定処理部164は、関連情報が必要となるか否かを判定する(ステップS106)。このとき、関連情報が必要であると判定された場合には(ステップS106;Yes)、ポリシー情報の関連情報となる情報を、例えばサーバ110−1〜110−Nなどの情報システム10を構成する各機器から取得する(ステップS107)。ステップS107にて取得された関連情報は、ポリシー情報とともにシステム設定作成処理部152に提供される。他方、ステップS106にて関連情報は不要であると判別された場合には(ステップS106;No)、ステップS107の処理をスキップして、ポリシー情報のみをシステム設定作成処理部152に提供してもよい。あるいは、ステップS101にて取得した利用者属性情報や、ステップS102にて取得したクライアントプロパティ情報は、ポリシー情報の解析結果から必要とされる関連情報とは異なる情報であるとして、ポリシー情報とともにシステム設定作成処理部152に提供するようにしてもよい。
【0049】
また、ステップS105におけるポリシー情報の解析結果に基づき、システムプロパティ情報取得処理部162がシステム情報データベース154に格納されている情報や情報システム10を構成する各機器が保持する情報から、システムプロパティ情報を取得する(ステップS108)。ステップS108にて取得されたシステムプロパティ情報は、システム設定作成処理部152に提供される。
【0050】
この後、システム設定作成処理部152は、ポリシー判断処理部151の各構成より提供された情報から、情報システム10を構成する各機器の設定内容を示す機器設定情報を作成する(ステップS109)。そして、各機器に作成した機器設定情報を提供することにより、情報セキュリティポリシーに従った情報システム10の設定を完了させる(ステップS110)。
【0051】
以下に、ポリシー管理装置100が管理する情報セキュリティポリシーの具体例について説明する。まず、第1の具体例として、ドキュメントに対する情報セキュリティポリシーについて説明する。この場合、例えばサーバ110−1が文書管理システムを構成するファイルサーバであるものとする。
【0052】
この具体例では、ポリシー登録処理部150により、図4(A)に示すような「文書種別」に対応したメインポリシー情報と、図4(B)に示すようなサブポリシー情報とが、ポリシー管理データベース153に予め格納される。図4(A)に示すメインポリシー情報は、情報システム10における実際の構成とは独立した汎用的な内容を記述したものであり、例えば文書の種別が「極秘」に対応したメインポリシー情報M11と、文書の種別が「機密」に対応したメインポリシー情報M12とを含んでいる。図4(B)に示すサブポリシー情報は、メインポリシー情報から参照される具体的な条件を記述したものであり、例えば「所属」の条件に対応したサブポリシー情報S11と、「役職」の条件に対応したサブポリシー情報S12と、「期間」の条件に対応したサブポリシー情報S13と、「環境」の条件に対応したサブポリシー情報S14とを含んでいる。
【0053】
また、サーバ110−1によって構成される文書管理システムでは、各文書に関連付けられる情報の一例として、図5(A)に示すような文書プロパティ情報が保持されているものとする。図5(A)に示す文書プロパティ情報は、文書管理システムによって管理される各文書に関する情報のみを記述したものであり、情報システム10や文書管理システムにおける実際の設定とは独立した内容のものであればよい。図5(A)に示す例では、「文書XXX」に対応した文書プロパティ情報DP11と、「文書YYY」に対応した文書プロパティ情報DP12と、「文書ZZZ」に対応した文書プロパティ情報DP13とが含まれている。
【0054】
図5(B)は、システム情報データベース154に格納されるシステムプロパティ情報の一例を示している。図5(B)に示すシステムプロパティ情報は、アクセス権の内容を示す「アクセス権」のシステムプロパティ情報SP11と、ファイルの使用内容を示す「ファイルの利用」のシステムプロパティ情報SP12と、ファイアウォール111の設定内容を示す「FW設定」のシステムプロパティ情報SP13と、サーバ110−1〜110−Nに含まれるメールサーバの設定を示す「メールサーバ設定」のシステムプロパティ情報SP14とが含まれている。
【0055】
次に、第2の具体例として、ネットワークに対する情報セキュリティポリシーについて説明する。この具体例では、ポリシー登録処理部150により、図6(A)に示すような「ネットワークポリシー」に対応したメインポリシー情報と、図6(B)に示すようなサブポリシー情報とが、ポリシー管理データベース153に予め格納される。図6(A)に示すメインポリシー情報も、図4(A)に示したメインポリシー情報と同様に、情報システム10における実際の構成とは独立した汎用的な内容を記述したものであればよく、例えば情報システム10の内部ネットワークで実施される「ウィルス対策」に対応したメインポリシー情報M21と、ファイアウォール111の設定に関する「FW設定」に対応したメインポリシー情報M22とが含まれている。図6(B)に示すサブポリシー情報も、図4(B)に示したサブポリシー情報と同様にメインポリシー情報から参照され、具体的な動作ルールを記述したものであり、例えば「Rule A」に対応したサブポリシー情報S21と、「Rule B」に対応したサブポリシー情報S22と、「Rule C」に対応したサブポリシー情報S23とを含んでいる。
【0056】
上記のような各種の情報が格納された状態で、例えばアクセスポイント20に接続したクライアント端末50から、文書の閲覧を目的とするアクセス要求があったものとする。この場合には、まず、図3に示すステップS101の処理が実行されることにより、利用者情報取得処理部161がクライアント端末50からユーザIDを取得するなどして利用者を特定し、特定した利用者の役職や所属部署を示す利用者属性情報を、利用者管理装置101から取得する。また、図3に示すステップS102の処理が実行されることにより、クライアントプロパティ情報取得処理部160がクライアント端末50に関するクライアントプロパティ情報を取得する。このとき取得されたクライアントプロパティ情報には、例えばアクセスポイント20のネットワークアドレスを示す情報などが含まれることで、クライアント端末50からのアクセスが外部ネットワーク11を介したアクセスであることを特定することができる。また、クライアントプロパティ情報には、クライアント端末50がデスクトップパソコンであるか、ノートパソコンであるか、PDAであるか、携帯電話機であるかといった、クライアント端末50の種類を示す情報も含まれている。
【0057】
続いて、図3に示すステップS103の処理が実行されることにより、ポリシー決定処理部163は、例えば利用者属性情報から特定される利用者の役職や所属部署、クライアント端末50の種類、クライアントプロパティ情報から特定される外部ネットワーク11からのアクセスであること、また、クライアント端末50からのアクセス要求が文書の閲覧を目的とすることなどに基づいて、情報システム10の設定を行うために必要となるポリシー情報を決定する。そして、図3に示すステップS104の処理が実行されることにより、ポリシー情報判定処理部164がポリシー管理データベース153に格納されているメインポリシー情報やサブポリシー情報を取得し、図3に示すステップS105の処理が実行されることにより、ポリシー情報の解析が行われる。
【0058】
ステップS105における解析の結果、ポリシー情報の関連情報として、例えば文書プロパティ情報が必要であると判定されれば(ステップS106;Yes)、図3に示すステップS107の処理が実行されることにより、ポリシー情報判定処理部164が、文書管理システムを構成するサーバ110−1から文書プロパティ情報を取得する。また、ステップS105におけるポリシー情報の解析結果に基づき、図3に示すステップS108の処理が実行されることにより、システムプロパティ情報取得処理部162がシステム情報データベース154などからシステムプロパティ情報を取得する。こうして取得された各種の情報は、システム設定作成処理部152に提供されて、図3のステップS108の処理が実行されることによる機器設定情報の作成に用いられる。
【0059】
図7(A)〜(C)は、システム設定作成処理部152により作成される機器設定情報の具体例を示している。ここで、図7(A)は、例えば文書管理システムを構成するサーバ110−1に提供されて文書ファイルの使用に関する制限事項を定める「文書の制限」を示す機器設定情報CF11を示している。また、図7(B)は、情報システム10を構成する機器のいずれか(例えばサーバ110−1〜110−Nのいずれか)に提供されて情報システム10の内部ネットワークに関する設定を定める「ネットワーク設定」を示す機器設定情報CF12を示している。図7(C)は、例えば文書管理システムを構成するサーバ110−1に提供される「パーソナルファイアウォール」を示す機器設定情報CF13を示している。この機器設定情報CF13の提供を受けたサーバ110−1は、ファイアウォール111によるアクセス制御とは別に独自のアクセス制御を行うための設定が可能になる。
【0060】
また、ポリシー管理データベース153に格納されるポリシー情報は、メインポリシー情報とサブポリシー情報とから構成されるのみならず、さらに、情報システム10の仕様や情報システム10が設置される環境などに応じて、システム設定を柔軟に行うことができるように様々な組合せが可能なものとしてもよい。具体的な一例として、ポリシー管理データベース153に格納されるポリシー情報を複数の上下階層に階層化し、各階層においては、各メインポリシー情報などで記述された情報セキュリティポリシーのそれぞれを1つの要素として、複数の要素を定義できるようにしてもよい。この場合、階層の設定の仕方や各階層に含まれる要素には制限を設けず、状況に応じて適宜、様々な階層の設定や要素の組合せに対応できるものであればよい。一例として、クライアントプロパティ情報を利用してシステム設定を作成するための階層を設け、その階層よりも下位の階層に、システムプロパティ情報を利用してシステム設定を作成するための階層を設けるなどのように、一定の基準に基づいて切り分けられた各階層で複数の要素を定義可能にして階層化したポリシー情報を、ポリシー管理データベース153に格納するようにしてもよい。
【0061】
加えて、ポリシー決定処理部163の決定に基づいて、ポリシー情報判定処理部164がポリシー管理データベース153に格納されているメインポリシー情報やサブポリシー情報を読み出すときには、複数のポリシー情報を組み合わせることで階層化された1つのポリシー情報を新たに作成するようにしてもよい。この場合にも、階層の設定の仕方や各階層に含まれる要素には制限を設けず、状況に応じて適宜、階層の設定や要素の組合せを決定できるようにすればよい。一例として、ポリシー情報判定処理部164は、クライアントプロパティ情報を利用してシステム設定を作成するための階層を設け、その階層よりも下位の階層に、システムプロパティ情報を利用してシステム設定を作成するための階層を設けるなどのように、各階層を一定の基準に基づいて切り分け、各階層において複数の要素を定義できるようにしてもよい。
【0062】
このように、複数の上下階層に階層化されたポリシー情報を作成可能とすることにより、情報セキュリティポリシーを変更する際の影響を限定することができ、情報セキュリティポリシーやシステム設定の管理が容易になる。また、例えば下位の階層には上位の階層に比べてより具体的なシステム構成に応じた情報セキュリティポリシーの定義を用意して、社内の組織ごとなどの個別の設定が可能となり、情報セキュリティポリシーに従ったシステム設定のカスタム化が容易になる。さらに、ポリシー情報内での上下関係を明確化することにより、情報セキュリティポリシーの違反や矛盾を防止することができ、情報セキュリティポリシーに従ったきめ細やかな運用が可能になる。
【0063】
以上説明したように、この発明によれば、クライアントプロパティ情報取得処理部160により取得したクライアントプロパティ情報などに基づいて情報システム10の設定を行うために必要となるポリシー情報を決定している。これにより、例えばクライアント端末50がデスクトップパソコンであるか、ノートパソコンであるか、PDAであるか、携帯電話機であるかといった、クライアント端末50の種類を含めた環境に応じた情報セキュリティポリシーに従って、情報システム10の設定を柔軟に行うことができる。
【0064】
また、システム設定作成処理部152は、ポリシー判断処理部151により取得したポリシー情報を含めた各種の情報から機器設定情報を作成する。ポリシー管理データベース153に格納されるポリシー情報は、情報システム10における実際の構成とは独立した汎用的な内容を記述したメインポリシー情報と、メインポリシー情報から参照されて具体的な条件や動作ルールを記述したサブポリシー情報とから構成されている。そして、システム情報データベース154に格納されたシステムプロパティ情報には、アクセス権の内容などを特定可能な設定要素情報が含まれている。これにより、情報セキュリティポリシーを設定可能な対象が限定されずに、情報セキュリティポリシーに従った情報システム10の設定を柔軟に行うことができ、また、個別の機器設定情報を予め全て用意しておく必要がないので、システム設定に必要な情報量を低減することができる。
【0065】
なお、上記の具体例では、ドキュメントやネットワークに対する情報セキュリティポリシーについて説明したが、この発明はこれに限定されるものではなく、例えば音楽データや映像データ、アプリケーションソフトなどといった各種の情報に対するセキュリティポリシーに従った情報システム10の設定を行う場合にも適用可能である。
【0066】
この発明は、上記実施の形態に限定されるものではなく、様々な変形及び応用が可能である。例えば、上記実施の形態では、ポリシー管理装置100、利用者管理装置101、管理者端末102、サーバ110−1〜110−N、ファイアウォール111などが、全て独立した電子計算機としてのハードウェア構成上に構築されることにより、情報システム10を構成するものとして説明した。しかしながら、この発明はこれに限定されるものではなく、少なくとも1つの電子計算機としてのハードウェア構成上にて、上記実施の形態で説明したポリシー管理装置100、利用者管理装置101、管理者端末102、サーバ110−1〜110−N、ファイアウォール111などのいずれかと同等の処理が実行されるものであればよく、例えば1つの電子計算機としてのハードウェア構成上にて、上記実施の形態における情報システム10の各構成が構築されるものであってもよい。また、ポリシー管理装置100は、情報システム10の内部に設置されるものに限定されず、情報システム10と電気通信ネットワークを介して接続される外部の電子計算機としてのハードウェア構成上に構築されるものであってもよい。
【0067】
また、ポリシー管理装置100は、専用のシステムによらず、通常のコンピュータシステムを用いて実現可能である。例えば、上述の動作を実行するためのプログラムをコンピュータ読み取り可能な記録媒体(例えば磁気ディスク、光ディスク、ICメモリ等)に格納して配布し、該プログラムをコンピュータにインストールすることにより、上述の処理を実行するポリシー管理装置を構成してもよい。また、インターネット等のネットワーク上に配置された任意の情報処理装置が有する情報記憶装置にプログラムを格納しておき、例えばコンピュータにダウンロード等するようにしてもよい。
【図面の簡単な説明】
【0068】
【図1】ポリシー管理装置が適用される情報システムの一構成例を示す図である。
【図2】ポリシー管理装置の構成例を示す図である。
【図3】情報システム設定処理の一例を示すフローチャートである。
【図4】ポリシー管理データベースに格納されるポリシー情報の具体的な一例を示す図である。
【図5】サーバに保持される文書プロパティ情報と、システム情報データベースに格納されるシステムプロパティ情報の具体的な一例を示す図である。
【図6】ポリシー管理データベースに格納されるポリシー情報の具体的な一例を示す図である。
【図7】システム設定作成処理部により作成される機器設定情報の具体的な一例を示す図である。
【符号の説明】
【0069】
10 情報システム
11 外部ネットワーク
20 アクセスポイント
30 検疫サーバ
50 クライアント端末
100 ポリシー管理装置
101 利用者管理装置
102 管理者端末
110−1〜110−N サーバ
111 ファイアウォール
120 スイッチ
150 ポリシー登録処理部
151 ポリシー判断処理部
152 システム設定作成処理部
153 ポリシー管理データベース
154 システム情報データベース
160 クライアントプロパティ情報取得処理部
161 利用者情報取得処理部
162 システムプロパティ情報取得処理部
163 ポリシー決定処理部
164 ポリシー情報判定処理部
300 検疫システム
【技術分野】
【0001】
この発明は、情報セキュリティポリシーに従った情報システムの設定を行う情報システム設定装置などに関する。
【背景技術】
【0002】
特別な専門知識を必要とすることなく、情報システムにおけるセキュリティの状態を管理可能にする様々な技術が提案されている。例えば、ドキュメントに対するセキュリティポリシーを所定の記述形式に従って電子的に記述することにより、情報システム全体に一貫したセキュリティポリシーを共有させ、例えばドキュメントのタイプ(カテゴリ、レベル)に応じて、どのようなユーザタイプ(カテゴリ、レベル)がドキュメントに対してどのようなオペレーションが可能なのか、オペレーションが可能な場合にはどのような要件を満たさなければならないかといった事項を、明確に記述できるようにしたシステムが提案されている(例えば特許文献1)。
【特許文献1】特開2004−102907号公報
【0003】
また、アクセス制御を行うときに取得する情報を利用してアクセス制御ポリシーを作成し、そのアクセス制御ポリシーに基づいてファイルアクセス要求の正当性を判定することで、アクセス制御ポリシーを自動的に設定可能とし、特別な知識を有していなくても構築可能なアクセス制御システムが提案されている(例えば特許文献2)。
【特許文献2】特開2003−6027号公報
【0004】
さらに、被管理対象システムのセキュリティ状態を情報セキュリティポリシーに整合するように制御する管理部や、被管理対象システムの情報セキュリティポリシーに関わるセキュリティの状態を監査する監査部を、複数用意して、抽出した管理部に対応する被管理対象システムのセキュリティ状態を対応する情報セキュリティポリシーに整合するように変更させたり、抽出した監査部に対応する被管理対象システムの情報セキュリティポリシーに関わるセキュリティ状態を監査するシステムが提案されている(例えば特許文献3)。
【特許文献3】特開2002−247033号公報
【0005】
加えて、 複数のセキュリティポリシーを格納しておき、例えばモバイル機器といった情報処理装置がLANに接続されているかどうかといった、モバイル機器の動作の環境または状況に従ったセキュリティポリシーを選択して、情報処理装置の安全性を判定するシステムが提案されている(例えば特許文献4)。
【特許文献4】特開2004−265286号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
特許文献1に記載の技術はドキュメントに対するオペレーションでの安全性を確保するためのものであり、特許文献2に記載の技術はファイルアクセスにおける安全性を確保するためのものである。特許文献3に記載の技術では、操作者が選択した情報セキュリティポリシーに対して抽出されたセキュリティ管理プログラムを起動するだけである。このように、特許文献1乃至3に記載の技術では、セキュリティポリシーを設定可能な対象が限定されたり、アクセス要求を行うクライアント端末の種類や環境に応じたセキュリティポリシーに従って柔軟にシステム設定を行うことが困難であるなどの問題があった。
【0007】
また、特許文献4に記載の技術では、情報処理装置が置かれている環境(例えばオフィス内LANでの接続であるか、オフィス外ネットワークでの接続であるかなど)に従ったセキュリティポリシーを選択することは可能であるが、情報処理端末の種類(例えばノートパソコンであるか、PDAであるか、携帯電話機であるかなど)に応じたセキュリティポリシーに従ってシステム設定を行うことはできなかった。
【0008】
情報処理技術の進展に伴い、情報システムにアクセス可能なクライアント端末となる情報処理装置が多様化している。そして、情報システムにアクセスする利用者が同一であっても、クライアント端末となる情報処理装置が異なれば、情報管理の安全性も異なるものとなる。そのため、クライアント端末となる情報処理装置に応じたセキュリティポリシーに従って柔軟なシステム設定を行う必要性が高まっている。また、情報システムにアクセスする利用者の所属部署や役職等といった利用者の属性に応じて、アクセス可能な情報資源を変更可能に設定することが望まれている。
【0009】
この発明は、上記実状に鑑みてなされたものであり、情報セキュリティポリシーに従ったシステム設定を、クライアント端末の種類を含めた利用者の環境に合わせて動的に行うことができる情報セキュリティポリシー管理システムなどを提供することを目的とする。
【課題を解決するための手段】
【0010】
上記目的を達成するため、この発明の第1の観点に係る情報システム設定装置は、
情報セキュリティポリシーに従った情報システムの設定を行う情報システム設定装置であって、
情報セキュリティポリシーを記述したポリシー情報を格納するポリシー管理データベースと、
利用者の属性情報を取得する属性情報取得手段と、
前記情報システムに対するアクセス要求を発信した端末装置のプロパティ情報を取得する端末プロパティ情報取得手段と、
前記情報システムを構成する各機器のプロパティ情報を取得するシステムプロパティ情報取得手段と、
前記属性情報取得手段により取得した属性情報と前記端末プロパティ情報取得手段により取得した端末装置のプロパティ情報とに基づいて、前記ポリシー管理データベースに格納されたポリシー情報を読み出すポリシー情報読出手段と、
少なくとも前記ポリシー情報読出手段により読み出されたポリシー情報と前記システムプロパティ情報取得手段により取得したシステムプロパティ情報とに基づいて、前記情報システムの設定情報を作成することにより、前記情報システムの設定を行う設定制御手段とを備える、
ことを特徴とする。
【0011】
この構成によれば、ポリシー情報読出手段が、属性情報取得手段により取得した属性情報と端末プロパティ情報取得手段により取得した端末装置のプロパティ情報とに基づいて、ポリシー管理データベースに格納されたポリシー情報を読み出す。そして、設定制御手段が、ポリシー情報読出手段により読み出されたポリシー情報とシステムプロパティ情報取得手段により取得したシステムプロパティ情報とに基づいて、情報システムの設定を行うことができる。
これにより、情報システムに対するアクセス要求を発信した端末装置のプロパティ情報や利用者の属性情報に対応する情報セキュリティポリシーに従った情報システムの設定が可能になり、端末装置の種類を含めた環境に応じた情報セキュリティポリシーに従って、情報システムの設定を柔軟に行うことができる。
【0012】
前記ポリシー管理データベースは、前記情報システムの構成とは独立した情報セキュリティポリシーを記述したメインポリシー情報と、前記メインポリシー情報にて参照されて前記情報システムの設定に関する条件または動作ルールを記述したサブポリシー情報を、前記ポリシー情報として格納してもよい。
【0013】
前記ポリシー情報読出手段が前記ポリシー管理データベースから読み出したポリシー情報を解析して、当該ポリシー情報の関連情報を取得する関連情報取得手段を備え、
前記設定制御手段は、前記関連情報取得手段により取得した関連情報に基づいて、前記情報システムの設定を行うことが望ましい。
【0014】
前記ポリシー情報読出手段は、前記端末プロパティ情報取得手段により取得した端末装置のプロパティ情報に基づいて、前記ポリシー管理データベースから読み出すポリシー情報を決定する手段を含んでもよい。
【0015】
上記目的を達成するため、この発明の第2の観点に係る情報システム設定方法は、
情報セキュリティポリシーに従った情報システムの設定を行うコンピュータによる情報システム設定方法であって、
情報セキュリティポリシーを記述したポリシー情報をポリシー管理データベースに格納するポリシー情報格納ステップと、
利用者の属性情報を取得する属性情報取得ステップと、
前記情報システムに対するアクセス要求を発信した端末装置のプロパティ情報を取得する端末プロパティ情報取得ステップと、
前記情報システムを構成する各機器のプロパティ情報を取得するシステムプロパティ情報取得ステップと、
前記属性情報取得ステップにて取得した属性情報と前記端末プロパティ情報取得ステップにて取得した端末装置のプロパティ情報とに基づいて、前記ポリシー管理データベースに格納されたポリシー情報を読み出すポリシー情報読出ステップと、
少なくとも前記ポリシー情報読出ステップにて読み出したポリシー情報と前記システムプロパティ情報取得ステップにて取得したシステムプロパティ情報とに基づいて、前記情報システムの設定情報を作成することにより、前記情報システムの設定を行う設定制御ステップとを備える、
ことを特徴とする。
【0016】
前記ポリシー情報読出ステップにて読み出したポリシー情報を解析して、当該ポリシー情報の関連情報を取得する関連情報取得ステップを備え、
前記設定制御ステップは、前記関連情報取得ステップにて取得した関連情報に基づいて、前記情報システムの設定を行うことが望ましい。
【0017】
上記目的を達成するため、この発明の第3の観点に係るプログラムは、
情報セキュリティポリシーに従った情報システムの設定を行うコンピュータに、
情報セキュリティポリシーを記述したポリシー情報をポリシー管理データベースに格納するポリシー情報格納処理と、
利用者の属性情報を取得する属性情報取得処理と、
前記情報システムに対するアクセス要求を発信した端末装置のプロパティ情報を取得する端末プロパティ情報取得処理と、
前記情報システムを構成する各機器のプロパティ情報を取得するシステムプロパティ情報取得処理と、
前記属性情報取得処理にて取得した属性情報と前記端末プロパティ情報取得処理にて取得した端末装置のプロパティ情報とに基づいて、前記ポリシー管理データベースに格納されたポリシー情報を読み出すポリシー情報読出処理と、
少なくとも前記ポリシー情報読出処理にて読み出したポリシー情報と前記システムプロパティ情報取得処理にて取得したシステムプロパティ情報とに基づいて、前記情報システムの設定情報を作成することにより、前記情報システムの設定を行う設定制御処理と、
を実行させる。
【0018】
また、前記コンピュータに、
前記ポリシー情報読出処理にて読み出したポリシー情報を解析して、当該ポリシー情報の関連情報を取得する関連情報取得処理をさらに実行させ、
前記設定制御処理では、前記関連情報取得処理にて取得した関連情報に基づいて、前記情報システムの設定を行うことが望ましい。
【発明の効果】
【0019】
この発明によれば、情報セキュリティポリシーに従ったシステム設定を、情報システムに対するアクセス要求を発信した端末装置の種類を含めた利用者の環境に合わせて柔軟に行うことができる。
【発明を実施するための最良の形態】
【0020】
以下に、この発明の実施の形態に係るポリシー管理装置100について説明する。図1には、ポリシー管理装置100が適用される情報システム10の一構成例が示されている。図1に示す情報システム10は、例えば社内システムとして運用され、外部ネットワーク11にネットワーク接続されており、クライアント端末50からのアクセス要求を受け付ける。外部ネットワーク11は、例えばインターネットや移動体通信網、公衆回線網などの一般的な電気通信ネットワークであればよい。
【0021】
クライアント端末50は、例えばデスクトップパソコンやノートパソコン、PDA(Personal Digital Assistants)、携帯電話機などといった、各種の情報を処理するソフトウェアプログラムを実行可能な情報処理装置であり、アクセスポイント20に接続することにより外部ネットワーク11を介して情報システム10にアクセスしたり、情報システム10が備えるスイッチ120に接続されたりする。すなわち、クライアント端末10は、情報システム10の外部にある場合もあれば、情報システム10の内部にある場合もある。
【0022】
社内システムとして運用される情報システム10は、業務システム15と、ファイアウォール111と、スイッチ120と、検疫システム300とを備えている。情報システム10を構成するこれらの各機器は、例えばLANケーブルあるいは無線通信などを用いて相互にネットワーク接続が可能とされている。また、情報システム10は、VPN(Virtual Private Network)を用いて構築された仮想的な内部ネットワークシステムであってもよい。その他、情報システム10は、例えばルータやブリッジ、リピータ、ハブ、ネットワークストレージ、ファックス、プリンタ、スキャナ、複合機、またはデジタル家電機器など、各種のネットワーク機器や情報処理機器を含んでいてもよい。
【0023】
業務システム15は、ポリシー管理装置100と、利用者管理装置101と、管理者端末102と、複数のサーバ110−1〜110−Nとを備えている。
【0024】
ポリシー管理装置100は、情報セキュリティポリシーに従った情報システム10の設定を行う情報システム設定装置としての機能を有している。ポリシー管理装置100は、例えばCPU、メモリ、ハードディスク装置などの外部記憶装置、情報システム10の内部ネットワークに接続された通信装置、キーボードやマウスなどの入力装置、ディスプレイなどの表示装置、磁気ディスクや光ディスク等の記憶媒体からデータを読み取る読取装置などを備えた一般的なワークステーション等の電子計算機におけるハードウェア構成上に、構築することができる。このポリシー管理装置100では、例えばCPUが所定の記憶装置(例えばハードディスク装置など)から読み出した所定のプログラムを実行することや、所定の記憶装置に所定のデータ構造を有するファイルを格納することなどにより、図2に示すような構成が実現される。図2に示すように、ポリシー管理装置100は、ポリシー登録処理部150と、ポリシー判断処理部151と、システム設定作成処理部152と、ポリシー管理データベース153と、システム情報データベース154とを備えている。
【0025】
ポリシー登録処理部150は、管理者端末102から取得した情報に基づいて情報セキュリティポリシーの登録を行う。例えば、ポリシー登録処理部150は、管理者端末102との通信を行うことにより、所定のポリシー記述言語で情報セキュリティポリシーが記載されたポリシー情報を取得し、取得したポリシー情報をポリシー管理データベース153に格納する。また、ポリシー登録処理部150は、管理者端末102との通信により取得した情報や、情報システム10の内部ネットワークにおけるアクセス制御にて取得した情報に基づいて情報セキュリティポリシーを記載したポリシー情報を作成し、作成したポリシー情報をポリシー管理データベース153に格納してもよい。
【0026】
ポリシー判断処理部151は、クライアント端末50からのアクセス要求もしくは管理者端末102からの要求に応答して情報システム10に適用する情報セキュリティポリシーを判断するとともに、システム設定作成処理部152によるシステム設定に必要な各種の情報を取得するための処理を実行する。例えば、ポリシー判断処理部151は、クライアントプロパティ情報取得処理部160と、利用者情報取得処理部161と、システムプロパティ情報取得処理部162と、ポリシー決定処理部163と、ポリシー情報判定処理部164とを備えている。
【0027】
クライアントプロパティ情報取得処理部160は、情報システム10へのアクセス要求を発信したクライアント端末50の特性などを特定可能なクライアントプロパティ情報を、クライアント端末50などから取得する。例えば、クライアントプロパティ情報取得処理部160は、クライアント端末50からのアクセス要求があったときに、クライアント端末50の端末識別情報や環境識別情報、ソフトウェアのインストール情報などを、クライアントプロパティ情報として取得する。ここで、端末識別情報の具体例としては、クライアント端末50のIP(Internet Protocol)アドレスやMAC(Media Access Control)アドレス、携帯電話機の端末IDなどであればよい。また、環境識別情報の具体例としては、アクセスポイント20のネットワークアドレスなどであればよい。ソフトウェアのインストール情報の具体例としては、例えばクライアント端末50にインストールされているOS(Operating System)の名称やバージョン、アプリケーションプログラムの名称やバージョン、ウィルス検出ソフトの名称やバージョン、ウィルス定義ファイルのバージョンや更新日時などを特定可能な情報であればよい。
【0028】
なお、クライアントプロパティ情報取得処理部160は、クライアント端末50の端末識別情報や環境識別情報、ソフトウェアのインストール情報を全てクライアント端末50から取得してもよいし、一部のみをクライアント端末50から取得し、その他の情報は利用者管理装置101が管理する情報のうちから取得するなどしてもよい。また、クライアントプロパティ情報取得処理部160は、クライアント端末50からのアクセス要求を受ける毎に、クライアントプロパティ情報となる端末識別情報や環境識別情報、ソフトウェアのインストール情報などを全てクライアント端末50から取得する必要はなく、例えばその一部を利用者管理装置101に保持させておくなどして、必要な情報だけをクライアント端末50から取得するようにしてもよい。さらに、クライアントプロパティ情報取得処理部160は、クライアント端末50から送られるアクセス要求のデータフォーマットなどから、例えばクライアント端末50がデスクトップパソコンであるか、ノートパソコンであるか、PDAであるか、携帯電話機であるかといった、クライアント端末50の種類を特定して、端末識別情報を作成するようにしてもよい。
【0029】
利用者情報取得処理部161は、情報システム10へのアクセス要求をクライアント端末50から発信させた利用者について、その属性などを示す情報を取得する。例えば、利用者情報取得処理部161は、クライアント端末50からのアクセス要求があったときに、クライアント端末50から送られたユーザIDや、利用者管理装置101が管理する情報のうちで、利用者の属性を示す利用者属性情報などを取得する。ここで、利用者属性情報の具体例としては、利用者の氏名や所属部署名、役職名などを示す情報であればよい。
【0030】
システムプロパティ情報取得処理部162は、情報システム10を構成する各機器の特性などを特定可能なシステムプロパティ情報を、システム情報データベース154などから取得する。例えば、システムプロパティ情報取得処理部162は、各サーバ110−1〜110−Nや、ファイアウォール111、スイッチ120といった、情報システム10を構成する各機器の機器識別情報や動作性能情報、設定要素情報などを、システムプロパティ情報として取得する。ここで、機器識別情報の具体例としては、情報システム10を構成する各機器の名称や識別番号、ネットワークアドレスなどを示す情報であればよい。また、動作性能情報の具体例としては、情報システム10を構成する各機器の型式やバージョン、インストールされているソフトウェアの名称やバージョンなどを特定可能な情報であればよい。設定要素情報の具体例としては、アクセス権の内容(例えばファイル読取の可否、ファイル編集の可否、ファイル書込の可否、プログラム実行の可否など)や、ファイルの使用内容(例えば読取の可否、編集の可否、印刷の可否、複写の可否など)、送受信する情報の内容(例えばメール送受信の可否、WEBページ閲覧の可否、実行コマンド送受信の可否、ファイル共有の可否、転送データのファイル形式、転送データの容量など)、情報を送受信する相手方や方式の指定内容(例えば電子メールの宛先、カーボンコピー先、隠蔽カーボンコピー先、開放ポート番号、閉鎖ポート番号、アドレスマスク設定、使用可能なプロトコルなど)などを特定可能な情報であればよい。
【0031】
なお、システムプロパティ情報取得処理部162は、情報システム10を構成する各機器の機器識別情報や動作性能情報、設定要素情報などを全てシステム情報データベース154から取得してもよいし、一部のみをシステム情報データベース154から取得し、その他の情報は情報システム10を構成する各機器そのものから取得してもよい。あるいは、全てのシステムプロパティ情報を、情報システム10を構成する各機器から取得するようにしてもよい。また、システムプロパティ情報取得処理部162は、情報システム10を構成する全ての機器に関するシステムプロパティ情報を取得してもよいし、クライアント端末50からの要求に応じて情報システム10にて実行すべき処理の内容に応じて、情報システム10を構成する一部の機器に関するシステムプロパティ情報を取得してもよい。
【0032】
ポリシー決定処理部163は、ポリシー管理データベース153に格納されているポリシー情報のうちで、情報システム10の設定を行うために必要となるものを決定する。例えば、ポリシー決定処理部163は、クライアントプロパティ情報取得処理部160が取得したクライアントプロパティ情報や、利用者情報取得処理部161が取得した利用者属性情報などから、情報システム10の設定を行うために必要となるポリシー情報を決定する。また、ポリシー決定処理部163は、クライアント端末50からのアクセス要求に応答して情報システム10にて実行すべき処理の内容を特定し、特定された処理内容に基づいてポリシー情報を決定してもよい。ポリシー決定処理部163によって決定されたポリシー情報は、ポリシー情報判定処理部164に通知される。
【0033】
ポリシー情報判定処理部164は、ポリシー決定処理部163から通知されたポリシー情報をポリシー管理データベース153から読み出し、読み出したポリシー情報の解析を行う。そして、解析の結果から関連情報が必要か否かを判定し、必要である場合には、その関連情報を取得する。例えば、ポリシー情報判定処理部164は、クライアントプロパティ情報取得処理部160により取得したクライアントプロパティ情報や、利用者情報取得処理部161により取得した利用者属性情報、システムプロパティ情報取得処理部162により取得したシステムプロパティ情報などのうちから、関連情報として必要なものを選択して取得する。また、ポリシー情報判定処理部164は、クライアント端末50からの要求に応じて情報システム10にて実行すべき処理の内容に応じて、例えばサーバ110−1〜110−Nなどの情報システム10を構成する各機器から、ポリシー情報の関連情報を取得してもよい。ポリシー情報判定処理部164によってポリシー管理データベース153から読み出されたポリシー情報や、その関連情報は、システム設定作成処理部152に提供される。
【0034】
システム設定作成処理部152は、ポリシー判断処理部151のポリシー情報判定処理部164より提供されたポリシー情報や、その関連情報などから、情報システム10を構成する各機器の設定内容を示す機器設定情報を作成する。例えば、システム設定作成処理部152は、ポリシー情報によって示される情報セキュリティポリシーの内容を解析し、関連情報に含まれるクライアントプロパティ情報や利用者属性情報、システムプロパティ情報などにあわせて、各サーバ110−1〜110−Nやファイアウォール111、スイッチ120などの各機器における設定内容を示す機器設定情報を作成する。そして、情報システム10を構成する各機器に機器設定情報を提供することにより、情報セキュリティポリシーに従った情報システム10の設定を可能にする。
【0035】
ポリシー管理データベース153は、ポリシー登録処理部150が管理者端末102から取得したポリシー情報を格納して管理する。ここで、ポリシー管理データベース153に格納されるポリシー情報には、情報システム10のシステム構成や各機器の設定とは独立した汎用的な情報セキュリティポリシーを定めるメインポリシー情報と、メインポリシー情報内で参照される具体的な条件や動作ルールを記述したサブポリシー情報とが含まれている。
【0036】
システム情報データベース154は、情報システム10を構成する各機器のシステムプロパティ情報のうちの全部又は一部を格納する。システム情報データベース154に格納されたシステムプロパティ情報は、システム設定作成処理部152による機器設定情報の作成に使用することができる。
【0037】
利用者管理装置101は、例えばワークステーションやパーソナルコンピュータなどの一般的な電子計算機としてのハードウェア構成を有するものであればよく、LDAP(Lightweight Directory Access Protocol)等の所定プロトコルに準拠したディレクトリツリーを使用するなどして、利用者に関する所定の情報を管理する。ここで、利用者管理装置101が管理する情報の具体的な一例としては、各利用者を特定するためのユーザIDや、パスワード、所属部署名や役職名、所属グループ名、情報管理に関する属性(情報提供が許可される程度など)を示す情報などであればよい。
【0038】
管理者端末102は、例えばワークステーションやパーソナルコンピュータなどといった一般的な電子計算機としてのハードウェア構成を有するものであればよい。管理者端末102は、例えば情報システム10を管理する管理者の操作などに応答して、ポリシー情報の入力や作成を行い、ポリシー情報をポリシー管理装置100に提供する。一例として、管理者端末102では、企業のセキュリティ対策部門(情報システム部署など)にて作成された運用手順書などに従った情報セキュリティポリシーが、所定のポリシー記述言語で記載されたポリシー情報として入力される。
【0039】
また、管理者端末102にて入力されるポリシー情報は、キーボードやマウスなどの入力装置を用いて入力されるものであってもよいし、磁気ディスクドライブや光ディスクドライブ、ICメモリインタフェースなどといった記録媒体読取装置を用いることにより、磁気ディスクや光ディスク、ICメモリなどの所定の記録媒体から読み取られるものであってもよい。あるいは、管理者端末102が所定の通信処理を実行してポリシー情報を取得するものや、管理者端末102が所定のアプリケーションプログラムを実行することによりポリシー情報が作成されるものであってもよい。
【0040】
サーバ110−1〜110−Nは、例えばワークステーションやパーソナルコンピュータなどの一般的な電子計算機としてのハードウェア構成を有するものであればよく、クライアント端末50からの要求に応答して所定の情報処理を実行可能な情報処理装置として機能するものであればよい。サーバ110−1〜110−Nの具体例としては、ウェブサーバ、ファイルサーバ、メールサーバ、データベースサーバ、DRM(Digital Rights Management)サーバ、SSO(Single Sign-On)サーバ、アプリケーションサーバのうちで、少なくとも1つを含んだものであればよい。
【0041】
ファイアウォール111は、保護対象となる情報システム10の内部ネットワークにおける構成等の情報を外部から隠蔽し、情報システム10の内部ネットワークと外部ネットワーク11との境界において、認証に基づくアクセス制御を実行することで、外部からの進入を防ぎつつ、正当な利用者の通信を可能にする機能を有している。
【0042】
スイッチ120は、例えば認証機能付きのLANスイッチなどであればよく、クライアント端末50を情報システム10内の業務システム15や検疫システム300に接続可能とする設定を行う。
【0043】
検疫システム300は、検疫サーバ30などを用いて構成され、クライアント端末50とネットワーク接続される。検疫システム300は、業務システム15とは隔離して設置されていればよい。検疫システム300に接続されたクライアント端末50は、ウィルスの感染の有無や、セキュリティ・パッチの状況、ウィルス対策ソフトの定義ファイルのバージョン及び稼働状況などが検査される。この検査の結果が情報システム10における情報セキュリティポリシーに合致する場合には、業務システム15への接続が許可される。他方、情報セキュリティポリシーに合致しない場合には、クライアント端末50を情報セキュリティポリシーに適合するように更新し、その後に業務システム15への接続を許可する。
【0044】
次に、上記構成におけるポリシー管理装置100の動作について説明する。このポリシー管理装置100では、ポリシー登録処理部150が管理者端末102などから取得した情報に基づいてポリシー情報をポリシー管理データベース153に格納することにより、情報セキュリティポリシーが記載されたポリシー情報が予め登録されている。
【0045】
クライアント端末50は、スイッチ120に接続されることにより、あるいは、アクセスポイント20に接続されて外部ネットワーク11を介することにより、情報システム10へのアクセス要求を発信する。ポリシー管理装置100では、このクライアント端末50からのアクセス要求に応答して、図3のフローチャートに示すような情報システム設定処理を実行する。
【0046】
図3に示す情報システム設定処理を開始すると、まず、利用者情報取得処理部161がクライアント端末50からのアクセス情報などに基づいて利用者を判別し、そのアクセス情報や利用者管理装置101にて管理される情報から、利用者属性情報などを取得する(ステップS101)。また、クライアントプロパティ情報取得処理部160は、クライアント端末50から送られる情報や利用者管理装置101にて管理される情報から、クライアント端末50に関するクライアントプロパティ情報を取得する(ステップS102)。
【0047】
続いて、ポリシー決定処理部163は、ステップS101にて取得した利用者属性情報や、ステップS102にて取得したクライアントプロパティ情報、あるいはクライアント端末50からのアクセス要求に応答して情報システム10にて実行すべき処理の内容などから、情報システム10の設定を行うために必要となるポリシー情報を決定する(ステップS103)。ポリシー情報判定処理部164は、ステップS103にて決定されたポリシー情報をポリシー管理データベース153から読み出して取得する(ステップS104)。ポリシー情報判定処理部164は、ポリシー管理データベース153から読み出したポリシー情報の解析を行う(ステップS105)。
【0048】
ステップS105における解析の結果から、ポリシー情報判定処理部164は、関連情報が必要となるか否かを判定する(ステップS106)。このとき、関連情報が必要であると判定された場合には(ステップS106;Yes)、ポリシー情報の関連情報となる情報を、例えばサーバ110−1〜110−Nなどの情報システム10を構成する各機器から取得する(ステップS107)。ステップS107にて取得された関連情報は、ポリシー情報とともにシステム設定作成処理部152に提供される。他方、ステップS106にて関連情報は不要であると判別された場合には(ステップS106;No)、ステップS107の処理をスキップして、ポリシー情報のみをシステム設定作成処理部152に提供してもよい。あるいは、ステップS101にて取得した利用者属性情報や、ステップS102にて取得したクライアントプロパティ情報は、ポリシー情報の解析結果から必要とされる関連情報とは異なる情報であるとして、ポリシー情報とともにシステム設定作成処理部152に提供するようにしてもよい。
【0049】
また、ステップS105におけるポリシー情報の解析結果に基づき、システムプロパティ情報取得処理部162がシステム情報データベース154に格納されている情報や情報システム10を構成する各機器が保持する情報から、システムプロパティ情報を取得する(ステップS108)。ステップS108にて取得されたシステムプロパティ情報は、システム設定作成処理部152に提供される。
【0050】
この後、システム設定作成処理部152は、ポリシー判断処理部151の各構成より提供された情報から、情報システム10を構成する各機器の設定内容を示す機器設定情報を作成する(ステップS109)。そして、各機器に作成した機器設定情報を提供することにより、情報セキュリティポリシーに従った情報システム10の設定を完了させる(ステップS110)。
【0051】
以下に、ポリシー管理装置100が管理する情報セキュリティポリシーの具体例について説明する。まず、第1の具体例として、ドキュメントに対する情報セキュリティポリシーについて説明する。この場合、例えばサーバ110−1が文書管理システムを構成するファイルサーバであるものとする。
【0052】
この具体例では、ポリシー登録処理部150により、図4(A)に示すような「文書種別」に対応したメインポリシー情報と、図4(B)に示すようなサブポリシー情報とが、ポリシー管理データベース153に予め格納される。図4(A)に示すメインポリシー情報は、情報システム10における実際の構成とは独立した汎用的な内容を記述したものであり、例えば文書の種別が「極秘」に対応したメインポリシー情報M11と、文書の種別が「機密」に対応したメインポリシー情報M12とを含んでいる。図4(B)に示すサブポリシー情報は、メインポリシー情報から参照される具体的な条件を記述したものであり、例えば「所属」の条件に対応したサブポリシー情報S11と、「役職」の条件に対応したサブポリシー情報S12と、「期間」の条件に対応したサブポリシー情報S13と、「環境」の条件に対応したサブポリシー情報S14とを含んでいる。
【0053】
また、サーバ110−1によって構成される文書管理システムでは、各文書に関連付けられる情報の一例として、図5(A)に示すような文書プロパティ情報が保持されているものとする。図5(A)に示す文書プロパティ情報は、文書管理システムによって管理される各文書に関する情報のみを記述したものであり、情報システム10や文書管理システムにおける実際の設定とは独立した内容のものであればよい。図5(A)に示す例では、「文書XXX」に対応した文書プロパティ情報DP11と、「文書YYY」に対応した文書プロパティ情報DP12と、「文書ZZZ」に対応した文書プロパティ情報DP13とが含まれている。
【0054】
図5(B)は、システム情報データベース154に格納されるシステムプロパティ情報の一例を示している。図5(B)に示すシステムプロパティ情報は、アクセス権の内容を示す「アクセス権」のシステムプロパティ情報SP11と、ファイルの使用内容を示す「ファイルの利用」のシステムプロパティ情報SP12と、ファイアウォール111の設定内容を示す「FW設定」のシステムプロパティ情報SP13と、サーバ110−1〜110−Nに含まれるメールサーバの設定を示す「メールサーバ設定」のシステムプロパティ情報SP14とが含まれている。
【0055】
次に、第2の具体例として、ネットワークに対する情報セキュリティポリシーについて説明する。この具体例では、ポリシー登録処理部150により、図6(A)に示すような「ネットワークポリシー」に対応したメインポリシー情報と、図6(B)に示すようなサブポリシー情報とが、ポリシー管理データベース153に予め格納される。図6(A)に示すメインポリシー情報も、図4(A)に示したメインポリシー情報と同様に、情報システム10における実際の構成とは独立した汎用的な内容を記述したものであればよく、例えば情報システム10の内部ネットワークで実施される「ウィルス対策」に対応したメインポリシー情報M21と、ファイアウォール111の設定に関する「FW設定」に対応したメインポリシー情報M22とが含まれている。図6(B)に示すサブポリシー情報も、図4(B)に示したサブポリシー情報と同様にメインポリシー情報から参照され、具体的な動作ルールを記述したものであり、例えば「Rule A」に対応したサブポリシー情報S21と、「Rule B」に対応したサブポリシー情報S22と、「Rule C」に対応したサブポリシー情報S23とを含んでいる。
【0056】
上記のような各種の情報が格納された状態で、例えばアクセスポイント20に接続したクライアント端末50から、文書の閲覧を目的とするアクセス要求があったものとする。この場合には、まず、図3に示すステップS101の処理が実行されることにより、利用者情報取得処理部161がクライアント端末50からユーザIDを取得するなどして利用者を特定し、特定した利用者の役職や所属部署を示す利用者属性情報を、利用者管理装置101から取得する。また、図3に示すステップS102の処理が実行されることにより、クライアントプロパティ情報取得処理部160がクライアント端末50に関するクライアントプロパティ情報を取得する。このとき取得されたクライアントプロパティ情報には、例えばアクセスポイント20のネットワークアドレスを示す情報などが含まれることで、クライアント端末50からのアクセスが外部ネットワーク11を介したアクセスであることを特定することができる。また、クライアントプロパティ情報には、クライアント端末50がデスクトップパソコンであるか、ノートパソコンであるか、PDAであるか、携帯電話機であるかといった、クライアント端末50の種類を示す情報も含まれている。
【0057】
続いて、図3に示すステップS103の処理が実行されることにより、ポリシー決定処理部163は、例えば利用者属性情報から特定される利用者の役職や所属部署、クライアント端末50の種類、クライアントプロパティ情報から特定される外部ネットワーク11からのアクセスであること、また、クライアント端末50からのアクセス要求が文書の閲覧を目的とすることなどに基づいて、情報システム10の設定を行うために必要となるポリシー情報を決定する。そして、図3に示すステップS104の処理が実行されることにより、ポリシー情報判定処理部164がポリシー管理データベース153に格納されているメインポリシー情報やサブポリシー情報を取得し、図3に示すステップS105の処理が実行されることにより、ポリシー情報の解析が行われる。
【0058】
ステップS105における解析の結果、ポリシー情報の関連情報として、例えば文書プロパティ情報が必要であると判定されれば(ステップS106;Yes)、図3に示すステップS107の処理が実行されることにより、ポリシー情報判定処理部164が、文書管理システムを構成するサーバ110−1から文書プロパティ情報を取得する。また、ステップS105におけるポリシー情報の解析結果に基づき、図3に示すステップS108の処理が実行されることにより、システムプロパティ情報取得処理部162がシステム情報データベース154などからシステムプロパティ情報を取得する。こうして取得された各種の情報は、システム設定作成処理部152に提供されて、図3のステップS108の処理が実行されることによる機器設定情報の作成に用いられる。
【0059】
図7(A)〜(C)は、システム設定作成処理部152により作成される機器設定情報の具体例を示している。ここで、図7(A)は、例えば文書管理システムを構成するサーバ110−1に提供されて文書ファイルの使用に関する制限事項を定める「文書の制限」を示す機器設定情報CF11を示している。また、図7(B)は、情報システム10を構成する機器のいずれか(例えばサーバ110−1〜110−Nのいずれか)に提供されて情報システム10の内部ネットワークに関する設定を定める「ネットワーク設定」を示す機器設定情報CF12を示している。図7(C)は、例えば文書管理システムを構成するサーバ110−1に提供される「パーソナルファイアウォール」を示す機器設定情報CF13を示している。この機器設定情報CF13の提供を受けたサーバ110−1は、ファイアウォール111によるアクセス制御とは別に独自のアクセス制御を行うための設定が可能になる。
【0060】
また、ポリシー管理データベース153に格納されるポリシー情報は、メインポリシー情報とサブポリシー情報とから構成されるのみならず、さらに、情報システム10の仕様や情報システム10が設置される環境などに応じて、システム設定を柔軟に行うことができるように様々な組合せが可能なものとしてもよい。具体的な一例として、ポリシー管理データベース153に格納されるポリシー情報を複数の上下階層に階層化し、各階層においては、各メインポリシー情報などで記述された情報セキュリティポリシーのそれぞれを1つの要素として、複数の要素を定義できるようにしてもよい。この場合、階層の設定の仕方や各階層に含まれる要素には制限を設けず、状況に応じて適宜、様々な階層の設定や要素の組合せに対応できるものであればよい。一例として、クライアントプロパティ情報を利用してシステム設定を作成するための階層を設け、その階層よりも下位の階層に、システムプロパティ情報を利用してシステム設定を作成するための階層を設けるなどのように、一定の基準に基づいて切り分けられた各階層で複数の要素を定義可能にして階層化したポリシー情報を、ポリシー管理データベース153に格納するようにしてもよい。
【0061】
加えて、ポリシー決定処理部163の決定に基づいて、ポリシー情報判定処理部164がポリシー管理データベース153に格納されているメインポリシー情報やサブポリシー情報を読み出すときには、複数のポリシー情報を組み合わせることで階層化された1つのポリシー情報を新たに作成するようにしてもよい。この場合にも、階層の設定の仕方や各階層に含まれる要素には制限を設けず、状況に応じて適宜、階層の設定や要素の組合せを決定できるようにすればよい。一例として、ポリシー情報判定処理部164は、クライアントプロパティ情報を利用してシステム設定を作成するための階層を設け、その階層よりも下位の階層に、システムプロパティ情報を利用してシステム設定を作成するための階層を設けるなどのように、各階層を一定の基準に基づいて切り分け、各階層において複数の要素を定義できるようにしてもよい。
【0062】
このように、複数の上下階層に階層化されたポリシー情報を作成可能とすることにより、情報セキュリティポリシーを変更する際の影響を限定することができ、情報セキュリティポリシーやシステム設定の管理が容易になる。また、例えば下位の階層には上位の階層に比べてより具体的なシステム構成に応じた情報セキュリティポリシーの定義を用意して、社内の組織ごとなどの個別の設定が可能となり、情報セキュリティポリシーに従ったシステム設定のカスタム化が容易になる。さらに、ポリシー情報内での上下関係を明確化することにより、情報セキュリティポリシーの違反や矛盾を防止することができ、情報セキュリティポリシーに従ったきめ細やかな運用が可能になる。
【0063】
以上説明したように、この発明によれば、クライアントプロパティ情報取得処理部160により取得したクライアントプロパティ情報などに基づいて情報システム10の設定を行うために必要となるポリシー情報を決定している。これにより、例えばクライアント端末50がデスクトップパソコンであるか、ノートパソコンであるか、PDAであるか、携帯電話機であるかといった、クライアント端末50の種類を含めた環境に応じた情報セキュリティポリシーに従って、情報システム10の設定を柔軟に行うことができる。
【0064】
また、システム設定作成処理部152は、ポリシー判断処理部151により取得したポリシー情報を含めた各種の情報から機器設定情報を作成する。ポリシー管理データベース153に格納されるポリシー情報は、情報システム10における実際の構成とは独立した汎用的な内容を記述したメインポリシー情報と、メインポリシー情報から参照されて具体的な条件や動作ルールを記述したサブポリシー情報とから構成されている。そして、システム情報データベース154に格納されたシステムプロパティ情報には、アクセス権の内容などを特定可能な設定要素情報が含まれている。これにより、情報セキュリティポリシーを設定可能な対象が限定されずに、情報セキュリティポリシーに従った情報システム10の設定を柔軟に行うことができ、また、個別の機器設定情報を予め全て用意しておく必要がないので、システム設定に必要な情報量を低減することができる。
【0065】
なお、上記の具体例では、ドキュメントやネットワークに対する情報セキュリティポリシーについて説明したが、この発明はこれに限定されるものではなく、例えば音楽データや映像データ、アプリケーションソフトなどといった各種の情報に対するセキュリティポリシーに従った情報システム10の設定を行う場合にも適用可能である。
【0066】
この発明は、上記実施の形態に限定されるものではなく、様々な変形及び応用が可能である。例えば、上記実施の形態では、ポリシー管理装置100、利用者管理装置101、管理者端末102、サーバ110−1〜110−N、ファイアウォール111などが、全て独立した電子計算機としてのハードウェア構成上に構築されることにより、情報システム10を構成するものとして説明した。しかしながら、この発明はこれに限定されるものではなく、少なくとも1つの電子計算機としてのハードウェア構成上にて、上記実施の形態で説明したポリシー管理装置100、利用者管理装置101、管理者端末102、サーバ110−1〜110−N、ファイアウォール111などのいずれかと同等の処理が実行されるものであればよく、例えば1つの電子計算機としてのハードウェア構成上にて、上記実施の形態における情報システム10の各構成が構築されるものであってもよい。また、ポリシー管理装置100は、情報システム10の内部に設置されるものに限定されず、情報システム10と電気通信ネットワークを介して接続される外部の電子計算機としてのハードウェア構成上に構築されるものであってもよい。
【0067】
また、ポリシー管理装置100は、専用のシステムによらず、通常のコンピュータシステムを用いて実現可能である。例えば、上述の動作を実行するためのプログラムをコンピュータ読み取り可能な記録媒体(例えば磁気ディスク、光ディスク、ICメモリ等)に格納して配布し、該プログラムをコンピュータにインストールすることにより、上述の処理を実行するポリシー管理装置を構成してもよい。また、インターネット等のネットワーク上に配置された任意の情報処理装置が有する情報記憶装置にプログラムを格納しておき、例えばコンピュータにダウンロード等するようにしてもよい。
【図面の簡単な説明】
【0068】
【図1】ポリシー管理装置が適用される情報システムの一構成例を示す図である。
【図2】ポリシー管理装置の構成例を示す図である。
【図3】情報システム設定処理の一例を示すフローチャートである。
【図4】ポリシー管理データベースに格納されるポリシー情報の具体的な一例を示す図である。
【図5】サーバに保持される文書プロパティ情報と、システム情報データベースに格納されるシステムプロパティ情報の具体的な一例を示す図である。
【図6】ポリシー管理データベースに格納されるポリシー情報の具体的な一例を示す図である。
【図7】システム設定作成処理部により作成される機器設定情報の具体的な一例を示す図である。
【符号の説明】
【0069】
10 情報システム
11 外部ネットワーク
20 アクセスポイント
30 検疫サーバ
50 クライアント端末
100 ポリシー管理装置
101 利用者管理装置
102 管理者端末
110−1〜110−N サーバ
111 ファイアウォール
120 スイッチ
150 ポリシー登録処理部
151 ポリシー判断処理部
152 システム設定作成処理部
153 ポリシー管理データベース
154 システム情報データベース
160 クライアントプロパティ情報取得処理部
161 利用者情報取得処理部
162 システムプロパティ情報取得処理部
163 ポリシー決定処理部
164 ポリシー情報判定処理部
300 検疫システム
【特許請求の範囲】
【請求項1】
情報セキュリティポリシーに従った情報システムの設定を行う情報システム設定装置であって、
情報セキュリティポリシーを記述したポリシー情報を格納するポリシー管理データベースと、
利用者の属性情報を取得する属性情報取得手段と、
前記情報システムに対するアクセス要求を発信した端末装置のプロパティ情報を取得する端末プロパティ情報取得手段と、
前記情報システムを構成する各機器のプロパティ情報を取得するシステムプロパティ情報取得手段と、
前記属性情報取得手段により取得した属性情報と前記端末プロパティ情報取得手段により取得した端末装置のプロパティ情報とに基づいて、前記ポリシー管理データベースに格納されたポリシー情報を読み出すポリシー情報読出手段と、
少なくとも前記ポリシー情報読出手段により読み出されたポリシー情報と前記システムプロパティ情報取得手段により取得したシステムプロパティ情報とに基づいて、前記情報システムの設定情報を作成することにより、前記情報システムの設定を行う設定制御手段とを備える、
ことを特徴とする情報システム設定装置。
【請求項2】
前記ポリシー管理データベースは、前記情報システムの構成とは独立した情報セキュリティポリシーを記述したメインポリシー情報と、前記メインポリシー情報にて参照されて前記情報システムの設定に関する条件または動作ルールを記述したサブポリシー情報を、前記ポリシー情報として格納する、
ことを特徴とする請求項1に記載の情報システム設定装置。
【請求項3】
前記ポリシー情報読出手段が前記ポリシー管理データベースから読み出したポリシー情報を解析して、当該ポリシー情報の関連情報を取得する関連情報取得手段を備え、
前記設定制御手段は、前記関連情報取得手段により取得した関連情報に基づいて、前記情報システムの設定を行う、
ことを特徴とする請求項1または2に記載の情報システム設定装置。
【請求項4】
前記ポリシー情報読出手段は、前記端末プロパティ情報取得手段により取得した端末装置のプロパティ情報に基づいて、前記ポリシー管理データベースから読み出すポリシー情報を決定する手段を含む、
ことを特徴とする請求項1、2または3に記載の情報システム設定装置。
【請求項5】
情報セキュリティポリシーに従った情報システムの設定を行うコンピュータによる情報システム設定方法であって、
情報セキュリティポリシーを記述したポリシー情報をポリシー管理データベースに格納するポリシー情報格納ステップと、
利用者の属性情報を取得する属性情報取得ステップと、
前記情報システムに対するアクセス要求を発信した端末装置のプロパティ情報を取得する端末プロパティ情報取得ステップと、
前記情報システムを構成する各機器のプロパティ情報を取得するシステムプロパティ情報取得ステップと、
前記属性情報取得ステップにて取得した属性情報と前記端末プロパティ情報取得ステップにて取得した端末装置のプロパティ情報とに基づいて、前記ポリシー管理データベースに格納されたポリシー情報を読み出すポリシー情報読出ステップと、
少なくとも前記ポリシー情報読出ステップにて読み出したポリシー情報と前記システムプロパティ情報取得ステップにて取得したシステムプロパティ情報とに基づいて、前記情報システムの設定情報を作成することにより、前記情報システムの設定を行う設定制御ステップとを備える、
ことを特徴とする情報システム設定方法。
【請求項6】
前記ポリシー情報読出ステップにて読み出したポリシー情報を解析して、当該ポリシー情報の関連情報を取得する関連情報取得ステップを備え、
前記設定制御ステップは、前記関連情報取得ステップにて取得した関連情報に基づいて、前記情報システムの設定を行う、
ことを特徴とする請求項5に記載の情報システム設定方法。
【請求項7】
情報セキュリティポリシーに従った情報システムの設定を行うコンピュータに、
情報セキュリティポリシーを記述したポリシー情報をポリシー管理データベースに格納するポリシー情報格納処理と、
利用者の属性情報を取得する属性情報取得処理と、
前記情報システムに対するアクセス要求を発信した端末装置のプロパティ情報を取得する端末プロパティ情報取得処理と、
前記情報システムを構成する各機器のプロパティ情報を取得するシステムプロパティ情報取得処理と、
前記属性情報取得処理にて取得した属性情報と前記端末プロパティ情報取得処理にて取得した端末装置のプロパティ情報とに基づいて、前記ポリシー管理データベースに格納されたポリシー情報を読み出すポリシー情報読出処理と、
少なくとも前記ポリシー情報読出処理にて読み出したポリシー情報と前記システムプロパティ情報取得処理にて取得したシステムプロパティ情報とに基づいて、前記情報システムの設定情報を作成することにより、前記情報システムの設定を行う設定制御処理と、
を実行させるためのプログラム。
【請求項8】
前記コンピュータに、
前記ポリシー情報読出処理にて読み出したポリシー情報を解析して、当該ポリシー情報の関連情報を取得する関連情報取得処理をさらに実行させ、
前記設定制御処理では、前記関連情報取得処理にて取得した関連情報に基づいて、前記情報システムの設定を行う、
ことを特徴とする請求項7に記載のプログラム。
【請求項1】
情報セキュリティポリシーに従った情報システムの設定を行う情報システム設定装置であって、
情報セキュリティポリシーを記述したポリシー情報を格納するポリシー管理データベースと、
利用者の属性情報を取得する属性情報取得手段と、
前記情報システムに対するアクセス要求を発信した端末装置のプロパティ情報を取得する端末プロパティ情報取得手段と、
前記情報システムを構成する各機器のプロパティ情報を取得するシステムプロパティ情報取得手段と、
前記属性情報取得手段により取得した属性情報と前記端末プロパティ情報取得手段により取得した端末装置のプロパティ情報とに基づいて、前記ポリシー管理データベースに格納されたポリシー情報を読み出すポリシー情報読出手段と、
少なくとも前記ポリシー情報読出手段により読み出されたポリシー情報と前記システムプロパティ情報取得手段により取得したシステムプロパティ情報とに基づいて、前記情報システムの設定情報を作成することにより、前記情報システムの設定を行う設定制御手段とを備える、
ことを特徴とする情報システム設定装置。
【請求項2】
前記ポリシー管理データベースは、前記情報システムの構成とは独立した情報セキュリティポリシーを記述したメインポリシー情報と、前記メインポリシー情報にて参照されて前記情報システムの設定に関する条件または動作ルールを記述したサブポリシー情報を、前記ポリシー情報として格納する、
ことを特徴とする請求項1に記載の情報システム設定装置。
【請求項3】
前記ポリシー情報読出手段が前記ポリシー管理データベースから読み出したポリシー情報を解析して、当該ポリシー情報の関連情報を取得する関連情報取得手段を備え、
前記設定制御手段は、前記関連情報取得手段により取得した関連情報に基づいて、前記情報システムの設定を行う、
ことを特徴とする請求項1または2に記載の情報システム設定装置。
【請求項4】
前記ポリシー情報読出手段は、前記端末プロパティ情報取得手段により取得した端末装置のプロパティ情報に基づいて、前記ポリシー管理データベースから読み出すポリシー情報を決定する手段を含む、
ことを特徴とする請求項1、2または3に記載の情報システム設定装置。
【請求項5】
情報セキュリティポリシーに従った情報システムの設定を行うコンピュータによる情報システム設定方法であって、
情報セキュリティポリシーを記述したポリシー情報をポリシー管理データベースに格納するポリシー情報格納ステップと、
利用者の属性情報を取得する属性情報取得ステップと、
前記情報システムに対するアクセス要求を発信した端末装置のプロパティ情報を取得する端末プロパティ情報取得ステップと、
前記情報システムを構成する各機器のプロパティ情報を取得するシステムプロパティ情報取得ステップと、
前記属性情報取得ステップにて取得した属性情報と前記端末プロパティ情報取得ステップにて取得した端末装置のプロパティ情報とに基づいて、前記ポリシー管理データベースに格納されたポリシー情報を読み出すポリシー情報読出ステップと、
少なくとも前記ポリシー情報読出ステップにて読み出したポリシー情報と前記システムプロパティ情報取得ステップにて取得したシステムプロパティ情報とに基づいて、前記情報システムの設定情報を作成することにより、前記情報システムの設定を行う設定制御ステップとを備える、
ことを特徴とする情報システム設定方法。
【請求項6】
前記ポリシー情報読出ステップにて読み出したポリシー情報を解析して、当該ポリシー情報の関連情報を取得する関連情報取得ステップを備え、
前記設定制御ステップは、前記関連情報取得ステップにて取得した関連情報に基づいて、前記情報システムの設定を行う、
ことを特徴とする請求項5に記載の情報システム設定方法。
【請求項7】
情報セキュリティポリシーに従った情報システムの設定を行うコンピュータに、
情報セキュリティポリシーを記述したポリシー情報をポリシー管理データベースに格納するポリシー情報格納処理と、
利用者の属性情報を取得する属性情報取得処理と、
前記情報システムに対するアクセス要求を発信した端末装置のプロパティ情報を取得する端末プロパティ情報取得処理と、
前記情報システムを構成する各機器のプロパティ情報を取得するシステムプロパティ情報取得処理と、
前記属性情報取得処理にて取得した属性情報と前記端末プロパティ情報取得処理にて取得した端末装置のプロパティ情報とに基づいて、前記ポリシー管理データベースに格納されたポリシー情報を読み出すポリシー情報読出処理と、
少なくとも前記ポリシー情報読出処理にて読み出したポリシー情報と前記システムプロパティ情報取得処理にて取得したシステムプロパティ情報とに基づいて、前記情報システムの設定情報を作成することにより、前記情報システムの設定を行う設定制御処理と、
を実行させるためのプログラム。
【請求項8】
前記コンピュータに、
前記ポリシー情報読出処理にて読み出したポリシー情報を解析して、当該ポリシー情報の関連情報を取得する関連情報取得処理をさらに実行させ、
前記設定制御処理では、前記関連情報取得処理にて取得した関連情報に基づいて、前記情報システムの設定を行う、
ことを特徴とする請求項7に記載のプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2006−184936(P2006−184936A)
【公開日】平成18年7月13日(2006.7.13)
【国際特許分類】
【出願番号】特願2004−374586(P2004−374586)
【出願日】平成16年12月24日(2004.12.24)
【出願人】(000102728)株式会社エヌ・ティ・ティ・データ (438)
【Fターム(参考)】
【公開日】平成18年7月13日(2006.7.13)
【国際特許分類】
【出願日】平成16年12月24日(2004.12.24)
【出願人】(000102728)株式会社エヌ・ティ・ティ・データ (438)
【Fターム(参考)】
[ Back to top ]