情報処理装置、権限管理方法、プログラムおよび記録媒体
【課題】 ITサービス管理において、プロセスを割り当てる人員に付与する権限を管理すること。
【解決手段】 本発明の情報処理装置150は、リソース、人員、プロセスおよびリソース上で提供される権限をそれぞれ構成アイテム(CI)として保管する構成管理データベース152であって、リソース上の権限と該権限の行使に必要となる他のリソース上の権限との権限依存関係、プロセスと該プロセスに必要な権限との権限要求関係、および人員と該人員に付与される権限との権限付与関係を含む前記構成アイテム間の関係が規定される、当該構成管理データベース152と、構成管理データベース152を参照し、実行すべきプロセスが対応人員に対して割り当てられている場合に、実行すべきプロセスに必要なリソース上の権限を基点として関係を辿り、対応人員に付与するべき権限の目標状態を導出する権限導出部162とを含む。
【解決手段】 本発明の情報処理装置150は、リソース、人員、プロセスおよびリソース上で提供される権限をそれぞれ構成アイテム(CI)として保管する構成管理データベース152であって、リソース上の権限と該権限の行使に必要となる他のリソース上の権限との権限依存関係、プロセスと該プロセスに必要な権限との権限要求関係、および人員と該人員に付与される権限との権限付与関係を含む前記構成アイテム間の関係が規定される、当該構成管理データベース152と、構成管理データベース152を参照し、実行すべきプロセスが対応人員に対して割り当てられている場合に、実行すべきプロセスに必要なリソース上の権限を基点として関係を辿り、対応人員に付与するべき権限の目標状態を導出する権限導出部162とを含む。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、IT(Information Technology)サービス管理技術に関し、より詳細には、ITサービス管理において、プロセスを割り当てる人員に付与する権限を管理するための情報処理装置、構成管理方法、プログラムおよび記録媒体に関する。
【背景技術】
【0002】
近年、官公庁、企業など組織におけるITシステムの大規模化に伴い、その運用管理に費やされるコストが増大している。さらに、近年の仮想化技術の進展にともない、物理リソースと仮想リソースとが混在し、システム構成が複雑化し、ますます運用管理や現状の正しい把握を困難なものとしている。このような背景から、ITサービスの品質向上、長期的な運用コストの削減のためのベスト・プラクティスをまとめたフレームワークとして、ITIL(Information Technology Infrastructure Library)が注目されている。
【0003】
上記ITILフレームワークにおける中核的なコンポーネントとして、構成管理データベース(CMDB:Configuration Management Database)がある。CMDBは、ITサービスにおいて、管理対象のコンポーネントに関する情報を一元的に管理し、必要なときに必要な情報を提供することを目的としたデータベースである。CMDBは、サービス管理の対象となるハードウェア、ソフトウェア等のリソース、ドキュメント、インシデント履歴情報、さらには人的資源を含めて各構成要素を構成アイテム(CI;Configuration Item)として維持管理し、構成アイテム間の依存関係についても把握できるように支援する。
【0004】
上述したCMDBの構築を支援し、CMDBを基盤として運用プロセスを制御するソフトウェアとして、種々のCMDB製品が提供されている。先進的なCMDB製品では、サービス管理の対象となる構成アイテムに関する情報を自動的に発見するディスカバリ機能や、自動的に更新するトラッキング機能が充実しており、人手による多くのデータ入力作業を削減可能としている(非特許文献1)。
【0005】
また、スキーマの異なるCMDB間でデータの連携を可能とすることを目的として、特開2009−193545号公報(特許文献)は、構成要素毎に、該構成要素の少なくとも1つの所定の属性および他の構成要素との関係を示し且つ第1の仕様に従うところの1組のデータを保持するリポジトリと、第2の仕様に従うデータに関連付けられる外部参照用データを他のコンピュータ・システムから検出するための、第1の仕様に従う1組のデータが検出された外部参照用データから作成されて上記リポジトリ内に格納される、ディスカバリ部を含むコンピュータ・システムを開示する。特許文献1に開示される技術により、アクセス方法やデータ形式が異なるCMDBを統合することが可能となり、種々のベンダから提供される既存環境を統合してCMDBを構築することができるようになる。
【0006】
上述したCMDBが適切に構築されることにより、ヘルプデスク機能、インシデント管理プロセス、問題管理プロセス等の各管理プロセスを円滑に遂行することが可能となる。例えば、インシデントが検出されたり、インシデントから改善すべき問題として登録されると、適切なヘルプデスク担当者や技術サポート担当者をアサインし、サービス要求への対応を行わせたり、問題の解決に当たらせることになる。このとき、CMDBは、プロセスに必要なシステム資源や人的資源に関する情報を提供し、またアサインされた担当者に対し、インシデント履歴情報、現状の構成情報などの有用な情報を提供する。さらに、プロジェクト管理システムや運用管理ツールと連携することにより、監視ツールからのエラーメッセージに応答して、エラーを自動的に記録し、エラーチケットを登録し、担当者を自動的に割り当てるといった自動化も進められている。
【0007】
しかしながら、プロセスを担当者に割り当てて処理を実行させるためには、必要なリソースにアクセスするための権限を担当者に付与する必要がある。例えば、所定のサーバルーム内のサーバに対するメンテナンスの場合、担当者には、サーバのメンテナンス権限の他、サーバルームへの入退室の権限を付与する必要がある。しかしながら、従来技術のITサービス管理システムにおいては、このような担当者の権限管理は、リソースや人員の管理とは異なる個別のシステムで管理されていたため、権限管理を適切に行うことが難しかった。
【0008】
例えば、サービスリクエストへの対応、問題解決、プロジェクトなどプロセスには、その処理に複数のリソースを必要とする場合や、上述したサーバのメンテナンスのようにリソースの利用権限間に依存関係がある場合がある。リソースの増加とともに、この依存関係が複雑化し、担当者にプロセスの処理に必要最低限の権限を付与するということが困難となっている。
【0009】
さらに、プロセスには、期限が設けられることがあるが、セキュリティの観点からは、完了後は不要な権限を削除するべきである。しかしながら、権限の依存関係が複雑化してしまうと、必要な権限と不要な権限を識別することが困難となり、本来削除するべき権限がプロセス完了後も残されてしまうという、コンプライアンス上の問題も発生させる。あるいは、複数のプロセスが担当者に割り当てられていた場合に、ひとつのプロセスの完了に伴い権限を削除してしまうと、残りのプロセスに必要な権限まで削除されてしまうという、不具合も発生させるおそれもある。特に、近年のクラウド・コンピューティングにおける仮想化技術の進展より、仮想マシンなどのリソースの追加、削除等が頻繁に行われるようになったことに伴い、上述した問題点はより顕著となる。
【0010】
上述した人員に対する権限を管理するという観点からは、サーバやアプリケーションのユーザアカウント情報の生成、配布、更新、廃棄、失効等を含めたライフサイクルを管理する、アカウント・プロビジョニング・ツールも提供されている。例えば「Tivoli Identity Manager(以下、TIMという。)」(非特許文献2)は、パーソン(人)のロール(役割)や所属に応じて、サーバやアプリケーションなどのサービスにおける実アカウントを作成、変更、削除することを可能としている。しかしながら、上記TIMのようなアカウント・プロビジョニング・ツールでは、パーソンとアカウント・プロビジョニングとの関連付けをポリシーの記述よって実現しているが、環境が変化する度に手動でポリシーを記述し直す必要があり、変更忘れや、記述の誤りなど人為的なミスを排除しきれないという点で充分なものではなかった。
【0011】
上記特許文献1の技術では、権限管理に関して、第1のコンピュータ・システムが第2のコンピュータ・システムの外部参照用データにアクセスできるか否かを定義するスキーマをアクセス権限データとし、これをアクセス権限テーブルで管理する技術について言及しているが、プロセスを割り当てる人員に対し付与する権限を管理するという技術ではない。
【0012】
以上の背景から、ITサービス管理において、プロセスを割り当てる担当者に付与する権限を、割り当てたプロセスに必要なリソースに対応して、適切に管理することができる技術の開発が望まれていた。
【先行技術文献】
【特許文献】
【0013】
【特許文献1】特開2009−193545号公報
【非特許文献】
【0014】
【非特許文献1】IBMRedbooks ”Deployment Guide Series: IBM Tivoli Change and Configuration ManagementDatabase Configuration Discovery and Tracking v1.1”,2006年11月
【非特許文献2】IBMRedbooks ”Deployment Guide Series: IBM Tivoli Identity Manager 5.0”,2008年12月
【発明の概要】
【発明が解決しようとする課題】
【0015】
本発明は、上記従来技術における問題点に鑑みてなされたものであり、本発明は、ITサービス管理において、プロセスが割り当てられる担当者に付与されるべき、基準に適合した目標状態を効率的に導出し、ひいては担当者に必要最小限の権限が付与された状態を維持管理することを支援するための情報処理装置、権限管理方法、プログラムおよび記録媒体を提供することを目的とする。
【課題を解決するための手段】
【0016】
本発明は、上記従来技術の問題を解決するために、以下の特徴を有する情報処理装置を提供する。本発明の情報処理装置は、構成管理データベースを備え、当該構成管理データベースにおいて、リソース、人員およびプロセスに加えて、さらにリソース上で提供される権限をそれぞれ構成アイテムとして保管する構成を採用する。本発明における構成管理データベース内では、リソース上の権限と該権限の行使に必要となる他のリソース上の権限との権限依存関係、プロセスと該プロセスに必要な権限との権限要求関係、および人員と該人員に付与される権限との権限付与関係を含む、構成アイテム間の関係が定義される。
【0017】
本発明の情報処理装置は、構成管理データベースを参照し、実行すべきプロセスが対応人員に対して割り当てられている場合に、当該実行すべきプロセスに必要なリソース上の権限を基点として上記関係を辿り、対応人員に付与するべき権限の目標状態を導出する。例えば、対応人員に必要最小限の権限が付与されるべきという基準に適合した権限状態を目標状態とし、さらに、当該目標状態と現在状態との不整合を導出することができる。また、上記不整合とは、例えば、対応人員について不足する権限および余剰の権限、またはこれらのいずれか一方を含むことができる。
【0018】
さらに本発明では、リソースが既存リソースに新たに関連付けられた場合に、既存リソースに関して設定される所定の条件に従って、既存リソース上の権限と、各リソースの上の権限との間に関係付けられるべき権限依存関係を定義することができる。ここで、上記所定の条件とは、既存リソースと他リソースとの関係付け方を規定するものである。本発明では、さらに、現存する1以上のプロセスに必要な権限を基点として、それぞれ上記関係を辿り、現存する1以上のプロセスそれぞれに割り当てられた対応人員それぞれについての目標状態と現在状態における不整合を導出することができる。
【発明の効果】
【0019】
上記構成によれば、リソース上の権限と他のリソース上の権限との間の関係を辿ることで、リソース上の権限の行使に必要となる他のリソース上の権限を考慮した上で、人員に対して必要な最小限の権限を導出することが可能となる。したがって、セキュリティにおける権限最小の原則を満足させることが容易となる。
【図面の簡単な説明】
【0020】
【図1】本発明の実施形態による構成管理装置を含むシステムの概略構成を示す図。
【図2】本発明の実施形態による構成管理装置上に実現される機能ブロック図。
【図3】リソース登録部、権限依存関係定義部、プロセス登録部および人員登録部によって構築される構成管理データベース内の構成アイテム間の関係を表す模式図。
【図4】構成管理データベースを構築および更新するための機能部によって構築される構成管理データベースのデータ構造を例示する図。
【図5】リソースと既存のリソースとの新たな所属関係が検出された場合に実行される、権限依存関係抽出処理を説明する図。
【図6】1以上の新規リソースが既存のリソースに追加された場合に実行される、権限依存関係抽出処理を説明する図。
【図7】本発明の実施形態による構成管理装置が実行する、権限依存関係抽出処理を示すフローチャート。
【図8】新規プロセスが追加された場合に実行される、権限状態不整合検出処理を説明する図。
【図9】本発明の実施形態による構成管理装置が実行する、新規プロセスが追加された場合の権限状態不整合検出処理を示すフローチャート。
【図10】現存するすべてのプロセスについての権限状態不整合検出処理を説明する図。
【図11】本発明の実施形態による構成管理装置が実行する、現存するすべてのプロセスについての権限状態導出処理を示すフローチャート。
【図12】本発明の実施形態による、コンプライアンス違反検証処理を説明する図。
【図13】本発明の実施形態による監査処理を説明する図。
【図14】本発明の実施形態による他の監査処理を説明する図。
【発明を実施するための形態】
【0021】
以下、本発明について実施形態をもって説明するが、本発明は、後述する実施形態に限定されるものではない。以下説明する実施形態では、プロセスを割り当てた人員に対し付与する権限を管理するための情報処理装置の一例として、サービス管理におけるリソース、人員およびプロセスに加えて、リソース上で提供される権限を構成アイテム(Configuration Item:CI)として管理する、構成管理データベースを備えた構成管理装置を例に説明する。
【0022】
以下、図1を参照して、本発明の実施形態によるシステムの全体構成について説明する。図1は、本発明の実施形態による構成管理装置を含むシステムの概略構成を示す図である。図1に示すシステム100は、ITサービスを提供するための種々のリソースからなるインフラストラクチャ110を備える。インフラストラクチャ110は、サービス管理の対象となり得る、如何なるコンポーネントを含むことができ、特に限定されるものではない。インフラストラクチャ110としては、例えば、SAN(Storage Area Network)やNAS(Network attached Storage)などのストレージ112、サーバルーム114、サーバ116、ハイパーバイザ118、仮想マシン120、オペレーティング・システム(以下、OSという。)122、アプリケーション124、データベース126を含むことができる。その他、図示しない、パーソナル・コンピュータや携帯端末などのクライアント端末や、ハブ、スイッチ、ルータなどのネットワーク機器を含んでもよい。
【0023】
構成管理装置150は、システム100内のサービス管理対象のコンポーネントに関する情報の統合された構成管理を行う構成管理データベース152を備える。構成管理データベース152は、構成アイテム(CI)とその重要な属性の詳細を記憶し、構成アイテム間の関係についても記憶する。
【0024】
構成アイテム(CI)は、ITサービス管理における管理対象の基本単位をいう。本発明の実施形態において、構成アイテムは、リソース、プロセス、人員、およびリソース上で提供される権限を含む。本発明の実施形態による構成管理データベース152は、リソース、人員およびプロセスに加えて、リソース上で提供される権限を管理することにより、プロセスが割り当てられた人員に対して付与される権限状態を管理することを可能とする。
【0025】
上記構成アイテムのうちの「リソース」(以下、「リソース」の構成アイテムをリソースCIという。)は、上述したストレージ112、サーバ116その他クライアント端末やネットワーク機器などのハードウェア・リソース、ハイパーバイザ118、仮想マシン120、OS122、アプリケーション124、データベース126などのソフトウェア・リソース、サーバルーム114その他フロアやビルディングなどの施設ないし設備を含むことができる。
【0026】
なお、人的資源も、資源またはリソースという概念に含まれ得るが、本明細書にいう「リソース」は、主として、ハードウェア、ソフトウェア、設備、施設などの有体物または無体物の物的資源を意味し、人的資源は後述する「人員」の概念に含まれるものとする。その他ITサービスの運営に関する規程書、作業手順書および構成図などのドキュメント類や、インシデント履歴などの保守情報についても、「リソース」の概念に含めてもよい。
【0027】
上記構成アイテムのうちの「人員」(以下、人員の構成アイテムを人員CIという。)は、サービス管理に関与する人的資源を意味し、後述するプロセスが割り当てられて、プロセスを実行する主体となるものをいう。人員としては、個人、個人が集合して形成されるグループ、特定の役割や職位を有する個人を表すロールなどを含むことができる。上記構成アイテムのうちの「プロセス」(以下、プロセスの構成アイテムをプロセスCIという。)は、人員に対し割り当てられる作業単位または処理単位を意味し、タスクやプロジェクトとも呼ばれる。プロセスの粒度は、特に限定されるものではなく、プロジェクトを構成するサブプロジェクトや、ワークフローにおける各手続のように、プロセスが他のプロセスを含んでいてもよい。プロセスとしては、例えば、サービス要求に対する対応や、メンテナンス、パッチ適用などを例示することができる。
【0028】
上記構成アイテムのうちの「権限」(以下、権限の構成アイテムを権限CIという。)は、上記リソース上で提供される権限であり、リソースで許可される使用態様ないし使用範囲を表す。上記「権限」としては、例えば、タイプ「サーバルーム」のリソース上の権限であれば、その管理責任者権限や入室権限などが挙げられる。タイプ「サーバ」のリソース上の権限であれば、管理者権限や利用者権限などが挙げられる。タイプ「サーバ」のリソース上の管理者権限は、種々のシステム設定の変更を含む態様ないし範囲で、サーバの使用が許可される権限を意味する。
【0029】
上述したように各構成アイテムには、属性(Attribute)が関連付けられるが、構成アイテムの属性は、個々の構成アイテムを特定し、説明するものである。属性としては、特に限定されるものではないが、構成アイテムの名称(サーバ、ハイパーバイザ、仮想マシン、OSなど)、識別番号(シリアルナンバーやUUID(Universally Unique Identifier))、カテゴリ(ハードウェア、ソフトウェア、設備、ドキュメントなど)、タイプ(カテゴリでの分類をさらに詳述したもの)、その他、型番、保証期間、バージョン番号、ロケーション、所有責任者、責任開始日、供給者、ライセンス、提供日、受入日、使用開始日、ステータスなどを挙げることができる。
【0030】
上述したように構成アイテム間には、関係(Relation)が定義されるが、関係は、構成アイテム間の依存関係を表している。関係としては、特に限定されるものではないが、assigns、canConnect、canUse、connectAt、connects、controls、deployedOn、Located、Managed、Owned、provides、runAt、uses、usedByなどが挙げられる。
【0031】
上述した構成管理データベース152内の各構成アイテムの登録、各構成アイテムの属性の入力、構成アイテム間の関係の入力は、例えば管理端末140からマニュアル操作で行うことができる。しかしながら、すべてを人手によるマニュアル入力で行うとことは、管理対象のコンポーネントが増えるにつれて作業量が膨大するため、また環境の変化に追随させて更新することが困難であるため、現実的ではない。そこで、構成管理装置150は、いわゆるディスカバリ機能およびトラッキング機能を備える。
【0032】
上記ディスカバリ機能は、上記構成アイテムを継続的かつ自動的に発見し、発見した構成アイテムの情報を収集して構成管理データベース152を構築する機能である。トラッキング機能は、ディスカバリ機能と同様に、上記構成アイテムの情報を継続的かつ自動的に収集し、環境の変化を追跡して、構成管理データベース152に、新たに発見した新規構成アイテムを登録し、また変更された構成アイテムを更新する機能をいう。
【0033】
上記機能において、構成アイテムを発見し、発見した構成アイテムの情報を収集する方法は、対象となる構成アイテムによっても異なり、特に限定されるものではないが、ローカル・エージェントを用いたエージェント・ベースの探索方法、ローカル・エージェントを用いないセンサ・ベースの探索方法を採用することができる。探索対象のリソースの負荷を軽減し、または導入の作業負担を軽減する観点からは、ローカル・エージェントを相手側に導入する必要が無いセンサ・ベースの探索手法を好適に採用することができる。上記ディスカバリ機能およびトラッキング機能により、インフラストラクチャ110内のコンポーネント112〜126などを、人手による作業負荷をかけずに、自動で構成管理データベース152上に登録し、更新することができる。
【0034】
なお、上記構成管理データベース152の構築を支援する方法は、上述したディスカバリ機能およびトラッキング機能に限定されず、構成管理装置150は、外部または同一装置上に導入される運用管理ツールやグループウェアのサーバと連携して上記構成アイテムの発見および情報収集を行う連携機能を備えていてもよい。
【0035】
上記連携機能によれば、構成管理装置150は、ストレージ112を管理するストレージ管理ツール130、サーバルーム114の入退出を管理する入退室管理システム132、システム・リソース116〜126を管理するシステム管理ツール134などと連携し、リソースCIや関連する他のCIを登録することができる。また、プロジェクト管理システム136や、図示しないスケジュール管理システムと連携し、上記プロセスCIや関連する他のCIを登録したり、入退室管理システム132、プロジェクト管理システム136、IDプロビジョニングシステム138、図示しないLDAP(Lightweight Directory Access Protocol)サーバなどのユーザ管理システムと連携し、人員CIや関連する他のCIを登録したりすることができる。上記ディスカバリ機能およびトラッキング機能、連携機能により登録された構成アイテムは、管理端末140上からマニュアル操作により、適宜修正および削除することが可能である。
【0036】
構成管理装置150は、特に限定されるものではないが、1または複数のコンピュータからなるコンピュータ・システムとして構成され、概ねデスクトップ型、ワークステーション、サーバ、ミドルレンジまたはメインフレームなどの汎用コンピュータ装置として構成される。構成管理装置150は、図示しないCPU(Central Processing Unit)と、RAM(Random Access Memory)と、HDD(Hard Disk Drive)やSSD(Solid State Drive)などの記憶装置と、NIC(Network Interface Card)とを備え、Windows(登録商標)、UNIX(登録商標)、AIX(登録商標)、Linux(登録商標)などのOSの制御下で稼働する。
【0037】
図2は、本発明の実施形態による構成管理装置上に実現される機能ブロック図である。図2に示す構成管理装置150の機能ブロックは、構成管理データベース152を構築し、更新するための機能部として、リソース登録部154と、権限依存関係定義部156と、プロセス登録部158と、人員登録部160と含む。図3は、リソース登録部154、権限依存関係定義部156、プロセス登録部158および人員登録部160によって構築される、構成管理データベース152内の構成アイテム間の関係を模式的に表した図である。
【0038】
リソース登録部154は、マニュアル入力、外部ツール等との連携またはディスカバリ機能やトラッキング機能による自動検出により、種々のリソースに関連する情報を取得し、構成管理データベース152にリソースCIおよび他の関連するCIのインスタンス(CIの実体データをインスタンスいう。)を作成し、更新する機能を有する(図3)。リソース登録部154は、マニュアル入力が行われる場合は、管理端末140上の管理ツールやブラウザと通信し、管理端末140から送信された所定フォーマットのリソースに関するデータを受信し、得られた情報に従ってCIインスタンスを作成し、または更新を行う。
【0039】
外部ツール等との連携する場合は、リソース登録部154は、ストレージ管理ツール130、入退室管理システム132またはシステム管理ツール134と通信して、相手方からリソースに関連するデータを受信し、適切なフォーマット変換を行い、得られた情報に従ってCIインスタンスを作成し、または更新する。
【0040】
上記ディスカバリ機能やトラッキング機能による自動検出の場合は、リソース登録部154は、例えば、センサ・ベースの探索方法を採用する場合、以下に説明するようなディスカバリ・エンジンを用いることができる。ディスカバリ・エンジンには、IPアドレス範囲、サブネットアドレス、特定のIPアドレスなどの検索スコープと、コンポーネントを発見して適切な構成情報や依存関係をコンポーネントに照会するための資格情報を特定するアクセスリストと、スケジュールとが、予め設定されており、ディスカバリ・エンジンは、設定されたスケジュールまたは明示的に指示されたタイミングで処理を開始する。
【0041】
ディスカバリ・プロセスは、複数のステップを含み、ディスカバリ・エンジンは、まず、標準プロトコルを使用して、設定されたスコープ内を探索し、ネットワーク上に導入されたデバイスのIPノードを識別する。続いて、ディスカバリ・エンジンは、有効なIPノードそれぞれについて、センサを作動させて、所定の参照モデルのシグニチャとのマッチングによりコンポーネントを発見して、分類する。センサは、続いて、コンポーネントに対し、その構成情報および依存関係を照会する。
【0042】
リソース上で提供される権限について補足すると、本発明の実施形態では、照会して得られた構成情報には、そのコンポーネント上で提供される権限に関する情報が含まれ得る。例えば、OS122、アプリケーション124、ミドルウェアなど、通信により権限情報がACL(Access Control List)などの形式で取得できるリソースについては、取得した権限情報から権限CIを登録することができる。また、サーバルーム114やサーバ116など物理的なリソースの場合は、リソースのクラス(カテゴリないしモデル)に応じて予め定義しておいたテンプレートを用いて、自動的に権限CIを追加することができる。
【0043】
ディスカバリ・プロセスは、インフラストラクチャ110の検索スコープ全部が探索されるまで、反復して行われる。あるコンポーネントについて起動されたセンサは、そのコンポーネント上の他のコンポーネントを検出するためのセンサをさらに起動することができる。例えば、サーバが検出された場合には、サーバ上のアプリケーションおよびサービスをディスカバリするためのセンサを起動させることができる。
【0044】
また、ウェブ・アプリケーションとデータベースとの関係のように、異なるハードウェア・リソース上で稼働するソフトウェア・リソース間の関係についても、例えばコンポーネント上で確立されたTCPコネクションに関する情報を取得することにより、検出することができる。インフラストラクチャ110の検索スコープ全体が探索されると、ディスカバリ・エンジンは、コンポーネントから取得したデータを構成管理データベース152に登録する。
【0045】
上述のようなディスカバリ・プロセスを経て、リソースの属性情報、リソース上で稼働する他のリソースおよびその関係、並びに当該リソースが提供する権限およびその関係が取得され、対応するCIインスタンスがそれぞれ構成管理データベース152上に作成され、または更新される。
【0046】
上記リソース登録部154により、図3に例示されるように、リソースCIインスタンス(「サーバルームA」,「サーバA」,「OS−A」)、権限CIインスタンス(「責任者A」,「入室A」,「メンテナンスA」,「電源投入A」,「アドミニストレータA(図中ではアドミニAと省略表示されている。)」,「ゲストA」)が構成管理データベース152内に作成される。さらに、リソースCIインスタンスと他のリソースCIインスタンスとの間には、関係(「is in/on」)が定義され得る。なお、関係(「is in/on」)は、図3において「サーバルームA」と「サーバA」との関係や、「サーバA」と「OS−A」との関係で例示するように、リソースの所属を表す関係であり、便宜上、所属関係(「is in/on」)と参照する。なお、所属関係(「is in/on」)は、上述した「deployed On」、「Located」、「run At」などの関係を代表するものとして説明するが、特に限定されるものではない。
【0047】
また、リソースCIインスタンスと権限CIインスタンスとの間にも関係(「provides」)が定義される。リソースCIおよびリソース上の権限CIの間に定義される関係は、図3において「サーバルームA」と「責任者A」,「入室A」との関係や、「サーバA」と「メンテナンスA」,「電源投入A」との関係で例示すように、リソースと、リソース上で提供される権限との関係を表すものであり、便宜上、権限提供関係(「provides」)と参照する。
【0048】
再び図2を参照して説明すると、プロセス登録部158は、マニュアル入力、外部ツール等との連携により、タスク、プロジェクトなどのプロセスに関連する情報を取得し、構成管理データベース152にプロセスCIインスタンスを作成し、更新する機能を有する(図3)。プロセス登録部158は、マニュアル入力が行われる場合は、管理端末140上の管理ツールやブラウザと通信し、管理端末140から送信されたデータを受信し、得られた情報に従ってプロセスCIインスタンスを作成し、更新し、削除を行う。
【0049】
外部ツール等との連携する場合は、プロセス登録部158は、プロジェクト管理システム136やスケジュール管理システムなどと通信して、相手方からプロジェクトやタスクに関連するデータを受信し、適切なフォーマット変換を経て、得られた情報に従ってCIインスタンスを作成し、更新し、または削除を行う。
【0050】
プロセスに関連する情報としては、タスクやプロジェクトの名称、期限や期間、説明、担当者、関連のあるリソース、必要となるリソース上の権限などを含むことができる。プロセスには、当該プロセスの作業に必要となるリソース上の権限が指定され得るが、この情報からプロセスCIおよびリソース上の権限CIの間に関係が定義され(図3)、便宜上、権限要求関係(「needs」)と参照する。例えば、図3に示すように、「OS−A」にパッチを適用する「プロセスA」の実行には、「OS−A」上の「アドミニストレータA」の権限が必要であり、プロセスCIインスタンス「プロセスA」と権限CIインスタンス「アドミニストレータA」とには、権限要求関係(needs)が定義されている。
【0051】
また、プロセスには、担当人員未定のものも存在するが、上述したように当該プロセスの作業の実行を担当する人員が指定され得る(図3)。このようなプロセスCIおよび人員CIの間に定義される関係は、便宜上、割当関係(「is assigned to」)と参照する。例えば、図3に示すように、「OS−A」にパッチを適用する「プロセスA」は、「人員A」に割り当てられており、プロセスCIインスタンス「プロセスA」と人員CIインスタンス「人員A」との間には、割当関係(is assigned to)が定義されている。
【0052】
人員登録部160は、プロセス登録部158と同様に、マニュアル入力、外部等ツールとの連携により、個人、グループ、ロースなど人的資源に関連する情報を取得し、構成管理データベース152に人員CIインスタンスを作成し、更新する機能を有する(図3)。人員登録部160は、マニュアル入力が行われる場合は、管理端末140上の管理ツールやブラウザと通信し、管理端末140から送信されたデータを受信し、得られた情報に従って人員CIインスタンスを作成し、または更新する。外部等ツールとの連携する場合は、人員登録部160は、入退室管理システム132、プロジェクト管理システム136、IDプロビジョニングシステム138、LDAPサーバなどと通信して、相手方から人的資源に関連するデータを受信し、適切なフォーマット変換を経て、得られた情報に従ってCIインスタンスを作成し、または更新する。
【0053】
上記人的資源に関連する情報としては、個人、グループ、ロールの名称、その説明、グループの場合には所属する1以上の個人、付与されているリソース上の権限などを含むことができる。本実施形態では、人員には、リソース上の権限が付与され得るが(図3)、このような人員CIおよびリソース上の権限CIの間に定義される関係は、便宜上、権限付与関係(「has」)と参照する。例えば、図3に示すように、「人員A」には、「サーバルームA」に入室するという権限(「入室A」)と、「サーバA」の電源を投入するという権限(「電源投入A」)とが付与されており、人員CIインスタンス「人員A」と権限CIインスタンス「入室A」および「電源投入A」とには、権限付与関係(has)が定義されている。
【0054】
本実施形態の構成管理装置150は、上述したように、権限依存関係定義部156を備える。権限依存関係定義部156は、好適には、ディスカバリ機能(トラッキング機能)による自動検出として、リソース上の権限CIインスタンスと、他のリソース上の権限CIインスタンスとの間の関係を自動的に抽出し、定義する機能を備える(図3)。リソース上の権限CIインスタンス間に定義される関係は、あるリソース上の権限を行使する際に必要となる他のリソースの権限を表す関係をいい、便宜上、権限依存関係(「requires」)と呼ぶ。例えば、図3に示すように、あるサーバルームに設置されたサーバの電源投入権限やメンテナンス権限を行使するためには、リモート操作が行えない限り、少なくともサーバルームへの入室権限を必要とする。権限依存関係は、このようなリソース間の権限の依存関係を表す。
【0055】
あるリソース上の権限CIインスタンスと、他のリソース上の権限CIインスタンスとの間の権限依存関係の抽出は、例えば、他のリソースCIから関係(is in/onなど)を定義する際に参照すべき条件(以下、権限依存関係規定条件という。)を予め設定することで条件付けることができる。権限依存関係規定条件の事前設定は、特に限定されるものではないが、特定のクラス(カテゴリまたはモデル)のリソースCIに設定されるテンプレートを使用して、または特定のリソースCIインスタンスに対して直接を行うことができる。また、上記権限依存関係規定条件は、当該リソース上の権限CIインスタンスと、他のリソース上の権限CIインスタンスとの関係付け方を規定するものであり、他のリソースCIインスタンスのタイプ、属性、リソース間の関係に応じて条件付けることができる。
【0056】
図5は、リソースと既存のリソースとの新たな所属関係(「is in/on」)が検出された場合に実行される、権限依存関係抽出処理を説明する図である。このような新たな所属関係は、新規リソースが既存リソースに追加された場合、または既存リソースと他の既存のリソースとの間に関係が新たに定義された場合に検出される。図5に示す例では、権限依存関係規定条件は、所属関係(「is in/on」)において上位の既存リソースCIインスタンス「サーバルームA」に対して設定されている。
【0057】
図5に示す例の権限依存関係規定条件は、インスタンス「サーバルームA」にタイプ「ハードウェア(H/W)」のCIインスタンスが関係付けられた場合であって、当該タイプ「ハードウェア」のCIインスタンスが属性値「WOL(Wake on LAN)」を有していないとき、当該ハードウェア型リソース上のすべての権限CIインスタンスに対し、「サーバルームA」上の権限CIインスタンス「入室A」への権限依存関係を定義付けるべきことを規定している。この規定に従って、「サーバA」上の権限CIインスタンス「メンテナンスA」および「電源投入A」には、「サーバルームA」上の権限CIインスタンス「入室A」への権限依存関係(「requires」)が定義されている。
【0058】
また、図5では、CIインスタンス「サーバC」がCIインスタンス「サーバルームA」に新たに追加された状況を示している。CIインスタンス「サーバC」は、その属性値「WOL」を有するため、リモートで「サーバC」を起動させることができる。このため、「サーバC」上の権限CIインスタンス「メンテナンスC」および「電源投入C」には、「サーバルームA」上の権限CIインスタンス「入室A」への権限依存関係は定義されない。
【0059】
このように、権限依存関係定義部156は、1以上のリソースが既存リソースに関連付けられた場合に、当該既存リソースと他リソースとの関係付け方を規定する権限依存関係規定条件を参照する。権限依存関係定義部156は、続いて、権限依存関係規定条件に従って、既存リソース上の権限と1以上のリソースそれぞれの上の権限との間に関係付けられるべき権限依存関係を抽出し、定義する。この機能は、特に、同種のリソースが大量に追加される場合に、人手による労力を大幅に低減することができる。
【0060】
以下、図6および図7を参照しながら、権限依存関係抽出処理について、より詳細に説明する。図6は、1以上の新規リソースが既存のリソースに追加された場合に実行される権限依存関係抽出処理を説明する図である。図7は、本発明の実施形態による構成管理装置が実行する、権限依存関係抽出処理を示すフローチャートである。
【0061】
図7に示す処理は、1以上の新規リソースが追加されたことに応答して、ステップS100から開始する。図6に示す例では、上記1以上の新規リソースの追加に対応して、リソース登録部154により、構成管理データベース152内で、リソースCIインスタンス「ハイパーバイザB」に関連付けて複数のリソースCIインスタンス「仮想マシンBX」が追加されたことが示されている。同様に、「仮想マシンBX」上の権限CIインスタンス「利用者BX」および「管理者BX」も追加されている。
【0062】
ステップS101では、権限依存関係定義部156は、追加される1以上のリソースそれぞれについて、そのモデル、追加先の既存リソース、追加先リソースとの関係の種類、当該リソース上で提供される権限など、当該リソースに関連する情報を取得する。図6に示す例では、追加される1以上のリソースのCIインスタンスがタイプ「仮想マシン」であり、追加先がCIインスタンス「ハイパーバイザB」である。ステップS102では、権限依存関係定義部156は、追加先リソースに対し設定される権限依存関係規定条件を取得する。図6に示す権限依存関係規定条件は、インスタンス「ハイパーバイザB」にタイプ「仮想マシン」のリソースCIインスタンスが関係付けられた場合には、当該仮想マシン型リソース上のすべての権限CIインスタンスに対し、「ハイパーバイザB」上の権限CIインスタンス「利用者B」への権限依存関係を定義付けるべきことを規定している。
【0063】
ステップS103〜ステップS106のループでは、追加される1以上のリソースそれぞれに対し、ステップS104およびステップS105の処理を実行する。ステップS104では、上記権限依存関係規定条件に従って、当該リソース上の1以上の権限と、追加先リソースの1以上の権限との間に関係付けるべき権限依存関係(requires)とを抽出する。
【0064】
ステップS105では、抽出した権限CIインスタンス間の権限依存関係を構成管理データベース152に追加する。図6に示す例では、各「仮想マシンBX」上の権限CIインスタンス「管理者BX」および「利用者BX」と、「ハイパーバイザB」上の権限CIインスタンス「利用者B」との間に関係付けるべき権限依存関係が抽出され、構成管理データベース152に一括定義されることになる。ステップS103〜ステップS106のループを抜けると、ステップS107で本処理は終了する。
【0065】
上述したように、上記権限依存関係抽出処理によれば、1上の新規リソースが既存のリソースに追加されたことに応答して、1上の新規リソースと既存のリソースとの間に適切な権限依存関係が定義される。したがって、同種のリソースが大量に追加される場合でも、効率的に権限依存関係を定義することができるので、人手による労力を大幅に低減することができる。なお、リソース登録部154と同様に、自動で付与された権限依存関係をマニュアルで入力または修正することもできる。
【0066】
図4は、構成管理データベース152を構築・更新するための機能部154〜160によって構築される、構成管理データベース152のデータ構造を例示する図である。図4に示す構成アイテムテーブル200は、構成アイテムの名称を保管するフィールド202と、構成アイテムのカテゴリを保管するフィールド204と、構成アイテムの上記カテゴリをさらに細分化したモデルを保管するフィールド206と、属性フィールド208と、関係フィールド210とを含む。
【0067】
属性フィールド208は、1以上の属性および属性値のセットを保管する。関係フィールド210は、当該構成アイテムに対して定義されている1以上の関係に関する情報を保管し、関係の種類と、当該構成アイテムの相手方の構成アイテムを識別する名称(または識別番号等)とを保管する。なお、図4に示すデータ構造は一例であり、特に限定されるものではなく、他の実施形態では、関係フィールド210の内容を別のテーブルで管理することもできる。
【0068】
本発明の実施形態による構成管理装置150では、構成管理データベース152を構築し、更新するための機能部であるプロセス登録部158、権限依存関係定義部156、プロセス登録部158および人員登録部160により、サービス管理の対象となるリソース、人員、プロセスおよびリソース上で提供(「provides」)される権限をそれぞれCIとして保管する構成管理データベース152が構築され、以下説明する人員に付与された権限状態の整合性を検証するための基盤が提供される。
【0069】
構築された構成管理データベース152では、リソース上の権限と該権限の行使に必要となる他のリソース上の権限との権限依存関係(「requires」)、プロセスと該プロセスに必要な権限との権限要求関係(「needs」)、および人員と該人員に付与される権限との権限付与関係(「has」)を含む、種々のCI間の関係が規定される。なお、上述したように構成管理装置150内に構築されたCI群は、例えば、非特許文献1に示されるような可視化を行うことにより、CI間の関係をグラフとして把握することもできる。
【0070】
以下、上記構成管理データベース152を用いて、プロセスを割り当てた人員に対し付与する権限を管理する機能について説明する。上述したように、本システムにおいて、人員には、実行すべき1以上のプロセスを割り当てることができる。また、各プロセスの実行には、リソース上の権限が必要となる場合がある。例えば、図3に示すように、「OS−A」にパッチを適用する「プロセスA」の実行には、リソース「OS−A」上の管理者権限「アドミニストレータA」が必要である。よって、「プロセスA」が割り当てられた「人員A」には、少なくとも「OS−A」上の「アドミニストレータA」の権限が付与されていなければ、「人員A」は「プロセスA」を処理することができない。したがって、「人員A」には、少なくとも「アドミニストレータA」の権限を付与する必要がある。
【0071】
一方、上述したようにリソース間には権限依存関係が存在するため、「アドミニストレータA」の権限だけでは、「人員A」は実質的に「プロセスA」を処理することができない。すなわち、「アドミニストレータA」には、「サーバA」の「電源投入A」の権限が関係付けられ(requires)ており、「電源投入A」には、さらに、「サーバルームA」の「入室A」の権限が関係付けられ(requires)ている。つまり、「人員A」には、「アドミニストレータA」の権限を付与するだけでは足りず、「電源投入A」および「入室A」の両権限を付与しなければならない。このような関係は、人員に割り当てるプロセスに関する情報のみからは容易に把握することができず、リソースが増大するにつれ、またリソースの階層が深くなるにつれて、ますます困難となる。
【0072】
そこで本発明の実施形態による構成管理装置150は、図2に示すように、構成管理データベース152を構築し、更新するための機能部154〜160に加えて、さらに、目標権限状態導出部162と、コンプライアンス違反検証部164と、監査部166とを含んで構成される。
【0073】
目標権限状態導出部162は、構成管理データベース152を参照し、人員に対して割り当てられている(is assigned to)実行すべきプロセスそれぞれに関して、この実行すべきプロセスに必要な(needs)リソース上の権限を基点として権限依存関係(requires)を含む関係を辿り、人員に付与(has)するべき権限の目標状態と現在の状態との不整合を導出する機能を有する。ここで、目標状態とは、例えば、コンピュータ・セキュリティにおける基本概念のひとつである最小権限の原則に従うもの、すなわち人員に対して最小限の権限が付与される状態とすることができる。なお、目標権限状態導出部162は、本実施形態の権限導出部を構成する。また不整合を導出する処理は、特に限定されるものではないが、定期的、不定期、指示されたタイミング、新規プロセスが追加されたことを検出して、または現存するプロセス(未完了のプロセスをいう。)が完了または期間が終了したことを検出して開始することができる。
【0074】
コンプライアンス違反検証部164は、目標権限状態導出部162によって権限依存関係から判断して導出された不整合を解消する結果として、リソース上の権限と1以上の人員との間に設定される関係に関して遵守すべきコンプライアンスに違反することになるか否かを検証する。なお、コンプライアンスは、本実施形態の遵守すべきルールを構成し、コンプライアンス違反検証部164は、本実施形態のルール違反検出部を構成する。
【0075】
監査部166は、権限依存関係から判断して導出された不整合を解消する結果として、所定の監査ルールに違反することにならないかを監査する。監査ルールは、監査ルールデータベース168内に管理されており、例えば職務分掌ルールを含むことができる。職務分掌ルールは、関連するリソース間で同一人員に対し同時に付与することが許可されない権限の組み合わせを規定する。
【0076】
以下、目標権限状態導出部162による権限状態の不整合検出処理、コンプライアンス違反検証部164によるコンプライアンス違反検証処理、および監査部166による監査処理について、構成管理データベースの概念図およびフローチャートを参照しながら、より詳細に説明する。
【0077】
図8は、新規プロセスが追加された場合に実行される権限状態の不整合検出処理を説明する図である。図9は、本発明の実施形態による構成管理装置が実行する、新規プロセスが追加された場合の権限状態不整合検出処理を示すフローチャートである。図9に示す処理は、新規プロセスが追加されたことに応答して、ステップS200から開始する。図8に示す例では、上記新規プロセスの追加に対応して、プロセス登録部158により、構成管理データベース152内にプロセスCIインスタンス「プロセスA」が追加されたことが示されている。
【0078】
ステップS201では、目標権限状態導出部162は、上記新規プロセスの登録の際に指定された1以上の必要なリソース上の権限、1以上の割り当てる人員など新規プロセスに関連する情報を取得する。図8に示す例では、「プロセスA」には、「OS−A」上の「アドミニストレータA」の権限が必要であり、また「プロセスA」は「人員A」に割り当てられている。
【0079】
ステップS202では、目標権限状態導出部162は、新規プロセスの必要なリソース上の権限を基点として、権限依存関係を辿り、間接的に必要となるリソース上の権限を抽出する。図8に示す例では、「OS−A」上の権限CIインスタンス「アドミニストレータA」と「サーバA」上の権限CIインスタンス「電源投入A」との間に、さらに「サーバA」上の権限CIインスタンス「電源投入A」と、「サーバルームA」上の権限CIインスタンス「入室A」との間に権限依存関係が存在する。したがって、図中に太矢印で示すように関係が辿られて、権限CIインスタンス「電源投入A」および「入室A」が間接的に必要なリソース上の権限として抽出される。
【0080】
ステップS203では、目標権限状態導出部162は、割り当てる人員に付与されているリソース上の現在の権限(現在の権限付与状態)と、新規プロセスに直接的または間接的に必要となるリソース上の権限(目標の権限付与状態)とを比較し、不整合点を抽出する。ここで導出される不整合点は、当該人員に割り当てられたプロセスに必要な権限のうち、現在の状態において不足する権限である。図8に示す例では、「サーバルームA」上の権限CIインスタンス「入室A」、「サーバA」上の権限CIインスタンス「電源投入A」、および「OS−A」上の権限CIインスタンス「アドミニストレータA」それぞれについて、人員CIインスタンス「人員A」に権限付与関係「(has)」が定義されていない場合、不足する権限として不整合点が導出される。
【0081】
ステップS204では、詳細は後述するコンプライアンス違反検証部164または監査部166による処理が、任意で行われる。ステップS205では、目標権限状態導出部162は、不整合として導出された不足の権限を付与すべき権限として、所定の管理者に対しレポート出力し、ステップS206で本処理を終了させる。なお、レポート報告を受けて、管理者は、IDプロビジョニングシステム138などを用いて、不足の権限を付与し、適切な権限状態を維持することができる。あるいは、上記レポート出力とともに、または上記レポート出力に代えて、IDプロビジョニングシステム138と連携することにより、不整合として導出された不足の権限を自動的に付与することもできる。
【0082】
上述までは、新規プロセスの追加が検出された場合の権限状態不整合検出処理について説明してきた。上記権限状態不整合検出処理により、プロセスを担当者に割り当てる際に、そのプロセスに必要なリソース上の権限、およびその権限と関係のある他のリソース上の権限を辿ることで、その人員に付与するべき目標状態のリソースの権限を導出することが可能となる。なお、このような不整合検出処理は、新規プロセスが追加されたときに、追加された新規プロセスに関連する人員についてのみならず、適時、全体の構造について検証してもよい。以下、図10および図11を参照して、さらに説明を行う。
【0083】
図10は、現存するすべてのプロセスについての権限状態の不整合を検出する処理を説明する図である。図11は、本発明の実施形態による構成管理装置が実行する、現存するすべてのプロセスについての権限状態導出処理を示すフローチャートである。図11に示す処理は、定期的に、不定期に、管理者等からの明示的な指示を受けたことに応答して、現存していたプロセスが完了したことに応答して、または現存していたプロセスに設定された期限が終了したことに応答して、ステップS300から開始される。
【0084】
図10に示す例では、上記現存するプロセスが完了したことに応答して、プロセス登録部158により、構成管理データベース152内でプロセスCIインスタンス「プロセスB」のステータスが、「完了」したものとして更新されたことが示されている。ステップS301〜ステップS305のループでは、現存するプロセス毎に、ステップS302〜ステップS304の処理が実行される。
【0085】
ステップS302では、目標権限状態導出部162は、当該プロセスの必要なリソース上の権限や割り当てる人員などの情報を取得する。図10に示す例では、現存する「プロセスA」には、「OS−A」上の「アドミニストレータA」の権限が必要であり、また「プロセスA」は「人員A」に割り当てられているため、当該「プロセスA」の情報が取得される。一方、「プロセスB」は、既に完了しているため、ここでは取得されない。
【0086】
ステップS303では、目標権限状態導出部162は、当該プロセスに直接的に必要なリソース上の権限を基点として、権限依存関係を辿り、当該プロセスに間接的に必要となるリソース上の権限を抽出する。図10に示す例では、図8と同様に、権限CIインスタンス「電源投入A」および「入室A」が間接的に必要なリソース上の権限として抽出される。
【0087】
ステップS304では、目標権限状態導出部162は、当該プロセスに割り当てられている人員に関連付けて、付与されるべき権限として、当該プロセスに直接的または間接的に必要となるリソース上の権限を記録する。図10に示す例では、権限CIインスタンス「入室A」、権限CIインスタンス「電源投入A」、および権限CIインスタンス「アドミニストレータA」が、人員CIインスタンス「人員A」と関連付けて記録される。
【0088】
ステップS301〜ステップS305のループを抜けると、ステップS306〜ステップS309のループへ処理が進められ、ステップS307およびステップS308の処理が人員毎に実行される。ステップS307では、目標権限状態導出部162は、人員毎に、当該人員に割り当てられたすべてのプロセスそれぞれに直接的または間接的に必要となるリソース上の権限をまとめる。ステップS308では、目標権限状態導出部162は、人員毎に、当該人員に付与されているリソース上の現在の権限(現在の権限付与状態)と、当該人員にまとめた、当該人員に割り当てられたすべてのプロセスに直接的または間接的に必要となるリソース上の権限(目標の権限付与状態)とを比較し、不整合点を抽出する。
【0089】
ここで導出される不整合点には、当該人員に割り当てられたすべてのプロセスを実行するために必要な権限のうち、現在の状態において不足する権限が含まれる。さらに不整合点には、当該人員に対して現在付与されている権限のうち、当該人員に割り当てられたすべてのプロセスを実行するために必要な権限(最小限の権限)を越えて余剰に付与された権限を含む。図10に示す例では、完了した「プロセスB」に対応して、「人員A」に対し、「サーバA」の「メンテナンスA」の権限が仮に付与されているが、これが余分な権限であるとして不整合点が導出される。
【0090】
ステップS306〜ステップS309のループを抜けると、ステップS310では、詳細は後述するコンプライアンス違反検証部164または監査部166による処理が任意で行われる。ステップS311では、目標権限状態導出部162は、不整合として導出された不足の権限を付与すべき権限として、また余剰の権限を削除すべき権限として、所定の管理者に対しレポート出力し、ステップS312で本処理を終了させる。なお、レポート後の詳細については、図9を参照して説明したことと同様の取り扱いとすることができる。
【0091】
上述した権限状態の検証処理によれば、コンピュータ・セキュリティにおける基本概念のひとつである最小権限の原則に従い、管理者は、各人員に対して最小限の権限が付与される状態を把握することができる。さらに、IDプロビジョニングシステム138と連携することにより、このような権限状態を効率的に実現することができる。しかしながら、上記最小権限の原則は、コンプライアンスなど他の理由から例外を規定することが必要な場合がある。以下、このような原則に対する例外を規定する、コンプライアンス違反検証部164が実行する処理について、より詳細に説明する。
【0092】
上述したように、コンプライアンス違反検証部164は、導出された不整合を解消する結果として、コンプライアンスに違反することになるか否かを検証する機能部である。コンプライアンス違反検証部164は、目標権限状態導出部162により権限依存関係から判断した結果、不整合であるとして検出された不足の権限が、権限付与により不足状態を解消する結果として、コンプライアンスに違反することになるか否かを検証する。コンプライアンス違反検証部164は、不整合として検出された余剰の権限についても同様に、権限削除により余剰状態を解消する結果として、コンプライアンスに違反することになるか否かを検証する。
【0093】
権限を削除した結果コンプライアンス違反となる場合としては、例えば、あるリソース上の権限が少なくとも一人の人員に付与されていなければならない場合に、最後の一人を削除すると違反してしまう場合を挙げることができる。権限を付与した結果コンプライアンス違反となる場合としては、例えば同時に権限が付与される人員数に上限がある場合に、新たに権限を付与すると違反してしまう場合を挙げることができる。コンプライアンス違反検証部164は、上述のような違反状態を検出する。
【0094】
図12は、コンプライアンス違反検証処理を説明する図である。図12に示す例では、上記現存するプロセスが完了したことに応答して、プロセス登録部158により、構成管理データベース152内で、プロセスCIインスタンス「プロセスA」のステータスが「完了」に更新されたことが示されている。この場合、「人員A」に対しては、「プロセスA」以外に、「OS−A」上の「アドミニストレータA」の権限を必要とするプロセスが割り当てられていないので、「プロセスA」の完了と同時に「OS−A」上の「アドミニストレータA」の権限は不要となる。したがって、上記目標権限状態導出部162は、「OS−A」上の「アドミニストレータA」の権限が削除すべき権限として検出する。
【0095】
一方、「OS−A」上の「アドミニストレータA」の権限には、例えば属性情報として、上記「アドミニストレータA」と人員との間に設定される関係に関して、遵守すべきコンプライアンスが設定されている。図12に示すコンプライアンスによれば、上記「アドミニストレータA」には、少なくとも1人の人員が割り当てられている必要がある。したがって、「OS−A」上の「アドミニストレータA」の権限は、上記目標権限状態導出部162によれば削除すべきとして判定されるにもかかわらず、コンプライアンス遵守の観点からは、「人員A」から削除するべきではない。
【0096】
上記コンプライアンス違反検証部164により、コンプライアンス違反として検出された不足の権限または余剰の権限は、付与すべきではない権限または削除すべきではない権限として、レポート出力することができる。このレポートの報告を受けて、管理者は、上記余剰の権限の削除、または不足の権限の付与を中止することができる。あるいは、IDプロビジョニングシステム138と連携する場合には、上記目標権限状態導出部162の判断による不足の権限の自動的な付与または余剰の権限の自動的な削除を中止することができる。
【0097】
以下、上記原則に対する他の例外を規定する監査部166が実行する処理について、より詳細に説明する。上記コンプライアンス違反検証部164によるコンプライアンスが、単一のリソース上の権限と人員との関係について規定していたのに対し、上記監査部166による監査ルールは、単一の人員と、複数のリソース上の権限との関係に関するルールを規定する。また、上記目標権限状態導出部162が、リソース上の権限同士の権限依存関係に基づくものであるのに対し、上記監査部166による監査ルールは、リソース上の権限間では直接関係が形成されておらず、リソース間の関係を経由して形成される間接的なリソース上の権限間の関係に基づくものである。
【0098】
監査部166は、上述したように、権限依存関係から判断して導出された不整合を解消する結果として、所定の監査ルールに違反することにならないかを監査する。図13および図14は、監査処理を説明する図である。図13に示す例のように、監査ルールは、職務分掌ルールとすることができる。職務分掌ルールは、組織を円滑に運営するべく、同一の人員に対して付与される権限間のコンフリクトを排除するものであり、企業等の組織において、個人またはグループそれぞれの業務内容、権限、職責の範囲を明確化することを目的としたものである。職務分掌の一例としては、ミドルウェアのユーザが、当該ミドルウェアに関連するデータベースの内容を不正に変更しないように、ミドルウェアのユーザ権限を有する人員には、当該データベースにアクセスするための管理者権限を付与すべきではないという規則を挙げることができる。
【0099】
図13に示す例では、「ミドルウェアD」の「利用者」の権限と、その「ミドルウェアD」に関係(「is in/on」)がある「OS−D」の「データベース・アドミニストレータ(図ではDBアドミニと省略されている)D」の権限とは、同一人員に対して付与できないという監査ルールが規定されている。図13では、「OS−D」上のデータベース・アドミニストレータDの権限を必要とする「プロセスD」が新規で追加されているが、「人員A」に割り当てようとする場合、「人員A」には既に、「ミドルウェアD」の「利用者」の権限が付与されているため、「人員A」に「プロセスD」を割り当てると監査ルール違反ということになり、割り当てるべきではない。一方、「人員B」には、未だ「ミドルウェアD」の「利用者」の権限が付与されていないため、「人員B」に割り当てる場合、監査ルールに違反することにはならず、割り当ててもよいということになる。
【0100】
また、上記職務分掌ルールは、許可されない権限の組み合わせに対する例外規定をさらに含むことができる。図14に示す例では、図13に示した例と同様に、「ミドルウェアD」の「利用者」の権限と、その「ミドルウェアD」と関係のある「OS−D」の「データベース・アドミニストレータD」の権限とは、同一人員に対して付与できないという原則が監査ルール上に規定されている。一方で、その例外として、「ミドルウェアD」の「管理者D」の権限を有する人員に対しては、上記原則禁止された「ミドルウェアD」の「利用者D」の権限と、その「ミドルウェアD」と関係のある「OS−D」の「データベース・アドミニストレータD」の権限とを同一人員に付与することを許可する旨が規定されている。
【0101】
以上説明したように、本発明の実施形態によれば、リソース上の権限と他のリソース上の権限との関係を辿ることで、リソース上の権限の行使に必要となる他のリソース上の権限を考慮して、人員に対して必要な最小限の権限を導出することができる。したがって、セキュリティにおける権限最小の原則を満足させることが容易となる。また、構成管理データベース152内の構成アイテムは、適時に更新されるため、仮想マシンの追加のようなリソースの変更が頻繁に発生したとしても、構成の変化に充分に追随して最適な状態を維持することができる。
【0102】
さらに、プロセスが完了したり、プロセスの有効期限が終了したりした場合に生じる、必要な権限と不要な権限とを区別することの困難性もない。さらに、コンプライアンス規定ルールや監査ルールを定義することにより、ルール上の制限の下で必要最小限の権限状態を維持することが可能となる。
【0103】
以上説明したように、本発明の実施形態によれば、ITサービス管理において、プロセスが割り当てられる担当者に付与されるべき、基準に適合した目標状態を効率的に導出し、ひいては担当者に必要最小限の権限が付与された状態を維持管理することを支援するための情報処理装置、権限管理方法、プログラムおよび記録媒体を提供することができる。
【0104】
本発明の上記機能は、C++、Java(登録商標)、JavaBeans(登録商標)、Java(登録商標)Applet、JavaScript(登録商標)、Perl、Rubyなどのオブジェクト指向プログラミング言語などで記述された装置実行可能なプログラムにより実現でき、装置可読な記録媒体に格納して頒布または伝送して頒布することができる。
【0105】
これまで本発明を、特定の実施形態をもって説明してきたが、本発明は、実施形態に限定されるものではなく、他の実施形態、追加、変更、削除など、当業者が想到することができる範囲内で変更することができ、いずれの態様においても本発明の作用・効果を奏する限り、本発明の範囲に含まれるものである。
【符号の説明】
【0106】
100…システム、110…インフラストラクチャ、112…ストレージ、114…サーバルーム、116…サーバ、118…ハイパーバイザ、120…仮想マシン、122…OS、124…アプリケーション、126…データベース、130…ストレージ管理ツール、132…入退室管理システム、134…システム管理ツール、136…プロジェクト管理システム、138…IDプロビジョニングシステム、140…管理端末、150…構成管理装置、152…構成管理データベース、154…リソース登録部、156…権限依存関係定義部、158…プロセス登録部、160…人員登録部、162…目標権限状態導出部、164…コンプライアンス違反検証部、166…監査部、168…監査ルールデータベース、200…構成アイテムテーブル、202,204,206…フィールド、208…属性フィールド、210…関係フィールド
【技術分野】
【0001】
本発明は、IT(Information Technology)サービス管理技術に関し、より詳細には、ITサービス管理において、プロセスを割り当てる人員に付与する権限を管理するための情報処理装置、構成管理方法、プログラムおよび記録媒体に関する。
【背景技術】
【0002】
近年、官公庁、企業など組織におけるITシステムの大規模化に伴い、その運用管理に費やされるコストが増大している。さらに、近年の仮想化技術の進展にともない、物理リソースと仮想リソースとが混在し、システム構成が複雑化し、ますます運用管理や現状の正しい把握を困難なものとしている。このような背景から、ITサービスの品質向上、長期的な運用コストの削減のためのベスト・プラクティスをまとめたフレームワークとして、ITIL(Information Technology Infrastructure Library)が注目されている。
【0003】
上記ITILフレームワークにおける中核的なコンポーネントとして、構成管理データベース(CMDB:Configuration Management Database)がある。CMDBは、ITサービスにおいて、管理対象のコンポーネントに関する情報を一元的に管理し、必要なときに必要な情報を提供することを目的としたデータベースである。CMDBは、サービス管理の対象となるハードウェア、ソフトウェア等のリソース、ドキュメント、インシデント履歴情報、さらには人的資源を含めて各構成要素を構成アイテム(CI;Configuration Item)として維持管理し、構成アイテム間の依存関係についても把握できるように支援する。
【0004】
上述したCMDBの構築を支援し、CMDBを基盤として運用プロセスを制御するソフトウェアとして、種々のCMDB製品が提供されている。先進的なCMDB製品では、サービス管理の対象となる構成アイテムに関する情報を自動的に発見するディスカバリ機能や、自動的に更新するトラッキング機能が充実しており、人手による多くのデータ入力作業を削減可能としている(非特許文献1)。
【0005】
また、スキーマの異なるCMDB間でデータの連携を可能とすることを目的として、特開2009−193545号公報(特許文献)は、構成要素毎に、該構成要素の少なくとも1つの所定の属性および他の構成要素との関係を示し且つ第1の仕様に従うところの1組のデータを保持するリポジトリと、第2の仕様に従うデータに関連付けられる外部参照用データを他のコンピュータ・システムから検出するための、第1の仕様に従う1組のデータが検出された外部参照用データから作成されて上記リポジトリ内に格納される、ディスカバリ部を含むコンピュータ・システムを開示する。特許文献1に開示される技術により、アクセス方法やデータ形式が異なるCMDBを統合することが可能となり、種々のベンダから提供される既存環境を統合してCMDBを構築することができるようになる。
【0006】
上述したCMDBが適切に構築されることにより、ヘルプデスク機能、インシデント管理プロセス、問題管理プロセス等の各管理プロセスを円滑に遂行することが可能となる。例えば、インシデントが検出されたり、インシデントから改善すべき問題として登録されると、適切なヘルプデスク担当者や技術サポート担当者をアサインし、サービス要求への対応を行わせたり、問題の解決に当たらせることになる。このとき、CMDBは、プロセスに必要なシステム資源や人的資源に関する情報を提供し、またアサインされた担当者に対し、インシデント履歴情報、現状の構成情報などの有用な情報を提供する。さらに、プロジェクト管理システムや運用管理ツールと連携することにより、監視ツールからのエラーメッセージに応答して、エラーを自動的に記録し、エラーチケットを登録し、担当者を自動的に割り当てるといった自動化も進められている。
【0007】
しかしながら、プロセスを担当者に割り当てて処理を実行させるためには、必要なリソースにアクセスするための権限を担当者に付与する必要がある。例えば、所定のサーバルーム内のサーバに対するメンテナンスの場合、担当者には、サーバのメンテナンス権限の他、サーバルームへの入退室の権限を付与する必要がある。しかしながら、従来技術のITサービス管理システムにおいては、このような担当者の権限管理は、リソースや人員の管理とは異なる個別のシステムで管理されていたため、権限管理を適切に行うことが難しかった。
【0008】
例えば、サービスリクエストへの対応、問題解決、プロジェクトなどプロセスには、その処理に複数のリソースを必要とする場合や、上述したサーバのメンテナンスのようにリソースの利用権限間に依存関係がある場合がある。リソースの増加とともに、この依存関係が複雑化し、担当者にプロセスの処理に必要最低限の権限を付与するということが困難となっている。
【0009】
さらに、プロセスには、期限が設けられることがあるが、セキュリティの観点からは、完了後は不要な権限を削除するべきである。しかしながら、権限の依存関係が複雑化してしまうと、必要な権限と不要な権限を識別することが困難となり、本来削除するべき権限がプロセス完了後も残されてしまうという、コンプライアンス上の問題も発生させる。あるいは、複数のプロセスが担当者に割り当てられていた場合に、ひとつのプロセスの完了に伴い権限を削除してしまうと、残りのプロセスに必要な権限まで削除されてしまうという、不具合も発生させるおそれもある。特に、近年のクラウド・コンピューティングにおける仮想化技術の進展より、仮想マシンなどのリソースの追加、削除等が頻繁に行われるようになったことに伴い、上述した問題点はより顕著となる。
【0010】
上述した人員に対する権限を管理するという観点からは、サーバやアプリケーションのユーザアカウント情報の生成、配布、更新、廃棄、失効等を含めたライフサイクルを管理する、アカウント・プロビジョニング・ツールも提供されている。例えば「Tivoli Identity Manager(以下、TIMという。)」(非特許文献2)は、パーソン(人)のロール(役割)や所属に応じて、サーバやアプリケーションなどのサービスにおける実アカウントを作成、変更、削除することを可能としている。しかしながら、上記TIMのようなアカウント・プロビジョニング・ツールでは、パーソンとアカウント・プロビジョニングとの関連付けをポリシーの記述よって実現しているが、環境が変化する度に手動でポリシーを記述し直す必要があり、変更忘れや、記述の誤りなど人為的なミスを排除しきれないという点で充分なものではなかった。
【0011】
上記特許文献1の技術では、権限管理に関して、第1のコンピュータ・システムが第2のコンピュータ・システムの外部参照用データにアクセスできるか否かを定義するスキーマをアクセス権限データとし、これをアクセス権限テーブルで管理する技術について言及しているが、プロセスを割り当てる人員に対し付与する権限を管理するという技術ではない。
【0012】
以上の背景から、ITサービス管理において、プロセスを割り当てる担当者に付与する権限を、割り当てたプロセスに必要なリソースに対応して、適切に管理することができる技術の開発が望まれていた。
【先行技術文献】
【特許文献】
【0013】
【特許文献1】特開2009−193545号公報
【非特許文献】
【0014】
【非特許文献1】IBMRedbooks ”Deployment Guide Series: IBM Tivoli Change and Configuration ManagementDatabase Configuration Discovery and Tracking v1.1”,2006年11月
【非特許文献2】IBMRedbooks ”Deployment Guide Series: IBM Tivoli Identity Manager 5.0”,2008年12月
【発明の概要】
【発明が解決しようとする課題】
【0015】
本発明は、上記従来技術における問題点に鑑みてなされたものであり、本発明は、ITサービス管理において、プロセスが割り当てられる担当者に付与されるべき、基準に適合した目標状態を効率的に導出し、ひいては担当者に必要最小限の権限が付与された状態を維持管理することを支援するための情報処理装置、権限管理方法、プログラムおよび記録媒体を提供することを目的とする。
【課題を解決するための手段】
【0016】
本発明は、上記従来技術の問題を解決するために、以下の特徴を有する情報処理装置を提供する。本発明の情報処理装置は、構成管理データベースを備え、当該構成管理データベースにおいて、リソース、人員およびプロセスに加えて、さらにリソース上で提供される権限をそれぞれ構成アイテムとして保管する構成を採用する。本発明における構成管理データベース内では、リソース上の権限と該権限の行使に必要となる他のリソース上の権限との権限依存関係、プロセスと該プロセスに必要な権限との権限要求関係、および人員と該人員に付与される権限との権限付与関係を含む、構成アイテム間の関係が定義される。
【0017】
本発明の情報処理装置は、構成管理データベースを参照し、実行すべきプロセスが対応人員に対して割り当てられている場合に、当該実行すべきプロセスに必要なリソース上の権限を基点として上記関係を辿り、対応人員に付与するべき権限の目標状態を導出する。例えば、対応人員に必要最小限の権限が付与されるべきという基準に適合した権限状態を目標状態とし、さらに、当該目標状態と現在状態との不整合を導出することができる。また、上記不整合とは、例えば、対応人員について不足する権限および余剰の権限、またはこれらのいずれか一方を含むことができる。
【0018】
さらに本発明では、リソースが既存リソースに新たに関連付けられた場合に、既存リソースに関して設定される所定の条件に従って、既存リソース上の権限と、各リソースの上の権限との間に関係付けられるべき権限依存関係を定義することができる。ここで、上記所定の条件とは、既存リソースと他リソースとの関係付け方を規定するものである。本発明では、さらに、現存する1以上のプロセスに必要な権限を基点として、それぞれ上記関係を辿り、現存する1以上のプロセスそれぞれに割り当てられた対応人員それぞれについての目標状態と現在状態における不整合を導出することができる。
【発明の効果】
【0019】
上記構成によれば、リソース上の権限と他のリソース上の権限との間の関係を辿ることで、リソース上の権限の行使に必要となる他のリソース上の権限を考慮した上で、人員に対して必要な最小限の権限を導出することが可能となる。したがって、セキュリティにおける権限最小の原則を満足させることが容易となる。
【図面の簡単な説明】
【0020】
【図1】本発明の実施形態による構成管理装置を含むシステムの概略構成を示す図。
【図2】本発明の実施形態による構成管理装置上に実現される機能ブロック図。
【図3】リソース登録部、権限依存関係定義部、プロセス登録部および人員登録部によって構築される構成管理データベース内の構成アイテム間の関係を表す模式図。
【図4】構成管理データベースを構築および更新するための機能部によって構築される構成管理データベースのデータ構造を例示する図。
【図5】リソースと既存のリソースとの新たな所属関係が検出された場合に実行される、権限依存関係抽出処理を説明する図。
【図6】1以上の新規リソースが既存のリソースに追加された場合に実行される、権限依存関係抽出処理を説明する図。
【図7】本発明の実施形態による構成管理装置が実行する、権限依存関係抽出処理を示すフローチャート。
【図8】新規プロセスが追加された場合に実行される、権限状態不整合検出処理を説明する図。
【図9】本発明の実施形態による構成管理装置が実行する、新規プロセスが追加された場合の権限状態不整合検出処理を示すフローチャート。
【図10】現存するすべてのプロセスについての権限状態不整合検出処理を説明する図。
【図11】本発明の実施形態による構成管理装置が実行する、現存するすべてのプロセスについての権限状態導出処理を示すフローチャート。
【図12】本発明の実施形態による、コンプライアンス違反検証処理を説明する図。
【図13】本発明の実施形態による監査処理を説明する図。
【図14】本発明の実施形態による他の監査処理を説明する図。
【発明を実施するための形態】
【0021】
以下、本発明について実施形態をもって説明するが、本発明は、後述する実施形態に限定されるものではない。以下説明する実施形態では、プロセスを割り当てた人員に対し付与する権限を管理するための情報処理装置の一例として、サービス管理におけるリソース、人員およびプロセスに加えて、リソース上で提供される権限を構成アイテム(Configuration Item:CI)として管理する、構成管理データベースを備えた構成管理装置を例に説明する。
【0022】
以下、図1を参照して、本発明の実施形態によるシステムの全体構成について説明する。図1は、本発明の実施形態による構成管理装置を含むシステムの概略構成を示す図である。図1に示すシステム100は、ITサービスを提供するための種々のリソースからなるインフラストラクチャ110を備える。インフラストラクチャ110は、サービス管理の対象となり得る、如何なるコンポーネントを含むことができ、特に限定されるものではない。インフラストラクチャ110としては、例えば、SAN(Storage Area Network)やNAS(Network attached Storage)などのストレージ112、サーバルーム114、サーバ116、ハイパーバイザ118、仮想マシン120、オペレーティング・システム(以下、OSという。)122、アプリケーション124、データベース126を含むことができる。その他、図示しない、パーソナル・コンピュータや携帯端末などのクライアント端末や、ハブ、スイッチ、ルータなどのネットワーク機器を含んでもよい。
【0023】
構成管理装置150は、システム100内のサービス管理対象のコンポーネントに関する情報の統合された構成管理を行う構成管理データベース152を備える。構成管理データベース152は、構成アイテム(CI)とその重要な属性の詳細を記憶し、構成アイテム間の関係についても記憶する。
【0024】
構成アイテム(CI)は、ITサービス管理における管理対象の基本単位をいう。本発明の実施形態において、構成アイテムは、リソース、プロセス、人員、およびリソース上で提供される権限を含む。本発明の実施形態による構成管理データベース152は、リソース、人員およびプロセスに加えて、リソース上で提供される権限を管理することにより、プロセスが割り当てられた人員に対して付与される権限状態を管理することを可能とする。
【0025】
上記構成アイテムのうちの「リソース」(以下、「リソース」の構成アイテムをリソースCIという。)は、上述したストレージ112、サーバ116その他クライアント端末やネットワーク機器などのハードウェア・リソース、ハイパーバイザ118、仮想マシン120、OS122、アプリケーション124、データベース126などのソフトウェア・リソース、サーバルーム114その他フロアやビルディングなどの施設ないし設備を含むことができる。
【0026】
なお、人的資源も、資源またはリソースという概念に含まれ得るが、本明細書にいう「リソース」は、主として、ハードウェア、ソフトウェア、設備、施設などの有体物または無体物の物的資源を意味し、人的資源は後述する「人員」の概念に含まれるものとする。その他ITサービスの運営に関する規程書、作業手順書および構成図などのドキュメント類や、インシデント履歴などの保守情報についても、「リソース」の概念に含めてもよい。
【0027】
上記構成アイテムのうちの「人員」(以下、人員の構成アイテムを人員CIという。)は、サービス管理に関与する人的資源を意味し、後述するプロセスが割り当てられて、プロセスを実行する主体となるものをいう。人員としては、個人、個人が集合して形成されるグループ、特定の役割や職位を有する個人を表すロールなどを含むことができる。上記構成アイテムのうちの「プロセス」(以下、プロセスの構成アイテムをプロセスCIという。)は、人員に対し割り当てられる作業単位または処理単位を意味し、タスクやプロジェクトとも呼ばれる。プロセスの粒度は、特に限定されるものではなく、プロジェクトを構成するサブプロジェクトや、ワークフローにおける各手続のように、プロセスが他のプロセスを含んでいてもよい。プロセスとしては、例えば、サービス要求に対する対応や、メンテナンス、パッチ適用などを例示することができる。
【0028】
上記構成アイテムのうちの「権限」(以下、権限の構成アイテムを権限CIという。)は、上記リソース上で提供される権限であり、リソースで許可される使用態様ないし使用範囲を表す。上記「権限」としては、例えば、タイプ「サーバルーム」のリソース上の権限であれば、その管理責任者権限や入室権限などが挙げられる。タイプ「サーバ」のリソース上の権限であれば、管理者権限や利用者権限などが挙げられる。タイプ「サーバ」のリソース上の管理者権限は、種々のシステム設定の変更を含む態様ないし範囲で、サーバの使用が許可される権限を意味する。
【0029】
上述したように各構成アイテムには、属性(Attribute)が関連付けられるが、構成アイテムの属性は、個々の構成アイテムを特定し、説明するものである。属性としては、特に限定されるものではないが、構成アイテムの名称(サーバ、ハイパーバイザ、仮想マシン、OSなど)、識別番号(シリアルナンバーやUUID(Universally Unique Identifier))、カテゴリ(ハードウェア、ソフトウェア、設備、ドキュメントなど)、タイプ(カテゴリでの分類をさらに詳述したもの)、その他、型番、保証期間、バージョン番号、ロケーション、所有責任者、責任開始日、供給者、ライセンス、提供日、受入日、使用開始日、ステータスなどを挙げることができる。
【0030】
上述したように構成アイテム間には、関係(Relation)が定義されるが、関係は、構成アイテム間の依存関係を表している。関係としては、特に限定されるものではないが、assigns、canConnect、canUse、connectAt、connects、controls、deployedOn、Located、Managed、Owned、provides、runAt、uses、usedByなどが挙げられる。
【0031】
上述した構成管理データベース152内の各構成アイテムの登録、各構成アイテムの属性の入力、構成アイテム間の関係の入力は、例えば管理端末140からマニュアル操作で行うことができる。しかしながら、すべてを人手によるマニュアル入力で行うとことは、管理対象のコンポーネントが増えるにつれて作業量が膨大するため、また環境の変化に追随させて更新することが困難であるため、現実的ではない。そこで、構成管理装置150は、いわゆるディスカバリ機能およびトラッキング機能を備える。
【0032】
上記ディスカバリ機能は、上記構成アイテムを継続的かつ自動的に発見し、発見した構成アイテムの情報を収集して構成管理データベース152を構築する機能である。トラッキング機能は、ディスカバリ機能と同様に、上記構成アイテムの情報を継続的かつ自動的に収集し、環境の変化を追跡して、構成管理データベース152に、新たに発見した新規構成アイテムを登録し、また変更された構成アイテムを更新する機能をいう。
【0033】
上記機能において、構成アイテムを発見し、発見した構成アイテムの情報を収集する方法は、対象となる構成アイテムによっても異なり、特に限定されるものではないが、ローカル・エージェントを用いたエージェント・ベースの探索方法、ローカル・エージェントを用いないセンサ・ベースの探索方法を採用することができる。探索対象のリソースの負荷を軽減し、または導入の作業負担を軽減する観点からは、ローカル・エージェントを相手側に導入する必要が無いセンサ・ベースの探索手法を好適に採用することができる。上記ディスカバリ機能およびトラッキング機能により、インフラストラクチャ110内のコンポーネント112〜126などを、人手による作業負荷をかけずに、自動で構成管理データベース152上に登録し、更新することができる。
【0034】
なお、上記構成管理データベース152の構築を支援する方法は、上述したディスカバリ機能およびトラッキング機能に限定されず、構成管理装置150は、外部または同一装置上に導入される運用管理ツールやグループウェアのサーバと連携して上記構成アイテムの発見および情報収集を行う連携機能を備えていてもよい。
【0035】
上記連携機能によれば、構成管理装置150は、ストレージ112を管理するストレージ管理ツール130、サーバルーム114の入退出を管理する入退室管理システム132、システム・リソース116〜126を管理するシステム管理ツール134などと連携し、リソースCIや関連する他のCIを登録することができる。また、プロジェクト管理システム136や、図示しないスケジュール管理システムと連携し、上記プロセスCIや関連する他のCIを登録したり、入退室管理システム132、プロジェクト管理システム136、IDプロビジョニングシステム138、図示しないLDAP(Lightweight Directory Access Protocol)サーバなどのユーザ管理システムと連携し、人員CIや関連する他のCIを登録したりすることができる。上記ディスカバリ機能およびトラッキング機能、連携機能により登録された構成アイテムは、管理端末140上からマニュアル操作により、適宜修正および削除することが可能である。
【0036】
構成管理装置150は、特に限定されるものではないが、1または複数のコンピュータからなるコンピュータ・システムとして構成され、概ねデスクトップ型、ワークステーション、サーバ、ミドルレンジまたはメインフレームなどの汎用コンピュータ装置として構成される。構成管理装置150は、図示しないCPU(Central Processing Unit)と、RAM(Random Access Memory)と、HDD(Hard Disk Drive)やSSD(Solid State Drive)などの記憶装置と、NIC(Network Interface Card)とを備え、Windows(登録商標)、UNIX(登録商標)、AIX(登録商標)、Linux(登録商標)などのOSの制御下で稼働する。
【0037】
図2は、本発明の実施形態による構成管理装置上に実現される機能ブロック図である。図2に示す構成管理装置150の機能ブロックは、構成管理データベース152を構築し、更新するための機能部として、リソース登録部154と、権限依存関係定義部156と、プロセス登録部158と、人員登録部160と含む。図3は、リソース登録部154、権限依存関係定義部156、プロセス登録部158および人員登録部160によって構築される、構成管理データベース152内の構成アイテム間の関係を模式的に表した図である。
【0038】
リソース登録部154は、マニュアル入力、外部ツール等との連携またはディスカバリ機能やトラッキング機能による自動検出により、種々のリソースに関連する情報を取得し、構成管理データベース152にリソースCIおよび他の関連するCIのインスタンス(CIの実体データをインスタンスいう。)を作成し、更新する機能を有する(図3)。リソース登録部154は、マニュアル入力が行われる場合は、管理端末140上の管理ツールやブラウザと通信し、管理端末140から送信された所定フォーマットのリソースに関するデータを受信し、得られた情報に従ってCIインスタンスを作成し、または更新を行う。
【0039】
外部ツール等との連携する場合は、リソース登録部154は、ストレージ管理ツール130、入退室管理システム132またはシステム管理ツール134と通信して、相手方からリソースに関連するデータを受信し、適切なフォーマット変換を行い、得られた情報に従ってCIインスタンスを作成し、または更新する。
【0040】
上記ディスカバリ機能やトラッキング機能による自動検出の場合は、リソース登録部154は、例えば、センサ・ベースの探索方法を採用する場合、以下に説明するようなディスカバリ・エンジンを用いることができる。ディスカバリ・エンジンには、IPアドレス範囲、サブネットアドレス、特定のIPアドレスなどの検索スコープと、コンポーネントを発見して適切な構成情報や依存関係をコンポーネントに照会するための資格情報を特定するアクセスリストと、スケジュールとが、予め設定されており、ディスカバリ・エンジンは、設定されたスケジュールまたは明示的に指示されたタイミングで処理を開始する。
【0041】
ディスカバリ・プロセスは、複数のステップを含み、ディスカバリ・エンジンは、まず、標準プロトコルを使用して、設定されたスコープ内を探索し、ネットワーク上に導入されたデバイスのIPノードを識別する。続いて、ディスカバリ・エンジンは、有効なIPノードそれぞれについて、センサを作動させて、所定の参照モデルのシグニチャとのマッチングによりコンポーネントを発見して、分類する。センサは、続いて、コンポーネントに対し、その構成情報および依存関係を照会する。
【0042】
リソース上で提供される権限について補足すると、本発明の実施形態では、照会して得られた構成情報には、そのコンポーネント上で提供される権限に関する情報が含まれ得る。例えば、OS122、アプリケーション124、ミドルウェアなど、通信により権限情報がACL(Access Control List)などの形式で取得できるリソースについては、取得した権限情報から権限CIを登録することができる。また、サーバルーム114やサーバ116など物理的なリソースの場合は、リソースのクラス(カテゴリないしモデル)に応じて予め定義しておいたテンプレートを用いて、自動的に権限CIを追加することができる。
【0043】
ディスカバリ・プロセスは、インフラストラクチャ110の検索スコープ全部が探索されるまで、反復して行われる。あるコンポーネントについて起動されたセンサは、そのコンポーネント上の他のコンポーネントを検出するためのセンサをさらに起動することができる。例えば、サーバが検出された場合には、サーバ上のアプリケーションおよびサービスをディスカバリするためのセンサを起動させることができる。
【0044】
また、ウェブ・アプリケーションとデータベースとの関係のように、異なるハードウェア・リソース上で稼働するソフトウェア・リソース間の関係についても、例えばコンポーネント上で確立されたTCPコネクションに関する情報を取得することにより、検出することができる。インフラストラクチャ110の検索スコープ全体が探索されると、ディスカバリ・エンジンは、コンポーネントから取得したデータを構成管理データベース152に登録する。
【0045】
上述のようなディスカバリ・プロセスを経て、リソースの属性情報、リソース上で稼働する他のリソースおよびその関係、並びに当該リソースが提供する権限およびその関係が取得され、対応するCIインスタンスがそれぞれ構成管理データベース152上に作成され、または更新される。
【0046】
上記リソース登録部154により、図3に例示されるように、リソースCIインスタンス(「サーバルームA」,「サーバA」,「OS−A」)、権限CIインスタンス(「責任者A」,「入室A」,「メンテナンスA」,「電源投入A」,「アドミニストレータA(図中ではアドミニAと省略表示されている。)」,「ゲストA」)が構成管理データベース152内に作成される。さらに、リソースCIインスタンスと他のリソースCIインスタンスとの間には、関係(「is in/on」)が定義され得る。なお、関係(「is in/on」)は、図3において「サーバルームA」と「サーバA」との関係や、「サーバA」と「OS−A」との関係で例示するように、リソースの所属を表す関係であり、便宜上、所属関係(「is in/on」)と参照する。なお、所属関係(「is in/on」)は、上述した「deployed On」、「Located」、「run At」などの関係を代表するものとして説明するが、特に限定されるものではない。
【0047】
また、リソースCIインスタンスと権限CIインスタンスとの間にも関係(「provides」)が定義される。リソースCIおよびリソース上の権限CIの間に定義される関係は、図3において「サーバルームA」と「責任者A」,「入室A」との関係や、「サーバA」と「メンテナンスA」,「電源投入A」との関係で例示すように、リソースと、リソース上で提供される権限との関係を表すものであり、便宜上、権限提供関係(「provides」)と参照する。
【0048】
再び図2を参照して説明すると、プロセス登録部158は、マニュアル入力、外部ツール等との連携により、タスク、プロジェクトなどのプロセスに関連する情報を取得し、構成管理データベース152にプロセスCIインスタンスを作成し、更新する機能を有する(図3)。プロセス登録部158は、マニュアル入力が行われる場合は、管理端末140上の管理ツールやブラウザと通信し、管理端末140から送信されたデータを受信し、得られた情報に従ってプロセスCIインスタンスを作成し、更新し、削除を行う。
【0049】
外部ツール等との連携する場合は、プロセス登録部158は、プロジェクト管理システム136やスケジュール管理システムなどと通信して、相手方からプロジェクトやタスクに関連するデータを受信し、適切なフォーマット変換を経て、得られた情報に従ってCIインスタンスを作成し、更新し、または削除を行う。
【0050】
プロセスに関連する情報としては、タスクやプロジェクトの名称、期限や期間、説明、担当者、関連のあるリソース、必要となるリソース上の権限などを含むことができる。プロセスには、当該プロセスの作業に必要となるリソース上の権限が指定され得るが、この情報からプロセスCIおよびリソース上の権限CIの間に関係が定義され(図3)、便宜上、権限要求関係(「needs」)と参照する。例えば、図3に示すように、「OS−A」にパッチを適用する「プロセスA」の実行には、「OS−A」上の「アドミニストレータA」の権限が必要であり、プロセスCIインスタンス「プロセスA」と権限CIインスタンス「アドミニストレータA」とには、権限要求関係(needs)が定義されている。
【0051】
また、プロセスには、担当人員未定のものも存在するが、上述したように当該プロセスの作業の実行を担当する人員が指定され得る(図3)。このようなプロセスCIおよび人員CIの間に定義される関係は、便宜上、割当関係(「is assigned to」)と参照する。例えば、図3に示すように、「OS−A」にパッチを適用する「プロセスA」は、「人員A」に割り当てられており、プロセスCIインスタンス「プロセスA」と人員CIインスタンス「人員A」との間には、割当関係(is assigned to)が定義されている。
【0052】
人員登録部160は、プロセス登録部158と同様に、マニュアル入力、外部等ツールとの連携により、個人、グループ、ロースなど人的資源に関連する情報を取得し、構成管理データベース152に人員CIインスタンスを作成し、更新する機能を有する(図3)。人員登録部160は、マニュアル入力が行われる場合は、管理端末140上の管理ツールやブラウザと通信し、管理端末140から送信されたデータを受信し、得られた情報に従って人員CIインスタンスを作成し、または更新する。外部等ツールとの連携する場合は、人員登録部160は、入退室管理システム132、プロジェクト管理システム136、IDプロビジョニングシステム138、LDAPサーバなどと通信して、相手方から人的資源に関連するデータを受信し、適切なフォーマット変換を経て、得られた情報に従ってCIインスタンスを作成し、または更新する。
【0053】
上記人的資源に関連する情報としては、個人、グループ、ロールの名称、その説明、グループの場合には所属する1以上の個人、付与されているリソース上の権限などを含むことができる。本実施形態では、人員には、リソース上の権限が付与され得るが(図3)、このような人員CIおよびリソース上の権限CIの間に定義される関係は、便宜上、権限付与関係(「has」)と参照する。例えば、図3に示すように、「人員A」には、「サーバルームA」に入室するという権限(「入室A」)と、「サーバA」の電源を投入するという権限(「電源投入A」)とが付与されており、人員CIインスタンス「人員A」と権限CIインスタンス「入室A」および「電源投入A」とには、権限付与関係(has)が定義されている。
【0054】
本実施形態の構成管理装置150は、上述したように、権限依存関係定義部156を備える。権限依存関係定義部156は、好適には、ディスカバリ機能(トラッキング機能)による自動検出として、リソース上の権限CIインスタンスと、他のリソース上の権限CIインスタンスとの間の関係を自動的に抽出し、定義する機能を備える(図3)。リソース上の権限CIインスタンス間に定義される関係は、あるリソース上の権限を行使する際に必要となる他のリソースの権限を表す関係をいい、便宜上、権限依存関係(「requires」)と呼ぶ。例えば、図3に示すように、あるサーバルームに設置されたサーバの電源投入権限やメンテナンス権限を行使するためには、リモート操作が行えない限り、少なくともサーバルームへの入室権限を必要とする。権限依存関係は、このようなリソース間の権限の依存関係を表す。
【0055】
あるリソース上の権限CIインスタンスと、他のリソース上の権限CIインスタンスとの間の権限依存関係の抽出は、例えば、他のリソースCIから関係(is in/onなど)を定義する際に参照すべき条件(以下、権限依存関係規定条件という。)を予め設定することで条件付けることができる。権限依存関係規定条件の事前設定は、特に限定されるものではないが、特定のクラス(カテゴリまたはモデル)のリソースCIに設定されるテンプレートを使用して、または特定のリソースCIインスタンスに対して直接を行うことができる。また、上記権限依存関係規定条件は、当該リソース上の権限CIインスタンスと、他のリソース上の権限CIインスタンスとの関係付け方を規定するものであり、他のリソースCIインスタンスのタイプ、属性、リソース間の関係に応じて条件付けることができる。
【0056】
図5は、リソースと既存のリソースとの新たな所属関係(「is in/on」)が検出された場合に実行される、権限依存関係抽出処理を説明する図である。このような新たな所属関係は、新規リソースが既存リソースに追加された場合、または既存リソースと他の既存のリソースとの間に関係が新たに定義された場合に検出される。図5に示す例では、権限依存関係規定条件は、所属関係(「is in/on」)において上位の既存リソースCIインスタンス「サーバルームA」に対して設定されている。
【0057】
図5に示す例の権限依存関係規定条件は、インスタンス「サーバルームA」にタイプ「ハードウェア(H/W)」のCIインスタンスが関係付けられた場合であって、当該タイプ「ハードウェア」のCIインスタンスが属性値「WOL(Wake on LAN)」を有していないとき、当該ハードウェア型リソース上のすべての権限CIインスタンスに対し、「サーバルームA」上の権限CIインスタンス「入室A」への権限依存関係を定義付けるべきことを規定している。この規定に従って、「サーバA」上の権限CIインスタンス「メンテナンスA」および「電源投入A」には、「サーバルームA」上の権限CIインスタンス「入室A」への権限依存関係(「requires」)が定義されている。
【0058】
また、図5では、CIインスタンス「サーバC」がCIインスタンス「サーバルームA」に新たに追加された状況を示している。CIインスタンス「サーバC」は、その属性値「WOL」を有するため、リモートで「サーバC」を起動させることができる。このため、「サーバC」上の権限CIインスタンス「メンテナンスC」および「電源投入C」には、「サーバルームA」上の権限CIインスタンス「入室A」への権限依存関係は定義されない。
【0059】
このように、権限依存関係定義部156は、1以上のリソースが既存リソースに関連付けられた場合に、当該既存リソースと他リソースとの関係付け方を規定する権限依存関係規定条件を参照する。権限依存関係定義部156は、続いて、権限依存関係規定条件に従って、既存リソース上の権限と1以上のリソースそれぞれの上の権限との間に関係付けられるべき権限依存関係を抽出し、定義する。この機能は、特に、同種のリソースが大量に追加される場合に、人手による労力を大幅に低減することができる。
【0060】
以下、図6および図7を参照しながら、権限依存関係抽出処理について、より詳細に説明する。図6は、1以上の新規リソースが既存のリソースに追加された場合に実行される権限依存関係抽出処理を説明する図である。図7は、本発明の実施形態による構成管理装置が実行する、権限依存関係抽出処理を示すフローチャートである。
【0061】
図7に示す処理は、1以上の新規リソースが追加されたことに応答して、ステップS100から開始する。図6に示す例では、上記1以上の新規リソースの追加に対応して、リソース登録部154により、構成管理データベース152内で、リソースCIインスタンス「ハイパーバイザB」に関連付けて複数のリソースCIインスタンス「仮想マシンBX」が追加されたことが示されている。同様に、「仮想マシンBX」上の権限CIインスタンス「利用者BX」および「管理者BX」も追加されている。
【0062】
ステップS101では、権限依存関係定義部156は、追加される1以上のリソースそれぞれについて、そのモデル、追加先の既存リソース、追加先リソースとの関係の種類、当該リソース上で提供される権限など、当該リソースに関連する情報を取得する。図6に示す例では、追加される1以上のリソースのCIインスタンスがタイプ「仮想マシン」であり、追加先がCIインスタンス「ハイパーバイザB」である。ステップS102では、権限依存関係定義部156は、追加先リソースに対し設定される権限依存関係規定条件を取得する。図6に示す権限依存関係規定条件は、インスタンス「ハイパーバイザB」にタイプ「仮想マシン」のリソースCIインスタンスが関係付けられた場合には、当該仮想マシン型リソース上のすべての権限CIインスタンスに対し、「ハイパーバイザB」上の権限CIインスタンス「利用者B」への権限依存関係を定義付けるべきことを規定している。
【0063】
ステップS103〜ステップS106のループでは、追加される1以上のリソースそれぞれに対し、ステップS104およびステップS105の処理を実行する。ステップS104では、上記権限依存関係規定条件に従って、当該リソース上の1以上の権限と、追加先リソースの1以上の権限との間に関係付けるべき権限依存関係(requires)とを抽出する。
【0064】
ステップS105では、抽出した権限CIインスタンス間の権限依存関係を構成管理データベース152に追加する。図6に示す例では、各「仮想マシンBX」上の権限CIインスタンス「管理者BX」および「利用者BX」と、「ハイパーバイザB」上の権限CIインスタンス「利用者B」との間に関係付けるべき権限依存関係が抽出され、構成管理データベース152に一括定義されることになる。ステップS103〜ステップS106のループを抜けると、ステップS107で本処理は終了する。
【0065】
上述したように、上記権限依存関係抽出処理によれば、1上の新規リソースが既存のリソースに追加されたことに応答して、1上の新規リソースと既存のリソースとの間に適切な権限依存関係が定義される。したがって、同種のリソースが大量に追加される場合でも、効率的に権限依存関係を定義することができるので、人手による労力を大幅に低減することができる。なお、リソース登録部154と同様に、自動で付与された権限依存関係をマニュアルで入力または修正することもできる。
【0066】
図4は、構成管理データベース152を構築・更新するための機能部154〜160によって構築される、構成管理データベース152のデータ構造を例示する図である。図4に示す構成アイテムテーブル200は、構成アイテムの名称を保管するフィールド202と、構成アイテムのカテゴリを保管するフィールド204と、構成アイテムの上記カテゴリをさらに細分化したモデルを保管するフィールド206と、属性フィールド208と、関係フィールド210とを含む。
【0067】
属性フィールド208は、1以上の属性および属性値のセットを保管する。関係フィールド210は、当該構成アイテムに対して定義されている1以上の関係に関する情報を保管し、関係の種類と、当該構成アイテムの相手方の構成アイテムを識別する名称(または識別番号等)とを保管する。なお、図4に示すデータ構造は一例であり、特に限定されるものではなく、他の実施形態では、関係フィールド210の内容を別のテーブルで管理することもできる。
【0068】
本発明の実施形態による構成管理装置150では、構成管理データベース152を構築し、更新するための機能部であるプロセス登録部158、権限依存関係定義部156、プロセス登録部158および人員登録部160により、サービス管理の対象となるリソース、人員、プロセスおよびリソース上で提供(「provides」)される権限をそれぞれCIとして保管する構成管理データベース152が構築され、以下説明する人員に付与された権限状態の整合性を検証するための基盤が提供される。
【0069】
構築された構成管理データベース152では、リソース上の権限と該権限の行使に必要となる他のリソース上の権限との権限依存関係(「requires」)、プロセスと該プロセスに必要な権限との権限要求関係(「needs」)、および人員と該人員に付与される権限との権限付与関係(「has」)を含む、種々のCI間の関係が規定される。なお、上述したように構成管理装置150内に構築されたCI群は、例えば、非特許文献1に示されるような可視化を行うことにより、CI間の関係をグラフとして把握することもできる。
【0070】
以下、上記構成管理データベース152を用いて、プロセスを割り当てた人員に対し付与する権限を管理する機能について説明する。上述したように、本システムにおいて、人員には、実行すべき1以上のプロセスを割り当てることができる。また、各プロセスの実行には、リソース上の権限が必要となる場合がある。例えば、図3に示すように、「OS−A」にパッチを適用する「プロセスA」の実行には、リソース「OS−A」上の管理者権限「アドミニストレータA」が必要である。よって、「プロセスA」が割り当てられた「人員A」には、少なくとも「OS−A」上の「アドミニストレータA」の権限が付与されていなければ、「人員A」は「プロセスA」を処理することができない。したがって、「人員A」には、少なくとも「アドミニストレータA」の権限を付与する必要がある。
【0071】
一方、上述したようにリソース間には権限依存関係が存在するため、「アドミニストレータA」の権限だけでは、「人員A」は実質的に「プロセスA」を処理することができない。すなわち、「アドミニストレータA」には、「サーバA」の「電源投入A」の権限が関係付けられ(requires)ており、「電源投入A」には、さらに、「サーバルームA」の「入室A」の権限が関係付けられ(requires)ている。つまり、「人員A」には、「アドミニストレータA」の権限を付与するだけでは足りず、「電源投入A」および「入室A」の両権限を付与しなければならない。このような関係は、人員に割り当てるプロセスに関する情報のみからは容易に把握することができず、リソースが増大するにつれ、またリソースの階層が深くなるにつれて、ますます困難となる。
【0072】
そこで本発明の実施形態による構成管理装置150は、図2に示すように、構成管理データベース152を構築し、更新するための機能部154〜160に加えて、さらに、目標権限状態導出部162と、コンプライアンス違反検証部164と、監査部166とを含んで構成される。
【0073】
目標権限状態導出部162は、構成管理データベース152を参照し、人員に対して割り当てられている(is assigned to)実行すべきプロセスそれぞれに関して、この実行すべきプロセスに必要な(needs)リソース上の権限を基点として権限依存関係(requires)を含む関係を辿り、人員に付与(has)するべき権限の目標状態と現在の状態との不整合を導出する機能を有する。ここで、目標状態とは、例えば、コンピュータ・セキュリティにおける基本概念のひとつである最小権限の原則に従うもの、すなわち人員に対して最小限の権限が付与される状態とすることができる。なお、目標権限状態導出部162は、本実施形態の権限導出部を構成する。また不整合を導出する処理は、特に限定されるものではないが、定期的、不定期、指示されたタイミング、新規プロセスが追加されたことを検出して、または現存するプロセス(未完了のプロセスをいう。)が完了または期間が終了したことを検出して開始することができる。
【0074】
コンプライアンス違反検証部164は、目標権限状態導出部162によって権限依存関係から判断して導出された不整合を解消する結果として、リソース上の権限と1以上の人員との間に設定される関係に関して遵守すべきコンプライアンスに違反することになるか否かを検証する。なお、コンプライアンスは、本実施形態の遵守すべきルールを構成し、コンプライアンス違反検証部164は、本実施形態のルール違反検出部を構成する。
【0075】
監査部166は、権限依存関係から判断して導出された不整合を解消する結果として、所定の監査ルールに違反することにならないかを監査する。監査ルールは、監査ルールデータベース168内に管理されており、例えば職務分掌ルールを含むことができる。職務分掌ルールは、関連するリソース間で同一人員に対し同時に付与することが許可されない権限の組み合わせを規定する。
【0076】
以下、目標権限状態導出部162による権限状態の不整合検出処理、コンプライアンス違反検証部164によるコンプライアンス違反検証処理、および監査部166による監査処理について、構成管理データベースの概念図およびフローチャートを参照しながら、より詳細に説明する。
【0077】
図8は、新規プロセスが追加された場合に実行される権限状態の不整合検出処理を説明する図である。図9は、本発明の実施形態による構成管理装置が実行する、新規プロセスが追加された場合の権限状態不整合検出処理を示すフローチャートである。図9に示す処理は、新規プロセスが追加されたことに応答して、ステップS200から開始する。図8に示す例では、上記新規プロセスの追加に対応して、プロセス登録部158により、構成管理データベース152内にプロセスCIインスタンス「プロセスA」が追加されたことが示されている。
【0078】
ステップS201では、目標権限状態導出部162は、上記新規プロセスの登録の際に指定された1以上の必要なリソース上の権限、1以上の割り当てる人員など新規プロセスに関連する情報を取得する。図8に示す例では、「プロセスA」には、「OS−A」上の「アドミニストレータA」の権限が必要であり、また「プロセスA」は「人員A」に割り当てられている。
【0079】
ステップS202では、目標権限状態導出部162は、新規プロセスの必要なリソース上の権限を基点として、権限依存関係を辿り、間接的に必要となるリソース上の権限を抽出する。図8に示す例では、「OS−A」上の権限CIインスタンス「アドミニストレータA」と「サーバA」上の権限CIインスタンス「電源投入A」との間に、さらに「サーバA」上の権限CIインスタンス「電源投入A」と、「サーバルームA」上の権限CIインスタンス「入室A」との間に権限依存関係が存在する。したがって、図中に太矢印で示すように関係が辿られて、権限CIインスタンス「電源投入A」および「入室A」が間接的に必要なリソース上の権限として抽出される。
【0080】
ステップS203では、目標権限状態導出部162は、割り当てる人員に付与されているリソース上の現在の権限(現在の権限付与状態)と、新規プロセスに直接的または間接的に必要となるリソース上の権限(目標の権限付与状態)とを比較し、不整合点を抽出する。ここで導出される不整合点は、当該人員に割り当てられたプロセスに必要な権限のうち、現在の状態において不足する権限である。図8に示す例では、「サーバルームA」上の権限CIインスタンス「入室A」、「サーバA」上の権限CIインスタンス「電源投入A」、および「OS−A」上の権限CIインスタンス「アドミニストレータA」それぞれについて、人員CIインスタンス「人員A」に権限付与関係「(has)」が定義されていない場合、不足する権限として不整合点が導出される。
【0081】
ステップS204では、詳細は後述するコンプライアンス違反検証部164または監査部166による処理が、任意で行われる。ステップS205では、目標権限状態導出部162は、不整合として導出された不足の権限を付与すべき権限として、所定の管理者に対しレポート出力し、ステップS206で本処理を終了させる。なお、レポート報告を受けて、管理者は、IDプロビジョニングシステム138などを用いて、不足の権限を付与し、適切な権限状態を維持することができる。あるいは、上記レポート出力とともに、または上記レポート出力に代えて、IDプロビジョニングシステム138と連携することにより、不整合として導出された不足の権限を自動的に付与することもできる。
【0082】
上述までは、新規プロセスの追加が検出された場合の権限状態不整合検出処理について説明してきた。上記権限状態不整合検出処理により、プロセスを担当者に割り当てる際に、そのプロセスに必要なリソース上の権限、およびその権限と関係のある他のリソース上の権限を辿ることで、その人員に付与するべき目標状態のリソースの権限を導出することが可能となる。なお、このような不整合検出処理は、新規プロセスが追加されたときに、追加された新規プロセスに関連する人員についてのみならず、適時、全体の構造について検証してもよい。以下、図10および図11を参照して、さらに説明を行う。
【0083】
図10は、現存するすべてのプロセスについての権限状態の不整合を検出する処理を説明する図である。図11は、本発明の実施形態による構成管理装置が実行する、現存するすべてのプロセスについての権限状態導出処理を示すフローチャートである。図11に示す処理は、定期的に、不定期に、管理者等からの明示的な指示を受けたことに応答して、現存していたプロセスが完了したことに応答して、または現存していたプロセスに設定された期限が終了したことに応答して、ステップS300から開始される。
【0084】
図10に示す例では、上記現存するプロセスが完了したことに応答して、プロセス登録部158により、構成管理データベース152内でプロセスCIインスタンス「プロセスB」のステータスが、「完了」したものとして更新されたことが示されている。ステップS301〜ステップS305のループでは、現存するプロセス毎に、ステップS302〜ステップS304の処理が実行される。
【0085】
ステップS302では、目標権限状態導出部162は、当該プロセスの必要なリソース上の権限や割り当てる人員などの情報を取得する。図10に示す例では、現存する「プロセスA」には、「OS−A」上の「アドミニストレータA」の権限が必要であり、また「プロセスA」は「人員A」に割り当てられているため、当該「プロセスA」の情報が取得される。一方、「プロセスB」は、既に完了しているため、ここでは取得されない。
【0086】
ステップS303では、目標権限状態導出部162は、当該プロセスに直接的に必要なリソース上の権限を基点として、権限依存関係を辿り、当該プロセスに間接的に必要となるリソース上の権限を抽出する。図10に示す例では、図8と同様に、権限CIインスタンス「電源投入A」および「入室A」が間接的に必要なリソース上の権限として抽出される。
【0087】
ステップS304では、目標権限状態導出部162は、当該プロセスに割り当てられている人員に関連付けて、付与されるべき権限として、当該プロセスに直接的または間接的に必要となるリソース上の権限を記録する。図10に示す例では、権限CIインスタンス「入室A」、権限CIインスタンス「電源投入A」、および権限CIインスタンス「アドミニストレータA」が、人員CIインスタンス「人員A」と関連付けて記録される。
【0088】
ステップS301〜ステップS305のループを抜けると、ステップS306〜ステップS309のループへ処理が進められ、ステップS307およびステップS308の処理が人員毎に実行される。ステップS307では、目標権限状態導出部162は、人員毎に、当該人員に割り当てられたすべてのプロセスそれぞれに直接的または間接的に必要となるリソース上の権限をまとめる。ステップS308では、目標権限状態導出部162は、人員毎に、当該人員に付与されているリソース上の現在の権限(現在の権限付与状態)と、当該人員にまとめた、当該人員に割り当てられたすべてのプロセスに直接的または間接的に必要となるリソース上の権限(目標の権限付与状態)とを比較し、不整合点を抽出する。
【0089】
ここで導出される不整合点には、当該人員に割り当てられたすべてのプロセスを実行するために必要な権限のうち、現在の状態において不足する権限が含まれる。さらに不整合点には、当該人員に対して現在付与されている権限のうち、当該人員に割り当てられたすべてのプロセスを実行するために必要な権限(最小限の権限)を越えて余剰に付与された権限を含む。図10に示す例では、完了した「プロセスB」に対応して、「人員A」に対し、「サーバA」の「メンテナンスA」の権限が仮に付与されているが、これが余分な権限であるとして不整合点が導出される。
【0090】
ステップS306〜ステップS309のループを抜けると、ステップS310では、詳細は後述するコンプライアンス違反検証部164または監査部166による処理が任意で行われる。ステップS311では、目標権限状態導出部162は、不整合として導出された不足の権限を付与すべき権限として、また余剰の権限を削除すべき権限として、所定の管理者に対しレポート出力し、ステップS312で本処理を終了させる。なお、レポート後の詳細については、図9を参照して説明したことと同様の取り扱いとすることができる。
【0091】
上述した権限状態の検証処理によれば、コンピュータ・セキュリティにおける基本概念のひとつである最小権限の原則に従い、管理者は、各人員に対して最小限の権限が付与される状態を把握することができる。さらに、IDプロビジョニングシステム138と連携することにより、このような権限状態を効率的に実現することができる。しかしながら、上記最小権限の原則は、コンプライアンスなど他の理由から例外を規定することが必要な場合がある。以下、このような原則に対する例外を規定する、コンプライアンス違反検証部164が実行する処理について、より詳細に説明する。
【0092】
上述したように、コンプライアンス違反検証部164は、導出された不整合を解消する結果として、コンプライアンスに違反することになるか否かを検証する機能部である。コンプライアンス違反検証部164は、目標権限状態導出部162により権限依存関係から判断した結果、不整合であるとして検出された不足の権限が、権限付与により不足状態を解消する結果として、コンプライアンスに違反することになるか否かを検証する。コンプライアンス違反検証部164は、不整合として検出された余剰の権限についても同様に、権限削除により余剰状態を解消する結果として、コンプライアンスに違反することになるか否かを検証する。
【0093】
権限を削除した結果コンプライアンス違反となる場合としては、例えば、あるリソース上の権限が少なくとも一人の人員に付与されていなければならない場合に、最後の一人を削除すると違反してしまう場合を挙げることができる。権限を付与した結果コンプライアンス違反となる場合としては、例えば同時に権限が付与される人員数に上限がある場合に、新たに権限を付与すると違反してしまう場合を挙げることができる。コンプライアンス違反検証部164は、上述のような違反状態を検出する。
【0094】
図12は、コンプライアンス違反検証処理を説明する図である。図12に示す例では、上記現存するプロセスが完了したことに応答して、プロセス登録部158により、構成管理データベース152内で、プロセスCIインスタンス「プロセスA」のステータスが「完了」に更新されたことが示されている。この場合、「人員A」に対しては、「プロセスA」以外に、「OS−A」上の「アドミニストレータA」の権限を必要とするプロセスが割り当てられていないので、「プロセスA」の完了と同時に「OS−A」上の「アドミニストレータA」の権限は不要となる。したがって、上記目標権限状態導出部162は、「OS−A」上の「アドミニストレータA」の権限が削除すべき権限として検出する。
【0095】
一方、「OS−A」上の「アドミニストレータA」の権限には、例えば属性情報として、上記「アドミニストレータA」と人員との間に設定される関係に関して、遵守すべきコンプライアンスが設定されている。図12に示すコンプライアンスによれば、上記「アドミニストレータA」には、少なくとも1人の人員が割り当てられている必要がある。したがって、「OS−A」上の「アドミニストレータA」の権限は、上記目標権限状態導出部162によれば削除すべきとして判定されるにもかかわらず、コンプライアンス遵守の観点からは、「人員A」から削除するべきではない。
【0096】
上記コンプライアンス違反検証部164により、コンプライアンス違反として検出された不足の権限または余剰の権限は、付与すべきではない権限または削除すべきではない権限として、レポート出力することができる。このレポートの報告を受けて、管理者は、上記余剰の権限の削除、または不足の権限の付与を中止することができる。あるいは、IDプロビジョニングシステム138と連携する場合には、上記目標権限状態導出部162の判断による不足の権限の自動的な付与または余剰の権限の自動的な削除を中止することができる。
【0097】
以下、上記原則に対する他の例外を規定する監査部166が実行する処理について、より詳細に説明する。上記コンプライアンス違反検証部164によるコンプライアンスが、単一のリソース上の権限と人員との関係について規定していたのに対し、上記監査部166による監査ルールは、単一の人員と、複数のリソース上の権限との関係に関するルールを規定する。また、上記目標権限状態導出部162が、リソース上の権限同士の権限依存関係に基づくものであるのに対し、上記監査部166による監査ルールは、リソース上の権限間では直接関係が形成されておらず、リソース間の関係を経由して形成される間接的なリソース上の権限間の関係に基づくものである。
【0098】
監査部166は、上述したように、権限依存関係から判断して導出された不整合を解消する結果として、所定の監査ルールに違反することにならないかを監査する。図13および図14は、監査処理を説明する図である。図13に示す例のように、監査ルールは、職務分掌ルールとすることができる。職務分掌ルールは、組織を円滑に運営するべく、同一の人員に対して付与される権限間のコンフリクトを排除するものであり、企業等の組織において、個人またはグループそれぞれの業務内容、権限、職責の範囲を明確化することを目的としたものである。職務分掌の一例としては、ミドルウェアのユーザが、当該ミドルウェアに関連するデータベースの内容を不正に変更しないように、ミドルウェアのユーザ権限を有する人員には、当該データベースにアクセスするための管理者権限を付与すべきではないという規則を挙げることができる。
【0099】
図13に示す例では、「ミドルウェアD」の「利用者」の権限と、その「ミドルウェアD」に関係(「is in/on」)がある「OS−D」の「データベース・アドミニストレータ(図ではDBアドミニと省略されている)D」の権限とは、同一人員に対して付与できないという監査ルールが規定されている。図13では、「OS−D」上のデータベース・アドミニストレータDの権限を必要とする「プロセスD」が新規で追加されているが、「人員A」に割り当てようとする場合、「人員A」には既に、「ミドルウェアD」の「利用者」の権限が付与されているため、「人員A」に「プロセスD」を割り当てると監査ルール違反ということになり、割り当てるべきではない。一方、「人員B」には、未だ「ミドルウェアD」の「利用者」の権限が付与されていないため、「人員B」に割り当てる場合、監査ルールに違反することにはならず、割り当ててもよいということになる。
【0100】
また、上記職務分掌ルールは、許可されない権限の組み合わせに対する例外規定をさらに含むことができる。図14に示す例では、図13に示した例と同様に、「ミドルウェアD」の「利用者」の権限と、その「ミドルウェアD」と関係のある「OS−D」の「データベース・アドミニストレータD」の権限とは、同一人員に対して付与できないという原則が監査ルール上に規定されている。一方で、その例外として、「ミドルウェアD」の「管理者D」の権限を有する人員に対しては、上記原則禁止された「ミドルウェアD」の「利用者D」の権限と、その「ミドルウェアD」と関係のある「OS−D」の「データベース・アドミニストレータD」の権限とを同一人員に付与することを許可する旨が規定されている。
【0101】
以上説明したように、本発明の実施形態によれば、リソース上の権限と他のリソース上の権限との関係を辿ることで、リソース上の権限の行使に必要となる他のリソース上の権限を考慮して、人員に対して必要な最小限の権限を導出することができる。したがって、セキュリティにおける権限最小の原則を満足させることが容易となる。また、構成管理データベース152内の構成アイテムは、適時に更新されるため、仮想マシンの追加のようなリソースの変更が頻繁に発生したとしても、構成の変化に充分に追随して最適な状態を維持することができる。
【0102】
さらに、プロセスが完了したり、プロセスの有効期限が終了したりした場合に生じる、必要な権限と不要な権限とを区別することの困難性もない。さらに、コンプライアンス規定ルールや監査ルールを定義することにより、ルール上の制限の下で必要最小限の権限状態を維持することが可能となる。
【0103】
以上説明したように、本発明の実施形態によれば、ITサービス管理において、プロセスが割り当てられる担当者に付与されるべき、基準に適合した目標状態を効率的に導出し、ひいては担当者に必要最小限の権限が付与された状態を維持管理することを支援するための情報処理装置、権限管理方法、プログラムおよび記録媒体を提供することができる。
【0104】
本発明の上記機能は、C++、Java(登録商標)、JavaBeans(登録商標)、Java(登録商標)Applet、JavaScript(登録商標)、Perl、Rubyなどのオブジェクト指向プログラミング言語などで記述された装置実行可能なプログラムにより実現でき、装置可読な記録媒体に格納して頒布または伝送して頒布することができる。
【0105】
これまで本発明を、特定の実施形態をもって説明してきたが、本発明は、実施形態に限定されるものではなく、他の実施形態、追加、変更、削除など、当業者が想到することができる範囲内で変更することができ、いずれの態様においても本発明の作用・効果を奏する限り、本発明の範囲に含まれるものである。
【符号の説明】
【0106】
100…システム、110…インフラストラクチャ、112…ストレージ、114…サーバルーム、116…サーバ、118…ハイパーバイザ、120…仮想マシン、122…OS、124…アプリケーション、126…データベース、130…ストレージ管理ツール、132…入退室管理システム、134…システム管理ツール、136…プロジェクト管理システム、138…IDプロビジョニングシステム、140…管理端末、150…構成管理装置、152…構成管理データベース、154…リソース登録部、156…権限依存関係定義部、158…プロセス登録部、160…人員登録部、162…目標権限状態導出部、164…コンプライアンス違反検証部、166…監査部、168…監査ルールデータベース、200…構成アイテムテーブル、202,204,206…フィールド、208…属性フィールド、210…関係フィールド
【特許請求の範囲】
【請求項1】
サービス管理の対象となるリソース、人員、プロセスおよび前記リソース上で提供される権限をそれぞれ構成アイテムとして保管する構成管理データベースであって、リソース上の権限と該権限の行使に必要となる他のリソース上の権限との権限依存関係、プロセスと該プロセスに必要な権限との権限要求関係、および人員と該人員に付与される権限との権限付与関係を含む前記構成アイテム間の関係が規定される、当該構成管理データベースと、
前記構成管理データベースを参照し、実行すべきプロセスが対応人員に対して割り当てられている場合に、前記実行すべきプロセスに必要なリソース上の権限を基点として前記関係を辿り、前記対応人員に付与するべき権限の目標状態を導出する権限導出部と
を含む、情報処理装置。
【請求項2】
1以上のリソースが既存リソースに新たに関連付けられた場合に、前記既存リソースに関して設定される、他リソースとの関係付け方を規定する条件に従って、前記既存リソース上の権限と前記1以上のリソースそれぞれの上の権限との間に関係付けられるべき権限依存関係を定義する依存関係定義部をさらに含む、請求項1に記載の情報処理装置。
【請求項3】
前記権限導出部は、現存する1以上のプロセスに必要な権限を基点としてそれぞれ前記関係を辿り、前記現存する1以上のプロセスそれぞれに割り当てられた対応人員それぞれについて前記目標状態と現在の状態との不整合を導出することを特徴とする、請求項2に記載の情報処理装置。
【請求項4】
前記権限導出部により不整合として導出された前記対応人員にとって不足または余剰の権限が、前記不足または余剰を解消する結果として、前記リソース上の権限と1以上の人員との間に設定される関係に関して遵守すべきルールに違反することになるか否かを検証するルール違反検証部をさらに含む、請求項3に記載の情報処理装置。
【請求項5】
前記権限導出部により不整合として導出された前記対応人員にとって不足の権限が、前記不足を解消する結果として、関連するリソース間で同一人員に対し同時に付与することが許可されない権限の組み合わせを規定する監査ルールに違反することにならないかを検証する監査部をさらに含む、請求項4に記載の情報処理装置。
【請求項6】
前記監査ルールは、前記許可されない権限の組み合わせに対する例外規定を含むことを特徴とする、請求項5に記載の情報処理装置。
【請求項7】
新たなプロセスに必要なリソース上の権限および対応人員の指定を取得して、前記構成管理データベースに当該新たなプロセスを登録するプロセス登録部をさらに含む、請求項1に記載の情報処理装置。
【請求項8】
サービス管理の対象となるリソースを検出し、該リソースおよび該リソース上の権限を構成アイテムとして前記構成管理データベースに登録するリソース登録部と、サービス管理の対象となる人員を構成アイテムとして前記構成管理データベースに登録する人員登録部とをさらに含む、請求項1に記載の情報処理装置。
【請求項9】
コンピュータ・システムが実行する、プロセスを割り当てる対応人員に対し付与する権限を管理するための方法であって、
前記コンピュータ・システムが、サービス管理の対象となるリソース、人員、プロセスおよび前記リソース上で提供される権限をそれぞれ構成アイテムとして保管する構成管理データベースであって、リソース上の権限と該権限の行使に必要となる他のリソース上の権限との権限依存関係、プロセスと該プロセスに必要な権限との権限要求関係、および人員と該人員に付与される権限との権限付与関係を含む前記構成アイテム間の関係が規定される、当該構成管理データベースを参照するステップと、
前記コンピュータ・システムが、実行すべきプロセスが対応人員に対して割り当てられている場合に、前記実行すべきプロセスに必要なリソース上の権限を基点として前記関係を辿り、前記対応人員に付与するべき権限の目標状態を導出するステップと
を含む、権限管理方法。
【請求項10】
前記コンピュータ・システムが、1以上のリソースが既存リソースに新たに関連付けられたことを検出するステップと、
前記コンピュータ・システムが、前記既存リソースに関して設定される、他リソースとの関係付け方を規定する条件に従って、前記既存リソース上の権限と前記1以上のリソースそれぞれの上の権限との間に関係付けられるべき権限依存関係を定義するステップと
をさらに含む、請求項9に記載の権限管理方法。
【請求項11】
前記導出するステップは、
前記コンピュータ・システムが、割り当て済みのプロセスが完了し、または該割り当て済みのプロセスに設定された期限が終了したことに応答して、現存する1以上のプロセスに必要な権限を基点としてそれぞれ前記関係を辿り、前記現存する1以上のプロセスそれぞれに割り当てられた対応人員それぞれについての前記目標状態と現在の状態との不整合を導出するステップであることを特徴とする、請求項10に記載の権限管理方法。
【請求項12】
コンピュータ実行可能なプログラムであって、前記プログラムは、コンピュータ・システムを
サービス管理の対象となるリソース、人員、プロセスおよび前記リソース上で提供される権限をそれぞれ構成アイテムとして保管する構成管理データベースであって、リソース上の権限と該権限の行使に必要となる他のリソース上の権限との権限依存関係、プロセスと該プロセスに必要な権限との権限要求関係、および人員と該人員に付与される権限との権限付与関係を含む前記構成アイテム間の関係が規定される、当該構成管理データベース、および
前記構成管理データベースを参照し、実行すべきプロセスが対応人員に対して割り当てられている場合に、前記実行すべきプロセスに必要なリソース上の権限を基点として前記関係を辿り、前記対応人員に付与するべき権限の目標状態を導出する権限導出部
として機能させるためのプログラム。
【請求項13】
請求項12に記載のコンピュータ実行可能なプログラムをコンピュータ可読に記録する記録媒体。
【請求項1】
サービス管理の対象となるリソース、人員、プロセスおよび前記リソース上で提供される権限をそれぞれ構成アイテムとして保管する構成管理データベースであって、リソース上の権限と該権限の行使に必要となる他のリソース上の権限との権限依存関係、プロセスと該プロセスに必要な権限との権限要求関係、および人員と該人員に付与される権限との権限付与関係を含む前記構成アイテム間の関係が規定される、当該構成管理データベースと、
前記構成管理データベースを参照し、実行すべきプロセスが対応人員に対して割り当てられている場合に、前記実行すべきプロセスに必要なリソース上の権限を基点として前記関係を辿り、前記対応人員に付与するべき権限の目標状態を導出する権限導出部と
を含む、情報処理装置。
【請求項2】
1以上のリソースが既存リソースに新たに関連付けられた場合に、前記既存リソースに関して設定される、他リソースとの関係付け方を規定する条件に従って、前記既存リソース上の権限と前記1以上のリソースそれぞれの上の権限との間に関係付けられるべき権限依存関係を定義する依存関係定義部をさらに含む、請求項1に記載の情報処理装置。
【請求項3】
前記権限導出部は、現存する1以上のプロセスに必要な権限を基点としてそれぞれ前記関係を辿り、前記現存する1以上のプロセスそれぞれに割り当てられた対応人員それぞれについて前記目標状態と現在の状態との不整合を導出することを特徴とする、請求項2に記載の情報処理装置。
【請求項4】
前記権限導出部により不整合として導出された前記対応人員にとって不足または余剰の権限が、前記不足または余剰を解消する結果として、前記リソース上の権限と1以上の人員との間に設定される関係に関して遵守すべきルールに違反することになるか否かを検証するルール違反検証部をさらに含む、請求項3に記載の情報処理装置。
【請求項5】
前記権限導出部により不整合として導出された前記対応人員にとって不足の権限が、前記不足を解消する結果として、関連するリソース間で同一人員に対し同時に付与することが許可されない権限の組み合わせを規定する監査ルールに違反することにならないかを検証する監査部をさらに含む、請求項4に記載の情報処理装置。
【請求項6】
前記監査ルールは、前記許可されない権限の組み合わせに対する例外規定を含むことを特徴とする、請求項5に記載の情報処理装置。
【請求項7】
新たなプロセスに必要なリソース上の権限および対応人員の指定を取得して、前記構成管理データベースに当該新たなプロセスを登録するプロセス登録部をさらに含む、請求項1に記載の情報処理装置。
【請求項8】
サービス管理の対象となるリソースを検出し、該リソースおよび該リソース上の権限を構成アイテムとして前記構成管理データベースに登録するリソース登録部と、サービス管理の対象となる人員を構成アイテムとして前記構成管理データベースに登録する人員登録部とをさらに含む、請求項1に記載の情報処理装置。
【請求項9】
コンピュータ・システムが実行する、プロセスを割り当てる対応人員に対し付与する権限を管理するための方法であって、
前記コンピュータ・システムが、サービス管理の対象となるリソース、人員、プロセスおよび前記リソース上で提供される権限をそれぞれ構成アイテムとして保管する構成管理データベースであって、リソース上の権限と該権限の行使に必要となる他のリソース上の権限との権限依存関係、プロセスと該プロセスに必要な権限との権限要求関係、および人員と該人員に付与される権限との権限付与関係を含む前記構成アイテム間の関係が規定される、当該構成管理データベースを参照するステップと、
前記コンピュータ・システムが、実行すべきプロセスが対応人員に対して割り当てられている場合に、前記実行すべきプロセスに必要なリソース上の権限を基点として前記関係を辿り、前記対応人員に付与するべき権限の目標状態を導出するステップと
を含む、権限管理方法。
【請求項10】
前記コンピュータ・システムが、1以上のリソースが既存リソースに新たに関連付けられたことを検出するステップと、
前記コンピュータ・システムが、前記既存リソースに関して設定される、他リソースとの関係付け方を規定する条件に従って、前記既存リソース上の権限と前記1以上のリソースそれぞれの上の権限との間に関係付けられるべき権限依存関係を定義するステップと
をさらに含む、請求項9に記載の権限管理方法。
【請求項11】
前記導出するステップは、
前記コンピュータ・システムが、割り当て済みのプロセスが完了し、または該割り当て済みのプロセスに設定された期限が終了したことに応答して、現存する1以上のプロセスに必要な権限を基点としてそれぞれ前記関係を辿り、前記現存する1以上のプロセスそれぞれに割り当てられた対応人員それぞれについての前記目標状態と現在の状態との不整合を導出するステップであることを特徴とする、請求項10に記載の権限管理方法。
【請求項12】
コンピュータ実行可能なプログラムであって、前記プログラムは、コンピュータ・システムを
サービス管理の対象となるリソース、人員、プロセスおよび前記リソース上で提供される権限をそれぞれ構成アイテムとして保管する構成管理データベースであって、リソース上の権限と該権限の行使に必要となる他のリソース上の権限との権限依存関係、プロセスと該プロセスに必要な権限との権限要求関係、および人員と該人員に付与される権限との権限付与関係を含む前記構成アイテム間の関係が規定される、当該構成管理データベース、および
前記構成管理データベースを参照し、実行すべきプロセスが対応人員に対して割り当てられている場合に、前記実行すべきプロセスに必要なリソース上の権限を基点として前記関係を辿り、前記対応人員に付与するべき権限の目標状態を導出する権限導出部
として機能させるためのプログラム。
【請求項13】
請求項12に記載のコンピュータ実行可能なプログラムをコンピュータ可読に記録する記録媒体。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【公開番号】特開2012−137931(P2012−137931A)
【公開日】平成24年7月19日(2012.7.19)
【国際特許分類】
【出願番号】特願2010−289801(P2010−289801)
【出願日】平成22年12月27日(2010.12.27)
【出願人】(390009531)インターナショナル・ビジネス・マシーンズ・コーポレーション (4,084)
【氏名又は名称原語表記】INTERNATIONAL BUSINESS MASCHINES CORPORATION
【復代理人】
【識別番号】100110607
【弁理士】
【氏名又は名称】間山 進也
【Fターム(参考)】
【公開日】平成24年7月19日(2012.7.19)
【国際特許分類】
【出願日】平成22年12月27日(2010.12.27)
【出願人】(390009531)インターナショナル・ビジネス・マシーンズ・コーポレーション (4,084)
【氏名又は名称原語表記】INTERNATIONAL BUSINESS MASCHINES CORPORATION
【復代理人】
【識別番号】100110607
【弁理士】
【氏名又は名称】間山 進也
【Fターム(参考)】
[ Back to top ]