説明

最適アカウント統合支援システム、最適アカウント統合支援方法、および、最適アカウント統合支援プログラム

【課題】互いにトレードオフの関係にある利便性とセキュリティ向上を共に考慮した上で、複数のシステムを最適にアカウント統合する組み合わせの選択を可能とする。
【解決手段】システムの種類情報とそれらをアカウント統合可能にグループ化した組み合わせを指定する情報とを受け付けてメモリ103に格納するグループ化組み合わせ受け付け部150と、各複数のシステムのリスク値を受け付けて複数のシステムの種類情報に対応付けてメモリに格納するリスク値受け付け部151と、各組み合わせについて、リスク増、およびアカウント統合後のトータルのアカウント数に基づいてアカウント管理コストを計算し、リスク増とアカウント管理コストの差分として計算される目的関数を最小化する最適組み合わせを決定し、出力する最適組み合わせ決定部152とから最適アカウント統合支援システム100を構成する。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、最適アカウント統合支援システム、最適アカウント統合支援方法、および、最適アカウント統合支援プログラムに関し、特に、互いにトレードオフの関係にある利便性とセキュリティ向上を共に考慮した上で、複数のシステムを最適にアカウント統合する組み合わせの選択を可能にする、最適アカウント統合支援システム、最適アカウント統合支援方法、および、最適アカウント統合支援プログラムに関する。
【背景技術】
【0002】
例えば、インターネット上の各種システムによって実現される各種Webアプリケーションや、企業内の各種情報システム(以下、まとめて、単に複数のシステムという)において、通常、ユーザは、IDとパスワード、すなわちアカウントを入力してログインしたり、認証を受けたりする(以下、まとめてアカウント認証という)必要がある。
【0003】
しかしながら、上記ユーザにとって、これら複数のアカウントを全て記憶したり、メモしておいたりして忘却を防止したり、セキュリティ上の安全策として定期的にその内容を変更したりすることは、容易なことではなく、また不便であった。また、上記複数システムのアカウントを管理する側(以下、アカウント管理者側という)にとっても、全ユーザのアカウントを漏洩せぬよう管理したり、ユーザの属性変更(例えば、企業内でいえば、当該ユーザの職掌変更があった場合などに、その所属や上記IDなどが変わること)に伴い、当該ユーザの全アカウントを適切に変更するといった作業に要する手間やコストは決して小さいものではなかった。
そこで、上記複数システムに対し、極力単一のアカウントでアカウント認証をうける技術、すなわちアカウント統合に関する技術が提案されている。
【0004】
例えば、特許文献1には、ユーザが複数のシステムを同時に利用する際に、一度、ユーザID及びパスワードを入力しただけで、全てのシステムにログインできる複数サーバ間ログイン連携システム、クライアント装置、ログイン管理装置、サーバ装置及び記憶媒体を提供するとの目的の下、クライアント装置と、ログイン管理装置と、複数のサーバ装置とを備えた複数サーバ間ログイン連携システムにおいて、前記クライアント装置が、入力された識別情報を前記ログイン管理装置へ送付し、前記ログイン管理装置が、前記クライアント装置から送付された前記識別情報に基づきログイン処理を行うと共に、前記識別情報を暗号化した暗号データを前記クライアント装置へ送付し、前記クライアント装置が、前記ログイン管理装置から送付された前記暗号データを保持し、前記複数のサーバ装置のうち所望のサーバ装置の利用時に、前記クライアント装置が、当該サーバ装置に対し前記暗号データを送付し、前記当該サーバ装置が、前記クライアント装置から送付された前記暗号データを復号化し前記識別情報を生成すると共に、生成された前記識別情報に基づき当該サーバ装置におけるログイン処理を行うことを特徴とする複数サーバ間ログイン連携システムなどが開示されている。
【特許文献1】特開2002−183094号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
ところで、上記のような複数システムのアカウント統合を考える上で、上記特許文献1のような、全システムのアカウントを一つに統合化する方向、いわゆるシングルサインオン技術の方向では、アカウントの入力を行うユーザにとっての便利さやアカウント管理に要するコストなどといった利便性を向上させることはできるが、逆にセキュリティ上のリスクは高まる。なぜならば、例えばあるアカウントが第三者に漏洩し、当該複数システムへの不正アクセスが可能な状況となった場合、アカウント統合された全システムに不正アクセスすることが可能となってしまうからである。すなわち、アカウント統合を考える上で、利便性の向上と、セキュリティの向上とは、二律背反するトレードオフの関係にある。ところが、複数システムにおけるアカウント統合を考える上で、利便性の向上のみならず、セキュリティの向上をも適切に考慮した技術はいまだ存在しておらず、開発が望まれていた。
【0006】
そこで本発明は上記課題を鑑みてなされたものであり、互いにトレードオフの関係にある利便性とセキュリティ向上を共に考慮した上で、複数のシステムを最適にアカウント統合する組み合わせの選択を可能にする、最適アカウント統合支援システムなどを提供することを主たる目的とする。
【課題を解決するための手段】
【0007】
上記課題を解決する本発明の最適アカウント統合支援システムは、ユーザのアカウント認証をそれぞれ必要とする複数のシステム間における、アカウント統合を支援するシステムであって、前記複数のシステムの種類情報と、当該複数のシステムをアカウント統合可能なシステム群ごとにグループ化した組み合わせを指定するシステム組み合わせ情報とを、入力インターフェースから受け付けてメモリに格納する、グループ化組み合わせ受け付け部と、前記各複数のシステムについて、当該各システムのセキュリティ事故発生の際の予想損失額であるリスク値を、入力インターフェースから受け付け、前記複数のシステムの種類情報に対応付けてメモリに格納する、リスク値受け付け部と、前記システム組み合わせ情報をメモリから読み出し、前記組み合わせについて、メモリから読み出した前記各システムのリスク値に基づいてアカウント統合によるリスク値の予想上昇額であるリスク増を計算し、前記組み合わせについて、アカウント統合後のトータルのアカウント数に基づいてアカウント管理コストを計算し、前記組み合わせについて、前記リスク増とアカウント管理コストの差分を目的関数として計算し、当該目的関数を最小化する前記組み合わせを最適組み合わせとして決定し、出力インターフェースを介して出力する、最適組み合わせ決定部と、を備えることを特徴とする。
【0008】
また、前記グループ化組み合わせ受け付け部は、前記システム組合せ情報を、前記複数のシステムを第一階層として、それらを順次グループ化するごとに上位階層と位置づけて階層表示データを生成し、この階層表示データを出力インターフェースを介して出力し、前記階層表示データに基づく表示において前記システム組合せ情報の入力を入力インターフェースから受け付けることとすれば好適である。
【0009】
また、前記最適組み合わせ決定部は、前記組み合わせに含まれる複数のシステムの各リスク値の合計値から、前記組み合わせに含まれる複数のシステムの各リスク値の最大値を減算することにより、前記リスク増の計算を行うこととすれば好適である。
【0010】
また、前記アカウント管理コストを計算するために必要な数値を入力インターフェースから受け付けてメモリに格納する、アカウント管理コスト計算式定義部を備え、前記最適組み合わせ決定部は、メモリから読み出した前記アカウント管理コストを計算するために必要な数値と、前記アカウント統合後のトータルのアカウント数に基づき、前記アカウント管理コストを計算することとすれば好適である。
【0011】
また、前記最適組み合わせ決定部は、前記グループ化組み合わせ受け付け部により表示された前記階層表示としてのシステム組合せ情報の中から、前記最適組み合わせに含まれるグループを色分け表示することにより、前記最適組み合わせの出力をするとともに、当該最適組み合わせにおける前記リスク増の値、前記アカウント管理コストの値、および前記目的関数の値を出力インターフェースを介して出力することとすれば好適である。
【0012】
また、本発明の最適アカウント統合支援方法は、ユーザのアカウント認証をそれぞれ必要とする複数のシステム間における、アカウント統合を支援するコンピュータが、前記複数のシステムの種類情報と、当該複数のシステムをアカウント統合可能なシステム群ごとにグループ化した組み合わせを指定するシステム組み合わせ情報とを、入力インターフェースから受け付けてメモリに格納する処理と、前記各複数のシステムについて、当該各システムのセキュリティ事故発生の際の予想損失額であるリスク値を、入力インターフェースから受け付け、前記複数のシステムの種類情報に対応付けてメモリに格納する処理と、前記システム組み合わせ情報をメモリから読み出し、前記組み合わせについて、メモリから読み出した前記各システムのリスク値に基づいてアカウント統合によるリスク値の予想上昇額であるリスク増を計算し、前記組み合わせについて、アカウント統合後のトータルのアカウント数に基づいてアカウント管理コストを計算し、前記組み合わせについて、前記リスク増とアカウント管理コストの差分を目的関数として計算し、当該目的関数を最小化する前記組み合わせを最適組み合わせとして決定し、出力インターフェースを介して出力する処理と、を実行することを特徴とする。
【0013】
また、本発明の最適アカウント統合支援プログラムは、ユーザのアカウント認証をそれぞれ必要とする複数のシステム間における、アカウント統合支援を行うコンピュータに、
前記複数のシステムの種類情報と、当該複数のシステムをアカウント統合可能なシステム群ごとにグループ化した組み合わせを指定するシステム組み合わせ情報とを、入力インターフェースから受け付けてメモリに格納するステップと、前記各複数のシステムについて、当該各システムのセキュリティ事故発生の際の予想損失額であるリスク値を、入力インターフェースから受け付け、前記複数のシステムの種類情報に対応付けてメモリに格納するステップと、前記システム組み合わせ情報をメモリから読み出し、前記組み合わせについて、メモリから読み出した前記各システムのリスク値に基づいてアカウント統合によるリスク値の予想上昇額であるリスク増を計算し、前記組み合わせについて、アカウント統合後のトータルのアカウント数に基づいてアカウント管理コストを計算し、前記組み合わせについて、前記リスク増とアカウント管理コストの差分を目的関数として計算し、当該目的関数を最小化する前記組み合わせを最適組み合わせとして決定し、出力インターフェースを介して出力するステップと、を実行させるプログラムである。
【0014】
その他、本願が開示する課題、及びその解決方法は、発明の実施の形態の欄、及び図面により明らかにされる。
【発明の効果】
【0015】
本発明によれば、互いにトレードオフの関係にある利便性とセキュリティ向上を共に考慮した上で、複数のシステムを最適にアカウント統合する組み合わせの選択が可能となる。
【発明を実施するための最良の形態】
【0016】
−−−システム構成−−−
以下に本発明の実施形態について図面を用いて詳細に説明する。図1は本実施形態の最適アカウント統合システム100の構成図である。前記最適アカウント統合システム100(以下適宜、支援システム100という)は、ユーザのアカウント認証をそれぞれ必要とする複数のシステム間における、アカウント統合を支援するシステムである。
【0017】
より具体的には、例えば、インターネット上の各種システムによって実現される各種Webアプリケーションや、企業内の各種情報システム(以下、まとめて、単に複数のシステムという)において、ユーザは、通常、IDとパスワード、すなわちアカウントを入力することにより、ログインしたり、認証を受けたりする(以下、まとめてアカウント認証という)必要がある。これら複数システムのアカウントを管理する側(以下、アカウント管理者側という)は、各種の利便性などを考慮し、これら複数のシステム間において各ユーザに発行されるアカウントを適宜統合することがある。すなわち、アカウント管理者側は、システムのアカウント統合設計をし、当該設計されたアカウント統合を実行することがある。本実施形態の支援システム100は、例えば、そのようなアカウント統合設計/実行を支援するためのツールなどとして利用できるシステムである。
【0018】
本実施形態の支援システム100の機能構成としては、本発明の最適アカウント統合方法を実行する機能を実現すべく、書き換え可能メモリなどのプログラムデータベース101にプログラム102を備えて、このプログラム102をメモリ103に読み出し、演算装置たるCPU104により実行する。また、前記システム100は、各種ボタン類などの入力インターフェース105や、ディスプレイなどの出力インターフェース106を有している。また、システム100の各種機能部と入出力インターフェース105、106などとの間ではI/O部107がデータのバッファリングや各種仲介処理を実行している。
【0019】
また、支援システム100は、インターネットなどの通信ネットワークを介して各種の外部の装置やシステムと接続されていてもよい。その場合、それら各種外部装置や外部システムとの間のデータ授受を担う通信装置などを有していることとすればよい。
【0020】
続いて、前記システム100が、例えばプログラム102に基づき構成・保持する機能部につき説明を行う。
【0021】
こうした支援システム100は、複数のシステムの種類情報と、当該複数のシステムをアカウント統合可能なシステム群ごとにグループ化した組み合わせを指定するシステム組み合わせ情報とを、入力インターフェース105から受け付けてメモリ103に格納する、グループ化組み合わせ受け付け部150を備える。
【0022】
本実施形態では、上記複数のシステムとして、ある企業における各種の業務管理システムを想定する。より具体的には旅費精算システム(sys1)、出張申請システム(sys2)、勤休管理システム(sys3)、福利厚生システム(sys4)、労務管理システム(sys5)、規則管理システム(sys6)、および人事管理システム(sys7)の7つのシステムを上記複数のシステムとして想定する。そして、本実施形態の支援システム100は、これら7つのシステム間における、最適なアカウント統合を支援するものである。上記「グループ化」とは、上記複数のシステムのうち、アカウント統合された、すなわち、各ユーザのアカウントを共通化することによってアカウントの一括管理が可能となったシステム群からなるグループのことを指す。ただし、以下の説明では、他のシステムとアカウント統合されず、単独のままでアカウント管理されることになるシステムのことも、便宜上「グループ」と呼ぶ場合がある。
【0023】
本実施形態の最適アカウント統合支援方法、およびそのシステム、プログラムは、要するに、これら複数のシステムsys1〜7を様々にグループ化する組み合わせの中から、利便性とセキュリティ確保の両面から最適な組み合わせを決定する。すなわち、数学的に言えば、一種の組み合わせ最適化問題を解くことを実行するものである。
【0024】
上記「アカウント統合可能なシステム群」とは、上記複数のシステムを現実的にアカウント統合し、グループ化しうるシステム群のことを指す。例えば、本実施形態の例で言えば、上記7つのシステムsys1〜7のうち、経理系のシステム(例えば、本実施形態の例のうち、旅費精算システム(sys1)、出張申請システム(sys2)など)と人事系のシステム(例えば、本実施形態の例のうち、勤休管理システム(sys3)、労務管理システム(sys5)、人事管理システム(sys7)など)とは、互いにアカウント統合してしまうことは、システム管理上などの現実的諸条件に鑑みて可能でない、あるいは有効でない。すなわち、上記「アカウント統合可能なシステム群」とは、そのような現実的でないアカウント統合によるグループ化を除く、何らかの共通性や類似性の観点からグループ化されうるあらゆるグループを指す。しかしながら、本実施形態では、これらアカウント統合可能なシステム群ごとにグループ化した組み合わせの指定は、上記アカウント管理者側のユーザ(以下、管理ユーザという)などが、入力インターフェース105を介して人手により入力するので、あえて経理系のシステムと人事系のシステムとをグループ化するような、柔軟な組み合わせ指定も、適宜な設定によって可能である。
【0025】
また、支援システム100は、前記各複数のシステムsys1〜7について、当該各システムのセキュリティ事故発生の際の予想損失額であるリスク値を、入力インターフェース105から受け付け、前記複数のシステムsys1〜7の種類情報に対応付けてメモリに格納する、リスク値受け付け部151を備える。
【0026】
リスク値の定義については、支援システム100のユーザである上記管理ユーザなどが、適宜設定することとすればよい。
【0027】
また、前記グループ化組み合わせ受け付け部150は、前記システム組合せ情報を、前記複数のシステムsys1〜7を第一階層として、それらを順次グループ化するごとに上位階層と位置づけて階層表示データを生成し、この階層表示データを出力インターフェース106を介して出力し、前記階層表示データに基づく表示において前記システム組合せ情報の入力を入力インターフェース105から受け付けることとすれば好ましい。
【0028】
そのような階層的なツリー構造として表示される階層表示データを、出力インターフェース106であるディスプレイ画面106に表示した画面の一例である階層表示データ入力画面300を図2に示す。この階層表示データ入力画面300は主に、上方の階層化グループ表示部310と、下方の描画部品表示部350とから構成される。上記管理ユーザなどは、描画部品表示部350に表示された各種描画ツール351〜356を用いて、階層化グループ表示部310の中に、複数のシステムsys1〜7と、それらをアカウント統合可能なシステム群ごとに、かつ順次階層的にグループ化した、ツリー構造の階層化グループを描画することによってこれらを指定してゆく。
【0029】
各種描画ツール351〜356はそれぞれ、画面300の左側から順に、グループ化される下位グループ(ここでは上述のように、第一階層=最下層の各単一複数システムsys1〜7を含む、以下の場合も同様である)同士を、それらグループ化された上位グループに関連付けるグループ化ツール351、第一階層=最下層の複数システムsys1〜7をそれぞれ図2に示すようなアイコン状に描画して指定するシステム描画ツール352、下位グループをグループ化した上位グループをそれぞれ図2に示すようなアイコン状に描画して指定する上位グループ描画ツール353、後述するリスク増を支援システム100に計算させるためのリスク増計算ボタン354、後述するアカウント管理コストを支援システム100に計算させるためのTCO(Total Cost of Ownership:システムなどの管理コストのこと)計算ボタン355、および、後述する最適組み合わせを支援システム100に求めさせるための最適解計算ボタン356とを含んでいる。
【0030】
システム描画ツール352のアイコン形状は、上下三段の部分から構成されており、上から順に、グループ候補識別子入力部352a、システム識別子入力部352b、および上記リスク値が入力されるリスク値入力部352cである。上位グループ描画ツール353は、上下二段の部分から構成されており、上から、前記グループ候補識別子入力部352a同様のグループ候補識別子入力部353a、および後述するリスク増の計算結果が表示されるリスク増表示部353bである。
【0031】
階層化グループ表示部310の最下段には、第一階層である複数のシステムsys1〜7が、上記管理ユーザなどにより、前記システム描画ツール352を用いて上記アイコン形状に描画されて指定される。本実施形態では、当該管理ユーザなどは、これらグループ候補識別子入力部352a、システム識別子入力部352b、リスク値入力部352cの中に、それぞれグループ候補識別子(図2中のid7〜13)、システム識別子(図2中のsys1〜7)および、上記リスク値(図2中の金額「50万」〜「100万」)を、入力インターフェース105から入力する。また、本実施形態では、当該管理ユーザなどは、上記グループ候補識別子入力部353aの中に、グループ候補識別子(図2中のid1〜6)を入力する。これら入力インターフェース105から入力された、グループ候補識別子やシステム識別子は、グループ化組み合わせ受け付け部150によって受け付けられてメモリ103に格納される。一方、入力インターフェース105から入力された、リスク値は、リスク値受け付け部151によって受け付けられてメモリ103に格納される。
【0032】
図3に、リスク値受け付け部151によってメモリ103に格納される、システム別リスク値設定テーブル200のデータ構造例を示す。図3に示すように、システム別リスク値設定テーブル200は、上記複数のシステムの種類情報に対応付けられたリスク値のデータを格納するテーブルであり、例えば、システム識別子をキーとして、リスク値識別子、リスク値といった情報を対応付けたレコードの集合体となっている。
【0033】
なお、図2においては、簡単のため、階層化グループ表示部310内に描画された第一階層の複数システムsys1〜7を表すアイコン形状のグループ候補識別子入力部352a、システム識別子入力部352b、リスク値入力部352cについては、その一部のみに符号を付して示している。同様に、図2においては、階層化グループ表示部310内に描画された上位グループを表すアイコン形状のグループ候補識別子入力部353a、リスク増表示部353bについては、その一部のみに符号を付して示している。
【0034】
なお、図2においては、各第一階層の複数システムsys1〜7を表すアイコンの下に、それらシステムsys1〜7の識別名称を入力することのできる、個別システム識別名称入力欄311も設けられている。
【0035】
このように本実施形態の支援システム100では、上記図2に示すような階層表示データによって表現されるGUI(Graphical User Interface)を用いることによって、上記管理ユーザなどは、複数のシステムsys1〜7とそのアカウント統合可能なグループ化の組み合わせを、非常に簡単にかつ感覚的にも把握しやすい方法で入力し、指定することができるとともに、これら入力された複数のシステムsys1〜7とそのアカウント統合可能なグループ化の組み合わせを、一目瞭然に、感覚的にも容易に把握することができるので、有利である。
【0036】
また、支援システム100は、前記システム組み合わせ情報をメモリ103から読み出し、前記組み合わせについて、メモリ103から読み出した前記各システムのリスク値に基づいてアカウント統合によるリスク値の予想上昇額であるリスク増を計算し、前記組み合わせについて、アカウント統合後のトータルのアカウント数に基づいてアカウント管理コストを計算し、前記組み合わせについて、前記リスク増とアカウント管理コストの差分を目的関数として計算し、当該目的関数を最小化する前記組み合わせを最適組み合わせとして決定し、出力インターフェース106を介して出力する、最適組み合わせ決定部152を備える。
【0037】
最適組み合わせ決定部152は、主に、以下の3つのものを求める処理を実行する。すなわち、(a)リスク増、(b)アカウント管理コスト、(c)最適組み合わせ、である。以下、これら(a)〜(c)を求める処理について、順番に説明する。
【0038】
まず、上記(a)の、アカウント統合に伴う、セキュリティの低下度合いを具体的に示す指標となるリスク増の計算について説明する。リスク増の計算方法には様々なものが考えられるが、本実施形態では、好適な一例として、前記最適組み合わせ決定部152は、前記組み合わせに含まれる複数のシステムsys1〜7の各リスク値の合計値から、前記組み合わせに含まれる複数のシステムsys1〜7の各リスク値の最大値を減算することにより、前記リスク増の計算を行う。
【0039】
組み合わせの具体例については、後述するが、本実施形態における組み合わせとは、7つのシステムsys1〜7を、上述のようにアカウント統合可能なもの同士をグループ化しうる、全ての組み合わせを指す。例えば、図2の階層化グループ表示部310の最上段に表示されている上位グループ「id1」は、全てのシステムsys1〜7を一つのグループにアカウント統合した、それ自体、一つの組み合わせである。このグループid1という組み合わせを例として、上記のリスク増を計算する方法を以下に具体的に説明する。
【0040】
まず、この組み合わせに含まれる複数のシステムsys1〜7の各リスク値の合計値は、システムsys1〜7の、リスク値入力部352cに入力された各リスク値(50万、40万、40万、30万、60万、20万、100万)を合計することにより、340万と算出される。次に、この合計値340万から、組み合わせに含まれる複数のシステムsys1〜7の各リスク値の最大値、すなわちシステムsys7の100万を減算することにより、240万と算出される。これが、このグループid1という組み合わせのリスク増となる。算出されたリスク増は、本実施形態では、図2の階層化グループ表示部310の上位グループを示すアイコンの下段部であるリスク増表示部353bに表示される。
【0041】
なお、本実施形態では、最適組み合わせ決定部152は、上記id1というグループである組み合わせのみならず、全ての上位階層たるグループ(id2〜6)について、同様にリスク増の値を算出し、一旦、それらを各グループに対応付けてメモリ103に保存した上で、各グループのアイコン353のリスク増表示部353bに表示する。
【0042】
図4に、最適組み合わせ決定部152によってメモリ103に格納される、グループ別リスク増格納テーブル400のデータ構造例を示す。図4に示すように、ループ別リスク増格納テーブル400は、上記上位階層たるグループのそれぞれに対応付けられたリスク増の値のデータを格納するテーブルであり、例えば、グループ識別子をキーとして、当該グループが包含するシステムのシステム識別子、リスク増の識別子、リスク増の値といった情報を対応付けたレコードの集合体となっている。なお、図4では、第一階層の複数システムsys1〜7、すなわちグループ候補識別子id7〜13の(上位でない)グループをもリストアップしているが、これらのリスク増の値はいずれもゼロである。リスク増とは、アカウント統合すなわちグループ化に伴い発生するリスクの度合いを示す値であるので、上位のグループでない、アカウント統合されていない第一階層のシステムではリスク増は発生しないからである。
【0043】
組み合わせが一つの上位グループid1からなる上記の例と異なり、組み合わせが複数の上位グループを含む場合は、それら上位グループのリスク増の値を、図4に示したグループ別リスク増格納テーブル400から読み出し、それらを合計することにより、当該組み合わせのリスク増の値を算出する。従って、仮に組み合わせが、全て第一階層のシステムsys1〜7から構成される場合、すなわち全くアカウント統合を行わず、上位グループが含まれない場合は、リスク増の値はゼロとなる。このことは、全くアカウント統合を行っていないのだから、アカウント統合に伴うリスク増が発生しないという経験的事実に合致する。
【0044】
次に、上記(b)の、アカウント管理コストの計算について説明する。アカウント管理コストとは、アカウント管理者側がアカウント管理を行うために要するコストである。概して、アカウント統合の度合いが大きいほど、すなわち組み合わせに含まれるグループの数が少ないほど、アカウント管理コストは小さくなる。すなわち、アカウント統合後のトータルのアカウント数が少なくなるほど、アカウント管理コストは小さくなる。最もアカウント管理コストが小さくなる組み合わせは、全てのシステムsys1〜7をひとつのグループとしてアカウント統合した場合(すなわちグループid1そのもの)である。この場合、組み合わせに含まれるグループ数、すなわち、アカウント統合後のトータルのアカウント数は1である。
【0045】
このように、アカウント管理コストは、本実施形態の支援システム100では、アカウント統合の利便性を表す指標として用いられる。全てのシステムsys1〜7をひとつのグループとしてアカウント統合した場合の組み合わせは、利便性は最高であるが、上記リスク増によって示されるセキュリティ性は最低となる。
【0046】
アカウント管理コストのより具体的な計算方法には様々なものが考えられるが、本実施形態では、好適な一例として、支援システム100は、前記アカウント管理コストを計算するために必要な数値を入力インターフェース105から受け付けてメモリ103に格納する、アカウント管理コスト計算式定義部153を備え、前記最適組み合わせ決定部152は、メモリ103から読み出した前記アカウント管理コストを計算するために必要な数値と、前記アカウント統合後のトータルのアカウント数に基づき、前記アカウント管理コストの計算を行う。
【0047】
図5に、このようなアカウント管理コストを計算するために必要な数値を入力するための入力画面500の一例を示す。この入力画面は、図2に示した階層表示データ入力画面300と重ねられて、ポップアップウィンドウ500として表示される。この入力画面500は主として、各種数値入力部501〜505と、上記トータルのアカウント数Xを表示するトータルアカウント数X表示部506と、アカウント管理コスト計算式507とから構成される。トータルアカウント数Xは、当該組み合わせに含まれるグループの数として支援システム100によって自動的に求められ、出力(表示)される。
【0048】
上記各種数値入力部501〜505は、本実施形態の例では、具体的には、複数のシステムsys1〜7の利用ユーザ(主に当該企業の従業員)の数を入力する利用者数A入力部501、当該企業における年間の人事異動率B入力部502、一回のアカウント変更に伴い管理者が対応に要する時間Cを入力する対応時間C入力部503、対象システム数D入力部504、時間当たりの、上記アカウント変更にあたる管理者の人件費を入力する人件費/時間E入力部505とからなる。当該企業における年間の人事異動率Bという数値を入力するのは、企業内でユーザの職掌変更があった場合などは、その所属や上記IDなどが変わることに伴い、当該ユーザの全アカウントを適切に変更する必要が発生するためである。
【0049】
本実施形態では、アカウント管理コストは、アカウント管理コスト計算式507に示すように、これら、利用者数A、人事異動率B、対応時間C、人件費/時間E、およびトータルのアカウント数Xの数値から算出される。
【0050】
次に、上記(c)の、最適組み合わせの決定について説明する。最適組み合わせは、上述のように、本実施形態の全ての組み合わせについて、そのリスク増とアカウント管理コストの差分を目的関数として計算し、当該目的関数を最小化する前記組み合わせを最適組み合わせとして決定するように、組み合わせ最適化問題を解くことによって決定される。
【0051】
本実施形態では、以下の各数式(1)〜(5)に従って、近似解法でなく厳密解法を用いて最適組み合わせを決定する。厳密解法を用いることが可能なのは、本実施形態のような最適アカウント統合を支援するための、組み合わせ最適化問題では、組み合わせの数が比較的少ないためである。
【0052】
まず、本解法における目的関数(評価値)は、以下の式(1)で定められる。

全ての組み合わせについて、式(1)における、目的関数PIを求め、当該PIが最小となる組み合わせを最適組み合わせとして決定する。またその際、制約条件として、以下の式(2)を定める。

【0053】
上記式(1)、式(2)において、Rはリスク増を示し、ΣRは、各組み合わせのリスク増の合計値である。このリスク増の合計値を求めることについては、上記(a)の説明で既述した。IDj,kは、k個のアカウント個数からなるj番目の組み合わせ候補集合である。従って、上記ΣRは、IDj,kが含む全グループ候補idx(xは本実施形態では1〜13、図2や図4参照)のリスク増の値R(idx)の合計値である。Tは、k個のアカウント個数からなるj番目の組み合わせ候補集合IDj,kのアカウント管理コストである。その算出方法については、上記(b)の説明で既述した。
式(2)の具体的な意味は、組み合わせ候補集合IDj,kが、一時階層である複数のシステム群sys1〜7を過不足なく、かつ重複なく包含するという制約条件である。
【0054】
式(2)におけるsys(idx)は、n個の一時階層システムsys1〜7(従ってnは本実施形態では7、図2や図3参照)に対して、グループ候補idxが包含する一時階層システムの指示ベクトルである。具体的に書くと、式(3)のようになる。

式(3)において、sysnは、各一時階層システムsys1〜7を含むか否かを示す指示変数である(1・・・含む、0・・・含まない)。これを式で表すと、式(4)のようになる。

【0055】
本実施形態における、式(3)に示すsys(idx)を具体的に書けば、
sys(id1)=[1,1,1,1,1,1,1]
sys(id2)=[1,1,1,0,0,0,0]
sys(id3)=[0,0,0,1,1,1,1]
sys(id4)=[1,1,0,0,0,0,0]
sys(id5)=[0,0,0,1,1,0,0]
sys(id6)=[0,0,0,0,0,1,1]
sys(id7)=[1,0,0,0,0,0,0]
sys(id8)=[0,1,0,0,0,0,0]
sys(id9)=[0,0,1,0,0,0,0]
sys(id10)=[0,0,0,1,0,0,0]
sys(id11)=[0,0,0,0,1,0,0]
sys(id12)=[0,0,0,0,0,1,0]
sys(id13)=[0,0,0,0,0,0,1]
となる。
【0056】
また、式(2)に示す制約条件を満たす全ての組み合わせ候補集合IDj,kについて、厳密解法により、それら全てについて、上記アカウント管理コストT、リスク増R、目的関数PIを求めると、以下の通りとなる。
k=1/ID1,1 ={id1}/T=25万/R=240万/PI=215万;採用否
k=2/ID1,2 ={id2,id3}/T=50万/R=190万/PI=140万;採用否
k=3/ID1,3 ={id4,id9,id3}/T=75万/R=150万/PI=75万;採用否
k=3/ID2,3 ={id2,id5,id6}/T=75万/R=130万/PI=55万;採用否
k=3/ID3,3 ={id3,id4,id9}/T=75万/R=150万/PI=75万;採用否
k=4/ID1,4 ={id2,id5,id12,id13}/T=100万/R=110万/PI=10万;採用否
k=4/ID2,4 ={id2,id6,id10,id11}/T=100万/R=100万/PI=0万;採用(最適解)
k=4/ID3,4 ={id3,id7,id8,id9}/T=100万/R=110万/PI=10万;採用否
k=4/ID4,4 ={id4,id9,id5,id6}/T=100万/R=90万/PI=−10万;採用否
k=5/ID1,5 ={id2,id10,id11,id12,id13}/T=125万/R=80万/PI=−45万;採用否
k=5/ID2,5 ={id5,id6,id7,id8,id9}/T=125万/R=50万/PI=−75万;採用否
k=6/ID1,6 ={id4,id9,id10,id11,id12,id13}/T=150万/R=40万/PI=−110万;採用否
k=6/ID2,6 ={id7,id8,id9,id5,id12,id13}/T=150万/R=30万/PI=−120万;採用否
k=6/ID3,6 ={id7,id8,id9,id10,id11,id6}/T=150万/R=20万/PI=−130万;採用否
k=7/ID1,7 ={id7,id8,id9,id10,id11,id12,id13}/T=175万/R=0万/PI=−175万;採用否
【0057】
上記組み合わせ候補集合IDj,kのうち、ID2,4がPI最小となる最適解、すなわち最適組み合わせである。そのときアカウント管理コストTは100万、リスク増Rは100万、目的関数PIはゼロとなった。
ID2,4の組み合わせとは、すなわち、グループ候補id2、id6、id10、id11を含むことにより、全ての一時階層システムsys1〜7を包含する組み合わせである。別の言い方をすれば、一時階層システムsys1〜3がアカウント統合されたid2の上位グループと、一時階層システムsys6、7がアカウント統合されたid6の上位グループと、一時階層システムsys4、5とを含む組み合わせが、最適なアカウント統合の組み合わせとして決定されたことになる。
【0058】
以上のように、本実施形態の支援システム100によれば、評価値=目的関数を最適化するよう、組み合わせ最適化問題を解くことによって、しかも近似解でなく厳密解を求める方法でとくことによって、非常に迅速かつ正確に、アカウント統合の最適組み合わせを決定することができる。上記の算出方法から分かるように、決定された最適組み合わせは、利便性の指標たるアカウント管理コストと、セキュリティ性の指標たるリスク増の値とが、最もよくバランスする組み合わせである。別の言い方をすれば、単に利便性が高い組み合わせでなく、最も費用対効果が高い組み合わせを決定することができるということもできる。
【0059】
以上のように、最終的な結果として決定された最適組み合わせが、出力インターフェース106を介して出力される。本実施形態では、好適な一例として、前記最適組み合わせ決定部152は、前記グループ化組み合わせ受け付け部150により表示された前記階層表示としてのシステム組合せ情報の中から、前記最適組み合わせに含まれるグループを色分け表示することにより、前記最適組み合わせの出力をするとともに、当該最適組み合わせにおける前記リスク増の値、前記アカウント管理コストの値、および前記目的関数の値を出力インターフェース106を介して出力する。
【0060】
具体的には、本実施形態では、出力インターフェース106としてのディスプレイ106に、それら最適組み合わせ、当該最適組み合わせにおける前記リスク増の値、前記アカウント管理コストの値、および前記目的関数の値を出力するための決定結果画面を表示する。図6に、このような決定結果画面600の一例を示す。この決定結果600画面は、図2に示した階層表示データ入力画面300と重ねられて、ポップアップウィンドウ600として表示される。また、決定結果600画面の下に表示された階層表示データ入力画面300の階層化グループ表示部310における、当該最適組み合わせに該当するグループid2、id6、id10、id11は、わかりやすく色分け表示される(特に図示せず)。
【0061】
決定結果画面600は主として、上記最適組み合わせの内容を表示する最適組み合わせ表示部601と、当該最適組み合わせにおけるアカウント管理コストを表示するTCO表示部602と、当該最適組み合わせにおけるリスク増を表示するリスク増表示部603と、当該最適組み合わせにおける目的関数の値を表示する目的関数値表示部604とから構成される。
【0062】
本実施形態の支援システム100のユーザである上記管理ユーザなどは、個のように出力された結果を元に、アカウント統合設計/実行などを行うことができる。
【0063】
なお、これまで示した支援システム100における各機能部150〜153は、ハードウェアとして実現してもよいし、メモリ103やHDD(Hard Disk Drive)などの適宜な記憶装置に格納したプログラム102として実現するとしてもよい。この場合、支援システム100のCPU104が、プログラム102実行に合わせて記憶装置より該当プログラムをメモリ103に読み出して、これを実行することとなる。
【0064】
−−−処理フロー例−−−
以下、本実施形態における最適アカウント統合支援方法に対応する処理フロー例について、図に基づき説明する。なお、以下で説明する最適アカウント統合支援方法に対応する各種動作は、支援システム100が、適宜なメモリ103に読み出して実行するプログラム102によって実現される。そして、こうしたプログラム102は、以下に説明される各種の動作を行うためのコードからそれぞれ構成されている。
【0065】
−−−処理フロー例1−−−
図7は、本実施形態の最適アカウント統合支援方法の実施手順例1を示すフロー図である。ここでは、本実施形態の最適アカウント統合支援方法を実現するための以下のような処理を実行する。
【0066】
まず、支援システム100のグループ化組み合わせ受け付け部150は、複数のシステムの種類情報と、当該複数のシステムをアカウント統合可能なシステム群ごとにグループ化した組み合わせを指定するシステム組み合わせ情報とを、入力インターフェース105から受け付けてメモリ103に格納する(s100)。
【0067】
その際、グループ化組み合わせ受け付け部150は、前記システム組合せ情報を、前記複数のシステムを第一階層として、それらを順次グループ化するごとに上位階層と位置づけて階層表示データを生成し(図2参照)、この階層表示データを出力インターフェイス106を介して出力し、前記階層表示データに基づく表示において前記システム組合せ情報の入力を入力インターフェース105から受け付ける(図2参照)。
【0068】
また、本実施形態では、各第一階層のシステムsys1〜7に相当するシステム描画ツール352のアイコン形状における、グループ候補識別子入力部352aおよびシステム識別子入力部352bにも、それぞれ該当する情報が入力され、グループ化組み合わせ受け付け部150はこれらを受け付け、メモリ103に格納する。また、各上位グループid1〜6に相当する上位グループ描画ツール353のアイコン形状における、グループ候補識別子入力部353aにも、該当する情報が入力され、グループ化組み合わせ受け付け部150はこれらを受け付け、メモリ103に格納する。
【0069】
次に、支援システム100のリスク値受け付け部151は、前記各複数のシステムについて、当該各システムのセキュリティ事故発生の際の予想損失額であるリスク値を、入力インターフェース105から受け付け、前記複数のシステムの種類情報に対応付けて、例えば図3に示したシステム別リスク値設定テーブル200のような形式で、メモリ103に格納する(s102)。
【0070】
具体的には、各第一階層のシステムsys1〜7に相当するシステム描画ツール352のアイコン形状における、リスク値入力部352cに該当する情報が入力され、リスク値受け付け部151はこれを受け付け、メモリ103に格納する。
【0071】
次に、支援システム100の最適組み合わせ決定部152は、前記システム組み合わせ情報をメモリ103から読み出し、前記組み合わせについて、メモリ103から読み出した前記各システムのリスク値に基づいてアカウント統合によるリスク値の予想上昇額であるリスク増を計算する(s104)。
【0072】
具体的には、管理ユーザなどが、ディスプレイ106に表示されている、図2に示した階層表示データ入力画面300の描画部品表示部350におけるリスク増計算ボタン354を押すことによって、階層化グループ表示部310に表示された各上位グループid1〜6のリスク増を計算し、図4に示したグループ別リスク増格納テーブルの形式でメモリ103に格納するとともに、リスク増表示部353bに表示する。その際、図3に示したシステム別リスク値設定テーブル200から各第一階層のシステムsys1〜7のリスク値を読み出し、これらの値を使用する。
【0073】
次に、支援システム100の最適組み合わせ決定部152は、前記組み合わせについて、アカウント統合後のトータルのアカウント数に基づいてアカウント管理コストを計算する(s108)。
【0074】
本実施形態では、より具体的には、ステップs108の前に、アカウント管理コスト計算式定義部153が、前記アカウント管理コストを計算するために必要な数値を入力インターフェース105から受け付けてメモリ103に格納し(s106)し、前記最適組み合わせ決定部152は、メモリ103から読み出した前記アカウント管理コストを計算するために必要な数値と、前記アカウント統合後のトータルのアカウント数に基づき、前記アカウント管理コストを計算する(s108)。
【0075】
このアカウント管理コストの計算は具体的には、管理ユーザなどが、ディスプレイ106に表示されている、図2に示した階層表示データ入力画面300の描画部品表示部350におけるTCO計算ボタン355を押すことによって、実行される。
【0076】
次に、支援システム100の最適組み合わせ決定部152は、前記組み合わせについて、前記リスク増とアカウント管理コストの差分を目的関数として計算し、当該目的関数を最小化する前記組み合わせを最適組み合わせとして決定する(s110)。
【0077】
次に、支援システム100の最適組み合わせ決定部152は、ステップs110において決定された最適組み合わせを、出力インターフェース106を介して出力する(s112)。
【0078】
本実施形態では、より具体的には、前記最適組み合わせ決定部152は、前記グループ化組み合わせ受け付け部150により表示された前記階層表示としてのシステム組合せ情報の中から、前記最適組み合わせに含まれるグループを色分け表示することにより、前記最適組み合わせの出力をするとともに、当該最適組み合わせにおける前記リスク増の値、前記アカウント管理コストの値、および前記目的関数の値を出力インターフェースを介してディスプレイ106に出力する(図6参照)。
【0079】
以上で、本フロー例の処理を終了する。
【0080】
以上、本実施形態によれば、互いにトレードオフの関係にある利便性とセキュリティ向上を共に考慮した上で、複数のシステムを最適にアカウント統合する組み合わせの選択が可能となる。
【0081】
以上、本発明の実施の形態について、その実施の形態に基づき具体的に説明したが、これに限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。
【図面の簡単な説明】
【0082】
【図1】本実施形態の最適アカウント統合支援システムの構成図である。
【図2】本実施形態における、階層表示データを表示した画面の一例である階層表示データ入力画面を示す図である。
【図3】本実施形態における、システム別リスク値設定テーブルのデータ構造例200を示す図である。
【図4】本実施形態における、グループ別リスク増格納テーブルのデータ構造例400を示す図である。
【図5】本実施形態における、アカウント管理コストを計算するために必要な数値を入力するための入力画面の一例である階層表示データ入力画面を示す図である。
【図6】本実施形態における、最適組み合わせ、当該最適組み合わせにおける前記リスク増の値、前記アカウント管理コストの値、および前記目的関数の値を出力するための画面の一例である決定結果画面を示す図である。
【図7】本実施形態の最適アカウント統合支援方法に対応する処理フロー例1を示す図である。
【符号の説明】
【0083】
100 最適アカウント統合支援システム
101 プログラムデータベース
102 プログラム
103 メモリ
104 CPU
105 入力インターフェース
106 出力インターフェース
107 I/O部
150 グループ化組み合わせ受け付け部
151 リスク値受け付け部
152 最適組み合わせ決定部
153 アカウント管理コスト計算式定義部

【特許請求の範囲】
【請求項1】
ユーザのアカウント認証をそれぞれ必要とする複数のシステム間における、アカウント統合を支援するシステムであって、
前記複数のシステムの種類情報と、当該複数のシステムをアカウント統合可能なシステム群ごとにグループ化した組み合わせを指定するシステム組み合わせ情報とを、入力インターフェースから受け付けてメモリに格納する、グループ化組み合わせ受け付け部と、
前記各複数のシステムについて、当該各システムのセキュリティ事故発生の際の予想損失額であるリスク値を、入力インターフェースから受け付け、前記複数のシステムの種類情報に対応付けてメモリに格納する、リスク値受け付け部と、
前記システム組み合わせ情報をメモリから読み出し、前記組み合わせについて、メモリから読み出した前記各システムのリスク値に基づいてアカウント統合によるリスク値の予想上昇額であるリスク増を計算し、前記組み合わせについて、アカウント統合後のトータルのアカウント数に基づいてアカウント管理コストを計算し、前記組み合わせについて、前記リスク増とアカウント管理コストの差分を目的関数として計算し、当該目的関数を最小化する前記組み合わせを最適組み合わせとして決定し、出力インターフェースを介して出力する、最適組み合わせ決定部と、
を備えることを特徴とする、最適アカウント統合支援システム。
【請求項2】
前記グループ化組み合わせ受け付け部は、前記システム組合せ情報を、前記複数のシステムを第一階層として、それらを順次グループ化するごとに上位階層と位置づけて階層表示データを生成し、この階層表示データを出力インターフェースを介して出力し、前記階層表示データに基づく表示において前記システム組合せ情報の入力を入力インターフェースから受け付けることを特徴とする、
請求項1に記載の最適アカウント統合支援システム。
【請求項3】
前記最適組み合わせ決定部は、前記組み合わせに含まれる複数のシステムの各リスク値の合計値から、前記組み合わせに含まれる複数のシステムの各リスク値の最大値を減算することにより、前記リスク増の計算を行うことを特徴とする、
請求項1または2に記載の最適アカウント統合支援システム。
【請求項4】
前記アカウント管理コストを計算するために必要な数値を入力インターフェースから受け付けてメモリに格納する、アカウント管理コスト計算式定義部を備え、
前記最適組み合わせ決定部は、メモリから読み出した前記アカウント管理コストを計算するために必要な数値と、前記アカウント統合後のトータルのアカウント数に基づき、前記アカウント管理コストを計算することを特徴とする、
請求項1〜3のいずれかに記載の最適アカウント統合支援システム。
【請求項5】
前記最適組み合わせ決定部は、前記グループ化組み合わせ受け付け部により表示された前記階層表示としてのシステム組合せ情報の中から、前記最適組み合わせに含まれるグループを色分け表示することにより、前記最適組み合わせの出力をするとともに、当該最適組み合わせにおける前記リスク増の値、前記アカウント管理コストの値、および前記目的関数の値を出力インターフェースを介して出力することを特徴とする、
請求項2に記載の最適アカウント統合支援システム。
【請求項6】
ユーザのアカウント認証をそれぞれ必要とする複数のシステム間における、アカウント統合を支援するコンピュータが、
前記複数のシステムの種類情報と、当該複数のシステムをアカウント統合可能なシステム群ごとにグループ化した組み合わせを指定するシステム組み合わせ情報とを、入力インターフェースから受け付けてメモリに格納する処理と、
前記各複数のシステムについて、当該各システムのセキュリティ事故発生の際の予想損失額であるリスク値を、入力インターフェースから受け付け、前記複数のシステムの種類情報に対応付けてメモリに格納する処理と、
前記システム組み合わせ情報をメモリから読み出し、前記組み合わせについて、メモリから読み出した前記各システムのリスク値に基づいてアカウント統合によるリスク値の予想上昇額であるリスク増を計算し、前記組み合わせについて、アカウント統合後のトータルのアカウント数に基づいてアカウント管理コストを計算し、前記組み合わせについて、前記リスク増とアカウント管理コストの差分を目的関数として計算し、当該目的関数を最小化する前記組み合わせを最適組み合わせとして決定し、出力インターフェースを介して出力する処理と、
を実行することを特徴とする最適アカウント統合支援方法。
【請求項7】
ユーザのアカウント認証をそれぞれ必要とする複数のシステム間における、アカウント統合支援を行うコンピュータに、
前記複数のシステムの種類情報と、当該複数のシステムをアカウント統合可能なシステム群ごとにグループ化した組み合わせを指定するシステム組み合わせ情報とを、入力インターフェースから受け付けてメモリに格納するステップと、
前記各複数のシステムについて、当該各システムのセキュリティ事故発生の際の予想損失額であるリスク値を、入力インターフェースから受け付け、前記複数のシステムの種類情報に対応付けてメモリに格納するステップと、
前記システム組み合わせ情報をメモリから読み出し、前記組み合わせについて、メモリから読み出した前記各システムのリスク値に基づいてアカウント統合によるリスク値の予想上昇額であるリスク増を計算し、前記組み合わせについて、アカウント統合後のトータルのアカウント数に基づいてアカウント管理コストを計算し、前記組み合わせについて、前記リスク増とアカウント管理コストの差分を目的関数として計算し、当該目的関数を最小化する前記組み合わせを最適組み合わせとして決定し、出力インターフェースを介して出力するステップと、
を実行させる最適アカウント統合支援プログラム。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate

【図5】
image rotate

【図6】
image rotate

【図7】
image rotate