記憶アクセス制御の自動管理
【課題】データセキュリティを改善し、詐欺を回避し、また会社の生産性を向上させるために、ユーザファイルの許可を自動的に制御すること。
【解決手段】自動ファイルセキュリティポリシを定義し創生する方法及びシステム、多重多様アクセス制御モデル及び多重多様ファイルサーバプロトコルを有する組織のファイルアクセス制御を管理する半自動方法が提供される。システム10はネットワーク内の記憶要素を監視する。記録されたデータトラフィックを解析して実際の組織構造を反映するデータアクセスグルーピング及びユーザグルーピングを同時に評価する。次に、学習された構造は常に時間的に変化する組織に適合するダイナミックファイルセキュリティポリシに変換される。システム10はファイルアクセス制御の対話型管理及び異常なユーザ行動の追跡のために決定支援インターフェイスを提供する。
【解決手段】自動ファイルセキュリティポリシを定義し創生する方法及びシステム、多重多様アクセス制御モデル及び多重多様ファイルサーバプロトコルを有する組織のファイルアクセス制御を管理する半自動方法が提供される。システム10はネットワーク内の記憶要素を監視する。記録されたデータトラフィックを解析して実際の組織構造を反映するデータアクセスグルーピング及びユーザグルーピングを同時に評価する。次に、学習された構造は常に時間的に変化する組織に適合するダイナミックファイルセキュリティポリシに変換される。システム10はファイルアクセス制御の対話型管理及び異常なユーザ行動の追跡のために決定支援インターフェイスを提供する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明はコンピュータセキュリティに関する。特に、本発明は多様なファイルアクセス制御モデルを有する組織におけるセキュリティポリシの自動生成及び管理に関する。
【背景技術】
【0002】
データセキュリティポリシは、典型的には、蓄積された組織のデータに様々なコンピュータシステム上で誰がアクセスしたかを究明する。これらのポリシは固定的ではありえない。組織内部のユーザ、例えば、従業員、パートナ、請負業者は、組織外部からの脅威と同じくらいシビアな脅威を与えることがあり得る。従って、組織の構造及び人員構成が変る際に、セキュリティポリシはそのときに応じて調整されなければならない。しかしながら、組織の極秘データを保護する一方で、情報技術(IT)部門は、ユーザアクセス権を管理し、必要とされる情報が都合よく得られることを確実に行なう有効な手段に欠けている。
【0003】
IT部門に利用可能な最新技術は、ユーザネーム、パスワード、バイオメトリクス、暗号化及びシングルサインオンへのアクセス制限を含むような技術の拡張の管理と共に、アクセス制御リストの点検及びメンテナンスを含む。そのような技術は、効率的でなく、しばしば不正確であり、構成及び人員が絶えず変化する大規模かつ複雑な組織においては、実用的ではない。
【0004】
特別なオペレーティングシステム及び操作環境を利用することで、企業はセキュリティ支援手段を入手することができる。これらは、しばしば役割ベースのアクセス制御を基礎としており、政府組織により過去数年間、相当の興味を持たれ、つい最近営利事業に受け入れられた技術を基礎としている。マルチユーザQSLデータベースにおける役割ベースのアクセス制御に対する代表的な提案は、非特許文献1に示される。
【非特許文献1】Sahadeb De et al., “Secure Access Control in a Multi-user Geodatabase”, URL “http://www10.giscafe.con”
【発明の開示】
【発明が解決しようとする課題】
【0005】
それにもかかわらず、アクセス制御技術は、多様なアクセス制御モデルを利用する企業において、最適に実施されてはいなかった。今日の最新技術の状態は、そのような環境下でシステム管理者が、誰が何にアクセスしているのかを簡単に知ることができないことにある。その結果、多くの組織において、受け入れ難いほど高い比率のユーザが、不正なアクセス権を有している。冗長なアクセス権及び組織を去った人員の持ち主のいないアカウントに関連する問題も完全には解決されていない。従って、データ機密保護を改善し、不正行為を防止し、会社の生産性を改善するために、ユーザファイルの承認を自動的に制御する方法が求められている。
【課題を解決するための手段】
【0006】
本発明の開示された実施例によれば、多様なアクセス制御モデル及びファイルサーバプロトコルを有するネットワーク化された組織において、データセキュリティポリシを自動的に作成し管理するための方法及びシステムが得られる。組織を構成するネットワーク内の記憶素子へのアクセスは、データアクセスの分類とユーザの分類とを同時に決定するために、継続的にモニタされ、解析される。実際の組織的構成は、これらのグループ分けから学び、ダイナミック・データ・アクセス制御ポリシの基礎となり、これは組織の経時的な変化に常に適合している。ファイルアクセス制御の対話型管理のための決定援助インターフェイスが提供される。また、異常なユーザの行動を検出及び追跡する施設が提供される。このように、組織はこれらのデータ及びアプリケーションをよりよくアクセス制御できる。
【0007】
いくつかの実施形態において、ユーザグルーピング、データアクセスグルーピング及び通常のアクセス制御リストを協調させて、これらのアクセス制御リストを変更させることによりファイルアクセス制御を半自動的に管理することによって技法を拡張する。
【0008】
本発明の教示を適用することによって展開するアクセスポリシは補助的利益、たとえば、サービス否認(denial-of-service)攻撃が生じた場合にリソース使用を制限する補助的利益を有する。
【0009】
本発明によれば、複数のユーザを有する組織における記憶要素を有するファイルシステムのデータ記憶アクセスを制御するための方法であって、前記記憶要素に対する前記ユーザのアクセスを記録し該記録されたアクセスから各アクセスプロファイルを導くステップと、前記ユーザ及び前記記憶要素をバイクラスタ(bicluster)してユーザクラスタ及びデータクラスタを規定するステップと、該バイクラスタステップに応答して前記ユーザによるアクセスの制御ポリシを規定するステップとを具備し、前記ユーザクラスタにおける前記ユーザの前記アクセス特性(profiles)が互いに相似しており、前記データクラスタにおける前記記憶要素が、互いに相似した前記アクセス特性を有する、前記複数ユーザの中のユーザによってのみアクセスされる方法が提供される。
【0010】
上記方法の一局面によれば、前記1つのデータクラスタにおける前記記憶要素の少なくとも1つの記憶要素が前記ユーザの1つのユーザによってアクセスされているときのみ、前記制御ポリシは、前記1つのユーザによる前記1つのデータクラスタの前記記憶要素のアクセスを可能とする。
【0011】
また、上記方法の一局面によれば、前記1つのデータクラスタにおける前記記憶要素の少なくとも1つの記憶要素が前記ユーザクラスタの少なくとも1つのユーザによってアクセスされているときのみ、前記制御ポリシは、前記ユーザクラスタのユーザによる前記1つのデータクラスタの前記記憶要素のアクセスを可能とする。
【0012】
さらに、上記方法の一局面によれば、前記バイクラスタステップに応答して前記ファイルシステムの構造を導くステップを具備する。
【0013】
さらに、上述の方法の一局面は、前記バイクラスタステップに応答して前記ファイルシステムの使用パターンを導くステップを具備する。
【0014】
上述の方法の一局面は、前記使用パターンの異常パターンを検出するステップを具備する。
【0015】
さらに、上述の方法の一局面において、前記バイクラスタステップは繰返して実行され、前記アクセス特性は該繰返し毎に再決定され、前記制御ポリシは前記各繰返し後に更新される。
【0016】
さらに、上述の方法の一局面において、前記制御ポリシを規定するステップは、前記制御ポリシの仮改訂を要求するステップと、前記ユーザによる前記記憶要素の後続アクセスを監視するステップと、前記後続アクセスが前記制御ポリシの前記仮改訂に従っていることを判別するステップと、前記判別ステップに応答して前記仮改訂を前記制御ポリシの確定版として認定するステップとを具備する。
【0017】
さらに、上述の方法の一局面は、前記制御ポリシを対話的に修正するステップを具備する。
【0018】
さらに、上述の方法の一局面において、前記制御ポリシを規定するステップは自動的かつ実質的に人を介さずに実行される。
【0019】
さらに、上述の方法の一局面は、前記ユーザの少なくとも1つのユーザ集合及び前記記憶要素の少なくとも1つのデータ集合を備えるアクセス制御リストを参照するステップと、前記各ユーザクラスタのメンバによる前記各データクラスタのメンバに対するアクセスの不存在を検出するステップと、該検出ステップに応答して前記ユーザ集合から少なくとも前記ユーザの一部を削除しかつ前記データ集合から少なくとも前記記憶要素の一部を削除するステップとを具備し、前記ユーザ集合の前記ユーザは前記ユーザクラスタのそれぞれに含まれ、前記データ集合の前記記憶要素は前記データクラスタのそれぞれに含まれている。
【0020】
本発明によれば、コンピュータプログラムが格納されたコンピュータ読出可能媒体を含有し、該コンピュータプログラムはコンピュータによって読込まれて該コンピュータに複数のユーザを有する組織における記憶要素を有するファイルシステムのデータ記憶アクセスを制御するための方法を実行させるコンピュータソフトウェア製品にあって、前記方法は、前記記憶要素に対する前記ユーザのアクセスを記録し該記録されたアクセスから各アクセスプロファイルを導くステップと、前記ユーザ及び前記記憶要素をバイクラスタ(bicluster)してユーザクラスタ及びデータクラスタを規定するステップと、該バイクラスタステップに応答して前記ユーザによるアクセスの制御ポリシを規定するステップとを具備し、前記ユーザクラスタにおける前記ユーザの前記アクセス特性(profiles)が互いに相似しており、前記データクラスタにおける前記記憶要素が、互いに相似した前記アクセス特性を有する、前記複数ユーザの中のユーザによってのみアクセスされるコンピュータソフトウェア製品が提供される。
【0021】
本発明によれば、複数のユーザを有する組織における記憶要素を有するファイルシステムのデータ記憶アクセスを制御するための装置であって、該装置は以下のステップを実行できるコンピュータシステムを具備し、該コンピュータシステムは、前記記憶要素に対する前記ユーザのアクセスを記録し該記録されたアクセスから各アクセスプロファイルを導くステップと、前記ユーザ及び前記記憶要素をバイクラスタ(bicluster)してユーザクラスタ及びデータクラスタを規定するステップと、該バイクラスタステップに応答して前記ユーザによるアクセスの制御ポリシを規定するステップとを実行するように動作し、前記ユーザクラスタにおける前記ユーザの前記アクセス特性(profiles)が互いに相似しており、前記データクラスタにおける前記記憶要素が、互いに相似した前記アクセス特性を有する、前記複数ユーザの中のユーザによってのみアクセスされる装置が提供される。
【発明を実施するための最良の形態】
【0022】
以下の説明においては、種々の具体的な詳細について説明して本発明の完全な理解を提供する。しかしながら、当業者にとっては、これらの具体的な詳細な説明なしでも本発明は実行できることが明らかである。他の例においては、周知の回路、制御論理、及び通常のアルゴリズム及び処理に対するコンピュータプログラム命令の詳細は本発明を不必要に曖昧にしないために示していない。
【0023】
本発明を具体化するソフトウェアプログラムコードは、たとえばコンピュータ読込可能媒体のような永久的記憶媒体に保持される。クライアントサーバ環境においては、このようなソフトウェアプログラムコードはクライアントもしくはサーバに格納される。ソフトウェアプログラムコードはデータ処理システムについて使用される種々の公知の媒体において具体化される。この媒体としては、ディスクドライブ、磁気テープ、コンパクトディスク(CD)、デジタルビデオディスク(DVD)のような磁気的及び光学的記憶装置があるが、これに限定されるものではない。コンピュータ命令信号は伝送媒体にこれらの信号が変調されている搬送波と共にもしくは搬送波なしで具体化されている。たとえば、伝送媒体としては、インターネットのような通信ネットワークを含むことができる。また、本発明はコンピュータソフトウェアにより具体化できるが、本発明を実行するのに必要な機能の一部もしくは全体は特定用途向集積回路もしくは他のハードウェアのようなハードウェア部品、もしくはハードウェア部品及びソフトウェアの組合せにより具体化することができる。
【0024】
[システム全体]
まず、図1はデータ処理システム10のブロック図である。図1を参照すると、データアクセスポリシは本発明の開示された実施の形態に従って自動的に規定され管理される。システム10は汎用コンピュータとしてあるいは1つのネットワークたとえばインターネットに接続された複数のコンピュータとして構成される。
【0025】
システム10によってアクセスできる組織全体のデータ記憶は組織ファイルシステム12によって表される。組織ファイルシステム12は1つもしくは複数の同一場所(colocated)の記憶ユニットを備えており、あるいは、当業者に周知のごとく、地理的に分散したデータ記憶システムでもよい。組織ファイルシステム12の個々の記憶ユニットは同一の能力を有している要件を必要としない。
【0026】
組織ファイルシステム12はグラフィックユーザインターフェイス(GUI)アプリケーション16を用いて複数のユーザ14によってアクセスできる。GUIアプリケーション16は応用プログラムインターフェイス(APU)18を介するシステム10以外の要素である。ユーザ14はたとえば組織のメンバであるが、顧客のような外部のメンバを含むことができる。グラフィックユーザインターフェイスアプリケーション16は管理システムのインターフェイスであり、これを介してユーザ14は解析エンジン20が決定した実際の使用解析の結果を受信できる。ある実施の形態においては、十分に権限が与えられたユーザたとえば管理部員は現在の状況を考慮することができ、また、システムによって勧告された変更を考慮することができる。このようなユーザは勧告された変更を受理もしくは拒絶する権限を有することができる。勧告された変更を選択する前に、権限を与えられたユーザはシステム上における勧告された変更の効果を考慮する能力を有する。次に、システム管理者は最も適切である許可セットを選択もしくは確認することができる。
【0027】
プローブエンジン22は組織ファイルシステム12からアクセス情報を前進方法(ongoing manner)で収集し、二重もしくは冗長情報単位をフィルタ(filter)し、その結果の情報ストリームをデータベース24に格納する。また、プローブエンジン22を用いて、組織の現在のファイルセキュリティポリシ、組織ファイルシステム12の現在の構造及びユーザ14についての情報を収集する。プローブエンジン22は種々の環境及びアーキテクチャにおいて実行できる。
【0028】
解析エンジン20は記憶アクセスを制御するシステム能力の心臓部に存在する専用モジュールである。解析エンジン20は組織セキュリティポリシを自動的に要求して改訂する。解析エンジン20の前縁にはデータコレクタ26があり、このデータコレクタ26は記憶アクセス動作をデータベース24に効率よく記録する。さらに解析エンジン20の出力は対話型管理インターフェイス28を用いて操作でき、この対話型管理インターフェイス28はシステム管理者に対して収集されたデータについて質問させるようにする。管理インターフェイス28を用いて管理者は必要であれば自動的に要求されたセキュリティポリシを修正でき、また、最終的に新しいもしくは改定されたポリシを活性化する。
【0029】
解析エンジン20に関係しているコミットモジュール30はその実行前に収集されたデータを用いて要求されたセキュリティポリシを検証する。コミットモジュール30はアクセス制御リスト(ACL)32を参照する。コミットモジュール30の動作を以下に詳述する。
【0030】
[プローブエンジン]
プローブエンジンは特別のオペレーティングシステム及び環境に合うように作られる。以下にその例を説明するが、これに限定されるものではない。
【0031】
[ウィン−プローブアーキテクチャ]
次に、本発明の開示された実施の形態に係るプローブエンジン22(図1)の一実施の形態を示すブロック図である図2を参照する。この実施の形態での用語ウィン−プローブ(Win-Probe)モジュールはマイクロソフトウィンドウズ(登録商標)プラットフォームのプローブとして作用する。オペレーティングシステムの責務は組織ファイルシステム12(図1)の部品であるローカルファイルシステムをレベル監視することである。たとえば、組織におけるすべてのウィンドウコンピュータを操作するウィン−プローブモジュールがある。このウィン−プローブモジュールは他のオペレーティングシステムに適合するプローブエンジンと並列に動作する。あるいは、複雑な組織は効果的な動作を確保するために複数のウィン−プローブモジュールを必要とすることができる。ウィン−プローブモジュールはファイルシステムフィルタ(SIDFILE)34を有し、ファイルシステムフィルタ34はカーネルモードフィルタドライバ36を用いてローカルファイルシステム38の動作を傍受し(intercept)傍受した動作に関するセキュリティ情報のログをとる。サービス(SIDFILE SERVICE)40はフィルタドライバ36と相互作用し新しいログエントリに登録する。ログエントリはサービス40によってフィルタされる。サービス40はフィルタされたログエントリから統計を編する責任を有し、さらなる処理のために生のログエントリ及びこれらの統計の両方をデータベース24(図1)に送る。フィルタ34はオペレーティングシステムに対して無処理(transparent)であり、そのオーバヘッドは入出力(I/O)動作及びログ当りのセキュリティ属性の減少に制限される。フィルタドライバ36とサービス40との間の通信は装置I/O制御のようなオペレーティングシステム機構及び予め定義された制御コードたとえば収集統計(collect statistics)を用いて達成される。
【0032】
[ネットワーク付記憶プローブアーキテクチャ]
次に、図1のプローブエンジン22の他の実施の形態を示すブロック図である図3を参照すると、本発明に開示された実施の形態に従ってネットワーク装置に適用されている。ネットワーク付記憶(NAS)プローブ42はNAS装置44からアクセスデータを収集する責任を有する。ある実施の形態においては、1つのNASプローブは組織全体に貢献する。あるいは、複数のNASプローブも備えることができる。プローブ42は専用たとえばベンダ特定のプロトコルを用いてNAS装置44に相互作用する。このプロトコルはNAS装置44に対してユーザ48から発生した要求ファイルアクセス動作上の通知をプローブ42に送る。プローブ42は現在支配するポリシに従って要求をNAS装置44によって満足させるかNAS装置44へのアクセスを拒絶する。ログエントリ50はプローブ42によってなされ、イネーブル要求を書類化し、このイネーブル要求はNAS装置44に送られ、そのオペレーティングシステムに従って通常の処理に供される。ある実施の形態においては、拒否された要求は単に廃棄される。あるいは、拒否された要求は異常なユーザ行為を追跡するのを助けるためにログに登録できる。いずれの場合も、ユーザ48はその要求に対する応答52を、アクセス拒否の形式もしくはNAS装置44によって要求された結果の指示の形式で、その要求に対する応答52を受信する。いずれの場合も、最小の性能の効果(impact)がある。NAS装置44はそれ自身所有のオペレーティングシステムを有するので、すべてのドライバ関連の問題たとえばシステム識別子(SID)、ユーザ識別子(UID)、及び要求ファイルアクセスの型の抽出はNAS装置44側で取扱われ、プローブ42によって単にログに登録されるだけである。
【0033】
[解析エンジン]
上述したように、解析エンジン20(図1)はシステム10の心臓部にある。プローブエンジン22によって報告された組織ファイルシステム12における各データ記憶要素に対応する組織の各メンバを含むユーザ14の実際のアクセスの統計を用いてユーザ及びデータ記憶要素の同時かつ自動のクラスタリングを実行する。バイクラスタリングは以下のように行われる。つまり、同一ユーザクラスタのメンバであるユーザが相似のデータアクセス特性を共有するように、また、同一データクラスタのメンバであるデータ記憶要素(ファイルもしくはディレクトリ)が大部分相似のアクセス特性を有するユーザによってアクセスされるように行われる。クラスタは組織構造のグローバル像を提供する。また、解析エンジン20はクラスタリングの結果からユーザにおける相似性の局所的尺度及び同一クラスタに属するデータ要素における相似性の局所的尺度を展開することができる。さらに、クラスタリングプロセスは組織メンバによる将来のデータ記憶アクセスを予測する。ユーザ14の1人があるファイルもしくは記憶要素をアクセスしておらず、かつ相似のユーザが相似のファイルをアクセスしていなければ、あるユーザは近い将来における対応記憶要素に対するアクセス権を必要としないことが、高い信頼性で確証できる。このように、解析エンジン20はIT管理者に明瞭なグローバル像の情報利用パターンを提供し、また、セキュリティポリシの最適化のための詳細な勧告を提供できる。同時に、管理者は異常なユーザの行為に警戒する。また、解析エンジン20はいかなる不審な活動の完全な裁判上の手がかりをも自動的に作成できる。この結果は劇的な能力であり、アクセス及びプライバシポリシに対するコンプライアンスを確保し、また、付加的な管理負担をIT人員に課すことなく適切な情報使用を確保する。
【0034】
[バイクラスタリングアルゴリズム]
以下のクラスタリングアルゴリズムを現在の環境に用いる。しかしながら、本発明は以下に説明する特定のアルゴリズムに限定されるものではない。当業者にとっては、他のクラスタリングアルゴリズムをプローブエンジン22(図1)によって得られたデータに適用して同等の結果を得ることができるのは明らかである。
【0035】
2つの離散的確率変数X及びYの結合分布をp(x,y)=p(X=x,Y=y)と表す。この場合、Xは組織におけるユーザ集合を表し、また、Yは組織のメンバによってアクセスされたファイルディレクトリ集合を表す。値p(x,y)は1登録フェイズ(enrollment phase)においてユーザxがデータ記憶要素に接近した規格化された回数を示す。本発明は、p(x,y)の近傍(contiguity)テーブルによって構成され収集されたデータに基づき、2つの集合の基本的に存在する構造及びこれらの相互関係を発見しようとするものである。より正確には、確率変数X及びYを相似要素の直和集合にクラスタするものである。確率変数のクラスタリングとはXの要素をX’で表される直和(disjoint)クラスタに区分することであり、同様に、YをY’による区分で示せる。
【0036】
クラスタの数を(システム構成パラメータの一部として)予め定義すると、ユーザクラスタとデータクラスタとの間の相互情報量I(X’, Y’)が最大となるようにクラスタリングX’, Y’を求める。言い換えると、システムは相互情報量基準をコスト関数として用い、種々のクラスタリング構造の品質を評価する。
【0037】
相互情報量は次のごとく定義される。
【数1】
【0038】
相互情報量は1つの確率変数が出現する不確からしさの程度を他の確率変数が観測されているときにカプセル化する。また、以下に用いる2つの関連する概念を定義する。P=(P(1),…,P(n)),Q=(Q(1),…,Q(n))を2つの離散的確率分布とする。確率分布P,Qの相対的エントロピー(カルバック−ライプラのダイバージンス)は、
【数2】
となる。
【0039】
混合係数cに係る確率分布P,Q間のジェンロン−シャノンダイバージンスは、
【数3】
となる。
【0040】
次のステップは相互情報量基準を用いて最適なクラスタリングを発見することである。ユーザ集合X及びデータ集合Yに対して異なる戦略を用いる。ユーザ集合Xの場合には、現在の構造は存在せず、従って、これを維持する必要がない。しかしながら、ある実施の形態において、組織のユーザ構造を保持することは好ましい。これに対し、データファイルシステムは木構造に基づく。木構造は木における近いディレクトリ間の動作上の相似を反映しているので、木構造を維持したい。従って、記憶要素クラスタリングは基本的に木を剪定することによって達成される。以下このプロセスをさらに詳細に説明する。
【0041】
[ユーザクラスタリング]
本発明の開示された実施の形態に係るユーザクラスタリング方法を示すフローチャートである。この方法はランダム解で開始し、次に、単調方法で結果を逐次改良していく。
【0042】
初期ステップ54において、開始点としてユーザのリストの所定数のクラスタへのランダム区分を選択する。この区分は以下に説明する現在のサイクル集合において用いられる。各ユーザxに対して、確率分布p(y/x)はユーザxのデータアクセス活動を表し、つまり、p(y/x)はユーザxがデータ要素yにアクセスした回数であって、登録期間(enrollment period)におけるxによって実行された全データ活動回数によって規格化されたものである。各ランダムに形成されたクラスタCに対してp(y|C)をクラスタCのメンバであるユーザに関連した条件付確率分布p(y|x)の平均として定義する。
【0043】
次に、ステップ56において、初期ステップ54において確立したクラスタのうち1つをランダムに選択する。
【0044】
次に、ステップ58において、ユーザのうちの1つを選択する。ステップ58は繰返し実行され、また、ユーザは周期的に評価される。しかしながら、1周期における評価順序は重要でない。
【0045】
次に、ステップ60において、現在のユーザxを現在のクラスタからステップ56において選択されたクラスタへ仮に移動させ、ユーザの仮の新規クラスタリングを形成する。
【0046】
制御は決定ステップ62に進み、新規クラスタリングのグローバル相互情報量I(X;Y)が現在クラスタリングのそれより大きいか否かを判別する。ユーザxとcユーザからなるクラスタCとの距離は次のごとく定義する。
【数4】
【0047】
各ユーザxはクラスタCにマージされ、距離d(x,C)を最小化する。条件付アクセス確率p(y|C)は新しいメンバxの統計に従って修正される。距離d(x,C)の最小化はクラスタとデータ活動との相互情報量の最大化と等価である。
【0048】
決定ステップ62の判定が肯定的である場合、制御はステップ64に進む。現在ユーザxはステップ56において選択されたクラスタに滞り、また、ステップ60において確立した仮新規クラスタリングが確認される。
【0049】
決定ステップ62の判定が否定的である場合、制御はステップ66に進む。現在ユーザxを選択先のクラスタに戻し、また、ステップ60において確立した仮新規クラスタリングを拒絶する。
【0050】
いずれの場合でも、次に、制御はステップ68に進み、現在サイクルにおいて評価すべきユーザが残っているか否かを判別する。決定ステップ68における判定が肯定的である場合、制御はステップ58に戻る。
【0051】
決定ステップ68における判定が否定的である場合、制御は決定ステップ70に進み、最後のサイクルが相互情報量において何らかの改良をもたらしたか否かを判別する。
【0052】
決定ステップ70の判定が肯定的である場合、最適クラスタリングがまだ達成されていないことになる。ステップ72にて、ユーザリストはリセットされて現在サイクル集合の他のサイクルを開始する。制御はステップ56に戻り、また、初期ステップ54において確立した同一のランダム区分を用いて新クラスタを選択することによって新サイクルを開始する。
【0053】
決定ステップ70の判定が否定的である場合、制御はステップ74に進む。現在のサイクル集合において達成された最良のクラスタリングが記憶される。
【0054】
次に、制御は決定ステップ76に進み、終了基準に合致したか否かを判別する。終了基準は初期ステップ54の所定の繰返回数の完了とすることができる。あるいは、性能インジケータを終了基準とすることができる。
【0055】
決定ステップ76の判定が否定的である場合、制御は初期ステップ54に戻り、この方法が繰返されて新しい開始点を選択する。
【0056】
決定ステップ76の判定が肯定的である場合、制御は最終ステップ78に進む。ステップ74の繰返において記憶されたクラスタリングにおいて得られた最良の結果がユーザクラスタとデータクラスタとの相互情報量を最大とする最終クラスタリングとして報告される。
【0057】
[データ要素クラスタリング]
次に、本発明の実施の形態に従って要素クラスタリングを記憶する方法を示すフローチャートである図5を参照する。これはデータファイル木における兄弟要素によって表されるクラスタのマージに基づく集積的(agglomerative)方法である。図4を参照した上述のユーザクラスタリングが実行されたものと仮定する。初期段階で、ユーザアクセス事象として区別できない兄弟ディレクトリあるいは両親−子孫ディレクトリ間でのマージャが存在する。この段階で大きい(tractable)要素数に剪定された(pruned)ディレクトリ木となる次の段階で、現在剪定された木のすべての葉が観察され(visited)、また、2つの兄弟ディレクトリもしくは両親−子孫ディレクトリ間のマージャが存在し、ユーザクラスタとデータクラスタとの間の相互情報量減少が最小となるようにする。このプロセスは、終了基準が満足するまで、つまり、所定数のクラスタが得られるとき、もしくは現在の相互情報量が所定しきい値より小さくなるときまで繰返される。次に、この方法を詳述する。
【0058】
初期ステップ80はファイル木のディレクトリの横断(transversal)を開始する。クラスタリングを選択するに当り、両親−子孫ディレクトリ、兄弟ディレクトリ及びこれらのクラスタを考慮し、集合的に隣人(neighbors)と定義する。すべてのデータ要素を観察し、すべての互いの隣人を評価する限り、横断順序は重要でない。多くの未知の木横断アルゴリズムを用いることができる2つの隣人を選択する。
【0059】
次に、決定ステップ82に進み、ユーザアクセス事象の見地から本発明の相似の所定基準に従って現在の候補が識別不可能もしくはほとんど識別不可能か否かを判別する。
【0060】
決定ステップ82の判定が肯定的である場合、制御はステップ84に進む。候補はマージされて新規データクラスタを形成する。このデータクラスタは初期ステップ80の後の繰返において単一記憶要素もしくは隣人として取扱う。
【0061】
ステップ84を実行後、もしくは決定ステップ82の判別が否定的である場合、制御は決定ステップ86に進み、データファイル木の横断が完了したか否かを判別する。決定ステップ86の判別が肯定的である場合、制御は初期ステップ80に戻り繰返を開始する。
【0062】
決定ステップ86の判別が否定的である場合、この方法の1段階が終了し、剪定されたディレクトリ木となる。一般に、剪定されたディレクトリ木のディレクトリ及びそのクラスタは大きい(tractable)要素数を構成する。
【0063】
次に、ステップ88に進み、この方法のもう1つの段階を開始し、剪定されたディレクトリ木を再び横断し、候補をさらにマージして相互情報量I(X;Y)の減少が最小となるようにする。図4を参照した上述の方法から得られたユーザクラスタと現在剪定された木のデータクラスタとの間の相互情報量I(X;Y)を記憶する。
【0064】
次に、ステップ90において、2つの候補を選択する。上述のごとく、これらの候補は候補が兄弟、両親−子の関係を有する限り、クラスタ、ディレクトリもしくはこれらの組合せとすることができる。
【0065】
次に、ステップ92において、現在の候補を仮にマージしてユーザ及びデータ要素の新規クラスタリングを形成する。この仮の構造の相互情報量I’(X;Y)を決定する。
【0066】
次に、制御は決定ステップ94に進み、仮クラスタリングによって生じた相互情報量I’(X;Y)−I(X;Y)の減少が最良の前回の仮クラスタリングによって生じた相互情報量の減少より小さいか否かを判別する。決定ステップ94の最初の繰返では、この判別は常に肯定的である。
【0067】
決定ステップ94の判別が肯定的である場合、制御はステップ96に進む。現在の仮クラスタリングが記憶され、高い水位標(water mark)として設定される。このように、これは利用可能な最高の新規クラスタリングである。
【0068】
決定ステップ96を実行後あるいは決定ステップ94の判別が否定的である場合、制御はステップ98に進み、木に評価すべき候補が残っているか否かを判別する。決定ステップ98の判別が肯定的である場合、制御はステップ90に戻る。
【0069】
決定ステップ98の判別が否定的である場合、制御は決定ステップ100に進み、終了基準に合致したか否かを判別する。この終了基準は所定数の新規クラスタの確立とすることができる。あるいは、相互情報量の現在の最良の減少が所定のしきい値より小さくなったときに終了させることもできる。
【0070】
決定ステップ100の判別が否定的である場合、現在の最良クラスタリングの相互情報量を開始点として用いて上述の方法を繰返す。制御はステップ88に戻り、相互情報量I(X,Y)の新しい値を設定する。
【0071】
決定ステップ100の判別が肯定的である場合、制御は最終ステップ102に進む。ステップ96にて最後に記憶されたクラスタリングが最適データ要素クラスタリングとして報告される。
【0072】
クラスタリングアルゴリズムの最後に、ユーザ及びデータ記憶要素の両方は直和クラスタに配置される。階層的木構造はデータ記憶要素に維持され、他方、ユーザは、階層的構造を有することなく、ユーザ間に配置される。次に、組織のユーザ間におけるロバスト相似測度を抽出することができる。ユーザが同一クラスタに属すれば、ユーザは相似的に行動するといわれ、これはこれら2つのユーザはデータ記憶システムの相似的な部分をアクセスするということを示している。2つのディレクトリもしくは他の記憶要素が同一データクラスタに属していれば、これら2つのディレクトリもしくは記憶要素は相似と考えられる。
【0073】
[記憶アクセス制御]
図5を参照して上述した方法を用いて得られたクラスタリングを用いて不必要なアクセス許可を自動的に除去できる。たとえば、ユーザxが要素y(yに相似する要素も)を登録期間(enrollment period)にアクセスしていなければ、ユーザxが記憶要素yをアクセスする許可は除去される。予測は組織の相似メンバのアクセス特性に基づく。要素yに対する相似アクセス特性を有し、かつユーザxの同一クラスタに存在するユーザがだれも要素yもアクセスせず、また、要素yに相似する記憶要素にもアクセスしていなければ、近い将来も、ユーザxは要素yにアクセスしない、ということが確認できる。従って、組織データセキュリティのレベルを上昇させるために、要素yに関するユーザxに対してアクセス許可をキャンセルできる。ユーザの見直しは所定時間毎に繰返され、従って、アクセスポリシも更新される。
【0074】
[半自動クラスタリング]
上述のセクションでは、組織の実際の構造を反映するアクセス制御ポリシを規定するために、いかにしてユーザデータクラスタリングアプローチを用いるかについて記載した。記録されたデータ活動は唯一の情報源であり、この情報源は抽出されて最適なデータアクセス制御ポリシを規定できる。新規つまり更新されたデータアクセスポリシを提案するために、現在のユーザデータグループ構造及び現在のデータセキュリティポリシもまた考慮すべきである。組織について主な知識源は現在の(手動にて設定された)アクセス制御リスト32(図1)である。ACLは対の集合と見ることができる。ここで、各対はユーザグループによってアクセスできるユーザグループ及びデータ要素グループよりなる。たとえ現在のACLは多くの誤りを含んでいても、なお所望の制御ポリシと高度に相関していることが合理的に確証できる。以下に説明する手順は上述の非管理のクラスタリング手順を用いて現在のACL及び改良されたポリシを得ることができる。次に、記録されたユーザアクセスデータから学習された組織構造を用いて不必要なデータアクセス許可を除去できる。アルゴリズムは現在のACLに基づいており、次のごとく各ユーザデータグループに対して別個に動作する。まず、各ユーザに対して対によって定義されたデータ要素の1つに対するアクセスが記録されたか否かをチェックする。記録されていなければ、相似ユーザが登録期間(enrollment period)内にデータ要素をアクセスしたか否かをチェックする。ここで、相似は上述と同一の意味を有する。そのようなユーザがいなければ、特別のユーザが近い将来そのデータ要素にアクセスする必要はないといえる。また、これがデータグループにおいて現れるデータ要素の場合、アクセス制御対からユーザを除去する。以下に説明するごとく、プロセスの第2段階を適用してアクセス制御対からデータ要素を除去する。
【0075】
次に、本発明の開示された実施の形態に係る部分的に監督されたファイルアクセス制御方法を示すフローチャートである図6を参照する。この方法のステップは明確にするために図6に例示のシーケンスとして示されている。しかしながら、当業者においては、これらのステップが部分的に非同期に実行され、もしくは異なる順序で実行できることは明らかである。
【0076】
この方法は初期ステップ104にて開始する。図4、図5を参照して上述したバイクラスタリング方法が実行され適用される。
【0077】
次に、ステップ106において、アクセス制御ユニットがACLから選択される。このユニットはユーザグループ及びディレクトリグループよりなる対である。
【0078】
次に、ステップ108において、現在アクセス制御ユニットのユーザから1つのユーザを選択する。
【0079】
次に、ステップ110において、現在アクセス制御ユニットから1つのデータ要素を選択する。
【0080】
次に、制御は決定ステップ112に進み、現在ユーザは現在データ要素をアクセスしたことがあるか否かを判別する。
【0081】
決定ステップ112の判別が肯定的である場合、ACLの修正は現在ユーザについては必要ない。制御は以下に説明するステップ114に進む。
【0082】
決定ステップ112の判別が否定的である場合、(初期ステップ104で実行されたクラスタリング手続において)現在ユーザと相似であると判別されたユーザが評価される。制御はステップ116に進む。相似ユーザが選択される。
【0083】
次に、制御は決定ステップ118に進み、現在相似ユーザが現在データ要素をアクセスしたことがあるか否かを判別する。
【0084】
決定ステップ118の判別が肯定的である場合、現在ユーザと現在相似ユーザとのアクセス相似性に基づき、現在ユーザについてACLの修正はなされない。制御はステップ114に進む。
【0085】
決定ステップ118の判別が否定的である場合、決定ステップ120においてまだ考慮すべき相似ユーザが存在するか否かを判別する。
【0086】
決定ステップ120の判別が肯定的である場合、制御はステップ116に戻る。
【0087】
決定ステップ120の判別が否定的である場合、ステップ122において、現在ユーザが現在アクセス制御ユニットから取除かれる。
【0088】
次に、決定ステップ124において、現在アクセス制御ユニットに評価すべきユーザが残っているか否かを判別する。決定ステップ124の判別が肯定的である場合、制御はステップ108に戻る。
【0089】
決定ステップ124の判別が否定的である場合、評価すべきアクセス制御ユニットが残っているか否かを判別する。決定ステップ126の判別が肯定的である場合、制御はステップ106に戻り、新しい繰返しを開始する。
【0090】
決定ステップ126の判別が否定的である場合、制御は最終ステップ128に進む。次に、記憶アクセス制御は修正としてACLを導入することができる。
【0091】
上述のステップ114は現在アクセス制御ユニットの現在データ要素の状況に関するアルゴリズムの段階を開始する。この段階は現在ユーザも、この相似ユーザも現在データ要素にアクセスしていなかったときのみ実行される。以下のステップの目的は(初期ステップにおいて実行されたクラスタリング手続による)現在データ要素に相似すべきと考えられるデータ要素が現在のアクセス制御ユニットのいずれかのユーザによってアクセスされていたか否かを判別することにある。アクセスされていなければ、現在データ要素は現在アクセス制御ユニットから取除かれる。この動作が一旦達成されると、その後、現在ユーザグループのメンバは現在データ要素にアクセスできない。1つの相似データ要素が初期ステップ104において実行されたクラスタリングから選択される。
【0092】
次に、ステップ130において、再び、現在アクセス制御ユニットのユーザから1つのユーザを選択する。これは、現在アクセス制御ユニットのすべてのユーザをステップ130の繰返しによって評価対象にするためである。
【0093】
次に、制御は決定ステップ132に進み、現在ユーザは現在相似データ要素をアクセスしたことがあるか否かを判別する。決定ステップ112の判別が肯定的である場合、現在データ要素をそのアクセス制御ユニットから取除く必要はない。制御は以下に説明するステップ124に進む。
【0094】
決定ステップ132の判別が否定的である場合、決定ステップ134において、現在アクセス制御ユニットにユーザが残っているか否かを判別する。決定ステップ134の判別が肯定的である場合、制御はステップ130に戻る。
【0095】
決定ステップ134の判別が否定的である場合、決定ステップ136において、現在アクセス制御ユニットのユーザに対してテストすべき相似データ要素が残っているか否かを判別する。
【0096】
決定ステップ136の判別が肯定的である場合、制御はステップ114に戻る。
【0097】
決定ステップ136の判別が否定的である場合、現在アクセス制御ユニットのすべてのユーザが(ステップ110の最後の繰返しで選択された)現在データ要素に相似するすべてのデータ要素に対してアクセステストが実行されたか否かを判別する。アクセスは発見できない。ステップ137において、現在データ要素が現在アクセス制御ユニットから取除かれる。
【0098】
次に、制御は決定ステップ138に進み、現在アクセス制御ユニットにデータ要素が残っているか否かを判別する。決定ステップ138の判別が肯定的である場合、制御はステップ110に戻り、現在アクセス制御ユニットから異なるデータ要素を用いて新しい繰返しを開始する。
【0099】
決定ステップ138の判別が否定的である場合、制御は既に説明した決定ステップ124に進む。
【0100】
[提案ポリシの検証のための仮想コミット]
図1に戻ると、上述のクラスタリング手順はシステムの登録期間もしくは訓練期間に収集された記憶アクセスに適用される。これらの手順は、時にたとえば、下部組織における買収、合併の後に実行される。提案または仮新規もしくは更新されたアクセス制御ポリシは登録期間の後で発生するユーザ活動の見地から有効である。登録期間に収集されたデータを用いて設定前の仮ポリシの有効性を検証する。この機能はコミットモジュール30によって実行され、コミットモジュール30はユーザアクセス活動を記録し、仮ポリシの違反を検出する。ユーザ活動が仮ポリシに違反していなければ、仮ポリシは確定的記憶アクセス制御ポリシとして承認される。違反していれば、仮ポリシは拒否もしくは、さらなる評価もしくは改訂のために戻される。このように、コミットモジュール30は交差有効機構を提供し、提案された記憶アクセス制御ポリシの品質をその実現前にチェックする。
【0101】
[異常行動の追跡]
記録データに実行されるデータ解析の主な目的は異常行動の検出及び追跡である。コミットユニット30は記憶アクセス制御実行後に、この機能を実行するのに適している。ユーザが同一ユーザクラスタに属している他のユーザと不一致の行動をした場合に、異常行動が確認できる。
【0102】
当業者において、本発明は上述の特別なものに限定されるものではない。また、本発明の範囲は上述の特徴のコンビネーション及びサブコンビネーションを含むと共に、従来にないこれらの変更、修正は上述の説明を読んだ当業者に可能である。
【図面の簡単な説明】
【0103】
【図1】本発明の開示された実施の形態に係るデータアクセス制御ポリシが自動的に規定され管理されるデータ処理システムを示すブロック図である。
【図2】本発明の開示された実施の形態に係る図1のシステムのプローブエンジンを示すブロック図である。
【図3】本発明の開示された実施の形態に係る図1のシステムのプローブエンジンの変更例を示すブロック図である。
【図4】本発明の開示された実施の形態に係るユーザクラスタリング方法を示すフローチャートである。
【図5】本発明の開示された実施の形態に係る記憶要素クラスタリング方法を示すフローチャートである。
【図6A】本発明の開示された実施の形態に係る半自動ファイルアクセス制御方法を示すフローチャートである。
【図6B】本発明の開示された実施の形態に係る半自動ファイルアクセス制御方法を示すフローチャートである。
【符号の説明】
【0104】
10 システム
12 組織ファイルシステム
14 ユーザ
16 グラフィックユーザインターフェイス(GUI)アプリケーション
18 アプリケーションプログラムインターフェイス
20 解析エンジン
22 探査エンジン
24 データベース
26 データコレクタ
28 対話型管理インターフェイス
30 コミットモジュール
32 アクセス制御リスト
34 ファイルシステムフィルタ
36 カーネルモードフィルタドライバ
38 ローカルフィルタシステム
40 サービス
42 NASプローブ
44 NAS装置
46 通知
48 ユーザ
50 ログエントリ
52 ファイル応答
【技術分野】
【0001】
本発明はコンピュータセキュリティに関する。特に、本発明は多様なファイルアクセス制御モデルを有する組織におけるセキュリティポリシの自動生成及び管理に関する。
【背景技術】
【0002】
データセキュリティポリシは、典型的には、蓄積された組織のデータに様々なコンピュータシステム上で誰がアクセスしたかを究明する。これらのポリシは固定的ではありえない。組織内部のユーザ、例えば、従業員、パートナ、請負業者は、組織外部からの脅威と同じくらいシビアな脅威を与えることがあり得る。従って、組織の構造及び人員構成が変る際に、セキュリティポリシはそのときに応じて調整されなければならない。しかしながら、組織の極秘データを保護する一方で、情報技術(IT)部門は、ユーザアクセス権を管理し、必要とされる情報が都合よく得られることを確実に行なう有効な手段に欠けている。
【0003】
IT部門に利用可能な最新技術は、ユーザネーム、パスワード、バイオメトリクス、暗号化及びシングルサインオンへのアクセス制限を含むような技術の拡張の管理と共に、アクセス制御リストの点検及びメンテナンスを含む。そのような技術は、効率的でなく、しばしば不正確であり、構成及び人員が絶えず変化する大規模かつ複雑な組織においては、実用的ではない。
【0004】
特別なオペレーティングシステム及び操作環境を利用することで、企業はセキュリティ支援手段を入手することができる。これらは、しばしば役割ベースのアクセス制御を基礎としており、政府組織により過去数年間、相当の興味を持たれ、つい最近営利事業に受け入れられた技術を基礎としている。マルチユーザQSLデータベースにおける役割ベースのアクセス制御に対する代表的な提案は、非特許文献1に示される。
【非特許文献1】Sahadeb De et al., “Secure Access Control in a Multi-user Geodatabase”, URL “http://www10.giscafe.con”
【発明の開示】
【発明が解決しようとする課題】
【0005】
それにもかかわらず、アクセス制御技術は、多様なアクセス制御モデルを利用する企業において、最適に実施されてはいなかった。今日の最新技術の状態は、そのような環境下でシステム管理者が、誰が何にアクセスしているのかを簡単に知ることができないことにある。その結果、多くの組織において、受け入れ難いほど高い比率のユーザが、不正なアクセス権を有している。冗長なアクセス権及び組織を去った人員の持ち主のいないアカウントに関連する問題も完全には解決されていない。従って、データ機密保護を改善し、不正行為を防止し、会社の生産性を改善するために、ユーザファイルの承認を自動的に制御する方法が求められている。
【課題を解決するための手段】
【0006】
本発明の開示された実施例によれば、多様なアクセス制御モデル及びファイルサーバプロトコルを有するネットワーク化された組織において、データセキュリティポリシを自動的に作成し管理するための方法及びシステムが得られる。組織を構成するネットワーク内の記憶素子へのアクセスは、データアクセスの分類とユーザの分類とを同時に決定するために、継続的にモニタされ、解析される。実際の組織的構成は、これらのグループ分けから学び、ダイナミック・データ・アクセス制御ポリシの基礎となり、これは組織の経時的な変化に常に適合している。ファイルアクセス制御の対話型管理のための決定援助インターフェイスが提供される。また、異常なユーザの行動を検出及び追跡する施設が提供される。このように、組織はこれらのデータ及びアプリケーションをよりよくアクセス制御できる。
【0007】
いくつかの実施形態において、ユーザグルーピング、データアクセスグルーピング及び通常のアクセス制御リストを協調させて、これらのアクセス制御リストを変更させることによりファイルアクセス制御を半自動的に管理することによって技法を拡張する。
【0008】
本発明の教示を適用することによって展開するアクセスポリシは補助的利益、たとえば、サービス否認(denial-of-service)攻撃が生じた場合にリソース使用を制限する補助的利益を有する。
【0009】
本発明によれば、複数のユーザを有する組織における記憶要素を有するファイルシステムのデータ記憶アクセスを制御するための方法であって、前記記憶要素に対する前記ユーザのアクセスを記録し該記録されたアクセスから各アクセスプロファイルを導くステップと、前記ユーザ及び前記記憶要素をバイクラスタ(bicluster)してユーザクラスタ及びデータクラスタを規定するステップと、該バイクラスタステップに応答して前記ユーザによるアクセスの制御ポリシを規定するステップとを具備し、前記ユーザクラスタにおける前記ユーザの前記アクセス特性(profiles)が互いに相似しており、前記データクラスタにおける前記記憶要素が、互いに相似した前記アクセス特性を有する、前記複数ユーザの中のユーザによってのみアクセスされる方法が提供される。
【0010】
上記方法の一局面によれば、前記1つのデータクラスタにおける前記記憶要素の少なくとも1つの記憶要素が前記ユーザの1つのユーザによってアクセスされているときのみ、前記制御ポリシは、前記1つのユーザによる前記1つのデータクラスタの前記記憶要素のアクセスを可能とする。
【0011】
また、上記方法の一局面によれば、前記1つのデータクラスタにおける前記記憶要素の少なくとも1つの記憶要素が前記ユーザクラスタの少なくとも1つのユーザによってアクセスされているときのみ、前記制御ポリシは、前記ユーザクラスタのユーザによる前記1つのデータクラスタの前記記憶要素のアクセスを可能とする。
【0012】
さらに、上記方法の一局面によれば、前記バイクラスタステップに応答して前記ファイルシステムの構造を導くステップを具備する。
【0013】
さらに、上述の方法の一局面は、前記バイクラスタステップに応答して前記ファイルシステムの使用パターンを導くステップを具備する。
【0014】
上述の方法の一局面は、前記使用パターンの異常パターンを検出するステップを具備する。
【0015】
さらに、上述の方法の一局面において、前記バイクラスタステップは繰返して実行され、前記アクセス特性は該繰返し毎に再決定され、前記制御ポリシは前記各繰返し後に更新される。
【0016】
さらに、上述の方法の一局面において、前記制御ポリシを規定するステップは、前記制御ポリシの仮改訂を要求するステップと、前記ユーザによる前記記憶要素の後続アクセスを監視するステップと、前記後続アクセスが前記制御ポリシの前記仮改訂に従っていることを判別するステップと、前記判別ステップに応答して前記仮改訂を前記制御ポリシの確定版として認定するステップとを具備する。
【0017】
さらに、上述の方法の一局面は、前記制御ポリシを対話的に修正するステップを具備する。
【0018】
さらに、上述の方法の一局面において、前記制御ポリシを規定するステップは自動的かつ実質的に人を介さずに実行される。
【0019】
さらに、上述の方法の一局面は、前記ユーザの少なくとも1つのユーザ集合及び前記記憶要素の少なくとも1つのデータ集合を備えるアクセス制御リストを参照するステップと、前記各ユーザクラスタのメンバによる前記各データクラスタのメンバに対するアクセスの不存在を検出するステップと、該検出ステップに応答して前記ユーザ集合から少なくとも前記ユーザの一部を削除しかつ前記データ集合から少なくとも前記記憶要素の一部を削除するステップとを具備し、前記ユーザ集合の前記ユーザは前記ユーザクラスタのそれぞれに含まれ、前記データ集合の前記記憶要素は前記データクラスタのそれぞれに含まれている。
【0020】
本発明によれば、コンピュータプログラムが格納されたコンピュータ読出可能媒体を含有し、該コンピュータプログラムはコンピュータによって読込まれて該コンピュータに複数のユーザを有する組織における記憶要素を有するファイルシステムのデータ記憶アクセスを制御するための方法を実行させるコンピュータソフトウェア製品にあって、前記方法は、前記記憶要素に対する前記ユーザのアクセスを記録し該記録されたアクセスから各アクセスプロファイルを導くステップと、前記ユーザ及び前記記憶要素をバイクラスタ(bicluster)してユーザクラスタ及びデータクラスタを規定するステップと、該バイクラスタステップに応答して前記ユーザによるアクセスの制御ポリシを規定するステップとを具備し、前記ユーザクラスタにおける前記ユーザの前記アクセス特性(profiles)が互いに相似しており、前記データクラスタにおける前記記憶要素が、互いに相似した前記アクセス特性を有する、前記複数ユーザの中のユーザによってのみアクセスされるコンピュータソフトウェア製品が提供される。
【0021】
本発明によれば、複数のユーザを有する組織における記憶要素を有するファイルシステムのデータ記憶アクセスを制御するための装置であって、該装置は以下のステップを実行できるコンピュータシステムを具備し、該コンピュータシステムは、前記記憶要素に対する前記ユーザのアクセスを記録し該記録されたアクセスから各アクセスプロファイルを導くステップと、前記ユーザ及び前記記憶要素をバイクラスタ(bicluster)してユーザクラスタ及びデータクラスタを規定するステップと、該バイクラスタステップに応答して前記ユーザによるアクセスの制御ポリシを規定するステップとを実行するように動作し、前記ユーザクラスタにおける前記ユーザの前記アクセス特性(profiles)が互いに相似しており、前記データクラスタにおける前記記憶要素が、互いに相似した前記アクセス特性を有する、前記複数ユーザの中のユーザによってのみアクセスされる装置が提供される。
【発明を実施するための最良の形態】
【0022】
以下の説明においては、種々の具体的な詳細について説明して本発明の完全な理解を提供する。しかしながら、当業者にとっては、これらの具体的な詳細な説明なしでも本発明は実行できることが明らかである。他の例においては、周知の回路、制御論理、及び通常のアルゴリズム及び処理に対するコンピュータプログラム命令の詳細は本発明を不必要に曖昧にしないために示していない。
【0023】
本発明を具体化するソフトウェアプログラムコードは、たとえばコンピュータ読込可能媒体のような永久的記憶媒体に保持される。クライアントサーバ環境においては、このようなソフトウェアプログラムコードはクライアントもしくはサーバに格納される。ソフトウェアプログラムコードはデータ処理システムについて使用される種々の公知の媒体において具体化される。この媒体としては、ディスクドライブ、磁気テープ、コンパクトディスク(CD)、デジタルビデオディスク(DVD)のような磁気的及び光学的記憶装置があるが、これに限定されるものではない。コンピュータ命令信号は伝送媒体にこれらの信号が変調されている搬送波と共にもしくは搬送波なしで具体化されている。たとえば、伝送媒体としては、インターネットのような通信ネットワークを含むことができる。また、本発明はコンピュータソフトウェアにより具体化できるが、本発明を実行するのに必要な機能の一部もしくは全体は特定用途向集積回路もしくは他のハードウェアのようなハードウェア部品、もしくはハードウェア部品及びソフトウェアの組合せにより具体化することができる。
【0024】
[システム全体]
まず、図1はデータ処理システム10のブロック図である。図1を参照すると、データアクセスポリシは本発明の開示された実施の形態に従って自動的に規定され管理される。システム10は汎用コンピュータとしてあるいは1つのネットワークたとえばインターネットに接続された複数のコンピュータとして構成される。
【0025】
システム10によってアクセスできる組織全体のデータ記憶は組織ファイルシステム12によって表される。組織ファイルシステム12は1つもしくは複数の同一場所(colocated)の記憶ユニットを備えており、あるいは、当業者に周知のごとく、地理的に分散したデータ記憶システムでもよい。組織ファイルシステム12の個々の記憶ユニットは同一の能力を有している要件を必要としない。
【0026】
組織ファイルシステム12はグラフィックユーザインターフェイス(GUI)アプリケーション16を用いて複数のユーザ14によってアクセスできる。GUIアプリケーション16は応用プログラムインターフェイス(APU)18を介するシステム10以外の要素である。ユーザ14はたとえば組織のメンバであるが、顧客のような外部のメンバを含むことができる。グラフィックユーザインターフェイスアプリケーション16は管理システムのインターフェイスであり、これを介してユーザ14は解析エンジン20が決定した実際の使用解析の結果を受信できる。ある実施の形態においては、十分に権限が与えられたユーザたとえば管理部員は現在の状況を考慮することができ、また、システムによって勧告された変更を考慮することができる。このようなユーザは勧告された変更を受理もしくは拒絶する権限を有することができる。勧告された変更を選択する前に、権限を与えられたユーザはシステム上における勧告された変更の効果を考慮する能力を有する。次に、システム管理者は最も適切である許可セットを選択もしくは確認することができる。
【0027】
プローブエンジン22は組織ファイルシステム12からアクセス情報を前進方法(ongoing manner)で収集し、二重もしくは冗長情報単位をフィルタ(filter)し、その結果の情報ストリームをデータベース24に格納する。また、プローブエンジン22を用いて、組織の現在のファイルセキュリティポリシ、組織ファイルシステム12の現在の構造及びユーザ14についての情報を収集する。プローブエンジン22は種々の環境及びアーキテクチャにおいて実行できる。
【0028】
解析エンジン20は記憶アクセスを制御するシステム能力の心臓部に存在する専用モジュールである。解析エンジン20は組織セキュリティポリシを自動的に要求して改訂する。解析エンジン20の前縁にはデータコレクタ26があり、このデータコレクタ26は記憶アクセス動作をデータベース24に効率よく記録する。さらに解析エンジン20の出力は対話型管理インターフェイス28を用いて操作でき、この対話型管理インターフェイス28はシステム管理者に対して収集されたデータについて質問させるようにする。管理インターフェイス28を用いて管理者は必要であれば自動的に要求されたセキュリティポリシを修正でき、また、最終的に新しいもしくは改定されたポリシを活性化する。
【0029】
解析エンジン20に関係しているコミットモジュール30はその実行前に収集されたデータを用いて要求されたセキュリティポリシを検証する。コミットモジュール30はアクセス制御リスト(ACL)32を参照する。コミットモジュール30の動作を以下に詳述する。
【0030】
[プローブエンジン]
プローブエンジンは特別のオペレーティングシステム及び環境に合うように作られる。以下にその例を説明するが、これに限定されるものではない。
【0031】
[ウィン−プローブアーキテクチャ]
次に、本発明の開示された実施の形態に係るプローブエンジン22(図1)の一実施の形態を示すブロック図である図2を参照する。この実施の形態での用語ウィン−プローブ(Win-Probe)モジュールはマイクロソフトウィンドウズ(登録商標)プラットフォームのプローブとして作用する。オペレーティングシステムの責務は組織ファイルシステム12(図1)の部品であるローカルファイルシステムをレベル監視することである。たとえば、組織におけるすべてのウィンドウコンピュータを操作するウィン−プローブモジュールがある。このウィン−プローブモジュールは他のオペレーティングシステムに適合するプローブエンジンと並列に動作する。あるいは、複雑な組織は効果的な動作を確保するために複数のウィン−プローブモジュールを必要とすることができる。ウィン−プローブモジュールはファイルシステムフィルタ(SIDFILE)34を有し、ファイルシステムフィルタ34はカーネルモードフィルタドライバ36を用いてローカルファイルシステム38の動作を傍受し(intercept)傍受した動作に関するセキュリティ情報のログをとる。サービス(SIDFILE SERVICE)40はフィルタドライバ36と相互作用し新しいログエントリに登録する。ログエントリはサービス40によってフィルタされる。サービス40はフィルタされたログエントリから統計を編する責任を有し、さらなる処理のために生のログエントリ及びこれらの統計の両方をデータベース24(図1)に送る。フィルタ34はオペレーティングシステムに対して無処理(transparent)であり、そのオーバヘッドは入出力(I/O)動作及びログ当りのセキュリティ属性の減少に制限される。フィルタドライバ36とサービス40との間の通信は装置I/O制御のようなオペレーティングシステム機構及び予め定義された制御コードたとえば収集統計(collect statistics)を用いて達成される。
【0032】
[ネットワーク付記憶プローブアーキテクチャ]
次に、図1のプローブエンジン22の他の実施の形態を示すブロック図である図3を参照すると、本発明に開示された実施の形態に従ってネットワーク装置に適用されている。ネットワーク付記憶(NAS)プローブ42はNAS装置44からアクセスデータを収集する責任を有する。ある実施の形態においては、1つのNASプローブは組織全体に貢献する。あるいは、複数のNASプローブも備えることができる。プローブ42は専用たとえばベンダ特定のプロトコルを用いてNAS装置44に相互作用する。このプロトコルはNAS装置44に対してユーザ48から発生した要求ファイルアクセス動作上の通知をプローブ42に送る。プローブ42は現在支配するポリシに従って要求をNAS装置44によって満足させるかNAS装置44へのアクセスを拒絶する。ログエントリ50はプローブ42によってなされ、イネーブル要求を書類化し、このイネーブル要求はNAS装置44に送られ、そのオペレーティングシステムに従って通常の処理に供される。ある実施の形態においては、拒否された要求は単に廃棄される。あるいは、拒否された要求は異常なユーザ行為を追跡するのを助けるためにログに登録できる。いずれの場合も、ユーザ48はその要求に対する応答52を、アクセス拒否の形式もしくはNAS装置44によって要求された結果の指示の形式で、その要求に対する応答52を受信する。いずれの場合も、最小の性能の効果(impact)がある。NAS装置44はそれ自身所有のオペレーティングシステムを有するので、すべてのドライバ関連の問題たとえばシステム識別子(SID)、ユーザ識別子(UID)、及び要求ファイルアクセスの型の抽出はNAS装置44側で取扱われ、プローブ42によって単にログに登録されるだけである。
【0033】
[解析エンジン]
上述したように、解析エンジン20(図1)はシステム10の心臓部にある。プローブエンジン22によって報告された組織ファイルシステム12における各データ記憶要素に対応する組織の各メンバを含むユーザ14の実際のアクセスの統計を用いてユーザ及びデータ記憶要素の同時かつ自動のクラスタリングを実行する。バイクラスタリングは以下のように行われる。つまり、同一ユーザクラスタのメンバであるユーザが相似のデータアクセス特性を共有するように、また、同一データクラスタのメンバであるデータ記憶要素(ファイルもしくはディレクトリ)が大部分相似のアクセス特性を有するユーザによってアクセスされるように行われる。クラスタは組織構造のグローバル像を提供する。また、解析エンジン20はクラスタリングの結果からユーザにおける相似性の局所的尺度及び同一クラスタに属するデータ要素における相似性の局所的尺度を展開することができる。さらに、クラスタリングプロセスは組織メンバによる将来のデータ記憶アクセスを予測する。ユーザ14の1人があるファイルもしくは記憶要素をアクセスしておらず、かつ相似のユーザが相似のファイルをアクセスしていなければ、あるユーザは近い将来における対応記憶要素に対するアクセス権を必要としないことが、高い信頼性で確証できる。このように、解析エンジン20はIT管理者に明瞭なグローバル像の情報利用パターンを提供し、また、セキュリティポリシの最適化のための詳細な勧告を提供できる。同時に、管理者は異常なユーザの行為に警戒する。また、解析エンジン20はいかなる不審な活動の完全な裁判上の手がかりをも自動的に作成できる。この結果は劇的な能力であり、アクセス及びプライバシポリシに対するコンプライアンスを確保し、また、付加的な管理負担をIT人員に課すことなく適切な情報使用を確保する。
【0034】
[バイクラスタリングアルゴリズム]
以下のクラスタリングアルゴリズムを現在の環境に用いる。しかしながら、本発明は以下に説明する特定のアルゴリズムに限定されるものではない。当業者にとっては、他のクラスタリングアルゴリズムをプローブエンジン22(図1)によって得られたデータに適用して同等の結果を得ることができるのは明らかである。
【0035】
2つの離散的確率変数X及びYの結合分布をp(x,y)=p(X=x,Y=y)と表す。この場合、Xは組織におけるユーザ集合を表し、また、Yは組織のメンバによってアクセスされたファイルディレクトリ集合を表す。値p(x,y)は1登録フェイズ(enrollment phase)においてユーザxがデータ記憶要素に接近した規格化された回数を示す。本発明は、p(x,y)の近傍(contiguity)テーブルによって構成され収集されたデータに基づき、2つの集合の基本的に存在する構造及びこれらの相互関係を発見しようとするものである。より正確には、確率変数X及びYを相似要素の直和集合にクラスタするものである。確率変数のクラスタリングとはXの要素をX’で表される直和(disjoint)クラスタに区分することであり、同様に、YをY’による区分で示せる。
【0036】
クラスタの数を(システム構成パラメータの一部として)予め定義すると、ユーザクラスタとデータクラスタとの間の相互情報量I(X’, Y’)が最大となるようにクラスタリングX’, Y’を求める。言い換えると、システムは相互情報量基準をコスト関数として用い、種々のクラスタリング構造の品質を評価する。
【0037】
相互情報量は次のごとく定義される。
【数1】
【0038】
相互情報量は1つの確率変数が出現する不確からしさの程度を他の確率変数が観測されているときにカプセル化する。また、以下に用いる2つの関連する概念を定義する。P=(P(1),…,P(n)),Q=(Q(1),…,Q(n))を2つの離散的確率分布とする。確率分布P,Qの相対的エントロピー(カルバック−ライプラのダイバージンス)は、
【数2】
となる。
【0039】
混合係数cに係る確率分布P,Q間のジェンロン−シャノンダイバージンスは、
【数3】
となる。
【0040】
次のステップは相互情報量基準を用いて最適なクラスタリングを発見することである。ユーザ集合X及びデータ集合Yに対して異なる戦略を用いる。ユーザ集合Xの場合には、現在の構造は存在せず、従って、これを維持する必要がない。しかしながら、ある実施の形態において、組織のユーザ構造を保持することは好ましい。これに対し、データファイルシステムは木構造に基づく。木構造は木における近いディレクトリ間の動作上の相似を反映しているので、木構造を維持したい。従って、記憶要素クラスタリングは基本的に木を剪定することによって達成される。以下このプロセスをさらに詳細に説明する。
【0041】
[ユーザクラスタリング]
本発明の開示された実施の形態に係るユーザクラスタリング方法を示すフローチャートである。この方法はランダム解で開始し、次に、単調方法で結果を逐次改良していく。
【0042】
初期ステップ54において、開始点としてユーザのリストの所定数のクラスタへのランダム区分を選択する。この区分は以下に説明する現在のサイクル集合において用いられる。各ユーザxに対して、確率分布p(y/x)はユーザxのデータアクセス活動を表し、つまり、p(y/x)はユーザxがデータ要素yにアクセスした回数であって、登録期間(enrollment period)におけるxによって実行された全データ活動回数によって規格化されたものである。各ランダムに形成されたクラスタCに対してp(y|C)をクラスタCのメンバであるユーザに関連した条件付確率分布p(y|x)の平均として定義する。
【0043】
次に、ステップ56において、初期ステップ54において確立したクラスタのうち1つをランダムに選択する。
【0044】
次に、ステップ58において、ユーザのうちの1つを選択する。ステップ58は繰返し実行され、また、ユーザは周期的に評価される。しかしながら、1周期における評価順序は重要でない。
【0045】
次に、ステップ60において、現在のユーザxを現在のクラスタからステップ56において選択されたクラスタへ仮に移動させ、ユーザの仮の新規クラスタリングを形成する。
【0046】
制御は決定ステップ62に進み、新規クラスタリングのグローバル相互情報量I(X;Y)が現在クラスタリングのそれより大きいか否かを判別する。ユーザxとcユーザからなるクラスタCとの距離は次のごとく定義する。
【数4】
【0047】
各ユーザxはクラスタCにマージされ、距離d(x,C)を最小化する。条件付アクセス確率p(y|C)は新しいメンバxの統計に従って修正される。距離d(x,C)の最小化はクラスタとデータ活動との相互情報量の最大化と等価である。
【0048】
決定ステップ62の判定が肯定的である場合、制御はステップ64に進む。現在ユーザxはステップ56において選択されたクラスタに滞り、また、ステップ60において確立した仮新規クラスタリングが確認される。
【0049】
決定ステップ62の判定が否定的である場合、制御はステップ66に進む。現在ユーザxを選択先のクラスタに戻し、また、ステップ60において確立した仮新規クラスタリングを拒絶する。
【0050】
いずれの場合でも、次に、制御はステップ68に進み、現在サイクルにおいて評価すべきユーザが残っているか否かを判別する。決定ステップ68における判定が肯定的である場合、制御はステップ58に戻る。
【0051】
決定ステップ68における判定が否定的である場合、制御は決定ステップ70に進み、最後のサイクルが相互情報量において何らかの改良をもたらしたか否かを判別する。
【0052】
決定ステップ70の判定が肯定的である場合、最適クラスタリングがまだ達成されていないことになる。ステップ72にて、ユーザリストはリセットされて現在サイクル集合の他のサイクルを開始する。制御はステップ56に戻り、また、初期ステップ54において確立した同一のランダム区分を用いて新クラスタを選択することによって新サイクルを開始する。
【0053】
決定ステップ70の判定が否定的である場合、制御はステップ74に進む。現在のサイクル集合において達成された最良のクラスタリングが記憶される。
【0054】
次に、制御は決定ステップ76に進み、終了基準に合致したか否かを判別する。終了基準は初期ステップ54の所定の繰返回数の完了とすることができる。あるいは、性能インジケータを終了基準とすることができる。
【0055】
決定ステップ76の判定が否定的である場合、制御は初期ステップ54に戻り、この方法が繰返されて新しい開始点を選択する。
【0056】
決定ステップ76の判定が肯定的である場合、制御は最終ステップ78に進む。ステップ74の繰返において記憶されたクラスタリングにおいて得られた最良の結果がユーザクラスタとデータクラスタとの相互情報量を最大とする最終クラスタリングとして報告される。
【0057】
[データ要素クラスタリング]
次に、本発明の実施の形態に従って要素クラスタリングを記憶する方法を示すフローチャートである図5を参照する。これはデータファイル木における兄弟要素によって表されるクラスタのマージに基づく集積的(agglomerative)方法である。図4を参照した上述のユーザクラスタリングが実行されたものと仮定する。初期段階で、ユーザアクセス事象として区別できない兄弟ディレクトリあるいは両親−子孫ディレクトリ間でのマージャが存在する。この段階で大きい(tractable)要素数に剪定された(pruned)ディレクトリ木となる次の段階で、現在剪定された木のすべての葉が観察され(visited)、また、2つの兄弟ディレクトリもしくは両親−子孫ディレクトリ間のマージャが存在し、ユーザクラスタとデータクラスタとの間の相互情報量減少が最小となるようにする。このプロセスは、終了基準が満足するまで、つまり、所定数のクラスタが得られるとき、もしくは現在の相互情報量が所定しきい値より小さくなるときまで繰返される。次に、この方法を詳述する。
【0058】
初期ステップ80はファイル木のディレクトリの横断(transversal)を開始する。クラスタリングを選択するに当り、両親−子孫ディレクトリ、兄弟ディレクトリ及びこれらのクラスタを考慮し、集合的に隣人(neighbors)と定義する。すべてのデータ要素を観察し、すべての互いの隣人を評価する限り、横断順序は重要でない。多くの未知の木横断アルゴリズムを用いることができる2つの隣人を選択する。
【0059】
次に、決定ステップ82に進み、ユーザアクセス事象の見地から本発明の相似の所定基準に従って現在の候補が識別不可能もしくはほとんど識別不可能か否かを判別する。
【0060】
決定ステップ82の判定が肯定的である場合、制御はステップ84に進む。候補はマージされて新規データクラスタを形成する。このデータクラスタは初期ステップ80の後の繰返において単一記憶要素もしくは隣人として取扱う。
【0061】
ステップ84を実行後、もしくは決定ステップ82の判別が否定的である場合、制御は決定ステップ86に進み、データファイル木の横断が完了したか否かを判別する。決定ステップ86の判別が肯定的である場合、制御は初期ステップ80に戻り繰返を開始する。
【0062】
決定ステップ86の判別が否定的である場合、この方法の1段階が終了し、剪定されたディレクトリ木となる。一般に、剪定されたディレクトリ木のディレクトリ及びそのクラスタは大きい(tractable)要素数を構成する。
【0063】
次に、ステップ88に進み、この方法のもう1つの段階を開始し、剪定されたディレクトリ木を再び横断し、候補をさらにマージして相互情報量I(X;Y)の減少が最小となるようにする。図4を参照した上述の方法から得られたユーザクラスタと現在剪定された木のデータクラスタとの間の相互情報量I(X;Y)を記憶する。
【0064】
次に、ステップ90において、2つの候補を選択する。上述のごとく、これらの候補は候補が兄弟、両親−子の関係を有する限り、クラスタ、ディレクトリもしくはこれらの組合せとすることができる。
【0065】
次に、ステップ92において、現在の候補を仮にマージしてユーザ及びデータ要素の新規クラスタリングを形成する。この仮の構造の相互情報量I’(X;Y)を決定する。
【0066】
次に、制御は決定ステップ94に進み、仮クラスタリングによって生じた相互情報量I’(X;Y)−I(X;Y)の減少が最良の前回の仮クラスタリングによって生じた相互情報量の減少より小さいか否かを判別する。決定ステップ94の最初の繰返では、この判別は常に肯定的である。
【0067】
決定ステップ94の判別が肯定的である場合、制御はステップ96に進む。現在の仮クラスタリングが記憶され、高い水位標(water mark)として設定される。このように、これは利用可能な最高の新規クラスタリングである。
【0068】
決定ステップ96を実行後あるいは決定ステップ94の判別が否定的である場合、制御はステップ98に進み、木に評価すべき候補が残っているか否かを判別する。決定ステップ98の判別が肯定的である場合、制御はステップ90に戻る。
【0069】
決定ステップ98の判別が否定的である場合、制御は決定ステップ100に進み、終了基準に合致したか否かを判別する。この終了基準は所定数の新規クラスタの確立とすることができる。あるいは、相互情報量の現在の最良の減少が所定のしきい値より小さくなったときに終了させることもできる。
【0070】
決定ステップ100の判別が否定的である場合、現在の最良クラスタリングの相互情報量を開始点として用いて上述の方法を繰返す。制御はステップ88に戻り、相互情報量I(X,Y)の新しい値を設定する。
【0071】
決定ステップ100の判別が肯定的である場合、制御は最終ステップ102に進む。ステップ96にて最後に記憶されたクラスタリングが最適データ要素クラスタリングとして報告される。
【0072】
クラスタリングアルゴリズムの最後に、ユーザ及びデータ記憶要素の両方は直和クラスタに配置される。階層的木構造はデータ記憶要素に維持され、他方、ユーザは、階層的構造を有することなく、ユーザ間に配置される。次に、組織のユーザ間におけるロバスト相似測度を抽出することができる。ユーザが同一クラスタに属すれば、ユーザは相似的に行動するといわれ、これはこれら2つのユーザはデータ記憶システムの相似的な部分をアクセスするということを示している。2つのディレクトリもしくは他の記憶要素が同一データクラスタに属していれば、これら2つのディレクトリもしくは記憶要素は相似と考えられる。
【0073】
[記憶アクセス制御]
図5を参照して上述した方法を用いて得られたクラスタリングを用いて不必要なアクセス許可を自動的に除去できる。たとえば、ユーザxが要素y(yに相似する要素も)を登録期間(enrollment period)にアクセスしていなければ、ユーザxが記憶要素yをアクセスする許可は除去される。予測は組織の相似メンバのアクセス特性に基づく。要素yに対する相似アクセス特性を有し、かつユーザxの同一クラスタに存在するユーザがだれも要素yもアクセスせず、また、要素yに相似する記憶要素にもアクセスしていなければ、近い将来も、ユーザxは要素yにアクセスしない、ということが確認できる。従って、組織データセキュリティのレベルを上昇させるために、要素yに関するユーザxに対してアクセス許可をキャンセルできる。ユーザの見直しは所定時間毎に繰返され、従って、アクセスポリシも更新される。
【0074】
[半自動クラスタリング]
上述のセクションでは、組織の実際の構造を反映するアクセス制御ポリシを規定するために、いかにしてユーザデータクラスタリングアプローチを用いるかについて記載した。記録されたデータ活動は唯一の情報源であり、この情報源は抽出されて最適なデータアクセス制御ポリシを規定できる。新規つまり更新されたデータアクセスポリシを提案するために、現在のユーザデータグループ構造及び現在のデータセキュリティポリシもまた考慮すべきである。組織について主な知識源は現在の(手動にて設定された)アクセス制御リスト32(図1)である。ACLは対の集合と見ることができる。ここで、各対はユーザグループによってアクセスできるユーザグループ及びデータ要素グループよりなる。たとえ現在のACLは多くの誤りを含んでいても、なお所望の制御ポリシと高度に相関していることが合理的に確証できる。以下に説明する手順は上述の非管理のクラスタリング手順を用いて現在のACL及び改良されたポリシを得ることができる。次に、記録されたユーザアクセスデータから学習された組織構造を用いて不必要なデータアクセス許可を除去できる。アルゴリズムは現在のACLに基づいており、次のごとく各ユーザデータグループに対して別個に動作する。まず、各ユーザに対して対によって定義されたデータ要素の1つに対するアクセスが記録されたか否かをチェックする。記録されていなければ、相似ユーザが登録期間(enrollment period)内にデータ要素をアクセスしたか否かをチェックする。ここで、相似は上述と同一の意味を有する。そのようなユーザがいなければ、特別のユーザが近い将来そのデータ要素にアクセスする必要はないといえる。また、これがデータグループにおいて現れるデータ要素の場合、アクセス制御対からユーザを除去する。以下に説明するごとく、プロセスの第2段階を適用してアクセス制御対からデータ要素を除去する。
【0075】
次に、本発明の開示された実施の形態に係る部分的に監督されたファイルアクセス制御方法を示すフローチャートである図6を参照する。この方法のステップは明確にするために図6に例示のシーケンスとして示されている。しかしながら、当業者においては、これらのステップが部分的に非同期に実行され、もしくは異なる順序で実行できることは明らかである。
【0076】
この方法は初期ステップ104にて開始する。図4、図5を参照して上述したバイクラスタリング方法が実行され適用される。
【0077】
次に、ステップ106において、アクセス制御ユニットがACLから選択される。このユニットはユーザグループ及びディレクトリグループよりなる対である。
【0078】
次に、ステップ108において、現在アクセス制御ユニットのユーザから1つのユーザを選択する。
【0079】
次に、ステップ110において、現在アクセス制御ユニットから1つのデータ要素を選択する。
【0080】
次に、制御は決定ステップ112に進み、現在ユーザは現在データ要素をアクセスしたことがあるか否かを判別する。
【0081】
決定ステップ112の判別が肯定的である場合、ACLの修正は現在ユーザについては必要ない。制御は以下に説明するステップ114に進む。
【0082】
決定ステップ112の判別が否定的である場合、(初期ステップ104で実行されたクラスタリング手続において)現在ユーザと相似であると判別されたユーザが評価される。制御はステップ116に進む。相似ユーザが選択される。
【0083】
次に、制御は決定ステップ118に進み、現在相似ユーザが現在データ要素をアクセスしたことがあるか否かを判別する。
【0084】
決定ステップ118の判別が肯定的である場合、現在ユーザと現在相似ユーザとのアクセス相似性に基づき、現在ユーザについてACLの修正はなされない。制御はステップ114に進む。
【0085】
決定ステップ118の判別が否定的である場合、決定ステップ120においてまだ考慮すべき相似ユーザが存在するか否かを判別する。
【0086】
決定ステップ120の判別が肯定的である場合、制御はステップ116に戻る。
【0087】
決定ステップ120の判別が否定的である場合、ステップ122において、現在ユーザが現在アクセス制御ユニットから取除かれる。
【0088】
次に、決定ステップ124において、現在アクセス制御ユニットに評価すべきユーザが残っているか否かを判別する。決定ステップ124の判別が肯定的である場合、制御はステップ108に戻る。
【0089】
決定ステップ124の判別が否定的である場合、評価すべきアクセス制御ユニットが残っているか否かを判別する。決定ステップ126の判別が肯定的である場合、制御はステップ106に戻り、新しい繰返しを開始する。
【0090】
決定ステップ126の判別が否定的である場合、制御は最終ステップ128に進む。次に、記憶アクセス制御は修正としてACLを導入することができる。
【0091】
上述のステップ114は現在アクセス制御ユニットの現在データ要素の状況に関するアルゴリズムの段階を開始する。この段階は現在ユーザも、この相似ユーザも現在データ要素にアクセスしていなかったときのみ実行される。以下のステップの目的は(初期ステップにおいて実行されたクラスタリング手続による)現在データ要素に相似すべきと考えられるデータ要素が現在のアクセス制御ユニットのいずれかのユーザによってアクセスされていたか否かを判別することにある。アクセスされていなければ、現在データ要素は現在アクセス制御ユニットから取除かれる。この動作が一旦達成されると、その後、現在ユーザグループのメンバは現在データ要素にアクセスできない。1つの相似データ要素が初期ステップ104において実行されたクラスタリングから選択される。
【0092】
次に、ステップ130において、再び、現在アクセス制御ユニットのユーザから1つのユーザを選択する。これは、現在アクセス制御ユニットのすべてのユーザをステップ130の繰返しによって評価対象にするためである。
【0093】
次に、制御は決定ステップ132に進み、現在ユーザは現在相似データ要素をアクセスしたことがあるか否かを判別する。決定ステップ112の判別が肯定的である場合、現在データ要素をそのアクセス制御ユニットから取除く必要はない。制御は以下に説明するステップ124に進む。
【0094】
決定ステップ132の判別が否定的である場合、決定ステップ134において、現在アクセス制御ユニットにユーザが残っているか否かを判別する。決定ステップ134の判別が肯定的である場合、制御はステップ130に戻る。
【0095】
決定ステップ134の判別が否定的である場合、決定ステップ136において、現在アクセス制御ユニットのユーザに対してテストすべき相似データ要素が残っているか否かを判別する。
【0096】
決定ステップ136の判別が肯定的である場合、制御はステップ114に戻る。
【0097】
決定ステップ136の判別が否定的である場合、現在アクセス制御ユニットのすべてのユーザが(ステップ110の最後の繰返しで選択された)現在データ要素に相似するすべてのデータ要素に対してアクセステストが実行されたか否かを判別する。アクセスは発見できない。ステップ137において、現在データ要素が現在アクセス制御ユニットから取除かれる。
【0098】
次に、制御は決定ステップ138に進み、現在アクセス制御ユニットにデータ要素が残っているか否かを判別する。決定ステップ138の判別が肯定的である場合、制御はステップ110に戻り、現在アクセス制御ユニットから異なるデータ要素を用いて新しい繰返しを開始する。
【0099】
決定ステップ138の判別が否定的である場合、制御は既に説明した決定ステップ124に進む。
【0100】
[提案ポリシの検証のための仮想コミット]
図1に戻ると、上述のクラスタリング手順はシステムの登録期間もしくは訓練期間に収集された記憶アクセスに適用される。これらの手順は、時にたとえば、下部組織における買収、合併の後に実行される。提案または仮新規もしくは更新されたアクセス制御ポリシは登録期間の後で発生するユーザ活動の見地から有効である。登録期間に収集されたデータを用いて設定前の仮ポリシの有効性を検証する。この機能はコミットモジュール30によって実行され、コミットモジュール30はユーザアクセス活動を記録し、仮ポリシの違反を検出する。ユーザ活動が仮ポリシに違反していなければ、仮ポリシは確定的記憶アクセス制御ポリシとして承認される。違反していれば、仮ポリシは拒否もしくは、さらなる評価もしくは改訂のために戻される。このように、コミットモジュール30は交差有効機構を提供し、提案された記憶アクセス制御ポリシの品質をその実現前にチェックする。
【0101】
[異常行動の追跡]
記録データに実行されるデータ解析の主な目的は異常行動の検出及び追跡である。コミットユニット30は記憶アクセス制御実行後に、この機能を実行するのに適している。ユーザが同一ユーザクラスタに属している他のユーザと不一致の行動をした場合に、異常行動が確認できる。
【0102】
当業者において、本発明は上述の特別なものに限定されるものではない。また、本発明の範囲は上述の特徴のコンビネーション及びサブコンビネーションを含むと共に、従来にないこれらの変更、修正は上述の説明を読んだ当業者に可能である。
【図面の簡単な説明】
【0103】
【図1】本発明の開示された実施の形態に係るデータアクセス制御ポリシが自動的に規定され管理されるデータ処理システムを示すブロック図である。
【図2】本発明の開示された実施の形態に係る図1のシステムのプローブエンジンを示すブロック図である。
【図3】本発明の開示された実施の形態に係る図1のシステムのプローブエンジンの変更例を示すブロック図である。
【図4】本発明の開示された実施の形態に係るユーザクラスタリング方法を示すフローチャートである。
【図5】本発明の開示された実施の形態に係る記憶要素クラスタリング方法を示すフローチャートである。
【図6A】本発明の開示された実施の形態に係る半自動ファイルアクセス制御方法を示すフローチャートである。
【図6B】本発明の開示された実施の形態に係る半自動ファイルアクセス制御方法を示すフローチャートである。
【符号の説明】
【0104】
10 システム
12 組織ファイルシステム
14 ユーザ
16 グラフィックユーザインターフェイス(GUI)アプリケーション
18 アプリケーションプログラムインターフェイス
20 解析エンジン
22 探査エンジン
24 データベース
26 データコレクタ
28 対話型管理インターフェイス
30 コミットモジュール
32 アクセス制御リスト
34 ファイルシステムフィルタ
36 カーネルモードフィルタドライバ
38 ローカルフィルタシステム
40 サービス
42 NASプローブ
44 NAS装置
46 通知
48 ユーザ
50 ログエントリ
52 ファイル応答
【特許請求の範囲】
【請求項1】
複数のユーザを有する組織における記憶要素を有するファイルシステムのデータ記憶アクセスを制御するための方法であって、
前記記憶要素に対する前記ユーザのアクセスを記録し該記録されたアクセスから各アクセスプロファイルを導くステップと、
前記ユーザ及び前記記憶要素をバイクラスタ(bicluster)してユーザクラスタ及びデータクラスタを規定するステップと、
該バイクラスタステップに応答して前記ユーザによるアクセスの制御ポリシを規定するステップと
を具備し、
前記ユーザクラスタにおける前記ユーザの前記アクセス特性(profiles)が互いに相似しており、前記データクラスタにおける前記記憶要素が、互いに相似した前記アクセス特性を有する、前記複数ユーザの中のユーザによってのみアクセスされる方法。
【請求項2】
前記1つのデータクラスタにおける前記記憶要素の少なくとも1つの記憶要素が前記ユーザの1つのユーザによってアクセスされているときのみ、前記制御ポリシは、前記1つのユーザによる前記1つのデータクラスタの前記記憶要素のアクセスを可能とする請求項1に記載の方法。
【請求項3】
前記1つのデータクラスタにおける前記記憶要素の少なくとも1つの記憶要素が前記ユーザクラスタの少なくとも1つのユーザによってアクセスされているときのみ、前記制御ポリシは、前記ユーザクラスタのユーザによる前記1つのデータクラスタの前記記憶要素のアクセスを可能とする請求項1に記載の方法。
【請求項4】
さらに、
前記バイクラスタステップに応答して前記ファイルシステムの構造を導くステップを具備する請求項1に記載の方法。
【請求項5】
さらに、
前記バイクラスタステップに応答して前記ファイルシステムの使用パターンを導くステップを具備する請求項1に記載の方法。
【請求項6】
さらに、
前記使用パターンの異常パターンを検出するステップを具備する請求項5に記載の方法。
【請求項7】
前記バイクラスタステップは繰返して実行され、前記アクセス特性は該繰返し毎に再決定され、前記制御ポリシは前記各繰返し後に更新される請求項1に記載の方法。
【請求項8】
前記制御ポリシを規定するステップは、
前記制御ポリシの仮改訂を要求するステップと、
前記ユーザによる前記記憶要素の後続アクセスを監視するステップと、
前記後続アクセスが前記制御ポリシの前記仮改訂に従っていることを判別するステップと、
前記判別ステップに応答して前記仮改訂を前記制御ポリシの確定版として認定するステップと
を具備する請求項1に記載の方法。
【請求項9】
さらに、
前記制御ポリシを対話的に修正するステップを具備する請求項1に記載の方法。
【請求項10】
前記制御ポリシを規定するステップは自動的かつ実質的に人を介さずに実行される請求項1から10のいずれか一項に記載の方法。
【請求項11】
さらに、
前記ユーザの少なくとも1つのユーザ集合及び前記記憶要素の少なくとも1つのデータ集合を備えるアクセス制御リストを参照するステップと、
前記各ユーザクラスタのメンバによる前記各データクラスタのメンバに対するアクセスの不存在を検出するステップと、
該検出ステップに応答して前記ユーザ集合から少なくとも前記ユーザの一部を削除しかつ前記データ集合から少なくとも前記記憶要素の一部を削除するステップと
を具備し、
前記ユーザ集合の前記ユーザは前記ユーザクラスタのそれぞれに含まれ、前記データ集合の前記記憶要素は前記データクラスタのそれぞれに含まれている請求項1から10のいずれか一項に記載の方法。
【請求項12】
コンピュータプログラムが格納されたコンピュータ読出可能媒体を含有し、該コンピュータプログラムはコンピュータによって読込まれて該コンピュータに複数のユーザを有する組織における記憶要素を有するファイルシステムのデータ記憶アクセスを制御するための方法を実行させるコンピュータソフトウェア製品にあって、
前記方法は、
前記記憶要素に対する前記ユーザのアクセスを記録し該記録されたアクセスから各アクセスプロファイルを導くステップと、
前記ユーザ及び前記記憶要素をバイクラスタ(bicluster)してユーザクラスタ及びデータクラスタを規定するステップと、
該バイクラスタステップに応答して前記ユーザによるアクセスの制御ポリシを規定するステップと
を具備し、
前記ユーザクラスタにおける前記ユーザの前記アクセス特性(profiles)が互いに相似しており、前記データクラスタにおける前記記憶要素が、互いに相似した前記アクセス特性を有する、前記複数のユーザの中のユーザによってのみアクセスされるコンピュータソフトウェア製品。
【請求項13】
前記1つのデータクラスタにおける前記記憶要素の少なくとも1つの記憶要素が前記ユーザの1つのユーザによってアクセスされているときのみ、前記制御ポリシは、前記1つのユーザによる前記1つのデータクラスタの前記記憶要素のアクセスを可能とする請求項12に記載のコンピュータソフトウェア製品。
【請求項14】
前記1つのデータクラスタにおける前記記憶要素の少なくとも1つの記憶要素が前記ユーザクラスタの少なくとも1つのユーザによってアクセスされているときのみ、前記制御ポリシは、前記ユーザクラスタのユーザによる前記1つのデータクラスタの前記記憶要素のアクセスを可能とする請求項12に記載のコンピュータソフトウェア製品。
【請求項15】
前記バイクラスタステップは繰返して実行され、前記アクセス特性は該繰返し毎に再決定され、前記制御ポリシは前記各繰返し後に更新される請求項12に記載のコンピュータソフトウェア製品。
【請求項16】
前記制御ポリシを規定するステップは、
前記制御ポリシの仮改訂を要求するステップと、
前記ユーザによる前記記憶要素の後続アクセスを監視するステップと、
前記後続アクセスが前記制御ポリシの前記仮改訂に従っていることを判別するステップと、
前記判別ステップに応答して前記仮改訂を前記制御ポリシの確定版として認定するステップと
を具備する請求項12に記載のコンピュータソフトウェア製品。
【請求項17】
さらに、
前記ユーザの少なくとも1つのユーザ集合及び前記記憶要素の少なくとも1つのデータ集合を備えるアクセス制御リストを参照するステップと、
前記各ユーザクラスタのメンバによる前記各データクラスタのメンバに対するアクセスの不存在を検出するステップと、
該検出ステップに応答して前記ユーザ集合から少なくとも前記ユーザの一部を削除しかつ前記データ集合から少なくとも前記記憶要素の一部を削除するステップと
を具備し、
前記ユーザ集合の前記ユーザは前記ユーザクラスタのそれぞれに含まれ、前記データ集合の前記記憶要素は前記データクラスタのそれぞれに含まれている請求項12から16のいずれか一項に記載のコンピュータソフトウェア製品。
【請求項18】
複数のユーザを有する組織における記憶要素を有するファイルシステムのデータ記憶アクセスを制御するための装置であって、該装置は以下のステップを実行できるコンピュータシステムを具備し、該コンピュータシステムは、
前記記憶要素に対する前記ユーザのアクセスを記録し該記録されたアクセスから各アクセスプロファイルを導くステップと、
前記ユーザ及び前記記憶要素をバイクラスタ(bicluster)してユーザクラスタ及びデータクラスタを規定するステップと、
該バイクラスタステップに応答して前記ユーザによるアクセスの制御ポリシを規定するステップと
を実行するように動作し、
前記ユーザクラスタにおける前記ユーザの前記アクセス特性(profiles)が互いに相似しており、前記データクラスタにおける前記記憶要素が、互いに相似した前記アクセス特性を有する、前記複数ユーザの中のユーザによってのみアクセスされる装置。
【請求項19】
前記1つのデータクラスタにおける前記記憶要素の少なくとも1つの記憶要素が前記ユーザの1つのユーザによってアクセスされているときのみ、前記制御ポリシは、前記1つのユーザによる前記1つのデータクラスタの前記記憶要素のアクセスを可能とする請求項18に記載の装置。
【請求項20】
前記1つのデータクラスタにおける前記記憶要素の少なくとも1つの記憶要素が前記ユーザクラスタの少なくとも1つのユーザによってアクセスされているときのみ、前記制御ポリシは、前記ユーザクラスタのユーザによる前記1つのデータクラスタの前記記憶要素のアクセスを可能とする請求項18に記載の装置。
【請求項21】
前記制御ポリシを規定するステップは、
前記制御ポリシの仮改訂を要求するステップと、
前記ユーザによる前記記憶要素の後続アクセスを監視するステップと、
前記後続アクセスが前記制御ポリシの前記仮改訂に従っていることを判別するステップと、
前記判別ステップに応答して前記仮改訂を前記制御ポリシの確定版として認定するステップと
を具備する請求項18に記載の装置。
【請求項22】
さらに、
前記ユーザの少なくとも1つのユーザ集合及び前記記憶要素の少なくとも1つのデータ集合を備えるアクセス制御リストを参照するステップと、
前記各ユーザクラスタのメンバによる前記各データクラスタのメンバに対するアクセスの不存在を検出するステップと、
該検出ステップに応答して前記ユーザ集合から少なくとも前記ユーザの一部を削除しかつ前記データ集合から少なくとも前記記憶要素の一部を削除するステップと
を具備し、
前記ユーザ集合の前記ユーザは前記ユーザクラスタのそれぞれに含まれ、前記データ集合の前記記憶要素は前記データクラスタのそれぞれに含まれている請求項18から20のいずれか一項に記載の装置。
【請求項1】
複数のユーザを有する組織における記憶要素を有するファイルシステムのデータ記憶アクセスを制御するための方法であって、
前記記憶要素に対する前記ユーザのアクセスを記録し該記録されたアクセスから各アクセスプロファイルを導くステップと、
前記ユーザ及び前記記憶要素をバイクラスタ(bicluster)してユーザクラスタ及びデータクラスタを規定するステップと、
該バイクラスタステップに応答して前記ユーザによるアクセスの制御ポリシを規定するステップと
を具備し、
前記ユーザクラスタにおける前記ユーザの前記アクセス特性(profiles)が互いに相似しており、前記データクラスタにおける前記記憶要素が、互いに相似した前記アクセス特性を有する、前記複数ユーザの中のユーザによってのみアクセスされる方法。
【請求項2】
前記1つのデータクラスタにおける前記記憶要素の少なくとも1つの記憶要素が前記ユーザの1つのユーザによってアクセスされているときのみ、前記制御ポリシは、前記1つのユーザによる前記1つのデータクラスタの前記記憶要素のアクセスを可能とする請求項1に記載の方法。
【請求項3】
前記1つのデータクラスタにおける前記記憶要素の少なくとも1つの記憶要素が前記ユーザクラスタの少なくとも1つのユーザによってアクセスされているときのみ、前記制御ポリシは、前記ユーザクラスタのユーザによる前記1つのデータクラスタの前記記憶要素のアクセスを可能とする請求項1に記載の方法。
【請求項4】
さらに、
前記バイクラスタステップに応答して前記ファイルシステムの構造を導くステップを具備する請求項1に記載の方法。
【請求項5】
さらに、
前記バイクラスタステップに応答して前記ファイルシステムの使用パターンを導くステップを具備する請求項1に記載の方法。
【請求項6】
さらに、
前記使用パターンの異常パターンを検出するステップを具備する請求項5に記載の方法。
【請求項7】
前記バイクラスタステップは繰返して実行され、前記アクセス特性は該繰返し毎に再決定され、前記制御ポリシは前記各繰返し後に更新される請求項1に記載の方法。
【請求項8】
前記制御ポリシを規定するステップは、
前記制御ポリシの仮改訂を要求するステップと、
前記ユーザによる前記記憶要素の後続アクセスを監視するステップと、
前記後続アクセスが前記制御ポリシの前記仮改訂に従っていることを判別するステップと、
前記判別ステップに応答して前記仮改訂を前記制御ポリシの確定版として認定するステップと
を具備する請求項1に記載の方法。
【請求項9】
さらに、
前記制御ポリシを対話的に修正するステップを具備する請求項1に記載の方法。
【請求項10】
前記制御ポリシを規定するステップは自動的かつ実質的に人を介さずに実行される請求項1から10のいずれか一項に記載の方法。
【請求項11】
さらに、
前記ユーザの少なくとも1つのユーザ集合及び前記記憶要素の少なくとも1つのデータ集合を備えるアクセス制御リストを参照するステップと、
前記各ユーザクラスタのメンバによる前記各データクラスタのメンバに対するアクセスの不存在を検出するステップと、
該検出ステップに応答して前記ユーザ集合から少なくとも前記ユーザの一部を削除しかつ前記データ集合から少なくとも前記記憶要素の一部を削除するステップと
を具備し、
前記ユーザ集合の前記ユーザは前記ユーザクラスタのそれぞれに含まれ、前記データ集合の前記記憶要素は前記データクラスタのそれぞれに含まれている請求項1から10のいずれか一項に記載の方法。
【請求項12】
コンピュータプログラムが格納されたコンピュータ読出可能媒体を含有し、該コンピュータプログラムはコンピュータによって読込まれて該コンピュータに複数のユーザを有する組織における記憶要素を有するファイルシステムのデータ記憶アクセスを制御するための方法を実行させるコンピュータソフトウェア製品にあって、
前記方法は、
前記記憶要素に対する前記ユーザのアクセスを記録し該記録されたアクセスから各アクセスプロファイルを導くステップと、
前記ユーザ及び前記記憶要素をバイクラスタ(bicluster)してユーザクラスタ及びデータクラスタを規定するステップと、
該バイクラスタステップに応答して前記ユーザによるアクセスの制御ポリシを規定するステップと
を具備し、
前記ユーザクラスタにおける前記ユーザの前記アクセス特性(profiles)が互いに相似しており、前記データクラスタにおける前記記憶要素が、互いに相似した前記アクセス特性を有する、前記複数のユーザの中のユーザによってのみアクセスされるコンピュータソフトウェア製品。
【請求項13】
前記1つのデータクラスタにおける前記記憶要素の少なくとも1つの記憶要素が前記ユーザの1つのユーザによってアクセスされているときのみ、前記制御ポリシは、前記1つのユーザによる前記1つのデータクラスタの前記記憶要素のアクセスを可能とする請求項12に記載のコンピュータソフトウェア製品。
【請求項14】
前記1つのデータクラスタにおける前記記憶要素の少なくとも1つの記憶要素が前記ユーザクラスタの少なくとも1つのユーザによってアクセスされているときのみ、前記制御ポリシは、前記ユーザクラスタのユーザによる前記1つのデータクラスタの前記記憶要素のアクセスを可能とする請求項12に記載のコンピュータソフトウェア製品。
【請求項15】
前記バイクラスタステップは繰返して実行され、前記アクセス特性は該繰返し毎に再決定され、前記制御ポリシは前記各繰返し後に更新される請求項12に記載のコンピュータソフトウェア製品。
【請求項16】
前記制御ポリシを規定するステップは、
前記制御ポリシの仮改訂を要求するステップと、
前記ユーザによる前記記憶要素の後続アクセスを監視するステップと、
前記後続アクセスが前記制御ポリシの前記仮改訂に従っていることを判別するステップと、
前記判別ステップに応答して前記仮改訂を前記制御ポリシの確定版として認定するステップと
を具備する請求項12に記載のコンピュータソフトウェア製品。
【請求項17】
さらに、
前記ユーザの少なくとも1つのユーザ集合及び前記記憶要素の少なくとも1つのデータ集合を備えるアクセス制御リストを参照するステップと、
前記各ユーザクラスタのメンバによる前記各データクラスタのメンバに対するアクセスの不存在を検出するステップと、
該検出ステップに応答して前記ユーザ集合から少なくとも前記ユーザの一部を削除しかつ前記データ集合から少なくとも前記記憶要素の一部を削除するステップと
を具備し、
前記ユーザ集合の前記ユーザは前記ユーザクラスタのそれぞれに含まれ、前記データ集合の前記記憶要素は前記データクラスタのそれぞれに含まれている請求項12から16のいずれか一項に記載のコンピュータソフトウェア製品。
【請求項18】
複数のユーザを有する組織における記憶要素を有するファイルシステムのデータ記憶アクセスを制御するための装置であって、該装置は以下のステップを実行できるコンピュータシステムを具備し、該コンピュータシステムは、
前記記憶要素に対する前記ユーザのアクセスを記録し該記録されたアクセスから各アクセスプロファイルを導くステップと、
前記ユーザ及び前記記憶要素をバイクラスタ(bicluster)してユーザクラスタ及びデータクラスタを規定するステップと、
該バイクラスタステップに応答して前記ユーザによるアクセスの制御ポリシを規定するステップと
を実行するように動作し、
前記ユーザクラスタにおける前記ユーザの前記アクセス特性(profiles)が互いに相似しており、前記データクラスタにおける前記記憶要素が、互いに相似した前記アクセス特性を有する、前記複数ユーザの中のユーザによってのみアクセスされる装置。
【請求項19】
前記1つのデータクラスタにおける前記記憶要素の少なくとも1つの記憶要素が前記ユーザの1つのユーザによってアクセスされているときのみ、前記制御ポリシは、前記1つのユーザによる前記1つのデータクラスタの前記記憶要素のアクセスを可能とする請求項18に記載の装置。
【請求項20】
前記1つのデータクラスタにおける前記記憶要素の少なくとも1つの記憶要素が前記ユーザクラスタの少なくとも1つのユーザによってアクセスされているときのみ、前記制御ポリシは、前記ユーザクラスタのユーザによる前記1つのデータクラスタの前記記憶要素のアクセスを可能とする請求項18に記載の装置。
【請求項21】
前記制御ポリシを規定するステップは、
前記制御ポリシの仮改訂を要求するステップと、
前記ユーザによる前記記憶要素の後続アクセスを監視するステップと、
前記後続アクセスが前記制御ポリシの前記仮改訂に従っていることを判別するステップと、
前記判別ステップに応答して前記仮改訂を前記制御ポリシの確定版として認定するステップと
を具備する請求項18に記載の装置。
【請求項22】
さらに、
前記ユーザの少なくとも1つのユーザ集合及び前記記憶要素の少なくとも1つのデータ集合を備えるアクセス制御リストを参照するステップと、
前記各ユーザクラスタのメンバによる前記各データクラスタのメンバに対するアクセスの不存在を検出するステップと、
該検出ステップに応答して前記ユーザ集合から少なくとも前記ユーザの一部を削除しかつ前記データ集合から少なくとも前記記憶要素の一部を削除するステップと
を具備し、
前記ユーザ集合の前記ユーザは前記ユーザクラスタのそれぞれに含まれ、前記データ集合の前記記憶要素は前記データクラスタのそれぞれに含まれている請求項18から20のいずれか一項に記載の装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6A】
【図6B】
【図2】
【図3】
【図4】
【図5】
【図6A】
【図6B】
【公表番号】特表2009−500697(P2009−500697A)
【公表日】平成21年1月8日(2009.1.8)
【国際特許分類】
【出願番号】特願2008−515373(P2008−515373)
【出願日】平成18年5月21日(2006.5.21)
【国際出願番号】PCT/IL2006/000600
【国際公開番号】WO2006/131906
【国際公開日】平成18年12月14日(2006.12.14)
【出願人】(508242768)バロニス システムズ,インコーポレイティド (2)
【Fターム(参考)】
【公表日】平成21年1月8日(2009.1.8)
【国際特許分類】
【出願日】平成18年5月21日(2006.5.21)
【国際出願番号】PCT/IL2006/000600
【国際公開番号】WO2006/131906
【国際公開日】平成18年12月14日(2006.12.14)
【出願人】(508242768)バロニス システムズ,インコーポレイティド (2)
【Fターム(参考)】
[ Back to top ]