特許ウォッチ

公開番号2025093825
公報種別公開特許公報(A)
公開日2025-06-24
出願番号2023209722
出願日2023-12-12
発明の名称設定ルール生成装置、設定ルール生成方法、情報処理システム、及びプログラム
出願人日本電気株式会社
代理人個人
主分類H04L 41/0894 20220101AFI20250617BHJP(電気通信技術)
要約【課題】属性情報から設定ルールを生成する場合に、生成される設定ルールの数を削減することを可能にする。
【解決手段】設定ルール生成装置は、ポリシ情報に従って設定される、ネットワークにおいて適用される設定ルールに含まれる1以上の属性の少なくとも一部を指定する情報を含む設定ルール生成範囲情報を登録するルール生成範囲登録部と、登録された設定ルール生成範囲情報と、ネットワークに含まれるリソースの属性情報とに基づいて、設定ルールを生成する設定ルール生成部とを含む。
【選択図】図1
特許請求の範囲【請求項１】
ポリシ情報に従って設定される、ネットワークにおいて適用される設定ルールに含まれる１以上の属性の少なくとも一部を指定する情報を含む設定ルール生成範囲情報を登録するルール生成範囲登録部と、
前記登録された設定ルール生成範囲情報と、前記ネットワークに含まれるリソースの属性情報とに基づいて、前記設定ルールを生成する設定ルール生成部とを備える設定ルール生成装置。
続きを表示（約 1,200 文字）【請求項２】
前記設定ルール生成部は、前記設定ルール生成範囲情報において指定されていない前記設定ルールの属性を、前記属性情報に含まれる属性で補完することで、前記設定ルールを生成する、請求項１に記載の設定ルール生成装置。
【請求項３】
前記設定ルール生成部は、前記設定ルール生成範囲情報において指定されている属性に対応するネットワークリソースの属性を前記属性情報から取得し、該取得した属性で、前記設定ルール生成範囲情報において指定されていない前記設定ルールの属性を補完する、請求項２に記載の設定ルール生成装置。
【請求項４】
前記設定ルールは、前記ネットワークにおけるアクセス制御のルールである、請求項１から３の何れか１項に記載の設定ルール生成装置。
【請求項５】
前記設定ルール生成範囲情報は、アクセス元のリソース、宛先のリソース、及びサービスタイプのうちの少なくとも１つの属性を指定する情報を含む、請求項４に記載の設定ルール生成装置。
【請求項６】
前記設定ルール生成範囲情報は、アクセス許可、又はアクセス拒否の条件式に含まれる属性を指定する情報を含む、請求項４に記載の設定ルール生成装置。
【請求項７】
前記アクセス制御が許可リスト方式で実施されるか、又は前記アクセス制御が拒否リスト方式で実施されるかに応じて、前記設定ルール生成部は、前記アクセス許可の条件式又は前記アクセス拒否の条件式に含まれる属性に基づいて、前記属性情報から、アクセス元のリソース、宛先のリソース、及びサービスタイプの属性を取得し、該取得したアクセス元のリソースの属性、宛先のリソースの属性、及びサービスタイプの属性の組み合わせを含む設定ルールを、アクセス許可又はアクセス拒否を示す設定ルールとして生成する、請求項６に記載の設定ルール生成装置。
【請求項８】
前記アクセス制御が許可リスト方式で実施される場合、前記設定ルール生成部は、前記アクセス拒否の条件式を反転した条件式を満たす属性を含む設定ルールを生成し、前記アクセス制御が拒否リスト方式で実施される場合、前記設定ルール生成部は、前記アクセス許可の条件式を反転した条件式を満たす属性を含む設定ルールを生成する、請求項７に記載の設定ルール生成装置。
【請求項９】
前記属性情報は、前記ネットワークにおけるアクセス元のリソースを識別する情報、宛先のリソースを識別する情報、及びサービスタイプを識別する情報を含む、請求項１から３の何れか１項に記載の設定ルール生成装置。
【請求項１０】
前記属性情報は、前記ネットワークにおけるリソースのアドレス情報を含む、請求項１から３の何れか１項に記載の設定ルール生成装置。
（【請求項１１】以降は省略されています）
発明の詳細な説明【技術分野】
【０００１】
本開示は、設定ルール生成装置、設定ルール生成方法、情報処理システム、及びプログラムに関する。
続きを表示（約 1,900 文字）【背景技術】
【０００２】
関連技術として、特許文献１は、ポリシ設定支援ツールを開示する。特許文献１では、ファイルへのアクセス制御にポリシが用いられる。特許文献１において、ポリシとは、読み出しや書き込みなどのアクセスタイプごとに、ユーザＩＤ（identifier）及びグループＩＤを用いてアクセス可能なユーザを定義するアクセスコントロールリストを意味する。ユーザがアプリケーションプログラムを介してファイルへアクセスした場合、ＯＳ（Operating System）は、アクセス要求元のユーザのＩＤ、及びそのユーザが所属するグループのＩＤを、アクセス対象となるファイルやディレクトリに割り当てられたアクセスコントロールリストと照合する。ＯＳは、アクセスコントロールリストに上記ユーザが含まれている場合に限りアクセスを許可する。
【０００３】
特許文献１に記載のポリシ設定支援ツールは、サンプル情報、関連付け情報、又はアクセスログ情報を用いてポリシの原案を作成する。サンプル情報は、ソフトウェアの種類ごとのポリシを記述した情報である。関連付け情報は、オブジェクトの種類ごとに利用頻度の高いプログラムの情報を記述した情報である。アクセスログ情報は、プログラムの動作を監視して記録した情報である。ポリシ設定支援ツールは、作成したポリシ原案を表示する。ユーザは、ユーザインタフェースを用いて、作成されたポリシ原案を確認し、又は作成されたポリシ原案を編集することができる。
【先行技術文献】
【特許文献】
【０００４】
特開２００４－１９２６０１号公報
【発明の概要】
【発明が解決しようとする課題】
【０００５】
特許文献１において、サンプル情報は、ソフトウェア名、オブジェクト名、実行ファイル名、ユーザグループ名、及びアクセスタイプを含む。仮に、特許文献１に記載のポリシ設定支援ツールをネットワークにおけるアクセス制御に使用したとすると、サンプル情報は、アクセスが許可されるネットワークリソースの組み合わせごとに生成される。一般に、ネットワークは、多数のネットワークリソースを有する。このため、特許文献１において、ネットワークにおけるアクセス制御のサンプル情報をアクセスログから自動生成しようとすると、組み合わせの数が膨大となり、現実的ではない。
【０００６】
本開示の目的の１つは、属性情報から設定ルールを生成する場合に、生成される設定ルールの数を削減することができる設定ルール生成装置、設定ルール生成方法、情報処理システム、及びプログラムを提供することである。
【課題を解決するための手段】
【０００７】
本開示の第１の態様に係る設定ルール生成装置は、ポリシ情報に従って設定される、ネットワークにおいて適用される設定ルールに含まれる１以上の属性の少なくとも一部を指定する情報を含む設定ルール生成範囲情報を登録するルール生成範囲登録部と、前記登録された設定ルール生成範囲情報と、前記ネットワークに含まれるリソースの属性情報とに基づいて、前記設定ルールを生成する設定ルール生成部とを含む。
【０００８】
本開示の第２の態様に係る情報処理システムは、上記設定ルール生成装置と、前記生成された設定ルールに従って前記ネットワークにおいて所定の制御を実施するルール適用装置とを含む。
【０００９】
本開示の第３の態様に係る設定ルール生成方法は、コンピュータが、ポリシ情報に従って設定される、ネットワークにおいて適用される設定ルールに含まれる１以上の属性の少なくとも一部を指定する情報を含む設定ルール生成範囲情報を登録し、前記コンピュータが、前記登録された設定ルール生成範囲情報と、前記ネットワークに含まれるリソースの属性情報とに基づいて、前記設定ルールを生成することを含む。
【００１０】
本開示の第４の態様に係るプログラムは、ポリシ情報に従って設定される、ネットワークにおいて適用される設定ルールに含まれる１以上の属性の少なくとも一部を指定する情報を含む設定ルール生成範囲情報を登録し、前記登録された設定ルール生成範囲情報と、前記ネットワークに含まれるリソースの属性情報とに基づいて、前記設定ルールを生成することを含む処理をコンピュータに実行させるためのものである。
【発明の効果】
（【００１１】以降は省略されています）

関連特許