TOP特許意匠商標
特許ウォッチ Twitter
10個以上の画像は省略されています。
公開番号2024103863
公報種別公開特許公報(A)
公開日2024-08-02
出願番号2023007807
出願日2023-01-23
発明の名称ポリシー整合性検証装置、ポリシー整合性検証方法、およびポリシー整合性検証プログラム
出願人日本電気株式会社
代理人個人,個人
主分類G06F 21/60 20130101AFI20240726BHJP(計算;計数)
要約【課題】ポリシー関数とポリシー定義との間の整合性を効率良く検証することに寄与する。
【解決手段】ポリシー整合性検証装置は、アクセスの属性値とアクセス可否に関する規則を定めたポリシー定義から生成された、前記属性値の入力からアクセス可否の出力を得るポリシー関数を入力とし、前記ポリシー関数を近似したIf-Thenルールを生成するポリシー変換部と、前記If-Thenルールと前記ポリシー定義との整合を検証し、整合しない属性値をエラーサンプルとして生成するエラーサンプル生成部とを備える。
【選択図】図1
特許請求の範囲【請求項1】
アクセスの属性値とアクセス可否に関する規則を定めたポリシー定義から生成された、前記属性値の入力からアクセス可否の出力を得るポリシー関数を入力とし、前記ポリシー関数を近似したIf-Thenルールを生成するポリシー変換部と、
前記If-Thenルールと前記ポリシー定義との整合を検証し、整合しない属性値をエラーサンプルとして生成するエラーサンプル生成部とを備える、ポリシー整合性検証装置。
続きを表示(約 1,600 文字)【請求項2】
前記エラーサンプル生成部は、前記If-Thenルールと前記ポリシー定義とをもとに生成した論理式について充足可能性検査を行うことでエラーサンプルを得る、請求項1に記載のポリシー整合性検証装置。
【請求項3】
前記ポリシー変換部は、前記属性値の組み合わせをランダムに生成し、前記属性値の組み合わせを前記ポリシー関数に入力して得られた出力から決定木を構成し、前記決定木からIf-Thenルールを生成する請求項1に記載のポリシー整合性検証装置。
【請求項4】
前記ポリシー定義を基に機械学習モデルとして前記ポリシー関数を生成するポリシー生成部と、
前記エラーサンプルをもとに学習データを生成し、前記ポリシー生成部を更新するポリシー生成更新部と、を備える請求項1に記載のポリシー整合性検証装置。
【請求項5】
前記エラーサンプルをもとに前記If-Thenルールを更新するルール更新部を備える、請求項4に記載のポリシー整合性検証装置。
【請求項6】
前記エラーサンプルが前記ポリシー関数に起因するエラーであるか前記If-Thenルールに起因するエラーであるかを判別し、前記判別の結果に基づいて前記ポリシー生成部を更新するか、前記If-Thenルールを更新するかを判断する、請求項5に記載のポリシー整合性検証装置。
【請求項7】
アクセスの属性値とアクセス可否に関する規則を定めたポリシー定義から生成された、前記属性値の入力からアクセス可否の出力を得るポリシー関数を入力とし、前記ポリシー関数を近似したIf-Thenルールを生成するポリシー変換ステップと、
前記If-Thenルールと前記ポリシー定義との整合を検証し、整合しない属性値をエラーサンプルとして生成するエラーサンプル生成ステップとを有する、ポリシー整合性検証方法。
【請求項8】
前記エラーサンプルが前記ポリシー関数に起因するエラーであるか前記If-Thenルールに起因するエラーであるかを判別し、前記ポリシー関数に起因するエラーである場合は、前記エラーサンプルをもとに学習データを生成し、前記ポリシー定義を基に機械学習モデルとして前記ポリシー関数を生成するポリシー生成部を更新し、前記If-Thenルールに起因するエラーである場合は、前記エラーサンプルをもとに前記If-Thenルールを更新する、請求項7に記載のポリシー整合性検証方法。
【請求項9】
プログラムを実行するプロセッサと前記プログラムを記憶しているメモリを備えるコンピュータにポリシー整合性を検証させるポリシー整合性検証プログラムであって、
アクセスの属性値とアクセス可否に関する規則を定めたポリシー定義から生成された、前記属性値の入力からアクセス可否の出力を得るポリシー関数を入力とし、前記ポリシー関数を近似したIf-Thenルールを生成するポリシー変換プロセスと、
前記If-Thenルールと前記ポリシー定義との整合を検証し、整合しない属性値をエラーサンプルとして生成するエラーサンプル生成プロセスとを有する、ポリシー整合性検証プログラム。
【請求項10】
前記エラーサンプルが前記ポリシー関数に起因するエラーであるか前記If-Thenルールに起因するエラーであるかを判別し、前記ポリシー関数に起因するエラーである場合は、前記エラーサンプルをもとに学習データを生成し、前記ポリシー定義を基に機械学習モデルとして前記ポリシー関数を生成するポリシー生成部を更新し、前記If-Thenルールに起因するエラーである場合は、前記エラーサンプルをもとに前記If-Thenルールを更新する、請求項9に記載のポリシー整合性検証プログラム。

発明の詳細な説明【技術分野】
【0001】
本発明は、ポリシー整合性検証装置、ポリシー整合性検証方法、およびポリシー整合性検証プログラムに関するものである。
続きを表示(約 1,900 文字)【背景技術】
【0002】
データに対するアクセス制御は、セキュリティを高い状態で維持するための重要な技術である。アクセス制御の一つのやり方には、アクセスを許可するユーザやアクセス先リソースなどの属性(所属や役職など)を示したポリシー定義を作成し、このポリシー定義を基礎にして属性の組み合わせを入力としてアクセスの許可ないし拒否を出力するポリシー関数を作成し、このポリシー関数を用いてアクセス制御を実行する方法がある。
【先行技術文献】
【特許文献】
【0003】
特表2020-525898号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
なお、上記先行技術文献の各開示を、本書に引用をもって組み込むものとする。以下の分析は、本発明者らによってなされたものである。
【0005】
ところで、作成されたポリシー関数は、ポリシー定義から作成されているとしても、ポリシー定義を正しく反映していない可能性も否定できない。そこで、ポリシー関数とポリシー定義との間の整合性を検証する必要があるが、ユーザやリソースなどのアクセス可否の判断に利用される属性(所属や役職など)のすべての組み合わせに対して整合性を検証することは現実的ではない。これらの属性(所属や役職など)の組み合わせの中から幾つかサンプルを選択して整合性を検証することになる。すると、サンプルから漏れた組み合わせにおける整合性を検証することはできず、ポリシー定義では拒否することが定められているものが、ポリシー関数では許可されている状態を見逃すという問題が発生してしまうことも起こり得る。その他、特許文献1には、比較検証するセキュリティ許可の集合から命題論理を決定し、命題論理同士の同等性を検証する方法が記載されている。
【0006】
このように、ポリシー関数とポリシー定義との間の整合性を検証することは容易ではない。そこで、ポリシー関数とポリシー定義との間の整合性を効率良く検証する方法が望まれている。
【0007】
本発明の目的は、上述した課題を鑑み、ポリシー関数とポリシー定義との間の整合性を効率良く検証することに寄与するポリシー整合性検証装置、ポリシー整合性検証方法、およびポリシー整合性検証プログラムを提供する。
【課題を解決するための手段】
【0008】
本発明の第1の視点では、アクセスの属性値とアクセス可否に関する規則を定めたポリシー定義から生成された、前記属性値の入力からアクセス可否の出力を得るポリシー関数を入力とし、前記ポリシー関数を近似したIf-Thenルールを生成するポリシー変換部と、前記If-Thenルールと前記ポリシー定義との整合を検証し、整合しない属性値をエラーサンプルとして生成するエラーサンプル生成部とを備える、ポリシー整合性検証装置が提供される。
【0009】
本発明の第2の視点では、アクセスの属性値とアクセス可否に関する規則を定めたポリシー定義から生成された、前記属性値の入力からアクセス可否の出力を得るポリシー関数を入力とし、前記ポリシー関数を近似したIf-Thenルールを生成するポリシー変換ステップと、前記If-Thenルールと前記ポリシー定義との整合を検証し、整合しない属性値をエラーサンプルとして生成するエラーサンプル生成ステップとを有する、ポリシー整合性検証方法が提供される。
【0010】
本発明の第3の視点では、プログラムを実行するプロセッサと前記プログラムを記憶しているメモリを備えるコンピュータにポリシー整合性を検証させるポリシー整合性検証プログラムであって、アクセスの属性値とアクセス可否に関する規則を定めたポリシー定義から生成された、前記属性値の入力からアクセス可否の出力を得るポリシー関数を入力とし、前記ポリシー関数を近似したIf-Thenルールを生成するポリシー変換プロセスと、前記If-Thenルールと前記ポリシー定義との整合を検証し、整合しない属性値をエラーサンプルとして生成するエラーサンプル生成プロセスとを有する、ポリシー整合性検証プログラムが提供される。
なお、このプログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。記憶媒体は、半導体メモリ、ハードディスク、磁気記録媒体、光記録媒体等の非トランジェント(non-transient)なものとすることができる。本発明は、コンピュータプログラム製品として具現することも可能である。
【発明の効果】
(【0011】以降は省略されています)
この特許をJ-PlatPatで参照する

関連特許

日本電気株式会社
試着室システム、試着方法、プログラム
6日前
日本電気株式会社
RF測定器、補正方法、及びプログラム
4日前
日本電気株式会社
処理装置、処理方法、プログラム、および認証装置
7日前
日本電気株式会社
映像伝送システム、映像伝送装置、及び映像伝送方法
11日前
日本電気株式会社
情報処理装置、情報処理方法、プログラム、及びシステム
5日前
日本電気株式会社
情報処理装置、情報処理方法、プログラム、及びシステム
7日前
日本電気株式会社
運航支援装置、運航支援方法およびコンピュータプログラム
7日前
日本電気株式会社
運航管理装置、運航管理方法およびコンピュータプログラム
7日前
日本電気株式会社
サーバ装置、システム、サーバ装置の制御方法及びプログラム
6日前
日本電気株式会社
情報処理方法、プログラム及び情報処理装置
11日前
日本電気株式会社
処理装置、処理装置の制御方法及びプログラム
4日前
日本電気株式会社
端末、システム、端末の制御方法及びプログラム
6日前
日本電気株式会社
サーバ装置、サーバ装置の制御方法及びプログラム
6日前
日本電気株式会社
プログラム、サービスサーバ、端末の制御方法及びサービスサーバの制御方法
4日前
日本電気株式会社
ゲート装置、生体認証制御ユニット、システム、ゲート装置の制御方法及びコンピュータプログラム
6日前
日本電気通信システム株式会社
運行計画生成装置、運行計画生成方法、及びプログラム
4日前
個人
GPSロガー
27日前
個人
マウス用テーブル
13日前
個人
デトろぐシステム
26日前
個人
管理装置
19日前
個人
特徴検討支援システム
19日前
個人
管理装置
21日前
アズビル株式会社
防爆装置
7日前
個人
契約管理サーバ
18日前
株式会社宗建
SNSサーバー
5日前
株式会社セガフェイブ
遊戯機
11日前
株式会社テクロス
情報処理装置
25日前
個人
選択操作音声出力システム
13日前
株式会社ジール
文章の分析装置
12日前
個人
動作のデザイン評価の方法及び装置
4日前
株式会社奥村組
削孔位置検出方法
18日前
大同特殊鋼株式会社
棒材計数装置
4日前
トヨタ自動車株式会社
車両
19日前
アスエネ株式会社
森林管理の方法
7日前
オムロン株式会社
認証中継サーバ
4日前
株式会社野村総合研究所
検証装置
25日前
続きを見る