特許ウォッチ

公開番号2024125006
公報種別公開特許公報(A)
公開日2024-09-13
出願番号2023033054
出願日2023-03-03
発明の名称アクセス制御システム、アクセス制御方法、およびアクセス制御プログラム
出願人日本電気株式会社
代理人個人,個人
主分類G06F 21/55 20130101AFI20240906BHJP(計算;計数)
要約【課題】セキュリティ要求を満たしつつワークロードを削減する。
【解決手段】ネットワークシステムにおける動的リスク要因を分析してアクセス制御精度(access control granularity)を決定するワークロード分配制御機能と、前記アクセス制御精度に対応するアクセス制御ポリシーをコアポリシーから選択し、選択した前記アクセス制御ポリシーをフィルタリングPEP(Policy Enforcement Point)制御部および高精度PEP(Policy Enforcement Point)制御部に分配するポリシー選択機能とを備えるアクセス制御システム。
【選択図】図1
特許請求の範囲【請求項１】
ネットワークシステムにおける動的リスク要因を分析してアクセス制御精度（access control granularity）を決定するワークロード分配制御機能と、
前記アクセス制御精度に対応するアクセス制御ポリシーをコアポリシーから選択し、選択した前記アクセス制御ポリシーをフィルタリングＰＥＰ（Policy Enforcement Point）制御部および高精度ＰＥＰ（Policy Enforcement Point）制御部に分配するポリシー選択機能と
を備えるアクセス制御システム。
続きを表示（約 1,500 文字）【請求項２】
前記コアポリシーは、１つの高精度アクセス制御ポリシーと、前記高精度アクセス制御ポリシーからより低精度な形式に変換された１以上のより低精度なアクセス制御ポリシーとを含み、
前記より低精度なアクセス制御ポリシーは、その許可の決定が、デバイス、リソースおよびネットワークの現在の状態での高精度アクセス制御ポリシーの許可の決定と一致するように選択される
請求項１に記載のアクセス制御システム。
【請求項３】
前記高精度アクセス制御ポリシーは、アプリケーション層でのアクセス制御リストであり、低精度な形式の前記アクセス制御ポリシーはその一部を置き換えたネットワーク層のアクセス制御リストである
請求項２に記載のアクセス制御システム。
【請求項４】
前記ワークロード分配制御機能は、状態に応じて変化するデバイスのリスクスコアを計算し、ポリシー選択機能は、リスクスコアが高いか低いときには低精度ポリシーを選択し、リスクが中程度なときには高精度ポリシーを選択する
請求項３に記載のアクセス制御システム。
【請求項５】
選択された前記アクセス制御ポリシーを実行するために、低精度ポリシーを実装する１つのＰＥＰと、詳細ポリシーを実装する他のＰＥＰの少なくとも２つのＰＥＰを直列に備える
請求項３に記載のアクセス制御システム。
【請求項６】
ネットワークシステムにおける動的リスク要因を分析することによりアクセス制御精度を決定することと、
前記アクセス制御精度に対応するアクセス制御ポリシーをコアポリシーから選択することと、
選択された前記アクセス制御ポリシーをフィルタリングＰＥＰ（Policy Enforcement Point）制御部および高精度ＰＥＰ（Policy Enforcement Point）制御部に分配することと
を含むアクセス制御方法。
【請求項７】
前記コアポリシーは、１つの高精度アクセス制御ポリシーと、前記高精度アクセス制御ポリシーからより低精度な形式に変換された１以上のより低精度なアクセス制御ポリシーとを含み、
前記より低精度なアクセス制御ポリシーは、その許可の決定が、デバイス、リソースおよびネットワークの現在の状態での高精度アクセス制御ポリシーの許可の決定と一致するように選択される
請求項６に記載のアクセス制御方法。
【請求項８】
前記高精度アクセス制御ポリシーは、アプリケーション層でのアクセス制御リストであり、低精度な形式のアクセス制御ポリシーはその一部を置き換えたネットワーク層のアクセス制御リストである
請求項６に記載のアクセス制御方法。
【請求項９】
状態に応じて変化するデバイスのリスクスコアを計算することと、
リスクスコアが高いか低いときには低精度ポリシーを選択することと、
リスクが中程度なときには高精度ポリシーを選択することと
をさらに含む請求項８に記載のアクセス制御方法。
【請求項１０】
ネットワークシステムにおける動的リスク要因を分析することによりアクセス制御精度を決定することと、
前記アクセス制御精度に対応するアクセス制御ポリシーをコアポリシーから選択することと、
選択された前記アクセス制御ポリシーをフィルタリングＰＥＰ（Policy Enforcement Point）制御部および高精度ＰＥＰ（Policy Enforcement Point）制御部に分配することと
をコンピュータに指示するアクセス制御プログラム。

発明の詳細な説明【技術分野】
【０００１】
本発明は、ネットワークシステムの最適なパフォーマンスを実現するためのアクセス制御システム、アクセス制御方法、およびアクセス制御プログラムに関する。
続きを表示（約 1,500 文字）【背景技術】
【０００２】
アクセス制御は、ネットワーク攻撃を防ぐための代表的なセキュリティツールである。アクセス制御において、最初のステップは、誰がどのような操作をその上で実行できるかを定義するポリシールールを作成することである。そして、それらのルールに従って、ユーザのアクションが許可または拒否される。
【０００３】
ファイアウォールはアクセス制御の一類型であり、予め定義されたポリシールールに基づいてパケットごとの処理を許可したり、拒否したりする。特許文献１は、アプリケーションのセキュリティ要件のみに従って、アクセス制御精度が選択されるファイアウォールシステムを開示する。
【先行技術文献】
【特許文献】
【０００４】
米国特許出願公開ＵＳ２００７／０２３４４１４Ａ１
【発明の概要】
【発明が解決しようとする課題】
【０００５】
なお、上記先行技術文献の開示は、本書に引用をもって組み込まれるものとする。以下の分析は、本発明者らによってなされた。
【０００６】
高精度（アプリケーション層とネットワーク層の両方におけるアクセス制御）はセキュリティを向上させるが、アクセス制御のワークロードを大幅に増加させる。低精度（ネットワーク層のみにおけるアクセス制御）はワークロードの軽減に役立つが、不十分なセキュリティしか提供し得ない。アクセス制御精度（高精度または低精度）に応じて、セキュリティとワークロードの間にトレードオフが存在する。
【０００７】
さらに、セキュリティ要件を満たしつつ、ワークロードを軽減するアクセス制御精度の最良の選択は、環境の変化（ダイナミックさ;dynamicity）に応じて変化する。セキュリティ要件を満たしつつワークロードを軽減できるようにアクセス制御精度(granularity)を動的に決定し、決定した精度に適したポリシールールを適用することが要求される。
【０００８】
本開示の目的は、上述した課題の観点から、セキュリティ要件を満たしつつ、ワークロードの軽減に寄与するアクセス制御システム、アクセス制御方法、およびアクセス制御プログラムを提供することである。
【課題を解決するための手段】
【０００９】
本発明の第１の視点によれば、ネットワークシステムにおける動的リスク要因を分析してアクセス制御精度(access control granularity)を決定するワークロード分配制御機能と、前記アクセス制御精度に対応するアクセス制御ポリシーをコアポリシーから選択し、選択した前記アクセス制御ポリシーをフィルタリングＰＥＰ(Policy Enforcement Point)制御部および高精度ＰＥＰ(Policy Enforcement Point)制御部に分配するポリシー選択機能とを備えるアクセス制御システムが提供される。
【００１０】
本発明の第２の視点によれば、ネットワークシステムにおける動的リスク要因を分析することによりアクセス制御精度を決定することと、前記アクセス制御精度に対応するアクセス制御ポリシーをコアポリシーから選択することと、選択された前記アクセス制御ポリシーをフィルタリングＰＥＰ(Policy Enforcement Point)制御部および高精度ＰＥＰ(Policy Enforcement Point)制御部に分配することとを含むアクセス制御方法が提供される。
（【００１１】以降は省略されています）

関連特許