[go: up one dir, main page]

JP2009080560A - Access authority control system - Google Patents

Access authority control system Download PDF

Info

Publication number
JP2009080560A
JP2009080560A JP2007247778A JP2007247778A JP2009080560A JP 2009080560 A JP2009080560 A JP 2009080560A JP 2007247778 A JP2007247778 A JP 2007247778A JP 2007247778 A JP2007247778 A JP 2007247778A JP 2009080560 A JP2009080560 A JP 2009080560A
Authority
JP
Japan
Prior art keywords
file
access authority
user
information
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007247778A
Other languages
Japanese (ja)
Other versions
JP4769241B2 (en
Inventor
Minoru Wani
稔 和仁
Naoki Motonaga
直樹 本永
Shingo Yamamoto
晋吾 山本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SKY Co Ltd
Original Assignee
SKY Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SKY Co Ltd filed Critical SKY Co Ltd
Priority to JP2007247778A priority Critical patent/JP4769241B2/en
Publication of JP2009080560A publication Critical patent/JP2009080560A/en
Application granted granted Critical
Publication of JP4769241B2 publication Critical patent/JP4769241B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

【課題】
ファイルのアクセス権限の判定を行う際に、当該ファイルの操作ログ情報を参照することにより、その判定を行うアクセス権限制御システムを提供することを目的とする。
【解決手段】
ユーザによるファイルへのアクセス可否の問い合わせとファイルのファイル識別情報とを受け付ける問い合わせ受付部と、少なくともファイルに対する操作ログ情報を記憶する操作ログ情報記憶部と、受け付けたファイル識別情報に基づいて、対応する操作ログ情報を操作ログ情報記憶部から取得する操作ログ情報取得部と、少なくとも取得した操作ログ情報を用いて、ユーザによるファイルへのアクセス権限の判定を行うアクセス可否判定部と、判定結果としてアクセス権限がないことを判定した場合には、所定のコンピュータ端末に警告表示指示を行う警告通知部と、を有するアクセス権限制御システムである。
【選択図】 図1【Task】
It is an object of the present invention to provide an access authority control system that performs the determination by referring to the operation log information of the file when determining the access authority of the file.
[Solution]
An inquiry reception unit that receives an inquiry about whether or not a user can access a file and file identification information of the file, an operation log information storage unit that stores at least operation log information for the file, and a response based on the received file identification information An operation log information acquisition unit that acquires operation log information from the operation log information storage unit, an access permission determination unit that determines access authority to a file by a user using at least the acquired operation log information, and an access as a determination result When it is determined that there is no authority, the access authority control system includes a warning notification unit that issues a warning display instruction to a predetermined computer terminal.
[Selection] Figure 1

Description

本発明は、ファイル等のアクセス権限を制御するアクセス権限制御システムに関する。特にファイルのアクセス権限の判定を行う際に、当該ファイルの操作ログ情報を参照することにより、その判定を行い、アクセス権限がないと判定した場合には所定の表示を行うアクセス権限制御システムに関する。
The present invention relates to an access authority control system that controls access authority of files and the like. In particular, the present invention relates to an access authority control system that performs a determination by referring to operation log information of a file when determining the access authority of the file, and performs a predetermined display when it is determined that there is no access authority.

企業などの組織においてファイルを利用する際には、機密情報を含むファイルがあることから、各ファイル毎にアクセス権限が設定されていることが一般的である。例えば社内報のような一般的なファイルは誰が見ても特に問題がないことからアクセス権限が最も低いレベル(例えば社員全員)に設定されており、人事考課などのファイルは社員個人に対する評価などが含まれていることから人事部や担当役職者などしか見られない高いアクセス権限レベルに設定されており、極秘プロジェクトに係るファイルはそのプロジェクトに携わる者しかアクセスできない極めて高いアクセス権限レベルに設定されている。   When a file is used in an organization such as a company, since there are files including confidential information, it is common that access authority is set for each file. For example, general files such as company newsletters are set to the lowest access level (for example, all employees) because there is no particular problem for anyone to see, and files such as personnel appraisal are evaluated for individual employees. Because it is included, it is set to a high access authority level that can only be seen by the personnel department and responsible manager, etc., and files related to the top secret project are set to an extremely high access authority level that only those who are involved in the project can access Yes.

このようにファイルに対するアクセス権限の管理は非常に重要なものであり、それを自動的に管理するシステムとして、下記特許文献1及び特許文献2が存在する。   As described above, management of access authority to a file is very important, and there are Patent Document 1 and Patent Document 2 described below as systems for automatically managing the access authority.

特許文献1の発明は、ファイルであるログ情報を参照する際のアクセス権限について、ログ情報とアクセス権限とを共に記録し、そのログ情報に含まれるアクセス権限を有するユーザに対してのみ、ログ情報の参照を許可するシステムである。   The invention of Patent Document 1 records both log information and access authority with respect to access authority when referring to log information that is a file, and log information only for a user having access authority included in the log information. It is a system that permits reference to

また特許文献2の発明は、ファイルであるログ情報を参照する際のアクセス権限について、ログ情報とアクセス権限とを異なるファイルに記録しておくことによって、ログ情報を参照の際に、アクセス権限が変更されたとしてもそれが反映されるシステムである。   In the invention of Patent Document 2, the access authority when referring to log information that is a file is recorded in different files so that the access authority is referred to when referring to the log information. It is a system that reflects even if it is changed.

特開2000−29751号公報JP 2000-29751 A 特開2006−23924号公報JP 2006-23924 A

上述の特許文献1及び特許文献2のシステムはアクセス権限に対する管理を行うことが出来る点で有益である。   The systems of Patent Document 1 and Patent Document 2 described above are useful in that they can manage access authority.

ところがアクセス権限の対象となるファイルに関する情報、例えばファイル名などが変更されてしまった場合、元のファイルのアクセス権限の確認をすることが出来ないので、そのままファイルが開けてしまう。   However, if information about a file subject to access authority, such as a file name, has been changed, the access authority of the original file cannot be confirmed, and the file can be opened as it is.

例えば「人事考課」というファイル名を何らかの方法により「参考ファイル」といったファイル名に変更をした上で、「参考ファイル」を開く場合には、特許文献1や特許文献2の発明を用いたとしても、「参考ファイル」に相当するアクセス権限が設定されていないので、そのファイルの内容は「人事考課」のファイルと同じ内容であるにもかかわらず、本来ならばアクセス権限がないユーザであってもそのファイルを参照できてしまう。   For example, when the “reference file” is opened after changing the file name “HR evaluation” to a file name “reference file” by some method, the inventions of Patent Document 1 and Patent Document 2 may be used. Because the access authority corresponding to the “reference file” is not set, even if the file is the same as the “Personnel Review” file, even if the user does not have access authority You can refer to the file.

このようなことを防ぐために、本来ならばアクセス権限がないユーザによるファイル名の変更などのファイルに係る処理は実行できないように設定されている。しかし例えばアクセス権限のあるユーザが当該ファイルを利用中に離席し、その間に、アクセス権限のない第三者がファイル名の変更等をしてしまう、あるいはアクセス権限のあるユーザが誤ってファイル名を変更して保存してしまう、といった可能性もある。そのような場合には従来ような方法では対応することが出来ない。   In order to prevent such a situation, processing related to a file, such as a file name change by a user who does not have access authority, cannot be executed. However, for example, a user with access authority leaves the file while using the file, and a third party without access authority changes the file name during that time, or a user with access authority mistakes the file name. May be changed and saved. In such a case, it is not possible to cope with the conventional method.

そこで本願発明者は、従来のように単にアクセス権限の確認を行うのではなく、参照しようとするファイルのログ情報を参照することでそのファイルに対する操作履歴を確認して、当該ファイルに対する処理の経過も踏まえた上でアクセス権限の判定を行うアクセス権限制御システムを発明した。また、アクセス権限の判定の結果、ユーザがアクセス権限がないファイルにアクセスしようとした場合には、それを管理者に通知するアクセス権限制御システムとした。   Therefore, the present inventor does not simply check the access authority as in the past, but checks the operation history for the file by referring to the log information of the file to be referred to, and the progress of the process for the file. Based on this, we invented an access authority control system that determines access authority. In addition, as a result of the determination of the access authority, when the user tries to access a file without the access authority, an access authority control system that notifies the administrator of this is adopted.

請求項1の発明は、ファイルに対する操作ログ情報を用いてアクセス権限の判定を行うアクセス権限制御システムであって、前記アクセス権限制御システムは、ユーザによる前記ファイルへのアクセス可否の問い合わせと前記ファイルのファイル識別情報とを受け付ける問い合わせ受付部と、少なくともファイルに対する操作ログ情報を記憶する操作ログ情報記憶部と、前記受け付けたファイル識別情報に基づいて、対応する操作ログ情報を前記操作ログ情報記憶部から取得する操作ログ情報取得部と、少なくとも前記取得した操作ログ情報を用いて、前記ユーザによる前記ファイルへのアクセス権限の判定を行うアクセス可否判定部と、前記判定結果としてアクセス権限がないことを判定した場合には、所定のコンピュータ端末に警告表示指示を行う警告通知部と、を有するアクセス権限制御システムである。   The invention of claim 1 is an access authority control system for determining access authority using operation log information for a file, the access authority control system including an inquiry about whether or not the user can access the file and the file An inquiry receiving unit that receives file identification information, an operation log information storage unit that stores at least operation log information for a file, and corresponding operation log information based on the received file identification information from the operation log information storage unit An operation log information acquisition unit to be acquired, an access permission determination unit that determines access authority to the file by the user, using at least the acquired operation log information, and determination that there is no access authority as the determination result If a warning is displayed, a warning is displayed on the specified computer terminal. A warning notification unit that performs shows a access control system having a.

本発明を用いることによって、従来のように単にアクセス権限があるかどうかを判定するのではなく、そのファイルに対する操作履歴である操作ログ情報を確認した上で処理を行うこととなる。これにより、当該ファイルに対する処理の経過も踏まえた上でアクセス権限の判定を行うことが出来る。また、アクセス権限がないファイルにアクセスしようとしているユーザを管理者が知ることができるので、そのユーザの操作内容を重点的に監視し、不正行為を防止することもできる。   By using the present invention, instead of simply determining whether or not there is an access right as in the prior art, processing is performed after confirming operation log information which is an operation history for the file. As a result, the access authority can be determined in consideration of the progress of the processing for the file. In addition, since the administrator can know the user who is trying to access a file for which the user does not have access authority, it is possible to focus on the operation content of the user and prevent illegal acts.

請求項2の発明において、前記アクセス権限制御システムは、更に、各ユーザのユーザ識別情報とアクセス権限レベルの情報とを少なくとも記憶するユーザ情報記憶部を有しており、前記問い合わせ受付部は、前記問い合わせの際に、更に、前記ユーザのユーザ識別情報を受け付け、前記アクセス可否判定部は、前記取得した操作ログ情報におけるファイル作成者またはファイル編集者のユーザ識別情報に基づいて、前記ユーザ情報記憶部に記憶する該ファイル作成者またはファイル編集者のアクセス権限レベルの情報を抽出し、前記問い合わせ受付部で受け付けたユーザのユーザ識別情報に基づいて、前記ユーザ情報記憶部に記憶する該ユーザのアクセス権限レベルの情報を抽出し、前記抽出したユーザのアクセス権限レベルと、前記抽出したファイル作成者またはファイル編集者のアクセス権限レベルの情報とを比較することによって、アクセス権限の判定を行う、アクセス権限制御システムである。   In the invention of claim 2, the access authority control system further includes a user information storage unit that stores at least user identification information and access authority level information of each user, and the inquiry reception unit includes: When making an inquiry, the user identification information of the user is further received, and the access permission determination unit is configured to use the user information storage unit based on the user identification information of the file creator or the file editor in the acquired operation log information. The access authority level of the user stored in the user information storage unit is extracted based on the user identification information of the user accepted by the inquiry accepting unit. Level information is extracted, and the access authority level of the extracted user and the extraction are extracted. By comparing the file's creator or file editor level of access information, and determines the access rights, an access control system.

操作ログ情報を用いたアクセス権限の判定には様々な方法があるが、本発明の方法を用いることが出来る。これによって、ファイルそのものにアクセス権限を設定しなくても良いこととなる。即ち、ファイルを識別できればファイルの操作ログ情報が特定できるので、作成者や編集者が特定できる。そして作成者や編集者は当然、ファイルに対してのアクセス権限を備えていることが通常であるので、それらの者よりもユーザのアクセス権限のレベルが高ければファイルへのアクセスを許可しても良いと考えられる。そしてこのように作成者や編集者のアクセス権限レベルと、ユーザのアクセス権限レベルとを比較することによって、従来のようにファイルに対するアクセス権限レベルの情報を記憶しておかなくても良いので、ファイル名の変更などを行っても何ら影響がない。   There are various methods for determining access authority using operation log information, and the method of the present invention can be used. This eliminates the need to set access authority for the file itself. That is, if the file can be identified, the operation log information of the file can be specified, so that the creator or editor can be specified. And, of course, the creator and editor usually have access rights to the file, so if the user's access authority level is higher than those people, you can allow access to the file. It is considered good. Then, by comparing the access authority level of the creator or editor and the access authority level of the user in this way, it is not necessary to store the access authority level information for the file as in the conventional case. Changing the name etc. has no effect.

請求項3の発明において、前記アクセス可否判定部は、前記問い合わせ受付部で受け付けたファイル識別情報に基づいて、対応する操作ログ情報を前記操作ログ情報記憶部から取得できない場合には、アクセス権限がないと判定する、アクセス権限制御システムである。   In the invention of claim 3, the access permission determination unit, when the corresponding operation log information cannot be acquired from the operation log information storage unit based on the file identification information received by the inquiry reception unit, It is an access authority control system that judges that there is no.

操作ログ情報を用いたアクセス権限の判定には様々な方法があるが、本発明の方法を用いることが出来る。ファイルの操作ログ情報が存在しない場合には、ユーザが外部からUSBメモリなどの可搬型記憶媒体などによって持ち込んだファイルであることが推察される。従ってウィルスに感染したファイルや、キーロガー、ファイル交換ソフトなど本来ならば使用が許可されるべきでないファイルがユーザのクライアント端末で実行されてしまう可能性がある。しかし本発明のように操作ログ情報の存在しないファイルをアクセス権限がないとして、クライアント端末で使用不可とすることが出来るので、外部からのファイルの持ち込みを防止することが出来る。   There are various methods for determining access authority using operation log information, and the method of the present invention can be used. When the operation log information of the file does not exist, it is assumed that the file is brought in from the outside by a portable storage medium such as a USB memory. Accordingly, there is a possibility that a file infected with a virus, a file that should not be permitted to be used, such as a key logger or file exchange software, may be executed on the user's client terminal. However, as in the present invention, a file without operation log information does not have access authority and can be disabled at the client terminal, so that it is possible to prevent the file from being brought in from the outside.

請求項4の発明において、前記アクセス可否判定部は、前記取得した操作ログ情報においてファイル識別情報の変更を示す情報があった場合には、まず変更後のファイル識別情報を用いてアクセス権限の判定を行い、変更後のファイル識別情報でアクセス権限の判定が行えない場合には、変更前のファイル識別情報を用いてアクセス権限の判定を行う、アクセス権限制御システムである。   In the invention of claim 4, when there is information indicating a change of file identification information in the acquired operation log information, the access permission determination unit first determines access authority using the file identification information after the change. When the access authority cannot be determined using the file identification information after the change, the access authority control system performs the access authority determination using the file identification information before the change.

操作ログ情報を用いたアクセス権限の判定には様々な方法があるが、本発明の方法を用いることが出来る。何らかの方法によりファイル名が変更されてしまう場合がある。そのような場合には従来のアクセス権限制御の方法では、新しいファイル名でアクセス権限を設定するか、あるいは元のファイル名を新しいファイル名に変更してアクセス権限を更新するか、の方法しかない。ところがアクセス権限の設定は煩雑であるので、失念することもある。その場合には変更後の新しいファイル名にはアクセス権限が設定されておらず、誰でもがアクセスできてしまう状態となる。しかし本発明によると、操作ログ情報ではファイル名などのファイル識別情報が変更されたことの操作履歴が特定できるので、上述のような従来の作業を行わなくても済む。   There are various methods for determining access authority using operation log information, and the method of the present invention can be used. The file name may be changed by some method. In such a case, the conventional access privilege control method can only set the access privilege with a new file name, or change the original file name to a new file name and update the access privilege. . However, setting the access authority is complicated and may be forgotten. In that case, no access authority is set for the new file name after the change, and anyone can access it. However, according to the present invention, the operation log information can identify the operation history indicating that the file identification information such as the file name has been changed, so that the conventional work as described above need not be performed.

請求項5の発明において、前記アクセス権限制御システムは、更に、各ユーザのユーザ識別情報とアクセス権限レベルの情報とを少なくとも記憶するユーザ情報記憶部を有しており、前記アクセス可否判定部は、前記取得した操作ログ情報においてファイル識別情報の変更を示す情報があった場合には、変更後のファイル識別情報を用いて前記ユーザ情報記憶部からアクセス権限レベルが記憶されているかを判定し、記憶されていれば該アクセス権限レベルを用いてアクセス権限の判定を行い、記憶されていなければ、変更前のファイル識別情報を用いて前記ユーザ情報記憶部に記憶されているかを判定し、それが記憶されていれば該アクセス権限レベルを用いてアクセス権限の判定を行う、アクセス権限制御システムである。   In the invention of claim 5, the access authority control system further includes a user information storage unit that stores at least user identification information and access authority level information of each user, and the access permission determination unit includes: If there is information indicating the change of the file identification information in the acquired operation log information, it is determined whether the access authority level is stored from the user information storage unit using the changed file identification information, and stored. If so, the access authority level is determined using the access authority level, and if not stored, the file identification information before the change is used to determine whether it is stored in the user information storage unit. If so, the access authority control system determines the access authority using the access authority level.

操作ログ情報を用いたアクセス権限の判定には様々な方法があるが、本発明の方法を用いることが出来る。請求項4の発明は、本発明のように構成しても同様の効果を得ることが出来る。   There are various methods for determining access authority using operation log information, and the method of the present invention can be used. The invention of claim 4 can obtain the same effect even if it is configured as in the present invention.

請求項6の発明において、前記問い合わせ受付部は、前記問い合わせの際に、更に、前記ファイルの作成日時または更新日時の情報を受け付け、前記アクセス可否判定部は、前記取得した操作ログ情報におけるファイルの作成日時または更新日時の情報と、前記問い合わせ受付部で受け付けたファイルの作成日時または更新日時の情報とを比較し、それらが一致しているか否かによりアクセス権限の判定を行う、アクセス権限制御システムである。   In the invention of claim 6, the inquiry receiving unit further receives information on the creation date / time or update date / time of the file at the time of the inquiry, and the access permission determination unit is configured to determine whether the file in the acquired operation log information An access authority control system that compares information on creation date / time or update date / time with information on file creation date / time or update date / time received by the inquiry reception unit, and determines access authority based on whether or not they match. It is.

操作ログ情報を用いたアクセス権限の判定には様々な方法があるが、本発明の方法を用いることが出来る。受け取ったファイルの作成日時や更新日時の情報が、ファイルの操作ログ情報における当該ファイルの作成日時や更新日時の情報と一致しない場合には、クライアント端末以外で何らかの操作が行われたと推察される。そして操作後のファイルを、ユーザが外部からUSBメモリなどの可搬型記憶媒体などによって持ち込んだことが推察される。従ってウィルスに感染したファイルである可能性がある。しかし本発明のように操作ログ情報の存在しないファイルをアクセス権限がないとして、クライアント端末で使用不可とすることが出来るので、外部からのファイルの持ち込みを防止することが出来る。   There are various methods for determining access authority using operation log information, and the method of the present invention can be used. If the received file creation date and update date information does not match the file creation date and update date information in the file operation log information, it is inferred that some operation other than the client terminal has been performed. And it is guessed that the user brought the file after the operation from the outside with a portable storage medium such as a USB memory. Therefore, the file may be infected with a virus. However, as in the present invention, a file without operation log information does not have access authority and can be disabled at the client terminal, so that it is possible to prevent the file from being brought in from the outside.

請求項7の発明において、前記アクセス可否判定部は、ユーザ識別情報毎にアクセス権限の判定方法を記憶しており、前記問い合わせ受付部で受け付けたユーザ識別情報に基づいて、アクセス権限の判定方法を特定する、アクセス権限制御システムである。   In the invention of claim 7, the access permission determination unit stores an access authority determination method for each user identification information, and the access authority determination method is based on the user identification information received by the inquiry reception unit. It is an access authority control system to identify.

アクセス権限の判定には上述の各判定方法を用いることが出来るが、それに限定はされず、複数の判定方法を用いるようにしても良い。そしてその場合には、各ユーザ毎に判定方法を変更可能としても良い。例えばUSBメモリなどにより外部からのファイル持ち込みの経歴があるユーザの場合にはそのような状況を判定可能な判定方法(例えば請求項3の発明の方法など)とし、単にアクセス権限レベルの判定を簡素化したい場合にはそれを判定可能な判定方法(例えば請求項2の発明の方法など)としても良い。   Although the above-described determination methods can be used for the determination of access authority, the present invention is not limited to this, and a plurality of determination methods may be used. In that case, the determination method may be changed for each user. For example, in the case of a user who has a history of bringing files from the outside using a USB memory or the like, a determination method that can determine such a situation (for example, the method of the invention of claim 3) is used, and the determination of the access authority level is simply simplified When it is desired to make it, it may be a determination method capable of determining it (for example, the method of the invention of claim 2).

請求項8の発明において、前記アクセス権限制御システムは、更に、前記判定結果に基づく制御指示を、ファイルに対するアクセス制御処理を実行するアクセス制御部に送信する結果送信部、を有しており、前記アクセス制御部は、前記結果送信部から受け取った制御指示に基づいて前記ファイルの制御を行う、アクセス権限制御システムである。   In the invention of claim 8, the access authority control system further includes a result transmission unit that transmits a control instruction based on the determination result to an access control unit that executes an access control process for the file, The access control unit is an access authority control system that controls the file based on a control instruction received from the result transmission unit.

クライアント端末は、管理サーバからの制御指示に基づいて、ファイルへのアクセス制御を行うことが望ましい。   The client terminal desirably performs access control to the file based on a control instruction from the management server.

請求項9の発明において、前記警告通知部は、前記判定結果としてアクセス権限がないことを判定した場合には、前記コンピュータ端末の表示装置において表示している各クライアント端末の操作画面情報のうち、判定したユーザの操作画面情報を強調表示する、アクセス権限制御システムである。   In the invention of claim 9, when the warning notification unit determines that there is no access authority as the determination result, among the operation screen information of each client terminal displayed on the display device of the computer terminal, This is an access authority control system that highlights the operation screen information of the determined user.

本発明のように構成することで、各クライアント端末の操作画面情報の一覧の表示画面を監視している管理者などは、その強調表示を確認することによって、当該ユーザの不正な操作を確認し、監視を許可することができる。   By configuring as in the present invention, an administrator or the like who monitors the display screen of the list of operation screen information of each client terminal confirms the unauthorized operation of the user by confirming the highlighted display. Can be allowed to monitor.

請求項10の発明において、少なくともファイルに対する操作ログ情報を記憶装置に記憶しているコンピュータを、ユーザによる前記ファイルへのアクセス可否の問い合わせと前記ファイルのファイル識別情報とをクライアント端末から受け付ける問い合わせ受付部、前記受け付けたファイル識別情報に基づいて、対応する操作ログ情報を前記記憶装置から取得する操作ログ情報取得部、少なくとも前記取得した操作ログ情報を用いて、前記ユーザによる前記ファイルへのアクセス権限の判定を行うアクセス可否判定部、前記判定結果としてアクセス権限がないことを判定した場合には、所定のコンピュータ端末に警告表示指示を行う警告通知部、として機能させるアクセス権限制御プログラムである。   11. The inquiry reception unit according to claim 10, wherein a computer storing at least operation log information for a file in a storage device receives an inquiry as to whether or not the user can access the file and file identification information of the file from a client terminal. , Based on the received file identification information, an operation log information acquisition unit that acquires corresponding operation log information from the storage device, at least using the acquired operation log information, the user's authority to access the file An access authority control program that functions as an access permission determination unit that performs a determination, and a warning notification unit that issues a warning display instruction to a predetermined computer terminal when it is determined that there is no access authority as the determination result.

本発明のプログラムを所定のコンピュータ上で実行することで、上述のアクセス権限制御システムが実現できる。   By executing the program of the present invention on a predetermined computer, the above-mentioned access authority control system can be realized.

本発明によって、従来のように単にアクセス権限の判定を行うのではなく、参照しようとするファイルのログ情報を参照することでそのファイルに対する操作履歴を確認して、当該ファイルに対する処理の経過も踏まえた上でアクセス権限の判定を行うこととなる。これによって、例えばアクセス権限のあるユーザが誤ってファイル名を変更して保存してしまった場合などであっても、ログ情報の操作履歴から元のファイル名を確認することが出来るので、アクセス権限のないユーザによるファイルの参照を防止することが出来る。   According to the present invention, instead of simply determining access authority as in the past, the operation history for the file is confirmed by referring to the log information of the file to be referred to, and the progress of processing for the file is also taken into consideration In addition, the access authority is determined. This allows you to check the original file name from the operation history of the log information, even if a user with access rights accidentally changes and saves the file name. It is possible to prevent a user who does not have a file from being referred to.

また、ユーザがアクセス権限のないファイルにアクセスしようとした場合には、そのことが管理者に通知される。これによって、この通知を受けた管理者が、当該ユーザが不正行為をしないか、操作を監視することもできる。
In addition, when the user tries to access a file without access authority, the administrator is notified of this. As a result, the administrator who has received this notification can also monitor the operation to determine whether the user is cheating.

本発明の全体の概念図を図1に、システム構成の概念図を図2に示す。本発明のアクセス権限制御システム1の説明においては、ユーザがクライアント端末3で何らかのファイルやフォルダ(本明細書ではこれらを総称して「ファイル」と称する)の情報にアクセスする(ファイルを開くなど)際に、管理サーバ2において当該ユーザが当該ファイルに対してアクセス権限があるかを判定し、その結果をユーザが利用するクライアント端末3に返す場合を説明する。更に、本発明のアクセス権限制御システム1では、アクセス権限がないファイルに、ユーザがクライアント端末3でアクセスしようとしている場合には、管理サーバ2でアクセス権限がないことを判定すると、管理サーバ2の表示装置22や管理者が利用するコンピュータ端末(管理者端末4)の表示装置22でそのことを表示する場合を説明する。   FIG. 1 shows an overall conceptual diagram of the present invention, and FIG. 2 shows a conceptual diagram of a system configuration. In the description of the access authority control system 1 of the present invention, the user accesses information on any file or folder (generically referred to as “file” in this specification) on the client terminal 3 (opens a file, etc.). At this time, a case will be described in which it is determined whether or not the user has access authority to the file in the management server 2 and the result is returned to the client terminal 3 used by the user. Furthermore, in the access authority control system 1 according to the present invention, when the user is trying to access a file without access authority at the client terminal 3, if the management server 2 determines that the access authority is not present, A case will be described in which this is displayed on the display device 22 or the display device 22 of the computer terminal (administrator terminal 4) used by the administrator.

管理サーバ2においては、問い合わせ受付部5と操作ログ情報記憶部6と操作ログ情報取得部7とユーザ情報記憶部8とアクセス可否判定部9と結果送信部10と警告通知部11とを有する。なお管理サーバ2は、ユーザが利用するクライアント端末3と情報の送受信が可能である。また図1及び図2ではクライアント端末3を一台しか図示していないが、実際は複数のクライアント端末3が存在している。   The management server 2 includes an inquiry reception unit 5, an operation log information storage unit 6, an operation log information acquisition unit 7, a user information storage unit 8, an accessibility determination unit 9, a result transmission unit 10, and a warning notification unit 11. The management server 2 can exchange information with the client terminal 3 used by the user. Although only one client terminal 3 is shown in FIGS. 1 and 2, there are actually a plurality of client terminals 3.

また各クライアント端末3の管理・監視などを行う管理者は、管理サーバ2を利用しても良いし、管理サーバ2と情報の送受信が可能な管理者端末4を利用していてもよい。   An administrator who manages and monitors each client terminal 3 may use the management server 2 or may use an administrator terminal 4 capable of transmitting / receiving information to / from the management server 2.

管理サーバ2、クライアント端末3、管理者端末4は、プログラムの演算処理を実行するCPUなどの演算装置20と、情報を記憶するRAMやハードディスクなどの記憶装置21と、演算装置20の処理結果や記憶装置21に記憶する情報をインターネットやLANなどのネットワークを介して送受信する通信装置24とを少なくとも有している。コンピュータ上で実現する各機能(各手段)は、その処理を実行する手段(プログラムやモジュールなど)が演算装置20に読み込まれることでその処理が実行される。各機能は、記憶装置21に記憶した情報をその処理において使用する場合には、該当する情報を当該記憶装置21から読み出し、読み出した情報を適宜、演算装置20における処理に用いる。当該コンピュータには、キーボードやマウスやテンキーなどの入力装置23、ディスプレイ(画面)などの表示装置22を有していても良い。図4に管理サーバ2のハードウェア構成の一例を模式的に示す。また、管理サーバ2は、複数のコンピュータ端末またはサーバに、その機能が分散配置されていても良い。   The management server 2, the client terminal 3, and the administrator terminal 4 include a calculation device 20 such as a CPU that executes program calculation processing, a storage device 21 such as a RAM or a hard disk that stores information, and processing results of the calculation device 20. It has at least a communication device 24 that transmits and receives information stored in the storage device 21 via a network such as the Internet or a LAN. Each function (each unit) realized on the computer is executed when a unit (program, module, etc.) for executing the process is read into the arithmetic unit 20. When using the information stored in the storage device 21 in the processing, each function reads the corresponding information from the storage device 21 and uses the read information for processing in the arithmetic device 20 as appropriate. The computer may include an input device 23 such as a keyboard, a mouse, and a numeric keypad, and a display device 22 such as a display (screen). FIG. 4 schematically shows an example of the hardware configuration of the management server 2. Further, the management server 2 may have its functions distributed in a plurality of computer terminals or servers.

なお本発明に於ける各手段は、その機能が論理的に区別されているのみであって、物理上あるいは事実上は同一の領域を為していても良い。又各記憶手段(記憶部)の記憶方式としては、データベース、データファイルなど様々な方式を用いることが出来る。   The means in the present invention are only logically distinguished in function, and may be physically or virtually the same area. Further, as a storage method of each storage means (storage unit), various methods such as a database and a data file can be used.

問い合わせ受付部5は、クライアント端末3においてユーザがファイルへのアクセスを行う際に、クライアント端末3から当該ユーザが当該ファイルへのアクセス権限を有しているかの問い合わせを受け付ける。なおクライアント端末3においてファイルへのアクセスを行う場合にはクライアント端末3から当該問い合わせを受け付けるが、ファイルサーバにあるファイルにユーザがクライアント端末3からアクセスしようとする場合、当該クライアント端末3またはファイルサーバから問い合わせを受け付けても良い。この問い合わせの際に、クライアント端末3やファイルサーバなどの所定のコンピュータ端末からは、ユーザがアクセスしようとするファイルの識別情報(ファイル名など)、ユーザの識別情報(ユーザ名、ログイン名など)をあわせて受け取る。   The inquiry reception unit 5 receives an inquiry from the client terminal 3 as to whether or not the user has an access authority to the file when the user accesses the file at the client terminal 3. When the client terminal 3 accesses a file, the inquiry is accepted from the client terminal 3, but when the user tries to access a file in the file server from the client terminal 3, the client terminal 3 or the file server Inquiries may be accepted. At the time of this inquiry, from a predetermined computer terminal such as the client terminal 3 or the file server, the identification information (file name etc.) of the file to be accessed by the user and the user identification information (user name, login name, etc.) are obtained. Receive together.

操作ログ情報記憶部6は、クライアント端末3で参照可能なファイルに対する操作のログ情報を記憶している。例えばファイル名、ファイルの作成者(ファイル作成者の識別情報)、作成日時、編集者(ファイル編集者の識別情報)、編集日時、ファイルの新規作成、ファイル更新、ファイル削除、ファイル名の変更、アクセス権限の変更、コピーの作成、ファイルの移動など、当該ファイルに対する操作ログ情報を記憶している。また操作ログ情報としては、上記のように、ファイルに対する操作内容のほかにも、クライアント端末3におけるユーザの操作、アプリケーションの実行状況などの内容が含まれていても良い。更に、当該クライアント端末3の識別情報やユーザの識別情報が含まれていることが良い。   The operation log information storage unit 6 stores operation log information for a file that can be referred to by the client terminal 3. For example, file name, file creator (identification information of file creator), creation date / time, editor (identification information of file editor), editing date / time, new file creation, file update, file deletion, file name change, Stores operation log information for the file, such as access authority change, copy creation, and file movement. Further, as described above, the operation log information may include contents such as a user operation on the client terminal 3 and an application execution status in addition to the operation contents for the file. Furthermore, it is preferable that the identification information of the client terminal 3 and the identification information of the user are included.

これらの操作ログ情報は、各クライアント端末3におけるユーザによる操作などを記録しておき、各クライアント端末3が定期的にまたは不定期に管理サーバ2に送信し、それを管理サーバ2で取得することで、操作ログ情報記憶部6に記憶される。操作ログ情報記憶部6では、各操作ログ情報を各クライアント端末3毎に記憶しておくことが好ましい。   These operation log information records operations performed by the user at each client terminal 3, and each client terminal 3 transmits to the management server 2 regularly or irregularly, and acquires it by the management server 2. And stored in the operation log information storage unit 6. The operation log information storage unit 6 preferably stores each operation log information for each client terminal 3.

なお操作ログ情報記憶部6では、各クライアント端末3において、様々なファイルの操作が行われたその操作履歴を操作ログ情報として記憶している。   The operation log information storage unit 6 stores operation logs of operation history of various files in each client terminal 3 as operation log information.

操作ログ情報取得部7は、問い合わせ受付部5において問い合わせを受け付けた際に、ファイルの識別情報に基づいて操作ログ情報記憶部6を参照し、当該ファイルに対する操作ログ情報を操作ログ情報記憶部6から取得する。なお、可搬型記憶媒体やハードディスクなどのハードウェアにおけるユニークID(個体識別情報)を操作ログ情報の一部として取得して操作ログ情報記憶部6に記憶させておき、問い合わせ受付部5において問い合わせを受け付けた際にファイル識別情報とユニークIDとを受け付けることで、それらを用いて操作ログ情報記憶部6を参照することで、当該ファイルに対する操作ログ情報を取得するように構成しても良い。   When the inquiry reception unit 5 receives an inquiry, the operation log information acquisition unit 7 refers to the operation log information storage unit 6 based on the identification information of the file, and the operation log information storage unit 6 stores the operation log information for the file. Get from. A unique ID (individual identification information) in hardware such as a portable storage medium or a hard disk is acquired as part of the operation log information and stored in the operation log information storage unit 6, and an inquiry is received in the inquiry reception unit 5. When the file identification information and the unique ID are received, the operation log information for the file may be acquired by referring to the operation log information storage unit 6 using them.

ユーザ情報記憶部8は、ユーザ毎の属性情報、例えばユーザ名やログイン名などのユーザ識別情報、アクセス権限レベル、所属などの情報を記憶している。なおアクセス権限レベルは各ユーザ毎に一つであっても良いし、ファイル毎に記憶されていても良い。   The user information storage unit 8 stores attribute information for each user, for example, user identification information such as a user name and a login name, information such as an access authority level and affiliation. The access authority level may be one for each user, or may be stored for each file.

アクセス可否判定部9は、操作ログ情報取得部7で取得した操作ログ情報を用いて(好適には更に、問い合わせ受付部5で受け付けた当該ユーザの識別情報を用いて)、当該ファイルに対して当該ユーザがアクセス権限があるかを判定する。この判定には様々な方法があるが、例えば下記の4種類の方法がある。なお以下の各判定方法において、操作ログ情報でどのような操作が行われたかは、予めOSなどで決まっているので、その操作を識別する識別情報により、どのような操作が行われたかを特定することが出来る。   The access permission determination unit 9 uses the operation log information acquired by the operation log information acquisition unit 7 (preferably further using the identification information of the user received by the inquiry reception unit 5) for the file. It is determined whether the user has access authority. There are various methods for this determination. For example, there are the following four methods. In each of the following judgment methods, what operation is performed in the operation log information is determined in advance by the OS, etc., so it is specified what operation has been performed by identification information for identifying the operation. I can do it.

第1の方法としては、操作ログ情報取得部7が操作ログ情報記憶部6から取得した、当該ファイルの操作ログ情報におけるファイル作成者の情報(ファイル作成者のユーザ識別情報)に基づいて(作成者ではなく、編集者(編集者のユーザ識別情報)であっても良い)、ユーザ情報記憶部8に記憶する当該ファイル作成者のアクセス権限レベルの情報を抽出し、また問い合わせ受付部5で受け付けた当該ユーザのユーザ識別情報に基づいて、ユーザ情報記憶部8に記憶する当該ユーザのアクセス権限レベルの情報を抽出する。そしてファイル作成者のアクセス権限レベルとユーザのアクセス権限レベルとを比較し、ユーザのアクセス権限レベルがファイル作成者のアクセス権限レベル以上であればアクセス権限があると判定する。一方、ユーザのアクセス権限レベルがファイル作成者のアクセス権限レベル未満であればアクセス権限がないと判定する。   As a first method, based on the file creator information (file creator user identification information) in the operation log information of the file acquired by the operation log information acquisition unit 7 from the operation log information storage unit 6 (created) The user's access authority level information stored in the user information storage unit 8 is extracted and received by the inquiry reception unit 5. Based on the user identification information of the user, information on the access authority level of the user stored in the user information storage unit 8 is extracted. Then, the access authority level of the file creator is compared with the access authority level of the user. If the access authority level of the user is equal to or higher than the access authority level of the file creator, it is determined that there is an access authority. On the other hand, if the access authority level of the user is lower than the access authority level of the file creator, it is determined that there is no access authority.

第2の方法としては、問い合わせ受付部5で受け付けた当該ファイルの識別情報に基づく操作ログ情報を、操作ログ情報取得部7が操作ログ情報記憶部6から取得できない場合には、そもそもクライアント端末3で使用が許可されていないファイルであるとしてユーザのアクセス権限レベルにかかわらず、アクセス権限がないと判定する。一方、操作ログ情報を取得した場合には、ほかの3方法による判定を行ったり、或いはアクセス権限があると判定する。この方法の場合には例えば、USBメモリのような可搬型記憶媒体をユーザが持ち込んで、そこに記憶したファイルにアクセスすることを制限する場合に有効である。なお可搬型記憶媒体としてはUSBメモリのほかにも、磁気ディスク、光磁気ディスク、光ディスクなども含まれる。   As a second method, when the operation log information acquisition unit 7 cannot acquire the operation log information based on the identification information of the file received by the inquiry reception unit 5 from the operation log information storage unit 6, the client terminal 3 It is determined that there is no access authority regardless of the access authority level of the user as a file that is not permitted to be used. On the other hand, when the operation log information is acquired, it is determined by another three methods or it is determined that the user has access authority. In the case of this method, for example, it is effective when a user brings in a portable storage medium such as a USB memory and restricts access to a file stored therein. In addition to the USB memory, the portable storage medium includes a magnetic disk, a magneto-optical disk, an optical disk, and the like.

第3の方法としては、問い合わせ受付部5で受け付けた当該ファイルの識別情報に基づく操作ログ情報を、操作ログ情報取得部7が操作ログ情報記憶部6から取得した結果、ファイル名の変更の情報があった場合、変更後のファイル名及び/又は変更前のファイル名を用いて当該ユーザ情報記憶部8に記憶する、当該ファイルに対するユーザのアクセス権限レベルの判定を行う。これは、まず変更後のファイル名(ファイル識別情報)でアクセス権限レベルがユーザ情報記憶部8に記憶されているかを判定し、記憶されていればその情報を用いてアクセス権限レベルの判定を行う。変更後のファイル名(ファイル識別情報)によるアクセス権限レベルが記憶されていない場合には、変更前のファイル名(ファイル識別情報)でアクセス権限レベルがユーザ情報記憶部8に記憶されているかを判定し、記憶されていればその情報を用いてアクセス権限レベルの判定を行う。このような判定方法を用いることによって、ファイル名が変更されていたとしても、アクセス権限レベルの判定が容易に行える。この方法の場合には例えば、アクセス権限レベルがファイル毎に設定されている場合に有効である。なおユーザ情報記憶部8にファイルに対するアクセス権限レベルが記憶されておらず、それ以外の記憶部にアクセス権限レベルが記憶されている場合には、その記憶部に対して上述の処理を行うこととなる。   As a third method, as a result of the operation log information acquisition unit 7 acquiring operation log information based on the identification information of the file received by the inquiry reception unit 5 from the operation log information storage unit 6, file name change information If there is a file name, the access authority level of the user for the file stored in the user information storage unit 8 is determined using the file name after change and / or the file name before change. First, it is determined whether or not the access authority level is stored in the user information storage unit 8 based on the changed file name (file identification information), and if it is stored, the access authority level is determined using the information. . If the access authority level based on the changed file name (file identification information) is not stored, it is determined whether the access authority level is stored in the user information storage unit 8 with the file name (file identification information) before the change. If it is stored, the information is used to determine the access authority level. By using such a determination method, the access authority level can be easily determined even if the file name has been changed. This method is effective, for example, when the access authority level is set for each file. When the access authority level for the file is not stored in the user information storage unit 8 and the access authority level is stored in other storage units, the above-described processing is performed on the storage unit. Become.

第4の方法としては、問い合わせ受付部5で受け付けた当該ファイルの識別情報に基づいて操作ログ情報取得部7が操作ログ情報記憶部6から取得した、ファイルの作成日時や最新の更新日時の情報と、ユーザがアクセスしようとするファイルの作成日時や最新の更新日時の情報(この情報は問い合わせ受付部5で問い合わせの際にあわせて所定のコンピュータ端末(クライアント端末3やファイルサーバ、可搬型記憶装置など)から受け付けていることが好ましい)とを比較し、それらが一致していない場合には、そもそもクライアント端末3で使用が許可されていないファイルであるとしてユーザのアクセス権限レベルにかかわらず、アクセス権限がないと判定する。一致している場合には、更に、上述の各方法を用いて判定を行ったり、或いはアクセス権限があると判定する。この方法の場合には例えば、USBメモリのような可搬型記憶媒体をユーザが持ち込んで、そこに記憶したファイルにアクセスすることを制限する場合に有効である。   As a fourth method, the file creation date and the latest update date and time information acquired from the operation log information storage unit 6 by the operation log information acquisition unit 7 based on the identification information of the file received by the inquiry reception unit 5 And information on the creation date and latest update date and time of the file to be accessed by the user (this information is determined by the inquiry reception unit 5 in accordance with a predetermined computer terminal (client terminal 3, file server, portable storage device). If they do not match, the file is not permitted to be used in the client terminal 3 regardless of the access authority level of the user. It is determined that there is no authority. If they match, it is further determined that each of the above methods is used, or it is determined that the user has access authority. In the case of this method, for example, it is effective when a user brings in a portable storage medium such as a USB memory and restricts access to a file stored therein.

なお上記で例示した4つの判定方法以外にもアクセス可否判定部9は操作ログ情報を用いてアクセス権限の判定を行うことが出来、上記方法に限定されるものではない。また管理サーバ2の管理者は、どの判定方法をアクセス可否判定部9で採用するか任意に設定可能であり、また一つの判定方法ではなく、複数の判定方法を用いても良い。またユーザ毎(ユーザ識別情報毎)に判定方法を設定しておき、問い合わせ受付部5で受け付けたユーザ識別情報に基づいてその判定方法を特定して、特定した判定方法によりアクセス権限の判定処理を実行するように構成しても良い。   In addition to the four determination methods exemplified above, the access permission determination unit 9 can determine the access authority using the operation log information, and is not limited to the above method. Further, the administrator of the management server 2 can arbitrarily set which determination method is adopted by the accessibility determination unit 9, and may use a plurality of determination methods instead of one determination method. In addition, a determination method is set for each user (for each user identification information), the determination method is specified based on the user identification information received by the inquiry reception unit 5, and access authority determination processing is performed by the specified determination method. It may be configured to execute.

結果送信部10は、アクセス可否判定部9で判定した結果をクライアント端末3などに備えたアクセス制御部(図示せず)に送信する。即ち、アクセス可否判定部9でアクセス権限があると判定していれば、アクセス許可の指示を送信し、アクセス可否判定部9でアクセス権限がないと判定していればアクセス不許可の指示を送信することとなる。この指示をクライアント端末3などのアクセス制御部は受け取り、アクセス許可の指示を受け取った場合には当該ファイルに対するアクセスを許可し、アクセス不許可の指示を受け取った場合には当該ファイルに対するアクセスを許可しない。なおアクセス制御部は、上述のようにクライアント端末3に備えられていても良いし、それ以外のコンピュータ端末(サーバも含む)に備えられていても良い。そしてアクセス制御部は、それを備えたコンピュータ端末において、ファイルに対するアクセス許可、不許可の制御処理を実行することとなる。   The result transmission unit 10 transmits the result determined by the access permission determination unit 9 to an access control unit (not shown) provided in the client terminal 3 or the like. That is, if the access permission determination unit 9 determines that there is access authority, an access permission instruction is transmitted, and if the access permission determination unit 9 determines that there is no access authority, an access permission instruction is transmitted. Will be. The access control unit such as the client terminal 3 receives this instruction, and when the access permission instruction is received, the access to the file is permitted, and when the access non-permission instruction is received, the access to the file is not permitted. . The access control unit may be provided in the client terminal 3 as described above, or may be provided in another computer terminal (including a server). Then, the access control unit executes control processing for permitting or not permitting access to the file in the computer terminal equipped with the access controller.

警告通知部11は、アクセス可否判定部9でアクセス権限がないと判定した場合には、管理サーバ2の表示装置22または管理者端末4の表示装置22で、ユーザがアクセス権限のないファイルにアクセスしようとしていることの情報を表示させるための、警告制御指示を通知する。つまり、管理者に、当該ユーザがアクセス権限がないファイルにアクセスしようとしていることを警告表示するための、警告表示指示を通知する。   When the warning notification unit 11 determines that the access permission determination unit 9 does not have access authority, the warning notification unit 11 accesses the file to which the user does not have access authority on the display device 22 of the management server 2 or the display device 22 of the administrator terminal 4. A warning control instruction is displayed to display information about what is going to be done. That is, the administrator is notified of a warning display instruction for displaying a warning that the user is trying to access a file for which the user does not have access authority.

なおどのユーザがアクセス権限のないファイルにアクセスしようとしているかは、当該ユーザの使用しているクライアント端末3から操作ログ情報を受け取っているので、その操作ログ情報におけるユーザ識別情報、またはクライアント端末識別情報などに基づいて判定することが可能である。   Note that which user is trying to access a file to which the user does not have access authority has received the operation log information from the client terminal 3 used by the user, so the user identification information in the operation log information or the client terminal identification information It is possible to determine based on the above.

警告通知部11による警告表示の一例が図5、図6である。図5は、表示装置22の画面に「ユーザ○○○がアクセス権限がないファイルにアクセスしようとしている」ことのメッセージが表示された状態であり、図6は、管理者端末4において、各クライアント端末3の表示装置22で表示している操作画面情報を一覧表示する画面が表示されており、当該ユーザ(アクセス権限がないファイルにアクセスしているユーザ)の操作画面情報に、強調表示をする場合である。強調表示としては、当該ユーザの操作画面情報の枠の色を変更する、枠の太さを変更する、操作画面情報や枠を点滅させる、操作画面情報を拡大表示する、操作画面情報を別ウィンドウでポップアップ表示するなどがあるがそれらに限定されない。当該ユーザの操作画面情報を拡大表示した場合を図7に示す。また当該ユーザの操作画面情報を別ウィンドウでポップアップ表示した場合を図8に示す。   An example of warning display by the warning notification unit 11 is shown in FIGS. FIG. 5 shows a state in which a message “User is trying to access a file for which user XXX does not have access authority” is displayed on the screen of the display device 22, and FIG. A screen for displaying a list of operation screen information displayed on the display device 22 of the terminal 3 is displayed, and the operation screen information of the user (a user accessing a file with no access authority) is highlighted. Is the case. For highlighting, change the frame color of the user's operation screen information, change the thickness of the frame, blink the operation screen information or the frame, enlarge the operation screen information, and display the operation screen information in a separate window There is a pop-up display etc., but it is not limited to them. FIG. 7 shows a case where the operation screen information of the user is enlarged and displayed. FIG. 8 shows a case where the operation screen information of the user is displayed in a pop-up in another window.

警告通知部11は、このような警告表示を管理サーバ2の表示装置22または管理者端末4の表示装置22で表示させるために、警告表示指示を管理サーバ2の表示装置22の制御をする機能または管理者端末4に通知する。従って、警告表示指示を受け取った管理者端末4などのコンピュータ端末は、その通知に基づいて、当該表示装置22で上述のような警告表示を行う。この警告表示指示には、当該ユーザまたはクライアント端末3の識別情報や警告表示の内容などが含まれていても良い。   The warning notification unit 11 controls the display device 22 of the management server 2 to display a warning display instruction in order to display such a warning display on the display device 22 of the management server 2 or the display device 22 of the administrator terminal 4. Alternatively, the administrator terminal 4 is notified. Accordingly, the computer terminal such as the administrator terminal 4 that has received the warning display instruction displays the warning as described above on the display device 22 based on the notification. This warning display instruction may include identification information of the user or the client terminal 3, contents of warning display, and the like.

なおこの場合、管理サーバ2では、各クライアント端末3から、その表示装置22で表示している操作画面情報を受け取り、それらが管理者端末4に送信され、管理者端末4の表示装置22で一覧表示されている。そのためこの場合には、各クライアント端末3には、クライアント端末3の表示装置22の画面をキャプチャして、定期的にまたは不定期に管理サーバ2に送信する機能を備えている。画面をキャプチャするには、例えばVRAMなどの画面に表示する情報を記憶する表示情報記憶装置から画面で表示している操作画面情報を読み取り、それを操作画面情報として送信すればよい。また管理サーバ2には各クライアント端末3から操作画面情報を受け取り、それを管理者端末4に送信する機能(操作画面情報処理部)を備えている。   In this case, the management server 2 receives the operation screen information displayed on the display device 22 from each client terminal 3, transmits them to the administrator terminal 4, and displays a list on the display device 22 of the administrator terminal 4. It is displayed. Therefore, in this case, each client terminal 3 has a function of capturing the screen of the display device 22 of the client terminal 3 and transmitting it to the management server 2 regularly or irregularly. In order to capture the screen, for example, the operation screen information displayed on the screen may be read from a display information storage device that stores information to be displayed on the screen, such as a VRAM, and transmitted as operation screen information. The management server 2 also has a function (operation screen information processing unit) that receives operation screen information from each client terminal 3 and transmits it to the administrator terminal 4.

なお予め管理サーバ2に管理者の電子メールアドレスが記憶されており、当該電子メールアドレスに対して電子メールにより管理者に対して通知がされても良い。またポップアップメッセージなどであっても良い。   Note that the administrator's e-mail address may be stored in advance in the management server 2, and the administrator may be notified by e-mail to the e-mail address. A pop-up message may also be used.

次に本発明のアクセス権限制御システム1における処理プロセスの一例を図3のフローチャートを用いて説明する。   Next, an example of a processing process in the access authority control system 1 of the present invention will be described with reference to the flowchart of FIG.

ユーザが、クライアント端末3、ファイルサーバ、或いはクライアント端末3と接続した可搬型記憶装置(USBメモリなど)に記憶したファイルへアクセスしようと思った場合、クライアント端末3で所定の操作を行うことにより、ファイルへアクセスする指示を当該クライアント端末3に入力する(S100)。その入力を受けてクライアント端末3は、当該ファイルをクライアント端末3で開く前に、アクセス権限の問い合わせを管理サーバ2に送信する(S110)。なお上述したようにアクセス権限の問い合わせは、クライアント端末3のほかにもファイルサーバなどの所定のコンピュータ端末から管理サーバ2に行われればよい。   When a user wants to access a file stored in a client terminal 3, a file server, or a portable storage device (such as a USB memory) connected to the client terminal 3, by performing a predetermined operation on the client terminal 3, An instruction to access the file is input to the client terminal 3 (S100). In response to the input, the client terminal 3 transmits an access authority inquiry to the management server 2 before opening the file on the client terminal 3 (S110). As described above, the access authority inquiry may be made to the management server 2 from a predetermined computer terminal such as a file server in addition to the client terminal 3.

なおこの問い合わせの際には、ユーザ識別情報、ユーザがアクセスをしようとするファイルのファイル識別情報などがあわせて送信されていることが望ましい。更に当該ファイルの作成日時または最新の更新日時などの情報が送信されていても良い。   In this inquiry, it is desirable that user identification information, file identification information of a file to be accessed by the user, and the like are transmitted together. Furthermore, information such as the creation date and time or the latest update date and time of the file may be transmitted.

問い合わせ受付部5でアクセス権限の問い合わせを受け付けると、操作ログ情報取得部7は、当該受け付けたファイル識別情報に基づいて、操作ログ情報記憶部6に記憶する、当該ファイルに対する操作ログ情報を取得する(S120)。この際に当該ファイルに対する全ての操作ログ情報を取得しても良いし、予め設定されている期間などの一部の操作ログ情報であっても良い。   When the inquiry reception unit 5 receives an access authority inquiry, the operation log information acquisition unit 7 acquires operation log information for the file stored in the operation log information storage unit 6 based on the received file identification information. (S120). At this time, all operation log information for the file may be acquired, or a part of operation log information such as a preset period may be used.

このようにして操作ログ情報取得部7が操作ログ情報記憶部6から当該ファイルに対する操作ログ情報を取得すると、その操作ログ情報を用いて、アクセス可否判定部9が、当該ユーザが当該ファイルに対してアクセス権限があるかを判定する(S130)。   When the operation log information acquisition unit 7 acquires operation log information for the file from the operation log information storage unit 6 in this manner, the access permission determination unit 9 uses the operation log information to allow the user to determine whether the user It is determined whether there is an access right (S130).

この判定は、上述の4つの判定方法のほかにも様々な方法を用いることが出来る。   In addition to the above four determination methods, various methods can be used for this determination.

そしてアクセス可否判定部9におけるアクセス権限の判定の結果、アクセス権限があると判定した場合には、結果送信部10がアクセス許可の指示をクライアント端末3に送信する。また判定の結果、アクセス権限がないと判定した場合には、結果送信部10がアクセス不許可の指示をクライアント端末3に送信する(S140)。   As a result of the access authority determination by the access permission determination unit 9, if it is determined that there is an access authority, the result transmission unit 10 transmits an access permission instruction to the client terminal 3. As a result of the determination, if it is determined that there is no access authority, the result transmitting unit 10 transmits an access non-permission instruction to the client terminal 3 (S140).

このアクセス許可の指示をクライアント端末3のアクセス制御部で受け取ると、当該クライアント端末3では、S100でアクセスの指示を受け付けたファイルについて、ファイルを開く処理を実行する。一方アクセス不許可の指示をクライアント端末3のアクセス制御部で受け取ると、当該クライアント端末3のアクセス制御部では、S100でアクセスの指示を受け付けたファイルについて、ファイルを開く処理を中止し、「アクセス権限がないため開けません」といったメッセージを表示するなどして、ユーザに通知する。なおアクセス不許可の指示をクライアント端末3のアクセス制御部で受け取った場合にファイルを開く処理を中止するほか、当該ファイルを記憶するUSBメモリなどの可搬型記憶媒体そのものの使用を中止するように構成することも出来る。   When this access permission instruction is received by the access control unit of the client terminal 3, the client terminal 3 executes a process for opening the file for which the access instruction has been received in S100. On the other hand, when the access control unit of the client terminal 3 receives an access non-permission instruction, the access control unit of the client terminal 3 cancels the file opening process for the file for which the access instruction has been received in S100, and the “access authority” Notify the user by displaying a message such as "Cannot open because there is no". When the access control unit of the client terminal 3 receives an access non-permission instruction, the process of opening the file is stopped, and the use of the portable storage medium itself such as a USB memory for storing the file is stopped. You can also

またアクセス可否判定部9におけるアクセス権限の判定の結果、アクセス権限がないと判定した場合には、警告通知部11は、管理サーバ2の表示装置22または管理者端末4の表示装置22で、ユーザがアクセス権限のないファイルにアクセスしようとしていることの情報を警告表示させる(S140)。これによって各クライアント端末3の管理者は、ユーザがアクセス権限がないファイルへアクセスしようとしていることを知ることができる。そして不正行為を当該ユーザが行っていないか、などを監視することができる。   If it is determined that there is no access authority as a result of the determination of the access authority in the access permission / inhibition determination unit 9, the warning notification unit 11 is displayed on the display device 22 of the management server 2 or the display device 22 of the administrator terminal 4. Displays information indicating that the user is trying to access a file without access authority (S140). As a result, the administrator of each client terminal 3 can know that the user is trying to access a file for which the user does not have access authority. It is possible to monitor whether or not the user is cheating.

従来のように単にアクセス権限の判定を行うのではなく、参照しようとするファイルのログ情報を参照することでそのファイルに対する操作履歴を確認して、当該ファイルに対する処理の経過も踏まえた上でアクセス権限の判定を行うこととなる。これによって、例えばアクセス権限のあるユーザが誤ってファイル名を変更して保存してしまった場合などであっても、ログ情報の操作履歴から元のファイル名を確認することが出来るので、アクセス権限のないユーザによるファイルの参照を防止することが出来る。   Rather than simply determining access privileges as in the past, check the operation history for the file by referring to the log information of the file to be referenced, and access it after taking into account the progress of processing for the file. The authority will be determined. This allows you to check the original file name from the operation history of the log information, even if a user with access rights accidentally changes and saves the file name. It is possible to prevent a user who does not have a file from being referred to.

また、ユーザがアクセス権限のないファイルにアクセスしようとした場合には、そのことが管理者に通知される。これによって、この通知を受けた管理者が、当該ユーザが不正行為をしないか、操作を監視することもできる。
In addition, when the user tries to access a file without access authority, the administrator is notified of this. As a result, the administrator who has received this notification can also monitor the operation to determine whether the user is cheating.

本発明の全体の概念図である。1 is an overall conceptual diagram of the present invention. 本発明のシステム構成の一例を示す概念図である。It is a conceptual diagram which shows an example of the system configuration | structure of this invention. 本発明の処理プロセスの一例を示すフローチャートである。It is a flowchart which shows an example of the processing process of this invention. 管理サーバなどのハードウェア構成の一例を示す図である。It is a figure which shows an example of hardware constitutions, such as a management server. 警告通知部による表示の一例である。It is an example of the display by a warning notification part. 警告通知部による表示のほかの一例である。It is another example of the display by a warning notification part. 警告通知部による表示のほかの一例である。It is another example of the display by a warning notification part. 警告通知部による表示のほかの一例である。It is another example of the display by a warning notification part.

符号の説明Explanation of symbols

1:アクセス権限制御システム
2:管理サーバ
3:クライアント端末
4:管理者端末
5:問い合わせ受付部
6:操作ログ情報記憶部
7:操作ログ情報取得部
8:ユーザ情報記憶部
9:アクセス可否判定部
10:結果送信部
11:警告通知部 1: Access authority control system 2: Management server 3: Client terminal 4: Administrator terminal 5: Inquiry reception unit 6: Operation log information storage unit 7: Operation log information acquisition unit 8: User information storage unit 9: Access permission determination unit 10: Result sending unit 11: Warning notification unit

Claims (10)

ファイルに対する操作ログ情報を用いてアクセス権限の判定を行うアクセス権限制御システムであって、
前記アクセス権限制御システムは、
ユーザによる前記ファイルへのアクセス可否の問い合わせと前記ファイルのファイル識別情報とを受け付ける問い合わせ受付部と、
少なくともファイルに対する操作ログ情報を記憶する操作ログ情報記憶部と、
前記受け付けたファイル識別情報に基づいて、対応する操作ログ情報を前記操作ログ情報記憶部から取得する操作ログ情報取得部と、
少なくとも前記取得した操作ログ情報を用いて、前記ユーザによる前記ファイルへのアクセス権限の判定を行うアクセス可否判定部と、
前記判定結果としてアクセス権限がないことを判定した場合には、所定のコンピュータ端末に警告表示指示を行う警告通知部と、
を有することを特徴とするアクセス権限制御システム。 An access authority control system for determining access authority using operation log information for a file,
The access authority control system includes:
An inquiry reception unit for receiving an inquiry about whether or not the user can access the file and file identification information of the file;
An operation log information storage unit for storing operation log information for at least the file;
An operation log information acquisition unit that acquires corresponding operation log information from the operation log information storage unit based on the received file identification information;
Using at least the acquired operation log information, an access permission determination unit that determines access authority to the file by the user;
When it is determined that there is no access authority as the determination result, a warning notification unit that issues a warning display instruction to a predetermined computer terminal;
An access authority control system comprising: 前記アクセス権限制御システムは、更に、
各ユーザのユーザ識別情報とアクセス権限レベルの情報とを少なくとも記憶するユーザ情報記憶部を有しており、
前記問い合わせ受付部は、前記問い合わせの際に、更に、前記ユーザのユーザ識別情報を受け付け、
前記アクセス可否判定部は、
前記取得した操作ログ情報におけるファイル作成者またはファイル編集者のユーザ識別情報に基づいて、前記ユーザ情報記憶部に記憶する該ファイル作成者またはファイル編集者のアクセス権限レベルの情報を抽出し、前記問い合わせ受付部で受け付けたユーザのユーザ識別情報に基づいて、前記ユーザ情報記憶部に記憶する該ユーザのアクセス権限レベルの情報を抽出し、前記抽出したユーザのアクセス権限レベルと、前記抽出したファイル作成者またはファイル編集者のアクセス権限レベルの情報とを比較することによって、アクセス権限の判定を行う、
ことを特徴とする請求項1に記載のアクセス権限制御システム。 The access authority control system further includes:
A user information storage unit that stores at least user identification information and access authority level information of each user;
The inquiry reception unit further receives user identification information of the user at the time of the inquiry,
The accessibility determination unit
Based on the user identification information of the file creator or file editor in the acquired operation log information, information on the access authority level of the file creator or file editor stored in the user information storage unit is extracted, and the inquiry Based on the user identification information of the user received by the reception unit, information on the access authority level of the user stored in the user information storage unit is extracted, and the extracted access authority level of the user and the extracted file creator Alternatively, the access authority is determined by comparing with the access authority level information of the file editor.
The access authority control system according to claim 1. 前記アクセス可否判定部は、
前記問い合わせ受付部で受け付けたファイル識別情報に基づいて、対応する操作ログ情報を前記操作ログ情報記憶部から取得できない場合には、アクセス権限がないと判定する、
ことを特徴とする請求項1または請求項2に記載のアクセス権限制御システム。 The accessibility determination unit
If the corresponding operation log information cannot be acquired from the operation log information storage unit based on the file identification information received by the inquiry reception unit, it is determined that there is no access authority.
The access authority control system according to claim 1 or 2, characterized by the above. 前記アクセス可否判定部は、
前記取得した操作ログ情報においてファイル識別情報の変更を示す情報があった場合には、まず変更後のファイル識別情報を用いてアクセス権限の判定を行い、変更後のファイル識別情報でアクセス権限の判定が行えない場合には、変更前のファイル識別情報を用いてアクセス権限の判定を行う、
ことを特徴とする請求項1から請求項3のいずれかに記載のアクセス権限制御システム。 The accessibility determination unit
If there is information indicating the change of the file identification information in the acquired operation log information, the access authority is first determined using the changed file identification information, and the access authority is determined based on the changed file identification information. If it is not possible to determine the access authority using the file identification information before the change,
The access authority control system according to any one of claims 1 to 3, wherein 前記アクセス権限制御システムは、更に、
各ユーザのユーザ識別情報とアクセス権限レベルの情報とを少なくとも記憶するユーザ情報記憶部を有しており、
前記アクセス可否判定部は、
前記取得した操作ログ情報においてファイル識別情報の変更を示す情報があった場合には、変更後のファイル識別情報を用いて前記ユーザ情報記憶部からアクセス権限レベルが記憶されているかを判定し、記憶されていれば該アクセス権限レベルを用いてアクセス権限の判定を行い、記憶されていなければ、変更前のファイル識別情報を用いて前記ユーザ情報記憶部に記憶されているかを判定し、それが記憶されていれば該アクセス権限レベルを用いてアクセス権限の判定を行う、
ことを特徴とする請求項1から請求項4のいずれかに記載のアクセス権限制御システム。 The access authority control system further includes:
A user information storage unit that stores at least user identification information and access authority level information of each user;
The accessibility determination unit
If there is information indicating the change of the file identification information in the acquired operation log information, it is determined whether the access authority level is stored from the user information storage unit using the changed file identification information, and stored. If so, the access authority level is determined using the access authority level, and if not stored, the file identification information before the change is used to determine whether it is stored in the user information storage unit. If so, the access authority level is determined using the access authority level.
The access authority control system according to any one of claims 1 to 4, wherein 前記問い合わせ受付部は、前記問い合わせの際に、更に、前記ファイルの作成日時または更新日時の情報を受け付け、
前記アクセス可否判定部は、
前記取得した操作ログ情報におけるファイルの作成日時または更新日時の情報と、前記問い合わせ受付部で受け付けたファイルの作成日時または更新日時の情報とを比較し、それらが一致しているか否かによりアクセス権限の判定を行う、
ことを特徴とする請求項1から請求項5のいずれかに記載のアクセス権限制御システム。 The inquiry receiving unit further receives information on the creation date or update date of the file at the time of the inquiry,
The accessibility determination unit
The file creation date or update date information in the acquired operation log information is compared with the file creation date or update date information received by the inquiry reception unit, and the access authority depends on whether or not they match. Judgment of
The access authority control system according to any one of claims 1 to 5, wherein 前記アクセス可否判定部は、
ユーザ識別情報毎にアクセス権限の判定方法を記憶しており、前記問い合わせ受付部で受け付けたユーザ識別情報に基づいて、アクセス権限の判定方法を特定する、
ことを特徴とする請求項1から請求項6のいずれかに記載のアクセス権限制御システム。 The accessibility determination unit
An access authority determination method is stored for each user identification information, and an access authority determination method is specified based on the user identification information received by the inquiry reception unit.
The access authority control system according to any one of claims 1 to 6, wherein 前記アクセス権限制御システムは、更に、
前記判定結果に基づく制御指示を、ファイルに対するアクセス制御処理を実行するアクセス制御部に送信する結果送信部、を有しており、
前記アクセス制御部は、
前記結果送信部から受け取った制御指示に基づいて前記ファイルの制御を行う、
ことを特徴とする請求項1から請求項7のいずれかに記載のアクセス権限制御システム。 The access authority control system further includes:
A result transmission unit that transmits a control instruction based on the determination result to an access control unit that executes an access control process for the file;
The access control unit
The file is controlled based on the control instruction received from the result transmission unit.
The access authority control system according to any one of claims 1 to 7, wherein 前記警告通知部は、
前記判定結果としてアクセス権限がないことを判定した場合には、前記コンピュータ端末の表示装置において表示している各クライアント端末の操作画面情報のうち、判定したユーザの操作画面情報を強調表示する、
ことを特徴とする請求項1から請求項8のいずれかに記載のアクセス権限制御システム。 The warning notification unit
When it is determined that there is no access authority as the determination result, the operation screen information of the determined user is highlighted among the operation screen information of each client terminal displayed on the display device of the computer terminal.
The access authority control system according to any one of claims 1 to 8, wherein 少なくともファイルに対する操作ログ情報を記憶装置に記憶しているコンピュータを、
ユーザによる前記ファイルへのアクセス可否の問い合わせと前記ファイルのファイル識別情報とをクライアント端末から受け付ける問い合わせ受付部、
前記受け付けたファイル識別情報に基づいて、対応する操作ログ情報を前記記憶装置から取得する操作ログ情報取得部、
少なくとも前記取得した操作ログ情報を用いて、前記ユーザによる前記ファイルへのアクセス権限の判定を行うアクセス可否判定部、
前記判定結果としてアクセス権限がないことを判定した場合には、所定のコンピュータ端末に警告表示指示を行う警告通知部、
として機能させることを特徴とするアクセス権限制御プログラム。 At least a computer storing operation log information for a file in a storage device,
An inquiry reception unit that receives an inquiry about whether or not the user can access the file and file identification information of the file from a client terminal;
An operation log information acquisition unit that acquires corresponding operation log information from the storage device based on the received file identification information;
Using at least the acquired operation log information, an access permission determination unit that determines access authority to the file by the user;
If it is determined that there is no access authority as the determination result, a warning notification unit that issues a warning display instruction to a predetermined computer terminal;
An access authority control program characterized by functioning as
JP2007247778A 2007-09-25 2007-09-25 Access authority control system Active JP4769241B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007247778A JP4769241B2 (en) 2007-09-25 2007-09-25 Access authority control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007247778A JP4769241B2 (en) 2007-09-25 2007-09-25 Access authority control system

Publications (2)

Publication Number Publication Date
JP2009080560A true JP2009080560A (en) 2009-04-16
JP4769241B2 JP4769241B2 (en) 2011-09-07

Family

ID=40655286

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007247778A Active JP4769241B2 (en) 2007-09-25 2007-09-25 Access authority control system

Country Status (1)

Country Link
JP (1) JP4769241B2 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013190896A (en) * 2012-03-13 2013-09-26 Nec Corp Information processing apparatus, file encryption discrimination method, authority determination method, and program
JP2015094985A (en) * 2013-11-08 2015-05-18 富士通株式会社 Information management program, apparatus, and method
JP2018077736A (en) * 2016-11-10 2018-05-17 富士通株式会社 Information processing apparatus, information processing method, and information processing system
WO2023127312A1 (en) * 2021-12-27 2023-07-06 株式会社日立ハイテク Information management system and information management method
CN116881316A (en) * 2023-07-28 2023-10-13 政采云有限公司 Permission query method, device, equipment and medium for chart access

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH01321536A (en) * 1988-06-23 1989-12-27 Casio Comput Co Ltd File access controller
JPH08137799A (en) * 1994-11-08 1996-05-31 Sony Corp Cyber space system
JPH09233453A (en) * 1996-02-20 1997-09-05 Canon Inc Access control method
JP2003330802A (en) * 2002-05-15 2003-11-21 Hitachi Information Systems Ltd Security information access monitoring control method, security information access monitoring control system using the access monitoring control method, and recording medium storing the security information access monitoring control program
JP2004287810A (en) * 2003-03-20 2004-10-14 Nec Corp Unauthorized access prevention system, unauthorized access prevention method, and unauthorized access prevention program
JP2006185113A (en) * 2004-12-27 2006-07-13 Hitachi Software Eng Co Ltd Information processor
JP2006251932A (en) * 2005-03-08 2006-09-21 Canon Inc Security management method, apparatus, and security management program
JP2007140961A (en) * 2005-11-18 2007-06-07 Pumpkin House:Kk Device for preventing usage of fraudulent copied file, and its program
JP2007164661A (en) * 2005-12-16 2007-06-28 Fuji Xerox Co Ltd Program, device and method for user authentication
JP4122042B1 (en) * 2007-06-28 2008-07-23 Sky株式会社 Access authority control system
JP4191239B2 (en) * 2008-03-10 2008-12-03 Sky株式会社 Access authority control system

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH01321536A (en) * 1988-06-23 1989-12-27 Casio Comput Co Ltd File access controller
JPH08137799A (en) * 1994-11-08 1996-05-31 Sony Corp Cyber space system
JPH09233453A (en) * 1996-02-20 1997-09-05 Canon Inc Access control method
JP2003330802A (en) * 2002-05-15 2003-11-21 Hitachi Information Systems Ltd Security information access monitoring control method, security information access monitoring control system using the access monitoring control method, and recording medium storing the security information access monitoring control program
JP2004287810A (en) * 2003-03-20 2004-10-14 Nec Corp Unauthorized access prevention system, unauthorized access prevention method, and unauthorized access prevention program
JP2006185113A (en) * 2004-12-27 2006-07-13 Hitachi Software Eng Co Ltd Information processor
JP2006251932A (en) * 2005-03-08 2006-09-21 Canon Inc Security management method, apparatus, and security management program
JP2007140961A (en) * 2005-11-18 2007-06-07 Pumpkin House:Kk Device for preventing usage of fraudulent copied file, and its program
JP2007164661A (en) * 2005-12-16 2007-06-28 Fuji Xerox Co Ltd Program, device and method for user authentication
JP4122042B1 (en) * 2007-06-28 2008-07-23 Sky株式会社 Access authority control system
JP4191239B2 (en) * 2008-03-10 2008-12-03 Sky株式会社 Access authority control system

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013190896A (en) * 2012-03-13 2013-09-26 Nec Corp Information processing apparatus, file encryption discrimination method, authority determination method, and program
JP2015094985A (en) * 2013-11-08 2015-05-18 富士通株式会社 Information management program, apparatus, and method
JP2018077736A (en) * 2016-11-10 2018-05-17 富士通株式会社 Information processing apparatus, information processing method, and information processing system
WO2023127312A1 (en) * 2021-12-27 2023-07-06 株式会社日立ハイテク Information management system and information management method
JPWO2023127312A1 (en) * 2021-12-27 2023-07-06
JP7691524B2 (en) 2021-12-27 2025-06-11 株式会社日立ハイテク Information management system, information management method
EP4459491A4 (en) * 2021-12-27 2025-12-17 Hitachi High Tech Corp INFORMATION MANAGEMENT SYSTEM AND INFORMATION MANAGEMENT PROCESS
CN116881316A (en) * 2023-07-28 2023-10-13 政采云有限公司 Permission query method, device, equipment and medium for chart access

Also Published As

Publication number Publication date
JP4769241B2 (en) 2011-09-07

Similar Documents

Publication Publication Date Title
JP3921865B2 (en) Data processing system and program recording medium thereof
JP6932175B2 (en) Personal number management device, personal number management method, and personal number management program
TWI306203B (en) Processes for controlling access to a host computer via user specific smart cards and for using low-cost memory cards to log onto a host computer and apparatus for performing the same
JP2013008121A (en) Database access management system, method and program
JP4587164B2 (en) Printing system, printing control method, and program
JP2005234729A (en) Unauthorized access prevention system and method
JP4769241B2 (en) Access authority control system
JP4122042B1 (en) Access authority control system
US20060206487A1 (en) Method for restricting use of file, information processing apparatus and program product therefor
CN107786551B (en) Method for accessing intranet server and device for controlling access to intranet server
JP2006119719A (en) Computer system and user authentication method
JP4850159B2 (en) External device management system
JP6351061B2 (en) Management system, management method, program, and user terminal
JP4191239B2 (en) Access authority control system
JP4653150B2 (en) File control system
JP2007058502A (en) Terminal management system
JP2008117316A (en) Business information protection device
CN119066673B (en) Permission control method, device, storage medium and computer program product
JP4005120B1 (en) Access authority control system
JP2008117317A (en) Business information protection device
JP4830576B2 (en) Information processing apparatus, data management method, program
JP4138854B1 (en) External device management system
JP4752125B2 (en) Computer system
JP2015153257A (en) Access control apparatus, information sharing system, program, and access control method
JP2008059063A (en) Information management program

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100906

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100921

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101025

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110201

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110329

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110607

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110617

R150 Certificate of patent or registration of utility model

Ref document number: 4769241

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140624

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140624

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250