JP6642139B2 - Operation management device, operation management method, and operation management program - Google Patents
Operation management device, operation management method, and operation management program Download PDFInfo
- Publication number
- JP6642139B2 JP6642139B2 JP2016047313A JP2016047313A JP6642139B2 JP 6642139 B2 JP6642139 B2 JP 6642139B2 JP 2016047313 A JP2016047313 A JP 2016047313A JP 2016047313 A JP2016047313 A JP 2016047313A JP 6642139 B2 JP6642139 B2 JP 6642139B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- approval
- unit
- approver
- approvers
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、操作管理装置等に関する。 The present invention relates to an operation management device and the like.
機密情報を操作する管理装置が、機密情報を保持する被管理装置の機密性の高い情報を操作している間、他の端末装置から機密情報の操作を行えないようにする技術が知られている(例えば、特許文献1参照)。かかる技術では、機密情報の操作を要求された被管理装置が、管理装置の一連のアクセス毎に異なる一時パスワードを生成し、機密情報の操作を依頼した管理装置に返送する。そして、被管理装置は、機密情報を操作する命令に付加された一時パスワードと生成し保存している一時パスワードとが一致する場合のみ機密情報への操作を開始する。 While a management device that operates confidential information is operating highly confidential information of a managed device that holds the confidential information, a technology is known that prevents other terminal devices from operating the confidential information. (For example, see Patent Document 1). In this technique, the managed device requested to operate the confidential information generates a different temporary password for each successive access of the managing device, and returns the temporary password to the managing device that has requested the operation of the confidential information. Then, the managed device starts the operation on the confidential information only when the temporary password added to the instruction for operating the confidential information matches the generated and stored temporary password.
しかしながら、従来では、操作者の不正な操作を防止できないという問題がある。例えば、従来技術では、機密情報を操作する管理装置が機密情報を保持する被管理装置の機密性の高い情報を操作している間、他の端末装置から機密情報の操作を行えないようにするが、操作している管理装置が機密情報を不正に操作することまで防止できない。すなわち、従来技術では、管理装置を使用する操作者の不正な操作を防止できない。 However, conventionally, there is a problem that an illegal operation by an operator cannot be prevented. For example, in the related art, while a management device that operates confidential information is operating highly confidential information of a managed device that holds confidential information, another terminal device cannot operate confidential information. However, it is impossible to prevent the management device operating the illegitimate operation of the confidential information. That is, in the related art, it is not possible to prevent an unauthorized operation of the operator using the management device.
1つの側面では、操作者の不正な操作を防止することを目的とする。 In one aspect, an object is to prevent an unauthorized operation by an operator.
1つの態様では、操作管理装置は、操作の承認依頼と、該操作を識別する操作情報と、承認者を識別する承認者情報とを受け付けると、受け付けた前記操作情報に基づき、前記操作に応じた承認者の人数を算出する算出部と、受け付けた前記承認者情報に応じた承認者のうち、前記操作に対応する承認ページにログインしている承認者の人数を特定する特定部と、前記特定部によって特定された人数と、前記算出部によって算出された人数とを比較する比較部と、前記比較部による比較結果に基づいて、前記操作の許否を行う操作許否部と、を有する。 In one aspect, upon receiving an operation approval request, operation information for identifying the operation, and approver information for identifying an approver, the operation management device responds to the operation based on the received operation information. A calculating unit that calculates the number of approvers that have received, and a specifying unit that specifies the number of approvers who are logged in to an approval page corresponding to the operation, among the approvers corresponding to the received approver information, A comparing unit that compares the number of persons specified by the specifying unit with the number of persons calculated by the calculating unit; and an operation permission / refusal unit that permits or denies the operation based on a comparison result by the comparing unit.
1つの態様によれば、操作者の不正な操作を防止する。 According to one aspect, an unauthorized operation by an operator is prevented.
以下に、本願の開示する操作管理装置、操作管理方法および操作管理プログラムの実施例を図面に基づいて詳細に説明する。なお、実施例によりこの発明が限定されるものではない。 Hereinafter, an embodiment of an operation management device, an operation management method, and an operation management program disclosed in the present application will be described in detail with reference to the drawings. The present invention is not limited by the embodiments.
[操作管理装置の構成]
図1は、実施例に係る操作管理装置の構成を示す機能ブロック図である。図1に示す操作管理装置1は、操作の承認依頼と、該操作を識別する操作情報と、承認者を識別する承認者情報とを受け付けると、受け付けた操作情報に基づき、該操作に応じた承認者の人数を算出する。操作管理装置1は、受け付けた承認者情報に応じた承認者のうち、操作に対応する承認ページにログインしている承認者の人数を特定し、特定された人数と、算出された人数との比較結果に基づいて操作の許否を行う。ここでいう操作とは、高いセキュリティが必要な操作のことをいい、例えば、機密情報へアクセスする操作のことをいう。操作の一例には、マイナンバーや年金などの機密情報を取り扱う操作が挙げられる。操作管理装置1は、例えば、操作およびログインに対して承認する承認システムに含まれる。
[Configuration of operation management device]
FIG. 1 is a functional block diagram illustrating the configuration of the operation management device according to the embodiment. When receiving the operation approval request, the operation information for identifying the operation, and the approver information for identifying the approver, the
操作管理装置1は、制御部10と、記憶部20とを有する。制御部10は、CPU(Central Processing Unit)などの電子回路に対応する。そして、制御部10は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、これらによって種々の処理を実行する。制御部10は、算出部11と、特定部12と、比較部13と、操作許否部14とを有する。
The
記憶部20は、例えば、RAM、フラッシュメモリ(Flash Memory)などの半導体メモリ素子、または、ハードディスク、光ディスクなどの記憶装置である。記憶部20は、定義情報21を有する。定義情報21は、操作の承認に必要な人数を算出する際に用いられる情報である。定義情報21には、例えば、操作対象、操作期間、操作内容、操作機器および操作場所に対応付けられる重みの情報が定義される。
The storage unit 20 is, for example, a semiconductor memory device such as a RAM or a flash memory, or a storage device such as a hard disk or an optical disk. The storage unit 20 has
操作対象は、操作される対象を示し、例えば、「人事」および「マイナンバー関連」などが挙げられる。「人事」には、重みとして1.0が対応付けられ、マイナンバー関連には、重みとして1.5が対応付けられる。すなわち、操作対象を操作する際に必要なセキュリティが高ければ高い程、重い重みが対応付けられる。 The operation target indicates a target to be operated, and includes, for example, “personnel” and “my number related”. "Personnel" is associated with 1.0 as a weight, and "My Number" is associated with 1.5 as a weight. In other words, the higher the security required when operating the operation target, the higher the weight is associated.
操作期間は、操作が行われる期間を示し、例えば、「0.5時間」および「1.0時間」などが挙げられる。「0.5時間」には、重みとして1.0が対応付けられ、「1.0時間」には、重みとして1.2が対応付けられる。すなわち、操作期間が長ければ長い程、重い重みが対応付けられる。 The operation period indicates a period during which the operation is performed, and includes, for example, “0.5 hours” and “1.0 hours”. "0.5 hours" is associated with 1.0 as a weight, and "1.0 hours" is associated with 1.2 as a weight. That is, the longer the operation period is, the higher the weight is associated.
操作内容は、操作の内容を示し、例えば、「参照」、「作成」、「更新」および「削除」などが挙げられる。「参照」には、重みとして1.0が対応付けられ、「作成」、「更新」および「削除」には、重みとして2.0が対応付けられる。すなわち、操作内容の操作が高いセキュリティを必要とすればする程、重い重みが対応付けられる。 The operation content indicates the content of the operation, and includes, for example, “reference”, “create”, “update”, and “delete”. "Reference" is associated with 1.0 as a weight, and "Create", "Update" and "Delete" are associated with 2.0 as a weight. That is, as the operation of the operation content requires higher security, the heavier weight is associated.
操作機器は、操作が行われる機器を示し、例えば、「専用機器」および「個人機器」などが挙げられる。「専用機器」には、重みとして1.0が対応付けられ、「個人機器」には、重みとして3.0が対応付けられる。すなわち、操作機器を用いて操作する際に高いセキュリティを必要とすればする程、重い重みが対応付けられる。 The operation device indicates a device on which an operation is performed, and includes, for example, a “dedicated device” and a “personal device”. The “dedicated device” is associated with a weight of 1.0, and the “personal device” is associated with a weight of 3.0. That is, the higher the security required when operating using the operation device, the higher the weight is associated.
操作場所は、操作が行われる場所を示し、例えば、「社内」および「外出先」などが挙げられる。「社内」には、重みとして1.0、「外出先」には、重みとして2.0が対応付けられる。すなわち、操作場所が高いセキュリティを必要とすればする程、重い重みが対応付けられる。 The operation place indicates a place where the operation is performed, and includes, for example, “in-house” and “out-of-home”. “In-house” is associated with a weight of 1.0, and “out of office” is associated with a weight of 2.0. That is, the higher the operation location requires higher security, the higher the weight is associated.
なお、重みが対応付けられる情報は、操作対象、操作期間、操作内容、操作機器および操作場所であると説明したが、これらに限定されるものではない。重みが対応付けられる情報は、操作に関し、セキュリティのレベルを変えた方が良いと思われる情報であれば良い。 Although the information associated with the weight is described as the operation target, the operation period, the operation content, the operation device, and the operation place, the information is not limited to these. The information associated with the weight may be any information for which it is considered that it is better to change the security level for the operation.
算出部11は、操作をする者から操作の承認依頼を受け付けると、受け付けた承認依頼に含まれる操作情報および定義情報21を用いて、操作の承認に必要な人数を算出する。例えば、算出部11は、定義情報21を参照し、承認依頼に含まれる操作情報に対応付けられた重みを抽出する。承認依頼に含まれる操作情報が複数である場合には、算出部11は、抽出した重みを乗算し、乗算して得られた値を操作の承認に必要な人数とする。なお、承認依頼に含まれる操作情報が単数である場合には、算出部11は、抽出した重みを操作の承認に必要な人数とすれば良い。算出された値が小数点の場合には、繰り上げすれば良い。
Upon receiving an operation approval request from a person who performs the operation, the
一例として、承認依頼に含まれる操作情報に、操作対象、操作期間および操作内容が含まれるとする。すると、算出部11は、操作対象に対応付けられた重みと、操作期間に対応付けられた重みと、操作内容に対応付けられた重みとを乗算し、乗算して得られた値を操作の承認に必要な人数とする。なお、操作内容が複数個ある場合には、算出部11は、それぞれの操作内容に対応付けられた重みの合計値を操作内容に対応付けられた重みとすれば良い。
As an example, it is assumed that the operation information included in the approval request includes an operation target, an operation period, and an operation content. Then, the
ここで、操作対象が「マイナンバー関連」であり、操作期間が「1.0時間」であり、操作内容が「参照,更新」であるとする。すると、算出部11は、定義情報21を参照し、操作対象を示す「マイナンバー関連」に対応付けられた重み1.5と、操作期間を示す「1.0時間」に対応付けられた重み1.2と、操作内容を示す「参照,更新」に対応付けられた重み3.0とを乗算する。そして、算出部11は、乗算して得られた値5.4、すなわち6を操作の承認に必要な人数とする。
Here, it is assumed that the operation target is “my number related”, the operation period is “1.0 hour”, and the operation content is “reference, update”. Then, the
また、算出部11は、操作が行われる際に用いられる一時的なアカウントを割り振る。算出部11は、割り振られたアカウントおよび算出された操作の承認に必要な人数を依頼元へ返信する。ここでいうアカウントは、「ワンタイムアカウント」という。ワンタイムアカウントは、割り振られたときには無効化される。
The
特定部12は、操作をする者(依頼者と同義)によって操作が行われる場合に、該操作に対応する承認ページにログインしている人の数を特定する。 When the operation is performed by a person who performs the operation (synonymous with the requester), the specifying unit 12 specifies the number of people who have logged in to the approval page corresponding to the operation.
比較部13は、特定部12によって特定された人数と、算出部11によって算出された人数とを比較する。
The comparing
操作許否部14は、比較部13による比較結果に基づいて、該当する操作の許否を行う。例えば、操作許否部14は、特定部12によって特定された人数が、算出部11によって算出された人数以上であれば、該当する操作を許可する。このとき、操作許否部14は、操作が行われるために割り振られたワンタイムアカウントを有効化する。この後、操作をする者(依頼者)は、このワンタイムアカウントを用いて操作を行うことが可能となる。操作許否部14は、特定部12によって特定された人数が、算出部11によって算出された人数未満であれば、該当する操作を許可しない。この結果、操作をする者の操作が複数人によって管理されることとなるので、操作者が不正を働きにくい環境を作ることができる。言い換えれば、操作者および複数の管理者が操作に対する責任を共有でき、操作者の不正な操作を防止できる。なお、操作許否部14は、特定部12によって特定された人数が、算出部11によって算出された人数以上であれば、該当する操作を許可すると説明した。しかしながら、操作許否部14は、これに限定されず、特定部12によって特定された人数が、算出部11によって算出された人数以上であって、操作期間内であれば、該当する操作を許可するとしても良い。
The operation permission / refusal unit 14 performs permission / rejection of the corresponding operation based on the comparison result by the
[操作管理処理のシーケンスの一例]
図2は、実施例に係る操作管理処理のシーケンスの一例を示す図である。図2に示すように、依頼者は、高いセキュリティが必要な操作を行う場合に、端末100を介して各メンバーに操作の承認依頼を行うものとする。ここでいう依頼者は、操作をする者(操作者)のことをいう。各メンバーは、それぞれ端末200を利用している。操作の承認は、承認システム300によって行われ、実際の操作は、業務システム400によって行われる。
[Example of operation management processing sequence]
FIG. 2 is a diagram illustrating an example of a sequence of an operation management process according to the embodiment. As shown in FIG. 2, when performing an operation that requires high security, the requester requests each member via the terminal 100 to approve the operation. The requester here means a person who performs an operation (operator). Each member uses the
端末100は、承認システム300に対して操作の承認依頼を送信する(S11)。操作の承認依頼には、例えば、ランダムな文字列のID(Identifier)、依頼者のパスワードおよび操作情報が含まれる。操作情報には、一例として、操作対象、操作期間および操作内容が含まれる。 The terminal 100 transmits an operation approval request to the approval system 300 (S11). The operation approval request includes, for example, a random character string ID (Identifier), a requester's password, and operation information. The operation information includes, for example, an operation target, an operation period, and an operation content.
承認システム300の操作管理装置1は、操作の承認依頼を受け付けると、IDおよびパスワードを用いて一時的なアカウント(ワンタイムアカウント)IDを生成する。操作管理装置1は、操作情報を用いて、操作の承認に必要な人数を算出する(S12)。例えば、操作管理装置1は、定義情報21を参照し、操作情報に対応付けられた重みを抽出する。一例として、算出部11は、定義情報21を参照し、操作対象に対応付けられた重み、操作期間に対応付けられた重みおよび操作内容に対応付けられた重みを抽出する。そして、算出部11は、抽出した各重みを乗算し、乗算して得られた値を操作の承認に必要な人数とする。ここでは、操作の承認に必要な人数は、「2」であるとする。算出部11は、一時的なアカウントIDおよび操作の承認に必要な人数を端末100に送信する(S13)。
When receiving the operation approval request, the
一時的なアカウントIDおよび操作の承認に必要な人数を受け付けた端末100は、少なくとも操作の承認に必要な人数分のメンバーの端末200に対して、操作の承認依頼を送信する(S14)。ここでは、端末100は、メンバーAの端末200−1、メンバーBの端末200−2、メンバーCの端末200−3に対して、操作の承認依頼を送信するとする。
The terminal 100 that has received the temporary account ID and the number of members required for approval of the operation transmits an operation approval request to at least the
ここで、操作の承認依頼を受け付けたメンバーAの端末200−1およびメンバーBの端末200−2が、それぞれ承認システム300上の当該操作の承認ページへログインすると(S15)、承認システム300の操作管理装置1は、ログイン認証する。
Here, when the terminal 200-1 of the member A and the terminal 200-2 of the member B that have received the operation approval request log in to the approval page of the operation on the approval system 300 (S15), the operation of the
続いて、端末100は、一時的なアカウントIDを用いて業務システム400へアクセスする(S16)。すると、業務システム400は、アクセスに対して操作管理装置1へリダイレクトする(S17)。すなわち、業務システム400は、端末100からのアクセスを操作管理装置1に移動させる。これは、端末100を認証するためである。そして、端末100は、承認システム300へログインする(S18)。
Subsequently, the terminal 100 accesses the
ログインを受け付けた承認システム300の操作管理装置1は、操作について承認している人数をチェックする(S19)。例えば、特定部12は、操作の承認ページにログインしている人の数を特定する。ここでは、特定される人数は、メンバーAとメンバーBの「2」である。比較部13は、特定された人数と、操作の承認に必要な人数とを比較する。そして、操作許否部14は、比較結果に基づいて、操作の許否を行う。ここでは、操作許否部14は、特定された人数「2」が操作の承認に必要な人数「2」以上であるので、操作を許可する。そこで、操作管理装置1は、端末100に対して、認証が成功した旨を送信する(S20)。
The
認証が成功した旨を受け付けた端末100は、業務システム400に対して操作を行う(S21)。操作を受け付けた業務システム400は、操作管理装置1に対して、操作に対する認可申請を送信する(S22)。
The terminal 100 that has accepted that the authentication has succeeded operates the business system 400 (S21). The
操作に対する認可申請を受け付けた操作管理装置1は、指定された操作情報を用いて、認可申請された操作が許可されている操作であるかをチェックする(S23)。例えば、操作許否部14は、認可申請された操作が、指定された操作情報に含まれる操作対象、操作期間および操作内容に該当するか否かを判定する。
The
そして、操作管理装置1は、認可申請された操作が許可されている操作であれば、当該操作を許可する。操作管理装置1は、認可申請された操作が許可されている操作でなければ、当該操作を許可しない。例えば、操作許否部14は、認可申請された操作が、指定された操作情報に含まれる操作対象、操作期間および操作内容に該当すると判定される場合には、当該操作を許可する。操作許否部14は、認可申請された操作が、指定された操作情報に含まれる操作対象、操作期間および操作内容のいずれか1つでも該当しないと判定する場合には、当該操作を許可しない。一例として、操作が、指定された操作対象以外の操作である場合、操作が、指定された操作期間を超えている場合、操作が、指定された操作内容と異なる場合である。
Then, the
これにより、操作管理装置1は、操作者が所望する操作に対する責任を共有できる場合には、操作者の不正な操作を防止することができる。言い換えれば、操作管理装置1は、操作者が所望する操作に対して互いに監視し合うことで、操作者の不正な操作を防止することができる。
As a result, when the responsibility for the operation desired by the operator can be shared, the
[操作管理処理のシーケンスの別の例]
図3は、実施例に係る操作管理処理のシーケンスの別の例を示す図である。図3では、操作の承認依頼を受け付けたメンバーA,B,Cの端末200のうちメンバーAの端末200−1のみが、承認システム300上の当該操作の承認ページへログインする場合である。なお、操作の承認に必要な人数は、図2と同様に「2」であるとする。また、図3のS11〜S18は、図2と同様の処理であるので、その説明を省略する。
[Another Example of Operation Management Processing Sequence]
FIG. 3 is a diagram illustrating another example of the sequence of the operation management process according to the embodiment. FIG. 3 illustrates a case where only the terminal 200-1 of the member A among the
端末100からログインを受け付けた承認システム300の操作管理装置1は、操作について承認している人数をチェックする(S31)。例えば、特定部12は、操作の承認ページにログインしている人の数を特定する。ここでは、特定される人数は、メンバーAの「1」である。比較部13は、特定された人数と、操作の承認に必要な人数とを比較する。そして、操作許否部14は、比較結果に基づいて、操作の許否を行う。ここでは、操作許否部14は、特定された人数「1」が操作の承認に必要な人数「2」未満であるので、操作を許可しない。そこで、操作管理装置1は、端末100に対して、認証エラーであ旨を送信する(S32)。
The
これにより、操作管理装置1は、操作者が所望する操作に対する責任を共有できない場合には、操作者の操作を許可しないことで、操作者の不正な操作を未然に防止することができる。
Accordingly, when the responsibility for the operation desired by the operator cannot be shared, the
[操作管理処理のシーケンスの別の例]
図4は、実施例に係る操作管理処理のシーケンスの別の例を示す図である。図4では、操作の承認依頼を受け付けたメンバーAの端末200−1およびメンバーBの端末200−2が、承認システム300上の当該操作の承認ページへログインしていたが、後にメンバーBの端末200−2がログアウトする場合である。なお、操作の承認に必要な人数は、図2と同様に「2」であるとする。また、図4のS11〜S22は、図2と同様の処理であるので、その説明を省略する。
[Another Example of Operation Management Processing Sequence]
FIG. 4 is a diagram illustrating another example of the sequence of the operation management process according to the embodiment. In FIG. 4, the terminal 200-1 of the member A and the terminal 200-2 of the member B that have received the operation approval request have logged in to the approval page of the operation on the
S22において、端末100から操作を受け付けた業務システム400は、操作管理装置1に対して、操作に対する認可申請を送信するとする。
In S22, the
操作に対する認可申請を受け付けた操作管理装置1は、承認者のログイン数、指定された操作情報に含まれる操作対象、操作期間および操作内容をチェックし、認可申請された操作が許可されている操作であるかをチェックする(S41)。
The
そして、操作管理装置1は、認可申請された操作が許可されている操作であれば、当該操作を許可する。操作管理装置1は、認可申請された操作が許可されている操作でなければ、当該操作を許可しない。ここでは、操作管理装置1は、認可申請された操作が許可されている操作であるので、当該操作を許可し、認可OKの応答を業務システム400に送信する(S42)。この後、依頼者は、端末100を介して操作を実行する。
Then, the
ここで、メンバーBが依頼者の不正の操作を発見したとする。メンバーBの端末200−2は、承認システム300上の該当する操作の承認ページに対してログアウトする(S43)。そして、承認システム300の操作管理装置1は、メンバーBの端末200−2をログアウトする。
Here, it is assumed that the member B discovers an illegal operation of the client. The terminal 200-2 of the member B logs out of the approval page of the corresponding operation on the approval system 300 (S43). Then, the
続いて、端末100は、業務システム400に対して操作を行う(S44)。操作を受け付けた業務システム400は、操作管理装置1に対して、操作に対する認可申請を送信する(S45)。
Subsequently, the terminal 100 operates the business system 400 (S44). The
操作に対する認可申請を受け付けた操作管理装置1は、承認者のログイン数、指定された操作情報に含まれる操作対象、操作期間および操作内容をチェックし、認可申請された操作が許可されている操作であるかをチェックする(S46)。
The
そして、操作管理装置1は、認可申請された操作が許可されている操作であれば、当該操作を許可する。操作管理装置1は、認可申請された操作が許可されている操作でなければ、当該操作を許可しない。ここでは、メンバーBがログアウトしたため、承認者のログイン数が「1」である。したがって、操作管理装置1は、承認者のログイン数「1」が操作の承認に必要な人数「2」未満であるので、操作を許可しない。そこで、操作管理装置1は、端末100に対して、認可エラーである旨を送信する(S47)。
Then, the
これにより、操作管理装置1は、操作者が操作する都度、操作が許可されている操作であるか否かをチェックするので、この操作者の不正な操作を防止することができる。
Accordingly, the
なお、操作管理装置1は、操作ごとに操作の履歴を記憶部20に格納するようにしても良い。そして、操作管理装置1は、操作に対応する承認ページにログインしている人(承認者)から操作の履歴の参照依頼を受け付けると、参照依頼をした承認者に操作の履歴を参照させても良い。これにより、操作管理装置1は、参照依頼をした承認者に、操作者の不正な操作を発見させることができる。
The
[実施例の効果]
このようにして、操作管理装置1は、操作の承認依頼と、該操作を識別する操作情報と、承認者を識別する承認者情報とを受け付けると、受け付けた操作情報に基づき、操作に応じた承認者の人数を算出する。操作管理装置1は、受け付けた前記承認者情報に応じた承認者のうち、操作に対応する承認ページにログインしている承認者の人数を特定する。操作管理装置1は、特定された人数と、算出された人数とを比較し、比較結果に基づいて、操作の許否を行う。かかる構成によれば、操作管理装置1は、操作に対応する承認ページにログインしている承認者の人数と、操作の許可の承認に必要な人数とを用いることで、複数人で操作に対する責任を共有できる。
[Effects of Embodiment]
In this way, when the
また、操作管理装置1は、操作の操作対象と、操作期間、操作内容、操作機器または操作場所の少なくとも1つとを含む操作情報に基づき、操作に応じた承認者の人数を算出する。かかる構成によれば、操作管理装置1は、操作対象が機密情報をアクセスするような対象である場合に、複数人で操作に対する責任を共有でき、操作者の不正な操作を防止できる。
In addition, the
また、操作管理装置1は、所定操作の承認依頼を受け付けると、操作が行われるために一時的に用いられるアカウントを割り振り、アカウントを依頼元へ送信する。かかる構成によれば、操作管理装置1は、一時的なアカウントを用いて操作が行われるため、セキュリティを強化できる。
Further, when receiving the approval request for the predetermined operation, the
また、操作管理装置1は、操作の履歴を記憶し、操作に対応する承認ページにログインしている承認者に前記操作の履歴を参照させる。かかる構成によれば、操作管理装置1は、操作に対応する承認ページにログインしている承認者に操作の履歴を参照させることで、操作者の不正な操作を発見させることができる。
Further, the
[その他]
なお、操作管理装置1は、既知のパーソナルコンピュータ、ワークステーションなどの情報処理装置に、上記した制御部10および記憶部20などの各機能を搭載することによって実現することができる。
[Others]
The
また、上記実施例では、図示した装置の各構成要素は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、装置の分散・統合の具体的態様は図示のものに限られず、その全部または一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、比較部13と操作許否部14とを統合しても良い。算出部11を、操作の承認に必要な人数を算出する算出部と、ワンタイムアカウントを割り振る割振部とに分散しても良い。記憶部20を操作管理装置1の外部装置としてネットワーク経由で接続するようにしても良い。
Further, in the above embodiment, each component of the illustrated apparatus does not necessarily need to be physically configured as illustrated. That is, the specific mode of the distribution / integration of the apparatus is not limited to the illustrated one, and all or a part of the apparatus is functionally or physically distributed / integrated in an arbitrary unit according to various loads and usage conditions. Can be configured. For example, the
また、上記実施例で説明した各種の処理は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーション等のコンピュータで実行することによって実現することができる。そこで、以下では、図1に示した操作管理装置1と同様の機能を実現する操作管理プログラムを実行するコンピュータの一例を説明する。図5は、操作管理プログラムを実行するコンピュータの一例を示す図である。
Further, the various processes described in the above embodiments can be realized by executing a prepared program on a computer such as a personal computer or a workstation. Therefore, an example of a computer that executes an operation management program that realizes the same functions as the
図5に示すように、コンピュータ200は、各種演算処理を実行するCPU203と、ユーザからのデータの入力を受け付ける入力装置215と、表示装置209を制御する表示制御部207とを有する。また、コンピュータ200は、記憶媒体からプログラム等を読取るドライブ装置213と、ネットワークを介して他のコンピュータとの間でデータの授受を行う通信制御部217とを有する。また、コンピュータ200は、各種情報を一時記憶するメモリ201と、HDD205を有する。そして、メモリ201、CPU203、HDD205、表示制御部207、ドライブ装置213、入力装置215、通信制御部217は、バス219で接続されている。
As illustrated in FIG. 5, the
ドライブ装置213は、例えばリムーバブルディスク211用の装置である。HDD205は、操作管理プログラム205aおよび操作管理関連情報205bを記憶する。
The
CPU203は、操作管理プログラム205aを読み出して、メモリ201に展開し、プロセスとして実行する。かかるプロセスは、操作管理装置1の各機能部に対応する。操作管理関連情報205bは、定義情報21に対応する。そして、例えばリムーバブルディスク211が、操作管理プログラム205a等の各情報を記憶する。
The
なお、操作管理プログラム205aについては、必ずしも最初からHDD205に記憶させておかなくても良い。例えば、コンピュータ200に挿入されるフレキシブルディスク(FD)、CD−ROM、DVDディスク、光磁気ディスク、ICカード等の「可搬用の物理媒体」に当該プログラムを記憶させておく。そして、コンピュータ200がこれらから操作管理プログラム205aを読み出して実行するようにしても良い。
Note that the
1 操作管理装置
10 制御部
11 算出部
12 特定部
13 比較部
14 操作許否部
20 記憶部
21 定義情報
DESCRIPTION OF
Claims (6)
受け付けた前記承認者情報に応じた承認者のうち、前記操作に対応する承認ページにログインしている承認者の人数を特定する特定部と、
前記特定部によって特定された人数と、前記算出部によって算出された人数とを比較する比較部と、
前記比較部による比較結果に基づいて、前記操作の許否を行う操作許否部と、
を有することを特徴とする操作管理装置。 Upon receiving an operation approval request, operation information for identifying the operation, and approver information for identifying an approver, a calculation unit that calculates the number of approvers according to the operation based on the received operation information. When,
A specifying unit that specifies the number of approvers who are logged in to the approval page corresponding to the operation, among the approvers corresponding to the received approver information;
A comparison unit that compares the number of people specified by the specification unit and the number of people calculated by the calculation unit,
An operation permission / refusal unit for permitting / rejecting the operation based on a comparison result by the comparison unit
An operation management device, comprising:
ことを特徴とする請求項1に記載の操作管理装置。 The calculation unit calculates the number of approvers according to the operation based on the operation information including an operation target of the operation and at least one of an operation period, an operation content, an operation device, and an operation place. The operation management device according to claim 1.
を有することを特徴とする請求項1に記載の操作管理装置。 The operation according to claim 1, further comprising: a transmission unit configured to allocate an account temporarily used for performing the operation when receiving an approval request for the predetermined operation, and to transmit the account to a request source. Management device.
前記操作に対応する承認ページにログインしている承認者に前記操作の履歴を参照させる参照部と、
を有することを特徴とする請求項1に記載の操作管理装置。 A storage unit for storing a history of the operation,
A reference unit that allows an approver logged in to an approval page corresponding to the operation to refer to the operation history,
The operation management device according to claim 1, further comprising:
操作の承認依頼と、該操作を識別する操作情報と、承認者を識別する承認者情報とを受け付けると、受け付けた前記操作情報に基づき、前記操作に応じた承認者の人数を算出し、
受け付けた前記承認者情報に応じた承認者のうち、前記操作に対応する承認ページにログインしている承認者の人数を特定し、
前記特定された人数と、前記算出された人数とを比較し、比較結果に基づいて、前記操作の許否を行う
処理を実行させることを特徴とする操作管理プログラム。 On the computer,
When accepting an operation approval request, operation information for identifying the operation, and approver information for identifying the approver, the number of approvers corresponding to the operation is calculated based on the received operation information,
Among the approvers corresponding to the received approver information, the number of approvers who are logged in to the approval page corresponding to the operation is specified,
An operation management program for comparing the specified number of persons with the calculated number of persons and executing a process of permitting or rejecting the operation based on a result of the comparison.
操作の承認依頼と、該操作を識別する操作情報と、承認者を識別する承認者情報とを受け付けると、受け付けた前記操作情報に基づき、前記操作に応じた承認者の人数を算出し、
受け付けた前記承認者情報に応じた承認者のうち、前記操作に対応する承認ページにログインしている承認者の人数を特定し、
前記特定された人数と、前記算出された人数とを比較し、比較結果に基づいて、前記操作の許否を行う
各処理を実行することを特徴とする操作管理方法。 Computer
When accepting an operation approval request, operation information for identifying the operation, and approver information for identifying the approver, the number of approvers corresponding to the operation is calculated based on the received operation information,
Among the approvers corresponding to the received approver information, the number of approvers who are logged in to the approval page corresponding to the operation is specified,
An operation management method, comprising: comparing the specified number of persons with the calculated number of persons; and executing each process of permitting or rejecting the operation based on a comparison result.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016047313A JP6642139B2 (en) | 2016-03-10 | 2016-03-10 | Operation management device, operation management method, and operation management program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016047313A JP6642139B2 (en) | 2016-03-10 | 2016-03-10 | Operation management device, operation management method, and operation management program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017163410A JP2017163410A (en) | 2017-09-14 |
| JP6642139B2 true JP6642139B2 (en) | 2020-02-05 |
Family
ID=59857164
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016047313A Expired - Fee Related JP6642139B2 (en) | 2016-03-10 | 2016-03-10 | Operation management device, operation management method, and operation management program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6642139B2 (en) |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4642725B2 (en) * | 2006-09-29 | 2011-03-02 | Necパーソナルプロダクツ株式会社 | Determination apparatus, determination method, and program |
| JP2009193470A (en) * | 2008-02-15 | 2009-08-27 | Panasonic Corp | Electronic approval workflow system |
| JP2009230257A (en) * | 2008-03-19 | 2009-10-08 | Sky Co Ltd | Approval system and approval program |
| JP2012074935A (en) * | 2010-09-29 | 2012-04-12 | Nec Access Technica Ltd | Compound machine, image output method, and program |
-
2016
- 2016-03-10 JP JP2016047313A patent/JP6642139B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2017163410A (en) | 2017-09-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7865950B2 (en) | System of assigning permissions to a user by password | |
| RU2620998C2 (en) | Method and authentication device for unlocking administrative rights | |
| JP5593327B2 (en) | Method and system for impersonating a user | |
| US8510818B2 (en) | Selective cross-realm authentication | |
| US8341707B2 (en) | Near real-time multi-party task authorization access control | |
| US9529993B2 (en) | Policy-driven approach to managing privileged/shared identity in an enterprise | |
| EP1914658B1 (en) | Identity controlled data center | |
| US20180115551A1 (en) | Proxy system for securely provisioning computing resources in cloud computing environment | |
| US12432202B1 (en) | Authentication for application downloads | |
| US8984291B2 (en) | Access to a computing environment by computing devices | |
| US20050177724A1 (en) | Authentication system and method | |
| JP2017510013A (en) | Techniques for providing network security with just-in-time provisioned accounts | |
| EP3429156A1 (en) | Method for granting access to a user to an asset | |
| EP3759629B1 (en) | Method, entity and system for managing access to data through a late dynamic binding of its associated metadata | |
| US8601540B2 (en) | Software license management | |
| JP2017027459A (en) | Authority delegation system, method of controlling the same, authorization server, and program | |
| TW200949603A (en) | System and method for providing a system management command | |
| US11956228B2 (en) | Method and apparatus for securely managing computer process access to network resources through delegated system credentials | |
| US9154497B1 (en) | Maintaining accountability of a shared password among multiple users | |
| JP4544956B2 (en) | Access control system, client terminal device, and program | |
| EP3407241B1 (en) | User authentication and authorization system for a mobile application | |
| JPWO2020031429A1 (en) | Terminal devices, authentication servers, terminal device control methods, and programs | |
| JP6341031B2 (en) | Access control program, access control method, and information processing apparatus | |
| KR101545897B1 (en) | A server access control system by periodic authentification of the smart card | |
| CN109840402A (en) | Privatization authorization of service management method, device, computer equipment and storage medium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181210 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20191126 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191203 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20191216 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6642139 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |