説明

画像処理装置、画像処理システムおよび認証装置

【課題】非正当ユーザによる不正使用を確実に防止できる、画像処理装置、画像処理システムおよび認証装置を提供する。
【解決手段】認証部402は、複数の操作ボタンを有する操作部200に対する操作が、予め登録された、画像処理を実行するためには実施することのない特殊操作であるか否かを判定する。ユーザ属性判定部403は、操作部200に対する操作に基づいて、操作者が、不当な侵入を試みる非正当ユーザであるか否かを判定する。管理強化部404は、ユーザ属性判定部が非正当ユーザであると判定した場合、セキュリティ強度を高めるセキュリティ強化処理を実行する。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証機能を有する画像処理装置、画像処理システムおよび認証装置に関する。
【背景技術】
【0002】
近年、オフィス等において、スキャナ、ファクシミリ、プリンタ、複写機等の機能を備える複合機(MFP:Multi Function Peripheral)が使用されている。複合機は、例えば、LAN(Local Area Network)等のネットワークを通じてパーソナルコンピュータ等の情報処理端末と接続された状況で使用されることが多い。そして、情報処理端末から入力された画像データを用紙上に印刷する画像形成装置として機能したり、情報処理端末において使用される画像データを取得する画像読取装置として機能したり、文書画像データを検索可能に蓄積する文書管理装置として機能したりする。
【0003】
このような複合機には、一般ユーザが画像処理を実施する通常モードと、サービスマンのように限られた者のみに開放された保守モードとを有するものがある。保守モードは、ユーザ登録権限等、一般ユーザよりも広い権限を付与された管理者でも実行することができない、課金基準となる単価表やカウンタ情報の変更やユーザ情報の取り出し等、画像処理装置の全ての情報にアクセス可能なモードである。そのため、一般ユーザ等の保守モードの実行が許されていない者による実行を確実に防止する必要がある。また、通常モードにおける使用であっても、印刷ジョブとして情報処理端末から入力される画像データや、複合機に蓄積される文書画像データには、機密度が高く他人に入手されたくないものも存在する。
【0004】
そのため、この種の複合機では、利用者の利用資格を確認するユーザ認証を実施することにより、保守モードの実行、あるいは、印刷ジョブとして入力された画像データの出力(印刷)や蓄積された文書画像データへのアクセスを、権限を有する者にのみ許可するユーザ認証が広く使用されている。そして、このようなユーザ認証のセキュリティ性をより高めるための技術が種々提案されている(例えば、特許文献1等参照。)。
【0005】
例えば、特許文献1は、ネットワーク機器がネットワークへのアクセスを開始したときに、予め登録されているあて先に、アクセス開始通知メッセージを送信する構成を開示している。また、当該ネットワーク機器を所有者等の正当ユーザが起動する場合には、ネットワーク機器に対して特定の入力を行うことによりアクセス開始通知メッセージの送信を解除可能に構成されている。この構成によれば、所有者ではない非正当ユーザがネットワーク機器を使用すると、予め登録されているあて先にアクセス開始通知メッセージが送信されることになるため、あて先を適切に設定しておくことで所有者や管理者が非正当ユーザによるネットワーク機器の使用開始を知ることができる。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2002−014928号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
上述の特許文献1が開示する技術では、非正当ユーザによるネットワーク機器の使用開始はネットワークを介して所有者あるいは管理者に通知される。しかしながら、当該使用が非正当ユーザによる使用であるか否かは、所有者あるいは管理者によって判断される必要がある。そのため、通知があったときに、所有者あるいは管理者が直ちに対応できない状況にあれば、非正当ユーザによる使用に対し何ら対処することはできない。すなわち、その非正当ユーザによりデータ等が持ち出され、あるいは、保守モードが実行された場合、その後に、通知により非正当ユーザによる使用があったことが認識できたとしてもデータ等の漏洩を防止することができず、手遅れである。また、当該技術は、ネットワークを介した侵入や攻撃を回避するため、スタンドアローンで使用されている装置等には適用することができない。
【0008】
一方、複合機では上述の保守モードへの移行を、操作部等に対する特殊操作により実現するものもある。特殊操作とは、画像処理を実行するためには実施することのない操作であり、例えば、操作ボタンの長時間押下、複数の操作ボタンの同時押下、操作ボタンの特定順序押下等である。このような方式では、ユーザIDおよびパスワードの入力による認証とは違い、保守モード移行のための特殊操作を承知している者以外のユーザには、保守モード移行のための入り口を見出すことすら困難になり、セキュリティを高めることができる。
【0009】
しかしながら、近年、このような特殊操作による認証方式を採用する電子機器が増大し、複合機に対して侵入や攻撃をしようとする非正当ユーザも、特殊操作として考えられる操作部の操作を手当たり次第に実施することも想定される。このような操作により不幸にも認証条件が満たされた場合、その非正当ユーザにより保守モードが実行され、あるいは、データ等が持ち出されてしまう。
【0010】
本発明は、このような従来技術の課題を鑑みてなされたものであり、非正当ユーザによる不正使用を確実に防止できる、画像処理装置、画像処理システムおよび認証装置を提供することを目的とする。
【課題を解決するための手段】
【0011】
上述の目的を達成するために、本発明は以下の技術的手段を採用している。すなわち、本発明に係る画像処理装置は認証機能を有し、操作部、認証部、ユーザ属性判定部および管理強化部を備える。認証部は、複数の操作ボタンを有する操作部に対する操作が、予め登録された、画像処理を実行するためには実施することのない特殊操作であるか否かを判定する。ユーザ属性判定部は、操作部に対する操作に基づいて、操作者が、不当な侵入を試みる非正当ユーザであるか否かを判定する。管理強化部は、ユーザ属性判定部が非正当ユーザであると判定した場合、セキュリティ強度を高めるセキュリティ強化処理を実行する。
【0012】
この画像処理装置では、操作者が非正当ユーザであるか否かが操作部に対する操作に基づいて適切に判定され、非正当ユーザであった場合にはセキュリティ強化処理が実行される。その結果、非正当ユーザの不正使用を確実に防止することができる。
【0013】
上述の画像処理装置において、ユーザ属性判定部は、明らかに異常な操作を実行した操作者を、非正当ユーザに属する攻撃ユーザと判定し、ユーザ属性判定部が攻撃ユーザであると判定した場合、管理強化部は、セキュリティ強化処理として、認証部による認証を禁止する構成を採用することができる。この構成では、攻撃ユーザによる手当たり次第の操作により不幸にも認証条件が満たされる状況下であっても、当該攻撃ユーザによる画像処理装置の操作は許可されない。その結果、セキュリティを確保することができる。
【0014】
また、ユーザ属性判定部は、異常な操作と疑われる操作を実行した操作者を、非正当ユーザに属する被疑ユーザと判定し、ユーザ属性判定部が被疑ユーザであると判定した場合、管理強化部が、セキュリティ強化処理として、侵入警戒処理を実行する構成を採用することもできる。ここで、異常な操作と疑われる操作とは、例えば、上述の異常な操作には該当しないが、画像処理を実行するためには実施する必要のない操作である。侵入警戒処理には、例えば、認証部に、特殊操作に代えて、予め登録された、当該特殊操作より複雑な操作である警戒時特殊操作であるか否かを判定させる処理や、管理者への通知処理等を採用することができる。
【0015】
この構成では、被疑ユーザに対して侵入警戒処理が実行されるため、正当ユーザと攻撃ユーザとの境界を柔軟に設定することができる。そのため、いたずら等をした操作者等、本来攻撃ユーザと判定すべきでない操作者が攻撃ユーザと判定される可能性を低減しつつ、攻撃ユーザによる使用を確実に排除することができる。
【0016】
なお、上述の認証は、画像処理を実施する通常モードから、装置保守のための保守モードへ移行するための認証に適用することができる。
【0017】
また、他の観点では、本発明は、画像処理装置、複数の操作ボタンを有する操作装置および認証装置を備える画像処理システムを提供することもできる。この構成では、認証装置は、認証部、ユーザ属性判定部および管理強化部を備える。認証部は、操作装置に対する操作が、予め登録された、画像処理を実行するためには実施することのない特殊操作であるか否かを判定する。ユーザ属性判定部は、操作部に対する操作に基づいて、操作者が、不当な侵入を試みる非正当ユーザであるか否かを判定する。管理強化部は、ユーザ属性判定部が非正当ユーザであると判定した場合、セキュリティ強度を高めるセキュリティ強化処理を実行する。
【0018】
さらに、他の観点では、本発明は、認証装置を提供することもできる。
【発明の効果】
【0019】
本発明によれば、高いセキュリティを確保することができ、非正当ユーザによる不正使用を確実に防止することができる。
【図面の簡単な説明】
【0020】
【図1】本発明の一実施形態における複合機の全体構成を示す概略構成図
【図2】本発明の一実施形態における複合機の操作パネルを示す模式図
【図3】本発明の一実施形態における複合機のハードウェア構成を示す図
【図4】本発明の一実施形態における複合機を示す機能ブロック図
【図5】本発明の一実施形態における複合機が実施する認証手順の一例を示すフロー図
【図6】本発明の一実施形態における複合機が実施するユーザ属性判定手順の一例を示すフロー図
【発明を実施するための形態】
【0021】
以下、本発明の一実施形態について、図面を参照しながらより詳細に説明する。以下では、デジタル複合機として本発明を具体化する。
【0022】
図1は本実施形態におけるデジタル複合機の全体構成の一例を示す概略構成図である。図1に示すように、複合機100は、画像読取部120および画像形成部140を含む本体101と、本体101の上方に取り付けられたプラテンカバー102とを備える。本体101の上面には原稿台103が設けられており、原稿台103はプラテンカバー102によって開閉されるようになっている。また、プラテンカバー102は、原稿搬送装置110を備えている。
【0023】
原稿台103の下方には、画像読取部120が設けられている。画像読取部120は、走査光学系121により原稿の画像を読み取りその画像のデジタルデータ(画像データ)を生成する。原稿は、原稿台103や原稿搬送装置110に載置することができる。走査光学系121は、第1キャリッジ122や第2キャリッジ123、集光レンズ124を備える。第1キャリッジ122には線状の光源131およびミラー132が設けられ、第2キャリッジ123にはミラー133および134が設けられている。光源131は原稿を照明する。ミラー132、133、134は、原稿からの反射光を集光レンズ124に導き、集光レンズ124はその光像をラインイメージセンサ125の受光面に結像する。この走査光学系121において、第1キャリッジ122および第2キャリッジ123は、副走査方向135に往復動可能に設けられている。第1キャリッジ122および第2キャリッジ123を副走査方向135に移動することによって、原稿台103に載置された原稿の画像をイメージセンサ125で読み取ることができる。原稿搬送装置110にセットされた原稿の画像を読み取る場合、画像読取部120は、第1キャリッジ122および第2キャリッジ123を画像読取位置に合わせて一時的に固定し、画像読取位置を通過する原稿の画像をイメージセンサ125で読み取る。イメージセンサ125は、受光面に入射した光像から、例えば、R(レッド)、G(グリーン)、B(ブルー)の各色に対応する原稿の画像データを生成する。生成された画像データは、画像形成部140において用紙に印刷することができる。また、ネットワークアダプタ161によりネットワーク162を通じて他の機器(図示せず)へ送信することもできる。
【0024】
画像形成部140は、画像読取部120で得た画像データや、ネットワーク162に接続された他の機器から受信した画像データを用紙に印刷する。画像形成部140は、感光体ドラム141を備える。感光体ドラム141は一定速度で一方向に回転する。感光体ドラム141の周囲には、回転方向の上流側から順に、帯電器142、露光器143、現像器144、中間転写ベルト145が配置されている。帯電器142は、感光体ドラム141表面を一様に帯電させる。露光器143は、一様に帯電した感光体ドラム141の表面に、画像データに応じて光を照射し、感光体ドラム141上に静電潜像を形成する。現像器144は、その静電潜像にトナーを付着させ、感光体ドラム141上にトナー像を形成する。中間転写ベルト145は、感光体ドラム141上のトナー像を用紙に転写する。画像データがカラー画像である場合、中間転写ベルト145は、各色のトナー像を同一の用紙に転写する。なお、RGB形式のカラー画像は、C(シアン)、M(マゼンタ)、Y(イエロー)、K(ブラック)形式の画像データに変換され、各色の画像データが露光器143に入力される。
【0025】
画像形成部140は、手差しトレイ151、給紙カセット152、153、154等から、中間転写ベルト145と転写ローラ146との間の転写部に用紙を給送する。手差しトレイ151や各給紙カセット152、153、154には、様々なサイズの用紙を載置または収容することができる。画像形成部140は、ユーザの指定した用紙や、自動検知した原稿のサイズに応じた用紙を選択し、選択した用紙を給送ローラ155により手差しトレイ151やカセット152、153、154から給紙する。給紙された用紙は搬送ローラ156やレジストローラ157で転写部に搬送する。トナー像を転写した用紙は、搬送ベルト147により定着器148に搬送される。定着器148は、ヒータを内蔵した定着ローラ158および加圧ローラ159を有しており、熱と押圧力によってトナー像を用紙に定着する。画像形成部140は、定着器148を通過した用紙を排紙トレイ149へ排紙する。
【0026】
図2は複合機が備える操作パネルの外観の一例を示す図である。ユーザは、操作パネル200を用いて、複合機100に複写開始やその他の指示を与えたり、複合機100の状態や設定を確認したりすることができる。操作パネル200には、タッチパネル付きディスプレイ201や操作キー203が配置されている。ディスプレイ201は、操作ボタンやメッセージ等を表示する液晶ディスプレイ等からなる表示面と、当該表示面上の押圧位置を検出するセンサとを備える。押圧位置の検知方法は特に限定されない。抵抗膜方式、静電容量方式、表面弾性波方式、電磁波方式等、任意の方式を採用することができる。ユーザは、自身の指やタッチペン202を使用して、ディスプレイ201を通じて入力を行うことができる。
【0027】
ディスプレイ201は、ボタン表示部204、メッセージ表示部205およびステータス表示部206を有する操作画面を表示する。ボタン表示部204には、複数のタブ208が用意されており、各タブにはそのタブのカテゴリーに応じた操作ボタンが配列されている。「簡単設定」タブは、基本的な設定に使用される操作ボタンを有する。図2の例では、用紙サイズ、複写倍率、濃度、印刷面、ページ集約、後処理を設定するための操作ボタンが配列されている。例えば「濃度」ボタン207を押圧する操作をユーザが行うと、濃度を選択するための「薄い」、「ふつう」、「濃い」等の選択ボタンを有するポップアップ画面がその操作ボタン上に重ねて表示され、ユーザの選択(押圧)によりその濃度が設定される。図2の例では、「簡単設定」タブの他、「原稿/用紙/仕上げ」タブ、「カラー/画質」タブ、「レイアウト/編集」タブ、「応用/その他」タブも設けられている。ユーザは、タブボタン208を選択する操作を行うことによって、これらのタブの表示に切り替えることができる。一つのタブが選択されている間、操作画面上で他のタブやその要素は隠れている。
【0028】
メッセージ表示部205には、複写が可能か否か、複写部数などの設定をユーザに通知するメッセージが表示される。なお、本実施形態の複合機100は、複合機100を使用する場合に、ユーザ(操作者)の利用資格を確認するユーザ認証処理(ログイン処理)が実施される構成になっている。図2は、当該ユーザ認証処理が実施される前の状態を示しており、メッセージ表示部205に、ユーザ認証情報の入力を要求する「認証情報を入力してください」のメッセージが表示されている。ここでは、ユーザは、テンキー210、あるいは必要に応じてタッチパネル201に表示されるソフトウェアキーボードを用いて、ユーザ認証情報を入力する。
【0029】
ステータス表示部206には、必要に応じて装置ステータス情報が表示される。この表示には、複合機100が備える各種センサの検知結果が反映される。装置ステータス情報とは、装置は動作可能な状態にあるが、異常への対応を促す警告をユーザに通知するメッセージを意味する。例えば、用紙残量が少ない旨、原稿台103が汚れている旨、ファクシミリのメモリ受信が設定されている場合にファックス文書がメモリに格納された旨等が含まれる。また、用紙切れや搬送ジャム等が装置ステータス情報に含まれてもよい。
【0030】
操作キー203は、主電源キー209、テンキー210やスタートキー211、クリアキー212、LogOutキー213等を含む。例えば、主電源キー209は、複合機100の主電源のON、OFFの切り替えに使用される。テンキー210は、複写部数の指定や複写倍率の設定に用いることができる。ユーザがそれらの設定をすると、複合機100は、メッセージ表示部205に、例えば、「コピーできます(設定あり)」のようなメッセージを表示し、ユーザによる設定が行われたことを通知する。スタートキー211は、複写や画像印刷の開始指示に使用される。ユーザは、自身でした設定を解除する場合、クリアキー212を操作する。ユーザによる設定を機械が受け付けているかどうかは上述のメッセージで判断することができるので、その設定が不要になればクリアキー212を操作すればよい。特に限定されないが、本実施形態では、上述のユーザ認証処理により、ユーザの利用資格が確認されるまで、当該ユーザ認証および後述の特殊認証に関する情報入力を除き、操作パネル200を通じた操作が禁止される構成になっている。認証されたユーザが複合機使用後にLogOutキー213を押下する、あるいは、操作パネル200に対する操作および画像読取部120や画像形成部140の動作がない時間が認証後に所定時間継続すると、複合機100は認証処理が実施される前の状態に戻るように構成されている。
【0031】
図3は、複合機における制御系のハードウェア構成図である。本実施形態の複合機100は、CPU(Central Processing Unit)301、RAM(Random Access Memory)302、ROM(Read Only Memory)303、HDD(Hard Disk Drive)304および原稿搬送装置110、画像読取部120、画像形成部140における各駆動部に対応するドライバ305が内部バス306を介して接続されている。ROM303やHDD304等はプログラムを格納しており、CPU301はその制御プログラムの指令にしたがって複合機100を制御する。例えば、CPU301はRAM302を作業領域として利用し、ドライバ305とデータや命令を授受することにより上記各駆動部の動作を制御する。また、HDD304は、画像読取部120により得られた画像データや、他の機器からネットワークアダプタ161を通じて受信した画像データの蓄積にも用いられる。
【0032】
内部バス306には、操作パネル200や各種のセンサ307も接続されている。操作パネル200は、ユーザの操作を受け付け、その操作に基づく信号をCPU301に供給する。また、ディスプレイ201は、CPU301からの制御信号にしたがって上述の操作画面を表示する。センサ307は、プラテンカバー102の開閉検知センサや原稿台103上の原稿検知センサ、定着器148の温度センサ、搬送される用紙または原稿の検知センサなど各種のセンサを含む。CPU301は、例えばROM303に格納されたプログラムを実行することで、以下の各手段(機能ブロック)を実現するとともに、これらセンサからの信号に応じて各手段の動作を制御する。
【0033】
図4は、本実施形態の複合機の機能ブロック図である。図4に示すように、本実施形態の複合機100は、操作認識部401、認証部402、ユーザ属性判定部403および管理強化部404を備える。
【0034】
操作認識部401は、操作パネル200における、操作キー203の押下およびディスプレイ201の押圧を認識し、ユーザの操作内容を認識する。特に限定されないが、本実施形態では、ディスプレイ201の押圧位置を検出するセンサにより検出された押圧位置の座標が操作認識部401に入力され、操作認識部401が、自身が保持する操作ボタン等の画面要素の座標と、入力された押圧位置の座標とに基づいてディスプレイ201に対するユーザの操作内容を認識する。また、操作認識部401は、操作キー203の押下も認識する。操作認識部401により認識された操作は、認証部402およびユーザ属性判定部403に入力される。
【0035】
本実施形態では、操作パネル200は操作部として機能し、操作キー203、ディスプレイ201に表示される操作ボタンおよび押圧領域は、いずれも、操作部が備える複数の操作ボタンに相当する。
【0036】
認証部402は、操作部200に対する操作が、予め登録された特殊操作であるか否かを判定することで認証を実施する(以下、特殊認証という。)。特殊操作とは操作部200に対する操作のうち、画像処理を実行するためには実施することのない操作を意味する。例えば、特定の操作ボタンの長時間押下、特定の複数の操作ボタンの同時押下、ディスプレイ201における、1または複数の特定領域の押圧等の操作、当該操作や特定の操作ボタンの押下を特定順序で連続的に実行する操作、これらの操作を主電源オン時に実行する操作等を特殊操作とすることができる。なお、上述のユーザ認証のための情報入力は、画像処理を実行するための操作に含まれる。つまり、ユーザ認証処理がなされていない状態では、ユーザ認証のための情報入力のみが画像処理を実行するための操作になる。したがって、本構成では、ユーザ認証のための情報入力に使用しない操作ボタンに対する操作を全て特殊操作と判定することもできる。
【0037】
特に限定されないが、本実施形態では、認証部402に、少なくとも1つの特定の特殊操作(例えば、特定の複数の操作ボタンを、同時に長時間押下する操作)が予め登録されており、認証部402は、当該予め登録されている特殊操作と操作認識部401から入力された操作とを照合し、両者が一致するか否かを判断する。予め登録されている特殊操作と操作認識部401から入力された操作とが一致する場合、認証部402は、特殊認証条件を満足すると判断して特殊認証処理を実行する。このような、特殊認証は、特に、保守モードへの移行等、極めて限定された者のみに使用を許可するための認証処理への適用が有効であるが、一般ユーザのユーザ認証への適用することも可能である。なお、本実施形態では、複合機100における各種処理は、操作認識部401が認識したユーザの指示に基づいて、動作制御部405が実行するよう構成されており、認証部402は、動作制御部405の動作制限を解除することで、保守モードへの移行等を実現する。
【0038】
また、本実施形態では、認証部402は、上述のユーザIDとパスワードとを使用したユーザ認証も実施するように構成されている。すなわち、認証部402には、複合機100の使用を許可するユーザのユーザIDと当該ユーザIDと対応づけられたパスワードを記録した使用許可者リストが予め登録されており、操作部200から入力されたユーザIDおよびパスワードとが使用許可者リストに含まれている場合、認証部402はユーザ認証条件を満足すると判断してユーザ認証処理を実行する。当該ユーザ認証が完了すると、認証部402は、動作制御部405の動作制限を解除することで、そのユーザによる複合機100の使用を許可する。
【0039】
ユーザ属性判定部403は、操作部200に対する操作に基づいて、ユーザが、不当な侵入を試みる非正当ユーザであるか否かを判定する。上述のように、ユーザ属性判定部403には、操作部200になされた操作が操作認識部401を通じて入力される。本実施形態では、ユーザ属性判定部403は、当該入力された操作に基づいて、ユーザを、正当ユーザ、被疑ユーザ、攻撃ユーザのいずれかの属性に区分する。なお、被疑ユーザおよび攻撃ユーザが非正当ユーザである。また、本実施形態では、ユーザ属性判定部403は、予め指定された時間内に操作部200を通じてなされた操作の履歴を保持する構成になっており、当該保持している操作履歴に基づいて非正当ユーザであるか否かを判定する。
【0040】
ユーザ属性判定部403は、明らかに異常な操作を実行したユーザを攻撃ユーザと判定する。明らかに異常な操作とは、例えば、特殊認証条件を満足することなく、上述の特殊操作を継続的に実施する操作である。継続的な実施は、例えば、特殊操作が、予め指定された回数(例えば、十〜数十回)以上繰り返された、あるいは予め指定された時間(例えば、数分間)以上繰り返された等により判定することができる。また、予め指定された時間内に所定回数以上の特殊操作が実施されたか否かにより判定することもできる。
【0041】
また、ユーザ属性判定部403は、異常な操作と疑われる操作を実行したユーザを被疑ユーザと判定する。異常な操作と疑われる操作とは、上述の異常な操作には該当しないが、画像処理を実行するためには実施する必要のない操作である。例えば、上述の明らかに異常な操作と判定される基準には達していないが、特殊認証条件を満足することなく、上述の特殊操作を所定回数(例えば、数回)続けて実施する操作等である。
【0042】
また、ユーザ属性判定部403は、特殊操作を実施しないユーザ、および被疑ユーザと認定される所定回数未満の特殊操作を実施したユーザを正当ユーザと判定する。
【0043】
なお、上述のように、被疑ユーザを、操作に基づいて判定することも可能である。しかしながら、セキュリティ確保の観点から、本実施形態では、ユーザ属性判定部403は、正当ユーザに該当せず、かつ攻撃ユーザにも該当しないユーザを被疑ユーザと判定する。
【0044】
管理強化部404は、ユーザ属性判定部403が非正当ユーザであると判定した場合、セキュリティ強度を高めるセキュリティ強化処理を実行する。特に限定されないが、本実施形態では、ユーザ属性判定部403が攻撃ユーザであると判定した場合、管理強化部404は、セキュリティ強化処理として、認証部402による認証を禁止するように構成されている。また、ユーザ属性判定部403が被疑ユーザであると判定した場合、管理強化部404は、セキュリティ強化処理として、後述の侵入警戒処理を実行するように構成されている。
【0045】
なお、複合機100は、報知部406も備えている。報知部406は、管理強化部404の指示に応じて警告を報知する。なお、報知方法は、表示、音声等、任意の方法を採用することができる。本実施形態では、報知部406は、ディスプレイ201にメッセージ(警告表示)を表示するとともに警告音を発生する機能を有する。また、本実施形態では、複合機100はネットワーク162に接続されているため、報知部406は、予め登録されているメールアドレス等に、警告メールを送信する機能も有している。
【0046】
図5は、複合機100が実行する特殊認証手順の一例を示すフロー図である。当該手順は、例えば、複合機100の主電源がオンされたことをトリガとして開始する。
【0047】
上述のように、本実施形態では、ログイン処理がなされていない状況下では、操作パネル200を通じた認証情報の入力のみが許されている。当該状況下において、操作認識部401は、操作パネル200を通じた操作を認識すると、当該操作を認証部402およびユーザ属性判定部403に入力する(ステップS501Yes)。
【0048】
操作認識部401により認識された操作が入力されたユーザ属性判定部403は、当該操作をしたユーザが上述の非正当ユーザであるか否かを判定する(ステップS502)。図6は、ユーザ属性判定部403が実行するユーザ属性判定手順の一例を示すフロー図である。
【0049】
操作認識部401からの操作入力を受けて、ユーザ属性判定部403は、当該操作を自身が保持している操作履歴に追加するとともに当該操作履歴を参照し、当該操作履歴が正常な操作であるか否かを判定する(ステップS601)。ユーザ属性判定部403は、操作履歴が、自身が保持している正常操作の判定基準を満足する場合、現在操作中のユーザを正当ユーザと判定する(ステップS601Yes、S605)。ユーザ属性判定部403には、例えば、「操作履歴に特殊操作が含まれない」および「操作履歴に、被疑ユーザと認定される所定回数(例えば数回)未満の特殊操作しか含まれていない」を、正常操作の判定基準として登録することができる。なお、上述のように、画像処理を実行するためには実施することのない操作が特殊操作であり、特殊操作と判定すべき操作はユーザ属性判定部403に予め登録されている。
【0050】
なお、本実施形態では、上述の特殊認証条件を満足する特殊操作が、順序が定められた一連の操作のような複数の操作ステップからなる場合でも、操作認識部401は、認識した1ステップずつの操作をユーザ属性判定部403に入力する。例えば、順序が定められた3ステップの操作からなる特殊操作が特殊認証条件として認証部402に登録されている場合、ユーザ属性判定部403は3回の特殊操作があったと認識する。この場合、被疑ユーザと認定される所定回数を、一連の操作を構成する操作ステップ数よりも大きく設定する必要がある。
【0051】
一方、ユーザ属性判定部403が保持している操作履歴が、正常操作の判定基準を満足していない場合、ユーザ属性判定部403は、当該操作履歴が異常な操作であるか否かを判定する(ステップS601No、S602)。ユーザ属性判定部403は、操作履歴が、自身が保持している異常操作の判定基準を満足する場合、現在操作中のユーザを攻撃ユーザと判定する(ステップS602Yes、S604)。ユーザ属性判定部403には、例えば、「特殊認証条件を満足することがなく、かつ操作履歴において特殊操作が予め指定された回数(例えば、十〜数十回)以上繰り返されている」、「特殊認証条件を満足することがなく、かつ操作履歴において特殊操作が予め指定された時間(例えば、数分間)以上繰り返されている」、あるいは「特殊認証条件を満足することがなく、かつ操作履歴において予め指定された時間内に所定回数以上の特殊操作が実施されている」等を、異常操作の判定基準として登録することができる。
【0052】
また、保持している操作履歴が正常操作の判定条件を満足せず、かつ異常操作の判定条件を満足しない場合、ユーザ属性判定部403は、現在操作中のユーザを被疑ユーザと判定する(ステップS602No、S603)。
【0053】
以上のようにして、ユーザ属性を判定したユーザ属性判定部403は、判定結果が非正当ユーザ(攻撃ユーザまたは被疑ユーザ)であった場合、その旨を管理強化部404に通知する(ステップS503Yes)。
【0054】
当該通知を受けた管理強化部404は、ユーザ属性判定部403から通知されたユーザ属性が攻撃ユーザであるか否かを判定する(ステップS504)。ユーザ属性が攻撃ユーザあった場合、管理強化部404は認証部402に認証禁止を指示するとともに、報知部406に警報発報を指示する(ステップS504Yes、S510)。ここでは、当該指示を受けた認証部402は、ユーザ認証および特殊認証の双方を禁止する。その結果、複合機100は、いわゆるシステムロック状態になる。また、警報発報指示を受けた報知部406は、ディスプレイ201にメッセージ(警告表示)を表示するとともに警告音を発生する。また、予め登録されている管理者等のメールアドレスに、攻撃を受けている旨を通知する警告メールを送信する。なお、システムロック状態の解除は、例えば、予め登録された他の特殊操作により実行できる構成にすればよい。
【0055】
また、ユーザ属性判定部403から通知されたユーザ属性が被疑ユーザであった場合、管理強化部404は侵入警戒処理を実施する。ここでは、管理強化部404は、侵入警戒処理として、認証部402に、予め登録された特殊操作(特殊認証条件)に代えて、当該特殊操作より複雑な特殊操作である警戒時特殊操作と、ユーザによってなされた特殊操作とを照合する。当該警戒時特殊操作は、警戒時特殊認証条件として、認証部402に予め登録されている。なお、特殊認証条件と警戒時特殊認証条件とは、相互に独立した特殊操作であることが好ましい。
【0056】
警戒時特殊認証条件を例示すると、例えば、特殊認証条件が、「特定の2つの操作ボタンを、同時に長時間押下する操作」である場合、「特定の4つの操作ボタンを、同時に長時間押下する操作」は複雑な特殊操作であるといえ、警戒時特殊認証条件とすることができる。また、特殊認証条件が、「3ステップからなる一連の操作」である場合、「6ステップからなる一連の操作」は複雑な特殊操作であるといえ、警戒時特殊認証条件とすることができる。
【0057】
この侵入警戒処理は、警戒解除条件が満たされるまで継続する(ステップS506No、S507No、S506)。警戒解除条件は、侵入操作が中止された等、侵入警戒処理を実施する必要性がなくなったことを判別できる条件であればよい。ここでは、警戒解除条件として、「侵入警戒処理開始後、特殊操作がなされない状態が指定時間(例えば、10分)継続した」が管理強化部404に登録されており、当該警戒解除条件が満足されるまで、管理強化部404は侵入警戒処理を継続する。なお、警戒解除条件を満足した場合、侵入警戒処理は終了し、操作部200に対する操作を受け付ける状態が維持される(ステップS506Yes、S501)。
【0058】
特に限定されないが、本実施形態の複合機100では、侵入警戒処理が開始された場合、警告表示や警告音の発報はなされず、報知部406が、被疑ユーザに使用されている旨を通知する警告メールを予め登録されている管理者等のメールアドレスに送信する。そのため、複合機100の外観上は、侵入警戒処理が開始されたことは認識できない。しかしながら、保守モードへの移行権限を有している者は、特殊認証条件および警戒時特殊認証条件をともに認識しているので、特殊認証条件を満足する特殊操作を実行しても保守モードに移行できないことをもって、侵入警戒処理が実行されていることを認識することができる。また、この場合、警戒時特殊認証条件を満足する特殊操作を実行することで保守モードに移行することもできるので、何ら不都合はない。
【0059】
侵入警戒処理開始後、警戒時特殊認証条件を満足する特殊操作がなされた場合、認証部402は特殊認証処理を実施し、動作制御部405に保守モードへの移行を指示する(ステップS507Yes、S508)。この場合、管理強化部404は侵入警戒処理を終了する。
【0060】
一方、ユーザ属性判定部403による判定が正当ユーザであった場合、ユーザ属性判定部403は特に何もしない。したがって、特殊認証条件を満足する特殊操作がなされた場合、認証部402は特殊認証処理を実施し、動作制御部405に保守モードへの移行を指示する(ステップS503No、S509Yes、S508)。また、特殊認証条件を満足しない場合は、操作部200に対する操作を受け付ける状態が維持される(ステップS509No、S501)。
【0061】
以上説明したように、この複合機100では、操作部200に対する操作に基づいて、ユーザ(操作者)が非正当ユーザであるか否かが適切に判定され、非正当ユーザであった場合にはセキュリティ強度を高めるセキュリティ強化処理が実行される。その結果、非正当ユーザの不正使用を確実に防止することができる。
【0062】
また、この複合機100では、ユーザ属性判定部403は、明らかに異常な操作を実行したユーザを非正当ユーザに属する攻撃ユーザと判定し、管理強化部404は、当該攻撃ユーザに対するセキュリティ強化処理として、認証部402による認証を禁止する。そのため、攻撃ユーザによる手当たり次第の操作により不幸にも認証条件が満たされる状況下であっても当該攻撃ユーザによる複合機100の操作は許可されない。その結果、複合機100のセキュリティを確保することができる。
【0063】
さらに、この複合機100では、ユーザ属性判定部403は、異常な操作と疑われる操作を実行したユーザを非正当ユーザに属する被疑ユーザと判定し、管理強化部404は、被疑ユーザに対するセキュリティ強化処理として、認証部402に、特殊認証条件による認証に代えて、警戒時特殊認証条件による認証を実施する侵入警戒処理を実行する。また、ネットワークに接続された環境下では、ネットワークを介して管理者等へその旨を通知する。その結果、被疑ユーザに対しても、複合機100のセキュリティを確保することができる。また、この構成では、被疑ユーザに対して、セキュリティ強度の高い警戒時特殊操作を要求することにより、正当ユーザであることの確認が強化でなされる。そのため、何らかの事情により正当ユーザが被疑ユーザと認定された場合でも、正当ユーザとして特殊認証できる機会を付与することができる。また、このように被疑ユーザというユーザ属性を設けることにより、柔軟なセキュリティ設定を実現することができ、いたずら等をした操作者等、本来攻撃ユーザと判定すべきでない操作者が攻撃ユーザと判定される可能性を低減しつつ、攻撃ユーザによる使用を確実に排除することができる。
【0064】
これらの効果は、複合機100がネットワークに接続されず、スタンドアローンで使用されている場合であっても、得ることができる。
【0065】
なお、上述の実施形態では、特定の時間内になされた操作に基づいてユーザ属性を判定する構成としたが、同一人による操作を認識可能な構成を有する複合機では、当該同一人による操作に基づいてユーザ属性を判定してもよい。例えば、装置前における操作者の有無を検出するセンサを有する複合機では、当該センサが同一人を認識している間の操作に基づいてユーザ属性を判定すればよい。また、待機時に消費電力を低減する省電力モードへ移行する機能を有する複合機では、省電力モードから通常モードへの復帰後、かつ操作パネル200が、認証情報のみを受け付ける状態でなされた操作に基づいてユーザ属性を判定することもできる。
【0066】
以上説明したように、本発明によれば、高いセキュリティを確保することができ、非正当ユーザによる不正使用を確実に防止することができる。
【0067】
なお、上述した実施形態は本発明の技術的範囲を制限するものではなく、既に記載したもの以外でも、本発明の範囲内で種々の変形や応用が可能である。例えば、上記実施形態では、画像処理装置である複合機の操作パネルを通じた操作に基づいて説明をしたが、当該複合機と通信可能に接続されたパーソナルコンピュータ等の情報処理端末を介して複合機に対する操作が行われてもよい。この場合、上述の実施形態における操作パネル200のディスプレイ201の機能は、情報処理端末が具備する、ディスプレイ等の表示手段およびキーボード等の入力手段により提供される。
【0068】
また、図5、図6に示したフローチャートは、等価な作用を奏する範囲において、各ステップの順序を適宜変更可能である。例えば、図5における、正当ユーザ、異常ユーザの判定順を入れ替えた場合でも、同様の効果を得ることができる。
【0069】
また、上記実施形態では、好ましい形態として、正当ユーザ、被疑ユーザ、異常ユーザの3種のユーザ属性を使用したが、正当ユーザと被疑ユーザ(非正当ユーザ)の2分類や正当ユーザと異常ユーザ(非正当ユーザ)の2分類を使用してもよい。あるいは、3分類より多くのユーザ属性を使用することもできる。
【0070】
さらに、上記では、デジタル複合機として本発明を具体化したが、デジタル複合機に限らず、プリンタ、複写機等の任意の画像処理装置に本発明を適用することも可能である。
【0071】
加えて、上記では、画像処理装置である複合機が、操作部、認証部、ユーザ属性判定部、管理強化部を全て備える構成を説明したが、各部が、適宜、別体で構成され、ネットワーク等を通じて接続された画像処理システムとして構成されていてもよい。例えば、上述の認証部、ユーザ属性判定部、管理強化部を備える認証装置が、画像処理装置および複数の操作ボタンを有する操作装置とは別体で構成されている場合であっても、上記実施形態の複合機と同様の効果を得ることができる。このような画像処理システムでは、例えば、複数台の画像処理装置に対して認証装置を共通化することができる。また、操作部を備える認証装置のみを提供することもできる。
【産業上の利用可能性】
【0072】
本発明によれば、非正当ユーザによる不正使用を確実に防止でき、画像処理装置、画像処理システムおよび認証装置として有用である。
【符号の説明】
【0073】
100 複合機
200 操作パネル(操作部)
401 操作認識部
402 認証部
403 ユーザ属性判定部
404 管理強化部
406 報知部

【特許請求の範囲】
【請求項1】
認証機能を有する画像処理装置であって、
複数の操作ボタンを有する操作部と、
前記操作部に対する操作が、予め登録された、画像処理を実行するためには実施することのない特殊操作であるか否かを判定する認証部と、
前記操作部に対する操作に基づいて、操作者が、不当な侵入を試みる非正当ユーザであるか否かを判定するユーザ属性判定部と、
前記ユーザ属性判定部が非正当ユーザであると判定した場合、セキュリティ強度を高めるセキュリティ強化処理を実行する管理強化部と、
を備える画像処理装置。
【請求項2】
前記ユーザ属性判定部は、明らかに異常な操作を実行した操作者を前記非正当ユーザに属する攻撃ユーザと判定し、
前記ユーザ属性判定部が攻撃ユーザと判定した場合、前記管理強化部は、前記セキュリティ強化処理として、前記認証部による認証を禁止する、請求項1記載の画像処理装置。
【請求項3】
前記ユーザ属性判定部は、異常な操作と疑われる操作を実行した操作者を、前記非正当ユーザに属する被疑ユーザと判定し、
前記ユーザ属性判定部が被疑ユーザと判定した場合、前記管理強化部は、前記セキュリティ強化処理として、侵入警戒処理を実行する、請求項1または2記載の画像処理装置。
【請求項4】
前記侵入警戒処理が、前記認証部に、前記特殊操作に代えて、予め登録された、当該特殊操作より複雑な操作である警戒時特殊操作であるか否かを判定させる、請求項3記載の画像処理装置。
【請求項5】
前記侵入警戒処理が、管理者への通知である、請求項3記載の画像処理装置。
【請求項6】
前記画像処理装置は、画像処理を実施する通常モードと、装置保守のための保守モードとを備え、前記認証部による認証が前記通常モードから前記保守モードへ移行するための認証である、請求項1から5のいずれか1項に記載の画像処理装置。
【請求項7】
画像処理装置と、
複数の操作ボタンを有する操作装置と、
前記操作装置に対する操作が、予め登録された、画像処理を実行するためには実施することのない特殊操作であるか否かを判定する認証部、
前記操作部に対する操作に基づいて、操作者が、不当な侵入を試みる非正当ユーザであるか否かを判定するユーザ属性判定部、
前記ユーザ属性判定部が非正当ユーザであると判定した場合、セキュリティ強度を高めるセキュリティ強化処理を実行する管理強化部、
を備える認証装置と、
を備える画像処理システム。
【請求項8】
複数の操作ボタンを有する操作部と、
前記操作部に対する操作が、予め登録された、画像処理を実行するためには実施することのない特殊操作であるか否かを判定する認証部と、
前記操作部に対する操作に基づいて、操作者が、不当な侵入を試みる非正当ユーザであるか否かを判定するユーザ属性判定部と、
前記ユーザ属性判定部が非正当ユーザであると判定した場合、セキュリティ強度を高めるセキュリティ強化処理を実行する管理強化部と、
を備える認証装置。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate

【図5】
image rotate

【図6】
image rotate


【公開番号】特開2013−12042(P2013−12042A)
【公開日】平成25年1月17日(2013.1.17)
【国際特許分類】
【出願番号】特願2011−144385(P2011−144385)
【出願日】平成23年6月29日(2011.6.29)
【出願人】(000006150)京セラドキュメントソリューションズ株式会社 (13,173)
【Fターム(参考)】