アクセス制限情報生成装置およびアクセス制限情報生成方法並びにプログラム
【課題】シンクライアントシステムのネットワーク構成機器に設定するアクセス制限情報を容易に生成できるようにする。
【解決手段】管理者は、アクセス制限情報の生成時、シンクライアントの実装方式および通常端末装置の接続可否を示す特徴情報を入力する。シンクライアント特徴入力手段101は、入力された特徴情報を受け付け、アクセス制限方法選択手段102は、シンクライアントシステムの特徴に応じて予め定められているアクセス制限方法の中から、シンクライアント特徴入力手段101が受け付けた特徴情報から認識されるシンクライアントの特徴に適したアクセス制限方法を選択し、アクセス制限情報生成手段103は、アクセス制限方法選択手段102で選択されたアクセス制限方法に従ってアクセス制限情報を生成する。
【解決手段】管理者は、アクセス制限情報の生成時、シンクライアントの実装方式および通常端末装置の接続可否を示す特徴情報を入力する。シンクライアント特徴入力手段101は、入力された特徴情報を受け付け、アクセス制限方法選択手段102は、シンクライアントシステムの特徴に応じて予め定められているアクセス制限方法の中から、シンクライアント特徴入力手段101が受け付けた特徴情報から認識されるシンクライアントの特徴に適したアクセス制限方法を選択し、アクセス制限情報生成手段103は、アクセス制限方法選択手段102で選択されたアクセス制限方法に従ってアクセス制限情報を生成する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、シンクライアントシステムおいてアクセス制限対象ネットワークに対する不正アクセスを防止する技術に関し、特に、アクセス制限対象ネットワークに対してシンクライアントシステムの特徴に合ったアクセス制限を行うことができるアクセス制限情報を生成するアクセス制限情報生成技術に関する。
【背景技術】
【0002】
近年、情報漏洩問題が多発しており、情報の持ち出しを制限する目的で、データを記憶しておくことができないシンクライアント端末装置を利用するシンクライアントシステムの導入のニーズが高まっている。しかしながら、シンクライアントシステムを導入しただけで、情報漏洩対策が万全であると間違った認識をしているケースが多く、シンクライアント端末装置以外の端末装置(通常端末装置)が接続された場合のリスクを考慮していない場合が多い。また、シンクライアントシステムを導入する場合には、全ての端末装置を一気にシンクライアント端末装置に変更するケースは少なく、シンクライアント端末装置と通常端末装置とが併用されるケースが多い。この導入過渡期における不正アクセス対策を考慮していないケースも非常に多い。
【0003】
シンクライアントシステムを導入しても、不正アクセス対策を施さない限り、通常端末装置がアクセス制限対象となるネットワークをアクセスすることができてしまい、ここから情報が漏洩してしまう危険性がある。このため、シンクライアントシステムにおいても不正アクセス対策を施す必要があり、端末装置とアクセス制限対象ネットワーク(イントラネット等)との間に設置されるネットワーク構成機器(ネットワークスイッチ、ルータ等)に不正アクセスを防止するためのアクセス制限情報を設定することが必要になる。
【0004】
ところで、シンクライアントシステムには、ネットワークブート型、画面転送型、仮想PC型などの様々な実装方式が存在し、実装方式により使用するプロトコルが異なっている。また、シンクライアント端末装置以外の通常端末装置の接続を許可するシンクライアントシステムも存在すれば、許可しないシンクライアントシステムも存在する。従って、ネットワーク構成機器にアクセス制限情報を設定する場合には、シンクライアントシステムの実装方式や、通常端末の接続の可否を考慮し、シンクライアントシステムに特徴に合ったアクセス制限情報を設定することが必要になる。このように、アクセス制限情報を設定する際には、実装方式によるプロトコルの違いや、通常端末装置の接続の可否を考慮する必要があるため、多くの知識や経験が必要であった。
【0005】
一方、ルータ、スイッチといったネットワーク構成機器の設定に関する技術としては、従来から次のような技術が知られている(例えば、特許文献1、2参照)。
【0006】
特許文献1に記載されている技術は、ネットワークセグメント間の通信可否を制御することが可能なルータの設定情報を生成する技術であり、表示装置にネットワークセグメントの対を表示し、ユーザーが表示された各対に対して入力した通信可否情報に基づいて、ルータに設定する設定情報(ネットワークセグメント間の通信を許可するか否かを示す情報)を生成するようにしている。
【0007】
特許文献2に記載されている技術は、新たにネットワークに導入したスイッチにフィルタリング条件を設定するための技術であり、既存のスイッチに設定されているフィルタリング条件を新設したスイッチに転送することにより、新設スイッチにフィルタリング条件を設定するようにしている。
【0008】
【特許文献1】特開2005−311704号公報
【特許文献2】特開2006−340161号公報
【発明の開示】
【発明が解決しようとする課題】
【0009】
上述した特許文献1に記載されている技術によれば、ネットワークセグメント間の通信可否を制御するルータに設定する設定情報を容易に生成することは可能になる。また、特許文献2に記載されている従来の技術によれば、新設したスイッチに対するフィルタリング条件の設定を容易に行うことが可能になる。しかし、特許文献1、2は、シンクライアントシステムに関するものではないため、シンクライアントシステムのネットワーク構成機器に設定するアクセス制限情報を生成することはできない。即ち、実装方式や通常端末装置の接続可否を考慮した、シンクライアントシステムの特徴に合ったアクセス制限情報を生成することができない。
【0010】
〔発明の目的〕
そこで、本発明の目的は、シンクライアントシステムの実装方式と通常端末装置の接続可否とを入力するだけで、シンクライアントシステムの特徴に合ったアクセス制限方法でアクセス制限を行うためのアクセス制限情報を生成できるようにすることにある。
【課題を解決するための手段】
【0011】
本発明にかかる第1のアクセス制限情報生成装置は、
入力装置から入力されたシンクライアントシステムの実装方式および通常端末装置の接続可否を示す特徴情報を受け付けるシンクライアント特徴入力手段と、
シンクライアントシステムの実装方式および通常端末装置の接続可否に応じて予め設定されているアクセス制限方法の中から、前記シンクライアント特徴入力手段が受け付けた特徴情報によって示されるシンクライアントシステムの実装方式および通常端末装置の接続可否に適したアクセス制限方法を選択するアクセス制限方法選択手段と、
該アクセス制限方法選択手段で選択されたアクセス制限方法に従ってアクセス制限対象ネットワークに対するアクセス制限を実施するためのアクセス制限情報を生成するアクセス制限情報生成手段とを備えたことを特徴とする。
【0012】
本発明にかかる第1のアクセス制限情報生成方法は、
コンピュータが、入力装置から入力されるシンクライアントシステムの実装方式および通常端末装置の接続可否を示す特徴情報を受け付けるシンクライアント特徴入力ステップと、
前記コンピュータが、シンクライアントシステムの実装方式および通常端末装置の接続可否に応じて予め設定されているアクセス制限方法の中から、前記シンクライアント特徴入力ステップで受け付けた特徴情報によって示されるシンクライアントシステムの実装方式および通常端末装置の接続可否に適したアクセス制限方法を選択するアクセス制限方法選択ステップと、
前記コンピュータが、前記アクセス制限方法選択ステップで選択されたアクセス制限方法に従ってアクセス制限対象ネットワークに対するアクセス制限を実施するためのアクセス制限情報を生成するアクセス制限情報生成ステップとを含むことを特徴とする。
【0013】
本発明にかかる第1のプログラムは、
コンピュータを、
入力装置から入力されたシンクライアントシステムの実装方式および通常端末装置の接続可否を示す特徴情報を受け付けるシンクライアント特徴入力手段、
シンクライアントシステムの実装方式および通常端末装置の接続可否に応じて予め設定されているアクセス制限方法の中から、前記シンクライアント特徴入力手段が受け付けた特徴情報によって示されるシンクライアントシステムの実装方式および通常端末装置の接続可否に適したアクセス制限方法を選択するアクセス制限方法選択手段、
該アクセス制限方法選択手段で選択されたアクセス制限方法に従ってアクセス制限対象ネットワークに対するアクセス制限を実施するためのアクセス制限情報を生成するアクセス制限情報生成手段として機能させる。
【発明の効果】
【0014】
本発明によれば、シンクライアントシステムの実装方式と通常端末装置の接続可否とを入力するだけで、シンクライアントシステムの特徴に合ったアクセス制限方法でアクセス制限を行うためのアクセス制限情報を生成することが可能になるという効果を得ることができる。
【発明を実施するための最良の形態】
【0015】
次に、本発明を実施するための最良の形態について図面を参照して詳細に説明する。
【0016】
〔本発明の第1の実施例〕
図1は本発明にかかるアクセス制限情報生成装置の第1の実施例の構成例を示すブロック図である。本実施例のアクセス制限情報生成装置100は、管理者によって入力される、シンクライアントシステムの特徴を示す特徴情報に基づいて、シンクライアントシステムの特徴に合ったアクセス制限をネットワーク構成機器に行わせるためのアクセス制限情報を生成するものであり、シンクライアント特徴入力手段101と、アクセス制限方法選択手段102と、アクセス制限情報生成手段103とを備えている。
【0017】
シンクライアント特徴入力手段101は、管理者によって入力される特徴情報を受け付ける。ここで、管理者が入力する特徴情報には、シンクライアントシステムの実装方式を示す実装方式情報および通常端末装置の接続を許可するか否かを示す接続可否情報が含まれる。
【0018】
アクセス制限方法選択手段102は、シンクライアントシステムの実装方式および通常端末装置の接続可否に応じて予め設定されている、アクセス制限対象ネットワークに対するアクセス制限をどのような方法で実施するのかを示すアクセス制限方法の中から、シンクライアント特徴入力手段101が受け付けた特徴情報によって認識されるシンクライアントシステムの実装方式および通常端末装置の接続可否に適したアクセス制限方法を選択する機能を有する。
【0019】
アクセス制限情報生成手段103は、アクセス制限方法選択手段102で選択されたアクセス制限方法に従ってアクセス制限対象ネットワークに対するアクセス制限を実施するためのアクセス制限情報を生成する機能を有する。
【0020】
このような機能を有するアクセス制限情報生成装置100は、コンピュータによって実現可能であり、コンピュータによって実現する場合は、例えば、次のようにする。コンピュータをアクセス制限情報生成装置100として機能させるためのプログラムを記録したディスク、半導体メモリ、その他の記録媒体を用意し、コンピュータに上記プログラムを読み取らせる。コンピュータは、読み取ったプログラムに従って自身の動作を制御することにより、自コンピュータ上にシンクライアント特徴入力手段101、アクセス制限方法選択手段102、アクセス制限情報生成手段103を実現する。
【0021】
〔第1の実施例の動作の説明〕
次に、本実施例の動作について詳細に説明する。
【0022】
管理者は、シンクライアントシステムのネットワーク構成機器に設定するアクセス制限情報を生成する場合、シンクライアントシステムの特徴を示す特徴情報を入力する。即ち、シンクライアントシステムの実装方式(例えば、画面転送型、仮想PC型、ネットワークブート型など)を示す実装方式情報および通常端末装置の接続を許可するか否かを示す接続可否情報を含んだ特徴情報を入力する。
【0023】
シンクライアント特徴入力手段101は、管理者によって入力された特徴情報を受け付ける。
【0024】
アクセス制限方法選択手段102は、シンクライアント特徴入力手段101が受け付けた特徴情報によって示されるシンクライアントシステムの特徴に基づいて、シンクライアントシステムの特徴に応じて予め定められているアクセス制限方法の中から、シンクライアントの特徴に適したアクセス制限方法を選択し、選択したアクセス制限方法をアクセス制限情報生成手段103に渡す。即ち、シンクライアントシステムの実装方式や通常端末装置の接続の可否などに応じて予め設定されているアクセス制限方法の中から、アクセス制限対象にするシンクライアントシステムの特徴に適したアクセス制限方法を選択する。
【0025】
アクセス制限情報生成手段103は、アクセス制限方法選択手段102から渡されたアクセス制限方法に従ってアクセス制限対象ネットワークに対するアクセス制限を実施するためのアクセス制限情報を生成する。生成したアクセス制限情報は、ルータなどのネットワーク構成機器に設定される。
【0026】
〔第1の実施例の効果〕
本実施例によれば、シンクライアントシステムの実装方式と通常端末装置の接続の可否とを入力するだけで、シンクライアントシステムの特徴に合ったアクセス制限方法でアクセス制限を行うためのアクセス制限情報を生成することが可能になるという効果を得ることができる。
【0027】
その理由は、アクセス制限対象ネットワークに対するアクセス制限をどのような方法で実施するのかを示すアクセス制限方法を、シンクライアントシステムの実装方式および通常端末装置の接続可否に応じて予め設定しておき、管理者が入力したシンクライアントシステムの実装方式および通常端末装置の接続可否に適したアクセス制限方法を選択し、選択したアクセス制限方法に従ってアクセス制限対象ネットワークに対するアクセス制限を行うアクセス制限情報を生成するようにしているからである。
【0028】
〔本発明の第2の実施例〕
次に、本発明の第2の実施例について詳細に説明する。図2を参照すると、本実施例は、アクセス制限情報生成装置1と、シンクライアント管理サーバ2と、ネットワーク構成機器3と、シンクライアント端末装置4と、通常端末装置であるユーザー端末装置5とから構成されている。アクセス制限情報生成装置1、シンクライアント管理サーバ2およびネットワーク構成機器3は、イントラネット等のネットワーク7を介して相互に接続されており、シンクライアント端末装置4およびユーザー端末装置5は、ネットワーク構成機器3を介してネットワーク7にアクセスする。なお、ネットワーク構成機器3には、不正接続端末装置6が接続される可能性がある。
【0029】
シンクライアント端末装置4は、ネットワーク7に接続する機能、入出力を行う機能などの最低限の機能しか持たない端末装置であり、シンクライアント管理サーバ2で管理されているアプリケーションプログラムやファイルといった資源を利用することにより、ユーザーに対してユーザー端末装置5と同様の機能を提供する。
【0030】
ユーザー端末5は、パーソナルコンピュータ等の情報処理装置であり、ネットワーク構成機器3を介してネットワーク7にアクセスする機能を備えている。
【0031】
ネットワーク構成機器3は、ネットワークスイッチやルータによって実現されるものであり、アクセス制限情報生成装置1から送られてきたアクセス制限情報に従って、各端末装置4〜6からネットワーク7へのアクセスを制限する機能を有する。
【0032】
シンクライアント管理サーバ2は、シンクライアント端末装置4に利用させるアプリケーションプログラムやファイルなどの資源を管理する機能を有する。
【0033】
アクセス制限情報生成装置1は、管理者によって入力されたシンクライアントシステムの特徴を示す特徴情報と、予め設定されているシンクライアントシステムの特徴に応じたアクセス制限方法とに基づいて、アクセス制限情報を生成し、生成したアクセス制限情報をネットワーク構成機器3に送信する機能を有する。
【0034】
このような機能を有するアクセス制限情報生成装置1は、シンクライアント特徴入力手段11と、アクセス制限方法選択手段12と、アクセス制限情報生成手段13と、送信手段14とを備えている。また、アクセス制限情報生成装置1には、キーボード等の入力装置15と、LCD等の表示装置16と、ディスク装置などの記憶装置17とが接続されている。
【0035】
記憶装置17には、アクセス制限方法記憶部171と、アクセス制限情報記憶部172とが設けられている。アクセス制限方法記憶部171には、シンクライアントシステムの特徴に対応付けて、その特徴を有するシンクライアントシステムに適したアクセス制限方法が登録されている。また、アクセス制限情報記憶部172には、アクセス制限情報生成手段13によって生成されたアクセス制限情報が登録される。
【0036】
図3はアクセス制限方法記憶部171の内容例を示した図である。同図の例の第1番目のエントリは、実装方式が仮想PC型であるという特徴を有するシンクライアントシステムに適したアクセス制限方法が、DHCPプロトコル及びRDPプロトコルによるパケットのみを通過させるフィルタを用いるものであることを示している。また、同図の例の第3番目のエントリは、実装方式が仮想PC型あるいは画面転送型で、且つ通常端末装置の接続を許可しないという特徴を有するシンクライアントシステムに適したアクセス制限方法が、ネットワーク構成機器3のネットワーク7側のインタフェースの接続先をシンクライアント管理サーバ2のみに制限する方法であることを示している。
【0037】
シンクライアント特徴入力手段11は、管理者が入力装置15を用いて入力した、アクセス制限を行うシンクライアントシステムの特徴を表す特徴情報を受け付ける機能を有する。
【0038】
アクセス制限方法選択手段12は、アクセス制限方法記憶部171に登録されているアクセス制限方法の中からシンクライアント特徴入力手段11が受け付けた特徴情報によって示されるシンクライアントシステムの特徴に合ったアクセス制限方法を選択する機能を有する。
【0039】
アクセス制限情報生成手段13は、アクセス制限方法選択手段12で選択されたアクセス制限方法に従ってアクセス制限を行うためのアクセス制限情報を生成し、生成したアクセス制限情報をアクセス制限情報記憶部172に登録する機能を有する。
【0040】
送信手段14は、アクセス制限情報記憶部172に登録されているアクセス制限情報を、ネットワーク7を介してネットワーク構成機器3に送信する機能を有する。
【0041】
このような機能を有するアクセス制限情報生成装置1は、コンピュータにより実現可能であり、コンピュータによって実現する場合は、例えば、次のようにする。コンピュータをアクセス制限情報生成装置1として機能させるためのプログラムを記録したディスク、半導体メモリ、その他の記録媒体を用意し、コンピュータに上記プログラムを読み取らせる。コンピュータは、読み取ったプログラムに従って自身の動作を制御することにより、自コンピュータ上に、シンクライアント特徴入力手段11、アクセス制限方法選択手段12、アクセス制限情報生成手段13および送信手段14を実現する。
【0042】
〔第2の実施例の動作の説明〕
次に本実施例の動作について詳細に説明する。
【0043】
先ず、図4のフローチャートに示すように、管理者が入力装置15からアクセス制限情報生成装置1に対して、アクセス制限を行うシンクライアントシステムの特徴を示す特徴情報を入力する(ステップA1)。この特徴情報は、シンクライアント特徴入力手段11によって受け付けられる。
【0044】
ここで、ステップA1で入力する特徴情報について説明する。シンクライアントシステムには、ネットワークブート型、画面転送型、仮想PC型などの様々な実装方式が存在する。更に、シンクライアント端末装置4のみの接続を許可するものもあれば、通常端末装置であるユーザー端末装置5の接続も許可するものもある。更に、端末装置の個体認証を実施するものもあれば、実施しないものもある。更に、ネットワーク認証を実施するものもあれば、実施しないものもある。
【0045】
そこで、本実施例では、ステップA1において、次の各情報を含んだ特徴情報を入力する。
【0046】
・実装方式情報…実装方式がネットワークブート型、画面転送型あるいは仮想PC型の何れであるかを示す情報。
・実装制限情報…実装方式に応じたアクセス制限を実施するか否かを示す情報。
・接続可否情報…ユーザー端末装置(通常端末装置)の接続を許可するか否かを示す情報。
・個体認証有無情報…端末装置の個体認証を実施するか否かを示す情報。
・ネットワーク認証有無情報…ネットワーク認証を行うか否かを示す情報。
【0047】
なお、特徴情報の入力方法としては種々の方法を採用することができ、例えば、対話形式で入力する方法や、選択形式で入力する方法などを採用することができる。
【0048】
その後、ステップA1において入力された特徴情報に基づいて、アクセス制限方法選択手段12およびアクセス制限情報生成手段13が、次のような処理を行う。
【0049】
先ず、アクセス制限方法選択手段12は、シンクライアント特徴入力手段11が受け付けた特徴情報から認識されるシンクライアントシステムの特徴に基づいて、アクセス制限の対象にするシンクライアントシステムが個体認証を実施するものであるか否かを判定する(ステップA2)。
【0050】
そして、個体認証を実施するものであると判定した場合(ステップA2がYes)は、次のような処理を行う。
【0051】
先ず、アクセス制限方法選択手段12は、表示装置16にメッセージを表示することにより、管理者に対してネットワーク7への接続(アクセス)を許可する端末装置の機器固有情報のリストを要求する。なお、本実施例では、機器固有情報としてMACアドレスを使用するが、これに限られるものではなく、IPアドレスなどを使用することもできる。その後、アクセス制限方法選択手段12は、アクセス制限方法記憶部171から特徴「個体認証を実施」に対応付けて登録されているアクセス制限方法「MACアドレスフィルタを生成」を取り出す。その後、管理者によって、ネットワーク7への接続を許可する端末装置のMACアドレスのリストが入力されると、リストとアクセス制限方法とをアクセス制限情報生成手段13に渡す。アクセス制限情報生成手段13では、アクセス制限方法選択手段12から渡されたリストおよびアクセス制限方法に従って、アクセス制限情報として、上記リストに載っているMACアドレスを送信元とするパケットのみを通過させるMACアドレスフィルタを生成し、生成したMACアドレスフィルタをアクセス制限情報記憶部172に登録する(ステップA3)。
【0052】
その後、アクセス制限方法選択手段12はシンクライアント特徴入力手段11が受け付けた特徴情報に基づいて、アクセス制限の対象にするシンクライアントシステムが実装方式に応じたアクセス制限を実施するものであるか否かを判定する(ステップA4)。
【0053】
そして、実装方式に応じたアクセス制限を実施しないものである場合(ステップA4がNo)は、送信手段14に対してアクセス制限情報の送信を指示する。この指示に従って、送信手段14は、アクセス制限情報記憶部172に登録されているアクセス制限情報をネットワーク構成機器3へ送信する(図5のステップA15)。
【0054】
これに対して、実装方式に応じたアクセス制限を実施するものである場合(ステップA4がYes)は、シンクライアント特徴入力手段11が受け付けた特徴情報に基づいて、アクセス制限の対象にしているシンクライアントシステムの実装方式を判定する(ステップA5)。
【0055】
そして、実装方式が仮想PC型である場合は、アクセス制限方法記憶部171から特徴「実装方式が仮想PC型」に対応付けて登録されているアクセス制限方法「DHCPプロトコルおよびRDPプロトコルによるパケットのみの通過を許可するフィルタの生成」を取り出し、取り出したアクセス制限方法をアクセス制限情報生成手段13に渡す。これにより、アクセス制限情報生成手段13は、アクセス制限情報として、DHCPプロトコルおよびRDPプロトコルによるパケットのみを通過させるフィルタを生成し、生成したフィルタをアクセス制限情報記憶部172に登録する(ステップA6)。即ち、実装方式が仮想PC型のシンクライアントシステムにおいては、シンクライアント端末装置4とシンクライアント管理サーバ2との間の情報のやり取りはRDPプロトコルを用いて行われ、また、シンクライアント端末装置4がネットワーク7にアクセスするために必要になるIPアドレスはDHCPプロトコルを利用して獲得するケースが多いため、DHCPプロトコルおよびRDPプロトコルによるパケットのみを通過させるフィルタを生成する。
【0056】
また、実装方式が画面転送型である場合は、アクセス制限方法記憶部171から特徴「実装方式が画面転送型」に対応付けて登録されているアクセス制限方法「DHCPプロトコルおよびICAプロトコルによるパケットのみの通過を許可するフィルタを生成」を取り出し、アクセス制限情報生成手段13に渡す。これにより、アクセス制限情報生成手段13は、アクセス制限情報として、DHCPプロトコルおよびICAプロトコルによるパケットのみを通過させるフィルタを生成し、生成したフィルタをアクセス制限情報記憶部172に登録する(ステップA7)。即ち、実装方式が画面転送型のシンクライアントシステムにおいては、シンクライアント端末装置4とシンクライアント管理サーバ2との間の情報のやり取りはICAプロトコルを用いて行われ、また、シンクライアント端末装置4がネットワーク7にアクセスするために必要になるIPアドレスはDHCPプロトコルを利用して獲得するケースが多いため、DHCPプロトコルおよびICAプロトコルによるパケットのみを通過させるフィルタを生成する。
【0057】
実装方式が仮想PC型あるいは画面転送型であった場合には、ステップA6、A7が終了した後、アクセス制限方法選択手段12は、シンクライアント特徴入力手段11が受け付けた特徴情報に基づいて、アクセス制限の対象にしているシンクライアントシステムは、ユーザー端末装置の接続を許可しているものか否かを判定する(図5のステップA8)。
【0058】
そして、ユーザー端末装置(通常端末装置)の接続を許可していない場合(ステップA8がNo)は、アクセス制限方法記憶部171から特徴「実装方式が仮想PC型あるいは画面転送型で、且つ通常端末装置の接続が不可」に対応付けて登録されているアクセス制限方法「ネットワーク構成機器3のネットワーク7側のインタフェースの接続先をシンクライアント管理サーバ2に制限するフィルタを生成」を取り出し、アクセス制限情報生成手段13に渡す。アクセス制限情報生成手段13では、渡されたアクセス制限方法に従って、アクセス制限情報として、ネットワーク構成機器3のネットワーク7側のインタフェースの接続先をシンクライアント管理サーバ2に制限するフィルタを生成し、生成したフィルタをアクセス制限情報記憶部172に登録する(ステップA12)。このステップA12で生成したアクセス制限情報を用いてアクセス制限を行った場合、シンクライアント端末装置4以外の端末装置(ユーザー端末装置5や不正接続端末装置6)もシンクライアント管理サーバ2に接続されることになるが、シンクライアント管理サーバ2において実施されるシンクライアント認証処理においてシンクライアント端末装置4以外は正しいシンクライアント認証情報を送信することができないので、接続が拒否されることになる。
【0059】
これに対して、ユーザー端末装置の接続が許可されている場合(ステップA8がYes)は、シンクライアント特徴入力手段11が受け付けた特徴情報に基づいて、アクセス制限の対象にするシンクライアントシステムが、ユーザー端末装置だけでなく、シンクライアント端末装置についてもネットワーク認証を行うものであるか否かを判定する(ステップA9)。そして、シンクライアント端末装置およびユーザー端末装置に対してネットワーク認証を行うものであると判定した場合(ステップA9がYes)は、アクセス制限方法記憶部171から特徴「実装方式が仮想PC型あるいは画面転送型、通常端末装置の接続を許可、シンクライアント端末装置および通常端末装置に対してネットワーク認証を実施」に対応付けて登録されているアクセス制限方法「ネットワーク構成機器3の端末接続ポートにネットワーク認証ポートを設定。認証失敗時にはアクセス拒否(Reject)。」を取り出し、アクセス制限情報生成手段13に渡す。アクセス制限情報生成手段13では、渡されたアクセス制限方法に従って、ネットワーク構成機器3の端末接続ポートにネットワーク認証ポートを設定し、認証失敗時にはアクセスを拒否するためのアクセス制限情報を生成し、生成したアクセス制限情報をアクセス制限情報記憶部172に登録する(ステップA10)。
【0060】
また、ステップA9において、アクセス制限の対象にするシンクライアントシステムが、シンクライアント端末装置4に対してはネットワーク認証を行わないものであると判定した場合(判定結果がNoの場合)は、アクセス制限方法記憶部171から特徴「実装方式が仮想PC型あるいは画面転送型、通常端末装置の接続を許可、通常端末装置に対してネットワーク認証を実施」に対応付けて登録されているアクセス制限方法「ネットワーク構成機器3の端末接続ポートにネットワーク認証ポートを設定。ネットワーク認証失敗時にはDefault VLANに接続。」を取り出し、アクセス制限情報生成手段13に渡す。アクセス制限情報生成手段13では、渡されたアクセス制限方法に従って、ネットワーク構成機器3の端末接続ポートにネットワーク認証ポートを設定し、ネットワーク認証失敗時には端末装置をDefault VLANに接続させるためのアクセス制限情報を生成し、生成したアクセス制限情報をアクセス制限情報記憶部172に格納する(ステップA11)。
【0061】
Default VLANとは、ネットワーク認証が失敗した端末装置にもネットワーク構成機器3を越えたネットワークアクセス(シンクライアント管理サーバ2に対するアクセス)を許可するために用意するVLANであり、アクセスできる範囲が制限されたVLANである。ネットワーク認証に失敗した端末装置をDefault VLANに接続するのは、次の理由からである。ステップA11で生成されたアクセス制限情報に従ってネットワーク構成機器3の端末接続ポートにネットワーク認証ポートを設定するようにすると、シンクライアント端末装置4についてはネットワーク認証を行わないシンクライアントシステム(シンクライアント端末装置4がネットワーク認証を行うための構成を備えていないシンクライアントシステム)では、不正接続端末装置6だけでなく、シンクライアント端末装置4もネットワーク認証に失敗してしまう。従って、ネットワーク認証失敗時にアクセスを拒否するようにすると、シンクライアント端末装置4がシンクライアント管理サーバ2をアクセスできなくなってしまう。そこで、シンクライアント端末装置4がシンクライアント管理サーバ2をアクセスできるようにするため、Default VLANに接続するようにしている。なお、不正接続端末装置6もDefault VLANに接続されることにより、シンクライアント管理サーバ2をアクセスすることができるようになるが、シンクライアント管理サーバ2が行うシンクライアント認証処理によって接続が拒否される。
【0062】
次に、図4のステップA5において、アクセス制限の対象にするシンクライアントシステムの実装方式がネットワークブート型であると判定された場合の動作について説明する。この場合、アクセス制限方法選択手段12は、シンクライアント特徴入力手段11が受け付けた特徴情報に基づいて、アクセス制限の対象にしているシンクライアントシステムがネットワーク認証を行うものであるか否かを判定する(図5のステップA13)。
【0063】
そして、ネットワーク認証を行わないと判定した場合(ステップA13がNo)は、送信手段14に対して送信指示を出力する。これにより、送信手段14は、アクセス制限情報記憶部172に登録されているアクセス制限情報をネットワーク構成機器3へ送信する(ステップA15)。
【0064】
これに対して、ネットワーク認証を行うと判定した場合(ステップA13がYes)は、アクセス制限方法記憶部171から特徴「実装方式がネットワークブート型で、且つネットワーク認証を行う。」に対応付けて登録されているアクセス制限方法「ネットワーク構成機器3の端末接続ポートにネットワーク認証ポートを設定。ネットワーク認証失敗時にはDefault VLANに接続。Default VLANではネットワークブートのためのポートを開く。」を取り出し、アクセス制限情報生成手段13に渡す。アクセス制限情報生成手段13では、上記アクセス制限方法に従って、「ネットワーク構成機器3の端末接続ポートにネットワーク認証ポートを設定し、アクセス認証失敗時にはDefault VLANに接続させ、Default VLANではネットワークブートのために必要なポート(DHCP、PXEなど)を開く」ためのアクセス制限情報を生成し、アクセス制限情報記憶部172に登録する(ステップA14)。そして、ステップA14の処理が終了すると、アクセス制限情報生成手段13は、送信手段14に対して送信指示を出力する。これにより、送信手段14は、アクセス制限情報記憶部172に登録されているアクセス制限情報をネットワーク構成機器3へ送信する(ステップA15)。なお、ステップA10〜A12が終了した場合も、アクセス制限情報生成手段13は、送信手段14に対して送信指示を出力し、アクセス制限情報記憶部172に登録されているアクセス制限情報をネットワーク構成機器3へ送信させる。
【0065】
ネットワーク構成機器3は、アクセス制限情報生成装置1から送られきたアクセス制限情報を自機器3の設定に反映させ、シンクライアントシステムの特徴に合った不正アクセス防止環境を構築する(ステップA16)。
【0066】
次に、図6を参照し、ネットワーク構成機器3が図4のステップA3で生成されたMACアドレスフィルタを利用してアクセス制限を行う場合の動作について説明する。
【0067】
利用者がシンクライアント端末装置4を操作し、シンクライアント管理サーバ2への接続を試みることにより、シンクライアント端末装置4から通信パケットが送出される(ステップB1)。
【0068】
ネットワーク構成機器3は、シンクライアント端末装置4から通信パケットが送られてくると、通信パケットから個体認証を行うために必要な情報(本実施例では、送信元のMACアドレス)を抽出する。その後、抽出したMACアドレスと、ステップA3で生成されたMACアドレスフィルタとに基づいて、シンクライアント端末装置4の接続を許可するか否かを判定する(ステップB2)。そして、シンクライアント端末装置4が接続可能な端末装置であると判定すると(ステップB2がYes)、ネットワーク構成機器3はシンクライアント管理サーバ2に対して接続要求を送信し(ステップB3)、これによりシンクライアント管理サーバ2はシンクライアント端末装置4と接続する(ステップB4)。これで、シンクライアント端末装置4は、ネットワーク構成機器3を通してネットワーク7へのアクセスが可能となる。
【0069】
次に、接続が許可されていない不正接続端末装置6がネットワーク構成機器3に接続された場合について説明する。
【0070】
利用者が不正接続端末装置6を操作し、ネットワーク7へのアクセスを試みることにより、不正接続端末装置6から通信パケットが送出される(ステップB5)。
【0071】
ネットワーク構成機器3は、不正接続端末装置6から送られてきた通信パケットから、個体認証を行うために必要となる情報(MACアドレス)を抽出し、このMACアドレスとMACアドレスフィルタとに基づいて、不正接続端末装置6が接続を許可する端末装置であるか否かを判定する(ステップB6)。そして、不正接続端末装置6は接続を許可しない端末装置であると判定すると(ステップB6がNo)、不正接続端末装置6の接続を拒否する(ステップB7)。以上の動作により、シンクライアント端末装置4はネットワーク7へのアクセスが許可され、不正接続端末装置6はネットワーク7へのアクセスが拒否されることになる。
【0072】
次に、図7および図8を参照し、ネットワーク構成機器3が図5のステップA10で生成されたアクセス制限情報に従ってアクセス制限を行う場合の動作を説明する。
【0073】
利用者がシンクライアント端末装置4をネットワーク構成機器3に接続すると(ステップC1)、ネットワーク構成機器3は、シンクライアント端末装置4に対してネットワーク認証を行うために必要な情報を要求する(ステップC2)。
【0074】
これにより、シンクライアント端末装置4は、ネットワーク認証に必要な情報(認証情報)をネットワーク構成機器3へ送信する(ステップC3)。この認証情報は、ネットワーク構成機器3を介して図示を省略したネットワーク認証サーバに送られ、ネットワーク認証が行われる。
【0075】
ネットワーク構成機器3は、ネットワーク認証サーバによるネットワーク認証が成功すると(ステップC4がYes)、シンクライアント端末装置4が接続されている通信ポートを開く(ステップC5)。これにより、シンクライアント端末装置4は、ネットワーク構成機器3を超えた通信が可能となる(ステップC6)。
【0076】
次に、接続が許可されているユーザー端末装置5をネットワーク構成機器3に接続した場合の動作を説明する。
【0077】
利用者がユーザー端末装置5をネットワーク構成機器3に接続すると(ステップC7)、ネットワーク構成機器3はユーザー端末装置5に対して認証情報を要求する(ステップC8)。これにより、ユーザー端末装置5は、認証情報をネットワーク構成機器3へ送信する(ステップ9)。この認証情報はネットワーク構成機器3を介してネットワーク認証サーバへ送られ、ネットワーク認証処理が行われる。
【0078】
ネットワーク構成機器3は、ネットワーク認証サーバによる認証が成功すると(ステップC10がYes)、ユーザー端末装置5に接続されている通信ポートを開く(ステップC11)。これにより、ユーザー端末装置5はネットワーク7を越えた通信を行うことが可能になる。
【0079】
次に、接続が許可されていない不正接続端末装置6がネットワーク構成機器3に接続した場合の動作について説明する。
【0080】
利用者が、不正接続端末装置6をネットワーク構成機器3に接続すると(図8のステップC12)、ネットワーク構成機器3は不正接続端末装置6に対して認証情報を要求する(ステップC13)。しかし、不正接続端末装置6は認証情報を送信することができない(ステップC14)。そのため、ネットワーク構成機器3では、ネットワーク認証が失敗したと判定する(ステップC15)。ネットワーク認証が失敗した場合には、不正接続端末装置6が接続されている通信ポートを遮断する(ステップC16)。これにより、不正接続端末装置6は、ネットワーク構成機器3を越えた通信ができない。
【0081】
以上の動作によりシンクライアント端末装置4およびユーザー端末装置5はネットワーク7へのアクセスが許可され、不正接続端末装置6はネットワーク7へのアクセスが拒否されることになる。
【0082】
〔第2の実施例の効果〕
本実施例によれば、第1の実施例で得られる効果に加え、ネットワーク構成機器3に容易にアクセス制限情報を設定することができるという効果を得ることができる。その理由は、アクセス制限情報生成手段13で生成されたアクセス制限情報をネットワーク構成機器3へ送信する送信手段14を備えているからである。
【0083】
〔本発明の第3の実施例〕
次に、本発明の第3の実施例について詳細に説明する。本実施例は、個体認証によるアクセス制限を実施する場合に必要になる、接続を許可する端末装置の機器固有情報(MACアドレスなど)を管理者が1個ずつ入力するのではなく、ネットワーク構成機器においてネットワーク7に接続した端末装置の機器固有情報を全て収集しておき、その中から管理者が接続を許可する端末装置の機器固有情報を選択するようにしたことを特徴とする。
【0084】
図9は本発明の第3の実施例の構成例を示すブロック図であり、図2に示した第2の実施例との相違点は、アクセス制限情報生成装置1、ネットワーク構成機器3の代わりにアクセス制限情報生成装置1a、ネットワーク構成機器3aを備えている点である。
【0085】
アクセス制限情報生成装置1aは、収集要求送信手段18が追加されている点、アクセス制限方法選択手段12の代わりにアクセス制限方法選択手段12aを備えている点、送信手段14の代わりに送受信手段14aを備えている点がアクセス制限情報生成装置1と相違している。
【0086】
収集要求送信手段18は、入力装置15から入力される管理者の指示に従って、機器固有情報の収集要求をネットワーク構成機器3aに送信する機能を有している。
【0087】
送受信手段14aは、ネットワーク構成機器3aから送られてきた機器固有情報をアクセス制限方法選択手段12aに渡す機能を備えている点が、送信手段14と相違している。
【0088】
アクセス制限方法選択手段12aは、機器固有情報の取得要求をネットワーク構成機器3aに対して送信する機能、送受信手段14aから渡された機器固有情報を表示装置16に表示する機能、および表示した機器固有情報の内の、管理者によって選択された機器固有情報のリストをアクセス制限情報生成手段13に渡す機能を有している点がアクセス制限方法選択手段12と相違している。
【0089】
ネットワーク構成機器3aは、機器固有情報収集手段31を備えている点がネットワーク構成機器3と相違している。
【0090】
機器固有情報収集手段31は、アクセス制限情報生成装置1aから機器固有情報の収集要求が送られてくることにより、機器固有情報の収集処理を開始し、ネットワーク7に接続した端末装置の機器固有情報(例えば、MACアドレス)を収集する機能を有する。更に、機器固有情報収集手段31は、アクセス制限情報生成装置1aから機器固有情報の取得要求が送られてくることにより、機器固有情報の収集処理を終了し、収集してある機器固有情報をアクセス制限情報生成装置1aへ送信する機能を有する。
【0091】
なお、アクセス制限情報生成装置1aもアクセス制限情報生成装置1と同様にコンピュータによって実現可能である。
【0092】
〔第3の実施例の動作の説明〕
次に、本実施例の動作について説明する。
【0093】
先ず、機器固有情報の収集処理について説明する。
【0094】
管理者は、機器固有情報の収集処理を開始させる場合、入力装置15から収集要求の送信指示を入力する。これにより、図10のフローチャートに示すように、収集要求送信手段18がネットワーク構成機器3aへ機器固有情報の収集要求を送信する(ステップD1)。
【0095】
ネットワーク構成機器3a内の機器固有情報収集手段31は、機器固有情報の収集要求が送られてくると、機器固有情報の収集処理を開始し、ネットワーク7をアクセスする端末装置が現れる毎に(ステップD2、D4、D6)、端末装置の機器固有情報(例えば、MACアドレス)を収集し、収集した機器固有情報をネットワーク構成機器3a内の記憶装置(図示せず)に登録する(ステップD3、D5、D7)。その際、収集した機器固有情報が既に登録済みか否かを調べ、登録済みである場合には、登録処理を行わないようにしても良い。
【0096】
次に、アクセス制限情報生成時の動作について説明する。本実施例と前述した第2の実施例とでは、図4のステップA3で行う処理が異なるだけであるので、この点についてのみ説明する。
【0097】
本実施例では、ステップA3の代わりに、図11のフローチャートに示す処理を行う。アクセス制限方法選択手段12aは、シンクライアント特徴入力手段11が受け付けた特徴情報に基づいて、アクセス制限の対象にしているシンクライアントシステムが、個体認証を行うものであると判定した場合は、図11に示すように、ネットワーク構成機器3aに対して機器固有情報の取得要求を送信する(ステップE1)。
【0098】
ネットワーク構成機器3a内の機器固有情報収集手段31は、機器固有情報の取得要求を受信すると、記憶装置に保存している機器固有情報をアクセス制限情報生成装置1aに送信する(ステップE2)。
【0099】
アクセス制限情報生成装置1a内の送受信手段14aは、ネットワーク構成機器3aから機器固有情報が送られてくると、それをアクセス制限方法選択手段12aに渡し、アクセス制限方法選択手段12aは、送受信手段14aから渡された機器固有情報を全て表示装置16に表示する(ステップE3)。その際、機器固有情報をソートして表示するようにしても良い。
【0100】
管理者は、表示装置16に機器固有情報が表示されると、その中からネットワーク7へのアクセスを許可する端末装置の機器固有情報を選択する。
【0101】
アクセス制限方法選択手段12aは、管理者によってネットワーク7への接続を許可する端末装置の機器固有情報が選択されると、図3に示すアクセス制限方法記憶部171から特徴「個体認証を実施」に対応付けて登録されているアクセス制限方法「MACアドレスフィルタを生成」を取得し、取得したアクセス制限方法と管理者によって選択された機器固有情報(MACアドレス)のリストとをアクセス制限情報生成手段13に渡す。アクセス制限情報生成手段13では、アクセス制限方法選択手段12aから渡されたアクセス制限方法およびMACアドレスのリストに従って、アクセス制限情報として、上記リストに載っているMACアドレスを送信元とするパケットのみを通過させるフィルタを生成し、生成したフィルタをアクセス制限情報記憶部172に格納する(ステップE4)。以上が、ステップA3の代わりに、本実施例で行う処理である。
【0102】
〔第3の実施例の効果〕
本実施例によれば、第1、第2の実施例で得られる効果に加え、個体認証を行うシンクライアントシステムに対するアクセス制限情報を容易に生成することが可能になるという効果を得ることができる。その理由は、ネットワーク7に接続した端末装置の機器固有情報を収集する機器固有情報収集手段31をネットワーク構成機器3が備え、機器固有情報収集手段31で収集された機器固有情報の中からネットワーク7へのアクセスを許可する端末装置の機器固有情報を選択するようにしているからである。
【0103】
〔本発明の第4の実施例〕
次に、本発明の第4の実施例について説明する。本実施例は、シンクライアントシステムの特徴を入力するだけで、そのシンクライアントシステムを利用する上での注意点や、実施可能なアクセス制限方法などを、管理者に提示できるようにした点を特徴とする。
【0104】
図12は本発明の第4の実施例のブロック図であり、図2に示した第2の実施例との相違点は、アクセス制限情報生成装置1の代わりにアクセス制限情報生成装置1bを備えている点である。
【0105】
アクセス制限情報生成装置1bは、アドバイス手段19を備えている点、および記憶装置17内にアドバイス情報記憶部173が設けられている点が図2に示した第2の実施例と相違している。
【0106】
アドバイス情報記憶部173には、シンクライアントシステムの特徴に対応付けて、表示すべきアドバイス情報が格納されている。アドバイス手段19は、管理者によって入力されたシンクライアントシステムの特徴に応じた注意点や実施可能なアクセス制限方法などを表示装置16に表示する機能を有する。
【0107】
なお、アクセス制限情報生成装置1bもアクセス制限情報生成装置1と同様にコンピュータによって実現可能である。
【0108】
〔第4の実施例の動作の説明〕
次に、本実施例の動作について詳細に説明する。
【0109】
管理者は導入済みのシンクライアントや、導入予定のシンクライアントに関する注意点などを知りたい場合、アクセス制限情報生成装置1bの動作モードをアドバイスモードにし、アドバイスを受けたいシンクライアントシステムの特徴を表す特徴情報を入力装置15から入力する(図13のステップF1)。シンクライアント特徴入力手段11は、動作モードがアドバイスモードになっている場合は、入力装置15から入力された特徴情報をアドバイス手段19に渡す。なお、ステップF1で入力する特徴情報の具体的な内容は、第2の実施例と同様である。
【0110】
アドバイス手段19は、シンクライアント特徴入力手段11からアドバイスを行うシンクライアントシステムの特徴情報が入力されると、それに基づいてアドバイス対象にするシンクライアントシステムの実装方式を判定する(ステップF2)。
【0111】
そして、実装方式が画面転送型であると判定した場合は、アドバイス情報記憶部173から特徴「実装方式が画面転送型」に対応付けて登録されているアドバイス情報「DHCPプロトコルおよびICAプロトコルによるパケットのみを通過させるフィルタによりアクセス制限を実施できる」を取り出し、表示装置16に表示する(ステップF3)。
【0112】
また、実装方式が仮想PC型であると判定した場合は、アドバイス情報記憶部173から特徴「実装方式が仮想PC型」に対応付けて登録されているアドバイス情報「DHCPプロトコルおよびRDPプロトコルによるパケットのみを通過させるフィルタによりアクセス制限を実施できる」を取り出し、表示装置16に表示する(ステップF4)。
【0113】
また、実装方式がネットワークブート型であると判定した場合は、アドバイス情報記憶部173から特徴「実装方式がネットワークブート型」に対応付けて登録されているアドバイス情報「プロトコルによるアクセス制限は殆ど実施することができない」を取り出し、表示装置16に表示する(ステップF5)。即ち、ネットワークブート型のシンクライアント端末装置は、ネットワークブート後にはユーザー端末装置と同様の動作を行い、プロトコルによるアクセス制限を行うことが難しいため、上記した表示を行う。
【0114】
シンクライアントシステムの実装方式が画面転送型あるいは仮想PC型であった場合には、ステップF3、F4の処理を行った後、シンクライアント特徴入力手段11から渡された特徴情報に基づいて、ユーザー端末装置5の接続が許可されているか否かを判定する(ステップF6)。
【0115】
そして、ユーザー端末装置5の接続が許可されていない場合(ステップF6がNo)は、アドバイス情報記憶部173から特徴「ユーザー端末装置5の接続が許可されていない」に対応付けて登録されているアドバイス情報「ネットワーク構成機器3のネットワーク7側のインタフェースの接続先をシンクライアント管理サーバ2のみに制限することができる。」を取り出し、表示装置16に表示する(ステップF7)。
【0116】
これに対して、ユーザー端末装置5の接続が許可されている場合(ステップF6がYes)は、シンクライアント特徴入力手段11から渡された特徴に基づいて、アドバイス対象にしているシンクライアントが、ユーザー端末装置5だけでなく、シンクライアント端末装置4についてもネットワーク認証を実施するものであるか否かを判定する(ステップF8)。
【0117】
そして、シンクライアント端末装置4についてもネットワーク認証を実施するものであると判定した場合(ステップF8がYes)は、アドバイス情報記憶部173から特徴「実装方式が画面転送型あるいは仮想PC型で、且つシンクライアント端末装置についてもネットワーク認証を実施する」に対応付けて登録されているアドバイス情報「ネットワーク構成機器3の接続ポートをネットワーク認証ポートに設定し、ネットワーク認証失敗時は端末アクセスを拒否する設定を行うことによりアクセス制限を行うことができる。」を取り出し、表示装置16に表示する(ステップF9)。
【0118】
これに対して、シンクライアント端末装置4についてはネットワーク認証を実施しないものであると判定した場合(ステップF8がNo)は、アドバイス情報記憶部173から特徴「実装方式が画面転送型あるいは仮想PC型で、且つシンクライアント端末装置についてはネットワーク認証を実施しない」に対応付けて登録されているアドバイス情報「ネットワーク構成機器3の接続ポートをネットワーク認証ポートに設定し、ネットワーク認証失敗時は接続端末装置をDefault VLANに接続させる設定を行うことによりアクセス制限を行うことができる。」を取り出し、表示装置16に表示する(ステップF10)。
【0119】
また、アドバイス対象にしているシンクライアントシステムの実装方式がネットワークブート型であった場合は、ステップF5の処理を行った後、シンクライアント特徴入力手段11から渡された特徴に基づいて、アドバイス対象にしているシンクライアントシステムがネットワーク認証を行うものであるか否かを判定する(ステップF11)。
【0120】
そして、ネットワーク認証を実施するものであると判定した場合(ステップF11がYes)は、アドバイス情報記憶部173から特徴「実装方式がネットワークブート型で、且つネットワーク認証を行う」に対応付けて登録されているアドバイス情報「ネットワーク構成機器3の接続ポートをネットワーク認証ポートに設定し、ネットワーク認証失敗時はDefault VLANに接続させ、Default VLANでは、ネットワークブートのために必要なポート(DHCP、PXE等)を開く設定を行えばよい。」を取り出し、表示装置16に表示する(ステップF12)。
【0121】
これに対して、ネットワーク認証を実施しないものであると判定した場合(ステップF11がNo)は、アドバイス情報記憶部173から特徴「実装方式がネットワークブート型で、且つネットワーク認証を実施しない。」に対応付けて登録されているアドバイス情報「ネットワーク認証をさせない場合には、この環境は不正接続のリスクが高い。」を取り出し、表示装置16に表示する(ステップF13)。
【0122】
最後に、MACアドレス等の機器固有情報収集し、接続を許可する端末の機器固有情報を登録することにより、アクセス制限ができることを表示装置16に表示する(ステップF14)。
【0123】
〔第4の実施例の効果〕
本実施例によれば、第1、第2の実施例で得られる効果に加え、利用者が導入済みのシンクライアントシステムや、導入予定にしているシンクライアントシステムを運用する上での注意点や、実施可能なアクセス制限方法などを容易に知ることができるという効果を得ることができる。その理由は、クライアントシステムの実装方式および通常端末装置の接続可否に応じて予め設定されている注意点および実施可能なアクセス制限方法を含むアドバイス情報中から、シンクライアント特徴入力手段11が認識しているシンクライアントシステムの実装方式および通常端末装置の接続可否に応じたアドバイス情報を選択し、選択したアドバイス情報を表示装置に表示するアドバイス手段19を備えているからである。
【産業上の利用可能性】
【0124】
本発明は、シンクライアントシステムの不正アクセス防止に適用することができる。
【図面の簡単な説明】
【0125】
【図1】本発明の第1の実施例の構成例を示すブロック図である。
【図2】本発明の第2の実施例の構成例を示すブロック図である。
【図3】アクセス制限方法記憶部171の内容例を示す図である。
【図4】アクセス制限情報生成装置1の処理例の一部を示すフローチャートである。
【図5】アクセス制限情報生成装置1の処理例の残りの部分を示すフローチャートである。
【図6】個体認証によるアクセス制限を実施した場合の動作を示す図である。
【図7】ネットワーク認証によるアクセス制限を実施した場合の動作(ネットワーク認証成功時)を説明する図である。
【図8】ネットワーク認証によるアクセス制限を実施した場合の動作(ネットワーク認証失敗時)の動作を説明するための図である。
【図9】本発明の第3の実施例の構成例を示すブロック図である。
【図10】機器固有情報収集時の動作を示す図である。
【図11】機器固有情報(MACアドレス)を利用したアクセス制限情報を生成する際の動作を示す図である。
【図12】本発明の第4の実施例の構成例を示すブロック図である。
【図13】アクセス制限情報生成装置1bの処理例を示すフローチャートである。
【符号の説明】
【0126】
1、1a、1b、100…アクセス制限情報生成装置
11、101…シンクライアント特徴入力手段
12、12a、102…アクセス制限方法選択手段
13、103…アクセス制限情報生成手段
14…送信手段
14a…送受信手段
15…入力装置
16…表示装置
17…記憶装置
171…アクセス制限方法記憶部
172…アクセス制限情報記憶部
173…アドバイス情報記憶部
18…収集要求送信手段
19…アドバイス手段
2…シンクライアント管理サーバ
3、3a…ネットワーク構成機器
31…機器固有情報収集手段
4…シンクライアント端末装置
5…ユーザー端末装置
6…不正接続端末装置
【技術分野】
【0001】
本発明は、シンクライアントシステムおいてアクセス制限対象ネットワークに対する不正アクセスを防止する技術に関し、特に、アクセス制限対象ネットワークに対してシンクライアントシステムの特徴に合ったアクセス制限を行うことができるアクセス制限情報を生成するアクセス制限情報生成技術に関する。
【背景技術】
【0002】
近年、情報漏洩問題が多発しており、情報の持ち出しを制限する目的で、データを記憶しておくことができないシンクライアント端末装置を利用するシンクライアントシステムの導入のニーズが高まっている。しかしながら、シンクライアントシステムを導入しただけで、情報漏洩対策が万全であると間違った認識をしているケースが多く、シンクライアント端末装置以外の端末装置(通常端末装置)が接続された場合のリスクを考慮していない場合が多い。また、シンクライアントシステムを導入する場合には、全ての端末装置を一気にシンクライアント端末装置に変更するケースは少なく、シンクライアント端末装置と通常端末装置とが併用されるケースが多い。この導入過渡期における不正アクセス対策を考慮していないケースも非常に多い。
【0003】
シンクライアントシステムを導入しても、不正アクセス対策を施さない限り、通常端末装置がアクセス制限対象となるネットワークをアクセスすることができてしまい、ここから情報が漏洩してしまう危険性がある。このため、シンクライアントシステムにおいても不正アクセス対策を施す必要があり、端末装置とアクセス制限対象ネットワーク(イントラネット等)との間に設置されるネットワーク構成機器(ネットワークスイッチ、ルータ等)に不正アクセスを防止するためのアクセス制限情報を設定することが必要になる。
【0004】
ところで、シンクライアントシステムには、ネットワークブート型、画面転送型、仮想PC型などの様々な実装方式が存在し、実装方式により使用するプロトコルが異なっている。また、シンクライアント端末装置以外の通常端末装置の接続を許可するシンクライアントシステムも存在すれば、許可しないシンクライアントシステムも存在する。従って、ネットワーク構成機器にアクセス制限情報を設定する場合には、シンクライアントシステムの実装方式や、通常端末の接続の可否を考慮し、シンクライアントシステムに特徴に合ったアクセス制限情報を設定することが必要になる。このように、アクセス制限情報を設定する際には、実装方式によるプロトコルの違いや、通常端末装置の接続の可否を考慮する必要があるため、多くの知識や経験が必要であった。
【0005】
一方、ルータ、スイッチといったネットワーク構成機器の設定に関する技術としては、従来から次のような技術が知られている(例えば、特許文献1、2参照)。
【0006】
特許文献1に記載されている技術は、ネットワークセグメント間の通信可否を制御することが可能なルータの設定情報を生成する技術であり、表示装置にネットワークセグメントの対を表示し、ユーザーが表示された各対に対して入力した通信可否情報に基づいて、ルータに設定する設定情報(ネットワークセグメント間の通信を許可するか否かを示す情報)を生成するようにしている。
【0007】
特許文献2に記載されている技術は、新たにネットワークに導入したスイッチにフィルタリング条件を設定するための技術であり、既存のスイッチに設定されているフィルタリング条件を新設したスイッチに転送することにより、新設スイッチにフィルタリング条件を設定するようにしている。
【0008】
【特許文献1】特開2005−311704号公報
【特許文献2】特開2006−340161号公報
【発明の開示】
【発明が解決しようとする課題】
【0009】
上述した特許文献1に記載されている技術によれば、ネットワークセグメント間の通信可否を制御するルータに設定する設定情報を容易に生成することは可能になる。また、特許文献2に記載されている従来の技術によれば、新設したスイッチに対するフィルタリング条件の設定を容易に行うことが可能になる。しかし、特許文献1、2は、シンクライアントシステムに関するものではないため、シンクライアントシステムのネットワーク構成機器に設定するアクセス制限情報を生成することはできない。即ち、実装方式や通常端末装置の接続可否を考慮した、シンクライアントシステムの特徴に合ったアクセス制限情報を生成することができない。
【0010】
〔発明の目的〕
そこで、本発明の目的は、シンクライアントシステムの実装方式と通常端末装置の接続可否とを入力するだけで、シンクライアントシステムの特徴に合ったアクセス制限方法でアクセス制限を行うためのアクセス制限情報を生成できるようにすることにある。
【課題を解決するための手段】
【0011】
本発明にかかる第1のアクセス制限情報生成装置は、
入力装置から入力されたシンクライアントシステムの実装方式および通常端末装置の接続可否を示す特徴情報を受け付けるシンクライアント特徴入力手段と、
シンクライアントシステムの実装方式および通常端末装置の接続可否に応じて予め設定されているアクセス制限方法の中から、前記シンクライアント特徴入力手段が受け付けた特徴情報によって示されるシンクライアントシステムの実装方式および通常端末装置の接続可否に適したアクセス制限方法を選択するアクセス制限方法選択手段と、
該アクセス制限方法選択手段で選択されたアクセス制限方法に従ってアクセス制限対象ネットワークに対するアクセス制限を実施するためのアクセス制限情報を生成するアクセス制限情報生成手段とを備えたことを特徴とする。
【0012】
本発明にかかる第1のアクセス制限情報生成方法は、
コンピュータが、入力装置から入力されるシンクライアントシステムの実装方式および通常端末装置の接続可否を示す特徴情報を受け付けるシンクライアント特徴入力ステップと、
前記コンピュータが、シンクライアントシステムの実装方式および通常端末装置の接続可否に応じて予め設定されているアクセス制限方法の中から、前記シンクライアント特徴入力ステップで受け付けた特徴情報によって示されるシンクライアントシステムの実装方式および通常端末装置の接続可否に適したアクセス制限方法を選択するアクセス制限方法選択ステップと、
前記コンピュータが、前記アクセス制限方法選択ステップで選択されたアクセス制限方法に従ってアクセス制限対象ネットワークに対するアクセス制限を実施するためのアクセス制限情報を生成するアクセス制限情報生成ステップとを含むことを特徴とする。
【0013】
本発明にかかる第1のプログラムは、
コンピュータを、
入力装置から入力されたシンクライアントシステムの実装方式および通常端末装置の接続可否を示す特徴情報を受け付けるシンクライアント特徴入力手段、
シンクライアントシステムの実装方式および通常端末装置の接続可否に応じて予め設定されているアクセス制限方法の中から、前記シンクライアント特徴入力手段が受け付けた特徴情報によって示されるシンクライアントシステムの実装方式および通常端末装置の接続可否に適したアクセス制限方法を選択するアクセス制限方法選択手段、
該アクセス制限方法選択手段で選択されたアクセス制限方法に従ってアクセス制限対象ネットワークに対するアクセス制限を実施するためのアクセス制限情報を生成するアクセス制限情報生成手段として機能させる。
【発明の効果】
【0014】
本発明によれば、シンクライアントシステムの実装方式と通常端末装置の接続可否とを入力するだけで、シンクライアントシステムの特徴に合ったアクセス制限方法でアクセス制限を行うためのアクセス制限情報を生成することが可能になるという効果を得ることができる。
【発明を実施するための最良の形態】
【0015】
次に、本発明を実施するための最良の形態について図面を参照して詳細に説明する。
【0016】
〔本発明の第1の実施例〕
図1は本発明にかかるアクセス制限情報生成装置の第1の実施例の構成例を示すブロック図である。本実施例のアクセス制限情報生成装置100は、管理者によって入力される、シンクライアントシステムの特徴を示す特徴情報に基づいて、シンクライアントシステムの特徴に合ったアクセス制限をネットワーク構成機器に行わせるためのアクセス制限情報を生成するものであり、シンクライアント特徴入力手段101と、アクセス制限方法選択手段102と、アクセス制限情報生成手段103とを備えている。
【0017】
シンクライアント特徴入力手段101は、管理者によって入力される特徴情報を受け付ける。ここで、管理者が入力する特徴情報には、シンクライアントシステムの実装方式を示す実装方式情報および通常端末装置の接続を許可するか否かを示す接続可否情報が含まれる。
【0018】
アクセス制限方法選択手段102は、シンクライアントシステムの実装方式および通常端末装置の接続可否に応じて予め設定されている、アクセス制限対象ネットワークに対するアクセス制限をどのような方法で実施するのかを示すアクセス制限方法の中から、シンクライアント特徴入力手段101が受け付けた特徴情報によって認識されるシンクライアントシステムの実装方式および通常端末装置の接続可否に適したアクセス制限方法を選択する機能を有する。
【0019】
アクセス制限情報生成手段103は、アクセス制限方法選択手段102で選択されたアクセス制限方法に従ってアクセス制限対象ネットワークに対するアクセス制限を実施するためのアクセス制限情報を生成する機能を有する。
【0020】
このような機能を有するアクセス制限情報生成装置100は、コンピュータによって実現可能であり、コンピュータによって実現する場合は、例えば、次のようにする。コンピュータをアクセス制限情報生成装置100として機能させるためのプログラムを記録したディスク、半導体メモリ、その他の記録媒体を用意し、コンピュータに上記プログラムを読み取らせる。コンピュータは、読み取ったプログラムに従って自身の動作を制御することにより、自コンピュータ上にシンクライアント特徴入力手段101、アクセス制限方法選択手段102、アクセス制限情報生成手段103を実現する。
【0021】
〔第1の実施例の動作の説明〕
次に、本実施例の動作について詳細に説明する。
【0022】
管理者は、シンクライアントシステムのネットワーク構成機器に設定するアクセス制限情報を生成する場合、シンクライアントシステムの特徴を示す特徴情報を入力する。即ち、シンクライアントシステムの実装方式(例えば、画面転送型、仮想PC型、ネットワークブート型など)を示す実装方式情報および通常端末装置の接続を許可するか否かを示す接続可否情報を含んだ特徴情報を入力する。
【0023】
シンクライアント特徴入力手段101は、管理者によって入力された特徴情報を受け付ける。
【0024】
アクセス制限方法選択手段102は、シンクライアント特徴入力手段101が受け付けた特徴情報によって示されるシンクライアントシステムの特徴に基づいて、シンクライアントシステムの特徴に応じて予め定められているアクセス制限方法の中から、シンクライアントの特徴に適したアクセス制限方法を選択し、選択したアクセス制限方法をアクセス制限情報生成手段103に渡す。即ち、シンクライアントシステムの実装方式や通常端末装置の接続の可否などに応じて予め設定されているアクセス制限方法の中から、アクセス制限対象にするシンクライアントシステムの特徴に適したアクセス制限方法を選択する。
【0025】
アクセス制限情報生成手段103は、アクセス制限方法選択手段102から渡されたアクセス制限方法に従ってアクセス制限対象ネットワークに対するアクセス制限を実施するためのアクセス制限情報を生成する。生成したアクセス制限情報は、ルータなどのネットワーク構成機器に設定される。
【0026】
〔第1の実施例の効果〕
本実施例によれば、シンクライアントシステムの実装方式と通常端末装置の接続の可否とを入力するだけで、シンクライアントシステムの特徴に合ったアクセス制限方法でアクセス制限を行うためのアクセス制限情報を生成することが可能になるという効果を得ることができる。
【0027】
その理由は、アクセス制限対象ネットワークに対するアクセス制限をどのような方法で実施するのかを示すアクセス制限方法を、シンクライアントシステムの実装方式および通常端末装置の接続可否に応じて予め設定しておき、管理者が入力したシンクライアントシステムの実装方式および通常端末装置の接続可否に適したアクセス制限方法を選択し、選択したアクセス制限方法に従ってアクセス制限対象ネットワークに対するアクセス制限を行うアクセス制限情報を生成するようにしているからである。
【0028】
〔本発明の第2の実施例〕
次に、本発明の第2の実施例について詳細に説明する。図2を参照すると、本実施例は、アクセス制限情報生成装置1と、シンクライアント管理サーバ2と、ネットワーク構成機器3と、シンクライアント端末装置4と、通常端末装置であるユーザー端末装置5とから構成されている。アクセス制限情報生成装置1、シンクライアント管理サーバ2およびネットワーク構成機器3は、イントラネット等のネットワーク7を介して相互に接続されており、シンクライアント端末装置4およびユーザー端末装置5は、ネットワーク構成機器3を介してネットワーク7にアクセスする。なお、ネットワーク構成機器3には、不正接続端末装置6が接続される可能性がある。
【0029】
シンクライアント端末装置4は、ネットワーク7に接続する機能、入出力を行う機能などの最低限の機能しか持たない端末装置であり、シンクライアント管理サーバ2で管理されているアプリケーションプログラムやファイルといった資源を利用することにより、ユーザーに対してユーザー端末装置5と同様の機能を提供する。
【0030】
ユーザー端末5は、パーソナルコンピュータ等の情報処理装置であり、ネットワーク構成機器3を介してネットワーク7にアクセスする機能を備えている。
【0031】
ネットワーク構成機器3は、ネットワークスイッチやルータによって実現されるものであり、アクセス制限情報生成装置1から送られてきたアクセス制限情報に従って、各端末装置4〜6からネットワーク7へのアクセスを制限する機能を有する。
【0032】
シンクライアント管理サーバ2は、シンクライアント端末装置4に利用させるアプリケーションプログラムやファイルなどの資源を管理する機能を有する。
【0033】
アクセス制限情報生成装置1は、管理者によって入力されたシンクライアントシステムの特徴を示す特徴情報と、予め設定されているシンクライアントシステムの特徴に応じたアクセス制限方法とに基づいて、アクセス制限情報を生成し、生成したアクセス制限情報をネットワーク構成機器3に送信する機能を有する。
【0034】
このような機能を有するアクセス制限情報生成装置1は、シンクライアント特徴入力手段11と、アクセス制限方法選択手段12と、アクセス制限情報生成手段13と、送信手段14とを備えている。また、アクセス制限情報生成装置1には、キーボード等の入力装置15と、LCD等の表示装置16と、ディスク装置などの記憶装置17とが接続されている。
【0035】
記憶装置17には、アクセス制限方法記憶部171と、アクセス制限情報記憶部172とが設けられている。アクセス制限方法記憶部171には、シンクライアントシステムの特徴に対応付けて、その特徴を有するシンクライアントシステムに適したアクセス制限方法が登録されている。また、アクセス制限情報記憶部172には、アクセス制限情報生成手段13によって生成されたアクセス制限情報が登録される。
【0036】
図3はアクセス制限方法記憶部171の内容例を示した図である。同図の例の第1番目のエントリは、実装方式が仮想PC型であるという特徴を有するシンクライアントシステムに適したアクセス制限方法が、DHCPプロトコル及びRDPプロトコルによるパケットのみを通過させるフィルタを用いるものであることを示している。また、同図の例の第3番目のエントリは、実装方式が仮想PC型あるいは画面転送型で、且つ通常端末装置の接続を許可しないという特徴を有するシンクライアントシステムに適したアクセス制限方法が、ネットワーク構成機器3のネットワーク7側のインタフェースの接続先をシンクライアント管理サーバ2のみに制限する方法であることを示している。
【0037】
シンクライアント特徴入力手段11は、管理者が入力装置15を用いて入力した、アクセス制限を行うシンクライアントシステムの特徴を表す特徴情報を受け付ける機能を有する。
【0038】
アクセス制限方法選択手段12は、アクセス制限方法記憶部171に登録されているアクセス制限方法の中からシンクライアント特徴入力手段11が受け付けた特徴情報によって示されるシンクライアントシステムの特徴に合ったアクセス制限方法を選択する機能を有する。
【0039】
アクセス制限情報生成手段13は、アクセス制限方法選択手段12で選択されたアクセス制限方法に従ってアクセス制限を行うためのアクセス制限情報を生成し、生成したアクセス制限情報をアクセス制限情報記憶部172に登録する機能を有する。
【0040】
送信手段14は、アクセス制限情報記憶部172に登録されているアクセス制限情報を、ネットワーク7を介してネットワーク構成機器3に送信する機能を有する。
【0041】
このような機能を有するアクセス制限情報生成装置1は、コンピュータにより実現可能であり、コンピュータによって実現する場合は、例えば、次のようにする。コンピュータをアクセス制限情報生成装置1として機能させるためのプログラムを記録したディスク、半導体メモリ、その他の記録媒体を用意し、コンピュータに上記プログラムを読み取らせる。コンピュータは、読み取ったプログラムに従って自身の動作を制御することにより、自コンピュータ上に、シンクライアント特徴入力手段11、アクセス制限方法選択手段12、アクセス制限情報生成手段13および送信手段14を実現する。
【0042】
〔第2の実施例の動作の説明〕
次に本実施例の動作について詳細に説明する。
【0043】
先ず、図4のフローチャートに示すように、管理者が入力装置15からアクセス制限情報生成装置1に対して、アクセス制限を行うシンクライアントシステムの特徴を示す特徴情報を入力する(ステップA1)。この特徴情報は、シンクライアント特徴入力手段11によって受け付けられる。
【0044】
ここで、ステップA1で入力する特徴情報について説明する。シンクライアントシステムには、ネットワークブート型、画面転送型、仮想PC型などの様々な実装方式が存在する。更に、シンクライアント端末装置4のみの接続を許可するものもあれば、通常端末装置であるユーザー端末装置5の接続も許可するものもある。更に、端末装置の個体認証を実施するものもあれば、実施しないものもある。更に、ネットワーク認証を実施するものもあれば、実施しないものもある。
【0045】
そこで、本実施例では、ステップA1において、次の各情報を含んだ特徴情報を入力する。
【0046】
・実装方式情報…実装方式がネットワークブート型、画面転送型あるいは仮想PC型の何れであるかを示す情報。
・実装制限情報…実装方式に応じたアクセス制限を実施するか否かを示す情報。
・接続可否情報…ユーザー端末装置(通常端末装置)の接続を許可するか否かを示す情報。
・個体認証有無情報…端末装置の個体認証を実施するか否かを示す情報。
・ネットワーク認証有無情報…ネットワーク認証を行うか否かを示す情報。
【0047】
なお、特徴情報の入力方法としては種々の方法を採用することができ、例えば、対話形式で入力する方法や、選択形式で入力する方法などを採用することができる。
【0048】
その後、ステップA1において入力された特徴情報に基づいて、アクセス制限方法選択手段12およびアクセス制限情報生成手段13が、次のような処理を行う。
【0049】
先ず、アクセス制限方法選択手段12は、シンクライアント特徴入力手段11が受け付けた特徴情報から認識されるシンクライアントシステムの特徴に基づいて、アクセス制限の対象にするシンクライアントシステムが個体認証を実施するものであるか否かを判定する(ステップA2)。
【0050】
そして、個体認証を実施するものであると判定した場合(ステップA2がYes)は、次のような処理を行う。
【0051】
先ず、アクセス制限方法選択手段12は、表示装置16にメッセージを表示することにより、管理者に対してネットワーク7への接続(アクセス)を許可する端末装置の機器固有情報のリストを要求する。なお、本実施例では、機器固有情報としてMACアドレスを使用するが、これに限られるものではなく、IPアドレスなどを使用することもできる。その後、アクセス制限方法選択手段12は、アクセス制限方法記憶部171から特徴「個体認証を実施」に対応付けて登録されているアクセス制限方法「MACアドレスフィルタを生成」を取り出す。その後、管理者によって、ネットワーク7への接続を許可する端末装置のMACアドレスのリストが入力されると、リストとアクセス制限方法とをアクセス制限情報生成手段13に渡す。アクセス制限情報生成手段13では、アクセス制限方法選択手段12から渡されたリストおよびアクセス制限方法に従って、アクセス制限情報として、上記リストに載っているMACアドレスを送信元とするパケットのみを通過させるMACアドレスフィルタを生成し、生成したMACアドレスフィルタをアクセス制限情報記憶部172に登録する(ステップA3)。
【0052】
その後、アクセス制限方法選択手段12はシンクライアント特徴入力手段11が受け付けた特徴情報に基づいて、アクセス制限の対象にするシンクライアントシステムが実装方式に応じたアクセス制限を実施するものであるか否かを判定する(ステップA4)。
【0053】
そして、実装方式に応じたアクセス制限を実施しないものである場合(ステップA4がNo)は、送信手段14に対してアクセス制限情報の送信を指示する。この指示に従って、送信手段14は、アクセス制限情報記憶部172に登録されているアクセス制限情報をネットワーク構成機器3へ送信する(図5のステップA15)。
【0054】
これに対して、実装方式に応じたアクセス制限を実施するものである場合(ステップA4がYes)は、シンクライアント特徴入力手段11が受け付けた特徴情報に基づいて、アクセス制限の対象にしているシンクライアントシステムの実装方式を判定する(ステップA5)。
【0055】
そして、実装方式が仮想PC型である場合は、アクセス制限方法記憶部171から特徴「実装方式が仮想PC型」に対応付けて登録されているアクセス制限方法「DHCPプロトコルおよびRDPプロトコルによるパケットのみの通過を許可するフィルタの生成」を取り出し、取り出したアクセス制限方法をアクセス制限情報生成手段13に渡す。これにより、アクセス制限情報生成手段13は、アクセス制限情報として、DHCPプロトコルおよびRDPプロトコルによるパケットのみを通過させるフィルタを生成し、生成したフィルタをアクセス制限情報記憶部172に登録する(ステップA6)。即ち、実装方式が仮想PC型のシンクライアントシステムにおいては、シンクライアント端末装置4とシンクライアント管理サーバ2との間の情報のやり取りはRDPプロトコルを用いて行われ、また、シンクライアント端末装置4がネットワーク7にアクセスするために必要になるIPアドレスはDHCPプロトコルを利用して獲得するケースが多いため、DHCPプロトコルおよびRDPプロトコルによるパケットのみを通過させるフィルタを生成する。
【0056】
また、実装方式が画面転送型である場合は、アクセス制限方法記憶部171から特徴「実装方式が画面転送型」に対応付けて登録されているアクセス制限方法「DHCPプロトコルおよびICAプロトコルによるパケットのみの通過を許可するフィルタを生成」を取り出し、アクセス制限情報生成手段13に渡す。これにより、アクセス制限情報生成手段13は、アクセス制限情報として、DHCPプロトコルおよびICAプロトコルによるパケットのみを通過させるフィルタを生成し、生成したフィルタをアクセス制限情報記憶部172に登録する(ステップA7)。即ち、実装方式が画面転送型のシンクライアントシステムにおいては、シンクライアント端末装置4とシンクライアント管理サーバ2との間の情報のやり取りはICAプロトコルを用いて行われ、また、シンクライアント端末装置4がネットワーク7にアクセスするために必要になるIPアドレスはDHCPプロトコルを利用して獲得するケースが多いため、DHCPプロトコルおよびICAプロトコルによるパケットのみを通過させるフィルタを生成する。
【0057】
実装方式が仮想PC型あるいは画面転送型であった場合には、ステップA6、A7が終了した後、アクセス制限方法選択手段12は、シンクライアント特徴入力手段11が受け付けた特徴情報に基づいて、アクセス制限の対象にしているシンクライアントシステムは、ユーザー端末装置の接続を許可しているものか否かを判定する(図5のステップA8)。
【0058】
そして、ユーザー端末装置(通常端末装置)の接続を許可していない場合(ステップA8がNo)は、アクセス制限方法記憶部171から特徴「実装方式が仮想PC型あるいは画面転送型で、且つ通常端末装置の接続が不可」に対応付けて登録されているアクセス制限方法「ネットワーク構成機器3のネットワーク7側のインタフェースの接続先をシンクライアント管理サーバ2に制限するフィルタを生成」を取り出し、アクセス制限情報生成手段13に渡す。アクセス制限情報生成手段13では、渡されたアクセス制限方法に従って、アクセス制限情報として、ネットワーク構成機器3のネットワーク7側のインタフェースの接続先をシンクライアント管理サーバ2に制限するフィルタを生成し、生成したフィルタをアクセス制限情報記憶部172に登録する(ステップA12)。このステップA12で生成したアクセス制限情報を用いてアクセス制限を行った場合、シンクライアント端末装置4以外の端末装置(ユーザー端末装置5や不正接続端末装置6)もシンクライアント管理サーバ2に接続されることになるが、シンクライアント管理サーバ2において実施されるシンクライアント認証処理においてシンクライアント端末装置4以外は正しいシンクライアント認証情報を送信することができないので、接続が拒否されることになる。
【0059】
これに対して、ユーザー端末装置の接続が許可されている場合(ステップA8がYes)は、シンクライアント特徴入力手段11が受け付けた特徴情報に基づいて、アクセス制限の対象にするシンクライアントシステムが、ユーザー端末装置だけでなく、シンクライアント端末装置についてもネットワーク認証を行うものであるか否かを判定する(ステップA9)。そして、シンクライアント端末装置およびユーザー端末装置に対してネットワーク認証を行うものであると判定した場合(ステップA9がYes)は、アクセス制限方法記憶部171から特徴「実装方式が仮想PC型あるいは画面転送型、通常端末装置の接続を許可、シンクライアント端末装置および通常端末装置に対してネットワーク認証を実施」に対応付けて登録されているアクセス制限方法「ネットワーク構成機器3の端末接続ポートにネットワーク認証ポートを設定。認証失敗時にはアクセス拒否(Reject)。」を取り出し、アクセス制限情報生成手段13に渡す。アクセス制限情報生成手段13では、渡されたアクセス制限方法に従って、ネットワーク構成機器3の端末接続ポートにネットワーク認証ポートを設定し、認証失敗時にはアクセスを拒否するためのアクセス制限情報を生成し、生成したアクセス制限情報をアクセス制限情報記憶部172に登録する(ステップA10)。
【0060】
また、ステップA9において、アクセス制限の対象にするシンクライアントシステムが、シンクライアント端末装置4に対してはネットワーク認証を行わないものであると判定した場合(判定結果がNoの場合)は、アクセス制限方法記憶部171から特徴「実装方式が仮想PC型あるいは画面転送型、通常端末装置の接続を許可、通常端末装置に対してネットワーク認証を実施」に対応付けて登録されているアクセス制限方法「ネットワーク構成機器3の端末接続ポートにネットワーク認証ポートを設定。ネットワーク認証失敗時にはDefault VLANに接続。」を取り出し、アクセス制限情報生成手段13に渡す。アクセス制限情報生成手段13では、渡されたアクセス制限方法に従って、ネットワーク構成機器3の端末接続ポートにネットワーク認証ポートを設定し、ネットワーク認証失敗時には端末装置をDefault VLANに接続させるためのアクセス制限情報を生成し、生成したアクセス制限情報をアクセス制限情報記憶部172に格納する(ステップA11)。
【0061】
Default VLANとは、ネットワーク認証が失敗した端末装置にもネットワーク構成機器3を越えたネットワークアクセス(シンクライアント管理サーバ2に対するアクセス)を許可するために用意するVLANであり、アクセスできる範囲が制限されたVLANである。ネットワーク認証に失敗した端末装置をDefault VLANに接続するのは、次の理由からである。ステップA11で生成されたアクセス制限情報に従ってネットワーク構成機器3の端末接続ポートにネットワーク認証ポートを設定するようにすると、シンクライアント端末装置4についてはネットワーク認証を行わないシンクライアントシステム(シンクライアント端末装置4がネットワーク認証を行うための構成を備えていないシンクライアントシステム)では、不正接続端末装置6だけでなく、シンクライアント端末装置4もネットワーク認証に失敗してしまう。従って、ネットワーク認証失敗時にアクセスを拒否するようにすると、シンクライアント端末装置4がシンクライアント管理サーバ2をアクセスできなくなってしまう。そこで、シンクライアント端末装置4がシンクライアント管理サーバ2をアクセスできるようにするため、Default VLANに接続するようにしている。なお、不正接続端末装置6もDefault VLANに接続されることにより、シンクライアント管理サーバ2をアクセスすることができるようになるが、シンクライアント管理サーバ2が行うシンクライアント認証処理によって接続が拒否される。
【0062】
次に、図4のステップA5において、アクセス制限の対象にするシンクライアントシステムの実装方式がネットワークブート型であると判定された場合の動作について説明する。この場合、アクセス制限方法選択手段12は、シンクライアント特徴入力手段11が受け付けた特徴情報に基づいて、アクセス制限の対象にしているシンクライアントシステムがネットワーク認証を行うものであるか否かを判定する(図5のステップA13)。
【0063】
そして、ネットワーク認証を行わないと判定した場合(ステップA13がNo)は、送信手段14に対して送信指示を出力する。これにより、送信手段14は、アクセス制限情報記憶部172に登録されているアクセス制限情報をネットワーク構成機器3へ送信する(ステップA15)。
【0064】
これに対して、ネットワーク認証を行うと判定した場合(ステップA13がYes)は、アクセス制限方法記憶部171から特徴「実装方式がネットワークブート型で、且つネットワーク認証を行う。」に対応付けて登録されているアクセス制限方法「ネットワーク構成機器3の端末接続ポートにネットワーク認証ポートを設定。ネットワーク認証失敗時にはDefault VLANに接続。Default VLANではネットワークブートのためのポートを開く。」を取り出し、アクセス制限情報生成手段13に渡す。アクセス制限情報生成手段13では、上記アクセス制限方法に従って、「ネットワーク構成機器3の端末接続ポートにネットワーク認証ポートを設定し、アクセス認証失敗時にはDefault VLANに接続させ、Default VLANではネットワークブートのために必要なポート(DHCP、PXEなど)を開く」ためのアクセス制限情報を生成し、アクセス制限情報記憶部172に登録する(ステップA14)。そして、ステップA14の処理が終了すると、アクセス制限情報生成手段13は、送信手段14に対して送信指示を出力する。これにより、送信手段14は、アクセス制限情報記憶部172に登録されているアクセス制限情報をネットワーク構成機器3へ送信する(ステップA15)。なお、ステップA10〜A12が終了した場合も、アクセス制限情報生成手段13は、送信手段14に対して送信指示を出力し、アクセス制限情報記憶部172に登録されているアクセス制限情報をネットワーク構成機器3へ送信させる。
【0065】
ネットワーク構成機器3は、アクセス制限情報生成装置1から送られきたアクセス制限情報を自機器3の設定に反映させ、シンクライアントシステムの特徴に合った不正アクセス防止環境を構築する(ステップA16)。
【0066】
次に、図6を参照し、ネットワーク構成機器3が図4のステップA3で生成されたMACアドレスフィルタを利用してアクセス制限を行う場合の動作について説明する。
【0067】
利用者がシンクライアント端末装置4を操作し、シンクライアント管理サーバ2への接続を試みることにより、シンクライアント端末装置4から通信パケットが送出される(ステップB1)。
【0068】
ネットワーク構成機器3は、シンクライアント端末装置4から通信パケットが送られてくると、通信パケットから個体認証を行うために必要な情報(本実施例では、送信元のMACアドレス)を抽出する。その後、抽出したMACアドレスと、ステップA3で生成されたMACアドレスフィルタとに基づいて、シンクライアント端末装置4の接続を許可するか否かを判定する(ステップB2)。そして、シンクライアント端末装置4が接続可能な端末装置であると判定すると(ステップB2がYes)、ネットワーク構成機器3はシンクライアント管理サーバ2に対して接続要求を送信し(ステップB3)、これによりシンクライアント管理サーバ2はシンクライアント端末装置4と接続する(ステップB4)。これで、シンクライアント端末装置4は、ネットワーク構成機器3を通してネットワーク7へのアクセスが可能となる。
【0069】
次に、接続が許可されていない不正接続端末装置6がネットワーク構成機器3に接続された場合について説明する。
【0070】
利用者が不正接続端末装置6を操作し、ネットワーク7へのアクセスを試みることにより、不正接続端末装置6から通信パケットが送出される(ステップB5)。
【0071】
ネットワーク構成機器3は、不正接続端末装置6から送られてきた通信パケットから、個体認証を行うために必要となる情報(MACアドレス)を抽出し、このMACアドレスとMACアドレスフィルタとに基づいて、不正接続端末装置6が接続を許可する端末装置であるか否かを判定する(ステップB6)。そして、不正接続端末装置6は接続を許可しない端末装置であると判定すると(ステップB6がNo)、不正接続端末装置6の接続を拒否する(ステップB7)。以上の動作により、シンクライアント端末装置4はネットワーク7へのアクセスが許可され、不正接続端末装置6はネットワーク7へのアクセスが拒否されることになる。
【0072】
次に、図7および図8を参照し、ネットワーク構成機器3が図5のステップA10で生成されたアクセス制限情報に従ってアクセス制限を行う場合の動作を説明する。
【0073】
利用者がシンクライアント端末装置4をネットワーク構成機器3に接続すると(ステップC1)、ネットワーク構成機器3は、シンクライアント端末装置4に対してネットワーク認証を行うために必要な情報を要求する(ステップC2)。
【0074】
これにより、シンクライアント端末装置4は、ネットワーク認証に必要な情報(認証情報)をネットワーク構成機器3へ送信する(ステップC3)。この認証情報は、ネットワーク構成機器3を介して図示を省略したネットワーク認証サーバに送られ、ネットワーク認証が行われる。
【0075】
ネットワーク構成機器3は、ネットワーク認証サーバによるネットワーク認証が成功すると(ステップC4がYes)、シンクライアント端末装置4が接続されている通信ポートを開く(ステップC5)。これにより、シンクライアント端末装置4は、ネットワーク構成機器3を超えた通信が可能となる(ステップC6)。
【0076】
次に、接続が許可されているユーザー端末装置5をネットワーク構成機器3に接続した場合の動作を説明する。
【0077】
利用者がユーザー端末装置5をネットワーク構成機器3に接続すると(ステップC7)、ネットワーク構成機器3はユーザー端末装置5に対して認証情報を要求する(ステップC8)。これにより、ユーザー端末装置5は、認証情報をネットワーク構成機器3へ送信する(ステップ9)。この認証情報はネットワーク構成機器3を介してネットワーク認証サーバへ送られ、ネットワーク認証処理が行われる。
【0078】
ネットワーク構成機器3は、ネットワーク認証サーバによる認証が成功すると(ステップC10がYes)、ユーザー端末装置5に接続されている通信ポートを開く(ステップC11)。これにより、ユーザー端末装置5はネットワーク7を越えた通信を行うことが可能になる。
【0079】
次に、接続が許可されていない不正接続端末装置6がネットワーク構成機器3に接続した場合の動作について説明する。
【0080】
利用者が、不正接続端末装置6をネットワーク構成機器3に接続すると(図8のステップC12)、ネットワーク構成機器3は不正接続端末装置6に対して認証情報を要求する(ステップC13)。しかし、不正接続端末装置6は認証情報を送信することができない(ステップC14)。そのため、ネットワーク構成機器3では、ネットワーク認証が失敗したと判定する(ステップC15)。ネットワーク認証が失敗した場合には、不正接続端末装置6が接続されている通信ポートを遮断する(ステップC16)。これにより、不正接続端末装置6は、ネットワーク構成機器3を越えた通信ができない。
【0081】
以上の動作によりシンクライアント端末装置4およびユーザー端末装置5はネットワーク7へのアクセスが許可され、不正接続端末装置6はネットワーク7へのアクセスが拒否されることになる。
【0082】
〔第2の実施例の効果〕
本実施例によれば、第1の実施例で得られる効果に加え、ネットワーク構成機器3に容易にアクセス制限情報を設定することができるという効果を得ることができる。その理由は、アクセス制限情報生成手段13で生成されたアクセス制限情報をネットワーク構成機器3へ送信する送信手段14を備えているからである。
【0083】
〔本発明の第3の実施例〕
次に、本発明の第3の実施例について詳細に説明する。本実施例は、個体認証によるアクセス制限を実施する場合に必要になる、接続を許可する端末装置の機器固有情報(MACアドレスなど)を管理者が1個ずつ入力するのではなく、ネットワーク構成機器においてネットワーク7に接続した端末装置の機器固有情報を全て収集しておき、その中から管理者が接続を許可する端末装置の機器固有情報を選択するようにしたことを特徴とする。
【0084】
図9は本発明の第3の実施例の構成例を示すブロック図であり、図2に示した第2の実施例との相違点は、アクセス制限情報生成装置1、ネットワーク構成機器3の代わりにアクセス制限情報生成装置1a、ネットワーク構成機器3aを備えている点である。
【0085】
アクセス制限情報生成装置1aは、収集要求送信手段18が追加されている点、アクセス制限方法選択手段12の代わりにアクセス制限方法選択手段12aを備えている点、送信手段14の代わりに送受信手段14aを備えている点がアクセス制限情報生成装置1と相違している。
【0086】
収集要求送信手段18は、入力装置15から入力される管理者の指示に従って、機器固有情報の収集要求をネットワーク構成機器3aに送信する機能を有している。
【0087】
送受信手段14aは、ネットワーク構成機器3aから送られてきた機器固有情報をアクセス制限方法選択手段12aに渡す機能を備えている点が、送信手段14と相違している。
【0088】
アクセス制限方法選択手段12aは、機器固有情報の取得要求をネットワーク構成機器3aに対して送信する機能、送受信手段14aから渡された機器固有情報を表示装置16に表示する機能、および表示した機器固有情報の内の、管理者によって選択された機器固有情報のリストをアクセス制限情報生成手段13に渡す機能を有している点がアクセス制限方法選択手段12と相違している。
【0089】
ネットワーク構成機器3aは、機器固有情報収集手段31を備えている点がネットワーク構成機器3と相違している。
【0090】
機器固有情報収集手段31は、アクセス制限情報生成装置1aから機器固有情報の収集要求が送られてくることにより、機器固有情報の収集処理を開始し、ネットワーク7に接続した端末装置の機器固有情報(例えば、MACアドレス)を収集する機能を有する。更に、機器固有情報収集手段31は、アクセス制限情報生成装置1aから機器固有情報の取得要求が送られてくることにより、機器固有情報の収集処理を終了し、収集してある機器固有情報をアクセス制限情報生成装置1aへ送信する機能を有する。
【0091】
なお、アクセス制限情報生成装置1aもアクセス制限情報生成装置1と同様にコンピュータによって実現可能である。
【0092】
〔第3の実施例の動作の説明〕
次に、本実施例の動作について説明する。
【0093】
先ず、機器固有情報の収集処理について説明する。
【0094】
管理者は、機器固有情報の収集処理を開始させる場合、入力装置15から収集要求の送信指示を入力する。これにより、図10のフローチャートに示すように、収集要求送信手段18がネットワーク構成機器3aへ機器固有情報の収集要求を送信する(ステップD1)。
【0095】
ネットワーク構成機器3a内の機器固有情報収集手段31は、機器固有情報の収集要求が送られてくると、機器固有情報の収集処理を開始し、ネットワーク7をアクセスする端末装置が現れる毎に(ステップD2、D4、D6)、端末装置の機器固有情報(例えば、MACアドレス)を収集し、収集した機器固有情報をネットワーク構成機器3a内の記憶装置(図示せず)に登録する(ステップD3、D5、D7)。その際、収集した機器固有情報が既に登録済みか否かを調べ、登録済みである場合には、登録処理を行わないようにしても良い。
【0096】
次に、アクセス制限情報生成時の動作について説明する。本実施例と前述した第2の実施例とでは、図4のステップA3で行う処理が異なるだけであるので、この点についてのみ説明する。
【0097】
本実施例では、ステップA3の代わりに、図11のフローチャートに示す処理を行う。アクセス制限方法選択手段12aは、シンクライアント特徴入力手段11が受け付けた特徴情報に基づいて、アクセス制限の対象にしているシンクライアントシステムが、個体認証を行うものであると判定した場合は、図11に示すように、ネットワーク構成機器3aに対して機器固有情報の取得要求を送信する(ステップE1)。
【0098】
ネットワーク構成機器3a内の機器固有情報収集手段31は、機器固有情報の取得要求を受信すると、記憶装置に保存している機器固有情報をアクセス制限情報生成装置1aに送信する(ステップE2)。
【0099】
アクセス制限情報生成装置1a内の送受信手段14aは、ネットワーク構成機器3aから機器固有情報が送られてくると、それをアクセス制限方法選択手段12aに渡し、アクセス制限方法選択手段12aは、送受信手段14aから渡された機器固有情報を全て表示装置16に表示する(ステップE3)。その際、機器固有情報をソートして表示するようにしても良い。
【0100】
管理者は、表示装置16に機器固有情報が表示されると、その中からネットワーク7へのアクセスを許可する端末装置の機器固有情報を選択する。
【0101】
アクセス制限方法選択手段12aは、管理者によってネットワーク7への接続を許可する端末装置の機器固有情報が選択されると、図3に示すアクセス制限方法記憶部171から特徴「個体認証を実施」に対応付けて登録されているアクセス制限方法「MACアドレスフィルタを生成」を取得し、取得したアクセス制限方法と管理者によって選択された機器固有情報(MACアドレス)のリストとをアクセス制限情報生成手段13に渡す。アクセス制限情報生成手段13では、アクセス制限方法選択手段12aから渡されたアクセス制限方法およびMACアドレスのリストに従って、アクセス制限情報として、上記リストに載っているMACアドレスを送信元とするパケットのみを通過させるフィルタを生成し、生成したフィルタをアクセス制限情報記憶部172に格納する(ステップE4)。以上が、ステップA3の代わりに、本実施例で行う処理である。
【0102】
〔第3の実施例の効果〕
本実施例によれば、第1、第2の実施例で得られる効果に加え、個体認証を行うシンクライアントシステムに対するアクセス制限情報を容易に生成することが可能になるという効果を得ることができる。その理由は、ネットワーク7に接続した端末装置の機器固有情報を収集する機器固有情報収集手段31をネットワーク構成機器3が備え、機器固有情報収集手段31で収集された機器固有情報の中からネットワーク7へのアクセスを許可する端末装置の機器固有情報を選択するようにしているからである。
【0103】
〔本発明の第4の実施例〕
次に、本発明の第4の実施例について説明する。本実施例は、シンクライアントシステムの特徴を入力するだけで、そのシンクライアントシステムを利用する上での注意点や、実施可能なアクセス制限方法などを、管理者に提示できるようにした点を特徴とする。
【0104】
図12は本発明の第4の実施例のブロック図であり、図2に示した第2の実施例との相違点は、アクセス制限情報生成装置1の代わりにアクセス制限情報生成装置1bを備えている点である。
【0105】
アクセス制限情報生成装置1bは、アドバイス手段19を備えている点、および記憶装置17内にアドバイス情報記憶部173が設けられている点が図2に示した第2の実施例と相違している。
【0106】
アドバイス情報記憶部173には、シンクライアントシステムの特徴に対応付けて、表示すべきアドバイス情報が格納されている。アドバイス手段19は、管理者によって入力されたシンクライアントシステムの特徴に応じた注意点や実施可能なアクセス制限方法などを表示装置16に表示する機能を有する。
【0107】
なお、アクセス制限情報生成装置1bもアクセス制限情報生成装置1と同様にコンピュータによって実現可能である。
【0108】
〔第4の実施例の動作の説明〕
次に、本実施例の動作について詳細に説明する。
【0109】
管理者は導入済みのシンクライアントや、導入予定のシンクライアントに関する注意点などを知りたい場合、アクセス制限情報生成装置1bの動作モードをアドバイスモードにし、アドバイスを受けたいシンクライアントシステムの特徴を表す特徴情報を入力装置15から入力する(図13のステップF1)。シンクライアント特徴入力手段11は、動作モードがアドバイスモードになっている場合は、入力装置15から入力された特徴情報をアドバイス手段19に渡す。なお、ステップF1で入力する特徴情報の具体的な内容は、第2の実施例と同様である。
【0110】
アドバイス手段19は、シンクライアント特徴入力手段11からアドバイスを行うシンクライアントシステムの特徴情報が入力されると、それに基づいてアドバイス対象にするシンクライアントシステムの実装方式を判定する(ステップF2)。
【0111】
そして、実装方式が画面転送型であると判定した場合は、アドバイス情報記憶部173から特徴「実装方式が画面転送型」に対応付けて登録されているアドバイス情報「DHCPプロトコルおよびICAプロトコルによるパケットのみを通過させるフィルタによりアクセス制限を実施できる」を取り出し、表示装置16に表示する(ステップF3)。
【0112】
また、実装方式が仮想PC型であると判定した場合は、アドバイス情報記憶部173から特徴「実装方式が仮想PC型」に対応付けて登録されているアドバイス情報「DHCPプロトコルおよびRDPプロトコルによるパケットのみを通過させるフィルタによりアクセス制限を実施できる」を取り出し、表示装置16に表示する(ステップF4)。
【0113】
また、実装方式がネットワークブート型であると判定した場合は、アドバイス情報記憶部173から特徴「実装方式がネットワークブート型」に対応付けて登録されているアドバイス情報「プロトコルによるアクセス制限は殆ど実施することができない」を取り出し、表示装置16に表示する(ステップF5)。即ち、ネットワークブート型のシンクライアント端末装置は、ネットワークブート後にはユーザー端末装置と同様の動作を行い、プロトコルによるアクセス制限を行うことが難しいため、上記した表示を行う。
【0114】
シンクライアントシステムの実装方式が画面転送型あるいは仮想PC型であった場合には、ステップF3、F4の処理を行った後、シンクライアント特徴入力手段11から渡された特徴情報に基づいて、ユーザー端末装置5の接続が許可されているか否かを判定する(ステップF6)。
【0115】
そして、ユーザー端末装置5の接続が許可されていない場合(ステップF6がNo)は、アドバイス情報記憶部173から特徴「ユーザー端末装置5の接続が許可されていない」に対応付けて登録されているアドバイス情報「ネットワーク構成機器3のネットワーク7側のインタフェースの接続先をシンクライアント管理サーバ2のみに制限することができる。」を取り出し、表示装置16に表示する(ステップF7)。
【0116】
これに対して、ユーザー端末装置5の接続が許可されている場合(ステップF6がYes)は、シンクライアント特徴入力手段11から渡された特徴に基づいて、アドバイス対象にしているシンクライアントが、ユーザー端末装置5だけでなく、シンクライアント端末装置4についてもネットワーク認証を実施するものであるか否かを判定する(ステップF8)。
【0117】
そして、シンクライアント端末装置4についてもネットワーク認証を実施するものであると判定した場合(ステップF8がYes)は、アドバイス情報記憶部173から特徴「実装方式が画面転送型あるいは仮想PC型で、且つシンクライアント端末装置についてもネットワーク認証を実施する」に対応付けて登録されているアドバイス情報「ネットワーク構成機器3の接続ポートをネットワーク認証ポートに設定し、ネットワーク認証失敗時は端末アクセスを拒否する設定を行うことによりアクセス制限を行うことができる。」を取り出し、表示装置16に表示する(ステップF9)。
【0118】
これに対して、シンクライアント端末装置4についてはネットワーク認証を実施しないものであると判定した場合(ステップF8がNo)は、アドバイス情報記憶部173から特徴「実装方式が画面転送型あるいは仮想PC型で、且つシンクライアント端末装置についてはネットワーク認証を実施しない」に対応付けて登録されているアドバイス情報「ネットワーク構成機器3の接続ポートをネットワーク認証ポートに設定し、ネットワーク認証失敗時は接続端末装置をDefault VLANに接続させる設定を行うことによりアクセス制限を行うことができる。」を取り出し、表示装置16に表示する(ステップF10)。
【0119】
また、アドバイス対象にしているシンクライアントシステムの実装方式がネットワークブート型であった場合は、ステップF5の処理を行った後、シンクライアント特徴入力手段11から渡された特徴に基づいて、アドバイス対象にしているシンクライアントシステムがネットワーク認証を行うものであるか否かを判定する(ステップF11)。
【0120】
そして、ネットワーク認証を実施するものであると判定した場合(ステップF11がYes)は、アドバイス情報記憶部173から特徴「実装方式がネットワークブート型で、且つネットワーク認証を行う」に対応付けて登録されているアドバイス情報「ネットワーク構成機器3の接続ポートをネットワーク認証ポートに設定し、ネットワーク認証失敗時はDefault VLANに接続させ、Default VLANでは、ネットワークブートのために必要なポート(DHCP、PXE等)を開く設定を行えばよい。」を取り出し、表示装置16に表示する(ステップF12)。
【0121】
これに対して、ネットワーク認証を実施しないものであると判定した場合(ステップF11がNo)は、アドバイス情報記憶部173から特徴「実装方式がネットワークブート型で、且つネットワーク認証を実施しない。」に対応付けて登録されているアドバイス情報「ネットワーク認証をさせない場合には、この環境は不正接続のリスクが高い。」を取り出し、表示装置16に表示する(ステップF13)。
【0122】
最後に、MACアドレス等の機器固有情報収集し、接続を許可する端末の機器固有情報を登録することにより、アクセス制限ができることを表示装置16に表示する(ステップF14)。
【0123】
〔第4の実施例の効果〕
本実施例によれば、第1、第2の実施例で得られる効果に加え、利用者が導入済みのシンクライアントシステムや、導入予定にしているシンクライアントシステムを運用する上での注意点や、実施可能なアクセス制限方法などを容易に知ることができるという効果を得ることができる。その理由は、クライアントシステムの実装方式および通常端末装置の接続可否に応じて予め設定されている注意点および実施可能なアクセス制限方法を含むアドバイス情報中から、シンクライアント特徴入力手段11が認識しているシンクライアントシステムの実装方式および通常端末装置の接続可否に応じたアドバイス情報を選択し、選択したアドバイス情報を表示装置に表示するアドバイス手段19を備えているからである。
【産業上の利用可能性】
【0124】
本発明は、シンクライアントシステムの不正アクセス防止に適用することができる。
【図面の簡単な説明】
【0125】
【図1】本発明の第1の実施例の構成例を示すブロック図である。
【図2】本発明の第2の実施例の構成例を示すブロック図である。
【図3】アクセス制限方法記憶部171の内容例を示す図である。
【図4】アクセス制限情報生成装置1の処理例の一部を示すフローチャートである。
【図5】アクセス制限情報生成装置1の処理例の残りの部分を示すフローチャートである。
【図6】個体認証によるアクセス制限を実施した場合の動作を示す図である。
【図7】ネットワーク認証によるアクセス制限を実施した場合の動作(ネットワーク認証成功時)を説明する図である。
【図8】ネットワーク認証によるアクセス制限を実施した場合の動作(ネットワーク認証失敗時)の動作を説明するための図である。
【図9】本発明の第3の実施例の構成例を示すブロック図である。
【図10】機器固有情報収集時の動作を示す図である。
【図11】機器固有情報(MACアドレス)を利用したアクセス制限情報を生成する際の動作を示す図である。
【図12】本発明の第4の実施例の構成例を示すブロック図である。
【図13】アクセス制限情報生成装置1bの処理例を示すフローチャートである。
【符号の説明】
【0126】
1、1a、1b、100…アクセス制限情報生成装置
11、101…シンクライアント特徴入力手段
12、12a、102…アクセス制限方法選択手段
13、103…アクセス制限情報生成手段
14…送信手段
14a…送受信手段
15…入力装置
16…表示装置
17…記憶装置
171…アクセス制限方法記憶部
172…アクセス制限情報記憶部
173…アドバイス情報記憶部
18…収集要求送信手段
19…アドバイス手段
2…シンクライアント管理サーバ
3、3a…ネットワーク構成機器
31…機器固有情報収集手段
4…シンクライアント端末装置
5…ユーザー端末装置
6…不正接続端末装置
【特許請求の範囲】
【請求項1】
入力装置から入力されたシンクライアントシステムの実装方式および通常端末装置の接続可否を示す特徴情報を受け付けるシンクライアント特徴入力手段と、
シンクライアントシステムの実装方式および通常端末装置の接続可否に応じて予め設定されているアクセス制限方法の中から、前記シンクライアント特徴入力手段が受け付けた特徴情報によって示されるシンクライアントシステムの実装方式および通常端末装置の接続可否に適したアクセス制限方法を選択するアクセス制限方法選択手段と、
該アクセス制限方法選択手段で選択されたアクセス制限方法に従ってアクセス制限対象ネットワークに対するアクセス制限を実施するためのアクセス制限情報を生成するアクセス制限情報生成手段とを備えたことを特徴とするアクセス制限情報生成装置。
【請求項2】
請求項1記載のアクセス制限情報生成装置において、
実装方式および通常端末装置の接続可否に応じたアクセス制限方法が登録されたアクセス制限方法記憶部を備え、且つ、
前記アクセス制限方法選択手段が、前記アクセス制限方法記憶部に登録されているアクセス制限方法の中から、前記シンクライアント特徴入力手段が受け付けた特徴情報によって示されるシンクライアントシステムの実装方式および通常端末装置の接続可否に適したアクセス制限方法を選択することを特徴とするアクセス制限情報生成装置。
【請求項3】
請求項1または2記載のアクセス制限情報生成装置において、
前記アクセス制限対象ネットワークに対するアクセス制限を行うネットワーク構成機器に対して、前記アクセス制限情報生成手段で生成したアクセス制限情報を送信する送信手段を備えたことを特徴とするアクセス制限情報生成装置。
【請求項4】
請求項1乃至3の何れか1項に記載のアクセス制限情報生成装置において、
前記特徴情報が、シンクライアントシステムの実装方式および通常端末装置の接続可否に加えて端末装置の個体認証の有無も示し、
前記アクセス制限方法選択手段が、シンクライアントシステムの実装方式、通常端末装置の接続可否および個体認証の有無に応じて予め設定されているアクセス制限方法の中から、前記シンクライアント特徴入力手段が受け付けた特徴情報によって示されるシンクライアントシステムの実装方式、通常端末装置の接続可否および個体認証の有無に適したアクセス制限方法を選択することを特徴とするアクセス制限情報生成装置。
【請求項5】
請求項4記載のアクセス制限情報生成装置において、
前記アクセス制限対象ネットワークに接続した端末装置の機器固有情報を収集する機器固有情報収集手段と、
前記機器固有情報収集手段が収集した機器固有情報の中から、管理者の操作に従って前記アクセス制限対象ネットワークへの接続を許可する端末装置の機器固有情報を選択する機器固有情報選択手段とを備え、且つ、
前記アクセス制限情報生成手段が、前記機器固有情報選択手段で選択された機器固有情報と前記アクセス制限方法選択手段で選択されたアクセス制限方法とに従って、アクセス制限情報を生成することを特徴とするアクセス制限情報生成装置。
【請求項6】
請求項1乃至5の何れか1項に記載のアクセス制限情報生成装置において、
表示装置と、
シンクライアントシステムの実装方式および通常端末装置の接続可否に応じて予め設定されている注意点および実施可能なアクセス制限方法を含むアドバイス情報中から、前記シンクライアント特徴入力手段が受け付けた特徴情報によって示されるシンクライアントシステムの実装方式および通常端末装置の接続可否に応じたアドバイス情報を選択し、選択したアドバイス情報を前記表示装置に表示するアドバイス手段とを備えたことを特徴とするアクセス制限情報生成装置。
【請求項7】
コンピュータが、入力装置から入力されるシンクライアントシステムの実装方式および通常端末装置の接続可否を示す特徴情報を受け付けるシンクライアント特徴入力ステップと、
前記コンピュータが、シンクライアントシステムの実装方式および通常端末装置の接続可否に応じて予め設定されているアクセス制限方法の中から、前記シンクライアント特徴入力ステップで受け付けた特徴情報によって示されるシンクライアントシステムの実装方式および通常端末装置の接続可否に適したアクセス制限方法を選択するアクセス制限方法選択ステップと、
前記コンピュータが、前記アクセス制限方法選択ステップで選択されたアクセス制限方法に従ってアクセス制限対象ネットワークに対するアクセス制限を実施するためのアクセス制限情報を生成するアクセス制限情報生成ステップとを含むことを特徴とするアクセス制限情報生成方法。
【請求項8】
請求項7記載のアクセス制限情報生成方法において、
前記コンピュータが、実装方式および通常端末装置の接続可否に応じたアクセス制限方法が登録されたアクセス制限方法記憶部を備え、且つ、
前記アクセス制限方法選択ステップでは、前記アクセス制限方法記憶部に登録されているアクセス制限方法の中から、前記シンクライアント特徴入力ステップで受け付けた特徴情報によって示されるシンクライアントシステムの実装方式および通常端末装置の接続可否に適したアクセス制限方法を選択することを特徴とするアクセス制限情報生成方法。
【請求項9】
請求項7または8記載のアクセス制限情報生成方法において、
前記コンピュータが、前記アクセス制限対象ネットワークに対するアクセス制限を行うネットワーク構成機器に対して、前記アクセス制限情報生成ステップで生成されたアクセス制限情報を送信する送信ステップを含むことを特徴とするアクセス制限情報生成方法。
【請求項10】
請求項7乃至9の何れか1項に記載のアクセス制限情報生成方法において、
前記特徴情報が、シンクライアントシステムの実装方式および通常端末装置の接続可否に加えて端末装置の個体認証の有無を示し、
前記アクセス制限方法選択ステップでは、シンクライアントシステムの実装方式、通常端末装置の接続可否および個体認証の有無に応じて予め設定されているアクセス制限方法の中から、前記シンクライアント特徴入力ステップで受け付けた特徴情報によって示されるシンクライアントシステムの実装方式、通常端末装置の接続可否および個体認証の有無に適したアクセス制限方法を選択することを特徴とするアクセス制限情報生成方法。
【請求項11】
請求項10記載のアクセス制限情報生成方法において、
前記アクセス制限対象ネットワークに接続した端末装置の機器固有情報を収集する機器固有情報収集手段を備え、且つ、
前記コンピュータが、前記機器固有情報収集手段が収集した機器固有情報の中から、管理者の操作に従って前記アクセス制限対象ネットワークへの接続を許可する端末装置の機器固有情報を選択する機器固有情報選択ステップを含み、
前記アクセス制限情報生成ステップでは、前記機器固有情報選択ステップで選択された機器固有情報と前記アクセス制限方法選択ステップで選択されたアクセス制限方法とに従って、アクセス制限情報を生成することを特徴とするアクセス制限情報生成方法。
【請求項12】
請求項7乃至11の何れか1項に記載のアクセス制限情報生成方法において、
前記コンピュータが、シンクライアントシステムの実装方式および通常端末装置の接続可否に応じて予め設定されている注意点および実施可能なアクセス制限方法を含むアドバイス情報中から、前記シンクライアント特徴入力手段が受け付けた特徴情報によって示されるシンクライアントシステムの実装方式および通常端末装置の接続可否に応じたアドバイス情報を選択し、選択したアドバイス情報を表示装置に表示するアドバイスステップとを含むことを特徴とするアクセス制限情報生成方法。
【請求項13】
コンピュータを、
入力装置から入力されたシンクライアントシステムの実装方式および通常端末装置の接続可否を示す特徴情報を受け付けるシンクライアント特徴入力手段、
シンクライアントシステムの実装方式および通常端末装置の接続可否に応じて予め設定されているアクセス制限方法の中から、前記シンクライアント特徴入力手段が受け付けた特徴情報によって示されるシンクライアントシステムの実装方式および通常端末装置の接続可否に適したアクセス制限方法を選択するアクセス制限方法選択手段、
該アクセス制限方法選択手段で選択されたアクセス制限方法に従ってアクセス制限対象ネットワークに対するアクセス制限を実施するためのアクセス制限情報を生成するアクセス制限情報生成手段として機能させるためのプログラム。
【請求項14】
請求項13記載のプログラムにおいて、
前記コンピュータが、実装方式および通常端末装置の接続可否に応じたアクセス制限方法が登録されたアクセス制限方法記憶部を備え、且つ、
前記アクセス制限方法選択手段が、前記アクセス制限方法記憶部に登録されているアクセス制限方法の中から、前記シンクライアント特徴入力手段が受け付けた特徴情報によって示されるシンクライアントシステムの実装方式および通常端末装置の接続可否に適したアクセス制限方法を選択することを特徴とするプログラム。
【請求項15】
請求項13または14記載のプログラムにおいて、
前記コンピュータを、前記アクセス制限対象ネットワークに対するアクセス制限を行うネットワーク構成機器に対して、前記アクセス制限情報生成手段で生成したアクセス制限情報を送信する送信手段として機能させるためのプログラム。
【請求項16】
請求項13乃至15の何れか1項に記載のプログラムにおいて、
前記特徴情報が、シンクライアントシステムの実装方式および通常端末装置の接続可否に加えて端末装置の個体認証の有無も示し、
前記アクセス制限方法選択手段が、シンクライアントシステムの実装方式、通常端末装置の接続可否および個体認証の有無に応じて予め設定されているアクセス制限方法の中から、前記シンクライアント特徴入力手段が受け付けた特徴情報によって示されるシンクライアントシステムの実装方式、通常端末装置の接続可否および個体認証の有無に適したアクセス制限方法を選択することを特徴とするプログラム。
【請求項17】
請求項16記載のアクセス制限情報生成装置において、
前記コンピュータを、前記アクセス制限対象ネットワークに接続した端末装置の機器固有情報を収集する機器固有情報収集手段で収集された機器固有情報の中から、管理者の操作に従って前記アクセス制限対象ネットワークへの接続を許可する端末装置の機器固有情報を選択する機器固有情報選択手段として機能させ、且つ、
前記アクセス制限情報生成手段が、前記機器固有情報選択手段で選択された機器固有情報と前記アクセス制限方法選択手段で選択されたアクセス制限方法とに従って、アクセス制限情報を生成することを特徴とするプログラム。
【請求項18】
請求項13乃至17の何れか1項に記載のプログラムにおいて、
前記コンピュータを、シンクライアントシステムの実装方式および通常端末装置の接続可否に応じて予め設定されている注意点および実施可能なアクセス制限方法を含むアドバイス情報中から、前記シンクライアント特徴入力手段が受け付けた特徴情報によって示されるシンクライアントシステムの実装方式および通常端末装置の接続可否に応じたアドバイス情報を選択し、選択したアドバイス情報を表示装置に表示するアドバイス手段として機能させるためのプログラム。
【請求項1】
入力装置から入力されたシンクライアントシステムの実装方式および通常端末装置の接続可否を示す特徴情報を受け付けるシンクライアント特徴入力手段と、
シンクライアントシステムの実装方式および通常端末装置の接続可否に応じて予め設定されているアクセス制限方法の中から、前記シンクライアント特徴入力手段が受け付けた特徴情報によって示されるシンクライアントシステムの実装方式および通常端末装置の接続可否に適したアクセス制限方法を選択するアクセス制限方法選択手段と、
該アクセス制限方法選択手段で選択されたアクセス制限方法に従ってアクセス制限対象ネットワークに対するアクセス制限を実施するためのアクセス制限情報を生成するアクセス制限情報生成手段とを備えたことを特徴とするアクセス制限情報生成装置。
【請求項2】
請求項1記載のアクセス制限情報生成装置において、
実装方式および通常端末装置の接続可否に応じたアクセス制限方法が登録されたアクセス制限方法記憶部を備え、且つ、
前記アクセス制限方法選択手段が、前記アクセス制限方法記憶部に登録されているアクセス制限方法の中から、前記シンクライアント特徴入力手段が受け付けた特徴情報によって示されるシンクライアントシステムの実装方式および通常端末装置の接続可否に適したアクセス制限方法を選択することを特徴とするアクセス制限情報生成装置。
【請求項3】
請求項1または2記載のアクセス制限情報生成装置において、
前記アクセス制限対象ネットワークに対するアクセス制限を行うネットワーク構成機器に対して、前記アクセス制限情報生成手段で生成したアクセス制限情報を送信する送信手段を備えたことを特徴とするアクセス制限情報生成装置。
【請求項4】
請求項1乃至3の何れか1項に記載のアクセス制限情報生成装置において、
前記特徴情報が、シンクライアントシステムの実装方式および通常端末装置の接続可否に加えて端末装置の個体認証の有無も示し、
前記アクセス制限方法選択手段が、シンクライアントシステムの実装方式、通常端末装置の接続可否および個体認証の有無に応じて予め設定されているアクセス制限方法の中から、前記シンクライアント特徴入力手段が受け付けた特徴情報によって示されるシンクライアントシステムの実装方式、通常端末装置の接続可否および個体認証の有無に適したアクセス制限方法を選択することを特徴とするアクセス制限情報生成装置。
【請求項5】
請求項4記載のアクセス制限情報生成装置において、
前記アクセス制限対象ネットワークに接続した端末装置の機器固有情報を収集する機器固有情報収集手段と、
前記機器固有情報収集手段が収集した機器固有情報の中から、管理者の操作に従って前記アクセス制限対象ネットワークへの接続を許可する端末装置の機器固有情報を選択する機器固有情報選択手段とを備え、且つ、
前記アクセス制限情報生成手段が、前記機器固有情報選択手段で選択された機器固有情報と前記アクセス制限方法選択手段で選択されたアクセス制限方法とに従って、アクセス制限情報を生成することを特徴とするアクセス制限情報生成装置。
【請求項6】
請求項1乃至5の何れか1項に記載のアクセス制限情報生成装置において、
表示装置と、
シンクライアントシステムの実装方式および通常端末装置の接続可否に応じて予め設定されている注意点および実施可能なアクセス制限方法を含むアドバイス情報中から、前記シンクライアント特徴入力手段が受け付けた特徴情報によって示されるシンクライアントシステムの実装方式および通常端末装置の接続可否に応じたアドバイス情報を選択し、選択したアドバイス情報を前記表示装置に表示するアドバイス手段とを備えたことを特徴とするアクセス制限情報生成装置。
【請求項7】
コンピュータが、入力装置から入力されるシンクライアントシステムの実装方式および通常端末装置の接続可否を示す特徴情報を受け付けるシンクライアント特徴入力ステップと、
前記コンピュータが、シンクライアントシステムの実装方式および通常端末装置の接続可否に応じて予め設定されているアクセス制限方法の中から、前記シンクライアント特徴入力ステップで受け付けた特徴情報によって示されるシンクライアントシステムの実装方式および通常端末装置の接続可否に適したアクセス制限方法を選択するアクセス制限方法選択ステップと、
前記コンピュータが、前記アクセス制限方法選択ステップで選択されたアクセス制限方法に従ってアクセス制限対象ネットワークに対するアクセス制限を実施するためのアクセス制限情報を生成するアクセス制限情報生成ステップとを含むことを特徴とするアクセス制限情報生成方法。
【請求項8】
請求項7記載のアクセス制限情報生成方法において、
前記コンピュータが、実装方式および通常端末装置の接続可否に応じたアクセス制限方法が登録されたアクセス制限方法記憶部を備え、且つ、
前記アクセス制限方法選択ステップでは、前記アクセス制限方法記憶部に登録されているアクセス制限方法の中から、前記シンクライアント特徴入力ステップで受け付けた特徴情報によって示されるシンクライアントシステムの実装方式および通常端末装置の接続可否に適したアクセス制限方法を選択することを特徴とするアクセス制限情報生成方法。
【請求項9】
請求項7または8記載のアクセス制限情報生成方法において、
前記コンピュータが、前記アクセス制限対象ネットワークに対するアクセス制限を行うネットワーク構成機器に対して、前記アクセス制限情報生成ステップで生成されたアクセス制限情報を送信する送信ステップを含むことを特徴とするアクセス制限情報生成方法。
【請求項10】
請求項7乃至9の何れか1項に記載のアクセス制限情報生成方法において、
前記特徴情報が、シンクライアントシステムの実装方式および通常端末装置の接続可否に加えて端末装置の個体認証の有無を示し、
前記アクセス制限方法選択ステップでは、シンクライアントシステムの実装方式、通常端末装置の接続可否および個体認証の有無に応じて予め設定されているアクセス制限方法の中から、前記シンクライアント特徴入力ステップで受け付けた特徴情報によって示されるシンクライアントシステムの実装方式、通常端末装置の接続可否および個体認証の有無に適したアクセス制限方法を選択することを特徴とするアクセス制限情報生成方法。
【請求項11】
請求項10記載のアクセス制限情報生成方法において、
前記アクセス制限対象ネットワークに接続した端末装置の機器固有情報を収集する機器固有情報収集手段を備え、且つ、
前記コンピュータが、前記機器固有情報収集手段が収集した機器固有情報の中から、管理者の操作に従って前記アクセス制限対象ネットワークへの接続を許可する端末装置の機器固有情報を選択する機器固有情報選択ステップを含み、
前記アクセス制限情報生成ステップでは、前記機器固有情報選択ステップで選択された機器固有情報と前記アクセス制限方法選択ステップで選択されたアクセス制限方法とに従って、アクセス制限情報を生成することを特徴とするアクセス制限情報生成方法。
【請求項12】
請求項7乃至11の何れか1項に記載のアクセス制限情報生成方法において、
前記コンピュータが、シンクライアントシステムの実装方式および通常端末装置の接続可否に応じて予め設定されている注意点および実施可能なアクセス制限方法を含むアドバイス情報中から、前記シンクライアント特徴入力手段が受け付けた特徴情報によって示されるシンクライアントシステムの実装方式および通常端末装置の接続可否に応じたアドバイス情報を選択し、選択したアドバイス情報を表示装置に表示するアドバイスステップとを含むことを特徴とするアクセス制限情報生成方法。
【請求項13】
コンピュータを、
入力装置から入力されたシンクライアントシステムの実装方式および通常端末装置の接続可否を示す特徴情報を受け付けるシンクライアント特徴入力手段、
シンクライアントシステムの実装方式および通常端末装置の接続可否に応じて予め設定されているアクセス制限方法の中から、前記シンクライアント特徴入力手段が受け付けた特徴情報によって示されるシンクライアントシステムの実装方式および通常端末装置の接続可否に適したアクセス制限方法を選択するアクセス制限方法選択手段、
該アクセス制限方法選択手段で選択されたアクセス制限方法に従ってアクセス制限対象ネットワークに対するアクセス制限を実施するためのアクセス制限情報を生成するアクセス制限情報生成手段として機能させるためのプログラム。
【請求項14】
請求項13記載のプログラムにおいて、
前記コンピュータが、実装方式および通常端末装置の接続可否に応じたアクセス制限方法が登録されたアクセス制限方法記憶部を備え、且つ、
前記アクセス制限方法選択手段が、前記アクセス制限方法記憶部に登録されているアクセス制限方法の中から、前記シンクライアント特徴入力手段が受け付けた特徴情報によって示されるシンクライアントシステムの実装方式および通常端末装置の接続可否に適したアクセス制限方法を選択することを特徴とするプログラム。
【請求項15】
請求項13または14記載のプログラムにおいて、
前記コンピュータを、前記アクセス制限対象ネットワークに対するアクセス制限を行うネットワーク構成機器に対して、前記アクセス制限情報生成手段で生成したアクセス制限情報を送信する送信手段として機能させるためのプログラム。
【請求項16】
請求項13乃至15の何れか1項に記載のプログラムにおいて、
前記特徴情報が、シンクライアントシステムの実装方式および通常端末装置の接続可否に加えて端末装置の個体認証の有無も示し、
前記アクセス制限方法選択手段が、シンクライアントシステムの実装方式、通常端末装置の接続可否および個体認証の有無に応じて予め設定されているアクセス制限方法の中から、前記シンクライアント特徴入力手段が受け付けた特徴情報によって示されるシンクライアントシステムの実装方式、通常端末装置の接続可否および個体認証の有無に適したアクセス制限方法を選択することを特徴とするプログラム。
【請求項17】
請求項16記載のアクセス制限情報生成装置において、
前記コンピュータを、前記アクセス制限対象ネットワークに接続した端末装置の機器固有情報を収集する機器固有情報収集手段で収集された機器固有情報の中から、管理者の操作に従って前記アクセス制限対象ネットワークへの接続を許可する端末装置の機器固有情報を選択する機器固有情報選択手段として機能させ、且つ、
前記アクセス制限情報生成手段が、前記機器固有情報選択手段で選択された機器固有情報と前記アクセス制限方法選択手段で選択されたアクセス制限方法とに従って、アクセス制限情報を生成することを特徴とするプログラム。
【請求項18】
請求項13乃至17の何れか1項に記載のプログラムにおいて、
前記コンピュータを、シンクライアントシステムの実装方式および通常端末装置の接続可否に応じて予め設定されている注意点および実施可能なアクセス制限方法を含むアドバイス情報中から、前記シンクライアント特徴入力手段が受け付けた特徴情報によって示されるシンクライアントシステムの実装方式および通常端末装置の接続可否に応じたアドバイス情報を選択し、選択したアドバイス情報を表示装置に表示するアドバイス手段として機能させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公開番号】特開2008−305053(P2008−305053A)
【公開日】平成20年12月18日(2008.12.18)
【国際特許分類】
【出願番号】特願2007−150070(P2007−150070)
【出願日】平成19年6月6日(2007.6.6)
【出願人】(000232092)NECソフト株式会社 (173)
【Fターム(参考)】
【公開日】平成20年12月18日(2008.12.18)
【国際特許分類】
【出願日】平成19年6月6日(2007.6.6)
【出願人】(000232092)NECソフト株式会社 (173)
【Fターム(参考)】
[ Back to top ]