クライアント監視システム及びクライアント監視装置
【課題】 クライアントにおけるWebアクセスやアプリケーション実行等を監視する監視プログラムのインストールの徹底を実現できるクライアント監視システムの提供。
【解決手段】
クライアント監視システムは、外部ネットワークへのアクセスが許可されたクライアントを識別するための情報が登録されるクライアント記憶手段と、前記外部ネットワークへのアクセスが許可されたクライアント以外からの外部ネットワークへのアクセスを制限するアクセス制限手段と、クライアントからのダウンロード要求に応じて、クライアントの状態を監視する監視プログラムを送信する監視プログラム送信手段と、を備え、初めて外部ネットワークへのアクセスを試みたクライアントに対して、前記監視プログラムのインストールを要求する。当該クライアントにおいて前記監視プログラムのインストールが行われることにより、前記クライアント記憶手段への登録が行われる。
【解決手段】
クライアント監視システムは、外部ネットワークへのアクセスが許可されたクライアントを識別するための情報が登録されるクライアント記憶手段と、前記外部ネットワークへのアクセスが許可されたクライアント以外からの外部ネットワークへのアクセスを制限するアクセス制限手段と、クライアントからのダウンロード要求に応じて、クライアントの状態を監視する監視プログラムを送信する監視プログラム送信手段と、を備え、初めて外部ネットワークへのアクセスを試みたクライアントに対して、前記監視プログラムのインストールを要求する。当該クライアントにおいて前記監視プログラムのインストールが行われることにより、前記クライアント記憶手段への登録が行われる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、クライアント監視システム及びクライアント監視装置に関し、特に、クライアントマシン(以下、単に「クライアント」という。)が適正に利用されているか否かを監視するためのクライアント監視システム及びクライアント監視装置に関する。
【背景技術】
【0002】
近年、企業や組織の内部からのデータ流出や情報漏えい対策、あるいは、従業員の人事評価資料の収集等を目的として、クライアントにおいて行われている操作内容や、アクセス先を記録するとともに、必要に応じて監視サーバに送信し、該監視サーバにおいてリアルタイムかつ集中的に、クライアントの状況の把握を実現する監視プログラム(監視ソフトウェア)が急速に普及している。
【0003】
特許文献1には、内部のLAN(Local Area Network)上に送出された信号を取得し、取得した信号の送信元及び送信先を特定し、送信元から送信先へのアクセス権の有無や、送信元が登録されている(非公式PC(パーソナルコンピュータ)でない)か否かや、送信が禁止されている文書であるか等を判断する通信監視装置が開示されている。取得した信号により問題があると判断した場合、同文献記載の通信監視装置は、送信元あるいは送信先に対して、通信の切断を要求するとともに、システム管理者への報告や送信元への警告を行うと記載されている。
【0004】
特許文献2には、クライアントにインストールされているプログラムを特定し、報告させる管理プログラムを送信し、不適切なプログラムがインストールされているクライアントに対して、警告を行うプログラム管理装置が開示されている。
【0005】
【特許文献1】特開2002−232451号公報
【特許文献2】特開2004−94291号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
従業員等による不適切なインターネットサイトへのアクセス、クライアントの目的外使用、社内データの持ち出し、不適切なソフトウェアのインストールが行われているか否かを把握するための有効な方策として、上記した監視プログラムの全社的な導入が挙げられる。
【0007】
上記した監視プログラムを利用したクライアント監視システムの効果を最大限に引き出すには、上記した監視プログラムのインストールを徹底し、維持していくことが重要となるが、情報システム管理者の負担が大きいことから、インストール作業を従業員に委ねざるを得ないことも多い。
【0008】
一方で、従業員側にも、本来の業務が繁忙であったり、私物PCを業務に用いている場合などの事情があって、監視プログラムのインストールが徹底されないことがある。
【0009】
本発明は、上記した事情に鑑みてなされたものであってその目的とするところは、簡便かつ確実に、上記した監視プログラムのインストールの徹底を実現できるクライアント監視システム及びクライアント監視装置を提供することにある。
【課題を解決するための手段】
【0010】
本発明の第1の視点によれば、管理対象のクライアントのうち、外部ネットワークへのアクセスが許可されたクライアントを識別するための情報が登録されるクライアント記憶手段と、前記外部ネットワークへのアクセスが許可されたクライアント以外からの外部ネットワークへのアクセスを制限するアクセス制限手段と、クライアントからのダウンロード要求に応じて、クライアントの状態を監視する監視プログラムを送信する監視プログラム送信手段と、を備え、外部ネットワークへのアクセスが許可されていないにも拘わらず、外部ネットワークへのアクセスを試みたクライアントに対して、前記監視プログラムのインストールを要求し、前記監視プログラムをインストールすることにより、前記クライアント記憶手段への登録が行われるクライアント監視システムが提供される。
【0011】
本発明の第2の視点によれば、管理対象のクライアントと、外部ネットワークとの間に配設されるクライアント監視装置であって、管理対象のクライアントのうち、外部ネットワークへのアクセスが許可されたクライアントを識別するための情報が登録されるクライアント記憶手段と、前記外部ネットワークへのアクセスが許可されたクライアント以外からの外部ネットワークへのアクセスを制限するアクセス制限手段と、クライアントからのダウンロード要求に応じて、クライアントの状態を監視する監視プログラムを送信する監視プログラム送信手段と、を備え、外部ネットワークへのアクセスが許可されていないにも拘わらず、外部ネットワークへのアクセスを試みたクライアントに対して、前記監視プログラムのインストールを要求し、前記監視プログラムをインストールすることにより、前記クライアント記憶手段への登録が行われるクライアント監視装置が提供される。
【発明の効果】
【0012】
本発明によれば、管理対象のクライアントに、上記した監視プログラムを効率よくインストールさせることが可能となる。その理由は、クライアント端末からの外部ネットワークへのアクセス要求をトリガとして、監視プログラムのインストールを要請する仕組みを導入したことにある。
【発明を実施するための最良の形態】
【0013】
続いて、本発明を実施するための最良の形態について図面を参照して詳細に説明する。図1は、本発明の一実施形態に係るクライアント監視装置が配置された企業内のネットワーク構成を模式的に表したブロック図である。図1を参照すると、オフィスA、オフィスBと、これら2つのオフィス内に配されたクライアント5−1〜5−8を監視する監視室に配置される機器が示されている。
【0014】
ルータ1は、ファイアウォール2より内側の内部ネットワークと、インターネット(外部ネットワーク)との境界に配置され、両者を相互に接続する機能を提供する。
【0015】
ファイアウォール2は、ルータ1を通して送られるデータのうち、必要なデータのみを通過させ、不要な通信を遮断する機能を提供する。
【0016】
クライアント監視装置3は、クライアント5−1〜5−8がインターネットに接続する際に経由しなければならない位置に配置され、オフィスAに配置されたクライアント5−1〜5−4と、オフィスBに配置されたクライアント5−5〜5−8とを監視する。本実施形態では、クライアント監視装置3は、ルータ1と、ハブ/スイッチ4−1の間に配設されているものとして説明する。
【0017】
図2は、クライアント監視装置3の詳細構成を表したブロック図である。図2を参照すると、クライアント監視装置3は、アクセス許可クライアント記憶手段31と、アクセス制限手段32と、インストール要求手段33と、監視プログラム送信手段34と、クライアント環境情報収集手段35と、使用制限設定手段36と、Webアクセス監視手段37と、チャット監視手段38と、ファイル転送監視手段39と、音声通話監視手段40と、を備えて構成される。
【0018】
アクセス許可クライアント記憶手段31には、管理対象のクライアント5−1〜5−8のうち、インターネットへのアクセスが許可されたクライアントを識別するための情報が登録される。本実施形態では、インターネットへのアクセスが許可されたクライアントのハードウェア固有の識別情報であるMAC(Media Access Control)アドレスのリストにて実現されているものとする。
【0019】
アクセス制限手段32は、クライアント5−1〜5−8からの名前解決要求メッセージ等のインターネット接続要求を検知して、アクセス許可クライアント記憶手段31を参照して、インターネットへのアクセスが禁止されているクライアントからのインターネット接続を制限する。本実施形態では、アクセス許可クライアント記憶手段31には、MACアドレスが登録されているため、アクセス制限手段32は、クライアント5−1〜5−8からのインターネット接続要求に含まれる送信元MACアドレスを照合することによって上記インターネットへのアクセスが許可されているか否かの判断を行うことができる。
【0020】
更に、アクセス制限手段32は、インターネットへのアクセスが禁止されているクライアントからのインターネット接続要求を検知した場合に、インストール要求手段33を作動させる。
【0021】
インストール要求手段33は、HTML(Hyper Text Markup Language)等で作成された監視プログラムのインストールを要求するコンテンツを保持し、アクセス制限手段32からの要求に基づいて、インターネットへのアクセスが禁止されているクライアントに対して、監視プログラムのインストールを要求するコンテンツを送信する。
【0022】
監視プログラム送信手段34は、インストール要求手段33から送信された監視プログラムのインストールを要求するコンテンツを介して、インターネットへのアクセスが禁止されているクライアントからの、監視プログラムの送信要求に応じて、監視プログラムを送信する。
【0023】
クライアント環境情報収集手段35〜音声通話監視手段40は、上記のようにしてクライアントにインストールされた監視プログラムと連携してクライアントの状況を監視する手段である。これらの各手段は、監視プログラムと対応付けて備えられるべき機能の一例であり、顧客要求やシステム環境に応じて適宜改変される。以下、その概要をかいつまんで説明する。
【0024】
クライアント環境情報収集手段35は、監視プログラムよりクライアント環境情報として送信された、クライアントにインストールされているプログラムや、ハードウェア情報をクライアント毎に記録し管理する手段である。
【0025】
使用制限設定手段36は、クライアントにおけるハードウェアやソフトウェアの使用ポリシを保持し、クライアントにインストールされた監視プログラムからのハードウェアやソフトウェアの使用に関する問い合わせに応じて、当該ハードウェアやソフトウェアの使用制限が課されているか否かを応答する手段である。例えば、特定のクライアントにおける、リムーバブルメディアの接続制限や、特定のアプリケーションプログラムの実行制御を行うことが可能である。なお、クライアントにおけるハードウェアやソフトウェアの使用ポリシは、統一したものである必要はなく、例えば、クライアント毎に設定したものであってもよいし、あるいは、部課グループ等を単位として設定したものであってもよい。
【0026】
Webアクセス監視手段37は、インターネットへのアクセスが許可されているクライアントのインターネット上の各種サイトへのアクセス履歴を記録する機能や、当該クライアントにおいて現在表示されている画面をクライアント監視装置3側の表示装置にリアルタイム表示する機能を提供する。
【0027】
チャット監視手段38は、クライアント5−1〜5−8のインスタントメッセンジャー機能により、送受信されているチャットメッセージを監視する機能を提供する。
【0028】
ファイル転送監視手段39は、クライアント5−1〜5−8から、インターネット側にアップロードされるファイル、又は、インターネット側からダウンロードされるファイルを監視する機能を提供する。
【0029】
音声通話監視手段40は、クライアント5−1〜5−8と、インターネット側と音声通話端末との間の音声通話内容を監視する機能を提供する。
【0030】
続いて、上記したクライアント監視装置3の動作について図面を参照して詳細に説明する。図3は、クライアント5−1〜5−8のうちのインターネットへのアクセスが許可されていないクライアントのユーザが、インターネット接続を試みた際の動作を表したシーケンス図である。
【0031】
図3を参照すると、まず、前記クライアントからのインターネット接続要求を検知すると(ステップS001−1)、クライアント監視装置3は、検出したクライアントのMACアドレスがアクセス許可クライアント記憶手段31に登録されているか否かを確認する(ステップS002−1)。
【0032】
ここでは、インターネット接続を試みたクライアントは、インターネットへのアクセスが許可されていない状態であるので(ステップS002−1のNo)、クライアント監視装置3は、当該クライアントに対して、監視プログラムのダウンロード及びインストールを行うための画面を送信する(ステップS003)。
【0033】
図4は、監視プログラムのダウンロード及びインストールを行うための画面の例100である。同図の例では、画面上の監視プログラムのダウンロードボタン(ESGソフトダウンロード)を押下することにより、インストーラ形式の監視プログラムのダウンロードが開始され、インストールが自動的に完了するようになっている。
【0034】
また、監視プログラムは、インストール後の初回実行時に、クライアント監視装置3のアクセス許可クライアント記憶手段31に自装置のMACアドレスを登録する処理と、次回以降クライアントを起動した際に、監視プログラムがメモリに常駐し、常時クライアントを監視できるよう設定する処理とを行う。
【0035】
従って、その後、再度、前記クライアントからのインターネット接続要求が行われると(ステップS001−2)、クライアント監視装置3は、検出したクライアントのMACアドレスがアクセス許可クライアント記憶手段31に登録されていることを確認し、インターネット接続を許可する(ステップS002−2のYes)。
【0036】
その後は、当該クライアントの監視プログラムから、インターネット上の各種サイトへのアクセス状況が送出される。クライアント監視装置3は、これらの情報に基づいて、図5に示すWebサイト閲覧ログ表示画面や、図6に示すクライアントリモート監視画面を表示する。
【0037】
図7は、上記のようにして監視プログラムがインストールされたクライアント5−1〜5−8において、アプリケーション(プログラム)が実行された場合の動作を表したシーケンス図である。
【0038】
図7を参照すると、まず、前記クライアントにおいて、アプリケーション(プログラム)の実行操作が行われると(ステップS101)、監視プログラムは、実行要求されたアプリケーション(プログラム)を記録するとともに(ステップS102)、クライアント監視装置3に対して、実行要求されたアプリケーション(プログラム)の使用が許可されているか否かを問い合わせる(ステップS103;使用許可照合)。
【0039】
クライアント監視装置3は、クライアントにおけるハードウェアやソフトウェアの使用ポリシを参照し、実行要求されたアプリケーション(プログラム)を、使用許可すべきか否かを判定する(ステップS104)。
【0040】
ここで、例えば、実行要求されたアプリケーション(プログラム)が、使用許可されていないものである場合には、クライアント監視装置3は、クライアントに対し、否定応答を返す(ステップS105)。前記否定応答を受けた監視プログラムは、実行要求されたアプリケーション(プログラム)の強制終了処理を実行する(ステップS106)。
【0041】
図8は、上記のようにして監視プログラムがインストールされたクライアント5−1〜5−8から、チャットメッセージが送信された場合の動作を表したシーケンス図である。図9は、同様に、クライアント5−1〜5−8に対して、チャットメッセージが送信された場合の動作を表したシーケンス図である。
【0042】
図8を参照すると、まず、前記クライアントにおいて、チャットメッセージの送信操作行われると(ステップS201)、監視プログラムは、送信要求されたチャットメッセージを記録した後(ステップS202)、クライアント監視装置3に対して、送信要求されたチャットメッセージを転送する(ステップS203)。
【0043】
クライアント監視装置3は、転送されたチャットメッセージの内容を検査して(ステップS204)、予め定めた基準に適合するものであれば、インターネット側に転送し(ステップS205)、送信禁止とすべきと判断した場合は、当該チャットメッセージを廃棄する(ステップS206;チャットメッセージ遮断)。
る(ステップS104)。
【0044】
チャットメッセージの受信時は、図9に示したとおり、まず、クライアント監視装置3は、インターネット側からチャットメッセージを受信すると(ステップS211)、当該チャットメッセージの内容を検査する(ステップS212)。ここで、送信禁止とすべきと判断した場合は、クライアント監視装置3は、当該チャットメッセージを廃棄する(ステップS213;チャットメッセージ遮断)。
【0045】
一方、チャットメッセージが予め定めた基準に適合するものであれば、クライアント監視装置3は、あて先のクライアントに対して当該チャットメッセージを転送する(ステップS214)。
【0046】
前記チャットメッセージがあて先のクライアントに転送されると、当該クライアントにインストールされた監視プログラムが、受信したチャットメッセージを記録した後(ステップS215)、当該クライアントの表示装置に、チャットメッセージを表示する(ステップS216)。
【0047】
ファイル転送や音声通話も、上記したチャットメッセージの監視と同様のフローにより制御される。
【0048】
以上のとおり、本実施形態によれば、外部ネットワーク(インターネット)への接続要求を契機として、監視プログラムのインストールが行われるため、前述したWebアクセス監視や、実行アプリケーション(プログラム)の制御、チャットメッセージの監視等が確実に行われる。従って、企業や学校等における情報システム管理者の負担が軽減されることになる。
【0049】
以上、本発明の好適な実施形態を説明したが、本発明は、上記した実施形態に限定されるものではなく、本発明の基本的技術的思想を逸脱しない範囲で、更なる変形・置換・調整を加えることができる。例えば、上記した実施形態では、クライアントを識別する情報としてMACアドレスを用いるものとして説明したが、その他の端末ID、グループIDやIPアドレス等を用いて実現することも可能である。
【0050】
上記した実施形態では、図1のシステム構成図を例示して説明を加えたが、その他のネットワーク構成においても同様に適用することが可能である。例えば、一部のクライアントに無線アクセスポイントを介したネットワーク接続を認める構成においても、外部ネットワークへの接続要求時に、同様に管理プログラムのインストールを要求することが可能である。
【図面の簡単な説明】
【0051】
【図1】本発明の一実施形態に係るクライアント監視システムの構成を表したブロック図である。
【図2】図1のクライアント監視装置の詳細構成を表したブロック図である。
【図3】本発明の一実施形態に係るクライアント監視システムの動作を説明するためのシーケンス図である。
【図4】図3のステップS003においてクライアントに送信され、表示される画面の一例である。
【図5】クライアント監視装置の表示装置に表示されるWebサイト閲覧ログ表示画面の例である。
【図6】クライアント監視装置の表示装置に表示されるクライアントリモート監視画面の例である。
【図7】本発明の一実施形態に係るクライアント監視システムの動作を説明するための第2のシーケンス図である。
【図8】本発明の一実施形態に係るクライアント監視システムの動作を説明するための第3のシーケンス図である。
【図9】本発明の一実施形態に係るクライアント監視システムの動作を説明するための第4のシーケンス図である。
【符号の説明】
【0052】
1 ルータ
2 ファイアウォール
3 クライアント監視装置
4−1、4−2、4−3 ハブ/スイッチ
5−1〜5−8 クライアント
31 アクセス許可クライアント記憶手段
32 アクセス制限手段
33 インストール要求手段
34 監視プログラム送信手段
35 クライアント環境情報収集手段
36 使用制限設定手段
37 Webアクセス監視手段
38 チャット監視手段
39 ファイル転送監視手段
40 音声通話監視手段
100 監視プログラムインストール要求画面
101 Webサイト閲覧ログ表示画面
102 クライアントリモート監視画面
【技術分野】
【0001】
本発明は、クライアント監視システム及びクライアント監視装置に関し、特に、クライアントマシン(以下、単に「クライアント」という。)が適正に利用されているか否かを監視するためのクライアント監視システム及びクライアント監視装置に関する。
【背景技術】
【0002】
近年、企業や組織の内部からのデータ流出や情報漏えい対策、あるいは、従業員の人事評価資料の収集等を目的として、クライアントにおいて行われている操作内容や、アクセス先を記録するとともに、必要に応じて監視サーバに送信し、該監視サーバにおいてリアルタイムかつ集中的に、クライアントの状況の把握を実現する監視プログラム(監視ソフトウェア)が急速に普及している。
【0003】
特許文献1には、内部のLAN(Local Area Network)上に送出された信号を取得し、取得した信号の送信元及び送信先を特定し、送信元から送信先へのアクセス権の有無や、送信元が登録されている(非公式PC(パーソナルコンピュータ)でない)か否かや、送信が禁止されている文書であるか等を判断する通信監視装置が開示されている。取得した信号により問題があると判断した場合、同文献記載の通信監視装置は、送信元あるいは送信先に対して、通信の切断を要求するとともに、システム管理者への報告や送信元への警告を行うと記載されている。
【0004】
特許文献2には、クライアントにインストールされているプログラムを特定し、報告させる管理プログラムを送信し、不適切なプログラムがインストールされているクライアントに対して、警告を行うプログラム管理装置が開示されている。
【0005】
【特許文献1】特開2002−232451号公報
【特許文献2】特開2004−94291号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
従業員等による不適切なインターネットサイトへのアクセス、クライアントの目的外使用、社内データの持ち出し、不適切なソフトウェアのインストールが行われているか否かを把握するための有効な方策として、上記した監視プログラムの全社的な導入が挙げられる。
【0007】
上記した監視プログラムを利用したクライアント監視システムの効果を最大限に引き出すには、上記した監視プログラムのインストールを徹底し、維持していくことが重要となるが、情報システム管理者の負担が大きいことから、インストール作業を従業員に委ねざるを得ないことも多い。
【0008】
一方で、従業員側にも、本来の業務が繁忙であったり、私物PCを業務に用いている場合などの事情があって、監視プログラムのインストールが徹底されないことがある。
【0009】
本発明は、上記した事情に鑑みてなされたものであってその目的とするところは、簡便かつ確実に、上記した監視プログラムのインストールの徹底を実現できるクライアント監視システム及びクライアント監視装置を提供することにある。
【課題を解決するための手段】
【0010】
本発明の第1の視点によれば、管理対象のクライアントのうち、外部ネットワークへのアクセスが許可されたクライアントを識別するための情報が登録されるクライアント記憶手段と、前記外部ネットワークへのアクセスが許可されたクライアント以外からの外部ネットワークへのアクセスを制限するアクセス制限手段と、クライアントからのダウンロード要求に応じて、クライアントの状態を監視する監視プログラムを送信する監視プログラム送信手段と、を備え、外部ネットワークへのアクセスが許可されていないにも拘わらず、外部ネットワークへのアクセスを試みたクライアントに対して、前記監視プログラムのインストールを要求し、前記監視プログラムをインストールすることにより、前記クライアント記憶手段への登録が行われるクライアント監視システムが提供される。
【0011】
本発明の第2の視点によれば、管理対象のクライアントと、外部ネットワークとの間に配設されるクライアント監視装置であって、管理対象のクライアントのうち、外部ネットワークへのアクセスが許可されたクライアントを識別するための情報が登録されるクライアント記憶手段と、前記外部ネットワークへのアクセスが許可されたクライアント以外からの外部ネットワークへのアクセスを制限するアクセス制限手段と、クライアントからのダウンロード要求に応じて、クライアントの状態を監視する監視プログラムを送信する監視プログラム送信手段と、を備え、外部ネットワークへのアクセスが許可されていないにも拘わらず、外部ネットワークへのアクセスを試みたクライアントに対して、前記監視プログラムのインストールを要求し、前記監視プログラムをインストールすることにより、前記クライアント記憶手段への登録が行われるクライアント監視装置が提供される。
【発明の効果】
【0012】
本発明によれば、管理対象のクライアントに、上記した監視プログラムを効率よくインストールさせることが可能となる。その理由は、クライアント端末からの外部ネットワークへのアクセス要求をトリガとして、監視プログラムのインストールを要請する仕組みを導入したことにある。
【発明を実施するための最良の形態】
【0013】
続いて、本発明を実施するための最良の形態について図面を参照して詳細に説明する。図1は、本発明の一実施形態に係るクライアント監視装置が配置された企業内のネットワーク構成を模式的に表したブロック図である。図1を参照すると、オフィスA、オフィスBと、これら2つのオフィス内に配されたクライアント5−1〜5−8を監視する監視室に配置される機器が示されている。
【0014】
ルータ1は、ファイアウォール2より内側の内部ネットワークと、インターネット(外部ネットワーク)との境界に配置され、両者を相互に接続する機能を提供する。
【0015】
ファイアウォール2は、ルータ1を通して送られるデータのうち、必要なデータのみを通過させ、不要な通信を遮断する機能を提供する。
【0016】
クライアント監視装置3は、クライアント5−1〜5−8がインターネットに接続する際に経由しなければならない位置に配置され、オフィスAに配置されたクライアント5−1〜5−4と、オフィスBに配置されたクライアント5−5〜5−8とを監視する。本実施形態では、クライアント監視装置3は、ルータ1と、ハブ/スイッチ4−1の間に配設されているものとして説明する。
【0017】
図2は、クライアント監視装置3の詳細構成を表したブロック図である。図2を参照すると、クライアント監視装置3は、アクセス許可クライアント記憶手段31と、アクセス制限手段32と、インストール要求手段33と、監視プログラム送信手段34と、クライアント環境情報収集手段35と、使用制限設定手段36と、Webアクセス監視手段37と、チャット監視手段38と、ファイル転送監視手段39と、音声通話監視手段40と、を備えて構成される。
【0018】
アクセス許可クライアント記憶手段31には、管理対象のクライアント5−1〜5−8のうち、インターネットへのアクセスが許可されたクライアントを識別するための情報が登録される。本実施形態では、インターネットへのアクセスが許可されたクライアントのハードウェア固有の識別情報であるMAC(Media Access Control)アドレスのリストにて実現されているものとする。
【0019】
アクセス制限手段32は、クライアント5−1〜5−8からの名前解決要求メッセージ等のインターネット接続要求を検知して、アクセス許可クライアント記憶手段31を参照して、インターネットへのアクセスが禁止されているクライアントからのインターネット接続を制限する。本実施形態では、アクセス許可クライアント記憶手段31には、MACアドレスが登録されているため、アクセス制限手段32は、クライアント5−1〜5−8からのインターネット接続要求に含まれる送信元MACアドレスを照合することによって上記インターネットへのアクセスが許可されているか否かの判断を行うことができる。
【0020】
更に、アクセス制限手段32は、インターネットへのアクセスが禁止されているクライアントからのインターネット接続要求を検知した場合に、インストール要求手段33を作動させる。
【0021】
インストール要求手段33は、HTML(Hyper Text Markup Language)等で作成された監視プログラムのインストールを要求するコンテンツを保持し、アクセス制限手段32からの要求に基づいて、インターネットへのアクセスが禁止されているクライアントに対して、監視プログラムのインストールを要求するコンテンツを送信する。
【0022】
監視プログラム送信手段34は、インストール要求手段33から送信された監視プログラムのインストールを要求するコンテンツを介して、インターネットへのアクセスが禁止されているクライアントからの、監視プログラムの送信要求に応じて、監視プログラムを送信する。
【0023】
クライアント環境情報収集手段35〜音声通話監視手段40は、上記のようにしてクライアントにインストールされた監視プログラムと連携してクライアントの状況を監視する手段である。これらの各手段は、監視プログラムと対応付けて備えられるべき機能の一例であり、顧客要求やシステム環境に応じて適宜改変される。以下、その概要をかいつまんで説明する。
【0024】
クライアント環境情報収集手段35は、監視プログラムよりクライアント環境情報として送信された、クライアントにインストールされているプログラムや、ハードウェア情報をクライアント毎に記録し管理する手段である。
【0025】
使用制限設定手段36は、クライアントにおけるハードウェアやソフトウェアの使用ポリシを保持し、クライアントにインストールされた監視プログラムからのハードウェアやソフトウェアの使用に関する問い合わせに応じて、当該ハードウェアやソフトウェアの使用制限が課されているか否かを応答する手段である。例えば、特定のクライアントにおける、リムーバブルメディアの接続制限や、特定のアプリケーションプログラムの実行制御を行うことが可能である。なお、クライアントにおけるハードウェアやソフトウェアの使用ポリシは、統一したものである必要はなく、例えば、クライアント毎に設定したものであってもよいし、あるいは、部課グループ等を単位として設定したものであってもよい。
【0026】
Webアクセス監視手段37は、インターネットへのアクセスが許可されているクライアントのインターネット上の各種サイトへのアクセス履歴を記録する機能や、当該クライアントにおいて現在表示されている画面をクライアント監視装置3側の表示装置にリアルタイム表示する機能を提供する。
【0027】
チャット監視手段38は、クライアント5−1〜5−8のインスタントメッセンジャー機能により、送受信されているチャットメッセージを監視する機能を提供する。
【0028】
ファイル転送監視手段39は、クライアント5−1〜5−8から、インターネット側にアップロードされるファイル、又は、インターネット側からダウンロードされるファイルを監視する機能を提供する。
【0029】
音声通話監視手段40は、クライアント5−1〜5−8と、インターネット側と音声通話端末との間の音声通話内容を監視する機能を提供する。
【0030】
続いて、上記したクライアント監視装置3の動作について図面を参照して詳細に説明する。図3は、クライアント5−1〜5−8のうちのインターネットへのアクセスが許可されていないクライアントのユーザが、インターネット接続を試みた際の動作を表したシーケンス図である。
【0031】
図3を参照すると、まず、前記クライアントからのインターネット接続要求を検知すると(ステップS001−1)、クライアント監視装置3は、検出したクライアントのMACアドレスがアクセス許可クライアント記憶手段31に登録されているか否かを確認する(ステップS002−1)。
【0032】
ここでは、インターネット接続を試みたクライアントは、インターネットへのアクセスが許可されていない状態であるので(ステップS002−1のNo)、クライアント監視装置3は、当該クライアントに対して、監視プログラムのダウンロード及びインストールを行うための画面を送信する(ステップS003)。
【0033】
図4は、監視プログラムのダウンロード及びインストールを行うための画面の例100である。同図の例では、画面上の監視プログラムのダウンロードボタン(ESGソフトダウンロード)を押下することにより、インストーラ形式の監視プログラムのダウンロードが開始され、インストールが自動的に完了するようになっている。
【0034】
また、監視プログラムは、インストール後の初回実行時に、クライアント監視装置3のアクセス許可クライアント記憶手段31に自装置のMACアドレスを登録する処理と、次回以降クライアントを起動した際に、監視プログラムがメモリに常駐し、常時クライアントを監視できるよう設定する処理とを行う。
【0035】
従って、その後、再度、前記クライアントからのインターネット接続要求が行われると(ステップS001−2)、クライアント監視装置3は、検出したクライアントのMACアドレスがアクセス許可クライアント記憶手段31に登録されていることを確認し、インターネット接続を許可する(ステップS002−2のYes)。
【0036】
その後は、当該クライアントの監視プログラムから、インターネット上の各種サイトへのアクセス状況が送出される。クライアント監視装置3は、これらの情報に基づいて、図5に示すWebサイト閲覧ログ表示画面や、図6に示すクライアントリモート監視画面を表示する。
【0037】
図7は、上記のようにして監視プログラムがインストールされたクライアント5−1〜5−8において、アプリケーション(プログラム)が実行された場合の動作を表したシーケンス図である。
【0038】
図7を参照すると、まず、前記クライアントにおいて、アプリケーション(プログラム)の実行操作が行われると(ステップS101)、監視プログラムは、実行要求されたアプリケーション(プログラム)を記録するとともに(ステップS102)、クライアント監視装置3に対して、実行要求されたアプリケーション(プログラム)の使用が許可されているか否かを問い合わせる(ステップS103;使用許可照合)。
【0039】
クライアント監視装置3は、クライアントにおけるハードウェアやソフトウェアの使用ポリシを参照し、実行要求されたアプリケーション(プログラム)を、使用許可すべきか否かを判定する(ステップS104)。
【0040】
ここで、例えば、実行要求されたアプリケーション(プログラム)が、使用許可されていないものである場合には、クライアント監視装置3は、クライアントに対し、否定応答を返す(ステップS105)。前記否定応答を受けた監視プログラムは、実行要求されたアプリケーション(プログラム)の強制終了処理を実行する(ステップS106)。
【0041】
図8は、上記のようにして監視プログラムがインストールされたクライアント5−1〜5−8から、チャットメッセージが送信された場合の動作を表したシーケンス図である。図9は、同様に、クライアント5−1〜5−8に対して、チャットメッセージが送信された場合の動作を表したシーケンス図である。
【0042】
図8を参照すると、まず、前記クライアントにおいて、チャットメッセージの送信操作行われると(ステップS201)、監視プログラムは、送信要求されたチャットメッセージを記録した後(ステップS202)、クライアント監視装置3に対して、送信要求されたチャットメッセージを転送する(ステップS203)。
【0043】
クライアント監視装置3は、転送されたチャットメッセージの内容を検査して(ステップS204)、予め定めた基準に適合するものであれば、インターネット側に転送し(ステップS205)、送信禁止とすべきと判断した場合は、当該チャットメッセージを廃棄する(ステップS206;チャットメッセージ遮断)。
る(ステップS104)。
【0044】
チャットメッセージの受信時は、図9に示したとおり、まず、クライアント監視装置3は、インターネット側からチャットメッセージを受信すると(ステップS211)、当該チャットメッセージの内容を検査する(ステップS212)。ここで、送信禁止とすべきと判断した場合は、クライアント監視装置3は、当該チャットメッセージを廃棄する(ステップS213;チャットメッセージ遮断)。
【0045】
一方、チャットメッセージが予め定めた基準に適合するものであれば、クライアント監視装置3は、あて先のクライアントに対して当該チャットメッセージを転送する(ステップS214)。
【0046】
前記チャットメッセージがあて先のクライアントに転送されると、当該クライアントにインストールされた監視プログラムが、受信したチャットメッセージを記録した後(ステップS215)、当該クライアントの表示装置に、チャットメッセージを表示する(ステップS216)。
【0047】
ファイル転送や音声通話も、上記したチャットメッセージの監視と同様のフローにより制御される。
【0048】
以上のとおり、本実施形態によれば、外部ネットワーク(インターネット)への接続要求を契機として、監視プログラムのインストールが行われるため、前述したWebアクセス監視や、実行アプリケーション(プログラム)の制御、チャットメッセージの監視等が確実に行われる。従って、企業や学校等における情報システム管理者の負担が軽減されることになる。
【0049】
以上、本発明の好適な実施形態を説明したが、本発明は、上記した実施形態に限定されるものではなく、本発明の基本的技術的思想を逸脱しない範囲で、更なる変形・置換・調整を加えることができる。例えば、上記した実施形態では、クライアントを識別する情報としてMACアドレスを用いるものとして説明したが、その他の端末ID、グループIDやIPアドレス等を用いて実現することも可能である。
【0050】
上記した実施形態では、図1のシステム構成図を例示して説明を加えたが、その他のネットワーク構成においても同様に適用することが可能である。例えば、一部のクライアントに無線アクセスポイントを介したネットワーク接続を認める構成においても、外部ネットワークへの接続要求時に、同様に管理プログラムのインストールを要求することが可能である。
【図面の簡単な説明】
【0051】
【図1】本発明の一実施形態に係るクライアント監視システムの構成を表したブロック図である。
【図2】図1のクライアント監視装置の詳細構成を表したブロック図である。
【図3】本発明の一実施形態に係るクライアント監視システムの動作を説明するためのシーケンス図である。
【図4】図3のステップS003においてクライアントに送信され、表示される画面の一例である。
【図5】クライアント監視装置の表示装置に表示されるWebサイト閲覧ログ表示画面の例である。
【図6】クライアント監視装置の表示装置に表示されるクライアントリモート監視画面の例である。
【図7】本発明の一実施形態に係るクライアント監視システムの動作を説明するための第2のシーケンス図である。
【図8】本発明の一実施形態に係るクライアント監視システムの動作を説明するための第3のシーケンス図である。
【図9】本発明の一実施形態に係るクライアント監視システムの動作を説明するための第4のシーケンス図である。
【符号の説明】
【0052】
1 ルータ
2 ファイアウォール
3 クライアント監視装置
4−1、4−2、4−3 ハブ/スイッチ
5−1〜5−8 クライアント
31 アクセス許可クライアント記憶手段
32 アクセス制限手段
33 インストール要求手段
34 監視プログラム送信手段
35 クライアント環境情報収集手段
36 使用制限設定手段
37 Webアクセス監視手段
38 チャット監視手段
39 ファイル転送監視手段
40 音声通話監視手段
100 監視プログラムインストール要求画面
101 Webサイト閲覧ログ表示画面
102 クライアントリモート監視画面
【特許請求の範囲】
【請求項1】
管理対象のクライアントのうち、外部ネットワークへのアクセスが許可されたクライアントを識別するための情報が登録されるクライアント記憶手段と、
前記外部ネットワークへのアクセスが許可されたクライアント以外からの外部ネットワークへのアクセスを制限するアクセス制限手段と、
クライアントからのダウンロード要求に応じて、クライアントの状態を監視する監視プログラムを送信する監視プログラム送信手段と、を備え、
外部ネットワークへのアクセスが許可されていないにも拘わらず、外部ネットワークへのアクセスを試みたクライアントに対して、前記監視プログラムのインストールを要求し、前記監視プログラムをインストールすることにより、前記クライアント記憶手段への登録が行われること、
を特徴とするクライアント監視システム。
【請求項2】
更に、外部ネットワークへのアクセスが許可されていないにも拘わらず、前記外部ネットワークへのアクセスを試みたクライアントのブラウザに、インストール処理とともに前記クライアント記憶手段への登録処理を実行する実行ファイル形式の監視プログラムをダウンロードするための画面を表示させるインストール要求手段を備える請求項1に記載のクライアント管理システム。
【請求項3】
管理対象のクライアントと、外部ネットワークとの間に配設されるクライアント監視装置であって、
管理対象のクライアントのうち、外部ネットワークへのアクセスが許可されたクライアントを識別するための情報が登録されるクライアント記憶手段と、
前記外部ネットワークへのアクセスが許可されたクライアント以外からの外部ネットワークへのアクセスを制限するアクセス制限手段と、
クライアントからのダウンロード要求に応じて、クライアントの状態を監視する監視プログラムを送信する監視プログラム送信手段と、を備え、
外部ネットワークへのアクセスが許可されていないにも拘わらず、外部ネットワークへのアクセスを試みたクライアントに対して、前記監視プログラムのインストールを要求し、前記監視プログラムをインストールすることにより、前記クライアント記憶手段への登録が行われること、を特徴とするクライアント監視装置。
【請求項4】
更に、外部ネットワークへのアクセスが許可されていないにも拘わらず、前記外部ネットワークへのアクセスを試みたクライアントのブラウザに、インストール処理とともに前記クライアント記憶手段への登録処理を実行する実行ファイル形式の監視プログラムをダウンロードするための画面を表示させるインストール要求手段を備える請求項3に記載のクライアント監視装置。
【請求項1】
管理対象のクライアントのうち、外部ネットワークへのアクセスが許可されたクライアントを識別するための情報が登録されるクライアント記憶手段と、
前記外部ネットワークへのアクセスが許可されたクライアント以外からの外部ネットワークへのアクセスを制限するアクセス制限手段と、
クライアントからのダウンロード要求に応じて、クライアントの状態を監視する監視プログラムを送信する監視プログラム送信手段と、を備え、
外部ネットワークへのアクセスが許可されていないにも拘わらず、外部ネットワークへのアクセスを試みたクライアントに対して、前記監視プログラムのインストールを要求し、前記監視プログラムをインストールすることにより、前記クライアント記憶手段への登録が行われること、
を特徴とするクライアント監視システム。
【請求項2】
更に、外部ネットワークへのアクセスが許可されていないにも拘わらず、前記外部ネットワークへのアクセスを試みたクライアントのブラウザに、インストール処理とともに前記クライアント記憶手段への登録処理を実行する実行ファイル形式の監視プログラムをダウンロードするための画面を表示させるインストール要求手段を備える請求項1に記載のクライアント管理システム。
【請求項3】
管理対象のクライアントと、外部ネットワークとの間に配設されるクライアント監視装置であって、
管理対象のクライアントのうち、外部ネットワークへのアクセスが許可されたクライアントを識別するための情報が登録されるクライアント記憶手段と、
前記外部ネットワークへのアクセスが許可されたクライアント以外からの外部ネットワークへのアクセスを制限するアクセス制限手段と、
クライアントからのダウンロード要求に応じて、クライアントの状態を監視する監視プログラムを送信する監視プログラム送信手段と、を備え、
外部ネットワークへのアクセスが許可されていないにも拘わらず、外部ネットワークへのアクセスを試みたクライアントに対して、前記監視プログラムのインストールを要求し、前記監視プログラムをインストールすることにより、前記クライアント記憶手段への登録が行われること、を特徴とするクライアント監視装置。
【請求項4】
更に、外部ネットワークへのアクセスが許可されていないにも拘わらず、前記外部ネットワークへのアクセスを試みたクライアントのブラウザに、インストール処理とともに前記クライアント記憶手段への登録処理を実行する実行ファイル形式の監視プログラムをダウンロードするための画面を表示させるインストール要求手段を備える請求項3に記載のクライアント監視装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2009−181470(P2009−181470A)
【公開日】平成21年8月13日(2009.8.13)
【国際特許分類】
【出願番号】特願2008−21692(P2008−21692)
【出願日】平成20年1月31日(2008.1.31)
【出願人】(508033236)JFETEK JAPAN株式会社 (1)
【Fターム(参考)】
【公開日】平成21年8月13日(2009.8.13)
【国際特許分類】
【出願日】平成20年1月31日(2008.1.31)
【出願人】(508033236)JFETEK JAPAN株式会社 (1)
【Fターム(参考)】
[ Back to top ]