コンピュータシステム管理のプログラム,コンピュータシステム管理装置,コンピュータシステムの管理方法
【課題】本発明は複数のコンピュータで構成するコンピュータシステム管理のプログラム,コンピュータシステム管理装置,管理方法に関し,システム管理に必須のソフト以外のアプリケーションに不適合なソフトを確実に排除することを目的とする。
【解決手段】コンピュータを管理するコンピュータを,各コンピュータから報告されたインストール済アプリケーションの情報をコンピュータ別のインストール済みアプリデータベースに格納する手段,インストール済みアプリデータベースのアプリケーションの情報と,必須のアプリケーション以外のアプリケーションのそれぞれと適合しないとして組織により指定され設定された不適合アプリケーションの情報とを照合し,不適合アプリケーションがインストールされていることを検出する手段,として機能させるよう構成する。
【解決手段】コンピュータを管理するコンピュータを,各コンピュータから報告されたインストール済アプリケーションの情報をコンピュータ別のインストール済みアプリデータベースに格納する手段,インストール済みアプリデータベースのアプリケーションの情報と,必須のアプリケーション以外のアプリケーションのそれぞれと適合しないとして組織により指定され設定された不適合アプリケーションの情報とを照合し,不適合アプリケーションがインストールされていることを検出する手段,として機能させるよう構成する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は,複数のコンピュータがネットワークにより接続されたコンピュータシステムのセキュリティに必須の対策が確実に講じられるよう管理するコンピュータシステム管理のプログラム,コンピュータシステム管理装置,コンピュータシステムの管理方法に関する。
【背景技術】
【0002】
複数のコンピュータがネットワークにより接続されたコンピュータシステムは,企業,地方,国等の公共団体,研究機関,学校等の種々の組織に設けられ,運営されている。
【0003】
このようなコンピュータシステムでは,各コンピュータのそれぞれに同様のアプリケーション(ソフトウェア)を備えることが求められ,特にウィルス,ハッカー等によるデータの破壊や,情報の漏洩等のさまざまな危険に対してそれぞれのコンピュータが同じ対策を取っている(同じ対策ソフトをそれぞれのコンピュータが備えている)状態を保証することが必要である。
【0004】
従来の複数のコンピュータからなるコンピュータシステムにおけるソフトウェア管理の技術の例として「ソフトウェア導入管理システム」(特許文献1参照)がある。その構成を従来例の構成として図30に示す。図中,80は管理用計算機,81は各ソフトウェア毎のソフトウェア名とそのソフトウェアを構成するに必要な全ファイル名との対応を表に示すソフトウェア構成表,82はソフトウェア登録部,83は管理用計算機80により管理される複数の利用者用計算機,84は各利用者用計算機83に備えられたファイル名通知部,85は各利用者用計算機83同士,利用者用計算機83と管理用計算機80の間及び利用者用計算機83と外部との通信を行うための通信手段である。
【0005】
各利用者のパソコン等の利用者用計算機83は,その使用ごとの,例えば電源切断指示を契機としてファイル名通知部84を起動し,その計算機に蓄積しているファイル名を管理用計算機80に転送する。管理用計算機は,各パソコンで導入が予想されるソフトウェアについて各ソフトウェアを構成するファイル(プログラム)の名前を登録したソフトウェア構成表81を参照して,各利用者用計算機83から送られてきたファイル名からソフトウェア名を推定し,各利用者用計算機83に導入されているソフトウェア名としてソフトウェア登録部82に登録する。これにより,各利用者用計算機83に導入されているソフトウェアのソフトウェア名を人為的な漏れや誤りを生じることなく自動的に収集して管理することができる。
【0006】
ところが,この技術では各パソコンにインストールされたソフトウェア(アプリケーション)をまとめて一度に見ることができるが,システムにとって必要な各種のセキュリティのアプリケーションがインストールされているのか,またはコンピュータの使用者が独自にインストールしたアプリケーションが他のアプリケーションと適合しない場合があった場合にも,多数(例えば,1000台)のコンピュータで構成されていると,直ちに判断することが困難である。
【0007】
近年,コンピュータに対してウィルス,ハッカー等によるデータ破壊,秘密情報の漏洩等の危険に対向して,防衛するためのソフトウェア,例えば,ウィルス対策ソフトウェア,外部からの攻撃に対する安全度の高いソフトウェア,盗難に備えた暗号化ソフトウェア等が次々に開発され市販されるようになった。これらの対策ソフトは,さまざまな企業からばらばらに個別の製品として販売されており,全ての機能を備えた総合的なソフトは存在せず,危険を防止したい組織は,それらの個別の製品をおのおの選択して導入していた。したがって,一つのコンピュータ上に複数の対策ソフトをインストールし,動作させることが必要になっている。しかし,組織としては対策ソフトの導入を行い危険を回避したつもりでいても,セキュリティの方針どうり実施されていれば危険は回避されるが,組織の管理が不徹底で対策ソフトをインストールせずに放置されたコンピュータが一つでもあれば,そのコンピュータが被害に会い,組織全体の安全と信頼が失われるという問題がある。
【0008】
また,市販のソフト製品を複数のパソコンにインストールして,ソフトウェアのライセンス管理(ソフトウェアのライセンス契約されたインストール可能なパソコン台数の管理)をするソフトがある。そのソフトでは,各パソコンにインストールされたソフトウェア名を一元管理すると共に,各ソフトウェアのライセンス数のデータベースを備え,管理者は簡単に,各ソフトウェアがライセンス数以上の違法コピーをされていないか把握できる。このソフトは付加機能として,一定の期間毎にある特定のOSについて新たに発見された欠陥を埋めるためのパッチプログラムとある特定のウィルス対策ソフトのパターンファイルについて前回調べた時点よりファイル作成日付が新しくなっているかどうかを調べ,新しくなっていないときにパソコンの画面にアラームを表示する付加機能を持っている。ところが,そのような付加機能には指定した任意のソフト(インストールすべきものとして指定したソフトウェア,プログラム)についてアラームをあげるものではなかった。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】特許第3409370号特許公報
【発明の概要】
【発明が解決しようとする課題】
【0010】
上記したように従来の複数のコンピュータがLAN等のネットワークにより接続されたコンピュータシステムでは,組織の運営に必須のソフトが各コンピュータに確実にインストールされていることを確認し,不必要なソフトの存在を検出することは困難であり,特に膨大な数のコンピュータ(例えば,1000台)が設けられたコンピュータシステムについて各コンピュータのソフトについてセキュリティを保証することは難しかった。
【0011】
本発明は,この問題を解決し複数のコンピュータからなるコンピュータシステムのセキュリティに必須のソフト(アプリケーション)が各コンピュータに確実にインストールされるよう管理し,インストールされてない場合にインストールを実施させることができるコンピュータシステム管理のプログラム,コンピュータシステム管理装置,コンピュータシステムの管理方法を提供することを目的とする。
【0012】
本発明は,利用者のコンピュータから管理装置にインストールプログラムを報告する利用者側報告プログラムが各コンピュータにインストールされるよう管理することや,各コンピュータの利用者がインストールしたソフトが他のソフトと適合しないものを検出したり,必要なソフトや,特定の指定したソフトのインストールを検出することを可能にすること等を他の目的とする。
【0013】
本発明は,必須のソフトがインストールされてないと自律的にインストールを行い,必須のソフトに対し不適合なソフトがインストールされていることを検出するだけでなく,必須のソフト以外のソフトに対し不適合なソフトやコンピュータシステムを運営する組織(企業)の正常な運営に不適合なソフト(例えば,ゲームソフト,セキュリティ上穴のある安全性の低い危険なソフト等)も検出して,それらのソフトをアンインストールすることを可能にすることを他の目的とする。
【0014】
更に,必須のソフトがインストールされてない状態を検出してそれらのソフトをインストールすることや,不適合ソフトがインストールされていることを検出してそれらをアンインストールすることをコンピュータシステム管理装置(サーバ側)で行うだけでなく,個別のコンピュータ(クライアント側)においてオンラインで単独で行うだけでなくオフラインでも可能にすることを他の目的とする。
【課題を解決するための手段】
【0015】
上記問題を解決するため,本発明は,予めコンピュータシステムを保有する組織により運営に必須のソフトウェア(単に,ソフトという)を決めて,コンピュータシステム管理装置に登録し,各コンピュータにはそれぞれにインストールされたアプリケーションプログラム(単に,アプリという)をコンピュータシステムのコンピュータシステム管理装置に報告する機能を実行する利用者側報告プログラムをインストールしておき,各コンピュータからコンピュータシステムからの報告を受けて各コンピュータにインストールされたソフトを収集して,必須アプリの未インストールや,不適合アプリの検出を行い,必須アプリがインストールされてないコンピュータや,特定のアプリがインストールされてないコンピュータを検出して表示することができる。
【0016】
また,本発明は,上記のコンピュータシステム管理装置において必須アプリが未インストールであったことを検出すると,強制的にその未インストールの必須アプリをインストールさせ,不適合アプリ(必須アプリに対して不適合なアプリだけでなく,それ以外のアプリに対して不適合なアプリや,コンピュータシステムの正常な運営に不適合なアプリ(ゲームソフト,セキュリティ上穴のある安全性の低い危険なソフト等)を含む)が検出されると該当するアプリをアンインストールする。
【0017】
更に,本発明は,コンピュータシステム管理装置と通信手段で接続された各コンピュータ側に必須アプリや不適合アプリを登録して,各コンピュータ側で必須アプリの未インストールの検出や,不適合アプリのインストールの検出を行って,必須アプリのインストールや,不適合アプリのアンインストールをオンラインで直ちに実行させ,オフラインのコンピュータでもできるようにした。
【0018】
図1は本発明の第1の原理構成を示し,図2は本発明の第2の原理構成を示す。
【0019】
図1において,1は管理対象の複数のコンピュータのセキュリティ対策や各コンピュータが保有するソフト(アプリ)の管理を行うコンピュータシステムのサーバとして機能するコンピュータシステム管理装置,2はデータベース,20はコンピュータシステムを構成する各コンピュータが設置された場所(フロア),部門,使用者等が登録された装置番号管理データベース(DB),21は各装置番号のコンピュータに関する各種の情報(コンピュータ利用者,各コンピュータの利用者側報告プログラムのインストール状況,各コンピュータのインストール済みアプリのリスト等)を格納したコンピュータ情報管理データベース(DB),22は各コンピュータに必須のアプリのリストを格納した必須アプリデータベース(DB),23は複数のソフトウェアを同時にインストールして動作させた場合にエラーが起こり本来の機能を達成できない,必須アプリと不適合なソフト( 不適合アプリという)のリストを格納した不適合アプリデータベース(DB)である。なお,この不適合アプリデータベース23には,更に,必須アプリ以外のアプリに対して不適合なアプリ及びコンピュータシステムを保持する組織(企業等)の運営上で不適合なアプリのリストも含むことができる。24は各コンピュータにインストールすべき必須アプリインストールプログラムと利用者側報告プログラムインストールプログラムが格納されたインストールプログラムデータベース(DB)である。
【0020】
3はセキュリティ対策のためのアプリケーションのインストールの状態を管理するためのチェック部,30は利用者側報告プログラム未インストール検出手段,31は必須アプリ未インストール検出手段,32は不適合アプリ検出手段,33は指定アプリ未インストールコンピュータ一覧表示手段,4はコンピュータに対して要求されたアプリをインストールするインストール部である。
【0021】
5は入力部(キーボード等)と出力部(ディスプレイ等)を備えた管理用入出力部,6はコンピュータシステム管理装置1と複数のコンピュータ(後述する7)や,サーバ(図示されない)や,外部のネットワーク(公衆網,専用線等)と通信を行うための外部接続手段8等を相互に接続するLAN(ローカルエリアネットワーク)等の通信手段,7は例えばLANのような通信手段6により相互に接続された多数の利用者のクライアントとして動作するコンピュータを表し,各コンピュータ7には図示されないがCPU,データやプログラムを記憶するメモリ,ハードディスク,入出力装置等が設けられている。70,71はコンピュータ7内のメモリの一部を表し,70はインストールされたアプリ(アプリケーションプログラムと同義)を格納したインストールアプリ格納部,71は実行すると自コンピュータ内にインストールされた全てのアプリをコンピュータシステム管理装置1に報告(または通知)する機能を備える利用者側報告プログラムである。8はコンピュータシステム管理装置1,通信手段6,複数のコンピュータ7とで構成するシステムと外部のネットワークを接続する外部接続手段であり,ルータ,ファイアウォール,サーバ,IDS(イントルージョン・ディテクション・システム:侵入検出システム)等のセキュリティ手段を備える。
【0022】
図1の第1の原理構成において,コンピュータシステム管理装置1のチェック部3の利用者側報告プログラム未インストール検出手段30でコンピュータ情報管理データベース21を参照して,各コンピュータの装置番号に対応した利用者側報告プログラムインストール有無のリストから,利用者側報告プログラムがインストールされてないコンピュータ7があるかチェックし,ある場合はインストール部4を駆動して該当するコンピュータ7に対しインストールプログラムデータベース24に格納された利用者側報告プログラムのインストールプログラムを実行させる。次に,必須アプリ未インストール検出手段31によりコンピュータ情報管理データベース21を参照して,各コンピュータの装置番号に対応したインストール済みのアプリのリストに,必須アプリデータベース22に格納された必須アプリがインストールされているかチェックし,未インストールのアプリがあると,その未インストールのアプリをインストールプログラムデータベース24から,該当するコンピュータ7に対しインストールするようインストール部4を駆動する。
【0023】
また,コンピュータシステム管理装置1のチェック部3の不適合アプリ検出手段32も一定周期または管理用入出力部5の指示により駆動されると,コンピュータ情報管理データベース21に格納された各コンピュータ7にインストールされた各アプリに対して,不適合なアプリが一緒にインストールされているか,不適合アプリデータベース23に格納されたリストを参照してチェックを行う。この不適合アプリ検出手段32により不適合なアプリを検出すると,当該コンピュータ7に対して不適合アプリのアンインストールを促す通知を行い,これを受けたコンピュータにおいてアンインストールを行わせる。また,指定アプリ未インストールコンピュータ一覧表示手段33は,管理用入出力部5において,指定したアプリ(利用者側報告プログラム,必須アプリ及び特定のプログラム等)がインストールされてないコンピュータ(装置番号または名称)を検出して一覧を,管理用入出力部5の出力部に表示する。
【0024】
なお,上記利用者側報告プログラム未インストール検出手段30により,あるコンピュータで利用者側報告プログラムが未インストールであることを検出して,利用者側報告プログラムを該当するコンピュータにインストール時,同時に上記必須アプリ未インストール検出手段31によりそのコンピュータに必須アプリが未インストールであることが検出された場合,利用者側報告プログラムと共に未インストールの必須アプリもインストールするよう促すことができる。
【0025】
上記図1の第1の原理構成では,サーバ側のコンピュータシステム管理装置1が主体となって,複数のクライアントのコンピュータ7にインストールされたアプリケーションプログラムのチェックを行って,必須アプリの未インストールを検出時のインストールや,不適合アプリを検出時のアンインストールの処理はサーバ側の制御で行っていたが,サーバ側に負荷がかかり,更にクライアントのコンピュータがオンライン状態でないと上記の機能を実現できない。これに対応するため,クライアント側のコンピュータが主体となって,それぞれがオンラインまたはオフラインで同様の機能を実現できるようにしたのが図2に示す第2の原理構成である。
【0026】
図2において,1〜3,5〜7の各符号の各部は上記図1の同一符号と同じであり説明を省略する。また,コンピュータシステム管理装置1のデータベース2の内部の20〜24は図1の同一符号の各部と同じ名称であり,不適合アプリDB23には上記図1について説明した通り必須アプリに対して不適合なアプリだけでなく,コンピュータシステムを運営する組織(会社)の正常な運営に不適合な各種のアプリ(例えば,ゲームソフト,セキュリティ上穴のある安全性の低い危険なソフト等)のリストが格納されている。また,コンピュータ情報管理データベース(DB)21の内部の21aはクライアントの各コンピュータ7からのアクセス(主として必須アプリDB22や不適合アプリDB23へのアクセス)の記録データを格納するアクセスログデータベース(DB),25はコンピュータシステムの組織向けに使用される著名なアプリケーションのリストが格納された全アプリリストデータベースである。チェック部3の利用者側報告プログラム未インストール検出手段30と指定アプリケーション未インストールコンピュータ一覧表示手段33は上記図1と同じであり,34は各コンピュータ7が備えるデータベースの更新を管理するデータベース(DB)更新管理手段である。40はインストールプログラムデータベース24のインストールプログラムを管理するインストールプログラム管理部,41はデータベース2の必須アプリデータベース22,不適合アプリデータベース23に対して必須アプリや不適合アプリを登録する処理を行う登録部である。
【0027】
コンピュータ7は,通信手段6を介してコンピュータシステム管理装置1と接続してオンラインで処理を行うか,またはオフラインで独立して動作する。コンピュータ7内の70はインストールされたプログラムを格納したインストールアプリ格納部,72は必須アプリのリストを格納した必須アプリデータベース(DB),73は不適合アプリのリストを格納した不適合アプリデータベース(DB),74はインストール済みアプリのリストを格納したインストール済みアプリデータベース(DB)である。75は自コンピュータにインストールされたアプリを検出するインストールアプリ検出手段である。76はチェック部であり,76aは必須アプリ未インストール検出手段,76bは不適合アプリ検出手段,77はインストール・アンインストール手段,78はコンピュータ7に設けられた入出力部である。
【0028】
図2の構成では,インストールアプリ検出手段75はインストールされたインストールアプリ格納部70に格納されたアプリケーションプログラムを検出して,リストをインストール済みアプリデータベース74に格納する。コンピュータ7をサーバ側であるコンピュータシステム管理装置1と通信手段6を介して接続してオンラインの状態で,コンピュータシステム管理装置1のデータベース2に格納された必須アプリデータベース22と不適合アプリデータベース23にアクセスして,格納された各DBリストをコンピュータ7に複写(ダウンロード)する。この必須アプリDB22や不適合アプリDB23にアクセスをしたコンピュータ7の情報はアクセス日時,コンピュータ名(マシン名)をアクセスログDB21aに記録しておく。この記録は,各コンピュータに最新の必須アプリ,不適合アプリの情報が登録されているかチェックするのに利用される。
【0029】
なお,オンラインにより必須アプリのリストと不適合アプリのリストが取得できない場合はコンピュータシステム管理装置1でCD(コンパクトディスク)やFD(フレキシブルディスク)等の記録媒体に複写して,各コンピュータ7で読み出して各データベース72,73に格納することができる。コンピュータ7のチェック部76が一定周期または入出力部78からの指示により駆動されると,必須アプリ未インストール検出手段76aが,必須アプリデータベース72に格納されたリストの各必須アプリについてインストール済みアプリデータベース74のリストと照合し,全てインストール済みであれば良いが,インストール済みのリストに含まれてない必須アプリが検出されると,入出力部78に未インストールの必須アプリのリストを表示し,インストール・アンインストール手段77にも通知する。同様に不適合アプリ検出手段76bは不適合アプリデータベース73に格納された不適合アプリのリストの各アプリについてインストール済みアプリデータベース74のリストと照合し,一致するアプリを検出するとその不適合アプリのリストを入出力部78に表示し,インストール・アンインストール手段77に対しその不適合アプリを通知する。
【0030】
インストール・アンインストール手段77は,チェック部76からのチェック結果により起動するか,または入出力部78からの指示の何れかにより起動し,チェック部76から不適合アプリを受け取ると,インストールアプリ格納部70からその不適合アプリをオフラインでアンインストールする。また,必須アプリ未インストール検出手段76aから必須アプリを通知されると,コンピュータ7を通信手段6を介してサーバのコンピュータシステム管理装置1と接続してオンラインの状態にすることで,必須アプリを指定してインストールを要求すると,インストールプログラム管理部40によりインストールプログラムデータベース24から該当する必須アプリを取り出して,コンピュータ7に転送しインストールアプリ格納部70にインストールする。なお,コンピュータシステム管理装置1で,未インストールの必須アプリをインストールプログラム管理部40の制御により可搬型の記録媒体(FDやCD)に複写して,コンピュータ7でその記録媒体からインストールすることで,オフラインで必須アプリをインストールすることができる。または,コンピュータシステム管理装置1を操作する管理者が必須アプリケーションの原本を貸し出して原本である記録媒体からインストールすることができる。
【発明の効果】
【0031】
本発明の第1の原理構成によりコンピュータシステムの各コンピュータに,コンピュータシステム管理装置に対しインストールされたアプリを繰り返し報告させて,コンピュータシステム管理装置に必須アプリを予め保持して各コンピュータからの報告されたアプリに必須のアプリケーションがインストールされてるかのチェックをし,またインストールされたアプリの中に不適合なアプリがあることを検出することで,コンピュータのエラー発生を防止し,コンピュータシステムのセキュリティを保証することができる。
【0032】
また,本発明の第2の原理構成により,クライアント側のコンピュータ側で,サーバのコンピュータシステム管理装置とは独立して,必須アプリの未インストールを検出したり,コンピュータの運用上に不都合な各種の不適合アプリ(必須アプリに対して不適合なアプリだけでない)がインストールされていることを検出することができ,未インストールが検出された必須アプリをすみやかにインストールし,不適合アプリが検出されたら直ちにアンインストールする処理を行うことができ,サーバ側とは独立して各コンピュータのセキュリティを保証することが可能となる。
【図面の簡単な説明】
【0033】
【図1】本発明の第1の原理構成を示す図である。
【図2】本発明の第2の原理構成を示す図である。
【図3】利用者側報告プログラムの未インストール検出のフローチャートを示す図である。
【図4】インストール指示画面の例を示す図である。
【図5】装置番号管理DBの構成例を示す図である。
【図6】コンピュータ情報管理DBの構成例を示す図である。
【図7】必須アプリDBの構成例を示す図である。
【図8】不適合アプリDBの構成例を示す図である。
【図9】インストールプログラムDBの構成例を示す図である。
【図10】必須アプリ未インストール検出のフローチャートを示す図である。
【図11】インストールしない理由入力画面の例を示す図である。
【図12】不適合アプリ検出のフローチャートを示す図である。
【図13】不適合アプリアンインストール指示画面の例を示す図である。
【図14】指定アプリ未インストールコンピュータ一覧表示のためのフローチャートを示す図である。
【図15】対策未実施コンピュータ(危険コンピュータ)一覧表示のためのフローチャートを示す図である。
【図16】対策未実施コンピュータ(危険コンピュータ)一覧表の例を示す図である。
【図17】利用者側報告プログラムインストール時に必須アプリインストールを促すフローチャートを示す図である。
【図18】図2の構成で使用する一部のデータベースの構成を示す図である。
【図19】登録部のフローチャートを示す図である。
【図20】操作用画面の構成例を示す図である。
【図21】必須アプリDBへの登録の具体例を示す図である。
【図22】コンピュータにおける必須アプリ未インストール検出のフローチャートを示す図である。
【図23】オンラインでの必須アプリ未インストール対策のフローチャートを示す図である。
【図24】オフラインでの必須アプリ未インストール対策のフローチャートを示す図である。
【図25】コンピュータにおける不適合アプリ対策のフローチャートを示す図である。
【図26】オンラインでの不適合アプリ対策の第1のフローチャートを示す図である。
【図27】オンラインでの不適合アプリ対策の第2のフローチャートを示す図である。
【図28】オフラインでの不適合アプリ対策のフローチャートを示す図である。
【図29】コンピュータシステム管理装置におけるDB更新管理のフローチャートを示す図である。
【図30】従来例の構成を示す図である。
【発明を実施するための形態】
【0034】
上記図1及び図2に示すコンピュータシステムのコンピュータシステム管理装置1及び各コンピュータ7はCPU,データやプログラムを格納したRAMのようなメモリ,同じくデータやプログラムを格納するハードディスクやコンパクトディスク(CD),フレキシブルディスク(FD)及びキーボードやマウス等の入力装置とディスプレイやプリンタ等の出力装置からなる入出力部を備えたコンピュータにより構成することができる。図1,図2のデータベース2はハードディスクまたはRAMに設けることができ,図1のコンピュータシステム管理装置1内のチェック部3,インストール部4及び図2のコンピュータシステム管理装置1内のチェック部3,インストールプログラム管理部40及び登録部41や,コンピュータ7内のインストールアプリ検出手段75,チェック部76,インストール・アンインストール手段77はプログラムにより構成することができる。
【0035】
上記図1のチェック部3の各手段30〜33はそれぞれコンピュータシステム管理装置1と各コンピュータ7の各プログラムにより各データベース2内の個別のデータベース20〜24を用いて実行され,以下に図3乃至図17の各フローチャート及び関係するデータベースの構成例を用いて説明する。
【0036】
図3は利用者側報告プログラムの未インストール検出のフローチャートである。このフローチャートにより表すプログラムは上記図1の利用者側報告プログラム未インストール検出手段30とインストール部4の機能に対応する。A.はコンピュータシステム管理装置のフローチャート,B.は利用者のコンピュータのフローチャートである。
【0037】
最初に,コンピュータシステム管理装置1において,セキュリティ等の管理者が管理用入出力部5(図1)から「利用者側報告プログラムインストールの徹底」を指示すると(図2のS1),コンピュータシステム管理装置1はコンピュータ情報管理データベース21(図1)内の装置番号−利用者側報告プログラム有無対応表(後述する図6の21a参照)より,利用者側報告プログラムのインストールの「有無」の表示が「無」であるコンピュータ識別子を取り出し,利用者側報告プログラムが未インストールである各コンピュータ識別子を格納した利用者側報告プログラム未インストールコンピュータ表(図示せず)を作成し(図3のS2),利用者側報告プログラム未インストールコンピュータ表に格納された各利用者(後述する図6のメールアドレス表21bを参照して,各利用者のメールアドレス)宛に「利用者側報告プログラムインストール指示メール」を送信する(図3のS3)。
【0038】
宛先の各コンピュータ(利用者のコンピュータ)でこのメールを開封すると(図3のS10),インストール指示画面がコンピュータの表示装置(図示省略)に表示される。このインストール指示画面の例を図4に示す。この画面の,「あなたのコンピュータには,次の必須アプリがインストールされていません。」に続く「A:○○を○○するためのソフトウェア」の中の,前の○○に「利用者側報告プログラム」を,後の○○に「コンピュータを危険から守るための」を設定して表示される。
【0039】
コンピュータの利用者が,「インストールする」を指定(クリック)すると,そのアプリのインストールプログラム(コンピュータシステム管理装置1のデータベース2内の「利用者側報告プログラム」インストールプログラム)が格納されたアドレスが指定される(図3のS11)。コンピュータでは,そのアドレスが指定されたか判別し,指定されないとコンピュータにおける処理を終了するが,指定されるとインストール依頼がコンピュータシステム管理装置1宛てに送信される(図3のS12)。
【0040】
これを受けたコンピュータシステム管理装置1はコンピュータから指示された利用者側報告プログラムインストールプログラムを取り出して送信すると(図3のS4),コンピュータでは,送られてきた利用者側報告プログラムのインストールプログラムを実行する(図3のS13)。これにより,利用者側報告プログラムは自コンピュータ情報(当該コンピュータの識別子,使用者,部門等を含む)及びこのコンピュータにインストールされた各種アプリケーションの名称(またはファイル名)を示すインストール済みアプリ情報を送信する(図3のS14)。このコンピュータからの情報をコンピュータシステム管理装置1で受け取ると,装置番号−利用者側報告プログラム有無対応表(図6の21a)の該当する位置に「有」にして,送られてきた「自コンピュータ情報」をコンピュータ情報管理データベース21のコンピュータ情報表(後述する図6の21c参照)に登録すると共にインストール済みアプリ表(後述する図6の21d参照)に登録する。
【0041】
上記のコンピュータシステム管理装置1のステップS3ではメールにより,インストール指示を送信しているが,メールを使わずに利用者側報告プログラム未インストールのコンピュータに対し個別に,利用者側報告プログラムのインストールを指示する画面を送信し,コンピュータ側から入力した結果を受け取るようにしても良い。
【0042】
ここで,データベース(図1の2)内に設けられた個別のデータベース(以下,DBという)である装置番号管理DB(図1の20),コンピュータ情報管理DB(図1の21),必須アプリDB(図1の22),不適合アプリDB(図1の23),インストールプログラムDB(図1の24)の具体的な構成例を図5〜図9を用いて説明する。
【0043】
図5は装置番号管理DBの構成例を示す。装置番号とは組織の財産に対して管理のために割り付けられる番号であり財産番号とも呼ばれ,コンピュータシステムを運用する組織の財産管理に使用される。図5の20aは装置番号管理テーブルであり,各装置番号に対応して,品目,所在(設置位置),部門,管理者,使用者等が登録されている。また20bは装置番号−コンピュータ識別子テーブルであり,各装置番号に対応して付与されたコンピュータ識別子(コンピュータ名)が登録されている。
【0044】
図6はコンピュータ情報管理DBの構成例であり,5つの表が設けられている。21aは装置番号−利用者側報告プログラム有無対応表であり,装置番号管理テーブル(図5)から装置番号とコンピュータ識別子を参照して作成し,装置番号に対応して「利用者側報告プログラム」のインストールの有無と,コンピュータ識別子(図6の21aに登録)が設定され,デフォルト値は「無」にし,利用者側報告プログラムがインストールされると「有」に書き換えられる。21bはコンピュータシステムを運用する組織が管理するメールアドレス表であり,各コンピュータの使用者のメールアドレスが登録される。
【0045】
図6の21cはコンピュータ情報表であり,「利用者側報告プログラム」がコンピュータにインストールされた時に,そのコンピュータから受信する「自コンピュータ情報」が登録され(上記図3のS14,S5参照),コンピュータ識別子に対応して,使用者,部門等が登録される。21dはインストール済みアプリ表であり,各コンピュータの「利用者側報告プログラム」からインストールされているソフトウェアを示す「インストール済みアプリ情報」が送られてくるとソフトウェア名などに変換して,各コンピュータ識別子に対応して登録され,図に示すA,B,D,…はそれぞれソフトウェア名を表す。21eは後述する処理で使用する未インストール理由表であり,各コンピュータに対し,インストールを促した際にインストールを拒否した時にコンピュータから送られてくる未インストールの理由が登録される。
【0046】
図7は必須アプリDBの構成例であり,コンピュータシステムの運営組織が運営方針に基づき,運営に必須のコンピュータソフトウェアを決定し,予めそのソフトウェア名など識別できるものが登録される。具体的にはコンピュータシステムのセキュリティを確保するための各種のソフト(アプリ)であり,データを暗号化して保存するための暗号化ソフト,ウィルス対策をとったメールソフト等がある。
【0047】
図8は不適合アプリDBの構成例であり,各必須アプリ名毎にこれと同時にインストールして動作させた場合に,エラーが起こって本来の機能を達成できなくなって,適合性に問題があるアプリが登録される。不適合の原因としては,同じ資源への同時アクセス等がある。
【0048】
図9はインストールプログラムDBの構成例であり,A.は必須アプリインストールプログラムDBであり,必須アプリ名毎にそれぞれのプログラム(ファイル)であるインストール実行プログラムが格納され,B.は利用者側報告プログラムインストールプログラムDBであり,利用者側報告プログラムのインストールプログラムであり,これを実行することでコンピュータに利用者側報告プログラムがインストールされる。なお,この利用者側報告プログラムをコンピュータにインストールされた後,このプログラムはコンピュータで,電源をオンにした時や,予め決められた周期毎に実行されると,自コンピュータにインストールされた各アプリをコンピュータシステム管理装置に送信する。この機能は,上記図30に示す従来例の技術(電源断の時に報告)とは報告する時点が異なるだけで同様の手法である。
【0049】
図10は必須アプリ未インストール検出のフローチャートである。このフローチャートにより表すプログラムは上記図1の必須アプリ未インストール検出手段31に対応する。A.はコンピュータシステム管理装置(図1の1)のフローチャート,B.は利用者のコンピュータ(図1の7)のフローチャートである。
【0050】
最初にコンピュータ(図1の7)において,コンピュータ起動時等に利用者側報告プログラムが,自コンピュータにインストールされているアプリケーションを検出し,コンピュータシステム管理装置に送信すると(図10のS10),コンピュータシステム管理装置1では受信したインストール・アプリ情報をコンピュータ情報管理DB(図6参照)内のインストール済みアプリ表21dに登録する(図10のS1)。コンピュータシステム管理装置では,そのインストール・アプリ情報を必須アプリDB(図7参照)と照合するため,必須アプリDBの先頭から順に取り出し(図10のS2),未照合の必須アプリがあるか判別し(同S3),ある場合はその必須アプリはインストールされているか判別し(同S4),インストールされているとS2に戻り次の必須アプリについて同様の処理を行う。ステップS4でインストールされてないと判別されると,未インストール理由表(図6の21e参照)に正当な理由が登録されているか判別し(図10のS5),正当な理由が登録されてない場合は,「インストール指示画面」をコンピュータに送信する(図10のS5)。この「インストール指示画面」は,上記図4に示すものと同じ構成である。なお,未インストール理由表には,コンピュータ側の利用者がインストールしない理由を入力すると対応する番号が設定され,別に正当な理由に対応する番号をテーブルに登録しておくことにより,上記図10のS5における正当な理由か否かの判別をする。
【0051】
コンピュータ側では,コンピュータシステム管理装置から送られた「インストール指示画面」を表示し(図10のS11),その画面の中の「インストールする」ボタンが利用者によりクリックされたか判別し(同S12),クリックされると,「インストール依頼」をコンピュータシステム管理装置に対し送信される(同S13)。このインストール依頼を受けたコンピュータシステム管理装置は,依頼された必須アプリのインストールプログラムをコンピュータに送信する(図10のS7)。そのインストールプログラムを受け取ったコンピュータはインストールプログラムを実行する(図10のS14)。コンピュータにおける上記ステップS12の判断で,「インストールする」のボタンがクリックされない場合(「インストールしない」がクリックされると),インストールしない理由の入力画面が表示される。
【0052】
ここでは利用者にインストールするか否かを問い,その結果によりインストールを行う例を説明したが,問い合わせることなく無断でインストールを行っても良い。
【0053】
図11はインストールしない理由入力画面の例であり,aは対象となるソフトウェアの名称と機能を表し,bは理由の項目を選択させるか,その他の理由の時に文字入力を行う領域を表し,cは入力指示のボタン,dは前の画面に戻るためのボタンを表す。
【0054】
図11の画面に対して「インストールしない理由」を入力するか(図10のS15),S14でインストールを実行すると,インストール済み通知またはインストールしない理由をコンピュータシステム管理装置に送信する(同S16)。コンピュータシステム管理装置ではインストール済みアプリ(図6のインストール済みアプリ表21d)を更新またはインストールしない理由(図6の未インストール理由表21e)を更新(または登録)し(図10のS8),S2に戻る。
【0055】
図12は不適合アプリ検出のフローチャートである。このフローチャートにより表すプログラムは上記図1の不適合アプリ検出手段32に対応する。A.はコンピュータシステム管理装置(図1の1)のフローチャート,B.は利用者のコンピュータ(図1の7)のフローチャートである。
【0056】
最初にコンピュータ(図1の7)において,利用者側報告プログラムが,自コンピュータにインストールされているアプリケーションを検出し,コンピュータシステム管理装置に送信し(図12のS10),コンピュータシステム管理装置1で受信したインストール・アプリ情報をコンピュータ情報管理DB(図6参照)内のインストール済みアプリ表21dに登録する(図12のS1)。続いて,コンピュータシステム管理装置で,インストールされている各必須アプリについてインストールアプリ情報と不適合アプリDB(図8参照)を照合するため,インストールされた必須アプリを順に一つ取り出し(図12のS2),未照合のインストールされた必須アプリがあるか判別し(同S3),なければ終了するが,あると不適合アプリを順に一つ取り出す(同S4)。この時未照合の不適合アプリがあるか判別し(図12のS5),なければS2に戻り,ある場合は不適合アプリはインストールされているか判別し(同S6),インストールされてないとS4に戻るが,インストールされていると「不適合アプリアンインストール指示画面」をコンピュータに送信する(同S7)。
【0057】
これを受け取ったコンピュータで「不適合アプリアンインストール指示画面」を表示する(図12のS11)。図13に不適合アプリアンインストール指示画面の例を示す。この画面では,不適合アプリ名を画面のaの部分に表示し,これと不適合な必須アプリがbに表示され,「アンインストールする」のボタンcと「アンインストールしない」のボタンdのいずれかを選択できる。
【0058】
図13の画面に対して「アンインストールする」のボタンを利用者がクリックしたか判別し(図12のS12),クリックした場合はアンインストールが実行され(同S13),S13の後,またはS12でアンインストールボタンがクリックされないと,アンインストール済み通知またはアンインストール拒否通知をコンピュータシステム管理装置へ送信する(同S14)。コンピュータシステム管理装置でこれを受け取ると,インストール済みアプリ表(図6の21d)を更新または何もせず先に進み(図12のS8),ステップS4に戻る。こうして,ステップS3で未照合のインストールされた必須アプリがなくなるまで同様の処理が実行される。図12では,不適合アプリを必須アプリに対して不適合なアプリとしてアンインストールの処理を行うフローチャートを説明したが,不適合アプリを組織の対策に不適合なアプリととらえ,不適合なアプリのリストを不適合アプリDBとし,必須アプリのインストール状態と関係なくアンインストールするべきアプリとして処理してもよい。その中には,ゲームソフトのような企業などの業務以外のアプリが含が含まれる。また,その他にセキュリティ上穴のある安全性の低い危険なソフト等を含めることができる。
【0059】
ここでは,利用者にアンインストールするが否かを問い,その結果によりアンインストールを行う例を説明したが,問い合わせることなく無断でアンインストールを行っても良い。
【0060】
図14は指定アプリ未インストールコンピュータ一覧表示のフローチャートである。このフローチャートにより表すプログラムは上記図1の指定アプリ未インストールコンピュータ一覧表示手段33に対応し,コンピュータシステム管理装置(図1の1)において実行される。
【0061】
最初に,管理者がコンピュータシステム管理装置に「指定アプリ未インストールコンピュータ一覧表示」を指示して,「アプリ名」を入力すると(図14のS1),コンピュータシステム管理装置はインストール済みアプリ表(図6の21d)を参照し,上から順に未参照のコンピュータを一つずつ取り出し(図14のS2),未照合のコンピュータがあるか判別し(同S3),ある場合はそのコンピュータに指定されたアプリがインストールされているか判別する(同S4)。インストールされているとS2に戻り次のコンピュータについて同様の処理を行い,インストールされてないと指定アプリ未インストールコンピュータ表(図示省略)に登録し(図14のS5),S2に戻る。こうして,順番に各コンピュータについて照合が終了すると,S3においてノーと判別されると指定アプリ未インストールコンピュータ表を管理用入出力部(図1の5)に表示する(図14のS6)。
【0062】
コンピュータシステムの管理者はコンピュータシステムのセキュリティ対策として,現在のシステムを構成する各コンピュータにセキュリティに必要なアプリ(必須アプリ)がインストールされているかを知る必要がある。そのため図15に示す対策未実施コンピュータ(危険コンピュータ)一覧表示のフローチャートが実行される。
【0063】
図15において,セキュリティの管理者が,コンピュータシステム管理装置の管理用入出力部から「セキュリティ対策未実施コンピュータ一覧表示」を指示すると(図15のS1),コンピュータシステム管理装置は,コンピュータ情報管理DBの装置番号−利用者側報告プログラム有無対応表(図6の21a)より利用者側報告プログラムのインストール有無が「無」のコンピュータ識別子を取り出し,利用者側報告プログラム未インストールコンピュータ表(図示せず)を作成する(図15のS2)。次にコンピュータ情報表(図6の21c)に登録されている各コンピュータについて,インストール済みアプリ表(図6の21d)と必須アプリDB(図7)を照合するため,未照合のコンピュータの識別子を順に一つずつ取り出す(図15のS3)。ここで,未照合のコンピュータがあるか判別し(同S4),ある場合は全ての必須アプリがインストールされているか判別し(同S5),全てインストールされている場合はステップS3に戻り次のコンピュータについての処理を行い,全ての必須アプリがインストールされてないと,必須アプリ未インストール表に登録し(同S6),次のコンピュータについてステップS3に戻る。こうして,未照合のコンピュータがなくなって,ステップS4でノーと判定されると,利用者側報告プログラム未インストールコンピュータ表と必須アプリ未インストール表を表示する(図15のS7)。
【0064】
この図15のステップS7による表示は,対策未実施コンピュータ(または危険コンピュータ)一覧表示と呼び,この表示に使用する対策未実施コンピュータ(危険コンピュータ)一覧表の例を図16に示す。図16のA.は「利用者側報告プログラム」未インストールコンピュータ表でコンピュータ名,使用者名,メールアドレス,部門名等が構成される。図16のB.は「必須アプリ」未インストール表で,コンピュータ名,必須アプリ名(未インストール),インストールしない理由,使用者名,部門名等で構成される。これらの2つの表は,コンピュータ情報管理DB(図6)内に一時的に作成されて表示に利用される。
【0065】
上記図3に示すフローチャートでは,コンピュータシステム管理装置において利用者側報告プログラムが未インストールのコンピュータを検出すると,未インストールコンピュータ表を作成して該当するコンピュータに対して利用者側報告プログラムのインストール指示のメールを送って,順番にインストールする処理を行い,図10に示すフローチャートでは,必須アプリ未インストールのコンピュータをコンピュータシステム管理装置が検出すると,必須アプリのインストール指示をコンピュータに送信して,必須アプリをインストールするようにしていたが,利用者側報告プログラムのインストールと必須アプリのインストールを同時に行うようにすることができる。
【0066】
図17は利用者側報告プログラムインストール時に必須アプリインストールを促すフローチャートである。最初に,コンピュータ側で利用者側報告プログラムをインストールするため,利用者側報告プログラムインストールのアドレスをクリックすると(図17のS10),これを受けるコンピュータシステム管理装置は「利用者側報告プログラムインストールプログラム」をコンピュータに送信する(同S1)。コンピュータ側では送られてきた「利用者側報告プログラムインストールプログラム」を実行し(同S11),利用者側報告プログラムは,自コンピュータ情報,インストールアプリ情報をコンピュータシステム管理装置へ送信する(同S12)。コンピュータシステム管理装置でコンピュータからの情報を受け取ると,装置番号−利用者側報告プログラム有無対応表を「有」にし,自コンピュータ情報をコンピュータ情報管理DBのコンピュータ情報表(図6の21c)に登録し,インストールアプリ情報をインストール済みアプリ表(図6の21d)に登録する(図17のS2)。次に必須アプリ表とインストールアプリを照合するため,必須アプリ表の未照合の必須アプリを一つずつとり出し(図17のS3),未照合の必須アプリがあるか判別し(同S4),ない場合は終了するが,ある場合はインストールされていない必須アプリか判別する(同S5)。インストールされていない必須アプリでなければ,ステップS3に戻って次の必須アプリについて同様の処理を行うが,インストールされていない必須アプリである場合は「必須アプリインストール指示画面」を送信する(同S6)。この画面は上記図4と同様の内容でありコンピュータ側で表示され(図17のS13),利用者が「インストールする」ボタンをクリックしたか判別し(同S14),クリックした場合はインストール依頼をコンピュータシステム管理装置に送信する(同S16)。これを受けたコンピュータシステム管理装置がインストールプログラムを送信すると(図17のS7),コンピュータ側ではインストールアプリを実行する(同S17)。コンピュータにおける上記ステップS14の判別において,「インストールする」のボタンがクリックされないと,インストールしない理由を入力させて(図17のS15),その後コンピュータ側では上記ステップS17に続く処理と同様に,インストール済み通知またはインストールしない理由をコンピュータシステム管理装置へ送信する(同S18)。コンピュータシステム管理装置ではこれを受信すると,インストール済みアプリ表を更新または未インストール理由表に登録し(図17のS8),S3に戻る。
【0067】
図18〜図28は上記図2に示す本発明の第2の原理構成に対応する実施例の構成であり,クライアント側のコンピュータにおける処理を中心として示し,コンピュータシステム管理装置(以下,管理装置という)と接続されているとオンライン処理を行う。
【0068】
図18は図2で使用する一部のデータベースの構成を示し,A.は図2のサーバ側の管理装置に設けられたデータベース(DB)であるアクセスログDB,B.も図2の管理装置に設けられた全アプリリストDBであり,管理装置の中の他の必須アプリDBは上記図7と同じであり,インストールプログラムDBは上記図9と同じである。C.は管理装置とコンピュータの両方に備えられた不適合アプリDB(図2の23と73),D.はクライアント側のコンピュータに設けられたインストール済みアプリDB(図2の74)の構成である。なお,不適合アプリDBは上記図1に示す管理装置に設けたものは上記図8に示すように,必須アプリに対して不適合であるアプリだけを対象としているが,図2の構成の不適合アプリDB23と73は図18のC.に示すように,必須アプリに対して不適合であるアプリを不適合アプリ1として登録するだけでなく,コンピュータシステムを保持する組織(会社)の正常な運営上不適切なアプリも不適合アプリ2として登録されている。
【0069】
図19は登録部のフローチャートであり,上記図2(図1も含む)の登録部41で実行される。なお,この登録部の処理では登録したものを解除する処理も含む。
【0070】
コンピュータシステム管理装置(以下,単に管理装置という)1の管理用入出力部に表示されたメニューから管理者が行いたい登録処理を選択する(図19のS1)。なお,そのメニューには「必須アプリDB登録処理」,「不適合アプリDB登録処理」,「インストール順/アンインストール順登録処理」(コンピュータに対する必須アプリのインストールの順番及び不適合アプリのアンインストールの順番を登録する処理),または「コンピュータ別適用登録処理」(複数の各コンピュータ別に必須アプリや不適合アプリの適用を登録する処理)の4つの登録の中の何れかであり,選択された処理が何かを判別する(図19のS2)。必須アプリDBの登録処理が選択されると,「必須アプリDB登録処理画面」を表示し(図19のS3),管理者は画面中の「全アプリリスト」の中から登録するアプリを選択するか,登録解除(取消)するアプリを選択する。必須アプリDB登録の画面は図20に示す操作用画面の構成例のa.に示す。このa.の例ではアプリケーション名のA,Bが登録すべきアプリとして選択されている。「全アプリリスト」中に含まれていないアプリの場合は,アプリの名称を入力し,最後に登録ボタンをクリックする(同S4)。続いて選択された必須アプリのインストールプログラムがインストールプログラムDBに格納されているか否かをチェックし,格納されていない必須アプリがあれば,格納するよう別画面で表示し(図19のS5),選択された必須アプリの中でインストールプログラムがインストールプログラムDBに格納されているものについて必須アプリDBに登録する(同S6)。必須アプリの登録は,後述する図19の登録部のフローチャートにより行われる。
【0071】
不適合アプリDB登録処理が選択されると,「不適合アプリDB登録処理画面」を表示し(図19のS7),管理者は画面中の「全アプリリスト」の中から不適合アプリとして登録するアプリを選択するか,登録解除するアプリを選択する。「全アプリリスト」中に含まれていないアプリの場合は,アプリの名称を入力し,最後に登録ボタンをクリックし(図19のS8),選択された不適合アプリについて不適合アプリDBに登録する(同S9)。ここで「全アプリリスト」は,図2に示す全アプリリストDB25から取得して表示したものであり,組織向けとされる著名なアプリケーションのリストである。
【0072】
インストール順/アンインストール順登録処理が選択された場合,「必須アプリ一覧画面」または「不適合アプリ一覧画面」を表示し(図19のS10),管理者がインストールを行う順番に必須アプリを選択するか,アンインストールする順番に不適合アプリを選択し,最後に登録ボタンをクリックし(同S11),選択された順番を必須アプリDBまたは不適合アプリDBに登録する(同S12)。後述する図21に必須アプリDBにインストール順を登録した具体例を示す。
【0073】
コンピュータ別適用登録処理が選択されると,コンピュータ選択画面を表示し(図19のS13),管理者が必須アプリまたは不適合アプリを適用させるコンピュータを選択する(同S14)。次に「必須アプリ一覧画面」または「不適合アプリ一覧画面」を表示すると(図19のS15),管理者は選択したコンピュータに適用する必須アプリまたは不適合アプリを選択し,最後に登録ボタンをクリックすると(同S16),選択したコンピュータ名と必須アプリまたは不適合アプリを,必須アプリDBまたは不適合アプリDBに登録する(同S17)。
【0074】
図21は必須アプリDBへの登録の具体例を示す。図21のaは必須アプリリストであり,登録された必須アプリ名が登録されている。また,インストール順番が上記図19において「インストール順登録処理」を選択して登録された例を示す。このようにインストール順番が登録された場合,クライアント側のコンピュータに対して図21のdに示すように登録された順番(C,A,B,D)に必須アプリDB(図2の72)に登録される。
【0075】
図21のbはコンピュータ別適用必須アプリリストの例を示し,上記図19において,「コンピュータ別適用登録処理」を選択して登録された例を示し,各コンピュータ識別子(tiger とleo)に対して適用する必須アプリが登録されている。なお,図21のcは,必須アプリ別適用コンピュータリストの具体例を示し,図21のbに示すコンピュータ別適用必須アプリリストの形式で登録するかcの形式で登録するか何れか一方でもよい。しかし,両方を備えることにより,コンピュータ別の適用必須アプリリスト,必須アプリ別の適用コンピュータリストの参照が容易に行えるため,両方を備えるようにしてもよい。なお,図21には不適合アプリDBの登録の例を示していないが,図21に示す必須アプリの場合と同様である。
【0076】
図22はコンピュータにおける必須アプリ未インストール検出のフローチャートである。最初にコンピュータシステム管理装置(単に管理装置)に接続を試み(図22のS1),ネットワークに接続しているか判別し(同S2),接続されていると必須アプリ未インストール対策オンライン処理(後述する図23)を行い(同S3),接続されていないと必須アプリ未インストール対策オフライン処理(後述する図24)を行う(同S4)。
【0077】
図23はオンラインでの必須アプリ未インストール対策のフローチャートであり,コンピュータ側において実行され,起動時等に,コンピュータの必須アプリ未インストール検出手段(図2の76a)は,管理装置の必須アプリDB(図2の22)から必須アプリのリストを取得し(図23のa),自クライアントの必須アプリDB(図2の72)に記憶する(図23のS1)。次にインストール済みアプリDB(図2の74)と必須アプリDB(図2の72)を照合するため,必須アプリDBの先頭から順に一つ取り出し(図23のS2),未照合の必須アプリがあるか判別し(同S3),ある場合は,その必須アプリがインストールされているか(インストール済みDBに入っているか)を判別し(同S4),インストールされていればステップS2に戻り,インストールされてないと「未インストール必須アプリリスト」(図2のチェック部76内の図示省略されたメモリ領域)に追加して(図23のS5),S2に戻る。
【0078】
全ての必須アプリについての照合が終了すると,ステップS6で未インストール必須アプリがあるか判別し,あれば入出力部(図2の78)に「必須アプリ未インストール通知画面」を表示し,利用者がOKの指示を行うと,管理装置に未インストールの必須アプリがある旨を報告する(図23のS7,b)。必須アプリ未インストール通知画面は図20のbに示す。次に「未インストール必須アプリ一覧画面」を表示する(図23のS8)。その「未インストール必須アプリ一覧画面」の例を図20のcに示す。この「未インストール必須アプリリスト」の先頭から順に一つずつ取り出し(同S9),未処理の必須アプリがあるか判別し(同S10),ない場合は後述するS16に移行し,ある場合は「インストール指示画面」を表示する(同S11)。この画面には「インストール」ボタンが表示され,ここで,「インストールボタン」を指定したか判別し(図23のS12),入力されないとS9に戻るが,入力された場合,「インストールプログラム取得依頼」を管理装置に対し送信する(同S13,c)。
【0079】
管理装置でこれを受け取ってインストールプログラムをコンピュータに送信すると(図23のS20,d),これを受け取ったコンピュータではインストールプログラムを実行し(同S14),インストール済みアプリDB(図2の74)を更新し(同S15),S9に戻る。上記ステップS6で未インストール必須アプリがないと判別されるか,ステップS10で未処理の必須アプリがないと判別されると,インストール済アプリDBからインストール済みアプリリストを管理装置に送信する(図23のS16,e)。管理装置ではこれを受け取ると,インストール済みアプリリストをコンピュータ情報管理DB(図2の21)に格納する(図23のS21)。
【0080】
図24はオフラインでの必須アプリ未インストール対策のフローチャートであり,コンピュータ単独で実行される。コンピュータ起動時等に,インストール済みアプリDBと必須アプリDBを照合するため,必須アプリDBの先頭から順に一つ取り出し(図24のS1),未照合の必須アプリがあるか判別し(同S2),ある場合はインストールされているか判別し(同S3),インストールされている場合はステップS1に戻り,インストールされていない場合は「未インストール必須アプリリスト」に追加して(同S4)S1に戻る。ステップS2において未照合の必須アプリがない(全て照合した)場合は,未インストール必須アプリがあるか判別し(図24のS5),なければ終了するが,ある場合は「必須アプリ未インストール通知画面」を入出力部(図2の78)に表示し,利用者が「OK」を指示すると(図24のS6),「未インストール必須アプリ一覧画面」を表示して(同S7),終了する。
【0081】
この未インストール必須アプリはオフラインであると入手できないため,コンピュータをオンライン状態になった時に,上記図23のS7以下の処理によりインストールすることかできる。また,オフラインのままでも,記録媒体(FDやCD等)に複写したものをこのコンピュータで読み出してインストールすることもできる。
【0082】
図25はコンピュータにおける不適合アプリ対策のフローチャートである。最初にコンピュータシステム管理装置(単に管理装置)に接続を試み(図25のS1),ネットワークに接続しているか判別し(同S2),接続されているとオンラインでの不適合アプリ対策処理(後述する図26,図27)を行い(同S3),接続されていないとオフラインでの不適合アプリ対策オフライン処理(後述する図28)を行う(同S4)。
【0083】
オンラインでの不適合アプリ対策処理には,2つの処理方法があり,図26のオンラインでの不適合アプリ対策の第1のフローチャートは,必須アプリに対する不適合アプリが設定されている場合に対応し,図27のオンラインでの不適合アプリ対策の第2のフローチャートは必須アプリに対する不適合アプリだけでなく,組織(会社)の正常な運営に不適切な各種のアプリを不適合アプリとして処理する場合に対応する。
【0084】
図26ではクライアントであるコンピュータにおいて,コンピュータの不適合アプリ検出手段は,オンラインで動作する管理装置の不適合アプリDB(図2の23)から不適合アプリリストを取得し(図26のa),自クライアントの不適合アプリDB(図2の73)に記憶し(図26のS1),インストールされている各必須アプリについてインストール済みアプリDB(図2の74)と不適合アプリDBを照合するため,インストールされた必須アプリを順に一つ取り出し(図26のS2),未照合のインストールされた必須アプリがあるか判別する(同S3)。ある場合は,不適合アプリを順に一つ取り出し(図26のS4),未照合の不適合アプリがあるか判別し(同S5),なければステップS2に戻り,あると不適合アプリはインストールされているか判別し(同S6),インストールされていなければ後述するS4に戻り,インストールされている場合はインストール不適合アプリリストに追加する(同S7)。
【0085】
未照合のインストールされた必須アプリがなくなると,ステップS8に移行し,不適合アプリはインストールされているか判別し,インストールされている場合は「不適合アプリインストール通知画面」(上記図20のbと同様)を表示し,利用者がOKをクリックすると管理装置に不適合アプリインストールを報告し(図26のS9,b),「インストール不適合アプリ一覧画面」を表示する(同S10)。その画面は図20のcと同様である。このインストール不適合アプリリストの先頭から順に一つずつ取り出し(図26のS11),未処理の不適合アプリがあるか判別し(同S12),ない場合は後述するステップS17へ移行し,ある場合は「不適合アプリアンインストール指示画面」を表示し(同S13),「アンインストールボタン」を利用者がクリックしたか判別する(同S14)。クリックしない場合はステップS11へ移行し,クリックすると該当する不適合アプリのアンインストールを実行し(同S15),インストール済みアプリDBを更新して(図26のS16),ステップS11へ移行し,ステップS12で未処理の不適合アプリがないと判別されると,インストール済みアプリDBからインストール済みアプリリストを管理装置に送信する(同S17,c)。管理装置ではインストール済みアプリリストをコンピュータ情報管理DB(図2の21)中のインストール済みアプリ表(図6の21d)に格納する(図26のS20)。
【0086】
図27ではクライアントであるコンピュータにおいて,コンピュータの不適合アプリ検出手段は,オンラインで動作する管理装置の不適合アプリDB(図2の23)から不適合アプリリストを取得し,自クライアントの不適合アプリDBに記憶する(図27のS1,a)。次にインストール済みアプリDBと不適合アプリDBを照合するため,不適合アプリDBから不適合アプリを順に一つずつ取り出し(図27のS2),未照合の不適合アプリがあるか判別し(同S3),なければステップS6に移行し,ある場合は不適合アプリはインストールされているか判別し,インストールされてなければステップS2に戻り,インストールされていると,「インストール不適合アプリリスト」に追加して(同S5),S2に戻る。
【0087】
ステップS3において未照合の不適合アプリがないことが分かると,不適合アプリはインストールされているか判別し(図27のS6),インストールされてない場合は後述するステップS15に移行し,インストールされていると「不適合アプリインストール通知画面」を表示し,利用者かOKをクリックすると1理装置に不適合アプリインストールを報告する(図27のS7,b)。「インストール不適合アプリ一覧画面」を表示し(同S8),「インストール不適合アプリリスト」の先頭から順に一つずつ取り出し(図27のS9),未処理の不適合アプリはあるか判別し(同S10),ない場合は後述するステップS15に移行し,ある場合は「不適合アプリアンインストール指示画面」を表示する(同S11)。ここで「アンインストールボタン」を利用者がクリックしたか判別し(同S12),クリックしないとS9に戻り,クリックした場合はアンインストールが実行され(同S13),インストール済みアプリDBを更新し(同S14),ステップS9に戻る。未処理の不適合アプリがなくなると,インストール済みアプリDBからインストール済みアプリリストを管理装置に送信する(同S15,c)。管理装置では,インストール済みアプリリストをコンピュータ情報管理DB中のインストール済みアプリ表に格納する(図27のS20)。
【0088】
図28はオフラインでの不適合アプリ対策のフローチャートである。クライアント側のコンピュータがオフラインの状態で,インストールされている各必須アプリについてインストール済みアプリDBと不適合アプリDBを照合するため,インストールされた必須アプリを順に一つ取り出し(図28のS1),未照合のインストールされた必須アプリがあるか判別し(同S2),ある場合は不適合アプリを順に一つ取り出し(同S3),未照合の不適合アプリがあるか判別し(同S4),なければS1に戻り,ある場合は不適合アプリはインストールされているか判別する(同S5)。インストールされてなければS3に戻り,インストールされている場合は,「インストール不適合アプリリスト」に追加する(同S6)。
【0089】
ステップS2で未照合のインストールされた必須アプリがないと判別されると,不適合アプリはインストールされているか判別し(図28のS7),なければ終了するが,ある場合は「不適合アプリインストール通知画面」を表示し,利用者が「OK」をクリックすると(同S8),「インストール不適合アプリ一覧画面」を表示する(同S9)。次にインストール不適合アプリリストの先頭から順に一つずつ取り出し(図28のS10),未処理の不適合アプリがあるか判別し(同S11),ある場合には「不適合アプリアンインストール指示画面」を表示し(同S12),「アンインストールボタン」を利用者がクリックしたか判別する(同S13)。利用者がクリックしないとS10に戻り,クリックした場合,指示されたアンインストールが実行され(図28のS14),インストール済みアプリDBを更新する(同S15)。S11において未処理の不適合アプリがなくなると処理を終了する。
【0090】
図29は管理装置におけるDB更新管理のフローチャートである。この処理は,コンピュータシステム管理装置において実行され,最初に日時を取得し(図29のS1),次に必須アプリDBまたは不適合アプリDBを更新した日時を各DBの管理情報から取得する(同S2)。この更新日時から現在までN日(予め設定した期間)経過したかの判別をし(図29のS3),経過してなければ終了するが,経過したその日であった場合は更新後アクセスのあったマシン(コンピュータ)名リストを作成する(同S4)。このリストは,アクセスログDB(図2の21a)を参照することにより作成する。次にコンピュータ情報管理DB(図2の21)のコンピュータ情報表(図6の21c)の先頭からマシン名を一つずつ取り出し(図29のS5),未照合のマシン名があるか判別し(同S6),ない場合は終了し,ある場合は,更新後アクセス有マシン名リスト(このリストは上記ステップS4でコンピュータ情報管理DB内に作成される)に記載があるか判別し(同S6),記載があればS5に戻り,記載がないと必須アプリDBから必須アプリリストまたは不適合アプリDBから不適合アプリリストをメールに添付してマシン(コンピュータ)の使用者に送付する(同S8)。なお,このS8では必須アプリリストまたは不適合アプリリストをメールに添付してマシンに送信しているが,その他の方法として,可搬型の記録媒体(FDやCD,またはDVD等)に記録して,その記録媒体を各コンピュータに移送して再生する方法等がある。
【産業上の利用可能性】
【0091】
本発明は複数のコンピュータがネットワークにより接続されたコンピュータシステムにおいて各コンピュータがコンピュータシステムへのウィルス,ハッカー等によるデータの破壊や,情報の漏洩等に対するセキュリティを維持して管理するという用途に適用して有効に利用することができる。
【符号の説明】
【0092】
1 コンピュータシステム管理装置
2 データベース
20 装置番号管理データベース(DB)
21 コンピュータ情報管理データベース(DB)
22 必須アプリデータベース(DB)
23 不適合アプリデータベース(DB)
24 インストールプログラムデータベース(DB)
3 チェック部
30 利用者側報告プログラム未インストール検出手段
31 必須アプリ未インストール検出手段
32 不適合アプリ検出手段
33 指定アプリ未インストールコンピュータ一覧表示手段
4 インストール部
5 管理用入出力部
6 通信手段
7 コンピュータ
70 インストールアプリ格納部
71 利用者側報告プログラム
8 外部接続手段
【技術分野】
【0001】
本発明は,複数のコンピュータがネットワークにより接続されたコンピュータシステムのセキュリティに必須の対策が確実に講じられるよう管理するコンピュータシステム管理のプログラム,コンピュータシステム管理装置,コンピュータシステムの管理方法に関する。
【背景技術】
【0002】
複数のコンピュータがネットワークにより接続されたコンピュータシステムは,企業,地方,国等の公共団体,研究機関,学校等の種々の組織に設けられ,運営されている。
【0003】
このようなコンピュータシステムでは,各コンピュータのそれぞれに同様のアプリケーション(ソフトウェア)を備えることが求められ,特にウィルス,ハッカー等によるデータの破壊や,情報の漏洩等のさまざまな危険に対してそれぞれのコンピュータが同じ対策を取っている(同じ対策ソフトをそれぞれのコンピュータが備えている)状態を保証することが必要である。
【0004】
従来の複数のコンピュータからなるコンピュータシステムにおけるソフトウェア管理の技術の例として「ソフトウェア導入管理システム」(特許文献1参照)がある。その構成を従来例の構成として図30に示す。図中,80は管理用計算機,81は各ソフトウェア毎のソフトウェア名とそのソフトウェアを構成するに必要な全ファイル名との対応を表に示すソフトウェア構成表,82はソフトウェア登録部,83は管理用計算機80により管理される複数の利用者用計算機,84は各利用者用計算機83に備えられたファイル名通知部,85は各利用者用計算機83同士,利用者用計算機83と管理用計算機80の間及び利用者用計算機83と外部との通信を行うための通信手段である。
【0005】
各利用者のパソコン等の利用者用計算機83は,その使用ごとの,例えば電源切断指示を契機としてファイル名通知部84を起動し,その計算機に蓄積しているファイル名を管理用計算機80に転送する。管理用計算機は,各パソコンで導入が予想されるソフトウェアについて各ソフトウェアを構成するファイル(プログラム)の名前を登録したソフトウェア構成表81を参照して,各利用者用計算機83から送られてきたファイル名からソフトウェア名を推定し,各利用者用計算機83に導入されているソフトウェア名としてソフトウェア登録部82に登録する。これにより,各利用者用計算機83に導入されているソフトウェアのソフトウェア名を人為的な漏れや誤りを生じることなく自動的に収集して管理することができる。
【0006】
ところが,この技術では各パソコンにインストールされたソフトウェア(アプリケーション)をまとめて一度に見ることができるが,システムにとって必要な各種のセキュリティのアプリケーションがインストールされているのか,またはコンピュータの使用者が独自にインストールしたアプリケーションが他のアプリケーションと適合しない場合があった場合にも,多数(例えば,1000台)のコンピュータで構成されていると,直ちに判断することが困難である。
【0007】
近年,コンピュータに対してウィルス,ハッカー等によるデータ破壊,秘密情報の漏洩等の危険に対向して,防衛するためのソフトウェア,例えば,ウィルス対策ソフトウェア,外部からの攻撃に対する安全度の高いソフトウェア,盗難に備えた暗号化ソフトウェア等が次々に開発され市販されるようになった。これらの対策ソフトは,さまざまな企業からばらばらに個別の製品として販売されており,全ての機能を備えた総合的なソフトは存在せず,危険を防止したい組織は,それらの個別の製品をおのおの選択して導入していた。したがって,一つのコンピュータ上に複数の対策ソフトをインストールし,動作させることが必要になっている。しかし,組織としては対策ソフトの導入を行い危険を回避したつもりでいても,セキュリティの方針どうり実施されていれば危険は回避されるが,組織の管理が不徹底で対策ソフトをインストールせずに放置されたコンピュータが一つでもあれば,そのコンピュータが被害に会い,組織全体の安全と信頼が失われるという問題がある。
【0008】
また,市販のソフト製品を複数のパソコンにインストールして,ソフトウェアのライセンス管理(ソフトウェアのライセンス契約されたインストール可能なパソコン台数の管理)をするソフトがある。そのソフトでは,各パソコンにインストールされたソフトウェア名を一元管理すると共に,各ソフトウェアのライセンス数のデータベースを備え,管理者は簡単に,各ソフトウェアがライセンス数以上の違法コピーをされていないか把握できる。このソフトは付加機能として,一定の期間毎にある特定のOSについて新たに発見された欠陥を埋めるためのパッチプログラムとある特定のウィルス対策ソフトのパターンファイルについて前回調べた時点よりファイル作成日付が新しくなっているかどうかを調べ,新しくなっていないときにパソコンの画面にアラームを表示する付加機能を持っている。ところが,そのような付加機能には指定した任意のソフト(インストールすべきものとして指定したソフトウェア,プログラム)についてアラームをあげるものではなかった。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】特許第3409370号特許公報
【発明の概要】
【発明が解決しようとする課題】
【0010】
上記したように従来の複数のコンピュータがLAN等のネットワークにより接続されたコンピュータシステムでは,組織の運営に必須のソフトが各コンピュータに確実にインストールされていることを確認し,不必要なソフトの存在を検出することは困難であり,特に膨大な数のコンピュータ(例えば,1000台)が設けられたコンピュータシステムについて各コンピュータのソフトについてセキュリティを保証することは難しかった。
【0011】
本発明は,この問題を解決し複数のコンピュータからなるコンピュータシステムのセキュリティに必須のソフト(アプリケーション)が各コンピュータに確実にインストールされるよう管理し,インストールされてない場合にインストールを実施させることができるコンピュータシステム管理のプログラム,コンピュータシステム管理装置,コンピュータシステムの管理方法を提供することを目的とする。
【0012】
本発明は,利用者のコンピュータから管理装置にインストールプログラムを報告する利用者側報告プログラムが各コンピュータにインストールされるよう管理することや,各コンピュータの利用者がインストールしたソフトが他のソフトと適合しないものを検出したり,必要なソフトや,特定の指定したソフトのインストールを検出することを可能にすること等を他の目的とする。
【0013】
本発明は,必須のソフトがインストールされてないと自律的にインストールを行い,必須のソフトに対し不適合なソフトがインストールされていることを検出するだけでなく,必須のソフト以外のソフトに対し不適合なソフトやコンピュータシステムを運営する組織(企業)の正常な運営に不適合なソフト(例えば,ゲームソフト,セキュリティ上穴のある安全性の低い危険なソフト等)も検出して,それらのソフトをアンインストールすることを可能にすることを他の目的とする。
【0014】
更に,必須のソフトがインストールされてない状態を検出してそれらのソフトをインストールすることや,不適合ソフトがインストールされていることを検出してそれらをアンインストールすることをコンピュータシステム管理装置(サーバ側)で行うだけでなく,個別のコンピュータ(クライアント側)においてオンラインで単独で行うだけでなくオフラインでも可能にすることを他の目的とする。
【課題を解決するための手段】
【0015】
上記問題を解決するため,本発明は,予めコンピュータシステムを保有する組織により運営に必須のソフトウェア(単に,ソフトという)を決めて,コンピュータシステム管理装置に登録し,各コンピュータにはそれぞれにインストールされたアプリケーションプログラム(単に,アプリという)をコンピュータシステムのコンピュータシステム管理装置に報告する機能を実行する利用者側報告プログラムをインストールしておき,各コンピュータからコンピュータシステムからの報告を受けて各コンピュータにインストールされたソフトを収集して,必須アプリの未インストールや,不適合アプリの検出を行い,必須アプリがインストールされてないコンピュータや,特定のアプリがインストールされてないコンピュータを検出して表示することができる。
【0016】
また,本発明は,上記のコンピュータシステム管理装置において必須アプリが未インストールであったことを検出すると,強制的にその未インストールの必須アプリをインストールさせ,不適合アプリ(必須アプリに対して不適合なアプリだけでなく,それ以外のアプリに対して不適合なアプリや,コンピュータシステムの正常な運営に不適合なアプリ(ゲームソフト,セキュリティ上穴のある安全性の低い危険なソフト等)を含む)が検出されると該当するアプリをアンインストールする。
【0017】
更に,本発明は,コンピュータシステム管理装置と通信手段で接続された各コンピュータ側に必須アプリや不適合アプリを登録して,各コンピュータ側で必須アプリの未インストールの検出や,不適合アプリのインストールの検出を行って,必須アプリのインストールや,不適合アプリのアンインストールをオンラインで直ちに実行させ,オフラインのコンピュータでもできるようにした。
【0018】
図1は本発明の第1の原理構成を示し,図2は本発明の第2の原理構成を示す。
【0019】
図1において,1は管理対象の複数のコンピュータのセキュリティ対策や各コンピュータが保有するソフト(アプリ)の管理を行うコンピュータシステムのサーバとして機能するコンピュータシステム管理装置,2はデータベース,20はコンピュータシステムを構成する各コンピュータが設置された場所(フロア),部門,使用者等が登録された装置番号管理データベース(DB),21は各装置番号のコンピュータに関する各種の情報(コンピュータ利用者,各コンピュータの利用者側報告プログラムのインストール状況,各コンピュータのインストール済みアプリのリスト等)を格納したコンピュータ情報管理データベース(DB),22は各コンピュータに必須のアプリのリストを格納した必須アプリデータベース(DB),23は複数のソフトウェアを同時にインストールして動作させた場合にエラーが起こり本来の機能を達成できない,必須アプリと不適合なソフト( 不適合アプリという)のリストを格納した不適合アプリデータベース(DB)である。なお,この不適合アプリデータベース23には,更に,必須アプリ以外のアプリに対して不適合なアプリ及びコンピュータシステムを保持する組織(企業等)の運営上で不適合なアプリのリストも含むことができる。24は各コンピュータにインストールすべき必須アプリインストールプログラムと利用者側報告プログラムインストールプログラムが格納されたインストールプログラムデータベース(DB)である。
【0020】
3はセキュリティ対策のためのアプリケーションのインストールの状態を管理するためのチェック部,30は利用者側報告プログラム未インストール検出手段,31は必須アプリ未インストール検出手段,32は不適合アプリ検出手段,33は指定アプリ未インストールコンピュータ一覧表示手段,4はコンピュータに対して要求されたアプリをインストールするインストール部である。
【0021】
5は入力部(キーボード等)と出力部(ディスプレイ等)を備えた管理用入出力部,6はコンピュータシステム管理装置1と複数のコンピュータ(後述する7)や,サーバ(図示されない)や,外部のネットワーク(公衆網,専用線等)と通信を行うための外部接続手段8等を相互に接続するLAN(ローカルエリアネットワーク)等の通信手段,7は例えばLANのような通信手段6により相互に接続された多数の利用者のクライアントとして動作するコンピュータを表し,各コンピュータ7には図示されないがCPU,データやプログラムを記憶するメモリ,ハードディスク,入出力装置等が設けられている。70,71はコンピュータ7内のメモリの一部を表し,70はインストールされたアプリ(アプリケーションプログラムと同義)を格納したインストールアプリ格納部,71は実行すると自コンピュータ内にインストールされた全てのアプリをコンピュータシステム管理装置1に報告(または通知)する機能を備える利用者側報告プログラムである。8はコンピュータシステム管理装置1,通信手段6,複数のコンピュータ7とで構成するシステムと外部のネットワークを接続する外部接続手段であり,ルータ,ファイアウォール,サーバ,IDS(イントルージョン・ディテクション・システム:侵入検出システム)等のセキュリティ手段を備える。
【0022】
図1の第1の原理構成において,コンピュータシステム管理装置1のチェック部3の利用者側報告プログラム未インストール検出手段30でコンピュータ情報管理データベース21を参照して,各コンピュータの装置番号に対応した利用者側報告プログラムインストール有無のリストから,利用者側報告プログラムがインストールされてないコンピュータ7があるかチェックし,ある場合はインストール部4を駆動して該当するコンピュータ7に対しインストールプログラムデータベース24に格納された利用者側報告プログラムのインストールプログラムを実行させる。次に,必須アプリ未インストール検出手段31によりコンピュータ情報管理データベース21を参照して,各コンピュータの装置番号に対応したインストール済みのアプリのリストに,必須アプリデータベース22に格納された必須アプリがインストールされているかチェックし,未インストールのアプリがあると,その未インストールのアプリをインストールプログラムデータベース24から,該当するコンピュータ7に対しインストールするようインストール部4を駆動する。
【0023】
また,コンピュータシステム管理装置1のチェック部3の不適合アプリ検出手段32も一定周期または管理用入出力部5の指示により駆動されると,コンピュータ情報管理データベース21に格納された各コンピュータ7にインストールされた各アプリに対して,不適合なアプリが一緒にインストールされているか,不適合アプリデータベース23に格納されたリストを参照してチェックを行う。この不適合アプリ検出手段32により不適合なアプリを検出すると,当該コンピュータ7に対して不適合アプリのアンインストールを促す通知を行い,これを受けたコンピュータにおいてアンインストールを行わせる。また,指定アプリ未インストールコンピュータ一覧表示手段33は,管理用入出力部5において,指定したアプリ(利用者側報告プログラム,必須アプリ及び特定のプログラム等)がインストールされてないコンピュータ(装置番号または名称)を検出して一覧を,管理用入出力部5の出力部に表示する。
【0024】
なお,上記利用者側報告プログラム未インストール検出手段30により,あるコンピュータで利用者側報告プログラムが未インストールであることを検出して,利用者側報告プログラムを該当するコンピュータにインストール時,同時に上記必須アプリ未インストール検出手段31によりそのコンピュータに必須アプリが未インストールであることが検出された場合,利用者側報告プログラムと共に未インストールの必須アプリもインストールするよう促すことができる。
【0025】
上記図1の第1の原理構成では,サーバ側のコンピュータシステム管理装置1が主体となって,複数のクライアントのコンピュータ7にインストールされたアプリケーションプログラムのチェックを行って,必須アプリの未インストールを検出時のインストールや,不適合アプリを検出時のアンインストールの処理はサーバ側の制御で行っていたが,サーバ側に負荷がかかり,更にクライアントのコンピュータがオンライン状態でないと上記の機能を実現できない。これに対応するため,クライアント側のコンピュータが主体となって,それぞれがオンラインまたはオフラインで同様の機能を実現できるようにしたのが図2に示す第2の原理構成である。
【0026】
図2において,1〜3,5〜7の各符号の各部は上記図1の同一符号と同じであり説明を省略する。また,コンピュータシステム管理装置1のデータベース2の内部の20〜24は図1の同一符号の各部と同じ名称であり,不適合アプリDB23には上記図1について説明した通り必須アプリに対して不適合なアプリだけでなく,コンピュータシステムを運営する組織(会社)の正常な運営に不適合な各種のアプリ(例えば,ゲームソフト,セキュリティ上穴のある安全性の低い危険なソフト等)のリストが格納されている。また,コンピュータ情報管理データベース(DB)21の内部の21aはクライアントの各コンピュータ7からのアクセス(主として必須アプリDB22や不適合アプリDB23へのアクセス)の記録データを格納するアクセスログデータベース(DB),25はコンピュータシステムの組織向けに使用される著名なアプリケーションのリストが格納された全アプリリストデータベースである。チェック部3の利用者側報告プログラム未インストール検出手段30と指定アプリケーション未インストールコンピュータ一覧表示手段33は上記図1と同じであり,34は各コンピュータ7が備えるデータベースの更新を管理するデータベース(DB)更新管理手段である。40はインストールプログラムデータベース24のインストールプログラムを管理するインストールプログラム管理部,41はデータベース2の必須アプリデータベース22,不適合アプリデータベース23に対して必須アプリや不適合アプリを登録する処理を行う登録部である。
【0027】
コンピュータ7は,通信手段6を介してコンピュータシステム管理装置1と接続してオンラインで処理を行うか,またはオフラインで独立して動作する。コンピュータ7内の70はインストールされたプログラムを格納したインストールアプリ格納部,72は必須アプリのリストを格納した必須アプリデータベース(DB),73は不適合アプリのリストを格納した不適合アプリデータベース(DB),74はインストール済みアプリのリストを格納したインストール済みアプリデータベース(DB)である。75は自コンピュータにインストールされたアプリを検出するインストールアプリ検出手段である。76はチェック部であり,76aは必須アプリ未インストール検出手段,76bは不適合アプリ検出手段,77はインストール・アンインストール手段,78はコンピュータ7に設けられた入出力部である。
【0028】
図2の構成では,インストールアプリ検出手段75はインストールされたインストールアプリ格納部70に格納されたアプリケーションプログラムを検出して,リストをインストール済みアプリデータベース74に格納する。コンピュータ7をサーバ側であるコンピュータシステム管理装置1と通信手段6を介して接続してオンラインの状態で,コンピュータシステム管理装置1のデータベース2に格納された必須アプリデータベース22と不適合アプリデータベース23にアクセスして,格納された各DBリストをコンピュータ7に複写(ダウンロード)する。この必須アプリDB22や不適合アプリDB23にアクセスをしたコンピュータ7の情報はアクセス日時,コンピュータ名(マシン名)をアクセスログDB21aに記録しておく。この記録は,各コンピュータに最新の必須アプリ,不適合アプリの情報が登録されているかチェックするのに利用される。
【0029】
なお,オンラインにより必須アプリのリストと不適合アプリのリストが取得できない場合はコンピュータシステム管理装置1でCD(コンパクトディスク)やFD(フレキシブルディスク)等の記録媒体に複写して,各コンピュータ7で読み出して各データベース72,73に格納することができる。コンピュータ7のチェック部76が一定周期または入出力部78からの指示により駆動されると,必須アプリ未インストール検出手段76aが,必須アプリデータベース72に格納されたリストの各必須アプリについてインストール済みアプリデータベース74のリストと照合し,全てインストール済みであれば良いが,インストール済みのリストに含まれてない必須アプリが検出されると,入出力部78に未インストールの必須アプリのリストを表示し,インストール・アンインストール手段77にも通知する。同様に不適合アプリ検出手段76bは不適合アプリデータベース73に格納された不適合アプリのリストの各アプリについてインストール済みアプリデータベース74のリストと照合し,一致するアプリを検出するとその不適合アプリのリストを入出力部78に表示し,インストール・アンインストール手段77に対しその不適合アプリを通知する。
【0030】
インストール・アンインストール手段77は,チェック部76からのチェック結果により起動するか,または入出力部78からの指示の何れかにより起動し,チェック部76から不適合アプリを受け取ると,インストールアプリ格納部70からその不適合アプリをオフラインでアンインストールする。また,必須アプリ未インストール検出手段76aから必須アプリを通知されると,コンピュータ7を通信手段6を介してサーバのコンピュータシステム管理装置1と接続してオンラインの状態にすることで,必須アプリを指定してインストールを要求すると,インストールプログラム管理部40によりインストールプログラムデータベース24から該当する必須アプリを取り出して,コンピュータ7に転送しインストールアプリ格納部70にインストールする。なお,コンピュータシステム管理装置1で,未インストールの必須アプリをインストールプログラム管理部40の制御により可搬型の記録媒体(FDやCD)に複写して,コンピュータ7でその記録媒体からインストールすることで,オフラインで必須アプリをインストールすることができる。または,コンピュータシステム管理装置1を操作する管理者が必須アプリケーションの原本を貸し出して原本である記録媒体からインストールすることができる。
【発明の効果】
【0031】
本発明の第1の原理構成によりコンピュータシステムの各コンピュータに,コンピュータシステム管理装置に対しインストールされたアプリを繰り返し報告させて,コンピュータシステム管理装置に必須アプリを予め保持して各コンピュータからの報告されたアプリに必須のアプリケーションがインストールされてるかのチェックをし,またインストールされたアプリの中に不適合なアプリがあることを検出することで,コンピュータのエラー発生を防止し,コンピュータシステムのセキュリティを保証することができる。
【0032】
また,本発明の第2の原理構成により,クライアント側のコンピュータ側で,サーバのコンピュータシステム管理装置とは独立して,必須アプリの未インストールを検出したり,コンピュータの運用上に不都合な各種の不適合アプリ(必須アプリに対して不適合なアプリだけでない)がインストールされていることを検出することができ,未インストールが検出された必須アプリをすみやかにインストールし,不適合アプリが検出されたら直ちにアンインストールする処理を行うことができ,サーバ側とは独立して各コンピュータのセキュリティを保証することが可能となる。
【図面の簡単な説明】
【0033】
【図1】本発明の第1の原理構成を示す図である。
【図2】本発明の第2の原理構成を示す図である。
【図3】利用者側報告プログラムの未インストール検出のフローチャートを示す図である。
【図4】インストール指示画面の例を示す図である。
【図5】装置番号管理DBの構成例を示す図である。
【図6】コンピュータ情報管理DBの構成例を示す図である。
【図7】必須アプリDBの構成例を示す図である。
【図8】不適合アプリDBの構成例を示す図である。
【図9】インストールプログラムDBの構成例を示す図である。
【図10】必須アプリ未インストール検出のフローチャートを示す図である。
【図11】インストールしない理由入力画面の例を示す図である。
【図12】不適合アプリ検出のフローチャートを示す図である。
【図13】不適合アプリアンインストール指示画面の例を示す図である。
【図14】指定アプリ未インストールコンピュータ一覧表示のためのフローチャートを示す図である。
【図15】対策未実施コンピュータ(危険コンピュータ)一覧表示のためのフローチャートを示す図である。
【図16】対策未実施コンピュータ(危険コンピュータ)一覧表の例を示す図である。
【図17】利用者側報告プログラムインストール時に必須アプリインストールを促すフローチャートを示す図である。
【図18】図2の構成で使用する一部のデータベースの構成を示す図である。
【図19】登録部のフローチャートを示す図である。
【図20】操作用画面の構成例を示す図である。
【図21】必須アプリDBへの登録の具体例を示す図である。
【図22】コンピュータにおける必須アプリ未インストール検出のフローチャートを示す図である。
【図23】オンラインでの必須アプリ未インストール対策のフローチャートを示す図である。
【図24】オフラインでの必須アプリ未インストール対策のフローチャートを示す図である。
【図25】コンピュータにおける不適合アプリ対策のフローチャートを示す図である。
【図26】オンラインでの不適合アプリ対策の第1のフローチャートを示す図である。
【図27】オンラインでの不適合アプリ対策の第2のフローチャートを示す図である。
【図28】オフラインでの不適合アプリ対策のフローチャートを示す図である。
【図29】コンピュータシステム管理装置におけるDB更新管理のフローチャートを示す図である。
【図30】従来例の構成を示す図である。
【発明を実施するための形態】
【0034】
上記図1及び図2に示すコンピュータシステムのコンピュータシステム管理装置1及び各コンピュータ7はCPU,データやプログラムを格納したRAMのようなメモリ,同じくデータやプログラムを格納するハードディスクやコンパクトディスク(CD),フレキシブルディスク(FD)及びキーボードやマウス等の入力装置とディスプレイやプリンタ等の出力装置からなる入出力部を備えたコンピュータにより構成することができる。図1,図2のデータベース2はハードディスクまたはRAMに設けることができ,図1のコンピュータシステム管理装置1内のチェック部3,インストール部4及び図2のコンピュータシステム管理装置1内のチェック部3,インストールプログラム管理部40及び登録部41や,コンピュータ7内のインストールアプリ検出手段75,チェック部76,インストール・アンインストール手段77はプログラムにより構成することができる。
【0035】
上記図1のチェック部3の各手段30〜33はそれぞれコンピュータシステム管理装置1と各コンピュータ7の各プログラムにより各データベース2内の個別のデータベース20〜24を用いて実行され,以下に図3乃至図17の各フローチャート及び関係するデータベースの構成例を用いて説明する。
【0036】
図3は利用者側報告プログラムの未インストール検出のフローチャートである。このフローチャートにより表すプログラムは上記図1の利用者側報告プログラム未インストール検出手段30とインストール部4の機能に対応する。A.はコンピュータシステム管理装置のフローチャート,B.は利用者のコンピュータのフローチャートである。
【0037】
最初に,コンピュータシステム管理装置1において,セキュリティ等の管理者が管理用入出力部5(図1)から「利用者側報告プログラムインストールの徹底」を指示すると(図2のS1),コンピュータシステム管理装置1はコンピュータ情報管理データベース21(図1)内の装置番号−利用者側報告プログラム有無対応表(後述する図6の21a参照)より,利用者側報告プログラムのインストールの「有無」の表示が「無」であるコンピュータ識別子を取り出し,利用者側報告プログラムが未インストールである各コンピュータ識別子を格納した利用者側報告プログラム未インストールコンピュータ表(図示せず)を作成し(図3のS2),利用者側報告プログラム未インストールコンピュータ表に格納された各利用者(後述する図6のメールアドレス表21bを参照して,各利用者のメールアドレス)宛に「利用者側報告プログラムインストール指示メール」を送信する(図3のS3)。
【0038】
宛先の各コンピュータ(利用者のコンピュータ)でこのメールを開封すると(図3のS10),インストール指示画面がコンピュータの表示装置(図示省略)に表示される。このインストール指示画面の例を図4に示す。この画面の,「あなたのコンピュータには,次の必須アプリがインストールされていません。」に続く「A:○○を○○するためのソフトウェア」の中の,前の○○に「利用者側報告プログラム」を,後の○○に「コンピュータを危険から守るための」を設定して表示される。
【0039】
コンピュータの利用者が,「インストールする」を指定(クリック)すると,そのアプリのインストールプログラム(コンピュータシステム管理装置1のデータベース2内の「利用者側報告プログラム」インストールプログラム)が格納されたアドレスが指定される(図3のS11)。コンピュータでは,そのアドレスが指定されたか判別し,指定されないとコンピュータにおける処理を終了するが,指定されるとインストール依頼がコンピュータシステム管理装置1宛てに送信される(図3のS12)。
【0040】
これを受けたコンピュータシステム管理装置1はコンピュータから指示された利用者側報告プログラムインストールプログラムを取り出して送信すると(図3のS4),コンピュータでは,送られてきた利用者側報告プログラムのインストールプログラムを実行する(図3のS13)。これにより,利用者側報告プログラムは自コンピュータ情報(当該コンピュータの識別子,使用者,部門等を含む)及びこのコンピュータにインストールされた各種アプリケーションの名称(またはファイル名)を示すインストール済みアプリ情報を送信する(図3のS14)。このコンピュータからの情報をコンピュータシステム管理装置1で受け取ると,装置番号−利用者側報告プログラム有無対応表(図6の21a)の該当する位置に「有」にして,送られてきた「自コンピュータ情報」をコンピュータ情報管理データベース21のコンピュータ情報表(後述する図6の21c参照)に登録すると共にインストール済みアプリ表(後述する図6の21d参照)に登録する。
【0041】
上記のコンピュータシステム管理装置1のステップS3ではメールにより,インストール指示を送信しているが,メールを使わずに利用者側報告プログラム未インストールのコンピュータに対し個別に,利用者側報告プログラムのインストールを指示する画面を送信し,コンピュータ側から入力した結果を受け取るようにしても良い。
【0042】
ここで,データベース(図1の2)内に設けられた個別のデータベース(以下,DBという)である装置番号管理DB(図1の20),コンピュータ情報管理DB(図1の21),必須アプリDB(図1の22),不適合アプリDB(図1の23),インストールプログラムDB(図1の24)の具体的な構成例を図5〜図9を用いて説明する。
【0043】
図5は装置番号管理DBの構成例を示す。装置番号とは組織の財産に対して管理のために割り付けられる番号であり財産番号とも呼ばれ,コンピュータシステムを運用する組織の財産管理に使用される。図5の20aは装置番号管理テーブルであり,各装置番号に対応して,品目,所在(設置位置),部門,管理者,使用者等が登録されている。また20bは装置番号−コンピュータ識別子テーブルであり,各装置番号に対応して付与されたコンピュータ識別子(コンピュータ名)が登録されている。
【0044】
図6はコンピュータ情報管理DBの構成例であり,5つの表が設けられている。21aは装置番号−利用者側報告プログラム有無対応表であり,装置番号管理テーブル(図5)から装置番号とコンピュータ識別子を参照して作成し,装置番号に対応して「利用者側報告プログラム」のインストールの有無と,コンピュータ識別子(図6の21aに登録)が設定され,デフォルト値は「無」にし,利用者側報告プログラムがインストールされると「有」に書き換えられる。21bはコンピュータシステムを運用する組織が管理するメールアドレス表であり,各コンピュータの使用者のメールアドレスが登録される。
【0045】
図6の21cはコンピュータ情報表であり,「利用者側報告プログラム」がコンピュータにインストールされた時に,そのコンピュータから受信する「自コンピュータ情報」が登録され(上記図3のS14,S5参照),コンピュータ識別子に対応して,使用者,部門等が登録される。21dはインストール済みアプリ表であり,各コンピュータの「利用者側報告プログラム」からインストールされているソフトウェアを示す「インストール済みアプリ情報」が送られてくるとソフトウェア名などに変換して,各コンピュータ識別子に対応して登録され,図に示すA,B,D,…はそれぞれソフトウェア名を表す。21eは後述する処理で使用する未インストール理由表であり,各コンピュータに対し,インストールを促した際にインストールを拒否した時にコンピュータから送られてくる未インストールの理由が登録される。
【0046】
図7は必須アプリDBの構成例であり,コンピュータシステムの運営組織が運営方針に基づき,運営に必須のコンピュータソフトウェアを決定し,予めそのソフトウェア名など識別できるものが登録される。具体的にはコンピュータシステムのセキュリティを確保するための各種のソフト(アプリ)であり,データを暗号化して保存するための暗号化ソフト,ウィルス対策をとったメールソフト等がある。
【0047】
図8は不適合アプリDBの構成例であり,各必須アプリ名毎にこれと同時にインストールして動作させた場合に,エラーが起こって本来の機能を達成できなくなって,適合性に問題があるアプリが登録される。不適合の原因としては,同じ資源への同時アクセス等がある。
【0048】
図9はインストールプログラムDBの構成例であり,A.は必須アプリインストールプログラムDBであり,必須アプリ名毎にそれぞれのプログラム(ファイル)であるインストール実行プログラムが格納され,B.は利用者側報告プログラムインストールプログラムDBであり,利用者側報告プログラムのインストールプログラムであり,これを実行することでコンピュータに利用者側報告プログラムがインストールされる。なお,この利用者側報告プログラムをコンピュータにインストールされた後,このプログラムはコンピュータで,電源をオンにした時や,予め決められた周期毎に実行されると,自コンピュータにインストールされた各アプリをコンピュータシステム管理装置に送信する。この機能は,上記図30に示す従来例の技術(電源断の時に報告)とは報告する時点が異なるだけで同様の手法である。
【0049】
図10は必須アプリ未インストール検出のフローチャートである。このフローチャートにより表すプログラムは上記図1の必須アプリ未インストール検出手段31に対応する。A.はコンピュータシステム管理装置(図1の1)のフローチャート,B.は利用者のコンピュータ(図1の7)のフローチャートである。
【0050】
最初にコンピュータ(図1の7)において,コンピュータ起動時等に利用者側報告プログラムが,自コンピュータにインストールされているアプリケーションを検出し,コンピュータシステム管理装置に送信すると(図10のS10),コンピュータシステム管理装置1では受信したインストール・アプリ情報をコンピュータ情報管理DB(図6参照)内のインストール済みアプリ表21dに登録する(図10のS1)。コンピュータシステム管理装置では,そのインストール・アプリ情報を必須アプリDB(図7参照)と照合するため,必須アプリDBの先頭から順に取り出し(図10のS2),未照合の必須アプリがあるか判別し(同S3),ある場合はその必須アプリはインストールされているか判別し(同S4),インストールされているとS2に戻り次の必須アプリについて同様の処理を行う。ステップS4でインストールされてないと判別されると,未インストール理由表(図6の21e参照)に正当な理由が登録されているか判別し(図10のS5),正当な理由が登録されてない場合は,「インストール指示画面」をコンピュータに送信する(図10のS5)。この「インストール指示画面」は,上記図4に示すものと同じ構成である。なお,未インストール理由表には,コンピュータ側の利用者がインストールしない理由を入力すると対応する番号が設定され,別に正当な理由に対応する番号をテーブルに登録しておくことにより,上記図10のS5における正当な理由か否かの判別をする。
【0051】
コンピュータ側では,コンピュータシステム管理装置から送られた「インストール指示画面」を表示し(図10のS11),その画面の中の「インストールする」ボタンが利用者によりクリックされたか判別し(同S12),クリックされると,「インストール依頼」をコンピュータシステム管理装置に対し送信される(同S13)。このインストール依頼を受けたコンピュータシステム管理装置は,依頼された必須アプリのインストールプログラムをコンピュータに送信する(図10のS7)。そのインストールプログラムを受け取ったコンピュータはインストールプログラムを実行する(図10のS14)。コンピュータにおける上記ステップS12の判断で,「インストールする」のボタンがクリックされない場合(「インストールしない」がクリックされると),インストールしない理由の入力画面が表示される。
【0052】
ここでは利用者にインストールするか否かを問い,その結果によりインストールを行う例を説明したが,問い合わせることなく無断でインストールを行っても良い。
【0053】
図11はインストールしない理由入力画面の例であり,aは対象となるソフトウェアの名称と機能を表し,bは理由の項目を選択させるか,その他の理由の時に文字入力を行う領域を表し,cは入力指示のボタン,dは前の画面に戻るためのボタンを表す。
【0054】
図11の画面に対して「インストールしない理由」を入力するか(図10のS15),S14でインストールを実行すると,インストール済み通知またはインストールしない理由をコンピュータシステム管理装置に送信する(同S16)。コンピュータシステム管理装置ではインストール済みアプリ(図6のインストール済みアプリ表21d)を更新またはインストールしない理由(図6の未インストール理由表21e)を更新(または登録)し(図10のS8),S2に戻る。
【0055】
図12は不適合アプリ検出のフローチャートである。このフローチャートにより表すプログラムは上記図1の不適合アプリ検出手段32に対応する。A.はコンピュータシステム管理装置(図1の1)のフローチャート,B.は利用者のコンピュータ(図1の7)のフローチャートである。
【0056】
最初にコンピュータ(図1の7)において,利用者側報告プログラムが,自コンピュータにインストールされているアプリケーションを検出し,コンピュータシステム管理装置に送信し(図12のS10),コンピュータシステム管理装置1で受信したインストール・アプリ情報をコンピュータ情報管理DB(図6参照)内のインストール済みアプリ表21dに登録する(図12のS1)。続いて,コンピュータシステム管理装置で,インストールされている各必須アプリについてインストールアプリ情報と不適合アプリDB(図8参照)を照合するため,インストールされた必須アプリを順に一つ取り出し(図12のS2),未照合のインストールされた必須アプリがあるか判別し(同S3),なければ終了するが,あると不適合アプリを順に一つ取り出す(同S4)。この時未照合の不適合アプリがあるか判別し(図12のS5),なければS2に戻り,ある場合は不適合アプリはインストールされているか判別し(同S6),インストールされてないとS4に戻るが,インストールされていると「不適合アプリアンインストール指示画面」をコンピュータに送信する(同S7)。
【0057】
これを受け取ったコンピュータで「不適合アプリアンインストール指示画面」を表示する(図12のS11)。図13に不適合アプリアンインストール指示画面の例を示す。この画面では,不適合アプリ名を画面のaの部分に表示し,これと不適合な必須アプリがbに表示され,「アンインストールする」のボタンcと「アンインストールしない」のボタンdのいずれかを選択できる。
【0058】
図13の画面に対して「アンインストールする」のボタンを利用者がクリックしたか判別し(図12のS12),クリックした場合はアンインストールが実行され(同S13),S13の後,またはS12でアンインストールボタンがクリックされないと,アンインストール済み通知またはアンインストール拒否通知をコンピュータシステム管理装置へ送信する(同S14)。コンピュータシステム管理装置でこれを受け取ると,インストール済みアプリ表(図6の21d)を更新または何もせず先に進み(図12のS8),ステップS4に戻る。こうして,ステップS3で未照合のインストールされた必須アプリがなくなるまで同様の処理が実行される。図12では,不適合アプリを必須アプリに対して不適合なアプリとしてアンインストールの処理を行うフローチャートを説明したが,不適合アプリを組織の対策に不適合なアプリととらえ,不適合なアプリのリストを不適合アプリDBとし,必須アプリのインストール状態と関係なくアンインストールするべきアプリとして処理してもよい。その中には,ゲームソフトのような企業などの業務以外のアプリが含が含まれる。また,その他にセキュリティ上穴のある安全性の低い危険なソフト等を含めることができる。
【0059】
ここでは,利用者にアンインストールするが否かを問い,その結果によりアンインストールを行う例を説明したが,問い合わせることなく無断でアンインストールを行っても良い。
【0060】
図14は指定アプリ未インストールコンピュータ一覧表示のフローチャートである。このフローチャートにより表すプログラムは上記図1の指定アプリ未インストールコンピュータ一覧表示手段33に対応し,コンピュータシステム管理装置(図1の1)において実行される。
【0061】
最初に,管理者がコンピュータシステム管理装置に「指定アプリ未インストールコンピュータ一覧表示」を指示して,「アプリ名」を入力すると(図14のS1),コンピュータシステム管理装置はインストール済みアプリ表(図6の21d)を参照し,上から順に未参照のコンピュータを一つずつ取り出し(図14のS2),未照合のコンピュータがあるか判別し(同S3),ある場合はそのコンピュータに指定されたアプリがインストールされているか判別する(同S4)。インストールされているとS2に戻り次のコンピュータについて同様の処理を行い,インストールされてないと指定アプリ未インストールコンピュータ表(図示省略)に登録し(図14のS5),S2に戻る。こうして,順番に各コンピュータについて照合が終了すると,S3においてノーと判別されると指定アプリ未インストールコンピュータ表を管理用入出力部(図1の5)に表示する(図14のS6)。
【0062】
コンピュータシステムの管理者はコンピュータシステムのセキュリティ対策として,現在のシステムを構成する各コンピュータにセキュリティに必要なアプリ(必須アプリ)がインストールされているかを知る必要がある。そのため図15に示す対策未実施コンピュータ(危険コンピュータ)一覧表示のフローチャートが実行される。
【0063】
図15において,セキュリティの管理者が,コンピュータシステム管理装置の管理用入出力部から「セキュリティ対策未実施コンピュータ一覧表示」を指示すると(図15のS1),コンピュータシステム管理装置は,コンピュータ情報管理DBの装置番号−利用者側報告プログラム有無対応表(図6の21a)より利用者側報告プログラムのインストール有無が「無」のコンピュータ識別子を取り出し,利用者側報告プログラム未インストールコンピュータ表(図示せず)を作成する(図15のS2)。次にコンピュータ情報表(図6の21c)に登録されている各コンピュータについて,インストール済みアプリ表(図6の21d)と必須アプリDB(図7)を照合するため,未照合のコンピュータの識別子を順に一つずつ取り出す(図15のS3)。ここで,未照合のコンピュータがあるか判別し(同S4),ある場合は全ての必須アプリがインストールされているか判別し(同S5),全てインストールされている場合はステップS3に戻り次のコンピュータについての処理を行い,全ての必須アプリがインストールされてないと,必須アプリ未インストール表に登録し(同S6),次のコンピュータについてステップS3に戻る。こうして,未照合のコンピュータがなくなって,ステップS4でノーと判定されると,利用者側報告プログラム未インストールコンピュータ表と必須アプリ未インストール表を表示する(図15のS7)。
【0064】
この図15のステップS7による表示は,対策未実施コンピュータ(または危険コンピュータ)一覧表示と呼び,この表示に使用する対策未実施コンピュータ(危険コンピュータ)一覧表の例を図16に示す。図16のA.は「利用者側報告プログラム」未インストールコンピュータ表でコンピュータ名,使用者名,メールアドレス,部門名等が構成される。図16のB.は「必須アプリ」未インストール表で,コンピュータ名,必須アプリ名(未インストール),インストールしない理由,使用者名,部門名等で構成される。これらの2つの表は,コンピュータ情報管理DB(図6)内に一時的に作成されて表示に利用される。
【0065】
上記図3に示すフローチャートでは,コンピュータシステム管理装置において利用者側報告プログラムが未インストールのコンピュータを検出すると,未インストールコンピュータ表を作成して該当するコンピュータに対して利用者側報告プログラムのインストール指示のメールを送って,順番にインストールする処理を行い,図10に示すフローチャートでは,必須アプリ未インストールのコンピュータをコンピュータシステム管理装置が検出すると,必須アプリのインストール指示をコンピュータに送信して,必須アプリをインストールするようにしていたが,利用者側報告プログラムのインストールと必須アプリのインストールを同時に行うようにすることができる。
【0066】
図17は利用者側報告プログラムインストール時に必須アプリインストールを促すフローチャートである。最初に,コンピュータ側で利用者側報告プログラムをインストールするため,利用者側報告プログラムインストールのアドレスをクリックすると(図17のS10),これを受けるコンピュータシステム管理装置は「利用者側報告プログラムインストールプログラム」をコンピュータに送信する(同S1)。コンピュータ側では送られてきた「利用者側報告プログラムインストールプログラム」を実行し(同S11),利用者側報告プログラムは,自コンピュータ情報,インストールアプリ情報をコンピュータシステム管理装置へ送信する(同S12)。コンピュータシステム管理装置でコンピュータからの情報を受け取ると,装置番号−利用者側報告プログラム有無対応表を「有」にし,自コンピュータ情報をコンピュータ情報管理DBのコンピュータ情報表(図6の21c)に登録し,インストールアプリ情報をインストール済みアプリ表(図6の21d)に登録する(図17のS2)。次に必須アプリ表とインストールアプリを照合するため,必須アプリ表の未照合の必須アプリを一つずつとり出し(図17のS3),未照合の必須アプリがあるか判別し(同S4),ない場合は終了するが,ある場合はインストールされていない必須アプリか判別する(同S5)。インストールされていない必須アプリでなければ,ステップS3に戻って次の必須アプリについて同様の処理を行うが,インストールされていない必須アプリである場合は「必須アプリインストール指示画面」を送信する(同S6)。この画面は上記図4と同様の内容でありコンピュータ側で表示され(図17のS13),利用者が「インストールする」ボタンをクリックしたか判別し(同S14),クリックした場合はインストール依頼をコンピュータシステム管理装置に送信する(同S16)。これを受けたコンピュータシステム管理装置がインストールプログラムを送信すると(図17のS7),コンピュータ側ではインストールアプリを実行する(同S17)。コンピュータにおける上記ステップS14の判別において,「インストールする」のボタンがクリックされないと,インストールしない理由を入力させて(図17のS15),その後コンピュータ側では上記ステップS17に続く処理と同様に,インストール済み通知またはインストールしない理由をコンピュータシステム管理装置へ送信する(同S18)。コンピュータシステム管理装置ではこれを受信すると,インストール済みアプリ表を更新または未インストール理由表に登録し(図17のS8),S3に戻る。
【0067】
図18〜図28は上記図2に示す本発明の第2の原理構成に対応する実施例の構成であり,クライアント側のコンピュータにおける処理を中心として示し,コンピュータシステム管理装置(以下,管理装置という)と接続されているとオンライン処理を行う。
【0068】
図18は図2で使用する一部のデータベースの構成を示し,A.は図2のサーバ側の管理装置に設けられたデータベース(DB)であるアクセスログDB,B.も図2の管理装置に設けられた全アプリリストDBであり,管理装置の中の他の必須アプリDBは上記図7と同じであり,インストールプログラムDBは上記図9と同じである。C.は管理装置とコンピュータの両方に備えられた不適合アプリDB(図2の23と73),D.はクライアント側のコンピュータに設けられたインストール済みアプリDB(図2の74)の構成である。なお,不適合アプリDBは上記図1に示す管理装置に設けたものは上記図8に示すように,必須アプリに対して不適合であるアプリだけを対象としているが,図2の構成の不適合アプリDB23と73は図18のC.に示すように,必須アプリに対して不適合であるアプリを不適合アプリ1として登録するだけでなく,コンピュータシステムを保持する組織(会社)の正常な運営上不適切なアプリも不適合アプリ2として登録されている。
【0069】
図19は登録部のフローチャートであり,上記図2(図1も含む)の登録部41で実行される。なお,この登録部の処理では登録したものを解除する処理も含む。
【0070】
コンピュータシステム管理装置(以下,単に管理装置という)1の管理用入出力部に表示されたメニューから管理者が行いたい登録処理を選択する(図19のS1)。なお,そのメニューには「必須アプリDB登録処理」,「不適合アプリDB登録処理」,「インストール順/アンインストール順登録処理」(コンピュータに対する必須アプリのインストールの順番及び不適合アプリのアンインストールの順番を登録する処理),または「コンピュータ別適用登録処理」(複数の各コンピュータ別に必須アプリや不適合アプリの適用を登録する処理)の4つの登録の中の何れかであり,選択された処理が何かを判別する(図19のS2)。必須アプリDBの登録処理が選択されると,「必須アプリDB登録処理画面」を表示し(図19のS3),管理者は画面中の「全アプリリスト」の中から登録するアプリを選択するか,登録解除(取消)するアプリを選択する。必須アプリDB登録の画面は図20に示す操作用画面の構成例のa.に示す。このa.の例ではアプリケーション名のA,Bが登録すべきアプリとして選択されている。「全アプリリスト」中に含まれていないアプリの場合は,アプリの名称を入力し,最後に登録ボタンをクリックする(同S4)。続いて選択された必須アプリのインストールプログラムがインストールプログラムDBに格納されているか否かをチェックし,格納されていない必須アプリがあれば,格納するよう別画面で表示し(図19のS5),選択された必須アプリの中でインストールプログラムがインストールプログラムDBに格納されているものについて必須アプリDBに登録する(同S6)。必須アプリの登録は,後述する図19の登録部のフローチャートにより行われる。
【0071】
不適合アプリDB登録処理が選択されると,「不適合アプリDB登録処理画面」を表示し(図19のS7),管理者は画面中の「全アプリリスト」の中から不適合アプリとして登録するアプリを選択するか,登録解除するアプリを選択する。「全アプリリスト」中に含まれていないアプリの場合は,アプリの名称を入力し,最後に登録ボタンをクリックし(図19のS8),選択された不適合アプリについて不適合アプリDBに登録する(同S9)。ここで「全アプリリスト」は,図2に示す全アプリリストDB25から取得して表示したものであり,組織向けとされる著名なアプリケーションのリストである。
【0072】
インストール順/アンインストール順登録処理が選択された場合,「必須アプリ一覧画面」または「不適合アプリ一覧画面」を表示し(図19のS10),管理者がインストールを行う順番に必須アプリを選択するか,アンインストールする順番に不適合アプリを選択し,最後に登録ボタンをクリックし(同S11),選択された順番を必須アプリDBまたは不適合アプリDBに登録する(同S12)。後述する図21に必須アプリDBにインストール順を登録した具体例を示す。
【0073】
コンピュータ別適用登録処理が選択されると,コンピュータ選択画面を表示し(図19のS13),管理者が必須アプリまたは不適合アプリを適用させるコンピュータを選択する(同S14)。次に「必須アプリ一覧画面」または「不適合アプリ一覧画面」を表示すると(図19のS15),管理者は選択したコンピュータに適用する必須アプリまたは不適合アプリを選択し,最後に登録ボタンをクリックすると(同S16),選択したコンピュータ名と必須アプリまたは不適合アプリを,必須アプリDBまたは不適合アプリDBに登録する(同S17)。
【0074】
図21は必須アプリDBへの登録の具体例を示す。図21のaは必須アプリリストであり,登録された必須アプリ名が登録されている。また,インストール順番が上記図19において「インストール順登録処理」を選択して登録された例を示す。このようにインストール順番が登録された場合,クライアント側のコンピュータに対して図21のdに示すように登録された順番(C,A,B,D)に必須アプリDB(図2の72)に登録される。
【0075】
図21のbはコンピュータ別適用必須アプリリストの例を示し,上記図19において,「コンピュータ別適用登録処理」を選択して登録された例を示し,各コンピュータ識別子(tiger とleo)に対して適用する必須アプリが登録されている。なお,図21のcは,必須アプリ別適用コンピュータリストの具体例を示し,図21のbに示すコンピュータ別適用必須アプリリストの形式で登録するかcの形式で登録するか何れか一方でもよい。しかし,両方を備えることにより,コンピュータ別の適用必須アプリリスト,必須アプリ別の適用コンピュータリストの参照が容易に行えるため,両方を備えるようにしてもよい。なお,図21には不適合アプリDBの登録の例を示していないが,図21に示す必須アプリの場合と同様である。
【0076】
図22はコンピュータにおける必須アプリ未インストール検出のフローチャートである。最初にコンピュータシステム管理装置(単に管理装置)に接続を試み(図22のS1),ネットワークに接続しているか判別し(同S2),接続されていると必須アプリ未インストール対策オンライン処理(後述する図23)を行い(同S3),接続されていないと必須アプリ未インストール対策オフライン処理(後述する図24)を行う(同S4)。
【0077】
図23はオンラインでの必須アプリ未インストール対策のフローチャートであり,コンピュータ側において実行され,起動時等に,コンピュータの必須アプリ未インストール検出手段(図2の76a)は,管理装置の必須アプリDB(図2の22)から必須アプリのリストを取得し(図23のa),自クライアントの必須アプリDB(図2の72)に記憶する(図23のS1)。次にインストール済みアプリDB(図2の74)と必須アプリDB(図2の72)を照合するため,必須アプリDBの先頭から順に一つ取り出し(図23のS2),未照合の必須アプリがあるか判別し(同S3),ある場合は,その必須アプリがインストールされているか(インストール済みDBに入っているか)を判別し(同S4),インストールされていればステップS2に戻り,インストールされてないと「未インストール必須アプリリスト」(図2のチェック部76内の図示省略されたメモリ領域)に追加して(図23のS5),S2に戻る。
【0078】
全ての必須アプリについての照合が終了すると,ステップS6で未インストール必須アプリがあるか判別し,あれば入出力部(図2の78)に「必須アプリ未インストール通知画面」を表示し,利用者がOKの指示を行うと,管理装置に未インストールの必須アプリがある旨を報告する(図23のS7,b)。必須アプリ未インストール通知画面は図20のbに示す。次に「未インストール必須アプリ一覧画面」を表示する(図23のS8)。その「未インストール必須アプリ一覧画面」の例を図20のcに示す。この「未インストール必須アプリリスト」の先頭から順に一つずつ取り出し(同S9),未処理の必須アプリがあるか判別し(同S10),ない場合は後述するS16に移行し,ある場合は「インストール指示画面」を表示する(同S11)。この画面には「インストール」ボタンが表示され,ここで,「インストールボタン」を指定したか判別し(図23のS12),入力されないとS9に戻るが,入力された場合,「インストールプログラム取得依頼」を管理装置に対し送信する(同S13,c)。
【0079】
管理装置でこれを受け取ってインストールプログラムをコンピュータに送信すると(図23のS20,d),これを受け取ったコンピュータではインストールプログラムを実行し(同S14),インストール済みアプリDB(図2の74)を更新し(同S15),S9に戻る。上記ステップS6で未インストール必須アプリがないと判別されるか,ステップS10で未処理の必須アプリがないと判別されると,インストール済アプリDBからインストール済みアプリリストを管理装置に送信する(図23のS16,e)。管理装置ではこれを受け取ると,インストール済みアプリリストをコンピュータ情報管理DB(図2の21)に格納する(図23のS21)。
【0080】
図24はオフラインでの必須アプリ未インストール対策のフローチャートであり,コンピュータ単独で実行される。コンピュータ起動時等に,インストール済みアプリDBと必須アプリDBを照合するため,必須アプリDBの先頭から順に一つ取り出し(図24のS1),未照合の必須アプリがあるか判別し(同S2),ある場合はインストールされているか判別し(同S3),インストールされている場合はステップS1に戻り,インストールされていない場合は「未インストール必須アプリリスト」に追加して(同S4)S1に戻る。ステップS2において未照合の必須アプリがない(全て照合した)場合は,未インストール必須アプリがあるか判別し(図24のS5),なければ終了するが,ある場合は「必須アプリ未インストール通知画面」を入出力部(図2の78)に表示し,利用者が「OK」を指示すると(図24のS6),「未インストール必須アプリ一覧画面」を表示して(同S7),終了する。
【0081】
この未インストール必須アプリはオフラインであると入手できないため,コンピュータをオンライン状態になった時に,上記図23のS7以下の処理によりインストールすることかできる。また,オフラインのままでも,記録媒体(FDやCD等)に複写したものをこのコンピュータで読み出してインストールすることもできる。
【0082】
図25はコンピュータにおける不適合アプリ対策のフローチャートである。最初にコンピュータシステム管理装置(単に管理装置)に接続を試み(図25のS1),ネットワークに接続しているか判別し(同S2),接続されているとオンラインでの不適合アプリ対策処理(後述する図26,図27)を行い(同S3),接続されていないとオフラインでの不適合アプリ対策オフライン処理(後述する図28)を行う(同S4)。
【0083】
オンラインでの不適合アプリ対策処理には,2つの処理方法があり,図26のオンラインでの不適合アプリ対策の第1のフローチャートは,必須アプリに対する不適合アプリが設定されている場合に対応し,図27のオンラインでの不適合アプリ対策の第2のフローチャートは必須アプリに対する不適合アプリだけでなく,組織(会社)の正常な運営に不適切な各種のアプリを不適合アプリとして処理する場合に対応する。
【0084】
図26ではクライアントであるコンピュータにおいて,コンピュータの不適合アプリ検出手段は,オンラインで動作する管理装置の不適合アプリDB(図2の23)から不適合アプリリストを取得し(図26のa),自クライアントの不適合アプリDB(図2の73)に記憶し(図26のS1),インストールされている各必須アプリについてインストール済みアプリDB(図2の74)と不適合アプリDBを照合するため,インストールされた必須アプリを順に一つ取り出し(図26のS2),未照合のインストールされた必須アプリがあるか判別する(同S3)。ある場合は,不適合アプリを順に一つ取り出し(図26のS4),未照合の不適合アプリがあるか判別し(同S5),なければステップS2に戻り,あると不適合アプリはインストールされているか判別し(同S6),インストールされていなければ後述するS4に戻り,インストールされている場合はインストール不適合アプリリストに追加する(同S7)。
【0085】
未照合のインストールされた必須アプリがなくなると,ステップS8に移行し,不適合アプリはインストールされているか判別し,インストールされている場合は「不適合アプリインストール通知画面」(上記図20のbと同様)を表示し,利用者がOKをクリックすると管理装置に不適合アプリインストールを報告し(図26のS9,b),「インストール不適合アプリ一覧画面」を表示する(同S10)。その画面は図20のcと同様である。このインストール不適合アプリリストの先頭から順に一つずつ取り出し(図26のS11),未処理の不適合アプリがあるか判別し(同S12),ない場合は後述するステップS17へ移行し,ある場合は「不適合アプリアンインストール指示画面」を表示し(同S13),「アンインストールボタン」を利用者がクリックしたか判別する(同S14)。クリックしない場合はステップS11へ移行し,クリックすると該当する不適合アプリのアンインストールを実行し(同S15),インストール済みアプリDBを更新して(図26のS16),ステップS11へ移行し,ステップS12で未処理の不適合アプリがないと判別されると,インストール済みアプリDBからインストール済みアプリリストを管理装置に送信する(同S17,c)。管理装置ではインストール済みアプリリストをコンピュータ情報管理DB(図2の21)中のインストール済みアプリ表(図6の21d)に格納する(図26のS20)。
【0086】
図27ではクライアントであるコンピュータにおいて,コンピュータの不適合アプリ検出手段は,オンラインで動作する管理装置の不適合アプリDB(図2の23)から不適合アプリリストを取得し,自クライアントの不適合アプリDBに記憶する(図27のS1,a)。次にインストール済みアプリDBと不適合アプリDBを照合するため,不適合アプリDBから不適合アプリを順に一つずつ取り出し(図27のS2),未照合の不適合アプリがあるか判別し(同S3),なければステップS6に移行し,ある場合は不適合アプリはインストールされているか判別し,インストールされてなければステップS2に戻り,インストールされていると,「インストール不適合アプリリスト」に追加して(同S5),S2に戻る。
【0087】
ステップS3において未照合の不適合アプリがないことが分かると,不適合アプリはインストールされているか判別し(図27のS6),インストールされてない場合は後述するステップS15に移行し,インストールされていると「不適合アプリインストール通知画面」を表示し,利用者かOKをクリックすると1理装置に不適合アプリインストールを報告する(図27のS7,b)。「インストール不適合アプリ一覧画面」を表示し(同S8),「インストール不適合アプリリスト」の先頭から順に一つずつ取り出し(図27のS9),未処理の不適合アプリはあるか判別し(同S10),ない場合は後述するステップS15に移行し,ある場合は「不適合アプリアンインストール指示画面」を表示する(同S11)。ここで「アンインストールボタン」を利用者がクリックしたか判別し(同S12),クリックしないとS9に戻り,クリックした場合はアンインストールが実行され(同S13),インストール済みアプリDBを更新し(同S14),ステップS9に戻る。未処理の不適合アプリがなくなると,インストール済みアプリDBからインストール済みアプリリストを管理装置に送信する(同S15,c)。管理装置では,インストール済みアプリリストをコンピュータ情報管理DB中のインストール済みアプリ表に格納する(図27のS20)。
【0088】
図28はオフラインでの不適合アプリ対策のフローチャートである。クライアント側のコンピュータがオフラインの状態で,インストールされている各必須アプリについてインストール済みアプリDBと不適合アプリDBを照合するため,インストールされた必須アプリを順に一つ取り出し(図28のS1),未照合のインストールされた必須アプリがあるか判別し(同S2),ある場合は不適合アプリを順に一つ取り出し(同S3),未照合の不適合アプリがあるか判別し(同S4),なければS1に戻り,ある場合は不適合アプリはインストールされているか判別する(同S5)。インストールされてなければS3に戻り,インストールされている場合は,「インストール不適合アプリリスト」に追加する(同S6)。
【0089】
ステップS2で未照合のインストールされた必須アプリがないと判別されると,不適合アプリはインストールされているか判別し(図28のS7),なければ終了するが,ある場合は「不適合アプリインストール通知画面」を表示し,利用者が「OK」をクリックすると(同S8),「インストール不適合アプリ一覧画面」を表示する(同S9)。次にインストール不適合アプリリストの先頭から順に一つずつ取り出し(図28のS10),未処理の不適合アプリがあるか判別し(同S11),ある場合には「不適合アプリアンインストール指示画面」を表示し(同S12),「アンインストールボタン」を利用者がクリックしたか判別する(同S13)。利用者がクリックしないとS10に戻り,クリックした場合,指示されたアンインストールが実行され(図28のS14),インストール済みアプリDBを更新する(同S15)。S11において未処理の不適合アプリがなくなると処理を終了する。
【0090】
図29は管理装置におけるDB更新管理のフローチャートである。この処理は,コンピュータシステム管理装置において実行され,最初に日時を取得し(図29のS1),次に必須アプリDBまたは不適合アプリDBを更新した日時を各DBの管理情報から取得する(同S2)。この更新日時から現在までN日(予め設定した期間)経過したかの判別をし(図29のS3),経過してなければ終了するが,経過したその日であった場合は更新後アクセスのあったマシン(コンピュータ)名リストを作成する(同S4)。このリストは,アクセスログDB(図2の21a)を参照することにより作成する。次にコンピュータ情報管理DB(図2の21)のコンピュータ情報表(図6の21c)の先頭からマシン名を一つずつ取り出し(図29のS5),未照合のマシン名があるか判別し(同S6),ない場合は終了し,ある場合は,更新後アクセス有マシン名リスト(このリストは上記ステップS4でコンピュータ情報管理DB内に作成される)に記載があるか判別し(同S6),記載があればS5に戻り,記載がないと必須アプリDBから必須アプリリストまたは不適合アプリDBから不適合アプリリストをメールに添付してマシン(コンピュータ)の使用者に送付する(同S8)。なお,このS8では必須アプリリストまたは不適合アプリリストをメールに添付してマシンに送信しているが,その他の方法として,可搬型の記録媒体(FDやCD,またはDVD等)に記録して,その記録媒体を各コンピュータに移送して再生する方法等がある。
【産業上の利用可能性】
【0091】
本発明は複数のコンピュータがネットワークにより接続されたコンピュータシステムにおいて各コンピュータがコンピュータシステムへのウィルス,ハッカー等によるデータの破壊や,情報の漏洩等に対するセキュリティを維持して管理するという用途に適用して有効に利用することができる。
【符号の説明】
【0092】
1 コンピュータシステム管理装置
2 データベース
20 装置番号管理データベース(DB)
21 コンピュータ情報管理データベース(DB)
22 必須アプリデータベース(DB)
23 不適合アプリデータベース(DB)
24 インストールプログラムデータベース(DB)
3 チェック部
30 利用者側報告プログラム未インストール検出手段
31 必須アプリ未インストール検出手段
32 不適合アプリ検出手段
33 指定アプリ未インストールコンピュータ一覧表示手段
4 インストール部
5 管理用入出力部
6 通信手段
7 コンピュータ
70 インストールアプリ格納部
71 利用者側報告プログラム
8 外部接続手段
【特許請求の範囲】
【請求項1】
組織に設けられ運営されている複数のコンピュータと前記複数のコンピュータを管理するコンピュータシステム管理装置とがネットワークで接続されたコンピュータシステムのセキュリティに必須の対策が確実に講じられるよう管理するコンピュータを,
前記複数の各コンピュータから報告されたそれぞれのコンピュータにインストールされたアプリケーションの情報を受け取るとコンピュータ別のインストール済みアプリケーション情報をインストール済みアプリデータベースに格納する手段,
前記インストール済みアプリデータベースに格納された各コンピュータのアプリケーションの情報と,システムを構成する各コンピュータにおいて必ずインストールすべき必須のアプリケーション以外のアプリケーションのそれぞれと適合しないとして前記組織により指定され設定された不適合アプリケーションの情報が格納された不適合アプリデータベースの不適合アプリケーションの情報とを照合し,不適合アプリケーションがインストールされていることを検出する手段,
として機能させることを特徴とするコンピュータシステム管理のプログラム。
【請求項2】
組織に設けられ運営されている複数のコンピュータと前記複数のコンピュータを管理するコンピュータシステム管理装置とがネットワークで接続されたコンピュータシステムのセキュリティに必須の対策が確実に講じられるよう管理するコンピュータを,
前記複数の各コンピュータから報告されたそれぞれのコンピュータにインストールされたアプリケーションの情報を受け取るとコンピュータ別のインストール済みアプリケーション情報をインストール済みアプリデータベースに格納する手段,
前記インストール済みアプリデータベースに格納された各コンピュータのアプリケーションの情報と,システムを構成する各コンピュータにおいて必ずインストールすべき必須のアプリケーション以外のアプリケーションのそれぞれと適合しないとして前記組織により指定され設定された不適合アプリケーションの情報が格納された不適合アプリデータベースの不適合アプリケーションの情報とを照合し,不適合アプリケーションがインストールされていることを検出する手段,
前記不適合アプリケーションがインストールされていることを検出する手段により不適合アプリケーションがインストールされていることを検出すると,前記コンピュータに対して前記不適合アプリケーションのアンインストールを促す通知を行う手段,
として機能させることを特徴とするコンピュータシステム管理のプログラム。
【請求項3】
組織に設けられ運営されている複数のコンピュータと前記複数のコンピュータを管理するコンピュータシステム管理装置とがネットワークで接続されたコンピュータシステムのセキュリティに必須の対策が確実に講じられるよう管理するコンピュータを,
前記複数の各コンピュータから報告されたそれぞれのコンピュータにインストールされたアプリケーションの情報を受け取るとコンピュータ別のインストール済みアプリケーション情報をインストール済みアプリデータベースに格納する手段,
前記インストール済みアプリデータベースに格納された各コンピュータのアプリケーションの情報と,システムを構成する各コンピュータにおいて必ずインストールすべき必須のアプリケーション以外のアプリケーションのそれぞれと適合しないとして前記組織により指定され設定された不適合アプリケーションの情報が格納された不適合アプリデータベースの不適合アプリケーションの情報とを照合し,不適合アプリケーションがインストールされていることを検出する手段,
前記不適合アプリケーションがインストールされていることを検出する手段により不適合アプリケーションがインストールされていることを検出すると,前記コンピュータに対して前記不適合アプリケーションのアンインストールを行う手段,
として機能させることを特徴とするコンピュータシステム管理のプログラム。
【請求項4】
組織に設けられ運営されている複数のコンピュータと前記複数のコンピュータを管理するコンピュータシステム管理装置とがネットワークで接続されたコンピュータシステムのセキュリティに必須の対策が確実に講じられるよう管理するコンピュータシステム管理装置において,
前記複数の各コンピュータから報告されたそれぞれのコンピュータにインストールされたアプリケーションの情報を格納するコンピュータ情報管理データベースと,
コンピュータシステムに必須のアプリケーション以外のアプリケーションのそれぞれに対して適合しないアプリケーションとして前記組織により指定され設定されたアプリケーションの情報が格納された不適合アプリデータベースを備え,
前記コンピュータ情報管理データベースのインストール済みアプリケーションの情報と前記不適合アプリデータベースに設定された不適合アプリケーションの情報とを照合して,不適合アプリケーションが検出されると,該当するコンピュータに対して前記不適合アプリケーションのアンインストールを指示する不適合アプリ検出手段と,
を備えることを特徴とするコンピュータシステム管理装置。
【請求項5】
組織に設けられ運営されている複数のコンピュータと前記複数のコンピュータを管理するコンピュータシステム管理装置とがネットワークで接続されたコンピュータシステムのセキュリティに必須の対策が確実に講じられるよう管理するコンピュータシステムの管理方法であって,
前記複数の各コンピュータから報告されたそれぞれのコンピュータにインストールされたアプリケーションの情報が送られてくるとコンピュータ別のインストール済みのアプリケーションの情報をインストール済みアプリ格納手段に格納し,
コンピュータシステムの必須のアプリケーション以外のアプリケーションに対し不適合なアプリケーションとして前記組織により指定され設定されたアプリケーションの情報を不適合アプリ格納手段に格納し,
前記インストール済みアプリ格納手段に格納された各コンピュータのアプリケーションの情報と前記不適合アプリ格納手段に格納されたアプリケーションの情報とを照合し,不適合アプリケーションがインストールされていることを検出し,
前記不適合アプリケーションがインストールされていることを検出すると,当該コンピュータに対して検出された不適合アプリケーションのアンインストールを行う,
ことを特徴とするコンピュータシステムの管理方法。
【請求項1】
組織に設けられ運営されている複数のコンピュータと前記複数のコンピュータを管理するコンピュータシステム管理装置とがネットワークで接続されたコンピュータシステムのセキュリティに必須の対策が確実に講じられるよう管理するコンピュータを,
前記複数の各コンピュータから報告されたそれぞれのコンピュータにインストールされたアプリケーションの情報を受け取るとコンピュータ別のインストール済みアプリケーション情報をインストール済みアプリデータベースに格納する手段,
前記インストール済みアプリデータベースに格納された各コンピュータのアプリケーションの情報と,システムを構成する各コンピュータにおいて必ずインストールすべき必須のアプリケーション以外のアプリケーションのそれぞれと適合しないとして前記組織により指定され設定された不適合アプリケーションの情報が格納された不適合アプリデータベースの不適合アプリケーションの情報とを照合し,不適合アプリケーションがインストールされていることを検出する手段,
として機能させることを特徴とするコンピュータシステム管理のプログラム。
【請求項2】
組織に設けられ運営されている複数のコンピュータと前記複数のコンピュータを管理するコンピュータシステム管理装置とがネットワークで接続されたコンピュータシステムのセキュリティに必須の対策が確実に講じられるよう管理するコンピュータを,
前記複数の各コンピュータから報告されたそれぞれのコンピュータにインストールされたアプリケーションの情報を受け取るとコンピュータ別のインストール済みアプリケーション情報をインストール済みアプリデータベースに格納する手段,
前記インストール済みアプリデータベースに格納された各コンピュータのアプリケーションの情報と,システムを構成する各コンピュータにおいて必ずインストールすべき必須のアプリケーション以外のアプリケーションのそれぞれと適合しないとして前記組織により指定され設定された不適合アプリケーションの情報が格納された不適合アプリデータベースの不適合アプリケーションの情報とを照合し,不適合アプリケーションがインストールされていることを検出する手段,
前記不適合アプリケーションがインストールされていることを検出する手段により不適合アプリケーションがインストールされていることを検出すると,前記コンピュータに対して前記不適合アプリケーションのアンインストールを促す通知を行う手段,
として機能させることを特徴とするコンピュータシステム管理のプログラム。
【請求項3】
組織に設けられ運営されている複数のコンピュータと前記複数のコンピュータを管理するコンピュータシステム管理装置とがネットワークで接続されたコンピュータシステムのセキュリティに必須の対策が確実に講じられるよう管理するコンピュータを,
前記複数の各コンピュータから報告されたそれぞれのコンピュータにインストールされたアプリケーションの情報を受け取るとコンピュータ別のインストール済みアプリケーション情報をインストール済みアプリデータベースに格納する手段,
前記インストール済みアプリデータベースに格納された各コンピュータのアプリケーションの情報と,システムを構成する各コンピュータにおいて必ずインストールすべき必須のアプリケーション以外のアプリケーションのそれぞれと適合しないとして前記組織により指定され設定された不適合アプリケーションの情報が格納された不適合アプリデータベースの不適合アプリケーションの情報とを照合し,不適合アプリケーションがインストールされていることを検出する手段,
前記不適合アプリケーションがインストールされていることを検出する手段により不適合アプリケーションがインストールされていることを検出すると,前記コンピュータに対して前記不適合アプリケーションのアンインストールを行う手段,
として機能させることを特徴とするコンピュータシステム管理のプログラム。
【請求項4】
組織に設けられ運営されている複数のコンピュータと前記複数のコンピュータを管理するコンピュータシステム管理装置とがネットワークで接続されたコンピュータシステムのセキュリティに必須の対策が確実に講じられるよう管理するコンピュータシステム管理装置において,
前記複数の各コンピュータから報告されたそれぞれのコンピュータにインストールされたアプリケーションの情報を格納するコンピュータ情報管理データベースと,
コンピュータシステムに必須のアプリケーション以外のアプリケーションのそれぞれに対して適合しないアプリケーションとして前記組織により指定され設定されたアプリケーションの情報が格納された不適合アプリデータベースを備え,
前記コンピュータ情報管理データベースのインストール済みアプリケーションの情報と前記不適合アプリデータベースに設定された不適合アプリケーションの情報とを照合して,不適合アプリケーションが検出されると,該当するコンピュータに対して前記不適合アプリケーションのアンインストールを指示する不適合アプリ検出手段と,
を備えることを特徴とするコンピュータシステム管理装置。
【請求項5】
組織に設けられ運営されている複数のコンピュータと前記複数のコンピュータを管理するコンピュータシステム管理装置とがネットワークで接続されたコンピュータシステムのセキュリティに必須の対策が確実に講じられるよう管理するコンピュータシステムの管理方法であって,
前記複数の各コンピュータから報告されたそれぞれのコンピュータにインストールされたアプリケーションの情報が送られてくるとコンピュータ別のインストール済みのアプリケーションの情報をインストール済みアプリ格納手段に格納し,
コンピュータシステムの必須のアプリケーション以外のアプリケーションに対し不適合なアプリケーションとして前記組織により指定され設定されたアプリケーションの情報を不適合アプリ格納手段に格納し,
前記インストール済みアプリ格納手段に格納された各コンピュータのアプリケーションの情報と前記不適合アプリ格納手段に格納されたアプリケーションの情報とを照合し,不適合アプリケーションがインストールされていることを検出し,
前記不適合アプリケーションがインストールされていることを検出すると,当該コンピュータに対して検出された不適合アプリケーションのアンインストールを行う,
ことを特徴とするコンピュータシステムの管理方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【公開番号】特開2013−101702(P2013−101702A)
【公開日】平成25年5月23日(2013.5.23)
【国際特許分類】
【出願番号】特願2013−36528(P2013−36528)
【出願日】平成25年2月27日(2013.2.27)
【分割の表示】特願2010−259858(P2010−259858)の分割
【原出願日】平成16年9月30日(2004.9.30)
【出願人】(591128763)株式会社富士通ソーシアルサイエンスラボラトリ (57)
【Fターム(参考)】
【公開日】平成25年5月23日(2013.5.23)
【国際特許分類】
【出願日】平成25年2月27日(2013.2.27)
【分割の表示】特願2010−259858(P2010−259858)の分割
【原出願日】平成16年9月30日(2004.9.30)
【出願人】(591128763)株式会社富士通ソーシアルサイエンスラボラトリ (57)
【Fターム(参考)】
[ Back to top ]