セキュリティシステム
【課題】管理領域からの情報漏洩を防ぐ。
【解決手段】管理領域内に構築された内部ネットワークを介して外部ネットワークに接続可能に設けた複数の端末、当該端末を内外ネットワークに接続可能とする通信ゲート部、端末を使用する利用者の識別情報を利用者及び端末に関連付けて予め記憶可能な利用者情報記憶部、管理領域への利用者の入室を制限する入退室ゲート部、入退室ゲートの外側に配されて管理領域に入室する利用者が識別情報を入力できる識別情報入力部、識別情報により本人認証を行う入口認証部、本人認証が成功した場合にワンタイムパスワードを発行するパスワード発行部、このパスワードを入退室ゲートの外側で利用者に示す通知部、及び、発行されたワンタイムパスワードと利用者端末から入力されたパスワードを比較し認証する端末認証部を備え、認証成功の場合、入退室ゲート部はゲートを開き、通信ゲート部はネットワークへの接続を許す。
【解決手段】管理領域内に構築された内部ネットワークを介して外部ネットワークに接続可能に設けた複数の端末、当該端末を内外ネットワークに接続可能とする通信ゲート部、端末を使用する利用者の識別情報を利用者及び端末に関連付けて予め記憶可能な利用者情報記憶部、管理領域への利用者の入室を制限する入退室ゲート部、入退室ゲートの外側に配されて管理領域に入室する利用者が識別情報を入力できる識別情報入力部、識別情報により本人認証を行う入口認証部、本人認証が成功した場合にワンタイムパスワードを発行するパスワード発行部、このパスワードを入退室ゲートの外側で利用者に示す通知部、及び、発行されたワンタイムパスワードと利用者端末から入力されたパスワードを比較し認証する端末認証部を備え、認証成功の場合、入退室ゲート部はゲートを開き、通信ゲート部はネットワークへの接続を許す。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、セキュリティシステムに係り、特に、企業オフィスや研究所など特定人のみに入室を許すセキュリティ管理領域からの情報漏洩を防ぐ技術に関する。
【背景技術】
【0002】
インターネットをはじめとするデータ通信ネットワークが普及する一方で、近年、企業や各種事業体の保有する情報はコンピュータによって一元管理される傾向にある。このため、情報の保護が十分でなければ、紙文書による時代と比較して個人情報や顧客データ、社外秘情報のような大量の機密情報がネットワークを介して簡単に流出するおそれがある。このため、情報の漏洩を防ぐ様々なセキュリティ技術が提供されている(例えば下記特許文献参照)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2008‐77362号公報
【特許文献2】特開2006‐309698号公報
【特許文献3】特開2008‐15786号公報
【特許文献4】特開2008‐160803号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
ところで、情報の漏洩を防ぐには、部外者の物理的侵入(管理領域への部外者自身の立ち入り)や通信回線を通じての侵入(不正なアクセス)を排除することが基本となるがこれらだけでは十分でない。組織内部の人間であっても、他人になりすまして端末装置を操作し、例えば権限外のデータを入手したりこれを外部へ送信するなどの不正に対処する必要があるからである。
【0005】
一方、企業や事業所では、例えばIDとパスワードによる認証を行い、各人が業務に使用する端末の利用や特定情報へのアクセスを制限する場合がある。しかしながら、このような認証処理を行っても十分なセキュリティが得られるとは限らない。パスワードの管理を全員に徹底することは必ずしも容易ではなく、認証機能を生かしきれないことも現実には少なくないからである。例えば、他人が簡単に推定できる誕生日や個人名そのものをパスワードに利用していたり、極端な例では、忘れないようパスワードを記載したメモをデスク上に貼り付けておくなど、その扱いには個人差が生じることが避けられない。また、定期的に変更することの煩わしさからパスワードは固定的なものになりがちで、キー操作を盗み見れば他人のパスワードを知ることも不可能ではない。
【0006】
他方、前記特許文献1(特開2008‐77362)記載の発明では、機密情報を扱うセキュリティ管理領域内への入退出時のユーザ認証処理と、入室後の端末装置を利用するユーザ認証処理とを関連付け、使用できる端末の数を制限することでセキュリティレベルの向上を図る。ところが、この文献1記載の方法では、ユーザが入室しておりかつ端末の利用上限数を超えないこと等の条件を満たせば、当該ユーザに許可されている端末の1つから他人が容易に認証を受け自由にネットワークにアクセスすることが可能である。
【0007】
また、前記特許文献2(特開2006‐309698)、特許文献3(特開2008‐15786)および特許文献4(特開2008‐160803)はいずれも、遠隔地からネットワーク経由でコンピュータを利用する所謂ターミナルサービス(リモートアクセス)におけるアクセス制御技術に関するもので、企業オフィスのような管理領域内に設置した端末を当該領域内で複数の者が使用する利用形態を対象とするものではない。
【0008】
したがって、本発明の目的は、セキュリティ管理領域におけるセキュリティレベルを高め、情報漏洩をより確実に防ぐ点にある。
【課題を解決するための手段】
【0009】
前記課題を解決し目的を達成するため、本発明に係る第一のセキュリティシステムは、セキュリティ管理領域の内部に構築された内部ネットワークを介して外部ネットワークに接続可能に設置した複数の端末装置と、当該端末装置と前記内部ネットワークとの間または前記内部ネットワークと前記外部ネットワークとの間に介在し当該端末装置を前記内部ネットワークまたは前記外部ネットワークに接続可能とする通信ゲート部と、前記端末装置を使用する利用者の識別情報を、当該利用者および前記端末装置のうちの少なくとも1台に関連付けて利用者情報として予め記憶可能な利用者情報記憶部と、前記セキュリティ管理領域の出入口を開閉可能に閉鎖する入退室ゲートを含んで前記セキュリティ管理領域に対する利用者の入室および退室のうち少なくとも入室を制限する入退室ゲート部と、前記入退室ゲートの外側に備えられて前記セキュリティ管理領域に入室する利用者が自身の識別情報を入力できる識別情報入力部と、当該識別情報入力部を通じて入力された識別情報と前記利用者情報記憶部に予め記憶された利用者情報とを比較し、当該入力された識別情報が前記利用者情報記憶部に予め記憶されたいずれかの利用者の識別情報と一致するか判定することにより本人認証を行う入口認証部と、前記本人認証が成功した場合に当該利用者に対してワンタイムパスワードを発行するワンタイムパスワード発行部と、前記ワンタイムパスワードを前記入退室ゲートの外側において当該利用者に提供する入口認証通知部と、前記ワンタイムパスワード発行部によって発行されたパスワードと、当該利用者に関連付けられた前記端末装置から入力されたパスワードとを比較し、両者が一致した場合に認証成功と、両者が一致しないか又は一致しても前記利用者情報により特定された端末装置以外の端末装置から入力されたものである場合に認証不成功とそれぞれ判定する端末認証部とを備える。そして、前記入退室ゲート部は、前記入口認証部による認証が成功した場合に前記入退室ゲートを開放する一方、未認証および認証不成功の場合には前記入退室ゲートを閉鎖し、前記通信ゲート部は、前記端末認証部による認証が成功した場合に当該端末装置のネットワークへの接続を許可する一方、未認証および認証不成功の場合には当該端末装置のネットワークへの接続を遮断する。
【0010】
本発明のセキュリティシステムは、入退室ゲートによって入室を(または更に退室も)制限したセキュリティ管理領域(以下、単に管理領域と言うことがある)の内部に設置した端末装置の使用、特に起動や通信(ネットワークへの接続や通信を伴うソフトウエアの使用等)を制限することにより当該管理領域からの情報の漏洩を防ぐもので、上記第一のセキュリティシステムでは、端末装置によるネットワークへの接続を制限することで管理領域から情報が漏洩することを防止する。
【0011】
管理領域への入室は、予め登録された特定の者のみ許される。これを実現するため本発明では、管理領域の出入口に入退室ゲートを設けて当該出入口を閉鎖すると共に、本人確認を行う入口認証部を設け、さらに入退室ゲート(管理領域)の外側に、管理領域に入室しようとする者の識別情報を読み取る識別情報入力部を配置する。
【0012】
なお、入退室ゲートとは、物理的に人間の入室を阻止可能とする構造物を言い、例えばドアや門扉、バーなどにより構成することが出来る。入退室ゲート(管理領域の出入口)は1つ(1箇所)に限られず、複数あるいは複数箇所に設けることも可能である。
【0013】
また、本発明に言うセキュリティ管理領域は、その種類や所有主体、規模、名称等を問わない。一例を挙げれば、企業や公共機関(国・地方公共団体の省庁・役所・国際機関等)、大学その他の教育研究機関、個人事業主などの社屋・オフィス・研究所・コールセンタその他の施設が含まれるが、これらに限定されるものではない。また当該管理領域は、建物全体であっても良いし、建物の一部(特定の部屋や空間等)であっても良い。
【0014】
上記識別情報としては、例えば手の静脈パターンや指紋、虹彩、網膜等の身体的特徴を示すものを使用することが認証精度(本人確認の確実性)を高める点で好ましい。ただしこのような生体認証情報以外にも、利用者が携帯可能な例えば磁気カードやRFIDを使用するICカードなどにデータを格納しこれを識別情報として使用することも可能である。入退室ゲート(管理領域)の外側には、これらのいずれか(又はこれらのうちの2以上を組み合わせて使用することも可能である)を読み取るリーダを識別情報入力部として設置する。
【0015】
また本発明の第一のシステムでは、上記入口認証部による認証を行うため、利用者を特定する情報を格納する利用者情報記憶部を設け、この利用者情報記憶部に、管理領域への入室を許可する者の識別情報を当該利用者および端末装置のうちの少なくとも1台に関連付けて利用者情報として予め格納しておく。管理領域へ入室しようとする者は、上記識別情報を識別情報入力部から入力するが、入口認証部はこの入力された識別情報を利用者情報記憶部に格納された利用者情報と比較することにより認証を行い、当該入力された識別情報が利用者情報記憶部に予め記憶されたいずれかの利用者の識別情報と一致する場合には認証成功と、一致しないか或いは一致しても前記利用者情報により特定された端末装置以外の端末装置から入力されたものである場合には認証不成功とそれぞれ判定する。
【0016】
そして、認証成功の場合には、ワンタイムパスワード発行部がワンタイムパスワードを発行し、入退室ゲート部が入退室ゲートを開放する。ワンタイムパスワードは、例えば数桁の数字や記号からなる一時的な(認証ごと毎回異なる)パスワードであり、入口認証通知部によって当該利用者に提供される。この入口認証通知部による利用者へのパスワードの提供方法としては、例えば表示装置(LCD等)に表示するなど視覚的に利用者に通知する方式が典型的な例として挙げられるがこれに限られず、利用者が携帯する磁気カードやICカード、携帯可能な記憶媒体(例えばフラッシュメモリ)などに書き込む方法によることも可能である。
【0017】
入口認証通知部は、入退室ゲートの外側に配置してあり、したがって管理領域内の人間からは見えず、管理領域内の他の利用者にパスワードを知られることがない。なお、管理領域内の利用者が一旦退室し、再度入室する場合には、最初の入室時と同様に再度異なるワンタイムパスワードがワンタイムパスワード発行部によって発行され(前回入室したときに発行されたパスワードは無効)、この新たなパスワードによって後に述べる端末認証を行う。
【0018】
入口認証部による認証が不成功の場合、あるいは識別情報入力部に識別情報が未だ入力されていない場合(未認証)には、入退室ゲート部は入退室ゲートを開放せず、管理領域の出入口は閉鎖されたままである。なお、本発明において入退室ゲート部は、入室と退室のうち少なくとも入室を制限し、退室は自由に行えるようにしても良いし、入室と退室の双方を制限するようにしても良い。入室に加えて退室も制限するシステムの構成例については、後に述べる。
【0019】
ワンタイムパスワード発行部によって発行されたワンタイムパスワードは、端末認証部にも提供され、端末認証部はこれを使って端末認証を行う。具体的には、端末認証部は、ワンタイムパスワード発行部によって発行されたパスワードと、当該利用者に関連付けられた端末装置から入力されたパスワードとを比較し、両者が一致した場合に認証成功と、両者が一致しないか又は一致しても前記利用者情報により特定された端末装置以外の端末装置から入力されたものである場合に認証不成功とそれぞれ判定する。そして、端末認証部により認証が成功した場合には、通信ゲート部が当該端末装置のネットワークへの接続を許可する。一方、未認証の場合、あるいは端末認証部による認証が不成功の場合には、通信ゲート部は当該端末装置のネットワークへの接続を遮断し如何なるデータ(パケット)をも通過させない。
【0020】
なお、ここで言うネットワークとは、内部ネットワーク(LAN)と外部ネットワーク(例えばインターネット)のいずれか一方または双方を意味する。すなわち、上記端末認証の結果に基づいて内部ネットワークと外部ネットワークの双方について接続の許可(認証成功の場合)または遮断(認証不成功又は未認証の場合)を行っても良いし、内部ネットワークへの接続は認証結果にかかわらず常に許可として外部ネットワークへの接続のみについて許可(認証成功の場合)または遮断(認証不成功又は未認証の場合)を行うようにしても良い。
【0021】
また、上記端末認証部による認証処理、ならびに通信ゲート部によるネットワークへの接続可否の処理にあたって端末装置を特定するには、当該端末装置の例えばIPアドレス(ローカルアドレス又はグローバルアドレス)やMACアドレスを利用すれば良い。さらに、上記通信ゲート部によるネットワークへの接続の許可および遮断処理の具体的な方法としては、例えば、ネットワークへの接続を許可する場合(認証成功)には当該端末装置を送信元または送信先とする通信パケットを通信ゲート部が中継する一方、ネットワークへの接続を遮断する場合(認証不成功又は未認証)には当該端末装置を送信元または送信先とする通信パケットを破棄するようにすれば良い。またこのような方法に限らず、例えば、各端末装置に対応する通信ゲートを備えてこれらの通信ゲートを物理的(電気的)にオンオフすることでネットワークへの接続および遮断を行うようにするなど他の方法によることも可能である。当該通信ゲート部は、通信パケットを中継可能な、例えばルータやスイッチ、プロキシサーバ等により構成することが出来る。なお、本発明に言うネットワークは、有線・無線を問わずいずれであっても良い。
【0022】
本発明の第一のセキュリティシステムによれば、管理領域の出入口に配した認証手段(好ましくは生体認証)によって本人確認を行い、この認証と入室の度に変動するワンタイムパスワードとを組み合わせることで、個々の端末装置に認証機能を備えていなくても実質的に当該認証(好ましい例として生体認証)と同等のセキュリティ性を各端末装置に付与することが可能となる。また、予め割り当てられた端末装置以外の端末装置から正しいワンタイムパスワードが入力されたとしても端末認証部による認証は不成功となるから、管理領域に正当に入室できた利用者であっても他人の(割り当てられていない)端末装置を無断で使用してネットワークへ接続し、権限外のデータを入手したり外部へ送信するようなことも防ぐことが出来る。
【0023】
上記第一のセキュリティシステム(後に述べる第三のセキュリティシステムも同様)では、管理領域内に設置された端末装置を、利用者情報として利用者情報記憶部に記憶させることで特定の利用者に予め割り当てている。これに対し、次に述べる本発明の第二のセキュリティシステム(後に述べる第四のセキュリティシステムも同様)は、管理領域内に設置した任意の端末装置を使用させる(端末装置を利用者に予め割り当てておかず管理領域の入口で指定する)運用に対応可能としたものである。なお、このような運用に適する管理領域としては、これらに限定される訳ではないが、通信販売の受付を行うコールセンタや、製品・サービスに対する顧客サポートを行うサポートセンタ等が一例として挙げられる。
【0024】
すなわち、本発明に係る第二のセキュリティシステムは、セキュリティ管理領域の内部に構築された内部ネットワークを介して外部ネットワークに接続可能に設置した複数の端末装置と、当該端末装置と前記内部ネットワークとの間または前記内部ネットワークと前記外部ネットワークとの間に介在し当該端末装置を前記内部ネットワークまたは前記外部ネットワークに接続可能とする通信ゲート部と、前記端末装置を使用する利用者の識別情報を、当該利用者に関連付けて利用者情報として予め記憶可能な利用者情報記憶部と、前記セキュリティ管理領域の出入口を開閉可能に閉鎖する入退室ゲートを含んで前記セキュリティ管理領域に対する利用者の入室および退室のうち少なくとも入室を制限する入退室ゲート部と、前記入退室ゲートの外側に備えられて前記セキュリティ管理領域に入室する利用者が自身の識別情報を入力できる識別情報入力部と、当該識別情報入力部を通じて入力された識別情報と前記利用者情報記憶部に予め記憶された利用者情報とを比較し、当該入力された識別情報が前記利用者情報記憶部に予め記憶されたいずれかの利用者の識別情報と一致するか判定することにより本人認証を行う入口認証部と、前記本人認証が成功した場合に、当該利用者に対してワンタイムパスワードを発行するワンタイムパスワード発行部と、前記本人認証が成功した場合に、当該利用者が使用すべき端末装置として前記複数の端末装置のうちの少なくとも1台を特定する端末指定情報を発行する端末指定部と、前記ワンタイムパスワードおよび前記端末特定情報を前記入退室ゲートの外側において当該利用者に提供する入口認証通知部と、前記ワンタイムパスワード発行部によって発行されたパスワードと、前記端末指定情報によって特定された端末装置から入力されたパスワードとを比較し、両者が一致した場合に認証成功と、両者が一致しないか又は一致しても前記端末指定情報により特定された端末装置以外の端末装置から入力されたものである場合に認証不成功とそれぞれ判定する端末認証部とを備える。そして、入退室ゲート部は、入口認証部による認証が成功した場合に入退室ゲートを開放する一方、未認証および認証不成功の場合には入退室ゲートを閉鎖し、通信ゲート部は、端末認証部による認証が成功した場合に当該端末装置のネットワークへの接続を許可する一方、未認証および認証不成功の場合には当該端末装置のネットワークへの接続を遮断する。
【0025】
本発明の第二のセキュリティシステムは、前記第一のセキュリティシステムと同様に、複数の端末装置、通信ゲート部、利用者情報記憶部、入退室ゲート部、識別情報入力部、入口認証部、ワンタイムパスワード発行部、入口認証通知部および端末認証部を備えるものであるが、入口認証部による本人認証が成功した場合に当該利用者が使用すべき端末装置として前記複数の端末装置のうちの少なくとも1台を特定する端末指定情報を発行する端末指定部をさらに備えており、入口認証通知部によってワンタイムパスワードと共に、この端末指定情報も利用者に提供する。したがってこの第二のシステムでは、利用者情報記憶部は、端末装置を使用する利用者の識別情報を当該利用者に関連付けて利用者情報として予め記憶しているが、端末装置を利用者に関連付ける情報を有する必要はない。
【0026】
端末認証部は、ワンタイムパスワード発行部によって発行されたパスワードと、端末指定情報によって特定された端末装置から入力されたパスワードとを比較し、両者が一致した場合に認証成功と、両者が一致しないか又は一致しても前記端末指定情報により特定された端末装置以外の端末装置から入力されたものである場合には認証不成功とそれぞれ判定する。入口認証部ならびに端末認証部による認証後の処理(入退室ゲートの開閉および端末装置のネットワークへの接続の可否)については、前記第一のセキュリティシステムと同様である。
【0027】
また、上記第一および第二のセキュリティシステムでは、通信ゲート部を通過するパケットを監視して予め定められた許可されない不正パケットを検出する通信監視部をさらに備えても良い。この当該通信監視部により不正パケットが検出された場合には、前記通信ゲート部は当該不正パケットの送信元または送信先となる端末装置のネットワークへの接続を遮断する。
【0028】
上記不正パケットは、当該管理領域の運用方針によって様々な設定(何を許可パケットとし何を不許可パケットするか)を行うことが出来るが、特に、許可されていない送信先へのパケットや接続要求が含まれる。この許可/不許可(例えば、特定の接続先は接続を許可するが他は禁止としたり、特定の送信先はメール送信を認めるが他は禁止とするなど)は、例えば当該利用者の属性(職種・地位・権限等)によって予め決定しておけば良い。また、不正パケットであるか否かは、例えば送信先・接続先のアドレスやポート番号、URL、プロトコル(例えばFTP(File Transfer Protocol)やSMTP(Simple Mail Transfer Protocol)は不許可とするなど)等により判断するようにすれば良い。さらに、データの内容をチェックして特定内容のもの(例えば特定の文言を含む等)を上記不正パケットとすることも可能である。
【0029】
また、本発明に係る第三のセキュリティシステムは、セキュリティ管理領域の内部に構築された内部ネットワークを介して外部ネットワークに接続可能に設置した複数の端末装置と、前記端末装置を使用する利用者の識別情報を、当該利用者および前記端末装置のうちの少なくとも1台に関連付けて利用者情報として予め記憶可能な利用者情報記憶部と、前記セキュリティ管理領域の出入口を開閉可能に閉鎖する入退室ゲートを含んで前記セキュリティ管理領域に対する利用者の入室および退室のうち少なくとも入室を制限する入退室ゲート部と、前記入退室ゲートの外側に備えられて前記セキュリティ管理領域に入室する利用者が自身の識別情報を入力できる識別情報入力部と、当該識別情報入力部を通じて入力された識別情報と前記利用者情報記憶部に予め記憶された利用者情報とを比較し、当該入力された識別情報が前記利用者情報記憶部に予め記憶されたいずれかの利用者の識別情報と一致するか判定することにより本人認証を行う入口認証部と、前記本人認証が成功した場合に当該利用者に対してワンタイムパスワードを発行するワンタイムパスワード発行部と、前記ワンタイムパスワードを前記入退室ゲートの外側において当該利用者に提供する入口認証通知部と、前記ワンタイムパスワード発行部によって発行されたパスワードと、当該利用者に関連付けられた前記端末装置から入力されたパスワードとを比較し、両者が一致した場合に認証成功と、両者が一致しないか又は一致しても前記利用者情報により特定された端末装置以外の端末装置から入力されたものである場合に認証不成功とそれぞれ判定する端末認証部とを備え、前記入退室ゲート部は、前記入口認証部による認証が成功した場合に前記入退室ゲートを開放する一方、未認証および認証不成功の場合には前記入退室ゲートを閉鎖し、前記端末装置は、前記端末認証部による認証が成功しない限り使用制限がなされるものである。
【0030】
この第三のセキュリティシステムは、前記第一のセキュリティシステムと同様に、複数の端末装置、利用者情報記憶部、入退室ゲート部、識別情報入力部、入口認証部、ワンタイムパスワード発行部、入口認証通知部および端末認証部を備え、入退室ゲート部が入口認証部による認証が成功した場合に入退室ゲートを開放する一方、未認証および認証不成功の場合には入退室ゲートを閉鎖するものであるが、端末認証部による認証が成功しない限り前記端末装置に対して使用制限を課する。
【0031】
この使用制限の例としては、端末装置の起動(例えばOSの起動)禁止、あるいは通信を伴うソフトウエアの使用禁止を挙げることが出来る。通信を伴うソフトウエアには、電子メールソフト(メーラー)やファイル閲覧用のソフトウエア(Webブラウザ、データベース閲覧ソフト等)が含まれ、例えば、端末装置の起動(あるいは更にワープロソフトや表計算ソフトのように通信を伴わないアプリケーションの使用)は許可するが、上記通信を伴うソフトウエアの総て又はそれらのうちの一部について使用を禁止する態様が考えられる。このような措置によっても、外部への情報漏洩や権限外の情報へのアクセスを防ぐことが可能である。
【0032】
本発明の第四のセキュリティシステムは、セキュリティ管理領域の内部に構築された内部ネットワークを介して外部ネットワークに接続可能に設置した複数の端末装置と、当該端末装置を使用する利用者の識別情報を、当該利用者に関連付けて利用者情報として予め記憶可能な利用者情報記憶部と、前記セキュリティ管理領域の出入口を開閉可能に閉鎖する入退室ゲートを含んで前記セキュリティ管理領域に対する利用者の入室および退室のうち少なくとも入室を制限する入退室ゲート部と、前記入退室ゲートの外側に備えられて前記セキュリティ管理領域に入室する利用者が自身の識別情報を入力できる識別情報入力部と、当該識別情報入力部を通じて入力された識別情報と前記利用者情報記憶部に予め記憶された利用者情報とを比較し、当該入力された識別情報が前記利用者情報記憶部に予め記憶されたいずれかの利用者の識別情報と一致するか判定することにより本人認証を行う入口認証部と、前記本人認証が成功した場合に、当該利用者に対してワンタイムパスワードを発行するワンタイムパスワード発行部と、前記本人認証が成功した場合に、当該利用者が使用すべき端末装置として前記複数の端末装置のうちの少なくとも1台を特定する端末指定情報を発行する端末指定部と、前記ワンタイムパスワードおよび前記端末特定情報を前記入退室ゲートの外側において当該利用者に提供する入口認証通知部と、前記ワンタイムパスワード発行部によって発行されたパスワードと、前記端末指定情報によって特定された端末装置から入力されたパスワードとを比較し、両者が一致した場合に認証成功と、両者が一致しないか又は一致しても前記端末指定情報により特定された端末装置以外の端末装置から入力されたものである場合に認証不成功とそれぞれ判定する端末認証部とを備え、前記入退室ゲート部は、前記入口認証部による認証が成功した場合に前記入退室ゲートを開放する一方、未認証および認証不成功の場合には前記入退室ゲートを閉鎖し、前記端末装置は、前記端末認証部による認証が成功しない限り使用制限がなされる。
【0033】
この第四のセキュリティシステムは、前記第三のシステムと同様に端末認証部による認証が成功しない限り端末装置に対して使用制限を課するものであるが、第三のシステムと異なり、端末装置を利用者に予め割り当てておかない利用態様に対応するものである。このためこの第四のシステムは、前記第二のシステムと同様に、端末指定情報を発行する端末指定部を備え、入口認証通知部によってワンタイムパスワードと一緒に端末指定情報を利用者に提供する。利用者は、指定された端末装置からワンタイムパスワードを入力して端末認証部による認証を受ければ良い。なお、第四のシステムにおける入口認証部による処理ならびに端末認証部による処理は、それぞれ前記第二のシステムおよび第三のシステムと同様であるから重複した説明を省略する。
【0034】
前記第一から第四の各システムにおいては、ワンタイムパスワードに有効期限を設けても良い。この場合、前記ワンタイムパスワード発行部によりワンタイムパスワードが発行されてから一定時間(例えば発行後数分〜数十分)経過した後には、端末認証部は当該ワンタイムパスワードを無効として端末装置から入力されたパスワードと当該ワンタイムパスワードとが一致した場合にも認証不成功とする。
【0035】
さらに前記第一から第四の各システムにおいて、端末認証部が、ワンタイムパスワードによる認証に加えてさらに予め設定されたパスワードである固定パスワードによって(ワンタイムパスワードと固定パスワードの組み合わせにより)認証を行うようにしても良い。セキュリティ性を高めるためである。この場合、固定パスワードは、予め利用者と端末認証部とで共有されているものとする。具体的には、固定パスワードを例えば前記利用者情報として利用者と関連付けて利用者情報記憶部に格納しておき、この利用者情報を利用して端末認証部が認証を行うようにすれば良い。
【0036】
またこのように固定・ワンタイム両パスワードによって端末認証を行う場合には、端末装置から入力された固定パスワードとワンタイムパスワードとを単純にそれぞれ比較しても良いが(例えば固定パスワードとワンタイムパスワードを順次(順番は逆でも良い)入力させて一致するか逐次判定する)、例えば固定・ワンタイム両パスワードの加算結果により認証を行ったり、あるいは固定パスワードを秘密鍵、ワンタイムパスワードを公開鍵とする公開鍵方式により認証を行うなど様々な方法を採ることが可能である。
【0037】
さらに、前記第一から第四の各システムにおいては、認証が成功した端末装置についても一定時間以上操作されない場合にはこれを検出して未認証状態に戻すような処理を行っても良い。正当な利用者が席を離れたような場合に他の者が当該端末装置を使用することを防ぐためである。具体的には、前記第一から第四のいずれかのシステムにおいて、端末装置の操作の有無を検出する端末操作検出部をさらに備え、当該端末操作検出部により一定時間以上端末装置が操作されない場合には、前記端末認証部による認証を取り消すこととして当該端末装置に対し、前記通信ゲート部によるネットワークへの接続可能状態の解除(通信の遮断)または前記端末装置の使用制限を課せば良い(以下、この処理を「自動ログオフ」と言う)。
【0038】
さらに、上記自動ログオフ処理に代え、あるいは上記自動ログオフ処理に加えて、認証が成功した端末装置についても利用者が退室した場合にはこれを検出して当該端末装置を未認証状態に戻す処理を行うようにしても良い。
【0039】
具体的には、前記第一から第四のいずれかのシステムまたは上記自動ログオフ処理を備えたシステムにさらに、入退室ゲートの内側に備えられてセキュリティ管理領域から退室する利用者が自身の識別情報を入力できる退室時識別情報入力部と、当該退室時識別情報入力部を通じて入力された識別情報と前記利用者情報記憶部に予め記憶された利用者情報とを比較して当該入力された識別情報が前記利用者情報記憶部に予め記憶されたいずれかの利用者の識別情報と一致した場合に当該利用者が退室したと判定する退室検出部とを備え、前記退室検出部により利用者の退室が検出された場合に、前記端末認証部による認証を取り消すこととして当該利用者が使用していた端末装置に対し、前記通信ゲート部によるネットワークへの接続可能状態の解除(通信の遮断)または前記端末装置の使用制限を適用する(以下、この処理を「退室ログオフ」と言う)。
【0040】
このような退室ログオフないし自動ログオフ機能を備えたシステム構成とすれば、利用者が席をはずしたり外出や退社するようなときにも自己の端末装置を他人に使用される心配がなくなり、自己の端末のセキュリティ(所謂消し忘れ等)を特に意識せずに日常業務を行うことが可能となる。
【発明の効果】
【0041】
本発明によれば、セキュリティ管理領域からの情報漏洩を防ぎ、セキュリティレベルを向上させることが出来る。
【0042】
本発明の他の目的、特徴および利点は、図面に基づいて述べる以下の本発明の実施の形態の説明により明らかにする。なお、下記の実施形態は本発明に含まれるシステムの一例を示したものであって、本発明はこれに限定されるものではなく、特許請求の範囲に記載の範囲内で種々の変更を行うことができることは当業者に明らかである。
【図面の簡単な説明】
【0043】
【図1】図1は本発明の一実施形態に係るセキュリティシステムを示すブロック図である。
【図2A】図2Aは前記一実施形態に係るセキュリティシステムにおける処理を示すフローチャートである。
【図2B】図2Bは同じく前記一実施形態に係るセキュリティシステムにおける処理を示すフローチャートである。
【発明を実施するための形態】
【0044】
図1は、本発明の一実施形態に係るセキュリティシステムを示すものである。同図に示すようにこのセキュリティシステムは、セキュリティ管理領域1の出入口に入退室ゲート部11を設けて利用者の入室を制限する一方、当該管理領域1内に、内部ネットワーク2(例えばイントラネット等のLAN)を構築すると共に、利用者の使用に供する複数の端末装置(以下、端末と言うことがある)31,32と、これら端末31,32を内部ネットワーク2に接続する通信ゲート部41と、利用者に対して第1の認証(生体認証)を行う入口認証サーバ(入口認証部)21と、各端末31,32において利用者に第2の認証(パスワード認証)を行う端末認証サーバ(端末認証部)24と、ワンタイムパスワードを生成するワンタイムパスワード生成部25と、利用者情報23を格納する利用者情報記憶部22とを設けてなる。
【0045】
さらに内部ネットワーク2には、端末31,32からの利用に供するため、機密情報(例えば顧客データや個人情報等)を含む業務上必要な各種のデータを格納したデータベース3が接続されている。また、内部ネットワーク2はファイアウォール55を介して外部ネットワーク5(例えばインターネット)に接続されており、各端末31,32は本発明に係る所定の条件(後述する入口認証および端末認証の成功)を満たせば通信ゲート部41を介して内部ネットワーク2に接続された他の機器(前記データベース3や他の端末、図示しない他のサーバ等)ならびに外部ネットワーク5と通信を行うことが可能である。
【0046】
端末装置31,32は、典型的にはデスクトップ型またはノート型のパーソナルコンピュータあるいはワークステーションである。また、後に述べるように端末31,32が一定時間以上操作されない場合にこれを検出して自動的にログオフするようにするため、各端末31,32における操作の有無(一定時間以上操作されないこと)を検出する端末操作検出部35を備える。なお、図面では2台の端末装置31,32と、これに合わせて通信ゲート51,52および端末操作検出部35をそれぞれ2つずつしか示していないが、端末装置は3台以上任意の数備えることが可能で、これに対応して通信ゲートおよび端末操作検出部も3つ以上ずつ備えることが出来る。
【0047】
入退室ゲート部11は、利用者の入室を物理的に制限する入退室ゲート12と、当該ゲート12の開閉を制御する入退室ゲート制御部13と、利用者の生体情報を入力する生体情報読取部14と、ワンタイムパスワードを表示する表示通知部15を備えている。生体情報としてはこの実施形態では静脈パターンを使用し、これを読み取るリーダを生体情報読取部14として入退室ゲート12の外側(室外側)に設置しておく。
【0048】
表示通知部15は、例えばLCD(液晶ディスプレイ)に表示することにより後に述べるワンタイムパスワードを利用者に通知する。なお、この表示通知部15の画面は、管理領域1の外側方向(管理領域内部と反対の方向)を向くように設置してあり、したがって例えば管理領域1と外部とを仕切る壁がガラスように透明であっても、入退室ゲート12の外側に立つ利用者(これから入室しようとする者)には当該表示画面が見えるが、管理領域1の内部に居る者は当該表示画面を見ることは出来ずワンタイムパスワードを知ることは出来ない。入退室ゲート12は、この実施形態では電気的な作用により開錠・開扉および施錠・閉扉が可能なドアとし、入退室ゲート制御部13により開錠・開扉および施錠・閉扉を行う。
【0049】
利用者情報記憶部22には、利用者を管理する情報(利用者管理情報)23として、利用者を特定する利用者ID、当該利用者の使用に供する端末を特定する端末ID、当該利用者の生体情報である静脈パターン、ならびに当該利用者と予め情報を共有(利用者自身が記憶)している固定パスワードを、当該管理領域1を利用する総ての利用者について予め格納してある。この利用者情報(例えば端末ID、固定パスワード等)は、管理者が適宜書き換え、削除しあるいは新規に登録することが可能である。
【0050】
通信ゲート部41は、各端末31,32に対応して端末31,32と内部ネットワーク2との通信路を開閉する通信ゲート51,52と、これら通信ゲート51,52を制御する通信ゲート制御部42と、許可されていないパケットを検出する不正パケット検出部(通信監視部)43とを含む。この通信ゲート部41による通信路(通信ゲート51,52)の開閉(接続/遮断)は、許可するパケットを中継し、許可しないパケットを破棄するようにソフトウエア的に行うことも出来るし、電気的なスイッチのように伝送路を物理的に開閉することにより行うことも可能である。
【0051】
またこの通信ゲート部41は、端末認証が成功した後にも、許可されていない通信が行われていないか監視し許可されていない通信を遮断するモニタリング機能を備えている。具体的には、上記不正パケット検出部43は、各端末装置31,32が各通信ゲート51,52を通じて行っている通信を実時間でモニタリングしており、不正なパケットを検出した場合にはその旨を端末認証サーバ24に通知する。端末認証サーバ24は、不正パケット検出部43からの検出信号を受信すると、認証を取り消すこととして通信ゲート制御部41を介して当該端末31,32に対応する通信ゲート51,52を閉鎖し通信を遮断する。
【0052】
なお、不正パケットとは、既に述べたように、当該利用者に許可されていない送信先へのパケットや接続要求等であり、不正パケット検出部は、例えば送信先・接続先のアドレスやポート番号、URL、プロトコル等により不正パケットを検出する。またデータの内容をチェックして特定内容のもの(例えば特定の文言を含む等)を上記不正パケットとすることも可能である。なお、かかるモニタリング機能は、ファイアウォール55に持たせることも可能で、この場合には不正パケット検出部43はファイアウォール55が有することとなる。
【0053】
上記通信ゲート部41は、例えばハブ機能とルータ機能を備えたハブ・ルータ装置やサーバ等により構成することが出来る。さらに、上記通信ゲート部41とファイアウォール55は、図示の例では別の機能ブロックとして記載したが、これらを例えばプロキシサーバとして一体化する(1つのサーバとして構成する)ことも可能である。さらに、入口認証サーバ21と端末認証サーバ24についても、本実施形態では別々のサーバとしたが、これらを纏めて入口認証機能と端末認証機能を備えた1つの認証サーバとすることも可能である。
【0054】
図2Aから図2Bをも参照して本実施形態に係るセキュリティシステムにおける処理を説明する。
【0055】
管理領域1に入室しようとする利用者はまず、管理領域1の入口に備えられた生体情報読取部14に手をかざして自己の生体情報(静脈パターン)を入力する(ステップS101)。この生体情報は、入口認証サーバ21に送信され、入口認証サーバ21により1次認証処理が実行される(ステップS102)。具体的には、入口認証サーバ21は、利用者情報記憶部22に格納された利用者管理情報23を検索して同一の静脈パターンが存在するか照合する。同一の静脈パターンが存在しない場合には、認証不成功としてその旨が表示通知部15を通じて表示され(ステップS119)、入退室ゲート12は施錠閉扉されたままで利用者は管理領域1に入室することは出来ない。一方、同一の静脈パターンが存在した場合には、認証成功として入口認証サーバ21は、当該利用者に関連付けられた1次認証結果データを端末認証サーバ24に送信する。この1次認証結果データには、利用者IDが含まれる。
【0056】
1次認証結果データを受信した端末認証サーバ24は、ワンタイムパスワード生成部25を通じてワンタイムパスワードを生成し、入口認証サーバ21に送信する(ステップS104)。このワンタイムパスワードは、利用者にとっての記憶のしやすさとセキュリティ性を考慮して例えば4桁程度の数字とするが、これに限定されず、3桁以下、5桁以上あるいは文字や記号を含めるなどこれ以外のものであっても良い。ワンタイムパスワード生成部25は、公知のワンタイムパスワード生成プログラムによりランダムな4桁の数字を作成し、端末認証サーバ21に送信する。
【0057】
また端末認証サーバ24は、1次認証結果データに含まれる利用者IDをキーとして利用者情報記憶部22内に格納された利用者管理情報23を検索し、当該利用者の端末IDを得ることにより当該利用者に割り当てられている端末を特定すると共に、後に述べる端末認証処理を行うため固定パスワードを得る。また端末認証サーバ24は、当該利用者に発行された前記ワンタイムパスワードを、前記固定パスワード共に端末IDと関連付けて記憶する。
【0058】
上記ワンタイムパスワードは有効期限付きとする。この有効期限は、利用者が端末(例えば端末31/以下、当該利用者に端末31が割り当てられているとして説明する)まで移動して当該端末31での認証処理が完了するまでに必要な最小限の時間に設定する。例えば、数十秒から数分程度である。端末認証サーバ24は、所定の時点(例えばワンタイムパスワード生成部25からのワンタイムパスワードの受信時点、あるいは入口認証サーバ21へのワンタイムパスワードの送信時等)から時間をカウントし(ステップS105)、上記有効期限が経過した場合には後に述べるように端末認証を不成功とする。
【0059】
端末認証サーバ24は、前記ワンタイムパスワードを入口認証サーバ21に送信すると共に(ステップS104)、当該利用者に割り当てられている端末31に対して認証待機指令を送信する(ステップS106)。一方、入口認証サーバ21は、端末認証サーバ24から受信したワンタイムパスワードを、表示通知部15を通じて(LCDに表示することにより)利用者に伝達する(ステップS107)。利用者は画面に表示されたワンタイムパスワードを見てこれを記憶すれば良い。なお、端末装置31がリムーバブル記憶装置(例えばUSBメモリやメモリカードのようなフラッシュメモリ等)のインターフェースを備えている場合には、利用者が携帯する当該記憶装置にワンタイムパスワードを転送するようにし、当該記憶装置を端末31に差し込むことで後に述べる端末認証を行うようにしても良い。
【0060】
上記ワンタイムパスワードを受信した入口認証サーバ21は、入退室ゲート制御部13に対して入退室ゲート12を開放する指示を送信する。この指示を受け、入退室ゲート制御部13は入退室ゲート12を開錠開扉する。また、前記認証待機指令を受信した端末31は、パスワードの入力画面を表示することにより利用者にパスワードの入力を促す。利用者は、開放された入退室ゲート12を通って管理領域1に入室し、自分に割り当てられている端末31に着席してパスワードを入力する。
【0061】
端末31に固定パスワードとワンタイムパスワードが入力されると当該端末31は、これらのパスワードを含む認証要求パケットを作成し、端末認証サーバ24に送信する(ステップS109)。端末認証サーバ24はこの認証要求により2次認証処理を実行する(ステップS110〜S111)。具体的には、端末認証サーバ24は、端末31から送信された認証要求パケットに含まれる端末ID(例えば当該端末のローカルIPアドレスやMACアドレス)、固定パスワードおよびワンタイムパスワードと、前記ワンタイムパスワード発行時に記憶した端末ID、固定パスワードおよびワンタイムパスワードとを比較し、これらが総て一致する場合に認証成功として当該端末31に対して起動指令を送信する。そして、当該起動指令を受けた端末31は、ログオン処理を実行すると共に(ステップS112)、ディスプレイに表示することで認証成功である旨を利用者に通知する。
【0062】
なお、上記パスワードの入力方法ならびに端末認証サーバによる認証方法は、この実施形態では、固定パスワードとワンタイムパスワードを単純に同時に入力させて両パスワードがそれぞれ正しいか判定を行うものとするが、これらパスワードの入力方法ならびに認証方法は、他にも様々な方法を採ることが可能である。例えば、固定・ワンタイムいずれか一方のパスワードを入力させてこれによりまず認証を行い、これに成功した場合に他方のパスワードを入力させてこれにより次の認証を行うような段階的な方法によっても良いし、両パスワードを同時に入力させるにしても、前に述べたように、両パスワードの例えば加算値を算出してこれが正しいかにより判定を行ったり、固定パスワードを秘密鍵、ワンタイムパスワードを公開鍵とした公開鍵方式により認証を行うなど、実施形態以外にも様々な認証方法を採用することが可能である。また、固定パスワードは予め利用者と共有されていることは既に述べたとおりである。
【0063】
端末認証が成功した場合には、端末認証サーバ24はさらに、通信ゲート制御部42へ当該端末31を特定する端末固有データ(端末ID/ネットワーク物理アドレス)を送信する。通信ゲート制御部42は、この端末固有データにより端末31を特定してこれに対応する通信ゲート51を有効化(通信経路を開放)する。なお、各通信ゲート51,52は、標準状態(未認証状態)では閉鎖されており、如何なるデータも通過させない。
【0064】
一方、前記2次認証(端末認証)において端末ID、固定パスワードおよびワンタイムパスワードのうち一致しないものがある場合には、認証不成功としてその旨端末31のディスプレイに表示を行い(ステップS121)、当該端末31は起動させず、対応する通信ゲート51も閉鎖されたままである。また、前記入口認証が成功した場合であっても、前記ワンタイムパスワードの有効期限が経過した(時間カウント値が有効期限を超えた)場合には、端末認証サーバ24は、当該ワンタイムパスワードを無効として端末IDと固定・ワンタイム両パスワードの総てが正しい場合であっても認証を不成功とする(ステップS120)。
【0065】
さらに2次認証(端末認証)が成功した場合であっても、不正パケット検出部43によって不正パケットが検出された場合には(ステップS115)、不正パケット検出部43が端末認証サーバ24に通知を行い、端末認証サーバ24はこの通知を受け、認証を取り消すこととして通信ゲート制御部42を介して当該端末31に対応する通信ゲート51を閉鎖し通信を遮断する(ステップS122)。
【0066】
また、端末31が一定時間以上操作されないことが端末操作検出部35によって検出された場合には(ステップS116)、端末認証サーバ24は端末操作検出部35からの検出信号を受け、当該端末31をログオフ(強制終了)させると共に通信ゲート制御部42を介して当該端末31に対応する通信ゲート51を閉鎖して未認証状態に戻す(自動ログオフ処理)(ステップS117〜S118)。
【0067】
また、かかる端末不操作に基づく自動ログオフ処理に加えて、前記退室ログオフ処理を行うようにしても良い。この場合、利用者の退室を検出するため、例えば入退室ゲート12の内側(室内側)にも生体情報読取部(図示せず)を設置することにより退室者の本人確認を行い、端末認証サーバ24が当該退室した利用者の端末31をログオフさせ、通信ゲート制御部42を介して対応する通信ゲート51を閉鎖するようにすれば良い。
【0068】
さらに前記実施形態では、端末を予め利用者に割り当てているが端末を予め割り当てることなく、管理領域入口で入室時に利用者に指定する態様を採ることも可能である。この場合、利用者に端末を割り当てる端末指定部を更に設けておき、入口認証サーバ21による認証が成功した場合にこの端末指定部が指定する端末を表示通知部15を通じて利用者に通知する(例えば管理領域内の端末に予めそれぞれ番号を付けておいてこの番号をワンタイムパスワードと共に画面に表示する)ようにすれば良い。
【0069】
また前記実施形態では、端末のログオン時に認証を行ったが、ログオン時には特に認証を要求せず、端末から通信ないしネットワークへの接続を試みた時点で(例えばブラウザやメーラーの立ち上げ時に)前記端末認証を要求するようにしても良い。
【符号の説明】
【0070】
1 セキュリティ管理領域
2 内部ネットワーク
3 データベース
5 外部ネットワーク
11 入退室ゲート部
12 入退室ゲート
13 入退室ゲート制御部
14 生体情報読取部
21 入口認証サーバ
22 利用者情報記憶部
23 利用者情報
24 端末認証サーバ
25 ワンタイムパスワード生成部
31,32 端末装置
35 端末操作検出部
41 通信ゲート部
42 通信ゲート制御部
43 不正パケット検出部
51,52 通信ゲート
55 ファイアウォール
【技術分野】
【0001】
本発明は、セキュリティシステムに係り、特に、企業オフィスや研究所など特定人のみに入室を許すセキュリティ管理領域からの情報漏洩を防ぐ技術に関する。
【背景技術】
【0002】
インターネットをはじめとするデータ通信ネットワークが普及する一方で、近年、企業や各種事業体の保有する情報はコンピュータによって一元管理される傾向にある。このため、情報の保護が十分でなければ、紙文書による時代と比較して個人情報や顧客データ、社外秘情報のような大量の機密情報がネットワークを介して簡単に流出するおそれがある。このため、情報の漏洩を防ぐ様々なセキュリティ技術が提供されている(例えば下記特許文献参照)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2008‐77362号公報
【特許文献2】特開2006‐309698号公報
【特許文献3】特開2008‐15786号公報
【特許文献4】特開2008‐160803号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
ところで、情報の漏洩を防ぐには、部外者の物理的侵入(管理領域への部外者自身の立ち入り)や通信回線を通じての侵入(不正なアクセス)を排除することが基本となるがこれらだけでは十分でない。組織内部の人間であっても、他人になりすまして端末装置を操作し、例えば権限外のデータを入手したりこれを外部へ送信するなどの不正に対処する必要があるからである。
【0005】
一方、企業や事業所では、例えばIDとパスワードによる認証を行い、各人が業務に使用する端末の利用や特定情報へのアクセスを制限する場合がある。しかしながら、このような認証処理を行っても十分なセキュリティが得られるとは限らない。パスワードの管理を全員に徹底することは必ずしも容易ではなく、認証機能を生かしきれないことも現実には少なくないからである。例えば、他人が簡単に推定できる誕生日や個人名そのものをパスワードに利用していたり、極端な例では、忘れないようパスワードを記載したメモをデスク上に貼り付けておくなど、その扱いには個人差が生じることが避けられない。また、定期的に変更することの煩わしさからパスワードは固定的なものになりがちで、キー操作を盗み見れば他人のパスワードを知ることも不可能ではない。
【0006】
他方、前記特許文献1(特開2008‐77362)記載の発明では、機密情報を扱うセキュリティ管理領域内への入退出時のユーザ認証処理と、入室後の端末装置を利用するユーザ認証処理とを関連付け、使用できる端末の数を制限することでセキュリティレベルの向上を図る。ところが、この文献1記載の方法では、ユーザが入室しておりかつ端末の利用上限数を超えないこと等の条件を満たせば、当該ユーザに許可されている端末の1つから他人が容易に認証を受け自由にネットワークにアクセスすることが可能である。
【0007】
また、前記特許文献2(特開2006‐309698)、特許文献3(特開2008‐15786)および特許文献4(特開2008‐160803)はいずれも、遠隔地からネットワーク経由でコンピュータを利用する所謂ターミナルサービス(リモートアクセス)におけるアクセス制御技術に関するもので、企業オフィスのような管理領域内に設置した端末を当該領域内で複数の者が使用する利用形態を対象とするものではない。
【0008】
したがって、本発明の目的は、セキュリティ管理領域におけるセキュリティレベルを高め、情報漏洩をより確実に防ぐ点にある。
【課題を解決するための手段】
【0009】
前記課題を解決し目的を達成するため、本発明に係る第一のセキュリティシステムは、セキュリティ管理領域の内部に構築された内部ネットワークを介して外部ネットワークに接続可能に設置した複数の端末装置と、当該端末装置と前記内部ネットワークとの間または前記内部ネットワークと前記外部ネットワークとの間に介在し当該端末装置を前記内部ネットワークまたは前記外部ネットワークに接続可能とする通信ゲート部と、前記端末装置を使用する利用者の識別情報を、当該利用者および前記端末装置のうちの少なくとも1台に関連付けて利用者情報として予め記憶可能な利用者情報記憶部と、前記セキュリティ管理領域の出入口を開閉可能に閉鎖する入退室ゲートを含んで前記セキュリティ管理領域に対する利用者の入室および退室のうち少なくとも入室を制限する入退室ゲート部と、前記入退室ゲートの外側に備えられて前記セキュリティ管理領域に入室する利用者が自身の識別情報を入力できる識別情報入力部と、当該識別情報入力部を通じて入力された識別情報と前記利用者情報記憶部に予め記憶された利用者情報とを比較し、当該入力された識別情報が前記利用者情報記憶部に予め記憶されたいずれかの利用者の識別情報と一致するか判定することにより本人認証を行う入口認証部と、前記本人認証が成功した場合に当該利用者に対してワンタイムパスワードを発行するワンタイムパスワード発行部と、前記ワンタイムパスワードを前記入退室ゲートの外側において当該利用者に提供する入口認証通知部と、前記ワンタイムパスワード発行部によって発行されたパスワードと、当該利用者に関連付けられた前記端末装置から入力されたパスワードとを比較し、両者が一致した場合に認証成功と、両者が一致しないか又は一致しても前記利用者情報により特定された端末装置以外の端末装置から入力されたものである場合に認証不成功とそれぞれ判定する端末認証部とを備える。そして、前記入退室ゲート部は、前記入口認証部による認証が成功した場合に前記入退室ゲートを開放する一方、未認証および認証不成功の場合には前記入退室ゲートを閉鎖し、前記通信ゲート部は、前記端末認証部による認証が成功した場合に当該端末装置のネットワークへの接続を許可する一方、未認証および認証不成功の場合には当該端末装置のネットワークへの接続を遮断する。
【0010】
本発明のセキュリティシステムは、入退室ゲートによって入室を(または更に退室も)制限したセキュリティ管理領域(以下、単に管理領域と言うことがある)の内部に設置した端末装置の使用、特に起動や通信(ネットワークへの接続や通信を伴うソフトウエアの使用等)を制限することにより当該管理領域からの情報の漏洩を防ぐもので、上記第一のセキュリティシステムでは、端末装置によるネットワークへの接続を制限することで管理領域から情報が漏洩することを防止する。
【0011】
管理領域への入室は、予め登録された特定の者のみ許される。これを実現するため本発明では、管理領域の出入口に入退室ゲートを設けて当該出入口を閉鎖すると共に、本人確認を行う入口認証部を設け、さらに入退室ゲート(管理領域)の外側に、管理領域に入室しようとする者の識別情報を読み取る識別情報入力部を配置する。
【0012】
なお、入退室ゲートとは、物理的に人間の入室を阻止可能とする構造物を言い、例えばドアや門扉、バーなどにより構成することが出来る。入退室ゲート(管理領域の出入口)は1つ(1箇所)に限られず、複数あるいは複数箇所に設けることも可能である。
【0013】
また、本発明に言うセキュリティ管理領域は、その種類や所有主体、規模、名称等を問わない。一例を挙げれば、企業や公共機関(国・地方公共団体の省庁・役所・国際機関等)、大学その他の教育研究機関、個人事業主などの社屋・オフィス・研究所・コールセンタその他の施設が含まれるが、これらに限定されるものではない。また当該管理領域は、建物全体であっても良いし、建物の一部(特定の部屋や空間等)であっても良い。
【0014】
上記識別情報としては、例えば手の静脈パターンや指紋、虹彩、網膜等の身体的特徴を示すものを使用することが認証精度(本人確認の確実性)を高める点で好ましい。ただしこのような生体認証情報以外にも、利用者が携帯可能な例えば磁気カードやRFIDを使用するICカードなどにデータを格納しこれを識別情報として使用することも可能である。入退室ゲート(管理領域)の外側には、これらのいずれか(又はこれらのうちの2以上を組み合わせて使用することも可能である)を読み取るリーダを識別情報入力部として設置する。
【0015】
また本発明の第一のシステムでは、上記入口認証部による認証を行うため、利用者を特定する情報を格納する利用者情報記憶部を設け、この利用者情報記憶部に、管理領域への入室を許可する者の識別情報を当該利用者および端末装置のうちの少なくとも1台に関連付けて利用者情報として予め格納しておく。管理領域へ入室しようとする者は、上記識別情報を識別情報入力部から入力するが、入口認証部はこの入力された識別情報を利用者情報記憶部に格納された利用者情報と比較することにより認証を行い、当該入力された識別情報が利用者情報記憶部に予め記憶されたいずれかの利用者の識別情報と一致する場合には認証成功と、一致しないか或いは一致しても前記利用者情報により特定された端末装置以外の端末装置から入力されたものである場合には認証不成功とそれぞれ判定する。
【0016】
そして、認証成功の場合には、ワンタイムパスワード発行部がワンタイムパスワードを発行し、入退室ゲート部が入退室ゲートを開放する。ワンタイムパスワードは、例えば数桁の数字や記号からなる一時的な(認証ごと毎回異なる)パスワードであり、入口認証通知部によって当該利用者に提供される。この入口認証通知部による利用者へのパスワードの提供方法としては、例えば表示装置(LCD等)に表示するなど視覚的に利用者に通知する方式が典型的な例として挙げられるがこれに限られず、利用者が携帯する磁気カードやICカード、携帯可能な記憶媒体(例えばフラッシュメモリ)などに書き込む方法によることも可能である。
【0017】
入口認証通知部は、入退室ゲートの外側に配置してあり、したがって管理領域内の人間からは見えず、管理領域内の他の利用者にパスワードを知られることがない。なお、管理領域内の利用者が一旦退室し、再度入室する場合には、最初の入室時と同様に再度異なるワンタイムパスワードがワンタイムパスワード発行部によって発行され(前回入室したときに発行されたパスワードは無効)、この新たなパスワードによって後に述べる端末認証を行う。
【0018】
入口認証部による認証が不成功の場合、あるいは識別情報入力部に識別情報が未だ入力されていない場合(未認証)には、入退室ゲート部は入退室ゲートを開放せず、管理領域の出入口は閉鎖されたままである。なお、本発明において入退室ゲート部は、入室と退室のうち少なくとも入室を制限し、退室は自由に行えるようにしても良いし、入室と退室の双方を制限するようにしても良い。入室に加えて退室も制限するシステムの構成例については、後に述べる。
【0019】
ワンタイムパスワード発行部によって発行されたワンタイムパスワードは、端末認証部にも提供され、端末認証部はこれを使って端末認証を行う。具体的には、端末認証部は、ワンタイムパスワード発行部によって発行されたパスワードと、当該利用者に関連付けられた端末装置から入力されたパスワードとを比較し、両者が一致した場合に認証成功と、両者が一致しないか又は一致しても前記利用者情報により特定された端末装置以外の端末装置から入力されたものである場合に認証不成功とそれぞれ判定する。そして、端末認証部により認証が成功した場合には、通信ゲート部が当該端末装置のネットワークへの接続を許可する。一方、未認証の場合、あるいは端末認証部による認証が不成功の場合には、通信ゲート部は当該端末装置のネットワークへの接続を遮断し如何なるデータ(パケット)をも通過させない。
【0020】
なお、ここで言うネットワークとは、内部ネットワーク(LAN)と外部ネットワーク(例えばインターネット)のいずれか一方または双方を意味する。すなわち、上記端末認証の結果に基づいて内部ネットワークと外部ネットワークの双方について接続の許可(認証成功の場合)または遮断(認証不成功又は未認証の場合)を行っても良いし、内部ネットワークへの接続は認証結果にかかわらず常に許可として外部ネットワークへの接続のみについて許可(認証成功の場合)または遮断(認証不成功又は未認証の場合)を行うようにしても良い。
【0021】
また、上記端末認証部による認証処理、ならびに通信ゲート部によるネットワークへの接続可否の処理にあたって端末装置を特定するには、当該端末装置の例えばIPアドレス(ローカルアドレス又はグローバルアドレス)やMACアドレスを利用すれば良い。さらに、上記通信ゲート部によるネットワークへの接続の許可および遮断処理の具体的な方法としては、例えば、ネットワークへの接続を許可する場合(認証成功)には当該端末装置を送信元または送信先とする通信パケットを通信ゲート部が中継する一方、ネットワークへの接続を遮断する場合(認証不成功又は未認証)には当該端末装置を送信元または送信先とする通信パケットを破棄するようにすれば良い。またこのような方法に限らず、例えば、各端末装置に対応する通信ゲートを備えてこれらの通信ゲートを物理的(電気的)にオンオフすることでネットワークへの接続および遮断を行うようにするなど他の方法によることも可能である。当該通信ゲート部は、通信パケットを中継可能な、例えばルータやスイッチ、プロキシサーバ等により構成することが出来る。なお、本発明に言うネットワークは、有線・無線を問わずいずれであっても良い。
【0022】
本発明の第一のセキュリティシステムによれば、管理領域の出入口に配した認証手段(好ましくは生体認証)によって本人確認を行い、この認証と入室の度に変動するワンタイムパスワードとを組み合わせることで、個々の端末装置に認証機能を備えていなくても実質的に当該認証(好ましい例として生体認証)と同等のセキュリティ性を各端末装置に付与することが可能となる。また、予め割り当てられた端末装置以外の端末装置から正しいワンタイムパスワードが入力されたとしても端末認証部による認証は不成功となるから、管理領域に正当に入室できた利用者であっても他人の(割り当てられていない)端末装置を無断で使用してネットワークへ接続し、権限外のデータを入手したり外部へ送信するようなことも防ぐことが出来る。
【0023】
上記第一のセキュリティシステム(後に述べる第三のセキュリティシステムも同様)では、管理領域内に設置された端末装置を、利用者情報として利用者情報記憶部に記憶させることで特定の利用者に予め割り当てている。これに対し、次に述べる本発明の第二のセキュリティシステム(後に述べる第四のセキュリティシステムも同様)は、管理領域内に設置した任意の端末装置を使用させる(端末装置を利用者に予め割り当てておかず管理領域の入口で指定する)運用に対応可能としたものである。なお、このような運用に適する管理領域としては、これらに限定される訳ではないが、通信販売の受付を行うコールセンタや、製品・サービスに対する顧客サポートを行うサポートセンタ等が一例として挙げられる。
【0024】
すなわち、本発明に係る第二のセキュリティシステムは、セキュリティ管理領域の内部に構築された内部ネットワークを介して外部ネットワークに接続可能に設置した複数の端末装置と、当該端末装置と前記内部ネットワークとの間または前記内部ネットワークと前記外部ネットワークとの間に介在し当該端末装置を前記内部ネットワークまたは前記外部ネットワークに接続可能とする通信ゲート部と、前記端末装置を使用する利用者の識別情報を、当該利用者に関連付けて利用者情報として予め記憶可能な利用者情報記憶部と、前記セキュリティ管理領域の出入口を開閉可能に閉鎖する入退室ゲートを含んで前記セキュリティ管理領域に対する利用者の入室および退室のうち少なくとも入室を制限する入退室ゲート部と、前記入退室ゲートの外側に備えられて前記セキュリティ管理領域に入室する利用者が自身の識別情報を入力できる識別情報入力部と、当該識別情報入力部を通じて入力された識別情報と前記利用者情報記憶部に予め記憶された利用者情報とを比較し、当該入力された識別情報が前記利用者情報記憶部に予め記憶されたいずれかの利用者の識別情報と一致するか判定することにより本人認証を行う入口認証部と、前記本人認証が成功した場合に、当該利用者に対してワンタイムパスワードを発行するワンタイムパスワード発行部と、前記本人認証が成功した場合に、当該利用者が使用すべき端末装置として前記複数の端末装置のうちの少なくとも1台を特定する端末指定情報を発行する端末指定部と、前記ワンタイムパスワードおよび前記端末特定情報を前記入退室ゲートの外側において当該利用者に提供する入口認証通知部と、前記ワンタイムパスワード発行部によって発行されたパスワードと、前記端末指定情報によって特定された端末装置から入力されたパスワードとを比較し、両者が一致した場合に認証成功と、両者が一致しないか又は一致しても前記端末指定情報により特定された端末装置以外の端末装置から入力されたものである場合に認証不成功とそれぞれ判定する端末認証部とを備える。そして、入退室ゲート部は、入口認証部による認証が成功した場合に入退室ゲートを開放する一方、未認証および認証不成功の場合には入退室ゲートを閉鎖し、通信ゲート部は、端末認証部による認証が成功した場合に当該端末装置のネットワークへの接続を許可する一方、未認証および認証不成功の場合には当該端末装置のネットワークへの接続を遮断する。
【0025】
本発明の第二のセキュリティシステムは、前記第一のセキュリティシステムと同様に、複数の端末装置、通信ゲート部、利用者情報記憶部、入退室ゲート部、識別情報入力部、入口認証部、ワンタイムパスワード発行部、入口認証通知部および端末認証部を備えるものであるが、入口認証部による本人認証が成功した場合に当該利用者が使用すべき端末装置として前記複数の端末装置のうちの少なくとも1台を特定する端末指定情報を発行する端末指定部をさらに備えており、入口認証通知部によってワンタイムパスワードと共に、この端末指定情報も利用者に提供する。したがってこの第二のシステムでは、利用者情報記憶部は、端末装置を使用する利用者の識別情報を当該利用者に関連付けて利用者情報として予め記憶しているが、端末装置を利用者に関連付ける情報を有する必要はない。
【0026】
端末認証部は、ワンタイムパスワード発行部によって発行されたパスワードと、端末指定情報によって特定された端末装置から入力されたパスワードとを比較し、両者が一致した場合に認証成功と、両者が一致しないか又は一致しても前記端末指定情報により特定された端末装置以外の端末装置から入力されたものである場合には認証不成功とそれぞれ判定する。入口認証部ならびに端末認証部による認証後の処理(入退室ゲートの開閉および端末装置のネットワークへの接続の可否)については、前記第一のセキュリティシステムと同様である。
【0027】
また、上記第一および第二のセキュリティシステムでは、通信ゲート部を通過するパケットを監視して予め定められた許可されない不正パケットを検出する通信監視部をさらに備えても良い。この当該通信監視部により不正パケットが検出された場合には、前記通信ゲート部は当該不正パケットの送信元または送信先となる端末装置のネットワークへの接続を遮断する。
【0028】
上記不正パケットは、当該管理領域の運用方針によって様々な設定(何を許可パケットとし何を不許可パケットするか)を行うことが出来るが、特に、許可されていない送信先へのパケットや接続要求が含まれる。この許可/不許可(例えば、特定の接続先は接続を許可するが他は禁止としたり、特定の送信先はメール送信を認めるが他は禁止とするなど)は、例えば当該利用者の属性(職種・地位・権限等)によって予め決定しておけば良い。また、不正パケットであるか否かは、例えば送信先・接続先のアドレスやポート番号、URL、プロトコル(例えばFTP(File Transfer Protocol)やSMTP(Simple Mail Transfer Protocol)は不許可とするなど)等により判断するようにすれば良い。さらに、データの内容をチェックして特定内容のもの(例えば特定の文言を含む等)を上記不正パケットとすることも可能である。
【0029】
また、本発明に係る第三のセキュリティシステムは、セキュリティ管理領域の内部に構築された内部ネットワークを介して外部ネットワークに接続可能に設置した複数の端末装置と、前記端末装置を使用する利用者の識別情報を、当該利用者および前記端末装置のうちの少なくとも1台に関連付けて利用者情報として予め記憶可能な利用者情報記憶部と、前記セキュリティ管理領域の出入口を開閉可能に閉鎖する入退室ゲートを含んで前記セキュリティ管理領域に対する利用者の入室および退室のうち少なくとも入室を制限する入退室ゲート部と、前記入退室ゲートの外側に備えられて前記セキュリティ管理領域に入室する利用者が自身の識別情報を入力できる識別情報入力部と、当該識別情報入力部を通じて入力された識別情報と前記利用者情報記憶部に予め記憶された利用者情報とを比較し、当該入力された識別情報が前記利用者情報記憶部に予め記憶されたいずれかの利用者の識別情報と一致するか判定することにより本人認証を行う入口認証部と、前記本人認証が成功した場合に当該利用者に対してワンタイムパスワードを発行するワンタイムパスワード発行部と、前記ワンタイムパスワードを前記入退室ゲートの外側において当該利用者に提供する入口認証通知部と、前記ワンタイムパスワード発行部によって発行されたパスワードと、当該利用者に関連付けられた前記端末装置から入力されたパスワードとを比較し、両者が一致した場合に認証成功と、両者が一致しないか又は一致しても前記利用者情報により特定された端末装置以外の端末装置から入力されたものである場合に認証不成功とそれぞれ判定する端末認証部とを備え、前記入退室ゲート部は、前記入口認証部による認証が成功した場合に前記入退室ゲートを開放する一方、未認証および認証不成功の場合には前記入退室ゲートを閉鎖し、前記端末装置は、前記端末認証部による認証が成功しない限り使用制限がなされるものである。
【0030】
この第三のセキュリティシステムは、前記第一のセキュリティシステムと同様に、複数の端末装置、利用者情報記憶部、入退室ゲート部、識別情報入力部、入口認証部、ワンタイムパスワード発行部、入口認証通知部および端末認証部を備え、入退室ゲート部が入口認証部による認証が成功した場合に入退室ゲートを開放する一方、未認証および認証不成功の場合には入退室ゲートを閉鎖するものであるが、端末認証部による認証が成功しない限り前記端末装置に対して使用制限を課する。
【0031】
この使用制限の例としては、端末装置の起動(例えばOSの起動)禁止、あるいは通信を伴うソフトウエアの使用禁止を挙げることが出来る。通信を伴うソフトウエアには、電子メールソフト(メーラー)やファイル閲覧用のソフトウエア(Webブラウザ、データベース閲覧ソフト等)が含まれ、例えば、端末装置の起動(あるいは更にワープロソフトや表計算ソフトのように通信を伴わないアプリケーションの使用)は許可するが、上記通信を伴うソフトウエアの総て又はそれらのうちの一部について使用を禁止する態様が考えられる。このような措置によっても、外部への情報漏洩や権限外の情報へのアクセスを防ぐことが可能である。
【0032】
本発明の第四のセキュリティシステムは、セキュリティ管理領域の内部に構築された内部ネットワークを介して外部ネットワークに接続可能に設置した複数の端末装置と、当該端末装置を使用する利用者の識別情報を、当該利用者に関連付けて利用者情報として予め記憶可能な利用者情報記憶部と、前記セキュリティ管理領域の出入口を開閉可能に閉鎖する入退室ゲートを含んで前記セキュリティ管理領域に対する利用者の入室および退室のうち少なくとも入室を制限する入退室ゲート部と、前記入退室ゲートの外側に備えられて前記セキュリティ管理領域に入室する利用者が自身の識別情報を入力できる識別情報入力部と、当該識別情報入力部を通じて入力された識別情報と前記利用者情報記憶部に予め記憶された利用者情報とを比較し、当該入力された識別情報が前記利用者情報記憶部に予め記憶されたいずれかの利用者の識別情報と一致するか判定することにより本人認証を行う入口認証部と、前記本人認証が成功した場合に、当該利用者に対してワンタイムパスワードを発行するワンタイムパスワード発行部と、前記本人認証が成功した場合に、当該利用者が使用すべき端末装置として前記複数の端末装置のうちの少なくとも1台を特定する端末指定情報を発行する端末指定部と、前記ワンタイムパスワードおよび前記端末特定情報を前記入退室ゲートの外側において当該利用者に提供する入口認証通知部と、前記ワンタイムパスワード発行部によって発行されたパスワードと、前記端末指定情報によって特定された端末装置から入力されたパスワードとを比較し、両者が一致した場合に認証成功と、両者が一致しないか又は一致しても前記端末指定情報により特定された端末装置以外の端末装置から入力されたものである場合に認証不成功とそれぞれ判定する端末認証部とを備え、前記入退室ゲート部は、前記入口認証部による認証が成功した場合に前記入退室ゲートを開放する一方、未認証および認証不成功の場合には前記入退室ゲートを閉鎖し、前記端末装置は、前記端末認証部による認証が成功しない限り使用制限がなされる。
【0033】
この第四のセキュリティシステムは、前記第三のシステムと同様に端末認証部による認証が成功しない限り端末装置に対して使用制限を課するものであるが、第三のシステムと異なり、端末装置を利用者に予め割り当てておかない利用態様に対応するものである。このためこの第四のシステムは、前記第二のシステムと同様に、端末指定情報を発行する端末指定部を備え、入口認証通知部によってワンタイムパスワードと一緒に端末指定情報を利用者に提供する。利用者は、指定された端末装置からワンタイムパスワードを入力して端末認証部による認証を受ければ良い。なお、第四のシステムにおける入口認証部による処理ならびに端末認証部による処理は、それぞれ前記第二のシステムおよび第三のシステムと同様であるから重複した説明を省略する。
【0034】
前記第一から第四の各システムにおいては、ワンタイムパスワードに有効期限を設けても良い。この場合、前記ワンタイムパスワード発行部によりワンタイムパスワードが発行されてから一定時間(例えば発行後数分〜数十分)経過した後には、端末認証部は当該ワンタイムパスワードを無効として端末装置から入力されたパスワードと当該ワンタイムパスワードとが一致した場合にも認証不成功とする。
【0035】
さらに前記第一から第四の各システムにおいて、端末認証部が、ワンタイムパスワードによる認証に加えてさらに予め設定されたパスワードである固定パスワードによって(ワンタイムパスワードと固定パスワードの組み合わせにより)認証を行うようにしても良い。セキュリティ性を高めるためである。この場合、固定パスワードは、予め利用者と端末認証部とで共有されているものとする。具体的には、固定パスワードを例えば前記利用者情報として利用者と関連付けて利用者情報記憶部に格納しておき、この利用者情報を利用して端末認証部が認証を行うようにすれば良い。
【0036】
またこのように固定・ワンタイム両パスワードによって端末認証を行う場合には、端末装置から入力された固定パスワードとワンタイムパスワードとを単純にそれぞれ比較しても良いが(例えば固定パスワードとワンタイムパスワードを順次(順番は逆でも良い)入力させて一致するか逐次判定する)、例えば固定・ワンタイム両パスワードの加算結果により認証を行ったり、あるいは固定パスワードを秘密鍵、ワンタイムパスワードを公開鍵とする公開鍵方式により認証を行うなど様々な方法を採ることが可能である。
【0037】
さらに、前記第一から第四の各システムにおいては、認証が成功した端末装置についても一定時間以上操作されない場合にはこれを検出して未認証状態に戻すような処理を行っても良い。正当な利用者が席を離れたような場合に他の者が当該端末装置を使用することを防ぐためである。具体的には、前記第一から第四のいずれかのシステムにおいて、端末装置の操作の有無を検出する端末操作検出部をさらに備え、当該端末操作検出部により一定時間以上端末装置が操作されない場合には、前記端末認証部による認証を取り消すこととして当該端末装置に対し、前記通信ゲート部によるネットワークへの接続可能状態の解除(通信の遮断)または前記端末装置の使用制限を課せば良い(以下、この処理を「自動ログオフ」と言う)。
【0038】
さらに、上記自動ログオフ処理に代え、あるいは上記自動ログオフ処理に加えて、認証が成功した端末装置についても利用者が退室した場合にはこれを検出して当該端末装置を未認証状態に戻す処理を行うようにしても良い。
【0039】
具体的には、前記第一から第四のいずれかのシステムまたは上記自動ログオフ処理を備えたシステムにさらに、入退室ゲートの内側に備えられてセキュリティ管理領域から退室する利用者が自身の識別情報を入力できる退室時識別情報入力部と、当該退室時識別情報入力部を通じて入力された識別情報と前記利用者情報記憶部に予め記憶された利用者情報とを比較して当該入力された識別情報が前記利用者情報記憶部に予め記憶されたいずれかの利用者の識別情報と一致した場合に当該利用者が退室したと判定する退室検出部とを備え、前記退室検出部により利用者の退室が検出された場合に、前記端末認証部による認証を取り消すこととして当該利用者が使用していた端末装置に対し、前記通信ゲート部によるネットワークへの接続可能状態の解除(通信の遮断)または前記端末装置の使用制限を適用する(以下、この処理を「退室ログオフ」と言う)。
【0040】
このような退室ログオフないし自動ログオフ機能を備えたシステム構成とすれば、利用者が席をはずしたり外出や退社するようなときにも自己の端末装置を他人に使用される心配がなくなり、自己の端末のセキュリティ(所謂消し忘れ等)を特に意識せずに日常業務を行うことが可能となる。
【発明の効果】
【0041】
本発明によれば、セキュリティ管理領域からの情報漏洩を防ぎ、セキュリティレベルを向上させることが出来る。
【0042】
本発明の他の目的、特徴および利点は、図面に基づいて述べる以下の本発明の実施の形態の説明により明らかにする。なお、下記の実施形態は本発明に含まれるシステムの一例を示したものであって、本発明はこれに限定されるものではなく、特許請求の範囲に記載の範囲内で種々の変更を行うことができることは当業者に明らかである。
【図面の簡単な説明】
【0043】
【図1】図1は本発明の一実施形態に係るセキュリティシステムを示すブロック図である。
【図2A】図2Aは前記一実施形態に係るセキュリティシステムにおける処理を示すフローチャートである。
【図2B】図2Bは同じく前記一実施形態に係るセキュリティシステムにおける処理を示すフローチャートである。
【発明を実施するための形態】
【0044】
図1は、本発明の一実施形態に係るセキュリティシステムを示すものである。同図に示すようにこのセキュリティシステムは、セキュリティ管理領域1の出入口に入退室ゲート部11を設けて利用者の入室を制限する一方、当該管理領域1内に、内部ネットワーク2(例えばイントラネット等のLAN)を構築すると共に、利用者の使用に供する複数の端末装置(以下、端末と言うことがある)31,32と、これら端末31,32を内部ネットワーク2に接続する通信ゲート部41と、利用者に対して第1の認証(生体認証)を行う入口認証サーバ(入口認証部)21と、各端末31,32において利用者に第2の認証(パスワード認証)を行う端末認証サーバ(端末認証部)24と、ワンタイムパスワードを生成するワンタイムパスワード生成部25と、利用者情報23を格納する利用者情報記憶部22とを設けてなる。
【0045】
さらに内部ネットワーク2には、端末31,32からの利用に供するため、機密情報(例えば顧客データや個人情報等)を含む業務上必要な各種のデータを格納したデータベース3が接続されている。また、内部ネットワーク2はファイアウォール55を介して外部ネットワーク5(例えばインターネット)に接続されており、各端末31,32は本発明に係る所定の条件(後述する入口認証および端末認証の成功)を満たせば通信ゲート部41を介して内部ネットワーク2に接続された他の機器(前記データベース3や他の端末、図示しない他のサーバ等)ならびに外部ネットワーク5と通信を行うことが可能である。
【0046】
端末装置31,32は、典型的にはデスクトップ型またはノート型のパーソナルコンピュータあるいはワークステーションである。また、後に述べるように端末31,32が一定時間以上操作されない場合にこれを検出して自動的にログオフするようにするため、各端末31,32における操作の有無(一定時間以上操作されないこと)を検出する端末操作検出部35を備える。なお、図面では2台の端末装置31,32と、これに合わせて通信ゲート51,52および端末操作検出部35をそれぞれ2つずつしか示していないが、端末装置は3台以上任意の数備えることが可能で、これに対応して通信ゲートおよび端末操作検出部も3つ以上ずつ備えることが出来る。
【0047】
入退室ゲート部11は、利用者の入室を物理的に制限する入退室ゲート12と、当該ゲート12の開閉を制御する入退室ゲート制御部13と、利用者の生体情報を入力する生体情報読取部14と、ワンタイムパスワードを表示する表示通知部15を備えている。生体情報としてはこの実施形態では静脈パターンを使用し、これを読み取るリーダを生体情報読取部14として入退室ゲート12の外側(室外側)に設置しておく。
【0048】
表示通知部15は、例えばLCD(液晶ディスプレイ)に表示することにより後に述べるワンタイムパスワードを利用者に通知する。なお、この表示通知部15の画面は、管理領域1の外側方向(管理領域内部と反対の方向)を向くように設置してあり、したがって例えば管理領域1と外部とを仕切る壁がガラスように透明であっても、入退室ゲート12の外側に立つ利用者(これから入室しようとする者)には当該表示画面が見えるが、管理領域1の内部に居る者は当該表示画面を見ることは出来ずワンタイムパスワードを知ることは出来ない。入退室ゲート12は、この実施形態では電気的な作用により開錠・開扉および施錠・閉扉が可能なドアとし、入退室ゲート制御部13により開錠・開扉および施錠・閉扉を行う。
【0049】
利用者情報記憶部22には、利用者を管理する情報(利用者管理情報)23として、利用者を特定する利用者ID、当該利用者の使用に供する端末を特定する端末ID、当該利用者の生体情報である静脈パターン、ならびに当該利用者と予め情報を共有(利用者自身が記憶)している固定パスワードを、当該管理領域1を利用する総ての利用者について予め格納してある。この利用者情報(例えば端末ID、固定パスワード等)は、管理者が適宜書き換え、削除しあるいは新規に登録することが可能である。
【0050】
通信ゲート部41は、各端末31,32に対応して端末31,32と内部ネットワーク2との通信路を開閉する通信ゲート51,52と、これら通信ゲート51,52を制御する通信ゲート制御部42と、許可されていないパケットを検出する不正パケット検出部(通信監視部)43とを含む。この通信ゲート部41による通信路(通信ゲート51,52)の開閉(接続/遮断)は、許可するパケットを中継し、許可しないパケットを破棄するようにソフトウエア的に行うことも出来るし、電気的なスイッチのように伝送路を物理的に開閉することにより行うことも可能である。
【0051】
またこの通信ゲート部41は、端末認証が成功した後にも、許可されていない通信が行われていないか監視し許可されていない通信を遮断するモニタリング機能を備えている。具体的には、上記不正パケット検出部43は、各端末装置31,32が各通信ゲート51,52を通じて行っている通信を実時間でモニタリングしており、不正なパケットを検出した場合にはその旨を端末認証サーバ24に通知する。端末認証サーバ24は、不正パケット検出部43からの検出信号を受信すると、認証を取り消すこととして通信ゲート制御部41を介して当該端末31,32に対応する通信ゲート51,52を閉鎖し通信を遮断する。
【0052】
なお、不正パケットとは、既に述べたように、当該利用者に許可されていない送信先へのパケットや接続要求等であり、不正パケット検出部は、例えば送信先・接続先のアドレスやポート番号、URL、プロトコル等により不正パケットを検出する。またデータの内容をチェックして特定内容のもの(例えば特定の文言を含む等)を上記不正パケットとすることも可能である。なお、かかるモニタリング機能は、ファイアウォール55に持たせることも可能で、この場合には不正パケット検出部43はファイアウォール55が有することとなる。
【0053】
上記通信ゲート部41は、例えばハブ機能とルータ機能を備えたハブ・ルータ装置やサーバ等により構成することが出来る。さらに、上記通信ゲート部41とファイアウォール55は、図示の例では別の機能ブロックとして記載したが、これらを例えばプロキシサーバとして一体化する(1つのサーバとして構成する)ことも可能である。さらに、入口認証サーバ21と端末認証サーバ24についても、本実施形態では別々のサーバとしたが、これらを纏めて入口認証機能と端末認証機能を備えた1つの認証サーバとすることも可能である。
【0054】
図2Aから図2Bをも参照して本実施形態に係るセキュリティシステムにおける処理を説明する。
【0055】
管理領域1に入室しようとする利用者はまず、管理領域1の入口に備えられた生体情報読取部14に手をかざして自己の生体情報(静脈パターン)を入力する(ステップS101)。この生体情報は、入口認証サーバ21に送信され、入口認証サーバ21により1次認証処理が実行される(ステップS102)。具体的には、入口認証サーバ21は、利用者情報記憶部22に格納された利用者管理情報23を検索して同一の静脈パターンが存在するか照合する。同一の静脈パターンが存在しない場合には、認証不成功としてその旨が表示通知部15を通じて表示され(ステップS119)、入退室ゲート12は施錠閉扉されたままで利用者は管理領域1に入室することは出来ない。一方、同一の静脈パターンが存在した場合には、認証成功として入口認証サーバ21は、当該利用者に関連付けられた1次認証結果データを端末認証サーバ24に送信する。この1次認証結果データには、利用者IDが含まれる。
【0056】
1次認証結果データを受信した端末認証サーバ24は、ワンタイムパスワード生成部25を通じてワンタイムパスワードを生成し、入口認証サーバ21に送信する(ステップS104)。このワンタイムパスワードは、利用者にとっての記憶のしやすさとセキュリティ性を考慮して例えば4桁程度の数字とするが、これに限定されず、3桁以下、5桁以上あるいは文字や記号を含めるなどこれ以外のものであっても良い。ワンタイムパスワード生成部25は、公知のワンタイムパスワード生成プログラムによりランダムな4桁の数字を作成し、端末認証サーバ21に送信する。
【0057】
また端末認証サーバ24は、1次認証結果データに含まれる利用者IDをキーとして利用者情報記憶部22内に格納された利用者管理情報23を検索し、当該利用者の端末IDを得ることにより当該利用者に割り当てられている端末を特定すると共に、後に述べる端末認証処理を行うため固定パスワードを得る。また端末認証サーバ24は、当該利用者に発行された前記ワンタイムパスワードを、前記固定パスワード共に端末IDと関連付けて記憶する。
【0058】
上記ワンタイムパスワードは有効期限付きとする。この有効期限は、利用者が端末(例えば端末31/以下、当該利用者に端末31が割り当てられているとして説明する)まで移動して当該端末31での認証処理が完了するまでに必要な最小限の時間に設定する。例えば、数十秒から数分程度である。端末認証サーバ24は、所定の時点(例えばワンタイムパスワード生成部25からのワンタイムパスワードの受信時点、あるいは入口認証サーバ21へのワンタイムパスワードの送信時等)から時間をカウントし(ステップS105)、上記有効期限が経過した場合には後に述べるように端末認証を不成功とする。
【0059】
端末認証サーバ24は、前記ワンタイムパスワードを入口認証サーバ21に送信すると共に(ステップS104)、当該利用者に割り当てられている端末31に対して認証待機指令を送信する(ステップS106)。一方、入口認証サーバ21は、端末認証サーバ24から受信したワンタイムパスワードを、表示通知部15を通じて(LCDに表示することにより)利用者に伝達する(ステップS107)。利用者は画面に表示されたワンタイムパスワードを見てこれを記憶すれば良い。なお、端末装置31がリムーバブル記憶装置(例えばUSBメモリやメモリカードのようなフラッシュメモリ等)のインターフェースを備えている場合には、利用者が携帯する当該記憶装置にワンタイムパスワードを転送するようにし、当該記憶装置を端末31に差し込むことで後に述べる端末認証を行うようにしても良い。
【0060】
上記ワンタイムパスワードを受信した入口認証サーバ21は、入退室ゲート制御部13に対して入退室ゲート12を開放する指示を送信する。この指示を受け、入退室ゲート制御部13は入退室ゲート12を開錠開扉する。また、前記認証待機指令を受信した端末31は、パスワードの入力画面を表示することにより利用者にパスワードの入力を促す。利用者は、開放された入退室ゲート12を通って管理領域1に入室し、自分に割り当てられている端末31に着席してパスワードを入力する。
【0061】
端末31に固定パスワードとワンタイムパスワードが入力されると当該端末31は、これらのパスワードを含む認証要求パケットを作成し、端末認証サーバ24に送信する(ステップS109)。端末認証サーバ24はこの認証要求により2次認証処理を実行する(ステップS110〜S111)。具体的には、端末認証サーバ24は、端末31から送信された認証要求パケットに含まれる端末ID(例えば当該端末のローカルIPアドレスやMACアドレス)、固定パスワードおよびワンタイムパスワードと、前記ワンタイムパスワード発行時に記憶した端末ID、固定パスワードおよびワンタイムパスワードとを比較し、これらが総て一致する場合に認証成功として当該端末31に対して起動指令を送信する。そして、当該起動指令を受けた端末31は、ログオン処理を実行すると共に(ステップS112)、ディスプレイに表示することで認証成功である旨を利用者に通知する。
【0062】
なお、上記パスワードの入力方法ならびに端末認証サーバによる認証方法は、この実施形態では、固定パスワードとワンタイムパスワードを単純に同時に入力させて両パスワードがそれぞれ正しいか判定を行うものとするが、これらパスワードの入力方法ならびに認証方法は、他にも様々な方法を採ることが可能である。例えば、固定・ワンタイムいずれか一方のパスワードを入力させてこれによりまず認証を行い、これに成功した場合に他方のパスワードを入力させてこれにより次の認証を行うような段階的な方法によっても良いし、両パスワードを同時に入力させるにしても、前に述べたように、両パスワードの例えば加算値を算出してこれが正しいかにより判定を行ったり、固定パスワードを秘密鍵、ワンタイムパスワードを公開鍵とした公開鍵方式により認証を行うなど、実施形態以外にも様々な認証方法を採用することが可能である。また、固定パスワードは予め利用者と共有されていることは既に述べたとおりである。
【0063】
端末認証が成功した場合には、端末認証サーバ24はさらに、通信ゲート制御部42へ当該端末31を特定する端末固有データ(端末ID/ネットワーク物理アドレス)を送信する。通信ゲート制御部42は、この端末固有データにより端末31を特定してこれに対応する通信ゲート51を有効化(通信経路を開放)する。なお、各通信ゲート51,52は、標準状態(未認証状態)では閉鎖されており、如何なるデータも通過させない。
【0064】
一方、前記2次認証(端末認証)において端末ID、固定パスワードおよびワンタイムパスワードのうち一致しないものがある場合には、認証不成功としてその旨端末31のディスプレイに表示を行い(ステップS121)、当該端末31は起動させず、対応する通信ゲート51も閉鎖されたままである。また、前記入口認証が成功した場合であっても、前記ワンタイムパスワードの有効期限が経過した(時間カウント値が有効期限を超えた)場合には、端末認証サーバ24は、当該ワンタイムパスワードを無効として端末IDと固定・ワンタイム両パスワードの総てが正しい場合であっても認証を不成功とする(ステップS120)。
【0065】
さらに2次認証(端末認証)が成功した場合であっても、不正パケット検出部43によって不正パケットが検出された場合には(ステップS115)、不正パケット検出部43が端末認証サーバ24に通知を行い、端末認証サーバ24はこの通知を受け、認証を取り消すこととして通信ゲート制御部42を介して当該端末31に対応する通信ゲート51を閉鎖し通信を遮断する(ステップS122)。
【0066】
また、端末31が一定時間以上操作されないことが端末操作検出部35によって検出された場合には(ステップS116)、端末認証サーバ24は端末操作検出部35からの検出信号を受け、当該端末31をログオフ(強制終了)させると共に通信ゲート制御部42を介して当該端末31に対応する通信ゲート51を閉鎖して未認証状態に戻す(自動ログオフ処理)(ステップS117〜S118)。
【0067】
また、かかる端末不操作に基づく自動ログオフ処理に加えて、前記退室ログオフ処理を行うようにしても良い。この場合、利用者の退室を検出するため、例えば入退室ゲート12の内側(室内側)にも生体情報読取部(図示せず)を設置することにより退室者の本人確認を行い、端末認証サーバ24が当該退室した利用者の端末31をログオフさせ、通信ゲート制御部42を介して対応する通信ゲート51を閉鎖するようにすれば良い。
【0068】
さらに前記実施形態では、端末を予め利用者に割り当てているが端末を予め割り当てることなく、管理領域入口で入室時に利用者に指定する態様を採ることも可能である。この場合、利用者に端末を割り当てる端末指定部を更に設けておき、入口認証サーバ21による認証が成功した場合にこの端末指定部が指定する端末を表示通知部15を通じて利用者に通知する(例えば管理領域内の端末に予めそれぞれ番号を付けておいてこの番号をワンタイムパスワードと共に画面に表示する)ようにすれば良い。
【0069】
また前記実施形態では、端末のログオン時に認証を行ったが、ログオン時には特に認証を要求せず、端末から通信ないしネットワークへの接続を試みた時点で(例えばブラウザやメーラーの立ち上げ時に)前記端末認証を要求するようにしても良い。
【符号の説明】
【0070】
1 セキュリティ管理領域
2 内部ネットワーク
3 データベース
5 外部ネットワーク
11 入退室ゲート部
12 入退室ゲート
13 入退室ゲート制御部
14 生体情報読取部
21 入口認証サーバ
22 利用者情報記憶部
23 利用者情報
24 端末認証サーバ
25 ワンタイムパスワード生成部
31,32 端末装置
35 端末操作検出部
41 通信ゲート部
42 通信ゲート制御部
43 不正パケット検出部
51,52 通信ゲート
55 ファイアウォール
【特許請求の範囲】
【請求項1】
セキュリティ管理領域の内部に構築された内部ネットワークを介して外部ネットワークに接続可能に設置した複数の端末装置と、
当該端末装置と前記内部ネットワークとの間または前記内部ネットワークと前記外部ネットワークとの間に介在し当該端末装置を前記内部ネットワークまたは前記外部ネットワークに接続可能とする通信ゲート部と、
前記端末装置を使用する利用者の識別情報を、当該利用者および前記端末装置のうちの少なくとも1台に関連付けて利用者情報として予め記憶可能な利用者情報記憶部と、
前記セキュリティ管理領域の出入口を開閉可能に閉鎖する入退室ゲートを含んで前記セキュリティ管理領域に対する利用者の入室および退室のうち少なくとも入室を制限する入退室ゲート部と、
前記入退室ゲートの外側に備えられて前記セキュリティ管理領域に入室する利用者が自身の識別情報を入力できる識別情報入力部と、
当該識別情報入力部を通じて入力された識別情報と前記利用者情報記憶部に予め記憶された利用者情報とを比較し、当該入力された識別情報が前記利用者情報記憶部に予め記憶されたいずれかの利用者の識別情報と一致するか判定することにより本人認証を行う入口認証部と、
前記本人認証が成功した場合に当該利用者に対してワンタイムパスワードを発行するワンタイムパスワード発行部と、
前記ワンタイムパスワードを前記入退室ゲートの外側において当該利用者に提供する入口認証通知部と、
前記ワンタイムパスワード発行部によって発行されたパスワードと、当該利用者に関連付けられた前記端末装置から入力されたパスワードとを比較し、両者が一致した場合に認証成功と、両者が一致しないか又は一致しても前記利用者情報により特定された端末装置以外の端末装置から入力されたものである場合に認証不成功とそれぞれ判定する端末認証部と、
を備え、
前記入退室ゲート部は、前記入口認証部による認証が成功した場合に前記入退室ゲートを開放する一方、未認証および認証不成功の場合には前記入退室ゲートを閉鎖し、
前記通信ゲート部は、前記端末認証部による認証が成功した場合に当該端末装置のネットワークへの接続を許可する一方、未認証および認証不成功の場合には当該端末装置のネットワークへの接続を遮断する
ことを特徴とするセキュリティシステム。
【請求項2】
セキュリティ管理領域の内部に構築された内部ネットワークを介して外部ネットワークに接続可能に設置した複数の端末装置と、
当該端末装置と前記内部ネットワークとの間または前記内部ネットワークと前記外部ネットワークとの間に介在し当該端末装置を前記内部ネットワークまたは前記外部ネットワークに接続可能とする通信ゲート部と、
前記端末装置を使用する利用者の識別情報を、当該利用者に関連付けて利用者情報として予め記憶可能な利用者情報記憶部と、
前記セキュリティ管理領域の出入口を開閉可能に閉鎖する入退室ゲートを含んで前記セキュリティ管理領域に対する利用者の入室および退室のうち少なくとも入室を制限する入退室ゲート部と、
前記入退室ゲートの外側に備えられて前記セキュリティ管理領域に入室する利用者が自身の識別情報を入力できる識別情報入力部と、
当該識別情報入力部を通じて入力された識別情報と前記利用者情報記憶部に予め記憶された利用者情報とを比較し、当該入力された識別情報が前記利用者情報記憶部に予め記憶されたいずれかの利用者の識別情報と一致するか判定することにより本人認証を行う入口認証部と、
前記本人認証が成功した場合に、当該利用者に対してワンタイムパスワードを発行するワンタイムパスワード発行部と、
前記本人認証が成功した場合に、当該利用者が使用すべき端末装置として前記複数の端末装置のうちの少なくとも1台を特定する端末指定情報を発行する端末指定部と、
前記ワンタイムパスワードおよび前記端末特定情報を前記入退室ゲートの外側において当該利用者に提供する入口認証通知部と、
前記ワンタイムパスワード発行部によって発行されたパスワードと、前記端末指定情報によって特定された端末装置から入力されたパスワードとを比較し、両者が一致した場合に認証成功と、両者が一致しないか又は一致しても前記端末指定情報により特定された端末装置以外の端末装置から入力されたものである場合に認証不成功とそれぞれ判定する端末認証部と、
を備え、
前記入退室ゲート部は、前記入口認証部による認証が成功した場合に前記入退室ゲートを開放する一方、未認証および認証不成功の場合には前記入退室ゲートを閉鎖し、
前記通信ゲート部は、前記端末認証部による認証が成功した場合に当該端末装置のネットワークへの接続を許可する一方、未認証および認証不成功の場合には当該端末装置のネットワークへの接続を遮断する
ことを特徴とするセキュリティシステム。
【請求項3】
前記通信ゲート部を通過するパケットを監視し、予め定められた許可されない不正パケットを検出する通信監視部をさらに備え、
前記通信ゲート部は、前記通信監視部により前記不正パケットが検出された場合に、当該不正パケットの送信元または送信先となる前記端末装置のネットワークへの接続を遮断する
請求項1または2に記載のセキュリティシステム。
【請求項4】
セキュリティ管理領域の内部に構築された内部ネットワークを介して外部ネットワークに接続可能に設置した複数の端末装置と、
前記端末装置を使用する利用者の識別情報を、当該利用者および前記端末装置のうちの少なくとも1台に関連付けて利用者情報として予め記憶可能な利用者情報記憶部と、
前記セキュリティ管理領域の出入口を開閉可能に閉鎖する入退室ゲートを含んで前記セキュリティ管理領域に対する利用者の入室および退室のうち少なくとも入室を制限する入退室ゲート部と、
前記入退室ゲートの外側に備えられて前記セキュリティ管理領域に入室する利用者が自身の識別情報を入力できる識別情報入力部と、
当該識別情報入力部を通じて入力された識別情報と前記利用者情報記憶部に予め記憶された利用者情報とを比較し、当該入力された識別情報が前記利用者情報記憶部に予め記憶されたいずれかの利用者の識別情報と一致するか判定することにより本人認証を行う入口認証部と、
前記本人認証が成功した場合に当該利用者に対してワンタイムパスワードを発行するワンタイムパスワード発行部と、
前記ワンタイムパスワードを前記入退室ゲートの外側において当該利用者に提供する入口認証通知部と、
前記ワンタイムパスワード発行部によって発行されたパスワードと、当該利用者に関連付けられた前記端末装置から入力されたパスワードとを比較し、両者が一致した場合に認証成功と、両者が一致しないか又は一致しても前記利用者情報により特定された端末装置以外の端末装置から入力されたものである場合に認証不成功とそれぞれ判定する端末認証部と、
を備え、
前記入退室ゲート部は、前記入口認証部による認証が成功した場合に前記入退室ゲートを開放する一方、未認証および認証不成功の場合には前記入退室ゲートを閉鎖し、
前記端末装置は、前記端末認証部による認証が成功しない限り使用制限がなされる
ことを特徴とするセキュリティシステム。
【請求項5】
セキュリティ管理領域の内部に構築された内部ネットワークを介して外部ネットワークに接続可能に設置した複数の端末装置と、
当該端末装置を使用する利用者の識別情報を、当該利用者に関連付けて利用者情報として予め記憶可能な利用者情報記憶部と、
前記セキュリティ管理領域の出入口を開閉可能に閉鎖する入退室ゲートを含んで前記セキュリティ管理領域に対する利用者の入室および退室のうち少なくとも入室を制限する入退室ゲート部と、
前記入退室ゲートの外側に備えられて前記セキュリティ管理領域に入室する利用者が自身の識別情報を入力できる識別情報入力部と、
当該識別情報入力部を通じて入力された識別情報と前記利用者情報記憶部に予め記憶された利用者情報とを比較し、当該入力された識別情報が前記利用者情報記憶部に予め記憶されたいずれかの利用者の識別情報と一致するか判定することにより本人認証を行う入口認証部と、
前記本人認証が成功した場合に、当該利用者に対してワンタイムパスワードを発行するワンタイムパスワード発行部と、
前記本人認証が成功した場合に、当該利用者が使用すべき端末装置として前記複数の端末装置のうちの少なくとも1台を特定する端末指定情報を発行する端末指定部と、
前記ワンタイムパスワードおよび前記端末特定情報を前記入退室ゲートの外側において当該利用者に提供する入口認証通知部と、
前記ワンタイムパスワード発行部によって発行されたパスワードと、前記端末指定情報によって特定された端末装置から入力されたパスワードとを比較し、両者が一致した場合に認証成功と、両者が一致しないか又は一致しても前記端末指定情報により特定された端末装置以外の端末装置から入力されたものである場合に認証不成功とそれぞれ判定する端末認証部と、
を備え、
前記入退室ゲート部は、前記入口認証部による認証が成功した場合に前記入退室ゲートを開放する一方、未認証および認証不成功の場合には前記入退室ゲートを閉鎖し、
前記端末装置は、前記端末認証部による認証が成功しない限り使用制限がなされる
ことを特徴とするセキュリティシステム。
【請求項6】
前記端末装置に関する使用制限は、端末装置の起動禁止、または、通信を伴うソフトウエアの使用禁止である
請求項4または5に記載のセキュリティシステム。
【請求項7】
前記端末認証部は、前記ワンタイムパスワードが発行されてから一定時間経過した後には、当該ワンタイムパスワードを無効として前記端末装置から入力されたパスワードと当該ワンタイムパスワードとが一致した場合にも認証不成功とする
請求項1から6のいずれか一項に記載のセキュリティシステム。
【請求項8】
前記利用者の識別情報は、当該利用者の身体的特徴を表す生体認証情報である
請求項1から7のいずれか一項に記載のセキュリティシステム。
【請求項9】
前記端末認証部は、前記ワンタイムパスワードと、固定パスワードとの組み合わせにより認証を行う
請求項1から8のいずれか一項に記載のセキュリティシステム。
【請求項10】
端末装置の操作の有無を検出する端末操作検出部をさらに備え、
当該端末操作検出部により一定時間以上端末装置が操作されない場合には、前記端末認証部による認証を取り消すこととして当該端末装置に対し、前記通信ゲート部によるネットワークへの接続可能状態の解除または前記端末装置の使用制限を適用する
請求項1から9のいずれか一項に記載のセキュリティシステム。
【請求項11】
前記入退室ゲートの内側に備えられて前記セキュリティ管理領域から退室する利用者が自身の識別情報を入力できる退室時識別情報入力部と、
当該退室時識別情報入力部を通じて入力された識別情報と前記利用者情報記憶部に予め記憶された利用者情報とを比較し、当該入力された識別情報が前記利用者情報記憶部に予め記憶されたいずれかの利用者の識別情報と一致した場合に、当該利用者が退室したと判定する退室検出部と、
をさらに備え、
前記退室検出部により利用者の退室が検出された場合に、前記端末認証部による認証を取り消すこととして当該利用者が使用していた端末装置に対し、前記通信ゲート部によるネットワークへの接続可能状態の解除または前記端末装置の使用制限を適用する
請求項1から10のいずれか一項に記載のセキュリティシステム。
【請求項1】
セキュリティ管理領域の内部に構築された内部ネットワークを介して外部ネットワークに接続可能に設置した複数の端末装置と、
当該端末装置と前記内部ネットワークとの間または前記内部ネットワークと前記外部ネットワークとの間に介在し当該端末装置を前記内部ネットワークまたは前記外部ネットワークに接続可能とする通信ゲート部と、
前記端末装置を使用する利用者の識別情報を、当該利用者および前記端末装置のうちの少なくとも1台に関連付けて利用者情報として予め記憶可能な利用者情報記憶部と、
前記セキュリティ管理領域の出入口を開閉可能に閉鎖する入退室ゲートを含んで前記セキュリティ管理領域に対する利用者の入室および退室のうち少なくとも入室を制限する入退室ゲート部と、
前記入退室ゲートの外側に備えられて前記セキュリティ管理領域に入室する利用者が自身の識別情報を入力できる識別情報入力部と、
当該識別情報入力部を通じて入力された識別情報と前記利用者情報記憶部に予め記憶された利用者情報とを比較し、当該入力された識別情報が前記利用者情報記憶部に予め記憶されたいずれかの利用者の識別情報と一致するか判定することにより本人認証を行う入口認証部と、
前記本人認証が成功した場合に当該利用者に対してワンタイムパスワードを発行するワンタイムパスワード発行部と、
前記ワンタイムパスワードを前記入退室ゲートの外側において当該利用者に提供する入口認証通知部と、
前記ワンタイムパスワード発行部によって発行されたパスワードと、当該利用者に関連付けられた前記端末装置から入力されたパスワードとを比較し、両者が一致した場合に認証成功と、両者が一致しないか又は一致しても前記利用者情報により特定された端末装置以外の端末装置から入力されたものである場合に認証不成功とそれぞれ判定する端末認証部と、
を備え、
前記入退室ゲート部は、前記入口認証部による認証が成功した場合に前記入退室ゲートを開放する一方、未認証および認証不成功の場合には前記入退室ゲートを閉鎖し、
前記通信ゲート部は、前記端末認証部による認証が成功した場合に当該端末装置のネットワークへの接続を許可する一方、未認証および認証不成功の場合には当該端末装置のネットワークへの接続を遮断する
ことを特徴とするセキュリティシステム。
【請求項2】
セキュリティ管理領域の内部に構築された内部ネットワークを介して外部ネットワークに接続可能に設置した複数の端末装置と、
当該端末装置と前記内部ネットワークとの間または前記内部ネットワークと前記外部ネットワークとの間に介在し当該端末装置を前記内部ネットワークまたは前記外部ネットワークに接続可能とする通信ゲート部と、
前記端末装置を使用する利用者の識別情報を、当該利用者に関連付けて利用者情報として予め記憶可能な利用者情報記憶部と、
前記セキュリティ管理領域の出入口を開閉可能に閉鎖する入退室ゲートを含んで前記セキュリティ管理領域に対する利用者の入室および退室のうち少なくとも入室を制限する入退室ゲート部と、
前記入退室ゲートの外側に備えられて前記セキュリティ管理領域に入室する利用者が自身の識別情報を入力できる識別情報入力部と、
当該識別情報入力部を通じて入力された識別情報と前記利用者情報記憶部に予め記憶された利用者情報とを比較し、当該入力された識別情報が前記利用者情報記憶部に予め記憶されたいずれかの利用者の識別情報と一致するか判定することにより本人認証を行う入口認証部と、
前記本人認証が成功した場合に、当該利用者に対してワンタイムパスワードを発行するワンタイムパスワード発行部と、
前記本人認証が成功した場合に、当該利用者が使用すべき端末装置として前記複数の端末装置のうちの少なくとも1台を特定する端末指定情報を発行する端末指定部と、
前記ワンタイムパスワードおよび前記端末特定情報を前記入退室ゲートの外側において当該利用者に提供する入口認証通知部と、
前記ワンタイムパスワード発行部によって発行されたパスワードと、前記端末指定情報によって特定された端末装置から入力されたパスワードとを比較し、両者が一致した場合に認証成功と、両者が一致しないか又は一致しても前記端末指定情報により特定された端末装置以外の端末装置から入力されたものである場合に認証不成功とそれぞれ判定する端末認証部と、
を備え、
前記入退室ゲート部は、前記入口認証部による認証が成功した場合に前記入退室ゲートを開放する一方、未認証および認証不成功の場合には前記入退室ゲートを閉鎖し、
前記通信ゲート部は、前記端末認証部による認証が成功した場合に当該端末装置のネットワークへの接続を許可する一方、未認証および認証不成功の場合には当該端末装置のネットワークへの接続を遮断する
ことを特徴とするセキュリティシステム。
【請求項3】
前記通信ゲート部を通過するパケットを監視し、予め定められた許可されない不正パケットを検出する通信監視部をさらに備え、
前記通信ゲート部は、前記通信監視部により前記不正パケットが検出された場合に、当該不正パケットの送信元または送信先となる前記端末装置のネットワークへの接続を遮断する
請求項1または2に記載のセキュリティシステム。
【請求項4】
セキュリティ管理領域の内部に構築された内部ネットワークを介して外部ネットワークに接続可能に設置した複数の端末装置と、
前記端末装置を使用する利用者の識別情報を、当該利用者および前記端末装置のうちの少なくとも1台に関連付けて利用者情報として予め記憶可能な利用者情報記憶部と、
前記セキュリティ管理領域の出入口を開閉可能に閉鎖する入退室ゲートを含んで前記セキュリティ管理領域に対する利用者の入室および退室のうち少なくとも入室を制限する入退室ゲート部と、
前記入退室ゲートの外側に備えられて前記セキュリティ管理領域に入室する利用者が自身の識別情報を入力できる識別情報入力部と、
当該識別情報入力部を通じて入力された識別情報と前記利用者情報記憶部に予め記憶された利用者情報とを比較し、当該入力された識別情報が前記利用者情報記憶部に予め記憶されたいずれかの利用者の識別情報と一致するか判定することにより本人認証を行う入口認証部と、
前記本人認証が成功した場合に当該利用者に対してワンタイムパスワードを発行するワンタイムパスワード発行部と、
前記ワンタイムパスワードを前記入退室ゲートの外側において当該利用者に提供する入口認証通知部と、
前記ワンタイムパスワード発行部によって発行されたパスワードと、当該利用者に関連付けられた前記端末装置から入力されたパスワードとを比較し、両者が一致した場合に認証成功と、両者が一致しないか又は一致しても前記利用者情報により特定された端末装置以外の端末装置から入力されたものである場合に認証不成功とそれぞれ判定する端末認証部と、
を備え、
前記入退室ゲート部は、前記入口認証部による認証が成功した場合に前記入退室ゲートを開放する一方、未認証および認証不成功の場合には前記入退室ゲートを閉鎖し、
前記端末装置は、前記端末認証部による認証が成功しない限り使用制限がなされる
ことを特徴とするセキュリティシステム。
【請求項5】
セキュリティ管理領域の内部に構築された内部ネットワークを介して外部ネットワークに接続可能に設置した複数の端末装置と、
当該端末装置を使用する利用者の識別情報を、当該利用者に関連付けて利用者情報として予め記憶可能な利用者情報記憶部と、
前記セキュリティ管理領域の出入口を開閉可能に閉鎖する入退室ゲートを含んで前記セキュリティ管理領域に対する利用者の入室および退室のうち少なくとも入室を制限する入退室ゲート部と、
前記入退室ゲートの外側に備えられて前記セキュリティ管理領域に入室する利用者が自身の識別情報を入力できる識別情報入力部と、
当該識別情報入力部を通じて入力された識別情報と前記利用者情報記憶部に予め記憶された利用者情報とを比較し、当該入力された識別情報が前記利用者情報記憶部に予め記憶されたいずれかの利用者の識別情報と一致するか判定することにより本人認証を行う入口認証部と、
前記本人認証が成功した場合に、当該利用者に対してワンタイムパスワードを発行するワンタイムパスワード発行部と、
前記本人認証が成功した場合に、当該利用者が使用すべき端末装置として前記複数の端末装置のうちの少なくとも1台を特定する端末指定情報を発行する端末指定部と、
前記ワンタイムパスワードおよび前記端末特定情報を前記入退室ゲートの外側において当該利用者に提供する入口認証通知部と、
前記ワンタイムパスワード発行部によって発行されたパスワードと、前記端末指定情報によって特定された端末装置から入力されたパスワードとを比較し、両者が一致した場合に認証成功と、両者が一致しないか又は一致しても前記端末指定情報により特定された端末装置以外の端末装置から入力されたものである場合に認証不成功とそれぞれ判定する端末認証部と、
を備え、
前記入退室ゲート部は、前記入口認証部による認証が成功した場合に前記入退室ゲートを開放する一方、未認証および認証不成功の場合には前記入退室ゲートを閉鎖し、
前記端末装置は、前記端末認証部による認証が成功しない限り使用制限がなされる
ことを特徴とするセキュリティシステム。
【請求項6】
前記端末装置に関する使用制限は、端末装置の起動禁止、または、通信を伴うソフトウエアの使用禁止である
請求項4または5に記載のセキュリティシステム。
【請求項7】
前記端末認証部は、前記ワンタイムパスワードが発行されてから一定時間経過した後には、当該ワンタイムパスワードを無効として前記端末装置から入力されたパスワードと当該ワンタイムパスワードとが一致した場合にも認証不成功とする
請求項1から6のいずれか一項に記載のセキュリティシステム。
【請求項8】
前記利用者の識別情報は、当該利用者の身体的特徴を表す生体認証情報である
請求項1から7のいずれか一項に記載のセキュリティシステム。
【請求項9】
前記端末認証部は、前記ワンタイムパスワードと、固定パスワードとの組み合わせにより認証を行う
請求項1から8のいずれか一項に記載のセキュリティシステム。
【請求項10】
端末装置の操作の有無を検出する端末操作検出部をさらに備え、
当該端末操作検出部により一定時間以上端末装置が操作されない場合には、前記端末認証部による認証を取り消すこととして当該端末装置に対し、前記通信ゲート部によるネットワークへの接続可能状態の解除または前記端末装置の使用制限を適用する
請求項1から9のいずれか一項に記載のセキュリティシステム。
【請求項11】
前記入退室ゲートの内側に備えられて前記セキュリティ管理領域から退室する利用者が自身の識別情報を入力できる退室時識別情報入力部と、
当該退室時識別情報入力部を通じて入力された識別情報と前記利用者情報記憶部に予め記憶された利用者情報とを比較し、当該入力された識別情報が前記利用者情報記憶部に予め記憶されたいずれかの利用者の識別情報と一致した場合に、当該利用者が退室したと判定する退室検出部と、
をさらに備え、
前記退室検出部により利用者の退室が検出された場合に、前記端末認証部による認証を取り消すこととして当該利用者が使用していた端末装置に対し、前記通信ゲート部によるネットワークへの接続可能状態の解除または前記端末装置の使用制限を適用する
請求項1から10のいずれか一項に記載のセキュリティシステム。
【図1】
【図2A】
【図2B】
【図2A】
【図2B】
【公開番号】特開2010−165111(P2010−165111A)
【公開日】平成22年7月29日(2010.7.29)
【国際特許分類】
【出願番号】特願2009−5833(P2009−5833)
【出願日】平成21年1月14日(2009.1.14)
【出願人】(507385545)株式会社インテリボイス (5)
【出願人】(597007938)株式会社SYNCHRO (4)
【Fターム(参考)】
【公開日】平成22年7月29日(2010.7.29)
【国際特許分類】
【出願日】平成21年1月14日(2009.1.14)
【出願人】(507385545)株式会社インテリボイス (5)
【出願人】(597007938)株式会社SYNCHRO (4)
【Fターム(参考)】
[ Back to top ]