ソフトウェア管理システムと方法およびプログラム
【課題】パソコン等のコンピュータ装置にインストールされたソフトウェアにおいて一定のセキュリティレベルを確保し、適正なソフトウェアの利用を図る。
【解決手段】ソフトウェア管理システム8では、セキュリティポリシー適用機能1により、例えばパソコン内のソフトウェアのセキュリティポリシーを強制的に適用させると共に、ソフトウェア承認・非承認チェック機能2により、パソコン内のソフトウェアのインストール状況を確認し、標準ソフトウェアの強制インストールやインストール禁止ソフトウェアの強制アンインストールを行い、さらに、パソコン内のソフトウェアの利用時間をチェックし最低利用時間に満たないソフトウェアの強制アンインストールを行う。
【解決手段】ソフトウェア管理システム8では、セキュリティポリシー適用機能1により、例えばパソコン内のソフトウェアのセキュリティポリシーを強制的に適用させると共に、ソフトウェア承認・非承認チェック機能2により、パソコン内のソフトウェアのインストール状況を確認し、標準ソフトウェアの強制インストールやインストール禁止ソフトウェアの強制アンインストールを行い、さらに、パソコン内のソフトウェアの利用時間をチェックし最低利用時間に満たないソフトウェアの強制アンインストールを行う。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、パソコン(パーソナルコンピュータ;PC)やPDA(Personal Digital Assistant)等のコンピュータ装置にインストールされたソフトウェアの管理技術に係り、特に、当該コンピュータ装置のセキュリティレベルを一定に確保するのに好適な技術に関するものである。
【背景技術】
【0002】
従来、コンピュータ装置にインストールしたソフトウェアのセキュリティレベル状況や利用状況を確認するため、例えば次のような特許文献1,2に記載の技術が用いられている。
【0003】
特許文献1には、セキュリティポリシーサーバにおいて、各クライアントの特定に用いる情報を格納したクライアント固有情報データベースと、各クライアントのネットワークログイン許可または不許可の判断に用いる条件(セキュリティポリシー)を格納したセキュリティポリシーデータベースとを具備し、このセキュリティポリシーデータベースには、セキュリティポリシーとしてセキュリティレベル情報を格納し、これらのクライアント固有情報データベースとセキュリティポリシーデータベースとを用いて、それぞれに記録されたクライアントのセキュリティレベル情報を比較し、当該クライアントのネットワークログイン許可または不許可を判断する第1の技術、および、クライアントの動作状況を常時監視し、セキュリティレベルが予め定められたレベルより低くなった場合、セキュリティポリシー違反が発生したとして当該クライアントのネットワーク接続を切断する第2の技術が記載されている。
【0004】
また、特許文献2には、ユーザが指定したソフトウェアの公開限定種別またはライセンス配布状況(セキュリティポリシー)に応じて、当該ソフトウェアのインストールを許可するかどうかを判定する第3の技術、および、インストールが許可されたソフトウェアをソフトウェアライブラリからローカル端末へ送信し、インストールする第4の技術が記載されている。
【0005】
しかし、これらの技術では、次の問題点がある。例えば、上記特許文献1に記載の第1の技術では、セキュリティポリシー適用状況を確認し、クライアントのネットワークログインやネットワーク接続の許可または不許可の判断をしているが、インストールされているソフトウェアのセキュリティホールが判明した場合でも、ネットワーク接続が可能となっている。
【0006】
また、上記特許文献1に記載の第2の技術では、ネットワークが接続された状態でセキュリティに問題のあるソフトウェアが使用される可能性がある。
【0007】
また、上記特許文献2に記載の第3の技術では、許可されたソフトウェアのインストールについて対応されているが、インストール禁止のソフトウェアやライセンス違反状態のソフトウェアのチェックは行われていないため、継続して利用可能となってしまう。
【0008】
また、上記特許文献2に記載の第4の技術では、インストールが許可されたソフトウェアであれば、利用実態がほとんどない場合でもソフトウェアライセンスが返却されることがない。そのためソフトウェアライセンスの有効活用が図れない。
【0009】
【特許文献1】特開2002−366525号公報
【特許文献2】特開2002−6975号公報
【発明の開示】
【発明が解決しようとする課題】
【0010】
解決しようとする問題点は、従来の技術では、(1)インストールされているソフトウェアのセキュリティホールが判明した場合でも、ネットワーク接続が可能となっている点、(2)ネットワークが接続された状態でセキュリティに問題のあるソフトウェアが使用される可能性がある点、(3)インストール禁止のソフトウェアやライセンス違反状態のソフトウェアのチェックは行われていないため、継続して利用可能となってしまう点、(4)インストールが許可されたソフトウェアであれば、利用実態がほとんどない場合でもソフトウェアライセンスが返却されることがないので、ソフトウェアライセンスの有効活用が図れない点である。
【0011】
本発明の目的は、これら従来技術の課題を解決し、コンピュータ装置におけるソフトウェアに関して一定のセキュリティレベルを確保し、適正なソフトウェアの利用を図ることを可能とすることである。
【課題を解決するための手段】
【0012】
上記目的を達成するため、本発明では、セキュリティポリシー適用機能により、例えばパソコン内のソフトウェアのセキュリティポリシーを強制的に適用させると共に、ソフトウェア承認・非承認チェック機能により、パソコン内のソフトウェアのインストール状況を確認し、標準ソフトウェアの強制インストールやインストール禁止ソフトウェアの強制アンインストールを行い、さらに、パソコン内のソフトウェアの利用時間をチェックし最低利用時間に満たないソフトウェアの強制アンインストールを行うことを特徴とする。
【発明の効果】
【0013】
本発明によれば、セキュリティポリシー適用機能やソフトウェア承認・非承認チェック機能の処理により、インストールされたソフトウェアのセキュリティレベルを一定に保つことができ、当該ソフトウェアをインストールしたコンピュータ装置の信頼性の向上を図ることが可能となる。また、ソフトウェア承認・非承認チェック機能やソフトウェア利用状況管理機能の処理により、ソフトウェアライセンスの適正な割り当てやライセンス管理の精度向上を図ることが可能となる。
【発明を実施するための最良の形態】
【0014】
以下、図を用いて本発明を実施するための最良の形態例を説明する。図1は、本発明に係るソフトウェア管理システムの構成例を示すブロック図であって、情報システム部門9には管理者10が操作する管理端末11が設けられ、ユーザ部門15には利用者16が操作するパーソナルコンピュータ(PC)からなる適用対象端末17〜19が設けられ、ネットワークを介して、これら管理端末11と適用対象端末17〜19に、本発明に係るソフトウェア管理システム(図中「セキュリティポリシー適用及びソフトウェア利用状況管理システム」と記載)8が接続された構成となっている。
【0015】
ソフトウェア管理システム8は、管理端末11および適用対象端末17〜19と同様、CPU(Central Processing Unit)や主メモリ、表示装置、入力装置、外部記憶装置等を具備したコンピュータ構成からなり、光ディスク駆動装置等を介してCD−ROM等の記憶媒体に記録されたプログラムやデータを外部記憶装置内にインストールした後、この外部記憶装置から主メモリに読み込みCPUで処理することにより、各処理部の機能を実行する。
【0016】
すなわち、ソフトウェア管理システム8は、プログラムされたコンピュータ処理を実行する手段として、セキュリティポリシー適用機能1、ソフトウェア承認・非承認チェック機能2、ソフトウェア利用状況管理機能3を具備し、管理端末11の操作等で記憶装置に記憶されたソフトウェアインストール格納情報4、ソフトウェアセキュリティポリシー情報5、機器管理情報6、ソフトウェア構成情報7に記憶された情報の読み出しと処理、および書き込みを行うことで、管理端末11や適用対象端末17〜19におけるソフトウェアに対するセキュリティ管理処理を行う。
【0017】
さらに、ソフトウェア管理システム8は、プログラムされたコンピュータ処理手段として、ソフトウェアライセンス管理システム12を具備し、記憶装置に記憶されたソフトウェアライセンス管理情報13を用いて、管理端末11や適用対象端末17〜19におけるソフトウェアのライセンス状況の管理処理を実行する。
【0018】
尚、本例では、ソフトウェア管理システム8は、適用対象端末17〜19とは、市販されているPC情報収集ツール14を介して接続されている。
【0019】
このような構成からなるソフトウェア管理システム8は、セキュリティポリシー適用機能1によるソフトウェアインストール格納情報4やソフトウェアセキュリティポリシー情報5および機器管理情報6等に基づく処理により、例えば適用対象端末17内のソフトウェアに対して、ソフトウェアセキュリティポリシー情報5に格納したセキュリティポリシーを強制的に適用させると共に、ソフトウェア承認・非承認チェック機能2によるソフトウェアインストール格納情報4やソフトウェア構成情報7、機器管理情報6およびソフトライセンス管理情報13等に基づく処理により、当該適用対象端末17内のソフトウェアのインストール状況を確認し、当該適用対象端末17に対する標準ソフトウェアの強制インストールや、当該適用対象端末17からのインストール禁止ソフトウェアの強制アンインストールを行い、さらに、ソフトウェア利用状況管理機能3によるソフトウェアインストール格納情報4や機器管理情報6、ソフトウェア構成情報7およびソフトライセンス管理情報13等に基づく処理により、当該適用対象端末17内のソフトウェアの利用時間をチェックして、予め定められた最低利用時間に満たないソフトウェアの強制アンインストール等を行う。
【0020】
すなわち、セキュリティポリシー適用機能1は、予め各ソフトウェアに対して設定され記憶装置にソフトウェアセキュリティポリシー情報5等として登録された、当該ソフトウェアに対する各種セキュリティレベル毎の更新の要否を定めたセキュリティポリシー情報を読み出し参照して、当該ソフトウェアをインストールしている適用対象端末17〜19に対して、当該ソフトウェアに対して設定されているセキュリティポリシー情報に基づき当該ソフトウェアに対するセキュリティレベルの更新処理を実行する。
【0021】
また、ソフトウェア承認・非承認チェック機能2は、予め対象コンピュータ装置に対して設定され記憶装置にソフトウェア構成情報7やソフトウェアライセンス管理情報13等として登録された、当該適用対象端末17〜19へのインストールが許可されたソフトウェアの一覧情報を読み出し参照して、当該適用対象端末17〜19に対する許可されたソフトウェアの強制インストールおよび不許可のソフトウェアの強制アンインストールを実行する。
【0022】
また、ソフトウェア利用状況管理機能3は、予め各ソフトウェアに対して設定され記憶装置にソフトウェア構成情報7等として登録された、当該ソフトウェアの最低利用時間情報を読み出し、当該ソフトウェアをインストールしている適用対象端末17〜19における当該ソフトウェアの利用時間と比較し、該利用時間が最低利用時間に満たなければ、当該ソフトウェアの当該適用対象端末17〜19からの強制アンインストールを実行する。
【0023】
以下、このようなソフトウェア管理システム8の処理動作の詳細を図2〜図5を用いて説明する。
【0024】
図2は、図1のソフトウェア管理システムにおけるセキュリティポリシー適用機能の本発明に係る処理動作例を示すフローチャートであり、図3Aは、図1のソフトウェア管理システムにおけるソフトウェア承認・非承認チェック機能の本発明に係る処理動作例の前半部分を示すフローチャート、図3Bは、図1のソフトウェア管理システムにおけるソフトウェア承認・非承認チェック機能の本発明に係る処理動作例の後半部分を示すフローチャート、図4は、図1のソフトウェア管理システムにおけるソフトウェア利用状況管理機能の本発明に係る処理動作例を示すフローチャート、図5Aは、図1におけるソフトウェアインストール格納情報の構成例を示す説明図、図5Bは、図1におけるソフトウェアセキュリティポリシー情報の構成例を示す説明図、図5Cは、図1における機器管理情報の構成例を示す説明図、図5Dは、図1におけるソフトウェア構成情報の構成例を示す説明図、図5Eは、図1におけるソフトライセンス管理情報の構成例を示す説明図である。
【0025】
図5Aにおける項目説明20で示すように、図1におけるソフトウェアインストール格納情報4は、「機器管理CD;管理対象機器に対して一意に付与した管理用コード」、「ソフトウェア名;インストールされているソフトウェア名」、「バージョン;インストールされているソフトウェアのバージョン」、「適用日;インストールされているソフトウェアのバージョンアップ日又はインストール日」、「パッチ情報;1つめのセキュリティパッチ識別情報(セキュリティパッチ名称等)、未適用時は空白」、「パッチ適用日;1つめのセキュリティパッチ適用日、未適用時は空白」の各項目からなり、同じく図5Aにおけるデータ例21の「項番1」で示すように、「機器管理CD=2001」、「ソフトウェア名=aaaaa」、「バージョン=100」、「適用日=2006/12/1」、「パッチ情報=100−01」、「パッチ適用日=2006/12/1」などの構成で、各情報が記録されている。
【0026】
また、図5Bにおける項目説明22で示すように、図1におけるソフトウェアセキュリティポリシー情報5は、「ソフトウェア名;ソフトウェアの名称」、「バージョン;ソフトウェアのバージョン」、「バージョン適用有無;バージョンの適用有無(必須、任意、禁止)」、「パッチ情報;1つめのセキュリティパッチ識別情報(セキュリティパッチ名称等)、パッチ情報無しの場合は空白」、「パッチ情報適用有無;1つめのセキュリティパッチの適用有無を示す情報(必須、任意、禁止)、パッチ情報無しの場合は空白」の各項目からなり、同じく図5Bにおけるデータ例23の「項番1」で示すように、「ソフトウェア名=aaaaa」、「バージョン=100」、「バージョン適用有無=禁止」、「パッチ情報=100−02」、「パッチ適用有無=禁止」などの構成で、各情報が記録されている。
【0027】
また、図5Cにおける項目説明24で示すように、図1における機器管理情報6は、「機器管理CD;管理対象機器に対して一意に付与した管理用コード」、「標準ソフト構成NO;管理対象機器の標準ソフト構成NO」、「利用者CD;管理対象機器を利用している利用者コード(利用者コードは別システムで一意に付与されている)」、「設置場所;管理対象機器が設置されている場所」、「MACアドレス;管理対象機器に内蔵されているネットワークインタフェース装置のMACアドレス」、「処理フラグ1;セキュリティポリシー適用機能の実施有無を示すフラグ、未実施時は空白」、「処理実施日1;セキュリティポリシー適用機能の前回実施日」、「処理フラグ2;ソフトウェア承認・非承認チェック機能の実施有無を示すフラグ、未実施時は空白」、「処理実施日2;ソフトウェア承認・非承認チェック機能の前回実施日」、「処理フラグ3;ソフトウェア利用状況管理機能の実施有無を示すフラグ、未実施時は空白」、「処理実施日3;ソフトウェア利用状況管理機能の前回実施日」の各項目からなり、同じく図5Cにおけるデータ例25の「項番1」で示すように、「機器管理CD=2001」、「標準ソフト構成NO=S001」、「利用者ID=300001」、「設置場所=AAAビル」、「MACアドレス=00−01−01−01」、「処理フラグ1=済」、「処理実施日1=2006/12/1」、「処理フラグ2=済」、「処理実施日2=2006/12/1」、「処理フラグ3=済」、「処理実施日3=2006/12/1」などの構成で、各情報が記録されている。
【0028】
また、図5Dにおける項目説明26で示すように、図1におけるソフトウェア構成情報7は、「標準ソフト構成NO;管理対象機器の標準ソフト構成NO」、「ソフトウェア1;1つめのソフトウェア名」、「適用可否フラグ1;1つめのソフトウェアの適用可否を示すフラグ(必須、任意、禁止)」、「最低利用時間1;1つめのソフトウェアの最低利用時間」、「ソフトウェア2;2つめのソフトウェア名」、「適用可否フラグ2;2つめのソフトウェアの適用可否を示すフラグ(必須、任意、禁止)」、「最低利用時間2;2つめのソフトウェアの最低利用時間」、「ソフトウェア3;3つめのソフトウェア名」、「適用可否フラグ3;3つめのソフトウェアの適用可否を示すフラグ(必須、任意、禁止)」、「最低利用時間3;3つめのソフトウェアの最低利用時間」、「ソフトウェアn;nつめのソフトウェア名」、「適用可否フラグn;nつめのソフトウェアの適用可否を示すフラグ(必須、任意、禁止)」、「最低利用時間n;nつめのソフトウェアの最低利用時間」の各項目からなり、同じく図5Dにおけるデータ例27の「項番1」で示すように、「標準ソフト構成NO=S001」、「ソフトウェア1=aaaaa」、「適用可否フラグ1=必須」、「最低利用時間1=5分」、「ソフトウェア2=bbbbb」、「適用可否フラグ2=必須」、「最低利用時間2=5分」、「ソフトウェア3=ccccc」、「適用可否フラグ3=禁止」、「最低利用時間3=5分」、「ソフトウェアn=xxxxx」、「適用可否フラグn=必須」、「最低利用時間n=5分」などの構成で、各情報が記録されている。
【0029】
また、図5Eにおける項目説明28で示すように、図1におけるソフトウェアライセンス管理情報13は、「ソフトウェア名;ソフトウェアの名称」、「バージョン;ソフトウェアのバージョン」、「機器管理CD;管理対象機器に対して一意に付与した管理用コード、未使用時は空白」、「ライセンス使用許可フラグ;ライセンス使用の可否を示すフラグ、未使用時は空白」の各項目からなり、同じく図5Eにおけるデータ例29の「項番1」で示すように、「ソフトウェア名=aaaaa」、「バージョン=100」、「機器管理CD=2001」、「ライセンス使用許可フラグ=許可」などの構成で、各情報が記録されている。
【0030】
以下、このような構成の各情報を用いた図1におけるソフトウェア管理システム8の各機能(セキュリティポリシー適用機能1、ソフトウェア承認・非承認チェック機能2、ソフトウェア利用状況管理機能3)による処理動作を説明する。
【0031】
図1におけるセキュリティポリシー適用機能1は、以下に説明する図2に示す手順を実行することにより、適用対象端末17〜19におけるソフトウェアのバージョンアップやセキュリティパッチを強制的に実施することで、適用対象端末17〜19に対して、ソフトウェアに関するセキュリティポリシーを適用させる。
【0032】
まず、ステップ101において、セキュリティポリシー適用指示手順を実行し、機器管理情報6から、セキュリティポリシーを適用する対象の、例えば適用対象端末17の端末情報150(「機器管理CD:2001」、「MACアドレス:00−01−02−03」)を取得する。
【0033】
次のステップ102において、ソフトウェアインストール情報取得手順を実行し、適用対象端末17に関する端末情報150における機器管理CD(「2001」)とMACアドレス(「00−01−02−03」)を使用し、図1の市販されているPC情報収集ツール14を介して適用対象端末17にアクセスし、当該適用対象端末17内のレジストリ情報を読み込み、当該適用対象端末17にインストールされているソフトウェア情報151(「機器管理CD:2001」、「ソフトウェア名:abc」、「バージョン:100」)を取得する。
【0034】
ステップ103において、ソフトウェアインストール情報更新手順を実行し、ステップ102の処理で取得したソフトウェア情報151の内容に基づいて、ソフトウェアインストール格納情報4を更新する。
【0035】
ステップ104において、ソフトウェアポリシー情報取得手順を実行し、ソフトウェア情報151におけるソフトウェア名(「abc」)をキーとしてソフトウェアセキュリティポリシー情報5の検索を行い、ソフトウェアセキュリティポリシー情報5から該当するソフトウェアポリシー情報152(「ソフトウェア名:abc」、「バージョン:200」、「適用有無:必須」、「パッチ情報:00002」、「パッチ情報適用有無:必須」)を取得する。
【0036】
ステップ105において、バージョン比較手順を実行し、ソフトウェア情報151におけるバージョン(「100」)とソフトウェアポリシー情報152におけるバージョン(「200」)を比較し、ソフトウェア情報151におけるバージョンがソフトウェアポリシー情報152におけるバージョンより小さい場合(「100<200」)、次のステップ106におけるバージョンアップ命令発行手順を実行する。
【0037】
ステップ106において、バージョンアップ命令発行手順を実行し、ソフトウェアポリシー情報152における「適用有無」が「必須」の場合、適用対象端末17にバージョンアップ命令を発行し、適用対象端末17に対して当該ソフトウェア(「abc」)のバージョンアップを強制的に実施させる。
【0038】
ステップ107において、セキュリティパッチ情報比較手順を実行し、ソフトウェア情報151におけるパッチ情報(「00001」)とソフトウェアポリシー情報152におけるパッチ情報(「00002」)とを比較し、ソフトウェア情報151におけるパッチ情報がソフトウェアポリシー情報152におけるパッチ情報より小さければ(「00001<00002」)、次のステップ108におけるセキュリティパッチインストール命令発行手順の実行処理に進む。
【0039】
ステップ108において、セキュリティパッチインストール命令発行手順を実行し、パッチ情報適用有無が必須の場合、適用対象端末17にセキュリティパッチインストール命令を発行し、適用対象端末17に対して当該セキュリティパッチのインストールを強制的に実施する。
【0040】
ステップ109において、機器管理情報・ソフトウェアインストール情報更新手順を実行し、端末情報153の内容(「機器管理CD:2001」、「処理フラグ1:済」)で、機器管理情報6における当該項目内容を更新すると共に、ソフトウェア情報154の内容(「機器管理CD:2001」、「ソフトウェア名:abc」、「バージョン:200」)でソフトウェアインストール格納情報4における当該項目内容を更新する。
【0041】
次に、図3を用いて、図1におけるソフトウェア承認・非承認チェック機能2の本発明に係わる処理動作例を説明する。
【0042】
図1におけるソフトウェア承認・非承認チェック機能2は、図3に示す以下の手順を実行することにより、インストール禁止ソフトウェアの強制アンインストール及び標準ソフトウェアの強制インストールを行うと共に、未承認ソフトウェアがインストールされている場合は、未使用ライセンス数の範囲内で新規にライセンスを引き当てる。
【0043】
まず、ステップ201において、ソフトウェア承認・非承認チェック指示チェック手順を実行し、機器管理情報6から、ソフトウェア承認・非承認チェック機能2を適用する適用対象端末18の端末情報250を取得する。
【0044】
次に、ステップ202において、ソフトウェアインストール情報取得手順を実行し、適用対象端末18の端末情報250の機器管理CDとMACアドレスを使用して、図1の市販されているPC情報収集ツール14を介し、適用対象端末18内のレジストリ情報からインストールされているソフトウェア情報251を取得する。
【0045】
ステップ203において、ソフトウェアインストール情報更新手順を実行し、ソフトウェア情報251の内容に基づいてソフトウェアインストール格納情報4を更新する。
【0046】
ステップ204において、ソフトウェア構成情報取得手順を実行し、端末情報250の標準ソフト構成NOをキーとしてソフトウェア構成情報5を検索し、ソフトウェア構成情報252を取得する。
【0047】
ステップ205において、インストール禁止ソフトウェア確認手順を実行し、ソフトウェア構成情報252で適用可否フラグが禁止となっているソフトウェアがインストールされているか否かをソフトウェア構成情報251を参照して確認し、インストール禁止ソフトウェアのインストールが確認された場合に、ステップ206における強制アンインストール命令発行手順へ進む。
【0048】
ステップ206において、強制アンインストール命令発行手順を実行し、適用対象端末18に対して強制アンインストール命令を発行し、インストール禁止ソフトウェアのアンインストールを強制的に実施する。
【0049】
ステップ207において、標準ソフトウェア確認手順を実行し、ソフトウェア構成情報252で適用可否フラグが必須となっているソフトウェアがインストールされているか否かをソフトウェア情報251を参照して確認し、適用必須ソフトウェアの未インストールが確認された場合に、次のステップ208における強制インストール命令発行及びソフトライセンス管理情報更新手順へ進む。
【0050】
ステップ208においては、強制インストール命令発行及びソフトライセンス管理情報更新手順を実行し、適用対象端末18に対して強制インストール命令を発行し、未インストールソフトウェアのインストールを強制的に実施すると共に、適用対象端末18のソフトウェアライセンス使用情報253の内容に従ってソフトライセンス管理情報13を更新する。
【0051】
ステップ209において、ソフトウェアライセンス管理情報取得手順を実行し、適用対象端末18の機器管理CDをキーとして、ソフトライセンス管理情報13を検索し、適用対象端末18に対してライセンス使用許可フラグが許可となっているソフトウェアライセンス使用情報254を取得する。
【0052】
ステップ210において、未承認ソフトウェア確認手順を実行し、ソフトウェア情報251でソフトウェアライセンス使用情報254内に存在しない未承認ソフトウェアを確認し、未承認ソフトウェアが確認された場合、次のステップ211における未使用ライセンス数カウント手順へ進む。
【0053】
ステップ211において、未使用ライセンス数カウント手順を実行し、未承認ソフトウェア確認210で確認した未承認ソフトウェアのソフトウェア名とバージョンをキーとしてソフトライセンス管理情報13からソフトウェアライセンス使用情報255を取得し、ライセンス使用許可フラグが空白となっている未使用ライセンス数をカウントする。
【0054】
ステップ212において、未使用ライセンス有無手順を実行し、「未使用ライセンス数≠0」の場合には、ステップ213におけるライセンス引き当て手順へ進み、「未使用ライセンス数=0」の場合には、ステップ214における強制アンインストール命令発行手順へ進む。
【0055】
ステップ213において、ライセンス引き当て手順を実行し、ソフトウェアライセンス使用情報256に従ってソフトライセンス管理情報13を更新し、適用対象端末18にライセンス使用を許可する。
【0056】
ステップ214において、強制アンインストール命令手順を実行し、適用対象端末18に対し強制アンインストール命令を発行し、未承認ソフトウェアのアンインストールを強制的に実施する。
【0057】
ステップ215において、機器管理情報・ソフトウェアインストール情報更新手順を実行し、端末情報257の内容に従って機器管理情報6を更新すると共に、ソフトウェア情報258の内容に従ってソフトウェアインストール格納情報4を更新する。
【0058】
次に、図4を用いて、図1におけるソフトウェア利用状況管理機能3の本発明に係わる処理動作例を説明する。
【0059】
図1におけるソフトウェア利用状況管理機能3は、図4に示す以下の手順を実行することにより、各適用対象端末における各ソフトウェアの利用時間が予め決められたソフトウェア毎の最低利用時間に満たない場合、該当するソフトウェアは必要ないと判断して強制的にアンインストールを行い、ソフトウェアのライセンスを開放する。
【0060】
まず、ステップ301において、ソフトウェア利用状況チェック指示手順を実行し、機器管理情報6を参照して、ソフトウェア利用状況管理機能3を適用する適用対象端末19の端末情報350を取得する。
【0061】
次に、ステップ302において、ソフトウェア利用時間取得手順を実行し、適用対象端末19の端末情報350における機器管理CDとMACアドレスを使用して、適用対象端末19のログ情報よりソフトウェア利用時間を収集し、ソフトウェア利用時間351を取得する。
【0062】
ステップ303において、ソフトウェア最低利用時間取得手順を実行し、標準ソフト構成NOをキーとしてソフトウェア構成情報7を検索し、ソフトウェア構成情報352を取得する。
【0063】
ステップ304において、ソフトウェア利用時間比較手順を実行し、ソフトウェア利用時間351における利用時間とソフトウェア構成情報352における最低利用時間を比較し、ソフトウェア利用時間351における利用時間がソフトウェア構成情報352における最低利用時間より少ない時、ステップ305における強制アンインストール命令発行手順の処理へ進む。
【0064】
ステップ305において、強制アンインストール命令発行手順を実行し、適用対象端末19に対して強制アンインストール命令を発行し、ソフトウェアのアンインストールを強制的に実施する。
【0065】
ステップ306において、ソフトライセンス情報更新手順を実行し、ソフトウェアのライセンスを開放するため、ソフトウェアライセンス使用情報353におけるライセンス使用許可フラグを空白にし、ソフトライセンス管理情報13を更新する。
【0066】
ステップ307において、機器管理情報・ソフトウェアインストール情報更新手順を実行し、端末情報354における内容に従って機器管理情報6を更新すると共に、ソフトウェア情報355における内容に従ってソフトウェアインストール格納情報4を更新する。
【0067】
以上、図1〜図5Eを用いて説明したように、本例のソフトウェア管理システム8では、セキュリティポリシー適用機能1により、例えばパソコン内のソフトウェアのセキュリティポリシーを強制的に適用させると共に、ソフトウェア承認・非承認チェック機能2により、パソコン内のソフトウェアのインストール状況を確認し、標準ソフトウェアの強制インストールやインストール禁止ソフトウェアの強制アンインストールを行い、さらに、パソコン内のソフトウェアの利用時間をチェックし最低利用時間に満たないソフトウェアの強制アンインストールを行う。
【0068】
このようなセキュリティポリシー適用機能1やソフトウェア承認・非承認チェック機能2の処理により、インストールされたソフトウェアのセキュリティレベルを一定に保つことができ、当該ソフトウェアをインストールしたコンピュータ装置の信頼性の向上を図ることが可能となる。また、ソフトウェア承認・非承認チェック機能2やソフトウェア利用状況管理機能3の処理により、ソフトウェアライセンスの適正な割り当てやライセンス管理の精度向上を図ることが可能となる。
【0069】
尚、本発明は、図1〜図5Eを用いて説明した例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能である。例えば、本例では、監視対象となるコンピュータ装置としての適用対象端末17〜19にパーソナルコンピュータ(PC)を用いることとしているが、PDAなどであっても良い。
【0070】
また、本例では、管理端末11からのネットワークを介しての操作により、ソフトウェアインストール格納情報4、ソフトウェアセキュリティポリシー情報5、機器管理情報6、ソフトウェア構成情報7、ソフトウェアライセンス管理情報13における各情報の設定・格納を行っているが、ソフトウェア管理システム8自体に設けられた入力装置での操作により、ソフトウェアインストール格納情報4、ソフトウェアセキュリティポリシー情報5、機器管理情報6、ソフトウェア構成情報7、ソフトウェアライセンス管理情報13における各情報の設定・格納を行うことでも良い。
【0071】
また、本例のシステムを構成するコンピュータの構成としても、キーボードや光ディスクの駆動装置の無いコンピュータ構成としても良い。また、本例では、光ディスクを記録媒体として用いているが、FD(Flexible Disk)等を記録媒体として用いることでも良い。また、プログラムのインストールに関しても、通信装置を介してネットワーク経由でプログラムをダウンロードしてインストールすることでも良い。
【図面の簡単な説明】
【0072】
【図1】本発明に係るソフトウェア管理システムの構成例を示すブロック図である。
【図2】図1のソフトウェア管理システムにおけるセキュリティポリシー適用機能の本発明に係る処理動作例を示すフローチャートである。
【図3A】図1のソフトウェア管理システムにおけるソフトウェア承認・非承認チェック機能の本発明に係る処理動作例の前半部分を示すフローチャートである。
【図3B】図1のソフトウェア管理システムにおけるソフトウェア承認・非承認チェック機能の本発明に係る処理動作例の後半部分を示すフローチャートである。
【図4】図1のソフトウェア管理システムにおけるソフトウェア利用状況管理機能の本発明に係る処理動作例を示すフローチャートである。
【図5A】図1におけるソフトウェアインストール格納情報の構成例を示す説明図である。
【図5B】図1におけるソフトウェアセキュリティポリシー情報の構成例を示す説明図である。
【図5C】図1における機器管理情報の構成例を示す説明図である。
【図5D】図1におけるソフトウェア構成情報の構成例を示す説明図である。
【図5E】図1におけるソフトライセンス管理情報の構成例を示す説明図である。
【符号の説明】
【0073】
1:セキュリティポリシー適用機能、2:ソフトウェア承認・非承認チェック機能、3:ソフトウェア利用状況管理機能、4:ソフトウェアインストール格納情報、5:ソフトウェアセキュリティポリシー情報、6:機器管理情報、7:ソフトウェア構成情報、8:ソフトウェア管理システム(セキュリティポリシー適用及びソフトウェア利用状況管理システム)、9:情報システム部門、10:管理者、11:管理端末、12:ソフトウェアライセンス管理システム、13:ソフトウェアライセンス管理情報、14:市販されているPC情報収集ツール、15:ユーザ部門、16:利用者、17〜19:適用対象端末。
【技術分野】
【0001】
本発明は、パソコン(パーソナルコンピュータ;PC)やPDA(Personal Digital Assistant)等のコンピュータ装置にインストールされたソフトウェアの管理技術に係り、特に、当該コンピュータ装置のセキュリティレベルを一定に確保するのに好適な技術に関するものである。
【背景技術】
【0002】
従来、コンピュータ装置にインストールしたソフトウェアのセキュリティレベル状況や利用状況を確認するため、例えば次のような特許文献1,2に記載の技術が用いられている。
【0003】
特許文献1には、セキュリティポリシーサーバにおいて、各クライアントの特定に用いる情報を格納したクライアント固有情報データベースと、各クライアントのネットワークログイン許可または不許可の判断に用いる条件(セキュリティポリシー)を格納したセキュリティポリシーデータベースとを具備し、このセキュリティポリシーデータベースには、セキュリティポリシーとしてセキュリティレベル情報を格納し、これらのクライアント固有情報データベースとセキュリティポリシーデータベースとを用いて、それぞれに記録されたクライアントのセキュリティレベル情報を比較し、当該クライアントのネットワークログイン許可または不許可を判断する第1の技術、および、クライアントの動作状況を常時監視し、セキュリティレベルが予め定められたレベルより低くなった場合、セキュリティポリシー違反が発生したとして当該クライアントのネットワーク接続を切断する第2の技術が記載されている。
【0004】
また、特許文献2には、ユーザが指定したソフトウェアの公開限定種別またはライセンス配布状況(セキュリティポリシー)に応じて、当該ソフトウェアのインストールを許可するかどうかを判定する第3の技術、および、インストールが許可されたソフトウェアをソフトウェアライブラリからローカル端末へ送信し、インストールする第4の技術が記載されている。
【0005】
しかし、これらの技術では、次の問題点がある。例えば、上記特許文献1に記載の第1の技術では、セキュリティポリシー適用状況を確認し、クライアントのネットワークログインやネットワーク接続の許可または不許可の判断をしているが、インストールされているソフトウェアのセキュリティホールが判明した場合でも、ネットワーク接続が可能となっている。
【0006】
また、上記特許文献1に記載の第2の技術では、ネットワークが接続された状態でセキュリティに問題のあるソフトウェアが使用される可能性がある。
【0007】
また、上記特許文献2に記載の第3の技術では、許可されたソフトウェアのインストールについて対応されているが、インストール禁止のソフトウェアやライセンス違反状態のソフトウェアのチェックは行われていないため、継続して利用可能となってしまう。
【0008】
また、上記特許文献2に記載の第4の技術では、インストールが許可されたソフトウェアであれば、利用実態がほとんどない場合でもソフトウェアライセンスが返却されることがない。そのためソフトウェアライセンスの有効活用が図れない。
【0009】
【特許文献1】特開2002−366525号公報
【特許文献2】特開2002−6975号公報
【発明の開示】
【発明が解決しようとする課題】
【0010】
解決しようとする問題点は、従来の技術では、(1)インストールされているソフトウェアのセキュリティホールが判明した場合でも、ネットワーク接続が可能となっている点、(2)ネットワークが接続された状態でセキュリティに問題のあるソフトウェアが使用される可能性がある点、(3)インストール禁止のソフトウェアやライセンス違反状態のソフトウェアのチェックは行われていないため、継続して利用可能となってしまう点、(4)インストールが許可されたソフトウェアであれば、利用実態がほとんどない場合でもソフトウェアライセンスが返却されることがないので、ソフトウェアライセンスの有効活用が図れない点である。
【0011】
本発明の目的は、これら従来技術の課題を解決し、コンピュータ装置におけるソフトウェアに関して一定のセキュリティレベルを確保し、適正なソフトウェアの利用を図ることを可能とすることである。
【課題を解決するための手段】
【0012】
上記目的を達成するため、本発明では、セキュリティポリシー適用機能により、例えばパソコン内のソフトウェアのセキュリティポリシーを強制的に適用させると共に、ソフトウェア承認・非承認チェック機能により、パソコン内のソフトウェアのインストール状況を確認し、標準ソフトウェアの強制インストールやインストール禁止ソフトウェアの強制アンインストールを行い、さらに、パソコン内のソフトウェアの利用時間をチェックし最低利用時間に満たないソフトウェアの強制アンインストールを行うことを特徴とする。
【発明の効果】
【0013】
本発明によれば、セキュリティポリシー適用機能やソフトウェア承認・非承認チェック機能の処理により、インストールされたソフトウェアのセキュリティレベルを一定に保つことができ、当該ソフトウェアをインストールしたコンピュータ装置の信頼性の向上を図ることが可能となる。また、ソフトウェア承認・非承認チェック機能やソフトウェア利用状況管理機能の処理により、ソフトウェアライセンスの適正な割り当てやライセンス管理の精度向上を図ることが可能となる。
【発明を実施するための最良の形態】
【0014】
以下、図を用いて本発明を実施するための最良の形態例を説明する。図1は、本発明に係るソフトウェア管理システムの構成例を示すブロック図であって、情報システム部門9には管理者10が操作する管理端末11が設けられ、ユーザ部門15には利用者16が操作するパーソナルコンピュータ(PC)からなる適用対象端末17〜19が設けられ、ネットワークを介して、これら管理端末11と適用対象端末17〜19に、本発明に係るソフトウェア管理システム(図中「セキュリティポリシー適用及びソフトウェア利用状況管理システム」と記載)8が接続された構成となっている。
【0015】
ソフトウェア管理システム8は、管理端末11および適用対象端末17〜19と同様、CPU(Central Processing Unit)や主メモリ、表示装置、入力装置、外部記憶装置等を具備したコンピュータ構成からなり、光ディスク駆動装置等を介してCD−ROM等の記憶媒体に記録されたプログラムやデータを外部記憶装置内にインストールした後、この外部記憶装置から主メモリに読み込みCPUで処理することにより、各処理部の機能を実行する。
【0016】
すなわち、ソフトウェア管理システム8は、プログラムされたコンピュータ処理を実行する手段として、セキュリティポリシー適用機能1、ソフトウェア承認・非承認チェック機能2、ソフトウェア利用状況管理機能3を具備し、管理端末11の操作等で記憶装置に記憶されたソフトウェアインストール格納情報4、ソフトウェアセキュリティポリシー情報5、機器管理情報6、ソフトウェア構成情報7に記憶された情報の読み出しと処理、および書き込みを行うことで、管理端末11や適用対象端末17〜19におけるソフトウェアに対するセキュリティ管理処理を行う。
【0017】
さらに、ソフトウェア管理システム8は、プログラムされたコンピュータ処理手段として、ソフトウェアライセンス管理システム12を具備し、記憶装置に記憶されたソフトウェアライセンス管理情報13を用いて、管理端末11や適用対象端末17〜19におけるソフトウェアのライセンス状況の管理処理を実行する。
【0018】
尚、本例では、ソフトウェア管理システム8は、適用対象端末17〜19とは、市販されているPC情報収集ツール14を介して接続されている。
【0019】
このような構成からなるソフトウェア管理システム8は、セキュリティポリシー適用機能1によるソフトウェアインストール格納情報4やソフトウェアセキュリティポリシー情報5および機器管理情報6等に基づく処理により、例えば適用対象端末17内のソフトウェアに対して、ソフトウェアセキュリティポリシー情報5に格納したセキュリティポリシーを強制的に適用させると共に、ソフトウェア承認・非承認チェック機能2によるソフトウェアインストール格納情報4やソフトウェア構成情報7、機器管理情報6およびソフトライセンス管理情報13等に基づく処理により、当該適用対象端末17内のソフトウェアのインストール状況を確認し、当該適用対象端末17に対する標準ソフトウェアの強制インストールや、当該適用対象端末17からのインストール禁止ソフトウェアの強制アンインストールを行い、さらに、ソフトウェア利用状況管理機能3によるソフトウェアインストール格納情報4や機器管理情報6、ソフトウェア構成情報7およびソフトライセンス管理情報13等に基づく処理により、当該適用対象端末17内のソフトウェアの利用時間をチェックして、予め定められた最低利用時間に満たないソフトウェアの強制アンインストール等を行う。
【0020】
すなわち、セキュリティポリシー適用機能1は、予め各ソフトウェアに対して設定され記憶装置にソフトウェアセキュリティポリシー情報5等として登録された、当該ソフトウェアに対する各種セキュリティレベル毎の更新の要否を定めたセキュリティポリシー情報を読み出し参照して、当該ソフトウェアをインストールしている適用対象端末17〜19に対して、当該ソフトウェアに対して設定されているセキュリティポリシー情報に基づき当該ソフトウェアに対するセキュリティレベルの更新処理を実行する。
【0021】
また、ソフトウェア承認・非承認チェック機能2は、予め対象コンピュータ装置に対して設定され記憶装置にソフトウェア構成情報7やソフトウェアライセンス管理情報13等として登録された、当該適用対象端末17〜19へのインストールが許可されたソフトウェアの一覧情報を読み出し参照して、当該適用対象端末17〜19に対する許可されたソフトウェアの強制インストールおよび不許可のソフトウェアの強制アンインストールを実行する。
【0022】
また、ソフトウェア利用状況管理機能3は、予め各ソフトウェアに対して設定され記憶装置にソフトウェア構成情報7等として登録された、当該ソフトウェアの最低利用時間情報を読み出し、当該ソフトウェアをインストールしている適用対象端末17〜19における当該ソフトウェアの利用時間と比較し、該利用時間が最低利用時間に満たなければ、当該ソフトウェアの当該適用対象端末17〜19からの強制アンインストールを実行する。
【0023】
以下、このようなソフトウェア管理システム8の処理動作の詳細を図2〜図5を用いて説明する。
【0024】
図2は、図1のソフトウェア管理システムにおけるセキュリティポリシー適用機能の本発明に係る処理動作例を示すフローチャートであり、図3Aは、図1のソフトウェア管理システムにおけるソフトウェア承認・非承認チェック機能の本発明に係る処理動作例の前半部分を示すフローチャート、図3Bは、図1のソフトウェア管理システムにおけるソフトウェア承認・非承認チェック機能の本発明に係る処理動作例の後半部分を示すフローチャート、図4は、図1のソフトウェア管理システムにおけるソフトウェア利用状況管理機能の本発明に係る処理動作例を示すフローチャート、図5Aは、図1におけるソフトウェアインストール格納情報の構成例を示す説明図、図5Bは、図1におけるソフトウェアセキュリティポリシー情報の構成例を示す説明図、図5Cは、図1における機器管理情報の構成例を示す説明図、図5Dは、図1におけるソフトウェア構成情報の構成例を示す説明図、図5Eは、図1におけるソフトライセンス管理情報の構成例を示す説明図である。
【0025】
図5Aにおける項目説明20で示すように、図1におけるソフトウェアインストール格納情報4は、「機器管理CD;管理対象機器に対して一意に付与した管理用コード」、「ソフトウェア名;インストールされているソフトウェア名」、「バージョン;インストールされているソフトウェアのバージョン」、「適用日;インストールされているソフトウェアのバージョンアップ日又はインストール日」、「パッチ情報;1つめのセキュリティパッチ識別情報(セキュリティパッチ名称等)、未適用時は空白」、「パッチ適用日;1つめのセキュリティパッチ適用日、未適用時は空白」の各項目からなり、同じく図5Aにおけるデータ例21の「項番1」で示すように、「機器管理CD=2001」、「ソフトウェア名=aaaaa」、「バージョン=100」、「適用日=2006/12/1」、「パッチ情報=100−01」、「パッチ適用日=2006/12/1」などの構成で、各情報が記録されている。
【0026】
また、図5Bにおける項目説明22で示すように、図1におけるソフトウェアセキュリティポリシー情報5は、「ソフトウェア名;ソフトウェアの名称」、「バージョン;ソフトウェアのバージョン」、「バージョン適用有無;バージョンの適用有無(必須、任意、禁止)」、「パッチ情報;1つめのセキュリティパッチ識別情報(セキュリティパッチ名称等)、パッチ情報無しの場合は空白」、「パッチ情報適用有無;1つめのセキュリティパッチの適用有無を示す情報(必須、任意、禁止)、パッチ情報無しの場合は空白」の各項目からなり、同じく図5Bにおけるデータ例23の「項番1」で示すように、「ソフトウェア名=aaaaa」、「バージョン=100」、「バージョン適用有無=禁止」、「パッチ情報=100−02」、「パッチ適用有無=禁止」などの構成で、各情報が記録されている。
【0027】
また、図5Cにおける項目説明24で示すように、図1における機器管理情報6は、「機器管理CD;管理対象機器に対して一意に付与した管理用コード」、「標準ソフト構成NO;管理対象機器の標準ソフト構成NO」、「利用者CD;管理対象機器を利用している利用者コード(利用者コードは別システムで一意に付与されている)」、「設置場所;管理対象機器が設置されている場所」、「MACアドレス;管理対象機器に内蔵されているネットワークインタフェース装置のMACアドレス」、「処理フラグ1;セキュリティポリシー適用機能の実施有無を示すフラグ、未実施時は空白」、「処理実施日1;セキュリティポリシー適用機能の前回実施日」、「処理フラグ2;ソフトウェア承認・非承認チェック機能の実施有無を示すフラグ、未実施時は空白」、「処理実施日2;ソフトウェア承認・非承認チェック機能の前回実施日」、「処理フラグ3;ソフトウェア利用状況管理機能の実施有無を示すフラグ、未実施時は空白」、「処理実施日3;ソフトウェア利用状況管理機能の前回実施日」の各項目からなり、同じく図5Cにおけるデータ例25の「項番1」で示すように、「機器管理CD=2001」、「標準ソフト構成NO=S001」、「利用者ID=300001」、「設置場所=AAAビル」、「MACアドレス=00−01−01−01」、「処理フラグ1=済」、「処理実施日1=2006/12/1」、「処理フラグ2=済」、「処理実施日2=2006/12/1」、「処理フラグ3=済」、「処理実施日3=2006/12/1」などの構成で、各情報が記録されている。
【0028】
また、図5Dにおける項目説明26で示すように、図1におけるソフトウェア構成情報7は、「標準ソフト構成NO;管理対象機器の標準ソフト構成NO」、「ソフトウェア1;1つめのソフトウェア名」、「適用可否フラグ1;1つめのソフトウェアの適用可否を示すフラグ(必須、任意、禁止)」、「最低利用時間1;1つめのソフトウェアの最低利用時間」、「ソフトウェア2;2つめのソフトウェア名」、「適用可否フラグ2;2つめのソフトウェアの適用可否を示すフラグ(必須、任意、禁止)」、「最低利用時間2;2つめのソフトウェアの最低利用時間」、「ソフトウェア3;3つめのソフトウェア名」、「適用可否フラグ3;3つめのソフトウェアの適用可否を示すフラグ(必須、任意、禁止)」、「最低利用時間3;3つめのソフトウェアの最低利用時間」、「ソフトウェアn;nつめのソフトウェア名」、「適用可否フラグn;nつめのソフトウェアの適用可否を示すフラグ(必須、任意、禁止)」、「最低利用時間n;nつめのソフトウェアの最低利用時間」の各項目からなり、同じく図5Dにおけるデータ例27の「項番1」で示すように、「標準ソフト構成NO=S001」、「ソフトウェア1=aaaaa」、「適用可否フラグ1=必須」、「最低利用時間1=5分」、「ソフトウェア2=bbbbb」、「適用可否フラグ2=必須」、「最低利用時間2=5分」、「ソフトウェア3=ccccc」、「適用可否フラグ3=禁止」、「最低利用時間3=5分」、「ソフトウェアn=xxxxx」、「適用可否フラグn=必須」、「最低利用時間n=5分」などの構成で、各情報が記録されている。
【0029】
また、図5Eにおける項目説明28で示すように、図1におけるソフトウェアライセンス管理情報13は、「ソフトウェア名;ソフトウェアの名称」、「バージョン;ソフトウェアのバージョン」、「機器管理CD;管理対象機器に対して一意に付与した管理用コード、未使用時は空白」、「ライセンス使用許可フラグ;ライセンス使用の可否を示すフラグ、未使用時は空白」の各項目からなり、同じく図5Eにおけるデータ例29の「項番1」で示すように、「ソフトウェア名=aaaaa」、「バージョン=100」、「機器管理CD=2001」、「ライセンス使用許可フラグ=許可」などの構成で、各情報が記録されている。
【0030】
以下、このような構成の各情報を用いた図1におけるソフトウェア管理システム8の各機能(セキュリティポリシー適用機能1、ソフトウェア承認・非承認チェック機能2、ソフトウェア利用状況管理機能3)による処理動作を説明する。
【0031】
図1におけるセキュリティポリシー適用機能1は、以下に説明する図2に示す手順を実行することにより、適用対象端末17〜19におけるソフトウェアのバージョンアップやセキュリティパッチを強制的に実施することで、適用対象端末17〜19に対して、ソフトウェアに関するセキュリティポリシーを適用させる。
【0032】
まず、ステップ101において、セキュリティポリシー適用指示手順を実行し、機器管理情報6から、セキュリティポリシーを適用する対象の、例えば適用対象端末17の端末情報150(「機器管理CD:2001」、「MACアドレス:00−01−02−03」)を取得する。
【0033】
次のステップ102において、ソフトウェアインストール情報取得手順を実行し、適用対象端末17に関する端末情報150における機器管理CD(「2001」)とMACアドレス(「00−01−02−03」)を使用し、図1の市販されているPC情報収集ツール14を介して適用対象端末17にアクセスし、当該適用対象端末17内のレジストリ情報を読み込み、当該適用対象端末17にインストールされているソフトウェア情報151(「機器管理CD:2001」、「ソフトウェア名:abc」、「バージョン:100」)を取得する。
【0034】
ステップ103において、ソフトウェアインストール情報更新手順を実行し、ステップ102の処理で取得したソフトウェア情報151の内容に基づいて、ソフトウェアインストール格納情報4を更新する。
【0035】
ステップ104において、ソフトウェアポリシー情報取得手順を実行し、ソフトウェア情報151におけるソフトウェア名(「abc」)をキーとしてソフトウェアセキュリティポリシー情報5の検索を行い、ソフトウェアセキュリティポリシー情報5から該当するソフトウェアポリシー情報152(「ソフトウェア名:abc」、「バージョン:200」、「適用有無:必須」、「パッチ情報:00002」、「パッチ情報適用有無:必須」)を取得する。
【0036】
ステップ105において、バージョン比較手順を実行し、ソフトウェア情報151におけるバージョン(「100」)とソフトウェアポリシー情報152におけるバージョン(「200」)を比較し、ソフトウェア情報151におけるバージョンがソフトウェアポリシー情報152におけるバージョンより小さい場合(「100<200」)、次のステップ106におけるバージョンアップ命令発行手順を実行する。
【0037】
ステップ106において、バージョンアップ命令発行手順を実行し、ソフトウェアポリシー情報152における「適用有無」が「必須」の場合、適用対象端末17にバージョンアップ命令を発行し、適用対象端末17に対して当該ソフトウェア(「abc」)のバージョンアップを強制的に実施させる。
【0038】
ステップ107において、セキュリティパッチ情報比較手順を実行し、ソフトウェア情報151におけるパッチ情報(「00001」)とソフトウェアポリシー情報152におけるパッチ情報(「00002」)とを比較し、ソフトウェア情報151におけるパッチ情報がソフトウェアポリシー情報152におけるパッチ情報より小さければ(「00001<00002」)、次のステップ108におけるセキュリティパッチインストール命令発行手順の実行処理に進む。
【0039】
ステップ108において、セキュリティパッチインストール命令発行手順を実行し、パッチ情報適用有無が必須の場合、適用対象端末17にセキュリティパッチインストール命令を発行し、適用対象端末17に対して当該セキュリティパッチのインストールを強制的に実施する。
【0040】
ステップ109において、機器管理情報・ソフトウェアインストール情報更新手順を実行し、端末情報153の内容(「機器管理CD:2001」、「処理フラグ1:済」)で、機器管理情報6における当該項目内容を更新すると共に、ソフトウェア情報154の内容(「機器管理CD:2001」、「ソフトウェア名:abc」、「バージョン:200」)でソフトウェアインストール格納情報4における当該項目内容を更新する。
【0041】
次に、図3を用いて、図1におけるソフトウェア承認・非承認チェック機能2の本発明に係わる処理動作例を説明する。
【0042】
図1におけるソフトウェア承認・非承認チェック機能2は、図3に示す以下の手順を実行することにより、インストール禁止ソフトウェアの強制アンインストール及び標準ソフトウェアの強制インストールを行うと共に、未承認ソフトウェアがインストールされている場合は、未使用ライセンス数の範囲内で新規にライセンスを引き当てる。
【0043】
まず、ステップ201において、ソフトウェア承認・非承認チェック指示チェック手順を実行し、機器管理情報6から、ソフトウェア承認・非承認チェック機能2を適用する適用対象端末18の端末情報250を取得する。
【0044】
次に、ステップ202において、ソフトウェアインストール情報取得手順を実行し、適用対象端末18の端末情報250の機器管理CDとMACアドレスを使用して、図1の市販されているPC情報収集ツール14を介し、適用対象端末18内のレジストリ情報からインストールされているソフトウェア情報251を取得する。
【0045】
ステップ203において、ソフトウェアインストール情報更新手順を実行し、ソフトウェア情報251の内容に基づいてソフトウェアインストール格納情報4を更新する。
【0046】
ステップ204において、ソフトウェア構成情報取得手順を実行し、端末情報250の標準ソフト構成NOをキーとしてソフトウェア構成情報5を検索し、ソフトウェア構成情報252を取得する。
【0047】
ステップ205において、インストール禁止ソフトウェア確認手順を実行し、ソフトウェア構成情報252で適用可否フラグが禁止となっているソフトウェアがインストールされているか否かをソフトウェア構成情報251を参照して確認し、インストール禁止ソフトウェアのインストールが確認された場合に、ステップ206における強制アンインストール命令発行手順へ進む。
【0048】
ステップ206において、強制アンインストール命令発行手順を実行し、適用対象端末18に対して強制アンインストール命令を発行し、インストール禁止ソフトウェアのアンインストールを強制的に実施する。
【0049】
ステップ207において、標準ソフトウェア確認手順を実行し、ソフトウェア構成情報252で適用可否フラグが必須となっているソフトウェアがインストールされているか否かをソフトウェア情報251を参照して確認し、適用必須ソフトウェアの未インストールが確認された場合に、次のステップ208における強制インストール命令発行及びソフトライセンス管理情報更新手順へ進む。
【0050】
ステップ208においては、強制インストール命令発行及びソフトライセンス管理情報更新手順を実行し、適用対象端末18に対して強制インストール命令を発行し、未インストールソフトウェアのインストールを強制的に実施すると共に、適用対象端末18のソフトウェアライセンス使用情報253の内容に従ってソフトライセンス管理情報13を更新する。
【0051】
ステップ209において、ソフトウェアライセンス管理情報取得手順を実行し、適用対象端末18の機器管理CDをキーとして、ソフトライセンス管理情報13を検索し、適用対象端末18に対してライセンス使用許可フラグが許可となっているソフトウェアライセンス使用情報254を取得する。
【0052】
ステップ210において、未承認ソフトウェア確認手順を実行し、ソフトウェア情報251でソフトウェアライセンス使用情報254内に存在しない未承認ソフトウェアを確認し、未承認ソフトウェアが確認された場合、次のステップ211における未使用ライセンス数カウント手順へ進む。
【0053】
ステップ211において、未使用ライセンス数カウント手順を実行し、未承認ソフトウェア確認210で確認した未承認ソフトウェアのソフトウェア名とバージョンをキーとしてソフトライセンス管理情報13からソフトウェアライセンス使用情報255を取得し、ライセンス使用許可フラグが空白となっている未使用ライセンス数をカウントする。
【0054】
ステップ212において、未使用ライセンス有無手順を実行し、「未使用ライセンス数≠0」の場合には、ステップ213におけるライセンス引き当て手順へ進み、「未使用ライセンス数=0」の場合には、ステップ214における強制アンインストール命令発行手順へ進む。
【0055】
ステップ213において、ライセンス引き当て手順を実行し、ソフトウェアライセンス使用情報256に従ってソフトライセンス管理情報13を更新し、適用対象端末18にライセンス使用を許可する。
【0056】
ステップ214において、強制アンインストール命令手順を実行し、適用対象端末18に対し強制アンインストール命令を発行し、未承認ソフトウェアのアンインストールを強制的に実施する。
【0057】
ステップ215において、機器管理情報・ソフトウェアインストール情報更新手順を実行し、端末情報257の内容に従って機器管理情報6を更新すると共に、ソフトウェア情報258の内容に従ってソフトウェアインストール格納情報4を更新する。
【0058】
次に、図4を用いて、図1におけるソフトウェア利用状況管理機能3の本発明に係わる処理動作例を説明する。
【0059】
図1におけるソフトウェア利用状況管理機能3は、図4に示す以下の手順を実行することにより、各適用対象端末における各ソフトウェアの利用時間が予め決められたソフトウェア毎の最低利用時間に満たない場合、該当するソフトウェアは必要ないと判断して強制的にアンインストールを行い、ソフトウェアのライセンスを開放する。
【0060】
まず、ステップ301において、ソフトウェア利用状況チェック指示手順を実行し、機器管理情報6を参照して、ソフトウェア利用状況管理機能3を適用する適用対象端末19の端末情報350を取得する。
【0061】
次に、ステップ302において、ソフトウェア利用時間取得手順を実行し、適用対象端末19の端末情報350における機器管理CDとMACアドレスを使用して、適用対象端末19のログ情報よりソフトウェア利用時間を収集し、ソフトウェア利用時間351を取得する。
【0062】
ステップ303において、ソフトウェア最低利用時間取得手順を実行し、標準ソフト構成NOをキーとしてソフトウェア構成情報7を検索し、ソフトウェア構成情報352を取得する。
【0063】
ステップ304において、ソフトウェア利用時間比較手順を実行し、ソフトウェア利用時間351における利用時間とソフトウェア構成情報352における最低利用時間を比較し、ソフトウェア利用時間351における利用時間がソフトウェア構成情報352における最低利用時間より少ない時、ステップ305における強制アンインストール命令発行手順の処理へ進む。
【0064】
ステップ305において、強制アンインストール命令発行手順を実行し、適用対象端末19に対して強制アンインストール命令を発行し、ソフトウェアのアンインストールを強制的に実施する。
【0065】
ステップ306において、ソフトライセンス情報更新手順を実行し、ソフトウェアのライセンスを開放するため、ソフトウェアライセンス使用情報353におけるライセンス使用許可フラグを空白にし、ソフトライセンス管理情報13を更新する。
【0066】
ステップ307において、機器管理情報・ソフトウェアインストール情報更新手順を実行し、端末情報354における内容に従って機器管理情報6を更新すると共に、ソフトウェア情報355における内容に従ってソフトウェアインストール格納情報4を更新する。
【0067】
以上、図1〜図5Eを用いて説明したように、本例のソフトウェア管理システム8では、セキュリティポリシー適用機能1により、例えばパソコン内のソフトウェアのセキュリティポリシーを強制的に適用させると共に、ソフトウェア承認・非承認チェック機能2により、パソコン内のソフトウェアのインストール状況を確認し、標準ソフトウェアの強制インストールやインストール禁止ソフトウェアの強制アンインストールを行い、さらに、パソコン内のソフトウェアの利用時間をチェックし最低利用時間に満たないソフトウェアの強制アンインストールを行う。
【0068】
このようなセキュリティポリシー適用機能1やソフトウェア承認・非承認チェック機能2の処理により、インストールされたソフトウェアのセキュリティレベルを一定に保つことができ、当該ソフトウェアをインストールしたコンピュータ装置の信頼性の向上を図ることが可能となる。また、ソフトウェア承認・非承認チェック機能2やソフトウェア利用状況管理機能3の処理により、ソフトウェアライセンスの適正な割り当てやライセンス管理の精度向上を図ることが可能となる。
【0069】
尚、本発明は、図1〜図5Eを用いて説明した例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能である。例えば、本例では、監視対象となるコンピュータ装置としての適用対象端末17〜19にパーソナルコンピュータ(PC)を用いることとしているが、PDAなどであっても良い。
【0070】
また、本例では、管理端末11からのネットワークを介しての操作により、ソフトウェアインストール格納情報4、ソフトウェアセキュリティポリシー情報5、機器管理情報6、ソフトウェア構成情報7、ソフトウェアライセンス管理情報13における各情報の設定・格納を行っているが、ソフトウェア管理システム8自体に設けられた入力装置での操作により、ソフトウェアインストール格納情報4、ソフトウェアセキュリティポリシー情報5、機器管理情報6、ソフトウェア構成情報7、ソフトウェアライセンス管理情報13における各情報の設定・格納を行うことでも良い。
【0071】
また、本例のシステムを構成するコンピュータの構成としても、キーボードや光ディスクの駆動装置の無いコンピュータ構成としても良い。また、本例では、光ディスクを記録媒体として用いているが、FD(Flexible Disk)等を記録媒体として用いることでも良い。また、プログラムのインストールに関しても、通信装置を介してネットワーク経由でプログラムをダウンロードしてインストールすることでも良い。
【図面の簡単な説明】
【0072】
【図1】本発明に係るソフトウェア管理システムの構成例を示すブロック図である。
【図2】図1のソフトウェア管理システムにおけるセキュリティポリシー適用機能の本発明に係る処理動作例を示すフローチャートである。
【図3A】図1のソフトウェア管理システムにおけるソフトウェア承認・非承認チェック機能の本発明に係る処理動作例の前半部分を示すフローチャートである。
【図3B】図1のソフトウェア管理システムにおけるソフトウェア承認・非承認チェック機能の本発明に係る処理動作例の後半部分を示すフローチャートである。
【図4】図1のソフトウェア管理システムにおけるソフトウェア利用状況管理機能の本発明に係る処理動作例を示すフローチャートである。
【図5A】図1におけるソフトウェアインストール格納情報の構成例を示す説明図である。
【図5B】図1におけるソフトウェアセキュリティポリシー情報の構成例を示す説明図である。
【図5C】図1における機器管理情報の構成例を示す説明図である。
【図5D】図1におけるソフトウェア構成情報の構成例を示す説明図である。
【図5E】図1におけるソフトライセンス管理情報の構成例を示す説明図である。
【符号の説明】
【0073】
1:セキュリティポリシー適用機能、2:ソフトウェア承認・非承認チェック機能、3:ソフトウェア利用状況管理機能、4:ソフトウェアインストール格納情報、5:ソフトウェアセキュリティポリシー情報、6:機器管理情報、7:ソフトウェア構成情報、8:ソフトウェア管理システム(セキュリティポリシー適用及びソフトウェア利用状況管理システム)、9:情報システム部門、10:管理者、11:管理端末、12:ソフトウェアライセンス管理システム、13:ソフトウェアライセンス管理情報、14:市販されているPC情報収集ツール、15:ユーザ部門、16:利用者、17〜19:適用対象端末。
【特許請求の範囲】
【請求項1】
ネットワークを介して接続された対象コンピュータ装置にアクセスし、該対象コンピュータ装置にインストールされたソフトウェアの正常性を、プログラムされたコンピュータ処理により管理するソフトウェア管理システムであって、
プログラムされたコンピュータ処理を実行する手段として、
予め各ソフトウェアに対して設定され記憶装置に登録された、当該ソフトウェアに対する各種セキュリティレベル毎の更新の要否を定めたセキュリティポリシー情報を読み出し参照して、当該ソフトウェアをインストールしている対象コンピュータ装置に対して、
当該ソフトウェアに対して設定されているセキュリティポリシー情報に基づき当該ソフトウェアに対するセキュリティレベルの更新処理を実行するセキュリティポリシー適用手段と、
予め対象コンピュータ装置に対して設定され記憶装置に登録された、当該対象コンピュータ装置へのインストールが許可されたソフトウェアの一覧情報を読み出し参照して、当該対象コンピュータ装置に対する許可されたソフトウェアの強制インストールおよび不許可のソフトウェアの強制アンインストールを実行するソフトウェア承認・非承認チェック手段と、
予め各ソフトウェアに対して設定され記憶装置に登録された、当該ソフトウェアの最低利用時間情報を読み出し、当該ソフトウェアをインストールしている対象コンピュータ装置における当該ソフトウェアの利用時間と比較し、該利用時間が最低利用時間に満たなければ、当該ソフトウェアの当該対象コンピュータ装置からの強制アンインストールを実行するソフトウェア利用状況管理手段と
の少なくともいずれか一つを有することを特徴とするソフトウェア管理システム。
【請求項2】
ネットワークを介して接続された対象コンピュータ装置にアクセスし、該対象コンピュータ装置にインストールされたソフトウェアの正常性を、プログラムされたコンピュータ処理により管理するシステムのソフトウェア管理方法であって、
プログラムされたコンピュータ処理を実行する手段として、セキュリティポリシー適用手段と、ソフトウェア承認・非承認チェック手段、ソフトウェア利用状況管理手段の少なくともいずれか一つを有し、
上記セキュリティポリシー適用手段は、
予め各ソフトウェアに対して設定され記憶装置に登録された、当該ソフトウェアに対する各種セキュリティレベル毎の更新の要否を定めたセキュリティポリシー情報を読み出し参照して、当該ソフトウェアをインストールしている対象コンピュータ装置に対して、
当該ソフトウェアに対して設定されているセキュリティポリシー情報に基づき当該ソフトウェアに対するセキュリティレベルの更新処理を実行し、
上記ソフトウェア承認・非承認チェック手段は、
予め対象コンピュータ装置に対して設定され記憶装置に登録された、当該対象コンピュータ装置へのインストールが許可されたソフトウェアの一覧情報を読み出し参照して、
当該対象コンピュータ装置に対する許可されたソフトウェアの強制インストールおよび不許可のソフトウェアの強制アンインストールを実行し、
上記ソフトウェア利用状況管理手段は、
予め各ソフトウェアに対して設定され記憶装置に登録された、当該ソフトウェアの最低利用時間情報を読み出し、当該ソフトウェアをインストールしている対象コンピュータ装置における当該ソフトウェアの利用時間と比較し、該利用時間が最低利用時間に満たなければ、当該ソフトウェアの当該対象コンピュータ装置からの強制アンインストールを実行する
ことを特徴とするソフトウェア管理方法。
【請求項3】
コンピュータを、請求項1におけるソフトウェア管理システムにおける各手段として機能させるためのプログラム。
【請求項1】
ネットワークを介して接続された対象コンピュータ装置にアクセスし、該対象コンピュータ装置にインストールされたソフトウェアの正常性を、プログラムされたコンピュータ処理により管理するソフトウェア管理システムであって、
プログラムされたコンピュータ処理を実行する手段として、
予め各ソフトウェアに対して設定され記憶装置に登録された、当該ソフトウェアに対する各種セキュリティレベル毎の更新の要否を定めたセキュリティポリシー情報を読み出し参照して、当該ソフトウェアをインストールしている対象コンピュータ装置に対して、
当該ソフトウェアに対して設定されているセキュリティポリシー情報に基づき当該ソフトウェアに対するセキュリティレベルの更新処理を実行するセキュリティポリシー適用手段と、
予め対象コンピュータ装置に対して設定され記憶装置に登録された、当該対象コンピュータ装置へのインストールが許可されたソフトウェアの一覧情報を読み出し参照して、当該対象コンピュータ装置に対する許可されたソフトウェアの強制インストールおよび不許可のソフトウェアの強制アンインストールを実行するソフトウェア承認・非承認チェック手段と、
予め各ソフトウェアに対して設定され記憶装置に登録された、当該ソフトウェアの最低利用時間情報を読み出し、当該ソフトウェアをインストールしている対象コンピュータ装置における当該ソフトウェアの利用時間と比較し、該利用時間が最低利用時間に満たなければ、当該ソフトウェアの当該対象コンピュータ装置からの強制アンインストールを実行するソフトウェア利用状況管理手段と
の少なくともいずれか一つを有することを特徴とするソフトウェア管理システム。
【請求項2】
ネットワークを介して接続された対象コンピュータ装置にアクセスし、該対象コンピュータ装置にインストールされたソフトウェアの正常性を、プログラムされたコンピュータ処理により管理するシステムのソフトウェア管理方法であって、
プログラムされたコンピュータ処理を実行する手段として、セキュリティポリシー適用手段と、ソフトウェア承認・非承認チェック手段、ソフトウェア利用状況管理手段の少なくともいずれか一つを有し、
上記セキュリティポリシー適用手段は、
予め各ソフトウェアに対して設定され記憶装置に登録された、当該ソフトウェアに対する各種セキュリティレベル毎の更新の要否を定めたセキュリティポリシー情報を読み出し参照して、当該ソフトウェアをインストールしている対象コンピュータ装置に対して、
当該ソフトウェアに対して設定されているセキュリティポリシー情報に基づき当該ソフトウェアに対するセキュリティレベルの更新処理を実行し、
上記ソフトウェア承認・非承認チェック手段は、
予め対象コンピュータ装置に対して設定され記憶装置に登録された、当該対象コンピュータ装置へのインストールが許可されたソフトウェアの一覧情報を読み出し参照して、
当該対象コンピュータ装置に対する許可されたソフトウェアの強制インストールおよび不許可のソフトウェアの強制アンインストールを実行し、
上記ソフトウェア利用状況管理手段は、
予め各ソフトウェアに対して設定され記憶装置に登録された、当該ソフトウェアの最低利用時間情報を読み出し、当該ソフトウェアをインストールしている対象コンピュータ装置における当該ソフトウェアの利用時間と比較し、該利用時間が最低利用時間に満たなければ、当該ソフトウェアの当該対象コンピュータ装置からの強制アンインストールを実行する
ことを特徴とするソフトウェア管理方法。
【請求項3】
コンピュータを、請求項1におけるソフトウェア管理システムにおける各手段として機能させるためのプログラム。
【図1】
【図2】
【図3A】
【図3B】
【図4】
【図5A】
【図5B】
【図5C】
【図5D】
【図5E】
【図2】
【図3A】
【図3B】
【図4】
【図5A】
【図5B】
【図5C】
【図5D】
【図5E】
【公開番号】特開2009−69959(P2009−69959A)
【公開日】平成21年4月2日(2009.4.2)
【国際特許分類】
【出願番号】特願2007−235334(P2007−235334)
【出願日】平成19年9月11日(2007.9.11)
【出願人】(000152985)株式会社日立情報システムズ (409)
【Fターム(参考)】
【公開日】平成21年4月2日(2009.4.2)
【国際特許分類】
【出願日】平成19年9月11日(2007.9.11)
【出願人】(000152985)株式会社日立情報システムズ (409)
【Fターム(参考)】
[ Back to top ]