デバイス管理装置、デバイス及びデバイス管理方法
【課題】デバイス上に適切なモジュールを適切な設定で動作させ、デバイスに対して安全な情報通信サービス提供を可能とするデバイス管理装置を提供する。
【解決手段】デバイス管理装置10は、デバイスの構成情報を保持するデバイス構成情報保持部14と、サービスの加入者情報を保持する加入者情報保持部13と、構成情報あるいは加入者情報に基づいて設定されるセキュリティポリシーを保持するセキュリティポリシー保持部12と、デバイスから取得したモジュールの状態情報を保持するモジュール状態保持部15と、セキュリティポリシーとモジュールの状態情報とを比較して、デバイスの構成を診断するデバイス診断部16とを備える。
【解決手段】デバイス管理装置10は、デバイスの構成情報を保持するデバイス構成情報保持部14と、サービスの加入者情報を保持する加入者情報保持部13と、構成情報あるいは加入者情報に基づいて設定されるセキュリティポリシーを保持するセキュリティポリシー保持部12と、デバイスから取得したモジュールの状態情報を保持するモジュール状態保持部15と、セキュリティポリシーとモジュールの状態情報とを比較して、デバイスの構成を診断するデバイス診断部16とを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、デバイス管理装置、デバイス及びデバイス管理方法に関する。
【背景技術】
【0002】
携帯電話サービスやバンキングサービス、コンテンツ配信、企業データベースなどの情報通信サービスを安全に提供するため、サービス提供者は加入者のデバイス(携帯電話やPDA、PCなど)が、なりすましのデバイスでないことを認証によって確認すると共に、不正な動作を行わないように動作及び状態の検査や、権限の制御をしたいという要求がある。デバイスの不正な動作とは、例えば、ユーザのプライバシ情報(電話番号や預金情報)、著作権付きのコンテンツ、企業の秘密情報などのセンシティブなデータを外部にコピーするような情報漏えい行為や、デバイス内ソフトウェアやデータの不正改ざんや消去、他のデバイスへの攻撃である。デバイスの不正な動作を防止するため、従来、デバイス上にウィルス検査、改ざん検査、ファイアウォール、権限制御、侵入検知、ログ管理などのセキュリティモジュールに基づき、設定がなされて、各種の攻撃や委譲の検出や防御を行う。
【0003】
サービス提供者は、デバイスやサービスの安全性と信頼性のため、デバイスに適切なモジュールを組み込み、適切に設定し、その状態が正常化を確認したい要求がある。このため、例えば、デバイス上のセキュリティ関連のイベントの発生(ある操作の実行やオブジェクトの変化)を検知して、監査や情報収集、異常検出、対処に関するセキュリティポリシーを更新するデバイス管理技術が開示されている(例えば、特許文献1参照。)。セキュリティポリシーの更新は、例えば、監査や情報収集の範囲、異常検出の閾値、対処の種別(シャットダウンや権限の制限等)など、セキュリティのモジュールの設定を変更することで行われる。一方、モジュールの追加や修正、設定のためのソフトウェア更新において、デバイスの購入や譲渡時におけるデバイスのSIM差し替えを検出して、管理サーバに(管理者ID,デバイスID)とプロファイル(メータ,モデル,ファームウェアのバージョン,加入サービス等)を登録するデバイス管理システムが開示されている(例えば、特許文献2参照)。
【特許文献1】US6,530,024号公報
【特許文献2】WO2005/036916号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
現在のコンピュータネットワークには多様なデバイスやネットワーク、サービスが存在するが、デバイスのオペレーティングシステム(OS)の種別、接続ネットワークの種別、実行するサービス利用プログラム(アプリケーション)の種別、接続される外部デバイスの種別によって、デバイスに要求されるセキュリティポリシー(セキュリティモジュールの種別やその設定)は異なるものと考えられる。又、外部デバイスやアプリケーション、OS、ネットワークは新たなものが開発され、提供され得るものである。そのため、新たなセキュリティポリシーが規定される可能性があり、デバイスはそのセキュリティポリシーに従う必要がある。
【0005】
しかしながら、特許文献1で開示されているデバイス管理技術は、セキュリティポリシーの更新に応じてモジュールを動的に組み込むソフトウェア更新手段を備えていないため、そのデバイスの想定外の新たなコンピューティング環境に対応することが困難であった。即ち、新しい外部デバイスの接続や、新しいアプリケーションの起動、新たなネットワークへの接続などの環境の変化が起きた際に、必要なモジュールを導入できず、安全性や信頼性を保証することができなかった。一方、特許文献2で開示されているデバイス管理システムは、デバイス上での異種OSや複数OSの起動、外部デバイスの接続、接続先ネットワークの変化、特定のアプリケーション起動等のデバイス構成の変化を管理する手段を持たないため、セキュリティポリシーに従って、デバイス側で適切なモジュールの導入や設定が行えず、デバイス管理装置側でも、その導入や設定状態を検査することが困難であった。
【0006】
そこで、本発明は、上記の課題に鑑み、適切なモジュールを適切な設定で動作させ、安全な情報通信サービス提供を可能とするデバイス管理装置、デバイス及びデバイス管理方法を提供することを目的とする。
【課題を解決するための手段】
【0007】
上記目的を達成するため、本発明の第1の特徴は、(a)デバイスの構成情報を保持するデバイス構成情報保持部と、(b)サービスの加入者情報を保持する加入者情報保持部と、(c)構成情報あるいは加入者情報に基づいて設定されるセキュリティポリシーを保持するセキュリティポリシー保持部と、(d)デバイスから取得したモジュールの状態情報を保持するモジュール状態保持部と、(e)セキュリティポリシーとモジュールの状態情報とを比較して、デバイスの構成を診断するデバイス診断部とを備えるデバイス管理装置であることを要旨とする。
【0008】
第1の特徴に係るデバイス管理装置によると、デバイスの構成情報と加入者情報を管理し、デバイスから取得したモジュールの状態情報とセキュリティポリシーを比較して、デバイスの構成の診断をすることができる。これにより、サービス提供者は、当該デバイスの構成に必要とされるモジュールが正しい設定で動作していることを確認した上で、サービスを提供することができる。
【0009】
又、第1の特徴に係るデバイス管理装置のデバイス構成情報保持部は、構成情報として、デバイス識別子と、デバイス識別子に対応したオペレーティングシステム、ハードウェア、通信リンク種別、接続先ネットワーク、外部デバイス、実行中のアプリケーション、モジュールの状態情報の少なくともいずれか1とを含むことが好ましい。
【0010】
このデバイス管理装置によると、サービス提供者は、デバイス構成情報に対してきめ細かにモジュールやその設定を選択し、安全にサービスを提供することができる。
【0011】
又、第1の特徴に係るデバイス管理装置のデバイス構成情報保持部の加入者情報保持部は、加入者情報として、加入者識別子と、加入者識別子に対応した加入サービスの種別、加入サービスの設定の少なくともいずれか1とを含むことが好ましい。
【0012】
このデバイス管理装置によると、加入者が利用するデバイスを切り替えたり、加入者間でデバイスを交換しても一意に加入者デバイスを特定したりすることを可能とする。又、高度な安全性を要求するサービスや加入者に対して高機能なセキュリティのモジュールを選択したり、動作の軽快さを望む加入者に対して検査頻度を落としたセキュリティのモジュールを選択したりするなど、きめ細かな制御ができる。
【0013】
又、第1の特徴に係るデバイス管理装置は、モジュール、あるいは、セキュリティポリシーをデバイスへ送信するモジュール・ポリシー提供部を更に備えてもよい。
【0014】
このデバイス管理装置によると、デバイス構成情報や加入者情報が変化した際も、適切なモジュールやセキュリティポリシーをデバイスに導入できる。
【0015】
又、第1の特徴に係るデバイス管理装置は、デバイス上のモジュールに状態を問い合わせるモジュールテスト部を更に備えてもよい。
【0016】
このデバイス管理装置によると、デバイス管理装置の任意のタイミングでデバイス上のモジュールの状態を確認でき、安全なサービス提供が可能となる。
【0017】
本発明の第2の特徴は、デバイスの構成情報あるいはサービスの加入者情報に基づいて設定されるセキュリティポリシーと、デバイスから取得したモジュールの状態情報とを比較して、デバイスの構成を診断するデバイス管理装置の管理下にあるデバイスであって、(a)構成情報あるいは加入者情報をデバイス管理装置へ送信するデバイス登録部と、(b)デバイス管理装置からモジュール、あるいは、セキュリティポリシーを取得するモジュール・ポリシー取得部と、(c)セキュリティポリシーを利用して、モジュールを管理するモジュール管理部と、(d)モジュールの動作あるいは状態をテストするモジュールテスト部と、(e)モジュールのテスト結果を、モジュールの状態情報として、デバイス管理装置へ送信する診断応答部とを備えるデバイスであることを要旨とする。
【0018】
第2の特徴に係るデバイスによると、デバイス構成情報や加入者情報を管理し、デバイス管理装置に登録すると共に、セキュリティポリシーを保持し、それに従ってモジュールの導入、設定、起動、テスト、さらにテスト結果の通知を行うことができる。このため、カスタマイズされるデバイスのセキュリティ状態を適切に保つと共に、デバイス管理装置がデバイスのセキュリティを診断・管理可能とする。
【0019】
又、第2の特徴に係るデバイスのモジュールテスト部は、デバイスの電源がオン又はリセット、あるいはデバイス管理装置からの問い合わせを契機として、テストを行ってもよい。
【0020】
このデバイスによると、デバイス購入時や再起動の際に確実にテストを行い、デバイスを安全な状態に保つことができる。又、デバイス管理装置は所望のタイミングでデバイス側のモジュールをテストできるため、テストの頻度やタイミングの設定について、柔軟な運用ができる。
【0021】
又、第2の特徴に係るデバイスは、モジュールテスト部によるテストにおいて、テストが失敗した場合、当該モジュールの修復を行うモジュール復旧部を更に備えてもよい。
【0022】
このデバイスによると、モジュールの不具合があった場合も停止することなく、復旧可能とする。
【0023】
又、第2の特徴に係るデバイスは、複数の仮想マシンを管理する仮想マシン管理部を更に備え、デバイス構成情報保持部は、一つ以上の仮想シンのデバイス構成情報を保持し、デバイス登録部は、一つ以上の仮想マシンのデバイス構成情報と加入者情報とをデバイス管理装置へ送信し、モジュール管理部は、適切な仮想マシンを選択して、モジュールを導入あるいは設定してもよい。
【0024】
このデバイスによると、サービス実行用の仮想マシンをユーザ用の環境と独立して構築するなど、仮想マシン単位でデバイス構成情報をデバイス管理装置に登録することができる。このように、仮想マシンごとに異なるモジュールを導入することができるため、例えば、サービス実行用の仮想マシンではサービスの安全性を確保し、ユーザ用の環境ではユーザの利便性を確保することができる。又、複数の仮想マシンのデバイス構成情報を集約して送信することで、トラフィックや負荷を軽減することもできる。更に、デバイス管理装置は、仮想マシン単位でデバイスセキュリティを管理できる。
【0025】
又、上記のデバイスは、仮想マシンにプログラムを導入する場合、仮想マシンに認定されたプログラム以外の導入を拒否する導入プログラム制限部を更に備えてもよい。
【0026】
このデバイスによると、サービス用の仮想マシンに、不正なプログラムが導入されるのを防止し、当該仮想マシンを安全な状態に維持することができる。
【0027】
本発明の第3の特徴は、(a)デバイスの構成情報あるいはサービスの加入者情報に基づいて設定されるセキュリティポリシーを保持するステップと、(b)デバイスから取得したモジュールの状態情報を保持するステップと、(c)セキュリティポリシーとモジュールの状態情報とを比較して、デバイスの構成を診断するステップとを含むデバイス管理方法であることを要旨とする。
【0028】
第3の特徴に係るデバイス管理方法によると、デバイスの構成情報と加入者情報を管理し、デバイスから取得したモジュールの状態情報とセキュリティポリシーを比較して、デバイスの構成を診断することができる。これにより、サービス提供者は、当該デバイスの構成に必要とされるモジュールが正しい設定で動作していることを確認した上で、サービスを提供することができる。
【発明の効果】
【0029】
本発明によると、適切なモジュールを適切な設定で動作させ、安全な情報通信サービス提供を可能とするデバイス管理装置、デバイス及びデバイス管理方法を提供することができる。
【発明を実施するための最良の形態】
【0030】
次に、図面を参照して、本発明の実施の形態を説明する。以下の図面の記載において、同一又は類似の部分には、同一又は類似の符号を付している。ただし、図面は模式的なものであることに留意すべきである。
【0031】
<第1の実施の形態>
(デバイス管理装置)
本実施の形態に係るデバイス管理装置は、デバイスの構成の診断と設定を行うものであり、例えば、サーバやワークステーション、パーソナルコンピュータなどの装置を利用して実装される。
【0032】
デバイス管理装置10は、図1に示すように、制御部11、セキュリティポリシー保持部12、加入者情報保持部13、デバイス構成情報保持部14、モジュール状態保持部15、デバイス診断部16、モジュール・ポリシー提供部17、モジュールテスト部18を備える。
【0033】
制御部11は、デバイスやアクセス制御サーバなどの外部システム20と情報のやりとりを行う。又、制御部11は、セキュリティポリシー保持部12、加入者情報保持部13、デバイス構成情報保持部14、モジュール状態保持部15、デバイス診断部16、モジュール・ポリシー提供部17、モジュールテスト部18を管理、制御する。
【0034】
セキュリティポリシー保持部12は、あるデバイス構成のデバイスに必要とされるモジュールやデバイスの構成情報あるいはサービスの加入者情報に基づいて設定されるセキュリティポリシーを保持する。具体的なセキュリティポリシーの例として、図2に、Monta Vista Linux, Symbian, ITRONと異なるオペレーティングシステムを持つデバイスに対して、あるサービス提供者が必要と判断するモジュールの例を示す。ここでは、モジュールの例として、ウィルス検査、改ざん検出、ファイアウォール、権限制御、侵入検知、ログ管理が挙げられ、それぞれのモジュールの導入が必須かオプションか、そして、必須の場合、任意の同種のモジュールでよいか、あるいは指定の製品やソフトウェアがあるかどうかが記述されている。
【0035】
又、図3に、あるデバイスが接続するネットワークが、加入先のセルラ網(ホームセルラ網)、公衆のホットスポット、企業内イントラネット、の場合のセキュリティポリシーの例を示す。ここでは、モジュールの種別だけでなく、検査頻度や検査範囲をセキュリティポリシーとして設定している。
【0036】
又、図4に、バンキングサービス、企業データベースアクセスサービス、オンラインゲームサービスを実行するデバイスに対して、あるサービス提供者が必要と判断するモジュールとその設定の例を示す。
【0037】
又、図5に、外部キーボード、外部スピーカ、外部マイクを外部デバイスとして接続するデバイスに対するセキュリティポリシーの設定例を示す。
【0038】
例えば、セキュリティポリシー保持部12は、別のデータベースからセキュリティポリシーを読み込むことで、セキュリティポリシーを保持する。
【0039】
加入者情報保持部13は、図6に示すように、加入者情報として、加入者識別子と、当該加入者識別に対応する加入サービスの種別、セキュリティのプレファレンス設定(加入サービスの設定)などを保持する。加入者情報を利用することで、プレミアムセキュリティサービスに加入している加入者識別子SID_Aのユーザには高機能なセキュリティのモジュールを提供し、速度を重視するSID_Bのユーザのモジュールに軽量なポリシーや設定を与えることができる。又、バンキングサービスを利用している加入者に対して特殊なモジュールを要求するという設定も可能である。尚、加入者情報を外部のサービス管理や加入者管理のデータベースから入力、あるいは同期をとることとしてもよい。
【0040】
デバイス構成情報保持部14は、図7に示すように、デバイス構成情報として、デバイス識別子と、当該デバイス識別子に対応するオペレーティングシステム、ハードウェア、通信リンク種別、接続先ネットワーク、モジュールのテスト結果とテスト時刻、実行中のサービスプログラム(アプリケーション)などとを保持する。図示していないが、更に接続している外部デバイスの種別や識別子を保持してもよい。ここでは、デバイス構成情報保持部14が情報を保持する領域をデバイス管理テーブルと呼ぶ。加入者は、SIM(Subscriber Identity Module)を入れ替えるなどして、複数のデバイスを利用する可能性がある。一方で、あるデバイスは複数の加入者によって利用される可能性があるため、加入者識別子とデバイス識別子でデバイスを一意に管理している。図7では、SID_Aの加入者は、DID_123、DID_456の2つのデバイスを利用しており、SID_Bの加入者は前者のDID_123のデバイスを使用していたことを示す。これは、例えば、SID_Bの加入者がDID_123のデバイスをSID_Aの加入者に譲渡し、SID_Aの加入者がDID_456のデバイスからDID_123のデバイスにSIMを入れ替えたことを示す。尚、デバイス構成情報保持部14は、テーブルの肥大化を防止するために、古いデバイスのエントリや退会した加入者のエントリを削除してもよい。
【0041】
モジュール状態保持部15は、デバイス上のモジュールから、状態情報を受信して保持する。状態情報はモジュールの種別やそのテスト結果、テスト時刻を含む。
【0042】
デバイス診断部16は、セキュリティポリシーとモジュールの状態情報を利用してデバイスの構成を診断し、デバイス管理テーブルに記録する。例えば、セキュリティポリシーにおいて必須とされるモジュールの状態がすべてOKであれば、診断結果を「OK」とマークする。あるいは、すべての必須モジュールの状態がOKでなくとも、「OK」としたり、構成を段階的に判定して数値を与えたりするなどのセキュリティポリシーも挙げられる。
【0043】
又、デバイス診断部16は、セキュリティポリシーとモジュールの状態情報を利用してデバイスへのサービス提供の可否を決定し、デバイス管理テーブルに記録してもよい。例えば、セキュリティポリシーにおいて必須とされるモジュールの状態がすべてOKであれば、サービスの提供可否を「許諾」とマークする。あるいは、すべての必須モジュールの状態がOKでなくとも、一部のサービス提供を許諾するセキュリティポリシーも考えられる。
【0044】
外部システム20の例として、アクセス制御サーバは、デバイス管理テーブルのサービス提供可否を参照して、加入者のサービスへのアクセスを制限することができる。
【0045】
モジュール・ポリシー提供部17は、デバイスが要求したモジュールやその設定を規定したセキュリティポリシー、デバイスに導入が必要とされるモジュールやその設定を規定したセキュリティポリシーを送信する。
【0046】
モジュールテスト部18は、デバイス上のモジュールに状態を問い合わせる。例えば、加入者が新しいサービスに加入した際、デバイスが別のネットワークにローミングした際、前回のモジュールのテスト結果の通知から長時間が経過した際、外部のサーバからテストを要求された際などに、デバイス上のモジュールに状態を問い合わせる。
【0047】
尚、デバイス管理装置10のセキュリティポリシー保持部12、加入者情報保持部13、デバイス構成情報保持部14、モジュール状態保持部15は、RAM、ROM等の内部記憶装置でも良く、ハードディスク、フレキシブルディスク、コンパクトディスク等の外部記憶装置でも良い。
【0048】
又、第1の実施の形態に係るデバイス管理装置10は、処理制御装置(CPU)を有し、上述した制御部11、デバイス診断部16、モジュール・ポリシー提供部17、モジュールテスト部18などをモジュールとして、ハードウェア化や隔離された環境へ配置することで、安全に実行される環境とすることができる。これらのモジュールは、パーソナルコンピュータ等の汎用コンピュータにおいて、所定のプログラム言語を利用するための専用プログラムを実行することにより実現することができる。
【0049】
又、図示していないが、デバイス管理装置10は、制御処理、デバイス診断処理、モジュール・ポリシー提供処理、モジュールテスト処理などをCPUに実行させるためのプログラムを蓄積するプログラム保持部を備えてもよい。プログラム保持部は、例えば、RAM、ROM、ハードディスク、フレキシブルディスク、コンパクトディスク、ICチップ、カセットテープなどの記録媒体である。このような記録媒体によれば、プログラムの蓄積、運搬、販売などを容易に行うことができる。
【0050】
(デバイス)
本実施の形態に係るデバイス30は、デバイスの構成情報あるいはサービスの加入者情報に基づいて設定されるセキュリティポリシーと、デバイスから取得したモジュールの状態情報とを比較して、デバイスの構成を診断するデバイス管理装置10の管理下にある。
【0051】
デバイス30は、例えば、携帯電話機やPC、情報家電などであり、図8に示すように、デバイスセキュリティ管理部40を備える。その他、サービスを利用するためのサービス利用プログラム51や、モジュール50、加入者情報を保持するSIM54が存在する。以下、デバイスセキュリティ管理部40の各部分について説明する。
【0052】
デバイスセキュリティ管理部40は、制御部41、加入者情報保持部42、デバイス構成情報保持部43、デバイス登録部44、モジュール・ポリシー取得部45、モジュール管理部46、モジュールテスト部47、診断応答部48、モジュール復旧部49、構成変化検知部410を備える。
【0053】
制御部41は、デバイス管理装置などの外部装置と情報のやりとりを行う。又、制御部41は、加入者情報保持部42、デバイス構成情報保持部43、デバイス登録部44、モジュール・ポリシー取得部45、モジュール管理部46、モジュールテスト部47、診断応答部48、モジュール復旧部49、構成変化検知部410を管理、制御する。
【0054】
加入者情報保持部42は、加入者識別子と、当該加入者識別子に対応する加入サービスの種別、加入サービス設定などとを含む加入者情報を保持するものであり、好ましくはSIM54やUSIMなどのICカードに保持する。加入者情報として、例えば、図6に示す情報を保持する。
【0055】
デバイス構成情報保持部43は、デバイス固有の識別子と、当該デバイス識別子に対応するデバイスのオペレーティングシステム、CPUなどのハードウェア、通信リンク種別、接続先ネットワーク、モジュールの状態情報、接続中の外部デバイス、実行中のサービスプログラムなどとを含むデバイス構成情報を保持する。デバイス構成情報として、例えば、図7に示す情報を保持する。デバイス固有の識別子は、製造時にメーカによって与えられる一意の識別子や、仮想マシンの構築時に生成される一意の識別子である。サービス提供者やユーザ、管理者が設定したホスト名や番号などでもよい。
【0056】
デバイス登録部44は、加入者情報保持部42やデバイス構成情報保持部43にアクセスして、加入者情報およびデバイス構成情報を取得し、デバイス管理装置へ送信する。
【0057】
モジュール・ポリシー取得部45は、デバイス管理装置から当該デバイスに必要とされるモジュールやその設定を規定したセキュリティポリシーを取得する。取得したセキュリティポリシーは保持しておき、モジュール管理部46などがアクセス可能にする。
【0058】
モジュール管理部46は、セキュリティポリシーを利用して、モジュールを管理する。具体的には、モジュール管理部46は、モジュールの導入や設定、起動を行う。例えば、セキュリティポリシーに従い、実行中のサービスや接続中のネットワーク、接続中の外部デバイスにおいて必要なモジュールを起動する。
【0059】
モジュールテスト部47は、モジュールの動作あるいは状態をテストし、テスト結果をデバイス構成情報保持部43へ出力する。テスト方法として、例えば、モジュール内部の自己テスト手続の呼び出しや、デバイス内ソフトウェアの実行イメージの改ざん検査、デバイス内ソフトウェアの動作監査、モジュールが出力するログの検査、モジュールに対応するプロセスの検査などがある。又、不正な動作や異常動作を行うテストプログラムをデバイス上で動作させてモジュールの反応を確認してもよい。
【0060】
診断応答部48は、デバイス構成情報保持部43が保持するモジュールのテスト結果を、モジュールの状態情報として、デバイス管理装置10へ送信する。
【0061】
モジュール復旧部49は、モジュールテスト部47において、動作あるいは状態のテストが失敗した際に当該モジュールの回復を行う。例えば、当該モジュールや代替のモジュールを再度ロードして導入することで復旧する。
【0062】
構成変化検知部410は、デバイスの構成変化を検知して、構成情報をデバイス管理装置に送信するか、あるいは保持しているセキュリティポリシーに基づきモジュールの起動及び設定を行う。デバイス構成情報の変化として、接続先ネットワークの変更や外部デバイスの脱着、サービスプログラムの起動・終了、仮想マシンの起動・終了、SIMの脱着などのイベントを、オペレーティングシステムなどが提供する機能を利用して取得するか、構成変化検知部410自身が周期的に構成情報を監視することにより、変化を検知する。そして構成の変化を検知した際に、デバイス登録部44を起動してデバイス管理装置に構成情報を送信するかどうかを決定する。例えば、デバイスの構成変化の種別が新規であって、その構成に対するセキュリティポリシーをモジュール・ポリシー取得部45が保持していない場合や、通知を必要とするとポリシーで規定された構成種別の場合、構成情報の送信を決定する。一方、モジュール・ポリシー取得部45がすでにその構成情報に対するポリシーを保持している場合や、通知を必要としないと規定された構成種別の場合、モジュール管理部46を呼び出して、保持しているセキュリティポリシーに基づきモジュールの起動及び設定を行う。
【0063】
尚、デバイス30の加入者情報保持部42、デバイス構成情報保持部43は、RAM、ROM等の内部記憶装置でも良く、ハードディスク、フレキシブルディスク、コンパクトディスク等の外部記憶装置でも良い。
【0064】
又、第1の実施の形態に係るデバイス30は、処理制御装置(CPU)を有し、上述した制御部41、デバイス登録部44、モジュール・ポリシー取得部45、モジュール管理部46、モジュールテスト部47、診断応答部48、モジュール復旧部49、構成変化検知部410などをモジュールとして、ハードウェア化や隔離された環境へ配置することで、安全に実行される環境とすることができる。これらのモジュールは、パーソナルコンピュータ等の汎用コンピュータにおいて、所定のプログラム言語を利用するための専用プログラムを実行することにより実現することができる。
【0065】
又、図示していないが、デバイス30は、制御処理、デバイス登録処理、モジュール・ポリシー取得処理、モジュール管理処理、モジュールテスト処理、診断応答処理、モジュール復旧処理、構成変化検知処理などをCPUに実行させるためのプログラムを蓄積するプログラム保持部を備えてもよい。プログラム保持部は、例えば、RAM、ROM、ハードディスク、フレキシブルディスク、コンパクトディスク、ICチップ、カセットテープなどの記録媒体である。このような記録媒体によれば、プログラムの蓄積、運搬、販売などを容易に行うことができる。
【0066】
(デバイス管理方法)
次に、第1の実施形態に係るデバイス管理方法について、図9〜13を用いて説明する。
【0067】
=デバイス登録処理=
デバイス管理装置10におけるデバイス30の登録処理を、図9を参照して説明する。
【0068】
まず、ステップS101において、制御部11は、デバイス30から加入者情報及びデバイス構成情報を受信する。
【0069】
このとき、ステップS102において、新しい加入者識別子とデバイス識別子の組のデバイス登録であった場合、ステップS103へ進み、制御部11は、デバイス構成情報保持部14に新たなエントリを作成する。
【0070】
次に、ステップS104において、制御部11は、取得した加入者情報及びデバイス構成情報デバイスを用いて、デバイス構成情報保持部14の構成管理テーブルを更新する。
【0071】
次に、ステップS105において、制御部11は、加入者情報とデバイス構成情報を利用して、そのデバイスに必要とされるモジュールのリストと設定を規定するセキュリティポリシーをセキュリティポリシー保持部12から取得する。そして、ステップS106において、当該セキュリティポリシーを用いて、デバイス構成管理テーブルを更新する。
【0072】
=サービス提供可否の決定処理=
次に、デバイス管理装置10におけるデバイスの構成診断処理を、図10を参照して説明する。
【0073】
まず、ステップS201において、制御部11は、デバイス上のモジュールから、状態情報を受信して、モジュール状態保持部15に保持する。
【0074】
次に、ステップS202において、制御部11は、状態情報に含まれるモジュールのテスト結果を用いて、デバイス構成情報保持部14に保持されるデバイス構成管理テーブルを更新する。
【0075】
次に、ステップS203において、デバイス診断部16は、デバイス管理テーブルのテスト結果を参照して、セキュリティポリシー保持部12に保持されたセキュリティポリシーに基づき、デバイスの構成を診断する。例えば、必要とされるモジュールの全てのテスト結果がOKであることを要求するポリシーの場合、1つでもNGのテスト結果があった場合、ステップS205へ進み、診断結果を「NG」と判断する。そして、デバイス構成管理テーブルの診断結果フィールドにはNGを書き込み、処理を終了する。一方、セキュリティポリシーを満足した場合は、ステップS204へ進み、診断結果を「OK」と判断し、デバイス構成管理テーブルの診断結果フィールドにOKを書き込み、処理を終了する。
【0076】
このデバイス構成の診断結果の情報は、例えば外部システム20のアクセス制御サーバによって利用される。デバイス30がサービスにアクセスする際、外部のアクセス制御サーバは、デバイス管理装置10にその診断結果を問い合わせ、OKの場合にアクセスを許可し、NGの場合はアクセスを拒否する。尚、デバイス管理装置10自身がこのようなアクセス制御を行ってもよいし、デバイス管理装置10から外部のサーバに対して、サービス提供の可否を通知してもよい。
【0077】
尚、ステップS203において、デバイス診断部16は、デバイス管理テーブルのテスト結果を参照して、セキュリティポリシー保持部12に保持されたセキュリティポリシーに基づき、サービス提供の可否を決定してもよい。例えば、必要とされるモジュールの全てのテスト結果がOKであることを要求するポリシーの場合、1つでもNGのテスト結果があった場合、ステップS205へ進み、サービス提供を「停止」と判断する。そして、デバイス構成管理テーブルのサービス提供可否には停止を書き込み、処理を終了する。一方、セキュリティポリシーを満足した場合は、ステップS204へ進み、サービス提供を「許諾」と判断し、デバイス構成管理テーブルのサービス提供可否に許諾を書き込み、処理を終了する。
【0078】
このサービス提供の許諾、停止の情報は、例えば外部システム20のアクセス制御サーバによって利用される。デバイス30がサービスにアクセスする際、外部のアクセス制御サーバは、デバイス管理装置10にそのサービス提供の可否を問い合わせ、許諾の場合にアクセスを許可し、停止の場合はアクセス拒否する。尚、デバイス管理装置10自身がこのようなアクセス制御を行ってもよいし、デバイス管理装置10から外部のサーバに対して、サービス提供の可否を通知してもよい。
【0079】
=デバイスの起動処理=
次に、デバイス30の起動処理を、図11を参照して説明する。
【0080】
まず、ステップS301において、デバイス30が電源オンまたはリセットされると、ステップS302において、システムソフトが起動し、ステップS303において、無線基地局やアクセスポイントを通じて無線リンクを確立した後、SIM54による端末認証の手順を実行する。
【0081】
そして、ステップS304において、制御部41は、SIM54から加入者識別子や加入サービス種別、加入サービス設定などを加入者情報保持部42にロードする。
【0082】
次に、ステップS305において、制御部41は、SIM54内にデバイス30に対応したデバイス構成情報があるか否か判断し、ある場合は、ステップS306へ進み、SIM54から、そのデバイスのデバイス識別子に対応したデバイス構成情報をデバイス構成情報保持部43にロードする。一方、SIM54内にそのデバイス識別子に対応したデバイス構成情報が存在しない場合、ステップS307へ進み、新しいデバイスであると判断して、SIM54にそのデバイス識別子に対応したデバイス構成情報用の領域を作成する。
【0083】
次に、ステップS308において、制御部41は、実際のデバイスのデバイス識別子や、オペレーティングシステム、通信リンク種別、接続先ネットワーク、モジュールのインストール情報、接続中の外部デバイス、実行中のサービスプログラムなどを検出し、デバイス構成情報保持部43のデバイス構成情報を更新する。
【0084】
その際、ステップS309において、制御部41は、デバイス構成が変化したか否かを判断する。そして、ステップS310において、SIM54からロードした情報と異なる場合、あるいは新しいデバイスの場合、SIM54内のデバイス構成情報を更新する。
【0085】
更に、ステップS311において、デバイス登録部44は、加入者情報とデバイス構成情報を、デバイス管理装置10へ送信する。SIM54からロードしたデバイス構成情報と検出したものが一致している場合、この登録を行わないことで通信量を削減する。
【0086】
次に、ステップS312において、モジュール・ポリシー取得部45は、デバイス管理装置10に問い合わせて、セキュリティポリシーを取得する。そして、ステップS313において、モジュール管理部46は、適切なモジュールを適切な設定で起動する。その際、モジュール管理部46は、必要であればモジュールをロードして導入する。
【0087】
=デバイスのテスト処理=
次に、デバイス30のテスト処理を、図12を参照して説明する。デバイスは起動の完了後、あるいはデバイス管理装置から問い合わせを受けた際に、テスト処理を行う。
【0088】
まず、ステップS401において、デバイス30は、システムソフトの起動を完了する。
【0089】
次に、ステップS402において、モジュールテスト部47は、デバイス30内のモジュールのテストを実行する。
【0090】
ステップS403において、このテストが成功した場合、ステップS404において、診断応答部48は、デバイス管理装置10に結果を通知し、テスト処理を完了する。
【0091】
一方、ステップS403において、このテストが失敗した場合、ステップS405において、モジュール復旧部49は、修復処理を行い、ステップS402へ戻り、再度テストを行う。尚、復旧を試みる回数に上限を設けて、失敗回数が上限に達した際に当該モジュールの実行を停止するように判断してもよい。
【0092】
又、変形例として、デバイス登録と一緒にモジュールのテスト結果の通知を行ってもよい。これにより、デバイスとデバイス管理装置間の通信量を削減することができる。
【0093】
=デバイスの構成変更処理=
次に、デバイス30の構成変更処理を、図13を参照して説明する。
【0094】
まず、ステップS501において、デバイス30の構成変化検知部410は、構成情報の変化を検知した場合、ステップS502において、構成変化検知部410は、モジュール・ポリシー取得部45にアクセスして、その構成情報に対するセキュリティポリシーを保持しているか検査する。
【0095】
ステップS503において、保持している場合は、ステップS504に進み、構成変化検知部410は、更にその構成情報は通知が必要とされているセキュリティポリシーであるか検査する。ステップS505において、通知が必要である場合は、ステップS506に進む。ステップS506〜509は、デバイスの起動処理(図11)のステップS310〜313と同様の処理であり、デバイス管理装置に登録してセキュリティポリシーを受け取った後に、モジュールの導入・設定を行って、手順を終了する。
【0096】
一方、ステップS503においてセキュリティポリシーを保持していて、ステップS505において通知が必要とされていない場合は、ステップS510において、セキュリティポリシーに従って、モジュールの導入・設定を行う。そして、ステップS511において、構成情報とポリシーをログに記録し、手順を終了する。
【0097】
(作用及び効果)
従来のデバイスセキュリティ管理システムは、デバイス構成情報やデバイス上のサービスの種別を管理する手段を持たないため、そのセキュリティポリシーをデバイス側で実施すること、デバイス管理装置側でその実施を検査することが困難であった。あるデバイス構成で、あるサービス利用プログラムを実行するデバイスに安全にサービスを提供するため、適切なモジュールを適切な設定で動作していることと、デバイス管理装置において適切なモジュールが適切な設定で動作していることを検査することが第一の課題であった。
【0098】
第1の実施の形態に係るデバイス管理装置10、デバイス30及びデバイス管理方法によると、デバイス構成情報と加入者情報を管理し、デバイス上で適切なモジュールを適切な設定で動作させ、デバイス管理装置において適切なモジュールが適切な設定で動作していることを検査することができる。サービス提供者は、デバイスの構成に必要とされるモジュールが正しい設定で動作されることを確認した上で、安全にサービスを提供することができる。デバイス構成情報や加入者情報が変化した際も、適切なモジュールを適切に設定、動作させることでデバイスを安全な状態に保つことができる。このように、オープンなデバイスのセキュリティを適切に管理し、ユーザの自由度を確保しつつ、安全な情報通信サービス提供を可能とする。
【0099】
又、第1の実施の形態に係るデバイス管理装置10では、構成情報として、デバイス識別子と、デバイス識別子に対応したオペレーティングシステム、ハードウェア、通信リンク種別、接続先ネットワーク、外部デバイス、モジュールの状態情報の少なくともいずれか1とを含む。このデバイス管理装置10によると、サービス提供者は、デバイス構成情報に対してきめ細かにモジュールを選択し、安全にサービスを提供することができる。
【0100】
又、第1の実施の形態に係るデバイス管理装置10では、加入者情報として、加入者識別子と、加入者識別子に対応した加入サービスの種別、加入サービスの設定の少なくともいずれか1とを含む。このデバイス管理装置10によると、加入者が利用するデバイスを切り替えたり、加入者間でデバイスを交換しても一意に加入者デバイスを特定したりすることを可能とする。又、高度な安全性を要求するサービスや加入者に対して高機能なセキュリティのモジュールを選択したり、動作の軽快さを望む加入者に対して検査頻度を落としたセキュリティのモジュールを選択したりするなど、きめ細かな制御ができる。
【0101】
又、第1の実施の形態に係るデバイス管理装置10は、モジュール、あるいは、セキュリティポリシーをデバイスへ送信するモジュール・ポリシー提供部17を備える。このため、デバイス構成情報や加入者情報が変化した際も、適切なモジュールやセキュリティポリシーをデバイスに導入できる。
【0102】
又、第1の実施の形態に係るデバイス管理装置10は、デバイス上のモジュールに状態を問い合わせるモジュールテスト部18を備える。このため、デバイス管理装置10の任意のタイミングでデバイス上のモジュールの状態を確認でき、安全なサービス提供が可能となる。
【0103】
又、第1の実施の形態に係るデバイス30によると、デバイス構成情報や加入者情報を管理し、デバイス管理装置に登録すると共に、セキュリティポリシーを保持し、それに従ってモジュールの導入、設定、起動、テスト、さらにテスト結果の通知を行うことができる。このため、デバイスのセキュリティ状態を適切に保つと共に、デバイス管理装置がデバイスのセキュリティを管理可能とする。
【0104】
又、第1の実施の形態に係るデバイス30のモジュールテスト部47は、デバイスの電源がオン又はリセット、あるいはデバイス管理装置からの問い合わせを契機として、テストを行う。このため、デバイス購入時や再起動の際に確実にテストを行い、デバイスを安全な状態に保つことができる。又、デバイス管理装置は所望のタイミングでデバイス側のモジュールをテストできるため、テストの頻度やタイミングの設定について、柔軟な運用ができる。
【0105】
又、第1の特徴に係るに係るデバイス30では、モジュールテスト部47によるテストにおいて、テストが失敗した場合、当該モジュールの修復を行うモジュール復旧部49を備える。このため、モジュールの不具合があった場合も停止することなく、復旧可能とする。
【0106】
<第2の実施の形態>
第2の実施の形態では、デバイス30が仮想マシン管理部(一般的に、仮想マシンモニタと呼ばれる)を備えた場合について説明する。デバイス管理装置10については、第1の実施の形態と同様であるので、ここでは説明を省略する。
【0107】
(デバイス)
第2の実施の形態に係るデバイス30は、図14に示すように、仮想マシン管理部52を備える。仮想マシンモニタは、単一の計算機上に複数の仮想的な計算機環境(仮想マシン60a、60b、60c)を構築し、管理するためのソフトウェアであり、独立した仮想マシンに別々のOSやアプリケーションを導入して利用することや、仮想マシン間のメモリやファイルシステム等のリソースのアクセス制御を可能とする。即ち、ある仮想マシン1内のプログラムから仮想マシン2のリソースへのアクセスを許諾するが、逆の仮想マシン2から1へのリソースへのアクセスをブロックすることができる。
【0108】
この仮想マシンモニタの機能を行うことで、デバイス30上にユーザ用とサービス用の計算機環境を独立に構築できると共に、サービス1用仮想マシン60aにセキュリティモジュール50aを配置し、別のサービス2用仮想マシン60b内のプログラム51bを監視させることもできる。
【0109】
仮想マシン管理部52は、複数の仮想マシンを管理する。具体的には、仮想マシン管理部52は、仮想マシンの生成、起動、終了、削除の機能を提供する。
【0110】
プログラム導入制限部61a、61bは、仮想マシンに認定されたプログラム以外の導入を拒否するものである。例えば、仮想マシンの設定ファイル内の認定された信頼できるプログラムリストを参照して、そのリストに含まれない信頼できないプログラムの導入操作をブロックすることで、当該仮想マシンを安全な状態に維持する。
【0111】
又、デバイスセキュリティ管理部40a、40bは、図8に示すデバイスセキュリティ管理部40と同様の構成を有し、同様の動作を行うが、以下に、第2の実施の形態に特有の機能を示す。
【0112】
デバイス構成情報保持部43は、少なくとも一つの仮想マシンのデバイス構成情報を保持する。
【0113】
デバイス登録部44は、サービス実行用の少なくとも一つの仮想マシンのデバイス構成情報をデバイス管理装置へ送信する。
【0114】
モジュール管理部46は、適切な仮想マシンを選択して、モジュールを導入する。例えば、モジュール管理部46は、モジュールに付属した設定に従って仮想マシンを選択することができる。
【0115】
図14では、仮想マシン管理部52がデバイス30上にサービス用仮想マシン60a、60bとユーザ用仮想マシン60cの3つの仮想マシンを構築している。図14では、セキュリティモジュール50a、50bやデバイスセキュリティ管理部40a、40b、プログラム導入制限部61a、61bは仮想マシン内のオペレーティングシステムの外側に配置されているが、オペレーティングシステムの中に組み込んでもよいし、仮想マシン管理部52に組み込んでもよい。
【0116】
(デバイス管理方法)
次に、第2の実施形態に係るデバイス管理方法について、図15を用いて説明する。
【0117】
=デバイスの起動処理=
仮想マシンモニタを備えたデバイス30の起動処理を、図15を参照して説明する。
【0118】
まず、ステップS601において、デバイス30が電源オンまたはリセットされると、ステップS602において、システムソフト(仮想マシンモニタ)が起動し、ステップ6503において、無線基地局やアクセスポイントを通じて無線リンクを確立した後、SIM54による端末認証の手順を実行する。
【0119】
そして、ステップS604において、制御部41は、SIM54から加入者識別子や加入サービス種別、加入サービス設定などを加入者情報保持部42にロードする。
【0120】
次に、ステップS605において、仮想マシン管理部52は、SIM54内にデバイス30に対応したデバイス構成情報があるか否か判断し、ある場合は、ステップS606へ進み、SIM54から、そのデバイスのデバイス識別子に対応したデバイス構成情報をデバイス構成情報保持部43にロードする。一方、SIM54内にそのデバイス識別子に対応したデバイス構成情報が存在しない場合、ステップS607へ進み、新しいデバイスであると判断して、SIM54にそのデバイス識別子に対応したデバイス構成情報用の領域を作成する。
【0121】
次に、ステップS608において、デバイス上に起動可能な仮想マシンが複数、存在している場合、ステップS610において、仮想マシン管理部52は、SIM54内の設定に基づき、自動的に起動する仮想マシンを選択する。あるいは、ユーザが選択してもよい。ユーザがデフォルトで起動する仮想マシンの設定を行い、SIMに保存することも考えられる。又、起動する仮想マシンは1つでもよく、複数でもよい。ここで、例えば、仮想マシン2を加入者識別子SID_Aのユーザ用、仮想マシン3を加入者識別子SID_Bのユーザ用と仮定すると、SID_AのユーザがSIMをデバイスに差した際は仮想マシン2、SID_Bの場合は仮想マシン3が起動する。このように、デバイスでSIMを入れ替えて利用する際、加入者が変わっても仮想マシンの切り替えだけで、加入者情報に対応したセキュリティのモジュールを備えた計算機環境を起動することができる。
【0122】
一方、ステップS608において、起動する仮想マシンがデバイスに存在しない場合、ステップS609において、仮想マシン管理部52は、少なくとも1つのサービス用の仮想マシンを構築し、デバイスセキュリティ管理部40をその中に導入する。このとき、ユーザ用の仮想マシンやサービス用の仮想マシンを一緒に複数構築してもよい。又、仮想マシン管理部52は、ユーザに仮想マシンのプラットフォームやメモリ、ストレージなどのパラメータを指定させて、仮想マシンを構築してもよい。更に、他のサーバから仮想マシンのイメージをロードして、仮想マシンを構築してもよい。
【0123】
仮想マシン管理部52が仮想マシンを起動した後、即ち、ステップS611以降のステップは、図11のステップS308以降のステップと同様であるので、ここでは説明を省略する。
【0124】
=デバイスのテスト処理=
次に、第2の実施の形態に係るデバイス30のテスト処理を、図12を参照して説明する。このテスト手順は、第1の実施の形態と同様である。
【0125】
まず、ステップS401において、デバイス30は、システムソフト(仮想マシンモニタ)の起動を完了する。
【0126】
次に、ステップS402において、モジュールテスト部47は、仮想マシン60a、60b、60c内のセキュリティモジュールのテストを実行する。
【0127】
ステップS403において、このテストが成功した場合、ステップS404において、診断応答部48は、デバイス管理装置10に結果を通知し、テスト処理を完了する。
【0128】
一方、ステップS403において、このテストが失敗した場合、ステップS405において、モジュール復旧部49は、修復処理を行い、ステップS402へ戻り、再度テストを行う。尚、復旧を試みる回数に上限を設けて、失敗回数が上限に達した際に当該モジュールの実行を停止するように判断してもよい。
【0129】
又、モジュールテスト部47は、仮想マシン60a、60b、60c外のモジュールのテスト部を呼び出してもよい。例えば、図14の仮想マシン60a内のモジュールテスト部47は、仮想マシン60b内のモジュールを呼び出し、仮想マシン60a自身をテストしてもらうことで、仮想マシン60a内のモジュールが検出できない異常を検出できる可能性がある。又、仮想マシン60bのモジュールテスト部47が、仮想マシン60b内のモジュールを起動し、仮想マシン60aをテストさせてもよい。この場合、仮想マシン60aがウィルスや攻撃によって障害を受けていても、仮想マシン60bのモジュールは、ウィルスや悪意のある攻撃者から保護されるため、仮想マシン60aの異常の検出や権限の制限を行うことができる。
【0130】
(作用及び効果)
従来のデバイスセキュリティ管理システムでは、デバイス上で動作する様々なセキュリティモジュールによって、ユーザの自由なプログラム実行が妨げられること、プログラム動作が低下するという課題があった。権限制御やファイアウォールのセキュリティモジュールによって、ユーザのプログラムの動作が制限されたり、ログ管理のセキュリティモジュールによって処理速度が低下したりする可能性もあった。
【0131】
第2の実施の形態では、デバイス30上に仮想マシンを構築し、サービス利用プログラム用の環境と、ユーザ用の環境とを独立して構築し、仮想マシン単位でデバイス構成情報をデバイス管理装置10に登録する。これにより、仮想マシンごとに異なるセキュリティのモジュールを導入することができるため、サービス実行用の仮想マシンではサービスの安全性を確保し、ユーザ用の環境ではユーザの利便性を確保することができる。又、デバイス管理装置10は、仮想マシン単位でデバイスセキュリティを管理できる。
【0132】
又、第2の実施の形態に係るデバイス30は、プログラム導入制限部61a、61bを備える。このため、仮想マシンに認定されたプログラム以外の導入を防止することができる。このため、サービス用の仮想マシンに、不正なプログラムが導入されるのを防止し、当該仮想マシンを安全な状態に維持することができる。
【0133】
(その他の実施形態)
本発明は上記の実施形態によって記載したが、この開示の一部をなす論述及び図面はこの発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施形態、実施例及び運用技術が明らかとなろう。
【0134】
例えば、デバイス管理装置10が保持するデバイス構成情報は、デバイス30から受信してもよく、外部システムあるいはユーザから登録されてもよい。同様に、デバイス30が保持するデバイス構成情報は、デバイス管理装置10から受信してもよく、外部システムあるいはユーザから登録されてもよい。デバイス管理装置10が保持する加入者情報及びデバイス30が保持する加入者情報についても、同様である。
【0135】
このように、本発明はここでは記載していない様々な実施形態等を含むことは勿論である。従って、本発明の技術的範囲は上記の説明から妥当な特許請求の範囲に係る発明特定事項によってのみ定められるものである。
【図面の簡単な説明】
【0136】
【図1】第1及び第2の実施の形態に係るデバイス管理装置の構成ブロック図である。
【図2】デバイスのOS種別を構成情報とするセキュリティポリシーの一例である。
【図3】接続先ネットワーク種別を構成情報とするセキュリティポリシーの一例である。
【図4】アプリケーション種別を構成情報とするセキュリティポリシーの一例である。
【図5】外部デバイス種別を構成情報とするセキュリティポリシーの一例である。
【図6】加入者情報の一例である。
【図7】デバイス構成情報の一例である。
【図8】第1の実施の形態に係るデバイスの構成ブロック図である。
【図9】第1の実施の形態に係るデバイス管理方法(デバイスの登録処理)を示すフローチャートである。
【図10】第1の実施の形態に係るデバイス管理方法(サービス提供可否の決定処理)を示すフローチャートである。
【図11】第1の実施の形態に係るデバイス管理方法(デバイスの起動処理)を示すフローチャートである。
【図12】第1の実施の形態に係るデバイス管理方法(デバイスのテスト処理)を示すフローチャートである。
【図13】第1の実施の形態に係るデバイス管理方法(デバイスの構成変更処理)を示すフローチャートである。
【図14】第2の実施の形態に係るデバイスの構成ブロック図である。
【図15】第2の実施の形態に係るデバイス管理方法(デバイスの起動処理)を示すフローチャートである。
【符号の説明】
【0137】
10…デバイス管理装置
11…制御部
12…セキュリティポリシー保持部
13…加入者情報保持部
14…デバイス構成情報保持部
15…モジュール状態保持部
16…デバイス診断部
17…モジュール・ポリシー提供部
18…モジュールテスト部
20…外部システム
30…デバイス
40、40a、40b…デバイスセキュリティ管理部
41…制御部
42…加入者情報保持部
43…デバイス構成情報保持部
44…デバイス登録部
45…モジュール・ポリシー取得部
46…モジュール管理部
47…モジュールテスト部
48…診断応答部
49…モジュール復旧部
50、50a、50b…セキュリティモジュール
51、51a、51b…サービス利用プログラム
52…仮想マシン管理部
54…SIM
60a、60b、60c…仮想マシン
61a、61b…プログラム導入制限部
【技術分野】
【0001】
本発明は、デバイス管理装置、デバイス及びデバイス管理方法に関する。
【背景技術】
【0002】
携帯電話サービスやバンキングサービス、コンテンツ配信、企業データベースなどの情報通信サービスを安全に提供するため、サービス提供者は加入者のデバイス(携帯電話やPDA、PCなど)が、なりすましのデバイスでないことを認証によって確認すると共に、不正な動作を行わないように動作及び状態の検査や、権限の制御をしたいという要求がある。デバイスの不正な動作とは、例えば、ユーザのプライバシ情報(電話番号や預金情報)、著作権付きのコンテンツ、企業の秘密情報などのセンシティブなデータを外部にコピーするような情報漏えい行為や、デバイス内ソフトウェアやデータの不正改ざんや消去、他のデバイスへの攻撃である。デバイスの不正な動作を防止するため、従来、デバイス上にウィルス検査、改ざん検査、ファイアウォール、権限制御、侵入検知、ログ管理などのセキュリティモジュールに基づき、設定がなされて、各種の攻撃や委譲の検出や防御を行う。
【0003】
サービス提供者は、デバイスやサービスの安全性と信頼性のため、デバイスに適切なモジュールを組み込み、適切に設定し、その状態が正常化を確認したい要求がある。このため、例えば、デバイス上のセキュリティ関連のイベントの発生(ある操作の実行やオブジェクトの変化)を検知して、監査や情報収集、異常検出、対処に関するセキュリティポリシーを更新するデバイス管理技術が開示されている(例えば、特許文献1参照。)。セキュリティポリシーの更新は、例えば、監査や情報収集の範囲、異常検出の閾値、対処の種別(シャットダウンや権限の制限等)など、セキュリティのモジュールの設定を変更することで行われる。一方、モジュールの追加や修正、設定のためのソフトウェア更新において、デバイスの購入や譲渡時におけるデバイスのSIM差し替えを検出して、管理サーバに(管理者ID,デバイスID)とプロファイル(メータ,モデル,ファームウェアのバージョン,加入サービス等)を登録するデバイス管理システムが開示されている(例えば、特許文献2参照)。
【特許文献1】US6,530,024号公報
【特許文献2】WO2005/036916号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
現在のコンピュータネットワークには多様なデバイスやネットワーク、サービスが存在するが、デバイスのオペレーティングシステム(OS)の種別、接続ネットワークの種別、実行するサービス利用プログラム(アプリケーション)の種別、接続される外部デバイスの種別によって、デバイスに要求されるセキュリティポリシー(セキュリティモジュールの種別やその設定)は異なるものと考えられる。又、外部デバイスやアプリケーション、OS、ネットワークは新たなものが開発され、提供され得るものである。そのため、新たなセキュリティポリシーが規定される可能性があり、デバイスはそのセキュリティポリシーに従う必要がある。
【0005】
しかしながら、特許文献1で開示されているデバイス管理技術は、セキュリティポリシーの更新に応じてモジュールを動的に組み込むソフトウェア更新手段を備えていないため、そのデバイスの想定外の新たなコンピューティング環境に対応することが困難であった。即ち、新しい外部デバイスの接続や、新しいアプリケーションの起動、新たなネットワークへの接続などの環境の変化が起きた際に、必要なモジュールを導入できず、安全性や信頼性を保証することができなかった。一方、特許文献2で開示されているデバイス管理システムは、デバイス上での異種OSや複数OSの起動、外部デバイスの接続、接続先ネットワークの変化、特定のアプリケーション起動等のデバイス構成の変化を管理する手段を持たないため、セキュリティポリシーに従って、デバイス側で適切なモジュールの導入や設定が行えず、デバイス管理装置側でも、その導入や設定状態を検査することが困難であった。
【0006】
そこで、本発明は、上記の課題に鑑み、適切なモジュールを適切な設定で動作させ、安全な情報通信サービス提供を可能とするデバイス管理装置、デバイス及びデバイス管理方法を提供することを目的とする。
【課題を解決するための手段】
【0007】
上記目的を達成するため、本発明の第1の特徴は、(a)デバイスの構成情報を保持するデバイス構成情報保持部と、(b)サービスの加入者情報を保持する加入者情報保持部と、(c)構成情報あるいは加入者情報に基づいて設定されるセキュリティポリシーを保持するセキュリティポリシー保持部と、(d)デバイスから取得したモジュールの状態情報を保持するモジュール状態保持部と、(e)セキュリティポリシーとモジュールの状態情報とを比較して、デバイスの構成を診断するデバイス診断部とを備えるデバイス管理装置であることを要旨とする。
【0008】
第1の特徴に係るデバイス管理装置によると、デバイスの構成情報と加入者情報を管理し、デバイスから取得したモジュールの状態情報とセキュリティポリシーを比較して、デバイスの構成の診断をすることができる。これにより、サービス提供者は、当該デバイスの構成に必要とされるモジュールが正しい設定で動作していることを確認した上で、サービスを提供することができる。
【0009】
又、第1の特徴に係るデバイス管理装置のデバイス構成情報保持部は、構成情報として、デバイス識別子と、デバイス識別子に対応したオペレーティングシステム、ハードウェア、通信リンク種別、接続先ネットワーク、外部デバイス、実行中のアプリケーション、モジュールの状態情報の少なくともいずれか1とを含むことが好ましい。
【0010】
このデバイス管理装置によると、サービス提供者は、デバイス構成情報に対してきめ細かにモジュールやその設定を選択し、安全にサービスを提供することができる。
【0011】
又、第1の特徴に係るデバイス管理装置のデバイス構成情報保持部の加入者情報保持部は、加入者情報として、加入者識別子と、加入者識別子に対応した加入サービスの種別、加入サービスの設定の少なくともいずれか1とを含むことが好ましい。
【0012】
このデバイス管理装置によると、加入者が利用するデバイスを切り替えたり、加入者間でデバイスを交換しても一意に加入者デバイスを特定したりすることを可能とする。又、高度な安全性を要求するサービスや加入者に対して高機能なセキュリティのモジュールを選択したり、動作の軽快さを望む加入者に対して検査頻度を落としたセキュリティのモジュールを選択したりするなど、きめ細かな制御ができる。
【0013】
又、第1の特徴に係るデバイス管理装置は、モジュール、あるいは、セキュリティポリシーをデバイスへ送信するモジュール・ポリシー提供部を更に備えてもよい。
【0014】
このデバイス管理装置によると、デバイス構成情報や加入者情報が変化した際も、適切なモジュールやセキュリティポリシーをデバイスに導入できる。
【0015】
又、第1の特徴に係るデバイス管理装置は、デバイス上のモジュールに状態を問い合わせるモジュールテスト部を更に備えてもよい。
【0016】
このデバイス管理装置によると、デバイス管理装置の任意のタイミングでデバイス上のモジュールの状態を確認でき、安全なサービス提供が可能となる。
【0017】
本発明の第2の特徴は、デバイスの構成情報あるいはサービスの加入者情報に基づいて設定されるセキュリティポリシーと、デバイスから取得したモジュールの状態情報とを比較して、デバイスの構成を診断するデバイス管理装置の管理下にあるデバイスであって、(a)構成情報あるいは加入者情報をデバイス管理装置へ送信するデバイス登録部と、(b)デバイス管理装置からモジュール、あるいは、セキュリティポリシーを取得するモジュール・ポリシー取得部と、(c)セキュリティポリシーを利用して、モジュールを管理するモジュール管理部と、(d)モジュールの動作あるいは状態をテストするモジュールテスト部と、(e)モジュールのテスト結果を、モジュールの状態情報として、デバイス管理装置へ送信する診断応答部とを備えるデバイスであることを要旨とする。
【0018】
第2の特徴に係るデバイスによると、デバイス構成情報や加入者情報を管理し、デバイス管理装置に登録すると共に、セキュリティポリシーを保持し、それに従ってモジュールの導入、設定、起動、テスト、さらにテスト結果の通知を行うことができる。このため、カスタマイズされるデバイスのセキュリティ状態を適切に保つと共に、デバイス管理装置がデバイスのセキュリティを診断・管理可能とする。
【0019】
又、第2の特徴に係るデバイスのモジュールテスト部は、デバイスの電源がオン又はリセット、あるいはデバイス管理装置からの問い合わせを契機として、テストを行ってもよい。
【0020】
このデバイスによると、デバイス購入時や再起動の際に確実にテストを行い、デバイスを安全な状態に保つことができる。又、デバイス管理装置は所望のタイミングでデバイス側のモジュールをテストできるため、テストの頻度やタイミングの設定について、柔軟な運用ができる。
【0021】
又、第2の特徴に係るデバイスは、モジュールテスト部によるテストにおいて、テストが失敗した場合、当該モジュールの修復を行うモジュール復旧部を更に備えてもよい。
【0022】
このデバイスによると、モジュールの不具合があった場合も停止することなく、復旧可能とする。
【0023】
又、第2の特徴に係るデバイスは、複数の仮想マシンを管理する仮想マシン管理部を更に備え、デバイス構成情報保持部は、一つ以上の仮想シンのデバイス構成情報を保持し、デバイス登録部は、一つ以上の仮想マシンのデバイス構成情報と加入者情報とをデバイス管理装置へ送信し、モジュール管理部は、適切な仮想マシンを選択して、モジュールを導入あるいは設定してもよい。
【0024】
このデバイスによると、サービス実行用の仮想マシンをユーザ用の環境と独立して構築するなど、仮想マシン単位でデバイス構成情報をデバイス管理装置に登録することができる。このように、仮想マシンごとに異なるモジュールを導入することができるため、例えば、サービス実行用の仮想マシンではサービスの安全性を確保し、ユーザ用の環境ではユーザの利便性を確保することができる。又、複数の仮想マシンのデバイス構成情報を集約して送信することで、トラフィックや負荷を軽減することもできる。更に、デバイス管理装置は、仮想マシン単位でデバイスセキュリティを管理できる。
【0025】
又、上記のデバイスは、仮想マシンにプログラムを導入する場合、仮想マシンに認定されたプログラム以外の導入を拒否する導入プログラム制限部を更に備えてもよい。
【0026】
このデバイスによると、サービス用の仮想マシンに、不正なプログラムが導入されるのを防止し、当該仮想マシンを安全な状態に維持することができる。
【0027】
本発明の第3の特徴は、(a)デバイスの構成情報あるいはサービスの加入者情報に基づいて設定されるセキュリティポリシーを保持するステップと、(b)デバイスから取得したモジュールの状態情報を保持するステップと、(c)セキュリティポリシーとモジュールの状態情報とを比較して、デバイスの構成を診断するステップとを含むデバイス管理方法であることを要旨とする。
【0028】
第3の特徴に係るデバイス管理方法によると、デバイスの構成情報と加入者情報を管理し、デバイスから取得したモジュールの状態情報とセキュリティポリシーを比較して、デバイスの構成を診断することができる。これにより、サービス提供者は、当該デバイスの構成に必要とされるモジュールが正しい設定で動作していることを確認した上で、サービスを提供することができる。
【発明の効果】
【0029】
本発明によると、適切なモジュールを適切な設定で動作させ、安全な情報通信サービス提供を可能とするデバイス管理装置、デバイス及びデバイス管理方法を提供することができる。
【発明を実施するための最良の形態】
【0030】
次に、図面を参照して、本発明の実施の形態を説明する。以下の図面の記載において、同一又は類似の部分には、同一又は類似の符号を付している。ただし、図面は模式的なものであることに留意すべきである。
【0031】
<第1の実施の形態>
(デバイス管理装置)
本実施の形態に係るデバイス管理装置は、デバイスの構成の診断と設定を行うものであり、例えば、サーバやワークステーション、パーソナルコンピュータなどの装置を利用して実装される。
【0032】
デバイス管理装置10は、図1に示すように、制御部11、セキュリティポリシー保持部12、加入者情報保持部13、デバイス構成情報保持部14、モジュール状態保持部15、デバイス診断部16、モジュール・ポリシー提供部17、モジュールテスト部18を備える。
【0033】
制御部11は、デバイスやアクセス制御サーバなどの外部システム20と情報のやりとりを行う。又、制御部11は、セキュリティポリシー保持部12、加入者情報保持部13、デバイス構成情報保持部14、モジュール状態保持部15、デバイス診断部16、モジュール・ポリシー提供部17、モジュールテスト部18を管理、制御する。
【0034】
セキュリティポリシー保持部12は、あるデバイス構成のデバイスに必要とされるモジュールやデバイスの構成情報あるいはサービスの加入者情報に基づいて設定されるセキュリティポリシーを保持する。具体的なセキュリティポリシーの例として、図2に、Monta Vista Linux, Symbian, ITRONと異なるオペレーティングシステムを持つデバイスに対して、あるサービス提供者が必要と判断するモジュールの例を示す。ここでは、モジュールの例として、ウィルス検査、改ざん検出、ファイアウォール、権限制御、侵入検知、ログ管理が挙げられ、それぞれのモジュールの導入が必須かオプションか、そして、必須の場合、任意の同種のモジュールでよいか、あるいは指定の製品やソフトウェアがあるかどうかが記述されている。
【0035】
又、図3に、あるデバイスが接続するネットワークが、加入先のセルラ網(ホームセルラ網)、公衆のホットスポット、企業内イントラネット、の場合のセキュリティポリシーの例を示す。ここでは、モジュールの種別だけでなく、検査頻度や検査範囲をセキュリティポリシーとして設定している。
【0036】
又、図4に、バンキングサービス、企業データベースアクセスサービス、オンラインゲームサービスを実行するデバイスに対して、あるサービス提供者が必要と判断するモジュールとその設定の例を示す。
【0037】
又、図5に、外部キーボード、外部スピーカ、外部マイクを外部デバイスとして接続するデバイスに対するセキュリティポリシーの設定例を示す。
【0038】
例えば、セキュリティポリシー保持部12は、別のデータベースからセキュリティポリシーを読み込むことで、セキュリティポリシーを保持する。
【0039】
加入者情報保持部13は、図6に示すように、加入者情報として、加入者識別子と、当該加入者識別に対応する加入サービスの種別、セキュリティのプレファレンス設定(加入サービスの設定)などを保持する。加入者情報を利用することで、プレミアムセキュリティサービスに加入している加入者識別子SID_Aのユーザには高機能なセキュリティのモジュールを提供し、速度を重視するSID_Bのユーザのモジュールに軽量なポリシーや設定を与えることができる。又、バンキングサービスを利用している加入者に対して特殊なモジュールを要求するという設定も可能である。尚、加入者情報を外部のサービス管理や加入者管理のデータベースから入力、あるいは同期をとることとしてもよい。
【0040】
デバイス構成情報保持部14は、図7に示すように、デバイス構成情報として、デバイス識別子と、当該デバイス識別子に対応するオペレーティングシステム、ハードウェア、通信リンク種別、接続先ネットワーク、モジュールのテスト結果とテスト時刻、実行中のサービスプログラム(アプリケーション)などとを保持する。図示していないが、更に接続している外部デバイスの種別や識別子を保持してもよい。ここでは、デバイス構成情報保持部14が情報を保持する領域をデバイス管理テーブルと呼ぶ。加入者は、SIM(Subscriber Identity Module)を入れ替えるなどして、複数のデバイスを利用する可能性がある。一方で、あるデバイスは複数の加入者によって利用される可能性があるため、加入者識別子とデバイス識別子でデバイスを一意に管理している。図7では、SID_Aの加入者は、DID_123、DID_456の2つのデバイスを利用しており、SID_Bの加入者は前者のDID_123のデバイスを使用していたことを示す。これは、例えば、SID_Bの加入者がDID_123のデバイスをSID_Aの加入者に譲渡し、SID_Aの加入者がDID_456のデバイスからDID_123のデバイスにSIMを入れ替えたことを示す。尚、デバイス構成情報保持部14は、テーブルの肥大化を防止するために、古いデバイスのエントリや退会した加入者のエントリを削除してもよい。
【0041】
モジュール状態保持部15は、デバイス上のモジュールから、状態情報を受信して保持する。状態情報はモジュールの種別やそのテスト結果、テスト時刻を含む。
【0042】
デバイス診断部16は、セキュリティポリシーとモジュールの状態情報を利用してデバイスの構成を診断し、デバイス管理テーブルに記録する。例えば、セキュリティポリシーにおいて必須とされるモジュールの状態がすべてOKであれば、診断結果を「OK」とマークする。あるいは、すべての必須モジュールの状態がOKでなくとも、「OK」としたり、構成を段階的に判定して数値を与えたりするなどのセキュリティポリシーも挙げられる。
【0043】
又、デバイス診断部16は、セキュリティポリシーとモジュールの状態情報を利用してデバイスへのサービス提供の可否を決定し、デバイス管理テーブルに記録してもよい。例えば、セキュリティポリシーにおいて必須とされるモジュールの状態がすべてOKであれば、サービスの提供可否を「許諾」とマークする。あるいは、すべての必須モジュールの状態がOKでなくとも、一部のサービス提供を許諾するセキュリティポリシーも考えられる。
【0044】
外部システム20の例として、アクセス制御サーバは、デバイス管理テーブルのサービス提供可否を参照して、加入者のサービスへのアクセスを制限することができる。
【0045】
モジュール・ポリシー提供部17は、デバイスが要求したモジュールやその設定を規定したセキュリティポリシー、デバイスに導入が必要とされるモジュールやその設定を規定したセキュリティポリシーを送信する。
【0046】
モジュールテスト部18は、デバイス上のモジュールに状態を問い合わせる。例えば、加入者が新しいサービスに加入した際、デバイスが別のネットワークにローミングした際、前回のモジュールのテスト結果の通知から長時間が経過した際、外部のサーバからテストを要求された際などに、デバイス上のモジュールに状態を問い合わせる。
【0047】
尚、デバイス管理装置10のセキュリティポリシー保持部12、加入者情報保持部13、デバイス構成情報保持部14、モジュール状態保持部15は、RAM、ROM等の内部記憶装置でも良く、ハードディスク、フレキシブルディスク、コンパクトディスク等の外部記憶装置でも良い。
【0048】
又、第1の実施の形態に係るデバイス管理装置10は、処理制御装置(CPU)を有し、上述した制御部11、デバイス診断部16、モジュール・ポリシー提供部17、モジュールテスト部18などをモジュールとして、ハードウェア化や隔離された環境へ配置することで、安全に実行される環境とすることができる。これらのモジュールは、パーソナルコンピュータ等の汎用コンピュータにおいて、所定のプログラム言語を利用するための専用プログラムを実行することにより実現することができる。
【0049】
又、図示していないが、デバイス管理装置10は、制御処理、デバイス診断処理、モジュール・ポリシー提供処理、モジュールテスト処理などをCPUに実行させるためのプログラムを蓄積するプログラム保持部を備えてもよい。プログラム保持部は、例えば、RAM、ROM、ハードディスク、フレキシブルディスク、コンパクトディスク、ICチップ、カセットテープなどの記録媒体である。このような記録媒体によれば、プログラムの蓄積、運搬、販売などを容易に行うことができる。
【0050】
(デバイス)
本実施の形態に係るデバイス30は、デバイスの構成情報あるいはサービスの加入者情報に基づいて設定されるセキュリティポリシーと、デバイスから取得したモジュールの状態情報とを比較して、デバイスの構成を診断するデバイス管理装置10の管理下にある。
【0051】
デバイス30は、例えば、携帯電話機やPC、情報家電などであり、図8に示すように、デバイスセキュリティ管理部40を備える。その他、サービスを利用するためのサービス利用プログラム51や、モジュール50、加入者情報を保持するSIM54が存在する。以下、デバイスセキュリティ管理部40の各部分について説明する。
【0052】
デバイスセキュリティ管理部40は、制御部41、加入者情報保持部42、デバイス構成情報保持部43、デバイス登録部44、モジュール・ポリシー取得部45、モジュール管理部46、モジュールテスト部47、診断応答部48、モジュール復旧部49、構成変化検知部410を備える。
【0053】
制御部41は、デバイス管理装置などの外部装置と情報のやりとりを行う。又、制御部41は、加入者情報保持部42、デバイス構成情報保持部43、デバイス登録部44、モジュール・ポリシー取得部45、モジュール管理部46、モジュールテスト部47、診断応答部48、モジュール復旧部49、構成変化検知部410を管理、制御する。
【0054】
加入者情報保持部42は、加入者識別子と、当該加入者識別子に対応する加入サービスの種別、加入サービス設定などとを含む加入者情報を保持するものであり、好ましくはSIM54やUSIMなどのICカードに保持する。加入者情報として、例えば、図6に示す情報を保持する。
【0055】
デバイス構成情報保持部43は、デバイス固有の識別子と、当該デバイス識別子に対応するデバイスのオペレーティングシステム、CPUなどのハードウェア、通信リンク種別、接続先ネットワーク、モジュールの状態情報、接続中の外部デバイス、実行中のサービスプログラムなどとを含むデバイス構成情報を保持する。デバイス構成情報として、例えば、図7に示す情報を保持する。デバイス固有の識別子は、製造時にメーカによって与えられる一意の識別子や、仮想マシンの構築時に生成される一意の識別子である。サービス提供者やユーザ、管理者が設定したホスト名や番号などでもよい。
【0056】
デバイス登録部44は、加入者情報保持部42やデバイス構成情報保持部43にアクセスして、加入者情報およびデバイス構成情報を取得し、デバイス管理装置へ送信する。
【0057】
モジュール・ポリシー取得部45は、デバイス管理装置から当該デバイスに必要とされるモジュールやその設定を規定したセキュリティポリシーを取得する。取得したセキュリティポリシーは保持しておき、モジュール管理部46などがアクセス可能にする。
【0058】
モジュール管理部46は、セキュリティポリシーを利用して、モジュールを管理する。具体的には、モジュール管理部46は、モジュールの導入や設定、起動を行う。例えば、セキュリティポリシーに従い、実行中のサービスや接続中のネットワーク、接続中の外部デバイスにおいて必要なモジュールを起動する。
【0059】
モジュールテスト部47は、モジュールの動作あるいは状態をテストし、テスト結果をデバイス構成情報保持部43へ出力する。テスト方法として、例えば、モジュール内部の自己テスト手続の呼び出しや、デバイス内ソフトウェアの実行イメージの改ざん検査、デバイス内ソフトウェアの動作監査、モジュールが出力するログの検査、モジュールに対応するプロセスの検査などがある。又、不正な動作や異常動作を行うテストプログラムをデバイス上で動作させてモジュールの反応を確認してもよい。
【0060】
診断応答部48は、デバイス構成情報保持部43が保持するモジュールのテスト結果を、モジュールの状態情報として、デバイス管理装置10へ送信する。
【0061】
モジュール復旧部49は、モジュールテスト部47において、動作あるいは状態のテストが失敗した際に当該モジュールの回復を行う。例えば、当該モジュールや代替のモジュールを再度ロードして導入することで復旧する。
【0062】
構成変化検知部410は、デバイスの構成変化を検知して、構成情報をデバイス管理装置に送信するか、あるいは保持しているセキュリティポリシーに基づきモジュールの起動及び設定を行う。デバイス構成情報の変化として、接続先ネットワークの変更や外部デバイスの脱着、サービスプログラムの起動・終了、仮想マシンの起動・終了、SIMの脱着などのイベントを、オペレーティングシステムなどが提供する機能を利用して取得するか、構成変化検知部410自身が周期的に構成情報を監視することにより、変化を検知する。そして構成の変化を検知した際に、デバイス登録部44を起動してデバイス管理装置に構成情報を送信するかどうかを決定する。例えば、デバイスの構成変化の種別が新規であって、その構成に対するセキュリティポリシーをモジュール・ポリシー取得部45が保持していない場合や、通知を必要とするとポリシーで規定された構成種別の場合、構成情報の送信を決定する。一方、モジュール・ポリシー取得部45がすでにその構成情報に対するポリシーを保持している場合や、通知を必要としないと規定された構成種別の場合、モジュール管理部46を呼び出して、保持しているセキュリティポリシーに基づきモジュールの起動及び設定を行う。
【0063】
尚、デバイス30の加入者情報保持部42、デバイス構成情報保持部43は、RAM、ROM等の内部記憶装置でも良く、ハードディスク、フレキシブルディスク、コンパクトディスク等の外部記憶装置でも良い。
【0064】
又、第1の実施の形態に係るデバイス30は、処理制御装置(CPU)を有し、上述した制御部41、デバイス登録部44、モジュール・ポリシー取得部45、モジュール管理部46、モジュールテスト部47、診断応答部48、モジュール復旧部49、構成変化検知部410などをモジュールとして、ハードウェア化や隔離された環境へ配置することで、安全に実行される環境とすることができる。これらのモジュールは、パーソナルコンピュータ等の汎用コンピュータにおいて、所定のプログラム言語を利用するための専用プログラムを実行することにより実現することができる。
【0065】
又、図示していないが、デバイス30は、制御処理、デバイス登録処理、モジュール・ポリシー取得処理、モジュール管理処理、モジュールテスト処理、診断応答処理、モジュール復旧処理、構成変化検知処理などをCPUに実行させるためのプログラムを蓄積するプログラム保持部を備えてもよい。プログラム保持部は、例えば、RAM、ROM、ハードディスク、フレキシブルディスク、コンパクトディスク、ICチップ、カセットテープなどの記録媒体である。このような記録媒体によれば、プログラムの蓄積、運搬、販売などを容易に行うことができる。
【0066】
(デバイス管理方法)
次に、第1の実施形態に係るデバイス管理方法について、図9〜13を用いて説明する。
【0067】
=デバイス登録処理=
デバイス管理装置10におけるデバイス30の登録処理を、図9を参照して説明する。
【0068】
まず、ステップS101において、制御部11は、デバイス30から加入者情報及びデバイス構成情報を受信する。
【0069】
このとき、ステップS102において、新しい加入者識別子とデバイス識別子の組のデバイス登録であった場合、ステップS103へ進み、制御部11は、デバイス構成情報保持部14に新たなエントリを作成する。
【0070】
次に、ステップS104において、制御部11は、取得した加入者情報及びデバイス構成情報デバイスを用いて、デバイス構成情報保持部14の構成管理テーブルを更新する。
【0071】
次に、ステップS105において、制御部11は、加入者情報とデバイス構成情報を利用して、そのデバイスに必要とされるモジュールのリストと設定を規定するセキュリティポリシーをセキュリティポリシー保持部12から取得する。そして、ステップS106において、当該セキュリティポリシーを用いて、デバイス構成管理テーブルを更新する。
【0072】
=サービス提供可否の決定処理=
次に、デバイス管理装置10におけるデバイスの構成診断処理を、図10を参照して説明する。
【0073】
まず、ステップS201において、制御部11は、デバイス上のモジュールから、状態情報を受信して、モジュール状態保持部15に保持する。
【0074】
次に、ステップS202において、制御部11は、状態情報に含まれるモジュールのテスト結果を用いて、デバイス構成情報保持部14に保持されるデバイス構成管理テーブルを更新する。
【0075】
次に、ステップS203において、デバイス診断部16は、デバイス管理テーブルのテスト結果を参照して、セキュリティポリシー保持部12に保持されたセキュリティポリシーに基づき、デバイスの構成を診断する。例えば、必要とされるモジュールの全てのテスト結果がOKであることを要求するポリシーの場合、1つでもNGのテスト結果があった場合、ステップS205へ進み、診断結果を「NG」と判断する。そして、デバイス構成管理テーブルの診断結果フィールドにはNGを書き込み、処理を終了する。一方、セキュリティポリシーを満足した場合は、ステップS204へ進み、診断結果を「OK」と判断し、デバイス構成管理テーブルの診断結果フィールドにOKを書き込み、処理を終了する。
【0076】
このデバイス構成の診断結果の情報は、例えば外部システム20のアクセス制御サーバによって利用される。デバイス30がサービスにアクセスする際、外部のアクセス制御サーバは、デバイス管理装置10にその診断結果を問い合わせ、OKの場合にアクセスを許可し、NGの場合はアクセスを拒否する。尚、デバイス管理装置10自身がこのようなアクセス制御を行ってもよいし、デバイス管理装置10から外部のサーバに対して、サービス提供の可否を通知してもよい。
【0077】
尚、ステップS203において、デバイス診断部16は、デバイス管理テーブルのテスト結果を参照して、セキュリティポリシー保持部12に保持されたセキュリティポリシーに基づき、サービス提供の可否を決定してもよい。例えば、必要とされるモジュールの全てのテスト結果がOKであることを要求するポリシーの場合、1つでもNGのテスト結果があった場合、ステップS205へ進み、サービス提供を「停止」と判断する。そして、デバイス構成管理テーブルのサービス提供可否には停止を書き込み、処理を終了する。一方、セキュリティポリシーを満足した場合は、ステップS204へ進み、サービス提供を「許諾」と判断し、デバイス構成管理テーブルのサービス提供可否に許諾を書き込み、処理を終了する。
【0078】
このサービス提供の許諾、停止の情報は、例えば外部システム20のアクセス制御サーバによって利用される。デバイス30がサービスにアクセスする際、外部のアクセス制御サーバは、デバイス管理装置10にそのサービス提供の可否を問い合わせ、許諾の場合にアクセスを許可し、停止の場合はアクセス拒否する。尚、デバイス管理装置10自身がこのようなアクセス制御を行ってもよいし、デバイス管理装置10から外部のサーバに対して、サービス提供の可否を通知してもよい。
【0079】
=デバイスの起動処理=
次に、デバイス30の起動処理を、図11を参照して説明する。
【0080】
まず、ステップS301において、デバイス30が電源オンまたはリセットされると、ステップS302において、システムソフトが起動し、ステップS303において、無線基地局やアクセスポイントを通じて無線リンクを確立した後、SIM54による端末認証の手順を実行する。
【0081】
そして、ステップS304において、制御部41は、SIM54から加入者識別子や加入サービス種別、加入サービス設定などを加入者情報保持部42にロードする。
【0082】
次に、ステップS305において、制御部41は、SIM54内にデバイス30に対応したデバイス構成情報があるか否か判断し、ある場合は、ステップS306へ進み、SIM54から、そのデバイスのデバイス識別子に対応したデバイス構成情報をデバイス構成情報保持部43にロードする。一方、SIM54内にそのデバイス識別子に対応したデバイス構成情報が存在しない場合、ステップS307へ進み、新しいデバイスであると判断して、SIM54にそのデバイス識別子に対応したデバイス構成情報用の領域を作成する。
【0083】
次に、ステップS308において、制御部41は、実際のデバイスのデバイス識別子や、オペレーティングシステム、通信リンク種別、接続先ネットワーク、モジュールのインストール情報、接続中の外部デバイス、実行中のサービスプログラムなどを検出し、デバイス構成情報保持部43のデバイス構成情報を更新する。
【0084】
その際、ステップS309において、制御部41は、デバイス構成が変化したか否かを判断する。そして、ステップS310において、SIM54からロードした情報と異なる場合、あるいは新しいデバイスの場合、SIM54内のデバイス構成情報を更新する。
【0085】
更に、ステップS311において、デバイス登録部44は、加入者情報とデバイス構成情報を、デバイス管理装置10へ送信する。SIM54からロードしたデバイス構成情報と検出したものが一致している場合、この登録を行わないことで通信量を削減する。
【0086】
次に、ステップS312において、モジュール・ポリシー取得部45は、デバイス管理装置10に問い合わせて、セキュリティポリシーを取得する。そして、ステップS313において、モジュール管理部46は、適切なモジュールを適切な設定で起動する。その際、モジュール管理部46は、必要であればモジュールをロードして導入する。
【0087】
=デバイスのテスト処理=
次に、デバイス30のテスト処理を、図12を参照して説明する。デバイスは起動の完了後、あるいはデバイス管理装置から問い合わせを受けた際に、テスト処理を行う。
【0088】
まず、ステップS401において、デバイス30は、システムソフトの起動を完了する。
【0089】
次に、ステップS402において、モジュールテスト部47は、デバイス30内のモジュールのテストを実行する。
【0090】
ステップS403において、このテストが成功した場合、ステップS404において、診断応答部48は、デバイス管理装置10に結果を通知し、テスト処理を完了する。
【0091】
一方、ステップS403において、このテストが失敗した場合、ステップS405において、モジュール復旧部49は、修復処理を行い、ステップS402へ戻り、再度テストを行う。尚、復旧を試みる回数に上限を設けて、失敗回数が上限に達した際に当該モジュールの実行を停止するように判断してもよい。
【0092】
又、変形例として、デバイス登録と一緒にモジュールのテスト結果の通知を行ってもよい。これにより、デバイスとデバイス管理装置間の通信量を削減することができる。
【0093】
=デバイスの構成変更処理=
次に、デバイス30の構成変更処理を、図13を参照して説明する。
【0094】
まず、ステップS501において、デバイス30の構成変化検知部410は、構成情報の変化を検知した場合、ステップS502において、構成変化検知部410は、モジュール・ポリシー取得部45にアクセスして、その構成情報に対するセキュリティポリシーを保持しているか検査する。
【0095】
ステップS503において、保持している場合は、ステップS504に進み、構成変化検知部410は、更にその構成情報は通知が必要とされているセキュリティポリシーであるか検査する。ステップS505において、通知が必要である場合は、ステップS506に進む。ステップS506〜509は、デバイスの起動処理(図11)のステップS310〜313と同様の処理であり、デバイス管理装置に登録してセキュリティポリシーを受け取った後に、モジュールの導入・設定を行って、手順を終了する。
【0096】
一方、ステップS503においてセキュリティポリシーを保持していて、ステップS505において通知が必要とされていない場合は、ステップS510において、セキュリティポリシーに従って、モジュールの導入・設定を行う。そして、ステップS511において、構成情報とポリシーをログに記録し、手順を終了する。
【0097】
(作用及び効果)
従来のデバイスセキュリティ管理システムは、デバイス構成情報やデバイス上のサービスの種別を管理する手段を持たないため、そのセキュリティポリシーをデバイス側で実施すること、デバイス管理装置側でその実施を検査することが困難であった。あるデバイス構成で、あるサービス利用プログラムを実行するデバイスに安全にサービスを提供するため、適切なモジュールを適切な設定で動作していることと、デバイス管理装置において適切なモジュールが適切な設定で動作していることを検査することが第一の課題であった。
【0098】
第1の実施の形態に係るデバイス管理装置10、デバイス30及びデバイス管理方法によると、デバイス構成情報と加入者情報を管理し、デバイス上で適切なモジュールを適切な設定で動作させ、デバイス管理装置において適切なモジュールが適切な設定で動作していることを検査することができる。サービス提供者は、デバイスの構成に必要とされるモジュールが正しい設定で動作されることを確認した上で、安全にサービスを提供することができる。デバイス構成情報や加入者情報が変化した際も、適切なモジュールを適切に設定、動作させることでデバイスを安全な状態に保つことができる。このように、オープンなデバイスのセキュリティを適切に管理し、ユーザの自由度を確保しつつ、安全な情報通信サービス提供を可能とする。
【0099】
又、第1の実施の形態に係るデバイス管理装置10では、構成情報として、デバイス識別子と、デバイス識別子に対応したオペレーティングシステム、ハードウェア、通信リンク種別、接続先ネットワーク、外部デバイス、モジュールの状態情報の少なくともいずれか1とを含む。このデバイス管理装置10によると、サービス提供者は、デバイス構成情報に対してきめ細かにモジュールを選択し、安全にサービスを提供することができる。
【0100】
又、第1の実施の形態に係るデバイス管理装置10では、加入者情報として、加入者識別子と、加入者識別子に対応した加入サービスの種別、加入サービスの設定の少なくともいずれか1とを含む。このデバイス管理装置10によると、加入者が利用するデバイスを切り替えたり、加入者間でデバイスを交換しても一意に加入者デバイスを特定したりすることを可能とする。又、高度な安全性を要求するサービスや加入者に対して高機能なセキュリティのモジュールを選択したり、動作の軽快さを望む加入者に対して検査頻度を落としたセキュリティのモジュールを選択したりするなど、きめ細かな制御ができる。
【0101】
又、第1の実施の形態に係るデバイス管理装置10は、モジュール、あるいは、セキュリティポリシーをデバイスへ送信するモジュール・ポリシー提供部17を備える。このため、デバイス構成情報や加入者情報が変化した際も、適切なモジュールやセキュリティポリシーをデバイスに導入できる。
【0102】
又、第1の実施の形態に係るデバイス管理装置10は、デバイス上のモジュールに状態を問い合わせるモジュールテスト部18を備える。このため、デバイス管理装置10の任意のタイミングでデバイス上のモジュールの状態を確認でき、安全なサービス提供が可能となる。
【0103】
又、第1の実施の形態に係るデバイス30によると、デバイス構成情報や加入者情報を管理し、デバイス管理装置に登録すると共に、セキュリティポリシーを保持し、それに従ってモジュールの導入、設定、起動、テスト、さらにテスト結果の通知を行うことができる。このため、デバイスのセキュリティ状態を適切に保つと共に、デバイス管理装置がデバイスのセキュリティを管理可能とする。
【0104】
又、第1の実施の形態に係るデバイス30のモジュールテスト部47は、デバイスの電源がオン又はリセット、あるいはデバイス管理装置からの問い合わせを契機として、テストを行う。このため、デバイス購入時や再起動の際に確実にテストを行い、デバイスを安全な状態に保つことができる。又、デバイス管理装置は所望のタイミングでデバイス側のモジュールをテストできるため、テストの頻度やタイミングの設定について、柔軟な運用ができる。
【0105】
又、第1の特徴に係るに係るデバイス30では、モジュールテスト部47によるテストにおいて、テストが失敗した場合、当該モジュールの修復を行うモジュール復旧部49を備える。このため、モジュールの不具合があった場合も停止することなく、復旧可能とする。
【0106】
<第2の実施の形態>
第2の実施の形態では、デバイス30が仮想マシン管理部(一般的に、仮想マシンモニタと呼ばれる)を備えた場合について説明する。デバイス管理装置10については、第1の実施の形態と同様であるので、ここでは説明を省略する。
【0107】
(デバイス)
第2の実施の形態に係るデバイス30は、図14に示すように、仮想マシン管理部52を備える。仮想マシンモニタは、単一の計算機上に複数の仮想的な計算機環境(仮想マシン60a、60b、60c)を構築し、管理するためのソフトウェアであり、独立した仮想マシンに別々のOSやアプリケーションを導入して利用することや、仮想マシン間のメモリやファイルシステム等のリソースのアクセス制御を可能とする。即ち、ある仮想マシン1内のプログラムから仮想マシン2のリソースへのアクセスを許諾するが、逆の仮想マシン2から1へのリソースへのアクセスをブロックすることができる。
【0108】
この仮想マシンモニタの機能を行うことで、デバイス30上にユーザ用とサービス用の計算機環境を独立に構築できると共に、サービス1用仮想マシン60aにセキュリティモジュール50aを配置し、別のサービス2用仮想マシン60b内のプログラム51bを監視させることもできる。
【0109】
仮想マシン管理部52は、複数の仮想マシンを管理する。具体的には、仮想マシン管理部52は、仮想マシンの生成、起動、終了、削除の機能を提供する。
【0110】
プログラム導入制限部61a、61bは、仮想マシンに認定されたプログラム以外の導入を拒否するものである。例えば、仮想マシンの設定ファイル内の認定された信頼できるプログラムリストを参照して、そのリストに含まれない信頼できないプログラムの導入操作をブロックすることで、当該仮想マシンを安全な状態に維持する。
【0111】
又、デバイスセキュリティ管理部40a、40bは、図8に示すデバイスセキュリティ管理部40と同様の構成を有し、同様の動作を行うが、以下に、第2の実施の形態に特有の機能を示す。
【0112】
デバイス構成情報保持部43は、少なくとも一つの仮想マシンのデバイス構成情報を保持する。
【0113】
デバイス登録部44は、サービス実行用の少なくとも一つの仮想マシンのデバイス構成情報をデバイス管理装置へ送信する。
【0114】
モジュール管理部46は、適切な仮想マシンを選択して、モジュールを導入する。例えば、モジュール管理部46は、モジュールに付属した設定に従って仮想マシンを選択することができる。
【0115】
図14では、仮想マシン管理部52がデバイス30上にサービス用仮想マシン60a、60bとユーザ用仮想マシン60cの3つの仮想マシンを構築している。図14では、セキュリティモジュール50a、50bやデバイスセキュリティ管理部40a、40b、プログラム導入制限部61a、61bは仮想マシン内のオペレーティングシステムの外側に配置されているが、オペレーティングシステムの中に組み込んでもよいし、仮想マシン管理部52に組み込んでもよい。
【0116】
(デバイス管理方法)
次に、第2の実施形態に係るデバイス管理方法について、図15を用いて説明する。
【0117】
=デバイスの起動処理=
仮想マシンモニタを備えたデバイス30の起動処理を、図15を参照して説明する。
【0118】
まず、ステップS601において、デバイス30が電源オンまたはリセットされると、ステップS602において、システムソフト(仮想マシンモニタ)が起動し、ステップ6503において、無線基地局やアクセスポイントを通じて無線リンクを確立した後、SIM54による端末認証の手順を実行する。
【0119】
そして、ステップS604において、制御部41は、SIM54から加入者識別子や加入サービス種別、加入サービス設定などを加入者情報保持部42にロードする。
【0120】
次に、ステップS605において、仮想マシン管理部52は、SIM54内にデバイス30に対応したデバイス構成情報があるか否か判断し、ある場合は、ステップS606へ進み、SIM54から、そのデバイスのデバイス識別子に対応したデバイス構成情報をデバイス構成情報保持部43にロードする。一方、SIM54内にそのデバイス識別子に対応したデバイス構成情報が存在しない場合、ステップS607へ進み、新しいデバイスであると判断して、SIM54にそのデバイス識別子に対応したデバイス構成情報用の領域を作成する。
【0121】
次に、ステップS608において、デバイス上に起動可能な仮想マシンが複数、存在している場合、ステップS610において、仮想マシン管理部52は、SIM54内の設定に基づき、自動的に起動する仮想マシンを選択する。あるいは、ユーザが選択してもよい。ユーザがデフォルトで起動する仮想マシンの設定を行い、SIMに保存することも考えられる。又、起動する仮想マシンは1つでもよく、複数でもよい。ここで、例えば、仮想マシン2を加入者識別子SID_Aのユーザ用、仮想マシン3を加入者識別子SID_Bのユーザ用と仮定すると、SID_AのユーザがSIMをデバイスに差した際は仮想マシン2、SID_Bの場合は仮想マシン3が起動する。このように、デバイスでSIMを入れ替えて利用する際、加入者が変わっても仮想マシンの切り替えだけで、加入者情報に対応したセキュリティのモジュールを備えた計算機環境を起動することができる。
【0122】
一方、ステップS608において、起動する仮想マシンがデバイスに存在しない場合、ステップS609において、仮想マシン管理部52は、少なくとも1つのサービス用の仮想マシンを構築し、デバイスセキュリティ管理部40をその中に導入する。このとき、ユーザ用の仮想マシンやサービス用の仮想マシンを一緒に複数構築してもよい。又、仮想マシン管理部52は、ユーザに仮想マシンのプラットフォームやメモリ、ストレージなどのパラメータを指定させて、仮想マシンを構築してもよい。更に、他のサーバから仮想マシンのイメージをロードして、仮想マシンを構築してもよい。
【0123】
仮想マシン管理部52が仮想マシンを起動した後、即ち、ステップS611以降のステップは、図11のステップS308以降のステップと同様であるので、ここでは説明を省略する。
【0124】
=デバイスのテスト処理=
次に、第2の実施の形態に係るデバイス30のテスト処理を、図12を参照して説明する。このテスト手順は、第1の実施の形態と同様である。
【0125】
まず、ステップS401において、デバイス30は、システムソフト(仮想マシンモニタ)の起動を完了する。
【0126】
次に、ステップS402において、モジュールテスト部47は、仮想マシン60a、60b、60c内のセキュリティモジュールのテストを実行する。
【0127】
ステップS403において、このテストが成功した場合、ステップS404において、診断応答部48は、デバイス管理装置10に結果を通知し、テスト処理を完了する。
【0128】
一方、ステップS403において、このテストが失敗した場合、ステップS405において、モジュール復旧部49は、修復処理を行い、ステップS402へ戻り、再度テストを行う。尚、復旧を試みる回数に上限を設けて、失敗回数が上限に達した際に当該モジュールの実行を停止するように判断してもよい。
【0129】
又、モジュールテスト部47は、仮想マシン60a、60b、60c外のモジュールのテスト部を呼び出してもよい。例えば、図14の仮想マシン60a内のモジュールテスト部47は、仮想マシン60b内のモジュールを呼び出し、仮想マシン60a自身をテストしてもらうことで、仮想マシン60a内のモジュールが検出できない異常を検出できる可能性がある。又、仮想マシン60bのモジュールテスト部47が、仮想マシン60b内のモジュールを起動し、仮想マシン60aをテストさせてもよい。この場合、仮想マシン60aがウィルスや攻撃によって障害を受けていても、仮想マシン60bのモジュールは、ウィルスや悪意のある攻撃者から保護されるため、仮想マシン60aの異常の検出や権限の制限を行うことができる。
【0130】
(作用及び効果)
従来のデバイスセキュリティ管理システムでは、デバイス上で動作する様々なセキュリティモジュールによって、ユーザの自由なプログラム実行が妨げられること、プログラム動作が低下するという課題があった。権限制御やファイアウォールのセキュリティモジュールによって、ユーザのプログラムの動作が制限されたり、ログ管理のセキュリティモジュールによって処理速度が低下したりする可能性もあった。
【0131】
第2の実施の形態では、デバイス30上に仮想マシンを構築し、サービス利用プログラム用の環境と、ユーザ用の環境とを独立して構築し、仮想マシン単位でデバイス構成情報をデバイス管理装置10に登録する。これにより、仮想マシンごとに異なるセキュリティのモジュールを導入することができるため、サービス実行用の仮想マシンではサービスの安全性を確保し、ユーザ用の環境ではユーザの利便性を確保することができる。又、デバイス管理装置10は、仮想マシン単位でデバイスセキュリティを管理できる。
【0132】
又、第2の実施の形態に係るデバイス30は、プログラム導入制限部61a、61bを備える。このため、仮想マシンに認定されたプログラム以外の導入を防止することができる。このため、サービス用の仮想マシンに、不正なプログラムが導入されるのを防止し、当該仮想マシンを安全な状態に維持することができる。
【0133】
(その他の実施形態)
本発明は上記の実施形態によって記載したが、この開示の一部をなす論述及び図面はこの発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施形態、実施例及び運用技術が明らかとなろう。
【0134】
例えば、デバイス管理装置10が保持するデバイス構成情報は、デバイス30から受信してもよく、外部システムあるいはユーザから登録されてもよい。同様に、デバイス30が保持するデバイス構成情報は、デバイス管理装置10から受信してもよく、外部システムあるいはユーザから登録されてもよい。デバイス管理装置10が保持する加入者情報及びデバイス30が保持する加入者情報についても、同様である。
【0135】
このように、本発明はここでは記載していない様々な実施形態等を含むことは勿論である。従って、本発明の技術的範囲は上記の説明から妥当な特許請求の範囲に係る発明特定事項によってのみ定められるものである。
【図面の簡単な説明】
【0136】
【図1】第1及び第2の実施の形態に係るデバイス管理装置の構成ブロック図である。
【図2】デバイスのOS種別を構成情報とするセキュリティポリシーの一例である。
【図3】接続先ネットワーク種別を構成情報とするセキュリティポリシーの一例である。
【図4】アプリケーション種別を構成情報とするセキュリティポリシーの一例である。
【図5】外部デバイス種別を構成情報とするセキュリティポリシーの一例である。
【図6】加入者情報の一例である。
【図7】デバイス構成情報の一例である。
【図8】第1の実施の形態に係るデバイスの構成ブロック図である。
【図9】第1の実施の形態に係るデバイス管理方法(デバイスの登録処理)を示すフローチャートである。
【図10】第1の実施の形態に係るデバイス管理方法(サービス提供可否の決定処理)を示すフローチャートである。
【図11】第1の実施の形態に係るデバイス管理方法(デバイスの起動処理)を示すフローチャートである。
【図12】第1の実施の形態に係るデバイス管理方法(デバイスのテスト処理)を示すフローチャートである。
【図13】第1の実施の形態に係るデバイス管理方法(デバイスの構成変更処理)を示すフローチャートである。
【図14】第2の実施の形態に係るデバイスの構成ブロック図である。
【図15】第2の実施の形態に係るデバイス管理方法(デバイスの起動処理)を示すフローチャートである。
【符号の説明】
【0137】
10…デバイス管理装置
11…制御部
12…セキュリティポリシー保持部
13…加入者情報保持部
14…デバイス構成情報保持部
15…モジュール状態保持部
16…デバイス診断部
17…モジュール・ポリシー提供部
18…モジュールテスト部
20…外部システム
30…デバイス
40、40a、40b…デバイスセキュリティ管理部
41…制御部
42…加入者情報保持部
43…デバイス構成情報保持部
44…デバイス登録部
45…モジュール・ポリシー取得部
46…モジュール管理部
47…モジュールテスト部
48…診断応答部
49…モジュール復旧部
50、50a、50b…セキュリティモジュール
51、51a、51b…サービス利用プログラム
52…仮想マシン管理部
54…SIM
60a、60b、60c…仮想マシン
61a、61b…プログラム導入制限部
【特許請求の範囲】
【請求項1】
デバイスの構成情報を保持するデバイス構成情報保持部と、
サービスの加入者情報を保持する加入者情報保持部と、
前記構成情報あるいは前記加入者情報に基づいて設定されるセキュリティポリシーを保持するセキュリティポリシー保持部と、
デバイスから取得したモジュールの状態情報を保持するモジュール状態保持部と、
前記セキュリティポリシーと前記モジュールの状態情報とを比較して、デバイスの構成を診断するデバイス診断部と
を備えることを特徴とするデバイス管理装置。
【請求項2】
前記デバイス構成情報保持部は、前記構成情報として、デバイス識別子と、該デバイス識別子に対応したオペレーティングシステム、ハードウェア、通信リンク種別、接続先ネットワーク、外部デバイス、実行中のアプリケーション、モジュールの状態情報の少なくともいずれか1とを含むことを特徴とする請求項1に記載のデバイス管理装置。
【請求項3】
前記加入者情報保持部は、前記加入者情報として、加入者識別子と、該加入者識別子に対応した加入サービスの種別、加入サービスの設定の少なくともいずれか1とを含むことを特徴とする請求項1又は2に記載のデバイス管理装置。
【請求項4】
モジュール、あるいは、前記セキュリティポリシーを前記デバイスへ送信するモジュール・ポリシー提供部を更に備えることを特徴とする請求項1〜3のいずれか1項に記載のデバイス管理装置。
【請求項5】
前記デバイス上のモジュールに状態を問い合わせるモジュールテスト部を更に備えることを特徴とする請求項1〜4のいずれか1項に記載のデバイス管理装置。
【請求項6】
デバイスの構成情報あるいはサービスの加入者情報に基づいて設定されるセキュリティポリシーと、デバイスから取得したモジュールの状態情報とを比較して、デバイスの構成を診断するデバイス管理装置の管理下にある前記デバイスであって、
前記構成情報の変化を検知する構成変化検知部と、
前記構成情報あるいは前記加入者情報を前記デバイス管理装置へ送信するデバイス登録部と、
前記デバイス管理装置から前記モジュール、あるいは、前記セキュリティポリシーを取得するモジュール・ポリシー取得部と、
前記セキュリティポリシーを利用して、モジュールの導入あるいは設定を行うモジュール管理部と、
前記モジュールの動作あるいは状態をテストするモジュールテスト部と、
前記モジュールのテスト結果を、前記モジュールの状態情報として、前記デバイス管理装置へ送信する診断応答部と
を備えることを特徴とするデバイス。
【請求項7】
前記モジュールテスト部は、デバイスの電源がオン又はリセット、あるいは前記デバイス管理装置からの問い合わせを契機として、テストを行うことを特徴とする請求項6に記載のデバイス。
【請求項8】
前記モジュールテスト部によるテストにおいて、前記テストが失敗した場合、当該モジュールの修復を行うモジュール復旧部を更に備えることを特徴とする請求項6又は7に記載のデバイス。
【請求項9】
複数の仮想マシンを管理する仮想マシン管理部を更に備え、
前記デバイス構成情報保持部は、少なくとも一つの前記仮想マシンのデバイス構成情報を保持し、
前記デバイス登録部は、少なくとも一つの前記仮想マシンのデバイス構成情報と加入者情報を前記デバイス管理装置へ送信し、
前記モジュール管理部は、適切な前記仮想マシンを選択して、モジュールの導入及び設定を行うことを特徴とする請求項7又は8に記載のデバイス。
【請求項10】
前記仮想マシンにプログラムを導入する場合、仮想マシンに認定されたプログラム以外の導入を拒否する導入プログラム制限部を更に備えることを特徴とする請求項9に記載のデバイス。
【請求項11】
デバイスの構成情報あるいはサービスの加入者情報に基づいて設定されるセキュリティポリシーを保持するステップと、
デバイスから取得したモジュールの状態情報を保持するステップと、
前記セキュリティポリシーと前記モジュールの状態情報とを比較して、デバイスの構成を診断するステップと
を含むことを特徴とするデバイス管理方法。
【請求項1】
デバイスの構成情報を保持するデバイス構成情報保持部と、
サービスの加入者情報を保持する加入者情報保持部と、
前記構成情報あるいは前記加入者情報に基づいて設定されるセキュリティポリシーを保持するセキュリティポリシー保持部と、
デバイスから取得したモジュールの状態情報を保持するモジュール状態保持部と、
前記セキュリティポリシーと前記モジュールの状態情報とを比較して、デバイスの構成を診断するデバイス診断部と
を備えることを特徴とするデバイス管理装置。
【請求項2】
前記デバイス構成情報保持部は、前記構成情報として、デバイス識別子と、該デバイス識別子に対応したオペレーティングシステム、ハードウェア、通信リンク種別、接続先ネットワーク、外部デバイス、実行中のアプリケーション、モジュールの状態情報の少なくともいずれか1とを含むことを特徴とする請求項1に記載のデバイス管理装置。
【請求項3】
前記加入者情報保持部は、前記加入者情報として、加入者識別子と、該加入者識別子に対応した加入サービスの種別、加入サービスの設定の少なくともいずれか1とを含むことを特徴とする請求項1又は2に記載のデバイス管理装置。
【請求項4】
モジュール、あるいは、前記セキュリティポリシーを前記デバイスへ送信するモジュール・ポリシー提供部を更に備えることを特徴とする請求項1〜3のいずれか1項に記載のデバイス管理装置。
【請求項5】
前記デバイス上のモジュールに状態を問い合わせるモジュールテスト部を更に備えることを特徴とする請求項1〜4のいずれか1項に記載のデバイス管理装置。
【請求項6】
デバイスの構成情報あるいはサービスの加入者情報に基づいて設定されるセキュリティポリシーと、デバイスから取得したモジュールの状態情報とを比較して、デバイスの構成を診断するデバイス管理装置の管理下にある前記デバイスであって、
前記構成情報の変化を検知する構成変化検知部と、
前記構成情報あるいは前記加入者情報を前記デバイス管理装置へ送信するデバイス登録部と、
前記デバイス管理装置から前記モジュール、あるいは、前記セキュリティポリシーを取得するモジュール・ポリシー取得部と、
前記セキュリティポリシーを利用して、モジュールの導入あるいは設定を行うモジュール管理部と、
前記モジュールの動作あるいは状態をテストするモジュールテスト部と、
前記モジュールのテスト結果を、前記モジュールの状態情報として、前記デバイス管理装置へ送信する診断応答部と
を備えることを特徴とするデバイス。
【請求項7】
前記モジュールテスト部は、デバイスの電源がオン又はリセット、あるいは前記デバイス管理装置からの問い合わせを契機として、テストを行うことを特徴とする請求項6に記載のデバイス。
【請求項8】
前記モジュールテスト部によるテストにおいて、前記テストが失敗した場合、当該モジュールの修復を行うモジュール復旧部を更に備えることを特徴とする請求項6又は7に記載のデバイス。
【請求項9】
複数の仮想マシンを管理する仮想マシン管理部を更に備え、
前記デバイス構成情報保持部は、少なくとも一つの前記仮想マシンのデバイス構成情報を保持し、
前記デバイス登録部は、少なくとも一つの前記仮想マシンのデバイス構成情報と加入者情報を前記デバイス管理装置へ送信し、
前記モジュール管理部は、適切な前記仮想マシンを選択して、モジュールの導入及び設定を行うことを特徴とする請求項7又は8に記載のデバイス。
【請求項10】
前記仮想マシンにプログラムを導入する場合、仮想マシンに認定されたプログラム以外の導入を拒否する導入プログラム制限部を更に備えることを特徴とする請求項9に記載のデバイス。
【請求項11】
デバイスの構成情報あるいはサービスの加入者情報に基づいて設定されるセキュリティポリシーを保持するステップと、
デバイスから取得したモジュールの状態情報を保持するステップと、
前記セキュリティポリシーと前記モジュールの状態情報とを比較して、デバイスの構成を診断するステップと
を含むことを特徴とするデバイス管理方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【公開番号】特開2006−155583(P2006−155583A)
【公開日】平成18年6月15日(2006.6.15)
【国際特許分類】
【出願番号】特願2005−292389(P2005−292389)
【出願日】平成17年10月5日(2005.10.5)
【出願人】(392026693)株式会社エヌ・ティ・ティ・ドコモ (5,876)
【Fターム(参考)】
【公開日】平成18年6月15日(2006.6.15)
【国際特許分類】
【出願日】平成17年10月5日(2005.10.5)
【出願人】(392026693)株式会社エヌ・ティ・ティ・ドコモ (5,876)
【Fターム(参考)】
[ Back to top ]