ネットワークの自動管理システム
【課題】ネットワークの通信回線に連なる複数のクライアント端末に極めて容易に適用でき、管理作業が簡単に行えるネットワークの自動管理システムを提供する。
【解決手段】ネットワークを構成する通信回線に、複数のクライアント端末3a、3b、…を接続すると共に、各クライアント端末3a、3b、…を管理する管理サーバ4を接続している。管理サーバ4は通信回線上に定期的に管理信号を送る管理信号送信部41を備え、またクライアント端末3a、3b、…は、管理サーバ4からの管理信号を所定時間に受信の有無及び管理信号の内容に応じて所定の処理を実行するセキュリティ管理手段を備えている。
【解決手段】ネットワークを構成する通信回線に、複数のクライアント端末3a、3b、…を接続すると共に、各クライアント端末3a、3b、…を管理する管理サーバ4を接続している。管理サーバ4は通信回線上に定期的に管理信号を送る管理信号送信部41を備え、またクライアント端末3a、3b、…は、管理サーバ4からの管理信号を所定時間に受信の有無及び管理信号の内容に応じて所定の処理を実行するセキュリティ管理手段を備えている。
【発明の詳細な説明】
【技術分野】
【0001】
本発明はネットワークの自動管理システムに係り、特に複数のクライアント端末のアクセスを制御してセキュリティの管理を行うネットワークの自動管理システムに関する。
【背景技術】
【0002】
企業等で使用する構内情報通信網(Local Area Network 以下、「LAN」と略称する。)等の通信回線を用いた内部のネットワークには、パーソナルコンピュータ(以下、「パソコン」と略称する。)や携帯電話等の情報機器であるクライアント端末が、機密情報を有したままで多くの台数接続されている。また、内部のネットワークはファイヤーウォールを介してインターネット等の外部のネットワークにも接続可能にしている。
【0003】
そして、内部のネットワークの通信回線に接続した多くのクライアント端末は、機密情報を有しているから、個々のクライアント端末が保有する情報へのアクセスを制御することが重要である。このため、内部のネットワークの通信回線に接続する各クライアント端末のアクセスの制御を行うための方策として、例えば特許文献1に記載されているようなセキュリティ管理システムが提案されている。
【0004】
特許文献1に記載のセキュリティ管理システムは、ネットワークを構成する通信回線に管理サーバを設けておき、また通信回線に連なる各クライアント端末には、アドレス格納部と存在確認部と起動管理部を有するエージェントが組込まれている。
【0005】
そして、クライアント端末がアドレス格納部の管理サーバのアドレスを使用してアクセスしたとき、存在確認部により管理サーバがネットワーク上に存在しているか否かを確認を行い、起動管理部において管理サーバがネットワーク上に存在の確認の有無により、起動処理の続行の許可、又は続行を拒否して遮断のいずれかを行わせるものである。これにより、特許文献1のシステムでは、通信回線に連なったクライアント端末の情報の読み取りを防止するセキュリティ管理を行っている。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2005−100141号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
ところが、ネットワークを構成する通信回線に上記した特許文献1に記載のセキュリティ管理システムを適用する場合、各クライアント端末にそれぞれ管理サーバのアクセス先であるIPアドレスを入力する作業が必要になる。
【0008】
しかしクライアント端末に種々の機種があり、しかもクライアント端末の数が多数存在する会社や、複数の独立した内部のネットワークが存在する会社では、各クライアント端末にそれぞれ管理サーバのアクセス先を設定するのは、非常に煩雑な作業となってしまう問題がある。特に、内部のネットワークでは、より簡便なセキュリティ管理システムが望まれている。
【0009】
本発明の目的は、ネットワークの通信回線に連なる複数のクライアント端末に極めて容易に適用でき、管理作業が簡単に行えるネットワークの自動管理システムを提供することにある。
【課題を解決するための手段】
【0010】
本発明のネットワークの自動管理システムは、ネットワークを構成する通信回線に、複数のクライアント端末を接続すると共に、前記各クライアント端末を管理する管理サーバを接続する際に、前記管理サーバは前記通信回線上に定期的に管理信号を送る管理信号送信部を備え、前記各クライアント端末は、前記管理サーバからの管理信号を所定時間に受信の有無及び管理信号の内容に応じて所定の処理を実行するセキュリティ管理手段を備えて構成したことを特徴としている。
【0011】
好ましくは、前記各クライアント端末の起動管理部は、前記管理サーバからの管理信号によってアクセスが制御されるアクセス制御領域を一部に存在する記録媒体を少なくとも備えて構成したことを特徴としている。
【0012】
また好ましくは、前記セキュリティ管理手段は、端末の起動時点から0になるまで逆算して時間を管理するタイマー部と、端末を特定する識別記号を保持する端末特定用識別記号保持部とを備えて構成したことを特徴としている。
【発明の効果】
【0013】
本発明のネットワークの自動管理システムによれば、通信回線中に管理サーバから管理信号をブロードキャスト的に送信しておいて、各クライアント端末のアクセス管理を行うものであるから、内部のネットワークの通信回線に連なっている多数のクライアント端末のそれぞれに、予め管理サーバのアクセス先を設定する必要がなく、クライアント端末の管理作業がきわめて容易に行える。
【図面の簡単な説明】
【0014】
【図1】本発明を適用するネットワークの自動管理システムを示す概略構成図である。
【図2】本発明のネットワークの自動管理システムに用いる管理サーバ及びクライアント端末の一実施例を示す概略構成図である。
【図3】図2に示すクライアント端末の起動管理部の例を示す概略構成図である。
【図4】本発明のネットワークの自動管理システムにおける管理信号の構成図である。
【図5】図1に示すネットワークの自動管理システムクにおけるライアント端末の起動時のフローチャートである。
【図6】図1に示すネットワークの自動管理システムクにおけるクライアント端末の利用時のフローチャートである。
【発明を実施するための形態】
【0015】
本発明のネットワークの自動管理システムでは、ネットワークを構成する通信回線に、複数のクライアント端末を接続すると共に、各クライアント端末を管理する管理サーバを接続している。管理サーバは、通信回線上に定期的に管理信号を送る管理信号送信部を備えている。また、各クライアント端末は、前記管理サーバからの管理信号を所定時間に受信の有無及び管理信号の内容に応じて所定の処理を実行するセキュリティ管理手段を備えてえている。これによって、管理サーバからの管理信号が受信できたクライアント端末のみが、記録媒体のアクセス制御領域にアクセスでき、管理信号を受信できないクライアント端末は他の処理を実施するようにしている。
【実施例1】
【0016】
以下、本発明のネットワークの自動管理システムについて、図1から図6を用いて説明
する。図1に示す如く破線で囲んだ社内等の内部のネットワークは、LAN等の通信回線1に、種々のデータ等を保持してアクセスを制御する対象ともなるサーバ2や、通常使用可能なパソコン等の情報機器であってユーザーが使用するクライアント端末3a、3b、…3nの複数台が接続されている。
【0017】
また、通信回線1には管理サーバ4が備えられる。通信回線1はファイヤーウォール5を介してインターネット6等の外部のネットワークにも接続可能にされている。このため、通信回線1内には存在しないがインターネット6に連なり、アクセス制御や暗号化技術を使って公衆網を専用線のように利用できる外部のネットワークであるVPN(Virtual Private Network)等に接続されてユーザーが使用するクライアント端末3pは、管理サーバ4から信号を受信できてアクセスを管理できる状態になっている。しかし、インターネット6に独自に連なって信号を受信できないクライアント端末3qはアクセス管理の対象外となっている。
【0018】
管理サーバ4は、少なくとも定期的に通信回線1にブロードキャスト的に管理信号を送っている管理信号送信部41と、各種のデータを記録する記録媒体42を備えている。なお、管理サーバ4は特定の単一サーバを設定して使用するばかりでなく、クライアント端末毎に選定した任意のサーバを管理サーバとして設定して使用することもできる。
【0019】
管理信号送信部41からの管理信号は、通信回線1及びVPN等の外部のネットワークに接続されたクライアント端末3a、3b、…3n、3pのみが受信するものである。この管理信号は、例えば図4に示すようにブロードキャスト的な各クライアント端末3a、3b、…側の制御解除、及びタイマーをリセットさせる信号4a、並びに必要に応じた個々のクライアント端末3a、3b、…宛の命令文信号4b、4c、…からなっている。
【0020】
なお、管理信号送信部41からの各信号4a、4b、4c、…は、必ずともすべて必要というわけでなく、ブロードキャスト的な信号4aのみでもよいし、個々の端末への命令文信号4bへ端末側の制御解除、及びタイマーをリセットさせる信号を含める形でもよいものである。また、管理信号は上記したものに限られるものではなく、自由な命令文を書いて利用することができる。例えば、特定のサーバへ受け取った信号及び端末情報を送信するという命令信号を通信回線1に流せば、管理サーバ4で現在通信回線1に接続している端末数及びその状態を知ることができる。
【0021】
また、クライアント端末3a、3b、…3nや、VPN等の外部のネットワークのクライアント端末3pは、図2で示す如く電源スイッチ31に接続された起動管理部32、及びこの起動管理部32よってセキュリティの管理やアクセスを管理される記録媒体33を備えている。
【0022】
記録媒体33は全記録領域のうちにアクセス未制御領域331、及び全記録領域の少なくとも一部にアクセス制御領域332が設けられており、アクセス制御領域332は本発明によるアクセス制御の対象となる部分である。なお、各クライアント端末3a、3b、…3n、3pの記録媒体33は、内蔵型のもので示しているが、外付け型のものであっても何ら問題なく使用することができる。
【0023】
各クライアント端末3a、3b、…は、電源スイッチ31を投入すると起動管理部32が動作する。起動管理部32は後述するように、管理サーバ4からの管理信号を受け取るまでは、記録媒体33のうち、アクセス未制御領域331のみのアクセスを許可するが、管理サーバ4からの管理信号を受け取った時点でアクセス制御領域332へのアクセスも許可する。
【0024】
つまり、ブロードキャスト的な信号4aは全て実行するが、個々の端末への命令文信号4bについては、クライアント端末を特定する端末特定用識別記号保持部321aが保有する識別記号と一致した場合にのみ受け取った命令を実行する。例えば、アクセス未制御領域331にOS(Operating System)が存在する場合には、管理信号を受け取らずともOSを起動することが可能である。しかし、アクセス制御領域332にOSが存在する場合には、管理信号を受け取るまで起動することができないように処理操作される。
【0025】
また、各クライアント端末1の起動管理部32は、図3に示す如く例えばプログラムを用いて構成するセキュリティ管理手段321を有している。このセキュリティ管理手段321には、クライアント端末を特定するために使用する端末特定用識別記号保持部321aとタイマー部321bとを備えている。端末特定用識別記号保持部321aは、クライアント端末の識別記号(ID:Identification)を保持する部分であり、またタイマー部321bは少なくとも各クライアント端末の起動開始時点から逆算して0になるまでカウントする部分である。
【0026】
図3に示す例ではタイマー部321b内には、例えば管理信号の最終受時からの年月を数えるタイマーAや、管理信号の最終受時からの時間を数えるタイマーBや、起動開始時からの時間を数えるタイマーC、等を個別に複数個保有している。
【0027】
セキュリティ管理手段321は、タイマー部321bが電源スイッチ31を投入した起動開始から逆算して0になるまでの時点で、クライアント端末を特定する識別記号信号の受信の有無をもとに、セキュリティ管理手段321において判別し、予め定めておいた所定の処理を実行する。
【0028】
即ち、セキュリティ管理手段121は、クライアント端末側で管理サーバ4から送信される管理信号を受け取ることができれば、後述するように起動を許可する処理を実施し、逆に管理信号を受け取れなかった場合、接続に失敗したものとみなして、接続を失敗した場合の処理を実施する。端末側で接続失敗時の処理としては、アクセス未制御領域にOSを保管しているときは通常通りOSを起動するが、これ以外にパソコンの初期化や、シャットダウン、パスワードの入力要求等の予め定められた処理を実行させることもできる。
【0029】
なお、タイマーA及びタイマーBも、同様に管理サーバからの管理信号を受け取ると時間がリセットされるが、タイマーAの場合、端末の起動、停止状態にかかわらずカウントダウンされ、最後に信号を受け取ってから一定期間が過ぎると、例えばアクセス制御領域におけるデータの削除プログラム等の予め定めた所定のプログラムが実行される。また、タイマーBは、端末の起動時間中にカウントダウンされていき、最後に信号を受け取ってから一定時間が経過すると、記録媒体のアクセス制御領域のデータへのアクセスが不可となる所定の予め定めたプログラムが実行される。
【0030】
次に、各クライアント端末3a、3b、…としてパソコンを用いた場合の起動時における流れを、図5に示すフローチャートを用いて説明する。まず、ステップST1でパソコンを起動すると、ステップST2で最後に管理信号を受け取ってからの年月をカウントダウンするタイマーAが、0に達していないことの確認処理を実施する。次のステップST3で、タイマーCのリセット及びカウントダウンを始めると共に、管理サーバ4からの管理信号の受け待ちを実施する。
【0031】
ステップST4において、タイマーCが0に達する前に管理サーバ4の管理信号送信部41からの解除信号の受け取りができたYesの場合、次のステップST5で各タイマーA、B、Cの残時間をリセットする処理を行い、続くステップST6において、記録媒体33のアクセス制御領域33aのデータへのアクセスが許可の処理を行い、これにより起動処理が完了する。
【0032】
一方、ステップST2において、タイマーAの残時間が0になってしまったNoの場合は、起動管理部32ではセキュリティ管理手段321の判断をもとに予め定められた特定処理、例えばステップST7のアクセス制御領域のデータ削除を行うと共に、続くステップST9でアクセス不許可時の特定処理、即ち通常通りのOSの起動が実行される。
【0033】
また、ステップST4にて、時間内に解除信号の受け取りが行えなかったNoの場合は、ステップST8においてタイマーBの残時間を0にし、起動管理部32がセキュリティ管理手段321の判断をもとに、記録媒体33のアクセス制限領域33aのデータへのアクセスを不許可にする処理を実行し、上記した如く続くステップST9で、アクセス不許可時の特定処理が実行される。
【0034】
また、各クライアント端末3a、3b、…の通常の利用時は、図6に示すフローチャートの如くセキュリティ管理手段321が動作し、以下の処理が実行される。つまり、クライアント端末3a、3b、…の起動後のステップST11では、タイマーAに加えてタイマーBがカウントダウンされて行くので、その間は管理サーバからの管理信号の受け待ちを実施する。そして、ステップST12では、タイマーA及びタイマーBの残時間に応じた処理、例えば残時間が減ったことに対する警告メッセージを出す処理を実行する。
【0035】
続くステップST13で、管理サーバからの管理信号の受け取りが時間内に行えたYesの場合、次のステップST14において各タイマーA、B、Cの残時間をリセットする。一方、ステップST13において、時間内に管理信号の受け取りができなかったNoの場合、ステップST15で起動管理部32がセキュリティ管理手段321の判断をもとに、記録媒体33のアクセス制御領域332のデータへのアクセスを不許可にするアクセス不許可時の処理を実行する。
【0036】
このように、本発明のネットワークの自動管理システムを適用すれば、管理サーバからの管理信号によって制御が解除されるアクセス制御領域を一部に存在する記録媒体、及び端末の起動を管理する起動管理部を少なくとも備えているパソコン等をクライアント端末として用いることにより、クライアント端末3a、3b、…が通信回線1を介して管理サーバ2と接続され、管理サーバ2からの信号を受け取ることができなければ、記録媒体33のアクセス制御領域332にアクセスすることができない。よって、例えばクライアント端末3a、3b、…を紛失した場合や盗難にあった場合に、アクセス制御領域332に記憶された情報へのアクセスを遮断でき、機密情報等のセキュリティを保持することができる。
【0037】
また、管理サーバ2は通信回線1上に定期的に管理信号を送り、クライアント端末3a、3b、…は管理信号を受け取ったら記録媒体33のアクセス制御領域332にアクセスすることができる方式であるため、クライアント端末3a、3b、…は、セキュリティ管理手段321であるプログラムを予めインストールしておくだけでよい。よって、複数のクライアント端末3a、3b、…への設定作業が不要であり、管理作業を簡単に行うことができる。
【0038】
なお、上記した例では、クライアント端末3a、3b、…起動時における流れを、記録媒体33のアクセス制御領域33aのデータに、アクセスを許可或いは不許可する処理の例で説明したが、サーバ2をアクセスの許可或いは不許可する制御対象にして同様な効果を達成できることは明白である。また、サーバ2をアクセスの許可或いは不許可する制限対象にした場合、本発明のセキュリティ管理手段321を備えているパソコン等をクライアント端末として用いる場合だけサーバ2にアクセスことができ、社外から持ち込んだパソコン等のクライアント端末によるサーバ2へのアクセスを防止することができる。
【符号の説明】
【0039】
1…通信回線、2…、3a、3b、…3n、3p、3q…クライアント端末、4…管理サーバ、32…起動管理部、33、42…記録媒体、41…管理信号送信部、331…アクセス未制御領域、332…アクセス制御領域、321…セキュリティ管理手段、321a…端末特定用識別記号保持部、321b…タイマー部。
【技術分野】
【0001】
本発明はネットワークの自動管理システムに係り、特に複数のクライアント端末のアクセスを制御してセキュリティの管理を行うネットワークの自動管理システムに関する。
【背景技術】
【0002】
企業等で使用する構内情報通信網(Local Area Network 以下、「LAN」と略称する。)等の通信回線を用いた内部のネットワークには、パーソナルコンピュータ(以下、「パソコン」と略称する。)や携帯電話等の情報機器であるクライアント端末が、機密情報を有したままで多くの台数接続されている。また、内部のネットワークはファイヤーウォールを介してインターネット等の外部のネットワークにも接続可能にしている。
【0003】
そして、内部のネットワークの通信回線に接続した多くのクライアント端末は、機密情報を有しているから、個々のクライアント端末が保有する情報へのアクセスを制御することが重要である。このため、内部のネットワークの通信回線に接続する各クライアント端末のアクセスの制御を行うための方策として、例えば特許文献1に記載されているようなセキュリティ管理システムが提案されている。
【0004】
特許文献1に記載のセキュリティ管理システムは、ネットワークを構成する通信回線に管理サーバを設けておき、また通信回線に連なる各クライアント端末には、アドレス格納部と存在確認部と起動管理部を有するエージェントが組込まれている。
【0005】
そして、クライアント端末がアドレス格納部の管理サーバのアドレスを使用してアクセスしたとき、存在確認部により管理サーバがネットワーク上に存在しているか否かを確認を行い、起動管理部において管理サーバがネットワーク上に存在の確認の有無により、起動処理の続行の許可、又は続行を拒否して遮断のいずれかを行わせるものである。これにより、特許文献1のシステムでは、通信回線に連なったクライアント端末の情報の読み取りを防止するセキュリティ管理を行っている。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2005−100141号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
ところが、ネットワークを構成する通信回線に上記した特許文献1に記載のセキュリティ管理システムを適用する場合、各クライアント端末にそれぞれ管理サーバのアクセス先であるIPアドレスを入力する作業が必要になる。
【0008】
しかしクライアント端末に種々の機種があり、しかもクライアント端末の数が多数存在する会社や、複数の独立した内部のネットワークが存在する会社では、各クライアント端末にそれぞれ管理サーバのアクセス先を設定するのは、非常に煩雑な作業となってしまう問題がある。特に、内部のネットワークでは、より簡便なセキュリティ管理システムが望まれている。
【0009】
本発明の目的は、ネットワークの通信回線に連なる複数のクライアント端末に極めて容易に適用でき、管理作業が簡単に行えるネットワークの自動管理システムを提供することにある。
【課題を解決するための手段】
【0010】
本発明のネットワークの自動管理システムは、ネットワークを構成する通信回線に、複数のクライアント端末を接続すると共に、前記各クライアント端末を管理する管理サーバを接続する際に、前記管理サーバは前記通信回線上に定期的に管理信号を送る管理信号送信部を備え、前記各クライアント端末は、前記管理サーバからの管理信号を所定時間に受信の有無及び管理信号の内容に応じて所定の処理を実行するセキュリティ管理手段を備えて構成したことを特徴としている。
【0011】
好ましくは、前記各クライアント端末の起動管理部は、前記管理サーバからの管理信号によってアクセスが制御されるアクセス制御領域を一部に存在する記録媒体を少なくとも備えて構成したことを特徴としている。
【0012】
また好ましくは、前記セキュリティ管理手段は、端末の起動時点から0になるまで逆算して時間を管理するタイマー部と、端末を特定する識別記号を保持する端末特定用識別記号保持部とを備えて構成したことを特徴としている。
【発明の効果】
【0013】
本発明のネットワークの自動管理システムによれば、通信回線中に管理サーバから管理信号をブロードキャスト的に送信しておいて、各クライアント端末のアクセス管理を行うものであるから、内部のネットワークの通信回線に連なっている多数のクライアント端末のそれぞれに、予め管理サーバのアクセス先を設定する必要がなく、クライアント端末の管理作業がきわめて容易に行える。
【図面の簡単な説明】
【0014】
【図1】本発明を適用するネットワークの自動管理システムを示す概略構成図である。
【図2】本発明のネットワークの自動管理システムに用いる管理サーバ及びクライアント端末の一実施例を示す概略構成図である。
【図3】図2に示すクライアント端末の起動管理部の例を示す概略構成図である。
【図4】本発明のネットワークの自動管理システムにおける管理信号の構成図である。
【図5】図1に示すネットワークの自動管理システムクにおけるライアント端末の起動時のフローチャートである。
【図6】図1に示すネットワークの自動管理システムクにおけるクライアント端末の利用時のフローチャートである。
【発明を実施するための形態】
【0015】
本発明のネットワークの自動管理システムでは、ネットワークを構成する通信回線に、複数のクライアント端末を接続すると共に、各クライアント端末を管理する管理サーバを接続している。管理サーバは、通信回線上に定期的に管理信号を送る管理信号送信部を備えている。また、各クライアント端末は、前記管理サーバからの管理信号を所定時間に受信の有無及び管理信号の内容に応じて所定の処理を実行するセキュリティ管理手段を備えてえている。これによって、管理サーバからの管理信号が受信できたクライアント端末のみが、記録媒体のアクセス制御領域にアクセスでき、管理信号を受信できないクライアント端末は他の処理を実施するようにしている。
【実施例1】
【0016】
以下、本発明のネットワークの自動管理システムについて、図1から図6を用いて説明
する。図1に示す如く破線で囲んだ社内等の内部のネットワークは、LAN等の通信回線1に、種々のデータ等を保持してアクセスを制御する対象ともなるサーバ2や、通常使用可能なパソコン等の情報機器であってユーザーが使用するクライアント端末3a、3b、…3nの複数台が接続されている。
【0017】
また、通信回線1には管理サーバ4が備えられる。通信回線1はファイヤーウォール5を介してインターネット6等の外部のネットワークにも接続可能にされている。このため、通信回線1内には存在しないがインターネット6に連なり、アクセス制御や暗号化技術を使って公衆網を専用線のように利用できる外部のネットワークであるVPN(Virtual Private Network)等に接続されてユーザーが使用するクライアント端末3pは、管理サーバ4から信号を受信できてアクセスを管理できる状態になっている。しかし、インターネット6に独自に連なって信号を受信できないクライアント端末3qはアクセス管理の対象外となっている。
【0018】
管理サーバ4は、少なくとも定期的に通信回線1にブロードキャスト的に管理信号を送っている管理信号送信部41と、各種のデータを記録する記録媒体42を備えている。なお、管理サーバ4は特定の単一サーバを設定して使用するばかりでなく、クライアント端末毎に選定した任意のサーバを管理サーバとして設定して使用することもできる。
【0019】
管理信号送信部41からの管理信号は、通信回線1及びVPN等の外部のネットワークに接続されたクライアント端末3a、3b、…3n、3pのみが受信するものである。この管理信号は、例えば図4に示すようにブロードキャスト的な各クライアント端末3a、3b、…側の制御解除、及びタイマーをリセットさせる信号4a、並びに必要に応じた個々のクライアント端末3a、3b、…宛の命令文信号4b、4c、…からなっている。
【0020】
なお、管理信号送信部41からの各信号4a、4b、4c、…は、必ずともすべて必要というわけでなく、ブロードキャスト的な信号4aのみでもよいし、個々の端末への命令文信号4bへ端末側の制御解除、及びタイマーをリセットさせる信号を含める形でもよいものである。また、管理信号は上記したものに限られるものではなく、自由な命令文を書いて利用することができる。例えば、特定のサーバへ受け取った信号及び端末情報を送信するという命令信号を通信回線1に流せば、管理サーバ4で現在通信回線1に接続している端末数及びその状態を知ることができる。
【0021】
また、クライアント端末3a、3b、…3nや、VPN等の外部のネットワークのクライアント端末3pは、図2で示す如く電源スイッチ31に接続された起動管理部32、及びこの起動管理部32よってセキュリティの管理やアクセスを管理される記録媒体33を備えている。
【0022】
記録媒体33は全記録領域のうちにアクセス未制御領域331、及び全記録領域の少なくとも一部にアクセス制御領域332が設けられており、アクセス制御領域332は本発明によるアクセス制御の対象となる部分である。なお、各クライアント端末3a、3b、…3n、3pの記録媒体33は、内蔵型のもので示しているが、外付け型のものであっても何ら問題なく使用することができる。
【0023】
各クライアント端末3a、3b、…は、電源スイッチ31を投入すると起動管理部32が動作する。起動管理部32は後述するように、管理サーバ4からの管理信号を受け取るまでは、記録媒体33のうち、アクセス未制御領域331のみのアクセスを許可するが、管理サーバ4からの管理信号を受け取った時点でアクセス制御領域332へのアクセスも許可する。
【0024】
つまり、ブロードキャスト的な信号4aは全て実行するが、個々の端末への命令文信号4bについては、クライアント端末を特定する端末特定用識別記号保持部321aが保有する識別記号と一致した場合にのみ受け取った命令を実行する。例えば、アクセス未制御領域331にOS(Operating System)が存在する場合には、管理信号を受け取らずともOSを起動することが可能である。しかし、アクセス制御領域332にOSが存在する場合には、管理信号を受け取るまで起動することができないように処理操作される。
【0025】
また、各クライアント端末1の起動管理部32は、図3に示す如く例えばプログラムを用いて構成するセキュリティ管理手段321を有している。このセキュリティ管理手段321には、クライアント端末を特定するために使用する端末特定用識別記号保持部321aとタイマー部321bとを備えている。端末特定用識別記号保持部321aは、クライアント端末の識別記号(ID:Identification)を保持する部分であり、またタイマー部321bは少なくとも各クライアント端末の起動開始時点から逆算して0になるまでカウントする部分である。
【0026】
図3に示す例ではタイマー部321b内には、例えば管理信号の最終受時からの年月を数えるタイマーAや、管理信号の最終受時からの時間を数えるタイマーBや、起動開始時からの時間を数えるタイマーC、等を個別に複数個保有している。
【0027】
セキュリティ管理手段321は、タイマー部321bが電源スイッチ31を投入した起動開始から逆算して0になるまでの時点で、クライアント端末を特定する識別記号信号の受信の有無をもとに、セキュリティ管理手段321において判別し、予め定めておいた所定の処理を実行する。
【0028】
即ち、セキュリティ管理手段121は、クライアント端末側で管理サーバ4から送信される管理信号を受け取ることができれば、後述するように起動を許可する処理を実施し、逆に管理信号を受け取れなかった場合、接続に失敗したものとみなして、接続を失敗した場合の処理を実施する。端末側で接続失敗時の処理としては、アクセス未制御領域にOSを保管しているときは通常通りOSを起動するが、これ以外にパソコンの初期化や、シャットダウン、パスワードの入力要求等の予め定められた処理を実行させることもできる。
【0029】
なお、タイマーA及びタイマーBも、同様に管理サーバからの管理信号を受け取ると時間がリセットされるが、タイマーAの場合、端末の起動、停止状態にかかわらずカウントダウンされ、最後に信号を受け取ってから一定期間が過ぎると、例えばアクセス制御領域におけるデータの削除プログラム等の予め定めた所定のプログラムが実行される。また、タイマーBは、端末の起動時間中にカウントダウンされていき、最後に信号を受け取ってから一定時間が経過すると、記録媒体のアクセス制御領域のデータへのアクセスが不可となる所定の予め定めたプログラムが実行される。
【0030】
次に、各クライアント端末3a、3b、…としてパソコンを用いた場合の起動時における流れを、図5に示すフローチャートを用いて説明する。まず、ステップST1でパソコンを起動すると、ステップST2で最後に管理信号を受け取ってからの年月をカウントダウンするタイマーAが、0に達していないことの確認処理を実施する。次のステップST3で、タイマーCのリセット及びカウントダウンを始めると共に、管理サーバ4からの管理信号の受け待ちを実施する。
【0031】
ステップST4において、タイマーCが0に達する前に管理サーバ4の管理信号送信部41からの解除信号の受け取りができたYesの場合、次のステップST5で各タイマーA、B、Cの残時間をリセットする処理を行い、続くステップST6において、記録媒体33のアクセス制御領域33aのデータへのアクセスが許可の処理を行い、これにより起動処理が完了する。
【0032】
一方、ステップST2において、タイマーAの残時間が0になってしまったNoの場合は、起動管理部32ではセキュリティ管理手段321の判断をもとに予め定められた特定処理、例えばステップST7のアクセス制御領域のデータ削除を行うと共に、続くステップST9でアクセス不許可時の特定処理、即ち通常通りのOSの起動が実行される。
【0033】
また、ステップST4にて、時間内に解除信号の受け取りが行えなかったNoの場合は、ステップST8においてタイマーBの残時間を0にし、起動管理部32がセキュリティ管理手段321の判断をもとに、記録媒体33のアクセス制限領域33aのデータへのアクセスを不許可にする処理を実行し、上記した如く続くステップST9で、アクセス不許可時の特定処理が実行される。
【0034】
また、各クライアント端末3a、3b、…の通常の利用時は、図6に示すフローチャートの如くセキュリティ管理手段321が動作し、以下の処理が実行される。つまり、クライアント端末3a、3b、…の起動後のステップST11では、タイマーAに加えてタイマーBがカウントダウンされて行くので、その間は管理サーバからの管理信号の受け待ちを実施する。そして、ステップST12では、タイマーA及びタイマーBの残時間に応じた処理、例えば残時間が減ったことに対する警告メッセージを出す処理を実行する。
【0035】
続くステップST13で、管理サーバからの管理信号の受け取りが時間内に行えたYesの場合、次のステップST14において各タイマーA、B、Cの残時間をリセットする。一方、ステップST13において、時間内に管理信号の受け取りができなかったNoの場合、ステップST15で起動管理部32がセキュリティ管理手段321の判断をもとに、記録媒体33のアクセス制御領域332のデータへのアクセスを不許可にするアクセス不許可時の処理を実行する。
【0036】
このように、本発明のネットワークの自動管理システムを適用すれば、管理サーバからの管理信号によって制御が解除されるアクセス制御領域を一部に存在する記録媒体、及び端末の起動を管理する起動管理部を少なくとも備えているパソコン等をクライアント端末として用いることにより、クライアント端末3a、3b、…が通信回線1を介して管理サーバ2と接続され、管理サーバ2からの信号を受け取ることができなければ、記録媒体33のアクセス制御領域332にアクセスすることができない。よって、例えばクライアント端末3a、3b、…を紛失した場合や盗難にあった場合に、アクセス制御領域332に記憶された情報へのアクセスを遮断でき、機密情報等のセキュリティを保持することができる。
【0037】
また、管理サーバ2は通信回線1上に定期的に管理信号を送り、クライアント端末3a、3b、…は管理信号を受け取ったら記録媒体33のアクセス制御領域332にアクセスすることができる方式であるため、クライアント端末3a、3b、…は、セキュリティ管理手段321であるプログラムを予めインストールしておくだけでよい。よって、複数のクライアント端末3a、3b、…への設定作業が不要であり、管理作業を簡単に行うことができる。
【0038】
なお、上記した例では、クライアント端末3a、3b、…起動時における流れを、記録媒体33のアクセス制御領域33aのデータに、アクセスを許可或いは不許可する処理の例で説明したが、サーバ2をアクセスの許可或いは不許可する制御対象にして同様な効果を達成できることは明白である。また、サーバ2をアクセスの許可或いは不許可する制限対象にした場合、本発明のセキュリティ管理手段321を備えているパソコン等をクライアント端末として用いる場合だけサーバ2にアクセスことができ、社外から持ち込んだパソコン等のクライアント端末によるサーバ2へのアクセスを防止することができる。
【符号の説明】
【0039】
1…通信回線、2…、3a、3b、…3n、3p、3q…クライアント端末、4…管理サーバ、32…起動管理部、33、42…記録媒体、41…管理信号送信部、331…アクセス未制御領域、332…アクセス制御領域、321…セキュリティ管理手段、321a…端末特定用識別記号保持部、321b…タイマー部。
【特許請求の範囲】
【請求項1】
ネットワークを構成する通信回線に、複数のクライアント端末を接続すると共に、前記各クライアント端末を管理する管理サーバを接続したネットワークの自動管理システムにおいて、前記管理サーバは前記通信回線上に定期的に管理信号を送る管理信号送信部を備え、前記各クライアント端末は、前記管理サーバからの管理信号を所定時間に受信の有無及び管理信号の内容に応じて所定の処理を実行するセキュリティ管理手段を備えて構成したことを特徴とするネットワークの自動管理システム。
【請求項2】
請求項1において、前記各クライアント端末は、前記管理サーバからの管理信号によってアクセスが制御されるアクセス制御領域を一部に存在する記録媒体を少なくとも備えて構成したことを特徴とするネットワークの自動管理システム。
【請求項3】
請求項1または2のいずれかにおいて、前記セキュリティ管理手段は、端末の起動時点から0になるまで逆算して時間を管理するタイマー部と、端末を特定する識別記号を保持する端末特定用識別記号保持部とを備えて構成したことを特徴とするネットワークの自動管理システム。
【請求項1】
ネットワークを構成する通信回線に、複数のクライアント端末を接続すると共に、前記各クライアント端末を管理する管理サーバを接続したネットワークの自動管理システムにおいて、前記管理サーバは前記通信回線上に定期的に管理信号を送る管理信号送信部を備え、前記各クライアント端末は、前記管理サーバからの管理信号を所定時間に受信の有無及び管理信号の内容に応じて所定の処理を実行するセキュリティ管理手段を備えて構成したことを特徴とするネットワークの自動管理システム。
【請求項2】
請求項1において、前記各クライアント端末は、前記管理サーバからの管理信号によってアクセスが制御されるアクセス制御領域を一部に存在する記録媒体を少なくとも備えて構成したことを特徴とするネットワークの自動管理システム。
【請求項3】
請求項1または2のいずれかにおいて、前記セキュリティ管理手段は、端末の起動時点から0になるまで逆算して時間を管理するタイマー部と、端末を特定する識別記号を保持する端末特定用識別記号保持部とを備えて構成したことを特徴とするネットワークの自動管理システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2011−221704(P2011−221704A)
【公開日】平成23年11月4日(2011.11.4)
【国際特許分類】
【出願番号】特願2010−88668(P2010−88668)
【出願日】平成22年4月7日(2010.4.7)
【出願人】(000005120)日立電線株式会社 (3,358)
【Fターム(参考)】
【公開日】平成23年11月4日(2011.11.4)
【国際特許分類】
【出願日】平成22年4月7日(2010.4.7)
【出願人】(000005120)日立電線株式会社 (3,358)
【Fターム(参考)】
[ Back to top ]