ログイン要求受付装置およびアクセス管理装置
【課題】 コンピュータシステムに対する不正アクセスを防止する。
【解決手段】 認証サーバ1は、社内ネットワーク9に対する第1のユーザからのログイン要求、および第2のユーザがログイン要求の正当性を確認するための情報の入力を受け付け、第1のユーザに予め対応づけられている第2のユーザの携帯電話機5へ、ログイン要求の正当性を確認するための情報を含む電子情報を送出する。
【解決手段】 認証サーバ1は、社内ネットワーク9に対する第1のユーザからのログイン要求、および第2のユーザがログイン要求の正当性を確認するための情報の入力を受け付け、第1のユーザに予め対応づけられている第2のユーザの携帯電話機5へ、ログイン要求の正当性を確認するための情報を含む電子情報を送出する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コンピュータシステムのセキュリティ管理に関し、特にコンピュータシステムに対するアクセス要求の正当性を判定する技術に関する。
【背景技術】
【0002】
企業の社内システムなど、予め定められたユーザ(例えば、社員等)だけにアクセス権限が与えられている閉じたシステムにおいて、権限あるユーザがシステムの外部からアクセスすることを認めている場合がある。
【発明の開示】
【発明が解決しようとする課題】
【0003】
前記のようなシステムが外部からアクセス要求を受けたとき、真に権限あるユーザであるかどうかを確認することは、セキュリティ管理上極めて重要である。従って、係るシステムでは、通常、不正アクセスを防止するため、ユーザからのアクセス要求またはログイン要求を受けたとき、そのユーザが権限あるユーザであるかどうかを確認する(ユーザ認証)。このユーザ認証の方法として、パスワードによる認証や指紋などを用いた生体認証等が知られている。
【0004】
しかし、パスワードは盗まれたり、解読されたりすることもあるし、指紋はダミーを作成されてしまえば不正アクセスを許すことになってしまう。
【0005】
そこで、本発明の目的は、不正アクセスを防止するためのあらたなユーザ認証技術を提供することである。
【0006】
本発明の別の目的は、管理者が部下など管理対象者の行動管理を支援することである。
【0007】
本発明のさらに別の目的は、ログイン要求があったときのログイン許否判定を支援することである。
【課題を解決するための手段】
【0008】
本発明の一つの態様に従うコンピュータシステムに対するログイン要求受付装置は、コンピュータシステムに対する第1のユーザからのログイン要求、および第2のユーザが前記ログイン要求の正当性を確認するための情報の入力を受け付ける受付手段と、前記第1のユーザに予め対応づけられている前記第2のユーザの通信装置へ、前記ログイン要求の正当性を確認するための情報を含む電子情報を送出する手段と、を備える。
【0009】
好適な実施形態では、前記受付手段は、前記第1のユーザの識別情報をさらに受け付け、前記ログイン要求受付装置は、前記ユーザ識別情報と前記第2のユーザの通信装置とを対応づけて記憶した記憶手段をさらに備える。
【0010】
さらに、前記第2のユーザは、前記第1のユーザを管理または監督する者であってもよい。
【0011】
本発明の一つの態様に従うアクセス管理装置は、コンピュータシステムに対してアクセスを希望するユーザから、前記ユーザの識別情報と、アクセス希望の理由を示す情報とを受け付ける受付手段と、前記ユーザ識別情報に予め対応づけられている通信装置へ、前記ユーザを特定するための情報および前記アクセス希望の理由を示す情報を含む電子情報を送出する手段と、前記受付手段が前記ユーザ識別情報および前記アクセス希望の理由を示す情報の入力を受け付けると、前記ユーザに対して前記コンピュータシステムへのアクセスを許可するアクセス管理手段と、を備える。
【0012】
好適な実施形態では、前記受付手段は、アクセス希望時間をさらに受け付け、前記ユーザが前記保護対象システムへアクセスした時間が前記アクセス希望時間を経過すると、前記アクセス管理手段はそのアクセスを切断する。
【0013】
好適な実施形態では、前記通信装置から送信された電子情報を受信する受信手段をさらに備え、前記受信手段が前記通信装置からアクセス不許可を示す電子情報を受信すると、前記アクセス管理手段は前記コンピュータシステムへのアクセスを切断する。
【0014】
好適な実施形態では、前記ユーザについて、第1および第2の認証を行う認証手段をさらに備え、前記受付手段は、前記第1および第2の認証に必要な情報をさらに受け付ける。
【0015】
好適な実施形態では、前記受付手段は、前記ユーザの前記コンピュータシステムへの過去のアクセスに関する情報の入力を受け付け、前記第1の認証は、前記ユーザ識別情報に基づく認証であり、前記第2の認証は、前記過去のアクセスに関する情報に基づく認証である。
【0016】
本発明の一つの態様に従うアクセス管理装置は、コンピュータシステムに対してアクセスを希望するユーザから、前記ユーザの識別情報と、アクセス希望の理由を示す情報とを受け付ける受付手段と、前記ユーザ識別情報に予め対応づけられている通信装置へ、前記ユーザを特定するための情報および前記アクセス希望の理由を示す情報を含む電子情報を送出する手段と、前記通信装置から送信された電子情報を受信する受信手段と、前記受信手段が受信した電子情報が、前記コンピュータシステムに対するアクセスを許可することを示す情報であれば、前記ユーザに対して前記コンピュータシステムへのアクセスを許可するアクセス管理手段と、を備える。
【発明を実施するための最良の形態】
【0017】
以下、本発明を適用した一実施形態に係るシステムついて、図面を用いて説明する。
【0018】
本システムの全体構成を図1に示す。本システムは、権限あるユーザ以外のユーザに対してアクセスを制限して、コンピュータシステムを保護するために、ユーザの認証および監視を行うための認証サーバ1を備える。保護すべきコンピュータシステムの好適な例として、本実施形態では企業の社内ネットワーク9を用いて説明する。社内ネットワーク9へアクセスできるのは、その企業の社員等の予め定められている者である。社員等が社内ネットワーク9へアクセスしたいときは、ユーザ端末2からインターネットなどのネットワーク3を介して認証サーバ1へログイン要求をする。このログイン要求が許可されると、そのユーザは社内ネットワーク9へアクセスすることができる。
【0019】
また、社内ネットワーク9へのアクセス要求の正当性の確認等のため、認証サーバ1はアクセス要求をしたユーザを管理する管理者の携帯電話機5との間で、ネットワーク3、無線基地局4および携帯電話機用無線電話網(図示しない)を通じてデータの送受信を行う。
【0020】
ここで、「管理者」は「ユーザ」を直接的、または間接的に管理、監督、監視、あるいは指導する立場にある者を含む。典型的には「管理者」と「ユーザ」とは、いわゆる上司と部下の関係であるが、必ずしもこれに限定されない。たとえば、「ユーザ」が外注先の社員であるときは、「管理者」は外注元の社員でもよいし、「ユーザ」と「管理者」とが相互に相手の行動を監視しあう立場でもよい。
【0021】
認証サーバ1およびユーザ端末2は、いずれも例えば汎用的なコンピュータシステムにより構成され、以下に説明する個々の構成要素または機能は、例えば、コンピュータプログラムを実行することにより実現される。また、携帯電話機5は、必ずしも現在実用されているタイプの携帯電話機でなければならないわけではなく、例えば電子メールやWWWによるインターネット通信機能を有する携帯型およびデスクトップのパーソナルコンピュータやPDA(パーソナルデータアシスタント)や現在のものから将来的に進化した携帯電話機等の他のタイプの携帯通信機器で置き換えられてもよい。
【0022】
認証サーバ1は、ネットワークインタフェース部11と、ログイン処理部12と、Webページ13と、管理者インタフェース14と、管理者テーブル15と、アクセス監視部16と、ユーザテーブル18と、アクセスログ19とを備える。
【0023】
ネットワークインタフェース部11は、ネットワーク3に対するデータの入出力を制御する。さらに、ネットワークインタフェース部11は、社内ネットワーク9へアクセスが許可されたユーザの通信記録(アクセス先や利用サービス)をアクセスログ19に記録する。アクセスログ19は、例えば、ユーザID、利用時間、容量、アクセス先の識別情報(アドレス等)、送受信コマンド、応答コード、送受信文字列等をデータ項目に含む。
【0024】
ユーザテーブル18は、社内ネットワーク9へアクセスする権限を有するユーザの個人情報を記憶する。たとえば、ユーザテーブル18は、図2(a)に示すように、ユーザID181と、パスワード182と、電子メールアドレス183とをデータ項目として有する。アクセス要求を受けたときに、ログイン処理部12がこのユーザテーブル18を参照してユーザ認証を行う。電子メールアドレス183は、社内ネットワーク9内(社内)の電子メールアドレスである。ユーザID181のユーザがユーザ端末2からログインしたとき、ログイン処理部12が電子メールアドレス183へログインの事実を通知するための電子メールを送信する。
【0025】
管理者テーブル15は、ユーザテーブル18に登録されているユーザの管理者を示す情報が登録されている。例えば、管理者テーブル15には、図2(b)に示すように、ユーザID151と、管理者の電子メールアドレス152、153とが対応づけて記憶されている。ここで、管理者の電子メールアドレスが複数あるのは、以下の理由による。すなわち、後述するように、管理者インタフェース14がこの管理者テーブル15を参照して管理者の携帯電話機5へ電子メールを送信する。このとき、複数の電子メールアドレスの中で予め優先順位を定めておき、順位の高い電子メールアドレスから順に送信し、送信できない場合に下位の電子メールアドレスへ送信するようにしてもよい。
【0026】
Webページ13は、認証サーバ1へアクセスしたユーザから情報の入力を受け付けたり、ユーザに情報を提供したりする。Webページ13の一例が図3に示すログイン申請画面100である。ログイン申請画面100の詳細については後述する。
【0027】
ログイン処理部12は、ユーザ端末2からアクセス要求を受け付けたとき、その要求を許可するかどうかを決定する。
【0028】
例えば、社内ネットワーク9へログインを希望するユーザが、ユーザ端末2から認証サーバ1へアクセスすると、ログイン申請画面100がユーザ端末2の図示しない表示部に表示される。そして、ログイン申請画面100から入力された情報を認証サーバ1が受け付ける。
【0029】
ここで、ログイン申請画面100の一例を図3に示す。ログイン申請画面100は、ユーザIDの入力領域101およびパスワードの入力領域102を有する。ログイン処理部12は、ここで入力されたユーザIDおよびパスワードをユーザテーブル18に予め記憶されているものと照合してユーザ認証を行う。ユーザ認証の結果、正規のユーザであることが確認されたら、ログイン処理部12はログインを許可するようにしてもよい。あるいは、後述するようにユーザIDおよびパスワードによる認証に加え、管理者からのログイン許可通知があったときにログインを許可するようにしてもよい。さらに、後述するような追加認証を行ってもよい。
【0030】
ログイン申請画面100は、ログインの付加情報の入力を受け付ける領域をさらに有する。つまり、ログイン申請画面100は、ログインした状態を継続する予定時間(アクセスを希望する時間)の入力領域103と、社内ネットワーク9内のどこへアクセスするか(アクセス先)、または何をするか(利用サービス)を選択するための入力領域104と、ログインする理由の入力領域105とを有する。ログイン付加情報に含まれる項目の一部または全部で、ログイン要求の正当性を確認することができる。ここで入力されたログイン付加情報の一部または全部が、後述するようにログインするユーザの管理者の携帯電話機5へ電子メール等で送信される(図4参照)。
【0031】
ここで入力されたログイン付加情報は、図示しない記憶部に記憶される。このとき、入力領域104に入力された情報は、アクセス先のサーバ名またはURL(Uniform Resource Locator)等、アクセス先を一意に識別可能な情報に置き換えられた後、記憶部に記憶するようにしてもよい。
【0032】
また、ログイン処理部12は、一度社内ネットワーク9へのアクセスを許可した場合であっても、アクセス監視部16または管理者インタフェース14から指示を受けたときなど、所定の場合にはそれを取り消して通信を切断する。
【0033】
管理者インタフェース14は、社内ネットワーク9へログインを希望するユーザの管理者との間で情報を送受信する。例えば、管理者インタフェース14は、電子メール機能を備える。そして、ログイン申請画面100に入力されたログイン付加情報を含むテキストファイルを生成して、アクセス要求をしたユーザの管理者の通信装置5へネットワークインタフェース11を介して送信する。このとき、送信先の電子メールアドレスは、管理者インタフェース14が、管理者テーブル15を参照してアクセス要求をしたユーザのIDと対応する管理者の携帯電話機5の電子メールアドレス152,153を取得する。
【0034】
図4は、上記電子メールを受信した管理者の携帯電話機5にログイン付加情報を表示したときの一例である。つまり、携帯電話機5の表示部51に受信した電子メールの内容が表示される。ここで、付加情報と併せて、アクセス要求をしたユーザを特定するための情報も含まれている。ユーザを特定するための情報は、受信した管理者がユーザを特定するのに十分な情報であればよい。例えば、ユーザID、ユーザ名(ニックネーム、イニシャル等を含む)、あるいは所属部署とユーザ名の組み合わせなどでもよい。
【0035】
また、管理者インタフェース14は、後述するようなアクセス監視部16からのメール通知指示を受けたときも、管理者のメールアドレスへ電子メールを送信する。
【0036】
管理者は、携帯電話機5を操作して、受信した電子メールに対する返信メールを送ることができる。返信メールには、ログイン許可、または不許可を示す情報を添付できる。管理者インタフェース14はこの返信メールを受信し、返信メールがログイン許可を示すときはその旨を、ログイン不許可を示すときはその旨または切断指示をログイン処理部12へ通知する。
【0037】
アクセス監視部16は、アクセスログ19を参照してユーザのアクセスを監視する。そして、予め申告したアクセス先と異なるところへアクセスしたときなど、不正なアクセスを検出したときは、ログイン処理部12へ切断指示をする。アクセス監視部16の処理の詳細は後述する。
【0038】
以上に説明した構成を備える認証サーバ1が行う処理の手順について、図5〜図8のフローチャートを用いて説明する。
【0039】
認証サーバ1の処理は、図5に示すように、ユーザのログインを許可するかどうかを判定するログイン処理S1と、ログインが許可された後、ユーザが社内ネットワーク9へアクセスしている間に行うアクセス中処理S2とに分かれる。
【0040】
認証サーバ1はログイン処理S1として以下の処理を行う。すなわち、社内ネットワーク9へログインを希望するユーザが、ユーザ端末2から認証サーバ1へアクセスすると、これを受け付けてユーザ端末2にログイン申請画面100を表示させる。ユーザが、ログイン申請画面100の各入力項目に必要な情報を入力してログイン申請を行う(S11)。このログイン申請を受け付けると、ログイン処理部12が入力されたユーザIDおよびパスワードと、ユーザテーブル18に登録されているユーザIDおよびパスワードとを照合して、ユーザ認証を行う(S12)。ユーザIDおよびパスワードが一致すると、管理者インタフェース14が、ログイン付加情報を含むテキストファイルを生成する。そして、管理者テーブル15を参照して、ユーザIDに対応する管理者の電子メールアドレス152を取得する。管理者インタフェース14は、生成されたテキストファイルを電子メール機能を利用して管理者へ送信する(S13)。なお、ステップS12とステップS13とは順序が逆でもよい。つまり、ステップS13をステップS12より先に行ってもよい。
【0041】
これにより、アクセスを要求するユーザにはログイン付加情報を入力させ、これをそのユーザの管理者へ通知することができる。ログイン付加情報の通知を受けた管理者は、自分の部下が外部から社内ネットワーク9へログインするために、付加情報としてどのようなことを申請しているか、リアルタイムで確認することができる。この結果、管理者は部下の申請内容が、その部下の業務や直近の行動に照らして矛盾しないかを確認できる。
【0042】
なお、ログイン付加情報は、本実施形態で例示する項目以外に、社内ネットワーク9へのアクセス要求の正当性を管理者が確認できるような情報であれば、他の項目に関する情報を入力させてもよい。
【0043】
次に、認証サーバ1は、アクセス中処理S2として以下の処理を行う。すなわち、図示しない計時部が、ユーザが実際にログインしている時間を計測し、自己申告したログイン予定時間と対比して残り時間を求め、ユーザ端末2に表示させる(S21)。社内ネットワーク9へのログインが許可されている間に、ユーザからログイン時間の延長を求める再申請があるとステップS1のログイン処理を繰り返し(S22:Yes)、再申請された時間を残り時間に追加する。再申請がないときは、ログイン処理部12が実際にアクセスしている時間が申請されたアクセス時間を超過していないか監視する(S23)。そして、実際のログイン時間が申請された時間を超過したとき、ログイン処理部12が強制的にアクセスを遮断する(S24)。
【0044】
なお、アクセスの強制切断の前に、残り時間が所定の時間(たとえば、2分)以下になったところで、警告をしてもよい。また、ステップS22で再申請があったとき、ログイン処理S1の繰り返しは省略してもよい。
【0045】
次に、ログイン処理S1は、図5に示した処理以外に、以下のような処理でもよい。例えば、図6はログイン処理S1の他の態様について示す。この態様では、ログインに当たり管理者の承認を必要とする。すなわち、ステップS11〜S13のあとに、ログイン許可通知を受信するとログインを許可するステップS14を追加してもよい。このログイン許可通知は、例えば、ステップS13でログイン付加情報を送信した管理者の携帯電話機5からの返信メールである。ステップS14では、所定時間内に返信メールを受信しない場合や、ログインを許可しない旨の電子メールを受信したときは、ログイン処理部12はそのアクセス要求を許可しない(S14:No)。
【0046】
この態様では、管理者が携帯電話機5でログイン付加情報の通知を受けると、この内容を確認して、管理者がそのログインを許可するかどうかを判断する。これにより、不審なログイン要求は未然に拒否することができる。
【0047】
また、図6の態様のようにログインに管理者の承認を必要とするかどうかは、ログインをするユーザ、あるいはアクセス先または利用サービスに応じて定めてもよい。この場合は、ユーザに与えられている権限あるいは担当業務、アクセス先等の機密の高さなどに応じて、管理者承認の要否を定めてもよい。
【0048】
ログイン処理S1のさらに別の態様について図7に示す。この態様では、ステップS12とS13との間にユーザの追加認証を行うステップS15が挿入されている。追加認証とは、ステップS12のユーザIDおよびパスワードによる認証に加えて行われる認証で、ログイン処理部12が行う。例えば、過去の通信記録に関する情報(前回のログイン時の理由など)をログイン申請時に入力させ、ログイン処理部12がアクセスログ19に記録されている情報と照合する。この場合、ログイン申請画面100に入力領域をさらに設けて入力させるようにしてもよい。
【0049】
なお、ステップS12のユーザ認証は、ユーザIDおよびパスワードによる認証を、電子証明書による認証またはワンタイムパスワードによる認証と置き換えることもできるし、これらの2つ以上を併用して適用することもできる。
【0050】
次に、アクセス中処理S2についても同様に、図5に示した処理以外の処理を行うこともできる。他の処理態様の例を図8に示す。
【0051】
この処理態様では、切断指示を受けたかどうかの判断を行うステップS25が追加されている。このステップS25は、アクセス監視部16または管理者の携帯電話機5から切断指示を受けたかどうかを判定する。そして、切断指示があったときは、ログイン処理部12がステップS24で強制的に切断する。これにより、アクセス監視部16が例えば不正アクセスを検出したとき、あるいは管理者が不正なアクセスであると判断したときに、その時点で強制的にそのユーザのアクセスを切断することができる。
【0052】
次に、アクセス監視部16が行う処理の詳細について説明する。なお、以下の処理は、複数のユーザが社内ネットワーク9へアクセスしている場合は、ユーザIDをキーにしてユーザごとに行う。
【0053】
アクセス監視部16は、ログイン時にユーザによって申告されたログイン付加情報とアクセスログ19とを比較する。この比較は、例えば、ログイン付加情報の各項目ごとに行い、アクセスログ19に記録されたアクセス先の識別情報とが、ログイン付加情報のアクセス先とが一致するかどうかを判定する。ここで、現実のアクセス先が申告されたアクセス先と一致しない場合、直ちに不正アクセスとしてもよいが、本実施形態では、不一致の回数が所定のしきい値を越えたときに不正アクセスとして検出する。
【0054】
これにより、自己申告とは異なるアクセスを繰り返すと不正なアクセスとして検出される。
【0055】
また、現実のアクセス先に応じて重要度を予め設定しておき(例えば図9参照)、その重要度に応じて不正アクセスとして検出するためのしきい値を定めてもよい。つまり、重要度が高いアクセス先は、重要度が低いアクセス先よりも、少ない(不一致)検出回数で不正アクセスと認定する。
【0056】
図9には、アクセス先別に重要度、および不正アクセス検出のしきい値が定義された重要度定義テーブル50を示す。このテーブル50は、例えば、アクセス監視部16内の図示しない記憶領域に記憶されている。
【0057】
アクセス監視部16は、さらに、上記のアクセス先に基づく不正アクセス判定に加え、またはこれとは別に、ユーザが行っているアクセスの態様が、予め定めた不審な行為の類型に含まれるかどうかを判定する。この判定は、アクセス監視部16がアクセスログ19に記憶された内容を分析し、ユーザのアクセスの態様(ユーザが行っている行為)を特定する。そして、そのアクセス態様が不審なアクセスの類型(不審な行為)に属するかどうかを判別する。ここで、不審な行為とは、例えば、一般的に不正と思われるアクセス方法、または、ログイン付加情報に含まれる目的に照らし、その目的とは明らかに異なる行為、あるいはその目的とは関係ないと思われるような行為を含む。一般的に不正と思われるアクセス方法とは、例えば、連続してパスワードエラーを発生させる行為(応答コードを参照して判定する)、および所定時間内に所定数以上のサーバへアクセスするスキャン行為(IPアドレスの末尾を1から100まで順に辿るなど、実在しないサーバも含めてスキャンする行為)などである。不審な行為の中でも、さらに、危険度に応じて予めレベルを設定しておいてもよい。
【0058】
これにより、ユーザ認証をクリアしてログインしたときでも、不審な行為を行うと不正なアクセスとして検出される。
【0059】
ここで、不正なアクセス先を検出したときと同様に、不審な行為を検出すると直ちに不正アクセスとしてもよいが、本実施形態では、不審な行為の回数が所定のしきい値を越えたときに不正アクセスとして検出する。さらに、不正な行為の危険度に応じて不正アクセスとして検出するためのしきい値を定めてもよい(例えば図10)。つまり、危険度の高い不審な行為を検出したときは、危険度が低いものよりも少ない回数で不正アクセスと認定する。
【0060】
図10には、不審な行為別に危険度、および不正アクセス検出のしきい値が定義された危険度定義テーブル60を示す。このテーブル60は、例えば、アクセス監視部16内の図示しない記憶領域に記憶されている。
【0061】
上述のようにして不正アクセスを検出したと判断したときは、アクセス監視部16は、予め定められた所定の処理(対策)を実行する。例えば、アクセス監視部16は、不正アクセスを行っているユーザの管理者のメールアドレス(社内ネットワーク9内の通常のメールアドレス、または携帯電話機5のメールアドレス)へ電子メールで通知するよう管理者インタフェース14へ指示したり、強制的にアクセスを切断するためにログイン処理部12へ切断指示をしたりする。管理者へ通知する電子メールには、検出された不正アクセスを行っているユーザを特定するための情報および不正アクセスの内容などが含まれる。
【0062】
アクセス監視部16が行う対策は、現実のアクセス先または不審な行為に基づいて定めてもよいし、所定のルールに基づいて、その時々で定めて行ってもよい。所定のルールの一例を、図11および図12を用いて説明する。すなわち、図11は、示すアクセス先の重要度と不審な行為の危険度とから対策レベルを定めるマトリックス70を示し、図12は、ユーザID別の対策レベルに応じた対策テーブル80を示す。このマトリックス70および対策テーブル80は、いずれも、例えば、アクセス監視部16内の図示しない記憶領域に記憶されている。
【0063】
まず、アクセス監視部16がマトリックス70を用いて対策レベルを定める。対策レベルが定まると、対策テーブル80を参照し、ユーザID応じて実施する対策が定まる。
【0064】
次に、アクセス中処理S2として行われるアクセス先を監視するときの処理手順を、図13に示すフローチャートを用いて説明する。
【0065】
まず、アクセス監視部16が、図示しない記憶部に記憶されているログイン付加情報およびアクセスログ19を参照して、アクセス先がユーザが自己申告したアクセス先と一致するかどうかを判定する(S31,S32)。
【0066】
現実のアクセス先が申告したものと一致しない場合(S32:No)、アクセス先別の回数をカウントするためのカウンタをカウントアップする(S33)。そして、アクセス監視部16は、そのカウンタのカウント値が所定のしきい値を越えたかどうかを判定する(S34)。所定のしきい値を越えていた場合は(S34:Yes)、アクセス監視部16は、所定の対策または所定のルールに基づいて定まる対策を実施する(S35)。
【0067】
また、アクセス行為が不正なものであるかどうかの判定を行うときの処理手順を、図14に示すフローチャートを用いて説明する。
【0068】
まず、アクセス監視部16がアクセスログ19を参照して、ユーザの行為を分析ながら監視する(S36)。そして、ユーザが不審な行為を行っていることを検出すると(S37:Yes)、行為別の回数をカウントするためのカウンタをカウントアップする(S38)。アクセス監視部16は、そのカウンタのカウント値が所定のしきい値を越えたかどうかを判定する(S39)。所定のしきい値を越えていた場合は(S39:Yes)、アクセス監視部16は、所定の対策または所定のルールに基づいて定まる対策を実施する(S40)。
【0069】
上述した本発明の実施形態は、本発明の説明のための例示であり、本発明の範囲をそれらの実施形態にのみ限定する趣旨ではない。当業者は、本発明の要旨を逸脱することなしに、他の様々な態様で本発明を実施することができる。
【図面の簡単な説明】
【0070】
【図1】本発明を適用したユーザ認証システムの構成図である。
【図2】管理者テーブルおよびユーザテーブルのデータ項目の一例を示す図である。
【図3】ログイン申請画面の一例を示す図である。
【図4】携帯電話機5が受信した電子メールの内容を表示したときの一例を示す図である。
【図5】認証サーバが行う処理の一例を示すフローチャートである。
【図6】ログイン処理の他の態様を示すフローチャートである。
【図7】ログイン処理の他の態様を示すフローチャートである。
【図8】アクセス中処理の態様を示すフローチャートである。
【図9】重要度定義テーブルの一例を示す図である。
【図10】危険度定義テーブルの一例を示す図である。
【図11】対策レベルを定めるマトリックスの一例を示す図である。
【図12】ユーザID別対策テーブルの一例を示す図である。
【図13】アクセス先を監視するための処理の態様を示すフローチャートである。
【図14】不正な行為を判定するための処理の態様を示すフローチャートである。
【符号の説明】
【0071】
1…認証サーバ、2…ユーザ端末、3…ネットワーク、4…無線基地局、5…携帯電話機、9…社内ネットワーク、11…ネットワークインタフェース部、12…ログイン処理部、13…Webページ、14…管理者インタフェース、15…管理者テーブル、16…アクセス監視部、18…ユーザテーブル、19…アクセスログ。50…重要度定義テーブル、60…危険度定義テーブル、70…対策レベルを定めるマトリックス、80…ユーザID別対策テーブル。
【技術分野】
【0001】
本発明は、コンピュータシステムのセキュリティ管理に関し、特にコンピュータシステムに対するアクセス要求の正当性を判定する技術に関する。
【背景技術】
【0002】
企業の社内システムなど、予め定められたユーザ(例えば、社員等)だけにアクセス権限が与えられている閉じたシステムにおいて、権限あるユーザがシステムの外部からアクセスすることを認めている場合がある。
【発明の開示】
【発明が解決しようとする課題】
【0003】
前記のようなシステムが外部からアクセス要求を受けたとき、真に権限あるユーザであるかどうかを確認することは、セキュリティ管理上極めて重要である。従って、係るシステムでは、通常、不正アクセスを防止するため、ユーザからのアクセス要求またはログイン要求を受けたとき、そのユーザが権限あるユーザであるかどうかを確認する(ユーザ認証)。このユーザ認証の方法として、パスワードによる認証や指紋などを用いた生体認証等が知られている。
【0004】
しかし、パスワードは盗まれたり、解読されたりすることもあるし、指紋はダミーを作成されてしまえば不正アクセスを許すことになってしまう。
【0005】
そこで、本発明の目的は、不正アクセスを防止するためのあらたなユーザ認証技術を提供することである。
【0006】
本発明の別の目的は、管理者が部下など管理対象者の行動管理を支援することである。
【0007】
本発明のさらに別の目的は、ログイン要求があったときのログイン許否判定を支援することである。
【課題を解決するための手段】
【0008】
本発明の一つの態様に従うコンピュータシステムに対するログイン要求受付装置は、コンピュータシステムに対する第1のユーザからのログイン要求、および第2のユーザが前記ログイン要求の正当性を確認するための情報の入力を受け付ける受付手段と、前記第1のユーザに予め対応づけられている前記第2のユーザの通信装置へ、前記ログイン要求の正当性を確認するための情報を含む電子情報を送出する手段と、を備える。
【0009】
好適な実施形態では、前記受付手段は、前記第1のユーザの識別情報をさらに受け付け、前記ログイン要求受付装置は、前記ユーザ識別情報と前記第2のユーザの通信装置とを対応づけて記憶した記憶手段をさらに備える。
【0010】
さらに、前記第2のユーザは、前記第1のユーザを管理または監督する者であってもよい。
【0011】
本発明の一つの態様に従うアクセス管理装置は、コンピュータシステムに対してアクセスを希望するユーザから、前記ユーザの識別情報と、アクセス希望の理由を示す情報とを受け付ける受付手段と、前記ユーザ識別情報に予め対応づけられている通信装置へ、前記ユーザを特定するための情報および前記アクセス希望の理由を示す情報を含む電子情報を送出する手段と、前記受付手段が前記ユーザ識別情報および前記アクセス希望の理由を示す情報の入力を受け付けると、前記ユーザに対して前記コンピュータシステムへのアクセスを許可するアクセス管理手段と、を備える。
【0012】
好適な実施形態では、前記受付手段は、アクセス希望時間をさらに受け付け、前記ユーザが前記保護対象システムへアクセスした時間が前記アクセス希望時間を経過すると、前記アクセス管理手段はそのアクセスを切断する。
【0013】
好適な実施形態では、前記通信装置から送信された電子情報を受信する受信手段をさらに備え、前記受信手段が前記通信装置からアクセス不許可を示す電子情報を受信すると、前記アクセス管理手段は前記コンピュータシステムへのアクセスを切断する。
【0014】
好適な実施形態では、前記ユーザについて、第1および第2の認証を行う認証手段をさらに備え、前記受付手段は、前記第1および第2の認証に必要な情報をさらに受け付ける。
【0015】
好適な実施形態では、前記受付手段は、前記ユーザの前記コンピュータシステムへの過去のアクセスに関する情報の入力を受け付け、前記第1の認証は、前記ユーザ識別情報に基づく認証であり、前記第2の認証は、前記過去のアクセスに関する情報に基づく認証である。
【0016】
本発明の一つの態様に従うアクセス管理装置は、コンピュータシステムに対してアクセスを希望するユーザから、前記ユーザの識別情報と、アクセス希望の理由を示す情報とを受け付ける受付手段と、前記ユーザ識別情報に予め対応づけられている通信装置へ、前記ユーザを特定するための情報および前記アクセス希望の理由を示す情報を含む電子情報を送出する手段と、前記通信装置から送信された電子情報を受信する受信手段と、前記受信手段が受信した電子情報が、前記コンピュータシステムに対するアクセスを許可することを示す情報であれば、前記ユーザに対して前記コンピュータシステムへのアクセスを許可するアクセス管理手段と、を備える。
【発明を実施するための最良の形態】
【0017】
以下、本発明を適用した一実施形態に係るシステムついて、図面を用いて説明する。
【0018】
本システムの全体構成を図1に示す。本システムは、権限あるユーザ以外のユーザに対してアクセスを制限して、コンピュータシステムを保護するために、ユーザの認証および監視を行うための認証サーバ1を備える。保護すべきコンピュータシステムの好適な例として、本実施形態では企業の社内ネットワーク9を用いて説明する。社内ネットワーク9へアクセスできるのは、その企業の社員等の予め定められている者である。社員等が社内ネットワーク9へアクセスしたいときは、ユーザ端末2からインターネットなどのネットワーク3を介して認証サーバ1へログイン要求をする。このログイン要求が許可されると、そのユーザは社内ネットワーク9へアクセスすることができる。
【0019】
また、社内ネットワーク9へのアクセス要求の正当性の確認等のため、認証サーバ1はアクセス要求をしたユーザを管理する管理者の携帯電話機5との間で、ネットワーク3、無線基地局4および携帯電話機用無線電話網(図示しない)を通じてデータの送受信を行う。
【0020】
ここで、「管理者」は「ユーザ」を直接的、または間接的に管理、監督、監視、あるいは指導する立場にある者を含む。典型的には「管理者」と「ユーザ」とは、いわゆる上司と部下の関係であるが、必ずしもこれに限定されない。たとえば、「ユーザ」が外注先の社員であるときは、「管理者」は外注元の社員でもよいし、「ユーザ」と「管理者」とが相互に相手の行動を監視しあう立場でもよい。
【0021】
認証サーバ1およびユーザ端末2は、いずれも例えば汎用的なコンピュータシステムにより構成され、以下に説明する個々の構成要素または機能は、例えば、コンピュータプログラムを実行することにより実現される。また、携帯電話機5は、必ずしも現在実用されているタイプの携帯電話機でなければならないわけではなく、例えば電子メールやWWWによるインターネット通信機能を有する携帯型およびデスクトップのパーソナルコンピュータやPDA(パーソナルデータアシスタント)や現在のものから将来的に進化した携帯電話機等の他のタイプの携帯通信機器で置き換えられてもよい。
【0022】
認証サーバ1は、ネットワークインタフェース部11と、ログイン処理部12と、Webページ13と、管理者インタフェース14と、管理者テーブル15と、アクセス監視部16と、ユーザテーブル18と、アクセスログ19とを備える。
【0023】
ネットワークインタフェース部11は、ネットワーク3に対するデータの入出力を制御する。さらに、ネットワークインタフェース部11は、社内ネットワーク9へアクセスが許可されたユーザの通信記録(アクセス先や利用サービス)をアクセスログ19に記録する。アクセスログ19は、例えば、ユーザID、利用時間、容量、アクセス先の識別情報(アドレス等)、送受信コマンド、応答コード、送受信文字列等をデータ項目に含む。
【0024】
ユーザテーブル18は、社内ネットワーク9へアクセスする権限を有するユーザの個人情報を記憶する。たとえば、ユーザテーブル18は、図2(a)に示すように、ユーザID181と、パスワード182と、電子メールアドレス183とをデータ項目として有する。アクセス要求を受けたときに、ログイン処理部12がこのユーザテーブル18を参照してユーザ認証を行う。電子メールアドレス183は、社内ネットワーク9内(社内)の電子メールアドレスである。ユーザID181のユーザがユーザ端末2からログインしたとき、ログイン処理部12が電子メールアドレス183へログインの事実を通知するための電子メールを送信する。
【0025】
管理者テーブル15は、ユーザテーブル18に登録されているユーザの管理者を示す情報が登録されている。例えば、管理者テーブル15には、図2(b)に示すように、ユーザID151と、管理者の電子メールアドレス152、153とが対応づけて記憶されている。ここで、管理者の電子メールアドレスが複数あるのは、以下の理由による。すなわち、後述するように、管理者インタフェース14がこの管理者テーブル15を参照して管理者の携帯電話機5へ電子メールを送信する。このとき、複数の電子メールアドレスの中で予め優先順位を定めておき、順位の高い電子メールアドレスから順に送信し、送信できない場合に下位の電子メールアドレスへ送信するようにしてもよい。
【0026】
Webページ13は、認証サーバ1へアクセスしたユーザから情報の入力を受け付けたり、ユーザに情報を提供したりする。Webページ13の一例が図3に示すログイン申請画面100である。ログイン申請画面100の詳細については後述する。
【0027】
ログイン処理部12は、ユーザ端末2からアクセス要求を受け付けたとき、その要求を許可するかどうかを決定する。
【0028】
例えば、社内ネットワーク9へログインを希望するユーザが、ユーザ端末2から認証サーバ1へアクセスすると、ログイン申請画面100がユーザ端末2の図示しない表示部に表示される。そして、ログイン申請画面100から入力された情報を認証サーバ1が受け付ける。
【0029】
ここで、ログイン申請画面100の一例を図3に示す。ログイン申請画面100は、ユーザIDの入力領域101およびパスワードの入力領域102を有する。ログイン処理部12は、ここで入力されたユーザIDおよびパスワードをユーザテーブル18に予め記憶されているものと照合してユーザ認証を行う。ユーザ認証の結果、正規のユーザであることが確認されたら、ログイン処理部12はログインを許可するようにしてもよい。あるいは、後述するようにユーザIDおよびパスワードによる認証に加え、管理者からのログイン許可通知があったときにログインを許可するようにしてもよい。さらに、後述するような追加認証を行ってもよい。
【0030】
ログイン申請画面100は、ログインの付加情報の入力を受け付ける領域をさらに有する。つまり、ログイン申請画面100は、ログインした状態を継続する予定時間(アクセスを希望する時間)の入力領域103と、社内ネットワーク9内のどこへアクセスするか(アクセス先)、または何をするか(利用サービス)を選択するための入力領域104と、ログインする理由の入力領域105とを有する。ログイン付加情報に含まれる項目の一部または全部で、ログイン要求の正当性を確認することができる。ここで入力されたログイン付加情報の一部または全部が、後述するようにログインするユーザの管理者の携帯電話機5へ電子メール等で送信される(図4参照)。
【0031】
ここで入力されたログイン付加情報は、図示しない記憶部に記憶される。このとき、入力領域104に入力された情報は、アクセス先のサーバ名またはURL(Uniform Resource Locator)等、アクセス先を一意に識別可能な情報に置き換えられた後、記憶部に記憶するようにしてもよい。
【0032】
また、ログイン処理部12は、一度社内ネットワーク9へのアクセスを許可した場合であっても、アクセス監視部16または管理者インタフェース14から指示を受けたときなど、所定の場合にはそれを取り消して通信を切断する。
【0033】
管理者インタフェース14は、社内ネットワーク9へログインを希望するユーザの管理者との間で情報を送受信する。例えば、管理者インタフェース14は、電子メール機能を備える。そして、ログイン申請画面100に入力されたログイン付加情報を含むテキストファイルを生成して、アクセス要求をしたユーザの管理者の通信装置5へネットワークインタフェース11を介して送信する。このとき、送信先の電子メールアドレスは、管理者インタフェース14が、管理者テーブル15を参照してアクセス要求をしたユーザのIDと対応する管理者の携帯電話機5の電子メールアドレス152,153を取得する。
【0034】
図4は、上記電子メールを受信した管理者の携帯電話機5にログイン付加情報を表示したときの一例である。つまり、携帯電話機5の表示部51に受信した電子メールの内容が表示される。ここで、付加情報と併せて、アクセス要求をしたユーザを特定するための情報も含まれている。ユーザを特定するための情報は、受信した管理者がユーザを特定するのに十分な情報であればよい。例えば、ユーザID、ユーザ名(ニックネーム、イニシャル等を含む)、あるいは所属部署とユーザ名の組み合わせなどでもよい。
【0035】
また、管理者インタフェース14は、後述するようなアクセス監視部16からのメール通知指示を受けたときも、管理者のメールアドレスへ電子メールを送信する。
【0036】
管理者は、携帯電話機5を操作して、受信した電子メールに対する返信メールを送ることができる。返信メールには、ログイン許可、または不許可を示す情報を添付できる。管理者インタフェース14はこの返信メールを受信し、返信メールがログイン許可を示すときはその旨を、ログイン不許可を示すときはその旨または切断指示をログイン処理部12へ通知する。
【0037】
アクセス監視部16は、アクセスログ19を参照してユーザのアクセスを監視する。そして、予め申告したアクセス先と異なるところへアクセスしたときなど、不正なアクセスを検出したときは、ログイン処理部12へ切断指示をする。アクセス監視部16の処理の詳細は後述する。
【0038】
以上に説明した構成を備える認証サーバ1が行う処理の手順について、図5〜図8のフローチャートを用いて説明する。
【0039】
認証サーバ1の処理は、図5に示すように、ユーザのログインを許可するかどうかを判定するログイン処理S1と、ログインが許可された後、ユーザが社内ネットワーク9へアクセスしている間に行うアクセス中処理S2とに分かれる。
【0040】
認証サーバ1はログイン処理S1として以下の処理を行う。すなわち、社内ネットワーク9へログインを希望するユーザが、ユーザ端末2から認証サーバ1へアクセスすると、これを受け付けてユーザ端末2にログイン申請画面100を表示させる。ユーザが、ログイン申請画面100の各入力項目に必要な情報を入力してログイン申請を行う(S11)。このログイン申請を受け付けると、ログイン処理部12が入力されたユーザIDおよびパスワードと、ユーザテーブル18に登録されているユーザIDおよびパスワードとを照合して、ユーザ認証を行う(S12)。ユーザIDおよびパスワードが一致すると、管理者インタフェース14が、ログイン付加情報を含むテキストファイルを生成する。そして、管理者テーブル15を参照して、ユーザIDに対応する管理者の電子メールアドレス152を取得する。管理者インタフェース14は、生成されたテキストファイルを電子メール機能を利用して管理者へ送信する(S13)。なお、ステップS12とステップS13とは順序が逆でもよい。つまり、ステップS13をステップS12より先に行ってもよい。
【0041】
これにより、アクセスを要求するユーザにはログイン付加情報を入力させ、これをそのユーザの管理者へ通知することができる。ログイン付加情報の通知を受けた管理者は、自分の部下が外部から社内ネットワーク9へログインするために、付加情報としてどのようなことを申請しているか、リアルタイムで確認することができる。この結果、管理者は部下の申請内容が、その部下の業務や直近の行動に照らして矛盾しないかを確認できる。
【0042】
なお、ログイン付加情報は、本実施形態で例示する項目以外に、社内ネットワーク9へのアクセス要求の正当性を管理者が確認できるような情報であれば、他の項目に関する情報を入力させてもよい。
【0043】
次に、認証サーバ1は、アクセス中処理S2として以下の処理を行う。すなわち、図示しない計時部が、ユーザが実際にログインしている時間を計測し、自己申告したログイン予定時間と対比して残り時間を求め、ユーザ端末2に表示させる(S21)。社内ネットワーク9へのログインが許可されている間に、ユーザからログイン時間の延長を求める再申請があるとステップS1のログイン処理を繰り返し(S22:Yes)、再申請された時間を残り時間に追加する。再申請がないときは、ログイン処理部12が実際にアクセスしている時間が申請されたアクセス時間を超過していないか監視する(S23)。そして、実際のログイン時間が申請された時間を超過したとき、ログイン処理部12が強制的にアクセスを遮断する(S24)。
【0044】
なお、アクセスの強制切断の前に、残り時間が所定の時間(たとえば、2分)以下になったところで、警告をしてもよい。また、ステップS22で再申請があったとき、ログイン処理S1の繰り返しは省略してもよい。
【0045】
次に、ログイン処理S1は、図5に示した処理以外に、以下のような処理でもよい。例えば、図6はログイン処理S1の他の態様について示す。この態様では、ログインに当たり管理者の承認を必要とする。すなわち、ステップS11〜S13のあとに、ログイン許可通知を受信するとログインを許可するステップS14を追加してもよい。このログイン許可通知は、例えば、ステップS13でログイン付加情報を送信した管理者の携帯電話機5からの返信メールである。ステップS14では、所定時間内に返信メールを受信しない場合や、ログインを許可しない旨の電子メールを受信したときは、ログイン処理部12はそのアクセス要求を許可しない(S14:No)。
【0046】
この態様では、管理者が携帯電話機5でログイン付加情報の通知を受けると、この内容を確認して、管理者がそのログインを許可するかどうかを判断する。これにより、不審なログイン要求は未然に拒否することができる。
【0047】
また、図6の態様のようにログインに管理者の承認を必要とするかどうかは、ログインをするユーザ、あるいはアクセス先または利用サービスに応じて定めてもよい。この場合は、ユーザに与えられている権限あるいは担当業務、アクセス先等の機密の高さなどに応じて、管理者承認の要否を定めてもよい。
【0048】
ログイン処理S1のさらに別の態様について図7に示す。この態様では、ステップS12とS13との間にユーザの追加認証を行うステップS15が挿入されている。追加認証とは、ステップS12のユーザIDおよびパスワードによる認証に加えて行われる認証で、ログイン処理部12が行う。例えば、過去の通信記録に関する情報(前回のログイン時の理由など)をログイン申請時に入力させ、ログイン処理部12がアクセスログ19に記録されている情報と照合する。この場合、ログイン申請画面100に入力領域をさらに設けて入力させるようにしてもよい。
【0049】
なお、ステップS12のユーザ認証は、ユーザIDおよびパスワードによる認証を、電子証明書による認証またはワンタイムパスワードによる認証と置き換えることもできるし、これらの2つ以上を併用して適用することもできる。
【0050】
次に、アクセス中処理S2についても同様に、図5に示した処理以外の処理を行うこともできる。他の処理態様の例を図8に示す。
【0051】
この処理態様では、切断指示を受けたかどうかの判断を行うステップS25が追加されている。このステップS25は、アクセス監視部16または管理者の携帯電話機5から切断指示を受けたかどうかを判定する。そして、切断指示があったときは、ログイン処理部12がステップS24で強制的に切断する。これにより、アクセス監視部16が例えば不正アクセスを検出したとき、あるいは管理者が不正なアクセスであると判断したときに、その時点で強制的にそのユーザのアクセスを切断することができる。
【0052】
次に、アクセス監視部16が行う処理の詳細について説明する。なお、以下の処理は、複数のユーザが社内ネットワーク9へアクセスしている場合は、ユーザIDをキーにしてユーザごとに行う。
【0053】
アクセス監視部16は、ログイン時にユーザによって申告されたログイン付加情報とアクセスログ19とを比較する。この比較は、例えば、ログイン付加情報の各項目ごとに行い、アクセスログ19に記録されたアクセス先の識別情報とが、ログイン付加情報のアクセス先とが一致するかどうかを判定する。ここで、現実のアクセス先が申告されたアクセス先と一致しない場合、直ちに不正アクセスとしてもよいが、本実施形態では、不一致の回数が所定のしきい値を越えたときに不正アクセスとして検出する。
【0054】
これにより、自己申告とは異なるアクセスを繰り返すと不正なアクセスとして検出される。
【0055】
また、現実のアクセス先に応じて重要度を予め設定しておき(例えば図9参照)、その重要度に応じて不正アクセスとして検出するためのしきい値を定めてもよい。つまり、重要度が高いアクセス先は、重要度が低いアクセス先よりも、少ない(不一致)検出回数で不正アクセスと認定する。
【0056】
図9には、アクセス先別に重要度、および不正アクセス検出のしきい値が定義された重要度定義テーブル50を示す。このテーブル50は、例えば、アクセス監視部16内の図示しない記憶領域に記憶されている。
【0057】
アクセス監視部16は、さらに、上記のアクセス先に基づく不正アクセス判定に加え、またはこれとは別に、ユーザが行っているアクセスの態様が、予め定めた不審な行為の類型に含まれるかどうかを判定する。この判定は、アクセス監視部16がアクセスログ19に記憶された内容を分析し、ユーザのアクセスの態様(ユーザが行っている行為)を特定する。そして、そのアクセス態様が不審なアクセスの類型(不審な行為)に属するかどうかを判別する。ここで、不審な行為とは、例えば、一般的に不正と思われるアクセス方法、または、ログイン付加情報に含まれる目的に照らし、その目的とは明らかに異なる行為、あるいはその目的とは関係ないと思われるような行為を含む。一般的に不正と思われるアクセス方法とは、例えば、連続してパスワードエラーを発生させる行為(応答コードを参照して判定する)、および所定時間内に所定数以上のサーバへアクセスするスキャン行為(IPアドレスの末尾を1から100まで順に辿るなど、実在しないサーバも含めてスキャンする行為)などである。不審な行為の中でも、さらに、危険度に応じて予めレベルを設定しておいてもよい。
【0058】
これにより、ユーザ認証をクリアしてログインしたときでも、不審な行為を行うと不正なアクセスとして検出される。
【0059】
ここで、不正なアクセス先を検出したときと同様に、不審な行為を検出すると直ちに不正アクセスとしてもよいが、本実施形態では、不審な行為の回数が所定のしきい値を越えたときに不正アクセスとして検出する。さらに、不正な行為の危険度に応じて不正アクセスとして検出するためのしきい値を定めてもよい(例えば図10)。つまり、危険度の高い不審な行為を検出したときは、危険度が低いものよりも少ない回数で不正アクセスと認定する。
【0060】
図10には、不審な行為別に危険度、および不正アクセス検出のしきい値が定義された危険度定義テーブル60を示す。このテーブル60は、例えば、アクセス監視部16内の図示しない記憶領域に記憶されている。
【0061】
上述のようにして不正アクセスを検出したと判断したときは、アクセス監視部16は、予め定められた所定の処理(対策)を実行する。例えば、アクセス監視部16は、不正アクセスを行っているユーザの管理者のメールアドレス(社内ネットワーク9内の通常のメールアドレス、または携帯電話機5のメールアドレス)へ電子メールで通知するよう管理者インタフェース14へ指示したり、強制的にアクセスを切断するためにログイン処理部12へ切断指示をしたりする。管理者へ通知する電子メールには、検出された不正アクセスを行っているユーザを特定するための情報および不正アクセスの内容などが含まれる。
【0062】
アクセス監視部16が行う対策は、現実のアクセス先または不審な行為に基づいて定めてもよいし、所定のルールに基づいて、その時々で定めて行ってもよい。所定のルールの一例を、図11および図12を用いて説明する。すなわち、図11は、示すアクセス先の重要度と不審な行為の危険度とから対策レベルを定めるマトリックス70を示し、図12は、ユーザID別の対策レベルに応じた対策テーブル80を示す。このマトリックス70および対策テーブル80は、いずれも、例えば、アクセス監視部16内の図示しない記憶領域に記憶されている。
【0063】
まず、アクセス監視部16がマトリックス70を用いて対策レベルを定める。対策レベルが定まると、対策テーブル80を参照し、ユーザID応じて実施する対策が定まる。
【0064】
次に、アクセス中処理S2として行われるアクセス先を監視するときの処理手順を、図13に示すフローチャートを用いて説明する。
【0065】
まず、アクセス監視部16が、図示しない記憶部に記憶されているログイン付加情報およびアクセスログ19を参照して、アクセス先がユーザが自己申告したアクセス先と一致するかどうかを判定する(S31,S32)。
【0066】
現実のアクセス先が申告したものと一致しない場合(S32:No)、アクセス先別の回数をカウントするためのカウンタをカウントアップする(S33)。そして、アクセス監視部16は、そのカウンタのカウント値が所定のしきい値を越えたかどうかを判定する(S34)。所定のしきい値を越えていた場合は(S34:Yes)、アクセス監視部16は、所定の対策または所定のルールに基づいて定まる対策を実施する(S35)。
【0067】
また、アクセス行為が不正なものであるかどうかの判定を行うときの処理手順を、図14に示すフローチャートを用いて説明する。
【0068】
まず、アクセス監視部16がアクセスログ19を参照して、ユーザの行為を分析ながら監視する(S36)。そして、ユーザが不審な行為を行っていることを検出すると(S37:Yes)、行為別の回数をカウントするためのカウンタをカウントアップする(S38)。アクセス監視部16は、そのカウンタのカウント値が所定のしきい値を越えたかどうかを判定する(S39)。所定のしきい値を越えていた場合は(S39:Yes)、アクセス監視部16は、所定の対策または所定のルールに基づいて定まる対策を実施する(S40)。
【0069】
上述した本発明の実施形態は、本発明の説明のための例示であり、本発明の範囲をそれらの実施形態にのみ限定する趣旨ではない。当業者は、本発明の要旨を逸脱することなしに、他の様々な態様で本発明を実施することができる。
【図面の簡単な説明】
【0070】
【図1】本発明を適用したユーザ認証システムの構成図である。
【図2】管理者テーブルおよびユーザテーブルのデータ項目の一例を示す図である。
【図3】ログイン申請画面の一例を示す図である。
【図4】携帯電話機5が受信した電子メールの内容を表示したときの一例を示す図である。
【図5】認証サーバが行う処理の一例を示すフローチャートである。
【図6】ログイン処理の他の態様を示すフローチャートである。
【図7】ログイン処理の他の態様を示すフローチャートである。
【図8】アクセス中処理の態様を示すフローチャートである。
【図9】重要度定義テーブルの一例を示す図である。
【図10】危険度定義テーブルの一例を示す図である。
【図11】対策レベルを定めるマトリックスの一例を示す図である。
【図12】ユーザID別対策テーブルの一例を示す図である。
【図13】アクセス先を監視するための処理の態様を示すフローチャートである。
【図14】不正な行為を判定するための処理の態様を示すフローチャートである。
【符号の説明】
【0071】
1…認証サーバ、2…ユーザ端末、3…ネットワーク、4…無線基地局、5…携帯電話機、9…社内ネットワーク、11…ネットワークインタフェース部、12…ログイン処理部、13…Webページ、14…管理者インタフェース、15…管理者テーブル、16…アクセス監視部、18…ユーザテーブル、19…アクセスログ。50…重要度定義テーブル、60…危険度定義テーブル、70…対策レベルを定めるマトリックス、80…ユーザID別対策テーブル。
【特許請求の範囲】
【請求項1】
コンピュータシステムに対する第1のユーザからのログイン要求、および第2のユーザが前記ログイン要求の正当性を確認するための情報の入力を受け付ける受付手段と、
前記第1のユーザに予め対応づけられている前記第2のユーザの通信装置へ、前記ログイン要求の正当性を確認するための情報を含む電子情報を送出する手段と、を備えるコンピュータシステムに対するログイン要求受付装置。
【請求項2】
前記受付手段は、前記第1のユーザの識別情報をさらに受け付け、
前記ログイン要求受付装置は、前記ユーザ識別情報と前記第2のユーザの通信装置とを対応づけて記憶した記憶手段をさらに備える請求項1記載のログイン要求受付装置。
【請求項3】
前記第2のユーザは、前記第1のユーザを管理または監督する者である請求項1記載のログイン要求受付装置。
【請求項4】
コンピュータシステムに対してアクセスを希望するユーザから、前記ユーザの識別情報と、アクセス希望の理由を示す情報とを受け付ける受付手段と、
前記ユーザ識別情報に予め対応づけられている通信装置へ、前記ユーザを特定するための情報および前記アクセス希望の理由を示す情報を含む電子情報を送出する手段と、
前記受付手段が前記ユーザ識別情報および前記アクセス希望の理由を示す情報の入力を受け付けると、前記ユーザに対して前記コンピュータシステムへのアクセスを許可するアクセス管理手段と、を備えるアクセス管理装置。
【請求項5】
前記受付手段は、アクセス希望時間をさらに受け付け、
前記ユーザが前記保護対象システムへアクセスした時間が前記アクセス希望時間を経過すると、前記アクセス管理手段はそのアクセスを切断する請求項4記載のアクセス管理装置。
【請求項6】
前記通信装置から送信された電子情報を受信する受信手段をさらに備え、
前記受信手段が前記通信装置からアクセス不許可を示す電子情報を受信すると、前記アクセス管理手段は前記コンピュータシステムへのアクセスを切断する請求項4記載のアクセス管理装置。
【請求項7】
前記ユーザについて、第1および第2の認証を行う認証手段をさらに備え、
前記受付手段は、前記第1および第2の認証に必要な情報をさらに受け付ける請求項4記載のアクセス管理装置。
【請求項8】
前記受付手段は、前記ユーザの前記コンピュータシステムへの過去のアクセスに関する情報の入力を受け付け、
前記第1の認証は、前記ユーザ識別情報に基づく認証であり、
前記第2の認証は、前記過去のアクセスに関する情報に基づく認証である請求項7記載のアクセス管理装置。
【請求項9】
コンピュータシステムに対してアクセスを希望するユーザから、前記ユーザの識別情報と、アクセス希望の理由を示す情報とを受け付ける受付手段と、
前記ユーザ識別情報に予め対応づけられている通信装置へ、前記ユーザを特定するための情報および前記アクセス希望の理由を示す情報を含む電子情報を送出する手段と、
前記通信装置から送信された電子情報を受信する受信手段と、
前記受信手段が受信した電子情報が、前記コンピュータシステムに対するアクセスを許可することを示す情報であれば、前記ユーザに対して前記コンピュータシステムへのアクセスを許可するアクセス管理手段と、を備えるアクセス管理装置。
【請求項10】
コンピュータシステムに対するログイン要求を受け付ける装置の動作のための方法であって、
コンピュータシステムに対する第1のユーザからのログイン要求、および第2のユーザが前記ログイン要求の正当性を確認するための情報の入力を受け付けるステップと、
前記第1のユーザに予め対応づけられている、前記第2のユーザの通信装置へ、前記ログイン要求の正当性を確認するための情報を含む電子情報を送出するステップと、を備えるログイン要求の受付方法。
【請求項11】
コンピュータに実行されたとき、
コンピュータシステムに対する第1のユーザからのログイン要求、および第2のユーザが前記ログイン要求の正当性を確認するための情報の入力を受け付けるステップと、
前記第1のユーザに予め対応づけられている、前記第2のユーザの通信装置へ、前記ログイン要求の正当性を確認するための情報を含む電子情報を送出するステップと、を行うコンピュータシステムに対するログイン要求受付のためのコンピュータプログラム。
【請求項12】
コンピュータシステムに対するアクセス要求を管理する装置の動作のための方法であって、
コンピュータシステムに対してアクセスを希望するユーザから、前記ユーザの識別情報と、アクセス希望の理由を示す情報とを受け付けるステップと、
前記ユーザ識別情報に予め対応づけられている通信装置へ、前記ユーザを特定するための情報および前記アクセス希望の理由を示す情報を含む電子情報を送出するステップと、
前記ユーザ識別情報および前記アクセス希望の理由を示す情報の入力を受け付けると、前記ユーザに対して前記コンピュータシステムへのアクセスを許可するステップ、を備えるアクセス要求の管理方法。
【請求項13】
コンピュータに実行されたとき、
コンピュータシステムに対してアクセスを希望するユーザから、前記ユーザの識別情報と、アクセス希望の理由を示す情報とを受け付けるステップと、
前記ユーザ識別情報に予め対応づけられている通信装置へ、前記ユーザを特定するための情報および前記アクセス希望の理由を示す情報を含む電子情報を送出するステップと、
前記ユーザ識別情報および前記アクセス希望の理由を示す情報の入力を受け付けると、前記ユーザに対して前記コンピュータシステムへのアクセスを許可するステップ、を行うコンピュータシステムに対するアクセス要求管理のためのコンピュータプログラム。
【請求項1】
コンピュータシステムに対する第1のユーザからのログイン要求、および第2のユーザが前記ログイン要求の正当性を確認するための情報の入力を受け付ける受付手段と、
前記第1のユーザに予め対応づけられている前記第2のユーザの通信装置へ、前記ログイン要求の正当性を確認するための情報を含む電子情報を送出する手段と、を備えるコンピュータシステムに対するログイン要求受付装置。
【請求項2】
前記受付手段は、前記第1のユーザの識別情報をさらに受け付け、
前記ログイン要求受付装置は、前記ユーザ識別情報と前記第2のユーザの通信装置とを対応づけて記憶した記憶手段をさらに備える請求項1記載のログイン要求受付装置。
【請求項3】
前記第2のユーザは、前記第1のユーザを管理または監督する者である請求項1記載のログイン要求受付装置。
【請求項4】
コンピュータシステムに対してアクセスを希望するユーザから、前記ユーザの識別情報と、アクセス希望の理由を示す情報とを受け付ける受付手段と、
前記ユーザ識別情報に予め対応づけられている通信装置へ、前記ユーザを特定するための情報および前記アクセス希望の理由を示す情報を含む電子情報を送出する手段と、
前記受付手段が前記ユーザ識別情報および前記アクセス希望の理由を示す情報の入力を受け付けると、前記ユーザに対して前記コンピュータシステムへのアクセスを許可するアクセス管理手段と、を備えるアクセス管理装置。
【請求項5】
前記受付手段は、アクセス希望時間をさらに受け付け、
前記ユーザが前記保護対象システムへアクセスした時間が前記アクセス希望時間を経過すると、前記アクセス管理手段はそのアクセスを切断する請求項4記載のアクセス管理装置。
【請求項6】
前記通信装置から送信された電子情報を受信する受信手段をさらに備え、
前記受信手段が前記通信装置からアクセス不許可を示す電子情報を受信すると、前記アクセス管理手段は前記コンピュータシステムへのアクセスを切断する請求項4記載のアクセス管理装置。
【請求項7】
前記ユーザについて、第1および第2の認証を行う認証手段をさらに備え、
前記受付手段は、前記第1および第2の認証に必要な情報をさらに受け付ける請求項4記載のアクセス管理装置。
【請求項8】
前記受付手段は、前記ユーザの前記コンピュータシステムへの過去のアクセスに関する情報の入力を受け付け、
前記第1の認証は、前記ユーザ識別情報に基づく認証であり、
前記第2の認証は、前記過去のアクセスに関する情報に基づく認証である請求項7記載のアクセス管理装置。
【請求項9】
コンピュータシステムに対してアクセスを希望するユーザから、前記ユーザの識別情報と、アクセス希望の理由を示す情報とを受け付ける受付手段と、
前記ユーザ識別情報に予め対応づけられている通信装置へ、前記ユーザを特定するための情報および前記アクセス希望の理由を示す情報を含む電子情報を送出する手段と、
前記通信装置から送信された電子情報を受信する受信手段と、
前記受信手段が受信した電子情報が、前記コンピュータシステムに対するアクセスを許可することを示す情報であれば、前記ユーザに対して前記コンピュータシステムへのアクセスを許可するアクセス管理手段と、を備えるアクセス管理装置。
【請求項10】
コンピュータシステムに対するログイン要求を受け付ける装置の動作のための方法であって、
コンピュータシステムに対する第1のユーザからのログイン要求、および第2のユーザが前記ログイン要求の正当性を確認するための情報の入力を受け付けるステップと、
前記第1のユーザに予め対応づけられている、前記第2のユーザの通信装置へ、前記ログイン要求の正当性を確認するための情報を含む電子情報を送出するステップと、を備えるログイン要求の受付方法。
【請求項11】
コンピュータに実行されたとき、
コンピュータシステムに対する第1のユーザからのログイン要求、および第2のユーザが前記ログイン要求の正当性を確認するための情報の入力を受け付けるステップと、
前記第1のユーザに予め対応づけられている、前記第2のユーザの通信装置へ、前記ログイン要求の正当性を確認するための情報を含む電子情報を送出するステップと、を行うコンピュータシステムに対するログイン要求受付のためのコンピュータプログラム。
【請求項12】
コンピュータシステムに対するアクセス要求を管理する装置の動作のための方法であって、
コンピュータシステムに対してアクセスを希望するユーザから、前記ユーザの識別情報と、アクセス希望の理由を示す情報とを受け付けるステップと、
前記ユーザ識別情報に予め対応づけられている通信装置へ、前記ユーザを特定するための情報および前記アクセス希望の理由を示す情報を含む電子情報を送出するステップと、
前記ユーザ識別情報および前記アクセス希望の理由を示す情報の入力を受け付けると、前記ユーザに対して前記コンピュータシステムへのアクセスを許可するステップ、を備えるアクセス要求の管理方法。
【請求項13】
コンピュータに実行されたとき、
コンピュータシステムに対してアクセスを希望するユーザから、前記ユーザの識別情報と、アクセス希望の理由を示す情報とを受け付けるステップと、
前記ユーザ識別情報に予め対応づけられている通信装置へ、前記ユーザを特定するための情報および前記アクセス希望の理由を示す情報を含む電子情報を送出するステップと、
前記ユーザ識別情報および前記アクセス希望の理由を示す情報の入力を受け付けると、前記ユーザに対して前記コンピュータシステムへのアクセスを許可するステップ、を行うコンピュータシステムに対するアクセス要求管理のためのコンピュータプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【公開番号】特開2007−226827(P2007−226827A)
【公開日】平成19年9月6日(2007.9.6)
【国際特許分類】
【出願番号】特願2007−112931(P2007−112931)
【出願日】平成19年4月23日(2007.4.23)
【分割の表示】特願2003−1391(P2003−1391)の分割
【原出願日】平成15年1月7日(2003.1.7)
【出願人】(000155469)株式会社野村総合研究所 (1,067)
【Fターム(参考)】
【公開日】平成19年9月6日(2007.9.6)
【国際特許分類】
【出願日】平成19年4月23日(2007.4.23)
【分割の表示】特願2003−1391(P2003−1391)の分割
【原出願日】平成15年1月7日(2003.1.7)
【出願人】(000155469)株式会社野村総合研究所 (1,067)
【Fターム(参考)】
[ Back to top ]