使用管理システムおよび使用管理方法
【課題】コストをかけず、確実に使用を管理することが可能な使用管理システム等を提供する。
【解決手段】管理対象ネットワーク2は、企業等の単一の管理主体によって管理され、インターネット等の外部ネットワークに対して閉じているネットワークである。サーバ3は、管理対象ネットワーク2に対して、端末5の使用を許可することを示す端末使用許可情報を所定の送信間隔時間ごとに同報送信する。端末5は、サーバ3から同報送信される情報を受信し、端末使用許可情報を受信した場合にはパケット認証成功とする。更に他の種類の認証処理を実行し、それらの認証結果と予め設定された安全指数に応じてセキュリティレベルを判定し、セキュリティレベルに応じて使用可、機能制限付き使用可、或いは使用不可のいずれかの状態に遷移する。
【解決手段】管理対象ネットワーク2は、企業等の単一の管理主体によって管理され、インターネット等の外部ネットワークに対して閉じているネットワークである。サーバ3は、管理対象ネットワーク2に対して、端末5の使用を許可することを示す端末使用許可情報を所定の送信間隔時間ごとに同報送信する。端末5は、サーバ3から同報送信される情報を受信し、端末使用許可情報を受信した場合にはパケット認証成功とする。更に他の種類の認証処理を実行し、それらの認証結果と予め設定された安全指数に応じてセキュリティレベルを判定し、セキュリティレベルに応じて使用可、機能制限付き使用可、或いは使用不可のいずれかの状態に遷移する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コンピュータの使用を適切に管理する使用管理システム等に関するものである。
【背景技術】
【0002】
企業等では、社員一人一人に一台のコンピュータを配布することが多い。営業秘密や個人情報などの情報漏洩を防止するため、通常、コンピュータの使用は、企業等の施設内に限られる。
しかしながら、ノート型PC(パーソナルコンピュータ)など容易に持ち運びが出来るコンピュータの場合、社員は自宅などに持ち帰ってしまうことがある。社員の自宅などでは、企業等の施設内にて使用される場合のセキュリティポリシーを適用することができないことから、不正目的の使用を防ぐことができない。また、社員には不正目的の意思がなくても、盗難や紛失などが発生すれば、第三者によって不正目的の使用が行われてしまう。
そこで、企業等の施設外では、コンピュータの使用を制限するための仕組みが望まれる。
【0003】
特許文献1では、RFIDを利用した情報処理端末のセキュリティ管理システムが開示されている。特許文献1の段落0027には、会社の社内等のネットワークのセキュリティ保護が適切に行われている場所では、卓上等に設置されたRFID発信機から利用場所の情報を取得し、情報処理端末の利用時の認証を行うことが記載されている。また、社外に持ち出した際にはRFID発信機から情報を取得できないので、認証を行うことができないことが記載されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2009−237905号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、RFID受信機能は、通常のコンピュータには搭載されていない為、RFID受信機能を有するコンピュータを購入する必要がある。また、会社等の施設が広い場合、多くのRFID発信機を設置する必要がある。そうすると、数多くの社員を有する企業においては、特許文献1に記載のシステムを導入することはコストの面で現実的ではない。
また、特許文献1に記載の仕組みだけでは、RFID受信機能を有さないコンピュータを使用したいときに認証を行うことができず、不便である。
【0006】
本発明は、前述した問題点に鑑みてなされたもので、その目的とすることは、コストをかけず、確実に使用を管理することが可能な使用管理システム等を提供することである。また、その他の目的は、様々な認証の仕組みを備え、利便性の高い使用管理システム等を提供することである。
【課題を解決するための手段】
【0007】
前述した目的を達成するために第1の発明は、端末と、前記端末と管理対象ネットワークを介して接続されるサーバとから構成され、前記端末の使用を管理する使用管理システムであって、前記サーバは、前記管理対象ネットワークに対して、前記端末の使用を許可することを示す許可情報を間欠的に同報送信する同報送信手段、を具備し、前記端末は、同報送信される情報を受信する同報受信手段と、前記同報受信手段によって前記許可情報を受信したかどうかによるパケット認証を含む、複数種類の認証処理を実行する認証処理手段と、前記認証処理手段による各種認証処理の結果と、各認証処理について予め設定された安全指数とに基づいて端末のセキュリティレベルを判定する判定手段と、前記判定手段により判定されたセキュリティレベルに応じて、使用できる機能を制限して自らを起動する起動手段と、を具備することを特徴とする使用管理システムである。
第1の発明によって、管理対象ネットワークに接続していない状態で端末の使用を試みても、端末を使用することはできないので、管理主体の施設外での不正使用を防止することができる。また、複数の認証処理を組み合わせて実行することでセキュリティレベルをより細かく判定し、各レベルに応じた使用制限をすることが可能となり、柔軟なセキュリティ管理を行える。
【0008】
第1の発明において、前記管理対象ネットワークが、公衆の通信ネットワークを利用して構築される場合、前記端末が具備する認証処理手段は、更に、端末に割り当てられたIPアドレスに基づき当該端末の位置情報を取得し、使用を許可された範囲内にあるかどうかによるIPアドレス認証、および通信接続している基地局から送信される基地局識別情報に基づき当該端末の位置情報を取得し、使用を許可された範囲内にあるかどうかによる基地局認証のうち少なくともいずれか一方または両方を実行し、前記パケット認証、前記IPアドレス認証、および前記基地局認証のうち少なくともいずれかの認証が成功した場合に、前記判定手段によるセキュリティレベルの判定を行うことが望ましい。
これによって、端末を管理主体の施設外に持出し、インターネット等の公衆のネットワークに接続した場合であっても、IPアドレスや基地局の識別情報から端末の位置を割り出して端末の使用を制限または許可できるため、管理対象ネットワークの拡張を低コストに実現できる。また、より柔軟なセキュリティ管理を行える。
【0009】
また、第1の発明において、前記端末は、前記使用可能状態において、所定時間ごとに前記認証処理を実行し、認証処理の結果に基づく前記セキュリティレベルの判定を前記判定手段により行い、所定のセキュリティレベルに達していない場合には、ユーザによって使用できない状態である使用不可能状態、或いは使用できる機能を制限した機能制限状態に自らを遷移させる監視手段、を更に具備することが望ましい。
使用可能状態で端末が管理主体の施設外に持ち運ばれても、端末をそのまま使用することを防止することができる。また、使用可能状態では、端末は管理対象ネットワークに接続されていることになるので、ユーザがセキュリティポリシーを守っているか否かをリアルタイムで監視することもできる。
【0010】
また、第1の発明において、前記管理対象ネットワークが無線通信ネットワークを含む場合、無線基地局が、前記端末の使用を許可することを示す許可情報を間欠的に同報送信する無線同報送信手段を備え、前記端末の前記同報受信手段は、前記無線基地局から同報送信される情報を受信し、前記認証処理手段によるパケット認証処理は、前記無線基地局から同報送信される情報も認証の対象とすることが望ましい。
これによって、端末は無線基地局から同報送信される許可情報を受信して、パケット認証を行えるため、モバイル端末を利用した使用管理システムの構築に好適である。
【0011】
また、第1の発明における前記端末が具備する認証処理手段は、更に、自らのGPS受信部によって受信される位置情報が当該端末の使用を許可する範囲内かどうかの認証であるGPS認証、自らの電波受信部によって受信される電波が当該端末の使用を許可するものかどうかの認証である電波認証、または自らの受光部によって受光される光が当該端末の使用を許可するものかどうかの認証である光認証の少なくとも1つを含むことが望ましい。
これによって、端末のハードウエア構成や使用する環境に適した認証を行うことができ、利便性を高めることができる。特に、様々な認証の仕組みを備えることで、設備に応じた柔軟なセキュリティ管理を行える。
【0012】
また、第1の発明における前記端末は、例えば、自らの記憶部に記憶される情報を自動的に暗号化し、かつ前記使用可能状態では復号して読み取り可能とする情報保護手段、を更に具備し、前記端末が具備する前記同報受信手段および前記起動手段は、前記情報保護手段の一部として実行される。
これによって、仮に記憶部を取り外して、記憶部の解析を試みても、情報を読み取ることはできない。
【0013】
また、第1の発明における前記端末は、例えば、予め定められたセキュリティポリシーに適合しているかどうかを検疫する検疫手段、を更に具備し、前記検疫手段は、前記端末が具備する前記起動手段および前記監視手段の結果を収集し、前記サーバに送信する。
これによって、万が一不正使用が行われた場合であっても、不正使用後に端末が管理対象ネットワークに接続されることで、不正使用の履歴を追跡することができる。
【0014】
第2の発明は、端末と、前記端末と管理対象ネットワークを介して接続されるサーバとによって実行され、前記端末の使用を管理する使用管理方法であって、前記サーバは、前記管理対象ネットワークに対して、前記端末の使用を許可することを示す許可情報を間欠的に同報送信し、前記端末は、同報送信される情報を受信し、前記許可情報を受信したかどうかによるパケット認証を含む、複数種類の認証処理を実行し、各種認証処理の結果と、各認証処理について予め設定された安全指数とに基づいて端末のセキュリティレベルを判定し、判定されたセキュリティレベルに応じて、使用できる機能を制限して自らを起動することを特徴とする使用管理方法である。
第2の発明によって、管理対象ネットワークに接続していない状態で端末の使用を試みても、端末を使用することはできないので、管理主体の施設外での不正使用を防止することができる。また、複数の認証処理を組み合わせて実行することでセキュリティレベルをより細かく判定し、各レベルに応じた使用制限をすることが可能となり、柔軟なセキュリティ管理を行える。
【発明の効果】
【0015】
本発明により、コストをかけず、確実に使用を管理することが可能な使用管理システム等を提供することができる。また、様々な認証の仕組みを備え、利便性の高い使用管理システム等を提供することができる。
【図面の簡単な説明】
【0016】
【図1】第1の実施の形態における使用管理システム1の全体構成図
【図2】サーバ3および端末5を実現するコンピュータのハードウエア構成図
【図3】サーバ3の記憶部12に記憶されるプログラムの一例を示す図
【図4】第1の実施の形態における端末5の記憶部12に記憶されるプログラムの一例を示す図
【図5】第1の実施の形態における端末5の起動処理の詳細を示すフローチャート
【図6】第1の実施の形態における端末5の監視処理の詳細を示すフローチャート
【図7】第2の実施の形態における端末5の記憶部12に記憶されるプログラムの一例を示す図
【図8】第3の実施の形態における使用管理システム1aの全体構成図
【図9】第3の実施の形態における端末5aを実現するコンピュータのハードウエア構成図
【図10】第3の実施の形態における端末5aの記憶部12に記憶されるプログラムの一例を示す図
【図11】セキュリティレベル表61の一例を示す図
【図12】第3の実施の形態における端末5aの起動処理の詳細を示すフローチャート
【図13】第3の実施の形態における端末5aの監視処理の詳細を示すフローチャート
【図14】第4の実施の形態における端末5bの記憶部12に記憶されるプログラムの一例を示す図
【図15】安全指数表21の一例を示す図
【図16】レベル別起動設定22の一例を示す図
【図17】第4の実施の形態における端末5bの起動処理の詳細を示すフローチャート
【図18】第4の実施の形態のセキュリティレベル算出例を説明する図
【図19】第4の実施の形態における端末5bの監視処理の詳細を示すフローチャート
【図20】第5の実施の形態における使用管理システム1cの全体構成図
【図21】第5の実施の形態における端末5cを実現するコンピュータのハードウエア構成図
【図22】第5の実施の形態における端末5cの記憶部12に記憶されるプログラムの一例
【図23】第5の実施の形態で適用される安全指数表25の一例を示す図
【図24】第5の実施の形態における端末5cの起動処理の詳細を示すフローチャート
【図25】第5の実施の形態のセキュリティレベル算出例を説明する図
【図26】第5の実施の形態における端末5cの監視処理の詳細を示すフローチャート
【図27】第5の実施の形態における端末5cの記憶部12に記憶されるプログラムの一例を示す図
【発明を実施するための形態】
【0017】
以下図面に基づいて、本発明の実施形態を詳細に説明する。
<第1の実施の形態>
図1は、第1の実施の形態における使用管理システム1の全体構成図である。使用管理システム1では、管理対象ネットワーク2に接続される端末5(コンピュータ)の使用を管理する。
管理対象ネットワーク2は、企業等の単一の管理主体によって管理され、インターネット等の外部ネットワークに対して閉じているネットワークである。管理対象ネットワーク2は、例えば、企業等の社内LAN(Local Area Network)、複数の拠点に敷設されているLANが専用線等によって接続される社内WAN(Wide Area Network)等が挙げられる。
管理対象ネットワーク2に用いられる物理的な各種のネットワーク機器は、外部の者が利用できない場所(例えば、管理主体が企業であれば企業の施設内)のみに設置される。従って、外部の者は、管理対象ネットワーク2に端末5を接続することができない。
尚、図1には、ネットワーク機器の一例としてルータ4を図示しているが、ネットワーク機器はこれに限定されるものではなく、スイッチ、ハブ、ファイアウォール等が挙げられる。
また、ネットワーク機器やコンピュータを互いに通信可能にするための接続は、有線であっても無線であっても良い。
【0018】
サーバ3は、管理対象ネットワーク2に接続される端末5の使用を管理するためのコンピュータであり、ルータ4等のネットワーク機器を介して管理対象ネットワーク2と接続される。サーバ3は、管理対象ネットワーク2に対して、端末5の使用を許可することを示す端末使用許可情報を所定の送信間隔時間ごとに同報送信するものである。
端末5は、企業等の管理主体に属するユーザが使用するコンピュータであり、ルータ4等のネットワーク機器を介して管理対象ネットワーク2と接続される。端末5は、サーバ3から同報送信される情報を受信し、端末使用許可情報を受信した場合には、使用可能状態(ユーザによって使用できる状態)に遷移するものである。すなわち、端末5は、自らを使用可能状態に遷移させる前に、自らが使用可能状態に遷移して良いか否かの判定を行う。
サーバ3と端末5の動作の詳細は後述する。
【0019】
図2は、サーバ3および端末5を実現するコンピュータのハードウエア構成図である。尚、図2のハードウエア構成は一例であり、用途、目的に応じて様々な構成を採ることが可能である。
コンピュータは、制御部11、記憶部12、入力部13、表示部14、通信制御部15等が、バス19を介して接続される。
【0020】
制御部11は、CPU(Central Processing Unit)、RAM(Random Access Memory)等で構成される。
【0021】
CPUは、記憶部12、記録媒体等に格納されるプログラムをRAM上のワークメモリ領域に呼び出して実行し、バス19を介して接続された各装置を駆動制御し、コンピュータが行う処理を実現する。
RAMは、揮発性メモリであり、記憶部12、記録媒体等からロードしたプログラム、データ等を一時的に保持するとともに、制御部11が各種処理を行う為に使用するワークエリアを備える。
【0022】
記憶部12は、ROM(Read Only Memory)、フラッシュメモリ、HDD(ハードディスクドライブ)等であり、制御部11が実行するプログラム、プログラム実行に必要なデータ等が格納される。プログラムに関しては、BIOS(Basic Input/Output System)、ブートローダ、OS(Operating System)に相当する制御プログラムや、後述する処理をコンピュータに実行させるためのアプリケーションプログラムが格納されている。
これらの各プログラムコードは、制御部11により必要に応じて読み出されてRAMに移され、CPUに読み出されて各種の手段として実行される。
記憶部12は、USB(Universal Serial Bus)等を介して接続される外部記憶装置(USBメモリ、外付型ハードディスク等)であっても良い。
【0023】
入力部13は、データの入力を行い、例えば、キーボード、マウス等のポインティングデバイス、テンキー等の入力装置を有する。
入力部13を介して、コンピュータに対して、操作指示、動作指示、データ入力等を行うことができる。
表示部14は、CRTモニタ、液晶パネル等のディスプレイ装置、ディスプレイ装置と連携してコンピュータのビデオ機能を実現するための論理回路等(ビデオアダプタ等)を有する。
通信制御部15は、通信制御装置、通信ポート等を有し、コンピュータとネットワーク間の通信を媒介する通信インタフェースであり、ネットワークを介して、他のコンピュータ間との通信制御を行う。ネットワークは、有線、無線を問わない。
バス19は、各装置間の制御信号、データ信号等の授受を媒介する経路である。
【0024】
図3は、サーバ3の記憶部12に記憶されるプログラムの一例を示す図である。
サーバ3の記憶部12には、BIOS31、ブートローダ32、OS33、使用管理AP(APplication)34等のプログラムが記憶されている。
BIOS31は、各種のハードウエアとの入出力を行うためのプログラムである。サーバ3の電源投入時には、BIOS31が記憶部12から読み出されて実行される。BIOS31では、各種のハードウエアの初期化を行い、ブートローダ32を読み込む。
ブートローダ32は、OS33等の特定のプログラムをロードして起動するためのプログラムである。ブートローダ32は、BIOS31によって読み出され、OS33等の特定のプログラムをロードする。尚、一般には、記憶部12のブートセクタ(ブートブロック)に記憶されるプログラムを一次ブートローダと呼び、一次ブートローダに読み込まれてOS33等の特定のプログラムをロードするプログラムを二次ブートローダと呼ぶ。
OS33は、各種のハードウエアを抽象化したインタフェースをアプリケーションプログラムに提供したり、複数のアプリケーションプログラムを同時に利用する際に互いに独立して効率的に処理が行えるように資源を管理したりするなど、コンピュータの基本的な機能を提供する為のプログラムである。
【0025】
使用管理AP34は、管理対象ネットワーク2に接続される端末5(コンピュータ)の使用を管理するためのプログラムである。サーバ3は、OS33が起動された後、使用管理AP34を実行し、管理対象ネットワーク2に対して、端末使用許可情報を所定の送信間隔時間ごとに同報送信する。
具体的には、サーバ3は、例えば、IP(Internet Protocol)レベルのブロードキャスト通信を行う。IPレベルのブロードキャスト通信では、送信先アドレスを「ブロードキャストアドレス」と呼ばれる特別なアドレスに設定して、端末使用許可情報のパケットを送信する。
端末使用許可情報は、特に限定しないが、例えば、ワンタイムパスワードのように、時間帯によって異なる内容とすることが望ましい。また、端末使用許可情報は、例えば、暗号化して送信し、正規の端末5によってのみ復号できるものとしても良い。
【0026】
ブロードキャストアドレスには、例えば、リミテッドブロードキャストアドレス、またはディレクティッドブロードキャストアドレスと呼ばれるものを指定することができる。
リミテッドブロードキャストアドレスとは、全てのビットが1となっているIPアドレスのことである。例えば、IPv4(Internet Protocol version 4)であれば、「255.255.255.255」がリミテッドブロードキャストアドレスとなる。リミテッドブロードキャストアドレスを指定してブロードキャスト通信を行うと、送信元が接続されているネットワークセグメント(イーサネット(登録商標)であればコリジョンセグメント)内の全てのコンピュータに対してデータが送信される。一方、ルータ4を介して接続されている他のネットワークセグメントへは送信されない。
ディレクティッドブロードキャストアドレスとは、ネットワークアドレス部は変えずに、ホストアドレス部のビットを全て1にしたIPアドレスである。例えば、IPv4における「192.168.0」というネットワークアドレスに対しては、ホストアドレス部(下位の8ビット)を全て1にした「192.168.0.255」が、ディレクティッドブロードキャストアドレスとなる。ディレクティッドブロードキャストアドレスを指定してブロードキャスト通信を行うと、特定のネットワークアドレス(前述の例では、「192.168.0」)を持つ全てのコンピュータに対してデータが送信される。
【0027】
図1に示すように、管理対象ネットワーク2が、複数のルータ4によって接続されて複数のネットワークセグメントを有している場合を考える。また、管理対象ネットワーク2は、例えば、「192.168.0」〜「192.168.9」の10種類のネットワークアドレスを利用して構築されているものとする。
サーバ3は、10種類全てのネットワークアドレスに対応するディレクティッドブロードキャストアドレスを指定して、端末使用許可情報のパケットを同時にブロードキャスト通信する。
また、サーバ3をネットワークアドレスごとに配置し、それぞれのサーバ3が、リミテッドブロードキャストアドレスを指定して、端末使用許可情報のパケットをブロードキャスト通信するようにしても良い。この場合、全てのサーバ3を統括する統括サーバ(不図示)を設置し、統括サーバが各サーバ3に対してブロードキャスト通信の実行を指示することで、ブロードキャスト通信の送信タイミングの同期を取ることができる。
【0028】
図4は、第1の実施の形態における端末5の記憶部12に記憶されるプログラムの一例を示す図である。
端末5の記憶部12には、BIOS51、ブートローダ52、OS53、認証AP55および監視AP56を含む記憶部暗号化AP54等のプログラムが記憶されている。
BIOS51、ブートローダ52、OS53は、図3に示すBIOS31、ブートローダ32、OS33と同様である。尚、第1の実施の形態では、端末5のブートローダ52は、記憶部暗号化AP54をロードする。
【0029】
記憶部暗号化AP54は、自らの記憶部12に記憶される情報を自動的に暗号化し、かつ使用可能状態(ユーザによって使用できる状態)では復号して読み取り可能とするためのプログラムである。記憶部暗号化AP54は、コンピュータにインストールされて初期設定が行われると、記憶部12に記憶されている情報を暗号化する。また、記憶部暗号化AP54は、インストール後に記憶部12に記憶される情報も暗号化する。暗号化対象となる情報は、ユーザが明示的に指示して記憶されるデータだけでなく、OS53、アプリケーションプログラムなどのプログラム、OS53によって利用されるシステムファイル領域、アプリケーションプログラムによって利用される各種データなども含む。但し、BIOS51、ブートローダ52、記憶部暗号化AP54、記憶部暗号化AP54によって利用されるデータについては、暗号化しない。
【0030】
第1の実施の形態においては、使用可能状態(ユーザによって使用できる状態)への遷移は、予め定められた暗号化解除認証が成功したことを意味する。暗号化解除認証は、記憶部暗号化AP54の初期設定時に設定する。
記憶部暗号化AP54がインストールされた端末5は、暗号化解除認証が成功すると、自らを使用可能状態に遷移させ、暗号化した情報を復号して読み取り可能とする。
暗号化解除認証が成功しなければOS53も復号しない為、ユーザはOS53でさえも起動することができない。
【0031】
認証AP55は、記憶部暗号化AP54の一部であって、暗号化解除認証を実行するためのプログラムである。
第1の実施の形態においては、暗号化解除認証とは、ユーザ認証とパケット認証とする。
ユーザ認証とは、ユーザを識別するための識別情報を受け付けて、端末5の使用が許可されているユーザかどうかを認証する。ユーザを識別するための識別情報としては、例えば、暗証番号、パスワード、ユーザに配布されるICカードの情報、ユーザの生体情報(指紋、虹彩、静脈、声紋、顔形など)などが挙げられる。以下では、説明を簡単にする為に、ユーザ認証は、パスワードを識別情報とした認証であるパスワード認証を行うものとする。
パケット認証とは、管理対象ネットワーク2に流れるパケットに基づいて行う認証を意味する。具体的には、パケット認証は、使用管理AP34がインストールされたサーバ3から送信される端末使用許可情報のパケットを受信したかどうかを認証する。
記憶部暗号化AP54がインストールされた端末5は、ブートローダ52によって記憶部暗号化AP54がロードされると、認証AP55の機能によって、パスワード認証およびパケット認証を実行する。
尚、サーバ3が端末使用許可情報を暗号化して送信する場合、記憶部暗号化AP54は、パスワード認証が成功した場合にのみ、端末使用許可情報の復号を可能とするようにしても良い。
【0032】
監視AP55は、記憶部暗号化AP54の一部であって、自らを使用不可能状態(ユーザによって使用できない状態)に遷移させるかどうかを監視するためのプログラムである。
第1の実施の形態においては、監視AP55は、所定の監視間隔時間ごとに、端末使用許可情報のパケットが直近の所定の監視間隔時間内に受信されたかどうかを確認し、受信されていない場合には、使用不可能状態に自らを遷移させる。
【0033】
図5は、第1の実施の形態における端末5の起動処理の詳細を示すフローチャートである。図5の処理を行う前提として、サーバ3は、管理対象ネットワーク2に対して、端末使用許可情報を所定の送信間隔時間ごとに同報送信しているものとする。
【0034】
端末5の制御部11は、電源が投入されると、記憶部12からBIOS51を読み出して起動することで、各種のハードウエアの初期化を行い、ブートローダ52を読み込む(S101)。
次に、制御部11は、ブートローダ52を実行することで、記憶部暗号化AP54を読み出し、記憶部暗号化AP54の一部である認証AP55の機能によって、パスワード認証を行う(S102)。S102では、制御部11は、表示部14にパスワード入力画面を表示する。これに対して、ユーザは、入力部13を介してパスワードを入力する。制御部11は、入力されたパスワードを認証し、認証が成功すると、S103に進む。一方、認証が失敗すると、制御部11は、処理を終了し、シャットダウン等を行う。
尚、シャットダウンは、使用不可能状態(ユーザによって使用できない状態)に自らを遷移させる処理の一例に過ぎず、例えば、再起動、OS53からのログオフなど、その他の処理を行っても良い。また、以下の説明においても同様とする。
【0035】
次に、制御部11は、認証AP55の機能によって、パケット認証を行う(S103)。S103では、制御部11は、通信制御部15を介して、同報送信されている情報を監視する。サーバ3からの端末使用許可情報が受信されたことを確認すると、制御部11は、パケット認証が成功したものとして、S104に進む。一方、所定のタイムアウト時間(少なくとも、サーバ3による端末使用許可情報の送信間隔時間よりも長い時間)を経過してもサーバ3からの端末使用許可情報が受信されない場合、パケット認証が失敗したものとして、処理を終了し、シャットダウン等を行う。
尚、S102とS103は、いずれを先に実行しても良い。
【0036】
次に、制御部11は、記憶部暗号化AP54の機能によって、記憶部12を復号して読み取り可能とし、OS53を読み出して起動する(S104)。以降の処理はOS53の機能によって実行され、ユーザは端末5を使用することが可能となる。
【0037】
図6は、第1の実施の形態における端末5の監視処理の詳細を示すフローチャートである。図6の処理を行う前提として、サーバ3は、管理対象ネットワーク2に対して、端末使用許可情報を所定の送信間隔時間ごとに同報送信しているものとする。
【0038】
端末5の制御部11は、記憶部暗号化AP54の一部である監視AP56の機能によって、パケット監視を行う(S201)。S201では、制御部11は、通信制御部15を介して、同報送信されているパケットを監視し、サーバ3からの端末使用許可情報のパケットを受信すると、パケット受信フラグをRAMまたは記憶部12に記憶しておく。所定の監視間隔時間(少なくとも、サーバ3による端末使用許可情報の送信間隔時間よりも長い時間)が経過すると、制御部11は、S202に進む。
次に、制御部11は、端末使用許可情報のパケットが直近の監視間隔時間内に受信されたか、すなわちパケット受信フラグがRAMまたは記憶部12に記憶されているかどうかを確認する(S202)。
パケット受信フラグが記憶されている場合(S202のYes)、制御部11は、パケット受信フラグを削除し、S201に進む。
パケット受信フラグが記憶されていない場合(S202のNo)、制御部11は、処理を終了し、シャットダウン等を行う。
【0039】
以上、第1の実施の形態では、サーバ3は、管理対象ネットワーク2に対して、端末使用許可情報を所定の送信間隔時間ごとに同報送信し、端末5は、端末使用許可情報を受信すると、自らを使用可能状態に遷移させる。これによって、管理対象ネットワーク2に接続していない状態で端末5の使用を試みても、端末5を使用することはできない。従って、管理主体の施設外での不正使用を防止することができる。第1の実施の形態における使用管理システム1は、サーバ3および端末5として通常のコンピュータを用いれば良いので、数多くのコンピュータを管理する場合もコストをかけず、確実に使用を管理することができる。
【0040】
また、端末5は、定期的に端末使用許可情報のパケットが受信されたかどうか確認し、受信されていない場合、自らを使用不可能状態に遷移させる。これによって、使用可能状態で端末5を管理主体の施設外に持ち運ばれても、端末5をそのまま使用することを防止することができる。また、使用可能状態では、端末5は管理対象ネットワーク2に接続されていることになるので、ユーザがセキュリティポリシーを守っているか否かをリアルタイムで監視することもできる。
【0041】
更に、認証AP55が行うパケット認証は、記憶部暗号化AP54における暗号化解除認証となっているので、パケット認証が成功しなければ、端末5の記憶部12に記憶されている情報は暗号化されたままである。従って、仮に記憶部12であるハードディスクを取り外して、ハードディスクの解析を試みても、情報を読み取ることはできない。
【0042】
尚、前述の説明では、認証AP55がパスワード認証およびパケット認証を行うものとしたが、認証AP55はパケット認証のみを行うようにして、OS53の機能によってパスワード認証を行うようにしても良い。
また、前述の説明では、認証AP55および監視AP56が記憶部暗号化AP54の一部としたが、これらは別のプログラムとして実行されても良い。
【0043】
<第2の実施の形態>
第2の実施の形態は、第1の実施形態と比較して、端末5にインストールされるプログラムが異なる。以下、第1の実施の形態と同じ要素には同じ番号を付し、重複する説明を省略する。
【0044】
図7は、第2の実施の形態における端末5の記憶部12に記憶されるプログラムの一例を示す図である。
端末5の記憶部12には、BIOS51、ブートローダ52、OS53、認証AP55および監視AP56を含む検疫AP57等のプログラムが記憶されている。
第2の実施の形態では、端末5のブートローダ52は、OS53をロードする。そして、OS53が起動された後、検疫AP57がロードされ、検疫AP57の一部である認証AP55、監視AP56が実行される。
第2の実施の形態においては、使用可能状態(ユーザによって使用できる状態)への遷移は、検疫AP57の一部である認証AP55による認証が成功したことを意味する。
尚、認証AP55はパケット認証のみを行うようにして、OS53の機能によってパスワード認証を行うようにしても良い。
【0045】
検疫AP57は、端末5の各種情報を収集し、セキュリティポリシーに適合しているかどうかを検疫するためのプログラムである。収集する情報は、例えば、ウィルス対策ソフトのパターンファイルのバージョン、OS53のバージョン、その他セキュリティポリシーに応じて必要な情報である。
また、その他には、認証AP55によって行われる認証の結果、および監視AP56によって行われる監視の結果が、実行時刻とともに収集される。
収集した情報は、検疫AP57の機能によって、定期的にサーバ3に送信され、管理者が確認できる。
【0046】
第2の実施の形態では、検疫AP57の機能によって、認証AP55による認証の結果および監視AP56による監視の結果が収集されるので、万が一不正使用が行われた場合であっても、不正使用後に端末5が管理対象ネットワーク2に接続されることで、不正使用の履歴を追跡することができる。
【0047】
<第3の実施の形態>
第3の実施の形態は、第1の実施形態と比較して、端末5のハードウエア構成、端末5にインストールされるプログラムが異なる。以下、第1の実施の形態と同じ要素には同じ番号を付し、重複する説明を省略する。
【0048】
図8は、第3の実施の形態における使用管理システム1aの全体構成図である。
使用管理システム1aは、管理対象ネットワーク2に接続されるサーバ3、端末5aの他に、電波発信装置6、発光装置7等を構成に含む。
電波発信装置6は、端末5aの使用を許可することを示す特定の周波数を有する電波、または端末5aの使用を許可することを示す情報を搬送する電波を発信するものである。電波発信装置6は、管理主体の施設外では受信できないように、管理主体の施設に応じて適切な強度、指向性を有する電波を発信する。
発光装置7は、端末5aの使用を許可することを示す特定の波長を有する光、または端末5aの使用を許可することを示す情報を搬送する光を発光するものである。
【0049】
図9は、第3の実施の形態における端末5aを実現するコンピュータのハードウエア構成図である。尚、図9のハードウエア構成は一例であり、用途、目的に応じて様々な構成を採ることが可能である。
コンピュータは、制御部11、記憶部12、入力部13、表示部14、通信制御部15、電波受信部16、受光部17、GPS(Global Positioning System)受信部18等が、バス19を介して接続される。
【0050】
電波受信部16は、電波発信装置6から発信される電波を受信する。電気受信部16は、制御部11からの要求に応じて、端末5aの使用を許可することを示す電波を受信したかどうかを応答する。
受光部17は、発光装置7から発光される光を受信する。受光部17は、制御部11からの要求に応じて、端末5aの使用を許可することを示す光を受光したかどうかを応答する。
GPS受信部18は、GPS衛星からの信号を受信し、端末5aの現在位置を特定する。GPS受信部18は、制御部11からの要求に応じて、端末5aの現在位置(緯度、経度)を応答する。
【0051】
図10は、第3の実施の形態における端末5aの記憶部12に記憶されるプログラムの一例を示す図である。
端末5aの記憶部12には、BIOS51、ブートローダ52、OS53、認証AP55aおよび監視AP56aを含む記憶部暗号化AP54a等のプログラムが記憶されている。
BIOS51、ブートローダ52、OS53は、第1の実施の形態、第2の実施の形態と同様である。尚、第3の実施の形態では、端末5aのブートローダ52は、記憶部暗号化AP54aをロードする。
また、記憶部暗号化AP54aも、認証AP55aおよび監視AP56aを除いては、第1の実施の形態と同様である。
【0052】
認証AP55aは、記憶部暗号化AP54aの一部であって、暗号化解除認証を実行するためのプログラムである。
第3の実施の形態においては、暗号化解除認証とは、パスワード認証(ユーザ認証)、パケット認証、GPS認証、電波認証、光認証とする。
パスワード認証およびパケット認証は、第1の実施の形態と同様である。
GPS認証とは、GPS受信部18によって受信される位置情報が端末5aの使用を許可する端末使用許可範囲内かどうかの認証である。端末使用許可範囲は、記憶部暗号化AP54aの初期設定時に設定する。
電波認証とは、電波受信部16によって受信される電波が端末5aの使用を許可するものかどうかの認証である。端末5aの使用を許可することを示す電波の定義は、記憶部暗号化AP54aの初期設定時に設定する。
光認証とは、受光部17によって受光される光が端末5aの使用を許可するものかどうかの認証である。端末5aの使用を許可することを示す光の定義は、記憶部暗号化AP54aの初期設定時に設定する。
記憶部暗号化AP54aがインストールされた端末5aは、ブートローダ52によって記憶部暗号化AP54aがロードされると、認証AP55aの機能によって、パスワード認証、パケット認証、GPS認証、電波認証、光認証を実行する。
【0053】
監視AP55aは、記憶部暗号化AP54aの一部であって、自らを使用不可能状態(ユーザによって使用できない状態)に遷移させるかどうかを監視するためのプログラムである。
第3の実施の形態においては、監視AP55aは、パケット監視、GPS監視、電波監視、光監視を行う。
パケット監視とは、第1の実施の形態と同様の監視内容であって、所定の監視間隔時間ごとに、端末使用許可情報のパケットが直近の所定の監視間隔時間内に受信されたかどうかの監視である。
GPS監視とは、所定の監視間隔時間ごとに、GPS受信部18によって受信される位置情報が端末5aの使用を許可する端末使用許可範囲内かどうかの監視である。
電波監視とは、所定の監視間隔時間ごとに、端末5aの使用を許可する電波が直近の所定の監視間隔時間内に受信されたかどうかの監視である。
光監視とは、所定の監視間隔時間ごとに、端末5aの使用を許可する光が直近の所定の監視間隔時間内に受信されたかどうかの監視である。
【0054】
図11は、セキュリティレベル表61の一例を示す図である。
第3の実施の形態では、端末5aごとに異なるセキュリティレベルを設定する。セキュリティレベルは、記憶部暗号化AP54aの初期設定時に設定する。図11に示すセキュリティレベル表61は、認証AP55aによる認証、および監視AP56aによる監視の両方に対して適用される。但し、監視AP56aによる監視については、ユーザが煩わしくないように、パスワードによる監視を行わなくても良い。
例えば、図11に示す例では、レベル1の端末5aに対する認証は、パスワード認証のみを行う。一方、レベル5の端末5aに対する認証は、パスワード認証、パケット認証、GPS認証、電波認証、光認証の全てを行う。
【0055】
尚、セキュリティレベル表61は、図11に示す例に限定されるものではない。図11に示すレベル3に代わる例としては、例えば、パスワード認証、およびパケット認証(監視)を必須とし、更に、GPS認証(監視)、電波認証(監視)、光認証(監視)のいずれか1つの認証が成功すればセキュリティレベル表61を満たすとしても良い。
また、図11に示すレベル4に代わる例としては、例えば、パスワード認証、およびパケット認証(監視)を必須とし、更に、GPS認証(監視)、電波認証(監視)、光認証(監視)のいずれか2つの認証が成功すればセキュリティレベル表61を満たすとしても良い。
【0056】
図12は、第3の実施の形態における端末5aの起動処理の詳細を示すフローチャートである。図12の処理を行う前提として、サーバ3は、管理対象ネットワーク2に対して、端末5aの使用を許可することを示す端末使用許可情報を所定の送信間隔時間ごとに同報送信しているものとする。
【0057】
S301〜S303は、第1の実施の形態における図5のS101〜S103と同様である。
S303が終了すると、端末5aの制御部11は、認証AP55aの機能によって、GPS認証(S304)、電波認証(S305)、光認証(S306)を行う。
次に、制御部11は、自らに設定されたセキュリティレベルに対応するセキュリティレベル表61を満たしているかどうか、すなわちセキュリティレベルに応じた認証が全て成功しているかどうかを確認する(S307)。
成功している場合(S307のYes)、制御部11は、記憶部暗号化AP54aの機能によって、記憶部12を復号して読み取り可能とし、OS53を読み出して起動する(S308)。以降の処理はOS53の機能によって実行され、ユーザは端末5aを使用することが可能となる。
成功していない場合(S307のNo)、制御部11は、処理を終了し、シャットダウン等を行う。
尚、S302〜S306は、どのような順番で実行しても良い。
【0058】
図13は、第3の実施の形態における端末5aの監視処理の詳細を示すフローチャートである。図13の処理を行う前提として、サーバ3は、管理対象ネットワーク2に対して、端末使用許可情報を所定の送信間隔時間ごとに同報送信しているものとする。
【0059】
端末5aの制御部11は、監視AP56aの機能によって、パケット監視(S401)、GPS監視(S402)、電波監視(S403)、光監視(S404)を行う。
制御部11は、パケット監視において、サーバ3からの端末使用許可情報のパケットを受信すると、パケット受信フラグをRAMまたは記憶部12に記憶しておく。また、制御部11は、GPS監視において、GPS受信部18によって受信される位置情報をRAMまたは記憶部12に記憶しておく。また、制御部11は、電波監視において、端末5aの使用を許可することを示す電波を受信すると、電波受信フラグをRAMまたは記憶部12に記憶しておく。また、制御部11は、光監視において、端末5aの使用を許可することを示す光を受光すると、光受光フラグをRAMまたは記憶部12に記憶しておく。
所定の監視間隔時間(少なくとも、サーバ3による端末使用許可情報の送信間隔時間よりも長い時間)が経過すると、制御部11は、S405に進む。
【0060】
次に、制御部11は、自らに設定されたセキュリティレベルに対応するセキュリティレベル表61を満たしているかどうか、すなわちセキュリティレベルに応じた監視が全て成功しているかどうかを確認する(S405)。
成功している場合(S405のYes)、制御部11は、パケット受信フラグ、位置情報、電波受信フラグ、光受光フラグを削除し、S401に進む。
成功していない場合(S405のNo)、制御部11は、処理を終了し、シャットダウン等を行う。
尚、S401〜S404は、どのような順番で実行しても良い。
【0061】
以上、第3の実施の形態では、サーバ3は、パスワード認証、パケット認証に加えて、GPS認証、電波認証、光認証も行う。これによって、端末5aのハードウエア構成や使用する環境に適した認証を行うことができ、利便性を高めることができる。
特に、様々な認証の仕組みを備えることで、端末5aごとにセキュリティレベルを設定し、セキュリティレベルに適した認証を行うことができる。
例えば、シンクライアント端末のように、記憶部12を具備しないパソコンの場合、盗難や紛失などが発生しても、漏洩する情報自体が存在しない為、セキュリティレベルを低く設定し、利便性を高めることができる。一方、重要情報を記憶部12に記憶して使用する端末については、セキュリティレベルを高く設定し、確実に使用を管理することができる。
【0062】
尚、前述の説明では、端末5aには、記憶部暗号化AP54aがインストールされるものとしたが、第2の実施の形態における検疫AP57と同等のプログラムをインストールしても良い。この場合、認証AP55aによって行われる認証の結果、および監視AP56aによって行われる監視の結果が、実行時刻とともに収集され、定期的にサーバ3に送信される。
【0063】
<第4の実施の形態>
第4の実施の形態は、第3の実施形態と比較して、端末5bにインストールされるプログラムが異なる。また、図11に示すセキュリティ表61に代えて、図15に示す安全指数表21、および図16に示すレベル別起動設定22を記憶部12に記憶している。以下、第1、第3の実施の形態と同じ要素には同じ番号を付し、重複する説明を省略する。
【0064】
図14は、端末5bにインストールされるプログラムの一例を示す図、図15は、安全指数表21の一例を示す図、図16は、レベル別起動設定22の一例を示す図である。
図14に示すように、端末5bの記憶部12には、BIOS51、ブートローダ52、OS53、認証AP55bおよび監視AP56bを含む記憶部暗号化AP54b等のプログラムが記憶されている。
BIOS51、ブートローダ52、OS53は、第1〜第3の実施の形態と同様である。尚、第4の実施の形態では、端末5bのブートローダ52は、記憶部暗号化AP54bをロードする。
また、記憶部暗号化AP54bも、認証AP55bおよび監視AP56bを除いては、第1の実施の形態と同様である。
【0065】
認証AP55bは、記憶部暗号化AP54bの一部であって、暗号化解除認証を実行するためのプログラムである。
第4の実施の形態では、暗号化解除認証として、少なくともパケット認証を含む複数種類の認証処理を実行する。例えば、第3の実施の形態と同様に、パスワード認証(ユーザ認証)、パケット認証、GPS認証、電波認証、および光認証とする。
また、認証処理ごとに安全性の度合いを示す安全指数が図15の安全指数表21に示すように予め定められている。端末5bは、各認証処理の結果と、安全指数とに基づいて自らのセキュリティレベルを算出し、セキュリティレベルに応じて使用できる機能を制限して起動する。例えば、図16のレベル別起動設定22に示すように、セキュリティレベルが「低」であると判定した場合は、ユーザが使用できない状態である使用不可状態とする。また、セキュリティレベルが「中」であると判定した場合は、使用できる機能を制限して起動する機能制限状態に遷移させる。また、セキュリティレベルが「高」であると判定した場合は、制限を設けずに使用可能とする使用可能状態に遷移させる。
各種認証処理およびセキュリティレベルの算出、判定は、記憶部暗号化AP54bの認証AP55bによる認証、および監視AP56bによる監視の両方に対して適用される。但し、監視AP56bによる監視については、ユーザが煩わしくないように、パスワードによる監視を行わなくても良い。
【0066】
図17は、第4の実施の形態における端末5bの起動処理の詳細を示すフローチャートである。第4の実施の形態における端末5bの起動処理では、図17の例では、パスワード認証、パケット認証、GPS認証、電波認証、および光認証を行う。図17の処理を行う前提として、サーバ3は、管理対象ネットワーク2に対して、端末5bの使用を許可することを示す端末使用許可情報を所定の送信間隔時間ごとに同報送信しているものとする。
尚、安全指数表21やレベル別起動設定22は、図15、図16に示す例に限定されるものではない。図16のレベル別起動設定22では、セキュリティレベルを「低」、「中」、「高」の3レベルに分類した例を示しているが、「低」および「高」の2レベル、または4レベル以上の分類としてもよい。また、機能制限状態としては、例えば、「メディアへの書き出し不可」や「記憶部の所定記憶領域へのアクセス不可」、「メール送信不可」等が挙げられる。
【0067】
S501〜S506は、第3の実施の形態における図12のS301〜S306と同様である。すなわち、端末5bの制御部11は、BIOS起動、パスワード認証、パケット認証、GPS認証、電波認証、光認証を行う。ここで、各認証処理における認証の結果は、パケット受信フラグ、位置情報、電波受信フラグ、光受光フラグ等としてRAMまたは記憶部12に記憶しておく。認証成功の場合は、該当するフラグを「1」にセットし、認証失敗の場合は該当するフラグを「0」にセットする。
S506が終了すると、端末5bの制御部11は、認証AP55bの機能によって、安全指数表21に設定されている各認証処理の安全指数を認証処理結果を示す各フラグの値(「1」または「0」)に乗じ、安全指数の合計値を求める(S507)。
制御部11は、安全指数の合計値からセキュリティレベルを判定し(S508)、「高」レベルであれば(S508の「高」)、記憶部暗号化AP54bの機能によって、記憶部12を復号して読み取り可能とし、OS53を読み出して起動する(S509)。以降の処理はOS53の機能によって実行され、ユーザは端末5bを制限なく使用することが可能となる。
一方、安全指数の合計値が「中」レベルであれば(S508の「中」)、制御部11は、「中」レベルに該当する状態である機能制限状態に端末5bを遷移させる。例えば、メディアへの書き出し機能を制限する場合は、記憶部暗号化AP54bの機能によって、記憶部12を復号して読み取り可能とし、OS53を読み出して以降の処理はOS53の機能によって実行されるが、メディアへの書き出し機能は使用不可とされる(S510)。
また、安全指数の合計値が「低」レベルであれば(S508の「低」)、制御部11は、「低」レベルに該当する状態である使用不可状態に端末5bを遷移させる。すなわち、処理を終了し、シャットダウン等を行う。
尚、S502〜S506は、どのような順番で実行しても良い。
【0068】
例えば、図18に示すようにパスワード認証、パケット認証、電波認証、光認証が認証成功し、GPS認証は認証失敗した場合は、安全指数の合計値は「24」となる。この場合、図16に示すレベル別起動設定22に従って、セキュリティレベルは「高」レベルと判定されるため、端末5bは全機能を使用可能として、起動される。
【0069】
図19は、第4の実施の形態における端末5bの監視処理の詳細を示すフローチャートである。図19の処理を行う前提として、サーバ3は、管理対象ネットワーク2に対して、端末使用許可情報を所定の送信間隔時間ごとに同報送信しているものとする。
【0070】
S601〜S604において、端末5bの制御部11は、監視AP56bの機能によって、第3の実施の形態における図13のS401〜S404と同様に、パケット監視、GPS監視、電波監視、光監視を行う。監視処理においても、制御部11は各監視処理の結果に応じて該当するフラグを「1」または「0」に更新し、RAMまたは記憶部12に記憶しておく。
所定の監視間隔時間(少なくとも、サーバ3による端末使用許可情報の送信間隔時間よりも長い時間)が経過すると、制御部11は、S605に進む。
端末5bの制御部11は、監視AP56bの機能によって、安全指数表21に設定されている安全指数を対応する監視処理の結果を示す各フラグの値(「1」または「0」)に乗じ、安全指数の合計値を求める(S605)。
制御部11は、安全指数の合計値からセキュリティレベルが前回の監視処理時と比較して低下したか否かを判定し(S606)、同じセキュリティレベルを維持している場合(S606のNo)は、制御部11はS601に進む。
セキュリティレベルが低下した場合であっても(S606のYes)、レベルが「低」でない場合は(S607のNo)、制御部11は、該当する機能制限状態に端末5bを遷移させる(S608)。
セキュリティレベルが低下し(S606のYes)、「低」となった場合は(S607のYes)、制御部11は、「低」レベルに該当する状態である使用不可状態に端末5bを遷移させる。すなわち、処理を終了し、シャットダウン等を行う。
尚、S601〜S604は、どのような順番で実行しても良い。
【0071】
以上、第4の実施の形態では、サーバ3は、少なくともパケット認証を含む複数種類の認証処理を実行し、その認証結果によって安全指数の合計値を求め、これによってセキュリティレベルを判定し、レベルに応じた機能制限を行う。そのため柔軟な認証ポリシ管理を行え、利便性を高めることができる。
特に、様々な認証の仕組みを備えることで、より細かくセキュリティレベルを設定したり、機能制限を行うことも可能となる。
例えば、社内では全ての機能を制限なく使用できるが、端末5bを家庭に持ち帰って使用する場合には、使用できる機能を制限することもできる。また、社員等の正当なユーザに認証用の電波発信装置6や発光装置7を持たせれば、通信設備がない状況下であったり、不具合により通信断が生じてパケット認証ができない状況でも、パスワード認証、電波認証、および光認証等の各種の認証処理を組み合わせれば所定機能の使用を可能とすることも可能となる。このように、様々な使用環境に柔軟に対応できる。
【0072】
尚、前述の説明では、端末5bには、記憶部暗号化AP54bがインストールされるものとしたが、第2の実施の形態における検疫AP57と同等のプログラムをインストールしても良い。この場合、認証AP55bによって行われる認証の結果、および監視AP56bによって行われる監視の結果が、実行時刻とともに収集され、定期的にサーバ3に送信される。
【0073】
<第5の実施の形態>
第5の実施の形態は、第4の実施の形態と比較して、使用管理システム1の管理対象ネットワーク2の構成、端末5bのハードウエア構成、端末5bにインストールされるプログラムが異なる。以下、第4の実施の形態と同じ要素には同じ番号を付し、重複する説明を省略する。
【0074】
図20は、第5の実施の形態における使用管理システム1cの全体構成図である。
使用管理システム1cでは、管理対象ネットワーク2として、第1の実施の形態のように閉じた管理対象ネットワーク2aに加え、公衆の通信ネットワーク2cを利用するものも含む。
すなわち、管理対象ネットワーク2cは、インターネット、無線通信網、電話回線、携帯電話通信網等を含む公衆のネットワーク(以下、単にインターネット11という)、インターネットサービスプロバイダ(ISP)12、無線基地局13等を備える。
また、仮想プライベートネットワーク(VPN)として使用管理システム1cを構築する場合には、VPNサーバ14が設けられる。
【0075】
VPNサーバ14は、サーバ3および端末5cのVPN接続を媒介するサーバであり、暗号化処理や認証処理を行う。端末5cからサーバ3へデータを送信する際は、端末5cが備えるVPNクライアントAPの機能により、データを暗号化してインターネット11経由でVPNサーバ14へ伝送する。VPNサーバ14は受信した暗号化データを復号してサーバ3へ送信する。
ISP12は、DHCP(Dynamic Host Configuration Protocol)サーバ等を備え、端末5cからのアクセスがあると、その端末5cに動的なIPアドレスを割り当てる。すなわち、端末5cは、認証AP55cの機能によって起動処理を行う際に、ISP12に対してIPアドレスの割り当てをリクエストする。ISP12は管理しているIPアドレスの中から利用可能なIPアドレスを割り当て、ネットワーク接続時に必要な情報や、認証に必要な情報(例えば、通信事業者情報やISP12の位置情報等)を要求元の端末5cに返す。
【0076】
図21は、第5の実施の形態における端末5cを実現するコンピュータのハードウエア構成図である。尚、図21のハードウエア構成は一例であり、用途、目的に応じて様々な構成を採ることが可能である。
コンピュータは、制御部11、記憶部12、入力部13、表示部14、通信制御部15、電波受信部16、受光部17、GPS受信部18、無線通信部20等が、バス19を介して接続される。
【0077】
端末5cの無線通信部20は、公衆の無線ネットワークにアクセスするための通信インタフェースである。公衆無線ネットワークには、無線基地局13、携帯電話回線、無線LAN等が含まれる。
【0078】
図22は、第5の実施の形態における端末5cの記憶部12に記憶されるプログラムの一例を示す図である。
端末5cの記憶部12には、BIOS51、ブートローダ52、OS53、認証AP55cおよび監視AP56cを含む記憶部暗号化AP54c等のプログラムが記憶されている。
BIOS51、ブートローダ52、OS53は、第1の実施の形態の実施の形態と同様である。尚、第5の実施の形態では、端末5cのブートローダ52は、記憶部暗号化AP54cをロードする。
また、記憶部暗号化AP54cも、認証AP55cおよび監視AP56cを除いては、第1の実施の形態と同様である。
【0079】
認証AP55cは、記憶部暗号化AP54cの一部であって、暗号化解除認証を実行するためのプログラムである。
第5の実施の形態では、暗号化解除認証として、パスワード認証(ユーザ認証)、パケット認証、GPS認証、電波認証、光認証に加え、IPアドレス認証、無線基地局認証を行うものとする。パスワード認証、パケット認証、GPS認証、電波認証、および光認証は、第1、第3の実施の形態と同様である。
【0080】
IPアドレス認証とは、ISP12から動的に割り当てられるIPアドレスに応じて端末5cが使用可能かどうかを判断する認証である。例えば、ISP12がIPアドレスとともに位置情報を提供する場合、端末5cはその位置情報から端末使用許可範囲内かどうかを判断する。端末使用許可範囲は、記憶部暗号化AP54cの初期設定時に設定する。
【0081】
無線基地局認証とは、無線基地局13から受け取った通信事業者情報や各無線基地局13を識別する基地局識別情報に基づいて端末5cが使用許可範囲内にあるかどうかを判断する認証である。端末使用許可範囲は、記憶部暗号化AP54cの初期設定時に設定する。
端末使用許可範囲としては、例えば、国内であれば使用可とし、国外では使用不可とする。これによって、端末5cが盗まれて国外に持ち出された場合には認証失敗となる。
また、無線基地局13からその無線基地局13の識別情報(基地局識別情報)を取得できる場合は、取得した基地局識別情報が予め登録した無線基地局13のものであれば認証成功とし、その他の場合は認証失敗としてもよい。例えば、各無線基地局13の位置情報が公開されていれば、基地局識別情報に基づいて基地局の位置情報を取得でき、更には端末5cの位置を把握できるため、無線基地局単位に、より細かく端末使用許可範囲を設定できるようになる。
更に、通信事業者が、上述の「パケット認証」のように、端末5cの使用許可を示すキーパケットを特定の無線基地局13から間欠的に同報送信するサービスを提供すれば、端末5cがキーパケットを受信できる範囲内であれば認証成功とし、そうでなければ認証失敗としてもよい。
【0082】
記憶部暗号化AP54cがインストールされた端末5cは、ブートローダ52によって記憶部暗号化AP54cがロードされると、認証AP55cの機能によって、パスワード認証、パケット認証、IPアドレス認証、無線基地局認証、GPS認証、電波認証、光認証を実行する。
【0083】
監視AP55cは、記憶部暗号化AP54cの一部であって、自らを使用不可能状態(ユーザによって使用できない状態)または機能制限状態(機能の一部が制限された使用可能状態)に遷移させるかどうかを監視するためのプログラムである。
第5の実施の形態においては、監視AP55cは、パケット監視、IPアドレス監視、無線基地局監視、GPS監視、電波監視、光監視を行う。パケット監視、GPS監視、電波監視、光監視は、第1、第3の実施の形態と同様の監視内容である。
IPアドレス監視とは、所定の監視間隔時間ごとに、端末5cに割り当てられている動的IPアドレスに基づいて端末5cが端末使用許可範囲内にあるかどうかの監視である。
無線基地局認証とは、所定の監視間隔時間ごとに、端末5cがアクセスした無線基地局13から受け取った通信事業者情報または各無線基地局13を識別する基地局識別情報に基づいて端末5cが端末使用許可範囲内にあるかどうかの監視である。
【0084】
図23は、第5の実施の形態で適用される安全指数表25の一例である。
図23の安全指数表25は図15に示す第4の実施の形態の安全指数表21に加え、IPアドレス認証および無線基地局認証についての安全指数が設定されている。また、図23に示す安全指数表25は、認証AP55cによる認証、および監視AP56cによる監視の両方に対して適用される。但し、監視AP56cによる監視については、ユーザが煩わしくないように、パスワードによる監視を行わなくても良い。
【0085】
図24は、第5の実施の形態における端末5cの起動処理の詳細を示すフローチャートである。図24の処理を行う前提として、サーバ3は、管理対象ネットワーク2a、2bに対して、端末5cの使用を許可することを示す端末使用許可情報を所定の送信間隔時間ごとに同報送信しているものとする。
【0086】
S701〜S703は、第1の実施の形態における図5のS101〜S103と同様である。
S703が終了すると、端末5cの制御部11は、認証AP55cの機能によって、IPアドレス認証(S704)、無線基地局認証(S705)を行う。
尚、S703〜S705はどのような順番で実行しても良い。
【0087】
次に制御部11は、パケット認証、IPアドレス認証、無線基地局認証のうち少なくともいずれか1つの認証処理が成功しているか否かを判定する(S706)。いずれの認証処理も成功していない場合は(S706のNo)、端末5cが使用許可範囲外であるため、処理を終了し、シャットダウン等を行う。
いずれかの認証処理が成功した場合は(S706のYes)、続いて、GPS認証(S707)、電波認証(S708)、光認証(S709)を行う。なお、上述の各認証処理における認証の結果は、パケット受信フラグ、位置情報、電波受信フラグ、光受光フラグ等としてRAMまたは記憶部12に記憶されるものとする。認証成功の場合は、該当するフラグが「1」にセットされ、認証失敗の場合は該当するフラグが「0」にセットされる。
【0088】
S709が終了すると、端末5cの制御部11は、認証AP55cの機能によって、安全指数表21に設定されている各認証処理の安全指数を認証処理結果を示す各フラグの値(「1」または「0」)に乗じ、安全指数の合計値を求める(S710)。
制御部11は、安全指数の合計値からセキュリティレベルを判定し(S711)、レベルに応じてOS起動(S712)、機能制限付きOS起動(S713)、或いは使用不可能状態へ端末5cを遷移させ、起動処理を終了する。
S710〜S713の処理は、第4の実施の形態における図17のS507〜S510と同様である。
尚、S707〜S709の順番はどのような順番で実行しても良い。
【0089】
例えば、図25に示すようにパスワード認証、無線基地局認証、光認証が認証成功し、パケット認証、IPアドレス認証、GPS認証、電波認証が認証失敗の場合は、安全指数の合計値は「16」となる。この場合、図15に示すレベル別起動設定22に従って、セキュリティレベルは「中」レベルと判定されるため、端末5cは機能制限状態で起動される。
尚、S706の判定を行わず、パケット認証、IPアドレス認証、無線基地局認証が全て認証失敗しても、S707以降のGPS認証、電波認証、光認証を続行し、S711のセキュリティレベル判定を行うようにしてもよい。この場合、GPS認証や、正当なユーザに持たせた認証用の電波発信装置6や発光装置7を用いれば、通信設備がない状況下であったり、不具合により通信断が生じてパケット認証ができない状況でも、各種の認証処理を組み合わせて所定機能の使用を可能とでき、様々な使用環境に柔軟に対応できる。
【0090】
図26は、第5の実施の形態における端末5cの監視処理の詳細を示すフローチャートである。図26の処理を行う前提として、サーバ3は、管理対象ネットワーク2a、2cに対して、端末使用許可情報を所定の送信間隔時間ごとに同報送信しているものとする。
【0091】
S801〜S803において、端末5cの制御部11は、監視AP56cの機能によって、パケット監視、IPアドレス監視、無線基地局監視を行う。
尚、S801〜S803はどのような順番で実行しても良い。
【0092】
次に制御部11は、パケット監視、IPアドレス監視、無線基地局監視のうち少なくともいずれか1つの監視処理が成功しているか否かを判定する(S804)。いずれの監視処理も成功していない場合は(S804のNo)、端末5cが端末使用許可範囲外であるため、処理を終了し、シャットダウン等を行う。
いずれかの監視処理が成功した場合は(S804のYes)、続いて、GPS監視(S805)、電波監視(S806)、光監視(S807)を行う。なお、上述の各監視処理の結果は、パケット受信フラグ、位置情報、電波受信フラグ、光受光フラグ等としてRAMまたは記憶部12に記憶されるものとする。監視成功の場合は、該当するフラグが「1」にセットされ、監視失敗の場合は該当するフラグが「0」にセットされる。
【0093】
S807が終了すると、端末5cの制御部11は、監視AP56cの機能によって、安全指数表21に設定されている安全指数を対応する監視処理の結果を示す各フラグの値(「1」または「0」)に乗じ、安全指数の合計値を求める(S808)。
制御部11は、安全指数の合計値からセキュリティレベルが前回の監視処理時と比較して低下したか否かを判定し(S809)、同じセキュリティレベルを維持している場合(S809のNo)は、制御部11はS801に進む。
セキュリティレベルが低下した場合であっても(S809のYes)、レベルが「低」でない場合は(S810のNo)、制御部11は、該当する機能制限状態に端末5cを遷移させる(S811)。
セキュリティレベルが低下し(S809のYes)、「低」となった場合は(S810のYes)、制御部11は、「低」レベルに該当する状態である使用不可状態に端末5cを遷移させる。すなわち、処理を終了し、シャットダウン等を行う。
尚、S805〜S808は、どのような順番で実行しても良い。
また、S804の判定を行わず、パケット監視、IPアドレス監視、無線基地局監視が全て失敗しても、S805以降のGPS監視、電波監視、光監視を続行し、S809のセキュリティレベル判定を行うようにしてもよい。この場合、不具合により通信断が生じてパケット監視等ができない状況でも、GPS監視や、正当なユーザに持たせた認証用の電波発信装置6や発光装置7を用いれば、各種の監視が可能となるため、様々な使用環境に柔軟に対応できる。
【0094】
以上、第5の実施の形態では、管理対象ネットワーク2を拡張し、公衆のネットワークを利用して使用管理システム1cを構築した場合にも、第1の実施の形態のパケット認証に加え、IPアドレス認証や無線基地局認証等を行って、端末5cが使用許可範囲内にない場合に、その使用を制限できる。例えば、国内の通信事業者を利用して通信接続していれば端末5cが国内にあるとして、サーバ3から許可情報を受け取れる状態になくても、所定の機能制限の下で端末5cを使用できるようにしたり、逆に、国外へ持ち出していてもサーバ3から許可情報を受信していれば所定の機能制限の下で端末5cを使用できるようにしたりすることも可能となる。また、サーバ3からの許可情報を受信せず、登録されていないIPアドレスが割り振られている場合や、登録されていない無線基地局に通信接続されている場合には、端末5cが明らかに許可されない範囲で使用されたとして、ただちにシャットダウンすることもできるため、盗難された場合でもデータの流出等を防ぐことができる。
【0095】
尚、前述の説明では、端末5cには、記憶部暗号化AP54cがインストールされるものとしたが、図27に示すように、第2の実施の形態における検疫AP57と同等のプログラム(検疫AP57c)をインストールしても良い。この場合、認証AP55cによって行われる認証の結果、および監視AP56cによって行われる監視の結果が、実行時刻とともに収集され、定期的にサーバ3に送信される。
【0096】
第1の実施の形態から第5の実施の形態を通して、サーバ3から同報送信される情報は、端末5(5a、5b、5c)の使用を許可することを示す端末使用許可情報とした。しかしながら、本発明はこの例に限定されない。例えば、サーバ3から同報送信される情報としては、端末5(5a、5b、5c)の使用を禁止することを示す端末使用禁止情報であっても良い。この場合、使用可能状態の端末5(5a、5b、5c)は、端末使用禁止情報を受信すると、使用不可能状態に遷移させる。これによって、例えば、ウィルス感染したコンピュータが管理対象ネットワーク2、2a、2cに接続されていることを検知した場合などにおいて、管理対象ネットワーク2、2a、2cに接続されている他の端末5(5a、5b、5c)の感染を防ぐことが可能となる。
【0097】
また、図20に示すように管理対象ネットワーク2cが無線通信ネットワークを含み、無線基地局13が、端末5cの使用を許可することを示す許可情報を間欠的に同報送信することが可能な場合には、端末5cは無線基地局13から同報送信される情報を受信し、無線基地局13から同報送信される許可情報もパケット認証の対象とする。これによって、端末は無線基地局から同報送信される許可情報を受信して、パケット認証を行えるため、モバイル端末を利用した使用管理システムを安全に構築できるようになる。
【0098】
以上、添付図面を参照しながら、本発明における使用管理システム等の好適な実施形態について説明したが、本発明はかかる例に限定されない。当業者であれば、本願で開示した技術的思想の範疇内において、各種の変更例又は修正例に想到し得ることは明らかであり、それらについても当然に本発明の技術的範囲に属するものと了解される。
【符号の説明】
【0099】
1、1a、1c………使用管理システム
2、2a、2c………管理対象ネットワーク
3………サーバ
4………ルータ
5、5a、5b、5c………端末
6………電波発信装置
7………発光装置
31………BIOS
32………ブートローダ
33………OS
34………使用管理AP
51………BIOS
52………ブートローダ
53………OS
54………記憶部暗号化AP
55、55a、55b、55c………認証AP
56、56a、56b、56c………監視AP
57、57b、57c………検疫AP
61………セキュリティレベル表
11………インターネット
12………ISP
13………無線基地局
14………VPNサーバ
21、25………安全指数表
22………レベル別起動設定
【技術分野】
【0001】
本発明は、コンピュータの使用を適切に管理する使用管理システム等に関するものである。
【背景技術】
【0002】
企業等では、社員一人一人に一台のコンピュータを配布することが多い。営業秘密や個人情報などの情報漏洩を防止するため、通常、コンピュータの使用は、企業等の施設内に限られる。
しかしながら、ノート型PC(パーソナルコンピュータ)など容易に持ち運びが出来るコンピュータの場合、社員は自宅などに持ち帰ってしまうことがある。社員の自宅などでは、企業等の施設内にて使用される場合のセキュリティポリシーを適用することができないことから、不正目的の使用を防ぐことができない。また、社員には不正目的の意思がなくても、盗難や紛失などが発生すれば、第三者によって不正目的の使用が行われてしまう。
そこで、企業等の施設外では、コンピュータの使用を制限するための仕組みが望まれる。
【0003】
特許文献1では、RFIDを利用した情報処理端末のセキュリティ管理システムが開示されている。特許文献1の段落0027には、会社の社内等のネットワークのセキュリティ保護が適切に行われている場所では、卓上等に設置されたRFID発信機から利用場所の情報を取得し、情報処理端末の利用時の認証を行うことが記載されている。また、社外に持ち出した際にはRFID発信機から情報を取得できないので、認証を行うことができないことが記載されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2009−237905号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、RFID受信機能は、通常のコンピュータには搭載されていない為、RFID受信機能を有するコンピュータを購入する必要がある。また、会社等の施設が広い場合、多くのRFID発信機を設置する必要がある。そうすると、数多くの社員を有する企業においては、特許文献1に記載のシステムを導入することはコストの面で現実的ではない。
また、特許文献1に記載の仕組みだけでは、RFID受信機能を有さないコンピュータを使用したいときに認証を行うことができず、不便である。
【0006】
本発明は、前述した問題点に鑑みてなされたもので、その目的とすることは、コストをかけず、確実に使用を管理することが可能な使用管理システム等を提供することである。また、その他の目的は、様々な認証の仕組みを備え、利便性の高い使用管理システム等を提供することである。
【課題を解決するための手段】
【0007】
前述した目的を達成するために第1の発明は、端末と、前記端末と管理対象ネットワークを介して接続されるサーバとから構成され、前記端末の使用を管理する使用管理システムであって、前記サーバは、前記管理対象ネットワークに対して、前記端末の使用を許可することを示す許可情報を間欠的に同報送信する同報送信手段、を具備し、前記端末は、同報送信される情報を受信する同報受信手段と、前記同報受信手段によって前記許可情報を受信したかどうかによるパケット認証を含む、複数種類の認証処理を実行する認証処理手段と、前記認証処理手段による各種認証処理の結果と、各認証処理について予め設定された安全指数とに基づいて端末のセキュリティレベルを判定する判定手段と、前記判定手段により判定されたセキュリティレベルに応じて、使用できる機能を制限して自らを起動する起動手段と、を具備することを特徴とする使用管理システムである。
第1の発明によって、管理対象ネットワークに接続していない状態で端末の使用を試みても、端末を使用することはできないので、管理主体の施設外での不正使用を防止することができる。また、複数の認証処理を組み合わせて実行することでセキュリティレベルをより細かく判定し、各レベルに応じた使用制限をすることが可能となり、柔軟なセキュリティ管理を行える。
【0008】
第1の発明において、前記管理対象ネットワークが、公衆の通信ネットワークを利用して構築される場合、前記端末が具備する認証処理手段は、更に、端末に割り当てられたIPアドレスに基づき当該端末の位置情報を取得し、使用を許可された範囲内にあるかどうかによるIPアドレス認証、および通信接続している基地局から送信される基地局識別情報に基づき当該端末の位置情報を取得し、使用を許可された範囲内にあるかどうかによる基地局認証のうち少なくともいずれか一方または両方を実行し、前記パケット認証、前記IPアドレス認証、および前記基地局認証のうち少なくともいずれかの認証が成功した場合に、前記判定手段によるセキュリティレベルの判定を行うことが望ましい。
これによって、端末を管理主体の施設外に持出し、インターネット等の公衆のネットワークに接続した場合であっても、IPアドレスや基地局の識別情報から端末の位置を割り出して端末の使用を制限または許可できるため、管理対象ネットワークの拡張を低コストに実現できる。また、より柔軟なセキュリティ管理を行える。
【0009】
また、第1の発明において、前記端末は、前記使用可能状態において、所定時間ごとに前記認証処理を実行し、認証処理の結果に基づく前記セキュリティレベルの判定を前記判定手段により行い、所定のセキュリティレベルに達していない場合には、ユーザによって使用できない状態である使用不可能状態、或いは使用できる機能を制限した機能制限状態に自らを遷移させる監視手段、を更に具備することが望ましい。
使用可能状態で端末が管理主体の施設外に持ち運ばれても、端末をそのまま使用することを防止することができる。また、使用可能状態では、端末は管理対象ネットワークに接続されていることになるので、ユーザがセキュリティポリシーを守っているか否かをリアルタイムで監視することもできる。
【0010】
また、第1の発明において、前記管理対象ネットワークが無線通信ネットワークを含む場合、無線基地局が、前記端末の使用を許可することを示す許可情報を間欠的に同報送信する無線同報送信手段を備え、前記端末の前記同報受信手段は、前記無線基地局から同報送信される情報を受信し、前記認証処理手段によるパケット認証処理は、前記無線基地局から同報送信される情報も認証の対象とすることが望ましい。
これによって、端末は無線基地局から同報送信される許可情報を受信して、パケット認証を行えるため、モバイル端末を利用した使用管理システムの構築に好適である。
【0011】
また、第1の発明における前記端末が具備する認証処理手段は、更に、自らのGPS受信部によって受信される位置情報が当該端末の使用を許可する範囲内かどうかの認証であるGPS認証、自らの電波受信部によって受信される電波が当該端末の使用を許可するものかどうかの認証である電波認証、または自らの受光部によって受光される光が当該端末の使用を許可するものかどうかの認証である光認証の少なくとも1つを含むことが望ましい。
これによって、端末のハードウエア構成や使用する環境に適した認証を行うことができ、利便性を高めることができる。特に、様々な認証の仕組みを備えることで、設備に応じた柔軟なセキュリティ管理を行える。
【0012】
また、第1の発明における前記端末は、例えば、自らの記憶部に記憶される情報を自動的に暗号化し、かつ前記使用可能状態では復号して読み取り可能とする情報保護手段、を更に具備し、前記端末が具備する前記同報受信手段および前記起動手段は、前記情報保護手段の一部として実行される。
これによって、仮に記憶部を取り外して、記憶部の解析を試みても、情報を読み取ることはできない。
【0013】
また、第1の発明における前記端末は、例えば、予め定められたセキュリティポリシーに適合しているかどうかを検疫する検疫手段、を更に具備し、前記検疫手段は、前記端末が具備する前記起動手段および前記監視手段の結果を収集し、前記サーバに送信する。
これによって、万が一不正使用が行われた場合であっても、不正使用後に端末が管理対象ネットワークに接続されることで、不正使用の履歴を追跡することができる。
【0014】
第2の発明は、端末と、前記端末と管理対象ネットワークを介して接続されるサーバとによって実行され、前記端末の使用を管理する使用管理方法であって、前記サーバは、前記管理対象ネットワークに対して、前記端末の使用を許可することを示す許可情報を間欠的に同報送信し、前記端末は、同報送信される情報を受信し、前記許可情報を受信したかどうかによるパケット認証を含む、複数種類の認証処理を実行し、各種認証処理の結果と、各認証処理について予め設定された安全指数とに基づいて端末のセキュリティレベルを判定し、判定されたセキュリティレベルに応じて、使用できる機能を制限して自らを起動することを特徴とする使用管理方法である。
第2の発明によって、管理対象ネットワークに接続していない状態で端末の使用を試みても、端末を使用することはできないので、管理主体の施設外での不正使用を防止することができる。また、複数の認証処理を組み合わせて実行することでセキュリティレベルをより細かく判定し、各レベルに応じた使用制限をすることが可能となり、柔軟なセキュリティ管理を行える。
【発明の効果】
【0015】
本発明により、コストをかけず、確実に使用を管理することが可能な使用管理システム等を提供することができる。また、様々な認証の仕組みを備え、利便性の高い使用管理システム等を提供することができる。
【図面の簡単な説明】
【0016】
【図1】第1の実施の形態における使用管理システム1の全体構成図
【図2】サーバ3および端末5を実現するコンピュータのハードウエア構成図
【図3】サーバ3の記憶部12に記憶されるプログラムの一例を示す図
【図4】第1の実施の形態における端末5の記憶部12に記憶されるプログラムの一例を示す図
【図5】第1の実施の形態における端末5の起動処理の詳細を示すフローチャート
【図6】第1の実施の形態における端末5の監視処理の詳細を示すフローチャート
【図7】第2の実施の形態における端末5の記憶部12に記憶されるプログラムの一例を示す図
【図8】第3の実施の形態における使用管理システム1aの全体構成図
【図9】第3の実施の形態における端末5aを実現するコンピュータのハードウエア構成図
【図10】第3の実施の形態における端末5aの記憶部12に記憶されるプログラムの一例を示す図
【図11】セキュリティレベル表61の一例を示す図
【図12】第3の実施の形態における端末5aの起動処理の詳細を示すフローチャート
【図13】第3の実施の形態における端末5aの監視処理の詳細を示すフローチャート
【図14】第4の実施の形態における端末5bの記憶部12に記憶されるプログラムの一例を示す図
【図15】安全指数表21の一例を示す図
【図16】レベル別起動設定22の一例を示す図
【図17】第4の実施の形態における端末5bの起動処理の詳細を示すフローチャート
【図18】第4の実施の形態のセキュリティレベル算出例を説明する図
【図19】第4の実施の形態における端末5bの監視処理の詳細を示すフローチャート
【図20】第5の実施の形態における使用管理システム1cの全体構成図
【図21】第5の実施の形態における端末5cを実現するコンピュータのハードウエア構成図
【図22】第5の実施の形態における端末5cの記憶部12に記憶されるプログラムの一例
【図23】第5の実施の形態で適用される安全指数表25の一例を示す図
【図24】第5の実施の形態における端末5cの起動処理の詳細を示すフローチャート
【図25】第5の実施の形態のセキュリティレベル算出例を説明する図
【図26】第5の実施の形態における端末5cの監視処理の詳細を示すフローチャート
【図27】第5の実施の形態における端末5cの記憶部12に記憶されるプログラムの一例を示す図
【発明を実施するための形態】
【0017】
以下図面に基づいて、本発明の実施形態を詳細に説明する。
<第1の実施の形態>
図1は、第1の実施の形態における使用管理システム1の全体構成図である。使用管理システム1では、管理対象ネットワーク2に接続される端末5(コンピュータ)の使用を管理する。
管理対象ネットワーク2は、企業等の単一の管理主体によって管理され、インターネット等の外部ネットワークに対して閉じているネットワークである。管理対象ネットワーク2は、例えば、企業等の社内LAN(Local Area Network)、複数の拠点に敷設されているLANが専用線等によって接続される社内WAN(Wide Area Network)等が挙げられる。
管理対象ネットワーク2に用いられる物理的な各種のネットワーク機器は、外部の者が利用できない場所(例えば、管理主体が企業であれば企業の施設内)のみに設置される。従って、外部の者は、管理対象ネットワーク2に端末5を接続することができない。
尚、図1には、ネットワーク機器の一例としてルータ4を図示しているが、ネットワーク機器はこれに限定されるものではなく、スイッチ、ハブ、ファイアウォール等が挙げられる。
また、ネットワーク機器やコンピュータを互いに通信可能にするための接続は、有線であっても無線であっても良い。
【0018】
サーバ3は、管理対象ネットワーク2に接続される端末5の使用を管理するためのコンピュータであり、ルータ4等のネットワーク機器を介して管理対象ネットワーク2と接続される。サーバ3は、管理対象ネットワーク2に対して、端末5の使用を許可することを示す端末使用許可情報を所定の送信間隔時間ごとに同報送信するものである。
端末5は、企業等の管理主体に属するユーザが使用するコンピュータであり、ルータ4等のネットワーク機器を介して管理対象ネットワーク2と接続される。端末5は、サーバ3から同報送信される情報を受信し、端末使用許可情報を受信した場合には、使用可能状態(ユーザによって使用できる状態)に遷移するものである。すなわち、端末5は、自らを使用可能状態に遷移させる前に、自らが使用可能状態に遷移して良いか否かの判定を行う。
サーバ3と端末5の動作の詳細は後述する。
【0019】
図2は、サーバ3および端末5を実現するコンピュータのハードウエア構成図である。尚、図2のハードウエア構成は一例であり、用途、目的に応じて様々な構成を採ることが可能である。
コンピュータは、制御部11、記憶部12、入力部13、表示部14、通信制御部15等が、バス19を介して接続される。
【0020】
制御部11は、CPU(Central Processing Unit)、RAM(Random Access Memory)等で構成される。
【0021】
CPUは、記憶部12、記録媒体等に格納されるプログラムをRAM上のワークメモリ領域に呼び出して実行し、バス19を介して接続された各装置を駆動制御し、コンピュータが行う処理を実現する。
RAMは、揮発性メモリであり、記憶部12、記録媒体等からロードしたプログラム、データ等を一時的に保持するとともに、制御部11が各種処理を行う為に使用するワークエリアを備える。
【0022】
記憶部12は、ROM(Read Only Memory)、フラッシュメモリ、HDD(ハードディスクドライブ)等であり、制御部11が実行するプログラム、プログラム実行に必要なデータ等が格納される。プログラムに関しては、BIOS(Basic Input/Output System)、ブートローダ、OS(Operating System)に相当する制御プログラムや、後述する処理をコンピュータに実行させるためのアプリケーションプログラムが格納されている。
これらの各プログラムコードは、制御部11により必要に応じて読み出されてRAMに移され、CPUに読み出されて各種の手段として実行される。
記憶部12は、USB(Universal Serial Bus)等を介して接続される外部記憶装置(USBメモリ、外付型ハードディスク等)であっても良い。
【0023】
入力部13は、データの入力を行い、例えば、キーボード、マウス等のポインティングデバイス、テンキー等の入力装置を有する。
入力部13を介して、コンピュータに対して、操作指示、動作指示、データ入力等を行うことができる。
表示部14は、CRTモニタ、液晶パネル等のディスプレイ装置、ディスプレイ装置と連携してコンピュータのビデオ機能を実現するための論理回路等(ビデオアダプタ等)を有する。
通信制御部15は、通信制御装置、通信ポート等を有し、コンピュータとネットワーク間の通信を媒介する通信インタフェースであり、ネットワークを介して、他のコンピュータ間との通信制御を行う。ネットワークは、有線、無線を問わない。
バス19は、各装置間の制御信号、データ信号等の授受を媒介する経路である。
【0024】
図3は、サーバ3の記憶部12に記憶されるプログラムの一例を示す図である。
サーバ3の記憶部12には、BIOS31、ブートローダ32、OS33、使用管理AP(APplication)34等のプログラムが記憶されている。
BIOS31は、各種のハードウエアとの入出力を行うためのプログラムである。サーバ3の電源投入時には、BIOS31が記憶部12から読み出されて実行される。BIOS31では、各種のハードウエアの初期化を行い、ブートローダ32を読み込む。
ブートローダ32は、OS33等の特定のプログラムをロードして起動するためのプログラムである。ブートローダ32は、BIOS31によって読み出され、OS33等の特定のプログラムをロードする。尚、一般には、記憶部12のブートセクタ(ブートブロック)に記憶されるプログラムを一次ブートローダと呼び、一次ブートローダに読み込まれてOS33等の特定のプログラムをロードするプログラムを二次ブートローダと呼ぶ。
OS33は、各種のハードウエアを抽象化したインタフェースをアプリケーションプログラムに提供したり、複数のアプリケーションプログラムを同時に利用する際に互いに独立して効率的に処理が行えるように資源を管理したりするなど、コンピュータの基本的な機能を提供する為のプログラムである。
【0025】
使用管理AP34は、管理対象ネットワーク2に接続される端末5(コンピュータ)の使用を管理するためのプログラムである。サーバ3は、OS33が起動された後、使用管理AP34を実行し、管理対象ネットワーク2に対して、端末使用許可情報を所定の送信間隔時間ごとに同報送信する。
具体的には、サーバ3は、例えば、IP(Internet Protocol)レベルのブロードキャスト通信を行う。IPレベルのブロードキャスト通信では、送信先アドレスを「ブロードキャストアドレス」と呼ばれる特別なアドレスに設定して、端末使用許可情報のパケットを送信する。
端末使用許可情報は、特に限定しないが、例えば、ワンタイムパスワードのように、時間帯によって異なる内容とすることが望ましい。また、端末使用許可情報は、例えば、暗号化して送信し、正規の端末5によってのみ復号できるものとしても良い。
【0026】
ブロードキャストアドレスには、例えば、リミテッドブロードキャストアドレス、またはディレクティッドブロードキャストアドレスと呼ばれるものを指定することができる。
リミテッドブロードキャストアドレスとは、全てのビットが1となっているIPアドレスのことである。例えば、IPv4(Internet Protocol version 4)であれば、「255.255.255.255」がリミテッドブロードキャストアドレスとなる。リミテッドブロードキャストアドレスを指定してブロードキャスト通信を行うと、送信元が接続されているネットワークセグメント(イーサネット(登録商標)であればコリジョンセグメント)内の全てのコンピュータに対してデータが送信される。一方、ルータ4を介して接続されている他のネットワークセグメントへは送信されない。
ディレクティッドブロードキャストアドレスとは、ネットワークアドレス部は変えずに、ホストアドレス部のビットを全て1にしたIPアドレスである。例えば、IPv4における「192.168.0」というネットワークアドレスに対しては、ホストアドレス部(下位の8ビット)を全て1にした「192.168.0.255」が、ディレクティッドブロードキャストアドレスとなる。ディレクティッドブロードキャストアドレスを指定してブロードキャスト通信を行うと、特定のネットワークアドレス(前述の例では、「192.168.0」)を持つ全てのコンピュータに対してデータが送信される。
【0027】
図1に示すように、管理対象ネットワーク2が、複数のルータ4によって接続されて複数のネットワークセグメントを有している場合を考える。また、管理対象ネットワーク2は、例えば、「192.168.0」〜「192.168.9」の10種類のネットワークアドレスを利用して構築されているものとする。
サーバ3は、10種類全てのネットワークアドレスに対応するディレクティッドブロードキャストアドレスを指定して、端末使用許可情報のパケットを同時にブロードキャスト通信する。
また、サーバ3をネットワークアドレスごとに配置し、それぞれのサーバ3が、リミテッドブロードキャストアドレスを指定して、端末使用許可情報のパケットをブロードキャスト通信するようにしても良い。この場合、全てのサーバ3を統括する統括サーバ(不図示)を設置し、統括サーバが各サーバ3に対してブロードキャスト通信の実行を指示することで、ブロードキャスト通信の送信タイミングの同期を取ることができる。
【0028】
図4は、第1の実施の形態における端末5の記憶部12に記憶されるプログラムの一例を示す図である。
端末5の記憶部12には、BIOS51、ブートローダ52、OS53、認証AP55および監視AP56を含む記憶部暗号化AP54等のプログラムが記憶されている。
BIOS51、ブートローダ52、OS53は、図3に示すBIOS31、ブートローダ32、OS33と同様である。尚、第1の実施の形態では、端末5のブートローダ52は、記憶部暗号化AP54をロードする。
【0029】
記憶部暗号化AP54は、自らの記憶部12に記憶される情報を自動的に暗号化し、かつ使用可能状態(ユーザによって使用できる状態)では復号して読み取り可能とするためのプログラムである。記憶部暗号化AP54は、コンピュータにインストールされて初期設定が行われると、記憶部12に記憶されている情報を暗号化する。また、記憶部暗号化AP54は、インストール後に記憶部12に記憶される情報も暗号化する。暗号化対象となる情報は、ユーザが明示的に指示して記憶されるデータだけでなく、OS53、アプリケーションプログラムなどのプログラム、OS53によって利用されるシステムファイル領域、アプリケーションプログラムによって利用される各種データなども含む。但し、BIOS51、ブートローダ52、記憶部暗号化AP54、記憶部暗号化AP54によって利用されるデータについては、暗号化しない。
【0030】
第1の実施の形態においては、使用可能状態(ユーザによって使用できる状態)への遷移は、予め定められた暗号化解除認証が成功したことを意味する。暗号化解除認証は、記憶部暗号化AP54の初期設定時に設定する。
記憶部暗号化AP54がインストールされた端末5は、暗号化解除認証が成功すると、自らを使用可能状態に遷移させ、暗号化した情報を復号して読み取り可能とする。
暗号化解除認証が成功しなければOS53も復号しない為、ユーザはOS53でさえも起動することができない。
【0031】
認証AP55は、記憶部暗号化AP54の一部であって、暗号化解除認証を実行するためのプログラムである。
第1の実施の形態においては、暗号化解除認証とは、ユーザ認証とパケット認証とする。
ユーザ認証とは、ユーザを識別するための識別情報を受け付けて、端末5の使用が許可されているユーザかどうかを認証する。ユーザを識別するための識別情報としては、例えば、暗証番号、パスワード、ユーザに配布されるICカードの情報、ユーザの生体情報(指紋、虹彩、静脈、声紋、顔形など)などが挙げられる。以下では、説明を簡単にする為に、ユーザ認証は、パスワードを識別情報とした認証であるパスワード認証を行うものとする。
パケット認証とは、管理対象ネットワーク2に流れるパケットに基づいて行う認証を意味する。具体的には、パケット認証は、使用管理AP34がインストールされたサーバ3から送信される端末使用許可情報のパケットを受信したかどうかを認証する。
記憶部暗号化AP54がインストールされた端末5は、ブートローダ52によって記憶部暗号化AP54がロードされると、認証AP55の機能によって、パスワード認証およびパケット認証を実行する。
尚、サーバ3が端末使用許可情報を暗号化して送信する場合、記憶部暗号化AP54は、パスワード認証が成功した場合にのみ、端末使用許可情報の復号を可能とするようにしても良い。
【0032】
監視AP55は、記憶部暗号化AP54の一部であって、自らを使用不可能状態(ユーザによって使用できない状態)に遷移させるかどうかを監視するためのプログラムである。
第1の実施の形態においては、監視AP55は、所定の監視間隔時間ごとに、端末使用許可情報のパケットが直近の所定の監視間隔時間内に受信されたかどうかを確認し、受信されていない場合には、使用不可能状態に自らを遷移させる。
【0033】
図5は、第1の実施の形態における端末5の起動処理の詳細を示すフローチャートである。図5の処理を行う前提として、サーバ3は、管理対象ネットワーク2に対して、端末使用許可情報を所定の送信間隔時間ごとに同報送信しているものとする。
【0034】
端末5の制御部11は、電源が投入されると、記憶部12からBIOS51を読み出して起動することで、各種のハードウエアの初期化を行い、ブートローダ52を読み込む(S101)。
次に、制御部11は、ブートローダ52を実行することで、記憶部暗号化AP54を読み出し、記憶部暗号化AP54の一部である認証AP55の機能によって、パスワード認証を行う(S102)。S102では、制御部11は、表示部14にパスワード入力画面を表示する。これに対して、ユーザは、入力部13を介してパスワードを入力する。制御部11は、入力されたパスワードを認証し、認証が成功すると、S103に進む。一方、認証が失敗すると、制御部11は、処理を終了し、シャットダウン等を行う。
尚、シャットダウンは、使用不可能状態(ユーザによって使用できない状態)に自らを遷移させる処理の一例に過ぎず、例えば、再起動、OS53からのログオフなど、その他の処理を行っても良い。また、以下の説明においても同様とする。
【0035】
次に、制御部11は、認証AP55の機能によって、パケット認証を行う(S103)。S103では、制御部11は、通信制御部15を介して、同報送信されている情報を監視する。サーバ3からの端末使用許可情報が受信されたことを確認すると、制御部11は、パケット認証が成功したものとして、S104に進む。一方、所定のタイムアウト時間(少なくとも、サーバ3による端末使用許可情報の送信間隔時間よりも長い時間)を経過してもサーバ3からの端末使用許可情報が受信されない場合、パケット認証が失敗したものとして、処理を終了し、シャットダウン等を行う。
尚、S102とS103は、いずれを先に実行しても良い。
【0036】
次に、制御部11は、記憶部暗号化AP54の機能によって、記憶部12を復号して読み取り可能とし、OS53を読み出して起動する(S104)。以降の処理はOS53の機能によって実行され、ユーザは端末5を使用することが可能となる。
【0037】
図6は、第1の実施の形態における端末5の監視処理の詳細を示すフローチャートである。図6の処理を行う前提として、サーバ3は、管理対象ネットワーク2に対して、端末使用許可情報を所定の送信間隔時間ごとに同報送信しているものとする。
【0038】
端末5の制御部11は、記憶部暗号化AP54の一部である監視AP56の機能によって、パケット監視を行う(S201)。S201では、制御部11は、通信制御部15を介して、同報送信されているパケットを監視し、サーバ3からの端末使用許可情報のパケットを受信すると、パケット受信フラグをRAMまたは記憶部12に記憶しておく。所定の監視間隔時間(少なくとも、サーバ3による端末使用許可情報の送信間隔時間よりも長い時間)が経過すると、制御部11は、S202に進む。
次に、制御部11は、端末使用許可情報のパケットが直近の監視間隔時間内に受信されたか、すなわちパケット受信フラグがRAMまたは記憶部12に記憶されているかどうかを確認する(S202)。
パケット受信フラグが記憶されている場合(S202のYes)、制御部11は、パケット受信フラグを削除し、S201に進む。
パケット受信フラグが記憶されていない場合(S202のNo)、制御部11は、処理を終了し、シャットダウン等を行う。
【0039】
以上、第1の実施の形態では、サーバ3は、管理対象ネットワーク2に対して、端末使用許可情報を所定の送信間隔時間ごとに同報送信し、端末5は、端末使用許可情報を受信すると、自らを使用可能状態に遷移させる。これによって、管理対象ネットワーク2に接続していない状態で端末5の使用を試みても、端末5を使用することはできない。従って、管理主体の施設外での不正使用を防止することができる。第1の実施の形態における使用管理システム1は、サーバ3および端末5として通常のコンピュータを用いれば良いので、数多くのコンピュータを管理する場合もコストをかけず、確実に使用を管理することができる。
【0040】
また、端末5は、定期的に端末使用許可情報のパケットが受信されたかどうか確認し、受信されていない場合、自らを使用不可能状態に遷移させる。これによって、使用可能状態で端末5を管理主体の施設外に持ち運ばれても、端末5をそのまま使用することを防止することができる。また、使用可能状態では、端末5は管理対象ネットワーク2に接続されていることになるので、ユーザがセキュリティポリシーを守っているか否かをリアルタイムで監視することもできる。
【0041】
更に、認証AP55が行うパケット認証は、記憶部暗号化AP54における暗号化解除認証となっているので、パケット認証が成功しなければ、端末5の記憶部12に記憶されている情報は暗号化されたままである。従って、仮に記憶部12であるハードディスクを取り外して、ハードディスクの解析を試みても、情報を読み取ることはできない。
【0042】
尚、前述の説明では、認証AP55がパスワード認証およびパケット認証を行うものとしたが、認証AP55はパケット認証のみを行うようにして、OS53の機能によってパスワード認証を行うようにしても良い。
また、前述の説明では、認証AP55および監視AP56が記憶部暗号化AP54の一部としたが、これらは別のプログラムとして実行されても良い。
【0043】
<第2の実施の形態>
第2の実施の形態は、第1の実施形態と比較して、端末5にインストールされるプログラムが異なる。以下、第1の実施の形態と同じ要素には同じ番号を付し、重複する説明を省略する。
【0044】
図7は、第2の実施の形態における端末5の記憶部12に記憶されるプログラムの一例を示す図である。
端末5の記憶部12には、BIOS51、ブートローダ52、OS53、認証AP55および監視AP56を含む検疫AP57等のプログラムが記憶されている。
第2の実施の形態では、端末5のブートローダ52は、OS53をロードする。そして、OS53が起動された後、検疫AP57がロードされ、検疫AP57の一部である認証AP55、監視AP56が実行される。
第2の実施の形態においては、使用可能状態(ユーザによって使用できる状態)への遷移は、検疫AP57の一部である認証AP55による認証が成功したことを意味する。
尚、認証AP55はパケット認証のみを行うようにして、OS53の機能によってパスワード認証を行うようにしても良い。
【0045】
検疫AP57は、端末5の各種情報を収集し、セキュリティポリシーに適合しているかどうかを検疫するためのプログラムである。収集する情報は、例えば、ウィルス対策ソフトのパターンファイルのバージョン、OS53のバージョン、その他セキュリティポリシーに応じて必要な情報である。
また、その他には、認証AP55によって行われる認証の結果、および監視AP56によって行われる監視の結果が、実行時刻とともに収集される。
収集した情報は、検疫AP57の機能によって、定期的にサーバ3に送信され、管理者が確認できる。
【0046】
第2の実施の形態では、検疫AP57の機能によって、認証AP55による認証の結果および監視AP56による監視の結果が収集されるので、万が一不正使用が行われた場合であっても、不正使用後に端末5が管理対象ネットワーク2に接続されることで、不正使用の履歴を追跡することができる。
【0047】
<第3の実施の形態>
第3の実施の形態は、第1の実施形態と比較して、端末5のハードウエア構成、端末5にインストールされるプログラムが異なる。以下、第1の実施の形態と同じ要素には同じ番号を付し、重複する説明を省略する。
【0048】
図8は、第3の実施の形態における使用管理システム1aの全体構成図である。
使用管理システム1aは、管理対象ネットワーク2に接続されるサーバ3、端末5aの他に、電波発信装置6、発光装置7等を構成に含む。
電波発信装置6は、端末5aの使用を許可することを示す特定の周波数を有する電波、または端末5aの使用を許可することを示す情報を搬送する電波を発信するものである。電波発信装置6は、管理主体の施設外では受信できないように、管理主体の施設に応じて適切な強度、指向性を有する電波を発信する。
発光装置7は、端末5aの使用を許可することを示す特定の波長を有する光、または端末5aの使用を許可することを示す情報を搬送する光を発光するものである。
【0049】
図9は、第3の実施の形態における端末5aを実現するコンピュータのハードウエア構成図である。尚、図9のハードウエア構成は一例であり、用途、目的に応じて様々な構成を採ることが可能である。
コンピュータは、制御部11、記憶部12、入力部13、表示部14、通信制御部15、電波受信部16、受光部17、GPS(Global Positioning System)受信部18等が、バス19を介して接続される。
【0050】
電波受信部16は、電波発信装置6から発信される電波を受信する。電気受信部16は、制御部11からの要求に応じて、端末5aの使用を許可することを示す電波を受信したかどうかを応答する。
受光部17は、発光装置7から発光される光を受信する。受光部17は、制御部11からの要求に応じて、端末5aの使用を許可することを示す光を受光したかどうかを応答する。
GPS受信部18は、GPS衛星からの信号を受信し、端末5aの現在位置を特定する。GPS受信部18は、制御部11からの要求に応じて、端末5aの現在位置(緯度、経度)を応答する。
【0051】
図10は、第3の実施の形態における端末5aの記憶部12に記憶されるプログラムの一例を示す図である。
端末5aの記憶部12には、BIOS51、ブートローダ52、OS53、認証AP55aおよび監視AP56aを含む記憶部暗号化AP54a等のプログラムが記憶されている。
BIOS51、ブートローダ52、OS53は、第1の実施の形態、第2の実施の形態と同様である。尚、第3の実施の形態では、端末5aのブートローダ52は、記憶部暗号化AP54aをロードする。
また、記憶部暗号化AP54aも、認証AP55aおよび監視AP56aを除いては、第1の実施の形態と同様である。
【0052】
認証AP55aは、記憶部暗号化AP54aの一部であって、暗号化解除認証を実行するためのプログラムである。
第3の実施の形態においては、暗号化解除認証とは、パスワード認証(ユーザ認証)、パケット認証、GPS認証、電波認証、光認証とする。
パスワード認証およびパケット認証は、第1の実施の形態と同様である。
GPS認証とは、GPS受信部18によって受信される位置情報が端末5aの使用を許可する端末使用許可範囲内かどうかの認証である。端末使用許可範囲は、記憶部暗号化AP54aの初期設定時に設定する。
電波認証とは、電波受信部16によって受信される電波が端末5aの使用を許可するものかどうかの認証である。端末5aの使用を許可することを示す電波の定義は、記憶部暗号化AP54aの初期設定時に設定する。
光認証とは、受光部17によって受光される光が端末5aの使用を許可するものかどうかの認証である。端末5aの使用を許可することを示す光の定義は、記憶部暗号化AP54aの初期設定時に設定する。
記憶部暗号化AP54aがインストールされた端末5aは、ブートローダ52によって記憶部暗号化AP54aがロードされると、認証AP55aの機能によって、パスワード認証、パケット認証、GPS認証、電波認証、光認証を実行する。
【0053】
監視AP55aは、記憶部暗号化AP54aの一部であって、自らを使用不可能状態(ユーザによって使用できない状態)に遷移させるかどうかを監視するためのプログラムである。
第3の実施の形態においては、監視AP55aは、パケット監視、GPS監視、電波監視、光監視を行う。
パケット監視とは、第1の実施の形態と同様の監視内容であって、所定の監視間隔時間ごとに、端末使用許可情報のパケットが直近の所定の監視間隔時間内に受信されたかどうかの監視である。
GPS監視とは、所定の監視間隔時間ごとに、GPS受信部18によって受信される位置情報が端末5aの使用を許可する端末使用許可範囲内かどうかの監視である。
電波監視とは、所定の監視間隔時間ごとに、端末5aの使用を許可する電波が直近の所定の監視間隔時間内に受信されたかどうかの監視である。
光監視とは、所定の監視間隔時間ごとに、端末5aの使用を許可する光が直近の所定の監視間隔時間内に受信されたかどうかの監視である。
【0054】
図11は、セキュリティレベル表61の一例を示す図である。
第3の実施の形態では、端末5aごとに異なるセキュリティレベルを設定する。セキュリティレベルは、記憶部暗号化AP54aの初期設定時に設定する。図11に示すセキュリティレベル表61は、認証AP55aによる認証、および監視AP56aによる監視の両方に対して適用される。但し、監視AP56aによる監視については、ユーザが煩わしくないように、パスワードによる監視を行わなくても良い。
例えば、図11に示す例では、レベル1の端末5aに対する認証は、パスワード認証のみを行う。一方、レベル5の端末5aに対する認証は、パスワード認証、パケット認証、GPS認証、電波認証、光認証の全てを行う。
【0055】
尚、セキュリティレベル表61は、図11に示す例に限定されるものではない。図11に示すレベル3に代わる例としては、例えば、パスワード認証、およびパケット認証(監視)を必須とし、更に、GPS認証(監視)、電波認証(監視)、光認証(監視)のいずれか1つの認証が成功すればセキュリティレベル表61を満たすとしても良い。
また、図11に示すレベル4に代わる例としては、例えば、パスワード認証、およびパケット認証(監視)を必須とし、更に、GPS認証(監視)、電波認証(監視)、光認証(監視)のいずれか2つの認証が成功すればセキュリティレベル表61を満たすとしても良い。
【0056】
図12は、第3の実施の形態における端末5aの起動処理の詳細を示すフローチャートである。図12の処理を行う前提として、サーバ3は、管理対象ネットワーク2に対して、端末5aの使用を許可することを示す端末使用許可情報を所定の送信間隔時間ごとに同報送信しているものとする。
【0057】
S301〜S303は、第1の実施の形態における図5のS101〜S103と同様である。
S303が終了すると、端末5aの制御部11は、認証AP55aの機能によって、GPS認証(S304)、電波認証(S305)、光認証(S306)を行う。
次に、制御部11は、自らに設定されたセキュリティレベルに対応するセキュリティレベル表61を満たしているかどうか、すなわちセキュリティレベルに応じた認証が全て成功しているかどうかを確認する(S307)。
成功している場合(S307のYes)、制御部11は、記憶部暗号化AP54aの機能によって、記憶部12を復号して読み取り可能とし、OS53を読み出して起動する(S308)。以降の処理はOS53の機能によって実行され、ユーザは端末5aを使用することが可能となる。
成功していない場合(S307のNo)、制御部11は、処理を終了し、シャットダウン等を行う。
尚、S302〜S306は、どのような順番で実行しても良い。
【0058】
図13は、第3の実施の形態における端末5aの監視処理の詳細を示すフローチャートである。図13の処理を行う前提として、サーバ3は、管理対象ネットワーク2に対して、端末使用許可情報を所定の送信間隔時間ごとに同報送信しているものとする。
【0059】
端末5aの制御部11は、監視AP56aの機能によって、パケット監視(S401)、GPS監視(S402)、電波監視(S403)、光監視(S404)を行う。
制御部11は、パケット監視において、サーバ3からの端末使用許可情報のパケットを受信すると、パケット受信フラグをRAMまたは記憶部12に記憶しておく。また、制御部11は、GPS監視において、GPS受信部18によって受信される位置情報をRAMまたは記憶部12に記憶しておく。また、制御部11は、電波監視において、端末5aの使用を許可することを示す電波を受信すると、電波受信フラグをRAMまたは記憶部12に記憶しておく。また、制御部11は、光監視において、端末5aの使用を許可することを示す光を受光すると、光受光フラグをRAMまたは記憶部12に記憶しておく。
所定の監視間隔時間(少なくとも、サーバ3による端末使用許可情報の送信間隔時間よりも長い時間)が経過すると、制御部11は、S405に進む。
【0060】
次に、制御部11は、自らに設定されたセキュリティレベルに対応するセキュリティレベル表61を満たしているかどうか、すなわちセキュリティレベルに応じた監視が全て成功しているかどうかを確認する(S405)。
成功している場合(S405のYes)、制御部11は、パケット受信フラグ、位置情報、電波受信フラグ、光受光フラグを削除し、S401に進む。
成功していない場合(S405のNo)、制御部11は、処理を終了し、シャットダウン等を行う。
尚、S401〜S404は、どのような順番で実行しても良い。
【0061】
以上、第3の実施の形態では、サーバ3は、パスワード認証、パケット認証に加えて、GPS認証、電波認証、光認証も行う。これによって、端末5aのハードウエア構成や使用する環境に適した認証を行うことができ、利便性を高めることができる。
特に、様々な認証の仕組みを備えることで、端末5aごとにセキュリティレベルを設定し、セキュリティレベルに適した認証を行うことができる。
例えば、シンクライアント端末のように、記憶部12を具備しないパソコンの場合、盗難や紛失などが発生しても、漏洩する情報自体が存在しない為、セキュリティレベルを低く設定し、利便性を高めることができる。一方、重要情報を記憶部12に記憶して使用する端末については、セキュリティレベルを高く設定し、確実に使用を管理することができる。
【0062】
尚、前述の説明では、端末5aには、記憶部暗号化AP54aがインストールされるものとしたが、第2の実施の形態における検疫AP57と同等のプログラムをインストールしても良い。この場合、認証AP55aによって行われる認証の結果、および監視AP56aによって行われる監視の結果が、実行時刻とともに収集され、定期的にサーバ3に送信される。
【0063】
<第4の実施の形態>
第4の実施の形態は、第3の実施形態と比較して、端末5bにインストールされるプログラムが異なる。また、図11に示すセキュリティ表61に代えて、図15に示す安全指数表21、および図16に示すレベル別起動設定22を記憶部12に記憶している。以下、第1、第3の実施の形態と同じ要素には同じ番号を付し、重複する説明を省略する。
【0064】
図14は、端末5bにインストールされるプログラムの一例を示す図、図15は、安全指数表21の一例を示す図、図16は、レベル別起動設定22の一例を示す図である。
図14に示すように、端末5bの記憶部12には、BIOS51、ブートローダ52、OS53、認証AP55bおよび監視AP56bを含む記憶部暗号化AP54b等のプログラムが記憶されている。
BIOS51、ブートローダ52、OS53は、第1〜第3の実施の形態と同様である。尚、第4の実施の形態では、端末5bのブートローダ52は、記憶部暗号化AP54bをロードする。
また、記憶部暗号化AP54bも、認証AP55bおよび監視AP56bを除いては、第1の実施の形態と同様である。
【0065】
認証AP55bは、記憶部暗号化AP54bの一部であって、暗号化解除認証を実行するためのプログラムである。
第4の実施の形態では、暗号化解除認証として、少なくともパケット認証を含む複数種類の認証処理を実行する。例えば、第3の実施の形態と同様に、パスワード認証(ユーザ認証)、パケット認証、GPS認証、電波認証、および光認証とする。
また、認証処理ごとに安全性の度合いを示す安全指数が図15の安全指数表21に示すように予め定められている。端末5bは、各認証処理の結果と、安全指数とに基づいて自らのセキュリティレベルを算出し、セキュリティレベルに応じて使用できる機能を制限して起動する。例えば、図16のレベル別起動設定22に示すように、セキュリティレベルが「低」であると判定した場合は、ユーザが使用できない状態である使用不可状態とする。また、セキュリティレベルが「中」であると判定した場合は、使用できる機能を制限して起動する機能制限状態に遷移させる。また、セキュリティレベルが「高」であると判定した場合は、制限を設けずに使用可能とする使用可能状態に遷移させる。
各種認証処理およびセキュリティレベルの算出、判定は、記憶部暗号化AP54bの認証AP55bによる認証、および監視AP56bによる監視の両方に対して適用される。但し、監視AP56bによる監視については、ユーザが煩わしくないように、パスワードによる監視を行わなくても良い。
【0066】
図17は、第4の実施の形態における端末5bの起動処理の詳細を示すフローチャートである。第4の実施の形態における端末5bの起動処理では、図17の例では、パスワード認証、パケット認証、GPS認証、電波認証、および光認証を行う。図17の処理を行う前提として、サーバ3は、管理対象ネットワーク2に対して、端末5bの使用を許可することを示す端末使用許可情報を所定の送信間隔時間ごとに同報送信しているものとする。
尚、安全指数表21やレベル別起動設定22は、図15、図16に示す例に限定されるものではない。図16のレベル別起動設定22では、セキュリティレベルを「低」、「中」、「高」の3レベルに分類した例を示しているが、「低」および「高」の2レベル、または4レベル以上の分類としてもよい。また、機能制限状態としては、例えば、「メディアへの書き出し不可」や「記憶部の所定記憶領域へのアクセス不可」、「メール送信不可」等が挙げられる。
【0067】
S501〜S506は、第3の実施の形態における図12のS301〜S306と同様である。すなわち、端末5bの制御部11は、BIOS起動、パスワード認証、パケット認証、GPS認証、電波認証、光認証を行う。ここで、各認証処理における認証の結果は、パケット受信フラグ、位置情報、電波受信フラグ、光受光フラグ等としてRAMまたは記憶部12に記憶しておく。認証成功の場合は、該当するフラグを「1」にセットし、認証失敗の場合は該当するフラグを「0」にセットする。
S506が終了すると、端末5bの制御部11は、認証AP55bの機能によって、安全指数表21に設定されている各認証処理の安全指数を認証処理結果を示す各フラグの値(「1」または「0」)に乗じ、安全指数の合計値を求める(S507)。
制御部11は、安全指数の合計値からセキュリティレベルを判定し(S508)、「高」レベルであれば(S508の「高」)、記憶部暗号化AP54bの機能によって、記憶部12を復号して読み取り可能とし、OS53を読み出して起動する(S509)。以降の処理はOS53の機能によって実行され、ユーザは端末5bを制限なく使用することが可能となる。
一方、安全指数の合計値が「中」レベルであれば(S508の「中」)、制御部11は、「中」レベルに該当する状態である機能制限状態に端末5bを遷移させる。例えば、メディアへの書き出し機能を制限する場合は、記憶部暗号化AP54bの機能によって、記憶部12を復号して読み取り可能とし、OS53を読み出して以降の処理はOS53の機能によって実行されるが、メディアへの書き出し機能は使用不可とされる(S510)。
また、安全指数の合計値が「低」レベルであれば(S508の「低」)、制御部11は、「低」レベルに該当する状態である使用不可状態に端末5bを遷移させる。すなわち、処理を終了し、シャットダウン等を行う。
尚、S502〜S506は、どのような順番で実行しても良い。
【0068】
例えば、図18に示すようにパスワード認証、パケット認証、電波認証、光認証が認証成功し、GPS認証は認証失敗した場合は、安全指数の合計値は「24」となる。この場合、図16に示すレベル別起動設定22に従って、セキュリティレベルは「高」レベルと判定されるため、端末5bは全機能を使用可能として、起動される。
【0069】
図19は、第4の実施の形態における端末5bの監視処理の詳細を示すフローチャートである。図19の処理を行う前提として、サーバ3は、管理対象ネットワーク2に対して、端末使用許可情報を所定の送信間隔時間ごとに同報送信しているものとする。
【0070】
S601〜S604において、端末5bの制御部11は、監視AP56bの機能によって、第3の実施の形態における図13のS401〜S404と同様に、パケット監視、GPS監視、電波監視、光監視を行う。監視処理においても、制御部11は各監視処理の結果に応じて該当するフラグを「1」または「0」に更新し、RAMまたは記憶部12に記憶しておく。
所定の監視間隔時間(少なくとも、サーバ3による端末使用許可情報の送信間隔時間よりも長い時間)が経過すると、制御部11は、S605に進む。
端末5bの制御部11は、監視AP56bの機能によって、安全指数表21に設定されている安全指数を対応する監視処理の結果を示す各フラグの値(「1」または「0」)に乗じ、安全指数の合計値を求める(S605)。
制御部11は、安全指数の合計値からセキュリティレベルが前回の監視処理時と比較して低下したか否かを判定し(S606)、同じセキュリティレベルを維持している場合(S606のNo)は、制御部11はS601に進む。
セキュリティレベルが低下した場合であっても(S606のYes)、レベルが「低」でない場合は(S607のNo)、制御部11は、該当する機能制限状態に端末5bを遷移させる(S608)。
セキュリティレベルが低下し(S606のYes)、「低」となった場合は(S607のYes)、制御部11は、「低」レベルに該当する状態である使用不可状態に端末5bを遷移させる。すなわち、処理を終了し、シャットダウン等を行う。
尚、S601〜S604は、どのような順番で実行しても良い。
【0071】
以上、第4の実施の形態では、サーバ3は、少なくともパケット認証を含む複数種類の認証処理を実行し、その認証結果によって安全指数の合計値を求め、これによってセキュリティレベルを判定し、レベルに応じた機能制限を行う。そのため柔軟な認証ポリシ管理を行え、利便性を高めることができる。
特に、様々な認証の仕組みを備えることで、より細かくセキュリティレベルを設定したり、機能制限を行うことも可能となる。
例えば、社内では全ての機能を制限なく使用できるが、端末5bを家庭に持ち帰って使用する場合には、使用できる機能を制限することもできる。また、社員等の正当なユーザに認証用の電波発信装置6や発光装置7を持たせれば、通信設備がない状況下であったり、不具合により通信断が生じてパケット認証ができない状況でも、パスワード認証、電波認証、および光認証等の各種の認証処理を組み合わせれば所定機能の使用を可能とすることも可能となる。このように、様々な使用環境に柔軟に対応できる。
【0072】
尚、前述の説明では、端末5bには、記憶部暗号化AP54bがインストールされるものとしたが、第2の実施の形態における検疫AP57と同等のプログラムをインストールしても良い。この場合、認証AP55bによって行われる認証の結果、および監視AP56bによって行われる監視の結果が、実行時刻とともに収集され、定期的にサーバ3に送信される。
【0073】
<第5の実施の形態>
第5の実施の形態は、第4の実施の形態と比較して、使用管理システム1の管理対象ネットワーク2の構成、端末5bのハードウエア構成、端末5bにインストールされるプログラムが異なる。以下、第4の実施の形態と同じ要素には同じ番号を付し、重複する説明を省略する。
【0074】
図20は、第5の実施の形態における使用管理システム1cの全体構成図である。
使用管理システム1cでは、管理対象ネットワーク2として、第1の実施の形態のように閉じた管理対象ネットワーク2aに加え、公衆の通信ネットワーク2cを利用するものも含む。
すなわち、管理対象ネットワーク2cは、インターネット、無線通信網、電話回線、携帯電話通信網等を含む公衆のネットワーク(以下、単にインターネット11という)、インターネットサービスプロバイダ(ISP)12、無線基地局13等を備える。
また、仮想プライベートネットワーク(VPN)として使用管理システム1cを構築する場合には、VPNサーバ14が設けられる。
【0075】
VPNサーバ14は、サーバ3および端末5cのVPN接続を媒介するサーバであり、暗号化処理や認証処理を行う。端末5cからサーバ3へデータを送信する際は、端末5cが備えるVPNクライアントAPの機能により、データを暗号化してインターネット11経由でVPNサーバ14へ伝送する。VPNサーバ14は受信した暗号化データを復号してサーバ3へ送信する。
ISP12は、DHCP(Dynamic Host Configuration Protocol)サーバ等を備え、端末5cからのアクセスがあると、その端末5cに動的なIPアドレスを割り当てる。すなわち、端末5cは、認証AP55cの機能によって起動処理を行う際に、ISP12に対してIPアドレスの割り当てをリクエストする。ISP12は管理しているIPアドレスの中から利用可能なIPアドレスを割り当て、ネットワーク接続時に必要な情報や、認証に必要な情報(例えば、通信事業者情報やISP12の位置情報等)を要求元の端末5cに返す。
【0076】
図21は、第5の実施の形態における端末5cを実現するコンピュータのハードウエア構成図である。尚、図21のハードウエア構成は一例であり、用途、目的に応じて様々な構成を採ることが可能である。
コンピュータは、制御部11、記憶部12、入力部13、表示部14、通信制御部15、電波受信部16、受光部17、GPS受信部18、無線通信部20等が、バス19を介して接続される。
【0077】
端末5cの無線通信部20は、公衆の無線ネットワークにアクセスするための通信インタフェースである。公衆無線ネットワークには、無線基地局13、携帯電話回線、無線LAN等が含まれる。
【0078】
図22は、第5の実施の形態における端末5cの記憶部12に記憶されるプログラムの一例を示す図である。
端末5cの記憶部12には、BIOS51、ブートローダ52、OS53、認証AP55cおよび監視AP56cを含む記憶部暗号化AP54c等のプログラムが記憶されている。
BIOS51、ブートローダ52、OS53は、第1の実施の形態の実施の形態と同様である。尚、第5の実施の形態では、端末5cのブートローダ52は、記憶部暗号化AP54cをロードする。
また、記憶部暗号化AP54cも、認証AP55cおよび監視AP56cを除いては、第1の実施の形態と同様である。
【0079】
認証AP55cは、記憶部暗号化AP54cの一部であって、暗号化解除認証を実行するためのプログラムである。
第5の実施の形態では、暗号化解除認証として、パスワード認証(ユーザ認証)、パケット認証、GPS認証、電波認証、光認証に加え、IPアドレス認証、無線基地局認証を行うものとする。パスワード認証、パケット認証、GPS認証、電波認証、および光認証は、第1、第3の実施の形態と同様である。
【0080】
IPアドレス認証とは、ISP12から動的に割り当てられるIPアドレスに応じて端末5cが使用可能かどうかを判断する認証である。例えば、ISP12がIPアドレスとともに位置情報を提供する場合、端末5cはその位置情報から端末使用許可範囲内かどうかを判断する。端末使用許可範囲は、記憶部暗号化AP54cの初期設定時に設定する。
【0081】
無線基地局認証とは、無線基地局13から受け取った通信事業者情報や各無線基地局13を識別する基地局識別情報に基づいて端末5cが使用許可範囲内にあるかどうかを判断する認証である。端末使用許可範囲は、記憶部暗号化AP54cの初期設定時に設定する。
端末使用許可範囲としては、例えば、国内であれば使用可とし、国外では使用不可とする。これによって、端末5cが盗まれて国外に持ち出された場合には認証失敗となる。
また、無線基地局13からその無線基地局13の識別情報(基地局識別情報)を取得できる場合は、取得した基地局識別情報が予め登録した無線基地局13のものであれば認証成功とし、その他の場合は認証失敗としてもよい。例えば、各無線基地局13の位置情報が公開されていれば、基地局識別情報に基づいて基地局の位置情報を取得でき、更には端末5cの位置を把握できるため、無線基地局単位に、より細かく端末使用許可範囲を設定できるようになる。
更に、通信事業者が、上述の「パケット認証」のように、端末5cの使用許可を示すキーパケットを特定の無線基地局13から間欠的に同報送信するサービスを提供すれば、端末5cがキーパケットを受信できる範囲内であれば認証成功とし、そうでなければ認証失敗としてもよい。
【0082】
記憶部暗号化AP54cがインストールされた端末5cは、ブートローダ52によって記憶部暗号化AP54cがロードされると、認証AP55cの機能によって、パスワード認証、パケット認証、IPアドレス認証、無線基地局認証、GPS認証、電波認証、光認証を実行する。
【0083】
監視AP55cは、記憶部暗号化AP54cの一部であって、自らを使用不可能状態(ユーザによって使用できない状態)または機能制限状態(機能の一部が制限された使用可能状態)に遷移させるかどうかを監視するためのプログラムである。
第5の実施の形態においては、監視AP55cは、パケット監視、IPアドレス監視、無線基地局監視、GPS監視、電波監視、光監視を行う。パケット監視、GPS監視、電波監視、光監視は、第1、第3の実施の形態と同様の監視内容である。
IPアドレス監視とは、所定の監視間隔時間ごとに、端末5cに割り当てられている動的IPアドレスに基づいて端末5cが端末使用許可範囲内にあるかどうかの監視である。
無線基地局認証とは、所定の監視間隔時間ごとに、端末5cがアクセスした無線基地局13から受け取った通信事業者情報または各無線基地局13を識別する基地局識別情報に基づいて端末5cが端末使用許可範囲内にあるかどうかの監視である。
【0084】
図23は、第5の実施の形態で適用される安全指数表25の一例である。
図23の安全指数表25は図15に示す第4の実施の形態の安全指数表21に加え、IPアドレス認証および無線基地局認証についての安全指数が設定されている。また、図23に示す安全指数表25は、認証AP55cによる認証、および監視AP56cによる監視の両方に対して適用される。但し、監視AP56cによる監視については、ユーザが煩わしくないように、パスワードによる監視を行わなくても良い。
【0085】
図24は、第5の実施の形態における端末5cの起動処理の詳細を示すフローチャートである。図24の処理を行う前提として、サーバ3は、管理対象ネットワーク2a、2bに対して、端末5cの使用を許可することを示す端末使用許可情報を所定の送信間隔時間ごとに同報送信しているものとする。
【0086】
S701〜S703は、第1の実施の形態における図5のS101〜S103と同様である。
S703が終了すると、端末5cの制御部11は、認証AP55cの機能によって、IPアドレス認証(S704)、無線基地局認証(S705)を行う。
尚、S703〜S705はどのような順番で実行しても良い。
【0087】
次に制御部11は、パケット認証、IPアドレス認証、無線基地局認証のうち少なくともいずれか1つの認証処理が成功しているか否かを判定する(S706)。いずれの認証処理も成功していない場合は(S706のNo)、端末5cが使用許可範囲外であるため、処理を終了し、シャットダウン等を行う。
いずれかの認証処理が成功した場合は(S706のYes)、続いて、GPS認証(S707)、電波認証(S708)、光認証(S709)を行う。なお、上述の各認証処理における認証の結果は、パケット受信フラグ、位置情報、電波受信フラグ、光受光フラグ等としてRAMまたは記憶部12に記憶されるものとする。認証成功の場合は、該当するフラグが「1」にセットされ、認証失敗の場合は該当するフラグが「0」にセットされる。
【0088】
S709が終了すると、端末5cの制御部11は、認証AP55cの機能によって、安全指数表21に設定されている各認証処理の安全指数を認証処理結果を示す各フラグの値(「1」または「0」)に乗じ、安全指数の合計値を求める(S710)。
制御部11は、安全指数の合計値からセキュリティレベルを判定し(S711)、レベルに応じてOS起動(S712)、機能制限付きOS起動(S713)、或いは使用不可能状態へ端末5cを遷移させ、起動処理を終了する。
S710〜S713の処理は、第4の実施の形態における図17のS507〜S510と同様である。
尚、S707〜S709の順番はどのような順番で実行しても良い。
【0089】
例えば、図25に示すようにパスワード認証、無線基地局認証、光認証が認証成功し、パケット認証、IPアドレス認証、GPS認証、電波認証が認証失敗の場合は、安全指数の合計値は「16」となる。この場合、図15に示すレベル別起動設定22に従って、セキュリティレベルは「中」レベルと判定されるため、端末5cは機能制限状態で起動される。
尚、S706の判定を行わず、パケット認証、IPアドレス認証、無線基地局認証が全て認証失敗しても、S707以降のGPS認証、電波認証、光認証を続行し、S711のセキュリティレベル判定を行うようにしてもよい。この場合、GPS認証や、正当なユーザに持たせた認証用の電波発信装置6や発光装置7を用いれば、通信設備がない状況下であったり、不具合により通信断が生じてパケット認証ができない状況でも、各種の認証処理を組み合わせて所定機能の使用を可能とでき、様々な使用環境に柔軟に対応できる。
【0090】
図26は、第5の実施の形態における端末5cの監視処理の詳細を示すフローチャートである。図26の処理を行う前提として、サーバ3は、管理対象ネットワーク2a、2cに対して、端末使用許可情報を所定の送信間隔時間ごとに同報送信しているものとする。
【0091】
S801〜S803において、端末5cの制御部11は、監視AP56cの機能によって、パケット監視、IPアドレス監視、無線基地局監視を行う。
尚、S801〜S803はどのような順番で実行しても良い。
【0092】
次に制御部11は、パケット監視、IPアドレス監視、無線基地局監視のうち少なくともいずれか1つの監視処理が成功しているか否かを判定する(S804)。いずれの監視処理も成功していない場合は(S804のNo)、端末5cが端末使用許可範囲外であるため、処理を終了し、シャットダウン等を行う。
いずれかの監視処理が成功した場合は(S804のYes)、続いて、GPS監視(S805)、電波監視(S806)、光監視(S807)を行う。なお、上述の各監視処理の結果は、パケット受信フラグ、位置情報、電波受信フラグ、光受光フラグ等としてRAMまたは記憶部12に記憶されるものとする。監視成功の場合は、該当するフラグが「1」にセットされ、監視失敗の場合は該当するフラグが「0」にセットされる。
【0093】
S807が終了すると、端末5cの制御部11は、監視AP56cの機能によって、安全指数表21に設定されている安全指数を対応する監視処理の結果を示す各フラグの値(「1」または「0」)に乗じ、安全指数の合計値を求める(S808)。
制御部11は、安全指数の合計値からセキュリティレベルが前回の監視処理時と比較して低下したか否かを判定し(S809)、同じセキュリティレベルを維持している場合(S809のNo)は、制御部11はS801に進む。
セキュリティレベルが低下した場合であっても(S809のYes)、レベルが「低」でない場合は(S810のNo)、制御部11は、該当する機能制限状態に端末5cを遷移させる(S811)。
セキュリティレベルが低下し(S809のYes)、「低」となった場合は(S810のYes)、制御部11は、「低」レベルに該当する状態である使用不可状態に端末5cを遷移させる。すなわち、処理を終了し、シャットダウン等を行う。
尚、S805〜S808は、どのような順番で実行しても良い。
また、S804の判定を行わず、パケット監視、IPアドレス監視、無線基地局監視が全て失敗しても、S805以降のGPS監視、電波監視、光監視を続行し、S809のセキュリティレベル判定を行うようにしてもよい。この場合、不具合により通信断が生じてパケット監視等ができない状況でも、GPS監視や、正当なユーザに持たせた認証用の電波発信装置6や発光装置7を用いれば、各種の監視が可能となるため、様々な使用環境に柔軟に対応できる。
【0094】
以上、第5の実施の形態では、管理対象ネットワーク2を拡張し、公衆のネットワークを利用して使用管理システム1cを構築した場合にも、第1の実施の形態のパケット認証に加え、IPアドレス認証や無線基地局認証等を行って、端末5cが使用許可範囲内にない場合に、その使用を制限できる。例えば、国内の通信事業者を利用して通信接続していれば端末5cが国内にあるとして、サーバ3から許可情報を受け取れる状態になくても、所定の機能制限の下で端末5cを使用できるようにしたり、逆に、国外へ持ち出していてもサーバ3から許可情報を受信していれば所定の機能制限の下で端末5cを使用できるようにしたりすることも可能となる。また、サーバ3からの許可情報を受信せず、登録されていないIPアドレスが割り振られている場合や、登録されていない無線基地局に通信接続されている場合には、端末5cが明らかに許可されない範囲で使用されたとして、ただちにシャットダウンすることもできるため、盗難された場合でもデータの流出等を防ぐことができる。
【0095】
尚、前述の説明では、端末5cには、記憶部暗号化AP54cがインストールされるものとしたが、図27に示すように、第2の実施の形態における検疫AP57と同等のプログラム(検疫AP57c)をインストールしても良い。この場合、認証AP55cによって行われる認証の結果、および監視AP56cによって行われる監視の結果が、実行時刻とともに収集され、定期的にサーバ3に送信される。
【0096】
第1の実施の形態から第5の実施の形態を通して、サーバ3から同報送信される情報は、端末5(5a、5b、5c)の使用を許可することを示す端末使用許可情報とした。しかしながら、本発明はこの例に限定されない。例えば、サーバ3から同報送信される情報としては、端末5(5a、5b、5c)の使用を禁止することを示す端末使用禁止情報であっても良い。この場合、使用可能状態の端末5(5a、5b、5c)は、端末使用禁止情報を受信すると、使用不可能状態に遷移させる。これによって、例えば、ウィルス感染したコンピュータが管理対象ネットワーク2、2a、2cに接続されていることを検知した場合などにおいて、管理対象ネットワーク2、2a、2cに接続されている他の端末5(5a、5b、5c)の感染を防ぐことが可能となる。
【0097】
また、図20に示すように管理対象ネットワーク2cが無線通信ネットワークを含み、無線基地局13が、端末5cの使用を許可することを示す許可情報を間欠的に同報送信することが可能な場合には、端末5cは無線基地局13から同報送信される情報を受信し、無線基地局13から同報送信される許可情報もパケット認証の対象とする。これによって、端末は無線基地局から同報送信される許可情報を受信して、パケット認証を行えるため、モバイル端末を利用した使用管理システムを安全に構築できるようになる。
【0098】
以上、添付図面を参照しながら、本発明における使用管理システム等の好適な実施形態について説明したが、本発明はかかる例に限定されない。当業者であれば、本願で開示した技術的思想の範疇内において、各種の変更例又は修正例に想到し得ることは明らかであり、それらについても当然に本発明の技術的範囲に属するものと了解される。
【符号の説明】
【0099】
1、1a、1c………使用管理システム
2、2a、2c………管理対象ネットワーク
3………サーバ
4………ルータ
5、5a、5b、5c………端末
6………電波発信装置
7………発光装置
31………BIOS
32………ブートローダ
33………OS
34………使用管理AP
51………BIOS
52………ブートローダ
53………OS
54………記憶部暗号化AP
55、55a、55b、55c………認証AP
56、56a、56b、56c………監視AP
57、57b、57c………検疫AP
61………セキュリティレベル表
11………インターネット
12………ISP
13………無線基地局
14………VPNサーバ
21、25………安全指数表
22………レベル別起動設定
【特許請求の範囲】
【請求項1】
端末と、前記端末と管理対象ネットワークを介して接続されるサーバとから構成され、前記端末の使用を管理する使用管理システムであって、
前記サーバは、
前記管理対象ネットワークに対して、前記端末の使用を許可することを示す許可情報を間欠的に同報送信する同報送信手段、
を具備し、
前記端末は、
同報送信される情報を受信する同報受信手段と、
前記同報受信手段によって前記許可情報を受信したかどうかによるパケット認証を少なくとも含む、複数種類の認証処理を実行する認証処理手段と、
前記認証処理手段による各種認証処理の結果と、各認証処理について予め設定された安全指数とに基づいて端末のセキュリティレベルを判定する判定手段と、
前記判定手段により判定されたセキュリティレベルに応じて、使用できる機能を制限して自らを起動する起動手段と、
を具備することを特徴とする使用管理システム。
【請求項2】
前記管理対象ネットワークが、公衆の通信ネットワークを利用して構築される場合、
前記端末が具備する認証処理手段は、更に、
端末に割り当てられたIPアドレスに基づき当該端末の位置情報を取得し、使用を許可された範囲内にあるかどうかによるIPアドレス認証、および通信接続している基地局から送信される基地局識別情報に基づき当該端末の位置情報を取得し、使用を許可された範囲内にあるかどうかによる基地局認証のうち少なくともいずれか一方または両方を実行し、
前記パケット認証、前記IPアドレス認証、および前記基地局認証のうち少なくともいずれかの認証が成功した場合に、前記判定手段によるセキュリティレベルの判定を行うことを特徴とする請求項1に記載の使用管理システム。
【請求項3】
前記端末は、前記使用可能状態において、所定時間ごとに前記認証処理を実行し、認証処理の結果に基づく前記セキュリティレベルの判定を前記判定手段により行い、所定のセキュリティレベルに達していない場合には、ユーザによって使用できない状態である使用不可能状態、或いは使用できる機能を制限した機能制限状態に自らを遷移させる監視手段、を更に具備することを特徴とする請求項1または請求項2に記載の使用管理システム。
【請求項4】
前記管理対象ネットワークが無線通信ネットワークを含む場合、
無線基地局が、前記端末の使用を許可することを示す許可情報を間欠的に同報送信する無線同報送信手段を備え、
前記端末の前記同報受信手段は、前記無線基地局から同報送信される情報を受信し、
前記認証処理手段によるパケット認証処理は、前記無線基地局から同報送信される情報も認証の対象とすることを特徴とする請求項1から請求項3のいずれかに記載の使用管理システム。
【請求項5】
前記端末が具備する認証処理手段は、更に、自らのGPS受信部によって受信される位置情報が当該端末の使用を許可する範囲内かどうかの認証であるGPS認証、自らの電波受信部によって受信される電波が当該端末の使用を許可するものかどうかの認証である電波認証、または自らの受光部によって受光される光が当該端末の使用を許可するものかどうかの認証である光認証の少なくとも1つを含むことを特徴とする請求項1から請求項4のいずれかに記載の使用管理システム。
【請求項6】
前記端末は、自らの記憶部に記憶される情報を自動的に暗号化し、かつ前記使用可能状態では復号して読み取り可能とする情報保護手段、を更に具備し、
前記端末が具備する前記同報受信手段および前記起動手段は、前記情報保護手段の一部として実行されることを特徴とする請求項1から請求項5のいずれかに記載の使用管理システム。
【請求項7】
前記端末は、予め定められたセキュリティポリシーに適合しているかどうかを検疫する検疫手段、を更に具備し、
前記検疫手段は、前記端末が具備する前記起動手段および前記監視手段の結果を収集し、前記サーバに送信することを特徴とする請求項3から請求項6のいずれかに記載の使用管理システム。
【請求項8】
端末と、前記端末と管理対象ネットワークを介して接続されるサーバとによって実行され、前記端末の使用を管理する使用管理方法であって、
前記サーバは、
前記管理対象ネットワークに対して、前記端末の使用を許可することを示す許可情報を間欠的に同報送信し、
前記端末は、
同報送信される情報を受信し、
前記許可情報を受信したかどうかによるパケット認証を含む、複数種類の認証処理を実行し、
各種認証処理の結果と、各認証処理について予め設定された安全指数とに基づいて端末のセキュリティレベルを判定し、
判定されたセキュリティレベルに応じて、使用できる機能を制限して自らを起動することを特徴とする使用管理方法。
【請求項1】
端末と、前記端末と管理対象ネットワークを介して接続されるサーバとから構成され、前記端末の使用を管理する使用管理システムであって、
前記サーバは、
前記管理対象ネットワークに対して、前記端末の使用を許可することを示す許可情報を間欠的に同報送信する同報送信手段、
を具備し、
前記端末は、
同報送信される情報を受信する同報受信手段と、
前記同報受信手段によって前記許可情報を受信したかどうかによるパケット認証を少なくとも含む、複数種類の認証処理を実行する認証処理手段と、
前記認証処理手段による各種認証処理の結果と、各認証処理について予め設定された安全指数とに基づいて端末のセキュリティレベルを判定する判定手段と、
前記判定手段により判定されたセキュリティレベルに応じて、使用できる機能を制限して自らを起動する起動手段と、
を具備することを特徴とする使用管理システム。
【請求項2】
前記管理対象ネットワークが、公衆の通信ネットワークを利用して構築される場合、
前記端末が具備する認証処理手段は、更に、
端末に割り当てられたIPアドレスに基づき当該端末の位置情報を取得し、使用を許可された範囲内にあるかどうかによるIPアドレス認証、および通信接続している基地局から送信される基地局識別情報に基づき当該端末の位置情報を取得し、使用を許可された範囲内にあるかどうかによる基地局認証のうち少なくともいずれか一方または両方を実行し、
前記パケット認証、前記IPアドレス認証、および前記基地局認証のうち少なくともいずれかの認証が成功した場合に、前記判定手段によるセキュリティレベルの判定を行うことを特徴とする請求項1に記載の使用管理システム。
【請求項3】
前記端末は、前記使用可能状態において、所定時間ごとに前記認証処理を実行し、認証処理の結果に基づく前記セキュリティレベルの判定を前記判定手段により行い、所定のセキュリティレベルに達していない場合には、ユーザによって使用できない状態である使用不可能状態、或いは使用できる機能を制限した機能制限状態に自らを遷移させる監視手段、を更に具備することを特徴とする請求項1または請求項2に記載の使用管理システム。
【請求項4】
前記管理対象ネットワークが無線通信ネットワークを含む場合、
無線基地局が、前記端末の使用を許可することを示す許可情報を間欠的に同報送信する無線同報送信手段を備え、
前記端末の前記同報受信手段は、前記無線基地局から同報送信される情報を受信し、
前記認証処理手段によるパケット認証処理は、前記無線基地局から同報送信される情報も認証の対象とすることを特徴とする請求項1から請求項3のいずれかに記載の使用管理システム。
【請求項5】
前記端末が具備する認証処理手段は、更に、自らのGPS受信部によって受信される位置情報が当該端末の使用を許可する範囲内かどうかの認証であるGPS認証、自らの電波受信部によって受信される電波が当該端末の使用を許可するものかどうかの認証である電波認証、または自らの受光部によって受光される光が当該端末の使用を許可するものかどうかの認証である光認証の少なくとも1つを含むことを特徴とする請求項1から請求項4のいずれかに記載の使用管理システム。
【請求項6】
前記端末は、自らの記憶部に記憶される情報を自動的に暗号化し、かつ前記使用可能状態では復号して読み取り可能とする情報保護手段、を更に具備し、
前記端末が具備する前記同報受信手段および前記起動手段は、前記情報保護手段の一部として実行されることを特徴とする請求項1から請求項5のいずれかに記載の使用管理システム。
【請求項7】
前記端末は、予め定められたセキュリティポリシーに適合しているかどうかを検疫する検疫手段、を更に具備し、
前記検疫手段は、前記端末が具備する前記起動手段および前記監視手段の結果を収集し、前記サーバに送信することを特徴とする請求項3から請求項6のいずれかに記載の使用管理システム。
【請求項8】
端末と、前記端末と管理対象ネットワークを介して接続されるサーバとによって実行され、前記端末の使用を管理する使用管理方法であって、
前記サーバは、
前記管理対象ネットワークに対して、前記端末の使用を許可することを示す許可情報を間欠的に同報送信し、
前記端末は、
同報送信される情報を受信し、
前記許可情報を受信したかどうかによるパケット認証を含む、複数種類の認証処理を実行し、
各種認証処理の結果と、各認証処理について予め設定された安全指数とに基づいて端末のセキュリティレベルを判定し、
判定されたセキュリティレベルに応じて、使用できる機能を制限して自らを起動することを特徴とする使用管理方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【公開番号】特開2012−203757(P2012−203757A)
【公開日】平成24年10月22日(2012.10.22)
【国際特許分類】
【出願番号】特願2011−69187(P2011−69187)
【出願日】平成23年3月28日(2011.3.28)
【特許番号】特許第4832604号(P4832604)
【特許公報発行日】平成23年12月7日(2011.12.7)
【出願人】(000155469)株式会社野村総合研究所 (1,067)
【復代理人】
【識別番号】100155882
【弁理士】
【氏名又は名称】齋藤 昭彦
【Fターム(参考)】
【公開日】平成24年10月22日(2012.10.22)
【国際特許分類】
【出願日】平成23年3月28日(2011.3.28)
【特許番号】特許第4832604号(P4832604)
【特許公報発行日】平成23年12月7日(2011.12.7)
【出願人】(000155469)株式会社野村総合研究所 (1,067)
【復代理人】
【識別番号】100155882
【弁理士】
【氏名又は名称】齋藤 昭彦
【Fターム(参考)】
[ Back to top ]