保守用端末およびその保守用端末を使用する保守用端末システム
【課題】社内データの持ち出しを防いでセキュリティリスクを低減し、保守現場アプリケーションと保守現場データを使用できること保守用端末およびその保守用端末を使用する保守用端末システムを得る。
【解決手段】社内ネットワークと保守現場ネットワークに排他的に接続して社内データと保守データにアクセスする保守用端末であって、上記社内ネットワークに接続されていることを検出したときには社内端末仮想マシンまたは保守用端末仮想マシンのいずれかの起動を許可し、また、上記保守現場ネットワークに接続されていることを検出したときには上記保守用端末仮想マシンの起動を許可するとともに上記社内端末仮想マシンの起動を禁止する保守用端末管理部を備えた。
【解決手段】社内ネットワークと保守現場ネットワークに排他的に接続して社内データと保守データにアクセスする保守用端末であって、上記社内ネットワークに接続されていることを検出したときには社内端末仮想マシンまたは保守用端末仮想マシンのいずれかの起動を許可し、また、上記保守現場ネットワークに接続されていることを検出したときには上記保守用端末仮想マシンの起動を許可するとともに上記社内端末仮想マシンの起動を禁止する保守用端末管理部を備えた。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、社内ネットワークと保守現場ネットワークの両方に接続可能な保守用端末およびその保守用端末を使用する保守用端末システムに関するものである。
【背景技術】
【0002】
社内にある社内ネットワークと社外にある保守現場ネットワークで使用する保守用端末及び保守用端末を含む保守用端末システムでは、社内ネットワークで使用する社内アプリケーションや社内データと保守現場ネットワークで使用する保守現場アプリケーションと保守現場データを同一の端末で使用するため、保守現場で作業する際にも、保守現場で使用しない社内アプリケーションや社内データを持ち出すことになる(例えば、特許文献1参照)。
【0003】
また、保守用端末及び保守用端末システムを、キーボードやマウス等での操作を保守用端末からサーバに送信し、サーバでその操作に応じた処理を実施し、画面データのみを保守用端末に転送するいわゆるシンクライアントで実現すると、保守現場ネットワークで使用するために社外に持ち出す場合でも、保守用端末のハードディスクにアプリケーションやデータを保存する必要がなくなる(例えば、特許文献2参照)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2008−077600号公報
【特許文献2】特開2008−077413号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかし、保守用端末のハードディスク全体や社内データを暗号化しても、保守用端末を紛失したり、盗難に会ったりしたときには、暗号化したデータが漏えいする可能性が残るため、セキュリティリスクがある。
【0006】
また、シンクライアントで実現する保守用端末では、保守現場ネットワークで、ブロードバンド、モバイルブロードバンドなどの広帯域のネットワークが使用できる常時接続環境を提供する必要があり、全ての保守現場に適用するのは困難である。
【0007】
この発明は、前記のような課題を解決するためになされたものであり、社内ネットワークで使用する社内アプリケーションや社内データと保守現場ネットワークで使用する保守現場アプリケーションと保守現場データを同一の端末で使用する場合に、社内データの持ち出しを防いでセキュリティリスクを低減し、保守現場アプリケーションと保守現場データを使用できる保守用端末およびその保守用端末を使用する保守用端末システムを得ることを目的とする。
【課題を解決するための手段】
【0008】
この発明に係る保守用端末は、社内ネットワークと保守現場ネットワークに排他的に接続して社内データと保守データにアクセスする保守用端末であって、上記社内ネットワークに接続されていることを検出したときには社内端末仮想マシンまたは保守用端末仮想マシンのいずれかの起動を許可し、また、上記保守現場ネットワークに接続されていることを検出したときには上記保守用端末仮想マシンの起動を許可するとともに上記社内端末仮想マシンの起動を禁止する保守用端末管理部を備えた。
【発明の効果】
【0009】
この発明に係る保守用端末システムでは、社内データと保守データにアクセスする保守用端末において、社内データのファイル保存先を信頼できる社内ネットワークのファイルサーバとして社内データを社外に持ち出すことを抑止して情報漏えいリスクを低減するという効果を奏する。
また、社内データと保守データにアクセスする保守用端末において、保守アプリケーションを含む保守用端末仮想マシンの実行を社内ネットワークと保守現場ネットワークのネットワーク接続ができる場所に限って許可すること、保守現場ネットワークでの保守データのファイル保存先を暗号化領域のみとすることで、情報漏えいリスクを低減しながら保守用端末としての可用性を確保するという効果を奏する。
【図面の簡単な説明】
【0010】
【図1】この発明に係る保守用端末システムの構成図である。
【図2】ファイルサーバのデータ領域構成図である。
【図3】端末モード判定・切替情報テーブルの構成図である。
【図4】ファイルサーバ領域切替テーブルの構成図である。
【図5】ファイル監視制御情報テーブルの構成図である。
【図6】社内ネットワークに接続して保守用端末を起動する手順を示すフローチャートである。
【図7】保守用端末をネットワーク接続するための認証情報の入力画面である。
【図8】社内ネットワークに接続した保守用端末で社内端末仮想マシンまたは保守用端末仮想マシンを選択する選択画面である。
【図9】社内で社内ネットワークに接続した保守用端末の社内端末仮想マシンを使用する手順を示すフローチャートである。
【図10】社内で社内ネットワークに接続した保守用端末の保守用端末仮想マシンを使用する手順を示すフローチャートである。
【図11】保守現場へ持ち出すファイルを指定する画面である。
【図12】社内で社内ネットワークに接続した保守用端末がファイルサーバを監視する手順を示すフローチャートである。
【図13】保守用端末が社内ネットワークに接続されていないときファイルを削除する手順を示すフローチャートである。
【図14】保守現場ネットワークに接続して保守用端末を起動する手順を示すフローチャートである。
【図15】保守現場で保守現場ネットワークに接続した保守用端末の保守用端末仮想マシンを使用する手順を示すフローチャートである。
【図16】社内データを保守用端末に格納して持ち出すときの手順を示すフローチャートである。
【図17】保守現場へ持ち出す社内データ領域のファイルを指定する画面である。
【図18】保守現場へ持ち出す社内データ領域のファイルの持出しに承認を与える画面である。
【図19】承認用端末に記録されるファイル履歴の内容である。
【発明を実施するための形態】
【0011】
以下、本発明の保守用端末の好適な実施の形態につき図面を用いて説明する。
図1は、この発明に係る保守用端末システムの構成図である。
この発明に係る保守用端末1は、社内にある社内ネットワーク2と社外にある保守現場ネットワーク3と排他的に接続されて使用される。社内では社内ネットワーク2に接続して社内アプリケーション4と保守アプリケーション5を実行し、社外では保守現場ネットワーク3に接続して保守アプリケーション5を実行する。
【0012】
現場システム11には、保守用端末1が保守現場ネットワーク3に接続する際に認証を行うネットワーク認証装置12と、エレベータ装置13を監視するエレベータ監視装置14と、エレベータ装置13の周辺の映像監視を行う監視レコーダ15等の付加機器と、を備える。
【0013】
社内システム21には、保守用端末1が社内ネットワーク2に接続する際に認証を行うネットワーク認証装置22と、保守用端末1のアプリケーションのファイルを保存するファイルサーバ23と、エレベータ監視装置14からのエレベータ監視状況を受信する遠隔監視サーバ24と、ファイルサーバ23のファイルの移動に関する承認と履歴記録を行う承認用端末25と、を備える。
【0014】
エレベータ監視装置14と遠隔監視サーバ24とは遠隔監視回線6を通じて接続して、エレベータ監視装置14からエレベータを含む現場システム11の異常を通知する。
【0015】
保守用端末1は、保守用端末管理部31と、社内端末仮想マシン32と、保守用端末仮想マシン33とからなる。
社内端末仮想マシン32は、社内アプリケーション4と、OS34と、仮想ネットワーク部35と、仮想ファイルシステム部36と、を含み、社内で使用する社内アプリケーション4を実行する環境である。
保守用端末仮想マシン33は、保守アプリケーション5と、OS37と、仮想ネットワーク部38と、仮想ファイルシステム部39と、を含み、保守現場で使用する保守アプリケーション5を実行する環境である。
【0016】
保守用端末管理部31は、社内システム21または現場システム11と例えばLAN接続するネットワークインタフェース48と、ネットワーク認証装置12、22とネットワーク接続の際の認証を行うネットワーク認証部41と、認証結果に従って社内ネットワーク2に接続しているとき社内で、保守現場ネットワーク3に接続しているとき保守現場で動作するように判別する端末モード切替部42と、社内で動作するように判別されたとき社内端末仮想マシン32または保守用端末仮想マシン33の何れかを、保守現場で動作するように判別されたとき保守用端末仮想マシン33を起動する仮想マシン起動部49、端末モード切替部42の判別結果に応じて社内端末仮想マシン32と保守用端末仮想マシン33からのネットワークアクセスを社内ネットワーク2、保守現場ネットワーク3または禁止に振り分けるネットワークアクセス制御部43と、端末モード切替部42の判別結果に応じてファイルアクセスをファイルサーバ23、暗号化領域45または禁止に振り分けるファイルアクセス制御部44と、を含む。
【0017】
また、保守用端末管理部31は、社内ネットワーク2との接続を検出しない時間が予め定めた第1の時間を超えた場合に暗号化領域45のファイルを削除し、更に第1の時間を超える予め定めた第2の時間を超えた場合に社内端末仮想マシン32と保守用端末仮想マシン33のファイルを削除するファイル監視制御部46と、暗号化領域45のファイルを削除した場合に真となり、保守現場ネットワーク3に接続しているときエレベータ監視装置14が不審端末フラグ47が真であることを検出した場合に、遠隔監視サーバ24に異常発報させる不審端末フラグ47と、を含む。
【0018】
なお、社内ネットワーク2上にシンクライアントサーバを設置し、社内端末仮想マシンをシンクライアントとしてもよい。
暗号化領域45には、保守用端末1で持ち出すデータファイルが暗号化されて保存される。また、保守作業のためのツール実行ファイルやドキュメントファイルが保存される。
【0019】
ネットワークインタフェース48は、有線LANや無線LANとすることができる。有線LANにした場合には、ネットワーク認証装置12、22はLANスイッチやVLANによりネットワークを接続/遮断する。無線LANの場合は無線LAN認証によってネットワークを接続/遮断する。
【0020】
図2は、ファイルサーバ23のデータ領域構成図である。
ファイルサーバ23は、社内で利用するデータファイル・OA用ツール実行ファイル・ドキュメントファイルを記録する社内データ領域51、社内で利用するデータファイル・保守用ツール実行ファイル・ドキュメントファイルを記録する保守データ領域52、保守用端末1に持ち出すデータファイル・保守用ツール実行ファイル・ドキュメントファイルを記録する保守用データダウンロード領域54、保守用端末1から読み込んだデータファイル・保守用ツール実行ファイル・ドキュメントファイルを記録する保守用データアップロード領域53を有する。
社内データ領域51は、社内端末仮想マシン32の社内アプリケーション4からアクセス可能、保守データ領域52は、保守用端末仮想マシン33の保守アプリケーション5からアクセス可能、保守データアップロード領域53と保守データダウンロード領域54は保守用端末管理部31のファイルアクセス制御部44からアクセス可能である。そして、社内ネットワーク2に接続していることを検出した場合にファイルアクセス制御部44は暗号化領域45のファイルを保守データアップロード領域53に移動(アップロードと呼ぶ)し、社内ネットワーク2に接続していることを検出した場合にファイルアクセス制御部44は保守データダウンロード領域54にファイルがある場合暗号化領域45に移動(ダウンロードと呼ぶ)する。
【0021】
図3は、端末モード判定・切替情報テーブルの構成図である。
端末モード切替部42は、端末モード判定・切替情報テーブルが備えられている。識別したネットワークと端末モード、同モードで実行を許可する端末仮想マシンと、許可するファイルアクセスの対応を示す。
端末モード判定・切り替え情報テーブルの記載に従って、ネットワーク認証部41が認証したネットワークが社内ネットワーク2であれば、端末モード切替部42はファイルアクセス制御部44のファイルアクセス先をファイルサーバ23とし、仮想マシン起動部49に社内端末仮想マシン32または保守用端末仮想マシン33のいずれかを起動することを設定する。端末モードは、仮想マシン起動部49が起動した仮想マシンと一致する。また、ネットワーク認証部41が認証したネットワークが保守現場ネットワーク3であれば、端末モード切替部42はファイルファイルアクセス制御部44のファイルアクセス先を暗号化領域45とし、仮想マシン起動部49に保守用端末仮想マシン33を起動することを設定する。
さらに、ネットワーク認証部41が社内ネットワーク2および保守現場ネットワーク3のいずれも認証できなかった場合は、ファイルアクセス制御部44にファイルアクセスを禁止する設定を行い、仮想マシン起動部49にもいずれの仮想マシンの起動を許可しない。
【0022】
図4は、ファイルサーバ領域切替テーブルの構成図である。
ファイルアクセス制御部44は、ファイルサーバ領域切替情報テーブルが備えられている。ファイルアクセス制御部44は、社内ネットワーク2に接続しているときの端末モードによって、ファイルサーバ23におけるファイルアクセス先のパス設定を示す。
ファイルサーバ領域切替テーブルに従って、端末モードが社内端末の場合、社内端末仮想マシン32からのファイルアクセスは、ファイルアクセス制御部44によってファイルサーバ23の社内データ領域51となる。また、端末モードが保守端末の場合、保守端末仮想マシン33からのファイルアクセスは保守データ領域52となり、ファイルアクセス制御部44によるアップロードは保守データアップロード領域53、ファイルアクセス制御部44によるダウンロードは保守データダウンロード領域54の、それぞれの領域に対して行う。
【0023】
図5は、ファイル監視制御情報テーブルの構成図である。
ファイル監視制御部46は、ファイル監視制御情報テーブルが備えられている。ファイル監視制御情報テーブルには、暗号化領域45のファイルを削除するまでの第1の時刻を示す不審化タイマーと、社内端末仮想マシン32および保守用端末仮想マシン33のファイルを削除するまでの第2の時刻を示す端末仮想マシン削除タイマーと、が設定されている。
【0024】
図6は、社内ネットワーク2に接続して保守用端末1を起動する手順を示すフローチャートである。
保守員が保守用端末1を社内システム21に接続して保守用端末1を起動すると、保守用端末1の保守用端末管理部31が起動され、ファイル監視を開始するとともに社内端末仮想マシン32を起動するか保守用端末仮想マシン33を起動するかを判断するためにネットワークの接続状況の監視を開始する。保守用端末1には、図7に示すように、認証情報の入力を促す画面が表示される。
保守員がネットワーク認証情報としてのユーザ名とパスワードを入力すると、ネットワーク認証を開始し、社内システム21のネットワーク認証装置22によりネットワーク認証される。なお、保守用端末1のキーボードからユーザ名とパスワードを入力しているが、認証情報をICカードに格納し、そのICカードをICカードリーダで読み取らせても良い。
【0025】
そして、端末モード切替部42は、保守用端末1が社内ネットワーク2に接続されたので、ネットワークアクセス制御部43に社内ネットワーク2との接続を許可する。社内ネットワーク2と接続されたので、ファイル監視制御部46は不審端末フラグ47をクリアして、ファイル監視制御情報テーブルの不審化タイマーの時刻と端末仮想マシン削除タイマーの時刻をそれぞれ所定時間延長して再設定する。端末モード切替部42は、ファイルアクセス制御部44にファイルサーバ23にファイルアクセスするように設定する。ファイルアクセス制御部44は、暗号化領域45のファイルを保守データアップロード領域53にアップロードを行うと、ファイルサーバ23は保守データアップロード領域53のファイルを保守データ領域52に移動する。
【0026】
ファイルアクセス制御部44は、暗号化領域45のファイルをファイルサーバ23にアップロードしたことを承認用端末25に通知する。承認用端末25は、アップロードした通知を受け取ると履歴を記録する。ファイルアクセス制御部44は、保守データダウンロード領域54にファイルがある場合に暗号化領域にダウンロードを行うためのファイルサーバ23の監視を開始する。
次に、端末モード切替部42が社内ネットワーク2への接続を認識していると、保守用端末1には、図8に示すように、起動する端末環境を選択する画面が表示される。保守員は社内端末環境または保守端末環境の何れかを選択する。なお、社内ネットワーク2に接続しているときには社内端末仮想マシン32で作業する可能性が高い場合には、例えば15秒を経過すると自動的に社内端末環境が選択されるようにしてある。
選択された社内端末環境または保守端末環境に従って、仮想マシン起動部49は社内端末仮想マシン32または保守用端末仮想マシン3を起動する。
【0027】
図9は、社内で社内ネットワーク2に接続した保守用端末1の社内端末仮想マシン32を使用する手順を示すフローチャートである。
社内端末仮想マシン32が起動されると、社内アプリケーション4が起動される。そして、保守員が社内アプリケーション4を操作して所望のジョブを実行するが、社内アプリケーション4でファイルアクセスの処理が必要になったら、ファイルアクセス制御部44のファイルアクセスのアクセス先を、端末モード判定・切替情報テーブルに従って端末モード切替部42がファイルサーバ23に指定してファイルアクセスを処理する。
保守員が所望のジョブが完了したので保守用端末1の使用を終了すると、社内端末仮想マシン32にシャットダウン指示が行われ、その指示に従ってOS(オペレーティングシステム)34がシャットダウンする。
【0028】
図10は、社内で社内ネットワーク2に接続した保守用端末1の保守用端末仮想マシン33を使用する手順を示すフローチャートである。
保守用端末仮想マシン33が起動されると、保守アプリケーション5が起動される。そして、保守員が保守アプリケーション5を操作して所望のジョブを実行するが、保守アプリケーション5でファイルアクセスの処理が必要になったら、ファイルアクセス制御部44のファイルアクセスのアクセス先を、端末モード判定・切替情報テーブルに従って端末モード切替部42がファイルサーバ23に指定してファイルアクセスを処理する。
【0029】
保守員が保守アプリケーション5を操作して、ファイルサーバ23の保守データ領域52に格納されているファイルを保守現場に持ち出すとき、保守用端末1に図11に示すように、保守現場へ持ち出すファイルを指定する画面が表示されるので、保守員により指定される。
保守アプリケーション5は、ファイルアクセス制御部44に指定されたファイルをファイルサーバ23に移動するように指示し、ファイルサーバ23は指定されたファイルを保守データ領域52から保守データダウンロード領域54に移動させる。ファイルアクセス制御部44は、図12に示す、社内で社内ネットワーク2に接続した保守用端末1がファイルサーバ23を監視する手順を示すフローチャートのとおり、保守データダウンロード領域54に格納されたファイルを暗号化領域45に移動させる。
【0030】
保守員が所望のジョブが完了したので保守用端末1の使用を終了すると、保守用端末仮想マシン33にシャットダウン指示が行われ、その指示に従ってOS37がシャットダウンする。
【0031】
図12は、社内で社内ネットワーク2に接続した保守用端末1がファイルサーバ23を監視する手順を示すフローチャートである。
ファイルアクセス制御部44は、ファイルアクセスのアクセス先がファイルサーバ23と指定されると、ファイルサーバ23に対する監視を開始し、その中にはファイルサーバ23の保守データダウンロード領域54の監視も含まれる。保守データダウンロード領域54の監視では、ファイルサーバ23に保守データダウンロード領域54にファイルが有るか無いかのチェックを依頼し、ファイルがあるときそのファイルを暗号化領域45にダウンロードする。ファイルサーバ23は保守データダウンロード領域54から保守用端末1にファイルを移動した後でそのファイルを保守データダウンロード領域54から削除する。
【0032】
ファイルアクセス制御部44は、ファイルサーバ23の保守データダウンロード領域54から暗号化領域45にファイルをダウンロードしたときには承認用端末25にダウンロードしたファイルの識別記号を送信する。承認用端末25は、社内システム21からダウンロードされたファイルの履歴を記録する。
【0033】
図13は、保守用端末1が社内ネットワーク2に接続されていないときファイルを削除する手順を示すフローチャートである。
ファイル監視制御部46は、保守用端末1が社内ネットワーク2に接続しなくなった時点から計時を開始する。そして、暗号化領域45にファイルが有るか無いかを判断し、暗号化領域45にファイルが有る場合、不審化タイマーをオーバーしたか否かを判断する。不審化タイマーをオーバーした場合は不審端末フラグ47をセットし、不審化タイマーをオーバーしていない場合計時を継続する。
【0034】
不審端末フラグ47がセットされた場合または暗号化領域45にファイルが無い場合、社内端末仮想マシン32または保守用端末仮想マシン33にファイルが有るか無いかを判断し、社内端末仮想マシン32または保守用端末仮想マシン33にファイルが有る場合、計時している時間が端末仮想マシン削除タイマーをオーバーしたか否かを判断する。端末仮想マシン削除タイマーをオーバーした場合、社内端末仮想マシン32および保守用端末仮想マシン33のファイルを削除する。
【0035】
図14は、保守現場ネットワーク3に接続して保守用端末1を起動する手順を示すフローチャートである。
保守員が保守用端末1を現場システム11に接続して保守用端末1を起動すると、保守用端末1の保守用端末管理部31が起動され、ファイル監視を開始するとともにネットワーク監視を開始する。保守用端末1には、図13に示すように、認証情報の入力を促す画面が表示される。
保守員がネットワーク認証情報として、ユーザ名とパスワードを入力すると、ネットワーク認証を開始し、現場システム11のネットワーク認証装置12によりネットワーク認証される。
【0036】
そして、端末モード切替部42は、保守用端末1が保守現場ネットワーク3に接続されたので、ネットワークアクセス制御部43に保守現場ネットワーク3との接続を許可する。端末モード切替部42は、保守現場ネットワーク3と接続されたので、ファイルアクセス制御部44にローカルアクセスを設定する。ファイル監視制御部46は不審端末フラグ47の値を端末モード切替部41とファイルサーバ23に送信する。端末モード切替部42は、不審端末フラグ47が真のとき保守用端末1を停止する。不審端末フラグ47が偽のとき仮想マシン起動部49に起動を指示する。仮想マシン起動部49は保守用端末仮想マシン33を起動する。保守用端末仮想マシン33が起動する。
ファイルサーバ23は、不審端末フラグ47が真であるとの情報を受け取ったとき不審端末を発見したとする異常を遠隔監視サーバ24に発報する。
【0037】
図15は、保守現場で保守現場ネットワーク3に接続した保守用端末1の保守用端末仮想マシン33を使用する手順を示すフローチャートである。
保守用端末仮想マシン33が起動されると、保守アプリケーション5が起動される。そして、保守員が保守アプリケーション5を操作して所望のジョブを実行するが、保守アプリケーション5でファイルアクセスの処理が必要になったら、ファイルアクセス制御部44のファイルアクセスのアクセス先を、端末モード判定・切替情報テーブルに従って端末モード切替部42が暗号化領域45に指定してファイルアクセスを処理する。
【0038】
また、保守アプリケーション5でエレベータ監視装置アクセスの処理が必要になったらネットワークアクセス制御部43は接続を許可された保守現場ネットワーク3のエレベータ監視装置14へのアクセスを中継してエレベータ監視装置アクセスを処理する。
保守員が所望のジョブが完了したので保守用端末1の使用を終了すると、保守用端末仮想マシン33にシャットダウン指示が行われ、その指示に従ってOS37がシャットダウンする。
【0039】
図16は、社内データファイルを保守用端末1に格納して持ち出すときの手順を示すフローチャートである。
保守用端末1を社内ネットワーク2に接続して社内端末仮想マシン32を起動し、次に社内アプリケーション4を起動する。
次に、保守員はファイルサーバ23の社内データ領域51に格納されている社内データのファイルを保守現場に持出し指示を行う。このとき保守用端末1には図17に示すような画面が表示されるので、保守員は持出し希望のファイルにチェックを入れて指定する。
すると、承認用端末25には図18に示すような画面が表示され、管理者は承認するか拒否するか入力する。管理者がファイルの持出しを承認したとき承認用端末25に承認したファイルを記録する。
【0040】
管理者の承認が有ればファイルアクセス制御部44は、ファイルサーバ23にファイル移動指示を行い、ファイルサーバ23は社内データ領域51の該当するファイルを保守データダウンロード領域54に移動する。そして、ファイルアクセス制御部44は図12に示す、社内で社内ネットワーク2に接続した保守用端末1がファイルサーバ23を監視する手順を示すフローチャートのとおり、ファイルサーバ23の保守データダウンロード領域54からファイルを暗号化領域45に移動する。
保守員が所望のジョブが完了したので保守用端末1の使用を終了すると、社内端末仮想マシン32にシャットダウン指示が行われ、その指示に従ってOS34がシャットダウンする。
【0041】
図19は、承認用端末25に記録されるファイル履歴の内容である。
この履歴は、保守用端末管理部31から承認用端末25への通知によって追加する。日時はファイルに対する処理が発生した日時、ユーザ名は保守用端末1を使用してネットワーク認証したユーザ名、保守用端末名は保守用端末1の名称、処理内容はファイルに対して行った処理(社内データ領域51からの保守データダウンロード領域54への承認・移動、保守データダウンロード領域54から保守用端末管理部31の暗号化領域45への移動、保守用端末管理部31の暗号化領域45から保守データアップロード領域53への移動のいずれか)、ファイル名は処理対象のファイルの名前である。
【0042】
この発明に係る保守用端末システムでは、社内データと保守データにアクセスする保守用端末1において、社内データのファイル保存先を信頼できる社内ネットワーク2のファイルサーバ23として社内データを誤って社外に持ち出すことや不正に持ち出すことを抑止して情報漏えいリスクを低減する。
また、社内データと保守データにアクセスする保守用端末1において、保守アプリケーション5を含む保守用端末仮想マシン33の実行を社内ネットワーク2と保守現場ネットワーク3のネットワーク接続ができる場所に限って許可すること、保守現場ネットワーク3での保守データのファイル保存先を暗号化領域45のみとすることで、情報漏えいリスクを低減しながら保守用端末1としての可用性を確保する。
【0043】
また、保守用端末1で社内端末仮想マシン32と保守用端末仮想マシン33とそれぞれを実行し、社内データと保守データへのアクセスをそれぞれの仮想マシンに限定して行うようにし、さらに保守現場へのデータ持ち出しをユーザが明示的に行うようにしたことで、誤操作による社内データの現場持ち出しを起こりにくくする。
【0044】
また、承認用端末25はファイルサーバ23の保守用ダウンロード領域54内のファイルを監視し、ファイル情報などの変更を検知し、そのファイルの中身に所定のキーワードを含まないかをチェックする。また、長時間持ち出されているファイルがないかを定期的にチェックすることにより、不正な持出しや好ましくない持出しや長時間の持出しなど見つけ出される。
【0045】
また、承認用端末25のファイル履歴に処理が行われたファイルが記録されているので、検索するファイルが限定され、かつファイルの変更をトリガとしてファイル内容を検査するために検査の高速化が図られるとともに、定期的にチェックする項目はファイルの更新日時チェックのみであり高速実行できる。
【0046】
また、ファイル監視制御部46は、前回の保守用端末1の社内ネットワーク2への接続から第1の時間が経過した場合には、暗号化領域45のファイルを削除し、第1の時間より長い第2の時間が経過した場合には、社内端末仮想マシン32と保守用端末仮想マシン33のファイルを削除するので、長時間会社に持ち帰っていない端末での保守アプリケーション5の実行や企業機密の参照等を制限することができる。これにより、盗難、紛失時の漏洩防止や保守用端末1の横流しなどを防止できる。
【符号の説明】
【0047】
1 保守用端末、2 社内ネットワーク、3 保守現場ネットワーク、4 社内アプリケーション、5 保守アプリケーション、6 遠隔監視回線、11 現場システム、12 ネットワーク認証装置、13 エレベータ装置、14 エレベータ監視装置、15 監視レコーダ、21 社内システム、22 ネットワーク認証装置、23 ファイルサーバ、24 遠隔監視サーバ、25 承認用端末、31 保守用端末管理部、32 社内端末仮想マシン、33 保守用端末仮想マシン、34 OS、35 仮想ネットワーク部、36 仮想ファイルシステム部、37 OS、38 仮想ネットワーク部、39 仮想ファイルシステム部、41 ネットワーク認証部、42 端末モード切替部、43 ネットワークアクセス制御部、44 ファイルアクセス制御部、45 暗号化領域、46 ファイル監視制御部、47 不審端末フラグ、48 ネットワークインタフェース、49 仮想マシン起動部、51 社内データ領域、52 保守データ領域、53 保守データアップロード領域、54 保守データダウンロード領域。
【技術分野】
【0001】
この発明は、社内ネットワークと保守現場ネットワークの両方に接続可能な保守用端末およびその保守用端末を使用する保守用端末システムに関するものである。
【背景技術】
【0002】
社内にある社内ネットワークと社外にある保守現場ネットワークで使用する保守用端末及び保守用端末を含む保守用端末システムでは、社内ネットワークで使用する社内アプリケーションや社内データと保守現場ネットワークで使用する保守現場アプリケーションと保守現場データを同一の端末で使用するため、保守現場で作業する際にも、保守現場で使用しない社内アプリケーションや社内データを持ち出すことになる(例えば、特許文献1参照)。
【0003】
また、保守用端末及び保守用端末システムを、キーボードやマウス等での操作を保守用端末からサーバに送信し、サーバでその操作に応じた処理を実施し、画面データのみを保守用端末に転送するいわゆるシンクライアントで実現すると、保守現場ネットワークで使用するために社外に持ち出す場合でも、保守用端末のハードディスクにアプリケーションやデータを保存する必要がなくなる(例えば、特許文献2参照)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2008−077600号公報
【特許文献2】特開2008−077413号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかし、保守用端末のハードディスク全体や社内データを暗号化しても、保守用端末を紛失したり、盗難に会ったりしたときには、暗号化したデータが漏えいする可能性が残るため、セキュリティリスクがある。
【0006】
また、シンクライアントで実現する保守用端末では、保守現場ネットワークで、ブロードバンド、モバイルブロードバンドなどの広帯域のネットワークが使用できる常時接続環境を提供する必要があり、全ての保守現場に適用するのは困難である。
【0007】
この発明は、前記のような課題を解決するためになされたものであり、社内ネットワークで使用する社内アプリケーションや社内データと保守現場ネットワークで使用する保守現場アプリケーションと保守現場データを同一の端末で使用する場合に、社内データの持ち出しを防いでセキュリティリスクを低減し、保守現場アプリケーションと保守現場データを使用できる保守用端末およびその保守用端末を使用する保守用端末システムを得ることを目的とする。
【課題を解決するための手段】
【0008】
この発明に係る保守用端末は、社内ネットワークと保守現場ネットワークに排他的に接続して社内データと保守データにアクセスする保守用端末であって、上記社内ネットワークに接続されていることを検出したときには社内端末仮想マシンまたは保守用端末仮想マシンのいずれかの起動を許可し、また、上記保守現場ネットワークに接続されていることを検出したときには上記保守用端末仮想マシンの起動を許可するとともに上記社内端末仮想マシンの起動を禁止する保守用端末管理部を備えた。
【発明の効果】
【0009】
この発明に係る保守用端末システムでは、社内データと保守データにアクセスする保守用端末において、社内データのファイル保存先を信頼できる社内ネットワークのファイルサーバとして社内データを社外に持ち出すことを抑止して情報漏えいリスクを低減するという効果を奏する。
また、社内データと保守データにアクセスする保守用端末において、保守アプリケーションを含む保守用端末仮想マシンの実行を社内ネットワークと保守現場ネットワークのネットワーク接続ができる場所に限って許可すること、保守現場ネットワークでの保守データのファイル保存先を暗号化領域のみとすることで、情報漏えいリスクを低減しながら保守用端末としての可用性を確保するという効果を奏する。
【図面の簡単な説明】
【0010】
【図1】この発明に係る保守用端末システムの構成図である。
【図2】ファイルサーバのデータ領域構成図である。
【図3】端末モード判定・切替情報テーブルの構成図である。
【図4】ファイルサーバ領域切替テーブルの構成図である。
【図5】ファイル監視制御情報テーブルの構成図である。
【図6】社内ネットワークに接続して保守用端末を起動する手順を示すフローチャートである。
【図7】保守用端末をネットワーク接続するための認証情報の入力画面である。
【図8】社内ネットワークに接続した保守用端末で社内端末仮想マシンまたは保守用端末仮想マシンを選択する選択画面である。
【図9】社内で社内ネットワークに接続した保守用端末の社内端末仮想マシンを使用する手順を示すフローチャートである。
【図10】社内で社内ネットワークに接続した保守用端末の保守用端末仮想マシンを使用する手順を示すフローチャートである。
【図11】保守現場へ持ち出すファイルを指定する画面である。
【図12】社内で社内ネットワークに接続した保守用端末がファイルサーバを監視する手順を示すフローチャートである。
【図13】保守用端末が社内ネットワークに接続されていないときファイルを削除する手順を示すフローチャートである。
【図14】保守現場ネットワークに接続して保守用端末を起動する手順を示すフローチャートである。
【図15】保守現場で保守現場ネットワークに接続した保守用端末の保守用端末仮想マシンを使用する手順を示すフローチャートである。
【図16】社内データを保守用端末に格納して持ち出すときの手順を示すフローチャートである。
【図17】保守現場へ持ち出す社内データ領域のファイルを指定する画面である。
【図18】保守現場へ持ち出す社内データ領域のファイルの持出しに承認を与える画面である。
【図19】承認用端末に記録されるファイル履歴の内容である。
【発明を実施するための形態】
【0011】
以下、本発明の保守用端末の好適な実施の形態につき図面を用いて説明する。
図1は、この発明に係る保守用端末システムの構成図である。
この発明に係る保守用端末1は、社内にある社内ネットワーク2と社外にある保守現場ネットワーク3と排他的に接続されて使用される。社内では社内ネットワーク2に接続して社内アプリケーション4と保守アプリケーション5を実行し、社外では保守現場ネットワーク3に接続して保守アプリケーション5を実行する。
【0012】
現場システム11には、保守用端末1が保守現場ネットワーク3に接続する際に認証を行うネットワーク認証装置12と、エレベータ装置13を監視するエレベータ監視装置14と、エレベータ装置13の周辺の映像監視を行う監視レコーダ15等の付加機器と、を備える。
【0013】
社内システム21には、保守用端末1が社内ネットワーク2に接続する際に認証を行うネットワーク認証装置22と、保守用端末1のアプリケーションのファイルを保存するファイルサーバ23と、エレベータ監視装置14からのエレベータ監視状況を受信する遠隔監視サーバ24と、ファイルサーバ23のファイルの移動に関する承認と履歴記録を行う承認用端末25と、を備える。
【0014】
エレベータ監視装置14と遠隔監視サーバ24とは遠隔監視回線6を通じて接続して、エレベータ監視装置14からエレベータを含む現場システム11の異常を通知する。
【0015】
保守用端末1は、保守用端末管理部31と、社内端末仮想マシン32と、保守用端末仮想マシン33とからなる。
社内端末仮想マシン32は、社内アプリケーション4と、OS34と、仮想ネットワーク部35と、仮想ファイルシステム部36と、を含み、社内で使用する社内アプリケーション4を実行する環境である。
保守用端末仮想マシン33は、保守アプリケーション5と、OS37と、仮想ネットワーク部38と、仮想ファイルシステム部39と、を含み、保守現場で使用する保守アプリケーション5を実行する環境である。
【0016】
保守用端末管理部31は、社内システム21または現場システム11と例えばLAN接続するネットワークインタフェース48と、ネットワーク認証装置12、22とネットワーク接続の際の認証を行うネットワーク認証部41と、認証結果に従って社内ネットワーク2に接続しているとき社内で、保守現場ネットワーク3に接続しているとき保守現場で動作するように判別する端末モード切替部42と、社内で動作するように判別されたとき社内端末仮想マシン32または保守用端末仮想マシン33の何れかを、保守現場で動作するように判別されたとき保守用端末仮想マシン33を起動する仮想マシン起動部49、端末モード切替部42の判別結果に応じて社内端末仮想マシン32と保守用端末仮想マシン33からのネットワークアクセスを社内ネットワーク2、保守現場ネットワーク3または禁止に振り分けるネットワークアクセス制御部43と、端末モード切替部42の判別結果に応じてファイルアクセスをファイルサーバ23、暗号化領域45または禁止に振り分けるファイルアクセス制御部44と、を含む。
【0017】
また、保守用端末管理部31は、社内ネットワーク2との接続を検出しない時間が予め定めた第1の時間を超えた場合に暗号化領域45のファイルを削除し、更に第1の時間を超える予め定めた第2の時間を超えた場合に社内端末仮想マシン32と保守用端末仮想マシン33のファイルを削除するファイル監視制御部46と、暗号化領域45のファイルを削除した場合に真となり、保守現場ネットワーク3に接続しているときエレベータ監視装置14が不審端末フラグ47が真であることを検出した場合に、遠隔監視サーバ24に異常発報させる不審端末フラグ47と、を含む。
【0018】
なお、社内ネットワーク2上にシンクライアントサーバを設置し、社内端末仮想マシンをシンクライアントとしてもよい。
暗号化領域45には、保守用端末1で持ち出すデータファイルが暗号化されて保存される。また、保守作業のためのツール実行ファイルやドキュメントファイルが保存される。
【0019】
ネットワークインタフェース48は、有線LANや無線LANとすることができる。有線LANにした場合には、ネットワーク認証装置12、22はLANスイッチやVLANによりネットワークを接続/遮断する。無線LANの場合は無線LAN認証によってネットワークを接続/遮断する。
【0020】
図2は、ファイルサーバ23のデータ領域構成図である。
ファイルサーバ23は、社内で利用するデータファイル・OA用ツール実行ファイル・ドキュメントファイルを記録する社内データ領域51、社内で利用するデータファイル・保守用ツール実行ファイル・ドキュメントファイルを記録する保守データ領域52、保守用端末1に持ち出すデータファイル・保守用ツール実行ファイル・ドキュメントファイルを記録する保守用データダウンロード領域54、保守用端末1から読み込んだデータファイル・保守用ツール実行ファイル・ドキュメントファイルを記録する保守用データアップロード領域53を有する。
社内データ領域51は、社内端末仮想マシン32の社内アプリケーション4からアクセス可能、保守データ領域52は、保守用端末仮想マシン33の保守アプリケーション5からアクセス可能、保守データアップロード領域53と保守データダウンロード領域54は保守用端末管理部31のファイルアクセス制御部44からアクセス可能である。そして、社内ネットワーク2に接続していることを検出した場合にファイルアクセス制御部44は暗号化領域45のファイルを保守データアップロード領域53に移動(アップロードと呼ぶ)し、社内ネットワーク2に接続していることを検出した場合にファイルアクセス制御部44は保守データダウンロード領域54にファイルがある場合暗号化領域45に移動(ダウンロードと呼ぶ)する。
【0021】
図3は、端末モード判定・切替情報テーブルの構成図である。
端末モード切替部42は、端末モード判定・切替情報テーブルが備えられている。識別したネットワークと端末モード、同モードで実行を許可する端末仮想マシンと、許可するファイルアクセスの対応を示す。
端末モード判定・切り替え情報テーブルの記載に従って、ネットワーク認証部41が認証したネットワークが社内ネットワーク2であれば、端末モード切替部42はファイルアクセス制御部44のファイルアクセス先をファイルサーバ23とし、仮想マシン起動部49に社内端末仮想マシン32または保守用端末仮想マシン33のいずれかを起動することを設定する。端末モードは、仮想マシン起動部49が起動した仮想マシンと一致する。また、ネットワーク認証部41が認証したネットワークが保守現場ネットワーク3であれば、端末モード切替部42はファイルファイルアクセス制御部44のファイルアクセス先を暗号化領域45とし、仮想マシン起動部49に保守用端末仮想マシン33を起動することを設定する。
さらに、ネットワーク認証部41が社内ネットワーク2および保守現場ネットワーク3のいずれも認証できなかった場合は、ファイルアクセス制御部44にファイルアクセスを禁止する設定を行い、仮想マシン起動部49にもいずれの仮想マシンの起動を許可しない。
【0022】
図4は、ファイルサーバ領域切替テーブルの構成図である。
ファイルアクセス制御部44は、ファイルサーバ領域切替情報テーブルが備えられている。ファイルアクセス制御部44は、社内ネットワーク2に接続しているときの端末モードによって、ファイルサーバ23におけるファイルアクセス先のパス設定を示す。
ファイルサーバ領域切替テーブルに従って、端末モードが社内端末の場合、社内端末仮想マシン32からのファイルアクセスは、ファイルアクセス制御部44によってファイルサーバ23の社内データ領域51となる。また、端末モードが保守端末の場合、保守端末仮想マシン33からのファイルアクセスは保守データ領域52となり、ファイルアクセス制御部44によるアップロードは保守データアップロード領域53、ファイルアクセス制御部44によるダウンロードは保守データダウンロード領域54の、それぞれの領域に対して行う。
【0023】
図5は、ファイル監視制御情報テーブルの構成図である。
ファイル監視制御部46は、ファイル監視制御情報テーブルが備えられている。ファイル監視制御情報テーブルには、暗号化領域45のファイルを削除するまでの第1の時刻を示す不審化タイマーと、社内端末仮想マシン32および保守用端末仮想マシン33のファイルを削除するまでの第2の時刻を示す端末仮想マシン削除タイマーと、が設定されている。
【0024】
図6は、社内ネットワーク2に接続して保守用端末1を起動する手順を示すフローチャートである。
保守員が保守用端末1を社内システム21に接続して保守用端末1を起動すると、保守用端末1の保守用端末管理部31が起動され、ファイル監視を開始するとともに社内端末仮想マシン32を起動するか保守用端末仮想マシン33を起動するかを判断するためにネットワークの接続状況の監視を開始する。保守用端末1には、図7に示すように、認証情報の入力を促す画面が表示される。
保守員がネットワーク認証情報としてのユーザ名とパスワードを入力すると、ネットワーク認証を開始し、社内システム21のネットワーク認証装置22によりネットワーク認証される。なお、保守用端末1のキーボードからユーザ名とパスワードを入力しているが、認証情報をICカードに格納し、そのICカードをICカードリーダで読み取らせても良い。
【0025】
そして、端末モード切替部42は、保守用端末1が社内ネットワーク2に接続されたので、ネットワークアクセス制御部43に社内ネットワーク2との接続を許可する。社内ネットワーク2と接続されたので、ファイル監視制御部46は不審端末フラグ47をクリアして、ファイル監視制御情報テーブルの不審化タイマーの時刻と端末仮想マシン削除タイマーの時刻をそれぞれ所定時間延長して再設定する。端末モード切替部42は、ファイルアクセス制御部44にファイルサーバ23にファイルアクセスするように設定する。ファイルアクセス制御部44は、暗号化領域45のファイルを保守データアップロード領域53にアップロードを行うと、ファイルサーバ23は保守データアップロード領域53のファイルを保守データ領域52に移動する。
【0026】
ファイルアクセス制御部44は、暗号化領域45のファイルをファイルサーバ23にアップロードしたことを承認用端末25に通知する。承認用端末25は、アップロードした通知を受け取ると履歴を記録する。ファイルアクセス制御部44は、保守データダウンロード領域54にファイルがある場合に暗号化領域にダウンロードを行うためのファイルサーバ23の監視を開始する。
次に、端末モード切替部42が社内ネットワーク2への接続を認識していると、保守用端末1には、図8に示すように、起動する端末環境を選択する画面が表示される。保守員は社内端末環境または保守端末環境の何れかを選択する。なお、社内ネットワーク2に接続しているときには社内端末仮想マシン32で作業する可能性が高い場合には、例えば15秒を経過すると自動的に社内端末環境が選択されるようにしてある。
選択された社内端末環境または保守端末環境に従って、仮想マシン起動部49は社内端末仮想マシン32または保守用端末仮想マシン3を起動する。
【0027】
図9は、社内で社内ネットワーク2に接続した保守用端末1の社内端末仮想マシン32を使用する手順を示すフローチャートである。
社内端末仮想マシン32が起動されると、社内アプリケーション4が起動される。そして、保守員が社内アプリケーション4を操作して所望のジョブを実行するが、社内アプリケーション4でファイルアクセスの処理が必要になったら、ファイルアクセス制御部44のファイルアクセスのアクセス先を、端末モード判定・切替情報テーブルに従って端末モード切替部42がファイルサーバ23に指定してファイルアクセスを処理する。
保守員が所望のジョブが完了したので保守用端末1の使用を終了すると、社内端末仮想マシン32にシャットダウン指示が行われ、その指示に従ってOS(オペレーティングシステム)34がシャットダウンする。
【0028】
図10は、社内で社内ネットワーク2に接続した保守用端末1の保守用端末仮想マシン33を使用する手順を示すフローチャートである。
保守用端末仮想マシン33が起動されると、保守アプリケーション5が起動される。そして、保守員が保守アプリケーション5を操作して所望のジョブを実行するが、保守アプリケーション5でファイルアクセスの処理が必要になったら、ファイルアクセス制御部44のファイルアクセスのアクセス先を、端末モード判定・切替情報テーブルに従って端末モード切替部42がファイルサーバ23に指定してファイルアクセスを処理する。
【0029】
保守員が保守アプリケーション5を操作して、ファイルサーバ23の保守データ領域52に格納されているファイルを保守現場に持ち出すとき、保守用端末1に図11に示すように、保守現場へ持ち出すファイルを指定する画面が表示されるので、保守員により指定される。
保守アプリケーション5は、ファイルアクセス制御部44に指定されたファイルをファイルサーバ23に移動するように指示し、ファイルサーバ23は指定されたファイルを保守データ領域52から保守データダウンロード領域54に移動させる。ファイルアクセス制御部44は、図12に示す、社内で社内ネットワーク2に接続した保守用端末1がファイルサーバ23を監視する手順を示すフローチャートのとおり、保守データダウンロード領域54に格納されたファイルを暗号化領域45に移動させる。
【0030】
保守員が所望のジョブが完了したので保守用端末1の使用を終了すると、保守用端末仮想マシン33にシャットダウン指示が行われ、その指示に従ってOS37がシャットダウンする。
【0031】
図12は、社内で社内ネットワーク2に接続した保守用端末1がファイルサーバ23を監視する手順を示すフローチャートである。
ファイルアクセス制御部44は、ファイルアクセスのアクセス先がファイルサーバ23と指定されると、ファイルサーバ23に対する監視を開始し、その中にはファイルサーバ23の保守データダウンロード領域54の監視も含まれる。保守データダウンロード領域54の監視では、ファイルサーバ23に保守データダウンロード領域54にファイルが有るか無いかのチェックを依頼し、ファイルがあるときそのファイルを暗号化領域45にダウンロードする。ファイルサーバ23は保守データダウンロード領域54から保守用端末1にファイルを移動した後でそのファイルを保守データダウンロード領域54から削除する。
【0032】
ファイルアクセス制御部44は、ファイルサーバ23の保守データダウンロード領域54から暗号化領域45にファイルをダウンロードしたときには承認用端末25にダウンロードしたファイルの識別記号を送信する。承認用端末25は、社内システム21からダウンロードされたファイルの履歴を記録する。
【0033】
図13は、保守用端末1が社内ネットワーク2に接続されていないときファイルを削除する手順を示すフローチャートである。
ファイル監視制御部46は、保守用端末1が社内ネットワーク2に接続しなくなった時点から計時を開始する。そして、暗号化領域45にファイルが有るか無いかを判断し、暗号化領域45にファイルが有る場合、不審化タイマーをオーバーしたか否かを判断する。不審化タイマーをオーバーした場合は不審端末フラグ47をセットし、不審化タイマーをオーバーしていない場合計時を継続する。
【0034】
不審端末フラグ47がセットされた場合または暗号化領域45にファイルが無い場合、社内端末仮想マシン32または保守用端末仮想マシン33にファイルが有るか無いかを判断し、社内端末仮想マシン32または保守用端末仮想マシン33にファイルが有る場合、計時している時間が端末仮想マシン削除タイマーをオーバーしたか否かを判断する。端末仮想マシン削除タイマーをオーバーした場合、社内端末仮想マシン32および保守用端末仮想マシン33のファイルを削除する。
【0035】
図14は、保守現場ネットワーク3に接続して保守用端末1を起動する手順を示すフローチャートである。
保守員が保守用端末1を現場システム11に接続して保守用端末1を起動すると、保守用端末1の保守用端末管理部31が起動され、ファイル監視を開始するとともにネットワーク監視を開始する。保守用端末1には、図13に示すように、認証情報の入力を促す画面が表示される。
保守員がネットワーク認証情報として、ユーザ名とパスワードを入力すると、ネットワーク認証を開始し、現場システム11のネットワーク認証装置12によりネットワーク認証される。
【0036】
そして、端末モード切替部42は、保守用端末1が保守現場ネットワーク3に接続されたので、ネットワークアクセス制御部43に保守現場ネットワーク3との接続を許可する。端末モード切替部42は、保守現場ネットワーク3と接続されたので、ファイルアクセス制御部44にローカルアクセスを設定する。ファイル監視制御部46は不審端末フラグ47の値を端末モード切替部41とファイルサーバ23に送信する。端末モード切替部42は、不審端末フラグ47が真のとき保守用端末1を停止する。不審端末フラグ47が偽のとき仮想マシン起動部49に起動を指示する。仮想マシン起動部49は保守用端末仮想マシン33を起動する。保守用端末仮想マシン33が起動する。
ファイルサーバ23は、不審端末フラグ47が真であるとの情報を受け取ったとき不審端末を発見したとする異常を遠隔監視サーバ24に発報する。
【0037】
図15は、保守現場で保守現場ネットワーク3に接続した保守用端末1の保守用端末仮想マシン33を使用する手順を示すフローチャートである。
保守用端末仮想マシン33が起動されると、保守アプリケーション5が起動される。そして、保守員が保守アプリケーション5を操作して所望のジョブを実行するが、保守アプリケーション5でファイルアクセスの処理が必要になったら、ファイルアクセス制御部44のファイルアクセスのアクセス先を、端末モード判定・切替情報テーブルに従って端末モード切替部42が暗号化領域45に指定してファイルアクセスを処理する。
【0038】
また、保守アプリケーション5でエレベータ監視装置アクセスの処理が必要になったらネットワークアクセス制御部43は接続を許可された保守現場ネットワーク3のエレベータ監視装置14へのアクセスを中継してエレベータ監視装置アクセスを処理する。
保守員が所望のジョブが完了したので保守用端末1の使用を終了すると、保守用端末仮想マシン33にシャットダウン指示が行われ、その指示に従ってOS37がシャットダウンする。
【0039】
図16は、社内データファイルを保守用端末1に格納して持ち出すときの手順を示すフローチャートである。
保守用端末1を社内ネットワーク2に接続して社内端末仮想マシン32を起動し、次に社内アプリケーション4を起動する。
次に、保守員はファイルサーバ23の社内データ領域51に格納されている社内データのファイルを保守現場に持出し指示を行う。このとき保守用端末1には図17に示すような画面が表示されるので、保守員は持出し希望のファイルにチェックを入れて指定する。
すると、承認用端末25には図18に示すような画面が表示され、管理者は承認するか拒否するか入力する。管理者がファイルの持出しを承認したとき承認用端末25に承認したファイルを記録する。
【0040】
管理者の承認が有ればファイルアクセス制御部44は、ファイルサーバ23にファイル移動指示を行い、ファイルサーバ23は社内データ領域51の該当するファイルを保守データダウンロード領域54に移動する。そして、ファイルアクセス制御部44は図12に示す、社内で社内ネットワーク2に接続した保守用端末1がファイルサーバ23を監視する手順を示すフローチャートのとおり、ファイルサーバ23の保守データダウンロード領域54からファイルを暗号化領域45に移動する。
保守員が所望のジョブが完了したので保守用端末1の使用を終了すると、社内端末仮想マシン32にシャットダウン指示が行われ、その指示に従ってOS34がシャットダウンする。
【0041】
図19は、承認用端末25に記録されるファイル履歴の内容である。
この履歴は、保守用端末管理部31から承認用端末25への通知によって追加する。日時はファイルに対する処理が発生した日時、ユーザ名は保守用端末1を使用してネットワーク認証したユーザ名、保守用端末名は保守用端末1の名称、処理内容はファイルに対して行った処理(社内データ領域51からの保守データダウンロード領域54への承認・移動、保守データダウンロード領域54から保守用端末管理部31の暗号化領域45への移動、保守用端末管理部31の暗号化領域45から保守データアップロード領域53への移動のいずれか)、ファイル名は処理対象のファイルの名前である。
【0042】
この発明に係る保守用端末システムでは、社内データと保守データにアクセスする保守用端末1において、社内データのファイル保存先を信頼できる社内ネットワーク2のファイルサーバ23として社内データを誤って社外に持ち出すことや不正に持ち出すことを抑止して情報漏えいリスクを低減する。
また、社内データと保守データにアクセスする保守用端末1において、保守アプリケーション5を含む保守用端末仮想マシン33の実行を社内ネットワーク2と保守現場ネットワーク3のネットワーク接続ができる場所に限って許可すること、保守現場ネットワーク3での保守データのファイル保存先を暗号化領域45のみとすることで、情報漏えいリスクを低減しながら保守用端末1としての可用性を確保する。
【0043】
また、保守用端末1で社内端末仮想マシン32と保守用端末仮想マシン33とそれぞれを実行し、社内データと保守データへのアクセスをそれぞれの仮想マシンに限定して行うようにし、さらに保守現場へのデータ持ち出しをユーザが明示的に行うようにしたことで、誤操作による社内データの現場持ち出しを起こりにくくする。
【0044】
また、承認用端末25はファイルサーバ23の保守用ダウンロード領域54内のファイルを監視し、ファイル情報などの変更を検知し、そのファイルの中身に所定のキーワードを含まないかをチェックする。また、長時間持ち出されているファイルがないかを定期的にチェックすることにより、不正な持出しや好ましくない持出しや長時間の持出しなど見つけ出される。
【0045】
また、承認用端末25のファイル履歴に処理が行われたファイルが記録されているので、検索するファイルが限定され、かつファイルの変更をトリガとしてファイル内容を検査するために検査の高速化が図られるとともに、定期的にチェックする項目はファイルの更新日時チェックのみであり高速実行できる。
【0046】
また、ファイル監視制御部46は、前回の保守用端末1の社内ネットワーク2への接続から第1の時間が経過した場合には、暗号化領域45のファイルを削除し、第1の時間より長い第2の時間が経過した場合には、社内端末仮想マシン32と保守用端末仮想マシン33のファイルを削除するので、長時間会社に持ち帰っていない端末での保守アプリケーション5の実行や企業機密の参照等を制限することができる。これにより、盗難、紛失時の漏洩防止や保守用端末1の横流しなどを防止できる。
【符号の説明】
【0047】
1 保守用端末、2 社内ネットワーク、3 保守現場ネットワーク、4 社内アプリケーション、5 保守アプリケーション、6 遠隔監視回線、11 現場システム、12 ネットワーク認証装置、13 エレベータ装置、14 エレベータ監視装置、15 監視レコーダ、21 社内システム、22 ネットワーク認証装置、23 ファイルサーバ、24 遠隔監視サーバ、25 承認用端末、31 保守用端末管理部、32 社内端末仮想マシン、33 保守用端末仮想マシン、34 OS、35 仮想ネットワーク部、36 仮想ファイルシステム部、37 OS、38 仮想ネットワーク部、39 仮想ファイルシステム部、41 ネットワーク認証部、42 端末モード切替部、43 ネットワークアクセス制御部、44 ファイルアクセス制御部、45 暗号化領域、46 ファイル監視制御部、47 不審端末フラグ、48 ネットワークインタフェース、49 仮想マシン起動部、51 社内データ領域、52 保守データ領域、53 保守データアップロード領域、54 保守データダウンロード領域。
【特許請求の範囲】
【請求項1】
社内ネットワークと保守現場ネットワークに排他的に接続して社内データと保守データにアクセスする保守用端末であって、
上記社内ネットワークに接続されていることを検出したときには社内端末仮想マシンまたは保守用端末仮想マシンのいずれかの起動を許可し、また、上記保守現場ネットワークに接続されていることを検出したときには上記保守用端末仮想マシンの起動を許可するとともに上記社内端末仮想マシンの起動を禁止する保守用端末管理部を備えたことを特徴とする保守用端末。
【請求項2】
上記保守用端末管理部は、上記社内ネットワークに接続されていることを検出した場合の上記保守用端末仮想マシンの実行においてはファイルのアクセス先を上記社内ネットワークに接続されるファイルサーバとし、上記保守現場ネットワークに接続されていることを検出した場合の上記保守用端末仮想マシンの実行においてはファイルのアクセス先を暗号化領域とすることを特徴とする請求項1に記載の保守用端末。
【請求項3】
上記保守用端末管理部は、上記社内ネットワークに接続されていることを検出しない時間が予め定めた第1の時間を超えた場合に上記暗号化領域のファイルを削除し、また上記第1の時間を超える予め定めた第2の時間を上記社内ネットワークに接続されていることを検出しない時間が超えた場合に上記社内端末仮想マシンおよび上記保守用端末仮想マシンのファイルを削除することを特徴とする請求項1または2に記載の保守用端末。
【請求項4】
社内ネットワークに接続されたファイルサーバは請求項1乃至3のいずれかに記載の保守用端末の保守端末仮想マシンからアクセス可能な第1の領域と第2の領域を有し、
上記保守用端末は、自身が上記社内ネットワークに接続されていることを検出した場合には、暗号化領域のファイルを上記第1の領域に移動し、上記第2の領域のファイルを上記暗号化領域に移動する保守用端末管理部を備えたことを特徴とする保守用端末システム。
【請求項5】
上記保守用端末管理部に上記暗号化領域のファイルを削除したことを示す不審端末フラグを備え、
上記保守用端末が接続されている保守現場ネットワークに接続されているエレベータ監視装置は、上記不審端末フラグが真であることを検出したときに遠隔監視サーバに異常発報することを特徴とする請求項4に記載の保守用端末システム。
【請求項6】
上記保守用端末の暗号化領域に上記ファイルサーバに格納されているファイルを移動するとき上記移動を承認するとともに上記移動を承認したとき移動したファイルの履歴を記録する承認用端末を備えたことを特徴とする請求項4または5に記載の保守用端末システム。
【請求項1】
社内ネットワークと保守現場ネットワークに排他的に接続して社内データと保守データにアクセスする保守用端末であって、
上記社内ネットワークに接続されていることを検出したときには社内端末仮想マシンまたは保守用端末仮想マシンのいずれかの起動を許可し、また、上記保守現場ネットワークに接続されていることを検出したときには上記保守用端末仮想マシンの起動を許可するとともに上記社内端末仮想マシンの起動を禁止する保守用端末管理部を備えたことを特徴とする保守用端末。
【請求項2】
上記保守用端末管理部は、上記社内ネットワークに接続されていることを検出した場合の上記保守用端末仮想マシンの実行においてはファイルのアクセス先を上記社内ネットワークに接続されるファイルサーバとし、上記保守現場ネットワークに接続されていることを検出した場合の上記保守用端末仮想マシンの実行においてはファイルのアクセス先を暗号化領域とすることを特徴とする請求項1に記載の保守用端末。
【請求項3】
上記保守用端末管理部は、上記社内ネットワークに接続されていることを検出しない時間が予め定めた第1の時間を超えた場合に上記暗号化領域のファイルを削除し、また上記第1の時間を超える予め定めた第2の時間を上記社内ネットワークに接続されていることを検出しない時間が超えた場合に上記社内端末仮想マシンおよび上記保守用端末仮想マシンのファイルを削除することを特徴とする請求項1または2に記載の保守用端末。
【請求項4】
社内ネットワークに接続されたファイルサーバは請求項1乃至3のいずれかに記載の保守用端末の保守端末仮想マシンからアクセス可能な第1の領域と第2の領域を有し、
上記保守用端末は、自身が上記社内ネットワークに接続されていることを検出した場合には、暗号化領域のファイルを上記第1の領域に移動し、上記第2の領域のファイルを上記暗号化領域に移動する保守用端末管理部を備えたことを特徴とする保守用端末システム。
【請求項5】
上記保守用端末管理部に上記暗号化領域のファイルを削除したことを示す不審端末フラグを備え、
上記保守用端末が接続されている保守現場ネットワークに接続されているエレベータ監視装置は、上記不審端末フラグが真であることを検出したときに遠隔監視サーバに異常発報することを特徴とする請求項4に記載の保守用端末システム。
【請求項6】
上記保守用端末の暗号化領域に上記ファイルサーバに格納されているファイルを移動するとき上記移動を承認するとともに上記移動を承認したとき移動したファイルの履歴を記録する承認用端末を備えたことを特徴とする請求項4または5に記載の保守用端末システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【公開番号】特開2011−216041(P2011−216041A)
【公開日】平成23年10月27日(2011.10.27)
【国際特許分類】
【出願番号】特願2010−85749(P2010−85749)
【出願日】平成22年4月2日(2010.4.2)
【出願人】(000236056)三菱電機ビルテクノサービス株式会社 (1,792)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
【公開日】平成23年10月27日(2011.10.27)
【国際特許分類】
【出願日】平成22年4月2日(2010.4.2)
【出願人】(000236056)三菱電機ビルテクノサービス株式会社 (1,792)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
[ Back to top ]