情報処理システム及びコンピュータプログラム
【課題】内部ネットワーク上の端末をリモート操作で動作させて内部ネットワーク上の資源にアクセスする際のアクセス範囲を、その端末のリモート操作元に応じて変える。
【解決手段】RASサーバ10に、外部ネットワークL2上の端末T3からのリモートアクセスであることを識別するためのリモート識別情報を保持するとともに、ディレクトリサーバ20に資源へのアクセス時に参照されるアクセス許容範囲を定めた権限テーブルを保持しておく。RASサーバ10は、端末T3からの外部アクセス時に、リモート識別情報が保持されているかどうかを判定し、記録されているときに、リモートアクセスに先立ち、ユーザについての資源のアクセス許容範囲を、内部ネットワークの端末T2によるリモートアクセス時又はリモート操作される端末T1による直接アクセス時の範囲と異ならせる。
【解決手段】RASサーバ10に、外部ネットワークL2上の端末T3からのリモートアクセスであることを識別するためのリモート識別情報を保持するとともに、ディレクトリサーバ20に資源へのアクセス時に参照されるアクセス許容範囲を定めた権限テーブルを保持しておく。RASサーバ10は、端末T3からの外部アクセス時に、リモート識別情報が保持されているかどうかを判定し、記録されているときに、リモートアクセスに先立ち、ユーザについての資源のアクセス許容範囲を、内部ネットワークの端末T2によるリモートアクセス時又はリモート操作される端末T1による直接アクセス時の範囲と異ならせる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、外部ネットワーク上の情報処理端末から内部ネットワーク上の情報処理端末をリモート操作して内部ネットワーク上の資源にアクセスする際のセキュリティ技術に関する。内部ネットワークは、例えばイントラネットやLAN等であり、外部ネットワークは、例えばインターネット等の広域ネットワークである。
【背景技術】
【0002】
ネットワーク技術及びコンピュータ技術の発達により、自宅のパーソナルコンピュータなど、外部ネットワークに接続された情報処理端末(以下、「外部端末」と称する場合がある)で、内部ネットワークに接続された企業内、組織内あるいはグループ内(便宜上、これらを「社内」とし、それ以外を「社外」とする)の情報処理端末(以下、社内の情報処理端末を「内部端末」と称する場合がある)と実質的に同じ環境を実現するテレワークが容易になっている。テレワークを可能にしたのは、インターネットやイントラネット等のネットワークインフラの普及のほかに、情報処理端末用のオペレーティングシステムにリモートデスクトップの機能が搭載され、あるいは搭載可能になったことによる。
【0003】
「リモートデスクトップ」は、ネットワークを介して接続された別の情報処理端末(「リモート端末」)の画面を自分の情報処理端末(「ローカル端末」)の画面上にそのまま表示して、ローカル端末上でリモート端末を操作することができるツールであり、オペレーティングシステムによっては「ターミナルサービス」と呼ばれることもある。このツールを用いることにより、ユーザは、社内で通常利用している内部端末をリモート端末とし、自宅のPCなどを外部端末とすることで、テレワークを実現することができる。
【0004】
しかし、リモートデスクトップでは、リモート端末に、社内の情報蓄積ないし管理のシステム(以下「社内システム」と称する)が接続されている場合に、社内システム内の情報が外部に漏洩しやすいという問題がある。
【0005】
この問題を解決するため、従来、特開2006−229742号公報に記載された情報漏洩防止の発明がある。この発明は、社内システムへのアクセスがあった場合、そのアクセスが、内部端末によるものか、外部端末によるものかを判定し、外部端末からのアクセスであった場合には、その外部端末へ出るデータを暗号化することにより、情報漏洩を防ぐというものである。例えば、インターネットカフェのような不特定多数のユーザが利用する外部端末を利用する場合、この発明では、データを送信する際にそれを暗号化することにより、外部端末のキャッシュファイルにおいても暗号化された状態で保存されるようにする。これにより、万が一キャッシュファイルを通じてデータが取得された場合であっても、復号鍵を持つ者以外は、それを復号することができないため、情報漏洩の危険を回避することができる。
【0006】
同じく外部への情報漏洩を防止するための発明として、特開2005−303376号公報に記載されたものがある。この発明は、外部端末から内部端末の一種である画像処理装置へのアクセスがあった場合に、操作元の機器やアプリケーションが認証済みのものであるか否かを判定し、その結果により、画像処理装置に対して実行可能な操作を制限するというものである。このようにして、不特定多数の外部端末から機密データ等にアクセスすることを防いでいる。
【0007】
【特許文献1】特開2006−229742号
【特許文献2】特開2005−303376号
【発明の開示】
【発明が解決しようとする課題】
【0008】
リモートデスクトップを利用したテレワークを円滑にしつつ外部への情報漏洩を防ぐためには、内部端末から社内システムへのアクセスがあったときに、その内部端末からのアクセスが、社内操作によるものか、外部端末を通じてなされた操作によるものかを識別し、識別結果に応じてアクセス権限に差をつけることが望ましい。例えば、社内システムがWebサーバとファイルサーバとを含み、Webサーバでは「秘密Webページ」と「機密Webページ」とが保存され、他方、ファイルサーバには、フォルダ単位に「秘密ファイル」と「機密ファイル」がそれぞれ保存されているとすると、以下の要件を充たすことが望ましい。
【0009】
(1)社内操作はアクセス制限無し
社内の内部端末で直接アクセスする場合や、社内のローカル端末から社内のリモート端末にリモートデスクトップしてアクセスする場合、すなわち社内操作については、Webサーバのすべてのページ及びファイルサーバのすべてのファイルにアクセス可能とする。
(2)外部端末を通じてなされた操作によるアクセスは一定の制限有り
外部端末から社内のリモート端末にリモートデスクトップしてアクセスする場合には、「秘密Webページ」又は「秘密ファイル」のみにアクセスを許可し、「機密Webページ」及び「機密ファイル」へのアクセスを禁止する。
【0010】
現在のところ、この要件を充足する技術は存在しない。例えば、上述した特開2006−229742号公報及び特開2005−303376号公報に記載されている発明においても、内部端末からのアクセスである限り、社内システム側では、それが社内操作によるアクセスか、リモートデスクトップでログインされている外部端末からのアクセスなのかを区別することができない。
【0011】
本発明は、上記の要件を充足することができる情報処理システム及びコンピュータプログラムを提供することを、主たる課題とするものである。
【課題を解決するための手段】
【0012】
本発明の情報処理システムは、ユーザが、内部ネットワークに接続可能な外部ネットワーク上の第1端末から前記内部ネットワーク上の第2端末をリモート操作することにより、又は、前記内部ネットワーク上の第3端末から前記第2端末をリモート操作することにより、前記第2端末がアクセス可能な前記内部ネットワーク上の資源へのリモートアクセスを許容する情報処理システムであって、前記第1端末からのリモートアクセスであることを識別するためのリモート識別情報を、当該第1端末を操作するユーザを識別するためのユーザ識別情報と関連付けて所定の記憶領域に保持する識別情報保持手段と、前記資源へのアクセス時に参照される、前記ユーザによる当該資源へのアクセス許容範囲を定めた権限テーブルと、前記ユーザ識別情報を伴う前記第1端末からのアクセス時に、当該ユーザ識別情報に関連付けられた前記リモート識別情報が前記識別情報保持に保持されているかどうかを判定し、記録されているときに、前記第1端末からのリモートアクセスに先立ち、前記ユーザ識別情報により特定されるユーザについての前記アクセス許容範囲を、前記第3端末によるリモートアクセス時又は前記第2端末による直接アクセス時の範囲と異ならせる制御手段と、を有するネットワーク対応型の情報処理システムである。
【0013】
この情報処理システムでは、ユーザについてのリモート識別情報が識別情報保持手段に保持されていることを前提として、そのユーザが第1端末を操作して第2端末をリモート操作しようとしたときに、制御手段が、リモートアクセスに先立ち、前記リモート識別情報をもとに、資源へのアクセス許容範囲を第3端末によるリモートアクセス時又は第2端末による直接アクセス時の範囲と異ならせるので、内部ネットワーク上の第2端末からのアクセスであっても、それを操作する端末がどのネットワーク上に存在するかによって、資源へのアクセス許容範囲を変えることができる。
【0014】
この情報処理システムにおいて、前記制御手段は、前記内部ネットワーク上に存在する第1サーバと、この第1サーバと通信可能に接続された第2サーバとを含んで構成することができる。
第1サーバは、前記第1端末による前記内部ネットワークとの通信路確立のためのアクセス時に、前記判定を伴う認証を行う認証手段と、この認証手段により認証結果が正当で、かつ、前記リモート識別情報が前記リモート識別情報保持手段に保持されていると判定されたときに、前記ユーザが前記外部ネットワークからリモートアクセスしようとしていることを表すアクセス情報を前記第2サーバへ伝達する伝達手段とを有するものである。また、第2サーバは、前記アクセス情報の受信を契機に、前記ユーザについての前記権限テーブルのアクセス許容範囲を、前記第3端末によるリモートアクセス時又は前記第2端末による直接アクセス時よりも縮小させる権限管理手段とを有するものである。
【0015】
前記資源は、例えば、前記内部ネットワーク上のファイルサーバに、フォルダ毎に格納されている複数の電子ファイルである。この場合、前記権限テーブルには、前記電子ファイルが格納されているフォルダ毎に、それぞれアクセスが許可又は禁止される前記ユーザ識別情報が更新自在に設定されるようにし、前記第2サーバを、前記アクセス情報の受信を契機に、前記ユーザによるアクセスが許可されるフォルダの数が減少するように前記権限テーブルを更新するように構成する。
【0016】
前記第2サーバを、前記第2端末の代理アクセスを行うプロキシサーバとし、前記資源を、前記プロキシサーバが代理アクセス可能なWebサーバに掲載されている複数のWebページとすることができる。この場合、前記権限テーブルには、前記Webページ毎に、それぞれアクセスが許可又は禁止される前記ユーザ識別情報が設定されるようにし、前記プロキシサーバは、例えば、前記アクセス情報の受信を契機に、前記権限テーブルに記録されている情報に基づいて、前記ユーザへのアクセス許容範囲が、前記第3端末によるリモートアクセス時又は前記第2端末による直接アクセス時よりも縮小するように、当該ユーザからの通信パケットの内容を更新する権限管理手段とを有するものとする。
【0017】
前記制御手段は、前記第1端末からのリモートアクセスの終了検知時又は前記第2端末からの指示に基づき、前記権限テーブルにおいて縮小したアクセス許容範囲を当該リモートアクセスの発生前の範囲に復帰させる切断監視手段をさらに備えるものとすることができる。これにより、ユーザが第2端末を操作する場合に、アクセスできない資源が発生してしまうことを防ぐことができる。
【0018】
本発明のコンピュータプログラムは、コンピュータを上述した情報処理システムとして機能させるものである。すなわち、本発明のコンピュータプログラムは、記憶装置と共に内部ネットワークに接続されたコンピュータを、ユーザが、前記内部ネットワークに接続可能な外部ネットワーク上の第1端末から前記内部ネットワーク上の第2端末をリモート操作することにより、又は、前記内部ネットワーク上の第3端末から前記第2端末をリモート操作することにより、前記第2端末がアクセス可能な前記内部ネットワーク上の資源へリモートアクセスを行うことを許容する情報処理システムとして動作させるコンピュータプログラムであって、前記記憶装置に、前記資源へのアクセス時に参照される、前記ユーザによる当該資源へのアクセス許容範囲を定めた権限テーブルとを形成するとともに、前記コンピュータを、前記外部ネットワークからのリモートアクセスであることを識別するためのリモート識別情報を、前記ユーザを識別するためのユーザ識別情報と関連付けて、前記記憶装置における所定の記録領域に保持する識別情報保持手段、及び、前記ユーザ識別情報を伴う前記第1端末からのアクセス時に、当該ユーザ識別情報に関連付けられた前記リモート識別情報が保持されているかどうかを判定し、保持されているときに、前記第1端末からのリモートアクセスに先立ち、前記ユーザ識別情報により特定されるユーザについての前記権限テーブルのアクセス許容範囲を、前記第3端末によるリモートアクセス時又は前記第2端末による直接アクセス時の範囲と異ならせるアクセス制御手段、として機能させる、コンピュータプログラムである。
【発明の効果】
【0019】
本発明によれば、外部ネットワーク上の第1端末から内部ネットワーク上の第2端末をリモート操作で動作させる際に、動作させている第2端末のアクセス権限を、外部ネットワークからのリモートアクセスか、内部ネットワークからのリモートアクセス又は直接アクセスかに基づいて、内部ネットワーク上の資源へのアクセス権限を変化させることができる。
【発明を実施するための最良の形態】
【0020】
以下、本発明を、社内のイントラネットのような内部ネットワークに設けられる、ネットワーク対応型の情報処理システムに適用した場合の実施の形態例を説明する。内部ネットワークには、この情報処理システムを通じて、インターネットのような外部ネットワークに接続できるようになっている。
【0021】
[第1実施形態]
図1は、第1実施形態の情報処理システムの全体構成図である。情報処理システム1は、内部ネットワークL1上(「ネットワーク上」とは、ネットワークに接続され、そのネットワークにおいて認識されている状態をいう。以下同じ)で互いに連携する複数のサーバを含んで構成される。すなわち、この実施形態の情報処理システム1は、それぞれ内部ネットワークL1に、RAS(Remote Access Service)サーバ10、ディレクトリサーバ20、社内ファイルサーバ30、切断監視サーバ40、及び、複数の内部端末T1,T2が接続され、所定の権限情報の管理のもとで、相互にアクセスすることができる。RASサーバ10には、外部端末T3が接続可能な外部ネットワークL2が接続されている。
内部端末T1,T2及び外部端末T3には、前述した「リモートデスクトップ」の機能が搭載されており、例えばユーザが、このリモートデスクトップの機能を利用して、テレワークを行うことができるようになっている。
【0022】
RASサーバ10は、外部ネットワークL2から内部ネットワークL1へのアクセスを制御する。このRASサーバ10は、サーバ本体のプロセッサがRASサーバ用プログラムを実行することにより、図2に示すように、識別情報テーブル11をサーバ本体の所定の記憶領域に構築するとともに、そのサーバ本体を、適宜、サーバ処理部12、アクセス管理部13及び認証部14として機能させる。
【0023】
識別情報テーブル11は、例えば図3に示す内容のものである。この識別情報テーブル11には、ユーザ毎のフィールドが設けられている。「No.」で区別される各フィールドには、RAS−IDと、D−IDとが相互に関連付けて記録される。RAS−IDは、外部端末T3を操作元とするリモートアクセス(以下、「社外アクセス」とする)を内部端末T2を操作元とするリモートアクセス、又は、内部端末T1を操作元とする直接アクセス(以下、「社内アクセス」とする)と区別するためのリモート識別情報である。本例では、RAS−IDに、所定の英数字を割り当てるが、割り当てる符号は任意であって良い。D−IDは、内部ネットワークL1において、アクセスを許可するユーザを識別するためのユーザ識別情報である。このD−IDは、ユーザが内部ネットワークL1において通常利用する常用IDであり、社内において任意に設定することができる。
【0024】
サーバ処理部12は、他のサーバ20,30,40と連携するとともに、外部端末T3からのアクセス(認証要求、セッション確立要求、リモートアクセス要求等)を制御する処理を行う。RASの機能及びサーバ処理の内容自体は、公知のものである。
認証部14は、外部ネットワークL2に接続されている外部端末T3による内部ネットワークL1との通信路(セッション)確立のためのアクセス時に、そのユーザのD−ID並びに、そのD−IDに紐付けられたRAS−IDが識別情報テーブル11に記録されているかどうかの判定を伴う認証を行う。アクセス管理部13は、認証部14により認証結果が正当で、かつ、RAS−IDが識別情報テーブル11に記録されていると判定されたときに、ユーザが社外アクセスしようとしていることを表す社外アクセス情報をディレクトリサーバ20に伝達する。
【0025】
ディレクトリサーバ20は、ユーザのD−IDとそのユーザが現在所属するグループの情報とを管理する。このディレクトリサーバ20は、ディレクトリサーバ用プログラムを実行することにより、図4に示すように、権限テーブル21をサーバ本体の所定の記憶領域に形成するとともに、そのサーバ本体を、適宜、サーバ処理部22、及び、アクセス権限管理部23として機能させる。
【0026】
権限テーブル21の一例を図5に示す。この権限テーブル21は、社内ファイルサーバ30が、ユーザのアクセス権限を確認する際に参照されるもので、上述したD−IDと、D−IDにより特定されるユーザが現在所属しているユーザグループが何であるかを示すユーザグループ名とをアクセス権限として、相互に関連付けて記録する。ユーザグループは、社内アクセスと社外アクセスとを、共同で業務を行う複数のユーザ毎に区別するために導入される概念である。本例では、社内アクセスするユーザのユーザグループ名を「WORK」、社外アクセスするユーザのユーザグループ名を「TELE」のように設定する。後述するように、「TELE」の資源へのアクセス許容範囲は、「WORK」よりも縮小したものとなっている。なお、ユーザグループは2つに限定する必要はなく、3つ以上であっても良い。初期状態では、権限テーブル21に記録されているすべてのユーザについてのユーザグループ名は「WORK」となる。
【0027】
サーバ処理部22は、他のサーバ10,30,40と連携する処理を行う。サーバ処理の機能自体は、公知のものである。アクセス権限管理部23は、RASサーバ10からの社外アクセス情報の受信を契機に、ユーザがアクセスできる資源の範囲を社内アクセス時よりも縮小させるために、そのユーザが所属するユーザグループを「WORK」から「TELE」に変更させる。
【0028】
社内ファイルサーバ30は、内部ネットワークL1上に設けられるもので、資源の一例となる電子ファイルへのアクセスの許可又は禁止を制御する。この社内ファイルサーバ30は、サーバ本体のプロセッサがファイルサーバ用プログラムを実行することにより、図6に示すように、権限テーブル31及びそれぞれ機密レベルの異なる電子ファイルを格納した複数のフォルダ35をサーバ本体の所定の記憶領域に構築するとともに、そのサーバ本体を、適宜、サーバ処理部32、アクセス権限管理部33、及び、アクセス制御部34として機能させる。
【0029】
権限テーブル31の一例を図7に示す。権限テーブル31は、フィールド番号(「No.」)と、電子ファイルのフォルダを識別するためのフォルダID(「フォルダ」)と、当該フォルダに記録されている電子ファイルの閲覧を許可するユーザグループ(「許可」)と、当該フォルダに記録されている情報の閲覧を禁止するためのユーザグループ(「禁止」)とが設定される。図示の例では、第1フィールド(No.1)には、フォルダ名「¥secret」の電子ファイルの閲覧を許可するのが「WORK」及び「TELE」の双方のユーザグループであり、禁止されるユーザグループが存在しないことを表す「N/A」が設定されている。第2フィールド(No.2)には、フォルダ名「¥topsecret」の電子ファイルの閲覧を許可するユーザグループとして「WORK」のみが設定され、禁止されるグループとして「TELE」が設定されている。つまり、社外アクセスによる閲覧を制限する。なお、禁止されるユーザグループ名については、その設定を省略することもできる。
【0030】
サーバ処理部32は、他のサーバ10,20,40と連携する処理を行う。サーバ処理の機能自体は、公知のものである。アクセス権限管理部33は、ユーザからのアクセスがあった際に、そのユーザが所属するユーザグループが「WORK」であるか「TELE」であるかを確認し、権限テーブル31によれば、それが、アクセスが許可されるユーザグループであるか、あるいは、禁止されるユーザグループかによって、閲覧可能なフォルダ35の範囲を変えるためのアクセス権限を与える。アクセス制御部34は、このアクセス権限に基づいて該当するフォルダ35へのアクセスを許可又は禁止するための制御を行う。
【0031】
切断監視サーバ40は、外部アクセスがあったときにその切断検知時又は内部端末からの指示に基づき、閲覧が制限されている電子ファイルの範囲をリモートアクセス前の状態に復帰させるための処理を行う。この切断監視サーバ40は、サーバ本体のプロセッサが監視サーバ用プログラムを実行することにより、図8に示すように、そのサーバ本体を、適宜、サーバ処理部42、RASサーバ接続監視部43、及び、接続切断依頼受理部44として機能させる。
【0032】
サーバ処理部42は、他のサーバ10,20,30と連携する処理を行う。サーバ処理の機能自体は、公知のものである。RASサーバ接続監視部43は、外部端末T3からRASサーバ10への接続状況、すなわち社外アクセスの状況を監視し、切断が検知されたときに、該当するユーザ識別情報をディレクトリサーバ20に通知し、権限テーブル21におけるグループグループ名をリモートアクセス前の状態、つまり社内アクセス時のものに復帰するように依頼する。具体的には、切断が検知されたユーザが所属していたユーザグループを「TELE」から「WORK」に更新させる。
【0033】
接続切断依頼受理部44は、社外アクセスによってリモート操作されている内部端末T1からのRASサーバ切断依頼を受理し、RASサーバ接続中であっても強制的にディレクトリサーバ20に切断通知をすることにより、該当するユーザのユーザグループを社内アクセス時のものに復帰させる。これは、何らかの事情で社外からRASサーバ10に接続した状態のまま、ユーザが内部端末T1を利用する場合に、ユーザグループが「TELE」のままだとアクセスできない電子ファイルが生じてしまうことを防ぐための機能である。
【0034】
[運用形態例]
次に、この実施形態の情報処理システム1の運用形態例を、図9を参照して説明する。
図9は、各サーバ10,20,30,40の連携の様子を、処理の手順図として示したものである。ここでは、上述したリモートデスクトップを利用して、ユーザ(D−ID「user1」で特定されるユーザ)が、外部端末T3から内部端末T1に社外アクセスする場合の例を挙げる。
【0035】
ユーザは、まず、内部ネットワークL1に入るための認証を受けるために、外部端末T3からRAS−ID(123456)又はD−ID(user1)を伴う認証情報をRASサーバ10へ送る(ステップS11)。RASサーバ10は、識別情報テーブル11を参照して、そのユーザについて、少なくともRAS−IDが識別情報テーブル11に記録されているかどうかを判定する。記録されていない場合は、リモートアクセス不可のメッセージを外部端末T3へ送る。記録されている場合は、D−ID(user1)をディレクトリサーバ20に通知する。これにより、ユーザが社外アクセスしようとしていることを、ディレクトリサーバ20に知らせることができる(ステップS12)。
【0036】
ディレクトリサーバ20は、RASサーバ10からの通知に基づき、権限テーブル21における、そのユーザが所属するユーザグループ名を「WORK」から「TELE」に更新する。認証を終えたユーザが、外部端末T3からリモートデスクトップ経由で内部端末T1へログインする時点では(ステップS13)、権限テーブル21におけるユーザのグループは、既に「WORK」から「TELE」に切り替わっている。
ユーザは、リモートデスクトップ経由でログインした内部端末T1を通じて、社内ファイルサーバ30へのアクセスを開始する(ステップS14)。
【0037】
社内ファイルサーバ30は、アクセスしてきたユーザの現在のユーザグループが何であるかを知るために、ディレクトリサーバ20にアクセスする。ディレクトリサーバ20は、権限テーブル21に記録されている現在のユーザグループを社内ファイルサーバ30に閲覧させる。あるいは、そのユーザグループ名を自らサーチし、サーチ結果を社内ファイルサーバ30に通知する。社内ファイルサーバ30は、そのユーザグループ名に応じて、アクセスを許容するフォルダ35へのアクセス制御を行う(ステップS15)。アクセスが許可されたフォルダの電子ファイルは、リモート操作された内部端末T1を経由して操作元の外部端末T3に送られる(ステップS16)。これにより、外部端末T1は、社内ファイルシステム30内の所望の電子ファイルを社外より閲覧することができる。
【0038】
目的が達成したとして、ユーザがリモートアクセスを切断した場合、あるいは、内部端末T1からの切断要求が発せられた場合(ステップS17)、切断監視サーバ40は、アクセスしてきたユーザのユーザグループ名をアクセス前の状態に復帰させるための処理を行う(ステップS18)。これにより、そのユーザのユーザグループは、「TELE」から、元の「WORK」に戻る。
以上は、外部端末T3からの社外アクセスの場合の例であるが、内部端末T2から内部端末T1へのリモートアクセス、あるいは、内部端末T1による直接アクセスの場合は、RASサーバ10を経由しないので、ユーザグループ名が変化することがなく、社内アクセスとして扱われる。
【0039】
このように、本実施形態の情報処理システム1によれば、内部端末T1によるアクセスであっても、その操作元が内部端末T1,T2となる社内アクセスである場合は、社内ファイルサーバ30へのアクセスの制限が無く、他方、その操作元が外部端末T3となる社外アクセス時のみ、一定のアクセス制限を行うようにしたので、リモートデスクトップを利用したテレワークを円滑にしつつ、外部への情報漏洩を有効に防ぐことができる。
【0040】
なお、この実施形態では、資源である電子ファイルにアクセスする際の権限を、「WORK」や「TELE」のように、そのユーザが所属するユーザグループ毎に定めた例を示したが、この権限は、ユーザ毎に定めても本発明の実施は可能である。この場合は、ユーザグループ名に代えて、D−IDその他のユーザ固有の情報を用いれば良い。
また、第1実施形態では、RASサーバ10、ディレクトリサーバ20、社内ファイルサーバ30及び切断監視サーバ40上の機能実現手段(サーバ処理部11,21,31,41等)が、それぞれ独立のコンピュータプログラムによって形成される場合の例を示したが、これらのコンピュータプログラムを1つに統合し、それをインストールするサーバ本体側で、自己に割り当てられた機能実現手段を選択して形成するようにしても良い。
また、第1実施形態では、複数のサーバ10〜40の連携による情報処理システム1の例を示したが、この情報処理システム1を1つのサーバで実現することもできる。この場合は、上述した権限テーブル31,41を1つの権限テーブルとして統合し、各サーバ10〜40について説明した機能が、その1つのサーバ本体において、適宜形成されるようにすれば良い。
【0041】
[第2実施形態]
次に、本発明の第2実施形態を説明する。この実施形態では、第1実施形態のような権限テーブル31,41におけるユーザグループ名の書き換えではなく、外部端末T3からの通信パケットに含まれているユーザ識別情報そのものを書き換える場合の例を挙げる。本例では、便宜上、外部端末T3が接続される外部ネットワークL2がインターネットであるものとする。
【0042】
図10は、第2実施形態による情報処理システム2の全体構成図である。図1に示した情報処理システム1との相違は、RASサーバ50が、リモート識別情報であるRAS−ID及び常用IDであるD−IDのほかに、リモートアクセスを行う内部端末T1,T2のIP(Internet Protocol)アドレスをも紐付けて管理するものであること、及び、ディレクトリサーバ20及び社内ファイルサーバ30に代えて、PROXYサーバ60及び社内Webサーバ70を設け、内部端末T1から社内Webサーバ70へのアクセスは、必ずPROXYサーバ60を経由するようにしたことである。他の構成要素の機能等については、図1に示したものとほぼ同じなので、同じ符号を付して、その説明を省略する。
【0043】
RASサーバ50の機能構成は、図11に示すとおりである。図1との関係では、サーバ処理部52がサーバ処理部12、アクセス管理部53がアクセス管理部13、認証部54が認証部14、識別情報テーブル51が識別情報テーブル11にそれぞれ対応する。すなわち、RASサーバ50において実現される各機能は、基本的に図1に示したRASサーバ10の機能と同じである。相違点は、ユーザからのアクセスが社外アクセスであることのアクセス管理部53による通知先がPROXYサーバ60であること、識別情報テーブル51に記録されるユーザの情報に、リモート操作される内部端末T1,T2のIPアドレスが付加されることである。
【0044】
識別情報テーブル51の内容例を図12に示す。図12において、RAS−ID及びD−IDについては、第1実施形態の場合と同じである。「IP」は、上述したリモート操作される内部端末T1,T2のIPアドレスである。
【0045】
PROXYサーバ60は、内部端末T1から社内Webサーバ70への代理アクセスを行う。このPROXYサーバ60は、サーバ本体のプロセッサがPROXY用プログラムを実行することにより、図13に示すように、権限テーブル61をサーバ本体の所定の記憶領域に構築するとともに、そのサーバ本体を、適宜、サーバ処理部62、及び、アクセス権限管理部63として機能させる。
【0046】
権限テーブル61は、社内Webサーバ70において、あるいは、PROXYサーバ60が社内Webサーバ70にアクセスする際に、ユーザのアクセス権限を確認する際に参照される。この権限テーブル61には、図14に例示されるように、D−ID毎に、リモート操作される内部端末T1のIPアドレス(「Src IP」)と、社内Webサーバ70のIPアドレス(「Dst IP」)とが、相互に関連付けられて記録されている。
なお、本例では社内資源が社内Webサーバ70だけなので「Dst IP」が1種類だけとなっているが、社内資源が複数の場合には、権限「Dst IP」も複数種類となる。
【0047】
サーバ処理部62は、RASサーバ50及び社内Webサーバ70等と連携するとともに、内部ネットワークL1上の端末、例えば内部端末T1、T2等からの通信を制御する処理を行う。
アクセス権限管理部63は、リモート操作される内部端末T1からのIPパケットの内容をキャプチャし、そのIPパケットに含まれるHTTP認証時のユーザのID、すなわちD−IDを必要に応じて書き換える。具体的には、RASサーバ50のアクセス管理部53から、D−ID「user1」により特定されるユーザが社外アクセスしようとしている、という内容の情報が通知された場合、PROXYサーバ60を通過するIPパケットが、リモート操作されている内部端末T1からのものかを、権限テーブル61に記録されているIPアドレス(Src IP)をもとに判定し、そうであった場合は、そのIPパケットに含まれるヘッダ部の内容を解読する。そして、ヘッダ部に、社内Webサーバ70のHTTP認証に必要なD−ID、例えば「user1」が含まれていた場合、アクセス権限管理部63は、社外アクセスであることを社内Webサーバ70で区別できるようにするために、ヘッダ部にあるD−IDを社外アクセス用のものに書き換える。本実施形態では、便宜上、社外アクセス用のD−IDを、予め割り当てられている社内アクセス用のD−IDの先頭に「t」を付加したものに書き換えるものとする。つまり、社内アクセス用のD−IDが「user1」のユーザの社外アクセス用のD−IDは、「tuser1」となる。アクセス権限管理部63は、必要に応じて、IPパケットのチェックサムの再計算も行う。
【0048】
このように、アクセス権限管理部63でD−IDを書き換えることにより、社外アクセス時と社内アクセス時とで、異なるD−IDをヘッダ部に含むIPパケットで社内Webサーバ70で代理アクセスできるようにする。
【0049】
Webサーバ70は、社内に設置されたWebサーバであり、資源の一例となるWebページの情報を操作元に提供する。このWebサーバ70は、サーバ本体のプロセッサがWeb用プログラムを実行することにより、図15に示すように、権限テーブル71と、複数のWebページ75又はそのWebページへのアクセス用URLをサーバ本体の所定の記憶領域に構築するとともに、そのサーバ本体を、適宜、サーバ処理部72、アクセス権限管理部73、及びアクセス制御部74として機能させる。
【0050】
権限テーブル71は、例えば図16のような内容のものである。権限テーブル71には、「No.」で区別されるフィールド毎に、アクセス対象となるWebページの分類(又はそのURL)と、そのWebページへのアクセスを許可するユーザのD−ID(「許可」)と、そのWebページへのアクセスを禁止するユーザのD−ID(「禁止」)とがアクセス権限として記録される。但し、社外アクセスか社内アクセスかを区別せず、すべてのユーザへのアクセスを許可する場合は、ユーザの個別的なD−IDの記録に代えて「any」が記録される。
【0051】
アクセス権限管理部73は、ユーザのアクセス権限とパスワードとを管理する。すなわち、社内アクセス用のD−IDと、社外アクセス用のD−IDとの間で、認証時に使用するパスワードを同期させる。パスワードが変更された場合は、これらのD−ID間で、変更されたパスワードが同期されるようにする。
【0052】
アクセス制御部74は、ユーザの現在のD−IDに応じてWebページ75へのアクセスを許可又は禁止するための制御を行う。具体的には、権限テーブル71を参照して、操作元がどこからであっても、ユーザが閲覧が可能なWebページ75(any)に対しては、すべてのユーザのアクセスを許可し、社外アクセスされたくないWebページには、D−IDの先頭に「t」のつくユーザからのアクセスを拒否する。
【0053】
[運用形態例]
次に、第2実施形態によるシステムの動作を図17を参照して説明する。
図17は、各サーバ10,40,50,60,70の連携の様子を、処理の手順図として示したものである。第1実施形態と同様、上述したリモートデスクトップを利用して、ユーザ(D−ID「user1」で特定されるユーザ)が、外部端末T3から内部端末T1にリモートアクセスする場合の例を挙げる。
【0054】
ユーザは、まず、内部ネットワークL1に入るための認証を受けるために、外部端末T3からRAS−ID(123456)、D−ID(user1)、IPアドレス(10.8.0.2)、又は、これらの組み合わせを伴う認証情報をRASサーバ50へ送る(ステップS21)。RASサーバ10は、識別情報テーブル11を参照して、そのユーザについて、少なくともRAS−IDが識別情報テーブル11に記録されているかどうかを判定する。記録されていない場合、RASサーバ50は、リモートアクセス不可のメッセージを外部端末T3へ送る。記録されている場合は、D−ID(user1)及びIPアドレス(10.8.0.2)をPROXYサーバ60に通知する。
これにより、D−ID(user1)により特定されるユーザが、IPアドレスで特定される内部端末T1をリモート操作して内部ネットワークL1にアクセスしていることを、PROXYサーバ60に知らせることができる(ステップS22)。
PROXYサーバ60は、RASサーバ10から通知された情報をもとに、権限テーブル61の内容を更新する。
【0055】
ユーザが内部端末T1にリモートデスクトップ経由でログインし(ステップS23)、その内部端末T1が、社内Webサーバ70へのアクセスを、PROXYサーバ60経由で開始する(ステップS24、S25)。
PROXYサーバ60は、ユーザからのIPパケットを監視し、そのユーザが、HTTP認証に必要となるD−IDを含むIPパケットを送信していることが判明した場合は、そのIPパケットをフックし、D−ID及びチェックサムの書き換えを行う。
社内Webサーバ70は、書き換えられたそのD−IDに応じて、リクエストのあったWebページ75の表示又は非表示の制御を行う。表示が許可されたときは、そのWebページの情報が、リモート操作された内部端末T1を経由して外部端末T3上で表示される(ステップS26)。これにより、外部端末T1は、社内Webサーバ70内の所望のWebページを社外より閲覧することができる。
【0056】
目的が達成したとして、ユーザが社外アクセスを切断した場合、あるいは、内部端末T1その他の内部端末からの切断要求が発せられた場合(ステップS27)、切断監視サーバ40は、アクセスしてきたユーザの情報を社外アクセス前の状態に戻すための処理を行う(ステップS28)。具体的には、そのユーザの社外アクセス用のD−IDを削除するように、PROXYサーバ60へ依頼する。PROXYサーバ60は、この情報を削除する。これにより、ユーザは、内部端末T1による社内アクセスが可能になる。
【0057】
内部端末T2から内部端末T1へのリモートアクセス、あるいは、内部端末T1による直接アクセスの場合は、IPアドレスが書き換わらないので、社内アクセスとして扱われる点は、第1実施形態の場合と同じである。
【0058】
このように、本発明の情報処理システム1,2によれば、既存技術ではできなかった、リモートアクセスの操作元に応じた、内部端末T1から社内の資源へのアクセス制限が可能になる。すなわち、リモートデスクトップ経由で内部端末T1にアクセスされる場合、操作元が外部端末T3である場合には、社内ファイルシステム30又は社内Webサーバ70において、機密性の高い情報(資源)の閲覧等が制限される。そのため、外部への情報漏洩を防ぐことができる一方で、外部ネットワークL2経由での利用が許可される情報に関しては、これまで通り、制限されることなくその閲覧等が可能となる。また、操作元が内部ネットワークL1上の他の内部端末T2である場合は、RASサーバ10,50を経由しないので、資源に対して制限なくアクセスすることができる。これにより、外部への情報漏洩を防止しつつ、例えばテレワーク等を円滑に実現することができる。
【0059】
なお、RASサーバ50、PROXYサーバ60、社内Webサーバ70及び切断監視サーバ40上の機能実現手段を、1つのコンピュータプログラムに統合し、それをインストールするサーバ本体側で、自己に割り当てられた機能実現手段を選択して形成するようにしても良い点、複数のサーバ40〜70の連携によるのではなく、情報処理システム2を1つのサーバで実現しても良い点は、第1実施形態と同じである。
【図面の簡単な説明】
【0060】
【図1】本発明の第1実施形態による情報処理システムの全体構成図。
【図2】RASサーバサーバの機能構成図。
【図3】RASサーバサーバが有する識別情報テーブルの内容説明図。
【図4】ディレクトリサーバの機能構成図。
【図5】ディレクトリサーバが有する権限テーブルの内容説明図。
【図6】社内ファイルサーバの機能構成図。
【図7】社内ファイルサーバが有する権限テーブルの内容説明図。
【図8】切断監視サーバの機能構成図。
【図9】第1実施形態による運用の手順例を示す説明図。
【図10】本発明の第2実施形態による情報処理システムの全体構成図。
【図11】RASサーバサーバの機能構成図。
【図12】RASサーバサーバが有する識別情報テーブルの内容説明図。
【図13】PROXYサーバの機能構成図。
【図14】PROXYサーバが有する権限テーブルの内容説明図。
【図15】社内Webサーバの機能構成図。
【図16】社内Webサーバが有する権限テーブルの内容説明図。
【図17】第2実施形態による運用の手順例を示す説明図。
【符号の説明】
【0061】
1,2 情報処理システム
10 RASサーバ,50(リモート・アクセス・サーバ)
20 ディレクトリサーバ
30 社内ファイルサーバ
40 切断監視サーバ
60 PROXYサーバ
70 社内Webサーバ
11,51 識別情報テーブル
12,52,32、42,52,62,72 サーバ処理部
13,53 アクセス管理部
14,54 認証部
21,31,61,71 権限テーブル
23,73 アクセス権限管理部
24,63,アクセス管理部
34,74 アクセス制御部
35 フォルダ
43 RASサーバ接続監視部
44 接続切断依頼受理部
33,63,73 アクセス権限管理部
75 Webページ
L1 内部ネットワーク
L2 外部ネットワーク
T1,T2 内部端末
T3 外部端末T3
【技術分野】
【0001】
本発明は、外部ネットワーク上の情報処理端末から内部ネットワーク上の情報処理端末をリモート操作して内部ネットワーク上の資源にアクセスする際のセキュリティ技術に関する。内部ネットワークは、例えばイントラネットやLAN等であり、外部ネットワークは、例えばインターネット等の広域ネットワークである。
【背景技術】
【0002】
ネットワーク技術及びコンピュータ技術の発達により、自宅のパーソナルコンピュータなど、外部ネットワークに接続された情報処理端末(以下、「外部端末」と称する場合がある)で、内部ネットワークに接続された企業内、組織内あるいはグループ内(便宜上、これらを「社内」とし、それ以外を「社外」とする)の情報処理端末(以下、社内の情報処理端末を「内部端末」と称する場合がある)と実質的に同じ環境を実現するテレワークが容易になっている。テレワークを可能にしたのは、インターネットやイントラネット等のネットワークインフラの普及のほかに、情報処理端末用のオペレーティングシステムにリモートデスクトップの機能が搭載され、あるいは搭載可能になったことによる。
【0003】
「リモートデスクトップ」は、ネットワークを介して接続された別の情報処理端末(「リモート端末」)の画面を自分の情報処理端末(「ローカル端末」)の画面上にそのまま表示して、ローカル端末上でリモート端末を操作することができるツールであり、オペレーティングシステムによっては「ターミナルサービス」と呼ばれることもある。このツールを用いることにより、ユーザは、社内で通常利用している内部端末をリモート端末とし、自宅のPCなどを外部端末とすることで、テレワークを実現することができる。
【0004】
しかし、リモートデスクトップでは、リモート端末に、社内の情報蓄積ないし管理のシステム(以下「社内システム」と称する)が接続されている場合に、社内システム内の情報が外部に漏洩しやすいという問題がある。
【0005】
この問題を解決するため、従来、特開2006−229742号公報に記載された情報漏洩防止の発明がある。この発明は、社内システムへのアクセスがあった場合、そのアクセスが、内部端末によるものか、外部端末によるものかを判定し、外部端末からのアクセスであった場合には、その外部端末へ出るデータを暗号化することにより、情報漏洩を防ぐというものである。例えば、インターネットカフェのような不特定多数のユーザが利用する外部端末を利用する場合、この発明では、データを送信する際にそれを暗号化することにより、外部端末のキャッシュファイルにおいても暗号化された状態で保存されるようにする。これにより、万が一キャッシュファイルを通じてデータが取得された場合であっても、復号鍵を持つ者以外は、それを復号することができないため、情報漏洩の危険を回避することができる。
【0006】
同じく外部への情報漏洩を防止するための発明として、特開2005−303376号公報に記載されたものがある。この発明は、外部端末から内部端末の一種である画像処理装置へのアクセスがあった場合に、操作元の機器やアプリケーションが認証済みのものであるか否かを判定し、その結果により、画像処理装置に対して実行可能な操作を制限するというものである。このようにして、不特定多数の外部端末から機密データ等にアクセスすることを防いでいる。
【0007】
【特許文献1】特開2006−229742号
【特許文献2】特開2005−303376号
【発明の開示】
【発明が解決しようとする課題】
【0008】
リモートデスクトップを利用したテレワークを円滑にしつつ外部への情報漏洩を防ぐためには、内部端末から社内システムへのアクセスがあったときに、その内部端末からのアクセスが、社内操作によるものか、外部端末を通じてなされた操作によるものかを識別し、識別結果に応じてアクセス権限に差をつけることが望ましい。例えば、社内システムがWebサーバとファイルサーバとを含み、Webサーバでは「秘密Webページ」と「機密Webページ」とが保存され、他方、ファイルサーバには、フォルダ単位に「秘密ファイル」と「機密ファイル」がそれぞれ保存されているとすると、以下の要件を充たすことが望ましい。
【0009】
(1)社内操作はアクセス制限無し
社内の内部端末で直接アクセスする場合や、社内のローカル端末から社内のリモート端末にリモートデスクトップしてアクセスする場合、すなわち社内操作については、Webサーバのすべてのページ及びファイルサーバのすべてのファイルにアクセス可能とする。
(2)外部端末を通じてなされた操作によるアクセスは一定の制限有り
外部端末から社内のリモート端末にリモートデスクトップしてアクセスする場合には、「秘密Webページ」又は「秘密ファイル」のみにアクセスを許可し、「機密Webページ」及び「機密ファイル」へのアクセスを禁止する。
【0010】
現在のところ、この要件を充足する技術は存在しない。例えば、上述した特開2006−229742号公報及び特開2005−303376号公報に記載されている発明においても、内部端末からのアクセスである限り、社内システム側では、それが社内操作によるアクセスか、リモートデスクトップでログインされている外部端末からのアクセスなのかを区別することができない。
【0011】
本発明は、上記の要件を充足することができる情報処理システム及びコンピュータプログラムを提供することを、主たる課題とするものである。
【課題を解決するための手段】
【0012】
本発明の情報処理システムは、ユーザが、内部ネットワークに接続可能な外部ネットワーク上の第1端末から前記内部ネットワーク上の第2端末をリモート操作することにより、又は、前記内部ネットワーク上の第3端末から前記第2端末をリモート操作することにより、前記第2端末がアクセス可能な前記内部ネットワーク上の資源へのリモートアクセスを許容する情報処理システムであって、前記第1端末からのリモートアクセスであることを識別するためのリモート識別情報を、当該第1端末を操作するユーザを識別するためのユーザ識別情報と関連付けて所定の記憶領域に保持する識別情報保持手段と、前記資源へのアクセス時に参照される、前記ユーザによる当該資源へのアクセス許容範囲を定めた権限テーブルと、前記ユーザ識別情報を伴う前記第1端末からのアクセス時に、当該ユーザ識別情報に関連付けられた前記リモート識別情報が前記識別情報保持に保持されているかどうかを判定し、記録されているときに、前記第1端末からのリモートアクセスに先立ち、前記ユーザ識別情報により特定されるユーザについての前記アクセス許容範囲を、前記第3端末によるリモートアクセス時又は前記第2端末による直接アクセス時の範囲と異ならせる制御手段と、を有するネットワーク対応型の情報処理システムである。
【0013】
この情報処理システムでは、ユーザについてのリモート識別情報が識別情報保持手段に保持されていることを前提として、そのユーザが第1端末を操作して第2端末をリモート操作しようとしたときに、制御手段が、リモートアクセスに先立ち、前記リモート識別情報をもとに、資源へのアクセス許容範囲を第3端末によるリモートアクセス時又は第2端末による直接アクセス時の範囲と異ならせるので、内部ネットワーク上の第2端末からのアクセスであっても、それを操作する端末がどのネットワーク上に存在するかによって、資源へのアクセス許容範囲を変えることができる。
【0014】
この情報処理システムにおいて、前記制御手段は、前記内部ネットワーク上に存在する第1サーバと、この第1サーバと通信可能に接続された第2サーバとを含んで構成することができる。
第1サーバは、前記第1端末による前記内部ネットワークとの通信路確立のためのアクセス時に、前記判定を伴う認証を行う認証手段と、この認証手段により認証結果が正当で、かつ、前記リモート識別情報が前記リモート識別情報保持手段に保持されていると判定されたときに、前記ユーザが前記外部ネットワークからリモートアクセスしようとしていることを表すアクセス情報を前記第2サーバへ伝達する伝達手段とを有するものである。また、第2サーバは、前記アクセス情報の受信を契機に、前記ユーザについての前記権限テーブルのアクセス許容範囲を、前記第3端末によるリモートアクセス時又は前記第2端末による直接アクセス時よりも縮小させる権限管理手段とを有するものである。
【0015】
前記資源は、例えば、前記内部ネットワーク上のファイルサーバに、フォルダ毎に格納されている複数の電子ファイルである。この場合、前記権限テーブルには、前記電子ファイルが格納されているフォルダ毎に、それぞれアクセスが許可又は禁止される前記ユーザ識別情報が更新自在に設定されるようにし、前記第2サーバを、前記アクセス情報の受信を契機に、前記ユーザによるアクセスが許可されるフォルダの数が減少するように前記権限テーブルを更新するように構成する。
【0016】
前記第2サーバを、前記第2端末の代理アクセスを行うプロキシサーバとし、前記資源を、前記プロキシサーバが代理アクセス可能なWebサーバに掲載されている複数のWebページとすることができる。この場合、前記権限テーブルには、前記Webページ毎に、それぞれアクセスが許可又は禁止される前記ユーザ識別情報が設定されるようにし、前記プロキシサーバは、例えば、前記アクセス情報の受信を契機に、前記権限テーブルに記録されている情報に基づいて、前記ユーザへのアクセス許容範囲が、前記第3端末によるリモートアクセス時又は前記第2端末による直接アクセス時よりも縮小するように、当該ユーザからの通信パケットの内容を更新する権限管理手段とを有するものとする。
【0017】
前記制御手段は、前記第1端末からのリモートアクセスの終了検知時又は前記第2端末からの指示に基づき、前記権限テーブルにおいて縮小したアクセス許容範囲を当該リモートアクセスの発生前の範囲に復帰させる切断監視手段をさらに備えるものとすることができる。これにより、ユーザが第2端末を操作する場合に、アクセスできない資源が発生してしまうことを防ぐことができる。
【0018】
本発明のコンピュータプログラムは、コンピュータを上述した情報処理システムとして機能させるものである。すなわち、本発明のコンピュータプログラムは、記憶装置と共に内部ネットワークに接続されたコンピュータを、ユーザが、前記内部ネットワークに接続可能な外部ネットワーク上の第1端末から前記内部ネットワーク上の第2端末をリモート操作することにより、又は、前記内部ネットワーク上の第3端末から前記第2端末をリモート操作することにより、前記第2端末がアクセス可能な前記内部ネットワーク上の資源へリモートアクセスを行うことを許容する情報処理システムとして動作させるコンピュータプログラムであって、前記記憶装置に、前記資源へのアクセス時に参照される、前記ユーザによる当該資源へのアクセス許容範囲を定めた権限テーブルとを形成するとともに、前記コンピュータを、前記外部ネットワークからのリモートアクセスであることを識別するためのリモート識別情報を、前記ユーザを識別するためのユーザ識別情報と関連付けて、前記記憶装置における所定の記録領域に保持する識別情報保持手段、及び、前記ユーザ識別情報を伴う前記第1端末からのアクセス時に、当該ユーザ識別情報に関連付けられた前記リモート識別情報が保持されているかどうかを判定し、保持されているときに、前記第1端末からのリモートアクセスに先立ち、前記ユーザ識別情報により特定されるユーザについての前記権限テーブルのアクセス許容範囲を、前記第3端末によるリモートアクセス時又は前記第2端末による直接アクセス時の範囲と異ならせるアクセス制御手段、として機能させる、コンピュータプログラムである。
【発明の効果】
【0019】
本発明によれば、外部ネットワーク上の第1端末から内部ネットワーク上の第2端末をリモート操作で動作させる際に、動作させている第2端末のアクセス権限を、外部ネットワークからのリモートアクセスか、内部ネットワークからのリモートアクセス又は直接アクセスかに基づいて、内部ネットワーク上の資源へのアクセス権限を変化させることができる。
【発明を実施するための最良の形態】
【0020】
以下、本発明を、社内のイントラネットのような内部ネットワークに設けられる、ネットワーク対応型の情報処理システムに適用した場合の実施の形態例を説明する。内部ネットワークには、この情報処理システムを通じて、インターネットのような外部ネットワークに接続できるようになっている。
【0021】
[第1実施形態]
図1は、第1実施形態の情報処理システムの全体構成図である。情報処理システム1は、内部ネットワークL1上(「ネットワーク上」とは、ネットワークに接続され、そのネットワークにおいて認識されている状態をいう。以下同じ)で互いに連携する複数のサーバを含んで構成される。すなわち、この実施形態の情報処理システム1は、それぞれ内部ネットワークL1に、RAS(Remote Access Service)サーバ10、ディレクトリサーバ20、社内ファイルサーバ30、切断監視サーバ40、及び、複数の内部端末T1,T2が接続され、所定の権限情報の管理のもとで、相互にアクセスすることができる。RASサーバ10には、外部端末T3が接続可能な外部ネットワークL2が接続されている。
内部端末T1,T2及び外部端末T3には、前述した「リモートデスクトップ」の機能が搭載されており、例えばユーザが、このリモートデスクトップの機能を利用して、テレワークを行うことができるようになっている。
【0022】
RASサーバ10は、外部ネットワークL2から内部ネットワークL1へのアクセスを制御する。このRASサーバ10は、サーバ本体のプロセッサがRASサーバ用プログラムを実行することにより、図2に示すように、識別情報テーブル11をサーバ本体の所定の記憶領域に構築するとともに、そのサーバ本体を、適宜、サーバ処理部12、アクセス管理部13及び認証部14として機能させる。
【0023】
識別情報テーブル11は、例えば図3に示す内容のものである。この識別情報テーブル11には、ユーザ毎のフィールドが設けられている。「No.」で区別される各フィールドには、RAS−IDと、D−IDとが相互に関連付けて記録される。RAS−IDは、外部端末T3を操作元とするリモートアクセス(以下、「社外アクセス」とする)を内部端末T2を操作元とするリモートアクセス、又は、内部端末T1を操作元とする直接アクセス(以下、「社内アクセス」とする)と区別するためのリモート識別情報である。本例では、RAS−IDに、所定の英数字を割り当てるが、割り当てる符号は任意であって良い。D−IDは、内部ネットワークL1において、アクセスを許可するユーザを識別するためのユーザ識別情報である。このD−IDは、ユーザが内部ネットワークL1において通常利用する常用IDであり、社内において任意に設定することができる。
【0024】
サーバ処理部12は、他のサーバ20,30,40と連携するとともに、外部端末T3からのアクセス(認証要求、セッション確立要求、リモートアクセス要求等)を制御する処理を行う。RASの機能及びサーバ処理の内容自体は、公知のものである。
認証部14は、外部ネットワークL2に接続されている外部端末T3による内部ネットワークL1との通信路(セッション)確立のためのアクセス時に、そのユーザのD−ID並びに、そのD−IDに紐付けられたRAS−IDが識別情報テーブル11に記録されているかどうかの判定を伴う認証を行う。アクセス管理部13は、認証部14により認証結果が正当で、かつ、RAS−IDが識別情報テーブル11に記録されていると判定されたときに、ユーザが社外アクセスしようとしていることを表す社外アクセス情報をディレクトリサーバ20に伝達する。
【0025】
ディレクトリサーバ20は、ユーザのD−IDとそのユーザが現在所属するグループの情報とを管理する。このディレクトリサーバ20は、ディレクトリサーバ用プログラムを実行することにより、図4に示すように、権限テーブル21をサーバ本体の所定の記憶領域に形成するとともに、そのサーバ本体を、適宜、サーバ処理部22、及び、アクセス権限管理部23として機能させる。
【0026】
権限テーブル21の一例を図5に示す。この権限テーブル21は、社内ファイルサーバ30が、ユーザのアクセス権限を確認する際に参照されるもので、上述したD−IDと、D−IDにより特定されるユーザが現在所属しているユーザグループが何であるかを示すユーザグループ名とをアクセス権限として、相互に関連付けて記録する。ユーザグループは、社内アクセスと社外アクセスとを、共同で業務を行う複数のユーザ毎に区別するために導入される概念である。本例では、社内アクセスするユーザのユーザグループ名を「WORK」、社外アクセスするユーザのユーザグループ名を「TELE」のように設定する。後述するように、「TELE」の資源へのアクセス許容範囲は、「WORK」よりも縮小したものとなっている。なお、ユーザグループは2つに限定する必要はなく、3つ以上であっても良い。初期状態では、権限テーブル21に記録されているすべてのユーザについてのユーザグループ名は「WORK」となる。
【0027】
サーバ処理部22は、他のサーバ10,30,40と連携する処理を行う。サーバ処理の機能自体は、公知のものである。アクセス権限管理部23は、RASサーバ10からの社外アクセス情報の受信を契機に、ユーザがアクセスできる資源の範囲を社内アクセス時よりも縮小させるために、そのユーザが所属するユーザグループを「WORK」から「TELE」に変更させる。
【0028】
社内ファイルサーバ30は、内部ネットワークL1上に設けられるもので、資源の一例となる電子ファイルへのアクセスの許可又は禁止を制御する。この社内ファイルサーバ30は、サーバ本体のプロセッサがファイルサーバ用プログラムを実行することにより、図6に示すように、権限テーブル31及びそれぞれ機密レベルの異なる電子ファイルを格納した複数のフォルダ35をサーバ本体の所定の記憶領域に構築するとともに、そのサーバ本体を、適宜、サーバ処理部32、アクセス権限管理部33、及び、アクセス制御部34として機能させる。
【0029】
権限テーブル31の一例を図7に示す。権限テーブル31は、フィールド番号(「No.」)と、電子ファイルのフォルダを識別するためのフォルダID(「フォルダ」)と、当該フォルダに記録されている電子ファイルの閲覧を許可するユーザグループ(「許可」)と、当該フォルダに記録されている情報の閲覧を禁止するためのユーザグループ(「禁止」)とが設定される。図示の例では、第1フィールド(No.1)には、フォルダ名「¥secret」の電子ファイルの閲覧を許可するのが「WORK」及び「TELE」の双方のユーザグループであり、禁止されるユーザグループが存在しないことを表す「N/A」が設定されている。第2フィールド(No.2)には、フォルダ名「¥topsecret」の電子ファイルの閲覧を許可するユーザグループとして「WORK」のみが設定され、禁止されるグループとして「TELE」が設定されている。つまり、社外アクセスによる閲覧を制限する。なお、禁止されるユーザグループ名については、その設定を省略することもできる。
【0030】
サーバ処理部32は、他のサーバ10,20,40と連携する処理を行う。サーバ処理の機能自体は、公知のものである。アクセス権限管理部33は、ユーザからのアクセスがあった際に、そのユーザが所属するユーザグループが「WORK」であるか「TELE」であるかを確認し、権限テーブル31によれば、それが、アクセスが許可されるユーザグループであるか、あるいは、禁止されるユーザグループかによって、閲覧可能なフォルダ35の範囲を変えるためのアクセス権限を与える。アクセス制御部34は、このアクセス権限に基づいて該当するフォルダ35へのアクセスを許可又は禁止するための制御を行う。
【0031】
切断監視サーバ40は、外部アクセスがあったときにその切断検知時又は内部端末からの指示に基づき、閲覧が制限されている電子ファイルの範囲をリモートアクセス前の状態に復帰させるための処理を行う。この切断監視サーバ40は、サーバ本体のプロセッサが監視サーバ用プログラムを実行することにより、図8に示すように、そのサーバ本体を、適宜、サーバ処理部42、RASサーバ接続監視部43、及び、接続切断依頼受理部44として機能させる。
【0032】
サーバ処理部42は、他のサーバ10,20,30と連携する処理を行う。サーバ処理の機能自体は、公知のものである。RASサーバ接続監視部43は、外部端末T3からRASサーバ10への接続状況、すなわち社外アクセスの状況を監視し、切断が検知されたときに、該当するユーザ識別情報をディレクトリサーバ20に通知し、権限テーブル21におけるグループグループ名をリモートアクセス前の状態、つまり社内アクセス時のものに復帰するように依頼する。具体的には、切断が検知されたユーザが所属していたユーザグループを「TELE」から「WORK」に更新させる。
【0033】
接続切断依頼受理部44は、社外アクセスによってリモート操作されている内部端末T1からのRASサーバ切断依頼を受理し、RASサーバ接続中であっても強制的にディレクトリサーバ20に切断通知をすることにより、該当するユーザのユーザグループを社内アクセス時のものに復帰させる。これは、何らかの事情で社外からRASサーバ10に接続した状態のまま、ユーザが内部端末T1を利用する場合に、ユーザグループが「TELE」のままだとアクセスできない電子ファイルが生じてしまうことを防ぐための機能である。
【0034】
[運用形態例]
次に、この実施形態の情報処理システム1の運用形態例を、図9を参照して説明する。
図9は、各サーバ10,20,30,40の連携の様子を、処理の手順図として示したものである。ここでは、上述したリモートデスクトップを利用して、ユーザ(D−ID「user1」で特定されるユーザ)が、外部端末T3から内部端末T1に社外アクセスする場合の例を挙げる。
【0035】
ユーザは、まず、内部ネットワークL1に入るための認証を受けるために、外部端末T3からRAS−ID(123456)又はD−ID(user1)を伴う認証情報をRASサーバ10へ送る(ステップS11)。RASサーバ10は、識別情報テーブル11を参照して、そのユーザについて、少なくともRAS−IDが識別情報テーブル11に記録されているかどうかを判定する。記録されていない場合は、リモートアクセス不可のメッセージを外部端末T3へ送る。記録されている場合は、D−ID(user1)をディレクトリサーバ20に通知する。これにより、ユーザが社外アクセスしようとしていることを、ディレクトリサーバ20に知らせることができる(ステップS12)。
【0036】
ディレクトリサーバ20は、RASサーバ10からの通知に基づき、権限テーブル21における、そのユーザが所属するユーザグループ名を「WORK」から「TELE」に更新する。認証を終えたユーザが、外部端末T3からリモートデスクトップ経由で内部端末T1へログインする時点では(ステップS13)、権限テーブル21におけるユーザのグループは、既に「WORK」から「TELE」に切り替わっている。
ユーザは、リモートデスクトップ経由でログインした内部端末T1を通じて、社内ファイルサーバ30へのアクセスを開始する(ステップS14)。
【0037】
社内ファイルサーバ30は、アクセスしてきたユーザの現在のユーザグループが何であるかを知るために、ディレクトリサーバ20にアクセスする。ディレクトリサーバ20は、権限テーブル21に記録されている現在のユーザグループを社内ファイルサーバ30に閲覧させる。あるいは、そのユーザグループ名を自らサーチし、サーチ結果を社内ファイルサーバ30に通知する。社内ファイルサーバ30は、そのユーザグループ名に応じて、アクセスを許容するフォルダ35へのアクセス制御を行う(ステップS15)。アクセスが許可されたフォルダの電子ファイルは、リモート操作された内部端末T1を経由して操作元の外部端末T3に送られる(ステップS16)。これにより、外部端末T1は、社内ファイルシステム30内の所望の電子ファイルを社外より閲覧することができる。
【0038】
目的が達成したとして、ユーザがリモートアクセスを切断した場合、あるいは、内部端末T1からの切断要求が発せられた場合(ステップS17)、切断監視サーバ40は、アクセスしてきたユーザのユーザグループ名をアクセス前の状態に復帰させるための処理を行う(ステップS18)。これにより、そのユーザのユーザグループは、「TELE」から、元の「WORK」に戻る。
以上は、外部端末T3からの社外アクセスの場合の例であるが、内部端末T2から内部端末T1へのリモートアクセス、あるいは、内部端末T1による直接アクセスの場合は、RASサーバ10を経由しないので、ユーザグループ名が変化することがなく、社内アクセスとして扱われる。
【0039】
このように、本実施形態の情報処理システム1によれば、内部端末T1によるアクセスであっても、その操作元が内部端末T1,T2となる社内アクセスである場合は、社内ファイルサーバ30へのアクセスの制限が無く、他方、その操作元が外部端末T3となる社外アクセス時のみ、一定のアクセス制限を行うようにしたので、リモートデスクトップを利用したテレワークを円滑にしつつ、外部への情報漏洩を有効に防ぐことができる。
【0040】
なお、この実施形態では、資源である電子ファイルにアクセスする際の権限を、「WORK」や「TELE」のように、そのユーザが所属するユーザグループ毎に定めた例を示したが、この権限は、ユーザ毎に定めても本発明の実施は可能である。この場合は、ユーザグループ名に代えて、D−IDその他のユーザ固有の情報を用いれば良い。
また、第1実施形態では、RASサーバ10、ディレクトリサーバ20、社内ファイルサーバ30及び切断監視サーバ40上の機能実現手段(サーバ処理部11,21,31,41等)が、それぞれ独立のコンピュータプログラムによって形成される場合の例を示したが、これらのコンピュータプログラムを1つに統合し、それをインストールするサーバ本体側で、自己に割り当てられた機能実現手段を選択して形成するようにしても良い。
また、第1実施形態では、複数のサーバ10〜40の連携による情報処理システム1の例を示したが、この情報処理システム1を1つのサーバで実現することもできる。この場合は、上述した権限テーブル31,41を1つの権限テーブルとして統合し、各サーバ10〜40について説明した機能が、その1つのサーバ本体において、適宜形成されるようにすれば良い。
【0041】
[第2実施形態]
次に、本発明の第2実施形態を説明する。この実施形態では、第1実施形態のような権限テーブル31,41におけるユーザグループ名の書き換えではなく、外部端末T3からの通信パケットに含まれているユーザ識別情報そのものを書き換える場合の例を挙げる。本例では、便宜上、外部端末T3が接続される外部ネットワークL2がインターネットであるものとする。
【0042】
図10は、第2実施形態による情報処理システム2の全体構成図である。図1に示した情報処理システム1との相違は、RASサーバ50が、リモート識別情報であるRAS−ID及び常用IDであるD−IDのほかに、リモートアクセスを行う内部端末T1,T2のIP(Internet Protocol)アドレスをも紐付けて管理するものであること、及び、ディレクトリサーバ20及び社内ファイルサーバ30に代えて、PROXYサーバ60及び社内Webサーバ70を設け、内部端末T1から社内Webサーバ70へのアクセスは、必ずPROXYサーバ60を経由するようにしたことである。他の構成要素の機能等については、図1に示したものとほぼ同じなので、同じ符号を付して、その説明を省略する。
【0043】
RASサーバ50の機能構成は、図11に示すとおりである。図1との関係では、サーバ処理部52がサーバ処理部12、アクセス管理部53がアクセス管理部13、認証部54が認証部14、識別情報テーブル51が識別情報テーブル11にそれぞれ対応する。すなわち、RASサーバ50において実現される各機能は、基本的に図1に示したRASサーバ10の機能と同じである。相違点は、ユーザからのアクセスが社外アクセスであることのアクセス管理部53による通知先がPROXYサーバ60であること、識別情報テーブル51に記録されるユーザの情報に、リモート操作される内部端末T1,T2のIPアドレスが付加されることである。
【0044】
識別情報テーブル51の内容例を図12に示す。図12において、RAS−ID及びD−IDについては、第1実施形態の場合と同じである。「IP」は、上述したリモート操作される内部端末T1,T2のIPアドレスである。
【0045】
PROXYサーバ60は、内部端末T1から社内Webサーバ70への代理アクセスを行う。このPROXYサーバ60は、サーバ本体のプロセッサがPROXY用プログラムを実行することにより、図13に示すように、権限テーブル61をサーバ本体の所定の記憶領域に構築するとともに、そのサーバ本体を、適宜、サーバ処理部62、及び、アクセス権限管理部63として機能させる。
【0046】
権限テーブル61は、社内Webサーバ70において、あるいは、PROXYサーバ60が社内Webサーバ70にアクセスする際に、ユーザのアクセス権限を確認する際に参照される。この権限テーブル61には、図14に例示されるように、D−ID毎に、リモート操作される内部端末T1のIPアドレス(「Src IP」)と、社内Webサーバ70のIPアドレス(「Dst IP」)とが、相互に関連付けられて記録されている。
なお、本例では社内資源が社内Webサーバ70だけなので「Dst IP」が1種類だけとなっているが、社内資源が複数の場合には、権限「Dst IP」も複数種類となる。
【0047】
サーバ処理部62は、RASサーバ50及び社内Webサーバ70等と連携するとともに、内部ネットワークL1上の端末、例えば内部端末T1、T2等からの通信を制御する処理を行う。
アクセス権限管理部63は、リモート操作される内部端末T1からのIPパケットの内容をキャプチャし、そのIPパケットに含まれるHTTP認証時のユーザのID、すなわちD−IDを必要に応じて書き換える。具体的には、RASサーバ50のアクセス管理部53から、D−ID「user1」により特定されるユーザが社外アクセスしようとしている、という内容の情報が通知された場合、PROXYサーバ60を通過するIPパケットが、リモート操作されている内部端末T1からのものかを、権限テーブル61に記録されているIPアドレス(Src IP)をもとに判定し、そうであった場合は、そのIPパケットに含まれるヘッダ部の内容を解読する。そして、ヘッダ部に、社内Webサーバ70のHTTP認証に必要なD−ID、例えば「user1」が含まれていた場合、アクセス権限管理部63は、社外アクセスであることを社内Webサーバ70で区別できるようにするために、ヘッダ部にあるD−IDを社外アクセス用のものに書き換える。本実施形態では、便宜上、社外アクセス用のD−IDを、予め割り当てられている社内アクセス用のD−IDの先頭に「t」を付加したものに書き換えるものとする。つまり、社内アクセス用のD−IDが「user1」のユーザの社外アクセス用のD−IDは、「tuser1」となる。アクセス権限管理部63は、必要に応じて、IPパケットのチェックサムの再計算も行う。
【0048】
このように、アクセス権限管理部63でD−IDを書き換えることにより、社外アクセス時と社内アクセス時とで、異なるD−IDをヘッダ部に含むIPパケットで社内Webサーバ70で代理アクセスできるようにする。
【0049】
Webサーバ70は、社内に設置されたWebサーバであり、資源の一例となるWebページの情報を操作元に提供する。このWebサーバ70は、サーバ本体のプロセッサがWeb用プログラムを実行することにより、図15に示すように、権限テーブル71と、複数のWebページ75又はそのWebページへのアクセス用URLをサーバ本体の所定の記憶領域に構築するとともに、そのサーバ本体を、適宜、サーバ処理部72、アクセス権限管理部73、及びアクセス制御部74として機能させる。
【0050】
権限テーブル71は、例えば図16のような内容のものである。権限テーブル71には、「No.」で区別されるフィールド毎に、アクセス対象となるWebページの分類(又はそのURL)と、そのWebページへのアクセスを許可するユーザのD−ID(「許可」)と、そのWebページへのアクセスを禁止するユーザのD−ID(「禁止」)とがアクセス権限として記録される。但し、社外アクセスか社内アクセスかを区別せず、すべてのユーザへのアクセスを許可する場合は、ユーザの個別的なD−IDの記録に代えて「any」が記録される。
【0051】
アクセス権限管理部73は、ユーザのアクセス権限とパスワードとを管理する。すなわち、社内アクセス用のD−IDと、社外アクセス用のD−IDとの間で、認証時に使用するパスワードを同期させる。パスワードが変更された場合は、これらのD−ID間で、変更されたパスワードが同期されるようにする。
【0052】
アクセス制御部74は、ユーザの現在のD−IDに応じてWebページ75へのアクセスを許可又は禁止するための制御を行う。具体的には、権限テーブル71を参照して、操作元がどこからであっても、ユーザが閲覧が可能なWebページ75(any)に対しては、すべてのユーザのアクセスを許可し、社外アクセスされたくないWebページには、D−IDの先頭に「t」のつくユーザからのアクセスを拒否する。
【0053】
[運用形態例]
次に、第2実施形態によるシステムの動作を図17を参照して説明する。
図17は、各サーバ10,40,50,60,70の連携の様子を、処理の手順図として示したものである。第1実施形態と同様、上述したリモートデスクトップを利用して、ユーザ(D−ID「user1」で特定されるユーザ)が、外部端末T3から内部端末T1にリモートアクセスする場合の例を挙げる。
【0054】
ユーザは、まず、内部ネットワークL1に入るための認証を受けるために、外部端末T3からRAS−ID(123456)、D−ID(user1)、IPアドレス(10.8.0.2)、又は、これらの組み合わせを伴う認証情報をRASサーバ50へ送る(ステップS21)。RASサーバ10は、識別情報テーブル11を参照して、そのユーザについて、少なくともRAS−IDが識別情報テーブル11に記録されているかどうかを判定する。記録されていない場合、RASサーバ50は、リモートアクセス不可のメッセージを外部端末T3へ送る。記録されている場合は、D−ID(user1)及びIPアドレス(10.8.0.2)をPROXYサーバ60に通知する。
これにより、D−ID(user1)により特定されるユーザが、IPアドレスで特定される内部端末T1をリモート操作して内部ネットワークL1にアクセスしていることを、PROXYサーバ60に知らせることができる(ステップS22)。
PROXYサーバ60は、RASサーバ10から通知された情報をもとに、権限テーブル61の内容を更新する。
【0055】
ユーザが内部端末T1にリモートデスクトップ経由でログインし(ステップS23)、その内部端末T1が、社内Webサーバ70へのアクセスを、PROXYサーバ60経由で開始する(ステップS24、S25)。
PROXYサーバ60は、ユーザからのIPパケットを監視し、そのユーザが、HTTP認証に必要となるD−IDを含むIPパケットを送信していることが判明した場合は、そのIPパケットをフックし、D−ID及びチェックサムの書き換えを行う。
社内Webサーバ70は、書き換えられたそのD−IDに応じて、リクエストのあったWebページ75の表示又は非表示の制御を行う。表示が許可されたときは、そのWebページの情報が、リモート操作された内部端末T1を経由して外部端末T3上で表示される(ステップS26)。これにより、外部端末T1は、社内Webサーバ70内の所望のWebページを社外より閲覧することができる。
【0056】
目的が達成したとして、ユーザが社外アクセスを切断した場合、あるいは、内部端末T1その他の内部端末からの切断要求が発せられた場合(ステップS27)、切断監視サーバ40は、アクセスしてきたユーザの情報を社外アクセス前の状態に戻すための処理を行う(ステップS28)。具体的には、そのユーザの社外アクセス用のD−IDを削除するように、PROXYサーバ60へ依頼する。PROXYサーバ60は、この情報を削除する。これにより、ユーザは、内部端末T1による社内アクセスが可能になる。
【0057】
内部端末T2から内部端末T1へのリモートアクセス、あるいは、内部端末T1による直接アクセスの場合は、IPアドレスが書き換わらないので、社内アクセスとして扱われる点は、第1実施形態の場合と同じである。
【0058】
このように、本発明の情報処理システム1,2によれば、既存技術ではできなかった、リモートアクセスの操作元に応じた、内部端末T1から社内の資源へのアクセス制限が可能になる。すなわち、リモートデスクトップ経由で内部端末T1にアクセスされる場合、操作元が外部端末T3である場合には、社内ファイルシステム30又は社内Webサーバ70において、機密性の高い情報(資源)の閲覧等が制限される。そのため、外部への情報漏洩を防ぐことができる一方で、外部ネットワークL2経由での利用が許可される情報に関しては、これまで通り、制限されることなくその閲覧等が可能となる。また、操作元が内部ネットワークL1上の他の内部端末T2である場合は、RASサーバ10,50を経由しないので、資源に対して制限なくアクセスすることができる。これにより、外部への情報漏洩を防止しつつ、例えばテレワーク等を円滑に実現することができる。
【0059】
なお、RASサーバ50、PROXYサーバ60、社内Webサーバ70及び切断監視サーバ40上の機能実現手段を、1つのコンピュータプログラムに統合し、それをインストールするサーバ本体側で、自己に割り当てられた機能実現手段を選択して形成するようにしても良い点、複数のサーバ40〜70の連携によるのではなく、情報処理システム2を1つのサーバで実現しても良い点は、第1実施形態と同じである。
【図面の簡単な説明】
【0060】
【図1】本発明の第1実施形態による情報処理システムの全体構成図。
【図2】RASサーバサーバの機能構成図。
【図3】RASサーバサーバが有する識別情報テーブルの内容説明図。
【図4】ディレクトリサーバの機能構成図。
【図5】ディレクトリサーバが有する権限テーブルの内容説明図。
【図6】社内ファイルサーバの機能構成図。
【図7】社内ファイルサーバが有する権限テーブルの内容説明図。
【図8】切断監視サーバの機能構成図。
【図9】第1実施形態による運用の手順例を示す説明図。
【図10】本発明の第2実施形態による情報処理システムの全体構成図。
【図11】RASサーバサーバの機能構成図。
【図12】RASサーバサーバが有する識別情報テーブルの内容説明図。
【図13】PROXYサーバの機能構成図。
【図14】PROXYサーバが有する権限テーブルの内容説明図。
【図15】社内Webサーバの機能構成図。
【図16】社内Webサーバが有する権限テーブルの内容説明図。
【図17】第2実施形態による運用の手順例を示す説明図。
【符号の説明】
【0061】
1,2 情報処理システム
10 RASサーバ,50(リモート・アクセス・サーバ)
20 ディレクトリサーバ
30 社内ファイルサーバ
40 切断監視サーバ
60 PROXYサーバ
70 社内Webサーバ
11,51 識別情報テーブル
12,52,32、42,52,62,72 サーバ処理部
13,53 アクセス管理部
14,54 認証部
21,31,61,71 権限テーブル
23,73 アクセス権限管理部
24,63,アクセス管理部
34,74 アクセス制御部
35 フォルダ
43 RASサーバ接続監視部
44 接続切断依頼受理部
33,63,73 アクセス権限管理部
75 Webページ
L1 内部ネットワーク
L2 外部ネットワーク
T1,T2 内部端末
T3 外部端末T3
【特許請求の範囲】
【請求項1】
ユーザが、内部ネットワークに接続可能な外部ネットワーク上の第1端末から前記内部ネットワーク上の第2端末をリモート操作することにより、又は、前記内部ネットワーク上の第3端末から前記第2端末をリモート操作することにより、前記第2端末がアクセス可能な前記内部ネットワーク上の資源へのリモートアクセスを許容する情報処理システムであって、
前記第1端末からのリモートアクセスであることを識別するためのリモート識別情報を、当該第1端末を操作するユーザを識別するためのユーザ識別情報と関連付けて所定の記憶領域に保持する識別情報保持手段と、
前記資源へのアクセス時に参照される、前記ユーザによる当該資源へのアクセス許容範囲を定めた権限テーブルと、
前記ユーザ識別情報を伴う前記第1端末からのアクセス時に、当該ユーザ識別情報に関連付けられた前記リモート識別情報が前記識別情報保持に保持されているかどうかを判定し、記録されているときに、前記第1端末からのリモートアクセスに先立ち、前記ユーザ識別情報により特定されるユーザについての前記アクセス許容範囲を、前記第3端末によるリモートアクセス時又は前記第2端末による直接アクセス時の範囲と異ならせる制御手段と、を有する、
ネットワーク対応型の情報処理システム。
【請求項2】
前記制御手段は、前記内部ネットワーク上に存在する第1サーバと、この第1サーバと通信可能に接続された第2サーバとを含み、
前記第1サーバは、前記第1端末による前記内部ネットワークとの通信路確立のためのアクセス時に、前記判定を伴う認証を行う認証手段と、
この認証手段により認証結果が正当で、かつ、前記リモート識別情報が前記リモート識別情報保持手段に保持されていると判定されたときに、前記ユーザが前記外部ネットワークからリモートアクセスしようとしていることを表すアクセス情報を前記第2サーバへ伝達する伝達手段とを有するものであり、
前記第2サーバは、前記アクセス情報の受信を契機に、前記ユーザについての前記権限テーブルのアクセス許容範囲を、前記第3端末によるリモートアクセス時又は前記第2端末による直接アクセス時よりも縮小させる権限管理手段とを有するものである、
請求項1記載の情報処理システム。
【請求項3】
前記資源は、前記内部ネットワーク上のファイルサーバに、フォルダ毎に格納されている複数の電子ファイルであり、
前記権限テーブルには、前記電子ファイルが格納されているフォルダ毎に、それぞれアクセスが許可又は禁止される前記ユーザ識別情報が更新自在に設定されており、
前記第2サーバは、前記アクセス情報の受信を契機に、前記ユーザによるアクセスが許可されるフォルダの数が減少するように前記権限テーブルを更新する、
請求項2記載の情報処理システム。
【請求項4】
前記第2サーバは、前記第2端末の代理アクセスを行うプロキシサーバであり、
前記資源は、前記プロキシサーバが代理アクセス可能なWebサーバに掲載されている複数のWebページであり、
前記権限テーブルには、前記Webページ毎に、それぞれアクセスが許可又は禁止される前記ユーザ識別情報が設定されており、
前記プロキシサーバは、前記アクセス情報の受信を契機に、前記権限テーブルに記録されている情報に基づいて、前記ユーザへのアクセス許容範囲が、前記第3端末によるリモートアクセス時又は前記第2端末による直接アクセス時よりも縮小するように、当該ユーザからの通信パケットの内容を更新する権限管理手段とを有するものである、
請求項2記載の情報処理システム。
【請求項5】
前記制御手段は、前記第1端末からのリモートアクセスの終了検知時又は前記第2端末からの指示に基づき、前記権限テーブルにおいて縮小したアクセス許容範囲を当該リモートアクセスの発生前の範囲に復帰させる切断監視手段をさらに備える、
請求項1ないし4のいずれかの項記載の情報処理システム。
【請求項6】
記憶装置と共に内部ネットワークに接続されたコンピュータを、ユーザが、前記内部ネットワークに接続可能な外部ネットワーク上の第1端末から前記内部ネットワーク上の第2端末をリモート操作することにより、又は、前記内部ネットワーク上の第3端末から前記第2端末をリモート操作することにより、前記第2端末がアクセス可能な前記内部ネットワーク上の資源へリモートアクセスを行うことを許容する情報処理システムとして動作させるコンピュータプログラムであって、
前記記憶装置に、前記資源へのアクセス時に参照される、前記ユーザによる当該資源へのアクセス許容範囲を定めた権限テーブルとを形成するとともに、
前記コンピュータを、
前記外部ネットワークからのリモートアクセスであることを識別するためのリモート識別情報を、前記ユーザを識別するためのユーザ識別情報と関連付けて、前記記憶装置における所定の記録領域に保持するリモート識別情報保持手段、及び、
前記ユーザ識別情報を伴う前記第1端末からのアクセス時に、当該ユーザ識別情報に関連付けられた前記リモート識別情報が保持されているかどうかを判定し、保持されているときに、前記第1端末からのリモートアクセスに先立ち、前記ユーザ識別情報により特定されるユーザについての前記アクセス許容範囲を、前記第3端末によるリモートアクセス時又は前記第2端末による直接アクセス時の範囲と異ならせる制御手段、として機能させる、コンピュータプログラム。
【請求項1】
ユーザが、内部ネットワークに接続可能な外部ネットワーク上の第1端末から前記内部ネットワーク上の第2端末をリモート操作することにより、又は、前記内部ネットワーク上の第3端末から前記第2端末をリモート操作することにより、前記第2端末がアクセス可能な前記内部ネットワーク上の資源へのリモートアクセスを許容する情報処理システムであって、
前記第1端末からのリモートアクセスであることを識別するためのリモート識別情報を、当該第1端末を操作するユーザを識別するためのユーザ識別情報と関連付けて所定の記憶領域に保持する識別情報保持手段と、
前記資源へのアクセス時に参照される、前記ユーザによる当該資源へのアクセス許容範囲を定めた権限テーブルと、
前記ユーザ識別情報を伴う前記第1端末からのアクセス時に、当該ユーザ識別情報に関連付けられた前記リモート識別情報が前記識別情報保持に保持されているかどうかを判定し、記録されているときに、前記第1端末からのリモートアクセスに先立ち、前記ユーザ識別情報により特定されるユーザについての前記アクセス許容範囲を、前記第3端末によるリモートアクセス時又は前記第2端末による直接アクセス時の範囲と異ならせる制御手段と、を有する、
ネットワーク対応型の情報処理システム。
【請求項2】
前記制御手段は、前記内部ネットワーク上に存在する第1サーバと、この第1サーバと通信可能に接続された第2サーバとを含み、
前記第1サーバは、前記第1端末による前記内部ネットワークとの通信路確立のためのアクセス時に、前記判定を伴う認証を行う認証手段と、
この認証手段により認証結果が正当で、かつ、前記リモート識別情報が前記リモート識別情報保持手段に保持されていると判定されたときに、前記ユーザが前記外部ネットワークからリモートアクセスしようとしていることを表すアクセス情報を前記第2サーバへ伝達する伝達手段とを有するものであり、
前記第2サーバは、前記アクセス情報の受信を契機に、前記ユーザについての前記権限テーブルのアクセス許容範囲を、前記第3端末によるリモートアクセス時又は前記第2端末による直接アクセス時よりも縮小させる権限管理手段とを有するものである、
請求項1記載の情報処理システム。
【請求項3】
前記資源は、前記内部ネットワーク上のファイルサーバに、フォルダ毎に格納されている複数の電子ファイルであり、
前記権限テーブルには、前記電子ファイルが格納されているフォルダ毎に、それぞれアクセスが許可又は禁止される前記ユーザ識別情報が更新自在に設定されており、
前記第2サーバは、前記アクセス情報の受信を契機に、前記ユーザによるアクセスが許可されるフォルダの数が減少するように前記権限テーブルを更新する、
請求項2記載の情報処理システム。
【請求項4】
前記第2サーバは、前記第2端末の代理アクセスを行うプロキシサーバであり、
前記資源は、前記プロキシサーバが代理アクセス可能なWebサーバに掲載されている複数のWebページであり、
前記権限テーブルには、前記Webページ毎に、それぞれアクセスが許可又は禁止される前記ユーザ識別情報が設定されており、
前記プロキシサーバは、前記アクセス情報の受信を契機に、前記権限テーブルに記録されている情報に基づいて、前記ユーザへのアクセス許容範囲が、前記第3端末によるリモートアクセス時又は前記第2端末による直接アクセス時よりも縮小するように、当該ユーザからの通信パケットの内容を更新する権限管理手段とを有するものである、
請求項2記載の情報処理システム。
【請求項5】
前記制御手段は、前記第1端末からのリモートアクセスの終了検知時又は前記第2端末からの指示に基づき、前記権限テーブルにおいて縮小したアクセス許容範囲を当該リモートアクセスの発生前の範囲に復帰させる切断監視手段をさらに備える、
請求項1ないし4のいずれかの項記載の情報処理システム。
【請求項6】
記憶装置と共に内部ネットワークに接続されたコンピュータを、ユーザが、前記内部ネットワークに接続可能な外部ネットワーク上の第1端末から前記内部ネットワーク上の第2端末をリモート操作することにより、又は、前記内部ネットワーク上の第3端末から前記第2端末をリモート操作することにより、前記第2端末がアクセス可能な前記内部ネットワーク上の資源へリモートアクセスを行うことを許容する情報処理システムとして動作させるコンピュータプログラムであって、
前記記憶装置に、前記資源へのアクセス時に参照される、前記ユーザによる当該資源へのアクセス許容範囲を定めた権限テーブルとを形成するとともに、
前記コンピュータを、
前記外部ネットワークからのリモートアクセスであることを識別するためのリモート識別情報を、前記ユーザを識別するためのユーザ識別情報と関連付けて、前記記憶装置における所定の記録領域に保持するリモート識別情報保持手段、及び、
前記ユーザ識別情報を伴う前記第1端末からのアクセス時に、当該ユーザ識別情報に関連付けられた前記リモート識別情報が保持されているかどうかを判定し、保持されているときに、前記第1端末からのリモートアクセスに先立ち、前記ユーザ識別情報により特定されるユーザについての前記アクセス許容範囲を、前記第3端末によるリモートアクセス時又は前記第2端末による直接アクセス時の範囲と異ならせる制御手段、として機能させる、コンピュータプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【公開番号】特開2008−234256(P2008−234256A)
【公開日】平成20年10月2日(2008.10.2)
【国際特許分類】
【出願番号】特願2007−72187(P2007−72187)
【出願日】平成19年3月20日(2007.3.20)
【出願人】(000102728)株式会社エヌ・ティ・ティ・データ (438)
【Fターム(参考)】
【公開日】平成20年10月2日(2008.10.2)
【国際特許分類】
【出願日】平成19年3月20日(2007.3.20)
【出願人】(000102728)株式会社エヌ・ティ・ティ・データ (438)
【Fターム(参考)】
[ Back to top ]