情報処理システム,情報処理装置,及び情報処理方法
【課題】公衆のネットワークから隔離されているネットワークへの公衆のネットワークからのアクセスを可能にする。
【解決手段】プライベートネットワークに接続する内部サーバと、DMZに配置される外部サーバと、を含む情報処理システムであって、内部サーバは、受信したアクセス要求に応じたアプリケーションプログラムを実行するアプリケーション処理部を備え、外部サーバは、外部端末からのアクセス要求を内部サーバ宛てに変換する変換部と、変換されたアクセス要求を内部サーバに送信する第1の送信部と、内部サーバからアプリケーションプログラムの実行結果を取得する取得部と、この実行結果を外部端末に送信する第2の送信部と、所定のウェブページを保持する記憶部と、を備え、外部サーバの第2の送信部は、第1の送信部が外部端末から受信したアクセス要求を内部サーバに送信できない場合に、所定のウェブページを外部端末に送信する。
【解決手段】プライベートネットワークに接続する内部サーバと、DMZに配置される外部サーバと、を含む情報処理システムであって、内部サーバは、受信したアクセス要求に応じたアプリケーションプログラムを実行するアプリケーション処理部を備え、外部サーバは、外部端末からのアクセス要求を内部サーバ宛てに変換する変換部と、変換されたアクセス要求を内部サーバに送信する第1の送信部と、内部サーバからアプリケーションプログラムの実行結果を取得する取得部と、この実行結果を外部端末に送信する第2の送信部と、所定のウェブページを保持する記憶部と、を備え、外部サーバの第2の送信部は、第1の送信部が外部端末から受信したアクセス要求を内部サーバに送信できない場合に、所定のウェブページを外部端末に送信する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、インターネット経由で端末に情報を提供する技術に関する。
【背景技術】
【0002】
従来、健康保険組合から各事業所への医療費等の通知は、紙に印刷したもので行われている。紙に印刷された健康保険組合から各事業所への通知は、一括して各事業所に郵送され、各事業所において社内物流システム等で各加入者に配布されている。また、事業所から健康保険組合への資料の提出も紙に印刷したもので行われており、郵送又は社内物流システムを用いて提出されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2001−167201号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、上記のような配布方法及び提出方法では、紙及び配送コストがかかるという問題があった。さらに、加入者が所望するときに情報を取得することができず、利便性に欠けていた。
【0005】
そこで、ネットワークを介して健康保険組合と各事業者又は各加入者との間で情報のやり取りを行えるようにするシステムが望まれる。しかしながら、健康保険組合のネットワークは、機密性の高い個人情報を扱っており、公共のネットワークとは隔離されているセキュアなネットワークであるため、インターネットからアクセス可能とするのは、困難であった。
【0006】
本発明は、上記した問題に鑑み、公衆のネットワークから隔離されているネットワークへの公衆のネットワークからのアクセスを可能にする情報処理システムを提供することを課題とする。
【課題を解決するための手段】
【0007】
本発明の態様の一つは、プライベートネットワークに接続する内部サーバと、DMZ(DeMilitarized Zone)に配置される外部サーバと、を含む情報処理システムである。この情報処理システムにおける内部サーバは、複数のアプリケーションプログラムと、プライベートネットワークに接続する内部端末から送信されるアクセス要求及び外部サーバから送信されるアクセス要求に応じたアプリケーションプログラムを実行するアプリケーション処理部を備える。この情報処理システムにおける外部サーバは、公衆ネットワークを介して外部端末から送信されるアクセス要求を内部サーバ宛てに変換する変換部と、変換されたアクセス要求を内部サーバに送信する第1の送信部と、外部端末からのアクセス要求に応じたアプリケーションプログラムの実行結果を内部サーバから取得する取得部と、公衆ネットワークを介してこの実行結果を外部端末に送信する第2の送信部と、所定のウェブページを保持する記憶部と、を備え、第2の送信部は、第1の送信部が外部端末から受信したアクセス要求を内部サーバに送信できない場合に、記憶部に保持される所定のウェブページを外部端末に送信する。内部端末とは、プライベートネットワークに接続する端末である。外部端末とは、例えば、インターネット等の公衆ネットワークに接続する端末である。
【0008】
本発明の態様の一つの情報処理システムによれば、外部端末からのアクセス要求は、DMZ内の外部サーバを介して内部サーバに送信されるため、外部端末がプライベートネットワークにアクセスすることを防ぐことができる。また、外部サーバが、所定のウェブページを保持する記憶部を備え、外部端末から受信したアクセス要求を内部サーバに送信できない場合に、記憶部に保持される所定のウェブページを外部端末に送信する。このような処理には内部サーバによる処理が含まれないため、情報処理システムにおいて処理負荷を分散させることができる。
【0009】
また、本発明の態様の一つの情報処理システムでは、内部サーバが保持する複数のアプリケーションプログラムは、内部端末用と外部端末用とに分けられており、内部サーバのアプリケーション処理部は、内部端末からのアクセス要求に対しては内部用のアプリケーションプログラムを実行し、外部サーバからのアクセス要求に対しては、外部端末用のアプリケーションプログラムを実行するようにしてもよい。アプリケーションプログラムを内部端末用と外部端末用とに分けることによって、より確実に、外部のネットワークからのプライベートネットワークを隔離させることができる。
【0010】
また、本発明の態様の一つの情報処理システムでは、内部サーバは、外部サーバに保持される所定のウェブページを保持する記憶部と、内部端末からのアクセス要求に応じたアプリケーションを実行できない場合に、記憶部に保持される所定のウェブページを内部端末に送信する送信部と、をさらに備えるようにしてもよい。この場合、内部サーバがアクセス要求に応じたアプリケーションを実行できない場合に、内部端末には内部サーバが所定のウェブページを送信し、外部端末には外部サーバが所定のウェブページを送信することになる。すなわち、内部サーバと外部サーバとで処理の負荷分散を行うことができる。
【0011】
更に、本発明は、態様の一つとして、方法、装置,又はプログラムとしても把握することが可能である。また、本発明の態様の一つは、上述のプログラムをコンピュータその他の装置、機械等が読み取り可能な記録媒体に記録したものでもよい。ここで、コンピュータ等が読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的、または化学的作用によって蓄積し、コンピュータ等から読み取ることができる記録媒体をいう。
【発明の効果】
【0012】
本発明によれば、公衆のネットワークから隔離されているプライベートネットワークへ、公衆のネットワークに接続する端末からアクセスすることが可能となる。
【図面の簡単な説明】
【0013】
【図1】第1実施形態のウェブシステムの構成例を示す図である。
【図2】内部ウェブサーバ及び外部ウェブサーバのハードウェア構成の例を示す図である。
【図3】内部ウェブサーバの機能ブロックの例を示す図である。
【図4】内部ウェブサーバの処理のフローチャートの例である。
【図5】外部ウェブサーバの機能ブロックの例を示す図である。
【図6】外部ウェブサーバの処理のフローチャートの例である。
【図7】通常時のウェブシステムへのウェブ通信のシーケンスの例を示す図である。
【図8】アプリケーションがメンテナンスによりアクセス不可能な状態である場合のウェブシステムへのウェブ通信のシーケンスを示す図である。
【発明を実施するための形態】
【0014】
以下、図面に基づいて、本発明の実施の形態を説明する。以下の実施形態の構成は例示であり、本発明は実施形態の構成に限定されない。
【0015】
<第1実施形態>
図1は、第1実施形態のウェブシステムの構成例を示す図である。ウェブシステム1は、健康保険組合の情報を提供するウェブサーバへの外部ネットワークからのアクセスを可能にするシステムである。
【0016】
ウェブシステム1は、健康保険組合ウェブシステム110(以下、健保ウェブシステム)と、外部ウェブシステム120とを含む。健保ウェブシステム110は、数百存在する健康保険組合や社会保険組合の情報及び各加入者の情報を管理しウェブサービスによって情報を提供するシステムである。ただし、健保ウェブシステム110は、あらゆる公衆のネットワークと隔離されたプライベートネットワーク(イントラネット)内に存在するシステムである。このプライベートネットワークには、契約する健康保険組合や社会保険組合の端末が接続可能である。外部ウェブシステム120は、各事業所や各加入者の使用端末に向けて健保ウェブシステム110が提供するウェブサービスと同様のウェブサービスを提供するシステムである。外部ウェブシステム120は、DMZ(DeMilitarized Zone)に配置されている、すなわち、ファイヤーウォールによってインターネット等の公共のネットワークからの健康保険組合のネットワークからも隔離された区域に配置されている。
【0017】
なお、以降、「内部」とは健保ウェブシステム110及び契約する健康保険組合等を指し、健保ウェブシステム120が存在するプライベートネットワーク側を「内部ネットワーク」と称する。また、「内部」に対比して、インターネット等の公共のネットワークに存在するシステムや端末等を「外部」と称する。
【0018】
健保ウェブシステム110には、内部ウェブサーバ1とデータベースサーバ2とが含まれる。内部ウェブサーバ1は、ウェブアクセスのインタフェースを内部端末に提供するウェブサーバとしての機能と、該ウェブアクセスに対してサービスを提供するアプリケーションサーバとしての機能とを有する。データベースサーバ2は、健康保険組合や社会保険組合の情報及び各加入者の情報を保持するデータベースを管理するサーバである。内部端末とは、例えば、内部ネットワークに属する健康保険組合や社会保険組合のユ^ザによって使用される端末である。
【0019】
外部ウェブシステム120には、外部ウェブサーバ3とDNS(Domain Name System)サーバ4とが含まれる。外部ウェブサーバ3は、インターネットを介して、健保ウェブシステム110へのウェブアクセスのインタフェースを外部端末に提供するウェブサーバである。外部端末は、例えば、事業所で使用されるPCや、各加入者が使用するPCや携帯電話端末等である。外部ウェブサーバ3は、外部端末から内部ウェブサーバによって提供されるアプリケーションに対するアクセス要求を受けると、アプリケーションサーバである内部ウェブサーバ1にアクセスし、内部ウェブサーバ1とアクセス要求元の端末とのウェブページのやり取りを中継する。DNSサーバ4は、ドメイン名からIPアドレスを検索する名前解決を行うサーバであって、例えば、外部端末からの要求に応じてURL(Uniform Resource Locator)から外部ウェブサーバ4のIPアドレスを検索する名前解決を行う。
【0020】
内部ウェブサーバ1と外部ウェブサーバ3との間には、図1には図示されていないが、ファイヤーウォール機能を有するルータが存在している。内部ウェブサーバ1と外部ウェブサーバ3との間の通信はこのルータを介して行われる。したがって、このルータが内部と外部(DMZ含む)との境界となっている。
【0021】
<内部ウェブサーバ>
図2は、内部ウェブサーバ1のハードウェア構成の例を示す図である。内部ウェブサーバ1は、例えば、汎用のコンピュータ,又は専用のコンピュータである。内部ウェブサーバ1は、制御部101,入力装置103,出力装置104,補助記憶装置105,可搬記録媒体駆動装置106,及びネットワークインタフェース107を備え、これらがバス109により互いに電気的に接続されている情報処理装置である。
【0022】
入力装置103は、例えば、キーボード、マウス等のポインティングデバイス等である。入力装置103から入力されたデータは、制御部101に出力される。
【0023】
ネットワークインタフェース107は、ネットワークとの情報の入出力を行うインタフェースである。ネットワークインタフェース107は、有線のネットワークと接続する。ネットワークインタフェース107は、例えば、ルータ等の中継装置(図示せず)が接続されるLAN(Local Area Network)に接続するためのNIC(Network Interface Card)等である。ネットワークインタフェース107で受信されたデータ等は、制御部101に出力される。
【0024】
補助記憶装置105は、様々なプログラムや、各プログラムの実行に際して制御部101が使用するデータを格納する。補助記憶装置105は、例えば、EPROM(Erasable
Programmable ROM)、ハードディスク(Hard Drive Disc)である。補助記憶装置105は、例えば、オペレーティングシステム(OS),内部ウェブサーバプログラム,その他様々なアプリケーションプログラムを保持する。
【0025】
可搬記録媒体駆動装置106は、可搬記録媒体を駆動し、可搬記録媒体に記録されたデータを読み出す。読み出されたデータは制御部101に出力される。可搬記録媒体は、例えば、USB(Universal Serial Bus)メモリ、CD(Compact Disc)やDVD(Digital Versatile Disc)のようなディスク記録媒体、フラッシュメモリカードのような記録媒体である。
【0026】
制御部101は、プロセッサ101aとRAM101bとを含む。プロセッサ101aは、例えば、CPU(Central Processing Unit)や、DSP(Digital Signal Processor)である。プロセッサ101aは、補助記憶装置105に保持されたOSや様々なアプ
リケーションプログラムを主記憶装置101bにロードして実行することによって、様々な処理を実行する。なお、制御部101は、プロセッサ101aを複数含んでもよい。
【0027】
主記憶装置101bは、プロセッサ101aに、補助記憶装置105に格納されているプログラムをロードする記憶領域および作業領域を提供したり、バッファとして用いられたりする記憶装置である。主記憶装置101bは、例えば、RAM(Random Access Memory)のような半導体メモリである。
【0028】
出力装置104は、制御部101の処理の結果を出力する。出力装置104は、ディスプレイやプリンタである。
【0029】
なお、内部ウェブサーバ1のハードウェア構成は、ウェブシステム100の構成によって適宜変更(置換,追加,削除)可能である。例えば、内部ウェブサーバ1は、入力装置103や出力装置104を含まなくてもよい。
【0030】
図3は、内部ウェブサーバ1の機能ブロックの例を示す図である。内部ウェブサーバ1の制御部101は、内部ウェブサーバプログラムを実行することによって、ウェブサーバ部11,アプリケーションサーバ部12,及びパケット分配部14として動作する。内部ウェブサーバ1はさらに記憶部13を含む。記憶部13は、例えば、内部ウェブサーバプ
ログラムのインストール時に、予め補助記憶装置105の記憶領域に作成される。
【0031】
また、内部ウェブサーバ1は、複数種類のアプリケーションプログラム(以下、単にアプリケーション)を備えている。例えば、アプリケーションには、データベースサーバ2が管理するデータベース内の情報を検索するためのアプリケーションや、ネットワークを経由して該データベースに格納する情報を受け取るためのアプリケーション等がある。アプリケーションは、同種類のアプリケーションであっても、内部端末用と外部端末用とに分かれている。例えば、内部端末用のアプリケーションは、健康保険組合用のアプリケーション,社会保険組合用のアプリケーションである。例えば、外部端末用のアプリケーションは、事業者用のアプリケーション,加入者用のアプリケーションである。このようにアプリケーションは内部端末用と外部端末用とに分かれており、それぞれ異なるURLが割り当てられている。このように、内部端末用と外部端末用とにアプリケーションを分けることによって、内部の端末と外部の端末とが同一のアプリケーションにアクセスしないようにしており、内部と外部との隔離が徹底されている。なお、第1実施形態におけるアプリケーションは、例えば、ログインからログアウトまでのウェブアクセスの一連の処理を制御するアプリケーションであるとする。ただし、これに限られない。
【0032】
パケット分配部14は、受信したアクセス要求のパケットのヘッダによりウェブサーバ部11又はアプリケーションサーバ部12に分配する。例えば、パケット分配部14は、内部端末からのアクセス要求をウェブサーバ部11に、外部ウェブサーバ3からのアクセス要求をアプリケーションサーバ部12に分配する。
【0033】
ウェブサーバ部11は、ウェブサーバとしての機能を有する。ウェブサーバ部11は、外部アクセス制限部111と、ウェブサーバ処理部112とを含む。外部アクセス制限部111は、内部端末による外部端末用のアプリケーションへのアクセスを制限する。例えば、外部アクセス制限部111は、パケット分配部14によって内部端末からのアクセス要求が分配された際に、内部端末用のアプリケーション(のURL)へのアクセス要求のみ許可し、それ以外は拒否(禁止)する。ウェブサーバ処理部112は、ウェブサーバとしての処理を実行する。具体的には、外部アクセス制限部111によってアクセスが拒否された場合や、メンテナンス等によりアプリケーションやデータベースサーバ2にアクセスできない場合に、メッセージを含むウェブページを記憶部13から読み出し、アクセス要求元の内部端末に送信する。また、外部アクセス制限部111によってアクセスが許可され、且つ、アプリケーションにアクセス可能な場合に、アプリケーションサーバ部12にアクセス要求を転送する。アプリケーションサーバ部12からアプリケーション実行結果を含むウェブページが応答として渡されると、ウェブサーバ処理部112は、該ウェブページをアクセス要求の送信元の内部端末に送信する。
【0034】
アプリケーションサーバ部12は、アプリケーションサーバとしての機能を有する。アプリケーションサーバ部12は、アプリケーション処理部121と、データベースアクセス処理部122とを含む。
【0035】
アプリケーション処理部121は、アクセス要求に含まれるURLに応じたアプリケーションを実行し、実行結果を含むウェブページをアプリケーション処理の要求元(ウェブサーバ処理部112又は外部ウェブサーバ3)に送信する。データベースアクセス処理部122は、アプリケーション処理部121によるアプリケーションプログラムの実行過程において、データベースに関わる処理が発生した場合に、データベースサーバ4に対して該処理の実行を要求し、処理結果を取得する。データベースに関わる処理は、例えば、データベース内の情報の検索や抽出等である。
【0036】
記憶部13には、ウェブページと内部ウェブサーバ1に備えられるアプリケーションの
URLリストが保持されている。記憶部13に保持されるウェブページは、例えば、各アプリケーションによって用いられるログイン画面等を含むウェブページ,メンテナンス等でアクセス不可能な状態であることを通知するSorryページ,アクセス制限によってアクセスが拒否されたこと通知するアクセス不可通知ページ等である。
【0037】
図4は、内部ウェブサーバ1の処理のフローチャートの例である。図4に示されるフローチャートは、内部ウェブサーバ1がネットワークインタフェース107を介してアクセス要求を受信した際に開始される。例えば、図4に示されるフローチャートは、内部ウェブサーバ1の制御部101が内部ウェブサーバプログラムの実行を通じて、ウェブサーバ部11,アプリケーションサーバ部12,及びパケット分配部14として動作することで実行される。
【0038】
S1では、制御部101は、受信したアクセス要求が外部ウェブサーバ3から送信されたものであるか否かを判定する。この判定は、例えば、パケットの送信元IPアドレスを確認することによって行われる。アクセス要求が外部ウェブサーバ3から送信されたものである場合には(S1:Yes)、処理がS6に進む。アクセス要求が外部ウェブサーバ3から送信されたものではない、すなわち、内部端末から送信されたアクセス要求である場合には(S1:No)、処理がS2に進む。
【0039】
S2では、アクセス要求が内部端末から送信されたものであるので、制御部101は、アクセス要求の可否を判定する。アクセス要求の可否は、例えば、記憶部13に保持されるURLリストが参照されて、アクセス要求に含まれるURLが内部用のアプリケーションのURLであるか否かによって判定される。アクセス要求に含まれるURLが内部用のアプリケーションのURLである場合には、アクセス要求が許可される。アクセス要求に含まれるURLが外部用のアプリケーションのURLである場合、及び、アクセス要求に含まれるURLが存在しない場合には、アクセス要求が拒否される。アクセス要求が許可された場合には(S2:Yes)、処理がS4に進む。アクセス要求が拒否された場合には(S2:No)、処理がS3に進む。
【0040】
S3では、アクセス要求を拒否したため、制御部101は、アクセス不可通知ページを記憶部13から読み出し、アクセス要求の送信元(内部端末)に送信する。その後、図4に示される処理が終了する。
【0041】
S4では、アクセス要求を許可したため、制御部101は、要求されるアプリケーションがアクセス可能な状態であるか否かを判定する。要求されるアプリケーションがアクセス可能な状態である場合には(S4:Yes)、処理がS6に進む。例えば、メンテナンス中やエラー発生等で要求されるアプリケーションがアクセス不可能な状態である場合には(S4:No)、処理がS5に進む。
【0042】
S5では、要求されるアプリケーションがアクセス不可能な状態であるので、制御部101は、記憶部13からSorryページを読み出してアクセス要求の送信元(内部端末)に送信する。その後、図4に示される処理が終了する。
【0043】
S6では、アクセス要求が外部ウェブサーバ3から送信されたものである、又は、内部端末から送信されたアクセス要求によって要求されるアプリケーションがアクセス可能であるので、制御部101は、要求されるアプリケーション処理を実行する。S7では、制御部101は、要求されるアプリケーションの実行結果を含むウェブページをアクセス要求の送信元(内部端末又は外部端末)に送信する。その後、図4に示される処理が終了する。
【0044】
S1の処理は、パケット分配部14に相当する。S2の処理は、外部アクセス制限部111に相当する。S3−S5の処理は、ウェブサーバ処理部112に相当する。S6の処理は、アプリケーション処理部121及びデータベースアクセス処理部122に相当する。S7の処理は、アプリケーション処理部121(外部ウェブサーバからアクセス要求時)又はウェブサーバ処理部112(内部端末からアクセス要求時)に相当する。
【0045】
<外部ウェブサーバ>
外部ウェブサーバ3は、例えば、汎用のコンピュータ,又は専用のコンピュータである。外部ウェブサーバ3のハードウェア構成は、内部ウェブサーバ1とほぼ同じであるため、図2を参照し、共通する部分の説明は省略する。外部ウェブサーバ3は、制御部301,入力装置303,出力装置304,補助記憶装置305,可搬記録媒体駆動装置306,及びネットワークインタフェース307を備え、これらがバス309により互いに電気的に接続されている情報処理装置である。
【0046】
補助記憶装置305には、例えば、オペレーティングシステム(OS),外部ウェブサーバプログラム,その他様々なアプリケーションプログラムが保持される。
【0047】
なお、外部ウェブサーバ3のハードウェア構成は、ウェブシステム100の構成によって適宜変更(置換,追加,削除)可能である。例えば、外部ウェブサーバ3は、入力装置303や出力装置304を含まなくてもよい。
【0048】
図5は、外部ウェブサーバ3の機能ブロックの例を示す図である。外部ウェブサーバ3の制御部301は、外部ウェブサーバプログラムを実行することによって、内部アクセス制限部31,ウェブサーバ処理部32,変換部33,クライアント処理部34,及びパケット分配部37として動作する。外部ウェブサーバ3はさらに記憶部36を含む。記憶部36は、例えば、外部ウェブサーバプログラムのインストール時に、予め補助記憶装置305の記憶領域に作成される。
【0049】
パケット分配部37は、受信パケットを分配する。例えば、受信パケットが外部ウェブサーバ3へのアクセス要求である場合には、パケット分配部37は、内部アクセス制御部31に受信パケットを分配する。例えば、受信パケットが戻りパケットである場合には、パケット分配部37は、クライアント処理部34に受信パケットを分配する。戻りパケットとは、外部ウェブサーバ3から送信されたパケットに対する応答パケットのことであり、例えば、外部ウェブサーバ3から内部ウェブサーバ1に送信されたアクセス要求に対するウェブページのパケットである。
【0050】
内部アクセス制限部31は、外部端末から内部用アプリケーションへのアクセスを制限する。例えば、内部アクセス制限部31は、パケットを受信した際に、アクセスリストを用いて、外部端末から内部のアドレスへのアクセスを拒否(禁止)する。例えば、内部部アクセス制限部31は、パケット分配部37によって外部端末からのアクセス要求が分配された際に、外部端末用のアプリケーション(のURL)へのアクセス要求のみ許可し、それ以外は拒否(禁止)する。
【0051】
ウェブサーバ処理部32は、内部アクセス制限部31によって許可されたアクセス要求によって要求される、内部ウェブサーバ1内のアプリケーションがアクセス可能な状態か否かを判定する。例えば、メンテナンスやエラー等で要求されるアプリケーションがアクセス不可能な場合には、ウェブサーバ処理部32は、アクセス要求を拒否する。要求されるアプリケーションがアクセス可能な場合には、ウェブサーバ処理部32は、アクセス要求を許可する。
【0052】
さらに、ウェブサーバ処理部32は、内部アクセス制限部31によってアクセス要求が拒否された場合や、アクセス要求によって要求されるアプリケーションがアクセス不可能な状態である場合に、メッセージを含むウェブページを記憶部36から読み出し、アクセス要求の送信元の外部端末に送信する。具体的には、ウェブサーバ処理部32は、内部アクセス制限部31によって拒否されたアクセス要求の送信元の外部端末に、アクセス不可を通知するアクセス不可通知ページを記憶部36から読み出して送信する。また、アクセス要求によって要求されるアプリケーションがアクセス不可能な場合には、ウェブサーバ処理部32は、Sorryページを記憶部36から読み出し、アクセス要求の送信元の外部端末に送信する。
【0053】
変換部33は、内部アクセス制限部31によって許可され、要求するアプリケーションがアクセス可能な状態であるアクセス要求について変換処理を行う。例えば、変換部33は、アクセス要求の宛先IPアドレスを外部ウェブサーバ3のIPアドレスから内部ウェブサーバ1のIPアドレスへ変換する。変換部33は、アクセス要求の送信元IPアドレスをアクセス要求の送信元端末(外部端末)のIPアドレスから外部ウェブサーバ3のIPアドレスに変換する。さらに、変換部33は、アクセス要求の宛先ポート番号を変換する。例えば、外部端末から外部ウェブサーバ3へのアクセスは、インターネットを経由するのでセキュリティの高いHTTPS(ポート番号443)によって行われる。また、例えば、外部ウェブサーバ3がアプリケーションサーバとしての内部ウェブサーバ1にアクセスする際には、JBOSS(8009)によって行われる。このような場合には、変換部33は、アクセス要求の宛先ポート番号を443から8009に変換する。アクセス要求である受信パケットの変換前と変換後との変換情報は、例えば、主記憶装置301b内の作業領域に作成されるキャッシュに格納される。
【0054】
クライアント処理部34は、アプリケーションサーバとしての内部ウェブサーバ1に対してアプリケーションの要求を行う処理部である。具体的には、クライアント処理部34は、変換部33によって変換処理が実行されたアクセス要求を内部ウェブサーバ1に送信し、内部ウェブサーバ1から、アプリケーションの実行結果を含むウェブページを取得する。取得されたウェブページは、変換部33によって、キャッシュされた変換情報を用いて変換され、ウェブサーバ処理部32によって、アクセス要求の送信元である外部端末に送信される。
【0055】
記憶部36には、ウェブページと、内部ウェブサーバ1が保持するアプリケーションのURLリストが保持されている。記憶部36に保持されるウェブページは、例えば、メンテナンス等でアクセス不可能な状態であることを通知するSorryページ,アクセス制限によってアクセスが拒否されたこと通知するアクセス不可通知ページ等である。記憶部36に保持されるSorryページ,アクセス不可通知ページ,URLリストは、内部ウェブサーバ1の記憶部13に保持されるものと同一である。
【0056】
図6は、外部ウェブサーバ3の処理のフローチャートの例である。図6に示されるフローチャートは、外部ウェブサーバ3がパケットを受信すると開始される。例えば、図6に示されるフローチャートは、外部ウェブサーバ3の制御部301が外部ウェブサーバプログラムの実行を通じて、内部アクセス制限部31,ウェブサーバ処理部32,変換部33,ウェブクライアント処理部34,およびパケット分配部37として動作することで実行される。
【0057】
S11では、制御部301は、受信パケットが内部ウェブサーバ1からの戻りパケットであるか否かを判定する。この判定は、例えば、キャッシュされた変換情報を参照したり、パケットヘッダに含まれる情報(IPアドレスやポート番号等)を参照したりすることで行われる。受信パケットが戻りパケットである場合には(S11:Yes)、処理がS
16に進む。受信パケットが内部ウェブサーバ1からの戻りパケットではない場合には(S11:No)、処理がS12に進む。
【0058】
S12では、受信パケットが戻りパケットではない、すなわち、受信パケットが外部端末からのアクセス要求であるので、制御部301は、アクセス要求の可否を判定する。アクセス要求の可否は、例えば、記憶部36に保持されるURLリストが参照されて、アクセス要求に含まれるURLが外部用のアプリケーションのURLであるか否かによって判定される。アクセス要求に含まれるURLが外部用のアプリケーションのURLである場合には、アクセス要求が許可される。アクセス要求に含まれるURLが内部用のアプリケーションのURLである場合、及び、アクセス要求に含まれるURLがURLリストに存在しない場合には、アクセス要求が拒否される。アクセス要求が許可された場合には(S12:Yes)、処理がS14に進む。アクセス要求が拒否された場合には(S12:No)、処理がS13に進む。
【0059】
S13では、アクセス要求を拒否したため、制御部301は、アクセス不可通知ページを記憶部36から読み出し、アクセス要求の送信元(外部端末)に送信する。その後、図6に示される処理が終了する。
【0060】
S14では、アクセス要求を許可したため、制御部301は、アクセス要求によって要求されるアプリケーションがアクセス可能な状態であるか否かを判定する。アクセス要求によって要求されるアプリケーションがアクセス可能な状態であるか否かは、例えば、内部ウェブサーバ1から予め通知を受けているか否かで判定してもよいし、内部ウェブサーバ1に問い合わせのパケットを送信し応答がなければアクセス不可能な状態であると判定してもよい。アクセス要求によって要求されるアプリケーションがアクセス可能な状態である場合には(S14:Yes)、処理がS16に進む。アクセス要求によって要求されるアプリケーションがアクセス不可能な状態である場合には(S14:No)、処理がS15に進む。
【0061】
S15では、制御部301は、アクセス要求によって要求されるアプリケーションがアクセス不可能な状態であるので、Sorryページを記憶部36から読み出してアクセし要求の送信元(外部端末)に送信する。その後、図6に示される処理が終了する。
【0062】
S16では、制御部301は、受信パケットについて上述の変換処理を実行する。S17では、制御部301は、変換後の宛先に受信パケットを送信する。具体的には、S16及びS17の処理は、受信パケットが内部ウェブサーバ1からの戻りパケットである場合には、制御部301は、変換情報に従って受信パケットを変換し(宛先はアクセス要求の送信元の外部端末となる)、外部端末に受信パケットを送信する。受信パケットが外部端末からのアクセス要求である場合には、S16及びS17の処理は、制御部301は、宛先IPアドレスを内部ウェブサーバ1のIPアドレスに、送信元IPアドレスを外部ウェブサーバのIPアドレスに、宛先ポートを8009に変換して、変換した受信パケットを内部ウェブサーバ1に送信する。その後、図6に示される処理が終了する。
【0063】
S11の処理はパケット分配部37に相当する。S12の処理は、内部アクセス制限部31に相当する。S13−15の処理は、ウェブサーバ処理部32に相当する。S16及びS17の処理は、変換部33及びウェブクライアント部34、又は、変換部33及びウェブサーバ処理部32に相当する。
【0064】
<動作例>
図7は、通常時のウェブシステム100へのウェブ通信のシーケンスの例を示す図である。図7のOP1からOP4は、内部端末から内部ウェブサーバ1にアクセス要求が送信
された場合のシーケンスが示される。
【0065】
OP1では、内部端末がウェブブラウザから内部ウェブサーバ1へアクセス要求を送信する。内部端末と内部ウェブサーバ1とのウェブ通信は、内部ネットワーク(イントラネット)内で行われ、セキュリティは保たれているので、例えば、HTTP(ポート番号80)を用いて行われる。
【0066】
OP2では、内部ウェブサーバ1は、内部端末からアクセス要求を受信し、アクセス要求によって要求されるアプリケーションを実行する(S1,S2,S4,S6)。アプリケーション実行に伴って、内部ウェブサーバ1は、データベースサーバ2に所定の情報の読み出しを要求する。OP3では、データベースサーバ2が内部ウェブサーバ1に対して要求された情報を送信する。OP2及びOP3の内部ウェブサーバ1とデータベースサーバ2との間の情報のやり取りには、例えば、Microsoft−DS(ポート番号445)等のファイル共有プロトコルやオラクルのデータベースへの接続機能(ポート番号1521)が用いられる。
【0067】
OP4では、内部ウェブサーバ1は、アプリケーションの実行結果を含むウェブページをアクセス要求の送信元の内部端末に送信する(S7)。なお、アプリケーションの実行を必要としない場合には、OP2及びOP3の処理は省略される。
【0068】
次に、図7のOP11からOP16は、インターネットを介して外部端末から外部ウェブサーバ3にアクセス要求が送信された場合のシーケンスである。
【0069】
OP11では、外部端末がウェブブラウザから外部ウェブサーバ3に対するアクセス要求を送信する。外部端末と外部ウェブサーバ3との間のウェブ通信は、インターネットを介して行われるので、セキュリティを守るために、例えば、HTTPS(ポート番号443)を用いて行われる。
【0070】
OP12では、外部ウェブサーバ3は、外部端末からアクセス要求を受信し、アクセス要求に上述の変換処理を施して、変換したアクセス要求を内部ウェブサーバ1に送信する(S11,S12,S14,S16,S17)。外部ウェブサーバ3と内部ウェブサーバ1との間のウェブ通信は、例えば、JBOSS(ポート番号8009)によって行われる。
【0071】
OP13では、内部ウェブサーバ1は、外部ウェブサーバからのアクセス要求を受信し、アクセス要求によって要求されるアプリケーションを実行する(S1,S6)。アプリケーション実行に伴って、内部ウェブサーバ1は、データベースサーバ2に所定の情報の読み出しを要求する(ポート番号1521又は445)。OP14では、データベースサーバ2が内部ウェブサーバ1に対して要求された情報を送信する。
【0072】
OP15では、内部ウェブサーバ1は、アプリケーションの実行結果を含むウェブページを外部ウェブサーバ3に送信する(S7)。OP16では、外部ウェブサーバ3は、内部ウェブサーバ1からアプリケーションの実行結果を含むウェブページを受信し、変換処理を実行して、アクセス要求の送信元の内部端末に送信する(S11,S16,S17)。
【0073】
図8は、アプリケーションがメンテナンスによりアクセス不可能な状態である場合のシーケンスを示す図である。図8のOP21からOP22は、内部端末から内部ウェブサーバ1にアクセス要求が送信された場合のシーケンスが示される。
【0074】
OP21では、内部端末がウェブブラウザから内部ウェブサーバ1へアクセス要求を送信する(ポート番号80)。
【0075】
OP22では、内部ウェブサーバ1は、内部端末からアクセス要求を受信する。しかしながら、要求されたアプリケーションがメンテナンスによりアクセス不可能な状態であるため、内部ウェブサーバ1は、Sorryページをアクセス要求の送信元の内部端末に送信する(S1、S2,S4,S5)。
【0076】
次に、図8のOP31からOP32は、インターネットを介して外部端末から外部ウェブサーバ3にアクセス要求が送信された場合のシーケンスである。
【0077】
OP31では、外部端末がウェブブラウザから外部ウェブサーバ3に対するアクセス要求を送信する(ポート番号443)。
【0078】
OP32では、外部ウェブサーバ3は、外部端末からアクセス要求を受信する。しかしながら、要求されたアプリケーションはメンテナンスによりアクセス不可能な状態であるため、外部ウェブサーバ3は、Sorryページをアクセス要求の送信元の外部端末に送信する(S11、S12,S14,S15)。
【0079】
なお、アクセス要求がアクセス制限により拒否された場合も、OP21−OP22,又は、OP31−OP32と同じシーケンスになる。
【0080】
<第1実施形態の作用効果>
第1実施形態では、DMZに外部向けの外部ウェブサーバ3が配置され、外部ウェブサーバ3がインターネットを介して受信される外部端末からのアクセス要求を内部ウェブサーバ1に中継する。内部ウェブサーバ1はアプリケーションサーバとして動作し、内部端末用と外部端末用とに分けてアプリケーションを保持する。また、外部ウェブサーバ3は、外部端末が内部用のアプリケーションにアクセスできないようにアクセス制限を行う。これによって、健康保険組合ネットワークをインターネット等の公衆のネットワークから隔離しつつ、インターネットを介して事業者や加入者に健康保険組合のウェブサービスを提供することができ、紙への印刷による通知に比べて、紙及び配送のコストを削減することができる。
【0081】
また、第1実施形態では、外部ウェブサーバ3は、内部ウェブサーバ1が保持するSorryページとアクセス不可通知ページと同一のウェブページを保持する。外部ウェブサーバ3は、外部端末から受信したアクセス要求を拒否した場合や、要求されたアプリケーションがアクセス不可能な状態である場合などの、外部端末からのアクセス要求を内部ウェブサーバ1に転送できない場合に、適切なウェブページをアクセス要求の送信元の外部端末に送信する。内部で予想されるアクセス数と外部からの予想されるアクセス数とでは、外部からの予想されるアクセス数の方がはるかに多い。このため、外部ウェブサーバ3が内部ウェブサーバ1のウェブサーバとしての処理を一部行うことによって、内部ウェブサーバ1の負荷を分散することができる。
【符号の説明】
【0082】
1 内部ウェブサーバ
2 データベースサーバ
3 外部ウェブサーバ
4 DNSサーバ
11 ウェブサーバ部
12 アプリケーションサーバ部
13,36 記憶部
14,37 パケット分配部
31 内部アクセス制限部
32,112 ウェブサーバ処理部
33 変換部
34 クライアント処理部
100 ウェブシステム
110 健康保険組合システム
111 外部アクセス制限部
120 外部システム
121 アプリケーション処理部
122 データベースアクセス処理部
【技術分野】
【0001】
本発明は、インターネット経由で端末に情報を提供する技術に関する。
【背景技術】
【0002】
従来、健康保険組合から各事業所への医療費等の通知は、紙に印刷したもので行われている。紙に印刷された健康保険組合から各事業所への通知は、一括して各事業所に郵送され、各事業所において社内物流システム等で各加入者に配布されている。また、事業所から健康保険組合への資料の提出も紙に印刷したもので行われており、郵送又は社内物流システムを用いて提出されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2001−167201号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、上記のような配布方法及び提出方法では、紙及び配送コストがかかるという問題があった。さらに、加入者が所望するときに情報を取得することができず、利便性に欠けていた。
【0005】
そこで、ネットワークを介して健康保険組合と各事業者又は各加入者との間で情報のやり取りを行えるようにするシステムが望まれる。しかしながら、健康保険組合のネットワークは、機密性の高い個人情報を扱っており、公共のネットワークとは隔離されているセキュアなネットワークであるため、インターネットからアクセス可能とするのは、困難であった。
【0006】
本発明は、上記した問題に鑑み、公衆のネットワークから隔離されているネットワークへの公衆のネットワークからのアクセスを可能にする情報処理システムを提供することを課題とする。
【課題を解決するための手段】
【0007】
本発明の態様の一つは、プライベートネットワークに接続する内部サーバと、DMZ(DeMilitarized Zone)に配置される外部サーバと、を含む情報処理システムである。この情報処理システムにおける内部サーバは、複数のアプリケーションプログラムと、プライベートネットワークに接続する内部端末から送信されるアクセス要求及び外部サーバから送信されるアクセス要求に応じたアプリケーションプログラムを実行するアプリケーション処理部を備える。この情報処理システムにおける外部サーバは、公衆ネットワークを介して外部端末から送信されるアクセス要求を内部サーバ宛てに変換する変換部と、変換されたアクセス要求を内部サーバに送信する第1の送信部と、外部端末からのアクセス要求に応じたアプリケーションプログラムの実行結果を内部サーバから取得する取得部と、公衆ネットワークを介してこの実行結果を外部端末に送信する第2の送信部と、所定のウェブページを保持する記憶部と、を備え、第2の送信部は、第1の送信部が外部端末から受信したアクセス要求を内部サーバに送信できない場合に、記憶部に保持される所定のウェブページを外部端末に送信する。内部端末とは、プライベートネットワークに接続する端末である。外部端末とは、例えば、インターネット等の公衆ネットワークに接続する端末である。
【0008】
本発明の態様の一つの情報処理システムによれば、外部端末からのアクセス要求は、DMZ内の外部サーバを介して内部サーバに送信されるため、外部端末がプライベートネットワークにアクセスすることを防ぐことができる。また、外部サーバが、所定のウェブページを保持する記憶部を備え、外部端末から受信したアクセス要求を内部サーバに送信できない場合に、記憶部に保持される所定のウェブページを外部端末に送信する。このような処理には内部サーバによる処理が含まれないため、情報処理システムにおいて処理負荷を分散させることができる。
【0009】
また、本発明の態様の一つの情報処理システムでは、内部サーバが保持する複数のアプリケーションプログラムは、内部端末用と外部端末用とに分けられており、内部サーバのアプリケーション処理部は、内部端末からのアクセス要求に対しては内部用のアプリケーションプログラムを実行し、外部サーバからのアクセス要求に対しては、外部端末用のアプリケーションプログラムを実行するようにしてもよい。アプリケーションプログラムを内部端末用と外部端末用とに分けることによって、より確実に、外部のネットワークからのプライベートネットワークを隔離させることができる。
【0010】
また、本発明の態様の一つの情報処理システムでは、内部サーバは、外部サーバに保持される所定のウェブページを保持する記憶部と、内部端末からのアクセス要求に応じたアプリケーションを実行できない場合に、記憶部に保持される所定のウェブページを内部端末に送信する送信部と、をさらに備えるようにしてもよい。この場合、内部サーバがアクセス要求に応じたアプリケーションを実行できない場合に、内部端末には内部サーバが所定のウェブページを送信し、外部端末には外部サーバが所定のウェブページを送信することになる。すなわち、内部サーバと外部サーバとで処理の負荷分散を行うことができる。
【0011】
更に、本発明は、態様の一つとして、方法、装置,又はプログラムとしても把握することが可能である。また、本発明の態様の一つは、上述のプログラムをコンピュータその他の装置、機械等が読み取り可能な記録媒体に記録したものでもよい。ここで、コンピュータ等が読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的、または化学的作用によって蓄積し、コンピュータ等から読み取ることができる記録媒体をいう。
【発明の効果】
【0012】
本発明によれば、公衆のネットワークから隔離されているプライベートネットワークへ、公衆のネットワークに接続する端末からアクセスすることが可能となる。
【図面の簡単な説明】
【0013】
【図1】第1実施形態のウェブシステムの構成例を示す図である。
【図2】内部ウェブサーバ及び外部ウェブサーバのハードウェア構成の例を示す図である。
【図3】内部ウェブサーバの機能ブロックの例を示す図である。
【図4】内部ウェブサーバの処理のフローチャートの例である。
【図5】外部ウェブサーバの機能ブロックの例を示す図である。
【図6】外部ウェブサーバの処理のフローチャートの例である。
【図7】通常時のウェブシステムへのウェブ通信のシーケンスの例を示す図である。
【図8】アプリケーションがメンテナンスによりアクセス不可能な状態である場合のウェブシステムへのウェブ通信のシーケンスを示す図である。
【発明を実施するための形態】
【0014】
以下、図面に基づいて、本発明の実施の形態を説明する。以下の実施形態の構成は例示であり、本発明は実施形態の構成に限定されない。
【0015】
<第1実施形態>
図1は、第1実施形態のウェブシステムの構成例を示す図である。ウェブシステム1は、健康保険組合の情報を提供するウェブサーバへの外部ネットワークからのアクセスを可能にするシステムである。
【0016】
ウェブシステム1は、健康保険組合ウェブシステム110(以下、健保ウェブシステム)と、外部ウェブシステム120とを含む。健保ウェブシステム110は、数百存在する健康保険組合や社会保険組合の情報及び各加入者の情報を管理しウェブサービスによって情報を提供するシステムである。ただし、健保ウェブシステム110は、あらゆる公衆のネットワークと隔離されたプライベートネットワーク(イントラネット)内に存在するシステムである。このプライベートネットワークには、契約する健康保険組合や社会保険組合の端末が接続可能である。外部ウェブシステム120は、各事業所や各加入者の使用端末に向けて健保ウェブシステム110が提供するウェブサービスと同様のウェブサービスを提供するシステムである。外部ウェブシステム120は、DMZ(DeMilitarized Zone)に配置されている、すなわち、ファイヤーウォールによってインターネット等の公共のネットワークからの健康保険組合のネットワークからも隔離された区域に配置されている。
【0017】
なお、以降、「内部」とは健保ウェブシステム110及び契約する健康保険組合等を指し、健保ウェブシステム120が存在するプライベートネットワーク側を「内部ネットワーク」と称する。また、「内部」に対比して、インターネット等の公共のネットワークに存在するシステムや端末等を「外部」と称する。
【0018】
健保ウェブシステム110には、内部ウェブサーバ1とデータベースサーバ2とが含まれる。内部ウェブサーバ1は、ウェブアクセスのインタフェースを内部端末に提供するウェブサーバとしての機能と、該ウェブアクセスに対してサービスを提供するアプリケーションサーバとしての機能とを有する。データベースサーバ2は、健康保険組合や社会保険組合の情報及び各加入者の情報を保持するデータベースを管理するサーバである。内部端末とは、例えば、内部ネットワークに属する健康保険組合や社会保険組合のユ^ザによって使用される端末である。
【0019】
外部ウェブシステム120には、外部ウェブサーバ3とDNS(Domain Name System)サーバ4とが含まれる。外部ウェブサーバ3は、インターネットを介して、健保ウェブシステム110へのウェブアクセスのインタフェースを外部端末に提供するウェブサーバである。外部端末は、例えば、事業所で使用されるPCや、各加入者が使用するPCや携帯電話端末等である。外部ウェブサーバ3は、外部端末から内部ウェブサーバによって提供されるアプリケーションに対するアクセス要求を受けると、アプリケーションサーバである内部ウェブサーバ1にアクセスし、内部ウェブサーバ1とアクセス要求元の端末とのウェブページのやり取りを中継する。DNSサーバ4は、ドメイン名からIPアドレスを検索する名前解決を行うサーバであって、例えば、外部端末からの要求に応じてURL(Uniform Resource Locator)から外部ウェブサーバ4のIPアドレスを検索する名前解決を行う。
【0020】
内部ウェブサーバ1と外部ウェブサーバ3との間には、図1には図示されていないが、ファイヤーウォール機能を有するルータが存在している。内部ウェブサーバ1と外部ウェブサーバ3との間の通信はこのルータを介して行われる。したがって、このルータが内部と外部(DMZ含む)との境界となっている。
【0021】
<内部ウェブサーバ>
図2は、内部ウェブサーバ1のハードウェア構成の例を示す図である。内部ウェブサーバ1は、例えば、汎用のコンピュータ,又は専用のコンピュータである。内部ウェブサーバ1は、制御部101,入力装置103,出力装置104,補助記憶装置105,可搬記録媒体駆動装置106,及びネットワークインタフェース107を備え、これらがバス109により互いに電気的に接続されている情報処理装置である。
【0022】
入力装置103は、例えば、キーボード、マウス等のポインティングデバイス等である。入力装置103から入力されたデータは、制御部101に出力される。
【0023】
ネットワークインタフェース107は、ネットワークとの情報の入出力を行うインタフェースである。ネットワークインタフェース107は、有線のネットワークと接続する。ネットワークインタフェース107は、例えば、ルータ等の中継装置(図示せず)が接続されるLAN(Local Area Network)に接続するためのNIC(Network Interface Card)等である。ネットワークインタフェース107で受信されたデータ等は、制御部101に出力される。
【0024】
補助記憶装置105は、様々なプログラムや、各プログラムの実行に際して制御部101が使用するデータを格納する。補助記憶装置105は、例えば、EPROM(Erasable
Programmable ROM)、ハードディスク(Hard Drive Disc)である。補助記憶装置105は、例えば、オペレーティングシステム(OS),内部ウェブサーバプログラム,その他様々なアプリケーションプログラムを保持する。
【0025】
可搬記録媒体駆動装置106は、可搬記録媒体を駆動し、可搬記録媒体に記録されたデータを読み出す。読み出されたデータは制御部101に出力される。可搬記録媒体は、例えば、USB(Universal Serial Bus)メモリ、CD(Compact Disc)やDVD(Digital Versatile Disc)のようなディスク記録媒体、フラッシュメモリカードのような記録媒体である。
【0026】
制御部101は、プロセッサ101aとRAM101bとを含む。プロセッサ101aは、例えば、CPU(Central Processing Unit)や、DSP(Digital Signal Processor)である。プロセッサ101aは、補助記憶装置105に保持されたOSや様々なアプ
リケーションプログラムを主記憶装置101bにロードして実行することによって、様々な処理を実行する。なお、制御部101は、プロセッサ101aを複数含んでもよい。
【0027】
主記憶装置101bは、プロセッサ101aに、補助記憶装置105に格納されているプログラムをロードする記憶領域および作業領域を提供したり、バッファとして用いられたりする記憶装置である。主記憶装置101bは、例えば、RAM(Random Access Memory)のような半導体メモリである。
【0028】
出力装置104は、制御部101の処理の結果を出力する。出力装置104は、ディスプレイやプリンタである。
【0029】
なお、内部ウェブサーバ1のハードウェア構成は、ウェブシステム100の構成によって適宜変更(置換,追加,削除)可能である。例えば、内部ウェブサーバ1は、入力装置103や出力装置104を含まなくてもよい。
【0030】
図3は、内部ウェブサーバ1の機能ブロックの例を示す図である。内部ウェブサーバ1の制御部101は、内部ウェブサーバプログラムを実行することによって、ウェブサーバ部11,アプリケーションサーバ部12,及びパケット分配部14として動作する。内部ウェブサーバ1はさらに記憶部13を含む。記憶部13は、例えば、内部ウェブサーバプ
ログラムのインストール時に、予め補助記憶装置105の記憶領域に作成される。
【0031】
また、内部ウェブサーバ1は、複数種類のアプリケーションプログラム(以下、単にアプリケーション)を備えている。例えば、アプリケーションには、データベースサーバ2が管理するデータベース内の情報を検索するためのアプリケーションや、ネットワークを経由して該データベースに格納する情報を受け取るためのアプリケーション等がある。アプリケーションは、同種類のアプリケーションであっても、内部端末用と外部端末用とに分かれている。例えば、内部端末用のアプリケーションは、健康保険組合用のアプリケーション,社会保険組合用のアプリケーションである。例えば、外部端末用のアプリケーションは、事業者用のアプリケーション,加入者用のアプリケーションである。このようにアプリケーションは内部端末用と外部端末用とに分かれており、それぞれ異なるURLが割り当てられている。このように、内部端末用と外部端末用とにアプリケーションを分けることによって、内部の端末と外部の端末とが同一のアプリケーションにアクセスしないようにしており、内部と外部との隔離が徹底されている。なお、第1実施形態におけるアプリケーションは、例えば、ログインからログアウトまでのウェブアクセスの一連の処理を制御するアプリケーションであるとする。ただし、これに限られない。
【0032】
パケット分配部14は、受信したアクセス要求のパケットのヘッダによりウェブサーバ部11又はアプリケーションサーバ部12に分配する。例えば、パケット分配部14は、内部端末からのアクセス要求をウェブサーバ部11に、外部ウェブサーバ3からのアクセス要求をアプリケーションサーバ部12に分配する。
【0033】
ウェブサーバ部11は、ウェブサーバとしての機能を有する。ウェブサーバ部11は、外部アクセス制限部111と、ウェブサーバ処理部112とを含む。外部アクセス制限部111は、内部端末による外部端末用のアプリケーションへのアクセスを制限する。例えば、外部アクセス制限部111は、パケット分配部14によって内部端末からのアクセス要求が分配された際に、内部端末用のアプリケーション(のURL)へのアクセス要求のみ許可し、それ以外は拒否(禁止)する。ウェブサーバ処理部112は、ウェブサーバとしての処理を実行する。具体的には、外部アクセス制限部111によってアクセスが拒否された場合や、メンテナンス等によりアプリケーションやデータベースサーバ2にアクセスできない場合に、メッセージを含むウェブページを記憶部13から読み出し、アクセス要求元の内部端末に送信する。また、外部アクセス制限部111によってアクセスが許可され、且つ、アプリケーションにアクセス可能な場合に、アプリケーションサーバ部12にアクセス要求を転送する。アプリケーションサーバ部12からアプリケーション実行結果を含むウェブページが応答として渡されると、ウェブサーバ処理部112は、該ウェブページをアクセス要求の送信元の内部端末に送信する。
【0034】
アプリケーションサーバ部12は、アプリケーションサーバとしての機能を有する。アプリケーションサーバ部12は、アプリケーション処理部121と、データベースアクセス処理部122とを含む。
【0035】
アプリケーション処理部121は、アクセス要求に含まれるURLに応じたアプリケーションを実行し、実行結果を含むウェブページをアプリケーション処理の要求元(ウェブサーバ処理部112又は外部ウェブサーバ3)に送信する。データベースアクセス処理部122は、アプリケーション処理部121によるアプリケーションプログラムの実行過程において、データベースに関わる処理が発生した場合に、データベースサーバ4に対して該処理の実行を要求し、処理結果を取得する。データベースに関わる処理は、例えば、データベース内の情報の検索や抽出等である。
【0036】
記憶部13には、ウェブページと内部ウェブサーバ1に備えられるアプリケーションの
URLリストが保持されている。記憶部13に保持されるウェブページは、例えば、各アプリケーションによって用いられるログイン画面等を含むウェブページ,メンテナンス等でアクセス不可能な状態であることを通知するSorryページ,アクセス制限によってアクセスが拒否されたこと通知するアクセス不可通知ページ等である。
【0037】
図4は、内部ウェブサーバ1の処理のフローチャートの例である。図4に示されるフローチャートは、内部ウェブサーバ1がネットワークインタフェース107を介してアクセス要求を受信した際に開始される。例えば、図4に示されるフローチャートは、内部ウェブサーバ1の制御部101が内部ウェブサーバプログラムの実行を通じて、ウェブサーバ部11,アプリケーションサーバ部12,及びパケット分配部14として動作することで実行される。
【0038】
S1では、制御部101は、受信したアクセス要求が外部ウェブサーバ3から送信されたものであるか否かを判定する。この判定は、例えば、パケットの送信元IPアドレスを確認することによって行われる。アクセス要求が外部ウェブサーバ3から送信されたものである場合には(S1:Yes)、処理がS6に進む。アクセス要求が外部ウェブサーバ3から送信されたものではない、すなわち、内部端末から送信されたアクセス要求である場合には(S1:No)、処理がS2に進む。
【0039】
S2では、アクセス要求が内部端末から送信されたものであるので、制御部101は、アクセス要求の可否を判定する。アクセス要求の可否は、例えば、記憶部13に保持されるURLリストが参照されて、アクセス要求に含まれるURLが内部用のアプリケーションのURLであるか否かによって判定される。アクセス要求に含まれるURLが内部用のアプリケーションのURLである場合には、アクセス要求が許可される。アクセス要求に含まれるURLが外部用のアプリケーションのURLである場合、及び、アクセス要求に含まれるURLが存在しない場合には、アクセス要求が拒否される。アクセス要求が許可された場合には(S2:Yes)、処理がS4に進む。アクセス要求が拒否された場合には(S2:No)、処理がS3に進む。
【0040】
S3では、アクセス要求を拒否したため、制御部101は、アクセス不可通知ページを記憶部13から読み出し、アクセス要求の送信元(内部端末)に送信する。その後、図4に示される処理が終了する。
【0041】
S4では、アクセス要求を許可したため、制御部101は、要求されるアプリケーションがアクセス可能な状態であるか否かを判定する。要求されるアプリケーションがアクセス可能な状態である場合には(S4:Yes)、処理がS6に進む。例えば、メンテナンス中やエラー発生等で要求されるアプリケーションがアクセス不可能な状態である場合には(S4:No)、処理がS5に進む。
【0042】
S5では、要求されるアプリケーションがアクセス不可能な状態であるので、制御部101は、記憶部13からSorryページを読み出してアクセス要求の送信元(内部端末)に送信する。その後、図4に示される処理が終了する。
【0043】
S6では、アクセス要求が外部ウェブサーバ3から送信されたものである、又は、内部端末から送信されたアクセス要求によって要求されるアプリケーションがアクセス可能であるので、制御部101は、要求されるアプリケーション処理を実行する。S7では、制御部101は、要求されるアプリケーションの実行結果を含むウェブページをアクセス要求の送信元(内部端末又は外部端末)に送信する。その後、図4に示される処理が終了する。
【0044】
S1の処理は、パケット分配部14に相当する。S2の処理は、外部アクセス制限部111に相当する。S3−S5の処理は、ウェブサーバ処理部112に相当する。S6の処理は、アプリケーション処理部121及びデータベースアクセス処理部122に相当する。S7の処理は、アプリケーション処理部121(外部ウェブサーバからアクセス要求時)又はウェブサーバ処理部112(内部端末からアクセス要求時)に相当する。
【0045】
<外部ウェブサーバ>
外部ウェブサーバ3は、例えば、汎用のコンピュータ,又は専用のコンピュータである。外部ウェブサーバ3のハードウェア構成は、内部ウェブサーバ1とほぼ同じであるため、図2を参照し、共通する部分の説明は省略する。外部ウェブサーバ3は、制御部301,入力装置303,出力装置304,補助記憶装置305,可搬記録媒体駆動装置306,及びネットワークインタフェース307を備え、これらがバス309により互いに電気的に接続されている情報処理装置である。
【0046】
補助記憶装置305には、例えば、オペレーティングシステム(OS),外部ウェブサーバプログラム,その他様々なアプリケーションプログラムが保持される。
【0047】
なお、外部ウェブサーバ3のハードウェア構成は、ウェブシステム100の構成によって適宜変更(置換,追加,削除)可能である。例えば、外部ウェブサーバ3は、入力装置303や出力装置304を含まなくてもよい。
【0048】
図5は、外部ウェブサーバ3の機能ブロックの例を示す図である。外部ウェブサーバ3の制御部301は、外部ウェブサーバプログラムを実行することによって、内部アクセス制限部31,ウェブサーバ処理部32,変換部33,クライアント処理部34,及びパケット分配部37として動作する。外部ウェブサーバ3はさらに記憶部36を含む。記憶部36は、例えば、外部ウェブサーバプログラムのインストール時に、予め補助記憶装置305の記憶領域に作成される。
【0049】
パケット分配部37は、受信パケットを分配する。例えば、受信パケットが外部ウェブサーバ3へのアクセス要求である場合には、パケット分配部37は、内部アクセス制御部31に受信パケットを分配する。例えば、受信パケットが戻りパケットである場合には、パケット分配部37は、クライアント処理部34に受信パケットを分配する。戻りパケットとは、外部ウェブサーバ3から送信されたパケットに対する応答パケットのことであり、例えば、外部ウェブサーバ3から内部ウェブサーバ1に送信されたアクセス要求に対するウェブページのパケットである。
【0050】
内部アクセス制限部31は、外部端末から内部用アプリケーションへのアクセスを制限する。例えば、内部アクセス制限部31は、パケットを受信した際に、アクセスリストを用いて、外部端末から内部のアドレスへのアクセスを拒否(禁止)する。例えば、内部部アクセス制限部31は、パケット分配部37によって外部端末からのアクセス要求が分配された際に、外部端末用のアプリケーション(のURL)へのアクセス要求のみ許可し、それ以外は拒否(禁止)する。
【0051】
ウェブサーバ処理部32は、内部アクセス制限部31によって許可されたアクセス要求によって要求される、内部ウェブサーバ1内のアプリケーションがアクセス可能な状態か否かを判定する。例えば、メンテナンスやエラー等で要求されるアプリケーションがアクセス不可能な場合には、ウェブサーバ処理部32は、アクセス要求を拒否する。要求されるアプリケーションがアクセス可能な場合には、ウェブサーバ処理部32は、アクセス要求を許可する。
【0052】
さらに、ウェブサーバ処理部32は、内部アクセス制限部31によってアクセス要求が拒否された場合や、アクセス要求によって要求されるアプリケーションがアクセス不可能な状態である場合に、メッセージを含むウェブページを記憶部36から読み出し、アクセス要求の送信元の外部端末に送信する。具体的には、ウェブサーバ処理部32は、内部アクセス制限部31によって拒否されたアクセス要求の送信元の外部端末に、アクセス不可を通知するアクセス不可通知ページを記憶部36から読み出して送信する。また、アクセス要求によって要求されるアプリケーションがアクセス不可能な場合には、ウェブサーバ処理部32は、Sorryページを記憶部36から読み出し、アクセス要求の送信元の外部端末に送信する。
【0053】
変換部33は、内部アクセス制限部31によって許可され、要求するアプリケーションがアクセス可能な状態であるアクセス要求について変換処理を行う。例えば、変換部33は、アクセス要求の宛先IPアドレスを外部ウェブサーバ3のIPアドレスから内部ウェブサーバ1のIPアドレスへ変換する。変換部33は、アクセス要求の送信元IPアドレスをアクセス要求の送信元端末(外部端末)のIPアドレスから外部ウェブサーバ3のIPアドレスに変換する。さらに、変換部33は、アクセス要求の宛先ポート番号を変換する。例えば、外部端末から外部ウェブサーバ3へのアクセスは、インターネットを経由するのでセキュリティの高いHTTPS(ポート番号443)によって行われる。また、例えば、外部ウェブサーバ3がアプリケーションサーバとしての内部ウェブサーバ1にアクセスする際には、JBOSS(8009)によって行われる。このような場合には、変換部33は、アクセス要求の宛先ポート番号を443から8009に変換する。アクセス要求である受信パケットの変換前と変換後との変換情報は、例えば、主記憶装置301b内の作業領域に作成されるキャッシュに格納される。
【0054】
クライアント処理部34は、アプリケーションサーバとしての内部ウェブサーバ1に対してアプリケーションの要求を行う処理部である。具体的には、クライアント処理部34は、変換部33によって変換処理が実行されたアクセス要求を内部ウェブサーバ1に送信し、内部ウェブサーバ1から、アプリケーションの実行結果を含むウェブページを取得する。取得されたウェブページは、変換部33によって、キャッシュされた変換情報を用いて変換され、ウェブサーバ処理部32によって、アクセス要求の送信元である外部端末に送信される。
【0055】
記憶部36には、ウェブページと、内部ウェブサーバ1が保持するアプリケーションのURLリストが保持されている。記憶部36に保持されるウェブページは、例えば、メンテナンス等でアクセス不可能な状態であることを通知するSorryページ,アクセス制限によってアクセスが拒否されたこと通知するアクセス不可通知ページ等である。記憶部36に保持されるSorryページ,アクセス不可通知ページ,URLリストは、内部ウェブサーバ1の記憶部13に保持されるものと同一である。
【0056】
図6は、外部ウェブサーバ3の処理のフローチャートの例である。図6に示されるフローチャートは、外部ウェブサーバ3がパケットを受信すると開始される。例えば、図6に示されるフローチャートは、外部ウェブサーバ3の制御部301が外部ウェブサーバプログラムの実行を通じて、内部アクセス制限部31,ウェブサーバ処理部32,変換部33,ウェブクライアント処理部34,およびパケット分配部37として動作することで実行される。
【0057】
S11では、制御部301は、受信パケットが内部ウェブサーバ1からの戻りパケットであるか否かを判定する。この判定は、例えば、キャッシュされた変換情報を参照したり、パケットヘッダに含まれる情報(IPアドレスやポート番号等)を参照したりすることで行われる。受信パケットが戻りパケットである場合には(S11:Yes)、処理がS
16に進む。受信パケットが内部ウェブサーバ1からの戻りパケットではない場合には(S11:No)、処理がS12に進む。
【0058】
S12では、受信パケットが戻りパケットではない、すなわち、受信パケットが外部端末からのアクセス要求であるので、制御部301は、アクセス要求の可否を判定する。アクセス要求の可否は、例えば、記憶部36に保持されるURLリストが参照されて、アクセス要求に含まれるURLが外部用のアプリケーションのURLであるか否かによって判定される。アクセス要求に含まれるURLが外部用のアプリケーションのURLである場合には、アクセス要求が許可される。アクセス要求に含まれるURLが内部用のアプリケーションのURLである場合、及び、アクセス要求に含まれるURLがURLリストに存在しない場合には、アクセス要求が拒否される。アクセス要求が許可された場合には(S12:Yes)、処理がS14に進む。アクセス要求が拒否された場合には(S12:No)、処理がS13に進む。
【0059】
S13では、アクセス要求を拒否したため、制御部301は、アクセス不可通知ページを記憶部36から読み出し、アクセス要求の送信元(外部端末)に送信する。その後、図6に示される処理が終了する。
【0060】
S14では、アクセス要求を許可したため、制御部301は、アクセス要求によって要求されるアプリケーションがアクセス可能な状態であるか否かを判定する。アクセス要求によって要求されるアプリケーションがアクセス可能な状態であるか否かは、例えば、内部ウェブサーバ1から予め通知を受けているか否かで判定してもよいし、内部ウェブサーバ1に問い合わせのパケットを送信し応答がなければアクセス不可能な状態であると判定してもよい。アクセス要求によって要求されるアプリケーションがアクセス可能な状態である場合には(S14:Yes)、処理がS16に進む。アクセス要求によって要求されるアプリケーションがアクセス不可能な状態である場合には(S14:No)、処理がS15に進む。
【0061】
S15では、制御部301は、アクセス要求によって要求されるアプリケーションがアクセス不可能な状態であるので、Sorryページを記憶部36から読み出してアクセし要求の送信元(外部端末)に送信する。その後、図6に示される処理が終了する。
【0062】
S16では、制御部301は、受信パケットについて上述の変換処理を実行する。S17では、制御部301は、変換後の宛先に受信パケットを送信する。具体的には、S16及びS17の処理は、受信パケットが内部ウェブサーバ1からの戻りパケットである場合には、制御部301は、変換情報に従って受信パケットを変換し(宛先はアクセス要求の送信元の外部端末となる)、外部端末に受信パケットを送信する。受信パケットが外部端末からのアクセス要求である場合には、S16及びS17の処理は、制御部301は、宛先IPアドレスを内部ウェブサーバ1のIPアドレスに、送信元IPアドレスを外部ウェブサーバのIPアドレスに、宛先ポートを8009に変換して、変換した受信パケットを内部ウェブサーバ1に送信する。その後、図6に示される処理が終了する。
【0063】
S11の処理はパケット分配部37に相当する。S12の処理は、内部アクセス制限部31に相当する。S13−15の処理は、ウェブサーバ処理部32に相当する。S16及びS17の処理は、変換部33及びウェブクライアント部34、又は、変換部33及びウェブサーバ処理部32に相当する。
【0064】
<動作例>
図7は、通常時のウェブシステム100へのウェブ通信のシーケンスの例を示す図である。図7のOP1からOP4は、内部端末から内部ウェブサーバ1にアクセス要求が送信
された場合のシーケンスが示される。
【0065】
OP1では、内部端末がウェブブラウザから内部ウェブサーバ1へアクセス要求を送信する。内部端末と内部ウェブサーバ1とのウェブ通信は、内部ネットワーク(イントラネット)内で行われ、セキュリティは保たれているので、例えば、HTTP(ポート番号80)を用いて行われる。
【0066】
OP2では、内部ウェブサーバ1は、内部端末からアクセス要求を受信し、アクセス要求によって要求されるアプリケーションを実行する(S1,S2,S4,S6)。アプリケーション実行に伴って、内部ウェブサーバ1は、データベースサーバ2に所定の情報の読み出しを要求する。OP3では、データベースサーバ2が内部ウェブサーバ1に対して要求された情報を送信する。OP2及びOP3の内部ウェブサーバ1とデータベースサーバ2との間の情報のやり取りには、例えば、Microsoft−DS(ポート番号445)等のファイル共有プロトコルやオラクルのデータベースへの接続機能(ポート番号1521)が用いられる。
【0067】
OP4では、内部ウェブサーバ1は、アプリケーションの実行結果を含むウェブページをアクセス要求の送信元の内部端末に送信する(S7)。なお、アプリケーションの実行を必要としない場合には、OP2及びOP3の処理は省略される。
【0068】
次に、図7のOP11からOP16は、インターネットを介して外部端末から外部ウェブサーバ3にアクセス要求が送信された場合のシーケンスである。
【0069】
OP11では、外部端末がウェブブラウザから外部ウェブサーバ3に対するアクセス要求を送信する。外部端末と外部ウェブサーバ3との間のウェブ通信は、インターネットを介して行われるので、セキュリティを守るために、例えば、HTTPS(ポート番号443)を用いて行われる。
【0070】
OP12では、外部ウェブサーバ3は、外部端末からアクセス要求を受信し、アクセス要求に上述の変換処理を施して、変換したアクセス要求を内部ウェブサーバ1に送信する(S11,S12,S14,S16,S17)。外部ウェブサーバ3と内部ウェブサーバ1との間のウェブ通信は、例えば、JBOSS(ポート番号8009)によって行われる。
【0071】
OP13では、内部ウェブサーバ1は、外部ウェブサーバからのアクセス要求を受信し、アクセス要求によって要求されるアプリケーションを実行する(S1,S6)。アプリケーション実行に伴って、内部ウェブサーバ1は、データベースサーバ2に所定の情報の読み出しを要求する(ポート番号1521又は445)。OP14では、データベースサーバ2が内部ウェブサーバ1に対して要求された情報を送信する。
【0072】
OP15では、内部ウェブサーバ1は、アプリケーションの実行結果を含むウェブページを外部ウェブサーバ3に送信する(S7)。OP16では、外部ウェブサーバ3は、内部ウェブサーバ1からアプリケーションの実行結果を含むウェブページを受信し、変換処理を実行して、アクセス要求の送信元の内部端末に送信する(S11,S16,S17)。
【0073】
図8は、アプリケーションがメンテナンスによりアクセス不可能な状態である場合のシーケンスを示す図である。図8のOP21からOP22は、内部端末から内部ウェブサーバ1にアクセス要求が送信された場合のシーケンスが示される。
【0074】
OP21では、内部端末がウェブブラウザから内部ウェブサーバ1へアクセス要求を送信する(ポート番号80)。
【0075】
OP22では、内部ウェブサーバ1は、内部端末からアクセス要求を受信する。しかしながら、要求されたアプリケーションがメンテナンスによりアクセス不可能な状態であるため、内部ウェブサーバ1は、Sorryページをアクセス要求の送信元の内部端末に送信する(S1、S2,S4,S5)。
【0076】
次に、図8のOP31からOP32は、インターネットを介して外部端末から外部ウェブサーバ3にアクセス要求が送信された場合のシーケンスである。
【0077】
OP31では、外部端末がウェブブラウザから外部ウェブサーバ3に対するアクセス要求を送信する(ポート番号443)。
【0078】
OP32では、外部ウェブサーバ3は、外部端末からアクセス要求を受信する。しかしながら、要求されたアプリケーションはメンテナンスによりアクセス不可能な状態であるため、外部ウェブサーバ3は、Sorryページをアクセス要求の送信元の外部端末に送信する(S11、S12,S14,S15)。
【0079】
なお、アクセス要求がアクセス制限により拒否された場合も、OP21−OP22,又は、OP31−OP32と同じシーケンスになる。
【0080】
<第1実施形態の作用効果>
第1実施形態では、DMZに外部向けの外部ウェブサーバ3が配置され、外部ウェブサーバ3がインターネットを介して受信される外部端末からのアクセス要求を内部ウェブサーバ1に中継する。内部ウェブサーバ1はアプリケーションサーバとして動作し、内部端末用と外部端末用とに分けてアプリケーションを保持する。また、外部ウェブサーバ3は、外部端末が内部用のアプリケーションにアクセスできないようにアクセス制限を行う。これによって、健康保険組合ネットワークをインターネット等の公衆のネットワークから隔離しつつ、インターネットを介して事業者や加入者に健康保険組合のウェブサービスを提供することができ、紙への印刷による通知に比べて、紙及び配送のコストを削減することができる。
【0081】
また、第1実施形態では、外部ウェブサーバ3は、内部ウェブサーバ1が保持するSorryページとアクセス不可通知ページと同一のウェブページを保持する。外部ウェブサーバ3は、外部端末から受信したアクセス要求を拒否した場合や、要求されたアプリケーションがアクセス不可能な状態である場合などの、外部端末からのアクセス要求を内部ウェブサーバ1に転送できない場合に、適切なウェブページをアクセス要求の送信元の外部端末に送信する。内部で予想されるアクセス数と外部からの予想されるアクセス数とでは、外部からの予想されるアクセス数の方がはるかに多い。このため、外部ウェブサーバ3が内部ウェブサーバ1のウェブサーバとしての処理を一部行うことによって、内部ウェブサーバ1の負荷を分散することができる。
【符号の説明】
【0082】
1 内部ウェブサーバ
2 データベースサーバ
3 外部ウェブサーバ
4 DNSサーバ
11 ウェブサーバ部
12 アプリケーションサーバ部
13,36 記憶部
14,37 パケット分配部
31 内部アクセス制限部
32,112 ウェブサーバ処理部
33 変換部
34 クライアント処理部
100 ウェブシステム
110 健康保険組合システム
111 外部アクセス制限部
120 外部システム
121 アプリケーション処理部
122 データベースアクセス処理部
【特許請求の範囲】
【請求項1】
プライベートネットワークに接続する内部サーバと、DMZ(DeMilitarized Zone)に配置される外部サーバと、を含む情報処理システムであって、
前記内部サーバは、
複数のアプリケーションプログラムと、
前記プライベートネットワークに接続する内部端末から送信されるアクセス要求及び前記外部サーバから送信されるアクセス要求に応じたアプリケーションプログラムを実行するアプリケーション処理部を備え、
前記外部サーバは、
公衆ネットワークを介して外部端末から送信されるアクセス要求を前記内部サーバ宛てに変換する変換部と、
前記変換されたアクセス要求を前記内部サーバに送信する第1の送信部と、
前記内部サーバから前記外部端末からの前記アクセス要求に応じたアプリケーションプログラムの実行結果を取得する取得部と、
前記実行結果を前記外部端末に前記公衆ネットワークを介して送信する第2の送信部と、
所定のウェブページを保持する記憶部と、を備え、
前記外部サーバの前記第2の送信部は、前記第1の送信部が前記外部端末から受信したアクセス要求を前記内部サーバに送信できない場合に、前記記憶部に保持される前記所定のウェブページを前記外部端末に送信する情報処理システム。
【請求項2】
前記複数のアプリケーションプログラムは、内部端末用と外部端末用とに分けられており、
前記アプリケーション処理部は、前記内部端末からのアクセス要求に対しては前記内部用のアプリケーションプログラムを実行し、前記外部サーバからのアクセス要求に対しては、前記外部端末用のアプリケーションプログラムを実行する、
請求項1に記載の情報処理システム。
【請求項3】
前記外部サーバは、
前記外部端末からのアクセス要求に含まれるアドレス情報に基づいて、該アクセス要求を前記内部サーバに送信可能か否かを判定する制御部を
さらに備える請求項1又は2に記載の情報処理システム。
【請求項4】
前記制御部は、前記外部端末からのアクセス要求に含まれるアドレス情報が前記内部端末用のアプリケーションプログラムを示す場合に、前記アクセス要求を前記内部サーバに送信できないことを判定する
請求項3に記載の情報処理システム。
【請求項5】
前記内部サーバは、
前記内部端末からのアクセス要求に含まれるアドレス情報に基づいて、該アクセス要求に応じたアプリケーションプログラムの実行の可否を判定する判定部を
さらに備える請求項1から4のいずれか1項に記載の情報処理システム。
【請求項6】
前記判定部は、前記内部端末からのアクセス要求に含まれるアドレス情報が前記外部端末用のアプリケーションプログラムを示す場合に、前記アクセス要求に応じたアプリケーションプログラムの実行の拒否を判定する
請求項5に記載の情報処理システム。
【請求項7】
前記内部サーバは、
前記外部サーバに保持される前記所定のウェブページを保持する記憶部と、
前記内部端末からのアクセス要求に応じたアプリケーションを実行できない場合に、前記記憶部に保持される前記所定のウェブページを前記内部端末に送信する送信部と、
をさらに備える請求項1から6のいずれか一項に記載の情報処理システム。
【請求項8】
プライベートネットワークに接続し、アプリケーションを実行可能な内部サーバと、DMZ(DeMilitarized Zone)に配置される外部サーバと、を含む情報処理システムにおける前記外部サーバとしての情報処理装置であって、
公衆ネットワークを介して外部端末から送信されるアクセス要求を前記内部サーバ宛てに変換する変換部と、
前記変換されたアクセス要求を前記内部サーバに送信する第1の送信部と、
前記内部サーバから前記アクセス要求に応じたアプリケーションプログラムの実行結果を取得する取得部と、
前記実行結果を前記外部端末に前記公衆ネットワークを介して送信する第2の送信部と、
所定のウェブページを保持する記憶部と、を備え、
前記第2の送信部は、前記第1の送信部が前記外部端末から受信したアクセス要求を前記内部サーバに送信できない場合に、前記記憶部に保持される前記所定のウェブページを前記外部端末に送信する
情報処理装置。
【請求項9】
プライベートネットワークに接続する内部サーバと、DMZ(DeMilitarized Zone)に配置される外部サーバと、を含む情報処理システムにおける前記内部サーバとしての情報処理装置であって、
複数のアプリケーションプログラムと、
前記プライベートネットワークに接続する内部端末から送信されるアクセス要求及び前記外部サーバから送信されるアクセス要求に応じたアプリケーションプログラムを実行するアプリケーション処理部と、
所定のウェブページを保持する記憶部と、
前記内部端末からのアクセス要求に応じたアプリケーションを実行できない場合に、前記記憶部に保持される前記所定のウェブページを前記内部端末に送信する送信部と、
を備える情報処理装置。
【請求項10】
プライベートネットワークに接続し、複数のアプリケーションプログラムを保持する内部サーバと、DMZ(DeMilitarized Zone)に配置され、所定のウェブページを保持する記憶部を備える外部サーバと、を含む情報処理システムにおいて実行される情報処理方法であって、
前記外部サーバが、
公衆ネットワークを介して外部端末から送信されるアクセス要求を前記内部サーバ宛てに変換する変換ステップと、
前記変換されたアクセス要求を前記内部サーバに送信する第1の送信ステップと、
前記内部サーバが、
前記プライベートネットワークに接続する内部端末から送信されるアクセス要求及び前記外部サーバから送信されるアクセス要求に応じたアプリケーションプログラムを実行するアプリケーション実行ステップと、
前記外部サーバが、
前記内部サーバから前記外部端末からの前記アクセス要求に応じたアプリケーションプログラムの実行結果を取得する取得ステップと、
前記実行結果を前記外部端末に前記公衆ネットワークを介して送信する第2の送信ステップと、
を含む情報処理方法であって、
前記外部サーバが、前記第1の送信ステップにおいて、前記外部端末から受信したアクセス要求を前記内部サーバに送信できない場合に、前記記憶部に保持される前記所定のウェブページを前記外部端末に送信する
情報処理方法。
【請求項1】
プライベートネットワークに接続する内部サーバと、DMZ(DeMilitarized Zone)に配置される外部サーバと、を含む情報処理システムであって、
前記内部サーバは、
複数のアプリケーションプログラムと、
前記プライベートネットワークに接続する内部端末から送信されるアクセス要求及び前記外部サーバから送信されるアクセス要求に応じたアプリケーションプログラムを実行するアプリケーション処理部を備え、
前記外部サーバは、
公衆ネットワークを介して外部端末から送信されるアクセス要求を前記内部サーバ宛てに変換する変換部と、
前記変換されたアクセス要求を前記内部サーバに送信する第1の送信部と、
前記内部サーバから前記外部端末からの前記アクセス要求に応じたアプリケーションプログラムの実行結果を取得する取得部と、
前記実行結果を前記外部端末に前記公衆ネットワークを介して送信する第2の送信部と、
所定のウェブページを保持する記憶部と、を備え、
前記外部サーバの前記第2の送信部は、前記第1の送信部が前記外部端末から受信したアクセス要求を前記内部サーバに送信できない場合に、前記記憶部に保持される前記所定のウェブページを前記外部端末に送信する情報処理システム。
【請求項2】
前記複数のアプリケーションプログラムは、内部端末用と外部端末用とに分けられており、
前記アプリケーション処理部は、前記内部端末からのアクセス要求に対しては前記内部用のアプリケーションプログラムを実行し、前記外部サーバからのアクセス要求に対しては、前記外部端末用のアプリケーションプログラムを実行する、
請求項1に記載の情報処理システム。
【請求項3】
前記外部サーバは、
前記外部端末からのアクセス要求に含まれるアドレス情報に基づいて、該アクセス要求を前記内部サーバに送信可能か否かを判定する制御部を
さらに備える請求項1又は2に記載の情報処理システム。
【請求項4】
前記制御部は、前記外部端末からのアクセス要求に含まれるアドレス情報が前記内部端末用のアプリケーションプログラムを示す場合に、前記アクセス要求を前記内部サーバに送信できないことを判定する
請求項3に記載の情報処理システム。
【請求項5】
前記内部サーバは、
前記内部端末からのアクセス要求に含まれるアドレス情報に基づいて、該アクセス要求に応じたアプリケーションプログラムの実行の可否を判定する判定部を
さらに備える請求項1から4のいずれか1項に記載の情報処理システム。
【請求項6】
前記判定部は、前記内部端末からのアクセス要求に含まれるアドレス情報が前記外部端末用のアプリケーションプログラムを示す場合に、前記アクセス要求に応じたアプリケーションプログラムの実行の拒否を判定する
請求項5に記載の情報処理システム。
【請求項7】
前記内部サーバは、
前記外部サーバに保持される前記所定のウェブページを保持する記憶部と、
前記内部端末からのアクセス要求に応じたアプリケーションを実行できない場合に、前記記憶部に保持される前記所定のウェブページを前記内部端末に送信する送信部と、
をさらに備える請求項1から6のいずれか一項に記載の情報処理システム。
【請求項8】
プライベートネットワークに接続し、アプリケーションを実行可能な内部サーバと、DMZ(DeMilitarized Zone)に配置される外部サーバと、を含む情報処理システムにおける前記外部サーバとしての情報処理装置であって、
公衆ネットワークを介して外部端末から送信されるアクセス要求を前記内部サーバ宛てに変換する変換部と、
前記変換されたアクセス要求を前記内部サーバに送信する第1の送信部と、
前記内部サーバから前記アクセス要求に応じたアプリケーションプログラムの実行結果を取得する取得部と、
前記実行結果を前記外部端末に前記公衆ネットワークを介して送信する第2の送信部と、
所定のウェブページを保持する記憶部と、を備え、
前記第2の送信部は、前記第1の送信部が前記外部端末から受信したアクセス要求を前記内部サーバに送信できない場合に、前記記憶部に保持される前記所定のウェブページを前記外部端末に送信する
情報処理装置。
【請求項9】
プライベートネットワークに接続する内部サーバと、DMZ(DeMilitarized Zone)に配置される外部サーバと、を含む情報処理システムにおける前記内部サーバとしての情報処理装置であって、
複数のアプリケーションプログラムと、
前記プライベートネットワークに接続する内部端末から送信されるアクセス要求及び前記外部サーバから送信されるアクセス要求に応じたアプリケーションプログラムを実行するアプリケーション処理部と、
所定のウェブページを保持する記憶部と、
前記内部端末からのアクセス要求に応じたアプリケーションを実行できない場合に、前記記憶部に保持される前記所定のウェブページを前記内部端末に送信する送信部と、
を備える情報処理装置。
【請求項10】
プライベートネットワークに接続し、複数のアプリケーションプログラムを保持する内部サーバと、DMZ(DeMilitarized Zone)に配置され、所定のウェブページを保持する記憶部を備える外部サーバと、を含む情報処理システムにおいて実行される情報処理方法であって、
前記外部サーバが、
公衆ネットワークを介して外部端末から送信されるアクセス要求を前記内部サーバ宛てに変換する変換ステップと、
前記変換されたアクセス要求を前記内部サーバに送信する第1の送信ステップと、
前記内部サーバが、
前記プライベートネットワークに接続する内部端末から送信されるアクセス要求及び前記外部サーバから送信されるアクセス要求に応じたアプリケーションプログラムを実行するアプリケーション実行ステップと、
前記外部サーバが、
前記内部サーバから前記外部端末からの前記アクセス要求に応じたアプリケーションプログラムの実行結果を取得する取得ステップと、
前記実行結果を前記外部端末に前記公衆ネットワークを介して送信する第2の送信ステップと、
を含む情報処理方法であって、
前記外部サーバが、前記第1の送信ステップにおいて、前記外部端末から受信したアクセス要求を前記内部サーバに送信できない場合に、前記記憶部に保持される前記所定のウェブページを前記外部端末に送信する
情報処理方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2012−221255(P2012−221255A)
【公開日】平成24年11月12日(2012.11.12)
【国際特許分類】
【出願番号】特願2011−86744(P2011−86744)
【出願日】平成23年4月8日(2011.4.8)
【出願人】(309006372)株式会社大和総研ビジネス・イノベーション (17)
【Fターム(参考)】
【公開日】平成24年11月12日(2012.11.12)
【国際特許分類】
【出願日】平成23年4月8日(2011.4.8)
【出願人】(309006372)株式会社大和総研ビジネス・イノベーション (17)
【Fターム(参考)】
[ Back to top ]