情報処理制限システム、情報処理制限装置、および情報処理制限プログラム
【課題】情報サービスを利用するときに、情報漏洩を未然に防止することのできる情報処理制限システム、情報処理制限装置、および情報処理制限プログラムを提供する。
【解決手段】情報処理サービスを提供する情報処理サーバ計算機103と、情報処理サーバ計算機103に接続し、情報処理サービスを利用する端末101とを備え、計算機101は、情報処理サービスを利用するときに、当該情報処理サービスの利用に要求されるセキュリティ状態に基づいて、当該情報処理サービスの利用を制限する。
【解決手段】情報処理サービスを提供する情報処理サーバ計算機103と、情報処理サーバ計算機103に接続し、情報処理サービスを利用する端末101とを備え、計算機101は、情報処理サービスを利用するときに、当該情報処理サービスの利用に要求されるセキュリティ状態に基づいて、当該情報処理サービスの利用を制限する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理装置(以下、計算機と呼ぶ)の提供する情報処理機能を制限する方法に関連し、特に計算機の状態により使用可能な情報処理機能を制限する方法および装置に関する。
【背景技術】
【0002】
近年のネットワーク社会の急速な進展により、ネットワーク上のセキュリティが大きな問題となってきている。組織におけるネットワーク管理や情報管理上の問題としては、ノートパソコンの持込みや不正ソフトウェアの利用がある。自宅や出張先などの組織外でコンピュータウイルスに感染したノートパソコンを組織内ネットワークに接続することで、コンピュータウイルスの蔓延や、ネットワークダウンなどの被害を与えてしまうという問題である。また、使用の禁止されているソフトウェアを組織内で使用し、組織の機密情報を故意または不注意で外部に公開してしまい、情報を漏洩してしまうという事例も発生している。このような被害を食い止めるため、従来のファイアウォールや不正アクセス検知システムなどのネットワーク単位の対策に加えて、利用者が使用する計算機(以下、端末と呼ぶ)による情報漏洩を防ぐためのセキュリティ強化が求められている。
【0003】
強化策の一つとして、ウイルス対策の不備や、禁止ソフトウェアがインストールされている端末が組織内ネットワークにおいて通信することを制限する検疫システムがある。検疫システムの目的は、組織のポリシー(ウイルス対策ソフトウェアが稼動していること、最新の不具合修正がなされていること、登録された端末であることなど、端末の状態に関する守るべき規則)を遵守していない端末をネットワークに接続させないことであり、以下の(1)乃至(3)のような機能を組み合わせることで構成される。
(1)検査機能:端末の状態がポリシーに合致したものになっているかを検査する機能である。
(2)隔離機能:ポリシーを遵守していない端末を、ネットワークに接続不能にしたり、特定のネットワークにしか接続できないようにしたりする機能である。
(3)治療機能:ポリシーに合致するように端末の不具合修正、設定変更等をおこなう機能である。
【0004】
例えば、ウイルス対策に不備があった場合に、端末からのネットワークアクセスを制限する技術が開示されている(特許文献1参照)。検疫システムにより、組織ネットワーク接続前に端末の状態を確認できるようになり、端末のセキュリティ不備により組織ネットワークに接続した他の計算機やネットワークへの影響を抑えることが出来るようになる。
【0005】
また、端末からの情報漏洩を防ぐセキュリティ強化策として、端末上にある情報と情報処理機能を自組織や委託先にある情報センタに集約し、集約した情報と情報処理機能をリモートから使用することで、端末からの情報漏洩防止、端末の管理コストの軽減を図るセンタ集約型情報処理システムも実用化されつつある。例えば、端末からはキーボードやマウスなどのユーザ入力情報を情報センタの計算機に送り、情報センタの計算機ではユーザ入力にしたがって処理した結果の画面情報や音声情報のみを端末に送るようにすることで、情報自体を端末に送ることなく情報処理できるようになる。例えば、耐タンパデバイスをユーザに配布し、デバイス内の認証情報を用いてネットワーク経由でリモートの計算機にアクセスし遠隔操作することで、操作した端末内に残る機密情報を低減するでき、ユーザの端末利用時のセキュリティを向上させる方法が開示されている(特許文献2参照)。
【0006】
さらに、情報と情報処理機能を使用するにあたり、情報処理サービス提供ベンダのサービスを活用することもできる。例えば、顧客組織の情報処理機能をWebベースで提供する情報処理サービス提供ベンダのサービスを使用する場合、端末には、Webブラウザ等のプラットフォームソフトウェアのみを事前にインストールしておく。端末のプラットフォームソフトウェアでサービスを提供する計算機にアクセスすると、端末上で動作するソフトウェアが計算機から端末にダウンロードされ、ダウンロードされたソフトウェアと計算機との連携により、情報処理が実施される。Webベースとすることで、情報処理機能ごとの情報処理ソフトウェアを端末にインストールしなくてもよく、端末上の情報処理ソフトウェアを管理する必要が無くなり、端末の管理コストの軽減が期待できる。また、情報は情報処理サービスを提供する計算機で管理するため、端末からの情報漏洩がしにくくなることが期待できる。
【特許文献1】特開2005−216253号公報
【特許文献2】特開2005−235159号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
センタ集約型情報処理システムや、情報処理サービス提供ベンダのサービスを使用した情報処理システムを構築しても、ユーザの使用する端末からの情報漏洩リスクがなくなるわけではない。例えば、端末にキーボード入力情報を盗み出すキーロガーや、画面情報を盗み出すスパイウェアが入っていた場合、情報漏洩が発生しうる。また、端末で、複数の情報処理サービスを使用していた場合、情報を管理している情報処理サービスから他の情報処理サービスへ端末のプラットフォームソフトウェアを経由して情報漏洩が発生しうる。このような端末からの情報漏洩を防止するために、端末の情報漏洩対策状態を確認する検疫システムを導入することが考えられる。
【0008】
しかしながら、従来の検疫システムは、ネットワーク接続開始前にネットワークへのアクセスを制御する機能しか有しておらず、情報処理サービスを提供する情報処理サーバに接続後、情報処理サービスの利用を開始する前に、端末の状態を確認することができない。このため、情報処理サーバに接続後、情報処理や情報処理サービスを利用開始する直前に、問題のあるソフトウェアや情報処理サービスが稼動している状態になっていると、情報漏洩を起こしてしまうおそれがあった。また、情報処理や情報処理サービスを使用中に、他の情報処理の実行や情報処理サービスの利用を制限することはできなので、例えば他の情報処理や情報処理サービスを経由して、端末内に一時的に保存された重要データの情報漏洩を防ぐことは難しかった。
【0009】
本発明は前記問題点に鑑みてなされたものであり、その目的とするところは、情報サービスを利用するときに、情報漏洩を未然に防止することのできる情報処理制限システム、情報処理制限装置、および情報処理制限プログラムを提供することにある。
【課題を解決するための手段】
【0010】
本発明は前記目的を達成するために、情報処理サービスを提供するサーバ計算機と、前記サーバ計算機に接続し、前記情報処理サービスを利用する計算機とを備え、前記計算機は、前記情報処理サービスを利用するときに、該情報処理サービスの利用に要求されるセキュリティ状態に基づいて、該情報処理サービスの利用を制限する制限部を有する情報処理制限システムを提案する。
【0011】
また、本発明は前記目的を達成するために、情報処理サービスを提供するサーバ計算機に接続し、該情報処理サービスを利用する情報処理制限装置であって、前記情報処理サービスを利用するときに、該情報処理サービスの利用に要求されるセキュリティ状態に基づいて、該情報処理サービスの利用を制限する制限部を備える情報処理制限装置を提案する。
【0012】
また、本発明は前記目的を達成するために、情報処理サービスを提供するサーバ計算機に接続し、該情報処理サービスを利用する計算機により実行される情報処理制限プログラムであって、前記情報処理サービスを利用するときに、該情報処理サービスの利用に要求されるセキュリティ状態に基づいて、該情報処理サービスの利用を制限する制限ステップを備える情報処理制限プログラムを提案する。
【0013】
本発明によれば、情報処理サービスを利用するときに、情報処理サービスの利用に要求されるセキュリティ状態に基づいて、当該情報処理サービスの利用が制限されるので、情報処理サービスを提供するサーバ計算機に接続後、当該情報処理サービスを利用する直前に、当該情報処理サービスの利用を制限することができる。
【発明の効果】
【0014】
本発明によれば、情報処理サービスを提供するサーバ計算機に接続後、当該情報処理サービスを利用する直前に、当該情報処理サービスの利用を制限することができる。これにより、情報処理サービスを利用するときに要求されるセキュリティ状態を満たしていないときに、当該情報処理サービスの利用を制限することができ、情報処理サービスの利用による情報漏洩を未然に防止することができる。
【発明を実施するための最良の形態】
【0015】
以下、図面を参照しながら本発明の一実施の形態を詳述する。
【0016】
以下、図1乃至図9を用いて本発明の第1実施形態を説明する。本発明の第1実施形態は、端末計算機において情報処理機能(端末内のソフトウェアなどの情報処理や、センタ集約型情報処理システムや情報処理サービスの利用を含む)を実行する際に、情報処理の実行または情報処理サービスの利用開始前の端末計算機の状態確認と、情報処理の実行中または情報処理サービスの利用中に他の情報処理の同時実行又は情報処理サービスの同時利用を制限する方法を、端末計算機内の機能制限を行うプログラムを中心に実現する形態である。
【0017】
まず、図1乃至図3を用いて本発明の第1実施形態に係る情報処理制限システムの構成を説明する。図1は、本発明に係る情報処理制限システムの全体構成を説明する概略構成図である。
【0018】
情報処理制限システム100は、端末計算機(以下、端末と呼ぶ)101と、機能制限管理計算機(以下、管理計算機と呼ぶ)102と、複数の情報処理サーバ103とを備えている。
【0019】
端末101は、ユーザ104が操作する計算機である。端末101は、ネットワーク106を介して情報処理サーバ計算機103に接続し、情報処理サーバ計算機103が提供する情報処理サービスを利用している。また、端末101は、複数の情報処理を同時に実行可能な情報処理機能を備え、情報処理機能は情報処理サービスを利用する際にも実行されている。なお、一般に、「情報処理」は情報処理サービスを利用する際にも実行されるものであるが、本発明においては「情報処理」と「情報処理サービスの利用に伴う情報処理」とを区別し、「情報処理サービスの利用に伴う情報処理」の実行は、情報処理の実行には含まれず、情報処理サービスの利用に含まれるものとする。
【0020】
情報処理サーバ計算機103は、情報処理サーバプログラム109が動作しており、アクセスしてきた端末101に対して情報処理サービスを提供する計算機である。
【0021】
管理計算機102は、機能制限管理プログラム108が動作しており、端末101で実施する後述の機能制限の内容を管理する計算機である。機能制限管理者(以下、管理者と呼ぶ)105は、機能制限管理プログラム108を使用して、機能制限の内容を変更することができる。また、機能制限管理プログラム108は、ネットワーク106を介して機能制限の内容を端末101に送信している。端末101の機能制限プログラム107は、受信した機能制限の内容に従い、機能制限を実施している。
【0022】
図2は、図1に示した端末の構成を説明する構成図である。端末101は、メモリ201と、記憶装置202と、バス203と、プロセッサ204と、I/Oハードウェア205と、通信ハードウェア206と、モニタ207と、キーボード208と、マウス209とから構成されている。
【0023】
プロセッサ204は、プログラムの処理をおこなう装置である。記憶装置202は、ハードディスクや不揮発性メモリなどであり、プログラムやデータを格納する装置である。メモリ201は、実行するプログラムの格納や、一時的なデータの格納をおこなうための記憶装置である。I/Oハードウェア205は、モニタ207への出力とキーボード208とマウス209からの入力を制御する装置である。通信ハードウェア206は、他の計算機との間のネットワーク回線を制御する装置である。
【0024】
記憶装置202には、本実施形態における機能制限方法を実現するためのプログラムと各種データが格納されている。プログラムとしては、OS(Operating System)プログラム210、機能制限端末プログラム107、端末情報処理プログラム212、および情報処理クライアントプログラム211が格納されている。データとしては、確認リストデータ213、制限機能リストデータ214、および同時使用制限機能リストデータ215が格納されている。確認リストデータ213は、端末101の状態を確認する確認項目のリストを保持するデータである。制限機能リストデータ214は、端末での利用制限を行う機能のリストを保持するデータである。同時使用制限機能リストデータ215は、端末での同時利用の制限を行う機能のリストを保持するデータである。
【0025】
メモリ201には、記憶装置202上のOSプログラム210がロードされ、実行されている。OSプログラム210は、I/Oハードウェア204の制御、通信ハードウェア206の制御、記憶装置202からのデータのメモリ201へのロードなどを行っている。また、OSプログラム210は、記憶装置202から、機能制限端末プログラム107、端末情報処理プログラム212、および情報処理クライアントプログラム211をメモリ201にロードし、実行している。OSプログラム210から実行される機能制限端末プログラム107は、端末101の機能制限を行っている。その際、メモリ201上に監視対象機能リストデータ216を作成して利用している。監視対象機能リストデータ216は、機能制限を実施している機能のリストを保持するデータであり、機能制限を解除する際に、同時使用制限も解除するために利用されている。端末情報処理プログラム212は、情報処理を実行するときに情報処理機能により処理されるプログラムである。情報処理クライアントプログラム211は、情報処理サービスを利用するときに情報処理機能により処理されるプログラムである。
【0026】
図3は、図1に示した管理計算機の構成を説明する構成図である。管理計算機102の記憶装置202には、本実施形態における機能制限方法を実現するためのプログラムと各種データが格納されている。プログラムとしては、OS(Operating System)プログラム210、および機能制限管理プログラム108が格納されている。データとしては、確認リストデータ213、制限機能リストデータ214、および同時使用制限機能リストデータ215が格納されている。それぞれのデータは、管理計算機102によって管理され、端末101の要求に従い、端末101に転送されている。
【0027】
メモリ201には、記憶装置202上のOSプログラム210がロードされ、実行されている。OSプログラム210は、I/Oハードウェア204の制御、通信ハードウェア206の制御、記憶装置202からのデータのメモリ201へのロードなどを行っている。また、OSプログラム210は、記憶装置202から、機能制限管理プログラム108をメモリ201にロードし、実行している。OSプログラム210から実行される機能制限端末プログラム108は、確認リストデータ213、制限機能リストデータ214、および同時使用制限機能リストデータ215の管理を行っている。また、これらのデータ213〜215を変更するためのインターフェースを管理者105に提供している。
【0028】
次に、図4を用いて本発明の第1実施形態に係る機能制限端末プログラムと機能制限管理プログラムのモジュール構成について説明する。
【0029】
図4は、図2に示した機能制限端末プログラムと図3に示した機能制限管理プログラムのモジュール構成を説明する構成図である。図4に示すように、機能制限端末プログラム107は、端末データ管理部401と、状態確認および制限判断部402と、機能制限部403と、機能仕様開始および終了検知部404とから構成されている。
【0030】
端末データ管理部401は、管理計算機102から最新の確認リストデータ213、制限機能リストデータ214および同時使用制限機能リストデータ215を入手し、端末101上の各データを更新する処理を行うモジュールである。状態確認および制限判断部402は、確認リストデータ213および制限機能リストデータ214の内容に従い、端末102の状態を確認、端末102のセキュリティレベルの決定、機能制限を行うかどうかの判定を行うモジュールである。機能制限部403は、端末101の情報処理機能(端末情報処理プログラム212や情報処理クライアントプログラム211の処理)の実行やユーザ104による操作の制限と制限解除を行うモジュールである。機能使用開始および終了検知部404は、端末101の情報処理機能の実行やユーザによる利用の開始と終了を検知する処理を行うモジュールである。
【0031】
図4に示すように、機能制限管理プログラム108は、データ管理部405と、データ変更インターフェース部406と、データ送信部407とから構成されている。データ管理部405は、管理計算機102の確認リストデータ213、制限機能リストデータ214および同時使用制限機能リストデータ215を管理する処理を行うモジュールである。データ変更インターフェース部406は、各データの変更インターフェースを管理者105に提供する。データ送信部407は、端末101からの要求に従い各データを端末101に送信する処理を行うモジュールである。
【0032】
次に、図5乃至図8を用いて本発明の第1実施形態に係る情報処理制限システムのデータ構造について説明する。
【0033】
図5は、図2および図3に示した確認リストデータの構成を説明する図である。図5に示すように、確認リストデータ213は、確認ID501、確認内容502、および不適合時適用セキュリティレベル値503の各フィールドから構成されている。確認ID501は、端末101の状態に関して確認する確認項目について、情報処理制限システム100内で一意となる識別子を記載するフィールドである。確認内容502は、確認ID501に対応する端末101の状態の確認内容を記載するフィールドである。不適合時適用セキュリティレベル値503は、端末101状態の確認結果、状態が不適合であると判定した際に、適用するセキュリティレベルを記載するフィールドである。管理者105は、組織の方針にあわせて、不適合時適用セキュリティレベル値503の値を事前に設定しておく。
【0034】
図6は、図2および図3に示した制限機能リストデータの構成を説明する図である。図6に示すように、制限機能リストデータ214は、制限機能ID601、機能内容602、機能説明503、および利用可能レベル値504の各フィールドから構成されている。制限機能ID601は、制限する対象の機能について情報処理制限システム100内で一意となる識別子を記載するフィールドである。機能内容602は、制限機能ID601に対応する端末情報処理プログラム212が処理する情報処理の識別子や情報処理クライアントプログラム211がアクセスする情報処理サービスの識別子といった機能の内容を記載するフィールドである。機能説明603は、制限機能ID601に対応する機能の説明文を記載するフィールドである。利用可能レベル値604は、制限機能ID601に対応する機能を、利用制限せずに利用可能とする端末101のセキュリティレベルを記載するフィールドである。管理者105は、組織の方針にあわせて、制限機能リストデータ214の内容を事前に設定しておく。
【0035】
図7は、図2および図3に示した同時使用制限機能リストデータの構成を説明する図である。図7に示すように、同時使用制限機能リストデータ215は、制限機能ID701、および同時使用制限機能ID702の各フィールドから構成されている。制限機能ID701は、制限する対象の機能の識別子を記載するフィールドである。同時使用制限機能ID702は、制限機能ID701に対応する機能が実行中または利用中に、制限する機能の機能IDを記載するフィールドである。例えば、制限機能ID701が「F001」の機能が実行または利用中は、制限機能ID702が「F002」の機能は制限することを表している。管理者105は、組織の方針にあわせて、同時使用制限機能リストデータ215の内容を事前に設定しておく。
【0036】
図8は、図2および示した監視対象機能リストデータの構成を説明する図である。図8に示すように、監視対象機能リストデータ216は、プロセスID801、制限機能ID802、および同時使用制限機能ID803の各フィールドから構成されている。プロセスID801は、例えばOSプログラム210によって生成され、端末101上で動作中のプログラムの識別子を記載するフィールドである。制限機能ID802は、プロセスID801が提供する機能の制限機能IDを記載するフィールドである。同時使用制限機能ID803は、制限機能ID802の動作中または利用中に制限対象となる機能の制限機能IDを記載するフィールドである。情報処理制限プログラム107は、機能制限を行うときに監視対象機能リストデータ216の行を追加し、機能制限の解除を行うときに監視対象機能リストデータ216の行を削除して同時使用制限機能ID803に記載された同時使用制限機能の制限を解除している。
【0037】
前述のように構成した情報処理制限システム100により、組織のユーザ104が端末101を使用して情報処理機能を実行する際に、端末101の状態により情報処理機能の実行が制限される。端末101の機能制限端末プログラム107は、端末101起動時にOSプログラム210により起動され、端末101の起動中、メモリに常駐し、常に動作している。
【0038】
次に、図9を用いて本発明の第1実施形態に係る情報処理制限システムの動作について説明する。
【0039】
図9は、図2に示した機能制限端末プログラムを説明するフローチャートである。まず、機能制限端末プログラム107は、機能制限管理計算機102へネットワーク接続を試みる(S901)。次に、機能制限端末プログラム107は、管理計算機102に接続できたか否か判定し(S902)、接続できた場合には、管理計算機102で管理されている確認リストデータ213、制限機能リストデータ214、および同時使用制限機能リストデータ215をネットワーク106を介して入手し、端末101の記憶装置202に保存する(S903)。管理計算機102に接続できない場合には、S904の処理に移る。
【0040】
次に、機能制限端末プログラム107は、記憶装置202から確認リストデータ213、制限機能リストデータ214、および同時使用制限機能リストデータ215を読出し、そのデータを使用しながら動作する。まず、制限機能リスト214に記載されている制限機能の実行開始や利用開始を検知したか否かを判定する(S904)。制限機能の実行開始や利用開始を検知したか否かは、例えば機能制限端末プログラム107が全てのネットワークパケットを監視し、ネットワークパケットがネットワーク106を介して情報処理サーバ計算機103に送信される前に、制限機能リストデータ214の機能内容602に記載されたURLを持つネットワークパケットがあるか否かにより判定したり、Webブラウザに接続命令を取得するアドインソフトをインストールし、機能制限端末プログラム107はアドインソフトによって取得した接続命令が制限機能リストデータ214に記載されたURLを接続先とするリクエストか否かにより判定したりする。または、機能制限端末プログラム107がOSプログラム210と連携し、ソフトウェアが起動する前に、OSプログラム210のシステムコールのコマンドを機能制限端末プログラム107が受け取り、制限機能リストデータ214に記載されたソフトウェアの実行か否かにより判定したりする。
【0041】
制限機能リスト214に記載されている制限機能の実行開始や利用開始を検知した場合、機能制限端末プログラム107は、検知した制限機能が監視対象機能リストデータ216の同時使用制限機能ID803に記載されているか否かを判定する(S905)。検知した制限機能が監視対象機能リストデータ216の同時使用制限機能ID803に記載されている場合、後述するS912に移る。
【0042】
検知した制限機能が監視対象機能リストデータ216の同時使用制限機能ID803に記載されていない場合、機能制限端末プログラム107は、確認リストデータ213に記載された各確認項目について端末101の状態を確認し、確認結果から端末101のセキュリティレベルを決定する(S908)。セキュリティレベルは、端末101が確認項目の状態を満たしていないと確認された全ての確認項目の不適合時適用セキュリティレベル値503の中で、一番小さい値とする。例えば、確認IDがK002の確認項目のみ満たしていない場合、セキュリティレベルは2、確認IDがK002とK003の確認項目のみ満たしていない場合、セキュリティレベルは1となる。また、端末101が全ての確認項目について確認項目の状態を満たしていると確認された場合には、セキュリティレベルは9(最大)となる。
【0043】
次に、機能制限端末プログラム107は、S908で決定したセキュリティレベルが、S904で実行開始または利用開始を検知した制限機能ID601に対応する利用可能レベル値604以上か否かを判定し(S909)、セキュリティレベルが利用可能レベル値604以上の場合、機能制限端末プログラム107は、機能の実行および利用の制限を行わず利用可能とする。すなわち、S904で検知した制限機能リスト214に記載されている制限機能の実行開始または利用開始に要求される、S908で決定した端末101のセキュリティレベルが利用可能レベル値604以上であるというセキュリティ状態を満たす場合、当該機能は制限されない。
【0044】
このとき、同時使用制限機能リストデータ215に、利用可能とした制限機能ID701に対応する同時使用制限機能ID702が記載されている場合、すなわち、同時使用制限機能ID702が「無し」ではない場合、当該同時使用制限機能ID702に対応する機能の実行または利用を制限する(S910)。機能の実行または利用の制限は、実行中または利用中の機能については、その機能を実行又は利用しているプロセスを停止し、またはその機能を実行または利用するためのユーザインターフェースを停止することで行う。また、未実行または未利用の機能については、S904で実行開始または利用開始を検知した制限機能に関するプロセスID801、制限機能ID802、および同時使用制限機能ID803の行を監視対象機能リストデータ216に追加することで起動を抑止する。このように、情報処理サービスを利用するときまたは情報処理を実行するに、同時使用制限機能リストデータ215に基づいて、情報処理サービスの利用または情報処理の実行が制限されるので、情報処理サービスを利用する直前または情報処理を実行する直前に、所定の情報処理サービスまたは所定の情報処理と、当該情報処理サービスまたは当該情報処理との同時利用を制限することができる。
【0045】
同時使用制限を実施した場合、機能制限端末プログラム107は、その状況をモニタ等に表示してユーザ104に通知する(S911)。
【0046】
S909における判定の結果、S908で決定したセキュリティレベルが、S904で実行開始または利用開始を検出した制限機能ID601に対応する利用可能レベル値604より小さい場合、機能制限端末プログラム107は、機能の実行または利用の制限を行う(S912)。すなわち、S904で検知した制限機能リスト214に記載されている制限機能の実行開始または利用開始に要求される、S908で決定した端末101のセキュリティレベルが利用可能レベル値604以上であるというセキュリティ状態を満たさない場合、当該機能は制限される。機能の実行または利用の制限は、前述のWebブラウザやOSプログラム210等を用いてその起動を停止し、またはユーザインターフェースの停止することで行う。このように、情報処理サービスを利用するときに、S908で決定した端末101のセキュリティレベルと利用可能レベル値604とに基づいて、当該情報処理サービスの利用が制限されるので、情報処理サービスを提供する情報処理サーバ計算機103に接続後、情報処理サービスを利用する直前に、当該情報処理サービスの利用を制限することができる。また、情報処理を実行するときに、S908で決定したセキュリティレベルと利用可能レベル値604とに基づいて、当該情報処理の実行が制限されるので、情報処理を実行する直前に、当該情報処理の実行を制限することができる。
【0047】
機能制限を実施した場合、その状況をモニタ等に表示してユーザ104に通知する(S913)。
【0048】
S905で機能の実行開始や利用開始を検出しなかった場合、機能制限端末プログラム107は、監視対象機能リストデータ216に記載された制限機能の実行停止または利用停止を検知したか否かを判定する(S906)。制限機能の実行停止または利用停止を検知したか否かは、例えば監視対象機能リストデータ216に記載された各プロセスID801が、OSプログラム210が有する実行中のプロセス一覧に存在するか否かにより判定する。
【0049】
制限機能の実行停止または利用停止を検知した場合、停止機能のプロセスID801に対応した同時使用制限機能ID803に記載された機能の制限を解除する(S907)。機能の制限の解除は、該当するプロセスID801の行を監視対象機能リストデータ216から削除し、または該当するプロセスID801のユーザインタフェースを使用可能にすることで行う。
【0050】
本実施形態では、S903において管理計算機102で管理されている確認リストデータ213、制限機能リストデータ214、および同時使用制限機能リストデータ215を入手し、記憶装置202に保存するようにしたが、これに限定されず、あらかじめ端末101の記憶装置202に保存するようにしてもよいし、記憶装置202に保存せずに端末101がアクセス可能なメディア、例えばUSBタイプのフラッシュメモリやメモリカード、CD−ROM等に保存するようにしてもよい。
【0051】
このように、本実施形態によれば、情報処理サービスを利用するときに、S908で決定した端末101のセキュリティレベルと利用可能レベル値604とに基づいて、当該情報処理サービスの利用が制限されるので、情報処理サービスを提供する情報処理サーバ計算機103に接続後、情報処理サービスを利用する直前に、当該情報処理サービスの利用を制限することができる。これにより、情報処理サービスを利用するときに要求されるセキュリティ状態を満たしていないときに、当該情報処理サービスの利用を制限することができ、情報処理サービスの利用による情報漏洩を未然に防止することができる。
また、情報処理を実行するときに、S908で決定したセキュリティレベルと利用可能レベル値604とに基づいて、当該情報処理の実行が制限されるので、情報処理を実行する直前に、当該情報処理の実行を制限することができる。これにより、情報処理を実行するときに要求されるセキュリティ状態を満たしていないときに、当該情報処理の実行を制限することができ、情報処理の実行による情報漏洩を未然に防止することができる。
また、情報処理サービスを利用するときまたは情報処理を実行するときに、同時使用制限機能リストデータ215に基づいて、情報処理サービスの利用または情報処理の実行が制限されるので、情報処理サービスを利用する直前または情報処理を実行する直前に、所定の情報処理サービスまたは所定の情報処理と、当該情報処理サービスまたは当該情報処理との同時利用を制限することができる。これにより、当該情報処理サービスを利用するときまたは当該情報処理を実行するときに、所定の情報処理サービスの利用または所定の情報処理の実行を経由する情報漏洩を未然に防止することができる。
【0052】
次に、図10乃至図15を用いて本発明の第2実施形態を説明する。本発明の第2実施形態は、端末で1つ以上の情報処理サービスを利用する際に、利用開始前の端末の状態確認と、利用中の情報処理サービスの同時使用を制限する方法を、制限を情報処理サービスへのユーザ認証を活用して実現する形態である。本実施形態では、ユーザ認証を使用しているが、情報処理サービスのアクセス制御機能を使用する形であれば、例えば端末認証など別の形態でもよい。なお、前述した第1実施形態と同一構成部分は同一符号をもって表し、その詳細な説明を省略する。
【0053】
本発明の第2実施形態に係る情報処理制限システム100Aの全体構成は、図1に示した情報処理制限システムの全体構成と同様であるため、図示およびその説明を省略する。第2実施形態と第1実施形態との相違点は、端末101に代えて端末101Aを、管理計算機102に代えて管理計算機102Aをそれぞれ用いるようにしたことである。
【0054】
図10は、本発明の第2実施形態における端末の構成を説明する構成図である。図2に示した第1実施形態における端末101とは異なり、端末計算機101Aの記憶装置202には、プログラムとしてOSプログラム210、機能制限端末プログラム107A、および情報処理クライアントプログラム211が格納されている。
【0055】
図11は、本発明の第2実施形態における管理計算機の構成を説明する構成図である。図3に示した第1実施形態における管理計算機102とは異なり、管理計算機102Aの記憶装置202には、前述したOSプログラム210、確認リストデータ213、制限機能リストデータ214、および同時使用制限機能リストデータ215に加え、プログラムとして機能制限管理プログラム108Aが、データとしてユーザリストデータ1101および情報処理サービスログインユーザリストデータ1102が格納されている。
【0056】
次に、図12を用いて本発明の第2実施形態に係る機能制限端末プログラムと機能制限管理プログラムのモジュール構成について説明する。
【0057】
図12は、図10に示した機能制限端末プログラムと図11に示した機能制限管理プログラムのモジュール構成を説明する構成図である。機能制限端末プログラム107Aは、状態確認および制限判断部402から構成されている。状態確認および制限判断部402は、管理計算機102Aから送られてくる確認リストデータ213の内容に従い、端末101Aの状態を確認、端末101Aのセキュリティレベルの決定を行うモジュールである。
【0058】
機能制限管理プログラム108Aは、データ管理部405、データ変更インターフェース部406、および情報処理サービスログイン部1201から構成されている。データ管理部405は、管理計算機102Aの確認リストデータ213および制限機能リストデータ214、同時使用制限機能リストデータ215、ユーザリストデータ1101、および情報処理サービスログインユーザリストデータ1102を管理する処理を行うモジュールである。データ変更インターフェース部406は、各データの変更インターフェースを管理者105に提供している。また、情報処理サービスログインユーザリストデータ1102を端末101A経由で変更するインターフェースをユーザ104に提供するモジュールである。
【0059】
次に、図13および図14を用いて本発明の第2実施形態に係る情報処理制限システムのデータ構造について説明する。
【0060】
図13は、図11に示したユーザリストデータの構成を説明する図である。図13に示すように、ユーザリストデータ1101は、管理計算機ユーザID1301、および管理計算機ログインパスワード1302の各フィールドから構成されている。ユーザID1301は、ユーザ104が情報処理サービスを利用するために、端末101Aから管理計算機102Aにログインする際のユーザ104の識別子を格納するフィールドである。管理計算機ログインパスワード1302は、同じく管理計算機102Aにログインする際のユーザ104のパスワードを格納するフィールドである。管理計算機102Aの機能制限管理プログラム108Aは、ユーザ104の入力したユーザIDとパスワードの組がユーザリストデータ1101にある場合、ユーザ104が情報処理サービスを利用できるようにする。管理者105は、組織のユーザリストにあわせて、ユーザリストデータ1101の内容を事前に設定しておく。
【0061】
図14は、図11に示した情報処理サービスログインユーザリストデータの構成を説明する図である。図14に示すように、情報処理サービスログインユーザリストデータ1102は、サービスログイン情報ID1401、管理計算機ユーザID1402、制限機能ID1403、サービスログインID1404、およびサービスログインパスワード1405の各フィールドから構成されている。サービスログイン情報ID1401は、管理計算機ユーザIDに対応した情報処理サービスへのログインIDとログインパスワードの組を管理するための識別子を格納するフィールドである。管理計算機ユーザID1402は、管理計算機102AへのログインIDを格納するフィールドである。制限機能ID1403は、制限機能リストデータ214に記載された情報処理サービスの識別子を格納するフィールドである。サービスログインID1404は、サービスログイン情報ID1401と制限機能ID1403の示す情報処理サービスに対応した情報処理サービスへのログイン時に使用するログインIDを格納するフィールドである。サービスログインパスワード1405は、同じく情報処理サービスへのログインに使用するパスワードを格納するフィールドである。ユーザ104は、情報処理サービスへのログインIDとパスワードを事前に情報処理サービスログインユーザリストデータ1102に登録しておく。
【0062】
前記のように構築した情報処理制限システム100Aにより、組織のユーザ104が端末101Aを使用して情報処理サービスを利用する際に、端末101Aの状態により情報処理サービスの利用が制限される。
【0063】
次に、図15乃至図17を用いて本発明の第2実施形態に係る情報処理制限システムの動作について説明する。
【0064】
図15は、本発明の第2実施形態における情報処理サービスの利用開始に係る動作を説明するタイミングチャートである。
【0065】
まず、端末101Aは、ユーザ104に管理計算機102AへのログインIDとログインパスワードの入力を促し、ユーザ104が入力したログインIDとログインパスワードとを管理計算機102Aに送信する(S1501)。管理計算機102Aは、送信されたログインIDとログインパスワードとが正しいかユーザリストデータ1101により判定し、正しい場合は、確認リストデータ213を端末101Aに返信する(S1502)。端末101Aでは、確認リストデータ213に従い端末101Aの状態の確認、端末101Aのセキュリティレベルの決定を行い、決定したセキュリティレベルを管理計算機102Aに送信する(S1503)。管理計算機102Aは、送信された端末101Aのセキュリティレベルが制限機能リストデータ214の使用可能レベル値604以上の情報処理サービスを提供する各情報処理サーバ計算機103に対して、それぞれログインを行う(S1504)。情報処理サーバ計算機103へのログインには、情報処理サービスログインユーザリストデータ1102に記載されたサービスログインID1404とサービスログインパスワード1405とを使用する。また、送信された端末101Aのセキュリティレベルが制限機能リストデータ214の使用可能レベル値604より小さい情報処理サービスを提供する情報処理サーバ計算機103に対しては、ログインを行わず機能制限を行う。情報処理サービスを提供する各情報処理サーバ計算機103へのログインが成功すると、情報処理サーバ計算機103は、一時的なアクセスキーとなる各ログインセッションIDを管理計算機102Aに返信する(S1505)。
【0066】
情報処理サービスを提供する情報処理サーバ計算機103へのログインが成功した場合、管理計算機102Aは、機能制限の判断結果と各ログインセッションIDを端末101Aに返信する(S1506)。但し、同時使用制限機能リストデータ215で同時使用が制限されたログインセッションIDは除いて返信する。また、情報処理サービスを提供する情報処理サーバ計算機103へのログインが失敗した場合や、機能制限により情報処理サービスを提供する情報処理サーバ計算機103にログインしなかった場合には、機能制限の判断結果のみを端末101Aに返信する。
【0067】
そして、端末101Aは、管理計算機102Aから送信されてきたログインセッションIDを使用して情報処理サービスを提供する各情報処理サーバ計算機103に接続し(S1507)、ユーザ104は、接続された各情報処理サーバ計算機103が提供する情報処理サービスを利用することができるようになる。このように、情報処理サービスを利用するときに、制限機能リストデータ214に記載された情報処理サービスを提供する各情報処理サーバ計算機103へのログイン結果に基づいて、情報処理サービスの利用が制限されるので、複数の情報処理サービスの利用を制限するかどうかを一度に行うことができる。
【0068】
なお、本実施形態では、管理計算機102Aが情報処理サービスへのログインを実施しているが、これに限定されず、機能制限がない場合に管理計算機102Aが情報処理サービスへのログインIDとパスワードを端末101Aに送信し、端末101Aから情報処理サービスへログインするようにしてもよい。また、管理計算機102Aが、送信された端末101Aのセキュリティレベルが制限機能リストデータ214の使用可能レベル値604と同じか大きい各情報処理サービスに対してそれぞれログインを行っているが、これに限定されず、同時使用制限機能リストデータ215で同時使用が制限された情報処理サービスを除いてログインを行うようにしてもよい。
【0069】
図16は、本発明の第2実施形態における情報処理サービスへの再接続に係る動作を説明するタイミングチャートである。
【0070】
ユーザ104が情報処理サービスを利用中に、当該情報処理サービスがタイムアウトしていた場合、情報処理サービスに利用要求を送信すると(S1601)、情報処理サーバ計算機103は端末101Aにタイムアウト通知を返信する(S1602)。
【0071】
機能制限端末プログラム107Aは、再度ユーザ104に管理計算機102AへのログインIDとログインパスワードの入力を促し、ユーザ104が入力したログインIDおよびログインパスワードと、タイムアウトしている情報処理サービスの情報を管理計算機102Aに送信する(S1603)。
【0072】
管理計算機102Aは、送信されたログインIDとログインパスワードとが正しいかユーザリストデータ1101により判定し、正しい場合は、確認リストデータ213を端末101Aに返信する(S1604)。端末101Aでは、確認リストデータ213に従い端末101Aの状態の確認、端末101Aのセキュリティレベルの決定を行い、決定したセキュリティレベルを管理計算機102Aに送信する(S1605)。
【0073】
管理計算機102Aは、タイムアウトしている情報処理サービスが制限機能リストデータ214に記載されている制限機能の場合、送信された端末101Aのセキュリティレベルが制限機能リストデータ214の使用可能レベル値604以上か否かを判定し、端末101Aのセキュリティレベルが制限機能リストデータ214の使用可能レベル値604以上のときに、タイムアウトしている情報処理サービスを提供する情報処理サーバ計算機103にログインする(S1606)。また、タイムアウトしている情報処理サービスが制限機能リストデータ214に記載されている制限機能ではない場合には、そのままタイムアウトしている情報処理サービスを提供する情報処理サーバ計算機103にログインする。情報処理サーバ計算機103へのログインが成功すると、情報処理サーバ計算機103は、ログインセッションIDを管理計算機102Aに返信する(S1607)。
【0074】
管理計算機102Aは、機能制限の判断結果とログインセッションIDを端末101Aに返信し(S1608)、端末101Aは、管理計算機102Aから送信されてきたログインセッションIDを使用し、情報処理サービスへ再度接続する(S1609)。これにより、ユーザ104は、管理計算機102Aから得たセッションIDを使用して情報処理サービスを利用再開できる。
【0075】
図17は、本発明の第2実施形態におけるパスワード変更に係る動作を説明するタイミングチャートである。
【0076】
機能制限端末プログラム107Aは、あらかじめ決められた周期で以下の処理を実施する。機能制限端末プログラム107Aは、最初に、ユーザ104が情報処理サービスを利用していないかどうかを判定する(S1701)。ユーザ104が情報処理サービスを利用していないかどうかは、例えば、ある指定した期間以上にユーザ104が管理計算機102Aにログインしていないときには、ユーザ104が情報処理サービスを利用していないものと判定したり、深夜などある決められた時間帯には、ユーザ104が情報処理サービスを利用していないものと判定したりすることで行う。
【0077】
ユーザ104が情報処理サービスを利用していない場合には、該当情報処理サービスに対して、S1702〜S1706のパスワード変更処理を実施する。まず、管理計算機102Aは情報処理サービスを提供する情報処理サーバ計算機103にログインし(S1702)、ログインセッションIDを受け取る(S1703)。ログインセッションIDを受け取りログインできた場合、管理計算機102Aは新規パスワードを生成し(S1704)、情報処理サーバ計算機103にパスワード変更要求を送信する(S1705)。このとき、生成した新規パスワードと、情報処理サーバ計算機103からの要求に応じて現パスワードを情報処理サーバ計算機103に送信する。そして、管理計算機102Aは情報処理サーバ計算機103からパスワード変更結果を受け取り(S1706)、パスワードが正しく変更されていれば、サービスログインパスワード1405の内容を変更する(S1707)。これにより、ユーザ104が定期的にパスワードを変更する必要がなくなる。
【0078】
このように、本実施形態によれば、情報処理サービスを利用するときに、制限機能リストデータ214に記載された情報処理サービスを提供する各情報処理サーバ計算機103へのログイン結果に基づいて、情報処理サービスの利用が制限されるので、複数の情報処理サービスの利用を制限するかどうかを一度に行うことができる。これにより、個々の情報処理サービスを利用する毎に制限するかどうかを確認する必要がなく、情報処理サービスの利用を制限するための処理時間を短縮することができる。
【0079】
次に、図18乃至図21を用いて本発明の第3実施形態を説明する。本発明の第3実施形態は、端末で1つ以上の保護対象の情報処理サービスを利用する際に、利用中であった他の情報処理サービスのプロセスによる影響の抑止、印刷やプリントスクリーン等の機能制限を行う方法、情報処理サービスを保護対象として登録する方法を実現する形態である。なお、前述した実施形態と同一構成部分は同一符号をもって表し、その詳細な説明を省略する。
【0080】
本発明の第3実施形態に係る情報処理制限システム100Bの全体構成は、図1に示した情報処理制限システム100の全体構成と同様であるため、図示およびその説明を省略する。第3実施形態と第1実施形態との相違点は、端末101に代えて端末101Bを、管理計算機102に代えて管理計算機102Bをそれぞれ用いるようにしたことである。
【0081】
図18は、本発明の第3実施形態における端末の構成を説明する構成図である。図2に示した第1実施形態における端末101とは異なり、端末101Bの記憶装置202には、データとして保護対象サービスリストデータ1801(保護対象の情報)および機能制限リストデータ1802(制限対象機能の情報)が格納されている。なお、端末101Bの記憶装置202に格納されている機能制限端末プログラム107Bは、図2に示した第1実施形態における機能制限端末プログラム107と同等の機能を有する。
【0082】
図19は、本発明の第3実施形態における管理計算機の構成を説明する構成図である。図3に示した第1実施形態における管理計算機102とは異なり、管理計算機102Bの記憶装置202には、データとして保護対象サービスリストデータ1801および機能制限リストデータ1802が格納されている。なお、管理計算機102Bの記憶装置202に格納されている機能制限管理プログラム108Bは、図3に示した第1実施形態における機能制限管理プログラム108と同等の機能を有する。
【0083】
次に、図20および図21を用いて本発明の第3実施形態に係る情報処理制限システムのデータ構造について説明する。
【0084】
図20は、図18に示した保護対象サービスリストデータの構成を説明する図である。図20に示すように、保護対象サービスリストデータ1801は、保護対象サービスID2001、保護対象サービス名2002、保護対象サーバURL(Uniform Resource Locator)2003、連携サーバURL2004、および利用可能レベル値2005の各フィールドから構成されている。
【0085】
保護対象サービスID2001は、保護する対象の情報処理サービスについて情報処理制限システム100B内で一意となる識別子を記載するフィールドである。保護対象サービス名2002は、保護対象サービスID2001に対応する機能の名称を記載するフィールドである。保護対象サーバURL2003は、保護対象とする情報処理サービスを識別するサーバのURLを記載するフィールドである。連携サーバURL2004は、保護対象の情報処理サービスがサービスを行う際に連携するサーバ(連携サーバ)のURLを記載するフィールドである。利用可能レベル値2005は、保護対象サービスID2001に対応する機能を、利用制限せずに利用可能とする端末101Bのセキュリティレベルを記載するフィールドである。管理者105は、組織の方針にあわせて、保護対象サービスリストデータ2001の内容を事前に設定しておく。管理者105は、保護対象サービスリスト1801の内容に追加または変更を行う際に、図23に示すフローで、機能制限管理プログラム108Bのデータ変更インターフェース部406(図4参照)の提供する機能を使用することができる。
【0086】
なお、連携サーバとは、ユーザが保護対象サーバから提供される情報処理サービスを形成するのに必要なデータを格納するサーバである。情報処理クライアントプログラム211により、情報処理サービス計算機103からの保護対象となる情報処理サービスを受ける際に、情報処理サービス計算機103から情報処理クライアントプログラム211に対して他の情報処理サービス計算機103(連携サーバ)へのアクセスを指示することがある。例えば、画像データを表示することにより保護対象となる情報処理サービスを提供する場合、その情報処理サービスを提供する保護対象サーバには、連携サーバへのリンクだけが登録されており、画像データ自身は連携サーバが保有しているとき、連携サーバへのアクセスの指示が行われる。このアクセスの指示対象となるURLが、連携サーバURL2004である。連携サーバによる「連携」とは、保護対象となる情報処理サービスを実現する情報処理サービス計算機103から、その情報処理サービスを実現するためのアクセスの指示を受ける状態にあることをいう。基本的に連携サーバ自身が実現する情報処理サービスは保護対象とはならない。連携サーバURL2004には、保護対象サーバに連携する連携サーバに連携するサーバ(保護対象サーバには連携していない)のURLも登録される。
【0087】
図21は、図18に示した機能制限リストデータの構成を説明する図である。図21に示すように、機能制限リストデータ1802は、保護対象サービスID2001、および制限機能2101の各フィールドから構成されている。制限機能2101は、保護対象サービスIDに対応した情報処理サービスを使用時に制限する機能の一覧を格納するフィールドである。制限機能2101に格納される機能は、基本的には情報漏洩を引き起こす可能性のある機能であるが、より具体的には、情報を一時的であれ半永久的であれ記憶部(メモリ201、記憶装置202等)に記憶させ、外部からの操作によってその情報が読み出されることになる機能である。管理者105は、組織の方針にあわせて、機能制限リストデータ1802の内容を事前に設定しておく。
【0088】
前記のように構築した情報処理制限システム100Bにより、組織のユーザ104が端末101Bを使用して情報処理サービスを利用する際に、端末101Bの状態により情報処理サービスの利用が制限される。端末101Bは、情報処理サービスの制限の際に機能制限端末プログラム107Bが参照する確認リストデータ213、保護対象サービスリストデータ1801、および機能制限リストデータ1802を、端末起動時や終了時、起動中に管理計算機102Bから最新のものを入手する。
【0089】
次に、図22および図23を用いて本発明の第3実施形態に係る情報処理制限システムの動作について説明する。
【0090】
図22は、本発明の第3実施形態においてユーザが保護対象ではない一般の情報処理サービスを利用中に、保護対象サービスを利用する際の動作を説明するタイミングチャートである。
【0091】
まず、端末101Bの機能制限端末プログラム107Bは、端末状態を、端末101Bの起動時や起動中に定期的に確認し(S2201)、最新のセキュリティレベルを決定する。ユーザ104が情報処理クライアントプログラム211に情報処理サービス(一般サービスであったとする)の利用を要求する(S2202)と、情報処理クライアントプログラム211は、利用要求された情報処理サービスのURLを機能制限端末プログラム107Bに送り、要求されたサービスが保護対象かどうかの判定を依頼(サービス判定依頼)する(S2203)。機能制限端末プログラム107Bは、送られたURLが保護対象サービスリスト1801の保護対象サーバURL2003に該当するかどうかを確認し、該当しなければ保護対象サービスではない一般サービスとして、判定結果を返す(S2204)。情報処理クライアントプログラム211は、一般サービスとして判定された場合は、ユーザに情報処理サービスの機能(例:(一般サービス用の)サービス画面)をそのまま提供する(S2205)。
【0092】
その後、ユーザが新たなサービス(保護対象サービスであったとする)の利用を要求する(S2206)と、情報処理クライアントプログラム211は、S2203と同様に、機能制限端末プログラム107Bに要求されたサービスが保護対象かどうかの判定を依頼(サービス判定依頼)する(S2207)。機能制限端末プログラム107Bは、送られたURLが保護対象サービスリスト1801の保護対象サーバURL1803に該当するかどうかを確認し、該当した場合、保護対象サービスであるとして、ユーザに保護対象である旨と現在使用中の一般の情報処理サービスプロセスを休止する旨をダイアログ表示で伝える(S2208)。なお、情報処理のサービスプロセスを休止するときは、例えば、そのサービスプロセスを実現するスクリプトにおいて、そのサービスプロセスを無効化するスクリプトコードを挿入するという方法がある。
【0093】
ユーザは、保護対象サービスの利用を継続するかキャンセルするかをダイアログ入力にて返信する(S2209)。キャンセルを選択した場合、機能制限端末プログラム107Bは、新たな情報処理サービスの利用を継続しないよう情報処理クライアントプログラム211に指示し、情報処理クライアントプログラム211は、S2206のサービス利用の要求を拒否する。
【0094】
S2209においてユーザが継続を選択した場合、機能制限要求プログラム107Bは、既存の情報処理クライアントプログラム211の全てのプロセスに対して休止命令(プロセス休止)を出し(S2210)、プロセスを休止する(S2211)。また、機能制限端末プログラム107Bは、利用要求の該当保護対象サービスに対応した機能制限リストデータ1802記載の機能制限の開始をOSプログラム210に対して要求する(S2212)。そして、機能制限端末プログラム107Bは、情報処理クライアントプログラム211の新たなプロセスを生成し、ユーザ104の利用要求した情報処理サービスのURLを新たなプロセス(新規プロセス)に送信する(S2213)。
【0095】
情報処理クライアントプログラム211の新規プロセスはユーザ104の利用要求した情報処理サービスのURLにアクセスし、(保護対象)サービス画面をユーザ104に提供する(S2214)。ユーザ104は新規プロセスの提供するサービス画面を利用して(保護対象)サービスを利用する(S2215)。この際、新規プロセスは保護対象サーバURLとその連携サーバURLに記載されたURL以外へのアクセスを禁止する。また、新たな情報処理サービスの起動を抑止する。なお、連携サーバURLの場合は、保護対象サーバURLの場合とは違い、当該URLに対して情報処理クライアントプログラム211がアクセスしても、前記休止(S2211)を行う、といった保護モードに移行することはない。一方、保護モード中において、保護対象サーバURLとそれに対応する連携サーバURLは情報処理クライアントプログラム2211によるアクセスは可能である。
【0096】
その後、ユーザが(保護対象)サービスの利用を終了する(S2216)と、新規プロセスは、サービス利用終了を機能制限端末プログラム107Bに通知し(S2217)、新規プロセスを終了する。機能制限端末プログラム107Bは、新規プロセスによるサービス終了通知や、新規プロセスの終了の検知により、保護対象サービスの利用終了を確認すると、S2212で開始した機能制限の終了をOSプログラム210に依頼した後(S2218)、S2211で休止していた一般の情報処理サービスのプロセスを再開するように要求する(S2219)。なお、情報処理のサービスプロセスを再開するときは、例えば、そのサービスプロセスを実現するスクリプトに挿入した、そのサービスプロセスを無効化するスクリプトコードは、保護対象サービスの利用終了を確認できたという条件が満たされれば失効するという機能を持たせたものにする、という方法がある。
【0097】
最後に、情報処理クライアントプログラム211は、機能制限端末プログラム107Bからの要求を受けて休止していた一般の情報処理サービスのプロセスを再開する(S2220)。なお、図22およびその説明において、プロセスとはOSプログラム210からメモリ領域などのリソースの割当を受けて処理を実行されているプログラムのことを言う。また、マルチスレッドに対応したOSプログラム210の端末では、図22およびその説明におけるプロセスの部分は、スレッドに置き換えることもできる。
【0098】
図23は、本発明の第3実施形態において管理者105が保護対象サービスリストデータ1801に新たな保護対象サービスを追加する際の動作を説明するタイミングチャートである。
【0099】
管理者105(外部)が、管理計算機102の機能制限管理プログラム108Bに対して、データの変更要求を出す(S2301)と、管理計算機102は、データの管理画面を管理者105に提供する(S2302)。管理者105がデータの管理画面上で、保護対象サービスの追加を要求(サービス登録要求)する(S2303)と、管理計算機102は、保護対象サービスを記録するための画面(サービス記録画面)を提供する(S2304)。
【0100】
管理者105は、サービス記録画面上で新たに登録したい保護対象サービスのURLを入力し、その情報処理サービスを一通り利用する(S2306)。その際、管理計算機102は、情報処理サーバ計算機103にアクセスし、管理者105の入力する情報処理サービスへの入力情報を情報処理サーバ計算機103に送る(S2307)と共に、情報処理サーバ計算機103が返す画面などの情報を管理者105に返す。このような情報の送受信が、管理者105、管理計算機102、情報処理サーバ計算機103の間でなされる(サービスリレー)。なお、管理計算機102がアクセスする情報処理サーバ計算機103には、保護対象サーバとなるものが含まれているのは勿論のこと、その保護対象サーバに連携する連携サーバとなるものも含まれる。また、管理計算機102は、サービスの利用中にアクセスされたURL(所在情報;当該情報処理サービスの所在を示す情報)を全て記録する(S2305)。
【0101】
管理者105が情報処理サービスを一通り利用し、利用したサービスの記録が終了したらその旨を管理計算機102に通知する(S2308)。管理計算機102は、管理者105のサービス利用中に記録したURLから、保護対象サーバURLフィールド2003に記載するURLと連携サーバURLフィールド2004に記載するURLを解析し、それぞれのフィールド(2003、2004)にどのURLを振り分けるかを決定する(S2309)。ここで、決定したURLのリストをURL変更画面として管理者105に提示し(S2310)、管理者105からURLの変更の指示を受け付ける(S2311)。この際、管理者105に保護対象サービス名と利用可能レベル値を、それぞれ保護対象サービス名2002と利用可能レベル値2005のフィールドに登録するために、入力させる。
【0102】
最後に、これらのデータを保護対象サービスリストデータ1801に新たな保護対象サービスとして追加して保存する(S2312)。なお、保護対象サービスリストデータ1801において、新たな保護対象サービスに対して付される保護対象サービスID2001は、例えば、前記追加時に自動的に生成される。
【0103】
このように、本実施形態によれば、保護対象サービスリストデータ1801に記載された保護対象の情報処理サービスをユーザが利用する際に、実行中の情報処理クライアントプログラムのプロセスは休止される、また印刷などの機能を制限されるため、保護対象の情報処理サービスを使用中に、保護対象の情報処理サービスの持つ情報を他のプロセスやメモリ、媒体などに不正にコピーされることを防止することができる。また、実際に管理者が保護対象サービスを使用することで保護対象サービスのリストを作成することができ、周知のURLフィルタリング技術(アクセスを禁止したいURLを特定する技術)を用いたときと比べて、保護対象サービスのリストを作成する時間を短縮することができる。
【0104】
なお、本発明の構成は、前記実施形態にのみ限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々変更を加えてもよい。
【0105】
例えば、第3実施形態において、保護対象サービスを利用するときには、既に利用していた一般サービスの利用を休止するように制御した(図22参照)が、休止の代わりに停止、つまり、一般サービスの利用を終了しても良い。具体的には、情報処理のサービスプロセスを停止するために、例えば、そのサービスプロセスを実現するスクリプトにおいて、そのサービスプロセスを終了するスクリプトコードを挿入する。一般サービスの利用を停止する場合、特に、OSプログラムによる機能制限を行う必要は基本的には無くなるものの、保護対象サービスに対する保護強化のために、または、悪意のあるユーザからの不正操作を未然に防ぐために前記機能制限を行っても良い。
【0106】
その他、ハードウェア、ソフトウェア、各フローチャートなどの具体的な構成について、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。
【図面の簡単な説明】
【0107】
【図1】本発明に係る情報処理制限システムの全体構成を説明する概略構成図である。
【図2】図1に示した端末の構成を説明する構成図である。
【図3】図1に示した管理計算機の構成を説明する構成図である。
【図4】図2に示した機能制限端末プログラムと図3に示した機能制限管理プログラムのモジュール構成を説明する構成図である。
【図5】図2および図3に示した確認リストデータの構成を説明する図である。
【図6】図2および図3に示した制限機能リストデータの構成を説明する図である。
【図7】図2および図3に示した同時使用制限機能リストデータの構成を説明する図である。
【図8】図2に示した監視対象機能リストデータの構成を説明する図である。
【図9】図2に示した機能制限端末プログラムを説明するフローチャートである。
【図10】本発明の第2実施形態における端末の構成を説明する構成図である。
【図11】本発明の第2実施形態における管理計算機の構成を説明する構成図である。
【図12】図10に示した機能制限端末プログラムと図11に示した機能制限管理プログラムのモジュール構成を説明する構成図である。
【図13】図11に示したユーザリストデータの構成を説明する図である。
【図14】図11に示した情報処理サービスログインユーザリストデータの構成を説明する図である。
【図15】本発明の第2実施形態における情報処理サービスの利用開始に係る動作を説明するタイミングチャートである。
【図16】本発明の第2実施形態における情報処理サービスへの再接続に係る動作を説明するタイミングチャートである。
【図17】本発明の第2実施形態における情報処理サービスのパスワード変更に係る動作を説明するタイミングチャートである。
【図18】本発明の第3実施形態における端末の構成を説明する構成図である。
【図19】本発明の第3実施形態における管理計算機の構成を説明する構成図である。
【図20】図18に示した保護対象サービスリストデータの構成を説明する図である。
【図21】図18に示した機能制限リストデータの構成を説明する図である。
【図22】本発明の第3実施形態における情報処理サービスの利用に係る動作を説明するタイミングチャートである。
【図23】本発明の第3実施形態における保護対象サービスリストデータの作成に係る動作を説明するタイミングチャートである。
【符号の説明】
【0108】
100…情報処理制限システム、101,101A、101B…端末、102,102A、102B…管理計算機、103…情報処理サーバ計算機、104…ユーザ、105…機能制限管理者、106…ネットワーク、107,107A、107B…機能制限端末プログラム、108,108A、108B…機能制限管理プログラム、109…情報処理サーバプログラム、201…メモリ、202…記憶装置、203…バス、204…プロセッサ、205…I/Oハードウェア、206…通信ハードウェア、207…モニタ、208…キーボード、209…マウス、210…OSプログラム、211…情報処理クライアントプログラム、212…端末情報処理プログラム、213…確認リストデータ、214…制限機能リストデータ、215…同時使用制限機能リストデータ、216…監視対象機能リストデータ、401…端末データ管理部、402…状態確認および制限判断部、403…機能制限部、404…機能使用開始および終了検知部、405…データ管理部、406…データ変更インターフェース部、407…データ送信部、501…確認IDフィールド、502…確認内容フィールド、503…不適合時適用セキュリティレベル値、601…制限機能IDフィールド、602…機能内容フィールド、603…機能説明フィールド、604…利用可能レベル値フィールド、701…機能制限IDフィールド、702…同時使用制限機能IDフィールド、801…プロセスIDフィールド、802…制限機能IDフィールド、803…同時使用制限機能IDフィールド、1101…ユーザリストデータ、1102…情報処理サービスログインユーザリストデータ、1201…情報処理サービスログイン部、1301…管理計算機ユーザIDフィールド、1302…管理計算機ログインパスワード、1401…サービスログイン情報IDフィールド、1402…管理計算機ユーザIDフィールド、1403…制限機能IDフィールド、1404…サービスログインIDフィールド、1405…サービスログインパスワードフィールド、1801…保護対象サービスリストデータ、1802…機能制限リストデータ、2001…保護対象サービスIDフィールド、2002…保護対象サービス名、2003…保護対象サーバURLフィールド、2004…連携サーバURLフィールド、2005…利用可能レベル値フィールド、2101…制限機能フィールド。
【技術分野】
【0001】
本発明は、情報処理装置(以下、計算機と呼ぶ)の提供する情報処理機能を制限する方法に関連し、特に計算機の状態により使用可能な情報処理機能を制限する方法および装置に関する。
【背景技術】
【0002】
近年のネットワーク社会の急速な進展により、ネットワーク上のセキュリティが大きな問題となってきている。組織におけるネットワーク管理や情報管理上の問題としては、ノートパソコンの持込みや不正ソフトウェアの利用がある。自宅や出張先などの組織外でコンピュータウイルスに感染したノートパソコンを組織内ネットワークに接続することで、コンピュータウイルスの蔓延や、ネットワークダウンなどの被害を与えてしまうという問題である。また、使用の禁止されているソフトウェアを組織内で使用し、組織の機密情報を故意または不注意で外部に公開してしまい、情報を漏洩してしまうという事例も発生している。このような被害を食い止めるため、従来のファイアウォールや不正アクセス検知システムなどのネットワーク単位の対策に加えて、利用者が使用する計算機(以下、端末と呼ぶ)による情報漏洩を防ぐためのセキュリティ強化が求められている。
【0003】
強化策の一つとして、ウイルス対策の不備や、禁止ソフトウェアがインストールされている端末が組織内ネットワークにおいて通信することを制限する検疫システムがある。検疫システムの目的は、組織のポリシー(ウイルス対策ソフトウェアが稼動していること、最新の不具合修正がなされていること、登録された端末であることなど、端末の状態に関する守るべき規則)を遵守していない端末をネットワークに接続させないことであり、以下の(1)乃至(3)のような機能を組み合わせることで構成される。
(1)検査機能:端末の状態がポリシーに合致したものになっているかを検査する機能である。
(2)隔離機能:ポリシーを遵守していない端末を、ネットワークに接続不能にしたり、特定のネットワークにしか接続できないようにしたりする機能である。
(3)治療機能:ポリシーに合致するように端末の不具合修正、設定変更等をおこなう機能である。
【0004】
例えば、ウイルス対策に不備があった場合に、端末からのネットワークアクセスを制限する技術が開示されている(特許文献1参照)。検疫システムにより、組織ネットワーク接続前に端末の状態を確認できるようになり、端末のセキュリティ不備により組織ネットワークに接続した他の計算機やネットワークへの影響を抑えることが出来るようになる。
【0005】
また、端末からの情報漏洩を防ぐセキュリティ強化策として、端末上にある情報と情報処理機能を自組織や委託先にある情報センタに集約し、集約した情報と情報処理機能をリモートから使用することで、端末からの情報漏洩防止、端末の管理コストの軽減を図るセンタ集約型情報処理システムも実用化されつつある。例えば、端末からはキーボードやマウスなどのユーザ入力情報を情報センタの計算機に送り、情報センタの計算機ではユーザ入力にしたがって処理した結果の画面情報や音声情報のみを端末に送るようにすることで、情報自体を端末に送ることなく情報処理できるようになる。例えば、耐タンパデバイスをユーザに配布し、デバイス内の認証情報を用いてネットワーク経由でリモートの計算機にアクセスし遠隔操作することで、操作した端末内に残る機密情報を低減するでき、ユーザの端末利用時のセキュリティを向上させる方法が開示されている(特許文献2参照)。
【0006】
さらに、情報と情報処理機能を使用するにあたり、情報処理サービス提供ベンダのサービスを活用することもできる。例えば、顧客組織の情報処理機能をWebベースで提供する情報処理サービス提供ベンダのサービスを使用する場合、端末には、Webブラウザ等のプラットフォームソフトウェアのみを事前にインストールしておく。端末のプラットフォームソフトウェアでサービスを提供する計算機にアクセスすると、端末上で動作するソフトウェアが計算機から端末にダウンロードされ、ダウンロードされたソフトウェアと計算機との連携により、情報処理が実施される。Webベースとすることで、情報処理機能ごとの情報処理ソフトウェアを端末にインストールしなくてもよく、端末上の情報処理ソフトウェアを管理する必要が無くなり、端末の管理コストの軽減が期待できる。また、情報は情報処理サービスを提供する計算機で管理するため、端末からの情報漏洩がしにくくなることが期待できる。
【特許文献1】特開2005−216253号公報
【特許文献2】特開2005−235159号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
センタ集約型情報処理システムや、情報処理サービス提供ベンダのサービスを使用した情報処理システムを構築しても、ユーザの使用する端末からの情報漏洩リスクがなくなるわけではない。例えば、端末にキーボード入力情報を盗み出すキーロガーや、画面情報を盗み出すスパイウェアが入っていた場合、情報漏洩が発生しうる。また、端末で、複数の情報処理サービスを使用していた場合、情報を管理している情報処理サービスから他の情報処理サービスへ端末のプラットフォームソフトウェアを経由して情報漏洩が発生しうる。このような端末からの情報漏洩を防止するために、端末の情報漏洩対策状態を確認する検疫システムを導入することが考えられる。
【0008】
しかしながら、従来の検疫システムは、ネットワーク接続開始前にネットワークへのアクセスを制御する機能しか有しておらず、情報処理サービスを提供する情報処理サーバに接続後、情報処理サービスの利用を開始する前に、端末の状態を確認することができない。このため、情報処理サーバに接続後、情報処理や情報処理サービスを利用開始する直前に、問題のあるソフトウェアや情報処理サービスが稼動している状態になっていると、情報漏洩を起こしてしまうおそれがあった。また、情報処理や情報処理サービスを使用中に、他の情報処理の実行や情報処理サービスの利用を制限することはできなので、例えば他の情報処理や情報処理サービスを経由して、端末内に一時的に保存された重要データの情報漏洩を防ぐことは難しかった。
【0009】
本発明は前記問題点に鑑みてなされたものであり、その目的とするところは、情報サービスを利用するときに、情報漏洩を未然に防止することのできる情報処理制限システム、情報処理制限装置、および情報処理制限プログラムを提供することにある。
【課題を解決するための手段】
【0010】
本発明は前記目的を達成するために、情報処理サービスを提供するサーバ計算機と、前記サーバ計算機に接続し、前記情報処理サービスを利用する計算機とを備え、前記計算機は、前記情報処理サービスを利用するときに、該情報処理サービスの利用に要求されるセキュリティ状態に基づいて、該情報処理サービスの利用を制限する制限部を有する情報処理制限システムを提案する。
【0011】
また、本発明は前記目的を達成するために、情報処理サービスを提供するサーバ計算機に接続し、該情報処理サービスを利用する情報処理制限装置であって、前記情報処理サービスを利用するときに、該情報処理サービスの利用に要求されるセキュリティ状態に基づいて、該情報処理サービスの利用を制限する制限部を備える情報処理制限装置を提案する。
【0012】
また、本発明は前記目的を達成するために、情報処理サービスを提供するサーバ計算機に接続し、該情報処理サービスを利用する計算機により実行される情報処理制限プログラムであって、前記情報処理サービスを利用するときに、該情報処理サービスの利用に要求されるセキュリティ状態に基づいて、該情報処理サービスの利用を制限する制限ステップを備える情報処理制限プログラムを提案する。
【0013】
本発明によれば、情報処理サービスを利用するときに、情報処理サービスの利用に要求されるセキュリティ状態に基づいて、当該情報処理サービスの利用が制限されるので、情報処理サービスを提供するサーバ計算機に接続後、当該情報処理サービスを利用する直前に、当該情報処理サービスの利用を制限することができる。
【発明の効果】
【0014】
本発明によれば、情報処理サービスを提供するサーバ計算機に接続後、当該情報処理サービスを利用する直前に、当該情報処理サービスの利用を制限することができる。これにより、情報処理サービスを利用するときに要求されるセキュリティ状態を満たしていないときに、当該情報処理サービスの利用を制限することができ、情報処理サービスの利用による情報漏洩を未然に防止することができる。
【発明を実施するための最良の形態】
【0015】
以下、図面を参照しながら本発明の一実施の形態を詳述する。
【0016】
以下、図1乃至図9を用いて本発明の第1実施形態を説明する。本発明の第1実施形態は、端末計算機において情報処理機能(端末内のソフトウェアなどの情報処理や、センタ集約型情報処理システムや情報処理サービスの利用を含む)を実行する際に、情報処理の実行または情報処理サービスの利用開始前の端末計算機の状態確認と、情報処理の実行中または情報処理サービスの利用中に他の情報処理の同時実行又は情報処理サービスの同時利用を制限する方法を、端末計算機内の機能制限を行うプログラムを中心に実現する形態である。
【0017】
まず、図1乃至図3を用いて本発明の第1実施形態に係る情報処理制限システムの構成を説明する。図1は、本発明に係る情報処理制限システムの全体構成を説明する概略構成図である。
【0018】
情報処理制限システム100は、端末計算機(以下、端末と呼ぶ)101と、機能制限管理計算機(以下、管理計算機と呼ぶ)102と、複数の情報処理サーバ103とを備えている。
【0019】
端末101は、ユーザ104が操作する計算機である。端末101は、ネットワーク106を介して情報処理サーバ計算機103に接続し、情報処理サーバ計算機103が提供する情報処理サービスを利用している。また、端末101は、複数の情報処理を同時に実行可能な情報処理機能を備え、情報処理機能は情報処理サービスを利用する際にも実行されている。なお、一般に、「情報処理」は情報処理サービスを利用する際にも実行されるものであるが、本発明においては「情報処理」と「情報処理サービスの利用に伴う情報処理」とを区別し、「情報処理サービスの利用に伴う情報処理」の実行は、情報処理の実行には含まれず、情報処理サービスの利用に含まれるものとする。
【0020】
情報処理サーバ計算機103は、情報処理サーバプログラム109が動作しており、アクセスしてきた端末101に対して情報処理サービスを提供する計算機である。
【0021】
管理計算機102は、機能制限管理プログラム108が動作しており、端末101で実施する後述の機能制限の内容を管理する計算機である。機能制限管理者(以下、管理者と呼ぶ)105は、機能制限管理プログラム108を使用して、機能制限の内容を変更することができる。また、機能制限管理プログラム108は、ネットワーク106を介して機能制限の内容を端末101に送信している。端末101の機能制限プログラム107は、受信した機能制限の内容に従い、機能制限を実施している。
【0022】
図2は、図1に示した端末の構成を説明する構成図である。端末101は、メモリ201と、記憶装置202と、バス203と、プロセッサ204と、I/Oハードウェア205と、通信ハードウェア206と、モニタ207と、キーボード208と、マウス209とから構成されている。
【0023】
プロセッサ204は、プログラムの処理をおこなう装置である。記憶装置202は、ハードディスクや不揮発性メモリなどであり、プログラムやデータを格納する装置である。メモリ201は、実行するプログラムの格納や、一時的なデータの格納をおこなうための記憶装置である。I/Oハードウェア205は、モニタ207への出力とキーボード208とマウス209からの入力を制御する装置である。通信ハードウェア206は、他の計算機との間のネットワーク回線を制御する装置である。
【0024】
記憶装置202には、本実施形態における機能制限方法を実現するためのプログラムと各種データが格納されている。プログラムとしては、OS(Operating System)プログラム210、機能制限端末プログラム107、端末情報処理プログラム212、および情報処理クライアントプログラム211が格納されている。データとしては、確認リストデータ213、制限機能リストデータ214、および同時使用制限機能リストデータ215が格納されている。確認リストデータ213は、端末101の状態を確認する確認項目のリストを保持するデータである。制限機能リストデータ214は、端末での利用制限を行う機能のリストを保持するデータである。同時使用制限機能リストデータ215は、端末での同時利用の制限を行う機能のリストを保持するデータである。
【0025】
メモリ201には、記憶装置202上のOSプログラム210がロードされ、実行されている。OSプログラム210は、I/Oハードウェア204の制御、通信ハードウェア206の制御、記憶装置202からのデータのメモリ201へのロードなどを行っている。また、OSプログラム210は、記憶装置202から、機能制限端末プログラム107、端末情報処理プログラム212、および情報処理クライアントプログラム211をメモリ201にロードし、実行している。OSプログラム210から実行される機能制限端末プログラム107は、端末101の機能制限を行っている。その際、メモリ201上に監視対象機能リストデータ216を作成して利用している。監視対象機能リストデータ216は、機能制限を実施している機能のリストを保持するデータであり、機能制限を解除する際に、同時使用制限も解除するために利用されている。端末情報処理プログラム212は、情報処理を実行するときに情報処理機能により処理されるプログラムである。情報処理クライアントプログラム211は、情報処理サービスを利用するときに情報処理機能により処理されるプログラムである。
【0026】
図3は、図1に示した管理計算機の構成を説明する構成図である。管理計算機102の記憶装置202には、本実施形態における機能制限方法を実現するためのプログラムと各種データが格納されている。プログラムとしては、OS(Operating System)プログラム210、および機能制限管理プログラム108が格納されている。データとしては、確認リストデータ213、制限機能リストデータ214、および同時使用制限機能リストデータ215が格納されている。それぞれのデータは、管理計算機102によって管理され、端末101の要求に従い、端末101に転送されている。
【0027】
メモリ201には、記憶装置202上のOSプログラム210がロードされ、実行されている。OSプログラム210は、I/Oハードウェア204の制御、通信ハードウェア206の制御、記憶装置202からのデータのメモリ201へのロードなどを行っている。また、OSプログラム210は、記憶装置202から、機能制限管理プログラム108をメモリ201にロードし、実行している。OSプログラム210から実行される機能制限端末プログラム108は、確認リストデータ213、制限機能リストデータ214、および同時使用制限機能リストデータ215の管理を行っている。また、これらのデータ213〜215を変更するためのインターフェースを管理者105に提供している。
【0028】
次に、図4を用いて本発明の第1実施形態に係る機能制限端末プログラムと機能制限管理プログラムのモジュール構成について説明する。
【0029】
図4は、図2に示した機能制限端末プログラムと図3に示した機能制限管理プログラムのモジュール構成を説明する構成図である。図4に示すように、機能制限端末プログラム107は、端末データ管理部401と、状態確認および制限判断部402と、機能制限部403と、機能仕様開始および終了検知部404とから構成されている。
【0030】
端末データ管理部401は、管理計算機102から最新の確認リストデータ213、制限機能リストデータ214および同時使用制限機能リストデータ215を入手し、端末101上の各データを更新する処理を行うモジュールである。状態確認および制限判断部402は、確認リストデータ213および制限機能リストデータ214の内容に従い、端末102の状態を確認、端末102のセキュリティレベルの決定、機能制限を行うかどうかの判定を行うモジュールである。機能制限部403は、端末101の情報処理機能(端末情報処理プログラム212や情報処理クライアントプログラム211の処理)の実行やユーザ104による操作の制限と制限解除を行うモジュールである。機能使用開始および終了検知部404は、端末101の情報処理機能の実行やユーザによる利用の開始と終了を検知する処理を行うモジュールである。
【0031】
図4に示すように、機能制限管理プログラム108は、データ管理部405と、データ変更インターフェース部406と、データ送信部407とから構成されている。データ管理部405は、管理計算機102の確認リストデータ213、制限機能リストデータ214および同時使用制限機能リストデータ215を管理する処理を行うモジュールである。データ変更インターフェース部406は、各データの変更インターフェースを管理者105に提供する。データ送信部407は、端末101からの要求に従い各データを端末101に送信する処理を行うモジュールである。
【0032】
次に、図5乃至図8を用いて本発明の第1実施形態に係る情報処理制限システムのデータ構造について説明する。
【0033】
図5は、図2および図3に示した確認リストデータの構成を説明する図である。図5に示すように、確認リストデータ213は、確認ID501、確認内容502、および不適合時適用セキュリティレベル値503の各フィールドから構成されている。確認ID501は、端末101の状態に関して確認する確認項目について、情報処理制限システム100内で一意となる識別子を記載するフィールドである。確認内容502は、確認ID501に対応する端末101の状態の確認内容を記載するフィールドである。不適合時適用セキュリティレベル値503は、端末101状態の確認結果、状態が不適合であると判定した際に、適用するセキュリティレベルを記載するフィールドである。管理者105は、組織の方針にあわせて、不適合時適用セキュリティレベル値503の値を事前に設定しておく。
【0034】
図6は、図2および図3に示した制限機能リストデータの構成を説明する図である。図6に示すように、制限機能リストデータ214は、制限機能ID601、機能内容602、機能説明503、および利用可能レベル値504の各フィールドから構成されている。制限機能ID601は、制限する対象の機能について情報処理制限システム100内で一意となる識別子を記載するフィールドである。機能内容602は、制限機能ID601に対応する端末情報処理プログラム212が処理する情報処理の識別子や情報処理クライアントプログラム211がアクセスする情報処理サービスの識別子といった機能の内容を記載するフィールドである。機能説明603は、制限機能ID601に対応する機能の説明文を記載するフィールドである。利用可能レベル値604は、制限機能ID601に対応する機能を、利用制限せずに利用可能とする端末101のセキュリティレベルを記載するフィールドである。管理者105は、組織の方針にあわせて、制限機能リストデータ214の内容を事前に設定しておく。
【0035】
図7は、図2および図3に示した同時使用制限機能リストデータの構成を説明する図である。図7に示すように、同時使用制限機能リストデータ215は、制限機能ID701、および同時使用制限機能ID702の各フィールドから構成されている。制限機能ID701は、制限する対象の機能の識別子を記載するフィールドである。同時使用制限機能ID702は、制限機能ID701に対応する機能が実行中または利用中に、制限する機能の機能IDを記載するフィールドである。例えば、制限機能ID701が「F001」の機能が実行または利用中は、制限機能ID702が「F002」の機能は制限することを表している。管理者105は、組織の方針にあわせて、同時使用制限機能リストデータ215の内容を事前に設定しておく。
【0036】
図8は、図2および示した監視対象機能リストデータの構成を説明する図である。図8に示すように、監視対象機能リストデータ216は、プロセスID801、制限機能ID802、および同時使用制限機能ID803の各フィールドから構成されている。プロセスID801は、例えばOSプログラム210によって生成され、端末101上で動作中のプログラムの識別子を記載するフィールドである。制限機能ID802は、プロセスID801が提供する機能の制限機能IDを記載するフィールドである。同時使用制限機能ID803は、制限機能ID802の動作中または利用中に制限対象となる機能の制限機能IDを記載するフィールドである。情報処理制限プログラム107は、機能制限を行うときに監視対象機能リストデータ216の行を追加し、機能制限の解除を行うときに監視対象機能リストデータ216の行を削除して同時使用制限機能ID803に記載された同時使用制限機能の制限を解除している。
【0037】
前述のように構成した情報処理制限システム100により、組織のユーザ104が端末101を使用して情報処理機能を実行する際に、端末101の状態により情報処理機能の実行が制限される。端末101の機能制限端末プログラム107は、端末101起動時にOSプログラム210により起動され、端末101の起動中、メモリに常駐し、常に動作している。
【0038】
次に、図9を用いて本発明の第1実施形態に係る情報処理制限システムの動作について説明する。
【0039】
図9は、図2に示した機能制限端末プログラムを説明するフローチャートである。まず、機能制限端末プログラム107は、機能制限管理計算機102へネットワーク接続を試みる(S901)。次に、機能制限端末プログラム107は、管理計算機102に接続できたか否か判定し(S902)、接続できた場合には、管理計算機102で管理されている確認リストデータ213、制限機能リストデータ214、および同時使用制限機能リストデータ215をネットワーク106を介して入手し、端末101の記憶装置202に保存する(S903)。管理計算機102に接続できない場合には、S904の処理に移る。
【0040】
次に、機能制限端末プログラム107は、記憶装置202から確認リストデータ213、制限機能リストデータ214、および同時使用制限機能リストデータ215を読出し、そのデータを使用しながら動作する。まず、制限機能リスト214に記載されている制限機能の実行開始や利用開始を検知したか否かを判定する(S904)。制限機能の実行開始や利用開始を検知したか否かは、例えば機能制限端末プログラム107が全てのネットワークパケットを監視し、ネットワークパケットがネットワーク106を介して情報処理サーバ計算機103に送信される前に、制限機能リストデータ214の機能内容602に記載されたURLを持つネットワークパケットがあるか否かにより判定したり、Webブラウザに接続命令を取得するアドインソフトをインストールし、機能制限端末プログラム107はアドインソフトによって取得した接続命令が制限機能リストデータ214に記載されたURLを接続先とするリクエストか否かにより判定したりする。または、機能制限端末プログラム107がOSプログラム210と連携し、ソフトウェアが起動する前に、OSプログラム210のシステムコールのコマンドを機能制限端末プログラム107が受け取り、制限機能リストデータ214に記載されたソフトウェアの実行か否かにより判定したりする。
【0041】
制限機能リスト214に記載されている制限機能の実行開始や利用開始を検知した場合、機能制限端末プログラム107は、検知した制限機能が監視対象機能リストデータ216の同時使用制限機能ID803に記載されているか否かを判定する(S905)。検知した制限機能が監視対象機能リストデータ216の同時使用制限機能ID803に記載されている場合、後述するS912に移る。
【0042】
検知した制限機能が監視対象機能リストデータ216の同時使用制限機能ID803に記載されていない場合、機能制限端末プログラム107は、確認リストデータ213に記載された各確認項目について端末101の状態を確認し、確認結果から端末101のセキュリティレベルを決定する(S908)。セキュリティレベルは、端末101が確認項目の状態を満たしていないと確認された全ての確認項目の不適合時適用セキュリティレベル値503の中で、一番小さい値とする。例えば、確認IDがK002の確認項目のみ満たしていない場合、セキュリティレベルは2、確認IDがK002とK003の確認項目のみ満たしていない場合、セキュリティレベルは1となる。また、端末101が全ての確認項目について確認項目の状態を満たしていると確認された場合には、セキュリティレベルは9(最大)となる。
【0043】
次に、機能制限端末プログラム107は、S908で決定したセキュリティレベルが、S904で実行開始または利用開始を検知した制限機能ID601に対応する利用可能レベル値604以上か否かを判定し(S909)、セキュリティレベルが利用可能レベル値604以上の場合、機能制限端末プログラム107は、機能の実行および利用の制限を行わず利用可能とする。すなわち、S904で検知した制限機能リスト214に記載されている制限機能の実行開始または利用開始に要求される、S908で決定した端末101のセキュリティレベルが利用可能レベル値604以上であるというセキュリティ状態を満たす場合、当該機能は制限されない。
【0044】
このとき、同時使用制限機能リストデータ215に、利用可能とした制限機能ID701に対応する同時使用制限機能ID702が記載されている場合、すなわち、同時使用制限機能ID702が「無し」ではない場合、当該同時使用制限機能ID702に対応する機能の実行または利用を制限する(S910)。機能の実行または利用の制限は、実行中または利用中の機能については、その機能を実行又は利用しているプロセスを停止し、またはその機能を実行または利用するためのユーザインターフェースを停止することで行う。また、未実行または未利用の機能については、S904で実行開始または利用開始を検知した制限機能に関するプロセスID801、制限機能ID802、および同時使用制限機能ID803の行を監視対象機能リストデータ216に追加することで起動を抑止する。このように、情報処理サービスを利用するときまたは情報処理を実行するに、同時使用制限機能リストデータ215に基づいて、情報処理サービスの利用または情報処理の実行が制限されるので、情報処理サービスを利用する直前または情報処理を実行する直前に、所定の情報処理サービスまたは所定の情報処理と、当該情報処理サービスまたは当該情報処理との同時利用を制限することができる。
【0045】
同時使用制限を実施した場合、機能制限端末プログラム107は、その状況をモニタ等に表示してユーザ104に通知する(S911)。
【0046】
S909における判定の結果、S908で決定したセキュリティレベルが、S904で実行開始または利用開始を検出した制限機能ID601に対応する利用可能レベル値604より小さい場合、機能制限端末プログラム107は、機能の実行または利用の制限を行う(S912)。すなわち、S904で検知した制限機能リスト214に記載されている制限機能の実行開始または利用開始に要求される、S908で決定した端末101のセキュリティレベルが利用可能レベル値604以上であるというセキュリティ状態を満たさない場合、当該機能は制限される。機能の実行または利用の制限は、前述のWebブラウザやOSプログラム210等を用いてその起動を停止し、またはユーザインターフェースの停止することで行う。このように、情報処理サービスを利用するときに、S908で決定した端末101のセキュリティレベルと利用可能レベル値604とに基づいて、当該情報処理サービスの利用が制限されるので、情報処理サービスを提供する情報処理サーバ計算機103に接続後、情報処理サービスを利用する直前に、当該情報処理サービスの利用を制限することができる。また、情報処理を実行するときに、S908で決定したセキュリティレベルと利用可能レベル値604とに基づいて、当該情報処理の実行が制限されるので、情報処理を実行する直前に、当該情報処理の実行を制限することができる。
【0047】
機能制限を実施した場合、その状況をモニタ等に表示してユーザ104に通知する(S913)。
【0048】
S905で機能の実行開始や利用開始を検出しなかった場合、機能制限端末プログラム107は、監視対象機能リストデータ216に記載された制限機能の実行停止または利用停止を検知したか否かを判定する(S906)。制限機能の実行停止または利用停止を検知したか否かは、例えば監視対象機能リストデータ216に記載された各プロセスID801が、OSプログラム210が有する実行中のプロセス一覧に存在するか否かにより判定する。
【0049】
制限機能の実行停止または利用停止を検知した場合、停止機能のプロセスID801に対応した同時使用制限機能ID803に記載された機能の制限を解除する(S907)。機能の制限の解除は、該当するプロセスID801の行を監視対象機能リストデータ216から削除し、または該当するプロセスID801のユーザインタフェースを使用可能にすることで行う。
【0050】
本実施形態では、S903において管理計算機102で管理されている確認リストデータ213、制限機能リストデータ214、および同時使用制限機能リストデータ215を入手し、記憶装置202に保存するようにしたが、これに限定されず、あらかじめ端末101の記憶装置202に保存するようにしてもよいし、記憶装置202に保存せずに端末101がアクセス可能なメディア、例えばUSBタイプのフラッシュメモリやメモリカード、CD−ROM等に保存するようにしてもよい。
【0051】
このように、本実施形態によれば、情報処理サービスを利用するときに、S908で決定した端末101のセキュリティレベルと利用可能レベル値604とに基づいて、当該情報処理サービスの利用が制限されるので、情報処理サービスを提供する情報処理サーバ計算機103に接続後、情報処理サービスを利用する直前に、当該情報処理サービスの利用を制限することができる。これにより、情報処理サービスを利用するときに要求されるセキュリティ状態を満たしていないときに、当該情報処理サービスの利用を制限することができ、情報処理サービスの利用による情報漏洩を未然に防止することができる。
また、情報処理を実行するときに、S908で決定したセキュリティレベルと利用可能レベル値604とに基づいて、当該情報処理の実行が制限されるので、情報処理を実行する直前に、当該情報処理の実行を制限することができる。これにより、情報処理を実行するときに要求されるセキュリティ状態を満たしていないときに、当該情報処理の実行を制限することができ、情報処理の実行による情報漏洩を未然に防止することができる。
また、情報処理サービスを利用するときまたは情報処理を実行するときに、同時使用制限機能リストデータ215に基づいて、情報処理サービスの利用または情報処理の実行が制限されるので、情報処理サービスを利用する直前または情報処理を実行する直前に、所定の情報処理サービスまたは所定の情報処理と、当該情報処理サービスまたは当該情報処理との同時利用を制限することができる。これにより、当該情報処理サービスを利用するときまたは当該情報処理を実行するときに、所定の情報処理サービスの利用または所定の情報処理の実行を経由する情報漏洩を未然に防止することができる。
【0052】
次に、図10乃至図15を用いて本発明の第2実施形態を説明する。本発明の第2実施形態は、端末で1つ以上の情報処理サービスを利用する際に、利用開始前の端末の状態確認と、利用中の情報処理サービスの同時使用を制限する方法を、制限を情報処理サービスへのユーザ認証を活用して実現する形態である。本実施形態では、ユーザ認証を使用しているが、情報処理サービスのアクセス制御機能を使用する形であれば、例えば端末認証など別の形態でもよい。なお、前述した第1実施形態と同一構成部分は同一符号をもって表し、その詳細な説明を省略する。
【0053】
本発明の第2実施形態に係る情報処理制限システム100Aの全体構成は、図1に示した情報処理制限システムの全体構成と同様であるため、図示およびその説明を省略する。第2実施形態と第1実施形態との相違点は、端末101に代えて端末101Aを、管理計算機102に代えて管理計算機102Aをそれぞれ用いるようにしたことである。
【0054】
図10は、本発明の第2実施形態における端末の構成を説明する構成図である。図2に示した第1実施形態における端末101とは異なり、端末計算機101Aの記憶装置202には、プログラムとしてOSプログラム210、機能制限端末プログラム107A、および情報処理クライアントプログラム211が格納されている。
【0055】
図11は、本発明の第2実施形態における管理計算機の構成を説明する構成図である。図3に示した第1実施形態における管理計算機102とは異なり、管理計算機102Aの記憶装置202には、前述したOSプログラム210、確認リストデータ213、制限機能リストデータ214、および同時使用制限機能リストデータ215に加え、プログラムとして機能制限管理プログラム108Aが、データとしてユーザリストデータ1101および情報処理サービスログインユーザリストデータ1102が格納されている。
【0056】
次に、図12を用いて本発明の第2実施形態に係る機能制限端末プログラムと機能制限管理プログラムのモジュール構成について説明する。
【0057】
図12は、図10に示した機能制限端末プログラムと図11に示した機能制限管理プログラムのモジュール構成を説明する構成図である。機能制限端末プログラム107Aは、状態確認および制限判断部402から構成されている。状態確認および制限判断部402は、管理計算機102Aから送られてくる確認リストデータ213の内容に従い、端末101Aの状態を確認、端末101Aのセキュリティレベルの決定を行うモジュールである。
【0058】
機能制限管理プログラム108Aは、データ管理部405、データ変更インターフェース部406、および情報処理サービスログイン部1201から構成されている。データ管理部405は、管理計算機102Aの確認リストデータ213および制限機能リストデータ214、同時使用制限機能リストデータ215、ユーザリストデータ1101、および情報処理サービスログインユーザリストデータ1102を管理する処理を行うモジュールである。データ変更インターフェース部406は、各データの変更インターフェースを管理者105に提供している。また、情報処理サービスログインユーザリストデータ1102を端末101A経由で変更するインターフェースをユーザ104に提供するモジュールである。
【0059】
次に、図13および図14を用いて本発明の第2実施形態に係る情報処理制限システムのデータ構造について説明する。
【0060】
図13は、図11に示したユーザリストデータの構成を説明する図である。図13に示すように、ユーザリストデータ1101は、管理計算機ユーザID1301、および管理計算機ログインパスワード1302の各フィールドから構成されている。ユーザID1301は、ユーザ104が情報処理サービスを利用するために、端末101Aから管理計算機102Aにログインする際のユーザ104の識別子を格納するフィールドである。管理計算機ログインパスワード1302は、同じく管理計算機102Aにログインする際のユーザ104のパスワードを格納するフィールドである。管理計算機102Aの機能制限管理プログラム108Aは、ユーザ104の入力したユーザIDとパスワードの組がユーザリストデータ1101にある場合、ユーザ104が情報処理サービスを利用できるようにする。管理者105は、組織のユーザリストにあわせて、ユーザリストデータ1101の内容を事前に設定しておく。
【0061】
図14は、図11に示した情報処理サービスログインユーザリストデータの構成を説明する図である。図14に示すように、情報処理サービスログインユーザリストデータ1102は、サービスログイン情報ID1401、管理計算機ユーザID1402、制限機能ID1403、サービスログインID1404、およびサービスログインパスワード1405の各フィールドから構成されている。サービスログイン情報ID1401は、管理計算機ユーザIDに対応した情報処理サービスへのログインIDとログインパスワードの組を管理するための識別子を格納するフィールドである。管理計算機ユーザID1402は、管理計算機102AへのログインIDを格納するフィールドである。制限機能ID1403は、制限機能リストデータ214に記載された情報処理サービスの識別子を格納するフィールドである。サービスログインID1404は、サービスログイン情報ID1401と制限機能ID1403の示す情報処理サービスに対応した情報処理サービスへのログイン時に使用するログインIDを格納するフィールドである。サービスログインパスワード1405は、同じく情報処理サービスへのログインに使用するパスワードを格納するフィールドである。ユーザ104は、情報処理サービスへのログインIDとパスワードを事前に情報処理サービスログインユーザリストデータ1102に登録しておく。
【0062】
前記のように構築した情報処理制限システム100Aにより、組織のユーザ104が端末101Aを使用して情報処理サービスを利用する際に、端末101Aの状態により情報処理サービスの利用が制限される。
【0063】
次に、図15乃至図17を用いて本発明の第2実施形態に係る情報処理制限システムの動作について説明する。
【0064】
図15は、本発明の第2実施形態における情報処理サービスの利用開始に係る動作を説明するタイミングチャートである。
【0065】
まず、端末101Aは、ユーザ104に管理計算機102AへのログインIDとログインパスワードの入力を促し、ユーザ104が入力したログインIDとログインパスワードとを管理計算機102Aに送信する(S1501)。管理計算機102Aは、送信されたログインIDとログインパスワードとが正しいかユーザリストデータ1101により判定し、正しい場合は、確認リストデータ213を端末101Aに返信する(S1502)。端末101Aでは、確認リストデータ213に従い端末101Aの状態の確認、端末101Aのセキュリティレベルの決定を行い、決定したセキュリティレベルを管理計算機102Aに送信する(S1503)。管理計算機102Aは、送信された端末101Aのセキュリティレベルが制限機能リストデータ214の使用可能レベル値604以上の情報処理サービスを提供する各情報処理サーバ計算機103に対して、それぞれログインを行う(S1504)。情報処理サーバ計算機103へのログインには、情報処理サービスログインユーザリストデータ1102に記載されたサービスログインID1404とサービスログインパスワード1405とを使用する。また、送信された端末101Aのセキュリティレベルが制限機能リストデータ214の使用可能レベル値604より小さい情報処理サービスを提供する情報処理サーバ計算機103に対しては、ログインを行わず機能制限を行う。情報処理サービスを提供する各情報処理サーバ計算機103へのログインが成功すると、情報処理サーバ計算機103は、一時的なアクセスキーとなる各ログインセッションIDを管理計算機102Aに返信する(S1505)。
【0066】
情報処理サービスを提供する情報処理サーバ計算機103へのログインが成功した場合、管理計算機102Aは、機能制限の判断結果と各ログインセッションIDを端末101Aに返信する(S1506)。但し、同時使用制限機能リストデータ215で同時使用が制限されたログインセッションIDは除いて返信する。また、情報処理サービスを提供する情報処理サーバ計算機103へのログインが失敗した場合や、機能制限により情報処理サービスを提供する情報処理サーバ計算機103にログインしなかった場合には、機能制限の判断結果のみを端末101Aに返信する。
【0067】
そして、端末101Aは、管理計算機102Aから送信されてきたログインセッションIDを使用して情報処理サービスを提供する各情報処理サーバ計算機103に接続し(S1507)、ユーザ104は、接続された各情報処理サーバ計算機103が提供する情報処理サービスを利用することができるようになる。このように、情報処理サービスを利用するときに、制限機能リストデータ214に記載された情報処理サービスを提供する各情報処理サーバ計算機103へのログイン結果に基づいて、情報処理サービスの利用が制限されるので、複数の情報処理サービスの利用を制限するかどうかを一度に行うことができる。
【0068】
なお、本実施形態では、管理計算機102Aが情報処理サービスへのログインを実施しているが、これに限定されず、機能制限がない場合に管理計算機102Aが情報処理サービスへのログインIDとパスワードを端末101Aに送信し、端末101Aから情報処理サービスへログインするようにしてもよい。また、管理計算機102Aが、送信された端末101Aのセキュリティレベルが制限機能リストデータ214の使用可能レベル値604と同じか大きい各情報処理サービスに対してそれぞれログインを行っているが、これに限定されず、同時使用制限機能リストデータ215で同時使用が制限された情報処理サービスを除いてログインを行うようにしてもよい。
【0069】
図16は、本発明の第2実施形態における情報処理サービスへの再接続に係る動作を説明するタイミングチャートである。
【0070】
ユーザ104が情報処理サービスを利用中に、当該情報処理サービスがタイムアウトしていた場合、情報処理サービスに利用要求を送信すると(S1601)、情報処理サーバ計算機103は端末101Aにタイムアウト通知を返信する(S1602)。
【0071】
機能制限端末プログラム107Aは、再度ユーザ104に管理計算機102AへのログインIDとログインパスワードの入力を促し、ユーザ104が入力したログインIDおよびログインパスワードと、タイムアウトしている情報処理サービスの情報を管理計算機102Aに送信する(S1603)。
【0072】
管理計算機102Aは、送信されたログインIDとログインパスワードとが正しいかユーザリストデータ1101により判定し、正しい場合は、確認リストデータ213を端末101Aに返信する(S1604)。端末101Aでは、確認リストデータ213に従い端末101Aの状態の確認、端末101Aのセキュリティレベルの決定を行い、決定したセキュリティレベルを管理計算機102Aに送信する(S1605)。
【0073】
管理計算機102Aは、タイムアウトしている情報処理サービスが制限機能リストデータ214に記載されている制限機能の場合、送信された端末101Aのセキュリティレベルが制限機能リストデータ214の使用可能レベル値604以上か否かを判定し、端末101Aのセキュリティレベルが制限機能リストデータ214の使用可能レベル値604以上のときに、タイムアウトしている情報処理サービスを提供する情報処理サーバ計算機103にログインする(S1606)。また、タイムアウトしている情報処理サービスが制限機能リストデータ214に記載されている制限機能ではない場合には、そのままタイムアウトしている情報処理サービスを提供する情報処理サーバ計算機103にログインする。情報処理サーバ計算機103へのログインが成功すると、情報処理サーバ計算機103は、ログインセッションIDを管理計算機102Aに返信する(S1607)。
【0074】
管理計算機102Aは、機能制限の判断結果とログインセッションIDを端末101Aに返信し(S1608)、端末101Aは、管理計算機102Aから送信されてきたログインセッションIDを使用し、情報処理サービスへ再度接続する(S1609)。これにより、ユーザ104は、管理計算機102Aから得たセッションIDを使用して情報処理サービスを利用再開できる。
【0075】
図17は、本発明の第2実施形態におけるパスワード変更に係る動作を説明するタイミングチャートである。
【0076】
機能制限端末プログラム107Aは、あらかじめ決められた周期で以下の処理を実施する。機能制限端末プログラム107Aは、最初に、ユーザ104が情報処理サービスを利用していないかどうかを判定する(S1701)。ユーザ104が情報処理サービスを利用していないかどうかは、例えば、ある指定した期間以上にユーザ104が管理計算機102Aにログインしていないときには、ユーザ104が情報処理サービスを利用していないものと判定したり、深夜などある決められた時間帯には、ユーザ104が情報処理サービスを利用していないものと判定したりすることで行う。
【0077】
ユーザ104が情報処理サービスを利用していない場合には、該当情報処理サービスに対して、S1702〜S1706のパスワード変更処理を実施する。まず、管理計算機102Aは情報処理サービスを提供する情報処理サーバ計算機103にログインし(S1702)、ログインセッションIDを受け取る(S1703)。ログインセッションIDを受け取りログインできた場合、管理計算機102Aは新規パスワードを生成し(S1704)、情報処理サーバ計算機103にパスワード変更要求を送信する(S1705)。このとき、生成した新規パスワードと、情報処理サーバ計算機103からの要求に応じて現パスワードを情報処理サーバ計算機103に送信する。そして、管理計算機102Aは情報処理サーバ計算機103からパスワード変更結果を受け取り(S1706)、パスワードが正しく変更されていれば、サービスログインパスワード1405の内容を変更する(S1707)。これにより、ユーザ104が定期的にパスワードを変更する必要がなくなる。
【0078】
このように、本実施形態によれば、情報処理サービスを利用するときに、制限機能リストデータ214に記載された情報処理サービスを提供する各情報処理サーバ計算機103へのログイン結果に基づいて、情報処理サービスの利用が制限されるので、複数の情報処理サービスの利用を制限するかどうかを一度に行うことができる。これにより、個々の情報処理サービスを利用する毎に制限するかどうかを確認する必要がなく、情報処理サービスの利用を制限するための処理時間を短縮することができる。
【0079】
次に、図18乃至図21を用いて本発明の第3実施形態を説明する。本発明の第3実施形態は、端末で1つ以上の保護対象の情報処理サービスを利用する際に、利用中であった他の情報処理サービスのプロセスによる影響の抑止、印刷やプリントスクリーン等の機能制限を行う方法、情報処理サービスを保護対象として登録する方法を実現する形態である。なお、前述した実施形態と同一構成部分は同一符号をもって表し、その詳細な説明を省略する。
【0080】
本発明の第3実施形態に係る情報処理制限システム100Bの全体構成は、図1に示した情報処理制限システム100の全体構成と同様であるため、図示およびその説明を省略する。第3実施形態と第1実施形態との相違点は、端末101に代えて端末101Bを、管理計算機102に代えて管理計算機102Bをそれぞれ用いるようにしたことである。
【0081】
図18は、本発明の第3実施形態における端末の構成を説明する構成図である。図2に示した第1実施形態における端末101とは異なり、端末101Bの記憶装置202には、データとして保護対象サービスリストデータ1801(保護対象の情報)および機能制限リストデータ1802(制限対象機能の情報)が格納されている。なお、端末101Bの記憶装置202に格納されている機能制限端末プログラム107Bは、図2に示した第1実施形態における機能制限端末プログラム107と同等の機能を有する。
【0082】
図19は、本発明の第3実施形態における管理計算機の構成を説明する構成図である。図3に示した第1実施形態における管理計算機102とは異なり、管理計算機102Bの記憶装置202には、データとして保護対象サービスリストデータ1801および機能制限リストデータ1802が格納されている。なお、管理計算機102Bの記憶装置202に格納されている機能制限管理プログラム108Bは、図3に示した第1実施形態における機能制限管理プログラム108と同等の機能を有する。
【0083】
次に、図20および図21を用いて本発明の第3実施形態に係る情報処理制限システムのデータ構造について説明する。
【0084】
図20は、図18に示した保護対象サービスリストデータの構成を説明する図である。図20に示すように、保護対象サービスリストデータ1801は、保護対象サービスID2001、保護対象サービス名2002、保護対象サーバURL(Uniform Resource Locator)2003、連携サーバURL2004、および利用可能レベル値2005の各フィールドから構成されている。
【0085】
保護対象サービスID2001は、保護する対象の情報処理サービスについて情報処理制限システム100B内で一意となる識別子を記載するフィールドである。保護対象サービス名2002は、保護対象サービスID2001に対応する機能の名称を記載するフィールドである。保護対象サーバURL2003は、保護対象とする情報処理サービスを識別するサーバのURLを記載するフィールドである。連携サーバURL2004は、保護対象の情報処理サービスがサービスを行う際に連携するサーバ(連携サーバ)のURLを記載するフィールドである。利用可能レベル値2005は、保護対象サービスID2001に対応する機能を、利用制限せずに利用可能とする端末101Bのセキュリティレベルを記載するフィールドである。管理者105は、組織の方針にあわせて、保護対象サービスリストデータ2001の内容を事前に設定しておく。管理者105は、保護対象サービスリスト1801の内容に追加または変更を行う際に、図23に示すフローで、機能制限管理プログラム108Bのデータ変更インターフェース部406(図4参照)の提供する機能を使用することができる。
【0086】
なお、連携サーバとは、ユーザが保護対象サーバから提供される情報処理サービスを形成するのに必要なデータを格納するサーバである。情報処理クライアントプログラム211により、情報処理サービス計算機103からの保護対象となる情報処理サービスを受ける際に、情報処理サービス計算機103から情報処理クライアントプログラム211に対して他の情報処理サービス計算機103(連携サーバ)へのアクセスを指示することがある。例えば、画像データを表示することにより保護対象となる情報処理サービスを提供する場合、その情報処理サービスを提供する保護対象サーバには、連携サーバへのリンクだけが登録されており、画像データ自身は連携サーバが保有しているとき、連携サーバへのアクセスの指示が行われる。このアクセスの指示対象となるURLが、連携サーバURL2004である。連携サーバによる「連携」とは、保護対象となる情報処理サービスを実現する情報処理サービス計算機103から、その情報処理サービスを実現するためのアクセスの指示を受ける状態にあることをいう。基本的に連携サーバ自身が実現する情報処理サービスは保護対象とはならない。連携サーバURL2004には、保護対象サーバに連携する連携サーバに連携するサーバ(保護対象サーバには連携していない)のURLも登録される。
【0087】
図21は、図18に示した機能制限リストデータの構成を説明する図である。図21に示すように、機能制限リストデータ1802は、保護対象サービスID2001、および制限機能2101の各フィールドから構成されている。制限機能2101は、保護対象サービスIDに対応した情報処理サービスを使用時に制限する機能の一覧を格納するフィールドである。制限機能2101に格納される機能は、基本的には情報漏洩を引き起こす可能性のある機能であるが、より具体的には、情報を一時的であれ半永久的であれ記憶部(メモリ201、記憶装置202等)に記憶させ、外部からの操作によってその情報が読み出されることになる機能である。管理者105は、組織の方針にあわせて、機能制限リストデータ1802の内容を事前に設定しておく。
【0088】
前記のように構築した情報処理制限システム100Bにより、組織のユーザ104が端末101Bを使用して情報処理サービスを利用する際に、端末101Bの状態により情報処理サービスの利用が制限される。端末101Bは、情報処理サービスの制限の際に機能制限端末プログラム107Bが参照する確認リストデータ213、保護対象サービスリストデータ1801、および機能制限リストデータ1802を、端末起動時や終了時、起動中に管理計算機102Bから最新のものを入手する。
【0089】
次に、図22および図23を用いて本発明の第3実施形態に係る情報処理制限システムの動作について説明する。
【0090】
図22は、本発明の第3実施形態においてユーザが保護対象ではない一般の情報処理サービスを利用中に、保護対象サービスを利用する際の動作を説明するタイミングチャートである。
【0091】
まず、端末101Bの機能制限端末プログラム107Bは、端末状態を、端末101Bの起動時や起動中に定期的に確認し(S2201)、最新のセキュリティレベルを決定する。ユーザ104が情報処理クライアントプログラム211に情報処理サービス(一般サービスであったとする)の利用を要求する(S2202)と、情報処理クライアントプログラム211は、利用要求された情報処理サービスのURLを機能制限端末プログラム107Bに送り、要求されたサービスが保護対象かどうかの判定を依頼(サービス判定依頼)する(S2203)。機能制限端末プログラム107Bは、送られたURLが保護対象サービスリスト1801の保護対象サーバURL2003に該当するかどうかを確認し、該当しなければ保護対象サービスではない一般サービスとして、判定結果を返す(S2204)。情報処理クライアントプログラム211は、一般サービスとして判定された場合は、ユーザに情報処理サービスの機能(例:(一般サービス用の)サービス画面)をそのまま提供する(S2205)。
【0092】
その後、ユーザが新たなサービス(保護対象サービスであったとする)の利用を要求する(S2206)と、情報処理クライアントプログラム211は、S2203と同様に、機能制限端末プログラム107Bに要求されたサービスが保護対象かどうかの判定を依頼(サービス判定依頼)する(S2207)。機能制限端末プログラム107Bは、送られたURLが保護対象サービスリスト1801の保護対象サーバURL1803に該当するかどうかを確認し、該当した場合、保護対象サービスであるとして、ユーザに保護対象である旨と現在使用中の一般の情報処理サービスプロセスを休止する旨をダイアログ表示で伝える(S2208)。なお、情報処理のサービスプロセスを休止するときは、例えば、そのサービスプロセスを実現するスクリプトにおいて、そのサービスプロセスを無効化するスクリプトコードを挿入するという方法がある。
【0093】
ユーザは、保護対象サービスの利用を継続するかキャンセルするかをダイアログ入力にて返信する(S2209)。キャンセルを選択した場合、機能制限端末プログラム107Bは、新たな情報処理サービスの利用を継続しないよう情報処理クライアントプログラム211に指示し、情報処理クライアントプログラム211は、S2206のサービス利用の要求を拒否する。
【0094】
S2209においてユーザが継続を選択した場合、機能制限要求プログラム107Bは、既存の情報処理クライアントプログラム211の全てのプロセスに対して休止命令(プロセス休止)を出し(S2210)、プロセスを休止する(S2211)。また、機能制限端末プログラム107Bは、利用要求の該当保護対象サービスに対応した機能制限リストデータ1802記載の機能制限の開始をOSプログラム210に対して要求する(S2212)。そして、機能制限端末プログラム107Bは、情報処理クライアントプログラム211の新たなプロセスを生成し、ユーザ104の利用要求した情報処理サービスのURLを新たなプロセス(新規プロセス)に送信する(S2213)。
【0095】
情報処理クライアントプログラム211の新規プロセスはユーザ104の利用要求した情報処理サービスのURLにアクセスし、(保護対象)サービス画面をユーザ104に提供する(S2214)。ユーザ104は新規プロセスの提供するサービス画面を利用して(保護対象)サービスを利用する(S2215)。この際、新規プロセスは保護対象サーバURLとその連携サーバURLに記載されたURL以外へのアクセスを禁止する。また、新たな情報処理サービスの起動を抑止する。なお、連携サーバURLの場合は、保護対象サーバURLの場合とは違い、当該URLに対して情報処理クライアントプログラム211がアクセスしても、前記休止(S2211)を行う、といった保護モードに移行することはない。一方、保護モード中において、保護対象サーバURLとそれに対応する連携サーバURLは情報処理クライアントプログラム2211によるアクセスは可能である。
【0096】
その後、ユーザが(保護対象)サービスの利用を終了する(S2216)と、新規プロセスは、サービス利用終了を機能制限端末プログラム107Bに通知し(S2217)、新規プロセスを終了する。機能制限端末プログラム107Bは、新規プロセスによるサービス終了通知や、新規プロセスの終了の検知により、保護対象サービスの利用終了を確認すると、S2212で開始した機能制限の終了をOSプログラム210に依頼した後(S2218)、S2211で休止していた一般の情報処理サービスのプロセスを再開するように要求する(S2219)。なお、情報処理のサービスプロセスを再開するときは、例えば、そのサービスプロセスを実現するスクリプトに挿入した、そのサービスプロセスを無効化するスクリプトコードは、保護対象サービスの利用終了を確認できたという条件が満たされれば失効するという機能を持たせたものにする、という方法がある。
【0097】
最後に、情報処理クライアントプログラム211は、機能制限端末プログラム107Bからの要求を受けて休止していた一般の情報処理サービスのプロセスを再開する(S2220)。なお、図22およびその説明において、プロセスとはOSプログラム210からメモリ領域などのリソースの割当を受けて処理を実行されているプログラムのことを言う。また、マルチスレッドに対応したOSプログラム210の端末では、図22およびその説明におけるプロセスの部分は、スレッドに置き換えることもできる。
【0098】
図23は、本発明の第3実施形態において管理者105が保護対象サービスリストデータ1801に新たな保護対象サービスを追加する際の動作を説明するタイミングチャートである。
【0099】
管理者105(外部)が、管理計算機102の機能制限管理プログラム108Bに対して、データの変更要求を出す(S2301)と、管理計算機102は、データの管理画面を管理者105に提供する(S2302)。管理者105がデータの管理画面上で、保護対象サービスの追加を要求(サービス登録要求)する(S2303)と、管理計算機102は、保護対象サービスを記録するための画面(サービス記録画面)を提供する(S2304)。
【0100】
管理者105は、サービス記録画面上で新たに登録したい保護対象サービスのURLを入力し、その情報処理サービスを一通り利用する(S2306)。その際、管理計算機102は、情報処理サーバ計算機103にアクセスし、管理者105の入力する情報処理サービスへの入力情報を情報処理サーバ計算機103に送る(S2307)と共に、情報処理サーバ計算機103が返す画面などの情報を管理者105に返す。このような情報の送受信が、管理者105、管理計算機102、情報処理サーバ計算機103の間でなされる(サービスリレー)。なお、管理計算機102がアクセスする情報処理サーバ計算機103には、保護対象サーバとなるものが含まれているのは勿論のこと、その保護対象サーバに連携する連携サーバとなるものも含まれる。また、管理計算機102は、サービスの利用中にアクセスされたURL(所在情報;当該情報処理サービスの所在を示す情報)を全て記録する(S2305)。
【0101】
管理者105が情報処理サービスを一通り利用し、利用したサービスの記録が終了したらその旨を管理計算機102に通知する(S2308)。管理計算機102は、管理者105のサービス利用中に記録したURLから、保護対象サーバURLフィールド2003に記載するURLと連携サーバURLフィールド2004に記載するURLを解析し、それぞれのフィールド(2003、2004)にどのURLを振り分けるかを決定する(S2309)。ここで、決定したURLのリストをURL変更画面として管理者105に提示し(S2310)、管理者105からURLの変更の指示を受け付ける(S2311)。この際、管理者105に保護対象サービス名と利用可能レベル値を、それぞれ保護対象サービス名2002と利用可能レベル値2005のフィールドに登録するために、入力させる。
【0102】
最後に、これらのデータを保護対象サービスリストデータ1801に新たな保護対象サービスとして追加して保存する(S2312)。なお、保護対象サービスリストデータ1801において、新たな保護対象サービスに対して付される保護対象サービスID2001は、例えば、前記追加時に自動的に生成される。
【0103】
このように、本実施形態によれば、保護対象サービスリストデータ1801に記載された保護対象の情報処理サービスをユーザが利用する際に、実行中の情報処理クライアントプログラムのプロセスは休止される、また印刷などの機能を制限されるため、保護対象の情報処理サービスを使用中に、保護対象の情報処理サービスの持つ情報を他のプロセスやメモリ、媒体などに不正にコピーされることを防止することができる。また、実際に管理者が保護対象サービスを使用することで保護対象サービスのリストを作成することができ、周知のURLフィルタリング技術(アクセスを禁止したいURLを特定する技術)を用いたときと比べて、保護対象サービスのリストを作成する時間を短縮することができる。
【0104】
なお、本発明の構成は、前記実施形態にのみ限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々変更を加えてもよい。
【0105】
例えば、第3実施形態において、保護対象サービスを利用するときには、既に利用していた一般サービスの利用を休止するように制御した(図22参照)が、休止の代わりに停止、つまり、一般サービスの利用を終了しても良い。具体的には、情報処理のサービスプロセスを停止するために、例えば、そのサービスプロセスを実現するスクリプトにおいて、そのサービスプロセスを終了するスクリプトコードを挿入する。一般サービスの利用を停止する場合、特に、OSプログラムによる機能制限を行う必要は基本的には無くなるものの、保護対象サービスに対する保護強化のために、または、悪意のあるユーザからの不正操作を未然に防ぐために前記機能制限を行っても良い。
【0106】
その他、ハードウェア、ソフトウェア、各フローチャートなどの具体的な構成について、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。
【図面の簡単な説明】
【0107】
【図1】本発明に係る情報処理制限システムの全体構成を説明する概略構成図である。
【図2】図1に示した端末の構成を説明する構成図である。
【図3】図1に示した管理計算機の構成を説明する構成図である。
【図4】図2に示した機能制限端末プログラムと図3に示した機能制限管理プログラムのモジュール構成を説明する構成図である。
【図5】図2および図3に示した確認リストデータの構成を説明する図である。
【図6】図2および図3に示した制限機能リストデータの構成を説明する図である。
【図7】図2および図3に示した同時使用制限機能リストデータの構成を説明する図である。
【図8】図2に示した監視対象機能リストデータの構成を説明する図である。
【図9】図2に示した機能制限端末プログラムを説明するフローチャートである。
【図10】本発明の第2実施形態における端末の構成を説明する構成図である。
【図11】本発明の第2実施形態における管理計算機の構成を説明する構成図である。
【図12】図10に示した機能制限端末プログラムと図11に示した機能制限管理プログラムのモジュール構成を説明する構成図である。
【図13】図11に示したユーザリストデータの構成を説明する図である。
【図14】図11に示した情報処理サービスログインユーザリストデータの構成を説明する図である。
【図15】本発明の第2実施形態における情報処理サービスの利用開始に係る動作を説明するタイミングチャートである。
【図16】本発明の第2実施形態における情報処理サービスへの再接続に係る動作を説明するタイミングチャートである。
【図17】本発明の第2実施形態における情報処理サービスのパスワード変更に係る動作を説明するタイミングチャートである。
【図18】本発明の第3実施形態における端末の構成を説明する構成図である。
【図19】本発明の第3実施形態における管理計算機の構成を説明する構成図である。
【図20】図18に示した保護対象サービスリストデータの構成を説明する図である。
【図21】図18に示した機能制限リストデータの構成を説明する図である。
【図22】本発明の第3実施形態における情報処理サービスの利用に係る動作を説明するタイミングチャートである。
【図23】本発明の第3実施形態における保護対象サービスリストデータの作成に係る動作を説明するタイミングチャートである。
【符号の説明】
【0108】
100…情報処理制限システム、101,101A、101B…端末、102,102A、102B…管理計算機、103…情報処理サーバ計算機、104…ユーザ、105…機能制限管理者、106…ネットワーク、107,107A、107B…機能制限端末プログラム、108,108A、108B…機能制限管理プログラム、109…情報処理サーバプログラム、201…メモリ、202…記憶装置、203…バス、204…プロセッサ、205…I/Oハードウェア、206…通信ハードウェア、207…モニタ、208…キーボード、209…マウス、210…OSプログラム、211…情報処理クライアントプログラム、212…端末情報処理プログラム、213…確認リストデータ、214…制限機能リストデータ、215…同時使用制限機能リストデータ、216…監視対象機能リストデータ、401…端末データ管理部、402…状態確認および制限判断部、403…機能制限部、404…機能使用開始および終了検知部、405…データ管理部、406…データ変更インターフェース部、407…データ送信部、501…確認IDフィールド、502…確認内容フィールド、503…不適合時適用セキュリティレベル値、601…制限機能IDフィールド、602…機能内容フィールド、603…機能説明フィールド、604…利用可能レベル値フィールド、701…機能制限IDフィールド、702…同時使用制限機能IDフィールド、801…プロセスIDフィールド、802…制限機能IDフィールド、803…同時使用制限機能IDフィールド、1101…ユーザリストデータ、1102…情報処理サービスログインユーザリストデータ、1201…情報処理サービスログイン部、1301…管理計算機ユーザIDフィールド、1302…管理計算機ログインパスワード、1401…サービスログイン情報IDフィールド、1402…管理計算機ユーザIDフィールド、1403…制限機能IDフィールド、1404…サービスログインIDフィールド、1405…サービスログインパスワードフィールド、1801…保護対象サービスリストデータ、1802…機能制限リストデータ、2001…保護対象サービスIDフィールド、2002…保護対象サービス名、2003…保護対象サーバURLフィールド、2004…連携サーバURLフィールド、2005…利用可能レベル値フィールド、2101…制限機能フィールド。
【特許請求の範囲】
【請求項1】
情報処理サービスを提供するサーバ計算機と、
前記サーバ計算機に接続し、前記情報処理サービスを利用する計算機とを備え、
前記計算機は、前記情報処理サービスを利用するときに、該情報処理サービスの利用に要求されるセキュリティ状態に基づいて、該情報処理サービスの利用を制限する制限部を有する
ことを特徴とする情報処理制限システム。
【請求項2】
複数の前記サーバ計算機を備え、
前記制限部は、前記情報処理サービスを利用するときに、同時利用が制限される前記情報処理サービスの組に基づいて、前記情報処理サービスの利用を制限する
ことを特徴とする請求項1に記載の情報処理制限システム。
【請求項3】
前記各サーバ計算機は、前記計算機の接続を制限する接続制限部を有し、
前記計算機は、前記接続制限部による接続制限を解除する接続制限解除部を有し、
前記制限部は、前記情報処理サービスを利用するときに、接続制限解除部による解除結果に基づいて、前記情報処理サービスの利用を制限する
ことを特徴とする請求項2に記載の情報処理制限システム。
【請求項4】
前記計算機は、情報処理を実行する情報処理部を有し、
前記制限部は、前記情報処理を実行するときに、該情報処理の実行に要求されるセキュリティ状態に基づいて、該情報処理の実行を制限する
ことを特徴とする請求項1に記載の情報処理制限システム。
【請求項5】
前記情報処理部は、複数の前記情報処理を同時に実行可能であり、
前記制限部は、前記情報処理を実行するときに、同時実行が制限される前記情報処理の組に基づいて、前記情報処理の実行を制限する
ことを特徴とする請求項4に記載の情報処理制限システム。
【請求項6】
前記制限部は、前記情報サービスを利用するときに、前記情報処理サービスと前記情報処理との組に基づいて、前記情報処理の実行を制限する
ことを特徴とする請求項4に記載の情報処理制限システム。
【請求項7】
前記制限部は、前記情報処理を実行するときに、前記情報処理サービスと前記情報処理との組に基づいて、前記情報処理サービスの利用を制限する
ことを特徴とする請求項4に記載の情報処理制限システム。
【請求項8】
情報処理サービスを提供するサーバ計算機に接続し、該情報処理サービスを利用する情報処理制限装置であって、
前記情報処理サービスを利用するときに、該情報処理サービスの利用に要求されるセキュリティ状態に基づいて、該情報処理サービスの利用を制限する制限部を備える
ことを特徴とする情報処理制限装置。
【請求項9】
前記サーバ計算機は複数存在し、
前記制限部は、前記情報処理サービスを利用するときに、同時利用が制限される前記情報処理サービスの組に基づいて、前記情報処理サービスの利用を制限する
ことを特徴とする請求項8に記載の情報処理制限装置。
【請求項10】
前記各サーバ計算機による接続制限をそれぞれ解除する接続制限解除部を備え、
前記制限部は、前記情報処理サービスを利用するときに、接続制限解除部による解除結果に基づいて、前記情報処理サービスの利用を制限する
ことを特徴とする請求項9に記載の情報処理制限装置。
【請求項11】
情報処理を実行する情報処理部を備え、
前記制限部は、前記情報処理を実行するときに、該情報処理の実行に要求されるセキュリティ状態に基づいて、該情報処理の実行を制限する
ことを特徴とする請求項8に記載の情報処理制限装置。
【請求項12】
前記情報処理部は複数の前記情報処理を同時に実行可能であり、
前記制限部は、前記情報処理を実行するときに、同時実行が制限される前記情報処理の組に基づいて、前記情報処理の実行を制限する
ことを特徴とする請求項11に記載の情報処理制限装置。
【請求項13】
前記制限部は、前記情報サービスを利用するときに、前記情報処理サービスと前記情報処理との組に基づいて、前記情報処理の実行を制限する
ことを特徴とする請求項11に記載の情報処理制限装置。
【請求項14】
前記制限部は、前記情報処理を実行するときに、前記情報処理サービスと前記情報処理との組に基づいて、前記情報処理サービスの利用を制限する
ことを特徴とする請求項11に記載の情報処理制限装置。
【請求項15】
情報処理サービスを提供するサーバ計算機に接続し、該情報処理サービスを利用する計算機により実行される情報処理制限プログラムであって、
前記情報処理サービスを利用するときに、該情報処理サービスの利用に要求されるセキュリティ状態に基づいて、該情報処理サービスの利用を制限する制限ステップを備える
ことを特徴とする情報処理制限プログラム。
【請求項16】
前記サーバ計算機は複数存在し、
前記制限ステップは、前記情報処理サービスを利用するときに、同時利用が制限される前記情報処理サービスの組に基づいて、前記情報処理サービスの利用を制限するステップを含む
ことを特徴とする請求項15に記載の情報処理制限プログラム。
【請求項17】
前記各サーバ計算機による接続制限をそれぞれ解除する接続制限解除ステップを備え、
前記制限ステップは、前記情報処理サービスを利用するときに、接続制限解除ステップによる解除結果に基づいて、前記情報処理サービスの利用を制限するステップを含む
ことを特徴とする請求項16に記載の情報処理制限プログラム。
【請求項18】
情報処理を実行する情報処理ステップを備え、
前記制限ステップは、前記情報処理を実行するときに、該情報処理の実行に要求されるセキュリティ状態に基づいて、該情報処理の実行を制限するステップを含む
ことを特徴とする請求項15に記載の情報処理制限プログラム。
【請求項19】
前記情報処理ステップは、複数の前記情報処理を同時に実行可能であり、
前記制限ステップは、前記情報処理を実行するときに、同時実行が制限される前記情報処理の組に基づいて、前記情報処理の実行を制限するステップを含む
ことを特徴とする請求項18に記載の情報処理制限プログラム。
【請求項20】
前記制限ステップは、前記情報サービスを利用するときに、前記情報処理サービスと前記情報処理との組に基づいて、前記情報処理の実行を制限するステップを含む
ことを特徴とする請求項18に記載の情報処理制限プログラム。
【請求項21】
前記制限ステップは、前記情報処理を実行するときに、前記情報処理サービスと前記情報処理との組に基づいて、前記情報処理サービスの利用を制限するステップを含む
ことを特徴とする請求項18に記載の情報処理制限プログラム。
【請求項22】
前記計算機の記憶部は、
前記セキュリティ状態と、情報漏洩の保護対象となる前記情報処理サービスとを対応付けた保護対象情報と、
前記保護対象となる情報処理サービスと、前記計算機で実行され、情報漏洩を引き起こす可能性のある機能とを対応付けた制限対象機能情報と、
を記憶し、
前記計算機の制限部は、
前記計算機がある情報処理サービスを既に利用している場合において、前記保護対象となる情報処理サービスの利用を開始するとき、前記保護対象情報を参照して、前記保護対象となる情報処理サービスの利用に要求されるセキュリティ状態が満たされれば、既に利用している情報処理サービスのプロセスを休止するとともに、前記制限対象機能情報を参照して、利用を開始する、保護対象となる情報処理サービスに対応した機能を制限し、
前記保護対象となる情報処理サービスの利用が終了するとき、前記休止していた情報処理サービスのプロセスを再開するともに、前記機能の制限を終了する
ことを特徴とする請求項1に記載の情報処理システム。
【請求項23】
前記計算機の記憶部は、
前記セキュリティ状態と、情報漏洩の保護対象となる前記情報処理サービスとを対応付けた保護対象情報と、
前記保護対象となる情報処理サービスと、前記計算機で実行され、情報漏洩を引き起こす可能性のある機能とを対応付けた制限対象機能情報と、
を記憶し、
前記計算機の制限部は、
前記計算機がある情報処理サービスを既に利用している場合において、前記保護対象となる情報処理サービスの利用を開始するとき、前記保護対象情報を参照して、前記保護対象となる情報処理サービスの利用に要求されるセキュリティ状態が満たされれば、既に利用している情報処理サービスのプロセスを停止する
ことを特徴とする請求項1に記載の情報処理システム。
【請求項24】
前記サーバ計算機に接続し、前記計算機による前記情報処理サービスの利用を管理する管理計算機を備え、
前記管理計算機の記憶部は、
前記セキュリティ状態と、情報漏洩の保護対象となる前記情報処理サービスとを対応付けた保護対象情報を記憶し、
前記管理計算機の制御部は、
前記保護対象となる情報処理サービスの追加要求を外部から取得すると、当該サーバ計算機へアクセスし、前記外部による前記追加要求した情報処理サービスの利用に基づいて、前記利用された情報処理サービスの所在情報を前記記憶部に記憶し、
前記利用された情報処理サービスの所在情報および前記外部から取得した前記セキュリティ状態に基づいて前記保護対象情報を作成し、前記記憶部に記憶する
ことを特徴とする請求項1に記載の情報処理システム。
【請求項1】
情報処理サービスを提供するサーバ計算機と、
前記サーバ計算機に接続し、前記情報処理サービスを利用する計算機とを備え、
前記計算機は、前記情報処理サービスを利用するときに、該情報処理サービスの利用に要求されるセキュリティ状態に基づいて、該情報処理サービスの利用を制限する制限部を有する
ことを特徴とする情報処理制限システム。
【請求項2】
複数の前記サーバ計算機を備え、
前記制限部は、前記情報処理サービスを利用するときに、同時利用が制限される前記情報処理サービスの組に基づいて、前記情報処理サービスの利用を制限する
ことを特徴とする請求項1に記載の情報処理制限システム。
【請求項3】
前記各サーバ計算機は、前記計算機の接続を制限する接続制限部を有し、
前記計算機は、前記接続制限部による接続制限を解除する接続制限解除部を有し、
前記制限部は、前記情報処理サービスを利用するときに、接続制限解除部による解除結果に基づいて、前記情報処理サービスの利用を制限する
ことを特徴とする請求項2に記載の情報処理制限システム。
【請求項4】
前記計算機は、情報処理を実行する情報処理部を有し、
前記制限部は、前記情報処理を実行するときに、該情報処理の実行に要求されるセキュリティ状態に基づいて、該情報処理の実行を制限する
ことを特徴とする請求項1に記載の情報処理制限システム。
【請求項5】
前記情報処理部は、複数の前記情報処理を同時に実行可能であり、
前記制限部は、前記情報処理を実行するときに、同時実行が制限される前記情報処理の組に基づいて、前記情報処理の実行を制限する
ことを特徴とする請求項4に記載の情報処理制限システム。
【請求項6】
前記制限部は、前記情報サービスを利用するときに、前記情報処理サービスと前記情報処理との組に基づいて、前記情報処理の実行を制限する
ことを特徴とする請求項4に記載の情報処理制限システム。
【請求項7】
前記制限部は、前記情報処理を実行するときに、前記情報処理サービスと前記情報処理との組に基づいて、前記情報処理サービスの利用を制限する
ことを特徴とする請求項4に記載の情報処理制限システム。
【請求項8】
情報処理サービスを提供するサーバ計算機に接続し、該情報処理サービスを利用する情報処理制限装置であって、
前記情報処理サービスを利用するときに、該情報処理サービスの利用に要求されるセキュリティ状態に基づいて、該情報処理サービスの利用を制限する制限部を備える
ことを特徴とする情報処理制限装置。
【請求項9】
前記サーバ計算機は複数存在し、
前記制限部は、前記情報処理サービスを利用するときに、同時利用が制限される前記情報処理サービスの組に基づいて、前記情報処理サービスの利用を制限する
ことを特徴とする請求項8に記載の情報処理制限装置。
【請求項10】
前記各サーバ計算機による接続制限をそれぞれ解除する接続制限解除部を備え、
前記制限部は、前記情報処理サービスを利用するときに、接続制限解除部による解除結果に基づいて、前記情報処理サービスの利用を制限する
ことを特徴とする請求項9に記載の情報処理制限装置。
【請求項11】
情報処理を実行する情報処理部を備え、
前記制限部は、前記情報処理を実行するときに、該情報処理の実行に要求されるセキュリティ状態に基づいて、該情報処理の実行を制限する
ことを特徴とする請求項8に記載の情報処理制限装置。
【請求項12】
前記情報処理部は複数の前記情報処理を同時に実行可能であり、
前記制限部は、前記情報処理を実行するときに、同時実行が制限される前記情報処理の組に基づいて、前記情報処理の実行を制限する
ことを特徴とする請求項11に記載の情報処理制限装置。
【請求項13】
前記制限部は、前記情報サービスを利用するときに、前記情報処理サービスと前記情報処理との組に基づいて、前記情報処理の実行を制限する
ことを特徴とする請求項11に記載の情報処理制限装置。
【請求項14】
前記制限部は、前記情報処理を実行するときに、前記情報処理サービスと前記情報処理との組に基づいて、前記情報処理サービスの利用を制限する
ことを特徴とする請求項11に記載の情報処理制限装置。
【請求項15】
情報処理サービスを提供するサーバ計算機に接続し、該情報処理サービスを利用する計算機により実行される情報処理制限プログラムであって、
前記情報処理サービスを利用するときに、該情報処理サービスの利用に要求されるセキュリティ状態に基づいて、該情報処理サービスの利用を制限する制限ステップを備える
ことを特徴とする情報処理制限プログラム。
【請求項16】
前記サーバ計算機は複数存在し、
前記制限ステップは、前記情報処理サービスを利用するときに、同時利用が制限される前記情報処理サービスの組に基づいて、前記情報処理サービスの利用を制限するステップを含む
ことを特徴とする請求項15に記載の情報処理制限プログラム。
【請求項17】
前記各サーバ計算機による接続制限をそれぞれ解除する接続制限解除ステップを備え、
前記制限ステップは、前記情報処理サービスを利用するときに、接続制限解除ステップによる解除結果に基づいて、前記情報処理サービスの利用を制限するステップを含む
ことを特徴とする請求項16に記載の情報処理制限プログラム。
【請求項18】
情報処理を実行する情報処理ステップを備え、
前記制限ステップは、前記情報処理を実行するときに、該情報処理の実行に要求されるセキュリティ状態に基づいて、該情報処理の実行を制限するステップを含む
ことを特徴とする請求項15に記載の情報処理制限プログラム。
【請求項19】
前記情報処理ステップは、複数の前記情報処理を同時に実行可能であり、
前記制限ステップは、前記情報処理を実行するときに、同時実行が制限される前記情報処理の組に基づいて、前記情報処理の実行を制限するステップを含む
ことを特徴とする請求項18に記載の情報処理制限プログラム。
【請求項20】
前記制限ステップは、前記情報サービスを利用するときに、前記情報処理サービスと前記情報処理との組に基づいて、前記情報処理の実行を制限するステップを含む
ことを特徴とする請求項18に記載の情報処理制限プログラム。
【請求項21】
前記制限ステップは、前記情報処理を実行するときに、前記情報処理サービスと前記情報処理との組に基づいて、前記情報処理サービスの利用を制限するステップを含む
ことを特徴とする請求項18に記載の情報処理制限プログラム。
【請求項22】
前記計算機の記憶部は、
前記セキュリティ状態と、情報漏洩の保護対象となる前記情報処理サービスとを対応付けた保護対象情報と、
前記保護対象となる情報処理サービスと、前記計算機で実行され、情報漏洩を引き起こす可能性のある機能とを対応付けた制限対象機能情報と、
を記憶し、
前記計算機の制限部は、
前記計算機がある情報処理サービスを既に利用している場合において、前記保護対象となる情報処理サービスの利用を開始するとき、前記保護対象情報を参照して、前記保護対象となる情報処理サービスの利用に要求されるセキュリティ状態が満たされれば、既に利用している情報処理サービスのプロセスを休止するとともに、前記制限対象機能情報を参照して、利用を開始する、保護対象となる情報処理サービスに対応した機能を制限し、
前記保護対象となる情報処理サービスの利用が終了するとき、前記休止していた情報処理サービスのプロセスを再開するともに、前記機能の制限を終了する
ことを特徴とする請求項1に記載の情報処理システム。
【請求項23】
前記計算機の記憶部は、
前記セキュリティ状態と、情報漏洩の保護対象となる前記情報処理サービスとを対応付けた保護対象情報と、
前記保護対象となる情報処理サービスと、前記計算機で実行され、情報漏洩を引き起こす可能性のある機能とを対応付けた制限対象機能情報と、
を記憶し、
前記計算機の制限部は、
前記計算機がある情報処理サービスを既に利用している場合において、前記保護対象となる情報処理サービスの利用を開始するとき、前記保護対象情報を参照して、前記保護対象となる情報処理サービスの利用に要求されるセキュリティ状態が満たされれば、既に利用している情報処理サービスのプロセスを停止する
ことを特徴とする請求項1に記載の情報処理システム。
【請求項24】
前記サーバ計算機に接続し、前記計算機による前記情報処理サービスの利用を管理する管理計算機を備え、
前記管理計算機の記憶部は、
前記セキュリティ状態と、情報漏洩の保護対象となる前記情報処理サービスとを対応付けた保護対象情報を記憶し、
前記管理計算機の制御部は、
前記保護対象となる情報処理サービスの追加要求を外部から取得すると、当該サーバ計算機へアクセスし、前記外部による前記追加要求した情報処理サービスの利用に基づいて、前記利用された情報処理サービスの所在情報を前記記憶部に記憶し、
前記利用された情報処理サービスの所在情報および前記外部から取得した前記セキュリティ状態に基づいて前記保護対象情報を作成し、前記記憶部に記憶する
ことを特徴とする請求項1に記載の情報処理システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【公開番号】特開2009−259198(P2009−259198A)
【公開日】平成21年11月5日(2009.11.5)
【国際特許分類】
【出願番号】特願2008−276785(P2008−276785)
【出願日】平成20年10月28日(2008.10.28)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
【公開日】平成21年11月5日(2009.11.5)
【国際特許分類】
【出願日】平成20年10月28日(2008.10.28)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
[ Back to top ]