情報処理端末および管理サーバ
【課題】作業データ等を情報処理端末上に残さない機能を備える情報処理端末において、所定のデータについては、端末のセキュリティを確保したまま例外的に端末上に残すことを課題とする。
【解決手段】情報処理端末1cに、データが情報処理端末1cに接続されたHDD13cに残ることを防止する残留防止機能と、ダウンロードしてHDD13cに残すべき更新ファイルが外部端末91、92に存在する場合に、残留防止機能を停止する制限モード設定部24と、残留防止機能が有効となっていない間に、外部端末91、92との間の通信に必要な接続を許可し、その他の接続を制限する接続制限部33と、残留防止機能が有効となっておらず、且つ接続制限が行われている間、外部端末91、92から更新ファイルを受信するデータ受信部28と、受信された更新ファイルを、HDD13cに記憶させるデータ保存部34と、を備えた。
【解決手段】情報処理端末1cに、データが情報処理端末1cに接続されたHDD13cに残ることを防止する残留防止機能と、ダウンロードしてHDD13cに残すべき更新ファイルが外部端末91、92に存在する場合に、残留防止機能を停止する制限モード設定部24と、残留防止機能が有効となっていない間に、外部端末91、92との間の通信に必要な接続を許可し、その他の接続を制限する接続制限部33と、残留防止機能が有効となっておらず、且つ接続制限が行われている間、外部端末91、92から更新ファイルを受信するデータ受信部28と、受信された更新ファイルを、HDD13cに記憶させるデータ保存部34と、を備えた。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理端末にプログラムまたはデータが残ることを防止するための技術に関する。
【背景技術】
【0002】
従来、管理センタサーバとの間で認証を行い、この認証の結果に応じて、記憶部に格納された各種情報を消去するか否かを決定する情報処理システムがあり(特許文献1を参照)、また、情報管理システムに情報要求内容と認証情報とを送り、認証許可時に情報管理システムから返送される情報をダウンロードして、起動時に消去される領域に格納する情報盗用防止方法がある(特許文献2を参照)。
【0003】
また、認証した端末にデータの消去を行うためのプログラムを送信する管理サーバと、この消去プログラムを実行してデータを消去する端末と、を備えるデータ消去システムがあり(特許文献3を参照)、定期的にサーバにアクセスして、アクセスが許可された場合に端末内のデータをサーバ上のデータと同期させ、サーバとのアクセスが拒否された場合にデータを消去する情報管理システムがある(特許文献4を参照)。
【特許文献1】特開2006−163847号公報
【特許文献2】特開2005−157588号公報
【特許文献3】特許3753666号公報
【特許文献4】特開2006−319432号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
従来、情報処理端末と通信ネットワークとの組み合わせによる情報通信システムにおいて、コンピュータウィルスによる被害や情報漏洩等の事象が発生しているが、これは、一般的なコンピュータの構成である、プログラムやデータを書き換え可能な記憶装置に記録していることに起因した問題である。即ち、データをユーザの意図に拘らずネットワークへ送信してしまうソフトウェアが、一旦記憶装置に記録されてしまうと、このソフトウェアはシステムに常駐し、被害が継続する。また、データをコンピュータの記憶装置に保存しているため、コンピュータが紛失または盗難されることによって、情報が漏洩する。
【0005】
このような事象に対応するために、従来、情報処理端末にプログラムおよびデータを残さない技術が提案されている。例えば、コンピュータ上に仮想マシンと呼ばれる擬似的なコンピュータハードウェアを構成し、この仮想マシン上にてゲストOS(Operating System)を起動し、ゲストOS上で作業を行うという、仮想マシン手法がある。また、情報処理端末にはOSを記憶させずに、ネットワークの先にOSイメージを用意して、起動時にネットワーク越しにダウンロードして情報処理端末のRAM(Random Access Memory)に展開するという、所謂ネットブート手法がある。そして、これらの手法によれば、情報処理端末上にプログラムやデータを残さず、ウィルス等のマルウェアが常駐する問題や、上処理端末から情報が漏洩する問題に対処することが出来る。
【0006】
しかし、上記セキュリティ手法では、OSやインストールされたプログラムの更新データや、セキュリティ対策ソフトウェアによって用いられる定義ファイル(ウィルス定義ファイルや攻撃パターン定義ファイル等が用いられている)等の、セキュリティを高める上で情報処理端末上に残すことが望ましいデータも消えてしまい、ソフトウェアを更新等して最新の状態に保つことが困難であるといった問題があった。従来、このような問題に対
処するためには、端末上にデータを残さないための機能を一時的に無効化するといった手段も用いることができたが、このような方法では、情報処理端末を安全な状態に保つことができない。
【0007】
本発明は、上記の問題に鑑み、作業データ等を情報処理端末上に残さない機能を備える情報処理端末において、所定のデータについては、端末のセキュリティを確保したまま例外的に端末上に残すことを課題とする。
【課題を解決するための手段】
【0008】
本発明は、上記した課題を解決するために、作業データ等を情報処理端末上に残さない機能を備える情報処理端末において、所定のデータのダウンロードを行う際には、作業データ等を情報処理端末上に残さない機能を無効化し、且つ所定のデータのダウンロードに用いられる所定のサーバ以外の端末とのアクセスを制限することで、所定のデータについては、端末のセキュリティを確保したまま例外的に端末上に残すことを可能にした。
【0009】
詳細には、本発明は、不揮発性記憶装置に接続された情報処理端末であって、データが前記不揮発性記憶装置に残ることを防止する残留防止手段と、ダウンロードして前記不揮発性記憶装置に残すべき所定のデータが外部端末に存在する場合に、前記残留防止機能を停止する残留防止機能停止手段と、前記残留防止機能が有効となっていない間に、前記外部端末との間の通信に必要な接続を許可し、その他の接続を制限する接続制限手段と、前記残留防止機能が有効となっておらず、且つ前記接続制限が行われている間、前記外部端末から前記所定のデータを受信するデータ受信手段と、前記データ受信手段によって受信された前記所定のデータを、前記不揮発性記憶装置に記憶させるデータ保存手段と、を備える情報処理端末である。
【0010】
本発明に係る情報処理端末は、残留防止手段を備えることにより、情報処理端末を用いて行った作業で作成された新規データや、ネットワークを介してダウンロードされた外部からのデータを、情報処理端末の電源断やシステムの再起動によってもデータが残る不揮発性記憶装置に残ることを防止し、悪意あるプログラムの常駐や情報の漏洩を防止することが出来る情報処理端末である。
【0011】
そして、本発明に係る情報処理端末は、このような残留防止機能を無効化する残留防止無効化手段と、残留防止機能が無効化されている間に接続制限を行う接続制限手段とを備えることによって、悪意あるプログラムの侵入や情報の漏洩を防止するセキュリティ対策を有効としつつ、必要なプログラムの更新ファイルや、セキュリティ対策ソフトウェアによって利用される定義ファイル等、不揮発性記憶装置に残すべき所定のデータを、不揮発性記憶装置に残すことを可能としている。
【0012】
なお、残留防止手段による残留防止の具体的な手法には、公知の技術を含め実施の形態毎に最適な手法が採用されてよいが、例えば、本発明に係る情報処理端末は、前記不揮発性記憶装置における一部の領域を、該情報処理端末の起動または終了に際して初期化される一時領域として確保する一時領域確保手段を更に備え、前記残留防止手段は、前記不揮発性記憶装置に書き込まれようとしているデータを前記一時領域に記録することで、該データが前記不揮発性記憶装置に残ることを防止してもよい。
【0013】
ここで、不揮発性記憶装置とは、HDDやフラッシュEEPROM等の、電源の供給が行われなくても記録された情報が維持される記憶装置である。本発明では、この不揮発性記憶装置上に、情報処理端末の起動または終了に際して初期化される一時領域を確保し、且つユーザ権限をオペレーティングシステムへの変更またはソフトウェアの追加を行う権限を有さないユーザに設定することで、望ましくないソフトウェアやデータが該情報処理
端末に保持されることを防止することを可能としている。
【0014】
不揮発性記憶装置に書き込まれようとしているデータを、端末の起動または終了に際して初期化される一時領域に記録することで、端末の再起動時に、前回起動時に記録されたデータが再びメモリに読み込まれることを防止することが出来る。また、一時領域の初期化を行う方法には、オペレーティングシステムによる前記不揮発性記憶装置への書き込みアクセスを横取りし、前記一時領域への書き込みアクセスへ変換することで、前記不揮発性記憶装置に書き込まれようとしているデータを前記一時領域に記録し、前記変換された書き込みアクセスの変換前のアドレスと変換後のアドレスとの対応関係を示す変換情報を、前記揮発性記憶装置に蓄積する方法がある。この場合、変換情報が揮発性記憶装置に蓄積されるため、再起動や電源断等で、揮発性記憶装置に記録された変換情報が失われ、変換情報を参照して一時領域にアクセスすることが出来なくなる。これによって、一時領域からの情報の読出しが困難となり、マルウェアの残留や情報漏洩を防止することが可能となる。
【0015】
また、前記接続制限手段は、前記接続制限手段は、管理サーバとの接続を許可し、前記データ受信手段は、前記管理サーバを介して、前記外部端末から前記所定のデータを受信してもよい。このようにすることで、残留防止処理を無効化している間における通信の対象を、安全性の確保された所定の管理サーバのみに限定することが出来る。また、所定のデータが存在する外部端末が管理サーバでない場合、本発明に係る情報処理端末は、管理サーバを介して(例えば、管理サーバを代理サーバとして用いて)外部端末から所定のデータをダウンロードしてもよい。
【0016】
また、本発明に係る情報処理端末は、前記管理サーバとの間で認証処理を実行するサーバ認証手段を更に備え、前記接続制限手段は、前記サーバ認証手段によって認証された管理サーバとの接続を許可してもよい。このようにすることで、管理サーバの成りすまし等を防止することが出来、所定のデータをダウンロードする際のセキュリティをより高めることが出来る。
【0017】
また、本発明は、上記情報処理端末を管理する管理サーバとしても把握することが可能である。即ち、本発明は、所定の情報処理端末を管理する管理サーバであって、前記所定の情報処理端末は、データが不揮発性記憶装置に残ることを防止する残留防止手段、前記不揮発性記憶装置に残すべき所定のデータが外部端末に存在する場合に前記残留防止機能を停止する残留防止機能停止手段、および、前記残留防止機能が有効となっていない間、該管理サーバとの接続を許可し、その他の接続を制限する接続制限手段、を備える情報処理端末であり、前記所定の情報処理端末において、前記残留防止機能が有効となっておらず、且つ前記接続制限が行われている間に、前記所定のデータを前記情報処理端末に受信させて前記不揮発性記憶装置に記憶させるデータ送信手段を備える、管理サーバである。
【0018】
また、本発明に係る管理サーバは、前記所定の情報処理端末との間で認証処理を実行する端末認証手段を更に備え、前記データ送信手段は、前記端末認証手段によって認証された情報処理端末において、前記残留防止機能が有効となっておらず、且つ前記接続制限が行われている間に、前記所定のデータを前記情報処理端末に受信させて前記不揮発性記憶装置に記憶させてもよい。
【0019】
更に、本発明は、コンピュータが実行する方法、又はコンピュータに実行させるプログラムとしても把握することが可能である。また、本発明は、そのようなプログラムをコンピュータその他の装置、機械等が読み取り可能な記録媒体に記録したものでもよい。ここで、コンピュータ等が読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的、または化学的作用によって蓄積し、コンピュータ等から読
み取ることができる記録媒体をいう。
【発明の効果】
【0020】
本発明によって、作業データ等を情報処理端末上に残さない機能を備える情報処理端末において、所定のデータについては、端末のセキュリティを確保したまま例外的に端末上に残すことが可能となる。
【発明を実施するための最良の形態】
【0021】
本発明に係る情報処理端末および管理サーバを有するユーザ端末管理システムの実施の形態について、図面に基づいて説明する。
【0022】
図1は、本実施形態に係るユーザ端末管理システム1のハードウェア構成の概略を示す図である。ユーザ端末管理システム1は、管理サーバ1sと、管理サーバ1sにネットワーク2を介して接続された1または複数のユーザ端末1cと、を有する。管理サーバ1sは、CPU(Central Processing Unit)11s、RAM(Random Access Memory)12s等の主記憶装置、HDD(Hard Disk Drive)13s等の補助記憶装置、ROM(Read Only Memory)14s、およびNIC(Network Interface Card)15s等のネットワークインターフェース等を有するコンピュータである。管理サーバ1sは、ネットワーク2を介して接続された管理者端末1aによって管理されるが、ディスプレイ、キーボード、マウス等を備えてもよい。また、管理サーバ1sは、ユーザ端末管理システム1の外部端末である、OS更新ファイル配布サーバ91や、セキュリティ対策ソフトウェア更新ファイル配布サーバ92に、インターネット等のネットワーク9を介して接続されている。
【0023】
また、ユーザ端末1cは、CPU11c、揮発性記憶装置であり端末の再起動や終了に伴って記録された情報が失われるRAM12c、不揮発性記憶装置であり端末が再起動または終了された場合にも記録された情報が維持されるHDD13c、ROM14c、およびNIC15c等のネットワークインターフェース等を有するコンピュータである。なお、本実施形態では、ユーザ端末1cは更にディスプレイ16c等の出力装置、およびキーボード17c、マウス18c等の入力装置等を有する。また、ユーザ端末1cのOSは、システムへの変更またはソフトウェアの追加を行うための権限である管理者権限の有無をユーザごとに設定可能なOSである。
【0024】
図2は、本実施形態に係るユーザ端末管理システム1の機能構成の概略を示す図である。図1に示したハードウェア構成を有する管理サーバ1sは、HDD13s上にインストールされたプログラムをCPU11sが読み出してRAM12sに展開し、展開されたプログラムをCPU11sが解釈および実行することで、ソフトウェア蓄積部46と、ソフトウェアのリストを含む制限モード定義情報を蓄積する制限モード定義情報蓄積部44と、ユーザまたはユーザ端末1cの識別情報をユーザ端末1cより受信する識別情報受信部42と、受信された識別情報を用いてユーザ端末1cまたはユーザを認証する端末認証部41と、情報処理端末またはユーザに応じた制限モード定義情報を送信する制限モード定義情報送信部43と、ユーザ端末1cにおいて選択された制限モード定義情報に含まれるソフトウェア等をユーザ端末1cに送信するデータ送信部45と、を備える管理サーバ1sとして機能する。
【0025】
同様に、図1に示したハードウェア構成を有するユーザ端末1cは、RAM12cに展開されたプログラムをCPU11cが解釈および実行することで、ユーザまたはユーザ端末1cの識別情報を管理サーバ1sに送信する識別情報送信部21と、管理サーバ1sから制限モード定義情報を受信する制限モード定義情報受信部22と、ユーザによる制限モ
ード定義情報の選択や制限モード有効化/無効化の指示を受け付ける受付部23と、制限モード設定部24と、次回起動時のログインユーザを、管理者権限を有さないユーザに設定する権限設定部25と、制限モードが有効であるか否かを判定する判定部26と、HDD13cにおける一部の領域を一時領域82として確保する一時領域確保部27と、選択された制限モード定義情報に含まれるソフトウェアを管理サーバ1sから受信するデータ受信部28と、制限モード有効時にHDD13cへの書き込みデータを一時領域82に記録する一時領域記録部29と、一時領域82への記録の際の変換情報を蓄積する変換情報蓄積部30と、ソフトウェアを一時領域82から読み出して実行するソフトウェア実行部31と、一時領域82を含むHDD13cに記録された情報を読み出す読出部32と、管理サーバ1sへの接続のみを許可し、その他の接続を制限するパケットフィルタリングを行う接続制限部33と、ダウンロードしたデータをHDD13cに保存するデータ保存部34と、管理サーバを認証するサーバ認証部35と、を備えるユーザ端末1cとして機能する。
【0026】
ここで、サービスとは、ユーザ端末1cまたはサービス提供サーバにおいて実行されるソフトウェアによって提供される機能である。サービスの提供の形態としては、ユーザ端末1cにダウンロードされたソフトウェアがユーザ端末1cによって実行されることでサービスが提供される形態や、サービス提供サーバにおいて主要な処理が行われ、ユーザ端末1cではサーバから受信した処理結果の表示を主に担うソフトウェアが実行される形態等が用いられてよい。
【0027】
また、一時領域82とは、ユーザ端末1cの起動または終了に際してRAM12cに蓄積された変換情報が失われることで初期化されるHDD13cにおける一部の領域である。一時領域記録部29は、判定部26によって制限モードが有効であると判定された場合に、オペレーティングシステムによるHDD13cへの書き込みアクセスを横取り(フック)し、一時領域82への書き込みアクセスへ変換することで、HDD13cに書き込まれようとしているデータを一時領域82に記録する。そして、変換情報蓄積部30は、変換された書き込みアクセスの変換前のアドレスと変換後のアドレスとの対応関係を示す変換情報を、RAM12cに蓄積する。
【0028】
また、制限モードとは、ユーザ端末1cにおいてセキュリティを確保するための機能が有効となっている状態であり、セキュリティを確保しつつ様々な作業環境を提供するために、複数種類の制限モードが提供される。
【0029】
管理サーバ1sの制限モード定義情報蓄積部44は、識別情報に係る情報処理端末に所定の作業環境を構築するためのソフトウェアの組み合わせ、または識別情報に係るユーザに所定のサービスを提供するためのソフトウェアの組み合わせを含む、制限モード定義情報を蓄積する。
【0030】
図3Aおよび図3Bは、本実施形態におけるソフトウェア情報テーブル50A、50Bの構成を示す図である。ソフトウェア情報テーブル50A、50Bには、ソフトウェア蓄積部46によって蓄積されたソフトウェアを識別するためのソフトウェア識別子51と、ソフトウェア名称52と、管理サーバ1sにおけるソフトウェア本体の保存位置を示すファイルパス53と、を含むソフトウェア情報が蓄積される。なお、本実施形態において、ソフトウェア情報テーブル50Aには、残留防止の対象となるソフトウェア、即ち、ユーザ端末1cの利用終了後に、ユーザ端末1cのHDD13c上に残されないソフトウェアの情報が蓄積される。これに対して、ソフトウェア情報テーブル50Bには、残留防止の対象とならないソフトウェア、例えば、オペレーティングシステムの更新ファイルや、セキュリティ対策ソフトウェアの更新ファイル、ウィルス定義ファイル等、セキュリティの観点上システムに残すことが好ましいソフトウェアの情報が蓄積される。
【0031】
また、図4は、本実施形態における認証情報テーブル60の構成を示す図である。認証情報テーブル60には、認証を受けるユーザまたはユーザ端末1cを識別するための認証識別子61と、認証識別子61によって認証されるユーザまたは端末の名称62と、認証に用いられるパスワード等が含まれる認証符号63と、を含む認証情報が蓄積される。
【0032】
図5は、本実施形態における制限モード定義情報テーブル70の構成を示す図である。制限モード定義情報テーブル70には、制限モード識別子71と、制限モード名称72と、この制限モードで使用が許可されるソフトウェアのソフトウェア識別子51がリストされるソフトウェアリスト73と、この制限モードの使用が許可されるユーザまたは端末の認証識別子61がリストされる認証リスト74と、この制限モードの使用が許可される期限を示す制限モード有効期限75と、を含む制限モード定義情報が蓄積される。ユーザは、提示された複数種類の制限モード定義情報から、所望の制限モード定義情報を選択することで、この定義情報に応じた作業環境の提供を受けることが出来る。
【0033】
図6は、本実施形態における記憶領域80の構成を示す図である。ユーザ端末1cのHDD13c上に確保された記憶領域80には、制限モードフラグ81および一時領域82が含まれ、制限モードフラグ81には、制限モード設定部24によって、制限モードが有効であることを示す値(例えば、「1」)、または制限モードが無効となっていることを示す値(例えば、「0」)が書き込まれる。また、一時領域82は、制限モードが有効となっている間に、アドレス変換によってHDD13cへの書き込みアクセスがリダイレクトされる領域である。即ち、制限モードが有効となっている間、原則としてデータは一時領域82に記録される。
【0034】
図7は、本実施形態におけるアドレス変換テーブル90を示す図である。アドレス変換テーブル90には、一時領域82への書込み時の変換元アドレス91と変換先アドレス92との対応関係が蓄積される。アドレス変換テーブル90に蓄積された情報は、一時領域82からの情報の読み出し時に参照される。なお、本実施形態では、アドレス変換は、対応表を参照することで変換元アドレス91に対応する変換先アドレス92を取得することとしているが、これに代えて、変換元アドレス91を所定の計算式を用いて変換することで、変換先アドレス92を取得することとしてもよい。
【0035】
図8は、本実施形態に係る制限モード定義情報を作成する処理の流れを示すフローチャートである。本フローチャートに示された処理は、管理サーバ1sまたは管理サーバ1sにログインした管理者端末1aにおいて、管理者によって制限モード定義情報の作成開始を指示する入力が行われたことを契機として開始される。
【0036】
ステップS101からステップS103では、制限モード定義情報を作成するにあたってユーザに選択させるための各種情報が読み出され、これらの情報が、管理サーバ1sまたは管理者端末1aのディスプレイに表示される。管理サーバ1sは、予め準備されたソフトウェア情報をソフトウェア情報テーブル50A、50Bから読み出し、認証情報を認証情報テーブル60から読み出す。そして、管理サーバ1sは、読み出されたソフトウェア情報および認証情報を、管理サーバ1sに接続されたディスプレイ、または管理サーバ1sに接続された管理者端末1aのディスプレイに表示する。
【0037】
図9は、本実施形態においてディスプレイに表示される制限モード定義情報作成インターフェース100のイメージを示す図である。制限モード定義情報作成インターフェース100は、作成される制限モード定義情報に係る制限モードの名称が入力される名称入力欄101と、ステップS101で読み出されたソフトウェア情報が選択される選択可能ソフトウェア表示欄102と、選択された1または複数のソフトウェアが表示される選択済
みソフトウェア表示欄103と、選択したいソフトウェアを選択済みソフトウェアに追加する追加ボタン104aと、選択済みソフトウェアを削除する削除ボタン104dと、ステップS102で読み出された認証情報が選択される選択可能認証情報表示欄105と、選択された1または複数の認証情報が表示される選択済み認証情報表示欄106と、選択したい認証情報を選択済み認証情報に追加する追加ボタン107aと、選択済み認証情報を削除する削除ボタン107dと、作成される制限モード定義情報の有効期限を入力する有効期限入力欄108と、入力または選択内容を確定して新規制限モード定義情報を作成する新規作成ボタン109と、を有する。
【0038】
ステップS104では、制限モード定義情報を作成するにあたって必要な情報の入力および選択が受け付けられる。管理サーバ1sは、ディスプレイに表示された制限モード定義情報作成インターフェース100を介して行われる入力操作および選択操作を受け付けることで、制限モードの名称、ソフトウェア、認証情報および有効期限の入力または選択を受け付ける。
【0039】
即ち、管理者は、制限モード定義情報を作成するにあたって、ディスプレイに表示された制限モード定義情報作成インターフェース100を見ながら、キーボード、マウス等の入力装置を用いて、制限モードの名称の入力、ソフトウェアの選択、認証情報の選択、および有効期限の入力を行う。ここで、ソフトウェアおよび認証情報は、複数選択されてもよい。本実施形態では、ドロップダウンメニューを用いて表示されたソフトウェアまたは認証情報が、追加ボタン104a、107aの押下によって選択状態となる。選択状態にある選択済みソフトウェア/認証情報は、選択済みソフトウェア/認証情報表示欄103、106に表示され、新規作成ボタン109の押下によって確定される。その後、処理はステップS105へ進む。
【0040】
ステップS105では、制限モード定義情報が作成される。管理サーバ1sは、ステップS104で入力または選択された情報を、制限モード名称72、ソフトウェアリスト73、認証リスト74および制限モード有効期限75として含む制限モード定義情報を作成し、制限モード定義情報テーブル70に蓄積する。この際、管理サーバ1sは、制限モード定義情報を識別するための一意の識別子を生成し、制限モード識別子71として制限モード定義情報に保持させる。識別子は、例えば、作成日時等を含む識別子とすることが出来る。その後、本フローチャートに示された処理は終了する。
【0041】
即ち、本フローチャートに示された処理によれば、管理者は、ユーザに提供したい作業環境および適用したいセキュリティに応じた制限モードを、簡易に作成することが出来る。なお、ここで制限モード定義情報の生成が成功した場合に、制限モード定義情報が正常に作成された旨をユーザに伝えるためのメッセージが表示されることとしてもよい。また、管理者は、制限モード定義情報を複数作成することが出来る。異なるソフトウェア識別子51と認証識別子61との組み合わせによる制限モード定義情報を生成しておくことで、ソフトウェアの選択および該ソフトウェアを利用できるユーザの限定を、制限モードを選択させるのみで行うことが出来る。
【0042】
例えば、ファイルサーバへアクセスするためのソフトウェアと、アクセスを許可したいユーザを制限モード定義情報に設定しておくことで、限定されたユーザ間でのデータ共有が可能となる。
【0043】
図10Aおよび図10Bは、本実施形態における制限モード制御処理の流れを示すフローチャートである。本フローチャートに示された処理は、システムの起動に伴って開始される。なお、本フローチャートに示された処理では、制限モードフラグ81が操作され、制限モードフラグ81の状態に基づいて処理の流れが決定される。はじめに、起動時にお
いて制限モードフラグ81が有効でない(または、無効である)場合の処理の流れについて説明する。なお、本実施形態では、OS等のシステムプログラムはHDD13cより読み出されることとしているが、システムプログラムの少なくとも一部をROM、DVD等の書換不可能な記憶装置に記録しておき、システム起動時に毎回展開させることで、プログラムの改変を抑止してもよい。
【0044】
ステップS201およびステップS202では、システムの起動処理および制限モードフラグ81の判定が行われる。判定部26は、システムの起動後、HDD13cに保存された制限モードフラグ81を参照し、制限モードフラグ81が制限モード有効を示す値に設定されているか否かを判定する。制限モードフラグ81が制限モード有効を示す値に設定されていると判定された場合、処理はステップS221へ進み(図10Bを参照)、以降、制限モードフラグ81が無効に設定されるまで、システムは制限モードで動作する。制限モードフラグ81が制限モード有効を示す値に設定されていない(または、無効を示す値に設定されている)と判定された場合、処理はステップS203へ進み、以降、制限モードフラグ81が有効に設定されるまで、システムは非制限モードで動作する。
【0045】
ステップS203およびステップS204では、認証情報に基づいた認証処理が行われる。ユーザ端末1cは、ユーザ端末1cのディスプレイ16cに認証インターフェース(図示は省略する)を表示し、識別情報送信部21は、このインターフェースを介してユーザによって入力された認証情報(例えば、ユーザ名称とパスワード等)を、管理サーバ1sへ送信する(ステップS203)。管理サーバ1sの識別情報受信部42は、送信された認証情報を、ネットワーク2を介して受信し、端末認証部41は、受信された認証情報と予め認証情報テーブル60に保持されている認証情報とを比較することで、ユーザ端末1cまたはユーザ端末1cを使用しているユーザを認証する(ステップS204)。
【0046】
より具体的には、管理サーバ1sの端末認証部41が、受信された認証情報に含まれるユーザまたは端末の名称62または認証識別子61を検索キーとして認証情報テーブル60を検索し、抽出された認証情報の認証符号63と受信された認証情報に含まれるパスワード等を比較することで、認証が行われる。なお、本実施形態では、ユーザによって入力された認証情報を送信することとしているが、これに代えて、予め設定された認証情報が、ユーザ端末1cの起動時に自動的に送信されることとしてもよい。その後、処理はステップS205へ進む。なお、認証処理は、ワンタイムパスワードや、秘密鍵と公開鍵を用いた認証処理等、実施の形態に応じて採用された認証プロトコルを用いた認証処理であってよい。
【0047】
ステップS205からステップS207では、制限モード定義情報の送受信が行われる。管理サーバ1sの制限モード定義情報送信部43は、ステップS204で認証されたユーザまたはユーザ端末1cの認証識別子61を検索キーとして制限モード定義情報テーブル70を検索することで、認証に係る制限モード定義情報を抽出する(ステップS205)。ここで、制限モード定義情報送信部43は、管理サーバ1sの内蔵時計(図示は省略する)に基づく日時情報と、制限モード定義情報に含まれる有効期限75とを比較し、有効期限を超過している(期限切れの)制限モード定義情報は、抽出の結果に含ませない。そして、制限モード定義情報送信部43は、抽出された制限モード定義情報をユーザ端末1cへ送信し(ステップS206)、ユーザ端末1cの制限モード定義情報受信部22は、ネットワーク2を介して制限モード定義情報を受信する(ステップS207)。その後、処理はステップS208へ進む。
【0048】
ステップS208では、ステップS207で受信された制限モード定義情報が複数あるか否かが判定される。複数の制限モード定義情報が受信されたと判定された場合、処理はステップS209へ進む。受信された制限モード定義情報が複数ではない(単一である)
と判定された場合、処理はステップS210へ進む。
【0049】
ステップS209では、受信された制限モード定義情報が複数ある場合に、ユーザによる選択が受け付けられる。受付部23は、受信された複数の制限モード定義情報に基づいて、複数の制限モード定義情報のうち、このユーザ端末1cに提供する制限モード定義情報をユーザに選択させるための制限モード定義情報選択インターフェース110をディスプレイ16cに表示する。
【0050】
図11は、本実施形態においてディスプレイ16cに表示される制限モード定義情報選択インターフェース110のイメージを示す図である。制限モード定義情報選択インターフェース110は、ユーザに対する制限モードについての説明を含むメッセージ表示欄111と、制限モード名称72および有効期限75が表示される制限モード選択ボタン112と、を有する。マウス18c等の入力装置を用いてユーザは制限モード選択ボタン112をクリックすることで、所望の制限モードを選択することが出来る。受付部23は、制限モード定義情報インターフェースを介して、ユーザによる制限モード定義情報の選択を受け付ける。その後、処理はステップS210へ進む。
【0051】
ステップS210では、ソフトウェア識別子51が送信される。ユーザ端末1cのデータ受信部28は、制限モード定義情報のソフトウェアリスト73に含まれるソフトウェアのうち、残留防止の対象とならないソフトウェア、即ち、制限モードが有効であるか否かに拘らずユーザ端末1cのHDD13c上に残されるべきソフトウェアの識別子を送信する。ここで、残留防止とは、データを一時領域82へ記録することで、端末へのデータの残留を防止することをいう。残留防止の対象とならないソフトウェアとは、例えば、オペレーティングシステムの更新ファイルや、セキュリティ対策ソフトウェアの更新ファイル、ウィルス定義ファイル等、セキュリティの観点上システムに残すことが好ましいソフトウェアである。これらの残留防止の対象とならないソフトウェアを識別する方法としては、本実施形態における、残留防止の対象とならないソフトウェアの情報が蓄積されるソフトウェア情報テーブル50Bを用いる方法の他に、予めユーザ端末1cにおいて設定しておく方法や、管理サーバ1sに保持されるソフトウェア情報や制限モード定義情報に残留防止の対象とするか否かを判別するためのフラグを含ませる方法等が採用されてよい。その後、処理はステップS211へ進む。
【0052】
ステップS211およびステップS212では、管理サーバ1sによってソフトウェア識別子51が受信され、ソフトウェア本体が送信される。管理サーバ1sのデータ送信部45は、ユーザ端末1cより送信されたソフトウェア識別子51を受信し(ステップS211)、受信されたソフトウェア識別子51を検索キーとしてソフトウェア情報テーブル50Bを検索することで、ユーザ端末1cより要求されたソフトウェアの本体が保存されている場所(ここでは、管理サーバ1sにおけるファイルパス53)を取得する。そして、ソフトウェア蓄積部46によって蓄積されているソフトウェア本体を読み出し、ユーザ端末1cへ送信する(ステップS212)。その後、処理はステップS213へ進む。
【0053】
ステップS213では、ソフトウェア本体が受信される。ユーザ端末1cのデータ受信部28は、管理サーバ1sから送信されたソフトウェアを受信し、HDD13cに保存する。なお、ここで受信されたソフトウェアが保存されるHDD13c上の領域は、残留防止のために用いられる一時領域82ではない。その後、処理はステップS214へ進む。
【0054】
ステップS214およびステップS215では、制限モードフラグ81が設定され、制限モード定義情報が保存される。制限モード設定部24は、HDD13c上の制限モードフラグ81に、制限モードが有効であることを示す値を設定し(ステップS214)、HDD13cに、ステップS209で選択された制限モード定義情報(ステップS207で
受信された制限モード定義情報が1つであった場合には、その制限モード定義情報)を保存する(ステップS215)。即ち、これらのステップでは、ユーザ端末1cの再起動後に用いる情報が、不揮発性記憶装置であるHDD13cに記録される。これによって、ユーザ端末1cの再起動後も制限モードが継続され、また、再起動後に参照される制限モード定義情報が維持される。その後、処理はステップS216へ進む。
【0055】
ステップS216およびステップS217では、ユーザ端末1cのオペレーティングシステムにおけるユーザ権限が変更され、ユーザ端末1cが再起動される。権限設定部25は、次回起動時のユーザが、ユーザ端末1cへのソフトウェアのインストールやシステムへの変更を行う権限を有さないユーザ(以降、「制限ユーザ」と称する)となるように、オペレーティングシステムの設定を強制的に変更する(ステップS216)。より具体的には、権限設定部25は、ユーザ端末1cのオペレーティングシステム起動用設定ファイル(レジストリ等)内のオペレーティングシステム起動時ログインユーザを、管理者権限を持たない制限ユーザへ強制的に書き換える。その後、システムの再起動が開始され(ステップS217)、本フローチャートに示された処理は終了する。
【0056】
システムが再起動すると、再びステップS201からの処理が実行される。再起動したシステムは、制限ユーザで動作する。また、制限モードフラグ81はステップS214で制限モードに設定されているため、ステップS202における判定処理では、制限モードフラグ81が制限モード有効を示す値に設定されていると判定される。
【0057】
次に、図10Bを参照して、ステップS202で制限モードフラグ81が制限モード有効を示す値に設定されていると判定された場合の以降の処理の流れ、即ちシステムが制限モードで動作する場合の処理の流れを説明する。
【0058】
ステップS221では、残留防止機能が有効化される。ユーザ端末1cの一時領域確保部27は、ステップS202で制限モードフラグ81が有効であると判断されたことを受けて、RAM12c上の残留防止機能フラグに残留防止機能が有効であることを示す値を設定し、一時領域82の確保および初期化を行うことで、残留防止機能を有効化する。残留防止機能フラグは、後述する残留防止処理において参照されることで、残留防止機能が有効であるか無効であるかを判定するための基準となる。また、一時領域82は、一時領域82のアドレスの書き込みアドレスを示すポインタを一時領域82(図6を参照)の先頭アドレスとすることで初期化される。その後、処理はステップS222へ進む。
【0059】
ステップS222では、ソフトウェア識別子51が送信される。ユーザ端末1cのデータ受信部28は、ステップS215でHDD13cに保存された制限モード定義情報のソフトウェアリスト73に含まれるソフトウェアのうち、残留防止の対象となるソフトウェア、即ち、ユーザ端末1cの利用終了後に、ユーザ端末1cのHDD13c上に残されないソフトウェアの識別子を送信する。残留防止の対象となるソフトウェアを識別する方法としては、本実施形態における、残留防止の対象となるソフトウェアの情報が蓄積されるソフトウェア情報テーブル50Aを用いる方法の他に、予めユーザ端末1cにおいて設定しておく方法や、管理サーバ1sに保持されるソフトウェア情報や制限モード定義情報に残留防止の対象とするか否かを判別するためのフラグを含ませる方法等が採用されてよい。その後、処理はステップS223へ進む。
【0060】
ステップS223およびステップS224では、管理サーバ1sによってソフトウェア識別子51が受信され、ソフトウェア本体が送信される。処理の詳細はステップS211およびステップS212と概略同様であるため、説明を省略する。その後、処理はステップS225へ進む。
【0061】
ステップS225では、ソフトウェア本体が受信される。ユーザ端末1cのデータ受信部28は、管理サーバ1sから送信されたソフトウェア本体を受信し、ステップS221で初期化された一時領域82に保存する。即ち、ここで受信されたソフトウェア本体は、ユーザ端末1cの使用終了時または再起動時に、ユーザ端末1cから失われる。その後、処理はステップS226へ進む。
【0062】
ステップS226およびステップS227では、ソフトウェアが起動され、制限モード離脱インターフェース120が表示される。ユーザ端末1cのソフトウェア実行部31は、ステップS213およびステップS225で受信しHDD13cに記録したソフトウェア本体を、RAM12cに読み出し、CPU11cに実行させることでソフトウェアを起動する(ステップS226)。即ち、この時点で、ソフトウェアの機能が情報処理端末を使用するユーザに提供され、ユーザはユーザ端末1cにおいて動作する各種ソフトウェアを用いて作業を行うことが可能となる。そして、ユーザ端末1cは、ユーザが制限モードでの作業を終了する際の終了操作を受け付けるための制限モード離脱インターフェース120をディスプレイ16cに表示する(ステップS227)。その後、本フローチャートに示された処理は終了する。なお、制限モード離脱インターフェース120を起動するためのソフトウェアは、ソフトウェア情報テーブル50Aに登録され、ステップS225で受信されるソフトウェアであってもよい(以下、制限モード離脱インターフェース120を表示させるためのソフトウェアを「離脱インターフェース提供ソフトウェア」と称する)。この場合、制限モード離脱インターフェース120は、ステップS226のソフトウェア起動処理において表示されるため、ステップS227の処理は不要となる。また、この場合、離脱インターフェース提供ソフトウェアは一時領域82に記録され、ユーザ端末1cに残らない。このため、離脱インターフェース提供ソフトウェアを制限モード定義情報テーブル70に登録するタイミングを調整することで、管理者は、制限モードから離脱可能な時期をコントロールすることが出来る。より具体的には、管理者は、ユーザ端末を常に制限モードで動作させたい時期には制限モード定義情報テーブル70に離脱インターフェース提供ソフトウェアを登録しないことで、ユーザの故意または過失による不要な制限モード離脱や環境変更等を防止することが出来る。
【0063】
図12は、本実施形態においてディスプレイ16cに表示される制限モード離脱インターフェース120のイメージを示す図である。制限モード離脱インターフェース120は、現在ユーザ端末1cのシステムが制限モードで動作していることを通知するメッセージ121と、非制限モードへ復帰する(制限モードを離脱する)ことを指示するための復帰ボタン122と、を有する。ユーザは、ユーザ端末1cに備えられたポインティングデバイス等の入力装置を操作して、復帰ボタン122をクリックすることで、制限モードでの作業を終了し、非制限モードへ移行することの指示を行う。
【0064】
ステップS226におけるソフトウェアの起動以降、ユーザによる復帰ボタン122のクリックが検知されるまで、ユーザ端末1cは制限モード下で動作し、ユーザは、ユーザ端末1cにおいて起動された各種ソフトウェアを用いて作業を行うことが可能である。そして、本実施形態によれば、ユーザ端末1cのOSが制限ユーザで動作し、且つ残留防止機能が動作していることによって、ユーザによるソフトウェアのインストールやシステムへの変更が制限され、更に、作成または変更したデータが再起動後にHDD13cに残留することが制限される。
【0065】
図13は、本実施形態における非制限モード移行処理の流れを示すフローチャートである。本フローチャートに示された処理は、ユーザによる非制限モードへの移行指示が検知されたことを契機として開始される。ユーザ端末1cは、上記制限モード離脱インターフェース120を介したユーザ操作に基づく非制限モードへの移行指示を受け付け(ステップS301)、HDD13c上の制限モードフラグ81に、制限モードが無効であること
を示す値を設定する(ステップS302)。なお、制限モードフラグ81への書き込みについては、残留防止機能によるアドレス変換が行われない。具体的には、後述する残留防止処理において、一時領域記録部29は、書き込みアドレスが制限モードフラグ81を示すアドレスである場合のみ、アドレス変換を行わずにHDD13cへ書き込む。このようにすることで、残留防止機能が有効となっている状態でも、制限モードからの離脱を行うことを可能としている。
【0066】
その後、ユーザ端末1cは再起動し(ステップS303)、上記ステップS201からの処理が実行される。このとき、ステップS202において制限モードフラグ81が有効を示す値に設定されていないと判定されるため、処理はステップS203へ進み、以降、制限モードフラグ81が有効に設定されるまで、システムは非制限モードで動作する。
【0067】
なお、制限モードでは、ユーザが管理者権限を有さないユーザに変更されているが(ステップS216を参照)、ユーザ設定は、制限モード離脱後の再起動後に、ユーザ操作によって、または自動的に、変更前のユーザに戻されることとしてもよい。
【0068】
図14は、本実施形態における残留防止処理の流れを示すフローチャートである。本フローチャートに示された処理は、OSによる、HDD13cからの読出アクセス、またはHDD13cへの書込アクセスが発生したことを契機として開始される。
【0069】
ステップS401およびステップS402では、OSによるHDDアクセスが横取りされ(フックされ)、残留防止機能フラグが有効に設定されているか否かが判定される。ユーザ端末1cの一時領域記録部29は、OSによるHDDアクセスが発生すると、このアクセスを横取りし、RAM12c上の残留防止機能フラグを参照する。ここで、残留防止機能フラグに残留防止機能が有効であることを示す値が設定されている場合、処理はステップS404へ進む。残留防止機能フラグに残留防止機能が有効であることを示す値が設定されていない場合、処理はステップS403へ進む。
【0070】
ステップS403では、HDD13cへのアクセスが行われる。残留防止機能が有効でないため、一時領域記録部29は、HDD13cへの通常の読出または書込アクセスを許可する。ここで読出または書込が行われるHDD13c上の領域は、一時領域82以外の領域である。例えば、上述したステップS213において受信されたソフトウェア本体(オペレーティングシステムの更新ファイルや、セキュリティ対策ソフトウェアの更新ファイル、ウィルス定義ファイル等)のHDD13cへの書込み処理は、残留防止機能が有効でない状態で行われるため、本ステップの処理に従って行われる。本ステップでHDD13cに書込みされたデータは、制限モードの終了処理やユーザ端末1cの再起動によっても失われないため、システムの更新ファイル等、制限モードの有効無効に拘らず失われないことが好ましいデータは、残留防止機能フラグが有効となっていない状態でHDD13cに書込みされることが好ましい。その後、本フローチャートに示された処理は終了する。
【0071】
ステップS404では、アクセスの種類が判定される。一時領域記録部29は、残留防止機能フラグが有効である場合、横取りされたアクセスの種類が書込みアクセスであるか否かを判定する。アクセスの種類が書込みアクセスである場合、処理はステップS405へ進む。アクセスの種類が書込みアクセスでない場合、処理はステップS407へ進む。
【0072】
ステップS405およびステップS406では、一時領域82への書込みが行われ、アドレス変換テーブル90が更新される。一時領域記録部29は、HDD13c上に確保された一時領域82のうち、書込アドレスポインタが示す書込みアドレスに、横取りされた書込アクセスに係るデータを記録する(ステップS405)。そして、変換情報蓄積部3
0は、横取りされた書込みアクセスにおいてOSが示していた書込み先アドレス(変換元アドレス91)と、実際にデータが書き込みされたアドレス(変換先アドレス92)と、を関連付けてRAM12c上のアドレス変換テーブル90に蓄積する(ステップS406)。ここで、変換先アドレス92は、一時領域82への書込み時に、書込アドレスポインタが示していたアドレスである。更に、一時領域記録部29は、書き込みされたデータのサイズに従って、書込アドレスポインタを更新する。その後、本フローチャートに示された処理は終了する。
【0073】
ステップS407からステップS409に示された処理は、残留防止機能が有効である場合の、HDD13cからの読出アクセス処理である。読出部32は、オペレーティングシステムより横取りされた読出アクセスの読出アドレスに基づいてアドレス変換テーブル90を検索することで、この読出しアドレスが、アドレス変換テーブル90の変換元アドレス91として登録されているか否か、即ち、オペレーティングシステムから要求されたデータが、一時領域82に記録されているか否かを判定する(ステップS407)。OSの示すアドレスがアドレス変換テーブル90から抽出された場合、処理はステップS408へ進む。OSの示すアドレスがアドレス変換テーブル90から抽出されない場合、処理はステップS409へ進む。
【0074】
ステップS408では、データが一時領域82から読み出される。読出部32は、OSより要求されたデータを、ステップS407で抽出された変換先アドレス92にアクセスすることで読み出す。即ち、本フローチャートに示す処理によれば、データの書込みおよび読出しが一時領域82に対して行われていることをOSに意識させることなく、一時領域82に対するデータの書込みおよび読出しを行うことができる。その後、本フローチャートに示された処理は終了する。
【0075】
ステップS409では、データがHDD13cから読み出される。読出部32は、OSより要求されたデータを、OSより指示された読出アドレスにアクセスすることで読み出す。本ステップに係る読出し処理が行われるのは、制限モード下で記録されたデータを除くデータの読出し要求が行われた際である。その後、本フローチャートに示された処理は終了する。
【0076】
OSのHDD書込アクセスにおける書込先を一時領域82に変換するためのアドレス変換テーブル90は、RAM12c上に確保されているため、再起動によって失われる。即ち、制限モード中にHDD13cに書き込まれた情報は、再起動後に、記録位置(アドレス)が失われることによって、アクセス困難となる。このため、制限モード下で万一ウィルスに感染する、不適切なソフトウェアがインストールされる等の事態が発生した場合であっても、再起動後にOSはこれらのソフトウェアにアクセスすることが出来ず、システムは安全な状態に保たれる。更に、一時領域82の書き込みアドレスを示すポインタが一時領域82の先頭に初期化されることで(ステップS221)、既に一時領域82に書き込まれた情報は、以降の一時領域82への書き込みで上書きされ、HDD13cから書き込まれた情報自体を消すことができる。
【0077】
なお、OSのファイル管理テーブルを参照せずにHDD13c上の情報を直接参照する等の方法で制限モード下において書き込まれた情報が取得されてしまうことを防止するために、制限モード下でHDD13cに書き込まれる情報を暗号化する方法や、制限モード下でHDD13cに書き込まれた情報をランダムな情報で上書きする方法等が採られてもよい。
【0078】
より具体的には、一時領域82へ書き込まれる情報を暗号化し、一時領域82から読み出される情報を復号する暗号処理部(図示は省略する)を介することで、鍵情報が設定さ
れた暗号処理部を介さずにHDD13c上の情報を直接参照する方法では情報の内容を知ることが出来ないようにすることが可能である。このとき、暗号化に用いられる暗号鍵は、ユーザによって管理されてもよいし、制限モードに移行するごとに自動生成され、制限モード終了時に破棄されることとしてもよい。制限モード移行ごとに自動生成して制限モード終了時に破棄する方法によれば、ユーザは暗号鍵の管理を意識する必要が無く、制限モード離脱時には制限モード下で一時領域82に書き込まれた情報の取得を非常に困難にすることが可能である。
【0079】
本実施形態にかかる情報処理端末および管理サーバ1sによれば、OSに対して機能制限を行い、プログラムおよびデータを囲い込む一時領域82を用いることで、高いセキュリティを実現し、更に、仮想マシン手法やシンクライアント手法に比べて仮想化やOSのダウンロード等に伴うリソース消費を抑制することで、高いセキュリティと高速なオーバーヘッドとを両立させることが可能である。より具体的には、本実施形態によれば、管理者が用意すべきイメージは、管理サーバ1sに蓄積されるソフトウェアのイメージのみである。このため、本実施形態に係るシステムは、ソフトウェアのイメージに加えてOSのイメージを用意する必要がある仮想マシン手法やシンクライアント手法に比べて、記憶領域や帯域等のリソース面、OSの設定に必要な負荷の面で有利である。また、仮想マシン処理を介さないため、仮想マシン手法に比べて処理も軽く、快適な作業環境を用意に構築することが可能である。特に、一時領域82は断片化されていない連続的記憶領域であるため、本実施形態の制限モードは、断片化されたHDDにアクセスする一般の環境に比べても、全体として高速に動作する。
【0080】
上記説明したユーザ端末管理システムによれば、ユーザ端末1cのHDD13cに残るデータを管理し、ユーザ端末1cにおいて実行されるソフトウェアを管理することで、簡易な管理で高度なセキュリティを提供することが出来る。しかし、上記したユーザ端末1cは、残留防止機能を備えるために、残留防止機能を有効にしたままでは、ソフトウェアの更新データやセキュリティ対策ソフトウェアの定義ファイル等、継続的にユーザ端末1cに残されるべきデータをHDD13cに残すことが困難である。また、残留防止機能を単純に無効化するのみでは、ユーザ端末1cのセキュリティを確保することが出来ない。この問題を解決するために、本実施形態では、残留防止機能の状態に応じて有効化または無効化される接続制限部33を採用した。以下、図15および図16を用いて説明する。
【0081】
図15は、本実施形態に係るパケットフィルタリング機能の起動処理の流れを示すフローチャートである。本フローチャートに示された処理は、システムの起動に伴って開始される。即ち、本フローチャートに示された処理は、図10Aおよび図10BのステップS201以降に示した処理や、後述する図16に示す処理のバックグラウンドで実行される処理である。
【0082】
ステップS501およびステップS502では、システムの起動処理およびパケットフィルタリング機能(本実施形態では、所謂クライアントファイアウォールアプリケーションが用いられる)の起動処理が行われる。接続制限部33は、システムの起動後(ステップS501)、システムにインストールされているクライアントファイアウォールアプリケーションを起動させることで、パケットフィルタリングを開始する(ステップS502)。なお、本実施形態におけるクライアントファイアウォールアプリケーションは、上記説明した残留防止機能を実行するためのプログラムとは別個のプログラムとして提供されてもよいし、一体のプログラムとして提供されてもよい。また、本実施形態において用いられるパケットフィルタリング機能は、ポート番号や接続先アドレスを参照することで接続を制限するものであるが、システムにインストールされたアプリケーションごとに接続の可否を決定する機能を更に備えていても良いし、具体的な接続制限に用いられる手法はアドレスやポート番号を用いない手法であってもよい。
【0083】
本実施形態において用いられるパケットフィルタリング機能は、管理サーバ1sへの接続のみを許可し、その他の一切の接続を制限する。即ち、具体的には、本実施形態に係るパケットフィルタリング機能は、予め設定された管理サーバ1sのアドレスのみを許可アドレスとして設定し、その他のアドレスを拒否アドレスとして設定することで、管理サーバ1sとの接続のみを許可する。換言すると、原則としてアウトバウンド接続/インバウンド接続の何れであるかに拘らず全ての接続を拒否し、例外的に管理サーバ1sへの接続、および管理サーバ1sからの接続のみを許可する。なお、ポート番号についても、管理サーバ1sとの通信に用いられるポート番号のみに制限されてよい。その後、処理はステップS503へ進む。
【0084】
ステップS503およびステップS504では、セキュリティ状態の確認処理が行われ、ユーザ端末1cが、所定のセキュリティポリシーを満足しているか否かが判定される。接続制限部33は、ユーザ端末1cの現在のセキュリティ状態を確認するために、ユーザ端末1c上で動作するオペレーティングシステムをはじめとするソフトウェアのバージョン情報や更新日時情報、制限モードの状態を示す情報、セキュリティ対策ソフトウェアによって参照される定義ファイル(ウィルス定義ファイルの他、攻撃パターン定義ファイル、迷惑メール定義ファイル等も含まれる)のバージョン情報や更新日時情報、ユーザ端末1cで動作中のプロセス、HDD13cに記録されているファイル、OSやアプリケーションの設定内容等、セキュリティポリシーを満足しているか否かを判定するために必要な情報を、予め指定された参照箇所を参照することで取得する(ステップS503)。例えば、制限モードの状態は、制限モードフラグ81を参照することで取得することが出来る。
【0085】
接続制限部33は、ユーザ端末1cの現在の状態がセキュリティポリシーを満足しているか否かを判定するために必要な情報が取得されると、取得されたこれらの情報を、予め設定されたセキュリティポリシーと比較することで、所定のセキュリティポリシーが満たされているか否かを判定する(ステップS504)。本実施形態では、セキュリティポリシーとして、制限モードが有効となっていること、定義ファイルの最終更新日時が所定の期間内(例えば、3日以内)であること、規定の常駐プロセス(例えば、セキュリティ対策ソフトウェアのウィルス監視プロセス)が起動していること、規定のファイル(例えば、最新のパッチに含まれるファイル)が存在していること、および、規定のシステム設定内容(Windows(登録商標)OSにおけるレジストリに相当する)が存在していること、が定められている。そして、ステップS503で取得された実際のシステムの状態と、これらのセキュリティポリシーとが比較されることで、所定のセキュリティポリシーが満足されているか否かが判定される。所定のセキュリティポリシーが満足されていると判定された場合、処理はステップS505へ進む。所定のセキュリティポリシーが満足されていないと判定された場合、処理はステップS502へ進む。
【0086】
即ち、ステップS504において、所定のセキュリティポリシーが満足されていないと判定された場合、クライアントファイアウォールのパケットフィルタリング処理が継続または再開される。このようにすることで、本実施形態に係るユーザ端末1cは、所定のセキュリティポリシーが充足されるまでは、管理サーバ1s以外への接続が一切許可されない厳格な接続制限を行うこととしている。
【0087】
ステップS505では、パケットフィルタリング機能による接続制限が解除される。接続制限部33は、ステップS504において、所定のセキュリティポリシーが満足されていると判定されると、ステップS502で起動されたクライアントファイアウォールのパケットフィルタリング処理を停止する。即ち、これ以降、ユーザ端末1cは、管理サーバ1s以外の端末およびサーバとの通信を行うことが可能となる。ステップS504におい
て、所定のセキュリティポリシーとして、制限モードが有効となっていることが確認されているため、管理サーバ1s以外への接続を許可しても、これ以降新たにダウンロード等されたデータは残留防止の対象となり、HDD13cに残らない。
【0088】
なお、所定のセキュリティポリシーが満足され、ステップS505におけるパケットフィルタリングの解除が行われた場合にも、クライアントファイアウォールアプリケーションの実行は継続されて良い。但し、セキュリティポリシーが満足されていることが確認された後(ステップS505以降)におけるクライアントファイアウォールアプリケーションの実行は、主に悪意ある接続や不適切な接続を遮断するためのものであり、接続先が管理サーバ1sのみに限定されその他の一切の接続が遮断されるステップS502のパケットフィルタリングとは異なる。
【0089】
また、ステップS505におけるパケットフィルタリングの解除処理が終了すると、その後処理はステップS503へ進む。即ち、本フローチャートに示された処理では、セキュリティポリシーが満足されて管理サーバ1s以外との通信が可能となった後も、セキュリティポリシーの状態が常に監視され、セキュリティポリシーが充足されない状態となると、即座にパケットフィルタリングが有効となり、管理サーバ1s以外との通信が制限される。より具体的には、図16を用いて後述するソフトウェア更新処理において、HDD13cへのファイル保存のために制限モードが無効化されるかまたは残留防止機能が無効化されると、即座に管理サーバ1s以外との通信が制限され、安全にソフトウェアの更新を行うことを可能としている。
【0090】
即ち、本フローチャートに示す処理によれば、制限モードの有効化を含む所定のセキュリティポリシーが満足されていない間、上記説明したパケットフィルタリング処理が行われることで、ユーザ端末1cは、ステップS201からステップS217において説明した、制限モードによる残留防止機能が有効となっていない間(特に、ステップS210からステップS213において説明した、制限モードが有効であるか否かに拘らずユーザ端末1cのHDD13c上に残されるべきソフトウェアのダウンロード処理)のセキュリティや、図16を用いて後述するソフトウェア更新処理の間のセキュリティを確保することが出来る。
【0091】
本実施形態では、更に、以下に説明する処理が実行されることで、オペレーティングシステムやセキュリティ対策ソフトウェアの更新等、ユーザ端末1cのHDD13c上に残されるべきデータのダウンロードを、安全性を保った状態で行うことが出来る。
【0092】
図16は、本実施形態におけるソフトウェア更新処理の流れを示すフローチャートである。本フローチャートに示された処理は、ユーザ端末1cが起動して残留防止機能が有効化された状態で動作している最中、即ち、図10Bに示されたステップS221以降、非制限モードへの移行指示を受け付ける(ステップS301)までの間に実行される。
【0093】
ステップS601では、認証された管理サーバ1sに対して、更新ファイルの確認要求が送信される。ユーザ端末1cにインストールされて実行されているオペレーティングシステムやセキュリティ対策ソフトウェア等は、ステップS203およびステップS204の処理において認証された管理サーバ1sに対して、オペレーティングシステムの更新ファイルや、セキュリティ対策ソフトウェアの更新ファイル、ウィルス定義ファイル等が存在するか否かを問い合わせる。通常、このような更新情報の問い合わせは、ソフトウェアごとに指定されたサーバに対して行われるが、本実施形態では、各ソフトウェアの設定変更や、Webアクセスの際の代理(プロキシ)サーバとして管理サーバ1sを指定する等の設定をシステムに行うことで、更新情報の問い合わせが全て管理サーバ1sへ送信されるように設定されている。その後、処理はステップS602へ進む。
【0094】
ステップS602からステップS604では、更新ファイルの確認要求が受信された管理サーバ1sによって、更新ファイルの確認および通知が行われる。管理サーバ1sは、ステップS601でユーザ端末1cによって送信された更新ファイルの確認要求を受信する(ステップS602)。そして、管理サーバ1sは、受信された確認要求に従って、管理サーバ1s自身によって保持されている各種ソフトウェア更新情報を参照するか、または各種ソフトウェアの更新情報を保持するOS更新ファイル配布サーバ91やセキュリティ対策ソフトウェア更新ファイル配布サーバ92等の外部端末へ問い合わせを行うことで、更新ファイルが存在するか否かの確認を行う(ステップS603)。確認要求を受けたソフトウェアについての更新ファイルの有無が確認されると、管理サーバ1sは、確認の結果をユーザ端末1cへ送信する(ステップS604)。その後、処理はステップS605へ進む。
【0095】
ステップS605およびステップS606では、ユーザ端末1cによって、更新ファイル通知が受信され、更新ファイルの有無が判定される。ユーザ端末1cは、ステップS604で管理サーバ1sが送信した更新ファイルの確認結果を受信し(ステップS605)、受信した確認結果の内容を参照することで更新ファイルの有無を確認する(ステップS606)。更新ファイルが存在すると判定された場合、処理はステップS607へ進む。更新ファイルが存在しないと判定された場合、本フローチャートに示された処理は終了する。即ち、更新ファイルが存在しないと判定された場合、ユーザはユーザ端末1cにおいて動作する各種ソフトウェアを用いて、引き続き作業を行うことが出来る。
【0096】
ステップS607では、メンテナンスモードへの移行を確認するメンテナンスモード移行インターフェースが表示され、入力内容が判定される。受付部23は、ユーザに対して、ソフトウェアの更新のために、作業を中断してメンテナンスモードへ移行するか否かを問い合わせるメッセージと、ユーザによる了承またはキャンセルの選択を受け付けるボタンとを含むメンテナンスモード移行インターフェース(図示は省略する)を、ディスプレイ16cに表示し、ユーザの選択入力を受け付ける。ユーザによる選択が、メンテナンスモードへの移行を了承する内容である場合、処理はステップS608へ進む。ユーザによる選択が、メンテナンスモードへの移行を了承しない内容(キャンセル等)である場合、本フローチャートに示された処理は終了し、ユーザはユーザ端末1cにおいて動作する各種ソフトウェアを用いて、引き続き作業を行うことが出来る。
【0097】
なお、本実施形態においてメンテナンスモードとは、制限モードフラグ81および残留防止機能フラグが無効化され、保存データの一時領域82へのリダイレクトが行われなくなることで、ソフトウェアの更新等、必要なファイルをHDD13cに残すことを可能とするモードである。
【0098】
ステップS608では、メンテナンスモードへの移行が行われる。制限モード設定部24(本発明の残留防止機能停止手段に相当する)は、制限モードフラグ81に制限モードを無効とすることを示す値を設定することで制限モードを無効化し、更に、一時領域確保部27は、RAM12c上の残留防止機能フラグに残留防止機能が無効であることを示す値を設定することで、残留防止機能を無効化する。このため、これ以降は先述したステップS402の判定処理で残留防止機能フラグが無効であると判定されるため、この後ダウンロードされる更新ファイルは一時領域82へリダイレクトされることなく、制限モードの終了処理やユーザ端末1cの再起動によっても失われない。その後、処理はステップS609へ進む。
【0099】
なお、本実施形態では、一時領域確保部27によって残留防止機能フラグに直接無効設定が行われることで残留防止機能が停止されることとしているが、これに代えて、制限モ
ード設定部24によって制限モードフラグ81に無効設定が行われた後の再起動によって残留防止機能が停止されてもよい。この場合、制限モード設定部24は、制限モードフラグ81に制限モードが無効であることを示す値を設定し、ユーザ端末1cを再起動させる。ユーザ端末1cが再起動すると、残留防止機能フラグは初期化され、再び制限モードフラグ81が有効に設定されるまでシステムは非制限モード(メンテナンスモード)で動作するため、更新ファイルの保存を行うことが可能である。但し、再起動を伴う残留防止機能の無効化が採用される場合、ユーザ端末1cを用いたそれまでの作業内容は、一時領域82に保存されているために失われる。このため、再起動を伴う残留防止機能の無効化を行う場合には、上記メンテナンスモード移行インターフェース等にメッセージを表示することで、作業内容が失われることをユーザに通知することが好ましい。また、再起動による残留防止機能の無効化が採用される場合には、ソフトウェアの更新作業の途中であることを示す情報をHDD13cに保存して、再起動後に保存された情報を参照することで、ステップS609以降の処理に復帰させる必要がある。
【0100】
なお、上記ステップS608において残留防止機能が無効化されると、図15を用いて説明したステップS503およびステップS504の処理において、ユーザ端末1cが、所定のセキュリティポリシーを満足していないと判定され、パケットフィルタリングが有効となる(ステップS502)。また、管理サーバ1sが代理サーバとして設定され、以降、パケットフィルタリングが有効である間の接続は全て管理サーバ1sの代理によって行われる。
【0101】
ステップS609およびステップS610では、更新ファイルのダウンロードおよび更新処理が行われる。データ受信部28は、管理サーバ1sに接続することで、管理サーバ1sまたは外部端末91、92に保持されている更新ファイルをダウンロードし、HDDに保存する(ステップS609)。ここで、更新ファイルが管理サーバ1sではない外部端末91、92に保持されている場合には、データ受信部28は、管理サーバ1sを代理サーバとして通信することで、直接には管理サーバ1sにのみ接続することで、外部端末91、92上の更新ファイルをダウンロードする。管理サーバ1sのデータ送信部45は、更新ファイルが管理サーバ1sに保持されている場合にはそれを読み出して、更新ファイルが外部端末91、92に保持されている場合にはそれを代理サーバとして取得して、ユーザ端末1cへ送信する。ダウンロードが完了すると、データ保存部34は、HDD13c上のファイルの置き換えや設定変更等を伴うソフトウェアの更新処理を実行する。ここで実行された更新処理の結果は、残留防止機能が無効化されているために、HDD13cに反映される。ソフトウェアの更新が終了すると、処理はステップS611へ進む。
【0102】
ステップS611では、制限モードへの移行を確認する制限モード移行インターフェースが表示され、入力内容が判定される。受付部23は、ユーザに対して、ソフトウェアの更新が終了したことを通知し、制限モードへ移行するか否かを問い合わせるメッセージと、ユーザによる了承またはキャンセルの選択を受け付けるボタンとを含む制限モード移行インターフェース(図示は省略する)を、ディスプレイ16cに表示し、ユーザの選択入力を受け付ける。ユーザによる選択が、制限モードへの移行を了承する内容である場合、処理はステップS612へ進む。ユーザによる選択が、制限モードへの移行を了承しない内容(キャンセル等)である場合、本フローチャートに示された処理は終了し、メンテナンスモードが継続される。
【0103】
ステップS612では、制限モードへの移行が行われる。制限モード設定部24は、制限モードフラグ81に制限モードを有効とすることを示す値を設定することで制限モードを有効化し、更に、一時領域確保部27は、RAM12c上の残留防止機能フラグに残留防止機能を有効とする値を設定することで、残留防止機能を有効化する。以降は先述したステップS402の判定処理で残留防止機能フラグが有効であると判定されるため、この
後の作業において新規作成されるデータや、新たにダウンロードされるデータは一時領域82へリダイレクトされ、ユーザ端末1cの再起動によって失われる。即ち、ユーザはユーザ端末1cにおいて動作する各種ソフトウェアを用いて、セキュアな環境で引き続き作業を行うことが出来る。
【0104】
なお、本実施形態では、再起動なしに残留防止機能が有効化されることとしているが、これに代えて、制限モード設定部24によって制限モードフラグ81に有効設定が行われ、再起動されることで残留防止機能が有効化されてもよい。この場合、制限モード設定部24は、制限モードフラグ81に制限モードが有効であることを示す値を設定し、ユーザ端末1cを再起動させる。ユーザ端末1cが再起動すると、ステップS221で残留防止機能フラグが有効に設定され、残留防止機能が有効化される。
【0105】
残留防止機能が有効化されると、図15を用いて説明したステップS503およびステップS504の処理において、ユーザ端末1cが、所定のセキュリティポリシーを満足したと判定され、パケットフィルタリングが無効となる(ステップS505)。即ち、これ以降管理サーバ1s以外への接続が許可され、ユーザ端末1cは、管理サーバ1s以外の端末およびサーバとの通信を行うことが可能となる。
【0106】
図17は、本実施形態に係るソフトウェア更新処理とパケットフィルタリング機能の起動処理とが連動して行われる様子を示す概要図である。はじめに、ユーザ端末1cは、ソフトウェア更新処理に先立って管理サーバへ認証情報を送信し、管理サーバ1sとの間で認証処理を実行する(図10AのステップS203およびステップS204に相当)。なお、この際、ユーザ端末1cにおいても、管理サーバ1sから受信した情報を用いて、サーバ認証部35によって管理サーバ1sを認証してもよい。また、ユーザ端末1cは、管理サーバ1sに対して更新ファイルの確認要求を行う。これに対して、管理サーバ1sは、必要であれば外部端末91、92と通信して更新ファイルの確認を行い、更新ファイルの通知を返信する(図16のステップS601からステップS606に相当)。ここで、ユーザ端末1cの残留防止機能が無効とされ、クライアントファイアウォールによってパケットフィルタリングが行われ、管理サーバ1sへのアクセスのみが許可される(図15で説明したステップS504を参照)。その後、ユーザ端末1cによって、管理サーバ1sを介した更新ファイルのダウンロードおよび更新ファイルの適用が行われ、本実施形態に係るユーザ端末1cのソフトウェアの更新処理は終了する(図16のステップS609およびステップS610を参照)。
【0107】
なお、本実施形態では、上記説明した通りの処理順序に従って処理が進められるが、具体的な処理順序および内容は、実施の形態に応じて適宜選択されてよい。例えば上記実施形態では、管理サーバ1sはユーザ端末1cの起動時に認証を行い、制限モードおよび残留防止機能の無効化はユーザ端末1cが自発的に実行しているが、このような処理順序および内容に代えて、管理サーバ1sは、更新ファイルのダウンロードに先立って、ユーザ端末1cの認証と、制限モードおよび残留防止機能の状態の確認と、を行うこととしてもよい。
【0108】
即ち、管理サーバ1sは、更新ファイルのダウンロードに先立ってユーザ端末1cを認証し、この認証と同時にユーザ端末1cから制限モードの状態や残留防止機能の状態を取得することで、これから送信する更新ソフトウェアがユーザ端末1cのHDD13cに(残留防止機能による残留防止の対象とならずに)保存されることを確認する。この際、ユーザ端末1cにおいて制限モードまたは残留防止機能が有効となっていることが把握された場合には、管理サーバ1sは、ユーザ端末1cに対して、制限モードおよび残留防止機能を無効化し、メンテナンスモードへ移行することを指示してもよい。ユーザ端末1cは、管理サーバ1sから受信したモード移行指示に従って、制限モードおよび残留防止機能
を無効化し、メンテナンスモードへ移行する機能を備え、これを実行することで、更新ファイルの受信準備を整える。
【0109】
本実施形態に係るユーザ端末管理システム1によれば、残留防止機能を備えるユーザ端末1cにおいて、残留防止機能が無効化されている間に有効化されて管理サーバ1s以外との通信を制限する接続制限部33を採用することで、ユーザ端末1cのセキュリティを確保した状態で、ソフトウェアの更新データやセキュリティ対策ソフトウェアの定義ファイル等、継続的にユーザ端末1cに残されるべきデータをHDD13cに残すことが可能である。
【図面の簡単な説明】
【0110】
【図1】実施形態に係るユーザ端末管理システムのハードウェア構成の概略を示す図である。
【図2】実施形態に係るユーザ端末管理システムの機能構成の概略を示す図である。
【図3A】実施形態におけるソフトウェア情報テーブルの構成を示す図Aである。
【図3B】実施形態におけるソフトウェア情報テーブルの構成を示す図Bである。
【図4】実施形態における認証情報テーブルの構成を示す図である。
【図5】実施形態における制限モード定義情報テーブルの構成を示す図である。
【図6】実施形態における記憶領域の構成を示す図である。
【図7】実施形態におけるアドレス変換テーブルを示す図である。
【図8】実施形態に係る制限モード定義情報を作成する処理の流れを示すフローチャートである。
【図9】実施形態においてディスプレイに表示される制限モード定義情報作成インターフェースのイメージを示す図である。
【図10A】実施形態における制限モード制御処理の流れを示すフローチャートである。
【図10B】実施形態における制限モード制御処理の流れを示すフローチャートである。
【図11】実施形態においてディスプレイに表示される制限モード定義情報選択インターフェースのイメージを示す図である。
【図12】実施形態においてディスプレイに表示される制限モード離脱インターフェースのイメージを示す図である。
【図13】実施形態における非制限モード移行処理の流れを示すフローチャートである。
【図14】実施形態における残留防止処理の流れを示すフローチャートである。
【図15】実施形態に係るパケットフィルタリング機能の起動処理の流れを示すフローチャートである。
【図16】実施形態におけるソフトウェア更新処理の流れを示すフローチャートである。
【図17】実施形態に係るソフトウェア更新処理とパケットフィルタリング機能の起動処理とが連動して行われる様子を示す概要図である。
【符号の説明】
【0111】
1 ユーザ端末管理システム
1s 管理サーバ
1c ユーザ端末(情報処理端末)
21 識別情報送信部
27 一時領域確保部
28 データ受信部
29 一時領域記録部
30 変換情報蓄積部
33 接続制限部
34 データ保存部
35 サーバ認証部
41 認証部
42 識別情報受信部
45 データ送信部
【技術分野】
【0001】
本発明は、情報処理端末にプログラムまたはデータが残ることを防止するための技術に関する。
【背景技術】
【0002】
従来、管理センタサーバとの間で認証を行い、この認証の結果に応じて、記憶部に格納された各種情報を消去するか否かを決定する情報処理システムがあり(特許文献1を参照)、また、情報管理システムに情報要求内容と認証情報とを送り、認証許可時に情報管理システムから返送される情報をダウンロードして、起動時に消去される領域に格納する情報盗用防止方法がある(特許文献2を参照)。
【0003】
また、認証した端末にデータの消去を行うためのプログラムを送信する管理サーバと、この消去プログラムを実行してデータを消去する端末と、を備えるデータ消去システムがあり(特許文献3を参照)、定期的にサーバにアクセスして、アクセスが許可された場合に端末内のデータをサーバ上のデータと同期させ、サーバとのアクセスが拒否された場合にデータを消去する情報管理システムがある(特許文献4を参照)。
【特許文献1】特開2006−163847号公報
【特許文献2】特開2005−157588号公報
【特許文献3】特許3753666号公報
【特許文献4】特開2006−319432号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
従来、情報処理端末と通信ネットワークとの組み合わせによる情報通信システムにおいて、コンピュータウィルスによる被害や情報漏洩等の事象が発生しているが、これは、一般的なコンピュータの構成である、プログラムやデータを書き換え可能な記憶装置に記録していることに起因した問題である。即ち、データをユーザの意図に拘らずネットワークへ送信してしまうソフトウェアが、一旦記憶装置に記録されてしまうと、このソフトウェアはシステムに常駐し、被害が継続する。また、データをコンピュータの記憶装置に保存しているため、コンピュータが紛失または盗難されることによって、情報が漏洩する。
【0005】
このような事象に対応するために、従来、情報処理端末にプログラムおよびデータを残さない技術が提案されている。例えば、コンピュータ上に仮想マシンと呼ばれる擬似的なコンピュータハードウェアを構成し、この仮想マシン上にてゲストOS(Operating System)を起動し、ゲストOS上で作業を行うという、仮想マシン手法がある。また、情報処理端末にはOSを記憶させずに、ネットワークの先にOSイメージを用意して、起動時にネットワーク越しにダウンロードして情報処理端末のRAM(Random Access Memory)に展開するという、所謂ネットブート手法がある。そして、これらの手法によれば、情報処理端末上にプログラムやデータを残さず、ウィルス等のマルウェアが常駐する問題や、上処理端末から情報が漏洩する問題に対処することが出来る。
【0006】
しかし、上記セキュリティ手法では、OSやインストールされたプログラムの更新データや、セキュリティ対策ソフトウェアによって用いられる定義ファイル(ウィルス定義ファイルや攻撃パターン定義ファイル等が用いられている)等の、セキュリティを高める上で情報処理端末上に残すことが望ましいデータも消えてしまい、ソフトウェアを更新等して最新の状態に保つことが困難であるといった問題があった。従来、このような問題に対
処するためには、端末上にデータを残さないための機能を一時的に無効化するといった手段も用いることができたが、このような方法では、情報処理端末を安全な状態に保つことができない。
【0007】
本発明は、上記の問題に鑑み、作業データ等を情報処理端末上に残さない機能を備える情報処理端末において、所定のデータについては、端末のセキュリティを確保したまま例外的に端末上に残すことを課題とする。
【課題を解決するための手段】
【0008】
本発明は、上記した課題を解決するために、作業データ等を情報処理端末上に残さない機能を備える情報処理端末において、所定のデータのダウンロードを行う際には、作業データ等を情報処理端末上に残さない機能を無効化し、且つ所定のデータのダウンロードに用いられる所定のサーバ以外の端末とのアクセスを制限することで、所定のデータについては、端末のセキュリティを確保したまま例外的に端末上に残すことを可能にした。
【0009】
詳細には、本発明は、不揮発性記憶装置に接続された情報処理端末であって、データが前記不揮発性記憶装置に残ることを防止する残留防止手段と、ダウンロードして前記不揮発性記憶装置に残すべき所定のデータが外部端末に存在する場合に、前記残留防止機能を停止する残留防止機能停止手段と、前記残留防止機能が有効となっていない間に、前記外部端末との間の通信に必要な接続を許可し、その他の接続を制限する接続制限手段と、前記残留防止機能が有効となっておらず、且つ前記接続制限が行われている間、前記外部端末から前記所定のデータを受信するデータ受信手段と、前記データ受信手段によって受信された前記所定のデータを、前記不揮発性記憶装置に記憶させるデータ保存手段と、を備える情報処理端末である。
【0010】
本発明に係る情報処理端末は、残留防止手段を備えることにより、情報処理端末を用いて行った作業で作成された新規データや、ネットワークを介してダウンロードされた外部からのデータを、情報処理端末の電源断やシステムの再起動によってもデータが残る不揮発性記憶装置に残ることを防止し、悪意あるプログラムの常駐や情報の漏洩を防止することが出来る情報処理端末である。
【0011】
そして、本発明に係る情報処理端末は、このような残留防止機能を無効化する残留防止無効化手段と、残留防止機能が無効化されている間に接続制限を行う接続制限手段とを備えることによって、悪意あるプログラムの侵入や情報の漏洩を防止するセキュリティ対策を有効としつつ、必要なプログラムの更新ファイルや、セキュリティ対策ソフトウェアによって利用される定義ファイル等、不揮発性記憶装置に残すべき所定のデータを、不揮発性記憶装置に残すことを可能としている。
【0012】
なお、残留防止手段による残留防止の具体的な手法には、公知の技術を含め実施の形態毎に最適な手法が採用されてよいが、例えば、本発明に係る情報処理端末は、前記不揮発性記憶装置における一部の領域を、該情報処理端末の起動または終了に際して初期化される一時領域として確保する一時領域確保手段を更に備え、前記残留防止手段は、前記不揮発性記憶装置に書き込まれようとしているデータを前記一時領域に記録することで、該データが前記不揮発性記憶装置に残ることを防止してもよい。
【0013】
ここで、不揮発性記憶装置とは、HDDやフラッシュEEPROM等の、電源の供給が行われなくても記録された情報が維持される記憶装置である。本発明では、この不揮発性記憶装置上に、情報処理端末の起動または終了に際して初期化される一時領域を確保し、且つユーザ権限をオペレーティングシステムへの変更またはソフトウェアの追加を行う権限を有さないユーザに設定することで、望ましくないソフトウェアやデータが該情報処理
端末に保持されることを防止することを可能としている。
【0014】
不揮発性記憶装置に書き込まれようとしているデータを、端末の起動または終了に際して初期化される一時領域に記録することで、端末の再起動時に、前回起動時に記録されたデータが再びメモリに読み込まれることを防止することが出来る。また、一時領域の初期化を行う方法には、オペレーティングシステムによる前記不揮発性記憶装置への書き込みアクセスを横取りし、前記一時領域への書き込みアクセスへ変換することで、前記不揮発性記憶装置に書き込まれようとしているデータを前記一時領域に記録し、前記変換された書き込みアクセスの変換前のアドレスと変換後のアドレスとの対応関係を示す変換情報を、前記揮発性記憶装置に蓄積する方法がある。この場合、変換情報が揮発性記憶装置に蓄積されるため、再起動や電源断等で、揮発性記憶装置に記録された変換情報が失われ、変換情報を参照して一時領域にアクセスすることが出来なくなる。これによって、一時領域からの情報の読出しが困難となり、マルウェアの残留や情報漏洩を防止することが可能となる。
【0015】
また、前記接続制限手段は、前記接続制限手段は、管理サーバとの接続を許可し、前記データ受信手段は、前記管理サーバを介して、前記外部端末から前記所定のデータを受信してもよい。このようにすることで、残留防止処理を無効化している間における通信の対象を、安全性の確保された所定の管理サーバのみに限定することが出来る。また、所定のデータが存在する外部端末が管理サーバでない場合、本発明に係る情報処理端末は、管理サーバを介して(例えば、管理サーバを代理サーバとして用いて)外部端末から所定のデータをダウンロードしてもよい。
【0016】
また、本発明に係る情報処理端末は、前記管理サーバとの間で認証処理を実行するサーバ認証手段を更に備え、前記接続制限手段は、前記サーバ認証手段によって認証された管理サーバとの接続を許可してもよい。このようにすることで、管理サーバの成りすまし等を防止することが出来、所定のデータをダウンロードする際のセキュリティをより高めることが出来る。
【0017】
また、本発明は、上記情報処理端末を管理する管理サーバとしても把握することが可能である。即ち、本発明は、所定の情報処理端末を管理する管理サーバであって、前記所定の情報処理端末は、データが不揮発性記憶装置に残ることを防止する残留防止手段、前記不揮発性記憶装置に残すべき所定のデータが外部端末に存在する場合に前記残留防止機能を停止する残留防止機能停止手段、および、前記残留防止機能が有効となっていない間、該管理サーバとの接続を許可し、その他の接続を制限する接続制限手段、を備える情報処理端末であり、前記所定の情報処理端末において、前記残留防止機能が有効となっておらず、且つ前記接続制限が行われている間に、前記所定のデータを前記情報処理端末に受信させて前記不揮発性記憶装置に記憶させるデータ送信手段を備える、管理サーバである。
【0018】
また、本発明に係る管理サーバは、前記所定の情報処理端末との間で認証処理を実行する端末認証手段を更に備え、前記データ送信手段は、前記端末認証手段によって認証された情報処理端末において、前記残留防止機能が有効となっておらず、且つ前記接続制限が行われている間に、前記所定のデータを前記情報処理端末に受信させて前記不揮発性記憶装置に記憶させてもよい。
【0019】
更に、本発明は、コンピュータが実行する方法、又はコンピュータに実行させるプログラムとしても把握することが可能である。また、本発明は、そのようなプログラムをコンピュータその他の装置、機械等が読み取り可能な記録媒体に記録したものでもよい。ここで、コンピュータ等が読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的、または化学的作用によって蓄積し、コンピュータ等から読
み取ることができる記録媒体をいう。
【発明の効果】
【0020】
本発明によって、作業データ等を情報処理端末上に残さない機能を備える情報処理端末において、所定のデータについては、端末のセキュリティを確保したまま例外的に端末上に残すことが可能となる。
【発明を実施するための最良の形態】
【0021】
本発明に係る情報処理端末および管理サーバを有するユーザ端末管理システムの実施の形態について、図面に基づいて説明する。
【0022】
図1は、本実施形態に係るユーザ端末管理システム1のハードウェア構成の概略を示す図である。ユーザ端末管理システム1は、管理サーバ1sと、管理サーバ1sにネットワーク2を介して接続された1または複数のユーザ端末1cと、を有する。管理サーバ1sは、CPU(Central Processing Unit)11s、RAM(Random Access Memory)12s等の主記憶装置、HDD(Hard Disk Drive)13s等の補助記憶装置、ROM(Read Only Memory)14s、およびNIC(Network Interface Card)15s等のネットワークインターフェース等を有するコンピュータである。管理サーバ1sは、ネットワーク2を介して接続された管理者端末1aによって管理されるが、ディスプレイ、キーボード、マウス等を備えてもよい。また、管理サーバ1sは、ユーザ端末管理システム1の外部端末である、OS更新ファイル配布サーバ91や、セキュリティ対策ソフトウェア更新ファイル配布サーバ92に、インターネット等のネットワーク9を介して接続されている。
【0023】
また、ユーザ端末1cは、CPU11c、揮発性記憶装置であり端末の再起動や終了に伴って記録された情報が失われるRAM12c、不揮発性記憶装置であり端末が再起動または終了された場合にも記録された情報が維持されるHDD13c、ROM14c、およびNIC15c等のネットワークインターフェース等を有するコンピュータである。なお、本実施形態では、ユーザ端末1cは更にディスプレイ16c等の出力装置、およびキーボード17c、マウス18c等の入力装置等を有する。また、ユーザ端末1cのOSは、システムへの変更またはソフトウェアの追加を行うための権限である管理者権限の有無をユーザごとに設定可能なOSである。
【0024】
図2は、本実施形態に係るユーザ端末管理システム1の機能構成の概略を示す図である。図1に示したハードウェア構成を有する管理サーバ1sは、HDD13s上にインストールされたプログラムをCPU11sが読み出してRAM12sに展開し、展開されたプログラムをCPU11sが解釈および実行することで、ソフトウェア蓄積部46と、ソフトウェアのリストを含む制限モード定義情報を蓄積する制限モード定義情報蓄積部44と、ユーザまたはユーザ端末1cの識別情報をユーザ端末1cより受信する識別情報受信部42と、受信された識別情報を用いてユーザ端末1cまたはユーザを認証する端末認証部41と、情報処理端末またはユーザに応じた制限モード定義情報を送信する制限モード定義情報送信部43と、ユーザ端末1cにおいて選択された制限モード定義情報に含まれるソフトウェア等をユーザ端末1cに送信するデータ送信部45と、を備える管理サーバ1sとして機能する。
【0025】
同様に、図1に示したハードウェア構成を有するユーザ端末1cは、RAM12cに展開されたプログラムをCPU11cが解釈および実行することで、ユーザまたはユーザ端末1cの識別情報を管理サーバ1sに送信する識別情報送信部21と、管理サーバ1sから制限モード定義情報を受信する制限モード定義情報受信部22と、ユーザによる制限モ
ード定義情報の選択や制限モード有効化/無効化の指示を受け付ける受付部23と、制限モード設定部24と、次回起動時のログインユーザを、管理者権限を有さないユーザに設定する権限設定部25と、制限モードが有効であるか否かを判定する判定部26と、HDD13cにおける一部の領域を一時領域82として確保する一時領域確保部27と、選択された制限モード定義情報に含まれるソフトウェアを管理サーバ1sから受信するデータ受信部28と、制限モード有効時にHDD13cへの書き込みデータを一時領域82に記録する一時領域記録部29と、一時領域82への記録の際の変換情報を蓄積する変換情報蓄積部30と、ソフトウェアを一時領域82から読み出して実行するソフトウェア実行部31と、一時領域82を含むHDD13cに記録された情報を読み出す読出部32と、管理サーバ1sへの接続のみを許可し、その他の接続を制限するパケットフィルタリングを行う接続制限部33と、ダウンロードしたデータをHDD13cに保存するデータ保存部34と、管理サーバを認証するサーバ認証部35と、を備えるユーザ端末1cとして機能する。
【0026】
ここで、サービスとは、ユーザ端末1cまたはサービス提供サーバにおいて実行されるソフトウェアによって提供される機能である。サービスの提供の形態としては、ユーザ端末1cにダウンロードされたソフトウェアがユーザ端末1cによって実行されることでサービスが提供される形態や、サービス提供サーバにおいて主要な処理が行われ、ユーザ端末1cではサーバから受信した処理結果の表示を主に担うソフトウェアが実行される形態等が用いられてよい。
【0027】
また、一時領域82とは、ユーザ端末1cの起動または終了に際してRAM12cに蓄積された変換情報が失われることで初期化されるHDD13cにおける一部の領域である。一時領域記録部29は、判定部26によって制限モードが有効であると判定された場合に、オペレーティングシステムによるHDD13cへの書き込みアクセスを横取り(フック)し、一時領域82への書き込みアクセスへ変換することで、HDD13cに書き込まれようとしているデータを一時領域82に記録する。そして、変換情報蓄積部30は、変換された書き込みアクセスの変換前のアドレスと変換後のアドレスとの対応関係を示す変換情報を、RAM12cに蓄積する。
【0028】
また、制限モードとは、ユーザ端末1cにおいてセキュリティを確保するための機能が有効となっている状態であり、セキュリティを確保しつつ様々な作業環境を提供するために、複数種類の制限モードが提供される。
【0029】
管理サーバ1sの制限モード定義情報蓄積部44は、識別情報に係る情報処理端末に所定の作業環境を構築するためのソフトウェアの組み合わせ、または識別情報に係るユーザに所定のサービスを提供するためのソフトウェアの組み合わせを含む、制限モード定義情報を蓄積する。
【0030】
図3Aおよび図3Bは、本実施形態におけるソフトウェア情報テーブル50A、50Bの構成を示す図である。ソフトウェア情報テーブル50A、50Bには、ソフトウェア蓄積部46によって蓄積されたソフトウェアを識別するためのソフトウェア識別子51と、ソフトウェア名称52と、管理サーバ1sにおけるソフトウェア本体の保存位置を示すファイルパス53と、を含むソフトウェア情報が蓄積される。なお、本実施形態において、ソフトウェア情報テーブル50Aには、残留防止の対象となるソフトウェア、即ち、ユーザ端末1cの利用終了後に、ユーザ端末1cのHDD13c上に残されないソフトウェアの情報が蓄積される。これに対して、ソフトウェア情報テーブル50Bには、残留防止の対象とならないソフトウェア、例えば、オペレーティングシステムの更新ファイルや、セキュリティ対策ソフトウェアの更新ファイル、ウィルス定義ファイル等、セキュリティの観点上システムに残すことが好ましいソフトウェアの情報が蓄積される。
【0031】
また、図4は、本実施形態における認証情報テーブル60の構成を示す図である。認証情報テーブル60には、認証を受けるユーザまたはユーザ端末1cを識別するための認証識別子61と、認証識別子61によって認証されるユーザまたは端末の名称62と、認証に用いられるパスワード等が含まれる認証符号63と、を含む認証情報が蓄積される。
【0032】
図5は、本実施形態における制限モード定義情報テーブル70の構成を示す図である。制限モード定義情報テーブル70には、制限モード識別子71と、制限モード名称72と、この制限モードで使用が許可されるソフトウェアのソフトウェア識別子51がリストされるソフトウェアリスト73と、この制限モードの使用が許可されるユーザまたは端末の認証識別子61がリストされる認証リスト74と、この制限モードの使用が許可される期限を示す制限モード有効期限75と、を含む制限モード定義情報が蓄積される。ユーザは、提示された複数種類の制限モード定義情報から、所望の制限モード定義情報を選択することで、この定義情報に応じた作業環境の提供を受けることが出来る。
【0033】
図6は、本実施形態における記憶領域80の構成を示す図である。ユーザ端末1cのHDD13c上に確保された記憶領域80には、制限モードフラグ81および一時領域82が含まれ、制限モードフラグ81には、制限モード設定部24によって、制限モードが有効であることを示す値(例えば、「1」)、または制限モードが無効となっていることを示す値(例えば、「0」)が書き込まれる。また、一時領域82は、制限モードが有効となっている間に、アドレス変換によってHDD13cへの書き込みアクセスがリダイレクトされる領域である。即ち、制限モードが有効となっている間、原則としてデータは一時領域82に記録される。
【0034】
図7は、本実施形態におけるアドレス変換テーブル90を示す図である。アドレス変換テーブル90には、一時領域82への書込み時の変換元アドレス91と変換先アドレス92との対応関係が蓄積される。アドレス変換テーブル90に蓄積された情報は、一時領域82からの情報の読み出し時に参照される。なお、本実施形態では、アドレス変換は、対応表を参照することで変換元アドレス91に対応する変換先アドレス92を取得することとしているが、これに代えて、変換元アドレス91を所定の計算式を用いて変換することで、変換先アドレス92を取得することとしてもよい。
【0035】
図8は、本実施形態に係る制限モード定義情報を作成する処理の流れを示すフローチャートである。本フローチャートに示された処理は、管理サーバ1sまたは管理サーバ1sにログインした管理者端末1aにおいて、管理者によって制限モード定義情報の作成開始を指示する入力が行われたことを契機として開始される。
【0036】
ステップS101からステップS103では、制限モード定義情報を作成するにあたってユーザに選択させるための各種情報が読み出され、これらの情報が、管理サーバ1sまたは管理者端末1aのディスプレイに表示される。管理サーバ1sは、予め準備されたソフトウェア情報をソフトウェア情報テーブル50A、50Bから読み出し、認証情報を認証情報テーブル60から読み出す。そして、管理サーバ1sは、読み出されたソフトウェア情報および認証情報を、管理サーバ1sに接続されたディスプレイ、または管理サーバ1sに接続された管理者端末1aのディスプレイに表示する。
【0037】
図9は、本実施形態においてディスプレイに表示される制限モード定義情報作成インターフェース100のイメージを示す図である。制限モード定義情報作成インターフェース100は、作成される制限モード定義情報に係る制限モードの名称が入力される名称入力欄101と、ステップS101で読み出されたソフトウェア情報が選択される選択可能ソフトウェア表示欄102と、選択された1または複数のソフトウェアが表示される選択済
みソフトウェア表示欄103と、選択したいソフトウェアを選択済みソフトウェアに追加する追加ボタン104aと、選択済みソフトウェアを削除する削除ボタン104dと、ステップS102で読み出された認証情報が選択される選択可能認証情報表示欄105と、選択された1または複数の認証情報が表示される選択済み認証情報表示欄106と、選択したい認証情報を選択済み認証情報に追加する追加ボタン107aと、選択済み認証情報を削除する削除ボタン107dと、作成される制限モード定義情報の有効期限を入力する有効期限入力欄108と、入力または選択内容を確定して新規制限モード定義情報を作成する新規作成ボタン109と、を有する。
【0038】
ステップS104では、制限モード定義情報を作成するにあたって必要な情報の入力および選択が受け付けられる。管理サーバ1sは、ディスプレイに表示された制限モード定義情報作成インターフェース100を介して行われる入力操作および選択操作を受け付けることで、制限モードの名称、ソフトウェア、認証情報および有効期限の入力または選択を受け付ける。
【0039】
即ち、管理者は、制限モード定義情報を作成するにあたって、ディスプレイに表示された制限モード定義情報作成インターフェース100を見ながら、キーボード、マウス等の入力装置を用いて、制限モードの名称の入力、ソフトウェアの選択、認証情報の選択、および有効期限の入力を行う。ここで、ソフトウェアおよび認証情報は、複数選択されてもよい。本実施形態では、ドロップダウンメニューを用いて表示されたソフトウェアまたは認証情報が、追加ボタン104a、107aの押下によって選択状態となる。選択状態にある選択済みソフトウェア/認証情報は、選択済みソフトウェア/認証情報表示欄103、106に表示され、新規作成ボタン109の押下によって確定される。その後、処理はステップS105へ進む。
【0040】
ステップS105では、制限モード定義情報が作成される。管理サーバ1sは、ステップS104で入力または選択された情報を、制限モード名称72、ソフトウェアリスト73、認証リスト74および制限モード有効期限75として含む制限モード定義情報を作成し、制限モード定義情報テーブル70に蓄積する。この際、管理サーバ1sは、制限モード定義情報を識別するための一意の識別子を生成し、制限モード識別子71として制限モード定義情報に保持させる。識別子は、例えば、作成日時等を含む識別子とすることが出来る。その後、本フローチャートに示された処理は終了する。
【0041】
即ち、本フローチャートに示された処理によれば、管理者は、ユーザに提供したい作業環境および適用したいセキュリティに応じた制限モードを、簡易に作成することが出来る。なお、ここで制限モード定義情報の生成が成功した場合に、制限モード定義情報が正常に作成された旨をユーザに伝えるためのメッセージが表示されることとしてもよい。また、管理者は、制限モード定義情報を複数作成することが出来る。異なるソフトウェア識別子51と認証識別子61との組み合わせによる制限モード定義情報を生成しておくことで、ソフトウェアの選択および該ソフトウェアを利用できるユーザの限定を、制限モードを選択させるのみで行うことが出来る。
【0042】
例えば、ファイルサーバへアクセスするためのソフトウェアと、アクセスを許可したいユーザを制限モード定義情報に設定しておくことで、限定されたユーザ間でのデータ共有が可能となる。
【0043】
図10Aおよび図10Bは、本実施形態における制限モード制御処理の流れを示すフローチャートである。本フローチャートに示された処理は、システムの起動に伴って開始される。なお、本フローチャートに示された処理では、制限モードフラグ81が操作され、制限モードフラグ81の状態に基づいて処理の流れが決定される。はじめに、起動時にお
いて制限モードフラグ81が有効でない(または、無効である)場合の処理の流れについて説明する。なお、本実施形態では、OS等のシステムプログラムはHDD13cより読み出されることとしているが、システムプログラムの少なくとも一部をROM、DVD等の書換不可能な記憶装置に記録しておき、システム起動時に毎回展開させることで、プログラムの改変を抑止してもよい。
【0044】
ステップS201およびステップS202では、システムの起動処理および制限モードフラグ81の判定が行われる。判定部26は、システムの起動後、HDD13cに保存された制限モードフラグ81を参照し、制限モードフラグ81が制限モード有効を示す値に設定されているか否かを判定する。制限モードフラグ81が制限モード有効を示す値に設定されていると判定された場合、処理はステップS221へ進み(図10Bを参照)、以降、制限モードフラグ81が無効に設定されるまで、システムは制限モードで動作する。制限モードフラグ81が制限モード有効を示す値に設定されていない(または、無効を示す値に設定されている)と判定された場合、処理はステップS203へ進み、以降、制限モードフラグ81が有効に設定されるまで、システムは非制限モードで動作する。
【0045】
ステップS203およびステップS204では、認証情報に基づいた認証処理が行われる。ユーザ端末1cは、ユーザ端末1cのディスプレイ16cに認証インターフェース(図示は省略する)を表示し、識別情報送信部21は、このインターフェースを介してユーザによって入力された認証情報(例えば、ユーザ名称とパスワード等)を、管理サーバ1sへ送信する(ステップS203)。管理サーバ1sの識別情報受信部42は、送信された認証情報を、ネットワーク2を介して受信し、端末認証部41は、受信された認証情報と予め認証情報テーブル60に保持されている認証情報とを比較することで、ユーザ端末1cまたはユーザ端末1cを使用しているユーザを認証する(ステップS204)。
【0046】
より具体的には、管理サーバ1sの端末認証部41が、受信された認証情報に含まれるユーザまたは端末の名称62または認証識別子61を検索キーとして認証情報テーブル60を検索し、抽出された認証情報の認証符号63と受信された認証情報に含まれるパスワード等を比較することで、認証が行われる。なお、本実施形態では、ユーザによって入力された認証情報を送信することとしているが、これに代えて、予め設定された認証情報が、ユーザ端末1cの起動時に自動的に送信されることとしてもよい。その後、処理はステップS205へ進む。なお、認証処理は、ワンタイムパスワードや、秘密鍵と公開鍵を用いた認証処理等、実施の形態に応じて採用された認証プロトコルを用いた認証処理であってよい。
【0047】
ステップS205からステップS207では、制限モード定義情報の送受信が行われる。管理サーバ1sの制限モード定義情報送信部43は、ステップS204で認証されたユーザまたはユーザ端末1cの認証識別子61を検索キーとして制限モード定義情報テーブル70を検索することで、認証に係る制限モード定義情報を抽出する(ステップS205)。ここで、制限モード定義情報送信部43は、管理サーバ1sの内蔵時計(図示は省略する)に基づく日時情報と、制限モード定義情報に含まれる有効期限75とを比較し、有効期限を超過している(期限切れの)制限モード定義情報は、抽出の結果に含ませない。そして、制限モード定義情報送信部43は、抽出された制限モード定義情報をユーザ端末1cへ送信し(ステップS206)、ユーザ端末1cの制限モード定義情報受信部22は、ネットワーク2を介して制限モード定義情報を受信する(ステップS207)。その後、処理はステップS208へ進む。
【0048】
ステップS208では、ステップS207で受信された制限モード定義情報が複数あるか否かが判定される。複数の制限モード定義情報が受信されたと判定された場合、処理はステップS209へ進む。受信された制限モード定義情報が複数ではない(単一である)
と判定された場合、処理はステップS210へ進む。
【0049】
ステップS209では、受信された制限モード定義情報が複数ある場合に、ユーザによる選択が受け付けられる。受付部23は、受信された複数の制限モード定義情報に基づいて、複数の制限モード定義情報のうち、このユーザ端末1cに提供する制限モード定義情報をユーザに選択させるための制限モード定義情報選択インターフェース110をディスプレイ16cに表示する。
【0050】
図11は、本実施形態においてディスプレイ16cに表示される制限モード定義情報選択インターフェース110のイメージを示す図である。制限モード定義情報選択インターフェース110は、ユーザに対する制限モードについての説明を含むメッセージ表示欄111と、制限モード名称72および有効期限75が表示される制限モード選択ボタン112と、を有する。マウス18c等の入力装置を用いてユーザは制限モード選択ボタン112をクリックすることで、所望の制限モードを選択することが出来る。受付部23は、制限モード定義情報インターフェースを介して、ユーザによる制限モード定義情報の選択を受け付ける。その後、処理はステップS210へ進む。
【0051】
ステップS210では、ソフトウェア識別子51が送信される。ユーザ端末1cのデータ受信部28は、制限モード定義情報のソフトウェアリスト73に含まれるソフトウェアのうち、残留防止の対象とならないソフトウェア、即ち、制限モードが有効であるか否かに拘らずユーザ端末1cのHDD13c上に残されるべきソフトウェアの識別子を送信する。ここで、残留防止とは、データを一時領域82へ記録することで、端末へのデータの残留を防止することをいう。残留防止の対象とならないソフトウェアとは、例えば、オペレーティングシステムの更新ファイルや、セキュリティ対策ソフトウェアの更新ファイル、ウィルス定義ファイル等、セキュリティの観点上システムに残すことが好ましいソフトウェアである。これらの残留防止の対象とならないソフトウェアを識別する方法としては、本実施形態における、残留防止の対象とならないソフトウェアの情報が蓄積されるソフトウェア情報テーブル50Bを用いる方法の他に、予めユーザ端末1cにおいて設定しておく方法や、管理サーバ1sに保持されるソフトウェア情報や制限モード定義情報に残留防止の対象とするか否かを判別するためのフラグを含ませる方法等が採用されてよい。その後、処理はステップS211へ進む。
【0052】
ステップS211およびステップS212では、管理サーバ1sによってソフトウェア識別子51が受信され、ソフトウェア本体が送信される。管理サーバ1sのデータ送信部45は、ユーザ端末1cより送信されたソフトウェア識別子51を受信し(ステップS211)、受信されたソフトウェア識別子51を検索キーとしてソフトウェア情報テーブル50Bを検索することで、ユーザ端末1cより要求されたソフトウェアの本体が保存されている場所(ここでは、管理サーバ1sにおけるファイルパス53)を取得する。そして、ソフトウェア蓄積部46によって蓄積されているソフトウェア本体を読み出し、ユーザ端末1cへ送信する(ステップS212)。その後、処理はステップS213へ進む。
【0053】
ステップS213では、ソフトウェア本体が受信される。ユーザ端末1cのデータ受信部28は、管理サーバ1sから送信されたソフトウェアを受信し、HDD13cに保存する。なお、ここで受信されたソフトウェアが保存されるHDD13c上の領域は、残留防止のために用いられる一時領域82ではない。その後、処理はステップS214へ進む。
【0054】
ステップS214およびステップS215では、制限モードフラグ81が設定され、制限モード定義情報が保存される。制限モード設定部24は、HDD13c上の制限モードフラグ81に、制限モードが有効であることを示す値を設定し(ステップS214)、HDD13cに、ステップS209で選択された制限モード定義情報(ステップS207で
受信された制限モード定義情報が1つであった場合には、その制限モード定義情報)を保存する(ステップS215)。即ち、これらのステップでは、ユーザ端末1cの再起動後に用いる情報が、不揮発性記憶装置であるHDD13cに記録される。これによって、ユーザ端末1cの再起動後も制限モードが継続され、また、再起動後に参照される制限モード定義情報が維持される。その後、処理はステップS216へ進む。
【0055】
ステップS216およびステップS217では、ユーザ端末1cのオペレーティングシステムにおけるユーザ権限が変更され、ユーザ端末1cが再起動される。権限設定部25は、次回起動時のユーザが、ユーザ端末1cへのソフトウェアのインストールやシステムへの変更を行う権限を有さないユーザ(以降、「制限ユーザ」と称する)となるように、オペレーティングシステムの設定を強制的に変更する(ステップS216)。より具体的には、権限設定部25は、ユーザ端末1cのオペレーティングシステム起動用設定ファイル(レジストリ等)内のオペレーティングシステム起動時ログインユーザを、管理者権限を持たない制限ユーザへ強制的に書き換える。その後、システムの再起動が開始され(ステップS217)、本フローチャートに示された処理は終了する。
【0056】
システムが再起動すると、再びステップS201からの処理が実行される。再起動したシステムは、制限ユーザで動作する。また、制限モードフラグ81はステップS214で制限モードに設定されているため、ステップS202における判定処理では、制限モードフラグ81が制限モード有効を示す値に設定されていると判定される。
【0057】
次に、図10Bを参照して、ステップS202で制限モードフラグ81が制限モード有効を示す値に設定されていると判定された場合の以降の処理の流れ、即ちシステムが制限モードで動作する場合の処理の流れを説明する。
【0058】
ステップS221では、残留防止機能が有効化される。ユーザ端末1cの一時領域確保部27は、ステップS202で制限モードフラグ81が有効であると判断されたことを受けて、RAM12c上の残留防止機能フラグに残留防止機能が有効であることを示す値を設定し、一時領域82の確保および初期化を行うことで、残留防止機能を有効化する。残留防止機能フラグは、後述する残留防止処理において参照されることで、残留防止機能が有効であるか無効であるかを判定するための基準となる。また、一時領域82は、一時領域82のアドレスの書き込みアドレスを示すポインタを一時領域82(図6を参照)の先頭アドレスとすることで初期化される。その後、処理はステップS222へ進む。
【0059】
ステップS222では、ソフトウェア識別子51が送信される。ユーザ端末1cのデータ受信部28は、ステップS215でHDD13cに保存された制限モード定義情報のソフトウェアリスト73に含まれるソフトウェアのうち、残留防止の対象となるソフトウェア、即ち、ユーザ端末1cの利用終了後に、ユーザ端末1cのHDD13c上に残されないソフトウェアの識別子を送信する。残留防止の対象となるソフトウェアを識別する方法としては、本実施形態における、残留防止の対象となるソフトウェアの情報が蓄積されるソフトウェア情報テーブル50Aを用いる方法の他に、予めユーザ端末1cにおいて設定しておく方法や、管理サーバ1sに保持されるソフトウェア情報や制限モード定義情報に残留防止の対象とするか否かを判別するためのフラグを含ませる方法等が採用されてよい。その後、処理はステップS223へ進む。
【0060】
ステップS223およびステップS224では、管理サーバ1sによってソフトウェア識別子51が受信され、ソフトウェア本体が送信される。処理の詳細はステップS211およびステップS212と概略同様であるため、説明を省略する。その後、処理はステップS225へ進む。
【0061】
ステップS225では、ソフトウェア本体が受信される。ユーザ端末1cのデータ受信部28は、管理サーバ1sから送信されたソフトウェア本体を受信し、ステップS221で初期化された一時領域82に保存する。即ち、ここで受信されたソフトウェア本体は、ユーザ端末1cの使用終了時または再起動時に、ユーザ端末1cから失われる。その後、処理はステップS226へ進む。
【0062】
ステップS226およびステップS227では、ソフトウェアが起動され、制限モード離脱インターフェース120が表示される。ユーザ端末1cのソフトウェア実行部31は、ステップS213およびステップS225で受信しHDD13cに記録したソフトウェア本体を、RAM12cに読み出し、CPU11cに実行させることでソフトウェアを起動する(ステップS226)。即ち、この時点で、ソフトウェアの機能が情報処理端末を使用するユーザに提供され、ユーザはユーザ端末1cにおいて動作する各種ソフトウェアを用いて作業を行うことが可能となる。そして、ユーザ端末1cは、ユーザが制限モードでの作業を終了する際の終了操作を受け付けるための制限モード離脱インターフェース120をディスプレイ16cに表示する(ステップS227)。その後、本フローチャートに示された処理は終了する。なお、制限モード離脱インターフェース120を起動するためのソフトウェアは、ソフトウェア情報テーブル50Aに登録され、ステップS225で受信されるソフトウェアであってもよい(以下、制限モード離脱インターフェース120を表示させるためのソフトウェアを「離脱インターフェース提供ソフトウェア」と称する)。この場合、制限モード離脱インターフェース120は、ステップS226のソフトウェア起動処理において表示されるため、ステップS227の処理は不要となる。また、この場合、離脱インターフェース提供ソフトウェアは一時領域82に記録され、ユーザ端末1cに残らない。このため、離脱インターフェース提供ソフトウェアを制限モード定義情報テーブル70に登録するタイミングを調整することで、管理者は、制限モードから離脱可能な時期をコントロールすることが出来る。より具体的には、管理者は、ユーザ端末を常に制限モードで動作させたい時期には制限モード定義情報テーブル70に離脱インターフェース提供ソフトウェアを登録しないことで、ユーザの故意または過失による不要な制限モード離脱や環境変更等を防止することが出来る。
【0063】
図12は、本実施形態においてディスプレイ16cに表示される制限モード離脱インターフェース120のイメージを示す図である。制限モード離脱インターフェース120は、現在ユーザ端末1cのシステムが制限モードで動作していることを通知するメッセージ121と、非制限モードへ復帰する(制限モードを離脱する)ことを指示するための復帰ボタン122と、を有する。ユーザは、ユーザ端末1cに備えられたポインティングデバイス等の入力装置を操作して、復帰ボタン122をクリックすることで、制限モードでの作業を終了し、非制限モードへ移行することの指示を行う。
【0064】
ステップS226におけるソフトウェアの起動以降、ユーザによる復帰ボタン122のクリックが検知されるまで、ユーザ端末1cは制限モード下で動作し、ユーザは、ユーザ端末1cにおいて起動された各種ソフトウェアを用いて作業を行うことが可能である。そして、本実施形態によれば、ユーザ端末1cのOSが制限ユーザで動作し、且つ残留防止機能が動作していることによって、ユーザによるソフトウェアのインストールやシステムへの変更が制限され、更に、作成または変更したデータが再起動後にHDD13cに残留することが制限される。
【0065】
図13は、本実施形態における非制限モード移行処理の流れを示すフローチャートである。本フローチャートに示された処理は、ユーザによる非制限モードへの移行指示が検知されたことを契機として開始される。ユーザ端末1cは、上記制限モード離脱インターフェース120を介したユーザ操作に基づく非制限モードへの移行指示を受け付け(ステップS301)、HDD13c上の制限モードフラグ81に、制限モードが無効であること
を示す値を設定する(ステップS302)。なお、制限モードフラグ81への書き込みについては、残留防止機能によるアドレス変換が行われない。具体的には、後述する残留防止処理において、一時領域記録部29は、書き込みアドレスが制限モードフラグ81を示すアドレスである場合のみ、アドレス変換を行わずにHDD13cへ書き込む。このようにすることで、残留防止機能が有効となっている状態でも、制限モードからの離脱を行うことを可能としている。
【0066】
その後、ユーザ端末1cは再起動し(ステップS303)、上記ステップS201からの処理が実行される。このとき、ステップS202において制限モードフラグ81が有効を示す値に設定されていないと判定されるため、処理はステップS203へ進み、以降、制限モードフラグ81が有効に設定されるまで、システムは非制限モードで動作する。
【0067】
なお、制限モードでは、ユーザが管理者権限を有さないユーザに変更されているが(ステップS216を参照)、ユーザ設定は、制限モード離脱後の再起動後に、ユーザ操作によって、または自動的に、変更前のユーザに戻されることとしてもよい。
【0068】
図14は、本実施形態における残留防止処理の流れを示すフローチャートである。本フローチャートに示された処理は、OSによる、HDD13cからの読出アクセス、またはHDD13cへの書込アクセスが発生したことを契機として開始される。
【0069】
ステップS401およびステップS402では、OSによるHDDアクセスが横取りされ(フックされ)、残留防止機能フラグが有効に設定されているか否かが判定される。ユーザ端末1cの一時領域記録部29は、OSによるHDDアクセスが発生すると、このアクセスを横取りし、RAM12c上の残留防止機能フラグを参照する。ここで、残留防止機能フラグに残留防止機能が有効であることを示す値が設定されている場合、処理はステップS404へ進む。残留防止機能フラグに残留防止機能が有効であることを示す値が設定されていない場合、処理はステップS403へ進む。
【0070】
ステップS403では、HDD13cへのアクセスが行われる。残留防止機能が有効でないため、一時領域記録部29は、HDD13cへの通常の読出または書込アクセスを許可する。ここで読出または書込が行われるHDD13c上の領域は、一時領域82以外の領域である。例えば、上述したステップS213において受信されたソフトウェア本体(オペレーティングシステムの更新ファイルや、セキュリティ対策ソフトウェアの更新ファイル、ウィルス定義ファイル等)のHDD13cへの書込み処理は、残留防止機能が有効でない状態で行われるため、本ステップの処理に従って行われる。本ステップでHDD13cに書込みされたデータは、制限モードの終了処理やユーザ端末1cの再起動によっても失われないため、システムの更新ファイル等、制限モードの有効無効に拘らず失われないことが好ましいデータは、残留防止機能フラグが有効となっていない状態でHDD13cに書込みされることが好ましい。その後、本フローチャートに示された処理は終了する。
【0071】
ステップS404では、アクセスの種類が判定される。一時領域記録部29は、残留防止機能フラグが有効である場合、横取りされたアクセスの種類が書込みアクセスであるか否かを判定する。アクセスの種類が書込みアクセスである場合、処理はステップS405へ進む。アクセスの種類が書込みアクセスでない場合、処理はステップS407へ進む。
【0072】
ステップS405およびステップS406では、一時領域82への書込みが行われ、アドレス変換テーブル90が更新される。一時領域記録部29は、HDD13c上に確保された一時領域82のうち、書込アドレスポインタが示す書込みアドレスに、横取りされた書込アクセスに係るデータを記録する(ステップS405)。そして、変換情報蓄積部3
0は、横取りされた書込みアクセスにおいてOSが示していた書込み先アドレス(変換元アドレス91)と、実際にデータが書き込みされたアドレス(変換先アドレス92)と、を関連付けてRAM12c上のアドレス変換テーブル90に蓄積する(ステップS406)。ここで、変換先アドレス92は、一時領域82への書込み時に、書込アドレスポインタが示していたアドレスである。更に、一時領域記録部29は、書き込みされたデータのサイズに従って、書込アドレスポインタを更新する。その後、本フローチャートに示された処理は終了する。
【0073】
ステップS407からステップS409に示された処理は、残留防止機能が有効である場合の、HDD13cからの読出アクセス処理である。読出部32は、オペレーティングシステムより横取りされた読出アクセスの読出アドレスに基づいてアドレス変換テーブル90を検索することで、この読出しアドレスが、アドレス変換テーブル90の変換元アドレス91として登録されているか否か、即ち、オペレーティングシステムから要求されたデータが、一時領域82に記録されているか否かを判定する(ステップS407)。OSの示すアドレスがアドレス変換テーブル90から抽出された場合、処理はステップS408へ進む。OSの示すアドレスがアドレス変換テーブル90から抽出されない場合、処理はステップS409へ進む。
【0074】
ステップS408では、データが一時領域82から読み出される。読出部32は、OSより要求されたデータを、ステップS407で抽出された変換先アドレス92にアクセスすることで読み出す。即ち、本フローチャートに示す処理によれば、データの書込みおよび読出しが一時領域82に対して行われていることをOSに意識させることなく、一時領域82に対するデータの書込みおよび読出しを行うことができる。その後、本フローチャートに示された処理は終了する。
【0075】
ステップS409では、データがHDD13cから読み出される。読出部32は、OSより要求されたデータを、OSより指示された読出アドレスにアクセスすることで読み出す。本ステップに係る読出し処理が行われるのは、制限モード下で記録されたデータを除くデータの読出し要求が行われた際である。その後、本フローチャートに示された処理は終了する。
【0076】
OSのHDD書込アクセスにおける書込先を一時領域82に変換するためのアドレス変換テーブル90は、RAM12c上に確保されているため、再起動によって失われる。即ち、制限モード中にHDD13cに書き込まれた情報は、再起動後に、記録位置(アドレス)が失われることによって、アクセス困難となる。このため、制限モード下で万一ウィルスに感染する、不適切なソフトウェアがインストールされる等の事態が発生した場合であっても、再起動後にOSはこれらのソフトウェアにアクセスすることが出来ず、システムは安全な状態に保たれる。更に、一時領域82の書き込みアドレスを示すポインタが一時領域82の先頭に初期化されることで(ステップS221)、既に一時領域82に書き込まれた情報は、以降の一時領域82への書き込みで上書きされ、HDD13cから書き込まれた情報自体を消すことができる。
【0077】
なお、OSのファイル管理テーブルを参照せずにHDD13c上の情報を直接参照する等の方法で制限モード下において書き込まれた情報が取得されてしまうことを防止するために、制限モード下でHDD13cに書き込まれる情報を暗号化する方法や、制限モード下でHDD13cに書き込まれた情報をランダムな情報で上書きする方法等が採られてもよい。
【0078】
より具体的には、一時領域82へ書き込まれる情報を暗号化し、一時領域82から読み出される情報を復号する暗号処理部(図示は省略する)を介することで、鍵情報が設定さ
れた暗号処理部を介さずにHDD13c上の情報を直接参照する方法では情報の内容を知ることが出来ないようにすることが可能である。このとき、暗号化に用いられる暗号鍵は、ユーザによって管理されてもよいし、制限モードに移行するごとに自動生成され、制限モード終了時に破棄されることとしてもよい。制限モード移行ごとに自動生成して制限モード終了時に破棄する方法によれば、ユーザは暗号鍵の管理を意識する必要が無く、制限モード離脱時には制限モード下で一時領域82に書き込まれた情報の取得を非常に困難にすることが可能である。
【0079】
本実施形態にかかる情報処理端末および管理サーバ1sによれば、OSに対して機能制限を行い、プログラムおよびデータを囲い込む一時領域82を用いることで、高いセキュリティを実現し、更に、仮想マシン手法やシンクライアント手法に比べて仮想化やOSのダウンロード等に伴うリソース消費を抑制することで、高いセキュリティと高速なオーバーヘッドとを両立させることが可能である。より具体的には、本実施形態によれば、管理者が用意すべきイメージは、管理サーバ1sに蓄積されるソフトウェアのイメージのみである。このため、本実施形態に係るシステムは、ソフトウェアのイメージに加えてOSのイメージを用意する必要がある仮想マシン手法やシンクライアント手法に比べて、記憶領域や帯域等のリソース面、OSの設定に必要な負荷の面で有利である。また、仮想マシン処理を介さないため、仮想マシン手法に比べて処理も軽く、快適な作業環境を用意に構築することが可能である。特に、一時領域82は断片化されていない連続的記憶領域であるため、本実施形態の制限モードは、断片化されたHDDにアクセスする一般の環境に比べても、全体として高速に動作する。
【0080】
上記説明したユーザ端末管理システムによれば、ユーザ端末1cのHDD13cに残るデータを管理し、ユーザ端末1cにおいて実行されるソフトウェアを管理することで、簡易な管理で高度なセキュリティを提供することが出来る。しかし、上記したユーザ端末1cは、残留防止機能を備えるために、残留防止機能を有効にしたままでは、ソフトウェアの更新データやセキュリティ対策ソフトウェアの定義ファイル等、継続的にユーザ端末1cに残されるべきデータをHDD13cに残すことが困難である。また、残留防止機能を単純に無効化するのみでは、ユーザ端末1cのセキュリティを確保することが出来ない。この問題を解決するために、本実施形態では、残留防止機能の状態に応じて有効化または無効化される接続制限部33を採用した。以下、図15および図16を用いて説明する。
【0081】
図15は、本実施形態に係るパケットフィルタリング機能の起動処理の流れを示すフローチャートである。本フローチャートに示された処理は、システムの起動に伴って開始される。即ち、本フローチャートに示された処理は、図10Aおよび図10BのステップS201以降に示した処理や、後述する図16に示す処理のバックグラウンドで実行される処理である。
【0082】
ステップS501およびステップS502では、システムの起動処理およびパケットフィルタリング機能(本実施形態では、所謂クライアントファイアウォールアプリケーションが用いられる)の起動処理が行われる。接続制限部33は、システムの起動後(ステップS501)、システムにインストールされているクライアントファイアウォールアプリケーションを起動させることで、パケットフィルタリングを開始する(ステップS502)。なお、本実施形態におけるクライアントファイアウォールアプリケーションは、上記説明した残留防止機能を実行するためのプログラムとは別個のプログラムとして提供されてもよいし、一体のプログラムとして提供されてもよい。また、本実施形態において用いられるパケットフィルタリング機能は、ポート番号や接続先アドレスを参照することで接続を制限するものであるが、システムにインストールされたアプリケーションごとに接続の可否を決定する機能を更に備えていても良いし、具体的な接続制限に用いられる手法はアドレスやポート番号を用いない手法であってもよい。
【0083】
本実施形態において用いられるパケットフィルタリング機能は、管理サーバ1sへの接続のみを許可し、その他の一切の接続を制限する。即ち、具体的には、本実施形態に係るパケットフィルタリング機能は、予め設定された管理サーバ1sのアドレスのみを許可アドレスとして設定し、その他のアドレスを拒否アドレスとして設定することで、管理サーバ1sとの接続のみを許可する。換言すると、原則としてアウトバウンド接続/インバウンド接続の何れであるかに拘らず全ての接続を拒否し、例外的に管理サーバ1sへの接続、および管理サーバ1sからの接続のみを許可する。なお、ポート番号についても、管理サーバ1sとの通信に用いられるポート番号のみに制限されてよい。その後、処理はステップS503へ進む。
【0084】
ステップS503およびステップS504では、セキュリティ状態の確認処理が行われ、ユーザ端末1cが、所定のセキュリティポリシーを満足しているか否かが判定される。接続制限部33は、ユーザ端末1cの現在のセキュリティ状態を確認するために、ユーザ端末1c上で動作するオペレーティングシステムをはじめとするソフトウェアのバージョン情報や更新日時情報、制限モードの状態を示す情報、セキュリティ対策ソフトウェアによって参照される定義ファイル(ウィルス定義ファイルの他、攻撃パターン定義ファイル、迷惑メール定義ファイル等も含まれる)のバージョン情報や更新日時情報、ユーザ端末1cで動作中のプロセス、HDD13cに記録されているファイル、OSやアプリケーションの設定内容等、セキュリティポリシーを満足しているか否かを判定するために必要な情報を、予め指定された参照箇所を参照することで取得する(ステップS503)。例えば、制限モードの状態は、制限モードフラグ81を参照することで取得することが出来る。
【0085】
接続制限部33は、ユーザ端末1cの現在の状態がセキュリティポリシーを満足しているか否かを判定するために必要な情報が取得されると、取得されたこれらの情報を、予め設定されたセキュリティポリシーと比較することで、所定のセキュリティポリシーが満たされているか否かを判定する(ステップS504)。本実施形態では、セキュリティポリシーとして、制限モードが有効となっていること、定義ファイルの最終更新日時が所定の期間内(例えば、3日以内)であること、規定の常駐プロセス(例えば、セキュリティ対策ソフトウェアのウィルス監視プロセス)が起動していること、規定のファイル(例えば、最新のパッチに含まれるファイル)が存在していること、および、規定のシステム設定内容(Windows(登録商標)OSにおけるレジストリに相当する)が存在していること、が定められている。そして、ステップS503で取得された実際のシステムの状態と、これらのセキュリティポリシーとが比較されることで、所定のセキュリティポリシーが満足されているか否かが判定される。所定のセキュリティポリシーが満足されていると判定された場合、処理はステップS505へ進む。所定のセキュリティポリシーが満足されていないと判定された場合、処理はステップS502へ進む。
【0086】
即ち、ステップS504において、所定のセキュリティポリシーが満足されていないと判定された場合、クライアントファイアウォールのパケットフィルタリング処理が継続または再開される。このようにすることで、本実施形態に係るユーザ端末1cは、所定のセキュリティポリシーが充足されるまでは、管理サーバ1s以外への接続が一切許可されない厳格な接続制限を行うこととしている。
【0087】
ステップS505では、パケットフィルタリング機能による接続制限が解除される。接続制限部33は、ステップS504において、所定のセキュリティポリシーが満足されていると判定されると、ステップS502で起動されたクライアントファイアウォールのパケットフィルタリング処理を停止する。即ち、これ以降、ユーザ端末1cは、管理サーバ1s以外の端末およびサーバとの通信を行うことが可能となる。ステップS504におい
て、所定のセキュリティポリシーとして、制限モードが有効となっていることが確認されているため、管理サーバ1s以外への接続を許可しても、これ以降新たにダウンロード等されたデータは残留防止の対象となり、HDD13cに残らない。
【0088】
なお、所定のセキュリティポリシーが満足され、ステップS505におけるパケットフィルタリングの解除が行われた場合にも、クライアントファイアウォールアプリケーションの実行は継続されて良い。但し、セキュリティポリシーが満足されていることが確認された後(ステップS505以降)におけるクライアントファイアウォールアプリケーションの実行は、主に悪意ある接続や不適切な接続を遮断するためのものであり、接続先が管理サーバ1sのみに限定されその他の一切の接続が遮断されるステップS502のパケットフィルタリングとは異なる。
【0089】
また、ステップS505におけるパケットフィルタリングの解除処理が終了すると、その後処理はステップS503へ進む。即ち、本フローチャートに示された処理では、セキュリティポリシーが満足されて管理サーバ1s以外との通信が可能となった後も、セキュリティポリシーの状態が常に監視され、セキュリティポリシーが充足されない状態となると、即座にパケットフィルタリングが有効となり、管理サーバ1s以外との通信が制限される。より具体的には、図16を用いて後述するソフトウェア更新処理において、HDD13cへのファイル保存のために制限モードが無効化されるかまたは残留防止機能が無効化されると、即座に管理サーバ1s以外との通信が制限され、安全にソフトウェアの更新を行うことを可能としている。
【0090】
即ち、本フローチャートに示す処理によれば、制限モードの有効化を含む所定のセキュリティポリシーが満足されていない間、上記説明したパケットフィルタリング処理が行われることで、ユーザ端末1cは、ステップS201からステップS217において説明した、制限モードによる残留防止機能が有効となっていない間(特に、ステップS210からステップS213において説明した、制限モードが有効であるか否かに拘らずユーザ端末1cのHDD13c上に残されるべきソフトウェアのダウンロード処理)のセキュリティや、図16を用いて後述するソフトウェア更新処理の間のセキュリティを確保することが出来る。
【0091】
本実施形態では、更に、以下に説明する処理が実行されることで、オペレーティングシステムやセキュリティ対策ソフトウェアの更新等、ユーザ端末1cのHDD13c上に残されるべきデータのダウンロードを、安全性を保った状態で行うことが出来る。
【0092】
図16は、本実施形態におけるソフトウェア更新処理の流れを示すフローチャートである。本フローチャートに示された処理は、ユーザ端末1cが起動して残留防止機能が有効化された状態で動作している最中、即ち、図10Bに示されたステップS221以降、非制限モードへの移行指示を受け付ける(ステップS301)までの間に実行される。
【0093】
ステップS601では、認証された管理サーバ1sに対して、更新ファイルの確認要求が送信される。ユーザ端末1cにインストールされて実行されているオペレーティングシステムやセキュリティ対策ソフトウェア等は、ステップS203およびステップS204の処理において認証された管理サーバ1sに対して、オペレーティングシステムの更新ファイルや、セキュリティ対策ソフトウェアの更新ファイル、ウィルス定義ファイル等が存在するか否かを問い合わせる。通常、このような更新情報の問い合わせは、ソフトウェアごとに指定されたサーバに対して行われるが、本実施形態では、各ソフトウェアの設定変更や、Webアクセスの際の代理(プロキシ)サーバとして管理サーバ1sを指定する等の設定をシステムに行うことで、更新情報の問い合わせが全て管理サーバ1sへ送信されるように設定されている。その後、処理はステップS602へ進む。
【0094】
ステップS602からステップS604では、更新ファイルの確認要求が受信された管理サーバ1sによって、更新ファイルの確認および通知が行われる。管理サーバ1sは、ステップS601でユーザ端末1cによって送信された更新ファイルの確認要求を受信する(ステップS602)。そして、管理サーバ1sは、受信された確認要求に従って、管理サーバ1s自身によって保持されている各種ソフトウェア更新情報を参照するか、または各種ソフトウェアの更新情報を保持するOS更新ファイル配布サーバ91やセキュリティ対策ソフトウェア更新ファイル配布サーバ92等の外部端末へ問い合わせを行うことで、更新ファイルが存在するか否かの確認を行う(ステップS603)。確認要求を受けたソフトウェアについての更新ファイルの有無が確認されると、管理サーバ1sは、確認の結果をユーザ端末1cへ送信する(ステップS604)。その後、処理はステップS605へ進む。
【0095】
ステップS605およびステップS606では、ユーザ端末1cによって、更新ファイル通知が受信され、更新ファイルの有無が判定される。ユーザ端末1cは、ステップS604で管理サーバ1sが送信した更新ファイルの確認結果を受信し(ステップS605)、受信した確認結果の内容を参照することで更新ファイルの有無を確認する(ステップS606)。更新ファイルが存在すると判定された場合、処理はステップS607へ進む。更新ファイルが存在しないと判定された場合、本フローチャートに示された処理は終了する。即ち、更新ファイルが存在しないと判定された場合、ユーザはユーザ端末1cにおいて動作する各種ソフトウェアを用いて、引き続き作業を行うことが出来る。
【0096】
ステップS607では、メンテナンスモードへの移行を確認するメンテナンスモード移行インターフェースが表示され、入力内容が判定される。受付部23は、ユーザに対して、ソフトウェアの更新のために、作業を中断してメンテナンスモードへ移行するか否かを問い合わせるメッセージと、ユーザによる了承またはキャンセルの選択を受け付けるボタンとを含むメンテナンスモード移行インターフェース(図示は省略する)を、ディスプレイ16cに表示し、ユーザの選択入力を受け付ける。ユーザによる選択が、メンテナンスモードへの移行を了承する内容である場合、処理はステップS608へ進む。ユーザによる選択が、メンテナンスモードへの移行を了承しない内容(キャンセル等)である場合、本フローチャートに示された処理は終了し、ユーザはユーザ端末1cにおいて動作する各種ソフトウェアを用いて、引き続き作業を行うことが出来る。
【0097】
なお、本実施形態においてメンテナンスモードとは、制限モードフラグ81および残留防止機能フラグが無効化され、保存データの一時領域82へのリダイレクトが行われなくなることで、ソフトウェアの更新等、必要なファイルをHDD13cに残すことを可能とするモードである。
【0098】
ステップS608では、メンテナンスモードへの移行が行われる。制限モード設定部24(本発明の残留防止機能停止手段に相当する)は、制限モードフラグ81に制限モードを無効とすることを示す値を設定することで制限モードを無効化し、更に、一時領域確保部27は、RAM12c上の残留防止機能フラグに残留防止機能が無効であることを示す値を設定することで、残留防止機能を無効化する。このため、これ以降は先述したステップS402の判定処理で残留防止機能フラグが無効であると判定されるため、この後ダウンロードされる更新ファイルは一時領域82へリダイレクトされることなく、制限モードの終了処理やユーザ端末1cの再起動によっても失われない。その後、処理はステップS609へ進む。
【0099】
なお、本実施形態では、一時領域確保部27によって残留防止機能フラグに直接無効設定が行われることで残留防止機能が停止されることとしているが、これに代えて、制限モ
ード設定部24によって制限モードフラグ81に無効設定が行われた後の再起動によって残留防止機能が停止されてもよい。この場合、制限モード設定部24は、制限モードフラグ81に制限モードが無効であることを示す値を設定し、ユーザ端末1cを再起動させる。ユーザ端末1cが再起動すると、残留防止機能フラグは初期化され、再び制限モードフラグ81が有効に設定されるまでシステムは非制限モード(メンテナンスモード)で動作するため、更新ファイルの保存を行うことが可能である。但し、再起動を伴う残留防止機能の無効化が採用される場合、ユーザ端末1cを用いたそれまでの作業内容は、一時領域82に保存されているために失われる。このため、再起動を伴う残留防止機能の無効化を行う場合には、上記メンテナンスモード移行インターフェース等にメッセージを表示することで、作業内容が失われることをユーザに通知することが好ましい。また、再起動による残留防止機能の無効化が採用される場合には、ソフトウェアの更新作業の途中であることを示す情報をHDD13cに保存して、再起動後に保存された情報を参照することで、ステップS609以降の処理に復帰させる必要がある。
【0100】
なお、上記ステップS608において残留防止機能が無効化されると、図15を用いて説明したステップS503およびステップS504の処理において、ユーザ端末1cが、所定のセキュリティポリシーを満足していないと判定され、パケットフィルタリングが有効となる(ステップS502)。また、管理サーバ1sが代理サーバとして設定され、以降、パケットフィルタリングが有効である間の接続は全て管理サーバ1sの代理によって行われる。
【0101】
ステップS609およびステップS610では、更新ファイルのダウンロードおよび更新処理が行われる。データ受信部28は、管理サーバ1sに接続することで、管理サーバ1sまたは外部端末91、92に保持されている更新ファイルをダウンロードし、HDDに保存する(ステップS609)。ここで、更新ファイルが管理サーバ1sではない外部端末91、92に保持されている場合には、データ受信部28は、管理サーバ1sを代理サーバとして通信することで、直接には管理サーバ1sにのみ接続することで、外部端末91、92上の更新ファイルをダウンロードする。管理サーバ1sのデータ送信部45は、更新ファイルが管理サーバ1sに保持されている場合にはそれを読み出して、更新ファイルが外部端末91、92に保持されている場合にはそれを代理サーバとして取得して、ユーザ端末1cへ送信する。ダウンロードが完了すると、データ保存部34は、HDD13c上のファイルの置き換えや設定変更等を伴うソフトウェアの更新処理を実行する。ここで実行された更新処理の結果は、残留防止機能が無効化されているために、HDD13cに反映される。ソフトウェアの更新が終了すると、処理はステップS611へ進む。
【0102】
ステップS611では、制限モードへの移行を確認する制限モード移行インターフェースが表示され、入力内容が判定される。受付部23は、ユーザに対して、ソフトウェアの更新が終了したことを通知し、制限モードへ移行するか否かを問い合わせるメッセージと、ユーザによる了承またはキャンセルの選択を受け付けるボタンとを含む制限モード移行インターフェース(図示は省略する)を、ディスプレイ16cに表示し、ユーザの選択入力を受け付ける。ユーザによる選択が、制限モードへの移行を了承する内容である場合、処理はステップS612へ進む。ユーザによる選択が、制限モードへの移行を了承しない内容(キャンセル等)である場合、本フローチャートに示された処理は終了し、メンテナンスモードが継続される。
【0103】
ステップS612では、制限モードへの移行が行われる。制限モード設定部24は、制限モードフラグ81に制限モードを有効とすることを示す値を設定することで制限モードを有効化し、更に、一時領域確保部27は、RAM12c上の残留防止機能フラグに残留防止機能を有効とする値を設定することで、残留防止機能を有効化する。以降は先述したステップS402の判定処理で残留防止機能フラグが有効であると判定されるため、この
後の作業において新規作成されるデータや、新たにダウンロードされるデータは一時領域82へリダイレクトされ、ユーザ端末1cの再起動によって失われる。即ち、ユーザはユーザ端末1cにおいて動作する各種ソフトウェアを用いて、セキュアな環境で引き続き作業を行うことが出来る。
【0104】
なお、本実施形態では、再起動なしに残留防止機能が有効化されることとしているが、これに代えて、制限モード設定部24によって制限モードフラグ81に有効設定が行われ、再起動されることで残留防止機能が有効化されてもよい。この場合、制限モード設定部24は、制限モードフラグ81に制限モードが有効であることを示す値を設定し、ユーザ端末1cを再起動させる。ユーザ端末1cが再起動すると、ステップS221で残留防止機能フラグが有効に設定され、残留防止機能が有効化される。
【0105】
残留防止機能が有効化されると、図15を用いて説明したステップS503およびステップS504の処理において、ユーザ端末1cが、所定のセキュリティポリシーを満足したと判定され、パケットフィルタリングが無効となる(ステップS505)。即ち、これ以降管理サーバ1s以外への接続が許可され、ユーザ端末1cは、管理サーバ1s以外の端末およびサーバとの通信を行うことが可能となる。
【0106】
図17は、本実施形態に係るソフトウェア更新処理とパケットフィルタリング機能の起動処理とが連動して行われる様子を示す概要図である。はじめに、ユーザ端末1cは、ソフトウェア更新処理に先立って管理サーバへ認証情報を送信し、管理サーバ1sとの間で認証処理を実行する(図10AのステップS203およびステップS204に相当)。なお、この際、ユーザ端末1cにおいても、管理サーバ1sから受信した情報を用いて、サーバ認証部35によって管理サーバ1sを認証してもよい。また、ユーザ端末1cは、管理サーバ1sに対して更新ファイルの確認要求を行う。これに対して、管理サーバ1sは、必要であれば外部端末91、92と通信して更新ファイルの確認を行い、更新ファイルの通知を返信する(図16のステップS601からステップS606に相当)。ここで、ユーザ端末1cの残留防止機能が無効とされ、クライアントファイアウォールによってパケットフィルタリングが行われ、管理サーバ1sへのアクセスのみが許可される(図15で説明したステップS504を参照)。その後、ユーザ端末1cによって、管理サーバ1sを介した更新ファイルのダウンロードおよび更新ファイルの適用が行われ、本実施形態に係るユーザ端末1cのソフトウェアの更新処理は終了する(図16のステップS609およびステップS610を参照)。
【0107】
なお、本実施形態では、上記説明した通りの処理順序に従って処理が進められるが、具体的な処理順序および内容は、実施の形態に応じて適宜選択されてよい。例えば上記実施形態では、管理サーバ1sはユーザ端末1cの起動時に認証を行い、制限モードおよび残留防止機能の無効化はユーザ端末1cが自発的に実行しているが、このような処理順序および内容に代えて、管理サーバ1sは、更新ファイルのダウンロードに先立って、ユーザ端末1cの認証と、制限モードおよび残留防止機能の状態の確認と、を行うこととしてもよい。
【0108】
即ち、管理サーバ1sは、更新ファイルのダウンロードに先立ってユーザ端末1cを認証し、この認証と同時にユーザ端末1cから制限モードの状態や残留防止機能の状態を取得することで、これから送信する更新ソフトウェアがユーザ端末1cのHDD13cに(残留防止機能による残留防止の対象とならずに)保存されることを確認する。この際、ユーザ端末1cにおいて制限モードまたは残留防止機能が有効となっていることが把握された場合には、管理サーバ1sは、ユーザ端末1cに対して、制限モードおよび残留防止機能を無効化し、メンテナンスモードへ移行することを指示してもよい。ユーザ端末1cは、管理サーバ1sから受信したモード移行指示に従って、制限モードおよび残留防止機能
を無効化し、メンテナンスモードへ移行する機能を備え、これを実行することで、更新ファイルの受信準備を整える。
【0109】
本実施形態に係るユーザ端末管理システム1によれば、残留防止機能を備えるユーザ端末1cにおいて、残留防止機能が無効化されている間に有効化されて管理サーバ1s以外との通信を制限する接続制限部33を採用することで、ユーザ端末1cのセキュリティを確保した状態で、ソフトウェアの更新データやセキュリティ対策ソフトウェアの定義ファイル等、継続的にユーザ端末1cに残されるべきデータをHDD13cに残すことが可能である。
【図面の簡単な説明】
【0110】
【図1】実施形態に係るユーザ端末管理システムのハードウェア構成の概略を示す図である。
【図2】実施形態に係るユーザ端末管理システムの機能構成の概略を示す図である。
【図3A】実施形態におけるソフトウェア情報テーブルの構成を示す図Aである。
【図3B】実施形態におけるソフトウェア情報テーブルの構成を示す図Bである。
【図4】実施形態における認証情報テーブルの構成を示す図である。
【図5】実施形態における制限モード定義情報テーブルの構成を示す図である。
【図6】実施形態における記憶領域の構成を示す図である。
【図7】実施形態におけるアドレス変換テーブルを示す図である。
【図8】実施形態に係る制限モード定義情報を作成する処理の流れを示すフローチャートである。
【図9】実施形態においてディスプレイに表示される制限モード定義情報作成インターフェースのイメージを示す図である。
【図10A】実施形態における制限モード制御処理の流れを示すフローチャートである。
【図10B】実施形態における制限モード制御処理の流れを示すフローチャートである。
【図11】実施形態においてディスプレイに表示される制限モード定義情報選択インターフェースのイメージを示す図である。
【図12】実施形態においてディスプレイに表示される制限モード離脱インターフェースのイメージを示す図である。
【図13】実施形態における非制限モード移行処理の流れを示すフローチャートである。
【図14】実施形態における残留防止処理の流れを示すフローチャートである。
【図15】実施形態に係るパケットフィルタリング機能の起動処理の流れを示すフローチャートである。
【図16】実施形態におけるソフトウェア更新処理の流れを示すフローチャートである。
【図17】実施形態に係るソフトウェア更新処理とパケットフィルタリング機能の起動処理とが連動して行われる様子を示す概要図である。
【符号の説明】
【0111】
1 ユーザ端末管理システム
1s 管理サーバ
1c ユーザ端末(情報処理端末)
21 識別情報送信部
27 一時領域確保部
28 データ受信部
29 一時領域記録部
30 変換情報蓄積部
33 接続制限部
34 データ保存部
35 サーバ認証部
41 認証部
42 識別情報受信部
45 データ送信部
【特許請求の範囲】
【請求項1】
不揮発性記憶装置に接続された情報処理端末であって、
データが前記不揮発性記憶装置に残ることを防止する残留防止手段と、
ダウンロードして前記不揮発性記憶装置に残すべき所定のデータが外部端末に存在する場合に、前記残留防止機能を停止する残留防止機能停止手段と、
前記残留防止機能が有効となっていない間に、前記外部端末との間の通信に必要な接続を許可し、その他の接続を制限する接続制限手段と、
前記残留防止機能が有効となっておらず、且つ前記接続制限が行われている間、前記外部端末から前記所定のデータを受信するデータ受信手段と、
前記データ受信手段によって受信された前記所定のデータを、前記不揮発性記憶装置に記憶させるデータ保存手段と、
を備える情報処理端末。
【請求項2】
前記接続制限手段は、管理サーバとの接続を許可し、
前記データ受信手段は、前記管理サーバを介して、前記外部端末から前記所定のデータを受信する、
請求項1に記載の情報処理端末。
【請求項3】
前記管理サーバとの間で認証処理を実行するサーバ認証手段を更に備え、
前記接続制限手段は、前記サーバ認証手段によって認証された管理サーバとの接続を許可する、
請求項2に記載の情報処理端末。
【請求項4】
前記不揮発性記憶装置における一部の領域を、該情報処理端末の起動または終了に際して初期化される一時領域として確保する一時領域確保手段を更に備え、
前記残留防止手段は、前記不揮発性記憶装置に書き込まれようとしているデータを前記一時領域に記録することで、該データが前記不揮発性記憶装置に残ることを防止する、
請求項1から3の何れか一項に記載の情報処理端末。
【請求項5】
所定の情報処理端末を管理する管理サーバであって、
前記所定の情報処理端末は、データが不揮発性記憶装置に残ることを防止する残留防止手段、前記不揮発性記憶装置に残すべき所定のデータが外部端末に存在する場合に前記残留防止機能を停止する残留防止機能停止手段、および、前記残留防止機能が有効となっていない間、該管理サーバとの接続を許可し、その他の接続を制限する接続制限手段、を備える情報処理端末であり、
前記所定の情報処理端末において、前記残留防止機能が有効となっておらず、且つ前記接続制限が行われている間に、前記所定のデータを前記情報処理端末に受信させて前記不揮発性記憶装置に記憶させるデータ送信手段を備える、管理サーバ。
【請求項6】
前記所定の情報処理端末との間で認証処理を実行する端末認証手段を更に備え、
前記データ送信手段は、前記端末認証手段によって認証された情報処理端末において、前記残留防止機能が有効となっておらず、且つ前記接続制限が行われている間に、前記所定のデータを前記情報処理端末に受信させて前記不揮発性記憶装置に記憶させる、
請求項5に記載の管理サーバ。
【請求項7】
不揮発性記憶装置に接続され、データが前記不揮発性記憶装置に残ることを防止する残留防止機能を有するコンピュータが、
ダウンロードして前記不揮発性記憶装置に残すべき所定のデータが外部端末に存在する場合に、前記残留防止機能を停止する残留防止機能停止ステップと、
前記残留防止機能が有効となっていない間に、前記外部端末との間の通信に必要な接続を許可し、その他の接続を制限する接続制限ステップと、
前記残留防止機能が有効となっておらず、且つ前記接続制限が行われている間、前記外部端末から前記所定のデータを受信するデータ受信ステップと、
前記データ受信ステップで受信された前記所定のデータを、前記不揮発性記憶装置に記憶させるデータ保存ステップと、
を実行する情報処理方法。
【請求項8】
データが不揮発性記憶装置に残ることを防止する残留防止手段、前記不揮発性記憶装置に残すべき所定のデータが外部端末に存在する場合に前記残留防止機能を停止する残留防止機能停止手段、および、前記残留防止機能が有効となっていない間、該管理サーバとの接続を許可し、その他の接続を制限する接続制限手段、を備える情報処理端末を管理するコンピュータが、
前記所定の情報処理端末において、前記残留防止機能が有効となっておらず、且つ前記接続制限が行われている間に、前記所定のデータを前記情報処理端末に受信させて前記不揮発性記憶装置に記憶させるデータを送信する、情報処理端末管理方法。
【請求項9】
不揮発性記憶装置に接続され、データが前記不揮発性記憶装置に残ることを防止する残留防止手段と、ダウンロードして前記不揮発性記憶装置に残すべき所定のデータが外部端末に存在する場合に、前記残留防止機能を停止する残留防止機能停止手段と、前記残留防止機能が有効となっていない間に、前記外部端末から前記所定のデータを受信するデータ受信手段と、受信された前記所定のデータを前記不揮発性記憶装置に記憶させるデータ保存手段と、を備えるコンピュータを、
前記残留防止機能が有効となっていない間に、前記外部端末との間の通信に必要な接続を許可し、その他の接続を制限する接続制限手段として機能させるプログラム。
【請求項10】
データが不揮発性記憶装置に残ることを防止する残留防止手段、前記不揮発性記憶装置に残すべき所定のデータが外部端末に存在する場合に前記残留防止機能を停止する残留防止機能停止手段、および、前記残留防止機能が有効となっていない間、該管理サーバとの接続を許可し、その他の接続を制限する接続制限手段、を備える情報処理端末を管理するコンピュータを、
前記所定の情報処理端末において、前記残留防止機能が有効となっておらず、且つ前記接続制限が行われている間に、前記所定のデータを前記情報処理端末に受信させて前記不揮発性記憶装置に記憶させるデータ送信手段として機能させる、プログラム。
【請求項1】
不揮発性記憶装置に接続された情報処理端末であって、
データが前記不揮発性記憶装置に残ることを防止する残留防止手段と、
ダウンロードして前記不揮発性記憶装置に残すべき所定のデータが外部端末に存在する場合に、前記残留防止機能を停止する残留防止機能停止手段と、
前記残留防止機能が有効となっていない間に、前記外部端末との間の通信に必要な接続を許可し、その他の接続を制限する接続制限手段と、
前記残留防止機能が有効となっておらず、且つ前記接続制限が行われている間、前記外部端末から前記所定のデータを受信するデータ受信手段と、
前記データ受信手段によって受信された前記所定のデータを、前記不揮発性記憶装置に記憶させるデータ保存手段と、
を備える情報処理端末。
【請求項2】
前記接続制限手段は、管理サーバとの接続を許可し、
前記データ受信手段は、前記管理サーバを介して、前記外部端末から前記所定のデータを受信する、
請求項1に記載の情報処理端末。
【請求項3】
前記管理サーバとの間で認証処理を実行するサーバ認証手段を更に備え、
前記接続制限手段は、前記サーバ認証手段によって認証された管理サーバとの接続を許可する、
請求項2に記載の情報処理端末。
【請求項4】
前記不揮発性記憶装置における一部の領域を、該情報処理端末の起動または終了に際して初期化される一時領域として確保する一時領域確保手段を更に備え、
前記残留防止手段は、前記不揮発性記憶装置に書き込まれようとしているデータを前記一時領域に記録することで、該データが前記不揮発性記憶装置に残ることを防止する、
請求項1から3の何れか一項に記載の情報処理端末。
【請求項5】
所定の情報処理端末を管理する管理サーバであって、
前記所定の情報処理端末は、データが不揮発性記憶装置に残ることを防止する残留防止手段、前記不揮発性記憶装置に残すべき所定のデータが外部端末に存在する場合に前記残留防止機能を停止する残留防止機能停止手段、および、前記残留防止機能が有効となっていない間、該管理サーバとの接続を許可し、その他の接続を制限する接続制限手段、を備える情報処理端末であり、
前記所定の情報処理端末において、前記残留防止機能が有効となっておらず、且つ前記接続制限が行われている間に、前記所定のデータを前記情報処理端末に受信させて前記不揮発性記憶装置に記憶させるデータ送信手段を備える、管理サーバ。
【請求項6】
前記所定の情報処理端末との間で認証処理を実行する端末認証手段を更に備え、
前記データ送信手段は、前記端末認証手段によって認証された情報処理端末において、前記残留防止機能が有効となっておらず、且つ前記接続制限が行われている間に、前記所定のデータを前記情報処理端末に受信させて前記不揮発性記憶装置に記憶させる、
請求項5に記載の管理サーバ。
【請求項7】
不揮発性記憶装置に接続され、データが前記不揮発性記憶装置に残ることを防止する残留防止機能を有するコンピュータが、
ダウンロードして前記不揮発性記憶装置に残すべき所定のデータが外部端末に存在する場合に、前記残留防止機能を停止する残留防止機能停止ステップと、
前記残留防止機能が有効となっていない間に、前記外部端末との間の通信に必要な接続を許可し、その他の接続を制限する接続制限ステップと、
前記残留防止機能が有効となっておらず、且つ前記接続制限が行われている間、前記外部端末から前記所定のデータを受信するデータ受信ステップと、
前記データ受信ステップで受信された前記所定のデータを、前記不揮発性記憶装置に記憶させるデータ保存ステップと、
を実行する情報処理方法。
【請求項8】
データが不揮発性記憶装置に残ることを防止する残留防止手段、前記不揮発性記憶装置に残すべき所定のデータが外部端末に存在する場合に前記残留防止機能を停止する残留防止機能停止手段、および、前記残留防止機能が有効となっていない間、該管理サーバとの接続を許可し、その他の接続を制限する接続制限手段、を備える情報処理端末を管理するコンピュータが、
前記所定の情報処理端末において、前記残留防止機能が有効となっておらず、且つ前記接続制限が行われている間に、前記所定のデータを前記情報処理端末に受信させて前記不揮発性記憶装置に記憶させるデータを送信する、情報処理端末管理方法。
【請求項9】
不揮発性記憶装置に接続され、データが前記不揮発性記憶装置に残ることを防止する残留防止手段と、ダウンロードして前記不揮発性記憶装置に残すべき所定のデータが外部端末に存在する場合に、前記残留防止機能を停止する残留防止機能停止手段と、前記残留防止機能が有効となっていない間に、前記外部端末から前記所定のデータを受信するデータ受信手段と、受信された前記所定のデータを前記不揮発性記憶装置に記憶させるデータ保存手段と、を備えるコンピュータを、
前記残留防止機能が有効となっていない間に、前記外部端末との間の通信に必要な接続を許可し、その他の接続を制限する接続制限手段として機能させるプログラム。
【請求項10】
データが不揮発性記憶装置に残ることを防止する残留防止手段、前記不揮発性記憶装置に残すべき所定のデータが外部端末に存在する場合に前記残留防止機能を停止する残留防止機能停止手段、および、前記残留防止機能が有効となっていない間、該管理サーバとの接続を許可し、その他の接続を制限する接続制限手段、を備える情報処理端末を管理するコンピュータを、
前記所定の情報処理端末において、前記残留防止機能が有効となっておらず、且つ前記接続制限が行われている間に、前記所定のデータを前記情報処理端末に受信させて前記不揮発性記憶装置に記憶させるデータ送信手段として機能させる、プログラム。
【図1】
【図2】
【図3A】
【図3B】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10A】
【図10B】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図2】
【図3A】
【図3B】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10A】
【図10B】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【公開番号】特開2010−44656(P2010−44656A)
【公開日】平成22年2月25日(2010.2.25)
【国際特許分類】
【出願番号】特願2008−209171(P2008−209171)
【出願日】平成20年8月15日(2008.8.15)
【出願人】(501464255)株式会社テプコシステムズ (17)
【Fターム(参考)】
【公開日】平成22年2月25日(2010.2.25)
【国際特許分類】
【出願日】平成20年8月15日(2008.8.15)
【出願人】(501464255)株式会社テプコシステムズ (17)
【Fターム(参考)】
[ Back to top ]