情報処理端末および該情報処理端末の管理サーバ
【課題】情報処理端末において高いセキュリティを確保した状態で、ユーザのニーズに応じた様々な作業環境を提供する。
【解決手段】HDD13cを有する情報処理端末1cに、HDD13cにおける一部の領域を、情報処理端末1cの起動または終了に際して初期化される一時領域82として確保する一時領域確保部27と、情報処理端末1cを使用するユーザまたは情報処理端末1cを識別するための識別情報を管理サーバ1sに送信する識別情報送信部21と、識別情報に係る情報処理端末1cまたはユーザに応じたソフトウェアを管理サーバ1sから受信するソフトウェア受信部28と、ソフトウェア受信部28によって受信されたソフトウェアを一時領域82に記録する一時領域記録部29と、ソフトウェアを一時領域82から読み出して実行することで、ソフトウェアの機能を、情報処理端末1cを使用するユーザに提供するソフトウェア実行部31と、を備えた。
【解決手段】HDD13cを有する情報処理端末1cに、HDD13cにおける一部の領域を、情報処理端末1cの起動または終了に際して初期化される一時領域82として確保する一時領域確保部27と、情報処理端末1cを使用するユーザまたは情報処理端末1cを識別するための識別情報を管理サーバ1sに送信する識別情報送信部21と、識別情報に係る情報処理端末1cまたはユーザに応じたソフトウェアを管理サーバ1sから受信するソフトウェア受信部28と、ソフトウェア受信部28によって受信されたソフトウェアを一時領域82に記録する一時領域記録部29と、ソフトウェアを一時領域82から読み出して実行することで、ソフトウェアの機能を、情報処理端末1cを使用するユーザに提供するソフトウェア実行部31と、を備えた。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理端末および管理サーバを有するユーザ端末管理システムに関する。
【背景技術】
【0002】
従来、ホストコンピュータ上に、仮想マシンと呼ばれる擬似的なコンピュータハードウェアを構成し、この仮想マシン上でゲストOS(オペレーティングシステム)を稼動させる、仮想マシン技術がある(例えば、特許文献1を参照)。
【0003】
また、ホストコンピュータに直接接続されたHDD(Hard Disk Drive)等にはOSを記憶させずに、起動時にOSをDVD(Digital Versatile Disc)やネットワークを介して接続された他のコンピュータから読み込んで起動する技術がある(例えば、特許文献2を参照)
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2005−115653号公報
【特許文献2】特開2006−127169号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
従来、情報処理端末と通信ネットワークとの組み合わせによる情報通信システムにおいて、コンピュータウィルスによる被害や情報漏洩等の事象が発生しているが、これは、近年のコンピュータの構成である、プログラムやデータを書き換え可能な記憶装置に記録していることに起因した問題である。即ち、データをユーザの意図に拘らずネットワークへ送信してしまうソフトウェアが、一旦記憶装置に記録されてしまうと、このソフトウェアはシステムに常駐し、被害が継続する。また、データをコンピュータの記憶装置に保存しているため、コンピュータが紛失または盗難されることによって、情報が漏洩する。
【0006】
このような事象に対応するために、従来、情報処理端末にプログラムおよびデータを残さない技術が提案されている。例えば、コンピュータ上に仮想マシンと呼ばれる擬似的なコンピュータハードウェアを構成し、この仮想マシン上にてゲストOSを起動し、ゲストOS上で作業を行うという、仮想マシン手法がある。また、情報処理端末にはOSを記憶させずに、ネットワークの先にOSイメージを用意して、起動時にネットワーク越しにダウンロードして不揮発性記憶装置を有さない情報処理端末のRAM(Random Access Memory)に展開するという、所謂シンクライアント手法がある。そして、これらの手法によれば、情報処理端末上にプログラムやデータを残さず、ウィルス等のマルウェアが常駐する問題や、上処理端末から情報が漏洩する問題に対処することが出来る。
【0007】
しかし、これらの手法では、環境は一元化され、ユーザごと、または作業ごとに環境を構築することが困難である。仮想マシン手法では、ユーザに管理者権限を与えれば、ユーザに環境を構築させることが可能であるが、ユーザが自由にソフトウェアをインストールしたり、システムに変更を加えたりする権限を有することとなり、セキュリティが損なわれる。また、ユーザに管理者権限を与えずに、管理者が情報処理端末ごと、または利用シーンごとに環境を構築させることとすると、管理者の作業量が膨大なものとなり、現実的ではない。シンクライアント手法において情報処理端末ごとまたは利用シーンごとに環境を構築するためには、OSイメージを保持するサーバ側に、様々な設定のOSやOSとア
プリケーションとの組み合わせを蓄積する必要が生じ、サーバ側のリソースを大量に消費するという問題がある。
【0008】
本発明は、上記の問題に鑑み、情報処理端末において高いセキュリティを確保した状態で、ユーザのニーズに応じた様々な作業環境を提供することを課題とする。
【課題を解決するための手段】
【0009】
本発明は、上記の課題を解決するために、情報処理端末またはユーザに応じたソフトウェアを、不揮発性記憶装置中の、端末の起動または終了に際して初期化される領域に記録して実行することで、情報処理端末において高いセキュリティを確保した状態で、ユーザのニーズに応じた様々な作業環境を提供することを可能にした。
【0010】
詳細には、本発明は、不揮発性記憶装置を有し、管理サーバと通信可能に接続された情報処理端末であって、前記不揮発性記憶装置における一部の領域を、該情報処理端末の起動または終了に際して初期化される一時領域として確保する一時領域確保手段と、該情報処理端末を使用するユーザまたは該情報処理端末を、識別するための識別情報を前記管理サーバに送信する識別情報送信手段と、前記識別情報に係る情報処理端末またはユーザに応じたソフトウェアを、前記識別情報を受信した前記管理サーバから受信するソフトウェア受信手段と、前記ソフトウェア受信手段によって受信されたソフトウェアを前記一時領域に記録する一時領域記録手段と、前記ソフトウェアを前記一時領域から読み出して実行することで、該ソフトウェアの機能を、前記情報処理端末を使用するユーザに提供するソフトウェア実行手段と、を備える、情報処理端末である。
【0011】
不揮発性記憶装置とは、HDDやフラッシュEEPROM等の、電源の供給が行われなくても記録された情報が維持される記憶装置である。本発明では、この不揮発性記憶装置上に、情報処理端末の起動または終了に際して初期化される一時領域を確保し、管理サーバから受信したソフトウェアをこの一時領域に記録することで、ユーザのニーズに応じて様々な作業環境を提供可能な情報処理端末を実現している。
【0012】
また、本発明に係る情報処理端末は、前記識別情報に係る情報処理端末に所定の作業環境を構築するためのソフトウェアの組み合わせ、または前記識別情報に係るユーザに所定のサービスを提供するためのソフトウェアの組み合わせ、を示すソフトウェアのリストを、前記識別情報を受信した前記管理サーバから受信するソフトウェアリスト受信手段と、前記ソフトウェアリスト受信手段によって受信された1または複数のリストをユーザに提示し、ユーザによるリストの選択を受け付ける受付手段と、を更に備え、前記ソフトウェア受信手段は、前記選択されたリストに含まれるソフトウェアを前記サーバから受信してもよい。
【0013】
情報処理端末に所定の作業環境を構築するためのソフトウェアの組み合わせ、またはユーザに所定のサービスを提供するためのソフトウェアの組み合わせ、を示すソフトウェアのリストから、ユーザの所望するリストを選択させ、このリストに含まれるソフトウェアを受信することで、ユーザのニーズに応じた作業環境を用意に構築することが可能となる。
【0014】
また、前記情報処理端末は、揮発性記憶装置を更に有し、前記一時領域記録手段は、該情報処理端末のオペレーティングシステムによる前記不揮発性記憶装置への書き込みアクセスを横取りし、該書き込みアクセスの書き込み先アドレスを前記一時領域内のアドレスへ変換することで、前記ソフトウェア受信手段によって受信されたソフトウェアを前記一時領域に記録し、前記変換された書き込みアクセスの変換前のアドレスと変換後のアドレスとの対応関係を示す変換情報を、前記揮発性記憶装置に蓄積する変換情報蓄積手段を更
に備えてもよい。
【0015】
本発明によれば、変換情報が揮発性記憶装置に蓄積されるため、再起動や電源断等で、揮発性記憶装置に記録された変換情報が失われ、変換情報を参照して一時領域にアクセスすることが出来なくなる。これによって、一時領域からの情報の読出しが困難となり、マルウェアの残留や情報漏洩を防止することが可能となる。また、前記一時領域は、該情報処理端末の起動または終了に際して前記揮発性記憶装置に蓄積された変換情報が揮発することで初期化されてもよい。
【0016】
また、本発明は、上記情報処理端末を管理する管理サーバとしても把握することが可能である。即ち、本発明は、ユーザによって使用される情報処理端末であるユーザ端末と通信可能に接続された管理サーバであって、前記ユーザ端末または該ユーザ端末を使用するユーザを識別するための識別情報を前記ユーザ端末より受信する識別情報受信手段と、前記識別情報に係るユーザ端末またはユーザに応じたソフトウェアを、該ユーザ端末に送信して、前記ユーザ端末の起動または終了に際して初期化される一時領域に保存させるソフトウェア送信手段と、を備える、管理サーバである。
【0017】
このような管理サーバによって情報処理端末が管理されることで、管理者は、ユーザ端末のセキュリティを高い状態に保ちつつ、ユーザに対して柔軟に作業環境を提供することが出来る。
【0018】
また、本発明に係る管理サーバは、前記識別情報に係る情報処理端末に所定の作業環境を構築するためのソフトウェアの組み合わせ、または前記識別情報に係るユーザに所定のサービスを提供するためのソフトウェアの組み合わせ、を示すソフトウェアのリストを蓄積するソフトウェアリスト蓄積手段と、前記識別情報に係る情報処理端末またはユーザに応じた前記リストを送信するソフトウェアリスト送信手段と、を更に備え、前記ソフトウェア送信手段は、前記ソフトウェアリスト送信手段によって送信された1または複数のリストのうちの、前記ユーザ端末において選択されたリストに基づいて該ユーザ端末より要求されたソフトウェアを、該ユーザ端末に送信してもよい。
【0019】
また、前記リストは、該リストの有効期限を示す情報に関連付けて蓄積され、前記ソフトウェアリスト送信手段は、前記識別情報に係る情報処理端末またはユーザに応じた前記リストのうち、有効期限内にある前記リストのみを送信してもよい。これによって、管理者は、ソフトウェアリストを使用して提供される作業環境の利用期限を設定することが出来、ユーザに対して作業環境を提供する期間をコントロールすることが可能となる。
【0020】
また、本発明に係る管理サーバは、前記識別情報受信手段によって受信された識別情報を用いて前記ユーザ端末または該ユーザ端末を使用するユーザを認証する認証手段を更に備え、前記ソフトウェア送信手段は、認証されたユーザ端末またはユーザに関連付けられたソフトウェアを送信してもよい。
【0021】
また、本発明は、
不揮発性記憶装置を有し、管理サーバと通信可能に接続された情報処理端末であって、
前記不揮発性記憶装置における一部の領域を、該情報処理端末の起動または終了に際して初期化される一時領域として確保する一時領域確保手段と、
前記不揮発性記憶装置に対する書き込み内容を前記一時領域に記録することで、該情報処理端末を、前記不揮発性記憶装置の他の領域への書き込みが制限される制限モードで動作させる、一時領域記録手段と、
前記制限モードでの動作を終了させるための制限モード離脱用ソフトウェアを、前記管理サーバから受信するソフトウェア受信手段と、
前記ソフトウェア受信手段によって受信されて前記一時領域に記録された前記制限モード離脱用ソフトウェアを読み出して実行することで、該情報処理端末の前記制限モードでの動作を終了させる、ソフトウェア実行手段と、
を備える、情報処理端末である。
【0022】
また、本発明は、
不揮発性記憶装置に対する書き込み内容を該不揮発性記憶装置の一時領域へ記録することで該不揮発性記憶装置の他の領域への書き込みを制限する、制限モードで動作可能な情報処理端末に対して通信可能に接続され、
前記情報処理端末によって実行されることで前記制限モードでの動作を終了させるための、制限モード離脱用ソフトウェアを蓄積するソフトウェア蓄積手段と、
前記情報処理端末に対して前記制限モード離脱用ソフトウェアを送信して、前記情報処理端末の一時領域に保存させるソフトウェア送信手段と、
を備える管理サーバである。
【0023】
ここで、制限モード離脱用ソフトウェアとは、不揮発性記憶装置の一時領域以外の領域への書き込みが制限される制限モードを終了させるためのソフトウェアである。本発明では、このような制限モード離脱用ソフトウェアを管理サーバから配信し、情報処理端末の一時領域に記録させることで、ユーザの故意や過失による、好ましくない制限モード離脱を防止することを可能としている。また、本発明によれば、制限モード離脱用ソフトウェアを情報処理端末に恒常的に保持させることなく、管理サーバによって配信の有無を管理出来るため、制限モードの離脱の許可/不許可を、管理サーバ側で管理することが可能となる。
【0024】
また、本発明において、
前記ソフトウェア送信手段は、前記情報処理端末における前記制限モードでの動作終了が許可される期間内である場合に、前記情報処理端末に対して前記制限モード離脱用ソフトウェアを送信してもよい。
【0025】
即ち、本発明によれば、管理サーバによって制限モード離脱用ソフトウェアを送信する期間を管理することで、予め設定された期間内である場合にのみ、情報処理端末において制限モードを終了させることを許可し、それ以外の期間においては制限モードの終了を防止することが可能となる。
【0026】
また、本発明に係る管理サーバは、
前記情報処理端末または該情報処理端末を使用するユーザを識別するための識別情報を前記情報処理端末より受信する識別情報受信手段を更に備え、
前記ソフトウェア送信手段は、前記識別情報に係る情報処理端末またはユーザが、前記制限モードによる動作を終了させる権限を有する情報処理端末またはユーザである場合に、前記制限モード離脱用ソフトウェアを、該情報処理端末に送信してもよい。
【0027】
本発明によれば、情報処理端末またはユーザが、制限モードを終了させる権限を有するか否かを判断し、権限を有する場合にのみ制限モードを終了させることを許可することで、権限のない情報処理端末やユーザが制限モードを終了させてしまうことを防止出来る。
【0028】
更に、本発明は、コンピュータが実行する方法、又はコンピュータに実行させるプログラムとしても把握することが可能である。また、本発明は、そのようなプログラムをコンピュータその他の装置、機械等が読み取り可能な記録媒体に記録したものでもよい。ここで、コンピュータ等が読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的、または化学的作用によって蓄積し、コンピュータ等から読
み取ることができる記録媒体をいう。
【発明の効果】
【0029】
本発明によって、情報処理端末において高いセキュリティを確保した状態で、ユーザのニーズに応じた様々な作業環境を提供することが可能となる。
【図面の簡単な説明】
【0030】
【図1】実施形態に係るユーザ端末管理システムのハードウェア構成の概略を示す図である。
【図2】実施形態に係るユーザ端末管理システムの機能構成の概略を示す図である。
【図3A】実施形態におけるソフトウェア情報テーブルの構成を示す図である。
【図3B】実施形態におけるソフトウェア情報テーブルの構成を示す図である。
【図4】実施形態における認証情報テーブルの構成を示す図である。
【図5】実施形態における制限モード定義情報テーブルの構成を示す図である。
【図6】実施形態における記憶領域の構成を示す図である。
【図7】実施形態におけるアドレス変換テーブルを示す図である。
【図8】実施形態に係る制限モード定義情報を作成する処理の流れを示すフローチャートである。
【図9】実施形態においてディスプレイに表示される制限モード定義情報作成インターフェースのイメージを示す図である。
【図10A】実施形態における制限モード制御処理の流れを示すフローチャートである。
【図10B】実施形態における制限モード制御処理の流れを示すフローチャートである。
【図11】実施形態においてディスプレイに表示される制限モード定義情報選択インターフェースのイメージを示す図である。
【図12】実施形態においてディスプレイに表示される制限モード離脱インターフェースのイメージを示す図である。
【図13】実施形態における非制限モード移行処理の流れを示すフローチャートである。
【図14】実施形態における残留防止処理の流れを示すフローチャートである。
【図15】第二の実施形態における制限モード定義情報テーブルの構成を示す図である。
【図16】第二の実施形態における条件情報テーブルの構成を示す図である。
【図17】第二の実施形態における制限モード制御処理の流れを示すフローチャートである。
【図18】その他の実施形態におけるソフトウェア情報テーブルの構成を示す図である。
【図19】その他の実施形態における制限モード定義情報テーブルの構成を示す図である。
【発明を実施するための形態】
【0031】
本発明に係る情報処理端末および管理サーバを有するユーザ端末管理システムの実施の形態について、図面に基づいて説明する。
【0032】
<第一の実施形態>
図1は、本実施形態に係るユーザ端末管理システム1のハードウェア構成の概略を示す図である。ユーザ端末管理システム1は、管理サーバ1sと、管理サーバ1sにネットワーク2を介して接続された1または複数のユーザ端末1cとを有する。管理サーバ1sは、CPU(Central Processing Unit)11s、RAM(Ran
dom Access Memory)12s等の主記憶装置、HDD(Hard Disk Drive)13s等の補助記憶装置、ROM(Read Only Memory)14s、およびNIC(Network Interface Card)15s等のネットワークインターフェース等を有するコンピュータである。管理サーバ1sは、ネットワーク2を介して接続された管理者端末1aによって管理されるが、ディスプレイ、キーボード、マウス等を備えてもよい。
【0033】
また、ユーザ端末1cは、CPU11c、揮発性記憶装置であり端末の再起動や終了に伴って記録された情報が失われるRAM12c、不揮発性記憶装置であり端末が再起動または終了された場合にも記録された情報が維持されるHDD13c、ROM14c、およびNIC15c等のネットワークインターフェース等を有するコンピュータである。なお、本実施形態では、ユーザ端末1cは更にディスプレイ16c等の出力装置、およびキーボード17c、マウス18c等の入力装置等を有する。また、ユーザ端末1cのOSは、システムへの変更またはソフトウェアの追加を行うための権限である管理者権限の有無をユーザごとに設定可能なOSである。
【0034】
図2は、本実施形態に係るユーザ端末管理システム1の機能構成の概略を示す図である。図1に示したハードウェア構成を有する管理サーバ1sは、HDD13s上にインストールされたプログラムをCPU11sが読み出してRAM12sに展開し、展開されたプログラムをCPU11sが解釈および実行することで、ソフトウェア蓄積部46と、ソフトウェアのリストを含む制限モード定義情報を蓄積する制限モード定義情報蓄積部44と、ユーザまたはユーザ端末1cの識別情報をユーザ端末1cより受信する識別情報受信部42と、受信された識別情報を用いてユーザ端末1cまたはユーザを認証する認証部41と、情報処理端末またはユーザに応じた制限モード定義情報を送信する制限モード定義情報送信部43と、ユーザ端末1cにおいて選択された制限モード定義情報に含まれるソフトウェアをユーザ端末1cに送信するソフトウェア送信部45と、を備える管理サーバ1sとして機能する。
【0035】
同様に、図1に示したハードウェア構成を有するユーザ端末1cは、RAM12cに展開されたプログラムをCPU11cが解釈および実行することで、ユーザまたはユーザ端末1cの識別情報を管理サーバ1sに送信する識別情報送信部21と、管理サーバ1sから制限モード定義情報を受信する制限モード定義情報受信部22と、ユーザによる制限モード定義情報の選択および制限モード有効化の指示を受け付ける受付部23と、制限モード設定部24と、次回起動時のログインユーザを、管理者権限を有さないユーザに設定する権限設定部25と、制限モードが有効であるか否かを判定する判定部26と、HDD13cにおける一部の領域を一時領域82として確保する一時領域確保部27と、選択された制限モード定義情報に含まれるソフトウェアを管理サーバ1sから受信するソフトウェア受信部28と、制限モード有効時にHDD13cへの書き込みデータを一時領域82に記録する一時領域記録部29と、一時領域82への記録の際の変換情報を蓄積する変換情報蓄積部30と、ソフトウェアを一時領域82から読み出して実行するソフトウェア実行部31と、一時領域82を含むHDD13cに記録された情報を読み出す読出部32と、を備えるユーザ端末1cとして機能する。
【0036】
ここで、サービスとは、ユーザ端末1cまたはサービス提供サーバにおいて実行されるソフトウェアによって提供される機能である。サービスの提供の形態としては、ユーザ端末1cにダウンロードされたソフトウェアがユーザ端末1cによって実行されることでサービスが提供される形態や、サービス提供サーバにおいて主要な処理が行われ、ユーザ端末1cではサーバから受信した処理結果の表示を主に担うソフトウェアが実行される形態等が用いられてよい。
【0037】
また、一時領域82とは、ユーザ端末1cの起動または終了に際してRAM12cに蓄積された変換情報が失われることで初期化されるHDD13cにおける一部の領域である。一時領域記録部29は、判定部26によって制限モードが有効であると判定された場合に、オペレーティングシステムによるHDD13cへの書き込みアクセスを横取り(フック)し、一時領域82への書き込みアクセスへ変換することで、HDD13cに書き込まれようとしているデータを一時領域82に記録する。そして、変換情報蓄積部30は、変換された書き込みアクセスの変換前のアドレスと変換後のアドレスとの対応関係を示す変換情報を、RAM12cに蓄積する。
【0038】
また、制限モードとは、ユーザ端末1cにおいてセキュリティを確保するための機能が有効となっている状態であり、セキュリティを確保しつつ様々な作業環境を提供するために、複数種類の制限モードが提供される。
【0039】
管理サーバ1sの制限モード定義情報蓄積部44は、識別情報に係る情報処理端末に所定の作業環境を構築するためのソフトウェアの組み合わせ、または識別情報に係るユーザに所定のサービスを提供するためのソフトウェアの組み合わせを含む、制限モード定義情報を蓄積する。
【0040】
図3Aおよび図3Bは、本実施形態におけるソフトウェア情報テーブル50A、50Bの構成を示す図である。ソフトウェア情報テーブル50A、50Bには、ソフトウェア蓄積部46によって蓄積されたソフトウェアを識別するためのソフトウェア識別子51と、ソフトウェア名称52と、管理サーバ1sにおけるソフトウェア本体の保存位置を示すファイルパス53と、を含むソフトウェア情報が蓄積される。なお、本実施形態において、ソフトウェア情報テーブル50Aには、残留防止の対象となるソフトウェア、即ち、ユーザ端末1cの利用終了後に、ユーザ端末1cのHDD13c上に残されないソフトウェアの情報が蓄積される。これに対して、ソフトウェア情報テーブル50Bには、残留防止の対象とならないソフトウェア、例えば、オペレーティングシステムの更新ファイルや、セキュリティ対策ソフトウェアの更新ファイル、ウィルス定義ファイル等、セキュリティの観点上システムに残すことが好ましいソフトウェアの情報が蓄積される。
【0041】
また、図4は、本実施形態における認証情報テーブル60の構成を示す図である。認証情報テーブル60には、認証を受けるユーザまたはユーザ端末1cを識別するための認証識別子61と、認証識別子61によって認証されるユーザまたは端末の名称62と、認証に用いられるパスワード等が含まれる認証符号63と、を含む認証情報が蓄積される。
【0042】
図5は、本実施形態における制限モード定義情報テーブル70の構成を示す図である。制限モード定義情報テーブル70には、制限モード識別子71と、制限モード名称72と、この制限モードで使用が許可されるソフトウェアのソフトウェア識別子51がリストされるソフトウェアリスト73と、この制限モードの使用が許可されるユーザまたは端末の認証識別子61がリストされる認証リスト74と、この制限モードの使用が許可される期限を示す制限モード有効期限75と、を含む制限モード定義情報が蓄積される。ユーザは、提示された複数種類の制限モード定義情報から、所望の制限モード定義情報を選択することで、この定義情報に応じた作業環境の提供を受けることが出来る。
【0043】
図6は、本実施形態における記憶領域80の構成を示す図である。ユーザ端末1cのHDD13c上に確保された記憶領域80には、制限モードフラグ81および一時領域82が含まれ、制限モードフラグ81には、制限モード設定部24によって、制限モードが有効であることを示す値(例えば、「1」)、または制限モードが無効となっていることを示す値(例えば、「0」)が書き込まれる。また、一時領域82は、制限モードが有効となっている間に、アドレス変換によってHDD13cへの書き込みアクセスがリダイレク
トされる領域である。即ち、制限モードが有効となっている間、原則としてデータは一時領域82に記録される。
【0044】
図7は、本実施形態におけるアドレス変換テーブル90を示す図である。アドレス変換テーブル90には、一時領域82への書込み時の変換元アドレス91と変換先アドレス92との対応関係が蓄積される。アドレス変換テーブル90に蓄積された情報は、一時領域82からの情報の読み出し時に参照される。なお、本実施形態では、アドレス変換は、対応表を参照することで変換元アドレス91に対応する変換先アドレス92を取得することとしているが、これに代えて、変換元アドレス91を所定の計算式を用いて変換することで、変換先アドレス92を取得することとしてもよい。
【0045】
図8は、本実施形態に係る制限モード定義情報を作成する処理の流れを示すフローチャートである。本フローチャートに示された処理は、管理サーバ1sまたは管理サーバ1sにログインした管理者端末1aにおいて、管理者によって制限モード定義情報の作成開始を指示する入力が行われたことを契機として開始される。
【0046】
ステップS101からステップS103では、制限モード定義情報を作成するにあたってユーザに選択させるための各種情報が読み出され、これらの情報が、管理サーバ1sまたは管理者端末1aのディスプレイに表示される。管理サーバ1sは、予め準備されたソフトウェア情報をソフトウェア情報テーブル50A、50Bから読み出し、認証情報を認証情報テーブル60から読み出す。そして、管理サーバ1sは、読み出されたソフトウェア情報および認証情報を、管理サーバ1sに接続されたディスプレイ、または管理サーバ1sに接続された管理者端末1aのディスプレイに表示する。
【0047】
図9は、本実施形態においてディスプレイに表示される制限モード定義情報作成インターフェース100のイメージを示す図である。制限モード定義情報作成インターフェース100は、作成される制限モード定義情報に係る制限モードの名称が入力される名称入力欄101と、ステップS101で読み出されたソフトウェア情報が選択される選択可能ソフトウェア表示欄102と、選択された1または複数のソフトウェアが表示される選択済みソフトウェア表示欄103と、選択したいソフトウェアを選択済みソフトウェアに追加する追加ボタン104aと、選択済みソフトウェアを削除する削除ボタン104dと、ステップS102で読み出された認証情報が選択される選択可能認証情報表示欄105と、選択された1または複数の認証情報が表示される選択済み認証情報表示欄106と、選択したい認証情報を選択済み認証情報に追加する追加ボタン107aと、選択済み認証情報を削除する削除ボタン107dと、作成される制限モード定義情報の有効期限を入力する有効期限入力欄108と、入力または選択内容を確定して新規制限モード定義情報を作成する新規作成ボタン109と、を有する。
【0048】
ステップS104では、制限モード定義情報を作成するにあたって必要な情報の入力および選択が受け付けられる。管理サーバ1sは、ディスプレイに表示された制限モード定義情報作成インターフェース100を介して行われる入力操作および選択操作を受け付けることで、制限モードの名称、ソフトウェア、認証情報および有効期限の入力または選択を受け付ける。
【0049】
即ち、管理者は、制限モード定義情報を作成するにあたって、ディスプレイに表示された制限モード定義情報作成インターフェース100を見ながら、キーボード、マウス等の入力装置を用いて、制限モードの名称の入力、ソフトウェアの選択、認証情報の選択、および有効期限の入力を行う。ここで、ソフトウェアおよび認証情報は、複数選択されてもよい。本実施形態では、ドロップダウンメニューを用いて表示されたソフトウェアまたは認証情報が、追加ボタン104a、107aの押下によって選択状態となる。選択状態に
ある選択済みソフトウェア/認証情報は、選択済みソフトウェア/認証情報表示欄103、106に表示され、新規作成ボタン109の押下によって確定される。その後、処理はステップS105へ進む。
【0050】
ステップS105では、制限モード定義情報が作成される。管理サーバ1sは、ステップS104で入力または選択された情報を、制限モード名称72、ソフトウェアリスト73、認証リスト74および制限モード有効期限75として含む制限モード定義情報を作成し、制限モード定義情報テーブル70に蓄積する。この際、管理サーバ1sは、制限モード定義情報を識別するための一意の識別子を生成し、制限モード識別子71として制限モード定義情報に保持させる。識別子は、例えば、作成日時等を含む識別子とすることが出来る。その後、本フローチャートに示された処理は終了する。
【0051】
即ち、本フローチャートに示された処理によれば、管理者は、ユーザに提供したい作業環境および適用したいセキュリティに応じた制限モードを、簡易に作成することが出来る。なお、ここで制限モード定義情報の生成が成功した場合に、制限モード定義情報が正常に作成された旨をユーザに伝えるためのメッセージが表示されることとしてもよい。また、管理者は、制限モード定義情報を複数作成することが出来る。異なるソフトウェア識別子51と認証識別子61との組み合わせによる制限モード定義情報を生成しておくことで、ソフトウェアの選択および該ソフトウェアを利用できるユーザの限定を、制限モードを選択させるのみで行うことが出来る。
【0052】
例えば、ファイルサーバへアクセスするためのソフトウェアと、アクセスを許可したいユーザを制限モード定義情報に設定しておくことで、限定されたユーザ間でのデータ共有が可能となる。
【0053】
図10Aおよび図10Bは、本実施形態における制限モード制御処理の流れを示すフローチャートである。本フローチャートに示された処理は、システムの起動に伴って開始される。なお、本フローチャートに示された処理では、制限モードフラグ81が操作され、制限モードフラグ81の状態に基づいて処理の流れが決定される。はじめに、起動時において制限モードフラグ81が有効でない(または、無効である)場合の処理の流れについて説明する。なお、本実施形態では、OS等のシステムプログラムはHDD13cより読み出されることとしているが、システムプログラムの少なくとも一部をROM、DVD等の書換不可能な記憶装置に記録しておき、システム起動時に毎回展開させることで、プログラムの改変を抑止してもよい。
【0054】
ステップS201およびステップS202では、システムの起動処理および制限モードフラグ81の判定が行われる。判定部26は、システムの起動後、HDD13cに保存された制限モードフラグ81を参照し、制限モードフラグ81が制限モード有効を示す値に設定されているか否かを判定する。制限モードフラグ81が制限モード有効を示す値に設定されていると判定された場合、処理はステップS221へ進み(図10Bを参照)、以降、制限モードフラグ81が無効に設定されるまで、システムは制限モードで動作する。制限モードフラグ81が制限モード有効を示す値に設定されていない(または、無効を示す値に設定されている)と判定された場合、処理はステップS203へ進み、以降、制限モードフラグ81が有効に設定されるまで、システムは非制限モードで動作する。
【0055】
ステップS203およびステップS204では、認証情報に基づいた認証処理が行われる。ユーザ端末1cは、ユーザ端末1cのディスプレイ16cに認証インターフェース(図示は省略する)を表示し、識別情報送信部21は、このインターフェースを介してユーザによって入力された認証情報(例えば、ユーザ名称とパスワード等)を、管理サーバ1sへ送信する(ステップS203)。管理サーバ1sの識別情報受信部42は、送信され
た認証情報を、ネットワーク2を介して受信し、認証部41は、受信された認証情報と予め認証情報テーブル60に保持されている認証情報とを比較することで、ユーザ端末1cまたはユーザ端末1cを使用しているユーザを認証する(ステップS204)。
【0056】
より具体的には、管理サーバ1sの認証部41が、受信された認証情報に含まれるユーザまたは端末の名称62または認証識別子61を検索キーとして認証情報テーブル60を検索し、抽出された認証情報の認証符号63と受信された認証情報に含まれるパスワード等を比較することで、認証が行われる。なお、本実施形態では、ユーザによって入力された認証情報を送信することとしているが、これに代えて、予め設定された認証情報が、ユーザ端末1cの起動時に自動的に送信されることとしてもよい。その後、処理はステップS205へ進む。なお、認証処理は、ワンタイムパスワードや、秘密鍵と公開鍵を用いた認証処理等、実施の形態に応じて採用された認証プロトコルを用いた認証処理であってよい。
【0057】
ステップS205からステップS207では、制限モード定義情報の送受信が行われる。管理サーバ1sの制限モード定義情報送信部43は、ステップS204で認証されたユーザまたはユーザ端末1cの認証識別子61を検索キーとして制限モード定義情報テーブル70を検索することで、認証に係る制限モード定義情報を抽出する(ステップS205)。ここで、制限モード定義情報送信部43は、管理サーバ1sの内蔵時計(図示は省略する)に基づく日時情報と、制限モード定義情報に含まれる有効期限75とを比較し、有効期限を超過している(期限切れの)制限モード定義情報は、抽出の結果に含ませない。そして、制限モード定義情報送信部43は、抽出された制限モード定義情報をユーザ端末1cへ送信し(ステップS206)、ユーザ端末1cの制限モード定義情報受信部22は、ネットワーク2を介して制限モード定義情報を受信する(ステップS207)。その後、処理はステップS208へ進む。
【0058】
ステップS208では、ステップS207で受信された制限モード定義情報が複数あるか否かが判定される。複数の制限モード定義情報が受信されたと判定された場合、処理はステップS209へ進む。受信された制限モード定義情報が複数ではない(単一である)と判定された場合、処理はステップS210へ進む。
【0059】
ステップS209では、受信された制限モード定義情報が複数ある場合に、ユーザによる選択が受け付けられる。受付部23は、受信された複数の制限モード定義情報に基づいて、複数の制限モード定義情報のうち、このユーザ端末1cに提供する制限モード定義情報をユーザに選択させるための制限モード定義情報選択インターフェース110をディスプレイ16cに表示する。
【0060】
図11は、本実施形態においてディスプレイ16cに表示される制限モード定義情報選択インターフェース110のイメージを示す図である。制限モード定義情報選択インターフェース110は、ユーザに対する制限モードについての説明を含むメッセージ表示欄111と、制限モード名称72および有効期限75が表示される制限モード選択ボタン112と、を有する。マウス18c等の入力装置を用いてユーザは制限モード選択ボタン112をクリックすることで、所望の制限モードを選択することが出来る。受付部23は、制限モード定義情報インターフェースを介して、ユーザによる制限モード定義情報の選択を受け付ける。その後、処理はステップS210へ進む。
【0061】
ステップS210では、ソフトウェア識別子51が送信される。ユーザ端末1cのソフトウェア受信部28は、制限モード定義情報のソフトウェアリスト73に含まれるソフトウェアのうち、残留防止の対象とならないソフトウェア、即ち、制限モードが有効であるか否かに拘らずユーザ端末1cのHDD13c上に残されるべきソフトウェアの識別子を
送信する。ここで、残留防止とは、データを一時領域82へ記録することで、端末へのデータの残留を防止することをいう。残留防止の対象とならないソフトウェアとは、例えば、オペレーティングシステムの更新ファイルや、セキュリティ対策ソフトウェアの更新ファイル、ウィルス定義ファイル等、セキュリティの観点上システムに残すことが好ましいソフトウェアである。これらの残留防止の対象とならないソフトウェアを識別する方法としては、本実施形態における、残留防止の対象とならないソフトウェアの情報が蓄積されるソフトウェア情報テーブル50Bを用いる方法の他に、予めユーザ端末1cにおいて設定しておく方法や、管理サーバ1sに保持されるソフトウェア情報や制限モード定義情報に残留防止の対象とするか否かを判別するためのフラグを含ませる方法等が採用されてよい。その後、処理はステップS211へ進む。
【0062】
ステップS211およびステップS212では、管理サーバ1sによってソフトウェア識別子51が受信され、ソフトウェア本体が送信される。管理サーバ1sのソフトウェア送信部45は、ユーザ端末1cより送信されたソフトウェア識別子51を受信し(ステップS211)、受信されたソフトウェア識別子51を検索キーとしてソフトウェア情報テーブル50Bを検索することで、ユーザ端末1cより要求されたソフトウェアの本体が保存されている場所(ここでは、管理サーバ1sにおけるファイルパス53)を取得する。そして、ソフトウェア蓄積部46によって蓄積されているソフトウェア本体を読み出し、ユーザ端末1cへ送信する(ステップS212)。その後、処理はステップS213へ進む。
【0063】
ステップS213では、ソフトウェア本体が受信される。ユーザ端末1cのソフトウェア受信部28は、管理サーバ1sから送信されたソフトウェアを受信し、HDD13cに保存する。なお、ここで受信されたソフトウェアが保存されるHDD13c上の領域は、残留防止のために用いられる一時領域82ではない。その後、処理はステップS214へ進む。
【0064】
ステップS214およびステップS215では、制限モードフラグ81が設定され、制限モード定義情報が保存される。制限モード設定部24は、HDD13c上の制限モードフラグ81に、制限モードが有効であることを示す値を設定し(ステップS214)、HDD13cに、ステップS209で選択された制限モード定義情報(ステップS207で受信された制限モード定義情報が1つであった場合には、その制限モード定義情報)を保存する(ステップS215)。即ち、これらのステップでは、ユーザ端末1cの再起動後に用いる情報が、不揮発性記憶装置であるHDD13cに記録される。これによって、ユーザ端末1cの再起動後も制限モードが継続され、また、再起動後に参照される制限モード定義情報が維持される。その後、処理はステップS216へ進む。
【0065】
ステップS216およびステップS217では、ユーザ端末1cのオペレーティングシステムにおけるユーザ権限が変更され、ユーザ端末1cが再起動される。権限設定部25は、次回起動時のユーザが、ユーザ端末1cへのソフトウェアのインストールやシステムへの変更を行う権限を有さないユーザ(以降、「制限ユーザ」と称する)となるように、オペレーティングシステムの設定を強制的に変更する(ステップS216)。より具体的には、権限設定部25は、ユーザ端末1cのオペレーティングシステム起動用設定ファイル(レジストリ等)内のオペレーティングシステム起動時ログインユーザを、管理者権限を持たない制限ユーザへ強制的に書き換える。その後、システムの再起動が開始され(ステップS217)、本フローチャートに示された処理は終了する。
【0066】
システムが再起動すると、再びステップS201からの処理が実行される。再起動したシステムは、制限ユーザで動作する。また、制限モードフラグ81はステップS214で制限モードに設定されているため、ステップS202における判定処理では、制限モード
フラグ81が制限モード有効を示す値に設定されていると判定される。
【0067】
次に、図10Bを参照して、ステップS202で制限モードフラグ81が制限モード有効を示す値に設定されていると判定された場合の以降の処理の流れ、即ちシステムが制限モードで動作する場合の処理の流れを説明する。
【0068】
ステップS221では、残留防止機能が有効化される。ユーザ端末1cの一時領域確保部27は、ステップS202で制限モードフラグ81が有効であると判断されたことを受けて、RAM12c上の残留防止機能フラグに残留防止機能が有効であることを示す値を設定し、一時領域82の確保および初期化を行うことで、残留防止機能を有効化する。残留防止機能フラグは、後述する残留防止処理において参照されることで、残留防止機能が有効であるか無効であるかを判定するための基準となる。また、一時領域82は、一時領域82のアドレスの書き込みアドレスを示すポインタを一時領域82(図6を参照)の先頭アドレスとすることで初期化される。その後、処理はステップS222へ進む。
【0069】
ステップS222では、ソフトウェア識別子51が送信される。ユーザ端末1cのソフトウェア受信部28は、ステップS215でHDD13cに保存された制限モード定義情報のソフトウェアリスト73に含まれるソフトウェアのうち、残留防止の対象となるソフトウェア、即ち、ユーザ端末1cの利用終了後に、ユーザ端末1cのHDD13c上に残されないソフトウェアの識別子を送信する。残留防止の対象となるソフトウェアを識別する方法としては、本実施形態における、残留防止の対象となるソフトウェアの情報が蓄積されるソフトウェア情報テーブル50Aを用いる方法の他に、予めユーザ端末1cにおいて設定しておく方法や、管理サーバ1sに保持されるソフトウェア情報や制限モード定義情報に残留防止の対象とするか否かを判別するためのフラグを含ませる方法等が採用されてよい。その後、処理はステップS223へ進む。
【0070】
ステップS223およびステップS224では、管理サーバ1sによってソフトウェア識別子51が受信され、ソフトウェア本体が送信される。処理の詳細はステップS211およびステップS212と概略同様であるため、説明を省略する。その後、処理はステップS225へ進む。
【0071】
ステップS225では、ソフトウェア本体が受信される。ユーザ端末1cのソフトウェア受信部28は、管理サーバ1sから送信されたソフトウェア本体を受信し、ステップS221で初期化された一時領域82に保存する。即ち、ここで受信されたソフトウェア本体は、ユーザ端末1cの使用終了時または再起動時に、ユーザ端末1cから失われる。その後、処理はステップS226へ進む。
【0072】
ステップS226およびステップS227では、ソフトウェアが起動され、制限モード離脱インターフェース120が表示される。ユーザ端末1cのソフトウェア実行部31は、ステップS213およびステップS225で受信しHDD13cに記録したソフトウェア本体を、RAM12cに読み出し、CPU11cに実行させることでソフトウェアを起動する(ステップS226)。即ち、この時点で、ソフトウェアの機能が情報処理端末を使用するユーザに提供され、ユーザはユーザ端末1cにおいて動作する各種ソフトウェアを用いて作業を行うことが可能となる。そして、ユーザ端末1cは、ユーザが制限モードでの作業を終了する際の終了操作を受け付けるための制限モード離脱インターフェース120をディスプレイ16cに表示する(ステップS227)。その後、本フローチャートに示された処理は終了する。なお、制限モード離脱インターフェース120を起動するためのソフトウェアは、ソフトウェア情報テーブル50Aに登録され、ステップS225で受信されるソフトウェアであってもよい(以下、制限モード離脱インターフェース120を表示させるためのソフトウェアを「離脱インターフェース提供ソフトウェア」と称する
)。この場合、制限モード離脱インターフェース120は、ステップS226のソフトウェア起動処理において表示されるため、ステップS227の処理は不要となる。また、この場合、離脱インターフェース提供ソフトウェアは一時領域82に記録され、ユーザ端末1cに残らない。このため、離脱インターフェース提供ソフトウェアを制限モード定義情報テーブル70に登録するタイミングを調整することで、管理者は、制限モードから離脱可能な時期をコントロールすることが出来る。より具体的には、管理者は、ユーザ端末を常に制限モードで動作させたい時期には制限モード定義情報テーブル70に離脱インターフェース提供ソフトウェアを登録しないことで、ユーザの故意または過失による不要な制限モード離脱や環境変更等を防止することが出来る。
【0073】
図12は、本実施形態においてディスプレイ16cに表示される制限モード離脱インターフェース120のイメージを示す図である。制限モード離脱インターフェース120は、現在ユーザ端末1cのシステムが制限モードで動作していることを通知するメッセージ121と、非制限モードへ復帰する(制限モードを離脱する)ことを指示するための復帰ボタン122と、を有する。ユーザは、ユーザ端末1cに備えられたポインティングデバイス等の入力装置を操作して、復帰ボタン122をクリックすることで、制限モードでの作業を終了し、非制限モードへ移行することの指示を行う。
【0074】
ステップS226におけるソフトウェアの起動以降、ユーザによる復帰ボタン122のクリックが検知されるまで、ユーザ端末1cは制限モード下で動作し、ユーザは、ユーザ端末1cにおいて起動された各種ソフトウェアを用いて作業を行うことが可能である。そして、本実施形態によれば、ユーザ端末1cのOSが制限ユーザで動作し、且つ残留防止機能が動作していることによって、ユーザによるソフトウェアのインストールやシステムへの変更が制限され、更に、作成または変更したデータが再起動後にHDD13cに残留することが制限される。
【0075】
図13は、本実施形態における非制限モード移行処理の流れを示すフローチャートである。本フローチャートに示された処理は、ユーザによる非制限モードへの移行指示が検知されたことを契機として開始される。ユーザ端末1cは、上記制限モード離脱インターフェース120を介したユーザ操作に基づく非制限モードへの移行指示を受け付け(ステップS301)、HDD13c上の制限モードフラグ81に、制限モードが無効であることを示す値を設定する(ステップS302)。なお、制限モードフラグ81への書き込みについては、残留防止機能によるアドレス変換が行われない。具体的には、後述する残留防止処理において、一時領域記録部29は、書き込みアドレスが制限モードフラグ81を示すアドレスである場合のみ、アドレス変換を行わずにHDD13cへ書き込む。このようにすることで、残留防止機能が有効となっている状態でも、制限モードからの離脱を行うことを可能としている。
【0076】
その後、ユーザ端末1cは再起動し(ステップS303)、上記ステップS201からの処理が実行される。このとき、ステップS202において制限モードフラグ81が有効を示す値に設定されていないと判定されるため、処理はステップS203へ進み、以降、制限モードフラグ81が有効に設定されるまで、システムは非制限モードで動作する。
【0077】
なお、制限モードでは、ユーザが管理者権限を有さないユーザに変更されているが(ステップS216を参照)、ユーザ設定は、制限モード離脱後の再起動後に、ユーザ操作によって、または自動的に、変更前のユーザに戻されることとしてもよい。
【0078】
図14は、本実施形態における残留防止処理の流れを示すフローチャートである。本フローチャートに示された処理は、OSによる、HDD13cからの読出アクセス、またはHDD13cへの書込アクセスが発生したことを契機として開始される。
【0079】
ステップS401およびステップS402では、OSによるHDDアクセスが横取りされ(フックされ)、残留防止機能フラグが有効に設定されているか否かが判定される。ユーザ端末1cの一時領域記録部29は、OSによるHDDアクセスが発生すると、このアクセスを横取りし、RAM12c上の残留防止機能フラグを参照する。ここで、残留防止機能フラグに残留防止機能が有効であることを示す値が設定されている場合、処理はステップS404へ進む。残留防止機能フラグに残留防止機能が有効であることを示す値が設定されていない場合、処理はステップS403へ進む。
【0080】
ステップS403では、HDD13cへのアクセスが行われる。残留防止機能が有効でないため、一時領域記録部29は、HDD13cへの通常の読出または書込アクセスを許可する。ここで読出または書込が行われるHDD13c上の領域は、一時領域82以外の領域である。例えば、上述したステップS213において受信されたソフトウェア本体(オペレーティングシステムの更新ファイルや、セキュリティ対策ソフトウェアの更新ファイル、ウィルス定義ファイル等)のHDD13cへの書込み処理は、残留防止機能が有効でない状態で行われるため、本ステップの処理に従って行われる。本ステップでHDD13cに書込みされたデータは、制限モードの終了処理やユーザ端末1cの再起動によっても失われないため、システムの更新ファイル等、制限モードの有効無効に拘らず失われないことが好ましいデータは、残留防止機能フラグが有効となっていない状態でHDD13cに書込みされることが好ましい。その後、本フローチャートに示された処理は終了する。
【0081】
ステップS404では、アクセスの種類が判定される。一時領域記録部29は、残留防止機能フラグが有効である場合、横取りされたアクセスの種類が書込みアクセスであるか否かを判定する。アクセスの種類が書込みアクセスである場合、処理はステップS405へ進む。アクセスの種類が書込みアクセスでない場合、処理はステップS407へ進む。
【0082】
ステップS405およびステップS406では、一時領域82への書込みが行われ、アドレス変換テーブル90が更新される。一時領域記録部29は、HDD13c上に確保された一時領域82のうち、書込アドレスポインタが示す書込みアドレスに、横取りされた書込アクセスに係るデータを記録する(ステップS405)。そして、変換情報蓄積部30は、横取りされた書込みアクセスにおいてOSが示していた書込み先アドレス(変換元アドレス91)と、実際にデータが書き込みされたアドレス(変換先アドレス92)と、を関連付けてRAM12c上のアドレス変換テーブル90に蓄積する(ステップS406)。ここで、変換先アドレス92は、一時領域82への書込み時に、書込アドレスポインタが示していたアドレスである。更に、一時領域記録部29は、書き込みされたデータのサイズに従って、書込アドレスポインタを更新する。その後、本フローチャートに示された処理は終了する。
【0083】
ステップS407からステップS409に示された処理は、残留防止機能が有効である場合の、HDD13cからの読出アクセス処理である。読出部32は、オペレーティングシステムより横取りされた読出アクセスの読出アドレスに基づいてアドレス変換テーブル90を検索することで、この読出しアドレスが、アドレス変換テーブル90の変換元アドレス91として登録されているか否か、即ち、オペレーティングシステムから要求されたデータが、一時領域82に記録されているか否かを判定する(ステップS407)。OSの示すアドレスがアドレス変換テーブル90から抽出された場合、処理はステップS408へ進む。OSの示すアドレスがアドレス変換テーブル90から抽出されない場合、処理はステップS409へ進む。
【0084】
ステップS408では、データが一時領域82から読み出される。読出部32は、OS
より要求されたデータを、ステップS407で抽出された変換先アドレス92にアクセスすることで読み出す。即ち、本フローチャートに示す処理によれば、データの書込みおよび読出しが一時領域82に対して行われていることをOSに意識させることなく、一時領域82に対するデータの書込みおよび読出しを行うことができる。その後、本フローチャートに示された処理は終了する。
【0085】
ステップS409では、データがHDD13cから読み出される。読出部32は、OSより要求されたデータを、OSより指示された読出アドレスにアクセスすることで読み出す。本ステップに係る読出し処理が行われるのは、制限モード下で記録されたデータを除くデータの読出し要求が行われた際である。その後、本フローチャートに示された処理は終了する。
【0086】
OSのHDD書込アクセスにおける書込先を一時領域82に変換するためのアドレス変換テーブル90は、RAM12c上に確保されているため、再起動によって失われる。即ち、制限モード中にHDD13cに書き込まれた情報は、再起動後に、記録位置(アドレス)が失われることによって、アクセス困難となる。このため、制限モード下で万一ウィルスに感染する、不適切なソフトウェアがインストールされる等の事態が発生した場合であっても、再起動後にOSはこれらのソフトウェアにアクセスすることが出来ず、システムは安全な状態に保たれる。更に、一時領域82の書き込みアドレスを示すポインタが一時領域82の先頭に初期化されることで(ステップS221)、既に一時領域82に書き込まれた情報は、以降の一時領域82への書き込みで上書きされ、HDD13cから書き込まれた情報自体を消すことができる。
【0087】
なお、OSのファイル管理テーブルを参照せずにHDD13c上の情報を直接参照する等の方法で制限モード下において書き込まれた情報が取得されてしまうことを防止するために、制限モード下でHDD13cに書き込まれる情報を暗号化する方法や、制限モード下でHDD13cに書き込まれた情報をランダムな情報で上書きする方法等が採られてもよい。
【0088】
より具体的には、一時領域82へ書き込まれる情報を暗号化し、一時領域82から読み出される情報を復号する暗号処理部(図示は省略する)を介することで、鍵情報が設定された暗号処理部を介さずにHDD13c上の情報を直接参照する方法では情報の内容を知ることが出来ないようにすることが可能である。このとき、暗号化に用いられる暗号鍵は、ユーザによって管理されてもよいし、制限モードに移行するごとに自動生成され、制限モード終了時に破棄されることとしてもよい。制限モード移行ごとに自動生成して制限モード終了時に破棄する方法によれば、ユーザは暗号鍵の管理を意識する必要が無く、制限モード離脱時には制限モード下で一時領域82に書き込まれた情報の取得を非常に困難にすることが可能である。
【0089】
本実施形態にかかる情報処理端末および管理サーバ1sによれば、OSに対して機能制限を行い、プログラムおよびデータを囲い込む一時領域82を用いることで、高いセキュリティを実現し、更に、仮想マシン手法やシンクライアント手法に比べて仮想化やOSのダウンロード等に伴うリソース消費を抑制することで、高いセキュリティと高速なオーバーヘッドとを両立させることが可能である。より具体的には、本実施形態によれば、管理者が用意すべきイメージは、管理サーバ1sに蓄積されるソフトウェアのイメージのみである。このため、本実施形態に係るシステムは、ソフトウェアのイメージに加えてOSのイメージを用意する必要がある仮想マシン手法やシンクライアント手法に比べて、記憶領域や帯域等のリソース面、OSの設定に必要な負荷の面で有利である。また、仮想マシン処理を介さないため、仮想マシン手法に比べて処理も軽く、快適な作業環境を用意に構築することが可能である。特に、一時領域82は断片化されていない連続的記憶領域である
ため、本実施形態の制限モードは、断片化されたHDDにアクセスする一般の環境に比べても、全体として高速に動作する。
【0090】
<第二の実施形態>
上記した第一の実施形態では、離脱インターフェース120を起動するための離脱インターフェース提供ソフトウェアを、ソフトウェア情報テーブル50Aに登録されることで一時領域82に記録されて実行されるソフトウェアの一つとし、離脱インターフェース提供ソフトウェア制限モード定義情報テーブル70に登録するタイミングを調整することで、制限モードから離脱可能な時期を管理者が制御することが説明されている。ここで、第二の実施形態では、ユーザの故意や過失による、好ましくない制限モード離脱や環境変更等を防止するために、離脱インターフェース提供ソフトウェアの提供時期をより詳細に制御する場合の実施の形態について説明する。なお、本実施形態に係るユーザ端末管理システムの構成は、第一の実施形態において説明したユーザ端末管理システムと概略同様であるため、以下では、主として第一の実施形態と異なる部分についてのみ説明し、第一の実施形態と同様の構成については、同一の符号を用いて説明する。
【0091】
図15は、第二の実施形態における制限モード定義情報テーブル170の構成を示す図である。制限モード定義情報テーブル170に蓄積される制限モード定義情報には、第一の実施形態において用いられる制限モード定義情報が含む制限モード識別子71、制限モード名称72、ソフトウェアリスト73、認証リスト74、および制限モード有効期限75に加えて、ソフトウェア条件リスト76が含まれる。ソフトウェア条件リスト76は、ソフトウェアリスト73に挙げられたソフトウェアの配信条件を定める条件情報の識別子(以下、条件識別子154と称する)が1または複数設定されたリストである。ユーザは、提示された複数種類の制限モード定義情報から、所望の制限モード定義情報を選択することで、この定義情報に応じた作業環境の提供を受けることが出来る。
【0092】
図16は、第二の実施形態における条件情報テーブル150の構成を示す図である。条件情報テーブル150には、条件識別子154と、具体的な条件を定義する条件155と、を含む条件情報が蓄積される。管理サーバ1sは、制限モードまたは配信対象のソフトウェアに対して条件が設定されている場合、条件識別子154を用いて条件情報を特定し、現在の状態がこの条件155に合致するか否かを判定することで、ソフトウェアの配信可否等を判断する。
【0093】
条件155に設定される具体的な内容は、特に制限されない。例えば、配信可能期間の他にも、ユーザ端末1cを特定する特定情報、配信可能なユーザ端末のMAC(Media Access Control)アドレス、IP(Internet Protocol)アドレス、ユーザ端末1cの位置情報、等を条件155に設定することが出来る。図16に示された例では、condition1には、現在時刻が2007年5月2日23時00分より後であり且つ2007年5月3日23時00分より前であることが条件として設定されており、condition2には、ユーザ端末のMACアドレスが、AA−BB−CC−DD−EE−00より後であり且つAA−BB−CC−DD−EE−FFより前であることが条件式の形式で設定されている。また、条件155には、複数の異なる種類の条件式と共に、条件式同士のAND(論理積)やOR(論理和)を設定することとしてもよい。複数種類の情報をANDやORで組み合わせて判断することで、より複雑な条件155を設定することが可能である。
【0094】
本実施形態においても、制限モード定義情報は、第一の実施形態の説明において、図8のフローチャートを示して説明した処理と同様の処理で作成される。但し、本実施形態では、図8に示したステップS104に相当する処理において、管理サーバ1sは、制限モードの名称、ソフトウェア、認証情報および有効期限に加えて、ソフトウェア配信条件の
入力または選択を受け付ける。ソフトウェア配信条件が新たに入力されると、管理サーバ1sは、入力された内容に従った条件情報を生成して条件識別子154を設定して条件情報テーブルに蓄積する。また、管理者は、条件識別子154や条件情報の名称等を選択することで、既に条件情報テーブルに蓄積されている条件情報から、適切な条件情報を選択することが出来る。
【0095】
管理サーバ1sは、入力または選択された情報を、制限モード名称72、ソフトウェアリスト73、ソフトウェア条件リスト76、認証リスト74および制限モード有効期限75として含む制限モード定義情報を作成し、制限モード定義情報テーブル170に蓄積する。
【0096】
次に、本実施形態における、制限モード制御処理の流れを説明する。ユーザ端末1cの起動から、制限モードフラグ81が有効でない場合に、制限モードフラグ81が有効化されて再起動するまでの処理(ステップS201からステップS217までの処理)、および再起動から、残留防止機能が有効化されるまでの処理(ステップS201、S202、およびS221)の流れは、図10Aおよび図10Bを用いて説明した第一の実施形態と概略同様であるため、説明を省略する。
【0097】
図17は、第二の実施形態における制限モード制御処理の流れを示すフローチャートである。なお、上述の通り、制限モード制御処理のうち、ユーザ端末1cの起動から制限モードフラグ81が有効化されて再起動するまでの処理の流れについては、図10Aに示したものと概略同様であるため、図示を省略する。図17には、制限モード制御処理のうち、図10Aに示した端子B以降の処理の流れを示す。
【0098】
ステップS222bでは、ユーザ端末1cによって制限モード識別子71が送信される。ユーザ端末1cのソフトウェア受信部28は、HDD13cに保存された制限モード定義情報の制限モード識別子71を、管理サーバ1sに対して送信する。その後、処理はステップS223bへ進む。
【0099】
ステップS223bおよびステップS224bでは、管理サーバ1sによって制限モード識別子71が受信され、ソフトウェア本体の送信可否が判断される。管理サーバ1sのソフトウェア送信部45は、ユーザ端末1cより送信された制限モード識別子71を受信し(ステップS223b)、受信された制限モード識別子71を検索キーとして制限モード定義情報テーブル170を検索することで、ユーザ端末1cより要求された制限モードで配信されるソフトウェアリスト73を取得する。更に、ソフトウェア送信部45は、受信された制限モード識別子71を検索キーとして制限モード定義情報テーブル170を検索することで、制限モードで配信されるソフトウェアの配信条件であるソフトウェア条件リスト76を取得する。そして、取得されたソフトウェア条件リスト76に挙げられている条件識別子154に基づいて条件情報テーブル150を検索することで、条件を取得し、現在の状態が取得された条件を満たすか否かを判定する(ステップS224b)。即ち、本実施形態では、ユーザ端末1cより要求されたソフトウェアを、このユーザ端末1cへ送信することの可否が判断される。
【0100】
図15および図16に示した例によれば、管理サーバ1sは、制限モード識別子71としてinstance1を受信すると、対応するソフトウェアリスト73、およびソフトウェア条件リスト76を取得する。このソフトウェア条件リスト76には、離脱インターフェース提供ソフトウェア(service6)の送信可否を判断するための条件情報の識別子154であるcondition1が含まれている(図15を参照)。このため、ソフトウェア送信部45は、識別子154がcondition1である条件情報を参照し(図16を参照)、現在時刻が2007年5月2日23時00分より後であり且つ20
07年5月3日23時00分より前であるか否かを判定する。条件判断によって、ソフトウェアの送信が可であると判断された場合、処理はステップS224cへ進む。ソフトウェアの送信が不可であると判断された場合、処理はステップS224dへ進む。
【0101】
ステップS224dでは、ユーザ端末1cより要求されたソフトウェアの全てについて送信可否が判断され、送信可であるソフトウェアの送信が全て完了したか否かが判断される。全ての送信可ソフトウェアの送信が完了したと判断された場合、本フローチャートに示された処理は終了する。送信可否が未だ判断されていないソフトウェアがあり、送信可であるソフトウェアの送信が全て完了していない場合、処理はステップS224bへ進む。即ち、ステップS224bからステップS224dに示された処理は、全ての送信可ソフトウェアの送信が完了するまで繰り返し実行される。
【0102】
ステップS224cでは、管理サーバ1sによってソフトウェア本体が送信される。管理サーバ1sのソフトウェア送信部45は、ステップS224bで送信可と判断されたソフトウェアのソフトウェア識別子51を検索キーとしてソフトウェア情報テーブル50Aを検索することで、送信対象のソフトウェアの本体が保存されている場所を取得する。そして、ソフトウェア蓄積部46によって蓄積されているソフトウェア本体を読み出し、ユーザ端末1cへ送信する。その後、処理はステップS225へ進む。
【0103】
ステップS225およびステップS226では、ソフトウェア本体が受信され、起動される。ユーザ端末1cのソフトウェア受信部28は、管理サーバ1sから送信されたソフトウェア本体を受信し、ステップS221で初期化された一時領域82に保存する(ステップS225)。そして、ユーザ端末1cのソフトウェア実行部31は、ステップS213およびステップS225で受信しHDD13cに記録したソフトウェア本体を、RAM12cに読み出し、CPU11cに実行させることでソフトウェアを起動する(ステップS226)。その後、本フローチャートに示された処理は終了する。
【0104】
なお、本実施形態では、離脱インターフェース提供ソフトウェアは、ソフトウェア情報テーブル50Aに登録され、ステップS225で受信されるソフトウェアであるため、制限モード離脱インターフェース120は、ステップS226のソフトウェア起動処理において表示される。このため、本実施形態では、第一の実施形態で説明したステップS227の処理は不要である。
【0105】
本実施形態に示したユーザ端末管理システムによれば、柔軟な条件設定により、ユーザ端末1cの制限モードからの離脱可否を制御することが可能となり、更には、ユーザの故意や過失による、好ましくない制限モード離脱や環境変更等を防止することが可能となる。
【0106】
<その他の実施形態>
図18は、その他の実施形態におけるソフトウェア情報テーブル50Cの構成を示す図である。上記第二の実施形態において図15を用いて説明した例では、制限モード識別子71各々に定義されたソフトウェアリスト73に対しソフトウェア条件リスト76を設定することで同じソフトウェアを個々の制限モード毎に異なる時間帯で提供できる構成としていた。これに対して、図18に示すように、ソフトウェア識別子51毎にソフトウェア条件リスト54を設定する構成とすると、ソフトウェア条件リスト54を変更するだけで、ソフトウェア毎にサービス提供時間を一括して変更することが可能となる。このような実施形態によれば、何れの制限モードにおいても、同じ時間帯で離脱インターフェース提供ソフトウェアを提供する構成とすることが出来る。
【0107】
図19は、その他の実施形態における制限モード定義情報テーブル270の構成を示す
図である。図19に示した例では、認証リスト74毎に認証条件リスト77が設定される。管理サーバ1sの識別情報受信部42は、利用者の認証が行われるステップS204において、受信した認証情報が認証条件リスト77に挙げられた条件情報を満足するか否かを判定し、条件を満足する場合のみ後段の処理(ステップS205以降の処理)に進む。なお、ここで評価される認証のための条件情報は、図16に示した条件情報テーブル150に、ソフトウェア配信の可否を判断するための条件情報と共に蓄積されてもよい。この構成によれば、制限モード識別子71に定義された利用者グループ単位の認証に加え、利用者個別の認証条件を設定することが出来る。
【0108】
なお、上記第二の実施形態において図15を用いて説明した例では、制限モード毎に制限モード有効期限75を設定することで、制限モードの利用可能期限(寿命)を与える構成としていた。これに代えて、図19に示した例では、制限モード条件リスト78が制限モード毎に設けられる。そして、管理サーバ1sの識別情報受信部42は、ステップ204において、認証情報と共に、または認証情報に含まれた形で、ユーザ端末を特定する特定情報を受信して、受信した特定情報が制限モード条件リスト78に挙げられた条件情報を満足するか否かを判定し、条件を満足する場合のみ後段の処理(ステップS205以降の処理)に進む。ここで、ユーザ端末を特定する特定情報とは、例えば、ユーザ端末のMACアドレスや、ユーザ端末に割り当てられたIPアドレス、ユーザ端末1cに備えられたGPS(Global Positioning System)で取得された位置情報等である。この構成によれば、制限モードの利用可能期限だけではなく、例えばユーザ端末1cのMACアドレスやIPアドレス、位置情報等、ユーザ端末を特定する情報に基づく利用制限を設定することが出来る。
【0109】
例えば、ユーザ端末1cの位置情報がGPS等によって取得された緯度経度情報である場合、ユーザ端末1cは、緯度経度情報を取得する機能を備え、取得した緯度経度情報を、認証情報と共に、または認証情報に含めて管理サーバ1sへ送信する。対応する条件情報(図19のconditionα)の条件155には、緯度経度の範囲が設定されており、例えば、設定された緯度経度の範囲にユーザ端末1cがある場合にのみ、管理サーバ1sは離脱インターフェース提供ソフトウェアを配信する。
【0110】
また、例えば、インターネット接続プロバイダやDHCPサーバ(ローカルエリアネットワーク内のIPアドレス自動割り当てサーバ)等によってユーザ端末1cに割り当てられたIPアドレス情報を、認証情報と共に、または認証情報に含めて管理サーバ1sへ送信することとしてもよい。この場合、対応する条件情報(図19のconditionα)の条件155には、IPアドレスの範囲が設定されており、例えば、設定されたIPアドレスの範囲にユーザ端末1cがある場合にのみ、管理サーバ1sは離脱インターフェース提供ソフトウェアを配信する。
【符号の説明】
【0111】
1 ユーザ端末管理システム
1s 管理サーバ
1c 情報処理端末
21 識別情報送信部
22 制限モード定義情報受信部
24 制限モード設定部
25 権限設定部
26 判定部
27 一時領域確保部
28 ソフトウェア受信部
29 一時領域記録部
30 変換情報蓄積部
31 ソフトウェア実行部
41 認証部
42 識別情報受信部
43 制限モード定義情報送信部
45 ソフトウェア送信部
【技術分野】
【0001】
本発明は、情報処理端末および管理サーバを有するユーザ端末管理システムに関する。
【背景技術】
【0002】
従来、ホストコンピュータ上に、仮想マシンと呼ばれる擬似的なコンピュータハードウェアを構成し、この仮想マシン上でゲストOS(オペレーティングシステム)を稼動させる、仮想マシン技術がある(例えば、特許文献1を参照)。
【0003】
また、ホストコンピュータに直接接続されたHDD(Hard Disk Drive)等にはOSを記憶させずに、起動時にOSをDVD(Digital Versatile Disc)やネットワークを介して接続された他のコンピュータから読み込んで起動する技術がある(例えば、特許文献2を参照)
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2005−115653号公報
【特許文献2】特開2006−127169号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
従来、情報処理端末と通信ネットワークとの組み合わせによる情報通信システムにおいて、コンピュータウィルスによる被害や情報漏洩等の事象が発生しているが、これは、近年のコンピュータの構成である、プログラムやデータを書き換え可能な記憶装置に記録していることに起因した問題である。即ち、データをユーザの意図に拘らずネットワークへ送信してしまうソフトウェアが、一旦記憶装置に記録されてしまうと、このソフトウェアはシステムに常駐し、被害が継続する。また、データをコンピュータの記憶装置に保存しているため、コンピュータが紛失または盗難されることによって、情報が漏洩する。
【0006】
このような事象に対応するために、従来、情報処理端末にプログラムおよびデータを残さない技術が提案されている。例えば、コンピュータ上に仮想マシンと呼ばれる擬似的なコンピュータハードウェアを構成し、この仮想マシン上にてゲストOSを起動し、ゲストOS上で作業を行うという、仮想マシン手法がある。また、情報処理端末にはOSを記憶させずに、ネットワークの先にOSイメージを用意して、起動時にネットワーク越しにダウンロードして不揮発性記憶装置を有さない情報処理端末のRAM(Random Access Memory)に展開するという、所謂シンクライアント手法がある。そして、これらの手法によれば、情報処理端末上にプログラムやデータを残さず、ウィルス等のマルウェアが常駐する問題や、上処理端末から情報が漏洩する問題に対処することが出来る。
【0007】
しかし、これらの手法では、環境は一元化され、ユーザごと、または作業ごとに環境を構築することが困難である。仮想マシン手法では、ユーザに管理者権限を与えれば、ユーザに環境を構築させることが可能であるが、ユーザが自由にソフトウェアをインストールしたり、システムに変更を加えたりする権限を有することとなり、セキュリティが損なわれる。また、ユーザに管理者権限を与えずに、管理者が情報処理端末ごと、または利用シーンごとに環境を構築させることとすると、管理者の作業量が膨大なものとなり、現実的ではない。シンクライアント手法において情報処理端末ごとまたは利用シーンごとに環境を構築するためには、OSイメージを保持するサーバ側に、様々な設定のOSやOSとア
プリケーションとの組み合わせを蓄積する必要が生じ、サーバ側のリソースを大量に消費するという問題がある。
【0008】
本発明は、上記の問題に鑑み、情報処理端末において高いセキュリティを確保した状態で、ユーザのニーズに応じた様々な作業環境を提供することを課題とする。
【課題を解決するための手段】
【0009】
本発明は、上記の課題を解決するために、情報処理端末またはユーザに応じたソフトウェアを、不揮発性記憶装置中の、端末の起動または終了に際して初期化される領域に記録して実行することで、情報処理端末において高いセキュリティを確保した状態で、ユーザのニーズに応じた様々な作業環境を提供することを可能にした。
【0010】
詳細には、本発明は、不揮発性記憶装置を有し、管理サーバと通信可能に接続された情報処理端末であって、前記不揮発性記憶装置における一部の領域を、該情報処理端末の起動または終了に際して初期化される一時領域として確保する一時領域確保手段と、該情報処理端末を使用するユーザまたは該情報処理端末を、識別するための識別情報を前記管理サーバに送信する識別情報送信手段と、前記識別情報に係る情報処理端末またはユーザに応じたソフトウェアを、前記識別情報を受信した前記管理サーバから受信するソフトウェア受信手段と、前記ソフトウェア受信手段によって受信されたソフトウェアを前記一時領域に記録する一時領域記録手段と、前記ソフトウェアを前記一時領域から読み出して実行することで、該ソフトウェアの機能を、前記情報処理端末を使用するユーザに提供するソフトウェア実行手段と、を備える、情報処理端末である。
【0011】
不揮発性記憶装置とは、HDDやフラッシュEEPROM等の、電源の供給が行われなくても記録された情報が維持される記憶装置である。本発明では、この不揮発性記憶装置上に、情報処理端末の起動または終了に際して初期化される一時領域を確保し、管理サーバから受信したソフトウェアをこの一時領域に記録することで、ユーザのニーズに応じて様々な作業環境を提供可能な情報処理端末を実現している。
【0012】
また、本発明に係る情報処理端末は、前記識別情報に係る情報処理端末に所定の作業環境を構築するためのソフトウェアの組み合わせ、または前記識別情報に係るユーザに所定のサービスを提供するためのソフトウェアの組み合わせ、を示すソフトウェアのリストを、前記識別情報を受信した前記管理サーバから受信するソフトウェアリスト受信手段と、前記ソフトウェアリスト受信手段によって受信された1または複数のリストをユーザに提示し、ユーザによるリストの選択を受け付ける受付手段と、を更に備え、前記ソフトウェア受信手段は、前記選択されたリストに含まれるソフトウェアを前記サーバから受信してもよい。
【0013】
情報処理端末に所定の作業環境を構築するためのソフトウェアの組み合わせ、またはユーザに所定のサービスを提供するためのソフトウェアの組み合わせ、を示すソフトウェアのリストから、ユーザの所望するリストを選択させ、このリストに含まれるソフトウェアを受信することで、ユーザのニーズに応じた作業環境を用意に構築することが可能となる。
【0014】
また、前記情報処理端末は、揮発性記憶装置を更に有し、前記一時領域記録手段は、該情報処理端末のオペレーティングシステムによる前記不揮発性記憶装置への書き込みアクセスを横取りし、該書き込みアクセスの書き込み先アドレスを前記一時領域内のアドレスへ変換することで、前記ソフトウェア受信手段によって受信されたソフトウェアを前記一時領域に記録し、前記変換された書き込みアクセスの変換前のアドレスと変換後のアドレスとの対応関係を示す変換情報を、前記揮発性記憶装置に蓄積する変換情報蓄積手段を更
に備えてもよい。
【0015】
本発明によれば、変換情報が揮発性記憶装置に蓄積されるため、再起動や電源断等で、揮発性記憶装置に記録された変換情報が失われ、変換情報を参照して一時領域にアクセスすることが出来なくなる。これによって、一時領域からの情報の読出しが困難となり、マルウェアの残留や情報漏洩を防止することが可能となる。また、前記一時領域は、該情報処理端末の起動または終了に際して前記揮発性記憶装置に蓄積された変換情報が揮発することで初期化されてもよい。
【0016】
また、本発明は、上記情報処理端末を管理する管理サーバとしても把握することが可能である。即ち、本発明は、ユーザによって使用される情報処理端末であるユーザ端末と通信可能に接続された管理サーバであって、前記ユーザ端末または該ユーザ端末を使用するユーザを識別するための識別情報を前記ユーザ端末より受信する識別情報受信手段と、前記識別情報に係るユーザ端末またはユーザに応じたソフトウェアを、該ユーザ端末に送信して、前記ユーザ端末の起動または終了に際して初期化される一時領域に保存させるソフトウェア送信手段と、を備える、管理サーバである。
【0017】
このような管理サーバによって情報処理端末が管理されることで、管理者は、ユーザ端末のセキュリティを高い状態に保ちつつ、ユーザに対して柔軟に作業環境を提供することが出来る。
【0018】
また、本発明に係る管理サーバは、前記識別情報に係る情報処理端末に所定の作業環境を構築するためのソフトウェアの組み合わせ、または前記識別情報に係るユーザに所定のサービスを提供するためのソフトウェアの組み合わせ、を示すソフトウェアのリストを蓄積するソフトウェアリスト蓄積手段と、前記識別情報に係る情報処理端末またはユーザに応じた前記リストを送信するソフトウェアリスト送信手段と、を更に備え、前記ソフトウェア送信手段は、前記ソフトウェアリスト送信手段によって送信された1または複数のリストのうちの、前記ユーザ端末において選択されたリストに基づいて該ユーザ端末より要求されたソフトウェアを、該ユーザ端末に送信してもよい。
【0019】
また、前記リストは、該リストの有効期限を示す情報に関連付けて蓄積され、前記ソフトウェアリスト送信手段は、前記識別情報に係る情報処理端末またはユーザに応じた前記リストのうち、有効期限内にある前記リストのみを送信してもよい。これによって、管理者は、ソフトウェアリストを使用して提供される作業環境の利用期限を設定することが出来、ユーザに対して作業環境を提供する期間をコントロールすることが可能となる。
【0020】
また、本発明に係る管理サーバは、前記識別情報受信手段によって受信された識別情報を用いて前記ユーザ端末または該ユーザ端末を使用するユーザを認証する認証手段を更に備え、前記ソフトウェア送信手段は、認証されたユーザ端末またはユーザに関連付けられたソフトウェアを送信してもよい。
【0021】
また、本発明は、
不揮発性記憶装置を有し、管理サーバと通信可能に接続された情報処理端末であって、
前記不揮発性記憶装置における一部の領域を、該情報処理端末の起動または終了に際して初期化される一時領域として確保する一時領域確保手段と、
前記不揮発性記憶装置に対する書き込み内容を前記一時領域に記録することで、該情報処理端末を、前記不揮発性記憶装置の他の領域への書き込みが制限される制限モードで動作させる、一時領域記録手段と、
前記制限モードでの動作を終了させるための制限モード離脱用ソフトウェアを、前記管理サーバから受信するソフトウェア受信手段と、
前記ソフトウェア受信手段によって受信されて前記一時領域に記録された前記制限モード離脱用ソフトウェアを読み出して実行することで、該情報処理端末の前記制限モードでの動作を終了させる、ソフトウェア実行手段と、
を備える、情報処理端末である。
【0022】
また、本発明は、
不揮発性記憶装置に対する書き込み内容を該不揮発性記憶装置の一時領域へ記録することで該不揮発性記憶装置の他の領域への書き込みを制限する、制限モードで動作可能な情報処理端末に対して通信可能に接続され、
前記情報処理端末によって実行されることで前記制限モードでの動作を終了させるための、制限モード離脱用ソフトウェアを蓄積するソフトウェア蓄積手段と、
前記情報処理端末に対して前記制限モード離脱用ソフトウェアを送信して、前記情報処理端末の一時領域に保存させるソフトウェア送信手段と、
を備える管理サーバである。
【0023】
ここで、制限モード離脱用ソフトウェアとは、不揮発性記憶装置の一時領域以外の領域への書き込みが制限される制限モードを終了させるためのソフトウェアである。本発明では、このような制限モード離脱用ソフトウェアを管理サーバから配信し、情報処理端末の一時領域に記録させることで、ユーザの故意や過失による、好ましくない制限モード離脱を防止することを可能としている。また、本発明によれば、制限モード離脱用ソフトウェアを情報処理端末に恒常的に保持させることなく、管理サーバによって配信の有無を管理出来るため、制限モードの離脱の許可/不許可を、管理サーバ側で管理することが可能となる。
【0024】
また、本発明において、
前記ソフトウェア送信手段は、前記情報処理端末における前記制限モードでの動作終了が許可される期間内である場合に、前記情報処理端末に対して前記制限モード離脱用ソフトウェアを送信してもよい。
【0025】
即ち、本発明によれば、管理サーバによって制限モード離脱用ソフトウェアを送信する期間を管理することで、予め設定された期間内である場合にのみ、情報処理端末において制限モードを終了させることを許可し、それ以外の期間においては制限モードの終了を防止することが可能となる。
【0026】
また、本発明に係る管理サーバは、
前記情報処理端末または該情報処理端末を使用するユーザを識別するための識別情報を前記情報処理端末より受信する識別情報受信手段を更に備え、
前記ソフトウェア送信手段は、前記識別情報に係る情報処理端末またはユーザが、前記制限モードによる動作を終了させる権限を有する情報処理端末またはユーザである場合に、前記制限モード離脱用ソフトウェアを、該情報処理端末に送信してもよい。
【0027】
本発明によれば、情報処理端末またはユーザが、制限モードを終了させる権限を有するか否かを判断し、権限を有する場合にのみ制限モードを終了させることを許可することで、権限のない情報処理端末やユーザが制限モードを終了させてしまうことを防止出来る。
【0028】
更に、本発明は、コンピュータが実行する方法、又はコンピュータに実行させるプログラムとしても把握することが可能である。また、本発明は、そのようなプログラムをコンピュータその他の装置、機械等が読み取り可能な記録媒体に記録したものでもよい。ここで、コンピュータ等が読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的、または化学的作用によって蓄積し、コンピュータ等から読
み取ることができる記録媒体をいう。
【発明の効果】
【0029】
本発明によって、情報処理端末において高いセキュリティを確保した状態で、ユーザのニーズに応じた様々な作業環境を提供することが可能となる。
【図面の簡単な説明】
【0030】
【図1】実施形態に係るユーザ端末管理システムのハードウェア構成の概略を示す図である。
【図2】実施形態に係るユーザ端末管理システムの機能構成の概略を示す図である。
【図3A】実施形態におけるソフトウェア情報テーブルの構成を示す図である。
【図3B】実施形態におけるソフトウェア情報テーブルの構成を示す図である。
【図4】実施形態における認証情報テーブルの構成を示す図である。
【図5】実施形態における制限モード定義情報テーブルの構成を示す図である。
【図6】実施形態における記憶領域の構成を示す図である。
【図7】実施形態におけるアドレス変換テーブルを示す図である。
【図8】実施形態に係る制限モード定義情報を作成する処理の流れを示すフローチャートである。
【図9】実施形態においてディスプレイに表示される制限モード定義情報作成インターフェースのイメージを示す図である。
【図10A】実施形態における制限モード制御処理の流れを示すフローチャートである。
【図10B】実施形態における制限モード制御処理の流れを示すフローチャートである。
【図11】実施形態においてディスプレイに表示される制限モード定義情報選択インターフェースのイメージを示す図である。
【図12】実施形態においてディスプレイに表示される制限モード離脱インターフェースのイメージを示す図である。
【図13】実施形態における非制限モード移行処理の流れを示すフローチャートである。
【図14】実施形態における残留防止処理の流れを示すフローチャートである。
【図15】第二の実施形態における制限モード定義情報テーブルの構成を示す図である。
【図16】第二の実施形態における条件情報テーブルの構成を示す図である。
【図17】第二の実施形態における制限モード制御処理の流れを示すフローチャートである。
【図18】その他の実施形態におけるソフトウェア情報テーブルの構成を示す図である。
【図19】その他の実施形態における制限モード定義情報テーブルの構成を示す図である。
【発明を実施するための形態】
【0031】
本発明に係る情報処理端末および管理サーバを有するユーザ端末管理システムの実施の形態について、図面に基づいて説明する。
【0032】
<第一の実施形態>
図1は、本実施形態に係るユーザ端末管理システム1のハードウェア構成の概略を示す図である。ユーザ端末管理システム1は、管理サーバ1sと、管理サーバ1sにネットワーク2を介して接続された1または複数のユーザ端末1cとを有する。管理サーバ1sは、CPU(Central Processing Unit)11s、RAM(Ran
dom Access Memory)12s等の主記憶装置、HDD(Hard Disk Drive)13s等の補助記憶装置、ROM(Read Only Memory)14s、およびNIC(Network Interface Card)15s等のネットワークインターフェース等を有するコンピュータである。管理サーバ1sは、ネットワーク2を介して接続された管理者端末1aによって管理されるが、ディスプレイ、キーボード、マウス等を備えてもよい。
【0033】
また、ユーザ端末1cは、CPU11c、揮発性記憶装置であり端末の再起動や終了に伴って記録された情報が失われるRAM12c、不揮発性記憶装置であり端末が再起動または終了された場合にも記録された情報が維持されるHDD13c、ROM14c、およびNIC15c等のネットワークインターフェース等を有するコンピュータである。なお、本実施形態では、ユーザ端末1cは更にディスプレイ16c等の出力装置、およびキーボード17c、マウス18c等の入力装置等を有する。また、ユーザ端末1cのOSは、システムへの変更またはソフトウェアの追加を行うための権限である管理者権限の有無をユーザごとに設定可能なOSである。
【0034】
図2は、本実施形態に係るユーザ端末管理システム1の機能構成の概略を示す図である。図1に示したハードウェア構成を有する管理サーバ1sは、HDD13s上にインストールされたプログラムをCPU11sが読み出してRAM12sに展開し、展開されたプログラムをCPU11sが解釈および実行することで、ソフトウェア蓄積部46と、ソフトウェアのリストを含む制限モード定義情報を蓄積する制限モード定義情報蓄積部44と、ユーザまたはユーザ端末1cの識別情報をユーザ端末1cより受信する識別情報受信部42と、受信された識別情報を用いてユーザ端末1cまたはユーザを認証する認証部41と、情報処理端末またはユーザに応じた制限モード定義情報を送信する制限モード定義情報送信部43と、ユーザ端末1cにおいて選択された制限モード定義情報に含まれるソフトウェアをユーザ端末1cに送信するソフトウェア送信部45と、を備える管理サーバ1sとして機能する。
【0035】
同様に、図1に示したハードウェア構成を有するユーザ端末1cは、RAM12cに展開されたプログラムをCPU11cが解釈および実行することで、ユーザまたはユーザ端末1cの識別情報を管理サーバ1sに送信する識別情報送信部21と、管理サーバ1sから制限モード定義情報を受信する制限モード定義情報受信部22と、ユーザによる制限モード定義情報の選択および制限モード有効化の指示を受け付ける受付部23と、制限モード設定部24と、次回起動時のログインユーザを、管理者権限を有さないユーザに設定する権限設定部25と、制限モードが有効であるか否かを判定する判定部26と、HDD13cにおける一部の領域を一時領域82として確保する一時領域確保部27と、選択された制限モード定義情報に含まれるソフトウェアを管理サーバ1sから受信するソフトウェア受信部28と、制限モード有効時にHDD13cへの書き込みデータを一時領域82に記録する一時領域記録部29と、一時領域82への記録の際の変換情報を蓄積する変換情報蓄積部30と、ソフトウェアを一時領域82から読み出して実行するソフトウェア実行部31と、一時領域82を含むHDD13cに記録された情報を読み出す読出部32と、を備えるユーザ端末1cとして機能する。
【0036】
ここで、サービスとは、ユーザ端末1cまたはサービス提供サーバにおいて実行されるソフトウェアによって提供される機能である。サービスの提供の形態としては、ユーザ端末1cにダウンロードされたソフトウェアがユーザ端末1cによって実行されることでサービスが提供される形態や、サービス提供サーバにおいて主要な処理が行われ、ユーザ端末1cではサーバから受信した処理結果の表示を主に担うソフトウェアが実行される形態等が用いられてよい。
【0037】
また、一時領域82とは、ユーザ端末1cの起動または終了に際してRAM12cに蓄積された変換情報が失われることで初期化されるHDD13cにおける一部の領域である。一時領域記録部29は、判定部26によって制限モードが有効であると判定された場合に、オペレーティングシステムによるHDD13cへの書き込みアクセスを横取り(フック)し、一時領域82への書き込みアクセスへ変換することで、HDD13cに書き込まれようとしているデータを一時領域82に記録する。そして、変換情報蓄積部30は、変換された書き込みアクセスの変換前のアドレスと変換後のアドレスとの対応関係を示す変換情報を、RAM12cに蓄積する。
【0038】
また、制限モードとは、ユーザ端末1cにおいてセキュリティを確保するための機能が有効となっている状態であり、セキュリティを確保しつつ様々な作業環境を提供するために、複数種類の制限モードが提供される。
【0039】
管理サーバ1sの制限モード定義情報蓄積部44は、識別情報に係る情報処理端末に所定の作業環境を構築するためのソフトウェアの組み合わせ、または識別情報に係るユーザに所定のサービスを提供するためのソフトウェアの組み合わせを含む、制限モード定義情報を蓄積する。
【0040】
図3Aおよび図3Bは、本実施形態におけるソフトウェア情報テーブル50A、50Bの構成を示す図である。ソフトウェア情報テーブル50A、50Bには、ソフトウェア蓄積部46によって蓄積されたソフトウェアを識別するためのソフトウェア識別子51と、ソフトウェア名称52と、管理サーバ1sにおけるソフトウェア本体の保存位置を示すファイルパス53と、を含むソフトウェア情報が蓄積される。なお、本実施形態において、ソフトウェア情報テーブル50Aには、残留防止の対象となるソフトウェア、即ち、ユーザ端末1cの利用終了後に、ユーザ端末1cのHDD13c上に残されないソフトウェアの情報が蓄積される。これに対して、ソフトウェア情報テーブル50Bには、残留防止の対象とならないソフトウェア、例えば、オペレーティングシステムの更新ファイルや、セキュリティ対策ソフトウェアの更新ファイル、ウィルス定義ファイル等、セキュリティの観点上システムに残すことが好ましいソフトウェアの情報が蓄積される。
【0041】
また、図4は、本実施形態における認証情報テーブル60の構成を示す図である。認証情報テーブル60には、認証を受けるユーザまたはユーザ端末1cを識別するための認証識別子61と、認証識別子61によって認証されるユーザまたは端末の名称62と、認証に用いられるパスワード等が含まれる認証符号63と、を含む認証情報が蓄積される。
【0042】
図5は、本実施形態における制限モード定義情報テーブル70の構成を示す図である。制限モード定義情報テーブル70には、制限モード識別子71と、制限モード名称72と、この制限モードで使用が許可されるソフトウェアのソフトウェア識別子51がリストされるソフトウェアリスト73と、この制限モードの使用が許可されるユーザまたは端末の認証識別子61がリストされる認証リスト74と、この制限モードの使用が許可される期限を示す制限モード有効期限75と、を含む制限モード定義情報が蓄積される。ユーザは、提示された複数種類の制限モード定義情報から、所望の制限モード定義情報を選択することで、この定義情報に応じた作業環境の提供を受けることが出来る。
【0043】
図6は、本実施形態における記憶領域80の構成を示す図である。ユーザ端末1cのHDD13c上に確保された記憶領域80には、制限モードフラグ81および一時領域82が含まれ、制限モードフラグ81には、制限モード設定部24によって、制限モードが有効であることを示す値(例えば、「1」)、または制限モードが無効となっていることを示す値(例えば、「0」)が書き込まれる。また、一時領域82は、制限モードが有効となっている間に、アドレス変換によってHDD13cへの書き込みアクセスがリダイレク
トされる領域である。即ち、制限モードが有効となっている間、原則としてデータは一時領域82に記録される。
【0044】
図7は、本実施形態におけるアドレス変換テーブル90を示す図である。アドレス変換テーブル90には、一時領域82への書込み時の変換元アドレス91と変換先アドレス92との対応関係が蓄積される。アドレス変換テーブル90に蓄積された情報は、一時領域82からの情報の読み出し時に参照される。なお、本実施形態では、アドレス変換は、対応表を参照することで変換元アドレス91に対応する変換先アドレス92を取得することとしているが、これに代えて、変換元アドレス91を所定の計算式を用いて変換することで、変換先アドレス92を取得することとしてもよい。
【0045】
図8は、本実施形態に係る制限モード定義情報を作成する処理の流れを示すフローチャートである。本フローチャートに示された処理は、管理サーバ1sまたは管理サーバ1sにログインした管理者端末1aにおいて、管理者によって制限モード定義情報の作成開始を指示する入力が行われたことを契機として開始される。
【0046】
ステップS101からステップS103では、制限モード定義情報を作成するにあたってユーザに選択させるための各種情報が読み出され、これらの情報が、管理サーバ1sまたは管理者端末1aのディスプレイに表示される。管理サーバ1sは、予め準備されたソフトウェア情報をソフトウェア情報テーブル50A、50Bから読み出し、認証情報を認証情報テーブル60から読み出す。そして、管理サーバ1sは、読み出されたソフトウェア情報および認証情報を、管理サーバ1sに接続されたディスプレイ、または管理サーバ1sに接続された管理者端末1aのディスプレイに表示する。
【0047】
図9は、本実施形態においてディスプレイに表示される制限モード定義情報作成インターフェース100のイメージを示す図である。制限モード定義情報作成インターフェース100は、作成される制限モード定義情報に係る制限モードの名称が入力される名称入力欄101と、ステップS101で読み出されたソフトウェア情報が選択される選択可能ソフトウェア表示欄102と、選択された1または複数のソフトウェアが表示される選択済みソフトウェア表示欄103と、選択したいソフトウェアを選択済みソフトウェアに追加する追加ボタン104aと、選択済みソフトウェアを削除する削除ボタン104dと、ステップS102で読み出された認証情報が選択される選択可能認証情報表示欄105と、選択された1または複数の認証情報が表示される選択済み認証情報表示欄106と、選択したい認証情報を選択済み認証情報に追加する追加ボタン107aと、選択済み認証情報を削除する削除ボタン107dと、作成される制限モード定義情報の有効期限を入力する有効期限入力欄108と、入力または選択内容を確定して新規制限モード定義情報を作成する新規作成ボタン109と、を有する。
【0048】
ステップS104では、制限モード定義情報を作成するにあたって必要な情報の入力および選択が受け付けられる。管理サーバ1sは、ディスプレイに表示された制限モード定義情報作成インターフェース100を介して行われる入力操作および選択操作を受け付けることで、制限モードの名称、ソフトウェア、認証情報および有効期限の入力または選択を受け付ける。
【0049】
即ち、管理者は、制限モード定義情報を作成するにあたって、ディスプレイに表示された制限モード定義情報作成インターフェース100を見ながら、キーボード、マウス等の入力装置を用いて、制限モードの名称の入力、ソフトウェアの選択、認証情報の選択、および有効期限の入力を行う。ここで、ソフトウェアおよび認証情報は、複数選択されてもよい。本実施形態では、ドロップダウンメニューを用いて表示されたソフトウェアまたは認証情報が、追加ボタン104a、107aの押下によって選択状態となる。選択状態に
ある選択済みソフトウェア/認証情報は、選択済みソフトウェア/認証情報表示欄103、106に表示され、新規作成ボタン109の押下によって確定される。その後、処理はステップS105へ進む。
【0050】
ステップS105では、制限モード定義情報が作成される。管理サーバ1sは、ステップS104で入力または選択された情報を、制限モード名称72、ソフトウェアリスト73、認証リスト74および制限モード有効期限75として含む制限モード定義情報を作成し、制限モード定義情報テーブル70に蓄積する。この際、管理サーバ1sは、制限モード定義情報を識別するための一意の識別子を生成し、制限モード識別子71として制限モード定義情報に保持させる。識別子は、例えば、作成日時等を含む識別子とすることが出来る。その後、本フローチャートに示された処理は終了する。
【0051】
即ち、本フローチャートに示された処理によれば、管理者は、ユーザに提供したい作業環境および適用したいセキュリティに応じた制限モードを、簡易に作成することが出来る。なお、ここで制限モード定義情報の生成が成功した場合に、制限モード定義情報が正常に作成された旨をユーザに伝えるためのメッセージが表示されることとしてもよい。また、管理者は、制限モード定義情報を複数作成することが出来る。異なるソフトウェア識別子51と認証識別子61との組み合わせによる制限モード定義情報を生成しておくことで、ソフトウェアの選択および該ソフトウェアを利用できるユーザの限定を、制限モードを選択させるのみで行うことが出来る。
【0052】
例えば、ファイルサーバへアクセスするためのソフトウェアと、アクセスを許可したいユーザを制限モード定義情報に設定しておくことで、限定されたユーザ間でのデータ共有が可能となる。
【0053】
図10Aおよび図10Bは、本実施形態における制限モード制御処理の流れを示すフローチャートである。本フローチャートに示された処理は、システムの起動に伴って開始される。なお、本フローチャートに示された処理では、制限モードフラグ81が操作され、制限モードフラグ81の状態に基づいて処理の流れが決定される。はじめに、起動時において制限モードフラグ81が有効でない(または、無効である)場合の処理の流れについて説明する。なお、本実施形態では、OS等のシステムプログラムはHDD13cより読み出されることとしているが、システムプログラムの少なくとも一部をROM、DVD等の書換不可能な記憶装置に記録しておき、システム起動時に毎回展開させることで、プログラムの改変を抑止してもよい。
【0054】
ステップS201およびステップS202では、システムの起動処理および制限モードフラグ81の判定が行われる。判定部26は、システムの起動後、HDD13cに保存された制限モードフラグ81を参照し、制限モードフラグ81が制限モード有効を示す値に設定されているか否かを判定する。制限モードフラグ81が制限モード有効を示す値に設定されていると判定された場合、処理はステップS221へ進み(図10Bを参照)、以降、制限モードフラグ81が無効に設定されるまで、システムは制限モードで動作する。制限モードフラグ81が制限モード有効を示す値に設定されていない(または、無効を示す値に設定されている)と判定された場合、処理はステップS203へ進み、以降、制限モードフラグ81が有効に設定されるまで、システムは非制限モードで動作する。
【0055】
ステップS203およびステップS204では、認証情報に基づいた認証処理が行われる。ユーザ端末1cは、ユーザ端末1cのディスプレイ16cに認証インターフェース(図示は省略する)を表示し、識別情報送信部21は、このインターフェースを介してユーザによって入力された認証情報(例えば、ユーザ名称とパスワード等)を、管理サーバ1sへ送信する(ステップS203)。管理サーバ1sの識別情報受信部42は、送信され
た認証情報を、ネットワーク2を介して受信し、認証部41は、受信された認証情報と予め認証情報テーブル60に保持されている認証情報とを比較することで、ユーザ端末1cまたはユーザ端末1cを使用しているユーザを認証する(ステップS204)。
【0056】
より具体的には、管理サーバ1sの認証部41が、受信された認証情報に含まれるユーザまたは端末の名称62または認証識別子61を検索キーとして認証情報テーブル60を検索し、抽出された認証情報の認証符号63と受信された認証情報に含まれるパスワード等を比較することで、認証が行われる。なお、本実施形態では、ユーザによって入力された認証情報を送信することとしているが、これに代えて、予め設定された認証情報が、ユーザ端末1cの起動時に自動的に送信されることとしてもよい。その後、処理はステップS205へ進む。なお、認証処理は、ワンタイムパスワードや、秘密鍵と公開鍵を用いた認証処理等、実施の形態に応じて採用された認証プロトコルを用いた認証処理であってよい。
【0057】
ステップS205からステップS207では、制限モード定義情報の送受信が行われる。管理サーバ1sの制限モード定義情報送信部43は、ステップS204で認証されたユーザまたはユーザ端末1cの認証識別子61を検索キーとして制限モード定義情報テーブル70を検索することで、認証に係る制限モード定義情報を抽出する(ステップS205)。ここで、制限モード定義情報送信部43は、管理サーバ1sの内蔵時計(図示は省略する)に基づく日時情報と、制限モード定義情報に含まれる有効期限75とを比較し、有効期限を超過している(期限切れの)制限モード定義情報は、抽出の結果に含ませない。そして、制限モード定義情報送信部43は、抽出された制限モード定義情報をユーザ端末1cへ送信し(ステップS206)、ユーザ端末1cの制限モード定義情報受信部22は、ネットワーク2を介して制限モード定義情報を受信する(ステップS207)。その後、処理はステップS208へ進む。
【0058】
ステップS208では、ステップS207で受信された制限モード定義情報が複数あるか否かが判定される。複数の制限モード定義情報が受信されたと判定された場合、処理はステップS209へ進む。受信された制限モード定義情報が複数ではない(単一である)と判定された場合、処理はステップS210へ進む。
【0059】
ステップS209では、受信された制限モード定義情報が複数ある場合に、ユーザによる選択が受け付けられる。受付部23は、受信された複数の制限モード定義情報に基づいて、複数の制限モード定義情報のうち、このユーザ端末1cに提供する制限モード定義情報をユーザに選択させるための制限モード定義情報選択インターフェース110をディスプレイ16cに表示する。
【0060】
図11は、本実施形態においてディスプレイ16cに表示される制限モード定義情報選択インターフェース110のイメージを示す図である。制限モード定義情報選択インターフェース110は、ユーザに対する制限モードについての説明を含むメッセージ表示欄111と、制限モード名称72および有効期限75が表示される制限モード選択ボタン112と、を有する。マウス18c等の入力装置を用いてユーザは制限モード選択ボタン112をクリックすることで、所望の制限モードを選択することが出来る。受付部23は、制限モード定義情報インターフェースを介して、ユーザによる制限モード定義情報の選択を受け付ける。その後、処理はステップS210へ進む。
【0061】
ステップS210では、ソフトウェア識別子51が送信される。ユーザ端末1cのソフトウェア受信部28は、制限モード定義情報のソフトウェアリスト73に含まれるソフトウェアのうち、残留防止の対象とならないソフトウェア、即ち、制限モードが有効であるか否かに拘らずユーザ端末1cのHDD13c上に残されるべきソフトウェアの識別子を
送信する。ここで、残留防止とは、データを一時領域82へ記録することで、端末へのデータの残留を防止することをいう。残留防止の対象とならないソフトウェアとは、例えば、オペレーティングシステムの更新ファイルや、セキュリティ対策ソフトウェアの更新ファイル、ウィルス定義ファイル等、セキュリティの観点上システムに残すことが好ましいソフトウェアである。これらの残留防止の対象とならないソフトウェアを識別する方法としては、本実施形態における、残留防止の対象とならないソフトウェアの情報が蓄積されるソフトウェア情報テーブル50Bを用いる方法の他に、予めユーザ端末1cにおいて設定しておく方法や、管理サーバ1sに保持されるソフトウェア情報や制限モード定義情報に残留防止の対象とするか否かを判別するためのフラグを含ませる方法等が採用されてよい。その後、処理はステップS211へ進む。
【0062】
ステップS211およびステップS212では、管理サーバ1sによってソフトウェア識別子51が受信され、ソフトウェア本体が送信される。管理サーバ1sのソフトウェア送信部45は、ユーザ端末1cより送信されたソフトウェア識別子51を受信し(ステップS211)、受信されたソフトウェア識別子51を検索キーとしてソフトウェア情報テーブル50Bを検索することで、ユーザ端末1cより要求されたソフトウェアの本体が保存されている場所(ここでは、管理サーバ1sにおけるファイルパス53)を取得する。そして、ソフトウェア蓄積部46によって蓄積されているソフトウェア本体を読み出し、ユーザ端末1cへ送信する(ステップS212)。その後、処理はステップS213へ進む。
【0063】
ステップS213では、ソフトウェア本体が受信される。ユーザ端末1cのソフトウェア受信部28は、管理サーバ1sから送信されたソフトウェアを受信し、HDD13cに保存する。なお、ここで受信されたソフトウェアが保存されるHDD13c上の領域は、残留防止のために用いられる一時領域82ではない。その後、処理はステップS214へ進む。
【0064】
ステップS214およびステップS215では、制限モードフラグ81が設定され、制限モード定義情報が保存される。制限モード設定部24は、HDD13c上の制限モードフラグ81に、制限モードが有効であることを示す値を設定し(ステップS214)、HDD13cに、ステップS209で選択された制限モード定義情報(ステップS207で受信された制限モード定義情報が1つであった場合には、その制限モード定義情報)を保存する(ステップS215)。即ち、これらのステップでは、ユーザ端末1cの再起動後に用いる情報が、不揮発性記憶装置であるHDD13cに記録される。これによって、ユーザ端末1cの再起動後も制限モードが継続され、また、再起動後に参照される制限モード定義情報が維持される。その後、処理はステップS216へ進む。
【0065】
ステップS216およびステップS217では、ユーザ端末1cのオペレーティングシステムにおけるユーザ権限が変更され、ユーザ端末1cが再起動される。権限設定部25は、次回起動時のユーザが、ユーザ端末1cへのソフトウェアのインストールやシステムへの変更を行う権限を有さないユーザ(以降、「制限ユーザ」と称する)となるように、オペレーティングシステムの設定を強制的に変更する(ステップS216)。より具体的には、権限設定部25は、ユーザ端末1cのオペレーティングシステム起動用設定ファイル(レジストリ等)内のオペレーティングシステム起動時ログインユーザを、管理者権限を持たない制限ユーザへ強制的に書き換える。その後、システムの再起動が開始され(ステップS217)、本フローチャートに示された処理は終了する。
【0066】
システムが再起動すると、再びステップS201からの処理が実行される。再起動したシステムは、制限ユーザで動作する。また、制限モードフラグ81はステップS214で制限モードに設定されているため、ステップS202における判定処理では、制限モード
フラグ81が制限モード有効を示す値に設定されていると判定される。
【0067】
次に、図10Bを参照して、ステップS202で制限モードフラグ81が制限モード有効を示す値に設定されていると判定された場合の以降の処理の流れ、即ちシステムが制限モードで動作する場合の処理の流れを説明する。
【0068】
ステップS221では、残留防止機能が有効化される。ユーザ端末1cの一時領域確保部27は、ステップS202で制限モードフラグ81が有効であると判断されたことを受けて、RAM12c上の残留防止機能フラグに残留防止機能が有効であることを示す値を設定し、一時領域82の確保および初期化を行うことで、残留防止機能を有効化する。残留防止機能フラグは、後述する残留防止処理において参照されることで、残留防止機能が有効であるか無効であるかを判定するための基準となる。また、一時領域82は、一時領域82のアドレスの書き込みアドレスを示すポインタを一時領域82(図6を参照)の先頭アドレスとすることで初期化される。その後、処理はステップS222へ進む。
【0069】
ステップS222では、ソフトウェア識別子51が送信される。ユーザ端末1cのソフトウェア受信部28は、ステップS215でHDD13cに保存された制限モード定義情報のソフトウェアリスト73に含まれるソフトウェアのうち、残留防止の対象となるソフトウェア、即ち、ユーザ端末1cの利用終了後に、ユーザ端末1cのHDD13c上に残されないソフトウェアの識別子を送信する。残留防止の対象となるソフトウェアを識別する方法としては、本実施形態における、残留防止の対象となるソフトウェアの情報が蓄積されるソフトウェア情報テーブル50Aを用いる方法の他に、予めユーザ端末1cにおいて設定しておく方法や、管理サーバ1sに保持されるソフトウェア情報や制限モード定義情報に残留防止の対象とするか否かを判別するためのフラグを含ませる方法等が採用されてよい。その後、処理はステップS223へ進む。
【0070】
ステップS223およびステップS224では、管理サーバ1sによってソフトウェア識別子51が受信され、ソフトウェア本体が送信される。処理の詳細はステップS211およびステップS212と概略同様であるため、説明を省略する。その後、処理はステップS225へ進む。
【0071】
ステップS225では、ソフトウェア本体が受信される。ユーザ端末1cのソフトウェア受信部28は、管理サーバ1sから送信されたソフトウェア本体を受信し、ステップS221で初期化された一時領域82に保存する。即ち、ここで受信されたソフトウェア本体は、ユーザ端末1cの使用終了時または再起動時に、ユーザ端末1cから失われる。その後、処理はステップS226へ進む。
【0072】
ステップS226およびステップS227では、ソフトウェアが起動され、制限モード離脱インターフェース120が表示される。ユーザ端末1cのソフトウェア実行部31は、ステップS213およびステップS225で受信しHDD13cに記録したソフトウェア本体を、RAM12cに読み出し、CPU11cに実行させることでソフトウェアを起動する(ステップS226)。即ち、この時点で、ソフトウェアの機能が情報処理端末を使用するユーザに提供され、ユーザはユーザ端末1cにおいて動作する各種ソフトウェアを用いて作業を行うことが可能となる。そして、ユーザ端末1cは、ユーザが制限モードでの作業を終了する際の終了操作を受け付けるための制限モード離脱インターフェース120をディスプレイ16cに表示する(ステップS227)。その後、本フローチャートに示された処理は終了する。なお、制限モード離脱インターフェース120を起動するためのソフトウェアは、ソフトウェア情報テーブル50Aに登録され、ステップS225で受信されるソフトウェアであってもよい(以下、制限モード離脱インターフェース120を表示させるためのソフトウェアを「離脱インターフェース提供ソフトウェア」と称する
)。この場合、制限モード離脱インターフェース120は、ステップS226のソフトウェア起動処理において表示されるため、ステップS227の処理は不要となる。また、この場合、離脱インターフェース提供ソフトウェアは一時領域82に記録され、ユーザ端末1cに残らない。このため、離脱インターフェース提供ソフトウェアを制限モード定義情報テーブル70に登録するタイミングを調整することで、管理者は、制限モードから離脱可能な時期をコントロールすることが出来る。より具体的には、管理者は、ユーザ端末を常に制限モードで動作させたい時期には制限モード定義情報テーブル70に離脱インターフェース提供ソフトウェアを登録しないことで、ユーザの故意または過失による不要な制限モード離脱や環境変更等を防止することが出来る。
【0073】
図12は、本実施形態においてディスプレイ16cに表示される制限モード離脱インターフェース120のイメージを示す図である。制限モード離脱インターフェース120は、現在ユーザ端末1cのシステムが制限モードで動作していることを通知するメッセージ121と、非制限モードへ復帰する(制限モードを離脱する)ことを指示するための復帰ボタン122と、を有する。ユーザは、ユーザ端末1cに備えられたポインティングデバイス等の入力装置を操作して、復帰ボタン122をクリックすることで、制限モードでの作業を終了し、非制限モードへ移行することの指示を行う。
【0074】
ステップS226におけるソフトウェアの起動以降、ユーザによる復帰ボタン122のクリックが検知されるまで、ユーザ端末1cは制限モード下で動作し、ユーザは、ユーザ端末1cにおいて起動された各種ソフトウェアを用いて作業を行うことが可能である。そして、本実施形態によれば、ユーザ端末1cのOSが制限ユーザで動作し、且つ残留防止機能が動作していることによって、ユーザによるソフトウェアのインストールやシステムへの変更が制限され、更に、作成または変更したデータが再起動後にHDD13cに残留することが制限される。
【0075】
図13は、本実施形態における非制限モード移行処理の流れを示すフローチャートである。本フローチャートに示された処理は、ユーザによる非制限モードへの移行指示が検知されたことを契機として開始される。ユーザ端末1cは、上記制限モード離脱インターフェース120を介したユーザ操作に基づく非制限モードへの移行指示を受け付け(ステップS301)、HDD13c上の制限モードフラグ81に、制限モードが無効であることを示す値を設定する(ステップS302)。なお、制限モードフラグ81への書き込みについては、残留防止機能によるアドレス変換が行われない。具体的には、後述する残留防止処理において、一時領域記録部29は、書き込みアドレスが制限モードフラグ81を示すアドレスである場合のみ、アドレス変換を行わずにHDD13cへ書き込む。このようにすることで、残留防止機能が有効となっている状態でも、制限モードからの離脱を行うことを可能としている。
【0076】
その後、ユーザ端末1cは再起動し(ステップS303)、上記ステップS201からの処理が実行される。このとき、ステップS202において制限モードフラグ81が有効を示す値に設定されていないと判定されるため、処理はステップS203へ進み、以降、制限モードフラグ81が有効に設定されるまで、システムは非制限モードで動作する。
【0077】
なお、制限モードでは、ユーザが管理者権限を有さないユーザに変更されているが(ステップS216を参照)、ユーザ設定は、制限モード離脱後の再起動後に、ユーザ操作によって、または自動的に、変更前のユーザに戻されることとしてもよい。
【0078】
図14は、本実施形態における残留防止処理の流れを示すフローチャートである。本フローチャートに示された処理は、OSによる、HDD13cからの読出アクセス、またはHDD13cへの書込アクセスが発生したことを契機として開始される。
【0079】
ステップS401およびステップS402では、OSによるHDDアクセスが横取りされ(フックされ)、残留防止機能フラグが有効に設定されているか否かが判定される。ユーザ端末1cの一時領域記録部29は、OSによるHDDアクセスが発生すると、このアクセスを横取りし、RAM12c上の残留防止機能フラグを参照する。ここで、残留防止機能フラグに残留防止機能が有効であることを示す値が設定されている場合、処理はステップS404へ進む。残留防止機能フラグに残留防止機能が有効であることを示す値が設定されていない場合、処理はステップS403へ進む。
【0080】
ステップS403では、HDD13cへのアクセスが行われる。残留防止機能が有効でないため、一時領域記録部29は、HDD13cへの通常の読出または書込アクセスを許可する。ここで読出または書込が行われるHDD13c上の領域は、一時領域82以外の領域である。例えば、上述したステップS213において受信されたソフトウェア本体(オペレーティングシステムの更新ファイルや、セキュリティ対策ソフトウェアの更新ファイル、ウィルス定義ファイル等)のHDD13cへの書込み処理は、残留防止機能が有効でない状態で行われるため、本ステップの処理に従って行われる。本ステップでHDD13cに書込みされたデータは、制限モードの終了処理やユーザ端末1cの再起動によっても失われないため、システムの更新ファイル等、制限モードの有効無効に拘らず失われないことが好ましいデータは、残留防止機能フラグが有効となっていない状態でHDD13cに書込みされることが好ましい。その後、本フローチャートに示された処理は終了する。
【0081】
ステップS404では、アクセスの種類が判定される。一時領域記録部29は、残留防止機能フラグが有効である場合、横取りされたアクセスの種類が書込みアクセスであるか否かを判定する。アクセスの種類が書込みアクセスである場合、処理はステップS405へ進む。アクセスの種類が書込みアクセスでない場合、処理はステップS407へ進む。
【0082】
ステップS405およびステップS406では、一時領域82への書込みが行われ、アドレス変換テーブル90が更新される。一時領域記録部29は、HDD13c上に確保された一時領域82のうち、書込アドレスポインタが示す書込みアドレスに、横取りされた書込アクセスに係るデータを記録する(ステップS405)。そして、変換情報蓄積部30は、横取りされた書込みアクセスにおいてOSが示していた書込み先アドレス(変換元アドレス91)と、実際にデータが書き込みされたアドレス(変換先アドレス92)と、を関連付けてRAM12c上のアドレス変換テーブル90に蓄積する(ステップS406)。ここで、変換先アドレス92は、一時領域82への書込み時に、書込アドレスポインタが示していたアドレスである。更に、一時領域記録部29は、書き込みされたデータのサイズに従って、書込アドレスポインタを更新する。その後、本フローチャートに示された処理は終了する。
【0083】
ステップS407からステップS409に示された処理は、残留防止機能が有効である場合の、HDD13cからの読出アクセス処理である。読出部32は、オペレーティングシステムより横取りされた読出アクセスの読出アドレスに基づいてアドレス変換テーブル90を検索することで、この読出しアドレスが、アドレス変換テーブル90の変換元アドレス91として登録されているか否か、即ち、オペレーティングシステムから要求されたデータが、一時領域82に記録されているか否かを判定する(ステップS407)。OSの示すアドレスがアドレス変換テーブル90から抽出された場合、処理はステップS408へ進む。OSの示すアドレスがアドレス変換テーブル90から抽出されない場合、処理はステップS409へ進む。
【0084】
ステップS408では、データが一時領域82から読み出される。読出部32は、OS
より要求されたデータを、ステップS407で抽出された変換先アドレス92にアクセスすることで読み出す。即ち、本フローチャートに示す処理によれば、データの書込みおよび読出しが一時領域82に対して行われていることをOSに意識させることなく、一時領域82に対するデータの書込みおよび読出しを行うことができる。その後、本フローチャートに示された処理は終了する。
【0085】
ステップS409では、データがHDD13cから読み出される。読出部32は、OSより要求されたデータを、OSより指示された読出アドレスにアクセスすることで読み出す。本ステップに係る読出し処理が行われるのは、制限モード下で記録されたデータを除くデータの読出し要求が行われた際である。その後、本フローチャートに示された処理は終了する。
【0086】
OSのHDD書込アクセスにおける書込先を一時領域82に変換するためのアドレス変換テーブル90は、RAM12c上に確保されているため、再起動によって失われる。即ち、制限モード中にHDD13cに書き込まれた情報は、再起動後に、記録位置(アドレス)が失われることによって、アクセス困難となる。このため、制限モード下で万一ウィルスに感染する、不適切なソフトウェアがインストールされる等の事態が発生した場合であっても、再起動後にOSはこれらのソフトウェアにアクセスすることが出来ず、システムは安全な状態に保たれる。更に、一時領域82の書き込みアドレスを示すポインタが一時領域82の先頭に初期化されることで(ステップS221)、既に一時領域82に書き込まれた情報は、以降の一時領域82への書き込みで上書きされ、HDD13cから書き込まれた情報自体を消すことができる。
【0087】
なお、OSのファイル管理テーブルを参照せずにHDD13c上の情報を直接参照する等の方法で制限モード下において書き込まれた情報が取得されてしまうことを防止するために、制限モード下でHDD13cに書き込まれる情報を暗号化する方法や、制限モード下でHDD13cに書き込まれた情報をランダムな情報で上書きする方法等が採られてもよい。
【0088】
より具体的には、一時領域82へ書き込まれる情報を暗号化し、一時領域82から読み出される情報を復号する暗号処理部(図示は省略する)を介することで、鍵情報が設定された暗号処理部を介さずにHDD13c上の情報を直接参照する方法では情報の内容を知ることが出来ないようにすることが可能である。このとき、暗号化に用いられる暗号鍵は、ユーザによって管理されてもよいし、制限モードに移行するごとに自動生成され、制限モード終了時に破棄されることとしてもよい。制限モード移行ごとに自動生成して制限モード終了時に破棄する方法によれば、ユーザは暗号鍵の管理を意識する必要が無く、制限モード離脱時には制限モード下で一時領域82に書き込まれた情報の取得を非常に困難にすることが可能である。
【0089】
本実施形態にかかる情報処理端末および管理サーバ1sによれば、OSに対して機能制限を行い、プログラムおよびデータを囲い込む一時領域82を用いることで、高いセキュリティを実現し、更に、仮想マシン手法やシンクライアント手法に比べて仮想化やOSのダウンロード等に伴うリソース消費を抑制することで、高いセキュリティと高速なオーバーヘッドとを両立させることが可能である。より具体的には、本実施形態によれば、管理者が用意すべきイメージは、管理サーバ1sに蓄積されるソフトウェアのイメージのみである。このため、本実施形態に係るシステムは、ソフトウェアのイメージに加えてOSのイメージを用意する必要がある仮想マシン手法やシンクライアント手法に比べて、記憶領域や帯域等のリソース面、OSの設定に必要な負荷の面で有利である。また、仮想マシン処理を介さないため、仮想マシン手法に比べて処理も軽く、快適な作業環境を用意に構築することが可能である。特に、一時領域82は断片化されていない連続的記憶領域である
ため、本実施形態の制限モードは、断片化されたHDDにアクセスする一般の環境に比べても、全体として高速に動作する。
【0090】
<第二の実施形態>
上記した第一の実施形態では、離脱インターフェース120を起動するための離脱インターフェース提供ソフトウェアを、ソフトウェア情報テーブル50Aに登録されることで一時領域82に記録されて実行されるソフトウェアの一つとし、離脱インターフェース提供ソフトウェア制限モード定義情報テーブル70に登録するタイミングを調整することで、制限モードから離脱可能な時期を管理者が制御することが説明されている。ここで、第二の実施形態では、ユーザの故意や過失による、好ましくない制限モード離脱や環境変更等を防止するために、離脱インターフェース提供ソフトウェアの提供時期をより詳細に制御する場合の実施の形態について説明する。なお、本実施形態に係るユーザ端末管理システムの構成は、第一の実施形態において説明したユーザ端末管理システムと概略同様であるため、以下では、主として第一の実施形態と異なる部分についてのみ説明し、第一の実施形態と同様の構成については、同一の符号を用いて説明する。
【0091】
図15は、第二の実施形態における制限モード定義情報テーブル170の構成を示す図である。制限モード定義情報テーブル170に蓄積される制限モード定義情報には、第一の実施形態において用いられる制限モード定義情報が含む制限モード識別子71、制限モード名称72、ソフトウェアリスト73、認証リスト74、および制限モード有効期限75に加えて、ソフトウェア条件リスト76が含まれる。ソフトウェア条件リスト76は、ソフトウェアリスト73に挙げられたソフトウェアの配信条件を定める条件情報の識別子(以下、条件識別子154と称する)が1または複数設定されたリストである。ユーザは、提示された複数種類の制限モード定義情報から、所望の制限モード定義情報を選択することで、この定義情報に応じた作業環境の提供を受けることが出来る。
【0092】
図16は、第二の実施形態における条件情報テーブル150の構成を示す図である。条件情報テーブル150には、条件識別子154と、具体的な条件を定義する条件155と、を含む条件情報が蓄積される。管理サーバ1sは、制限モードまたは配信対象のソフトウェアに対して条件が設定されている場合、条件識別子154を用いて条件情報を特定し、現在の状態がこの条件155に合致するか否かを判定することで、ソフトウェアの配信可否等を判断する。
【0093】
条件155に設定される具体的な内容は、特に制限されない。例えば、配信可能期間の他にも、ユーザ端末1cを特定する特定情報、配信可能なユーザ端末のMAC(Media Access Control)アドレス、IP(Internet Protocol)アドレス、ユーザ端末1cの位置情報、等を条件155に設定することが出来る。図16に示された例では、condition1には、現在時刻が2007年5月2日23時00分より後であり且つ2007年5月3日23時00分より前であることが条件として設定されており、condition2には、ユーザ端末のMACアドレスが、AA−BB−CC−DD−EE−00より後であり且つAA−BB−CC−DD−EE−FFより前であることが条件式の形式で設定されている。また、条件155には、複数の異なる種類の条件式と共に、条件式同士のAND(論理積)やOR(論理和)を設定することとしてもよい。複数種類の情報をANDやORで組み合わせて判断することで、より複雑な条件155を設定することが可能である。
【0094】
本実施形態においても、制限モード定義情報は、第一の実施形態の説明において、図8のフローチャートを示して説明した処理と同様の処理で作成される。但し、本実施形態では、図8に示したステップS104に相当する処理において、管理サーバ1sは、制限モードの名称、ソフトウェア、認証情報および有効期限に加えて、ソフトウェア配信条件の
入力または選択を受け付ける。ソフトウェア配信条件が新たに入力されると、管理サーバ1sは、入力された内容に従った条件情報を生成して条件識別子154を設定して条件情報テーブルに蓄積する。また、管理者は、条件識別子154や条件情報の名称等を選択することで、既に条件情報テーブルに蓄積されている条件情報から、適切な条件情報を選択することが出来る。
【0095】
管理サーバ1sは、入力または選択された情報を、制限モード名称72、ソフトウェアリスト73、ソフトウェア条件リスト76、認証リスト74および制限モード有効期限75として含む制限モード定義情報を作成し、制限モード定義情報テーブル170に蓄積する。
【0096】
次に、本実施形態における、制限モード制御処理の流れを説明する。ユーザ端末1cの起動から、制限モードフラグ81が有効でない場合に、制限モードフラグ81が有効化されて再起動するまでの処理(ステップS201からステップS217までの処理)、および再起動から、残留防止機能が有効化されるまでの処理(ステップS201、S202、およびS221)の流れは、図10Aおよび図10Bを用いて説明した第一の実施形態と概略同様であるため、説明を省略する。
【0097】
図17は、第二の実施形態における制限モード制御処理の流れを示すフローチャートである。なお、上述の通り、制限モード制御処理のうち、ユーザ端末1cの起動から制限モードフラグ81が有効化されて再起動するまでの処理の流れについては、図10Aに示したものと概略同様であるため、図示を省略する。図17には、制限モード制御処理のうち、図10Aに示した端子B以降の処理の流れを示す。
【0098】
ステップS222bでは、ユーザ端末1cによって制限モード識別子71が送信される。ユーザ端末1cのソフトウェア受信部28は、HDD13cに保存された制限モード定義情報の制限モード識別子71を、管理サーバ1sに対して送信する。その後、処理はステップS223bへ進む。
【0099】
ステップS223bおよびステップS224bでは、管理サーバ1sによって制限モード識別子71が受信され、ソフトウェア本体の送信可否が判断される。管理サーバ1sのソフトウェア送信部45は、ユーザ端末1cより送信された制限モード識別子71を受信し(ステップS223b)、受信された制限モード識別子71を検索キーとして制限モード定義情報テーブル170を検索することで、ユーザ端末1cより要求された制限モードで配信されるソフトウェアリスト73を取得する。更に、ソフトウェア送信部45は、受信された制限モード識別子71を検索キーとして制限モード定義情報テーブル170を検索することで、制限モードで配信されるソフトウェアの配信条件であるソフトウェア条件リスト76を取得する。そして、取得されたソフトウェア条件リスト76に挙げられている条件識別子154に基づいて条件情報テーブル150を検索することで、条件を取得し、現在の状態が取得された条件を満たすか否かを判定する(ステップS224b)。即ち、本実施形態では、ユーザ端末1cより要求されたソフトウェアを、このユーザ端末1cへ送信することの可否が判断される。
【0100】
図15および図16に示した例によれば、管理サーバ1sは、制限モード識別子71としてinstance1を受信すると、対応するソフトウェアリスト73、およびソフトウェア条件リスト76を取得する。このソフトウェア条件リスト76には、離脱インターフェース提供ソフトウェア(service6)の送信可否を判断するための条件情報の識別子154であるcondition1が含まれている(図15を参照)。このため、ソフトウェア送信部45は、識別子154がcondition1である条件情報を参照し(図16を参照)、現在時刻が2007年5月2日23時00分より後であり且つ20
07年5月3日23時00分より前であるか否かを判定する。条件判断によって、ソフトウェアの送信が可であると判断された場合、処理はステップS224cへ進む。ソフトウェアの送信が不可であると判断された場合、処理はステップS224dへ進む。
【0101】
ステップS224dでは、ユーザ端末1cより要求されたソフトウェアの全てについて送信可否が判断され、送信可であるソフトウェアの送信が全て完了したか否かが判断される。全ての送信可ソフトウェアの送信が完了したと判断された場合、本フローチャートに示された処理は終了する。送信可否が未だ判断されていないソフトウェアがあり、送信可であるソフトウェアの送信が全て完了していない場合、処理はステップS224bへ進む。即ち、ステップS224bからステップS224dに示された処理は、全ての送信可ソフトウェアの送信が完了するまで繰り返し実行される。
【0102】
ステップS224cでは、管理サーバ1sによってソフトウェア本体が送信される。管理サーバ1sのソフトウェア送信部45は、ステップS224bで送信可と判断されたソフトウェアのソフトウェア識別子51を検索キーとしてソフトウェア情報テーブル50Aを検索することで、送信対象のソフトウェアの本体が保存されている場所を取得する。そして、ソフトウェア蓄積部46によって蓄積されているソフトウェア本体を読み出し、ユーザ端末1cへ送信する。その後、処理はステップS225へ進む。
【0103】
ステップS225およびステップS226では、ソフトウェア本体が受信され、起動される。ユーザ端末1cのソフトウェア受信部28は、管理サーバ1sから送信されたソフトウェア本体を受信し、ステップS221で初期化された一時領域82に保存する(ステップS225)。そして、ユーザ端末1cのソフトウェア実行部31は、ステップS213およびステップS225で受信しHDD13cに記録したソフトウェア本体を、RAM12cに読み出し、CPU11cに実行させることでソフトウェアを起動する(ステップS226)。その後、本フローチャートに示された処理は終了する。
【0104】
なお、本実施形態では、離脱インターフェース提供ソフトウェアは、ソフトウェア情報テーブル50Aに登録され、ステップS225で受信されるソフトウェアであるため、制限モード離脱インターフェース120は、ステップS226のソフトウェア起動処理において表示される。このため、本実施形態では、第一の実施形態で説明したステップS227の処理は不要である。
【0105】
本実施形態に示したユーザ端末管理システムによれば、柔軟な条件設定により、ユーザ端末1cの制限モードからの離脱可否を制御することが可能となり、更には、ユーザの故意や過失による、好ましくない制限モード離脱や環境変更等を防止することが可能となる。
【0106】
<その他の実施形態>
図18は、その他の実施形態におけるソフトウェア情報テーブル50Cの構成を示す図である。上記第二の実施形態において図15を用いて説明した例では、制限モード識別子71各々に定義されたソフトウェアリスト73に対しソフトウェア条件リスト76を設定することで同じソフトウェアを個々の制限モード毎に異なる時間帯で提供できる構成としていた。これに対して、図18に示すように、ソフトウェア識別子51毎にソフトウェア条件リスト54を設定する構成とすると、ソフトウェア条件リスト54を変更するだけで、ソフトウェア毎にサービス提供時間を一括して変更することが可能となる。このような実施形態によれば、何れの制限モードにおいても、同じ時間帯で離脱インターフェース提供ソフトウェアを提供する構成とすることが出来る。
【0107】
図19は、その他の実施形態における制限モード定義情報テーブル270の構成を示す
図である。図19に示した例では、認証リスト74毎に認証条件リスト77が設定される。管理サーバ1sの識別情報受信部42は、利用者の認証が行われるステップS204において、受信した認証情報が認証条件リスト77に挙げられた条件情報を満足するか否かを判定し、条件を満足する場合のみ後段の処理(ステップS205以降の処理)に進む。なお、ここで評価される認証のための条件情報は、図16に示した条件情報テーブル150に、ソフトウェア配信の可否を判断するための条件情報と共に蓄積されてもよい。この構成によれば、制限モード識別子71に定義された利用者グループ単位の認証に加え、利用者個別の認証条件を設定することが出来る。
【0108】
なお、上記第二の実施形態において図15を用いて説明した例では、制限モード毎に制限モード有効期限75を設定することで、制限モードの利用可能期限(寿命)を与える構成としていた。これに代えて、図19に示した例では、制限モード条件リスト78が制限モード毎に設けられる。そして、管理サーバ1sの識別情報受信部42は、ステップ204において、認証情報と共に、または認証情報に含まれた形で、ユーザ端末を特定する特定情報を受信して、受信した特定情報が制限モード条件リスト78に挙げられた条件情報を満足するか否かを判定し、条件を満足する場合のみ後段の処理(ステップS205以降の処理)に進む。ここで、ユーザ端末を特定する特定情報とは、例えば、ユーザ端末のMACアドレスや、ユーザ端末に割り当てられたIPアドレス、ユーザ端末1cに備えられたGPS(Global Positioning System)で取得された位置情報等である。この構成によれば、制限モードの利用可能期限だけではなく、例えばユーザ端末1cのMACアドレスやIPアドレス、位置情報等、ユーザ端末を特定する情報に基づく利用制限を設定することが出来る。
【0109】
例えば、ユーザ端末1cの位置情報がGPS等によって取得された緯度経度情報である場合、ユーザ端末1cは、緯度経度情報を取得する機能を備え、取得した緯度経度情報を、認証情報と共に、または認証情報に含めて管理サーバ1sへ送信する。対応する条件情報(図19のconditionα)の条件155には、緯度経度の範囲が設定されており、例えば、設定された緯度経度の範囲にユーザ端末1cがある場合にのみ、管理サーバ1sは離脱インターフェース提供ソフトウェアを配信する。
【0110】
また、例えば、インターネット接続プロバイダやDHCPサーバ(ローカルエリアネットワーク内のIPアドレス自動割り当てサーバ)等によってユーザ端末1cに割り当てられたIPアドレス情報を、認証情報と共に、または認証情報に含めて管理サーバ1sへ送信することとしてもよい。この場合、対応する条件情報(図19のconditionα)の条件155には、IPアドレスの範囲が設定されており、例えば、設定されたIPアドレスの範囲にユーザ端末1cがある場合にのみ、管理サーバ1sは離脱インターフェース提供ソフトウェアを配信する。
【符号の説明】
【0111】
1 ユーザ端末管理システム
1s 管理サーバ
1c 情報処理端末
21 識別情報送信部
22 制限モード定義情報受信部
24 制限モード設定部
25 権限設定部
26 判定部
27 一時領域確保部
28 ソフトウェア受信部
29 一時領域記録部
30 変換情報蓄積部
31 ソフトウェア実行部
41 認証部
42 識別情報受信部
43 制限モード定義情報送信部
45 ソフトウェア送信部
【特許請求の範囲】
【請求項1】
不揮発性記憶装置を有し、管理サーバと通信可能に接続された情報処理端末であって、
前記不揮発性記憶装置における一部の領域を、該情報処理端末の起動または終了に際して初期化される一時領域として確保する一時領域確保手段と、
該情報処理端末を使用するユーザまたは該情報処理端末を、識別するための識別情報を前記管理サーバに送信する識別情報送信手段と、
前記識別情報に係る情報処理端末またはユーザに応じたソフトウェアを、前記識別情報を受信した前記管理サーバから受信するソフトウェア受信手段と、
前記ソフトウェア受信手段によって受信されたソフトウェアを前記一時領域に記録する一時領域記録手段と、
前記ソフトウェアを前記一時領域から読み出して実行することで、該ソフトウェアの機能を、前記情報処理端末を使用するユーザに提供するソフトウェア実行手段と、
を備える、情報処理端末。
【請求項2】
前記識別情報に係る情報処理端末に所定の作業環境を構築するためのソフトウェアの組み合わせ、または前記識別情報に係るユーザに所定のサービスを提供するためのソフトウェアの組み合わせ、を示すソフトウェアのリストを、前記識別情報を受信した前記管理サーバから受信するソフトウェアリスト受信手段と、
前記ソフトウェアリスト受信手段によって受信された1または複数のリストをユーザに提示し、ユーザによるリストの選択を受け付ける受付手段と、
を更に備え、
前記ソフトウェア受信手段は、前記選択されたリストに含まれるソフトウェアを前記サーバから受信する、
請求項1に記載の情報処理端末。
【請求項3】
前記情報処理端末は、揮発性記憶装置を更に有し、
前記一時領域記録手段は、該情報処理端末のオペレーティングシステムによる前記不揮発性記憶装置への書き込みアクセスを横取りし、該書き込みアクセスの書き込み先アドレスを前記一時領域内のアドレスへ変換することで、前記ソフトウェア受信手段によって受信されたソフトウェアを前記一時領域に記録し、
前記変換された書き込みアクセスの変換前のアドレスと変換後のアドレスとの対応関係を示す変換情報を、前記揮発性記憶装置に蓄積する変換情報蓄積手段を更に備える、
請求項1または2に記載の情報処理端末。
【請求項4】
前記一時領域は、該情報処理端末の起動または終了に際して前記揮発性記憶装置に蓄積された変換情報が失われることで初期化される、
請求項3に記載の情報処理端末。
【請求項5】
ユーザによって使用される情報処理端末であるユーザ端末と通信可能に接続された管理サーバであって、
前記ユーザ端末または該ユーザ端末を使用するユーザを識別するための識別情報を前記ユーザ端末より受信する識別情報受信手段と、
前記識別情報に係るユーザ端末またはユーザに応じたソフトウェアを、該ユーザ端末に送信して、前記ユーザ端末の起動または終了に際して初期化される一時領域に保存させるソフトウェア送信手段と、
を備える、管理サーバ。
【請求項6】
前記識別情報に係る情報処理端末に所定の作業環境を構築するためのソフトウェアの組み合わせ、または前記識別情報に係るユーザに所定のサービスを提供するためのソフトウ
ェアの組み合わせ、を示すソフトウェアのリストを蓄積するソフトウェアリスト蓄積手段と、
前記識別情報に係る情報処理端末またはユーザに応じた前記リストを送信するソフトウェアリスト送信手段と、
を更に備え、
前記ソフトウェア送信手段は、前記ソフトウェアリスト送信手段によって送信された1または複数のリストのうちの、前記ユーザ端末において選択されたリストに基づいて該ユーザ端末より要求されたソフトウェアを、該ユーザ端末に送信する、
請求項5に記載の管理サーバ。
【請求項7】
前記リストは、該リストの有効期限を示す情報に関連付けて蓄積され、
前記ソフトウェアリスト送信手段は、前記識別情報に係る情報処理端末またはユーザに応じた前記リストのうち、有効期限内にある前記リストのみを送信する、
請求項6に記載の管理サーバ。
【請求項8】
前記識別情報受信手段によって受信された識別情報を用いて前記ユーザ端末または該ユーザ端末を使用するユーザを認証する認証手段を更に備え、
前記ソフトウェア送信手段は、認証されたユーザ端末またはユーザに関連付けられたソフトウェアを送信する、
請求項5から7の何れか一項に記載の管理サーバ。
【請求項9】
不揮発性記憶装置を有し、管理サーバと通信可能に接続された情報処理端末が、
前記不揮発性記憶装置における一部の領域を、該情報処理端末の起動または終了に際して初期化される一時領域として確保する一時領域確保ステップと、
該情報処理端末を使用するユーザまたは該情報処理端末を、識別するための識別情報を前記管理サーバに送信する識別情報送信ステップと、
前記識別情報に係る情報処理端末またはユーザに応じたソフトウェアを、前記識別情報を受信した前記管理サーバから受信するソフトウェア受信ステップと、
前記ソフトウェア受信ステップで受信されたソフトウェアを前記一時領域に記録する一時領域記録ステップと、
前記ソフトウェアを前記一時領域から読み出して実行することで、該ソフトウェアの機能を、前記情報処理端末を使用するユーザに提供するソフトウェア実行ステップと、
を実行する、情報処理方法。
【請求項10】
前記情報処理端末は、
前記識別情報に係る情報処理端末に所定の作業環境を構築するためのソフトウェアの組み合わせ、または前記識別情報に係るユーザに所定のサービスを提供するためのソフトウェアの組み合わせ、を示すソフトウェアのリストを、前記識別情報を受信した前記管理サーバから受信するソフトウェアリスト受信ステップと、
前記ソフトウェアリスト受信ステップで受信された1または複数のリストをユーザに提示し、ユーザによるリストの選択を受け付ける受付ステップと、
を更に実行し、
前記ソフトウェア受信ステップでは、前記選択されたリストに含まれるソフトウェアが前記サーバから受信される、
請求項9に記載の情報処理方法。
【請求項11】
ユーザによって使用される情報処理端末であるユーザ端末と通信可能に接続された管理サーバが、
前記ユーザ端末または該ユーザ端末を使用するユーザを識別するための識別情報を前記ユーザ端末より受信する識別情報受信ステップと、
前記識別情報に係るユーザ端末またはユーザに応じたソフトウェアを、該ユーザ端末に送信して、前記ユーザ端末の起動または終了に際して初期化される一時領域に保存させるソフトウェア送信ステップと、
を実行する、情報処理端末の管理方法。
【請求項12】
前記管理サーバは、
前記識別情報に係る情報処理端末に所定の作業環境を構築するためのソフトウェアの組み合わせ、または前記識別情報に係るユーザに所定のサービスを提供するためのソフトウェアの組み合わせ、を示すソフトウェアのリストを蓄積するソフトウェアリスト蓄積ステップと、
前記識別情報に係る情報処理端末またはユーザに応じた前記リストを送信するソフトウェアリスト送信ステップと、
を更に実行し、
前記ソフトウェア送信ステップでは、前記ソフトウェアリスト送信ステップで送信された1または複数のリストのうちの、前記ユーザ端末において選択されたリストに基づいて該ユーザ端末より要求されたソフトウェアが、該ユーザ端末に送信される、
請求項11に記載の管理方法。
【請求項13】
不揮発性記憶装置を有し、管理サーバと通信可能に接続された情報処理端末を、
前記不揮発性記憶装置における一部の領域を、該情報処理端末の起動または終了に際して初期化される一時領域として確保する一時領域確保手段と、
該情報処理端末を使用するユーザまたは該情報処理端末を、識別するための識別情報を前記管理サーバに送信する識別情報送信手段と、
前記識別情報に係る情報処理端末またはユーザに応じたソフトウェアを、前記識別情報を受信した前記管理サーバから受信するソフトウェア受信手段と、
前記ソフトウェア受信手段によって受信されたソフトウェアを前記一時領域に記録する一時領域記録手段と、
前記ソフトウェアを前記一時領域から読み出して実行することで、該ソフトウェアの機能を、前記情報処理端末を使用するユーザに提供するソフトウェア実行手段と、
として機能させる、情報処理プログラム。
【請求項14】
前記情報処理端末を、
前記識別情報に係る情報処理端末に所定の作業環境を構築するためのソフトウェアの組み合わせ、または前記識別情報に係るユーザに所定のサービスを提供するためのソフトウェアの組み合わせ、を示すソフトウェアのリストを、前記識別情報を受信した前記管理サーバから受信するソフトウェアリスト受信手段と、
前記ソフトウェアリスト受信手段によって受信された1または複数のリストをユーザに提示し、ユーザによるリストの選択を受け付ける受付手段と、
を更に機能させ、
前記ソフトウェア受信手段は、前記選択されたリストに含まれるソフトウェアを前記サーバから受信する、
請求項13に記載の情報処理プログラム。
【請求項15】
ユーザによって使用される情報処理端末であるユーザ端末と通信可能に接続された管理サーバを、
前記ユーザ端末または該ユーザ端末を使用するユーザを識別するための識別情報を前記ユーザ端末より受信する識別情報受信手段と、
前記識別情報に係るユーザ端末またはユーザに応じたソフトウェアを、該ユーザ端末に送信して、前記ユーザ端末の起動または終了に際して初期化される一時領域に保存させるソフトウェア送信手段と、
として機能させる、情報処理端末の管理プログラム。
【請求項16】
前記管理サーバを、
前記識別情報に係る情報処理端末に所定の作業環境を構築するためのソフトウェアの組み合わせ、または前記識別情報に係るユーザに所定のサービスを提供するためのソフトウェアの組み合わせ、を示すソフトウェアのリストを蓄積するソフトウェアリスト蓄積手段と、
前記識別情報に係る情報処理端末またはユーザに応じた前記リストを送信するソフトウェアリスト送信手段と、
として更に機能させ、
前記ソフトウェア送信手段は、前記ソフトウェアリスト送信手段によって送信された1または複数のリストのうちの、前記ユーザ端末において選択されたリストに基づいて該ユーザ端末より要求されたソフトウェアを、該ユーザ端末に送信する、
請求項15に記載の管理プログラム。
【請求項1】
不揮発性記憶装置を有し、管理サーバと通信可能に接続された情報処理端末であって、
前記不揮発性記憶装置における一部の領域を、該情報処理端末の起動または終了に際して初期化される一時領域として確保する一時領域確保手段と、
該情報処理端末を使用するユーザまたは該情報処理端末を、識別するための識別情報を前記管理サーバに送信する識別情報送信手段と、
前記識別情報に係る情報処理端末またはユーザに応じたソフトウェアを、前記識別情報を受信した前記管理サーバから受信するソフトウェア受信手段と、
前記ソフトウェア受信手段によって受信されたソフトウェアを前記一時領域に記録する一時領域記録手段と、
前記ソフトウェアを前記一時領域から読み出して実行することで、該ソフトウェアの機能を、前記情報処理端末を使用するユーザに提供するソフトウェア実行手段と、
を備える、情報処理端末。
【請求項2】
前記識別情報に係る情報処理端末に所定の作業環境を構築するためのソフトウェアの組み合わせ、または前記識別情報に係るユーザに所定のサービスを提供するためのソフトウェアの組み合わせ、を示すソフトウェアのリストを、前記識別情報を受信した前記管理サーバから受信するソフトウェアリスト受信手段と、
前記ソフトウェアリスト受信手段によって受信された1または複数のリストをユーザに提示し、ユーザによるリストの選択を受け付ける受付手段と、
を更に備え、
前記ソフトウェア受信手段は、前記選択されたリストに含まれるソフトウェアを前記サーバから受信する、
請求項1に記載の情報処理端末。
【請求項3】
前記情報処理端末は、揮発性記憶装置を更に有し、
前記一時領域記録手段は、該情報処理端末のオペレーティングシステムによる前記不揮発性記憶装置への書き込みアクセスを横取りし、該書き込みアクセスの書き込み先アドレスを前記一時領域内のアドレスへ変換することで、前記ソフトウェア受信手段によって受信されたソフトウェアを前記一時領域に記録し、
前記変換された書き込みアクセスの変換前のアドレスと変換後のアドレスとの対応関係を示す変換情報を、前記揮発性記憶装置に蓄積する変換情報蓄積手段を更に備える、
請求項1または2に記載の情報処理端末。
【請求項4】
前記一時領域は、該情報処理端末の起動または終了に際して前記揮発性記憶装置に蓄積された変換情報が失われることで初期化される、
請求項3に記載の情報処理端末。
【請求項5】
ユーザによって使用される情報処理端末であるユーザ端末と通信可能に接続された管理サーバであって、
前記ユーザ端末または該ユーザ端末を使用するユーザを識別するための識別情報を前記ユーザ端末より受信する識別情報受信手段と、
前記識別情報に係るユーザ端末またはユーザに応じたソフトウェアを、該ユーザ端末に送信して、前記ユーザ端末の起動または終了に際して初期化される一時領域に保存させるソフトウェア送信手段と、
を備える、管理サーバ。
【請求項6】
前記識別情報に係る情報処理端末に所定の作業環境を構築するためのソフトウェアの組み合わせ、または前記識別情報に係るユーザに所定のサービスを提供するためのソフトウ
ェアの組み合わせ、を示すソフトウェアのリストを蓄積するソフトウェアリスト蓄積手段と、
前記識別情報に係る情報処理端末またはユーザに応じた前記リストを送信するソフトウェアリスト送信手段と、
を更に備え、
前記ソフトウェア送信手段は、前記ソフトウェアリスト送信手段によって送信された1または複数のリストのうちの、前記ユーザ端末において選択されたリストに基づいて該ユーザ端末より要求されたソフトウェアを、該ユーザ端末に送信する、
請求項5に記載の管理サーバ。
【請求項7】
前記リストは、該リストの有効期限を示す情報に関連付けて蓄積され、
前記ソフトウェアリスト送信手段は、前記識別情報に係る情報処理端末またはユーザに応じた前記リストのうち、有効期限内にある前記リストのみを送信する、
請求項6に記載の管理サーバ。
【請求項8】
前記識別情報受信手段によって受信された識別情報を用いて前記ユーザ端末または該ユーザ端末を使用するユーザを認証する認証手段を更に備え、
前記ソフトウェア送信手段は、認証されたユーザ端末またはユーザに関連付けられたソフトウェアを送信する、
請求項5から7の何れか一項に記載の管理サーバ。
【請求項9】
不揮発性記憶装置を有し、管理サーバと通信可能に接続された情報処理端末が、
前記不揮発性記憶装置における一部の領域を、該情報処理端末の起動または終了に際して初期化される一時領域として確保する一時領域確保ステップと、
該情報処理端末を使用するユーザまたは該情報処理端末を、識別するための識別情報を前記管理サーバに送信する識別情報送信ステップと、
前記識別情報に係る情報処理端末またはユーザに応じたソフトウェアを、前記識別情報を受信した前記管理サーバから受信するソフトウェア受信ステップと、
前記ソフトウェア受信ステップで受信されたソフトウェアを前記一時領域に記録する一時領域記録ステップと、
前記ソフトウェアを前記一時領域から読み出して実行することで、該ソフトウェアの機能を、前記情報処理端末を使用するユーザに提供するソフトウェア実行ステップと、
を実行する、情報処理方法。
【請求項10】
前記情報処理端末は、
前記識別情報に係る情報処理端末に所定の作業環境を構築するためのソフトウェアの組み合わせ、または前記識別情報に係るユーザに所定のサービスを提供するためのソフトウェアの組み合わせ、を示すソフトウェアのリストを、前記識別情報を受信した前記管理サーバから受信するソフトウェアリスト受信ステップと、
前記ソフトウェアリスト受信ステップで受信された1または複数のリストをユーザに提示し、ユーザによるリストの選択を受け付ける受付ステップと、
を更に実行し、
前記ソフトウェア受信ステップでは、前記選択されたリストに含まれるソフトウェアが前記サーバから受信される、
請求項9に記載の情報処理方法。
【請求項11】
ユーザによって使用される情報処理端末であるユーザ端末と通信可能に接続された管理サーバが、
前記ユーザ端末または該ユーザ端末を使用するユーザを識別するための識別情報を前記ユーザ端末より受信する識別情報受信ステップと、
前記識別情報に係るユーザ端末またはユーザに応じたソフトウェアを、該ユーザ端末に送信して、前記ユーザ端末の起動または終了に際して初期化される一時領域に保存させるソフトウェア送信ステップと、
を実行する、情報処理端末の管理方法。
【請求項12】
前記管理サーバは、
前記識別情報に係る情報処理端末に所定の作業環境を構築するためのソフトウェアの組み合わせ、または前記識別情報に係るユーザに所定のサービスを提供するためのソフトウェアの組み合わせ、を示すソフトウェアのリストを蓄積するソフトウェアリスト蓄積ステップと、
前記識別情報に係る情報処理端末またはユーザに応じた前記リストを送信するソフトウェアリスト送信ステップと、
を更に実行し、
前記ソフトウェア送信ステップでは、前記ソフトウェアリスト送信ステップで送信された1または複数のリストのうちの、前記ユーザ端末において選択されたリストに基づいて該ユーザ端末より要求されたソフトウェアが、該ユーザ端末に送信される、
請求項11に記載の管理方法。
【請求項13】
不揮発性記憶装置を有し、管理サーバと通信可能に接続された情報処理端末を、
前記不揮発性記憶装置における一部の領域を、該情報処理端末の起動または終了に際して初期化される一時領域として確保する一時領域確保手段と、
該情報処理端末を使用するユーザまたは該情報処理端末を、識別するための識別情報を前記管理サーバに送信する識別情報送信手段と、
前記識別情報に係る情報処理端末またはユーザに応じたソフトウェアを、前記識別情報を受信した前記管理サーバから受信するソフトウェア受信手段と、
前記ソフトウェア受信手段によって受信されたソフトウェアを前記一時領域に記録する一時領域記録手段と、
前記ソフトウェアを前記一時領域から読み出して実行することで、該ソフトウェアの機能を、前記情報処理端末を使用するユーザに提供するソフトウェア実行手段と、
として機能させる、情報処理プログラム。
【請求項14】
前記情報処理端末を、
前記識別情報に係る情報処理端末に所定の作業環境を構築するためのソフトウェアの組み合わせ、または前記識別情報に係るユーザに所定のサービスを提供するためのソフトウェアの組み合わせ、を示すソフトウェアのリストを、前記識別情報を受信した前記管理サーバから受信するソフトウェアリスト受信手段と、
前記ソフトウェアリスト受信手段によって受信された1または複数のリストをユーザに提示し、ユーザによるリストの選択を受け付ける受付手段と、
を更に機能させ、
前記ソフトウェア受信手段は、前記選択されたリストに含まれるソフトウェアを前記サーバから受信する、
請求項13に記載の情報処理プログラム。
【請求項15】
ユーザによって使用される情報処理端末であるユーザ端末と通信可能に接続された管理サーバを、
前記ユーザ端末または該ユーザ端末を使用するユーザを識別するための識別情報を前記ユーザ端末より受信する識別情報受信手段と、
前記識別情報に係るユーザ端末またはユーザに応じたソフトウェアを、該ユーザ端末に送信して、前記ユーザ端末の起動または終了に際して初期化される一時領域に保存させるソフトウェア送信手段と、
として機能させる、情報処理端末の管理プログラム。
【請求項16】
前記管理サーバを、
前記識別情報に係る情報処理端末に所定の作業環境を構築するためのソフトウェアの組み合わせ、または前記識別情報に係るユーザに所定のサービスを提供するためのソフトウェアの組み合わせ、を示すソフトウェアのリストを蓄積するソフトウェアリスト蓄積手段と、
前記識別情報に係る情報処理端末またはユーザに応じた前記リストを送信するソフトウェアリスト送信手段と、
として更に機能させ、
前記ソフトウェア送信手段は、前記ソフトウェアリスト送信手段によって送信された1または複数のリストのうちの、前記ユーザ端末において選択されたリストに基づいて該ユーザ端末より要求されたソフトウェアを、該ユーザ端末に送信する、
請求項15に記載の管理プログラム。
【図1】
【図2】
【図3A】
【図3B】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10A】
【図10B】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図2】
【図3A】
【図3B】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10A】
【図10B】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【公開番号】特開2009−259236(P2009−259236A)
【公開日】平成21年11月5日(2009.11.5)
【国際特許分類】
【出願番号】特願2009−70673(P2009−70673)
【出願日】平成21年3月23日(2009.3.23)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.EEPROM
【出願人】(000003687)東京電力株式会社 (2,580)
【Fターム(参考)】
【公開日】平成21年11月5日(2009.11.5)
【国際特許分類】
【出願日】平成21年3月23日(2009.3.23)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.EEPROM
【出願人】(000003687)東京電力株式会社 (2,580)
【Fターム(参考)】
[ Back to top ]