情報処理装置、情報処理方法、及びコンピュータプログラム
【課題】 URLフィルタリングの解除を行う期間を無期限とせず、一定の期間にのみURLフィルタリングルールでは許可されない情報資源への接続を許可することを可能とする。
【解決手段】 URLフィルタリングルール等の中継制御ルールを無効化するための有効期限付きのパスワードを用意する。そして、中継制御ルールを適用した中継制御により、サーバ装置へのHTTP通信の中継を拒否した場合に、当該適用されたフィルタリングルールを解除するためのパスワードを入力するための画面を送信する。そして、画面を介して入力されたパスワードが有効期限内である場合に、当該中継制御ルールを解除し、サーバ装置へのアクセスを許可する。
【解決手段】 URLフィルタリングルール等の中継制御ルールを無効化するための有効期限付きのパスワードを用意する。そして、中継制御ルールを適用した中継制御により、サーバ装置へのHTTP通信の中継を拒否した場合に、当該適用されたフィルタリングルールを解除するためのパスワードを入力するための画面を送信する。そして、画面を介して入力されたパスワードが有効期限内である場合に、当該中継制御ルールを解除し、サーバ装置へのアクセスを許可する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、内部ネットワークの端末装置とインターネット等の外部ネットワーク上のホームページ等の情報資源を提供するサーバ装置等との間の通信の中継制御を行う技術に関する。
【背景技術】
【0002】
ネットワーク技術の発展によって、情報のやりとりが非常に簡便に、且つ効率良く行うことが可能になっている。例えば、会議に使用する資料を電子メールに添付して参加者に前もって送付したりすることが、手間も煩わしさもなく行うことが可能になっている。ただ、このようにネットワーク技術が発達し、情報のやりとりが容易に行われるようになった反面、重要な機密情報が簡単に外部に流出してしまう、また、外部からコンピュータウィルス等の有害情報が流入してしまうという危険性の度合いも増してきている。
【0003】
そこで、企業等では、業務とは直接関係ない情報を提供しているサーバへのアクセスを禁止する等の対策を講じている。例えば、特定のURLに対するアクセスを禁止する通信制御であるURLフィルタリングを行うコンピュータ機器を導入し、アクセスが許可されないURLに対するリクエストを当該URLが示す情報資源を提供する外部サーバに転送しないことで、当該URLが示す情報資源にアクセスできないようにしている。
【0004】
URLフィルタリングを行う場合には、アクセスを許可するURLのリストであるホワイトリストや、アクセスを禁止するURLのリストであるブラックリストを作成し、それらに対する制御を、つまりは、ホワイトリストに登録されているURLに対するリクエストはその通信を中継し、ブラックリストに登録されているURLに対するリクエストは、その通信を中継しないといった制御を行うことになる。
【0005】
例えば、特許文献1には、URLフィルタリングに関し、ホワイトリストの登録編集を行うことを容易にする発明が開示されている。この発明によれば管理者がURLフィルタ設定を行うことを容易にしている。また、URLフィルタリングによる通信制御では、全てのユーザの要求を満たすルールを作成するのは困難であるので、例えば、URLフィルタリングルールに関係なく、例えば予め指定されたパスワードを入力させることでフィルタリングを解除し、ブラックリストに登録されているURLに対しても接続を許可する等の機能を有しているURLフィルタリングアプリケーション等もある。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2009−277156号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
先にも述べたように、URLフィルタリングによるインターネット上の情報資源へのアクセス制御を行う場合、全てのユーザが満足いくルールを作成することは、ほぼ不可能といってよい。しかし、特定のパスワードで全てのURLフィルタリングを解除してしまうのでは、パスワードが流出してしまうと、URLフィルタリングがそもそも意味をなさなくなってしまう。
【0008】
特に、企業内でのURLフィルタリングにおいては、フィルタリングルールを適用するとアクセスすることができない、業務に必要と思われる情報を得られるホームページ等の情報資源に一定期間アクセスを許可し、その間に情報を入手できる機会を与えれば良く、フィルタリングルールの解除状態を継続する必要性は低い。
【0009】
そこで、本発明は、上記した課題に鑑み、URLフィルタリングの解除を行う期間を無期限とせず、一定の期間にのみURLフィルタリングルールでは許可されない情報資源への接続を許可することを可能とする情報処理装置、情報処理方法、及びコンピュータプログラムを提供することを目的とする。
【課題を解決するための手段】
【0010】
上記した目的を達成するために、本発明の情報処理装置は以下の構成を備える。即ち、端末装置と、外部のサーバ装置との間の通信を中継制御するための中継制御ルール、及び当該中継制御ルールを解除するための有効期限が設定されたパスワードを記憶する記憶手段を備え、前記端末装置と前記外部サーバとの間の通信の中継制御を行う情報処理装置であって、前記端末装置と前記外部のサーバ装置との間で送受信されるHTTPデータを取得する第1の取得手段と、前記第1の取得手段で取得したHTTPデータに対して前記中継制御ルールを適用することにより、当該HTTPデータの中継を許可するか否かを判断する第1の判断手段と、前記第1の判断手段で中継を拒否すると判断した後に、前記端末装置に対して、前記中継制御ルールを解除するためのパスワード入力欄を備える画面情報を送信する送信手段と、前記端末装置において、前記画面情報を介して入力されたパスワードを取得する第2の取得手段と、前記第2のパスワードが前記記憶手段に記憶され、且つ当該パスワードが有効期限内であるかを判断する第2の判断手段と、前記第2の判断手段で前記第2の取得手段で取得したパスワードが前記記憶手段に記憶され、且つ当該パスワードが有効期限内であると判断した場合に、解除エントリを生成する生成手段と、前記第1の判断手段で、中継を許可しないと判断されたHTTPデータに対応する解除エントリが生成されている場合に、前記第1の判断手段で中継しないと判断された通信を中継するように制御する制御手段とを備える。
【0011】
また、上記した目的を達成するために、本発明の情報処理方法は以下の構成を備える。即ち、端末装置と、外部のサーバ装置との間の通信を中継制御するための中継制御ルール、及び当該中継制御ルールを解除するための有効期限が設定されたパスワードを記憶する記憶装置を備え、前記端末装置と前記外部サーバとの間の通信の中継制御を行う情報処理装置によって行われる情報処理方法であって、前記端末装置と前記外部のサーバ装置との間で送受信されるHTTPデータを取得する第1の取得工程と、前記第1の取得工程で取得したHTTPデータに対して前記中継制御ルールを適用することにより、当該HTTPデータの中継を許可するか否かを判断する第1の判断工程と、前記第1の判断工程で中継を拒否すると判断した後に、前記端末装置に対して、前記中継制御ルールを解除するためのパスワード入力欄を備える画面情報を送信する送信工程と、前記端末装置において、前記画面情報を介して入力されたパスワードを取得する第2の取得工程と、前記第2のパスワードが前記記憶装置に記憶され、且つ当該パスワードが有効期限内であるかを判断する第2の判断工程と、前記第2の判断工程で前記第2の取得工程で取得したパスワードが前記記憶装置に記憶され、且つ当該パスワードが有効期限内であると判断した場合に、解除エントリを生成する生成工程と、前記第1の判断工程で、中継を許可しないと判断されたHTTPデータに対応する解除エントリが生成されている場合に、前記第1の判断工程で中継しないと判断された通信を中継するように制御する制御工程とを備える。
【0012】
また、上記した目的を達成するために、本発明のコンピュータプログラムは以下の構成を備える。即ち、端末装置と、外部のサーバ装置との間の通信を中継制御するための中継制御ルール、及び当該中継制御ルールを解除するための有効期限が設定されたパスワードを記憶する記憶手段を備えるコンピュータを、前記端末装置と前記外部サーバとの間の通信の中継制御を行う情報処理装置として機能させるためのコンピュータプログラムであって、前記コンピュータを、前記端末装置と前記外部のサーバ装置との間で送受信されるHTTPデータを取得する第1の取得手段と、前記第1の取得手段で取得したHTTPデータに対して前記中継制御ルールを適用することにより、当該HTTPデータの中継を許可するか否かを判断する第1の判断手段と、前記第1の判断手段で中継を拒否すると判断した後に、前記端末装置に対して、前記中継制御ルールを解除するためのパスワード入力欄を備える画面情報を送信する送信手段と、前記端末装置において、前記画面情報を介して入力されたパスワードを取得する第2の取得手段と、前記第2のパスワードが前記記憶手段に記憶され、且つ当該パスワードが有効期限内であるかを判断する第2の判断手段と、前記第2の判断手段で前記第2の取得手段で取得したパスワードが前記記憶手段に記憶され、且つ当該パスワードが有効期限内であると判断した場合に、解除エントリを生成する生成手段と、前記第1の判断手段で、中継を許可しないと判断されたHTTPデータに対応する解除エントリが生成されている場合に、前記第1の判断手段で中継しないと判断された通信を中継するように制御する制御手段として機能させる。
【発明の効果】
【0013】
本発明によれば、URLフィルタリングの解除を行う期間を無期限とせず、特定のユーザに対してある一定の期間にのみURLフィルタリングルールでは許可されない情報資源への接続を許可することを可能とする情報処理装置、情報処理方法、及びコンピュータプログラムを提供することが可能となる。
【図面の簡単な説明】
【0014】
【図1】本発明の実施形態に係る、情報処理システムのシステム構成の一例を示す図である。
【図2】図1のプロキシサーバ101に適用可能な情報処理装置のハードウェア構成の一例を示す図である。
【図3】図1のプロキシサーバ101の機能構成の一例を示す図である。
【図4】図1のプロキシサーバ101により行われる処理の概要を示すフローチャートである。
【図5】図4のステップS402の中継制御ルール設定処理の詳細を示すフローチャートである。
【図6】図4のステップS404のアクセスブロック解除パスワード設定処理の詳細を示すフローチャートである。
【図7】図4のステップS406のプロキシ処理の詳細を示すフローチャートである。
【図8】図4のステップS408のアクセスブロック解除パスワード判定処理の詳細を示すフローチャートである。
【図9】図4のステップS410のアクセスブロック・禁止解除申請登録処理の詳細を示すフローチャートである。
【図10】図4のステップS412のアクセスブロック・禁止解除申請判定処理の詳細を示すフローチャートである。
【図11】図7のステップS707の中継制御ルール適用処理の詳細を示すフローチャートである。
【図12】図7のステップS709のパスワードによる解除判定処理の詳細を示すフローチャートである。
【図13】図7のステップS711の承認による解除判定処理の詳細を示すフローチャートである。
【図14】図3の中継制御ルールDB(データベース)311の構成の一例を示す図である。
【図15】図3のアクセスブロック解除パスワードDB(データベース)312の構成の一例を示す図である。
【図16】図3のアクセスブロック・アクセス禁止解除申請DB(データベース)313の構成の一例を示す図である。
【図17】図3のアクセスブロック・アクセス禁止解除エントリDB(データベース)314の構成の一例を示す図である。
【図18】クライアントPC102の表示部に表示される中継制御ルール一覧画面1800の構成の一例を示す図である。
【図19】クライアントPC102の表示部に表示される中継制御ルール詳細画面1900の構成の一例を示す図である。
【図20】クライアントPC102の表示部に表示される中継制御ルール移動画面2000の構成の一例を示す図である。
【図21】クライアントPC102の表示部に表示されるアクセスブロック解除パスワード一覧画面2100の構成の一例を示す図である。
【図22】クライアントPC102の表示部に表示されるアクセスブロック解除パスワード詳細画面2200の構成の一例を示す図である。
【図23】クライアントPC102の表示部に表示されるアクセスブロック画面2300の構成の一例を示す図である。
【図24】クライアントPC102の表示部に表示されるアクセスブロック解除申請画面2400の構成の一例を示す図である。
【図25】クライアントPC102の表示部に表示されるアクセスブロック・アクセス禁止解除申請一覧画面2500の構成の一例を示す図である。
【図26】クライアントPC102の表示部に表示されるアクセスブロック・アクセス禁止解除申請詳細画面2600の構成の一例を示す図である。
【図27】クライアントPC102の表示部に表示されるアクセス禁止画面2700の構成の一例を示す図である。
【発明を実施するための形態】
【0015】
以下、図面を参照して、本発明に係る情報処理システムの実施の形態について説明する。図1は、本発明に係る情報処理システムのシステム構成の一例を示す図である。図1に示す如く本実施形態に係る情報処理システムは、プロキシサーバ101、クライアントPC102−1乃至102−3(以後、まとめて「クライアントPC102」とする)、LAN103、広域ネットワーク104、ウェブサーバ105−1乃至105−3(以後、まとめて「ウェブサーバ105」とする)を備えている。以下、本発明の情報処理システムを構成する各装置について説明する。
【0016】
プロキシサーバ101は、本発明の情報処理装置として機能する装置であり、クライアントPC102とウェブサーバ105との間のデータ通信を中継する。また、プロキシサーバ101は、後述する中継制御ルールに従って、クライアントPC102からウェブサーバ105に対して送信されるデータの中継を許可する(中継する)/拒否する(中継しない)、ウェブサーバ105からクライアントPC102に対して送信されたデータの中継を許可する/拒否するといったデータの通信制御(中継制御)を行う機能や、当該中継制御ルールの登録、修正、削除等を行うために用いられる各種の設定ページの提供するウェブサーバ機能を有している。
【0017】
クライアントPC102は、ウェブサーバ105が提供する各種のサービス(ホームページの閲覧等)を利用するユーザが使用する端末装置である。LAN103は、プロキシサーバ101、クライアントPC102を相互にデータ通信可能に接続するネットワークである。
【0018】
ウェブサーバ105は、各種のウェブサービスを提供するサービス事業者により設置されるサーバ装置である。ここで提供されるサービスとしては、例えばホームページの閲覧サービスや、商品の販売サービス、航空券やホテル等の予約サービス等があるが、これに限定されない。プロキシサーバ101とウェブサーバ105は、インターネット等の広域ネットワーク104を介して、相互にデータ通信可能に接続されている。以上が本発明の情報処理システム構成の一例の説明である。
【0019】
次に図2を参照して、図1のプロキシサーバ101に適用可能な情報処理装置のハードウェアの構成の一例を説明する。
【0020】
図中、CPU201は、システムバス204に接続される後述の各デバイスやコントローラを統括的に制御する。また、ROM203あるいは外部メモリ211には、CPU201の制御プログラムであるBIOS(Basic Input / Output System)やオペレーティングシステムプログラム(以下、OS)や、プロキシサーバ101に後述する各種の処理を実行させるために必要な各種プログラムやデータ等が記憶されている。RAM202は、CPU201の主メモリ、ワークエリア等として機能する。
【0021】
CPU201は、処理の実行に際して必要なプログラム等をRAM202にロードして、プログラムを実行することで後述する各種処理を実現するものである。また、入力コントローラ(入力C)205は、キーボードやポインティングデバイス等で構成される入力装置209からの入力を制御する。ビデオコントローラ(VC)206は、ディスプレイ装置210等の表示装置への表示を制御する。ディスプレイ装置210は、例えばCRTディスプレイや液晶ディスプレイ等で構成される。
【0022】
メモリコントローラ(MC)207は、ブートプログラム、ブラウザソフトウエア、各種のアプリケーション、フォントデータ、ユーザファイル、編集ファイル、各種データ等を記憶するハードディスク(HD)やフロッピーディスク(登録商標 FD)或いはPCMCIAカードスロットにアダプタを介して接続されるコンパクトフラッシュメモリ等の外部メモリ211へのアクセスを制御する。
【0023】
通信I/Fコントローラ(通信I/FC)208は、ネットワークを介して、外部機器と接続・通信するものであり、ネットワークでの通信制御処理を実行する。例えば、TCP/IPを用いたインターネット通信等が可能である。
【0024】
なお、CPU201は、例えばRAM202内の表示情報用領域へアウトラインフォントの展開(ラスタライズ)処理を実行することにより、ディスプレイ装置210上での表示を可能としている。また、CPU201は、ディスプレイ装置210上の不図示のマウスカーソル等でのユーザ指示を可能とする。以上が、プロキシサーバ101に適用可能な情報処理装置のハードウェア構成の説明であるが、後述する各種の処理を実行可能であれば、必ずしも図2に記載のハードウェア構成を有していなくとも構わないことは言うまでもない。
【0025】
次に、図3を参照して、図1のプロキシサーバ101の機能構成について説明する。図3に示す通り、プロキシサーバ101は、中継制御ルール設定部301、アクセスブロック解除パスワード設定部302、プロキシ処理部303、アクセスブロック解除パスワード判定部304、アクセスブロック・アクセス禁止解除申請登録部305、アクセスブロック・アクセス禁止解除申請判定部306を備えている。
【0026】
中継制御ルール設定部301は、後述する中継制御ルール設定処理を行う機能部である。アクセスブロック解除パスワード設定部302は、後述するアクセスブロック解除パスワード設定処理を行うための機能部である。
【0027】
プロキシ処理部303は、後述するプロキシ処理を行う機能部である。アクセスブロック解除パスワード判定部304は後述するアクセスブロック解除パスワード判定処理を行う機能部である。アクセスブロック・アクセス禁止解除申請登録部305は後述するアクセスブロック・アクセス禁止解除申請登録処理を行う機能部である。アクセスブロック・アクセス禁止解除申請判定部306は後述するアクセスブロック・アクセス禁止解除申請判定処理を行う機能部である。
【0028】
また、プロキシサーバ101は、後述する各種処理を行う際に用いるデータを記憶する中継制御ルールDB311、アクセスブロック解除パスワードDB312、アクセスブロック・アクセス禁止解除申請DB313、アクセスブロック・アクセス禁止解除エントリDB314を備えている。
【0029】
ここで、図14、図15、図16、及び図17を参照して、図3の中継制御ルールDB311、アクセスブロック解除パスワードDB312、アクセスブロック・アクセス禁止解除申請DB313、及びアクセスブロック・アクセス禁止解除エントリDB314のデータ構成について説明する。
【0030】
図14は、図3の中継制御ルールDB311のデータ構成の一例を示す図である。図14に示すように、中継制御ルールDB311には、クライアントPC102からウェブサーバ105に送信されるデータ(リクエストデータ)の中継制御に用いられるリクエストルールを記憶したリクエストルールテーブル1400と、クライアントPC102から送信されたリクエストデータに応じて、ウェブサーバ105から当該クライアントPC102に送信されるデータ(レスポンスデータ)の中継制御に用いられるレスポンスルールを記憶したレスポンスルールテーブル1410とを備えている。
【0031】
リクエストルールテーブル1400には、そのデータ項目として、ID1401、説明1402、URL1403、カテゴリ1404、キーワード1405、MIMEタイプ1406、サイズ1407、サイズ条件1408、動作1409が設定されている。
【0032】
ID1401には、リクエストルールを一意に識別するための識別情報が登録される。説明1402には、当該ルールの説明として、後述する図19のルール詳細入力画面1900の説明入力欄1902に入力された情報が登録される。URL1403には、当該ルールを適用するURL条件が登録される。カテゴリ1404には、当該ルールが適用されるウェブサービスのカテゴリが登録される。それぞれのウェブサーバ105が提供するウェブサービスがどのカテゴリ(例えばショッッピングサイトや旅行サイト、掲示板、ウェブメール等)に属すかを示す情報は、不図示のカテゴリDBに登録されている。尚、URL1403、カテゴリ1404のいずれにも情報が登録されていない場合には、全てのウェブサーバ105に対する通信に適用される中継制御ルールであることを示す。
【0033】
キーワード1405には、当該ルールを適用するキーワード条件が登録される。ウェブサーバ105に送信されるリクエストデータに含まれるキーワードの条件に登録されている文字列が含まれる場合には、本ルールの適用対象となる。MIMEタイプ1406には、MIMEタイプ条件が登録される。ウェブサーバ105に送信されるデータに、当該MIMEタイプ条件に該当するファイルが含まれている場合に、そのリクエストデータの通信に対して本ルールが適用される。例えば、JPEGファイルを含むリクエストデータの通信に対して適用するリクエストルールには、このMIMEタイプ1406にimage/jpegが登録される。
【0034】
サイズ1407には、送信されるデータサイズの閾値条件が、サイズ条件1408には、以上、以下、未満等の合致条件が登録される。例えば、データサイズが1MB以上のデータ通信に適用するリクエストルールには、サイズ1407、サイズ条件1408にそれぞれ、「1MB」、「以上」が登録される。
【0035】
動作1409には、URL1403からサイズ条件108までの設定された条件に合致したデータ通信に対して行う処理が登録される。「中継」が登録されている場合には、ルールに合致したリクエストデータを指定されたウェブサーバ105に中継する(中継を許可)。「ブロック」が登録されている場合には、当該リクエストデータをウェブサーバに中継せず(中継を拒否)、図23に示すアクセスブロック画面2300をクライアントPC102に対して返信する。「禁止」が登録されている場合には、当該リクエストデータをウェブサーバ105に中継せず(中継を拒否)、図27に示すアクセス禁止画面2700をクライアントPC102に対して返信する。
【0036】
レスポンスルール1410も、リクエストルール1401と同様のデータ項目を有して構成されているので、詳細な説明は割愛する。尚、本説明では、リクエストルール1400とレスポンスルール1410とを異なるデータテーブルで管理する例を説明したが、これに限らず、例えば、ルールIDで特定される中継制御ルールが、リクエストルール、レスポンスルールのいずれであるかを示す情報を登録するデータ項目を設定し、そのデータ項目に設定された値を参照することで当該中継制御ルールがリクエストルールであるか、それともレスポンスルールであるかを特定可能な形で1つのデータテーブルで管理しても勿論構わない。
【0037】
図15は、図3のアクセスブロック解除パスワードDB312のデータ構成の一例を示す図である。図15に示すように、アクセスブロック解除パスワードDB312には、そのデータ項目として、ID1501、説明1502、パスワード1503、解除時間1504、有効期間1505が設定されている。
【0038】
ID1501には、アクセスブロック解除パスワードデータを一意に識別するための識別情報が登録される。説明1502には、当該アクセスブロック解除パスワードデータの説明として、後述する図22に示すアクセスブロック解除パスワード詳細画面2200の説明入力欄2202に入力された情報が登録される。パスワード1503には、中継制御ルールを一時的に解除するために用いられるパスワード情報が登録される。
【0039】
尚、本実施形態の説明では、中継制御ルールを「解除(無効化)」するとは、中継制御ルールに「ブロック」「禁止」が設定されている(即ち中継を許可しない)場合でもその中継制御ルールに合致したデータ通信を「中継」するデータ中継制御をプロキシサーバ101実行させることを意味する。
【0040】
例えば、後述するアクセスブロック画面2300の解除パスワード入力欄2302に適用ルール表示欄2301に表示されている中継制御ルールを解除するためのパスワード1503を入力し、解除ボタン2303を押下指示することで、プロキシサーバ101にアクセスブロック画面2300の適用ルール表示欄2301に表示された中継制御ルールの解除を指示することができる。
【0041】
解除時間1504には、解除時間が登録される。一度アクセスブロック解除パスワードを用いて、ある中継制御ルール(ルール1とする。このルール1の動作1409若しくは1419には「ブロック」が設定されている。)を解除し、ウェブサーバ105に対してアクセスした後に、解除時間に登録されている時間が経過後、再度ルール1の条件で中継がブロックされるウェブサーバ105に対してアクセスしようとすると、プロキシサーバ101は当該リクエストを中継せず、再度アクセスブロック画面2300をクライアントPC102に対して返信することになる。
【0042】
有効期間1505には、ブロック解除パスワードデータの有効期間情報が登録される。尚、アクセスブロック解除パスワードDBについては、例えば、無効ルールIDを示すデータ項目を追加して特定のルールのみ解除する(ルールの特定が行われない場合には全てのルールを解除する)ようにしても構わない。データ項目にユーザを特定するためのデータ項目を追加して、当該パスワードを有効に使用できるユーザのみがそのパスワードを使用して中継制御ルールを解除できるようにしても良い(ユーザが特定されない場合には全てのユーザに対して有効)ことは言うまでもない。
【0043】
図16は、図3のアクセスブロック・アクセス禁止解除申請DB313のデータ構成の一例を示す図である。図16に示すように、アクセスブロック・アクセス禁止解除申請DB313には、そのデータ項目として、ID1601、申請日時1602、認証名1603、IPアドレス1604、ルール種類1605、ルールID1606、申請理由1607が設定されている。
【0044】
ID1601には、アクセスブロック・アクセス禁止解除申請データを一意に識別するための識別情報が登録される。申請日時1602には、当該アクセスブロック・アクセス禁止解除申請データが登録された日時情報が登録される。認証名1603には、当該アクセスブロック・アクセス禁止解除申請データの申請を指示したユーザの認証名が登録される。IPアドレスには、当該アクセスブロック・アクセス禁止解除申請を行った際に用いられたクライアントPC102のIPアドレスが登録される。
【0045】
ルール種類1605には解除対象とする中継制御ルールの種類(リクエストルール、レスポンスルール)が登録される。ルールID1606には、解除対象とする中継制御ルールのIDが登録される。1607には、解除を行う申請理由が登録される。
【0046】
図17は、アクセスブロック・アクセス禁止解除エントリDB314のデータ構成の一例を示す図である。図17に示すように、アクセスブロック・アクセス禁止解除エントリDB314には、クライアントPC102とウェブサーバ105との間のデータの中継制御に用いられる、パスワードによる解除エントリテーブル1700と承認による解除エントリテーブル1710とを備えている。これらはいずれも、プロキシサーバ101による中継制御ルールを用いたデータの中継制御では、クライアントPC102からウェブサーバ105(若しくは、ウェブサーバ105からクライアントPC102)への送信がブロック、若しくは禁止されるデータの通信を、一時的に例外的に中継する(通信を許可する)ために用いられるデータである。
【0047】
まず、パスワードによる解除エントリテーブル1700のデータ構成について説明する。パスワードによる解除エントリデータは、後述する図4のステップS408のアクセスブロック解除パスワード判定処理(詳細は図8)で、パスワードが有効であると判断した場合に作成される解除エントリデータである。図17に示す通り、パスワードによる解除エントリテーブル1700には、そのデータ項目として、認証名1701、IPアドレス1702、エントリ失効時間1703が設定されている。
【0048】
認証名1701には、当該パスワードによる解除エントリが適用されるユーザの認証名が登録される。プロキシサーバ101が、プロキシ認証を行っている場合に、認証名1701に情報が登録される。IPアドレス1702には、当該パスワードによる解除エントリが適用されるクライアントPC102のIPアドレスが登録される。認証名1701が登録されている場合には、この項目にはデータを登録する必要はない。エントリ失効時刻1703には、当該パスワードによる解除エントリデータが失効する日時情報が登録される。
【0049】
次に、承認による解除エントリテーブル1710のデータ構成について説明する。承認による解除エントリデータは、後述する図4のステップS412のアクセスブロック・アクセス禁止申請判定処理(詳細は図10)で、管理者に解除申請が承認された場合に作成される解除エントリデータである。図17に示す通り、承認による解除エントリテーブル1710には、ID1711、承認名1712、IPアドレス1713、ルール種類1714、ルールID1715、解除時間1716が設定されている。
【0050】
ID1711には、承認による解除エントリデータを一意に識別するための識別情報が登録される。認証名1712には、当該承認による解除エントリが適用されるユーザの認証名が登録される。プロキシサーバ101が、プロキシ認証を行っている場合に、認証名1712に情報が登録される。IPアドレス1713には、当該承認による解除エントリが適用されるクライアントPC102のIPアドレスが登録される。認証名1712が登録されている場合には、この項目にはデータを登録する必要はない。
【0051】
ルール種類1714には、リクエストルール、レスポンスルールのルール種別を示す情報が登録される。ルールID1715には、ルールIDが登録される。このルール種類1714及びルールID1715に登録されている情報をもとに、解除(無効化)する中継制御ルールが特定されることになる。解除期間1716には、ルール種類1714及びルールID1715とで特定される中継制御ルールの解除期間を示す日時情報が登録される。
【0052】
以上、図14〜図17を用いて説明した各種データの変更処理や、各種データを用いてプロキシサーバ101が行うデータ中継制御処理の詳細については、後述する。
【0053】
次に、図4を参照して、図1のプロキシサーバ101のCPU201により行われる処理の概要について説明する。図4に示す処理をCPU201に行わせるために用いられるプログラムは外部メモリ211に記憶されており、CPU201は、必要に応じて当該プログラムをRAM202にロードし、その制御に従って本処理を行うことになる。
【0054】
本発明のプロキシサーバ101は、図3に示した中継制御ルール記憶部301が行う中継制御ルール設定処理、アクセスブロック解除パスワード設定部302が行うアクセスブロック解除パスワード設定処理、プロキシ部303によって行われるプロキシ処理、アクセスブロック解除パスワード判定部304によって行われるアクセスブロック解除パスワード判定処理、アクセスブロック・アクセス禁止解除申請登録部305により行われるアクセスブロック・アクセス禁止解除申請登録処理、アクセスブロック・アクセス禁止解除申請判定部306によって行われるアクセスブロック・アクセス禁止解除申請判定処理、それぞれの処理要求をクライアントPC102より受け付けた場合に、図3に示す各機能部による処理を行う。
【0055】
ステップS401では、CPU201は、クライアントPC102から中継制御ルールの設定要求を受け付けたかを判断する。この中継制御ルールの設定要求は、クライアントPC102が、プロキシサーバ101がクライアントPC102に提供するウェブページのうち、中継制御ルール設定のためのウェブページにアクセスすることで、プロキシサーバ101に対して行うことになる。
【0056】
CPU201は、中継制御ルールの設定要求を受け付けたと判断した場合には(ステップS401でYES)、処理をステップS402に進め、中継制御ルール設定処理を行う。この中継制御ルール設定処理では、クライアントPC102とウェブサーバ105との間で行われるデータ通信の中継制御を行う際に用いる中継制御ルールの追加登録、変更、削除等を行う。詳細については、図5を参照して後述する。
【0057】
ステップS403では、CPU201は、クライアントPC102からアクセスブロック解除パスワードの設定要求を受け付けたかを判断する。アクセスブロック解除パスワードの設定要求は、クライアントPC102が、プロキシサーバ101がクライアントPC102に提供するウェブページのうち、アクセスブロック解除パスワード設定のためのウェブページにアクセスすることで、プロキシサーバ101に対して行うことになる。
【0058】
CPU201は、アクセスブロック解除パスワードの設定要求を受け付けたと判断した場合には(ステップS403でYES)、処理をステップS404に進め、アクセスブロック解除パスワードの設定処理を行う(ステップS404)。このアクセスブロック解除パスワードの設定処理では、通常の中継制御ルールを適用した中継制御処理では中継がブロックされる通信を一時的に中継させるためのパスワードの設定処理を行う。この処理の詳細については図6を参照して後述する。
【0059】
ステップS405では、CPU201は、プロキシ処理の要求を受け付けたかを判断する。CPU201は、クライアントPC102からウェブサーバ105に対しての送信されたリクエストデータを取得した場合や、クライアントPC102からのデータ通信に応じて、ウェブサーバ105からクライアントPC102に返送されたレスポンスデータを取得した場合に、このプロキシ要求を受け付けたと判断する。
【0060】
CPU201は、プロキシ処理の要求を受け付けたと判断した場合に(ステップS405でYES)、処理をステップS406に進め、プロキシ処理を行う。このプロキシ処理では、プロキシサーバ101のCPU201は、中継制御ルール311に従ったデータの中継制御を行う。この処理の詳細については、図7を参照して後述する。
【0061】
ステップS407では、CPU201は、クライアントPC102よりアクセスブロック解除パスワードを受け付けたかを判断する。ステップS606のプロキシ処理の結果に応じてクライアントPC102に送信され、クライアントPC102のディスプレイ装置に表示されるアクセスブロック画面2300解除ボタン2300の押下指示を受け付けることで、クライアントPC102が解除パスワード入力欄2302に入力された情報をアクセスブロック解除パスワードとして、プロキシサーバ101に対して送信する。
【0062】
CPU201は、アクセスブロック解除パスワードを受け付けた(受信した)と判断した場合に(ステップS407でYES)、処理をステップS408に進め、アクセスブロック解除パスワード判定処理を行う。この処理の詳細については、図8を参照して後述する。
【0063】
ステップS409では、CPU201は、アクセスブロック・アクセス禁止解除申請を受け付けたかを判断する。ステップS606のプロキシ処理の結果に応じてクライアントPC102に送信され、クライアントPC102のディスプレイ措置に表示されるアクセスブロック画面2300中のアクセスブロック解除申請要求アンカー2304に対するクリック指示、アクセス禁止画面2700中のアクセス禁止解除申請要求アンカー2702に対するクリック指示を受け付けることで行われる、クライアントPC102によるプロキシサーバ101が提供するアクセスブロック・アクセス禁止解除申請を行うためのページへのアクセスを受け付けた場合に、CPU201は、アクセスブロック・アクセス禁止解除申請を受け付けたと判断することになる。
【0064】
CPU201は、アクセスブロック・アクセス禁止解除申請を受け付けたと判断した場合には(ステップS409でYES)、処理をステップS410に進め、アクセスブロック・アクセス禁止解除申請登録処理を行う。この処理の詳細については、図9を参照して後述する。
【0065】
ステップS411では、CPU201は、アクセスブロック・アクセス禁止解除申請判定要求を受け付けたかを判断する。アクセスブロック・アクセス禁止解除申請判定要求は、ステップS410で申請登録されたアクセスブロック・アクセス禁止解除申請に対する承認/否認の処理を行うためのウェブページに対して、クライアントPC102からのアクセスを受け付けた場合に、CPU201は、アクセスブロック・アクセス禁止解除申請判定要求を受け付けたと判断することになる。
【0066】
CPU201は、アクセスブロック・アクセス禁止解除申請判定要求を受け付けたと判断した場合には(ステップS411でYES)、処理をステップS412に進め、アクセスブロック・アクセス禁止解除申請判定処理を行う。この処理の詳細については、図10を参照して後述する。
【0067】
そして、以上の処理を終了指示の入力を受け付ける(ステップS413でYESと判断する)まで行うことになる。以上が、本発明のプロキシサーバ101が行う処理の概要である。
【0068】
次に、図5を参照して、図4のステップS402の中継制御ルール設定処理の詳細について説明する。この処理では、CPU201は、CPU201を中継制御ルール設定部301として機能させるためのプログラムの制御に従って、後述するプロキシ処理でのデータの中継制御に使用する中継制御ルールを編集し、中継制御ルールDB(データベース)311を更新する処理を行う。
【0069】
まず、CPU201は、後述する中継制御ルール一覧画面1800を表示させるための情報である、中継制御ルール一覧画面情報を作成し、クライアントPC102に対して送信する(ステップS501)。この中継制御ルール一覧画面情報を受信したクライアントPC102は、例えば、ブラウザアプリケーションの制御に従い、表示部に図18に示す中継制御ルール一覧画面1800を表示することになる。
【0070】
ここで図18を参照して、中継制御ルール一覧画面1800の構成について説明する。図18は、プロキシサーバ101より中継制御ルール一覧画面情報を受信したクライアントPC102の表示部に表示される中継制御ルール一覧画面の構成の一例を示す図である。
【0071】
図18に示すように、中継制御ルール一覧画面1800には、中継ルール制御ルール種別(リクエストルール、レスポンスルール)ごとの、一覧表示部(リクエストルール一覧表示部1810、レスポンスルール一覧表示部1820)が設定されている。それぞれの一覧表示部には、その中継制御ルールデータの詳細データの表示部として、ID1801、説明1802、動作1803が設定されており、さらに、操作ボタン表示部1804には、各中継制御ルールデータの更新、削除、移動、追加を行うための更新ボタン1805−1、1805−2、削除ボタン1806−1、1806−2、移動ボタン1807−1、1807−2追加ボタン1808−1、1808−2が設定されている。
【0072】
ID1801は、中継制御ルールのIDを表示するための表示部である。このID1801に表示されるデータは、図14の中継制御ルールDB311のID1401(若しくはID1411)に登録されている。説明1802は、中継制御ルールの説明を表示するための表示部である。この説明1802に表示されるデータは、図14の中継制御ルール311の説明1402(若しくは説明1412)に登録されている。動作1803は、当該ルールに合致したデータに対してプロキシサーバ101が行う処理を表示する表示部である。この動作1803に表示されるデータは、図14の中継制御ルール311の動作1409(若しくは動作1419)に登録されている。
【0073】
更新ボタン1805−1、1805−2は、プロキシサーバ101に対して、当該中継制御ルールデータの詳細設定変更要求を送信するために用いられるコントロールである。削除ボタン1806−1、1806−2は、プロキシサーバ101に対して、当該中継制御ルールデータの削除要求を送信するために用いられるコントロールである。
【0074】
移動ボタン1807−1、1807−2は、プロキシサーバ101に対して、中継制御ルールデータの移動(優先度の変更)の要求を送信するために用いられるコントロールである。追加ボタン1808−1、1808−2は、新規の中継制御ルールの登録のために、プロキシサーバに中継制御ルールの追加要求を送信するためのコントロールである。以上が、図18に示す中継制御ルール一覧画面の構成の説明である。
【0075】
図5の説明に戻る。クライアントPC102に中継制御ルール一覧画面1800を表示させるための画面情報を送信後、CPU201は、クライアントPC102よりリクエストルールの詳細設定要求を受け付けたかを判断する(ステップS502)。リクエストルールの詳細設定要求は、図18の更新ボタン1805−1、若しくは追加ボタン1808−1の押下指示をクライアントPC102が受け付けた場合に、プロキシサーバ101に対して発行される。
【0076】
CPU201は、リクエストルールの詳細設定要求を受け付けたと判断した場合には(ステップS502でYES)、クライアントPC102に対して、図19に示す中継制御ルール詳細画面1900を表示させるための画面情報を送信する(ステップS503)。尚、更新ボタン1805−1の押下を受け付けたことで、クライアントPC102がプロキシサーバ101に対してこの要求を行った場合には、更新対象となるリクエストルールの詳細を含んだ画面情報を作成し、クライアントPC102に対して送信することになる。
【0077】
ここで図19を参照して、中継制御ルール詳細画面1900の構成について説明する。図19は、プロキシサーバ101より中継制御ルール詳細画面情報を受信したクライアントPC102の表示部に表示される中継制御ルール詳細画面1900の構成の一例を示す図である。
【0078】
中継制御ルール詳細画面1900には、種類表示部1901、ID表示部1902、説明入力欄1903、URL条件(URL、カテゴリ)指定部1904、URL入力欄1905、カテゴリ選択部1906、キーワード条件入力欄1907、MIMEタイプ条件入力欄1908、サイズ閾値入力欄1909、サイズ条件指定部1910、動作指定部1911、更新ボタン1912、キャンセルボタン1913が設定されている。
【0079】
種類表示部1901は、中継制御ルールの種類、即ち、リクエストルール、レスポンスルールを表示するための表示部である。ここでリクエストルールと表示されている場合には図14のリクエストルールテーブル1400に、レスポンスルールと表示されている場合にはレスポンスルールテーブル1410に作成される中継制御ルールが登録されることになる。
【0080】
ID表示部1902は、中継制御ルールを一意に識別するための識別情報を表示するための表示部である。このID表示部1902に表示されるデータが図14に示す中継制御ルールDB311のID1401(若しくはID1411)に登録される。説明入力欄1903は、中継制御ルールの説明を入力するための入力欄であり、この説明入力欄1903に入力された情報が、中継制御ルールDB311の説明1402(若しくは説明1412)に登録される。
【0081】
URL条件(URL、カテゴリ)指定部1904はURL条件として、URL入力を有効にするか、それともカテゴリ選択を有効にするかを指定する指定部である。この指定部で、URLが指定された場合には、後述するURL入力欄1905が有効となり、URLの入力が可能となる。カテゴリが指定された場合には、後述するカテゴリ選択部1906が有効となり、ウェブサービスのカテゴリの指定が可能となる。
【0082】
URL入力欄1905は、ウェブサーバのURLを入力する入力欄である。このURL入力欄1905に入力された情報が図14に示す中継制御ルールDB311のURL1403(若しくはURL1413)に登録される。このURLで特定されるウェブサーバ105に対するデータ通信(若しくはウェブサーバ105からのデータ通信)に対して、プロキシサーバ101はこの中継制御ルールを用いた中継制御処理を行うことになる。
【0083】
カテゴリ指定部1906は、ウェブサーバが提供するサービスのカテゴリを指定する指定部である。このカテゴリ指定部1906で指定された情報が、図14に示す中継制御ルールDB311のカテゴリ1404(若しくは1414)に登録される。指定されたサービスカテゴリに分類されたウェブサーバ105に対するデータ通信(若しくはウェブサーバ105からのデータ通信)に対して、プロキシサーバ101はこの中継制御ルールを用いた中継制御処理を行うことになる。
【0084】
キーワード入力欄1907は、キーワードを入力する入力欄である。このキーワード入力欄1907に入力された情報が、中継制御ルールDB311のキーワード1405(若しくはキーワード1415)に登録される。このキーワードを送信データに含むデータ通信に対して、プロキシサーバ101はこの中継制御ルールを用いた中継制御処理を行うことになる。
【0085】
MIMEタイプ入力欄1908は、MIMEタイプを入力する入力欄である。このMIMEタイプ入力欄1908に入力された情報が、中継制御ルールDB311のMIMEタイプ1406(若しくはMIMEタイプ1416)に登録される。このMIMEタイプで特定されるファイルタイプのデータを含むデータ通信に対して、プロキシサーバ101はこの中継制御ルールを用いた中継制御処理を行うことになる。
【0086】
サイズ閾値入力欄1909は、サイズの閾値を入力する入力欄である。このサイズ閾値入力欄1909に入力された情報が、中継制御ルール311のサイズ1407(若しくはサイズ1407)に登録される。サイズ条件指定部1910はサイズの条件(以上、以下等)を指定する指定部である。このサイズ条件指定部1910で指定された情報が、中継制御ルール311のサイズ条件1408(若しくはサイズ条件1418)に登録される。データサイズが、サイズ閾値入力欄1909に入力された情報と、サイズ条件指定部1910での指定とから導出される条件に合致した場合に、プロキシサーバ101はこの中継制御ルールを用いた中継制御処理を行うことになる。
【0087】
動作指定部1911は、作成した中継制御ルールに合致した場合に、プロキシサーバ101に行わせる処理を指定する指定部である。この動作指定部1911で指定された情報が中継制御ルールDB311の動作1409(若しくは動作1419)に登録される。
【0088】
更新ボタン1912は、プロキシサーバ101に対して、この中継制御ルール詳細画面1900を介して入力された情報で中継制御ルールDB311を更新する(追加、変更)するための更新情報を送信するために用いられるコントロールである。キャンセルボタン1913は、この中継制御ルール詳細画面1900を介しての中継制御ルールの更新処理をキャンセルするために用いられるコントロールである。以上が図19の中継制御ルール詳細画面1900の説明である。
【0089】
本発明では、このような形で中継制御ルールをHTTPリクエストデータに適用する中継制御ルールであるリクエストルールとHTTPレスポンスデータに適用するレスポンスルールとに、異なる中継制御ルールを設定することが可能となる。よって、それぞれのデータの特性に応じた中継制御ルールの作成が可能となる。また、外部にデータを送信する際のセキュリティポリシーと外部からデータを取得する際のセキュリティポリシーとが異なる場合でも、それぞれのセキュリティポリシーに合わせた形で中継制御ルールを作成することが可能となる。
【0090】
図5の説明に戻る。CPU201は、ステップS504で、クライアントPC102からリクエストルール移動要求を受け付けたかを判断する。このリクエストルール移動要求は、中継制御ルール一覧画面1800の移動ボタン1807−1が押下された場合に、クライアントPC102が、プロキシサーバ101に対して発行する。
【0091】
CPU201は、リクエストルール移動要求を受け付けたと判断した場合には(ステップS504でYES)、クライアントPC102に対して、図20に示す中継制御ルール移動画面2000を表示させるための画面情報を送信する(ステップS505)。
【0092】
ここで図20を参照して、中継制御ルール移動画面2000の構成について説明する。図20は、プロキシサーバ101から中継制御ルール移動画面情報を受信したクライアントPC102の表示部に表示される中継制御ルール移動画面の構成の一例を示す図である。
【0093】
ルール移動画面2000には、中継制御ルール種別表示欄2001、ルール移動先入力欄2002、ルール移動先指定部2003、移動ボタン2004、キャンセルボタン2005が設定されている。
【0094】
中継制御ルール種別表示欄2001には、リクエストルール、レスポンスルール何れかのルール種別が表示される。ルール移動先入力欄2002は移動対象となる中継制御ルールをどの中継制御ルールの位置に移動させるかの中継制御ルール指定の入力を行う入力欄である。ルール移動先指定部2003は、ルール移動先入力欄2002に入力された中継制御ルールのどの位置(上、下)に移動させるかを指定する指定欄である。移動ボタン2004は、移動対象のルールをルール移動先入力欄2002及びルール移動先指定部2003への入力情報で特定される位置に移動させる処理を行わせるための更新情報をプロキシサーバ101に対して送信するために用いられるコントロールである。キャンセルボタン2005は、この画面を介しての中継制御ルールの移動処理をキャンセルするために用いられるコントロールである。
【0095】
尚、この中継制御ルールの移動処理によって、中継制御の処理対象となるデータに対して適用する中継制御ルールの優先順位を変更することが可能となる。以上が図20の中継制御ルール移動画面2000の説明である。
【0096】
図5の説明に戻る。CPU201は、ステップS506でレスポンスルールの詳細設定要求を受け付けたかを判断する。レスポンスルールの詳細設定要求は、図18の更新ボタン1805−2、若しくは追加ボタン1808−2の押下指示をクライアントPC102が受け付けた場合に、プロキシサーバ101に対して発行される。
【0097】
CPU201は、レスポンスルールの詳細設定要求を受け付けたと判断した場合には(ステップS506でYES)、クライアントPC102に対して、図19に示す中継制御ルール詳細画面1900を表示させるための画面情報を送信する(ステップS507)。尚、更新ボタン1805−2の押下を受け付けたことで、クライアントPC102がプロキシサーバ101に対してこの要求を行った場合には、更新対処となるレスポンスルールの詳細を含んだ画面情報を作成し、クライアントPC102に対して送信することになる。
【0098】
ステップS508で、CPU201は、クライアントPC102からレスポンスルールの移動要求を受け付けたかを判断する。このレスポンスルール移動要求は、中継制御ルール一覧画面面1800の移動ボタン1807−2が押下された場合に、クライアントPC102が、プロキシサーバ101に対して発行する。
【0099】
CPU201は、レスポンスルール移動要求を受け付けたと判断した場合には(ステップS508でYES)、クライアントPC102に対して、図20に示す中継制御ルール移動画面2000を表示させるための画面情報を送信する(ステップS509)。
【0100】
そして、その後、ステップS510において、CPU201は、クライアントPC102から、中継制御ルールDB311の更新情報を受け付けたかを判断する。クライアントPC102から送信される中継制御ルールDB311の更新情報としては、中継制御ルール一覧画面1800の削除ボタン1806−1、若しくは削除ボタン1806−2の押下を受け付けることでクライアントPC102が送信する中継制御ルール削除のための更新情報、ルール詳細画面1900の更新ボタン1912の押下を受け付けることで送信される中継制御ルールの追加、変更の更新情報、移動画面2000の移動ボタン2004の押下を受けることで送信する中継制御ルールの移動の更新情報などがある。
【0101】
クライアントPC102からの更新情報を受け付けた(ステップS510でYES)とプロキシサーバ101のCPU201が判断した場合には、受信した更新情報に従って、中継制御ルールDB311を更新し(ステップS511)、更新後の中継制御ルールを含む中継制御ルール一覧画面1800をクライアントPC102に対して送信する(ステップS512)。以上が、図4のステップS402の中継制御ルール設定処理の詳細である。
【0102】
次に、図6を参照して、図4のステップS404のアクセスブロック解除パスワード設定処理の詳細について説明する。CPU201は、CPU201をアクセスブロック解除パスワード設定部302として機能させるためのプログラムの制御に従って、この処理を行う。
【0103】
まず、CPU201は、後述するアクセスブロック解除パスワード一覧画面2100を表示させるための情報であるアクセスブロック解除パスワード一覧画面情報を作成し、クライアントPC102に対して送信する。このアクセスブロック解除パスワード一覧画面情報を受信したクライアントPC102は、例えばブラウザアプリケーションの制御に従い、表示部にアクセスブロック解除パスワード一覧画面2100を表示することになる。
【0104】
ここで、図21を参照して、アクセスブロック解除パスワード一覧画面2100の構成について説明する。図21はプロキシサーバ101よりアクセスブロック解除パスワード一覧画面情報を受信したクライアントPC102の表示部に表示されるアクセスブロック解除パスワード一覧画面の一例を示す図である。
【0105】
図21に示すように、アクセスブロック解除パスワード一覧画面2100には、アクセスブロック解除パスワードデータの詳細データの表示部として、ID2101、説明2102、有効期間2103が設定されており、さらに操作ボタン表示部2104には、アクセスブロック解除パスワードデータの更新、削除、追加を行うための更新ボタン2105、削除ボタン2106、追加ボタン2107が設定されている。
【0106】
ID2101は、アクセスブロック解除パスワードのIDを表示するための表示部である。このID2101に表示されるデータは、図15のアクセスブロック解除パスワードDB312のID1501に登録されている。説明2102は、アクセスブロック解除パスワードの説明を表示するための表示部である。この説明2102に表示されるデータは、アクセスブロック解除パスワードDB312の説明1502に登録されている。有効期間2103は、アクセスブロック解除パスワードの有効期間を表示するための表示部である。この有効期間2103に表示されるデータは、アクセスブロック解除パスワードDB312の有効期間1503に登録されている。
【0107】
更新ボタン2105は、プロキシサーバ101に対して、アクセスブロック解除パスワードの設定要求を行うために用いられるコントロールである。削除ボタン2106は、プロキシサーバ101に対して、アクセスブロック解除パスワードの削除要求を示す更新情報を送信するために用いられるコントロールである。追加ボタン2107は、新規のアクセスブロック解除パスワード登録のために、プロキシサーバにアクセスブロック解除パスワードの詳細設定要求を行うために用いられるコントロールである。以上が図21のアクセスブロック解除パスワード一覧画面2100の構成の説明である。
【0108】
図6の説明に戻る。クライアントPC102にアクセスブロック解除パスワード一覧画面を表示させるための画面情報を送信後、CPU201は、クライアントPC102よりアクセスブロック解除パスワードの詳細設定要求を受け付けたかを判断する(ステップS602)。アクセスブロック解除パスワードの詳細設定要求は、図21の更新ボタン2105、若しくは追加ボタン2107の押下指示をクライアントPC102が受け付けた場合に、プロキシサーバ101に対して発行される。
【0109】
CPU201は、アクセスブロック解除パスワードの詳細設定要求を受け付けたと判断した場合には(ステップS602でYES)、クライアントPC102に対して、図22に示すアクセスブロック解除パスワード詳細画面2200を表示させるための画面情報を送信する(ステップS603)。尚、更新ボタン2105の押下を受け付けたことで、クライアントPC102がプロキシサーバ101にこの要求を行った場合には、更新対象となるアクセスブロック解除パスワードの詳細を含んだ画面情報を作成し、クライアントPC102に対して送信することになる。
【0110】
ここで、図22を参照して、アクセスブロック解除パスワード詳細画面2200について説明する。図22はプロキシサーバ101よりアクセスブロック解除パスワード詳細画面情報を受信したクライアントPC102の表示部に表示されるアクセスブロック解除パスワード詳細画面2200の構成の一例を示す図である。
【0111】
アクセスブロック解除パスワード詳細画面2200には、ID表示部2201、説明入力欄2202、パスワード入力欄2203、解除時間入力欄2204、有効期間指定部2205、有効期間入力欄2206、更新ボタン2207、キャンセルボタン2208が設定されている。
【0112】
ID表示部2201は、アクセスブロック解除パスワードを一意に識別するための識別情報を表示するための表示部である。このID表示部2201に表示されるデータが図15に示すアクセスブロック解除パスワードDB312のID1501に登録される。説明入力欄2202は、アクセスブロック解除パスワードの説明を入力するための入力欄であり、この説明入力欄2202に入力された情報が、アクセスブロック解除パスワードDB312の説明1502に登録される。
【0113】
パスワード入力欄2203はアクセスブロック解除パスワードを入力するための入力欄であり、このパスワード入力欄2203に入力された情報がアクセスブロック解除パスワードDB312のパスワード1503に登録される。解除時間入力欄1504は、アクセスブロック解除パスワードによる中継制御ルールが解除される時間を入力するための入力欄であり、この解除時間入力欄1504に入力された情報が、アクセスブロック解除パスワードDB312の解除時間1504に登録される。
【0114】
有効期間指定部2205は、アクセスブロック解除パスワードの有効期間を指定するための指定部であり、「有効期間指定なし(無制限)」が指定された場合には、有効期間を無期限として、「有効期間あり」が指定された場合には、有効期間入力欄2206を有効にし、有効期間の入力を受け付ける。有効期間入力欄2206はアクセスブロック解除パスワードの有効期間を入力する入力欄である。ここでは「いつから」「いつまで」という形で、情報の入力を受け付けることになる。「いつから」「いつまで」のいずれか一方を入力しなくても構わない。そしてこの有効期間指定部2205、有効期間入力欄2206への入力により決定される有効期間が、アクセスブロック解除パスワードDB312の有効期間1505に設定される。
【0115】
更新ボタン2207は、プロキシサーバ101に対して、この画面を介して入力された情報でアクセスブロック解除パスワードDB312を更新する(追加、変更)ための更新情報を送信するために用いられるコントロールである。キャンセルボタン2208は、この画面を介してのアクセスブロック解除パスワードの更新処理をキャンセルするために用いられるコントロールである。以上が図22のアクセスブロック解除パスワード詳細画面2200の説明である。
【0116】
図6の説明に戻る。CPU201は、ステップS604において、クライアントPC102から、アクセスブロック解除パスワードDB312の更新情報を受け付けたかを判断する。クライアントPC102から送信されるアクセスブロック解除パスワードDB312の更新情報としては、アクセスブロック解除パスワード一覧画面2100の削除ボタン2106、の押下を受け付けることでクライアントPC102が送信するアクセスブロック解除パスワード削除のための更新情報、アクセスブロック解除パスワード詳細画面2200の更新ボタン2207の押下を受け付けることで送信されるアクセスブロック解除パスワードの追加、変更の更新情報などがある。
【0117】
クライアントPC102からの更新情報を受け付けた(ステップS604でYES)とプロキシサーバ101のCPU201が判断した場合には、受信した更新情報に従って、アクセスブロック解除パスワードDB312を更新し(ステップS605)、更新後のアクセスブロック解除パスワードを含むアクセスブロック解除パスワード一覧画面2100をクライアントPC102に対して送信する(ステップS606)。以上が、図4のステップS404のアクセスブロック解除パスワード設定処理の詳細である。
【0118】
次に、図7を参照して、図4のステップS406のプロキシ処理の詳細について説明する。CPU201は、CPU201をプロキシ処理部303として機能させるためのプログラムの制御に従って、この処理を行う。
【0119】
CPU201は、ネットワーク(LAN103、広域ネットワーク104)を介してデータを受信すると(ステップS701)、そのデータがクライアントPC102からウェブサーバ105に対して送信されたデータ(HTTPリクエスト)であるか、それとも、クライアントPC102からのHTTPリクエストに応じて、ウェブサーバ105から当該クライアントPC102対して送信されたデータ(HTTPレスポンス)であるかを判断する(ステップS702)。
【0120】
HTTPリクエストであると判断した場合には(ステップS702で「リクエスト」)、処理をステップS703に進め、HTTPリクエストデータに含まれるリクエストヘッダーの解析(ステップS703)、リクエストボディの解析(ステップS704)を行う。これらの処理で、ステップS701で取得したHTTPリクエストが、どのユーザ(クライアントPC102)により送信指示されたものなのか、どのウェブサーバ105に対して送信されたものなのか、HTTPリクエストデータのサイズ、ウェブサーバ105に対して送信される情報、ファイル、当該ファイルの種類、等を取得することになる。
【0121】
一方、HTTPレスポンスであると判断した場合には(ステップS702で「レスポンス」)、処理をステップS705に進め、HTTPレスポンスデータに含まれるレスポンスヘッダーの解析(ステップS705)、レスポンスボディの解析(ステップS706)を行う。ステップS705、S706の処理は、ステップS702、S703の処理と略同様である。
【0122】
その後、ステップS704、もしくはS706の処理が終了すると、ステップS703、S704、若しくはステップS705、706で取得した各種の情報をもとに、中継制御ルールの適用処理を行う(ステップS707)。この処理の詳細については、図11を参照して説明する。
【0123】
図11は、図7のステップS707の中継制御ルール適用処理の詳細を示すフローチャートである。
【0124】
CPU201は、ステップS1101において、中継制御ルールDB311に記憶されている中継制御ルールのうち、ステップS701で取得したHTTPデータにまだ適用していない中継制御ルールがあるかを判断する。この判断処理で未適用の中継制御ルールがあると判断した場合には(ステップS1101でYES)、処理をステップS1102に進め、中継制御ルールの種別(リクエスト、レスポンス)、適用優先度に従い、次に当該送信データに適用する中継制御ルールを決定し、その中継制御ルールを取得する。ここで、プロキシサーバはステップS701で取得したHTTPデータがHTTPリクエストである場合には、リクエストルールを、HTTPレスポンスである場合にはレスポンスルールを適用して中継制御を行う。
【0125】
そして、処理対象のHTTPデータがステップS1102で取得した中継制御ルールのURL1403からサイズ条件1408(若しくはURL1413からサイズ条件1418)に登録されている条件に合致しているかを判断する(ステップS1103)。条件に合致していると判断した場合には(ステップS1103でYES)、ステップS1104に処理を進め、当該中継制御ルールの動作1409(若しくは動作1419)に登録された処理を実行すると判定する。
【0126】
一方、ステップS1103で合致しない(NO)と判断した場合には、CPU201は処理をステップS1101に進め、未適用の中継制御ルールがまだあるかを判定する。そして、まだ残っていると判断した場合にはステップS1102からの処理を行うことになる。ステップS1101で未適用のルールはない(NO)と判断した場合には、処理をステップS1105に進め、デフォルト動作を実行すると判定する。本発明では、デフォルト動作、つまり、全ての中継制御ルールに合致しなかった場合の動作として予め「中継」、「ブロック」、「禁止」の何れかが設定されている。以上が図7のステップS707の中継制御ルール適用処理の詳細である。
【0127】
図7の説明に戻る。ステップS707の中継制御ルール適用処理が終了後、中継制御ルール適用処理において、ステップS701で取得したデータ(HTTPデータ)を中継すると判定した場合には(ステップS708でYES)、処理をステップS714に進める。一方、中継ではない(NO:つまりはブロックもしくは禁止)と判定した場合には、処理をステップS709に進め、パスワードによる解除判定処理を行う。このステップS709の処理では、アクセスブロック解除パスワードにより、ステップS709で適用された中継制御ルールが解除(無効化)されているかを判定することになる。この処理の詳細については、図12を参照して後述する。
【0128】
ステップS709で、適用された中継制御ルールがアクセスブロック解除パスワードで解除されたと判定した場合には(ステップS710でYES)、処理をステップS713に進め、ステップS701で取得したHTTPデータに対する動作を中継と設定する。
【0129】
一方、ステップS710でパスワードによる解除は行われていないと判定した場合には(ステップS710でNO)、ステップS711に処理を進め、承認よるアクセス禁止解除処理が行われているかを判定する。このステップS711の処理では、予め行っているアクセス禁止解除申請に対する承認により、ステップS707の中継制御ルール適用処理で適用された中継制御ルールが解除(無効化)されているかを判断することになる。この処理の詳細については、図13を参照して後述する。
【0130】
ステップS711の承認による解除判定処理で、承認によるアクセス禁止解除が行われていると判定した場合には(ステップS712でYES)、処理をステップS713に進め、ステップS701で取得したHTTPデータに対する動作を中継と設定する。一方、解除が行われていないと判定した場合には(ステップS712でNO)、処理をステップS714に進める。
【0131】
そして、ステップS714において、CPU201は、ステップS707の中継ルール適用処理でHTTPデータに適用した中継制御ルールに設定された動作、若しくはステップS713で設定された動作(中継)を、当該HTTPデータに対して実行する。
【0132】
実行する動作が中継の場合には、ステップS701で取得したHTTPデータを、指定された宛先に対して中継する処理を行う。実行する動作が「ブロック」の場合には、ステップS701で取得したデータがHTTPリクエストである場合には、当該HTTPリクエストを送信したクライアントPC102に対して、HTTPレスポンスである場合には、当該HTTPレスポンスの送信先であるクライアントPC102に対して、図23のアクセスブロック画面2300をクライアントPC102の表示部に表示させるためのアクセスブロック画面情報を送信する。
【0133】
実行する動作が「禁止」の場合には、ステップS701で取得したデータがHTTPリクエストである場合には、当該HTTPリクエストを送信したクライアントPC102に対して、HTTPレスポンスである場合には、当該HTTPレスポンスの送信先であるクライアントPC102に対して、図27に示すアクセス禁止画面2700をクライアントPC102の表示部に表示させるためのアクセス禁止画面情報を送信する。以上が、図4のステップS406のプロキシ処理の詳細である。
【0134】
この処理を行うことで、本発明では、予め得設定された中継制御ルールに従ったデータの中継制御を行うことができるとともに、通常はアクセスが禁止されるウェブサーバ105に対しても、アクセスブロック解除パスワードやアクセス禁止解除申請に対する承認により、アクセスを許可することが可能となるなど、柔軟なデータの中継制御が可能となる。また、内部(クライアントPC102)から外部(ウェブサーバ105)に送信されるデータだけでなく外部から内部に送信されるデータに対しても、中継制御ルールに規定されたルールを用いての通信制御を行うことが可能となる。これにより、例えば、データサイズや、添付ファイルデータの一致だけでなく、それらを複合させた中継制御ルールを作成することが可能となる。また、それら外部からの通信に適用されるレスポンスルールを、当該ルールを適用するウェブサーバを特定した形で(URL指定、カテゴリ指定)作成することも可能であるため、例えば、ウェブサーバが提供するサービスに応じた中継制御処理を行うことも可能となる。
【0135】
次に、図23を参照して、アクセスブロック画面2300の構成について説明する。図23は、プロキシサーバ101によるプロキシ処理の結果、データ通信のブロック動作が行われた際にプロキシサーバ101から送信されるアクセスブロック画面情報を受信したクライアントPC102の表示部に表示されるアクセスブロック画面の構成の一例を示す図である。
【0136】
図23に示すように、アクセスブロック画面2300には、適用中継制御ルール表示部2301、解除パスワード入力欄2302、解除ボタン2303、及びブロック解除申請要求アンカー2304が設定されている。
【0137】
適用中継制御ルール表示部2301は、データ通信に適用された中継制御ルールの情報を表示する表示部である。例えば、中継制御ルールのID1401(若しくは1411)、説明(1402(若しくは1412)等が表示される。
【0138】
アクセスブロック解除パスワード入力欄2302は、中継制御ルール表示部2301に表示されている中継制御ルールを解除(無効化)するためのパスワードを入力する入力欄である。解除ボタン2303は、アクセスブロック解除パスワード入力欄2302に入力されたパスワードをプロキシサーバ101に送信するために用いられるボタンである。この解除ボタン2303の押下を受け付けると、クライアントPC102は、アクセスブロック解除パスワードをプロキシサーバに対して送信する。アクセスブロック解除パスワードを受け付けたプロキシサーバ101は、アクセスブロック解除パスワードを受け付けた(図4のステップS407でYES)と判断して、アクセスブロック解除パスワード判定処理(ステップS408)を行うことになる。
【0139】
アクセスブロック解除申請要求アンカー2304は、プロキシサーバ101に対してアクセスブロック解除申請を行うために用いられるアンカーである。このアクセスブロック解除申請を受け付けたプロキシサーバ101は、アクセスブロック・アクセス禁止解除申請を受け付けたと判断して(図4のステップS409でYES)、アクセスブロック・アクセス禁止解除申請登録処理(ステップS410)を行うことになる。以上が図23のアクセスブロック解除画面2300の説明である。
【0140】
次に、図27を参照して、アクセス禁止画面2700の構成について説明する。図27は、プロキシサーバ101によるプロキシ処理の結果、データ通信の禁止動作が行われた際にプロキシサーバ101から送信されるアクセス禁止画面情報を受信したクライアントPC102の表示部に表示されるアクセス禁止画面の構成の一例を示す図である。
【0141】
図27に示すように、アクセス禁止画面2700には、適用中継制御ルール表示部2701、及びアクセス禁止解除申請要求アンカー2702が設定されている。
【0142】
適用中継制御ルール表示部2701は、データ通信に適用された中継制御ルールの情報を表示する表示部である。例えば、中継制御ルールのID1401(若しくは1411)、説明(1402(若しくは1412)等が表示される。
【0143】
アクセス禁止解除申請要求アンカー2702は、プロキシサーバ101に対してアクセス禁止解除申請を行うために用いられるアンカーである。このアクセス禁止解除申請を受け付けたプロキシサーバ101は、アクセス禁止解除申請を受け付けたと判断して(図4のステップS409でYES)、アクセスブロック・アクセス禁止解除申請登録処理(ステップS410)を行うことになる。以上が図27のアクセス禁止画面2700の説明である。
【0144】
次に、図8を参照して、クライアントPC102からアクセスブロック解除パスワードを受信した場合にプロキシサーバ101が行う、アクセスブロック解除パスワード判定処理(図4のステップS408)の詳細について説明する。CPU201は、CPU201をアクセスブロック解除パスワード判定部304して機能させるためのプログラムの制御に従って、本処理を行う。
【0145】
まず、CPU201は、クライアントPC102からアクセスブロック解除パスワードとして送信されたデータと、アクセスブロック解除パスワードDB312に登録されているアクセスブロック解除パスワードデータとを照合することで、受信したパスワードが正しいかを判断する(ステップS801)。
【0146】
CPU201が、クライアントPC102からブロック解除パスワードとして送信されたデータがブロック解除パスワードとして正しいと判断した場合には(ステップS801でYES)、処理をステップS802に進める。そして、アクセスブロック解除パスワードの有効期間1505とその時点の時刻とを照合し、アクセスブロック解除パスワードデータが有効期間内かを判断する。ステップS802の判断処理で、クライアントPC102から受信したアクセスブロック解除パスワードが有効期間内であると判断した場合には、次に、当該アクセスブロック解除パスワードの送信指示を行ったクライアントPC102を操作するユーザのプロキシ認証が行われているかを判断する(ステップS803)。この際に、プロキシサーバ101の設定でプロキシ認証を行うに設定されている場合は、クライアントPC102からプロキシサーバ101に対して送信されるHTTPリクエストのHTTPヘッダーに設定されているProxy−Authorizationフィールドから認証名を取得して、その認証名を用いてプロキシ認証が行われているかを判断することになる。
【0147】
プロキシ認証が行われていると判断した場合には(ステップS803でYES)、パスワードによる解除エントリテーブル1700に新規のエントリ(データ)を追加して、その認証名1701にHTTPヘッダーより取得した認証情報を設定する(ステップS804)一方、プロキシ認証が行われていないと判断した場合には(ステップS804でNO)、パスワードによる解除エントリテーブル1700に新規のエントリを追加して、クライアント装置のIPアドレスをIPアドレス1702に設定する(ステップS805)。
【0148】
そして、ステップS804若しくはS805で追加されたエントリ失効時間1703に、アクセスブロック解除パスワードを受信した時刻と、当該アクセスブロック解除パスワードに設定されている解除時間1504とから算出される失効時間を登録する(ステップS806)。そして、その後、プロキシサーバのプロキシ処理によりブロックされたHTTPヘッダーのリクエストURLに設定されていたURL情報(当該通信でアクセスしようとしたウェブサーバ105のURL)をHTTPヘッダーのLocationに設定し、リダイレクト応答をクライアントPC102に送信する(ステップS807)。このリダイレクト応答を受信したクライアントPC102は、ブラウザアプリケーションの制御により、Locationに設定されたURLに対してHTTPデータの送信を行うことになる。
【0149】
このリダイレクト受信に応じてクライアントPC102が送信するHTTPデータの通信制御について説明する。プロキシサーバ101は、クライアントPC102より、リダイレクト応答に応じて行われるHTTPデータを受信する(図4のステップS405でYESと判断する)と、図4のステップS406のプロキシ処理を行うことになる。このプロキシ処理の詳細処理を示す図7のステップS707の中継制御ルール適用処理では、このHTTPデータに先立って行われた当該ウェブサーバ105へのHTTPデータ送信に対して適用されたルールが再度適用され、このHTTPデータの通信をブロックするという判定をプロキシサーバ101は行うことになる。よって、その後の図7のステップS708の判断処理でNOと判断し、パスワードによる解除判定処理(ステップS709)が行われる。
【0150】
ここで、図12を参照して、図7のステップS709のパスワードによる解除判定処理について説明する。図12は図7のステップS709のパスワードによる解除判定処理の詳細を示すフローチャートである。
【0151】
CPU201は、ステップS701で受信したHTTPデータにプロキシ認証情報が含まれているかを判断する(ステップS1201)。含まれていると判断した場合には(ステップS1201でYES)、パスワードによる解除エントリテーブル1700に、認証情報(認証名が一致するパスワードによる解除エントリがあるかを判断する(ステップS1202)。一方、CPU201がHTTPデータにプロキシ認証情報が含まれていないと判断した場合には(ステップS1201でNO)、処理をステップS1203に進め、IPアドレスが一致するパスワードによる解除エントリがあるかを判断する(ステップS1203)。
【0152】
ステップS1202、ステップS1203の判断処理において、一致するパスワードによる解除エントリがあると判断した場合には、当該パスワードによる解除エントリが有効であるか、即ち、パスワードによる解除エントリの失効時刻に設定されている時刻を経過していないかを判断することになる(ステップS1204)。パスワードによる解除エントリが有効であると判断した場合には、パスワード入力による解除中と判定する。
【0153】
ステップS1202、S1203の判断処理で、一致するパスワードによる解除エントリがないと判断した場合、ステップS1204の判断処理で、パスワードによる解除エントリが失効したと判断した場合には、処理をステップS1206に進め、パスワード入力による解除は行われていない(未解除)と判定する。以上が図7のステップS711のパスワードによる解除判定処理の詳細な説明である。
【0154】
リダイレクト受信によりウェブサーバ105に対しての通信が行われた場合には、既に、パスワードによる解除エントリテーブル1700に以前に通信の中継を拒否された中継制御ルールを無効化するためのパスワードによる解除エントリが登録されていることになるので、それ以前にデータの中継を拒否されたウェブサーバ105に対してアクセスすることが可能となり、クライアントPC102は当該ウェブサーバ105が提供するサービスを享受することが可能となる。また、従来の解除パスワードとは異なり、パスワードの有効期間を設定できるので、長期間にわたるウェブサーバ105への例外的なアクセスを防ぐことが可能となる。
【0155】
次に、図9を参照して、クライアントPC102からアクセスブロック・アクセス禁止解除申請を受け付けた場合にプロキシサーバ101が行うアクセスブロック・アクセス禁止解除申請登録処理について説明する。図23のアクセスブロック画面2300に含まれるアクセスブロック解除申請要求アンカー2304に対してクリック指示を受け付けた場合、図27のアクセス禁止画面2700に含まれる禁止解除申請要求アンカー2702に対してクリック指示を受け付けた場合に、クライアントPC102は、このアクセスブロック・アクセス禁止解除申請をプロキシサーバに対して要求する。CPU201は、CPU201をアクセスブロック・禁止解除申請受付部305として機能させるためのプログラムの制御に従って、本処理を行うことになる。
【0156】
CPU201は、まず、クライアントPC102に対して、図24に示すアクセスブロック解除申請画面2400を表示部に表示させるためのブロック解除申請画面情報を送信する(ステップS901)。このアクセスブロック解除申請画面情報には、プロキシサーバ101のプロキシ処理により通信を禁止された際に適用された中継制御ルールを特定するための情報(ルール種別とルールID)が含まれている。中継制御ルールを特定するための情報は、例えば、<input type="hidden" name="id"
value="6a549df2f6b371bf45eadd9027d91d6a">といったように、プロキシサーバ101で適用したルール種類とルールIDとそれに割り当てるユーザに推測不可能なランダムなIDをプロキシサーバで管理しておき、ブロック解除申請画面情報にはランダムなIDを記載しておく。そしてクライアントPC102からアクセスブロック解除申請画面を介して送信指示されたランダムなIDを用いて、どのルールが適用されたかを認識可能にしておくことが望ましい。クライアントPC102ではこのアクセスブロック解除申請画面情報を受信すると、ブラウザアプリケーションの機能により、表示部にアクセスブロック解除申請画面2400を表示する。
【0157】
図24は、プロキシサーバ101よりアクセスブロック解除申請画面情報を受信したクライアントPC102の表示部に表示されるアクセスブロック解除申請画面の構成の一例を示す図である。図24に示すように、アクセスブロック解除申請画面には、アクセスブロック解除申請理由入力欄2401、申請ボタン2402、キャンセルボタン2403が設定されている。
【0158】
アクセスブロック解除申請理由入力欄2401は、アクセスブロック解除の申請理由を入力するための入力欄である。ここに入力された情報が、図16に示すアクセスブロック・アクセス禁止解除申請DB313の申請理由1607に登録される。申請ボタン2402は、プロキシサーバ101に対して、アクセスブロック解除申請を送信するに用いられるコントロールである。クライアントPC102は、この申請ボタン2402の押下を受け付けると、申請理由入力欄2401に入力された申請理由データと、アクセスブロック解除申請画面情報に含まれる、中継制御ルールを特定するための情報とをプロキシサーバ101に送信することで、アクセスブロック解除申請を行うことになる。キャンセルボタン2403は本画面により処理を終了するために用いるコントロールである。以上が図24のアクセスブロック解除申請画面2400の説明である。尚、アクセス禁止解除の申請に用いられるアクセス禁止解除申請画面はこのアクセスブロック解除申請画面と同様の構成であるので、詳細な説明は割愛する。
【0159】
図9の説明に戻る。アクセスブロック解除申請画面情報をクライアントPC102に送信後、クライアントPC102からアクセスブロック解除申請情報の入力を受け付けると(ステップS902でYES)、アクセスブロック・アクセス禁止解除申請DB313に新たなデータを追加し、受信した情報に従って、各データ項目を登録する(ステップS903)。以上が、図4のステップS410のアクセスブロック・アクセス禁止解除処理の詳細である。尚、ここではアクセスブロック解除申請を例に本処理の説明を行ったが、アクセス禁止解除申請についても略同様である。この処理を終えると、この申請に対する承認権限を有するユーザ(承認者)に電子メール等で承認要求の通知を行うことになる。
【0160】
次に、図10を参照して、図4のステップS412のアクセスブロック・アクセス解除申請判定処理の詳細について説明する。CPU201は、CPU201をアクセスブロック・アクセス禁止解除申請判定処理部306として機能させるためのプログラムの制御に従って、本処理を行う。
【0161】
クライアントPC102から、アクセスブロック・アクセス禁止解除申請判定要求を受け付けると(図4のステップS411でYESと判断)、図25のアクセスブロック・アクセス禁止解除申請一覧画面2500をクライアントPC102の表示部に表示させるためのアクセスブロック・アクセス禁止解除申請一覧画面情報をクライアントPC102に対して送信する(ステップS1001)。尚、このアクセスブロック・アクセス禁止解除申請一覧画面情報には、当該クライアントPC102を使用するユーザが承認すべき、アクセスブロック・アクセス禁止解除申請DB313中の申請データが含まれている。
【0162】
ここで、図25を参照して、アクセスブロック・アクセス禁止解除申請一覧画面2500の構成について説明する。図25は、プロキシサーバ101よりアクセスブロック・アクセス禁止解除申請画面情報を受信したクライアントPC102の表示部に表示されるアクセスブロック・アクセス禁止解除申請画面の一例を示す図である。
【0163】
図25に示すように、アクセスブロック・アクセス禁止解除申請一覧画面には、各アクセスブロック・アクセス禁止解除申請データの詳細データの表示部として、ID2501、申請日時2502、認証名2503、IPアドレス2504、適用ルール2505が設定されており、さらに操作ボタン表示部2506には、アクセスブロック・アクセス禁止解除申請に対する判定(承認/否認)を入力するためにアクセスブロック・アクセス禁止解除申請詳細画面2600を要求するための判定ボタン2507が設定されている。
【0164】
ID2501は、アクセスブロック・アクセス禁止解除申請データのIDを表示するための表示部である。このID2501に表示されるデータは、アクセスブロック・アクセス禁止解除申請DB313のID1601に登録されている。申請日時2502はアクセスブロック・アクセス禁止解除申請が行われた時刻を表示するための表示部である。この申請日時2502に表示されるデータは、アクセスブロック・アクセス禁止解除申請DB313の申請日時1602に登録されている。認証名2503は、アクセスブロック・
アクセス禁止解除申請を行ったユーザの認証名が表示される表示欄である。この認証名2503に表示されるデータは、アクセスブロック・アクセス禁止解除申請DB313の認証名1603に登録されている。IPアドレス2504は、アクセスブロック・アクセス禁止解除申請を行う際に用いられたクライアントPC102のIPアドレスが表示される表示欄である。このIPアドレス2504に表示されるデータは、アクセスブロック・アクセス禁止解除申請DB313のIPアドレス1604に登録されている。適用ルール表示欄1605は、この申請による解除を行いたい中継制御ルールの情報を表示するための表示欄である。この表示欄には、ブロック解除申請DB313のルール種類1605、及びルールID1606に登録されている情報から特定される中継制御ルールの情報(例えばID1401、説明1402等)が表示される。
【0165】
判定ボタン2507の押下指示を受け付けると、クライアントPC102はプロキシサーバ101に対して判定要求を行うことになる。以上が、図25のアクセスブロック・アクセス禁止解除申請一覧画面の説明である。
【0166】
図10の説明に戻る。アクセスブロック・アクセス禁止解除申請一覧画面情報をクライアントPC102に送信後、クライアントPC102から判定要求を受け付けたかを判断する(ステップS1002)。判定要求を受け付けたと判断した場合には、判定対象となるアクセスブロック解除申請データ若しくはアクセス禁止解除申請データを含むアクセスブロック・アクセス禁止解除申請詳細画面2600を表示させるためのアクセスブロック・アクセス禁止解除申請詳細画面情報をクライアントPC102に対して送信する(ステップS1003)。
【0167】
ここで、図26を参照してアクセスブロック・アクセス禁止解除申請詳細画面2600の構成について説明する。図26はアクセスブロック・アクセス禁止解除申請詳細画面情報を受信したクライアントPC102の表示部に表示されるアクセスブロック・アクセス禁止解除申請詳細画面の構成の一例を示す図である。
【0168】
図26に示すように、アクセスブロック・アクセス禁止解除申請詳細画面2600には、申請データ詳細表示部2601、確認ボタン2602、送信メセージ入力欄2603、解除時間入力欄2604、承認ボタン2605、否認ボタン2606、及びキャンセルボタン2607が設定されている。
【0169】
申請データ詳細表示部2601は、承認/否認の判定対象とするアクセスブロック・アクセス禁止解除申請データの詳細を表示する表示部である。確認ボタン2602は、適用ルールとされた中継制御ルールの詳細を確認するためのコントロールである。このボタンの押下指示を受け付けると、クライアントPC102はプロキシサーバ101に対して、適用ルールの詳細を表示するための不図示中継制御ルール詳細画面を表示するための画面情報を要求する。画面情報をプロキシサーバ101から取得すると、クライアントPC102は表示部に不図示の中継制御ルール詳細画面を表示する。これにより、アクセスブロック・アクセス禁止解除申請の承認を行うユーザは、適用ルールの詳細を確認したうえで承認/否認の入力指示を行うことが可能となる。なお、申請データ表示部2601の所属やユーザ名は認証名もしくはIPアドレスをキーとして不図示のユーザ情報テーブルから取得して表示する。
【0170】
送信メッセージ入力欄2603は、判定結果送信メールに記載するコメントを入力するための入力欄である。解除時間入力欄2604は、この画面の適用ルール表示箇所に表示されている中継制御ルールを解除する時間を入力するための入力欄である。図26に示すように、時間を開始時刻(「いつから」)と終了時刻(「いつまで」)という形で入力することが可能である。解除時間入力欄2604に対する入力がなされなかった場合には、解除期間は無期限とされる。
【0171】
承認ボタン2605は、プロキシサーバ101に対して「承認」の判定情報を送信するために用いられるコントロールである。承認ボタン2605の押下指示を受け付けると、クライアントPC102は、ID、送信メッセージ入力欄2603に入力された情報、解除時間入力欄2604に入力された情報をプロキシサーバ101に対して送信する。なお、アクセスブロック解除申請に対して承認を行った場合には、パスワードによる解除を行うか、それとも承認による解除を行うかと決定することになる。パスワードによる解除を行うと決定した場合には、プロキシサーバ101から当該申請を行ったユーザに対して電子メール等でアクセスブロック解除パスワードが送信されることになる。その際にはプロキシサーバ101のCPU201は、管理者の指示に従い新たに作成されたアクセスブロック解除パスワード若しくは、既に登録されているアクセスブロック解除パスワードのうち管理者の指示に従い選択されたアクセスブロック解除パスワードを送信する。また、プロキシサーバ101のCPU201がランダムな数値を生成し、それをパスワードをアクアセスブロック解除パスワードDB312に登録し、そのパスワードを電子メールで送信する方法を用いても勿論構わない。アクセスブロック解除申請に対して承認による解除を選択した場合、及びアクセス禁止解除申請に対して承認を行った場合には、承認による解除エントリテーブルに解除エントリを追加する。
【0172】
否認ボタン2606は、プロキシサーバ101に対して「否認」の判定情報を送信するために用いられるコントロールである。否認ボタン2606の押下指示を受け付けると、クライアントPC102は、ID、送信メッセージ入力欄2603に入力された情報をプロキシサーバ101に対して送信する。
【0173】
キャンセルボタン2607は、本画面を介しての判定処理を終了するために用いられるコントロールである。以上が、図26のアクセスブロック・アクセス禁止解除申請詳細画面2600の説明である。
【0174】
図10の説明に戻る。ブロック解除申請詳細画面2600を表示させるための画面情報を送信後、クライアント装置102から判定情報を受信したかを判断する(ステップS1004)。判定情報を受信したと判断した場合には(ステップS1004でYES)、ステップS1005に処理を進め、判定結果が承認であるかを判断する。判定結果が承認であると判断した場合には承認による解除エントリテーブル1710に新たなエントリ(データ)の追加、または、申請者に対するアクセスブロック解除パスワードの送信を行う。承認による解除エントリテーブル1710に新たなエントリ(データ)の追加する際には、クライアントPC102から判定情報として受信した情報(例えば解除期間情報等)を新たなエントリに登録する(ステップS1006)。
【0175】
ステップS1006の終了後、若しくはステップS1005で否認(NO)と判断した場合には、処理をステップS1007に進め、電子メール送信等の方法で、承認者による判定結果を申請を行ったユーザ(申請者)対して通知する(判定通知メール送信:ステップS1007)。その後、判定情報を受け付けたアクセスブロック解除申請データまたはアクセス禁止解除申請データを、アクセスブロック・アクセス禁止解除申請DB313から削除する(ステップS1008)。そして上記の処理をステップS1009で終了指示を受け付けたと判断するまで繰り返すことになる。以上が図4のステップS412のアクセスブロック・アクセス禁止解除申請判定処理の詳細である。
【0176】
次に、クライアントPC102からあるウェブサーバ105(ウェブサーバ1とする)に対してのHTTPデータ通信がプロキシサーバ101によるプロキシ処理の結果、動作が「禁止」と設定されている中継制御ルール(中継制御ルール1)に合致した後に(つまりは中継が拒否された)、アクセスブロック・アクセス禁止解除申請を行い承認された場合に、当該ウェブサーバ1に対して再度クライアントPC102からHTTPデータ通信を行う場合に行われるプロキシサーバ101により行われるプロキシ処理について説明する。
【0177】
クライアントPC102からウェブサーバ1に対するデータ通信を取得すると、プロキシサーバ101は図4のステップS406のプロキシ処理を行う。ここでは、送信が禁止された際と同様、中継制御ルール1の適用処理が行われるため、図7のステップS709で中継制御ルール適用の結果の動作が禁止と判定される。よって、ステップS710の処理では、NOと判断され、ステップS711のパスワードによる解除判定処理を行う。しかしこの場合には、動作がブロックとされた後に解除パスワードを入力することでルールを無効化するものではないので、ステップS711での処理の結果は未解除と判定される。
【0178】
よって、ステップS712の判断処理で、CPU201はNOと判断し、処理をステップS713に進め、承認による解除判定処理を行うことになる。この承認による解除判定処理の詳細について、図13を参照して説明する。
【0179】
図13は、図7のステップS713の承認による解除判定処理の詳細を示すフローチャートである。まず、CPU201は、図7のステップS701で取得したデータがプロキシ認証情報を含むデータかを判断する(ステップS1301)。そして、プロキシ認証情報があると判断した場合には(ステップS1301でYES)処理をステップS1302に進め、承認による解除エントリテーブル1710にステップS701で取得したデータに含まれる認証名と同一の認証名1712を有するエントリ(データ)があるかを判断する。一方、ステップS1301でNOと判断した場合には、ステップS1303に処理を進め、承認による解除エントリテーブル1710に、ステップS701で受信したデータ(HTTPデータ)を送信したクライアントPC102のIPアドレスと同一のIPアドレス1713を有するエントリ(データ)があるかを判断する。
【0180】
ステップS1302、ステップS1303の判断処理で、エントリがある(YES)と判断した場合には、処理をステップS1304に進め、ルール種類(リクエストルール、レスポンスルール)が一致するかを判断する。一致すると判断した場合には(ステップS1304でYES)、ステップS1305に処理を進め、そのルールIDが中継制御ルール適用処理で適用された中継制御ルールのIDと一致するかを判断する。一致すると判断した場合には(ステップS1305でYES)、当該承認による解除エントリが有効であるかを有効期間情報に設定された情報とその時点での時刻情報とから判断する(ステップS1306)。エントリが有効であると判断した場合には(ステップS1306でYES)、CPU201は、承認による解除中であると判定する(ステップS1307)。
【0181】
ステップS1302、S1303、ステップS1304、ステップS1305及びステップS1306の何れかの判断処理でNOと判断した場合には、処理をステップS1308に進め、未解除であると判定する。以上が図7のステップS713の承認による解除判定処理の詳細である。
【0182】
アクセス禁止解除申請が承認されたことにより、クライアントPC102に対して中継制御ルール1を解除する解除エントリが承認による解除エントリテーブル1710に登録されているので、図7のステップS713では、承認による解除が行われたと判定することになり、その後のステップS714の判断処理でYESと判断することになる。これにより、CPU201は処理をステップS715に移すことになるので、ステップS709で「禁止」と判定された動作が「中継」に変更されることになる。そのため、このクライアントPC102からウェブサーバ1に対するデータ通信は中継制御ルール1にもかかわらず中継されることになる。これにより、プロキシサーバ101により柔軟なデータ通信制御を行わせることが可能となる。
【0183】
また、本実施例では、承認により中継制御ルールを解除するという例を説明したが、これに限らず、承認解除エントリにユーザ(若しくはクライアントPC102)を示す情報(送信元を示す情報)と、ウェブサーバ105のURL情報(送信先の情報)とが対応する承認解除エントリを作成し、ある中継制御ルールに合致して中継が禁止されたデータ通信であっても、当該承認解除エントリエントリに合致している場合には中継を許可するような中継制御をおこなっても勿論構わない。
【0184】
また、本発明の目的は、前述した実施形態の機能を実現するソフトウェアのプログラムコードを記録した記録媒体(または記憶媒体)を、システムあるいは装置に供給し、そのシステムあるいは装置のコンピュータ(またはCPUやMPU)が記録媒体に格納されたプログラムコードを読み出し実行することによっても、達成されることは言うまでもない。この場合、記録媒体から読み出されたプログラムコード自体が前述した実施形態の機能を実現することになり、そのプログラムコードを記録した記録媒体は本発明を構成することになる。
【0185】
また、コンピュータが読み出したプログラムコードを実行することにより、前述した実施形態の機能が実現されるだけでなく、そのプログラムコードの指示に基づき、コンピュータ上で稼働しているオペレーティングシステム(OS)などが実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0186】
さらに、記録媒体から読み出されたプログラムコードが、コンピュータに挿入された機能拡張カードやコンピュータに接続された機能拡張ユニットに備わるメモリに書込まれた後、そのプログラムコードの指示に基づき、その機能拡張カードや機能拡張ユニットに備わるCPUなどが実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0187】
本発明を上記記録媒体に適用する場合、その記録媒体には、先に説明したフローチャートに対応するプログラムコードが格納されることになる。
【符号の説明】
【0188】
101 プロキシサーバ
102−1、102−2、102−3 クライアントPC
103 LAN(Local Area Network)
104 広域ネットワーク
105−1、105−2、105−3 ウェブサーバ
201 CPU
202 RAM
203 ROM
204 システムバス
205 入力コントローラ
206 ビデオコントローラ
207 メモリコントローラ
208 通信I/Fコントローラ
209 入力装置
210 ディスプレイ装置210
211 外部メモリ
【技術分野】
【0001】
本発明は、内部ネットワークの端末装置とインターネット等の外部ネットワーク上のホームページ等の情報資源を提供するサーバ装置等との間の通信の中継制御を行う技術に関する。
【背景技術】
【0002】
ネットワーク技術の発展によって、情報のやりとりが非常に簡便に、且つ効率良く行うことが可能になっている。例えば、会議に使用する資料を電子メールに添付して参加者に前もって送付したりすることが、手間も煩わしさもなく行うことが可能になっている。ただ、このようにネットワーク技術が発達し、情報のやりとりが容易に行われるようになった反面、重要な機密情報が簡単に外部に流出してしまう、また、外部からコンピュータウィルス等の有害情報が流入してしまうという危険性の度合いも増してきている。
【0003】
そこで、企業等では、業務とは直接関係ない情報を提供しているサーバへのアクセスを禁止する等の対策を講じている。例えば、特定のURLに対するアクセスを禁止する通信制御であるURLフィルタリングを行うコンピュータ機器を導入し、アクセスが許可されないURLに対するリクエストを当該URLが示す情報資源を提供する外部サーバに転送しないことで、当該URLが示す情報資源にアクセスできないようにしている。
【0004】
URLフィルタリングを行う場合には、アクセスを許可するURLのリストであるホワイトリストや、アクセスを禁止するURLのリストであるブラックリストを作成し、それらに対する制御を、つまりは、ホワイトリストに登録されているURLに対するリクエストはその通信を中継し、ブラックリストに登録されているURLに対するリクエストは、その通信を中継しないといった制御を行うことになる。
【0005】
例えば、特許文献1には、URLフィルタリングに関し、ホワイトリストの登録編集を行うことを容易にする発明が開示されている。この発明によれば管理者がURLフィルタ設定を行うことを容易にしている。また、URLフィルタリングによる通信制御では、全てのユーザの要求を満たすルールを作成するのは困難であるので、例えば、URLフィルタリングルールに関係なく、例えば予め指定されたパスワードを入力させることでフィルタリングを解除し、ブラックリストに登録されているURLに対しても接続を許可する等の機能を有しているURLフィルタリングアプリケーション等もある。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2009−277156号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
先にも述べたように、URLフィルタリングによるインターネット上の情報資源へのアクセス制御を行う場合、全てのユーザが満足いくルールを作成することは、ほぼ不可能といってよい。しかし、特定のパスワードで全てのURLフィルタリングを解除してしまうのでは、パスワードが流出してしまうと、URLフィルタリングがそもそも意味をなさなくなってしまう。
【0008】
特に、企業内でのURLフィルタリングにおいては、フィルタリングルールを適用するとアクセスすることができない、業務に必要と思われる情報を得られるホームページ等の情報資源に一定期間アクセスを許可し、その間に情報を入手できる機会を与えれば良く、フィルタリングルールの解除状態を継続する必要性は低い。
【0009】
そこで、本発明は、上記した課題に鑑み、URLフィルタリングの解除を行う期間を無期限とせず、一定の期間にのみURLフィルタリングルールでは許可されない情報資源への接続を許可することを可能とする情報処理装置、情報処理方法、及びコンピュータプログラムを提供することを目的とする。
【課題を解決するための手段】
【0010】
上記した目的を達成するために、本発明の情報処理装置は以下の構成を備える。即ち、端末装置と、外部のサーバ装置との間の通信を中継制御するための中継制御ルール、及び当該中継制御ルールを解除するための有効期限が設定されたパスワードを記憶する記憶手段を備え、前記端末装置と前記外部サーバとの間の通信の中継制御を行う情報処理装置であって、前記端末装置と前記外部のサーバ装置との間で送受信されるHTTPデータを取得する第1の取得手段と、前記第1の取得手段で取得したHTTPデータに対して前記中継制御ルールを適用することにより、当該HTTPデータの中継を許可するか否かを判断する第1の判断手段と、前記第1の判断手段で中継を拒否すると判断した後に、前記端末装置に対して、前記中継制御ルールを解除するためのパスワード入力欄を備える画面情報を送信する送信手段と、前記端末装置において、前記画面情報を介して入力されたパスワードを取得する第2の取得手段と、前記第2のパスワードが前記記憶手段に記憶され、且つ当該パスワードが有効期限内であるかを判断する第2の判断手段と、前記第2の判断手段で前記第2の取得手段で取得したパスワードが前記記憶手段に記憶され、且つ当該パスワードが有効期限内であると判断した場合に、解除エントリを生成する生成手段と、前記第1の判断手段で、中継を許可しないと判断されたHTTPデータに対応する解除エントリが生成されている場合に、前記第1の判断手段で中継しないと判断された通信を中継するように制御する制御手段とを備える。
【0011】
また、上記した目的を達成するために、本発明の情報処理方法は以下の構成を備える。即ち、端末装置と、外部のサーバ装置との間の通信を中継制御するための中継制御ルール、及び当該中継制御ルールを解除するための有効期限が設定されたパスワードを記憶する記憶装置を備え、前記端末装置と前記外部サーバとの間の通信の中継制御を行う情報処理装置によって行われる情報処理方法であって、前記端末装置と前記外部のサーバ装置との間で送受信されるHTTPデータを取得する第1の取得工程と、前記第1の取得工程で取得したHTTPデータに対して前記中継制御ルールを適用することにより、当該HTTPデータの中継を許可するか否かを判断する第1の判断工程と、前記第1の判断工程で中継を拒否すると判断した後に、前記端末装置に対して、前記中継制御ルールを解除するためのパスワード入力欄を備える画面情報を送信する送信工程と、前記端末装置において、前記画面情報を介して入力されたパスワードを取得する第2の取得工程と、前記第2のパスワードが前記記憶装置に記憶され、且つ当該パスワードが有効期限内であるかを判断する第2の判断工程と、前記第2の判断工程で前記第2の取得工程で取得したパスワードが前記記憶装置に記憶され、且つ当該パスワードが有効期限内であると判断した場合に、解除エントリを生成する生成工程と、前記第1の判断工程で、中継を許可しないと判断されたHTTPデータに対応する解除エントリが生成されている場合に、前記第1の判断工程で中継しないと判断された通信を中継するように制御する制御工程とを備える。
【0012】
また、上記した目的を達成するために、本発明のコンピュータプログラムは以下の構成を備える。即ち、端末装置と、外部のサーバ装置との間の通信を中継制御するための中継制御ルール、及び当該中継制御ルールを解除するための有効期限が設定されたパスワードを記憶する記憶手段を備えるコンピュータを、前記端末装置と前記外部サーバとの間の通信の中継制御を行う情報処理装置として機能させるためのコンピュータプログラムであって、前記コンピュータを、前記端末装置と前記外部のサーバ装置との間で送受信されるHTTPデータを取得する第1の取得手段と、前記第1の取得手段で取得したHTTPデータに対して前記中継制御ルールを適用することにより、当該HTTPデータの中継を許可するか否かを判断する第1の判断手段と、前記第1の判断手段で中継を拒否すると判断した後に、前記端末装置に対して、前記中継制御ルールを解除するためのパスワード入力欄を備える画面情報を送信する送信手段と、前記端末装置において、前記画面情報を介して入力されたパスワードを取得する第2の取得手段と、前記第2のパスワードが前記記憶手段に記憶され、且つ当該パスワードが有効期限内であるかを判断する第2の判断手段と、前記第2の判断手段で前記第2の取得手段で取得したパスワードが前記記憶手段に記憶され、且つ当該パスワードが有効期限内であると判断した場合に、解除エントリを生成する生成手段と、前記第1の判断手段で、中継を許可しないと判断されたHTTPデータに対応する解除エントリが生成されている場合に、前記第1の判断手段で中継しないと判断された通信を中継するように制御する制御手段として機能させる。
【発明の効果】
【0013】
本発明によれば、URLフィルタリングの解除を行う期間を無期限とせず、特定のユーザに対してある一定の期間にのみURLフィルタリングルールでは許可されない情報資源への接続を許可することを可能とする情報処理装置、情報処理方法、及びコンピュータプログラムを提供することが可能となる。
【図面の簡単な説明】
【0014】
【図1】本発明の実施形態に係る、情報処理システムのシステム構成の一例を示す図である。
【図2】図1のプロキシサーバ101に適用可能な情報処理装置のハードウェア構成の一例を示す図である。
【図3】図1のプロキシサーバ101の機能構成の一例を示す図である。
【図4】図1のプロキシサーバ101により行われる処理の概要を示すフローチャートである。
【図5】図4のステップS402の中継制御ルール設定処理の詳細を示すフローチャートである。
【図6】図4のステップS404のアクセスブロック解除パスワード設定処理の詳細を示すフローチャートである。
【図7】図4のステップS406のプロキシ処理の詳細を示すフローチャートである。
【図8】図4のステップS408のアクセスブロック解除パスワード判定処理の詳細を示すフローチャートである。
【図9】図4のステップS410のアクセスブロック・禁止解除申請登録処理の詳細を示すフローチャートである。
【図10】図4のステップS412のアクセスブロック・禁止解除申請判定処理の詳細を示すフローチャートである。
【図11】図7のステップS707の中継制御ルール適用処理の詳細を示すフローチャートである。
【図12】図7のステップS709のパスワードによる解除判定処理の詳細を示すフローチャートである。
【図13】図7のステップS711の承認による解除判定処理の詳細を示すフローチャートである。
【図14】図3の中継制御ルールDB(データベース)311の構成の一例を示す図である。
【図15】図3のアクセスブロック解除パスワードDB(データベース)312の構成の一例を示す図である。
【図16】図3のアクセスブロック・アクセス禁止解除申請DB(データベース)313の構成の一例を示す図である。
【図17】図3のアクセスブロック・アクセス禁止解除エントリDB(データベース)314の構成の一例を示す図である。
【図18】クライアントPC102の表示部に表示される中継制御ルール一覧画面1800の構成の一例を示す図である。
【図19】クライアントPC102の表示部に表示される中継制御ルール詳細画面1900の構成の一例を示す図である。
【図20】クライアントPC102の表示部に表示される中継制御ルール移動画面2000の構成の一例を示す図である。
【図21】クライアントPC102の表示部に表示されるアクセスブロック解除パスワード一覧画面2100の構成の一例を示す図である。
【図22】クライアントPC102の表示部に表示されるアクセスブロック解除パスワード詳細画面2200の構成の一例を示す図である。
【図23】クライアントPC102の表示部に表示されるアクセスブロック画面2300の構成の一例を示す図である。
【図24】クライアントPC102の表示部に表示されるアクセスブロック解除申請画面2400の構成の一例を示す図である。
【図25】クライアントPC102の表示部に表示されるアクセスブロック・アクセス禁止解除申請一覧画面2500の構成の一例を示す図である。
【図26】クライアントPC102の表示部に表示されるアクセスブロック・アクセス禁止解除申請詳細画面2600の構成の一例を示す図である。
【図27】クライアントPC102の表示部に表示されるアクセス禁止画面2700の構成の一例を示す図である。
【発明を実施するための形態】
【0015】
以下、図面を参照して、本発明に係る情報処理システムの実施の形態について説明する。図1は、本発明に係る情報処理システムのシステム構成の一例を示す図である。図1に示す如く本実施形態に係る情報処理システムは、プロキシサーバ101、クライアントPC102−1乃至102−3(以後、まとめて「クライアントPC102」とする)、LAN103、広域ネットワーク104、ウェブサーバ105−1乃至105−3(以後、まとめて「ウェブサーバ105」とする)を備えている。以下、本発明の情報処理システムを構成する各装置について説明する。
【0016】
プロキシサーバ101は、本発明の情報処理装置として機能する装置であり、クライアントPC102とウェブサーバ105との間のデータ通信を中継する。また、プロキシサーバ101は、後述する中継制御ルールに従って、クライアントPC102からウェブサーバ105に対して送信されるデータの中継を許可する(中継する)/拒否する(中継しない)、ウェブサーバ105からクライアントPC102に対して送信されたデータの中継を許可する/拒否するといったデータの通信制御(中継制御)を行う機能や、当該中継制御ルールの登録、修正、削除等を行うために用いられる各種の設定ページの提供するウェブサーバ機能を有している。
【0017】
クライアントPC102は、ウェブサーバ105が提供する各種のサービス(ホームページの閲覧等)を利用するユーザが使用する端末装置である。LAN103は、プロキシサーバ101、クライアントPC102を相互にデータ通信可能に接続するネットワークである。
【0018】
ウェブサーバ105は、各種のウェブサービスを提供するサービス事業者により設置されるサーバ装置である。ここで提供されるサービスとしては、例えばホームページの閲覧サービスや、商品の販売サービス、航空券やホテル等の予約サービス等があるが、これに限定されない。プロキシサーバ101とウェブサーバ105は、インターネット等の広域ネットワーク104を介して、相互にデータ通信可能に接続されている。以上が本発明の情報処理システム構成の一例の説明である。
【0019】
次に図2を参照して、図1のプロキシサーバ101に適用可能な情報処理装置のハードウェアの構成の一例を説明する。
【0020】
図中、CPU201は、システムバス204に接続される後述の各デバイスやコントローラを統括的に制御する。また、ROM203あるいは外部メモリ211には、CPU201の制御プログラムであるBIOS(Basic Input / Output System)やオペレーティングシステムプログラム(以下、OS)や、プロキシサーバ101に後述する各種の処理を実行させるために必要な各種プログラムやデータ等が記憶されている。RAM202は、CPU201の主メモリ、ワークエリア等として機能する。
【0021】
CPU201は、処理の実行に際して必要なプログラム等をRAM202にロードして、プログラムを実行することで後述する各種処理を実現するものである。また、入力コントローラ(入力C)205は、キーボードやポインティングデバイス等で構成される入力装置209からの入力を制御する。ビデオコントローラ(VC)206は、ディスプレイ装置210等の表示装置への表示を制御する。ディスプレイ装置210は、例えばCRTディスプレイや液晶ディスプレイ等で構成される。
【0022】
メモリコントローラ(MC)207は、ブートプログラム、ブラウザソフトウエア、各種のアプリケーション、フォントデータ、ユーザファイル、編集ファイル、各種データ等を記憶するハードディスク(HD)やフロッピーディスク(登録商標 FD)或いはPCMCIAカードスロットにアダプタを介して接続されるコンパクトフラッシュメモリ等の外部メモリ211へのアクセスを制御する。
【0023】
通信I/Fコントローラ(通信I/FC)208は、ネットワークを介して、外部機器と接続・通信するものであり、ネットワークでの通信制御処理を実行する。例えば、TCP/IPを用いたインターネット通信等が可能である。
【0024】
なお、CPU201は、例えばRAM202内の表示情報用領域へアウトラインフォントの展開(ラスタライズ)処理を実行することにより、ディスプレイ装置210上での表示を可能としている。また、CPU201は、ディスプレイ装置210上の不図示のマウスカーソル等でのユーザ指示を可能とする。以上が、プロキシサーバ101に適用可能な情報処理装置のハードウェア構成の説明であるが、後述する各種の処理を実行可能であれば、必ずしも図2に記載のハードウェア構成を有していなくとも構わないことは言うまでもない。
【0025】
次に、図3を参照して、図1のプロキシサーバ101の機能構成について説明する。図3に示す通り、プロキシサーバ101は、中継制御ルール設定部301、アクセスブロック解除パスワード設定部302、プロキシ処理部303、アクセスブロック解除パスワード判定部304、アクセスブロック・アクセス禁止解除申請登録部305、アクセスブロック・アクセス禁止解除申請判定部306を備えている。
【0026】
中継制御ルール設定部301は、後述する中継制御ルール設定処理を行う機能部である。アクセスブロック解除パスワード設定部302は、後述するアクセスブロック解除パスワード設定処理を行うための機能部である。
【0027】
プロキシ処理部303は、後述するプロキシ処理を行う機能部である。アクセスブロック解除パスワード判定部304は後述するアクセスブロック解除パスワード判定処理を行う機能部である。アクセスブロック・アクセス禁止解除申請登録部305は後述するアクセスブロック・アクセス禁止解除申請登録処理を行う機能部である。アクセスブロック・アクセス禁止解除申請判定部306は後述するアクセスブロック・アクセス禁止解除申請判定処理を行う機能部である。
【0028】
また、プロキシサーバ101は、後述する各種処理を行う際に用いるデータを記憶する中継制御ルールDB311、アクセスブロック解除パスワードDB312、アクセスブロック・アクセス禁止解除申請DB313、アクセスブロック・アクセス禁止解除エントリDB314を備えている。
【0029】
ここで、図14、図15、図16、及び図17を参照して、図3の中継制御ルールDB311、アクセスブロック解除パスワードDB312、アクセスブロック・アクセス禁止解除申請DB313、及びアクセスブロック・アクセス禁止解除エントリDB314のデータ構成について説明する。
【0030】
図14は、図3の中継制御ルールDB311のデータ構成の一例を示す図である。図14に示すように、中継制御ルールDB311には、クライアントPC102からウェブサーバ105に送信されるデータ(リクエストデータ)の中継制御に用いられるリクエストルールを記憶したリクエストルールテーブル1400と、クライアントPC102から送信されたリクエストデータに応じて、ウェブサーバ105から当該クライアントPC102に送信されるデータ(レスポンスデータ)の中継制御に用いられるレスポンスルールを記憶したレスポンスルールテーブル1410とを備えている。
【0031】
リクエストルールテーブル1400には、そのデータ項目として、ID1401、説明1402、URL1403、カテゴリ1404、キーワード1405、MIMEタイプ1406、サイズ1407、サイズ条件1408、動作1409が設定されている。
【0032】
ID1401には、リクエストルールを一意に識別するための識別情報が登録される。説明1402には、当該ルールの説明として、後述する図19のルール詳細入力画面1900の説明入力欄1902に入力された情報が登録される。URL1403には、当該ルールを適用するURL条件が登録される。カテゴリ1404には、当該ルールが適用されるウェブサービスのカテゴリが登録される。それぞれのウェブサーバ105が提供するウェブサービスがどのカテゴリ(例えばショッッピングサイトや旅行サイト、掲示板、ウェブメール等)に属すかを示す情報は、不図示のカテゴリDBに登録されている。尚、URL1403、カテゴリ1404のいずれにも情報が登録されていない場合には、全てのウェブサーバ105に対する通信に適用される中継制御ルールであることを示す。
【0033】
キーワード1405には、当該ルールを適用するキーワード条件が登録される。ウェブサーバ105に送信されるリクエストデータに含まれるキーワードの条件に登録されている文字列が含まれる場合には、本ルールの適用対象となる。MIMEタイプ1406には、MIMEタイプ条件が登録される。ウェブサーバ105に送信されるデータに、当該MIMEタイプ条件に該当するファイルが含まれている場合に、そのリクエストデータの通信に対して本ルールが適用される。例えば、JPEGファイルを含むリクエストデータの通信に対して適用するリクエストルールには、このMIMEタイプ1406にimage/jpegが登録される。
【0034】
サイズ1407には、送信されるデータサイズの閾値条件が、サイズ条件1408には、以上、以下、未満等の合致条件が登録される。例えば、データサイズが1MB以上のデータ通信に適用するリクエストルールには、サイズ1407、サイズ条件1408にそれぞれ、「1MB」、「以上」が登録される。
【0035】
動作1409には、URL1403からサイズ条件108までの設定された条件に合致したデータ通信に対して行う処理が登録される。「中継」が登録されている場合には、ルールに合致したリクエストデータを指定されたウェブサーバ105に中継する(中継を許可)。「ブロック」が登録されている場合には、当該リクエストデータをウェブサーバに中継せず(中継を拒否)、図23に示すアクセスブロック画面2300をクライアントPC102に対して返信する。「禁止」が登録されている場合には、当該リクエストデータをウェブサーバ105に中継せず(中継を拒否)、図27に示すアクセス禁止画面2700をクライアントPC102に対して返信する。
【0036】
レスポンスルール1410も、リクエストルール1401と同様のデータ項目を有して構成されているので、詳細な説明は割愛する。尚、本説明では、リクエストルール1400とレスポンスルール1410とを異なるデータテーブルで管理する例を説明したが、これに限らず、例えば、ルールIDで特定される中継制御ルールが、リクエストルール、レスポンスルールのいずれであるかを示す情報を登録するデータ項目を設定し、そのデータ項目に設定された値を参照することで当該中継制御ルールがリクエストルールであるか、それともレスポンスルールであるかを特定可能な形で1つのデータテーブルで管理しても勿論構わない。
【0037】
図15は、図3のアクセスブロック解除パスワードDB312のデータ構成の一例を示す図である。図15に示すように、アクセスブロック解除パスワードDB312には、そのデータ項目として、ID1501、説明1502、パスワード1503、解除時間1504、有効期間1505が設定されている。
【0038】
ID1501には、アクセスブロック解除パスワードデータを一意に識別するための識別情報が登録される。説明1502には、当該アクセスブロック解除パスワードデータの説明として、後述する図22に示すアクセスブロック解除パスワード詳細画面2200の説明入力欄2202に入力された情報が登録される。パスワード1503には、中継制御ルールを一時的に解除するために用いられるパスワード情報が登録される。
【0039】
尚、本実施形態の説明では、中継制御ルールを「解除(無効化)」するとは、中継制御ルールに「ブロック」「禁止」が設定されている(即ち中継を許可しない)場合でもその中継制御ルールに合致したデータ通信を「中継」するデータ中継制御をプロキシサーバ101実行させることを意味する。
【0040】
例えば、後述するアクセスブロック画面2300の解除パスワード入力欄2302に適用ルール表示欄2301に表示されている中継制御ルールを解除するためのパスワード1503を入力し、解除ボタン2303を押下指示することで、プロキシサーバ101にアクセスブロック画面2300の適用ルール表示欄2301に表示された中継制御ルールの解除を指示することができる。
【0041】
解除時間1504には、解除時間が登録される。一度アクセスブロック解除パスワードを用いて、ある中継制御ルール(ルール1とする。このルール1の動作1409若しくは1419には「ブロック」が設定されている。)を解除し、ウェブサーバ105に対してアクセスした後に、解除時間に登録されている時間が経過後、再度ルール1の条件で中継がブロックされるウェブサーバ105に対してアクセスしようとすると、プロキシサーバ101は当該リクエストを中継せず、再度アクセスブロック画面2300をクライアントPC102に対して返信することになる。
【0042】
有効期間1505には、ブロック解除パスワードデータの有効期間情報が登録される。尚、アクセスブロック解除パスワードDBについては、例えば、無効ルールIDを示すデータ項目を追加して特定のルールのみ解除する(ルールの特定が行われない場合には全てのルールを解除する)ようにしても構わない。データ項目にユーザを特定するためのデータ項目を追加して、当該パスワードを有効に使用できるユーザのみがそのパスワードを使用して中継制御ルールを解除できるようにしても良い(ユーザが特定されない場合には全てのユーザに対して有効)ことは言うまでもない。
【0043】
図16は、図3のアクセスブロック・アクセス禁止解除申請DB313のデータ構成の一例を示す図である。図16に示すように、アクセスブロック・アクセス禁止解除申請DB313には、そのデータ項目として、ID1601、申請日時1602、認証名1603、IPアドレス1604、ルール種類1605、ルールID1606、申請理由1607が設定されている。
【0044】
ID1601には、アクセスブロック・アクセス禁止解除申請データを一意に識別するための識別情報が登録される。申請日時1602には、当該アクセスブロック・アクセス禁止解除申請データが登録された日時情報が登録される。認証名1603には、当該アクセスブロック・アクセス禁止解除申請データの申請を指示したユーザの認証名が登録される。IPアドレスには、当該アクセスブロック・アクセス禁止解除申請を行った際に用いられたクライアントPC102のIPアドレスが登録される。
【0045】
ルール種類1605には解除対象とする中継制御ルールの種類(リクエストルール、レスポンスルール)が登録される。ルールID1606には、解除対象とする中継制御ルールのIDが登録される。1607には、解除を行う申請理由が登録される。
【0046】
図17は、アクセスブロック・アクセス禁止解除エントリDB314のデータ構成の一例を示す図である。図17に示すように、アクセスブロック・アクセス禁止解除エントリDB314には、クライアントPC102とウェブサーバ105との間のデータの中継制御に用いられる、パスワードによる解除エントリテーブル1700と承認による解除エントリテーブル1710とを備えている。これらはいずれも、プロキシサーバ101による中継制御ルールを用いたデータの中継制御では、クライアントPC102からウェブサーバ105(若しくは、ウェブサーバ105からクライアントPC102)への送信がブロック、若しくは禁止されるデータの通信を、一時的に例外的に中継する(通信を許可する)ために用いられるデータである。
【0047】
まず、パスワードによる解除エントリテーブル1700のデータ構成について説明する。パスワードによる解除エントリデータは、後述する図4のステップS408のアクセスブロック解除パスワード判定処理(詳細は図8)で、パスワードが有効であると判断した場合に作成される解除エントリデータである。図17に示す通り、パスワードによる解除エントリテーブル1700には、そのデータ項目として、認証名1701、IPアドレス1702、エントリ失効時間1703が設定されている。
【0048】
認証名1701には、当該パスワードによる解除エントリが適用されるユーザの認証名が登録される。プロキシサーバ101が、プロキシ認証を行っている場合に、認証名1701に情報が登録される。IPアドレス1702には、当該パスワードによる解除エントリが適用されるクライアントPC102のIPアドレスが登録される。認証名1701が登録されている場合には、この項目にはデータを登録する必要はない。エントリ失効時刻1703には、当該パスワードによる解除エントリデータが失効する日時情報が登録される。
【0049】
次に、承認による解除エントリテーブル1710のデータ構成について説明する。承認による解除エントリデータは、後述する図4のステップS412のアクセスブロック・アクセス禁止申請判定処理(詳細は図10)で、管理者に解除申請が承認された場合に作成される解除エントリデータである。図17に示す通り、承認による解除エントリテーブル1710には、ID1711、承認名1712、IPアドレス1713、ルール種類1714、ルールID1715、解除時間1716が設定されている。
【0050】
ID1711には、承認による解除エントリデータを一意に識別するための識別情報が登録される。認証名1712には、当該承認による解除エントリが適用されるユーザの認証名が登録される。プロキシサーバ101が、プロキシ認証を行っている場合に、認証名1712に情報が登録される。IPアドレス1713には、当該承認による解除エントリが適用されるクライアントPC102のIPアドレスが登録される。認証名1712が登録されている場合には、この項目にはデータを登録する必要はない。
【0051】
ルール種類1714には、リクエストルール、レスポンスルールのルール種別を示す情報が登録される。ルールID1715には、ルールIDが登録される。このルール種類1714及びルールID1715に登録されている情報をもとに、解除(無効化)する中継制御ルールが特定されることになる。解除期間1716には、ルール種類1714及びルールID1715とで特定される中継制御ルールの解除期間を示す日時情報が登録される。
【0052】
以上、図14〜図17を用いて説明した各種データの変更処理や、各種データを用いてプロキシサーバ101が行うデータ中継制御処理の詳細については、後述する。
【0053】
次に、図4を参照して、図1のプロキシサーバ101のCPU201により行われる処理の概要について説明する。図4に示す処理をCPU201に行わせるために用いられるプログラムは外部メモリ211に記憶されており、CPU201は、必要に応じて当該プログラムをRAM202にロードし、その制御に従って本処理を行うことになる。
【0054】
本発明のプロキシサーバ101は、図3に示した中継制御ルール記憶部301が行う中継制御ルール設定処理、アクセスブロック解除パスワード設定部302が行うアクセスブロック解除パスワード設定処理、プロキシ部303によって行われるプロキシ処理、アクセスブロック解除パスワード判定部304によって行われるアクセスブロック解除パスワード判定処理、アクセスブロック・アクセス禁止解除申請登録部305により行われるアクセスブロック・アクセス禁止解除申請登録処理、アクセスブロック・アクセス禁止解除申請判定部306によって行われるアクセスブロック・アクセス禁止解除申請判定処理、それぞれの処理要求をクライアントPC102より受け付けた場合に、図3に示す各機能部による処理を行う。
【0055】
ステップS401では、CPU201は、クライアントPC102から中継制御ルールの設定要求を受け付けたかを判断する。この中継制御ルールの設定要求は、クライアントPC102が、プロキシサーバ101がクライアントPC102に提供するウェブページのうち、中継制御ルール設定のためのウェブページにアクセスすることで、プロキシサーバ101に対して行うことになる。
【0056】
CPU201は、中継制御ルールの設定要求を受け付けたと判断した場合には(ステップS401でYES)、処理をステップS402に進め、中継制御ルール設定処理を行う。この中継制御ルール設定処理では、クライアントPC102とウェブサーバ105との間で行われるデータ通信の中継制御を行う際に用いる中継制御ルールの追加登録、変更、削除等を行う。詳細については、図5を参照して後述する。
【0057】
ステップS403では、CPU201は、クライアントPC102からアクセスブロック解除パスワードの設定要求を受け付けたかを判断する。アクセスブロック解除パスワードの設定要求は、クライアントPC102が、プロキシサーバ101がクライアントPC102に提供するウェブページのうち、アクセスブロック解除パスワード設定のためのウェブページにアクセスすることで、プロキシサーバ101に対して行うことになる。
【0058】
CPU201は、アクセスブロック解除パスワードの設定要求を受け付けたと判断した場合には(ステップS403でYES)、処理をステップS404に進め、アクセスブロック解除パスワードの設定処理を行う(ステップS404)。このアクセスブロック解除パスワードの設定処理では、通常の中継制御ルールを適用した中継制御処理では中継がブロックされる通信を一時的に中継させるためのパスワードの設定処理を行う。この処理の詳細については図6を参照して後述する。
【0059】
ステップS405では、CPU201は、プロキシ処理の要求を受け付けたかを判断する。CPU201は、クライアントPC102からウェブサーバ105に対しての送信されたリクエストデータを取得した場合や、クライアントPC102からのデータ通信に応じて、ウェブサーバ105からクライアントPC102に返送されたレスポンスデータを取得した場合に、このプロキシ要求を受け付けたと判断する。
【0060】
CPU201は、プロキシ処理の要求を受け付けたと判断した場合に(ステップS405でYES)、処理をステップS406に進め、プロキシ処理を行う。このプロキシ処理では、プロキシサーバ101のCPU201は、中継制御ルール311に従ったデータの中継制御を行う。この処理の詳細については、図7を参照して後述する。
【0061】
ステップS407では、CPU201は、クライアントPC102よりアクセスブロック解除パスワードを受け付けたかを判断する。ステップS606のプロキシ処理の結果に応じてクライアントPC102に送信され、クライアントPC102のディスプレイ装置に表示されるアクセスブロック画面2300解除ボタン2300の押下指示を受け付けることで、クライアントPC102が解除パスワード入力欄2302に入力された情報をアクセスブロック解除パスワードとして、プロキシサーバ101に対して送信する。
【0062】
CPU201は、アクセスブロック解除パスワードを受け付けた(受信した)と判断した場合に(ステップS407でYES)、処理をステップS408に進め、アクセスブロック解除パスワード判定処理を行う。この処理の詳細については、図8を参照して後述する。
【0063】
ステップS409では、CPU201は、アクセスブロック・アクセス禁止解除申請を受け付けたかを判断する。ステップS606のプロキシ処理の結果に応じてクライアントPC102に送信され、クライアントPC102のディスプレイ措置に表示されるアクセスブロック画面2300中のアクセスブロック解除申請要求アンカー2304に対するクリック指示、アクセス禁止画面2700中のアクセス禁止解除申請要求アンカー2702に対するクリック指示を受け付けることで行われる、クライアントPC102によるプロキシサーバ101が提供するアクセスブロック・アクセス禁止解除申請を行うためのページへのアクセスを受け付けた場合に、CPU201は、アクセスブロック・アクセス禁止解除申請を受け付けたと判断することになる。
【0064】
CPU201は、アクセスブロック・アクセス禁止解除申請を受け付けたと判断した場合には(ステップS409でYES)、処理をステップS410に進め、アクセスブロック・アクセス禁止解除申請登録処理を行う。この処理の詳細については、図9を参照して後述する。
【0065】
ステップS411では、CPU201は、アクセスブロック・アクセス禁止解除申請判定要求を受け付けたかを判断する。アクセスブロック・アクセス禁止解除申請判定要求は、ステップS410で申請登録されたアクセスブロック・アクセス禁止解除申請に対する承認/否認の処理を行うためのウェブページに対して、クライアントPC102からのアクセスを受け付けた場合に、CPU201は、アクセスブロック・アクセス禁止解除申請判定要求を受け付けたと判断することになる。
【0066】
CPU201は、アクセスブロック・アクセス禁止解除申請判定要求を受け付けたと判断した場合には(ステップS411でYES)、処理をステップS412に進め、アクセスブロック・アクセス禁止解除申請判定処理を行う。この処理の詳細については、図10を参照して後述する。
【0067】
そして、以上の処理を終了指示の入力を受け付ける(ステップS413でYESと判断する)まで行うことになる。以上が、本発明のプロキシサーバ101が行う処理の概要である。
【0068】
次に、図5を参照して、図4のステップS402の中継制御ルール設定処理の詳細について説明する。この処理では、CPU201は、CPU201を中継制御ルール設定部301として機能させるためのプログラムの制御に従って、後述するプロキシ処理でのデータの中継制御に使用する中継制御ルールを編集し、中継制御ルールDB(データベース)311を更新する処理を行う。
【0069】
まず、CPU201は、後述する中継制御ルール一覧画面1800を表示させるための情報である、中継制御ルール一覧画面情報を作成し、クライアントPC102に対して送信する(ステップS501)。この中継制御ルール一覧画面情報を受信したクライアントPC102は、例えば、ブラウザアプリケーションの制御に従い、表示部に図18に示す中継制御ルール一覧画面1800を表示することになる。
【0070】
ここで図18を参照して、中継制御ルール一覧画面1800の構成について説明する。図18は、プロキシサーバ101より中継制御ルール一覧画面情報を受信したクライアントPC102の表示部に表示される中継制御ルール一覧画面の構成の一例を示す図である。
【0071】
図18に示すように、中継制御ルール一覧画面1800には、中継ルール制御ルール種別(リクエストルール、レスポンスルール)ごとの、一覧表示部(リクエストルール一覧表示部1810、レスポンスルール一覧表示部1820)が設定されている。それぞれの一覧表示部には、その中継制御ルールデータの詳細データの表示部として、ID1801、説明1802、動作1803が設定されており、さらに、操作ボタン表示部1804には、各中継制御ルールデータの更新、削除、移動、追加を行うための更新ボタン1805−1、1805−2、削除ボタン1806−1、1806−2、移動ボタン1807−1、1807−2追加ボタン1808−1、1808−2が設定されている。
【0072】
ID1801は、中継制御ルールのIDを表示するための表示部である。このID1801に表示されるデータは、図14の中継制御ルールDB311のID1401(若しくはID1411)に登録されている。説明1802は、中継制御ルールの説明を表示するための表示部である。この説明1802に表示されるデータは、図14の中継制御ルール311の説明1402(若しくは説明1412)に登録されている。動作1803は、当該ルールに合致したデータに対してプロキシサーバ101が行う処理を表示する表示部である。この動作1803に表示されるデータは、図14の中継制御ルール311の動作1409(若しくは動作1419)に登録されている。
【0073】
更新ボタン1805−1、1805−2は、プロキシサーバ101に対して、当該中継制御ルールデータの詳細設定変更要求を送信するために用いられるコントロールである。削除ボタン1806−1、1806−2は、プロキシサーバ101に対して、当該中継制御ルールデータの削除要求を送信するために用いられるコントロールである。
【0074】
移動ボタン1807−1、1807−2は、プロキシサーバ101に対して、中継制御ルールデータの移動(優先度の変更)の要求を送信するために用いられるコントロールである。追加ボタン1808−1、1808−2は、新規の中継制御ルールの登録のために、プロキシサーバに中継制御ルールの追加要求を送信するためのコントロールである。以上が、図18に示す中継制御ルール一覧画面の構成の説明である。
【0075】
図5の説明に戻る。クライアントPC102に中継制御ルール一覧画面1800を表示させるための画面情報を送信後、CPU201は、クライアントPC102よりリクエストルールの詳細設定要求を受け付けたかを判断する(ステップS502)。リクエストルールの詳細設定要求は、図18の更新ボタン1805−1、若しくは追加ボタン1808−1の押下指示をクライアントPC102が受け付けた場合に、プロキシサーバ101に対して発行される。
【0076】
CPU201は、リクエストルールの詳細設定要求を受け付けたと判断した場合には(ステップS502でYES)、クライアントPC102に対して、図19に示す中継制御ルール詳細画面1900を表示させるための画面情報を送信する(ステップS503)。尚、更新ボタン1805−1の押下を受け付けたことで、クライアントPC102がプロキシサーバ101に対してこの要求を行った場合には、更新対象となるリクエストルールの詳細を含んだ画面情報を作成し、クライアントPC102に対して送信することになる。
【0077】
ここで図19を参照して、中継制御ルール詳細画面1900の構成について説明する。図19は、プロキシサーバ101より中継制御ルール詳細画面情報を受信したクライアントPC102の表示部に表示される中継制御ルール詳細画面1900の構成の一例を示す図である。
【0078】
中継制御ルール詳細画面1900には、種類表示部1901、ID表示部1902、説明入力欄1903、URL条件(URL、カテゴリ)指定部1904、URL入力欄1905、カテゴリ選択部1906、キーワード条件入力欄1907、MIMEタイプ条件入力欄1908、サイズ閾値入力欄1909、サイズ条件指定部1910、動作指定部1911、更新ボタン1912、キャンセルボタン1913が設定されている。
【0079】
種類表示部1901は、中継制御ルールの種類、即ち、リクエストルール、レスポンスルールを表示するための表示部である。ここでリクエストルールと表示されている場合には図14のリクエストルールテーブル1400に、レスポンスルールと表示されている場合にはレスポンスルールテーブル1410に作成される中継制御ルールが登録されることになる。
【0080】
ID表示部1902は、中継制御ルールを一意に識別するための識別情報を表示するための表示部である。このID表示部1902に表示されるデータが図14に示す中継制御ルールDB311のID1401(若しくはID1411)に登録される。説明入力欄1903は、中継制御ルールの説明を入力するための入力欄であり、この説明入力欄1903に入力された情報が、中継制御ルールDB311の説明1402(若しくは説明1412)に登録される。
【0081】
URL条件(URL、カテゴリ)指定部1904はURL条件として、URL入力を有効にするか、それともカテゴリ選択を有効にするかを指定する指定部である。この指定部で、URLが指定された場合には、後述するURL入力欄1905が有効となり、URLの入力が可能となる。カテゴリが指定された場合には、後述するカテゴリ選択部1906が有効となり、ウェブサービスのカテゴリの指定が可能となる。
【0082】
URL入力欄1905は、ウェブサーバのURLを入力する入力欄である。このURL入力欄1905に入力された情報が図14に示す中継制御ルールDB311のURL1403(若しくはURL1413)に登録される。このURLで特定されるウェブサーバ105に対するデータ通信(若しくはウェブサーバ105からのデータ通信)に対して、プロキシサーバ101はこの中継制御ルールを用いた中継制御処理を行うことになる。
【0083】
カテゴリ指定部1906は、ウェブサーバが提供するサービスのカテゴリを指定する指定部である。このカテゴリ指定部1906で指定された情報が、図14に示す中継制御ルールDB311のカテゴリ1404(若しくは1414)に登録される。指定されたサービスカテゴリに分類されたウェブサーバ105に対するデータ通信(若しくはウェブサーバ105からのデータ通信)に対して、プロキシサーバ101はこの中継制御ルールを用いた中継制御処理を行うことになる。
【0084】
キーワード入力欄1907は、キーワードを入力する入力欄である。このキーワード入力欄1907に入力された情報が、中継制御ルールDB311のキーワード1405(若しくはキーワード1415)に登録される。このキーワードを送信データに含むデータ通信に対して、プロキシサーバ101はこの中継制御ルールを用いた中継制御処理を行うことになる。
【0085】
MIMEタイプ入力欄1908は、MIMEタイプを入力する入力欄である。このMIMEタイプ入力欄1908に入力された情報が、中継制御ルールDB311のMIMEタイプ1406(若しくはMIMEタイプ1416)に登録される。このMIMEタイプで特定されるファイルタイプのデータを含むデータ通信に対して、プロキシサーバ101はこの中継制御ルールを用いた中継制御処理を行うことになる。
【0086】
サイズ閾値入力欄1909は、サイズの閾値を入力する入力欄である。このサイズ閾値入力欄1909に入力された情報が、中継制御ルール311のサイズ1407(若しくはサイズ1407)に登録される。サイズ条件指定部1910はサイズの条件(以上、以下等)を指定する指定部である。このサイズ条件指定部1910で指定された情報が、中継制御ルール311のサイズ条件1408(若しくはサイズ条件1418)に登録される。データサイズが、サイズ閾値入力欄1909に入力された情報と、サイズ条件指定部1910での指定とから導出される条件に合致した場合に、プロキシサーバ101はこの中継制御ルールを用いた中継制御処理を行うことになる。
【0087】
動作指定部1911は、作成した中継制御ルールに合致した場合に、プロキシサーバ101に行わせる処理を指定する指定部である。この動作指定部1911で指定された情報が中継制御ルールDB311の動作1409(若しくは動作1419)に登録される。
【0088】
更新ボタン1912は、プロキシサーバ101に対して、この中継制御ルール詳細画面1900を介して入力された情報で中継制御ルールDB311を更新する(追加、変更)するための更新情報を送信するために用いられるコントロールである。キャンセルボタン1913は、この中継制御ルール詳細画面1900を介しての中継制御ルールの更新処理をキャンセルするために用いられるコントロールである。以上が図19の中継制御ルール詳細画面1900の説明である。
【0089】
本発明では、このような形で中継制御ルールをHTTPリクエストデータに適用する中継制御ルールであるリクエストルールとHTTPレスポンスデータに適用するレスポンスルールとに、異なる中継制御ルールを設定することが可能となる。よって、それぞれのデータの特性に応じた中継制御ルールの作成が可能となる。また、外部にデータを送信する際のセキュリティポリシーと外部からデータを取得する際のセキュリティポリシーとが異なる場合でも、それぞれのセキュリティポリシーに合わせた形で中継制御ルールを作成することが可能となる。
【0090】
図5の説明に戻る。CPU201は、ステップS504で、クライアントPC102からリクエストルール移動要求を受け付けたかを判断する。このリクエストルール移動要求は、中継制御ルール一覧画面1800の移動ボタン1807−1が押下された場合に、クライアントPC102が、プロキシサーバ101に対して発行する。
【0091】
CPU201は、リクエストルール移動要求を受け付けたと判断した場合には(ステップS504でYES)、クライアントPC102に対して、図20に示す中継制御ルール移動画面2000を表示させるための画面情報を送信する(ステップS505)。
【0092】
ここで図20を参照して、中継制御ルール移動画面2000の構成について説明する。図20は、プロキシサーバ101から中継制御ルール移動画面情報を受信したクライアントPC102の表示部に表示される中継制御ルール移動画面の構成の一例を示す図である。
【0093】
ルール移動画面2000には、中継制御ルール種別表示欄2001、ルール移動先入力欄2002、ルール移動先指定部2003、移動ボタン2004、キャンセルボタン2005が設定されている。
【0094】
中継制御ルール種別表示欄2001には、リクエストルール、レスポンスルール何れかのルール種別が表示される。ルール移動先入力欄2002は移動対象となる中継制御ルールをどの中継制御ルールの位置に移動させるかの中継制御ルール指定の入力を行う入力欄である。ルール移動先指定部2003は、ルール移動先入力欄2002に入力された中継制御ルールのどの位置(上、下)に移動させるかを指定する指定欄である。移動ボタン2004は、移動対象のルールをルール移動先入力欄2002及びルール移動先指定部2003への入力情報で特定される位置に移動させる処理を行わせるための更新情報をプロキシサーバ101に対して送信するために用いられるコントロールである。キャンセルボタン2005は、この画面を介しての中継制御ルールの移動処理をキャンセルするために用いられるコントロールである。
【0095】
尚、この中継制御ルールの移動処理によって、中継制御の処理対象となるデータに対して適用する中継制御ルールの優先順位を変更することが可能となる。以上が図20の中継制御ルール移動画面2000の説明である。
【0096】
図5の説明に戻る。CPU201は、ステップS506でレスポンスルールの詳細設定要求を受け付けたかを判断する。レスポンスルールの詳細設定要求は、図18の更新ボタン1805−2、若しくは追加ボタン1808−2の押下指示をクライアントPC102が受け付けた場合に、プロキシサーバ101に対して発行される。
【0097】
CPU201は、レスポンスルールの詳細設定要求を受け付けたと判断した場合には(ステップS506でYES)、クライアントPC102に対して、図19に示す中継制御ルール詳細画面1900を表示させるための画面情報を送信する(ステップS507)。尚、更新ボタン1805−2の押下を受け付けたことで、クライアントPC102がプロキシサーバ101に対してこの要求を行った場合には、更新対処となるレスポンスルールの詳細を含んだ画面情報を作成し、クライアントPC102に対して送信することになる。
【0098】
ステップS508で、CPU201は、クライアントPC102からレスポンスルールの移動要求を受け付けたかを判断する。このレスポンスルール移動要求は、中継制御ルール一覧画面面1800の移動ボタン1807−2が押下された場合に、クライアントPC102が、プロキシサーバ101に対して発行する。
【0099】
CPU201は、レスポンスルール移動要求を受け付けたと判断した場合には(ステップS508でYES)、クライアントPC102に対して、図20に示す中継制御ルール移動画面2000を表示させるための画面情報を送信する(ステップS509)。
【0100】
そして、その後、ステップS510において、CPU201は、クライアントPC102から、中継制御ルールDB311の更新情報を受け付けたかを判断する。クライアントPC102から送信される中継制御ルールDB311の更新情報としては、中継制御ルール一覧画面1800の削除ボタン1806−1、若しくは削除ボタン1806−2の押下を受け付けることでクライアントPC102が送信する中継制御ルール削除のための更新情報、ルール詳細画面1900の更新ボタン1912の押下を受け付けることで送信される中継制御ルールの追加、変更の更新情報、移動画面2000の移動ボタン2004の押下を受けることで送信する中継制御ルールの移動の更新情報などがある。
【0101】
クライアントPC102からの更新情報を受け付けた(ステップS510でYES)とプロキシサーバ101のCPU201が判断した場合には、受信した更新情報に従って、中継制御ルールDB311を更新し(ステップS511)、更新後の中継制御ルールを含む中継制御ルール一覧画面1800をクライアントPC102に対して送信する(ステップS512)。以上が、図4のステップS402の中継制御ルール設定処理の詳細である。
【0102】
次に、図6を参照して、図4のステップS404のアクセスブロック解除パスワード設定処理の詳細について説明する。CPU201は、CPU201をアクセスブロック解除パスワード設定部302として機能させるためのプログラムの制御に従って、この処理を行う。
【0103】
まず、CPU201は、後述するアクセスブロック解除パスワード一覧画面2100を表示させるための情報であるアクセスブロック解除パスワード一覧画面情報を作成し、クライアントPC102に対して送信する。このアクセスブロック解除パスワード一覧画面情報を受信したクライアントPC102は、例えばブラウザアプリケーションの制御に従い、表示部にアクセスブロック解除パスワード一覧画面2100を表示することになる。
【0104】
ここで、図21を参照して、アクセスブロック解除パスワード一覧画面2100の構成について説明する。図21はプロキシサーバ101よりアクセスブロック解除パスワード一覧画面情報を受信したクライアントPC102の表示部に表示されるアクセスブロック解除パスワード一覧画面の一例を示す図である。
【0105】
図21に示すように、アクセスブロック解除パスワード一覧画面2100には、アクセスブロック解除パスワードデータの詳細データの表示部として、ID2101、説明2102、有効期間2103が設定されており、さらに操作ボタン表示部2104には、アクセスブロック解除パスワードデータの更新、削除、追加を行うための更新ボタン2105、削除ボタン2106、追加ボタン2107が設定されている。
【0106】
ID2101は、アクセスブロック解除パスワードのIDを表示するための表示部である。このID2101に表示されるデータは、図15のアクセスブロック解除パスワードDB312のID1501に登録されている。説明2102は、アクセスブロック解除パスワードの説明を表示するための表示部である。この説明2102に表示されるデータは、アクセスブロック解除パスワードDB312の説明1502に登録されている。有効期間2103は、アクセスブロック解除パスワードの有効期間を表示するための表示部である。この有効期間2103に表示されるデータは、アクセスブロック解除パスワードDB312の有効期間1503に登録されている。
【0107】
更新ボタン2105は、プロキシサーバ101に対して、アクセスブロック解除パスワードの設定要求を行うために用いられるコントロールである。削除ボタン2106は、プロキシサーバ101に対して、アクセスブロック解除パスワードの削除要求を示す更新情報を送信するために用いられるコントロールである。追加ボタン2107は、新規のアクセスブロック解除パスワード登録のために、プロキシサーバにアクセスブロック解除パスワードの詳細設定要求を行うために用いられるコントロールである。以上が図21のアクセスブロック解除パスワード一覧画面2100の構成の説明である。
【0108】
図6の説明に戻る。クライアントPC102にアクセスブロック解除パスワード一覧画面を表示させるための画面情報を送信後、CPU201は、クライアントPC102よりアクセスブロック解除パスワードの詳細設定要求を受け付けたかを判断する(ステップS602)。アクセスブロック解除パスワードの詳細設定要求は、図21の更新ボタン2105、若しくは追加ボタン2107の押下指示をクライアントPC102が受け付けた場合に、プロキシサーバ101に対して発行される。
【0109】
CPU201は、アクセスブロック解除パスワードの詳細設定要求を受け付けたと判断した場合には(ステップS602でYES)、クライアントPC102に対して、図22に示すアクセスブロック解除パスワード詳細画面2200を表示させるための画面情報を送信する(ステップS603)。尚、更新ボタン2105の押下を受け付けたことで、クライアントPC102がプロキシサーバ101にこの要求を行った場合には、更新対象となるアクセスブロック解除パスワードの詳細を含んだ画面情報を作成し、クライアントPC102に対して送信することになる。
【0110】
ここで、図22を参照して、アクセスブロック解除パスワード詳細画面2200について説明する。図22はプロキシサーバ101よりアクセスブロック解除パスワード詳細画面情報を受信したクライアントPC102の表示部に表示されるアクセスブロック解除パスワード詳細画面2200の構成の一例を示す図である。
【0111】
アクセスブロック解除パスワード詳細画面2200には、ID表示部2201、説明入力欄2202、パスワード入力欄2203、解除時間入力欄2204、有効期間指定部2205、有効期間入力欄2206、更新ボタン2207、キャンセルボタン2208が設定されている。
【0112】
ID表示部2201は、アクセスブロック解除パスワードを一意に識別するための識別情報を表示するための表示部である。このID表示部2201に表示されるデータが図15に示すアクセスブロック解除パスワードDB312のID1501に登録される。説明入力欄2202は、アクセスブロック解除パスワードの説明を入力するための入力欄であり、この説明入力欄2202に入力された情報が、アクセスブロック解除パスワードDB312の説明1502に登録される。
【0113】
パスワード入力欄2203はアクセスブロック解除パスワードを入力するための入力欄であり、このパスワード入力欄2203に入力された情報がアクセスブロック解除パスワードDB312のパスワード1503に登録される。解除時間入力欄1504は、アクセスブロック解除パスワードによる中継制御ルールが解除される時間を入力するための入力欄であり、この解除時間入力欄1504に入力された情報が、アクセスブロック解除パスワードDB312の解除時間1504に登録される。
【0114】
有効期間指定部2205は、アクセスブロック解除パスワードの有効期間を指定するための指定部であり、「有効期間指定なし(無制限)」が指定された場合には、有効期間を無期限として、「有効期間あり」が指定された場合には、有効期間入力欄2206を有効にし、有効期間の入力を受け付ける。有効期間入力欄2206はアクセスブロック解除パスワードの有効期間を入力する入力欄である。ここでは「いつから」「いつまで」という形で、情報の入力を受け付けることになる。「いつから」「いつまで」のいずれか一方を入力しなくても構わない。そしてこの有効期間指定部2205、有効期間入力欄2206への入力により決定される有効期間が、アクセスブロック解除パスワードDB312の有効期間1505に設定される。
【0115】
更新ボタン2207は、プロキシサーバ101に対して、この画面を介して入力された情報でアクセスブロック解除パスワードDB312を更新する(追加、変更)ための更新情報を送信するために用いられるコントロールである。キャンセルボタン2208は、この画面を介してのアクセスブロック解除パスワードの更新処理をキャンセルするために用いられるコントロールである。以上が図22のアクセスブロック解除パスワード詳細画面2200の説明である。
【0116】
図6の説明に戻る。CPU201は、ステップS604において、クライアントPC102から、アクセスブロック解除パスワードDB312の更新情報を受け付けたかを判断する。クライアントPC102から送信されるアクセスブロック解除パスワードDB312の更新情報としては、アクセスブロック解除パスワード一覧画面2100の削除ボタン2106、の押下を受け付けることでクライアントPC102が送信するアクセスブロック解除パスワード削除のための更新情報、アクセスブロック解除パスワード詳細画面2200の更新ボタン2207の押下を受け付けることで送信されるアクセスブロック解除パスワードの追加、変更の更新情報などがある。
【0117】
クライアントPC102からの更新情報を受け付けた(ステップS604でYES)とプロキシサーバ101のCPU201が判断した場合には、受信した更新情報に従って、アクセスブロック解除パスワードDB312を更新し(ステップS605)、更新後のアクセスブロック解除パスワードを含むアクセスブロック解除パスワード一覧画面2100をクライアントPC102に対して送信する(ステップS606)。以上が、図4のステップS404のアクセスブロック解除パスワード設定処理の詳細である。
【0118】
次に、図7を参照して、図4のステップS406のプロキシ処理の詳細について説明する。CPU201は、CPU201をプロキシ処理部303として機能させるためのプログラムの制御に従って、この処理を行う。
【0119】
CPU201は、ネットワーク(LAN103、広域ネットワーク104)を介してデータを受信すると(ステップS701)、そのデータがクライアントPC102からウェブサーバ105に対して送信されたデータ(HTTPリクエスト)であるか、それとも、クライアントPC102からのHTTPリクエストに応じて、ウェブサーバ105から当該クライアントPC102対して送信されたデータ(HTTPレスポンス)であるかを判断する(ステップS702)。
【0120】
HTTPリクエストであると判断した場合には(ステップS702で「リクエスト」)、処理をステップS703に進め、HTTPリクエストデータに含まれるリクエストヘッダーの解析(ステップS703)、リクエストボディの解析(ステップS704)を行う。これらの処理で、ステップS701で取得したHTTPリクエストが、どのユーザ(クライアントPC102)により送信指示されたものなのか、どのウェブサーバ105に対して送信されたものなのか、HTTPリクエストデータのサイズ、ウェブサーバ105に対して送信される情報、ファイル、当該ファイルの種類、等を取得することになる。
【0121】
一方、HTTPレスポンスであると判断した場合には(ステップS702で「レスポンス」)、処理をステップS705に進め、HTTPレスポンスデータに含まれるレスポンスヘッダーの解析(ステップS705)、レスポンスボディの解析(ステップS706)を行う。ステップS705、S706の処理は、ステップS702、S703の処理と略同様である。
【0122】
その後、ステップS704、もしくはS706の処理が終了すると、ステップS703、S704、若しくはステップS705、706で取得した各種の情報をもとに、中継制御ルールの適用処理を行う(ステップS707)。この処理の詳細については、図11を参照して説明する。
【0123】
図11は、図7のステップS707の中継制御ルール適用処理の詳細を示すフローチャートである。
【0124】
CPU201は、ステップS1101において、中継制御ルールDB311に記憶されている中継制御ルールのうち、ステップS701で取得したHTTPデータにまだ適用していない中継制御ルールがあるかを判断する。この判断処理で未適用の中継制御ルールがあると判断した場合には(ステップS1101でYES)、処理をステップS1102に進め、中継制御ルールの種別(リクエスト、レスポンス)、適用優先度に従い、次に当該送信データに適用する中継制御ルールを決定し、その中継制御ルールを取得する。ここで、プロキシサーバはステップS701で取得したHTTPデータがHTTPリクエストである場合には、リクエストルールを、HTTPレスポンスである場合にはレスポンスルールを適用して中継制御を行う。
【0125】
そして、処理対象のHTTPデータがステップS1102で取得した中継制御ルールのURL1403からサイズ条件1408(若しくはURL1413からサイズ条件1418)に登録されている条件に合致しているかを判断する(ステップS1103)。条件に合致していると判断した場合には(ステップS1103でYES)、ステップS1104に処理を進め、当該中継制御ルールの動作1409(若しくは動作1419)に登録された処理を実行すると判定する。
【0126】
一方、ステップS1103で合致しない(NO)と判断した場合には、CPU201は処理をステップS1101に進め、未適用の中継制御ルールがまだあるかを判定する。そして、まだ残っていると判断した場合にはステップS1102からの処理を行うことになる。ステップS1101で未適用のルールはない(NO)と判断した場合には、処理をステップS1105に進め、デフォルト動作を実行すると判定する。本発明では、デフォルト動作、つまり、全ての中継制御ルールに合致しなかった場合の動作として予め「中継」、「ブロック」、「禁止」の何れかが設定されている。以上が図7のステップS707の中継制御ルール適用処理の詳細である。
【0127】
図7の説明に戻る。ステップS707の中継制御ルール適用処理が終了後、中継制御ルール適用処理において、ステップS701で取得したデータ(HTTPデータ)を中継すると判定した場合には(ステップS708でYES)、処理をステップS714に進める。一方、中継ではない(NO:つまりはブロックもしくは禁止)と判定した場合には、処理をステップS709に進め、パスワードによる解除判定処理を行う。このステップS709の処理では、アクセスブロック解除パスワードにより、ステップS709で適用された中継制御ルールが解除(無効化)されているかを判定することになる。この処理の詳細については、図12を参照して後述する。
【0128】
ステップS709で、適用された中継制御ルールがアクセスブロック解除パスワードで解除されたと判定した場合には(ステップS710でYES)、処理をステップS713に進め、ステップS701で取得したHTTPデータに対する動作を中継と設定する。
【0129】
一方、ステップS710でパスワードによる解除は行われていないと判定した場合には(ステップS710でNO)、ステップS711に処理を進め、承認よるアクセス禁止解除処理が行われているかを判定する。このステップS711の処理では、予め行っているアクセス禁止解除申請に対する承認により、ステップS707の中継制御ルール適用処理で適用された中継制御ルールが解除(無効化)されているかを判断することになる。この処理の詳細については、図13を参照して後述する。
【0130】
ステップS711の承認による解除判定処理で、承認によるアクセス禁止解除が行われていると判定した場合には(ステップS712でYES)、処理をステップS713に進め、ステップS701で取得したHTTPデータに対する動作を中継と設定する。一方、解除が行われていないと判定した場合には(ステップS712でNO)、処理をステップS714に進める。
【0131】
そして、ステップS714において、CPU201は、ステップS707の中継ルール適用処理でHTTPデータに適用した中継制御ルールに設定された動作、若しくはステップS713で設定された動作(中継)を、当該HTTPデータに対して実行する。
【0132】
実行する動作が中継の場合には、ステップS701で取得したHTTPデータを、指定された宛先に対して中継する処理を行う。実行する動作が「ブロック」の場合には、ステップS701で取得したデータがHTTPリクエストである場合には、当該HTTPリクエストを送信したクライアントPC102に対して、HTTPレスポンスである場合には、当該HTTPレスポンスの送信先であるクライアントPC102に対して、図23のアクセスブロック画面2300をクライアントPC102の表示部に表示させるためのアクセスブロック画面情報を送信する。
【0133】
実行する動作が「禁止」の場合には、ステップS701で取得したデータがHTTPリクエストである場合には、当該HTTPリクエストを送信したクライアントPC102に対して、HTTPレスポンスである場合には、当該HTTPレスポンスの送信先であるクライアントPC102に対して、図27に示すアクセス禁止画面2700をクライアントPC102の表示部に表示させるためのアクセス禁止画面情報を送信する。以上が、図4のステップS406のプロキシ処理の詳細である。
【0134】
この処理を行うことで、本発明では、予め得設定された中継制御ルールに従ったデータの中継制御を行うことができるとともに、通常はアクセスが禁止されるウェブサーバ105に対しても、アクセスブロック解除パスワードやアクセス禁止解除申請に対する承認により、アクセスを許可することが可能となるなど、柔軟なデータの中継制御が可能となる。また、内部(クライアントPC102)から外部(ウェブサーバ105)に送信されるデータだけでなく外部から内部に送信されるデータに対しても、中継制御ルールに規定されたルールを用いての通信制御を行うことが可能となる。これにより、例えば、データサイズや、添付ファイルデータの一致だけでなく、それらを複合させた中継制御ルールを作成することが可能となる。また、それら外部からの通信に適用されるレスポンスルールを、当該ルールを適用するウェブサーバを特定した形で(URL指定、カテゴリ指定)作成することも可能であるため、例えば、ウェブサーバが提供するサービスに応じた中継制御処理を行うことも可能となる。
【0135】
次に、図23を参照して、アクセスブロック画面2300の構成について説明する。図23は、プロキシサーバ101によるプロキシ処理の結果、データ通信のブロック動作が行われた際にプロキシサーバ101から送信されるアクセスブロック画面情報を受信したクライアントPC102の表示部に表示されるアクセスブロック画面の構成の一例を示す図である。
【0136】
図23に示すように、アクセスブロック画面2300には、適用中継制御ルール表示部2301、解除パスワード入力欄2302、解除ボタン2303、及びブロック解除申請要求アンカー2304が設定されている。
【0137】
適用中継制御ルール表示部2301は、データ通信に適用された中継制御ルールの情報を表示する表示部である。例えば、中継制御ルールのID1401(若しくは1411)、説明(1402(若しくは1412)等が表示される。
【0138】
アクセスブロック解除パスワード入力欄2302は、中継制御ルール表示部2301に表示されている中継制御ルールを解除(無効化)するためのパスワードを入力する入力欄である。解除ボタン2303は、アクセスブロック解除パスワード入力欄2302に入力されたパスワードをプロキシサーバ101に送信するために用いられるボタンである。この解除ボタン2303の押下を受け付けると、クライアントPC102は、アクセスブロック解除パスワードをプロキシサーバに対して送信する。アクセスブロック解除パスワードを受け付けたプロキシサーバ101は、アクセスブロック解除パスワードを受け付けた(図4のステップS407でYES)と判断して、アクセスブロック解除パスワード判定処理(ステップS408)を行うことになる。
【0139】
アクセスブロック解除申請要求アンカー2304は、プロキシサーバ101に対してアクセスブロック解除申請を行うために用いられるアンカーである。このアクセスブロック解除申請を受け付けたプロキシサーバ101は、アクセスブロック・アクセス禁止解除申請を受け付けたと判断して(図4のステップS409でYES)、アクセスブロック・アクセス禁止解除申請登録処理(ステップS410)を行うことになる。以上が図23のアクセスブロック解除画面2300の説明である。
【0140】
次に、図27を参照して、アクセス禁止画面2700の構成について説明する。図27は、プロキシサーバ101によるプロキシ処理の結果、データ通信の禁止動作が行われた際にプロキシサーバ101から送信されるアクセス禁止画面情報を受信したクライアントPC102の表示部に表示されるアクセス禁止画面の構成の一例を示す図である。
【0141】
図27に示すように、アクセス禁止画面2700には、適用中継制御ルール表示部2701、及びアクセス禁止解除申請要求アンカー2702が設定されている。
【0142】
適用中継制御ルール表示部2701は、データ通信に適用された中継制御ルールの情報を表示する表示部である。例えば、中継制御ルールのID1401(若しくは1411)、説明(1402(若しくは1412)等が表示される。
【0143】
アクセス禁止解除申請要求アンカー2702は、プロキシサーバ101に対してアクセス禁止解除申請を行うために用いられるアンカーである。このアクセス禁止解除申請を受け付けたプロキシサーバ101は、アクセス禁止解除申請を受け付けたと判断して(図4のステップS409でYES)、アクセスブロック・アクセス禁止解除申請登録処理(ステップS410)を行うことになる。以上が図27のアクセス禁止画面2700の説明である。
【0144】
次に、図8を参照して、クライアントPC102からアクセスブロック解除パスワードを受信した場合にプロキシサーバ101が行う、アクセスブロック解除パスワード判定処理(図4のステップS408)の詳細について説明する。CPU201は、CPU201をアクセスブロック解除パスワード判定部304して機能させるためのプログラムの制御に従って、本処理を行う。
【0145】
まず、CPU201は、クライアントPC102からアクセスブロック解除パスワードとして送信されたデータと、アクセスブロック解除パスワードDB312に登録されているアクセスブロック解除パスワードデータとを照合することで、受信したパスワードが正しいかを判断する(ステップS801)。
【0146】
CPU201が、クライアントPC102からブロック解除パスワードとして送信されたデータがブロック解除パスワードとして正しいと判断した場合には(ステップS801でYES)、処理をステップS802に進める。そして、アクセスブロック解除パスワードの有効期間1505とその時点の時刻とを照合し、アクセスブロック解除パスワードデータが有効期間内かを判断する。ステップS802の判断処理で、クライアントPC102から受信したアクセスブロック解除パスワードが有効期間内であると判断した場合には、次に、当該アクセスブロック解除パスワードの送信指示を行ったクライアントPC102を操作するユーザのプロキシ認証が行われているかを判断する(ステップS803)。この際に、プロキシサーバ101の設定でプロキシ認証を行うに設定されている場合は、クライアントPC102からプロキシサーバ101に対して送信されるHTTPリクエストのHTTPヘッダーに設定されているProxy−Authorizationフィールドから認証名を取得して、その認証名を用いてプロキシ認証が行われているかを判断することになる。
【0147】
プロキシ認証が行われていると判断した場合には(ステップS803でYES)、パスワードによる解除エントリテーブル1700に新規のエントリ(データ)を追加して、その認証名1701にHTTPヘッダーより取得した認証情報を設定する(ステップS804)一方、プロキシ認証が行われていないと判断した場合には(ステップS804でNO)、パスワードによる解除エントリテーブル1700に新規のエントリを追加して、クライアント装置のIPアドレスをIPアドレス1702に設定する(ステップS805)。
【0148】
そして、ステップS804若しくはS805で追加されたエントリ失効時間1703に、アクセスブロック解除パスワードを受信した時刻と、当該アクセスブロック解除パスワードに設定されている解除時間1504とから算出される失効時間を登録する(ステップS806)。そして、その後、プロキシサーバのプロキシ処理によりブロックされたHTTPヘッダーのリクエストURLに設定されていたURL情報(当該通信でアクセスしようとしたウェブサーバ105のURL)をHTTPヘッダーのLocationに設定し、リダイレクト応答をクライアントPC102に送信する(ステップS807)。このリダイレクト応答を受信したクライアントPC102は、ブラウザアプリケーションの制御により、Locationに設定されたURLに対してHTTPデータの送信を行うことになる。
【0149】
このリダイレクト受信に応じてクライアントPC102が送信するHTTPデータの通信制御について説明する。プロキシサーバ101は、クライアントPC102より、リダイレクト応答に応じて行われるHTTPデータを受信する(図4のステップS405でYESと判断する)と、図4のステップS406のプロキシ処理を行うことになる。このプロキシ処理の詳細処理を示す図7のステップS707の中継制御ルール適用処理では、このHTTPデータに先立って行われた当該ウェブサーバ105へのHTTPデータ送信に対して適用されたルールが再度適用され、このHTTPデータの通信をブロックするという判定をプロキシサーバ101は行うことになる。よって、その後の図7のステップS708の判断処理でNOと判断し、パスワードによる解除判定処理(ステップS709)が行われる。
【0150】
ここで、図12を参照して、図7のステップS709のパスワードによる解除判定処理について説明する。図12は図7のステップS709のパスワードによる解除判定処理の詳細を示すフローチャートである。
【0151】
CPU201は、ステップS701で受信したHTTPデータにプロキシ認証情報が含まれているかを判断する(ステップS1201)。含まれていると判断した場合には(ステップS1201でYES)、パスワードによる解除エントリテーブル1700に、認証情報(認証名が一致するパスワードによる解除エントリがあるかを判断する(ステップS1202)。一方、CPU201がHTTPデータにプロキシ認証情報が含まれていないと判断した場合には(ステップS1201でNO)、処理をステップS1203に進め、IPアドレスが一致するパスワードによる解除エントリがあるかを判断する(ステップS1203)。
【0152】
ステップS1202、ステップS1203の判断処理において、一致するパスワードによる解除エントリがあると判断した場合には、当該パスワードによる解除エントリが有効であるか、即ち、パスワードによる解除エントリの失効時刻に設定されている時刻を経過していないかを判断することになる(ステップS1204)。パスワードによる解除エントリが有効であると判断した場合には、パスワード入力による解除中と判定する。
【0153】
ステップS1202、S1203の判断処理で、一致するパスワードによる解除エントリがないと判断した場合、ステップS1204の判断処理で、パスワードによる解除エントリが失効したと判断した場合には、処理をステップS1206に進め、パスワード入力による解除は行われていない(未解除)と判定する。以上が図7のステップS711のパスワードによる解除判定処理の詳細な説明である。
【0154】
リダイレクト受信によりウェブサーバ105に対しての通信が行われた場合には、既に、パスワードによる解除エントリテーブル1700に以前に通信の中継を拒否された中継制御ルールを無効化するためのパスワードによる解除エントリが登録されていることになるので、それ以前にデータの中継を拒否されたウェブサーバ105に対してアクセスすることが可能となり、クライアントPC102は当該ウェブサーバ105が提供するサービスを享受することが可能となる。また、従来の解除パスワードとは異なり、パスワードの有効期間を設定できるので、長期間にわたるウェブサーバ105への例外的なアクセスを防ぐことが可能となる。
【0155】
次に、図9を参照して、クライアントPC102からアクセスブロック・アクセス禁止解除申請を受け付けた場合にプロキシサーバ101が行うアクセスブロック・アクセス禁止解除申請登録処理について説明する。図23のアクセスブロック画面2300に含まれるアクセスブロック解除申請要求アンカー2304に対してクリック指示を受け付けた場合、図27のアクセス禁止画面2700に含まれる禁止解除申請要求アンカー2702に対してクリック指示を受け付けた場合に、クライアントPC102は、このアクセスブロック・アクセス禁止解除申請をプロキシサーバに対して要求する。CPU201は、CPU201をアクセスブロック・禁止解除申請受付部305として機能させるためのプログラムの制御に従って、本処理を行うことになる。
【0156】
CPU201は、まず、クライアントPC102に対して、図24に示すアクセスブロック解除申請画面2400を表示部に表示させるためのブロック解除申請画面情報を送信する(ステップS901)。このアクセスブロック解除申請画面情報には、プロキシサーバ101のプロキシ処理により通信を禁止された際に適用された中継制御ルールを特定するための情報(ルール種別とルールID)が含まれている。中継制御ルールを特定するための情報は、例えば、<input type="hidden" name="id"
value="6a549df2f6b371bf45eadd9027d91d6a">といったように、プロキシサーバ101で適用したルール種類とルールIDとそれに割り当てるユーザに推測不可能なランダムなIDをプロキシサーバで管理しておき、ブロック解除申請画面情報にはランダムなIDを記載しておく。そしてクライアントPC102からアクセスブロック解除申請画面を介して送信指示されたランダムなIDを用いて、どのルールが適用されたかを認識可能にしておくことが望ましい。クライアントPC102ではこのアクセスブロック解除申請画面情報を受信すると、ブラウザアプリケーションの機能により、表示部にアクセスブロック解除申請画面2400を表示する。
【0157】
図24は、プロキシサーバ101よりアクセスブロック解除申請画面情報を受信したクライアントPC102の表示部に表示されるアクセスブロック解除申請画面の構成の一例を示す図である。図24に示すように、アクセスブロック解除申請画面には、アクセスブロック解除申請理由入力欄2401、申請ボタン2402、キャンセルボタン2403が設定されている。
【0158】
アクセスブロック解除申請理由入力欄2401は、アクセスブロック解除の申請理由を入力するための入力欄である。ここに入力された情報が、図16に示すアクセスブロック・アクセス禁止解除申請DB313の申請理由1607に登録される。申請ボタン2402は、プロキシサーバ101に対して、アクセスブロック解除申請を送信するに用いられるコントロールである。クライアントPC102は、この申請ボタン2402の押下を受け付けると、申請理由入力欄2401に入力された申請理由データと、アクセスブロック解除申請画面情報に含まれる、中継制御ルールを特定するための情報とをプロキシサーバ101に送信することで、アクセスブロック解除申請を行うことになる。キャンセルボタン2403は本画面により処理を終了するために用いるコントロールである。以上が図24のアクセスブロック解除申請画面2400の説明である。尚、アクセス禁止解除の申請に用いられるアクセス禁止解除申請画面はこのアクセスブロック解除申請画面と同様の構成であるので、詳細な説明は割愛する。
【0159】
図9の説明に戻る。アクセスブロック解除申請画面情報をクライアントPC102に送信後、クライアントPC102からアクセスブロック解除申請情報の入力を受け付けると(ステップS902でYES)、アクセスブロック・アクセス禁止解除申請DB313に新たなデータを追加し、受信した情報に従って、各データ項目を登録する(ステップS903)。以上が、図4のステップS410のアクセスブロック・アクセス禁止解除処理の詳細である。尚、ここではアクセスブロック解除申請を例に本処理の説明を行ったが、アクセス禁止解除申請についても略同様である。この処理を終えると、この申請に対する承認権限を有するユーザ(承認者)に電子メール等で承認要求の通知を行うことになる。
【0160】
次に、図10を参照して、図4のステップS412のアクセスブロック・アクセス解除申請判定処理の詳細について説明する。CPU201は、CPU201をアクセスブロック・アクセス禁止解除申請判定処理部306として機能させるためのプログラムの制御に従って、本処理を行う。
【0161】
クライアントPC102から、アクセスブロック・アクセス禁止解除申請判定要求を受け付けると(図4のステップS411でYESと判断)、図25のアクセスブロック・アクセス禁止解除申請一覧画面2500をクライアントPC102の表示部に表示させるためのアクセスブロック・アクセス禁止解除申請一覧画面情報をクライアントPC102に対して送信する(ステップS1001)。尚、このアクセスブロック・アクセス禁止解除申請一覧画面情報には、当該クライアントPC102を使用するユーザが承認すべき、アクセスブロック・アクセス禁止解除申請DB313中の申請データが含まれている。
【0162】
ここで、図25を参照して、アクセスブロック・アクセス禁止解除申請一覧画面2500の構成について説明する。図25は、プロキシサーバ101よりアクセスブロック・アクセス禁止解除申請画面情報を受信したクライアントPC102の表示部に表示されるアクセスブロック・アクセス禁止解除申請画面の一例を示す図である。
【0163】
図25に示すように、アクセスブロック・アクセス禁止解除申請一覧画面には、各アクセスブロック・アクセス禁止解除申請データの詳細データの表示部として、ID2501、申請日時2502、認証名2503、IPアドレス2504、適用ルール2505が設定されており、さらに操作ボタン表示部2506には、アクセスブロック・アクセス禁止解除申請に対する判定(承認/否認)を入力するためにアクセスブロック・アクセス禁止解除申請詳細画面2600を要求するための判定ボタン2507が設定されている。
【0164】
ID2501は、アクセスブロック・アクセス禁止解除申請データのIDを表示するための表示部である。このID2501に表示されるデータは、アクセスブロック・アクセス禁止解除申請DB313のID1601に登録されている。申請日時2502はアクセスブロック・アクセス禁止解除申請が行われた時刻を表示するための表示部である。この申請日時2502に表示されるデータは、アクセスブロック・アクセス禁止解除申請DB313の申請日時1602に登録されている。認証名2503は、アクセスブロック・
アクセス禁止解除申請を行ったユーザの認証名が表示される表示欄である。この認証名2503に表示されるデータは、アクセスブロック・アクセス禁止解除申請DB313の認証名1603に登録されている。IPアドレス2504は、アクセスブロック・アクセス禁止解除申請を行う際に用いられたクライアントPC102のIPアドレスが表示される表示欄である。このIPアドレス2504に表示されるデータは、アクセスブロック・アクセス禁止解除申請DB313のIPアドレス1604に登録されている。適用ルール表示欄1605は、この申請による解除を行いたい中継制御ルールの情報を表示するための表示欄である。この表示欄には、ブロック解除申請DB313のルール種類1605、及びルールID1606に登録されている情報から特定される中継制御ルールの情報(例えばID1401、説明1402等)が表示される。
【0165】
判定ボタン2507の押下指示を受け付けると、クライアントPC102はプロキシサーバ101に対して判定要求を行うことになる。以上が、図25のアクセスブロック・アクセス禁止解除申請一覧画面の説明である。
【0166】
図10の説明に戻る。アクセスブロック・アクセス禁止解除申請一覧画面情報をクライアントPC102に送信後、クライアントPC102から判定要求を受け付けたかを判断する(ステップS1002)。判定要求を受け付けたと判断した場合には、判定対象となるアクセスブロック解除申請データ若しくはアクセス禁止解除申請データを含むアクセスブロック・アクセス禁止解除申請詳細画面2600を表示させるためのアクセスブロック・アクセス禁止解除申請詳細画面情報をクライアントPC102に対して送信する(ステップS1003)。
【0167】
ここで、図26を参照してアクセスブロック・アクセス禁止解除申請詳細画面2600の構成について説明する。図26はアクセスブロック・アクセス禁止解除申請詳細画面情報を受信したクライアントPC102の表示部に表示されるアクセスブロック・アクセス禁止解除申請詳細画面の構成の一例を示す図である。
【0168】
図26に示すように、アクセスブロック・アクセス禁止解除申請詳細画面2600には、申請データ詳細表示部2601、確認ボタン2602、送信メセージ入力欄2603、解除時間入力欄2604、承認ボタン2605、否認ボタン2606、及びキャンセルボタン2607が設定されている。
【0169】
申請データ詳細表示部2601は、承認/否認の判定対象とするアクセスブロック・アクセス禁止解除申請データの詳細を表示する表示部である。確認ボタン2602は、適用ルールとされた中継制御ルールの詳細を確認するためのコントロールである。このボタンの押下指示を受け付けると、クライアントPC102はプロキシサーバ101に対して、適用ルールの詳細を表示するための不図示中継制御ルール詳細画面を表示するための画面情報を要求する。画面情報をプロキシサーバ101から取得すると、クライアントPC102は表示部に不図示の中継制御ルール詳細画面を表示する。これにより、アクセスブロック・アクセス禁止解除申請の承認を行うユーザは、適用ルールの詳細を確認したうえで承認/否認の入力指示を行うことが可能となる。なお、申請データ表示部2601の所属やユーザ名は認証名もしくはIPアドレスをキーとして不図示のユーザ情報テーブルから取得して表示する。
【0170】
送信メッセージ入力欄2603は、判定結果送信メールに記載するコメントを入力するための入力欄である。解除時間入力欄2604は、この画面の適用ルール表示箇所に表示されている中継制御ルールを解除する時間を入力するための入力欄である。図26に示すように、時間を開始時刻(「いつから」)と終了時刻(「いつまで」)という形で入力することが可能である。解除時間入力欄2604に対する入力がなされなかった場合には、解除期間は無期限とされる。
【0171】
承認ボタン2605は、プロキシサーバ101に対して「承認」の判定情報を送信するために用いられるコントロールである。承認ボタン2605の押下指示を受け付けると、クライアントPC102は、ID、送信メッセージ入力欄2603に入力された情報、解除時間入力欄2604に入力された情報をプロキシサーバ101に対して送信する。なお、アクセスブロック解除申請に対して承認を行った場合には、パスワードによる解除を行うか、それとも承認による解除を行うかと決定することになる。パスワードによる解除を行うと決定した場合には、プロキシサーバ101から当該申請を行ったユーザに対して電子メール等でアクセスブロック解除パスワードが送信されることになる。その際にはプロキシサーバ101のCPU201は、管理者の指示に従い新たに作成されたアクセスブロック解除パスワード若しくは、既に登録されているアクセスブロック解除パスワードのうち管理者の指示に従い選択されたアクセスブロック解除パスワードを送信する。また、プロキシサーバ101のCPU201がランダムな数値を生成し、それをパスワードをアクアセスブロック解除パスワードDB312に登録し、そのパスワードを電子メールで送信する方法を用いても勿論構わない。アクセスブロック解除申請に対して承認による解除を選択した場合、及びアクセス禁止解除申請に対して承認を行った場合には、承認による解除エントリテーブルに解除エントリを追加する。
【0172】
否認ボタン2606は、プロキシサーバ101に対して「否認」の判定情報を送信するために用いられるコントロールである。否認ボタン2606の押下指示を受け付けると、クライアントPC102は、ID、送信メッセージ入力欄2603に入力された情報をプロキシサーバ101に対して送信する。
【0173】
キャンセルボタン2607は、本画面を介しての判定処理を終了するために用いられるコントロールである。以上が、図26のアクセスブロック・アクセス禁止解除申請詳細画面2600の説明である。
【0174】
図10の説明に戻る。ブロック解除申請詳細画面2600を表示させるための画面情報を送信後、クライアント装置102から判定情報を受信したかを判断する(ステップS1004)。判定情報を受信したと判断した場合には(ステップS1004でYES)、ステップS1005に処理を進め、判定結果が承認であるかを判断する。判定結果が承認であると判断した場合には承認による解除エントリテーブル1710に新たなエントリ(データ)の追加、または、申請者に対するアクセスブロック解除パスワードの送信を行う。承認による解除エントリテーブル1710に新たなエントリ(データ)の追加する際には、クライアントPC102から判定情報として受信した情報(例えば解除期間情報等)を新たなエントリに登録する(ステップS1006)。
【0175】
ステップS1006の終了後、若しくはステップS1005で否認(NO)と判断した場合には、処理をステップS1007に進め、電子メール送信等の方法で、承認者による判定結果を申請を行ったユーザ(申請者)対して通知する(判定通知メール送信:ステップS1007)。その後、判定情報を受け付けたアクセスブロック解除申請データまたはアクセス禁止解除申請データを、アクセスブロック・アクセス禁止解除申請DB313から削除する(ステップS1008)。そして上記の処理をステップS1009で終了指示を受け付けたと判断するまで繰り返すことになる。以上が図4のステップS412のアクセスブロック・アクセス禁止解除申請判定処理の詳細である。
【0176】
次に、クライアントPC102からあるウェブサーバ105(ウェブサーバ1とする)に対してのHTTPデータ通信がプロキシサーバ101によるプロキシ処理の結果、動作が「禁止」と設定されている中継制御ルール(中継制御ルール1)に合致した後に(つまりは中継が拒否された)、アクセスブロック・アクセス禁止解除申請を行い承認された場合に、当該ウェブサーバ1に対して再度クライアントPC102からHTTPデータ通信を行う場合に行われるプロキシサーバ101により行われるプロキシ処理について説明する。
【0177】
クライアントPC102からウェブサーバ1に対するデータ通信を取得すると、プロキシサーバ101は図4のステップS406のプロキシ処理を行う。ここでは、送信が禁止された際と同様、中継制御ルール1の適用処理が行われるため、図7のステップS709で中継制御ルール適用の結果の動作が禁止と判定される。よって、ステップS710の処理では、NOと判断され、ステップS711のパスワードによる解除判定処理を行う。しかしこの場合には、動作がブロックとされた後に解除パスワードを入力することでルールを無効化するものではないので、ステップS711での処理の結果は未解除と判定される。
【0178】
よって、ステップS712の判断処理で、CPU201はNOと判断し、処理をステップS713に進め、承認による解除判定処理を行うことになる。この承認による解除判定処理の詳細について、図13を参照して説明する。
【0179】
図13は、図7のステップS713の承認による解除判定処理の詳細を示すフローチャートである。まず、CPU201は、図7のステップS701で取得したデータがプロキシ認証情報を含むデータかを判断する(ステップS1301)。そして、プロキシ認証情報があると判断した場合には(ステップS1301でYES)処理をステップS1302に進め、承認による解除エントリテーブル1710にステップS701で取得したデータに含まれる認証名と同一の認証名1712を有するエントリ(データ)があるかを判断する。一方、ステップS1301でNOと判断した場合には、ステップS1303に処理を進め、承認による解除エントリテーブル1710に、ステップS701で受信したデータ(HTTPデータ)を送信したクライアントPC102のIPアドレスと同一のIPアドレス1713を有するエントリ(データ)があるかを判断する。
【0180】
ステップS1302、ステップS1303の判断処理で、エントリがある(YES)と判断した場合には、処理をステップS1304に進め、ルール種類(リクエストルール、レスポンスルール)が一致するかを判断する。一致すると判断した場合には(ステップS1304でYES)、ステップS1305に処理を進め、そのルールIDが中継制御ルール適用処理で適用された中継制御ルールのIDと一致するかを判断する。一致すると判断した場合には(ステップS1305でYES)、当該承認による解除エントリが有効であるかを有効期間情報に設定された情報とその時点での時刻情報とから判断する(ステップS1306)。エントリが有効であると判断した場合には(ステップS1306でYES)、CPU201は、承認による解除中であると判定する(ステップS1307)。
【0181】
ステップS1302、S1303、ステップS1304、ステップS1305及びステップS1306の何れかの判断処理でNOと判断した場合には、処理をステップS1308に進め、未解除であると判定する。以上が図7のステップS713の承認による解除判定処理の詳細である。
【0182】
アクセス禁止解除申請が承認されたことにより、クライアントPC102に対して中継制御ルール1を解除する解除エントリが承認による解除エントリテーブル1710に登録されているので、図7のステップS713では、承認による解除が行われたと判定することになり、その後のステップS714の判断処理でYESと判断することになる。これにより、CPU201は処理をステップS715に移すことになるので、ステップS709で「禁止」と判定された動作が「中継」に変更されることになる。そのため、このクライアントPC102からウェブサーバ1に対するデータ通信は中継制御ルール1にもかかわらず中継されることになる。これにより、プロキシサーバ101により柔軟なデータ通信制御を行わせることが可能となる。
【0183】
また、本実施例では、承認により中継制御ルールを解除するという例を説明したが、これに限らず、承認解除エントリにユーザ(若しくはクライアントPC102)を示す情報(送信元を示す情報)と、ウェブサーバ105のURL情報(送信先の情報)とが対応する承認解除エントリを作成し、ある中継制御ルールに合致して中継が禁止されたデータ通信であっても、当該承認解除エントリエントリに合致している場合には中継を許可するような中継制御をおこなっても勿論構わない。
【0184】
また、本発明の目的は、前述した実施形態の機能を実現するソフトウェアのプログラムコードを記録した記録媒体(または記憶媒体)を、システムあるいは装置に供給し、そのシステムあるいは装置のコンピュータ(またはCPUやMPU)が記録媒体に格納されたプログラムコードを読み出し実行することによっても、達成されることは言うまでもない。この場合、記録媒体から読み出されたプログラムコード自体が前述した実施形態の機能を実現することになり、そのプログラムコードを記録した記録媒体は本発明を構成することになる。
【0185】
また、コンピュータが読み出したプログラムコードを実行することにより、前述した実施形態の機能が実現されるだけでなく、そのプログラムコードの指示に基づき、コンピュータ上で稼働しているオペレーティングシステム(OS)などが実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0186】
さらに、記録媒体から読み出されたプログラムコードが、コンピュータに挿入された機能拡張カードやコンピュータに接続された機能拡張ユニットに備わるメモリに書込まれた後、そのプログラムコードの指示に基づき、その機能拡張カードや機能拡張ユニットに備わるCPUなどが実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0187】
本発明を上記記録媒体に適用する場合、その記録媒体には、先に説明したフローチャートに対応するプログラムコードが格納されることになる。
【符号の説明】
【0188】
101 プロキシサーバ
102−1、102−2、102−3 クライアントPC
103 LAN(Local Area Network)
104 広域ネットワーク
105−1、105−2、105−3 ウェブサーバ
201 CPU
202 RAM
203 ROM
204 システムバス
205 入力コントローラ
206 ビデオコントローラ
207 メモリコントローラ
208 通信I/Fコントローラ
209 入力装置
210 ディスプレイ装置210
211 外部メモリ
【特許請求の範囲】
【請求項1】
端末装置と、外部のサーバ装置との間の通信を中継制御するための中継制御ルール、及び当該中継制御ルールを解除するための有効期限が設定されたパスワードを記憶する記憶手段を備え、前記端末装置と前記外部サーバとの間の通信の中継制御を行う情報処理装置であって、
前記端末装置と前記外部のサーバ装置との間で送受信されるHTTPデータを取得する第1の取得手段と、
前記第1の取得手段で取得したHTTPデータに対して前記中継制御ルールを適用することにより、当該HTTPデータの中継を許可するか否かを判断する第1の判断手段と、
前記第1の判断手段で中継を拒否すると判断した後に、前記端末装置に対して、前記中継制御ルールを解除するためのパスワード入力欄を備える画面情報を送信する送信手段と、
前記端末装置において、前記画面情報を介して入力されたパスワードを取得する第2の取得手段と、
前記第2のパスワードが前記記憶手段に記憶され、且つ当該パスワードが有効期限内であるかを判断する第2の判断手段と、
前記第2の判断手段で前記第2の取得手段で取得したパスワードが前記記憶手段に記憶され、且つ当該パスワードが有効期限内であると判断した場合に、解除エントリを生成する生成手段と、
前記第1の判断手段で、中継を許可しないと判断されたHTTPデータに対応する解除エントリが生成されている場合に、前記第1の判断手段で中継しないと判断された通信を中継するように制御する制御手段と
を備えることを特徴とする情報処理装置。
【請求項2】
前記記憶手段は、さらに、前記パスワードと、当該パスワードを端末装置から受け付けた場合に前記生成手段で生成する解除エントリの有効期間情報と、をさらに対応付けて記憶し、
前記生成手段は、前記記憶手段に記憶されている有効期間情報に従って、前記解除エントリの失効時間を設定し、
前記制御手段は、前記解除エントリの失効時間を経過していないと判断した場合に、前記第1の判断手段で中継しないと判断されたHTTPデータを中継するように制御する
ことを特徴とする請求項1に記載の情報処理装置。
【請求項3】
前記制御手段は、前記端末装置に対して、前記第1の判断手段で中継を許可しないと判断した前記外部のサーバ装置にアクセスさせるためのリダイレクト情報を含むHTTPレスポンスを送信し、該HTTPレスポンスに応じて前記端末装置から前記外部のサーバ装置へ送信されたHTTPリクエストを中継させるよう制御すること
を特徴とする請求項1または2に記載の情報処理装置。
【請求項4】
端末装置と、外部のサーバ装置との間の通信を中継制御するための中継制御ルール、及び当該中継制御ルールを解除するための有効期限が設定されたパスワードを記憶する記憶装置を備え、前記端末装置と前記外部サーバとの間の通信の中継制御を行う情報処理装置によって行われる情報処理方法であって、
前記端末装置と前記外部のサーバ装置との間で送受信されるHTTPデータを取得する第1の取得工程と、
前記第1の取得工程で取得したHTTPデータに対して前記中継制御ルールを適用することにより、当該HTTPデータの中継を許可するか否かを判断する第1の判断工程と、
前記第1の判断工程で中継を拒否すると判断した後に、前記端末装置に対して、前記中継制御ルールを解除するためのパスワード入力欄を備える画面情報を送信する送信工程と、
前記端末装置において、前記画面情報を介して入力されたパスワードを取得する第2の取得工程と、
前記第2のパスワードが前記記憶装置に記憶され、且つ当該パスワードが有効期限内であるかを判断する第2の判断工程と、
前記第2の判断工程で前記第2の取得工程で取得したパスワードが前記記憶装置に記憶され、且つ当該パスワードが有効期限内であると判断した場合に、解除エントリを生成する生成工程と、
前記第1の判断工程で、中継を許可しないと判断されたHTTPデータに対応する解除エントリが生成されている場合に、前記第1の判断工程で中継しないと判断された通信を中継するように制御する制御工程と
を備えることを特徴とする情報処理方法。
【請求項5】
端末装置と、外部のサーバ装置との間の通信を中継制御するための中継制御ルール、及び当該中継制御ルールを解除するための有効期限が設定されたパスワードを記憶する記憶手段を備えるコンピュータを、前記端末装置と前記外部サーバとの間の通信の中継制御を行う情報処理装置として機能させるためのコンピュータプログラムであって、
前記コンピュータを、
前記端末装置と前記外部のサーバ装置との間で送受信されるHTTPデータを取得する第1の取得手段と、
前記第1の取得手段で取得したHTTPデータに対して前記中継制御ルールを適用することにより、当該HTTPデータの中継を許可するか否かを判断する第1の判断手段と、
前記第1の判断手段で中継を拒否すると判断した後に、前記端末装置に対して、前記中継制御ルールを解除するためのパスワード入力欄を備える画面情報を送信する送信手段と、
前記端末装置において、前記画面情報を介して入力されたパスワードを取得する第2の取得手段と、
前記第2のパスワードが前記記憶手段に記憶され、且つ当該パスワードが有効期限内であるかを判断する第2の判断手段と、
前記第2の判断手段で前記第2の取得手段で取得したパスワードが前記記憶手段に記憶され、且つ当該パスワードが有効期限内であると判断した場合に、解除エントリを生成する生成手段と、
前記第1の判断手段で、中継を許可しないと判断されたHTTPデータに対応する解除エントリが生成されている場合に、前記第1の判断手段で中継しないと判断された通信を中継するように制御する制御手段
として機能させることを特徴とするコンピュータプログラム。
【請求項1】
端末装置と、外部のサーバ装置との間の通信を中継制御するための中継制御ルール、及び当該中継制御ルールを解除するための有効期限が設定されたパスワードを記憶する記憶手段を備え、前記端末装置と前記外部サーバとの間の通信の中継制御を行う情報処理装置であって、
前記端末装置と前記外部のサーバ装置との間で送受信されるHTTPデータを取得する第1の取得手段と、
前記第1の取得手段で取得したHTTPデータに対して前記中継制御ルールを適用することにより、当該HTTPデータの中継を許可するか否かを判断する第1の判断手段と、
前記第1の判断手段で中継を拒否すると判断した後に、前記端末装置に対して、前記中継制御ルールを解除するためのパスワード入力欄を備える画面情報を送信する送信手段と、
前記端末装置において、前記画面情報を介して入力されたパスワードを取得する第2の取得手段と、
前記第2のパスワードが前記記憶手段に記憶され、且つ当該パスワードが有効期限内であるかを判断する第2の判断手段と、
前記第2の判断手段で前記第2の取得手段で取得したパスワードが前記記憶手段に記憶され、且つ当該パスワードが有効期限内であると判断した場合に、解除エントリを生成する生成手段と、
前記第1の判断手段で、中継を許可しないと判断されたHTTPデータに対応する解除エントリが生成されている場合に、前記第1の判断手段で中継しないと判断された通信を中継するように制御する制御手段と
を備えることを特徴とする情報処理装置。
【請求項2】
前記記憶手段は、さらに、前記パスワードと、当該パスワードを端末装置から受け付けた場合に前記生成手段で生成する解除エントリの有効期間情報と、をさらに対応付けて記憶し、
前記生成手段は、前記記憶手段に記憶されている有効期間情報に従って、前記解除エントリの失効時間を設定し、
前記制御手段は、前記解除エントリの失効時間を経過していないと判断した場合に、前記第1の判断手段で中継しないと判断されたHTTPデータを中継するように制御する
ことを特徴とする請求項1に記載の情報処理装置。
【請求項3】
前記制御手段は、前記端末装置に対して、前記第1の判断手段で中継を許可しないと判断した前記外部のサーバ装置にアクセスさせるためのリダイレクト情報を含むHTTPレスポンスを送信し、該HTTPレスポンスに応じて前記端末装置から前記外部のサーバ装置へ送信されたHTTPリクエストを中継させるよう制御すること
を特徴とする請求項1または2に記載の情報処理装置。
【請求項4】
端末装置と、外部のサーバ装置との間の通信を中継制御するための中継制御ルール、及び当該中継制御ルールを解除するための有効期限が設定されたパスワードを記憶する記憶装置を備え、前記端末装置と前記外部サーバとの間の通信の中継制御を行う情報処理装置によって行われる情報処理方法であって、
前記端末装置と前記外部のサーバ装置との間で送受信されるHTTPデータを取得する第1の取得工程と、
前記第1の取得工程で取得したHTTPデータに対して前記中継制御ルールを適用することにより、当該HTTPデータの中継を許可するか否かを判断する第1の判断工程と、
前記第1の判断工程で中継を拒否すると判断した後に、前記端末装置に対して、前記中継制御ルールを解除するためのパスワード入力欄を備える画面情報を送信する送信工程と、
前記端末装置において、前記画面情報を介して入力されたパスワードを取得する第2の取得工程と、
前記第2のパスワードが前記記憶装置に記憶され、且つ当該パスワードが有効期限内であるかを判断する第2の判断工程と、
前記第2の判断工程で前記第2の取得工程で取得したパスワードが前記記憶装置に記憶され、且つ当該パスワードが有効期限内であると判断した場合に、解除エントリを生成する生成工程と、
前記第1の判断工程で、中継を許可しないと判断されたHTTPデータに対応する解除エントリが生成されている場合に、前記第1の判断工程で中継しないと判断された通信を中継するように制御する制御工程と
を備えることを特徴とする情報処理方法。
【請求項5】
端末装置と、外部のサーバ装置との間の通信を中継制御するための中継制御ルール、及び当該中継制御ルールを解除するための有効期限が設定されたパスワードを記憶する記憶手段を備えるコンピュータを、前記端末装置と前記外部サーバとの間の通信の中継制御を行う情報処理装置として機能させるためのコンピュータプログラムであって、
前記コンピュータを、
前記端末装置と前記外部のサーバ装置との間で送受信されるHTTPデータを取得する第1の取得手段と、
前記第1の取得手段で取得したHTTPデータに対して前記中継制御ルールを適用することにより、当該HTTPデータの中継を許可するか否かを判断する第1の判断手段と、
前記第1の判断手段で中継を拒否すると判断した後に、前記端末装置に対して、前記中継制御ルールを解除するためのパスワード入力欄を備える画面情報を送信する送信手段と、
前記端末装置において、前記画面情報を介して入力されたパスワードを取得する第2の取得手段と、
前記第2のパスワードが前記記憶手段に記憶され、且つ当該パスワードが有効期限内であるかを判断する第2の判断手段と、
前記第2の判断手段で前記第2の取得手段で取得したパスワードが前記記憶手段に記憶され、且つ当該パスワードが有効期限内であると判断した場合に、解除エントリを生成する生成手段と、
前記第1の判断手段で、中継を許可しないと判断されたHTTPデータに対応する解除エントリが生成されている場合に、前記第1の判断手段で中継しないと判断された通信を中継するように制御する制御手段
として機能させることを特徴とするコンピュータプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【公開番号】特開2011−138227(P2011−138227A)
【公開日】平成23年7月14日(2011.7.14)
【国際特許分類】
【出願番号】特願2009−296393(P2009−296393)
【出願日】平成21年12月25日(2009.12.25)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.コンパクトフラッシュ
【出願人】(592135203)キヤノンITソリューションズ株式会社 (528)
【Fターム(参考)】
【公開日】平成23年7月14日(2011.7.14)
【国際特許分類】
【出願日】平成21年12月25日(2009.12.25)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.コンパクトフラッシュ
【出願人】(592135203)キヤノンITソリューションズ株式会社 (528)
【Fターム(参考)】
[ Back to top ]