情報処理装置及びその制御方法、プログラム、記憶媒体
【課題】 ユーザ操作内容に基づいて最適に監査証跡(監査履歴)を最適に生成する情報処理装置を提供する。
【解決手段】 情報処理装置は、監査証跡取得の対象としている監査対象がセキュリティ機能で保護されているか否かを判定する監査証跡生成判定部と、前記判定部によって監査対象がセキュリティ機能で保護されていると判定された場合は、監査証跡を生成する監査証跡生成部とを備える。
【解決手段】 情報処理装置は、監査証跡取得の対象としている監査対象がセキュリティ機能で保護されているか否かを判定する監査証跡生成判定部と、前記判定部によって監査対象がセキュリティ機能で保護されていると判定された場合は、監査証跡を生成する監査証跡生成部とを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ユーザ操作に基づいた監査証跡を最適に生成する情報処理装置、その制御方法及びプログラムに関するものである。
【背景技術】
【0002】
近年、機器内に機密文書等の重要なデータを管理する複合機などの情報処理装置において、ユーザの操作を監査証跡として記録することで、それらの重要なデータの利用を監査するシステムが開発されている(例えば、特許文献1参照)。特許文献1のデジタル計算装置では、多くの機能を有する複合機においてユーザの操作全てを監査証跡として記録すると監査証跡のデータ量が膨大になるため、各種動作を記録レベルに紐付けて効率的に監査証跡を記録している方法が開示されている。尚監査証跡とは監査ログ、監査履歴とも呼ばれている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2003−178285号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、上述の従来システムでは効率的な監査証跡の記録を実施するために、静的に決められたルールに従って一定レベルの監査証跡を記録することは可能であるが、動的に変化する情報処理装置の設定に追随してルールを変更することはできない。
【0005】
本発明はこのような点に鑑みてなされたもので、情報処理装置で管理される種々のデータに対する管理設定に応じた最適な監査証跡を取得することで、監査証跡を取得するコストや監査証跡のデータ量を削減する情報処理装置を提供することを目的とする。
【課題を解決するための手段】
【0006】
上記の目的を達成するために本発明による情報処理装置は以下の構成を備える。即ち、
監査証跡を生成する情報処理装置において、
ユーザの操作に対して当該操作が許可されているか否かを判定するアクセス制御手段と、
前記アクセス制御手段によって操作が許可された場合は、許可した旨を記す許可チケットを発行する許可チケット発行手段と、
前記許可チケットと共に操作を実行するユーザ操作実行手段と、
前記許可チケットが存在する場合に監査対象が保護されていると判断する監査証跡生成判定手段と、
前記監査証跡生成判定手段によって監査対象が保護されていると判断された場合には、監査証跡を生成する監査証跡生成手段とを有する。
【0007】
上記の目的を達成するために本発明による情報処理装置は以下の構成を備える。即ち、
情報処理装置であって、
監査証跡取得の対象としている監査対象がセキュリティ機能で保護されているか否かを判定する判定手段と、
前記判定手段によって監査対象が保護されていると判定された場合は、監査証跡を取得する監査証跡取得手段とを有する。
【発明の効果】
【0008】
本発明によれば、監査の対象となる操作やデータに対する管理設定に応じて監査証跡(監査履歴)の必要性を自動的に判断することが可能となり、監査証跡取得のコストや監査証跡のデータ量の削減が可能となる。また、重要とされた操作やデータに対する監査証跡のみを取得することで、監査時に必要とされる監査証跡の選別を行う必要がなくなり監査者の負担の低減も可能となる。
【図面の簡単な説明】
【0009】
【図1】本発明における複合機1(情報処理装置)のハードウェア構成図である。
【図2】本発明における複合機1(情報処理装置)の制御を説明するブロック図である。
【図3】複合機1(情報処理装置)内に保存されるアクセス制限情報を示す図である。
【図4】本発明における監査対象とセキュリティ機能との関連を説明する図である。
【図5】本発明の第1の実施形態における監査証跡の生成を示すフローチャート図である。
【図6】本発明の第1の実施形態における監査証跡の例を示す図である。
【図7】本発明の第2の実施形態における監査証跡の生成を示すフローチャート図である。
【図8】本発明の第2の実施形態における監査証跡の例を示す図である。
【図9】本発明の第3の実施形態におけるボックス暗証番号設定時のフローチャート図である。
【図10】本発明の第3の実施形態における監査証跡の例を示す図である。
【発明を実施するための形態】
【0010】
以下、本発明を実施するための最良の形態について、図面を参照して説明する。尚、説明文中の符号について、特に断りがない限りは実施形態の共通または類似部分について共通の符号を付することで、重複説明を省略するものとする。
【0011】
図1は本実施形態の複合機1(情報処理装置)のハードウェア構成を説明するブロック図である。
図1において、1001は複合機全体の情報処理の制御を司るCPUであり、1002はCPU1001が実行する複合機制御プログラムやフォントデータを格納するROMである。1003はCPU1001のワークエリア、受信バッファ、画像描画に使用されるRAMである。1004は、各種プログラム、クライアント情報、文書画像データ、データベースなどを記録するハードディスク(HDD)である。1005は各種スイッチやボタン、並びに、メッセージ表示用の液晶表示部で構成される操作パネルである。1006はネットワークに接続するためのネットワークインタフェース、1007は記録紙に印刷を行うプリンタエンジン、1008は原稿を読み取るためのスキャナエンジン、1009はファクシミリの送受信を行うためのファクシミリ通信部である。
【0012】
図2は、複合機1(情報処理装置)の構成をより詳細に説明するためのブロック図である。
操作部2001は、ユーザが複合機1に対して操作パネル1005に備わるタッチパネルやキーボード・スイッチなどによって入力した情報を受け付け、またそれら入力情報に対する出力結果を操作パネル1005の液晶パネルに表示する。ユーザ情報管理部2004では、複合機1を利用するユーザの情報の管理を行う。ユーザ情報としては、ユーザのID・パスワードと共に各ユーザに対するアクセス制限情報の管理も行われている。ユーザ認証部2002では、操作部2001で入力されるユーザ情報とユーザ情報管理部2004で管理されるユーザ情報との比較によりユーザ認証処理を行う。アクセス制御部2003ではユーザ認証部2002で認証されたユーザに対してユーザ情報管理部2004に保持されるアクセス制限情報に従って許可された機能の提供や許可されていない機能の制限等の処理を行う。ジョブ制御部2005では、操作部2001の入力に従って、複合機1のプリンタエンジン1007及びスキャナエンジン1008、ファクシミリ通信部1009を制御してプリントジョブやスキャンジョブ、送受信ジョブを実行する。デバイス設定管理部2006は、複合機1が保持する各種設定(ネットワーク設定や用紙設定、機能の設定などのデバイス設定機能)の管理を行う。ボックス管理部2007は複合機1のHDD1004に画像データを保持するためのボックスを管理する。ボックスはHDDを文書の格納場所として利用する。ボックス文書管理部2008はボックス内に保存される画像データである文書の管理を行う。監査証跡生成部2009は操作部2001からのユーザ操作に対する監査証跡の生成・管理を行う。尚、監査証跡とは監査ログ、監査履歴、監査対象のログ、監査対象の履歴を意味する。監査証跡生成判定部2010では、ユーザの各操作に対して監査証跡生成部2009が監査証跡を生成する必要があるか否かを判定し、監査証跡生成部2009に通知する役割を持つ。
【0013】
次に複合機1が有する各種機能について説明する。
複合機1はジョブ制御部2005によって、プリンタ機能、コピー機能、スキャン機能、更にそれらの機能で生成される画像データを複合機内のHDD1004に保存し、後に画像データを再利用して印刷したり、複製したりするボックス機能を提供する。複合機1はHDD1004に100個のボックスを保有し、ボックス管理部2007にて管理している。複合機1はそれぞれのボックスに対して画像データを保存するが、保存した画像データにアクセスできるユーザを限定するためにボックス暗証番号機能を更に有する(ボックス暗証番号認証機能)。ボックス暗証番号機能とは、各ボックスに対して予め暗証番号を付与しておくことで、暗証番号を知るユーザに対してのみ当該ボックス内の画像データのリスト参照や画像データの印刷・複製等の実行を可能とする機能である。ボックス暗証番号は管理設定としてボックス毎にボックスを利用するユーザによって設定される。このボックス暗証番号もボックス管理部2007によって管理される。
【0014】
また、複合機1は前述のプリンタ機能、コピー機能等の機能の利用を許可されたユーザのみに制限を行うアクセス制限機能も有する。アクセス制限機能とは、複合機利用時にユーザ認証を行い、認証された各ユーザに対して複合機の機能利用の許可/禁止を設定し、その設定に従ってユーザの複合機の各種機能の利用を制限する機能である。アクセス制限機能はアクセス制御部2003において制御される。また、アクセス制御を行うためのアクセス制限情報として、複合機1は図3に示すのような各ユーザに対する複合機のアクセス制限情報をユーザ情報管理部2004に保持しており、その制限情報に従ってユーザの利用できる機能を制限する。例えば図3では“user01”はコピー機能を利用する権限を持たない。そのため、“user01”が複合機にログイン後、コピー機能の利用を試みると複合機1は操作パネル1005に「権限がありません。」とのメッセージを表示しコピー機能の利用を制限する。これらのアクセス制限情報は操作パネル1005から管理者ユーザが設定可能であるが、ここではその方法の詳細について省略する。また、本実施形態ではユーザ毎にアクセス制限情報の設定を行っているが、グループ毎やロールでのアクセス制限情報の設定も可能であり、その方法は限定しない。
【0015】
次に、監査証跡生成部2009において制御される複合機1の監査証跡記録機能(監査証跡取得)について説明する。
複合機1は、ジョブ制御部2005でのプリント機能、コピー機能等の実行や、ボックス管理部2007で管理する画像データの利用を監査するために、複合機1に対するユーザの操作を監査証跡として記録する。監査証跡は監査証跡生成部2009において生成され、記憶される。監査証跡として複合機1は、監査証跡のID、利用された日時(開始日時・終了日時)、監査対象情報(機能もしくは画像データ、ボックス番号等)、操作したユーザ情報、操作種別、結果等の項目を記録する。
【0016】
本発明では、これらの監査証跡を効率よく記録するために、監査証跡生成判定部2010において前述のセキュリティ機能(ボックス暗証番号機能やアクセス制限機能)と監査対象である機能や画像データとの対応を基に監査証跡を生成するか否かを決定する。
【0017】
例として図4に監査対象とセキュリティ機能の関連を示す。図4の「監査対象を保護するためのセキュリティ機能」とは前述したアクセス制御や暗証番号などのセキュリティ機能を示す。図4では、プリンタ機能、コピー機能などの複合機の機能に対しては、許可されたユーザのみ利用できるアクセス制限機能を、ボックス内の画像データに対してはボックスの暗証番号認証機能をセキュリティ機能として設定している。また、複合機1の各種管理設定機能については、管理者ユーザのみが設定変更できるようにアクセス制限を行う管理者ユーザ認証機能をセキュリティ機能とする。これらのセキュリティ機能の設定は監査対象となるそれぞれの機能、ボックス単位で変更が可能であり複合機の運用中にユーザもしくは管理者ユーザが自由に変更することが可能である。
【0018】
そこで本発明では、このように「監査対象である機能やデータ」と「それらを保護するセキュリティ機能」との関連を基に、「監査対象である機能やデータ」に対する監査証跡を記録するか否かを決定する。
【0019】
例えば、複合機1内に複数あるボックス機能が次に示すような運用状態であったとする。
・ボックス1は暗証番号を設定せず誰もがアクセス可能なボックス。
・ボックス2には暗証番号が設定されており、内部で管理される画像データを保護するボックス。
【0020】
このような場合、ボックス1に保存される画像データは誰にでもアクセスできる公開画像データであり、その利用について監査は不要のため監査証跡の生成は行わない。しかし、ボックス2に保存される画像データは特定のユーザのみがアクセスできる機密な画像データであり、その利用について誰が操作したかの監査が必要であるため、監査証跡の生成を行う。
【0021】
<第1の実施形態>
第1の実施形態における監査証跡生成方法を説明する。
図5は、第1の実施形態における監査証跡の生成処理に関するフローチャート図である。
【0022】
まずステップ501において、操作部2001は認証画面を表示してユーザにユーザ名とパスワードを入力させる。次にユーザ認証部2002において入力されたユーザ情報に従ってユーザ認証を行う(ステップ502)。ステップ503においてユーザ認証が成功すれば、ステップ504にて操作部2001はユーザの操作を受け付ける。ステップ503においてユーザ認証に失敗した場合は、操作部2001は認証失敗のメッセージを表示し、再度ユーザにユーザ名とパスワードを入力させる。
【0023】
ステップ504で操作部2001はユーザの操作を受け付けた結果、ステップ505においてユーザ操作の対象がセキュリティ機能で保護されているか否かを確認する。判定処理の実行は操作対象によって異なり、プリント機能やコピー機能の実行操作であればアクセス制御部2003で、ボックスの参照等ボックスへの操作であればボックス管理部2007で行われる。ボックスへの操作は文書の保存、削除など文書操作機能である。ステップ505においてセキュリティ機能で保護されていないと判定された場合は、そのままステップ509の操作実行処理に移行する。ステップ505においてセキュリティ機能で保護されていると判定された場合は、ステップ506においてセキュリティ機能が実行される。ここで、操作対象がプリント機能やコピー機能であればアクセス制御部2003がセキュリティ機能の実行を行う。アクセス制御部2003はユーザ情報管理部2004で管理されるユーザ情報から認証されたユーザのアクセス制限情報(図3)を取得する。アクセス制限情報を確認した結果、当該ユーザの操作が許可であればアクセス制御部2003は操作の実行を許可する。当該ユーザの操作が禁止であれば「権限がないため実行できません。」とのメッセージを操作部2001に表示するよう通知し、アクセス制御部2003は操作の実行を拒否する。一方、操作対象がボックスへのアクセスであれば、ボックス管理部2007がセキュリティ機能の実行を行う。ボックス管理部2007はボックスへアクセスするための暗証番号をユーザに入力させるよう操作部2001に要求し、操作部2001は入力された暗証番号をボックス管理部2007に送信する。ボックス管理部2007では入力された暗証番号と管理している暗証番号とを比較し、ボックス暗証番号認証を行う。ステップ506におけるセキュリティ機能の実行の結果、ユーザの操作が続行可能であると確認されれば(ステップ507)、操作許可のチケットをアクセス制御部2003もしくはボックス管理部2007が発行(許可チケット発行)する(ステップ508)。許可チケットには、操作の許可を行ったセキュリティ機能のID、許可した操作内容が記載されている。ステップ507でユーザの操作が続行可能でないと判断された場合は、操作部2001がユーザに対し操作不可であることを表示し、再度ユーザに操作を実施させる(ユーザ操作実行)。ステップ509ではジョブ制御部2005もしくはボックス文書管理部2008がユーザの指定した操作の実行を行う。実行が完了時には、監査証跡生成判定部2010がステップ508で発行された許可チケットがあるか否かを確認し、監査証跡の生成を行うか否かの判定を行う。監査証跡生成判定部2010は、許可チケットが存在する場合、つまりユーザ操作の対象がセキュリティ機能で保護されている場合に生成が必要と判断する。監査証跡の生成が必要と判断された場合はステップ511において監査証跡生成部2009は監査証跡を生成する。監査証跡の生成の例を図6に示す。監査証跡として、監査証跡のID、操作日時(開始日時・終了日時)、操作したユーザ名、操作種別(文書削除、プリント、コピー等)、文書が格納されているボックス番号、文書名、操作結果が記録される。これらは監査証跡の例であり、各項目や監査の内容などはこれに限らない。
【0024】
以上説明したように、本実施例によればユーザの操作対象がセキュリティ機能によって保護されているか否かによって監査証跡の生成有無を判断できる。その結果、必要な監査証跡のみを残せるようになる。従って、複合機の設定に最適な監査証跡のみが保存され、監査の際に監査証跡の取捨選択の手間を省くことが可能となる。
【0025】
<第2の実施形態>
第1の実施形態では、ユーザの操作対象がセキュリティ機能によって保護されている場合にのみ監査証跡の生成を行ったが、セキュリティ機能によって保護されていない場合にでも監査証跡を残しておくことが有効となる場合もある。第2の実施形態では、セキュリティ機能によって保護されていない場合でも監査証跡を生成する方法について説明する。
【0026】
図7は、第2の実施形態における監査証跡の生成処理に関するフローチャート図である。ステップ601からステップ609までは第1の実施形態と同様であるため説明を省略する。ステップ610において監査証跡生成判定部2010がステップ608で発行された許可チケットがあるか否かを確認する。許可チケットがある場合には、ステップ611において、監査証跡生成部2009は監査証跡の生成を行う。ここで、第2の実施形態では、監査証跡生成部2009はステップ608で発行された許可チケットに記載されているセキュリティ機能の機能IDを監査証跡に保存する。セキュリティ機能IDはセキュリティ機能の機能識別情報として利用される。第2の実施形態の監査証跡の例を図8に示す。図8の監査証跡には図6で示した監査証跡の項目に加えて、保護機能IDが格納されている。操作対象を保護しているセキュリティ機能IDを記録することで監査証跡を基に監査を行った際、不適当な操作等の処理が見つかった場合は、該当するセキュリティ機能の設定を変更するように監査者に提示することが可能となる。ステップ610において監査証跡生成判定部2010が許可チケットなしと判定した場合は、ステップ612において監査証跡生成部2009は監査証跡の生成を行う。ステップ612では許可チケットがないため、セキュリティ機能IDを取得することができない。図8にあるように許可チケットがない場合は、保護機能IDに“−”を格納する。
【0027】
以上のように、第2の実施形態では、全てのユーザの操作に対して監査証跡を残し、かつそれらの操作対象がセキュリティ機能によって保護されているかどうかを明確にする。これにより、監査の際に保護された対象については正しく保護が実施できているか、それ以外の操作に関しては不適当な操作がないかを監査時に容易に確認することが可能となる。
【0028】
<第3の実施形態>
第1の実施形態及び第2の実施形態ではユーザ操作が行われた際の複合機(情報処理装置)の設定や状態に従って監査証跡を保存するか否かを決定していたが、セキュリティ機能の設定の変化点を知ることができない。セキュリティ機能の設定の変化を確認は、そのセキュリティ機能で保護される対象の監査開始・終了を示すことができ非常に重要である。そこで、第3の実施形態では、監査対象のセキュリティ保護開始を明確に示すための処理を説明する。
【0029】
第3の実施形態では、ボックス暗証番号の設定を変更した際の監査証跡生成処理について図9のフローチャート図を用いて説明する。
まず、ステップ901にて操作部2001でのユーザからの入力によってボックス管理部2007がボックスの暗証番号の設定(新規登録もしくは削除)処理を受け付ける。次にステップ902にてボックス管理部2007は当該ボックスに既に文書が保存されているかの検索を行う。ステップ903において、文書が保存されていると判断された場合は、監査証跡生成部2009が監査証跡を生成する。監査証跡生成部2009は、当該文書に対して暗証番号新規登録の場合は監査対象となったことを、暗証番号削除の場合は監査対象外(解除)となったことを示す監査証跡を生成する。図10に第3の実施形態で生成される監査証跡の例を示す。図10に示されるようにそれぞれ操作種別として「監査開始」「監査終了」として記録される。監査証跡の生成が完了すれば次の文書の検索を行う(ステップ905)。当該ボックスに保存されている文書全てに対して監査証跡の生成が完了すれば処理を終了する。
【0030】
以上説明したように、本実施例によれば監査対象であるボックス内の文書が監査の対象か否かの状態変化点を示すことが可能となる。従って、監査対象の監査開始から終了までを明確に示すことができ、監査の際に監査証跡の取捨選択の手間を省くことが可能となる。また、監査対象毎(各機能、各ボックス)に本実施例を適用しても良い。
【0031】
<その他の実施形態>
また本発明は、たとえば、システム、装置、方法、プログラムもしくは記憶媒体等としての実施態様をとることが可能である。具体的には、複数の機器から構成されるシステムに適用してもよいし、また、一つの機器からなる装置に適用してもよい。
【0032】
また、本発明の目的は、以下の処理を実行することによっても達成される。即ち、上述した実施形態の機能を実現するソフトウェアのプログラムコードを記録した記憶媒体を、システム或いは装置に供給し、そのシステム或いは装置のコンピュータ(またはCPUやMPU等)が記憶媒体に格納されたプログラムコードを読み出す処理である。この場合、記憶媒体から読み出されたプログラムコード自体が前述した実施の形態の機能を実現することになり、そのプログラムコード及び該プログラムコードを記憶した記憶媒体は本発明を構成することになる。
【技術分野】
【0001】
本発明は、ユーザ操作に基づいた監査証跡を最適に生成する情報処理装置、その制御方法及びプログラムに関するものである。
【背景技術】
【0002】
近年、機器内に機密文書等の重要なデータを管理する複合機などの情報処理装置において、ユーザの操作を監査証跡として記録することで、それらの重要なデータの利用を監査するシステムが開発されている(例えば、特許文献1参照)。特許文献1のデジタル計算装置では、多くの機能を有する複合機においてユーザの操作全てを監査証跡として記録すると監査証跡のデータ量が膨大になるため、各種動作を記録レベルに紐付けて効率的に監査証跡を記録している方法が開示されている。尚監査証跡とは監査ログ、監査履歴とも呼ばれている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2003−178285号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、上述の従来システムでは効率的な監査証跡の記録を実施するために、静的に決められたルールに従って一定レベルの監査証跡を記録することは可能であるが、動的に変化する情報処理装置の設定に追随してルールを変更することはできない。
【0005】
本発明はこのような点に鑑みてなされたもので、情報処理装置で管理される種々のデータに対する管理設定に応じた最適な監査証跡を取得することで、監査証跡を取得するコストや監査証跡のデータ量を削減する情報処理装置を提供することを目的とする。
【課題を解決するための手段】
【0006】
上記の目的を達成するために本発明による情報処理装置は以下の構成を備える。即ち、
監査証跡を生成する情報処理装置において、
ユーザの操作に対して当該操作が許可されているか否かを判定するアクセス制御手段と、
前記アクセス制御手段によって操作が許可された場合は、許可した旨を記す許可チケットを発行する許可チケット発行手段と、
前記許可チケットと共に操作を実行するユーザ操作実行手段と、
前記許可チケットが存在する場合に監査対象が保護されていると判断する監査証跡生成判定手段と、
前記監査証跡生成判定手段によって監査対象が保護されていると判断された場合には、監査証跡を生成する監査証跡生成手段とを有する。
【0007】
上記の目的を達成するために本発明による情報処理装置は以下の構成を備える。即ち、
情報処理装置であって、
監査証跡取得の対象としている監査対象がセキュリティ機能で保護されているか否かを判定する判定手段と、
前記判定手段によって監査対象が保護されていると判定された場合は、監査証跡を取得する監査証跡取得手段とを有する。
【発明の効果】
【0008】
本発明によれば、監査の対象となる操作やデータに対する管理設定に応じて監査証跡(監査履歴)の必要性を自動的に判断することが可能となり、監査証跡取得のコストや監査証跡のデータ量の削減が可能となる。また、重要とされた操作やデータに対する監査証跡のみを取得することで、監査時に必要とされる監査証跡の選別を行う必要がなくなり監査者の負担の低減も可能となる。
【図面の簡単な説明】
【0009】
【図1】本発明における複合機1(情報処理装置)のハードウェア構成図である。
【図2】本発明における複合機1(情報処理装置)の制御を説明するブロック図である。
【図3】複合機1(情報処理装置)内に保存されるアクセス制限情報を示す図である。
【図4】本発明における監査対象とセキュリティ機能との関連を説明する図である。
【図5】本発明の第1の実施形態における監査証跡の生成を示すフローチャート図である。
【図6】本発明の第1の実施形態における監査証跡の例を示す図である。
【図7】本発明の第2の実施形態における監査証跡の生成を示すフローチャート図である。
【図8】本発明の第2の実施形態における監査証跡の例を示す図である。
【図9】本発明の第3の実施形態におけるボックス暗証番号設定時のフローチャート図である。
【図10】本発明の第3の実施形態における監査証跡の例を示す図である。
【発明を実施するための形態】
【0010】
以下、本発明を実施するための最良の形態について、図面を参照して説明する。尚、説明文中の符号について、特に断りがない限りは実施形態の共通または類似部分について共通の符号を付することで、重複説明を省略するものとする。
【0011】
図1は本実施形態の複合機1(情報処理装置)のハードウェア構成を説明するブロック図である。
図1において、1001は複合機全体の情報処理の制御を司るCPUであり、1002はCPU1001が実行する複合機制御プログラムやフォントデータを格納するROMである。1003はCPU1001のワークエリア、受信バッファ、画像描画に使用されるRAMである。1004は、各種プログラム、クライアント情報、文書画像データ、データベースなどを記録するハードディスク(HDD)である。1005は各種スイッチやボタン、並びに、メッセージ表示用の液晶表示部で構成される操作パネルである。1006はネットワークに接続するためのネットワークインタフェース、1007は記録紙に印刷を行うプリンタエンジン、1008は原稿を読み取るためのスキャナエンジン、1009はファクシミリの送受信を行うためのファクシミリ通信部である。
【0012】
図2は、複合機1(情報処理装置)の構成をより詳細に説明するためのブロック図である。
操作部2001は、ユーザが複合機1に対して操作パネル1005に備わるタッチパネルやキーボード・スイッチなどによって入力した情報を受け付け、またそれら入力情報に対する出力結果を操作パネル1005の液晶パネルに表示する。ユーザ情報管理部2004では、複合機1を利用するユーザの情報の管理を行う。ユーザ情報としては、ユーザのID・パスワードと共に各ユーザに対するアクセス制限情報の管理も行われている。ユーザ認証部2002では、操作部2001で入力されるユーザ情報とユーザ情報管理部2004で管理されるユーザ情報との比較によりユーザ認証処理を行う。アクセス制御部2003ではユーザ認証部2002で認証されたユーザに対してユーザ情報管理部2004に保持されるアクセス制限情報に従って許可された機能の提供や許可されていない機能の制限等の処理を行う。ジョブ制御部2005では、操作部2001の入力に従って、複合機1のプリンタエンジン1007及びスキャナエンジン1008、ファクシミリ通信部1009を制御してプリントジョブやスキャンジョブ、送受信ジョブを実行する。デバイス設定管理部2006は、複合機1が保持する各種設定(ネットワーク設定や用紙設定、機能の設定などのデバイス設定機能)の管理を行う。ボックス管理部2007は複合機1のHDD1004に画像データを保持するためのボックスを管理する。ボックスはHDDを文書の格納場所として利用する。ボックス文書管理部2008はボックス内に保存される画像データである文書の管理を行う。監査証跡生成部2009は操作部2001からのユーザ操作に対する監査証跡の生成・管理を行う。尚、監査証跡とは監査ログ、監査履歴、監査対象のログ、監査対象の履歴を意味する。監査証跡生成判定部2010では、ユーザの各操作に対して監査証跡生成部2009が監査証跡を生成する必要があるか否かを判定し、監査証跡生成部2009に通知する役割を持つ。
【0013】
次に複合機1が有する各種機能について説明する。
複合機1はジョブ制御部2005によって、プリンタ機能、コピー機能、スキャン機能、更にそれらの機能で生成される画像データを複合機内のHDD1004に保存し、後に画像データを再利用して印刷したり、複製したりするボックス機能を提供する。複合機1はHDD1004に100個のボックスを保有し、ボックス管理部2007にて管理している。複合機1はそれぞれのボックスに対して画像データを保存するが、保存した画像データにアクセスできるユーザを限定するためにボックス暗証番号機能を更に有する(ボックス暗証番号認証機能)。ボックス暗証番号機能とは、各ボックスに対して予め暗証番号を付与しておくことで、暗証番号を知るユーザに対してのみ当該ボックス内の画像データのリスト参照や画像データの印刷・複製等の実行を可能とする機能である。ボックス暗証番号は管理設定としてボックス毎にボックスを利用するユーザによって設定される。このボックス暗証番号もボックス管理部2007によって管理される。
【0014】
また、複合機1は前述のプリンタ機能、コピー機能等の機能の利用を許可されたユーザのみに制限を行うアクセス制限機能も有する。アクセス制限機能とは、複合機利用時にユーザ認証を行い、認証された各ユーザに対して複合機の機能利用の許可/禁止を設定し、その設定に従ってユーザの複合機の各種機能の利用を制限する機能である。アクセス制限機能はアクセス制御部2003において制御される。また、アクセス制御を行うためのアクセス制限情報として、複合機1は図3に示すのような各ユーザに対する複合機のアクセス制限情報をユーザ情報管理部2004に保持しており、その制限情報に従ってユーザの利用できる機能を制限する。例えば図3では“user01”はコピー機能を利用する権限を持たない。そのため、“user01”が複合機にログイン後、コピー機能の利用を試みると複合機1は操作パネル1005に「権限がありません。」とのメッセージを表示しコピー機能の利用を制限する。これらのアクセス制限情報は操作パネル1005から管理者ユーザが設定可能であるが、ここではその方法の詳細について省略する。また、本実施形態ではユーザ毎にアクセス制限情報の設定を行っているが、グループ毎やロールでのアクセス制限情報の設定も可能であり、その方法は限定しない。
【0015】
次に、監査証跡生成部2009において制御される複合機1の監査証跡記録機能(監査証跡取得)について説明する。
複合機1は、ジョブ制御部2005でのプリント機能、コピー機能等の実行や、ボックス管理部2007で管理する画像データの利用を監査するために、複合機1に対するユーザの操作を監査証跡として記録する。監査証跡は監査証跡生成部2009において生成され、記憶される。監査証跡として複合機1は、監査証跡のID、利用された日時(開始日時・終了日時)、監査対象情報(機能もしくは画像データ、ボックス番号等)、操作したユーザ情報、操作種別、結果等の項目を記録する。
【0016】
本発明では、これらの監査証跡を効率よく記録するために、監査証跡生成判定部2010において前述のセキュリティ機能(ボックス暗証番号機能やアクセス制限機能)と監査対象である機能や画像データとの対応を基に監査証跡を生成するか否かを決定する。
【0017】
例として図4に監査対象とセキュリティ機能の関連を示す。図4の「監査対象を保護するためのセキュリティ機能」とは前述したアクセス制御や暗証番号などのセキュリティ機能を示す。図4では、プリンタ機能、コピー機能などの複合機の機能に対しては、許可されたユーザのみ利用できるアクセス制限機能を、ボックス内の画像データに対してはボックスの暗証番号認証機能をセキュリティ機能として設定している。また、複合機1の各種管理設定機能については、管理者ユーザのみが設定変更できるようにアクセス制限を行う管理者ユーザ認証機能をセキュリティ機能とする。これらのセキュリティ機能の設定は監査対象となるそれぞれの機能、ボックス単位で変更が可能であり複合機の運用中にユーザもしくは管理者ユーザが自由に変更することが可能である。
【0018】
そこで本発明では、このように「監査対象である機能やデータ」と「それらを保護するセキュリティ機能」との関連を基に、「監査対象である機能やデータ」に対する監査証跡を記録するか否かを決定する。
【0019】
例えば、複合機1内に複数あるボックス機能が次に示すような運用状態であったとする。
・ボックス1は暗証番号を設定せず誰もがアクセス可能なボックス。
・ボックス2には暗証番号が設定されており、内部で管理される画像データを保護するボックス。
【0020】
このような場合、ボックス1に保存される画像データは誰にでもアクセスできる公開画像データであり、その利用について監査は不要のため監査証跡の生成は行わない。しかし、ボックス2に保存される画像データは特定のユーザのみがアクセスできる機密な画像データであり、その利用について誰が操作したかの監査が必要であるため、監査証跡の生成を行う。
【0021】
<第1の実施形態>
第1の実施形態における監査証跡生成方法を説明する。
図5は、第1の実施形態における監査証跡の生成処理に関するフローチャート図である。
【0022】
まずステップ501において、操作部2001は認証画面を表示してユーザにユーザ名とパスワードを入力させる。次にユーザ認証部2002において入力されたユーザ情報に従ってユーザ認証を行う(ステップ502)。ステップ503においてユーザ認証が成功すれば、ステップ504にて操作部2001はユーザの操作を受け付ける。ステップ503においてユーザ認証に失敗した場合は、操作部2001は認証失敗のメッセージを表示し、再度ユーザにユーザ名とパスワードを入力させる。
【0023】
ステップ504で操作部2001はユーザの操作を受け付けた結果、ステップ505においてユーザ操作の対象がセキュリティ機能で保護されているか否かを確認する。判定処理の実行は操作対象によって異なり、プリント機能やコピー機能の実行操作であればアクセス制御部2003で、ボックスの参照等ボックスへの操作であればボックス管理部2007で行われる。ボックスへの操作は文書の保存、削除など文書操作機能である。ステップ505においてセキュリティ機能で保護されていないと判定された場合は、そのままステップ509の操作実行処理に移行する。ステップ505においてセキュリティ機能で保護されていると判定された場合は、ステップ506においてセキュリティ機能が実行される。ここで、操作対象がプリント機能やコピー機能であればアクセス制御部2003がセキュリティ機能の実行を行う。アクセス制御部2003はユーザ情報管理部2004で管理されるユーザ情報から認証されたユーザのアクセス制限情報(図3)を取得する。アクセス制限情報を確認した結果、当該ユーザの操作が許可であればアクセス制御部2003は操作の実行を許可する。当該ユーザの操作が禁止であれば「権限がないため実行できません。」とのメッセージを操作部2001に表示するよう通知し、アクセス制御部2003は操作の実行を拒否する。一方、操作対象がボックスへのアクセスであれば、ボックス管理部2007がセキュリティ機能の実行を行う。ボックス管理部2007はボックスへアクセスするための暗証番号をユーザに入力させるよう操作部2001に要求し、操作部2001は入力された暗証番号をボックス管理部2007に送信する。ボックス管理部2007では入力された暗証番号と管理している暗証番号とを比較し、ボックス暗証番号認証を行う。ステップ506におけるセキュリティ機能の実行の結果、ユーザの操作が続行可能であると確認されれば(ステップ507)、操作許可のチケットをアクセス制御部2003もしくはボックス管理部2007が発行(許可チケット発行)する(ステップ508)。許可チケットには、操作の許可を行ったセキュリティ機能のID、許可した操作内容が記載されている。ステップ507でユーザの操作が続行可能でないと判断された場合は、操作部2001がユーザに対し操作不可であることを表示し、再度ユーザに操作を実施させる(ユーザ操作実行)。ステップ509ではジョブ制御部2005もしくはボックス文書管理部2008がユーザの指定した操作の実行を行う。実行が完了時には、監査証跡生成判定部2010がステップ508で発行された許可チケットがあるか否かを確認し、監査証跡の生成を行うか否かの判定を行う。監査証跡生成判定部2010は、許可チケットが存在する場合、つまりユーザ操作の対象がセキュリティ機能で保護されている場合に生成が必要と判断する。監査証跡の生成が必要と判断された場合はステップ511において監査証跡生成部2009は監査証跡を生成する。監査証跡の生成の例を図6に示す。監査証跡として、監査証跡のID、操作日時(開始日時・終了日時)、操作したユーザ名、操作種別(文書削除、プリント、コピー等)、文書が格納されているボックス番号、文書名、操作結果が記録される。これらは監査証跡の例であり、各項目や監査の内容などはこれに限らない。
【0024】
以上説明したように、本実施例によればユーザの操作対象がセキュリティ機能によって保護されているか否かによって監査証跡の生成有無を判断できる。その結果、必要な監査証跡のみを残せるようになる。従って、複合機の設定に最適な監査証跡のみが保存され、監査の際に監査証跡の取捨選択の手間を省くことが可能となる。
【0025】
<第2の実施形態>
第1の実施形態では、ユーザの操作対象がセキュリティ機能によって保護されている場合にのみ監査証跡の生成を行ったが、セキュリティ機能によって保護されていない場合にでも監査証跡を残しておくことが有効となる場合もある。第2の実施形態では、セキュリティ機能によって保護されていない場合でも監査証跡を生成する方法について説明する。
【0026】
図7は、第2の実施形態における監査証跡の生成処理に関するフローチャート図である。ステップ601からステップ609までは第1の実施形態と同様であるため説明を省略する。ステップ610において監査証跡生成判定部2010がステップ608で発行された許可チケットがあるか否かを確認する。許可チケットがある場合には、ステップ611において、監査証跡生成部2009は監査証跡の生成を行う。ここで、第2の実施形態では、監査証跡生成部2009はステップ608で発行された許可チケットに記載されているセキュリティ機能の機能IDを監査証跡に保存する。セキュリティ機能IDはセキュリティ機能の機能識別情報として利用される。第2の実施形態の監査証跡の例を図8に示す。図8の監査証跡には図6で示した監査証跡の項目に加えて、保護機能IDが格納されている。操作対象を保護しているセキュリティ機能IDを記録することで監査証跡を基に監査を行った際、不適当な操作等の処理が見つかった場合は、該当するセキュリティ機能の設定を変更するように監査者に提示することが可能となる。ステップ610において監査証跡生成判定部2010が許可チケットなしと判定した場合は、ステップ612において監査証跡生成部2009は監査証跡の生成を行う。ステップ612では許可チケットがないため、セキュリティ機能IDを取得することができない。図8にあるように許可チケットがない場合は、保護機能IDに“−”を格納する。
【0027】
以上のように、第2の実施形態では、全てのユーザの操作に対して監査証跡を残し、かつそれらの操作対象がセキュリティ機能によって保護されているかどうかを明確にする。これにより、監査の際に保護された対象については正しく保護が実施できているか、それ以外の操作に関しては不適当な操作がないかを監査時に容易に確認することが可能となる。
【0028】
<第3の実施形態>
第1の実施形態及び第2の実施形態ではユーザ操作が行われた際の複合機(情報処理装置)の設定や状態に従って監査証跡を保存するか否かを決定していたが、セキュリティ機能の設定の変化点を知ることができない。セキュリティ機能の設定の変化を確認は、そのセキュリティ機能で保護される対象の監査開始・終了を示すことができ非常に重要である。そこで、第3の実施形態では、監査対象のセキュリティ保護開始を明確に示すための処理を説明する。
【0029】
第3の実施形態では、ボックス暗証番号の設定を変更した際の監査証跡生成処理について図9のフローチャート図を用いて説明する。
まず、ステップ901にて操作部2001でのユーザからの入力によってボックス管理部2007がボックスの暗証番号の設定(新規登録もしくは削除)処理を受け付ける。次にステップ902にてボックス管理部2007は当該ボックスに既に文書が保存されているかの検索を行う。ステップ903において、文書が保存されていると判断された場合は、監査証跡生成部2009が監査証跡を生成する。監査証跡生成部2009は、当該文書に対して暗証番号新規登録の場合は監査対象となったことを、暗証番号削除の場合は監査対象外(解除)となったことを示す監査証跡を生成する。図10に第3の実施形態で生成される監査証跡の例を示す。図10に示されるようにそれぞれ操作種別として「監査開始」「監査終了」として記録される。監査証跡の生成が完了すれば次の文書の検索を行う(ステップ905)。当該ボックスに保存されている文書全てに対して監査証跡の生成が完了すれば処理を終了する。
【0030】
以上説明したように、本実施例によれば監査対象であるボックス内の文書が監査の対象か否かの状態変化点を示すことが可能となる。従って、監査対象の監査開始から終了までを明確に示すことができ、監査の際に監査証跡の取捨選択の手間を省くことが可能となる。また、監査対象毎(各機能、各ボックス)に本実施例を適用しても良い。
【0031】
<その他の実施形態>
また本発明は、たとえば、システム、装置、方法、プログラムもしくは記憶媒体等としての実施態様をとることが可能である。具体的には、複数の機器から構成されるシステムに適用してもよいし、また、一つの機器からなる装置に適用してもよい。
【0032】
また、本発明の目的は、以下の処理を実行することによっても達成される。即ち、上述した実施形態の機能を実現するソフトウェアのプログラムコードを記録した記憶媒体を、システム或いは装置に供給し、そのシステム或いは装置のコンピュータ(またはCPUやMPU等)が記憶媒体に格納されたプログラムコードを読み出す処理である。この場合、記憶媒体から読み出されたプログラムコード自体が前述した実施の形態の機能を実現することになり、そのプログラムコード及び該プログラムコードを記憶した記憶媒体は本発明を構成することになる。
【特許請求の範囲】
【請求項1】
監査証跡を生成する情報処理装置において、
ユーザの操作に対して当該操作が許可されているか否かを判定するアクセス制御手段と、
前記アクセス制御手段によって操作が許可された場合は、許可した旨を記す許可チケットを発行する許可チケット発行手段と、
前記許可チケットと共に操作を実行するユーザ操作実行手段と、
前記許可チケットが存在する場合に監査対象が保護されていると判断する監査証跡生成判定手段と、
前記監査証跡生成判定手段によって監査対象が保護されていると判断された場合には、監査証跡を生成する監査証跡生成手段とを有することを特徴とする情報処理装置。
【請求項2】
前記許可チケットにはユーザ操作を許可した前記アクセス制御手段の機能識別情報が含み、前記監査証跡生成手段は前記機能識別情報を監査証跡に記録することを特徴とする請求項1に記載の情報処理装置。
【請求項3】
情報処理装置であって、
監査証跡取得の対象としている監査対象がセキュリティ機能で保護されているか否かを判定する判定手段と、
前記判定手段によって監査対象が保護されていると判定された場合は、監査証跡を取得する監査証跡取得手段とを有することを特徴とする情報処理装置。
【請求項4】
前記監査対象とは、プリント機能、コピー機能、スキャン機能、文書操作機能、デバイス設定機能に対する操作を示すことを特徴とする請求項3に記載の情報処理装置。
【請求項5】
前記セキュリティ機能とは、監査対象へのアクセスをユーザ毎に制限するアクセス制限機能であることを特徴とする請求項3に記載の情報処理装置。
【請求項6】
前記セキュリティ機能とは、監査対象である文書の格納場所であるボックス毎に暗証番号を付与することで文書へのアクセスを制限するボックス暗証番号認証機能であることを特徴とする請求項3に記載の情報処理装置。
【請求項7】
前記監査証跡取得の対象としている監査対象がセキュリティ機能による保護が開始された場合に、前記セキュリティ機能で保護される監査対象毎に監査開始を示す監査証跡を生成する監査証跡生成手段を有することを特徴とする請求項3に記載の情報処理装置。
【請求項8】
前記監査証跡取得の対象としている監査対象がセキュリティ機能での保護が解除された場合に、前記セキュリティ機能で保護されていた監査対象毎に監査終了を示す監査証跡を生成する監査証跡生成手段を有することを特徴とする請求項3に記載の情報処理装置。
【請求項9】
監査証跡を生成する情報処理装置の制御方法において、
ユーザの操作に対して当該操作が許可されているか否かを判定するアクセス制御工程と、
前記アクセス制御工程において操作が許可された場合は、許可した旨を記す許可チケットを発行する許可チケット発行工程と、
前記許可チケットと共に操作を実行するユーザ操作実行工程と、
前記許可チケットが存在する場合に監査対象が保護されていると判断する監査証跡生成判定工程と、
前記判定工程において監査対象が保護されていると判断された場合は、監査証跡を生成する監査証跡生成工程とを有することを特徴とする情報処理装置の制御方法。
【請求項10】
情報処理装置の制御方法において、
監査証跡取得の対象としている監査対象がセキュリティ機能で保護されているか否かを判定する判定工程と、
前記判定工程において監査対象が保護されていると判定された場合は、監査証跡を取得する監査証跡取得工程とを有することを特徴とする情報処理装置の制御方法。
【請求項11】
請求項9に記載の情報処理装置の制御方法をコンピュータで実行させるためのプログラム。
【請求項12】
請求項10に記載の情報処理装置の制御方法をコンピュータで実行させるためのプログラム。
【請求項13】
請求項11記載のプログラムを格納したコンピュータで読み取り可能な記憶媒体。
【請求項14】
請求項12記載のプログラムを格納したコンピュータで読み取り可能な記憶媒体。
【請求項1】
監査証跡を生成する情報処理装置において、
ユーザの操作に対して当該操作が許可されているか否かを判定するアクセス制御手段と、
前記アクセス制御手段によって操作が許可された場合は、許可した旨を記す許可チケットを発行する許可チケット発行手段と、
前記許可チケットと共に操作を実行するユーザ操作実行手段と、
前記許可チケットが存在する場合に監査対象が保護されていると判断する監査証跡生成判定手段と、
前記監査証跡生成判定手段によって監査対象が保護されていると判断された場合には、監査証跡を生成する監査証跡生成手段とを有することを特徴とする情報処理装置。
【請求項2】
前記許可チケットにはユーザ操作を許可した前記アクセス制御手段の機能識別情報が含み、前記監査証跡生成手段は前記機能識別情報を監査証跡に記録することを特徴とする請求項1に記載の情報処理装置。
【請求項3】
情報処理装置であって、
監査証跡取得の対象としている監査対象がセキュリティ機能で保護されているか否かを判定する判定手段と、
前記判定手段によって監査対象が保護されていると判定された場合は、監査証跡を取得する監査証跡取得手段とを有することを特徴とする情報処理装置。
【請求項4】
前記監査対象とは、プリント機能、コピー機能、スキャン機能、文書操作機能、デバイス設定機能に対する操作を示すことを特徴とする請求項3に記載の情報処理装置。
【請求項5】
前記セキュリティ機能とは、監査対象へのアクセスをユーザ毎に制限するアクセス制限機能であることを特徴とする請求項3に記載の情報処理装置。
【請求項6】
前記セキュリティ機能とは、監査対象である文書の格納場所であるボックス毎に暗証番号を付与することで文書へのアクセスを制限するボックス暗証番号認証機能であることを特徴とする請求項3に記載の情報処理装置。
【請求項7】
前記監査証跡取得の対象としている監査対象がセキュリティ機能による保護が開始された場合に、前記セキュリティ機能で保護される監査対象毎に監査開始を示す監査証跡を生成する監査証跡生成手段を有することを特徴とする請求項3に記載の情報処理装置。
【請求項8】
前記監査証跡取得の対象としている監査対象がセキュリティ機能での保護が解除された場合に、前記セキュリティ機能で保護されていた監査対象毎に監査終了を示す監査証跡を生成する監査証跡生成手段を有することを特徴とする請求項3に記載の情報処理装置。
【請求項9】
監査証跡を生成する情報処理装置の制御方法において、
ユーザの操作に対して当該操作が許可されているか否かを判定するアクセス制御工程と、
前記アクセス制御工程において操作が許可された場合は、許可した旨を記す許可チケットを発行する許可チケット発行工程と、
前記許可チケットと共に操作を実行するユーザ操作実行工程と、
前記許可チケットが存在する場合に監査対象が保護されていると判断する監査証跡生成判定工程と、
前記判定工程において監査対象が保護されていると判断された場合は、監査証跡を生成する監査証跡生成工程とを有することを特徴とする情報処理装置の制御方法。
【請求項10】
情報処理装置の制御方法において、
監査証跡取得の対象としている監査対象がセキュリティ機能で保護されているか否かを判定する判定工程と、
前記判定工程において監査対象が保護されていると判定された場合は、監査証跡を取得する監査証跡取得工程とを有することを特徴とする情報処理装置の制御方法。
【請求項11】
請求項9に記載の情報処理装置の制御方法をコンピュータで実行させるためのプログラム。
【請求項12】
請求項10に記載の情報処理装置の制御方法をコンピュータで実行させるためのプログラム。
【請求項13】
請求項11記載のプログラムを格納したコンピュータで読み取り可能な記憶媒体。
【請求項14】
請求項12記載のプログラムを格納したコンピュータで読み取り可能な記憶媒体。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2011−130125(P2011−130125A)
【公開日】平成23年6月30日(2011.6.30)
【国際特許分類】
【出願番号】特願2009−285758(P2009−285758)
【出願日】平成21年12月16日(2009.12.16)
【出願人】(000001007)キヤノン株式会社 (59,756)
【Fターム(参考)】
【公開日】平成23年6月30日(2011.6.30)
【国際特許分類】
【出願日】平成21年12月16日(2009.12.16)
【出願人】(000001007)キヤノン株式会社 (59,756)
【Fターム(参考)】
[ Back to top ]