情報処理装置及びエージェントコンピュータプログラム
【課題】情報処理装置のセキュリティ管理を、位置に応じて適切に行う。
【解決手段】位置情報を用いてセキュリティ管理を行う情報処理装置1であって、当該情報処理装置1の位置情報を取得する位置情報取得部101と、セキュリティポリシーデータPFを記憶するための記憶部106と、前記セキュリティポリシーデータに基づいて当該情報処理装置においてセキュリティ管理を要する機能の制限を位置情報に応じて行う機能制限部104と、を備えている。セキュリティポリシーデータPFは、当該情報処理装置が有する前記機能のうち、どの機能を制限するかを、位置情報に応じて決定するためのデータである。
【解決手段】位置情報を用いてセキュリティ管理を行う情報処理装置1であって、当該情報処理装置1の位置情報を取得する位置情報取得部101と、セキュリティポリシーデータPFを記憶するための記憶部106と、前記セキュリティポリシーデータに基づいて当該情報処理装置においてセキュリティ管理を要する機能の制限を位置情報に応じて行う機能制限部104と、を備えている。セキュリティポリシーデータPFは、当該情報処理装置が有する前記機能のうち、どの機能を制限するかを、位置情報に応じて決定するためのデータである。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理装置及びエージェントコンピュータプログラムに関するものである。
【背景技術】
【0002】
パーソナルコンピュータなどの情報処理装置のセキュリティ管理のために、位置情報を用いるものがある。
例えば、特許文献1には、情報処理装置に携帯端末を接続し、この携帯端末から入力された識別情報を認証とユーザパスワードによる認証を行うとともに、さらに端末装置の位置情報による認証を多重的に行い、すべての認証が成功すると、情報処理装置を使用可能とする技術が開示されている。
【0003】
特許文献1において、位置情報を用いて認証を行うには、まず、ユーザが操作部を操作して情報処理装置のメモリに使用可能範囲を設定しておく。情報処理装置の制御部は、接続された携帯端末から取得した位置情報が、使用可能範囲内にあるか否かを判定する。情報処理装置の制御部は、携帯端末から取得した位置情報が、使用可能範囲内にあれば、その携帯端末を持つユーザを正規のユーザと判断し、識別情報を認証とユーザパスワードによる認証が完了していれば、情報処理装置の使用を可能とする。
【特許文献1】特開2007−148877号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
特許文献1記載の技術は、位置情報をユーザパスワードとともに認証することからも明らかなように、認証の結果によって「情報処理装置」全体を使用可能にしたり、使用不可にしたりするものである。
したがって、予め設定された使用可能範囲外に携帯端末がある場合、情報処理装置を一切使用できなくなる。
【0005】
しかし、使用可能範囲外であっても、情報処理装置を使用したい場合がある。例えば、会社員が使用するパソコン等の情報処理装置の使用範囲が、会社内に限定された場合であっても、セキュリティ上問題が無い程度であれば、客先などの会社外でも使用できた方が、利便性が高い。
特許文献1の技術では、そのような使用可能範囲外での使用ができないため、ユーザの作業効率を著しく低下させるおそれがある。
【0006】
また、特許文献1の技術では、使用許可範囲を利用者自部からが設定することとなっているが、これでは利用者がセキュリティ上の問題を鑑みず利用者の利己的な判断で設定を行う可能性があり、企業の情報セキュリティを管理する立場から見た場合に好ましい実施形態とは言えない。
【0007】
そこで、本発明は、パーソナルコンピュータなどの情報処理装置のセキュリティ管理を、位置に応じて適切に行うことを目的とする。
【課題を解決するための手段】
【0008】
本発明は、位置情報を用いてセキュリティ管理を行う情報処理装置であって、当該情報処理装置の位置情報を取得する位置情報取得部と、当該情報処理装置においてセキュリティ管理を要する機能のうち、どの機能を制限するかを、位置情報に応じて決定するためのセキュリティポリシーデータを記憶するための記憶部と、前記セキュリティポリシーデータに基づいて当該情報処理装置が有する前記機能の制限を位置情報に応じて行う機能制限部と、を備えている。
【0009】
上記本発明によれば、セキュリティポリシーデータは、当該情報処理装置においてセキュリティ管理を要する機能のうち、どの機能を制限するかを、位置情報に応じて決定するためのデータとして構成されているため、機能制限部は、セキュリティポリシーデータに基づいて、位置情報に応じて柔軟に機能の制限を行うことができる。
【0010】
前記記憶部は、前記セキュリティポリシーデータとして、位置情報によって適用条件が設定された複数のポリシーサブデータを記憶可能に構成され、前記ポリシーサブデータは、当該情報処理装置においてセキュリティ管理を要する機能のうち、どの機能を制限するかを規定しているとともに、それぞれ適用条件が異なるように設定され、前記機能制限部は、取得した位置情報に応じて、適用されるポリシーサブデータを選択して、選択したポリシーサブデータに基づいて当該情報処理装置が有する機能の制限を行うのが好ましい。この場合、機能制限部は、複数のポリシーサブデータの中から、位置情報に応じたポリシーサブデータを選択することができ、位置情報に応じて柔軟に機能の制限を行うことができる。
【0011】
なお、セキュリティポリシーデータは、情報処理装置の外部の管理コンピュータから情報処理装置が自動的に取得したものを情報処理装置において用いるのが好ましい。この場合、情報処理装置の利用者がセキュリティ上の問題を鑑みず利用者の利己的な判断でセキュリティポリシーの設定を行うことを回避できる。
【0012】
前記セキュリティポリシーデータは、位置情報と位置情報以外の付加情報とによって適用条件が設定されたポリシーサブデータを有し、前記機能制限部は、取得した位置情報とともに前記付加情報に従って、適用されるポリシーサブデータを選択して、選択したポリシーサブデータに基づいて当該情報処理装置が有する機能の制限を行うのが好ましい。この場合、位置情報以外の付加情報によってもポリシーサブデータを選択することができ、状況に応じてより柔軟に機能の制限を行うことができる。
【0013】
前記セキュリティポリシーデータは、適用条件としての位置情報は同一であるが付加情報が異なることで、適用条件が区別される複数のポリシーサブデータを有しているのが好ましい。この場合、位置情報が同一でも、付加情報の違いによって適用されるポリシーサブデータを異ならせることができ、より柔軟な機能の制限を行うことができる。
【0014】
前記セキュリティポリシーデータには、位置情報が位置不明を示す情報であるときの機能の制限を規定した位置不明データが含まれ、前記機能制限部は、取得した位置情報が位置不明を示す情報である場合には、前記位置不明データを参照して、情報処理装置の機能の制限を行うのが好ましい。この場合、情報処理装置の位置がわからない場合であっても、位置不明データを利用した機能の制限が可能である。
【0015】
前記機能制限部は、位置不明を示す位置情報を取得した回数がしきい値を超えると、前記位置不明データを参照して、情報処理装置の機能の制限を行うのが好ましい。この場合、位置不明データに基づく機能制限が不必要に行われることを防止できる。
【0016】
前記情報処理装置の起動後における位置情報の取得を、定期的又は不定期的に、前記位置情報取得部に行わせる管理部を備えているのが好ましい。この場合、時間が経過して情報処理装置の位置が変わった場合、セキュリティポリシーを変更することができる。
【0017】
前記位置情報取得部は、当該情報処理装置と通信可能な携帯電話から、前記位置情報を取得するのが好ましい。
【0018】
他の観点からみた本発明は、情報処理装置のセキュリティ管理を行うエージェントコンピュータプログラムであって、当該情報処理装置を、当該情報処理装置の位置情報を取得する位置情報取得部と、当該情報処理装置においてセキュリティ管理を要する機能のうち、どの機能を制限するかを、位置情報に応じて決定するためのセキュリティポリシーデータを記憶するための記憶部と、前記セキュリティポリシーデータに基づいて当該情報処理装置が有する前記機能の制限を位置情報に応じて行う機能制限部と、として機能させるためのエージェントコンピュータプログラムである。
【0019】
コンピュータプログラムに係る本発明によれば、セキュリティポリシーデータは、情報処理装置においてセキュリティ管理を要する機能のうち、どの機能を制限するかを、位置情報に応じて決定するためのデータとして構成されているため、機能制限部は、セキュリティポリシーデータに基づいて、位置情報に応じて柔軟に機能の制限を行うことができる。
【発明の効果】
【0020】
本発明によれば、セキュリティポリシーデータに基づき、位置情報に応じて柔軟に機能の制限を行うことができる。
【発明を実施するための最良の形態】
【0021】
以下、本発明の実施形態を、図面を参照して説明する。
図1は、ノート型パーソナルコンピュータ等の情報処理装置(以下、「端末」という)1のセキュリティ管理(監視)を行うためのセキュリティシステムの全体構成を示している。
このセキュリティシステムは、端末1と、端末1と通信可能な携帯電話(携帯型端末)2とを有している。また、セキュリティシステムは、社内LAN4等のネットワークを介して端末装置1と接続される管理サーバ3を有している。
ここで、携帯電話2は、GPS機能など携帯電話2自身の位置情報を取得する機能を有している。
【0022】
端末1と携帯電話2には、それぞれ、端末エージェントコンピュータプログラム(以下、「端末エージェント」という)1aと携帯エージェントコンピュータプログラム(以下、「携帯エージェント」という)2aがインストールされている。
端末エージェント1aは、端末1の起動中は、常時起動している。携帯エージェント2aは、常時起動していてもよいが、必要に応じて起動してもよい。
これらのエージェント1a,2aは、互いに通信することにより連携して動作し、端末1のセキュリティ管理(監視)のための処理を行う。
なお、図1では、端末1と携帯電話2を、それぞれ1つずつしか図示していないが、通常、端末1は複数存在し、また、端末1の数に対応した数の携帯電話2が存在する。
【0023】
管理サーバ3は、端末エージェント1aを介して、当該端末エージェント1aが搭載された機器(端末1)を管理する。
具体的には、管理サーバ3は、その記憶部(図示省略)に、端末1のためのセキュリティポリシーを記述したセキュリティポリシーファイルPFを有しており、管理サーバ3では、セキュリティポリシーファイルPFの作成、セキュリティポリシーファイルPFの端末1への配布が行われる。
セキュリティポリシーファイルPFは、端末1のユーザではなく、管理サーバ3と端末1を含んだコンピュータネットワークのセキュリティ管理者によって管理・変更されるものである。なお、セキュリティポリシーファイルの詳細については後述する。
【0024】
図2(a)は、端末1のハードウェア構成を示している。端末1は、演算処理部(CPU)11と、ROM、RAM、ハードディスク等からなる記憶部12と、通信インターフェース13とを備えている。また、図2(b)は、携帯電話2におけるコンピュータとしてのハードウェア構成を示している。携帯電話2も、演算処理部(CPU)21、ROM、RAM、ハードディスク等からなる記憶部22と、通信インターフェース23と、位置情報を取得するためのGPS24とを備えている。
【0025】
端末1の記憶部12には、前記端末エージェント1aのほか、オペレーティングシステムや各種アプリケーションプログラムがインストールされている。また、携帯電話2の記憶部22にも、前記携帯エージェント2aのほか、オペレーティングシステムや各種アプリケーションプログラムがインストールされている。
【0026】
端末1の通信インターフェース13と携帯電話2の通信インターフェース23とは、端末エージェントコンピュータプログラム1aが、端末1の地理的な位置情報を携帯電話2から取得する際の通信に用いられる。両通信インターフェース13,23による接続には、接続端末間の距離が物理的に近いことが保証される近距離通信が用いられる。近距離通信による接続としては、無線通信によるものが好ましく、具体的には、Bluetooth(登録商標)、赤外通信のIrDA(商標)、Felica(登録商標)など携帯電話内蔵の非接触型スマートカードを介した接続を採用できる。また、USBケーブルなどの通信ケーブによって、端末1と携帯電話2とを物理的に接続してもよい。
【0027】
図3は、端末エージェント1aが端末1によって実行されることによって実現される端末1の機能を示している。
図示のように、端末1は、携帯電話2がGPS機能によって取得した位置情報を、当該携帯電話2から通信インターフェース12を介して取得する位置情報取得部101としての機能を有している。位置情報取得部101が、位置情報を取得するタイミングについては、管理部102によって管理される。
なお、本実施形態では、位置情報を携帯電話2から取得するが、端末1自体がGPS機能などを有している場合には、携帯電話2を省略することが可能である。
【0028】
また、端末1の端末エージェントは、携帯電話2と接続を確立する際に、携帯エージェントとの間で相互認証を行うエージェント間認証部103を備えている。なお、本実施形態では、エージェント1a,2a同士がアプリケーションレイヤーで認証を行うが、Bluetooth(登録商標)のように通信プロトコル内で認証が行われる場合には、エージェントにおける認証部103を省略することができる。
【0029】
端末1は、位置情報取得部101によって取得した位置情報を用いて、端末1の各種機能であって、セキュリティ管理が必要な機能を制限する機能制限部104の機能を有している。この機能制限部104は、位置情報及び必要であれば付加情報記憶部105に記憶されている付加情報を用いて、セキュリティポリシーファイル記憶部106に記憶されたセキュリティポリシーファイル(セキュリティポリシーデータ)PFを参照する。そして、機能制限部104は、位置情報(及び付加情報)に応じたセキュリティポリシー(ポリシーサブデータ)を決定して、当該セキュリティポリシーに従って端末1における各種機能を制限(又は許可)する。
【0030】
セキュリティポリシーにおいて制限又は許可の対象(セキュリティ管理の対象)となる機能としては、例えば、(1)ネットワーク接続又はその接続先、(2)USBメモリなどの外部記憶装置の使用、(3)指定アプリケーションの起動、(4)プリンタの使用、などがある。
セキュリティ管理の対象となる機能は、典型的には、端末1の外部との間での入出力を伴う機能である。つまり、(1)ネットワーク接続、(2)USBメモリなどの外部記憶装置の使用、及び(4)プリンタの使用は、端末1が端末外部への出力を行ったり、端末1が端末外部からの入力を受け付けたりするため、情報処理装置を外部からの脅威にさらすことになるからである。また、本実施携帯では、(3)アプリケーションの起動についても、アプリケーションの機能によっては、セキュリティ管理上、起動を許可しない方がよい場合があるため、セキュリティ管理の対象としている。
【0031】
図4に示すように、セキュリティポリシーファイルPFは、適用条件がそれぞれ異なるセキュリティポリシーを複数有して構成されている。具体的には、セキュリティポリシーファイルPFは、セキュリティポリシーごとに設けられた複数のポリシーサブデータPS1〜PS4を1ファイルに束ねて構成されている。
各ポリシーサブデータPS1〜PS4の適用条件は、主に位置情報により設定されている。ここでは、位置情報は、「社内」エリアとそれ以外のエリアである「社外」エリアと「位置不明」のいずれかを示すものとする。なお、位置情報として、社内・社外以外に例えば、端末1のユーザの自宅等、会社以外の場所を指定してもよい。
【0032】
各ポリシーサブデータPS1〜PS4の適用条件は、位置情報以外の付加情報によっても設定されている。付加情報は、例えば、ユーザの組織上の所属、IPアドレス、又はそれらの組み合わせであってもよい。なお、セキュリティポリシーファイルには、適用条件として、位置情報がなく付加情報のみが設定されているものを含んでいてもよい。
【0033】
図4に示すように、セキュリティポリシーファイルPFの第1ポリシーサブデータPS1は、適用条件として、「社内&人事部」が設定されている。これは、位置情報が「社内」を示しており、かつ、付加情報としての「ユーザの組織上の所属」が「人事部」である場合に適用されるセキュリティポリシーであることを示している。
【0034】
また、第2ポリシーサブデータPS2は、適用条件として、「社内&総務部」が設定されている。これは、位置情報が「社内」を示しており、かつ、付加情報としての「ユーザの組織上の所属」が「総務部」である場合に適用されるセキュリティポリシーであることを示している。
【0035】
第3ポリシーサブデータPS3は、適用条件として、「社外」が設定されている。これは、付加情報にかかわらず、位置情報が「社外」を示している場合に適用されるセキュリティポリシーであることを示している。なお、「社外」の場合も、付加情報に応じて、複数のセキュリティポリシーを設けても良い。
【0036】
第4ポリシーサブデータ(位置不明データ)PS4は、適用条件として、「位置不明」が設定されている。これは、位置情報が「位置不明」を示している場合に適用されるセキュリティポリシーであることを示している。なお、「位置不明」の場合も、付加情報に応じて、複数のセキュリティポリシーを設けても良い。
【0037】
上述の各ポリシーサブデータPS1〜PS4は、図4に示すように、それぞれ優先順位が付けられており、機能制限部104は、優先順位の高いポリシーデータから順に、適用すべきものか否かを確認する。つまり、端末1の状況によっては、セキュリティポリシーファイルに含まれる複数のセキュリティポリシーが適用可能な場合があるが、そのような場合、優先順位の高いセキュリティポリシーが適用される。
【0038】
図5は、セキュリティポリシーファイルPFに含まれるポリシーサブデータPS1〜P4それぞれのセキュリティポリシーの例を示している。例えば、「社内&人事部」の適用条件を持つ第1ポリシーサブデータPS1や「社内&総務部」の適用条件を持つ第2ポリシーサブデータPS2では、いずれも社内での端末1の使用のため、端末の機能を制限する必要が少ない。したがって、一部のアプリケーションプログラムを除いて、ほとんどの機能が許可となっている。
【0039】
また、第1ポリシーサブデータPS1と第2ポリシーサブデータPS2とは、いずれも位置情報として同一(社内)であるが、付加情報(ユーザの組織上の所属;ユーザ属性情)が異なることで、両データPS1,PS2の適用条件が異なっている。このように付加情報を含めて適用条件を設定可能になっているため、同じ位置(社内)であっても、ユーザごとに端末1の機能の制限を異ならせることができる。
【0040】
第3ポリシーサブデータPS3は、端末1が社外で使用される際のセキュリティポリシーを規定しているため、社内のセキュリティポリシーに比べて、制限が多くなっている。ただし、一部のアプリケーションな使用が可能であるため、例えば、セキュリティ管理上問題の無い範囲で、客先における作業のために一部のアプリケーションを利用することは可能である。つまり、社内以外の位置で、一律に端末1の使用が禁止されるわけではなく、ある程度の機能の使用が可能であるため、ユーザの利便性が高まっている。
【0041】
第4ポリシーサブデータ(位置不明データ)PS4は、端末1が位置を把握できなかった場合のセキュリティポリシーを規定している。位置不明の場合のセキュリティポリシーも、社外に準じて制限が多いものとなっているが、一部のアプリケーションなどの機能が使用可能であるため、端末1が位置を把握できない場合であっても、一律に端末1の使用が禁止されるわけではなく、ユーザの利便性が高まっている。
【0042】
上述のようなセキュリティポリシーファイルPFは、図3に示すように、端末1のセキュリティポリシーファイル取得部107が、管理サーバ3から取得し、セキュリティポリシーファイル記憶部(セキュリティポリシーデータ記憶部)106に格納する。
【0043】
上記のように、本実施形態では、セキュリティポリシーは、個々のユーザによって設定されるのではなく、様々な端末の様々な状況に応じて適用条件が設定された複数のセキュリティポリシーを一纏めにしたセキュリティポリシーファイルを、端末1が管理サーバ3から取得し、端末1が適用条件に従ってセキュリティポリシーを自動的に選択する。
したがって、使用位置に応じた個々の端末1のセキュリティポリシーは、管理サーバ3側で統一的に管理されることになる。この結果、ユーザが恣意的にセキュリティポリシーを変更できず、組織的なセキュリティ管理として好ましい形態が得られる。
【0044】
図6は、ユーザ1が端末1を起動したときの端末エージェント1aによるセキュリティポリシー決定処理を示している。まず、ユーザが端末1を起動すると(ステップS1)、端末エージェント1aは、端末1の起動に合わせて自動起動する(ステップS2)。
【0045】
端末エージェント1aは、端末1の「現在位置」データを、初期値として「位置不明」に設定する(ステップS3)。
続いて、端末エージェント1aの機能制限部104は、セキュリティポリシーファイル記憶部106を参照して、端末1の現在位置が「位置不明」である場合に適用されるセキュリティポリシー(第4ポリシーサブデータPS4)を選択し、このセキュリティポリシーを適用して、端末1の各機能を制限する(ステップS4)。最初に位置不明用のセキュリティポリシーを適用しておくことで、この後の処理において位置情報を取得できなかった場合であっても、所定のセキュリティポリシー(位置不明の場合のセキュリティポリシー)を適用することができる。
【0046】
さらに、端末エージェント1aの管理部102は、セキュリティポリシーファイル取得部107に、最新のセキュリティポリシーファイルPFを管理サーバ3から取得させるかどうかを判断する(ステップS5)。ポリシーファイルPFを取得する条件としては、(1)端末起動時、(2)最後の管理サーバへのアクセスから一定期間経過した後、などが挙げられる。
【0047】
ステップS5において最新のポリシーファイルPFを取得すると判断された場合、端末エージェント1aは、管理サーバ3へアクセスし、自身が持つセキュリティポリシーファイルよりも新しいセキュリティポリシーファイルが管理サーバ3上にある場合、それを取得して、自身の持つ古いセキュリティポリシーファイルを置き換える(ステップS6)。
【0048】
最新ポリシーファイルPFの取得が完了するか、又は最新ポリシーファイルを取得しない場合、端末エージェント1aは、携帯電話2との接続を試みる(ステップS7)。接続できなかった場合は、本処理を終了する。ただし、接続できなかった場合でも、位置不明のセキュリティポリシーが適用されるため、確実なセキュリティ管理が可能である。
【0049】
ステップS7において携帯電話2との接続ができた場合、端末エージェント1aは、携帯エージェント2aとの間で、互いに接続可能な機器であるかどうかの認証を行うか否かの判断をする(ステップS8)。ステップS7の接続において、端末1及び携帯電話の相互認証が完了している場合は、端末エージェント1aのアプリケーションレベルで認証を行う必要がないため、ステップS10へ進む。一方、通信プロトコルの仕様上、端末及び携帯電話の一方だけしか認証しない又は両者ともに認証しない場合は、エージェント1a,2aのアプリケーションレベルでエージェント間の認証を行う必要があるため、ステップS9へ進む。
【0050】
ステップS9では、端末エージェント1aと携帯エージェント2aとの間で、互いに接続可能な機器であるかどうかの認証を行う。端末1が、携帯電話2を認証するための情報としては例えば、電話番号などが利用できる。携帯電話2が、端末1を認証するための情報としては、ユーザID、パスワードなどが利用できる。なお、ステップS7の接続において、端末1と携帯電話2のいずれか一方の認証が完了している場合には、本ステップS9では、残る一方の認証だけを行っても良い。
【0051】
ステップS9の認証処理において、認証に成功した場合には、ステップS10へ進む。一方、認証に失敗した場合には、ステップS13へ進み、携帯電話2との通信を切断する。
【0052】
ステップS10では、端末エージェント1aの位置情報取得部101は、携帯エージェント2aより位置情報を取得する。
携帯エージェント2aは、携帯電話2のGPS機能によって位置を取得する。本実施形態の携帯エージェント2aは、GPS機能によって取得された位置座標から、当該携帯電話2が、セキュリティポリシーの適用条件に相当するどのエリア(社内エリア又は社外エリア)の位置にあるかを判定する。そして、携帯エージェント2aは、判定して得られたエリア(社内エリア又は社外エリア)を位置情報として、端末エージェント1aの位置情報取得部101に渡す。また、携帯エージェント2aが位置を取得できなかった場合は、位置情報を「位置不明」とする。
なお、携帯エージェント2aは、位置座標を端末エージェント1aに渡し、エリア判定は、端末エージェント1a側で行っても良い。
【0053】
なお、携帯電話2が位置を取得するのは、GPSに限られず、基地局から取得してもよい。また、端末エージェント1aは、携帯電話2を介して位置を取得する必要はなく、端末1自身が直接、GPS等から位置を取得してもよい。
【0054】
ステップS10において、端末1が位置情報を携帯電話2側から取得すると、端末エージェント1aは、「現在位置」データを、取得した「位置情報」にセットする(ステップS11)。
そして、端末エージェント1aの機能制限部104は、セキュリティポリシーファイル記憶部106を参照して、「現在位置」にセットされた位置情報に該当するセキュリティポリシーを選択し、このセキュリティポリシーを適用して、端末1の各機能を制限又は許可する(ステップS12)。なお、セキュリティポリシーを選択する場合には、位置情報だけでなく、付加情報を含めて判断される。
【0055】
例えば、現在位置にセットされた位置情報が「社内」であり、しかも付加情報記憶部105に記憶されているユーザの組織上の所属が人事部である場合には、セキュリティポリシーファイル記憶部106に記憶されている複数のポリシーサブデータPS1〜PS4のうち、第1ポリシーサブデータPS1が選択され、そのセキュリティポリシーが端末1に適用される。
【0056】
以上の処理が完了すると、端末エージェント1aは、携帯電話との通信を切断し(ステップS13)、端末1起動時のセキュリティポリシー決定処理を終了する。
【0057】
さて、図7は、端末1の起動後に定期的又は不定期的に位置情報のチェックを行って適用されるセキュリティポリシーの維持・変更を行うための処理を示している。
まず、端末エージェント1aの管理部102は、位置情報のチェック開始指示を生成する(ステップS21)。定期的な位置情報のチェックは、例えば、タイマーによって一定時間経過したことを検出した場合に行うことができる。また、不定期的な位置情報のチェックは、端末1のユーザからの指示によって行うことができる。
【0058】
続いて、端末エージェント1aの管理部102は、セキュリティポリシーファイル取得部107に、最新のセキュリティポリシーファイルPFを管理サーバ3から取得させるかどうかを判断する(ステップS22)。
【0059】
ステップS22において最新のポリシーファイルPFを取得すると判断された場合、端末エージェント1aは、管理サーバ3へアクセスし、自身が持つセキュリティポリシーファイルよりも新しいセキュリティポリシーファイルが管理サーバ3上にある場合、それを取得して、自身の持つ古いセキュリティポリシーファイルを置き換える(ステップS23)。
【0060】
最新ポリシーファイルPFの取得が完了するか、又は最新ポリシーファイルを取得しない場合、端末エージェント1aは、携帯電話2との接続を試みる(ステップS24)。
【0061】
接続できなかった場合は、「現在位置」データを、「位置不明」にセットし(ステップS27)、位置不明のセキュリティポリシーを適用し(ステップS35)、処理を終了する。このように、本実施形態では、携帯電話2と接続できなくなった場合には、位置不明のセキュリティポリシーに変更されるため、制限の緩やかなセキュリティポリシーが適用された後に、端末1から携帯電話2が外されるなど携帯電話2との接続が無くなった場合には、制限の厳しいセキュリティポリシーに変更され、適切なセキュリティ管理が実現される。
【0062】
ステップS24において携帯電話2との接続ができた場合には、端末エージェント1aは、携帯エージェント2aとの間で、互いに接続可能な機器であるかどうかの認証を行うか否かの判断をする(ステップS25)。ステップS24の接続において、端末1及び携帯電話の相互認証が完了している場合は、端末エージェント1aのアプリケーションレベルで認証を行う必要がないため、ステップS28へ進む。一方、通信プロトコルの仕様上、端末及び携帯電話の一方だけしか認証しない又は両者ともに認証しない場合は、エージェント1a,2aのアプリケーションレベルでエージェント間の認証を行う必要があるため、ステップS26へ進む。
【0063】
ステップS26では、端末エージェント1aと携帯エージェント2aとの間で、互いに接続可能な機器であるかどうかの認証を行う。なお、ステップS24の接続において、端末1と携帯電話2のいずれか一方の認証が完了している場合には、本ステップS26では、残る一方の認証だけを行っても良い。
【0064】
ステップS26の認証処理において、認証に成功した場合には、ステップS28へ進む。一方、認証に失敗した場合には、「現在位置」データを、「位置不明」にセットし(ステップS27)、位置不明のセキュリティポリシーを適用し(ステップS35)、処理を終了する。
このように、本実施形態では、不正な携帯電話2につなぎ替えられた場合など、認証に失敗した場合には、位置不明のセキュリティポリシーに変更される。
したがって、制限の緩やかなセキュリティポリシーが適用された後に、端末1に不正な携帯電話2が接続された場合等には、制限の厳しいセキュリティポリシーに変更され、適切なセキュリティ管理が実現される。
【0065】
ステップS28では、端末エージェント1aの位置情報取得部101は、携帯エージェント2aより位置情報を取得する。
続いて、端末エージェント1aは、取得した位置情報が、「位置不明」であるか否かを判断する(ステップS29)。
【0066】
取得した位置情報が「位置不明」でない場合、端末エージェント1aは、「現在位置」データを、取得した「位置情報」にセットする(ステップS30)。そして、端末エージェント1aの機能制限部104は、セキュリティポリシーファイル記憶部106を参照して、「現在位置」にセットされた位置情報に該当するセキュリティポリシーを選択し、このセキュリティポリシーを適用して、端末1の各機能を制限又は許可する(ステップS35)。なお、セキュリティポリシーを選択する場合には、位置情報だけでなく、付加情報を含めて判断される。
【0067】
一方、取得した位置情報が「位置不明」である場合、端末エージェント1aは、「現在位置」データが示す位置情報(図7の処理フロー開始前の端末1の位置)が「位置不明」であるか否かを判断する(ステップS31)。
【0068】
以前取得した位置情報を示す「現在位置」データが「位置不明」である場合(=位置不明連続回数カウント中ではない場合)、適用されるセキュリティポリシーを変更する必要がないので、「現在位置」データも変更せずに、そのまま処理を終了し、携帯電話2との通信を切断する(ステップS36)。
以前取得した位置情報を示す「現在位置」データが「位置不明」ではない場合(位置不
連続回数カウント中である場合)、位置情報として「位置不明」を連続して取得した回数をカウントするためのカウンタ(図示省略;初期値は0)をカウントアップ(プラス1)する(ステップS32)。
【0069】
続いて、端末エージェント1aは、ステップS32においてカウンタをカウントアップした結果が、所定のしきい値(予め指定された回数)を超えたか否かを判断する(ステップS33)。
位置不明の取得回数が、しきい値を超えていない場合には、適用されるセキュリティポリシーを変更しないようにするため、「現在位置」データも変更せずに、そのまま処理を終了し、携帯電話2との通信を切断する(ステップS36)。
一方、位置不明の取得回数が、しきい値を超えた場合、カウンタをゼロクリアした上で、「現在位置」データに「位置不明」をセットする(ステップS34)。これにより、位置不明のセキュリティポリシーが適用され(ステップS35)、携帯電話2との通信を切断する(ステップS36)。
【0070】
このように、本実施携帯では、携帯電話2から取得した位置情報が「位置不明」であっても、直ちに「位置不明」のセキュリティポリシーを適用するのではなく、何度か、「位置不明」を取得してから、「位置不明」のセキュリティポリシーを取得するため、不必要にセキュリティポリシーが変動するのを防止できる。
つまり、もし、端末1が、一度でも「位置不明」を取得すると、位置不明のセキュリティポリシーを適用するものとすると、携帯電話2がたまたま瞬間的に位置情報を取得できなかった場合でも、セキュリティポリシーが厳しくなってしまい、ユーザに不便となる。
これに対し、本実施形態では、何度か「位置不明」を取得するため、セキュリティポリシーを変更しないため、不必要なポリシー変更が防止され、ユーザの利便性が高まる。
【0071】
本発明は、上記実施形態に限定されるものではなく、その要旨を逸脱しない範囲で様々な変形が可能である。
【図面の簡単な説明】
【0072】
【図1】セキュリティシステムの全体構成図である。
【図2】(a)は端末のハードウェアブロック図であり、(b)は携帯電話のハードウェアブロック図である。
【図3】端末の機能ブロック図である。
【図4】セキュリティポリシーファイルの構成図である。
【図5】セキュリティポリシーファイルにおけるセキュリティポリシーの例である。
【図6】端末起動時におけるセキュリティポリシー決定のための処理を示すフローチャートである。
【図7】端末起動後の定期的又は不定期的に行われる位置情報チェックの処理を示すフローチャートである。
【符号の説明】
【0073】
1:情報処理装置(端末)、1a:端末エージェントプログラム、2:携帯電話、2a:携帯エージェントプログラム、3:管理サーバ、4:社内LAN、11:演算処理部、
12:記憶部、13:通信インターフェース、21:演算処理部、22:記憶部、23:通信インターフェース、24:GPS、101:位置情報取得部、102:管理部、103:エージェント間認証部、104:機能制限部、105:付加情報記憶部、106:セキュリティポリシーファイル記憶部、107:セキュリティポリシーファイル取得部、PF:セキュリティポリシーデータ(セキュリティポリシーファイル)、PS1:第1ポリシーサブデータ、PS2:第2ポリシーサブデータ、PS3:第3ポリシーサブデータ、PS4:第4ポリシーサブデータ(位置不明データ)
【技術分野】
【0001】
本発明は、情報処理装置及びエージェントコンピュータプログラムに関するものである。
【背景技術】
【0002】
パーソナルコンピュータなどの情報処理装置のセキュリティ管理のために、位置情報を用いるものがある。
例えば、特許文献1には、情報処理装置に携帯端末を接続し、この携帯端末から入力された識別情報を認証とユーザパスワードによる認証を行うとともに、さらに端末装置の位置情報による認証を多重的に行い、すべての認証が成功すると、情報処理装置を使用可能とする技術が開示されている。
【0003】
特許文献1において、位置情報を用いて認証を行うには、まず、ユーザが操作部を操作して情報処理装置のメモリに使用可能範囲を設定しておく。情報処理装置の制御部は、接続された携帯端末から取得した位置情報が、使用可能範囲内にあるか否かを判定する。情報処理装置の制御部は、携帯端末から取得した位置情報が、使用可能範囲内にあれば、その携帯端末を持つユーザを正規のユーザと判断し、識別情報を認証とユーザパスワードによる認証が完了していれば、情報処理装置の使用を可能とする。
【特許文献1】特開2007−148877号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
特許文献1記載の技術は、位置情報をユーザパスワードとともに認証することからも明らかなように、認証の結果によって「情報処理装置」全体を使用可能にしたり、使用不可にしたりするものである。
したがって、予め設定された使用可能範囲外に携帯端末がある場合、情報処理装置を一切使用できなくなる。
【0005】
しかし、使用可能範囲外であっても、情報処理装置を使用したい場合がある。例えば、会社員が使用するパソコン等の情報処理装置の使用範囲が、会社内に限定された場合であっても、セキュリティ上問題が無い程度であれば、客先などの会社外でも使用できた方が、利便性が高い。
特許文献1の技術では、そのような使用可能範囲外での使用ができないため、ユーザの作業効率を著しく低下させるおそれがある。
【0006】
また、特許文献1の技術では、使用許可範囲を利用者自部からが設定することとなっているが、これでは利用者がセキュリティ上の問題を鑑みず利用者の利己的な判断で設定を行う可能性があり、企業の情報セキュリティを管理する立場から見た場合に好ましい実施形態とは言えない。
【0007】
そこで、本発明は、パーソナルコンピュータなどの情報処理装置のセキュリティ管理を、位置に応じて適切に行うことを目的とする。
【課題を解決するための手段】
【0008】
本発明は、位置情報を用いてセキュリティ管理を行う情報処理装置であって、当該情報処理装置の位置情報を取得する位置情報取得部と、当該情報処理装置においてセキュリティ管理を要する機能のうち、どの機能を制限するかを、位置情報に応じて決定するためのセキュリティポリシーデータを記憶するための記憶部と、前記セキュリティポリシーデータに基づいて当該情報処理装置が有する前記機能の制限を位置情報に応じて行う機能制限部と、を備えている。
【0009】
上記本発明によれば、セキュリティポリシーデータは、当該情報処理装置においてセキュリティ管理を要する機能のうち、どの機能を制限するかを、位置情報に応じて決定するためのデータとして構成されているため、機能制限部は、セキュリティポリシーデータに基づいて、位置情報に応じて柔軟に機能の制限を行うことができる。
【0010】
前記記憶部は、前記セキュリティポリシーデータとして、位置情報によって適用条件が設定された複数のポリシーサブデータを記憶可能に構成され、前記ポリシーサブデータは、当該情報処理装置においてセキュリティ管理を要する機能のうち、どの機能を制限するかを規定しているとともに、それぞれ適用条件が異なるように設定され、前記機能制限部は、取得した位置情報に応じて、適用されるポリシーサブデータを選択して、選択したポリシーサブデータに基づいて当該情報処理装置が有する機能の制限を行うのが好ましい。この場合、機能制限部は、複数のポリシーサブデータの中から、位置情報に応じたポリシーサブデータを選択することができ、位置情報に応じて柔軟に機能の制限を行うことができる。
【0011】
なお、セキュリティポリシーデータは、情報処理装置の外部の管理コンピュータから情報処理装置が自動的に取得したものを情報処理装置において用いるのが好ましい。この場合、情報処理装置の利用者がセキュリティ上の問題を鑑みず利用者の利己的な判断でセキュリティポリシーの設定を行うことを回避できる。
【0012】
前記セキュリティポリシーデータは、位置情報と位置情報以外の付加情報とによって適用条件が設定されたポリシーサブデータを有し、前記機能制限部は、取得した位置情報とともに前記付加情報に従って、適用されるポリシーサブデータを選択して、選択したポリシーサブデータに基づいて当該情報処理装置が有する機能の制限を行うのが好ましい。この場合、位置情報以外の付加情報によってもポリシーサブデータを選択することができ、状況に応じてより柔軟に機能の制限を行うことができる。
【0013】
前記セキュリティポリシーデータは、適用条件としての位置情報は同一であるが付加情報が異なることで、適用条件が区別される複数のポリシーサブデータを有しているのが好ましい。この場合、位置情報が同一でも、付加情報の違いによって適用されるポリシーサブデータを異ならせることができ、より柔軟な機能の制限を行うことができる。
【0014】
前記セキュリティポリシーデータには、位置情報が位置不明を示す情報であるときの機能の制限を規定した位置不明データが含まれ、前記機能制限部は、取得した位置情報が位置不明を示す情報である場合には、前記位置不明データを参照して、情報処理装置の機能の制限を行うのが好ましい。この場合、情報処理装置の位置がわからない場合であっても、位置不明データを利用した機能の制限が可能である。
【0015】
前記機能制限部は、位置不明を示す位置情報を取得した回数がしきい値を超えると、前記位置不明データを参照して、情報処理装置の機能の制限を行うのが好ましい。この場合、位置不明データに基づく機能制限が不必要に行われることを防止できる。
【0016】
前記情報処理装置の起動後における位置情報の取得を、定期的又は不定期的に、前記位置情報取得部に行わせる管理部を備えているのが好ましい。この場合、時間が経過して情報処理装置の位置が変わった場合、セキュリティポリシーを変更することができる。
【0017】
前記位置情報取得部は、当該情報処理装置と通信可能な携帯電話から、前記位置情報を取得するのが好ましい。
【0018】
他の観点からみた本発明は、情報処理装置のセキュリティ管理を行うエージェントコンピュータプログラムであって、当該情報処理装置を、当該情報処理装置の位置情報を取得する位置情報取得部と、当該情報処理装置においてセキュリティ管理を要する機能のうち、どの機能を制限するかを、位置情報に応じて決定するためのセキュリティポリシーデータを記憶するための記憶部と、前記セキュリティポリシーデータに基づいて当該情報処理装置が有する前記機能の制限を位置情報に応じて行う機能制限部と、として機能させるためのエージェントコンピュータプログラムである。
【0019】
コンピュータプログラムに係る本発明によれば、セキュリティポリシーデータは、情報処理装置においてセキュリティ管理を要する機能のうち、どの機能を制限するかを、位置情報に応じて決定するためのデータとして構成されているため、機能制限部は、セキュリティポリシーデータに基づいて、位置情報に応じて柔軟に機能の制限を行うことができる。
【発明の効果】
【0020】
本発明によれば、セキュリティポリシーデータに基づき、位置情報に応じて柔軟に機能の制限を行うことができる。
【発明を実施するための最良の形態】
【0021】
以下、本発明の実施形態を、図面を参照して説明する。
図1は、ノート型パーソナルコンピュータ等の情報処理装置(以下、「端末」という)1のセキュリティ管理(監視)を行うためのセキュリティシステムの全体構成を示している。
このセキュリティシステムは、端末1と、端末1と通信可能な携帯電話(携帯型端末)2とを有している。また、セキュリティシステムは、社内LAN4等のネットワークを介して端末装置1と接続される管理サーバ3を有している。
ここで、携帯電話2は、GPS機能など携帯電話2自身の位置情報を取得する機能を有している。
【0022】
端末1と携帯電話2には、それぞれ、端末エージェントコンピュータプログラム(以下、「端末エージェント」という)1aと携帯エージェントコンピュータプログラム(以下、「携帯エージェント」という)2aがインストールされている。
端末エージェント1aは、端末1の起動中は、常時起動している。携帯エージェント2aは、常時起動していてもよいが、必要に応じて起動してもよい。
これらのエージェント1a,2aは、互いに通信することにより連携して動作し、端末1のセキュリティ管理(監視)のための処理を行う。
なお、図1では、端末1と携帯電話2を、それぞれ1つずつしか図示していないが、通常、端末1は複数存在し、また、端末1の数に対応した数の携帯電話2が存在する。
【0023】
管理サーバ3は、端末エージェント1aを介して、当該端末エージェント1aが搭載された機器(端末1)を管理する。
具体的には、管理サーバ3は、その記憶部(図示省略)に、端末1のためのセキュリティポリシーを記述したセキュリティポリシーファイルPFを有しており、管理サーバ3では、セキュリティポリシーファイルPFの作成、セキュリティポリシーファイルPFの端末1への配布が行われる。
セキュリティポリシーファイルPFは、端末1のユーザではなく、管理サーバ3と端末1を含んだコンピュータネットワークのセキュリティ管理者によって管理・変更されるものである。なお、セキュリティポリシーファイルの詳細については後述する。
【0024】
図2(a)は、端末1のハードウェア構成を示している。端末1は、演算処理部(CPU)11と、ROM、RAM、ハードディスク等からなる記憶部12と、通信インターフェース13とを備えている。また、図2(b)は、携帯電話2におけるコンピュータとしてのハードウェア構成を示している。携帯電話2も、演算処理部(CPU)21、ROM、RAM、ハードディスク等からなる記憶部22と、通信インターフェース23と、位置情報を取得するためのGPS24とを備えている。
【0025】
端末1の記憶部12には、前記端末エージェント1aのほか、オペレーティングシステムや各種アプリケーションプログラムがインストールされている。また、携帯電話2の記憶部22にも、前記携帯エージェント2aのほか、オペレーティングシステムや各種アプリケーションプログラムがインストールされている。
【0026】
端末1の通信インターフェース13と携帯電話2の通信インターフェース23とは、端末エージェントコンピュータプログラム1aが、端末1の地理的な位置情報を携帯電話2から取得する際の通信に用いられる。両通信インターフェース13,23による接続には、接続端末間の距離が物理的に近いことが保証される近距離通信が用いられる。近距離通信による接続としては、無線通信によるものが好ましく、具体的には、Bluetooth(登録商標)、赤外通信のIrDA(商標)、Felica(登録商標)など携帯電話内蔵の非接触型スマートカードを介した接続を採用できる。また、USBケーブルなどの通信ケーブによって、端末1と携帯電話2とを物理的に接続してもよい。
【0027】
図3は、端末エージェント1aが端末1によって実行されることによって実現される端末1の機能を示している。
図示のように、端末1は、携帯電話2がGPS機能によって取得した位置情報を、当該携帯電話2から通信インターフェース12を介して取得する位置情報取得部101としての機能を有している。位置情報取得部101が、位置情報を取得するタイミングについては、管理部102によって管理される。
なお、本実施形態では、位置情報を携帯電話2から取得するが、端末1自体がGPS機能などを有している場合には、携帯電話2を省略することが可能である。
【0028】
また、端末1の端末エージェントは、携帯電話2と接続を確立する際に、携帯エージェントとの間で相互認証を行うエージェント間認証部103を備えている。なお、本実施形態では、エージェント1a,2a同士がアプリケーションレイヤーで認証を行うが、Bluetooth(登録商標)のように通信プロトコル内で認証が行われる場合には、エージェントにおける認証部103を省略することができる。
【0029】
端末1は、位置情報取得部101によって取得した位置情報を用いて、端末1の各種機能であって、セキュリティ管理が必要な機能を制限する機能制限部104の機能を有している。この機能制限部104は、位置情報及び必要であれば付加情報記憶部105に記憶されている付加情報を用いて、セキュリティポリシーファイル記憶部106に記憶されたセキュリティポリシーファイル(セキュリティポリシーデータ)PFを参照する。そして、機能制限部104は、位置情報(及び付加情報)に応じたセキュリティポリシー(ポリシーサブデータ)を決定して、当該セキュリティポリシーに従って端末1における各種機能を制限(又は許可)する。
【0030】
セキュリティポリシーにおいて制限又は許可の対象(セキュリティ管理の対象)となる機能としては、例えば、(1)ネットワーク接続又はその接続先、(2)USBメモリなどの外部記憶装置の使用、(3)指定アプリケーションの起動、(4)プリンタの使用、などがある。
セキュリティ管理の対象となる機能は、典型的には、端末1の外部との間での入出力を伴う機能である。つまり、(1)ネットワーク接続、(2)USBメモリなどの外部記憶装置の使用、及び(4)プリンタの使用は、端末1が端末外部への出力を行ったり、端末1が端末外部からの入力を受け付けたりするため、情報処理装置を外部からの脅威にさらすことになるからである。また、本実施携帯では、(3)アプリケーションの起動についても、アプリケーションの機能によっては、セキュリティ管理上、起動を許可しない方がよい場合があるため、セキュリティ管理の対象としている。
【0031】
図4に示すように、セキュリティポリシーファイルPFは、適用条件がそれぞれ異なるセキュリティポリシーを複数有して構成されている。具体的には、セキュリティポリシーファイルPFは、セキュリティポリシーごとに設けられた複数のポリシーサブデータPS1〜PS4を1ファイルに束ねて構成されている。
各ポリシーサブデータPS1〜PS4の適用条件は、主に位置情報により設定されている。ここでは、位置情報は、「社内」エリアとそれ以外のエリアである「社外」エリアと「位置不明」のいずれかを示すものとする。なお、位置情報として、社内・社外以外に例えば、端末1のユーザの自宅等、会社以外の場所を指定してもよい。
【0032】
各ポリシーサブデータPS1〜PS4の適用条件は、位置情報以外の付加情報によっても設定されている。付加情報は、例えば、ユーザの組織上の所属、IPアドレス、又はそれらの組み合わせであってもよい。なお、セキュリティポリシーファイルには、適用条件として、位置情報がなく付加情報のみが設定されているものを含んでいてもよい。
【0033】
図4に示すように、セキュリティポリシーファイルPFの第1ポリシーサブデータPS1は、適用条件として、「社内&人事部」が設定されている。これは、位置情報が「社内」を示しており、かつ、付加情報としての「ユーザの組織上の所属」が「人事部」である場合に適用されるセキュリティポリシーであることを示している。
【0034】
また、第2ポリシーサブデータPS2は、適用条件として、「社内&総務部」が設定されている。これは、位置情報が「社内」を示しており、かつ、付加情報としての「ユーザの組織上の所属」が「総務部」である場合に適用されるセキュリティポリシーであることを示している。
【0035】
第3ポリシーサブデータPS3は、適用条件として、「社外」が設定されている。これは、付加情報にかかわらず、位置情報が「社外」を示している場合に適用されるセキュリティポリシーであることを示している。なお、「社外」の場合も、付加情報に応じて、複数のセキュリティポリシーを設けても良い。
【0036】
第4ポリシーサブデータ(位置不明データ)PS4は、適用条件として、「位置不明」が設定されている。これは、位置情報が「位置不明」を示している場合に適用されるセキュリティポリシーであることを示している。なお、「位置不明」の場合も、付加情報に応じて、複数のセキュリティポリシーを設けても良い。
【0037】
上述の各ポリシーサブデータPS1〜PS4は、図4に示すように、それぞれ優先順位が付けられており、機能制限部104は、優先順位の高いポリシーデータから順に、適用すべきものか否かを確認する。つまり、端末1の状況によっては、セキュリティポリシーファイルに含まれる複数のセキュリティポリシーが適用可能な場合があるが、そのような場合、優先順位の高いセキュリティポリシーが適用される。
【0038】
図5は、セキュリティポリシーファイルPFに含まれるポリシーサブデータPS1〜P4それぞれのセキュリティポリシーの例を示している。例えば、「社内&人事部」の適用条件を持つ第1ポリシーサブデータPS1や「社内&総務部」の適用条件を持つ第2ポリシーサブデータPS2では、いずれも社内での端末1の使用のため、端末の機能を制限する必要が少ない。したがって、一部のアプリケーションプログラムを除いて、ほとんどの機能が許可となっている。
【0039】
また、第1ポリシーサブデータPS1と第2ポリシーサブデータPS2とは、いずれも位置情報として同一(社内)であるが、付加情報(ユーザの組織上の所属;ユーザ属性情)が異なることで、両データPS1,PS2の適用条件が異なっている。このように付加情報を含めて適用条件を設定可能になっているため、同じ位置(社内)であっても、ユーザごとに端末1の機能の制限を異ならせることができる。
【0040】
第3ポリシーサブデータPS3は、端末1が社外で使用される際のセキュリティポリシーを規定しているため、社内のセキュリティポリシーに比べて、制限が多くなっている。ただし、一部のアプリケーションな使用が可能であるため、例えば、セキュリティ管理上問題の無い範囲で、客先における作業のために一部のアプリケーションを利用することは可能である。つまり、社内以外の位置で、一律に端末1の使用が禁止されるわけではなく、ある程度の機能の使用が可能であるため、ユーザの利便性が高まっている。
【0041】
第4ポリシーサブデータ(位置不明データ)PS4は、端末1が位置を把握できなかった場合のセキュリティポリシーを規定している。位置不明の場合のセキュリティポリシーも、社外に準じて制限が多いものとなっているが、一部のアプリケーションなどの機能が使用可能であるため、端末1が位置を把握できない場合であっても、一律に端末1の使用が禁止されるわけではなく、ユーザの利便性が高まっている。
【0042】
上述のようなセキュリティポリシーファイルPFは、図3に示すように、端末1のセキュリティポリシーファイル取得部107が、管理サーバ3から取得し、セキュリティポリシーファイル記憶部(セキュリティポリシーデータ記憶部)106に格納する。
【0043】
上記のように、本実施形態では、セキュリティポリシーは、個々のユーザによって設定されるのではなく、様々な端末の様々な状況に応じて適用条件が設定された複数のセキュリティポリシーを一纏めにしたセキュリティポリシーファイルを、端末1が管理サーバ3から取得し、端末1が適用条件に従ってセキュリティポリシーを自動的に選択する。
したがって、使用位置に応じた個々の端末1のセキュリティポリシーは、管理サーバ3側で統一的に管理されることになる。この結果、ユーザが恣意的にセキュリティポリシーを変更できず、組織的なセキュリティ管理として好ましい形態が得られる。
【0044】
図6は、ユーザ1が端末1を起動したときの端末エージェント1aによるセキュリティポリシー決定処理を示している。まず、ユーザが端末1を起動すると(ステップS1)、端末エージェント1aは、端末1の起動に合わせて自動起動する(ステップS2)。
【0045】
端末エージェント1aは、端末1の「現在位置」データを、初期値として「位置不明」に設定する(ステップS3)。
続いて、端末エージェント1aの機能制限部104は、セキュリティポリシーファイル記憶部106を参照して、端末1の現在位置が「位置不明」である場合に適用されるセキュリティポリシー(第4ポリシーサブデータPS4)を選択し、このセキュリティポリシーを適用して、端末1の各機能を制限する(ステップS4)。最初に位置不明用のセキュリティポリシーを適用しておくことで、この後の処理において位置情報を取得できなかった場合であっても、所定のセキュリティポリシー(位置不明の場合のセキュリティポリシー)を適用することができる。
【0046】
さらに、端末エージェント1aの管理部102は、セキュリティポリシーファイル取得部107に、最新のセキュリティポリシーファイルPFを管理サーバ3から取得させるかどうかを判断する(ステップS5)。ポリシーファイルPFを取得する条件としては、(1)端末起動時、(2)最後の管理サーバへのアクセスから一定期間経過した後、などが挙げられる。
【0047】
ステップS5において最新のポリシーファイルPFを取得すると判断された場合、端末エージェント1aは、管理サーバ3へアクセスし、自身が持つセキュリティポリシーファイルよりも新しいセキュリティポリシーファイルが管理サーバ3上にある場合、それを取得して、自身の持つ古いセキュリティポリシーファイルを置き換える(ステップS6)。
【0048】
最新ポリシーファイルPFの取得が完了するか、又は最新ポリシーファイルを取得しない場合、端末エージェント1aは、携帯電話2との接続を試みる(ステップS7)。接続できなかった場合は、本処理を終了する。ただし、接続できなかった場合でも、位置不明のセキュリティポリシーが適用されるため、確実なセキュリティ管理が可能である。
【0049】
ステップS7において携帯電話2との接続ができた場合、端末エージェント1aは、携帯エージェント2aとの間で、互いに接続可能な機器であるかどうかの認証を行うか否かの判断をする(ステップS8)。ステップS7の接続において、端末1及び携帯電話の相互認証が完了している場合は、端末エージェント1aのアプリケーションレベルで認証を行う必要がないため、ステップS10へ進む。一方、通信プロトコルの仕様上、端末及び携帯電話の一方だけしか認証しない又は両者ともに認証しない場合は、エージェント1a,2aのアプリケーションレベルでエージェント間の認証を行う必要があるため、ステップS9へ進む。
【0050】
ステップS9では、端末エージェント1aと携帯エージェント2aとの間で、互いに接続可能な機器であるかどうかの認証を行う。端末1が、携帯電話2を認証するための情報としては例えば、電話番号などが利用できる。携帯電話2が、端末1を認証するための情報としては、ユーザID、パスワードなどが利用できる。なお、ステップS7の接続において、端末1と携帯電話2のいずれか一方の認証が完了している場合には、本ステップS9では、残る一方の認証だけを行っても良い。
【0051】
ステップS9の認証処理において、認証に成功した場合には、ステップS10へ進む。一方、認証に失敗した場合には、ステップS13へ進み、携帯電話2との通信を切断する。
【0052】
ステップS10では、端末エージェント1aの位置情報取得部101は、携帯エージェント2aより位置情報を取得する。
携帯エージェント2aは、携帯電話2のGPS機能によって位置を取得する。本実施形態の携帯エージェント2aは、GPS機能によって取得された位置座標から、当該携帯電話2が、セキュリティポリシーの適用条件に相当するどのエリア(社内エリア又は社外エリア)の位置にあるかを判定する。そして、携帯エージェント2aは、判定して得られたエリア(社内エリア又は社外エリア)を位置情報として、端末エージェント1aの位置情報取得部101に渡す。また、携帯エージェント2aが位置を取得できなかった場合は、位置情報を「位置不明」とする。
なお、携帯エージェント2aは、位置座標を端末エージェント1aに渡し、エリア判定は、端末エージェント1a側で行っても良い。
【0053】
なお、携帯電話2が位置を取得するのは、GPSに限られず、基地局から取得してもよい。また、端末エージェント1aは、携帯電話2を介して位置を取得する必要はなく、端末1自身が直接、GPS等から位置を取得してもよい。
【0054】
ステップS10において、端末1が位置情報を携帯電話2側から取得すると、端末エージェント1aは、「現在位置」データを、取得した「位置情報」にセットする(ステップS11)。
そして、端末エージェント1aの機能制限部104は、セキュリティポリシーファイル記憶部106を参照して、「現在位置」にセットされた位置情報に該当するセキュリティポリシーを選択し、このセキュリティポリシーを適用して、端末1の各機能を制限又は許可する(ステップS12)。なお、セキュリティポリシーを選択する場合には、位置情報だけでなく、付加情報を含めて判断される。
【0055】
例えば、現在位置にセットされた位置情報が「社内」であり、しかも付加情報記憶部105に記憶されているユーザの組織上の所属が人事部である場合には、セキュリティポリシーファイル記憶部106に記憶されている複数のポリシーサブデータPS1〜PS4のうち、第1ポリシーサブデータPS1が選択され、そのセキュリティポリシーが端末1に適用される。
【0056】
以上の処理が完了すると、端末エージェント1aは、携帯電話との通信を切断し(ステップS13)、端末1起動時のセキュリティポリシー決定処理を終了する。
【0057】
さて、図7は、端末1の起動後に定期的又は不定期的に位置情報のチェックを行って適用されるセキュリティポリシーの維持・変更を行うための処理を示している。
まず、端末エージェント1aの管理部102は、位置情報のチェック開始指示を生成する(ステップS21)。定期的な位置情報のチェックは、例えば、タイマーによって一定時間経過したことを検出した場合に行うことができる。また、不定期的な位置情報のチェックは、端末1のユーザからの指示によって行うことができる。
【0058】
続いて、端末エージェント1aの管理部102は、セキュリティポリシーファイル取得部107に、最新のセキュリティポリシーファイルPFを管理サーバ3から取得させるかどうかを判断する(ステップS22)。
【0059】
ステップS22において最新のポリシーファイルPFを取得すると判断された場合、端末エージェント1aは、管理サーバ3へアクセスし、自身が持つセキュリティポリシーファイルよりも新しいセキュリティポリシーファイルが管理サーバ3上にある場合、それを取得して、自身の持つ古いセキュリティポリシーファイルを置き換える(ステップS23)。
【0060】
最新ポリシーファイルPFの取得が完了するか、又は最新ポリシーファイルを取得しない場合、端末エージェント1aは、携帯電話2との接続を試みる(ステップS24)。
【0061】
接続できなかった場合は、「現在位置」データを、「位置不明」にセットし(ステップS27)、位置不明のセキュリティポリシーを適用し(ステップS35)、処理を終了する。このように、本実施形態では、携帯電話2と接続できなくなった場合には、位置不明のセキュリティポリシーに変更されるため、制限の緩やかなセキュリティポリシーが適用された後に、端末1から携帯電話2が外されるなど携帯電話2との接続が無くなった場合には、制限の厳しいセキュリティポリシーに変更され、適切なセキュリティ管理が実現される。
【0062】
ステップS24において携帯電話2との接続ができた場合には、端末エージェント1aは、携帯エージェント2aとの間で、互いに接続可能な機器であるかどうかの認証を行うか否かの判断をする(ステップS25)。ステップS24の接続において、端末1及び携帯電話の相互認証が完了している場合は、端末エージェント1aのアプリケーションレベルで認証を行う必要がないため、ステップS28へ進む。一方、通信プロトコルの仕様上、端末及び携帯電話の一方だけしか認証しない又は両者ともに認証しない場合は、エージェント1a,2aのアプリケーションレベルでエージェント間の認証を行う必要があるため、ステップS26へ進む。
【0063】
ステップS26では、端末エージェント1aと携帯エージェント2aとの間で、互いに接続可能な機器であるかどうかの認証を行う。なお、ステップS24の接続において、端末1と携帯電話2のいずれか一方の認証が完了している場合には、本ステップS26では、残る一方の認証だけを行っても良い。
【0064】
ステップS26の認証処理において、認証に成功した場合には、ステップS28へ進む。一方、認証に失敗した場合には、「現在位置」データを、「位置不明」にセットし(ステップS27)、位置不明のセキュリティポリシーを適用し(ステップS35)、処理を終了する。
このように、本実施形態では、不正な携帯電話2につなぎ替えられた場合など、認証に失敗した場合には、位置不明のセキュリティポリシーに変更される。
したがって、制限の緩やかなセキュリティポリシーが適用された後に、端末1に不正な携帯電話2が接続された場合等には、制限の厳しいセキュリティポリシーに変更され、適切なセキュリティ管理が実現される。
【0065】
ステップS28では、端末エージェント1aの位置情報取得部101は、携帯エージェント2aより位置情報を取得する。
続いて、端末エージェント1aは、取得した位置情報が、「位置不明」であるか否かを判断する(ステップS29)。
【0066】
取得した位置情報が「位置不明」でない場合、端末エージェント1aは、「現在位置」データを、取得した「位置情報」にセットする(ステップS30)。そして、端末エージェント1aの機能制限部104は、セキュリティポリシーファイル記憶部106を参照して、「現在位置」にセットされた位置情報に該当するセキュリティポリシーを選択し、このセキュリティポリシーを適用して、端末1の各機能を制限又は許可する(ステップS35)。なお、セキュリティポリシーを選択する場合には、位置情報だけでなく、付加情報を含めて判断される。
【0067】
一方、取得した位置情報が「位置不明」である場合、端末エージェント1aは、「現在位置」データが示す位置情報(図7の処理フロー開始前の端末1の位置)が「位置不明」であるか否かを判断する(ステップS31)。
【0068】
以前取得した位置情報を示す「現在位置」データが「位置不明」である場合(=位置不明連続回数カウント中ではない場合)、適用されるセキュリティポリシーを変更する必要がないので、「現在位置」データも変更せずに、そのまま処理を終了し、携帯電話2との通信を切断する(ステップS36)。
以前取得した位置情報を示す「現在位置」データが「位置不明」ではない場合(位置不
連続回数カウント中である場合)、位置情報として「位置不明」を連続して取得した回数をカウントするためのカウンタ(図示省略;初期値は0)をカウントアップ(プラス1)する(ステップS32)。
【0069】
続いて、端末エージェント1aは、ステップS32においてカウンタをカウントアップした結果が、所定のしきい値(予め指定された回数)を超えたか否かを判断する(ステップS33)。
位置不明の取得回数が、しきい値を超えていない場合には、適用されるセキュリティポリシーを変更しないようにするため、「現在位置」データも変更せずに、そのまま処理を終了し、携帯電話2との通信を切断する(ステップS36)。
一方、位置不明の取得回数が、しきい値を超えた場合、カウンタをゼロクリアした上で、「現在位置」データに「位置不明」をセットする(ステップS34)。これにより、位置不明のセキュリティポリシーが適用され(ステップS35)、携帯電話2との通信を切断する(ステップS36)。
【0070】
このように、本実施携帯では、携帯電話2から取得した位置情報が「位置不明」であっても、直ちに「位置不明」のセキュリティポリシーを適用するのではなく、何度か、「位置不明」を取得してから、「位置不明」のセキュリティポリシーを取得するため、不必要にセキュリティポリシーが変動するのを防止できる。
つまり、もし、端末1が、一度でも「位置不明」を取得すると、位置不明のセキュリティポリシーを適用するものとすると、携帯電話2がたまたま瞬間的に位置情報を取得できなかった場合でも、セキュリティポリシーが厳しくなってしまい、ユーザに不便となる。
これに対し、本実施形態では、何度か「位置不明」を取得するため、セキュリティポリシーを変更しないため、不必要なポリシー変更が防止され、ユーザの利便性が高まる。
【0071】
本発明は、上記実施形態に限定されるものではなく、その要旨を逸脱しない範囲で様々な変形が可能である。
【図面の簡単な説明】
【0072】
【図1】セキュリティシステムの全体構成図である。
【図2】(a)は端末のハードウェアブロック図であり、(b)は携帯電話のハードウェアブロック図である。
【図3】端末の機能ブロック図である。
【図4】セキュリティポリシーファイルの構成図である。
【図5】セキュリティポリシーファイルにおけるセキュリティポリシーの例である。
【図6】端末起動時におけるセキュリティポリシー決定のための処理を示すフローチャートである。
【図7】端末起動後の定期的又は不定期的に行われる位置情報チェックの処理を示すフローチャートである。
【符号の説明】
【0073】
1:情報処理装置(端末)、1a:端末エージェントプログラム、2:携帯電話、2a:携帯エージェントプログラム、3:管理サーバ、4:社内LAN、11:演算処理部、
12:記憶部、13:通信インターフェース、21:演算処理部、22:記憶部、23:通信インターフェース、24:GPS、101:位置情報取得部、102:管理部、103:エージェント間認証部、104:機能制限部、105:付加情報記憶部、106:セキュリティポリシーファイル記憶部、107:セキュリティポリシーファイル取得部、PF:セキュリティポリシーデータ(セキュリティポリシーファイル)、PS1:第1ポリシーサブデータ、PS2:第2ポリシーサブデータ、PS3:第3ポリシーサブデータ、PS4:第4ポリシーサブデータ(位置不明データ)
【特許請求の範囲】
【請求項1】
位置情報を用いてセキュリティ管理を行う情報処理装置であって、
当該情報処理装置の位置情報を取得する位置情報取得部と、
当該情報処理装置においてセキュリティ管理を要する機能のうち、どの機能を制限するかを、位置情報に応じて決定するためのセキュリティポリシーデータを記憶するための記憶部と、
前記セキュリティポリシーデータに基づいて当該情報処理装置が有する前記機能の制限を位置情報に応じて行う機能制限部と、
を備えていることを特徴とする情報処理装置。
【請求項2】
前記記憶部は、前記セキュリティポリシーデータとして、位置情報によって適用条件が設定された複数のポリシーサブデータを記憶可能に構成され、
前記ポリシーサブデータは、当該情報処理装置においてセキュリティ管理を要する機能のうち、どの機能を制限するかを規定しているとともに、それぞれ適用条件が異なるように設定され、
前記機能制限部は、取得した位置情報に応じて、適用されるポリシーサブデータを選択して、選択したポリシーサブデータに基づいて当該情報処理装置が有する機能の制限を行う、
ことを特徴とする請求項1記載の情報処理装置。
【請求項3】
前記セキュリティポリシーデータは、位置情報と位置情報以外の付加情報とによって適用条件が設定されたポリシーサブデータを有し、
前記機能制限部は、取得した位置情報とともに前記付加情報に従って、適用されるポリシーサブデータを選択して、選択したポリシーサブデータに基づいて当該情報処理装置が有する機能の制限を行う
ことを特徴とする請求項2記載の情報処理装置。
【請求項4】
前記セキュリティポリシーデータには、位置情報が位置不明を示す情報であるときの機能の制限を規定した位置不明データが含まれ、
前記機能制限部は、取得した位置情報が位置不明を示す情報である場合には、前記位置不明データを参照して、情報処理装置の機能の制限を行う、
ことを特徴とする請求項1〜3のいずれか一に記載の情報処理装置。
【請求項5】
前記位置情報取得部は、当該情報処理装置と通信可能な携帯型端末から、前記位置情報を取得することを特徴とする請求項1〜4のいずれか一に記載の情報処理装置。
【請求項6】
情報処理装置のセキュリティ管理を行うエージェントコンピュータプログラムであって、
当該情報処理装置を、
当該情報処理装置の位置情報を取得する位置情報取得部と、
当該情報処理装置においてセキュリティ管理を要する機能のうち、どの機能を制限するかを、位置情報に応じて決定するためのセキュリティポリシーデータを記憶するための記憶部と、
前記セキュリティポリシーデータに基づいて当該情報処理装置が有する前記機能の制限を位置情報に応じて行う機能制限部と、
として機能させるためのエージェントコンピュータプログラム。
【請求項1】
位置情報を用いてセキュリティ管理を行う情報処理装置であって、
当該情報処理装置の位置情報を取得する位置情報取得部と、
当該情報処理装置においてセキュリティ管理を要する機能のうち、どの機能を制限するかを、位置情報に応じて決定するためのセキュリティポリシーデータを記憶するための記憶部と、
前記セキュリティポリシーデータに基づいて当該情報処理装置が有する前記機能の制限を位置情報に応じて行う機能制限部と、
を備えていることを特徴とする情報処理装置。
【請求項2】
前記記憶部は、前記セキュリティポリシーデータとして、位置情報によって適用条件が設定された複数のポリシーサブデータを記憶可能に構成され、
前記ポリシーサブデータは、当該情報処理装置においてセキュリティ管理を要する機能のうち、どの機能を制限するかを規定しているとともに、それぞれ適用条件が異なるように設定され、
前記機能制限部は、取得した位置情報に応じて、適用されるポリシーサブデータを選択して、選択したポリシーサブデータに基づいて当該情報処理装置が有する機能の制限を行う、
ことを特徴とする請求項1記載の情報処理装置。
【請求項3】
前記セキュリティポリシーデータは、位置情報と位置情報以外の付加情報とによって適用条件が設定されたポリシーサブデータを有し、
前記機能制限部は、取得した位置情報とともに前記付加情報に従って、適用されるポリシーサブデータを選択して、選択したポリシーサブデータに基づいて当該情報処理装置が有する機能の制限を行う
ことを特徴とする請求項2記載の情報処理装置。
【請求項4】
前記セキュリティポリシーデータには、位置情報が位置不明を示す情報であるときの機能の制限を規定した位置不明データが含まれ、
前記機能制限部は、取得した位置情報が位置不明を示す情報である場合には、前記位置不明データを参照して、情報処理装置の機能の制限を行う、
ことを特徴とする請求項1〜3のいずれか一に記載の情報処理装置。
【請求項5】
前記位置情報取得部は、当該情報処理装置と通信可能な携帯型端末から、前記位置情報を取得することを特徴とする請求項1〜4のいずれか一に記載の情報処理装置。
【請求項6】
情報処理装置のセキュリティ管理を行うエージェントコンピュータプログラムであって、
当該情報処理装置を、
当該情報処理装置の位置情報を取得する位置情報取得部と、
当該情報処理装置においてセキュリティ管理を要する機能のうち、どの機能を制限するかを、位置情報に応じて決定するためのセキュリティポリシーデータを記憶するための記憶部と、
前記セキュリティポリシーデータに基づいて当該情報処理装置が有する前記機能の制限を位置情報に応じて行う機能制限部と、
として機能させるためのエージェントコンピュータプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2009−70073(P2009−70073A)
【公開日】平成21年4月2日(2009.4.2)
【国際特許分類】
【出願番号】特願2007−236865(P2007−236865)
【出願日】平成19年9月12日(2007.9.12)
【出願人】(000002130)住友電気工業株式会社 (12,747)
【Fターム(参考)】
【公開日】平成21年4月2日(2009.4.2)
【国際特許分類】
【出願日】平成19年9月12日(2007.9.12)
【出願人】(000002130)住友電気工業株式会社 (12,747)
【Fターム(参考)】
[ Back to top ]