情報機器およびその運用支援方法
【課題】セキュリティの強化に伴う管理者の作業負担を低減する。
【解決手段】ユーザを限定するアクセス制限が設定されるメモリ領域を備えかつネットワークへの接続が可能な情報機器は、セキュリティを強化するモード変更操作に呼応して、メモリ領域に記憶されたデータについて、当該データ自体に設定されたアクセス制限と、メモリ領域に設定されたアクセス制限と、当該データを記憶させたユーザに対して予め登録されているユーザ認証用の情報とのうちのいずれかが強化後のセキュリティ要件を満たすか否かを判別し、いずれのセキュリティ要件をも満たさないデータがあった場合に、該当するデータをメモリ領域に記憶させたユーザまたはメモリ領域のアクセス制限を設定したユーザに対して、セキュリティ要件を満たすための操作の実行を促すメッセージをネットワークを介して送る。
【解決手段】ユーザを限定するアクセス制限が設定されるメモリ領域を備えかつネットワークへの接続が可能な情報機器は、セキュリティを強化するモード変更操作に呼応して、メモリ領域に記憶されたデータについて、当該データ自体に設定されたアクセス制限と、メモリ領域に設定されたアクセス制限と、当該データを記憶させたユーザに対して予め登録されているユーザ認証用の情報とのうちのいずれかが強化後のセキュリティ要件を満たすか否かを判別し、いずれのセキュリティ要件をも満たさないデータがあった場合に、該当するデータをメモリ領域に記憶させたユーザまたはメモリ領域のアクセス制限を設定したユーザに対して、セキュリティ要件を満たすための操作の実行を促すメッセージをネットワークを介して送る。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、複数のユーザが共用する情報機器およびその運用支援方法に関する。
【背景技術】
【0002】
OA(Office Automation)機器と呼ばれるビジネスユースの情報機器の一つに複合機がある。近年の複合機は、コピー、プリント、イメージ入力、ファクシミリ通信、メール送受、およびドキュメントデータの保存などに利用可能な多機能周辺機器(MFP:Multifunction Peripherals)として知られている。複合機は企業内のネットワークに組み込まれ、複合機に備わる操作パネルによる操作入力またはネットワークに接続されたコンピュータによるアクセスに応じて動作する。
【0003】
このような複合機の多くがユーザを認証するセキュリティ機能を有している。典型的な認証方法は、ユーザが複合機の使用時に入力したユーザIDおよびパスワードを予め登録されているユーザIDおよびパスワードと照合する。照合で一致すれば、そのユーザは認証される。認証されなければそのユーザによる複合機の使用が全面的または部分的に制限される。
【0004】
また、ドキュメントデータを保存するためのボックスと呼ばれるメモリ領域にもパスワードを設定することができる(例えば、特許文献1)。ボックスを利用するユーザは、設定されたパスワードを入力することによってボックスへのアクセスが許され、ボックス内のデータを読み出したりボックスにデータを記憶させたりすることができる。なお、ボックスはハードディスクドライブのような記憶装置のメモリ領域の一部を割り当てることによって設けられる。個々のユーザが専用する個人用ボックスおよび複数のユーザが共用する共有ボックスを設けることができる。
【0005】
複数のセキュリティモードを有した複合機においては、使用環境や運用状況に応じてセキュリティを強化しまたは緩和することができる。一般に、セキュリティを強化すると、強化以前よりも桁数の大きいパスワードを入力しなければならないというように、操作が面倒になる。したがって、通常はセキュリティを強化しないでおいて、例えば一時的に他部署にも複合機を開放する場合のような特別の場合にだけセキュリティを強化する、といったセキュリティモードを適時に切替える運用が考えられる。
【0006】
セキュリティモードの切替えに関する先行技術としては、セキュリティを緩和するモード切替えに際して、機密保持の必要なジョブが記憶されている場合に、警告し、当該ジョブの消去を促す表示をし、または当該ジョブを消去する技術がある(特許文献2)。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2003−85179号公報
【特許文献2】特開2008−294572号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
情報機器を多数のユーザが共用する場合には、管理者を定め、この管理者がセキュリティモードの切替え操作を行うという運用が一般になされる。既に複数のユーザが情報機器を日常的に使用しているとき、突然に管理者がセキュリティを強化するモード切替えを行うと、強化後のパスワード規約に適合しないパスワードを登録しているユーザが情報機器自体およびボックスにアクセスできないという事態の生じるおそれが多分にある。この事態を避けるため、通常、管理者は事前にユーザに通知を出して認証用パスワードの変更を要請する。
【0009】
しかし、多数のユーザの中にパスワードを変更するのを忘れるユーザがいないとは限らない。ユーザがパスワードを変更するのを忘れたり通知のあったことを知らなかったりして結果的に管理者の要請に応えないことは起こり得る。したがって、管理者は、セキュリティの強化に際して、全てのユーザについてアクセスに支障が生じないかどうかをチェックしなければならず、大きな作業負担を強いられる。
【0010】
本発明は、このような事情に鑑みてなされ、セキュリティの強化に伴う管理者の作業負担を低減することを目的としている。
【課題を解決するための手段】
【0011】
上記目的を達成する装置は、ネットワークへの接続が可能な情報機器であって、ユーザを限定するアクセス制限が設定されるメモリ領域と、セキュリティを強化するモード変更操作に呼応して、前記メモリ領域が記憶するデータについて、当該データ自体に設定されたアクセス制限と、前記メモリ領域に設定されたアクセス制限と、当該データを記憶させたユーザに対して予め登録されているユーザ認証用の情報とのうちのいずれかが強化後のセキュリティ要件を満たすか否かを判別する判別手段と、いずれもがセキュリティ要件を満たさないとの前記判別手段からの判別結果を受け、判別結果に該当するデータを前記メモリ領域に記憶させたユーザまたは前記メモリ領域のアクセス制限を設定したユーザに対して、前記ネットワークを介してセキュリティ要件を満たすための操作の実行を促すメッセージを送る通知手段とを備える。
【0012】
上記目的を達成する方法は、ユーザを限定するアクセス制限が設定されるメモリ領域を備えかつネットワークへの接続が可能な情報機器の運用支援方法であって、セキュリティを強化するモード変更操作に呼応して、前記情報機器が、前記メモリ領域に記憶されたデータについて、当該データ自体に設定されたアクセス制限と、前記メモリ領域に設定されたアクセス制限と、当該データを記憶させたユーザに対して予め登録されているユーザ認証用の情報とのうちのいずれかが強化後のセキュリティ要件を満たすか否かを判別し、いずれの前記セキュリティ要件をも満たさないデータがあった場合に、該当するデータを前記メモリ領域に記憶させたユーザまたは前記メモリ領域のアクセス制限を設定したユーザに対して、セキュリティ要件を満たすための操作の実行を促すメッセージをネットワークを介して送る。
【発明の効果】
【0013】
セキュリティ要件を満たさないデータに関係するユーザに自動的にメッセージが送られるので、管理者がメッセージを送る必要がない。しかも、メッセージの送り先がデータ自体とメモリ領域とユーザ認証用の情報とのいずれもがセキュリティ要件を満たさないデータに関係するユーザに限定されるので、限定しない場合と比べて、メッセージを受けてユーザが正しく操作を実行したか否かをチェックの作業負担が小さい。
【図面の簡単な説明】
【0014】
【図1】本発明の実施形態に係る複合機を有するネットワークの構成例を示す図である。
【図2】複合機のハードウェア構成を示すブロック図である。
【図3】メモリ領域としてのボックスの設定例を示す図である。
【図4】複合機の要部の機能構成例を示す図である。
【図5】ユーザ登録テーブルの項目を示す図である。
【図6】セキュリティ要件テーブルの項目を示す図である。
【図7】ボックス管理テーブルの項目を示す図である。
【図8】ファイル管理テーブルの項目を示す図である。
【図9】ユーザにセキュリティ強化を要求する/しないの場合分けの例を示す図である。
【図10】セキュリティを設定する操作のためのセキュリティモード切替え画面の例を示す図である。
【図11】ユーザにセキュリティ強化を要求する動作のフローチャートである。
【図12】ユーザにセキュリティ強化を要求する動作のフローチャートである。
【図13】ユーザにセキュリティ強化を要求する動作のフローチャートである。
【発明を実施するための形態】
【0015】
セキュリティモードの切替え可能な情報機器として多機能の画像形成装置である複合機を例に挙げる。図1のように複合機2および複数のパーソナルコンピュータ3,4を有した情報処理システム1を想定する。情報処理システム1は、企業またはそれに類する組織に設けられたLAN(Local Area Network)であり、複合機2を介して公衆回線7と繋がりかつルータ6を介してインターネット8と繋がっている。MFPとも呼ばれる複合機2は、コピー機、プリンタ、イメージスキャナ、ファクシミリ通信機、メール送受機、およびドキュメント保存用のデータ記憶装置として利用可能である。複合機2およびパーソナルコンピュータ3,4はスイッチングハブ5を介して相互に通信することができる。
【0016】
複合機2のハードウェア構成が図2に示される。複合機2は、操作パネル20、イメージスキャナ21、プリンタ22、用紙ストッカ23、電源回路24、制御回路25、画像処理回路26、ファクシミリ通信モデム27、外部接続インタフェース28およびストレージ29を備える。操作パネル20と制御回路25と外部接続インタフェース28とストレージ29とが、セキュリティモードの切替えに関係する要部2Aの要素である。操作パネル20には操作画面を表示するためのディスプレイ201としてLCD(Liquid Crystal Display)が配置されている。イメージスキャナ21はカラー原稿の読取りが可能である。プリンタ22は、両面プリントのためのユニットを備えており、多段形式の用紙ストッカ23から供給される用紙の片面または両面にモノクロまたはカラーの画像をプリントする。電源回路24は複合機2の随所に必要とされる電力を供給する。制御回路25は、制御プログラムを記憶するROM251、制御プログラムを実行するCPU(Central Processing Unit)252、およびプログラム実行のワークエリアとして用いられるRAM253を有する。画像処理回路26はコピーやプリントにおけるビットマップ展開を含む種々の処理を担う。ファクシミリ通信モデム27は公衆回線による通信に用いられる。外部接続インタフェース28はLANケーブルとの接続に用いられる。本例のストレージ29は数十Gバイト以上の大容量の不揮発性メモリ領域をもつハードディスクドライブ(HDD)である。
【0017】
ストレージ29には、複合機2の制御に係わるデータを記憶するメモリ領域とともに、各種ドキュメントや画像を保存するメモリ領域であるボックス(Box)が設けられる。図3の例では、複合機2に複数のユーザが共用する共有ボックス51、個々のユーザが専用する個人用ボックス52,53,54,55および複数のユーザのグループに割り当てられるグループ用ボックス56,57が設けられている。いずれのボックス51〜57もユーザを限定するアクセス制限のためのパスワードを個別に設定することが可能である。
【0018】
ボックス51〜57で記憶されるドキュメントデータの中には、それを作成するアプリケーションソフトウェアによって読取りパスワードが設定されたものがある。また、所定のソフトウェアにより暗号化された各種のデータもボックス51〜57で記憶される。このようなデータ保護がなされたデータの内容をユーザが閲覧するには、複合機2を使用するためのユーザ認証を受け、かつデータ自体に設定されたパスワードを入力しなければならない。さらに、データを記憶するボックスにパスワードが設定されている場合には、そのボックスのパスワードをも入力しなければ、データにアクセスすることができない。
【0019】
本例の複合機2においては、非強化モードと強化モードの二つのセキュリティモードの選択が可能である。ただし、三つ以上のセキュリティモードを設けて多段階のセキュリティレベルの設定を可能にしてもよい。強化モードは、非強化モードと比べて、複合機2およびボックス51〜57へのアクセスを厳しく制限する。例えば強化モードにおいてはパスワードは8桁以上というパスワード規約が適用される。非強化モードから強化モードへ切り替わるとセキュリティが高まる。セキュリティモードを選択する操作は、情報処理システム1の運用に際して定められた管理者によって行われる。
【0020】
セキュリティモードの切替えに係る機能構成が図4に示される。図4のように複合機2は、判別部31、通知部33、入力部35、表示部37、およびファイル編集部39を備える。これらの機能要素は、制御用のコンピュータプログラムとそれを実行するコンピュータとしての上記CPU252とで実現される。判別部31には第1カウンタ311、第2カウンタ312、第3カウンタ313および比較部314が含まれる。
【0021】
判別部31は、入力部35が受け付ける強化モード選択操作に呼応して、ボックス51〜57内で記憶されているデータに対する判別をする。詳しくは、各データ自体に設定されたアクセス制限と、当該データを記憶するボックスに設定されたパスワードによるアクセス制限と、当該データの作成者であるユーザに対して予め登録されているユーザ認証用の情報(パスワード)とのうちのいずれかが強化モードのセキュリティ要件を満たすか否かを、判別部31は判別する。ここでいうデータ自体に設定されたアクセス制限には、パスワードの設定、暗号化、および地紋の付与が含まれる。パスワードによるアクセス制限にはパスワードの有無、桁数および文字種が関係する。また、データの作成者とは、データを記憶させるジョブを複合機2に与えたユーザである。判別に際して判別部31は、ユーザ登録テーブル41、セキュリティ要件テーブル42、ボックス管理テーブル43、およびファイル管理テーブル44を参照する。これらテーブル41〜44はストレージ29によって記憶され、必要に応じてRAM252にロードされる。
【0022】
判別部31における第1カウンタ311は、ユーザ登録テーブル41に登録されているユーザ認証用のパスワードがセキュリティ要件テーブル42の示すセキュリティ要件を満たさないユーザの人数を計算する。第2カウンタ312は、ボックス管理テーブル43の示すアクセス制限がセキュリティ要件を満たさないボックスの個数を計算する。第3カウンタ313は、ファイル管理テーブル44の示すアクセス制限がセキュリティ要件を満たさないデータの個数を計算する。比較部314は、これら三つのカウンタ311〜313の計算値を比較し、最小の計算値がユーザの人数かボックスの個数かまたはデータの個数かを示す比較結果を通知部33に伝える。
【0023】
通知部33は、判別部31からの判別結果を受けて、セキュリティ要件を満たすための操作の実行を促すメッセージを所定のユーザに送る。メッセージを送る必要があるのは、セキュリティ不足のデータが存在する場合である。セキュリティ不足のデータとは、その作成者の認証用のパスワード、当該データを記憶するボックスのアクセス制限(主にパスワード)、および当該データ自体のアクセス制限(パスワード、暗号化、地紋など)のいずれもが強化モードのセキュリティ要件を満たしていないデータである。このようなセキュリティ不足のデータがストレージ29内に無ければ本例の通知部33はメッセージを送らない。
【0024】
メッセージの送り先のユーザはセキュリティ不足のデータの作成者に限らない。データの作成者に送る場合と、データを記憶するボックスの作成者(ボックスのパスワードを設定したユーザ)に送る場合とがある。データの作成者とボックスの作成者のどちらが送り先になるかは比較部314の比較結果に依存する。第1カウンタ311の計算値が最小である場合には、第3カウンタ313による計算の対象であるセキュリティ不足のデータの作成者のうち、第1カウンタ311の計算対象であるユーザ(認証用パスワードが要件を満たさない)に対して、メッセージが送られる。第2カウンタ312の計算値が最小である場合には、第2カウンタ312の計算対象であるボックスの作成者に対して、メッセージが送られる。第3カウンタ313の計算値が最小である場合には、第3カウンタ313の計算対象であるセキュリティ不足のデータの作成者に対して、メッセージが送られる。
【0025】
メッセージは例えば電子メールに記載されまたは添付され、インターネット8内またはLAN(情報処理システム1)内の図示しないメールサーバに送信される。電子メールはメールサーバからユーザの使用するパーソナルコンピュータ3a,3b,3c,3dへ適時に転送され、それによってユーザ(ボックス作成者を含む)にメッセージが届く。なお、電子メールに限らず、LAN内のメッセージ通信またはファクシミリ通信によってメッセージをユーザに届けてもよい。
【0026】
メッセージを受け取ったユーザは、メッセージの指示に従ってパスワードをパスワード規約に適合するものに変更する。ユーザがセキュリティを強化すべきボックスの作成者である場合には、ユーザは少なくともボックスのパスワードを変更する。それにより、ボックス内にセキュリティ不足のデータが複数存在していても、データの個々のパスワードを変更せずにセキュリティ不足が解消される。ユーザがボックスの作成者でなければ、認証用のパスワードとデータ自体のパスワードの少なくとも片方を変更する。データ自体のパスワードのみを変更してもよいが、対象データが複数ある場合には認証用のパスワードを変更する方が作業の手間が少ない。複合機2の全体のセキュリティの観点においても、片方のみ変更するのであれば認証用のパスワードを変更するのが望ましい。
【0027】
ユーザへのメッセージの送出だけでなく、管理者への情報提供も通知部33が担う。通知部33は、判別部31の三つのカウンタ311〜313の計算値のうちの最小値が予め決められた設定値よりも小さい場合に、当該最小値に対応するユーザ(メッセージを送るべきデータの作成者またはボックスの作成者)が誰であるかを表示部37に伝える。表示部37は、操作パネル20のディスプレイ201に判別部31から伝えられたユーザの氏名および連絡先を示す情報を表示する。表示されたユーザ情報は、操作パネル20を用いて強化モード選択操作をする管理者の目にとまる。管理者は、表示されたユーザと直接に会ったり電話をかけたりしてパスワードの変更を要請することができる。管理者による直接の要請はユーザへのより確実な働きかけとなる。上記設定値を5〜10程度としておけば、管理者に大きな負担をかけることはない。
【0028】
ファイル編集部39は、セキュリティ不足のデータ数を削減するための地紋付与手段である。ファイル編集部39は、地紋の付加された第1の画像データがストレージ29に記憶されており、かつセキュリティ不足のデータの中に第1の画像データを記憶させたユーザが記憶させた地紋の付加されていない第2の画像データが含まれる場合に、第2の画像データに第1の画像データに付与されている地紋と同じ地紋を付与する。地紋の付与されプリントされたドキュメントをコピーすると所定の文字や図が顕在化する。地紋の付与には複製を抑制する心理的効果がある。このことから、本実施形態では、地紋の付与がセキュリティ不足を解消する対策の一つとされている。
【0029】
ユーザ登録テーブル41は、登録データ項目として、図5のように識別コード(ID)411、認証用のパスワード412、ユーザ名413、メールアドレス414、および電話番号415を有する。ユーザ登録テーブル41は上述の判別部31および通知部33に参照される。図6のようにセキュリティ要件テーブル42の登録データ項目は、パスワード桁数421およびパスワード文字種422を含んでいる。図7のようにボックス管理テーブル43は、種別431、作成者432およびパスワード433を登録データ項目として有する。図8のようにファイル管理テーブル44は、ファイルの記憶場所を示すボックス441、ファイル名442、作成者443、パスワード444およびファイル属性445を登録データ項目として有する。ファイル属性445が示す情報には地紋に関する情報が含まれる。
【0030】
図9は本実施形態におけるユーザにセキュリティ強化を要求する/しないの場合分けを示す。図9ではユーザにメッセージを送ってデータのセキュリティ強化を要求する場合に斜線が付されている。図9において、ユーザが満たすとは、そのユーザの認証用のパスワードがセキュリティ要件を満たすことであり、ユーザが満たさないとは、そのユーザの認証用のパスワードがセキュリティ要件を満たさないことである。共有ボックス、個人用ボックスおよびグループ用ボックスについては、それぞれに設定されたパスワードがセキュリティ要件を満たす場合と満たさない場合とがある。パスワードが設定されていない場合はセキュリティ要件を満たさない場合に含まれる。また、各ボックスのデータ記憶状態を場合分けすると、三つの場合が考えられる。第1はボックス内のデータが全てセキュリティ要件を満たす場合であり、第2はボックス内にデータ自体に設定されたアクセス制限(パスワード、暗号化、地紋など)がセキュリティ要件を満たさないデータが一つ以上ある場合である。そして、第3はデータが全く記憶されていない空の状態である場合、すなわちボックスが実質的に未使用の場合である。空の状態であれば、そのボックスのパスワードがセキュリティ要件を満たさなくても、情報漏えいを心配すべきデータ自体が無いので、ボックスの作成者にセキュリティ強化を要求しない。
【0031】
本実施形態においてセキュリティ強化を要求する場合とは、図9において斜線で示されるように、ユーザ、ボックスおよびデータのいずれもがセキュリティ要件を満たさない場合のみである。詳しくは、ユーザの認証用のパスワードがセキュリティ要件を満たさず、且つボックスに設定されたパスワードがセキュリティ要件を満たさず、且つデータ自体に設定されたアクセス制限がセキュリティ要件を満たさない場合に限って、ユーザまたはボックスの作成者に対してセキュリティ強化が要求される。言い換えれば、セキュリティ要件を満たす少なくとも1つの対策が講じられておれば、セキュリティ強化は要求されない。このようにセキュリティ強化を要求する場合を情報漏えいを防ぐ上での最小限に限定することにより、要求に応えるユーザの作業負担を軽減することができる。逆にデータやボックスに講じられる2重3重のセキュリティ対策のうち1つでも要件を満たさないときに強化を要求するというように、何でもかでもセキュリティ強化を要求すると、ユーザが煩わしく思って要求になかなか応えず、セキュリティ強化が進まない状況の発生が予想される。
【0032】
図10はセキュリティモードの切替えのための操作画面の例を示す。複合機2の管理者は、操作パネル20によって管理者用パスワードの入力を含む所定の入力操作を行い、図10のセキュリティモード切替え画面Q10をディスプレイ201に表示させる。セキュリティモード切替え画面Q10では、左端部にジョブリストL1が配置され、ジョブリストL1の右側に案内メッセージM1および二つの設定ボタンB1,B2が表示される。設定ボタンB1(OFFボタン)は強化モードを非強化モードに切替える場合に押下され、設定ボタンB2(ONボタン)は非強化モードを強化モードに切替える場合に押下される。図10では、セキュリティモードが非強化モードであるのを表すために設定ボタンB1が強調表示されている。ジョブリストL1にはクライアント5,6,7から与えられた実行待ち状態のジョブが一覧表示される。通常、セキュリティモードの切替えは実行待ち状態のジョブがないときに行われる。図示においてジョブリストL1内にジョブはない。これは実行待ち状態のジョブがないことを示す。
【0033】
以下、図11〜図13のフローチャートを参照して、セキュリティを強化するときの複合機2の動作を説明する。
【0034】
ユーザ認証を行う認証機能ON状態において、セキュリティレベルを上げるモード切替え操作が行われると(#1,#2,#3)、判別部31による判別が始まる。まず、判別部31は、登録されているユーザの中に認証用のパスワードがセキュリティ要件を満たさないユーザ(セキュリティ不足のユーザ)がいるかどうかを判別する(#4,#5)。セキュリティ不足のユーザがいなければメッセージを送る必要がない。判別部31は、セキュリティ不足のユーザがいる場合にのみ、登録されているボックスの中に設定されているパスワードがセキュリティ要件を満たさないボックス(セキュリティ不足のボックス)があるかどうかを判別する(#6,#7)。セキュリティ不足のボックスがいなければメッセージを送る必要がないので、複合機2は図示における以降の処理を行わない。
【0035】
セキュリティ不足のボックスがあった場合、判別部31はそのボックスが個人用かそれ以外のボックスかを判別する(#8)。セキュリティ不足のボックスが共有ボックス51かグループ用ボックス56,57である場合、作成者からアクセスがあったときに、判別部31は当該ボックス内にセキュリティ不足のデータがあるか否かをチェックする(#11,#12,#15)。セキュリティ不足のデータがあれば、通知部33が当該ボックスの作成者に対して当該ボックスのセキュリティ強化を要請するメッセージを送る(#16)。ボックスの作成者以外のユーザであってセキュリティを満たすユーザが当該ボックスに新たなデータを記憶させようとアクセスした場合には、ファイル編集部39が新たなデータを暗号化または他のセキュリティ対応を施した後に当該ボックスに格納する(#12、#13、#14)。
【0036】
個人用とそれ以外とに係わらずセキュリティ不足のボックスがあった場合に、判別部31はそのボックスにデータが登録されているか否かを判別する(#9)。データが登録されておりかつセキュリティ不足のデータがあれば、判別部31はファイル管理テーブル44を参照してセキュリティ不足のデータの作成者をメッセージ送り先の選定の対象ユーザとして特定する(#18)。判別部31の第1カウンタ311は、特定されたユーザの人数をカウントする(#19)。セキュリティ不足のボックス内に登録されているデータがなければ、新たにデータを登録させようとするアクセスがあったときに(#17)、アクセスしたユーザに対してセキュリティ強化を促すべくステップ#18以降の処理が行われる。
【0037】
特定された対象ユーザが地紋を付加したデータの作成者である場合に、ファイル編集部39はそのユーザの作成したセキュリティ不足のデータに地紋を付加する(#20,#21,#22)。地紋の付加により上述のとおりセキュリティ要件が満たされるので、地紋の付加が行われると、セキュリティ不足のデータの総数が減少する。
【0038】
判別部31の第2カウンタ312は、メッセージ送り先の選定に係わる対象ボックスとしてのセキュリティ不足のボックスの数をカウントする(#23)。第3カウンタ313は、メッセージ送り先の選定に係わる対象データとしてのセキュリティ不足のデータの数をカウントする(#24)。通知部33は、対象ユーザ、対象ボックスおよび対象データの中で最もカウント数の少ないものを判定し、メッセージの送り先とするユーザを決定する(#25)。例えば、対象データ数および対象ユーザ数と比べて対象ボックス数が少なければ、対象ボックスの作成者が送り先に決まり、対象データ数および対象ボックス数と比べて対象ユーザ数が少なければ、対象ユーザが送り先に決まる。また、対象ユーザ数および対象ボックス数と比べて対象データ数が少なければ、対象データのユーザが送り先に決まる。通知部33は送り先に決まったユーザ(ボックスの作成者を含む)に対してメッセージを送り、セキュリティ要件を満たすためのアクセス制限の設定変更を要請する(#29)。上述のとおりメッセージの送り先を最小限に選定することにより、通知部33の処理負担が軽減される。そして、最小限のユーザがメッセージに応えることで、セキュリティを強化することができる。
【0039】
また、通知部33は、対象ユーザ数が設定数よりも少ない場合には対象ユーザの氏名およびメールアドレスや内線電話番号といった連絡先情報を操作パネル20のディスプレイ201に表示するとともに、表示した情報を示すメッセージを管理者の使用するコンピュータに送信する(#26、#27、#28)。
【0040】
以上の実施形態において種々の変形がある。セキュリティ強化によって要件を満たさなくなったユーザの認証用パスワードを無効とし、ユーザに送るメッセージにワンタイムパスワードを含ませてセキュリティ強化のためのアクセスを行わせるようにしてもよい。メッセージを自動送信する代わりに管理者が送信準備できるように画面表示してもよい。共有ボックス51およびグループ用ボックス56,57の作成者にメッセージを送る代わりに、当該ボックス内のセキュリティ不足のデータの作成者にメッセージを送ってもよい。セキュリティ不足のデータを有する共有ボックス51またはグループ用ボックス56,57へのアクセスを、認証用のパスワードがセキュリティ要件を満たさないユーザのみについて禁止してもよいし、当該ボックスを共用するユーザ全員について禁止してもよい。
【0041】
1ユーザが複数のボックスまたは複数のデータを使用している場合に、ボックス毎またはデータ毎にセキュリティ強化を要請しても良いし、1通のメッセージでまとめて要請してもよい。
【0042】
メッセージに応えてユーザがセキュリティ不足の一つのデータに対してパスワードを変更したとき、ボックス内の他のデータおよび他のボックスのデータについても自動的にパスワードを変更するようにしても良い。一つのデータに対して地紋を作成したり変更したりしたときに、そのユーザが作成した他のデータについても、自動的に仮地紋を作成しても良い。ユーザの作業負担を減らす為、セキュリティ変更を促さず、自動的にパスワードや地紋を生成して仮パスワードとしても良い。パスワードを一括変更するか、個別変更するかをユーザに選択させるようにしても良い。
【0043】
メッセージを送ってから所定時間経過しても、ユーザがセキュリティ強化を実施しない(アクセスしない)場合には、該当ユーザの登録を削除するようにしても良い。
【符号の説明】
【0044】
1 情報処理システム(ネットワーク)
2 複合機(情報機器)
51 共有ボックス(メモリ領域)
52〜55 個人用ボックス(メモリ領域)
56,57 グループ用ボックス(メモリ領域)
31 判別部(判別手段)
33 通知部(通知手段)
311 第1カウンタ(第1のカウント手段)
312 第2カウンタ(第2のカウント手段)
313 第3カウンタ(第3のカウント手段)
314 比較部(比較手段)
【技術分野】
【0001】
本発明は、複数のユーザが共用する情報機器およびその運用支援方法に関する。
【背景技術】
【0002】
OA(Office Automation)機器と呼ばれるビジネスユースの情報機器の一つに複合機がある。近年の複合機は、コピー、プリント、イメージ入力、ファクシミリ通信、メール送受、およびドキュメントデータの保存などに利用可能な多機能周辺機器(MFP:Multifunction Peripherals)として知られている。複合機は企業内のネットワークに組み込まれ、複合機に備わる操作パネルによる操作入力またはネットワークに接続されたコンピュータによるアクセスに応じて動作する。
【0003】
このような複合機の多くがユーザを認証するセキュリティ機能を有している。典型的な認証方法は、ユーザが複合機の使用時に入力したユーザIDおよびパスワードを予め登録されているユーザIDおよびパスワードと照合する。照合で一致すれば、そのユーザは認証される。認証されなければそのユーザによる複合機の使用が全面的または部分的に制限される。
【0004】
また、ドキュメントデータを保存するためのボックスと呼ばれるメモリ領域にもパスワードを設定することができる(例えば、特許文献1)。ボックスを利用するユーザは、設定されたパスワードを入力することによってボックスへのアクセスが許され、ボックス内のデータを読み出したりボックスにデータを記憶させたりすることができる。なお、ボックスはハードディスクドライブのような記憶装置のメモリ領域の一部を割り当てることによって設けられる。個々のユーザが専用する個人用ボックスおよび複数のユーザが共用する共有ボックスを設けることができる。
【0005】
複数のセキュリティモードを有した複合機においては、使用環境や運用状況に応じてセキュリティを強化しまたは緩和することができる。一般に、セキュリティを強化すると、強化以前よりも桁数の大きいパスワードを入力しなければならないというように、操作が面倒になる。したがって、通常はセキュリティを強化しないでおいて、例えば一時的に他部署にも複合機を開放する場合のような特別の場合にだけセキュリティを強化する、といったセキュリティモードを適時に切替える運用が考えられる。
【0006】
セキュリティモードの切替えに関する先行技術としては、セキュリティを緩和するモード切替えに際して、機密保持の必要なジョブが記憶されている場合に、警告し、当該ジョブの消去を促す表示をし、または当該ジョブを消去する技術がある(特許文献2)。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2003−85179号公報
【特許文献2】特開2008−294572号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
情報機器を多数のユーザが共用する場合には、管理者を定め、この管理者がセキュリティモードの切替え操作を行うという運用が一般になされる。既に複数のユーザが情報機器を日常的に使用しているとき、突然に管理者がセキュリティを強化するモード切替えを行うと、強化後のパスワード規約に適合しないパスワードを登録しているユーザが情報機器自体およびボックスにアクセスできないという事態の生じるおそれが多分にある。この事態を避けるため、通常、管理者は事前にユーザに通知を出して認証用パスワードの変更を要請する。
【0009】
しかし、多数のユーザの中にパスワードを変更するのを忘れるユーザがいないとは限らない。ユーザがパスワードを変更するのを忘れたり通知のあったことを知らなかったりして結果的に管理者の要請に応えないことは起こり得る。したがって、管理者は、セキュリティの強化に際して、全てのユーザについてアクセスに支障が生じないかどうかをチェックしなければならず、大きな作業負担を強いられる。
【0010】
本発明は、このような事情に鑑みてなされ、セキュリティの強化に伴う管理者の作業負担を低減することを目的としている。
【課題を解決するための手段】
【0011】
上記目的を達成する装置は、ネットワークへの接続が可能な情報機器であって、ユーザを限定するアクセス制限が設定されるメモリ領域と、セキュリティを強化するモード変更操作に呼応して、前記メモリ領域が記憶するデータについて、当該データ自体に設定されたアクセス制限と、前記メモリ領域に設定されたアクセス制限と、当該データを記憶させたユーザに対して予め登録されているユーザ認証用の情報とのうちのいずれかが強化後のセキュリティ要件を満たすか否かを判別する判別手段と、いずれもがセキュリティ要件を満たさないとの前記判別手段からの判別結果を受け、判別結果に該当するデータを前記メモリ領域に記憶させたユーザまたは前記メモリ領域のアクセス制限を設定したユーザに対して、前記ネットワークを介してセキュリティ要件を満たすための操作の実行を促すメッセージを送る通知手段とを備える。
【0012】
上記目的を達成する方法は、ユーザを限定するアクセス制限が設定されるメモリ領域を備えかつネットワークへの接続が可能な情報機器の運用支援方法であって、セキュリティを強化するモード変更操作に呼応して、前記情報機器が、前記メモリ領域に記憶されたデータについて、当該データ自体に設定されたアクセス制限と、前記メモリ領域に設定されたアクセス制限と、当該データを記憶させたユーザに対して予め登録されているユーザ認証用の情報とのうちのいずれかが強化後のセキュリティ要件を満たすか否かを判別し、いずれの前記セキュリティ要件をも満たさないデータがあった場合に、該当するデータを前記メモリ領域に記憶させたユーザまたは前記メモリ領域のアクセス制限を設定したユーザに対して、セキュリティ要件を満たすための操作の実行を促すメッセージをネットワークを介して送る。
【発明の効果】
【0013】
セキュリティ要件を満たさないデータに関係するユーザに自動的にメッセージが送られるので、管理者がメッセージを送る必要がない。しかも、メッセージの送り先がデータ自体とメモリ領域とユーザ認証用の情報とのいずれもがセキュリティ要件を満たさないデータに関係するユーザに限定されるので、限定しない場合と比べて、メッセージを受けてユーザが正しく操作を実行したか否かをチェックの作業負担が小さい。
【図面の簡単な説明】
【0014】
【図1】本発明の実施形態に係る複合機を有するネットワークの構成例を示す図である。
【図2】複合機のハードウェア構成を示すブロック図である。
【図3】メモリ領域としてのボックスの設定例を示す図である。
【図4】複合機の要部の機能構成例を示す図である。
【図5】ユーザ登録テーブルの項目を示す図である。
【図6】セキュリティ要件テーブルの項目を示す図である。
【図7】ボックス管理テーブルの項目を示す図である。
【図8】ファイル管理テーブルの項目を示す図である。
【図9】ユーザにセキュリティ強化を要求する/しないの場合分けの例を示す図である。
【図10】セキュリティを設定する操作のためのセキュリティモード切替え画面の例を示す図である。
【図11】ユーザにセキュリティ強化を要求する動作のフローチャートである。
【図12】ユーザにセキュリティ強化を要求する動作のフローチャートである。
【図13】ユーザにセキュリティ強化を要求する動作のフローチャートである。
【発明を実施するための形態】
【0015】
セキュリティモードの切替え可能な情報機器として多機能の画像形成装置である複合機を例に挙げる。図1のように複合機2および複数のパーソナルコンピュータ3,4を有した情報処理システム1を想定する。情報処理システム1は、企業またはそれに類する組織に設けられたLAN(Local Area Network)であり、複合機2を介して公衆回線7と繋がりかつルータ6を介してインターネット8と繋がっている。MFPとも呼ばれる複合機2は、コピー機、プリンタ、イメージスキャナ、ファクシミリ通信機、メール送受機、およびドキュメント保存用のデータ記憶装置として利用可能である。複合機2およびパーソナルコンピュータ3,4はスイッチングハブ5を介して相互に通信することができる。
【0016】
複合機2のハードウェア構成が図2に示される。複合機2は、操作パネル20、イメージスキャナ21、プリンタ22、用紙ストッカ23、電源回路24、制御回路25、画像処理回路26、ファクシミリ通信モデム27、外部接続インタフェース28およびストレージ29を備える。操作パネル20と制御回路25と外部接続インタフェース28とストレージ29とが、セキュリティモードの切替えに関係する要部2Aの要素である。操作パネル20には操作画面を表示するためのディスプレイ201としてLCD(Liquid Crystal Display)が配置されている。イメージスキャナ21はカラー原稿の読取りが可能である。プリンタ22は、両面プリントのためのユニットを備えており、多段形式の用紙ストッカ23から供給される用紙の片面または両面にモノクロまたはカラーの画像をプリントする。電源回路24は複合機2の随所に必要とされる電力を供給する。制御回路25は、制御プログラムを記憶するROM251、制御プログラムを実行するCPU(Central Processing Unit)252、およびプログラム実行のワークエリアとして用いられるRAM253を有する。画像処理回路26はコピーやプリントにおけるビットマップ展開を含む種々の処理を担う。ファクシミリ通信モデム27は公衆回線による通信に用いられる。外部接続インタフェース28はLANケーブルとの接続に用いられる。本例のストレージ29は数十Gバイト以上の大容量の不揮発性メモリ領域をもつハードディスクドライブ(HDD)である。
【0017】
ストレージ29には、複合機2の制御に係わるデータを記憶するメモリ領域とともに、各種ドキュメントや画像を保存するメモリ領域であるボックス(Box)が設けられる。図3の例では、複合機2に複数のユーザが共用する共有ボックス51、個々のユーザが専用する個人用ボックス52,53,54,55および複数のユーザのグループに割り当てられるグループ用ボックス56,57が設けられている。いずれのボックス51〜57もユーザを限定するアクセス制限のためのパスワードを個別に設定することが可能である。
【0018】
ボックス51〜57で記憶されるドキュメントデータの中には、それを作成するアプリケーションソフトウェアによって読取りパスワードが設定されたものがある。また、所定のソフトウェアにより暗号化された各種のデータもボックス51〜57で記憶される。このようなデータ保護がなされたデータの内容をユーザが閲覧するには、複合機2を使用するためのユーザ認証を受け、かつデータ自体に設定されたパスワードを入力しなければならない。さらに、データを記憶するボックスにパスワードが設定されている場合には、そのボックスのパスワードをも入力しなければ、データにアクセスすることができない。
【0019】
本例の複合機2においては、非強化モードと強化モードの二つのセキュリティモードの選択が可能である。ただし、三つ以上のセキュリティモードを設けて多段階のセキュリティレベルの設定を可能にしてもよい。強化モードは、非強化モードと比べて、複合機2およびボックス51〜57へのアクセスを厳しく制限する。例えば強化モードにおいてはパスワードは8桁以上というパスワード規約が適用される。非強化モードから強化モードへ切り替わるとセキュリティが高まる。セキュリティモードを選択する操作は、情報処理システム1の運用に際して定められた管理者によって行われる。
【0020】
セキュリティモードの切替えに係る機能構成が図4に示される。図4のように複合機2は、判別部31、通知部33、入力部35、表示部37、およびファイル編集部39を備える。これらの機能要素は、制御用のコンピュータプログラムとそれを実行するコンピュータとしての上記CPU252とで実現される。判別部31には第1カウンタ311、第2カウンタ312、第3カウンタ313および比較部314が含まれる。
【0021】
判別部31は、入力部35が受け付ける強化モード選択操作に呼応して、ボックス51〜57内で記憶されているデータに対する判別をする。詳しくは、各データ自体に設定されたアクセス制限と、当該データを記憶するボックスに設定されたパスワードによるアクセス制限と、当該データの作成者であるユーザに対して予め登録されているユーザ認証用の情報(パスワード)とのうちのいずれかが強化モードのセキュリティ要件を満たすか否かを、判別部31は判別する。ここでいうデータ自体に設定されたアクセス制限には、パスワードの設定、暗号化、および地紋の付与が含まれる。パスワードによるアクセス制限にはパスワードの有無、桁数および文字種が関係する。また、データの作成者とは、データを記憶させるジョブを複合機2に与えたユーザである。判別に際して判別部31は、ユーザ登録テーブル41、セキュリティ要件テーブル42、ボックス管理テーブル43、およびファイル管理テーブル44を参照する。これらテーブル41〜44はストレージ29によって記憶され、必要に応じてRAM252にロードされる。
【0022】
判別部31における第1カウンタ311は、ユーザ登録テーブル41に登録されているユーザ認証用のパスワードがセキュリティ要件テーブル42の示すセキュリティ要件を満たさないユーザの人数を計算する。第2カウンタ312は、ボックス管理テーブル43の示すアクセス制限がセキュリティ要件を満たさないボックスの個数を計算する。第3カウンタ313は、ファイル管理テーブル44の示すアクセス制限がセキュリティ要件を満たさないデータの個数を計算する。比較部314は、これら三つのカウンタ311〜313の計算値を比較し、最小の計算値がユーザの人数かボックスの個数かまたはデータの個数かを示す比較結果を通知部33に伝える。
【0023】
通知部33は、判別部31からの判別結果を受けて、セキュリティ要件を満たすための操作の実行を促すメッセージを所定のユーザに送る。メッセージを送る必要があるのは、セキュリティ不足のデータが存在する場合である。セキュリティ不足のデータとは、その作成者の認証用のパスワード、当該データを記憶するボックスのアクセス制限(主にパスワード)、および当該データ自体のアクセス制限(パスワード、暗号化、地紋など)のいずれもが強化モードのセキュリティ要件を満たしていないデータである。このようなセキュリティ不足のデータがストレージ29内に無ければ本例の通知部33はメッセージを送らない。
【0024】
メッセージの送り先のユーザはセキュリティ不足のデータの作成者に限らない。データの作成者に送る場合と、データを記憶するボックスの作成者(ボックスのパスワードを設定したユーザ)に送る場合とがある。データの作成者とボックスの作成者のどちらが送り先になるかは比較部314の比較結果に依存する。第1カウンタ311の計算値が最小である場合には、第3カウンタ313による計算の対象であるセキュリティ不足のデータの作成者のうち、第1カウンタ311の計算対象であるユーザ(認証用パスワードが要件を満たさない)に対して、メッセージが送られる。第2カウンタ312の計算値が最小である場合には、第2カウンタ312の計算対象であるボックスの作成者に対して、メッセージが送られる。第3カウンタ313の計算値が最小である場合には、第3カウンタ313の計算対象であるセキュリティ不足のデータの作成者に対して、メッセージが送られる。
【0025】
メッセージは例えば電子メールに記載されまたは添付され、インターネット8内またはLAN(情報処理システム1)内の図示しないメールサーバに送信される。電子メールはメールサーバからユーザの使用するパーソナルコンピュータ3a,3b,3c,3dへ適時に転送され、それによってユーザ(ボックス作成者を含む)にメッセージが届く。なお、電子メールに限らず、LAN内のメッセージ通信またはファクシミリ通信によってメッセージをユーザに届けてもよい。
【0026】
メッセージを受け取ったユーザは、メッセージの指示に従ってパスワードをパスワード規約に適合するものに変更する。ユーザがセキュリティを強化すべきボックスの作成者である場合には、ユーザは少なくともボックスのパスワードを変更する。それにより、ボックス内にセキュリティ不足のデータが複数存在していても、データの個々のパスワードを変更せずにセキュリティ不足が解消される。ユーザがボックスの作成者でなければ、認証用のパスワードとデータ自体のパスワードの少なくとも片方を変更する。データ自体のパスワードのみを変更してもよいが、対象データが複数ある場合には認証用のパスワードを変更する方が作業の手間が少ない。複合機2の全体のセキュリティの観点においても、片方のみ変更するのであれば認証用のパスワードを変更するのが望ましい。
【0027】
ユーザへのメッセージの送出だけでなく、管理者への情報提供も通知部33が担う。通知部33は、判別部31の三つのカウンタ311〜313の計算値のうちの最小値が予め決められた設定値よりも小さい場合に、当該最小値に対応するユーザ(メッセージを送るべきデータの作成者またはボックスの作成者)が誰であるかを表示部37に伝える。表示部37は、操作パネル20のディスプレイ201に判別部31から伝えられたユーザの氏名および連絡先を示す情報を表示する。表示されたユーザ情報は、操作パネル20を用いて強化モード選択操作をする管理者の目にとまる。管理者は、表示されたユーザと直接に会ったり電話をかけたりしてパスワードの変更を要請することができる。管理者による直接の要請はユーザへのより確実な働きかけとなる。上記設定値を5〜10程度としておけば、管理者に大きな負担をかけることはない。
【0028】
ファイル編集部39は、セキュリティ不足のデータ数を削減するための地紋付与手段である。ファイル編集部39は、地紋の付加された第1の画像データがストレージ29に記憶されており、かつセキュリティ不足のデータの中に第1の画像データを記憶させたユーザが記憶させた地紋の付加されていない第2の画像データが含まれる場合に、第2の画像データに第1の画像データに付与されている地紋と同じ地紋を付与する。地紋の付与されプリントされたドキュメントをコピーすると所定の文字や図が顕在化する。地紋の付与には複製を抑制する心理的効果がある。このことから、本実施形態では、地紋の付与がセキュリティ不足を解消する対策の一つとされている。
【0029】
ユーザ登録テーブル41は、登録データ項目として、図5のように識別コード(ID)411、認証用のパスワード412、ユーザ名413、メールアドレス414、および電話番号415を有する。ユーザ登録テーブル41は上述の判別部31および通知部33に参照される。図6のようにセキュリティ要件テーブル42の登録データ項目は、パスワード桁数421およびパスワード文字種422を含んでいる。図7のようにボックス管理テーブル43は、種別431、作成者432およびパスワード433を登録データ項目として有する。図8のようにファイル管理テーブル44は、ファイルの記憶場所を示すボックス441、ファイル名442、作成者443、パスワード444およびファイル属性445を登録データ項目として有する。ファイル属性445が示す情報には地紋に関する情報が含まれる。
【0030】
図9は本実施形態におけるユーザにセキュリティ強化を要求する/しないの場合分けを示す。図9ではユーザにメッセージを送ってデータのセキュリティ強化を要求する場合に斜線が付されている。図9において、ユーザが満たすとは、そのユーザの認証用のパスワードがセキュリティ要件を満たすことであり、ユーザが満たさないとは、そのユーザの認証用のパスワードがセキュリティ要件を満たさないことである。共有ボックス、個人用ボックスおよびグループ用ボックスについては、それぞれに設定されたパスワードがセキュリティ要件を満たす場合と満たさない場合とがある。パスワードが設定されていない場合はセキュリティ要件を満たさない場合に含まれる。また、各ボックスのデータ記憶状態を場合分けすると、三つの場合が考えられる。第1はボックス内のデータが全てセキュリティ要件を満たす場合であり、第2はボックス内にデータ自体に設定されたアクセス制限(パスワード、暗号化、地紋など)がセキュリティ要件を満たさないデータが一つ以上ある場合である。そして、第3はデータが全く記憶されていない空の状態である場合、すなわちボックスが実質的に未使用の場合である。空の状態であれば、そのボックスのパスワードがセキュリティ要件を満たさなくても、情報漏えいを心配すべきデータ自体が無いので、ボックスの作成者にセキュリティ強化を要求しない。
【0031】
本実施形態においてセキュリティ強化を要求する場合とは、図9において斜線で示されるように、ユーザ、ボックスおよびデータのいずれもがセキュリティ要件を満たさない場合のみである。詳しくは、ユーザの認証用のパスワードがセキュリティ要件を満たさず、且つボックスに設定されたパスワードがセキュリティ要件を満たさず、且つデータ自体に設定されたアクセス制限がセキュリティ要件を満たさない場合に限って、ユーザまたはボックスの作成者に対してセキュリティ強化が要求される。言い換えれば、セキュリティ要件を満たす少なくとも1つの対策が講じられておれば、セキュリティ強化は要求されない。このようにセキュリティ強化を要求する場合を情報漏えいを防ぐ上での最小限に限定することにより、要求に応えるユーザの作業負担を軽減することができる。逆にデータやボックスに講じられる2重3重のセキュリティ対策のうち1つでも要件を満たさないときに強化を要求するというように、何でもかでもセキュリティ強化を要求すると、ユーザが煩わしく思って要求になかなか応えず、セキュリティ強化が進まない状況の発生が予想される。
【0032】
図10はセキュリティモードの切替えのための操作画面の例を示す。複合機2の管理者は、操作パネル20によって管理者用パスワードの入力を含む所定の入力操作を行い、図10のセキュリティモード切替え画面Q10をディスプレイ201に表示させる。セキュリティモード切替え画面Q10では、左端部にジョブリストL1が配置され、ジョブリストL1の右側に案内メッセージM1および二つの設定ボタンB1,B2が表示される。設定ボタンB1(OFFボタン)は強化モードを非強化モードに切替える場合に押下され、設定ボタンB2(ONボタン)は非強化モードを強化モードに切替える場合に押下される。図10では、セキュリティモードが非強化モードであるのを表すために設定ボタンB1が強調表示されている。ジョブリストL1にはクライアント5,6,7から与えられた実行待ち状態のジョブが一覧表示される。通常、セキュリティモードの切替えは実行待ち状態のジョブがないときに行われる。図示においてジョブリストL1内にジョブはない。これは実行待ち状態のジョブがないことを示す。
【0033】
以下、図11〜図13のフローチャートを参照して、セキュリティを強化するときの複合機2の動作を説明する。
【0034】
ユーザ認証を行う認証機能ON状態において、セキュリティレベルを上げるモード切替え操作が行われると(#1,#2,#3)、判別部31による判別が始まる。まず、判別部31は、登録されているユーザの中に認証用のパスワードがセキュリティ要件を満たさないユーザ(セキュリティ不足のユーザ)がいるかどうかを判別する(#4,#5)。セキュリティ不足のユーザがいなければメッセージを送る必要がない。判別部31は、セキュリティ不足のユーザがいる場合にのみ、登録されているボックスの中に設定されているパスワードがセキュリティ要件を満たさないボックス(セキュリティ不足のボックス)があるかどうかを判別する(#6,#7)。セキュリティ不足のボックスがいなければメッセージを送る必要がないので、複合機2は図示における以降の処理を行わない。
【0035】
セキュリティ不足のボックスがあった場合、判別部31はそのボックスが個人用かそれ以外のボックスかを判別する(#8)。セキュリティ不足のボックスが共有ボックス51かグループ用ボックス56,57である場合、作成者からアクセスがあったときに、判別部31は当該ボックス内にセキュリティ不足のデータがあるか否かをチェックする(#11,#12,#15)。セキュリティ不足のデータがあれば、通知部33が当該ボックスの作成者に対して当該ボックスのセキュリティ強化を要請するメッセージを送る(#16)。ボックスの作成者以外のユーザであってセキュリティを満たすユーザが当該ボックスに新たなデータを記憶させようとアクセスした場合には、ファイル編集部39が新たなデータを暗号化または他のセキュリティ対応を施した後に当該ボックスに格納する(#12、#13、#14)。
【0036】
個人用とそれ以外とに係わらずセキュリティ不足のボックスがあった場合に、判別部31はそのボックスにデータが登録されているか否かを判別する(#9)。データが登録されておりかつセキュリティ不足のデータがあれば、判別部31はファイル管理テーブル44を参照してセキュリティ不足のデータの作成者をメッセージ送り先の選定の対象ユーザとして特定する(#18)。判別部31の第1カウンタ311は、特定されたユーザの人数をカウントする(#19)。セキュリティ不足のボックス内に登録されているデータがなければ、新たにデータを登録させようとするアクセスがあったときに(#17)、アクセスしたユーザに対してセキュリティ強化を促すべくステップ#18以降の処理が行われる。
【0037】
特定された対象ユーザが地紋を付加したデータの作成者である場合に、ファイル編集部39はそのユーザの作成したセキュリティ不足のデータに地紋を付加する(#20,#21,#22)。地紋の付加により上述のとおりセキュリティ要件が満たされるので、地紋の付加が行われると、セキュリティ不足のデータの総数が減少する。
【0038】
判別部31の第2カウンタ312は、メッセージ送り先の選定に係わる対象ボックスとしてのセキュリティ不足のボックスの数をカウントする(#23)。第3カウンタ313は、メッセージ送り先の選定に係わる対象データとしてのセキュリティ不足のデータの数をカウントする(#24)。通知部33は、対象ユーザ、対象ボックスおよび対象データの中で最もカウント数の少ないものを判定し、メッセージの送り先とするユーザを決定する(#25)。例えば、対象データ数および対象ユーザ数と比べて対象ボックス数が少なければ、対象ボックスの作成者が送り先に決まり、対象データ数および対象ボックス数と比べて対象ユーザ数が少なければ、対象ユーザが送り先に決まる。また、対象ユーザ数および対象ボックス数と比べて対象データ数が少なければ、対象データのユーザが送り先に決まる。通知部33は送り先に決まったユーザ(ボックスの作成者を含む)に対してメッセージを送り、セキュリティ要件を満たすためのアクセス制限の設定変更を要請する(#29)。上述のとおりメッセージの送り先を最小限に選定することにより、通知部33の処理負担が軽減される。そして、最小限のユーザがメッセージに応えることで、セキュリティを強化することができる。
【0039】
また、通知部33は、対象ユーザ数が設定数よりも少ない場合には対象ユーザの氏名およびメールアドレスや内線電話番号といった連絡先情報を操作パネル20のディスプレイ201に表示するとともに、表示した情報を示すメッセージを管理者の使用するコンピュータに送信する(#26、#27、#28)。
【0040】
以上の実施形態において種々の変形がある。セキュリティ強化によって要件を満たさなくなったユーザの認証用パスワードを無効とし、ユーザに送るメッセージにワンタイムパスワードを含ませてセキュリティ強化のためのアクセスを行わせるようにしてもよい。メッセージを自動送信する代わりに管理者が送信準備できるように画面表示してもよい。共有ボックス51およびグループ用ボックス56,57の作成者にメッセージを送る代わりに、当該ボックス内のセキュリティ不足のデータの作成者にメッセージを送ってもよい。セキュリティ不足のデータを有する共有ボックス51またはグループ用ボックス56,57へのアクセスを、認証用のパスワードがセキュリティ要件を満たさないユーザのみについて禁止してもよいし、当該ボックスを共用するユーザ全員について禁止してもよい。
【0041】
1ユーザが複数のボックスまたは複数のデータを使用している場合に、ボックス毎またはデータ毎にセキュリティ強化を要請しても良いし、1通のメッセージでまとめて要請してもよい。
【0042】
メッセージに応えてユーザがセキュリティ不足の一つのデータに対してパスワードを変更したとき、ボックス内の他のデータおよび他のボックスのデータについても自動的にパスワードを変更するようにしても良い。一つのデータに対して地紋を作成したり変更したりしたときに、そのユーザが作成した他のデータについても、自動的に仮地紋を作成しても良い。ユーザの作業負担を減らす為、セキュリティ変更を促さず、自動的にパスワードや地紋を生成して仮パスワードとしても良い。パスワードを一括変更するか、個別変更するかをユーザに選択させるようにしても良い。
【0043】
メッセージを送ってから所定時間経過しても、ユーザがセキュリティ強化を実施しない(アクセスしない)場合には、該当ユーザの登録を削除するようにしても良い。
【符号の説明】
【0044】
1 情報処理システム(ネットワーク)
2 複合機(情報機器)
51 共有ボックス(メモリ領域)
52〜55 個人用ボックス(メモリ領域)
56,57 グループ用ボックス(メモリ領域)
31 判別部(判別手段)
33 通知部(通知手段)
311 第1カウンタ(第1のカウント手段)
312 第2カウンタ(第2のカウント手段)
313 第3カウンタ(第3のカウント手段)
314 比較部(比較手段)
【特許請求の範囲】
【請求項1】
ネットワークへの接続が可能な情報機器であって、
ユーザを限定するアクセス制限が設定されるメモリ領域と、
セキュリティを強化するモード変更操作に呼応して、前記メモリ領域が記憶するデータについて、当該データ自体に設定されたアクセス制限と、前記メモリ領域に設定されたアクセス制限と、当該データを記憶させたユーザに対して予め登録されているユーザ認証用の情報とのうちのいずれかが強化後のセキュリティ要件を満たすか否かを判別する判別手段と、
いずれもがセキュリティ要件を満たさないとの前記判別手段からの判別結果を受け、当該判別結果に該当するデータを前記メモリ領域に記憶させたユーザまたは前記メモリ領域のアクセス制限を設定したユーザに対して、前記ネットワークを介してセキュリティ要件を満たすための操作の実行を促すメッセージを送る通知手段とを備える
ことを特徴とする情報機器。
【請求項2】
ユーザを限定するアクセス制限がそれぞれに設定される複数のメモリ領域を有し、
前記判別手段は、メモリ領域ごとに当該メモリ領域が記憶するデータについて前記セキュリティ要件を満たすか否かを判別し、
前記通知手段は、いずれもがセキュリティ要件を満たさないと判別されたデータを記憶させたユーザまたは当該データを記憶する各メモリ領域のアクセス制限を設定したユーザにメッセージを送る
請求項1記載の情報機器。
【請求項3】
前記判別手段は、ユーザ認証用の情報が前記セキュリティ要件を満たさないユーザの人数を計算する第1のカウント手段と、
アクセス制限が前記セキュリティ要件を満たさないメモリ領域の個数を計算する第2のカウント手段と、
アクセス制限が前記セキュリティ要件を満たさないデータの個数を計算する第3のカウント手段と、
前記第1、第2および第3のカウント手段の計算値を比較する比較手段とを有しており、
前記通知手段は、前記比較手段の比較結果に基づき、前記第1のカウント手段の計算値が最小である場合には、前記第3のカウント手段の計算の対象であるデータを記憶させたユーザのうちの前記第1のカウント手段の計算の対象であるユーザに対してメッセージを送り、前記第2のカウント手段の計算値が最小である場合には、前記第2のカウント手段の計算の対象であるメモリ領域のアクセス制限を設定したユーザに対してメッセージを送り、前記第3のカウント手段の計算値が最小である場合には、前記第3のカウント手段の計算の対象であるデータを記憶させたユーザに対してメッセージを送る
請求項2記載の情報機器。
【請求項4】
前記通知手段は、前記第1、第2および第3のカウント手段の計算値のうちの最小値が予め決められた設定値よりも小さい場合に、当該最小値に対応するユーザが誰であるかを前記モード変更操作をした操作者に知らせる
請求項3記載の情報機器。
【請求項5】
地紋の付加された第1の画像データが記憶されており、かつアクセス制限が前記セキュリティ要件を満たさないデータの中に、前記第1の画像データを記憶させたユーザが記憶させた地紋の付加されていない第2の画像データが含まれる場合に、前記第2の画像データに前記第1の画像データに付与されている地紋と同じ地紋を付与する地紋付与手段をさらに備える
請求項1ないし請求項4のいずれかに記載の情報機器。
【請求項6】
ユーザを限定するアクセス制限が設定されるメモリ領域を備えかつネットワークへの接続が可能な情報機器を制御するコンピュータのためのコンピュータプログラムであって、
前記コンピュータによって実行されたときに、
セキュリティを強化するモード変更操作に呼応して、前記メモリ領域が記憶するデータについて、当該データ自体に設定されたアクセス制限と、前記メモリ領域に設定されたアクセス制限と、当該データを記憶させたユーザに対して予め登録されているユーザ認証用の情報とのうちのいずれかが強化後のセキュリティ要件を満たすか否かを判別する判別手段と、
いずれもがセキュリティ要件を満たさないとの前記判別手段からの判別結果を受け、当該判別結果に該当するデータを前記メモリ領域に記憶させたユーザまたは前記メモリ領域のアクセス制限を設定したユーザに対して、前記ネットワークを介してセキュリティ要件を満たすための操作の実行を促すメッセージを送る通知手段と、を前記コンピュータに実現させる
ことを特徴とするコンピュータプログラム。
【請求項7】
ユーザを限定するアクセス制限が設定されるメモリ領域を備えかつネットワークへの接続が可能な情報機器の運用支援方法であって、
セキュリティを強化するモード変更操作に呼応して、前記情報機器が、前記メモリ領域に記憶されたデータについて、当該データ自体に設定されたアクセス制限と、前記メモリ領域に設定されたアクセス制限と、当該データを記憶させたユーザに対して予め登録されているユーザ認証用の情報とのうちのいずれかが強化後のセキュリティ要件を満たすか否かを判別し、いずれの前記セキュリティ要件をも満たさないデータがあった場合に、該当するデータを前記メモリ領域に記憶させたユーザまたは前記メモリ領域のアクセス制限を設定したユーザに対して、セキュリティ要件を満たすための操作の実行を促すメッセージをネットワークを介して送る
ことを特徴とする情報機器の運用支援方法。
【請求項1】
ネットワークへの接続が可能な情報機器であって、
ユーザを限定するアクセス制限が設定されるメモリ領域と、
セキュリティを強化するモード変更操作に呼応して、前記メモリ領域が記憶するデータについて、当該データ自体に設定されたアクセス制限と、前記メモリ領域に設定されたアクセス制限と、当該データを記憶させたユーザに対して予め登録されているユーザ認証用の情報とのうちのいずれかが強化後のセキュリティ要件を満たすか否かを判別する判別手段と、
いずれもがセキュリティ要件を満たさないとの前記判別手段からの判別結果を受け、当該判別結果に該当するデータを前記メモリ領域に記憶させたユーザまたは前記メモリ領域のアクセス制限を設定したユーザに対して、前記ネットワークを介してセキュリティ要件を満たすための操作の実行を促すメッセージを送る通知手段とを備える
ことを特徴とする情報機器。
【請求項2】
ユーザを限定するアクセス制限がそれぞれに設定される複数のメモリ領域を有し、
前記判別手段は、メモリ領域ごとに当該メモリ領域が記憶するデータについて前記セキュリティ要件を満たすか否かを判別し、
前記通知手段は、いずれもがセキュリティ要件を満たさないと判別されたデータを記憶させたユーザまたは当該データを記憶する各メモリ領域のアクセス制限を設定したユーザにメッセージを送る
請求項1記載の情報機器。
【請求項3】
前記判別手段は、ユーザ認証用の情報が前記セキュリティ要件を満たさないユーザの人数を計算する第1のカウント手段と、
アクセス制限が前記セキュリティ要件を満たさないメモリ領域の個数を計算する第2のカウント手段と、
アクセス制限が前記セキュリティ要件を満たさないデータの個数を計算する第3のカウント手段と、
前記第1、第2および第3のカウント手段の計算値を比較する比較手段とを有しており、
前記通知手段は、前記比較手段の比較結果に基づき、前記第1のカウント手段の計算値が最小である場合には、前記第3のカウント手段の計算の対象であるデータを記憶させたユーザのうちの前記第1のカウント手段の計算の対象であるユーザに対してメッセージを送り、前記第2のカウント手段の計算値が最小である場合には、前記第2のカウント手段の計算の対象であるメモリ領域のアクセス制限を設定したユーザに対してメッセージを送り、前記第3のカウント手段の計算値が最小である場合には、前記第3のカウント手段の計算の対象であるデータを記憶させたユーザに対してメッセージを送る
請求項2記載の情報機器。
【請求項4】
前記通知手段は、前記第1、第2および第3のカウント手段の計算値のうちの最小値が予め決められた設定値よりも小さい場合に、当該最小値に対応するユーザが誰であるかを前記モード変更操作をした操作者に知らせる
請求項3記載の情報機器。
【請求項5】
地紋の付加された第1の画像データが記憶されており、かつアクセス制限が前記セキュリティ要件を満たさないデータの中に、前記第1の画像データを記憶させたユーザが記憶させた地紋の付加されていない第2の画像データが含まれる場合に、前記第2の画像データに前記第1の画像データに付与されている地紋と同じ地紋を付与する地紋付与手段をさらに備える
請求項1ないし請求項4のいずれかに記載の情報機器。
【請求項6】
ユーザを限定するアクセス制限が設定されるメモリ領域を備えかつネットワークへの接続が可能な情報機器を制御するコンピュータのためのコンピュータプログラムであって、
前記コンピュータによって実行されたときに、
セキュリティを強化するモード変更操作に呼応して、前記メモリ領域が記憶するデータについて、当該データ自体に設定されたアクセス制限と、前記メモリ領域に設定されたアクセス制限と、当該データを記憶させたユーザに対して予め登録されているユーザ認証用の情報とのうちのいずれかが強化後のセキュリティ要件を満たすか否かを判別する判別手段と、
いずれもがセキュリティ要件を満たさないとの前記判別手段からの判別結果を受け、当該判別結果に該当するデータを前記メモリ領域に記憶させたユーザまたは前記メモリ領域のアクセス制限を設定したユーザに対して、前記ネットワークを介してセキュリティ要件を満たすための操作の実行を促すメッセージを送る通知手段と、を前記コンピュータに実現させる
ことを特徴とするコンピュータプログラム。
【請求項7】
ユーザを限定するアクセス制限が設定されるメモリ領域を備えかつネットワークへの接続が可能な情報機器の運用支援方法であって、
セキュリティを強化するモード変更操作に呼応して、前記情報機器が、前記メモリ領域に記憶されたデータについて、当該データ自体に設定されたアクセス制限と、前記メモリ領域に設定されたアクセス制限と、当該データを記憶させたユーザに対して予め登録されているユーザ認証用の情報とのうちのいずれかが強化後のセキュリティ要件を満たすか否かを判別し、いずれの前記セキュリティ要件をも満たさないデータがあった場合に、該当するデータを前記メモリ領域に記憶させたユーザまたは前記メモリ領域のアクセス制限を設定したユーザに対して、セキュリティ要件を満たすための操作の実行を促すメッセージをネットワークを介して送る
ことを特徴とする情報機器の運用支援方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公開番号】特開2011−39945(P2011−39945A)
【公開日】平成23年2月24日(2011.2.24)
【国際特許分類】
【出願番号】特願2009−188779(P2009−188779)
【出願日】平成21年8月17日(2009.8.17)
【出願人】(303000372)コニカミノルタビジネステクノロジーズ株式会社 (12,802)
【Fターム(参考)】
【公開日】平成23年2月24日(2011.2.24)
【国際特許分類】
【出願日】平成21年8月17日(2009.8.17)
【出願人】(303000372)コニカミノルタビジネステクノロジーズ株式会社 (12,802)
【Fターム(参考)】
[ Back to top ]