業務情報防護装置
【課題】業務情報システムの情報セキュリティを高める。
【解決手段】業務情報防護装置100は、業務情報システム300のサーバ装置320に対するクライアント端末200からのリモートアクセスを制御する。リモートアクセスの実行対象となるサーバ装置320とリモートアクセスを実行予定のユーザとを示すアクセス申請情報を受信し、サーバ装置320ごとのリモートアクセス予定を管理する。リモートアクセス予定に応じて、各ユーザの属するユーザグループを適宜変更する。クライアント端末からのいずれかのサーバ装置320へのリモートアクセス要求がなされるとき、サーバ装置320へのアクセス権限のあるユーザグループに所属している正規ユーザであることを条件として、サーバ装置320へのリモートアクセスを許可する。
【解決手段】業務情報防護装置100は、業務情報システム300のサーバ装置320に対するクライアント端末200からのリモートアクセスを制御する。リモートアクセスの実行対象となるサーバ装置320とリモートアクセスを実行予定のユーザとを示すアクセス申請情報を受信し、サーバ装置320ごとのリモートアクセス予定を管理する。リモートアクセス予定に応じて、各ユーザの属するユーザグループを適宜変更する。クライアント端末からのいずれかのサーバ装置320へのリモートアクセス要求がなされるとき、サーバ装置320へのアクセス権限のあるユーザグループに所属している正規ユーザであることを条件として、サーバ装置320へのリモートアクセスを許可する。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、組織業務を管理するための業務情報システムに関連し、特に、業務情報システムの情報セキュリティを向上させるための技術、に関する。
【背景技術】
【0002】
企業や公共施設などの運用を支える業務情報システム、いわゆるエンタープライズシステム(Enterprise System)は、今や、大小さまざまな組織の基盤となっている。業務情報システムは、クライアント端末やデータベースから得られるデータを集計、蓄積、解析、加工した上でより付加価値の高い情報を出力することにより、複雑化する組織マネジメントを支えている。
【0003】
業務情報システムが取り扱う情報(以下、「組織情報」とよぶ)は、以下の3種類に大別できる。
1.外部公開情報:組織内のみならず組織外にも公開可能な組織情報。たとえば、IR(Investor Relations)情報やプレスリリース情報が該当する。
2.内部公開情報:組織内において公開されるが、組織外には非公開となる組織情報。たとえば、社内掲示板の情報が該当する。
3.限定公開情報:特殊な内部公開情報であり、一部の組織構成員にのみ公開される情報。たとえば、取引先リスク評価情報は、通常、経理部や所定職位以上の社員のみがアクセスできる限定公開情報である。
【0004】
一般的な業務情報システムは、パスワードなどのユーザ認証により、限定公開情報へのアクセスを制限することが多い。たとえば、経理部用の限定公開情報を格納する経理情報データベースに対して、経理部共通の「部署パスワード」を設定する。このような運用によれば、部署パスワードを知っている社員、いいかえれば、経理部に所属する社員だけが経理情報データベースの限定公開情報にアクセスできる。
【特許文献1】特開2004−213475号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかし、上記運用の場合、ある経理部員が別の部署に配属変更となると、部署パスワードが経理部以外に漏洩する可能性が高くなる。この経理部員が正社員でなく契約社員であれば、部署パスワードが組織外に漏洩する可能性も高くなる。部署パスワードを頻繁に変更すればこのような問題にある程度は対処できるが、他の経理部員にとって負担となる。
【0006】
更に、経理部以外に所属する社員が経理情報データベースにアクセスしたい場合もある。この社員のアクセス範囲・アクセス時間等をコントロールできれば、経理情報データベースへの一時的・限定的なアクセスを許可してもよいかもしれない。しかし、この社員に部署パスワード自体を教えてしまうと、やはり部署パスワードが関係者以外に漏洩するかもしれない。
【0007】
近年、アメリカで成立したSOX(Sarbanes‐Oxley)法は、企業経営者や会計監査人に対して公開情報の正当性を保証するように強く求めている。これに倣って、日本でも日本版SOX法が導入される予定であり、日本版SOX法に対応できる態勢の確立が急務となっている。
【0008】
このような社会背景に鑑みて、本発明者は、業務情報システムへのアクセス、特に、限定公開情報に対する組織構成員からのアクセスに着目し、組織内部における業務情報システムへのアクセス規制を強化する必要があると認識した。特許文献1は、IDとパスワードによるユーザ認証に加えて、管理者によるアクセス承認を条件とするアクセスルールを開示する。このようなアクセスルールは、業務情報システムへの不正アクセスを防止する上で有効な手法であるが、管理者は作業申請に即座に対応する必要があるため負担が大きい。本発明者は、限定公開情報に対する組織内からのアクセスをコントロールする上で、限定公開情報の流出抑制はもちろん重要であるが、限定公開情報へのアクセスにともなうユーザ負荷を抑制することもまた重要であると考える。
【0009】
本発明は、本発明者の上記課題認識に基づいて完成された発明であり、その主たる目的は、業務情報システムにおける情報セキュリティを向上させるための技術、を提供することにある。
【課題を解決するための手段】
【0010】
本発明の別の態様も、複数のサーバ装置の連携により組織業務を管理するための業務情報システムにおいて、クライアント端末からサーバ装置へのリモートアクセスを制御するための業務情報防護装置に関する。
この装置は、リモートアクセスの実行対象となるサーバ装置とリモートアクセスを実行予定のユーザとを示すアクセス申請情報を受信し、サーバ装置ごとのリモートアクセス予定を管理する。リモートアクセス予定に応じて、各ユーザの属するユーザグループを適宜変更する。クライアント端末からのいずれかのサーバ装置へのリモートアクセス要求がなされるとき、サーバ装置へのアクセス権限のあるユーザグループに所属している正規ユーザであることを条件として、サーバ装置へのリモートアクセスを許可する(後述する「ユーザ認証主導型」に対応する)。業務情報防護装置はサーバ装置に対してリモートアクセス要求元ユーザのユーザグループを通知し、サーバ装置は自装置についてあらかじめ設定されているユーザグループに当該ユーザが所属していることを条件としてユーザからのリモートアクセス要求を受け付けてもよい。
【0011】
なお、以上の構成要素の任意の組合せ、本発明を方法、システム、記録媒体、コンピュータプログラムにより表現したものもまた、本発明の態様として有効である。
【発明の効果】
【0012】
本発明によれば、業務情報システムにおける情報セキュリティを向上させることができる。
【発明を実施するための最良の形態】
【0013】
本実施例においては、「ユーザ認証主導型」および「申請判定主導型」という2つの方式について説明する。ユーザ認証主導型を基本として説明するが、申請判定主導型についても適宜補足説明を加えつつ説明する。ユーザ認証主導型ではアクセスを申請しなくても限定公開情報にアクセスできる可能性があるが、申請判定主導型においてはアクセス申請が必須条件となる。ユーザ認証主導型または申請判定主導型のいずれかを採用するとしてもよいし、アクセス対象となるサーバ装置やフォルダごとにいずれかを採用してもよい。
【0014】
図1は、業務情報防護装置100と業務情報システム300との関係を示すハードウェア構成図である。
業務情報システム300は、企業Aの組織業務を管理するシステムである。業務情報システム300は、人事システム310と経理システム312という2種類のシステムを統合する。業務情報システム300は、このほかにも、在庫管理、製品開発などさまざまなシステムを含んでもよい。
人事システム310は、人事情報データベースとしてのサーバ装置320aとサーバ装置320bを含む。サーバ装置320aのデータは、フォルダ(ディレクトリ)324a、324b、324cにより階層化されている。サーバ装置320bのデータは、フォルダ324d、324e、324f、324gにより階層化されている。サーバ装置320aのフォルダ324cは、サーバ装置320bのフォルダ324dにマップ(map)されている。
経理システム312は、経理情報データベースとしてのサーバ装置320cとサーバ装置320dを含む。サーバ装置320cとサーバ装置320dのデータもフォルダ324により階層化されている。また、業務情報システム300は、社内掲示板用ウェブサーバとしてのサーバ装置320eを含む。
【0015】
業務情報システム300と業務情報防護装置100、クライアント端末200a、200b、200cといった複数のクライアント端末200は、イントラネット(intranet)等の企業内ネットワークを介して互いに接続される。クライアント端末200は、ウェブブラウザを搭載した一般的なPC(Personal Computer)端末である。社員(以下、「正規ユーザ」ともよぶ)は、クライアント端末200から業務情報システム300にリモートアクセスする。業務情報システム300や業務情報防護装置100には、1以上の承認用端末322も接続される。承認用端末322も、ウェブブラウザを搭載した一般的なPC端末である。承認用端末322の役割については後述する。
【0016】
正規ユーザは、複数の「ユーザグループ」に分類される。「ユーザグループ」とは、たとえば、人事部や経理部のような所属、正社員や契約社員のような契約形態、課長や部長、取締役のような職位などの観点からユーザの分類したものである。たとえば、ある正規ユーザαは、「人事部」、「契約社員」、「事務職」というユーザグループに属し、別の正規ユーザβは、「営業部」、「正社員」、「部長」というユーザグループに属するかもしれない。
【0017】
人事システム310や経理システム312において、各サーバ装置320が保持するデータは限定公開情報である。サーバ装置320aの限定公開情報にアクセスできるのは「人事部」に所属する正規ユーザだけであるかもしれない。また、サーバ装置320bのフォルダ324eに保持される限定公開情報にアクセスできるのは、「部長以上」であって「人事部」に所属する正規ユーザだけであるかもしれない。各システム、各サーバ装置320、各フォルダ324には、限定公開情報にアクセスできるユーザグループ(以下、「権限グループ」とよぶ)があらかじめ設定されている。さきほどの例であれば、フォルダ324eの限定公開情報についての権限グループは、「部長以上」かつ「人事部」となる。
【0018】
一方、サーバ装置320eが保持するデータは内部公開情報である。したがって、企業Aの社員であれば、すなわち正規ユーザでさえあればサーバ装置320eの内部公開情報へアクセスできる。サーバ装置320eの一部のフォルダ324は、完全公開情報も保持する。この場合、正規ユーザでないユーザであってもサーバ装置320eの完全公開情報にアクセスできる。
業務情報防護装置100は、内部公開情報や限定公開情報に対するクライアント端末200からのリモートアクセス可否を判定するための装置である。以下においては、限定公開情報へのリモートアクセスを中心として説明する。
【0019】
業務情報防護装置100は、ユーザ認証装置120と申請管理装置140を含む。業務情報防護装置100は、ユーザ認証装置120と申請管理装置140の機能を一体として備える単一の装置であってもよいが、本実施例においては、これら2つの装置の集合体であるとして説明する。
【0020】
ユーザは、内部公開情報や限定公開情報にアクセスする上で、まず、クライアント端末200にログインする。このとき、クライアント端末200には、ユーザIDとパスワードが入力される。以下、ユーザIDやパスワードのように、ユーザを識別するためのデータのことを「ユーザ識別情報」とよぶ。クライアント端末200は、ユーザ識別情報をユーザ認証装置120に渡す。クライアント端末200は、申請管理装置140やサーバ装置320を経由してユーザ認証装置120にユーザ識別情報を渡してもよいし、ユーザ認証装置120に直接転送してもよい。
ユーザ認証装置120は、クライアント端末200に代わって、ログイン要求元のユーザが正規ユーザであるか判定する(以下、「ユーザ認証」とよぶ)。
【0021】
限定公開情報の権限グループに所属しているユーザでなければ、限定公開情報にアクセスすることはできない。人事システム310のサーバ装置320aは、「人事部」のユーザであればアクセス可能である。あるユーザがサーバ装置320aをアクセス先として指定するとき、このユーザが人事部に所属していれば、サーバ装置320aへのアクセスは許可される。一方、ユーザが人事部に所属していないときでも、このユーザがサーバ装置320aに対するリモートアクセスを事前に(正しく)申請済みであればアクセスを許可される。申請管理装置140が申請済みか否かを判定する(以下、「申請判定」とよぶ)。ただし、申請判定主導型の場合、たとえユーザが人事部に所属していても、事前の申請が必須となる。
以下においては、限定公開情報Aについての権限グループに属する正規ユーザのことを限定公開情報Aの「権限ユーザ」とよぶ。また、限定公開情報Aに対する権限ユーザ以外の正規ユーザのことを「非権限ユーザ」とよぶ。
ユーザは、クライアント端末200から、業務情報システム300の任意のサーバ装置320、ひいては、任意のフォルダ324にアクセスする。
【0022】
クライアント端末200とサーバ装置320との接続が確立したあと、ログインユーザは、アクセス対象となるフォルダ324を変更できる。このとき、クライアント端末200から該当サーバ装置320に「フォルダ変更要求」が送信される。変更先のフォルダ324が保持する情報が限定公開情報であれば、サーバ装置320は、ログインユーザがその限定公開情報についての権限ユーザであるかを判定する。権限ユーザであれば、フォルダ変更要求を許可する。本来、非権限ユーザであっても、申請管理装置140に事前に正しく申請していれば、フォルダ変更要求が許可される。ただし、申請判定主導型の場合、権限ユーザであっても、事前の申請が必須となる。
【0023】
以上をまとめると、
1.内部公開情報に対しては、ユーザ認証によりアクセス権を判定する。
2.限定公開情報に対しては、
2−1.ユーザ認証主導型の場合、権限ユーザであれば、申請判定の判定結果に関わらずアクセス可能である。通常は、申請判定自体を実行しない。一方、本来的に非権限ユーザであっても、事前の申請により暫定的に権限ユーザとなって限定公開情報にアクセスすることができる。
2−2.申請判定主導型の場合、権限ユーザであろうとも、事前の申請がなされていなければアクセスは不可能である。
【0024】
内部公開情報や限定公開情報は、サーバ装置320やフォルダ324を単位として管理できる。限定公開情報を保持するサーバ装置320やフォルダ324は、権限グループについての情報を保持する。サーバ装置320aは、人事システム310についての権限グループ情報、サーバ装置320aについての権限グループ情報を保持する。また、サーバ装置320aのフォルダ324bは、フォルダ324bの権限グループ情報を保持する。同様にして、サーバ装置320bはサーバ装置320bの権限グループ情報を保持する。
【0025】
なお、所定の限定公開情報については権限グループを設定しなくてもよい。たとえば、サーバ装置320bのフォルダ324gの限定公開情報Bには権限グループが設定されていない。正規ユーザがどのようなユーザグループに所属していようとも、この限定公開情報Bにアクセスするために必ずアクセス申請しなければならない。すなわち、限定公開情報Bについては、すべての正規ユーザは非権限ユーザとなる。特に機密性の高い限定公開情報については、このような設定方法も有効である。これは事実上、申請判定主導型によるセキュリティ管理と同様の効果を発揮することになる。
ユーザ認証主導型によるリモートアクセスの手続きの流れについては図9に関連して詳述する。また、申請判定主導型によるリモートアクセスの手続きの流れについては図10に関連して詳述する。
【0026】
図2は、業務情報防護装置100の機能ブロック図である。
ここに示す各ブロックは、ハードウェア的には、コンピュータのCPUをはじめとする素子や機械装置で実現でき、ソフトウェア的にはコンピュータプログラム等によって実現されるが、ここでは、それらの連携によって実現される機能ブロックを描いている。したがって、これらの機能ブロックはハードウェア、ソフトウェアの組合せによっていろいろなかたちで実現できることは、当業者には理解されるところである。ここでは、各部の機能を中心として説明し、それらの連携、データ構造、作用については、図3以降に関連して詳述する。
【0027】
本実施例における業務情報防護装置100は、互いに通信回線で接続されたユーザ認証装置120と申請管理装置140を含む。
【0028】
ユーザは、業務情報システム300へアクセスする前に、まず、クライアント端末200にログインする。このとき、クライアント端末200にはユーザIDとパスワードが入力される。本実施例においては、このユーザIDとパスワードは、ユーザ認証装置120によるユーザ認証や申請管理装置140による申請判定のために転送される。
【0029】
A:ユーザ認証装置120
ユーザ認証装置120は、ユーザ認証部122と正規ユーザ情報保持部124を含む。正規ユーザ情報保持部124は、ユーザIDとパスワード、ユーザグループを対応づけた正規ユーザ情報を保持する。この正規ユーザ情報に登録されているユーザが「正規ユーザ」となる。ユーザがクライアント端末200にログインするとき、クライアント端末200はユーザ認証部122にユーザ識別情報を送信する。ユーザ認証部122は、このユーザ識別情報と正規ユーザ情報を比較することによりユーザ認証を行う。ユーザ認証部122は、クライアント端末200のユーザだけでなく承認用端末322のユーザについてもユーザ認証を実行する。
【0030】
本実施例におけるユーザ認証装置120は単一の装置であり、正規ユーザ情報を一元的に管理する。複数のシステムについてのユーザ認証を単一のユーザ認証装置120にて実行することにより、ユーザ認証ポリシー(policy)を一元的に管理できる。
【0031】
B:申請管理装置140
申請管理装置140は、申請状態管理部142、申請状態判定部144、アクセスインタフェース処理部146、ユーザグループ変更部182、実行条件保持部150およびアクセス予定保持部152を含む。
【0032】
実行条件保持部150は、非権限ユーザについてのアクセスルールを示す実行条件情報を保持する。リモートアクセスの目的は複数の種別(以下、単に「アクセス種別」とよぶ)に分類される。アクセス種別として、データを閲覧するだけの「データ参照」、新たなデータを登録するための「データ追加」、既存のデータを書き換えるための「データ変更」、ソフトウェアインストールなどの「リリース作業」などが挙げられる。ユーザ認証主導型の場合、権限ユーザは事前のアクセス申請をしなくても限定公開情報にアクセスできるが、非権限ユーザはアクセス日時、アクセス種別等を明示した「アクセス申請情報」を業務情報防護装置100に送信することにより、アクセス予定を事前に申請しておかなければならない。後述の登録判定部162は、実行条件情報を参照して、このアクセス申請情報の適否をチェックする。
【0033】
たとえば、サーバ装置320aの権限グループが「人事部」であるとき、情報技術部のユーザがこのサーバ装置320aに新しいソフトウェアをインストールしたいとする。このユーザは、サーバ装置320aについては非権限ユーザである。ここで、サーバ装置320aの管理責任者は、サーバ装置320aへの「リリース作業」が2月1日にのみ実行可能である旨を実行条件情報に登録したとする。
【0034】
非権限ユーザが1月30日を予定日としてサーバ装置320aへの「リリース作業」を申請しても、アクセスルールに適合しないためこの申請は自動的に却下される。このように、サーバ装置320aの管理責任者は、サーバ装置320aに対する非権限ユーザのアクセスルールを実行条件情報としてあらかじめ登録しておくことができる。
更に、承認権限のある特別なユーザ(以下、単に「承認者」とよぶ)によって申請が承認されなければならない旨を実行条件情報に登録することもできる。実行条件情報のデータ構造については、次の図3に関連して更に詳述する。
【0035】
申請状態管理部142は、アクセス申請に関する処理を全般的に担当する。申請状態管理部142は、アクセス申請部156、アクセス承認部158、申請通知部160および登録判定部162を含む。
【0036】
アクセス申請部156は、アクセス申請情報を受信する。アクセス申請情報は、後の図4に示す申請画面220において入力されるデータの集合である。後の図4では、入力データとして、アクセスの目的、日時、件名、アクセス対象となるサーバ名などが示されるが、このほかにも、申請者のメールアドレスなどさまざまな情報が含まれてもよい。更に、申請日時や申請者のIPアドレスなど、入力されたデータ以外の付帯情報が含まれてもよい。登録判定部162は、アクセス申請情報が実行条件情報と適合するか判定する。先ほどの例でいえば、2月1日以外を対象としてサーバ装置320aに対するリリース作業が申請された場合、登録判定部162はこの申請を却下し、その旨を非権限ユーザに通知する。申請内容が実行条件情報と適合していれば、登録判定部162はアクセス予定保持部152のアクセス予定情報に、申請を登録する。アクセス予定情報に登録されたアクセス申請のことを「有効なアクセス申請」とよぶ。アクセス予定情報の内容は、アクセス申請情報の内容と実質的に同等であってよい。すなわち、受信されたアクセス申請情報のうち、有効なアクセス申請としての要件を満たすアクセス申請情報だけがアクセス予定情報として正式登録される。登録判定部162は、有効なアクセス申請がなされると、リモートアクセス予定を一意に識別するためのアクセスIDを付与する。アクセス予定情報では、アクセスID、アクセス予定日時、アクセス内容、ユーザ名、承認状態等が対応づけられる。
【0037】
申請通知部160は、アクセス申請情報が登録されると、その申請内容が承認を必要とするものであるか否かを実行条件情報を参照して判定する。申請通知部160は、承認が必要なアクセス申請情報について、そのアクセスIDを承認者に通知する。本実施例における申請通知部160は、アクセスIDを示す電子メールを承認用端末322に送信する。承認者は、アクセスIDに基づいて申請管理装置140にアクセスし、承認可否を入力する。アクセス承認部158は、承認可否を承認用端末322から受信する。このときのユーザインタフェースに関しては図5に関連して後述する。
【0038】
アクセス承認部158は、承認がなされると、アクセス予定情報における承認状態を「未承認」から「承認」に変更する。却下の場合には、アクセス承認部158はユーザに申請却下の旨を通知すると共に、アクセス予定情報から該当申請を抹消する。また、登録判定部162は、アクセス予定情報のうち、アクセス予定日時を経過した申請や、すでに完了した申請を適宜抹消する。
【0039】
申請状態判定部144は申請判定を実行する。ここで、ユーザ認証主導型と申請判定主導型について簡単に説明しておく。
【0040】
1:ユーザ認証主導型
リモートログインに際し、クライアント端末200はユーザ識別情報をサーバ装置320に送信する。サーバ装置320はユーザ識別情報をユーザ認証装置120に送信し、ユーザ認証装置120はユーザ認証を実行する。ここで、ログイン要求元のユーザが正規ユーザであれば、ユーザの所属するユーザグループをサーバ装置320に通知する。サーバ装置320についての権限ユーザであれば、サーバ装置320はアクセスを許可し、クライアント端末200との通信経路を確立する。
【0041】
申請管理装置140のユーザグループ変更部182は、アクセス予定情報に基づいて、適宜、ユーザ認証装置120の正規ユーザ情報を更新する。たとえば、情報技術部のユーザAが、「2月1日から2月2日」を対象として、人事システム310へのアクセス予定を有効に申請している状況を想定する。本来、ユーザAは、人事システム310のサーバ装置320aに関する権限ユーザではないが、申請された「2月1日から2月2日」に限って一時的にアクセス権限を付与される。
ユーザグループ変更部182は、2月1日に至るとユーザAのユーザグループとして一時的に「人事部」と登録する。そして、2月2日が終わるとき、ユーザAのユーザグループから「人事部」を抹消する。いわば、ユーザAは申請期間に限って暫定的に人事部に所属することになる。
【0042】
このようにして申請管理装置140は、適宜、正規ユーザ情報保持部124を更新することになる。このため、リモートアクセス実行時において、ユーザ認証装置120は、ユーザ識別情報に基づいて、事実上、ユーザ認証と申請判定をまとめて実行できることになる。リモートログインに限らず、フォルダ変更要求についても同様のアルゴリズムにてユーザ認証主導型によるアクセス制御が可能である。
【0043】
2:申請判定主導型
この申請判定主導型においては、有効なアクセス申請がなされていなければ業務情報システム300へのアクセスを許可しない。このため、特に情報セキュリティを重視する場合に好ましい処理モデルである。
リモートログインに際し、クライアント端末200はユーザ識別情報をサーバ装置320に送信する。サーバ装置320はユーザ識別情報を申請管理装置140に送信する。ここで、申請管理装置140はユーザ識別情報に含まれるユーザIDを取得し、当該ユーザが有効にアクセス申請済みであるか判定する。有効なアクセス申請がなされていなければ、ユーザ認証を実行することなくアクセスは拒否される。
【0044】
有効にアクセス申請済みであれば、申請管理装置140はユーザ識別情報をユーザ認証装置120に転送する。ユーザ認証装置120はここでユーザIDとパスワードをチェックしてユーザ認証を実行する。ログイン要求元のユーザが正規ユーザであれば、ユーザ認証装置120はアクセス許可通知をサーバ装置320に通知する。サーバ装置320は、アクセス許可通知を受信したことを条件として、クライアント端末200との通信経路を確立する。
【0045】
すなわち、申請管理装置140は、アクセス予定情報に基づいて、有効にアクセス申請していないユーザのアクセスをユーザ認証の前段階にて排除する。リモートログインに限らず、フォルダ変更要求についても同様のアルゴリズムにて申請判定主導型によるアクセス制御が可能である。詳細については図10に関連して後述する。
【0046】
1.ユーザ認証主導型の場合、申請状態判定部144は、ユーザ識別情報とアクセス予定情報を定期的に参照して、アクセス申請済か否か、必要であれば、更に承認済みか否かを判定する。
2.申請判定主導型の場合においては、申請状態判定部144は、リモートアクセス要求日時が、申請されたアクセス予定時間内にあるかについても判定する。たとえば、ある非権限ユーザαが「2月1日」というアクセス予定日時を指定してサーバ装置320aへのアクセス申請をしている場合、1月31日以前や2月2日以後にサーバ装置320aにリモートアクセス要求をしても申請判定の結果は「否定」となり、リモートアクセスは許可されない。一方、非権限ユーザAが「2月1日」というアクセス予定日時においてサーバ装置320aにリモートアクセス要求してきたときには、申請判定の結果は「肯定」となり、アクセスインタフェース処理部146はアクセスを許可する。
もちろん、承認が必要なアクセスが申請されているときには、承認済みでなければアクセス許可されない。アクセスインタフェース処理部146は、サーバ装置320やフォルダ324へのアクセス可否判定を統括的に制御する。
【0047】
本実施例における申請管理装置140は単一の装置であり、申請判定を一元的に実行する。複数システムに関する申請判定を単一の申請管理装置140にて実行することにより、実行条件情報やアクセス予定情報を一元的に管理できる。
【0048】
図3は、実行条件保持部150における実行条件情報のデータ構造図である。
実行条件情報は、各サーバ装置320やフォルダ324の管理責任者により定められたアクセスルールを示す。ルールID欄164は、アクセスルールを一意に識別するためのID(以下、「ルールID」とよぶ)を示す。アクセスルールが登録されると、ルールIDが割り当てられる。対象領域欄166は、アクセスルールの適用対象となるサーバ装置320やフォルダ324を示す。日時欄168は、アクセスルールの適用日時を示す。アクセス種別欄170は、アクセスルールが適用されるアクセス種別を示す。承認要否欄172は、該当アクセスの実行をするために承認が必要か否かを示す。たとえば、ルールID「1」のアクセスルールは、「サーバID:06」のサーバ装置320(以下、「サーバ装置320(06)」と表記する)における「フォルダID:24」のフォルダ324(以下、「フォルダ324(24)」と表記する)に保持される限定公開情報に関し、「6:00〜16:00」の時間帯について適用される。
【0049】
すなわち、サーバ装置320(06)のフォルダ324(24)に非権限ユーザがアクセスする場合、「6:00〜16:00」という時間帯に限って、「データ参照」か「データ追加」というアクセス種別にて事前申請をしていればアクセスが許可される。承認は不要であり、正しく申請さえしていればよい。しかし、「データ変更」を目的として申請をしても却下されることになる。また、この時間帯以外のアクセスは許可されない。
【0050】
一方、サーバ装置320(08)に非権限ユーザがアクセスする場合、「6:00〜16:00」という時間帯に限って、「データ変更」か「リリース作業」というアクセス種別にて事前申請をし、かつ、承認を得られればアクセスが許可される。
【0051】
図4は、申請画面220を示す画面図である。
ユーザがアクセス申請のために申請管理装置140にアクセスすると、アクセス申請部156はクライアント端末200に同図に示す申請画面220を表示させる。申請画面220は、クライアント端末200にウェブページとして表示される画面である。
【0052】
申請者名領域222には、申請者名を入力する。申請者は、自分以外が作業をするときには、実際に作業を実行する予定のユーザ名を入力する。件名領域224には、申請する作業の件名を入力する。システム分類領域226からは、対象システムのタイプが選択される。ここでは、経理システム312が選択されている。サーバ指定領域227はアクセス対象となるサーバ装置320のサーバID、フォルダ指定領域228はアクセス対象となるフォルダ324のフォルダIDを示す。サーバ指定領域227やフォルダ指定領域228においては複数のサーバ装置320や複数のフォルダ324を指定してもよい。
【0053】
アクセス種別領域230はアクセス種別を示す。内容入力領域232は、作業内容などを自由記述するための領域である。アクセス予定日時領域234は、アクセス予定日時を示す。申請者は、申請画面220に示される各項目にデータを入力した後、申請ボタン236をクリックする。すると、入力されたデータがアクセス申請情報として申請管理装置140に送信される。
【0054】
図5は、承認画面260を示す画面図である。
承認が必要なアクセス申請がなされた場合、申請通知部160はアクセスIDを承認用端末322に通知する。承認者が、アクセスIDを指定して申請管理装置140にアクセスすると、アクセス承認部158は承認用端末322に同図に示す承認画面260を表示させる。承認画面260も、承認用端末322にウェブページとして表示される。
【0055】
申請情報領域262は、申請画面220に入力された申請内容を示す。承認者名領域264は、承認者名を入力する領域である。承認依頼者名領域266は、承認を依頼したユーザ名を入力するための領域である。たとえば、承認権限のあるユーザBが、ユーザCに承認を依頼したときには、ユーザCはユーザBに代理して承認判断を行う。これは、ユーザBの休暇中など、特殊な状況に対応するための措置である。通信欄268は、申請者に対するメッセージを記述する欄である。申請却下の理由を記述したり、申請承認するときには作業内容に条件や注文をつけるための記述がなされてもよい。承認ボタン270は承認用、却下ボタン272は却下用のボタンである。承認ボタン270から却下ボタン272のいずれかがクリックされると、入力内容と承認可否を示すデータが申請管理装置140に送信される。アクセス承認部158は、このデータをクライアント端末200に、たとえば、電子メールにより送信する。
【0056】
図6は、リモートログインに成功した後、クライアント端末200から人事システム310にアクセスするときのアクセス画面294を示す。
クライアント端末200から人事システム310への接続が確立すると、人事システム310のフォルダ構造を示すアクセス画面294がクライアント端末200に表示される。同図に示すように、サーバ装置320aとサーバ装置320bの各フォルダ324が階層化されて画面表示される。ユーザは、アクセス先となるフォルダ324を選択する。このとき、クライアント端末200から該当サーバ装置320にフォルダ変更要求が送信される。ユーザ認証主導型の場合、該当サーバ装置320は、ユーザが変更先のフォルダ324についての権限ユーザであるかを判定する。
【0057】
図7は、アクセス申請処理の過程を示すシーケンス図である。
アクセス申請時においては、クライアント端末200のユーザは、ユーザ識別情報を送信して、直接、申請管理装置140にアクセスする(S10)。申請管理装置140は、ユーザ識別情報をユーザ認証装置120に転送する(S12)。ユーザ認証装置120のユーザ認証部122は、ユーザ認証を実行する(S14)。ユーザ認証に失敗すれば、以降の処理は実行されない。ここでは、ユーザ認証が成功したものとして説明を続ける。
【0058】
ユーザ認証装置120は、ユーザ認証の結果、すなわち、認証成功の旨を申請管理装置140に通知する(S16)。申請管理装置140のアクセス申請部156は、申請画面220のためのHTML(Hyper Text Markup Language)データを送信し(S18)、クライアント端末200は、申請画面220を表示させる(S20)。ユーザは、申請画面220にデータを入力し、申請ボタン236をクリックすると(S22)、入力されたデータがアクセス申請情報として申請管理装置140に送信される(S24)。
【0059】
申請管理装置140の登録判定部162は、申請内容と実行条件情報を比較し、登録可否を判定する(S26)。有効なアクセス申請でなければ、登録判定部162は申請を却下した上で、クライアント端末200に却下通知し、以降の処理は実行されない。ここでは、有効なアクセス申請であったとして説明を続ける。
登録判定部162は、申請をアクセス予定保持部152のアクセス予定情報に登録する(S28)。このときアクセスIDが付与される。承認が必要であれば、申請通知部160は承認を求める旨の電子メールを承認用端末322に送信する(S30)。
【0060】
図8は、アクセス承認処理の過程を示すシーケンス図である。
承認用端末322が図7のS30において電子メールを受け取ったあと、承認者は任意のタイミングにて、自己のユーザ識別情報と共に申請管理装置140にアクセスする(S32)。承認者はアクセスIDも指定する。
【0061】
申請管理装置140は、承認者のユーザ識別情報をユーザ認証装置120に転送する(S34)。ユーザ認証装置120のユーザ認証部122は、正規ユーザ情報を参照してユーザ認証を行う(S36)。このユーザ認証では、正規ユーザであるだけでなく、「承認権限者」として登録されているかも判定される。ユーザ認証に失敗すれば、以降の処理は実行されない。ここでは、ユーザ認証が成功したものとして説明を続ける。
【0062】
ユーザ認証装置120は、ユーザ認証の結果を示すデータ、ここでは認証成功の旨を示すデータを申請管理装置140に通知する(S38)。申請管理装置140のアクセス承認部158は、承認画面260のためのHTMLデータを送信し(S40)、承認用端末322は、承認画面260を表示させる(S42)。ユーザは、承認画面260にデータを入力し、承認ボタン270または却下ボタン272をクリックすると(S44)、入力されたデータが申請管理装置140に送信される(S46)。
【0063】
申請管理装置140のアクセス承認部158は、承認可否に応じてアクセス予定保持部152のアクセス予定情報を更新する(S48)。アクセス承認部158は、クライアント端末200に承認可否を通知する(S50)。
以上の処理により、有効に申請されたアクセスについて承認がなされる。なお、承認者が、申請管理装置140にアクセスすると、申請管理装置140は承認待ちのアクセス申請を一覧表示させ、承認者はその中から承認対象となるアクセス申請を選択するというユーザインタフェースであってもよい。
【0064】
図9は、ユーザ認証主導型において、クライアント端末200からサーバ装置320へのリモートアクセス実行過程を示すシーケンス図である。
ユーザが人事システム310へアクセスする場合について説明する。このとき、クライアント端末200から、人事システム310の入口であるサーバ装置320aに対して、リモートアクセス要求が送信される(S100)。このとき、ユーザ識別情報もサーバ装置320aに送信される。サーバ装置320aは、このユーザの権限グループをユーザ認証装置120に問い合わせる(S102)。申請管理装置140はユーザ認証装置120の正規ユーザ情報保持部124をアクセス予定情報に基づいて定期的に更新している。ユーザ認証装置120は、権限グループの判定の前に、まず、ユーザ識別情報に基づいて、ユーザ認証を実行する(S104)。ユーザ認証に失敗すると、人事システム310のアクセスは許可されないが、ここでは成功したものとして説明を続ける。次に、ユーザ認証装置120は、ログインユーザの権限グループを正規ユーザ情報保持部124を参照して特定し(S106)、サーバ装置320に通知する(S108)。ここでいう権限グループは、アクセス元のユーザの本来の権限グループかもしれないし、申請により暫定的に所属している権限グループかもしれない。サーバ装置320aは、この権限グループを参照して、ユーザがサーバ装置320aにアクセス可能な権限ユーザであれば(S110のY)、アクセス画面294の画面データをクライアント端末200に送信する(S112)。権限ユーザでなければ(S110のN)、アクセスは許可されない。
【0065】
アクセス画面294において、ユーザがアクセス対象となるフォルダ324を変更するときも同様である。たとえば、アクセス対象となるフォルダ324をサーバ装置320aのフォルダ324aからサーバ装置320bのフォルダ324fに変更するとする。ユーザがアクセス画面294において、アクセス先フォルダを変更すると、クライアント端末200はサーバ装置320bにフォルダ変更要求を送信する。サーバ装置320は、このユーザがフォルダ324fについての権限ユーザであるかを判定する。権限ユーザであれば、クライアント端末200からフォルダ324fへのアクセスを許可する。
【0066】
図10は、申請判定主導型において、クライアント端末200からサーバ装置320へのリモートアクセス実行過程を示すシーケンス図である。
ここでも、ユーザが人事システム310へアクセスする場合について説明する。クライアント端末200から、人事システム310の入口であるサーバ装置320aに対して、リモートアクセス要求が送信される(S120)。ユーザ識別情報もサーバ装置320aに送信される。サーバ装置320aは、このユーザが事前に有効な申請をしているかを申請管理装置140に問い合わせる(S122)。申請済みでなければ(S124のN)、申請管理装置140はアクセス拒否通知をサーバ装置320に送信し(S126)、アクセスは失敗する。当該時間帯について有効に申請済みであれば(S124のY)、申請管理装置140はユーザ認証装置120に対してユーザ認証を依頼する(S124)。ユーザ認証装置120は、ユーザ識別情報に基づいて、ユーザ認証を実行する(S126)。すなわち、ユーザIDとパスワードがマッチしているかを判定する。ユーザ認証装置120は、ユーザ認証の結果をサーバ装置320に送信する(S128)。ユーザ認証に成功していれば、サーバ装置320は、アクセス画面294の画面データをクライアント端末200に送信する(S130)。
なお、変形例として、申請済みでなければ(S124のN)、申請管理装置140はサーバ装置320にアクセス拒否通知を明示的に送信せず、ユーザ認証装置120へのユーザ認証も依頼しないとしてもよい。すなわち、申請済みでなければ、申請管理装置140において一連のプロセスが中断されることになる。サーバ装置320は、申請管理装置140への問い合わせ後(S122)、所定時間が経過しても、ユーザ認証装置120からユーザ認証の結果が返ってこなければ、リモートアクセスを拒否されたものとして判定してもよい。
【0067】
図11は、ユーザグループ変更処理の過程を示すシーケンス図である。
ユーザ認証主導型と申請判定主導型のいずれの場合であっても、業務情報防護装置100は、各正規ユーザのユーザグループを定期的に変更することができる。たとえば、2007年を契約期間として人事部に派遣される契約社員の場合、人事システム310の限定公開情報にアクセスできるのは2007年だけである。また、2007年3月31日までは経理部に所属し、4月1日からは人事部へ配属になることが決まっている社員の場合、4月1日からユーザグループが変更となる。このように、正規ユーザのユーザグループ変更が組織のスケジュールとして確定していることも多い。ユーザグループ変更部182は、このような正規ユーザのユーザグループを変更するための条件として「グループ変更条件」を保持している。
申請管理装置140のユーザグループ変更部182は、同図に示すS80、S82、S84の処理を定期的に繰り返す。このループ処理の開始タイミングは、所定時間、たとえば、毎日午前6時00分のように設定される。
【0068】
ループ処理の開始タイミングに至ると、申請管理装置140のユーザグループ変更部182は、グループ変更条件を読み出し(S80)、ユーザグループを変更させるべき正規ユーザが存在するか判定する(S82)。ユーザグループ変更部182は、ユーザグループを変更すべきユーザが存在すれば(S82のY)、その正規ユーザのユーザ識別情報と変更後のユーザグループをユーザ認証装置120に通知する(S84)。ユーザ認証装置120は、正規ユーザ情報を更新する(S86)。このようなループ処理により、正規ユーザ情報は定期的に更新される。
【0069】
以上、本実施例に示した業務情報防護装置100によれば、限定公開情報に対するアクセス権をユーザ認証と申請判定により判定するため、不正アクセスを防止しやすい構成となっている。権限ユーザは、クライアント端末200にログインするだけで限定公開情報にアクセスできる。このため、部署パスワードの設定にともなう煩わしさが回避される。一方、非権限ユーザであっても、アクセス予定を事前に申請することにより限定公開情報にアクセスできる。申請判定主導型の場合、アクセス予定を事前に申請しなければ限定にアクセスできないため、よりセキュリティが強固となる。
更に、実行条件情報の設定や承認可否判定により、非権限ユーザの限定公開情報へのアクセス権を一時的・限定的に制御しやすくなっている。システムやサーバ装置320単位だけでなく、フォルダ324単位でアクセス権をコントロールできるため、限定公開情報の重要度に応じて、セキュリティを精緻かつ簡易に制御できる。グループ変更条件によりユーザグループを自動的に管理することにより、組織変更時においてもユーザに負担をかけることなく情報セキュリティを保つことができる。
このような特徴により、業務情報防護装置100は、SOX法が求める「内部統制の強化」に資する。
【0070】
通常、リモートアクセス作業は、あらかじめ実行スケジュールが確定していることが多い。本実施例の業務情報防護装置100によれば、事前のアクセス申請と任意のタイミングでの承認という運用により、ユーザおよび承認者に過度の心理的負担をかけないかたちで業務情報システム300のセキュリティ管理を実現できる。
【0071】
なお、業務情報システム300の各サーバ装置320は、自装置に対するクライアント端末200からのアクセス内容を業務情報防護装置100に通知してもよい。そして、業務情報防護装置100は、実際のアクセス内容を示すアクセスログとして記録してもよい。このような態様によれば、業務情報防護装置100は、申請されたアクセス内容と、実際のアクセス内容に齟齬が発生していないかをチェックできる。このため、アクセス許可されたあとも、事後的に不正アクセスが発生していないかをチェックできる。
【0072】
また、業務情報防護装置100は、複数のシステムに対するアクセスを一元管理できる。そのため、複数のシステムに対して統一的なアクセスポリシーを適用しやすくなっている。更に、既に運用されている業務情報システム300に対して、業務情報防護装置100を追加するだけで実現できるというメリットもある。
【0073】
以上、本発明を実施例をもとに説明した。実施の形態は例示であり、それらの各構成要素や各処理プロセスの組合せにいろいろな変形例が可能なこと、またそうした変形例も本発明の範囲にあることは当業者に理解されるところである。
【0074】
請求項に記載のアクセス申請受信部の機能は、本実施例においては主としてアクセス申請部156により実現される。請求項に記載のユーザ条件設定部とユーザグループ変更部の機能は、本実施例においては主としてユーザグループ変更部182により実現される。
このほかにも、請求項に記載の各構成要件が果たすべき機能は、本実施例において示された各機能ブロックの単体もしくはそれらの連係によって実現されることも当業者には理解されるところである。
【図面の簡単な説明】
【0075】
【図1】業務情報防護装置と業務情報システムとの関係を示すハードウェア構成図である。
【図2】業務情報防護装置の機能ブロック図である。
【図3】実行条件保持部における実行条件情報のデータ構造図である。
【図4】申請画面を示す画面図である。
【図5】承認画面を示す画面図である。
【図6】リモートログインに成功した後、クライアント端末から人事システムにアクセスするときのアクセス画面を示す図である。
【図7】アクセス申請処理の過程を示すシーケンス図である。
【図8】アクセス承認処理の過程を示すシーケンス図である。
【図9】ユーザ認証主導型において、クライアント端末からサーバ装置へのリモートアクセス実行過程を示すシーケンス図である。
【図10】申請判定主導型において、クライアント端末からサーバ装置へのリモートアクセス実行過程を示すシーケンス図である。
【図11】ユーザグループ変更処理の過程を示すシーケンス図である。
【符号の説明】
【0076】
100 業務情報防護装置、 120 ユーザ認証装置、 122 ユーザ認証部、 124 正規ユーザ情報保持部、 140 申請管理装置、 142 申請状態管理部、 144 申請状態判定部、 146 アクセスインタフェース処理部、 150 実行条件保持部、 152 アクセス予定保持部、 156 アクセス申請部、 158 アクセス承認部、 160 申請通知部、 162 登録判定部、 182 ユーザグループ変更部、 200 クライアント端末、 300 業務情報システム、 310 人事システム、 312 経理システム、 320 サーバ装置、 322 承認用端末、 324 フォルダ。
【技術分野】
【0001】
この発明は、組織業務を管理するための業務情報システムに関連し、特に、業務情報システムの情報セキュリティを向上させるための技術、に関する。
【背景技術】
【0002】
企業や公共施設などの運用を支える業務情報システム、いわゆるエンタープライズシステム(Enterprise System)は、今や、大小さまざまな組織の基盤となっている。業務情報システムは、クライアント端末やデータベースから得られるデータを集計、蓄積、解析、加工した上でより付加価値の高い情報を出力することにより、複雑化する組織マネジメントを支えている。
【0003】
業務情報システムが取り扱う情報(以下、「組織情報」とよぶ)は、以下の3種類に大別できる。
1.外部公開情報:組織内のみならず組織外にも公開可能な組織情報。たとえば、IR(Investor Relations)情報やプレスリリース情報が該当する。
2.内部公開情報:組織内において公開されるが、組織外には非公開となる組織情報。たとえば、社内掲示板の情報が該当する。
3.限定公開情報:特殊な内部公開情報であり、一部の組織構成員にのみ公開される情報。たとえば、取引先リスク評価情報は、通常、経理部や所定職位以上の社員のみがアクセスできる限定公開情報である。
【0004】
一般的な業務情報システムは、パスワードなどのユーザ認証により、限定公開情報へのアクセスを制限することが多い。たとえば、経理部用の限定公開情報を格納する経理情報データベースに対して、経理部共通の「部署パスワード」を設定する。このような運用によれば、部署パスワードを知っている社員、いいかえれば、経理部に所属する社員だけが経理情報データベースの限定公開情報にアクセスできる。
【特許文献1】特開2004−213475号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかし、上記運用の場合、ある経理部員が別の部署に配属変更となると、部署パスワードが経理部以外に漏洩する可能性が高くなる。この経理部員が正社員でなく契約社員であれば、部署パスワードが組織外に漏洩する可能性も高くなる。部署パスワードを頻繁に変更すればこのような問題にある程度は対処できるが、他の経理部員にとって負担となる。
【0006】
更に、経理部以外に所属する社員が経理情報データベースにアクセスしたい場合もある。この社員のアクセス範囲・アクセス時間等をコントロールできれば、経理情報データベースへの一時的・限定的なアクセスを許可してもよいかもしれない。しかし、この社員に部署パスワード自体を教えてしまうと、やはり部署パスワードが関係者以外に漏洩するかもしれない。
【0007】
近年、アメリカで成立したSOX(Sarbanes‐Oxley)法は、企業経営者や会計監査人に対して公開情報の正当性を保証するように強く求めている。これに倣って、日本でも日本版SOX法が導入される予定であり、日本版SOX法に対応できる態勢の確立が急務となっている。
【0008】
このような社会背景に鑑みて、本発明者は、業務情報システムへのアクセス、特に、限定公開情報に対する組織構成員からのアクセスに着目し、組織内部における業務情報システムへのアクセス規制を強化する必要があると認識した。特許文献1は、IDとパスワードによるユーザ認証に加えて、管理者によるアクセス承認を条件とするアクセスルールを開示する。このようなアクセスルールは、業務情報システムへの不正アクセスを防止する上で有効な手法であるが、管理者は作業申請に即座に対応する必要があるため負担が大きい。本発明者は、限定公開情報に対する組織内からのアクセスをコントロールする上で、限定公開情報の流出抑制はもちろん重要であるが、限定公開情報へのアクセスにともなうユーザ負荷を抑制することもまた重要であると考える。
【0009】
本発明は、本発明者の上記課題認識に基づいて完成された発明であり、その主たる目的は、業務情報システムにおける情報セキュリティを向上させるための技術、を提供することにある。
【課題を解決するための手段】
【0010】
本発明の別の態様も、複数のサーバ装置の連携により組織業務を管理するための業務情報システムにおいて、クライアント端末からサーバ装置へのリモートアクセスを制御するための業務情報防護装置に関する。
この装置は、リモートアクセスの実行対象となるサーバ装置とリモートアクセスを実行予定のユーザとを示すアクセス申請情報を受信し、サーバ装置ごとのリモートアクセス予定を管理する。リモートアクセス予定に応じて、各ユーザの属するユーザグループを適宜変更する。クライアント端末からのいずれかのサーバ装置へのリモートアクセス要求がなされるとき、サーバ装置へのアクセス権限のあるユーザグループに所属している正規ユーザであることを条件として、サーバ装置へのリモートアクセスを許可する(後述する「ユーザ認証主導型」に対応する)。業務情報防護装置はサーバ装置に対してリモートアクセス要求元ユーザのユーザグループを通知し、サーバ装置は自装置についてあらかじめ設定されているユーザグループに当該ユーザが所属していることを条件としてユーザからのリモートアクセス要求を受け付けてもよい。
【0011】
なお、以上の構成要素の任意の組合せ、本発明を方法、システム、記録媒体、コンピュータプログラムにより表現したものもまた、本発明の態様として有効である。
【発明の効果】
【0012】
本発明によれば、業務情報システムにおける情報セキュリティを向上させることができる。
【発明を実施するための最良の形態】
【0013】
本実施例においては、「ユーザ認証主導型」および「申請判定主導型」という2つの方式について説明する。ユーザ認証主導型を基本として説明するが、申請判定主導型についても適宜補足説明を加えつつ説明する。ユーザ認証主導型ではアクセスを申請しなくても限定公開情報にアクセスできる可能性があるが、申請判定主導型においてはアクセス申請が必須条件となる。ユーザ認証主導型または申請判定主導型のいずれかを採用するとしてもよいし、アクセス対象となるサーバ装置やフォルダごとにいずれかを採用してもよい。
【0014】
図1は、業務情報防護装置100と業務情報システム300との関係を示すハードウェア構成図である。
業務情報システム300は、企業Aの組織業務を管理するシステムである。業務情報システム300は、人事システム310と経理システム312という2種類のシステムを統合する。業務情報システム300は、このほかにも、在庫管理、製品開発などさまざまなシステムを含んでもよい。
人事システム310は、人事情報データベースとしてのサーバ装置320aとサーバ装置320bを含む。サーバ装置320aのデータは、フォルダ(ディレクトリ)324a、324b、324cにより階層化されている。サーバ装置320bのデータは、フォルダ324d、324e、324f、324gにより階層化されている。サーバ装置320aのフォルダ324cは、サーバ装置320bのフォルダ324dにマップ(map)されている。
経理システム312は、経理情報データベースとしてのサーバ装置320cとサーバ装置320dを含む。サーバ装置320cとサーバ装置320dのデータもフォルダ324により階層化されている。また、業務情報システム300は、社内掲示板用ウェブサーバとしてのサーバ装置320eを含む。
【0015】
業務情報システム300と業務情報防護装置100、クライアント端末200a、200b、200cといった複数のクライアント端末200は、イントラネット(intranet)等の企業内ネットワークを介して互いに接続される。クライアント端末200は、ウェブブラウザを搭載した一般的なPC(Personal Computer)端末である。社員(以下、「正規ユーザ」ともよぶ)は、クライアント端末200から業務情報システム300にリモートアクセスする。業務情報システム300や業務情報防護装置100には、1以上の承認用端末322も接続される。承認用端末322も、ウェブブラウザを搭載した一般的なPC端末である。承認用端末322の役割については後述する。
【0016】
正規ユーザは、複数の「ユーザグループ」に分類される。「ユーザグループ」とは、たとえば、人事部や経理部のような所属、正社員や契約社員のような契約形態、課長や部長、取締役のような職位などの観点からユーザの分類したものである。たとえば、ある正規ユーザαは、「人事部」、「契約社員」、「事務職」というユーザグループに属し、別の正規ユーザβは、「営業部」、「正社員」、「部長」というユーザグループに属するかもしれない。
【0017】
人事システム310や経理システム312において、各サーバ装置320が保持するデータは限定公開情報である。サーバ装置320aの限定公開情報にアクセスできるのは「人事部」に所属する正規ユーザだけであるかもしれない。また、サーバ装置320bのフォルダ324eに保持される限定公開情報にアクセスできるのは、「部長以上」であって「人事部」に所属する正規ユーザだけであるかもしれない。各システム、各サーバ装置320、各フォルダ324には、限定公開情報にアクセスできるユーザグループ(以下、「権限グループ」とよぶ)があらかじめ設定されている。さきほどの例であれば、フォルダ324eの限定公開情報についての権限グループは、「部長以上」かつ「人事部」となる。
【0018】
一方、サーバ装置320eが保持するデータは内部公開情報である。したがって、企業Aの社員であれば、すなわち正規ユーザでさえあればサーバ装置320eの内部公開情報へアクセスできる。サーバ装置320eの一部のフォルダ324は、完全公開情報も保持する。この場合、正規ユーザでないユーザであってもサーバ装置320eの完全公開情報にアクセスできる。
業務情報防護装置100は、内部公開情報や限定公開情報に対するクライアント端末200からのリモートアクセス可否を判定するための装置である。以下においては、限定公開情報へのリモートアクセスを中心として説明する。
【0019】
業務情報防護装置100は、ユーザ認証装置120と申請管理装置140を含む。業務情報防護装置100は、ユーザ認証装置120と申請管理装置140の機能を一体として備える単一の装置であってもよいが、本実施例においては、これら2つの装置の集合体であるとして説明する。
【0020】
ユーザは、内部公開情報や限定公開情報にアクセスする上で、まず、クライアント端末200にログインする。このとき、クライアント端末200には、ユーザIDとパスワードが入力される。以下、ユーザIDやパスワードのように、ユーザを識別するためのデータのことを「ユーザ識別情報」とよぶ。クライアント端末200は、ユーザ識別情報をユーザ認証装置120に渡す。クライアント端末200は、申請管理装置140やサーバ装置320を経由してユーザ認証装置120にユーザ識別情報を渡してもよいし、ユーザ認証装置120に直接転送してもよい。
ユーザ認証装置120は、クライアント端末200に代わって、ログイン要求元のユーザが正規ユーザであるか判定する(以下、「ユーザ認証」とよぶ)。
【0021】
限定公開情報の権限グループに所属しているユーザでなければ、限定公開情報にアクセスすることはできない。人事システム310のサーバ装置320aは、「人事部」のユーザであればアクセス可能である。あるユーザがサーバ装置320aをアクセス先として指定するとき、このユーザが人事部に所属していれば、サーバ装置320aへのアクセスは許可される。一方、ユーザが人事部に所属していないときでも、このユーザがサーバ装置320aに対するリモートアクセスを事前に(正しく)申請済みであればアクセスを許可される。申請管理装置140が申請済みか否かを判定する(以下、「申請判定」とよぶ)。ただし、申請判定主導型の場合、たとえユーザが人事部に所属していても、事前の申請が必須となる。
以下においては、限定公開情報Aについての権限グループに属する正規ユーザのことを限定公開情報Aの「権限ユーザ」とよぶ。また、限定公開情報Aに対する権限ユーザ以外の正規ユーザのことを「非権限ユーザ」とよぶ。
ユーザは、クライアント端末200から、業務情報システム300の任意のサーバ装置320、ひいては、任意のフォルダ324にアクセスする。
【0022】
クライアント端末200とサーバ装置320との接続が確立したあと、ログインユーザは、アクセス対象となるフォルダ324を変更できる。このとき、クライアント端末200から該当サーバ装置320に「フォルダ変更要求」が送信される。変更先のフォルダ324が保持する情報が限定公開情報であれば、サーバ装置320は、ログインユーザがその限定公開情報についての権限ユーザであるかを判定する。権限ユーザであれば、フォルダ変更要求を許可する。本来、非権限ユーザであっても、申請管理装置140に事前に正しく申請していれば、フォルダ変更要求が許可される。ただし、申請判定主導型の場合、権限ユーザであっても、事前の申請が必須となる。
【0023】
以上をまとめると、
1.内部公開情報に対しては、ユーザ認証によりアクセス権を判定する。
2.限定公開情報に対しては、
2−1.ユーザ認証主導型の場合、権限ユーザであれば、申請判定の判定結果に関わらずアクセス可能である。通常は、申請判定自体を実行しない。一方、本来的に非権限ユーザであっても、事前の申請により暫定的に権限ユーザとなって限定公開情報にアクセスすることができる。
2−2.申請判定主導型の場合、権限ユーザであろうとも、事前の申請がなされていなければアクセスは不可能である。
【0024】
内部公開情報や限定公開情報は、サーバ装置320やフォルダ324を単位として管理できる。限定公開情報を保持するサーバ装置320やフォルダ324は、権限グループについての情報を保持する。サーバ装置320aは、人事システム310についての権限グループ情報、サーバ装置320aについての権限グループ情報を保持する。また、サーバ装置320aのフォルダ324bは、フォルダ324bの権限グループ情報を保持する。同様にして、サーバ装置320bはサーバ装置320bの権限グループ情報を保持する。
【0025】
なお、所定の限定公開情報については権限グループを設定しなくてもよい。たとえば、サーバ装置320bのフォルダ324gの限定公開情報Bには権限グループが設定されていない。正規ユーザがどのようなユーザグループに所属していようとも、この限定公開情報Bにアクセスするために必ずアクセス申請しなければならない。すなわち、限定公開情報Bについては、すべての正規ユーザは非権限ユーザとなる。特に機密性の高い限定公開情報については、このような設定方法も有効である。これは事実上、申請判定主導型によるセキュリティ管理と同様の効果を発揮することになる。
ユーザ認証主導型によるリモートアクセスの手続きの流れについては図9に関連して詳述する。また、申請判定主導型によるリモートアクセスの手続きの流れについては図10に関連して詳述する。
【0026】
図2は、業務情報防護装置100の機能ブロック図である。
ここに示す各ブロックは、ハードウェア的には、コンピュータのCPUをはじめとする素子や機械装置で実現でき、ソフトウェア的にはコンピュータプログラム等によって実現されるが、ここでは、それらの連携によって実現される機能ブロックを描いている。したがって、これらの機能ブロックはハードウェア、ソフトウェアの組合せによっていろいろなかたちで実現できることは、当業者には理解されるところである。ここでは、各部の機能を中心として説明し、それらの連携、データ構造、作用については、図3以降に関連して詳述する。
【0027】
本実施例における業務情報防護装置100は、互いに通信回線で接続されたユーザ認証装置120と申請管理装置140を含む。
【0028】
ユーザは、業務情報システム300へアクセスする前に、まず、クライアント端末200にログインする。このとき、クライアント端末200にはユーザIDとパスワードが入力される。本実施例においては、このユーザIDとパスワードは、ユーザ認証装置120によるユーザ認証や申請管理装置140による申請判定のために転送される。
【0029】
A:ユーザ認証装置120
ユーザ認証装置120は、ユーザ認証部122と正規ユーザ情報保持部124を含む。正規ユーザ情報保持部124は、ユーザIDとパスワード、ユーザグループを対応づけた正規ユーザ情報を保持する。この正規ユーザ情報に登録されているユーザが「正規ユーザ」となる。ユーザがクライアント端末200にログインするとき、クライアント端末200はユーザ認証部122にユーザ識別情報を送信する。ユーザ認証部122は、このユーザ識別情報と正規ユーザ情報を比較することによりユーザ認証を行う。ユーザ認証部122は、クライアント端末200のユーザだけでなく承認用端末322のユーザについてもユーザ認証を実行する。
【0030】
本実施例におけるユーザ認証装置120は単一の装置であり、正規ユーザ情報を一元的に管理する。複数のシステムについてのユーザ認証を単一のユーザ認証装置120にて実行することにより、ユーザ認証ポリシー(policy)を一元的に管理できる。
【0031】
B:申請管理装置140
申請管理装置140は、申請状態管理部142、申請状態判定部144、アクセスインタフェース処理部146、ユーザグループ変更部182、実行条件保持部150およびアクセス予定保持部152を含む。
【0032】
実行条件保持部150は、非権限ユーザについてのアクセスルールを示す実行条件情報を保持する。リモートアクセスの目的は複数の種別(以下、単に「アクセス種別」とよぶ)に分類される。アクセス種別として、データを閲覧するだけの「データ参照」、新たなデータを登録するための「データ追加」、既存のデータを書き換えるための「データ変更」、ソフトウェアインストールなどの「リリース作業」などが挙げられる。ユーザ認証主導型の場合、権限ユーザは事前のアクセス申請をしなくても限定公開情報にアクセスできるが、非権限ユーザはアクセス日時、アクセス種別等を明示した「アクセス申請情報」を業務情報防護装置100に送信することにより、アクセス予定を事前に申請しておかなければならない。後述の登録判定部162は、実行条件情報を参照して、このアクセス申請情報の適否をチェックする。
【0033】
たとえば、サーバ装置320aの権限グループが「人事部」であるとき、情報技術部のユーザがこのサーバ装置320aに新しいソフトウェアをインストールしたいとする。このユーザは、サーバ装置320aについては非権限ユーザである。ここで、サーバ装置320aの管理責任者は、サーバ装置320aへの「リリース作業」が2月1日にのみ実行可能である旨を実行条件情報に登録したとする。
【0034】
非権限ユーザが1月30日を予定日としてサーバ装置320aへの「リリース作業」を申請しても、アクセスルールに適合しないためこの申請は自動的に却下される。このように、サーバ装置320aの管理責任者は、サーバ装置320aに対する非権限ユーザのアクセスルールを実行条件情報としてあらかじめ登録しておくことができる。
更に、承認権限のある特別なユーザ(以下、単に「承認者」とよぶ)によって申請が承認されなければならない旨を実行条件情報に登録することもできる。実行条件情報のデータ構造については、次の図3に関連して更に詳述する。
【0035】
申請状態管理部142は、アクセス申請に関する処理を全般的に担当する。申請状態管理部142は、アクセス申請部156、アクセス承認部158、申請通知部160および登録判定部162を含む。
【0036】
アクセス申請部156は、アクセス申請情報を受信する。アクセス申請情報は、後の図4に示す申請画面220において入力されるデータの集合である。後の図4では、入力データとして、アクセスの目的、日時、件名、アクセス対象となるサーバ名などが示されるが、このほかにも、申請者のメールアドレスなどさまざまな情報が含まれてもよい。更に、申請日時や申請者のIPアドレスなど、入力されたデータ以外の付帯情報が含まれてもよい。登録判定部162は、アクセス申請情報が実行条件情報と適合するか判定する。先ほどの例でいえば、2月1日以外を対象としてサーバ装置320aに対するリリース作業が申請された場合、登録判定部162はこの申請を却下し、その旨を非権限ユーザに通知する。申請内容が実行条件情報と適合していれば、登録判定部162はアクセス予定保持部152のアクセス予定情報に、申請を登録する。アクセス予定情報に登録されたアクセス申請のことを「有効なアクセス申請」とよぶ。アクセス予定情報の内容は、アクセス申請情報の内容と実質的に同等であってよい。すなわち、受信されたアクセス申請情報のうち、有効なアクセス申請としての要件を満たすアクセス申請情報だけがアクセス予定情報として正式登録される。登録判定部162は、有効なアクセス申請がなされると、リモートアクセス予定を一意に識別するためのアクセスIDを付与する。アクセス予定情報では、アクセスID、アクセス予定日時、アクセス内容、ユーザ名、承認状態等が対応づけられる。
【0037】
申請通知部160は、アクセス申請情報が登録されると、その申請内容が承認を必要とするものであるか否かを実行条件情報を参照して判定する。申請通知部160は、承認が必要なアクセス申請情報について、そのアクセスIDを承認者に通知する。本実施例における申請通知部160は、アクセスIDを示す電子メールを承認用端末322に送信する。承認者は、アクセスIDに基づいて申請管理装置140にアクセスし、承認可否を入力する。アクセス承認部158は、承認可否を承認用端末322から受信する。このときのユーザインタフェースに関しては図5に関連して後述する。
【0038】
アクセス承認部158は、承認がなされると、アクセス予定情報における承認状態を「未承認」から「承認」に変更する。却下の場合には、アクセス承認部158はユーザに申請却下の旨を通知すると共に、アクセス予定情報から該当申請を抹消する。また、登録判定部162は、アクセス予定情報のうち、アクセス予定日時を経過した申請や、すでに完了した申請を適宜抹消する。
【0039】
申請状態判定部144は申請判定を実行する。ここで、ユーザ認証主導型と申請判定主導型について簡単に説明しておく。
【0040】
1:ユーザ認証主導型
リモートログインに際し、クライアント端末200はユーザ識別情報をサーバ装置320に送信する。サーバ装置320はユーザ識別情報をユーザ認証装置120に送信し、ユーザ認証装置120はユーザ認証を実行する。ここで、ログイン要求元のユーザが正規ユーザであれば、ユーザの所属するユーザグループをサーバ装置320に通知する。サーバ装置320についての権限ユーザであれば、サーバ装置320はアクセスを許可し、クライアント端末200との通信経路を確立する。
【0041】
申請管理装置140のユーザグループ変更部182は、アクセス予定情報に基づいて、適宜、ユーザ認証装置120の正規ユーザ情報を更新する。たとえば、情報技術部のユーザAが、「2月1日から2月2日」を対象として、人事システム310へのアクセス予定を有効に申請している状況を想定する。本来、ユーザAは、人事システム310のサーバ装置320aに関する権限ユーザではないが、申請された「2月1日から2月2日」に限って一時的にアクセス権限を付与される。
ユーザグループ変更部182は、2月1日に至るとユーザAのユーザグループとして一時的に「人事部」と登録する。そして、2月2日が終わるとき、ユーザAのユーザグループから「人事部」を抹消する。いわば、ユーザAは申請期間に限って暫定的に人事部に所属することになる。
【0042】
このようにして申請管理装置140は、適宜、正規ユーザ情報保持部124を更新することになる。このため、リモートアクセス実行時において、ユーザ認証装置120は、ユーザ識別情報に基づいて、事実上、ユーザ認証と申請判定をまとめて実行できることになる。リモートログインに限らず、フォルダ変更要求についても同様のアルゴリズムにてユーザ認証主導型によるアクセス制御が可能である。
【0043】
2:申請判定主導型
この申請判定主導型においては、有効なアクセス申請がなされていなければ業務情報システム300へのアクセスを許可しない。このため、特に情報セキュリティを重視する場合に好ましい処理モデルである。
リモートログインに際し、クライアント端末200はユーザ識別情報をサーバ装置320に送信する。サーバ装置320はユーザ識別情報を申請管理装置140に送信する。ここで、申請管理装置140はユーザ識別情報に含まれるユーザIDを取得し、当該ユーザが有効にアクセス申請済みであるか判定する。有効なアクセス申請がなされていなければ、ユーザ認証を実行することなくアクセスは拒否される。
【0044】
有効にアクセス申請済みであれば、申請管理装置140はユーザ識別情報をユーザ認証装置120に転送する。ユーザ認証装置120はここでユーザIDとパスワードをチェックしてユーザ認証を実行する。ログイン要求元のユーザが正規ユーザであれば、ユーザ認証装置120はアクセス許可通知をサーバ装置320に通知する。サーバ装置320は、アクセス許可通知を受信したことを条件として、クライアント端末200との通信経路を確立する。
【0045】
すなわち、申請管理装置140は、アクセス予定情報に基づいて、有効にアクセス申請していないユーザのアクセスをユーザ認証の前段階にて排除する。リモートログインに限らず、フォルダ変更要求についても同様のアルゴリズムにて申請判定主導型によるアクセス制御が可能である。詳細については図10に関連して後述する。
【0046】
1.ユーザ認証主導型の場合、申請状態判定部144は、ユーザ識別情報とアクセス予定情報を定期的に参照して、アクセス申請済か否か、必要であれば、更に承認済みか否かを判定する。
2.申請判定主導型の場合においては、申請状態判定部144は、リモートアクセス要求日時が、申請されたアクセス予定時間内にあるかについても判定する。たとえば、ある非権限ユーザαが「2月1日」というアクセス予定日時を指定してサーバ装置320aへのアクセス申請をしている場合、1月31日以前や2月2日以後にサーバ装置320aにリモートアクセス要求をしても申請判定の結果は「否定」となり、リモートアクセスは許可されない。一方、非権限ユーザAが「2月1日」というアクセス予定日時においてサーバ装置320aにリモートアクセス要求してきたときには、申請判定の結果は「肯定」となり、アクセスインタフェース処理部146はアクセスを許可する。
もちろん、承認が必要なアクセスが申請されているときには、承認済みでなければアクセス許可されない。アクセスインタフェース処理部146は、サーバ装置320やフォルダ324へのアクセス可否判定を統括的に制御する。
【0047】
本実施例における申請管理装置140は単一の装置であり、申請判定を一元的に実行する。複数システムに関する申請判定を単一の申請管理装置140にて実行することにより、実行条件情報やアクセス予定情報を一元的に管理できる。
【0048】
図3は、実行条件保持部150における実行条件情報のデータ構造図である。
実行条件情報は、各サーバ装置320やフォルダ324の管理責任者により定められたアクセスルールを示す。ルールID欄164は、アクセスルールを一意に識別するためのID(以下、「ルールID」とよぶ)を示す。アクセスルールが登録されると、ルールIDが割り当てられる。対象領域欄166は、アクセスルールの適用対象となるサーバ装置320やフォルダ324を示す。日時欄168は、アクセスルールの適用日時を示す。アクセス種別欄170は、アクセスルールが適用されるアクセス種別を示す。承認要否欄172は、該当アクセスの実行をするために承認が必要か否かを示す。たとえば、ルールID「1」のアクセスルールは、「サーバID:06」のサーバ装置320(以下、「サーバ装置320(06)」と表記する)における「フォルダID:24」のフォルダ324(以下、「フォルダ324(24)」と表記する)に保持される限定公開情報に関し、「6:00〜16:00」の時間帯について適用される。
【0049】
すなわち、サーバ装置320(06)のフォルダ324(24)に非権限ユーザがアクセスする場合、「6:00〜16:00」という時間帯に限って、「データ参照」か「データ追加」というアクセス種別にて事前申請をしていればアクセスが許可される。承認は不要であり、正しく申請さえしていればよい。しかし、「データ変更」を目的として申請をしても却下されることになる。また、この時間帯以外のアクセスは許可されない。
【0050】
一方、サーバ装置320(08)に非権限ユーザがアクセスする場合、「6:00〜16:00」という時間帯に限って、「データ変更」か「リリース作業」というアクセス種別にて事前申請をし、かつ、承認を得られればアクセスが許可される。
【0051】
図4は、申請画面220を示す画面図である。
ユーザがアクセス申請のために申請管理装置140にアクセスすると、アクセス申請部156はクライアント端末200に同図に示す申請画面220を表示させる。申請画面220は、クライアント端末200にウェブページとして表示される画面である。
【0052】
申請者名領域222には、申請者名を入力する。申請者は、自分以外が作業をするときには、実際に作業を実行する予定のユーザ名を入力する。件名領域224には、申請する作業の件名を入力する。システム分類領域226からは、対象システムのタイプが選択される。ここでは、経理システム312が選択されている。サーバ指定領域227はアクセス対象となるサーバ装置320のサーバID、フォルダ指定領域228はアクセス対象となるフォルダ324のフォルダIDを示す。サーバ指定領域227やフォルダ指定領域228においては複数のサーバ装置320や複数のフォルダ324を指定してもよい。
【0053】
アクセス種別領域230はアクセス種別を示す。内容入力領域232は、作業内容などを自由記述するための領域である。アクセス予定日時領域234は、アクセス予定日時を示す。申請者は、申請画面220に示される各項目にデータを入力した後、申請ボタン236をクリックする。すると、入力されたデータがアクセス申請情報として申請管理装置140に送信される。
【0054】
図5は、承認画面260を示す画面図である。
承認が必要なアクセス申請がなされた場合、申請通知部160はアクセスIDを承認用端末322に通知する。承認者が、アクセスIDを指定して申請管理装置140にアクセスすると、アクセス承認部158は承認用端末322に同図に示す承認画面260を表示させる。承認画面260も、承認用端末322にウェブページとして表示される。
【0055】
申請情報領域262は、申請画面220に入力された申請内容を示す。承認者名領域264は、承認者名を入力する領域である。承認依頼者名領域266は、承認を依頼したユーザ名を入力するための領域である。たとえば、承認権限のあるユーザBが、ユーザCに承認を依頼したときには、ユーザCはユーザBに代理して承認判断を行う。これは、ユーザBの休暇中など、特殊な状況に対応するための措置である。通信欄268は、申請者に対するメッセージを記述する欄である。申請却下の理由を記述したり、申請承認するときには作業内容に条件や注文をつけるための記述がなされてもよい。承認ボタン270は承認用、却下ボタン272は却下用のボタンである。承認ボタン270から却下ボタン272のいずれかがクリックされると、入力内容と承認可否を示すデータが申請管理装置140に送信される。アクセス承認部158は、このデータをクライアント端末200に、たとえば、電子メールにより送信する。
【0056】
図6は、リモートログインに成功した後、クライアント端末200から人事システム310にアクセスするときのアクセス画面294を示す。
クライアント端末200から人事システム310への接続が確立すると、人事システム310のフォルダ構造を示すアクセス画面294がクライアント端末200に表示される。同図に示すように、サーバ装置320aとサーバ装置320bの各フォルダ324が階層化されて画面表示される。ユーザは、アクセス先となるフォルダ324を選択する。このとき、クライアント端末200から該当サーバ装置320にフォルダ変更要求が送信される。ユーザ認証主導型の場合、該当サーバ装置320は、ユーザが変更先のフォルダ324についての権限ユーザであるかを判定する。
【0057】
図7は、アクセス申請処理の過程を示すシーケンス図である。
アクセス申請時においては、クライアント端末200のユーザは、ユーザ識別情報を送信して、直接、申請管理装置140にアクセスする(S10)。申請管理装置140は、ユーザ識別情報をユーザ認証装置120に転送する(S12)。ユーザ認証装置120のユーザ認証部122は、ユーザ認証を実行する(S14)。ユーザ認証に失敗すれば、以降の処理は実行されない。ここでは、ユーザ認証が成功したものとして説明を続ける。
【0058】
ユーザ認証装置120は、ユーザ認証の結果、すなわち、認証成功の旨を申請管理装置140に通知する(S16)。申請管理装置140のアクセス申請部156は、申請画面220のためのHTML(Hyper Text Markup Language)データを送信し(S18)、クライアント端末200は、申請画面220を表示させる(S20)。ユーザは、申請画面220にデータを入力し、申請ボタン236をクリックすると(S22)、入力されたデータがアクセス申請情報として申請管理装置140に送信される(S24)。
【0059】
申請管理装置140の登録判定部162は、申請内容と実行条件情報を比較し、登録可否を判定する(S26)。有効なアクセス申請でなければ、登録判定部162は申請を却下した上で、クライアント端末200に却下通知し、以降の処理は実行されない。ここでは、有効なアクセス申請であったとして説明を続ける。
登録判定部162は、申請をアクセス予定保持部152のアクセス予定情報に登録する(S28)。このときアクセスIDが付与される。承認が必要であれば、申請通知部160は承認を求める旨の電子メールを承認用端末322に送信する(S30)。
【0060】
図8は、アクセス承認処理の過程を示すシーケンス図である。
承認用端末322が図7のS30において電子メールを受け取ったあと、承認者は任意のタイミングにて、自己のユーザ識別情報と共に申請管理装置140にアクセスする(S32)。承認者はアクセスIDも指定する。
【0061】
申請管理装置140は、承認者のユーザ識別情報をユーザ認証装置120に転送する(S34)。ユーザ認証装置120のユーザ認証部122は、正規ユーザ情報を参照してユーザ認証を行う(S36)。このユーザ認証では、正規ユーザであるだけでなく、「承認権限者」として登録されているかも判定される。ユーザ認証に失敗すれば、以降の処理は実行されない。ここでは、ユーザ認証が成功したものとして説明を続ける。
【0062】
ユーザ認証装置120は、ユーザ認証の結果を示すデータ、ここでは認証成功の旨を示すデータを申請管理装置140に通知する(S38)。申請管理装置140のアクセス承認部158は、承認画面260のためのHTMLデータを送信し(S40)、承認用端末322は、承認画面260を表示させる(S42)。ユーザは、承認画面260にデータを入力し、承認ボタン270または却下ボタン272をクリックすると(S44)、入力されたデータが申請管理装置140に送信される(S46)。
【0063】
申請管理装置140のアクセス承認部158は、承認可否に応じてアクセス予定保持部152のアクセス予定情報を更新する(S48)。アクセス承認部158は、クライアント端末200に承認可否を通知する(S50)。
以上の処理により、有効に申請されたアクセスについて承認がなされる。なお、承認者が、申請管理装置140にアクセスすると、申請管理装置140は承認待ちのアクセス申請を一覧表示させ、承認者はその中から承認対象となるアクセス申請を選択するというユーザインタフェースであってもよい。
【0064】
図9は、ユーザ認証主導型において、クライアント端末200からサーバ装置320へのリモートアクセス実行過程を示すシーケンス図である。
ユーザが人事システム310へアクセスする場合について説明する。このとき、クライアント端末200から、人事システム310の入口であるサーバ装置320aに対して、リモートアクセス要求が送信される(S100)。このとき、ユーザ識別情報もサーバ装置320aに送信される。サーバ装置320aは、このユーザの権限グループをユーザ認証装置120に問い合わせる(S102)。申請管理装置140はユーザ認証装置120の正規ユーザ情報保持部124をアクセス予定情報に基づいて定期的に更新している。ユーザ認証装置120は、権限グループの判定の前に、まず、ユーザ識別情報に基づいて、ユーザ認証を実行する(S104)。ユーザ認証に失敗すると、人事システム310のアクセスは許可されないが、ここでは成功したものとして説明を続ける。次に、ユーザ認証装置120は、ログインユーザの権限グループを正規ユーザ情報保持部124を参照して特定し(S106)、サーバ装置320に通知する(S108)。ここでいう権限グループは、アクセス元のユーザの本来の権限グループかもしれないし、申請により暫定的に所属している権限グループかもしれない。サーバ装置320aは、この権限グループを参照して、ユーザがサーバ装置320aにアクセス可能な権限ユーザであれば(S110のY)、アクセス画面294の画面データをクライアント端末200に送信する(S112)。権限ユーザでなければ(S110のN)、アクセスは許可されない。
【0065】
アクセス画面294において、ユーザがアクセス対象となるフォルダ324を変更するときも同様である。たとえば、アクセス対象となるフォルダ324をサーバ装置320aのフォルダ324aからサーバ装置320bのフォルダ324fに変更するとする。ユーザがアクセス画面294において、アクセス先フォルダを変更すると、クライアント端末200はサーバ装置320bにフォルダ変更要求を送信する。サーバ装置320は、このユーザがフォルダ324fについての権限ユーザであるかを判定する。権限ユーザであれば、クライアント端末200からフォルダ324fへのアクセスを許可する。
【0066】
図10は、申請判定主導型において、クライアント端末200からサーバ装置320へのリモートアクセス実行過程を示すシーケンス図である。
ここでも、ユーザが人事システム310へアクセスする場合について説明する。クライアント端末200から、人事システム310の入口であるサーバ装置320aに対して、リモートアクセス要求が送信される(S120)。ユーザ識別情報もサーバ装置320aに送信される。サーバ装置320aは、このユーザが事前に有効な申請をしているかを申請管理装置140に問い合わせる(S122)。申請済みでなければ(S124のN)、申請管理装置140はアクセス拒否通知をサーバ装置320に送信し(S126)、アクセスは失敗する。当該時間帯について有効に申請済みであれば(S124のY)、申請管理装置140はユーザ認証装置120に対してユーザ認証を依頼する(S124)。ユーザ認証装置120は、ユーザ識別情報に基づいて、ユーザ認証を実行する(S126)。すなわち、ユーザIDとパスワードがマッチしているかを判定する。ユーザ認証装置120は、ユーザ認証の結果をサーバ装置320に送信する(S128)。ユーザ認証に成功していれば、サーバ装置320は、アクセス画面294の画面データをクライアント端末200に送信する(S130)。
なお、変形例として、申請済みでなければ(S124のN)、申請管理装置140はサーバ装置320にアクセス拒否通知を明示的に送信せず、ユーザ認証装置120へのユーザ認証も依頼しないとしてもよい。すなわち、申請済みでなければ、申請管理装置140において一連のプロセスが中断されることになる。サーバ装置320は、申請管理装置140への問い合わせ後(S122)、所定時間が経過しても、ユーザ認証装置120からユーザ認証の結果が返ってこなければ、リモートアクセスを拒否されたものとして判定してもよい。
【0067】
図11は、ユーザグループ変更処理の過程を示すシーケンス図である。
ユーザ認証主導型と申請判定主導型のいずれの場合であっても、業務情報防護装置100は、各正規ユーザのユーザグループを定期的に変更することができる。たとえば、2007年を契約期間として人事部に派遣される契約社員の場合、人事システム310の限定公開情報にアクセスできるのは2007年だけである。また、2007年3月31日までは経理部に所属し、4月1日からは人事部へ配属になることが決まっている社員の場合、4月1日からユーザグループが変更となる。このように、正規ユーザのユーザグループ変更が組織のスケジュールとして確定していることも多い。ユーザグループ変更部182は、このような正規ユーザのユーザグループを変更するための条件として「グループ変更条件」を保持している。
申請管理装置140のユーザグループ変更部182は、同図に示すS80、S82、S84の処理を定期的に繰り返す。このループ処理の開始タイミングは、所定時間、たとえば、毎日午前6時00分のように設定される。
【0068】
ループ処理の開始タイミングに至ると、申請管理装置140のユーザグループ変更部182は、グループ変更条件を読み出し(S80)、ユーザグループを変更させるべき正規ユーザが存在するか判定する(S82)。ユーザグループ変更部182は、ユーザグループを変更すべきユーザが存在すれば(S82のY)、その正規ユーザのユーザ識別情報と変更後のユーザグループをユーザ認証装置120に通知する(S84)。ユーザ認証装置120は、正規ユーザ情報を更新する(S86)。このようなループ処理により、正規ユーザ情報は定期的に更新される。
【0069】
以上、本実施例に示した業務情報防護装置100によれば、限定公開情報に対するアクセス権をユーザ認証と申請判定により判定するため、不正アクセスを防止しやすい構成となっている。権限ユーザは、クライアント端末200にログインするだけで限定公開情報にアクセスできる。このため、部署パスワードの設定にともなう煩わしさが回避される。一方、非権限ユーザであっても、アクセス予定を事前に申請することにより限定公開情報にアクセスできる。申請判定主導型の場合、アクセス予定を事前に申請しなければ限定にアクセスできないため、よりセキュリティが強固となる。
更に、実行条件情報の設定や承認可否判定により、非権限ユーザの限定公開情報へのアクセス権を一時的・限定的に制御しやすくなっている。システムやサーバ装置320単位だけでなく、フォルダ324単位でアクセス権をコントロールできるため、限定公開情報の重要度に応じて、セキュリティを精緻かつ簡易に制御できる。グループ変更条件によりユーザグループを自動的に管理することにより、組織変更時においてもユーザに負担をかけることなく情報セキュリティを保つことができる。
このような特徴により、業務情報防護装置100は、SOX法が求める「内部統制の強化」に資する。
【0070】
通常、リモートアクセス作業は、あらかじめ実行スケジュールが確定していることが多い。本実施例の業務情報防護装置100によれば、事前のアクセス申請と任意のタイミングでの承認という運用により、ユーザおよび承認者に過度の心理的負担をかけないかたちで業務情報システム300のセキュリティ管理を実現できる。
【0071】
なお、業務情報システム300の各サーバ装置320は、自装置に対するクライアント端末200からのアクセス内容を業務情報防護装置100に通知してもよい。そして、業務情報防護装置100は、実際のアクセス内容を示すアクセスログとして記録してもよい。このような態様によれば、業務情報防護装置100は、申請されたアクセス内容と、実際のアクセス内容に齟齬が発生していないかをチェックできる。このため、アクセス許可されたあとも、事後的に不正アクセスが発生していないかをチェックできる。
【0072】
また、業務情報防護装置100は、複数のシステムに対するアクセスを一元管理できる。そのため、複数のシステムに対して統一的なアクセスポリシーを適用しやすくなっている。更に、既に運用されている業務情報システム300に対して、業務情報防護装置100を追加するだけで実現できるというメリットもある。
【0073】
以上、本発明を実施例をもとに説明した。実施の形態は例示であり、それらの各構成要素や各処理プロセスの組合せにいろいろな変形例が可能なこと、またそうした変形例も本発明の範囲にあることは当業者に理解されるところである。
【0074】
請求項に記載のアクセス申請受信部の機能は、本実施例においては主としてアクセス申請部156により実現される。請求項に記載のユーザ条件設定部とユーザグループ変更部の機能は、本実施例においては主としてユーザグループ変更部182により実現される。
このほかにも、請求項に記載の各構成要件が果たすべき機能は、本実施例において示された各機能ブロックの単体もしくはそれらの連係によって実現されることも当業者には理解されるところである。
【図面の簡単な説明】
【0075】
【図1】業務情報防護装置と業務情報システムとの関係を示すハードウェア構成図である。
【図2】業務情報防護装置の機能ブロック図である。
【図3】実行条件保持部における実行条件情報のデータ構造図である。
【図4】申請画面を示す画面図である。
【図5】承認画面を示す画面図である。
【図6】リモートログインに成功した後、クライアント端末から人事システムにアクセスするときのアクセス画面を示す図である。
【図7】アクセス申請処理の過程を示すシーケンス図である。
【図8】アクセス承認処理の過程を示すシーケンス図である。
【図9】ユーザ認証主導型において、クライアント端末からサーバ装置へのリモートアクセス実行過程を示すシーケンス図である。
【図10】申請判定主導型において、クライアント端末からサーバ装置へのリモートアクセス実行過程を示すシーケンス図である。
【図11】ユーザグループ変更処理の過程を示すシーケンス図である。
【符号の説明】
【0076】
100 業務情報防護装置、 120 ユーザ認証装置、 122 ユーザ認証部、 124 正規ユーザ情報保持部、 140 申請管理装置、 142 申請状態管理部、 144 申請状態判定部、 146 アクセスインタフェース処理部、 150 実行条件保持部、 152 アクセス予定保持部、 156 アクセス申請部、 158 アクセス承認部、 160 申請通知部、 162 登録判定部、 182 ユーザグループ変更部、 200 クライアント端末、 300 業務情報システム、 310 人事システム、 312 経理システム、 320 サーバ装置、 322 承認用端末、 324 フォルダ。
【特許請求の範囲】
【請求項1】
複数のサーバ装置の連携により組織業務を管理するための業務情報システムにおいて、クライアント端末からサーバ装置へのリモートアクセスを制御するための装置であって、
リモートアクセスを実行可能な正規ユーザと複数のユーザグループのいずれかとの対応を示す正規ユーザ情報を保持する正規ユーザ情報保持部と、
クライアント端末から、リモートアクセスの実行対象となるサーバ装置とリモートアクセスを実行予定のユーザとを示すアクセス申請情報を受信するアクセス申請受信部と、
受信されたアクセス申請情報に基づいて、サーバ装置ごとのリモートアクセス予定を示すアクセス予定情報を保持するアクセス予定保持部と、
前記アクセス予定情報を参照して、リモートアクセスの実行対象となるサーバ装置についてあらかじめ設定されている所定のユーザグループにリモートアクセスを実行予定のユーザを一時的に登録するユーザグループ変更部と、
クライアント端末からのいずれかのサーバ装置に対するリモートアクセスに際して、ユーザを特定するためのユーザ識別情報とリモートアクセス対象となるサーバ装置を特定するサーバ識別情報を取得するアクセス要求取得部と、
前記ユーザ識別情報と前記正規ユーザ情報を参照して、リモートアクセスを要求するユーザが、正規ユーザとして登録されているかを判定するユーザ認証部と、
リモートアクセスを要求するユーザがサーバ装置について設定されているユーザグループに所属しているかをサーバ装置側において判定するために、前記ユーザ識別情報と前記正規ユーザ情報を参照して、リモートアクセスを要求するユーザが属しているユーザグループをサーバ装置に通知するユーザグループ通知部と、
を備えることを特徴とする業務情報防護装置。
【請求項2】
正規ユーザの属するユーザグループを変更するための条件を示すグループ変更条件の設定入力を受け付けるユーザ条件設定部と、
前記グループ変更条件が成立するときに、その対象となる正規ユーザの所属するユーザグループを変更するユーザグループ変更部と、
を備えることを特徴とする請求項1に記載の業務情報防護装置。
【請求項1】
複数のサーバ装置の連携により組織業務を管理するための業務情報システムにおいて、クライアント端末からサーバ装置へのリモートアクセスを制御するための装置であって、
リモートアクセスを実行可能な正規ユーザと複数のユーザグループのいずれかとの対応を示す正規ユーザ情報を保持する正規ユーザ情報保持部と、
クライアント端末から、リモートアクセスの実行対象となるサーバ装置とリモートアクセスを実行予定のユーザとを示すアクセス申請情報を受信するアクセス申請受信部と、
受信されたアクセス申請情報に基づいて、サーバ装置ごとのリモートアクセス予定を示すアクセス予定情報を保持するアクセス予定保持部と、
前記アクセス予定情報を参照して、リモートアクセスの実行対象となるサーバ装置についてあらかじめ設定されている所定のユーザグループにリモートアクセスを実行予定のユーザを一時的に登録するユーザグループ変更部と、
クライアント端末からのいずれかのサーバ装置に対するリモートアクセスに際して、ユーザを特定するためのユーザ識別情報とリモートアクセス対象となるサーバ装置を特定するサーバ識別情報を取得するアクセス要求取得部と、
前記ユーザ識別情報と前記正規ユーザ情報を参照して、リモートアクセスを要求するユーザが、正規ユーザとして登録されているかを判定するユーザ認証部と、
リモートアクセスを要求するユーザがサーバ装置について設定されているユーザグループに所属しているかをサーバ装置側において判定するために、前記ユーザ識別情報と前記正規ユーザ情報を参照して、リモートアクセスを要求するユーザが属しているユーザグループをサーバ装置に通知するユーザグループ通知部と、
を備えることを特徴とする業務情報防護装置。
【請求項2】
正規ユーザの属するユーザグループを変更するための条件を示すグループ変更条件の設定入力を受け付けるユーザ条件設定部と、
前記グループ変更条件が成立するときに、その対象となる正規ユーザの所属するユーザグループを変更するユーザグループ変更部と、
を備えることを特徴とする請求項1に記載の業務情報防護装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公開番号】特開2008−226058(P2008−226058A)
【公開日】平成20年9月25日(2008.9.25)
【国際特許分類】
【出願番号】特願2007−65826(P2007−65826)
【出願日】平成19年3月14日(2007.3.14)
【出願人】(000155469)株式会社野村総合研究所 (1,067)
【Fターム(参考)】
【公開日】平成20年9月25日(2008.9.25)
【国際特許分類】
【出願日】平成19年3月14日(2007.3.14)
【出願人】(000155469)株式会社野村総合研究所 (1,067)
【Fターム(参考)】
[ Back to top ]