画像処理装置及びその制御方法、並びにプログラム
【課題】本発明は、ユーザモードによる設定でセキュリティ・ポリシーが変更された場合でも、セキュリティ・ポリシーに反する動作の実行を抑止することができる画像処理装置を提供する。
【解決手段】予めセキュリティ・ポリシーが設定された複合機101では、UI操作部103により機器の設定が変更された場合には、変更された設定の内容がセキュリティ・ポリシーに適合するかを検証し(図7)、セキュリティ・ポリシーに適合することが検証されるまで複合機101の動作の実行を制限する(図2のステップS213)。
【解決手段】予めセキュリティ・ポリシーが設定された複合機101では、UI操作部103により機器の設定が変更された場合には、変更された設定の内容がセキュリティ・ポリシーに適合するかを検証し(図7)、セキュリティ・ポリシーに適合することが検証されるまで複合機101の動作の実行を制限する(図2のステップS213)。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、画像処理装置及びその制御方法、並びにプログラムに関し、特に、ネットワークに接続された画像処理装置のセキュリティ・ポリシーの技術に関する。
【背景技術】
【0002】
近年の複合機には、単純に画像データを印刷したり、ネットワークを介して画像データを送信するだけではなく、パーソナルコンピュータ(PC)に対して画像データを提供するファイルサービス機能を有するものがある。
【0003】
一方、オフィス等のネットワークに接続するPCやサーバ機器(ファイルサーバや認証サーバ等)には、オフィス毎に決められたセキュリティ・ポリシーに従って運用することが求められている。複合機もまたPCやサーバ機器等と同様に、セキュリティ・ポリシーに従うことが求められている。ここでいうセキュリティ・ポリシーとは、例えば機器を操作する際にユーザ認証を必須とすることや、通信経路の暗号化を必須とするなど、オフィス内の機器の不正使用や情報漏えいを防ぐためのセキュリティ上の制約である。
【0004】
従来の複合機においては、機器のいくつかの動作設定(以下、「ユーザモード」と呼ぶ)を管理者が操作して上記セキュリティ・ポリシーに従って動作にさせることが可能である。
【0005】
しかしながら、従来のユーザモードによる設定では、複数の設定項目を正しく設定する必要があり、正しい設定がなされないと、セキュリティ・ポリシーが守られていない運用を事実上許容することになり、オフィスのセキュリティを脅かす可能性がある。
【0006】
そこで、ユーザモードの設定だけではなく、外部からセキュリティ・ポリシーを設定し、起動時にセキュリティ・ポリシーとユーザモード(セキュリティ設定手段)とを比較する。その結果、セキュリティ・ポリシーを順守できる設定であると判断された時にだけ起動を許可するシステムが提案されている(例えば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2009−230178号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
しかしながら、上記従来のシステムでは、以下の問題がある。すなわち、特許文献1では、起動時にセキュリティ・ポリシーとユーザモードの比較を行うため、再起動後はセキュリティ・ポリシーを守れる状態になる。一方、起動後に動的にセキュリティ・ポリシー或いはユーザモードの変更が行われた場合、次回起動まではセキュリティ・ポリシーが守られた状態で運用されている保障がなく、セキュリティ・ホールが発生するリスクが存在する。
【0009】
本発明は、上記問題に鑑み、ユーザモードによる設定でセキュリティ・ポリシーが変更された場合でも、セキュリティ・ポリシーに反する動作の実行を抑止することができる画像処理装置及びその制御方法、並びにプログラムを提供することを目的とする。
【課題を解決するための手段】
【0010】
上記目的を達成するために、本発明の画像処理装置は、複数の機能を備え、予めセキュリティ・ポリシーが設定された画像処理装置において、前記画像処理装置への操作を可能にする操作手段と、前記操作手段により前記画像処理装置の設定が変更された場合には、変更された設定の内容が前記セキュリティ・ポリシーに適合するかを検証する検証手段と、前記検証手段により前記セキュリティ・ポリシーに適合することが検証されるまで前記画像処理装置の動作の実行を制限する制限手段とを備えることを特徴とする。
【発明の効果】
【0011】
本発明によれば、セキュリティ・ポリシーに影響する設定の変更が行われた場合、ユーザにより指定された機能を一時的に制限する。これにより、ユーザモードによる設定でセキュリティ・ポリシーが変更された場合でも、セキュリティ・ポリシーに反する動作の実行を抑止することができる。
【図面の簡単な説明】
【0012】
【図1】本発明の第1の実施形態に係る画像処理装置の概略構成を示すブロック図である。
【図2】図1の複合機におけるセキュリティ・ポリシーの設定・検証処理の流れを示すフローチャートである。
【図3】ユーザモード格納部が保持するユーザモード一覧の一例を示す図である。
【図4】UI操作部に表示されるセキュリティ・ポリシーを設定するための設定画面の一例を示す図であり、(a)はポリシー設定画面、(b)はネットワーク通信ポリシー設定画面、(c)は認証ポリシー設定画面である。
【図5】ポリシー生成部が保持するポリシーテーブルの一例を示す図であり、(a)はネットワーク通信ポリシーのポリシーテーブルであり、(b)は認証ポリシーのポリシーテーブルである。
【図6】本発明の第1の実施形態におけるポリシーファイルの一例を示す図である。
【図7】図2のステップS209におけるセキュリティ・ポリシー検証処理の詳細を示すフローチャートである。
【図8】複合機におけるネットワーク通信ポリシーの判定動作を示すフローチャートである。
【図9】本発明の第2の実施形態におけるポリシーファイルの一例を示す図である。
【図10】(a)は第1の実施形態におけるUI操作部に表示されるアクセス制御時の機能選択画面の一例を示す図、(b)は第2の実施形態におけるUI操作部に表示される機能選択画面の一例を示す図である。
【発明を実施するための形態】
【0013】
以下、本発明の実施の形態を図面を参照して詳細に説明する。
【0014】
[第1の実施形態]
図1は、本発明の第1の実施形態に係る画像処理装置の概略構成を示すブロック図である。
【0015】
図1において、本発明の実施形態に係る画像処理装置は、例えば複合機101から成る。複合機101は、Network通信部102、UI操作部103、ユーザモード格納部104、ポリシー検証部105、ポリシー格納部106、ポリシー生成部107を備える。さらに、複合機101は、CPU108、RAM109、記憶装置110、印刷エンジン111、スキャナエンジン112、これらを互いに接続する内部バス113を備える。
【0016】
Network通信部102は、ネットワークに接続して外部の機器との通信を行う。
【0017】
UI操作部103は、複合機101上に配置され、複合機101の設定や状態等の表示を行う表示部と、ユーザの機器への操作を可能とする操作部を備える。表示部として、例えば液晶パネルで構成され、操作部としては液晶パネルと一体化したタッチパネルや接点がハード的に構成されたハードキー等で構成されるが、どのような構成でもよい。
【0018】
ユーザモード格納部104は、UI操作部103にてユーザにより設定された設定項目(以下、「ユーザモード」と呼ぶ)を格納する不揮発記憶装置である。
【0019】
ポリシー生成部107は、後述するポリシーテーブルとUI操作部103にてユーザにより設定されたセキュリティ・ポリシーからポリシーファイルを生成する。ポリシー格納部106は、ポリシー生成部107で生成されたポリシーファイルを格納する不揮発記憶装置である。ポリシーファイルの詳細については後述する。
【0020】
ポリシー検証部105は、ポリシー格納部106からポリシーファイルを取得し、ユーザモード格納部104からユーザモードを取得して、ポリシーファイルの内容とユーザモードの内容とを比較する。その比較結果から、複合機101に予め設定されたセキュリティ・ポリシーに適合するか否かの検証を行う。
【0021】
CPU108は、プリントデータの画像処理や各種制御を行う。RAM109は、CPU108が実行するプログラコードや画像データなどの情報を一時的に保持するメモリである。記憶装置110は、プログラムコードや画像データを保持する記憶装置であり、HDD(Hard Disk Drive)或いはSSD(Solid State Drive)により構成される。
【0022】
印刷エンジン111は、電子写真技術やインクジェット技術などの既知の技術を用いて、画像データを用紙等に印刷する印刷部である。スキャナエンジン112は、用紙等に印刷された画像を光学的に読み取るスキャナ部である。
【0023】
複合機101のコピー機能は、UI操作部103への操作に応じて、CPU108がスキャナエンジン112を制御して原稿から画像を読み込む。そして、スキャナエンジン112で得られた画像データをRAM109に一時格納し、必要な画像処理を施して印刷エンジン111に送信し印刷出力する。
【0024】
複合機101のPDF送信機能は、UI操作部103への操作に応じて、CPU108がスキャナエンジン112を制御して原稿から画像を読み込む。そして、スキャナエンジン112で得られた画像データをRAM109に一時格納し、所定のフォーマット変換を行い、指定された宛先に対して、Network通信部102により送信を行う。
【0025】
なお、ユーザモード格納部104と記憶装置110とを1つの記憶装置として構成してもよい。その場合、ユーザモードを記憶するための記憶領域が記憶装置110に確保される。また、ポリシー格納部106と記憶装置110とを1つの記憶装置として構成してもよい。その場合、ポリシーファイルを記憶するための記憶領域が記憶装置110に確保される。
【0026】
また、ポリシー検証部105を設けずに、CPU108がポリシー検証部105の機能を実現するようにしてもよい。その場合、ポリシー検証部105が実現する機能に相当するプログラムが記憶装置110に格納される。また、ポリシー生成部107を設けずに、CPU108がポリシー生成部107の機能を実現するようにしてもよい。その場合、ポリシー生成部107が実現する機能に相当するプログラムが記憶装置110に格納される。
【0027】
図2は、図1の複合機101におけるセキュリティ・ポリシーの設定・検証処理の流れを示すフローチャートである。本処理は、CPU108、またはCPU108による制御の元で図1に示した複合機101の構成要素のいずれかにより実行されるものである。CPU108は、複合機101の起動と共に動作を開始し、以降は複合機101が動作を停止するまで動作し続ける。
【0028】
図2において、ステップS200では、UI操作部103は、操作入力待ち状態にある。例えば、UI操作部103がタッチパネルの場合、液晶パネル上に表示されたアイコン部分を押下することによって操作入力が可能である。CPU108は、UI操作部103への操作入力があったと判断したならばステップS201へ進む。
【0029】
次に、ステップS201では、CPU108は、ユーザにより行われたUI操作部103への操作がセキュリティ・ポリシーの設定かどうかを判定する。セキュリティ・ポリシーの設定であると判定した場合は、セキュリティ・ポリシーの設定を受け付ける(ステップS202)。このセキュリティ・ポリシーの設定方法については後述する。なお、セキュリティ・ポリシーを設定するには予めユーザ認証を行い、セキュリティ・ポリシーを設定する権限を有するユーザであるか否かを確認する必要があるが、本実施形態では、それらの説明を省略する。
【0030】
セキュリティ・ポリシーの設定を受け付けた後は、現在のユーザモードのままでは不正な運用となる可能性があるため、CPU108は、セキュリティ・ポリシーを未チェック状態に変更(ステップS203)して、ステップS200に戻る。なお、セキュリティ・ポリシーのチェック状態(未チェック/チェック済み)は、ポリシー格納部106或いは記憶装置110に記憶されているものとする。
【0031】
一方、ステップS201でセキュリティ・ポリシーの設定ではないと判定された場合、CPU108は、ユーザにより行われた操作がユーザモードの設定(新規の設定登録、あるいは設定内容の変更)かどうかを判定する(ステップS204)。ユーザモードの設定でないと判定した場合は、ステップS208へ進む。一方、ユーザモードの設定であると判定した場合、CPU108は、ユーザモードの設定を受け付けて、ユーザモード格納部104に格納する(ステップS205)。
【0032】
ユーザモードの設定が完了した後、CPU108は、ユーザモードの中の複数の設定項目のうち、セキュリティに影響する設定項目について設定変更が行われたかどうかを判定する(ステップS206)。セキュリティに影響する設定項目とは、例えば、複合機101のユーザ認証に関する設定や、パスワードの桁数に関する設定や、Network通信部102における通信を許可するポートの設定や、データや通信に対する暗号化の要否や強度に関する設定を含む。また、それ以外にも複合機101のセキュリティに関する設定がセキュリティに影響する設定項目に含まれる。セキュリティに影響する設定変更が行われたと判定した場合、CPU108は、セキュリティ・ポリシーを未チェック状態に変更(ステップS207)して、ステップS200に戻る。一方、セキュリティに影響する設定変更が行われていないと判定した場合、そのままステップS200に戻る。
【0033】
ステップS208において、CPU108は、ユーザにより行われた操作がセキュリティ・ポリシーの検証の実行指示か否かを判定する。セキュリティ・ポリシーの検証の実行指示でないと判定した場合は、ステップS212へ進む。一方、セキュリティ・ポリシーの検証の実行指示であると判定した場合は、ポリシー検証部105によるセキュリティ・ポリシーの検証処理が行われる(ステップS209)。このセキュリティ・ポリシーの検証処理の詳細については後述する。
【0034】
次に、ステップS210において、UI操作部103は、セキュリティ・ポリシーの検証に成功したか否かを判定する。セキュリティ・ポリシーの検証に成功したと判定した場合、UI操作部103は、セキュリティ・ポリシーをチェック済み状態に変更(ステップS211)して、ステップS200に戻る。一方、セキュリティ・ポリシーの検証に失敗したと判定した場合には、そのままステップS200に戻る。
【0035】
ステップS212では、CPU108は、セキュリティ・ポリシーが未チェック状態か否かを判定する。セキュリティ・ポリシーが未チェック状態であると判定した場合、CPU108はUI操作部103に「セキュリティ・ポリシーが未チェックなので操作できません」等を表示させ、ユーザにより指定された複合機101の機能の実行を制限する(ステップS213)。一方、セキュリティ・ポリシーがチェック済み状態であると判定した場合、CPU108は、ユーザにより指定された複合機101の機能を実行する(ステップS214)。ここでいう機能とは、コピーやスキャン送信などの複合機101が有する機能である。
【0036】
上記処理において、セキュリティ・ポリシーのチェック状態は、セキュリティ・ポリシーの設定変更(ステップS202)或いはユーザモードの設定変更(ステップS205)に応じて、未チェック状態に変更(ステップS203、S207)される。セキュリティ・ポリシーが未チェックである場合には、複合機101による機能の実行が制限される。一方、セキュリティ・ポリシーの検証が成功することによってチェック済み状態に変更(ステップS211)される。そして、セキュリティ・ポリシーのチェック状態がチェック済みの場合のみ、複合機101の機能が実行される(ステップS214)。
【0037】
図3は、ユーザモード格納部104に保持されるユーザモードの一例を示す図である。
【0038】
図2のステップS205でUI操作部103がユーザから受け付けたユーザモードは、ユーザモード格納部104に格納される。図示の左欄には、ユーザモードの設定項目、右欄にはその設定値が保持されている。
【0039】
ユーザモード項目には、図示のように、例えば「IPP印刷/SSLを使用する」、「SMTP/SSLを使用する」、「SSL通信/暗号強度が強いものを使用する」、「PDF生成/暗号強度が強いものを使用する」がある。さらに、「ユーザ認証を使用する」、「ユーザ認証/パスワードの文字を制限する」がある。
【0040】
ユーザモードの設定値は、図示例では、「ON」又は「OFF」の2値で表現されているが、実際には数値を持っているか、複数の構造体構造を持っているものであってもよい。実際には、ユーザモード格納部104には、設定値のリストが格納されているが、そのリストはXML構造やCSV構造であってもよい。
【0041】
次に、複合機101のUI操作部103におけるセキュリティ・ポリシーの設定方法について説明する。
【0042】
図4は、UI操作部103に表示されるセキュリティ・ポリシーを設定するための設定画面の一例を示す図であり、(a)はポリシー設定画面、(b)はネットワーク通信ポリシー設定画面、(c)は認証ポリシー設定画面である。
【0043】
図2のステップS202では、図4(a)に示すポリシー設定画面がUI操作部103に表示される。ポリシー設定画面301には、ネットワーク通信ポリシーを設定するための設定ボタン302と、認証ポリシーを設定するための設定ボタン303が表示されている。なお、本実施形態では、説明を簡単にするために、ネットワーク通信ポリシーの設定ボタン302と、認証ポリシーの設定ボタン303の2つを説明するが、実際にはより多くのセキュリティ・ポリシーが存在してもよい。
【0044】
ポリシー設定画面301上で設定ボタン302が押下されると、図4(b)に示す設定画面304がUI操作部103に表示される。設定画面304では、2つのセキュリティ・ポリシー「通信経路は暗号化を行う」305と「暗号は強度があるものに限定する」306について設定することが可能である。そして、個々のセキュリティ・ポリシーの設定を「はい」、「いいえ」のラジオボタンで設定することができ、選択されたボタンが黒背景/白文字に変更される。図示例では、「通信経路は暗号化を行う」305と「暗号は強度があるものに限定する」306の双方がセキュリティ・ポリシーとして選択されていることを示している。OKボタン311が押下されると、ポリシー設定画面301に戻る。なお、「暗号は強度があるものに限定する」とは、例えば、暗号鍵のビット長が所定ビット長以上であることや、強い暗号化アルゴリズムを用いた特定の暗号化方式に限定することを意味している。
【0045】
ポリシー設定画面301上で設定ボタン303が押下されると、図4(c)に示す認証ポリシー設定画面307がUI操作部103に表示される。認証ポリシー設定画面307は、2つのセキュリティ・ポリシー「ユーザ認証を必須とする」308と「パスワードは強度があるものに限定する」309について設定することが可能である。そして、個々のセキュリティ・ポリシーの設定を「はい」、「いいえ」のラジオボタンで設定することができ、選択されたボタンが黒背景/白文字に変更される。図示例では、「ユーザ認証を必須とする」がセキュリティ・ポリシーとして選択されていることを示す。OKボタン312が押下されると、ポリシー設定画面301に戻る。なお、「パスワードは強度があるものに限定する」とは、例えば、パスワードの桁数が所定数以上のものに限定することや、パスワードの大文字と小文字とを区別することを意味する。
【0046】
図4(a)のポリシー設定画面301上でOKボタン310が押下されると、設定画面304,307で設定された内容に基づいて、ポリシー生成部107によりポリシーファイルが生成される。
【0047】
図5は、ポリシー生成部107が保持するポリシーテーブルの一例を示す図であり、(a)はネットワーク通信ポリシーのポリシーテーブルであり、(b)は認証ポリシーのポリシーテーブルである。
【0048】
ポリシーテーブルは、ポリシー生成部107の内部にデジタル情報として保管されており、その形式はXML形式やCSV形式などが考えられるが、表を表現できるデータ構造であれば、どのような形態でも構わない。図中の「ON」は、ポリシーによる必須条件があることを示し、「−」は必須条件が存在しないことを示す。
【0049】
図5(a)において、ネットワーク通信ポリシーの「通信経路は暗号化を行う」というセキュリティ・ポリシーが「はい」に選択されていた場合、表中に「ON」と記載されている2つの設定が必須であることを示している。その2つは「IPP印刷/SSLを使用する」と「SMTP/SSLを使用する」である。ここで、IPP(Internet Printing Protocol)は、RFC2565などで定義されたインターネットを介してプリンタや複合機に印刷データを送信するプロトコルを示す。また、SMTP(Simple Mail Transfer Protocol)は、RFC821で定義された電子メール送信のプロトコルであるが、複合機のスキャンした画像をメール送信の添付ファイルとしておくることを示している。いずれもネットワーク、特にインターネットを介した画像データの送受信に使用され、機密データが含まれる可能性があるために、SSL(Secure Socket Layer)を用いた通信経路の暗号化に用いられる。SSLは、TCPセッションに対して暗号化・完全性を付与するプロトコルであり、RFC2246で定義されている。
【0050】
同様に、「暗号は強度があるものに限定する」というセキュリティ・ポリシーが「はい」に選択されていた場合、表中に「ON」と記載されている2つの設定が必須であることを示している。その2つは「SSL通信/暗号強度が強いものを使用する」と「PDF生成/暗号強度が強いものを使用する」である。ここでPDF(Portable Document Format)はISO−32000で定義された電子文書のフォーマットであるが、機密保持のためにパスワードによる暗号化を行うことが可能である。PDFの暗号化方式は複数選択可能であり、このセキュリティ・ポリシーは強度が強いものに限定することを示している。
【0051】
図5(b)でも同様に、「ユーザ認証を必須とする」というポリシーが「はい」に選択された場合には、表中の「ON」と記載されている「ユーザ認証を使用する」という設定が必須となる。一方、本実施形態では、図4に示す認証ポリシー設定画面307上で「パスワードは強度があるものに限定する」というセキュリティ・ポリシーが「いいえ」に設定されているため、図5(b)に示す表中から必須となる設定が存在しない。
【0052】
ポリシー生成部107は、図示のポリシーテーブルと、UI操作部103で設定されたセキュリティ・ポリシーから、必須となる設定値の抽出を行い、必須となる設定値を記載したポリシーファイルを生成して、ポリシー格納部106へ保存する。
【0053】
図6は、本発明の第1の実施形態におけるポリシーファイルの一例を示す図である。
【0054】
ポリシーファイルは、上述したポリシーテーブルと各ポリシーの設定の組み合わせから抽出された必須となる設定値として、「制約条件」の欄に「ON」が記載され、必須となった原因となるポリシーが「制約理由」の欄に記載されている。一方、「制約条件」の欄が「−」となっている項目は制約が存在しないことを示している。
【0055】
ポリシーファイルの形式は、XML形式やCSV形式などが考えられるが、表を表現できるデータ構造であれば、どのような形態でも構わない。ポリシーファイルは、ポリシー検証部105により複合機101の各機能の動作を行うかどうかの判定のために使用される。
【0056】
図7は、図2のステップS209におけるセキュリティ・ポリシー検証処理の詳細を示すフローチャートである。本処理は、ポリシー検証部105により実行されるものである。ポリシー検証部105は、CPU108によって呼び出される。
【0057】
図7において、ステップS801では、ポリシー検証部105は、変数である検証成功フラグを「TRUE」に設定する。次に、ステップS802では、ポリシー検証部105は、ポリシー格納部106からポリシーファイルを取得する。ステップS803からステップS808はループとなっており、ポリシー検証部105は、ポリシーファイルから1行ずつ情報を取得する(ステップS803)。これは図6の各行に相当する。
【0058】
ステップS804では、ポリシー検証部105は、取得した行における制約条件を確認し、制約条件があるかどうかを判定する。例えば、図6において、「IPP印刷/SSLを使用する」の場合、「ON」が制約条件となる。制約条件が「ON」の場合は制約条件があり、「−」の場合は制約条件がないと見なされる。制約条件がないと判断された場合はステップS808に移行する。一方、制約条件がある場合には、ポリシー検証部105は、ユーザモード格納部104から該当するユーザモードの設定値を取得する(ステップS805)。この場合、ポリシー検証部105は、図3に示す設定項目「IPP印刷/SSLを使用する」に対応する設定値「ON」を取得する。
【0059】
次に、ステップS806では、ポリシー検証部105は、取得した行における制約条件と、取得したユーザモードの設定値が一致するか否かを判定する。上記例では、制約条件が「ON」、ユーザモードの設定値が「ON」となっており、制約条件が一致するため、該当する行に対するユーザモードの設定値はセキュリティ・ポリシーを維持できていると判定される。
【0060】
一方、ステップS806で一致しないと判定された場合、ポリシー検証部105は、検証成功フラグに「FALSE」を設定して(ステップS807)、ステップS808へ移行する。例えば、図6における「ユーザ認証を使用する」という行の制約条件は「ON」、図3における「ユーザ認証を使用する」というユーザモードの設定値は「OFF」となっており、制約条件が一致しない。そのため、該当する行に対するユーザモードの設定値はセキュリティ・ポリシーを維持できないと判定される。その結果、検証成功フラグには「FALSE」が設定される。このように、ポリシーファイルの全行に対して検証を行った結果、一箇所でも制約条件とユーザモードの設定値が一致しない場合には検証成功フラグがFALSEとなる。検証成功フラグは、図2のステップS210の判定に使用される。ポリシー検証部105は、検証成功フラグが「TRUE」の場合には、セキュリティ・ポリシーの検証に成功したと判定し、検証成功フラグが「FALSE」の場合には、セキュリティ・ポリシーの検証に失敗したと判定する。また、検証成功フラグは、複合機101における機能のアクセス制御に用いられる。
【0061】
図10(a)は、第1の実施形態におけるUI操作部103に表示されるアクセス制御時の機能選択画面の一例を示す図である。
【0062】
図10(a)において、機能選択画面901には、コピー機能を選択するためのアイコン902と、PDF送信を選択するためのアイコン903と、ユーザモード設定を選択するためのアイコン904が配置されている。さらに、ポリシー設定及び検証を選択するためのアイコン905が配置されている。
【0063】
図2のステップS213では、UI操作部103に機能実行時に「セキュリティ・ポリシー未チェックなので操作できません」と表示するようにしたが、機能が選択できないようにしてもよい。例えば、図10(a)では、アイコン902,903がアイコンを押下できない状態(図中の網掛け部)にされている。なお、アクセス制御が行われている状態でも、ユーザモード設定とポリシー設定及び検証は実行することが可能である。
【0064】
本実施形態における複合機101は、UI機能だけではなく、ネットワークを通じたサービスを提供することができる。代表的なものとして、プリンタポート(LPRやPORT9100など)を用いた印刷サービスがある。また、HTTP(HyperText Transfer Protocol,RFC2616で定義)を利用した、ウェブブラウザ用のWebインターフェイスが挙げられる。ネットワークによるサービスもUIと同様に、セキュリティ・ポリシーが維持できないと判断された場合にはサービスを遮断する。
【0065】
図8は、複合機101におけるネットワークのセキュリティ・ポリシー判定処理の流れを示すフローチャートである。本処理は、CPU108により実行されるものである。
【0066】
図8において、ステップS401では、CPU108は、図2のステップS203またはステップS207またはステップS211で設定されたセキュリティ・ポリシーのチェック状態を判定する。未チェック状態であると判定した場合、Network通信部102のネットワーク・ポートをクローズする(ステップS403)。一方、未チェック状態でないと判定した場合は、Network通信部102のネットワーク・ポートをオープンする(ステップS402)。なお、ステップS401〜S403の処理は、図2のステップS212〜S214にて行われてもよい。ここでネットワーク・ポートは、上述したサービスを実施するための具体的なインターフェイスであり、ネットワーク・ポートを閉じることによってサービスを制限することが可能である。なお、ネットワークは、実際にはプロトコル・スタックの実施が必要であるが、それは従来の技術と同様であり、それらの説明を省略する。
【0067】
本実施形態では、ネットワークへの接続する場合について説明したが、USB(Universal Serial Bus)のようなローカルインターフェイスでも適用可能である。
【0068】
本実施形態によれば、セキュリティ・ポリシーに影響する設定の変更が行われた場合、ユーザにより指定された機能を一時的に制限する。これにより、ユーザモードによる設定でセキュリティ・ポリシーが変更された場合でも、セキュリティ・ポリシーに反する動作の実行を抑止することができる。
【0069】
[第2の実施形態]
本発明の第2の実施の形態に係る画像処理装置は、その構成(図1)が上記第1の実施の形態に係る画像処理装置と同じであり、第1の実施の形態と同様の部分については、同一の符号を用いてその説明を省略する。以下に、上記第1の実施の形態と異なる点のみを説明する。
【0070】
上記第1の実施形態では、セキュリティ・ポリシーの検証が成功するまでは、複合機のすべての機能が制限を受けるようにしていた。しかし、設定されたセキュリティ・ポリシーに制限を受けない機能であれば、セキュリティ・ポリシーの検証を行わなくても動作させてよいと考えられるので、その方法について説明する。
【0071】
図9は、本発明の第2の実施形態におけるポリシーファイルの一例を示す図である。
【0072】
図9に示すポリシーファイルは、図6に示すポリシーファイルに対して、最右列に機能制御の欄が追加されている。機能制御は、該当する行のセキュリティ・ポリシーに制約を受ける機能を示している。図示例で制約条件が「ON」となっているもので、機能制御が該当する機能は、「プリント」、「ネットワーク」、「PDF送信」の3機能である。
【0073】
図10(b)は、第2の実施形態におけるUI操作部103に表示される機能選択画面の一例を示す図である。
【0074】
図示の機能選択画面は、ポリシーファイル或いはユーザモードの変更がなされており、セキュリティ・ポリシーが検証されていない状態で表示されている。
【0075】
図10(b)において、機能選択画面1001には、コピー機能を選択するためのアイコン1002と、PDF送信を選択するためのアイコン1003と、ユーザモード設定を選択するためのアイコン1004が配置されている。さらに、ポリシー設定及び検証を選択するためのアイコン1005が配置されている。
【0076】
図中で「PDF送信」は上述した通り、機能制御が該当する機能に含まれているため、セキュリティ・ポリシーの変更やユーザモードによる機能制御の可能性がある。そのため、第1の実施形態と同様に、検証されていない状態では、機能が選択できない状態(アイコンを押下できない状態)(図中の網掛け部)となっている。
【0077】
一方、コピー機能は上記機能制御に該当しないため、検証されていない状態でも、アイコン1002は押下可能である。このように、セキュリティ・ポリシーの影響を受けない機能の場合には、機能制限をかけずに使用可能とすることにより、様々な状況下での機能の可用性を向上させることが可能である。
【0078】
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワークまたは各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(またはCPUやMPU等)がプログラムを読み出して実行する処理である。
【符号の説明】
【0079】
101 複合機
102 Network通信部
103 UI操作部
104 ユーザモード格納部
105 ポリシー検証部
106 ポリシー格納部
107 ポリシー生成部
108 CPU
109 RAM
【技術分野】
【0001】
本発明は、画像処理装置及びその制御方法、並びにプログラムに関し、特に、ネットワークに接続された画像処理装置のセキュリティ・ポリシーの技術に関する。
【背景技術】
【0002】
近年の複合機には、単純に画像データを印刷したり、ネットワークを介して画像データを送信するだけではなく、パーソナルコンピュータ(PC)に対して画像データを提供するファイルサービス機能を有するものがある。
【0003】
一方、オフィス等のネットワークに接続するPCやサーバ機器(ファイルサーバや認証サーバ等)には、オフィス毎に決められたセキュリティ・ポリシーに従って運用することが求められている。複合機もまたPCやサーバ機器等と同様に、セキュリティ・ポリシーに従うことが求められている。ここでいうセキュリティ・ポリシーとは、例えば機器を操作する際にユーザ認証を必須とすることや、通信経路の暗号化を必須とするなど、オフィス内の機器の不正使用や情報漏えいを防ぐためのセキュリティ上の制約である。
【0004】
従来の複合機においては、機器のいくつかの動作設定(以下、「ユーザモード」と呼ぶ)を管理者が操作して上記セキュリティ・ポリシーに従って動作にさせることが可能である。
【0005】
しかしながら、従来のユーザモードによる設定では、複数の設定項目を正しく設定する必要があり、正しい設定がなされないと、セキュリティ・ポリシーが守られていない運用を事実上許容することになり、オフィスのセキュリティを脅かす可能性がある。
【0006】
そこで、ユーザモードの設定だけではなく、外部からセキュリティ・ポリシーを設定し、起動時にセキュリティ・ポリシーとユーザモード(セキュリティ設定手段)とを比較する。その結果、セキュリティ・ポリシーを順守できる設定であると判断された時にだけ起動を許可するシステムが提案されている(例えば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2009−230178号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
しかしながら、上記従来のシステムでは、以下の問題がある。すなわち、特許文献1では、起動時にセキュリティ・ポリシーとユーザモードの比較を行うため、再起動後はセキュリティ・ポリシーを守れる状態になる。一方、起動後に動的にセキュリティ・ポリシー或いはユーザモードの変更が行われた場合、次回起動まではセキュリティ・ポリシーが守られた状態で運用されている保障がなく、セキュリティ・ホールが発生するリスクが存在する。
【0009】
本発明は、上記問題に鑑み、ユーザモードによる設定でセキュリティ・ポリシーが変更された場合でも、セキュリティ・ポリシーに反する動作の実行を抑止することができる画像処理装置及びその制御方法、並びにプログラムを提供することを目的とする。
【課題を解決するための手段】
【0010】
上記目的を達成するために、本発明の画像処理装置は、複数の機能を備え、予めセキュリティ・ポリシーが設定された画像処理装置において、前記画像処理装置への操作を可能にする操作手段と、前記操作手段により前記画像処理装置の設定が変更された場合には、変更された設定の内容が前記セキュリティ・ポリシーに適合するかを検証する検証手段と、前記検証手段により前記セキュリティ・ポリシーに適合することが検証されるまで前記画像処理装置の動作の実行を制限する制限手段とを備えることを特徴とする。
【発明の効果】
【0011】
本発明によれば、セキュリティ・ポリシーに影響する設定の変更が行われた場合、ユーザにより指定された機能を一時的に制限する。これにより、ユーザモードによる設定でセキュリティ・ポリシーが変更された場合でも、セキュリティ・ポリシーに反する動作の実行を抑止することができる。
【図面の簡単な説明】
【0012】
【図1】本発明の第1の実施形態に係る画像処理装置の概略構成を示すブロック図である。
【図2】図1の複合機におけるセキュリティ・ポリシーの設定・検証処理の流れを示すフローチャートである。
【図3】ユーザモード格納部が保持するユーザモード一覧の一例を示す図である。
【図4】UI操作部に表示されるセキュリティ・ポリシーを設定するための設定画面の一例を示す図であり、(a)はポリシー設定画面、(b)はネットワーク通信ポリシー設定画面、(c)は認証ポリシー設定画面である。
【図5】ポリシー生成部が保持するポリシーテーブルの一例を示す図であり、(a)はネットワーク通信ポリシーのポリシーテーブルであり、(b)は認証ポリシーのポリシーテーブルである。
【図6】本発明の第1の実施形態におけるポリシーファイルの一例を示す図である。
【図7】図2のステップS209におけるセキュリティ・ポリシー検証処理の詳細を示すフローチャートである。
【図8】複合機におけるネットワーク通信ポリシーの判定動作を示すフローチャートである。
【図9】本発明の第2の実施形態におけるポリシーファイルの一例を示す図である。
【図10】(a)は第1の実施形態におけるUI操作部に表示されるアクセス制御時の機能選択画面の一例を示す図、(b)は第2の実施形態におけるUI操作部に表示される機能選択画面の一例を示す図である。
【発明を実施するための形態】
【0013】
以下、本発明の実施の形態を図面を参照して詳細に説明する。
【0014】
[第1の実施形態]
図1は、本発明の第1の実施形態に係る画像処理装置の概略構成を示すブロック図である。
【0015】
図1において、本発明の実施形態に係る画像処理装置は、例えば複合機101から成る。複合機101は、Network通信部102、UI操作部103、ユーザモード格納部104、ポリシー検証部105、ポリシー格納部106、ポリシー生成部107を備える。さらに、複合機101は、CPU108、RAM109、記憶装置110、印刷エンジン111、スキャナエンジン112、これらを互いに接続する内部バス113を備える。
【0016】
Network通信部102は、ネットワークに接続して外部の機器との通信を行う。
【0017】
UI操作部103は、複合機101上に配置され、複合機101の設定や状態等の表示を行う表示部と、ユーザの機器への操作を可能とする操作部を備える。表示部として、例えば液晶パネルで構成され、操作部としては液晶パネルと一体化したタッチパネルや接点がハード的に構成されたハードキー等で構成されるが、どのような構成でもよい。
【0018】
ユーザモード格納部104は、UI操作部103にてユーザにより設定された設定項目(以下、「ユーザモード」と呼ぶ)を格納する不揮発記憶装置である。
【0019】
ポリシー生成部107は、後述するポリシーテーブルとUI操作部103にてユーザにより設定されたセキュリティ・ポリシーからポリシーファイルを生成する。ポリシー格納部106は、ポリシー生成部107で生成されたポリシーファイルを格納する不揮発記憶装置である。ポリシーファイルの詳細については後述する。
【0020】
ポリシー検証部105は、ポリシー格納部106からポリシーファイルを取得し、ユーザモード格納部104からユーザモードを取得して、ポリシーファイルの内容とユーザモードの内容とを比較する。その比較結果から、複合機101に予め設定されたセキュリティ・ポリシーに適合するか否かの検証を行う。
【0021】
CPU108は、プリントデータの画像処理や各種制御を行う。RAM109は、CPU108が実行するプログラコードや画像データなどの情報を一時的に保持するメモリである。記憶装置110は、プログラムコードや画像データを保持する記憶装置であり、HDD(Hard Disk Drive)或いはSSD(Solid State Drive)により構成される。
【0022】
印刷エンジン111は、電子写真技術やインクジェット技術などの既知の技術を用いて、画像データを用紙等に印刷する印刷部である。スキャナエンジン112は、用紙等に印刷された画像を光学的に読み取るスキャナ部である。
【0023】
複合機101のコピー機能は、UI操作部103への操作に応じて、CPU108がスキャナエンジン112を制御して原稿から画像を読み込む。そして、スキャナエンジン112で得られた画像データをRAM109に一時格納し、必要な画像処理を施して印刷エンジン111に送信し印刷出力する。
【0024】
複合機101のPDF送信機能は、UI操作部103への操作に応じて、CPU108がスキャナエンジン112を制御して原稿から画像を読み込む。そして、スキャナエンジン112で得られた画像データをRAM109に一時格納し、所定のフォーマット変換を行い、指定された宛先に対して、Network通信部102により送信を行う。
【0025】
なお、ユーザモード格納部104と記憶装置110とを1つの記憶装置として構成してもよい。その場合、ユーザモードを記憶するための記憶領域が記憶装置110に確保される。また、ポリシー格納部106と記憶装置110とを1つの記憶装置として構成してもよい。その場合、ポリシーファイルを記憶するための記憶領域が記憶装置110に確保される。
【0026】
また、ポリシー検証部105を設けずに、CPU108がポリシー検証部105の機能を実現するようにしてもよい。その場合、ポリシー検証部105が実現する機能に相当するプログラムが記憶装置110に格納される。また、ポリシー生成部107を設けずに、CPU108がポリシー生成部107の機能を実現するようにしてもよい。その場合、ポリシー生成部107が実現する機能に相当するプログラムが記憶装置110に格納される。
【0027】
図2は、図1の複合機101におけるセキュリティ・ポリシーの設定・検証処理の流れを示すフローチャートである。本処理は、CPU108、またはCPU108による制御の元で図1に示した複合機101の構成要素のいずれかにより実行されるものである。CPU108は、複合機101の起動と共に動作を開始し、以降は複合機101が動作を停止するまで動作し続ける。
【0028】
図2において、ステップS200では、UI操作部103は、操作入力待ち状態にある。例えば、UI操作部103がタッチパネルの場合、液晶パネル上に表示されたアイコン部分を押下することによって操作入力が可能である。CPU108は、UI操作部103への操作入力があったと判断したならばステップS201へ進む。
【0029】
次に、ステップS201では、CPU108は、ユーザにより行われたUI操作部103への操作がセキュリティ・ポリシーの設定かどうかを判定する。セキュリティ・ポリシーの設定であると判定した場合は、セキュリティ・ポリシーの設定を受け付ける(ステップS202)。このセキュリティ・ポリシーの設定方法については後述する。なお、セキュリティ・ポリシーを設定するには予めユーザ認証を行い、セキュリティ・ポリシーを設定する権限を有するユーザであるか否かを確認する必要があるが、本実施形態では、それらの説明を省略する。
【0030】
セキュリティ・ポリシーの設定を受け付けた後は、現在のユーザモードのままでは不正な運用となる可能性があるため、CPU108は、セキュリティ・ポリシーを未チェック状態に変更(ステップS203)して、ステップS200に戻る。なお、セキュリティ・ポリシーのチェック状態(未チェック/チェック済み)は、ポリシー格納部106或いは記憶装置110に記憶されているものとする。
【0031】
一方、ステップS201でセキュリティ・ポリシーの設定ではないと判定された場合、CPU108は、ユーザにより行われた操作がユーザモードの設定(新規の設定登録、あるいは設定内容の変更)かどうかを判定する(ステップS204)。ユーザモードの設定でないと判定した場合は、ステップS208へ進む。一方、ユーザモードの設定であると判定した場合、CPU108は、ユーザモードの設定を受け付けて、ユーザモード格納部104に格納する(ステップS205)。
【0032】
ユーザモードの設定が完了した後、CPU108は、ユーザモードの中の複数の設定項目のうち、セキュリティに影響する設定項目について設定変更が行われたかどうかを判定する(ステップS206)。セキュリティに影響する設定項目とは、例えば、複合機101のユーザ認証に関する設定や、パスワードの桁数に関する設定や、Network通信部102における通信を許可するポートの設定や、データや通信に対する暗号化の要否や強度に関する設定を含む。また、それ以外にも複合機101のセキュリティに関する設定がセキュリティに影響する設定項目に含まれる。セキュリティに影響する設定変更が行われたと判定した場合、CPU108は、セキュリティ・ポリシーを未チェック状態に変更(ステップS207)して、ステップS200に戻る。一方、セキュリティに影響する設定変更が行われていないと判定した場合、そのままステップS200に戻る。
【0033】
ステップS208において、CPU108は、ユーザにより行われた操作がセキュリティ・ポリシーの検証の実行指示か否かを判定する。セキュリティ・ポリシーの検証の実行指示でないと判定した場合は、ステップS212へ進む。一方、セキュリティ・ポリシーの検証の実行指示であると判定した場合は、ポリシー検証部105によるセキュリティ・ポリシーの検証処理が行われる(ステップS209)。このセキュリティ・ポリシーの検証処理の詳細については後述する。
【0034】
次に、ステップS210において、UI操作部103は、セキュリティ・ポリシーの検証に成功したか否かを判定する。セキュリティ・ポリシーの検証に成功したと判定した場合、UI操作部103は、セキュリティ・ポリシーをチェック済み状態に変更(ステップS211)して、ステップS200に戻る。一方、セキュリティ・ポリシーの検証に失敗したと判定した場合には、そのままステップS200に戻る。
【0035】
ステップS212では、CPU108は、セキュリティ・ポリシーが未チェック状態か否かを判定する。セキュリティ・ポリシーが未チェック状態であると判定した場合、CPU108はUI操作部103に「セキュリティ・ポリシーが未チェックなので操作できません」等を表示させ、ユーザにより指定された複合機101の機能の実行を制限する(ステップS213)。一方、セキュリティ・ポリシーがチェック済み状態であると判定した場合、CPU108は、ユーザにより指定された複合機101の機能を実行する(ステップS214)。ここでいう機能とは、コピーやスキャン送信などの複合機101が有する機能である。
【0036】
上記処理において、セキュリティ・ポリシーのチェック状態は、セキュリティ・ポリシーの設定変更(ステップS202)或いはユーザモードの設定変更(ステップS205)に応じて、未チェック状態に変更(ステップS203、S207)される。セキュリティ・ポリシーが未チェックである場合には、複合機101による機能の実行が制限される。一方、セキュリティ・ポリシーの検証が成功することによってチェック済み状態に変更(ステップS211)される。そして、セキュリティ・ポリシーのチェック状態がチェック済みの場合のみ、複合機101の機能が実行される(ステップS214)。
【0037】
図3は、ユーザモード格納部104に保持されるユーザモードの一例を示す図である。
【0038】
図2のステップS205でUI操作部103がユーザから受け付けたユーザモードは、ユーザモード格納部104に格納される。図示の左欄には、ユーザモードの設定項目、右欄にはその設定値が保持されている。
【0039】
ユーザモード項目には、図示のように、例えば「IPP印刷/SSLを使用する」、「SMTP/SSLを使用する」、「SSL通信/暗号強度が強いものを使用する」、「PDF生成/暗号強度が強いものを使用する」がある。さらに、「ユーザ認証を使用する」、「ユーザ認証/パスワードの文字を制限する」がある。
【0040】
ユーザモードの設定値は、図示例では、「ON」又は「OFF」の2値で表現されているが、実際には数値を持っているか、複数の構造体構造を持っているものであってもよい。実際には、ユーザモード格納部104には、設定値のリストが格納されているが、そのリストはXML構造やCSV構造であってもよい。
【0041】
次に、複合機101のUI操作部103におけるセキュリティ・ポリシーの設定方法について説明する。
【0042】
図4は、UI操作部103に表示されるセキュリティ・ポリシーを設定するための設定画面の一例を示す図であり、(a)はポリシー設定画面、(b)はネットワーク通信ポリシー設定画面、(c)は認証ポリシー設定画面である。
【0043】
図2のステップS202では、図4(a)に示すポリシー設定画面がUI操作部103に表示される。ポリシー設定画面301には、ネットワーク通信ポリシーを設定するための設定ボタン302と、認証ポリシーを設定するための設定ボタン303が表示されている。なお、本実施形態では、説明を簡単にするために、ネットワーク通信ポリシーの設定ボタン302と、認証ポリシーの設定ボタン303の2つを説明するが、実際にはより多くのセキュリティ・ポリシーが存在してもよい。
【0044】
ポリシー設定画面301上で設定ボタン302が押下されると、図4(b)に示す設定画面304がUI操作部103に表示される。設定画面304では、2つのセキュリティ・ポリシー「通信経路は暗号化を行う」305と「暗号は強度があるものに限定する」306について設定することが可能である。そして、個々のセキュリティ・ポリシーの設定を「はい」、「いいえ」のラジオボタンで設定することができ、選択されたボタンが黒背景/白文字に変更される。図示例では、「通信経路は暗号化を行う」305と「暗号は強度があるものに限定する」306の双方がセキュリティ・ポリシーとして選択されていることを示している。OKボタン311が押下されると、ポリシー設定画面301に戻る。なお、「暗号は強度があるものに限定する」とは、例えば、暗号鍵のビット長が所定ビット長以上であることや、強い暗号化アルゴリズムを用いた特定の暗号化方式に限定することを意味している。
【0045】
ポリシー設定画面301上で設定ボタン303が押下されると、図4(c)に示す認証ポリシー設定画面307がUI操作部103に表示される。認証ポリシー設定画面307は、2つのセキュリティ・ポリシー「ユーザ認証を必須とする」308と「パスワードは強度があるものに限定する」309について設定することが可能である。そして、個々のセキュリティ・ポリシーの設定を「はい」、「いいえ」のラジオボタンで設定することができ、選択されたボタンが黒背景/白文字に変更される。図示例では、「ユーザ認証を必須とする」がセキュリティ・ポリシーとして選択されていることを示す。OKボタン312が押下されると、ポリシー設定画面301に戻る。なお、「パスワードは強度があるものに限定する」とは、例えば、パスワードの桁数が所定数以上のものに限定することや、パスワードの大文字と小文字とを区別することを意味する。
【0046】
図4(a)のポリシー設定画面301上でOKボタン310が押下されると、設定画面304,307で設定された内容に基づいて、ポリシー生成部107によりポリシーファイルが生成される。
【0047】
図5は、ポリシー生成部107が保持するポリシーテーブルの一例を示す図であり、(a)はネットワーク通信ポリシーのポリシーテーブルであり、(b)は認証ポリシーのポリシーテーブルである。
【0048】
ポリシーテーブルは、ポリシー生成部107の内部にデジタル情報として保管されており、その形式はXML形式やCSV形式などが考えられるが、表を表現できるデータ構造であれば、どのような形態でも構わない。図中の「ON」は、ポリシーによる必須条件があることを示し、「−」は必須条件が存在しないことを示す。
【0049】
図5(a)において、ネットワーク通信ポリシーの「通信経路は暗号化を行う」というセキュリティ・ポリシーが「はい」に選択されていた場合、表中に「ON」と記載されている2つの設定が必須であることを示している。その2つは「IPP印刷/SSLを使用する」と「SMTP/SSLを使用する」である。ここで、IPP(Internet Printing Protocol)は、RFC2565などで定義されたインターネットを介してプリンタや複合機に印刷データを送信するプロトコルを示す。また、SMTP(Simple Mail Transfer Protocol)は、RFC821で定義された電子メール送信のプロトコルであるが、複合機のスキャンした画像をメール送信の添付ファイルとしておくることを示している。いずれもネットワーク、特にインターネットを介した画像データの送受信に使用され、機密データが含まれる可能性があるために、SSL(Secure Socket Layer)を用いた通信経路の暗号化に用いられる。SSLは、TCPセッションに対して暗号化・完全性を付与するプロトコルであり、RFC2246で定義されている。
【0050】
同様に、「暗号は強度があるものに限定する」というセキュリティ・ポリシーが「はい」に選択されていた場合、表中に「ON」と記載されている2つの設定が必須であることを示している。その2つは「SSL通信/暗号強度が強いものを使用する」と「PDF生成/暗号強度が強いものを使用する」である。ここでPDF(Portable Document Format)はISO−32000で定義された電子文書のフォーマットであるが、機密保持のためにパスワードによる暗号化を行うことが可能である。PDFの暗号化方式は複数選択可能であり、このセキュリティ・ポリシーは強度が強いものに限定することを示している。
【0051】
図5(b)でも同様に、「ユーザ認証を必須とする」というポリシーが「はい」に選択された場合には、表中の「ON」と記載されている「ユーザ認証を使用する」という設定が必須となる。一方、本実施形態では、図4に示す認証ポリシー設定画面307上で「パスワードは強度があるものに限定する」というセキュリティ・ポリシーが「いいえ」に設定されているため、図5(b)に示す表中から必須となる設定が存在しない。
【0052】
ポリシー生成部107は、図示のポリシーテーブルと、UI操作部103で設定されたセキュリティ・ポリシーから、必須となる設定値の抽出を行い、必須となる設定値を記載したポリシーファイルを生成して、ポリシー格納部106へ保存する。
【0053】
図6は、本発明の第1の実施形態におけるポリシーファイルの一例を示す図である。
【0054】
ポリシーファイルは、上述したポリシーテーブルと各ポリシーの設定の組み合わせから抽出された必須となる設定値として、「制約条件」の欄に「ON」が記載され、必須となった原因となるポリシーが「制約理由」の欄に記載されている。一方、「制約条件」の欄が「−」となっている項目は制約が存在しないことを示している。
【0055】
ポリシーファイルの形式は、XML形式やCSV形式などが考えられるが、表を表現できるデータ構造であれば、どのような形態でも構わない。ポリシーファイルは、ポリシー検証部105により複合機101の各機能の動作を行うかどうかの判定のために使用される。
【0056】
図7は、図2のステップS209におけるセキュリティ・ポリシー検証処理の詳細を示すフローチャートである。本処理は、ポリシー検証部105により実行されるものである。ポリシー検証部105は、CPU108によって呼び出される。
【0057】
図7において、ステップS801では、ポリシー検証部105は、変数である検証成功フラグを「TRUE」に設定する。次に、ステップS802では、ポリシー検証部105は、ポリシー格納部106からポリシーファイルを取得する。ステップS803からステップS808はループとなっており、ポリシー検証部105は、ポリシーファイルから1行ずつ情報を取得する(ステップS803)。これは図6の各行に相当する。
【0058】
ステップS804では、ポリシー検証部105は、取得した行における制約条件を確認し、制約条件があるかどうかを判定する。例えば、図6において、「IPP印刷/SSLを使用する」の場合、「ON」が制約条件となる。制約条件が「ON」の場合は制約条件があり、「−」の場合は制約条件がないと見なされる。制約条件がないと判断された場合はステップS808に移行する。一方、制約条件がある場合には、ポリシー検証部105は、ユーザモード格納部104から該当するユーザモードの設定値を取得する(ステップS805)。この場合、ポリシー検証部105は、図3に示す設定項目「IPP印刷/SSLを使用する」に対応する設定値「ON」を取得する。
【0059】
次に、ステップS806では、ポリシー検証部105は、取得した行における制約条件と、取得したユーザモードの設定値が一致するか否かを判定する。上記例では、制約条件が「ON」、ユーザモードの設定値が「ON」となっており、制約条件が一致するため、該当する行に対するユーザモードの設定値はセキュリティ・ポリシーを維持できていると判定される。
【0060】
一方、ステップS806で一致しないと判定された場合、ポリシー検証部105は、検証成功フラグに「FALSE」を設定して(ステップS807)、ステップS808へ移行する。例えば、図6における「ユーザ認証を使用する」という行の制約条件は「ON」、図3における「ユーザ認証を使用する」というユーザモードの設定値は「OFF」となっており、制約条件が一致しない。そのため、該当する行に対するユーザモードの設定値はセキュリティ・ポリシーを維持できないと判定される。その結果、検証成功フラグには「FALSE」が設定される。このように、ポリシーファイルの全行に対して検証を行った結果、一箇所でも制約条件とユーザモードの設定値が一致しない場合には検証成功フラグがFALSEとなる。検証成功フラグは、図2のステップS210の判定に使用される。ポリシー検証部105は、検証成功フラグが「TRUE」の場合には、セキュリティ・ポリシーの検証に成功したと判定し、検証成功フラグが「FALSE」の場合には、セキュリティ・ポリシーの検証に失敗したと判定する。また、検証成功フラグは、複合機101における機能のアクセス制御に用いられる。
【0061】
図10(a)は、第1の実施形態におけるUI操作部103に表示されるアクセス制御時の機能選択画面の一例を示す図である。
【0062】
図10(a)において、機能選択画面901には、コピー機能を選択するためのアイコン902と、PDF送信を選択するためのアイコン903と、ユーザモード設定を選択するためのアイコン904が配置されている。さらに、ポリシー設定及び検証を選択するためのアイコン905が配置されている。
【0063】
図2のステップS213では、UI操作部103に機能実行時に「セキュリティ・ポリシー未チェックなので操作できません」と表示するようにしたが、機能が選択できないようにしてもよい。例えば、図10(a)では、アイコン902,903がアイコンを押下できない状態(図中の網掛け部)にされている。なお、アクセス制御が行われている状態でも、ユーザモード設定とポリシー設定及び検証は実行することが可能である。
【0064】
本実施形態における複合機101は、UI機能だけではなく、ネットワークを通じたサービスを提供することができる。代表的なものとして、プリンタポート(LPRやPORT9100など)を用いた印刷サービスがある。また、HTTP(HyperText Transfer Protocol,RFC2616で定義)を利用した、ウェブブラウザ用のWebインターフェイスが挙げられる。ネットワークによるサービスもUIと同様に、セキュリティ・ポリシーが維持できないと判断された場合にはサービスを遮断する。
【0065】
図8は、複合機101におけるネットワークのセキュリティ・ポリシー判定処理の流れを示すフローチャートである。本処理は、CPU108により実行されるものである。
【0066】
図8において、ステップS401では、CPU108は、図2のステップS203またはステップS207またはステップS211で設定されたセキュリティ・ポリシーのチェック状態を判定する。未チェック状態であると判定した場合、Network通信部102のネットワーク・ポートをクローズする(ステップS403)。一方、未チェック状態でないと判定した場合は、Network通信部102のネットワーク・ポートをオープンする(ステップS402)。なお、ステップS401〜S403の処理は、図2のステップS212〜S214にて行われてもよい。ここでネットワーク・ポートは、上述したサービスを実施するための具体的なインターフェイスであり、ネットワーク・ポートを閉じることによってサービスを制限することが可能である。なお、ネットワークは、実際にはプロトコル・スタックの実施が必要であるが、それは従来の技術と同様であり、それらの説明を省略する。
【0067】
本実施形態では、ネットワークへの接続する場合について説明したが、USB(Universal Serial Bus)のようなローカルインターフェイスでも適用可能である。
【0068】
本実施形態によれば、セキュリティ・ポリシーに影響する設定の変更が行われた場合、ユーザにより指定された機能を一時的に制限する。これにより、ユーザモードによる設定でセキュリティ・ポリシーが変更された場合でも、セキュリティ・ポリシーに反する動作の実行を抑止することができる。
【0069】
[第2の実施形態]
本発明の第2の実施の形態に係る画像処理装置は、その構成(図1)が上記第1の実施の形態に係る画像処理装置と同じであり、第1の実施の形態と同様の部分については、同一の符号を用いてその説明を省略する。以下に、上記第1の実施の形態と異なる点のみを説明する。
【0070】
上記第1の実施形態では、セキュリティ・ポリシーの検証が成功するまでは、複合機のすべての機能が制限を受けるようにしていた。しかし、設定されたセキュリティ・ポリシーに制限を受けない機能であれば、セキュリティ・ポリシーの検証を行わなくても動作させてよいと考えられるので、その方法について説明する。
【0071】
図9は、本発明の第2の実施形態におけるポリシーファイルの一例を示す図である。
【0072】
図9に示すポリシーファイルは、図6に示すポリシーファイルに対して、最右列に機能制御の欄が追加されている。機能制御は、該当する行のセキュリティ・ポリシーに制約を受ける機能を示している。図示例で制約条件が「ON」となっているもので、機能制御が該当する機能は、「プリント」、「ネットワーク」、「PDF送信」の3機能である。
【0073】
図10(b)は、第2の実施形態におけるUI操作部103に表示される機能選択画面の一例を示す図である。
【0074】
図示の機能選択画面は、ポリシーファイル或いはユーザモードの変更がなされており、セキュリティ・ポリシーが検証されていない状態で表示されている。
【0075】
図10(b)において、機能選択画面1001には、コピー機能を選択するためのアイコン1002と、PDF送信を選択するためのアイコン1003と、ユーザモード設定を選択するためのアイコン1004が配置されている。さらに、ポリシー設定及び検証を選択するためのアイコン1005が配置されている。
【0076】
図中で「PDF送信」は上述した通り、機能制御が該当する機能に含まれているため、セキュリティ・ポリシーの変更やユーザモードによる機能制御の可能性がある。そのため、第1の実施形態と同様に、検証されていない状態では、機能が選択できない状態(アイコンを押下できない状態)(図中の網掛け部)となっている。
【0077】
一方、コピー機能は上記機能制御に該当しないため、検証されていない状態でも、アイコン1002は押下可能である。このように、セキュリティ・ポリシーの影響を受けない機能の場合には、機能制限をかけずに使用可能とすることにより、様々な状況下での機能の可用性を向上させることが可能である。
【0078】
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワークまたは各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(またはCPUやMPU等)がプログラムを読み出して実行する処理である。
【符号の説明】
【0079】
101 複合機
102 Network通信部
103 UI操作部
104 ユーザモード格納部
105 ポリシー検証部
106 ポリシー格納部
107 ポリシー生成部
108 CPU
109 RAM
【特許請求の範囲】
【請求項1】
複数の機能を備え、予めセキュリティ・ポリシーが設定された画像処理装置において、
前記画像処理装置への操作を可能にする操作手段と、
前記操作手段により前記画像処理装置の設定が変更された場合には、変更された設定の内容が前記セキュリティ・ポリシーに適合するかを検証する検証手段と、
前記検証手段により前記セキュリティ・ポリシーに適合することが検証されるまで前記画像処理装置の動作の実行を制限する制限手段とを備えることを特徴とする画像処理装置。
【請求項2】
前記変更された設定を判定する判定手段と、
前記判定手段により前記変更された設定がセキュリティ・ポリシーの設定または前記画像処理装置の動作の設定であると判定された場合には、前記制限手段による制限を行うように制御する制御手段とをさらに備えることを特徴とする請求項1記載の画像処理装置。
【請求項3】
前記検証手段は、
前記予め画像処理装置に設定されたセキュリティ・ポリシーと前記操作手段により変更されたセキュリティ・ポリシーから必須となる制約条件を抽出したポリシーファイルを生成する生成手段と、
前記生成されたポリシーファイルの制約条件と前記操作手段により変更された設定の内容から得られる設定値とを比較して一致するか否かを判定する比較手段とを備え、
前記制限手段は、前記制約条件と前記設定値が一致しないものがある場合には、前記画像処理装置の動作の実行を制限することを特徴とする請求項2記載の画像処理装置。
【請求項4】
前記制御手段は、前記操作手段により前記セキュリティ・ポリシーの検証の実行指示がなされた場合には、前記検証手段による検証を実行するように制御することを特徴とする請求項2に記載の画像処理装置。
【請求項5】
前記制限手段は、前記複数の機能が全て選択できないように制限することを特徴とする請求項1乃至4のいずれか1項に記載の画像処理装置。
【請求項6】
前記制限手段は、前記複数の機能のうち、前記セキュリティ・ポリシーの影響を受ける機能のみを選択できないように制限することを特徴とする請求項1乃至4のいずれか1項に記載の画像処理装置。
【請求項7】
前記制限手段は、前記検証手段により前記セキュリティ・ポリシーに適合することが検証されるまで前記画像処理装置の外部との通信を遮断することを特徴とする請求項1記載の画像処理装置。
【請求項8】
操作手段と、複数の機能とを備え、予めセキュリティ・ポリシーが設定された画像処理装置の制御方法において、
前記操作手段により前記画像処理装置の設定が変更された場合には、変更された設定の内容が前記セキュリティ・ポリシーに適合するかを検証する検証工程と、
前記検証工程にて前記セキュリティ・ポリシーに適合することが検証されるまで前記画像処理装置の動作の実行を制限する制限工程とを備えることを特徴とする制御方法。
【請求項9】
請求項8記載の制御方法を画像処理装置に実行させるためのコンピュータに読み取り可能なプログラム。
【請求項1】
複数の機能を備え、予めセキュリティ・ポリシーが設定された画像処理装置において、
前記画像処理装置への操作を可能にする操作手段と、
前記操作手段により前記画像処理装置の設定が変更された場合には、変更された設定の内容が前記セキュリティ・ポリシーに適合するかを検証する検証手段と、
前記検証手段により前記セキュリティ・ポリシーに適合することが検証されるまで前記画像処理装置の動作の実行を制限する制限手段とを備えることを特徴とする画像処理装置。
【請求項2】
前記変更された設定を判定する判定手段と、
前記判定手段により前記変更された設定がセキュリティ・ポリシーの設定または前記画像処理装置の動作の設定であると判定された場合には、前記制限手段による制限を行うように制御する制御手段とをさらに備えることを特徴とする請求項1記載の画像処理装置。
【請求項3】
前記検証手段は、
前記予め画像処理装置に設定されたセキュリティ・ポリシーと前記操作手段により変更されたセキュリティ・ポリシーから必須となる制約条件を抽出したポリシーファイルを生成する生成手段と、
前記生成されたポリシーファイルの制約条件と前記操作手段により変更された設定の内容から得られる設定値とを比較して一致するか否かを判定する比較手段とを備え、
前記制限手段は、前記制約条件と前記設定値が一致しないものがある場合には、前記画像処理装置の動作の実行を制限することを特徴とする請求項2記載の画像処理装置。
【請求項4】
前記制御手段は、前記操作手段により前記セキュリティ・ポリシーの検証の実行指示がなされた場合には、前記検証手段による検証を実行するように制御することを特徴とする請求項2に記載の画像処理装置。
【請求項5】
前記制限手段は、前記複数の機能が全て選択できないように制限することを特徴とする請求項1乃至4のいずれか1項に記載の画像処理装置。
【請求項6】
前記制限手段は、前記複数の機能のうち、前記セキュリティ・ポリシーの影響を受ける機能のみを選択できないように制限することを特徴とする請求項1乃至4のいずれか1項に記載の画像処理装置。
【請求項7】
前記制限手段は、前記検証手段により前記セキュリティ・ポリシーに適合することが検証されるまで前記画像処理装置の外部との通信を遮断することを特徴とする請求項1記載の画像処理装置。
【請求項8】
操作手段と、複数の機能とを備え、予めセキュリティ・ポリシーが設定された画像処理装置の制御方法において、
前記操作手段により前記画像処理装置の設定が変更された場合には、変更された設定の内容が前記セキュリティ・ポリシーに適合するかを検証する検証工程と、
前記検証工程にて前記セキュリティ・ポリシーに適合することが検証されるまで前記画像処理装置の動作の実行を制限する制限工程とを備えることを特徴とする制御方法。
【請求項9】
請求項8記載の制御方法を画像処理装置に実行させるためのコンピュータに読み取り可能なプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2012−238071(P2012−238071A)
【公開日】平成24年12月6日(2012.12.6)
【国際特許分類】
【出願番号】特願2011−105086(P2011−105086)
【出願日】平成23年5月10日(2011.5.10)
【出願人】(000001007)キヤノン株式会社 (59,756)
【Fターム(参考)】
【公開日】平成24年12月6日(2012.12.6)
【国際特許分類】
【出願日】平成23年5月10日(2011.5.10)
【出願人】(000001007)キヤノン株式会社 (59,756)
【Fターム(参考)】
[ Back to top ]