通信装置、その制御方法およびプログラム
【課題】発生した障害を解析する際、機密情報の漏洩を防止する通信装置を提供する。
【解決手段】パケット取得アプリケーション305が実行されると、CPU201は、ネットワーク103からTCP/IPのパケットを受信すると、UDPヘッダあるいはTCPヘッダのポート番号を抽出する(S3)。CPU201は、ポート番号が値21の場合、FTPパケットの解析を行い(S4)、FTPのパスワードが含まれているか否かを解析する。CPU201は、ポート番号が値110の場合、POPパケットの解析を行い(S5)、POPのパスワードが含まれているか否かを解析する。解析の結果、パスワードが存在しない場合、CPU201は、そのままパケットデータを保存する(S9)。一方、パスワードが存在する場合、CPU201は、パスワード部分を値0のデータで埋めてパスワード部分を消去し、パケットデータを保存する(S9)。
【解決手段】パケット取得アプリケーション305が実行されると、CPU201は、ネットワーク103からTCP/IPのパケットを受信すると、UDPヘッダあるいはTCPヘッダのポート番号を抽出する(S3)。CPU201は、ポート番号が値21の場合、FTPパケットの解析を行い(S4)、FTPのパスワードが含まれているか否かを解析する。CPU201は、ポート番号が値110の場合、POPパケットの解析を行い(S5)、POPのパスワードが含まれているか否かを解析する。解析の結果、パスワードが存在しない場合、CPU201は、そのままパケットデータを保存する(S9)。一方、パスワードが存在する場合、CPU201は、パスワード部分を値0のデータで埋めてパスワード部分を消去し、パケットデータを保存する(S9)。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、データの解析機能を有する通信装置、その制御方法およびプログラムに関する。
【背景技術】
【0002】
従来から、ネットワーク通信機器で障害が発生した場合、ネットワーク通信路を流れるパケットを採取して障害の原因を調査する手法が存在していた。その一般的な方法では、障害の解析者は、パケット取得を行う専用の機器をHUBなどの集線機器に接続し、LAN(Local Area Network)上を流れるパケットを採取する。
【0003】
さらに、障害の解析者は、採取したパケットから、調査対象となるネットワーク通信機器が送受信しているパケットのデータの内容を解析し、規定外のデータを受信している箇所や、受信パケットに対する応答遅延が発生している箇所を特定する。
【0004】
そして、障害の解析者は、それらの箇所が障害の原因であるか否かを切り分けるために、同一のパケットをネットワーク機器に送信して障害の再現確認を行ったり、ネットワーク機器の通信を司るソースコードを解析するといった原因調査を行う。
【0005】
このようなパケットの取得や解析作業において、パケットの取得機器の記憶領域を確保することや、また解析作業の労力を削減することを目的として、パケットのフィルタリング機能が存在する。このフィルタリング機能では、特定の条件にマッチするパケットのみを取得することで、採取するパケット数を削減することができ、採取したパケットを記録するメモリ領域や、長期的に保存するためのハードディスク領域を削減することができる。加えて、解析に要する工数を削減することが可能となる。
【0006】
一般的に、フィルタリングのルールは、ネットワークプロトコルの要素で指定されることが多い。例えば、IP(Internet Protocol)やARP(Address Resolution Protocol)などのように特定のプロトコルのみをフィルタリングし、それらのプロトコルのパケットのみを採取することが可能となる。
【0007】
また各々のプロトコルにおいても、より詳細な要素に分解したフィルタリングが可能である。例として、IPプロトコルにおいて、特定のDSTアドレス(送信先アドレス)、特定のSRCアドレス(送信元アドレス)、特定の上位層のプロトコルなどの条件を設定することで、詳細なフィルタリングを行うことが可能になる。
【0008】
また近年、パケットの取得機能が備わったネットワーク通信機器も普及し始めている。これにより、パケットの採取を行うための専用の機器を使用しなくても、パケットの取得が可能となる。このため、スイッチングHUBが導入された環境のように専用機器を接続したとしてもパケットの採取を正しく行うことができない場合でも、採取が可能になった。
【0009】
加えて、最近では、ネットワーク機器の用途や特徴に特化したフィルタリングが可能である。これは、前述のネットワークプロトコルの要素単位でのフィルタリングとは異なり、機器が持っている機能に特化したフィルタリングを行うことにより、障害解析の効率をより向上させることが可能である。
【0010】
例として、ネットワークプリンタにおいて、受信した印刷ジョブ単位でデータの保存が可能である(特許文献1参照)。これにより、ネットワーク経由での印刷時に発生した障害の解析において、障害が発生した印刷ジョブのみを抽出することが可能となり、解析の効率が向上する。
【特許文献1】特開2004−362386号公報
【発明の開示】
【発明が解決しようとする課題】
【0011】
しかしながら、上記従来のパケット取得方法では、次のような問題があった。すなわち、前述のパケットキャプチャリング技術では、ネットワーク上で送受信される機密情報も取得可能となる。ここで、機密情報として、パスワードなどの認証情報が代表的である。
【0012】
ネットワーク通信機器としての画像形成装置に障害が発生した場合、障害の解析者は、画像形成装置が送受信するパケットを取得したい場合、顧客などの個人が使用しているパスワードなどの機密情報も取得することになる。このような場合、そのパケットデータが外部に漏洩する事態に至る可能性を伴うため、パケットそのものの取得が許可されない、あるいは、解析のために外部に持ち出すことが許可されない事態となり、障害そのものの解析が難航する可能性がある。
【0013】
そこで、本発明は、発生した障害を解析する際、機密情報の漏洩を防止することができる通信装置、その制御方法およびプログラムを提供することを目的とする。
【課題を解決するための手段】
【0014】
上記目的を達成するために、本発明の通信装置は、データの解析機能を有する通信装置であって、通信回線からデータを取得する取得手段と、前記取得したデータに所定の条件を満たす特定のデータが存在するか否かを解析する解析手段と、前記解析の結果、前記特定のデータが存在する場合、当該特定のデータ部分を消去する消去手段と、前記消去された特定のデータ部分以外の前記データを保存する保存手段とを備えたことを特徴とする。
【0015】
本発明の通信装置の制御方法は、データの解析機能を有する通信装置の制御方法であって、前記通信装置が、通信回線からデータを取得する取得ステップと、前記通信装置が、前記取得したデータに所定の条件を満たす特定のデータが存在するか否かを解析する解析ステップと、前記通信装置が、前記解析の結果、前記特定のデータが存在する場合、当該特定のデータ部分を消去する消去ステップと、前記通信装置が、前記消去された特定のデータ部分以外の前記データを保存する保存ステップとを有することを特徴とする。
【0016】
本発明のプログラムは、データの解析機能を有する通信装置の制御方法をコンピュータに実行させるプログラムにおいて、前記制御方法は、前記通信装置が、通信回線からデータを取得する取得ステップと、前記通信装置が、前記取得したデータに所定の条件を満たす特定のデータが存在するか否かを解析する解析ステップと、前記通信装置が、前記解析の結果、前記特定のデータが存在する場合、当該特定のデータ部分を消去する消去ステップと、前記通信装置が、前記消去された特定のデータ部分以外の前記データを保存する保存ステップとを有することを特徴とする。
【発明の効果】
【0017】
本発明の請求項1、4に係る通信装置によれば、データを解析する際、機密情報である特定のデータを除いたデータを取得することができる。これにより、通信装置で発生した障害を解析する際、特定のデータとして機密情報の漏洩を防止することができる。
【0018】
請求項2に係る通信装置によれば、通信装置で発生した障害の解析のために、機密情報等の特定のデータを除いたパケットデータの取得が可能となる。従って、記録されたパケットデータに特定のデータが含まれないので、その漏洩のおそれが少なく、記録されたパケットデータを解析するために、外部に持ち出すことが可能となる。
【0019】
請求項3に係る通信装置によれば、パケットデータの種類に応じて異なる特定のデータの存在が解析されるので、機密情報に限らず、種々の特定のデータの保護が可能となる。
【0020】
請求項5に係る通信装置によれば、特定のデータを所定の値で置き換えるので、簡単に特定のデータを消去することができる。
【発明を実施するための最良の形態】
【0021】
本発明の通信装置、その制御方法およびプログラムの実施の形態について図面を参照しながら説明する。本実施形態の通信装置は、ネットワークに接続されたネットワーク通信機器である画像形成装置に適用される。
【0022】
図1は本実施形態の画像形成装置を含むネットワークシステムの構成を示す図である。ユーザ環境のネットワークはEthernet(登録商標)規格のLAN103である。LAN103には、それぞれネットワークインターフェイスを有する複数のノードが接続されている。ここでは、複数のノードとして、MFP(複合機)101、一般的なパーソナルコンピュータであるPC102、104、および電子メールサーバであるメールサーバ105が接続されている。
【0023】
PC102、PC104には、中央演算装置としてCPU(Central Processing Unit)が存在する。また、記憶装置として、RAM(Random Access Memory)、ROM(Read Only Memory)、HDD(Hard Disk Drive)が存在する。また、外部記憶装置として、CD−ROMドライブ(Compact Disc Read Only Memory)が存在する。また、外部インターフェイスとして、NIC(Network Interface Card)、USBホストインターフェイス(Universal Serial Bus)が存在する。また、これらの装置や後述の周辺装置を制御するためのバスが備わっている。また、パーソナルコンピュータ本体に接続される周辺機器として、マウス、CRTディスプレイ、キーボード等が存在する。
【0024】
また、PC102に導入されているソフトウェアの主なものとしては、OS(Operating Software)、およびワードプロセッサや表計算ソフトといったオフィスソフトウェアが備わっている。OSには、その一機能として印刷データをプリンタやMFPにネットワークを経由して送信するためのポートモニタが備わっている。また、後述するメールサーバ105に電子メールを送信したり、電子メールを受信したりといった電子メール送受信を行うためのメーラも導入されている。
【0025】
メールサーバ105は、電子メールサーバであり、SMTP(Simple Mail Transfer Protocol)やPOP3(Post Office Protocol)を用いて電子メールの送受信を司るサーバである。メールサーバ105には、MFP101、PC102およびPC104の電子メールアカウントが設定されている。それぞれのノードは、メールサーバ105を経由して電子メールを送信することが可能なように、設定されている。
【0026】
図2はMFP101のコントローラにおける主要なハードウェア構成を示すブロック図である。コントローラユニット200には、画像入力デバイスであるスキャナ270や画像出力デバイスであるプリンタ295が接続されている。コントローラユニット200は、スキャナ270で読み取られた画像データをプリンタ295で印刷出力するコピー機能を実現するための制御を行う。また、コントローラユニット200は、LAN103に接続され、画像情報やデバイス情報の入出力を行うための制御を行う。
【0027】
具体的に、コントローラユニット200はCPU201を有する。CPU201は、ROM203に格納されているブートプログラムによりオペレーションシステム(OS)を立ち上げる。そして、CPU201は、このOS上でHDD(ハードディスクドライブ)204に格納されているアプリケーションプログラムを実行することによって各種処理を行う。このCPU201の作業領域にはRAM202が用いられる。RAM202は、作業領域とともに、画像データを一時記憶するための画像メモリ領域を提供する。HDD204は、上記アプリケーションプログラムとともに、画像データを格納する。
【0028】
また、CPU201には、システムバス207を介して、操作部IF(操作部インターフェイス)206、ネットワークIF(ネットワークインターフェイス)210、モデム250およびイメージバスIF(イメージインタフェイス)205が接続されている。
【0029】
操作部IF206は、タッチパネルを有する操作部212とのインターフェイスであり、操作部212に表示する画像データを操作部212に対して出力する。また、操作部IF206は、操作部212においてユーザにより入力された情報をCPU201に送出する。
【0030】
また、ネットワークIF210は、LAN103に接続され、LAN103を介してLAN103上の各装置との間で情報の入出力を行う。モデム250は、公衆回線(図示せず)に接続され、情報の入出力を行う。イメージバスIF205は、システムバス207と画像データを高速で転送する画像バス208とを接続し、データ構造を変換するためのバスブリッジである。
【0031】
画像バス208は、PCIバスまたはIEEE1394から構成される。画像バス208には、ラスタイメージプロセッサ(以下、RIPという)260、デバイスIF220、スキャナ画像処理部280、プリンタ画像処理部290、画像回転部230および画像圧縮部240が備わる。RIP260は、PDLコードをビットマップイメージに展開するプロセッサである。
【0032】
デバイスIF220には、スキャナ270およびプリンタ295が接続され、デバイスIF220は、画像データの同期系/非同期系の変換を行う。スキャナ画像処理部280は、入力画像データに対して補正、加工および編集を行う。プリンタ画像処理部290は、プリント出力画像データに対してプリンタの補正、解像度変換などを行う。画像回転部230は画像データの回転を行う。画像圧縮部240は、多値画像データをJPEGデータに圧縮し、2値画像データをJBIG、MMR、MHなどのデータに圧縮するとともに、その伸張処理を行う。
【0033】
図3はMFP101における主要なソフトウェア構成を示す図である。MFP101は汎用OS(Operation System)を有する。アプリケーション301は、MFP101上で動作するネットワークアプリケーションの集合である。アプリケーション301に含まれる詳細なネットワークアプリケーションの説明は図4を用いて後述する。
【0034】
ソケットIF302はOSによって提供されるソケットIFプログラムである。アプリケーション301に含まれるネットワークアプリケーションが通信を行う場合、ソケットIF302を呼び出すことによって、データの送信や受信といった処理が可能になる。ソケットIFは、ネットワークアプリケーションが通信を行う際に必ずしも必要なプログラムではないが、OSの種類によらず汎用的なプログラム命令と処理フローを用いることができるので、アプリケーションの開発工数を削減することができる。このため、ネットワークアプリケーションはソケットIFを呼び出してデータの送受信を行うことが一般的である。
【0035】
ネットワークスタック303はプロトコルスタック群である。ネットワークデバイスドライバ304はネットワークIF210のデバイスドライバである。
【0036】
パケット取得アプリケーション305は、ネットワークIF210が送受信するネットワークパケットの取得やログ出力を行うアプリケーションである。パケット取得アプリケーション305は、ネットワークデバイスドライバ304からデータ取得を行うことにより、ネットワークIF210が受信した全てのパケットと、ネットワークIF210が送信する全てのパケットを取得する。
【0037】
アプリケーション301およびパケット取得アプリケーション305はアプリケーションレベルで動作している。一方、ソケットIF302、ネットワークスタック303およびネットワークデバイスドライバ304はカーネルレベルで動作している。
【0038】
図4はアプリケーション301に含まれるアプリケーションの一部の構成を示すブロック図である。アプリケーション301には、PDL402、FTPサーバ401およびPOPクライアント403が含まれている。
【0039】
FTPサーバ401はFTP(File Transfer Protocol)を使用してネットワーク経由でファイルを転送するサーバプログラムである。PC102がFTPを使用して印刷ジョブファイルをMFP101に送信すると、FTPサーバ401は印刷ジョブファイルのデータを受信する。FTPサーバ401が受信した印刷ジョブデータは、PDL402に転送される。
【0040】
PDL402は印刷ジョブの展開を行うプログラムである。印刷ジョブデータはPDL(Printer Description Language)と呼ばれる記述言語で記載される。この言語には、印刷データの他に印刷に必要な情報が付加されている。例えば、用紙のサイズや部数といった情報がそれに当てはまる。PDL402は、PDLで記載された印刷ジョブデータを展開し、印刷データをビデオ画像に変換し、指定された印刷属性に従ってビデオデータを作成する。作成されたビデオデータはプリンタ295に転送され、印刷処理が行われる。
【0041】
POPクライアント403はPOP(Post Office Protocol)を使用してPOPサーバから電子メールを受信する。受信したメールには、JPEG(Joint Photographic Experts Group)やPDF(Portable Document Format)といった画像フォーマットでファイル化された添付ファイルが付加されている。POPクライアント403は、電子メール受信後、添付ファイルを抽出し、ビデオデータに変換した後、プリンタ295に転送する。プリンタ295で印刷処理が行われる。本実施形態では、メールサーバ105でPOPサーバが稼働し、POPクライアント403は、メールサーバ105から電子メールを受信する。
【0042】
図5はパケット取得アプリケーション305によるパケット受信から解析・保存に至るまでの処理手順を示すフローチャートである。この処理は、CPU201がハードディスク204に格納されているパケット取得アプリケーション305を実行することよって行われる。また、この処理では、機密情報であるFTPパケットにおけるパスワードの消去、およびPOPパケットにおけるパスワードの消去手順が示されている。
【0043】
FTPパケットの処理は、FTPサーバ401が動作している場合に行われる。同様にPOPパケットの処理は、POPクライアント403が動作している場合に行われる。なお、その他のパケットの処理については、本実施形態では説明を省略するが、その処理方法はFTPやPOPの場合と同様であってもよいし、別の手順であってもよい。
【0044】
パケット取得アプリケーション305が起動すると、CPU201は、パケット受信待ちとなる(ステップS1)。CPU201は、ネットワーク103からネットワークデバイス210およびデバイスドライバ304を介して何らかのパケットを受信すると、受信したパケットがTCP/IPパケットであるか否かを判断する(ステップS2)。具体的に、イーサネット(登録商標)フレームのタイプ、IPヘッダの有無等で判断が行われる。
【0045】
図6は、FTPパケット及びPOPパケットのフォーマットを示す図である。FTPパケット及びPOPパケットは図6に示すように、Ethernet(登録商標)ヘッダ、IPヘッダ、TCPヘッダを含んでいる。ステップS2では、これらのヘッダ情報を参照することによって受信したパケットがTCP/IPプロトコルで用いられるパケットであるのか否かを判断する。
【0046】
受信したパケットがTCP/IPパケットでないと判断した場合、CPU201は、その他の処理を行う(ステップS6)。ここで、その他の処理とは、FTPやPOPのパケット以外の処理であるが、本実施形態ではその説明を省略する。なお、実施の形態によってはステップS6で何も処理を行わない場合もあり得る。この後、CPU201はステップS9の処理に進む。
【0047】
一方、ステップS2でTCP/IPのパケットであると判断した場合、CPU201は、UDPヘッダあるいはTCPヘッダのポート番号を抽出し、抽出したポート番号に応じた処理に分岐する(ステップS3)。
【0048】
ポート番号が値21の場合、CPU201は、FTPパケットの解析を行う(ステップS4)。具体的に、CPU201は、解析するパケットの中にFTPのパスワードが含まれているか否かを解析する。この解析は、図6のFTPペットの例において、パケット内のTCPペイロード部を解析することによって行われる。より詳細には、TCPペイロード部の先頭に「PASS」という文字列が存在するか否かを解析する。「PASS」という文字列が存在する場合、その後のデータ(特定のデータ)がパスワードを示すことになる。さらに、CPU201は、パスワード部分が、パケットの先頭から何バイト目に何バイト分存在するのかを解析する。パケットの先頭は、改行コード(0x0d 0x0a)を判断することによって認識することができる。
【0049】
一方、ステップS3において、ポート番号が値110であると判断した場合、CPU201は、POPパケットの解析を行う(ステップS5)。具体的に、CPU201は、FTPと同様、解析するパケットの中にPOPのパスワードが含まれているか否かを解析する。この解析は、図6のFTPペットの例において、パケット内のTCPペイロード部を解析することによって行われる。より詳細には、TCPペイロード部の先頭に「PASS」という文字列が存在するか否かを解析する。「PASS」という文字列が存在する場合、その後のデータ(特定のデータ)がパスワードを示すことになる。さらに、CPU201は、パスワード部分が、パケットの先頭から何バイト目に何バイト分存在するのかを解析する。パケットの先頭は、改行コード(0x0d 0x0a)を判断することによって認識することができる。
【0050】
また一方、ステップS3において、ポート番号がその他の値である場合、ステップS6の処理に移行する。
【0051】
ステップS4あるいはS5において、パケットの解析処理が終了すると、CPU201は、前処理におけるパケット解析の結果、パケット中にパスワードが存在するか否かを判断する(ステップS7)。パスワードが存在しないと判断した場合、CPU201は、そのままパケットを保存する(ステップS9)。この後、CPU201はステップS1のパケット受信処理に戻る。
【0052】
一方、ステップS7でパスワードが存在すると判断した場合、CPU201は、ステップS4あるいはS5で解析した結果から、パスワード部分を値0のデータで埋める(置き換える)ことにより、パスワード部分を消去する。この後、CPU201は、消去されたパスワード部分を除くパケットデータ(特定のデータ部分以外のデータに相当)を保存し(ステップS9)、ステップS1の処理に戻る。
【0053】
このように、本実施形態の画像形成装置によれば、パケットデータを解析する際、機密情報を除いたパケットデータを取得することができる。これにより、画像形成装置で発生した障害を解析する際、機密情報の漏洩を防止することができる。また、記録されたパケットデータに特定のデータとして機密情報が含まれないので、その漏洩のおそれが少なく、記録されたパケットデータを解析するために、外部に持ち出すことが可能となる。また、パケットデータの種類に応じて異なる特定のデータの存在が解析されるので、機密情報に限らず、種々の特定のデータの保護が可能となる。また、特定のデータを所定の値で置き換えるので、簡単に特定のデータを消去することができる。
【0054】
なお、本発明は、上記実施形態の構成に限られるものではなく、特許請求の範囲で示した機能、または本実施形態の構成が持つ機能が達成できる構成であればどのようなものであっても適用可能である。
【0055】
例えば、上記実施形態では、画像形成装置であるMFP101がパケットデータを取得する場合を示したが、情報処理装置であるPC102、104がパケットデータを取得して解析する場合においても、本発明は同様に適用可能である。
【0056】
また、上記実施形態では、FTPパケット、POPパケットのいずれにおいても、特定のデータ部分としてパスワードを消去していたが、パケットデータの種類を判別し、判別されたパケットデータの種類に応じて、消去対象となる特定のデータを変更してもよい。例えば、POPパケットの場合、機密情報であるパスワードに限らず、特定のデータとして送信先や宛先を隠すように消去してもよい。また、ユーザIDなど、その他のデータを消去してもよい。尚、ユーザIDが含まれるパケットのフォーマットは、図6に示した「PASS」の部分が「USER」に代わる。そして、スペースを挟んで、ユーザID文字列が続く。即ち、図5で説明した方法と同様の処理によってユーザID部分を特定して変更することが可能である。本実施形態によれば、種々の特定のデータの保護が可能となる。
【0057】
また、上記実施形態では、パケットデータのうち特定のデータ部分を消去する際、特定のデータ部分を全て値0に置き換えていたが、値0の代わりに、別の値(例えば値1)に置き換えてもよい。置き換える値は、パスワードを推測できない値であれば、その他の値であってもよい。また、特定のデータ部分を別の値に置き換えることなく、そのデータ部分を消すようにしてもよい。
【0058】
また、上記実施形態では、通信回線としてのネットワークに接続されたネットワーク通信装置からパケットデータを取得する場合を示したが、本発明はこれに限られず、専用回線で接続された装置間で送受信されるデータを取得する場合などにも適用可能である。
【0059】
また、本発明は、印刷機能、コピー機能、スキャナ機能等を有する複合機(MFP)の他、単機能である複写機、ファクシミリ装置等に適用してもよい。
【0060】
また、本発明の目的は、以下の処理を実行することによって達成される。即ち、上述した実施形態の機能を実現するソフトウェアのプログラムコードを記録した記憶媒体を、システム或いは装置に供給し、そのシステム或いは装置のコンピュータ(またはCPUやMPU等)が記憶媒体に格納されたプログラムコードを読み出す処理である。
【0061】
この場合、記憶媒体から読み出されたプログラムコード自体が前述した実施の形態の機能を実現することになり、そのプログラムコード及び該プログラムコードを記憶した記憶媒体は本発明を構成することになる。
【0062】
また、プログラムコードを供給するための記憶媒体としては、次のものを用いることができる。例えば、フロッピー(登録商標)ディスク、ハードディスク、光磁気ディスク、CD−ROM、CD−R、CD−RW、DVD−ROM、DVD−RAM、DVD−RW、DVD+RW、磁気テープ、不揮発性のメモリカード、ROM等である。または、プログラムコードをネットワークを介してダウンロードしてもよい。
【0063】
また、コンピュータが読み出したプログラムコードを実行することにより、上記実施の形態の機能が実現される場合も本発明に含まれる。加えて、そのプログラムコードの指示に基づき、コンピュータ上で稼動しているOS(オペレーティングシステム)等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれる。
【0064】
更に、前述した実施形態の機能が以下の処理によって実現される場合も本発明に含まれる。即ち、記憶媒体から読み出されたプログラムコードが、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書き込まれる。その後、そのプログラムコードの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPU等が実際の処理の一部または全部を行う場合である。
【図面の簡単な説明】
【0065】
【図1】本実施形態の画像形成装置を含むネットワークシステムの構成を示す図である。
【図2】MFP101のコントローラにおける主要なハードウェア構成を示すブロック図である。
【図3】MFP101における主要なソフトウェア構成を示す図である。
【図4】アプリケーション301に含まれるアプリケーションの一部の構成を示すブロック図である。
【図5】パケット取得アプリケーション305によるパケット受信から解析・保存に至るまでの処理手順を示すフローチャートである。
【図6】FTPパケット及びPOPパケットのフォーマットを示す図である。
【符号の説明】
【0066】
101 複合機(MFP)
103 LAN
102、104 PC
105 メールサーバ
210 ネットワークデバイス(I/F)
301 アプリケーション
305 パケット取得アプリケーション
【技術分野】
【0001】
本発明は、データの解析機能を有する通信装置、その制御方法およびプログラムに関する。
【背景技術】
【0002】
従来から、ネットワーク通信機器で障害が発生した場合、ネットワーク通信路を流れるパケットを採取して障害の原因を調査する手法が存在していた。その一般的な方法では、障害の解析者は、パケット取得を行う専用の機器をHUBなどの集線機器に接続し、LAN(Local Area Network)上を流れるパケットを採取する。
【0003】
さらに、障害の解析者は、採取したパケットから、調査対象となるネットワーク通信機器が送受信しているパケットのデータの内容を解析し、規定外のデータを受信している箇所や、受信パケットに対する応答遅延が発生している箇所を特定する。
【0004】
そして、障害の解析者は、それらの箇所が障害の原因であるか否かを切り分けるために、同一のパケットをネットワーク機器に送信して障害の再現確認を行ったり、ネットワーク機器の通信を司るソースコードを解析するといった原因調査を行う。
【0005】
このようなパケットの取得や解析作業において、パケットの取得機器の記憶領域を確保することや、また解析作業の労力を削減することを目的として、パケットのフィルタリング機能が存在する。このフィルタリング機能では、特定の条件にマッチするパケットのみを取得することで、採取するパケット数を削減することができ、採取したパケットを記録するメモリ領域や、長期的に保存するためのハードディスク領域を削減することができる。加えて、解析に要する工数を削減することが可能となる。
【0006】
一般的に、フィルタリングのルールは、ネットワークプロトコルの要素で指定されることが多い。例えば、IP(Internet Protocol)やARP(Address Resolution Protocol)などのように特定のプロトコルのみをフィルタリングし、それらのプロトコルのパケットのみを採取することが可能となる。
【0007】
また各々のプロトコルにおいても、より詳細な要素に分解したフィルタリングが可能である。例として、IPプロトコルにおいて、特定のDSTアドレス(送信先アドレス)、特定のSRCアドレス(送信元アドレス)、特定の上位層のプロトコルなどの条件を設定することで、詳細なフィルタリングを行うことが可能になる。
【0008】
また近年、パケットの取得機能が備わったネットワーク通信機器も普及し始めている。これにより、パケットの採取を行うための専用の機器を使用しなくても、パケットの取得が可能となる。このため、スイッチングHUBが導入された環境のように専用機器を接続したとしてもパケットの採取を正しく行うことができない場合でも、採取が可能になった。
【0009】
加えて、最近では、ネットワーク機器の用途や特徴に特化したフィルタリングが可能である。これは、前述のネットワークプロトコルの要素単位でのフィルタリングとは異なり、機器が持っている機能に特化したフィルタリングを行うことにより、障害解析の効率をより向上させることが可能である。
【0010】
例として、ネットワークプリンタにおいて、受信した印刷ジョブ単位でデータの保存が可能である(特許文献1参照)。これにより、ネットワーク経由での印刷時に発生した障害の解析において、障害が発生した印刷ジョブのみを抽出することが可能となり、解析の効率が向上する。
【特許文献1】特開2004−362386号公報
【発明の開示】
【発明が解決しようとする課題】
【0011】
しかしながら、上記従来のパケット取得方法では、次のような問題があった。すなわち、前述のパケットキャプチャリング技術では、ネットワーク上で送受信される機密情報も取得可能となる。ここで、機密情報として、パスワードなどの認証情報が代表的である。
【0012】
ネットワーク通信機器としての画像形成装置に障害が発生した場合、障害の解析者は、画像形成装置が送受信するパケットを取得したい場合、顧客などの個人が使用しているパスワードなどの機密情報も取得することになる。このような場合、そのパケットデータが外部に漏洩する事態に至る可能性を伴うため、パケットそのものの取得が許可されない、あるいは、解析のために外部に持ち出すことが許可されない事態となり、障害そのものの解析が難航する可能性がある。
【0013】
そこで、本発明は、発生した障害を解析する際、機密情報の漏洩を防止することができる通信装置、その制御方法およびプログラムを提供することを目的とする。
【課題を解決するための手段】
【0014】
上記目的を達成するために、本発明の通信装置は、データの解析機能を有する通信装置であって、通信回線からデータを取得する取得手段と、前記取得したデータに所定の条件を満たす特定のデータが存在するか否かを解析する解析手段と、前記解析の結果、前記特定のデータが存在する場合、当該特定のデータ部分を消去する消去手段と、前記消去された特定のデータ部分以外の前記データを保存する保存手段とを備えたことを特徴とする。
【0015】
本発明の通信装置の制御方法は、データの解析機能を有する通信装置の制御方法であって、前記通信装置が、通信回線からデータを取得する取得ステップと、前記通信装置が、前記取得したデータに所定の条件を満たす特定のデータが存在するか否かを解析する解析ステップと、前記通信装置が、前記解析の結果、前記特定のデータが存在する場合、当該特定のデータ部分を消去する消去ステップと、前記通信装置が、前記消去された特定のデータ部分以外の前記データを保存する保存ステップとを有することを特徴とする。
【0016】
本発明のプログラムは、データの解析機能を有する通信装置の制御方法をコンピュータに実行させるプログラムにおいて、前記制御方法は、前記通信装置が、通信回線からデータを取得する取得ステップと、前記通信装置が、前記取得したデータに所定の条件を満たす特定のデータが存在するか否かを解析する解析ステップと、前記通信装置が、前記解析の結果、前記特定のデータが存在する場合、当該特定のデータ部分を消去する消去ステップと、前記通信装置が、前記消去された特定のデータ部分以外の前記データを保存する保存ステップとを有することを特徴とする。
【発明の効果】
【0017】
本発明の請求項1、4に係る通信装置によれば、データを解析する際、機密情報である特定のデータを除いたデータを取得することができる。これにより、通信装置で発生した障害を解析する際、特定のデータとして機密情報の漏洩を防止することができる。
【0018】
請求項2に係る通信装置によれば、通信装置で発生した障害の解析のために、機密情報等の特定のデータを除いたパケットデータの取得が可能となる。従って、記録されたパケットデータに特定のデータが含まれないので、その漏洩のおそれが少なく、記録されたパケットデータを解析するために、外部に持ち出すことが可能となる。
【0019】
請求項3に係る通信装置によれば、パケットデータの種類に応じて異なる特定のデータの存在が解析されるので、機密情報に限らず、種々の特定のデータの保護が可能となる。
【0020】
請求項5に係る通信装置によれば、特定のデータを所定の値で置き換えるので、簡単に特定のデータを消去することができる。
【発明を実施するための最良の形態】
【0021】
本発明の通信装置、その制御方法およびプログラムの実施の形態について図面を参照しながら説明する。本実施形態の通信装置は、ネットワークに接続されたネットワーク通信機器である画像形成装置に適用される。
【0022】
図1は本実施形態の画像形成装置を含むネットワークシステムの構成を示す図である。ユーザ環境のネットワークはEthernet(登録商標)規格のLAN103である。LAN103には、それぞれネットワークインターフェイスを有する複数のノードが接続されている。ここでは、複数のノードとして、MFP(複合機)101、一般的なパーソナルコンピュータであるPC102、104、および電子メールサーバであるメールサーバ105が接続されている。
【0023】
PC102、PC104には、中央演算装置としてCPU(Central Processing Unit)が存在する。また、記憶装置として、RAM(Random Access Memory)、ROM(Read Only Memory)、HDD(Hard Disk Drive)が存在する。また、外部記憶装置として、CD−ROMドライブ(Compact Disc Read Only Memory)が存在する。また、外部インターフェイスとして、NIC(Network Interface Card)、USBホストインターフェイス(Universal Serial Bus)が存在する。また、これらの装置や後述の周辺装置を制御するためのバスが備わっている。また、パーソナルコンピュータ本体に接続される周辺機器として、マウス、CRTディスプレイ、キーボード等が存在する。
【0024】
また、PC102に導入されているソフトウェアの主なものとしては、OS(Operating Software)、およびワードプロセッサや表計算ソフトといったオフィスソフトウェアが備わっている。OSには、その一機能として印刷データをプリンタやMFPにネットワークを経由して送信するためのポートモニタが備わっている。また、後述するメールサーバ105に電子メールを送信したり、電子メールを受信したりといった電子メール送受信を行うためのメーラも導入されている。
【0025】
メールサーバ105は、電子メールサーバであり、SMTP(Simple Mail Transfer Protocol)やPOP3(Post Office Protocol)を用いて電子メールの送受信を司るサーバである。メールサーバ105には、MFP101、PC102およびPC104の電子メールアカウントが設定されている。それぞれのノードは、メールサーバ105を経由して電子メールを送信することが可能なように、設定されている。
【0026】
図2はMFP101のコントローラにおける主要なハードウェア構成を示すブロック図である。コントローラユニット200には、画像入力デバイスであるスキャナ270や画像出力デバイスであるプリンタ295が接続されている。コントローラユニット200は、スキャナ270で読み取られた画像データをプリンタ295で印刷出力するコピー機能を実現するための制御を行う。また、コントローラユニット200は、LAN103に接続され、画像情報やデバイス情報の入出力を行うための制御を行う。
【0027】
具体的に、コントローラユニット200はCPU201を有する。CPU201は、ROM203に格納されているブートプログラムによりオペレーションシステム(OS)を立ち上げる。そして、CPU201は、このOS上でHDD(ハードディスクドライブ)204に格納されているアプリケーションプログラムを実行することによって各種処理を行う。このCPU201の作業領域にはRAM202が用いられる。RAM202は、作業領域とともに、画像データを一時記憶するための画像メモリ領域を提供する。HDD204は、上記アプリケーションプログラムとともに、画像データを格納する。
【0028】
また、CPU201には、システムバス207を介して、操作部IF(操作部インターフェイス)206、ネットワークIF(ネットワークインターフェイス)210、モデム250およびイメージバスIF(イメージインタフェイス)205が接続されている。
【0029】
操作部IF206は、タッチパネルを有する操作部212とのインターフェイスであり、操作部212に表示する画像データを操作部212に対して出力する。また、操作部IF206は、操作部212においてユーザにより入力された情報をCPU201に送出する。
【0030】
また、ネットワークIF210は、LAN103に接続され、LAN103を介してLAN103上の各装置との間で情報の入出力を行う。モデム250は、公衆回線(図示せず)に接続され、情報の入出力を行う。イメージバスIF205は、システムバス207と画像データを高速で転送する画像バス208とを接続し、データ構造を変換するためのバスブリッジである。
【0031】
画像バス208は、PCIバスまたはIEEE1394から構成される。画像バス208には、ラスタイメージプロセッサ(以下、RIPという)260、デバイスIF220、スキャナ画像処理部280、プリンタ画像処理部290、画像回転部230および画像圧縮部240が備わる。RIP260は、PDLコードをビットマップイメージに展開するプロセッサである。
【0032】
デバイスIF220には、スキャナ270およびプリンタ295が接続され、デバイスIF220は、画像データの同期系/非同期系の変換を行う。スキャナ画像処理部280は、入力画像データに対して補正、加工および編集を行う。プリンタ画像処理部290は、プリント出力画像データに対してプリンタの補正、解像度変換などを行う。画像回転部230は画像データの回転を行う。画像圧縮部240は、多値画像データをJPEGデータに圧縮し、2値画像データをJBIG、MMR、MHなどのデータに圧縮するとともに、その伸張処理を行う。
【0033】
図3はMFP101における主要なソフトウェア構成を示す図である。MFP101は汎用OS(Operation System)を有する。アプリケーション301は、MFP101上で動作するネットワークアプリケーションの集合である。アプリケーション301に含まれる詳細なネットワークアプリケーションの説明は図4を用いて後述する。
【0034】
ソケットIF302はOSによって提供されるソケットIFプログラムである。アプリケーション301に含まれるネットワークアプリケーションが通信を行う場合、ソケットIF302を呼び出すことによって、データの送信や受信といった処理が可能になる。ソケットIFは、ネットワークアプリケーションが通信を行う際に必ずしも必要なプログラムではないが、OSの種類によらず汎用的なプログラム命令と処理フローを用いることができるので、アプリケーションの開発工数を削減することができる。このため、ネットワークアプリケーションはソケットIFを呼び出してデータの送受信を行うことが一般的である。
【0035】
ネットワークスタック303はプロトコルスタック群である。ネットワークデバイスドライバ304はネットワークIF210のデバイスドライバである。
【0036】
パケット取得アプリケーション305は、ネットワークIF210が送受信するネットワークパケットの取得やログ出力を行うアプリケーションである。パケット取得アプリケーション305は、ネットワークデバイスドライバ304からデータ取得を行うことにより、ネットワークIF210が受信した全てのパケットと、ネットワークIF210が送信する全てのパケットを取得する。
【0037】
アプリケーション301およびパケット取得アプリケーション305はアプリケーションレベルで動作している。一方、ソケットIF302、ネットワークスタック303およびネットワークデバイスドライバ304はカーネルレベルで動作している。
【0038】
図4はアプリケーション301に含まれるアプリケーションの一部の構成を示すブロック図である。アプリケーション301には、PDL402、FTPサーバ401およびPOPクライアント403が含まれている。
【0039】
FTPサーバ401はFTP(File Transfer Protocol)を使用してネットワーク経由でファイルを転送するサーバプログラムである。PC102がFTPを使用して印刷ジョブファイルをMFP101に送信すると、FTPサーバ401は印刷ジョブファイルのデータを受信する。FTPサーバ401が受信した印刷ジョブデータは、PDL402に転送される。
【0040】
PDL402は印刷ジョブの展開を行うプログラムである。印刷ジョブデータはPDL(Printer Description Language)と呼ばれる記述言語で記載される。この言語には、印刷データの他に印刷に必要な情報が付加されている。例えば、用紙のサイズや部数といった情報がそれに当てはまる。PDL402は、PDLで記載された印刷ジョブデータを展開し、印刷データをビデオ画像に変換し、指定された印刷属性に従ってビデオデータを作成する。作成されたビデオデータはプリンタ295に転送され、印刷処理が行われる。
【0041】
POPクライアント403はPOP(Post Office Protocol)を使用してPOPサーバから電子メールを受信する。受信したメールには、JPEG(Joint Photographic Experts Group)やPDF(Portable Document Format)といった画像フォーマットでファイル化された添付ファイルが付加されている。POPクライアント403は、電子メール受信後、添付ファイルを抽出し、ビデオデータに変換した後、プリンタ295に転送する。プリンタ295で印刷処理が行われる。本実施形態では、メールサーバ105でPOPサーバが稼働し、POPクライアント403は、メールサーバ105から電子メールを受信する。
【0042】
図5はパケット取得アプリケーション305によるパケット受信から解析・保存に至るまでの処理手順を示すフローチャートである。この処理は、CPU201がハードディスク204に格納されているパケット取得アプリケーション305を実行することよって行われる。また、この処理では、機密情報であるFTPパケットにおけるパスワードの消去、およびPOPパケットにおけるパスワードの消去手順が示されている。
【0043】
FTPパケットの処理は、FTPサーバ401が動作している場合に行われる。同様にPOPパケットの処理は、POPクライアント403が動作している場合に行われる。なお、その他のパケットの処理については、本実施形態では説明を省略するが、その処理方法はFTPやPOPの場合と同様であってもよいし、別の手順であってもよい。
【0044】
パケット取得アプリケーション305が起動すると、CPU201は、パケット受信待ちとなる(ステップS1)。CPU201は、ネットワーク103からネットワークデバイス210およびデバイスドライバ304を介して何らかのパケットを受信すると、受信したパケットがTCP/IPパケットであるか否かを判断する(ステップS2)。具体的に、イーサネット(登録商標)フレームのタイプ、IPヘッダの有無等で判断が行われる。
【0045】
図6は、FTPパケット及びPOPパケットのフォーマットを示す図である。FTPパケット及びPOPパケットは図6に示すように、Ethernet(登録商標)ヘッダ、IPヘッダ、TCPヘッダを含んでいる。ステップS2では、これらのヘッダ情報を参照することによって受信したパケットがTCP/IPプロトコルで用いられるパケットであるのか否かを判断する。
【0046】
受信したパケットがTCP/IPパケットでないと判断した場合、CPU201は、その他の処理を行う(ステップS6)。ここで、その他の処理とは、FTPやPOPのパケット以外の処理であるが、本実施形態ではその説明を省略する。なお、実施の形態によってはステップS6で何も処理を行わない場合もあり得る。この後、CPU201はステップS9の処理に進む。
【0047】
一方、ステップS2でTCP/IPのパケットであると判断した場合、CPU201は、UDPヘッダあるいはTCPヘッダのポート番号を抽出し、抽出したポート番号に応じた処理に分岐する(ステップS3)。
【0048】
ポート番号が値21の場合、CPU201は、FTPパケットの解析を行う(ステップS4)。具体的に、CPU201は、解析するパケットの中にFTPのパスワードが含まれているか否かを解析する。この解析は、図6のFTPペットの例において、パケット内のTCPペイロード部を解析することによって行われる。より詳細には、TCPペイロード部の先頭に「PASS」という文字列が存在するか否かを解析する。「PASS」という文字列が存在する場合、その後のデータ(特定のデータ)がパスワードを示すことになる。さらに、CPU201は、パスワード部分が、パケットの先頭から何バイト目に何バイト分存在するのかを解析する。パケットの先頭は、改行コード(0x0d 0x0a)を判断することによって認識することができる。
【0049】
一方、ステップS3において、ポート番号が値110であると判断した場合、CPU201は、POPパケットの解析を行う(ステップS5)。具体的に、CPU201は、FTPと同様、解析するパケットの中にPOPのパスワードが含まれているか否かを解析する。この解析は、図6のFTPペットの例において、パケット内のTCPペイロード部を解析することによって行われる。より詳細には、TCPペイロード部の先頭に「PASS」という文字列が存在するか否かを解析する。「PASS」という文字列が存在する場合、その後のデータ(特定のデータ)がパスワードを示すことになる。さらに、CPU201は、パスワード部分が、パケットの先頭から何バイト目に何バイト分存在するのかを解析する。パケットの先頭は、改行コード(0x0d 0x0a)を判断することによって認識することができる。
【0050】
また一方、ステップS3において、ポート番号がその他の値である場合、ステップS6の処理に移行する。
【0051】
ステップS4あるいはS5において、パケットの解析処理が終了すると、CPU201は、前処理におけるパケット解析の結果、パケット中にパスワードが存在するか否かを判断する(ステップS7)。パスワードが存在しないと判断した場合、CPU201は、そのままパケットを保存する(ステップS9)。この後、CPU201はステップS1のパケット受信処理に戻る。
【0052】
一方、ステップS7でパスワードが存在すると判断した場合、CPU201は、ステップS4あるいはS5で解析した結果から、パスワード部分を値0のデータで埋める(置き換える)ことにより、パスワード部分を消去する。この後、CPU201は、消去されたパスワード部分を除くパケットデータ(特定のデータ部分以外のデータに相当)を保存し(ステップS9)、ステップS1の処理に戻る。
【0053】
このように、本実施形態の画像形成装置によれば、パケットデータを解析する際、機密情報を除いたパケットデータを取得することができる。これにより、画像形成装置で発生した障害を解析する際、機密情報の漏洩を防止することができる。また、記録されたパケットデータに特定のデータとして機密情報が含まれないので、その漏洩のおそれが少なく、記録されたパケットデータを解析するために、外部に持ち出すことが可能となる。また、パケットデータの種類に応じて異なる特定のデータの存在が解析されるので、機密情報に限らず、種々の特定のデータの保護が可能となる。また、特定のデータを所定の値で置き換えるので、簡単に特定のデータを消去することができる。
【0054】
なお、本発明は、上記実施形態の構成に限られるものではなく、特許請求の範囲で示した機能、または本実施形態の構成が持つ機能が達成できる構成であればどのようなものであっても適用可能である。
【0055】
例えば、上記実施形態では、画像形成装置であるMFP101がパケットデータを取得する場合を示したが、情報処理装置であるPC102、104がパケットデータを取得して解析する場合においても、本発明は同様に適用可能である。
【0056】
また、上記実施形態では、FTPパケット、POPパケットのいずれにおいても、特定のデータ部分としてパスワードを消去していたが、パケットデータの種類を判別し、判別されたパケットデータの種類に応じて、消去対象となる特定のデータを変更してもよい。例えば、POPパケットの場合、機密情報であるパスワードに限らず、特定のデータとして送信先や宛先を隠すように消去してもよい。また、ユーザIDなど、その他のデータを消去してもよい。尚、ユーザIDが含まれるパケットのフォーマットは、図6に示した「PASS」の部分が「USER」に代わる。そして、スペースを挟んで、ユーザID文字列が続く。即ち、図5で説明した方法と同様の処理によってユーザID部分を特定して変更することが可能である。本実施形態によれば、種々の特定のデータの保護が可能となる。
【0057】
また、上記実施形態では、パケットデータのうち特定のデータ部分を消去する際、特定のデータ部分を全て値0に置き換えていたが、値0の代わりに、別の値(例えば値1)に置き換えてもよい。置き換える値は、パスワードを推測できない値であれば、その他の値であってもよい。また、特定のデータ部分を別の値に置き換えることなく、そのデータ部分を消すようにしてもよい。
【0058】
また、上記実施形態では、通信回線としてのネットワークに接続されたネットワーク通信装置からパケットデータを取得する場合を示したが、本発明はこれに限られず、専用回線で接続された装置間で送受信されるデータを取得する場合などにも適用可能である。
【0059】
また、本発明は、印刷機能、コピー機能、スキャナ機能等を有する複合機(MFP)の他、単機能である複写機、ファクシミリ装置等に適用してもよい。
【0060】
また、本発明の目的は、以下の処理を実行することによって達成される。即ち、上述した実施形態の機能を実現するソフトウェアのプログラムコードを記録した記憶媒体を、システム或いは装置に供給し、そのシステム或いは装置のコンピュータ(またはCPUやMPU等)が記憶媒体に格納されたプログラムコードを読み出す処理である。
【0061】
この場合、記憶媒体から読み出されたプログラムコード自体が前述した実施の形態の機能を実現することになり、そのプログラムコード及び該プログラムコードを記憶した記憶媒体は本発明を構成することになる。
【0062】
また、プログラムコードを供給するための記憶媒体としては、次のものを用いることができる。例えば、フロッピー(登録商標)ディスク、ハードディスク、光磁気ディスク、CD−ROM、CD−R、CD−RW、DVD−ROM、DVD−RAM、DVD−RW、DVD+RW、磁気テープ、不揮発性のメモリカード、ROM等である。または、プログラムコードをネットワークを介してダウンロードしてもよい。
【0063】
また、コンピュータが読み出したプログラムコードを実行することにより、上記実施の形態の機能が実現される場合も本発明に含まれる。加えて、そのプログラムコードの指示に基づき、コンピュータ上で稼動しているOS(オペレーティングシステム)等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれる。
【0064】
更に、前述した実施形態の機能が以下の処理によって実現される場合も本発明に含まれる。即ち、記憶媒体から読み出されたプログラムコードが、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書き込まれる。その後、そのプログラムコードの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPU等が実際の処理の一部または全部を行う場合である。
【図面の簡単な説明】
【0065】
【図1】本実施形態の画像形成装置を含むネットワークシステムの構成を示す図である。
【図2】MFP101のコントローラにおける主要なハードウェア構成を示すブロック図である。
【図3】MFP101における主要なソフトウェア構成を示す図である。
【図4】アプリケーション301に含まれるアプリケーションの一部の構成を示すブロック図である。
【図5】パケット取得アプリケーション305によるパケット受信から解析・保存に至るまでの処理手順を示すフローチャートである。
【図6】FTPパケット及びPOPパケットのフォーマットを示す図である。
【符号の説明】
【0066】
101 複合機(MFP)
103 LAN
102、104 PC
105 メールサーバ
210 ネットワークデバイス(I/F)
301 アプリケーション
305 パケット取得アプリケーション
【特許請求の範囲】
【請求項1】
データの解析機能を有する通信装置であって、
通信回線からデータを取得する取得手段と、
前記取得したデータに所定の条件を満たす特定のデータが存在するか否かを解析する解析手段と、
前記解析の結果、前記特定のデータが存在する場合、当該特定のデータ部分を消去する消去手段と、
前記消去された特定のデータ部分以外の前記データを保存する保存手段とを備えたことを特徴とする通信装置。
【請求項2】
前記取得手段は、前記通信回線であるネットワークからパケットデータを取得し、
前記解析手段は、前記取得したパケットデータに所定の条件を満たす特定のデータが存在するか否かを解析し、
前記保存手段は、前記消去された特定のデータ部分以外の前記パケットデータを保存することを特徴とする請求項1記載の通信装置。
【請求項3】
前記パケットデータの種類を判別する判別手段を備え、
前記解析手段は、前記判別されたパケットデータの種類に応じて異なる前記特定のデータが存在するか否かを解析することを特徴とする請求項2記載の通信装置。
【請求項4】
前記特定のデータは機密情報であることを特徴とする請求項1記載の通信装置。
【請求項5】
前記消去手段は、前記特定のデータ部分を所定の値で置き換えることを特徴とする請求項1記載の通信装置。
【請求項6】
前記通信装置は、前記ネットワークに接続された画像形成装置であることを特徴とする請求項2記載の通信装置。
【請求項7】
前記通信装置は、前記ネットワークに接続された情報処理装置であることを特徴とする請求項2記載の通信装置。
【請求項8】
データの解析機能を有する通信装置の制御方法であって、
前記通信装置が、通信回線からデータを取得する取得ステップと、
前記通信装置が、前記取得したデータに所定の条件を満たす特定のデータが存在するか否かを解析する解析ステップと、
前記通信装置が、前記解析の結果、前記特定のデータが存在する場合、当該特定のデータ部分を消去する消去ステップと、
前記通信装置が、前記消去された特定のデータ部分以外の前記データを保存する保存ステップとを有することを特徴とする通信装置の制御方法。
【請求項9】
データの解析機能を有する通信装置の制御方法をコンピュータに実行させるプログラムにおいて、
前記制御方法は、
前記通信装置が、通信回線からデータを取得する取得ステップと、
前記通信装置が、前記取得したデータに所定の条件を満たす特定のデータが存在するか否かを解析する解析ステップと、
前記通信装置が、前記解析の結果、前記特定のデータが存在する場合、当該特定のデータ部分を消去する消去ステップと、
前記通信装置が、前記消去された特定のデータ部分以外の前記データを保存する保存ステップとを有することを特徴とするプログラム。
【請求項1】
データの解析機能を有する通信装置であって、
通信回線からデータを取得する取得手段と、
前記取得したデータに所定の条件を満たす特定のデータが存在するか否かを解析する解析手段と、
前記解析の結果、前記特定のデータが存在する場合、当該特定のデータ部分を消去する消去手段と、
前記消去された特定のデータ部分以外の前記データを保存する保存手段とを備えたことを特徴とする通信装置。
【請求項2】
前記取得手段は、前記通信回線であるネットワークからパケットデータを取得し、
前記解析手段は、前記取得したパケットデータに所定の条件を満たす特定のデータが存在するか否かを解析し、
前記保存手段は、前記消去された特定のデータ部分以外の前記パケットデータを保存することを特徴とする請求項1記載の通信装置。
【請求項3】
前記パケットデータの種類を判別する判別手段を備え、
前記解析手段は、前記判別されたパケットデータの種類に応じて異なる前記特定のデータが存在するか否かを解析することを特徴とする請求項2記載の通信装置。
【請求項4】
前記特定のデータは機密情報であることを特徴とする請求項1記載の通信装置。
【請求項5】
前記消去手段は、前記特定のデータ部分を所定の値で置き換えることを特徴とする請求項1記載の通信装置。
【請求項6】
前記通信装置は、前記ネットワークに接続された画像形成装置であることを特徴とする請求項2記載の通信装置。
【請求項7】
前記通信装置は、前記ネットワークに接続された情報処理装置であることを特徴とする請求項2記載の通信装置。
【請求項8】
データの解析機能を有する通信装置の制御方法であって、
前記通信装置が、通信回線からデータを取得する取得ステップと、
前記通信装置が、前記取得したデータに所定の条件を満たす特定のデータが存在するか否かを解析する解析ステップと、
前記通信装置が、前記解析の結果、前記特定のデータが存在する場合、当該特定のデータ部分を消去する消去ステップと、
前記通信装置が、前記消去された特定のデータ部分以外の前記データを保存する保存ステップとを有することを特徴とする通信装置の制御方法。
【請求項9】
データの解析機能を有する通信装置の制御方法をコンピュータに実行させるプログラムにおいて、
前記制御方法は、
前記通信装置が、通信回線からデータを取得する取得ステップと、
前記通信装置が、前記取得したデータに所定の条件を満たす特定のデータが存在するか否かを解析する解析ステップと、
前記通信装置が、前記解析の結果、前記特定のデータが存在する場合、当該特定のデータ部分を消去する消去ステップと、
前記通信装置が、前記消去された特定のデータ部分以外の前記データを保存する保存ステップとを有することを特徴とするプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2010−9223(P2010−9223A)
【公開日】平成22年1月14日(2010.1.14)
【国際特許分類】
【出願番号】特願2008−166203(P2008−166203)
【出願日】平成20年6月25日(2008.6.25)
【出願人】(000001007)キヤノン株式会社 (59,756)
【Fターム(参考)】
【公開日】平成22年1月14日(2010.1.14)
【国際特許分類】
【出願日】平成20年6月25日(2008.6.25)
【出願人】(000001007)キヤノン株式会社 (59,756)
【Fターム(参考)】
[ Back to top ]