JP2020057429A - Access management method, access management device, and computer program - Google Patents

Access management method, access management device, and computer program Download PDF

Info

Publication number
JP2020057429A
JP2020057429A JP2019233758A JP2019233758A JP2020057429A JP 2020057429 A JP2020057429 A JP 2020057429A JP 2019233758 A JP2019233758 A JP 2019233758A JP 2019233758 A JP2019233758 A JP 2019233758A JP 2020057429 A JP2020057429 A JP 2020057429A
Authority
JP
Japan
Prior art keywords
account
user
work
work target
target device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019233758A
Other languages
Japanese (ja)
Other versions
JP7001665B2 (en
Inventor
橋本 淳
Atsushi Hashimoto
淳 橋本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nomura Research Institute Ltd
Original Assignee
Nomura Research Institute Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nomura Research Institute Ltd filed Critical Nomura Research Institute Ltd
Priority to JP2019233758A priority Critical patent/JP7001665B2/en
Publication of JP2020057429A publication Critical patent/JP2020057429A/en
Application granted granted Critical
Publication of JP7001665B2 publication Critical patent/JP7001665B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

To reduce security risk of an information processing apparatus.SOLUTION: An access management device 16 stores a work condition for a work object device 14 including a log-in ID applied by a user, the work condition being approved by an administrator according to application from the user, in a first storage region. When the access management device 16 receives a log-in request for designating the work object device 14 at a log-in destination, the log-in request satisfying the work condition previously stored in the first storage region, the access management device logs in the work object device 14 using the log-in ID and password which are used for logging in the work object device 14 previously stored in a second storage region, the log-in ID and the password corresponding to the work condition that the log-in request satisfies.SELECTED DRAWING: Figure 1

Description

本発明はデータ処理技術に関し、特に、情報処理装置に対するユーザのアクセスを管理する技術に関する。   The present invention relates to a data processing technique, and more particularly, to a technique for managing user access to an information processing device.

ネットワーク技術の発展に伴って、ネットワークを介したコンピュータシステムへのアクセスが広く行われている。そして、ユーザがコンピュータシステムにログインする際の認証手段としてはパスワード認証が広く用いられている。パスワード認証の安全性を高めるための対策として、一定期間が経過するとパスワードを強制的に変更させたり、所定回数連続してパスワード入力に失敗すると、それ以降のログインを拒否したりすることが行われている。   With the development of network technology, access to computer systems via a network has been widely performed. Password authentication is widely used as an authentication means when a user logs in to a computer system. As measures to enhance the security of password authentication, passwords are forcibly changed after a certain period of time, or login is rejected after a predetermined number of consecutive failed password entries. ing.

本出願人は、以下の特許文献1において、正規ユーザの使い勝手を低下させず、不正アクセスを容易に発見する技術を提案している。   The present applicant proposes a technique in Patent Document 1 below that easily detects unauthorized access without reducing the usability of an authorized user.

特開2006−004333号公報JP 2006-004333 A

これまでのパスワード認証では、ユーザが作業を行うべき情報処理装置(以下、「作業対象装置」とも呼ぶ。)のパスワードをユーザへ開示する必要があった。そのため、作業対象装置にはセキュリティ上のリスクが発生することがあった。例えば、正規のユーザから悪意のある第三者へ作業対象装置のパスワードが漏洩する可能性もあった。   In conventional password authentication, it is necessary to disclose to a user the password of an information processing device (hereinafter, also referred to as a “work target device”) with which the user is to perform work. Therefore, a security risk may occur in the work target device. For example, there is a possibility that the password of the work target device is leaked from an authorized user to a malicious third party.

本発明はこうした課題に鑑みてなされたものであり、その主な目的は、情報処理装置のセキュリティ上のリスクを低減するための技術を提供することにある。   The present invention has been made in view of such problems, and a main object thereof is to provide a technique for reducing a security risk of an information processing device.

上記課題を解決するために、本発明のある態様のアクセス管理方法は、アクセス管理装置が、作業対象装置へログインするためのログインIDであり、かつ、ユーザにより申請されたログインIDを含む作業対象装置に対する作業の条件であって、ユーザの申請に基づいて管理者が許可した作業条件を第1の記憶領域に記憶させるステップと、ログイン先の作業対象装置を指定する情報を含むログイン要求をユーザから受け付けるログイン要求受付ステップと、第1の記憶領域に予め記憶された作業条件を充足するログイン要求を受け付けた場合に、第2の記憶領域に予め記憶されたログイン先の作業対象装置へログインするためのログインIDとパスワードであって、ログイン要求が充足した作業条件で指定されたログインIDに対応するログインIDとパスワードを使用してログイン先の作業対象装置へログインすることにより、ログイン先の作業対象装置に対するユーザの作業を可能にするログインステップと、を実行する。   In order to solve the above-described problem, an access management method according to an aspect of the present invention provides an access management method, wherein an access management device is a login ID for logging in to a work target device, and includes a work target including a login ID applied by a user. Storing, in a first storage area, work conditions permitted by an administrator based on a user's application based on work conditions for the device, and a user requesting a login request including information specifying a work target device to be logged in; And a login request receiving step for receiving a login request that satisfies a work condition pre-stored in the first storage area, and logs in to a work target device of a login destination pre-stored in the second storage area. Login ID and password for the user, and correspond to the login ID specified in the work condition that satisfies the login request. By logging into the work target device login destination using the login ID and password to perform the log step of enabling the work of the user for work device of the login destination, the.

本発明の別の態様は、アクセス管理装置である。この装置は、ユーザが作業を行うべき作業対象装置について、その作業対象装置へログインするためのログインIDとパスワードを対応づけて保持するアカウント保持部と、作業対象装置へログインするためのログインIDであり、かつ、ユーザにより申請されたログインIDを含む作業対象装置に対する作業の条件であって、ユーザの申請に基づいて管理者が許可した作業条件を保持する条件保持部と、ログイン先の作業対象装置を指定する情報を含むログイン要求をユーザから受け付けるログイン要求受付部と、条件保持部に保持された作業条件を充足するログイン要求が受け付けられた場合に、アカウント保持部に保持されたログインIDとパスワードであって、ログイン要求が充足した作業条件で指定されたログインIDに対応するログインIDとパスワードを使用してログイン先の作業対象装置へログインすることにより、ログイン先の作業対象装置に対するユーザの作業を可能にするログイン処理部と、を備える。   Another embodiment of the present invention relates to an access management device. This device includes an account holding unit that associates and holds a login ID and a password for logging in to the work target device with respect to a work target device to which the user is to perform work, and a login ID for logging in to the work target device. A condition holding unit that holds a work condition for a work target device that includes a login ID applied by a user and includes a work condition permitted by an administrator based on a user's application; A login request reception unit that receives a login request including information specifying the device from the user, and a login ID that is stored in the account storage unit when a login request that satisfies the work condition stored in the condition storage unit is received. A password that corresponds to the login ID specified in the work conditions that the login request has satisfied By logging into the work target device login destination using the login ID and password, and a login processing unit that allows the user's work for work device of the login destination.

なお、以上の構成要素の任意の組合せ、本発明の表現を、システム、プログラム、プログラムを格納した記録媒体などの間で変換したものもまた、本発明の態様として有効である。   It is to be noted that any combination of the above-described components and any conversion of the expression of the present invention between a system, a program, a recording medium storing the program, and the like are also effective as embodiments of the present invention.

本発明によれば、情報処理装置のセキュリティ上のリスクを低減することができる。   According to the present invention, security risks of the information processing device can be reduced.

実施の形態の情報処理システムの構成を示す図である。FIG. 1 is a diagram illustrating a configuration of an information processing system according to an embodiment. 図1のアクセス管理装置の機能構成を示すブロック図である。FIG. 2 is a block diagram illustrating a functional configuration of the access management device of FIG. 1. アクセス管理装置の動作を示すフローチャートである。5 is a flowchart illustrating an operation of the access management device. アクセス管理装置の動作を示すフローチャートである。5 is a flowchart illustrating an operation of the access management device.

図1は、実施の形態の情報処理システムの構成を示す。情報処理システム100はある企業内のシステムであり、運用者端末10と、管理者端末12と、作業対象装置14で総称される作業対象装置14a、作業対象装置14b、作業対象装置14cと、アクセス管理装置16を含む。   FIG. 1 illustrates a configuration of an information processing system according to an embodiment. The information processing system 100 is a system in a certain company, and includes an operator terminal 10, an administrator terminal 12, work target devices 14a, 14b, and 14c collectively referred to as a work target device 14, and an access target device 14c. The management device 16 is included.

運用者端末10は、作業対象装置14に対する作業を行うべき情報処理システム100の運用者や開発者(以下、運用者で統一する)により操作されるPCである。管理者PC12は、情報処理システム100の管理者により操作されるPCである。   The operator terminal 10 is a PC that is operated by an operator or a developer of the information processing system 100 that should perform work on the work target device 14 (hereinafter, unified by the operator). The administrator PC 12 is a PC operated by an administrator of the information processing system 100.

作業対象装置14は、情報処理システム100の運用者による作業(例えば、ファイルの更新や各種設定値の調整等)の対象となるサーバである。例えば、ウェブサーバ・アプリケーションサーバ・データベースサーバ等であってもよい。また、作業対象装置14のソフトウェア構成に制限はなく、作業対象装置14a〜作業対象装置14c間で異なる構成であってもよい。例えば、作業対象装置14aのOSはUNIX(登録商標)、作業対象装置14bのOSはLinux(登録商標)、作業対象装置14cのOSはWindows(登録商標)であってもよい。また、運用者PC10から作業対象装置14へコマンドを通知するための通信プロトコルにも制限はなく、Telnet・SSH・FTP・RDP等であってもよい。   The work target device 14 is a server that is a target of work by an operator of the information processing system 100 (for example, updating a file or adjusting various setting values). For example, it may be a web server, application server, database server, or the like. Further, the software configuration of the work target device 14 is not limited, and may be different between the work target devices 14a to 14c. For example, the OS of the work target device 14a may be UNIX (registered trademark), the OS of the work target device 14b may be Linux (registered trademark), and the OS of the work target device 14c may be Windows (registered trademark). The communication protocol for notifying the command from the operator PC 10 to the work target device 14 is not limited, and may be Telnet, SSH, FTP, RDP, or the like.

アクセス管理装置16は、複数の作業対象装置14(図1では作業対象装置14a〜作業対象装置14c)に対する運用者のログイン要求を、作業対象装置14の種別にかかわらず一括して受け付け、運用者のログインが管理者により承認済か否かを判定する。承認済であれば、アクセス管理装置16は、運用者に代わって作業対象装置14へログインし、運用者PC10から送信されたコマンドを作業対象装置14へ中継する。すなわちアクセス管理装置16は、運用者PC10から作業対象装置14へのアクセスを仲介することにより、作業対象装置14のセキュリティ強度を高めつつ、作業対象装置14に対する運用者の作業を可能にする。   The access management device 16 collectively receives an operator's login request for a plurality of work target devices 14 (the work target devices 14a to 14c in FIG. 1) regardless of the type of the work target device 14, and It is determined whether or not the login has been approved by the administrator. If approved, the access management device 16 logs in to the work target device 14 on behalf of the operator, and relays the command transmitted from the operator PC 10 to the work target device 14. That is, the access management device 16 enables the operator to work on the work target device 14 while increasing the security strength of the work target device 14 by mediating access from the operator PC 10 to the work target device 14.

図2は、図1のアクセス管理装置16の機能構成を示すブロック図である。アクセス管理装置16は、内部アカウント保持部20と、外部アカウント保持部22と、アカウント更新部24と、作業条件保持部26と、申請情報受付部28と、申請情報通知部30と、承認情報受付部32と、接続要求受付部34と、認証処理部36と、ログイン要求受付部38と、判定部40と、ログイン処理部42と、コマンド受付部44と、コマンド転送部46を備える。   FIG. 2 is a block diagram showing a functional configuration of the access management device 16 of FIG. The access management device 16 includes an internal account storage unit 20, an external account storage unit 22, an account update unit 24, a work condition storage unit 26, an application information reception unit 28, an application information notification unit 30, and an approval information reception unit. It includes a unit 32, a connection request receiving unit 34, an authentication processing unit 36, a login request receiving unit 38, a determining unit 40, a login processing unit 42, a command receiving unit 44, and a command transfer unit 46.

本明細書のブロック図において示される各ブロックは、ハードウェア的には、コンピュータのCPUをはじめとする素子や機械装置で実現でき、ソフトウェア的にはコンピュータプログラム等によって実現されるが、ここでは、それらの連携によって実現される機能ブロックを描いている。したがって、これらの機能ブロックはハードウェア、ソフトウェアの組合せによっていろいろなかたちで実現できることは、当業者には理解されるところである。例えば、図2の各機能ブロックは、アクセス管理プログラムとして記録媒体に格納され、アクセス管理装置16のストレージへインストールされてもよい。そして、アクセス管理プログラムの起動時に、各機能ブロックに対応するプログラムがメインメモリに読み出されてCPUにより実行されてもよい。   Each block shown in the block diagram in this specification can be realized by hardware, such as a device such as a CPU of a computer, or a mechanical device, and can be realized by software by a computer program or the like. The functional blocks realized by their cooperation are drawn. Therefore, it is understood by those skilled in the art that these functional blocks can be realized in various forms by a combination of hardware and software. For example, each functional block in FIG. 2 may be stored in a recording medium as an access management program and installed in the storage of the access management device 16. Then, when the access management program is activated, the program corresponding to each functional block may be read out to the main memory and executed by the CPU.

内部アカウント保持部20は、運用者PC10からアクセス管理装置16への接続を運用者に許可するためのアカウント(以下、「内部アカウント」とも呼ぶ。)として、予め定められた運用者のIDおよびパスワードを対応付けて保持する記憶領域である。   The internal account holding unit 20 defines a predetermined operator ID and password as an account (hereinafter, also referred to as an “internal account”) for permitting the operator to connect to the access management device 16 from the operator PC 10. Are stored in association with each other.

外部アカウント保持部22は、作業対象装置14への接続を許可するためのアカウント(以下、「外部アカウント」とも呼ぶ。)として、作業対象装置14において予め定められたアカウント(具体的にはログインIDとパスワードの組み合わせ)を保持する記憶領域である。例えば、作業対象装置14a〜作業対象装置14cのそれぞれにおいて定められた外部アカウントを一括して保持する。また外部アカウント保持部22は、作業対象装置14の特権ユーザのアカウントも外部アカウントとして保持し、例えばrootのパスワードや、Administratorのパスワードを保持する。   The external account holding unit 22 serves as an account for permitting connection to the work target device 14 (hereinafter, also referred to as “external account”). And a password). For example, external accounts defined in each of the work target devices 14a to 14c are collectively held. The external account holding unit 22 also holds an account of a privileged user of the work target device 14 as an external account, and holds, for example, a root password and an Administrator password.

アカウント更新部24は、作業対象装置14においてログインアカウントが変更された場合、その事実を検出して、変更後のアカウントを外部アカウント保持部22へ格納する。例えば、作業対象装置14は自装置においてログインアカウントを定期的に変更し、変更後のアカウントを示す情報をアクセス管理装置16へ通知し、作業対象装置14はその通知にもとづいて作業対象装置14におけるアカウントの変更を検出してもよい。変形例として、アカウント更新部24は、定期的に作業対象装置14へアクセスしてログインアカウントを変更し、変更後のアカウントを外部アカウント保持部22へ格納してもよい。   When the login account is changed in the work target device 14, the account update unit 24 detects the fact and stores the changed account in the external account holding unit 22. For example, the work target device 14 periodically changes the login account in the device itself, notifies the access management device 16 of information indicating the changed account, and the work target device 14 in the work target device 14 based on the notification. Account changes may be detected. As a modification, the account updating unit 24 may periodically access the work target device 14 to change the login account, and store the changed account in the external account holding unit 22.

作業条件保持部26は、作業対象装置14へのログインを運用者に許可するための条件(以下、「作業条件」とも呼ぶ。)を保持する記憶領域であり、例えば作業対象装置14a〜作業対象装置14cのそれぞれに対する作業条件を一括して保持する。本実施の形態の作業条件には、運用者のID・作業対象装置14に対する作業開始日時および作業終了日時・作業対象装置14のホスト名・利用する通信プロトコル・作業対象装置14へのログインに用いるログインID(例えばroot等)が含まれる。   The work condition holding unit 26 is a storage area for holding a condition for permitting an operator to log in to the work target device 14 (hereinafter, also referred to as “work condition”). The work conditions for each of the devices 14c are collectively held. The work conditions in the present embodiment include the ID of the operator, the work start date and time and the work end date and time for the work target device 14, the host name of the work target device 14, the communication protocol to be used, and the login to the work target device 14. A login ID (for example, root) is included.

申請情報受付部28は、運用者PC10から、作業対象装置14へのログインを管理者へ申請するための情報(以下、「申請情報」とも呼ぶ。)を受け付ける。この申請情報には既述の作業条件と同様の内容が含まれる。すなわち、運用者のID・作業開始日時および作業終了日時・作業対象装置14のホスト名・利用する通信プロトコル・作業対象装置14へのログインに用いるログインIDが含まれる。   The application information receiving unit 28 receives information (hereinafter, also referred to as “application information”) for applying to the administrator to log in to the work target device 14 from the operator PC 10. This application information includes the same contents as the work conditions described above. That is, it includes the ID of the operator, the work start date and time and the work end date and time, the host name of the work target device 14, the communication protocol to be used, and the login ID used to log in to the work target device 14.

申請情報通知部30は、運用者PC10から受け付けた申請情報を管理者PC12へ送信して、運用者の申請内容を承認するか、もしくは拒否するかを管理者に決定させる。承認情報受付部32は、管理者PC12から、管理者が申請内容を承認したか否かを示す情報を受け付ける。管理者が申請内容を承認した場合、承認情報受付部32は、運用者の申請内容を作業条件として作業条件保持部26へ格納する。   The application information notification unit 30 transmits the application information received from the operator PC 10 to the administrator PC 12, and allows the administrator to decide whether to approve or reject the application content of the operator. The approval information receiving unit 32 receives, from the administrator PC 12, information indicating whether or not the administrator has approved the application content. When the administrator approves the application content, the approval information receiving unit 32 stores the application content of the operator in the work condition holding unit 26 as a work condition.

接続要求受付部34は、アクセス管理装置16への接続要求を運用者PC10から受け付ける。この接続要求では、アクセス管理装置16において定められた運用者のアカウント(すなわち内部アカウント)が指定される。なお、運用者PC10〜アクセス管理装置16間の通信プロトコルは、運用者により適宜選択されてよく、例えばTelnet・SSH・FTP・RDP等であってもよい。   The connection request receiving unit 34 receives a connection request to the access management device 16 from the operator PC 10. In this connection request, an operator account (that is, an internal account) defined in the access management device 16 is specified. The communication protocol between the operator PC 10 and the access management device 16 may be appropriately selected by the operator, and may be, for example, Telnet, SSH, FTP, RDP, or the like.

認証処理部36は運用者を認証する。具体的には、接続要求で指定された運用者のアカウントが、内部アカウント保持部20に保持された運用者のアカウントと一致するか否かを判定する。一致した場合、運用者の認証に成功した旨を接続要求受付部34へ通知する。接続要求受付部34は、運用者の認証が成功した場合、運用者PC10との通信セッションを確立させて、認証成功の旨を運用者PC10へ通知する。運用者PC10は、認証成功の旨が通知されると、ログイン先とする作業対象装置14(言い換えれば運用者が作業を実施する作業対象装置14)の指定画面をディスプレイに表示させる。変形例として、接続要求受付部34は、運用者の認証に成功した場合、ログイン先の指定画面のデータを運用者PC10へ送信して運用者PC10にて表示させてもよい。   The authentication processing unit authenticates the operator. Specifically, it is determined whether or not the operator's account specified in the connection request matches the operator's account held in the internal account holding unit 20. If they match, the connection request receiving unit 34 is notified that the authentication of the operator has succeeded. If the authentication of the operator is successful, the connection request receiving unit 34 establishes a communication session with the operator PC 10 and notifies the operator PC 10 of the successful authentication. When notified of the success of the authentication, the operator PC 10 displays on the display a screen for designating the work target device 14 to be logged in (in other words, the work target device 14 on which the operator performs the work). As a modified example, when the authentication of the operator is successful, the connection request receiving unit 34 may transmit the data of the login destination designation screen to the operator PC 10 and display the data on the operator PC 10.

ログイン要求受付部38は、接続要求受付部34が確立した運用者PC10〜アクセス管理装置16間の通信セッションを介して、運用者PC10から、特定の作業対象装置14へのログインを要求する情報(以下、「ログイン要求」とも呼ぶ。)を受け付ける。このログイン要求には、運用者PC10で表示されたログイン先の指定画面において運用者が指定したログイン先とする作業対象装置14(以下、「指定装置」とも呼ぶ。)を示す情報が含まれる。その一方、指定装置のアカウント(例えばパスワード)はログイン要求に含まれない。   The log-in request receiving unit 38 requests information from the operator PC 10 to log in to the specific work target device 14 via the communication session between the operator PC 10 and the access management device 16 established by the connection request receiving unit 34 ( Hereinafter, this is also referred to as a “login request”.) This login request includes information indicating a work target device 14 (hereinafter, also referred to as a “designated device”) as a login destination designated by the operator on the login destination designation screen displayed on the operator PC 10. On the other hand, the account (eg, password) of the designated device is not included in the login request.

判定部40は、ログイン要求が作業条件保持部26に格納された作業条件を充足するか否かを判定する。具体的には、ログイン要求の送信元である運用者のIDが作業条件の運用者のIDと一致し、かつ、ログイン要求の受付日時が作業条件の作業開始時刻から作業終了日時の範囲にあり、かつ、ログイン要求での指定装置が作業条件の接続先装置と一致する場合、ログイン要求が作業条件を充足すると判定する。   The determination unit 40 determines whether the login request satisfies the work condition stored in the work condition holding unit 26. Specifically, the ID of the operator who is the sender of the login request matches the ID of the operator in the work condition, and the date and time of reception of the login request is in the range from the work start time to the work end date and time in the work condition. If the specified device in the login request matches the connection destination device of the work condition, it is determined that the login request satisfies the work condition.

ログイン処理部42は、ログイン要求が作業条件を充足すると判定された場合、指定装置のアカウントがログイン要求に含まれていなくても、外部アカウント保持部22に保持された指定装置のアカウントを用いて指定装置へログインし、アクセス管理装置16と指定装置間の通信セッションを確立させる。具体的には、指定装置において予め定められたアカウントであり、作業条件で指定されたログインIDに対応するアカウント(ログインIDとパスワードであり、例えばrootとrootのパスワード)を外部アカウント保持部22から取得する。そして、作業条件で指定された通信プロトコルを使用して、外部アカウント保持部22から取得したアカウントを指定したログイン要求を指定装置へ送信する。   When it is determined that the login request satisfies the work condition, the login processing unit 42 uses the designated device account held in the external account holding unit 22 even if the account of the designated device is not included in the login request. Login to the designated device and establish a communication session between the access management device 16 and the designated device. Specifically, an account (a login ID and a password, for example, a root and a root password, which are a login ID and a password, for example, a root and a root) that is a predetermined account in the designated device and is specified in the work condition is transmitted from the external account holding unit 22 get. Then, by using the communication protocol specified by the work condition, a login request specifying the account acquired from the external account holding unit 22 is transmitted to the specified device.

コマンド受付部44は、接続要求受付部34が確立した運用者PC10〜アクセス管理装置16間の通信セッションを介して、運用者PC10から、指定装置に対するコマンドを受け付ける。コマンド転送部46は、コマンド受付部44において受け付けられたコマンドを、ログイン処理部42が確立したアクセス管理装置16〜指定装置間の通信セッションを介して指定装置へ転送する。   The command receiving unit 44 receives a command for the designated device from the operator PC 10 via the communication session between the operator PC 10 and the access management device 16 established by the connection request receiving unit 34. The command transfer unit 46 transfers the command received by the command receiving unit 44 to the designated device via the communication session between the access management device 16 and the designated device established by the login processing unit 42.

以上の構成による動作を以下説明する。
図3は、アクセス管理装置16の動作を示すフローチャートである。運用者PC10から送信された申請情報を申請情報受付部28が受け付けると(S10のY)、申請情報通知部30はその申請情報を管理者PC12へ送信する(S12)。承認情報受付部32は、申請内容を承認した旨の情報を管理者PC12から受け付けると(S14のY)、申請内容を作業条件として作業条件保持部26へ格納する(S16)。申請内容を承認した旨の情報を受け付けなければ(S14のN)、S16はスキップされる。運用者PC10からの申請情報を受け付けなければ(S10のN)、S12〜S16はスキップされる。アカウント更新部24は、作業対象装置14においてアカウントが変更されたことを検出すると(S18のY)、変更後のアカウントを作業対象装置14から取得して外部アカウント保持部22へ格納する(S20)。作業対象装置14におけるアカウント変更が未検出であれば(S18のN)、S20はスキップされる。 The operation of the above configuration will be described below.
FIG. 3 is a flowchart showing the operation of the access management device 16. When the application information receiving unit 28 receives the application information transmitted from the operator PC 10 (Y in S10), the application information notification unit 30 transmits the application information to the administrator PC 12 (S12). Upon receiving information from the administrator PC 12 that the application content has been approved (Y in S14), the approval information receiving unit 32 stores the application content in the work condition holding unit 26 as work conditions (S16). If the information that the application content has been approved is not received (N of S14), S16 is skipped. If the application information from the operator PC 10 is not received (N of S10), S12 to S16 are skipped. When detecting that the account has been changed in the work target device 14 (Y in S18), the account update unit 24 acquires the changed account from the work target device 14 and stores it in the external account holding unit 22 (S20). . If an account change in the work target device 14 has not been detected (N in S18), S20 is skipped.

図4もアクセス管理装置16の動作を示すフローチャートである。同図は図3の動作の続きを示している。運用者PC10から送信された接続要求を接続要求受付部34が受け付けると(S30のY)、認証処理部36はその接続要求にもとづいて運用者を認証する。運用者の認証に成功した場合(S32のY)、接続要求受付部34はその旨を運用者PC10へ通知してログイン先の指定画面を運用者PC10に表示させる(S34)。運用者の認証に失敗した場合(S32のN)、S34をスキップし、運用者PC10からの接続要求を受け付けない場合(S30のN)、S32およびS34をスキップする。   FIG. 4 is also a flowchart showing the operation of the access management device 16. This figure shows a continuation of the operation in FIG. When the connection request transmitted from the operator PC 10 is received by the connection request receiving unit 34 (Y in S30), the authentication processing unit 36 authenticates the operator based on the connection request. When the authentication of the operator is successful (Y in S32), the connection request receiving unit 34 notifies the operator PC 10 of the fact and displays a login destination designation screen on the operator PC 10 (S34). If the authentication of the operator has failed (N in S32), S34 is skipped, and if no connection request is received from the operator PC 10 (N in S30), S32 and S34 are skipped.

運用者PC10から送信されたログイン要求をログイン要求受付部38が受け付けると(S36のY)、判定部40はそのログイン要求が作業条件を充足するか否かを判定する。ログイン要求が作業条件を充足する場合(S38のY)、ログイン処理部42は外部アカウント保持部22からログイン要求における指定装置のアカウントを取得し(S40)、そのアカウントを用いて指定装置へログインする(S42)。   When the login request reception unit 38 receives the login request transmitted from the operator PC 10 (Y in S36), the determination unit 40 determines whether the login request satisfies the work condition. When the login request satisfies the work condition (Y in S38), the login processing unit 42 acquires an account of the designated device in the login request from the external account holding unit 22 (S40), and logs in to the designated device using the account. (S42).

コマンド受付部44は、運用者PC10からコマンドを受け付けるまで待機する(S44のN)。運用者PC10から送信されたコマンドをコマンド受付部44が受け付けると(S44のY)、コマンド転送部46はそのコマンドを作業対象装置14へ送信する(S46)。運用者PC10から受け付けたコマンドが終了コマンド(例えば「exit」コマンド)であれば(S48のY)、コマンド受付部44は運用者PC10との通信セッションを切断して本図のフローを終了する。運用者PC10から受け付けたコマンドが終了コマンドでなければ(S48のN)、S44のコマンド待ちの状態へ戻る。ログイン要求が作業条件を充足しない場合(S38のN)、もしくは、ログイン要求を受け付けない場合(S36のN)、以降の処理をスキップして本図のフローを終了する。   The command receiving unit 44 waits until a command is received from the operator PC 10 (N in S44). When the command receiving unit 44 receives the command transmitted from the operator PC 10 (Y in S44), the command transfer unit 46 transmits the command to the work target device 14 (S46). If the command received from the operator PC 10 is an end command (for example, an “exit” command) (Y in S48), the command accepting unit 44 disconnects the communication session with the operator PC 10 and ends the flow of FIG. If the command received from the operator PC 10 is not the end command (N in S48), the process returns to the command waiting state in S44. If the login request does not satisfy the work condition (N in S38), or if the login request is not accepted (N in S36), the subsequent processing is skipped and the flow of this diagram ends.

本実施の形態の情報処理システム100によれば、作業対象装置14へのログインを運用者や開発者に代わってアクセス管理装置16が行う。したがって、作業対象装置14のアカウント(特にパスワード)を運用者や開発者から秘匿でき、作業対象装置14のセキュリティ上のリスクを低減することができる。例えば、運用者や開発者から悪意のある第三者へアカウントが漏洩してしまうことや、管理者が承認した範囲を超えて運用者や開発者が作業対象装置14へアクセスすることを防止できる。情報処理システム100によれば、作業対象装置14のアクセスログにより不正アクセスがあったか否かを事後的に発見できるだけでなく、そもそも不正アクセスの発生を予防できる。   According to the information processing system 100 of the present embodiment, the access management device 16 logs in to the work target device 14 on behalf of the operator or the developer. Therefore, the account (especially a password) of the work target device 14 can be kept secret from the operator or the developer, and the security risk of the work target device 14 can be reduced. For example, it is possible to prevent an account from being leaked from an operator or a developer to a malicious third party, and prevent an operator or a developer from accessing the work target device 14 beyond the range approved by the administrator. . According to the information processing system 100, it is possible not only to detect later whether an unauthorized access has been made based on the access log of the work target device 14, but also to prevent the occurrence of an unauthorized access in the first place.

また作業対象装置14へのログインアカウントは定期的に変更されて、アクセス管理装置16の外部アカウント保持部22に格納される。これにより、作業対象装置14のセキュリティ上のリスクを一層低減できる。それに加えて、作業対象装置14におけるログインアカウント変更の影響はアクセス管理装置16が吸収し、運用者および開発者はその影響を受けないため、運用者および開発者の利便性を高めることができる。   The login account for the work target device 14 is periodically changed and stored in the external account holding unit 22 of the access management device 16. Thereby, the security risk of the work target device 14 can be further reduced. In addition, the effect of the change of the login account on the work target device 14 is absorbed by the access management device 16 and the operator and the developer are not affected by the change, so that the convenience for the operator and the developer can be improved.

また作業対象装置14へのアクセス制御をアクセス管理装置16が一括して行うため、作業対象装置14は複数の運用者や開発者それぞれに対する個別のアカウントを予め定める必要がない。また、それら個別のアカウントに対して各種のアクセス権を設定する必要もない。したがって、作業対象装置14には手を加えることなく、作業対象装置14のセキュリティ上のリスクを低減することができる。   In addition, since the access management device 16 controls access to the work target device 14 collectively, the work target device 14 does not need to determine individual accounts for a plurality of operators and developers in advance. Also, there is no need to set various access rights for these individual accounts. Therefore, the security risk of the work target device 14 can be reduced without changing the work target device 14.

以上、本発明を実施の形態をもとに説明した。この実施の形態は例示であり、それらの各構成要素や各処理プロセスの組合せにいろいろな変形例が可能なこと、またそうした変形例も本発明の範囲にあることは当業者に理解されるところである。以下変形例を示す。   The present invention has been described based on the embodiments. This embodiment is an exemplification, and it is understood by those skilled in the art that various modifications can be made to the combination of each component and each processing process, and that such modifications are also within the scope of the present invention. is there. Hereinafter, modified examples will be described.

第1の変形例を説明する。上記実施の形態では言及していないが、コマンド受付部44は、現在日時が作業条件で規定された作業終了日時を途過したか否かを監視し、途過した場合には運用者PC10とアクセス管理装置16との通信セッションを切断してもよい。同様にコマンド転送部46は、現在日時が作業条件の作業終了日時を途過したか否かを監視し、途過した場合にはアクセス管理装置16と作業対象装置14との通信セッションを切断してもよい。この態様によると、作業終了日時を途過した後は、運用者からのコマンドは作業対象装置14へ転送されなくなるため、管理者により承認された範囲内で運用者による作業を許容することができる。   A first modification will be described. Although not mentioned in the above embodiment, the command receiving unit 44 monitors whether or not the current date and time has passed the work end date and time defined in the work condition. The communication session with the access management device 16 may be disconnected. Similarly, the command transfer unit 46 monitors whether or not the current date and time has passed the work end date and time of the work condition, and disconnects the communication session between the access management device 16 and the work target device 14 when the current date and time have passed. You may. According to this aspect, after the end time of the work is over, the command from the operator is not transferred to the work target device 14, so that the work by the operator can be permitted within a range approved by the administrator. .

別の変形例として、コマンド受付部44は、現在日時が作業条件の作業終了日時を途過した場合でも、運用者PC10とアクセス管理装置16との通信セッションを維持してもよい。同様にコマンド転送部46は、現在日時が作業条件の作業終了日時を途過した場合でも、アクセス管理装置16と作業対象装置14との通信セッションを維持してもよい。さらにまた、現在日時が作業条件の作業終了日時を途過した場合に通信セッションを切断するか、もしくは維持するかを運用者が選択可能としてもよく、運用者による選択結果が申請情報(すなわち作業条件)に含まれてもよい。この場合、コマンド受付部44およびコマンド転送部46は、現在日時が作業条件の作業終了日時を途過した場合に通信セッションを切断するかもしくは維持するかを、作業条件にしたがって決定してもよい。   As another modified example, the command receiving unit 44 may maintain a communication session between the operator PC 10 and the access management device 16 even when the current date and time exceeds the work end date and time of the work condition. Similarly, the command transfer unit 46 may maintain the communication session between the access management device 16 and the work target device 14 even when the current date and time passes the work end date and time of the work condition. Furthermore, the operator may be able to select whether to disconnect or maintain the communication session when the current date and time exceeds the work end date and time of the work condition, and the result of the selection by the operator may be the application information (ie, the work information). Condition). In this case, the command receiving unit 44 and the command transfer unit 46 may determine whether to disconnect or maintain the communication session when the current date and time exceed the work end date and time of the work condition according to the work condition. .

第2の変形例を説明する。アクセス管理装置16は、ログ保持部とログ出力部とログ検索部をさらに備えてもよい。ログ保持部は、運用者の内部アカウント、ログイン先の作業対象装置14のホスト名、作業対象装置14へのログインアカウント(外部アカウント)、作業対象装置14へ発行したコマンド、コマンド発行日時を対応づけたログを保持する。ログ出力部は、ログイン要求に応じて作業対象装置14へのログインがなされた場合、運用者の内部アカウント、ログイン先の作業対象装置14のホスト名、作業対象装置14へのログインアカウントをログイン情報として保持しておく。そして、コマンド受付部44において運用者PC10からコマンドが受け付けられた際、そのコマンド、ログイン情報、現在日時(すなわちコマンド発行日時)を対応づけてログ保持部へ格納する。   A second modification will be described. The access management device 16 may further include a log holding unit, a log output unit, and a log search unit. The log holding unit associates the internal account of the operator, the host name of the work target device 14 at the login destination, the login account (external account) to the work target device 14, the command issued to the work target device 14, and the command issue date and time. Keep logs. The log output unit displays the internal account of the operator, the host name of the work target device 14 to be logged in, and the login account to the work target device 14 when the login to the work target device 14 is performed in response to the login request. And keep it as When the command receiving unit 44 receives a command from the operator PC 10, the command, the login information, and the current date and time (that is, the command issue date and time) are stored in the log holding unit in association with each other.

ログ検索部は、検索キーワードが指定された検索要求を管理者PC12から受け付ける。そして、検索キーワードにもとづいてログ保持部に格納されたログを検索し、検索にヒットしたログの情報を管理者PC12へ送信する。第2の変形例によれば、複数の作業対象装置14に亘るアクセスログをアクセス管理装置16が一括して管理するため、複数の作業対象装置14に亘るアクセスログを管理者が容易に取得することができる。例えば、特定の運用者のID(特定の内部アカウント)を検索キーワードとしてアクセス管理装置16に対して検索要求を行うことで、各作業対象装置14に問い合わせることなく、特定の運用者が複数の作業対象装置14に対してアクセスした履歴を効率的に取得できる。   The log search unit receives a search request in which a search keyword is specified from the administrator PC 12. Then, the log stored in the log holding unit is searched based on the search keyword, and the information of the log hit in the search is transmitted to the administrator PC 12. According to the second modification, since the access management device 16 collectively manages the access logs over the plurality of work target devices 14, the administrator easily obtains the access logs over the plurality of work target devices 14. be able to. For example, by making a search request to the access management device 16 using the ID of a specific operator (a specific internal account) as a search keyword, the specific operator can perform a plurality of tasks without inquiring each work target device 14. The history of accesses to the target device 14 can be efficiently acquired.

第3の変形例を説明する。アクセス管理装置16は、禁止コマンド保持部とコマンド判定部をさらに備えてもよい。禁止コマンド保持部は、作業対象装置14への発行を禁止すべきコマンドとして予め定められた禁止コマンドを示す情報を保持する。禁止コマンドには、例えば、ユーザのパスワードを変更するコマンド(passwdコマンド等)や、ユーザのアカウントを切り替えるコマンド(suコマンド等)が含まれてもよい。コマンド判定部は、運用者PC10から受け付けられたコマンドが禁止コマンド保持部に保持された禁止コマンドに一致するか否かを判定する。不一致の場合、コマンド判定部は運用者PC10から受け付けられたコマンドをコマンド転送部46へ渡す。一致した場合、コマンド判定部は運用者PC10から受け付けられたコマンドをコマンド転送部46に渡すことを抑止して破棄する。この場合、コマンド判定部は禁止コマンドであるため作業対象装置14への転送を拒否した旨を運用者PC10へ通知してもよい。   A third modification will be described. The access management device 16 may further include a prohibited command holding unit and a command determination unit. The prohibited command holding unit holds information indicating a predetermined prohibited command as a command to be prohibited from being issued to the work target device 14. The prohibition command may include, for example, a command for changing a user's password (such as a passwd command) or a command for switching a user's account (such as a su command). The command determination unit determines whether the command received from the operator PC 10 matches the prohibited command stored in the prohibited command storage unit. If they do not match, the command determination unit passes the command received from the operator PC 10 to the command transfer unit 46. If they match, the command determination unit suppresses passing the command received from the operator PC 10 to the command transfer unit 46 and discards the command. In this case, the command determination unit may notify the operator PC 10 that the transfer to the work target device 14 has been refused because the command is a prohibited command.

なお第2の変形例および第3の変形例において、運用者PC10〜アクセス管理装置16間およびアクセス管理装置16〜作業対象装置14間が暗号化通信である場合(例えばSSH通信である場合)について付言する。この場合、アクセス管理装置16は、運用者PC10から受け付けた暗号化コマンドを一旦復号し、復号後の平文のコマンドを再度暗号化して作業対象装置14へ送信する。したがって、第2の変形例のログ出力部は、平文のコマンドを示すログをログ保持部へ格納し、第3の変形例のコマンド判定部は平文のコマンドと禁止コマンドとを比較する。このように通信経路上は暗号化通信によりセキュリティ強度を維持しつつ、コマンドの保存や禁止コマンドとの比較は平文のコマンドを用いて実現できる。   In the second and third modified examples, a case where encrypted communication is performed between the operator PC 10 and the access management device 16 and between the access management device 16 and the work target device 14 (for example, when the communication is SSH communication). I will add. In this case, the access management device 16 once decrypts the encrypted command received from the operator PC 10, encrypts the decrypted plaintext command again, and sends the encrypted plaintext command to the work target device 14. Therefore, the log output unit of the second modification stores a log indicating a plaintext command in the log holding unit, and the command determination unit of the third modification compares the plaintext command with the prohibited command. As described above, while maintaining the security strength by the encrypted communication on the communication path, the storage of the command and the comparison with the prohibition command can be realized using the plain text command.

第4の変形例を説明する。上記実施の形態ではアクセス管理装置16が外部アカウント保持部22およびアカウント更新部24を備えることとした。変形例として、アクセス管理装置16とは別の情報処理装置(ここでは「アカウント管理装置」とも呼ぶ。)が、アクセス管理装置16に代わって外部アカウント保持部22およびアカウント更新部24を備え、さらに外部アカウント提供部を備えてもよい。この場合、アクセス管理装置16のログイン処理部42は、ログイン先の作業対象装置14のホスト名と、ログインで使用する作業対象装置14のログインIDとを指定したパスワード要求をアカウント管理装置へ送信する。アカウント管理装置の外部アカウント提供部は、パスワード要求で指定されたログインIDに対応づけられたパスワードをアクセス管理装置16へ提供する。   A fourth modification will be described. In the above embodiment, the access management device 16 includes the external account holding unit 22 and the account updating unit 24. As a modified example, an information processing device (herein also referred to as “account management device”) different from the access management device 16 includes an external account holding unit 22 and an account updating unit 24 in place of the access management device 16, and further includes An external account providing unit may be provided. In this case, the login processing unit 42 of the access management device 16 transmits to the account management device a password request specifying the host name of the work target device 14 at the login destination and the login ID of the work target device 14 used for login. . The external account providing unit of the account management device provides the access management device 16 with a password associated with the login ID specified in the password request.

上述した実施の形態、変形例の任意の組み合わせもまた本発明の実施の形態として有用である。組み合わせによって生じる新たな実施の形態は、組み合わされる実施の形態、変形例それぞれの効果をあわせもつ。   Any combination of the above-described embodiments and modifications is also useful as an embodiment of the present invention. A new embodiment that is generated by the combination has the effects of the combined embodiment and the modified example.

請求項に記載の各構成要件が果たすべき機能は、実施の形態および変形例において示された各構成要素の単体もしくはそれらの連係によって実現されることも当業者には理解されるところである。   It should be understood by those skilled in the art that the functions to be fulfilled by the components described in the claims are realized by each component shown in the embodiment and the modification or a combination thereof.

10 運用者PC、 12 管理者PC、 14,16 アクセス管理装置、 20 内部アカウント保持部、 22 外部アカウント保持部、 24 アカウント更新部、 26 作業条件保持部、 34 接続要求受付部、 36 認証処理部、 38 ログイン要求受付部、 40 判定部、 42 ログイン処理部、 44 コマンド受付部、 46 コマンド転送部、 100 情報処理システム。   Reference Signs List 10 operator PC, 12 administrator PC, 14, 16 access management device, 20 internal account holding unit, 22 external account holding unit, 24 account updating unit, 26 work condition holding unit, 34 connection request receiving unit, 36 authentication processing unit , 38 a login request receiving unit, 40 determining unit, 42 login processing unit, 44 command receiving unit, 46 command transfer unit, 100 information processing system.

Claims (3)

アクセス管理装置が、
ユーザの端末から送信された本装置への接続要求で指定されたユーザのアカウントと、第1の記憶領域に予め記憶された本装置への接続をユーザに許可する第1アカウントを照合することにより、ユーザを認証するステップと、
前記認証するステップにおける認証が成功したユーザの端末から、ユーザが作業を行うべき作業対象装置を指定する情報を含むログイン要求を受け付けるログイン要求受付ステップと、
前記ログイン要求を受け付けた場合に、第2の記憶領域に予め記憶された前記作業対象装置へログインするための第2アカウントを使用して前記作業対象装置へログインすることにより、前記作業対象装置に対するユーザの作業を可能にするログインステップと、
を実行し、
前記第2の記憶領域は、前記アクセス管理装置および前記作業対象装置とは異なるアカウント管理装置が備える記憶領域であり、
前記アクセス管理装置は、前記アカウント管理装置に定期的にアクセスして、前記アカウント管理装置の前記第2の記憶領域に記憶された前記作業対象装置へログインするための第2アカウントのパスワードを定期的に変更するステップをさらに実行することを特徴とするアクセス管理方法。 The access control device
By comparing the user's account specified in the connection request to the device transmitted from the user's terminal with the first account previously stored in the first storage area and allowing the user to connect to the device. Authenticating the user,
From the terminal of the user who has been successfully authenticated in the authenticating step, a login request receiving step of receiving a login request including information specifying a work target device on which the user should perform work,
When the login request is received, by logging in to the work target device using a second account for logging in to the work target device stored in advance in a second storage area, A login step that allows the user to work,
Run
The second storage area is a storage area provided in an account management device different from the access management device and the work target device,
The access management device periodically accesses the account management device and periodically changes a password of a second account for logging in to the work target device stored in the second storage area of the account management device. An access management method, further comprising the step of: ユーザが作業を行うべき作業対象装置について予め定められた前記作業対象装置へログインするためのアカウントを保持する第2アカウント保持部を備えるアカウント管理装置と通信可能なアクセス管理装置であって、
本装置への接続をユーザに許可するアカウントである第1アカウントを保持する第1アカウント保持部と、
ユーザの端末から送信された本装置への接続要求で指定されたユーザのアカウントと前記第1アカウントを照合することにより、ユーザを認証する認証部と、
前記認証部による認証が成功したユーザの端末から、前記作業対象装置を指定する情報を含むログイン要求を受け付けるログイン要求受付部と、
前記ログイン要求が受け付けられた場合に、前記アカウント管理装置の前記第2アカウント保持部に保持された第2アカウントを使用して前記作業対象装置へログインすることにより、前記作業対象装置に対するユーザの作業を可能にするログイン処理部と、
前記アカウント管理装置に定期的にアクセスして、前記アカウント管理装置の前記第2アカウント保持部に保持された前記作業対象装置へログインするための第2アカウントのパスワードを定期的に変更するアカウント更新部と、
を備えることを特徴とするアクセス管理装置。 An access management device capable of communicating with an account management device including a second account holding unit that holds an account for logging in to the work target device predetermined for a work target device on which a user should perform work,
A first account holding unit that holds a first account that is an account that allows a user to connect to the apparatus;
An authentication unit that authenticates the user by checking the first account against the account of the user specified in the connection request to the device transmitted from the user terminal;
From a terminal of a user who has been successfully authenticated by the authentication unit, a login request receiving unit that receives a login request including information specifying the work target device,
When the login request is accepted, a user's work on the work target device is performed by logging in to the work target device using the second account held in the second account holding unit of the account management device. A login processing unit that enables
An account updating unit for periodically accessing the account management device and periodically changing a password of a second account for logging in to the work target device held in the second account holding unit of the account management device; When,
An access management device, comprising: アクセス管理装置に、
ユーザの端末から送信された本装置への接続要求で指定されたユーザのアカウントと、第1の記憶領域に予め記憶された本装置への接続をユーザに許可する第1アカウントを照合することにより、ユーザを認証する機能と、
前記認証する機能による認証が成功したユーザの端末から、ユーザが作業を行うべき作業対象装置を指定する情報を含むログイン要求を受け付ける機能と、
前記ログイン要求を受け付けた場合に、第2の記憶領域に予め記憶された前記作業対象装置へログインするための第2アカウントを使用して前記作業対象装置へログインすることにより、前記作業対象装置に対するユーザの作業を可能にする機能と、
を実現させ、
前記第2の記憶領域は、前記アクセス管理装置および前記作業対象装置とは異なるアカウント管理装置が備える記憶領域であり、
前記アクセス管理装置に、前記アカウント管理装置に定期的にアクセスして、前記アカウント管理装置の前記第2の記憶領域に記憶された前記作業対象装置へログインするための第2アカウントのパスワードを定期的に変更する機能をさらに実現させるためのコンピュータプログラム。 For access control devices,
By comparing the user's account specified in the connection request to the device transmitted from the user's terminal with the first account previously stored in the first storage area and allowing the user to connect to the device. , The ability to authenticate the user,
From the terminal of the user who has been successfully authenticated by the authenticating function, a function of receiving a login request including information specifying a work target device on which the user should perform work,
When the login request is received, by logging in to the work target device using a second account for logging in to the work target device stored in advance in a second storage area, Functions that enable users to work,
To realize
The second storage area is a storage area provided in an account management device different from the access management device and the work target device,
Periodically access the access management device to the account management device, and periodically enter a password of a second account for logging in to the work target device stored in the second storage area of the account management device. A computer program for further realizing the function of changing to.
JP2019233758A 2019-12-25 2019-12-25 Access control methods, access control devices and computer programs Active JP7001665B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2019233758A JP7001665B2 (en) 2019-12-25 2019-12-25 Access control methods, access control devices and computer programs

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019233758A JP7001665B2 (en) 2019-12-25 2019-12-25 Access control methods, access control devices and computer programs

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2019145126A Division JP2019192302A (en) 2019-08-07 2019-08-07 Access management method, access management device, and computer program

Publications (2)

Publication Number Publication Date
JP2020057429A true JP2020057429A (en) 2020-04-09
JP7001665B2 JP7001665B2 (en) 2022-01-19

Family

ID=70107523

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019233758A Active JP7001665B2 (en) 2019-12-25 2019-12-25 Access control methods, access control devices and computer programs

Country Status (1)

Country Link
JP (1) JP7001665B2 (en)

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000259566A (en) * 1999-03-05 2000-09-22 Ntt Communicationware Corp Password management system
JP2002032340A (en) * 2000-07-14 2002-01-31 Nec Corp System and method for single sign-on web site and recording medium
JP2004110462A (en) * 2002-09-19 2004-04-08 Nec Corp Vehicle joint use reservation method and system
JP2005332201A (en) * 2004-05-20 2005-12-02 Nec Engineering Ltd Network, network management system, communication device, password automatic change method used for those listed items
JP2008117009A (en) * 2006-10-31 2008-05-22 Nomura Research Institute Ltd Remote access controller
JP2008181427A (en) * 2007-01-25 2008-08-07 Fuji Xerox Co Ltd Single sign-on system, information terminal device, single sign-on server, program
CN101281568A (en) * 2008-05-30 2008-10-08 华硕电脑股份有限公司 Method for setting remote access
JP2009223452A (en) * 2008-03-14 2009-10-01 Hitachi Ltd Authentication system, and authentication server device and user device and application server device
JP2009258820A (en) * 2008-04-14 2009-11-05 Nec Corp Account management system, account management device, and account management method
JP2010049331A (en) * 2008-08-19 2010-03-04 Creationline Inc Management device, method, and program for network equipment

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000259566A (en) * 1999-03-05 2000-09-22 Ntt Communicationware Corp Password management system
JP2002032340A (en) * 2000-07-14 2002-01-31 Nec Corp System and method for single sign-on web site and recording medium
JP2004110462A (en) * 2002-09-19 2004-04-08 Nec Corp Vehicle joint use reservation method and system
JP2005332201A (en) * 2004-05-20 2005-12-02 Nec Engineering Ltd Network, network management system, communication device, password automatic change method used for those listed items
JP2008117009A (en) * 2006-10-31 2008-05-22 Nomura Research Institute Ltd Remote access controller
JP2008181427A (en) * 2007-01-25 2008-08-07 Fuji Xerox Co Ltd Single sign-on system, information terminal device, single sign-on server, program
JP2009223452A (en) * 2008-03-14 2009-10-01 Hitachi Ltd Authentication system, and authentication server device and user device and application server device
JP2009258820A (en) * 2008-04-14 2009-11-05 Nec Corp Account management system, account management device, and account management method
CN101281568A (en) * 2008-05-30 2008-10-08 华硕电脑股份有限公司 Method for setting remote access
JP2010049331A (en) * 2008-08-19 2010-03-04 Creationline Inc Management device, method, and program for network equipment

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
小林 峰子: "操作性に優れた総合システム管理ツール YaSTによるシステム管理", LINUX WORLD, vol. 第4巻 第12号, JPN6019033170, 1 December 2005 (2005-12-01), JP, pages 40 - 49, ISSN: 0004656781 *
清水 貴司 ほか: "ネットワークオペレーションにおけるオペレータ管理の一考察", 電子情報通信学会技術研究報告, vol. 103, no. 442, JPN6010056466, 13 November 2003 (2003-11-13), JP, pages 99 - 102, ISSN: 0004656780 *

Also Published As

Publication number Publication date
JP7001665B2 (en) 2022-01-19

Similar Documents

Publication Publication Date Title
JP5797060B2 (en) Access management method and access management apparatus
US10169569B2 (en) Automated password generation and change
KR102313859B1 (en) Authority transfer system, control method therefor, and client
US8938784B2 (en) Authorization of server operations
US9288213B2 (en) System and service providing apparatus
US8490165B2 (en) Restoring secure sessions
US8572268B2 (en) Managing secure sessions
US10397008B2 (en) Management of secret data items used for server authentication
US10873497B2 (en) Systems and methods for maintaining communication links
JP3961112B2 (en) Packet communication control system and packet communication control device
JP2006260027A (en) Quarantine system, and quarantine method using vpn and firewall
US20150281281A1 (en) Identification of unauthorized application data in a corporate network
JP5912159B2 (en) Access management method and access management apparatus
JP6990748B2 (en) Access control method
JP6719635B2 (en) Access management method, access management device and computer program
JP7001665B2 (en) Access control methods, access control devices and computer programs
JP2016139434A (en) Access management method and access management device
JP2023105059A (en) Access management method
JP4675921B2 (en) Information processing system and computer program
JP2019192302A (en) Access management method, access management device, and computer program
KR20130124885A (en) A apparatus and method of providing security to cloud data to prevent unauthorized access
JP2022020000A (en) Access management method
JP2018106737A (en) Access management method and access management apparatus
JP6128958B2 (en) Information processing server system, control method, and program
JP2019003509A (en) Information processing device and information processing program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200123

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210309

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20210416

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210706

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20211207

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20211224

R150 Certificate of patent or registration of utility model

Ref document number: 7001665

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150