JP2004213475A - Login request reception device and access management device - Google Patents

Login request reception device and access management device Download PDF

Info

Publication number
JP2004213475A
JP2004213475A JP2003001391A JP2003001391A JP2004213475A JP 2004213475 A JP2004213475 A JP 2004213475A JP 2003001391 A JP2003001391 A JP 2003001391A JP 2003001391 A JP2003001391 A JP 2003001391A JP 2004213475 A JP2004213475 A JP 2004213475A
Authority
JP
Japan
Prior art keywords
user
access
information
receiving
computer system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003001391A
Other languages
Japanese (ja)
Other versions
JP3973563B2 (en
Inventor
Tatsumi Mashita
竜実 真下
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nomura Research Institute Ltd
Original Assignee
Nomura Research Institute Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nomura Research Institute Ltd filed Critical Nomura Research Institute Ltd
Priority to JP2003001391A priority Critical patent/JP3973563B2/en
Publication of JP2004213475A publication Critical patent/JP2004213475A/en
Application granted granted Critical
Publication of JP3973563B2 publication Critical patent/JP3973563B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To prevent unauthorized access to a computer system. <P>SOLUTION: An authentication server 1 receives an input of a first user's login request to an intracompany network 9 and information with which a second user can verify the validity of the login request, and transmits electronic information including the information for login request validity verification to a cellular telephone 5 of the second user related in advance to the first user. <P>COPYRIGHT: (C)2004,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
本発明は、コンピュータシステムのセキュリティ管理に関し、特にコンピュータシステムに対するアクセス要求の正当性を判定する技術に関する。
【0002】
【従来の技術】
企業の社内システムなど、予め定められたユーザ(例えば、社員等)だけにアクセス権限が与えられている閉じたシステムにおいて、権限あるユーザがシステムの外部からアクセスすることを認めている場合がある。
【0003】
【発明が解決しようとする課題】
前記のようなシステムが外部からアクセス要求を受けたとき、真に権限あるユーザであるかどうかを確認することは、セキュリティ管理上極めて重要である。従って、係るシステムでは、通常、不正アクセスを防止するため、ユーザからのアクセス要求またはログイン要求を受けたとき、そのユーザが権限あるユーザであるかどうかを確認する(ユーザ認証)。このユーザ認証の方法として、パスワードによる認証や指紋などを用いた生体認証等が知られている。
【0004】
しかし、パスワードは盗まれたり、解読されたりすることもあるし、指紋はダミーを作成されてしまえば不正アクセスを許すことになってしまう。
【0005】
そこで、本発明の目的は、不正アクセスを防止するためのあらたなユーザ認証技術を提供することである。
【0006】
本発明の別の目的は、管理者が部下など管理対象者の行動管理を支援することである。
【0007】
本発明のさらに別の目的は、ログイン要求があったときのログイン許否判定を支援することである。
【0008】
【課題を解決するための手段】
本発明の一つの態様に従うコンピュータシステムに対するログイン要求受付装置は、コンピュータシステムに対する第1のユーザからのログイン要求、および第2のユーザが前記ログイン要求の正当性を確認するための情報の入力を受け付ける受付手段と、前記第1のユーザに予め対応づけられている前記第2のユーザの通信装置へ、前記ログイン要求の正当性を確認するための情報を含む電子情報を送出する手段と、を備える。
【0009】
好適な実施形態では、前記受付手段は、前記第1のユーザの識別情報をさらに受け付け、前記ログイン要求受付装置は、前記ユーザ識別情報と前記第2のユーザの通信装置とを対応づけて記憶した記憶手段をさらに備える。
【0010】
さらに、前記第2のユーザは、前記第1のユーザを管理または監督する者であってもよい。
【0011】
本発明の一つの態様に従うアクセス管理装置は、コンピュータシステムに対してアクセスを希望するユーザから、前記ユーザの識別情報と、アクセス希望の理由を示す情報とを受け付ける受付手段と、前記ユーザ識別情報に予め対応づけられている通信装置へ、前記ユーザを特定するための情報および前記アクセス希望の理由を示す情報を含む電子情報を送出する手段と、前記受付手段が前記ユーザ識別情報および前記アクセス希望の理由を示す情報の入力を受け付けると、前記ユーザに対して前記コンピュータシステムへのアクセスを許可するアクセス管理手段と、を備える。
【0012】
好適な実施形態では、前記受付手段は、アクセス希望時間をさらに受け付け、前記ユーザが前記保護対象システムへアクセスした時間が前記アクセス希望時間を経過すると、前記アクセス管理手段はそのアクセスを切断する。
【0013】
好適な実施形態では、前記通信装置から送信された電子情報を受信する受信手段をさらに備え、前記受信手段が前記通信装置からアクセス不許可を示す電子情報を受信すると、前記アクセス管理手段は前記コンピュータシステムへのアクセスを切断する。
【0014】
好適な実施形態では、前記ユーザについて、第1および第2の認証を行う認証手段をさらに備え、前記受付手段は、前記第1および第2の認証に必要な情報をさらに受け付ける。
【0015】
好適な実施形態では、前記受付手段は、前記ユーザの前記コンピュータシステムへの過去のアクセスに関する情報の入力を受け付け、前記第1の認証は、前記ユーザ識別情報に基づく認証であり、前記第2の認証は、前記過去のアクセスに関する情報に基づく認証である。
【0016】
本発明の一つの態様に従うアクセス管理装置は、コンピュータシステムに対してアクセスを希望するユーザから、前記ユーザの識別情報と、アクセス希望の理由を示す情報とを受け付ける受付手段と、前記ユーザ識別情報に予め対応づけられている通信装置へ、前記ユーザを特定するための情報および前記アクセス希望の理由を示す情報を含む電子情報を送出する手段と、前記通信装置から送信された電子情報を受信する受信手段と、前記受信手段が受信した電子情報が、前記コンピュータシステムに対するアクセスを許可することを示す情報であれば、前記ユーザに対して前記コンピュータシステムへのアクセスを許可するアクセス管理手段と、を備える。
【0017】
【発明の実施の形態】
以下、本発明を適用した一実施形態に係るシステムついて、図面を用いて説明する。
【0018】
本システムの全体構成を図1に示す。本システムは、権限あるユーザ以外のユーザに対してアクセスを制限して、コンピュータシステムを保護するために、ユーザの認証および監視を行うための認証サーバ1を備える。保護すべきコンピュータシステムの好適な例として、本実施形態では企業の社内ネットワーク9を用いて説明する。社内ネットワーク9へアクセスできるのは、その企業の社員等の予め定められている者である。社員等が社内ネットワーク9へアクセスしたいときは、ユーザ端末2からインターネットなどのネットワーク3を介して認証サーバ1へログイン要求をする。このログイン要求が許可されると、そのユーザは社内ネットワーク9へアクセスすることができる。
【0019】
また、社内ネットワーク9へのアクセス要求の正当性の確認等のため、認証サーバ1はアクセス要求をしたユーザを管理する管理者の携帯電話機5との間で、ネットワーク3、無線基地局4および携帯電話機用無線電話網(図示しない)を通じてデータの送受信を行う。
【0020】
ここで、「管理者」は「ユーザ」を直接的、または間接的に管理、監督、監視、あるいは指導する立場にある者を含む。典型的には「管理者」と「ユーザ」とは、いわゆる上司と部下の関係であるが、必ずしもこれに限定されない。たとえば、「ユーザ」が外注先の社員であるときは、「管理者」は外注元の社員でもよいし、「ユーザ」と「管理者」とが相互に相手の行動を監視しあう立場でもよい。
【0021】
認証サーバ1およびユーザ端末2は、いずれも例えば汎用的なコンピュータシステムにより構成され、以下に説明する個々の構成要素または機能は、例えば、コンピュータプログラムを実行することにより実現される。また、携帯電話機5は、必ずしも現在実用されているタイプの携帯電話機でなければならないわけではなく、例えば電子メールやWWWによるインターネット通信機能を有する携帯型およびデスクトップのパーソナルコンピュータやPDA(パーソナルデータアシスタント)や現在のものから将来的に進化した携帯電話機等の他のタイプの携帯通信機器で置き換えられてもよい。
【0022】
認証サーバ1は、ネットワークインタフェース部11と、ログイン処理部12と、Webページ13と、管理者インタフェース14と、管理者テーブル15と、アクセス監視部16と、ユーザテーブル18と、アクセスログ19とを備える。
【0023】
ネットワークインタフェース部11は、ネットワーク3に対するデータの入出力を制御する。さらに、ネットワークインタフェース部11は、社内ネットワーク9へアクセスが許可されたユーザの通信記録(アクセス先や利用サービス)をアクセスログ19に記録する。アクセスログ19は、例えば、ユーザID、利用時間、容量、アクセス先の識別情報(アドレス等)、送受信コマンド、応答コード、送受信文字列等をデータ項目に含む。
【0024】
ユーザテーブル18は、社内ネットワーク9へアクセスする権限を有するユーザの個人情報を記憶する。たとえば、ユーザテーブル18は、図2(a)に示すように、ユーザID181と、パスワード182と、電子メールアドレス183とをデータ項目として有する。アクセス要求を受けたときに、ログイン処理部12がこのユーザテーブル18を参照してユーザ認証を行う。電子メールアドレス183は、社内ネットワーク9内(社内)の電子メールアドレスである。ユーザID181のユーザがユーザ端末2からログインしたとき、ログイン処理部12が電子メールアドレス183へログインの事実を通知するための電子メールを送信する。
【0025】
管理者テーブル15は、ユーザテーブル18に登録されているユーザの管理者を示す情報が登録されている。例えば、管理者テーブル15には、図2(b)に示すように、ユーザID151と、管理者の電子メールアドレス152、153とが対応づけて記憶されている。ここで、管理者の電子メールアドレスが複数あるのは、以下の理由による。すなわち、後述するように、管理者インタフェース14がこの管理者テーブル15を参照して管理者の携帯電話機5へ電子メールを送信する。このとき、複数の電子メールアドレスの中で予め優先順位を定めておき、順位の高い電子メールアドレスから順に送信し、送信できない場合に下位の電子メールアドレスへ送信するようにしてもよい。
【0026】
Webページ13は、認証サーバ1へアクセスしたユーザから情報の入力を受け付けたり、ユーザに情報を提供したりする。Webページ13の一例が図3に示すログイン申請画面100である。ログイン申請画面100の詳細については後述する。
【0027】
ログイン処理部12は、ユーザ端末2からアクセス要求を受け付けたとき、その要求を許可するかどうかを決定する。
【0028】
例えば、社内ネットワーク9へログインを希望するユーザが、ユーザ端末2から認証サーバ1へアクセスすると、ログイン申請画面100がユーザ端末2の図示しない表示部に表示される。そして、ログイン申請画面100から入力された情報を認証サーバ1が受け付ける。
【0029】
ここで、ログイン申請画面100の一例を図3に示す。ログイン申請画面100は、ユーザIDの入力領域101およびパスワードの入力領域102を有する。ログイン処理部12は、ここで入力されたユーザIDおよびパスワードをユーザテーブル18に予め記憶されているものと照合してユーザ認証を行う。ユーザ認証の結果、正規のユーザであることが確認されたら、ログイン処理部12はログインを許可するようにしてもよい。あるいは、後述するようにユーザIDおよびパスワードによる認証に加え、管理者からのログイン許可通知があったときにログインを許可するようにしてもよい。さらに、後述するような追加認証を行ってもよい。
【0030】
ログイン申請画面100は、ログインの付加情報の入力を受け付ける領域をさらに有する。つまり、ログイン申請画面100は、ログインした状態を継続する予定時間(アクセスを希望する時間)の入力領域103と、社内ネットワーク9内のどこへアクセスするか(アクセス先)、または何をするか(利用サービス)を選択するための入力領域104と、ログインする理由の入力領域105とを有する。ログイン付加情報に含まれる項目の一部または全部で、ログイン要求の正当性を確認することができる。ここで入力されたログイン付加情報の一部または全部が、後述するようにログインするユーザの管理者の携帯電話機5へ電子メール等で送信される(図4参照)。
【0031】
ここで入力されたログイン付加情報は、図示しない記憶部に記憶される。このとき、入力領域104に入力された情報は、アクセス先のサーバ名またはURL(Uniform Resource Locator)等、アクセス先を一意に識別可能な情報に置き換えられた後、記憶部に記憶するようにしてもよい。
【0032】
また、ログイン処理部12は、一度社内ネットワーク9へのアクセスを許可した場合であっても、アクセス監視部16または管理者インタフェース14から指示を受けたときなど、所定の場合にはそれを取り消して通信を切断する。
【0033】
管理者インタフェース14は、社内ネットワーク9へログインを希望するユーザの管理者との間で情報を送受信する。例えば、管理者インタフェース14は、電子メール機能を備える。そして、ログイン申請画面100に入力されたログイン付加情報を含むテキストファイルを生成して、アクセス要求をしたユーザの管理者の通信装置5へネットワークインタフェース11を介して送信する。このとき、送信先の電子メールアドレスは、管理者インタフェース14が、管理者テーブル15を参照してアクセス要求をしたユーザのIDと対応する管理者の携帯電話機5の電子メールアドレス152,153を取得する。
【0034】
図4は、上記電子メールを受信した管理者の携帯電話機5にログイン付加情報を表示したときの一例である。つまり、携帯電話機5の表示部51に受信した電子メールの内容が表示される。ここで、付加情報と併せて、アクセス要求をしたユーザを特定するための情報も含まれている。ユーザを特定するための情報は、受信した管理者がユーザを特定するのに十分な情報であればよい。例えば、ユーザID、ユーザ名(ニックネーム、イニシャル等を含む)、あるいは所属部署とユーザ名の組み合わせなどでもよい。
【0035】
また、管理者インタフェース14は、後述するようなアクセス監視部16からのメール通知指示を受けたときも、管理者のメールアドレスへ電子メールを送信する。
【0036】
管理者は、携帯電話機5を操作して、受信した電子メールに対する返信メールを送ることができる。返信メールには、ログイン許可、または不許可を示す情報を添付できる。管理者インタフェース14はこの返信メールを受信し、返信メールがログイン許可を示すときはその旨を、ログイン不許可を示すときはその旨または切断指示をログイン処理部12へ通知する。
【0037】
アクセス監視部16は、アクセスログ19を参照してユーザのアクセスを監視する。そして、予め申告したアクセス先と異なるところへアクセスしたときなど、不正なアクセスを検出したときは、ログイン処理部12へ切断指示をする。アクセス監視部16の処理の詳細は後述する。
【0038】
以上に説明した構成を備える認証サーバ1が行う処理の手順について、図5〜図8のフローチャートを用いて説明する。
【0039】
認証サーバ1の処理は、図5に示すように、ユーザのログインを許可するかどうかを判定するログイン処理S1と、ログインが許可された後、ユーザが社内ネットワーク9へアクセスしている間に行うアクセス中処理S2とに分かれる。
【0040】
認証サーバ1はログイン処理S1として以下の処理を行う。すなわち、社内ネットワーク9へログインを希望するユーザが、ユーザ端末2から認証サーバ1へアクセスすると、これを受け付けてユーザ端末2にログイン申請画面100を表示させる。ユーザが、ログイン申請画面100の各入力項目に必要な情報を入力してログイン申請を行う(S11)。このログイン申請を受け付けると、ログイン処理部12が入力されたユーザIDおよびパスワードと、ユーザテーブル18に登録されているユーザIDおよびパスワードとを照合して、ユーザ認証を行う(S12)。ユーザIDおよびパスワードが一致すると、管理者インタフェース14が、ログイン付加情報を含むテキストファイルを生成する。そして、管理者テーブル15を参照して、ユーザIDに対応する管理者の電子メールアドレス152を取得する。管理者インタフェース14は、生成されたテキストファイルを電子メール機能を利用して管理者へ送信する(S13)。なお、ステップS12とステップS13とは順序が逆でもよい。つまり、ステップS13をステップS12より先に行ってもよい。
【0041】
これにより、アクセスを要求するユーザにはログイン付加情報を入力させ、これをそのユーザの管理者へ通知することができる。ログイン付加情報の通知を受けた管理者は、自分の部下が外部から社内ネットワーク9へログインするために、付加情報としてどのようなことを申請しているか、リアルタイムで確認することができる。この結果、管理者は部下の申請内容が、その部下の業務や直近の行動に照らして矛盾しないかを確認できる。
【0042】
なお、ログイン付加情報は、本実施形態で例示する項目以外に、社内ネットワーク9へのアクセス要求の正当性を管理者が確認できるような情報であれば、他の項目に関する情報を入力させてもよい。
【0043】
次に、認証サーバ1は、アクセス中処理S2として以下の処理を行う。すなわち、図示しない計時部が、ユーザが実際にログインしている時間を計測し、自己申告したログイン予定時間と対比して残り時間を求め、ユーザ端末2に表示させる(S21)。社内ネットワーク9へのログインが許可されている間に、ユーザからログイン時間の延長を求める再申請があるとステップS1のログイン処理を繰り返し(S22:Yes)、再申請された時間を残り時間に追加する。再申請がないときは、ログイン処理部12が実際にアクセスしている時間が申請されたアクセス時間を超過していないか監視する(S23)。そして、実際のログイン時間が申請された時間を超過したとき、ログイン処理部12が強制的にアクセスを遮断する(S24)。
【0044】
なお、アクセスの強制切断の前に、残り時間が所定の時間(たとえば、2分)以下になったところで、警告をしてもよい。また、ステップS22で再申請があったとき、ログイン処理S1の繰り返しは省略してもよい。
【0045】
次に、ログイン処理S1は、図5に示した処理以外に、以下のような処理でもよい。例えば、図6はログイン処理S1の他の態様について示す。この態様では、ログインに当たり管理者の承認を必要とする。すなわち、ステップS11〜S13のあとに、ログイン許可通知を受信するとログインを許可するステップS14を追加してもよい。このログイン許可通知は、例えば、ステップS13でログイン付加情報を送信した管理者の携帯電話機5からの返信メールである。ステップS14では、所定時間内に返信メールを受信しない場合や、ログインを許可しない旨の電子メールを受信したときは、ログイン処理部12はそのアクセス要求を許可しない(S14:No)。
【0046】
この態様では、管理者が携帯電話機5でログイン付加情報の通知を受けると、この内容を確認して、管理者がそのログインを許可するかどうかを判断する。これにより、不審なログイン要求は未然に拒否することができる。
【0047】
また、図6の態様のようにログインに管理者の承認を必要とするかどうかは、ログインをするユーザ、あるいはアクセス先または利用サービスに応じて定めてもよい。この場合は、ユーザに与えられている権限あるいは担当業務、アクセス先等の機密の高さなどに応じて、管理者承認の要否を定めてもよい。
【0048】
ログイン処理S1のさらに別の態様について図7に示す。この態様では、ステップS12とS13との間にユーザの追加認証を行うステップS15が挿入されている。追加認証とは、ステップS12のユーザIDおよびパスワードによる認証に加えて行われる認証で、ログイン処理部12が行う。例えば、過去の通信記録に関する情報(前回のログイン時の理由など)をログイン申請時に入力させ、ログイン処理部12がアクセスログ19に記録されている情報と照合する。この場合、ログイン申請画面100に入力領域をさらに設けて入力させるようにしてもよい。
【0049】
なお、ステップS12のユーザ認証は、ユーザIDおよびパスワードによる認証を、電子証明書による認証またはワンタイムパスワードによる認証と置き換えることもできるし、これらの2つ以上を併用して適用することもできる。
【0050】
次に、アクセス中処理S2についても同様に、図5に示した処理以外の処理を行うこともできる。他の処理態様の例を図8に示す。
【0051】
この処理態様では、切断指示を受けたかどうかの判断を行うステップS25が追加されている。このステップS25は、アクセス監視部16または管理者の携帯電話機5から切断指示を受けたかどうかを判定する。そして、切断指示があったときは、ログイン処理部12がステップS24で強制的に切断する。これにより、アクセス監視部16が例えば不正アクセスを検出したとき、あるいは管理者が不正なアクセスであると判断したときに、その時点で強制的にそのユーザのアクセスを切断することができる。
【0052】
次に、アクセス監視部16が行う処理の詳細について説明する。なお、以下の処理は、複数のユーザが社内ネットワーク9へアクセスしている場合は、ユーザIDをキーにしてユーザごとに行う。
【0053】
アクセス監視部16は、ログイン時にユーザによって申告されたログイン付加情報とアクセスログ19とを比較する。この比較は、例えば、ログイン付加情報の各項目ごとに行い、アクセスログ19に記録されたアクセス先の識別情報とが、ログイン付加情報のアクセス先とが一致するかどうかを判定する。ここで、現実のアクセス先が申告されたアクセス先と一致しない場合、直ちに不正アクセスとしてもよいが、本実施形態では、不一致の回数が所定のしきい値を越えたときに不正アクセスとして検出する。
【0054】
これにより、自己申告とは異なるアクセスを繰り返すと不正なアクセスとして検出される。
【0055】
また、現実のアクセス先に応じて重要度を予め設定しておき(例えば図9参照)、その重要度に応じて不正アクセスとして検出するためのしきい値を定めてもよい。つまり、重要度が高いアクセス先は、重要度が低いアクセス先よりも、少ない(不一致)検出回数で不正アクセスと認定する。
【0056】
図9には、アクセス先別に重要度、および不正アクセス検出のしきい値が定義された重要度定義テーブル50を示す。このテーブル50は、例えば、アクセス監視部16内の図示しない記憶領域に記憶されている。
【0057】
アクセス監視部16は、さらに、上記のアクセス先に基づく不正アクセス判定に加え、またはこれとは別に、ユーザが行っているアクセスの態様が、予め定めた不審な行為の類型に含まれるかどうかを判定する。この判定は、アクセス監視部16がアクセスログ19に記憶された内容を分析し、ユーザのアクセスの態様(ユーザが行っている行為)を特定する。そして、そのアクセス態様が不審なアクセスの類型(不審な行為)に属するかどうかを判別する。ここで、不審な行為とは、例えば、一般的に不正と思われるアクセス方法、または、ログイン付加情報に含まれる目的に照らし、その目的とは明らかに異なる行為、あるいはその目的とは関係ないと思われるような行為を含む。一般的に不正と思われるアクセス方法とは、例えば、連続してパスワードエラーを発生させる行為(応答コードを参照して判定する)、および所定時間内に所定数以上のサーバへアクセスするスキャン行為(IPアドレスの末尾を1から100まで順に辿るなど、実在しないサーバも含めてスキャンする行為)などである。不審な行為の中でも、さらに、危険度に応じて予めレベルを設定しておいてもよい。
【0058】
これにより、ユーザ認証をクリアしてログインしたときでも、不審な行為を行うと不正なアクセスとして検出される。
【0059】
ここで、不正なアクセス先を検出したときと同様に、不審な行為を検出すると直ちに不正アクセスとしてもよいが、本実施形態では、不審な行為の回数が所定のしきい値を越えたときに不正アクセスとして検出する。さらに、不正な行為の危険度に応じて不正アクセスとして検出するためのしきい値を定めてもよい(例えば図10)。つまり、危険度の高い不審な行為を検出したときは、危険度が低いものよりも少ない回数で不正アクセスと認定する。
【0060】
図10には、不審な行為別に危険度、および不正アクセス検出のしきい値が定義された危険度定義テーブル60を示す。このテーブル60は、例えば、アクセス監視部16内の図示しない記憶領域に記憶されている。
【0061】
上述のようにして不正アクセスを検出したと判断したときは、アクセス監視部16は、予め定められた所定の処理(対策)を実行する。例えば、アクセス監視部16は、不正アクセスを行っているユーザの管理者のメールアドレス(社内ネットワーク9内の通常のメールアドレス、または携帯電話機5のメールアドレス)へ電子メールで通知するよう管理者インタフェース14へ指示したり、強制的にアクセスを切断するためにログイン処理部12へ切断指示をしたりする。管理者へ通知する電子メールには、検出された不正アクセスを行っているユーザを特定するための情報および不正アクセスの内容などが含まれる。
【0062】
アクセス監視部16が行う対策は、現実のアクセス先または不審な行為に基づいて定めてもよいし、所定のルールに基づいて、その時々で定めて行ってもよい。所定のルールの一例を、図11および図12を用いて説明する。すなわち、図11は、示すアクセス先の重要度と不審な行為の危険度とから対策レベルを定めるマトリックス70を示し、図12は、ユーザID別の対策レベルに応じた対策テーブル80を示す。このマトリックス70および対策テーブル80は、いずれも、例えば、アクセス監視部16内の図示しない記憶領域に記憶されている。
【0063】
まず、アクセス監視部16がマトリックス70を用いて対策レベルを定める。対策レベルが定まると、対策テーブル80を参照し、ユーザID応じて実施する対策が定まる。
【0064】
次に、アクセス中処理S2として行われるアクセス先を監視するときの処理手順を、図13に示すフローチャートを用いて説明する。
【0065】
まず、アクセス監視部16が、図示しない記憶部に記憶されているログイン付加情報およびアクセスログ19を参照して、アクセス先がユーザが自己申告したアクセス先と一致するかどうかを判定する(S31,S32)。
【0066】
現実のアクセス先が申告したものと一致しない場合(S32:No)、アクセス先別の回数をカウントするためのカウンタをカウントアップする(S33)。
そして、アクセス監視部16は、そのカウンタのカウント値が所定のしきい値を越えたかどうかを判定する(S34)。所定のしきい値を越えていた場合は(S34:Yes)、アクセス監視部16は、所定の対策または所定のルールに基づいて定まる対策を実施する(S35)。
【0067】
また、アクセス行為が不正なものであるかどうかの判定を行うときの処理手順を、図14に示すフローチャートを用いて説明する。
【0068】
まず、アクセス監視部16がアクセスログ19を参照して、ユーザの行為を分析ながら監視する(S36)。そして、ユーザが不審な行為を行っていることを検出すると(S37:Yes)、行為別の回数をカウントするためのカウンタをカウントアップする(S38)。アクセス監視部16は、そのカウンタのカウント値が所定のしきい値を越えたかどうかを判定する(S39)。所定のしきい値を越えていた場合は(S39:Yes)、アクセス監視部16は、所定の対策または所定のルールに基づいて定まる対策を実施する(S40)。
【0069】
上述した本発明の実施形態は、本発明の説明のための例示であり、本発明の範囲をそれらの実施形態にのみ限定する趣旨ではない。当業者は、本発明の要旨を逸脱することなしに、他の様々な態様で本発明を実施することができる。
【図面の簡単な説明】
【図1】本発明を適用したユーザ認証システムの構成図である。
【図2】管理者テーブルおよびユーザテーブルのデータ項目の一例を示す図である。
【図3】ログイン申請画面の一例を示す図である。
【図4】携帯電話機5が受信した電子メールの内容を表示したときの一例を示す図である。
【図5】認証サーバが行う処理の一例を示すフローチャートである。
【図6】ログイン処理の他の態様を示すフローチャートである。
【図7】ログイン処理の他の態様を示すフローチャートである。
【図8】アクセス中処理の態様を示すフローチャートである。
【図9】重要度定義テーブルの一例を示す図である。
【図10】危険度定義テーブルの一例を示す図である。
【図11】対策レベルを定めるマトリックスの一例を示す図である。
【図12】ユーザID別対策テーブルの一例を示す図である。
【図13】アクセス先を監視するための処理の態様を示すフローチャートである。
【図14】不正な行為を判定するための処理の態様を示すフローチャートである。
【符号の説明】
1…認証サーバ、2…ユーザ端末、3…ネットワーク、4…無線基地局、5…携帯電話機、9…社内ネットワーク、11…ネットワークインタフェース部、12…ログイン処理部、13…Webページ、14…管理者インタフェース、15…管理者テーブル、16…アクセス監視部、18…ユーザテーブル、19…アクセスログ。50…重要度定義テーブル、60…危険度定義テーブル、70…対策レベルを定めるマトリックス、80…ユーザID別対策テーブル。[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to computer system security management, and more particularly to a technique for determining the legitimacy of an access request to a computer system.
[0002]
[Prior art]
In a closed system, such as an in-house system of a company, in which only a predetermined user (eg, an employee) has access authority, an authorized user may be permitted to access from outside the system.
[0003]
[Problems to be solved by the invention]
When such a system receives an access request from the outside, it is extremely important for security management to confirm whether the user is a truly authorized user. Therefore, in such a system, when an access request or a login request is received from a user, it is usually confirmed whether or not the user is an authorized user in order to prevent unauthorized access (user authentication). As a method of the user authentication, authentication using a password, biometric authentication using a fingerprint, or the like is known.
[0004]
However, passwords can be stolen or cracked, and fingerprints can be illegally accessed once a dummy is created.
[0005]
Therefore, an object of the present invention is to provide a new user authentication technique for preventing unauthorized access.
[0006]
Another object of the present invention is for an administrator to support the behavior management of a managed person such as a subordinate.
[0007]
Still another object of the present invention is to support a login permission / prohibition determination when a login request is made.
[0008]
[Means for Solving the Problems]
A login request receiving apparatus for a computer system according to one aspect of the present invention receives a login request from a first user to a computer system and an input of information for a second user to confirm the validity of the login request. Receiving means, and means for sending electronic information including information for confirming the validity of the login request to a communication device of the second user previously associated with the first user. .
[0009]
In a preferred embodiment, the accepting unit further accepts the identification information of the first user, and the login request accepting device stores the user identification information in association with the communication device of the second user. The storage device further includes a storage unit.
[0010]
Further, the second user may be a person who manages or supervises the first user.
[0011]
An access management device according to one aspect of the present invention is a receiving unit that receives, from a user who desires access to a computer system, identification information of the user and information indicating a reason for requesting access, the user identification information Means for transmitting electronic information including information for specifying the user and information indicating the reason for the access request to a communication device associated in advance; and the receiving means for receiving the user identification information and the access request And an access management means for permitting the user to access the computer system when receiving input of information indicating a reason.
[0012]
In a preferred embodiment, the accepting unit further accepts a desired access time, and when a time when the user accesses the protected system exceeds the desired access time, the access management unit disconnects the access.
[0013]
In a preferred embodiment, the information processing apparatus further includes a receiving unit that receives the electronic information transmitted from the communication device, and when the receiving unit receives the electronic information indicating that access is not permitted from the communication device, the access management unit performs processing on the computer. Disconnect access to the system.
[0014]
In a preferred embodiment, the apparatus further comprises an authentication unit for performing first and second authentications on the user, and the reception unit further receives information necessary for the first and second authentications.
[0015]
In a preferred embodiment, the accepting unit accepts an input of information on a past access of the user to the computer system, the first authentication is an authentication based on the user identification information, and the second authentication is an authentication based on the user identification information. Authentication is authentication based on the information regarding the past access.
[0016]
An access management device according to one aspect of the present invention is a receiving unit that receives, from a user who desires access to a computer system, identification information of the user and information indicating a reason for requesting access, the user identification information Means for transmitting electronic information including information for specifying the user and information indicating the reason for requesting access to a communication device associated in advance, and reception for receiving electronic information transmitted from the communication device And access management means for permitting the user to access the computer system if the electronic information received by the receiving means is information indicating permission to access the computer system. .
[0017]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, a system according to an embodiment to which the present invention is applied will be described with reference to the drawings.
[0018]
FIG. 1 shows the overall configuration of this system. The system includes an authentication server 1 for authenticating and monitoring users in order to restrict access to users other than authorized users and protect computer systems. In the present embodiment, a preferred example of a computer system to be protected will be described using an in-house network 9 of a company. Those who can access the in-house network 9 are predetermined persons such as employees of the company. When an employee or the like wants to access the in-house network 9, the user terminal 2 makes a login request to the authentication server 1 via the network 3 such as the Internet. If this login request is permitted, the user can access the company network 9.
[0019]
In addition, in order to confirm the validity of the access request to the in-house network 9, the authentication server 1 communicates with the mobile phone 5 of the administrator who manages the user who made the access request with the network 3, the wireless base station 4, and the mobile phone. Data is transmitted and received through a telephone wireless network (not shown).
[0020]
Here, the “manager” includes a person who is in a position to directly, or indirectly manage, supervise, monitor, or instruct the “user”. Typically, the “manager” and the “user” have a so-called supervisor-subordinate relationship, but are not necessarily limited to this. For example, when "user" is a subcontractor employee, "administrator" may be a subcontractor employee, or "user" and "administrator" may be in a position to monitor each other's activities. .
[0021]
Each of the authentication server 1 and the user terminal 2 is configured by, for example, a general-purpose computer system, and the individual components or functions described below are realized, for example, by executing a computer program. Further, the mobile phone 5 does not necessarily have to be a mobile phone of a type currently in practical use. For example, a mobile or desktop personal computer or a PDA (personal data assistant) having an Internet communication function by e-mail or WWW. Or, it may be replaced by another type of mobile communication device such as a mobile phone that has evolved in the future from the present one.
[0022]
The authentication server 1 stores a network interface unit 11, a login processing unit 12, a Web page 13, an administrator interface 14, an administrator table 15, an access monitoring unit 16, a user table 18, and an access log 19. Prepare.
[0023]
The network interface unit 11 controls input and output of data to and from the network 3. Further, the network interface unit 11 records, in the access log 19, a communication record (access destination and use service) of a user who is permitted to access the in-house network 9. The access log 19 includes, for example, a user ID, a use time, a capacity, identification information (address or the like) of an access destination, a transmission / reception command, a response code, a transmission / reception character string, and the like in data items.
[0024]
The user table 18 stores personal information of a user who has authority to access the in-house network 9. For example, as shown in FIG. 2A, the user table 18 has a user ID 181, a password 182, and an e-mail address 183 as data items. When receiving the access request, the login processing unit 12 performs user authentication with reference to the user table 18. The e-mail address 183 is an e-mail address in the in-house network 9 (in-house). When the user with the user ID 181 logs in from the user terminal 2, the log-in processing unit 12 sends an e-mail to the e-mail address 183 to notify the fact of the log-in.
[0025]
In the administrator table 15, information indicating the administrator of the user registered in the user table 18 is registered. For example, as shown in FIG. 2B, a user ID 151 and e-mail addresses 152 and 153 of the administrator are stored in the administrator table 15 in association with each other. Here, there are a plurality of e-mail addresses of the administrator for the following reasons. That is, as described later, the administrator interface 14 transmits an e-mail to the administrator's mobile phone 5 with reference to the administrator table 15. At this time, a priority order may be determined in advance among a plurality of e-mail addresses, and the e-mail addresses may be transmitted in order from the highest e-mail address. If transmission is not possible, the e-mail address may be transmitted to a lower e-mail address.
[0026]
The Web page 13 receives input of information from a user who has accessed the authentication server 1 or provides information to the user. An example of the Web page 13 is a login application screen 100 shown in FIG. Details of the login application screen 100 will be described later.
[0027]
When accepting an access request from the user terminal 2, the login processing unit 12 determines whether to permit the request.
[0028]
For example, when a user who wants to log in to the in-house network 9 accesses the authentication server 1 from the user terminal 2, a login application screen 100 is displayed on a display unit (not shown) of the user terminal 2. Then, the authentication server 1 receives the information input from the login application screen 100.
[0029]
Here, an example of the login application screen 100 is shown in FIG. The login application screen 100 has a user ID input area 101 and a password input area 102. The login processing unit 12 authenticates the user by comparing the user ID and the password input here with those stored in the user table 18 in advance. As a result of the user authentication, if it is confirmed that the user is a legitimate user, the login processing unit 12 may allow the login. Alternatively, in addition to authentication using a user ID and a password as described later, login may be permitted when a login permission notification is received from an administrator. Further, additional authentication as described later may be performed.
[0030]
The login application screen 100 further has an area for receiving an input of additional login information. That is, the login application screen 100 includes an input area 103 for a scheduled time (a desired access time) for continuing the logged-in state, a location to access (access destination) in the in-house network 9, or an action ( An input area 104 for selecting a service to be used and an input area 105 for logging in are provided. With some or all of the items included in the additional login information, the validity of the login request can be confirmed. Part or all of the login additional information input here is transmitted to the mobile phone 5 of the administrator of the user who logs in by e-mail or the like as described later (see FIG. 4).
[0031]
The login additional information input here is stored in a storage unit (not shown). At this time, the information input to the input area 104 is replaced with information that can uniquely identify the access destination, such as a server name or a URL (Uniform Resource Locator) of the access destination, and then stored in the storage unit. Is also good.
[0032]
Further, even when the login processing unit 12 once permits access to the in-house network 9, the login processing unit 12 cancels the access in a predetermined case such as when receiving an instruction from the access monitoring unit 16 or the administrator interface 14. Disconnect the communication.
[0033]
The administrator interface 14 transmits and receives information to and from an administrator of a user who wants to log in to the in-house network 9. For example, the administrator interface 14 has an e-mail function. Then, a text file including the login additional information input to the login application screen 100 is generated, and transmitted to the communication device 5 of the administrator of the user who made the access request via the network interface 11. At this time, as the e-mail address of the transmission destination, the administrator interface 14 acquires the e-mail addresses 152 and 153 of the administrator's mobile phone 5 corresponding to the ID of the user who made the access request with reference to the administrator table 15. I do.
[0034]
FIG. 4 is an example when the additional login information is displayed on the mobile phone 5 of the administrator who has received the e-mail. That is, the content of the received e-mail is displayed on the display unit 51 of the mobile phone 5. Here, together with the additional information, information for specifying the user who made the access request is also included. The information for specifying the user may be any information that is sufficient for the received administrator to specify the user. For example, a user ID, a user name (including a nickname, initials, and the like), or a combination of a department to which the user belongs and a user name may be used.
[0035]
The administrator interface 14 also sends an e-mail to the administrator's e-mail address when receiving an e-mail notification instruction from the access monitor 16 as described later.
[0036]
The administrator can operate the mobile phone 5 to send a reply e-mail to the received e-mail. The reply mail can be attached with information indicating whether the login is permitted or not. The administrator interface 14 receives this reply mail, and notifies the login processing unit 12 of the fact that the reply mail indicates a login permission if the reply mail indicates the permission of the login, or a disconnection instruction if the reply mail indicates that the login is not permitted.
[0037]
The access monitoring unit 16 monitors user access with reference to the access log 19. Then, when an unauthorized access is detected, for example, when an access is made to a place different from the access destination declared in advance, a disconnection instruction is issued to the login processing unit 12. Details of the processing of the access monitoring unit 16 will be described later.
[0038]
The procedure of the process performed by the authentication server 1 having the above-described configuration will be described with reference to the flowcharts in FIGS.
[0039]
As shown in FIG. 5, the processing of the authentication server 1 is performed during a login process S1 for determining whether to permit the user to log in, and while the user is accessing the corporate network 9 after the login is permitted. The process is divided into a processing during access S2.
[0040]
The authentication server 1 performs the following processing as the login processing S1. That is, when a user who wants to log in to the in-house network 9 accesses the authentication server 1 from the user terminal 2, the authentication server 1 receives the access and displays the login application screen 100 on the user terminal 2. The user inputs necessary information for each input item on the login application screen 100 and makes a login application (S11). When the login application is accepted, the login processing unit 12 collates the input user ID and password with the user ID and password registered in the user table 18 to perform user authentication (S12). If the user ID and the password match, the administrator interface 14 generates a text file including the login additional information. Then, the e-mail address 152 of the administrator corresponding to the user ID is acquired with reference to the administrator table 15. The administrator interface 14 sends the generated text file to the administrator using the e-mail function (S13). Note that the order of step S12 and step S13 may be reversed. That is, step S13 may be performed before step S12.
[0041]
As a result, the user who requests access can be made to input the additional login information, and this can be notified to the administrator of the user. The administrator who has been notified of the login additional information can check in real time what kind of additional information he / she has applied for logging in to the in-house network 9 from outside. As a result, the manager can confirm whether the application content of the subordinate does not contradict with the subordinate's work or the latest action.
[0042]
The additional login information may be information other than the items exemplified in the present embodiment, as long as the administrator can confirm the validity of the access request to the in-house network 9. Good.
[0043]
Next, the authentication server 1 performs the following process as the accessing process S2. In other words, a timing unit (not shown) measures the actual login time of the user, obtains the remaining time in comparison with the self-reported scheduled login time, and displays the remaining time on the user terminal 2 (S21). If there is a reapplication requesting the extension of the login time from the user while the login to the in-house network 9 is permitted, the login process of step S1 is repeated (S22: Yes), and the reapplied time is added to the remaining time. I do. When there is no re-application, it is monitored whether the time actually accessed by the login processing unit 12 exceeds the requested access time (S23). Then, when the actual login time exceeds the applied time, the login processing unit 12 forcibly blocks access (S24).
[0044]
Before the forced disconnection of the access, a warning may be issued when the remaining time becomes equal to or less than a predetermined time (for example, 2 minutes). Further, when there is a re-application in step S22, the repetition of the login processing S1 may be omitted.
[0045]
Next, the login processing S1 may be the following processing other than the processing shown in FIG. For example, FIG. 6 shows another aspect of the login processing S1. In this mode, login requires the approval of the administrator. That is, after the steps S11 to S13, a step S14 for permitting the login when the login permission notification is received may be added. This login permission notification is, for example, a reply mail from the mobile phone 5 of the administrator who transmitted the login additional information in step S13. In step S14, when the reply mail is not received within a predetermined time or when the electronic mail indicating that the login is not permitted is received, the login processing unit 12 does not permit the access request (S14: No).
[0046]
In this aspect, when the administrator receives the notification of the additional login information on the mobile phone 5, the content is confirmed, and the administrator determines whether to permit the login. Thereby, a suspicious login request can be rejected beforehand.
[0047]
Whether the login requires the approval of the administrator as in the mode of FIG. 6 may be determined according to the user who logs in, the access destination, or the service used. In this case, the necessity of administrator approval may be determined according to the authority given to the user, the assigned task, the level of confidentiality of the access destination, and the like.
[0048]
FIG. 7 shows still another mode of the login process S1. In this embodiment, a step S15 for performing additional authentication of the user is inserted between steps S12 and S13. The additional authentication is authentication performed in addition to the authentication using the user ID and the password in step S12, and is performed by the login processing unit 12. For example, information on the past communication record (such as the reason for the previous login) is input at the time of the login application, and the login processing unit 12 compares the information with the information recorded in the access log 19. In this case, an input area may be further provided on the login application screen 100 for inputting.
[0049]
In the user authentication in step S12, authentication using a user ID and a password can be replaced with authentication using an electronic certificate or authentication using a one-time password, or two or more of these can be used in combination.
[0050]
Next, similarly to the processing during access S2, processing other than the processing illustrated in FIG. 5 can be performed. FIG. 8 shows an example of another processing mode.
[0051]
In this processing mode, a step S25 for determining whether or not a disconnection instruction has been received is added. In step S25, it is determined whether a disconnection instruction has been received from the access monitoring unit 16 or the mobile phone 5 of the administrator. Then, when there is a disconnection instruction, the login processing unit 12 forcibly disconnects in step S24. Thus, when the access monitoring unit 16 detects, for example, unauthorized access, or when the administrator determines that the access is unauthorized, the access of the user can be forcibly cut off at that time.
[0052]
Next, details of the processing performed by the access monitoring unit 16 will be described. When a plurality of users are accessing the in-house network 9, the following processing is performed for each user using the user ID as a key.
[0053]
The access monitoring unit 16 compares the login additional information declared by the user at the time of login with the access log 19. This comparison is performed for each item of the additional login information, for example, and it is determined whether the identification information of the access destination recorded in the access log 19 matches the access destination of the additional login information. Here, if the actual access destination does not match the declared access destination, unauthorized access may be immediately performed. However, in the present embodiment, when the number of mismatches exceeds a predetermined threshold, it is detected as unauthorized access. .
[0054]
Thus, if an access different from the self-report is repeated, it is detected as an unauthorized access.
[0055]
Further, the importance may be set in advance according to the actual access destination (for example, see FIG. 9), and a threshold for detecting an unauthorized access may be determined according to the importance. In other words, an access destination with a higher importance is identified as an unauthorized access with a smaller (mismatch) detection count than an access destination with a lower importance.
[0056]
FIG. 9 shows an importance definition table 50 in which the importance and the threshold value for detecting unauthorized access are defined for each access destination. This table 50 is stored, for example, in a storage area (not shown) in the access monitoring unit 16.
[0057]
The access monitoring unit 16 further determines whether or not the type of access being performed by the user is included in the predetermined suspicious behavior type in addition to or separately from the above-described unauthorized access determination based on the access destination. judge. In this determination, the access monitoring unit 16 analyzes the contents stored in the access log 19 and specifies the access mode of the user (the action performed by the user). Then, it is determined whether or not the access mode belongs to a suspicious access type (suspicious behavior). Here, a suspicious act is, for example, an access method that is generally considered to be fraudulent, or an act that is clearly different from, or unrelated to, the purpose included in the login additional information. Includes actions that may seem. The access method generally considered to be illegal includes, for example, an act of continuously generating a password error (determining by referring to a response code) and a scanning act of accessing a predetermined number or more servers within a predetermined time ( Scanning of non-existent servers, such as tracing the end of the IP address from 1 to 100). Even among suspicious acts, the level may be set in advance according to the degree of danger.
[0058]
As a result, even if the user authentication is cleared and the user logs in, if a suspicious action is performed, it is detected as an unauthorized access.
[0059]
Here, similarly to the case where the unauthorized access destination is detected, the suspicious activity may be immediately detected when the suspicious activity is detected. Detect as unauthorized access. Further, a threshold value for detecting unauthorized access may be determined according to the risk of unauthorized acts (for example, FIG. 10). That is, when a suspicious activity with a high risk is detected, it is recognized as an unauthorized access with a smaller number of times than that with a low risk.
[0060]
FIG. 10 shows a risk definition table 60 in which the risk and the threshold value for detecting unauthorized access are defined for each suspicious activity. This table 60 is stored, for example, in a storage area (not shown) in the access monitoring unit 16.
[0061]
When determining that an unauthorized access has been detected as described above, the access monitoring unit 16 executes a predetermined process (countermeasure). For example, the access monitoring unit 16 sends an e-mail to the administrator's e-mail address (a normal e-mail address in the in-house network 9 or the e-mail address of the mobile phone 5) of the user who is performing the unauthorized access. 14 or a disconnection instruction to the login processing unit 12 to forcibly disconnect the access. The e-mail notified to the administrator includes information for specifying the detected unauthorized access user, the content of the unauthorized access, and the like.
[0062]
The measures taken by the access monitoring unit 16 may be determined based on the actual access destination or suspicious behavior, or may be determined at any time based on a predetermined rule. An example of the predetermined rule will be described with reference to FIGS. That is, FIG. 11 shows a matrix 70 for determining a countermeasure level based on the importance of the access destination and the risk of a suspicious action, and FIG. 12 shows a countermeasure table 80 corresponding to the countermeasure level for each user ID. Both the matrix 70 and the countermeasure table 80 are stored in, for example, a storage area (not shown) in the access monitoring unit 16.
[0063]
First, the access monitoring unit 16 determines a countermeasure level using the matrix 70. When the countermeasure level is determined, the countermeasure to be implemented is determined according to the user ID with reference to the countermeasure table 80.
[0064]
Next, a processing procedure for monitoring an access destination performed as the processing during access S2 will be described with reference to a flowchart shown in FIG.
[0065]
First, the access monitoring unit 16 refers to the login additional information and the access log 19 stored in the storage unit (not shown) to determine whether the access destination matches the access destination declared by the user (S31, S32).
[0066]
If the actual access destination does not match the declared one (S32: No), a counter for counting the number of times for each access destination is counted up (S33).
Then, the access monitoring unit 16 determines whether or not the count value of the counter has exceeded a predetermined threshold (S34). If the predetermined threshold is exceeded (S34: Yes), the access monitoring unit 16 performs a predetermined measure or a measure determined based on a predetermined rule (S35).
[0067]
Further, a processing procedure for determining whether or not an access act is unauthorized will be described with reference to a flowchart shown in FIG.
[0068]
First, the access monitoring unit 16 refers to the access log 19 and monitors the behavior of the user while analyzing it (S36). When detecting that the user is performing a suspicious act (S37: Yes), a counter for counting the number of times for each act is counted up (S38). The access monitoring unit 16 determines whether the count value of the counter has exceeded a predetermined threshold (S39). If it exceeds the predetermined threshold value (S39: Yes), the access monitoring unit 16 performs a predetermined measure or a measure determined based on a predetermined rule (S40).
[0069]
The above-described embodiments of the present invention are exemplifications for describing the present invention, and are not intended to limit the scope of the present invention only to those embodiments. Those skilled in the art can implement the present invention in various other modes without departing from the gist of the present invention.
[Brief description of the drawings]
FIG. 1 is a configuration diagram of a user authentication system to which the present invention is applied.
FIG. 2 is a diagram illustrating an example of data items of an administrator table and a user table.
FIG. 3 is a diagram illustrating an example of a login application screen.
FIG. 4 is a diagram showing an example when the content of an e-mail received by the mobile phone 5 is displayed.
FIG. 5 is a flowchart illustrating an example of a process performed by an authentication server.
FIG. 6 is a flowchart illustrating another aspect of the login process.
FIG. 7 is a flowchart illustrating another aspect of the login process.
FIG. 8 is a flowchart illustrating an aspect of processing during access.
FIG. 9 is a diagram illustrating an example of an importance definition table.
FIG. 10 is a diagram illustrating an example of a risk definition table.
FIG. 11 is a diagram showing an example of a matrix for determining a measure level.
FIG. 12 is a diagram illustrating an example of a countermeasure table for each user ID.
FIG. 13 is a flowchart illustrating an aspect of a process for monitoring an access destination.
FIG. 14 is a flowchart illustrating an aspect of a process for determining an unauthorized act.
[Explanation of symbols]
DESCRIPTION OF SYMBOLS 1 ... Authentication server, 2 ... User terminal, 3 ... Network, 4 ... Wireless base station, 5 ... Mobile telephone, 9 ... In-house network, 11 ... Network interface unit, 12 ... Log-in processing unit, 13 ... Web page, 14 ... Management User interface, 15: administrator table, 16: access monitoring unit, 18: user table, 19: access log. 50: Importance definition table, 60: Risk definition table, 70: Matrix for defining the countermeasure level, 80: User ID-based countermeasure table

Claims (13)

コンピュータシステムに対する第1のユーザからのログイン要求、および第2のユーザが前記ログイン要求の正当性を確認するための情報の入力を受け付ける受付手段と、
前記第1のユーザに予め対応づけられている前記第2のユーザの通信装置へ、前記ログイン要求の正当性を確認するための情報を含む電子情報を送出する手段と、を備えるコンピュータシステムに対するログイン要求受付装置。Accepting means for accepting a login request from the first user to the computer system and input of information for the second user to confirm the validity of the login request;
Means for transmitting electronic information including information for confirming the validity of the login request to a communication device of the second user previously associated with the first user. Request receiving device. 前記受付手段は、前記第1のユーザの識別情報をさらに受け付け、
前記ログイン要求受付装置は、前記ユーザ識別情報と前記第2のユーザの通信装置とを対応づけて記憶した記憶手段をさらに備える請求項1記載のログイン要求受付装置。The receiving means further receives the identification information of the first user,
The login request receiving device according to claim 1, wherein the login request receiving device further includes a storage unit that stores the user identification information and the communication device of the second user in association with each other. 前記第2のユーザは、前記第1のユーザを管理または監督する者である請求項1記載のログイン要求受付装置。The login request receiving device according to claim 1, wherein the second user is a person who manages or supervises the first user. コンピュータシステムに対してアクセスを希望するユーザから、前記ユーザの識別情報と、アクセス希望の理由を示す情報とを受け付ける受付手段と、
前記ユーザ識別情報に予め対応づけられている通信装置へ、前記ユーザを特定するための情報および前記アクセス希望の理由を示す情報を含む電子情報を送出する手段と、
前記受付手段が前記ユーザ識別情報および前記アクセス希望の理由を示す情報の入力を受け付けると、前記ユーザに対して前記コンピュータシステムへのアクセスを許可するアクセス管理手段と、を備えるアクセス管理装置。From a user who wants access to the computer system, receiving means for receiving identification information of the user and information indicating the reason for the access request,
Means for transmitting electronic information including information for specifying the user and information indicating the reason for the access request to a communication device that is previously associated with the user identification information;
An access management unit comprising: an access management unit configured to allow the user to access the computer system when the reception unit receives the user identification information and the information indicating the reason for the access request. 前記受付手段は、アクセス希望時間をさらに受け付け、
前記ユーザが前記保護対象システムへアクセスした時間が前記アクセス希望時間を経過すると、前記アクセス管理手段はそのアクセスを切断する請求項4記載のアクセス管理装置。The receiving means further receives a desired access time,
5. The access management device according to claim 4, wherein when the time during which the user accesses the protected system exceeds the desired access time, the access management unit disconnects the access. 前記通信装置から送信された電子情報を受信する受信手段をさらに備え、
前記受信手段が前記通信装置からアクセス不許可を示す電子情報を受信すると、前記アクセス管理手段は前記コンピュータシステムへのアクセスを切断する請求項4記載のアクセス管理装置。Further comprising a receiving means for receiving the electronic information transmitted from the communication device,
5. The access management device according to claim 4, wherein the access management unit disconnects access to the computer system when the reception unit receives electronic information indicating access denied from the communication device. 前記ユーザについて、第1および第2の認証を行う認証手段をさらに備え、
前記受付手段は、前記第1および第2の認証に必要な情報をさらに受け付ける請求項4記載のアクセス管理装置。The apparatus further comprises authentication means for performing first and second authentications on the user,
The access management device according to claim 4, wherein the receiving unit further receives information necessary for the first and second authentications. 前記受付手段は、前記ユーザの前記コンピュータシステムへの過去のアクセスに関する情報の入力を受け付け、
前記第1の認証は、前記ユーザ識別情報に基づく認証であり、
前記第2の認証は、前記過去のアクセスに関する情報に基づく認証である請求項7記載のアクセス管理装置。The receiving means receives input of information on past access of the user to the computer system,
The first authentication is authentication based on the user identification information,
The access management device according to claim 7, wherein the second authentication is authentication based on information on the past access. コンピュータシステムに対してアクセスを希望するユーザから、前記ユーザの識別情報と、アクセス希望の理由を示す情報とを受け付ける受付手段と、
前記ユーザ識別情報に予め対応づけられている通信装置へ、前記ユーザを特定するための情報および前記アクセス希望の理由を示す情報を含む電子情報を送出する手段と、
前記通信装置から送信された電子情報を受信する受信手段と、
前記受信手段が受信した電子情報が、前記コンピュータシステムに対するアクセスを許可することを示す情報であれば、前記ユーザに対して前記コンピュータシステムへのアクセスを許可するアクセス管理手段と、を備えるアクセス管理装置。From a user who wants access to the computer system, receiving means for receiving identification information of the user and information indicating the reason for the access request,
Means for transmitting electronic information including information for specifying the user and information indicating the reason for the access request to a communication device that is previously associated with the user identification information;
Receiving means for receiving the electronic information transmitted from the communication device,
An access management unit including: an access management unit that allows the user to access the computer system if the electronic information received by the reception unit is information indicating that access to the computer system is allowed. . コンピュータシステムに対するログイン要求を受け付ける装置の動作のための方法であって、
コンピュータシステムに対する第1のユーザからのログイン要求、および第2のユーザが前記ログイン要求の正当性を確認するための情報の入力を受け付けるステップと、
前記第1のユーザに予め対応づけられている、前記第2のユーザの通信装置へ、前記ログイン要求の正当性を確認するための情報を含む電子情報を送出するステップと、を備えるログイン要求の受付方法。A method for operation of an apparatus for receiving a login request for a computer system, the method comprising:
Receiving a login request from the first user to the computer system and input of information for the second user to confirm the validity of the login request;
Sending electronic information including information for confirming the validity of the login request to the communication device of the second user, which is associated with the first user in advance. Reception method. コンピュータに実行されたとき、
コンピュータシステムに対する第1のユーザからのログイン要求、および第2のユーザが前記ログイン要求の正当性を確認するための情報の入力を受け付けるステップと、
前記第1のユーザに予め対応づけられている、前記第2のユーザの通信装置へ、前記ログイン要求の正当性を確認するための情報を含む電子情報を送出するステップと、を行うコンピュータシステムに対するログイン要求受付のためのコンピュータプログラム。When executed on a computer,
Receiving a login request from the first user to the computer system and input of information for the second user to confirm the validity of the login request;
Sending electronic information including information for confirming the validity of the login request to the communication device of the second user, which is associated in advance with the first user, Computer program for accepting login requests. コンピュータシステムに対するアクセス要求を管理する装置の動作のための方法であって、
コンピュータシステムに対してアクセスを希望するユーザから、前記ユーザの識別情報と、アクセス希望の理由を示す情報とを受け付けるステップと、
前記ユーザ識別情報に予め対応づけられている通信装置へ、前記ユーザを特定するための情報および前記アクセス希望の理由を示す情報を含む電子情報を送出するステップと、
前記ユーザ識別情報および前記アクセス希望の理由を示す情報の入力を受け付けると、前記ユーザに対して前記コンピュータシステムへのアクセスを許可するステップ、を備えるアクセス要求の管理方法。A method for operation of an apparatus for managing an access request to a computer system, the method comprising:
Receiving from a user who desires access to the computer system, identification information of the user, and information indicating a reason for requesting access;
A step of sending electronic information including information for specifying the user and information indicating the reason for the access request to a communication device that is previously associated with the user identification information,
Receiving an input of the user identification information and information indicating the reason for the access request, and permitting the user to access the computer system. コンピュータに実行されたとき、
コンピュータシステムに対してアクセスを希望するユーザから、前記ユーザの識別情報と、アクセス希望の理由を示す情報とを受け付けるステップと、
前記ユーザ識別情報に予め対応づけられている通信装置へ、前記ユーザを特定するための情報および前記アクセス希望の理由を示す情報を含む電子情報を送出するステップと、
前記ユーザ識別情報および前記アクセス希望の理由を示す情報の入力を受け付けると、前記ユーザに対して前記コンピュータシステムへのアクセスを許可するステップ、を行うコンピュータシステムに対するアクセス要求管理のためのコンピュータプログラム。When executed on a computer,
Receiving from a user who desires access to the computer system, identification information of the user, and information indicating a reason for requesting access;
A step of sending electronic information including information for specifying the user and information indicating the reason for the access request to a communication device that is previously associated with the user identification information,
A computer program for managing an access request to the computer system, wherein the step of permitting the user to access the computer system when the input of the user identification information and the information indicating the reason for the access request is accepted.
JP2003001391A 2003-01-07 2003-01-07 Login request receiving apparatus, login request receiving method, and program therefor Expired - Fee Related JP3973563B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003001391A JP3973563B2 (en) 2003-01-07 2003-01-07 Login request receiving apparatus, login request receiving method, and program therefor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003001391A JP3973563B2 (en) 2003-01-07 2003-01-07 Login request receiving apparatus, login request receiving method, and program therefor

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2007112931A Division JP2007226827A (en) 2007-04-23 2007-04-23 Log-in request receiving device and access management device

Publications (2)

Publication Number Publication Date
JP2004213475A true JP2004213475A (en) 2004-07-29
JP3973563B2 JP3973563B2 (en) 2007-09-12

Family

ID=32819426

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003001391A Expired - Fee Related JP3973563B2 (en) 2003-01-07 2003-01-07 Login request receiving apparatus, login request receiving method, and program therefor

Country Status (1)

Country Link
JP (1) JP3973563B2 (en)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006237842A (en) * 2005-02-23 2006-09-07 Nippon Telegr & Teleph Corp <Ntt> System and method for network control
JP2007094493A (en) * 2005-09-27 2007-04-12 Matsushita Electric Works Ltd Access control system and method
JP2008117008A (en) * 2006-10-31 2008-05-22 Nomura Research Institute Ltd Remote access controller
JP2008117007A (en) * 2006-10-31 2008-05-22 Nomura Research Institute Ltd Remote access controller
JP2008226058A (en) * 2007-03-14 2008-09-25 Nomura Research Institute Ltd Business information protection device
JP2009110432A (en) * 2007-10-31 2009-05-21 Sky Kk Authentication system and authentication program
JP2010199997A (en) * 2009-02-25 2010-09-09 Nec Corp Access authentication system, information processing apparatus, access authentication method, program, and recording medium
JP2012203624A (en) * 2011-03-25 2012-10-22 Nomura Research Institute Ltd Business information protection device and business information protection method, and program
US8463197B2 (en) 2008-08-01 2013-06-11 Ntt Docomo, Inc. Mobile communication method and operation apparatus
JP2015130028A (en) * 2014-01-07 2015-07-16 日本電気株式会社 Proxy log-in device, terminal, control method and program
JP2015195042A (en) * 2015-06-17 2015-11-05 株式会社野村総合研究所 Business information protection device and business information protection method, and program
JP7436051B2 (en) 2021-12-20 2024-02-21 Necプラットフォームズ株式会社 Network connection device with VoIP function, its control method and program

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006237842A (en) * 2005-02-23 2006-09-07 Nippon Telegr & Teleph Corp <Ntt> System and method for network control
JP2007094493A (en) * 2005-09-27 2007-04-12 Matsushita Electric Works Ltd Access control system and method
JP2008117008A (en) * 2006-10-31 2008-05-22 Nomura Research Institute Ltd Remote access controller
JP2008117007A (en) * 2006-10-31 2008-05-22 Nomura Research Institute Ltd Remote access controller
JP2008226058A (en) * 2007-03-14 2008-09-25 Nomura Research Institute Ltd Business information protection device
JP2009110432A (en) * 2007-10-31 2009-05-21 Sky Kk Authentication system and authentication program
US8463197B2 (en) 2008-08-01 2013-06-11 Ntt Docomo, Inc. Mobile communication method and operation apparatus
JP2010199997A (en) * 2009-02-25 2010-09-09 Nec Corp Access authentication system, information processing apparatus, access authentication method, program, and recording medium
JP2012203624A (en) * 2011-03-25 2012-10-22 Nomura Research Institute Ltd Business information protection device and business information protection method, and program
JP2015130028A (en) * 2014-01-07 2015-07-16 日本電気株式会社 Proxy log-in device, terminal, control method and program
JP2015195042A (en) * 2015-06-17 2015-11-05 株式会社野村総合研究所 Business information protection device and business information protection method, and program
JP7436051B2 (en) 2021-12-20 2024-02-21 Necプラットフォームズ株式会社 Network connection device with VoIP function, its control method and program

Also Published As

Publication number Publication date
JP3973563B2 (en) 2007-09-12

Similar Documents

Publication Publication Date Title
AU2014388268B2 (en) System and method for biometric protocol standards
US8141138B2 (en) Auditing correlated events using a secure web single sign-on login
US8862097B2 (en) Secure transaction authentication
JP2686218B2 (en) Alias detection method on computer system, distributed computer system and method of operating the same, and distributed computer system performing alias detection
CN110149328B (en) Interface authentication method, device, equipment and computer readable storage medium
CN109756446B (en) Access method and system for vehicle-mounted equipment
CN109409045B (en) Safety protection method and device for automatic login account of browser
JP2006522420A (en) Network security system based on physical location
US9516059B1 (en) Using mock tokens to protect against malicious activity
CN101051905A (en) Agent identity certificiation method
JP2005234729A (en) Unauthorized access protection system and its method
US7487535B1 (en) Authentication on demand in a distributed network environment
JP3973563B2 (en) Login request receiving apparatus, login request receiving method, and program therefor
CN109936555A (en) A kind of date storage method based on cloud platform, apparatus and system
US20050238174A1 (en) Method and system for secure communications over a public network
JP3934062B2 (en) Unauthorized access detection device
WO2001073533A1 (en) System and method for safeguarding electronic files and digital information in a network environment
KR101001197B1 (en) System and method for log-in control
JP2007226827A (en) Log-in request receiving device and access management device
JP5665592B2 (en) Server apparatus, computer system, and login method thereof
KR101025029B1 (en) Implementation method for integration database security system using electronic authentication
JP6842951B2 (en) Unauthorized access detectors, programs and methods
JP2005258606A (en) Network system with information leakage audit function
US20050086542A1 (en) Authentication system
KR20050003587A (en) Secure system and method for controlling access thereof

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060529

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060725

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060925

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070220

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070423

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070529

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070612

R150 Certificate of patent or registration of utility model

Ref document number: 3973563

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100622

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110622

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120622

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120622

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130622

Year of fee payment: 6

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140622

Year of fee payment: 7

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees