JP2004318308A - アクセス管理システム、アクセス管理装置およびアクセス管理システムに使用される情報通信端末 - Google Patents
アクセス管理システム、アクセス管理装置およびアクセス管理システムに使用される情報通信端末 Download PDFInfo
- Publication number
- JP2004318308A JP2004318308A JP2003108900A JP2003108900A JP2004318308A JP 2004318308 A JP2004318308 A JP 2004318308A JP 2003108900 A JP2003108900 A JP 2003108900A JP 2003108900 A JP2003108900 A JP 2003108900A JP 2004318308 A JP2004318308 A JP 2004318308A
- Authority
- JP
- Japan
- Prior art keywords
- information
- access
- web server
- communication
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
【課題】プロキシサーバの通信ログからアクセス先URLとアクセスに使用した情報通信端末を容易に特定することができるアクセス記録システムを得ること。
【解決手段】Webサーバ2を有するインターネット1に接続され、複数のLANから構成される企業内広域ネットワーク7において、LANは、情報通信端末5によるWebサーバ2への通信記録である通信ログを収集する事業所プロキシサーバ6を介して企業内広域ネットワーク7に接続され、企業内広域ネットワーク7は、インターネット1と接続される点に配置され、企業内広域ネットワーク7内からWebサーバ2への通信記録である通信ログを収集する全社プロキシサーバ8と、上記プロキシサーバ6,8から所定の間隔でそれぞれの通信ログを収集し、これらの通信ログに基づいてWebサーバ2にアクセスした情報通信端末5を特定化するアクセス編集記録を生成して管理するアクセス管理装置9を備える。
【選択図】 図1
【解決手段】Webサーバ2を有するインターネット1に接続され、複数のLANから構成される企業内広域ネットワーク7において、LANは、情報通信端末5によるWebサーバ2への通信記録である通信ログを収集する事業所プロキシサーバ6を介して企業内広域ネットワーク7に接続され、企業内広域ネットワーク7は、インターネット1と接続される点に配置され、企業内広域ネットワーク7内からWebサーバ2への通信記録である通信ログを収集する全社プロキシサーバ8と、上記プロキシサーバ6,8から所定の間隔でそれぞれの通信ログを収集し、これらの通信ログに基づいてWebサーバ2にアクセスした情報通信端末5を特定化するアクセス編集記録を生成して管理するアクセス管理装置9を備える。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
この発明は、たとえば、企業内で構築されたLAN(Local Area Network)の情報通信端末からインターネットに公開されているWebサイトを閲覧したり、Webサイトに投稿したりする際に、情報通信端末を特定化する情報を含む通信履歴や投稿内容を記録保管し、業務上好ましくないWebサイトへのアクセスを制限することが可能なアクセス記録システム、アクセス管理装置およびアクセス管理システムに使用される情報通信端末に関するものである。
【0002】
【従来の技術】
近年、情報通信技術の急速な発達に伴い、企業内でLANを構築してインターネットに接続し、LANに接続された情報通信端末からインターネットに容易にアクセスできる環境が普及している。たとえば、地理的に離れた位置に存在する事業所を複数有する企業の場合、各事業所に存在する情報通信端末同士を接続してLANを構築し、それらのLANを専用線を介して相互に接続して企業内広域ネットワークを構築し、そしてこの企業内広域ネットワークをインターネットに接続するという形式が採られる。ここで、企業内のネットワーク負荷を軽減する代理応答機能や、通信履歴を記録保管するプロキシサーバを、企業内の各事業所のLANと企業内広域ネットワークとの接続箇所と、企業内広域ネットワークとインターネットとの接続箇所に設置する場合がある。前者を事業所プロキシサーバと呼び、後者を全社プロキシサーバと呼ぶ。このようなネットワークシステムにおいて、インターネットに公開されているWebサーバを企業内の情報通信端末からアクセスする場合には、事業所プロキシサーバと全社プロキシサーバの順に、情報が経由することになる。
【0003】
これらのプロキシサーバは、中継するすべての通信履歴(以下、通信ログという)として、当該サーバを中継して通信する機器のfrom IP(Internet Protocol)アドレス(事業所プロキシサーバの場合には、事業所内のLANに接続される情報通信端末のIPアドレスであり、全社プロキシサーバの場合には、事業所プロキシサーバのIPアドレスである)と、アクセス先URL(Uniform Resource Locator)と、アクセス日時を、それぞれの装置に設けられたハードディスクドライブ(HDD)などの記憶装置に記録して保管するようにしている。これによって、企業内の情報通信端末によってなされたインターネット上のWebサーバへのアクセスが記録され、この記録を追跡することによって、企業にとって不必要なWebサーバへアクセスしている情報通信端末またはその使用者を特定することが可能になる。
【0004】
ところで、情報通信技術の発達によって、一部の悪意のあるユーザによる他人の誹謗・中傷などの不適切な内容の情報のやり取りが、瞬時に広まってしまうという問題が発生している。このような問題に対処するために、LANなどの内部ネットワークに出入りする情報を中継し、内部ネットワーク内のユーザ情報を管理し、送受信を行うユーザを認証する機能を有する中継装置を内部ネットワークに備えるネットワークシステムが提案されている(たとえば、特許文献1参照)。
【0005】
【特許文献1】
特開2001−350677号公報(第6〜7頁)
【0006】
【発明が解決しようとする課題】
一般に、上記のように企業内広域ネットワークがインターネットに接続され、企業内で個々の従業員に情報通信端末が配置されている場合に、ある情報通信端末から、たとえば就業時間内に業務とは関係のないインターネット上の情報にアクセスされることは、企業経営者側にとっては望ましくない事態である。そこで、企業内広域ネットワークから、業務で必要としないインターネットに公開されているWebサーバを閲覧した情報通信端末を特定化する作業が行われる場合がある。この情報通信端末を特定化する場合には、プロキシサーバに記録保管されているURLとアクセス日時をキーにして、まず全社プロキシサーバの通信ログを調査する。この通信ログから、当該URLへアクセスしたfrom IPアドレス、すなわち当該IPアドレスを付与している事業所プロキシサーバを特定化する。つぎに、特定化した事業所プロキシサーバの通信ログを同様の方法で調査して、該当するIPアドレスを付与している情報通信端末を特定化する。しかし、この方法は、人手で行われており、調査に時間を要していた。
【0007】
また、プロキシサーバでは、Webサーバへ投稿するデータを記録保管しないので、Webサーバへの投稿データを取得したい場合には、LAN上に流れるHTTP(Hyper Text Transfer Protocol)通信データをすべて傍受して記録保管する高価な通信記録装置をさらにLANに接続する必要があった。そして、たとえば、あるWebサーバのURLへアクセスした情報通信端末を特定化するための調査には、通信記録装置が記録した大量のデータから調査対象のURLへアクセスした通信履歴をすべて探し出して編集出力する作業が必要となる。したがって、事業所のLANごとに高価な通信記録装置を配備するとコストがかかってしまう上に、調査に膨大な時間を要してしまうという問題点があった。
【0008】
なお、上述した特許文献1に記載の従来技術では、正当なユーザである場合には、Webサーバへのアクセスを制限することができず、上記の問題点を完全に解決するものではなかった。
【0009】
この発明は、上記に鑑みてなされたもので、プロキシサーバの通信ログからアクセス先URLとアクセスに使用した情報通信端末を容易に特定することができるアクセス記録システム、アクセス管理装置およびアクセス管理システムに使用される情報通信端末を得ることを目的とする。また、Webサーバへのアクセス許可・不許可を行うことができるアクセス記録システム、アクセス管理装置およびアクセス管理システムに使用される情報通信端末を得ることも目的とする。
【0010】
【課題を解決するための手段】
上記目的を達成するため、この発明にかかるアクセス管理システムは、専用線を介して接続された複数のLANから構成され、種々の情報を公開するWebサーバを有するネットワークに接続される広域ネットワークにおいて、前記LAN内の情報通信端末による前記Webサーバへのアクセスを管理するアクセス管理システムであって、前記LANは、該LAN内の情報通信端末による前記Webサーバへの通信記録である第1の通信ログを収集する第1のプロキシサーバを介して、前記広域ネットワークに接続され、前記広域ネットワークは、前記ネットワークと接続される点に配置され、前記広域ネットワーク内から前記Webサーバへの通信記録である第2の通信ログを収集する第2のプロキシサーバと、前記第1および第2のプロキシサーバから所定の間隔で前記第1および第2の通信ログを収集し、該第1および第2の通信ログに基づいて、前記Webサーバにアクセスした前記LAN内の情報通信端末を特定したアクセス編集記録情報を生成するアクセス管理装置と、を備えることを特徴とする。
【0011】
【発明の実施の形態】
以下に添付図面を参照して、この発明にかかるアクセス管理システム、アクセス管理装置およびアクセス管理システムに使用される情報通信端末の好適な実施の形態を詳細に説明する。
【0012】
実施の形態1.
図1は、この発明にかかるアクセス管理システムの実施の形態1の概略構成を示すブロック図である。以下では、企業3は、地理的に離れて存在するA事業所とB事業所の2つの事業所4を有しているものとする。
【0013】
企業3内では、それぞれの事業所4A,4B内のLANが専用線などで接続された企業内広域ネットワーク7が構築され、全社プロキシサーバ8を介してインターネット1に接続されている。インターネット1には、種々の情報を掲載したWebページを有するWebサーバ2が接続されている。
【0014】
各事業所4A,4Bは、事業所内の情報通信端末(図中、PCと表記されている)5同士を接続するLANが構築されており、これらのLANは、事業所プロキシサーバ6を介して企業内広域ネットワーク7と接続されている。
【0015】
事業所プロキシサーバ6と全社プロキシサーバ8は、企業内のネットワーク負荷を軽減する代理応答機能や通信履歴を記録保管する機能などを有するプロキシサーバである。事業所プロキシサーバ6の内部には、該プロキシサーバが中継するすべての通信ログを格納するための事業所通信ログ格納部61が設けられており、全社プロキシサーバ8の内部には、該プロキシサーバが中継するすべての通信ログを格納するための全社通信ログ格納部81が設けられている。これらのプロキシサーバ6,8は、従来知られているプロキシサーバであり、中央演算処理装置(以下、CPUという)、メモリ、記憶装置、外部入出力インタフェースなどを備える一般的な構成を有する情報処理装置で構築することができる。
【0016】
図2は、全社プロキシサーバの全社通信ログ格納部に格納される通信ログの形式の一例を示す図である。全社プロキシサーバ8の全社通信ログ格納部81に格納される通信ログは、事業所プロキシサーバ6からのHTTP通信データを記録した日時を示す「日時」、HTTP通信データを送信した事業所プロキシサーバ6に付与される企業内で唯一のIPアドレスを示す「事業所プロキシサーバIPアドレス」、事業所プロキシサーバ6からのHTTP通信データに含まれているURLを示す「アクセス先URL」、そしてWebサーバ2に対して閲覧か投稿かを指示する命令を示す「コマンド種類[GET or POST]」を含むフィールド項目からなる。なお、GETは閲覧を示し、POSTは投稿を意味する。したがって、「コマンド種類[GET or POST]」のフィールド項目には、GETかPOSTのいずれかが記録されることになる。
【0017】
図3は、事業所プロキシサーバの事業所通信ログ格納部に格納される通信ログの形式の一例を示す図である。事業所プロキシサーバ6の事業所通信ログ格納部61に格納される通信ログは、情報通信端末5からのHTTP通信データを記録した日時を示す「日時」、HTTP通信データを送信した情報通信端末5に付与されるIPアドレスを示す「情報通信端末IPアドレス」、情報通信端末5からのHTTP通信データに含まれているURLを示す「アクセス先URL」、そしてWebサーバ2に対して閲覧か投稿かを指示する命令を示す「コマンド種類[GET or POST]」を含むフィールド項目からなる。上記情報通信端末5に付与されるIPアドレスは、企業3内で唯一のIPアドレスであってもよいし、各事業所4A,4B内で唯一のIPアドレスであってもよい。
【0018】
これらのフィールド項目に入力される通信ログの単位をレコードといい、図2と図3の1行が1レコードに対応する。なお、このHTTP通信データを収集し、記録保管する方法については従来技術で使用されている方法を用いることができる。また、図2と図3では、説明の便宜上、必要最低限の記録内容だけを表記しているが、プロキシサーバ6,8を通過するHTTP通信データにはさらに多くの種類の情報があるので、保守・運営で必要となる情報を記録保管することも可能である。
【0019】
また、企業内広域ネットワーク7には、事業所プロキシサーバ6と全社プロキシサーバ8による通信ログから企業3内の情報通信端末5によるインターネット1上のWebサーバ2へのアクセス記録であるアクセス編集記録を作成して管理するアクセス管理装置9が接続されている。アクセス管理装置9は、企業内広域ネットワーク7に接続される事業所プロキシサーバ6と全社プロキシサーバ8から所定の間隔で通信ログを収集して、アクセス編集記録を作成するログ編集処理部91と、作成されたアクセス編集記録を保存するアクセス記録データベース92と、アクセス編集記録を作成するために事業所プロキシサーバ6と全社プロキシサーバ8から収集した通信ログを一時的に格納する作業用データベース93と、を備えて構成される。このアクセス管理装置9は、CPU、メモリ、記憶装置、外部入出力インタフェースなどを備える一般的な構成を有する情報処理端末で構築することができ、従来技術で実現することができる。
【0020】
図4は、アクセス管理装置のアクセス記録データベースに格納されるアクセス編集記録の形式の一例を示す図である。このWebアクセス編集記録は、図2の全社プロキシサーバ8の通信ログと図3の事業所プロキシサーバ6の通信ログから、同一日時のレコードを収集して結合し、記録保管したものであり、「日時」、「事業所プロキシサーバIPアドレス」、「情報端末IPアドレス」、「アクセス先URL」、「コマンド種類[GET or POST]」を含むフィールド項目からなる。この図4では、アクセス記録データベース92に格納されるアクセス編集記録は、企業内広域ネットワーク7に接続される事業所から得られるレコードを1つのテーブルとしてまとめた形式となっているが、図5に示されるようにアクセス編集記録のレコードを事業所ごとに分類して、事業所ごとにテーブルを作成する形式としてもよい。また、これらのフィールド項目以外に、保守・運営で必要となる情報を含めて記録保管することも可能である。
【0021】
図6は、ログ編集処理部によるログ編集処理の手順を示すフローチャートである。なお、アクセス管理装置9は、予め登録されている時刻にこのフローチャートを実行できる状態にあるものとする。最初にログ編集処理部91は、全社プロキシサーバ8の全社通信ログ格納部81から通信ログ(以下、全社プロキシログという)の記録保管内容をすべて収集し、各事業所プロキシサーバ6の事業所通信ログ格納部61からも通信ログ(以下、事業所プロキシログという)の記録保管内容をすべて収集し、作業用データベース93に一時的に保存する(ステップS101)。なお、全社プロキシログと事業所プロキシログの記録保管データ量が大きく、これらのデータをアクセス管理装置9に送信すると、企業内広域ネットワーク7の通信トラフィックが増加して、企業3内に設けられた図示しない各種業務システムに影響を与える場合には、各種業務システムが稼動しない夜間に処理を開始するようにしてもよい。
【0022】
つぎに、ログ編集処理部91は、作業用データベース93に一時保存した全社プロキシログから1レコードを取り出し、該レコードの「日時」と一致するレコードを作業用データベース93に一時保存した事業所プロキシログから取り出す(ステップS102)。ここで、取り出した全社プロキシログの1レコードの「日時」に一致する事業所プロキシログのレコードが1つだけの場合には、容易に対応付けを行うことができる。しかし、企業3の規模が大きくなると、同時にアクセスされる場合もあり、対応付けが一層複雑になる。
【0023】
そこで、より具体的には、全社プロキシログから取り出した1レコード中の「日時」に加え、このレコード中の「事業所プロキシサーバIPアドレス」、「アクセス先URL」、「コマンド種類[GET or POST]」のすべてまたはいずれかを組み合わせることによって、全社プロキシログの1レコードと事業所プロキシログの1レコードとを対応付けることができる。たとえば、全社プロキシログから取り出した1レコード中の「日時」に対応する事業所プロキシログを抽出する際に、「事業所プロキシサーバIPアドレス」で絞込みをかければ、上記「日時」に対応する事業所プロキシログのレコードの数が限定され、さらに「アクセス先URL」で絞込みをかければ、上記「日時」に対応する事業所プロキシログのレコードの数が一層限定され、対応付けを容易に行うことが可能となる。
【0024】
つぎに、作業用データベース93から取り出した全社プロキシログの1レコードと、事業所プロキシログから取り出した1レコードから、図4または図5に示されるアクセス編集記録の形式に編集して、アクセス記録データベース92に1レコードとして記録する(ステップS103)。
【0025】
そして、ログ編集処理部91は、作業用データベース93の全社プロキシログから全レコードを取り出したか否かを判断する(ステップS104)。作業用データベース93の全社プロキシログから全レコードを取り出していない場合(ステップS104でNoの場合)には、再びステップS102へと戻り、上述した処理が繰り返し実行される。また、作業用データベース93の全社プロキシログから全レコードが取り出された場合(ステップS104でYesの場合)には、ログ編集処理部91は、処理を終了する。
【0026】
つぎに、アクセス管理装置9による全社プロキシサーバ8と事業所プロキシサーバ6の通信ログを編集記録する処理について説明する。図7は、アクセス管理装置による全社プロキシサーバと事業所プロキシサーバの通信ログを編集記録する処理の概略を示すフローである。この図に示されるように、まず、アクセス管理装置9のログ編集処理部91は、全社プロキシサーバ8に図2に示される形式で記録保管されている全社プロキシログと、事業所プロキシサーバ6に図3に示される形式で記録保管されている事業所プロキシログとを所定の期間ごとに収集する(ステップS151〜S152)。そして、ログ編集処理部91は、上述した図6に示される編集処理を行い、図4に示される編集記録形式でアクセス管理装置9のアクセス記録データベース92に作成されたアクセス編集記録を記録保管する(ステップS153)。
【0027】
なお、ログ編集処理部91は、アクセス編集記録をアクセス記録データベース92に出力する場合の記録形式は、図4または図5のいずれの形式でもよいが、データベースとして管理しているので、いずれの形式でもこの処理が完了した後に、必要に応じてアクセス記録データベース92から読み出して、調査目的に応じた編集を行うことが可能である。
【0028】
この実施の形態1によれば、事業所プロキシサーバ6と全社プロキシサーバ8の各プロキシサーバが記録保管する通信ログを、企業内広域ネットワーク7を経由して収集し、どの情報通信端末5がどのWebサーバ2のWebサイトにアクセスしたかを編集するアクセス管理装置9を有するように構成したので、容易に各情報通信端末5におけるアクセス記録を入手することができるという効果を有する。また、アクセス管理装置9のみを設置するだけで、既に企業3内に設置しているプロキシサーバ6,8の機能の追加やサーバの配置変更などを必要とすることがないので、容易にこの発明のアクセス記録システムを導入することができるという効果も有する。
【0029】
実施の形態2.
上述した実施の形態1では、POSTコマンドによるWebサーバへの投稿内容であるPOSTデータの記録保管ができず、その結果、従業員による業務外の目的によるWebサーバへの投稿を監視できなかったが、この実施の形態2では、Webサーバへ投稿した情報通信端末と投稿内容も記録保管することができるアクセス記録システムについて説明する。
【0030】
図8は、この発明にかかるアクセス記録システムの実施の形態2の概略構成を示すブロック図である。このアクセス記録システムは、企業内広域ネットワーク7が全社プロキシサーバ8を介してインターネットに接続され、企業内広域ネットワーク7に別途アクセス管理装置9が設置されていた実施の形態1の図1とは異なり、企業内広域ネットワーク7がアクセス管理装置9を介してインターネット1に接続される構成となっている。なお、図1と同一の構成要素には同一の符号を付して、その説明を省略する。
【0031】
このアクセス管理装置9は、実施の形態1の全社プロキシサーバ8とアクセス管理装置9の機能を兼ね備えた装置であり、HTTP通信データの通信ログを記録するプロキシログ記録処理部94と、その通信ログを格納する全社通信ログ格納部95と、通信ログからアクセス編集記録を作成するログ編集処理部91と、アクセス編集記録を格納するアクセス記録データベース92と、事業所プロキシサーバ6から収集した通信ログを一時的に保存する作業用データベース93と、を備えて構成される。
【0032】
プロキシログ記録処理部94は、アクセス管理装置9を通過するHTTP通信データについての通信ログを取得する。図9は、プロキシログ記録処理部によるプロキシログの記録処理手順を示すフローチャートである。まず、プロキシログ記録処理部94は、企業3内の情報通信端末5からインターネット1に接続されるWebサーバ2宛に送信されるHTTP通信データを捕捉する。図10は、HTTP通信データ形式の概略構成を示す図である。HTTP通信データ200は、POSTコマンドの場合には投稿内容が格納されるHTTP要求データ部203と、[GET or POST]コマンドの種類とアクセス先のURLが格納されるHTTP要求ヘッダ部202とからなり、さらに、これらにTCP(Transmission Control Protocol)/IP通信で必要なIPアドレスなどを含むTCP/IPヘッダ部201が付加される構成を有する。プロキシログ記録処理部94は、捕捉したHTTP通信データ200の中のTCP/IPヘッダ部201から該データの送信元となる事業所プロキシサーバ6のIPアドレスを取り出し、HTTP要求ヘッダ部202から[POST or GET]の要求コマンドとURLを取り出して、現在時刻とともに全社通信ログ格納部95に出力する(ステップS201)。
【0033】
つぎに、取り出した要求コマンドがPOSTコマンドであるかGETコマンドであるかを判定し(ステップS202)、取り出した要求コマンドがGETである場合(ステップS202でGETの場合)には処理を終了する。一方、取り出した要求コマンドがPOSTである場合(ステップS202でPOSTの場合)には、HTTP通信データ200のHTTP要求データ部203のPOSTデータを取り出して、全社通信ログ格納部95に出力し(ステップS203)、処理を終了する。
【0034】
全社通信ログ格納部95は、プロキシログ記録処理部94によって出力されるアクセス管理装置を通過するHTTP通信データの通信ログを格納する。図11は、アクセス管理装置の全社通信ログ格納部に格納される通信ログの形式を示す図である。この通信ログは、図2の通信ログ形式において、POSTデータの内容を保存する「POSTデータ」というフィールド項目が新たに追加されたものとなっている。この「POSTデータ」には、「コマンド種類[GET or POST]」に「POST」と格納された場合にその内容が保存され、「GET」と格納された場合には何も保存されない。すなわち、アクセス管理装置9を通過するHTTP通信データ200がPOSTコマンドの場合に、該データのHTTP要求データ部203内に格納されているPOSTデータも含めて記録するが、GETコマンドの場合には何も保存されない。その他の項目は、図2と同じであるので、説明を省略する。
【0035】
ログ編集処理部91は、全社通信ログ格納部95に格納されている全社プロキシログと、作業用データベース93に格納された各事業所プロキシサーバ6の事業所通信ログ格納部61から収集した事業所プロキシログとから実施の形態1の図6に示される手順にしたがってアクセス編集記録を作成し、アクセス記録データベース92に出力する。アクセス編集記録を作成するにあたって、POSTデータが含まれる点が実施の形態1とは異なるが、それによって処理が異なるものではない。
【0036】
アクセス記録データベース92は、ログ編集処理部91によって作成されたアクセス編集記録を格納する。図12は、アクセス記録データベースに格納されるアクセス編集記録の形式を示す図である。このアクセス編集記録は、図11に示される全社通信ログ格納部95に格納されている全社プロキシログと、図3の事業所プロキシログから、同一日時のレコードを収集して結合し、記録保管したものであり、「日時」、「事業所プロキシサーバIPアドレス」、「情報通信端末IPアドレス」、「アクセス先URL」、「コマンド種類[GET or POST]」、「POSTデータ」を含むフィールド項目からなる。この図12では、アクセス記録データベース92に格納されるアクセス編集記録は、企業内広域ネットワーク7に接続される事業所4A,4Bから得られるレコードを1つのテーブルとしてまとめた形式となっているが、図13に示されるようにアクセス編集記録のレコードを事業所ごとに分類して、事業所ごとにテーブルを作成する形式としてもよい。また、このようなフィールド項目以外に、保守、運営で必要となる情報を含めて記録保管することも可能である。
【0037】
作業用データベース93は、ログ編集処理部91によってアクセス編集記録が作成される際に、各事業所プロキシサーバ6から事業所プロキシログを収集して一時的に格納する。
【0038】
このアクセス管理装置9は、CPU、メモリ、記憶装置、外部入出力インタフェースなどを備える一般的な構成を有する情報処理端末で構築することができ、従来技術で実現することができる。
【0039】
図14は、アクセス管理装置による処理の概略を示すフローである。まず、アクセス管理装置9のプロキシログ記録処理部94は、所定時間になるまで、自装置を通過するHTTP通信データを捕捉し、その通信ログを全社プロキシサーバログに格納する(ステップS251)。そして、ログ編集処理部10は、各事業所4A,4Bの事業所プロキシサーバ6に図3に示される形式で記録保管されている事業所プロキシログを所定の期間ごとに収集して、実施の形態1の図6に示した編集処理を行い(ステップS252〜S253)、図12または図13に示される形式のアクセス編集記録をアクセス記録データベース92に記録保管する(ステップS254)。
【0040】
この実施の形態2によれば、Webサーバ2へ投稿した内容と投稿先のURL、投稿した情報通信端末3のIPアドレスと日時を記録することができるので、業務目的以外でのWebサーバ2へのアクセスを監視することができることに加えて、企業にとって不利益となる投稿を行った情報通信端末3の特定を容易に行うことができるという効果を有する。
【0041】
実施の形態3.
実施の形態1,2では、Webサーバへアクセスした情報通信端末を特定することができるが、実際にその情報通信端末を使用している従業員の特定を行うことができない。そこで、この実施の形態3では、情報通信端末を利用する従業員を特定することができ、さらに従業員によってアクセスレベルを管理することができるアクセス管理システムとこのシステムに使用されるアクセス管理装置と情報通信端末について説明する。
【0042】
図15は、この実施の形態3のアクセス管理システムが適用されるネットワーク構成の一例を示すブロック図である。実施の形態2の図8と同様に、複数のLANから構成される企業内広域ネットワーク7はアクセス管理装置9を介してインターネットに接続される構成を有する。
【0043】
図16は、情報通信端末に使用されるソフトウェアの構成を模式的に示す図である。このソフトウェアは、情報通信端末5のハードウェア資源とそれらの資源を利用するアプリケーションプログラムを統合的に管理するオペレーティングシステム51と、予め定められたHTTPなどの規則にしたがって、Webサーバ2と連携して情報通信端末5の表示部にファイルの内容を表示するブラウザ52と、ブラウザ52からWebサーバ2へ送信するHTTP通信データのHTTP要求ヘッダに、アクセス管理装置9との間でアクセス制御および情報通信端末5の利用者の特定化を行うために必要な情報であるエージェントデータを付加するPCエージェント53からなる。このエージェントデータは、情報通信端末5の図示しないエージェント情報格納部に格納される。また、従業員は、情報通信端末5を使用するにあたって、情報通信端末5に使用者(従業員)を特定させるための処理(たとえばログオン処理)を行う必要がある。
【0044】
図17は、エージェントデータが付加されたHTTP要求ヘッダ部を有するHTTP通信データ形式の概略構成の一例を示す図である。この図に示されるように、PCエージェント53が、HTTP要求ヘッダ部202に、従業員に付与される「従業員番号」204A、該従業員が所属する事業所、所属部署である「事業所名」204B、「所属」204C、従業員の氏名である「氏名」204Dを含むエージェントデータ204を格納する。なお、情報通信端末5のPCエージェント53は、この情報通信端末5を使用する従業員についてのこれらのエージェントデータをエージェント情報格納部から取り出して、HTTP要求ヘッダ部に格納する。また、エージェントデータは、特許請求の範囲における使用者情報に対応し、エージェント情報格納部は、同じく使用者情報格納手段に対応している。
【0045】
図18は、アクセス管理装置の概略構成を示すブロック図である。アクセス管理装置9は、HTTP通信データの通信ログ出力とアクセス制御を行うアクセス制御・ログ出力処理部96、従業員ごとのアクセス管理の情報を格納するURLアクセス管理データベース97、ログ出力を格納するアクセス記録データベース92、HTTP通信データからエージェントデータを削除するエージェントデータ削除処理部98を備えて構成される。なお、アクセス制御・ログ出力処理部96は、特許請求の範囲におけるアクセス可否判断手段とログ出力手段に対応し、URLアクセス管理データベース97は、同じくアクセス管理情報格納手段に対応し、エージェントデータ削除処理部98は、同じく使用者情報削除手段に対応している。
【0046】
URLアクセス管理データベース97は、従業員に付与するアクセス許可レベルとアクセス先URLとを関連付けて保管している。図19は、URLアクセス管理データベースの内容の一例を示す図である。URLアクセス管理データベース97は、従業員ごとに付与される番号である「従業員番号」、各従業員のWebアクセス権情報を示す「アクセス許可レベル」、アクセスを許可するサイトのURLのみが格納される「URL」を含むフィールド項目から構成される。
【0047】
「アクセス許可レベル」は、必要に応じた段階に分類することが可能であり、この図19では3段階に分類されている場合を例示しており、「0」〜「2」の数値によってレベル付けを行っている。レベル「0」は、インターネット上のすべてのWebサイトを閲覧することができるレベルであり、レベル「1」は、業務で必要なWebサイト(URL)だけ閲覧が可能であるレベルであり、レベル「2」は、Webサイトの閲覧がすべて禁止されているレベルである。
【0048】
「URL」に格納される情報は、「アクセス許可レベル」の値が「1」の場合のみ有効であり、1つか複数のURL情報が格納される。なお、この図19の例では、アクセスを許可するサイトのURLを格納するようにしているが、アクセスを許可しないサイトのURLを格納するようにしてもよい。
【0049】
アクセス記録データベース92は、情報通信端末5によるWebサーバ2へのアクセス記録をログ情報として格納する。図20は、アクセス記録データベースの内容の一例を示す図である。アクセス記録データベース92は、記録時間を示す「日時」、HTTP要求ヘッダ部のエージェントデータを格納する「エージェントヘッダ」、HTTP要求ヘッダ部のコマンドの種別を格納する「コマンド[GET or POST]」、HTTP要求ヘッダ部のURLを格納する「アクセス先URL」、HTTP要求データ部のPOSTデータを格納する「POSTデータ」を含むフィールド項目から構成される。
【0050】
アクセス制御・ログ出力処理部96は、情報通信端末5からWebサーバ2宛てに送信されるHTTP通信データを受信すると、HTTP通信データのHTTP要求ヘッダ部のエージェントデータとURLアクセス管理データベース97を参照して情報通信端末5の使用者を特定してアクセス許可レベルを求めるとともに、該情報通信端末5によるWebサーバ2へのアクセス記録をアクセス記録データベース92に記録する。図21は、アクセス制御・ログ出力処理部の処理手順を示すフローチャートである。まず、アクセス制御・ログ出力処理部96は、情報通信端末5からのHTTP通信データのHTTP要求ヘッダ部からエージェントデータを取り出す(ステップS301)。取り出したエージェントデータから従業員番号をキーとして、URLアクセス管理データベース97を検索して、該従業員番号に指定されたアクセス許可レベル情報とURL情報とを読み取る(ステップS302)。
【0051】
つぎに、アクセス制御・ログ出力処理部96は、URLアクセス管理データベース97から読み出したアクセス許可レベル値を判定する(ステップS303)。アクセス許可レベルの値が「1(業務で必要なWeb(URL)だけ閲覧可能)」の場合(ステップS303で1の場合)には、HTTP要求ヘッダ部のURLと、URLアクセス管理データベース97から読み出したURL情報とを比較し、両者が一致するか否かを判定する(ステップS304)。両者のURLが一致する場合(ステップS304で一致の場合)には、日時、エージェントデータ、コマンド種類、アクセス先URLをアクセス記録データベース92に図20の形式で出力する(ステップS305)。つぎに、HTTP要求ヘッダ部のコマンドを読み出して、GETコマンドかPOSTコマンドかを判定する(ステップS306)。判定の結果、POSTコマンドの場合(ステップS306でPOSTの場合)には、HTTP通信データのHTTP要求データ部のPOSTデータを取り出して、アクセス記録データベース92に追加出力し(ステップS307)、処理を終了する。一方、GETコマンドの場合(ステップS306でGETの場合)には、そのまま処理を終了する。
【0052】
ステップS303でアクセス許可レベルの値が「0(インターネット上のすべてのWeb閲覧が可能)」の場合には、上述したステップS305以降の処理が実行される。
【0053】
また、ステップS303でアクセス許可レベルの値が「2(Web閲覧禁止)」の場合、またはステップS304でHTTP要求ヘッダ部のURLと、URLアクセス管理データベース97から読み出したURL情報とが一致しない場合(ステップS304で一致せずの場合)には、Web閲覧禁止メッセージを情報通信端末5へ送信し(ステップS308)、処理が終了する。
【0054】
なお、この実施の形態3では、アクセス許可レベルが「1」の場合のURLにはアクセス可能なURLのみ掲載されているが、アクセス不可能なURLのみが掲載されている場合には、上述したステップS304では、一致した場合にステップS308へと進み、一致しない場合にはステップS305へと進むことになる。
【0055】
エージェントデータ削除処理部98は、情報通信端末5から送信されるHTTP通信データについて、アクセス制御・ログ出力処理部96による図21の処理が実行された後に、HTTP要求ヘッダ部からエージェントデータを削除して、インターネット1側へとHTTP通信データを送出する。これによって、情報通信端末5から、このエージェントデータ204が追加されたHTTP要求ヘッダ部202を有するHTTP通信データ200が送信されても、アクセス管理装置9によって、追加されたエージェントデータ部分のみが削除されるので、情報通信端末5の通信相手であるWebサーバ2とは、何ら支障なく通常どおりに通信することが可能になる。
【0056】
図22は、情報通信端末とアクセス管理装置におけるアクセス制御とアクセス情報管理の処理手順の概略を示す図である。情報通信端末5のPCエージェント53によって付加されたエージェントデータを有するHTTP通信データが、アクセス管理装置9のアクセス制御・ログ出力処理部96で受信される(ステップS351)。つぎに、アクセス制御・ログ出力処理部96は、従業員に付与するアクセス許可レベルとアクセス先URLを関連付けて記録保管するURLアクセス管理データベース97から受信したHTTP通信データ内のエージェントデータに含まれる従業員番号をキーにしてアクセス許可レベルを読み出す(ステップS352)。つぎに、両者を比較判断してアクセス許可またはアクセス禁止を行い、許可したHTTP通信データから必要な情報をアクセス記録データベース92へ記録保存する(ステップS353)。そして、エージェントデータ削除処理部98は、許可したHTTP通信データ内からエージェントデータを削除して(ステップS354)、インターネット1側にHTTP通信データを送出する。
【0057】
この実施の形態3によれば、情報通信端末5を使用する従業員を特定することができ、さらに、従業員ごとにWebサイトへのアクセスの許可/不許可を設定することができる。また、各事業所4のLANに設置された事業所プロキシサーバ6は、アクセス管理装置9に対して通信ログを送信する必要がないので、その機能を省略することが可能である。
【0058】
実施の形態4.
実施の形態3では、従業員ごとにWebサイト(URL)への個別のアクセス制御を行う方法を示したが、この実施の形態4では、たとえば、企画、営業、設計などの業務内容に応じてグループ分けを行い、グループごとにアクセス制御を行う場合について説明する。なお、この実施の形態4では、アクセス管理装置9のURLアクセス管理データベース97の構成のみ実施の形態3のものと異なり、その他のアクセス管理装置9と情報通信端末5の構成は実施の形態3のものと同一であるので、それらの説明を省略する。
【0059】
図23は、URLアクセス管理データベースの構成を示す模式図である。この実施の形態4では、URLアクセス管理データベース97は、従業員番号と該従業員に付与するアクセス許可レベルを格納するアクセス許可レベルデータベース97Aと、アクセス許可レベルに対応する1ないし複数のアクセス先URLを格納するURL情報データベース97Bとから構成される。なお、URLアクセス管理データベース97は、特許請求の範囲のアクセス管理情報格納手段に対応する。
【0060】
図24は、アクセス許可レベルデータベースの内容の一例を示す図である。アクセス許可レベルデータベース97Aは、「従業員番号」と「アクセス許可レベル」を含むフィールド項目からなる。この図24では、「アクセス許可レベル」は「0」〜「4」の5段階に分類される場合を例示している。レベル「0」は、インターネット上のすべてのWebサイトを閲覧することができるレベルであり、レベル「1」は、企画業務関連のWebサイトの閲覧のみが可能なレベルであり、レベル「2」は、営業業務関連のWebサイトの閲覧のみが可能なレベルであり、レベル「3」は、設計業務関連のWebサイトの閲覧のみが可能なレベルであり、レベル「4」は、Webサイトの閲覧がすべて禁止されているレベルである。
【0061】
図25は、URL情報データベースの内容の一例を示す図である。URL情報データベース97Bは、「アクセス許可レベル」と「URL」を含むフィールド項目からなる。「アクセス許可レベル」は、アクセス許可レベルデータベース27Aの「アクセス許可レベル」に対応するものであり、「URL」は「アクセス許可レベル」で指定されたレベルの場合に閲覧可能なWebサイトのURLのみが格納される。なお、実施の形態3と同様に、この「URL」には、閲覧不可のWebサイトのURLのみを格納するようにしてもよい。
【0062】
これらのアクセス許可レベルデータベース97AとURL情報データベース97Bとは互いに関連付けされており、リレーショナルデータベースを構成している。たとえば、ある従業員番号のアクセス許可レベルが「3」である場合には、URL情報データベースから、この従業員は「www.sekkei.com」または「www.設計.com」のURLを有するWebサイトの閲覧が許可される。
【0063】
図26は、アクセス制御・ログ出力処理部による処理手順を示すフローチャートである。まず、アクセス制御・ログ出力処理部96は、情報通信端末5からのHTTP通信データからエージェントデータを取り出す(ステップS401)。つぎに、HTTP要求データから取り出したエージェントデータ内の従業員番号をキーにして、アクセス許可レベルデータベース97Aを検索して、上記従業員番号に付与されているアクセス許可レベルを読み取る(ステップS402)。
【0064】
つぎに、アクセス許可レベルデータベース97Aから読み出したアクセス許可レベルの値が「0」〜「4」のいずれであるかを判定する(ステップS403)。判定の結果、アクセス許可レベルの値が「1」〜「3」である場合には、アクセス許可レベルの値をキーとして、URL情報データベース97Bからアクセスを許可するURL情報を読み取る(ステップS404)。つぎに、HTTP要求ヘッダ内のURL情報と、URL情報データベース97Bから読み取ったURL情報とが一致するか否かを判定し(ステップS405)、両者が一致する場合(ステップS405で一致の場合)には、日時、エージェントデータ、コマンド、アクセス先URLをアクセス記録データベース92に図20の形式で出力する(ステップS406)。つぎに、HTTP要求ヘッダ部のコマンドを読み出して、GETコマンドかPOSTコマンドかを判定する(ステップS407)。判定の結果、POSTコマンドの場合(ステップS407でPOSTの場合)には、HTTP要求データ部のPOSTデータを取り出して、アクセス記録データベース92に追加出力し(ステップS408)、処理を終了する。一方、GETコマンドの場合(ステップS407でGETの場合)には、そのまま処理を終了する。
【0065】
ステップS403でアクセス許可レベルの値が「0(インターネット上のすべてのWeb閲覧が可能)」の場合には、上述したステップS406以降の処理が実行される。
【0066】
また、ステップS403でアクセス許可レベルの値が「2(Web閲覧禁止)」の場合、またはステップS405でHTTP要求ヘッダ部のURLと、URL情報データベース97Bから読み出したURL情報とが一致しない場合(ステップS405で一致せずの場合)には、Web閲覧禁止メッセージを情報通信端末5へ送信し(ステップS409)、処理が終了する。
【0067】
なお、この実施の形態4では、アクセス許可レベルが「1」〜「3」の場合のURLにはアクセス可能なURLのみ掲載されているが、ここにアクセス不可能なURLのみが掲載されている場合には、上述したステップS405では、一致した場合にステップS409へと進み、一致しない場合にはステップS406へと進むことになる。
【0068】
また、この実施の形態4では、アクセス許可レベルを業務別に分類する場合を説明したが、事業所、部門、職制、その他目的に応じたカテゴリに分類してもよい。
【0069】
この実施の形態4によれば、アクセス許可レベルを従業員ごとではなく、あるカテゴリごとに分類するようにしたので、アクセス許可レベルの管理の負担を軽減することができる。
【0070】
実施の形態5.
実施の形態3,4では、情報通信端末のPCエージェントがHTTP通信データの中にエージェントデータを付加する場合を説明した。これは、インターネット1に公開されているWebサーバ2にアクセスする場合には、アクセス管理装置によって、HTTP通信データからエージェントデータが削除されるので、Webサーバ2側での処理には影響を与えることはない。しかし、図27に示されるように、企業3内に企業内向けに情報公開されるWebサーバ24が存在する場合には、企業内のWebサーバ24と情報通信端末5との間にはアクセス管理装置9が存在しないために、情報通信端末5と企業内のWebサーバ24とはHTTP通信データにはエージェントデータが存在するために通信することができない。また、企業3内に向けて公開されるWebサーバ24に対してアクセスを制限する必要もなく、アクセス記録を取ることも不要である。そこで、図27のように、企業内向けのWebサーバ24を有するネットワークがインターネット1と接続されている場合には、情報通信端末5のPCエージェント53が、エージェントデータの付加の要否を判断する必要がある。
【0071】
図28は、PCエージェントによるエージェントデータ付加制御の処理を示すフローチャートである。まず、PCエージェント53は、ブラウザ52から受信するHTTP通信データのHTTP要求ヘッダ部にあるURLが、イントラネット用、すなわち企業内で使用しているURLであるか否かを、情報通信端末5に予め格納されている企業内Webサーバ24のURL情報に基づいて判定する(ステップS501)。
【0072】
HTTP要求ヘッダ部にあるURLがイントラネット用のURLである場合(ステップS501でYesの場合)には、PCエージェント53は、そのまま処理を終了する。しかし、HTTP要求ヘッダ部にあるURLがイントラネット用のURLでない場合(ステップS501でNoの場合)には、PCエージェント53は、情報通信端末5が有するエージェント情報格納部から情報通信端末5を使用する従業員に対応するエージェントデータをHTTP通信データのHTTP要求ヘッダ部に付加して(ステップS502)、処理を終了する。
【0073】
なお、PCエージェント53がブラウザ52から送信されるHTTP通信データを受信する方式と、受信したHTTP通信データに付加したエージェントデータを送信する方式については、情報通信端末5で使用されるオペレーティングシステム51が提供する既存のプログラムインタフェースを利用することができる。
【0074】
この実施の形態5によれば、企業内向けにWebサーバ24を設置している企業内広域ネットワーク7の情報通信端末5において、インターネット1上のWebサーバ2へアクセスする場合と、イントラネット上のWebサーバ24へアクセスする場合とを判断して、HTTP通信データへのエージェントデータの付加の有無を行うように構成したので、アクセス記録を残し、アクセス権限を管理してインターネット1上のWebサーバ2へアクセスすることができるとともに、イントラネット上のWebサーバ24へアクセスする場合には、通常の通信を行って、アクセス記録を残さないように設定することが可能となる。
【0075】
なお、実施の形態1〜5では、アクセス管理装置9を企業内広域ネットワーク7とインターネット1との間に導入する場合を例に挙げて説明したが、図29に示されるように、事業所プロキシサーバ6の代わりにアクセス管理装置9を導入してもよい。
【0076】
また、上述した説明では、企業3内に2つの事業所があり、その事業所で構築されるLANを企業内広域ネットワーク7で接続する場合を示したが、LANの数はこれに限られるものではなく、単数でも3以上の数でもよい。
【0077】
さらに、上述した説明では、企業3内で構築される広域ネットワークについて説明したが、これに限られるものではなく、LANがインターネットに接続される形態、複数のLANが専用線で結ばてなる広域ネットワークがインターネットで接続される場合などにも適用可能である。
【0078】
【発明の効果】
以上説明したように、この発明によれば、インターネット上に公開されているWebサーバへアクセスした情報通信端末を容易に作成することができ、業務以外の目的でインターネットへアクセスした情報通信端末またはその使用者を特定することができるという効果を有する。
【図面の簡単な説明】
【図1】この発明によるアクセス管理システムの実施の形態1の概略構成を示すブロック図である。
【図2】全社プロキシサーバの全社通信ログ格納部に格納される通信ログの形式を示す図である。
【図3】事業所プロキシサーバの事業所通信ログ格納部に格納される通信ログの形式を示す図である。
【図4】アクセス管理装置のアクセス記録データベースに格納されるアクセス編集記録の形式を示す図である。
【図5】アクセス管理装置のアクセス記録データベースに格納されるアクセス編集記録の形式を示す図である。
【図6】ログ編集処理部によるログ編集処理の手順を示すフローチャートである。
【図7】アクセス管理装置による全社プロキシサーバと事業所プロキシサーバの通信ログを編集記録する処理の概略を示すフローである。
【図8】この発明によるアクセス記録システムの実施の形態2の概略構成を示すブロック図である。
【図9】プロキシログ記録処理部によるプロキシログの記録処理手順を示すフローチャートである。
【図10】HTTP通信データ形式の概略構成を示す図である。
【図11】アクセス管理装置の全社通信ログ格納部に格納される通信ログの形式を示す図である。
【図12】アクセス記録データベースに格納されるアクセス編集記録の形式を示す図である。
【図13】アクセス記録データベースに格納されるアクセス編集記録の形式を示す図である。
【図14】アクセス管理装置による処理の概略を示すフローである。
【図15】この実施の形態3のアクセス管理システムが適用されるネットワーク構成の一例を示すブロック図である。
【図16】情報通信端末に使用されるソフトウェアの構成を模式的に示す図である。
【図17】エージェントデータが付加されたHTTP要求ヘッダ部を有するHTTP通信データ形式の概略構成の一例を示す図である。
【図18】アクセス管理装置の概略構成を示すブロック図である。
【図19】URLアクセス管理データベースの内容の一例を示す図である。
【図20】アクセス記録データベースの内容の一例を示す図である。
【図21】アクセス制御・ログ出力処理部の処理手順を示すフローチャートである。
【図22】情報通信端末とアクセス管理装置におけるアクセス制御とアクセス情報管理の処理手順の概略を示す図である。
【図23】URLアクセス管理データベースの構成を示す模式図である。
【図24】アクセス許可レベルデータベースの内容の一例を示す図である。
【図25】URL情報データベースの内容の一例を示す図である。
【図26】アクセス制御・ログ出力処理部による処理手順を示すフローチャートである。
【図27】企業内広域ネットワーク内に企業内向けのWebサーバが設定されたネットワーク構成を示す図である。
【図28】PCエージェントによるエージェントデータ付加制御の処理を示すフローチャートである。
【図29】この発明によるアクセス管理システムの変形例を示すネットワーク構成図である。
【符号の説明】
1 インターネット、2,24 Webサーバ、3 企業、4 事業所、5 情報通信端末、6 事業所プロキシサーバ、7 企業内広域ネットワーク、8 全社プロキシサーバ、9 アクセス管理装置、51 オペレーティングシステム、52 ブラウザ、53 PCエージェント、61 事業所通信ログ格納部、81 全社通信ログ格納部、91 ログ編集処理部、92 アクセス記録データベース、93 作業用データベース、94 プロキシログ記録処理部、95 全社通信ログ格納部、96 アクセス制御・ログ出力処理部、97 URLアクセス管理データベース、97A アクセス許可レベルデータベース、97B URL情報データベース、98 エージェントデータ削除処理部、200 HTTP通信データ、201 TCP/IPヘッダ部、202 HTTP要求ヘッダ部、203 HTTP要求データ部、204 エージェントデータ。
【発明の属する技術分野】
この発明は、たとえば、企業内で構築されたLAN(Local Area Network)の情報通信端末からインターネットに公開されているWebサイトを閲覧したり、Webサイトに投稿したりする際に、情報通信端末を特定化する情報を含む通信履歴や投稿内容を記録保管し、業務上好ましくないWebサイトへのアクセスを制限することが可能なアクセス記録システム、アクセス管理装置およびアクセス管理システムに使用される情報通信端末に関するものである。
【0002】
【従来の技術】
近年、情報通信技術の急速な発達に伴い、企業内でLANを構築してインターネットに接続し、LANに接続された情報通信端末からインターネットに容易にアクセスできる環境が普及している。たとえば、地理的に離れた位置に存在する事業所を複数有する企業の場合、各事業所に存在する情報通信端末同士を接続してLANを構築し、それらのLANを専用線を介して相互に接続して企業内広域ネットワークを構築し、そしてこの企業内広域ネットワークをインターネットに接続するという形式が採られる。ここで、企業内のネットワーク負荷を軽減する代理応答機能や、通信履歴を記録保管するプロキシサーバを、企業内の各事業所のLANと企業内広域ネットワークとの接続箇所と、企業内広域ネットワークとインターネットとの接続箇所に設置する場合がある。前者を事業所プロキシサーバと呼び、後者を全社プロキシサーバと呼ぶ。このようなネットワークシステムにおいて、インターネットに公開されているWebサーバを企業内の情報通信端末からアクセスする場合には、事業所プロキシサーバと全社プロキシサーバの順に、情報が経由することになる。
【0003】
これらのプロキシサーバは、中継するすべての通信履歴(以下、通信ログという)として、当該サーバを中継して通信する機器のfrom IP(Internet Protocol)アドレス(事業所プロキシサーバの場合には、事業所内のLANに接続される情報通信端末のIPアドレスであり、全社プロキシサーバの場合には、事業所プロキシサーバのIPアドレスである)と、アクセス先URL(Uniform Resource Locator)と、アクセス日時を、それぞれの装置に設けられたハードディスクドライブ(HDD)などの記憶装置に記録して保管するようにしている。これによって、企業内の情報通信端末によってなされたインターネット上のWebサーバへのアクセスが記録され、この記録を追跡することによって、企業にとって不必要なWebサーバへアクセスしている情報通信端末またはその使用者を特定することが可能になる。
【0004】
ところで、情報通信技術の発達によって、一部の悪意のあるユーザによる他人の誹謗・中傷などの不適切な内容の情報のやり取りが、瞬時に広まってしまうという問題が発生している。このような問題に対処するために、LANなどの内部ネットワークに出入りする情報を中継し、内部ネットワーク内のユーザ情報を管理し、送受信を行うユーザを認証する機能を有する中継装置を内部ネットワークに備えるネットワークシステムが提案されている(たとえば、特許文献1参照)。
【0005】
【特許文献1】
特開2001−350677号公報(第6〜7頁)
【0006】
【発明が解決しようとする課題】
一般に、上記のように企業内広域ネットワークがインターネットに接続され、企業内で個々の従業員に情報通信端末が配置されている場合に、ある情報通信端末から、たとえば就業時間内に業務とは関係のないインターネット上の情報にアクセスされることは、企業経営者側にとっては望ましくない事態である。そこで、企業内広域ネットワークから、業務で必要としないインターネットに公開されているWebサーバを閲覧した情報通信端末を特定化する作業が行われる場合がある。この情報通信端末を特定化する場合には、プロキシサーバに記録保管されているURLとアクセス日時をキーにして、まず全社プロキシサーバの通信ログを調査する。この通信ログから、当該URLへアクセスしたfrom IPアドレス、すなわち当該IPアドレスを付与している事業所プロキシサーバを特定化する。つぎに、特定化した事業所プロキシサーバの通信ログを同様の方法で調査して、該当するIPアドレスを付与している情報通信端末を特定化する。しかし、この方法は、人手で行われており、調査に時間を要していた。
【0007】
また、プロキシサーバでは、Webサーバへ投稿するデータを記録保管しないので、Webサーバへの投稿データを取得したい場合には、LAN上に流れるHTTP(Hyper Text Transfer Protocol)通信データをすべて傍受して記録保管する高価な通信記録装置をさらにLANに接続する必要があった。そして、たとえば、あるWebサーバのURLへアクセスした情報通信端末を特定化するための調査には、通信記録装置が記録した大量のデータから調査対象のURLへアクセスした通信履歴をすべて探し出して編集出力する作業が必要となる。したがって、事業所のLANごとに高価な通信記録装置を配備するとコストがかかってしまう上に、調査に膨大な時間を要してしまうという問題点があった。
【0008】
なお、上述した特許文献1に記載の従来技術では、正当なユーザである場合には、Webサーバへのアクセスを制限することができず、上記の問題点を完全に解決するものではなかった。
【0009】
この発明は、上記に鑑みてなされたもので、プロキシサーバの通信ログからアクセス先URLとアクセスに使用した情報通信端末を容易に特定することができるアクセス記録システム、アクセス管理装置およびアクセス管理システムに使用される情報通信端末を得ることを目的とする。また、Webサーバへのアクセス許可・不許可を行うことができるアクセス記録システム、アクセス管理装置およびアクセス管理システムに使用される情報通信端末を得ることも目的とする。
【0010】
【課題を解決するための手段】
上記目的を達成するため、この発明にかかるアクセス管理システムは、専用線を介して接続された複数のLANから構成され、種々の情報を公開するWebサーバを有するネットワークに接続される広域ネットワークにおいて、前記LAN内の情報通信端末による前記Webサーバへのアクセスを管理するアクセス管理システムであって、前記LANは、該LAN内の情報通信端末による前記Webサーバへの通信記録である第1の通信ログを収集する第1のプロキシサーバを介して、前記広域ネットワークに接続され、前記広域ネットワークは、前記ネットワークと接続される点に配置され、前記広域ネットワーク内から前記Webサーバへの通信記録である第2の通信ログを収集する第2のプロキシサーバと、前記第1および第2のプロキシサーバから所定の間隔で前記第1および第2の通信ログを収集し、該第1および第2の通信ログに基づいて、前記Webサーバにアクセスした前記LAN内の情報通信端末を特定したアクセス編集記録情報を生成するアクセス管理装置と、を備えることを特徴とする。
【0011】
【発明の実施の形態】
以下に添付図面を参照して、この発明にかかるアクセス管理システム、アクセス管理装置およびアクセス管理システムに使用される情報通信端末の好適な実施の形態を詳細に説明する。
【0012】
実施の形態1.
図1は、この発明にかかるアクセス管理システムの実施の形態1の概略構成を示すブロック図である。以下では、企業3は、地理的に離れて存在するA事業所とB事業所の2つの事業所4を有しているものとする。
【0013】
企業3内では、それぞれの事業所4A,4B内のLANが専用線などで接続された企業内広域ネットワーク7が構築され、全社プロキシサーバ8を介してインターネット1に接続されている。インターネット1には、種々の情報を掲載したWebページを有するWebサーバ2が接続されている。
【0014】
各事業所4A,4Bは、事業所内の情報通信端末(図中、PCと表記されている)5同士を接続するLANが構築されており、これらのLANは、事業所プロキシサーバ6を介して企業内広域ネットワーク7と接続されている。
【0015】
事業所プロキシサーバ6と全社プロキシサーバ8は、企業内のネットワーク負荷を軽減する代理応答機能や通信履歴を記録保管する機能などを有するプロキシサーバである。事業所プロキシサーバ6の内部には、該プロキシサーバが中継するすべての通信ログを格納するための事業所通信ログ格納部61が設けられており、全社プロキシサーバ8の内部には、該プロキシサーバが中継するすべての通信ログを格納するための全社通信ログ格納部81が設けられている。これらのプロキシサーバ6,8は、従来知られているプロキシサーバであり、中央演算処理装置(以下、CPUという)、メモリ、記憶装置、外部入出力インタフェースなどを備える一般的な構成を有する情報処理装置で構築することができる。
【0016】
図2は、全社プロキシサーバの全社通信ログ格納部に格納される通信ログの形式の一例を示す図である。全社プロキシサーバ8の全社通信ログ格納部81に格納される通信ログは、事業所プロキシサーバ6からのHTTP通信データを記録した日時を示す「日時」、HTTP通信データを送信した事業所プロキシサーバ6に付与される企業内で唯一のIPアドレスを示す「事業所プロキシサーバIPアドレス」、事業所プロキシサーバ6からのHTTP通信データに含まれているURLを示す「アクセス先URL」、そしてWebサーバ2に対して閲覧か投稿かを指示する命令を示す「コマンド種類[GET or POST]」を含むフィールド項目からなる。なお、GETは閲覧を示し、POSTは投稿を意味する。したがって、「コマンド種類[GET or POST]」のフィールド項目には、GETかPOSTのいずれかが記録されることになる。
【0017】
図3は、事業所プロキシサーバの事業所通信ログ格納部に格納される通信ログの形式の一例を示す図である。事業所プロキシサーバ6の事業所通信ログ格納部61に格納される通信ログは、情報通信端末5からのHTTP通信データを記録した日時を示す「日時」、HTTP通信データを送信した情報通信端末5に付与されるIPアドレスを示す「情報通信端末IPアドレス」、情報通信端末5からのHTTP通信データに含まれているURLを示す「アクセス先URL」、そしてWebサーバ2に対して閲覧か投稿かを指示する命令を示す「コマンド種類[GET or POST]」を含むフィールド項目からなる。上記情報通信端末5に付与されるIPアドレスは、企業3内で唯一のIPアドレスであってもよいし、各事業所4A,4B内で唯一のIPアドレスであってもよい。
【0018】
これらのフィールド項目に入力される通信ログの単位をレコードといい、図2と図3の1行が1レコードに対応する。なお、このHTTP通信データを収集し、記録保管する方法については従来技術で使用されている方法を用いることができる。また、図2と図3では、説明の便宜上、必要最低限の記録内容だけを表記しているが、プロキシサーバ6,8を通過するHTTP通信データにはさらに多くの種類の情報があるので、保守・運営で必要となる情報を記録保管することも可能である。
【0019】
また、企業内広域ネットワーク7には、事業所プロキシサーバ6と全社プロキシサーバ8による通信ログから企業3内の情報通信端末5によるインターネット1上のWebサーバ2へのアクセス記録であるアクセス編集記録を作成して管理するアクセス管理装置9が接続されている。アクセス管理装置9は、企業内広域ネットワーク7に接続される事業所プロキシサーバ6と全社プロキシサーバ8から所定の間隔で通信ログを収集して、アクセス編集記録を作成するログ編集処理部91と、作成されたアクセス編集記録を保存するアクセス記録データベース92と、アクセス編集記録を作成するために事業所プロキシサーバ6と全社プロキシサーバ8から収集した通信ログを一時的に格納する作業用データベース93と、を備えて構成される。このアクセス管理装置9は、CPU、メモリ、記憶装置、外部入出力インタフェースなどを備える一般的な構成を有する情報処理端末で構築することができ、従来技術で実現することができる。
【0020】
図4は、アクセス管理装置のアクセス記録データベースに格納されるアクセス編集記録の形式の一例を示す図である。このWebアクセス編集記録は、図2の全社プロキシサーバ8の通信ログと図3の事業所プロキシサーバ6の通信ログから、同一日時のレコードを収集して結合し、記録保管したものであり、「日時」、「事業所プロキシサーバIPアドレス」、「情報端末IPアドレス」、「アクセス先URL」、「コマンド種類[GET or POST]」を含むフィールド項目からなる。この図4では、アクセス記録データベース92に格納されるアクセス編集記録は、企業内広域ネットワーク7に接続される事業所から得られるレコードを1つのテーブルとしてまとめた形式となっているが、図5に示されるようにアクセス編集記録のレコードを事業所ごとに分類して、事業所ごとにテーブルを作成する形式としてもよい。また、これらのフィールド項目以外に、保守・運営で必要となる情報を含めて記録保管することも可能である。
【0021】
図6は、ログ編集処理部によるログ編集処理の手順を示すフローチャートである。なお、アクセス管理装置9は、予め登録されている時刻にこのフローチャートを実行できる状態にあるものとする。最初にログ編集処理部91は、全社プロキシサーバ8の全社通信ログ格納部81から通信ログ(以下、全社プロキシログという)の記録保管内容をすべて収集し、各事業所プロキシサーバ6の事業所通信ログ格納部61からも通信ログ(以下、事業所プロキシログという)の記録保管内容をすべて収集し、作業用データベース93に一時的に保存する(ステップS101)。なお、全社プロキシログと事業所プロキシログの記録保管データ量が大きく、これらのデータをアクセス管理装置9に送信すると、企業内広域ネットワーク7の通信トラフィックが増加して、企業3内に設けられた図示しない各種業務システムに影響を与える場合には、各種業務システムが稼動しない夜間に処理を開始するようにしてもよい。
【0022】
つぎに、ログ編集処理部91は、作業用データベース93に一時保存した全社プロキシログから1レコードを取り出し、該レコードの「日時」と一致するレコードを作業用データベース93に一時保存した事業所プロキシログから取り出す(ステップS102)。ここで、取り出した全社プロキシログの1レコードの「日時」に一致する事業所プロキシログのレコードが1つだけの場合には、容易に対応付けを行うことができる。しかし、企業3の規模が大きくなると、同時にアクセスされる場合もあり、対応付けが一層複雑になる。
【0023】
そこで、より具体的には、全社プロキシログから取り出した1レコード中の「日時」に加え、このレコード中の「事業所プロキシサーバIPアドレス」、「アクセス先URL」、「コマンド種類[GET or POST]」のすべてまたはいずれかを組み合わせることによって、全社プロキシログの1レコードと事業所プロキシログの1レコードとを対応付けることができる。たとえば、全社プロキシログから取り出した1レコード中の「日時」に対応する事業所プロキシログを抽出する際に、「事業所プロキシサーバIPアドレス」で絞込みをかければ、上記「日時」に対応する事業所プロキシログのレコードの数が限定され、さらに「アクセス先URL」で絞込みをかければ、上記「日時」に対応する事業所プロキシログのレコードの数が一層限定され、対応付けを容易に行うことが可能となる。
【0024】
つぎに、作業用データベース93から取り出した全社プロキシログの1レコードと、事業所プロキシログから取り出した1レコードから、図4または図5に示されるアクセス編集記録の形式に編集して、アクセス記録データベース92に1レコードとして記録する(ステップS103)。
【0025】
そして、ログ編集処理部91は、作業用データベース93の全社プロキシログから全レコードを取り出したか否かを判断する(ステップS104)。作業用データベース93の全社プロキシログから全レコードを取り出していない場合(ステップS104でNoの場合)には、再びステップS102へと戻り、上述した処理が繰り返し実行される。また、作業用データベース93の全社プロキシログから全レコードが取り出された場合(ステップS104でYesの場合)には、ログ編集処理部91は、処理を終了する。
【0026】
つぎに、アクセス管理装置9による全社プロキシサーバ8と事業所プロキシサーバ6の通信ログを編集記録する処理について説明する。図7は、アクセス管理装置による全社プロキシサーバと事業所プロキシサーバの通信ログを編集記録する処理の概略を示すフローである。この図に示されるように、まず、アクセス管理装置9のログ編集処理部91は、全社プロキシサーバ8に図2に示される形式で記録保管されている全社プロキシログと、事業所プロキシサーバ6に図3に示される形式で記録保管されている事業所プロキシログとを所定の期間ごとに収集する(ステップS151〜S152)。そして、ログ編集処理部91は、上述した図6に示される編集処理を行い、図4に示される編集記録形式でアクセス管理装置9のアクセス記録データベース92に作成されたアクセス編集記録を記録保管する(ステップS153)。
【0027】
なお、ログ編集処理部91は、アクセス編集記録をアクセス記録データベース92に出力する場合の記録形式は、図4または図5のいずれの形式でもよいが、データベースとして管理しているので、いずれの形式でもこの処理が完了した後に、必要に応じてアクセス記録データベース92から読み出して、調査目的に応じた編集を行うことが可能である。
【0028】
この実施の形態1によれば、事業所プロキシサーバ6と全社プロキシサーバ8の各プロキシサーバが記録保管する通信ログを、企業内広域ネットワーク7を経由して収集し、どの情報通信端末5がどのWebサーバ2のWebサイトにアクセスしたかを編集するアクセス管理装置9を有するように構成したので、容易に各情報通信端末5におけるアクセス記録を入手することができるという効果を有する。また、アクセス管理装置9のみを設置するだけで、既に企業3内に設置しているプロキシサーバ6,8の機能の追加やサーバの配置変更などを必要とすることがないので、容易にこの発明のアクセス記録システムを導入することができるという効果も有する。
【0029】
実施の形態2.
上述した実施の形態1では、POSTコマンドによるWebサーバへの投稿内容であるPOSTデータの記録保管ができず、その結果、従業員による業務外の目的によるWebサーバへの投稿を監視できなかったが、この実施の形態2では、Webサーバへ投稿した情報通信端末と投稿内容も記録保管することができるアクセス記録システムについて説明する。
【0030】
図8は、この発明にかかるアクセス記録システムの実施の形態2の概略構成を示すブロック図である。このアクセス記録システムは、企業内広域ネットワーク7が全社プロキシサーバ8を介してインターネットに接続され、企業内広域ネットワーク7に別途アクセス管理装置9が設置されていた実施の形態1の図1とは異なり、企業内広域ネットワーク7がアクセス管理装置9を介してインターネット1に接続される構成となっている。なお、図1と同一の構成要素には同一の符号を付して、その説明を省略する。
【0031】
このアクセス管理装置9は、実施の形態1の全社プロキシサーバ8とアクセス管理装置9の機能を兼ね備えた装置であり、HTTP通信データの通信ログを記録するプロキシログ記録処理部94と、その通信ログを格納する全社通信ログ格納部95と、通信ログからアクセス編集記録を作成するログ編集処理部91と、アクセス編集記録を格納するアクセス記録データベース92と、事業所プロキシサーバ6から収集した通信ログを一時的に保存する作業用データベース93と、を備えて構成される。
【0032】
プロキシログ記録処理部94は、アクセス管理装置9を通過するHTTP通信データについての通信ログを取得する。図9は、プロキシログ記録処理部によるプロキシログの記録処理手順を示すフローチャートである。まず、プロキシログ記録処理部94は、企業3内の情報通信端末5からインターネット1に接続されるWebサーバ2宛に送信されるHTTP通信データを捕捉する。図10は、HTTP通信データ形式の概略構成を示す図である。HTTP通信データ200は、POSTコマンドの場合には投稿内容が格納されるHTTP要求データ部203と、[GET or POST]コマンドの種類とアクセス先のURLが格納されるHTTP要求ヘッダ部202とからなり、さらに、これらにTCP(Transmission Control Protocol)/IP通信で必要なIPアドレスなどを含むTCP/IPヘッダ部201が付加される構成を有する。プロキシログ記録処理部94は、捕捉したHTTP通信データ200の中のTCP/IPヘッダ部201から該データの送信元となる事業所プロキシサーバ6のIPアドレスを取り出し、HTTP要求ヘッダ部202から[POST or GET]の要求コマンドとURLを取り出して、現在時刻とともに全社通信ログ格納部95に出力する(ステップS201)。
【0033】
つぎに、取り出した要求コマンドがPOSTコマンドであるかGETコマンドであるかを判定し(ステップS202)、取り出した要求コマンドがGETである場合(ステップS202でGETの場合)には処理を終了する。一方、取り出した要求コマンドがPOSTである場合(ステップS202でPOSTの場合)には、HTTP通信データ200のHTTP要求データ部203のPOSTデータを取り出して、全社通信ログ格納部95に出力し(ステップS203)、処理を終了する。
【0034】
全社通信ログ格納部95は、プロキシログ記録処理部94によって出力されるアクセス管理装置を通過するHTTP通信データの通信ログを格納する。図11は、アクセス管理装置の全社通信ログ格納部に格納される通信ログの形式を示す図である。この通信ログは、図2の通信ログ形式において、POSTデータの内容を保存する「POSTデータ」というフィールド項目が新たに追加されたものとなっている。この「POSTデータ」には、「コマンド種類[GET or POST]」に「POST」と格納された場合にその内容が保存され、「GET」と格納された場合には何も保存されない。すなわち、アクセス管理装置9を通過するHTTP通信データ200がPOSTコマンドの場合に、該データのHTTP要求データ部203内に格納されているPOSTデータも含めて記録するが、GETコマンドの場合には何も保存されない。その他の項目は、図2と同じであるので、説明を省略する。
【0035】
ログ編集処理部91は、全社通信ログ格納部95に格納されている全社プロキシログと、作業用データベース93に格納された各事業所プロキシサーバ6の事業所通信ログ格納部61から収集した事業所プロキシログとから実施の形態1の図6に示される手順にしたがってアクセス編集記録を作成し、アクセス記録データベース92に出力する。アクセス編集記録を作成するにあたって、POSTデータが含まれる点が実施の形態1とは異なるが、それによって処理が異なるものではない。
【0036】
アクセス記録データベース92は、ログ編集処理部91によって作成されたアクセス編集記録を格納する。図12は、アクセス記録データベースに格納されるアクセス編集記録の形式を示す図である。このアクセス編集記録は、図11に示される全社通信ログ格納部95に格納されている全社プロキシログと、図3の事業所プロキシログから、同一日時のレコードを収集して結合し、記録保管したものであり、「日時」、「事業所プロキシサーバIPアドレス」、「情報通信端末IPアドレス」、「アクセス先URL」、「コマンド種類[GET or POST]」、「POSTデータ」を含むフィールド項目からなる。この図12では、アクセス記録データベース92に格納されるアクセス編集記録は、企業内広域ネットワーク7に接続される事業所4A,4Bから得られるレコードを1つのテーブルとしてまとめた形式となっているが、図13に示されるようにアクセス編集記録のレコードを事業所ごとに分類して、事業所ごとにテーブルを作成する形式としてもよい。また、このようなフィールド項目以外に、保守、運営で必要となる情報を含めて記録保管することも可能である。
【0037】
作業用データベース93は、ログ編集処理部91によってアクセス編集記録が作成される際に、各事業所プロキシサーバ6から事業所プロキシログを収集して一時的に格納する。
【0038】
このアクセス管理装置9は、CPU、メモリ、記憶装置、外部入出力インタフェースなどを備える一般的な構成を有する情報処理端末で構築することができ、従来技術で実現することができる。
【0039】
図14は、アクセス管理装置による処理の概略を示すフローである。まず、アクセス管理装置9のプロキシログ記録処理部94は、所定時間になるまで、自装置を通過するHTTP通信データを捕捉し、その通信ログを全社プロキシサーバログに格納する(ステップS251)。そして、ログ編集処理部10は、各事業所4A,4Bの事業所プロキシサーバ6に図3に示される形式で記録保管されている事業所プロキシログを所定の期間ごとに収集して、実施の形態1の図6に示した編集処理を行い(ステップS252〜S253)、図12または図13に示される形式のアクセス編集記録をアクセス記録データベース92に記録保管する(ステップS254)。
【0040】
この実施の形態2によれば、Webサーバ2へ投稿した内容と投稿先のURL、投稿した情報通信端末3のIPアドレスと日時を記録することができるので、業務目的以外でのWebサーバ2へのアクセスを監視することができることに加えて、企業にとって不利益となる投稿を行った情報通信端末3の特定を容易に行うことができるという効果を有する。
【0041】
実施の形態3.
実施の形態1,2では、Webサーバへアクセスした情報通信端末を特定することができるが、実際にその情報通信端末を使用している従業員の特定を行うことができない。そこで、この実施の形態3では、情報通信端末を利用する従業員を特定することができ、さらに従業員によってアクセスレベルを管理することができるアクセス管理システムとこのシステムに使用されるアクセス管理装置と情報通信端末について説明する。
【0042】
図15は、この実施の形態3のアクセス管理システムが適用されるネットワーク構成の一例を示すブロック図である。実施の形態2の図8と同様に、複数のLANから構成される企業内広域ネットワーク7はアクセス管理装置9を介してインターネットに接続される構成を有する。
【0043】
図16は、情報通信端末に使用されるソフトウェアの構成を模式的に示す図である。このソフトウェアは、情報通信端末5のハードウェア資源とそれらの資源を利用するアプリケーションプログラムを統合的に管理するオペレーティングシステム51と、予め定められたHTTPなどの規則にしたがって、Webサーバ2と連携して情報通信端末5の表示部にファイルの内容を表示するブラウザ52と、ブラウザ52からWebサーバ2へ送信するHTTP通信データのHTTP要求ヘッダに、アクセス管理装置9との間でアクセス制御および情報通信端末5の利用者の特定化を行うために必要な情報であるエージェントデータを付加するPCエージェント53からなる。このエージェントデータは、情報通信端末5の図示しないエージェント情報格納部に格納される。また、従業員は、情報通信端末5を使用するにあたって、情報通信端末5に使用者(従業員)を特定させるための処理(たとえばログオン処理)を行う必要がある。
【0044】
図17は、エージェントデータが付加されたHTTP要求ヘッダ部を有するHTTP通信データ形式の概略構成の一例を示す図である。この図に示されるように、PCエージェント53が、HTTP要求ヘッダ部202に、従業員に付与される「従業員番号」204A、該従業員が所属する事業所、所属部署である「事業所名」204B、「所属」204C、従業員の氏名である「氏名」204Dを含むエージェントデータ204を格納する。なお、情報通信端末5のPCエージェント53は、この情報通信端末5を使用する従業員についてのこれらのエージェントデータをエージェント情報格納部から取り出して、HTTP要求ヘッダ部に格納する。また、エージェントデータは、特許請求の範囲における使用者情報に対応し、エージェント情報格納部は、同じく使用者情報格納手段に対応している。
【0045】
図18は、アクセス管理装置の概略構成を示すブロック図である。アクセス管理装置9は、HTTP通信データの通信ログ出力とアクセス制御を行うアクセス制御・ログ出力処理部96、従業員ごとのアクセス管理の情報を格納するURLアクセス管理データベース97、ログ出力を格納するアクセス記録データベース92、HTTP通信データからエージェントデータを削除するエージェントデータ削除処理部98を備えて構成される。なお、アクセス制御・ログ出力処理部96は、特許請求の範囲におけるアクセス可否判断手段とログ出力手段に対応し、URLアクセス管理データベース97は、同じくアクセス管理情報格納手段に対応し、エージェントデータ削除処理部98は、同じく使用者情報削除手段に対応している。
【0046】
URLアクセス管理データベース97は、従業員に付与するアクセス許可レベルとアクセス先URLとを関連付けて保管している。図19は、URLアクセス管理データベースの内容の一例を示す図である。URLアクセス管理データベース97は、従業員ごとに付与される番号である「従業員番号」、各従業員のWebアクセス権情報を示す「アクセス許可レベル」、アクセスを許可するサイトのURLのみが格納される「URL」を含むフィールド項目から構成される。
【0047】
「アクセス許可レベル」は、必要に応じた段階に分類することが可能であり、この図19では3段階に分類されている場合を例示しており、「0」〜「2」の数値によってレベル付けを行っている。レベル「0」は、インターネット上のすべてのWebサイトを閲覧することができるレベルであり、レベル「1」は、業務で必要なWebサイト(URL)だけ閲覧が可能であるレベルであり、レベル「2」は、Webサイトの閲覧がすべて禁止されているレベルである。
【0048】
「URL」に格納される情報は、「アクセス許可レベル」の値が「1」の場合のみ有効であり、1つか複数のURL情報が格納される。なお、この図19の例では、アクセスを許可するサイトのURLを格納するようにしているが、アクセスを許可しないサイトのURLを格納するようにしてもよい。
【0049】
アクセス記録データベース92は、情報通信端末5によるWebサーバ2へのアクセス記録をログ情報として格納する。図20は、アクセス記録データベースの内容の一例を示す図である。アクセス記録データベース92は、記録時間を示す「日時」、HTTP要求ヘッダ部のエージェントデータを格納する「エージェントヘッダ」、HTTP要求ヘッダ部のコマンドの種別を格納する「コマンド[GET or POST]」、HTTP要求ヘッダ部のURLを格納する「アクセス先URL」、HTTP要求データ部のPOSTデータを格納する「POSTデータ」を含むフィールド項目から構成される。
【0050】
アクセス制御・ログ出力処理部96は、情報通信端末5からWebサーバ2宛てに送信されるHTTP通信データを受信すると、HTTP通信データのHTTP要求ヘッダ部のエージェントデータとURLアクセス管理データベース97を参照して情報通信端末5の使用者を特定してアクセス許可レベルを求めるとともに、該情報通信端末5によるWebサーバ2へのアクセス記録をアクセス記録データベース92に記録する。図21は、アクセス制御・ログ出力処理部の処理手順を示すフローチャートである。まず、アクセス制御・ログ出力処理部96は、情報通信端末5からのHTTP通信データのHTTP要求ヘッダ部からエージェントデータを取り出す(ステップS301)。取り出したエージェントデータから従業員番号をキーとして、URLアクセス管理データベース97を検索して、該従業員番号に指定されたアクセス許可レベル情報とURL情報とを読み取る(ステップS302)。
【0051】
つぎに、アクセス制御・ログ出力処理部96は、URLアクセス管理データベース97から読み出したアクセス許可レベル値を判定する(ステップS303)。アクセス許可レベルの値が「1(業務で必要なWeb(URL)だけ閲覧可能)」の場合(ステップS303で1の場合)には、HTTP要求ヘッダ部のURLと、URLアクセス管理データベース97から読み出したURL情報とを比較し、両者が一致するか否かを判定する(ステップS304)。両者のURLが一致する場合(ステップS304で一致の場合)には、日時、エージェントデータ、コマンド種類、アクセス先URLをアクセス記録データベース92に図20の形式で出力する(ステップS305)。つぎに、HTTP要求ヘッダ部のコマンドを読み出して、GETコマンドかPOSTコマンドかを判定する(ステップS306)。判定の結果、POSTコマンドの場合(ステップS306でPOSTの場合)には、HTTP通信データのHTTP要求データ部のPOSTデータを取り出して、アクセス記録データベース92に追加出力し(ステップS307)、処理を終了する。一方、GETコマンドの場合(ステップS306でGETの場合)には、そのまま処理を終了する。
【0052】
ステップS303でアクセス許可レベルの値が「0(インターネット上のすべてのWeb閲覧が可能)」の場合には、上述したステップS305以降の処理が実行される。
【0053】
また、ステップS303でアクセス許可レベルの値が「2(Web閲覧禁止)」の場合、またはステップS304でHTTP要求ヘッダ部のURLと、URLアクセス管理データベース97から読み出したURL情報とが一致しない場合(ステップS304で一致せずの場合)には、Web閲覧禁止メッセージを情報通信端末5へ送信し(ステップS308)、処理が終了する。
【0054】
なお、この実施の形態3では、アクセス許可レベルが「1」の場合のURLにはアクセス可能なURLのみ掲載されているが、アクセス不可能なURLのみが掲載されている場合には、上述したステップS304では、一致した場合にステップS308へと進み、一致しない場合にはステップS305へと進むことになる。
【0055】
エージェントデータ削除処理部98は、情報通信端末5から送信されるHTTP通信データについて、アクセス制御・ログ出力処理部96による図21の処理が実行された後に、HTTP要求ヘッダ部からエージェントデータを削除して、インターネット1側へとHTTP通信データを送出する。これによって、情報通信端末5から、このエージェントデータ204が追加されたHTTP要求ヘッダ部202を有するHTTP通信データ200が送信されても、アクセス管理装置9によって、追加されたエージェントデータ部分のみが削除されるので、情報通信端末5の通信相手であるWebサーバ2とは、何ら支障なく通常どおりに通信することが可能になる。
【0056】
図22は、情報通信端末とアクセス管理装置におけるアクセス制御とアクセス情報管理の処理手順の概略を示す図である。情報通信端末5のPCエージェント53によって付加されたエージェントデータを有するHTTP通信データが、アクセス管理装置9のアクセス制御・ログ出力処理部96で受信される(ステップS351)。つぎに、アクセス制御・ログ出力処理部96は、従業員に付与するアクセス許可レベルとアクセス先URLを関連付けて記録保管するURLアクセス管理データベース97から受信したHTTP通信データ内のエージェントデータに含まれる従業員番号をキーにしてアクセス許可レベルを読み出す(ステップS352)。つぎに、両者を比較判断してアクセス許可またはアクセス禁止を行い、許可したHTTP通信データから必要な情報をアクセス記録データベース92へ記録保存する(ステップS353)。そして、エージェントデータ削除処理部98は、許可したHTTP通信データ内からエージェントデータを削除して(ステップS354)、インターネット1側にHTTP通信データを送出する。
【0057】
この実施の形態3によれば、情報通信端末5を使用する従業員を特定することができ、さらに、従業員ごとにWebサイトへのアクセスの許可/不許可を設定することができる。また、各事業所4のLANに設置された事業所プロキシサーバ6は、アクセス管理装置9に対して通信ログを送信する必要がないので、その機能を省略することが可能である。
【0058】
実施の形態4.
実施の形態3では、従業員ごとにWebサイト(URL)への個別のアクセス制御を行う方法を示したが、この実施の形態4では、たとえば、企画、営業、設計などの業務内容に応じてグループ分けを行い、グループごとにアクセス制御を行う場合について説明する。なお、この実施の形態4では、アクセス管理装置9のURLアクセス管理データベース97の構成のみ実施の形態3のものと異なり、その他のアクセス管理装置9と情報通信端末5の構成は実施の形態3のものと同一であるので、それらの説明を省略する。
【0059】
図23は、URLアクセス管理データベースの構成を示す模式図である。この実施の形態4では、URLアクセス管理データベース97は、従業員番号と該従業員に付与するアクセス許可レベルを格納するアクセス許可レベルデータベース97Aと、アクセス許可レベルに対応する1ないし複数のアクセス先URLを格納するURL情報データベース97Bとから構成される。なお、URLアクセス管理データベース97は、特許請求の範囲のアクセス管理情報格納手段に対応する。
【0060】
図24は、アクセス許可レベルデータベースの内容の一例を示す図である。アクセス許可レベルデータベース97Aは、「従業員番号」と「アクセス許可レベル」を含むフィールド項目からなる。この図24では、「アクセス許可レベル」は「0」〜「4」の5段階に分類される場合を例示している。レベル「0」は、インターネット上のすべてのWebサイトを閲覧することができるレベルであり、レベル「1」は、企画業務関連のWebサイトの閲覧のみが可能なレベルであり、レベル「2」は、営業業務関連のWebサイトの閲覧のみが可能なレベルであり、レベル「3」は、設計業務関連のWebサイトの閲覧のみが可能なレベルであり、レベル「4」は、Webサイトの閲覧がすべて禁止されているレベルである。
【0061】
図25は、URL情報データベースの内容の一例を示す図である。URL情報データベース97Bは、「アクセス許可レベル」と「URL」を含むフィールド項目からなる。「アクセス許可レベル」は、アクセス許可レベルデータベース27Aの「アクセス許可レベル」に対応するものであり、「URL」は「アクセス許可レベル」で指定されたレベルの場合に閲覧可能なWebサイトのURLのみが格納される。なお、実施の形態3と同様に、この「URL」には、閲覧不可のWebサイトのURLのみを格納するようにしてもよい。
【0062】
これらのアクセス許可レベルデータベース97AとURL情報データベース97Bとは互いに関連付けされており、リレーショナルデータベースを構成している。たとえば、ある従業員番号のアクセス許可レベルが「3」である場合には、URL情報データベースから、この従業員は「www.sekkei.com」または「www.設計.com」のURLを有するWebサイトの閲覧が許可される。
【0063】
図26は、アクセス制御・ログ出力処理部による処理手順を示すフローチャートである。まず、アクセス制御・ログ出力処理部96は、情報通信端末5からのHTTP通信データからエージェントデータを取り出す(ステップS401)。つぎに、HTTP要求データから取り出したエージェントデータ内の従業員番号をキーにして、アクセス許可レベルデータベース97Aを検索して、上記従業員番号に付与されているアクセス許可レベルを読み取る(ステップS402)。
【0064】
つぎに、アクセス許可レベルデータベース97Aから読み出したアクセス許可レベルの値が「0」〜「4」のいずれであるかを判定する(ステップS403)。判定の結果、アクセス許可レベルの値が「1」〜「3」である場合には、アクセス許可レベルの値をキーとして、URL情報データベース97Bからアクセスを許可するURL情報を読み取る(ステップS404)。つぎに、HTTP要求ヘッダ内のURL情報と、URL情報データベース97Bから読み取ったURL情報とが一致するか否かを判定し(ステップS405)、両者が一致する場合(ステップS405で一致の場合)には、日時、エージェントデータ、コマンド、アクセス先URLをアクセス記録データベース92に図20の形式で出力する(ステップS406)。つぎに、HTTP要求ヘッダ部のコマンドを読み出して、GETコマンドかPOSTコマンドかを判定する(ステップS407)。判定の結果、POSTコマンドの場合(ステップS407でPOSTの場合)には、HTTP要求データ部のPOSTデータを取り出して、アクセス記録データベース92に追加出力し(ステップS408)、処理を終了する。一方、GETコマンドの場合(ステップS407でGETの場合)には、そのまま処理を終了する。
【0065】
ステップS403でアクセス許可レベルの値が「0(インターネット上のすべてのWeb閲覧が可能)」の場合には、上述したステップS406以降の処理が実行される。
【0066】
また、ステップS403でアクセス許可レベルの値が「2(Web閲覧禁止)」の場合、またはステップS405でHTTP要求ヘッダ部のURLと、URL情報データベース97Bから読み出したURL情報とが一致しない場合(ステップS405で一致せずの場合)には、Web閲覧禁止メッセージを情報通信端末5へ送信し(ステップS409)、処理が終了する。
【0067】
なお、この実施の形態4では、アクセス許可レベルが「1」〜「3」の場合のURLにはアクセス可能なURLのみ掲載されているが、ここにアクセス不可能なURLのみが掲載されている場合には、上述したステップS405では、一致した場合にステップS409へと進み、一致しない場合にはステップS406へと進むことになる。
【0068】
また、この実施の形態4では、アクセス許可レベルを業務別に分類する場合を説明したが、事業所、部門、職制、その他目的に応じたカテゴリに分類してもよい。
【0069】
この実施の形態4によれば、アクセス許可レベルを従業員ごとではなく、あるカテゴリごとに分類するようにしたので、アクセス許可レベルの管理の負担を軽減することができる。
【0070】
実施の形態5.
実施の形態3,4では、情報通信端末のPCエージェントがHTTP通信データの中にエージェントデータを付加する場合を説明した。これは、インターネット1に公開されているWebサーバ2にアクセスする場合には、アクセス管理装置によって、HTTP通信データからエージェントデータが削除されるので、Webサーバ2側での処理には影響を与えることはない。しかし、図27に示されるように、企業3内に企業内向けに情報公開されるWebサーバ24が存在する場合には、企業内のWebサーバ24と情報通信端末5との間にはアクセス管理装置9が存在しないために、情報通信端末5と企業内のWebサーバ24とはHTTP通信データにはエージェントデータが存在するために通信することができない。また、企業3内に向けて公開されるWebサーバ24に対してアクセスを制限する必要もなく、アクセス記録を取ることも不要である。そこで、図27のように、企業内向けのWebサーバ24を有するネットワークがインターネット1と接続されている場合には、情報通信端末5のPCエージェント53が、エージェントデータの付加の要否を判断する必要がある。
【0071】
図28は、PCエージェントによるエージェントデータ付加制御の処理を示すフローチャートである。まず、PCエージェント53は、ブラウザ52から受信するHTTP通信データのHTTP要求ヘッダ部にあるURLが、イントラネット用、すなわち企業内で使用しているURLであるか否かを、情報通信端末5に予め格納されている企業内Webサーバ24のURL情報に基づいて判定する(ステップS501)。
【0072】
HTTP要求ヘッダ部にあるURLがイントラネット用のURLである場合(ステップS501でYesの場合)には、PCエージェント53は、そのまま処理を終了する。しかし、HTTP要求ヘッダ部にあるURLがイントラネット用のURLでない場合(ステップS501でNoの場合)には、PCエージェント53は、情報通信端末5が有するエージェント情報格納部から情報通信端末5を使用する従業員に対応するエージェントデータをHTTP通信データのHTTP要求ヘッダ部に付加して(ステップS502)、処理を終了する。
【0073】
なお、PCエージェント53がブラウザ52から送信されるHTTP通信データを受信する方式と、受信したHTTP通信データに付加したエージェントデータを送信する方式については、情報通信端末5で使用されるオペレーティングシステム51が提供する既存のプログラムインタフェースを利用することができる。
【0074】
この実施の形態5によれば、企業内向けにWebサーバ24を設置している企業内広域ネットワーク7の情報通信端末5において、インターネット1上のWebサーバ2へアクセスする場合と、イントラネット上のWebサーバ24へアクセスする場合とを判断して、HTTP通信データへのエージェントデータの付加の有無を行うように構成したので、アクセス記録を残し、アクセス権限を管理してインターネット1上のWebサーバ2へアクセスすることができるとともに、イントラネット上のWebサーバ24へアクセスする場合には、通常の通信を行って、アクセス記録を残さないように設定することが可能となる。
【0075】
なお、実施の形態1〜5では、アクセス管理装置9を企業内広域ネットワーク7とインターネット1との間に導入する場合を例に挙げて説明したが、図29に示されるように、事業所プロキシサーバ6の代わりにアクセス管理装置9を導入してもよい。
【0076】
また、上述した説明では、企業3内に2つの事業所があり、その事業所で構築されるLANを企業内広域ネットワーク7で接続する場合を示したが、LANの数はこれに限られるものではなく、単数でも3以上の数でもよい。
【0077】
さらに、上述した説明では、企業3内で構築される広域ネットワークについて説明したが、これに限られるものではなく、LANがインターネットに接続される形態、複数のLANが専用線で結ばてなる広域ネットワークがインターネットで接続される場合などにも適用可能である。
【0078】
【発明の効果】
以上説明したように、この発明によれば、インターネット上に公開されているWebサーバへアクセスした情報通信端末を容易に作成することができ、業務以外の目的でインターネットへアクセスした情報通信端末またはその使用者を特定することができるという効果を有する。
【図面の簡単な説明】
【図1】この発明によるアクセス管理システムの実施の形態1の概略構成を示すブロック図である。
【図2】全社プロキシサーバの全社通信ログ格納部に格納される通信ログの形式を示す図である。
【図3】事業所プロキシサーバの事業所通信ログ格納部に格納される通信ログの形式を示す図である。
【図4】アクセス管理装置のアクセス記録データベースに格納されるアクセス編集記録の形式を示す図である。
【図5】アクセス管理装置のアクセス記録データベースに格納されるアクセス編集記録の形式を示す図である。
【図6】ログ編集処理部によるログ編集処理の手順を示すフローチャートである。
【図7】アクセス管理装置による全社プロキシサーバと事業所プロキシサーバの通信ログを編集記録する処理の概略を示すフローである。
【図8】この発明によるアクセス記録システムの実施の形態2の概略構成を示すブロック図である。
【図9】プロキシログ記録処理部によるプロキシログの記録処理手順を示すフローチャートである。
【図10】HTTP通信データ形式の概略構成を示す図である。
【図11】アクセス管理装置の全社通信ログ格納部に格納される通信ログの形式を示す図である。
【図12】アクセス記録データベースに格納されるアクセス編集記録の形式を示す図である。
【図13】アクセス記録データベースに格納されるアクセス編集記録の形式を示す図である。
【図14】アクセス管理装置による処理の概略を示すフローである。
【図15】この実施の形態3のアクセス管理システムが適用されるネットワーク構成の一例を示すブロック図である。
【図16】情報通信端末に使用されるソフトウェアの構成を模式的に示す図である。
【図17】エージェントデータが付加されたHTTP要求ヘッダ部を有するHTTP通信データ形式の概略構成の一例を示す図である。
【図18】アクセス管理装置の概略構成を示すブロック図である。
【図19】URLアクセス管理データベースの内容の一例を示す図である。
【図20】アクセス記録データベースの内容の一例を示す図である。
【図21】アクセス制御・ログ出力処理部の処理手順を示すフローチャートである。
【図22】情報通信端末とアクセス管理装置におけるアクセス制御とアクセス情報管理の処理手順の概略を示す図である。
【図23】URLアクセス管理データベースの構成を示す模式図である。
【図24】アクセス許可レベルデータベースの内容の一例を示す図である。
【図25】URL情報データベースの内容の一例を示す図である。
【図26】アクセス制御・ログ出力処理部による処理手順を示すフローチャートである。
【図27】企業内広域ネットワーク内に企業内向けのWebサーバが設定されたネットワーク構成を示す図である。
【図28】PCエージェントによるエージェントデータ付加制御の処理を示すフローチャートである。
【図29】この発明によるアクセス管理システムの変形例を示すネットワーク構成図である。
【符号の説明】
1 インターネット、2,24 Webサーバ、3 企業、4 事業所、5 情報通信端末、6 事業所プロキシサーバ、7 企業内広域ネットワーク、8 全社プロキシサーバ、9 アクセス管理装置、51 オペレーティングシステム、52 ブラウザ、53 PCエージェント、61 事業所通信ログ格納部、81 全社通信ログ格納部、91 ログ編集処理部、92 アクセス記録データベース、93 作業用データベース、94 プロキシログ記録処理部、95 全社通信ログ格納部、96 アクセス制御・ログ出力処理部、97 URLアクセス管理データベース、97A アクセス許可レベルデータベース、97B URL情報データベース、98 エージェントデータ削除処理部、200 HTTP通信データ、201 TCP/IPヘッダ部、202 HTTP要求ヘッダ部、203 HTTP要求データ部、204 エージェントデータ。
Claims (16)
- 専用線を介して接続された複数のLANから構成され、種々の情報を公開するWebサーバを有するネットワークに接続される広域ネットワークにおいて、前記LAN内の情報通信端末による前記Webサーバへのアクセスを管理するアクセス管理システムであって、
前記LANは、該LAN内の情報通信端末による前記Webサーバへの通信記録である第1の通信ログを収集する第1のプロキシサーバを介して、前記広域ネットワークに接続され、
前記広域ネットワークは、
前記ネットワークと接続される点に配置され、前記広域ネットワーク内から前記Webサーバへの通信記録である第2の通信ログを収集する第2のプロキシサーバと、
前記第1および第2のプロキシサーバから所定の間隔で前記第1および第2の通信ログを収集し、該第1および第2の通信ログに基づいて、前記Webサーバにアクセスした前記LAN内の情報通信端末を特定したアクセス編集記録情報を生成するアクセス管理装置と、
を備えることを特徴とするアクセス管理システム。 - 前記第1の通信ログは、前記第1のプロキシサーバが前記情報通信端末から前記Webサーバ宛ての情報を受信した日時、前記情報通信端末に付されたIPアドレス、前記Webサーバの前記ネットワーク上の位置を示すアクセス先アドレス、および前記Webサーバへのアクセス種類を含む通信記録であり、
前記第2の通信ログは、前記第2のプロキシサーバが前記Webサーバ宛ての情報を受信した日時、前記Webサーバ宛ての情報を中継した第1のプロキシサーバに付されたIPアドレス、前記アクセス先アドレス、および前記アクセス種類を含む通信記録であることを特徴とする請求項1に記載のアクセス管理システム。 - 専用線を介して接続された複数のLANから構成され、種々の情報を公開するWebサーバを有するネットワークに接続される広域ネットワークにおいて、前記LAN内の情報通信端末による前記Webサーバへのアクセスを管理するアクセス管理システムであって、
前記LANは、該LAN内の情報通信端末による前記Webサーバへの通信記録である第1の通信ログを収集するプロキシサーバを介して、前記広域ネットワークに接続され、
前記広域ネットワークは、
前記広域ネットワーク内から前記Webサーバへの通信記録と通信内容である第2の通信ログを収集するプロキシログ記録処理手段と、
前記プロキシサーバから所定の間隔で前記第1の通信ログを収集し、該第1の通信ログと前記第2の通信ログに基づいて、前記Webサーバにアクセスした前記LAN内の情報通信端末の特定と前記Webサーバへの通信内容を含むアクセス編集記録情報を生成するログ編集処理手段と、
を有するアクセス管理装置を備えることを特徴とするアクセス管理システム。 - 専用線を介して接続された複数のLANから構成され、種々の情報を公開するWebサーバを有するネットワークに接続される広域ネットワークであり、前記LAN内の情報通信端末による前記Webサーバへの通信記録である第1の通信ログを収集する第1のプロキシサーバを介して前記LANは前記広域ネットワークに接続され、前記広域ネットワーク内から前記Webサーバへの通信記録である第2の通信ログを収集する第2のプロキシサーバを介して前記ネットワークに接続される広域ネットワークで、前記LAN内の情報通信端末による前記Webサーバへのアクセスを管理するアクセス管理システムであって、
前記広域ネットワークに接続されるいずれかのLANに設けられる前記第1のプロキシサーバは、
所定の間隔で、他のLANに設けられる前記第1のプロキシサーバから前記第1の通信ログを収集するとともに、前記第2のプロキシサーバから前記第2の通信ログを収集し、前記第1の通信ログと前記第2の通信ログに基づいて、前記Webサーバにアクセスした前記LAN内の情報通信端末の特定と前記Webサーバへの通信内容を含むアクセス編集記録情報を生成するログ編集処理手段を備えることを特徴とするアクセス管理システム。 - 前記第1の通信ログは、前記プロキシサーバが前記情報通信端末から前記Webサーバ宛ての情報を受信した日時、前記情報通信端末に付されたIPアドレス、前記Webサーバの前記ネットワーク上の位置を示すアクセス先アドレス、および前記Webサーバへのアクセス種類を含む通信記録であり、
前記第2の通信ログは、前記アクセス管理装置が前記Webサーバ宛ての情報を受信した日時、前記Webサーバ宛ての情報を中継した第1のプロキシサーバに付されたIPアドレス、前記アクセス先アドレス、前記アクセス種類、および前記Webサーバへ投稿した通信内容を含む通信記録であることを特徴とする請求項3または4に記載のアクセス管理システム。 - 種々の情報を公開する第1のWebサーバを有するネットワークに接続されるLAN内の情報通信端末による前記第1のWebサーバへのアクセスを管理するアクセス管理システムであって、
前記情報通信端末は、
該情報通信端末の使用者を特定する使用者情報を格納する使用者情報格納手段と、
前記第1のWebサーバへ送信する送信データに前記使用者情報を格納して送信する送信手段と、
を備え、
前記LANは、
前記使用者ごとに前記ネットワーク上の各第1のWebサーバへのアクセスの可否を示すアクセス管理情報を格納するアクセス管理情報格納手段と、
前記送信データから前記使用者情報を抽出し、前記アクセス管理情報に基づいて前記使用者による通信の可否を判断するアクセス可否判断手段と、
前記使用者による通信が可能な場合に、前記送信データから通信ログを収集して管理するログ出力手段と、
前記送信データから前記使用者情報を削除する使用者情報削除手段と、
を有するアクセス管理装置を備えることを特徴とするアクセス管理システム。 - 前記アクセス管理情報は、前記使用者を所定の基準にしたがって複数のグループに分類し、この分類ごとに前記ネットワーク上の各第1のWebサーバへのアクセスの可否が設定されることを特徴とする請求項6に記載のアクセス管理システム。
- 第2のWebサーバが前記LAN内に備えられ、前記情報通信端末の前記送信手段は、前記ネットワーク上の前記第1のWebサーバへのアクセスである場合には、前記使用者情報を前記送信データに格納して送信し、前記LAN内の第2のWebサーバへのアクセスである場合には、前記使用者情報を前記送信データに付さないで送信することを特徴とする請求項6または7に記載のアクセス管理システム。
- 専用線を介して接続された複数のLANから構成され、種々の情報を公開するWebサーバを有するネットワークに接続される広域ネットワークであり、前記LAN内の情報通信端末による前記Webサーバへの通信記録である第1の通信ログを収集する第1のプロキシサーバを介して前記LANは前記広域ネットワークに接続され、前記広域ネットワーク内から前記Webサーバへの通信記録である第2の通信ログを収集する第2のプロキシサーバを介して前記ネットワークに接続される広域ネットワーク上に配置されるアクセス管理装置であって、
前記第1および第2のプロキシサーバから所定の間隔で前記第1および第2の通信ログを収集し、該第1および第2の通信ログに基づいて、前記Webサーバにアクセスした前記LAN内の情報通信端末を特定するアクセス編集記録情報を生成するログ編集処理手段を備えることを特徴とするアクセス管理装置。 - 前記第1の通信ログは、前記第1のプロキシサーバが前記情報通信端末から前記Webサーバ宛ての情報を受信した日時、前記情報通信端末に付されたIPアドレス、前記Webサーバの前記ネットワーク上の位置を示すアクセス先アドレス、および前記Webサーバへのアクセス種類を含む通信記録であり、
前記第2の通信ログは、前記第2のプロキシサーバが前記Webサーバ宛ての情報を受信した日時、前記Webサーバ宛ての情報を中継した第1のプロキシサーバに付されたIPアドレス、前記アクセス先アドレス、および前記アクセス種類を含む通信記録であることを特徴とする請求項9に記載のアクセス管理装置。 - 種々の情報を公開するWebサーバを有するネットワークに接続され、複数のLANが、該LAN内の情報通信端末による前記Webサーバへの通信記録である第1の通信ログを収集するプロキシサーバを介して専用線に接続されてなる広域ネットワークに配置されるアクセス管理装置であって、
前記広域ネットワーク内から前記Webサーバへの通信記録と通信内容である第2の通信ログを収集するプロキシログ記録処理手段と、
前記プロキシサーバから所定の間隔で前記第1の通信ログを収集し、該第1の通信ログと前記第2の通信ログに基づいて、前記Webサーバにアクセスした前記LAN内の情報通信端末の特定と前記Webサーバへの通信内容を含むアクセス編集記録情報を生成して管理するログ編集処理手段と、
を備え、前記広域ネットワークが前記ネットワークと接続される点に配置されることを特徴とするアクセス管理装置。 - 前記第1の通信ログは、前記プロキシサーバが前記情報通信端末から前記Webサーバ宛ての情報を受信した日時、前記情報通信端末に付されたIPアドレス、前記Webサーバの前記ネットワーク上の位置を示すアクセス先アドレス、および前記Webサーバへのアクセス種類を含む通信記録であり、
前記第2の通信ログは、前記アクセス管理装置が前記Webサーバ宛ての情報を受信した日時、前記Webサーバ宛ての情報を中継した第1のプロキシサーバに付されたIPアドレス、前記アクセス先アドレス、前記アクセス種類、および前記Webサーバへ投稿した通信内容を含む通信記録であることを特徴とする請求項11に記載のアクセス管理装置。 - 種々の情報を公開する第1のWebサーバを有するネットワークに接続されるLANに接続され、前記LAN内の情報通信端末の前記第1のWebサーバへのアクセスを管理するアクセス管理装置であって、
前記LAN内の情報通信端末の使用者による前記ネットワーク上の各第1のWebサーバへのアクセスの可否を示すアクセス管理情報を格納するアクセス管理情報格納手段と、
前記情報通信端末によって送信された送信データから前記情報通信端末の使用者を特定する使用者情報を抽出し、前記アクセス管理情報に基づいて前記使用者による通信の可否を判断するアクセス可否判断手段と、
前記使用者による通信が可能な場合に、前記送信データから通信ログを収集して管理するログ出力手段と、
前記送信データから前記使用者情報を削除する使用者情報削除手段と、
を備えることを特徴とするアクセス管理装置。 - 前記アクセス管理情報は、前記使用者を所定の基準にしたがって複数のグループに分類し、この分類ごとに前記ネットワーク上の各第1のWebサーバへのアクセスの可否が設定されることを特徴とする請求項13に記載のアクセス管理装置。
- 種々の情報を公開する第1のWebサーバを有するネットワークに接続されるLAN内の情報通信端末の前記第1のWebサーバへのアクセスを管理するアクセス管理システムに使用される情報通信端末であって、
前記情報通信端末の使用者を特定する使用者情報を格納する使用者情報格納手段と、
前記第1のWebサーバへ送信する送信データに前記使用者情報を格納して送信する送信手段と、
を備えることを特徴とするアクセス管理システムに使用される情報通信端末。 - 種々の情報を公開する第1のWebサーバを有するネットワークに接続され、第2のWebサーバを備えるLAN内の情報通信端末の前記第1のWebサーバへのアクセスを管理するアクセス管理システムに使用される情報通信端末であって、
前記情報通信端末の使用者を特定する使用者情報を格納する使用者情報格納手段と、
前記ネットワーク上の前記第1のWebサーバへのアクセスである場合には、前記使用者情報を前記送信データに格納して送信し、前記LAN内の第2のWebサーバへのアクセスである場合には、前記使用者情報を前記送信データに付さないで送信する送信手段と、
を備えることを特徴とするアクセス管理システムに使用される情報通信端末。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003108900A JP2004318308A (ja) | 2003-04-14 | 2003-04-14 | アクセス管理システム、アクセス管理装置およびアクセス管理システムに使用される情報通信端末 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003108900A JP2004318308A (ja) | 2003-04-14 | 2003-04-14 | アクセス管理システム、アクセス管理装置およびアクセス管理システムに使用される情報通信端末 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004318308A true JP2004318308A (ja) | 2004-11-11 |
Family
ID=33470232
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003108900A Pending JP2004318308A (ja) | 2003-04-14 | 2003-04-14 | アクセス管理システム、アクセス管理装置およびアクセス管理システムに使用される情報通信端末 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2004318308A (ja) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006080078A1 (ja) * | 2005-01-28 | 2006-08-03 | Mitsubishi Denki Kabushiki Kaisha | ワークフロー管理装置とワークフロー管理システム、およびテストシナリオ作成方法 |
JP2009169507A (ja) * | 2008-01-11 | 2009-07-30 | Yaskawa Information Systems Co Ltd | アーカイブシステムおよびアーカイブシステム用プログラム |
JP2012173941A (ja) * | 2011-02-21 | 2012-09-10 | Toshiba Corp | 情報収集サーバ、情報収集プログラムおよび情報収集システム |
JP2012195925A (ja) * | 2011-02-28 | 2012-10-11 | Ricoh Co Ltd | 管理システム、プログラム、プログラム提供システム、及びメンテナンスシステム |
JP2016099943A (ja) * | 2014-11-26 | 2016-05-30 | 日本電信電話株式会社 | データ収集方法、データ収集装置、及びプログラム |
-
2003
- 2003-04-14 JP JP2003108900A patent/JP2004318308A/ja active Pending
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006080078A1 (ja) * | 2005-01-28 | 2006-08-03 | Mitsubishi Denki Kabushiki Kaisha | ワークフロー管理装置とワークフロー管理システム、およびテストシナリオ作成方法 |
JPWO2006080078A1 (ja) * | 2005-01-28 | 2008-06-19 | 三菱電機株式会社 | ワークフロー管理装置とワークフロー管理システム、およびテストシナリオ作成方法 |
JP2009169507A (ja) * | 2008-01-11 | 2009-07-30 | Yaskawa Information Systems Co Ltd | アーカイブシステムおよびアーカイブシステム用プログラム |
JP2012173941A (ja) * | 2011-02-21 | 2012-09-10 | Toshiba Corp | 情報収集サーバ、情報収集プログラムおよび情報収集システム |
JP2012195925A (ja) * | 2011-02-28 | 2012-10-11 | Ricoh Co Ltd | 管理システム、プログラム、プログラム提供システム、及びメンテナンスシステム |
US10248739B2 (en) | 2011-02-28 | 2019-04-02 | Ricoh Company, Ltd. | Apparatus, system, and method of processing log data, and recording medium storing log data processing program |
JP2016099943A (ja) * | 2014-11-26 | 2016-05-30 | 日本電信電話株式会社 | データ収集方法、データ収集装置、及びプログラム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2016222323B2 (en) | Predictive storage service | |
RU2383920C2 (ru) | Система и способ для клиент-обоснованного поиска веб-агентом | |
US6983320B1 (en) | System, method and computer program product for analyzing e-commerce competition of an entity by utilizing predetermined entity-specific metrics and analyzed statistics from web pages | |
US7013323B1 (en) | System and method for developing and interpreting e-commerce metrics by utilizing a list of rules wherein each rule contain at least one of entity-specific criteria | |
JP5121194B2 (ja) | 組織内情報検索システム及び組織内情報検索プログラム | |
US20050010639A1 (en) | Network meeting system | |
JP2008158695A (ja) | オンラインサービスを提供する情報処理システム及びプログラム | |
US9197447B2 (en) | Information processing apparatus, method of controlling information processing apparatus, program for control method, and recording medium for program | |
EP1695243A2 (en) | Distributed knowledge management system | |
JP2004318308A (ja) | アクセス管理システム、アクセス管理装置およびアクセス管理システムに使用される情報通信端末 | |
JP4993323B2 (ja) | 情報処理装置、情報処理方法及びプログラム | |
KR100289330B1 (ko) | 이기종 데이터베이스 시스템을 지원하는 공간 엔진 장치 및 그를 이용한 공간 데이터 관리 방법 | |
US20060168138A1 (en) | Resource providing system, mediating agent, resource providing method and computer program product | |
JP2006058948A (ja) | コンテンツ情報収集装置、コンテンツ情報収集方法およびコンテンツ情報収集方法をコンピュータに実行させるコンテンツ情報収集プログラム | |
JP2011227618A (ja) | 情報提供サーバ、クライアント端末及びコンピュータプログラム | |
JP5801218B2 (ja) | Urlフィルタリングシステム | |
JP2002358274A (ja) | イントラネットシステム | |
JP5851251B2 (ja) | 通信パケット保存装置 | |
TW595158B (en) | Method and system for blocking networked limitative information | |
JPH1139328A (ja) | 情報探索方法および装置 | |
JP4460018B2 (ja) | 情報処理装置、情報処理装置の制御方法、及びコンピュータプログラム | |
JPH11252163A (ja) | 通信情報管理方法及び装置並びに通信情報管理処理プログラムを記録した記録媒体 | |
JP4010749B2 (ja) | 共有データベースを備えた電子ファイル管理システム | |
JP2002222192A (ja) | 情報検索装置および方法と記録媒体 | |
JP2007026457A (ja) | 閲覧頻度データ提供方法、そのための中継装置、プログラム及び記録媒体 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060323 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080605 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080617 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090210 |