JP2006227755A - Cooperative control device - Google Patents
Cooperative control device Download PDFInfo
- Publication number
- JP2006227755A JP2006227755A JP2005038382A JP2005038382A JP2006227755A JP 2006227755 A JP2006227755 A JP 2006227755A JP 2005038382 A JP2005038382 A JP 2005038382A JP 2005038382 A JP2005038382 A JP 2005038382A JP 2006227755 A JP2006227755 A JP 2006227755A
- Authority
- JP
- Japan
- Prior art keywords
- information
- network
- user
- security level
- level area
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、低度セキュリティレベル領域から、高度セキュリティレベル領域への入室管理、及び高度セキュリティレベル領域における情報管理に関し、詳しくは、入室管理を担う設備系ネットワークと、情報管理を担う情報系ネットワークとの連携を図る連携制御装置に関する。 The present invention relates to entrance management from a low security level area to an advanced security level area, and information management in an advanced security level area. More specifically, the present invention relates to an equipment network responsible for entrance management, and an information network responsible for information management. The present invention relates to a cooperation control device that promotes cooperation.
機密情報を扱うことの多い企業や、企業内の特定の部署などでは、機密情報を扱う従事者の入室を管理する入室管理システムを適用することで、機密情報の漏洩を事前に防止するようにしている。 In companies that frequently handle confidential information or specific departments within the company, it is possible to prevent leakage of confidential information in advance by applying an entrance management system that manages the entrance of workers who handle confidential information. ing.
一般に入室管理システムは、ユーザに与えられたIC(Integrated Circuit)カードに組み込まれたユーザID(IDentification)や、生体情報(指紋、虹彩、声紋など)といった、ユーザを一意に特定する情報を用いて入室管理用のホストコンピュータにより個人認証を行い、登録された正当なユーザであることが認証された場合に、施錠された入室用のドアを解錠することで、機密情報を扱う高度セキュリティレベル領域内への入室を許可する、というような管理を行っている。 Generally, an entrance management system uses information that uniquely identifies a user, such as a user ID (IDentification) incorporated in an IC (Integrated Circuit) card given to the user, or biometric information (fingerprint, iris, voiceprint, etc.). An advanced security level area where confidential information is handled by unlocking the locked door for entry when personal authentication is performed by the host computer for entry management and the registered authorized user is authenticated. Management such as permitting access to the inside is performed.
ところで、上述した機密情報は、入室管理システムとは別のネットワークにて構築された機密情報管理システムによって管理がなされており、入室管理がなされている領域内に設置された情報端末装置から機密情報管理用のホストコンピュータへのアクセスに応じて利用可能となる。この機密情報管理用のホストコンピュータへアクセスする場合には、上述した入室管理システムにおける個人認証と同様の認証処理が要求されることになる。 By the way, the above-described confidential information is managed by a confidential information management system constructed on a network different from the entrance management system, and the confidential information is received from the information terminal device installed in the area where the entrance management is performed. It can be used in response to access to the management host computer. When accessing the host computer for managing confidential information, an authentication process similar to the personal authentication in the above-described entrance management system is required.
このように、入室管理システムと、機密情報管理システムとは、全く別のネットワークで構築されているため、機密情報を利用するまでには、2度の認証処理が必要になるなど、ユーザにとって非常に煩雑な操作が要求されていた。 As described above, since the entrance management system and the confidential information management system are constructed on completely different networks, it is very difficult for the user to use the authentication process twice before using the confidential information. Complicated operations were required.
そこで、このような入室管理システムと、機密情報管理システムとの連携が求められており、機密情報を扱う領域内への入室時の認証処理と、入室後の情報端末装置の使用開始時の認証処理とを関連付ける手法が考案されている(例えば、特許文献1、特許文献2参照。)。
Therefore, cooperation between such an entrance management system and a confidential information management system is required, and authentication processing at the time of entering a region that handles confidential information and authentication at the start of use of the information terminal device after entering the room A method for associating the processing with the processing has been devised (see, for example,
また、特許文献1、特許文献2で考慮されていなかった、入室してから情報端末装置へログオンするまでの時間経過によって生ずる問題への対処、退室時における情報端末装置のログオフ忘れへの対処を実現する手法も考案されている(例えば、特許文献3参照。)。
しかしながら、特許文献1,2,3で開示されている技術は、いずれの場合も、入室管理システムと、機密情報管理システムとの連携を行うために、個別に構築されていたネットワークを、同一のネットワークに接続するような構成となっている。
However, the technologies disclosed in
機密情報管理システムは、外部のネットワークへ接続する場合もあり、第三者による不正なアクセスや、ウィルス感染の危険性を含んでいる。機密情報管理システムは、このような外部のネットワークへの接続があらかじめ考慮されているため、十分な対策が施されている。一方、入室管理システムにおいては、外部のネットワークとの接続が元々考慮されていなかった。 The confidential information management system may be connected to an external network, and includes the risk of unauthorized access by a third party and virus infection. Since the confidential information management system considers connection to such an external network in advance, sufficient countermeasures are taken. On the other hand, in an entrance management system, connection with an external network was not originally considered.
したがって、入室管理システムと、機密情報管理システムとを、同一のネットワークとなるように接続すると、入室管理システムが、不正なアクセスやウィルス感染にさらされる危険性が高くなり、しかも、これらに対処することができないといった問題がある。 Therefore, connecting the entrance management system and the confidential information management system so as to be in the same network increases the risk of the entrance management system being exposed to unauthorized access and virus infection, and copes with them. There is a problem that can not be.
また、入室管理システムと、機密情報管理システムとは、それぞれ独自のプロトコルを用いた通信が行われる場合があるため、同一のネットワークを構築した場合、通信負荷が不必要にかかってしまうことがあり、なんらかの負荷対策を施さねばならないといった問題がある。 In addition, the entrance management system and the confidential information management system may communicate using their own protocols, so if the same network is constructed, the communication load may be unnecessarily imposed. There is a problem that some load countermeasures must be taken.
さらに、また、入室管理システム、又は機密情報管理システムの何れかで、ネットワーク障害が発生した場合、入室管理システム及び機密情報管理システムは、同一のネットワークに接続されているため、障害回復のためには大規模なネットワーク全体を検証する必要がある。したがって、ネットワーク管理者にとって非常に管理が困難な、ネットワークシステムとなってしまうといった問題がある。 In addition, when a network failure occurs in either the room entry management system or the confidential information management system, the room entry management system and the confidential information management system are connected to the same network, so that the failure can be recovered. Need to verify the entire large network. Therefore, there is a problem that it becomes a network system that is very difficult for the network administrator to manage.
そこで、本発明は、上述したような問題を解決するために案出されたものであり、入退室管理システムのネットワークである設備系ネットワークと、機密情報管理システムのネットワークである情報系ネットワークとを、それぞれ個別に切り分けて管理可能とすると同時に、ネットワーク同士を適切に連携することができる連携制御装置を提供することを目的とする。 Therefore, the present invention has been devised to solve the above-described problems, and includes an equipment network that is a network of an entrance / exit management system and an information network that is a network of a confidential information management system. It is an object of the present invention to provide a linkage control device that can be individually separated and managed, and can appropriately link networks.
本発明は、上述の課題を解決するために、ユーザを一意に特定する第1の被認証情報に基づいた認証処理結果に応じて、低度セキュリティレベル領域から高度セキュリティレベル領域への入室を管理する設備系ネットワークと、上記高度セキュリティレベル領域に構築され、上記ユーザを一意に特定する第2の被認証情報に基づいた認証処理結果に応じて、上記ユーザの当該情報系ネットワークへのアクセス制限をする情報系ネットワークとを相互に連携させる連携制御装置であって、上記設備系ネットワークにおいて、上記低度セキュリティレベル領域から上記高度セキュリティレベル領域への入室時に、上記第1の被認証情報を読み取る入室用読み取り機器の入室用機器ID(IDentification)及び上記第1の被認証情報と、上記第2の被認証情報とを対応づけて格納する記憶手段と、上記設備系ネットワークから送信される上記第1の被認証情報及び上記入室用機器IDとから、対応する上記第2の被認証情報を上記記憶手段から取得する情報取得手段と、上記低度セキュリティレベル領域から、上記高度セキュリティレベル領域への入室時において、上記情報取得手段によって取得された上記第2の被認証情報を含み、上記情報系ネットワークにおいて管理される上記ユーザの上記情報系ネットワークへのアクセス権限であるアカウントを有効化させる有効情報を、上記アカウントを管理する上記情報系ネットワークに設けられたアカウント管理手段に送信するよう制御する制御手段とを備えることを特徴とする。 In order to solve the above-described problem, the present invention manages entry from a low security level area to a high security level area in accordance with an authentication processing result based on first authenticated information that uniquely identifies a user. And the access restriction of the user to the information system network according to the authentication processing result based on the second authenticated information that is constructed in the high security level area and uniquely identifies the user. A cooperative control device for mutually coordinating with an information-related network that reads the first authenticated information when entering the high-security level area from the low-security level area in the facility-based network Room entry device ID (IDentification), the first authentication information, and the second authentication From the storage means, the corresponding second authenticated information is stored from the storage means for storing the information in association with the first authenticated information and the entry device ID transmitted from the facility network. Including information acquisition means to be acquired and the second authenticated information acquired by the information acquisition means at the time of entering the high security level area from the low security level area, and managed in the information network Control means for controlling to transmit valid information for validating an account, which is an access right of the user to the information system network, to an account management means provided in the information system network for managing the account; It is characterized by providing.
本発明の連携制御装置は、設備系ネットワーク、情報系ネットワークをそれぞれ切り分けて管理可能とすると共に、設備系ネットワークにおける認証処理に用いる第1の被認証情報と、上記第1の被認証情報を読み出す入室用読み取り機器の入室用機器IDと、情報系ネットワークにける認証処理に用いる第2の被認証情報とを関連付けて、記憶手段に格納し、第1の被認証情報の認証処理結果に応じて、第2の被認証情報が取得され、情報系ネットワークへのアクセス権限が得られるように連携を図ることで、設備系ネットワークと、情報系ネットワークとがそれぞれ閉じたネットワークであることの利点である、第三者、又は他の正規ユーザによるネットワークを介した不正なアクセスや、ウィルス感染といったネットワークを介しての危険を回避しつつ、連携を図ることによる認証処理の利便性及び高度セキュリティレベル領域への不正な侵入、情報漏洩を防止し、セキュリティを強化することを可能とする。 The cooperative control apparatus according to the present invention makes it possible to separately manage and manage an equipment network and an information network, and reads first authenticated information used for authentication processing in the equipment network and the first authenticated information. The entry device ID of the entry reading device and the second authentication information used for the authentication process in the information network are associated with each other, stored in the storage means, and according to the authentication process result of the first authentication information. It is an advantage that the equipment network and the information network are closed networks by cooperating so that the second authenticated information is acquired and access authority to the information network is obtained. , Unauthorized access via a network by a third party or other authorized users, or via a network such as a virus infection While avoiding insurance, unauthorized entry into convenience and high security level region of the authentication process by achieving cooperation, to prevent information leakage, making it possible to enhance security.
また、連携制御装置は、関連付けられた上記第1の被認証情報と、退室時に上記第1の被認証情報を読み出す退室用読み取り機器の退室用機器IDと、上記第2の被認証情報とを用いて、上記第1の被認証情報の認証処理結果に応じて、上記第2の被認証情報が取得され、情報系ネットワークへのアクセス権限が消失するように連携を図ることで、高度セキュリティレベル領域からのユーザ退室後の情報漏洩を防止することができる。 In addition, the cooperation control device includes the associated first authenticated information, the leaving device ID of the leaving reading device that reads the first authenticated information when leaving the room, and the second authenticated information. By using the first authentication target information in response to the authentication processing result, the second authentication target information is acquired and the access authority to the information network is lost. Information leakage after the user leaves the area can be prevented.
以下、本発明の実施の形態について図面を参照して説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
[第1の実施の形態]
まず、図1を用いて、本発明の第1の実施の形態として示す情報漏洩防止システムについて説明をする。図1に示すように、情報漏洩防止システムは、設備系ネットワーク10と、情報系ネットワーク20とが連携制御装置30によって相互に接続されて構成されている。
[First Embodiment]
First, the information leakage prevention system shown as the first embodiment of the present invention will be described with reference to FIG. As shown in FIG. 1, the information leakage prevention system is configured by connecting an
設備系ネットワーク10は、セキュリティレベルの低い領域(低度セキュリティレベル領域)から、機密情報などを扱うセキュリティレベルの高い領域(高度セキュリティレベル領域)への侵入を管理する。設備系ネットワーク10では、高度セキュリティレベル領域への入室を希望するユーザ全てに対して、又、高度セキュリティレベル領域から退出を希望するユーザ全てに対して認証処理を行い、あらかじめ登録された正当なユーザのみを認証して上記領域への入室、上記領域からの退出を許可する。
The
情報系ネットワーク20は、設備系ネットワーク10で管理される高度セキュリティレベル領域内に構築されたネットワークである。情報系ネットワーク20では、例えば、機密情報などを管理しており、認証されたユーザに対してのみ、ネットワークに接続された情報端末装置からのログオンを認め、機密情報へのアクセスを許可する。
The
この設備系ネットワーク10と、情報系ネットワーク20とは、それぞれ互いに切り分けられて独立したネットワークであり、それぞれ独自に管理することができる。連携制御装置30は、このような設備系ネットワーク10と、情報系ネットワーク20との相互連携を図ることで、高度セキュリティレベルにて管理される機密情報の外部漏洩を防止しながら、高度セキュリティレベル領域におけるユーザの作業が円滑に進むよう支援をする。
The
続いて、図1を用いて、情報漏洩防止システムを構成する設備系ネットワーク10、情報系ネットワーク20、連携制御装置30の構成について説明をする。
Next, the configuration of the
(設備系ネットワーク10の構成)
まず、設備系ネットワーク10の構成について説明をする。設備系ネットワーク10は、ハブ11に接続された複数のコントロールユニット12と、各コントロールユニット12の下にハブ13を介して接続された複数のゲートウェイユニット14とを備えている。
(Configuration of equipment network 10)
First, the configuration of the
各コントロールユニット12は、設備系ネットワーク10において実行される高度セキュリティレベル領域、低度セキュリティレベル領域の入退室の管理を制御する最小単位である。各コントロールユニット12は、同じくハブ11に接続された汎用型のPC(Personal Computer)である管理用PC18によって統括的に制御される。設備系ネットワーク10を管理する管理者は、この管理用PC18から各コントロールユニット12による入退室処理のエラーを検出し管理することになる。
Each
このように、設備系ネットワーク10では、複数のコントロールユニット12による入退室管理により入退室管理処理を分散することで、設備系ネットワーク10全体における稼働率を大幅に向上させると共に、設備系ネットワーク10を小規模とした場合にも、設置環境に応じてコントロールユニット12の組み合わせを適宜変えることで、容易に適用することができるようになる。また、専用の管理装置も必要としない。
As described above, in the
設備系ネットワーク10を大規模対応とする場合は、管理用PC18に代えて、専用の管理装置として図1に点線で示したようなセンタ装置19を設けるようにする。
When the
各ゲートウェイユニット14の下には、高度セキュリティレベル領域外に設けられ、高度セキュリティレベル領域へ入室する際に、ユーザが所有するICカードの半導体メモリ内に格納された情報を読み取る入室用カードリーダ15と、高度セキュリティレベル領域内に設けられ、高度セキュリティレベル領域から退室する際に、ICカードの上述した情報を読み取る退室用カードリーダ16とが複数接続されている。
An
ユーザが所有するICカードは、例えば、非接触のICカードなどであり、入室用カードリーダ15又は退室用カードリーダ16との間で電波/電磁波を利用することで、非接触で情報の読み出しや書き込みを行うことができる。
The IC card owned by the user is, for example, a non-contact IC card or the like, and by using radio waves / electromagnetic waves with the
また、ゲートウェイユニット14は、低度セキュリティレベル領域から高度セキュリティレベル領域へ入室する際、又は高度セキュリティレベル領域から低度セキュリティレベル領域へ退出する際の出入り口に設けられ、2つの領域を隔てるドア(扉)を電気的な作用により施錠、解錠することができる電気錠17に接続されている。電気錠17は、通常、ドア(扉)を施錠している。
The
この低度セキュリティレベル領域、高度セキュリティレベル領域とを隔てるドア(扉)は、例えば、部屋と部屋とを仕切るドア(扉)であってもよいし、エレベータのドア(扉)などであってもよい。 The door (door) that separates the low security level region and the high security level region may be, for example, a door (door) that separates rooms from each other, or an elevator door (door). Good.
ゲートウェイユニット14は、入室用カードリーダ15又は退室用カードリーダ16によって読み出されたICカードの情報のうち、当該ICカードを一意に特定する被認証情報であるカードIDを取得し、このカードIDが、あらかじめ登録されているカードIDかどうかの認証処理を行う。ゲートウェイユニット14は、カードIDが、あらかじめ登録された正当なカードIDであると認証した場合に、施錠された電気錠17を所定の時間だけ解錠するように制御する。一方、ゲートウェイユニット14は、カードIDが、あらかじめ登録された正当なカードIDでない場合には、施錠された電気錠17をそのままにし、例えば、図示しない警報装置といった通知手段を制御して、認証処理結果がエラーであることをユーザに通知する。
The
ゲートウェイユニット14は、入退室処理における処理負荷が増大することを防ぐため、1つのゲートウェイユニット14で、例えば、入室用カードリーダ15、退室用カードリーダ16、電気錠17とからなる入退室処理に必要なユニットを、最大でも、例えば、4ユニットだけ受け持つようにする。
In order to prevent the processing load in the entrance / exit processing from increasing, the
設備系ネットワーク10は、ハブ11を介したコントロールユニット12によって連携制御装置30と、通信をすることになるが、通信される情報量がそれほど多くないため、連携制御装置30との通信では、例えば、イーサネット(登録商標)の通信規格である10BASE−Tといった比較的低速度の通信で賄うことができる。
The
(情報系ネットワーク20の構成)
続いて、情報系ネットワーク20の構成について説明をする。情報系ネットワーク20は、トラフィックが増大する当該情報系ネットワーク20において連携制御装置30との通信を制御するスイッチングハブ21と、スイッチングハブ21に接続された、高度セキュリティレベル領域に入室したユーザによって操作される情報端末装置である複数のクライアントPC(Personal Computer)22と、ACL(Access Control List)サーバ24とを備えている。
(Configuration of information network 20)
Next, the configuration of the
各クライアントPC22には、高度セキュリティレベル領域に入室したユーザが所有するICカードの半導体メモリ内に格納されている情報を読み取るカードリーダ23が接続されている。ユーザは、クライアントPC22を起動して、例えば、情報系ネットワーク20内でアクセスが管理されている機密情報などを閲覧、利用、使用する場合などに、カードリーダ23からICカードに格納されているカードIDを読み取り、認証処理することを要求される。
Each
ACLサーバ24は、情報系ネットワーク20にアクセス可能とする、あらかじめ登録されたユーザのアカウントを登録しているサーバであり、情報系ネットワーク20にアクセスをするユーザの管理を行っている。ACLサーバ24に登録されているアカウントは、通常時、無効とされており、連携制御装置30からアカウントを有効とする旨が通知されたことに応じて有効とされる。つまり、ACLサーバ24は、連携制御装置30からの通知に応じて、情報系ネットワーク20にアクセスを許可するようユーザを管理している。
The
したがって、ACLサーバ24が、例えば、アカウントを有効にする旨を受け取っていない状態では、クライアントPC22から情報系ネットワーク20にログオンすることはできない。
Therefore, for example, in a state where the
また、ACLサーバ24は、ログサーバとしても機能しており、アカウントが有効にされたユーザから、クライアントPC22を介して情報系ネットワーク20にアクセスがあった場合に、そのログを記録する。このログサーバは、必ずしもACLサーバ24と同一に構成させなくてもよく、連携制御装置30に、ログサーバの機能をもたせるようにしてもよい。
The
ACLサーバ24には、情報系ネットワーク20のネットワーク管理者のみが所有する管理者用ICカード内の半導体メモリに格納されている情報を読み取るカードリーダ25が接続されている。ネットワーク管理者は、例えば、メンテナンスや、セキュリティ管理のためにACLサーバ24に格納されているユーザのアカウント情報や、ログサーバに記録されているログを参照する場合など、カードリーダ25からネットワーク管理者が所有するICカードに格納されているカードIDを読み取り、認証処理することを要求される。
The
情報系ネットワーク20は、スイッチングハブ21を介して連携制御装置30と、通信をすることになるが、設備系ネットワーク10と較べて通信される情報量が多くなりトラフィックが増大するため、連携制御装置30との通信では、例えば、イーサネット(登録商標)の通信規格である100BASE−TXといった高速度の通信を行うことが望ましい。
The
連携制御装置30は、設備系ネットワーク10と、情報系ネットワーク20との連携を図るために設けられた装置である。この連携制御装置30が実行する設備系ネットワーク10と、情報系ネットワーク20との連携とは、設備系ネットワーク10と、情報系ネットワーク20という既存のネットワークを閉じた系として管理可能としながらも、相互に情報をやり取りすることで、セキュリティを強固なものとするような連携である。
The
連携制御装置30は、設備系ネットワーク10による認証処理結果に応じて、情報系ネットワーク20へのアクセスを許可するように連携を図る。具体的には、連携制御装置30は、図示しない記憶部を備え、この記憶部内に格納されている設備系ネットワーク10と、情報系ネットワーク20とを連携するために、ユーザが所有するICカードの半導体メモリ内に格納されている当該ICカードを一意に特定するカードIDと、設備系ネットワーク10に構成されている全ての入室用カードリーダ15、退室用カードリーダ16をそれぞれ一意に特定する機器IDであるリーダIDと、情報系ネットワーク20において、ユーザを一意に特定する被認証情報であるユーザIDとを対応付けたテーブルを用いて、設備系ネットワーク10と、情報系ネットワーク20との連携を図っている。
The
連携制御装置30が備える記憶部に格納されているテーブルは、例えば、図2(a),(b)に示すような2つのテーブルである。
The tables stored in the storage unit included in the
図2(a)に示すテーブルは、入室用カードリーダ15、退室用カードリーダ16の機器IDである各リーダID毎に、当該入室用カードリーダ15、退室用カードリーダ16を管理するゲートウェイユニット14の管轄となる高度セキュリティレベル領域に入室可能とされたICカードに与えられたカードIDが対応付けらたテーブルである。つまり、図2(a)に示すテーブルは、高度セキュリティレベル領域と、低度セキュリティレベル領域との入退室口に取り付けられた入室用カードリーダ15、退室用カードリーダ16と、入退室可能なICカードとを関係付けるテーブルである。
The table shown in FIG. 2A is a
一つのカードIDは、複数の入室用カードリーダ15、複数の退室用カードリーダ16に登録されるため、図2(a)に示すように、一つのカードIDが、複数のリーダIDと対応付けられることになる。
Since one card ID is registered in a plurality of
図2(b)に示すテーブルは、設備系ネットワーク10において、ユーザを一意に特定するために用いるICカードの半導体メモリ内に格納された被認証情報であるカードIDと、情報系ネットワーク20において、ユーザを一意に特定する被認証情報であるユーザIDとを対応づけたテーブルである。
The table shown in FIG. 2B is a card ID that is authentication information stored in a semiconductor memory of an IC card used to uniquely identify a user in the
連携制御装置30は、設備系ネットワーク10のコントロールユニット12を介して入室情報として、リーダIDと、カードIDとを受け取ると、図2(a)に示すテーブルからリーダIDと、カードIDとが対応しているかどうか判定をする。そして、対応している場合に、図2(b)に示すテーブルを用いて、カードIDに対応するユーザIDを取得し、このユーザIDに対応するアカウントを有効にするように情報系ネットワーク20に通知する。
When the
リーダIDと、カードIDとの対応がとれない場合には、連携制御装置30は、設備系ネットワーク10と、情報系ネットワーク20との連携をとらないため、ユーザは、高度セキュリティレベル領域に入室したとしても情報系ネットワーク20へのアクセス権限が与えられないことになる。
When the correspondence between the reader ID and the card ID cannot be taken, the
また、連携制御装置30は、上述したACLサーバ24に与えられる、情報系ネットワーク20でのクライアントPC22からのアクセスログを記録するログサーバの機能を備えるようにしてもよい。このように連携制御装置30が、ログサーバの機能を備えた場合の処理動作については、後述するタイミングチャートを用いた連携制御装置30の連携処理動作にて適宜説明をする。
Further, the
次に、このような構成の情報漏洩防止システムにおいて、ユーザが、低度セキュリティレベル領域から高度セキュリティレベル領域へ入室し、高度セキュリティレベル領域内でのクライアントPC22から情報系ネットワーク20へログオン後、ログオフし、高度セキュリティレベル領域から低度セキュリティレベル領域へと退室するまでの一連の動作についてタイミングチャートを用いて説明をする。
Next, in the information leakage prevention system having such a configuration, the user enters the high security level area from the low security level area, logs on to the
{第1の連携処理動作}
まず、設備系ネットワーク10におけるユーザの認証結果に応じて、連携制御装置30が、ACLサーバ24の情報系ネットワーク20におけるユーザのアカウントを有効とすることで連携を図る第1の連携処理動作について説明をする。
{First cooperation processing operation}
First, a description will be given of a first cooperation processing operation in which the
(高度セキュリティレベル領域への入室処理)
高度セキュリティレベル領域への入室処理は、設備系ネットワーク10による管理によって実行される。まず、ユーザは、所有するICカードを、入室用カードリーダ15からの電波を受信可能な位置まで運び、半導体メモリ内に格納されているカードIDを読み取らせる(ステップS1)。
(Entry processing to the advanced security level area)
The entrance processing to the high security level area is executed by management by the
入室用カードリーダ15は、ICカードからカードIDを読み取り、ゲートウェイユニット14へ送信する(ステップS2)。
The
ゲートウェイユニット14は、送信されたカードIDと、あらかじめ登録されているカードIDとを照合して設備系ネットワーク10における認証処理を行う。ゲートウェイユニット14は、送信されたカードIDと、登録されているカードIDとが一致した場合、このカードIDを認証し、施錠されている電気錠17を解錠することで入室を許可する(ステップS3)。
The
一方、カードIDが一致せず、認証されなかった場合には、ゲートウェイユニット14は、低度セキュリティレベル領域側に設けられている、例えば、図示しない警報装置や、液晶ディスプレイなどを介して、認証されなかった旨を示すエラー通知を出力させるように制御する。
On the other hand, if the card IDs do not match and are not authenticated, the
ゲートウェイユニット14は、送信されたカードIDを認証した場合には、ユーザが低度セキュリティレベル領域から高度セキュリティレベル領域へと入室したことを示すログを、当該ゲートウェイユニット14内に記録する(ステップS4)。また、ゲートウェイユニット14は、送信されたカードIDを認証した場合には、このカードIDと、当該ゲートウェイユニット14を一意に特定する機器IDであるリーダIDとを入室情報として、コントロールユニット12に送信する。そして、コントロールユニット12が、この入室情報を連携制御装置30に通知する(ステップS5)。
When the transmitted card ID is authenticated, the
連携制御装置30は、ゲートウェイユニット14から、通知された入室情報を用いて、図示しない記憶部に格納されている、図2を用いて説明したような、カードIDと、リーダIDと関連付けたテーブル、カードIDと、情報系ネットワーク20における認証処理用にあらかじめ登録されているユーザIDとを関連付けたテーブルとを用いて、リーダID、カードID、ユーザIDとの整合をとる。つまり、連携制御装置30は、図2(a)に示すテーブルを用いて、入室情報として送信されたリーダIDと、カードIDとが認められた正しい組み合わせであるかを検証し、正しい組み合わせであるとされた場合には、図2(b)に示すテーブルを用いて、カードIDに対応するユーザIDを取得する(ステップS6)。
The
さらに、連携制御装置30は、取得したユーザIDを添付した、情報系ネットワーク20のACLサーバ24に登録されているユーザのアカウントを有効化させる有効情報を、スイッチングハブ21を介してACLサーバ24に送信する(ステップS7)。
Further, the
これにより、高度セキュリティレベル領域へ入室したユーザの情報系ネットワーク20におけるアカウントが有効となり、当該ユーザは、情報系ネットワーク20へのアクセス権限を獲得したことになる。
As a result, the account in the
(ログオン処理)
高度セキュリティレベル領域へ入室したユーザは、まずクライアントPC22を起動させる(ステップS11)。そして、クライアントPC22を起動させた後、カードリーダ23に、ICカードをセットして、クライアントPC22にログオン要求をする。カードリーダ23は、セットされたICカードからカードIDを読み出しクライアントPC22へと送信する(ステップS12)。
(Logon process)
The user who has entered the high security level area first activates the client PC 22 (step S11). Then, after the
クライアントPC22は、カードリーダ23から読み出されたカードIDを用いて、ACLサーバ24にログオン許可要求をする(ステップS13)。
The
ACLサーバ24は、送信されたカードIDを認証し、認証された場合にクライアントPC22からのログオン許可をする(ステップS14)。これに応じて、クライアントPC22は、どのユーザが、いつ、どのクライアントPC22からログオンしたのかを記録するために、ユーザIDを含むログオン情報のログをACLサーバ24のログサーバに送信する(ステップS15)。クライアントPC22は、例えば、表示画面上に、ログオンが許可されたことを通知するメッセージを表示させユーザに対してログオンが許可されたことを通知する(ステップS16)。
The
このようにして、高度セキュリティレベル領域へ入室したユーザは、クライアントPC22を介して情報系ネットワーク20へアクセスすることができる。このとき、連携制御装置30によって、設備系ネットワーク10と、情報系ネットワーク20とが連携されることで、例えば、正規のユーザAが、他の正規のユーザBと一緒に入室する場合などにおいて、ユーザAがICカードを使用しないで入室した時は、クライアントPC22にアクセス権限があってもログオンできないことになり、より正確なアクセス管理ができるようになる。
In this way, a user who has entered the high security level area can access the
また、高度セキュリティレベル領域へ正当に入室しようとしたユーザによって電気錠17が解錠されたドア(扉)から、隙をみて不正に侵入した第三者がクライアントPC22へアクセスしたとしても、アクセス権限がないため不正なアクセスを防止することができる。
Further, even if a third party who has illegally entered through the door (door) where the
したがって、設備系ネットワーク10と、情報系ネットワーク20とを、それぞれ互いに閉じた系として、独自に管理可能としながらも、連携制御装置30による連携によって非常に高いセキュリティを確保することができる。
Therefore, the
(ログオフ処理)
高度セキュリティレベル領域から退室する場合、ユーザは、まずクライアントPC22からのログオンをログオフすることになる。
(Logoff processing)
When the user leaves the high security level area, the user first logs off the logon from the
ユーザは、クライアントPC22に対して終了要求をする(ステップS21)。終了要求を受けたクライアントPC22は、どのユーザが、いつ、どのクライアントPC22からログオフしたのか記録するために、ユーザIDを含むログオフ情報をACLサーバ24のログサーバに送信する(ステップS22)。これにより、クライアントPC22は、情報系ネットワーク20からログオフされ、シャットダウンする(ステップS23)。
The user makes a termination request to the client PC 22 (step S21). Upon receiving the termination request, the
(高度セキュリティレベル領域からの退室処理)
ユーザは、ログオフが完了した後、高度セキュリティレベル領域から低度セキュリティレベル領域へと退室する。
(Exiting from the high security level area)
After the logoff is completed, the user exits from the high security level area to the low security level area.
高度セキュリティレベル領域からの退室処理は、設備系ネットワーク10による管理によって実行される。まず、ユーザは、所有するICカードを、退室用カードリーダ16からの電波を受信可能な位置まで運び、半導体メモリ内に格納されているカードIDを読み取らせる(ステップS41)。
The exit processing from the high security level area is executed by management by the
退室用カードリーダ16は、ICカードからカードIDを読み取り、ゲートウェイユニット14へ送信する(ステップS42)。
The leaving
ゲートウェイユニット14は、送信されたカードIDと、あらかじめ登録されているカードIDとを照合して設備系ネットワーク10における認証処理を行う。ゲートウェイユニット14は、送信されたカードIDと、登録されているカードIDとが一致した場合、このカードIDを認証し、施錠されている電気錠17を解錠することで退室を許可する(ステップS43)。
The
一方、カードIDが一致せず、認証されなかった場合には、ゲートウェイユニット14は、高度セキュリティレベル領域側に設けられている、例えば、図示しない警報装置や、液晶ディスプレイなどを介して、認証されなかった旨を示すエラー通知を出力させるように制御する。
On the other hand, if the card IDs do not match and are not authenticated, the
ゲートウェイユニット14は、送信されたカードIDを認証した場合には、ユーザが高度セキュリティレベル領域から低度セキュリティレベル領域へと退室したことを示すログを、当該ゲートウェイユニット14内に記録する(ステップS44)。また、ゲートウェイユニット14は、送信されたカードIDを認証した場合には、このカードIDと、当該ゲートウェイユニット14を一意に特定する機器IDであるリーダIDとを退室情報として、コントロールユニット12に送信する。そして、コントロールユニット12が、この退室情報を連携制御装置30に通知する(ステップS45)。
When the transmitted card ID is authenticated, the
連携制御装置30は、ゲートウェイユニット14から、通知された退室情報を用いて、図示しない記憶部に格納されている、図2を用いて説明したような、カードIDと、リーダIDと関連付けたテーブル、カードIDと、情報系ネットワーク20における認証処理用にあらかじめ登録されているユーザIDとを関連付けたテーブルとを用いて、リーダID、カードID、ユーザIDとの整合をとる。つまり、連携制御装置30は、図2(a)に示すテーブルを用いて、退室情報として送信されたリーダIDと、カードIDとが認められた正しい組み合わせであるかを検証し、正しい組み合わせであるとされた場合には、図2(b)に示すテーブルを用いて、カードIDに対応するユーザIDを取得する(ステップS46)。
The
さらに、連携制御装置30は、取得したユーザIDを添付した、情報系ネットワーク20のACLサーバ24に登録されているユーザのアカウントを無効化させる無効情報を、スイッチングハブ21を介してACLサーバ24に送信する(ステップS47)。
Further, the
これにより、高度セキュリティレベル領域から退室したユーザの情報系ネットワーク20におけるアカウントが無効となり、当該ユーザは、情報系ネットワーク20へのアクセス権限を消失したことになるため、ユーザ退室後の情報漏洩を防止することができる。
As a result, the account in the
{第2の連携処理動作}
次に、高度セキュリティレベル領域に一旦入室し、クライアントPC22から情報系ネットワーク20へログオンした状態のまま、低度セキュリティレベル領域へと退室しようとする行為を防止する第2の連携処理動作について、上述した第1の連携処理動作をふまえながら説明をする。
{Second cooperative processing operation}
Next, the second cooperative processing operation for preventing the act of once entering the high security level area and leaving the
このように、情報系ネットワーク20へログオンした状態のまま、高度セキュリティレベル領域から低度セキュリティレベルへ退室してしまうと、例えば、不正に高度セキュリティレベルに入室した第三者、又は入室を許可された他の正規ユーザによる情報系ネットワーク20への不正なアクセスを容易に許してしまうことになる。
As described above, if the user leaves the high security level area while the user is logged on to the
そこで、ACLサーバ24が備えていたログサーバの機能を、連携制御装置30に与え、図4に示すようなタイミングチャートにて動作させることで、このような行為を防止することができる。
Therefore, by providing the function of the log server provided in the
(高度セキュリティレベル領域への入室処理)
第2の連携処理動作における低度セキュリティレベル領域から高度セキュリティレベル領域への入室動作は、図3を用いて説明したステップS1〜ステップS7までの動作と全く同様であるため、同一ステップ番号を付して説明を省略する。
(Entry processing to the advanced security level area)
The entry operation from the low security level area to the high security level area in the second cooperative processing operation is exactly the same as the operation from step S1 to step S7 described with reference to FIG. Therefore, the description is omitted.
(ログオン処理)
高度セキュリティレベル領域へ入室したユーザは、まずクライアントPC22を起動させる(ステップS51)。そして、クライアントPC22を起動させた後、カードリーダ23に、ICカードをセットして、クライアントPC22にログオン要求をする。カードリーダ23は、セットされたICカードからカードIDを読み出しPC22へと送信する(ステップS52)。
(Logon process)
The user who enters the advanced security level area first activates the client PC 22 (step S51). Then, after the
クライアントPC22は、カードリーダ23から読み出されたカードIDを用いて、ACLサーバ24にログオン許可要求をする(ステップS53)。
The
ACLサーバ24は、送信されたカードIDを認証し、認証された場合にクライアントPC22からのログオン許可をする(ステップS54)。これに応じて、クライアントPC22は、どのユーザが、いつ、どのクライアントPC22からログオンしたのかを記録するために、ユーザIDを含むログオン情報のログを連携制御装置30のログサーバに送信する(ステップS55)。クライアントPC22は、例えば、表示画面上に、ログオンが許可されたことを通知するメッセージを表示させユーザに対してログオンが許可されたことを通知する(ステップS56)。
The
連携制御装置30は、ログサーバにログオン情報が送信されたことに応じて、図示しない記憶部に格納されている図2(b)に示すようなユーザIDと、カードIDとを対応づけるテーブルから、送信されたログオン情報に含まれるユーザIDと対応するカードIDを検索する(ステップS57)。
In response to the log-on information being transmitted to the log server, the
連携制御装置30は、検索されたカードIDが無効となるように、カードIDを含んだ無効情報を、コントロールユニット12に送信する。そして、コントロールユニット12が、この無効情報をゲートウェイユニット14に送信する。これに応じて、ゲートウェイユニット14は、送信された無効情報に含まれるカードIDを無効とする(ステップS58)。
The
このようにして、高度セキュリティレベル領域へ入室したユーザは、クライアントPC22を介して情報系ネットワーク20へアクセスすることができる。このとき、連携制御装置30によって、設備系ネットワーク10と、情報系ネットワーク20とが連携されることで、例えば、高度セキュリティレベル領域へ正当に入室しようとしたユーザによって電気錠17が解錠されたドア(扉)から、隙をみて不正に侵入した第三者、又は入室を許可された他の正規ユーザがPC22へアクセスしたとしても、アクセス権限がないため不正なアクセスを防止することができる。
In this way, a user who has entered the high security level area can access the
したがって、設備系ネットワーク10と、情報系ネットワーク20とを、それぞれ互いに閉じた系として、独自に管理可能としながらも、連携制御装置30による連携によって非常に高いセキュリティを確保することができる。
Therefore, the
さらに、クライアントPC22から、情報系ネットワーク20へログオンしている状態のときに、連携制御装置30によってゲートウェイユニット14での認証処理が行えないように、ログオンしているユーザが所有するICカードのカードIDを無効化する。これにより、ログオンしたままの状態での高度セキュリティレベル領域から低度セキュリティレベル領域への退室ができなくなる。
Further, when the
したがって、ログオフ忘れによって生じる可能性の高い、ログオンされたクライアントPC22からの情報系ネットワーク20への不正なアクセスを排除することができる。
Accordingly, it is possible to eliminate unauthorized access to the
(ログオフ処理)
高度セキュリティレベル領域から退室する場合、ユーザは、まずクライアントPC22からのログオンをログオフすることになる。
(Logoff processing)
When the user leaves the high security level area, the user first logs off the logon from the
ユーザは、クライアントPC22に対して終了要求をする(ステップS61)。終了要求を受けたクライアントPC22は、どのユーザが、いつ、どのクライアントPC22からログオフしたのか記録するために、ユーザIDを含むログオフ情報を連携制御装置30のログサーバに送信する(ステップS62)。これにより、クライアントPC22は、情報系ネットワーク20からログオフされ、シャットダウンする(ステップS63)。
The user makes a termination request to the client PC 22 (step S61). The
連携制御装置30は、ログサーバにログオフ情報が送信されたことに応じて、図示しない記憶部に格納されている図2(b)に示すようなユーザIDと、カードIDとを対応づけるテーブルから、送信されたログオフ情報に含まれるユーザIDと対応するカードIDを検索する(ステップS64)。
In response to the log-off information being transmitted to the log server, the
連携制御装置30は、検索されたカードIDが有効となるように、カードIDを含んだ有効情報を、コントロールユニット12に送信する。そして、コントロールユニット12が、この有効情報をゲートウェイユニット14に送信する。これに応じて、ゲートウェイユニット14は、送信された有効情報に含まれるカードIDを有効とする (ステップS65)。
The
(高度セキュリティレベル領域からの退室処理)
第2の連携処理動作における高度セキュリティレベル領域から低度セキュリティレベル領域への退出動作は、図3を用いて説明した第1の連携処理動作におけるステップS41〜ステップS47までの動作と全く同様であるため、同一ステップ番号を付して説明を省略する。
(Exiting from the high security level area)
The exit operation from the high security level region to the low security level region in the second cooperative processing operation is exactly the same as the operation from step S41 to step S47 in the first cooperative processing operation described with reference to FIG. Therefore, the same step number is attached and explanation is omitted.
このようにして、第2の連携処理動作では、 高度セキュリティレベル領域において、情報系ネットワーク20へ、一旦ログオンされた場合には、ICカードの認証処理をするゲートウェイユニット14においてICカードのカードIDが無効となるような処理を行う。これにより、ログオフ忘れによる高度セキュリティレベル領域からの退室によって生じる可能性の高い、ログオンされたままのクライアントPC22を不正利用することによる情報系ネットワーク20への不正なアクセスを排除することができる。
In this way, in the second cooperative processing operation, in the high security level area, once logged on to the
{第3の連携処理動作}
次に、高度セキュリティレベル領域の中でも特に、ユーザの長時間の滞在を好まない領域、例えば、サーバ室などにおいて、滞在時間の制限付きで入室を許可する第3の連携処理動作について、上述した第1の連携処理動作をふまえながら説明をする。
{Third linkage processing operation}
Next, in the high security level area, in particular, in the area where the user does not like staying for a long time, for example, in the server room, etc., the third cooperative processing operation that permits entry with a stay time restriction is described above. The description will be given based on the cooperative processing operation of 1.
サーバ室は、サーバ内に格納されたあらゆる情報へのアクセスが可能となってしまうため、例えば、保守や、定期的な点検、サーバダウン時などの緊急時などであっても、サーバ室内にて処理時間を制限して、目的以外の行為が実行されてしまうことを抑制する必要がある。 The server room can access all the information stored in the server. For example, even in emergency such as maintenance, periodic inspection, server down, etc. It is necessary to limit the processing time and prevent an act other than the purpose from being executed.
そこで、ユーザが高度セキュリティレベル領域へ入室してからの在室時間を、連携制御装置30にて管理して、図5に示すタイミングチャートにて動作させることで、このような行為を抑制することができる。
Therefore, the occupancy time after the user enters the advanced security level area is managed by the
(高度セキュリティレベル領域への入室処理)
高度セキュリティレベル領域への入室処理は、設備系ネットワーク10による管理によって実行される。まず、ユーザは、所有するICカードを、入室用カードリーダ15からの電波を受信可能な位置まで運び、半導体メモリ内に格納されているカードIDを読み取らせる(ステップS71)。
(Entry processing to the advanced security level area)
The entrance processing to the high security level area is executed by management by the
入室用カードリーダ15は、ICカードからカードIDを読み取り、ゲートウェイユニット14へ送信する(ステップS72)。
The
ゲートウェイユニット14は、送信されたカードIDと、あらかじめ登録されているカードIDとを照合して設備系ネットワーク10における認証処理を行う。ゲートウェイユニット14は、送信されたカードIDと、登録されているカードIDとが一致した場合、このカードIDを認証し、施錠されている電気錠17を解錠することで入室を許可する(ステップS73)。
The
一方、カードIDが一致させず、認証されなかった場合には、ゲートウェイユニット14は、低度セキュリティレベル領域側に設けられている、例えば、図示しない警報装置や、液晶ディスプレイなどを介して、認証されなかった旨を示すエラー通知を出力させるように制御する。
On the other hand, if the card IDs do not match and are not authenticated, the
ゲートウェイユニット14は、送信されたカードIDを認証した場合には、ユーザが低度セキュリティレベル領域から高度セキュリティレベル領域へと入室したことを示すログを、当該ゲートウェイユニット14内に記録する(ステップS74)。また、ゲートウェイユニット14は、送信されたカードIDを認証した場合には、このカードIDと、当該ゲートウェイユニット14を一意に特定する機器IDであるリーダIDとを入室情報として、コントロールユニット12に送信する。そして、コントロールユニット12が、この入室情報を連携制御装置30に通知する(ステップS75)。
When the transmitted card ID is authenticated, the
連携制御装置30は、入室情報を受け取ったことに応じて、ユーザが高度セキュリティレベル領域へと入室したと判断し、ユーザの高度セキュリティレベル領域の在室時間を制限するために、例えば、在室時間を測定するタイマーなどを作動させ計時をすることで在室時間の管理をスタートさせる。(ステップS76)。
In response to receiving the room entry information, the
連携制御装置30による在室時間の管理は、例えば、上述したように高度セキュリティレベル領域に入室してからタイマーで測定される時間が、あらかじめ連携制御装置30に設定された在室可能時間となった場合に、情報系ネットワーク20へその旨が通知されることで行われる。在室可能時間は、例えば、カードIDを登録する際に、カードID毎に関連付けて連携制御装置30に設定される。連携制御装置30は、入室情報を取得した際に、入室情報を構成するカードIDを参照して、関連付けられて設定されている在室可能時間を読み出す。
In the management of the occupancy time by the
このように、カードID毎に在室可能時間を、連携制御装置30に設定しておくと、カードID毎、つまりは、高度セキュリティレベル領域に入室するユーザ毎に在室可能時間を設定することができる。
As described above, when the available time for each card ID is set in the
連携制御装置30に設定する在室可能時間は、これに限定されるものではなく、例えば、一律に二時間としたり、入室時間帯に応じて変化させたり、高度セキュリティレベル領域内に構築される情報系ネットワークの20で求められる要求によって臨機応変に決定する。
The occupancy time set in the
連携制御装置30は、ゲートウェイユニット14から、通知された入室情報を用いて、図示しない記憶部に格納されている、図2を用いて説明したような、カードIDと、リーダIDと関連付けたテーブル、カードIDと、情報系ネットワーク20における認証処理用にあらかじめ登録されているユーザIDとを関連付けたテーブルとを用いて、リーダID、カードID、ユーザIDとの整合をとる。つまり、連携制御装置30は、図2(a)に示すテーブルを用いて、入室情報として送信されたリーダIDと、カードIDとが認められた正しい組み合わせであるかを検証し、正しい組み合わせであるとされた場合には、図2(b)に示すテーブルを用いて、カードIDに対応するユーザIDを取得する(ステップS77)。
The
さらに、連携制御装置30は、取得したユーザIDを添付した、情報系ネットワーク20のACLサーバ24に登録されているユーザのアカウントを有効化させる有効情報を、スイッチングハブ21を介してACLサーバ24に送信する(ステップS78)。
Further, the
これにより、高度セキュリティレベル領域へ入室したユーザの情報系ネットワーク20におけるアカウントが有効となり、当該ユーザは、情報系ネットワーク20へのアクセス権限を獲得したことになる。
As a result, the account in the
(ログオン処理)
第3の連携処理動作における高度セキュリティレベル領域での情報系ネットワーク20へのログオン処理動作は、図3を用いて説明したステップS11〜ステップS16までの動作と全く同様であるため、同一ステップ番号を付して説明を省略する。
(Logon process)
The logon processing operation to the
(ログオフ処理)
第3の連携処理動作のログオフ処理は、連携制御装置30に設定された滞在時間を超えない場合には、図3を用いて説明した第1の連携処理動作におけるステップS21〜ステップS23までの動作と全く同様となるため説明を省略する。
(Logoff processing)
When the log-off process of the third cooperative processing operation does not exceed the stay time set in the
一方、連携制御装置30は、ユーザの高度セキュリティレベル領域への入室後、タイマーによって入室開始時間から測定されている測定時間と、設定された滞在可能時間とを、例えば、所定の時間間隔毎に比較し、測定時間が滞在可能時間を超えたかどうかを監視している(ステップS81)。
On the other hand, after entering the high security level area of the user, the
連携制御装置30は、設定された滞在時間となった場合に、クライアントPC22に警告メッセージを通知する(ステップS82)。この警告メッセージに従う場合、ユーザは、クライアントPC22からのログオンをログオフすることになる。連携制御装置30は、クライアントPC22に警告メッセージを通知したことに応じて、タイマーなどにより計時を開始する。
The
具体的に、ユーザは、クライアントPC22に対して終了要求をする(ステップS83)。終了要求を受けたクライアントPC22は、どのユーザが、いつ、どのクライアントPC22からログオフしたのか記録するために、ユーザIDを含むログオフ情報をACLサーバ24のログサーバに送信する(ステップS84)。これにより、クライアントPC22は、情報系ネットワーク20からログオフされ、シャットダウンする(ステップS85)。
Specifically, the user makes an end request to the client PC 22 (step S83). The
一方、連携制御装置30からの警告メッセージに、所定の時間を経過しても従わないと、つまり、警告メッセージを通知後に開始された計時が所定の時間を超過たのにも関わらず、情報系ネットワーク20からログオフしていない場合、連携制御装置30は、高度セキュリティレベル領域への入室が認証されたカードIDが無効となるように、カードIDを含んだ無効情報を、コントロールユニット12に送信する。そして、コントロールユニット12が、この無効情報をゲートウェイユニット14に送信する。これに応じて、ゲートウェイユニット14は、送信された無効情報に含まれるカードIDを無効とする(ステップS86)。
On the other hand, the warning message from the
さらに、連携制御装置30は、このカードIDに対応するユーザIDを添付した、情報系ネットワーク20のACLサーバ24に登録されているユーザのアカウントを無効化させる無効情報を、スイッチングハブ21を介してACLサーバ24に送信する(ステップS87)。そして、連携制御装置30は、クライアントPC22に強制終了命令を送信し、強制終了させる(ステップS88)。
Furthermore, the
これにより、警告メッセージに従わなかった場合でも、情報系ネットワーク20へのアクセスを強制的に排除することができる。
Thereby, even when the warning message is not followed, access to the information-related
(高度セキュリティレベル領域からの退室処理)
第3の連携処理動作における高度セキュリティレベル領域から低度セキュリティレベル領域への退出動作は、図3を用いて説明した第1の連携処理動作におけるステップS41〜ステップS47までの動作と全く同様であるため、同一ステップ番号を付して説明を省略する。
(Exiting from the high security level area)
The exit operation from the high security level region to the low security level region in the third cooperative processing operation is exactly the same as the operation from step S41 to step S47 in the first cooperative processing operation described with reference to FIG. Therefore, the same step number is attached and explanation is omitted.
このようにして、第3の連携処理動作では、連携制御装置30によって高度セキュリティレベル領域に入室したユーザの滞在時間を管理することができるため、高度セキュリティレベル領域の中でも、特に厳重なセキュリティを要する情報系ネットワーク20へのアクセスを時間管理できるため、情報漏洩を抑制することができる。
In this way, in the third cooperative processing operation, the staying time of the user who has entered the high security level area can be managed by the
上述した、第3の連携処理動作は、ユーザの高度セキュリティレベル領域内での滞在時間の管理を連携制御装置30にて実行するようにしていたが、設備系ネットワーク10を大規模とする場合には、管理用PC18の代わりに用いられるセンタ装置19を使って、図6に示すタイミングチャートのように実行させるようにしてもよい。図6に示すタイミングチャートは、図5を用いて説明したタイミングチャートとほぼ同一であるため、“高度セキュリティレベル領域への入室処理”と、“ログオフ処理”の異なるステップのみについて説明し、それ以外のステップは、同一ステップ番号を付し説明を省略する。
In the above-described third cooperative processing operation, the staying time management in the high security level area of the user is executed by the
高度セキュリティレベル領域への入室処理において、ゲートウェイユニット14は、カードIDを認証した場合には、このカードIDと、当該ゲートウェイユニット14を一意に特定する機器IDであるリーダIDとを入室情報として、コントロールユニット12に送信する(ステップS75a)。
In the entry process to the advanced security level area, when the
そして、コントロールユニット12が、入室情報をセンタ装置19と、連携制御装置30とに通知する(ステップS75b)。
Then, the
そして、センタ装置19は、入室情報を受け取ったことに応じて、ユーザが高度セキュリティレベル領域へと入室したと判断し、ユーザの高度セキュリティレベル領域の在室時間を制限するために、例えば、在室時間を測定するタイマーなどを作動させ在室時間の管理をスタートさせる(ステップS76)。
Then, the
センタ装置19による在室時間の管理は、連携制御装置30と同様に、例えば、上述したように高度セキュリティレベル領域に入室してからタイマーで測定される時間が、あらかじめセンタ装置19に設定された在室可能時間となった場合に、情報系ネットワーク20へその旨が通知されることで行われる。在室可能時間は、例えば、カードIDを登録する際に、カードID毎に関連付けて連携制御装置30に設定される。センタ装置19は、入室情報を取得した際に、入室情報を構成するカードIDを参照して、関連付けられて設定されている在室可能時間を読み出す。
In the management of the occupancy time by the
このように、カードID毎に在室可能時間を、センタ装置19に設定しておくと、カードID毎、つまりは、高度セキュリティレベル領域に入室するユーザ毎に在室可能時間を設定することができる。
As described above, if the available time for each card ID is set in the
センタ装置19に設定する在室可能時間は、これに限定されるものではなく、例えば、一律に二時間としたり、入室時間帯に応じて変化させたり、高度セキュリティレベル領域内に構築される情報系ネットワークの20で求められる要求によって臨機応変に決定する。
The occupancy time set in the
クライアントPC22による情報系ネットワーク20からのログオフ処理において、センタ装置19は、ユーザの高度セキュリティレベル領域への入室後、タイマーによって入室開始時間から測定されている測定時間と、設定された滞在可能時間とを、例えば、所定の時間間隔毎に比較し、測定時間が滞在可能時間を超えたかどうかを監視している(ステップS81a)。
In the log-off processing from the
センタ装置19は、測定時間が、設定された滞在可能時間を超えた場合、滞在可能時間をオーバーして情報系ネットワークへアクセスしているユーザがいるという、異常事態であることを、連携制御装置30に通知する(ステップS81b)
このようにして、第3の連携処理動作では、センタ装置19によって高度セキュリティレベル領域に入室したユーザの滞在時間を管理することができるため、高度セキュリティレベル領域の中でも、特に厳重なセキュリティを要する情報系ネットワーク20へのアクセスを時間管理できるため、情報漏洩を抑制することができる。
When the measurement time exceeds the set stayable time, the
In this way, in the third cooperative processing operation, the staying time of the user who has entered the high security level area can be managed by the
[第2の実施の形態]
続いて、図7を用いて、本発明の第2の実施の形態として示す情報漏洩防止システムについて説明をする。図7に示すように、第2の実施の形態として示す情報漏洩防止システムは、上述した第1の実施の形態として示した情報漏洩防止システム、設備系ネットワーク10において、ユーザが、高度セキュリティレベル領域から低度セキュリティレベル領域に退出する際の認証処理を実行するために、ユーザが所有するICカードに格納された被認証情報であるカードIDを読み取るための退室用カードリーダ16を備えていない構成となっている。
[Second Embodiment]
Next, the information leakage prevention system shown as the second embodiment of the present invention will be described with reference to FIG. As shown in FIG. 7, the information leakage prevention system shown as the second embodiment is the same as the information leakage prevention system and
このように、第2の実施の形態として示す情報漏洩防止システムは、設備系ネットワーク10において、退室用カードリーダ16を備えていない以外は、情報系ネットワーク20の構成も、第1の実施の形態として示す情報漏洩防止システムと変わらない。したがって、図7に示すように、第2の実施の形態として示す情報漏洩防止システムを構成する各機能部には、図1で示した第1の実施の形態として示す情報漏洩防止システムと同一の符号を付して説明を省略する。
As described above, the information leakage prevention system shown as the second embodiment has the same configuration as the
{第4の連携処理動作}
第2の実施の形態として図7に示す情報漏洩防止システムでは、連携制御装置30によって、図8に示すタイミングチャートのような第4の連携処理動作を実行する。第4の連携処理動作では、設備系ネットワーク10が退室用カードリーダ16を備えていないことに応じて、ユーザの高度セキュリティレベル領域からの退室時におけるACLサーバ24のアカウントの無効処理を時間に基づいて実行するようにしている。
{Fourth cooperative processing operation}
In the information leakage prevention system shown in FIG. 7 as the second embodiment, the
(高度セキュリティレベル領域への入室処理)
第4の連携処理動作における低度セキュリティレベル領域から高度セキュリティレベル領域への入室動作は、図3を用いて説明したステップS1〜ステップS7までの動作と全く同様であるため、同一ステップ番号を付して説明を省略する。
(Entry processing to the advanced security level area)
The entry operation from the low security level area to the high security level area in the fourth linkage processing operation is exactly the same as the operation from step S1 to step S7 described with reference to FIG. Therefore, the description is omitted.
(ログオン処理)
第4の連携処理動作における高度セキュリティレベル領域での情報系ネットワーク20へのログオン処理動作は、図3を用いて説明したステップS11〜ステップS16までの動作と全く同様であるため、同一ステップ番号を付して説明を省略する。
(Logon process)
The logon processing operation to the
(ログオフ処理)
第4の連携処理動作における高度セキュリティレベル領域での情報系ネットワーク20からのログオフ処理動作は、図3を用いて説明したステップS21〜ステップS23までの動作と全く同様であるため、同一ステップ番号を付して説明を省略する。
(Logoff processing)
The logoff processing operation from the
(高度セキュリティレベル領域からの退室処理)
図7に第2の実施の形態として示す情報漏洩防止システムは、上述したように退室用カードリーダ16を備えていないため退室時において、ゲートウェイユニット14による認証処理が実行されない。つまり、例え、ユーザがクライアントPC22からログオフした状態で、高度セキュリティレベル領域から退室したとしても、情報系ネットワーク20のアカウントは有効のままである。そのため、不正に高度セキュリティレベル領域へ侵入した第三者、又は、入室を許可された他の正規ユーザによって、情報系ネットワーク20へ不正にアクセスされる危険性が高い状態となっている。
(Exiting from the high security level area)
Since the information leakage prevention system shown as the second embodiment in FIG. 7 does not include the leaving
そこで、第4の連携動作処理では、連携制御装置30が、ステップS91において、所定の決められた時間になると、ACLサーバ24に対して有効となっているアカウントを無効とする無効情報を送信する。ステップS91において、連携制御装置30が、無効情報をACLサーバ24に送信するタイミングとなる“所定の決められた時間”は、当該情報漏洩防止システムが構築される環境などに応じて、様々な想定をすることができるが、例えば、以下に示すような2つを想定することができる。
Therefore, in the fourth cooperative operation process, the
一つ目の“所定の決められた時間”とは、情報系ネットワーク20の管理者などによって決められた時刻である。例えば、深夜0時に全てのアカウントを無効にするというように決めることで、連携制御装置30は、時刻に応じて自動的にアカウントを無効とする無効情報をACLサーバ24に送信する。
The first “predetermined predetermined time” is a time determined by an administrator of the
二つ目の“所定の決められた時間”とは、情報系ネットワーク20を使用するユーザがいないと判断された時間である。例えば、警報モードと呼ばれる、当該情報漏洩防止システムが設置された会社などにおいて、退社する際に作動させる防犯システムなどと連動させ、全ての人が退社するので防犯システムを作動させたこと、つまり防犯システムを機能させた時間に応じて、連携制御装置30は、アカウントを無効とする無効情報をACLサーバ24に送信する。
The second “predetermined predetermined time” is a time when it is determined that there is no user using the
連携制御装置30に、図4で示したようにログサーバ機能を与えた場合には、クライアントPC22がログオフしてから所定の時間経過した後に連携制御装置30からアカウントを無効とする無効情報をACLサーバ24に送信することができる。このとき、連携制御装置30は、ログサーバにクライアントPC22からログオフ情報を受け取ったことに応じて、無効信号を生成してACLサーバ24に送信するまで所定の時間の計測を開始することになる。
When the log server function is given to the
第2の実施の形態として図7に示す情報漏洩防止システムでは、連携制御装置30によって、図8に示すタイミングチャートのような第4の連携処理動作を実行する。第4の連携処理動作では、設備系ネットワーク10が退室用カードリーダ16を備えていないことに応じて、ユーザの高度セキュリティレベル領域からの退室時におけるACLサーバ24のアカウントの無効処理を時間に基づいて実行するようにしている。
In the information leakage prevention system shown in FIG. 7 as the second embodiment, the
また、第4の連携処理動作は、図9に示すタイミングチャートのように、ACLサーバ24に 無効化機能を与えることにより、ACLサーバ24自身が、クライアントPC22を介して情報系ネットワーク20からログオフしたユーザのアカウントを無効とすることもできる。
Further, in the fourth cooperative processing operation, as shown in the timing chart of FIG. 9, the
図9に示すタイミングチャートは、ステップS1〜ステップS7、ステップS11〜ステップS16、ステップS21〜ステップS23までの動作は、図8に示したタイミングチャートと全く同じであるため、同一ステップ番号を付して説明を省略する。 The timing chart shown in FIG. 9 is the same as the timing chart shown in FIG. 8 because the operations from step S1 to step S7, step S11 to step S16, and step S21 to step S23 are the same as those shown in FIG. The description is omitted.
ユーザによるクライアントPC22を介してユーザが、情報系ネットワーク20からログオフ、ログオフ情報を受信したことに応じて、ACLサーバ24は、無効化機能が動作して、ログオフしたユーザのアカウントを無効化する(ステップS101)。
In response to the user receiving logoff / logoff information from the
ACLサーバ24が無効化機能を備えている場合、上述したように、クライアントPC22からのログオフ情報を受信したことに応じて、アカウントを無効化させるようにしているが、ログオフしたことによらず、所定の時間が経過した後にアカウントを無効化させるようにしてもよい。
When the
例えば、情報漏洩防止システムの運用ルールとして、社員規則、法令などによって最終労働時刻(例えば、PM10時)が決められている場合など、これを遵守するように、最終労働時刻になったらACLサーバ24が無効化機能により自動的にアカウントを無効化する。このとき、最終労働時刻ちょうどでアカウントを無効化させるのではなく、最終労働時刻を過ぎてから30分後にアカウントを無効化させるようにすることもできる。
For example, when the last working time (for example, 10:00 PM) is determined as an operating rule of the information leakage prevention system according to employee rules, laws, etc., the
また、例えば、情報漏洩防止システムが適用されているのがサーバルームなどのように、情報系ネットワーク20へのアクセス可能時間帯(例えば、AM9時〜PM5時まで)が運用ルールで決められているような場合などには、このアクセス可能時間帯以外の時刻では、ACLサーバ24の無効化機能によってアカウントが無効化される。
In addition, for example, an access rule for the
このように、設備系ネットワーク10において、退室用カードリーダ16を備えず高度セキュリティレベル領域から低度セキュリティレベル領域への退室に認証処理を必要としない場合であっても、連携制御装置30、ACLサーバ24によって設備系ネットワーク10と、情報系ネットワーク20との連携が図られ、高度セキュリティレベル領域からの退室後にアカウントを無効化する。
As described above, in the
これにより、高度セキュリティレベル領域から退室したユーザの情報系ネットワーク20におけるアカウントが無効となり、当該ユーザは、情報系ネットワーク20へのアクセス権限を消失したことになるため、ユーザ退室後の情報漏洩を防止することができる。
As a result, the account in the
なお、本発明の第1の実施の形態、第2の実施の形態において、ユーザは、自身が所有するICカードに格納されたカードIDを被認証情報として用い、設備系ネットワーク10の認証処理を行っているが、本発明はこれに限定されるものではなく、設備系ネットワーク10においてユーザが一意に特定されればよいので、例えば、被認証情報として指紋情報、虹彩情報といった生体情報を用い、生体認証処理を実行することで設備系ネットワーク10における認証処理を行ってもよい。
In the first embodiment and the second embodiment of the present invention, the user uses the card ID stored in the IC card owned by the user as authentication target information, and performs the authentication processing of the
また、クライアントPC22から、情報系ネットワーク20へログオンする際にも、この生体情報を用いた生体認証処理を実行するようにしてもよい。
Further, when logging on to the
なお、上述の実施の形態は本発明の一例である。このため、本発明は、上述の実施形態に限定されることはなく、この実施の形態以外であっても、本発明に係る技術的思想を逸脱しない範囲であれば、設計等に応じて種々の変更が可能であることは勿論である。 The above-described embodiment is an example of the present invention. For this reason, the present invention is not limited to the above-described embodiment, and various modifications can be made depending on the design and the like as long as the technical idea according to the present invention is not deviated from this embodiment. Of course, it is possible to change.
10 設備系ネットワーク
12 コントロールユニット
14 ゲートウェイユニット
15 入室用カードリーダ
16 退室用カードリーダ
17 電気錠
20 情報系ネットワーク
22 クライアントPC(Personal Computer)
24 ACL(Access Control List)サーバ
30 連携制御装置
10 Equipment network
12
24 ACL (Access Control List)
Claims (13)
上記設備系ネットワークにおいて、上記低度セキュリティレベル領域から上記高度セキュリティレベル領域への入室時に、上記第1の被認証情報を読み取る入室用読み取り機器の入室用機器ID(IDentification)及び上記第1の被認証情報と、上記第2の被認証情報とを対応づけて格納する記憶手段と、
上記設備系ネットワークから送信される上記第1の被認証情報及び上記入室用機器IDとから、対応する上記第2の被認証情報を上記記憶手段から取得する情報取得手段と、
上記低度セキュリティレベル領域から、上記高度セキュリティレベル領域への入室時において、上記情報取得手段によって取得された上記第2の被認証情報を含み、上記情報系ネットワークにおいて管理される上記ユーザの上記情報系ネットワークへのアクセス権限であるアカウントを有効化させる有効情報を、上記アカウントを管理する上記情報系ネットワークに設けられたアカウント管理手段に送信するよう制御する制御手段とを備えること
を特徴とする連携制御装置。 A facility network that manages entry from the low security level area to the high security level area according to the authentication processing result based on the first authenticated information that uniquely identifies the user, and the high security level area. And a cooperative control device that cooperates with an information network that restricts access to the information network of the user according to an authentication processing result based on second authenticated information that uniquely identifies the user. Because
In the facility network, when entering from the low security level area to the high security level area, the entry device ID (IDentification) of the entry reading device that reads the first authentication information and the first identification target. Storage means for storing authentication information and the second authenticated information in association with each other;
Information acquisition means for acquiring the corresponding second authenticated information from the storage means from the first authenticated information and the entry device ID transmitted from the facility network;
The information of the user managed in the information system network including the second authenticated information acquired by the information acquisition means when entering the high security level area from the low security level area And a control means for controlling to transmit valid information for validating an account, which is an access right to the system network, to an account management means provided in the information system network for managing the account. Control device.
上記情報取得手段は、上記設備系ネットワークから送信される上記第1の被認証情報及び上記退室用機器IDとから、対応する上記第2の被認証情報を上記記憶手段から取得し、
上記ユーザの上記高度セキュリティレベル領域から、上記低度セキュリティレベル領域への退室時において、上記制御手段は、上記情報取得手段によって取得された上記第2の被認証情報を含み、上記アカウントを無効化させる無効情報を、上記アカウント管理手段に送信するよう制御すること
を特徴とする請求項1記載の連携制御装置。 The storage means includes an exit device ID of the exit reading device that reads the first authenticated information and the first device when the exit from the high security level region to the low security level region in the facility network. And the second authenticated information are stored in association with each other,
The information acquisition means acquires the corresponding second authenticated information from the storage means from the first authenticated information and the leaving device ID transmitted from the facility network,
When the user leaves the high security level area to the low security level area, the control means includes the second authenticated information acquired by the information acquisition means and invalidates the account. The linkage control device according to claim 1, wherein the invalidation information to be transmitted is controlled to be transmitted to the account management means.
上記制御手段は、あらかじめ決められた時間となったことに応じて、上記アカウント管理手段が管理する全てのユーザのアカウントを無効化させる無効情報を、上記アカウント管理手段に送信するよう制御すること
を特徴とする請求項1記載の連携制御装置。 When leaving the user from the high security level area to the low security level area,
The control means controls to transmit invalid information for invalidating all user accounts managed by the account management means to the account management means in response to a predetermined time. The cooperation control apparatus according to claim 1, wherein
上記制御手段は、上記情報系ネットワークにおいて、当該情報系ネットワークに接続され、上記ユーザがログオンしている情報端末装置から、ログオフしたことを通知するログオフ情報を受信したことに応じて、上記アカウントを無効化する無効情報を、上記アカウント管理手段に送信するよう制御すること
を特徴とする請求項1記載の連携制御装置。 When leaving the user from the high security level area to the low security level area,
In response to receiving logoff information notifying that the user has logged off from the information terminal device connected to the information system network and logged on by the user, the control means is configured to change the account in the information system network. The cooperation control device according to claim 1, wherein the invalidation information to be invalidated is controlled to be transmitted to the account management means.
上記ログオン情報に含まれる上記第2の被認証情報から、対応する上記第1の被認証情報を上記記憶手段から検索し、検索された上記第1の被認証情報を無効化する無効情報を、上記設備系ネットワークに送信し、上記設備系ネットワークにおける上記第1の被認証処理情報による認証処理を停止するよう制御し、
上記制御手段は、上記情報系ネットワークに接続された情報端末装置から、上記情報系ネットワークからログオフしたことを通知するログオフ情報を受信したことに応じて、
上記ログオフ情報に含まれる上記第2の被認証情報から、対応する上記第1の被認証情報を上記記憶手段から検索し、検索された上記第1の被認証情報を有効化する有効情報を、上記設備系ネットワークに送信し、上記設備系ネットワークにおける上記第1の被認証処理情報による認証処理を再び実行するよう制御すること
を特徴とする請求項2記載の連携制御装置。 In response to receiving log-on information notifying that the user has logged on to the information system network from the information terminal device connected to the information system network, the control means,
From the second authenticated information included in the logon information, the corresponding first authenticated information is retrieved from the storage means, and invalid information for invalidating the retrieved first authenticated information is obtained. Transmit to the equipment network, and control to stop the authentication process by the first authenticated process information in the equipment network,
The control means, in response to receiving logoff information notifying that the information system network has been logged off from an information terminal device connected to the information system network,
From the second authenticated information included in the logoff information, the corresponding first authenticated information is retrieved from the storage unit, and valid information for validating the retrieved first authenticated information is obtained. The cooperation control device according to claim 2, wherein the cooperative control apparatus transmits to the facility network and performs control so as to execute again the authentication process using the first authenticated process information in the facility network.
上記情報系ネットワークに接続され、上記情報系ネットワークにログオンしている情報端末装置に対して、上記滞在可能時間を超過している旨を通知すること
を特徴とする請求項1記載の連携制御装置。 In response to receiving the entry information transmitted from the facility network and informing that the user has entered the high security level area, the control means starts counting time, and the time measured is In response to exceeding the time allowed for staying in the above-mentioned advanced security level area,
The cooperation control apparatus according to claim 1, wherein the information terminal apparatus connected to the information system network and logging on to the information system network is notified that the stayable time has been exceeded. .
上記情報系ネットワークに接続され、上記情報系ネットワークにログオンしている情報端末装置に対して、上記滞在時間を超過している旨を通知すること
を特徴とする請求項1記載の連携制御装置。 In response to receiving a notification from the center device that controls the facility network that the user's stayable time has been exceeded in the predetermined high security level area,
The cooperation control device according to claim 1, wherein the information terminal device connected to the information system network and logged on to the information system network is notified that the stay time has been exceeded.
を特徴とする請求項6又は請求項7記載の連携制御装置。 The control means starts timing in response to notifying the information terminal device that the stayable time has been exceeded, and the information terminal device indicates that the measured time has passed a predetermined time, The control device transmits the invalid information for invalidating the first authenticated information to the facility network in response to being logged on to the information network. 7. The cooperative control device according to 7.
を特徴とする請求項6又は請求項7記載の連携制御装置。 The control means starts timing in response to notifying the information terminal device that the stayable time has been exceeded, and the information terminal device indicates that the measured time has passed a predetermined time, The linkage according to claim 6 or 7, wherein invalid information for invalidating the account is transmitted to the account management means in response to being logged on to the information network. Control device.
を特徴とする請求項6又は請求項7記載の連携制御装置。 Time measurement is started in response to notifying the information terminal device that the stayable time has been exceeded, the time measured has passed a predetermined time, and the information terminal device is connected to the information network. 8. The cooperative control device according to claim 6, wherein control is performed so as to transmit a forced termination command to the information terminal device in response to being logged on to the information terminal device.
を特徴とする請求項1記載の連携制御装置。 The cooperative control apparatus according to claim 1, wherein the first authentication information is a card ID (IDentification) stored in a memory included in an IC (Integrated Circuit) card owned by the user.
を特徴とする請求項1記載の連携制御装置。 The cooperation control apparatus according to claim 1, wherein the first authenticated information is biometric information of a user.
を特徴する請求項1記載の連携制御装置。
The cooperative control apparatus according to claim 1, wherein the second authenticated information is a user ID (IDentification) that uniquely identifies a user in the information network.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005038382A JP4453570B2 (en) | 2005-02-15 | 2005-02-15 | Cooperation control device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005038382A JP4453570B2 (en) | 2005-02-15 | 2005-02-15 | Cooperation control device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006227755A true JP2006227755A (en) | 2006-08-31 |
JP4453570B2 JP4453570B2 (en) | 2010-04-21 |
Family
ID=36989112
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005038382A Expired - Fee Related JP4453570B2 (en) | 2005-02-15 | 2005-02-15 | Cooperation control device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4453570B2 (en) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008077363A (en) * | 2006-09-20 | 2008-04-03 | Matsushita Electric Works Ltd | Cooperation controller |
JP2008107936A (en) * | 2006-10-24 | 2008-05-08 | Mitsubishi Electric Corp | Authentication apparatus, authentication method for authentication apparatus and authentication program for authentication apparatus |
JP2008282064A (en) * | 2007-05-08 | 2008-11-20 | Silex Technology Inc | Ic card information authentication system |
JP2010152810A (en) * | 2008-12-26 | 2010-07-08 | Fujitsu Fsas Inc | Access log-in authentication cooperation system, and cooperation device of access log-in authentication cooperation system |
JP2010198221A (en) * | 2009-02-24 | 2010-09-09 | Panasonic Electric Works Co Ltd | Cooperative control system and cooperative control device |
JP2010281063A (en) * | 2009-06-03 | 2010-12-16 | Denso Wave Inc | System for managing entrance into/exit from room |
JP2011186924A (en) * | 2010-03-10 | 2011-09-22 | Denso Wave Inc | Passage management system |
-
2005
- 2005-02-15 JP JP2005038382A patent/JP4453570B2/en not_active Expired - Fee Related
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008077363A (en) * | 2006-09-20 | 2008-04-03 | Matsushita Electric Works Ltd | Cooperation controller |
JP2008107936A (en) * | 2006-10-24 | 2008-05-08 | Mitsubishi Electric Corp | Authentication apparatus, authentication method for authentication apparatus and authentication program for authentication apparatus |
JP2008282064A (en) * | 2007-05-08 | 2008-11-20 | Silex Technology Inc | Ic card information authentication system |
JP4649578B2 (en) * | 2007-05-08 | 2011-03-09 | サイレックス・テクノロジー株式会社 | IC card information authentication system |
JP2010152810A (en) * | 2008-12-26 | 2010-07-08 | Fujitsu Fsas Inc | Access log-in authentication cooperation system, and cooperation device of access log-in authentication cooperation system |
JP2010198221A (en) * | 2009-02-24 | 2010-09-09 | Panasonic Electric Works Co Ltd | Cooperative control system and cooperative control device |
JP2010281063A (en) * | 2009-06-03 | 2010-12-16 | Denso Wave Inc | System for managing entrance into/exit from room |
JP2011186924A (en) * | 2010-03-10 | 2011-09-22 | Denso Wave Inc | Passage management system |
Also Published As
Publication number | Publication date |
---|---|
JP4453570B2 (en) | 2010-04-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20090216587A1 (en) | Mapping of physical and logical coordinates of users with that of the network elements | |
US8907763B2 (en) | System, station and method for mustering | |
US20140002236A1 (en) | Door Lock, System and Method for Remotely Controlled Access | |
JP4453570B2 (en) | Cooperation control device | |
US20140019768A1 (en) | System and Method for Shunting Alarms Using Identifying Tokens | |
US20130214902A1 (en) | Systems and methods for networks using token based location | |
JP2019505058A (en) | System and method for controlling access to physical space | |
US9355278B2 (en) | Server chassis physical security enforcement | |
JP4320781B2 (en) | Entrance / exit management system | |
US20210390810A1 (en) | Biometric enabled access control | |
JP5513234B2 (en) | Visitor management device | |
JP2002041469A (en) | System and method for managing electronic equipment | |
KR20220165691A (en) | Access control system and access control method using the same | |
KR20230007983A (en) | Access control system and access control method using the same | |
KR20220166239A (en) | Access control system and access control method using the same | |
KR20230007985A (en) | Access control system and access control method using the same | |
JP2006227756A (en) | Cooperation controller | |
JP2006268148A (en) | Server maintenance work monitoring system | |
JP2006343886A (en) | Network management system | |
KR20220121744A (en) | IoT device monitoring method based on Big Data and Artificial intelligence and IoT device monitoring system performing the same | |
WO2022096870A1 (en) | Augmented access control system | |
JP2009098780A (en) | Entry/exit control system and entry/exit control method | |
JP5524250B2 (en) | Abnormal behavior detection device, monitoring system, abnormal behavior detection method and program | |
JP2005232754A (en) | Security management system | |
KR20080094228A (en) | System and method for controlling coming and going using smart card |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20071011 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100112 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100125 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130212 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130212 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140212 Year of fee payment: 4 |
|
LAPS | Cancellation because of no payment of annual fees |