JP2008152474A - サービス提供装置、管理サーバ及び管理サーバの制御方法 - Google Patents
サービス提供装置、管理サーバ及び管理サーバの制御方法 Download PDFInfo
- Publication number
- JP2008152474A JP2008152474A JP2006338975A JP2006338975A JP2008152474A JP 2008152474 A JP2008152474 A JP 2008152474A JP 2006338975 A JP2006338975 A JP 2006338975A JP 2006338975 A JP2006338975 A JP 2006338975A JP 2008152474 A JP2008152474 A JP 2008152474A
- Authority
- JP
- Japan
- Prior art keywords
- service
- data
- information
- request
- received
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Abstract
【課題】サービス提供装置からサービス利用装置を通じて出力される情報の管理が可能とする。
【解決手段】ユーザが使用するPCを、サービス提供装置とサービス利用装置に分離し、サービス提供装置もしくは管理サーバ上にGUIアクティビティおよび情報アクセスアクティビティを収集するエージェントを配置するとともに、サービス提供装置に割り当てられたIDとその使用ユーザとの対応関係を示すテーブルと、サービス利用装置に割り当てられたネットワークアドレスと、それがどこの拠点に設置されたネットワークかの対応関係を示すテーブルを持つアクセス管理マネージャを準備し、ログ情報を分析することによりユーザ単位のアクセス分析を行う。これによりサービス利用装置を用いてユーザが作業している際に、どのような情報にアクセスしたかを特定することを可能にするネットワークおよびセキュリティの管理システムを提供する。
【選択図】図11
【解決手段】ユーザが使用するPCを、サービス提供装置とサービス利用装置に分離し、サービス提供装置もしくは管理サーバ上にGUIアクティビティおよび情報アクセスアクティビティを収集するエージェントを配置するとともに、サービス提供装置に割り当てられたIDとその使用ユーザとの対応関係を示すテーブルと、サービス利用装置に割り当てられたネットワークアドレスと、それがどこの拠点に設置されたネットワークかの対応関係を示すテーブルを持つアクセス管理マネージャを準備し、ログ情報を分析することによりユーザ単位のアクセス分析を行う。これによりサービス利用装置を用いてユーザが作業している際に、どのような情報にアクセスしたかを特定することを可能にするネットワークおよびセキュリティの管理システムを提供する。
【選択図】図11
Description
本発明は、サービス提供装置からサービス利用装置を通じて出力される情報の管理を可能とするサービス提供装置、管理装置及び管理方法に関する。
近年、情報セキュリティに対する重要性が強く認識されるようになり、企業等において、IT(Information Technology)システムを活用した内部統制を強化する動きが活発化している。内部統制は、各従業員が職務権限等を悪用して不正に業務が遂行されることを防ぐために行なわれる。内部統制を行なうことにより、例えばセキュリティを保った状態でITを利用することにより、不正操作の防止や業務処理の適性さを客観的に証明できるようになる。
ここで、ノート型PC(Personal Computer)と業務サーバとをネットワーク経由で接続することにより構築されるITシステムにおいて、アクセスログを蓄積、解析することにより、ノート型PCから業務サーバへのアクセスを管理する技術が開発されている。この技術を用いて内部統制を行なうためには、ノート型PCから業務サーバへアクセスを行ったユーザを特定することが必要となる。
ユーザを特定する方法に関しては、例えば、業務サーバへのアクセス時の要求データおよび応答データから、ユーザ識別情報を含む所定の情報をアクセスログとして蓄積し、このアクセスログを分析することによりユーザを特定する技術が提案されている(例えば特許文献1参照)。
特開昭62−100851号公報
ところで、近年、情報技術が進歩し、持ち運び可能なPCであるモバイルPCを用いることにより、組織の外部からインターネット等のネットワークを経由して組織の内部に設置されている業務サーバに蓄積されている情報にアクセスすることが、いつでもどこでも可能になりつつある。このため、情報の外部への不正な持ち出し等を禁止するためには、ユーザが単に情報にアクセスしたことを記録するだけではなく、その情報にいつ、どこでアクセスしたかも把握できるようにすることが必要となる。
ところが、従来の技術では、インターネット上で公開されたWebサーバなど、組織の管理下にない外部のサーバに対しては、アクセス者がどこでその情報を参照しているかを把握することができない。また、アクセス者がシンクライアントを用いて外部のWebサーバ等への情報アクセスを行う場合には、ユーザの手元にある端末と、その端末からリクエストを受けて外部のWebサーバにアクセスする計算機とが分離されているため、ユーザが作業している場所を特定することはさらに困難になる。
本発明は以上の点を鑑みてなされたもので、サービス利用装置を通じてサービス提供装置から出力される情報の管理を可能とするサービス提供装置、管理装置及び管理方法を提供することを目的とする。
上記目的を達成するに、本発明は、通信可能に接続されるサービス利用装置から送信されてくる情報処理の実行要求を受信し、その実行結果を前記サービス利用装置に送信するサービスを提供するサービス提供装置であって、前記サービス利用装置からサービス利用開始要求を受信した場合に、前記サービス利用開始要求を受信した旨の情報と、現在時刻と、を対応付けて記憶するサービス利用開始ログ記憶部と、前記サービス利用装置に接続され前記サービス利用装置からデータを取得可能なデータ取得装置の特定情報と、当該データ取得装置によって取得されるデータの特定情報と、が記述されたデータ取得要求を、前記サービス利用装置から受信した場合に、当該データを前記データ取得装置に出力させるためのコマンドと当該データとを前記サービス利用装置に送信するコマンド送信部と、前記サービス利用装置に送信された前記データを取得する前記データ取得装置の前記特定情報と、現在時刻と、を対応付けて記憶するデータ出力ログ記憶部と、前記サービス利用装置からサービス利用終了要求を受信した場合に、前記サービス利用終了要求を受信した旨の情報と、現在時刻と、を対応付けて記憶するサービス利用終了ログ記憶部と、前記記憶している各情報に基づいて、前記サービス利用開始要求を受信した時刻から前記サービス利用終了要求を受信した時刻までの間に前記データ利用装置に送信された前記データを取得した前記データ取得装置の特定情報を含む、データ送信履歴情報を生成する履歴情報生成部と、を備える。
このような態様によって、サービス提供装置からサービス利用装置を通じて出力される情報の管理が可能となる。
サービス提供装置からサービス利用装置を通じて出力される情報の管理が可能となる。
以下、本発明の実施形態を、図面を参照しながら説明する。
図1は、本実施形態に係るネットワーク管理システム1000全体の概略構成を示す図である。
ネットワーク管理システム1000は、シンクライアント端末102と、計算機モジュール106と、が一つ以上のネットワークを介して接続されて構成される。なおシンクライアント端末102は特許請求の範囲に記載のサービス利用装置に相当する。また計算機モジュール106は特許請求の範囲に記載のサービス提供装置に相当する。
図1は、本実施形態に係るネットワーク管理システム1000全体の概略構成を示す図である。
ネットワーク管理システム1000は、シンクライアント端末102と、計算機モジュール106と、が一つ以上のネットワークを介して接続されて構成される。なおシンクライアント端末102は特許請求の範囲に記載のサービス利用装置に相当する。また計算機モジュール106は特許請求の範囲に記載のサービス提供装置に相当する。
図1に示す例では、ネットワークとして、組織ネットワーク104とインターネット101とが示されている。組織ネットワーク104は、ファイアウォール103を介してインターネット101と接続されている。
組織ネットワーク104は、例えば、企業等が入居する建物内に構築されるLAN(Local Area Network)とすることができる。本実施形態に係る組織ネットワーク104には、同一の内部セグメント105上に、計算機モジュール106、管理サーバ108、業務サーバ107が通信可能に接続されている。もちろん、図1に示すように、シンクライアント端末102も内部セグメント105上に接続されていても良い。この場合は、シンクライアント端末102は、組織ネットワーク104を介して計算機モジュール106と接続される。また組織ネットワーク104は、例えば建物のフロア毎に複数構築されるようにしても良い。この場合は、各組織ネットワーク104は、それぞれに付与されたネットワークアドレス(例えばIPアドレス)により識別される。
一方インターネット101は、各プロバイダ等により構築される複数のネットワークにより構成される。インターネット101を構成する各ネットワークは、それぞれに付与されたネットワークアドレス(例えばIPアドレス)により識別される。図1に示すように、シンクライアント端末102はインターネット101に接続されていても良い。この場合は、シンクライアント端末102は、インターネット101と組織ネットワーク104とを介して計算機モジュール106と接続される。
<シンクライアント端末>
シンクライアント端末102は、ユーザによる操作入力を受け付け、その操作入力を計算機モジュール106に送信し、その操作入力に応じて実行された情報処理の実行結果を示す画面データを計算機モジュール106から受信して表示するコンピュータである。シンクライアント端末102は、情報の入力及び出力の処理は実行するが、原則として情報処理自体は行わない。例えば、シンクライアント端末102を操作して文書作成作業を行なう場合には、ワードプロセッサ機能を提供するプログラムは他のコンピュータ(例えば計算機モジュール106)で実行される。シンクライアント端末102は、操作者から受け付けた操作入力をワードプロセッサプログラムが動作する他のコンピュータに送信し、そのコンピュータによる処理結果を受信して画面に表示する。
シンクライアント端末102は、ユーザによる操作入力を受け付け、その操作入力を計算機モジュール106に送信し、その操作入力に応じて実行された情報処理の実行結果を示す画面データを計算機モジュール106から受信して表示するコンピュータである。シンクライアント端末102は、情報の入力及び出力の処理は実行するが、原則として情報処理自体は行わない。例えば、シンクライアント端末102を操作して文書作成作業を行なう場合には、ワードプロセッサ機能を提供するプログラムは他のコンピュータ(例えば計算機モジュール106)で実行される。シンクライアント端末102は、操作者から受け付けた操作入力をワードプロセッサプログラムが動作する他のコンピュータに送信し、そのコンピュータによる処理結果を受信して画面に表示する。
シンクライアント端末102は、例えばいわゆるノート型PCの形態をしたコンピュータにより構成することもできるし、PDA(Personal Digital Assistants)や携帯電話機等により構成することもできる。シンクライアント端末102は、ネットワークに接続されることによって、計算機モジュール106と通信可能に接続される。シンクライアント端末102のネットワークへの接続は、組織ネットワーク104やインターネット101上のアクセスポイントに設けられる通信装置を介して行なうことができる。
図2は、本実施形態で使用するシンクライアント端末102のシステム構成を示す説明図である。
シンクライアント端末102は、ユーザのGUI(Graphical User Interface)操作のインタフェースを担当するコンピュータで、CPU201と、バス202と、メモリ203と、外部記憶装置204と、ネットワークI/O205と、たとえばUSB(Universal Serial Bus、登録商標)などのデバイスI/O210を有して構成されている。
シンクライアント端末102は、ユーザのGUI(Graphical User Interface)操作のインタフェースを担当するコンピュータで、CPU201と、バス202と、メモリ203と、外部記憶装置204と、ネットワークI/O205と、たとえばUSB(Universal Serial Bus、登録商標)などのデバイスI/O210を有して構成されている。
メモリ203には、オペレーティングシステム(以下、OSとも記す)206と、リモート描画クライアントプログラム207と、デバイス制御エージェントプログラム208がロードされている。CPU201がこれらのプログラムを実行することにより、シンクライアント102の各種機能が実現される。
リモート描画クライアントプログラム207は、操作者からの操作入力を受け付けて計算機モジュール106に送信する。また、計算機モジュール106から情報処理の実行結果を示す画面データを受信してディスプレイ等の表示装置に表示する。
デバイス制御エージェントプログラム208は、計算機モジュール106から送信されてくるコマンドに応じて、計算機モジュール106から送信されてくるデータを、デバイスI/O210に接続されるデバイスに出力する。
デバイスI/O210には、例えばプリンタや、光磁気ディスク等へのデータの書き込みが可能な光磁気ディスク装置、半導体メモリ、外付けハードディスク装置等のデータ書き込み可能なデバイス(特許請求の範囲に記載のデータ取得装置に相当する)が接続される。
ネットワークI/O205には、ネットワークが接続される。
ネットワークI/O205には、ネットワークが接続される。
<計算機モジュール>
計算機モジュール106は、シンクライアント102から送信されてくる情報処理の実行要求を受信し、その実行結果をシンクライアント102に送信するコンピュータである。計算機モジュール106は、シンクライアント102から送信されてくる情報処理の実行要求に応じて自らが情報処理を実行し、その実行結果をシンクライアント102に送信する場合もあるし、シンクライアント102から送信されてくる情報処理の実行要求を他のコンピュータに送信し、他のコンピュータにより実行された情報処理の実行結果を受信して、シンクライアント102に送信する場合もある。前者の場合としては、例えばシンクライアント102の操作者が文書作成処理や表計算処理等を行う場合があり、後者の場合としては、例えばシンクライアント102の操作者がインターネット上のホームページを閲覧する場合や、電子メールの送受信を行なう場合がある。計算機モジュール106は、例えばブレードサーバにより構成される。
計算機モジュール106は、シンクライアント102から送信されてくる情報処理の実行要求を受信し、その実行結果をシンクライアント102に送信するコンピュータである。計算機モジュール106は、シンクライアント102から送信されてくる情報処理の実行要求に応じて自らが情報処理を実行し、その実行結果をシンクライアント102に送信する場合もあるし、シンクライアント102から送信されてくる情報処理の実行要求を他のコンピュータに送信し、他のコンピュータにより実行された情報処理の実行結果を受信して、シンクライアント102に送信する場合もある。前者の場合としては、例えばシンクライアント102の操作者が文書作成処理や表計算処理等を行う場合があり、後者の場合としては、例えばシンクライアント102の操作者がインターネット上のホームページを閲覧する場合や、電子メールの送受信を行なう場合がある。計算機モジュール106は、例えばブレードサーバにより構成される。
図3は、本実施形態で使用する計算機モジュール106のシステム構成を示す説明図である。
計算機モジュール106は、ユーザが利用するアプリケーションプログラムの実行を担当するモジュールで、CPU221と、バス222と、メモリ223と、外部記憶装置224と、ネットワークI/O225を有して構成されている。
計算機モジュール106は、ユーザが利用するアプリケーションプログラムの実行を担当するモジュールで、CPU221と、バス222と、メモリ223と、外部記憶装置224と、ネットワークI/O225を有して構成されている。
メモリ223には、OS226と、リモート描画サーバプログラム227と、デバイス制御マネージャプログラム228と、ログ管理サーバプログラム229と、アプリケーションプログラム(以下、APとも記す)230がロードされている。CPU221がこれらのプログラムを実行することにより、計算機モジュール106の各種機能が実現される。例えば、特許請求の範囲に記載のサービス利用開始ログ記憶部、コマンド送信部、サービス利用終了ログ記憶部、履歴情報生成部、通信内容記憶部、ネットワーク情報記憶部、データ出力可否記憶部、閲覧要求受付部、画像データ生成部、画像データ表示部が実現される。
リモート描画サーバプログラム227は、シンクライアント端末102から送信されてくる操作入力を受信し、その操作入力に応じて実行された情報処理の実行結果を示す画面データをシンクライアント端末102に送信する。
AP230は例えば、ワープロプログラムやウェブブラウザ等である。またAP230は、必要に応じて、メールサーバやデータベースサーバ等の他のコンピュータ(図1において業務サーバ107として例示)に情報処理の実行要求を送信し、その実行結果を受信する。
デバイス制御マネージャプログラム228は、シンクライアント端末102から送信されてくる操作入力に応じて、シンクライアント端末102のデバイスI/O210に接続されているデバイスからデータを出力させるためのコマンドやデータをシンクライアント端末102に送信する。
ログ管理サーバプログラム229は、リモート描画サーバプログラム227やデバイス制御マネージャプログラム228により実行される各種処理に応じてログデータを記憶するためのプログラムである。詳しくは後述する。
ネットワークI/O225には、ネットワークが接続される。
外部記憶装置224には、ログファイル301と、アクセスコントロールリスト302とが記憶される。ログファイル301を図8に示す。またアクセスコントロールリスト302を図7に示す。
外部記憶装置224には、ログファイル301と、アクセスコントロールリスト302とが記憶される。ログファイル301を図8に示す。またアクセスコントロールリスト302を図7に示す。
詳細は後述するが、ログファイル301には、図8に示すように、シンクライアント端末102からサービス利用開始要求を受信したことを示すログデータ511、シンクライアント端末102からのログイン要求に応じて実行した認証処理の結果を示すログデータ512、シンクライアント端末102に接続されるデバイスからデータを出力したことを示すログデータ513、514、シンクライアント端末102からサービス利用終了要求を受信したことを示すログデータ515が含まれる。
アクセスコントロールリスト302は、図7に示すように、計算機モジュール106とシンクライアント端末102の間の通信経路上に設けられる一つ以上の各ネットワークの所在を示す情報621と、シンクライアント端末102が各ネットワークに接続している場合における、当該シンクライアント端末102に接続されるデバイスへのデータの出力可否を示す情報と、をそれぞれ対応付けて記憶したリストである。図7に示す例では、例えばシンクライアント端末102が拠点1−1Fからネットワークに接続している場合には、デバイスからのデータの出力は許可されることが示される。
<管理サーバ>
管理サーバ108は、計算機モジュール106と通信可能に接続され、シンクライアント端末102と計算機モジュール106との間あるいは業務サーバ107との間で行なわれる情報処理のログデータを収集し、記憶するコンピュータである。
管理サーバ108は、計算機モジュール106と通信可能に接続され、シンクライアント端末102と計算機モジュール106との間あるいは業務サーバ107との間で行なわれる情報処理のログデータを収集し、記憶するコンピュータである。
図4は、本実施形態で使用する管理サーバ108のシステム構成を示す説明図である。
管理サーバ108は、計算機モジュール106に対するシンクライアント端末102からのアクセスと操作内容を分析するためのコンピュータで、CPU241と、バス242と、メモリ243と、外部記憶装置244と、ネットワークI/O245により構成されている。メモリ243には、オペレーティングシステム246と、アクセス管理プログラム247がロードされている。CPU241がこれらのプログラムを実行することにより、管理サーバ108の各種機能が実現される。例えば、特許請求の範囲に記載のサービス利用開始ログ記憶部、コマンド送信部、サービス利用終了ログ記憶部、履歴情報生成部が実現される。
管理サーバ108は、計算機モジュール106に対するシンクライアント端末102からのアクセスと操作内容を分析するためのコンピュータで、CPU241と、バス242と、メモリ243と、外部記憶装置244と、ネットワークI/O245により構成されている。メモリ243には、オペレーティングシステム246と、アクセス管理プログラム247がロードされている。CPU241がこれらのプログラムを実行することにより、管理サーバ108の各種機能が実現される。例えば、特許請求の範囲に記載のサービス利用開始ログ記憶部、コマンド送信部、サービス利用終了ログ記憶部、履歴情報生成部が実現される。
アクセス管理プログラム247は、計算機モジュール106が収集した各種ログデータを計算機モジュール106から受信し、記憶するプログラムである。詳しくは後述する。
外部記憶装置244には、統合ログファイル311、ユーザ−計算機モジュール対応付けテーブル312、キャプチャログファイル314、ネットワーク−拠点対応付けテーブル313が記憶される。
キャプチャログファイル314は、業務サーバ107により実行された情報処理の実行結果を計算機モジュール106が受信する場合にネットワーク104上を流れる通信データを管理サーバ108が取得することにより得られるログデータを記録したファイルである。キャプチャログファイル314を図9に示す。図9には一例として、計算機モジュール106がウェブサーバからhtml(HyperText Markup Language)データを受信する場合のログデータ521、メールサーバからメールを受信する場合のログデータ522、メールサーバにメールを送信する場合のログデータ523が示される。
統合ログファイル311は、キャプチャログファイル314に記録されているログデータと、ログファイル301に記録されているログデータとを時系列にマージしたファイルである。統合ログファイル311を図10に示す。
ユーザ−計算機モジュール対応付けテーブル312は、シンクライアント端末102を操作するユーザの識別情報と、そのユーザが使用可能に割り当てられる計算機モジュール106の識別情報とを対応付けたテーブルである。ユーザ−計算機モジュール対応付けテーブル312を図5に示す。
ネットワーク−拠点対応付けテーブル313は、計算機モジュール106とシンクライアント端末102との間の通信経路上に設けられる一つ以上のネットワークの各識別情報と、各ネットワークの所在を示す情報と、をそれぞれ対応付けて記憶するテーブルである。ネットワーク−拠点対応付けテーブル313を図6に示す。
<処理の流れ>
次に図11を参照しながら、本実施形態においてユーザが計算機モジュール106をアクセスする操作を分析する基本的な方法について説明する。
ユーザがシンクライアント端末102を用いて計算機モジュール106を利用する際には以下の処理が行われる。まずリモート描画クライアントプログラム207を実行するシンクライアント端末102(以下、単にリモート描画クライアントプログラム207とも記す。他のプログラムも同様。)がユーザからの入力情報(キーボードおよびマウスの操作など)を処理し、その入力情報をリモート描画サーバプログラム227を実行する計算機モジュール106(以下、単にリモート描画サーバプログラム227とも記す。他のプログラムも同様。)に転送する。
次に図11を参照しながら、本実施形態においてユーザが計算機モジュール106をアクセスする操作を分析する基本的な方法について説明する。
ユーザがシンクライアント端末102を用いて計算機モジュール106を利用する際には以下の処理が行われる。まずリモート描画クライアントプログラム207を実行するシンクライアント端末102(以下、単にリモート描画クライアントプログラム207とも記す。他のプログラムも同様。)がユーザからの入力情報(キーボードおよびマウスの操作など)を処理し、その入力情報をリモート描画サーバプログラム227を実行する計算機モジュール106(以下、単にリモート描画サーバプログラム227とも記す。他のプログラムも同様。)に転送する。
リモート描画サーバプログラム227は、リモート描画クライアントプログラム207より受け取った入力情報を、オペレーティングシステム226を介してアプリケーションプログラム230に渡し、アプリケーションプログラム230が返すユーザへの出力情報をリモート描画クライアントプログラム207に転送する。
リモート描画クライアントプログラム207は、リモート描画サーバプログラム227から受け取ったユーザへの出力情報(ディスプレイおよびスピーカ出力など)を処理する。
シンクライアント端末102には、たとえばUSB(登録商標)などのインタフェースを介して外部デバイスを接続することができる。このデバイスを利用する際には、以下の処理が行われる。まず、デバイス制御エージェントプログラム208がオペレーティングシステム206を介して、シンクライアント端末102の外部デバイスインタフェース210に外部デバイスが装着されたことを認識する。
さらにデバイス制御エージェントプログラム208は、外部デバイスの認識結果をデバイス制御マネージャプログラム228に転送する。オペレーティングシステム225は、デバイス制御マネージャプログラム228を介して外部デバイスインタフェース210に接続された外部デバイスを仮想デバイスとして認識する。
外部デバイスとの入出力は、デバイス制御エージェントプログラム208とデバイス制御マネージャプログラム228を介して計算機モジュール106のオペレーティングシステム225に伝達される。
計算機モジュール106の外部記憶装置224には、リモート描画サーバプログラム227および、デバイス制御マネージャプログラム228が上記の処理を実行する際の稼動履歴を記録するログファイル301が保存される。ログファイル301への書き込みは、ログ管理サーバプログラム229を介して行われる。
管理サーバ108上で稼動するアクセス管理プログラム247(以下、単にアクセス管理プログラム247とも記す。他のプログラムも同様。)は、各ユーザが使用する計算機モジュール106のログ管理サーバプログラム229と通信してログファイル301の内容を収集し、外部記憶装置244に統合ログファイル311として保管する。
また前記アクセス管理プログラム247は、ネットワーク上でIPパケットをキャプチャすることにより、たとえばメーラやブラウザなどのネットワークを利用するアプリケーションプログラム230が業務サーバ群107上で稼動するサーバプログラム321に対してアクセスした履歴も収集し、統合ログファイル311に保管する。
管理サーバ108の外部記憶装置244には、計算機モジュール106と、その計算機モジュール106を使用するユーザとの対応関係を記載したユーザ−計算機モジュール対応付けテーブル312および、シンクライアント端末102が接続されるネットワークと、物理的な拠点の対応関係を記載したネットワーク−拠点対応付けテーブル313を格納する。
アクセス管理プログラム247は、前記統合ログファイル311およびユーザ−計算機モジュール対応付けテーブル312を参照し、ユーザ単位のアクセス分析を行う。
図12に、本実施例においてユーザ単位のアクセス履歴を収集するためのシーケンスを示す。ユーザが計算機モジュール106を使用する際には、まずリモート描画クライアントプログラム207からリモート描画サーバプログラム227に対して接続要求(特許請求の範囲に記載のサービス利用開始要求に相当する)を送信する(S401)。
リモート描画サーバプログラム227は、リモート描画クライアントプログラム207を識別して認証した後、接続認可を返答する(S402)。そしてログ管理サーバプログラム230にログを送信し、接続要求を受信した旨の情報と、現在時刻と、接続要求に記述されている当該シンクライアント端末102が接続しているネットワークの識別情報と、を対応付けてログファイル301にその状況(図8における511、512)を記録する(S403)。
シンクライアント端末102でユーザがマウスやキーボードを用いて行った操作は、その都度リモート描画クライアントプログラム207からリモート描画サーバプログラム227に転送され(S404およびS407)、計算機モジュール106上で処理された後、処理結果が返送(S405およびS408)される。
計算機モジュール106からログアウト、もしくはシャットダウンする操作(特許請求の範囲に記載のサービス利用終了要求に相当する)もまた、リモート描画クライアントプログラム207からリモート描画サーバプログラム227に転送される(S410)。そうすると計算機モジュール106上でログアウトやシャットダウンの処理がなされた後、操作結果がシンクライアント端末102に返送(S411)される。またログ管理サーバプログラム229にはその履歴が通知され(S412)、外部記憶装置224上のログファイル301として保存される。つまり、ログ管理サーバプログラム230にログが送信され、ログアウト等を受信した旨の情報と、現在時刻と、接続要求に記述されている当該シンクライアント端末102が接続しているネットワークの識別情報と、を対応付けてログファイル301にその状況(図8における515)を記録する。
シンクライアント端末102を用いて作業している際に、操作者がシンクライアント端末102にデバイスを接続する操作を行うと、デバイス制御エージェントプログラム208からデバイス制御マネージャプログラム228にデバイスの接続要求が送信される(S421)。デバイスの接続要求にはデバイスの識別情報が含まれる。デバイス制御マネージャプログラム228は、デバイス制御エージェントプログラム208を識別して認証した後、デバイスの接続許可を返答する(S422)。そして、ログ管理サーバプログラム230にログを送信してログファイル301にその状況を記録する(S423)。ログには、シンクライアント端末102に接続されたデバイスの識別情報が含まれる。
計算機モジュール106で稼動するアプリケーションプログラム230もしくは、オペレーティングシステム226により、ユーザが外部デバイスに対して行った操作は、デバイス制御マネージャプログラム228からデバイス制御エージェントプログラム208に通知される(S424)。シンクライアント端末102に接続されているリムーバブルディスクデバイスに対するファイルの書き込み操作が行なわれる場合には、まずシンクライアント端末102から計算機モジュール106にデータ取得要求が送信される。データ取得要求には、シンクライアント端末102に接続されシンクライアント端末102からファイルを取得可能な外部デバイスの特定情報と、当該外部デバイスによって取得されるファイルの特定情報と、が記述されている。そして計算機モジュール106は、ファイルのデータそのものと、そのファイルを外部デバイスに出力させるためのコマンドとを、デバイス制御マネージャプログラム228からデバイス制御エージェントプログラム208に転送する。シンクライアント端末102がファイルを受信すると、デバイス制御エージェントプログラム208は、シンクライアント端末102に接続された外部デバイスにファイルを出力する。そしてその結果をデバイス制御マネージャプログラム228に返送する(S425)。デバイス制御マネージャプログラム228はアプリケーションプログラム230もしくは、オペレーティングシステム226に結果を返送するとともに、同時にログ管理サーバプログラム229にその履歴が通知され、外部記憶装置224上のログファイル301として保存される。つまり、シンクライアント端末102に送信されたファイルを取得する外部デバイスの特定情報と、現在時刻と、ファイル名と、を対応付けてログファイル301に記憶する(図8の513、514に相当する)。
管理サーバ108上のアクセス管理プログラム247は、各計算機モジュール106のログ管理サーバプログラム229に定期的に接続し(S431およびS433)、ログファイル301に格納された情報を外部記憶装置244の統合ログファイル311に格納する(S432およびS434)。また管理サーバ108上のアクセス管理プログラム247は、ネットワーク105に定期的に接続し(S441)、計算機モジュール106が業務サーバ107から受信する情報処理の実行結果の内容を示す情報を取得し、現在時刻と、を対応付けてキャプチャログファイル314に格納する。
図8は本実施例で利用するログファイル301の内容を説明する図である。また図10は本実施例で利用する統合ログファイル311の内容を説明する図である。
ログファイル301は、ログが出力された日時を記録する日時フィールド501と、ログを出力したプログラムの名称を記録するサービス名フィールド502と、前記サービス名フィールド502で示されるサービスプログラムが出力したログ情報を格納する、ログ情報フィールド503を含むレコードの集まりにより構成される。
ログファイル301は、ログが出力された日時を記録する日時フィールド501と、ログを出力したプログラムの名称を記録するサービス名フィールド502と、前記サービス名フィールド502で示されるサービスプログラムが出力したログ情報を格納する、ログ情報フィールド503を含むレコードの集まりにより構成される。
レコード511およびレコード512は、図12のS401およびS402を実施した後に、S403によりログファイル301に書きこまれるレコードで、リモート描画クライアントプログラム207がリモート描画サーバプログラム227(名称“rdps”)、IPアドレス“202.246.1.3”を使用してコネクションを接続したことを示す。レコード512は、リモート描画クライアントプログラム207を起動したユーザ“kayashi”の認証に成功したことを示すレコードである。
レコード513とレコード514はそれぞれ、図12のS421とS422を実施した後に、S423によりログファイル301に書き込まれるレコードと、S424とS425を実施した後に、S426によりログファイル301に書き込まれるレコードで、デバイス制御マネージャプログラム228(名称“dmm”)が、デバイス制御エージェント経由で“poi.doc”という名称のファイルと、“poi.xls”という名称のファイルを外部デバイスにエクスポートしたことを示す。
レコード515は、図12のS410とS411を実施した後に、S412によりログファイル301に書き込まれるレコードで、リモート描画クライアントプログラム207がリモート描画サーバプログラム227との通信を切断したことを示す。
アクセス管理プログラム247が図12のS431とS432もしくはS433とS434を実行することにより、ログファイル301の内容が、サービス名フィールド502に、計算機モジュール106のIDを表す文字列を追加した上で統合ログファイル311に転記される。計算機モジュール106のIDを付加するには、例えばログファイル301でサービス名フィールド502が“rdps”であった場合には統合ログファイル311では、“rdps@pc05”のようにする方法が考えられる。また、その他の方法として、統合ログファイル311は、計算機モジュール106ごとにファイルを準備し、“pc05.log”のように計算機モジュール106のIDをファイル名の一部として利用する方法もある。
後者の方式の場合、図12のS432が終わった時点では、レコード511からレコード512までが統合ログファイル311に転記される。さらにS434が終わった時点では、レコード513からレコード515までが統合ログファイル311に転記される。
図5は、本実施例で使用するユーザ−計算機モジュール対応付けテーブル312の一例を示す図である。
ユーザ−計算機モジュール対応付けテーブル312は、ユーザ名フィールド601と計算機モジュール名フィールド602を含むレコードの集まりにより構成される。
図6は、本実施例で使用するネットワーク−拠点対応付けテーブル313の一例を示す図である。
ネットワーク−拠点対応付けテーブル313は、ユーザの作業場所つまりネットワークの所在を示す識別子を格納する場所名フィールド611と、その場所に敷設されたネットワークのアドレスを格納するネットワークアドレスフィールド612を含むレコードの集まりにより構成される。
場所名フィールド611は、例えば、拠点名とフロアをつなぎ合わせて、“拠点1−1F”といった識別子を割り当てればよい。ネットワークアクセスフィールド612は、TCP/IP(Transmission Control Protocol/Internet Protocol)のネットマスクを用いた表現形式を利用し、例えば“202.246.1.1”から“202.246.1.255”までの範囲であれば、“202.246.1.0/24”のように表現すればよい。
図13は、本実施例において、ユーザが作業している履歴状況(データ送信履歴情報)を表示する画面の一例である。本画面は、管理サーバ108上で稼動するアクセス管理プログラム247が生成するものであるが、計算機モジュール106が生成、表示しても良い。また例えばWebブラウザのインタフェースを用いて、組織ネットワーク104上に設置した端末や、管理者が使用する計算機モジュール106とシンクライアント端末102の組み合わせにより表示するようにしてもよい。
図13において、701は表示対象となるユーザ名(図13では“kayashi”)を表示するフィールド、702は表示する日時を設定するフィールドであり、ユーザ名と表示開始の年、月、日と、表示する日数を入力し、「表示」ボタンを押下することにより、閲覧要求が管理サーバ108に入力され、指定した期間のユーザの作業状況が表示される。703は、表示日付を変更するためのユーザインタフェースで、“年<<<<月<<<週<<日<本日>日>>週>>>月>>>>年”は、年、月、週、日、本日の部分がリンクとなっており、このリンクをクリックすることにより、表示開始の年月日を変更する。
704から713は、ユーザの作業状況を日にちごとに示すチャートである。つまり、上記閲覧要求に応じて、シンクライアント102から接続要求を受信した時刻からログアウト要求を受信した時刻までのサービス利用時間を表す棒グラフ709と、サービス利用時間内にシンクライアント端末102が接続しているネットワークの所在を示す情報709と、サービス利用時間内にシンクライアント端末102に送信されたファイルを取得し外部デバイスの特定情報(図13では、「印刷」、「持出」、「Web」、「Mail」と記載されている)と、ファイル名710と、を示した画像データ705である。「持出」には、例えば半導体メモリへのファイルの書き出しやDVDへの記録等が含まれる。
704は、一日の時刻を表現するスケールで、図13においては8時から20時までが表示されている。705は、702により指定された各日にちのチャートであり、図13においては2006年7月9日からの1週間を表示している。706は、表示日付を表示するフィールドである。707は、日にちごとのユーザの作業場所を709のようにガントチャートとして表示するフィールドである。709は、7月10日は、朝9時から19時まで拠点1−1Fで作業していたことを示している。また、7月11日は9時から13時までが拠点1−1Fで、14時から17時までは拠点2−2Fで作業していたことを示している。別の場所に移動した場合には、ガントチャートの位置を上下にずらして表示する。
708〜713は、シンクライアント端末102に接続される外部デバイスにエクスポートした情報を記述するフィールドである。710に示すように、708フィールドは拠点ごとに行を変更して表示するとよい。図13においては、7月10日に拠点1−1Fにおいて“poi.doc”が印刷され、“poi.xls”が持ち出されたことが分かる。また7月11日には、拠点2−2Fにおいて“資料.doc”が印刷されていることがわかる。ウェブアクセス記述フィールド712は、アクセスしたURLのリストの識別子が表示される。メールフィールド713は、送信相手のメールアドレス識別子が表示される。
図14は、アクセス管理プログラム247が、ユーザの指定に従い、指定された表示開始年月日と表示日数に対応する表示画面を生成するフローチャートである。もちろん、計算機モジュール106が表示画面の生成を行なう場合には、以下のフローは計算機モジュール106が実行する。
まず管理サーバ108はユーザ入力コマンドの受付を行う(S801)。例えばブラウザを使用する場合であれば、入力コマンドとして“http://lemon.sdl.xxx.co.jp/audit.cgi”のように指定されたURLをユーザ入力コマンドとして受け付ける。これにより管理サーバ108は、図13に示す画面を表示する。
次に管理サーバ108は、S801で識別したユーザ入力コマンドに基づいて、指定された範囲のレコードを統合ログファイル311から取得する(S802)。
管理サーバ108は、ユーザ−計算機モジュール対応付けテーブル312を参照し、ユーザ名フィールド601をキーとして検索を行い、計算機モジュール名フィールド602より、S801により指定されたユーザが使用する計算機モジュール106を特定する。統合ログファイル311の中にその計算機モジュール106のIDが含まれる場合は、S801で指定された期間内であり、かつ、その計算機モジュール106のIDを含むレコードをピックアップし、配列変数に順番に格納する。
S803からS815は、S802によりピックアップして取得したレコードを解析するステップである。まず、S803は、未処理のレコードがあるかどうか判別するステップであり、未処理レコードがある場合には、管理サーバ108は、S804からS815までの処理を繰り返し実施する。
S804は、未処理の先頭レコードをひとつ取り出すステップである。管理サーバ108は日付フィールド501と、サービス名フィールド502と、ログ情報フィールド503をそれぞれ変数に格納する。
S805は、S804で取り出したレコードのログ情報フィールド503が新しい拠点で作業を開始したことを示す文字列“connection open”を含むか判断する処理であり、含む場合には、管理サーバ108はS806とS807を実行する。
S806は、新しい場所で作業を開始した日付および時刻をそれぞれ接続開始日付用変数および接続開始時刻用変数に格納する処理を実行する。本処理では、前回S804を実行した際に変数に格納した日付と、今回のレコードに含まれる日付を比較し、同一の場合には一日の途中で移動した拠点であることを示すフラグを、同一でない場合には、朝一番に出社した拠点であることを示すフラグをフラグ変数に格納する。
S807は、ログ情報フィールド503より、文字列“src=”の後に続くIPアドレスを取り出し、ネットワーク−拠点対応付けテーブル313を参照して、そのIPアドレスが利用されている場所名を抽出し、作業場所変数に格納する処理を実行する。ネットワーク−拠点対応付けテーブル313では、各場所に対応するネットワークが、“202.246.1.0/24”と、“202.246.2.0/24”と、“202.246.128.0/24”と、“202.246.129.0/24”と、“202.246.130.0/24”のように、先頭から24ビットがネットワークとして定義されている。
一方、図10の統合ログファイル311のレコード531では、IPアドレスは“202.246.1.3”であり、ネットワーク“202.246.1.0/24”にシンクライアント端末102が接続されていることになるため、接続場所として、“拠点1−1F”を作業場所変数に格納する。ネットワーク−拠点対応付けテーブル313にマッチするエントリがない場合には、接続場所として、“その他”を作業場所変数に格納する。
S808は、S804で取り出したレコードのログ情報フィールドが文字列“device write”を含むか判断する処理で、含む場合にはS809を実行する。
S809は、ログ情報フィールド503より、文字列“file=”の後に続くファイル名称を取り出し、ファイル名を文字列型のファイル名称用変数に格納する処理を実行する。本変数は、同一の場所で複数のファイルをエクスポートすることを考慮して配列型の変数とする。
S812は、S804で取り出したレコードのログ情報フィールドが文字列“http”を含むか判断する処理で、含む場合にはS813を実行する。
S813は、ログ情報フィールド503より、URLを取り出し、そのURLを文字列型のURL格納用変数に格納する処理を実行する。本変数は、同一の場所で複数のURLにアクセスすることを考慮して配列型の変数とする。
S814は、S804で取り出したレコードのログ情報フィールドが文字列“smtp”を含むか判断する処理で、含む場合にはS815を実行する。
S815は、ログ情報フィールド503より、メールアドレスを取り出し、そのメールアドレスを文字列型のメールアドレス格納用変数に格納する処理を実行する。本変数は、同一の場所で複数のメールの送受信を行なうことを考慮して配列型の変数とする。
S810は、S804で取り出したレコードのログ情報フィールドが文字列“connection closed”を含むか判断する処理で、含まない場合にはS802に戻る。含む場合には、接続終了日付用変数および接続終了時刻用変数に格納する処理を実行した上で、S806で格納した接続開始日付用変数および接続開始時刻用変数と、本ステップで格納した接続終了日付用変数および接続終了時刻用変数と、S807で格納した作業場所変数と、S809で格納したファイル名称用変数の配列を参照することにより、ひとつのガントチャートに対応したユーザの作業状況を表示する。さらに描画処理が終了した後で、ファイル名称用変数の配列はクリアする。
例えば、図8のログファイル301のレコード511からレコード515までを処理した場合、図13の表示日付フィールド706と、ガントチャートフィールド707と、エクスポート情報記述フィールド708を描画することで、7月10日のユーザの作業状況を表示することができる。また、S806で格納したフラグ変数の状態をチェックし、一日の途中で移動した拠点である場合には、表示日付フィールド706の描画をスキップすることにより、図13の7月11日の“拠点2−2F”のように一日の途中で移動した拠点のガントチャートフィールド707と、エクスポート情報記述フィールド708のみを描画することができる。
図15は、計算機モジュール106がシンクライアント端末102からデータ取得要求を受信した場合に、シンクライアント端末102が接続しているネットワークの所在に基づいて、外部デバイスへファイルを出力させるためのコマンドとファイルとをシンクライアント端末102に送信するか否かを判定するためのフローである。
まず計算機モジュール106は、シンクライアント端末102からリクエストを受信すると(S901)、そのリクエストがデータ取得要求か否かを判定する(S902)。
データ取得要求である場合には、計算機モジュール106は、直前の接続開始ログを分析する(S903)。この分析は、ログファイル301に記録されるログの中から、現在時刻に対して直前に記録された“connection open”を含むログを探すことにより行なわれる。
次に計算機モジュール106は、接続制御設定の取得を行なう(S904)。接続制御設定の取得は、図7に示したアクセスコントロールリスト302を参照することにより行なわれる。具体的には、上記データ取得要求を送信してきたシンクライアント端末102が接続しているネットワークの所在を示す情報と対応付けて記憶されている送信可否情報(図7において”allow”または”deny”)を取得する。
”allow”の場合は、計算機モジュール106は、データ取得可能である旨のメッセージをシンクライアント端末102に送信する(S906)。また、計算機モジュール106は、データ取得要求により指定されたファイルのデータと、そのファイルを外部デバイスから出力させるためのコマンドとをシンクライアント端末102に送信する。
一方、”deny”の場合は、計算機モジュール106は、データ取得はできない旨のメッセージをシンクライアント端末102に送信する(S907)。この場合計算機モジュール106は、データ取得要求により指定されたファイルのデータと、そのファイルを外部デバイスから出力させるためのコマンドとは、シンクライアント端末102に送信しない。
以上説明したように、本実施例によれば、ユーザがシンクライアント端末102を用いて計算機モジュール108にリモートアクセスして、かつ情報をシンクライアント端末102に持ち出したときの場所や時間を特定することが可能になる。シンクライアント端末102を使用する場所を特定するために、本実施例では、計算機モジュール106上で稼動するリモート描画サーバプログラム227が出力したログを使用しているが、管理サーバ108において各計算機モジュール106のIPアドレスをあて先とするリモート描画サービスのパケットをキャプチャするプログラムを稼動させて、あて先のIPアドレスをホスト名に変換した上で、日時フィールド501やサービス名フィールド502、ログ情報フィールド503を組み立てた上で統合ログファイル311を生成してもよい。
また、リモート描画サービスを使用する際にリモート描画クライアント207が管理サーバ108などの上で稼動する認証サーバプログラムと相互認証を行うようにし、認証サーバプログラムのログを収集して統合ログファイル311に保管するようにしてもよい。
さらに本発明では、シンクライアント端末102を用いて、どこで作業しているときにアクセスしたか識別可能な情報は、デバイス制御サービスを利用してエクスポートしたファイルに限定されない。例えば図11で説明したように、メーラやブラウザなどのネットワークを使用するアプリケーションプログラム230が業務サーバ群107にアクセスした場合、計算機モジュール106のIPアドレスを送信元とするパケットをネットワーク105上で観測することができる。そこで、管理サーバ108上で、計算機モジュール106のIPアドレスを送信元とするパケットをキャプチャするプログラムを稼動させて、送信元のIPアドレスをホスト名に変換した上で、日時フィールド501やサービス名フィールド502、ログ情報フィールド503を組み立てた上で統合ログファイル311を生成することにより、ユーザがどこで作業しているときにメールをダウンロードしたか、もしくは、どのWebサーバにアクセスしたかなども識別することが可能である。
また本実施例では、シンクライアント端末102に対する情報エクスポートを記録する方法について言及してきたが、送信先のネットワークアドレスによりデバイス制御マネージャの動作を変更するアクセスコントロールリスト302を設けることにより、情報エクスポートの制御を行うことも可能である。この場合、デバイス制御マネージャプログラム228がS424でファイルをデバイス制御エージェントプログラム208に転送する際に、リモート描画サーバプログラム207が出力したログファイル301を参照し、計算機モジュール106に配置したアクセスコントロールリスト302を参照した上で、シンクライアント端末102のネットワークアドレスに応じてファイルの送信可否を制御すればよい。
また、ユーザが使用するPCを、情報にアクセスするアプリケーションを実行する機能を提供する計算機モジュールと、ユーザが作業場所に持ち運んでネットワーク経由で計算機モジュールに接続することによりGUI機能を実現するシンクライアント端末に分離し、計算機モジュールもしくは、計算機モジュールと同一のネットワークセグメント上に配置された管理サーバ上にGUIアクティビティおよび情報アクセスアクティビティを収集するエージェントを配置するとともに、計算機モジュールに割り当てられたIDとその使用ユーザとの対応関係を示すテーブルと、シンクライアント端末に割り当てられたネットワークアドレスと、それがどこの拠点に設置されたネットワークかの対応関係を示すテーブルを持つアクセス管理マネージャを準備し、ログ情報を分析することによりユーザ単位のアクセス分析を行う。
本ネットワーク管理システムによれば、ユーザが使用するPCを計算機モジュールとシンクライアント端末に分離し、計算機モジュールのネットワークアクセスを把握し、計算機モジュールに割り当てられたIDとその使用ユーザとの対応関係を示すテーブルと、シンクライアント端末に割り当てられたネットワークアドレスと、それがどこの拠点に設置されたネットワークかの対応関係を示すテーブルを持つアクセス管理マネージャを準備することにより、ユーザがどこで作業している際にその情報にアクセスしたかを識別することが可能になる。
また、シンクライアント端末からネットワーク経由で計算機モジュールに接続する際に使用する計算機モジュール側のプログラムで、シンクライアント端末が設置されたネットワークの環境に応じて情報アクセスの制御を行うことにより、情報漏えいを事前に防止することもできる。
本システムは、サービス提供装置からサービス利用装置を通じて出力される情報の管理が可能とすることができる。またITシステムの適正な利用を証明するために利用することが可能である。
以上発明を実施するための最良の形態について説明したが、上記実施の形態は本発明の理解を容易にするためのものであり、本発明を限定して解釈するためのものではない。本発明はその趣旨を逸脱することなく変更、改良され得ると共に、本発明にはその等価物も含まれる。例えば、管理サーバ108の機能が計算機モジュール106に統合されることにより、管理サーバ108を設けない構成とすることもできる。あるいは、計算機モジュール106で実行されるログ管理サーバプログラム229が管理サーバ108で実行されると共に、ログファイル301が管理サーバ108に記憶される形態とすることもできる。また、図1や図11にはシンクライアント端末102及び計算機モジュール106を1台ずつ備える構成を示したが、複数台ずつ備える構成としても良い。
101 インターネット
102 シンクライアント端末
103 ファイアウォール
104 組織ネットワーク
105 内部セグメント
106 計算機モジュール
107 業務サーバ
108 管理サーバ
207 リモート描画クライアントプログラム
208 デバイス制御エージェントプログラム
210 外部デバイスインタフェース
227 リモート描画サーバプログラム
228 デバイス制御マネージャプログラム
229 ログ管理サーバプログラム
230 アプリケーションプログラム
247 アクセス管理プログラム
301 ログファイル
302 アクセスコントロールリスト
311 統合ログファイル
312 ユーザ−計算機モジュール対応付けテーブル
313 ネットワーク−拠点対応付けテーブル
314 キャプチャログファイル
1000 ネットワーク管理システム
102 シンクライアント端末
103 ファイアウォール
104 組織ネットワーク
105 内部セグメント
106 計算機モジュール
107 業務サーバ
108 管理サーバ
207 リモート描画クライアントプログラム
208 デバイス制御エージェントプログラム
210 外部デバイスインタフェース
227 リモート描画サーバプログラム
228 デバイス制御マネージャプログラム
229 ログ管理サーバプログラム
230 アプリケーションプログラム
247 アクセス管理プログラム
301 ログファイル
302 アクセスコントロールリスト
311 統合ログファイル
312 ユーザ−計算機モジュール対応付けテーブル
313 ネットワーク−拠点対応付けテーブル
314 キャプチャログファイル
1000 ネットワーク管理システム
Claims (9)
- 通信可能に接続されるサービス利用装置から送信されてくる情報処理の実行要求を受信し、その実行結果を前記サービス利用装置に送信するサービスを提供するサービス提供装置であって、
前記サービス利用装置からサービス利用開始要求を受信した場合に、前記サービス利用開始要求を受信した旨の情報と、現在時刻と、を対応付けて記憶するサービス利用開始ログ記憶部と、
前記サービス利用装置に接続され前記サービス利用装置からデータを取得可能なデータ取得装置の特定情報と、当該データ取得装置によって取得されるデータの特定情報と、が記述されたデータ取得要求を、前記サービス利用装置から受信した場合に、当該データを前記データ取得装置に出力させるためのコマンドと当該データとを前記サービス利用装置に送信するコマンド送信部と、
前記サービス利用装置に送信された前記データを取得する前記データ取得装置の前記特定情報と、現在時刻と、を対応付けて記憶するデータ出力ログ記憶部と、
前記サービス利用装置からサービス利用終了要求を受信した場合に、前記サービス利用終了要求を受信した旨の情報と、現在時刻と、を対応付けて記憶するサービス利用終了ログ記憶部と、
前記記憶している各情報に基づいて、前記サービス利用開始要求を受信した時刻から前記サービス利用終了要求を受信した時刻までの間に前記データ利用装置に送信された前記データを取得した前記データ取得装置の特定情報を含む、データ送信履歴情報を生成する履歴情報生成部と、
を備えることを特徴とするサービス提供装置。 - 請求項1に記載のサービス提供装置であって、
前記データ出力ログ記憶部は、前記サービス利用装置に送信された前記データを取得する前記データ取得装置の前記特定情報と、現在時刻と、当該データ取得装置によって取得された前記データの特定情報と、を対応付けて記憶し、
前記履歴情報生成部により生成される前記データ送信履歴情報には、前記サービス利用開始要求を受信した時刻から前記サービス利用終了要求を受信した時刻までの間に前記データ利用装置に送信された前記データを取得した前記データ取得装置の特定情報と、当該データ取得装置によって取得された前記データの特定情報と、を対応付けた情報が含まれる
ことを特徴とするサービス提供装置。 - 請求項1に記載のサービス提供装置であって、
前記サービス利用装置から送信されてくる情報処理の実行要求を、通信可能に接続されるサーバに送信し、前記サーバから前記情報処理の実行結果を受信するサーバ通信部と、
前記サーバから受信した前記情報処理の実行結果の内容を示す情報と、現在時刻と、を対応付けて記憶する通信内容記憶部と、
を備え、
前記履歴情報生成部により生成される前記データ送信履歴情報には、前記サービス利用開始要求を受信した時刻から前記サービス利用終了要求を受信した時刻までの間に前記データ利用装置に送信された前記データを取得した前記データ取得装置の特定情報と、前記サーバから受信した情報処理の実行結果の内容を示す情報と、を対応付けた情報が含まれる
ことを特徴とするサービス提供装置。 - 請求項1に記載のサービス提供装置であって、
前記サービス提供装置と前記サービス利用装置との間の通信経路上に設けられる一つ以上のネットワークの各識別情報と、各ネットワークの所在を示す情報と、をそれぞれ対応付けて記憶するネットワーク情報記憶部と、
を備え、
前記サービス利用開始ログ記憶部は、前記サービス利用装置からサービス利用開始要求を受信した場合に、前記サービス利用開始要求を受信した旨の情報と、現在時刻と、前記サービス利用開始要求に記述されている当該サービス利用装置が接続しているネットワークの識別情報と、を対応付けて記憶し、
前記サービス利用終了ログ記憶部は、前記サービス利用装置からサービス利用終了要求を受信した場合に、前記サービス利用終了要求を受信した旨の情報と、現在時刻と、前記サービス利用終了要求に記述されている当該サービス利用装置が接続しているネットワークの識別情報と、を対応付けて記憶し、
前記履歴情報生成部により生成される前記データ送信履歴情報には、前記サービス利用開始要求を受信した時刻から前記サービス利用終了要求を受信した時刻までの間に前記データ利用装置に送信された前記データを取得した前記データ取得装置の特定情報と、前記サービス利用装置が接続しているネットワークの所在を示す情報と、を対応付けた情報が含まれる
ことを特徴とするサービス提供装置。 - 請求項4に記載のサービス提供装置であって、
前記サービス提供装置と前記サービス利用装置の間の通信経路上に設けられる前記一つ以上の各ネットワークの所在を示す前記情報と、前記サービス利用装置が前記各ネットワークに接続している場合における前記データ取得装置へのデータの出力可否を示す情報と、をそれぞれ対応付けて記憶するデータ出力可否記憶部と、
を備え、
前記コマンド送信部は、前記データ取得要求を前記サービス利用装置から受信した場合に、前記サービス利用装置が接続しているネットワークの前記所在に基づいて、前記データ取得装置への出力を要求されている前記データを前記データ取得装置に出力させるための前記コマンドと前記データとを前記サービス利用装置に送信するか否かを判定し、その結果に応じて前記コマンドと前記データとを前記サービス利用装置に送信する
ことを特徴とするサービス提供装置。 - 請求項4に記載のサービス提供装置であって、
前記データ送信履歴情報の閲覧要求を受け付ける閲覧要求受付部と、
前記閲覧要求に応じて、前記サービス利用開始要求を受信した時刻から前記サービス利用終了要求を受信した時刻までのサービス利用時間を表す棒グラフと、前記サービス利用時間内に前記サービス利用装置が接続しているネットワークの所在を示す情報と、前記サービス利用時間内に前記データ利用装置に送信された前記データを取得した前記データ取得装置の特定情報と、を示した画像データを生成する画像データ生成部と、
前記生成した画像データを表示する画像データ表示部と、
を備えることを特徴とするサービス提供装置。 - 請求項4に記載のサービス提供装置であって、
前記各ネットワークの識別情報は、前記各ネットワークに付与されるIPアドレスであることを特徴とするサービス提供装置。 - サービス利用装置から送信されてくる情報処理の実行要求を受信し、その実行結果を前記サービス利用装置に送信するサービスを提供するサービス提供装置に通信可能に接続される管理サーバであって、
前記サービス提供装置が前記サービス利用装置からサービス利用開始要求を受信した場合に、前記サービス提供装置から前記サービス利用開始要求を受信した旨の情報を受信し、現在時刻と対応付けて記憶するサービス利用開始ログ記憶部と、
前記サービス利用装置に接続され当該サービス利用装置からデータを取得可能なデータ取得装置の特定情報と当該データ取得装置によって取得されるデータの特定情報とが記述され前記サービス利用装置から前記サービス提供装置に送信されるデータ取得要求に基づいて、前記サービス提供装置が前記データと前記データを前記データ取得装置に出力させるためのコマンドとを前記サービス利用装置に送信した場合に、前記サービス利用装置に送信された前記データを取得する前記データ取得装置の前記特定情報を前記サービス提供装置から受信し、現在時刻と対応付けて記憶するデータ出力ログ記憶部と、
前記サービス提供装置が前記サービス利用装置からサービス利用終了要求を受信した場合に、前記サービス提供装置から、前記サービス利用終了要求を受信した旨の情報を受信し、現在時刻と対応付けて記憶するサービス利用終了ログ記憶部と、
前記記憶している各情報に基づいて、前記サービス提供装置が前記サービス利用装置から前記サービス利用開始要求を受信した時刻から前記サービス利用終了要求を受信した時刻までの間に前記サービス提供装置から前記データ利用装置に送信された前記データを取得した前記データ取得装置の特定情報を含む、データ送信履歴情報を生成する履歴情報生成部と、
を備えることを特徴とする管理サーバ。 - サービス利用装置から送信されてくる情報処理の実行要求を受信し、その実行結果を前記サービス利用装置に送信するサービスを提供するサービス提供装置に通信可能に接続される管理サーバの制御方法であって、
前記サービス提供装置が前記サービス利用装置からサービス利用開始要求を受信した場合に、前記管理サーバが、前記サービス提供装置から、前記サービス利用開始要求を受信した旨の情報を受信し、現在時刻と対応付けて記憶し、
前記サービス利用装置に接続され当該サービス利用装置からデータを取得可能なデータ取得装置の特定情報と当該データ取得装置によって取得されるデータの特定情報とが記述され前記サービス利用装置から前記サービス提供装置に送信されるデータ取得要求に基づいて、前記サービス提供装置が前記データと前記データを前記データ取得装置に出力させるためのコマンドとを前記サービス利用装置に送信した場合に、前記管理サーバが、前記サービス利用装置に送信された前記データを取得する前記データ取得装置の前記特定情報を前記サービス提供装置から受信し、現在時刻と対応付けて記憶し、
前記サービス提供装置が前記サービス利用装置からサービス利用終了要求を受信した場合に、前記管理サーバが、前記サービス提供装置から、前記サービス利用終了要求を受信した旨の情報を受信し、現在時刻と対応付けて記憶し、
前記管理サーバが、前記記憶している各情報に基づいて、前記サービス提供装置が前記サービス利用装置から前記サービス利用開始要求を受信した時刻から前記サービス利用終了要求を受信した時刻までの間に前記サービス提供装置から前記データ利用装置に送信された前記データを取得した前記データ取得装置の特定情報を含む、データ送信履歴情報を生成する
ことを特徴とする管理サーバの制御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006338975A JP2008152474A (ja) | 2006-12-15 | 2006-12-15 | サービス提供装置、管理サーバ及び管理サーバの制御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006338975A JP2008152474A (ja) | 2006-12-15 | 2006-12-15 | サービス提供装置、管理サーバ及び管理サーバの制御方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2008152474A true JP2008152474A (ja) | 2008-07-03 |
Family
ID=39654593
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006338975A Withdrawn JP2008152474A (ja) | 2006-12-15 | 2006-12-15 | サービス提供装置、管理サーバ及び管理サーバの制御方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2008152474A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010102682A (ja) * | 2008-10-21 | 2010-05-06 | Aten Internatl Co Ltd | 遠隔デスクトップ共有技術を使った、pip機能を備えたkvmスイッチ |
| JP2010218347A (ja) * | 2009-03-18 | 2010-09-30 | Nec Corp | シンクライアントサーバシステム及びusbデバイスのドライバの管理方法 |
| JP2013003794A (ja) * | 2011-06-15 | 2013-01-07 | Fujitsu Ltd | 業務分析装置、業務分析プログラム、及び業務分析方法 |
-
2006
- 2006-12-15 JP JP2006338975A patent/JP2008152474A/ja not_active Withdrawn
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010102682A (ja) * | 2008-10-21 | 2010-05-06 | Aten Internatl Co Ltd | 遠隔デスクトップ共有技術を使った、pip機能を備えたkvmスイッチ |
| JP2010218347A (ja) * | 2009-03-18 | 2010-09-30 | Nec Corp | シンクライアントサーバシステム及びusbデバイスのドライバの管理方法 |
| JP2013003794A (ja) * | 2011-06-15 | 2013-01-07 | Fujitsu Ltd | 業務分析装置、業務分析プログラム、及び業務分析方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6879979B2 (en) | Method to remotely query, safely measure, and securely communicate configuration information of a networked computational device | |
| US7805510B2 (en) | Hierarchy for characterizing interactions with an application | |
| US20110153748A1 (en) | Remote forensics system based on network | |
| JP5343383B2 (ja) | プログラム及び連携方法 | |
| CN103888490A (zh) | 一种全自动的web客户端人机识别的方法 | |
| CN106104498B (zh) | 信息处理系统、数据处理控制方法、程序和记录介质 | |
| CN112347165B (zh) | 日志处理方法、装置及服务器和计算机可读存储介质 | |
| US10775751B2 (en) | Automatic generation of regular expression based on log line data | |
| CN101127068B (zh) | 信息处理系统和信息处理方法 | |
| JP2008152474A (ja) | サービス提供装置、管理サーバ及び管理サーバの制御方法 | |
| JP4400787B2 (ja) | Webアクセス監視システム及び管理者用クライアントコンピュータ | |
| JP4636775B2 (ja) | ネットワーク監視システム | |
| Barakat et al. | Windows forensic investigations using powerforensics tool | |
| JP2007034677A (ja) | ディレクトリ情報提供方法、ディレクトリ情報提供装置、ディレクトリ情報提供システム、及びプログラム | |
| JP2009252158A (ja) | グループウェアサーバ装置、グループウェアサーバプログラム及びグループウェアサーバ装置の動作方法 | |
| CN112347066B (zh) | 日志处理方法、装置及服务器和计算机可读存储介质 | |
| JP2007200047A (ja) | アクセスログ表示システムおよび方法 | |
| CN109684158B (zh) | 分布式协调系统的状态监控方法、装置、设备及存储介质 | |
| KR20110070767A (ko) | 네트워크 기반 원격 포렌식 시스템 | |
| US20040187002A1 (en) | Cross-site search method and cross-site search program | |
| JP2008226017A (ja) | ログ情報生成装置、ログ情報管理装置、ログ情報生成方法、ログ情報管理方法及びプログラム | |
| JP2014123298A (ja) | 情報管理プログラム及び情報管理方法 | |
| WO2010084905A1 (ja) | 端末装置監視システム | |
| US20080240386A1 (en) | Network System And Communication Device | |
| JP5502021B2 (ja) | ディレクトリ情報提供装置、情報処理システム、ディレクトリ情報提供方法及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080808 |
|
| A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20091109 |