JP2012088846A - 管理装置、管理装置の制御方法、及び、プログラム - Google Patents
管理装置、管理装置の制御方法、及び、プログラム Download PDFInfo
- Publication number
- JP2012088846A JP2012088846A JP2010233684A JP2010233684A JP2012088846A JP 2012088846 A JP2012088846 A JP 2012088846A JP 2010233684 A JP2010233684 A JP 2010233684A JP 2010233684 A JP2010233684 A JP 2010233684A JP 2012088846 A JP2012088846 A JP 2012088846A
- Authority
- JP
- Japan
- Prior art keywords
- network device
- configuration change
- configuration
- movement
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/64—Hybrid switching systems
- H04L12/6418—Hybrid transport
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Stored Programmes (AREA)
Abstract
【課題】ネットワーク機器の設置場所が移動された場合でも、ネットワーク機器が移動された設置場所に従ったセキュリティルールを順守した構成となっているか容易に判断可能にすること。
【解決手段】セキュリティルール管理モジュール303にて、ネットワーク機器102を設置するフロアのマップ画像上の領域、及び、該領域においてネットワーク機器102が遵守すべきルールを設定しておく。アプリケーション管理モジュール301は、ネットワーク機器102の位置情報が変更された場合、該位置情報が変更されたネットワーク機器102の構成情報と、該変更された位置情報が属する領域においてネットワーク機器102が遵守すべきルールとを比較して、移動に伴いネットワーク機器102に必要となる構成の変更事項を判断し、該判断された前記移動に伴いネットワーク機器102に必要となる構成の変更事項を操作者に通知する。
【選択図】図9
【解決手段】セキュリティルール管理モジュール303にて、ネットワーク機器102を設置するフロアのマップ画像上の領域、及び、該領域においてネットワーク機器102が遵守すべきルールを設定しておく。アプリケーション管理モジュール301は、ネットワーク機器102の位置情報が変更された場合、該位置情報が変更されたネットワーク機器102の構成情報と、該変更された位置情報が属する領域においてネットワーク機器102が遵守すべきルールとを比較して、移動に伴いネットワーク機器102に必要となる構成の変更事項を判断し、該判断された前記移動に伴いネットワーク機器102に必要となる構成の変更事項を操作者に通知する。
【選択図】図9
Description
本発明は、1又は複数のネットワーク機器を管理する管理装置に関する。
従来、複数のネットワーク機器に対してセキュリティのルールを適用するためにネットワーク機器に所属グループを設定する方法があった。例えば、ネットワーク機器を位置情報に従って、グループとして登録し、グループごとにセキュリティのルールを適用することで、複数のネットワーク機器にセキュリティのルールを適用するという方法があげられる(特許文献1参照)。
ネットワーク機器はその設置位置によって、インストールすべきアプリケーションプログラム(以下、アプリケーション)や、インストールすべきでないアプリケーションが決まっている場合がある。例えば、外部社員が入れる領域では、ネットワーク機器の利用を監視するアプリケーションがインストールされていることが望ましい。
また、ネットワーク機器はその設置位置によって、利用可能なユーザや、利用させるべきでないユーザが決まっている場合もある。
これまでは、各ネットワーク機器がセキュリティ適用領域に入っているかどうかをIT管理者が確認し、IT管理者が各ネットワーク機器に最適な設定を行う必要があった。
しかし、ネットワーク機器の設置位置を変更したときや、アプリケーションのインストールやアンインストールが行われるたびに、各ネットワーク機器がそのエリアのセキュリティポリシーと一致しているかどうかを判断し、対処するのは、大変な負担であった。
これまでは、各ネットワーク機器がセキュリティ適用領域に入っているかどうかをIT管理者が確認し、IT管理者が各ネットワーク機器に最適な設定を行う必要があった。
しかし、ネットワーク機器の設置位置を変更したときや、アプリケーションのインストールやアンインストールが行われるたびに、各ネットワーク機器がそのエリアのセキュリティポリシーと一致しているかどうかを判断し、対処するのは、大変な負担であった。
本発明は、上記の問題点を解決するためになされたもので、本発明の目的は、ネットワーク機器の設置場所が移動された場合でも、ネットワーク機器が移動された設置場所に従ったセキュリティルールを順守した構成となっているか容易に判断することができる仕組みを提供することである。
本発明は、1又は複数のネットワーク機器を管理する管理装置であって、前記ネットワーク機器を設置する1又は複数のフロアのマップ画像、前記ネットワーク機器の設置位置を示す前記マップ画像上の位置情報、及び前記ネットワーク機器の構成情報を記憶する記憶手段と、前記マップ画像上の領域、及び、該領域において前記ネットワーク機器が遵守すべきルールを設定するための設定手段と、前記ネットワーク機器の位置情報を変更することにより前記ネットワーク機器を移動させる場合の移動先を指示する移動手段と、前記移動手段により前記ネットワーク機器の位置情報が変更された場合、該位置情報が変更されたネットワーク機器の構成情報と、該変更された位置情報が属する領域において前記ネットワーク機器が遵守すべきルールとを比較して、移動に伴い前記ネットワーク機器に必要となる構成の変更事項を判断する判断手段と、前記判断手段により判断された前記移動に伴い前記ネットワーク機器に必要となる構成の変更事項を操作者に通知するための通知手段と、を有することを特徴とする。
本発明によれば、ネットワーク機器の設置場所が移動された場合でも、ネットワーク機器が移動された設置場所に従ったセキュリティルールを順守した構成となっているか容易に判断することができる。
以下、本発明を実施するための形態について図面を用いて説明する。
図1は、本発明の一実施例を示すネットワーク機器管理システムの全体構成図である。
図1に示すように、本実施例のネットワーク機器管理システムは、ネットワーク100により互いに接続されたネットワーク機器管理装置101、ネットワーク機器102、及びクライアント装置103から構成される。
図1に示すように、本実施例のネットワーク機器管理システムは、ネットワーク100により互いに接続されたネットワーク機器管理装置101、ネットワーク機器102、及びクライアント装置103から構成される。
クライアント装置103は、ブラウザ機能を持った一般的なパーソナルコンピュータである。なお、ネットワーク機器102は、MFP(Multi-Function Printer)、プリンタ、FAX、スキャナなどであり、ネットワーク100を介してネットワーク機器管理装置101によって管理可能な機器である。
図2は、ネットワーク機器管理装置101のハードウェア構成の一例を示すブロック図である。なお、このハードウェア構成は、クライアント装置103とも共通する汎用的なコンピュータにおける構成となる。
図2において、システムバス200は、コンピュータを構成するコンポーネント間の共通データ交換経路である。CPU(Central Processing Unit)201は、コンピュータ全体の制御や演算処理を行う装置(プロセッサ)である。RAM(Random Access Memory)202は、処理を行う際にプログラムやデータを記憶、実行する領域を指す。ROM(Read Only Memory)203は、システム起動プログラムなどのプログラムを記憶する領域である。
DKC(Disk Controller)204は、HD(Hard Disk)205などの外部記憶装置の制御をおこなう。HD205は、プログラムやデータを記憶して、必要に応じてRAM202に対してプログラムやデータなどをロードする。Network I/F(Interface)206は、ネットワーク100と接続し、ネットワーク通信を行う。入出力I/F207は、不図示のキーボードやマウス、ディスプレイなどに接続されており、データの入出力を行う。
ネットワーク機器管理装置101は、CPU201が基本I/Oプログラム及びOSを実行している状態で動作する。基本I/OプログラムはROM203に、OSはHD205にそれぞれコンピュータ読み取り可能に記録されている。ネットワーク機器管理装置101の電源がONになった際に、基本I/Oプログラム中の初期化プログラムロード機能により、HD205からOSがRAM202にロードされ、OSの動作が開始される。
図3は、ネットワーク機器管理装置101のソフトウェア構成を示すブロック図である。
図3に示すように、ネットワーク機器管理装置101におけるソフトウェアは、管理ユーティリティ300、データベース304、ネットワークモジュール305、Webサーバサービス306を有する。なお、図3に示すソフトウェア構成は、プログラムとしてHD205(図2)に格納されており、CPU201(図2)によって実行されるものである。
図3に示すように、ネットワーク機器管理装置101におけるソフトウェアは、管理ユーティリティ300、データベース304、ネットワークモジュール305、Webサーバサービス306を有する。なお、図3に示すソフトウェア構成は、プログラムとしてHD205(図2)に格納されており、CPU201(図2)によって実行されるものである。
管理ユーティリティ300は、アプリケーション管理モジュール301や描画モジュール302、セキュリティルール管理モジュール303、ネットワーク探索モジュール307を有する。
アプリケーション管理モジュール301は、ネットワーク機器102にインストールするアプリケーションのファイルを、ネットワーク機器102に送信するようにネットワークモジュール305に依頼する。なお、ここで送信するファイルは、実行モジュールや設定ファイル等のアプリケーションプログラム(以下、アプリケーション)をネットワーク機器102にインストールするために必要な全てのファイルと、アプリケーションのインストールを依頼する情報を含む。
また、アプリケーション管理モジュール301は、ネットワーク機器102からアプリケーションのアンインストールを依頼する情報を、ネットワーク機器102に送信するようにネットワークモジュール305に依頼する。
また、アプリケーション管理モジュール301は、ネットワーク機器102にインストールされたアプリケーションの情報、アンインストールされたアプリケーションの情報のデータベース304への登録も行う。即ち、アプリケーション管理モジュール301は、ネットワーク機器102の構成情報をデータベース304へ登録する。
描画モジュール302は、後述する図7及び図9に示すようなネットワーク機器102の配置位置を表現するマップ画像の描画などを行うモジュールである。なお、データベース304には、ネットワーク機器102を設置する1又は複数のフロア(これらのフロアは異なる建物にあってもよい)のマップ画像と、ネットワーク機器102の設置位置に対応する前記マップ画像上の位置情報(座標)が登録されている。これらの情報の登録は、アプリケーション管理モジュール301から行われるものとするが、他の経路で登録してもよい。そして、このマップ画像とネットワーク機器102の位置情報を用いて、描画モジュール302は、上述のマップ画像(図7及び図9に示すようなマップ画像)を描画する。
なお、本実施例における描画モジュール302は、Webアプリケーションを想定してマップ画像を表示するための表示画面を描画(生成)する表示画面生成として説明する。しかし、Webアプリケーションでなく、ネイティブアプリケーションに表示画面を表示するための表示画面を生成するものであってもよい。
セキュリティルール管理モジュール303は、ユーザによって指定されたセキュリティルール適用範囲(セキュリティルールを適用する範囲(領域)の形状、位置、サイズ等)を管理する。また、セキュリティルール管理モジュール303は、上記指定されたセキュリティルール適用範囲内のネットワーク機器102にインストールすべきアプリケーション、若しくはインストールすべきでないアプリケーションの情報も管理する。セキュリティルール管理モジュール303は、上記セキュリティルール適用範囲、及び、該セキュリティルール適用範囲においてネットワーク機器102が遵守すべきルールの指定(設定)を受け付け、これらを紐付けてデータベース304に登録する。
さらに、アプリケーション管理モジュール301は、後述するネットワーク機器102の移動先の座標や、後述するネットワーク機器102の構成変更操作(構成変更依頼)を行うタスクの予定(タスクスケジュール)をデータベース304へ登録する。
ネットワーク探索モジュール307は、ネットワークモジュール305を使用し、ネットワークに接続されたネットワーク機器102やクライアント装置103を探索する。また、ネットワーク探索モジュール307は、探索対象から設定情報(マックアドレスや構成情報)などを取得し、アプリケーション管理モジュール301に情報を受け渡す。そして、アプリケーション管理モジュール301は、これらの情報をデータベース304へ登録する。
データベース304は、データの管理、及び他のモジュールからの要求に対してデータの登録と取り出しを行う。なお、データベース304で管理するデータは、ネットワーク機器102にインストールされているアプリケーションの情報、ネットワーク機器102を設置する1又は複数のフロアのマップ画像、ネットワーク機器102の座標(上記マップ画像上の位置情報)、後述するネットワーク機器102の構成変更操作の予定情報等を含む。また、データベース304は、管理ユーティリティ300からアクセス可能であれば、ネットワーク機器管理装置101とは別の機器上にあってもよい。
ネットワークモジュール305は、ネットワーク100を介してネットワークに接続されたネットワーク機器102やクライアント装置103との通信を行う。
Webサーバサービス306は、ユーザが操作するクライアント装置103のWebブラウザからHTTPによるGETリクエストを受け取ると、HD205に保存されたWebページデータを送信する。なお、クライアント装置103のWebブラウザは、Webサーバサービス306によって、外部からネットワーク100経由でネットワーク機器管理装置101へアクセスすることが可能である。
Webサーバサービス306は、ユーザが操作するクライアント装置103のWebブラウザからHTTPによるGETリクエストを受け取ると、HD205に保存されたWebページデータを送信する。なお、クライアント装置103のWebブラウザは、Webサーバサービス306によって、外部からネットワーク100経由でネットワーク機器管理装置101へアクセスすることが可能である。
ネットワーク機器管理装置101は、Webサーバサービス306にインストールされた管理ユーティリティ300を実行することで管理装置として機能する。管理ユーティリティ300は、例えばWebサーバサービス306で提供するWebページへのリクエストに応答して処理を実行するプログラムとして実装されている。上記のように、管理ユーティリティ300は、Webサーバサービス306とともにネットワーク機器102を管理するWebアプリケーションを実現している。
図4は、ネットワーク機器102のハードウェア構成の一例を示す図である。
図4に示すように、ネットワーク機器102は、制御ユニット400、操作部401、プリンタ402、スキャナ403を有する。
操作部401は、表示部や操作キーを有し、ユーザからの操作を受け付ける。なお、操作部401は、タッチパネルのような表示と操作を兼ねた構成であっても良い。
制御ユニット400は、CPU410、RAM411、操作部I/F412、Network I/F413、ROM414、DKC415、HD416、Image Bus I/F417、システムバス418を有する。また、制御ユニット400の印刷、スキャン関連の構成には、画像バス419、スキャナ画像処理部420、プリンタ画像処理部421、RIP422、デバイスI/F423が含まれる。なお、上記の構成のうち、スキャナ403及びスキャナ画像処理部420は含まれていなくてもよい。
図4に示すように、ネットワーク機器102は、制御ユニット400、操作部401、プリンタ402、スキャナ403を有する。
操作部401は、表示部や操作キーを有し、ユーザからの操作を受け付ける。なお、操作部401は、タッチパネルのような表示と操作を兼ねた構成であっても良い。
制御ユニット400は、CPU410、RAM411、操作部I/F412、Network I/F413、ROM414、DKC415、HD416、Image Bus I/F417、システムバス418を有する。また、制御ユニット400の印刷、スキャン関連の構成には、画像バス419、スキャナ画像処理部420、プリンタ画像処理部421、RIP422、デバイスI/F423が含まれる。なお、上記の構成のうち、スキャナ403及びスキャナ画像処理部420は含まれていなくてもよい。
CPU410は、制御ユニット全体を制御するコントローラである。RAM411は、画像データを一時記憶するための画像メモリである。
操作部I/F412は、操作部401とのインターフェースであり、操作部401で表示する画像データを操作部401に対して出力する。また、操作部I/F412は、ユーザが操作部401に入力した情報をCPU410へ伝達する役割を持つ。
操作部I/F412は、操作部401とのインターフェースであり、操作部401で表示する画像データを操作部401に対して出力する。また、操作部I/F412は、ユーザが操作部401に入力した情報をCPU410へ伝達する役割を持つ。
Network I/F413は、ネットワーク100と接続しており、ネットワーク100との情報のやり取りをするインターフェースである。また、Network I/F413は、ネットワーク機器102の各種情報を格納したMIB(Management Information Base)を管理している。MIBに格納されている各種情報は、IPアドレスやネットワーク機器の名称などの情報を指し、HD413、RAM411、ROM414などに保存されている。
ROM414は、ブートROMであり、システムのブートプログラムが格納されている。DKC(Disk Controller)415は、HD(Hard Disk)416の制御を行う。HD416は、外部記憶装置であり、システムソフトウェアや画像データを格納する。Image Bus IF417は、システムバス418と画像バス419とを接続し、データ変換を行うバスブリッジである。
システムバス418は、制御ユニットを構成する各コンポーネント同士の共通データ交換経路である。画像バス419は、PCIバス又はIEEE1394で構成されており、画像データを高速で転送する経路である。スキャナ画像処理部420は、入力画像に対し、補正や加工、編集を行う。プリンタ画像処理部421は、プリント出力データに対して、プリンタの性能に応じた、補正、解像度の変換などを行う。
RIP(Raster Image Processor)422は、ネットワーク100から送られてきたPDLコマンドをビットマップイメージに展開する。デバイスI/F423は、画像入出力デバイスであるプリンタ402、スキャナ403と制御ユニット400とを接続し、画像データの同期系/非同期系の変換を行う。
図5は、ネットワーク機器102のソフトウェア構成の一例を示すブロック図である。
図5に示すように、ネットワーク機器102におけるソフトウェアは、ネットワークモジュール500、アプリケーション管理モジュール501、移動検知モジュール504を有する。なお、図5に示すソフトウェア構成は、プログラムとしてROM414又はHD416(図4)に格納されており、CPU410(図4)によって実行されるものである。
図5に示すように、ネットワーク機器102におけるソフトウェアは、ネットワークモジュール500、アプリケーション管理モジュール501、移動検知モジュール504を有する。なお、図5に示すソフトウェア構成は、プログラムとしてROM414又はHD416(図4)に格納されており、CPU410(図4)によって実行されるものである。
ネットワークモジュール500は、ネットワーク100を介してネットワーク機器管理装置101との通信を行う。501はアプリケーション管理モジュールであり、ネットワーク機器102にインストールされるアプリケーションの管理を行う。
アプリケーション管理モジュール501は、アプリケーション受信モジュール502と、アプリケーション追加/削除モジュール503を有する。なお、ネットワーク機器102にインストールされるアプリケーションは、予めプリインストールされたアプリケーションや、後から追加インストールされるアプリケーションを含む。
アプリケーション受信モジュール502は、ネットワーク100を介してネットワーク機器管理装置101から送られてきたインストールすべきアプリケーションのファイルや、アプリケーションのアンインストール依頼を受信する。アプリケーション受信モジュール502はさらに、アプリケーション追加/削除モジュール503に、アプリケーションのインストールやアンインストールを依頼する。
アプリケーション追加/削除モジュール503は、アプリケーション管理モジュール501がネットワーク機器管理装置101から受けた依頼に応じて、アプリケーションのインストール、及びアンインストールを行う。
なお、アプリケーション管理モジュール501は、ネットワーク機器管理装置101から送られてきた設定情報(マックアドレスや構成情報)などの取得要求に応じて、設定情報などをネットワーク機器管理装置101に送信する。なお、上記構成情報には、ネットワーク機器102にインストールされているアプリケーションの情報や、利用可能に設定されているユーザの情報等を含む。
移動検知モジュール504は、ネットワーク機器102の移動を検知して、ネットワーク機器管理装置101に対して移動の有無を通知する。なお、移動検知モジュール504は、後述する実施例2に記載されるようにGPSや、移動時に操作部401上の特定のボタンを押下するという方法でネットワーク機器102の移動を検知する。
図6は、ネットワーク機器102が遵守すべきセキュリティのルールとセキュリティのルールが適用される領域(セキュリティルール適用範囲)を登録する際の動作を示すフローチャートである。なお、本動作は、ネットワーク機器管理装置101内のセキュリティルール管理モジュール303が動作の主体となる。即ち、このフローチャートの各ステップは、HD205にコンピュータ読み取り可能に記録されたプログラムをCPU201が実行することにより実現される。
ユーザが操作するクライアント装置103のWebブラウザからセキュリティルールの設定開始が指示されると、Webサーバサービス306は図7のようなセキュリティルール設定ウィンドウ1100を、上記Webブラウザ上に表示する。ここで、セキュリティルール設定ウィンドウ1100について説明する。
図7は、セキュリティ適用領域とセキュリティのルールを指定(設定)するためのユーザインタフェース(UI)であるセキュリティルール設定ウィンドウの一例を示す図である。
セキュリティルール設定ウィンドウ1100において、1101はセキュリティ領域範囲選択ツールで、ユーザ入力カーソル1102によってマップエリア1103の範囲内で形状、位置、大きさを、セキュリティ適用範囲(領域)として指定する。なお、マップエリア1103は、描画モジュール302により描画されたものである。また、セキュリティの適用範囲の指定方法は、描画モジュール302により描画されたネットワーク機器の設置されるフロアを表すマップ画像上の範囲(領域)を指定する方法であれば、どのような方法でも良い。例えば、描画されたマップ画像上にユーザが矩形を描画する方法等があげられる。なお、上記マップ画像を、以下、デバイスマップともいう。
1104はアプリケーション指定ボックスで、アプリケーションの名前を選択することで対象となるアプリケーションを設定する。1105はインストール/アンインストール指定ボックスで、インストールすべきアプリケーションかアンインストールすべきアプリケーションかを設定する。即ち、1104及び1105によりセキュリティポリシーのルールを設定する。
セキュリティ適用範囲、及びセキュリティポリシーのルールを設定後、設定ボタン1106を押下することで、セキュリティルール管理モジュール303により図6のS600〜S603が実行される。そして、セキュリティ適用範囲及びセキュリティポリシーのルールがデータベース304に登録される。なお、ユーザによる入力は、ユーザが操作するクライアント装置103の入出力I/F207に接続されたマウス等から可能である。以下、図6の各ステップを詳細に説明する。
まずS600において、セキュリティルール管理モジュール303は、ユーザによって入力(設定)されたセキュリティ適用範囲を取得する。
次にS601において、セキュリティルール管理モジュール303は、ユーザによって入力(設定)されたセキュリティポリシーのルール1104及び1105を取得する。なお、セキュリティのルールの例は後述する。
次にS601において、セキュリティルール管理モジュール303は、ユーザによって入力(設定)されたセキュリティポリシーのルール1104及び1105を取得する。なお、セキュリティのルールの例は後述する。
次にS602において、セキュリティルール管理モジュール303は、上記S600で取得したセキュリティルール適用範囲及び上記S601で取得したセキュリティポリシーのルールを関連付けてデータベース304に登録する。
次にS603において、セキュリティルール管理モジュール303は、セキュリティのルールの入力が終わったことがユーザによって示されたか否かを判定する。例えば、セキュリティルール設定ウィンドウ1100の終了が指示された場合、セキュリティのルールの入力が終わったことが指示されたと判定する。
そして、セキュリティのルールの入力が終わっていないことがユーザによって示されたと判定した場合(S603でNo)、セキュリティルール管理モジュール303は、再びS600に処理を移し、新しいセキュリティのルールの設定を受け付ける。このような処理を繰り返して、1つのセキュリティ適用範囲に対して複数のセキュリティポリシーのルールを設定することができる。また、複数のセキュリティ適用範囲に対して同一のセキュリティポリシーのルールを一括で設定可能なUIを設けてもよい。
一方、セキュリティのルールの入力が終わったことがユーザによって示された場合(S603でYes)、セキュリティルール管理モジュール303は、セキュリティのルールと適用範囲の登録処理を終了する。
上記の説明では、セキュリティルール設定ウィンドウ1100をユーザが操作するクライアント装置103のWebブラウザ上に表示し、該Webブラウザからセキュリティのルール等の入力を行う構成を説明した。しかし、セキュリティルール設定ウィンドウ1100をネットワーク機器管理装置101のディスプレイに表示し、ネットワーク機器管理装置101のマウスからセキュリティのルール等の入力を行う構成でもよい。
次に、セキュリティのルールの例を示す。
セキュリティのルールは、適用範囲内に設定されたネットワーク機器102が遵守すべき決まり事である。セキュリティのルールは、ネットワーク機器管理装置101のセキュリティルール管理モジュール303によってデータベース304に登録される。以下に、ネットワーク機器102がMFPの場合の例を示す。
セキュリティのルールは、適用範囲内に設定されたネットワーク機器102が遵守すべき決まり事である。セキュリティのルールは、ネットワーク機器管理装置101のセキュリティルール管理モジュール303によってデータベース304に登録される。以下に、ネットワーク機器102がMFPの場合の例を示す。
会社外の人が出入りする可能性のある領域に設置されるMFPは、社内の人のみが出入りする領域に設置されるMFPには必要のないアプリケーションをインストールする必要がある場合がある。例えば、印刷物やスキャンした文書を監視するために、ユーザの情報とコンテンツログ(出力画像の履歴情報)とを関連付けて記憶、管理するアプリケーション等が、これに該当する。
このようなアプリケーションをインストールする場合は、セキュリティのルールを「領域内のネットワーク機器は該当アプリケーションをインストールすること」と定義できる。本発明におけるセキュリティのルールは、ユーザが指定した領域とその中でネットワーク機器が遵守すべきルールを定義することを特徴としている。
図8は、各ネットワーク機器102にインストールされたアプリケーションがセキュリティのルールを遵守しているかを判定する動作について示すフローチャートである。なお、本動作は、ネットワーク機器管理装置101内のアプリケーション管理モジュール301が動作の主体となる。即ち、このフローチャートの各ステップは、HD205にコンピュータ読み取り可能に記録されたプログラムをCPU201が実行することにより実現される。
ユーザが操作するクライアント装置103のWebブラウザからネットワーク機器の移動時のセキュリティ判定の開始が指示されると、Webサーバサービス306は図9のようなセキュリティ判定ウィンドウ1200を、上記Webブラウザ上に表示する。ここで、図9のようなセキュリティ判定ウィンドウ1200について説明する。
図9は、ネットワーク機器の移動時にセキュリティの判定を行うUIの一例を示す図である。
セキュリティ判定ウィンドウ1200において、1201はネットワーク機器アイコンで、ユーザ(操作者)のドラッグ操作によってマップエリア1203(デバイスマップともいう)内を移動することが可能である。なお、マップエリア1203は、描画モジュール302により描画されたものであり、図7のマップエリア1103と同一のものである。ユーザがマップエリア1203上に描画されたネットワーク機器102を示すアイコン1201(以下、デバイスアイコン)をマウスで移動(ドラッグ)して位置情報を変更することで、アプリケーション管理モジュール301により図8のS700〜S706が実行される。
セキュリティ判定ウィンドウ1200において、1201はネットワーク機器アイコンで、ユーザ(操作者)のドラッグ操作によってマップエリア1203(デバイスマップともいう)内を移動することが可能である。なお、マップエリア1203は、描画モジュール302により描画されたものであり、図7のマップエリア1103と同一のものである。ユーザがマップエリア1203上に描画されたネットワーク機器102を示すアイコン1201(以下、デバイスアイコン)をマウスで移動(ドラッグ)して位置情報を変更することで、アプリケーション管理モジュール301により図8のS700〜S706が実行される。
1202はセキュリティ警告ポップアップで、セキュリティ適用範囲1204に入ったネットワーク機器アイコンが、セキュリティルールと一致していないと判定された際に表示される。このセキュリティ警告ポップアップ1202の中には、インストール若しくはアンインストールが必要なアプリケーションの名前が表示される。なお、セキュリティ適用範囲1204は、図7のセキュリティ領域範囲選択ツール1101で指定されたものである。
OKボタン1205が押下されると、セキュリティ判定ウィンドウ1200が閉じられる。
なお、セキュリティ判定ウィンドウ1200における、ユーザによる操作は、ユーザが操作するクライアント装置103の入出力I/F207に接続されたマウス等から可能である。
なお、セキュリティ判定ウィンドウ1200における、ユーザによる操作は、ユーザが操作するクライアント装置103の入出力I/F207に接続されたマウス等から可能である。
以下、図8の各ステップについて詳細に説明する。
まずS700では、アプリケーション管理モジュール301は、ユーザが移動するネットワーク機器102の識別番号を取得する。詳細には、アプリケーション管理モジュール301は、マップエリア1203上のクリック位置をもとに、デバイスアイコン1201がクリックされたかどうかを判別する。デバイスアイコン1201がクリックされた場合、アプリケーション管理モジュール301は、そのデバイスアイコン1201に対応するネットワーク機器102を識別するための情報(例えば、MACアドレス)をネットワーク機器102の情報が格納されているデータベース304から取得する。
まずS700では、アプリケーション管理モジュール301は、ユーザが移動するネットワーク機器102の識別番号を取得する。詳細には、アプリケーション管理モジュール301は、マップエリア1203上のクリック位置をもとに、デバイスアイコン1201がクリックされたかどうかを判別する。デバイスアイコン1201がクリックされた場合、アプリケーション管理モジュール301は、そのデバイスアイコン1201に対応するネットワーク機器102を識別するための情報(例えば、MACアドレス)をネットワーク機器102の情報が格納されているデータベース304から取得する。
次にS701において、アプリケーション管理モジュール301は、上記S700で指定されたネットワーク機器102の移動先の座標(変更されたデバイスマップ上の位置情報)を取得する。
次にS702において、アプリケーション管理モジュール301は、ネットワーク機器102が移動の前後で、セキュリティルールの異なる領域に移動したかどうかを判定する。この際、アプリケーション管理モジュール301は、データベース304からネットワーク機器102の移動の前後の領域のセキュリティルールを取得し、これらを比較して判定する。
そして、セキュリティルールが同じ領域に移動したと判定した場合(S702でNo)、アプリケーション管理モジュール301は、S706に処理を進める。
一方、セキュリティルールの異なる領域に移動したと判定した場合(S702でYes)、アプリケーション管理モジュール301は、S703に処理を進める。
S703では、アプリケーション管理モジュール301は、ネットワーク機器102の構成情報が移動先のセキュリティルールに一致している(遵守している)かどうかを判断する。この判断では、アプリケーション管理モジュール301は、データベース304から移動したネットワーク機器102の構成情報を取得し、これと前記移動先のセキュリティルールとを比較して判断する。この際、移動に伴いネットワーク機器102に必要となる構成の変更事項を含めて判断する。なお、ネットワーク機器102の構成情報は、ネットワーク探索モジュール307を用いて、ネットワーク機器102から直接取得するようにしてもよい。
一方、セキュリティルールの異なる領域に移動したと判定した場合(S702でYes)、アプリケーション管理モジュール301は、S703に処理を進める。
S703では、アプリケーション管理モジュール301は、ネットワーク機器102の構成情報が移動先のセキュリティルールに一致している(遵守している)かどうかを判断する。この判断では、アプリケーション管理モジュール301は、データベース304から移動したネットワーク機器102の構成情報を取得し、これと前記移動先のセキュリティルールとを比較して判断する。この際、移動に伴いネットワーク機器102に必要となる構成の変更事項を含めて判断する。なお、ネットワーク機器102の構成情報は、ネットワーク探索モジュール307を用いて、ネットワーク機器102から直接取得するようにしてもよい。
そして、移動先のセキュリティルールと一致している(遵守している)と判断した場合(S703でYes)、アプリケーション管理モジュール301は、S706に処理を進める。
一方、ネットワーク機器102の構成情報が移動先のセキュリティルールを一致していない(遵守していない)と判断した場合、アプリケーション管理モジュール301は、S704に処理を進める。
アプリケーション管理モジュール301は、セキュリティ警告ポップアップ1202をWebサーバサービス306を介して上記Webブラウザ上に表示する。これにより、前記判断された前記移動に伴いネットワーク機器102に必要となる構成の変更事項を操作者に通知する。さらに、アプリケーション管理モジュール301は、ネットワーク機器102の移動をキャンセルするかどうかをユーザに問い合わせ(S704)、その返答を取得する。例えば、上記Webブラウザを介して、「機器の移動をキャンセルしますか?」等のメッセージと「Yes」ボタン及び「No」ボタンを有するポップアップウィンドウ(不図示)を表示し、ユーザからのボタン押下を受け付ける。そして、ネットワーク機器102の移動をキャンセルする(上記「Yes」ボタンが押下された)と判定した場合(S704でYes)、アプリケーション管理モジュール301は、移動先の座標情報を破棄して本フローチャートの処理を終了する。なおこの際、アプリケーション管理モジュール301は、上記Webブラウザを介して、ネットワーク機器アイコン1201を元の位置に戻し、セキュリティ警告ポップアップ1202を閉じる。
一方、ネットワーク機器102の移動をキャンセルしない(上記「No」ボタンが押下された)と判定した場合(S704でNo)アプリケーション管理モジュール301は、S705に処理を進める。
S705では、アプリケーション管理モジュール301は、ネットワーク機器102の構成を、移動先のセキュリのルールに合わせて変更するための構成変更依頼を送信するための画面(図10のような画面)を上記Webブラウザ上に表示する。そして、S706に処理を進める。これにより、機器の構成変更を依頼するタスク(アプリケーション配信タスクやライセンス返却タスク等)の作成をユーザに促すことができる。
ここで表示する画面では、実際に構成変更の依頼を送信する日付や時刻などのパラメータをユーザに入力させてもよい。ネットワーク機器102がMFPである場合、MFPは昼間業務により継続的に使用されていて、ネットワーク機器管理装置101が構成を変更することが困難な場合がある。このような場合、日付のみを入力させて、夜間等の所定時刻にネットワーク機器管理装置101がネットワーク機器102の構成の変更依頼を送信するようにすることもできる。ここで、この表示画面について説明する。
図10は、図8のS705で表示するネットワーク機器構成変更UIの一例を図である。
図10において、1300はネットワーク機器構成変更メニューウィンドウの一例である。1301は構成変更内容表示欄で、対象のネットワーク機器に対する構成変更操作の内容(構成の変更事項)を示す。これにより、移動に伴いネットワーク機器102に必要となる構成の変更事項を操作者に通知する。
図10において、1300はネットワーク機器構成変更メニューウィンドウの一例である。1301は構成変更内容表示欄で、対象のネットワーク機器に対する構成変更操作の内容(構成の変更事項)を示す。これにより、移動に伴いネットワーク機器102に必要となる構成の変更事項を操作者に通知する。
構成変更日入力欄1302及び構成変更時刻入力欄1303は、ネットワーク機器の構成変更が行われる日時(日付、時刻)の入力(指定)をユーザから受け付ける。設定ボタン1304を押下するとウィンドウが閉じられ、指定の構成変更操作(構成変更依頼の送信)が指定の日時に行われるようにタスクがデータベース304へ登録される。この際、セキュリティ警告ポップアップ1202も閉じられる。その後、このタスクの情報をデータベース304から読み出したアプリケーション管理モジュール301は、該タスクを実行し、指定の日時に指定の構成変更操作を行うように制御する。図10の例では、指定日時(6月22日23時00分)に、指定の構成変更操作(デバイスXからアプリケーションAをアンインストールする操作)をネットワーク機器102に依頼する。
なお、設定ボタン1304が押下されることなくウィンドウ1300が閉じられた場合には、指定の構成変更操作を指定の日時に行うタスクのデータベース304への登録は実行されず、セキュリティ警告ポップアップ1202も表示されたままとなる。
なお、ネットワーク機器102を実際に移動する際には、セキュリティのルールによってネットワーク機器を移動するべきタイミングが異なる場合がある。例えば、特定のアプリケーションがインストール(又はアンインストール)されている必要がある領域にネットワーク機器を移動する場合、インストール(又はアンインストール)は移動する前に行わなければならない。一方、特定のアプリケーションがインストール(又はアンインストール)されている必要がある領域から他の領域へネットワーク機器を移動する場合、インストール(又はアンインストール)は移動後に行わなければならない。そこで、構成変更注意メッセージ1305によって、ネットワーク機器を実際に移動する時刻についての注意事項を表示する。これにより、構成変更をネットワーク機器102の実際の移動の前又は後のいずれに行う必要があることを通知操作者に通知する。
以下、図8のフローチャートの説明に戻る。
S706では、アプリケーション管理モジュール301は、ネットワーク機器を移動先の座標をデータベースに保存することで、ネットワーク機器の移動を確定する。そして、本フローチャートの処理を終了する。
S706では、アプリケーション管理モジュール301は、ネットワーク機器を移動先の座標をデータベースに保存することで、ネットワーク機器の移動を確定する。そして、本フローチャートの処理を終了する。
上記の説明では、ウィンドウ1200,1300をユーザが操作するクライアント装置103のWebブラウザ上に表示し、該Webブラウザからセキュリティのルール等の入力を行う構成を説明した。しかし、ウィンドウ1200,1300をネットワーク機器管理装置101のディスプレイに表示し、ネットワーク機器管理装置101のマウスからセキュリティのルール等の入力を行う構成でもよい。
本実施例によれば、管理者は、管理装置の画面上で、機器のアイコンをセキュリティ適用エリアに移動させるだけで、機器が移動先のセキュリティポリシーに一致しているか、不一致の場合、どのような構成変更が必要か等を容易に知ることができる。
また、管理装置にセキュリティ適用エリアを図式的に表示することができるため、管理者が記憶する必要がなく、セキュリティ適用エリアの管理が容易になる。
さらに、インストール(アンインストール)処理の際に、すぐにインストールを行う事が困難な場合には、処理タイミングを半自動で制御することができる。
また、移動前に利用制限を行いたい場合も、インストール、アンインストールの実行のタイミングを制御することで対応することが可能である。
さらに、インストール(アンインストール)処理の際に、すぐにインストールを行う事が困難な場合には、処理タイミングを半自動で制御することができる。
また、移動前に利用制限を行いたい場合も、インストール、アンインストールの実行のタイミングを制御することで対応することが可能である。
上記実施例1では、ネットワーク機器102が移動された際に、移動先のセキュリティルールに従っていなかった場合、ネットワーク機器管理装置101がネットワーク機器102の構成を変更する方法を示した。
しかし、ネットワーク機器102の構成変更が行われた前後に、必ずしも予定通りにネットワーク機器102が移動されているとは限らない。さらに、ネットワーク機器102の移動と構成変更の前後関係が重要になる場合がある。
例えば、ネットワーク機器102をよりルールの厳しい領域に移動する場合、移動が完了する前に構成変更が必要になる。一方で、ネットワーク機器102をルールの緩やかな領域に移動する場合、移動が完了するまでは、機器の構成を変更してはいけない。
そこで本実施例では、ネットワーク機器102の移動と、構成の変更処理の前後関係を制御する構成について説明する。なお、S600〜S603及びS700〜S702は実施例1と同様であるため説明を省略する。本実施例では、図8のS700及びS701の処理の後に、以下に示す図11のフローチャートを実行する。
図11は、対象となるネットワーク機器102の移動に伴うアプリケーションのインストール及びアンインストール時の動作を示すフローチャートである。この動作は、ネットワーク機器管理装置101のアプリケーション管理モジュール301が主体となる。
アプリケーション管理モジュール301は、図8のS700及びS701の処理の後に、図11(a)の処理、及び、図11(b)の処理を実行する。
S800では、アプリケーション管理モジュール301は、セキュリティルール管理モジュール303から情報を取得し、対象のネットワーク機器102がセキュリティルールの適用されたエリアへ移動するかを判定する。
S800では、アプリケーション管理モジュール301は、セキュリティルール管理モジュール303から情報を取得し、対象のネットワーク機器102がセキュリティルールの適用されたエリアへ移動するかを判定する。
そして、ネットワーク機器102がセキュリティルールの適用されたエリアに移動しないと判定した場合(S800でNo)、アプリケーション管理モジュール301は、そのまま図11(a)の処理を終了させる。
一方、ネットワーク機器102がセキュリティルールの適用されたエリアに移動すると判定した場合(S800でYes)、アプリケーション管理モジュール301は、S801に処理を進める。
S801では、アプリケーション管理モジュール301は、ネットワーク機器102の構成を変更することを依頼するタスク(例えばアプリケーション配信タスク)を指定した時刻に実行する予約をデータベース304に登録する。そして、S802に処理を進める。
なお、上記時間の指定は、図8のS705に示したように、図10のようなUIからユーザが入力してもよいし、ネットワーク機器102の利用が少ない時間帯をアプリケーション管理モジュール301が自動的に選んでも良い。なお、移動するネットワーク機器102の構成情報が移動先のセキュリティルールに一致している(遵守している)場合は、そのまま図11(a)の処理を終了するものとする。また、ユーザが移動をキャンセルした場合も、そのまま図11(a)の処理を終了するものとする。
次にS802において、アプリケーション管理モジュール301は、ネットワーク機器102の構成変更が行われる時刻より前に、ネットワーク機器102の移動を行わないようにユーザに注意を促す画面表示を行うよう描画モジュール302に依頼する。この画面は、Webサーバサービス306を介してユーザが操作するクライアント装置103のWebブラウザに表示される。
そして上記S801で登録した構成変更の予約時間になると、アプリケーション管理モジュール301は、図示しないステップにて、構成変更の依頼をネットワーク機器102に送信する(上記S801で作成したタスクを実行する)。
ただし、上記構成変更の依頼を行うまで、アプリケーション管理モジュール301は、S803において、ネットワーク機器102に構成変更の依頼を出す前にネットワーク機器102の移動が開始されたかどうかを判定している。ネットワーク機器102の移動が開始されたことは、ネットワーク機器102内の移動検知モジュール504が検知する。ネットワーク機器102がGPS(Global Positioning System)などの位置検出装置を有している場合には、その機能を利用してネットワーク機器102の移動を検知することができる。ネットワーク機器102がそのような位置検出装置を有していない場合は、ネットワーク機器102の移動開始時及び終了時にユーザが操作部401上の特定のボタンを押下するという方法がある。
そして、ネットワーク機器102に構成変更の依頼を出す前に、ネットワーク機器102の移動が開始されたと判定した場合(S803でYes)、アプリケーション管理モジュール301は、S804に処理を進める。
S804では、アプリケーション管理モジュール301は、ネットワーク機器102の操作部401の画面に、機器を移動してはいけない旨の警告メッセージを表示し、図11(a)の処理を終了する。ネットワーク機器102の画面に警告を表示する方法については詳細には示さないが、例えば、SNMPで特定のMIBに文字列を書き込むことでメッセージを表示可能なネットワーク機器102がある。なお、上記警告が表示されて、ネットワーク機器102の移動が中止された場合は、S803に処理を戻すようにしてもよい。
また、上記警告が表示されたにも関わらず、ネットワーク機器102がルール適用領域に移動された場合でも、上記S801の構成変更の予約時間になると、アプリケーション管理モジュール301は構成変更の依頼を行う(S801で作成したタスクを実行する)。そして、ネットワーク機器102の移動先の位置情報をデータベース304に登録する。
一方、ネットワーク機器102の移動の開始が検知されないまま上記S801の構成変更の予約時間になり構成変更の依頼(上記S801で作成したタスク)が行われると、アプリケーション管理モジュール301は、そのまま図11(a)の処理を終了させる。そして、ネットワーク機器102の移動先の位置情報がデータベース304に登録される。
以上のように、図11(a)の処理では、構成変更依頼の送信前にネットワーク機器102の移動が開始された場合、警告は行うが、ネットワーク機器102の構成変更の依頼は送信するように制御されている。
以下、図11(b)の処理について説明する。
まずS805において、アプリケーション管理モジュール301は、セキュリティルール管理モジュール303から情報を取得し、対象のネットワーク機器102がセキュリティルールの適用されたエリアから外に移動するかを判定する。
まずS805において、アプリケーション管理モジュール301は、セキュリティルール管理モジュール303から情報を取得し、対象のネットワーク機器102がセキュリティルールの適用されたエリアから外に移動するかを判定する。
そして、ネットワーク機器102がセキュリティルールの適用されたエリアから外に移動しないと判定した場合(S805でNo)、アプリケーション管理モジュール301は、そのまま図11(b)の処理を終了させる。
一方、ネットワーク機器102がセキュリティルールの適用されたエリアから外に移動すると判定した場合(S805でYes)、アプリケーション管理モジュール301は、S806に処理を進める。
S806では、アプリケーション管理モジュール301は、上記S801と同様に、ネットワーク機器102の構成を変更することを依頼するタスク(例えばライセンス返却タスク)を指定した時刻に実行する予約をデータベース304に登録する。そして、S807に処理を進める。なお、ルール適用エリアからネットワーク機器102が外に出る場合、基本的には構成変更は必須ではないので、S806以降の処理はライセンス数の関係等でネットワーク機器102からのアプリケーションのアンインストールが必要な場合のみ実行する。また、時刻の指定は、上記S801と同様に、ユーザによる入力を取得してもよいし、ネットワーク機器102の利用の少ない時間帯を、アプリケーション管理モジュール301が自動的に入力してもよい。
そして上記S806で登録した構成変更の予約時間になると、アプリケーション管理モジュール301は、図示しないステップにて、構成変更の依頼をネットワーク機器102に送信することになる。
ただし、アプリケーション管理モジュール301は、S807において、構成変更依頼の送信する時間(タスクを実行する時間)になった時にネットワーク機器102の移動が既に行われているかどうかを判定する。
そして、ネットワーク機器102の移動がすでに行われていると判定した場合(S807でNo)、場合は、アプリケーション管理モジュール301は、そのまま図11(b)の処理を終了する。この場合、予定通り上記S806で作成したタスクが実行され、ネットワーク機器102の移動先の位置情報がデータベース304に登録される。
一方、ネットワーク機器102の移動が未だ行われていないと判定した場合(S807でYes)、場合は、アプリケーション管理モジュール301は、S808に処理を進める。
S808では、アプリケーション管理モジュール301は、上記S806で行ったネットワーク機器102の移動の予約と構成変更の手順(上記S806で作成したタスク)をキャンセルし、移動したネットワーク機器アイコンを元の位置に戻す。そして、図11(b)の処理を終了する。即ち、構成変更依頼の送信時にネットワーク機器102の移動が未だ行われていない場合、ネットワーク機器102の構成変更の依頼も送信しないように制御されている。ネットワーク機器102をルールの厳しい領域から出す場合、移動が完了するまでは、機器の構成を変更してはいけないからである。もちろん、上記ネットワーク機器102の移動先の位置情報もデータベース304に登録されない。
なお、S806の直後に、アプリケーション管理モジュール301が、ネットワーク機器102の構成変更が行われる時刻までに、ネットワーク機器102の移動を行うようにユーザに注意を促す画面表示を行うよう描画モジュール302に依頼してもよい。
以上示したように、本実施例によれば、ネットワーク機器102の移動とネットワーク機器102の構成変更の前後関係を制御することができる。
例えば、ネットワーク機器102をよりルールの厳しい領域に移動し、移動が完了する前に構成変更が必要になる場合がある。この場合において、構成変更前にネットワーク機器102の移動が開始された場合、ネットワーク機器102の操作部401上に警告を表示し、ユーザに注意を促す。これにより、ネットワーク機器102の移動が完了する前に、ネットワーク機器102の構成が変更されてしまうことを抑えることができる。なお、本実施例では、上述のように、ネットワーク機器102の位置情報が他の領域からセキュリティルール適用範囲内に移動(変更)された場合、構成変更をネットワーク機器102の実際の移動の前に行う必要があると判断する。
例えば、ネットワーク機器102をよりルールの厳しい領域に移動し、移動が完了する前に構成変更が必要になる場合がある。この場合において、構成変更前にネットワーク機器102の移動が開始された場合、ネットワーク機器102の操作部401上に警告を表示し、ユーザに注意を促す。これにより、ネットワーク機器102の移動が完了する前に、ネットワーク機器102の構成が変更されてしまうことを抑えることができる。なお、本実施例では、上述のように、ネットワーク機器102の位置情報が他の領域からセキュリティルール適用範囲内に移動(変更)された場合、構成変更をネットワーク機器102の実際の移動の前に行う必要があると判断する。
また、ネットワーク機器102をルールの緩やかな領域に移動する場合、移動が完了するまでは、機器の構成を変更してはいけない場合がある。この場合において、構成変更時にネットワーク機器102が移動されてない場合、構成変更の予約をキャンセル(構成変更(タスクの実行)を中止)する。これにより、ネットワーク機器102の移動が完了する前に、ネットワーク機器102の構成が変更されてしまうことを確実に防止することができる。なお、本実施例では、上述のように、ネットワーク機器102の位置情報が或るセキュリティルール適用範囲から他の領域内に移動(変更)された場合、構成変更をネットワーク機器102の実際の移動の後に行う必要があると判断する。
なお、既にネットワーク機器102が設置されている領域に、新たにセキュリティ適用領域が設けられた場合、その領域に設置済みのネットワーク機器102がその領域に移動されたとして、上記図11(a)のS801の処理を行うように構成してもよい。
また、設定済みのセキュリティ適用領域が削除された場合、その領域に設置済みのネットワーク機器102がその領域から外に移動されたとして、上記図11(b)のS806の処理を行うように構成してもよい。
また、上記実施例では、指定された時刻に、ネットワーク機器管理装置101がネットワーク機器102の構成を変更する依頼を、ネットワーク機器102に送信する構成を説明した。しかし、ネットワーク機器管理装置101から、ネットワーク機器102の構成変更を指定した時刻に行う依頼を、ネットワーク機器102に送信するようにしてもよい。この場合、図11(a)のS803,S804に相当する処理や、図11(b)のS807に相当する処理は、ネットワーク機器102で行われることとなる。ただし、上記依頼は、構成変更時間や、構成変更前に機器を移動しようとしたら警告を行う等の条件や、構成変更前に実際に機器が移動されていたら構成変更を中止する等の条件を付けた依頼とする。また、ネットワーク機器102は、構成変更が完了したら、その旨の通知をネットワーク機器管理装置101に行うようにする。
なお、構成変更が失敗した場合や、構成変更時に機器が移動されておらず構成変更がキャンセルされた場合(S807のYesに相当する場合)には、ネットワーク機器102から構成変更がなされなかった旨の通知をネットワーク機器管理装置101に行うようにする。この通知により、アプリケーション管理モジュール301は、移動したネットワーク機器アイコンを元の位置に戻すように制御するものとする。
上記実施例1、2では、領域のセキュリティのルールとしてネットワーク機器102におけるアプリケーションの有無を扱った。しかし、ネットワーク機器102が遵守すべきルールには、どの領域においてどの利用者に操作を許可するかというルールも含まれる。そこで本実施例では、ネットワーク機器102の利用許可の設定管理を行う方法を説明する。
図12は、実施例3におけるネットワーク機器管理装置101のソフトウェア構成を示すブロック図である。なお、図3と同一のものには同一の符号を付してある。また、図12に示すソフトウェア構成は、プログラムとしてHD205(図2)に格納されており、CPU201(図2)によって実行されるものである。
図12において、900はネットワーク機器102の設定を管理する設定管理モジュールである。設定管理モジュール900は、ネットワーク機器102を利用可能な操作者(ユーザ)を識別する情報を、ネットワーク機器102に送信するようにネットワークモジュール305に依頼する機能を有する。また、アプリケーション管理モジュール301は、ネットワーク機器102を利用可能なユーザを識別する情報のデータベース304への登録も行う。
なお、本実施例のセキュリティルール管理モジュール303は、セキュリティポリシーのルール(ネットワーク機器が遵守すべきルール)として、図7のようなUIから、その領域で利用可能なユーザ、又は、利用不可能なユーザの設定を行うように動作する。
図13は、実施例3におけるネットワーク機器102のソフトウェア構成を示すブロック図である。なお、図5と同一のものには同一の符号を付してある。また、図13に示すソフトウェア構成は、プログラムとしてROM414又はHD416(図4)に格納されており、CPU410(図4)によって実行されるものである。
図13において、1000は設定管理モジュールで、どの利用者が機器を利用可能であるかを制御する機能を有する。設定管理モジュール1000は、設定受信モジュール1001と、設定変更モジュール1002を有する。
設定受信モジュール1001は、ネットワーク機器管理装置101から送信された、ネットワーク機器102を利用可能なユーザを識別する情報を受信する。設定受信モジュール1001はさらに、設定変更モジュール1002に、ネットワーク機器102を利用可能なユーザの設定を依頼する。
設定変更モジュール1002は、外部から受信した情報をもとに利用可能なユーザの情報の追加及び削除を行う。
なお、図12の設定管理モジュール900が図3のアプリケーション管理モジュール301の機能を含み、設定管理モジュール1000が図5のアプリケーション管理モジュール501の機能を含む構成であってもよい。即ち、設定受信モジュール1001は図5のアプリケーション受信モジュール502の機能を含み、設定変更モジュール1002は図5のアプリケーション追加/削除モジュール503の機能を含む構成であってもよい。
なお、図12の設定管理モジュール900が図3のアプリケーション管理モジュール301の機能を含み、設定管理モジュール1000が図5のアプリケーション管理モジュール501の機能を含む構成であってもよい。即ち、設定受信モジュール1001は図5のアプリケーション受信モジュール502の機能を含み、設定変更モジュール1002は図5のアプリケーション追加/削除モジュール503の機能を含む構成であってもよい。
このような構成の場合、本実施例のセキュリティルール管理モジュール303は、セキュリティポリシーのルール(ネットワーク機器102が遵守すべきルール)として、単一のネットワーク機器内における、アプリケーションのインストール状況と利用可能ユーザの情報の双方を、図7のようなUIから設定できるように動作する。
なお、図6で示したセキュリティルール管理モジュール303の動作は、実施例1と同様であるため省略する。
また、図8で示したセキュリティのルールを遵守しているかを判定する動作についても、動作の主体がアプリケーション管理モジュール301から設定管理モジュール900に代わるだけであるため、説明を省略する。
また、図8で示したセキュリティのルールを遵守しているかを判定する動作についても、動作の主体がアプリケーション管理モジュール301から設定管理モジュール900に代わるだけであるため、説明を省略する。
本実施例によれば、管理者は、管理装置の画面上で、機器のアイコンをセキュリティ適用エリアに移動させるだけで、機器が移動先のセキュリティポリシーに一致した利用可能なユーザの設定を、機器の移動に伴う必要な事項として知ることができる。さらに、機器への利用可能なユーザの設定を半自動で行うことができる。
また、移動前に利用制限を行いたい場合も、機器への利用可能ユーザの設定のタイミングを制御することで対応することが可能である。
なお、上記各実施例では、ネットワーク機器102の移動に伴う構成の変更を、ネットワーク機器管理装置101からユーザに通知し、指定された時間に前記構成の変更をネットワーク機器管理装置101からネットワーク機器102に依頼する構成を説明した。
なお、上記各実施例では、ネットワーク機器102の移動に伴う構成の変更を、ネットワーク機器管理装置101からユーザに通知し、指定された時間に前記構成の変更をネットワーク機器管理装置101からネットワーク機器102に依頼する構成を説明した。
しかし、ネットワーク機器102の移動に伴う構成の変更を、ネットワーク機器管理装置101からユーザに通知し、前記構成の変更については、ユーザがネットワーク機器管理装置101を操作して行う構成であってもよい。
なお、上記各実施例では、ネットワーク機器102を、MFP、プリンタ、FAX等として説明した。しかし、ネットワーク機器102は、パーソナルコンピュータ(PC)等の一般的な情報処理装置であってもよい。
なお、上述した各種データの構成及びその内容はこれに限定されるものではなく、用途や目的に応じて、様々な構成や内容で構成されることは言うまでもない。
以上、一実施形態について示したが、本発明は、例えば、システム、装置、方法、プログラムもしくは記憶媒体等としての実施態様をとることが可能である。具体的には、複数の機器から構成されるシステムに適用しても良いし、また、一つの機器からなる装置に適用しても良い。
また、上記各実施例を組み合わせた構成も全て本発明に含まれるものである。
以上、一実施形態について示したが、本発明は、例えば、システム、装置、方法、プログラムもしくは記憶媒体等としての実施態様をとることが可能である。具体的には、複数の機器から構成されるシステムに適用しても良いし、また、一つの機器からなる装置に適用しても良い。
また、上記各実施例を組み合わせた構成も全て本発明に含まれるものである。
(他の実施例)
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(またはCPUやMPU等)がプログラムを読み出して実行する処理である。
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(またはCPUやMPU等)がプログラムを読み出して実行する処理である。
また、本発明は、複数の機器から構成されるシステムに適用しても、1つの機器からなる装置に適用してもよい。
本発明は上記実施例に限定されるものではなく、本発明の趣旨に基づき種々の変形(各実施例の有機的な組合せを含む)が可能であり、それらを本発明の範囲から除外するものではない。即ち、上述した各実施例及びその変形例を組み合わせた構成も全て本発明に含まれるものである。
本発明は上記実施例に限定されるものではなく、本発明の趣旨に基づき種々の変形(各実施例の有機的な組合せを含む)が可能であり、それらを本発明の範囲から除外するものではない。即ち、上述した各実施例及びその変形例を組み合わせた構成も全て本発明に含まれるものである。
101 ネットワーク機器管理装置
102 ネットワーク機器
103 ユーザ操作クライアント装置
300 管理ユーティリティ
301 アプリケーション管理モジュール
302 描画モジュール
303 セキュリティルール管理モジュール
501 アプリケーション管理モジュール
502 アプリケーション受信モジュール
503 アプリケーション追加/削除モジュール
102 ネットワーク機器
103 ユーザ操作クライアント装置
300 管理ユーティリティ
301 アプリケーション管理モジュール
302 描画モジュール
303 セキュリティルール管理モジュール
501 アプリケーション管理モジュール
502 アプリケーション受信モジュール
503 アプリケーション追加/削除モジュール
Claims (12)
- 1又は複数のネットワーク機器を管理する管理装置であって、
前記ネットワーク機器を設置する1又は複数のフロアのマップ画像、前記ネットワーク機器の設置位置を示す前記マップ画像上の位置情報、及び前記ネットワーク機器の構成情報を記憶する記憶手段と、
前記マップ画像上の領域、及び、該領域において前記ネットワーク機器が遵守すべきルールを設定するための設定手段と、
前記ネットワーク機器の位置情報を変更することにより前記ネットワーク機器を移動させる場合の移動先を指示する移動手段と、
前記移動手段により前記ネットワーク機器の位置情報が変更された場合、該位置情報が変更されたネットワーク機器の構成情報と、該変更された位置情報が属する領域において前記ネットワーク機器が遵守すべきルールとを比較して、移動に伴い前記ネットワーク機器に必要となる構成変更の内容を判断する判断手段と、
前記判断手段により判断された前記移動に伴い前記ネットワーク機器に必要となる構成変更の内容を操作者に通知するための通知手段と、
を有することを特徴とする管理装置。 - 前記マップ画像と前記ネットワーク機器の位置情報を用いて前記ネットワーク機器の設置位置を示すアイコンが配置されたマップ画像を表示するための表示画面を生成する表示画面生成手段を有し、
前記設定手段は、前記表示画面を介して前記マップ画像上で範囲を指定することによって前記領域を設定するものであり、
前記移動手段は、前記表示画面を介して前記マップ画像上に配置される前記ネットワーク機器の設置位置を示すアイコンを前記マップ画像上で移動させることにより前記ネットワーク機器を移動させる場合の移動先を指示することを特徴とする請求項1に記載の管理装置。 - 前記通知は、前記構成変更を前記ネットワーク機器の実際の移動の前又は後のいずれで行う必要があることを示す通知を含むことを特徴とする請求項1又は2に記載の管理装置。
- 前記判断手段は、前記移動手段により前記ネットワーク機器の位置情報が他の領域から前記設定手段により前記ルールが設定された或る領域内に変更された場合、前記構成変更を前記ネットワーク機器の実際の移動の前に行う必要があると判断することを特徴とする請求項3に記載の管理装置。
- 前記判断手段は、前記移動手段により前記ネットワーク機器の位置情報が前記設定手段により前記ルールが設定された或る領域から他の領域内に変更された場合、前記構成変更を前記ネットワーク機器の実際の移動の後に行う必要があると判断することを特徴とする請求項3又は4に記載の管理装置。
- 前記判断手段により判断された前記ネットワーク機器に必要となる構成変更の依頼を、前記ネットワーク機器に送信する構成変更手段を有することを特徴とする請求項1乃至5のいずれか1項に記載の管理装置。
- 前記構成変更の依頼を送信する日時の指定をユーザに促す指定手段を有し、
前記構成変更手段は、前記指定手段で指定された日時に前記構成変更の依頼を送信することを特徴とする請求項6に記載の管理装置。 - 前記構成変更の依頼を送信する日付の指定をユーザに促す指定手段を有し、
前記構成変更手段は、前記指定手段で指定された日付の所定時刻に前記構成変更の依頼を送信することを特徴とする請求項6に記載の管理装置。 - 前記ルールは、前記ネットワーク機器にインストール又は前記ネットワーク機器からアンインストールする必要のあるアプリケーションプログラムの指定を含み、
前記構成変更は、前記ネットワーク機器にインストールされているアプリケーションプログラムの構成の変更を含むことを特徴とする請求項1乃至8のいずれか1項に記載の管理装置。 - 前記ルールは、前記ネットワーク機器を利用可能又は利用不可能に設定する必要のあるユーザの指定を含み、
前記構成変更は、前記ネットワーク機器に設定されている利用可能なユーザの変更を含むことを特徴とする請求項1乃至9のいずれか1項に記載の管理装置。 - 1又は複数のネットワーク機器を管理する管理装置の制御方法であって、
記憶手段に前記ネットワーク機器を設置する1又は複数のフロアのマップ画像、前記ネットワーク機器の設置位置を示す前記マップ画像上の位置情報、及び前記ネットワーク機器の構成情報を記憶しておき、
設定手段により、前記マップ画像上の領域、及び、該領域において前記ネットワーク機器が遵守すべきルールを設定する設定ステップと、
移動手段により、前記ネットワーク機器の位置情報を変更することにより前記ネットワーク機器を移動させる場合の移動先を指示する移動ステップと、
判断手段が、前記移動ステップで前記ネットワーク機器の位置情報が変更された場合、該位置情報が変更されたネットワーク機器の構成情報と、該変更された位置情報が属する領域において前記ネットワーク機器が遵守すべきルールとを比較して、移動に伴い前記ネットワーク機器に必要となる構成変更の内容を判断する判断ステップと、
通知手段が、前記判断ステップで判断された前記移動に伴い前記ネットワーク機器に必要となる構成変更の内容を操作者に通知するための通知ステップと、
を有することを特徴とする管理装置の制御方法。 - コンピュータを、請求項1乃至10のいずれか1項に記載された管理装置の手段として機能させるためのプログラム。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010233684A JP2012088846A (ja) | 2010-10-18 | 2010-10-18 | 管理装置、管理装置の制御方法、及び、プログラム |
US13/252,472 US8719405B2 (en) | 2010-10-18 | 2011-10-04 | Management apparatus, management apparatus control method, and storage medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010233684A JP2012088846A (ja) | 2010-10-18 | 2010-10-18 | 管理装置、管理装置の制御方法、及び、プログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2012088846A true JP2012088846A (ja) | 2012-05-10 |
Family
ID=45935087
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010233684A Withdrawn JP2012088846A (ja) | 2010-10-18 | 2010-10-18 | 管理装置、管理装置の制御方法、及び、プログラム |
Country Status (2)
Country | Link |
---|---|
US (1) | US8719405B2 (ja) |
JP (1) | JP2012088846A (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016139386A (ja) * | 2015-01-29 | 2016-08-04 | 富士ゼロックス株式会社 | 装置管理システム、中継装置及びプログラム |
JP2017175593A (ja) * | 2016-03-18 | 2017-09-28 | エーオー カスペルスキー ラボAO Kaspersky Lab | ルータの脆弱性を除去する方法及びシステム |
US10084812B2 (en) | 2016-03-18 | 2018-09-25 | AO Kaspersky Lab | Method and system of repairing vulnerabilities of smart devices |
US10419472B2 (en) | 2016-03-18 | 2019-09-17 | AO Kaspersky Lab | System and method for repairing vulnerabilities of devices connected to a data network |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140113559A1 (en) | 2012-10-23 | 2014-04-24 | Bmc Software, Inc. | Proactive role aware asset monitoring |
US20140222989A1 (en) * | 2013-02-04 | 2014-08-07 | Ricoh Company, Ltd. | Management of device management units |
US10798538B2 (en) | 2017-01-20 | 2020-10-06 | Bmc Software, Inc. | Asset floor map |
JP2022044363A (ja) * | 2020-09-07 | 2022-03-17 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置及びコンピュータプログラム |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7428411B2 (en) * | 2000-12-19 | 2008-09-23 | At&T Delaware Intellectual Property, Inc. | Location-based security rules |
US20050228688A1 (en) * | 2002-02-14 | 2005-10-13 | Beyond Compliance Inc. | A compliance management system |
US20090193450A1 (en) * | 2008-01-28 | 2009-07-30 | Broadcom Corporation | Signal receiver security apparatus and methods |
JP2010066974A (ja) | 2008-09-10 | 2010-03-25 | Mitsubishi Electric Corp | セキュリティ集中管理システム及びセキュリティ集中管理方法及びサービス用サーバアクセス管理サーバ及び通信制御情報生成プログラム |
US8131992B2 (en) * | 2009-07-01 | 2012-03-06 | Infoblox Inc. | Methods and apparatus for identifying the impact of changes in computer networks |
-
2010
- 2010-10-18 JP JP2010233684A patent/JP2012088846A/ja not_active Withdrawn
-
2011
- 2011-10-04 US US13/252,472 patent/US8719405B2/en not_active Expired - Fee Related
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016139386A (ja) * | 2015-01-29 | 2016-08-04 | 富士ゼロックス株式会社 | 装置管理システム、中継装置及びプログラム |
JP2017175593A (ja) * | 2016-03-18 | 2017-09-28 | エーオー カスペルスキー ラボAO Kaspersky Lab | ルータの脆弱性を除去する方法及びシステム |
US10084812B2 (en) | 2016-03-18 | 2018-09-25 | AO Kaspersky Lab | Method and system of repairing vulnerabilities of smart devices |
US10419472B2 (en) | 2016-03-18 | 2019-09-17 | AO Kaspersky Lab | System and method for repairing vulnerabilities of devices connected to a data network |
US10484416B2 (en) | 2016-03-18 | 2019-11-19 | AO Kaspersky Lab | System and method for repairing vulnerabilities of objects connected to a data network |
Also Published As
Publication number | Publication date |
---|---|
US20120096147A1 (en) | 2012-04-19 |
US8719405B2 (en) | 2014-05-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2012088846A (ja) | 管理装置、管理装置の制御方法、及び、プログラム | |
JP5665437B2 (ja) | ネットワーク機器管理システム、ネットワーク機器管理装置、クライアント装置およびその方法 | |
JP7086754B2 (ja) | 情報処理装置、情報処理装置の制御方法及びコンピュータプログラム | |
US10116824B2 (en) | Method and image forming apparatus for generating workflow of image forming job | |
JP5553670B2 (ja) | 管理装置、その制御方法およびプログラム | |
US9007629B2 (en) | Information processing apparatus, method for controlling information processing apparatus, and computer program | |
US8665473B2 (en) | Printing system, control method, storage client apparatus, and web application server | |
JP5990006B2 (ja) | 画像形成装置及びその制御方法とプログラム | |
JP2010135910A (ja) | ユーザー設定情報管理システム、ユーザー設定情報管理方法、プログラム、記憶媒体 | |
KR20170019226A (ko) | 클라우드 프린트 서비스를 이용하는 방법 및 이를 수행하기 위한 장치 | |
JP2012245695A (ja) | 画像出力装置、プログラムおよびシステム | |
JP6303505B2 (ja) | 情報処理システム、情報処理方法、機器、及びプログラム | |
JP6061591B2 (ja) | 情報処理装置、制御方法、及びプログラム | |
JP2009032080A (ja) | データ処理システム、情報処理装置、データ管理装置、データ処理方法、及びデータ処理プログラム | |
JP5665579B2 (ja) | 管理装置、管理方法およびプログラム | |
US9019281B2 (en) | Mobile terminal, setting method, and storage medium | |
JP2013161450A (ja) | ネットワークプリンター管理システム、ネットワークプリンター管理装置及びその制御方法 | |
US9001359B2 (en) | Information processing apparatus capable of setting configuration information for use by an image processing apparatus, and control method and storage medium therefor | |
US9270853B2 (en) | Exporting and importing for display on an image forming apparatus environment setting information of an application | |
JP5180771B2 (ja) | 情報処理装置、並びに、それを用いた画像形成システム、方法、プログラム | |
JP6614987B2 (ja) | 管理システム、管理装置及びその制御方法 | |
US11778119B2 (en) | Information processing apparatus performing setting of application in client device, information processing system including same, and non-transitory computer-readable recording medium storing setting tool program | |
JP2013016077A (ja) | 情報処理装置、プログラム、及び印刷システム | |
JP2016031562A (ja) | インストーラープログラム、ドライバープログラムおよび画像形成装置 | |
JP2022140279A (ja) | 情報処理装置、制御方法、およびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20140107 |