JP2017076220A - 情報管理装置、情報管理システム、及びプログラム - Google Patents

情報管理装置、情報管理システム、及びプログラム Download PDF

Info

Publication number
JP2017076220A
JP2017076220A JP2015202885A JP2015202885A JP2017076220A JP 2017076220 A JP2017076220 A JP 2017076220A JP 2015202885 A JP2015202885 A JP 2015202885A JP 2015202885 A JP2015202885 A JP 2015202885A JP 2017076220 A JP2017076220 A JP 2017076220A
Authority
JP
Japan
Prior art keywords
security
information management
policy
setting value
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2015202885A
Other languages
English (en)
Inventor
杉下 悟
Satoru Sugishita
悟 杉下
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2015202885A priority Critical patent/JP2017076220A/ja
Priority to US15/288,956 priority patent/US20170111394A1/en
Publication of JP2017076220A publication Critical patent/JP2017076220A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】セキュリティの管理対象となるクライアント機器に対し、利便性及び拡張性を高めることが可能な情報管理装置を提供する。【解決手段】セキュリティ情報管理装置100は、クライアント通信処理部101、サーバ通信処理部102、ポリシー情報管理部104を備える。クライアント通信処理部101は、クライアント機器と通信を行う。サーバ通信処理部102は、ポリシーテーブルの記載の変更要求を発行するサーバと通信を行う。ポリシー情報管理部104は、ポリシーテーブルを動的に生成し、サーバから発行される変更要求に基づいて、ポリシーテーブルの記載の変更を行う。ポリシーテーブルは、クライアント機器のセキュリティを確保するのに必要な機能と、機能に対するセキュリティ設定値とが、クライアント機器に固有のインタフェースに応じて定められたものであり、機能とセキュリティ設定値が、セキュリティレベルに応じて対応付けて記載される。【選択図】図2

Description

本発明は、情報管理装置、情報管理システム、及びプログラムに関する。
現在、パーソナルコンピュータ(以下、PCという。)、サーバ、MFP(Multifunction Peripheral:多機能周辺装置)、スマートフォン等、様々な機器がネットワークに接続されるようになってきている。そのため、これらネットワーク機器のセキュリティに対する関心が高まってきており、多種多様なネットワーク機器を安全に使う方法が求められてきている。
特許文献1には、セキュリティ設定値が定義された定義テーブルに基づいて、複数のクライアント機器のセキュリティ設定値情報を自動で変更するセキュリティ管理システムが開示されている。
昨今、日々新しいネットワーク機器が登場している一方で、セキュリティの脆弱性を要因とする問題の発生件数も増加する傾向にある。このような状況の下、最新の機器及び最新のセキュリティ情報に素早く対応することにより、ネットワーク機器を安全に使えるようにすることが求められている。
ただ、特許文献1に記載された技術では、未知のクライアントが新たに登場した場合、セキュリティ設定値をフレキシブルに変更することができないため、新たなクライアントを、セキュリティの管理対象に入れることができないという問題がある。また、新しいセキュリティ技術や機能が登場した場合、セキュリティ設定値を簡単に変更することができないという問題がある。
そこで、本発明は、上記従来技術の問題点に鑑みてなされたものであって、セキュリティの管理対象となるクライアント機器に対し、新たな管理要件に対応したセキュリティ設定を柔軟に行うことにより、利便性及び拡張性を高めることが可能な情報管理装置を提供することを目的とする。
上記課題を解決するため、本発明における情報管理装置は、クライアント機器のセキュリティを確保するのに必要な機能と、前記機能に対するセキュリティ設定値とが、前記クライアント機器に固有のインタフェースに応じて定められ、前記機能と前記セキュリティ設定値とが、前記セキュリティのレベルに応じて対応付けて記載されたポリシーテーブルと、前記クライアント機器と通信を行うクライアント通信処理手段と、前記ポリシーテーブルの記載の変更要求を発行するサーバと通信を行うサーバ通信処理手段と、前記サーバから発行される変更要求に基づいて、前記ポリシーテーブルの記載の変更を行うポリシー情報管理手段と、を含むことを特徴とする。
本発明によれば、セキュリティの管理対象となるクライアント機器に対し、新たな管理要件に対応したセキュリティ設定を柔軟に行うことにより、利便性及び拡張性を高めることが可能な情報管理装置を得ることができる。
本実施形態に係る情報管理装置を含む情報管理システムのシステム構成図である。 本実施形態に係る情報管理装置の内部構成を示す機能ブロック図である。 本実施形態に係る情報管理装置において、新しいインタフェースを追加する場合の動作について説明するブロック図である。 本実施形態に係る情報管理装置において、新しいインタフェースを追加する場合の動作について説明するシーケンス図である。 本実施形態に係る情報管理装置において、新しいセキュリティレベルを追加する場合の動作について説明するブロック図である。 本実施形態に係る情報管理装置において、新しいセキュリティレベルを追加する場合の動作について説明するシーケンス図である。 本実施形態に係る情報管理装置において、新しい機能を追加する場合の動作について説明するブロック図である。 本実施形態に係る情報管理装置において、新しい機能を追加する場合の動作について説明するシーケンス図である。 本実施形態に係る情報管理装置において、ポリシーテーブルを表示し、セキュリティ設定値を変更する場合の動作について説明するシーケンス図である。 本実施形態に係る情報管理装置におけるポリシーテーブルについて説明する図である。
次に、本発明を実施するための形態について図面を参照して詳細に説明する。なお、各図中、同一又は相当する部分には同一の符号を付しており、その重複説明は適宜に簡略化乃至省略する。以下、本発明について説明するが、本発明は、以下に説明する実施形態に限定されるものではない。
本発明における情報管理装置は、クライアント機器のセキュリティ設定値を管理するためのポリシーテーブルを動的に変更できることが特徴となっている。具体的には、通信処理に用いるインタフェース情報と、セキュリティの機能及び設定値がセキュリティレベルに応じて対応付けられたセキュリティポリシー情報と、を変更することとしている。そして、ポリシーテーブルは、セキュリティポリシー情報に基づいて自動生成される。これにより、利便性及び拡張性を高めることが可能な情報管理装置を得ることができる。この本発明の特徴について、以下の図面を用いて詳細に解説する。
まず、本実施形態に係る情報管理装置を含む情報管理システムのシステム構成について説明する。図1は、本実施形態に係る情報管理装置を含む情報管理システムのシステム構成図である。
本発明の実施形態における情報管理システム1を構成する情報管理装置の一例であるセキュリティ情報管理装置100は、利用者のLAN(Local Area Network)内に設置される。そして、このLAN内に設置された複数のクライアント機器A_201、クライアント機器B_202(以下、これ等を纏めて管理対象機器ともいう。)が登録されている。なお、管理対象機器とセキュリティ情報管理装置100とは、LAN以外のネットワークによって接続されていても良い。
登録されたクライアント機器A_201、B_202のセキュリティ設定値は、セキュリティ情報管理装置100の指示によって変更することができる。セキュリティ情報管理装置100には、セキュリティポリシー情報配布サーバ300が接続されている。
なお、セキュリティ情報管理装置100とセキュリティポリシー情報配布サーバ300とは、インターネット400を通して接続されている。セキュリティポリシー情報配布サーバ(以下、単に「サーバ」ともいう。)300は、セキュリティ情報管理装置100に対してセキュリティポリシー情報の変更要求を発行する。当該要求を受け取ったセキュリティ情報管理装置100は、通知されたセキュリティポリシーにしたがってセキュリティの管理を行う。
なお、図1では、サーバ300に1台のセキュリティ情報管理装置100が接続されているが、サーバ300には複数台のセキュリティ情報管理装置が接続されていても良い。また、セキュリティ情報管理装置100とセキュリティポリシー情報配布サーバ300とは、インターネット以外のネットワークで接続されていても良い。
次に、本実施形態に係る情報管理装置の内部構成について説明する。図2は、本実施形態に係る情報管理装置の内部構成を示す機能ブロック図である。本発明の実施形態における情報管理装置の一例であるセキュリティ情報管理装置100は、サーバ通信処理部102と、クライアント通信処理部101と、から構成されている。また、セキュリティ情報管理装置100は、ポリシー情報管理部104と、ユーザインタフェース(UI)部103と、ポリシー情報105、106と、から構成されている。
サーバ通信処理部102は、セキュリティポリシー情報配布サーバ300と通信するものである。クライアント通信処理部101は、共通部110と、固有部である複数の固有インタフェース1_111、固有インタフェース2_112、固有インタフェース3_113とから構成されている。共通部は、クライアント機器に共通のインタフェースを有する。固有インタフェース1_111、2_112、3_113は、サーバ300からの指示により動的に追加又は変更される。この点については後述する。
ポリシー情報管理部104は、セキュリティ情報管理装置100に対してどのような変更がなされているかを把握しており、ポリシーテーブルを動的に生成する役割を有している。UI部103は、利用者に対してポリシーテーブル情報を表示するユーザインタフェースや、表示したポリシーテーブル情報に対するユーザからのアクセスを通じて、要求を作り出すユーザインタフェースを有している。
ポリシー情報105、106は、セキュリティ情報管理装置100の中で動的に変更され、複数存在する。固有インタフェース1に対してレベル1_151、レベル2_152という機能毎のセキュリティ設定値を纏めている。また、固有インタフェース2に対してレベル1_161、レベル2_162という、機能毎のセキュリティ設定値を纏めている。図2においては、1つのポリシー情報に対して、2つのレベルのセキュリティ設定値が定義されているが、このレベルの数はさらに拡張することができる。この点については後述する。なお、図2では、クライアント通信処理部101の固有インタフェース3_113に対するポリシー情報の記載を省略している。
次に、本実施形態に係る情報管理装置において、新しいインタフェースを追加する場合の動作について説明する。図3は、本実施形態に係る情報管理装置において、新しいインタフェースを追加する場合の動作について説明するブロック図である。また、図4は、本実施形態に係る情報管理装置において、新しいインタフェースを追加する場合の動作について説明するシーケンス図である。
本実施形態では、インタフェースを追加することができる。具体的には、新しい種類の装置を管理するための通信処理部を生成することができる。セキュリティポリシー情報配布サーバ300は、サーバ通信処理部102に対してサーバコマンド301を通知する(図4、ステップS401)。サーバコマンド301には、処理内容としてインタフェース追加、追加されるインタフェースとして固有インタフェース1(for MFP)、追加されるインタフェース名としてinterface1がそれぞれ書き込まれており、必要なデータが付与されている。
サーバ通信処理部102は、サーバ300のコマンドを解釈する(ステップS402)。なお、サーバ300からのコマンドの中には、ポリシーテーブル情報の変更以外の要求も含まれ得るが、この点については後述する本実施形態のすべてにおいて本質的な部分ではないので詳細な説明は省略する。
サーバ通信処理部102は、サーバ300のコマンドを解釈した結果、当該コマンドがポリシーテーブル情報の変更であることが分かると、ポリシー情報管理部104に対してポリシーテーブル情報の変更を通知する(ステップS403)。ポリシー情報管理部104は、サーバ通信処理部102を経由して受け取ったポリシーテーブル情報を変更する旨のコマンドを解釈する(ステップS404)。そして、クライアント通信処理部101の共通部110に対して新インタフェース追加を要求する(ステップS405)。
ここで追加される新インタフェースは、インタフェース名がinterface1である。新インタフェースの追加を要求されたクライアント通信処理部101の共通部110は、対応するクライアント通信処理部101の固有インタフェース1_111を新規に生成する(ステップS406)。
次に、本実施形態に係る情報管理装置において、新しいセキュリティレベルを追加する場合の動作について説明する。図5は、本実施形態に係る情報管理装置において、新しいセキュリティレベルを追加する場合の動作について説明するブロック図である。また、図6は、本実施形態に係る情報管理装置において、新しいセキュリティレベルを追加する場合の動作について説明するシーケンス図である。
ここでは、既に存在しているインタフェース(ポリシー情報)に対して、セキュリティレベルを追加する処理を行う。ここで、本実施形態に係る情報管理装置におけるポリシーテーブルについて説明する。図10は、本実施形態に係る情報管理装置におけるポリシーテーブルについて説明する図である。本実施形態では、図10に示すように、固有インタフェース(管理対象機器の種別)毎に、ポリシーテーブルを用意している。
本実施形態では、図2で説明したようにクライアント通信処理部101は、固有部として、固有インタフェース1_111、固有インタフェース2_112、固有インタフェース3_113の3つの固有インタフェースを有している。そして、図10(a)に示すように、固有インタフェース1_111は、MFPに対する固有インタフェースに割り当てている。また、同図(b)に示すように、固有インタフェース2_112は、Windows(登録商標)PCに対する固有インタフェースに割り当てている。さらに、同図(c)に示すように、固有インタフェース3_113は、Linux(登録商標)PCに対するインタフェースに割り当てている。
そして、それぞれの固有インタフェースに対して、ポリシー情報105、106を定義している。定義する機能として、図10(a)のMFPに対する固有インタフェース1には、セキュリティレベルの値に対応付けて、ユーザ認証の有無、HDD(Hard Disk Drive)の自動消去機能の有無、暗号化強度の有無がそれぞれ定められている。
図10(b)のWindowsPCに対する固有インタフェース2には、セキュリティレベルの値に対応付けて、ユーザ認証の有無、未確認アプリケーションの起動の有無、ファイルのダウンロードの許否がそれぞれ定められている。図10(c)のLinuxPCに対する固有インタフェース3には、セキュリティレベルの値に対応付けて、セキュリティ機能の有無、ファイル改ざん検知の有無、ログ監視の有無がそれぞれ定められている。
要するに、ポリシーテーブルは、クライアント機器のセキュリティを確保するのに必要な機能と、当該機能に対するセキュリティ設定値とが、クライアント機器に固有のインタフェースに応じて定められたものである。そして、セキュリティレベルに応じて、機能とセキュリティ設定値とが対応付けて記載されたものである。
図5、図6に戻り、既に存在しているセキュリティレベル1、セキュリティレベル2の固有インタフェース1のポリシー情報105に対して、セキュリティレベル3の値のポリシー情報を追加する処理について説明する。具体的には、セキュリティポリシー情報配布サーバ300は、サーバ通信処理部102に対してサーバコマンド301を通知する(図6、ステップS601)。このサーバコマンドには、図5に示すようなポリシーテーブル変更コマンド302が書き込まれている。
ポリシーテーブル変更コマンド302には、処理内容として“セキュリティレベル追加”、対象インタフェースとして“固有インタフェース1”がそれぞれ記載されている。また、セキュリティレベルとして“レベル3”が記載されている。さらに、機能名“ユーザ認証”として“IC(Integrated Circuit)カード”(パラメータはnone)が記載されている。また、機能名“HDD自動消去”として“あり(逐次消去)”(パラメータはauto_delete)が記載されている。そして、機能名“暗号化強度”として“2048bit暗号”(パラメータは2048)が記載されている。
サーバ通信処理部102は、サーバ300のコマンドを解釈する(ステップS602)。サーバ通信処理部102は、サーバ300のコマンドを解釈した結果、当該コマンドがポリシーテーブル情報の変更であることが分かると、ポリシー情報管理部104に対してポリシーテーブル情報の変更を通知する(ステップS603)。ポリシー情報管理部104は、サーバ通信処理部102を経由して受け取ったポリシーテーブル情報を変更する旨のコマンドを解釈する(ステップS604)。そして、固有インタフェース1のポリシー情報105に対して新たなセキュリティレベルを追加するよう要求する(ステップS605)。
ここで追加される新たなセキュリティレベルは、レベル3_153の情報である。新たなセキュリティレベルの追加を要求された固有インタフェース1のポリシー情報105は、レベル3_153の情報を新規に生成する(ステップS606)。そして、固有インタフェース1のポリシー情報105は、パラメータ“ic_card”を用いて、機能名“ユーザ認証”に、セキュリティ設定値“ICカード”を追加する機能情報追加を行う(ステップS607)。
さらに、パラメータ“dynamic_delete”を用いて、機能名“HDD自動消去”に、セキュリティ設定値“あり(逐次消去)”を追加する機能情報追加を行う(ステップS608)。また、パラメータ“2048”を用いて、機能名“暗号化強度”に、セキュリティ設定値“2048bit暗号”を追加する機能情報追加を行う(ステップS609)。
次に、本実施形態に係る情報管理装置において、新しい機能を追加する場合の動作について説明する。図7は、本実施形態に係る情報管理装置において、新しい機能を追加する場合の動作について説明するブロック図である。また、図8は、本実施形態に係る情報管理装置において、新しい機能を追加する場合の動作について説明するシーケンス図である。
ここでは、既に存在しているインタフェース(ポリシー情報)に対して、新たなセキュリティ管理の対象とする機能を追加する処理を行う。既に存在しているレベル1、レベル2、レベル3の各固有インタフェース1のポリシー情報に対して、機能名“暗号化強度”に、新たなセキュリティ管理の対象とする機能を追加する処理について説明する。具体的には、セキュリティポリシー情報配布サーバ300は、サーバ通信処理部102に対してサーバコマンドを通知する(図8、ステップS801)。このサーバコマンドには、図7に示すようなポリシーテーブル変更コマンド303が書き込まれている。
ポリシーテーブル変更コマンド303には、処理内容として“機能追加”、対象インタフェースとして“固有インタフェース1”がそれぞれ記載されている。また、機能名として“暗号化強度”(コマンド名はfunc_seq)が記載されている。さらに、レベル1には、セキュリティ設定値として“なし”(パラメータはnone)が記載されている。また、レベル2には、セキュリティ設定値として“512bit暗号”(パラメータは512)が記載されている。そして、レベル3には、セキュリティ設定値として“2048bit”(パラメータは2048)が記載されている。
サーバ通信処理部102は、サーバ300のコマンドを解釈する(ステップS802)。サーバ通信処理部102は、サーバ300のコマンドを解釈した結果、当該コマンドがポリシーテーブル情報の変更コマンドであることが分かると、ポリシー情報管理部104に対してポリシーテーブル情報の変更を通知する(ステップS803)。ポリシー情報管理部104は、サーバ通信処理部102を経由して受け取ったポリシーテーブル情報を変更する旨のコマンドを解釈する(ステップS804)。そして、固有インタフェース1のポリシー情報105に対して新たな機能を追加するよう要求する(ステップS805)。
ここで追加される新たな機能名は暗号化強度である。新たな機能名の追加を要求された固有インタフェース1のポリシー情報105は、レベル1にセキュリティ設定値“なし”を追加する。また、レベル2にセキュリティ設定値“512bit暗号”を追加する。さらに、レベル3にセキュリティ設定値“2048bit暗号”を追加する。そして、ポリシー情報管理部104は、クライアント通信処理部101の共通部110に対して新たな機能を追加するよう要求する(ステップS806)。ここで追加される新たな機能は、固有インタフェース1_111である。
さらに、クライアント通信処理部101の共通部110は、クライアント通信処理部101の固有インタフェース1_111に対して新たなコマンドを追加するよう要求する(ステップS807)。ここで追加される新たなコマンドは、コマンド名“func_seq”である。
このように、既に存在しているインタフェース(ポリシー情報)に対して、新たなセキュリティ管理の対象とする機能を追加することとしている。ポリシー情報管理部104は、ポリシー情報(固有インタフェース1)105に対して機能名、レベル、設定値を追加する。また、クライアント通信処理部101(共通部110)に対して、当該機能の設定に対応する固有インタフェース1_1111を追加する。さらに、クライアント通信処理部101の共通部110は、クライアント通信処理部101(固有インタフェース1_111)に対して、当該機能の設定に対応したコマンドを追加するよう指示する。
次に、本実施形態に係る情報管理装置において、ポリシーテーブルを表示し、セキュリティ設定値を変更する場合の動作について説明する。図9は、本実施形態に係る情報管理装置において、ポリシーテーブルを表示し、セキュリティ設定値を変更する場合の動作について説明するシーケンス図である。ここでは、UI部103を通じてポリシーテーブルを表示させると共に、セキュリティ設定値の変更を行う処理を行う。
最初に、ポリシーテーブルを表示させる動作について説明する。まず、UI部103を通じてポリシーテーブルの表示要求のためのコマンドを入力する(ステップS901)。UI部103は、ポリシー情報管理部104に対してテーブル構造を生成するよう要求する(ステップS902)。ポリシー情報管理部104は、固有インタフェース1のポリシー情報105に対してポリシー情報の取得要求を出力する(ステップS903)。そうすると、固有インタフェース1のポリシー情報105は、ポリシー情報管理部104に対してポリシー情報を応答する(ステップS904)。
同様に、ポリシー情報管理部104は、固有インタフェース2のポリシー情報106に対してポリシー情報の取得要求を出力する(ステップS905)。そうすると、固有インタフェース2のポリシー情報106は、ポリシー情報管理部104に対してポリシー情報を応答する(ステップS906)。そして、ポリシー情報管理部104は、UI部103に対してポリシーテーブルの構造を応答する(ステップS907)。
次に、セキュリティ設定値を変更する動作について説明する。まず、UI部103を通じてセキュリティ設定値を変更するためのコマンドを入力する(ステップS908)。ここでは、固有インタフェース1のレベル3のセキュリティ設定値を変更する場合について説明する。UI部103は、クライアント通信処理部101の共通部110に対し、固有インタフェース1のレベル3のセキュリティ設定値を変更するよう要求する(ステップS909)。
クライアント通信処理部101の共通部110は、クライアント通信処理部101の固有インタフェース1_111に対してレベル3のセキュリティ設定値を変更するよう要求する(ステップS910)。クライアント通信処理部101の固有インタフェース1_111は、固有インタフェース1のポリシー情報105に対してレベル3のセキュリティ設定値の取得要求を行う(ステップS911)。固有インタフェース1のポリシー情報105は、クライアント通信処理部101の固有インタフェース1_111に対し、セキュリティ設定値としてレベル3の機能名“暗号化強度”に対応する“2048bit暗号”を応答する(ステップS912)。
クライアント通信処理部101の固有インタフェース1_111は、コマンド名“func_seq”を用いてセキュリティ設定コマンドを実行する(ステップS913)。クライアント通信処理部101の固有インタフェース1_111は、クライアント機器A(管理対象機器)201に対してレベル3の暗号化強度を“2048bit暗号”に変更する(ステップS914)。
そして、固有インタフェース1のポリシー情報105は、パラメータ“ic_card”を用いて、機能名“ユーザ認証”のセキュリティ設定値の応答を行う(ステップS915)。さらに、固有インタフェース1のポリシー情報105は、パラメータ“dynamic_delete”を用いて、機能名“HDD自動消去”のセキュリティ設定値の応答を行う(ステップS916)。
このように、UI部103へ表示するポリシーテーブル情報は、ポリシー情報管理部104が自動的に生成する。また、UI部103からのセキュリティ設定値の変更は、セキュリティレベルを指定することで実施することができる。セキュリティレベルに対応して、どの機能をどのセキュリティ設定値にするかは、クライアント通信処理部(固有インタフェース1_111)101とポリシー情報(固有インタフェース1)105とが情報交換を行うことによって決定する。
なお、図9においては、固有インタフェース1のレベル3のセキュリティ設定値を変更する場合について説明している。固有インタフェース2のセキュリティ設定値を変更する場合には、クライアント通信処理部101の固有インタフェース2_112と固有インタフェース2のポリシー情報106とが情報交換することによって決定する。
このように、本実施形態では、クライアント機器のセキュリティ設定値を管理するためのポリシーテーブルを動的に変更することとしている。具体的には、通信処理に用いるインタフェース情報と、セキュリティの機能及び設定値がセキュリティレベルに応じて対応付けられたセキュリティポリシー情報と、を変更することとしている。そして、ポリシーテーブルは、セキュリティポリシー情報に基づいて自動生成される。これにより、セキュリティの管理対象となるクライアント機器に対し、新たな管理要件に対応したセキュリティ設定を柔軟に行うことにより、利便性及び拡張性の高いセキュリティ情報管理装置を実現することができる。
また、管理対象であるクライアント機器と通信するクライアント通信処理部101を、共通部110と、固有インタフェース1_111、2_112、3_113と、からなる固有部と、で構成している。そして、固有部は、セキュリティポリシー情報配布サーバ300から受け取った情報に基づいて動的に拡張することができる。これにより、例えば、Windowsクライアントにのみ対応していたセキュリティ情報管理装置が、Linuxクライアントに対しても対応することができるようになる。よって、新しいクライアント機器に対してセキュリティを柔軟に拡張できるので利便性が向上する。
さらに、クライアント機器の種別毎に用意するポリシーテーブルを、セキュリティポリシー情報配布サーバ300から受け取った情報に基づいて動的に追加することができる。したがって、同じ通信インタフェースを有するクライアント機器であっても、異なるポリシーテーブルで管理することができる。
また、ポリシー情報に含まれるセキュリティレベルを、セキュリティポリシー情報配布サーバ300から受け取った情報に基づいて動的に追加することができる。したがって、利用者に応じて、セキュリティレベルを柔軟に変更することができる。例えば、3段階で管理したい利用者もいれば、10段階で管理したい利用者もいるため、利用者のニーズに柔軟に対応することができる。
そして、ポリシーテーブルに含まれる機能を、セキュリティポリシー情報配布サーバ300から受け取った情報に基づいて動的に追加できるので。新しいセキュリティ技術が登場した際に、既存の管理システムに簡単に取り込むことができる。
また、UI部103にポリシーテーブルを表示し、セキュリティの機能毎ではなく、セキュリティレベルを指定して纏めて変更指示を行うことにより、簡単にセキュリティレベルを揃えることができる。
なお、上記実施形態では本発明をMFPやPCに適用した例で説明したが、これに限るものではない。例えば、プリンタ、ファクシミリ、コピー、その他の情報処理装置に対しても適用することができる。また、狭義のインク以外の液体や定着処理液等を用いる画像形成装置にも適用することができる。
また、この形態は本発明の範囲を限定するものではなく、セキュリティポリシー情報配布サーバがポリシー情報のポリシーテーブルを記憶する機能、インタフェース情報によりポリシーテーブルを作成する機能を備えても良い。また、セキュリティ情報管理装置がポリシー情報のポリシーテーブルを記憶する機能、インタフェース情報によりポリシーテーブルを作成する機能を備えても良い。
さらに、情報管理システムを構成するセキュリティポリシー情報配布サーバは複数台でも良く、どのサーバに機能を備えさせても良い。なお、この実施形態で説明するセキュリティ情報管理装置と、セキュリティポリシー情報配布サーバとが接続された情報管理システム構成は一例である。したがって、用途や目的に応じて様々なシステム構成例があることはいうまでもない。
なお、図4、図6、図8、及び図9に示した本実施形態に係るセキュリティ情報管理装置100の動作フローは、コンピュータ上のプログラムに実行させることもできる。すなわち、セキュリティ情報管理装置を構成する制御部に内蔵されているCPU(Central Processing Unit)が、ROM(Read Only Memory)等の記憶部に格納されたプログラムをロードする。そして、プログラムの各処理ステップが順次実行されることによって行われる。
本発明によれば、セキュリティの管理対象となるクライアント機器に対し、新たな管理要件に対応したセキュリティ設定を柔軟に行うことにより、利便性及び拡張性を高めることが可能な情報管理装置、情報管理システム、及びプログラムが得られる。
以上、これまで本発明の実施形態について説明してきたが、本発明の実施形態は上述した実施形態に限定されるものではない。すなわち、他の実施形態、追加、変更、削除等、当業者が想到することができる範囲内で変更することができ、何れの態様においても本発明の作用効果を奏する限り、本発明の範囲に含まれるものである。
1 情報管理システム
100 セキュリティ情報管理装置
101 クライアント通信処理部
102 サーバ通信処理部
103 UI部
104 ポリシー情報管理部
105 ポリシー情報(固有インタフェース1)
106 ポリシー情報(固有インタフェース2)
110 共通部
111 固有インタフェース1
112 固有インタフェース2
113 固有インタフェース3
151、161 レベル1
152、162 レベル2
153 レベル3
201 クライアント機器A(管理対象機器)
202 クライアント機器B(管理対象機器)
300 セキュリティポリシー情報配布サーバ
301 サーバコマンド
302、303 ポリシーテーブル変更コマンド
400 インターネット
特開2014−219962号公報

Claims (8)

  1. クライアント機器のセキュリティを確保するのに必要な機能と、前記機能に対するセキュリティ設定値とが、前記クライアント機器に固有のインタフェースに応じて定められ、前記機能と前記セキュリティ設定値とが、前記セキュリティのレベルに応じて対応付けて記載されたポリシーテーブルと、
    前記クライアント機器と通信を行うクライアント通信処理手段と、
    前記ポリシーテーブルの記載の変更要求を発行するサーバと通信を行うサーバ通信処理手段と、
    前記サーバから発行される変更要求に基づいて、前記ポリシーテーブルの記載の変更を行うポリシー情報管理手段と、
    を含むことを特徴とする情報管理装置。
  2. 前記クライアント通信処理手段は、前記クライアント機器に共通のインタフェースである共通部と、前記クライアント機器に固有のインタフェースである固有部と、から構成され、前記変更要求が新たなクライアント機器のインタフェースを追加する旨の要求であったとき、前記共通部は、前記変更要求に基づいて、前記新たなインタフェースを生成することを特徴とする請求項1に記載の情報管理装置。
  3. 前記ポリシー情報管理手段は、前記変更要求に基づいて、新たなセキュリティのレベルを生成すると共に、前記新たなセキュリティのレベルにおいてセキュリティを確保するのに必要な機能と、前記機能に対するセキュリティ設定値とを前記ポリシーテーブルに追加することを特徴とする請求項1に記載の情報管理装置。
  4. 前記ポリシー情報管理手段は、前記変更要求に基づいて、前記セキュリティを確保するのに必要な新たな機能を追加すると共に、前記セキュリティのレベルに応じて、前記新たな機能に対するセキュリティ設定値を前記ポリシーテーブルに追加することを特徴とする請求項1に記載の情報管理装置。
  5. 前記ポリシーテーブルに対するユーザからのアクセスを受け付けるユーザインタフェース手段をさらに含み、前記ポリシー情報管理手段は、前記ユーザインタフェース手段から前記ポリシーテーブルの表示要求を受け付けると、前記ユーザインタフェース手段に前記ポリシーテーブルを表示することを特徴とする請求項1から4の何れか1項に記載の情報管理装置。
  6. 前記ユーザインタフェース手段から所定のセキュリティレベルにおけるセキュリティ設定値の変更要求を受け付けると、前記共通部は、前記固有部に対し前記セキュリティ設定値の変更を要求し、前記固有部は、前記ポリシーテーブルから前記所定のセキュリティレベルにおけるセキュリティ設定値を取得すると共に、前記ポリシーテーブルのセキュリティ設定値を変更することを特徴とする請求項5に記載の情報管理装置。
  7. クライアント機器とサーバとが情報管理装置を介してネットワークで接続された情報管理システムであって、
    前記クライアント機器のセキュリティを確保するのに必要な機能と、前記機能に対するセキュリティ設定値とが、前記クライアント機器に固有のインタフェースに応じて定められ、前記機能と前記セキュリティ設定値とが、前記セキュリティのレベルに応じて対応付けて記載されたポリシーテーブルと、
    前記クライアント機器と通信を行うクライアント通信処理手段と、
    前記ポリシーテーブルの記載の変更要求を発行する前記サーバと通信を行うサーバ通信処理手段と、
    前記サーバから発行される変更要求に基づいて、前記ポリシーテーブルの記載の変更を行うポリシー情報管理手段と、
    を含むことを特徴とする情報管理システム。
  8. クライアント機器のセキュリティを確保するのに必要な機能と、前記機能に対するセキュリティ設定値とが、前記クライアント機器に固有のインタフェースに応じて定められ、前記機能と前記セキュリティ設定値とが、前記セキュリティのレベルに応じて対応付けて記載されたポリシーテーブルと、
    前記クライアント機器と通信を行うクライアント通信処理手段と、
    前記ポリシーテーブルの記載の変更要求を発行するサーバと通信を行うサーバ通信処理手段と、を含む情報管理装置に実行させるためのプログラムであって、
    前記サーバから発行される変更要求に基づいて、前記ポリシーテーブルの記載の変更を行う処理を実行させるためのプログラム。
JP2015202885A 2015-10-14 2015-10-14 情報管理装置、情報管理システム、及びプログラム Pending JP2017076220A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2015202885A JP2017076220A (ja) 2015-10-14 2015-10-14 情報管理装置、情報管理システム、及びプログラム
US15/288,956 US20170111394A1 (en) 2015-10-14 2016-10-07 Information management apparatus, information management system, and computer-readable recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015202885A JP2017076220A (ja) 2015-10-14 2015-10-14 情報管理装置、情報管理システム、及びプログラム

Publications (1)

Publication Number Publication Date
JP2017076220A true JP2017076220A (ja) 2017-04-20

Family

ID=58524485

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015202885A Pending JP2017076220A (ja) 2015-10-14 2015-10-14 情報管理装置、情報管理システム、及びプログラム

Country Status (2)

Country Link
US (1) US20170111394A1 (ja)
JP (1) JP2017076220A (ja)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2410118C (en) * 2001-10-26 2007-12-18 Research In Motion Limited System and method for controlling configuration settings for mobile communication devices and services
JP6318698B2 (ja) * 2013-04-10 2018-05-09 株式会社リコー セキュリティ管理システム、セキュリティ管理方法およびプログラム

Also Published As

Publication number Publication date
US20170111394A1 (en) 2017-04-20

Similar Documents

Publication Publication Date Title
US20140258334A1 (en) Information processing apparatus, information processing system and information processing method
US20100024011A1 (en) Document management system and document management method
JP2013242848A (ja) 情報処理システム、情報処理装置、プログラム及びデータ変換方法
JP6331504B2 (ja) 電子機器、及び情報処理システム
KR102002541B1 (ko) 클라우드 기반 어플리케이션의 로그인 관리 방법 및 이를 수행하기 위한 화상형성장치
JP2009069992A (ja) 情報処理装置、認証制御方法、及び認証制御プログラム
US20220335007A1 (en) Method and system for using dynamic content types
JP6938983B2 (ja) 情報処理システム、情報処理装置及び情報処理方法
JP2014127125A (ja) 設定情報管理プログラム、情報処理装置及び設定情報管理方法
JP5982962B2 (ja) データ処理装置、データ処理システム及びプログラム
JP2016177613A (ja) 情報処理システム、情報処理装置、及び情報処理方法
TWI694375B (zh) 利用多個網路之加密文件列印技術
JP2015156209A (ja) 情報処理システム
JP2016076116A (ja) 画像形成装置、該装置の制御方法、及びプログラム
JP6318667B2 (ja) 出力システム、出力方法、サービス提供システム、サービス提供装置及びプログラム
KR20180090053A (ko) 서비스를 제공하는 서버 및 그 서버의 동작 방법
JP2016126604A (ja) 端末装置、プログラム、情報処理システム及び出力方法
JP2017076220A (ja) 情報管理装置、情報管理システム、及びプログラム
JP2016057878A (ja) プログラム、情報処理装置、情報処理システム、及び情報処理方法
WO2018185919A1 (ja) プログラム、プログラムの実行方法、および端末装置
JP6627910B2 (ja) 電子機器、及び情報処理システム
JP7230491B2 (ja) 情報処理システム、装置、方法、およびプログラム
JP2013008390A (ja) 情報処理装置、プログラム、及び記録媒体
JP6127617B2 (ja) サービス提供システム、サービス提供方法およびサービス提供プログラム
JP2022146304A (ja) 情報処理システム、情報処理装置、情報処理方法およびプログラム