以下、本発明の好適な実施例を添付図面に基づいて詳細に説明する。なお、以下に述べる実施例は、本発明の好適な実施例であるので、技術的に好ましい種々の限定が付されているが、本発明の範囲は、以下の説明によって不当に限定されるものではなく、また、本実施の形態で説明される構成の全てが本発明の必須の構成要件ではない。
図1〜図15は、本発明のセキュリティ管理装置、情報処理装置、セキュリティ管理方法及びプログラムの一実施例を示す図であり、図1は、本発明のセキュリティ管理装置、情報処理装置、セキュリティ管理方法及びプログラムの一実施例を適用した複合装置1の外観斜視図である。
図1において、複合装置1は、その下部から2段の給紙部2a、2b、プロッタ部3、スキャナ部4、操作表示部5が順次配設されている。複合装置1は、スキャナ部4の奥側に原稿台6が配設されており、該原稿台6上の原稿を1枚ずつスキャナ部4に搬送する原稿搬送部7が設けられている。また、複合装置1は、その正面側に、原稿排紙トレイ8と用紙排紙トレイ9が配設されている。
操作表示部5は、テンキー、スタートキー、ファクシミリモード、コピーモード、スキャナモード等のモードを選択するモード選択キー等の各種操作キー5aを備えるとともに、ディスプレイ(例えば、液晶ディスプレイ)5bを備え、操作キー5aからは、送信操作等の各種命令が入力され、ディスプレイ5bには、操作キーから入力された命令内容や複合装置1からオペレータに通知する各種情報が表示される。複合装置1は、操作表示部5の操作キー5aを使用して、アカウント情報の操作が行われ、特に、アカウント情報のうち、利用者識別情報であるパスワードの削除操作が行われる。複合装置1は、アカウント情報の操作に際して、必要な情報、特に、アカウント情報の利用者識別情報であるID(Identification)のうち、公開してもよい公開IDを、ディスプレイ5bに表示出力する。
給紙部2a、2bは、それぞれ複数枚のシート状の用紙が収納される給紙トレイ、各給紙トレイ内の用紙を1枚ずつ送り出す給紙ローラ、給紙ローラで送り出された用紙を、プロッタ部3に搬送する搬送部等を備えている。給紙部2a、2bは、操作表示部5で選択された給紙部2a、2bまたは形成画像のサイズに応じた用紙の収納されている給紙部2a、2bから用紙をプロッタ部3に搬送する。
原稿台6には、複数枚の原稿がセット可能であり、原稿搬送部7は、原稿台6にセットされた原稿を1枚ずつスキャナ部4に搬送する。
スキャナ部4は、例えば、CCD(Charge Coupled Device)またはCMOS(Complementary Metal Oxide Semiconductor )を利用したイメージスキャナが利用されている。スキャナ部4は、原稿搬送部7によって原稿台6から搬送されてきた原稿を走査して原稿の画像を所定の解像度で読み取り、読み取りの完了した原稿を原稿排紙トレイ8上に排出する読み取り機能(スキャナ機能)を実行する。
プロッタ部3は、例えば、電子写真式記録装置等が使用されており、画像データに基づいて給紙部2a、2bから送られてくる用紙に画像を記録出力して、記録済の用紙を用紙排紙トレイ9上に排出する記録出力機能(プロッタ機能)を実行する。プロッタ部3は、スキャナ部4の読み取った原稿の画像データまたはネットワーク制御部 (図2参照)が受信した画像データ、ファクシミリ制御部 (図2参照)が受信したファクシミリ受信データを、画像データとして画像形成する。
そして、複合装置1は、そのハードウェアの要部が、図2に示すようにブロック構成されており、CPU(Central Processing Unit )11、ROM(Read Only Memory)12、不揮発性メモリ13、RAM(Random Access Memory)14、エンジン制御部15、ネットワーク制御部16、ファクシミリ制御部17を備えているとともに、上記スキャナ部4、プロッタ部3及び操作表示部5等を備えていて、上記各部は、バス18により接続されている。
ROM12は、複合装置1の基本プログラムや後述する本発明のセキュリティ管理方法を実行するプログラム及びこれらのプログラムの実行に必要なデータが格納されている。
RAM14は、CPU11のワークメモリとして利用されるとともに、プロッタ部3で記録出力する画像データが展開されるページメモリとしても利用される。
CPU11は、ROM12内のプログラムをRAM14に展開して実行することで、複合装置1の各部を制御して、複合装置1としての基本機能を実行するとともに、本発明のセキュリティ管理方法を実行する。
不揮発性メモリ13は、複合装置1の電源がオフのときにも記憶しておくべきデータを、CPU11の制御下で記憶し、また、読み出される。不揮発性メモリ13は、特に、本発明のセキュリティ管理方法を実行する上で、必要な各種データを記憶する。例えば、不揮発性メモリ13は、秘密を要する画像データ、複合装置1の管理者、利用者、スーパーバイザーのアカウント情報データベース、権限データベースDB1(図4参照)、アカウント情報利用履歴(図5参照)、昇格条件データベース(図6参照)等を記憶する。
アカウントデータベースは、例えば、図3に示すように、ID(Identification)、パスワード、権限情報、公開ID及び利用履歴情報等が含まれる。図3(a)は、一般利用者のアカウント情報の一例であり、図3(b)は、管理者のアカウント情報の一例である。IDは、管理者、利用者、スーパーバイザー、それぞれのアカウントを個別に識別する利用者識別情報である。IDは、例えば「abcdef」「ghijkl」等の人名等の人間が理解しやすい値が任意に指定可能である。IDは、アカウントが一旦作成されると、変更することはできない。パスワードは、複合装置1の利用を行おうとする者が、正当な利用者であることを認証する利用者認証情報、すなわち、アカウントを認証するための情報である。パスワードは、任意の値を設定することはできるが、運用上、アカウントの所有者だけが設定できる秘密情報として扱われる。複合装置1は、このパスワードに基づいて、「秘密情報であるパスワードを知っているから、今の操作者がこのアカウントの所有者に間違いない」という認証処理を行う。権限情報は、そのアカウント(ID)に許可される権限を示す情報である。本実施例では、図4に権限データベースDB1として示すように、権限として、「一般利用者」、「管理者」、「スーパーバイザー」及び「信頼利用者」という4段階に権限レベルの異なる権限を用いており、アカウントに対して、4つの権限のうちのいずれか1つが設定される。公開IDは、アカウント識別のための情報であるが、必要に応じて公開される公開用のID(公開用識別情報)である。公開IDは、複合装置1が、他の情報に基づいて自動生成するものであり、利用者は変更することができない。複合装置1は、公開IDの生成規則として、本実施例では、アカウントの権限情報に基づいて固定した規則を用いている。例えば、複合装置1は、公開IDとして、「管理者」、「スーパーバイザー」には、アカウント作成時に、「mnj_x」(xは、数字、:「mnj_1」「mnj_2」・・・)という固定の値を生成する。このmnj_xという形式は、重要ではなく、固定であり変更できないという特徴を有していれば、どのような形式であってもよい。管理者、スーパーバイザー以外の利用者の公開IDは、管理者によって割り当てられ、固定であって変更できない。本実施例の複合装置1は、公開IDとして、IDをそのまま公開IDとして利用しているが、固定であって変更できないこと及び管理者のみが割り当てることができることという特徴を有していれば、どのような形式であってもよい。利用履歴は、そのアカウントの利用の履歴情報であり、例えば、図5に示すように、最新のログインの情報から所定回数(図5では、10回)までのログインの試行日時と成否の履歴情報及び総ログイン成功回数の情報である。この利用履歴は、そのアカウントの利用者がログイン試行を行う毎に取得されて、不揮発性メモリ13にアカウントに関連付けて登録される。
なお、図4に示した権限データベースDB1は、権限、文書処理機能、権限設定機能、アカウント操作機能の各項目があり、アカウント操作機能は、さらに、新規作成、他アカウントパスワード消去、権限変更及び削除の各項目がある。権限としては、本実施例の複合装置1では、上述のように、一般利用者、管理者、スーパーバイザー及び信頼利用者の4種類の権限がある。ここで、管理者は、複合装置1のセキュリティを含む利用等の運営を管理するものであり、その権限範囲(権限レベル)として、文書処理機能以外の全ての機能を行う権限範囲を有している。ただし、管理者は、そのアカウント操作機能の権限範囲として、管理者、一般利用者及び信頼利用者のアカウント操作を行う権限範囲を有し、スーパーバイザーのアカウント操作については、セキュリティ確保の観点から権限範囲から外れている。スーパーバイザーは、通常のセキュリティ管理においても用いられている権限であり、セキュリティを確保した状態でパスワードの消去等のセキュリティ管理機能を有する権限である。本実施例の複合装置1では、スーパーバイザーは、その権限範囲として、管理者のパスワードを消去する権限範囲のみを有している。一般利用者は、権限範囲としては、最も低く(狭く)、文書処理機能の権限範囲のみを有している。信頼利用者は、後述するように、一般利用者が昇格することのできる権限であり、その権限範囲として、文書処理機能の他に、管理者及びスーパーバイザーのパスワード消去機能の権限範囲を有している。
ここで、文書処理機能とは、複合装置1の有する文書処理機能であり、例えば、「コピー機能」「ファクシミリ送信機能」等の文書を取り扱う機能である。文書処理機能は、上述のように、一般利用者と信頼利用者に付与されている。機器設定機能とは、複合装置1の有する機能のうち、機器動作の条件を設定管理する機能であり、例えば、「識別認証機能を使用するか否か」等のセキュリティに関する設定機能である。機器設定機能は、管理者のみに付与されている機能である。アカウント操作機能の新規作成機能は、アカウントを新規に作成する機能であり、管理者のみに付与されている機能である。他アカウントのパスワード消去機能は、自己のアカウント以外の他の者のアカウントのパスワードを消去する機能であり、一般利用者以外の権限のアカウントに付与されているが、削除可能なアカウントの範囲は、上述のように異なる。権限変更機能は、アカウントの権限の変更を行う機能であり、管理者のみに付与されている。削除機能は、アカウントの削除を行う機能であり、管理者のみに付与されている。
昇格条件データベースは、権限として、一般利用者が信頼利用者に昇格するための昇格条件が登録されており、例えば、図6に示すような昇格条件がある。図6の昇格条件は、アカウント操作の履歴において、「過去10回の履歴が2〜8日以内に収まっている。」、「過去10回の履歴において、成功のほうが多い。」、「総ログイン回数が100回を越えている。」の3つの条件をすべて満たすことが条件となっている。すなわち、複合装置1は、一般利用者が、図6の昇格条件を満たすと、信頼できる利用者であるとして、より権限範囲の広い信頼利用者に昇格させる。この信頼利用者は、本実施例では、管理者とスーパーバイザーのパスワード(利用者認証情報)を消去する権限を有している。
再び、図2において、エンジン制御部15には、上記スキャナ部4とプロッタ部3が接続されており、エンジン制御部15は、CPU11の制御下で、スキャナ部4及びプロッタ部3の動作を制御する。
ネットワーク制御部16は、LAN(Local Area Network)、WAN(Wide Area Network )、インターネット等のネットワークに接続されており、CPU11の制御下で、ネットワーク上のコンピュータや他の複合装置等と通信する。また、ネットワーク制御部16は、Wi-FiやBluetooth(登録商標)等の無線通信方式で携帯端末と通信して、データ及びコマンドの授受を行ってもよい。
ファクシミリ制御部17は、電話回線に接続されており、CPU11の制御下で、ファクシミリデータの指定宛先へのファクシミリ送信処理、相手先からのファクシミリデータの受信処理を行う。
そして、複合装置1は、ROM、EEPROM(Electrically Erasable and Programmable Read Only Memory )、EPROM、フラッシュメモリ、フレキシブルディスク、CD−ROM(Compact Disc Read Only Memory )、CD−RW(Compact Disc Rewritable )、DVD(Digital Video Disk)、SD(Secure Digital)カード、MO(Magneto-Optical Disc)等のコンピュータが読み取り可能な記録媒体に記録されている本発明のセキュリティ管理方法を実行するプログラムを読み込んでROM12や不揮発性メモリ13等に導入することで、後述するセキュリティを適切に確保しつつ、アカウント情報の管理を、効率的に行うセキュリティ管理方法を実行する情報処理装置として構築されている。このセキュリティ管理方法のプログラムは、アセンブラ、C、C++、C#、Java(登録商標)等のレガシープログラミング言語やオブジェクト指向ブログラミング言語等で記述されたコンピュータ実行可能なプログラムであり、上記記録媒体に格納して頒布することができる。
複合装置1は、上記CPU11、不揮発性メモリ13、操作表示部5が、複合装置1を管理対象装置としてセキュリティ管理を行うセキュリティ管理部(セキュリティ管理装置)20として機能している。
複合装置1は、上記セキュリティ管理方法のプログラムが導入されることで、図7に示すような機能ブロックがセキュリティ管理部20として構築される。すなわち、複合装置1は、セキュリティ管理方法のプログラムが導入されると、図7に示すように、記憶部21、利用制御部22、管理部23、権限調整部24、入力部25及び情報出力部26がセキュリティ管理部20として構築される。
記憶部21は、不揮発性メモリ13により構築されている。記憶部21は、管理対象装置である複合装置1の利用者を識別する利用者識別情報としてのID、該複合装置1の正当な利用者であることを認証する利用者認証情報としてのパスワード、該複合装置1の利用上の権限レベルの異なる複数の権限を関連付けてアカウント情報として記憶する。ここで、本実施例においては、記憶部21は、権限として、一般利用者、信頼利用者、スーパーバイザー及び管理者を記憶しており、権限レベルを、権限データベースDB1として記憶している。また、記憶部21は、公開ID(公開用識別情報)を記憶しており、公開IDは、ID毎に該IDと関連付けた公開用のIDである。複合装置1は、利用者認証情報であるパスワードの削除に際して、ID毎に該IDと関連付けた公開IDを、情報出力部26に出力する。したがって、記憶部21は、記憶手段として機能している。
利用制御部22は、CPU11により構築されており、アカウント情報のIDとパスワードに基づいて管理対象装置である複合装置1の利用可否制御を行う。したがって、利用制御部22は、利用制御手段として機能している。
管理部23は、CPU11により構築されており、IDに対して付与されている権限レベルの異なる複数の権限のうち1つの該権限に基づいて管理対象装置である複合装置1及びアカウント情報に対する操作を管理する。したがって、管理部23は、管理手段として機能している。
権限調整部24は、CPU11により構築されており、利用者のアカウント情報の利用履歴に基づいて、該アカウント情報の権限の変更調整を行う。また、権限調整部24は、権限を権限レベルの高い権限へ昇格させる昇格条件と該権限を該権限レベルの低い権限へ降格させる降格条件に基づいて、該権限の変更を行う。したがって、権限調整部24は、権限調整手段として機能している。
入力部25は、操作表示部5の操作キーやディスプレイのタッチパネル等により構築されており、情報を入力するのに使用される。したがって、入力部25は、入力手段として機能している。
そして、複合装置1は、権限調整部24が、利用者の利用履歴が所定の利用履歴を満たすと、該利用者の権限を、他の利用者の利用者識別情報であるパスワードを削除可能な削除権限へ昇格させ、管理部23が、入力部25から前記削除権限の付与されているIDの利用者による他の利用者のパスワードの削除要求があると、該パスワードを削除する。
また、複合装置1は、権限調整部24が、利用者の利用履歴が所定の利用履歴を満たすと、該利用者の権限を、セキュリティ管理部(セキュリティ管理装置)20の管理を行う管理者権限の付与されているアカウント情報のパスワードを削除可能な信頼利用者(管理者削除権限)へ昇格させる。また、このとき、管理部23は、入力部25から信頼利用者(管理者削除権限)の付与されているIDの利用者による管理者権限の付与されているIDを指定したパスワードの削除要求があると、該パスワードを削除する。
情報出力部26は、操作表示部5のディスプレイ等で構築されており、情報を出力する。したがって、情報出力部26は、情報出力手段として機能している。
そして、複合装置1は、管理部23が、パスワードの削除に際して、ID(利用者識別情報)毎に該IDと関連付けた公開ID(公開用識別情報)を、情報出力部26に出力させる。
また、管理部23は、権限の変更調整によって削除権限を取得したIDの利用者からのパスワードの削除要求に基づく該パスワードの削除を、所定の権限の範囲内の該パスワードに限定して実行する。
なお、上記説明においては、複合装置1が、セキュリティ管理部20を構成する記憶部21、利用制御部22、管理部23、権限調整部24、入力部25及び情報出力部26を全て装置内に内蔵している場合について説明している。セキュリティ管理装置としては、上記構成に限るものではなく、例えば、セキュリティ管理装置を構成する各部が、ネットワーク等で接続された別々の装置等に存在してもよい。
次に、本実施例の作用を説明する。本実施例の複合装置1は、そのセキュリティ管理部20が、セキュリティを適切に確保しつつ、アカウント情報の管理を、効率的に行う。
複合装置1は、そのセキュリティ管理部20が、アカウント情報に基づいて、複合装置1の通常の利用制御を行うとともに、アカウント情報のセキュリティ管理を行う。
すなわち、複合装置1は、利用者が、複合装置1の利用要求またはアカウント操作要求を行う場合、図8に示すように、入力部25からアカウント情報のIDとパスワードを識別認証情報として入力して入力する。複合装置1は、識別認証情報が入力されると(ステップS101)、利用制御部22が、入力された認証識別情報のIDが、記憶部21に登録されているかチェックする(ステップS102)。
ステップS102で、入力されたIDが登録されていないと(ステップS102で、NOのとき)、利用制御部22は、ログイン失敗である旨を情報出力部26に出力させる等によって利用者に通知し、ログイン失敗処理を行って処理を終了する(ステップS103)。
ステップS102で、入力されたIDが登録されていると(ステップS102で、YESのとき)、利用制御部22は、入力されたパスワードが、該IDに対応させて登録されているアカウントのパスワードと一致するかチェックする(ステップS104)。
ステップS104で、入力されたパスワードが登録パスワードと一致しないと(ステップS104で、NOのとき)、利用制御部22は、記憶部21のアカウント情報の利用履歴をログイン失敗として更新する(ステップS105)。すなわち、利用制御部22は、アカウント情報の該当IDにおける履歴情報を、ログイン失敗とログイン操作日時の情報を更新する。利用制御部22は、ログイン失敗である旨を情報出力部6に出力させる等によって利用者に通知し、ログイン失敗処理を行って処理を終了する(ステップS106)。
ステップS104で、入力されたパスワードが登録パスワードと一致すると(ステップS104で、YESのとき)、利用制御部22は、記憶部21のアカウント情報の利用履歴をログイン成功として更新する(ステップS107)。すなわち、利用制御部22は、アカウント情報の該当IDにおける履歴情報を、ログイン成功とログイン操作日時の情報を登録して更新する。
次に、権限調整部24は、入力されたIDの権限が一般利用者である場合に、利用履歴が昇格条件を満たしているかチェックする(ステップS108)。この昇格条件は、例えば、図6に示したような昇格条件である。
ステップS108で、昇格条件を満たしていないと(ステップS108で、非該当のとき)、権限調整部24は、権限昇格を行うことなく、利用制御部22が、ログイン成功である旨を情報出力部6に出力させる等によって利用者に通知し、ログイン成功処理を行って処理を終了する(ステップS109)。なお、複合装置1は、ログイン成功処理を行うと、その後、管理部23が、ログインを許可した利用者による複合装置1の利用を、その権限のレベルに応じて許可する。
ステップS108で、昇格条件を満たしていると(ステップS108で、該当のとき)、権限調整部24は、ログインしたIDの権限を、昇格させて記憶部21に登録する(ステップS110)。この昇格は、本実施例では、具体的には、一般利用者の信頼利用者への昇格である。その後、権限調整部24は、ログイン成功である旨を情報出力部6に出力させる等によって利用者に通知し、ログイン成功処理を行って処理を終了する(ステップS109)。なお、複合装置1は、権限の昇格を伴うログイン成功処理を行うと、その後、管理部23が、ログインを許可した利用者による複合装置1の利用及びアカウント情報の管理を、その昇格後の権限のレベルに応じて許可する。
そして、複合装置1は、そのセキュリティ管理部20が、利用者からの要求に応じて、図4に示した権限データベースDB1に登録されている利用者の権限のレベルに基づいて、パスワードの消去(削除)等のアカウント管理処理を行う。複合装置1は、このパスワード消去を可能とする権限、特に、管理者やスーパーバイザーの権限のパスワードの消去を可能とする権限を、信頼利用者に割り当てている。すなわち、複合装置1は、パスワードが忘れられたり、漏洩した場合に、パスワードを消去(削除)して設定し直しができるようにして、セキュリティを確保するが、通常の場合と同様に、一般利用者のパスワードについては、管理者が削除することができる。ところが、管理者やスーパーバイザーが、パスワードを忘れたり、漏洩した場合に、他の利用者がこのパスワードを消去することができないと、複合装置1のセキュリティ管理自体を適切に運用することができない。
そこで、本実施例の複合装置1は、セキュリティ管理部20が、図4に示したように、管理者やスーパーバイザーのパスワードを消去(削除)することのできる権限として信頼利用者を設けている。そして、セキュリティ管理部20は、一般利用者のうち、利用履歴が、予め設定した昇格条件を満たすと、信頼のおける利用者であるとして、信頼利用者に昇格させ、この信頼利用者が、管理者やスーパーバイザーのパスワードを消去可能とすることで、セキュリティを確保しつつ、セキュリティ管理自体の適切な運用を可能としている。
すなわち、セキュリティ管理部20は、図9に示すように、パスワードの変更処理を管理する。なお、図9のパスワード変更処理を行うためには、利用者は、先に、IDとパスワード入力を行って、認証されていることが必要である。利用者が、入力部25を操作して、図9(a)に示すように、情報出力部26に初期画面を表示させ、初期画面で、「設定」が選択操作されると、図9(b)に示すように、「設定画面」を、情報出力部26に表示させる。この「設定画面」は、「パスワード変更」及びその他の設定を選択する画面となっている。
利用者が、一般利用者であって、パスワード変更を選択すると、セキュリティ管理部20は、図(c)に示す「一般利用者用パスワード変更画面」を、情報出力部26に表示し、その利用者による自己のパスワードの変更操作を可能とする。
また、図9(b)において、利用者がスーパーバイザーであって、パスワード変更を選択すると、セキュリティ管理部20は、図9(d)に示す「スーパーバイザー用パスワード変更画面」を、情報出力部26に表示する。この「スーパーバイザー用パスワード変更画面」は、スーパーバイザー自身のパスワードの変更と、管理者及び自身のいずれかのパスワードの消去と、を選択する画面となっている。
図9(d)の「スーパーバイザー用パスワード変更画面」で、「mnj_1」消去が選択されると、セキュリティ管理部20は、図9(e)に示すように、選択された公開IDが「mnj_1」であるアカウントのパスワードを消去する。いま、本実施例では、図3に示したように、公開ID「mnj_1」は、管理者の公開IDであるので、セキュリティ管理部20は、管理者のパスワードを削除する。
また、図9(b)の「スーパーバイザー用パスワード変更画面」には、パスワードを消去可能なアカウントを特定するために、そのアカウントの公開ID「mnj_1」、「mnj_2」が表示されている。したがって、本来のIDが、画面に表示されず、IDの秘密が確保される。その結果、パスワード変更等の操作を行った利用者にIDとパスワードの双方が知られてしまうことを防止することができ、セキュリティを適切に確保することができる。
また、図9(b)で、利用者が信頼利用者であって、パスワード変更を選択すると、図9(f)に示す「信頼利用者用パスワード変更画面」を、情報出力部26に表示する。この「信頼利用者用パスワード変更画面」は、信頼利用者自身のパスワードの変更と、管理者及びスーパーバイザーのいずれかのパスワードの消去と、を選択する画面となっている。
図9(f)の「信頼利用者用パスワード変更画面」で、「mnj_1」消去が選択されると、セキュリティ管理部20は、図9(e)に示すように、選択された公開IDが「mnj_1」であるアカウントのパスワードを消去する。いま、本実施例では、図3に示したように、公開ID「mnj_1」は、管理者の公開IDであるので、セキュリティ管理部20は、管理者のパスワードを削除する。
また、図9(f)の「信頼利用者用パスワード変更画面」には、図9(d)と同様に、パスワードを消去可能なアカウントを特定するために、そのアカウントの公開ID「mnj_1」、「mnj_2」が表示されている。したがって、本来のIDが、画面に表示されず、IDの秘密が確保される。その結果、パスワード変更等の操作を行った利用者にIDとパスワードの双方が知られてしまうことを防止することができ、セキュリティを適切に確保することができる。
さらに、図9(b)において、利用者が管理者であって、パスワード変更を選択すると、図9(g)に示す「管理者用パスワード変更画面」を、情報出力部26に表示する。この「管理者用パスワード変更画面」は、信頼利用者自身のパスワードの変更と、管理者、一般利用者及び信頼利用者のいずれかのパスワードの消去と、を選択する画面となっている。なお、図9(g)では、公開IDとして、一般利用者、信頼利用者の公開IDのみが表示されている状態が記載されているが、管理者の公開IDも、表示される。
図9(g)の「管理者用パスワード変更画面」で、「abcde」消去が選択されると、セキュリティ管理部20は、図9(e)に示したのと同様に、選択された公開IDが「abcde」であるアカウントのパスワードを消去する。いま、本実施例では、図3に示したように、公開ID「abcde」は、一般利用者の公開IDであるので、セキュリティ管理部20は、公開IDが「abcde」である一般利用者のパスワードを削除する。
また、図9(g)の「管理者用パスワード変更画面」には、図9(d)と同様に、パスワードを消去可能なアカウントを特定するために、そのアカウントの公開ID「abcde」、「fhijklm」が表示されている。したがって、本来のIDが、画面に表示されず、IDの秘密が確保される。その結果、パスワード変更等の操作を行った利用者にIDとパスワードの双方が知られてしまうことを防止することができ、セキュリティを適切に確保することができる。
このように、一般利用者のうち、昇格条件を満たす信頼の置ける利用者を、信頼利用者として、管理者とスーパーバイザーのパスワードの変更を可能としている。したがって、管理者やスーパーバイザーのパスワードが忘れられたり、漏洩しても、信頼利用者が管理者とスーパーバイザーのパスワードを消去して、変更することができ、セキュリティを確保しつつ、セキュリティ管理自体の適切な運用を可能としている。
なお、上記例においては、公開IDとして、セキュリティ管理部20が、本来のIDを連想しにくいIDを自動生成しているが、信頼利用者にとっては、分かりにくいIDとなっていた。そのため、信頼利用者が、管理者やスーパーバイザーのパスワードを消去する場合、公開IDでは、消去対象のパスワードの所有者の公開IDがいずれであるかを判別しにくいおそれがある。
したがって、セキュリティ管理部20は、例えば、図10(a)、(b)に示すように、公開IDを、IDの所有者である利用者を連想しやすいIDとする。図10(a)では、利用者が、一般利用者であって、IDが、「abcdef」という小文字の英字で綴られた苗字が用いられている場合、公開IDとして、「○○○○」という漢字で綴られた苗字が用いられている。また、図10(b)では、利用者が、管理者であって、IDが、「ghijkl」という小文字の英字で綴られた苗字が用いられている場合、公開IDとして、「H_Ghijkl」という名前の頭文字の大文字と先頭のみが大文字で後が小文字の英字で綴られた苗字が用いられている。
図10(c)に示すように、信頼利用者が、管理者等のパスワードを消去する場合に、信頼利用者用パスワード変更画面に、消去対象のアカウントを特定しやすい公開IDを表示することができる。
なお、公開IDは、上記説明では、セキュリティ管理部20が自動生成しているが、利用者が任意に決定するようにしてもよい。
また、上記説明では、信頼利用者がパスワードを消去することのできる対象が、管理者とスーパーバイザーのパスワードであったが、例えば、図11に権限データベースDB2として示すように、スーパーバイザーのパスワードのみに限定してもよい。
この場合、信頼利用者がパスワード消去を選択すると、セキュリティ管理部20は、図12に示すようなわかりやすい信頼利用者用パスワード変更画面を、情報出力部26に表示する。
さらに、上記説明においては、利用者の権限を一般利用者から信頼利用者へ昇格させる場合についてのみ説明したが、利用者の権限については、図13に示すように、昇格だけでなく、降格させる処理を伴うセキュリティ管理処理を行ってもよい。なお、図13において、図8と同様の処理ステップには、同一のステップナンバーを付与して、説明を簡略化または省略する。
この場合、記憶部21は、例えば、図14(a)に示すような昇格条件と、図14(b)に示すような降格条件が、予め保管されている。
さらに、記憶部21は、図15に示すような利用履歴情報を記憶する。この利用履歴情報は、図5に示した利用履歴情報に対して、さらに、昇格ログイン回数が追加された情報となっている。この昇格ログイン回数は、その利用者に対して昇格処理を行った時点での総ログイン回数である。
図13において、複合装置1は、識別認証情報が入力されると(ステップS101)、利用制御部22が、入力された認証識別情報のIDが、記憶部21に登録されているかチェックする(ステップS102)。
ステップS102で、入力されたIDが登録されていないと、利用制御部22は、ログイン失敗である旨を情報出力部6に出力させる等によって利用者に通知し、ログイン失敗処理を行って処理を終了する(ステップS103)。
ステップS102で、入力されたIDが登録されていると、利用制御部22は、入力されたパスワードが、該IDに対応させて登録されているアカウントのパスワードと一致するかチェックする(ステップS104)。
ステップS104で、入力されたパスワードが登録パスワードと一致しないと、利用制御部22は、記憶部21のアカウント情報の利用履歴をログイン失敗として更新する(ステップS105)。
そして、権限調整部24は、ログインに失敗した利用者の権限が信頼利用者であるかチェックして、信頼利用者であると、その利用履歴が降格条件を満たしているかチェックする(ステップS201)。この降格条件は、例えば、図14(b)に示したような降格条件である。
ステップS201で、信頼利用者が降格条件を満たしていると(ステップS201で、該当のとき)、権限調整部24は、ログインに失敗したIDの権限を、降格させて記憶部21に登録する(ステップS202)。この降格は、本実施例では、具体的には、信頼利用者の一般利用者への降格である。その後、権限調整部24は、ログイン失敗である旨を情報出力部6に出力させる等によって利用者に通知し、ログイン失敗処理を行って処理を終了する(ステップS106)。
ステップS201で、信頼利用者が降格条件を満たしていいないと(ステップS201で、非該当のとき)、権限調整部24は、権限降格を行うことなく、利用制御部22が、ログイン失敗処理を行う(ステップS106)。すなわち、利用制御部22は、ログイン失敗である旨を情報出力部6に出力させる等によって利用者に通知し、ログイン失敗処理を行って処理を終了する。
ステップS104で、入力されたパスワードが登録パスワードと一致すると、利用制御部22は、記憶部21のアカウント情報の利用履歴をログイン成功として更新する(ステップS107)。
次に、権限調整部24は、入力されたIDの権限が一般利用者である場合に、利用履歴が昇格条件を満たしているかチェックする(ステップS108)。この昇格条件は、例えば、図14(a)に示したような昇格条件である。
ステップS108で、昇格条件を満たしていると、権限調整部24は、ログインしたIDの権限を、昇格させて記憶部21に登録する(ステップS110)。この昇格は、本実施例では、具体的には、一般利用者の信頼利用者への昇格である。そして、権限調整部24は、この昇格を行うと、そのアカウントの「昇格時ログイン回数」の値を、その時点での「総ログイン回数」に変更する。
次に、権限調整部24は、昇格させると、入力されたIDの権限が信頼利用者であるかチェックし、信頼利用者であると、降格条件を満たしているかチェックする(ステップS203)。
ステップS108で、昇格条件を満たしていないと、権限調整部24は、権限昇格を行うことなく、入力されたIDの権限が信頼利用者であるかチェックし、信頼利用者であると、降格条件を満たしているかチェックする(ステップS203)。
ステップS203で、降格条件を満たしていないと(ステップS203で、非該当のとき)、権限調整部24が、権限降格を行うことなく、利用制御部22が、ログイン成功である旨を情報出力部6に出力させる等によって利用者に通知し、ログイン成功処理を行って処理を終了する(ステップS109)。なお、複合装置1は、ログイン成功処理を行うと、その後、管理部23が、ログインを許可した利用者による複合装置1の利用を、その権限のレベルに応じて許可する。
ステップS203で、降格条件を満たしていると(ステップS203で、該当のとき)、権限調整部24は、ログインに成功したIDの権限を、降格させて記憶部21に登録する(ステップS204)。この降格は、本実施例では、具体的には、信頼利用者の一般利用者への降格である。その後、権限調整部24は、ログイン成功である旨を情報出力部6に出力させる等によって利用者に通知し、ログイン成功処理を行って処理を終了する(ステップS109)。なお、複合装置1は、ログイン成功処理を行うと、その後、管理部23が、ログインを許可した利用者による複合装置1の利用を、その権限(降格後の権限)のレベルに応じて許可する。
このように、図13では、降格条件で、一旦昇格させた信頼利用者が、信頼できるかどうかを、履歴情報に基づいて判断して、信頼できなくなると、一般利用者に降格させている。したがって、一度信頼利用者へ昇格させたても、時間的・ログイン回数等の履歴条件に基づいて降格させることができ、信頼利用者の信頼性を向上させて、セキュリティ管理をより一層適正化することができる。
なお、上記説明においては、セキュリティ管理装置を情報処理装置としての複合装置1に適用した場合について説明したが、適用対象は、複合装置1に限るものではない。本発明は、機密を保持する必要のある情報を取り扱うコンピュータ、その他の情報処理装置に対して、同様に適用することができる。
また、上記説明においては、権限の昇格と降格を、1段階で行う場合について説明したが、権限のレベルの階数は、1段階に限るものではない。
このように、本実施例の複合装置1は、そのセキュリティ管理部20が、管理対象装置である複合装置1の利用者を識別するID(利用者識別情報)、該複合装置1の正当な利用者であることを認証するパスワード(利用者認証情報)及び該複合装置1の利用上の権限レベルの異なる複数の権限(一般利用者、信頼利用者、管理者、スーパーバイザー)を関連付けてアカウント情報として記憶する記憶部(記憶手段)21と、前記アカウント情報の前記IDと前記パスワードに基づいて前記複合装置1の利用可否制御を行う利用制御部(利用制御手段)22と、前記IDに対して付与されている前記権限の前記権限レベルに基づいて前記複合装置1及び前記アカウント情報に対する操作を管理する管理部(管理手段)23と、利用者の前記アカウント情報の利用履歴に基づいて、該アカウント情報の前記権限の変更調整を行う権限調整部(権限調整手段)24と、を備えている。
したがって、管理者等の上位の権限を有するアカウントのパスワードが忘却されたり、漏洩しても、上位に変更調整された権限の利用者によって、パスワードの忘却等されたアカウント情報の操作を行うことができる。その結果、セキュリティを適切に確保しつつ、アカウント情報の管理を、効率的に行うことができる。
また、本実施例の複合装置1は、そのセキュリティ管理部20が、管理対象装置である複合装置1の利用者を識別するID(利用者識別情報)、該複合装置1の正当な利用者であることを認証するパスワード(利用者認証情報)及び該複合装置1の利用上の権限レベルの異なる複数の権限を関連付けてアカウント情報として記憶する記憶部21の該アカウント情報の該IDと該パスワードに基づいて該複合装置1の利用可否制御を行う利用制御処理ステップと、前記IDに対して付与されている前記権限の前記権限レベルに基づいて前記複合装置1及び前記アカウント情報に対する操作を管理する管理処理ステップと、利用者の前記アカウント情報の利用履歴に基づいて、該アカウント情報の前記権限の変更調整を行う権限調整処理ステップと、を有するセキュリティ管理方法を実行する。
したがって、管理者等の上位の権限を有するアカウントのパスワードが忘却されたり、漏洩しても、上位に変更調整された権限の利用者によって、パスワードの忘却等されたアカウント情報の操作を行うことができる。その結果、セキュリティを適切に確保しつつ、アカウント情報の管理を、効率的に行うことができる。
さらに、本実施例の複合装置1は、そのセキュリティ管理部20が、コンピュータに、管理対象装置である複合装置1の利用者を識別するID、該複合装置1の正当な利用者であることを認証するパスワード及び該複合装置1の利用上の権限レベルの異なる複数の権限を関連付けてアカウント情報として記憶する記憶部21の該アカウント情報の該IDと該パスワードに基づいて該複合装置1の利用可否制御を行う利用制御処理と、前記IDに対して付与されている前記権限の前記権限レベルに基づいて前記複合装置1及び前記アカウント情報に対する操作を管理する管理処理と、利用者の前記アカウント情報の利用履歴に基づいて、該アカウント情報の前記権限の変更調整を行う権限調整処理と、を実行させるプログラムを搭載している。
したがって、管理者等の上位の権限を有するアカウントのパスワードが忘却されたり、漏洩しても、上位に変更調整された権限の利用者によって、パスワードの忘却等されたアカウント情報の操作を行うことができる。その結果、セキュリティを適切に確保しつつ、アカウント情報の管理を、効率的に行うことができる。
また、本実施例の複合装置1のセキュリティ管理部20は、前記権限調整部24が、前記権限を前記権限レベルの高い権限へ昇格させる昇格条件と該権限を該権限レベルの低い権限へ降格させる降格条件に基づいて、該権限の変更を行う。
したがって、昇格条件と降格条件に基づいて、明確かつ適切に利用者の権限を調整することができ、アカウント情報の管理を、セキュリティを確保しつつ、より効率的に行うことができる。
さらに、本実施例の複合装置1のセキュリティ管理部20は、情報を入力する入力部(入力手段)25を、さらに備え、前記権限調整部24が、前記利用者の利用履歴が所定の利用履歴を満たすと、該利用者の前記権限を、他の利用者の前記パスワードを削除可能な信頼利用者(削除権限)へ昇格させ、前記管理部23が、前記入力部25から前記削除権限の付与されている前記IDの前記利用者による他の利用者の前記パスワードの削除要求があると、該パスワードを削除する。
したがって、信頼のおける利用者にパスワードの削除権限を付与して、パスワードの忘却等されたアカウント情報の削除操作を行うことができる。その結果、セキュリティを適切に確保しつつ、アカウント情報の管理を、効率的に行うことができる。
また、本実施例の複合装置1のセキュリティ管理部20は、情報を入力する入力部25を、さらに備え、前記権限調整部24が、前記利用者の利用履歴が所定の利用履歴を満たすと、該利用者の前記権限を、前記セキュリティ管理部20の管理を行う管理者権限の付与されている前記アカウント情報の前記パスワードを削除可能な管理者削除権限へ昇格させ、前記管理部23が、前記入力部25から前記管理者削除権限の付与されている前記IDの前記利用者(信頼利用者)による前記管理者権限の付与されている前記IDを指定した前記パスワードの削除要求があると、該パスワードを削除する。
したがって、信頼のおける利用者に対して管理者のパスワードの削除権限を付与して、パスワードの忘却等されたアカウント情報の削除操作を行うことができる。その結果、セキュリティを適切に確保しつつ、アカウント情報の管理を、効率的に行うことができる。
さらに、本実施例の複合装置1のセキュリティ管理部20は、情報を出力する情報出力部(情報出力手段)26を、さらに備え、前記管理部23が、前記パスワードの削除に際して、前記ID毎に該IDと関連付けた公開ID(公開用識別情報)を、前記情報出力部26に出力させる。
したがって、パスワードの削除権限を有した利用者に、削除対象のアカウントのIDとパスワードの両方が知られてしまうことを防止することができ、セキュリティをより一層適切に確保しつつ、アカウント情報の管理を、効率的に行うことができる。
また、本実施例の複合装置1のセキュリティ管理部20は、前記管理部23が、前記権限の変更調整によって削除権限を取得した前記IDの利用者からの前記パスワードの削除要求に基づく該パスワードの削除を、所定の前記権限の範囲内の該パスワードに限定して実行する。
したがって、パスワード削除権限を適切な範囲に限定することができ、セキュリティをより一層適切に確保しつつ、アカウント情報の管理を、効率的に行うことができる。
以上、本発明者によってなされた発明を好適な実施例に基づき具体的に説明したが、本発明は上記実施例で説明したものに限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能であることはいうまでもない。