JP2019054422A - 監視装置、ユーザ端末、通信システム、通信方法及びプログラム - Google Patents

監視装置、ユーザ端末、通信システム、通信方法及びプログラム Download PDF

Info

Publication number
JP2019054422A
JP2019054422A JP2017177441A JP2017177441A JP2019054422A JP 2019054422 A JP2019054422 A JP 2019054422A JP 2017177441 A JP2017177441 A JP 2017177441A JP 2017177441 A JP2017177441 A JP 2017177441A JP 2019054422 A JP2019054422 A JP 2019054422A
Authority
JP
Japan
Prior art keywords
monitoring
connection
failure
authentication information
user terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017177441A
Other languages
English (en)
Other versions
JP6690836B2 (ja
Inventor
健 飯村
Takeshi Iimura
健 飯村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Fielding Ltd
Original Assignee
NEC Fielding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Fielding Ltd filed Critical NEC Fielding Ltd
Priority to JP2017177441A priority Critical patent/JP6690836B2/ja
Publication of JP2019054422A publication Critical patent/JP2019054422A/ja
Application granted granted Critical
Publication of JP6690836B2 publication Critical patent/JP6690836B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Telephone Function (AREA)
  • Telephonic Communication Services (AREA)

Abstract

【課題】監視対象の装置に対する不正なアクセスを防止することに貢献するとともに、不要なアクセスを防止することに貢献すること。【解決手段】監視装置は、監視対象装置の少なくとも一部を含む、所定の接続対象に接続する際に必要である、第1の認証情報を記憶する、記憶部と、ネットワークを介して、1又は2以上の監視対象装置の状態を監視する、監視部と、監視部が監視対象装置の障害を検知した場合、障害が検知された監視対象装置との接続に使用するポート、及びユーザ端末との接続に使用するポートを、所定の接続許可時間、開放する、ポート管理部と、監視部が監視対象装置の障害を検知した場合、第2の認証情報を生成し、第2の認証情報に基づいてユーザ端末を認証し、認証したユーザ端末から自監視装置への接続を許可し、第1の認証情報を使用して接続対象に接続する、接続管理部と、を備える。【選択図】図1

Description

本発明は、監視装置、ユーザ端末、通信システム、通信方法及びプログラムに関する。
顧客と保守契約を結んだ、保守対象の装置(サーバ装置、ネットワーク機器等)において障害が発生した場合には、障害復旧作業を行う作業員は、障害が発生した装置の設置場所へ行き、障害復旧作業を行う場合がある。しかし、作業員のスケジュール、及び/又は作業員が現地(障害が発生した装置の設置場所)に到着するまでの移動時間等の事情が影響して、障害発生後、速やかに、作業員が現地へ行き、障害復旧作業を行えない場合がある。
そこで、保守対象の装置がネットワークに接続されている場合には、障害復旧作業を行う作業員は、自身が使用するユーザ端末(PC(Personal Computer)、タブレット端末等)を用いて、当該装置に接続(リモート接続)し、障害復旧作業等を行う場合がある。
しかし、保守対象の装置が、インターネット、公衆無線LAN(Local Area Network)、携帯電話通信網等のネットワークを介した接続を許可すると、任意の者が、保守対象の装置に接続可能(アクセス可能)になる恐れがある。そのため、保守対象の装置が、インターネット、公衆無線LAN、携帯電話通信網等のネットワークを介した接続を許可すると、意図しない(悪意のある)第三者が当該装置に対して接続する恐れがある。また、意図しない(悪意ある)第三者が、保守対象の装置に対して接続した場合、障害復旧作業を行う作業員が使用するユーザ端末は、保守対象の装置から接続を拒否される場合がある。
特許文献1においては、接続先の装置(監視用通信端末)が、接続先の装置(監視用通信端末)にアクセスするためのアクセス情報として、アクセスを許可するユーザ端末(保安用通信端末)に、電話番号等を通知する技術が記載されている。特許文献1に記載された技術では、アクセス情報を受信したユーザ端末(保安用通信端末)は、受信したアクセス情報(電話番号等)に基づいて、接続先の装置(監視用通信端末)にアクセスする。
特開2004−062444号公報
なお、上記先行技術文献の開示を、本書に引用をもって繰り込むものとする。以下の分析は、本発明の観点からなされたものである。
上記の通り、保守対象の装置が、インターネット、公衆無線LAN、携帯電話通信網等のネットワークを介したリモート接続を許可すると、意図しない(悪意ある)第三者が当該装置に対してリモート接続する恐れがある。
そこで、例えば、Group−VPN(Virtual Private Network)回線、又は保守対象の装置にリモート接続するための専用回線を利用することで、意図しない(悪意ある)第三者が当該装置に対してリモート接続することを防止し得る。しかし、その場合、障害復旧作業を行う作業員は、Group−VPN回線、又は上記の専用回線にリモート接続可能な場所において復旧作業等を行う必要がある。つまり、Group−VPN回線、又は保守対象の装置にリモート接続するための専用回線を利用する場合、作業員は、任意の場所から障害復旧作業を行えない。その結果、保守対象の装置において障害が発生したとき、作業員のスケジュール、及び/又は、作業員が現地(障害が発生した装置にリモート接続可能な場所)に到着するまでの移動時間等の事情が影響して、作業員は、速やかに、障害復旧作業を行えない場合がある。
また、障害復旧作業を行う作業員が、手動で、保守対象の装置にリモート接続するための設定を行う場合、作業員が設定を誤ると、作業員が使用するユーザ端末は、接続したい装置とは異なる装置にリモート接続するおそれがある。
特許文献1においては、接続先の装置(監視用通信端末)が正常に動作することが前提になっており、接続先の装置(監視用通信端末)において、障害が発生した場合については記載されていない。
また、特許文献1においては、リモート接続については記載されていない。そのため、特許文献1に記載された技術では、意図しない(悪意のある)第三者が、接続先の装置に対してリモート接続することを防止できない。
そこで、本発明は、監視対象の装置に対する不正なアクセスを防止することに貢献するとともに、不要なアクセスを防止することに貢献する監視装置、ユーザ端末、通信システム、通信方法及びプログラムを提供することを目的とする。
本発明の第1の視点によれば、監視装置が提供される。前記監視装置は、監視対象装置の少なくとも一部を含む、所定の接続対象に接続する際に必要である、第1の認証情報を記憶する、記憶部を備える。
さらに、前記監視装置は、ネットワークを介して、1又は2以上の前記監視対象装置の状態を監視する、監視部を備える。
さらに、前記監視装置は、前記監視部が前記監視対象装置の障害を検知した場合、前記障害が検知された前記監視対象装置との接続に使用するポート、及びユーザ端末との接続に使用するポートを、所定の接続許可時間、開放する、ポート管理部を備える。
さらに、前記監視装置は、前記監視部が前記監視対象装置の前記障害を検知した場合、第2の認証情報を生成し、前記第2の認証情報に基づいて前記ユーザ端末を認証し、認証した前記ユーザ端末から自監視装置への接続を許可し、前記第1の認証情報を使用して前記接続対象に接続する、接続管理部を備える。
本発明の第2の視点によれば、ユーザ端末が提供される。前記ユーザ端末は、ネットワークを介して、監視装置に接続する、端末接続部を備える。
さらに、前記ユーザ端末は、前記監視装置から、障害通報と第2の認証情報とを受信した場合、受信した前記第2の認証情報を前記監視装置に応答する、通報受信部を備える。
さらに、前記ユーザ端末は、前記監視装置が自ユーザ端末と前記監視装置との接続を許可した場合、前記監視装置を経由して、前記障害通報に対応する監視対象装置に接続する、端末接続管理部を備える。
本発明の第3の視点によれば、通信システムが提供される。前記通信システムは、1又は2以上の監視対象装置と、監視装置と、前記監視装置を経由して前記監視対象装置に接続する、端末接続部を備える、ユーザ端末と、を含んで構成される。
前記監視装置は、前記監視対象装置の少なくとも一部を含む、所定の接続対象に接続する際に必要である、第1の認証情報を記憶する、記憶部を備える。
さらに、前記監視装置は、ネットワークを介して、1又は2以上の前記監視対象装置の状態を監視する、監視部を備える。
さらに、前記監視装置は、前記監視部が前記監視対象装置の障害を検知した場合、前記障害が検知された前記監視対象装置との接続に使用するポート、及びユーザ端末との接続に使用するポートを、所定の接続許可時間、開放する、ポート管理部を備える。
さらに、前記監視装置は、前記監視部が前記監視対象装置の前記障害を検知した場合、第2の認証情報を生成し、前記第2の認証情報に基づいて前記ユーザ端末を認証し、認証した前記ユーザ端末から自監視装置への接続を許可し、前記第1の認証情報を使用して前記接続対象に接続する、接続管理部を備える。
前記ユーザ端末は、前記監視装置から、障害通報と前記第2の認証情報とを受信する、通報受信部を備える。
さらに、前記ユーザ端末は、前記通報受信部が、障害通報と前記第2の認証情報とを受信した場合、受信した前記認証情報を前記監視装置に応答する、端末接続管理部を備える。
さらに、前記端末接続管理部は、前記監視装置が自ユーザ端末と前記監視装置との接続を許可した場合、前記監視装置を経由して、前記障害通報に対応する監視対象装置に接続する。
本発明の第4の視点によれば、通信方法が提供される。前記通信方法は、監視対象装置の少なくとも一部を含む、所定の接続対象に接続する際に必要である、第1の認証情報を記憶する工程を含む。
さらに、前記通信方法は、ネットワークを介して、1又は2以上の前記監視対象装置の状態を監視する工程を含む。
さらに、前記通信方法は、前記監視対象装置の障害が検知された場合、前記障害が検知された前記監視対象装置と監視装置との接続に使用するポート、及びユーザ端末と前記監視装置との接続に使用するポートを、所定の接続許可時間、開放する工程を含む。
さらに、前記通信方法は、前記監視対象装置の障害が検知された場合、第2の認証情報を生成する工程を含む。
さらに、前記通信方法は、前記第2の認証情報に基づいて前記ユーザ端末を認証する工程を含む。
さらに、前記通信方法は、認証した前記ユーザ端末から前記監視装置への接続を許可する工程を含む。
さらに、前記通信方法は、前記第1の認証情報を使用して前記接続対象に接続する工程を含む。
なお、本方法は、1又は2以上の装置の状態を監視する監視装置という、特定の機械に結び付けられている。
本発明の第5の視点によれば、ユーザ端末の制御方法が提供される。前記制御方法は、ネットワークを介して、監視装置に接続する工程を含む。
さらに、前記制御方法は、障害通報と前記第2の認証情報とを受信する工程を含む。
さらに、前記制御方法は、障害通報と前記第2の認証情報とが受信された場合、受信した前記認証情報を前記監視装置に応答する工程を含む。
さらに、前記制御方法は、前記監視装置との接続が許可された場合、前記監視装置を経由して、前記障害通報に対応する監視対象装置に接続する工程を含む。
なお、本方法は、ネットワークを介して、監視装置に接続するユーザ端末という、特定の機械に結び付けられている。
本発明の第6の視点によれば、プログラムが提供される。前記プログラムは、監視対象装置の少なくとも一部を含む、所定の接続対象に接続する際に必要である、第1の認証情報を記憶する処理を、監視装置を制御するコンピュータに実行させる。
さらに、前記プログラムは、ネットワークを介して、1又は2以上の前記監視対象装置の状態を監視する処理を、前記監視装置を制御するコンピュータに実行させる。
さらに、前記プログラムは、前記監視対象装置の障害が検知された場合、前記障害が検知された前記監視対象装置との接続に使用するポート、及びユーザ端末との接続に使用するポートを、所定の接続許可時間、開放する処理を、前記監視装置を制御するコンピュータに実行させる。
さらに、前記プログラムは、前記監視対象装置の障害が検知された場合、第2の認証情報を生成する処理を、前記監視装置を制御するコンピュータに実行させる。
さらに、前記プログラムは、前記第2の認証情報に基づいて前記ユーザ端末を認証する処理を、前記監視装置を制御するコンピュータに実行させる。
さらに、前記プログラムは、認証した前記ユーザ端末から監視装置への接続を許可する処理を、前記監視装置を制御するコンピュータに実行させる。
さらに、前記プログラムは、前記第1の認証情報を使用して前記接続対象に接続する処理を、前記監視装置を制御するコンピュータに実行させる。
本発明の第7の視点によれば、プログラムが提供される。前記プログラムは、ネットワークを介して、監視装置に接続する処理を、ユーザ端末を制御するコンピュータに実行させる。
さらに、前記プログラムは、障害通報と前記第2の認証情報とを受信する処理を、ユーザ端末を制御するコンピュータに実行させる。
さらに、前記プログラムは、障害通報と前記第2の認証情報とが受信された場合、受信した前記認証情報を前記監視装置に応答する処理を、ユーザ端末を制御するコンピュータに実行させる。
さらに、前記プログラムは、前記監視装置との接続が許可された場合、前記監視装置を経由して、前記障害通報に対応する監視対象装置に接続する処理を、ユーザ端末を制御するコンピュータに実行させる。
なお、これらのプログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。記憶媒体は、半導体メモリ、ハードディスク、磁気記録媒体、光記録媒体等の非トランジェント(non-transient)なものとすることができる。本発明は、コンピュータプログラム製品として具現することも可能である。
本発明の各視点によれば、監視対象の装置に対する不正なアクセスを防止することに貢献するとともに、不要なアクセスを防止することに貢献する監視装置、ユーザ端末、通信システム、通信方法及びプログラムが提供される。
一実施形態の概要を説明するための図である。 通信システム1の全体構成の一例を示すブロック図である。 通信システム1の動作の一例を示すフローチャートである。 通信システム1の動作の一例を示すフローチャートである。
初めに、図1を用いて一実施形態の概要について説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、この概要の記載はなんらの限定を意図するものではない。また、各ブロック図のブロック間の接続線は、双方向及び単方向の双方を含む。
上述の通り、監視対象の装置に対する不正なアクセスを防止することに貢献するとともに、不要なアクセスを防止することに貢献する監視装置が望まれる。
そこで、一例として、図1に示す監視装置1000を提供する。監視装置1000は、記憶部1001と、監視部1002と、ポート管理部1003と、接続管理部1004とを備える。
記憶部1001は、監視対象装置の少なくとも一部を含む、所定の接続対象に接続する際に必要である、第1の認証情報を記憶する。
監視部1002は、ネットワークを介して、1又は2以上の監視対象装置の状態を監視する。ここで、ネットワークは、インターネット、イントラネット、公衆無線LAN、携帯電話通信網等であってもよく、その詳細は問わない。つまり、ネットワークは、例えば、Group−VPN回線、又は監視対象装置に接続するための専用回線等である必要はない。
ポート管理部1003は、監視部1002が監視対象装置の障害を検知した場合、障害が検知された監視対象装置との接続に使用するポート、及びユーザ端末との接続に使用するポートを、所定の時間(以下、接続許可時間と呼ぶ)、開放する。つまり、ポート管理部1003は、監視部1002が監視対象装置の障害を検知した時に、障害が検知された監視対象装置、及びユーザ端末との接続(リモート接続)を可能とする。
ここで、リモート接続とは、所定の装置(コンピュータ)が、ネットワークで接続された装置(コンピュータ)を操作する機能を意味する。リモート接続は、プログラム、コマンド、プロトコル等、各種の手段を用いて実現可能であるが、実現手段の詳細は問わない。
接続管理部1004は、監視部1002が監視対象装置の障害を検知した場合、第2の認証情報を生成する。そして、接続管理部1004は、第2の認証情報に基づいてユーザ端末を認証し、認証したユーザ端末から自監視装置1000への接続を許可する。そして、接続管理部1004は、第1の認証情報を使用して、監視対象装置の少なくとも一部を含む、接続対象に接続する。なお、記憶部1001は、監視部1002が監視対象装置の障害を検知する前に、当該監視対象装置に対応する、第1の認証情報を予め記憶しているものとする。
従って、監視対象装置において障害が発生した場合、監視装置1000は、監視装置1000を経由して、監視対象装置に接続することを、認証したユーザ端末に許可する。つまり、監視装置1000は、監視対象装置に接続可能なユーザ端末を制限できる。さらに、監視装置1000が、監視対象装置の少なくとも一部を含む、所定の接続対象に接続する際に必要である、第1の認証情報を保有することで、ユーザ端末が監視対象装置に対して、直接に接続することを防止できる。
また、監視装置1000は、監視対象装置との接続に使用するポート、及びユーザ端末との接続に使用するポートを、所定の接続許可時間に制限して開放することで、監視対象装置に対して接続可能な時間を制限する。さらに、監視装置1000から監視対象装置に接続するための第1の認証情報は、上記の所定の接続対象に接続する際に使用される情報である。そのため、監視装置1000は、ユーザ端末が接続可能である、監視対象装置の範囲を限定できる。
以上より、監視装置1000は、監視対象の装置に対する不正なアクセスを防止することに貢献するとともに、不要なアクセスを防止することに貢献する。
[第1の実施形態]
第1の実施形態について、図面を用いてより詳細に説明する。
図2は、本実施形態に係る通信システム1の全体構成の一例を示すブロック図である。通信システム1は、監視装置100と、ユーザ端末200と、1又は2以上の監視対象装置(410a〜410d)を含んで構成される。
監視装置100と、ユーザ端末200と、監視対象装置410とは、夫々、ネットワーク600を介して接続する。ネットワーク600は、インターネット、イントラネット、公衆無線LAN、携帯電話通信網等であってもよく、その詳細は問わない。
図2に示す通信システム1においては、監視対象装置410aは、ネットワーク機器510aを介して、ネットワーク600に接続する。監視対象装置410bは、ネットワーク機器510bを介して、ネットワーク600に接続する。監視対象装置410c及び監視対象装置410dは、ネットワーク機器510bとネットワーク機器510cとを介して、ネットワーク600に接続する。また、監視装置100、ユーザ端末200は、ネットワーク機器510dを介して、ネットワーク600に接続する。
なお、図2は、監視対象装置410a〜410dを示すが、これは、監視対象の装置を4つに限定する趣旨ではない。通信システム1は、3つ以下、又は5つ以上の監視対象の装置を含んで構成されてもよい。同様に、図2は、一つのユーザ端末200を示すが、これは、ユーザ端末200の数を、1つに限定する趣旨ではない。通信システム1は、2以上のユーザ端末200を含んで構成されてもよい。なお、以下の説明においては、監視対象装置410a〜410dを、夫々区別する必要が無い場合、監視対象装置410と表記する。同様に、以下の説明においては、ネットワーク機器510a〜510dを、夫々区別する必要が無い場合、ネットワーク機器510と表記する。
本実施形態に係る通信システム1において、監視対象装置410の数、ネットワーク機器510の数、ユーザ端末200の数は限定されない。図2は、本実施形態に係る通信システム1の一例であり、本実施形態に係る通信システム1を図2に示す構成に限定する趣旨ではない。
なお、以下の説明において、前提条件として、監視装置100とユーザ端末200とが、監視対象装置410及びネットワーク機器510に対するアクセス権を有するものとする。ネットワーク機器510は、ルータ、レイヤ3スイッチ、ファイアウォール等を含み、その詳細は問わない。ここで、アクセス権とは、アクセス対象(接続対象)の装置が記憶する情報を参照する権限を、少なくとも含むものとする。
監視対象装置410は、監視装置100が監視する対象である、情報処理装置(コンピュータ)である。監視対象装置410は、PC、携帯情報端末(例えば、タブレット端末、スマートフォン)等であってもよい。また、監視対象装置410は、ルータ機能等、ネットワーク機能を実現する装置であってもよい。監視対象装置410は、以下において説明する機能を実現できれば、その詳細は問わない。
また、監視対象装置410は、仮想マシンを含んでもよい。すなわち、監視装置100は、仮想マシン、及び/又は仮想マシンがアクセスする記憶領域にリモート接続してもよい。
ユーザ端末200は、ユーザ(例えば、監視対象装置410の保守作業等を行う作業員等)が操作する、情報処理装置(コンピュータ)である。例えば、ユーザ端末200は、PC、携帯情報端末(例えば、タブレット端末、スマートフォン)等であってもよく、以下において説明する機能を実現できれば、その詳細は問わない。
監視装置100は、ネットワーク600に接続し、1又は2以上の監視対象装置410を監視する情報処理装置(コンピュータ)である。具体的には、監視装置100は、監視対象装置410に対して、死活監視及び状態監視を行い、監視対象装置410における障害の有無を判断する。
監視装置100、ユーザ端末200、監視対象装置410は、IP(Internet Protocol)アドレスと、Pingコマンド、SNMP(Simple Network Management Protocol)ポーリング機能、リモート接続、接続許可機能、認証(Authentication)機能を実現(実行)可能であるものとする。
ここで、Pingコマンドとは、ICMP(Internet Control Message Protocol)のechoコマンドを使用して、装置が、指定した相手先(IPアドレス、又はホスト名)に文字列を送り、その戻りの信号(パケット)の有無に基づいて、ネットワークの接続を確認するコマンドである。
接続許可機能とは、TCP(Transmission Control Protocol)ポート番号とIPアドレスとを指定し、外部からの不正アクセスを遮断(ポート閉塞)、外部からの特定の接続を許可(ポート開放)する機能を意味する。
認証機能とは、装置が接続要求を受信した場合、接続要求元のユーザが、正規のユーザであるか否かを、接続要求を受信した装置が確認する機能を意味する。例えば、装置が接続要求を受信した場合、接続要求を受信した装置は、ユーザ名とパスワードとの組み合わせに基づいて、接続要求元のユーザが、正規のユーザであるか否かを確認してもよい。
監視対象装置410において障害が発生していない場合、監視装置100のポートのうち、監視装置100から監視対象装置410に対するリモート接続に使用されるポートは、閉じている状態であるものとする。つまり、監視対象装置410において障害が発生していない場合、監視装置100は、監視対象装置410に対してリモート接続できない状態であるものとする。
同様に、監視対象装置410において障害が発生していない場合、監視装置100のポートのうち、ユーザ端末200から監視装置100に対するリモート接続に使用されるポートは、閉じている状態であるものとする。つまり、監視対象装置410において障害が発生していない場合、ユーザ端末200は、監視装置100に対してリモート接続できない状態であるものとする。監視装置100のポートを開く処理の詳細については、後述する。
[監視対象装置の構成]
次に、図2を参照しながら、監視対象装置410について詳細に説明する。
監視対象装置410は、対象装置記憶部411を含んで構成される。また、監視対象装置410は、通信を制御する通信部(図示せず)、監視対象装置410の全体を制御する制御部(図示せず)等、監視対象装置410を動作させるために必要なハードウェア及び/又はソフトウェアを含んで構成される。なお、監視対象装置(410a〜410d)は、以下において説明する機能を実現できれば、その詳細は問わない。例えば、監視対象装置(410a〜410d)は、夫々、異なるハードウェア及び/又はソフトウェアを含んで構成されてもよい。
対象装置記憶部411は、監視対象装置410を動作させるために必要な情報を記憶する。対象装置記憶部411は、磁気ディスク装置や光ディスク装置、半導体メモリによって実現される。なお、半導体メモリは、例えば、SSD(Solid State Drive)であり、フラッシュメモリを使用したものでもよく、DRAM(Dynamic Random Access Memory)を含んでもよい。
具体的には、対象装置記憶部411は、通報部412と、通報記録413と、IPアドレス414と、MAC(Media Access Control)アドレス415とを少なくとも記憶する。
IPアドレス414、MACアドレス415は、各管理対象装置410に割り当てられたIPアドレス及びMACアドレスである。
通報部412は、自監視対象装置410の状態を監視する。監視対象装置410において障害が発生した場合、通報部412は、障害発生日時と障害メッセージとを含む障害情報を生成する。そして、通報部412は、障害発生日時と障害メッセージとを含む障害情報と、IPアドレス414と、MACアドレス415とを、監視装置100に通知する。
なお、監視対象装置410は、障害発生日時と障害メッセージとを含む障害情報と、MACアドレス415とを、監視装置100に通知してもよい。監視装置100は、監視対象装置410からの通知にIPアドレス414が含まれていない場合、通信に用いられた送信元IPアドレスを、IPアドレス414として扱ってもよい。
そして、通報部412は、障害発生日時と障害メッセージとを含む障害情報を、通報記録413として、対象装置記憶部411に格納する。
また、監視対象装置410は、監視装置100が監視対象装置410の障害を検知していない時、監視対象装置410の少なくとも一部を含む、所定の接続対象に接続するための第1の認証情報を含む情報を、所定の条件に基づいて、監視装置100に送信する。例えば、監視対象装置410は、所定の時間間隔(第2の時間間隔)で、監視対象装置410の少なくとも一部を含む、所定の接続対象に接続するための第1の認証情報を含む情報を、監視装置100に送信する。
ここで、第1の認証情報とは、監視対象装置410の少なくとも一部を含む、所定の接続対象に接続する際に必要である、アカウントとパスワードとの組み合わせを含む情報である。
例えば、第1の認証情報は、監視対象装置410にリモート接続する際に必要である、アカウントとパスワードとの組み合わせであってもよい。
または、第1の認証情報は、第1の認証情報を送信元の監視対象装置410に関して、所定の記憶領域にリモート接続する際に必要である、アカウントとパスワードとの組み合わせであってもよい。なお、所定の記憶領域とは、例えば、監視対象装置410のハードディスクの仮想マシン格納領域、ネットワークブート用のOS(Operating System)のイメージ格納領域等であってもよい。
なお、通報部412は、監視対象装置410に上記の処理を実行させるプログラムとして、対象装置記憶部411に格納されてもよい。
[監視装置の構成]
次に、図2を参照しながら、監視装置100について詳細に説明する。
監視装置100は、監視装置接続部101と、監視装置入力部102と、監視装置出力部103と、監視装置制御部104と、監視装置記憶部(記憶部)105とを含んで構成される。
監視装置接続部101は、ネットワーク600を介して、ユーザ端末200、監視対象装置410、ネットワーク機器510と接続する処理を制御する。監視装置接続部101は、例えば、NIC(Network Interface Card)を用いて実現される。
監視装置入力部102は、外部からの情報、信号等の入力を受け付ける装置、インタフェース等である。監視装置入力部102は、キーボード、タッチパネル、マウス等であってもよい。監視装置入力部102は、外部からの情報等の入力を受け付けることができればよく、その詳細は問わない。
監視装置出力部103は、外部に情報を出力する。監視装置出力部103は、監視装置100が接続する表示装置(図示せず)、印刷装置(図示せず)等に情報を出力してもよい。
監視装置制御部104は、監視装置100を動作させるための処理を制御する。監視装置制御部104は、CPU(Central Processing Unit)等を用いて実現される。監視装置制御部104は、監視装置記憶部105が記憶するプログラムを呼び出し、監視装置接続部101、監視装置入力部102、監視装置出力部103、監視装置記憶部105を制御する。
監視装置記憶部105は、監視装置100を動作させるために必要な情報を記憶する。監視装置記憶部105は、磁気ディスク装置や光ディスク装置、半導体メモリによって実現される。なお、半導体メモリは、例えば、SSDであり、フラッシュメモリを使用したものでもよく、DRAMを含んでもよい。
具体的には、監視装置記憶部105は、監視対象装置DB(Database)(監視対象装置データベース)106と、監視部107と、ポート管理部108と、接続管理部109とを少なくとも記憶する。
監視対象装置DB106は、監視対象装置410の第1の認証情報を含む、装置情報を格納する。具体的には、監視対象装置DB106は、各監視対象装置410に対応する、第1の認証情報と、IPアドレスと、MACアドレスと、障害発生の有無を示す情報とを含む、装置情報を格納する。なお、以下の説明では、障害発生の有無を示す情報を、障害発生フラグと呼ぶ。
例えば、図2に示す装置情報111は、監視対象装置410aに対応するとする。図2に示す装置情報112は、監視対象装置410bに対応するとする。図2に示す装置情報113は、監視対象装置410cに対応するとする。図2に示す装置情報114は、監視対象装置410dに対応するとする。なお、図示しないが、図2に示す装置情報112〜114は、装置情報111と同様に、夫々、IPアドレスと、MACアドレスと、障害発生フラグと、第1の認証情報とを含んで構成されるものとする。
その場合、装置情報111は、監視対象装置410aのIPアドレスと、監視対象装置410aのMACアドレスと、監視対象装置410aに対応する障害発生フラグと、監視対象装置410aに対応する第1の認証情報とを含んで構成される。また、装置情報112は、監視対象装置410bのIPアドレスと、監視対象装置410bのMACアドレスと、監視対象装置410bに対応する障害発生フラグと、監視対象装置410bに対応する第1の認証情報とを含んで構成される。装置情報113、装置情報114についても、同様であるが、詳細な説明は省略する。
監視部107は、ネットワーク600を介して、1又は2以上の監視対象装置410を監視する。
監視対象装置410において障害が発生した場合、監視部107は、障害が発生した監視対象装置410から、障害発生日時と障害メッセージとを含む障害情報と、当該監視対象装置410のIPアドレス414と、MACアドレス415とを受信する。なお、上記の通り、監視装置100は、障害通知を受信する際に通信に用いられた送信元IPアドレスを、障害が発生した監視対象装置410のIPアドレス414として扱ってもよい。
例えば、監視部107は、監視対象装置410から、障害発生日時と障害メッセージとを含む障害情報を受信した場合、当該監視対象装置410において、障害が発生した、と判断してもよい。
または、監視部107は、SNMP、ICMPを用いて、夫々の監視対象装置410に対して、所定の時間間隔で、問い合わせを実行(即ち、ポーリング)してもよい。そして、監視部107は、夫々の監視対象装置410から、標準MIB(Management Information Base)情報を取得してもよい。
監視部107は、当該問い合わせの応答結果、及び/又は監視対象装置410からの通知(例えば、SNMPトラップ)に基づいて、監視対象装置410において、障害が発生したか否かを判断してもよい。そして、監視部107は、監視対象装置410において障害が発生した、と判断した場合には、当該監視対象装置410に、障害発生日時と障害メッセージとを含む障害情報と、IPアドレス414と、MACアドレス415とを要求してもよい。
また、監視対象装置410において障害が発生していない場合、監視部107は、所定の時間間隔(第2の時間間隔)(例えば、1日1回)で、第1の認証情報を、監視対象装置410から取得し、取得した第1の認証情報を、監視装置記憶部105に格納する。
具体的には、監視対象装置410において障害が発生していない場合、監視部107は、所定の時間間隔(第2の時間間隔)で、監視対象装置410のIPアドレスと、第1の認証情報とを対応付けて、監視対象装置410から取得する。そして、監視部107は、取得した第1の認証情報と、監視対象装置410のIPアドレスとを、監視対象装置DB106に格納し、当該監視対象装置410に対応する装置情報を更新する。
ポート管理部108は、監視部107が監視対象装置410の障害を検知した場合、障害が検知された監視対象装置410との接続に使用するポート、及びユーザ端末200との接続に使用するポートを、所定の時間(接続許可時間)、開放する。
具体的には、ポート管理部108は、障害が検知された監視対象装置410に対するリモート接続に使用する、監視装置100のポートを、所定の接続許可時間、開放する。さらに、ポート管理部108は、ユーザ端末200から監視装置100に対するリモート接続に使用する、監視装置100のポートを、所定の接続許可時間、開放する。
接続管理部109は、監視部107が監視対象装置410の障害を検知した場合、第2の認証情報を生成する。そして、接続管理部109は、第2の認証情報に基づいてユーザ端末200を認証し、認証したユーザ端末200から自監視装置100への接続を許可する。そして、接続管理部109は、監視対象装置410の少なくとも一部を含む、所定の接続対象に、第1の認証情報を使用して接続する。
ここで、第2の認証情報とは、ユーザ端末200から、監視装置100にリモート接続する際に必要である、パスワードを含む情報である。ここで、第2の認証情報は、一時的に有効であり、作成される度に異なる情報であってもよい。例えば、第2の認証情報は、使い捨てのパスワード(所謂、ワンタイムパスワード)を含む情報であってもよい。
具体的には、監視部107が監視対象装置410の障害を検知した場合、接続管理部109は、障害発生日時等に基づいて、第2の認証情報を生成する。そして、接続管理部109は、生成した第2の認証情報に有効期限を設定する。
そして、接続管理部109は、監視部107が監視対象装置410の障害を検知した場合、ユーザ端末200に、障害通報と、生成した第2の認証情報とを送信する。ここで、障害通報とは、監視対象装置410において、障害が発生したことを、ユーザ端末200に通知する情報である。
例えば、接続管理部109は、監視部107が監視対象装置410の障害を検知した場合、障害が検知された監視対象装置410の装置情報を含む、障害通報と、第2の認証情報とを、ユーザ端末200に送信してもよい。この場合、接続管理部109は、監視対象装置DB106を参照し、障害が検知された監視対象装置410に対応する装置情報を、監視対象装置DB106から抽出する。接続管理部109は、抽出した装置情報を含む、障害通報を生成する。そして、接続管理部109は、生成した障害通報と、生成した第2の認証情報とを、ユーザ端末200に送信する。
または、接続管理部109は、生成した第2の認証情報を含む、障害通報を生成してもよい。その場合、接続管理部109は、生成した第2の認証情報を含む、障害通報を、ユーザ端末200に送信してもよい。
接続管理部109は、生成した第2の認証情報に一致する、認証情報を、ユーザ端末200から受信した場合、ユーザ端末200を認証する。そして、接続管理部109は、認証したユーザ端末200から、障害通報に対応する監視対象装置410に対する接続を許可する。
接続管理部109は、送信した障害通報に対応する監視対象装置410を、接続対象の監視対象装置410として特定する。または、接続管理部109は、ユーザ端末200から、装置情報と第2の認証情報とを受信した場合、受信した装置情報に基づいて、接続対象の監視対象装置410を特定してもよい。
そして、接続管理部109は、監視対象装置DB106を参照し、接続対象の監視対象装置410に対応する、第1の認証情報を抽出する。
さらに、接続管理部109は、受信した第2の認証情報を使用することでユーザ端末200から自監視装置100への接続を許可するように、自監視装置100に設定する。そして、接続管理部109は、監視対象装置410の少なくとも一部を含む、所定の接続対象に、抽出した第1の認証情報を使用して接続する。つまり、接続管理部109は、接続対象の監視対象装置410、又は監視対象装置410の所定の記憶領域に、抽出した第1の認証情報を使用して、リモート接続する。
なお、監視部107、ポート管理部108、接続管理部109は、夫々、監視装置制御部104に上記の処理を実行させるプログラムとして、監視装置記憶部105に格納されてもよい。
[ユーザ端末の構成]
次に、図2を参照しながら、ユーザ端末200について詳細に説明する。
ユーザ端末200は、端末接続部201と、端末入力部202と、端末出力部203と、端末制御部204と、端末記憶部205と、を含んで構成される。
端末接続部201は、ネットワーク600を介して、監視装置100、監視対象装置410、ネットワーク機器510と接続する処理を制御する。端末接続部201は、例えば、NICを用いて実現される。
端末入力部202は、外部からの情報、信号等の入力を受け付ける装置、インタフェース等である。端末入力部202は、キーボード、タッチパネル、マウス等であってもよい。端末入力部202は、外部からの情報等の入力を受け付けることができればよく、その詳細は問わない。
端末出力部203は、外部に情報を出力する。端末出力部203は、ユーザ端末200が接続する表示装置(図示せず)、印刷装置(図示せず)等に情報を出力してもよい。
端末制御部204は、ユーザ端末200を動作させるための処理を制御する。端末制御部204は、CPU等を用いて実現される。端末制御部204は、端末記憶部205が記憶するプログラムを呼び出し、端末接続部201、端末入力部202、端末出力部203、端末記憶部205を制御する。
端末記憶部205は、ユーザ端末200を動作させるために必要な情報を記憶する。端末記憶部205は、磁気ディスク装置や光ディスク装置、半導体メモリによって実現される。なお、半導体メモリは、例えば、SSDであり、フラッシュメモリを使用したものでもよく、DRAMを含んでもよい。具体的には、端末記憶部205は、通報受信部206と、端末接続管理部207とを少なくとも記憶する。
通報受信部206は、監視装置100から、障害通報と認証情報(第2の認証情報)とを受信した場合、受信した認証情報(第2の認証情報)を監視装置100に応答する。
または、通報受信部206は、障害が検知された、監視対象装置410の装置情報を含む障害通報と、第2の認証情報とを受信した場合、受信した装置情報と、受信した第2の認証情報とを、監視装置100に応答してもよい。
端末接続管理部207は、監視装置100が自ユーザ端末200と監視装置100との接続を許可した場合、監視装置100を経由して、障害通報に対応する監視対象装置410に接続する。具体的には、端末接続管理部207は、監視装置100が自ユーザ端末200と監視装置100とのリモート接続を許可した場合、監視装置100を経由して、障害通報に対応する監視対象装置410、又は監視対象装置410の所定の記憶領域にリモート接続する。
なお、通報受信部206、端末接続管理部207は、夫々、端末制御部204に上記の処理を実行させるプログラムとして、端末記憶部205に格納されてもよい。
[通信システムの動作]
次に、通信システム1の動作について詳細に説明する。
図3、図4は、通信システム1の動作の一例を示すフローチャートである。なお、図3、図4は、通信システム1の動作は一例であり、通信システム1の動作を、図3、図4に示す動作に限定する趣旨ではない。
まず、図3を参照しながら、監視対象装置410において、障害が発生していない場合について説明する。
監視装置100の監視部107は、1又は2以上の監視対象装置410の死活監視及び状態監視を実行する(ステップA1)。例えば、監視装置100の監視部107は、SNMP、ICMPを用いて、夫々の監視対象装置410に対して、所定の時間間隔(第1の時間間隔)で、問い合わせを実行(即ち、ポーリング)してもよい。
監視対象装置410は、監視対象装置410の少なくとも一部を含む、所定の接続対象にリモート接続する際に必要である、第1の認証情報と、監視対象装置410のIPアドレスとを、監視装置100に送信する(ステップA2)。例えば、監視対象装置410は、1日1回、第1の認証情報と、監視対象装置410のIPアドレスとを、監視装置100に送信してもよい。
監視装置100の監視部107は、監視対象装置410から送信された、第1の認証情報と、監視対象装置410のIPアドレスとを、監視対象装置DB106に格納し、監視対象装置DB106を更新する(ステップA3)。
監視装置100が、監視対象装置410の障害を検知するまで、監視装置100及び監視対象装置410は、上記のステップA1〜A3の処理を繰り返す。
次に、図4を参照しながら、監視対象装置410において、障害が発生した場合について説明する。具体的には、図4を参照しながら、図2に示す監視対象装置410aにおいて、障害が発生した場合について説明する。なお、少なくとも一の監視対象装置410において障害が発生した場合であっても、監視装置100と、障害が発生していない監視対象装置410とは、上記のステップA1〜A3の処理を繰り返す。例えば、図2に示す監視対象装置410b〜410dにおいて、障害が発生していない場合、監視装置100は、監視対象装置410b〜410dに対して、上記のステップA1の処理、及びA3の処理を繰り返す。
監視対象装置410aにおいて、障害が発生したとする(ステップA11)。その場合、監視装置100の監視部107は、監視対象装置410aにおいて、障害が発生したことを検知する(ステップA12)。
ステップA13において、監視装置100のポート管理部108は、リモート接続に必要なポートを、所定の接続許可時間、開放する。具体的には、監視装置100のポート管理部108は、監視対象装置410に対するリモート接続に使用する、監視装置100のポートを、所定の接続許可時間、開放する。さらに、監視装置100のポート管理部108は、ユーザ端末200から監視装置100に対するリモート接続に使用する、監視装置100のポートを、所定の接続許可時間、開放する。なお、監視装置100のIPアドレス、ポート番号、ポートを開放する時間(接続許可時間)に関しては、監視装置100のユーザが、監視装置入力部102を使用して設定してもよい。
ステップA14において、監視装置100の接続管理部109は、障害が発生した監視対象装置410aに対応する装置情報111を、監視対象装置DB106から抽出する。
ステップA15において、監視装置100の接続管理部109は、抽出した装置情報111から、第1の認証情報を抽出する。
ステップA16において、監視装置100の接続管理部109は、監視装置100へリモート接続するために必要な第2の認証情報を生成する。
ステップA17において、監視装置100の接続管理部109は、生成した第2の認証情報に、有効期限を設定する。
ステップA18において、監視装置100の接続管理部109は、第2の認証情報を使用することで、監視装置100にリモート接続可能となるように、監視装置100に対するリモート接続の権限を設定する。
ステップA19において、監視装置100の接続管理部109は、生成した第2の認証情報と、障害通報とを、ユーザ端末200へ送信する。
ステップA20において、ユーザ端末200の通報受信部206は、第2の認証情報と、障害通報とを受信する。
ステップA21において、ユーザ端末200の端末接続管理部207は、第2の認証情報を応答することで、監視装置100に対して、リモート接続を実行する。つまり、ユーザ端末200は、第2の認証情報と障害通報とを受信すると、ユーザ端末200のユーザの操作を介することなく、自動的に、監視装置100に対して、リモート接続を実行する。
ステップA22において、監視装置100の接続管理部109は、第1の認証情報を使用して、障害が発生した監視対象機器410aに対してリモート接続を実行する。その結果、ユーザ端末200は、監視装置100を経由して、ユーザ端末200と監視対象装置410a間で、リモート接続を行い、セッションを張ることができる。
以上のように、本実施形態に係る監視装置100は、監視対象装置410において障害が発生した場合に、所定の時間に制限して、認証したユーザ端末200から監視対象装置410に対して、監視装置100を介してリモート接続できるようにする。そのため、本実施形態に係る監視装置100は、認証したユーザ端末200以外の装置が、監視装置100及び監視対象装置410に対して、リモート接続することを防止できる。
また、本実施形態に係る監視装置100は、監視対象装置410が正常に動作している場合には、監視装置100から監視対象装置410に対するリモート接続を不可能にする。
さらに、本実施形態に係る監視装置100は、監視対象装置410の障害を検知した場合に、ユーザ端末200を認証するための認証情報を生成する。そして、本実施形態に係る監視装置100は、生成した認証情報に基づいて、ユーザ端末200を認証する。そのため、本実施形態に係る監視装置100は、監視対象装置410の障害を検知する度に、異なる認証情報を用いて、ユーザ端末200を認証できる。
また、本実施形態に係る監視装置100は、監視対象装置410が備える機能及び/又は記憶領域のうち、リモート接続を可能な機能及び/又は記憶領域を制限する。
従って、本実施形態に係る監視装置100は、監視対象の装置に対する不正なアクセスを防止することに貢献するとともに、不要なアクセスを防止することに貢献する。
[変形例1]
本実施形態に係る通信システム1の変形例1として、監視対象装置410は疑似的に障害が発生したことを、監視装置100に通知してもよい。
具体的には、ユーザ端末200の端末接続管理部207は、監視装置100を経由して、ユーザ端末200がリモート接続したい監視対象装置410に、所定のコマンドを送信してもよい。監視対象装置410は、ユーザ端末200から所定のコマンドを受信した場合、監視装置100に疑似障害情報を送信する。ここで、疑似障害情報とは、監視対象装置410において、疑似的に障害が発生したことを示す情報である。
監視装置100の監視部107は、自監視装置100が疑似障害情報を受信した場合、疑似障害情報の送信元である監視対象装置410の障害を検知した、と判断する。つまり、監視装置100の監視部107は、自監視装置100が疑似障害情報を受信した場合、疑似障害情報の送信元である監視対象装置において、障害が発生した、と判断する。
そして、監視装置100及びユーザ端末200は、上記の処理(図4に示すステップA13〜A22の処理)を行う。その結果、監視対象装置410において、障害が発生していない場合であっても、ユーザ端末200は、監視装置100を経由して、監視対象装置410に、所定の接続許可時間、リモート接続できる。
[変形例2]
本実施形態に係る通信システム1の変形例2として、ユーザ端末200が、所定の接続許可時間内に、監視装置100を経由して監視対象装置410とリモート接続した場合、監視装置100は、リモート接続が終了するまで、ポートを開放してもよい。具体的には、ポート管理部108は、ポートを開放してから所定の接続許可時間内に、障害が検知された監視対象装置410と、ユーザ端末200とが、自監視装置100を経由してリモート接続したとする。その場合、ポート管理部108は、ポートを開放してから上記の所定の接続許可時間を経過した後であっても、リモート接続が終了するまで、リモート接続に使用するポートを開放してもよい。
[第2の実施形態]
第2の実施形態について、図面を用いてより詳細に説明する。
本実施形態は、ユーザ端末から監視対象装置にリモート接続する時に、障害の内容に応じて、監視対象装置に対する権限を変更する形態である。なお、本実施形態における説明では、上記の実施形態と重複する部分の説明は省略する。さらに、本実施形態における説明では、上記の実施形態と同一の構成要素には、同一の符号を付し、その説明を省略する。また、本実施形態における説明では、上記の実施形態と同一の作用効果についても、その説明を省略する。以下、他の形態においても同様であるものとする。
本実施形態に係る通信システム1の全体構成は、図2に示す通りである。
本実施形態に係る監視装置記憶部105は、監視対象装置410毎に、障害の内容と、監視対象装置410に対する権限とを対応付けた情報を記憶する。例えば、監視装置100の管理者等が、監視対象装置410毎に、障害の内容に応じた、監視対象装置410に対する権限を、監視装置100に入力してもよい。
例えば、監視装置100の管理者等が、監視対象装置410毎に、障害の内容に応じて、管理者権限、又は、管理者権限よりもアクセス可能な範囲が制限される、一般ユーザ権限を、ユーザ端末200に付与する権限として、監視装置100に入力してもよい。ここで、監視対象装置410が、2種類以上の一般ユーザ権限を予め設定、登録していてもよいことは勿論である。その場合、監視装置100は、当該監視対象装置410について、障害の内容に応じて、管理者権限、又は、いずれかの一般ユーザ権限を、ユーザ端末200に付与する権限として、監視装置100に入力してもよいことは勿論である。
本実施形態に係る監視装置制御部104は、入力された情報に基づいて、監視対象装置410毎に、障害の内容と、監視対象装置410に対する権限とを対応付けた情報を生成してもよい。そして、監視装置制御部104は、生成した情報を、監視装置記憶部105に格納する。
本実施形態に係る接続管理部109は、障害の内容に応じて、障害が発生した監視対象装置410に対する権限を決定する。そして、接続管理部109は、決定した権限を、認証したユーザ端末200に付与する。ユーザ端末200は、監視装置100を経由して監視対象装置410にリモート接続するとき、付与された権限に対してアクセスを許可された、監視対象装置410の機能、及び/又は記憶領域に対してアクセス可能となる
以上のように、本実施形態に係る監視装置100は、ユーザ端末200から監視対象装置410にリモート接続する時に、接続先の監視対象装置410の障害の内容に応じた、アクセス権限を、ユーザ端末200に付与する。そのため、本実施形態に係る監視装置100は、障害の内容に応じて、ユーザ端末200が利用可能な監視対象装置410の機能、アクセス可能な記憶領域等を制限できる。つまり、本実施形態に係る監視装置100は、監視対象装置410の機能、記憶領域のうち、障害に関係の無い機能、障害に関係の無い記憶領域等に対して、ユーザ端末200がアクセスすることを防止できる。従って、本実施形態に係る監視装置100は、監視対象の装置に対する不正なアクセスを防止するとともに、より一層、不要なアクセスを防止することに貢献する。
上述の実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
(付記1)上記第1の視点に係る監視装置の通りである。
(付記2)前記監視部は、所定の時間間隔で、前記第1の認証情報を、前記監視対象装置から取得し、取得した前記第1の認証情報を、前記記憶部に格納する、付記1に記載の監視装置。
(付記3)前記接続管理部は、前記監視部が前記監視対象装置の障害を検知した場合、前記ユーザ端末に、障害通報と、前記第2の認証情報とを送信し、前記ユーザ端末から、前記第2の認証情報を受信した場合、前記ユーザ端末を認証する、付記1又は2に記載の監視装置。
(付記4)前記接続管理部は、前記監視部が前記監視対象装置の障害を検知した場合、前記障害が検知された前記監視対象装置の装置情報を含む、前記障害通報と、前記第2の認証情報とを、前記ユーザ端末に送信する、付記3に記載の監視装置。
(付記5)前記記憶部は、前記第1の認証情報を含む、前記装置情報を格納する、監視対象装置データベースを記憶し、
前記接続管理部は、前記ユーザ端末から、前記装置情報と前記第2の認証情報とを受信した場合、受信した前記装置情報に基づいて、接続対象の前記監視対象装置を特定し、前記監視対象装置データベースを参照し、接続対象の前記監視対象装置に対応する、前記第1の認証情報を抽出し、受信した前記第2の認証情報を使用することで前記ユーザ端末から自監視装置へ接続を許可するように、自監視装置に設定する、付記4に記載の監視装置。
(付記6)前記接続管理部は、前記障害の内容に応じて、前記障害が発生した前記監視対象装置に対する権限を決定し、決定した前記権限を、認証した前記ユーザ端末に付与する、付記1乃至5のいずれか一に記載の監視装置。
(付記7)前記接続管理部は、前記監視部が前記監視対象装置の障害を検知した場合、障害発生日時に基づいて、前記第2の認証情報を生成し、生成した前記第2の認証情報に有効期限を設定する、付記1乃至6のいずれか一に記載の監視装置。
(付記8)前記監視部は、前記所定の時間間隔で、前記監視対象装置のIP(Internet Protocol)アドレスと、前記第1の認証情報とを、前記監視対象装置から取得する、付記1乃至7のいずれか一に記載の監視装置。
(付記9)前記ポート管理部は、前記ポートを開放してから前記接続許可時間内に、前記障害が検知された前記監視対象装置と、前記ユーザ端末とが、自監視装置を経由して接続した場合には、前記接続が終了するまで、前記ポートを開放する、付記1乃至8のいずれか一に記載の監視装置。
(付記10)上記第2の視点に係るユーザ端末の通りである。
(付記11)上記第3の視点に係る通信システムの通りである。
(付記12)前記接続管理部は、前記監視部が前記監視対象装置の障害を検知した場合、前記障害が検知された前記監視対象装置の装置情報を含む、障害通報と、前記第2の認証情報とを、前記ユーザ端末に送信し、前記端末接続管理部は、前記通報受信部が前記装置情報を含む前記障害通報と、前記第2の認証情報とを受信した場合、受信した前記装置情報と、受信した前記第2の認証情報を前記監視装置に応答し、前記接続管理部は、生成した前記第2の認証情報を、前記ユーザ端末から受信した場合、前記ユーザ端末を認証し、認証した前記ユーザ端末から、前記装置情報に対応する前記監視対象装置に、前記監視装置を経由して接続することを許可する、付記11に記載の通信システム。
(付記13)前記端末接続管理部は、前記監視装置を経由して、前記監視対象装置に所定のコマンドを送信し、前記監視対象装置は、前記所定のコマンドを受信した場合、前記監視装置に疑似障害情報を送信し、前記監視部は、自監視装置が前記疑似障害情報を受信した場合、前記疑似障害情報の送信元である前記監視対象装置の障害を検知したと判断する、付記11又は12に記載の通信システム。
(付記14)前記監視対象装置は、所定の時間間隔で、前記第1の認証情報を含む情報を、前記監視装置に送信し、前記記憶部は、前記監視対象装置のIP(Internet Protocol)アドレスと、前記第1の認証情報とを対応付けて格納する、付記11乃至13のいずれか一に記載の通信システム。
(付記15)上記第4の視点に係る通信方法の通りである。
(付記16)上記第5の視点に係るユーザ端末の制御方法の通りである。
(付記17)上記第6の視点に係るプログラムの通りである。
(付記18)上記第7の視点に係るプログラムの通りである。
上記の付記15、17に示す形態は、付記1に示す形態と同様に、付記2乃至9に示す形態に展開することが可能である。
なお、上記の特許文献の開示を、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態の変更・調整が可能である。また、本発明の全開示の枠内において種々の開示要素(各請求項の各要素、各実施形態の各要素、各図面の各要素等を含む)の多様な組み合わせ、ないし、選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。
1 通信システム
100、1000 監視装置
101 監視装置接続部
102 監視装置入力部
103 監視装置出力部
104 監視装置制御部
105 監視装置記憶部
106 監視対象装置DB
107、1002 監視部
108、1003 ポート管理部
109、1004 接続管理部
111〜114 装置情報
200 ユーザ端末
201 端末接続部
202 端末入力部
203 端末出力部
204 端末制御部
205 端末記憶部
206 通報受信部
207 端末接続管理部
410、410a〜410d 監視対象装置
411 対象装置記憶部
412 通報部
413 通報記録
414 IPアドレス
415 MACアドレス
510、510a〜510d ネットワーク機器
600 ネットワーク
1001 記憶部

Claims (10)

  1. 監視対象装置の少なくとも一部を含む、所定の接続対象に接続する際に必要である、第1の認証情報を記憶する、記憶部と、
    ネットワークを介して、1又は2以上の前記監視対象装置の状態を監視する、監視部と、
    前記監視部が前記監視対象装置の障害を検知した場合、前記障害が検知された前記監視対象装置との接続に使用するポート、及びユーザ端末との接続に使用するポートを、所定の接続許可時間、開放する、ポート管理部と、
    前記監視部が前記監視対象装置の前記障害を検知した場合、第2の認証情報を生成し、前記第2の認証情報に基づいて前記ユーザ端末を認証し、認証した前記ユーザ端末から自監視装置への接続を許可し、前記第1の認証情報を使用して前記接続対象に接続する、接続管理部と、
    を備える監視装置。
  2. 前記監視部は、所定の時間間隔で、前記第1の認証情報を、前記監視対象装置から取得し、取得した前記第1の認証情報を、前記記憶部に格納する、請求項1に記載の監視装置。
  3. 前記接続管理部は、前記監視部が前記監視対象装置の障害を検知した場合、前記ユーザ端末に、障害通報と、前記第2の認証情報とを送信し、前記ユーザ端末から、前記第2の認証情報を受信した場合、前記ユーザ端末を認証する、請求項1又は2に記載の監視装置。
  4. 前記接続管理部は、前記障害の内容に応じて、前記障害が発生した前記監視対象装置に対する権限を決定し、決定した前記権限を、認証した前記ユーザ端末に付与する、請求項1乃至3のいずれか一に記載の監視装置。
  5. ネットワークを介して、監視装置に接続する、端末接続部と、
    前記監視装置から、障害通報と第2の認証情報とを受信する、通報受信部と、
    前記通報受信部が、障害通報と前記第2の認証情報とを受信した場合、受信した前記認証情報を前記監視装置に応答する、端末接続管理部と、
    を備え、
    前記端末接続管理部は、前記監視装置が自ユーザ端末と前記監視装置との接続を許可した場合、前記監視装置を経由して、前記障害通報に対応する監視対象装置に接続する、ユーザ端末。
  6. 1又は2以上の監視対象装置と、
    監視装置と、
    前記監視装置を経由して前記監視対象装置に接続する、端末接続部を備える、ユーザ端末と、
    を含んで構成される通信システムであって、
    前記監視装置は、
    前記監視対象装置の少なくとも一部を含む、所定の接続対象に接続する際に必要である、第1の認証情報を記憶する、記憶部と、
    ネットワークを介して、1又は2以上の前記監視対象装置の状態を監視する、監視部と、
    前記監視部が前記監視対象装置の障害を検知した場合、前記障害が検知された前記監視対象装置との接続に使用するポート、及びユーザ端末との接続に使用するポートを、所定の接続許可時間、開放する、ポート管理部と、
    前記監視部が前記監視対象装置の前記障害を検知した場合、第2の認証情報を生成し、前記第2の認証情報に基づいて前記ユーザ端末を認証し、認証した前記ユーザ端末から自監視装置への接続を許可し、前記第1の認証情報を使用して前記接続対象に接続する、接続管理部と、
    を備え、
    前記ユーザ端末は、
    前記監視装置から、障害通報と前記第2の認証情報とを受信する、通報受信部と、
    前記通報受信部が障害通報と前記第2の認証情報とを受信した場合、前記通報受信部が受信した前記認証情報を前記監視装置に応答する、端末接続管理部と、
    を備え、
    前記端末接続管理部は、前記監視装置が自ユーザ端末と前記監視装置との接続を許可した場合、前記監視装置を経由して、前記障害通報に対応する監視対象装置に接続する、通信システム。
  7. 前記接続管理部は、前記監視部が前記監視対象装置の障害を検知した場合、前記障害が検知された前記監視対象装置の装置情報を含む、障害通報と、前記第2の認証情報とを、前記ユーザ端末に送信し、
    前記端末接続管理部は、前記通報受信部が前記装置情報を含む前記障害通報と、前記第2の認証情報とを受信した場合、受信した前記装置情報と、受信した前記第2の認証情報を前記監視装置に応答し、
    前記接続管理部は、生成した前記第2の認証情報を、前記ユーザ端末から受信した場合、前記ユーザ端末を認証し、認証した前記ユーザ端末から、前記装置情報に対応する前記監視対象装置に、前記監視装置を経由して接続することを許可する、請求項6に記載の通信システム。
  8. 前記端末接続管理部は、前記監視装置を経由して、前記監視対象装置に所定のコマンドを送信し、
    前記監視対象装置は、前記所定のコマンドを受信した場合、前記監視装置に疑似障害情報を送信し、
    前記監視部は、自監視装置が前記疑似障害情報を受信した場合、前記疑似障害情報の送信元である前記監視対象装置の障害を検知したと判断する、請求項6又は7に記載の通信システム。
  9. 監視対象装置の少なくとも一部を含む、所定の接続対象に接続する際に必要である、第1の認証情報を記憶する工程と、
    ネットワークを介して、1又は2以上の前記監視対象装置の状態を監視する工程と、
    前記監視対象装置の障害が検知された場合、前記障害が検知された前記監視対象装置と監視装置との接続に使用するポート、及びユーザ端末と前記監視装置との接続に使用するポートを、所定の接続許可時間、開放する工程と、
    前記監視対象装置の障害が検知された場合、第2の認証情報を生成する工程と、
    前記第2の認証情報に基づいて前記ユーザ端末を認証する工程と、
    認証した前記ユーザ端末から前記監視装置への接続を許可する工程と、
    前記第1の認証情報を使用して前記接続対象に接続する工程と、
    を含む通信方法。
  10. 監視対象装置の少なくとも一部を含む、所定の接続対象に接続する際に必要である、第1の認証情報を記憶する処理と、
    ネットワークを介して、1又は2以上の前記監視対象装置の状態を監視する処理と、
    前記監視対象装置の障害が検知された場合、前記障害が検知された前記監視対象装置との接続に使用するポート、及びユーザ端末との接続に使用するポートを、所定の接続許可時間、開放する処理と、
    前記監視対象装置の障害が検知された場合、第2の認証情報を生成する処理と、
    前記第2の認証情報に基づいて前記ユーザ端末を認証する処理と、
    認証した前記ユーザ端末から監視装置への接続を許可する処理と、
    前記第1の認証情報を使用して前記接続対象に接続する処理と、
    を、前記監視装置を制御するコンピュータに実行させるプログラム。
JP2017177441A 2017-09-15 2017-09-15 監視装置、ユーザ端末、通信システム、通信方法及びプログラム Active JP6690836B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017177441A JP6690836B2 (ja) 2017-09-15 2017-09-15 監視装置、ユーザ端末、通信システム、通信方法及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017177441A JP6690836B2 (ja) 2017-09-15 2017-09-15 監視装置、ユーザ端末、通信システム、通信方法及びプログラム

Publications (2)

Publication Number Publication Date
JP2019054422A true JP2019054422A (ja) 2019-04-04
JP6690836B2 JP6690836B2 (ja) 2020-04-28

Family

ID=66013688

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017177441A Active JP6690836B2 (ja) 2017-09-15 2017-09-15 監視装置、ユーザ端末、通信システム、通信方法及びプログラム

Country Status (1)

Country Link
JP (1) JP6690836B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021022780A (ja) * 2019-07-25 2021-02-18 Tis株式会社 サーバ装置、プログラム、および情報処理方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006352476A (ja) * 2005-06-15 2006-12-28 Fuji Xerox Co Ltd 情報処理装置および情報処理システム
US20070180126A1 (en) * 2004-04-08 2007-08-02 Thomas Merkh Systems and methods for establishing and validating secure network sessions
JP2011210190A (ja) * 2010-03-30 2011-10-20 Mizuho Information & Research Institute Inc 権限制御システム、権限制御方法及び権限制御プログラム
WO2016207927A1 (ja) * 2015-06-23 2016-12-29 株式会社 東芝 リモートメンテナンスシステム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070180126A1 (en) * 2004-04-08 2007-08-02 Thomas Merkh Systems and methods for establishing and validating secure network sessions
JP2006352476A (ja) * 2005-06-15 2006-12-28 Fuji Xerox Co Ltd 情報処理装置および情報処理システム
JP2011210190A (ja) * 2010-03-30 2011-10-20 Mizuho Information & Research Institute Inc 権限制御システム、権限制御方法及び権限制御プログラム
WO2016207927A1 (ja) * 2015-06-23 2016-12-29 株式会社 東芝 リモートメンテナンスシステム

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021022780A (ja) * 2019-07-25 2021-02-18 Tis株式会社 サーバ装置、プログラム、および情報処理方法
JP7336291B2 (ja) 2019-07-25 2023-08-31 Tis株式会社 サーバ装置、プログラム、および情報処理方法

Also Published As

Publication number Publication date
JP6690836B2 (ja) 2020-04-28

Similar Documents

Publication Publication Date Title
EP2127312B1 (en) Self-initiated end-to-end monitoring for authentication gateway
CN104967609B (zh) 内网开发服务器访问方法、装置及系统
Trimananda et al. Vigilia: Securing smart home edge computing
WO2009087702A1 (ja) 仮想マシン実行プログラム、ユーザ認証プログラムおよび情報処理装置
JP6470597B2 (ja) キャプティブポータル対応のvpn通信端末、その通信制御方法及びそのプログラム
Jeong et al. An efficient authentication system of smart device using multi factors in mobile cloud service architecture
US9325685B2 (en) Authentication switch and network system
US20070130289A1 (en) Remote access
JP2019500800A (ja) 環境隔離の方法及び装置
RU2014144086A (ru) Способ авторизации пользователя в сети и сервер, используемый в нем
JP2010263310A (ja) 無線通信装置、無線通信監視システム、無線通信方法、及びプログラム
US20150143526A1 (en) Access point controller and control method thereof
JP2007156669A (ja) リモートメンテナンスシステム
JP2007158793A (ja) リモートアクセスシステム、リモートアクセス方法、接続管理サーバ、プログラム、および記録媒体
EP3337125B1 (en) Authenticating for an enterprise service
JP6690836B2 (ja) 監視装置、ユーザ端末、通信システム、通信方法及びプログラム
KR102088303B1 (ko) 클라우드 기반 가상 보안서비스 제공 장치 및 방법
Zheng et al. IoTAegis: A scalable framework to secure the Internet of Things
JP2005283526A (ja) ネットワーク対応分析装置及びシステム
KR101491322B1 (ko) 자기 구성 근거리 네트워크 보안
KR102351795B1 (ko) 클라우드 환경에서 네트워크 장비들을 원격으로 관리하는 방법 및 이를 이용한 클라우드 터미널 컨트롤 서버
WO2015121389A1 (en) Method and hardware device for remotely connecting to and controlling a private branch exchange
KR20230110065A (ko) 보안 적합성 검증을 위한 방법 및 그에 대한 장치
Chuluundorj et al. Generating stateful policies for iot device security with cross-device sensors
JP6571624B2 (ja) 装置管理システム、管理対象装置、装置管理サーバ、制御方法、及び制御プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190110

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20191118

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191126

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191227

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200310

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200402

R150 Certificate of patent or registration of utility model

Ref document number: 6690836

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150