JP2019129427A - 通信装置、および、コンピュータプログラム - Google Patents
通信装置、および、コンピュータプログラム Download PDFInfo
- Publication number
- JP2019129427A JP2019129427A JP2018010374A JP2018010374A JP2019129427A JP 2019129427 A JP2019129427 A JP 2019129427A JP 2018010374 A JP2018010374 A JP 2018010374A JP 2018010374 A JP2018010374 A JP 2018010374A JP 2019129427 A JP2019129427 A JP 2019129427A
- Authority
- JP
- Japan
- Prior art keywords
- response
- request
- port
- communication device
- internet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/12—Digital output to print unit, e.g. line printer, chain printer
- G06F3/1201—Dedicated interfaces to print systems
- G06F3/1223—Dedicated interfaces to print systems specifically adapted to use a particular technique
- G06F3/1236—Connection management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2514—Translation of Internet protocol [IP] addresses between local and global IP addresses
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/12—Digital output to print unit, e.g. line printer, chain printer
- G06F3/1201—Dedicated interfaces to print systems
- G06F3/1202—Dedicated interfaces to print systems specifically adapted to achieve a particular effect
- G06F3/1222—Increasing security of the print job
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/12—Digital output to print unit, e.g. line printer, chain printer
- G06F3/1201—Dedicated interfaces to print systems
- G06F3/1278—Dedicated interfaces to print systems specifically adapted to adopt a particular infrastructure
- G06F3/1285—Remote printer device, e.g. being remote from client or server
- G06F3/1287—Remote printer device, e.g. being remote from client or server via internet
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N1/00—Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
- H04N1/00002—Diagnosis, testing or measuring; Detecting, analysing or monitoring not otherwise provided for
- H04N1/00007—Diagnosis, testing or measuring; Detecting, analysing or monitoring not otherwise provided for relating to particular apparatus or devices
- H04N1/0001—Transmission systems or arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N1/00—Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
- H04N1/00002—Diagnosis, testing or measuring; Detecting, analysing or monitoring not otherwise provided for
- H04N1/00026—Methods therefor
- H04N1/00031—Testing, i.e. determining the result of a trial
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N1/00—Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
- H04N1/00002—Diagnosis, testing or measuring; Detecting, analysing or monitoring not otherwise provided for
- H04N1/00026—Methods therefor
- H04N1/00058—Methods therefor using a separate apparatus
- H04N1/00061—Methods therefor using a separate apparatus using a remote apparatus
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N1/00—Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
- H04N1/00002—Diagnosis, testing or measuring; Detecting, analysing or monitoring not otherwise provided for
- H04N1/00071—Diagnosis, testing or measuring; Detecting, analysing or monitoring not otherwise provided for characterised by the action taken
- H04N1/00074—Indicating or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N1/00—Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
- H04N1/00127—Connection or combination of a still picture apparatus with another apparatus, e.g. for storage, processing or transmission of still picture signals or of information associated with a still picture
- H04N1/00204—Connection or combination of a still picture apparatus with another apparatus, e.g. for storage, processing or transmission of still picture signals or of information associated with a still picture with a digital computer or a digital computer system, e.g. an internet server
- H04N1/00244—Connection or combination of a still picture apparatus with another apparatus, e.g. for storage, processing or transmission of still picture signals or of information associated with a still picture with a digital computer or a digital computer system, e.g. an internet server with a server, e.g. an internet server
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N1/00—Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
- H04N1/00127—Connection or combination of a still picture apparatus with another apparatus, e.g. for storage, processing or transmission of still picture signals or of information associated with a still picture
- H04N1/00344—Connection or combination of a still picture apparatus with another apparatus, e.g. for storage, processing or transmission of still picture signals or of information associated with a still picture with a management, maintenance, service or repair apparatus
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2517—Translation of Internet protocol [IP] addresses using port numbers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N2201/00—Indexing scheme relating to scanning, transmission or reproduction of documents or the like, and to details thereof
- H04N2201/0008—Connection or combination of a still picture apparatus with another apparatus
- H04N2201/0034—Details of the connection, e.g. connector, interface
- H04N2201/0036—Detecting or checking connection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N2201/00—Indexing scheme relating to scanning, transmission or reproduction of documents or the like, and to details thereof
- H04N2201/0008—Connection or combination of a still picture apparatus with another apparatus
- H04N2201/0034—Details of the connection, e.g. connector, interface
- H04N2201/0046—Software interface details, e.g. interaction of operating systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N2201/00—Indexing scheme relating to scanning, transmission or reproduction of documents or the like, and to details thereof
- H04N2201/0008—Connection or combination of a still picture apparatus with another apparatus
- H04N2201/0072—Detecting the status of a connected apparatus
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N2201/00—Indexing scheme relating to scanning, transmission or reproduction of documents or the like, and to details thereof
- H04N2201/0077—Types of the still picture apparatus
- H04N2201/0094—Multifunctional device, i.e. a device capable of all of reading, reproducing, copying, facsimile transception, file transception
Abstract
【課題】通信装置のセキュリティ上の問題に対して適切に対応する。【解決手段】通信装置は、インターネットを介して外部装置から第1のポートを示す第1のポート情報を含む第1の要求を受信し、第1の要求を受信することに応じてインターネットを介して外部装置に第1の応答を送信し、インターネットを介して外部装置から第2のポートを示す第2のポート情報を含む第2の要求を受信し、第2の要求を受信することに応じてインターネットを介して外部装置に第2の応答を送信し、第1の応答と第2の応答とが送信された後にインターネットを介して外部装置から第1の結果情報を受信する。第1の結果情報は、第1の応答と第2の応答とが外部装置にて通信装置から受信されること基づく情報である。通信装置は、第1の結果情報が受信される場合に第1の結果情報に基づいて第1のポートと第2のポートとのセキュリティ上の問題に対応するための対応処理を実行する。【選択図】 図8
Description
本明細書は、インターネットを介して接続される通信装置や外部装置の制御に関する。
特許文献1に開示された技術では、MFPは、自身のIPアドレスを送信元のIPアドレスとするリクエストデータをサーバに送信する。サーバは、受信されたリクエストデータに含まれる送信元のIPアドレスをアプリケーション層に示したレスポンスデータをMFPに送信する。MFPは、レスポンスデータのアプリケーション層に示されるIPアドレスと自身のIPアドレスとが一致する場合には、MFPがグローバルネットワークに公開されていると判断する。
しかしながら、MFPがグローバルネットワークに公開されているか否かの判断だけでは、セキュリティ上の問題があるか否かは、十分には判断できない場合がある。このために、上記技術では、インターネットを介した外部からのアクセスに関するセキュリティ上の問題に対して適切に対応できない可能性があった。
本明細書は、通信装置のセキュリティ上の問題に対して適切に対応できる技術を開示する。
本明細書に開示された技術は、上述の課題の少なくとも一部を解決するためになされたものであり、以下の適用例として実現することが可能である。
[適用例1]通信装置であって、インターネットを介して、外部装置から第1のポートを示す第1のポート情報を含む第1の要求を受信する第1の要求受信部と、前記第1の要求を受信することに応じて、前記インターネットを介して、前記外部装置に、第1の応答を送信する第1の応答送信部と、前記インターネットを介して、前記外部装置から第2のポートを示す第2のポート情報を含む第2の要求を受信する第2の要求受信部と、前記第2の要求を受信することに応じて、前記インターネットを介して、前記外部装置に、第2の応答を送信する第2の応答送信部と、前記第1の応答と前記第2の応答とが送信された後に、前記インターネットを介して、前記外部装置から第1の結果情報を受信する第1の結果受信部であって、前記第1の結果情報は、前記第1の応答と前記第2の応答とが前記外部装置にて前記通信装置から受信されること基づく情報である、前記第1の結果受信部と、前記第1の結果情報が受信される場合に、前記第1の結果情報に基づいて、前記第1のポートと前記第2のポートとのセキュリティ上の問題に対応するための対応処理を実行する第1の実行部と、を備える、通信装置。
上記構成によれば、外部装置が第1の応答と第2の応答とを受信することに基づく第1の結果情報が受信される場合に、通信装置は、第1のポートと第2のポートとのセキュリティ上の問題に対応するための対応処理を実行する。この結果、通信装置は、第1のポートと第2のポートとのセキュリティ上の問題に対して適切に対応できる。
[適用例2]外部装置であって、インターネットを介して、通信装置に、第1のポートを示す第1のポート情報を含む第1の要求を送信する第1の要求送信部と、前記第1の要求を送信することに応じて、前記インターネットを介して、前記通信装置から、第1の応答を受信する第1の応答受信部と、前記インターネットを介して、前記通信装置に、第2のポートを示す第2のポート情報を含む第2の要求を送信する第2の要求送信部と、
前記第2の要求を送信することに応じて、前記インターネットを介して、前記通信装置から、第2の応答を受信する第2の応答受信部と、前記第1の応答と前記第2の応答とを受信することに基づいて、前記第1のポートと前記第2のポートとのセキュリティ上の問題に関連する第1の結果情報を生成する生成部と、前記前記第1の結果情報が生成された後に、前記インターネットを介して、前記通信装置に、前記第1の結果情報を送信する結果送信部と、を備える、外部装置。
前記第2の要求を送信することに応じて、前記インターネットを介して、前記通信装置から、第2の応答を受信する第2の応答受信部と、前記第1の応答と前記第2の応答とを受信することに基づいて、前記第1のポートと前記第2のポートとのセキュリティ上の問題に関連する第1の結果情報を生成する生成部と、前記前記第1の結果情報が生成された後に、前記インターネットを介して、前記通信装置に、前記第1の結果情報を送信する結果送信部と、を備える、外部装置。
上記構成によれば、第1の応答と第2の応答とを受信することに基づき、第1の結果情報を送信する。この結果、外部装置は、通信装置に、第1のポートと第2のポートとのセキュリティ上の問題に対して適切に対応させることができる。
なお、本明細書に開示される技術は、種々の形態で実現することが可能であり、例えば、通信装置と外部装置とを含むシステム、これら装置の機能を実現するための方法、コンピュータプログラム、そのコンピュータプログラムを記録した記録媒体、等の形態で実現することができる。
A.実施例
A−1:システム1000の構成
次に、実施の形態を実施例に基づき説明する。図1は、システム1000の構成を示すブロック図である。
A−1:システム1000の構成
次に、実施の形態を実施例に基づき説明する。図1は、システム1000の構成を示すブロック図である。
システム1000は、通信装置としての複合機200A、200Bと、端末装置10A〜10Cと、サーバ300と、中継装置30A、30Bと、を備える。複合機200Aと、端末装置10Aと、は、ローカルエリアネットワークLN1に接続されている。複合機200Bと、端末装置10B、10Cと、は、ローカルエリアネットワークLN2に接続されている。ローカルエリアネットワークLN1は、中継装置30Aを介して、インターネット80に接続されている。ローカルエリアネットワークLN2は、中継装置30Bを介して、インターネット80に接続されている。サーバ300は、インターネット80に接続されている。この結果、例えば、複合機200Aは、ローカルエリアネットワークLN1を介して、端末装置10Aと接続され、ローカルエリアネットワークLN1とインターネット80とを介して、サーバ300と接続されている。
複合機200Aは、複合機200AのコントローラとしてのCPU210と、RAMなどの揮発性記憶装置220と、ハードディスクドライブやフラッシュメモリなどの不揮発性記憶装置230と、液晶ディスプレイなどの表示部240と、液晶パネルと重畳されたタッチパネルやボタンなどの操作部250と、通信部270と、スキャナ部280と、プリンタ部290と、を備えている。
スキャナ部280は、CCDやCMOSなどの光電変換素子を用いて光学的に文書等の対象物を読み取ることによって、読み取った画像を表すスキャンデータを生成する。プリンタ部290は、所定の方式(例えば、レーザ方式や、インクジェット方式)で、用紙(印刷媒体の一例)上に画像を印刷する装置である。
揮発性記憶装置220は、CPU210が処理を行う際に生成される種々の中間データを一時的に格納するバッファ領域を提供する。不揮発性記憶装置230には、コンピュータプログラムPG1と、設定情報データベースSIと、宛先情報データベースDIと、が格納されている。揮発性記憶装置220や不揮発性記憶装置230は、複合機200Aの内部メモリである。
コンピュータプログラムPG1は、複合機200Aの製造時に不揮発性記憶装置230に予め格納されて提供され得る。これに代えて、コンピュータプログラムPG1は、例えば、インターネットを介して接続されたサーバからダウンロードされる形態、あるいは、CD−ROMなどに記録された形態で提供され得る。
CPU210は、コンピュータプログラムPG1を実行することにより、複合機200Aの制御を実行する。例えば、CPU210は、ユーザの指示に従って、印刷処理や読取処理やファクシミリ処理を実行する。印刷処理は、プリンタ部290に画像を印刷させる処理である。読取処理は、スキャナ部280に対象物を光学的に読み取らせて、スキャンデータを生成させる処理である。ファクシミリ処理は、読取処理を用いて生成されるスキャンデータを、電話回線を介してFAXデータとして送信する処理や、電話回線を介して受信したFAXデータを用いて、プリンタ部290に画像を印刷させる処理を含む。
また、CPU210は、コンピュータプログラムPG1を実行することによって、これらの制御処理に関連する様々なサーバ機能を実行することができる。サーバ機能は、複合機200Aをサーバとして、複合機200Aにネットワークを介して接続される機器(例えば、ユーザが利用する端末装置10A)をクライアントとして、様々なサービスを提供する。例えば、CPU210は、印刷処理に関連して、LPR(Line PRinter daemon)プロトコルや、RAWプロトコルを用いて、クライアントから印刷ジョブを受け取り、印刷サービスを提供する。また、CPU210は、読取処理に関して、生成したスキャンデータをネットワーク(例えば、ローカルエリアネットワークLN1)を介してクライアントに送信するスキャンサービスを提供する。スキャンサービスは、本実施例では、複合機200Aの製造者が提供する専用のプロトコルを用いて実行される。また、CPU210は、クライアントからの要求に応じて、複合機200Aの情報、例えば、設定情報データベースSIに格納された設定情報や複合機200Aの状態を示すステータス情報を送信する情報送信サービスを提供する。情報送信サービスでは、SNMP(Simple Network Management Protocol)が用いられる。また、CPU210は、クライアントに対して、複合機200Aに関する設定情報データベースSIに格納された設定情報の変更や取得を行う設定画面をWEBページとして提供する設定管理サービスを提供する。設定管理サービスでは、HTTP(Hypertext Transfer Protocol)が用いられる。なお、これらのサービスでは、OSI参照モデルのネットワーク層のプロトコルとして、IP(internet protocol)が用いられる。さらに、これらのサービスのうち、情報提供サービスを除いた各サービスでは、OSI参照モデルのトランスポート層のプロトコルとして、TCP(Transmission Control Protocol)が用いられる。そして、情報提供サービスでは、OSI参照モデルのトランスポート層のプロトコルとして、UDP(User Datagram Protocol)が用いられる。
なお、以下では、説明の煩雑を避けるために、CPU210は、LPRプロトコルを用いる印刷サービス(LPR印刷サービスとも呼ぶ)と、RAWプロトコルを用いる印刷サービス(RAW印刷サービスとも呼ぶ)と、SNMPを用いる情報送信サービスと、のみを提供するものとして説明する。なお、LPRプロトコルを用いる印刷サービスに対応する複合機200Aのポート番号をP_lprし、RAWプロトコルを用いる印刷サービスに対応する複合機200Aのポート番号をP_rawとし、SNMPを用いる情報送信サービスに対応する複合機200Aのポート番号をP_snmpとする。
複合機200Aのこれらのサービスは、ローカルエリアネットワークLN1上の機器、具体的には、端末装置10Aをクライアントとして提供されることが想定されている。複合機200Aのこれらのサービスは、インターネット80を介して、外部機器をクライアントとして提供されることは、想定されていない。このために、セキュリティの観点からは、外部機器は、インターネット80を介して、複合機200Aから、これらのサービスの提供を受けられないことが好ましい。
設定情報データベースSIには、複合機200Aに関する設定情報は、例えば、画像処理に関する設定情報と、ネットワークに関する設定情報と、表示部240や操作部250に関する設定情報と、を含む様々な設定情報と、が格納されている。
画像処理に関する設定情報は、印刷処理に関する設定情報や読取処理に関する設定情報を含む。画像処理に関する設定情報には、個人情報が含まれ得る。例えば、読取処理に関する設定情報は、複数個の読取処理に関する設定値をグループ化した情報であるスキャンプロファイルを含む。スキャンプロファイルは、生成されるスキャンデータの解像度、色数(モノクロ、フルカラーなど)に加えて、生成されるスキャンデータの宛先を示すメールアドレスなどの個人情報を含む。
ネットワークに関する設定情報は、複合機200Aに割り当てられるIPアドレスや、サブネットマスクやデフォルトゲートウェイを示す情報などのTCP/IPに準拠した通信のための一般的な設定情報を含む。また、複合機200Aは、スキャンデータの宛先として、インターネット80を介して接続される外部の格納サーバ(図示省略)を指定することで、スキャンデータを当該格納サーバに格納することができる。ネットワークに関する設定情報は、当該外部の格納サーバと通信を行うための情報(例えば、外部サーバのURL)や、当該外部サーバとの通信を許容するか否かを示す情報と、を含む。
宛先情報データベースDIは、例えば、ファクシミリ処理において、FAXデータの宛先となるFAX番号や、スキャンデータの宛先となるメールアドレスなどの宛先情報を含む。
通信部270は、外部装置とデータ通信を行うためのインタフェースを含む。本実施例では、ローカルエリアネットワークLN1に接続するためのインタフェース、具体的には、イーサネット(登録商標)やWi−Fi規格に準拠した有線や無線のインタフェースを含む。
他の複合機200Bの構成は、上述した複合機200Aの構成と同一である。
サーバ300は、複合機200A、200Bの製造者によって提供されるサーバである。サーバ300は、サーバ300のコントローラとしてのCPU310と、RAMなどの揮発性記憶装置320と、ハードディスクドライブなどの不揮発性記憶装置330と、インターネット80と接続するための通信部370と、を備えている。
揮発性記憶装置320は、CPU310が処理を行う際に生成される種々の中間データを一時的に格納するバッファ領域を提供する。不揮発性記憶装置330は、サーバプログラムPG2を格納している。CPU310は、サーバプログラムPG2を実行することによって、複合機200A、200Bと協働して、後述する設定診断処理を実現する。
後述する設定診断処理において、複合機200A、200Bが、インターネット80を介して、サーバ300に、HTTPリクエストを送信することが想定されている。このために、サーバ300には、グローバルIPアドレス「GIP_S」が割り当てられている。
端末装置10A〜10Cは、パーソナルコンピュータやスマートフォンなどの公知の計算機である。端末装置10Aは、ローカルエリアネットワークLN1を介して、複合機200Aと通信を行って、複合機200Aを利用することができる。例えば、端末装置10Aは、LPR印刷サービスやRAW印刷サービスを利用して、印刷ジョブを複合機200Aに送信することによって、複合機200Aに印刷を実行させることができる。端末装置10B、10Cは、同様に、ローカルエリアネットワークLN2を介して、複合機200Bを利用することができる。
中継装置30Aは、ハブとしての機能と、ルータとしての機能と、回線終端装置としての機能と、を備えている。ハブは、ローカルエリアネットワークLN1上の機器間、例えば、端末装置10Aと、複合機200Aと、の間の通信を中継する。ルータは、ローカルエリアネットワークLN1上の機器と、他のネットワーク(例えば、インターネット80)上の機器と、の間の通信を中継する。回線終端装置は、ローカルエリアネットワークLN1で用いられる信号(例えば、イーサネット(登録商標)回線の信号)と、中継装置30Aとインターネットサービスプロバイダとの間の通信で用いられる信号(例えば、光回線やADSL回線の信号)と、を変換する。回線終端装置は、例えば、光回線の場合はONU(Optical Network Unitの略)であり、ADSL回線の場合はモデムである。ハブ、ルータ、回線終端装置としての機能は、本実施例のように1個の端末装置10Aで実現されても良いし、2個以上の装置でそれぞれ実現されても良い。
A−2.ネットワーク設定
推奨されるネットワーク設定(推奨設定とも呼ぶ)では、中継装置30A(ルータ)に、グローバルIPアドレスが割り当てられ、ローカルエリアネットワークLN1上の機器、例えば、端末装置10Aや複合機200Aには、ローカルIPアドレス(プライベートIPアドレスとも呼ぶ)が割り当てられる。グローバルIPアドレスは、インターネット上の機器間で重複しない一意のIPアドレスであり、インターネット80を介した通信で用いられる。ローカルIPアドレスは、ローカルエリアネットワーク上の機器間で重複しなければよく、ローカルエリアネットワーク内での通信で用いられる。ここで、推奨設定において、複合機200Aに割り当てられたローカルIPアドレスを「LIP_M」とし、中継装置30Aに割り当てられたグローバルIPアドレスを「GIP_M」とする。
推奨されるネットワーク設定(推奨設定とも呼ぶ)では、中継装置30A(ルータ)に、グローバルIPアドレスが割り当てられ、ローカルエリアネットワークLN1上の機器、例えば、端末装置10Aや複合機200Aには、ローカルIPアドレス(プライベートIPアドレスとも呼ぶ)が割り当てられる。グローバルIPアドレスは、インターネット上の機器間で重複しない一意のIPアドレスであり、インターネット80を介した通信で用いられる。ローカルIPアドレスは、ローカルエリアネットワーク上の機器間で重複しなければよく、ローカルエリアネットワーク内での通信で用いられる。ここで、推奨設定において、複合機200Aに割り当てられたローカルIPアドレスを「LIP_M」とし、中継装置30Aに割り当てられたグローバルIPアドレスを「GIP_M」とする。
推奨設定の場合には、中継装置30Aにおいて、NAPT(Network Address Port Translation)と呼ばれるアドレス変換機能が動作している。アドレス変換機能は、ローカルエリアネットワークLN1からインターネット80へと送信される要求を中継する際に実行される送信元IPアドレス変換処理と、インターネット80からローカルエリアネットワークLN1へと送信される応答を中継する際に実行される宛先アドレス変換処理と、を含む。推奨設定において、例えば、ローカルエリアネットワークLN1上の複合機200Aが、中継装置30Aを介してインターネット80上の外部機器に、要求(例えば、LPR印刷サービスのリクエスト)を送信し、該要求に対する応答を、外部機器から受信するケースを想定する。中継装置30Aは、複合機200Aから外部機器への要求の送信を中継する際には、該要求の送信元IPアドレスを、複合機200AのローカルIPアドレス「LIP_M」から、中継装置30AのグローバルIPアドレス「GIP_M」に変換する(送信元IPアドレス変換処理)。このとき、中継装置30Aは、当該IPアドレスの変更履歴を記録する。中継装置30Aは、外部機器から複合機200Aへの応答の送信を中継する際には、記録された変更履歴を参照して、該応答の宛先IPアドレスを、中継装置30AのグローバルIPアドレス「GIP_M」から、複合機200AのローカルIPアドレス「LIP_M」に変換する(宛先IPアドレス変換処理)。中継装置30Aは、このとき参照された変更履歴を、該応答の中継後に削除する。
ここで、ルータとしての機能の一部として、ポートフォワード機能が知られている。ポートフォワード機能は、ルータ(例えば、中継装置30A)宛に届いた要求の宛先ポート番号が、予め登録された特定ポート番号である場合に、予め登録された特定の装置(例えば、複合機200A)に送信する機能である。推奨設定の場合には、有効なポートフォワード機能は、設定されていない。
推奨設定では、インターネット80を介した通信において、基本的に、先に、複合機200Aから外部機器に要求が送信されて、中継装置30AにIPアドレスの変換履歴が記録された後でなければ、外部機器から複合機200Aにデータを送信できない。したがって、インターネット80を介した通信では、複合機200Aをクライアントとし、外部機器をサーバとして、複合機200Aが先に外部機器に要求を送信することで通信が可能であるが、複合機200Aをサーバとし、外部機器をクライアントとして、外部機器が先に要求を送信することでは通信できない。このため、推奨設定では、第三者(例えば、悪意のある攻撃者)の外部機器は、中継装置30AのグローバルIPアドレスを認識したとしても、インターネット80を介して、複合機200Aに要求などを送信することは、困難である。
なお、複合機200Aの上述した3個のサービス(LPR印刷サービス、RAW印刷サービス、情報提供サービス)のポートは、推奨設定において、オープンにされている。これらのサービスのポートは、通常、インターネット80を介さずにローカルエリアネットワークを介して通信を行うネットワークプリンタとして機能するために、オープンにされている。
ここで、上記推奨設定とは異なるネットワーク設定(非推奨設定とも呼ぶ)が、行われる場合がある。非推奨設定では、複合機200Aをサーバとして、外部機器をクライアントとして、外部機器がインターネット80を介して先に要求を送信することで通信し得る。このために、非推奨設定では、第三者の外部装置は、推奨設定と比較して、インターネット80を介して、容易に、複合機200Aに要求などを送信することができる。その結果、第三者によって、インターネット80を介して、複合機200Aの設定情報データベースSI内の設定情報の改ざんや、宛先情報データベースDI内の宛先情報の盗難などが行われる可能性も高くなる。したがって、非推奨設定は、推奨設定よりもセキュリティのレベルが低く、セキュリティ上の問題がある設定である、と言うことができる。このような非推奨設定は、例えば、複合機200Aの管理者の知識が不十分である場合などに、行われ得る。
非推奨設定の一例を説明する。非推奨設定Aでは、推奨設定に加えて、以下のポートフォワード設定テーブルFTで定義されるポートフォワード機能が有効に設定されている。
図2は、ポートフォワード設定テーブルFTの一例を示す図である。ポートフォワード設定テーブルFTには、対象IPアドレスと、対象ポート番号と、転送先IPアドレスと、が対応付けて記録されている。ポートフォワード機能が有効である場合には、中継装置30Aは、外部装置からインターネット80を介して要求(例えば、LPR印刷サービスのリクエストやRAW印刷サービスのリクエスト)を受信すると、該要求の宛先IPアドレスと宛先ポート番号を取得する。中継装置30Aは、該要求の宛先IPアドレスが、ポートフォワード設定テーブルFTに設定された対象IPアドレスであり、かつ、宛先ポート番号が、ポートフォワード設定テーブルFTに設定された対象ポート番号であるか否かを判断する。中継装置30Aは、宛先IPアドレスが、対象IPアドレスであり、かつ、宛先ポート番号が対象ポート番号である場合には、該要求の宛先IPアドレスを、ポートフォワード設定テーブルFTにて該対象ポート番号に対応付けられた転送先IPアドレスに変換する。中継装置30Aは、該変換後の要求を、転送先IPアドレスに従ってルーティングして転送する。この結果、該要求は、転送先IPアドレスが割り当てられた装置に送信される。図2の例では、宛先IPアドレスが「GIP_M」であり、かつ、宛先ポート番号がLPR印刷サービスのポート番号P_lprである要求(すなわち、LPR印刷サービスのリクエスト)がインターネット80を介して中継装置30A宛に送信された場合に、該要求は、ローカルIPアドレス「LIP_M」が割り当てられた複合機200Aに送信される。さらに、宛先IPアドレスが「GIP_M」であり、かつ、宛先ポート番号がRAW印刷サービスのポート番号P_rawである要求(すなわち、RAW印刷サービスのリクエスト)がインターネット80を介して中継装置30A宛に送信された場合に、該要求は、ローカルIPアドレス「LIP_M」が割り当てられた複合機200Aに送信される。
端末装置10B、10C、複合機200Bが接続されるローカルエリアネットワークLN2と、中継装置30Bと、についても同様に、推奨設定と非推奨設定が行われ得る。
A−3:システム1000の動作
本実施例では、上記推奨設定が行われているか、非推奨設定が行われているかを判定する設定診断処理が行われる。設定診断処理は、複合機200A、200BのCPU210とサーバ300のCPU310とによって実行される。以下では、複合機200Aとサーバ300とによって実行される場合を例に、設定診断処理を説明するが、複合機200Bとサーバ300とによっても同様に実行される。本実施例では、この設定診断処理は、複合機200Aの電源が投入されたことに応じて実行される。複合機200Aの電源が投入されたことに応じて実行されるとは、複合機200Aの電源が投入された場合に、自動的にCPU210によって実行されること、OSやファイルシステムの起動処理などを含む一連の処理の一部として開始されることを意味する。
本実施例では、上記推奨設定が行われているか、非推奨設定が行われているかを判定する設定診断処理が行われる。設定診断処理は、複合機200A、200BのCPU210とサーバ300のCPU310とによって実行される。以下では、複合機200Aとサーバ300とによって実行される場合を例に、設定診断処理を説明するが、複合機200Bとサーバ300とによっても同様に実行される。本実施例では、この設定診断処理は、複合機200Aの電源が投入されたことに応じて実行される。複合機200Aの電源が投入されたことに応じて実行されるとは、複合機200Aの電源が投入された場合に、自動的にCPU210によって実行されること、OSやファイルシステムの起動処理などを含む一連の処理の一部として開始されることを意味する。
A−3−1:推奨設定の場合の動作
図3は、設定診断処理の第1のシーケンス図である。第1のシーケンス図は、上記推奨設定が行われている場合のシーケンス図である。
図3は、設定診断処理の第1のシーケンス図である。第1のシーケンス図は、上記推奨設定が行われている場合のシーケンス図である。
複合機200Aの電源が投入されると、図3のS10では、複合機200A(CPU210)は、サーバ300との間で、TCP(Transmission Control Protocol)に準拠したコネクション(以下、TCPコネクションとも呼ぶ)を確立する。具体的には、複合機200Aは、複合機200Aの製造者によって不揮発性記憶装置230に予め格納されているURL(Uniform Resource Locator)を取得する。複合機200Aは、該URLに含まれるドメイン名に対応するグローバルIPアドレスを、インターネット80上のDNS(Domain Name System)サーバから取得する。このように取得されるグローバルIPアドレスは、サーバ300のグローバルIPアドレス「GIP_S」である。複合機200Aは、該グローバルIPアドレスを用いて、サーバ300との間でTCPコネクションを確立する。
図3のS14、S18では、複合機200Aは、サーバ300との間で確立されるTCPコネクションを用いて、診断要求を送信する。具体的には、S14では、複合機200A(CPU210)は、診断要求AをローカルエリアネットワークLN1上に送信する。診断要求は、例えば、HTTPに従う要求(HTTPリクエスト)である。診断要求は、中継装置30Aに受信される。
図4は、設定診断処理で用いられる要求と応答の一例を示す第1の図である。図4(A)に示すように、S14で送信される診断要求AのIPヘッダに含まれる送信元IPアドレスは、複合機200AのIPアドレス、すなわち、ローカルIPアドレス「LIP_M」である。診断要求AのIPヘッダに含まれる宛先IPアドレスは、上述したDNSサーバから取得されたサーバ300のグローバルIPアドレス「GIP_S」である。診断要求AのIPヘッダに含まれる送信元ポート番号は、複合機200Aに設定されている設定診断処理に対応するポート番号P_mfpである。診断要求AのIPヘッダに含まれる宛先ポート番号は、サーバ300に設定されている設定診断処理に対応するポート番号P_htmlである。診断要求Aのボディには、宛先情報が含められる。宛先情報は、上述した不揮発性記憶装置230に予め格納されているURLのうちのドメイン名の後の値(ディレクトリ名やファイル名)である。宛先情報は、サーバ300が提供する設定診断サービスを示している。宛先ポート番号「P_html」は、複合機200Aの製造者によって不揮発性記憶装置230に予め格納されている。
推奨設定では、中継装置30Aにおいて、アドレス変換機能が動作している。このため、中継装置30Aは、診断要求Aを受信すると、上述したように、送信元IPアドレス変換処理を実行する。すなわち、該診断要求AのIPヘッダに含まれる送信元IPアドレスは、中継装置30AのグローバルIPアドレス「GIP_M」に変更される。また、IPアドレスの変更記録と送信元ポート番号とが中継装置30A内に記録される。
S18では、中継装置30Aは、診断要求Aの送信元IPアドレスを、中継装置30AのグローバルIPアドレス「GIP_M」に変更して得られる診断要求B(図4(B))をインターネット80上に送信する。診断要求Bは、インターネット80を介して、サーバ300によって受信される。
S20では、サーバ300(CPU310)は、受信した診断要求BのIPヘッダに含まれる送信元IPアドレスを取得する。推奨設定の場合には、図4(B)から解るように、中継装置30AのグローバルIPアドレス「GIP_M」が取得される。
S21では、サーバ300は、所定の待機期間WTをカウントするためのタイマーを起動する。待機期間WTは、例えば、数秒程度の期間とされる。
S22〜S30では、サーバ300は、複合機200Aのネットワーク設定の判定するために、複合機200Aに対して、複数個の要求を送信する。送信される複数個の要求は、複合機200Aが提供するサービスの提供を、クライアントとして複合機200Aに要求するものである。本実施例では、上述した3個のサービス(LPR印刷サービス、RAW印刷サービス、情報提供サービス)を利用するための要求をそれぞれ送信する。
具体的には、S22では、サーバ300は、LPR印刷サービスの提供を要求するLPR接続要求A(図4(C))を、インターネット80上に送信する。このLPR接続要求は、具体的には、LPR印刷サービスのための印刷ジョブやコマンドを送受信するための接続(例えば、TCPコネクション)の確立の要求である。図4(C)のLPR接続要求AのIPヘッダに含まれる送信元IPアドレスは、サーバ300のグローバルIPアドレス「GIP_S」である。LPR接続要求AのIPヘッダに含まれる宛先IPアドレスは、S20で取得したグローバルIPアドレス、すなわち、中継装置30AのグローバルIPアドレス「GIP_M」である。LPR接続要求AのIPヘッダに含まれる送信元ポート番号は、ネットワーク設定の判定用のサーバ300のポート番号P_sevである。LPR接続要求AのIPヘッダに含まれる宛先ポート番号は、上述したLPR印刷サービスに対応する複合機200Aのポート番号P_lprである。
S26では、サーバ300は、RAW印刷サービスの提供を要求するRAW接続要求A(図4(D))を、インターネット80上に送信する。このRAW接続要求は、具体的には、RAW印刷サービスのための印刷ジョブやコマンドを送受信するための接続(例えば、TCPコネクション)の確立の要求である。図4(D)のRAW接続要求AのIPヘッダに含まれる送信元IPアドレス、宛先IPアドレス、送信元ポート番号は、図4(C)のLPR接続要求Aと同様に、GIP_S、GIP_M、P_sevである。RAW接続要求AのIPヘッダに含まれる宛先ポート番号は、上述したRAW印刷サービスに対応する複合機200Aのポート番号P_rawである。
S30では、サーバ300は、情報提供サービスの提供を要求するSNMP要求A(図4(E))を、インターネット80上に送信する。図4(E)のSNMP要求AのIPヘッダに含まれる送信元IPアドレス、宛先IPアドレス、送信元ポート番号は、図4(C)のLPR接続要求Aと同様に、GIP_S、GIP_M、P_sevである。SNMP要求のIPヘッダに含まれる宛先ポート番号は、上述した情報提供サービスに対応する複合機200Aのポート番号P_snmpである。
ここで、推奨設定である場合には、中継装置30Aは、LPR接続要求Aを受信すると、宛先IPアドレスが中継装置30A宛(「GIP_M」)であることを認識するが、送信元ポート番号がポート番号P_lprである要求について送信元IPアドレス変換処理を行った変更記録がない。このために、中継装置30Aは、宛先IPアドレス変換処理を行わず、LPR接続要求Aの他の装置への送信も行わずに、LPR接続要求Aを破棄する。このために、LPR接続要求Aは、複合機200Aには到達しない。
同様に、推奨設定である場合には、中継装置30Aは、RAW接続要求AやSNMP要求Aを受信すると、送信元ポート番号がポート番号P_rawやポート番号P_snmpである要求について送信元IPアドレス変換を行った変更記録がないため、宛先IPアドレス変換処理を行わない。したがって、これらの要求の他の装置への送信も行わずに、これらの要求を破棄する。このために、RAW接続要求AおよびSNMP要求Aは、複合機200Aには到達しない。
このように、推奨設定である場合には、LPR接続要求A、RAW接続要求A、SNMP要求Aのいずれも複合機200Aに到達しない。このために、複合機200Aは、LPR接続要求A、RAW接続要求A、SNMP要求Aに対応する応答を送信できない。したがって、サーバ300が、LPR接続要求A、RAW接続要求A、SNMP要求Aに対応する応答を受信しない。このために、推奨設定である場合には、LPR接続要求A、RAW接続要求A、SNMP要求Aに対応する応答がサーバ300にて受信されないまま、待機期間WTが経過する。
待機期間WTが経過すると、S40にて、サーバ300は、S21にて起動したタイマーのカウントに基づいて、待機期間WTが経過したと判断する。この場合には、サーバ300は、上述した3個のサービスに対応するポート、すなわち、ポート番号P_lpr、P_raw、P_snmpのポートは、インターネット80上に公開されておらず、セキュリティ上の問題はないポート(「安全なポート」とも呼ぶ)と判断できる。なお、インターネット80上に公開されており、セキュリティ上の問題があるポートを「危険なポート」とも呼ぶ。
S41では、サーバ300は、ポート番号P_lpr、P_raw、P_snmpについての診断結果を示す結果情報を生成する。結果情報は、診断対象のポート、本実施例では、ポート番号P_lpr、P_raw、P_snmpの3つのポートのそれぞれについて、セキュリティ上の問題の有無を示す結果情報、すなわち、「安全なポート」であるか「危険なポート」であるかを示す情報である。図3の例では、当該3つのポートは、全て安全なポートであることを示す結果情報が生成される。
S42、S46では、S10で確立されるTCPコネクションを用いて、結果情報を含む診断結果応答、サーバ300から複合機200Aに送信される。具体的には、S42では、サーバ300は、S18にて受信した診断要求Bに対応する応答として、S41で生成済みの結果情報を含む診断結果応答A(図4(F))を、インターネット80上に送信する。図4(F)の診断結果応答AのIPヘッドに含まれる送信元IPアドレスは、サーバ300のグローバルIPアドレス「GIP_S」である。診断結果応答AのIPヘッドに含まれる宛先IPアドレスは、S20で取得したグローバルIPアドレス、すなわち、中継装置30AのグローバルIPアドレス「GIP_M」である。診断結果応答AのIPヘッダに含まれる送信元ポート番号は、サーバ300に設定されている設定診断処理に対応するポート番号P_htmlである。診断結果応答AのIPヘッダに含まれる宛先ポート番号は、複合機200Aに設定されている設定診断処理に対応するポート番号P_mfpである。診断結果応答Aは、インターネット80を介して、中継装置30Aによって受信される。
中継装置30Aは、診断結果応答Aを受信すると、上述したように、宛先IPアドレス変換処理を実行する。すなわち、診断結果応答Aを受信した時点で、S14の診断要求Aを受信してS18にて診断要求Bを送信する際の送信元IPアドレス変換処理において記録された変更記録がある。この変更記録は、宛先IPアドレスがサーバ300のグローバルIPアドレス(「GIP_S」)であり、送信元ポート番号がポート番号P_htmlである要求について送信元IPアドレス変換処理を行った記録である。このために、送信元IPアドレスがサーバ300のグローバルIPアドレス(「GIP_S」)であり、宛先ポート番号がポート番号P_htmlである応答は、変換の対象となる。したがって、該変更記録を参照して、診断結果応答AのIPヘッドに含まれる宛先IPアドレスは、複合機200AのローカルIPアドレス「LIP_M」に変更される。参照された変更記録は削除される。
S46では、中継装置30Aは、診断結果応答Aの宛先IPアドレスを変更して得られる診断結果応答B(図4(G))をローカルエリアネットワークLN1上に送信する。診断結果応答Bは、ローカルエリアネットワークLN1を介して複合機200Aによって受信される。
以上の説明から解るように、S14、S18の診断要求A、Bの送受信と、S42、S46の診断結果応答A、Bの送受信と、は、複合機200Aをクライアントとしサーバ300をサーバとして確立されるTCPのコネクションを用いて実行される。そして、S22、S26、S30のLPR接続要求A、RAW接続要求A、SNMP要求Aの送信は、サーバ300をクライアントとして行われる。
複合機200Aが、診断結果応答Bを受信すると、S48にて、複合機200Aは、結果出力処理を実行する。結果出力処理は、診断結果応答に基づいて、診断結果を出力する処理である。
図5は、結果出力処理のフローチャートである。S110では、複合機200AのCPU210は、診断対象の3個のポートの中に、インターネット80上に公開されており、セキュリティ上の問題があるポート(危険なポート)であると判断されたポートがあるか否かを判断する。図3の例では、S46にて複合機200Aによって受信される診断結果応答Bに含まれる結果情報は、診断対象の3個のポートの全てが「安全なポート」であることを示す。このために、図3の例では、「危険なポート」であると判断されたポートはないと判断される。
危険なポートであると判断されたポートがある場合には(S110:YES)、S120にて、CPU210は、危険なポートがあることを示す警告画面W1を、表示部240に表示する。図6は、表示部240に表示される画面の一例を示す図である。図6(A)には、警告画面W1の一例が示されている。この警告画面W1は、危険なポートを示す文字Tx1と、文字Tx1で示す危険なポートにセキュリティ上の問題があることを示すメッセージMs1と、を含んでいる。
危険なポートであると判断されたポートがない場合には(S110:NO)、S125にて、CPU210は、危険なポートが無く、セキュリティ上の問題が無いことを示す画面W2を、表示部240に表示する。図6(B)には、画面W2の一例が示されている。この画面W2は、危険なポートがないこと、すなわち、セキュリティ上の問題がないことを示すメッセージMs2を含んでいる。
S130では、CPU210は、新たに危険と判断されたポートがあるか否かを判断する。具体的には、前回の設定診断処理にて受信された診断結果応答に含まれる結果情報では、安全なポートであったポートのうちの少なくとも1つが、今回の設定診断処理にて受信された診断結果応答に含まれる結果情報では、危険なポートとなっている場合には、新たに危険と判断されたポートがあると判断される。
新たに危険と判断されたポートがある場合には(S130:YES)、S140にて、CPU210は、設定画面データに、新たに危険と判断されたポートの警告情報を付加する。設定画面データは、上述した設定管理サービスによってWEBページとして提供される設定画面を示すデータ(例えば、HTMLデータ)である。
図7は、設定画面データによって示される設定画面W4の一例を示す図である。設定画面W4を示す設定画面データは、複合機200Aの設定管理サービスを利用するクライアント(例えば、端末装置10A)からの要求に応じて、該クライアントに送信される。そして、該クライアントの表示部に、該設定画面データによって示される設定画面W4が表示される。図7に示すように、設定画面W4は、各種の設定情報、例えば、印刷処理や読取処理に関する設定情報の変更や取得を行うためのユーザインタフェースを含む。図7の設定画面W4は、さらに、危険と判断されたポートがあることを示す警告EMを含んでいる。例えば、該警告EMがユーザによってクリックされると、さらに、危険と判断されたポートの情報(例えば、ポート番号)が表示される(図示省略)。S140にて付加される警告情報は、該警告EMを示す情報や、該警告EMがクリックされた場合に表示される危険と判断されたポートの情報を含む。
新たに危険と判断されたポートがない場合には(S130:NO)、CPU210は、S140をスキップする。
S150では、CPU210は、新たに安全と判断されたポートがあるか否かを判断する。具体的には、前回の設定診断処理にて受信された診断結果応答に含まれる結果情報では、危険なポートであったポートのうちの少なくとも1つが、今回の設定診断処理にて受信された診断結果応答に含まれる結果情報では、安全なポートとなっている場合には、新たに安全と判断されたポートがあると判断される。
新たに安全と判断されたポートがある場合には(S150:YES)、S160にて、CPU210は、設定画面データから、安全と判断されたポートの警告情報を削除する。例えば、全てのポートが安全なポートになった場合には、例えば、図7の警告EMを示す情報と、警告EMをクリックした場合に表示される情報と、設定画面データから削除される。また、一部のポートが安全なポートになり、他のポートが危険なポートのままである場合には、警告EMを示す情報と、該警告EMがクリックされた場合に表示される情報のうち、危険なままのポートの情報は、維持される。そして、該警告EMがクリックされた場合に表示される情報のうち、安全と判断されたポートの情報だけが、設定画面データから削除される。
新たに安全と判断されたポートがない場合には(S150:NO)、CPU210は、S160をスキップする。
以上のような結果出力処理が実行される結果、例えば、図3の例では、S46にて複合機200Aにて受信される診断結果応答Bでは、3個の診断対象のポートの全てが安全なポートである。したがって、S48の結果出力処理では、図6(B)の画面W2が表示部240に表示される(図5のS110:NO、S125)。そして、結果出力処理の開始時に、設定画面データに、危険なポートに関する警告情報が付加されている場合には、該警告情報は削除される(図5のS150:YES、S160)。
A−3−2:非推奨設定Aの場合の動作
次に、上述した非推奨設定Aが行われているときに、設定診断処理が行われた場合について説明する。図8は、設定診断処理の第2のシーケンス図である。第2のシーケンス図は、上述した非推奨設定Aが行われている場合のシーケンス図である。図8において、図3と同じ処理については、同じ符号が付されており、図3と異なる処理については符号の末尾に「B」が付されている。図9は、設定診断処理で用いられる要求と応答の一例を示す第2の図である。
次に、上述した非推奨設定Aが行われているときに、設定診断処理が行われた場合について説明する。図8は、設定診断処理の第2のシーケンス図である。第2のシーケンス図は、上述した非推奨設定Aが行われている場合のシーケンス図である。図8において、図3と同じ処理については、同じ符号が付されており、図3と異なる処理については符号の末尾に「B」が付されている。図9は、設定診断処理で用いられる要求と応答の一例を示す第2の図である。
図8のS14、S18、S20、S21、S22、S26、S30は、図3の同符号の処理と同じである。非推奨設定Aでは、図2のポートフォワード設定テーブルFTに基づくポートフォワード機能が、中継装置30Aにおいて有効になっている。このために、中継装置30Aは、S22にてLPR接続要求A(図4(C))を受信すると、該LPR接続要求Aの宛先IPアドレスを、複合機200AのローカルIPアドレス「LIP_M」に変更して、図9(A)のLPR接続要求Bを生成する。S24Bでは、中継装置30Aは、該LPR接続要求Bを、ローカルエリアネットワークLN1上に送信する。該LPR接続要求Bは、複合機200Aによって受信される。
同様に、中継装置30Aは、S26にてRAW接続要求A(図4(D))を受信すると、該RAW接続要求Aの宛先IPアドレスを、複合機200AのローカルIPアドレス「LIP_M」に変更して、図9(D)のRAW接続要求Bを生成する。S28Bでは、中継装置30Aは、該RAW接続要求Bを、ローカルエリアネットワークLN1上に送信する。該RAW接続要求Bは、複合機200Aによって受信される。なお、SNMP要求Aは、ポートフォワード機能の対象にならないので、図3と同様に、SNMP要求は、複合機200Aには到達しない。
複合機200Aは、S24BにてLPR接続要求Bを受信すると、LPR印刷サービスを提供すべく、S34Bにて、LPR接続要求に対応する応答であるLPR応答A(図9(B))をローカルエリアネットワークLN1上に送信する。S34Bで送信されるLPR応答AのIPヘッダに含まれる送信元IPアドレスは、複合機200AのIPアドレス、すなわち、ローカルIPアドレス「LIP_M」である。LPR応答AのIPヘッダに含まれる宛先IPアドレスは、サーバ300のグローバルIPアドレス「GIP_S」である。LPR応答AのIPヘッダに含まれる送信元ポート番号は、複合機200AのLPR印刷サービスのポート番号P_lprである。LPR応答AのIPヘッダに含まれる宛先ポート番号は、ネットワーク設定の判定用のサーバ300のポート番号P_sevである。
中継装置30Aは、S34BにてLPR応答Aを受信すると、上述した送信元IPアドレス変換処理を実行する。すなわち、該LPR応答AのIPヘッダに含まれる送信元IPアドレスは、中継装置30AのグローバルIPアドレス「GIP_M」に変更される。S36Bでは、中継装置30Aは、LPR応答Aの送信元IPアドレスを、中継装置30AのグローバルIPアドレス「GIP_M」に変更して得られるLPR応答B(図9(C))をインターネット80上に送信する。LPR応答Bは、インターネット80を介して、サーバ300によって受信される。
複合機200Aは、S28BにてRAW接続要求Bを受信すると、RAW印刷サービスを提供すべく、S37Bにて、RAW接続要求に対応する応答であるRAW応答A(図9(E))をローカルエリアネットワークLN1上に送信する。S37Bで送信されるRAW応答AのIPヘッダに含まれる送信元IPアドレスは、複合機200AのIPアドレス、すなわち、ローカルIPアドレス「LIP_M」である。LPR応答AのIPヘッダに含まれる宛先IPアドレスは、サーバ300のグローバルIPアドレス「GIP_S」である。RAW応答AのIPヘッダに含まれる送信元ポート番号は、複合機200AのRAW印刷サービスのポート番号P_rawである。RAW応答AのIPヘッダに含まれる宛先ポート番号は、ネットワーク設定の判定用のサーバ300のポート番号P_sevである。
中継装置30Aは、S37BにてRAW応答Aを受信すると、上述した送信元IPアドレス変換処理を実行する。すなわち、該LPR応答AのIPヘッダに含まれる送信元IPアドレスは、中継装置30AのグローバルIPアドレス「GIP_M」に変更される。S38Bでは、中継装置30Aは、RAW応答Aの送信元IPアドレスを、中継装置30AのグローバルIPアドレス「GIP_M」に変更して得られるRAW応答B(図9(F))をインターネット80上に送信する。RAW応答Bは、インターネット80を介して、サーバ300によって受信される。
待機期間WTが経過すると、図3と同様に、S40にて、サーバ300は、待機期間WTが経過したと判断する。この時点までに、LPR接続要求A、RAW接続要求Aに対応する応答であるLPR応答B、RAW応答Bは、サーバ300にて受信され、SNMP要求Aに対応する応答は、サーバ300にて受信されない。したがって、この場合には、サーバ300は、ポート番号P_lpr、P_raw、P_snmpのポートのうち、LPR印刷サービスおよびRAW印刷サービスのポートであるポート番号P_lpr、P_rawのポートは、危険なポートであると判断できる。そして、サーバ300は、ポート番号P_snmpのポートは、安全なポートであると判断できる。
S41では、図8の例では、3個の診断対象のポートのうち、ポート番号P_lpr、P_rawのポートが危険なポートであり、ポート番号P_snmpのポートが安全なポートであることを示す結果情報が生成される。
S42では、図3と同様に、サーバ300は、S18にて受信した診断要求Bに対応する応答として、結果情報を含む診断結果応答A(図4(F))を、インターネット80上に送信する。S46では、図3と同様に、中継装置30Aは、診断結果応答Aの宛先IPアドレスを変更して得られる診断結果応答B(図4(G))をローカルエリアネットワークLN1上に送信する。診断結果応答Bは、ローカルエリアネットワークLN1を介して複合機200Aによって受信される。S48では、複合機200Aは、図5の結果出力処理を実行する。
なお、以上の説明から解るように、S14、S18の診断要求A、Bの送受信と、S42、S46の診断結果応答A、Bの送受信と、は、複合機200Aをクライアントとしサーバ300をサーバとして確立されるTCPのコネクションを用いて実行される。そして、S22、S24BのLPR接続要求の送受信と、S34B、S36BのLPR応答の送受信とは、サーバ300をクライアントとし、複合機200Aをサーバとして実行される。S26、S28BのRAW接続要求の送受信と、S37B、S38BのRAW応答の送受信とは、サーバ300をクライアントとし、複合機200Aをサーバとして実行される。
図8の例では、S46にて複合機200Aにて受信される診断結果応答Bでは、3個の診断対象のポートのうち、ポート番号P_lpr、P_rawのポートが危険なポートであり、ポート番号P_snmpのポートが安全なポートである。したがって、S48の結果出力処理では、図6(A)の警告画面W1が表示部240に表示される(図5のS110:YES、S120)。そして、結果出力処理の開始時に、設定画面データに、ポート番号P_lpr、P_rawのポートに関する警告情報が付加されていない場合には、ポート番号P_lpr、P_rawのポートに関する警告情報が付加される(図5のS130:YES、S140)。
以上説明した本実施例によれば、複合機200Aは、インターネット80を介して、外部装置としてのサーバ300からポート番号P_lprのポートを示す宛先ポート番号を含むLPR接続要求を受信し(図8のS22、S24B)、LPR接続要求を受信することに応じて、インターネット80を介して、サーバ300に、LPR応答を送信する(図8のS34B、S36B)。複合機200Aは、インターネット80を介して、サーバ300からポート番号P_rawのポートを示す宛先ポート番号を含むRAW接続要求を受信し(図8のS26、S28B)、RAW接続要求を受信することに応じて、インターネット80を介して、サーバ300に、RAW応答を送信する(図8のS37B、S8B)。複合機200Aは、LPR応答とRAW応答とが送信された後に、インターネット80を介して、サーバ300から結果情報を含む診断結果応答を受信する(図8のS42、S46)。図8の例では、結果情報は、LPR応答とRAW応答とがサーバ300にて複合機200Aから受信されること基づいて、ポート番号P_lprのポートと、ポート番号P_rawのポートと、が危険であることを示す。S48にて、複合機200Aは、診断結果応答が受信される場合に、診断結果応答に含まれる結果情報に基づいて、ポート番号P_lprのポートとポート番号P_rawのポートとのセキュリティ上の問題に対応するための対応処理を実行する。具体的には、表示部240に警告画面W1(図6(A))を表示すること(図5のS120)や、設定画面データに警告情報を付加すること(図5のS140)が実行される。この結果、ポート番号P_lprのポートと、ポート番号P_rawのポートと、とのセキュリティ上の問題に対して適切に対応できる。具体的には、複合機200Aは、単独では、これらのポートにセキュリティ上の問題があるか否かは、判断し難い。しかしながら、本実施例では、サーバ300が、複合機200AからLPR応答とRAW応答とを受信したことに基づいて、ポート番号P_lprのポートと、ポート番号P_rawのポートと、とにセキュリティ上の問題があることを容易に判断できる。そして、その結果を示す結果情報を受信した複合機200Aが対応処理を実行するので、これらのポートにセキュリティ上の問題に対して適切に対応できる。
さらに、本実施例では、複合機200Aは、インターネット80を介して、サーバ300に、診断要求を送信する(図8のS14、S18)。そして、複合機200Aは、該診断要求の送信後に、LPR接続要求を受信し(図8のS24B)、RAW接続要求を受信する(図8のS28B)。このように、複合機200Aは、診断要求をサーバ300に送信することによって、自身が望むタイミングで、結果情報を含む診断結果応答を取得することができる。
さらに、本実施例では、診断要求の送信(図8のS14、S18)と、診断要求に対する応答である診断結果応答の受信(図8のS42、S46)とは、複合機200Aをクライアントとしサーバ300をサーバとして実行される。LPR接続要求の受信(図8のS22、S24B)と、LPR接続要求に対する応答であるLPR応答の送信(図8のS34B、S36B)とは、複合機200Aをサーバとしサーバ300をクライアントとして実行される。RAW接続要求の受信(図8のS26、S28B)と、RAW接続要求に対する応答であるRAW応答の送信(図8のS37B、S38B)とは、複合機200Aをサーバとしサーバ300をクライアントとして実行される。この結果、サーバ300と複合機200Aとの間で、複合機200Aのネットワーク設定を診断するための適切な通信が実行できるので、複合機200Aは、適切な結果情報を含む診断結果応答を取得できる。
さらに、本実施例では、診断要求の送信(図8のS14、S18)と、診断要求に対する応答である診断結果応答の受信(図8のS42、S46)とは、複合機200Aとサーバ300との間に確立されるTCPコネクションを用いて実行される。この結果、サーバ300と複合機200Aとの間で、複合機200Aのネットワーク設定を診断するための適切な通信が実行できるので、複合機200Aは、適切な結果情報を含む診断結果応答を取得できる。
さらに、本実施例では、サーバ300から送信されるLPR接続要求A(図4(C))およびRAW接続要求A(図4(D))の宛先を示す宛先IPアドレスは、サーバ300によって受信される診断要求B(図4(B))の送信元を示す送信元アドレス(例えば、「GIP_M」)と同じである(図3、図8のS20等)。この結果、ポート番号P_lprのポートとポート番号P_rawのポートにセキュリティ上の問題がある場合に、複合機200Aは、LPR接続要求とRAW接続要求とを受信できる。例えば、図8の例のように、ポート番号P_lprのポートとポート番号P_rawについてポートフォワード機能が設定されている場合や、後述する図10の例のように複合機200AにグローバルIPアドレスが割り当てられている場合には、複合機200Aは、LPR接続要求とRAW接続要求とを受信できる。一方で、ポート番号P_lprのポートとポート番号P_rawのポートにセキュリティ上の問題がない場合に、複合機200Aは、LPR接続要求とRAW接続要求とを受信しない。
ここで、電源投入などによって複合機200Aが起動される前には、例えば、複合機200Aの物理的な移動や物理的な配線の変更などが行われ得る。このために、複合機200Aが起動されるときには、ネットワークへの接続状態の変更や、ネットワーク設定の変更がなされ得る。この場合には、当該変更に起因して、複合機200Aの各ポートに、セキュリティ上の問題が発生し得る。本実施例では、電源投入によって、複合機200Aが起動される場合に、複合機200Aは、診断要求をサーバ300に送信する(図8のS14)。したがって、セキュリティ上の問題が発生し得る適切なタイミングで、診断要求を送信して、ネットワーク設定の診断処理が実行できる。
さらに、上記実施例の結果出力処理(図5)では、新たに危険と判断されたポートがある場合には(図5のS130:YES)、設定画面データに危険と判断されたポートの警告情報が付加される(図5のS140)。すなわち、セキュリティ上の問題がない状態(危険なポートがない状態)から、セキュリティ上の問題がある状態(危険なポートがある状態)状態になった場合には、複合機200Aは、設定画面W4に警告EMが表示されない状態から、設定画面W4に警告EMが表示される状態(図7)に、切り替わる。
ここで、上述した非推奨設定Aから、ネットワーク設定が変更されて、推奨設定に切り替えられたとする。この場合には、推奨設定に切り替えられる前の非推奨設定Aのときに実行される設定診断処理(図8)では、サーバ300から送信されるLPR接続要求およびRAW接続要求(図8のS22、S24B、S26、S28B)に対する応答であるLPR応答およびRAW応答が、複合機200Aからサーバ300に送信される(図8のS34B、S36B、S37B、S38B)。これに基づいてポート番号P_lprのポートとポート番号P_rawのポートにセキュリティ上の問題があることを示す結果情報(危険結果情報とも呼ぶ)を含む診断結果応答が複合機200Aによって受信される(図8のS42、S46)。推奨設定に切り替えられた後に、再度、設定診断処理(図3)が実行されると、サーバ300から送信されるLPR接続要求およびRAW接続要求(図3のS22、S26)に対する応答であるLPR応答およびRAW応答は、複合機200Aからサーバ300に送信されない。そして、LPR応答およびRAW応答が複合機200Aからサーバ300に送信されることなく、サーバ300から危険結果情報とは異なる結果情報、すなわち、ポート番号P_lprのポートとポート番号P_rawのポートにセキュリティ上の問題がないことを示す結果情報(安全結果情報とも呼ぶ)を含む診断結果応答が複合機200Aによって受信される(図3のS42、S46)。そして、複合機200Aによって安全結果情報が受信される場合に、図3のS48の結果出力処理では、新たに安全と判断されたポートがあるので、設定画面データから安全と判断されたポートの警告情報が削除される(図5のS150:YES、S160)。すなわち、複合機200Aは、設定画面W4に警告EMが表示される状態(図7)から、設定画面W4に警告EMが表示されない状態に切り替えられる。この結果、ポート番号P_lprのポートとポート番号P_rawのポートについてセキュリティ上の問題が解消される場合に、複合機200Aの状態を適切に切り替えることができる。
さらに、上記実施例では、警告の出力として、表示部240に、ポート番号P_lprのポートとポート番号P_rawのポートのセキュリティ上の問題に関する情報を含む警告画面W1(図6(A))を表示することが実行される。また、複合機200Aと接続される端末装置10Aに、警告EMを含む設定画面W4(図7)を示す設定画面データを送信することによって、当該セキュリティ上の問題に関する情報を通知することが実行される。この結果、複合機200Aのセキュリティ上の問題に関する情報を適切に利用者に提供できる。
さらに、本実施例のサーバ300は、インターネット80を介して、複合機200Aに、LPR接続要求を送信し(図8のS22、S24B)、LPR接続要求を送信することに応じて、インターネット80を介して、複合機200Aから、LPR応答を受信する(図8のS34B、S36B)。さらに、サーバ300は、インターネット80を介して、複合機200Aに、RAW接続要求を送信し(図8のS26、S28B)、RAW接続要求を送信することに応じて、インターネット80を介して、複合機200Aから、RAW応答を受信する(図8のS37B、S38B)。そして、LPR応答とRAW応答とを受信することに基づいて、ポート番号P_lprのポートとポート番号P_rawのポートのセキュリティ上の問題に関連する結果情報を生成する(図8のS41)。該結果情報が生成された後に、インターネット80を介して、複合機200Aに、該結果情報を含む診断結果応答を送信する(図8のS42、S46)。この結果、この結果、複合機200Aに、ポート番号P_lprのポートとポート番号P_rawのポートのセキュリティ上の問題に対して適切に対応させることができる。
A−4:他の非推奨設定と、該非推奨設定の場合の動作
次に、上述した非推奨設定Aとは異なる非推奨設定の例と、当該非推奨設定の場合におけるシステム1000の動作について説明する。
次に、上述した非推奨設定Aとは異なる非推奨設定の例と、当該非推奨設定の場合におけるシステム1000の動作について説明する。
A−4−1.非推奨設定B
非推奨設定Bでは、複合機200AにグローバルIPアドレスが割り当てられる。この場合には、例えば、中継装置30Aは、ハブと回線終端装置として動作し、ルータとして動作しない状態であり、中継装置30AにはIPアドレスは割り当てられていない。あるいは、中継装置30Aは、ハブとルータと回線終端装置として動作するが、上記のアドレス変換機能を実行しない状態であり、中継装置30Aには、複合機200Aとは別のグローバルIPアドレスが割り当てられている。ここで、非推奨設定において、複合機200Aに割り当てられたグローバルIPアドレスを「GIP_M」とする。
非推奨設定Bでは、複合機200AにグローバルIPアドレスが割り当てられる。この場合には、例えば、中継装置30Aは、ハブと回線終端装置として動作し、ルータとして動作しない状態であり、中継装置30AにはIPアドレスは割り当てられていない。あるいは、中継装置30Aは、ハブとルータと回線終端装置として動作するが、上記のアドレス変換機能を実行しない状態であり、中継装置30Aには、複合機200Aとは別のグローバルIPアドレスが割り当てられている。ここで、非推奨設定において、複合機200Aに割り当てられたグローバルIPアドレスを「GIP_M」とする。
非推奨設定Bでは、外部機器が、複合機200AのグローバルIPアドレス「GIP_M」を認識していれば、複合機200Aをサーバとし、外部機器をクライアントとして、外部機器がインターネット80を介して先に要求を送信することができる。このために、非推奨設定Bでは、第三者の外部機器は、推奨設定と比較して、インターネット80を介して、容易に、複合機200Aに要求などを送信することができる。その結果、第三者によって、インターネット80を介して、複合機200Aが提供する上述したサービス(例えば、LPR印刷サービスや情報送信サービス)が利用される可能性も高くなる。したがって、非推奨設定Bは、推奨設定よりもセキュリティのレベルが低く、セキュリティ上の問題がある設定である、と言うことができる。なお、この非推奨設定Bでは、複合機200Aにおいて、上述した診断対象の3個のポート、すなわち、ポート番号P_lpr、P_raw、P_snmpのポート(LPR印刷サービス、RAW印刷サービス、情報提供サービスのポート)は、オープンにされている。また、非推奨設定Bでは、中継装置30Aは、例えば、特定のポート番号を宛先ポート番号として含む要求が、インターネット80を介して受信された場合に、該要求を複合機200Aに送信することを制限する機能(いわゆるファイアーウォールとしての機能)を実行していない。
図10は、設定診断処理の第3のシーケンス図である。第3のシーケンス図は、上述した非推奨設定Bが行われている場合のシーケンス図である。図10において、図3と同じ処理については、図3と同じ符号が付されており、図3と異なる処理については符号の末尾に「C」が付されている。
図3のS14では、複合機200Aは、図4(A)の診断要求AをローカルエリアネットワークLN1上に送信するが、図10のS14Cでは、複合機200Aは、図4(B)の診断要求BをローカルエリアネットワークLN1上に送信する。これは、複合機200Aには、上述したように、グローバルIPアドレス「GIP_M」が割り当てられているので、診断要求のIPヘッダに含まれる送信元IPアドレスは、「GIP_M」となるためである。
図10のS18、S20、S21、S22、S26、S30は、図3の同符号の処理と同じである。中継装置30Aは、S22にてLPR接続要求Aを受信すると、該LPR接続要求Aの宛先IPアドレスが複合機200AのグローバルIPアドレス「GIP_M」であるので、S24Cにて、該LPR接続要求を、ローカルエリアネットワークLN1を介して複合機200Aに送信する。同様に、中継装置30Aは、S26にてRAW接続要求Aを受信すると、S28Cにて、該RAW接続要求を、ローカルエリアネットワークLN1を介して複合機200Aに送信する。中継装置30Aは、S30にてSNMP要求Aを受信すると、S31Cにて、該SNMP要求Aを、ローカルエリアネットワークLN1を介して複合機200Aに送信する。
複合機200Aは、S24CにてLPR接続要求Aを受信すると、LPR印刷サービスを提供すべく、S32Cにて、LPR接続要求に対応する応答であるLPR応答B(図9(C))をローカルエリアネットワークLN1上に送信する。S32Cで送信されるLPR応答BのIPヘッダに含まれる送信元IPアドレスは、複合機200AのIPアドレス、すなわち、グローバルIPアドレス「GIP_M」である。中継装置30Aは、S32CにてLPR応答Bを受信すると、S33Cにて、そのまま、該LPR応答Bをインターネット80上に送信する。LPR応答Bは、インターネット80を介して、サーバ300によって受信される。
同様にして、複合機200Aは、S28CにてRAW接続要求Aを受信すると、S34Cにて、RAW接続要求に対する応答であるRAW応答B(図9(F))をローカルエリアネットワークLN1上に送信する。中継装置30Aは、S34CにてRAW応答Bを受信すると、S35Cにて、そのまま、該RAW応答Bをインターネット80上に送信する。複合機200Aは、S31CにてSNMP要求Aを受信すると、S36Cにて、SNMP要求に対する応答であるSNMP応答B(図示省略)をローカルエリアネットワークLN1上に送信する。中継装置30Aは、S36CにてSNMP応答Bを受信すると、S37Cにて、そのまま、該SNMP応答Bをインターネット80上に送信する。RAW応答BとSNMP応答Bは、インターネット80を介して、サーバ300によって受信される。
診断対象の3個のポートに対応する3個の要求(LPR接続要求A、RAW接続要求A、SNMP要求A)に対応する3個の応答(LPR応答B、RAW応答B、SNMP応答B)を全て受信すると、S41にて、サーバ300は、結果情報を生成する。この場合には、サーバ300は、ポート番号P_lpr、P_raw、P_snmpの全てのポートは、危険なポートであると判断できる。したがって、S41では、図10の例では、3個の診断対象のポートの全てが、危険なポートであることを示す結果情報が生成される。
S42では、図3と同様に、サーバ300は、S18にて受信した診断要求Bに対応する応答として、結果情報を含む診断結果応答A(図4(F))を、インターネット80上に送信する。S46Cでは、中継装置30Aは、診断結果応答AをローカルエリアネットワークLN1上に送信する。診断結果応答Aは、ローカルエリアネットワークLN1を介して複合機200Aによって受信される。S48では、複合機200Aは、図5の結果出力処理を実行する。
図10の例では、S46Cにて複合機200Aにて受信される診断結果応答Aでは、3個の診断対象のポートの全てが危険なポートである。したがって、S48の結果出力処理では、3個の診断対象のポートの全てが危険なポートであることを示す警告画面(図示省略)が表示部240に表示される(図5のS110:YES、S120)。そして、結果出力処理の開始時に、設定画面データに、これらのポートに関する警告情報が付加されていない場合には、これらのポートに関する警告情報が付加される(図5のS130:YES、S140)。
A−4−2.非推奨設定C
非推奨設定Cでは、複合機200Aにおいて、上述した診断対象の3個のポート、すなわち、ポート番号P_lpr、P_raw、P_snmpのポートのうち、ポート番号P_lprのポートは、オープンにされており、P_raw、P_snmpのポートは、閉じられている。ポートが閉じられている場合、当該ポートのポート番号を宛先ポート番号とする要求が複合機200Aによって受信した場合には、複合機200Aは、当該要求を廃棄し、当該要求に対する応答を送信しない。非推奨設定Cにおいて、その他のネットワーク設定は、非推奨設定Bと同じである。
非推奨設定Cでは、複合機200Aにおいて、上述した診断対象の3個のポート、すなわち、ポート番号P_lpr、P_raw、P_snmpのポートのうち、ポート番号P_lprのポートは、オープンにされており、P_raw、P_snmpのポートは、閉じられている。ポートが閉じられている場合、当該ポートのポート番号を宛先ポート番号とする要求が複合機200Aによって受信した場合には、複合機200Aは、当該要求を廃棄し、当該要求に対する応答を送信しない。非推奨設定Cにおいて、その他のネットワーク設定は、非推奨設定Bと同じである。
図11は、設定診断処理の第4のシーケンス図である。第4のシーケンス図は、上述した非推奨設定Cが行われている場合のシーケンス図である。図11において、図10と同じ処理について、図10と同じ符号が付されている。
図11のS14C〜S31Cの処理は、図10の同符号の処理と同じである。すなわち、図11では、複合機200Aは、S24C、S28C、S31Cにて、3個の要求、すなわち、LPR接続要求A、RAW接続要求A、SNMP要求Aを受信する。複合機200Aは、オープンであるポート番号P_lprを宛先ポート番号として含むLPR接続要求Aに対する応答であるLPR応答BをローカルエリアネットワークLN1上に送信する。複合機200Aは、閉じられているP_raw、P_snmpのポートを宛先ポート番号として含むRAW接続要求A、SNMP要求Aに対する応答は送信しない。
具体的には、複合機200Aは、S24CにてLPR接続要求Aを受信すると、S32Cにて、LPR接続要求に対応する応答であるLPR応答B(図9(C))をローカルエリアネットワークLN1上に送信する。中継装置30Aは、S32CにてLPR応答Bを受信すると、S33Cにて、そのまま、該LPR応答Bをインターネット80上に送信する。LPR応答Bは、インターネット80を介して、サーバ300によって受信される。
待機期間WTが経過すると、図10と同様に、S40にて、サーバ300は、待機期間WTが経過したと判断する。この時点までに、LPR接続要求Aに対応する応答であるLPR応答Bは、サーバ300にて受信され、RAW接続要求A、SNMP要求Aに対応する応答は、サーバ300にて受信されない。したがって、この場合には、サーバ300は、ポート番号P_lpr、P_raw、P_snmpのポートのうち、ポート番号P_lprのポートは、危険なポートであると判断できる。そして、サーバ300は、ポート番号P_raw、P_snmpのポートは、安全なポートであると判断できる。
S41では、図11の例では、3個の診断対象のポートのうち、ポート番号P_lprのポートが危険なポートであり、ポート番号P_raw、P_snmpのポートが安全なポートであることを示す結果情報が生成される。
S42では、サーバ300は、S18にて受信した診断要求Bに対応する応答として、結果情報を含む診断結果応答A(図4(F))を、インターネット80上に送信する。S46Cでは、中継装置30Aは、診断結果応答AをローカルエリアネットワークLN1上に送信する。診断結果応答Aは、ローカルエリアネットワークLN1を介して複合機200Aによって受信される。S48では、複合機200Aは、図5の結果出力処理を実行する。
図11の例では、S46Cにて複合機200Aにて受信される診断結果応答Aでは、3個の診断対象のポートのうち、ポート番号P_lprのポートが危険なポートであり、ポート番号P_raw、P_snmpのポートが安全なポートである。したがって、S48の結果出力処理では、ポート番号P_lprのポートが危険なポートであることを示す警告画面(図示省略)が表示部240に表示される(図5のS110:YES、S120)。そして、結果出力処理の開始時に、設定画面データに、ポート番号P_lprのポートに関する警告情報が付加されていない場合には、ポート番号P_lprのポートに関する警告情報が付加される(図5のS130:YES、S140)。
この例から解るように、複合機200Aは、インターネット80を介して、サーバ300からポート番号P_snmpであるポートを示す宛先ポート番号を含むSNMP要求を受信する(図11のS31C)。ポート番号P_snmpであるポートは閉じられているので、複合機200Aは、SNMP要求を受信することに応じて、サーバ300に、応答を送信しない。この結果、サーバ300によって、ポート番号P_snmpであるポートは、安全なポートであると判断される。このために、複合機200Aは、ポート番号P_snmpであるポートのセキュリティ上の問題に対応するための対応処理を実行しない。すなわち、例えば、ポート番号P_snmpであるポートは、危険なポートであることを示す警告画面を表示することは行われない。このように、セキュリティ上の問題がないポート番号P_snmpであるポートについては、当該ポートについてセキュリティ上の問題がある場合に実行すべき処理が実行されない。したがって、複合機200Aのセキュリティ上の問題に対してより適切に対応できる。
A−4−2.非推奨設定D
非推奨設定Dでは、中継装置30Aは、ポート番号P_raw、P_snmpを宛先ポート番号として含む要求が、インターネット80を介して受信された場合に、該要求を複合機200Aに送信することを禁止するファイアーウォールとしての機能を実行している。中継装置30Aは、ポート番号P_lprを宛先ポート番号として含む要求が、インターネット80を介して受信された場合に、該要求を複合機200Aに送信することは許容する。非推奨設定Dにおいて、その他のネットワーク設定は、非推奨設定Bと同じである。
非推奨設定Dでは、中継装置30Aは、ポート番号P_raw、P_snmpを宛先ポート番号として含む要求が、インターネット80を介して受信された場合に、該要求を複合機200Aに送信することを禁止するファイアーウォールとしての機能を実行している。中継装置30Aは、ポート番号P_lprを宛先ポート番号として含む要求が、インターネット80を介して受信された場合に、該要求を複合機200Aに送信することは許容する。非推奨設定Dにおいて、その他のネットワーク設定は、非推奨設定Bと同じである。
図12は、設定診断処理の第5のシーケンス図である。第5のシーケンス図は、上述した非推奨設定Dが行われている場合のシーケンス図である。図12において、図10と同じ処理について、図10と同じ符号が付されている。
図12のS14C〜S22、S26、S30の処理は、図10の同符号の処理と同じである。すなわち、図12では、中継装置30Aは、S22、S26、S30にて、3個の要求、すなわち、LPR接続要求A、RAW接続要求A、SNMP要求Aを受信する。中継装置30Aは、S24Cにて、LPR接続要求Aを、ローカルエリアネットワークLN1を介して、複合機200Aに送信する。一方、中継装置30Aは、ファイアーウォールとしての機能によって、RAW接続要求A、SNMP要求Aを、複合機200Aに送信しない。したがって、複合機200Aは、LPR接続要求Aを受信するが、RAW接続要求A、SNMP要求Aを、受信しない。
複合機200Aは、複合機200Aは、S24CにてLPR接続要求Aを受信すると、S32Cにて、LPR接続要求に対応する応答であるLPR応答B(図9(C))をローカルエリアネットワークLN1上に送信する。中継装置30Aは、S32CにてLPR応答Bを受信すると、S33Cにて、そのまま、該LPR応答Bをインターネット80上に送信する。LPR応答Bは、インターネット80を介して、サーバ300によって受信される。
待機期間WTが経過すると、図10、図11と同様に、S40にて、サーバ300は、待機期間WTが経過したと判断する。この時点までに、LPR接続要求Aに対応する応答であるLPR応答Bは、サーバ300にて受信され、RAW接続要求A、SNMP要求Aに対応する応答は、サーバ300にて受信されない。したがって、この場合には、サーバ300は、図11の場合と同様に、ポート番号P_lpr、P_raw、P_snmpのポートのうち、ポート番号P_lprのポートは、危険なポートであると判断できる。そして、サーバ300は、ポート番号P_raw、P_snmpのポートは、安全なポートであると判断できる。
S41では、図12の例では、図11の例と同様に、3個の診断対象のポートのうち、ポート番号P_lprのポートが危険なポートであり、ポート番号P_raw、P_snmpのポートが安全なポートであることを示す結果情報が生成される。
S42では、サーバ300は、S18にて受信した診断要求Bに対応する応答として、結果情報を含む診断結果応答A(図4(F))を、インターネット80上に送信する。S46Cでは、中継装置30Aは、診断結果応答AをローカルエリアネットワークLN1上に送信する。診断結果応答Aは、ローカルエリアネットワークLN1を介して複合機200Aによって受信される。S48では、複合機200Aは、図5の結果出力処理を実行する。
図12の例では、S46Cにて複合機200Aにて受信される診断結果応答Aでは、3個の診断対象のポートのうち、ポート番号P_lprのポートが危険なポートであり、ポート番号P_raw、P_snmpのポートが安全なポートである。したがって、S48の結果出力処理では、ポート番号P_lprのポートが危険なポートであることを示す警告画面(図示省略)が表示部240に表示される(図5のS110:YES、S120)。そして、結果出力処理の開始時に、設定画面データに、ポート番号P_lprのポートに関する警告情報が付加されていない場合には、ポート番号P_lprのポートに関する警告情報が付加される(図5のS130:YES、S140)。
以上の説明から解るように、上記実施例のサーバ300は外部装置の例である。また、ポート番号P_lprのポートは、第1のポートの例であり、LPR接続要求A、Bは、第1の要求の例であり、LPR応答A、Bは、第1の応答の例である。また、ポート番号P_rawのポートは、第2のポートの例であり、RAW接続要求A、Bは、第2の要求の例であり、RAW応答A、Bは、第2の応答の例である。また、設定画面W4に警告EMが表示されない状態は、第1の状態の例であり、設定画面W4に警告EMが表示される状態は、第2の状態の例である。
B.変形例
(1)上記実施例では、複合機200Aが起動される場合に、複合機200Aから診断要求がサーバ300に対して送信される(例えば、図3、図8のS14、S18)。このようなタイミングと共に、あるいは、このようなタイミングに代えて、例えば、診断要求は、以下のタイミングで複合機200Aからサーバ300に対して送信されても良い。
A)複合機200Aの通信に関する設定値が変更された場合
B)複合機200Aがインターネット80に通信可能に接続された場合
C)ユーザの指示があった場合
(1)上記実施例では、複合機200Aが起動される場合に、複合機200Aから診断要求がサーバ300に対して送信される(例えば、図3、図8のS14、S18)。このようなタイミングと共に、あるいは、このようなタイミングに代えて、例えば、診断要求は、以下のタイミングで複合機200Aからサーバ300に対して送信されても良い。
A)複合機200Aの通信に関する設定値が変更された場合
B)複合機200Aがインターネット80に通信可能に接続された場合
C)ユーザの指示があった場合
A)の通信に関する設定値は、例えば、複合機200Aに割り当てられるIPアドレスの値、サブネットマスクの値、デフォルトゲートウェイ、ポートの開閉の設定が含まれ得る。これらの通信に関する設定値は、例えば、操作部250や端末装置10Aを介してユーザによって入力され得る。
B)の複合機200Aがインターネット80に通信可能に接続されたか否かの判断は、例えば、以下のように実行される。複合機200Aは、例えば、所定の時間間隔で、複合機200AのコンピュータプログラムPG1(いわゆるファームウェアを含む)の更新の有無を確認するために、所定のサーバ(図示省略)にアクセスするように設定されている。このときに、所定のサーバへのアクセスに成功した場合には、複合機200Aは、インターネット80に通信可能に接続されていると判断し、該アクセスに失敗した場合には、複合機200Aは、インターネット80に通信可能に接続されていないと判断する。
例えば、上記実施例では、複合機200Aが起動される場合に、複合機200Aから診断要求がサーバ300に対して送信されている。しかしながら、この時点で、複合機200AがローカルエリアネットワークLN1に物理的に接続されていない場合には、複合機200Aは、診断要求を送信できない。このような場合には、複合機200Aがインターネット80に通信可能に接続されたと判断できるまでの間、設定診断処理を実行できない。このために、この場合には、複合機200AのCPU210は、表示部240に、図6(C)の画面W3を表示しても良い。画面W3は、設定診断処理が行われていないことを示すメッセージMs3を含んでいる。こうすれば、ユーザに、設定診断処理が行われておらず、いずれかのポートについてセキュリティ上の問題がある可能性があることを知らせることができる。
(2)上記実施例では、複合機200Aからの診断要求をサーバ300が受信した場合に、サーバ300は、LPR接続要求、RAW接続要求、SNMP要求を、複合機200Aに送信している。これに限らず、サーバ300は、他のタイミングでLPR接続要求、RAW接続要求、SNMP要求を、複合機200Aに送信しても良い。例えば、サーバ300は、定期的に、例えば、数時間間隔で、LPR接続要求、RAW接続要求、SNMP要求を、複合機200Aに送信して、これらのポートにセキュリティ上の問題があるか否かを定期的に把握しても良い。この場合には、例えば、複合機200Aからの要求に応じて、あるいは、サーバ300から自発的に、ポートにセキュリティ上の問題があるか否かを示す結果情報を、複合機200Aに送信しても良い。
(3)上記実施例では、サーバ300は、診断要求の送信元IPアドレスを、宛先IPアドレスとして、LPR接続要求、RAW接続要求、SNMP要求を、複合機200Aに送信している。これに限らず、予め複合機200Aから通知されたIPアドレスを、宛先IPアドレスとして、LPR接続要求、RAW接続要求、SNMP要求が、複合機200Aに送信されても良い。
(4)上記実施例の結果出力処理(図5)では、危険なポートがある場合に、警告画面の表示部240への表示(図5のS120)と、設定画面データへの警告情報と付加(図5のS140)と、が実行される。これらに代えて、あるいは、これらと共に、例えば、複合機200Aは、危険なポートを閉じる処理を行っても良い。あるいは、複合機200Aは、危険なポートのポート番号を含むメールを、予め登録された管理者宛のメールアドレスに送信することによって、危険なポートに関する情報を通知しても良い。また、警告画面の表示部240への表示(図5のS120)と、設定画面データへの警告情報と付加(図5のS140)と、のうちの一方は、省略されても良い。また、図5のS125は、省略されても良い。すなわち、危険なポートがない場合には、表示部240に図6(B)の画面W2は表示されなくても良い。
また、警告の表示部240への表示の態様は、図6(A)の態様に限られない。例えば、複合機200Aは、図7の設定画面W4に含まれる警告EMを、危険なポートがあると判断されている間は、常時、表示部240に表示しても良い。
(5)上記実施例の結果出力処理(図5)において、S150〜S160の処理は、省略されても良い。この場合には、例えば、ユーザの指示に基づいて、設定画面W4から警告EMが削除されても良い。
(6)上記実施例では、LPR接続要求、RAW接続要求、LPR応答、RAW応答の送受信には、トランスポート層のプロトコルとしてTCPが用いられ、SNMP要求、SNMP応答の送受信には、トランスポート層のプロトコルとしてUDPが用いられている。これに代えて、例えば、複合機200Aの製造者の独自のプロトコルなどの他のプロトコルが用いられても良い。
(7)上記実施例では、診断結果応答に含まれる結果情報は、診断対象の3個のポートのそれぞれが、安全なポートであるか危険なポートであるかを示す情報である。これに代えて、結果情報は、例えば、図6(A)、(B)に示すような画面W1、W2に含めるべきメッセージMs1、Ms1、文字Tx1であっても良い。この場合には、複合機200Aは、図3、図8などのS48にて、該メッセージMs1、Ms1、文字Tx1を、表示部240に表示するだけでも良い。
(8)上記実施例では、診断要求の送受信(例えば、図3のS14、S18)および診断結果応答の送受信(例えば、図3のS42、S46)は、HTTPを用いて実行されている。これに代えて、診断要求の送受信および診断結果応答の送受信は、より安全性が高いHTTPS(Hyper Text Transfer Protocol Secure)を用いて実行されていても良い。
(9)図3等のS22、S26、S30の全部または一部に加えて、あるいは、全部または一部と共に、他の要求、例えば、上記設定管理サービスのためのHTTP接続要求がサーバ300から送信されても良い。なお、この場合のHTTP接続要求では、S14やS42での通信で用いられる複合機200Aのポート番号P_mfpとは異なるポート番号が、宛先ポート番号として用いられる。すなわち、複合機200Aをクライアントとして、診断要求や診断結果応答を送受信する際に用いられる複合機200Aのポート番号(P_mfp)と、複合機200AをサーバとしてHTTP接続要求がサーバ300から送信される際に用いられる複合機200Aのポート番号とは異なる。この結果、推奨設定では、中継装置30AがサーバからのHTTP接続要求を中継しないので、該HTTP接続要求は、複合機200Aに到達しない。このために、サーバ300は、複合機200Aの設定管理サービスのためのポートが安全であることを適切に確認できる。
(10)上記実施例では、中継装置30Aでは、アドレス変換機能としてNAPTが動作している。これに代えて、中継装置30Aでは、NAT(Network Address Translation)が動作していても良い。
(11)上記実施例では、通信装置として、複合機200A、200Bが採用されているが、単体のスキャナやプリンタ、あるいは、デジタルカメラなどの他の画像処理装置が、通信装置として、採用されても良い。また、画像処理装置に限らず、他の種類の通信装置、例えば、ストレージなどの記憶装置や、パーソナルコンピュータなどが採用されても良い。
(12)サーバ300は、ネットワークを介して互いに通信可能な複数個の装置(例えば、コンピュータ)を含む、いわゆるクラウドサーバであっても良い。
(13)上記各実施例において、ハードウェアによって実現されていた構成の一部をソフトウェアに置き換えるようにしてもよく、逆に、ソフトウェアによって実現されていた構成の一部あるいは全部をハードウェアに置き換えるようにしてもよい。
(14)本発明の機能の一部または全部がコンピュータプログラムで実現される場合には、そのプログラムは、コンピュータ読み取り可能な記録媒体(例えば、一時的ではない記録媒体)に格納された形で提供することができる。プログラムは、提供時と同一または異なる記録媒体(コンピュータ読み取り可能な記録媒体)に格納された状態で、使用され得る。「コンピュータ読み取り可能な記録媒体」は、メモリーカードやCD−ROMのような携帯型の記録媒体に限らず、各種ROM等のコンピュータ内の内部記憶装置や、ハードディスクドライブ等のコンピュータに接続されている外部記憶装置も含み得る。
以上、実施例、変形例に基づき本発明について説明してきたが、上記した発明の実施の形態は、本発明の理解を容易にするためのものであり、本発明を限定するものではない。本発明は、その趣旨並びに特許請求の範囲を逸脱することなく、変更、改良され得ると共に、本発明にはその等価物が含まれる。
10A、10B…端末装置、30A、30B…中継装置、80…インターネット、200A、200B…複合機、200B…複合機、210…CPU、220…揮発性記憶装置、230…不揮発性記憶装置、240…表示部、250…操作部、270…通信部、280…スキャナ部、290…プリンタ部、300…サーバ、310…CPU、320…揮発性記憶装置、330…不揮発性記憶装置、370…通信部、1000…システム、SI…設定情報データベース、DI…宛先情報データベース、FT…ポートフォワード設定テーブル、PG1…コンピュータプログラム、PG2…サーバプログラム、LN1…ローカルエリアネットワーク、LN2…ローカルエリアネットワーク
Claims (12)
- 通信装置であって、
インターネットを介して、外部装置から第1のポートを示す第1のポート情報を含む第1の要求を受信する第1の要求受信部と、
前記第1の要求を受信することに応じて、前記インターネットを介して、前記外部装置に、第1の応答を送信する第1の応答送信部と、
前記インターネットを介して、前記外部装置から第2のポートを示す第2のポート情報を含む第2の要求を受信する第2の要求受信部と、
前記第2の要求を受信することに応じて、前記インターネットを介して、前記外部装置に、第2の応答を送信する第2の応答送信部と、
前記第1の応答と前記第2の応答とが送信された後に、前記インターネットを介して、前記外部装置から第1の結果情報を受信する第1の結果受信部であって、前記第1の結果情報は、前記第1の応答と前記第2の応答とが前記外部装置にて前記通信装置から受信されること基づく情報である、前記第1の結果受信部と、
前記第1の結果情報が受信される場合に、前記第1の結果情報に基づいて、前記第1のポートと前記第2のポートとのセキュリティ上の問題に対応するための対応処理を実行する第1の実行部と、
を備える、通信装置。 - 請求項1に記載の通信装置であって、さらに、
前記インターネットを介して、前記外部装置に、セキュリティの診断要求を送信する診断要求送信部を備え、
前記第1の要求受信部は、前記診断要求の送信後に、前記第1の要求を受信し、
前記第2の要求受信部は、前記診断要求の送信後に、前記第2の要求を受信する、通信装置。 - 請求項2に記載の通信装置であって、
前記診断要求の送信と前記第1の結果情報の受信とは、前記通信装置をクライアントとし前記外部装置をサーバとして実行され、
前記第1の結果情報は、前記診断要求に対する応答であり、
前記第1の要求の受信と前記第1の応答の送信とは、前記通信装置をサーバとし前記外部装置をクライアントとして実行され、
前記第1の応答は、前記第1の要求に対する応答であり、
前記第2の要求の受信と前記第2の応答の送信とは、前記通信装置をサーバとし前記外部装置をクライアントとして実行され、
前記第2の応答は、前記第2の要求に対する応答である、通信装置。 - 請求項3に記載の通信装置であって、さらに、
前記インターネットを介して、前記外部装置との間に、TCP(Transmission Control Protocol)に準拠するコネクションを確立する確立部を備え、
前記診断要求の送信と前記第1の結果情報の受信とは、前記コネクションを用いて実行される通信装置。 - 請求項2〜4のいずれかに記載の通信装置であって、
前記外部装置から送信される前記第1の要求および第2の要求の宛先を示す宛先アドレスは、前記外部装置によって受信される前記診断要求の送信元を示す送信元アドレスと同じである、通信装置。 - 請求項2〜5のいずれかに記載の通信装置であって、
前記診断要求送信部は、前記通信装置が起動される場合と、前記通信装置の通信に関する設定値が変更される場合と、前記通信装置が前記インターネットに通信可能に接続される場合と、の少なくとも一つの場合に、前記診断要求を送信する、通信装置。 - 請求項1〜6のいずれかに記載の通信装置であって、
前記インターネットを介して、前記外部装置から第3のポートを示す第3のポート情報を含む第3の要求を受信する第3の要求受信部を備え、
を備え、
前記第1の実行部は、前記第3の要求を受信することに応じて、前記外部装置に、第3の応答が送信されない場合に、前記第3のポートのセキュリティ上の問題に対応するための対応処理を実行しない、通信装置。 - 請求項1〜7のいずれかに記載の通信装置であって、
前記対応処理は、前記通信装置の状態を、セキュリティ上の問題が無い場合に遷移すべき第1の状態から、セキュリティ上の問題がある場合に遷移すべき第2の状態に、切り替える処理であり、
前記通信装置は、さらに、
前記第1の結果情報の受信後に、前記外部装置から再度送信される前記第1の要求に対応する前記第1の応答と前記第2の要求に対応する前記第2の応答とが、前記通信装置から前記外部装置に送信されることなく、前記外部装置から前記第1の結果情報とは異なる第2の結果情報を受信する第2の結果受信部と、
前記第2の結果情報が受信される場合に、前記通信装置の状態を前記第2の状態から前記第1の状態に切り替える処理を実行する第2の実行部と、
を備える、通信装置。 - 請求項1〜8のいずれかに記載の通信装置であって、
前記第1の要求および第2の要求の受信と、前記第1の応答および前記第2の応答の送信と、に用いられるトランスポート層のプロトコルは、TCP(Transmission Control Protocol)とUDP(User Datagram Protocol)とのうちの少なくとも一方である、通信装置。 - 請求項1〜9のいずれかに記載の通信装置であって、
前記対応処理は、前記通信装置の表示部に、前記第1のポートと前記第2のポートとのセキュリティ上の問題に関する特定情報を表示することと、前記通信装置と接続される端末装置に、前記特定情報を通知することと、のうちの少なくとも一方を含む、通信装置。 - 通信装置と接続される外部装置のためのコンピュータプログラムであって、
インターネットを介して、通信装置に、第1のポートを示す第1のポート情報を含む第1の要求を送信する第1の要求送信機能と、
前記第1の要求を送信することに応じて、前記インターネットを介して、前記通信装置から、第1の応答を受信する第1の応答受信機能と、
前記インターネットを介して、前記通信装置に、第2のポートを示す第2のポート情報を含む第2の要求を送信する第2の要求送信機能と、
前記第2の要求を送信することに応じて、前記インターネットを介して、前記通信装置から、第2の応答を受信する第2の応答受信機能と、
前記第1の応答と前記第2の応答とを受信することに基づいて、前記第1のポートと前記第2のポートとのセキュリティ上の問題に関連する第1の結果情報を生成する生成機能と、
前記第1の結果情報が生成された後に、前記インターネットを介して、前記通信装置に、前記第1の結果情報を送信する結果送信機能と、
をコンピュータに実現させる、コンピュータプログラム。 - 外部装置であって、
インターネットを介して、通信装置に、第1のポートを示す第1のポート情報を含む第1の要求を送信する第1の要求送信部と、
前記第1の要求を送信することに応じて、前記インターネットを介して、前記通信装置から、第1の応答を受信する第1の応答受信部と、
前記インターネットを介して、前記通信装置に、第2のポートを示す第2のポート情報を含む第2の要求を送信する第2の要求送信部と、
前記第2の要求を送信することに応じて、前記インターネットを介して、前記通信装置から、第2の応答を受信する第2の応答受信部と、
前記第1の応答と前記第2の応答とを受信することに基づいて、前記第1のポートと前記第2のポートとのセキュリティ上の問題に関連する第1の結果情報を生成する生成部と、
前記前記第1の結果情報が生成された後に、前記インターネットを介して、前記通信装置に、前記第1の結果情報を送信する結果送信部と、
を備える、外部装置。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018010374A JP2019129427A (ja) | 2018-01-25 | 2018-01-25 | 通信装置、および、コンピュータプログラム |
US16/255,930 US10922033B2 (en) | 2018-01-25 | 2019-01-24 | Information processing apparatus transmitting requests and communication apparatus receiving the requests |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018010374A JP2019129427A (ja) | 2018-01-25 | 2018-01-25 | 通信装置、および、コンピュータプログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2019129427A true JP2019129427A (ja) | 2019-08-01 |
Family
ID=67299983
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018010374A Pending JP2019129427A (ja) | 2018-01-25 | 2018-01-25 | 通信装置、および、コンピュータプログラム |
Country Status (2)
Country | Link |
---|---|
US (1) | US10922033B2 (ja) |
JP (1) | JP2019129427A (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7180200B2 (ja) * | 2018-08-21 | 2022-11-30 | 日本電信電話株式会社 | 中継装置および中継方法 |
JP7309443B2 (ja) * | 2019-05-14 | 2023-07-18 | キヤノン株式会社 | 印刷装置、制御方法及びプログラム |
CN111355746B (zh) * | 2020-03-16 | 2022-08-05 | 深信服科技股份有限公司 | 一种通信方法、装置、设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003337797A (ja) * | 2002-05-17 | 2003-11-28 | Nec Corp | Webサイト安全度認証システム、方法及びプログラム |
JP2005025269A (ja) * | 2003-06-30 | 2005-01-27 | Toshiba Corp | ネットワーク中継装置及びセキュリティ検査方法 |
JP2014235735A (ja) * | 2013-05-31 | 2014-12-15 | 株式会社リコー | エンドポイント・デバイスを保護する装置及び方法 |
JP2016009373A (ja) * | 2014-06-25 | 2016-01-18 | 株式会社リコー | アクセス確認プログラム、アクセス確認装置、アクセス確認システム、及びアクセス確認方法 |
JP2017228231A (ja) * | 2016-06-24 | 2017-12-28 | キヤノン株式会社 | セキュリティ確認装置、システム、情報処理方法及びプログラム |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7543056B2 (en) * | 2002-01-15 | 2009-06-02 | Mcafee, Inc. | System and method for network vulnerability detection and reporting |
US10212183B2 (en) * | 2015-05-13 | 2019-02-19 | Canon Kabushiki Kaisha | Information processing apparatus that prevents unauthorized access thereto, method of controlling the information processing apparatus, and storage medium |
JP6671998B2 (ja) | 2015-05-13 | 2020-03-25 | キヤノン株式会社 | 情報処理装置、情報処理装置の制御方法、及びプログラム |
-
2018
- 2018-01-25 JP JP2018010374A patent/JP2019129427A/ja active Pending
-
2019
- 2019-01-24 US US16/255,930 patent/US10922033B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003337797A (ja) * | 2002-05-17 | 2003-11-28 | Nec Corp | Webサイト安全度認証システム、方法及びプログラム |
JP2005025269A (ja) * | 2003-06-30 | 2005-01-27 | Toshiba Corp | ネットワーク中継装置及びセキュリティ検査方法 |
JP2014235735A (ja) * | 2013-05-31 | 2014-12-15 | 株式会社リコー | エンドポイント・デバイスを保護する装置及び方法 |
JP2016009373A (ja) * | 2014-06-25 | 2016-01-18 | 株式会社リコー | アクセス確認プログラム、アクセス確認装置、アクセス確認システム、及びアクセス確認方法 |
JP2017228231A (ja) * | 2016-06-24 | 2017-12-28 | キヤノン株式会社 | セキュリティ確認装置、システム、情報処理方法及びプログラム |
Also Published As
Publication number | Publication date |
---|---|
US10922033B2 (en) | 2021-02-16 |
US20190227758A1 (en) | 2019-07-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6102264B2 (ja) | 処理実行システム、情報処理装置、プログラム | |
EP2587780B1 (en) | Image forming system including image forming apparatus supporting plurality of network interfaces and method of editing routing table thereof | |
US10922033B2 (en) | Information processing apparatus transmitting requests and communication apparatus receiving the requests | |
US10904069B2 (en) | Communication apparatus executing specific process related to security | |
JP6405831B2 (ja) | 情報処理装置、通信システム及びプログラム | |
JP2017192049A (ja) | 情報処理装置および情報処理システム | |
US8958098B2 (en) | Communication device allowing proxy reception of data directed thereto, and control method and storage medium therefor | |
US8922815B2 (en) | Communication apparatus, communication control apparatus, and communication system | |
JP6955188B2 (ja) | 通信装置、および、コンピュータプログラム | |
JP6870337B2 (ja) | 画像形成装置、アクセス支援方法、およびコンピュータプログラム | |
JP4732698B2 (ja) | ネットワーク装置 | |
JP2007129522A (ja) | ネットワーク対応画像形成装置およびネットワークシステム | |
JP6787082B2 (ja) | 通信装置、および、コンピュータプログラム | |
JP6052039B2 (ja) | 情報処理装置およびネットワーク接続プログラム | |
JP7110739B2 (ja) | 通信制御装置、通信制御プログラム及びネットワーク通信システム | |
JP7406705B2 (ja) | 情報処理装置および情報処理装置の制御方法 | |
JP4411957B2 (ja) | 印刷装置及び印刷制御プログラム | |
JP7112237B2 (ja) | デバイス、その制御方法、及びプログラム | |
JP7263083B2 (ja) | 画像処理装置、画像処理装置の制御方法及びプログラム | |
JP4780732B2 (ja) | ユーザ端末、リモートメンテナンス方法およびリモートメンテナンス制御プログラム | |
JP2008172726A (ja) | 画像通信システム | |
JP2004282650A (ja) | ファクシミリネットワーク装置 | |
JP2017011564A (ja) | 遠隔接続システムおよび遠隔接続プログラム | |
JP6528470B2 (ja) | 画像形成装置及びプログラム | |
JP2020088727A (ja) | 画像形成装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201222 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210929 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211013 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20220406 |