JP2020042689A - 中継装置、システム、および方法 - Google Patents

中継装置、システム、および方法 Download PDF

Info

Publication number
JP2020042689A
JP2020042689A JP2018171226A JP2018171226A JP2020042689A JP 2020042689 A JP2020042689 A JP 2020042689A JP 2018171226 A JP2018171226 A JP 2018171226A JP 2018171226 A JP2018171226 A JP 2018171226A JP 2020042689 A JP2020042689 A JP 2020042689A
Authority
JP
Japan
Prior art keywords
terminal
unit
authentication
external service
relay
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018171226A
Other languages
English (en)
Other versions
JP7172324B2 (ja
Inventor
真也 岩下
Shinya Iwashita
真也 岩下
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2018171226A priority Critical patent/JP7172324B2/ja
Publication of JP2020042689A publication Critical patent/JP2020042689A/ja
Application granted granted Critical
Publication of JP7172324B2 publication Critical patent/JP7172324B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Abstract

【課題】各事業体において外部サービスの利用を管理することを可能にする。【解決手段】発明の一実施の形態の中継装置は、端末の認証を行う端末認証部と、前記端末に対応する外部サービスの認証情報を設定した設定情報と、前記外部サービスの認証情報により前記外部サービスとの認証を行うサービス認証部と、前記外部サービスとの認証が成功した場合に前記外部サービスとの間で、前記外部サービスとの認証が成功した端末のファイルのアップロードまたはダウンロードを行う中継処理部と、前記中継処理部が前記外部サービスとの間で中継したファイルの中継内容を記録保持する記録保持部と、前記記録保持部の中継内容を出力する出力部と、を有することを特徴とする。【選択図】図3

Description

本発明は、中継装置、システム、および方法に関する。
従来、クラウドストレージサービスは、インターネットに接続する環境があればファイルをアップロードして管理することができる。このため、個人ユーザによるクラウドストレージサービスの利用が進んでいる。
端末でファイルを暗号化し、クラウドストレージサービスにアップロードしたファイルを、鍵を取得して復号化するという技術を開示した文献がある(特許文献1参照)。
しかし、業務上のファイルをクラウドストレージサービスなど外部サービスを使って管理するようにした場合、インターネットに端末を接続する環境があれば、社員など自身の端末と社外などの外部ネットワークとの間でファイルの受け渡しを簡単に行うことができてしまう。業務上のファイルは機密ファイルなど重要なファイルが多いため、企業や施設など各事業体で社員などによる外部サービスの利用を管理する仕組みがないというのは問題である。
本発明は、上記に鑑みてなされたものであって、各事業体において外部サービスの利用を管理することが可能な中継装置、システム、および方法を提供することを目的とする。
上述した課題を解決するために、発明の一実施の形態の中継装置は、端末の認証を行う端末認証部と、前記端末に対応する外部サービスの認証情報を設定した設定情報と、前記外部サービスの認証情報により前記外部サービスとの認証を行うサービス認証部と、前記外部サービスとの認証が成功した場合に前記外部サービスとの間で、前記外部サービスとの認証が成功した端末のファイルのアップロードまたはダウンロードを行う中継処理部と、前記中継処理部が前記外部サービスとの間で中継したファイルの中継内容を記録保持する記録保持部と、前記記録保持部の中継内容を出力する出力部と、を有することを特徴とする。
本発明によれば、各事業体において外部サービスの利用を管理することが可能になるという効果を奏する。
図1は、実施の形態に係る社内ネットワークと、クラウドストレージサービスを提供するインターネットなどの外部ネットワークとを含むネットワーク全体の構成の一例を示す図である。 図2は、中継装置のハードウェア構成の一例を示す図である。 図3は、各装置の機能ブロックの構成の一例を示す図である。 図4は、認証情報テーブルのデータ構成の一例を示す図である。 図5は、ログ情報の一例を示す図である。 図6は、社員端末が中継装置経由でクラウドストレージにファイルをアップロードする場合のシーケンスの一例を示す図である。 図7は、管理者端末が中継装置の中継内容を閲覧する場合のシーケンスの一例を示す図である。 図8は、変形例2に係る機能ブロックの構成の一例を示す図である。 図9は、変形例3に係る社内ネットワークと、クラウドストレージサービスを提供するインターネットなどの外部ネットワークとを含むネットワーク全体の構成の一例を示す図である。 図10は、変形例3に係る機能ブロックの構成の一例を示す図である。 図11は、変形例3に係る機能ブロックの構成の別の一例を示す図である。
以下、添付図面を参照しながら、本発明に係る中継装置、システム、および方法の実施の形態を詳細に説明する。一例として「企業」の社内ネットワークへの適用例を示すが、例えば「公共施設」、「教育施設」、「研究施設」、「医療施設」など各機関や、他の事業体のネットワークなどへも適用可能である。また、外部サービスの一例としてクラウドストレージサービスについて示すが、ファイルをやり取りするサービスであれば任意のサービスに適用可能である。
(実施の形態)
本実施の形態では、社内ネットワークに、クラウドストレージサービスを利用する中継装置を設ける。社員などの端末からは当該中継装置経由でクラウドストレージサービスを利用させ、社員などが端末とクラウドストレージとの間でアップロードやダウンロードを行うファイルの中継内容を当該中継装置で記録する。そして、当該中継装置において、管理者(管理者権限のある例えばシステム管理者やセキュリティ担当者など)からのアクセスを受け付け、当該中継装置に記録されている中継内容を管理者端末で閲覧できるようにする。このようにすることで、管理者が中継装置の中継内容から社員などによるクラウドストレージサービスの利用状況を把握することができるようになる。従って、企業などの事業体でのクラウドストレージサービスの利用を管理することができるようになる。
図1は、実施の形態に係る社内ネットワークと、クラウドストレージサービスを提供するインターネットなどの外部ネットワークとを含むネットワーク全体の構成の一例を示す図である。図1に示す社内ネットワーク1は、中継装置10と、社員端末20、管理者端末30と、ファイアウォール40とを含む。ファイアウォール40は、社内ネットワーク1と外部ネットワーク2とを接続するゲートウェイやルータなどにファイアウォールの機能を設けたものである。中継装置10は、社内ネットワーク1に設けられており、クラウドストレージサービスA1、A2との間で、各社員端末20のファイルのアップロードおよびダウンロードを行う。
社員端末20と管理者端末30は社内ネットワーク1に接続可能にされている。社員端末20は、社員のPC(Personal Computer)やスマートデバイス(スマートフォンやタブレット型のデバイスなど)であり、管理者端末30は管理者のPCやスマートデバイスである。社員端末20と管理者端末30は共にOS(Operating System)やWebブラウザなどの基本機能を備える。以下では、社員端末20や管理者端末30がPC(デスクトップPCやノート型PCなど)であるものとして説明するが、スマートデバイスの場合であっても、スマートデバイスが装備する無線LANインターフェースにより、社内に構築した無線LANのアクセスポイントから社内ネットワーク1に接続するなどして、同様に実施することができる。
社員端末20は、社内ネットワーク1の中継装置10にアクセスしてファイルのアップロードやダウンロードを行う。中継装置10との通信は、基本機能部によりHTTP(Hypertext Transfer Protocol)や、NFS(Network File System)/SMB(Server Message Block)などのプロトコルを介して行う。
管理者端末30は、社内ネットワーク1の中継装置10にアクセスして、中継装置10のログ情報から各社員端末20によるクラウドストレージサービスA1、A2の利用状況を把握する。中継装置10との通信は、基本機能部によりHTTP(Hypertext Transfer Protocol)や、NFS(Network File System)/SMB(Server Message Block)などのプロトコルを介して行う。
図1に示す外部ネットワーク2には、X社のクラウドストレージサービスA1と、Y社のクラウドストレージサービスA2とを示している。図1に実線矢印で示すように、各社員端末20はクラウドストレージサービスA1、A2を利用する場合、中継装置10にアクセスする。外部ネットワーク2の各クラウドストレージサービスA1、A2を提供するサーバへの接続や、各クラウドストレージサービスA1、A2との間のファイルのアップロードおよびダウンロードは、中継装置1がクラウドストレージサービスA1、A2の各仕様に応じてHTTPSなどで行う。つまり、各社員端末20は各社のクラウドストレージサービスA1、A2を中継装置10を介して利用する。なお、図1に示した2社のクラウドストレージサービスA1、A2は一例であり、中継装置10での利用が可能なクラウドストレージサービスの数を限定するものではない。クラウドストレージサービスの数は適宜設定してよい。
管理者端末30は、図1に破線矢印で示すように中継装置10にアクセスする。中継装置10は、各社員端末20とクラウドストレージとの間で中継した内容を記録している。従って、管理者端末30は中継装置10の中継内容を取得することで社員によるクラウドストレージサービスの利用状況を把握することができる。ここで「取得」は閲覧も含む概念である。
(ハードウェア構成)
図2は、中継装置10のハードウェア構成の一例を示す図である。図2に示す中継装置10は、CPU(Central Processing Unit)11、ROM(Read Only Memory)12、RAM(Random Access Memory)13、HDD(Hard Disk Drive)14、ネットワークI/F15などを有する。HDD14にはSSD(Solid State Drive)など他のストレージを適用してもよい。各部はアドレスバスやデータバス等のバスライン16を介して電気的に接続されている。この他、CPU11に入力指示を行うキーボード等の入力デバイスや、CPU11が出力する表示情報を表示するLCD(Liquid Crystal Display)等の表示デバイスなど、各種インターフェースや、メディアドライブなどを設けてもよい。
CPU11は、ROM12やHDD14に記憶されているプログラムを実行して、中継装置10全体を統括的に制御する中央演算処理装置である。ROM12は、固定プログラムを記憶する不揮発性メモリである。RAM13は、CPU11のワークエリアとして使用する揮発性メモリである。HDD14は、基本機能を提供するOSや、Webサーバなどの各種アプリケーションプログラムや、データ(テーブル情報など)が格納される。HDD14は、各社員端末20のアップロードやダウンロードされるファイルの保持にも利用される。ネットワークI/F15は、社内ネットワーク1に接続する例えばイーサネット(登録商標)などの通信インターフェースである。
なお、各社員端末20や、管理者端末30や、ファイアウォール40などにも、図2に示すコンピュータ構成のハードウェアにより構成することができる。社員端末20や管理者端末30については、HDDに基本機能であるOSやWebブラウザなどがインストールされている。また、キーボード等の入力デバイスや、LCD等の表示デバイスなども設けられる。各装置のハードウェア構成については、中継装置10のハードウェア構成の説明の繰り返しになるため、図示および説明を省略する。
(機能ブロックの構成)
図3は、各装置の機能ブロックの構成の一例を示す図である。中継装置10は、CPU11がROM12やHDD14のプログラムを実行することにより各種の機能を実現する。図3の中継装置10に、主な機能として、ローカル認証部101と、HTTPサーバ102と、クラウド認証部103と、中継部104と、ログ操作部105とを示している。社員端末20と管理者端末30には、それぞれ基本機能部201、301を示している。図3には、この他、中継装置10が通信するクラウドストレージサービスA1、A2も示している。
各機能部はモジュールの構成であってもよいが、OSなどを含め全体として各機能部が実現されていればよい。ここで、ローカル認証部101は、「端末認証部」に相当する。クラウド認証部103は、「サービス認証部」に相当する。中継部104と、HTTPサーバ102(またはOSのファイル共有システムでもよい)などが、「中継処理部」に相当する。HTTPサーバ102または(またはOSのファイル共有システムでもよい)などが「出力部」に相当する。ログ操作部105とログ情報(例えばログファイル)とが「記録保持部」に相当する。認証情報テーブルT1(図4参照)が設定情報に相当する。
ローカル認証部101は、社内ネットワーク1内でアクセスを受けた端末(社員端末20や管理者端末30)の認証を行う機能を有する。ローカル認証部101は、認証情報テーブルT1(図4参照)に設定されている認証情報により端末の認証を行う。
HTTPサーバ102は、通信先とHTTP通信を行う。端末がWebブラウザを用いて中継装置10に要求を行う場合、HTTPサーバ102が、その要求を受け付け、要求に応じた処理を行う。例えば社員端末20にクラウドストレージサービスA1、A2の利用画面を出力して、アップロードなどを受け付ける。また、管理者端末30からアクセスがあった場合はログ画面(閲覧画面)を生成して出力する。中継装置10はファイル共有システムにより社内ネットワーク1上に共有フォルダを設定している。端末が共有フォルダを使用する場合、中継部104では、HTTPサーバ102を介さず、NFS/SMBなどのプロトコルにより、社員端末20などからの要求を受け付ける。管理者端末30は管理者権限でアクセスできる共有フォルダに出力されたログファイルを取得して表示する。
クラウド認証部103は、クラウドストレージサービスA1、A2との認証を行う機能を有する。認証情報テーブルT1(図4参照)の設定に基づき中継装置10がクラウドストレージサービスA1、A2のサーバにアクセスし、クラウド認証部103がクラウドストレージサービスA1、A2に認証情報を送信して認証を行う。
中継部104は、クラウドストレージサービスA1、A2との間でファイルのアップロードおよびダウンロードの中継処理を行う機能を有する。例えば社員端末20との間でファイルを共有フォルダを介して受け渡しを行うとする。アップロードの場合、中継部104は社員端末20の認証後に、クラウドストレージにアップロードするファイルが共有フォルダ(当該社員の共有フォルダ)に格納されると、クラウド認証部103にクラウドストレージサービスA1、A2との認証を指示する。そして、クラウド認証部103により認証が成功すると、中継部104は、共有フォルダのファイルをクラウドストレージサービスA1、A2に送信する。ダウンロードの場合は、例えば社員端末20から中継装置10の共有フォルダ(当該社員の共有フォルダ)にアクセスがあり、社員端末20の認証が成功した場合に、クラウド認証部103によりクラウドストレージサービスA1、A2と認証を行う。そして、クラウド認証部103により認証が成功すると、中継部104は、クラウドストレージサービスA1、A2から当該社員端末20のファイルをダウンロードし、共有フォルダ(当該社員の共有フォルダ)に配置する。
共有フォルダにあるアップロードされるファイルや、ダウンロードされたファイルは、社員端末20やクラウドストレージに受け渡しが完了するまでHDD14で保持する。例えば、アップロードされるファイルはクラウドストレージにアップロードされるとHDD14から削除される。また、ダウンロードされたファイルは社員端末20に移動するとHDD14から削除される。
また、社員端末20がHTTP通信を行ってきた場合には、HTTPサーバ102が社員端末20にクラウドストレージサービスA1、A2の利用画面を生成して表示し、当該利用画面で受け付けた要求に基づき社員端末20との間でファイルを送受信する。中継部104は、アップロードするファイルを受け付けた場合、クラウドストレージサービスA1、A2と認証を行ってクラウドストレージサービスA1、A2に当該ファイルをアップロードする。ダウンロードは、社員端末20の認証が成功した場合に、クラウド認証部103によりクラウドストレージサービスA1、A2と認証を行ってクラウドストレージサービスA1、A2から、当該社員端末20のファイルをダウンロードし、当該社員端末20の共有フォルダに配置する。
ログ操作部105は、社員端末20とクラウドストレージサービスA1、A2との間で行うファイルのアップロードまたはダウンロードの中継内容を示す情報を記録する機能を有する。ログ操作部105はHDD14が保持するログファイル(管理者権限でアクセスできる共有フォルダに配置されているログファイルなど)に中継内容を示す情報を記録する。
(情報テーブルの構成)
各種情報テーブルは、HDD14に格納されている。ここでは主に、ローカル認証情報とクラウド認証情報とを対応付けた認証情報テーブルT1について説明する。この他に、例えば中継内容を格納するテーブルを設けてもよい。本実施の形態では、中継内容についてログファイルに書き出して記録する形態を図5に一例として示している。中継内容については、図5を用いて後に説明する。
図4は、認証情報テーブルT1のデータ構成の一例を示す図である。図4に示す認証情報テーブルT1は、ローカル認証情報T10とクラウド認証情報T11とを含むテーブルのデータ構成を示している。図4に示す例では、ローカル認証情報T10とクラウド認証情報T11との互いに対応する情報を同じ行に示している。ローカル認証情報T10とクラウド認証情報T11とはユーザ名により対応付けることができる。ローカル認証情報T10とクラウド認証情報T11とをユーザ名で対応付け、異なるテーブルで設けてもよい。なお、ここではユーザ名で対応付けているが、端末のユーザを一意に識別する識別情報であればよい。
ローカル認証情報T10の各項目には、社員端末20のユーザを認証する認証情報や管理者端末30の管理者を認証する認証情報が設定される。図4において認証情報は「ユーザ名」と「パスワード」である。「権限」には、ユーザであるか管理者であるかを示す情報が設定される。
クラウド認証情報T11の各項目には、ユーザが利用可能なクラウドストレージサービスA1、A2のアクセス先を示す情報や、クラウドストレージサービスA1、A2が認証に使う認証情報が設定される。図4においてアクセス先を示す情報は「利用サービス」に設定されている。アクセス先を示す情報には、クラウドストレージサービスA1、A2のサーバのURL(Uniform Resource Locator)やIPアドレスなどが対応付けられている。
(ログ)
図5は、ログ情報の一例を示す図である。図5に示すログ情報D1は、中継内容を示す項目として、「時刻」d1、「ユーザ名」d2、「利用サービス」d3、「ファイル名」d4、「操作内容」d5の項目を有する。ログ操作部105は、中継部104によりファイルの中継が行われる度に、各項目に対応する情報を取得してログ情報D1に1行分の情報を書き加える。
(全体システムのシーケンス)
図6は、社員端末20が中継装置10経由でクラウドストレージにファイルをアップロードする場合のシーケンスの一例を示す図である。なお、一例として社員端末20が中継装置10にNFS/SMBのプロトコルで通信する場合について説明する。
先ず、社員端末20が中継装置10にアクセスして、中継装置10にログインする(ステップS1)。例えば、社員端末20において、社員がエクスプローラ表示した社内ネットワークのフォルダツリーから中継装置10内の共有フォルダを指定し、社員端末20において中継装置10のログイン画面を表示する。社員は社員端末でログイン画面にログイン情報(ローカルのユーザ名とパスワード)を入力し、中継装置10に送信する。社員端末20に予めログイン情報を記憶させておくなどして社員端末20におけるログインの処理を自動化してもよい。
中継装置10では、社員端末20からログイン情報が送信されると、ローカル認証部101が、そのログイン情報に基づき、認証情報テーブルT1に設定されているローカル認証情報T10を対象に認証を行う。ユーザ名とパスワードとがローカル認証情報T10の設定と一致すると、ローカル認証部101は認証成功(OK)と判定し、社員端末20に共有フォルダへのアクセスを許可する。
続いて、社員端末20は、中継装置10にファイルをアップロードする(ステップS2)。例えば、社員端末20の表示画面に表示している共有フォルダに自身のフォルダを作成し(予め作成されたものでもよい)、そこへアップロードするファイルを格納する。この操作により、社員端末20から中継装置10の自身のフォルダへファイルをアップロードする。
中継装置10では、共有フォルダにファイルがアップロードされると、中継部104がクラウド認証部103にクラウドストレージサービスA1、A2との認証を指示し(ステップS3)、クラウド認証部103がクラウドストレージサービスA1、A2への認証を行う(ステップS4)。この際に、クラウド認証部103は、ローカル認証部101が認証したユーザ名から、認証情報テーブルT1のクラウド認証情報T11の設定を取得し、その設定に含まれる、ユーザが利用可能なクラウドストレージサービスA1、A2にアクセスする。
図4に示す認証情報テーブルT1の設定例では、ユーザが利用可能なクラウドストレージサービスA1、A2は、ユーザごとに1つであるが、複数であってもよい。クラウド認証部103は、クラウドストレージサービスA1、A2から認証情報が要求されると、認証情報テーブルT1から取得したクラウド認証情報T11の設定に含まれる認証情報を当該クラウドストレージサービスA1、A2に送信し、認証を完了させる。
クラウドストレージサービスA1、A2から認証OKが通知されると、中継部104は、共有フォルダにアップされた当該ユーザのファイルをクラウドストレージサービスA1、A2にアップロードする(ステップS5)。
アップロードが終わると、中継部104は、ログ操作部105に中継内容の書出しを指示し(ステップS6)、社員端末20にファイルのアップロードの完了を通知する(ステップS7)。ログ操作部105は、中継部104からの指示に基づき、時刻などを読み取って中継部104の中継内容を示す情報をログ情報に記録する。ログ情報は、管理者権限でアクセスできる共有フォルダに配置される。
なお、社員端末20がWebブラウザを使用する場合は、次の通りである。社員端末20に表示させたWebブラウザのアドレスバーに社員が中継装置10のURLやIPアドレスを入力する。社員端末20は、アドレスバーへ入力された情報に基づき中継装置10にアクセスし、中継装置10から送信されるログイン画面を表示する。その後、利用画面が表示されるので、利用画面により操作する。中継装置10側では、利用画面からの要求をHTTPサーバ102で受け付ける。中継装置10側での認証やアップロードのシーケンスについては、ファイルを共有フォルダを使用せずに中継装置10の所定のフォルダで行う。これ以外は、上述したものと略同様である。
図7は、管理者端末30が中継装置10の中継内容を閲覧する場合のシーケンスの一例を示す図である。先ず、管理者端末30が中継装置10にアクセスして、中継装置10にログインする(ステップS11)。例えば、管理者端末30において、管理者がエクスプローラなどで表示した社内ネットワークの中継装置10の中の管理者権限でアクセスすることが可能なフォルダを指定し、管理者端末30で中継装置10のログイン画面を表示する。管理者は管理者端末30でログイン画面にログイン情報(ユーザ名とパスワード)を入力し、中継装置10に送信する。
中継装置10では、管理者端末30からログイン情報が送信されると、ローカル認証部101が、そのログイン情報により、認証情報テーブルT1に設定されているローカル認証情報T10を対象に認証を行う。ユーザ名とパスワードとがローカル認証情報T10の設定と一致し、ローカル認証情報T10において管理者権限が対応付けられていると、ローカル認証部101は認証成功(OK)と判定し、管理者端末30にフォルダへのアクセス、例えばファイルの閲覧などを許可する。
続いて、管理者端末30がログファイルを開く操作を行うと(ステップS12)、指定されたログ情報を取得して中身を表示する(ステップS13)。
なお、管理者端末30がWebブラウザを使用する場合は、次の通りである。管理者端末30に表示させたWebブラウザのアドレスバーに管理者が中継装置10のURLやIPアドレスを入力する。管理者端末30は、アドレスバーへ入力された情報に基づき中継装置10にアクセスし、中継装置10から送信されるログイン画面を表示する。その後、利用画面が表示されるので、利用画面により操作する。中継装置10側では、利用画面からの要求をHTTPサーバ102で受け付ける。例えば、利用画面からログ情報の閲覧が要求された場合、HTTPサーバ102はログ表示画面(閲覧画面)を生成して管理者端末30に出力し、ログ情報を表示させる。
本実施の形態に示す、中継装置10によるクラウドストレージサービスA1、A2へのファイルのアップロードや、クラウドストレージサービスA1、A2へのファイルのダウンロードのシーケンスは一例である。中継装置10によるアップロードやダウンロードのタイミングは適宜設定してよい。例えば、中継装置10はクラウドストレージサービスA1、A2にアップされているファイルを定期的にダウンロードしたり、ダウンロードしたファイルをアップロードしたりしてもよい。また、認証が成功した場合の例を示したが、認証が失敗した場合には、認証を行った端末に対し、中継装置10から認証失敗を示すエラーを通知してもよい。また、社員端末20から中継装置10にファイルをアップロードした後に、中継装置10がクラウドストレージサービスとの認証に失敗した場合には、中継装置10のHDDから当該ファイルを適宜削除してもよい。
本実施の形態では、社員端末20や管理者端末30などが中継装置10にHTTPや、NFS/SMBなどのプロトコルを介して通信を行う例を示したが、これらに限定するものではない。これらのうちの一方だけを適用してもよいし、それら以外の利用可能な手段を適用してもよい。
以上より、本実施の形態では、社内ネットワークにクラウドストレージサービスを利用する中継装置を設けて、社員などの端末に当該中継装置経由でクラウドストレージサービスを利用させる。このため、社員などが端末とクラウドストレージとの間でアップロードやダウンロードを行うファイルの中継内容を当該中継装置から管理者端末で閲覧することで管理することができる。従って、企業などの各事業体でのクラウドストレージサービスの利用を管理することが可能である。
さらに、クラウドストレージサービスを活用して効率的に業務ができるという利便性と、管理者が社員のクラウドストレージサービスの利用を把握してセキュリティリスクを低減するという安全性を両立することができる。
また、従来は、高性能なWebフィルタリング機器を導入できない、社員のITリテラシー教育が十分でない等の理由で、社員のクラウドストレージサービスの利用状況をIT管理担当者が把握できないという問題もあった。また、「暗号化してアップロード」したり「ダウンロードして復号」したりするためのソフトウェアがすべての社員端末に必要になるなど、コストも高いものであった。しかし、本実施の形態に一例として示した構成であれば、Webブラウザや、共有フォルダを扱う基本的な機能を備えた端末であれば利用することが可能であり、端末に特別なソフトウェアをインストールしたりする必要がない。このため、中小規模の事業体であっても安価にクラウドストレージサービスの利用を管理するシステムを導入することが可能である。
(変形例1)
実施の形態において、中継装置10は、ログ操作部105が書き出した中継内容をログ情報D1として保持し、その中継内容を管理者端末30で閲覧可能にした。しかし、これに限らず、クラウドストレージサービスA1、A2にアップロードしたファイルそのもの、或いは、そのファイルを別形式で保存したファイルを当該中継装置10で保持し、管理者端末30から閲覧できるようにしてもよい。閲覧されるファイルは、少なくともファイルの中身が閲覧可能なものとする。例えばPDFなどのイメージファイルに変換するなどして保存してもよい。ファイルは、ログ情報D1と共に同じフォルダ内に格納したり、或いはファイル名をキーにデータベースから抽出して表示させたりする。この他にも、管理者端末30からの閲覧が可能であれば、適宜変形してよい。
例えば、データベースから抽出する構成であれば、中継装置10にファイルデータベースを設ける。当該ファイルデータベースには、クラウドストレージサービスA1、A2にアップロードしたファイル或いは、その内容を別形式で保存したファイルを、ファイル名と関連付けて蓄積する。そして、管理者端末30にファイル検索画面を表示させて、ログ情報D1(図5参照)に含まれる中継内容から、管理者が表示させたいファイルのファイル名を入力させて実行する。中継装置10は、ファイル検索画面で受け付けたファイル名を使ってファイルデータベースを検索し、抽出したファイルを管理者端末30に出力する。
このように変形例1では、中継装置10がアップロードしたファイルの中身の情報まで保持する。社内からのファイルのアップロードは情報漏洩のリスクが特に高い操作である。アップロードしたファイルの中身も保持しておけば、管理者はアップロードされたファイルについてはファイルそのものを閲覧することもできるので、より強固な管理を行うことが可能になる。
(変形例2)
また、社員端末20がアップロードするファイルを中継装置10で制限することができるように、中継装置10において、アップロードを制限するファイルの制限情報を設定できるように変形してもよい。制限情報は例えば禁止ワードなどである。
(変形例2の機能ブロックの構成)
図8は、変形例2に係る機能ブロックの構成の一例を示す図である。変形例2に係る中継装置10は、実施の形態に係る中継装置10(図3参照)において、さらに禁止ワード登録部106を有する。図8の中継装置10には禁止ワード登録部106に主に関係する機能部を示しており、その他は省略している。禁止ワード登録部106は、管理者端末30から禁止ワードの登録を受け付け、禁止ワードテーブルや禁止ワードファイルに登録する機能を有する。例えば、管理者端末30から禁止ワードが設定された禁止ワードファイルを受け付けて登録する。禁止ワードは、例えば「○○商社」などである。
中継部104は、アップロードを行うファイルがあると禁止ワード登録部106から禁止ワードを取得し、アップロードするファイルのファイル名と禁止ワードとを照合する。中継部104は、その照合により、禁止ワードは含まれていないという結果を得ると、実施の形態において示した機能と同様の手順で、クラウドストレージサービスA1、A2との間でファイルのアップロードの中継処理を行う。
一方、その照合により、禁止ワードが含まれているという結果を得ると、中継部104は、クラウドストレージサービスA1、A2との間でファイルのアップロードの中継処理を開始せずに、社員端末20に対してアップロード不可(アップロードが制限されたことを示す情報の一例)を通知する。例えば、アップロードするファイルのファイル名が「○○商社用見積書」であった場合、禁止ワードの「○○商社」が含まれているため、アップロード不可となる。
なお、中継部104は、アップロードを行うファイルのファイル名だけでなく、ファイルの中身のテキストについても禁止ワードとの照合を行ってもよい。
このように、変形例2では、クラウドストレージサービスA1、A2にファイルをアップロードする前に管理者端末30が登録した禁止ワードとの照合が可能になる。社内から外部へのファイルのアップロードは特にセキュリティリスクが高く、機密情報や個人情報など、漏洩した場合のリスクが特に高い。このようなファイルの禁止ワードを登録しておけば、それらのアップロードを防止することが可能になる。
(変形例3)
変形例3として、実施の形態に示す社内ネットワーク1の構成の変形例を示す。変形例3に係る構成は、社員端末20によるクラウドストレージサービスA1、A2の利用が中継装置10を介さずに行うことができるネットワークに対して適用可能なものである。
図9は、変形例3に係る社内ネットワークと、クラウドストレージサービスA1、A2を提供するインターネットなどの外部ネットワークとを含むネットワーク全体の構成の一例を示す図である。図9に示す社内ネットワーク3は、中継装置10を介さずにクラウドストレージサービスA1、A2を利用することができる経路を示しており、この経路に通信パケット収集機器50を設けている。なお、図9において、社員端末20が中継装置10を介してクラウドストレージサービスA1、A2を利用するネットワークについては図示を省略している。
社員端末20aは、社内からクラウドストレージサービスA1、A2を利用する場合において自身のWebブラウザで中継装置10ではなくクラウドストレージサービスA1、A2のURLを指定してクラウドストレージサービスA1、A2とHTTP通信を行う。そして、社員端末20aは、クラウドストレージサービスA1、A2との間で認証が成功すると中継装置10を介すことなくクラウドストレージサービスA1、A2との間でファイルのアップロードやダウンロードを行う。
通信パケット収集機器50は、社員端末20aのように社内からクラウドストレージサービスA1、A2を直接利用することができる社内ネットワーク3の通信経路に設けられ、社員端末20aの通信パケットを収集し、そのコピーを中継装置10に転送する。
(変形例3の機能ブロックの構成1)
図10は、変形例3に係る機能ブロックの構成の一例を示す図である。図10に示す中継装置10は、実施の形態や変形例1や変形例2に示す中継装置の構成に、さらに転送情報受信部107を有する。図10の中継装置10には、転送情報に関係する主な機能を示しており、その他は詳細な機能については図示を省略している。
転送情報受信部107は、通信パケット収集機器50の転送部501により転送された転送情報を受信する。図10に示す構成では、転送部501から転送される通信パケットのコピーを転送情報として受信する。転送情報受信部107に転送された通信パケットは、解析部108により、社員端末20aとクラウドストレージサービスA1、A2との通信パケットであるかを解析する。そして、ログ操作部105は、解析部108の解析により判明した、社員端末20aとクラウドストレージサービスA1、A2との通信パケットの利用ログをログ情報に書込む。
社員端末20aからクラウドストレージサービスA1、A2を利用する通信パケットであるかは次のようにして検出することができる。例えば、クラウドストレージサービスA1、A2が所有しているホスト名のDNS(Domain Name System)クエリなどから検出することができる。サービス利用を検知すると、時刻、利用サービス、送信元IPアドレスを利用ログとして記録する。なお、認証機能が管理しているユーザ名と紐づくのが理想的だが、クラウドストレージサービスA1、A2との通信においてユーザ名などほとんどの情報は暗号化されていることが多い。このため、暗号化されている可能性が極めて低い送信元IPアドレスを記録対象としている。DHCPサーバやルータなど他のネットワーク管理装置のログと照合することで、送信元IPアドレスから社員端末20aを絞り込むようにしてもよい。
管理者端末30は、実施の形態と同様にして中継装置10から閲覧情報を取得する。つまり、管理者端末30は中継装置10にアクセスし、管理者であることの認証を行い、認証が成功すると利用ログを取得して表示する。利用ログとしては、中継装置10による中継の内容を記録した利用ログと、解析部108の解析により得られた利用ログとを取得できる。
(変形例3の機能ブロックの構成2)
図11は、変形例3に係る機能ブロックの構成の別の一例を示す図である。図11には、通信パケット収集機器50側に解析部を設けた場合の構成を示している。なお、図11には、図10に示した構成のうち、主に関係のある箇所を示しており、その他は図示を省略している。
図11に示すように、通信パケット収集機器50は解析部502を有する。解析部502は、中継装置10に設けた場合の解析部108(図10参照)と同様に、収集された通信パケットから、社員端末20aとクラウドストレージサービスA1、A2との通信パケットであるかを解析する。図11に示す構成では、通信パケット収集機器50で解析を行うため、転送部501からは、収集した通信パケットのうちの、社員端末20aとクラウドストレージサービスA1、A2との通信パケットの利用ログを示す情報が転送されることになる。
中継装置10では、転送部501から転送情報として転送された利用ログを示す情報を転送情報受信部107が受信する。そして、ログ操作部105が、その利用ログをログ情報に書込むことになる。その他は、図10の構成で説明したものと略同様であるため、ここでの説明は省略する。
なお、変形例3に示す構成は、適宜、次のような変形も考えられる。インターネットとの経路上でパケットを全取得すると負荷が高くなるため、一定の割合でランダムに抽出するように変形してもよい。また、プロトコルやIPアドレスなどの条件で収集パケットをフィルタリングしてもよい。
以上のように変形例3の構成では、社員端末によるクラウドストレージサービスの利用が中継装置10を介さずに行われる場合があったとしても、その通信パケットを収集して解析することができるため、その通信を利用ログとして記録し、管理者が確認することができる。
なお、通信パケットを解析する機能を通信パケット収集機器50などのネットワーク機器側に設けた場合には、利用ログを示す情報のみを中継装置10側に転送すればよいため、ネットワーク機器と中継装置10の間の通信量を削減することができる。
10 中継装置
20 社員端末
30 管理者端末
101 ローカル認証部
102 HTTPサーバ
103 クラウド認証部
104 中継部
105 ログ操作部
201、301 基本機能部
A1、A2 クラウドストレージサービス
特開2016−72769号公報

Claims (10)

  1. 端末の認証を行う端末認証部と、
    前記端末に対応する外部サービスの認証情報を設定した設定情報と、
    前記外部サービスの認証情報により前記外部サービスとの認証を行うサービス認証部と、
    前記外部サービスとの認証が成功した場合に前記外部サービスとの間で、前記外部サービスとの認証が成功した端末のファイルのアップロードまたはダウンロードを行う中継処理部と、
    前記中継処理部が前記外部サービスとの間で中継したファイルの中継内容を記録保持する記録保持部と、
    前記記録保持部の中継内容を出力する出力部と、
    を有することを特徴とする中継装置。
  2. 前記外部サービスは、クラウドストレージサービスであり、
    前記端末認証部による認証が成功した前記端末がアップロードまたはダウンロードするファイルを保持するストレージを有する、
    ことを特徴とする請求項1に記載の中継装置。
  3. 前記出力部は、前記端末認証部で管理者の端末として認証された端末に対して前記中継内容を出力する、
    ことを特徴とする請求項1または2に記載の中継装置。
  4. 前記端末認証部が前記端末の認証に使用する認証情報と前記サービス認証部が外部サービスとの認証に使用する認証情報とは、前記端末のユーザを一意に識別する識別情報により互いに対応付けられている、
    ことを特徴とする請求項1乃至3のうちの何れか一項に記載の中継装置。
  5. 前記記録保持部は、アップロードしたファイルの中身が閲覧可能な情報を保持し、
    前記出力部は、前記記録保持部が保持するファイルの中身が閲覧可能な情報も出力する、
    ことを特徴とする請求項1に記載の中継装置。
  6. 外部サービスへのアップロードを制限するファイルの制限情報を登録する登録部を有し、
    前記中継処理部は、前記外部サービスに前記端末のファイルをアップロードする場合において、前記登録部に登録されている前記制限情報に該当するファイルがあればアップロードは行わず、アップロードが制限されたことを前記端末に通知する、
    ことを特徴とする請求項1に記載の中継装置。
  7. 前記端末が前記中継処理部を介さずに外部サービスと行う通信を、ネットワーク上の通信パケットに基づいて解析する解析部をさらに有し、
    前記記録保持部は、前記解析部の解析により得られる前記端末と前記外部サービスとの通信パケットについての情報も記録保持する、
    ことを特徴とする請求項1に記載の中継装置。
  8. 外部ネットワークにある外部サービスを中継装置を介して端末に利用させるシステムであって、
    前記端末は、
    前記中継装置にアクセスする基本機能部を有し、
    前記中継装置は、
    前記端末の認証を行う端末認証部と、
    前記端末に対応する前記外部サービスの認証情報を設定した設定情報と、
    前記外部サービスの認証情報により前記外部サービスとの認証を行うサービス認証部と、
    前記外部サービスとの認証が成功した場合に前記外部サービスとの間で、前記外部サービスとの認証が成功した端末のファイルのアップロードまたはダウンロードを行う中継処理部と、
    前記中継処理部が前記外部サービスとの間で中継したファイルの中継内容を記録保持する記録保持部と、
    前記記録保持部の中継内容を出力する出力部と、
    を有する、
    ことを特徴とするシステム。
  9. ネットワーク内の通信パケットを収集する収集機器を有し、
    前記収集機器は、
    前記端末が前記中継処理部を介さずに外部サービスと行う通信を、前記収集した通信パケットに基づいて解析する解析部と、
    前記解析部の解析により前記端末と前記外部サービスとの通信パケットについての情報を前記中継装置に転送する転送部と、
    を有し、
    前記中継装置の前記記録保持部は、前記収集機器から転送された前記情報も記録保持する、
    ことを特徴とする請求項8に記載のシステム。
  10. 端末の認証を行うステップと、
    前記外部サービスの認証情報により前記外部サービスとの認証を行うステップと、
    前記外部サービスとの認証が成功した場合に前記外部サービスとの間で、前記外部サービスとの認証が成功した端末のファイルのアップロードまたはダウンロードを行うステップと、
    前記外部サービスとの間で中継したファイルの中継内容を記録保持するステップと、
    前記中継内容を出力するステップと、
    を含む方法。
JP2018171226A 2018-09-13 2018-09-13 中継装置、システム、および方法 Active JP7172324B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018171226A JP7172324B2 (ja) 2018-09-13 2018-09-13 中継装置、システム、および方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018171226A JP7172324B2 (ja) 2018-09-13 2018-09-13 中継装置、システム、および方法

Publications (2)

Publication Number Publication Date
JP2020042689A true JP2020042689A (ja) 2020-03-19
JP7172324B2 JP7172324B2 (ja) 2022-11-16

Family

ID=69798395

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018171226A Active JP7172324B2 (ja) 2018-09-13 2018-09-13 中継装置、システム、および方法

Country Status (1)

Country Link
JP (1) JP7172324B2 (ja)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013033448A (ja) * 2011-06-30 2013-02-14 Canon Marketing Japan Inc 情報処理装置およびその制御方法、プログラム
JP2013092977A (ja) * 2011-10-27 2013-05-16 Kddi Corp 業務ログ抽出装置
JP2014010769A (ja) * 2012-07-02 2014-01-20 Fuji Xerox Co Ltd 中継装置
US20150128215A1 (en) * 2013-11-01 2015-05-07 Kt Corporation Integrated cloud storage service through home gateway
JP2017142626A (ja) * 2016-02-09 2017-08-17 アルプスシステムインテグレーション株式会社 情報管理システム及び情報管理プログラム

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013033448A (ja) * 2011-06-30 2013-02-14 Canon Marketing Japan Inc 情報処理装置およびその制御方法、プログラム
JP2013092977A (ja) * 2011-10-27 2013-05-16 Kddi Corp 業務ログ抽出装置
JP2014010769A (ja) * 2012-07-02 2014-01-20 Fuji Xerox Co Ltd 中継装置
CN110149314A (zh) * 2012-07-02 2019-08-20 富士施乐株式会社 中继设备和中继方法
US20150128215A1 (en) * 2013-11-01 2015-05-07 Kt Corporation Integrated cloud storage service through home gateway
JP2017142626A (ja) * 2016-02-09 2017-08-17 アルプスシステムインテグレーション株式会社 情報管理システム及び情報管理プログラム

Also Published As

Publication number Publication date
JP7172324B2 (ja) 2022-11-16

Similar Documents

Publication Publication Date Title
US10474829B2 (en) Virtual service provider zones
JP6622196B2 (ja) 仮想サービスプロバイダゾーン
US9288213B2 (en) System and service providing apparatus
CN109165500B (zh) 一种基于跨域技术的单点登录认证系统及方法
US20150350344A1 (en) Information processing system, method of processing information, information processing apparatus, and program
CN101841537A (zh) 一种基于协议代理实现对文件共享访问控制方法及系统
US10333936B2 (en) Method and system for secure cross-domain login
US9059987B1 (en) Methods and systems of using single sign-on for identification for a web server not integrated with an enterprise network
JP2014153805A (ja) 情報処理システム、情報処理装置、認証方法及びプログラム
JP2013235565A (ja) 情報処理装置、文書管理サーバ、プログラム、ファイルシステム
US20170235924A1 (en) System and Network for Controlling Content and Accessibility
US11451446B2 (en) Device management system, network device, device management method, and computer-readable medium
JP7172324B2 (ja) 中継装置、システム、および方法
Silowash et al. Detecting and preventing data exfiltration through encrypted web sessions via traffic inspection
JP2018055497A (ja) 情報処理システム、使用量情報生成方法、情報処理装置及びプログラム
JP4734941B2 (ja) カプセル化サーバ
CA3072637C (en) Systems and methods for secure storage and retrieval of trade data
Manson Remote Desktop Software as a forensic resource
JP6055546B2 (ja) 認証装置、認証方法、およびプログラム
Moreb Cloud Computing Forensics: Dropbox Case Study
Carpenter Microsoft Windows server administration essentials
JP6357093B2 (ja) ログ解析方法、ログ解析プログラム及びログ解析装置
US20100177781A1 (en) Contents providing system, server device and contents transmission device
JP2022147995A (ja) 情報処理システム、管理装置、情報処理装置、サーバ及びプログラム
Rose The forensic artifacts of Barracuda Network's cloud storage service, Copy

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210712

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220415

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220531

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220727

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20221004

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20221017

R151 Written notification of patent or utility model registration

Ref document number: 7172324

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151