JP2021060898A - 情報処理装置、サービス提供装置、情報処理プログラム及びサービス提供プログラム - Google Patents

情報処理装置、サービス提供装置、情報処理プログラム及びサービス提供プログラム Download PDF

Info

Publication number
JP2021060898A
JP2021060898A JP2019185792A JP2019185792A JP2021060898A JP 2021060898 A JP2021060898 A JP 2021060898A JP 2019185792 A JP2019185792 A JP 2019185792A JP 2019185792 A JP2019185792 A JP 2019185792A JP 2021060898 A JP2021060898 A JP 2021060898A
Authority
JP
Japan
Prior art keywords
service providing
providing device
protection policy
information
information protection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019185792A
Other languages
English (en)
Other versions
JP7358897B2 (ja
Inventor
健司 高尾
Kenji Takao
健司 高尾
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd filed Critical Fuji Xerox Co Ltd
Priority to JP2019185792A priority Critical patent/JP7358897B2/ja
Priority to US16/896,371 priority patent/US20210112099A1/en
Publication of JP2021060898A publication Critical patent/JP2021060898A/ja
Application granted granted Critical
Publication of JP7358897B2 publication Critical patent/JP7358897B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/37Managing security policies for mobile devices or for controlling mobile applications

Abstract

【課題】管理装置とサービス提供装置が通信を行えない場合にあって、そのサービス提供装置を利用者が情報処理装置を介して利用するときに、その情報処理装置が、サービス提供装置は管理装置が管理している情報保護方針に適合しているか否かの確認をさせ、サービス提供装置の利用可否の決定を行うことができるようにする情報処理装置を提供する。【解決手段】情報処理装置の取得手段は、管理装置からサービス提供装置に通信することができない場合であって、管理装置から情報保護方針を取得し、第1送信手段は、情報保護方針をサービス提供装置に送信し、受信手段は、サービス提供装置から情報保護方針に適合しているか否かを示す照合結果を受信し、第2送信手段は、照合結果を管理装置に送信し、決定手段は、管理装置からサービス提供装置は情報保護方針に適合している旨の情報を受信した場合は、サービス提供装置を利用することができるとの決定を行う。【選択図】図1

Description

本発明は、情報処理装置、サービス提供装置、情報処理プログラム及びサービス提供プログラムに関する。
特許文献1には、ネットワークを介して互いに接続される複数機種のクライアント機器のセキュリティを管理するシステムであって、いずれかのクライアント機器のセキュリティレベルを変更するための情報を受信する受信手段と、前記複数機種のクライアント機器のセキュリティ設定値が定義された定義テーブルに基づき、前記受信したセキュリティレベルを変更するための情報に応じて前記いずれかのクライアント機器のセキュリティ設定値を変更することに伴い、セキュリティ設定値を変更する特定のクライアント機器と前記変更するセキュリティ設定値とを決定する決定手段と、前記変更するセキュリティ設定値を前記決定した特定のクライアント機器に通知する通知手段と、前記複数機種のクライアント機器のセキュリティ設定値を設定テーブルに登録する登録手段と、を有し、前記決定手段は、前記いずれかのクライアント機器のセキュリティ設定値を変更することに伴い、前記定義テーブルで定義されたセキュリティ設定値と前記設定テーブルに登録されたセキュリティ設定値とが異なるクライアント機器を特定し、前記特定されたクライアント機器の変更するセキュリティ設定値を決定することが開示されている。
特許文献2には、メモリを有する端末と、前記端末とネットワークを介して接続する端末管理サーバを含む端末システムであって、前記端末は、予め設定したIDと認証情報とを格納したIDデバイスと接続し、前記IDデバイスから前記IDと前記認証情報を取得して前記端末管理サーバへ認証要求として送信する認証要求部と、前記メモリの状態を調査する真正性調査部と、前記真正性調査部が調査した結果を前記端末管理サーバへ送信する真正性調査結果送信部と、前記IDデバイス内で、公開鍵で暗号化された、サービス提供サーバのサービスを利用者が利用するためのサービス利用認証情報を、前記公開鍵に対応する秘密鍵で復号する機密情報処理部とを具備し、前記端末管理サーバは、前記端末の前記利用者を特定できる利用者環境を示す固有の情報を予め登録する端末情報登録部と、前記端末から受信した前記認証要求に含まれる前記IDと前記認証情報を、予め設定した利用者情報と比較して認証を行う認証部と、前記端末から受信した前記調査結果に基づいて、前記端末が改ざんを受けていないことを判定する真正性判定部と、前記認証が成功し、かつ、前記真正性判定部が改ざんを受けていないと判定したときに、前記利用者に固有の情報を、前記端末に送信する固有情報送信部と、前記公開鍵を管理する端末公開鍵管理部とを具備し、前記端末は、前記利用者が、該端末が正当に利用できる端末であることを確認するために、前記端末管理サーバから受信した前記利用者に固有の情報を表示し、前記サービス提供サーバによる検証のために、前記秘密鍵で復号された前記サービス利用認証情報を含むサービス要求と、前記真正性調査部が調査した結果を含む端末情報とを前記サービス提供サーバに送信するサービス処理部を有することが開示されている。
特許第6318698号公報 特許第5538132号公報
サービス提供装置を利用するにあたって、利用者が所属している組織が定めている情報保護方針をそのサービス提供装置が満たしているか否かを、その組織の管理装置が確認する必要がある。しかし、管理装置とサービス提供装置が通信を行えないリモートワーク環境の場合にあって、サービス提供装置に対して、管理装置が接続することは困難である。したがって、管理装置が情報保護方針に適合しているサービス提供装置であるか否かを確認し、サービス提供装置の利用可否の決定を行うことができない。
本発明は、管理装置とサービス提供装置が通信を行えない場合にあって、そのサービス提供装置を利用者が情報処理装置を介して利用するときに、その情報処理装置が、サービス提供装置は管理装置が管理している情報保護方針に適合しているか否かの確認をさせ、サービス提供装置の利用可否の決定を行うことができるようにする情報処理装置、サービス提供装置、情報処理プログラム及びサービス提供プログラムを提供することを目的としている。
かかる目的を達成するための本発明の要旨とするところは、次の各項の発明に存する。
請求項1の発明は、管理装置からサービス提供装置に通信することができない場合であって、該管理装置から情報保護方針を取得する取得手段と、前記情報保護方針を前記サービス提供装置に送信する第1送信手段と、前記サービス提供装置から前記情報保護方針に適合しているか否かを示す照合結果を受信する受信手段と、前記照合結果を前記管理装置に送信する第2送信手段と、前記管理装置から前記サービス提供装置は前記情報保護方針に適合している旨の情報を受信した場合は、該サービス提供装置を利用することができるとの決定を行う決定手段を有する情報処理装置である。
請求項2の発明は、管理装置から本サービス提供装置に通信することができない場合であって、該管理装置から情報処理装置を介して情報保護方針を取得する取得手段と、本サービス提供装置は前記情報保護方針に適合しているか否かを示す照合結果を、前記情報処理装置に送信する送信手段を有するサービス提供装置である。
請求項3の発明は、管理装置からサービス提供装置に通信することができない場合であって、該管理装置から情報保護方針を取得する第1取得手段と、前記サービス提供装置から該サービス提供装置の状態を取得する第2取得手段と、前記情報保護方針と前記サービス提供装置の状態を用いて、該サービス提供装置が前記情報保護方針に適合しているか否かを示す照合結果を、前記管理装置に送信する送信手段と、前記照合結果が前記サービス提供装置は前記情報保護方針に適合している旨の情報である場合は、該サービス提供装置を利用することができるとの決定を行う決定手段を有する情報処理装置である。
請求項4の発明は、前記情報保護方針を記憶する記憶手段をさらに有し、二回目以降の情報保護方針の取得にあっては、前記記憶手段に記憶された前記情報保護方針を取得する、請求項1又は3に記載の情報処理装置である。
請求項5の発明は、前記情報保護方針には有効期限が設けられており、前記記憶手段に記憶された前記情報保護方針の有効期限が過ぎている場合は、前記管理装置から情報保護方針を取得する、請求項4に記載の情報処理装置である。
請求項6の発明は、前記情報保護方針はサービス毎に定められており、前記決定手段は、利用者から要求されたサービスに対応する情報保護方針が満たされている場合に、前記サービス提供装置の前記サービスを利用することができるとの決定を行う、請求項1又は3に記載の情報処理装置である。
請求項7の発明は、前記照合結果によって前記サービスは前記情報保護方針に適合していないとされた場合は、前記サービスの代替となるサービスの情報保護方針を前記サービス提供装置に送信する、請求項6に記載の情報処理装置である。
請求項8の発明は、前記代替となるサービスの情報保護方針を前記サービス提供装置に送信した場合は、該代替となるサービスの情報保護方針に対する照合結果とともに該情報保護方針を前記管理装置に送信する、請求項7に記載の情報処理装置である。
請求項9の発明は、前記照合結果が前記サービス提供装置は前記情報保護方針に適合していないとの情報である場合は、適合していない項目の情報保護方針を代替する情報保護方針に入れ替えて、入れ替え後の情報保護方針を前記サービス提供装置に送信する、請求項1又は3に記載の情報処理装置である。
請求項10の発明は、入れ替え後の情報保護方針を前記サービス提供装置に送信した場合は、入れ替え後の情報保護方針に対する照合結果とともに該入れ替え後の情報保護方針を前記管理装置に送信する、請求項9に記載の情報処理装置である。
請求項11の発明は、コンピュータを、管理装置からサービス提供装置に通信することができない場合であって、該管理装置から情報保護方針を取得する取得手段と、前記情報保護方針を前記サービス提供装置に送信する第1送信手段と、前記サービス提供装置から前記情報保護方針に適合しているか否かを示す照合結果を受信する受信手段と、前記照合結果を前記管理装置に送信する第2送信手段と、前記管理装置から前記サービス提供装置は前記情報保護方針に適合している旨の情報を受信した場合は、該サービス提供装置を利用することができるとの決定を行う決定手段として機能させるための情報処理プログラムである。
請求項12の発明は、サービス提供装置内のコンピュータを、管理装置から前記サービス提供装置に通信することができない場合であって、該管理装置から情報処理装置を介して情報保護方針を取得する取得手段と、前記サービス提供装置は前記情報保護方針に適合しているか否かを示す照合結果を、前記情報処理装置に送信する送信手段として機能させるためのサービス提供プログラムである。
請求項13の発明は、コンピュータを、管理装置からサービス提供装置に通信することができない場合であって、該管理装置から情報保護方針を取得する第1取得手段と、前記サービス提供装置から該サービス提供装置の状態を取得する第2取得手段と、前記情報保護方針と前記サービス提供装置の状態を用いて、該サービス提供装置が前記情報保護方針に適合しているか否かを示す照合結果を、前記管理装置に送信する送信手段と、前記照合結果が前記サービス提供装置は前記情報保護方針に適合している旨の情報である場合は、該サービス提供装置を利用することができるとの決定を行う決定手段として機能させるための情報処理プログラムである。
請求項1の情報処理装置によれば、管理装置とサービス提供装置が通信を行えない場合にあって、そのサービス提供装置を利用者が情報処理装置を介して利用するときに、その情報処理装置が、サービス提供装置は管理装置が管理している情報保護方針に適合しているか否かの確認をさせ、サービス提供装置の利用可否の決定を行うことができるようにする。
請求項2のサービス提供装置によれば、管理装置とサービス提供装置が通信を行えない場合にあって、そのサービス提供装置を利用者が情報処理装置を介して利用するときに、その情報処理装置を介して、サービス提供装置は管理装置が管理している情報保護方針に適合しているか否かの確認をすることができるようにする。
請求項3の情報処理装置によれば、管理装置とサービス提供装置が通信を行えない場合にあって、そのサービス提供装置を利用者が情報処理装置を介して利用するときに、その情報処理装置が、サービス提供装置は管理装置が管理している情報保護方針に適合しているか否かの確認をし、サービス提供装置の利用可否の決定を行うことができるようにする。
請求項4の情報処理装置によれば、二回目以降の情報保護方針の取得にあっては、記憶手段に記憶された情報保護方針を用いることができる。
請求項5の情報処理装置によれば、記憶手段に記憶された情報保護方針の有効期限が過ぎている場合は、管理装置から情報保護方針を取得することができる。
請求項6の情報処理装置によれば、利用者から要求されたサービスに対応する情報保護方針が満たされている場合に、サービス提供装置のサービスを利用することができる。
請求項7の情報処理装置によれば、サービスが情報保護方針に適合していない場合は、そのサービスの代替となるサービスの情報保護方針をサービス提供装置に送信することができる。
請求項8の情報処理装置によれば、代替となるサービスの情報保護方針に対する照合結果とともにその情報保護方針を管理装置に送信することができる。
請求項9の情報処理装置によれば、サービス提供装置が情報保護方針に適合していない場合は、適合していない項目の情報保護方針を代替する情報保護方針に入れ替えて、入れ替え後の情報保護方針をサービス提供装置に送信することができる。
請求項10の情報処理装置によれば、入れ替え後の情報保護方針に対する照合結果とともに、その入れ替え後の情報保護方針を管理装置に送信することができる。
請求項11の情報処理プログラムによれば、管理装置とサービス提供装置が通信を行えない場合にあって、そのサービス提供装置を利用者が情報処理装置を介して利用するときに、その情報処理装置が、サービス提供装置は管理装置が管理している情報保護方針に適合しているか否かの確認をさせ、サービス提供装置の利用可否の決定を行うことができるようにする。
請求項12のサービス提供プログラムによれば、管理装置とサービス提供装置が通信を行えない場合にあって、そのサービス提供装置を利用者が情報処理装置を介して利用するときに、その情報処理装置を介して、サービス提供装置は管理装置が管理している情報保護方針に適合しているか否かの確認をすることができるようにする。
請求項13の情報処理プログラムによれば、管理装置とサービス提供装置が通信を行えない場合にあって、そのサービス提供装置を利用者が情報処理装置を介して利用するときに、その情報処理装置が、サービス提供装置は管理装置が管理している情報保護方針に適合しているか否かの確認をし、サービス提供装置の利用可否の決定を行うことができるようにする。
本実施の形態を利用したシステム構成例を示す説明図である。 本実施の形態である情報処理装置の構成例についての概念的なモジュール構成図である。 本実施の形態であるサービス提供装置の構成例についての概念的なモジュール構成図である。 サービス提供装置を画像処理装置として適用した場合の概念的なモジュール構成図である。 本実施の形態による処理例を示す説明図である。 本実施の形態の構成例についての具体的なモジュール構成図である。 本実施の形態による処理例を示すフローチャートである。 本実施の形態による処理例を示すフローチャートである。 本実施の形態による処理例を示す説明図である。 本実施の形態による処理例を示すフローチャートである。 セキュリティポリシテーブルのデータ構造例を示す説明図である。 本実施の形態による処理例を示すフローチャートである。 本実施の形態による処理例を示す説明図である。 本実施の形態の構成例についての具体的なモジュール構成図である。 代替機能テーブルのデータ構造例を示す説明図である。 本実施の形態による処理例を示すフローチャートである。 本実施の形態による処理例を示す説明図である。 本実施の形態を実現するコンピュータのハードウェア構成例を示すブロック図である。
以下、図面に基づき本発明を実現するにあたっての好適な一実施の形態の例を説明する。
図1は、本実施の形態を利用したシステム構成例を示す説明図を示している。
本実施の形態は、シェアオフィスやコワーキング等のリモートワーク環境に設置されたサービス提供装置120のセキュリティ設定の確認に関する技術に関するものである。以下、サービス提供装置120を例示する場合は、複合機(複合機とは、スキャナ、プリンタ、複写機、ファックス等のいずれか2つ以上の機能を有している画像処理装置)を用いて説明する。
従来、複合機は自社のネットワーク環境内で利用され、複合機の管理者はネットワーク全体の管理者と同一である事が多かった。そして、その管理者は、自社のセキュリティポリシにしたがい、複合機のセキュリティ設定を自ら行い、管理していた。そういった状況においては、複合機のセキュリティ設定が管理者以外の者によって変更される可能性は少なく、また複合機との通信環境は信頼できる環境であり、複合機から送られてくる複合機の状態に関する情報は、特別な確認を必要とせずに信頼できる情報として扱う事ができる。そういった環境において、複数のクライアント機器を自社のセキュリティポリシに沿って管理するための方法としては、特許文献1に記載されている技術がある。
しかし、リモートワーク環境における複合機においては、その管理者は複合機を利用する者と異なる会社に属する事が通常であり、また、その管理者が行う複合機のセキュリティ設定が、必ずしも利用者が所属している会社のセキュリティポリシに沿うとは限らない。よって、セキュリティポリシの管理者とクライアント機器の管理者が同一組織であり、同一のセキュリティポリシをもって運用する事を前提とする特許文献1に記載されている技術では不十分である。なお、組織とは、セキュリティポリシを設定できるまとまりであり、例えば、会社、部門等がある。組織毎にセキュリティポリシが設定されていればよく、その内容は、必ずしも組織毎に異なっている必要はなく、同じ内容であってもよい。
そのために、利用者が所属している会社は、事前にその複合機のセキュリティ設定を別な方法で確認する必要性が生じる。その手段として、直接複合機を操作することで設定を確認することも考えられるが、リモートワーク環境は自社とは物理的に離れた場所に複数箇所存在する事が多く、直接操作による確認は多くの手間を要するものとなる。
また、ネットワーク上でセキュリティ設定を確認することも考えられるが、利用者が所属している会社とリモートワーク環境は、ネットワーク上で分離されており、接続するためには信頼できないネットワークを経由する必要がある場合が多く考えられ、やり取りするデータを改竄され正しく確認を出来ないリスクが生じる。
端末が要求通りに正しく動作しているか(つまり真正性)をリモートで確認する手段としては、特許文献2に記載されている技術がある。
しかし、リモートワーク環境における複合機は、異なる会社に属する複数の者によって利用される事が前提とされ、各社間で異なるセキュリティポリシを持つために、各社が要求する複合機のセキュリティ設定も異なる事が想定される。特許文献2に記載されている技術では、画一的な判断のみで真正性を確認しており、複数のユーザーが異なるセキュリティ設定を要求している(つまり、真正性の条件が異なる)ような状況においての問題は解決できていない。
また、特許文献1、特許文献2に記載されている技術は端末管理サーバと端末との間を直接ネットワークでつなぐことが想定されている。しかし、リモートワーク環境においては、複合機に対する攻撃のリスクを軽減するために、リモートワーク環境外の機器から複合機に直接アクセスする事を禁止している環境も多い。その場合は、利用者が所属している会社でセキュリティポリシを管理する機器と、リモートワーク環境内の複合機をネットワーク接続する事自体が困難である。
本実施の形態におけるサービス提供装置120は、自身のセキュリティ設定が任意のセキュリティポリシにおける要求を満たしているかを確認し、その確認結果を信頼できないネットワーク環境においても改竄されないように処理をした上で送信する機能を有している。また、本実施の形態における情報処理装置100は、情報処理装置100のユーザーの所属先の管理装置180とサービス提供装置120が直接通信を行うことなく、情報処理装置100のユーザーの所属先のセキュリティポリシに沿う形でサービス提供装置120の設定がされているかを確認し、その結果に基づいてサービス提供装置120の利用可否の制御を行う機能を有している。
本実施の形態のシステム構成の一例として、シェアオフィス160内に情報処理装置100A1、情報処理装置100A2、情報処理装置100B、サービス提供装置120等が通信回線135を介して通信可能に接続されている。そして、情報処理装置100は、外部の管理装置180とファイヤーウォール装置140、通信回線190を介して通信可能である。通信回線190は、無線、有線、これらの組み合わせであってもよく、例えば、通信インフラとしてのインターネット等であってもよい。また、管理装置180による機能は、クラウドサービスとして実現してもよい。通信回線135は、無線、有線、これらの組み合わせであってもよく、例えば、通信インフラとしてのLAN(Local Area Networkの略)等であってもよい。
この例では、シェアオフィス160内には、異なる組織に属しているユーザーがおり、例えば、組織Aに属しているユーザーA1、ユーザーA2は、それぞれ情報処理装置100A1、情報処理装置100A2を利用し、組織Bに属しているユーザーBは情報処理装置100Bを利用している。シェアオフィス160内のユーザーは、情報処理装置100を用いてサービス提供装置120を利用することが可能である。例えば、サービス提供装置120がプリンタ機能を有している複合機である場合は、情報処理装置100内の文書をサービス提供装置120で印刷させることが可能である。
ただし、ユーザーA1がサービス提供装置120を利用するにあたり、そのサービス提供装置120は、ユーザーA1が属している組織Aの情報保護方針に沿っている必要がある。つまり、シェアオフィス160内にいるユーザーであっても、そのユーザーが属している組織が定めている情報保護方針に沿ったサービス提供装置120を利用すべきである。
ここで「情報保護方針」とは、組織における情報資産の情報セキュリティ対策の基準を示すものであり、一般的には「セキュリティポリシ」とも言われているものを含む。例えば、組織が定めている情報保護方針として、サービス提供装置120に対する、認証方式、通信方式、監査ログの要否等の条件がある。これらの条件を満たしているサービス提供装置120でないと、その組織に属している者は使用することができない。
一方、組織の情報保護方針は、各組織における管理装置180によって管理されている。図1の例では、組織A管理装置180Aは組織Aの情報保護方針を管理しており、組織B管理装置180Bは組織Bの情報保護方針を管理している。
また、ファイヤーウォール装置140があるので、管理装置180から直接的にサービス提供装置120にアクセスすることはできない。一方、情報処理装置100A1は、そのユーザーが属している組織Aの組織A管理装置180Aにはアクセスすることが可能である。そこで、情報処理装置100が、その情報処理装置100のユーザーが属している組織の管理装置180からセキュリティポリシを取得して、サービス提供装置120にそのセキュリティポリシに適合しているかを判断させて、サービス提供装置120を利用するか否かを決定するようにしている。
つまり、管理装置180とサービス提供装置120とがリモート環境にある場合においても、サービス提供装置120のセキュリティポリシに応じた真正性を確認することができるようにしている。
図2は、本実施の形態である情報処理装置100の構成例についての概念的なモジュール構成図である。
なお、モジュールとは、一般的に論理的に分離可能なソフトウェア(「ソフトウェア」の解釈として、コンピュータ・プログラムを含む)、ハードウェア等の部品を指す。したがって、本実施の形態におけるモジュールはコンピュータ・プログラムにおけるモジュールのことだけでなく、ハードウェア構成におけるモジュールも指す。それゆえ、本実施の形態は、それらのモジュールとして機能させるためのコンピュータ・プログラム(例えば、コンピュータにそれぞれの手順を実行させるためのプログラム、コンピュータをそれぞれの手段として機能させるためのプログラム、コンピュータにそれぞれの機能を実現させるためのプログラム)、システム及び方法の説明をも兼ねている。ただし、説明の都合上、「記憶する」、「記憶させる」、これらと同等の文言を用いるが、これらの文言は、実施の形態がコンピュータ・プログラムの場合は、記憶装置に記憶させる、又は記憶装置に記憶させるように制御するという意味である。また、モジュールは機能に一対一に対応していてもよいが、実装においては、1モジュールを1プログラムで構成してもよいし、複数モジュールを1プログラムで構成してもよく、逆に1モジュールを複数プログラムで構成してもよい。また、複数モジュールは1コンピュータによって実行されてもよいし、分散又は並列環境におけるコンピュータによって1モジュールが複数コンピュータで実行されてもよい。なお、1つのモジュールに他のモジュールが含まれていてもよい。また、以下、「接続」とは物理的な接続の他、論理的な接続(例えば、データの授受、指示、データ間の参照関係、ログイン等)の場合にも用いる。「予め定められた」とは、対象としている処理の前に定まっていることをいい、本実施の形態による処理が始まる前はもちろんのこと、本実施の形態による処理が始まった後であっても、対象としている処理の前であれば、そのときの状況・状態にしたがって、又はそれまでの状況・状態にしたがって定まることの意を含めて用いる。「予め定められた値」が複数ある場合は、それぞれ異なった値であってもよいし、2以上の値(「2以上の値」には、もちろんのことながら、全ての値も含む)が同じであってもよい。また、「Aである場合、Bをする」という記載は、「Aであるか否かを判断し、Aであると判断した場合はBをする」の意味で用いる。ただし、Aであるか否かの判断が不要である場合を除く。また、「A、B、C」等のように事物を列挙した場合は、断りがない限り例示列挙であり、その1つのみを選んでいる場合(例えば、Aのみ)を含む。
また、システム又は装置とは、複数のコンピュータ、ハードウェア、装置等がネットワーク(「ネットワーク」には、一対一対応の通信接続を含む)等の通信手段で接続されて構成されるほか、1つのコンピュータ、ハードウェア、装置等によって実現される場合も含まれる。「装置」と「システム」とは、互いに同義の用語として用いる。もちろんのことながら、「システム」には、人為的な取り決めである社会的な「仕組み」(つまり、社会システム)にすぎないものは含まない。
また、各モジュールによる処理毎に又はモジュール内で複数の処理を行う場合はその処理毎に、対象となる情報を記憶装置から読み込み、その処理を行った後に、処理結果を記憶装置に書き出すものである。したがって、処理前の記憶装置からの読み込み、処理後の記憶装置への書き出しについては、説明を省略する場合がある。なお、ここでの記憶装置としては、ハードディスクドライブ、RAM(Random Access Memoryの略)、外部記憶媒体、通信回線を介した記憶装置、CPU(Central Processing Unitの略)内のレジスタ等を含んでいてもよい。
情報処理装置100は、図2の例に示すように、通信モジュール210、制御モジュール220、表示モジュール230を有している。
通信モジュール210は、管理装置間通信モジュール212、サービス提供装置間通信モジュール214を有しており、制御モジュール220と接続されている。通信モジュール210は、管理装置180、サービス提供装置120等との通信を行う。
前述したように、サービス提供装置120と管理装置180は、例えばファイヤーウォール装置140の存在によって、管理装置180からサービス提供装置120にアクセスする通信を行うことができない。一方、情報処理装置100のユーザーは、管理装置180の組織に属しているので、情報処理装置100から管理装置180にアクセスすることは可能である。つまり、情報処理装置100がサービス提供装置120と管理装置180の双方と通信を行うことで、管理装置180がサービス提供装置120の情報保護方針を確認できるようになる。そして、確認した上で管理装置180が利用可否を決定することができる。
管理装置間通信モジュール212は、管理装置180から情報保護方針を取得する。
サービス提供装置間通信モジュール214は、管理装置180から取得した情報保護方針をサービス提供装置120に送信する。
そして、サービス提供装置間通信モジュール214は、サービス提供装置120から、そのサービス提供装置120が情報保護方針に適合しているか否かを示す照合結果を受信する。
次に、管理装置間通信モジュール212は、照合結果を管理装置180に送信する。
そして、その返信として、管理装置間通信モジュール212は、管理装置180から「サービス提供装置120は情報保護方針に適合している旨の情報」又は「サービス提供装置120は情報保護方針に適合していない旨の情報」を受信する。
制御モジュール220は、決定モジュール222、セキュリティポリシ記憶モジュール226、表示制御モジュール228を有しており、通信モジュール210と接続されている。
決定モジュール222は、照合モジュール224を有している。
決定モジュール222は、管理装置180から「サービス提供装置120は情報保護方針に適合している旨の情報」を受信した場合は、そのサービス提供装置120を利用することができるとの決定を行う。管理装置180から「サービス提供装置120は情報保護方針に適合していない旨の情報」を受信した場合は、そのサービス提供装置120を利用することができないとの決定を行う。
また、利用しようとしているサービス提供装置120は情報保護方針に適合しているか否かの判断を、サービス提供装置120ではなく、情報処理装置100内の照合モジュール224が行うようにしてもよい。その場合は、以下のような処理を行う。
サービス提供装置間通信モジュール214は、サービス提供装置120から「サービス提供装置120の状態」を取得する。
そして、照合モジュール224は、情報保護方針と「サービス提供装置120の状態」を用いて、そのサービス提供装置120が情報保護方針に適合しているか否かを示す照合を行う。
次に、管理装置間通信モジュール212は、情報保護方針と照合モジュール224による照合結果を、管理装置180に送信する。
そして、決定モジュール222は、照合モジュール224の照合結果が「サービス提供装置120は情報保護方針に適合している旨の情報」である場合は、そのサービス提供装置120を利用することができるとの決定を行う。照合モジュール224の照合結果が「サービス提供装置120は情報保護方針に適合していない旨の情報」である場合は、そのサービス提供装置120を利用することができないとの決定を行う。また、この場合にあっても、決定モジュール222は、管理装置180から「サービス提供装置120は情報保護方針に適合している旨の情報」を受信した場合は、そのサービス提供装置120を利用することができるとの決定を行うようにしてもよい。そして、管理装置180から「サービス提供装置120は情報保護方針に適合していない旨の情報」を受信した場合は、そのサービス提供装置120を利用することができないとの決定を行うようにしてもよい。
また、サービス提供装置120が行う照合処理を、管理装置180が行うようにしてもよい。具体的には、サービス提供装置120は、サービス提供装置120自体の状態を管理装置180に送信し、管理装置180が、情報保護方針と「サービス提供装置120の状態」を用いて、情報保護方針に適合しているか否かを示す照合を行う。その結果を、管理装置180がサービス提供装置120に返信する。
セキュリティポリシ記憶モジュール226は、管理装置間通信モジュール212によって取得された情報保護方針を記憶する。
管理装置間通信モジュール212が管理装置180から情報保護方針を取得する場合にあって、二回目以降の情報保護方針の取得にあっては、セキュリティポリシ記憶モジュール226に記憶された情報保護方針を取得するようにしてもよい。
また、情報保護方針には、有効期限が設けられていてもよい。
その場合、セキュリティポリシ記憶モジュール226に記憶された情報保護方針の有効期限が過ぎている場合、管理装置間通信モジュール212は、管理装置180から情報保護方針を取得するようにしてもよい。具体的には、管理装置180から最新の情報保護方針を取得することになる。
情報保護方針はサービス毎に定められていてもよい。
その場合、決定モジュール222は、ユーザーから要求されたサービスAに対応する情報保護方針が満たされている場合に、サービス提供装置120のサービスAを利用することができるとの決定を行う。
照合結果によって、サービスAは情報保護方針に適合していないとされた場合は、サービス提供装置間通信モジュール214は、そのサービスAの代替となるサービスのBの情報保護方針をサービス提供装置120に送信する。
例えば「スキャンしたデータを送信したい」という要求のもとファックス機能を選択したが、情報保護方針を満たせず使えなかった場合に、「スキャン トゥー メール(スキャンした画像をメール送信)」なら情報保護方針を満たすか否かを確認することが該当する。
ファックス機能の情報保護方針は不適合でも、「スキャン トゥー メール」の情報保護方針であれば適合するかもしれないため、情報処理装置100は「スキャン トゥー メール」の機能に基く情報保護方針を作成し、サービス提供装置120に送信する。
したがって、各サービス毎の情報保護方針を個別に照合することとなる。
また、サービス提供装置間通信モジュール214が代替となるサービスBの情報保護方針をサービス提供装置120に送信した場合、管理装置間通信モジュール212は、その代替となるサービスBの情報保護方針に対する照合結果とともに情報保護方針を管理装置180に送信するようにしてもよい。
また、制御モジュール220は、照合結果が「サービス提供装置120は情報保護方針に適合していない旨の情報」である場合は、適合していない項目の情報保護方針を代替する情報保護方針に入れ替えて、入れ替え後の情報保護方針をサービス提供装置120に送信するように、サービス提供装置間通信モジュール214を制御してもよい。
そして、制御モジュール220は、入れ替え後の情報保護方針をサービス提供装置120に送信した場合は、入れ替え後の情報保護方針に対する照合結果とともに、その入れ替え後の情報保護方針を管理装置180に送信するように、管理装置間通信モジュール212を制御してもよい。
この情報保護方針の入れ替え処理の詳細については、図14から図17の例を用いて後述する。
表示制御モジュール228は、表示モジュール230と接続されている。表示制御モジュール228は、表示モジュール230を制御して、決定モジュール222による決定処理の結果を表示させる。例えば、表示制御モジュール228は、サービス提供装置120はユーザーが属している組織の情報保護方針に沿っているので利用可能である旨の表示、又は、サービス提供装置120はユーザーが属している組織の情報保護方針に沿っていないので利用できない旨の表示を行わせる。
表示モジュール230は、制御モジュール220の表示制御モジュール228と接続されている。表示モジュール230は、液晶表示装置、有機ELディスプレイ等の表示装置であって、表示制御モジュール228の制御にしたがった表示を行う。また、タッチスクリーン等のように、ユーザーの操作を受け付けるようにしてもよい。例えば、サービス提供装置120を利用するための操作を受け付け、その操作があったことを契機として、管理装置180又セキュリティポリシ記憶モジュール226から情報保護方針を取得して、サービス提供装置120がその情報保護方針を満たしているか否かを判断する処理を起動するようにしてもよい。
図3は、本実施の形態であるサービス提供装置120の構成例についての概念的なモジュール構成図である。サービス提供装置120は、情報処理装置100又は情報処理装置100を利用しているユーザーに対して、サービスを提供する機能を有しており、図3の例に示すように、通信モジュール310、制御モジュール320、サービス提供モジュール340を有している。
通信モジュール310は、情報処理装置間通信モジュール312を有しており、制御モジュール320と接続されている。通信モジュール310は、情報処理装置100等との通信を行う。
情報処理装置間通信モジュール312は、管理装置180から情報処理装置100を介して情報保護方針を取得する。
そして、情報処理装置間通信モジュール312は、照合モジュール322による「サービス提供装置120は情報保護方針に適合しているか否かを示す照合結果」を、情報処理装置100に送信する。
制御モジュール320は、照合モジュール322、状態検知モジュール324を有しており、通信モジュール310と接続されている。
状態検知モジュール324は、サービス提供装置120の情報保護方針に関する状態を検知して、その検知結果を照合モジュール322に渡す。例えば、情報保護方針として、認証方式が規定されていた場合は、サービス提供装置120が備えている認証方式を検知する。
照合モジュール322は、状態検知モジュール324による検知結果を用いて、サービス提供装置120は情報保護方針に適合しているか否かの照合を行う。
サービス提供モジュール340は、情報処理装置100又はユーザーに対して、サービスの提供を行う。例えば、図4に示す画像処理モジュール440のように、複合機としてのサービスを提供してもよいし、この他に、文書を記憶するサービスを提供してもよいし、ウェブサイト等のサービスを提供してもよい。
図4は、サービス提供装置120を画像処理装置400として適用した場合の概念的なモジュール構成図である。
画像処理装置400は、通信モジュール310、制御モジュール320、画像処理モジュール440を有している。
画像処理モジュール440は、サービス提供モジュール340の一例である。画像処理モジュール440は、例えば、プリント機能、複写機能、スキャン機能、ファックス機能、文字認識機能、前述のスキャン トゥー メール機能等の処理を行う。
例えば、シェアオフィス160内に画像処理装置400が設置され、ユーザーから利用され得る。具体例として、情報処理装置100からの印刷指示にしたがって、文書を印刷する等のサービスを提供する。ただし、画像処理装置400は、そのユーザーが属している組織のセキュリティポリシに適合していないと利用されない。そこで、本実施の形態では、画像処理装置400のサービス利用の指示があった場合は、情報処理装置100は、ユーザーが属している組織のセキュリティポリシを管理している管理装置180からセキュリティポリシを取得して、画像処理装置400がそのセキュリティポリシに適合しているか否かを判断して、又は、そのセキュリティポリシに沿うように画像処理装置400の設定を変更して、画像処理装置400のサービスを利用できるようにする。また、セキュリティポリシに沿うように画像処理装置400の設定を変更した場合は、情報処理装置100に対してのサービス提供が終了したならば、サービス提供前の設定に戻すようにしてもよい。
図5は、本実施の形態による処理例を示す説明図である。
シェアオフィス160Xでは、情報処理装置100A1のユーザーが画像処理装置400を利用しようとしている。ここでのユーザーは、組織A580に属している。その際に、シェアオフィス160Xにある情報処理装置100A1、画像処理装置400、組織A580にある組織A管理装置180Aの間で行われる処理例を説明する。なお、この例は、画像処理装置400が、組織Aのセキュリティポリシに適合している場合の例を示すものである。
ステップS502では、情報処理装置100A1が、組織A580の組織A管理装置180Aからセキュリティポリシ584をダウンロードする。
ステップS504では、情報処理装置100A1が、ステップS502で取得したセキュリティポリシ584を画像処理装置400に送信する。
ステップS506では、画像処理装置400が、画像処理装置400の内部状態・設定をセキュリティポリシ584に沿って確認する。
ステップS508では、画像処理装置400が、ステップS506での確認結果に署名を行ってアテステーションデータ586を生成し、情報処理装置100A1に返信する。
ステップS510では、情報処理装置100A1が、アテステーションデータ586を組織A580の組織A管理装置180Aに転送する。
ステップS512では、組織A管理装置180Aが、アテステーションデータ586に対して検証処理588を行う。具体的には、アテステーションデータ586の画像処理装置400の署名を確認し、画像処理装置400の内部状態・設定がセキュリティポリシ584に適合しているか否かを検証する。
ステップS514では、組織A管理装置180Aが、検証結果(OK)590を情報処理装置100A1に送信する。
ステップS516では、情報処理装置100A1は、検証結果(OK)590を受信し、画像処理装置400を使用可能となる。例えば、情報処理装置100A1は、文書592を画像処理装置400で印刷することができる。
なお、前述の組織A管理装置180Aが行う処理は、組織A管理装置180A単独で行ってもよいし、組織A管理者582による操作、判断等が加わってもよい。
図6は、本実施の形態の構成例についての具体的なモジュール構成図である。
図6の例では、管理装置180と情報処理装置100は同一の会社(組織の一例)に属し、サービス提供装置120は別の会社に属する事を想定している。もちろんのことながら、情報処理装置100、サービス提供装置120は、シェアオフィス160内にあり、ファイヤーウォール装置140によって保護されている。そして、ファイヤーウォール装置140を介して情報処理装置100は、管理装置180にアクセスすることになる。
管理装置180は、ネットワーク通信ブロック650、セキュリティポリシ保持ブロック655、署名検証ブロック660、照合結果確認ブロック665を有している。
セキュリティポリシ保持ブロック655は、ネットワーク通信ブロック650と接続されている。セキュリティポリシ保持ブロック655は、セキュリティポリシ(Security Policy)を保持する。セキュリティポリシは、図9の例で後述するセキュリティポリシテーブル910に示すように、各設定項目に対して、一つ若しくは複数の設定値を要求するか、又は、どのような値でもよしとすることを示す情報(“N/A”:Not Applicable、Not Available、つまり、マスクされた項目)を保持する。
署名検証ブロック660は、ネットワーク通信ブロック650、照合結果確認ブロック665と接続されている。署名検証ブロック660は、サービス提供装置120において秘密鍵を使って生成され照合結果に付加された電子署名に対して、秘密鍵の対となる公開鍵を用いて検証し、その真正性を確認する。
照合結果確認ブロック665は、ネットワーク通信ブロック650、署名検証ブロック660と接続されている。照合結果確認ブロック665は、照合結果を元に、サービス提供装置120の利用可否を判断する。
ネットワーク通信ブロック650は、セキュリティポリシ保持ブロック655、署名検証ブロック660、照合結果確認ブロック665と接続されており、また、ファイヤーウォール装置140、通信回線190を介して情報処理装置100のネットワーク通信ブロック640と接続されている。ネットワーク通信ブロック650は、情報処理装置100と通信回線190経由で通信を行う。
情報処理装置100は、ローカル通信ブロック630、ドライバ635、ネットワーク通信ブロック640を有している。
ネットワーク通信ブロック640は、ドライバ635と接続されており、また、通信回線190、ファイヤーウォール装置140を介して管理装置180のネットワーク通信ブロック650と接続されている。ネットワーク通信ブロック640は、管理装置180と通信回線190経由で通信を行う。
ドライバ635は、ローカル通信ブロック630、ネットワーク通信ブロック640と接続されている。ドライバ635は、ユーザーにサービス提供装置120を使うための機能を提供する。管理装置180から取得したサービス提供装置120の利用可否にしたがい、ユーザーへの機能提供を制御する。
ローカル通信ブロック630は、ドライバ635と接続されており、また、通信回線135を介してサービス提供装置120のローカル通信ブロック615と接続されている。ローカル通信ブロック630は、サービス提供装置120との通信を行う。
サービス提供装置120は、署名鍵保持ブロック605、設定保持ブロック610、ローカル通信ブロック615、アテステーションブロック620を有している。
ローカル通信ブロック615は、アテステーションブロック620と接続されており、また、通信回線135を介して情報処理装置100のローカル通信ブロック630と接続されている。ローカル通信ブロック615は、情報処理装置100との通信を行う。具体的には、ローカル通信ブロック615は、アテステーションブロック620にセキュリティポリシ676を渡し、アテステーションブロック620からアテステーションデータ678を受け取る。
設定保持ブロック610は、アテステーションブロック620と接続されている。設定保持ブロック610は、サービス提供装置120自身の設定値を保持する。そして、設定保持ブロック610は、アテステーションブロック620からの読み取りに応じて、設定値674を渡す。
署名鍵保持ブロック605は、アテステーションブロック620と接続されている。署名鍵保持ブロック605は、照合結果を署名するための署名鍵(具体的には、秘密鍵)を保持する。そして、署名鍵保持ブロック605は、アテステーションブロック620に署名鍵672を渡す。
アテステーションブロック620は、マスクロジック622、照合ロジック624、署名ロジック626を有しており、署名鍵保持ブロック605、設定保持ブロック610、ローカル通信ブロック615と接続されている。アテステーションブロック620は、ローカル通信ブロック615から受領したセキュリティポリシ676と、設定保持ブロック610から読み取ったサービス提供装置120自身の設定値674とを照合する。そして、その照合結果に、署名鍵保持ブロック605内の署名鍵672で署名することで、セキュリティポリシへの準拠(いわゆる真正性)を証明する(いわゆるアテステーション)。具体的には、アテステーションブロック620は、署名鍵保持ブロック605から署名鍵672、設定保持ブロック610から設定値674、ローカル通信ブロック615からセキュリティポリシ676を受け取り、ローカル通信ブロック615にアテステーションデータ678を渡す。
マスクロジック622は、照合ロジック624と接続されている。マスクロジック622は、セキュリティポリシ676に応じて照合すべき設定値674を選択する。
照合ロジック624は、マスクロジック622、署名ロジック626と接続されている。照合ロジック624は、マスクされていない項目の設定値674とセキュリティポリシ676での要求値を比較する。
署名ロジック626は、照合ロジック624と接続されている。署名ロジック626は、照合結果に署名鍵672を用いて電子書名を付与する。
図7は、本実施の形態による処理例を示すフローチャートである。図6の例で示した構成による処理例を示すものである。
ステップS702では、情報処理装置100は、管理装置180に対して、セキュリティポリシを要求する。
ステップS704では、管理装置180は、情報処理装置100に対して、セキュリティポリシを送信する。
ステップS706では、情報処理装置100は、サービス提供装置120に対して、セキュリティポリシを送信する。
ステップS702〜ステップS706では、例えば、情報処理装置100は、ユーザーからのサービス提供要求を受けて、管理装置180からセキュリティポリシを取得し、サービス提供装置120に送信する。
ステップS708では、サービス提供装置120は、セキュリティポリシ内でマスクされていない項目に対して設定値と照合する。詳細については、図9の例を用いて後述する。
ステップS710では、サービス提供装置120は、照合結果に署名して、アテステーションデータを生成する。
ステップS712では、サービス提供装置120は、情報処理装置100に対して、アテステーションデータを送信する。
ステップS714では、情報処理装置100は、管理装置180に対して、アテステーションデータを送信する。
ステップS716では、管理装置180は、署名検証照合結果を確認する。
ステップS718では、管理装置180は、情報処理装置100に対して、検証・確認結果を送信する。
ステップS720では、情報処理装置100は、結果から正常である事を確認する。
ステップS722では、情報処理装置100は、サービス提供装置120に対して、サービス提供要求を送信する。
ステップS724では、サービス提供装置120は、サービスを提供する。
ステップS712〜ステップS724では、例えば、ステップS708、ステップS710の処理で生成されたアテステーションデータは、管理装置180で署名の確認と照合結果の確認が行われ、“サービス利用可”又は“サービス利用不可”の判断がなされ、情報処理装置100に送付される。そして、“サービス利用可”である場合、情報処理装置100は、上記のデータに基づいて、ユーザーから受けたサービスの利用要求をサービス提供装置120へ送信する。“サービス利用不可”である場合、情報処理装置100は、上記のデータに基づいて、ユーザーに対してサービス利用は不可であることの通知を行う。
図8は、本実施の形態による処理例を示すフローチャートである。図7の例に示した処理例を、情報処理装置100の観点で、フローチャートに表したものである。
ステップS802では、利用者からサービス提供要求を受ける。
ステップS804では、管理装置180に最新セキュリティポリシの送信をリクエストする。
ステップS806では、管理装置180から最新セキュリティポリシを受信する。
ステップS808では、セキュリティポリシをサービス提供装置120に送信する。
ステップS810では、アテステーションデータをサービス提供装置120から受信する。
ステップS812では、アテステーションデータを管理装置180に送信する。
ステップS814では、署名検証結果と確認結果を、管理装置180から受信する。
ステップS816では、結果がPass(合格)であるか否かを判断し、Passの場合はステップS820へ進み、それ以外の場合はステップS818へ進む。
ステップS818では、サービス提供拒否を利用者に通知する。
ステップS820では、サービス提供要求をサービス提供装置120に送信する。
図9は、本実施の形態による処理例を示す説明図である。図7の例で示したフローチャートのステップS708の詳細な処理例を示すものである。サービス提供装置120における、アテステーションブロック620のアテステーション処理(マスクロジック622によるマスク処理、照合ロジック624による照合処理、署名ロジック626による署名処理)の実装例を示している。
まず、図9(a)、図9(b1)、図9(c1)、図9(d1)の例を用いて、A社における処理例を示す。
図9(a)は、サービス提供装置設定値テーブル900のデータ構造例を示す説明図である。サービス提供装置設定値テーブル900は、サービス提供装置120の設定値を示すものであり、サービス提供装置120の設定保持ブロック610で記憶されているものである。
サービス提供装置設定値テーブル900は、設定項目欄902、設定値欄904を有している。設定項目欄902は、設定項目を記憶している。設定値欄904は、その設定項目に対してサービス提供装置120での設定値を記憶している。
例えば、サービス提供装置設定値テーブル900では、認証方式として「本体認証」が設定されており、TLS通信として「有効」が設定されており、監査ログとして「無効」が設定されている。
図9(b1)は、セキュリティポリシA社テーブル910Aのデータ構造例を示す説明図である。つまり、A社におけるセキュリティポリシを示している。
セキュリティポリシA社テーブル910Aは、設定項目欄912A、設定値欄914Aを有している。設定項目欄912Aは、設定項目を記憶している。設定値欄914Aは、その設定項目における設定値を記憶している。
例えば、セキュリティポリシA社テーブル910Aでは、認証方式として「本体認証、外部認証」が設定されており、TLS通信として「有効」が設定されており、監査ログとして「N/A」が設定されている。
この例では、セキュリティポリシA社テーブル910Aに対して、以下の処理により署名された照合結果(アテステーションデータ)が生成される。
・マスクロジック622によるマスク処理
監査ログ(セキュリティポリシA社テーブル910Aの3行目)は、マスクされている(N/A)ので、結果は設定値に関わらず合格(Pass)とする。
・照合ロジック624による照合処理
TLS通信(セキュリティポリシA社テーブル910Aの2行目)は、有効を要求しており、サービス提供装置120の設定値(サービス提供装置設定値テーブル900の2行目)も有効なので、結果は合格(Pass)とする。
認証方式(セキュリティポリシA社テーブル910Aの1行目)は、本体認証又は外部認証を要求し、サービス提供装置120の設定値(サービス提供装置設定値テーブル900の1行目)は本体認証であるので、結果は合格(Pass)とする。
これらの処理によって、照合結果テーブル920Aが完成する。図9(c1)は、照合結果テーブル920Aのデータ構造例を示す説明図である。照合結果テーブル920Aは、設定項目欄922A、照合値欄924A、照合結果欄926Aを有している。設定項目欄922Aは、設定項目を記憶している。照合値欄924Aは、その設定項目における照合値を記憶している。照合結果欄926Aは、その設定項目における照合結果を記憶している。例えば、照合結果テーブル920Aの1行目は、設定項目欄922Aの認証方式に対して、照合値欄924Aは本体認証であり、照合結果欄926Aとして「PASS」であることを示しており、2行目は、設定項目欄922AのTLS通信に対して、照合値欄924Aは有効であり、照合結果欄926Aとして「PASS」であることを示しており、3行目は、設定項目欄922Aの監査ログに対して、照合値欄924AはN/Aであり、照合結果欄926Aとして「PASS」であることを示している。
・署名ロジック626による署名処理
上記の参照結果全体に対して電子署名を施すことにより、上記の照合結果が通信経路において改竄された場合は検知が可能となる。図9(c1)の例では、照合結果テーブル920Aに対して、電子署名処理930Aを行う。
上記の手順で生成されたアテステーションデータは、組織A管理装置180Aで署名と照合結果の確認が行われ、図9(d1)の例に示すように“サービス利用可”の判断がなされ、情報処理装置100に送付される。
情報処理装置100は、上記のデータに基づいて、ユーザーから受けたサービス利用要求をサービス提供装置120へ送信する。
次に、図9(a)、図9(b2)、図9(c2)、図9(d2)の例を用いて、B社における処理例を示す。
図9(b2)は、セキュリティポリシB社テーブル910Bのデータ構造例を示す説明図である。つまり、B社におけるセキュリティポリシを示している。
セキュリティポリシB社テーブル910Bは、設定項目欄912B、設定値欄914Bを有している。設定項目欄912Bは、設定項目を記憶している。設定値欄914Bは、その設定項目における設定値を記憶している。
例えば、セキュリティポリシB社テーブル910Bでは、認証方式として「外部認証」が設定されており、TLS通信として「有効」が設定されており、監査ログとして「N/A」が設定されている。
この例では、セキュリティポリシB社テーブル910Bに対して、以下の処理により署名された照合結果(アテステーションデータ)が生成される。
・マスクロジック622によるマスク処理
監査ログ(セキュリティポリシB社テーブル910Bの3行目)は、マスクされている(N/A)ので、結果は設定値に関わらず合格(Pass)とする。
・照合ロジック624による照合処理
TLS通信(セキュリティポリシB社テーブル910Bの2行目)は、有効を要求し、サービス提供装置120の設定値(サービス提供装置設定値テーブル900の2行目)も有効なので、結果は合格(Pass)とする。
認証方式(セキュリティポリシB社テーブル910Bの1行目)は、外部認証を要求するが、サービス提供装置120の設定値(サービス提供装置設定値テーブル900の1行目)は本体認証なので、結果は不合格(Fail)とする。
これらの処理によって、照合結果テーブル920Bが完成する。図9(c2)は、照合結果テーブル920Bのデータ構造例を示す説明図である。照合結果テーブル920Bは、設定項目欄922B、照合値欄924B、照合結果欄926Bを有している。設定項目欄922Bは、設定項目を記憶している。照合値欄924Bは、その設定項目における照合値を記憶している。照合結果欄926Bは、その設定項目における照合結果を記憶している。例えば、照合結果テーブル920Bの1行目は、設定項目欄922Bの認証方式に対して、照合値欄924Bは該当無しであり、照合結果欄926Bとして「FAIL」であることを示しており、2行目は、設定項目欄922BのTLS通信に対して、照合値欄924Bは有効であり、照合結果欄926Bとして「PASS」であることを示しており、3行目は、設定項目欄922Bの監査ログに対して、照合値欄924BはN/Aであり、照合結果欄926Bとして「PASS」であることを示している。
・署名ロジック626による署名処理
上記の参照結果全体に対して電子署名を施すことにより、上記の照合結果が通信経路において改竄された場合は検知が可能となる。図9(c1)の例では、照合結果テーブル920Bに対して、電子署名処理930Bを行う。
上記の手順で生成されたアテステーションデータは、組織B管理装置180Bで署名と照合結果の確認が行われ、図9(d2)の例に示すように“サービス利用不可”の判断がなされ、情報処理装置100に送付される。
情報処理装置100は、上記のデータに基づいて、ユーザーに対してサービスの利用はできないことの通知を行う。
次に、アテステーションの確認処理を、管理装置180ではなく、情報処理装置100で実施する例を説明する。
前述の処理例では、ユーザーからのサービス提供の要求がある都度、情報処理装置100と管理装置180との間で、以下の通信を行った後にサービス提供の要求がサービス提供装置120に送られる。
・セキュリティポリシの送付(管理装置180から情報処理装置100へ)
・アテステーションデータの送付(情報処理装置100から管理装置180へ)
・確認結果の送付(管理装置180から情報処理装置100へ)
この場合、これらの通信処理によって、ユーザーにサービスを提供するために要する時間が増大することが想定される。また、通信ができない場合も生じ得る。
そこで、以下に示すような処理を行うようにしてもよい。
図10は、本実施の形態による処理例を示すフローチャートである。本処理例における情報処理装置100の観点で、フローチャートに表したものである。
ステップS1002では、利用者からサービス提供要求を受ける。
ステップS1004では、セキュリティポリシが自身に保存されているか否かを判断し、保存されている場合はステップS1006へ進み、それ以外の場合はステップS1008へ進む。
ステップS1006では、セキュリティポリシが有効期限内であるか否かを判断し、有効期限内の場合はステップS1010へ進み、それ以外の場合はステップS1008へ進む。
ステップS1008では、セキュリティポリシを管理装置180からダウンロードする。
ステップS1010では、セキュリティポリシをサービス提供装置120に送信する。
ステップS1012では、アテステーションデータをサービス提供装置120から受信する。
ステップS1014では、署名を検証する。
ステップS1016では、検証がPassであるか否かを判断し、Passの場合はステップS1018へ進み、それ以外の場合はステップS1020へ進む。
ステップS1018では、照合結果がPassであるか否かを判断し、Passの場合はステップS1022へ進み、それ以外の場合はステップS1020へ進む。
ステップS1020では、サービス提供拒否を利用者に通知する。
ステップS1022では、サービス提供要求をサービス提供装置120に送信し、一定期間毎に結果を管理装置180に送信する。
図10の例に示したフローチャートによる処理例を、図7(又は図8)の例に示したフローチャートによる処理例と比較すると、以下の点が異なる。
・セキュリティポリシを情報処理装置100に一定期間保持し、ユーザーからのサービス提供の要求毎に管理装置180からセキュリティポリシをダウンロードすることは行わない。
・アテステーションデータの署名検証と照合結果を情報処理装置100自身で実施する。
また、セキュリティポリシを情報処理装置100側で保持する事で、管理装置180でセキュリティポリシが更新され、情報処理装置100で保持するセキュリティポリシと不一致を起こす事が想定される。これに対する対応として、セキュリティポリシに対して有効期限を設定し、想定されるセキュリティポリシの更新サイクルを超えて情報処理装置100内で保持するセキュリティポリシが使用されることを防ぐようにしてもよい。
具体的には、セキュリティポリシテーブル1100を用いるようにしてもよい。図11は、セキュリティポリシテーブル1100のデータ構造例を示す説明図である。セキュリティポリシテーブル1100は、設定項目欄1102、設定値欄1104を有している。設定項目欄1102は、設定項目を記憶している。設定値欄1104は、その設定項目の設定値を記憶している。そして、有効期限の行を設けて、セキュリティポリシテーブル1100を利用できる期限を管理する。
セキュリティポリシテーブル1100は、認証方式として「本体認証、外部認証」が設定されており、TLS通信として「有効」が設定されており、監査ログとして「N/A」が設定されており、有効期限として「2020/1/1」が設定されている。つまり、2020年1月1日まで、このセキュリティポリシテーブル1100を利用して、情報処理装置100は処理を行うことができる。
また、情報処理装置100において実施したアテステーションデータの署名検証と照合結果の確認についてのログを一定期間毎に管理装置180に送付するようにしてもよい。このログによって、その管理装置180は、セキュリティポリシの適切な適用を確認できる。
また、機能グループ毎に固有のセキュリティポリシに対応するようにしてもよい。
サービス提供装置120が提供するサービスは複数ある場合がある。ユーザーがサービス提供装置120を利用するサービスによって、要求されるセキュリティレベルが異なる場合がある。
しかし、前述の処理例では、各組織毎に画一的なセキュリティポリシしか保持せず、自ずと最も要求の厳しいセキュリティポリシを全サービスに適用することとなる。したがって、そのような厳しいセキュリティ要求を必要としないサービスの利用が制限されてしまう。
そこで、図12の例に示す処理を行うようにしてもよい。図12は、本実施の形態による処理例を示すフローチャートである。本処理例における情報処理装置100の観点で、フローチャートに表したものである。
ステップS1202では、利用者からサービス提供要求を受ける。
ステップS1204では、該当サービスに適用するセキュリティポリシが保存されているか否かを判断し、保存されている場合はステップS1206へ進み、それ以外の場合はステップS1208へ進む。
ステップS1206では、セキュリティポリシが有効期限内であるか否かを判断し、有効期限内の場合はステップS1210へ進み、それ以外の場合はステップS1208へ進む。
ステップS1208では、セキュリティポリシを管理装置180からダウンロードする。
ステップS1210では、該当セキュリティポリシをサービス提供装置120に送信する。
ステップS1212では、アテステーションデータをサービス提供装置120から受信する。
ステップS1214では、署名を検証する。
ステップS1216では、署名の検証がPassであるか否かを判断し、Passの場合はステップS1218へ進み、それ以外の場合はステップS1220へ進む。
ステップS1218では、セキュリティポリシの照合結果がPassであるか否かを判断し、Passの場合はステップS1222へ進み、それ以外の場合はステップS1220へ進む。
ステップS1220では、サービスの提供が拒否されたことを利用者に通知する。
ステップS1222では、サービスの提供要求をサービス提供装置120に送信し、一定期間毎に結果を管理装置180に送信する。
図13は、本実施の形態による処理例を示す説明図である。図12の例に示したフローチャートによる処理例を示すものである。
図13(a)は、サービス提供装置設定値テーブル1300のデータ構造例を示す説明図である。サービス提供装置設定値テーブル1300は、サービス提供装置120の設定値を示すものであり、サービス提供装置120の設定保持ブロック610で記憶されているものである。
サービス提供装置設定値テーブル1300は、設定項目欄1302、設定値欄1304を有している。設定項目欄1302は、設定項目を記憶している。設定値欄1304は、その設定項目に対してサービス提供装置120での設定値を記憶している。
例えば、サービス提供装置設定値テーブル1300では、認証方式として「本体認証」が設定されており、TLS通信として「無効」が設定されており、監査ログとして「無効」が設定されている。
図13(b1)は、セキュリティポリシA社(サービスX)テーブル1310Aのデータ構造例を示す説明図である。つまり、A社におけるサービスXに対するセキュリティポリシを示している。
セキュリティポリシA社(サービスX)テーブル1310Aは、設定項目欄1312A、設定値欄1314Aを有している。設定項目欄1312Aは、設定項目を記憶している。設定値欄1314Aは、その設定項目における設定値を記憶している。
例えば、セキュリティポリシA社(サービスX)テーブル1310Aでは、認証方式として「本体認証、外部認証」が設定されており、TLS通信として「有効」が設定されており、監査ログとして「N/A」が設定されている。
図13(b2)は、セキュリティポリシA社(サービスY)1310Bのデータ構造例を示す説明図である。つまり、A社におけるサービスYに対するセキュリティポリシを示している。
セキュリティポリシA社(サービスY)1310Bは、設定項目欄1312B、設定値欄1314Bを有している。設定項目欄1312Bは、設定項目を記憶している。設定値欄1314Bは、その設定項目における設定値を記憶している。
例えば、セキュリティポリシA社(サービスY)1310Bでは、認証方式として「本体認証、外部認証」が設定されており、TLS通信として「N/A」が設定されており、監査ログとして「N/A」が設定されている。
マスクロジック622によるマスク処理、照合ロジック624による照合処理によって、照合結果テーブル1320A、照合結果テーブル1320Bを生成する。
図13(c1)は、照合結果テーブル1320Aのデータ構造例を示す説明図である。照合結果テーブル1320Aは、設定項目欄1322A、照合値欄1324A、照合結果欄1326Aを有している。設定項目欄1322Aは、設定項目を記憶している。照合値欄1324Aは、その設定項目における照合値を記憶している。照合結果欄1326Aは、その設定項目における照合結果を記憶している。
例えば、照合結果テーブル1320Aの1行目は、設定項目欄1322Aの認証方式に対して、照合値欄1324Aは本体認証であり、照合結果欄1326Aとして「PASS」であることを示しており、2行目は、設定項目欄1322AのTLS通信に対して、照合値欄1324Aは該当無しであり、照合結果欄1326Aとして「FAIL」であることを示しており、3行目は、設定項目欄1322Aの監査ログに対して、照合値欄1324AはN/Aであり、照合結果欄1326Aとして「PASS」であることを示している。
そして、照合結果テーブル1320Aに対して、署名ロジック626が電子署名処理1330Aを行う。
図13(c2)は、照合結果テーブル1320Bのデータ構造例を示す説明図である。
照合結果テーブル1320Bは、設定項目欄1322B、照合値欄1324B、照合結果欄1326Bを有している。設定項目欄1322Bは、設定項目を記憶している。照合値欄1324Bは、その設定項目における照合値を記憶している。照合結果欄1326Bは、その設定項目における照合結果を記憶している。
例えば、照合結果テーブル1320Bの1行目は、設定項目欄1322Bの認証方式に対して、照合値欄1324Bは本体認証であり、照合結果欄1326Bとして「PASS」であることを示しており、2行目は、設定項目欄1322BのTLS通信に対して、照合値欄1324BはN/Aであり、照合結果欄1326Bとして「PASS」であることを示しており、3行目は、設定項目欄1322Bの監査ログに対して、照合値欄1324BはN/Aであり、照合結果欄1326Bとして「PASS」であることを示している。
そして、照合結果テーブル1320Bに対して、署名ロジック626が電子署名処理1330Bを行う。
この例では、認証方式に関しては、サービスX、サービスYのどちらにも本体認証又は外部認証を要求するが、TLS通信に関しては、外部とのデータ通信を伴うサービスXのみに要求し、外部とのデータ通信を伴わないサービスYにおいては要求しない(セキュリティポリシA社(サービスY)1310Bの2行目のTLS通信は「N/A」)。サービス提供装置120の設定で、TLS通信が無効の場合は、図13(d1)に示すように、サービスXは利用不可となるが、図13(d2)に示すように、サービスYは利用可となる。
前述の処理例では、アテステーションデータを検証、確認することにより、サービス提供装置120が要求されるセキュリティポリシに沿うか否かの確認を行う方法を提示した。
以下に示す例では、前述の例に追加して、セキュリティポリシに沿わないために利用不可となった場合、セキュリティポリシで要求されている機能の代替機能を検索し、その代替機能に置き換えたセキュリティポリシで再度アテステーションデータの取得を行う。そして、その結果が利用可となった場合に、情報処理装置100が、代替機能におけるセキュリティポリシを管理装置180に提案することを行う。
図14に、この代替機能に関する処理に行うブロック図を提示する。
図14は、本実施の形態の構成例についての具体的なモジュール構成図である。前述の図6の例に示した実施の形態と同種の部位には同一符号を付し重複した説明を省略する。
管理装置180は、ネットワーク通信ブロック650、セキュリティポリシ保持ブロック655を有している。
ネットワーク通信ブロック650は、セキュリティポリシ保持ブロック655と接続されており、また、ファイヤーウォール装置140、通信回線190を介して情報処理装置100のネットワーク通信ブロック640と接続されている。
セキュリティポリシ保持ブロック655は、ネットワーク通信ブロック650と接続されている。
情報処理装置100は、ローカル通信ブロック630、ドライバ1435、ネットワーク通信ブロック640を有している。
ローカル通信ブロック630は、ドライバ1435と接続されており、また、通信回線135を介してサービス提供装置120のローカル通信ブロック615と接続されている。
ドライバ1435は、署名検証ロジック1440、照合結果確認ロジック1442、代替機能探索ロジック1444、代替セキュリティポリシ作成ロジック1460を有しており、ローカル通信ブロック630、ネットワーク通信ブロック640と接続されている。
署名検証ロジック1440は、図6の例に示した管理装置180の署名検証ブロック660と同等の機能を有する。
照合結果確認ロジック1442は、図6の例に示した管理装置180の照合結果確認ブロック665と同等の機能を有する。
代替機能探索ロジック1444は、代替機能テーブル1446を有している。代替機能探索ロジック1444は、サービス提供装置120がセキュリティポリシに沿わないために、ユーザーが要求したサービスが利用不可となった場合、そのセキュリティポリシで要求されている機能の代替機能を、代替機能テーブル1446から検索する。
代替機能テーブル1446は、設定項目と代替できる設定項目を対応させて記憶している。例えば、図15に示すデータ構造を有している。図15は、代替機能テーブル1446のデータ構造例を示す説明図である。代替機能テーブル1446は、設定項目−設定値欄1448、代替項目−代替値欄1450を有している。設定項目−設定値欄1448は、設定項目と設定値の組み合わせを記憶している。代替項目−代替値欄1450は、その「設定項目と設定値の組み合わせ」の代替となる「代替項目と代替値の組み合わせ」を記憶している。
代替機能テーブル1446の1行目は、設定項目−設定値欄1448の「TLS通信−有効」に対して、代替は代替項目−代替値欄1450の「PDF暗号化−有効」であることを示している。つまり、「TLS通信が有効である」ことをセキュリティポリシで要求されている場合、その要求が「PDF暗号化が有効である」ことで代替可能であることを示している。代替機能テーブル1446の2行目は、設定項目−設定値欄1448の「PDF暗号化−有効」に対して、代替は代替項目−代替値欄1450の「TLS通信−有効」であることを示している。つまり、「PDF暗号化が有効である」ことをセキュリティポリシで要求されている場合、その要求が「TLS通信が有効である」ことで代替可能であることを示している。
代替セキュリティポリシ作成ロジック1460は、代替機能探索ロジック1444で探索した、代替可能であるセキュリティポリシの設定項目と設定値を用いて、新たなセキュリティポリシを生成する。具体的には、サービス提供装置120がセキュリティポリシに沿わない設定項目と設定値の行を、代替可能である設定項目と設定値に入れ替える。その後、新たなセキュリティポリシを、サービス提供装置120に送信して、サービス提供装置120からアテステーションデータ678を取得する。
ネットワーク通信ブロック640は、ドライバ1435と接続されており、また、通信回線190、ファイヤーウォール装置140を介して管理装置180のネットワーク通信ブロック650と接続されている。
サービス提供装置120は、署名鍵保持ブロック605、設定保持ブロック610、ローカル通信ブロック615、アテステーションブロック620を有している。
署名鍵保持ブロック605は、アテステーションブロック620と接続されている。署名鍵保持ブロック605は、アテステーションブロック620に署名鍵672を渡す。
設定保持ブロック610は、アテステーションブロック620と接続されている。設定保持ブロック610は、アテステーションブロック620に設定値674を渡す。
ローカル通信ブロック615は、アテステーションブロック620と接続されており、また、通信回線135を介して情報処理装置100のローカル通信ブロック630と接続されている。ローカル通信ブロック615は、アテステーションブロック620にセキュリティポリシ676を渡し、アテステーションブロック620からアテステーションデータ678を受け取る。
アテステーションブロック620は、マスクロジック622、照合ロジック624、署名ロジック626を有しており、署名鍵保持ブロック605、設定保持ブロック610、ローカル通信ブロック615と接続されている。アテステーションブロック620は、署名鍵保持ブロック605から署名鍵672、設定保持ブロック610から設定値674、ローカル通信ブロック615からセキュリティポリシ676を受け取り、ローカル通信ブロック615にアテステーションデータ678を渡す。
マスクロジック622は、照合ロジック624と接続されている。
照合ロジック624は、マスクロジック622、署名ロジック626と接続されている。
署名ロジック626は、照合ロジック624と接続されている。
図14の例に示した情報処理装置100に処理例を、図16を用いて説明する。図16は、本実施の形態による処理例を示すフローチャートである。本処理例における情報処理装置100の観点で、フローチャートに表したものである。なお、図12の例に示したフローチャートに、ステップS1620〜ステップS1626、ステップS1630〜ステップS1632を追加したものである。
ステップS1602では、利用者からサービス提供要求を受ける。
ステップS1604では、セキュリティポリシが自身に保存されているか否かを判断し、保存されている場合はステップS1606へ進み、それ以外の場合はステップS1608へ進む。
ステップS1606では、セキュリティポリシが有効期限内であるか否かを判断し、有効期限内の場合はステップS1610へ進み、それ以外の場合はステップS1608へ進む。
ステップS1608では、セキュリティポリシを管理装置180からダウンロードする。
ステップS1610では、セキュリティポリシをサービス提供装置120に送信する。
ステップS1612では、アテステーションデータをサービス提供装置120から受信する。
ステップS1614では、署名を検証する。
ステップS1616では、署名の検証がPassであるか否かを判断し、Passの場合はステップS1618へ進み、それ以外の場合はステップS1628へ進む。
ステップS1618では、セキュリティポリシの照合結果がPassであるか否かを判断し、Passの場合はステップS1626へ進み、それ以外の場合はステップS1620へ進む。
ステップS1620では、代替機能を探索する。
ステップS1622では、代替可能であるか否かを判断し、代替可能の場合はステップS1624へ進み、それ以外の場合はステップS1628へ進む。
ステップS1624では、代替セキュリティポリシを作成し、ステップS1610へ戻る。
ステップS1626では、代替セキュリティポリシであるか否かを判断し、代替セキュリティポリシの場合はステップS1632へ進み、それ以外の場合はステップS1630へ進む。
ステップS1628では、サービスの提供が拒否されたことを利用者に通知する。
ステップS1630では、サービスの提供要求をサービス提供装置120に送信し、一定期間毎に結果を管理装置180に送信する。管理装置180に送信する結果として、セキュリティポリシとの照合結果、サービス提供装置120による処理結果を含めてもよい。
ステップS1632では、代替セキュリティポリシでの照合結果とともに、その代替セキュリティポリシを管理装置180に送信する。
なお、ステップS1632の処理によって、代替セキュリティポリシの提示を受けた管理装置180の管理者は、その内容を精査し、問題がなければ自社の新たなセキュリティポリシとして登録するようにしてもよい。これによって、以後のサービス提供装置120でのサービスの使用を利用者に許可する。
図17は、本実施の形態による処理例を示す説明図である。図16の例に示したフローチャートによる処理例を示すものである。
まず、図17(a)、図17(b1)、図17(c1)、図17(d1)の例を用いて、管理装置180内のセキュリティポリシでの処理例を示す。
図17(a)は、サービス提供装置設定値テーブル1700のデータ構造例を示す説明図である。サービス提供装置設定値テーブル1700は、サービス提供装置120の設定値を示すものであり、サービス提供装置120の設定保持ブロック610で記憶されているものである。
サービス提供装置設定値テーブル1700は、設定項目欄1702、設定値欄1704を有している。設定項目欄1702は、設定項目を記憶している。設定値欄1704は、その設定項目に対してサービス提供装置120での設定値を記憶している。
例えば、サービス提供装置設定値テーブル1700では、認証方式として「本体認証」が設定されており、TLS通信として「無効」が設定されており、PDF暗号化として「有効」が設定されている。
図17(b1)は、セキュリティポリシA社(オリジナル)テーブル1710Aのデータ構造例を示す説明図である。つまり、管理装置180が管理しているA社におけるオリジナルのセキュリティポリシを示している。
セキュリティポリシA社(オリジナル)テーブル1710Aは、設定項目欄1712A、設定値欄1714Aを有している。設定項目欄1712Aは、設定項目を記憶している。設定値欄1714Aは、その設定項目における設定値を記憶している。
例えば、セキュリティポリシA社(オリジナル)テーブル1710Aでは、認証方式として「本体認証、外部認証」が設定されており、TLS通信として「有効」が設定されており、PDF暗号化として「N/A」が設定されている。
図17(c1)は、照合結果テーブル1720Aのデータ構造例を示す説明図である。
照合結果テーブル1720Aは、設定項目欄1722A、照合値欄1724A、照合結果欄1726Aを有している。設定項目欄1722Aは、設定項目を記憶している。照合値欄1724Aは、その設定項目における照合値を記憶している。照合結果欄1726Aは、その設定項目における照合結果を記憶している。
例えば、照合結果テーブル1720Aの1行目は、設定項目欄1722Aの認証方式に対して、照合値欄1724Aは本体認証であり、照合結果欄1726AとしてPASSであることを示しており、2行目は、設定項目欄1722AのTLS通信に対して、照合値欄1724Aは該当無しであり、照合結果欄1726AとしてFAILであることを示しており、3行目は、設定項目欄1722AのPDF暗号化に対して、照合値欄1724AはN/Aであり、照合結果欄1726AとしてPASSであることを示している。
そして、照合結果テーブル1720Aに対して、電子署名処理1730Aを行う。
この例では、図17(d1)に示すように「サービスの利用不可」であると判断される。そこで、図17(b1)の例に示すセキュリティポリシA社(オリジナル)テーブル1710Aから、図17(b2)の例に示すセキュリティポリシA社(代替案)1710Bを生成する。
次に、図17(a)、図17(b2)、図17(c2)、図17(d2)の例を用いて、代替セキュリティポリシでの処理例を示す。
図17(b2)は、セキュリティポリシA社(代替案)1710Bのデータ構造例を示す説明図である。
セキュリティポリシA社(代替案)1710Bは、設定項目欄1712B、設定値欄1714Bを有している。設定項目欄1712Bは、設定項目を記憶している。設定値欄1714Bは、その設定項目における設定値を記憶している。
例えば、セキュリティポリシA社(代替案)1710Bでは、認証方式として「本体認証、外部認証」が設定されており、TLS通信として「N/A」が設定されており、PDF暗号化として「有効」が設定されている。つまり、セキュリティポリシA社(オリジナル)テーブル1710Aを用いた照合結果として「FAIL」となった「TLS通信−有効」の代わりに、「PDF暗号化−N/A」を「PDF暗号化−有効」としている。そして、「TLS通信−有効」を「TLS通信−N/A」としている。
図17(c2)は、照合結果テーブル1720Bのデータ構造例を示す説明図である。
照合結果テーブル1720Bは、設定項目欄1722B、照合値欄1724B、照合結果欄1726Bを有している。設定項目欄1722Bは、設定項目を記憶している。照合値欄1724Bは、その設定項目における照合値を記憶している。照合結果欄1726Bは、その設定項目における照合結果を記憶している。
例えば、照合結果テーブル1720Bの1行目は、設定項目欄1722Bの認証方式に対して、照合値欄1724Bは本体認証であり、照合結果欄1726BとしてPASSであることを示しており、2行目は、設定項目欄1722BのTLS通信に対して、照合値欄1724BはN/Aであり、照合結果欄1726BとしてPASSであることを示しており、3行目は、設定項目欄1722BのPDF暗号化に対して、照合値欄1724Bは有効であり、照合結果欄1726BとしてPASSであることを示している。
そして、照合結果テーブル1720Bに対して、電子署名処理1730Bを行う。
この例では、「サービスの利用可」と判断され、図17(d2)に示すように「代替案を管理装置180に提示」することが行われる。
つまり、この例では、「TLS通信が有効である」ことを要求している元のセキュリティポリシ(セキュリティポリシA社(オリジナル)テーブル1710A)では、サービス提供装置120の利用が不可なため、代替機能テーブル1446を用い、「PDF暗号化が有効である」ことに代替したセキュリティポリシ(セキュリティポリシA社(代替案)1710B)を作成し、この代替したセキュリティポリシの元では、「サービス提供装置120によるサービスの利用が可能であること」が確認されたので、代替案を管理装置180に送信している。
図18を参照して、本実施の形態の情報処理装置100、サービス提供装置120、管理装置180のハードウェア構成例について説明する。図18に示す構成は、例えばパーソナルコンピュータ等によって構成されるものであり、スキャナ等のデータ読み取り部1817と、プリンタ等のデータ出力部1818を備えたハードウェア構成例を示している。
CPU(Central Processing Unitの略)1801は、前述の実施の形態において説明した各種のモジュール、すなわち、通信モジュール210、管理装置間通信モジュール212、サービス提供装置間通信モジュール214、制御モジュール220、決定モジュール222、照合モジュール224、表示制御モジュール228、通信モジュール310、情報処理装置間通信モジュール312、制御モジュール320、照合モジュール322、状態検知モジュール324、サービス提供モジュール340、画像処理モジュール440、ローカル通信ブロック615、アテステーションブロック620、マスクロジック622、照合ロジック624、署名ロジック626、ローカル通信ブロック630、ドライバ635、ネットワーク通信ブロック640、ネットワーク通信ブロック650、署名検証ブロック660、照合結果確認ブロック665、ドライバ1435、署名検証ロジック1440、照合結果確認ロジック1442、代替機能探索ロジック1444、代替セキュリティポリシ作成ロジック1460等の各モジュールの実行シーケンスを記述したコンピュータ・プログラムにしたがった処理を実行する制御部である。
ROM(Read Only Memoryの略)1802は、CPU1801が使用するプログラムや演算パラメータ等を格納する。RAM(Random Access Memoryの略)1803は、CPU1801の実行において使用するプログラムや、その実行において適宜変化するパラメータ等を格納する。これらはCPUバス等から構成されるホストバス1804により相互に接続されている。
ホストバス1804は、ブリッジ1805を介して、PCI(Peripheral Component Interconnect/Interfaceの略)バス等の外部バス1806に接続されている。
キーボード1808、マウス等のポインティングデバイス1809は、操作者により操作されるデバイスである。表示モジュール230の一例であるディスプレイ1810は、液晶表示装置、有機ELディスプレイ又はCRT(Cathode Ray Tubeの略)等があり、各種情報をテキストやイメージ情報として表示する。また、ポインティングデバイス1809とディスプレイ1810の両方の機能を備えているタッチスクリーン等であってもよい。その場合、キーボードの機能の実現について、キーボード1808のように物理的に接続しなくても、画面(例えば、タッチスクリーン)上にソフトウェアでキーボード(いわゆるソフトウェアキーボード、スクリーンキーボード等ともいわれる)を描画して、キーボードの機能を実現するようにしてもよい。
HDD(Hard Disk Driveの略)1811は、ハードディスク(ハードディスク以外に、フラッシュ・メモリ等であってもよい)を内蔵し、ハードディスクを駆動し、CPU1801によって実行するプログラムや情報を記録又は再生させる。HDD1811は、セキュリティポリシ記憶モジュール226、署名鍵保持ブロック605、設定保持ブロック610、セキュリティポリシ保持ブロック655等としての機能を実現させる。さらに、その他の各種データ、各種コンピュータ・プログラム等が格納される。
ドライブ1812は、装着されている磁気ディスク、光ディスク、光磁気ディスク、又は半導体メモリ等のリムーバブル記録媒体1813に記録されているデータ又はプログラムを読み出して、そのデータ又はプログラムを、インタフェース1807、外部バス1806、ブリッジ1805、及びホストバス1804を介して接続されているRAM1803に供給する。なお、リムーバブル記録媒体1813も、データ記録領域として利用可能である。
接続ポート1814は、外部接続機器1815を接続するポートであり、USB、IEEE1394等の接続部を持つ。接続ポート1814は、インタフェース1807、及び外部バス1806、ブリッジ1805、ホストバス1804等を介してCPU1801等に接続されている。通信部1816は、通信回線に接続され、外部とのデータ通信処理を実行する。データ読み取り部1817は、例えばスキャナであり、ドキュメントの読み取り処理を実行する。データ出力部1818は、例えばプリンタであり、ドキュメントデータの出力処理を実行する。
前述の実施の形態のうち、コンピュータ・プログラムによるものについては、本ハードウェア構成のシステムにソフトウェアであるコンピュータ・プログラムを読み込ませ、ソフトウェアとハードウェア資源とが協働して、前述の実施の形態が実現される。
なお、図18に示す情報処理装置100等のハードウェア構成は、1つの構成例を示すものであり、本実施の形態は、図18に示す構成に限らず、本実施の形態において説明したモジュールを実行可能な構成であればよい。例えば、プロセッサーとして、GPU(Graphics Processing Unitの略、GPGPU(General−Purpose computing on Graphics Processing Unitsの略)を含む)を用いてもよいし、一部のモジュールを専用のハードウェア(例えば特定用途向け集積回路(具体例として、ASIC(Application Specific Integrated Circuitの略)等がある)や再構成可能な集積回路(具体例として、FPGA(Field−Programmable Gate Arrayの略)等がある)で構成してもよく、一部のモジュールは外部のシステム内にあり通信回線で接続している形態でもよく、さらに図18に示すシステムが複数互いに通信回線によって接続されていて互いに協調動作するようにしてもよい。また、特に、パーソナルコンピュータの他、携帯情報通信機器(携帯情報通信機器として、携帯電話、スマートフォン、モバイル機器、ウェアラブルコンピュータ等を含む)、情報家電、ロボット、複写機、ファックス、スキャナ、プリンタ、複合機等に組み込まれていてもよい。
なお、説明したプログラムについては、記録媒体に格納して提供してもよく、また、そのプログラムを通信手段によって提供してもよい。その場合、例えば、前記説明したプログラムについて、「プログラムを記録したコンピュータ読み取り可能な記録媒体」の発明として捉えてもよい。
「プログラムを記録したコンピュータ読み取り可能な記録媒体」とは、プログラムのインストール、実行、プログラムの流通等のために用いられる、プログラムが記録されたコンピュータで読み取り可能な記録媒体をいう。
なお、記録媒体としては、例えば、デジタル・バーサタイル・ディスク(DVD)であって、DVDフォーラムで策定された規格である「DVD−R、DVD−RW、DVD−RAM等」、DVD+RWで策定された規格である「DVD+R、DVD+RW等」、コンパクトディスク(CD)であって、読出し専用メモリ(CD−ROM)、CDレコーダブル(CD−R)、CDリライタブル(CD−RW)等、ブルーレイ・ディスク(Blu−ray(登録商標) Disc)、光磁気ディスク(MO)、フレキシブルディスク(FD)、磁気テープ、ハードディスク、読出し専用メモリ(ROM)、電気的消去及び書換可能な読出し専用メモリ(EEPROM(登録商標))、フラッシュ・メモリ、ランダム・アクセス・メモリ(RAM)、SD(Secure Digitalの略)メモリーカード等が含まれる。
そして、前記のプログラムの全体又はその一部は、前記記録媒体に記録して保存や流通等させてもよい。また、通信によって、例えば、ローカル・エリア・ネットワーク(LAN)、メトロポリタン・エリア・ネットワーク(MAN)、ワイド・エリア・ネットワーク(WAN)、インターネット、イントラネット、エクストラネット等に用いられる有線ネットワーク、又は無線通信ネットワーク、さらにこれらの組み合わせ等の伝送媒体を用いて伝送させてもよく、また、搬送波に乗せて搬送させてもよい。
さらに、前記のプログラムは、他のプログラムの一部分若しくは全部であってもよく、又は別個のプログラムと共に記録媒体に記録されていてもよい。また、複数の記録媒体に分割して記録されていてもよい。また、圧縮や暗号化等、復元可能であればどのような態様で記録されていてもよい。
100…情報処理装置
120…サービス提供装置
135…通信回線
140…ファイヤーウォール装置
160…シェアオフィス
180…管理装置
190…通信回線
210…通信モジュール
212…管理装置間通信モジュール
214…サービス提供装置間通信モジュール
220…制御モジュール
222…決定モジュール
224…照合モジュール
226…セキュリティポリシ記憶モジュール
228…表示制御モジュール
230…表示モジュール
310…通信モジュール
312…情報処理装置間通信モジュール
320…制御モジュール
322…照合モジュール
324…状態検知モジュール
340…サービス提供モジュール
400…画像処理装置
440…画像処理モジュール
605…署名鍵保持ブロック
610…設定保持ブロック
615…ローカル通信ブロック
620…アテステーションブロック
622…マスクロジック
624…照合ロジック
626…署名ロジック
630…ローカル通信ブロック
635…ドライバ
640…ネットワーク通信ブロック
650…ネットワーク通信ブロック
655…セキュリティポリシ保持ブロック
660…署名検証ブロック
665…照合結果確認ブロック
672…署名鍵
674…設定値
676…セキュリティポリシ
678…アテステーションデータ
1435…ドライバ
1440…署名検証ロジック
1442…照合結果確認ロジック
1444…代替機能探索ロジック
1460…代替セキュリティポリシ作成ロジック

Claims (13)

  1. 管理装置からサービス提供装置に通信することができない場合であって、該管理装置から情報保護方針を取得する取得手段と、
    前記情報保護方針を前記サービス提供装置に送信する第1送信手段と、
    前記サービス提供装置から前記情報保護方針に適合しているか否かを示す照合結果を受信する受信手段と、
    前記照合結果を前記管理装置に送信する第2送信手段と、
    前記管理装置から前記サービス提供装置は前記情報保護方針に適合している旨の情報を受信した場合は、該サービス提供装置を利用することができるとの決定を行う決定手段
    を有する情報処理装置。
  2. 管理装置から本サービス提供装置に通信することができない場合であって、該管理装置から情報処理装置を介して情報保護方針を取得する取得手段と、
    本サービス提供装置は前記情報保護方針に適合しているか否かを示す照合結果を、前記情報処理装置に送信する送信手段
    を有するサービス提供装置。
  3. 管理装置からサービス提供装置に通信することができない場合であって、該管理装置から情報保護方針を取得する第1取得手段と、
    前記サービス提供装置から該サービス提供装置の状態を取得する第2取得手段と、
    前記情報保護方針と前記サービス提供装置の状態を用いて、該サービス提供装置が前記情報保護方針に適合しているか否かを示す照合結果を、前記管理装置に送信する送信手段と、
    前記照合結果が前記サービス提供装置は前記情報保護方針に適合している旨の情報である場合は、該サービス提供装置を利用することができるとの決定を行う決定手段
    を有する情報処理装置。
  4. 前記情報保護方針を記憶する記憶手段
    をさらに有し、
    二回目以降の情報保護方針の取得にあっては、前記記憶手段に記憶された前記情報保護方針を取得する、
    請求項1又は3に記載の情報処理装置。
  5. 前記情報保護方針には有効期限が設けられており、
    前記記憶手段に記憶された前記情報保護方針の有効期限が過ぎている場合は、前記管理装置から情報保護方針を取得する、
    請求項4に記載の情報処理装置。
  6. 前記情報保護方針はサービス毎に定められており、
    前記決定手段は、利用者から要求されたサービスに対応する情報保護方針が満たされている場合に、前記サービス提供装置の前記サービスを利用することができるとの決定を行う、
    請求項1又は3に記載の情報処理装置。
  7. 前記照合結果によって前記サービスは前記情報保護方針に適合していないとされた場合は、前記サービスの代替となるサービスの情報保護方針を前記サービス提供装置に送信する、
    請求項6に記載の情報処理装置。
  8. 前記代替となるサービスの情報保護方針を前記サービス提供装置に送信した場合は、該代替となるサービスの情報保護方針に対する照合結果とともに該情報保護方針を前記管理装置に送信する、
    請求項7に記載の情報処理装置。
  9. 前記照合結果が前記サービス提供装置は前記情報保護方針に適合していないとの情報である場合は、適合していない項目の情報保護方針を代替する情報保護方針に入れ替えて、入れ替え後の情報保護方針を前記サービス提供装置に送信する、
    請求項1又は3に記載の情報処理装置。
  10. 入れ替え後の情報保護方針を前記サービス提供装置に送信した場合は、入れ替え後の情報保護方針に対する照合結果とともに該入れ替え後の情報保護方針を前記管理装置に送信する、
    請求項9に記載の情報処理装置。
  11. コンピュータを、
    管理装置からサービス提供装置に通信することができない場合であって、該管理装置から情報保護方針を取得する取得手段と、
    前記情報保護方針を前記サービス提供装置に送信する第1送信手段と、
    前記サービス提供装置から前記情報保護方針に適合しているか否かを示す照合結果を受信する受信手段と、
    前記照合結果を前記管理装置に送信する第2送信手段と、
    前記管理装置から前記サービス提供装置は前記情報保護方針に適合している旨の情報を受信した場合は、該サービス提供装置を利用することができるとの決定を行う決定手段
    として機能させるための情報処理プログラム。
  12. サービス提供装置内のコンピュータを、
    管理装置から前記サービス提供装置に通信することができない場合であって、該管理装置から情報処理装置を介して情報保護方針を取得する取得手段と、
    前記サービス提供装置は前記情報保護方針に適合しているか否かを示す照合結果を、前記情報処理装置に送信する送信手段
    として機能させるためのサービス提供プログラム。
  13. コンピュータを、
    管理装置からサービス提供装置に通信することができない場合であって、該管理装置から情報保護方針を取得する第1取得手段と、
    前記サービス提供装置から該サービス提供装置の状態を取得する第2取得手段と、
    前記情報保護方針と前記サービス提供装置の状態を用いて、該サービス提供装置が前記情報保護方針に適合しているか否かを示す照合結果を、前記管理装置に送信する送信手段と、
    前記照合結果が前記サービス提供装置は前記情報保護方針に適合している旨の情報である場合は、該サービス提供装置を利用することができるとの決定を行う決定手段
    として機能させるための情報処理プログラム。
JP2019185792A 2019-10-09 2019-10-09 情報処理装置及び情報処理プログラム Active JP7358897B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2019185792A JP7358897B2 (ja) 2019-10-09 2019-10-09 情報処理装置及び情報処理プログラム
US16/896,371 US20210112099A1 (en) 2019-10-09 2020-06-09 Information processing apparatus and non-transitory computer readable medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019185792A JP7358897B2 (ja) 2019-10-09 2019-10-09 情報処理装置及び情報処理プログラム

Publications (2)

Publication Number Publication Date
JP2021060898A true JP2021060898A (ja) 2021-04-15
JP7358897B2 JP7358897B2 (ja) 2023-10-11

Family

ID=75381769

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019185792A Active JP7358897B2 (ja) 2019-10-09 2019-10-09 情報処理装置及び情報処理プログラム

Country Status (2)

Country Link
US (1) US20210112099A1 (ja)
JP (1) JP7358897B2 (ja)

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2479651A1 (en) * 2002-03-27 2003-10-09 British Telecommunications Public Limited Company Policy based system management
KR100694108B1 (ko) * 2005-05-03 2007-03-12 삼성전자주식회사 무선네트워크 프린팅시스템의 정보보안방법 및 장치
US8862551B2 (en) * 2005-12-29 2014-10-14 Nextlabs, Inc. Detecting behavioral patterns and anomalies using activity data
JP5111974B2 (ja) 2007-08-24 2013-01-09 株式会社リコー 通信システム及び通信装置
JP5012525B2 (ja) 2008-01-17 2012-08-29 富士ゼロックス株式会社 セキュリティポリシーサーバ、セキュリティポリシー管理システム及びセキュリティポリシー管理プログラム
WO2010054258A1 (en) * 2008-11-06 2010-05-14 Trust Digital System and method for mediating connections between policy source servers, corporate repositories, and mobile devices
US8593671B2 (en) * 2009-10-16 2013-11-26 Xerox Corporation System and method for controlling usage of printer resources
US20130036032A1 (en) * 2011-08-04 2013-02-07 Yigang Cai Service plan negotiations with end users for policy and charging control (pcc)
US9026646B2 (en) * 2011-09-16 2015-05-05 Tripwire, Inc. Methods and apparatus for remediating policy test failures, including correlating changes to remediation processes
US8806574B2 (en) * 2011-10-05 2014-08-12 Hewlett-Packard Development Company, L.P. System and method for policy conformance in a web application
JP6318698B2 (ja) 2013-04-10 2018-05-09 株式会社リコー セキュリティ管理システム、セキュリティ管理方法およびプログラム
JP6679867B2 (ja) 2015-09-30 2020-04-15 ブラザー工業株式会社 通信システム、通信装置、および、コンピュータプログラム
US10492133B2 (en) * 2016-09-30 2019-11-26 Cisco Technology, Inc. System and method to facilitate optimized access network selection
US10326671B2 (en) * 2016-10-18 2019-06-18 Airwatch Llc Federated mobile device management
US10530641B2 (en) * 2017-04-02 2020-01-07 Fortinet, Inc. Uninterrupted flow processing by a software defined network (SDN) appliance despite a lost or disrupted connection with an SDN controller

Also Published As

Publication number Publication date
US20210112099A1 (en) 2021-04-15
JP7358897B2 (ja) 2023-10-11

Similar Documents

Publication Publication Date Title
US9001348B2 (en) Information processing system, information processing method, and a recording medium that allow a user to select print data and print selected print data
US8913270B2 (en) Authentication system having an authentication apparatus including an authentication unit configured to search records of identification information associated with group information to find matching identification information matching obtained identification information of a user, authentication method, and apparatus
CN113261021B (zh) 对装置扫描仪系统进行操作
US9965228B2 (en) Information processing system, information processing method and non-transitory computer readable information recording medium
US9053303B2 (en) Apparatus, authentication system, authentication control method, authentication control program, and computer-readable recording medium having authentication control program
US20120159605A1 (en) Remotable information cards
JP2007328784A (ja) 文書情報処理装置にアクセスするための方法、マシン読取可能な媒体及び装置
US9665320B2 (en) Information processing system and information processing method for managing data according to address information
US20180032708A1 (en) Output apparatus, program, output system, and output method
JP2009258917A (ja) プロキシサーバ、認証サーバおよび通信システム
TWI829219B (zh) 可將取用訊標由區塊鏈子系統移轉給資料請求者裝置的去中心化資料授權控管系統
US10182059B2 (en) Non-transitory computer readable medium storing a program causing a computer to permit a guest user to have utilization authority using a directory, and apparatus management system permitting a guest user to have utilization authority using a directory
JP2014179027A (ja) システム、画像形成システム、情報処理方法およびプログラム
US10250778B2 (en) Distributed smart card reader for multifunction printer
KR20180065201A (ko) 웹 기반 전자문서 생성 시스템, 시스템의 작동방법 및 컴퓨터 판독 가능 저장매체
JP7358897B2 (ja) 情報処理装置及び情報処理プログラム
KR101446326B1 (ko) 보안데이터 관리장치와 관리방법
US11481166B2 (en) Information processing system, information processing apparatus for controlling access to resources and functions for managing users allowed to access the resources
US11418484B2 (en) Document management system
CN112242989A (zh) 信息处理装置以及记录媒体
US20140139887A1 (en) Image forming apparatus, computer-readable non-transitory storage medium with uploading program stored thereon, and uploading system
JP2009110091A (ja) クライアントサーバシステム
US11455408B2 (en) Information processing device and non-transitory computer readable medium
US20220239660A1 (en) Information processing device and non-transitory computer readable medium
US20220417378A1 (en) Authentication system, information processing apparatus, and image forming apparatus

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220922

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230614

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230627

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230815

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230829

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230911

R150 Certificate of patent or registration of utility model

Ref document number: 7358897

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150