JP2022116642A - Communication system, communication management method, and program - Google Patents
Communication system, communication management method, and program Download PDFInfo
- Publication number
- JP2022116642A JP2022116642A JP2021012924A JP2021012924A JP2022116642A JP 2022116642 A JP2022116642 A JP 2022116642A JP 2021012924 A JP2021012924 A JP 2021012924A JP 2021012924 A JP2021012924 A JP 2021012924A JP 2022116642 A JP2022116642 A JP 2022116642A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- log information
- information
- log
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Facsimiles In General (AREA)
- Control Or Security For Electrophotography (AREA)
Abstract
Description
本発明は、通信システム、通信管理方法、及びプログラムに関する。 The present invention relates to a communication system, communication management method, and program.
近年、働き方改革及び在宅勤務の普及等により、リモートオフィス等から、社内のローカルネットワークに接続されているPC(Personal Computer)、又は画像形成装置等の電子機器に接続するリモートアクセスのニーズが高まっている。 In recent years, due to work style reforms and the spread of telecommuting, there is a growing need for remote access from remote offices, etc., to personal computers (PCs) connected to the company's local network, or to electronic devices such as image forming devices. ing.
また、クラウド環境とオンプレミス環境で連携してワークフローを実行する情報処理システムにおいて、クラウド環境とオンプレミス環境で連携して実行したワークフローのジョブ情報をまとめて表示する技術が知られている(例えば、特許文献1参照)。 In addition, in an information processing system that executes workflows in cooperation with a cloud environment and an on-premises environment, there is a known technology that collectively displays job information of workflows executed in cooperation with a cloud environment and an on-premises environment (for example, patent Reference 1).
外部のネットワークに接続するアクセス元の端末から、ローカルネットワークに接続するアクセス先の端末にアクセスする方法として、例えば、VPN(Virtual Private Network)等により暗号化して通信する方法がある。ただし、この方法では、アクセス元の端末とアクセス先の端末との間で通信を行えるように、例えば、ファイアウォール等のネットワーク設定を管理する管理者(又は利用者)の負担が大きくなるという問題がある。 As a method of accessing an access destination terminal connected to a local network from an access source terminal connected to an external network, for example, there is a method of encrypted communication using a VPN (Virtual Private Network) or the like. However, in this method, there is a problem that the burden on the administrator (or user) who manages the network settings such as the firewall to enable communication between the access source terminal and the access destination terminal is increased. be.
このような問題を解決するため、アクセス先のローカルネットワークに、クラウド上のサーバと暗号通信する通信装置を設置し、アクセス元の端末から、クラウド上のサーバと通信装置とを介して、アクセス先の端末と暗号通信を行う方法が考えられる。しかし、この方法では、クラウド上のサーバが生成する第1のログ情報と、ローカルネットワークに接続する通信装置が生成する第2のログ情報とが別々に管理され、ローカルネットワーク側で一元管理することができないという問題がある。なお、特許文献1に開示された技術を適用しても、このような問題を解決することはできない。
In order to solve such problems, a communication device that performs encrypted communication with a server on the cloud is installed in the local network of the access destination, and the access destination is sent from the access source terminal via the server on the cloud and the communication device. A method of performing encrypted communication with a terminal of However, in this method, the first log information generated by the server on the cloud and the second log information generated by the communication device connected to the local network are managed separately and centrally managed on the local network side. There is a problem that it is not possible to Even if the technique disclosed in
本発明の一実施形態は、アクセス元の端末から、クラウド上のサーバと通信装置とを介して、ローカルネットワークに接続するアクセス先の端末にリモートアクセスする通信システムにおいて、ローカルネットワーク側でログ情報を一元管理できるようにする。 In one embodiment of the present invention, in a communication system in which an access source terminal remotely accesses an access destination terminal connected to a local network via a server on a cloud and a communication device, log information is stored on the local network side. Allow centralized management.
上記の課題を解決するため、本発明の一実施形態に係る通信システムは、第1のネットワークに接続するアクセス元の端末から、前記第1のネットワークとは異なる第2のネットワークに接続する通信装置を介して、前記第2のネットワークに接続するアクセス先の端末と通信するリモートアクセスを管理する通信管理システムと、前記通信装置とを含む通信システムであって、前記通信管理システムは、前記アクセス元の端末と前記通信装置との間の第1の通信を識別情報と対応付けて管理する第1の通信管理部と、前記識別情報を有する前記アクセス元の端末と前記通信装置との間の前記第1の通信を中継する中継部と、前記第1の通信に関する第1のログ情報を前記通信装置に送信するログ情報送信部と、を有し、前記通信装置は、前記アクセス元の端末と前記アクセス先の端末との間の第2の通信を管理する第2の通信管理部と、前記通信管理システムから前記第1のログ情報を受信し、前記第1のログ情報と、前記第2の通信に関する第2のログ情報とを含む第3のログ情報を管理するログ情報管理部と、を有する。 In order to solve the above problems, a communication system according to an embodiment of the present invention provides a communication device that connects a terminal that is an access source connected to a first network to a second network that is different from the first network. a communication management system that manages remote access to communicate with an access destination terminal that is connected to the second network via a communication device; a first communication management unit that manages a first communication between the terminal and the communication device in association with identification information; a relay unit that relays a first communication; and a log information transmission unit that transmits first log information related to the first communication to the communication device, wherein the communication device communicates with the access source terminal. a second communication management unit that manages a second communication with the access destination terminal; receives the first log information from the communication management system; and a log information management unit that manages third log information including second log information related to the communication of the
本発明の一実施形態によれば、クラウド上のサーバと通信装置とを介して、ローカルネットワークに接続するアクセス先の端末にリモートアクセスする通信システムにおいて、ローカルネットワーク側でログ情報を一元管理できるようになる。 According to an embodiment of the present invention, in a communication system for remotely accessing a terminal connected to a local network via a cloud server and a communication device, log information can be centrally managed on the local network side. become.
以下、本発明の実施形態について、図面を参照しながら詳細に説明する。
<システム構成>
図1は、第1の実施形態に係る通信システムのシステム構成の例を示す図である。通信システム1は、例えば、インターネット等の通信ネットワーク2に接続するアプリサーバ11、サービスプラットフォーム12、及びリレーサーバ13と、ローカルネットワーク100に接続するセキュアボックス14、及びログサーバ15等を含む。通信システム1は、例えば、リモートネットワーク110等に接続する情報端末111から、ローカルネットワーク100に接続するセキュアボックス14を介して、情報処理装置101、及び画像形成装置102等にリモートアクセスするためのシステムである。
BEST MODE FOR CARRYING OUT THE INVENTION Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
<System configuration>
FIG. 1 is a diagram showing an example of the system configuration of a communication system according to the first embodiment. The
リモートネットワーク(第1のネットワーク)110は、例えば、自宅又はリモートオフィス等に設けられた、ローカルネットワーク100とは異なる外部ネットワーク(第1のネットワーク)の一例である。情報端末111は、リモートネットワーク110に限られず、例えば、外出先等から、WAN(Wide Area Network)、又は公衆無線LAN(Local Area Network)等を利用して、インターネット等の通信ネットワーク2に接続しているものであっても良い。なお、通信ネットワーク2は、ローカルネットワーク100とは異なる外部ネットワーク(第1のネットワーク)の別の一例である。ここでは、一例として、情報端末111が、リモートオフィス等に設けられたネットワークであるリモートネットワーク110に接続されているものとして、以下の説明を行う。
A remote network (first network) 110 is an example of an external network (first network) different from the
情報端末(アクセス元の端末)111は、利用者が利用する、例えば、PC(Personal Computer)、タブレット端末、又はスマートフォン等のウェブブラウザの機能を備えた情報処理装置である。情報端末111は、リモートネットワーク110、及び通信ネットワーク2を介して、アプリサーバ11、及びリレーサーバ13等にアクセス可能である。なお、情報端末111は、第1のネットワークに接続するアクセス元の端末の一例である。
An information terminal (access source terminal) 111 is an information processing apparatus having a web browser function, such as a PC (Personal Computer), a tablet terminal, or a smart phone, used by a user. The
ローカルネットワーク(第2のネットワーク)100は、ファイアウォール等により、通信ネットワーク2、又はリモートネットワーク110等の外部ネットワークからのアクセスが制限された、社内LAN(Local Area Network)等のネットワークである。なお、ローカルネットワーク100は、第1のネットワークとは異なる第2のネットワークの一例である。
A local network (second network) 100 is a network such as an in-house LAN (Local Area Network) to which access from an external network such as the
図1において、サービスプラットフォーム12とセキュアボックス14とは、例えば、MQTT(Message Queue Telemetry Transport)等の通信プロコトルで、予め通信可能に設定されているものとする。また、情報端末111及びリレーサーバ13等から、ローカルネットワーク100内のセキュアボックス14、情報処理装置101、及び画像形成装置102等へのアクセスは禁止されているものとする。
In FIG. 1, it is assumed that the
情報処理装置(アクセス先の端末)101は、ローカルネットワーク100に接続されたPC等の情報処理装置であり、例えば、リモートデスクトップサービス等の所定のサービスを提供する。画像形成装置(アクセス先の端末)102は、ローカルネットワーク100に接続された電子機器であり、例えば、ファクスサービス等の所定のサービスを提供する。
An information processing device (access destination terminal) 101 is an information processing device such as a PC connected to the
なお、情報処理装置101、及び画像形成装置102は、ローカルネットワーク100に接続され、所定のサービスを提供するアクセス先の端末の一例である。アクセス先の端末は、例えば、PJ(Projector:プロジェクタ)、IWB(Interactive White Board:相互通信が可能な電子式の黒板機能を有する白板)、デジタルサイネージ等であっても良い。また、アクセス先の端末は、例えば、産業機械、撮像装置、集音装置、医療機器、ネットワーク家電、スマートフォン、タブレット端末、ゲーム機、PDA(Personal Digital Assistant)、デジタルカメラ等であっても良い。
The
アプリサーバ11は、例えば、コンピュータの構成を有する情報処理装置、又は複数の情報処理装置を含むシステムである。アプリサーバ11は、例えば、通信システム1を利用して、ローカルネットワーク100内の情報処理装置101、又は画像形成装置102等のアクセス先の端末を利用するためのウェブコンテンツ等を、情報端末111に提供するウェブサーバの機能を有する。また、アプリサーバ11は、例えば、通信システム1を管理する管理者等が利用する情報端末である管理端末5等に、通信システム1の設定を行うためのウェブページを提供する機能を有していても良い。
The
サービスプラットフォーム12は、例えば、コンピュータの構成を有する情報処理装置、又は複数の情報処理装置を含むシステムである。サービスプラットフォーム12は、アプリサーバ11と連携して、セキュアボックス14等を制御する機器制御処理を実行する。また、サービスプラットフォーム12は、例えば、認証処理、及びログ情報の管理等も行う。
The
リレーサーバ13は、例えば、コンピュータの構成を有する情報処理装置、又は複数の情報処理装置を含むシステムである。リレーサーバ13は、情報端末111と、セキュアボックス14との間の通信を中継する。
The
アプリサーバ11、サービスプラットフォーム12、及びリレーサーバ13は、情報端末111等のアクセス元の端末にリモートアクセスサービスを提供する通信管理システム10を構成している。なお、アプリサーバ11、サービスプラットフォーム12、及びリレーサーバ13の機能は、1つのサーバ装置に含まれていても良いし、さらに多くのサーバ装置に分散して設けられていても良い。このように、アプリサーバ11、サービスプラットフォーム12、及びリレーサーバ13は様々なシステム構成が可能なので、以下の説明では、アプリサーバ11、サービスプラットフォーム12、及びリレーサーバ13を特に区別せず、単に通信管理システム10と呼ぶ場合がある。
The
セキュアボックス(通信装置)14は、例えば、コンピュータの構成と通信機能を有する通信機器、又は情報処理装置である。セキュアボックス14は、通信管理システム10からの制御に従って、リレーサーバ13に接続し、情報端末111から、ローカルネットワーク100に接続するアクセス先の端末(情報処理装置101、又は画像形成装置102)へのリモートアクセスを制御する。なお、セキュアボックス14は、ローカルネットワーク(第2のネットワーク)100に接続する通信装置の一例である。
The secure box (communication device) 14 is, for example, a communication device having a computer configuration and a communication function, or an information processing device. The
管理端末5は、例えば、通信システム1を管理する管理者等が利用する、ウェブブラウザの機能を備えた情報端末である。
The
上記のシステム構成において、情報端末111は、リモートネットワーク110から、通信ネットワーク2に接続することができるが、ローカルネットワーク100に接続されている情報処理装置101、及び画像形成装置102にアクセスすることはできない。
In the above system configuration, the
従来は、このような場合、情報端末111から、ローカルネットワーク100に接続するアクセス先の端末と通信するために、例えば、VPN(Virtual Private Network)等により暗号化して通信を行っていた。
Conventionally, in such a case, in order to communicate from the
リモートネットワーク110に接続する情報端末111から、ローカルネットワーク100に接続するアクセス先の端末に対して、VPNで接続する方法として、例えば、IPsec(Internet Protocol Security)等が知られている。この方法を利用する場合、管理者等は、IPsecで正しく通信できるように、例えば、ルータのルーティング設定、ファイアウォールのアクセス制御リストの設定等のネットワーク設定を、適切に設定する必要がある。
As a method for connecting the
VPNで接続された後は、例えば、リモートネットワーク110に接続する情報端末111は、ファイアウォールのアクセス制御に従って、ローカルネットワーク100に接続するアクセス先の端末にアクセスすることができる。ただし、ファイアウォールによるアクセス制御は、基本的に、IPアドレス、又はトランスポートレイヤのポート番号(例えば、3389/tcp等)によるアクセス制御になる。従って、例えば、ログインユーザごとのアクセス制御を実現するためには、ログインユーザとIPアドレス等の識別子を紐付ける作業、及び既存のネットワーク構成を変更作業等の煩雑な作業が求められる。
After being connected by VPN, for example, the
そこで、本実施形態では、ローカルネットワーク100内に、通信管理システム10と暗号通信するセキュアボックス14を設置し、情報端末111から、通信管理システム10とセキュアボックス14とを介して、アクセス先の端末と暗号通信を行う。これにより、情報端末111を利用する利用者は、簡単な設定で、ローカルネットワーク100に接続するアクセス先の端末と、セキュアに通信できるようになる。
Therefore, in the present embodiment, a
(接続処理の概要)
上記のシステム構成において、情報端末111を利用する利用者は、例えば、情報処理装置101が提供するリモートデスクトップサービスを利用する場合、ウェブブラウザ等を用いてアプリサーバ11が提供する所定のウェブページにアクセスする。利用者は、このウェブページから、利用したいサービスを選択することにより、例えば、情報処理装置101が提供するリモートデスクトップサービスへの接続を要求することができる。なお、利用者は、情報端末111が備えるウェブブラウザに限られず、例えば、ウェブブラウザの機能を有する、通信システム1用のアプリケーションプログラム(以下、アプリと呼ぶ)を利用して、所定のウェブページにアクセスしても良い。
(Overview of connection processing)
In the above system configuration, a user using the
アプリサーバ11は、情報端末111からの接続要求を受け付けると、セッションを識別する識別情報であるセッションIDを生成(発行)する。また、アプリサーバ11は、サービスプラットフォーム12を利用して、生成したセッションIDをセキュアボックス14に通知するとともに、リレーサーバ13への接続を要求する。さらに、アプリサーバ11は、発行したセッションIDを要求元の情報端末111に通知する。
When receiving a connection request from the
セキュアボックス14は、通信管理システム10からの要求に従って、通知されたセッションIDを用いて、第1の暗号通信3でリレーサーバ13に接続する。例えば、セキュアボックス14は、Web Socket over HTTPS(Hypertext Transfer Protocol Secure)(以下、wwsと呼ぶ)を利用した第1の暗号通信3で、リレーサーバ13とセッションを確立する。
The
また、情報端末111は、通信管理システム10から通知されたセッションIDを用いて、第2の暗号通信4でリレーサーバ13に接続する。例えば、情報端末111は、wwsを利用した第2の暗号通信4で、リレーサーバ13とセッションを確立する。
Also, the
リレーサーバ13は、同じセッションID(識別情報)を用いてリレーサーバ13とセッションを確立した、情報端末111とセキュアボックス14との間の通信を中継する。例えば、リレーサーバ13は、第1の暗号通信3と、第2の暗号通信4とをトンネリングすることにより、情報端末111とセキュアボックス14とを通信可能に接続する。
上記の処理により、情報端末111は、wssでセキュアボックス14に接続することができる。また、セキュアボックス14は、例えば、情報端末111のウェブブラウザから、ローカルネットワーク100に接続された情報処理装置101が提供するリモートデスクトップサービス等を利用するためのプロトコル変換機能を有している。なお、本実施形態に係るプロトコル変換は、アプリケーションレベルのプロトコルを変換するものであり、例えば、一般的なゲートウェイ等が実行する下位レイヤのプロトコル変換とは異なる。
By the above processing, the
例えば、セキュアボックス14は、情報処理装置101が提供するリモートデスクトップサービスからのRDP(Remote Desktop Protocol)形式リモートデスクトップ画面を、情報端末111のウェブブラウザで表示可能な形式の画像データに変換する。また、セキュアボックス14は、情報端末111から受信したwwsの操作情報を、RDP形式の操作情報に変換して、リモートデスクトップサービスに送信する。
For example, the
上記の処理により、情報端末111は、例えば、ネットワーク構成の変更作業等の煩雑な作業を行わなくても、ローカルネットワーク100に接続された情報処理装置101と容易に、かつセキュアに通信することができる。また、情報端末111は、セキュアボックス14のプロトコル変換機能を利用して、ローカルネットワーク100に接続された、例えば、情報処理装置101が提供するリモートデスクトップサービスを、情報端末111のウェブブラウザ等を用いて利用できるようになる。
With the above processing, the
(課題について)
上記の通信システム1では、情報端末111からセキュアボックス14に接続するための通信(第1の通信)に関するログ情報(第1のログ情報)は、通信管理システム10で管理される。一方、情報端末111とアクセス先の端末との間の通信(第2の通信)に関するログ情報(第2のログ情報)は、例えば、セキュアボックス14等のローカルネットワーク側で管理される。ここで、ログ情報とは、例えば、通信の開始、終了、アクセス元へのログイン、又は各種の操作等の様々なイベントが発生した日時と、イベントの内容等を記録した情報である。このログ情報は、ローカルネットワーク100内の出退勤システム等の業務システムにおいて、例えば、出退勤の管理等の様々な業務に利用することができる。
(About assignment)
In the
しかし、図1で説明した通信システム1では、通信管理システム10が管理する第1のログ情報と、ローカルネットワーク側でセキュアボックス14等が管理する第2のログ情報は、互いに連携している。従って、通信システム1を利用して、情報端末111を利用する利用者の情報を管理するためには、通信管理システム10が管理する第1のログ情報と、セキュアボックス14等が管理する第2のログ情報とを対応付けた第3のログ情報を確認することが求められる。
However, in the
そこで、本実施形態では、アクセス元の端末から、通信管理システム10とセキュアボックス14とを介して、アクセス先の端末にリモートアクセスする通信システム1において、ローカルネットワーク側でログ情報を一元管理できるようにする。
Therefore, in the present embodiment, in the
例えば、通信管理システム10は、情報端末111とセキュアボックス14との間の第1の通信に関する第1のログ情報を取得し、セキュアボックス14に送信する。また、セキュアボックス14は、情報端末111とアクセス先の端末との間の第2の通信に関する第2のログ情報を取得し、通信管理システム10から受信した第1のログ情報と、取得した第2のログ情報とを含む第3のログ情報をログサーバ15等に記憶して管理する。
For example, the
このように、本実施形態によれば、アクセス元の端末から、通信管理システム10とセキュアボックス14とを介して、アクセス先の端末にリモートアクセスする通信システム1において、ローカルネットワーク100側でログ情報を一元管理できるようになる。これにより、例えば、ローカルネットワーク100内の出退勤システム等の業務システムは、ログサーバ15等に記憶した第3のログ情報を利用して、情報端末111を利用する利用者の出退勤、アクセス先の端末の利用状況等の様々な情報を管理できるようになる。
As described above, according to the present embodiment, in the
なお、図1に示した通信システム1のシステム構成は一例である。例えば、図1の例では、ローカルネットワーク100は、セキュアボックス14を介して通信ネットワーク2に接続している。ただし、これは一例であり、ローカルネットワーク100は、ルータ、及びファイアウォール等を介して、通信ネットワーク2に接続していても良い。この場合、セキュアボックス14は、ルータ、及びファイアウォールを介して、サービスプラットフォーム12、及びリレーサーバと通信する。
Note that the system configuration of the
また、セキュアボックス14は、ローカルネットワーク100に接続する通信装置の一例である。通信装置は、例えば、通信機能を有し、所定のプログラムを実行するサーバ装置等であっても良い。さらに、通信ネットワーク2には、例えば、移動体通信、又は無線LAN等の無線通信による接続区間が含まれていても良い。
Also, the
<ハードウェア構成>
情報端末111、情報処理装置101、及び管理端末5等は、例えば、図2に示すようなコンピュータ200のハードウェア構成を有している。また、アプリサーバ11、サービスプラットフォーム12、リレーサーバ13、及び通信管理システム10等は、1つ以上のコンピュータ200によって実現される。
<Hardware configuration>
The
図2は、一実施形態に係るコンピュータのハードウェア構成の例を示す図である。コンピュータ200は、例えば、図2に示されるように、CPU(Central Processing Unit)201、ROM(Read Only Memory)202、RAM(Random Access Memory)203、HD(Hard Disk)204、HDD(Hard Disk Drive)コントローラ205、ディスプレイ206、外部機器接続I/F(Interface)207、1つ以上のネットワークI/F208、キーボード209、ポインティングデバイス210、DVD-RW(Digital Versatile Disk Rewritable)ドライブ212、メディアI/F214、及びバスライン215等を備えている。
FIG. 2 is a diagram illustrating an example of a hardware configuration of a computer according to one embodiment; The
これらのうち、CPU201は、コンピュータ200全体の動作を制御する。ROM202は、例えば、IPL(Initial Program Loader)等のコンピュータ200の起動に用いられるプログラムを記憶する。RAM203は、例えば、CPU201のワークエリア等として使用される。HD204は、例えば、OS(Operating System)、アプリケーション、デバイスドライバ等のプログラムや、各種データを記憶する。HDDコントローラ205は、例えば、CPU201の制御に従ってHD204に対する各種データの読み出し又は書き込みを制御する。
Among these, the
ディスプレイ206は、例えば、カーソル、メニュー、ウィンドウ、文字、又は画像などの各種情報を表示する。なお、ディスプレイ206は、コンピュータ200の外部に設けられていても良い。外部機器接続I/F207は、コンピュータ200に、例えば、電子機器、測定器、外部記憶装置等の様々な外部装置を接続するUSB、RS-232C等のインタフェースである。1つ以上のネットワークI/F208は、例えば、通信ネットワーク2、ローカルネットワーク100、又はリモートネットワーク110等を利用してデータ通信をするためのインタフェースである。
The
キーボード209は、文字、数値、各種指示などの入力のための複数のキーを備えた入力手段の一種である。ポインティングデバイス210は、各種指示の選択や実行、処理対象の選択、カーソルの移動などを行なう入力手段の一種である。なお、キーボード209、及びポインティングデバイス210は、コンピュータ200の外部に設けられていても良い。
The
DVD-RWドライブ212は、着脱可能な記録媒体の一例としてのDVD-RW211に対する各種データの読み出し又は書き込みを制御する。なお、DVD-RW211は、DVD-RWに限らず、DVD-R等であっても良い。メディアI/F214は、フラッシュメモリ等のメディア213に対するデータの読み出し又は書き込み(記憶)を制御する。バスライン215は、上記の各構成要素を電気的に接続するためのアドレスバス、データバス及び各種の制御信号等を含む。
A DVD-
なお、図2に示すコンピュータ200の構成は一例である。コンピュータ200は、例えば、CPU201、ROM202、RAM203、1つ以上のネットワークI/F208、及びバスライン215を有していれば、他は任意の構成であって良い。また、例えば、画像形成装置102等のアクセス先の端末のハードウェア構成は、通信機能と、コンピュータの構成を備えていれば良く、他は任意の構成であって良い。
Note that the configuration of the
<機能構成>
続いて、通信システム1に関連する各装置、及びシステムの機能構成について説明する。
<Functional configuration>
Next, each device related to the
(通信管理システムの機能構成)
図3は、一実施形態に係る通信管理システムの機能構成の例を示す図である。通信管理システム10は、例えば、1つ以上のコンピュータ200で所定のプログラムを実行することにより、受付部311、第1の通信管理部312、記憶部313、認証部321、機器制御部322、ログ情報送信部323、取得部324、ログ情報記憶部325、ユーザ情報記憶部326、接続管理部331、及び中継部332等を実現している。なお、上記の各機能構成のうち、少なくとも一部は、ハードウェアによって実現されるものであっても良い。
(Functional configuration of communication management system)
FIG. 3 is a diagram illustrating an example of a functional configuration of a communication management system according to one embodiment; For example, by executing a predetermined program on one or
受付部311は、例えば、アプリサーバ11が備えるCPU201等で実行されるプログラムによって実現され、情報端末111からの接続要求、又は管理端末5からの設定要求等の要求情報を受け付ける受付処理を実行する。例えば、受付部311は、通信管理システム10が提供するサービスを利用するためのウェブコンテンツを提供するウェブサーバとして機能する。
The
第1の通信管理部312は、例えば、アプリサーバ11が備えるCPU201等で実行されるプログラムによって実現される。第1の通信管理部312は、例えば、情報端末(アクセス元の端末の一例)111と、セキュアボックス(通信装置一例)14との間の通信(以下、第1の通信と呼ぶ)をセッションID(識別情報)と対応付けて管理する第1の通信管理処理を実行する。
The first
記憶部313は、例えば、アプリサーバ11が備えるCPU201等で実行されるプログラム、HD204、及びHDDコントローラ205等によって実現され、通信システム1が管理する様々な情報を記憶する。なお、通信システム1が管理する情報については後述する。
The
認証部321は、例えば、サービスプラットフォーム12(以下、サービスPF12と表記する)が備えるCPU201等で実行されるプログラムによって実現される。認証部321は、例えば、情報端末111を利用する利用者、管理端末5を利用する管理者、情報端末111、及びセキュアボックス14等を認証する認証処理を実行する。なお、通信システム1は、例えば、外部の認証サーバ等を用いて、認証を行うものであっても良い。
The
機器制御部322は、例えば、サービスPF12が備えるCPU201等で実行されるプログラムによって実現され、ローカルネットワーク100に接続するセキュアボックス14等の通信装置を制御する機器制御処理を実行する。例えば、機器制御部322は、ローカルネットワーク100に接続するセキュアボックス14からの要求に応じて、セキュアボックス14と通信管理システム10との間で通信(例えば、MQTTによる常時接続)を確立する。また、機器制御部322は、受付部311が、情報端末111からの接続要求を受け付けたときに、受付部311が生成したセッションIDをセキュアボックス14に通知して、リレーサーバ13への接続を要求する。また、通信管理システム10に含まれる各機能構成は、機器制御部322を利用して、セキュアボックス14と通信することができる。
The
ログ情報送信部323は、例えば、情報端末111等のアクセス元の端末と、セキュアボックス14等の通信装置との間の第1の通信に関する第1のログ情報を、セキュアボックス14等に送信するログ情報送信処理を実行する。なお、ログ情報送信部323が、セキュアボックス14等に送信する第1のログ情報には、第1の通信に関するログ情報に限られず、例えば、通信管理システム10で発生した所定のイベントに対応する様々なログ情報が含まれていても良い。
The log
取得部324は、例えば、サービスPF12が備えるCPU201等で実行されるプログラムによって実現され、ログサーバ15が管理するログ情報(第3のログ情報)を、機器制御部322及びセキュアボックス14等を介して取得する取得処理を実行する。
The
ログ情報記憶部325は、例えば、サービスPF12が備えるCPU201等で実行されるプログラム、HD204、及びHDDコントローラ205等によって実現され、通信管理システム10が生成する第1のログ情報を記憶する。
The log
ユーザ情報記憶部326は、例えば、サービスPF12が備えるCPU201等で実行されるプログラム、HD204、及びHDDコントローラ205等によって実現され、認証部321が認証に用いるユーザ情報等を記憶する。例えば、ユーザ情報記憶部326は、後述するテナントリスト602、ユーザリスト603、及びユーザグループリスト701等を記憶する。
The user
接続管理部331は、例えば、リレーサーバ13が備えるCPU201等で実行されるプログラムによって実現され、リレーサーバ13が中継する第1の暗号通信3と、第2の暗号通信4との接続を管理する。
The
中継部308は、例えば、リレーサーバ13が備えるCPU201等で実行されるプログラムによって実現され、情報端末(アクセス元の端末)111と、セキュアボックス(通信装置)14との間の通信を中継する。例えば、中継部308は、同一のセッションIDを用いて、セキュアボックス14との間に確立される第1の暗号通信3と、情報端末111との間に確立される第2の暗号通信4との間にトンネルを確立することにより、第1の暗号通信3と第2の暗号通信4との間を中継する。
The relay unit 308 is implemented by, for example, a program executed by the
なお、図3に示す通信管理システム10の機能構成は一例である。通信管理システム10に含まれる各機能構成は、通信管理システム10に含まれる任意のコンピュータ200が実行するプログラムによって実現することができる。また、リレーサーバ13は、通信管理システム10が外部に設けられていても良い。さらに、認証部321、及び記憶部313は、通信管理システム10、又は通信システム1の外部のサーバ装置によって実現されるものであっても良い。
Note that the functional configuration of the
(セキュアボックスの機能構成)
図4は、一実施形態に係るセキュアボックスの機能構成の例を示す図である。セキュアボックス14の機能構成について説明する前に、ローカルネットワーク100の一例の概要について説明する。図4の例では、ローカルネットワーク100には、ルータ411、及びファイアウォール412を介して、通信ネットワーク2に接続される第1のローカルネットワーク410が含まれる。また、ローカルネットワーク100には、セキュアボックス14を介して、第1のローカルネットワーク410に接続する第2のローカルネットワーク420が含まれていても良い。
(Functional configuration of secure box)
FIG. 4 is a diagram illustrating an example of a functional configuration of a secure box according to one embodiment; Before describing the functional configuration of the
図4の例では、第1のローカルネットワーク410には、セキュアボックス14、ログサーバ15a、情報処理装置101、及び画像形成装置102等が接続されている。また、第1のローカルネットワーク410には、情報処理装置101、及び画像形成装置102に限られず、様々な情報処理装置、電子機器、又はシステムが接続されていても良い。
In the example of FIG. 4, the first
また、第2のローカルネットワーク420には、例えば、テナント専用の稟議サービスを提供する稟議サーバ421、又はテナント専用の出退勤管理サービスを提供する出退勤サーバ422、及びログサーバ15b等が接続されている。なお、ローカルネットワーク100には、ログサーバ15a、又はログサーバ15bのいずれか1つが含まれていれば良い。また、以下の説明において、ログサーバ15a、及びログサーバ15bのうち、任意のログサーバを示す場合、「ログサーバ15」を用いる。
Also, the second
続いて、セキュアボックス14の機能構成について説明する。なお、セキュアボックス14は、第1のネットワークとは異なる第2のネットワークに接続する通信装置の一例である。
Next, the functional configuration of the
セキュアボックス14は、セキュアボックス14が備えるコンピュータ200で所定のプログラムを実行することにより、例えば、第1の通信部401、暗号通信部402、第2の通信管理部403、1つ以上の変換部404、装置管理部405、ログ情報管理部406、第2の通信部407、及び記憶部408等を実現している。なお、上記の各機能構成のうち、少なくとも一部は、ハードウェアによって実現されるものであっても良い。
The
第1の通信部401は、例えば、ネットワークI/F208を用いて、セキュアボックス14を第1のローカルネットワーク410に接続し、他の装置と通信を行う第1の通信処理を実行する。
The
暗号通信部402は、例えば、通信管理システム10から通知されるセッションID(識別情報)を用いて、第1の暗号通信3でリレーサーバ13とセッションを確立する暗号通信処理を実行する。
The
第2の通信管理部403は、アクセス元の端末(例えば、情報端末111)と、アクセス先の端末(例えば、情報処理装置101、又は画像形成装置102等)との間の通信(以下、第2の通信と呼ぶ)を管理する第2の通信管理処理を実行する。
The second
例えば、第2の通信管理部403が、アクセス元の情報端末111から、情報処理装置101が提供するリモートデスクトップサービスへのログイン要求を受け付けたものとする。この場合、第2の通信管理部403は、情報端末111が利用するwss(WebSocket over HTTPS)プロトコルと、情報処理装置101が利用するRDP(Remote Desktop Protocol)プロトコルとの間を相互に変換する変換部404を起動する。また、第2の通信管理部403は、起動した変換部404を介して、アクセス元の情報端末111とアクセス先の情報処理装置101とが第2の通信を行えるように設定する。また、第2の通信管理部403は、第2の通信に関するログ情報(以下、第2のログ情報と呼ぶ)を生成し、ログ情報管理部406等に出力する。
For example, it is assumed that the second
1つ以上の変換部404は、アクセス元の端末が利用するプロトコルと、アクセス先の端末が利用するプロトコルとの間を相互にプロトコル変換する変換処理を実行する。例えば、1つ以上の変換部404は、情報端末111が利用するwssプロトコルと、アクセス先の情報処理装置101が利用するRDPプロトコルとの間を相互に変換する一の変換部404を含む。また、1つ以上の変換部404は、情報端末111が利用するwssプロトコルと、画像形成装置102が提供するファクスサービスを利用するためのWebAPI(Application Programming Interface)との間を相互に変換する別の変換部404を含む。なお、画像形成装置102が提供するファクスサービスを利用するためのWebAPIは、本実施形態に係るアクセス先の端末が利用するプロトコルの一例である。
One or
装置管理部405は、例えば、セキュアボックス14の起動処理等のセキュアボックス14全体の処理を行う。また、装置管理部405は、例えば、通信管理システム10等から設定されるセキュアボックス14の設定情報を、記憶部408等に記憶して管理する。
The
ログ情報管理部406は、通信管理システム10から第1のログ情報を受信し、第1のログ情報と、第2の通信管理部403が出力する第2のログ情報とを含む第3のログ情報を、記憶部408等に記憶して管理するログ情報管理処理を実行する。
The log
第2の通信部407は、例えば、第1の通信部401とは異なるネットワークI/F208を用いて、第2のローカルネットワーク420をセキュアボックス14に接続する。
The
記憶部408は、例えば、セキュアボックス14が備えるCPU201等で実行されるプログラム、HD204、及びHDDコントローラ205等によって実現され、セキュアボックス14の設定情報を含む様々な情報を記憶する。
The
(情報端末の機能構成)
情報端末111は、例えば、情報端末111が備えるCPU201で所定のプログラムを実行することにより、通信部501、暗号通信部502、表示制御部503、操作受付部504、及び記憶部505等を実現している。なお、上記の各機能構成のうち、少なくとも一部は、ハードウェアによって実現されるものであっても良い。
(Functional configuration of information terminal)
The
通信部501は、例えば、ネットワークI/F208を用いて情報端末111を通信ネットワーク2、又はリモートネットワーク110に接続し、他の装置と通信を行う通信処理を実行する。
For example, the
暗号通信部502は、例えば、CPU201で実行されるウェブブラウザ、又はOS等によって実現され、通信管理システム10から通知されるセッションID(識別情報)を用いて、第2の暗号通信4でリレーサーバ13とセッションを確立する。
The
表示制御部503は、例えば、コンピュータ200で実行されるウェブブラウザ等によって実現され、通信管理システム10、又はセキュアボックス14等から送信される表示画面(Web UI、HTML画面等)を表示する。また、表示制御部503は、表示画面に音声データ等が含まれている場合、音声の再生等も制御する。
The
操作受付部504は、例えば、コンピュータ200で実行されるウェブブラウザ等によって実現され、表示制御部503が表示する表示画面に対する、利用者(又は管理者)等による操作を受け付ける。
The
記憶部505は、例えば、CPU201で実行されるプログラム、HD204、及びHDDコントローラ205等によって実現され、様々な情報又はデータ等を記憶する。
The
なお、管理端末5は、一般的なウェブブラウザを備えたコンピュータ200であり、例えば、図5に示す情報端末111と同様の機能構成、又は情報端末111の機能構成から、暗号通信部502を省略した機能構成を有している。
Note that the
<通信システムが管理する情報>
図6~10は、一実施形態に係る通信システムが管理する情報の例を示す図である。図6(A)は、通信システム1が管理するサービスURLリストの一例のイメージを示している。通信システム1に含まれる各装置は、アクセス先の装置に接続するためのURL情報を、例えば、図6(A)に示すようなサービスURLリスト601に記憶しておくと良い。
<Information managed by the communication system>
6 to 10 are diagrams showing examples of information managed by the communication system according to one embodiment. FIG. 6A shows an image of an example of a service URL list managed by the
図6(B)は、通信システム1が管理するテナントリスト602の一例のイメージを示している。通信管理システム10は、例えば、図6(B)に示すようなテナントリスト602を、ユーザ情報記憶部326等に記憶して管理している。テナントリスト602は、例えば、テナントIDと、テナント名とを対応付けて記憶している。テナントIDは、例えば、企業、団体、組織、グループ等の契約単位であるテナントを識別する識別情報(テナント識別情報)である。テナント名は、テナントの名前等を示す情報である。
FIG. 6B shows an image of an example of a
図6(C)は、通信システム1が管理するユーザリスト603の一例のイメージを示している。通信管理システム10は、例えば、図6(C)に示すようなユーザリスト603を、ユーザ情報記憶部326等に記憶して管理している。ユーザリスト603は、例えば、テナントIDと、ユーザIDと、ユーザ名と、表示名と、パスワード(Hash化)とを対応付けて記憶している。ユーザIDは、通信システム1に登録されている利用者を識別する識別情報である。ユーザ名は、利用者の名前等を示す情報である。表示名は、利用者の表示名である。パスワード(Hash化)は、利用者を認証するための認証情報の一例である。利用者を認証するための認証情報は、例えば、電子証明書等のパスワード以外の認証情報であっても良い。
FIG. 6C shows an example image of the
図7(A)は、通信システム1が管理するユーザグループリスト701の一例のイメージを示している。通信管理システム10は、例えば、図7(A)に示すようなユーザグループリスト701を、ユーザ情報記憶部326等に記憶して管理している。ユーザグループリスト701は、例えば、テナントIDと、ユーザグループIDと、ユーザグループ名と、メンバーリストとを対応づけて記憶している。ユーザグループIDは、利用者をグループ化したユーザグループを識別する識別情報である。ユーザグループ名は、ユーザグループの名前等を示す情報である。メンバーリストには、ユーザグループに所属する1人以上の利用者のユーザIDが記憶されている。
FIG. 7A shows an image of an example of a
図7(B)は、通信システム1が管理するタイプリスト702の一例のイメージを示している。通信管理システム10は、例えば、図7(B)に示すようなタイプリスト702を、記憶部313等に記憶して管理している。タイプリスト702は、例えば、テナントIDと、タイプIDと、タイプ名と、変換プログラムとを対応づけて記憶している。タイプIDは、変換プログラムのタイプを識別する識別情報である。タイプ名は、変換プログラムのタイプの名前等を示す情報である。変換プログラムは、例えば、各テナントに共通の変換プログラム(common)と、テナントごとに専用の変換プログラム(tenant)とを含む。
FIG. 7B shows an example image of the
図8(A)は、通信システム1が管理するサービスリスト801の一例のイメージを示している。通信管理システム10は、例えば、図8(A)に示すようなサービスリスト801を、記憶部313等に記憶して管理している。サービスリスト801は、例えば、テナントIDと、サービスIDと、サービス名と、タイプと、宛先とを対応づけて記憶している。サービスIDは、通信システム1が提供するサービスを識別する識別情報である。サービス名は、サービスの名前等を示す情報である。
FIG. 8A shows an image of an example of a
タイプは、サービスのタイプを示す情報である。宛先は、サービスを提供する電子機器の宛先を示す情報である。なお、宛先は、IPアドレスでも良いし、FQDN(Fully Qualified Domain Name)であっても良い。また、宛先は、IP通信できない電子機器である場合、例えば、RS-232CのCOMポート、又はUSBインタフェース等であっても良い。 The type is information indicating the type of service. The destination is information indicating the destination of the electronic device that provides the service. The destination may be an IP address or an FQDN (Fully Qualified Domain Name). Also, if the destination is an electronic device that cannot perform IP communication, it may be, for example, an RS-232C COM port or a USB interface.
図8(B)は、通信システム1が管理するサービスグループリスト802の一例のイメージを示している。通信管理システム10は、例えば、図8(B)に示すようなサービスグループリスト802を、記憶部313等に記憶して管理している。サービスグループリスト802は、例えば、テナントIDと、サービスグループIDと、サービスグループ名と、メンバーリストと、ログサーバサービスIDと、を対応づけて記憶している。
FIG. 8B shows an example image of the
サービスグループIDは、サービスをグループ化したサービスグループを識別する識別情報である。サービスグループ名は、サービスグループの名前等を示す情報である。メンバーリストには、サービスグループに含まれるサービスのサービスID等が記憶される。ログサーバサービスIDは、各テナントで利用するログサーバ15を識別する識別情報である。
The service group ID is identification information that identifies a service group in which services are grouped. The service group name is information indicating the name of the service group. The member list stores service IDs and the like of services included in the service group. The log server service ID is identification information for identifying the
図8(C)は、通信システム1が管理するアクションリスト803の一例のイメージを示している。通信管理システム10は、例えば、図8(C)に示すようなアクションリスト803を、記憶部313等に記憶して管理している。アクションリスト803は、例えば、テナントIDと、アクションIDと、アクション名と、アクションとを対応づけて記憶している。アクションIDは、アクションを識別する識別情報である。アクション名は、アクションの名前等を示す情報である。アクションには、各テナントに共通のアクション(common)と、テナントごとに専用のアクション(tenant)とが含まれる。また、アクションには、例えば、許可する、拒否する、又は多要素認証する等の実行内容が定義されている。また、アクションの中で、ログ情報を残すことができる。
FIG. 8C shows an example image of the
図9(A)は、通信システム1が管理するポリシーリスト901の一例のイメージを示している。通信管理システム10は、例えば、図9(A)に示すようなポリシーリスト901を、記憶部313等に記憶して管理している。ポリシーリスト901は、例えば、テナントIDと、ポリシーIDと、ポリシー名と、優先度と、ユーザと、サービスと、アクションとを対応づけて記憶している。ポリシーIDは、ポリシーを識別する識別情報である。ポリシー名は、ポリシーの名前を示す情報である。
FIG. 9A shows an image of an example of a
優先度は、ポリシーの優先度を示す情報である。ユーザには、各ポリシーに対応する利用者のユーザID、又はユーザグループのユーザグループID等が記憶される。サービスには、各ポリシーに対応するサービスのサービスID、又はサービスグループのサービスグループID等が記憶される。アクションには、各ポリシーに対応するアクションが記憶される。 Priority is information indicating the priority of the policy. The user stores the user ID of the user corresponding to each policy, or the user group ID of the user group. The service stores a service ID of a service corresponding to each policy, a service group ID of a service group, or the like. The action stores an action corresponding to each policy.
通信管理システム10は、ポリシーリスト901に基づいて、アクセスした「利用者又はユーザグループ」と、「サービス又はサービスグループ」が一致したときに「アクション」を実行する。また、これらのポリシーは、複数の「利用者又はユーザグループ」、又は「サービス又はサービスグループ」と一致することがあるため、通信管理システム10は、優先度を設定でき、優先度が高いものに一致したときにアクションを実行する。
Based on the
ここで、ポリシーは設定されている優先順位によりアクションを実行することにしているが、これに限られない。例えば、通信管理システム10は、より細かい設定の場合にアクションを実行するロンゲストマッチなどの手法や、アクションに実行後に継続して、次のポリシーに一致しているか確認し、次に一致したポリシーのアクションを実行する方式をとることもできる。
Here, the policy is supposed to execute actions according to the set priority, but it is not limited to this. For example, the
図9(B)は、通信システム1が管理するセキュアボックスリスト902の一例のイメージを示している。通信管理システム10は、例えば、図9(B)に示すようなセキュアボックスリスト902を記憶部313等に記憶して管理している。セキュアボックスリスト902は、例えば、テナントIDと、デバイスIDと、デバイス名と、自動更新等の設定情報を対応づけて記憶している。デバイスIDは、セキュアボックス14を識別する識別情報(装置識別情報)である。デバイス名は、セキュアボックス14の名前等を示す情報である。自動更新は、セキュアボックス14の設定情報の自動更新が有効であるか否か、及び自動更新が有効である場合の更新タイミング等を示す設定情報の一例である。
FIG. 9B shows an example image of a
図9(C)は、通信システム1が管理するログデータ転送先リスト903の一例のイメージを示している。通信管理システム10は、例えば、図9(C)に示すようなログデータ転送先リスト903を、記憶部313等に記憶して管理している。ログデータ転送先リスト903には、テナントと識別するテナントIDに対応付けて、ログ情報を転送する転送先のデバイスを指定するデバイスIDとログサーバサービスIDとが記憶されている。
FIG. 9C shows an example image of the log data
<ログ情報について>
(ログ情報の流れ)
図10は、一実施形態に係るログ情報の流れについて説明するための図である。図10において、情報端末111aは、通信システム1を利用して、ローカルネットワーク100aのセキュアボックス14aに接続し、例えば、ローカルネットワーク100a内の情報処理装置が提供するリモートデスクトップサービスを利用するものとする。同様に、情報端末111bは、通信システム1を利用して、ローカルネットワーク100bのセキュアボックス14bに接続し、例えば、ローカルネットワーク100b内の情報処理装置が提供するリモートデスクトップサービスを利用するものとする。なお、図10において、実線の矢印は、主にログ情報に関する通信の流れを示しており、破線は、リモートデスクトップサービスの通信を示している。
<About log information>
(Flow of log information)
FIG. 10 is a diagram for explaining the flow of log information according to one embodiment. In FIG. 10, the
情報端末111aを利用する利用者は、情報端末111のウェブブラウザ等を用いて、アプリサーバ11にアクセスして、通信システム1に対して、例えば、リモートデスクトップサービスの開始を要求することができる。
A user using the
アプリサーバ11は、例えば、情報端末111aからリモートデスクトップサービスの開始要求を受け付けると、サービスPF12を利用して、情報端末111aに対応するセッション(以下、セッションAと呼ぶ)を開始する。これにより、情報端末111aは、情報端末111a(又は情報端末111aの利用者)が所属するテナントAに設けられたローカルネットワーク100a内のセキュアボックス14aと、リレーサーバ13を介して、セッションAによる暗号通信を行うことができる。このとき、サービスPF12は、このセッションA(第1の通信)に関するログ情報(第1のログ情報)を、ローカルネットワーク100aのセキュアボックス14aに送信する。
For example, upon receiving a remote desktop service start request from the
また、情報端末111aは、セッションAが確立すると、リレーサーバ13を介して、セキュアボックス14aに対して、情報処理装置101が提供するリモートデスクトップサービスにログインするためのPCログイン情報等を送信する。これに応じて、セキュアボックス14aは、リモートデスクトップサービスに対応する変換部404を起動するとともに、情報端末111aと情報処理装置との間の通信を中継する。このとき、セキュアボックス14aは、情報端末111aと情報処理装置との間の通信(第2の通信)に関するログ情報(第2のログ情報)を出力する。
Further, when session A is established, the
セキュアボックス14aは、サービスPF12が送信するテナントAの第1のログ情報、及びセキュアボックス14aが出力する第2のログ情報を、テナントAに対応するログサーバ15に送信して、第3のログ情報として管理する。
The
同様にして、情報端末111bは、リレーサーバ13を介して、ローカルネットワーク100bのセキュアボックス14bとセッションBで暗号通信を行うことができる。このとき、サービスPF12は、このセッションB(第1の通信)に関するログ情報(第1のログ情報)を、ローカルネットワーク100bのセキュアボックス14bに送信する。また、情報端末111bは、セッションBが確立すると、セキュアボックス14bを介して、リモートデスクトップサービスを提供する情報処理装置と通信を行う。また、セキュアボックス14bは、サービスPF12が送信するテナントBの第1のログ情報、及びセキュアボックス14bが出力する第2の通信に関する第2のログ情報を、テナントBに対応するログサーバ15に送信して、第3のログ情報として管理する。
Similarly, the
なお、サービスPF12が管理する第1のログ情報には、リレーサーバ13が出力するログ情報が、さらに含まれていても良い。
Note that log information output by the
(ログ情報の例)
図11、12は、一実施形態に係るログ情報の例を示す図である。図11(A)は、通信管理システム10が出力する第1のログ情報(利用者)の一例のイメージを示している。第1のログ情報(利用者)1101には、情報端末111を利用する利用者(エンドユーザ)に関するログ情報が含まれる。図11(A)の例では、第1のログ情報(利用者)1101には、項目として、タイムスタンプ、テナントID、セッションID、ログサーバID、ユーザ、サービス、操作、及び結果等の情報が含まれる。
(Example of log information)
11 and 12 are diagrams showing examples of log information according to one embodiment. FIG. 11A shows an image of an example of the first log information (user) output by the
タイムスタンプは、イベントが発生した日時、又はログ情報が出力された日時等を示す情報である。テナントIDは、テナントを識別する識別情報である。セッションIDは、セッションを識別する識別情報である。ログサーバIDは、第1のログ情報1101を送信した送信先のログサーバ15等を識別する識別情報である。ユーザは、情報端末111を利用する利用者の氏名、表示名、又はユーザを識別する識別情報等の情報である。サービスは、利用者が利用したサービスのサービス名、又はサービスを識別する識別情報等の情報である。操作は、利用者による操作内容を示す情報である。結果は、利用者による操作に対する結果を示す情報である。
The time stamp is information indicating the date and time when the event occurred or the date and time when the log information was output. A tenant ID is identification information that identifies a tenant. A session ID is identification information that identifies a session. The log server ID is identification information for identifying the
第1のログ情報(利用者)1101は、情報端末111を利用する利用者が、サービスをどのように操作したかを示している。これは、例えば、プロトコル変換処理で、ブラウザからの操作内容を変換し、操作対象のサービスに指示するタイミング、その応答を受け取るタイミングで意味のあるログが取得できる。これは、通常のネットワークアクセスログでは、アクセス元のアドレス、宛先のアドレス、処理などの情報となり、「だれが」「なにをしたか」を判別することはできないことに対するアドバンテージとなり得る。本実施形態に係る通信システム1では、この第1のログ情報(利用者)1101により、情報端末111を利用する利用者が、どのようなリソースに対して、どのような操作をしたかを把握することができ、例えば、セキュリティ上の追跡及び否認防止等を実現できる。
The first log information (user) 1101 indicates how the user using the
図11(B)は、通信管理システム10が出力する第1のログ情報(管理者)の一例のイメージを示している。第1のログ情報(管理者)1102には、管理端末5を利用する管理者等に関するログ情報が含まれる。図11(B)の例では、第1のログ情報(管理者)1102には、項目として、タイムスタンプ、テナントID、セッションID、ログサーバID、ユーザ、操作、及び結果等の情報が含まれる。これらの各項目は、図11(A)で説明した第1のログ情報(利用者)1101に含まれる各項目と同様であるが、「操作」の内容が、通信管理システム10の管理に関する操作内容となっている。
FIG. 11B shows an image of an example of first log information (administrator) output by the
第1のログ情報(管理者)1102では、管理者等が、どのようなリソースに対して、どのような操作をしたか把握することができ、例えば、セキュリティ上の追跡及び否認防止等を実現することができる。 In the first log information (administrator) 1102, it is possible to grasp what kind of operation the administrator or the like has performed on what kind of resource. can do.
第1のログ情報(利用者)1101、及び第2のログ情報(管理者)1102は、転送先のログサーバ15、又は転送の有無等の設定変更が可能である。また、第1のログ情報(利用者)1101、及び第2のログ情報(管理者)1102は、例えば、管理端末5を利用して、アプリサーバ11にアクセスすることにより、閲覧、ダウンロード、又は転送等を行うことができる。
For the first log information (user) 1101 and the second log information (administrator) 1102, settings such as the transfer
なお、第1のログ情報(利用者)1101と、第2のログ情報(管理者)1102とは、例えば、1つの第1のログ情報に含まれていても良い。また、以下の説明において、第1のログ情報(利用者)1101と、第2のログ情報(管理者)1102とを、特に区別する必要がない場合、単に「第1のログ情報」と呼ぶ。 Note that the first log information (user) 1101 and the second log information (administrator) 1102 may be included in one piece of first log information, for example. In the following description, the first log information (user) 1101 and the second log information (administrator) 1102 are simply referred to as "first log information" when there is no particular need to distinguish them. .
通信管理システム10は、例えば、「サービスへのログイン及びログアウト」、「リレーサーバの接続開始及び終了」、又は「リモートデスクトップ接続の開始、終了、及び強制終了」等のイベントが発生したときに、第1のログ情報を生成する。また、通信管理システム10は、例えば、「サービスの登録、削除、及び変更」、又は「ユーザ情報の登録、削除、及び変更」等のイベントが発生したときに、第1のログ情報を生成しても良い。さらに、通信管理システム10は、例えば、「アクセスポリシの登録、削除、及び変更」、「セキュアボックスの登録、削除、及び変更」、又は「ユーザ操作に関するエラー」等のイベントが発生したときに、第1のログ情報を生成しても良い。
The
図11(C)は、セキュアボックス14が出力する第2のログ情報の一例のイメージを示している。第2のログ情報1103には、例えば、情報端末111等のアクセス元の端末と、情報処理装置101、又は出退勤サーバ422等のアクセス先の端末との間の第2の通信に関するログ情報が含まれる。図11(C)の例では、第2のログ情報1103には、例えば、第1のログ情報(利用者)1101と同様に、タイムスタンプ、テナントID、セッションID、ログサーバID、ユーザ、サービス、操作、及び結果等の情報が含まれる。
FIG. 11C shows an image of an example of the second log information output by the
セキュアボックス14は、例えば、「サービスの登録、削除、及び変更」、「リレーサーバとの接続の開始、終了、及び強制終了」、「セキュアボックスの動作に関するエラー」等のイベントが発生したときに、第2のログ情報を生成する。また、セキュアボックス14は、例えば、「セキュアボックスの起動」、「セキュアボックスへのログイン、及びログアウト」、又は「セキュアボックスの設定情報の変更、又はファームウェアの更新」等のイベントが発生したときに、第2のログ情報を生成しても良い。
The
図12(A)は、ログサーバ15が記憶、又は出力する第3のログ情報の一例のイメージを示している。第3のログ情報1201は、例えば、第1のログ情報と、第2のログ情報とを含む。図12(A)の例では、第3のログ情報1201には、図11(A)に示すような第1のログ情報(利用者)1101と、図11(C)に示すような第2のログ情報1103とが含まれる。図12(A)の例では、第1のログ情報(利用者)1101を反転文字で表しているが、第3のログ情報1201には、ログ情報の生成元(例えば、通信管理システム10、又はセキュアボックス14等)を示す情報が含まれていても良い。
FIG. 12A shows an image of an example of the third log information stored or output by the
<処理の流れ>
続いて、一実施形態に係る通信管理方法の処理の流れについて説明する。
<Process flow>
Next, the flow of processing of the communication management method according to one embodiment will be described.
(セキュアボックスの起動時の処理)
図13は、一実施形態に係るセキュアボックスの起動時の処理の例を示すシーケンス図である。この処理は、ローカルネットワーク100に設けられた、通信システム1に登録済みのセキュアボックス14の電源を投入したとき等に、通信システム1が実行する処理の一例を示している。
(Processing when the secure box starts up)
FIG. 13 is a sequence diagram illustrating an example of processing when the secure box is activated according to one embodiment. This processing is an example of processing executed by the
ステップS1301において、セキュアボックス14の電源がオフからオンになると、通信システム1は、ステップS1302以降の処理を実行する。
In step S1301, when the power of the
ステップS1302において、セキュアボックス14の第1の通信部401は、通信管理システム10に、通信管理システム10との接続を要求する接続開始要求を送信する。この接続開始要求には、例えば、セキュアボックス14の認証情報が含まれる。
In step S<b>1302 , the
ステップS1303において、サービスPF12の機器制御部322は、セキュアボックスから接続開始要求を受け付けると、接続開始要求に含まれる認証情報の認証を認証部321に要求する。
In step S1303, upon receiving the connection start request from the secure box, the
ステップS1304において、サービスPF12の認証部321は、セキュアボックス14の認証情報を認証する。ここでは、前述したように、セキュアボックス14は、通信システム1に登録済みなので、認証に成功する(認証結果がOKとなる)。また、ステップS1305において、認証部321は、認証結果を含むログ情報をログ情報送信部323に通知する。
In step S<b>1304 , the
ステップS1306において、認証部321は、認証に成功したことを示す認証結果(OK)を機器制御部322に通知する。これに応じて、ステップS1307において、機器制御部322は、接続を許可することをセキュアボックス14に通知し、ステップS1308において、セキュアボックス14と、通信管理システム10との間の通信(例えば、MQTTによる常時接続)を確立する。
In step S1306, the
ステップS1309において、セキュアボックス14の装置管理部405は、設定情報の取得を要求する設定取得要求を、第1の通信部401を介して、通信管理システム10に送信する。
In step S<b>1309 , the
ステップS1310において、サービスPF12の機器制御部322は、セキュアボックス14から受け付けた設定取得要求を、アプリサーバ11に通知する。
In step S<b>1310 , the
ステップS1311において、アプリサーバ11の受付部311は、セキュアボックス14から、設定取得要求を受け付けたことを示すログ情報を、ログ情報送信部323に通知する。また、ステップS1312において、受付部311は、例えば、図9(B)に示すようなセキュアボックスリスト902等から、セキュアボックス14の設定情報を取得し、取得した設定情報を機器制御部322に通知する。
In step S<b>1311 , the
ステップS1313において、サービスPF12の機器制御部322は、アプリサーバ11から通知された設定情報を、要求元のセキュアボックス14に送信する。
In step S1313, the
ステップS1314において、セキュアボックス14の装置管理部405は、通信管理システム10から通知された設定情報を、セキュアボックス14の設定情報に反映する。
In step S<b>1314 , the
ステップS1315、S1316において、サービスPF12の機器制御部322は、セキュアボックス14から、セキュアボックス14の状態を示す状態情報を取得し、機器制御部322が管理しているセキュアボックス14の状態を更新する。
In steps S1315 and S1316, the
ステップS1318において、サービスPF12のログ情報送信部323は、例えば、ステップS1305、S1311で受け付けたログ情報を含む第1のログ情報を、セキュアボックス14に送信する。なお、図13に示す第1のログ情報の送信タイミングは一例である。例えば、ログ情報送信部323は、認証部321、又はアプリサーバ11等からログ情報を受け付けたときに、受け付けたログ情報を含む第1のログ情報を、セキュアボックス14に送信するもの等であっても良い。
In step S1318, the log
ステップS1319、S1320において、セキュアボックス14のログ情報管理部406は、通信管理システム10から受信した第1のログ情報を、ログサーバ15に記憶する。
In steps S<b>1319 and S<b>1320 , the log
(情報端末のログイン処理)
図14は、一実施形態に係る情報端末のログイン処理の例を示すシーケンス図である。この処理は、通信システム1に登録済みの利用者が、情報端末111を用いて、通信管理システム10にログインする処理の一例を示している。
(Login processing of information terminal)
FIG. 14 is a sequence diagram illustrating an example of login processing of the information terminal according to the embodiment; This process shows an example of a process in which a user registered in the
ステップS1401において、利用者が、情報端末111のウェブブラウザ(又はウェブブラウザの機能を有するアプリ等)を用いて、通信管理システム10のアプリサーバ11に接続するため接続操作を行うものとする。
In step S1401, the user uses the web browser of the information terminal 111 (or an application having a web browser function, etc.) to perform a connection operation to connect to the
ステップS1402、S1403において、情報端末111の操作受付部504は、利用者による接続操作を受け付けると、指定されたURLにアクセスし、アプリサーバ11から、Web UIを取得する。
In steps S<b>1402 and S<b>1403 , upon receiving the user's connection operation, the
ステップS1404、S1405において、情報端末111の表示制御部503は、認可要求パラメータを生成し、生成した認可要求パラメータをセッションストレージに保存する。また、ステップS1406において、表示制御部503は、サービスPF12の認証部321に、生成した認可要求パラメータを含む認可要求を送信する。
In steps S1404 and S1405, the
ステップS1407において、サービスPF12の認証部321は、情報端末111からの認可要求に応じて、ログインのリダイレクト先のURLを、情報端末111に通知する。
In step S<b>1407 , the
ステップS1408において、情報端末111の表示制御部503は、認証部321から通知されたリダイレクト先のURLを用いて、アプリサーバ11に、ログイン画面の表示を要求する。
In step S<b>1408 , the
ステップS1409において、アプリサーバ11は、ログイン画面を情報端末111に送信する。これにより、ステップS1410において、情報端末111の表示制御部503は、ログイン画面を表示する。
In step S<b>1409 , the
ステップS1411において、利用者が、ログイン画面にログイン情報を入力するログイン操作を行うと、通信システム1は、ステップS1412以降の処理を実行する。
In step S1411, when the user performs a login operation of inputting login information on the login screen, the
ステップS1412において、情報端末111の操作受付部504は、利用者によるログイン操作を受け付けると、入力されたログイン情報を含むログイン要求を、アプリサーバ11に送信する。
In step S<b>1412 , upon receiving the user's login operation, the
ステップS1413において、アプリサーバ11は、情報端末111からログイン要求を受け付けると、コールバック先、及び一時コードを、要求元の情報端末111に通知する。
In step S1413, upon receiving the login request from the
ステップS1414において、情報端末111の表示制御部503は、アプリサーバ11から通知された一時コードを含むトークン取得要求を、サービスPF12の認証部321に送信する。
In step S1414, the
ステップS1415において、サービスPF12の認証部321は、情報端末111からのトークン取得要求に応じて、利用者の認証を行う。ここでは、前述したように、利用者は、通信システム1に登録済みの利用者なので、認証に成功する(認証結果がOKとなる)。また、ステップS1416において、認証部321は、認証結果を示すログ情報をログ情報送信部323に通知する。
In step S<b>1415 , the
ステップS1417において、サービスPF12の認証部321は、アクセストークン、リフレッシュトークン、有効期限等の情報を、情報端末111に通知する。
In step S1417, the
ステップS1418、S1419において、情報端末111の表示制御部503は、利用者のユーザID、及び通知されたアクセストークン等を用いて、サービスPF12の認証部321からユーザ情報を取得する。また、ステップS1420にいて、情報端末111の表示制御部503は、取得したユーザ情報を用いてログイン後の画面を表示する。
In steps S1418 and S1419, the
ステップS1421において、アプリサーバ11は、上記の処理で生成したログ情報を、ログ情報送信部323に通知する。
In step S1421, the
ステップS1422において、サービスPF12のログ情報送信部323は、例えば、ステップS1416、及びステップS1421で受け付けたログ情報を含む第1のログ情報を、セキュアボックス14に送信する。なお、図14に示す第1のログ情報の送信タイミングは一例である。
In step S1422, the log
ステップS1423、S1424において、セキュアボックス14のログ情報管理部406は、通信管理システム10から受信した第1のログ情報を、ログサーバ15に記憶する。
In steps S 1423 and S 1424 , the log
なお、図14に示すログイン処理は一例であり、通信システム1は、他の手順で利用者を認証し、ログインを許可するものであっても良い。
Note that the login process shown in FIG. 14 is an example, and the
(リモートデスクトップ接続時の処理)
図15~17は、一実施形態に係るリモートデスクトップ接続時の処理の例を示すシーケンス図である。この処理は、情報端末111から、情報処理装置101が提供するリモートデスクトップサービスに接続する際に、通信システム1が実行する処理の一例を示している。なお、図15に示す処理の開始時点において、例えば、図14で説明した情報端末のログイン処理により、情報端末111は、通信管理システム10にログイン済みであるものとする。
(Processing when connecting to remote desktop)
15 to 17 are sequence diagrams illustrating an example of processing during remote desktop connection according to an embodiment. This processing shows an example of processing executed by the
ステップS1501において、利用者が、情報端末111に対してポータル画面の表示操作を行うと、通信システム1は、ステップS1502以降の処理を実行する。
In step S1501, when the user performs a portal screen display operation on the
ステップS1502において、情報端末111の操作受付部504は、利用者によるポータル画面の表示操作を受け付けると、アプリサーバ11に、ポータル画面の表示を要求する。
In step S1502, upon receiving the portal screen display operation by the user, the
ステップS1503において、アプリサーバ11の受付部311は、情報端末111からの要求に応じて、ポータル画面を情報端末111に送信する。これにより、ステップS1504において、情報端末111の表示制御部503は、ポータル画面を表示する。
In step S<b>1503 , the
ステップS1505において、利用者が、ポータル画面から、リモートデスクトップ接続(以下、RDP接続と呼ぶ)を選択すると、通信システム1は、ステップS1506以降の処理を実行する。
In step S1505, when the user selects a remote desktop connection (hereinafter referred to as RDP connection) from the portal screen, the
ステップS1506において、情報端末111の操作受付部504は、アプリサーバ11に、RDP接続用のログイン画面を要求する。
In step S1506, the
ステップS1507において、アプリサーバ11の受付部311は、情報端末111からの要求に応じて、RDP接続用のログイン画面を情報端末111に送信する。これにより、ステップS1508において、情報端末111の表示制御部503は、例えば、RDP接続用のログイン情報(以下、PCログイン情報と呼ぶ)を入力するログイン画面を表示する。
In step S<b>1507 , the
ステップS1509において、利用者が、ログイン画面に、PCログイン情報を入力すると、通信システム1は、ステップS1510以降の処理を実行する。
In step S1509, when the user inputs the PC login information on the login screen, the
ステップS1510において、情報端末111の操作受付部504は、利用者によるPCログイン情報(例えば、ユーザ名、パスワード、及びドメイン等)の入力を受け付けると、受け付けたPCログイン情報を含むRDP接続要求を、アプリサーバ11に送信する。
In step S1510, when the
ステップS1511において、アプリサーバ11の受付部311が、情報端末111からPCログイン情報を含むRDP接続要求を受け付けると、第1の通信管理部312はセッションIDを生成する。
In step S1511, when the
ステップS1512、S1513において、アプリサーバ11の第1の通信管理部312は、生成したセッションIDを含むリレーサーバ13への接続指示を、サービスPF12の機器制御部322を介して、セキュアボックス14に送信する。
In steps S1512 and S1513, the first
ステップS1514において、セキュアボックス14の暗号通信部402は、第1の通信部401を介して、リレーサーバ13に、通信管理システム10から通知されたセッションIDを含む接続要求を送信する。
In step S<b>1514 , the
ステップS1515において、リレーサーバ13の接続管理部331は、セキュアボックス14の暗号通信部402と、第1の暗号通信3を確立する。
In step S1515, the
ステップS1516、S1517において、セキュアボックス14の暗号通信部402は、リレーサーバ13に接続したことを示す接続完了通知を、サービスPF12の機器制御部322を介して、アプリサーバ11に通知する。
In steps S1516 and S1517, the
ステップS1518において、サービスPF12の機器制御部322は、上記の処理に関するログ情報を、ログ情報送信部323に通知する。例えば、機器制御部322は、情報端末111からの要求に応じて、セキュアボックス14がリレーサーバ13に接続したことを示すログ情報等を、ログ情報送信部323に通知する。
In step S1518, the
ステップS1519において、サービスPF12のログ情報送信部323は、機器制御部322から受け付けたログ情報を含む第1のログ情報を、セキュアボックス14に送信する。
In step S<b>1519 , the log
ステップS1520、S1521において、セキュアボックス14のログ情報管理部406は、サービスPF12から受信した第1のログ情報を、ログサーバ15に記憶する。
In steps S 1520 and S 1521 , the log
上記の処理に続いて、図16のステップS1522において、アプリサーバ11の第1の通信管理部312は、ステップS1511で生成したセッションIDを含むセッション開始指示を、受付部311を介して情報端末111に送信する。
Following the above process, in step S1522 of FIG. 16, the first
ステップS1523において、情報端末111の暗号通信部502は、アプリサーバ11から通知されたセッションIDを含む接続要求を、通信部501を介してリレーサーバ13に送信する。
In step S<b>1523 , the
ステップS1524において、リレーサーバ13の接続管理部331は、情報端末111の暗号通信部502と、第2の暗号通信4を確立する。これにより、情報端末111と、セキュアボックス14は、リレーサーバ13が提供する同じセッションに参加し、暗号化された通信(例えば、wss)で互いにデータを送受信することができるようになる。
In step S<b>1524 , the
ステップS1523、S1526において、情報端末111は、例えば、ステップS1509で受け付けたPCログイン情報を、リレーサーバ13を介して、セキュアボックス14に送信する。
In steps S1523 and S1526, the
ステップS1527において、セキュアボックス14の変換部404は、情報端末111から受け付けたPCログイン情報を、RDP形式のPCログイン情報にプロトコル変換する。具体的な処理の一例として、セキュアボックス14の第2の通信管理部403は、情報端末111からPCログイン情報を受け付けると、RDP接続に対応する変換部404を起動する。また、第2の通信管理部403は、起動した変換部404を介して、情報端末111と、アクセス先の情報処理装置101とが通信できるように設定する。これにより、変換部404は、例えば、情報端末111から受信したHTTP形式等のデータを、RDP形式のデータに変換して、情報処理装置101に送信する。また、変換部404は、情報処理装置101から受信したRDP形式のデータを、HTTP形式等のデータに変換して、情報端末111(リレーサーバ13)に送信する。
In step S1527, the
ステップS1528において、セキュアボックス14の変換部404は、RDP形式に変換したPCログイン情報を、情報処理装置101に送信する。なお、ここでは、情報端末111の利用者が、情報処理装置101が提供するリモートデスクトップサービスの正当なユーザであり、ログインに成功するものとする。
In step S<b>1528 , the
ステップS1529において、情報処理装置101が提供するリモートデスクトップサービスは、ログインに成功したことを示す情報、及びリモートデスクトップ画面等を、RDP形式でセキュアボックス14に送信する。
In step S1529, the remote desktop service provided by the
ステップS1530、S1531において、セキュアボックス14の第2の通信管理部403は、ステップS1526~S1529の処理に関する第2のログ情報を、ログサーバ15に記憶する。
In steps S1530 and S1531, the second
ステップS1532において、セキュアボックス14の変換部404は、情報処理装置101から受信したリモートデスクトップ画面を、情報端末111が表示可能な形式の画像データに変換する。
In step S<b>1532 , the
ステップS1533、S1534において、セキュアボックス14の暗号通信部402は、変換部404が変換した画像データを、リレーサーバ13を介して情報端末111に送信する。
In steps S 1533 and S 1534 ,
ステップS1535において、利用者は、例えば、情報端末111のウェブブラウザ等を利用して、情報処理装置101が提供するリモートデスクトップサービスを利用することができるようになる。
In step S<b>1535 , the user can use the remote desktop service provided by the
上記の処理の後に、例えば、図17のステップS1536において、利用者が、リモートデスクトップサービスのログアウト操作を行うと、通信システム1は、ステップS1537以降の処理を実行する。
After the above process, for example, in step S1536 of FIG. 17, when the user performs a logout operation of the remote desktop service, the
ステップS1537、S1538において、情報端末111は、利用者によるログアウト操作のデータを、リレーサーバ13を介してセキュアボックス14に送信する。
In steps S<b>1537 and S<b>1538 , the
ステップS1539、S1540において、セキュアボックス14の変換部404は、情報端末111から受信したログアウト操作のデータを、RDP形式のログアウト操作に変換して、情報処理装置101に送信する。
In steps S<b>1539 and S<b>1540 , the
ステップS1541において、情報処理装置101が提供するリモートデスクトップサービスは、ログアウトに成功したことを示す情報を、セキュアボックス14に送信する。
In step S<b>1541 , the remote desktop service provided by the
ステップS1542、S1543において、セキュアボックス14の第2の通信管理部403は、上記のログアウト処理に関する第2のログ情報を、ログサーバ15に記憶する。
In steps S1542 and S1543, the second
ステップS1544において、セキュアボックス14の変換部404は、情報処理装置101から受信したログアウトに成功したことを示す情報を、必要に応じて、所定の形式に変換する。
In step S1544, the
ステップS1545、S1546において、セキュアボックス14の暗号通信部402は、ログアウトに成功したことを示す情報を、リレーサーバ13を介して情報端末111に送信する。
In steps S 1545 and S 1546 ,
ステップS1547において、情報端末111の暗号通信部502は、リレーサーバ13に、セッションの切断を要求する。
In step S1547, the
ステップS1548、S1549において、リレーサーバ13の接続管理部331は、セキュアボックス14とのセッションを切断する。また、ステップS1550において、リレーサーバ13の接続管理部331は、情報端末111とのセッションを切断する。
In steps S1548 and S1549, the
ステップS1551において、情報端末111の表示制御部503は、例えば、ログアウトが完了したことを示す画面を表示する。
In step S1551, the
ステップS1552において、セキュアボックス14の暗号通信部402は、リレーサーバ13とのセッションが切断したことを示す切断通知を、サービスPF12の機器制御部322に通知する。これにより、ステップS1553において、機器制御部322は、例えば、セキュアボックス14とリレーサーバ13との間のセッションが切断したことを示すログ情報を、ログ情報送信部323に通知する。
In step S1552, the
ステップS1554において、サービスPF12のログ情報送信部323は、機器制御部322から受け付けたログ情報を含む第1のログ情報を、セキュアボックス14に送信する。
In step S<b>1554 , the log
ステップS1555、S1556において、セキュアボックス14のログ情報管理部406は、サービスPF12から受信した第1のログ情報を、ログサーバ15に記憶する。
In steps S<b>1555 and S<b>1556 , the log
上記の処理により、リモートデスクトップ接続時に、通信管理システム10が生成した第1のログ情報と、セキュアボックス14が生成した第2のログ情報とを含む第3のログ情報が、ログサーバ15に記憶される。
Through the above processing, the
(設定情報の設定処理)
図19は、一実施形態に係る設定情報の設定処理の例を示すシーケンス図である。この処理は、管理者等が、管理端末5を用いて、通信システム1が管理する様々な情報を設定する処理の一例を示している。
(setting information setting processing)
FIG. 19 is a sequence diagram illustrating an example of setting information setting processing according to an embodiment. This processing shows an example of processing in which an administrator or the like uses the
ステップS1801において、管理者等が、管理端末5のウェブブラウザに対してポータル画面の表示操作を行うと、ステップS1802において、管理端末5のウェブブラウザは、アプリサーバ11に、ポータル画面の表示要求を送信する。
In step S1801, when the administrator or the like performs a portal screen display operation on the web browser of the
ステップS1803において、アプリサーバ11の受付部311は、管理端末5からの要求に応じて、要求元の管理端末5にポータル画面を送信する。これにより、ステップS1804において、管理端末5のウェブブラウザは、ポータル画面を表示する。
In step S<b>1803 , the receiving
ステップS1805において、管理者等は、ポータル画面から、例えば、「設定」を選択する。これに応じて、ステップ3006において、管理端末5のウェブブラウザは、選択された設定画面の表示を、アプリサーバ11に要求する。
In step S1805, the administrator or the like selects, for example, "Settings" from the portal screen. In response, in step 3006, the web browser of the
ステップS1807において、アプリサーバ11の受付部311は、管理端末5から要求された設定画面を、要求元の管理端末5に送信する。これにより、ステップS1808において、管理端末5のウェブブラウザは、設定画面を表示する。
In step S1807, the
ステップS1809において、管理者等が、設定画面に対して、通信システム1の設定情報を変更する変更操作を行うと、通信システム1は、ステップ1810以降の処理を実行する。
In step S1809, when the administrator or the like performs a change operation to change the setting information of the
ステップS1810において、管理端末5のウェブブラウザは、管理者等による設定変更をアプリサーバ11に送信する。
In step S<b>1810 , the web browser of the
ステップS1811において、アプリサーバ11の受付部311は、管理端末5から受け付けた設定を、例えば、記憶部313、又はユーザ情報記憶部326等に記憶した設定情報に反映する。また、ステップS1812において、受付部311は、設定変更の変更内容を含むログ情報を、ログ情報送信部323に通知する。
In step S1811, the
ステップS1813において、サービスPF12のログ情報送信部323は、アプリサーバ11から通知されたログ情報を含む第1のログ情報を、セキュアボックス14に送信する。
In step S<b>1813 , the log
ステップS1814、S1815において、セキュアボックス14のログ情報管理部406は、サービスPF12から受信した第1のログ情報を、ログサーバ15に記憶する。
In steps S<b>1814 and S<b>1815 , the log
ステップS1816において、アプリサーバ11の受付部311は、設定が完了したことを示す設定画面を管理端末5に送信する。これにより、ステップS1817において、管理端末5のウェブブラウザは、設定完了画面を表示する。
In step S<b>1816 , the
なお、上記の処理により、セキュアボックス14の設定情報の変更が必要になる場合、通信システム1は、ステップS1821~S1827の処理を、さらに実行する。
It should be noted that if the above process requires changing the setting information of the
ステップS1821において、アプリサーバ11の受付部311は、サービスPF12の機器制御部322を介して、セキュアボックス14に、設定変更を通知する。これに応じて、ステップS1823において、セキュアボックス14の装置管理部405は、通信管理システム10から受信した設定変更を、記憶部408に記憶している設定情報に反映する。また、ステップS1824、S1825において、装置管理部405は、設定情報の変更内容を示す第2のログ情報を、ログサーバ15に記憶する。
In step S<b>1821 , the
ステップS1826、S1827において、セキュアボックス14の装置管理部405は、設定情報の変更が完了したことを示す完了通知を、サービスPF12の機器制御部322を介して、アプリサーバ11に送信する。
In steps S1826 and S1827, the
図13~18に示した各処理により、通信管理システム10が生成した第1ログ情報、及びセキュアボックス14が生成した第2のログ情報を含む第3のログ情報として、ログサーバ15に蓄積される。
13 to 18, third log information including the first log information generated by the
(ログ情報の出力処理)
図19は、一実施形態に係るログ情報の出力処理の例を示すシーケンス図である。この処理は、管理者等が、管理端末5を用いて、ログサーバ15に記憶されている第3のログ情報を出力する出力処理の一例を示している。
(Log information output processing)
FIG. 19 is a sequence diagram illustrating an example of log information output processing according to an embodiment. This processing shows an example of output processing in which an administrator or the like uses the
ステップS1901において、通信システム1は、例えば、図8のステップS1801~S1804に示すようなポータル画面の表示処理を実行する。
In step S1901, the
ステップS1902において、管理者等は、ポータル画面から、ログ管理を選択する。これに応じて、ステップS1903において、管理端末5のウェブブラウザは、ログ情報の表示要求を、アプリサーバ11に送信する。
In step S1902, the administrator or the like selects log management from the portal screen. In response to this, the web browser of the
ステップS1903において、アプリサーバ11の受付部311は、サービスPF12の取得部324にログ情報の取得を要求する。これに応じて、ステップS1905において、取得部324は、セキュアボックス14にログ情報の取得要求を送信する。
In step S1903, the
ステップS1906、S1907において、セキュアボックス14のログ情報管理部406は、ログサーバ15に記憶した第3のログ情報を取得する。また、ステップSS1908において、ログ情報管理部406は、取得した第3のログ情報を、サービスPF12に送信する。これに応じて、ステップS1909において、サービスPF12の取得部324は、取得した第3のログ情報を、アプリサーバ11に送信する。
In steps S<b>1906 and S<b>1907 , the log
ステップS1910において、アプリサーバ11の受付部311は、取得部324が取得した第3のログ情報を表示するログ情報の表示画面を作成し、管理端末5に送信する。これにより、ステップS1911において、管理端末5のウェブブラウザは、ログ情報の表示画面を表示する。
In step S<b>1910 , the
上記の処理により、管理者等は、各テナントのログサーバ15が記憶している第3のログ情報を、通信管理システム10を利用して、管理端末5に表示することができる。なお、第3のログ情報を表示するログ情報の表示処理は、ログ情報の出力処理の一例である。例えば、アプリサーバ11は、ステップS1910において、ログ情報の表示画面に代えて、第3のログ情報を管理端末5にダウンロードするログ情報のダウンロード処理(ログ情報の出力処理の別の一例)を実行しても良い。
Through the above process, the administrator or the like can use the
(ログ情報の送信処理)
続いて、ログ情報の送信処理について説明する。
(Transmission processing of log information)
Next, log information transmission processing will be described.
[第1の実施形態]
図20は、第1の実施形態に係るログ情報の送信処理の例を示すシーケンス図である。この処理は、管理者(又は監査者)等の操作に応じて、通信管理システム10がログサーバ15に第1のログ情報を送信する処理(転送処理)の一例を示している。
[First Embodiment]
FIG. 20 is a sequence diagram illustrating an example of log information transmission processing according to the first embodiment. This processing shows an example of processing (transfer processing) in which the
ステップS2001において、通信システム1は、例えば、図8のステップS1801~S1804に示すようなポータル画面の表示処理を実行する。
In step S2001, the
ステップS2002において、管理者等は、ポータル画面から、ログ画面を選択する。これに応じて、ステップS2003において、管理端末5のウェブブラウザは、アプリサーバ11に、ログ画面を要求する。
In step S2002, the administrator or the like selects a log screen from the portal screen. In response, in step S2003, the web browser of the
ステップS2004において、アプリサーバ11の受付部311は、管理端末5から、ログ画面の要求を受け付けると、ログの転送操作を受け付けるログ画面を、要求元の管理端末5に送信する。これにより、ステップS2005において、管理端末5のウェブブラウザは、ログ画面を表示する。
In step S<b>2004 , upon receiving the log screen request from the
ステップS2006において、管理者等が、通信管理システム10が管理しているログ情報のログサーバ15への送信を要求するログ転送操作を行うものとする。例えば、管理者等は、ログ画面に表示された複数のログ情報の中から、ログサーバ15に転送したいログ情報を選択しても良い。また、管理者等は、ログ画面において、例えば、不要になった古いログ情報を、期間を指定して選択しても良い。或いは、管理者等は、ログ画面において、例えば、契約が終了するテナントのログ情報等を、テナント名等を指定して選択しても良い。
In step S<b>2006 , it is assumed that the administrator or the like performs a log transfer operation requesting transmission of log information managed by the
ステップS2007において、管理端末5のウェブブラウザは、管理者等によって選択されたログ情報の転送を要求する転送要求を、アプリサーバ11に送信する。
In step S2007, the web browser of the
ステップS2008において、アプリサーバ11の受付部311は、管理端末5から受け付けたログ情報の転送要求を、サービスPF12のログ情報送信部323に通知する。
In step S<b>2008 , the
ステップS2009において、ログ情報送信部323は、ログ情報記憶部325に記憶した第1のログ情報のうち、ログ情報の転送要求で指定された第1のログ情報を、セキュアボックス14に送信する。
In step S<b>2009 , the log
ステップS2010~S2012において、セキュアボックス14のログ情報管理部406は、サービスPF12から受信した第1のログ情報を、ログサーバ15に記憶する。また、ステップS2013、S2014において、ログ情報管理部406は、ログ情報の記憶が完了したことを示す完了通知を、サービスPF12を介して、アプリサーバ11に通知する。
In steps S2010 to S2012, the log
ステップS2015において、アプリサーバ11の受付部311は、ログ情報の転送が完了したことを示す完了画面を、管理端末5に送信する。これにより、ステップS2016において、管理端末5のウェブブラウザは、完了画面を表示する。
In step S<b>2015 , the receiving
上記の処理により、管理者等は、例えば、既に管理(又は監査)の対象外となった古いログ情報、又は契約が終了するテナントのログ情報等の不要なログ情報を、選択的にログサーバ15に送信することができる。これにより、管理者等は、通信管理システム10が管理している第1のログ情報のうち、不要なデータを削除することが容易になる。
With the above process, the administrator can selectively transfer unnecessary log information such as old log information that is no longer subject to management (or auditing), or log information of tenants whose contracts are terminated, to the log server. 15 can be sent. This makes it easier for the administrator or the like to delete unnecessary data from the first log information managed by the
[第2の実施形態]
図21は、第2の実施形態に係るログ情報の送信処理の例を示すシーケンス図である。この処理は、管理者(又は監査者)等の操作に応じて、通信管理システム10がログサーバ15に第1のログ情報を送信する処理(転送処理)の別の一例を示している。
[Second embodiment]
FIG. 21 is a sequence diagram illustrating an example of log information transmission processing according to the second embodiment. This process shows another example of the process (transfer process) in which the
ステップS2101において、通信システム1は、例えば、図8のステップS1801~S1804に示すようなポータル画面の表示処理を実行する。また、ステップS2102において、通信システム1は、例えば、図20のステップS2002~S2005に示すようなログ画面の表示処理を実行する。
In step S2101, the
ステップS2103において、管理者等が、通信管理システム10が管理しているログ情報のログサーバ15への送信を要求するログ転送操作を行うものとする。例えば、管理者等は、第1の実施形態と同様にして、通信管理システム10が管理するログ情報の中から、ログサーバ15に転送したいログ情報を選択する。ステップS2104において、管理端末5のウェブブラウザは、管理者等によって選択されたログ情報の転送を要求する転送要求を、アプリサーバ11に送信する。ステップS2105において、アプリサーバ11の受付部311は、管理端末5から受け付けたログ情報の転送要求を、サービスPF12のログ情報送信部323に通知する。
In step S2103, it is assumed that the administrator or the like performs a log transfer operation requesting transmission of log information managed by the
ステップS2106において、サービスPF12のログ情報送信部323は、ログ情報の転送要求で指定された第1のログ情報のうち、未送信の第1のログ情報を抽出する。例えば、ログ情報送信部323は、図12(B)に示すような第1のログ情報1202において、ログサーバ15に送信済みの第1のログ情報には、「ログサーバID」の項目に送信先のログサーバ15のログサーバIDを記憶して管理しても良い。これにより、ログ情報送信部323は、「ログサーバID」の項目にログサーバIDが記憶されていない第1のログ情報1203を、未送信の第1のログ情報と判断することができる。ただし、これに限られず、ログ情報送信部323は、例えば、送信済みの第1の情報に、送信済みのフラグ等を付加して管理しても良い。
In step S2106, the log
ステップS2107において、ログ情報送信部323は、ログ情報の転送要求で指定された第1のログ情報のうち、未送信の第1のログ情報を、セキュアボックス14に送信する。
In step S<b>2107 , the log
ステップS2108~S2110において、セキュアボックス14のログ情報管理部406は、サービスPF12から受信した第1のログ情報を、ログサーバ15に記憶する。また、ステップS2111、S2112において、ログ情報管理部406は、ログ情報の記憶が完了したことを示す完了通知を、サービスPF12を介して、アプリサーバ11に通知する。
In steps S2108 to S2110, the log
ステップS2113において、アプリサーバ11の受付部311は、ログ情報の転送が完了したことを示す完了画面を、管理端末5に送信する。これにより、ステップS2114において、管理端末5のウェブブラウザは、完了画面を表示する。
In step S<b>2113 , the
上記の処理により、通信管理システム10は、管理者等によって指定された第1のログ情報のうち、未送信の第1のログ情報を選択的にログサーバ15に転送することができる。これにより、例えば、送信時間を短縮する効果、又はデータ通信料を削減する効果等が得られる。また、上記の処理により、セキュアボックス14、及びログサーバ15は、受信済みのログデータを重複して受信することがなくなるので、ログ情報の管理が容易になる。
Through the above processing, the
[第3の実施形態]
図22は、第3の実施形態に係るログ情報の送信処理の例を示すシーケンス図である。この処理は、管理者(又は監査者)等の操作に応じて、通信管理システム10がログサーバ15に第1のログ情報を送信する処理(転送処理)の別の一例を示している。
[Third embodiment]
FIG. 22 is a sequence diagram illustrating an example of log information transmission processing according to the third embodiment. This process shows another example of the process (transfer process) in which the
ステップS2201において、通信システム1は、例えば、図8のステップS1801~S1804に示すようなポータル画面の表示処理を実行する。また、ステップS2202において、通信システム1は、例えば、図20のステップS2002~S2005に示すようなログ画面の表示処理を実行する。
In step S2201, the
ステップS2203において、管理者等が、通信管理システム10が管理しているログ情報のログサーバ15への送信を要求するログ転送操作を行うものとする。例えば、管理者等は、第1の実施形態と同様にして、通信管理システム10が管理するログ情報の中から、ログサーバ15に転送したいログ情報を選択する。また、このとき、管理者等は、例えば、未送信のログ情報のみ送信する、或いは、以下で説明するように、未保存のログ情報のみを送信する等、ログ情報の送信方法を選択するものであっても良い。
In step S2203, the administrator or the like performs a log transfer operation requesting transmission of log information managed by the
ステップS2204において、管理端末5のウェブブラウザは、管理者等によって選択されたログ情報の転送を要求する転送要求を、アプリサーバ11に送信する。ステップS2205において、アプリサーバ11の受付部311は、管理端末5から受け付けたログ情報の転送要求を、サービスPF12のログ情報送信部323に通知する。
In step S2204, the web browser of the
ステップS2206において、サービスPF12のログ情報送信部323は、セキュアボックス14に、ログサーバ15に記憶している第3のログ情報の取得を要求するログ情報の取得要求を送信する。
In step S<b>2206 , the log
ステップS2207、S2208において、セキュアボックス14のログ情報管理部406は、ログサーバ15に記憶している第3のログ情報を取得する。また、ステップS2209において、ログ情報管理部406は、取得した第3のログ情報を、サービスPF12に送信する。
In steps S2207 and S2208, the log
ステップS2210、S2211において、サービスPF12のログ情報送信部323は、取得した第3のログ情報と、ログ情報記憶部325に記憶した第1のログ情報とを比較して、第3のログ情報に未保存の第1のログ情報を抽出する。
In steps S2210 and S2211, the log
ステップS2212において、サービスPF12のログ情報送信部323は、ログ情報の転送要求で指定された第1のログ情報のうち、第3のログ情報に未保存の第1のログ情報を、セキュアボックス14に送信する。
In step S2212, the log
例えば、ログ情報送信部323は、ステップS2210、S2211において、図12(C)に示すように、第3のログ情報に、未保存の第1のログ情報を、ログサーバIDを空欄にして追加したログ情報1204を作成しても良い。また、ログ情報送信部323は、ステップS2212において、図12(C)に示すようなログ情報1204のうち、ログサーバIDが記憶されていない第1のログ情報1205、1206、1207を、選択的にセキュアボックス14に送信しても良い。
For example, in steps S2210 and S2211, as shown in FIG. 12C, the log
ステップS2213、S2214において、セキュアボックス14のログ情報管理部406は、サービスPF12から受信した第1のログ情報を、ログサーバ15に記憶する。また、ステップS2215において、ログ情報管理部406は、例えば、図21のステップS2110~S2114に示すような完了画面の表示処理を実行する。
In steps S<b>2213 and S<b>2214 , the log
上記の処理により、通信管理システム10が記憶している第1のログ情報のうち、ログサーバ15に記憶されていない第1のログ情報を、選択的にログサーバ15に転送することができる。
Through the above processing, the first log information not stored in the
なお、図22に示すログ情報の送信処理は一例である。例えば、ログ情報送信部323は、ステップS2206~S2209において、セキュアボックス14から、第3のログ情報に代えて、第3のログ情報に含まれる第1のログ情報のみを取得しても良い。或いは、ログ情報送信部323は、ステップS2206~S2209において、セキュアボックス14から、第3のログ情報に含まれる第1のログ情報のうち、ログ情報送信部323が送信した第1のログ情報のみを取得しても良い。また、ステップS2210、S2211の処理は、サービスPF12以外で実施しても良い。
Note that the log information transmission process shown in FIG. 22 is an example. For example, in steps S2206 to S2209, the log
本発明の各実施形態によれば、アクセス元の端末から、クラウド上のサーバと通信装置とを介して、ローカルネットワークに接続するアクセス先の端末にリモートアクセスする通信システムにおいて、ローカルネットワーク側でログ情報を一元管理できるようになる。 According to each embodiment of the present invention, in a communication system in which an access source terminal remotely accesses an access destination terminal connected to a local network via a server on a cloud and a communication device, a log is generated on the local network side. Information can be centrally managed.
<補足>
上記で説明した各実施形態の各機能は、一又は複数の処理回路によって実現することが可能である。ここで、本明細書における「処理回路」とは、電子回路により実装されるプロセッサのようにソフトウェアによって各機能を実行するようプログラミングされたプロセッサや、上記で説明した各機能を実行するよう設計されたASIC(Application Specific Integrated Circuit)、DSP(digital signal processor)、FPGA(field programmable gate array)や従来の回路モジュール等のデバイスを含むものとする。
<Supplement>
Each function of each embodiment described above can be realized by one or more processing circuits. Here, the "processing circuit" in this specification means a processor programmed by software to perform each function, such as a processor implemented by an electronic circuit, or a processor designed to perform each function described above. ASICs (Application Specific Integrated Circuits), DSPs (digital signal processors), FPGAs (field programmable gate arrays) and devices such as conventional circuit modules.
また、実施例に記載された装置群は、本明細書に開示された実施形態を実施するための複数のコンピューティング環境のうちの1つを示すものに過ぎない。ある実施形態では、通信管理システム10は、サーバクラスタといった複数のコンピューティングデバイスを含む。複数のコンピューティングデバイスは、ネットワークや共有メモリなどを含む任意のタイプの通信リンクを介して互いに通信するように構成されており、本明細書に開示された処理を実施する。同様に、セキュアボックス14は、互いに通信するように構成された複数のコンピューティングデバイスを含むことができる。
Moreover, the devices described in the examples are only representative of one of several computing environments for implementing the embodiments disclosed herein. In some embodiments,
また、通信管理システム10の各要素は、1つのサーバ装置にまとめられていても良いし、複数の装置に分けられていても良い。
Also, each element of the
1 通信システム
2 通信ネットワーク(第1のネットワークの一例)
10 通信管理システム
14 セキュアボックス(通信装置)
15 ログサーバ
100 ローカルネットワーク(第2のネットワーク)
101 情報処理装置(アクセス先の端末の一例)
102 画像形成装置(アクセス先の端末の一例)
110 リモートネットワーク(第1のネットワークの一例)
111 情報端末(アクセス元の端末)
312 第1の通信管理部
323 ログ情報送信部
324 取得部
325 ログ情報記憶部
332 中継部
403 第2の通信管理部
406 ログ情報管理部
1
10
15
101 information processing device (an example of an access destination terminal)
102 image forming device (an example of a terminal to be accessed)
110 remote network (an example of the first network)
111 information terminal (access source terminal)
312 first
Claims (10)
前記通信管理システムは、
前記アクセス元の端末と前記通信装置との間の第1の通信を識別情報と対応付けて管理する第1の通信管理部と、
前記識別情報を有する前記アクセス元の端末と前記通信装置との間の前記第1の通信を中継する中継部と、
前記第1の通信に関する第1のログ情報を前記通信装置に送信するログ情報送信部と、
を有し、
前記通信装置は、
前記アクセス元の端末と前記アクセス先の端末との間の第2の通信を管理する第2の通信管理部と、
前記通信管理システムから前記第1のログ情報を受信し、前記第1のログ情報と、前記第2の通信に関する第2のログ情報とを含む第3のログ情報を管理するログ情報管理部と、
を有する、通信システム。 Remote communication from an access source terminal connected to a first network to an access destination terminal connected to the second network via a communication device connected to a second network different from the first network A communication system including a communication management system for managing access and the communication device,
The communication management system is
a first communication management unit that manages a first communication between the access source terminal and the communication device in association with identification information;
a relay unit that relays the first communication between the access source terminal having the identification information and the communication device;
a log information transmission unit that transmits first log information related to the first communication to the communication device;
has
The communication device
a second communication management unit that manages a second communication between the access source terminal and the access destination terminal;
a log information management unit that receives the first log information from the communication management system and manages third log information including the first log information and second log information related to the second communication; ,
A communication system having
前記ログ情報送信部は、前記ログ情報記憶部に記憶した前記第1のログ情報のうち、前記ログサーバに記憶されていないログ情報を選択的に前記通信装置に送信する転送処理を実行する、請求項2に記載の通信システム。 The communication management system has a log information storage unit that stores the first log information,
The log information transmission unit selectively transmits log information not stored in the log server among the first log information stored in the log information storage unit to the communication device, A communication system according to claim 2.
前記ログ情報送信部は、前記ログ情報記憶部に記憶した前記第1のログ情報のうち、前記通信装置に送信していないログ情報を選択的に前記通信装置に送信する転送処理を実行する、請求項1又は2に記載の通信システム。 The communication management system has a log information storage unit that stores the first log information,
The log information transmission unit selectively transmits log information that has not been transmitted to the communication device from among the first log information stored in the log information storage unit, to the communication device. A communication system according to claim 1 or 2.
前記ログ情報送信部は、前記受付部が前記転送要求を受け付けたときに前記転送処理を実行する、請求項3又は4に記載の通信システム。 The communication management system has a reception unit that receives a transfer request for the first log information from a management terminal that manages the communication system,
5. The communication system according to claim 3, wherein said log information transmission section executes said transfer processing when said reception section receives said transfer request.
前記ログ情報管理部は、通信管理システムからの要求に応じて、前記通信管理システムに前記第3のログ情報を提供する、請求項1乃至5のいずれか一項に記載の通信システム。 The communication management system has an acquisition unit that acquires the third log information from the communication device,
The communication system according to any one of claims 1 to 5, wherein said log information management unit provides said third log information to said communication management system in response to a request from said communication management system.
前記アクセス元の端末と前記通信装置との間の第1の通信を識別情報と対応付けて管理する処理と、
前記識別情報を有する前記アクセス元の端末と前記通信装置との間の前記第1の通信を中継する処理と、
前記第1の通信に関する第1のログ情報と、前記アクセス元の端末と前記アクセス先の端末との間の第2の通信に関する第2のログ情報とを含む第3のログ情報を管理する前記通信装置に、前記第1のログ情報を送信する処理と、
を実行する、通信管理方法。 Remote communication from an access source terminal connected to a first network to an access destination terminal connected to the second network via a communication device connected to a second network different from the first network A communications management system that manages access to
a process of managing the first communication between the access source terminal and the communication device in association with identification information;
a process of relaying the first communication between the access source terminal having the identification information and the communication device;
managing third log information including first log information relating to the first communication and second log information relating to second communication between the access source terminal and the access destination terminal; a process of transmitting the first log information to a communication device;
communication management method.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021012924A JP2022116642A (en) | 2021-01-29 | 2021-01-29 | Communication system, communication management method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021012924A JP2022116642A (en) | 2021-01-29 | 2021-01-29 | Communication system, communication management method, and program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2022116642A true JP2022116642A (en) | 2022-08-10 |
Family
ID=82749648
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021012924A Pending JP2022116642A (en) | 2021-01-29 | 2021-01-29 | Communication system, communication management method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2022116642A (en) |
-
2021
- 2021-01-29 JP JP2021012924A patent/JP2022116642A/en active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8131828B2 (en) | Selectively joining clients to meeting servers | |
US8271649B2 (en) | Access rights used for resource discovery in peer-to-peer networks | |
JP6120650B2 (en) | Content management apparatus, content management method and program | |
US20080189781A1 (en) | Remote management of electronic devices | |
JP6323994B2 (en) | Content management apparatus, content management method and program | |
EP2092710B1 (en) | System and method for remote forensic access | |
JP2016006624A (en) | Information processing system, information processing method, information processor, and program | |
EP2785013A1 (en) | Information processing system | |
US20130036206A1 (en) | Method and apparatus for extending remote network visibility of the push functionality | |
JP2006012085A (en) | Conference support system and conference support method | |
CN109040008B (en) | Information processing apparatus, information setting apparatus, control method therefor, and storage medium | |
JP2014211732A (en) | Information processing system, document management server, document management method, and computer program | |
JP6511868B2 (en) | INFORMATION PROCESSING SYSTEM, INFORMATION PROCESSING METHOD, INFORMATION PROCESSING APPARATUS, AND PROGRAM | |
EP3979605A1 (en) | Protocol conversion for remote access from information terminal | |
US9762613B2 (en) | Method and apparatus for providing extended availability of representatives for remote support and management | |
JP6413686B2 (en) | Information processing system, information processing apparatus, and information processing method | |
US11824942B2 (en) | Communication system, information processing apparatus, and information processing method | |
JP2022036753A (en) | Server system and server system control method | |
JP2022116642A (en) | Communication system, communication management method, and program | |
JP2018028724A (en) | Cloud system, method for remote control of application execution device, and method for charging thereof | |
EP4068073B1 (en) | System, printing system, and control method | |
JP2006113721A (en) | Data transfer method and data transfer system | |
KR102574464B1 (en) | Extensible Server Management Framework BASED ON REVERSE CONNECTION PROTOCOL AND ACCESs OPERATIONG METHOD THEREOF | |
JP2022133817A (en) | Communication system, communication management method, and program | |
JP5095529B2 (en) | Heterogeneous smart environment control method |