JP2023173249A - 情報処理装置、情報処理装置の制御方法およびプログラム - Google Patents

情報処理装置、情報処理装置の制御方法およびプログラム Download PDF

Info

Publication number
JP2023173249A
JP2023173249A JP2022085375A JP2022085375A JP2023173249A JP 2023173249 A JP2023173249 A JP 2023173249A JP 2022085375 A JP2022085375 A JP 2022085375A JP 2022085375 A JP2022085375 A JP 2022085375A JP 2023173249 A JP2023173249 A JP 2023173249A
Authority
JP
Japan
Prior art keywords
information processing
log
audit log
processing device
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2022085375A
Other languages
English (en)
Inventor
伸一 金松
Shinichi Kanematsu
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2022085375A priority Critical patent/JP2023173249A/ja
Priority to US18/316,534 priority patent/US11991336B2/en
Publication of JP2023173249A publication Critical patent/JP2023173249A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N1/00Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
    • H04N1/44Secrecy systems
    • H04N1/4406Restricting access, e.g. according to user identity
    • H04N1/4433Restricting access, e.g. according to user identity to an apparatus, part of an apparatus or an apparatus function
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N1/00Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
    • H04N1/00127Connection or combination of a still picture apparatus with another apparatus, e.g. for storage, processing or transmission of still picture signals or of information associated with a still picture
    • H04N1/00344Connection or combination of a still picture apparatus with another apparatus, e.g. for storage, processing or transmission of still picture signals or of information associated with a still picture with a management, maintenance, service or repair apparatus
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N1/00Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
    • H04N1/0035User-machine interface; Control console
    • H04N1/00405Output means
    • H04N1/00477Indicating status, e.g. of a job
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N1/00Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
    • H04N1/00838Preventing unauthorised reproduction
    • H04N1/0084Determining the necessity for prevention
    • H04N1/00854Recognising an unauthorised user or user-associated action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N1/00Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
    • H04N1/00838Preventing unauthorised reproduction
    • H04N1/00856Preventive measures
    • H04N1/00875Inhibiting reproduction, e.g. by disabling reading or reproduction apparatus
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N1/00Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
    • H04N1/32Circuits or arrangements for control or supervision between transmitter and receiver or between image input and image output device, e.g. between a still-image camera and its memory or between a still-image camera and a printer device
    • H04N1/32101Display, printing, storage or transmission of additional information, e.g. ID code, date and time or title
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N2201/00Indexing scheme relating to scanning, transmission or reproduction of documents or the like, and to details thereof
    • H04N2201/0077Types of the still picture apparatus
    • H04N2201/0094Multifunctional device, i.e. a device capable of all of reading, reproducing, copying, facsimile transception, file transception

Landscapes

  • Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Bioethics (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Debugging And Monitoring (AREA)
  • Facsimiles In General (AREA)

Abstract

Figure 2023173249000001
【課題】不正アクセスの攻撃を検出した場合に、監査ログの破損やロストを防ぐことができる情報処理装置、情報処理装置の制御方法およびプログラムを提供することを目的とする。
【解決手段】複数の機能を有する複合機1000は、複数の機能に対応する種別ごとに監査ログ500を記録する監査ログ制御部309と、監査ログ500へのアクセスの要求があった際に、そのアクセスの要求が不正アクセスであるかを判定する不正アクセス判定部308と、不正アクセス判定部308の判定結果が、そのアクセスの要求が不正アクセスであるとする場合、複数の機能のうち、そのアクセスの要求を受けた監査ログ500の種別に関連する機能について停止制御を行う制御部1と、を備える。
【選択図】図3

Description

本発明は、情報処理装置、情報処理装置の制御方法およびプログラムに関する。
情報機器や複合機が設置される場所や利用者の環境は多様化しており、ファイアウォール内だけではなく、インターネットなどの外部ネットワークから直接アクセスされる利用方法も増加している。また、社内・社外問わず、情報漏えいの発生や不正操作による攻撃が問題となっている。そういった状況から、利用環境に関わらず、機器の使用状況の把握、監査、情報漏えい防止を目的として、機器の動作をログとして記録する機能が知られており、このようなログは監査ログと呼ばれている。情報漏えいや機器への不正なアクセスが発覚した際には、監査ログを参照することで、それら不正な操作の確認を行なうことが可能となる。この監査ログは、性悪説に基づいて厳密に防御を行うゼロトラストセキュリティ環境でも重要な役割を持っており、機器への不正操作の検出や問題が発生時に発生要因を特定するといった目的で利用されている。そのため、ゼロトラストセキュリティ環境においては、監査ログが悪意をもった攻撃やアクセスを受けた場合、監査ログを保全する防御策が必須である。
特許文献1には、アクセス管理の可否を判断するためのホワイトリストへの改変要求に対して、要求元のモジュールに正当な権限なしと判断した場合、改変要求をリジェクトする技術が開示されている。
特開2021―5337号公報
しかしながら、特許文献1の方法では、その後も継続的に不正なアクセスが行われるなどの攻撃を受けてしまう可能性と、攻撃により複合機が保持する監査ログの破損やロストにつながる可能性があり、それらを防ぐことができないという問題があった。
本発明は、上記の課題に鑑みてなされたものである。本発明は、不正アクセスの攻撃を検出した場合に、監査ログの破損やロストを防ぐことができる情報処理装置、情報処理装置の制御方法およびプログラムを提供することを目的とする。
上記目的を達成するために、本発明の情報処理装置は、1または複数の機能を有する情報処理装置であって、前記1または複数の機能に対応する種別ごとに監査ログを記録する記録手段と、前記監査ログへのアクセスの要求があった際に、該アクセスの要求が不正アクセスであるかを判定する判定手段と、前記判定手段の判定結果が、前記アクセスの要求が不正アクセスであるとする場合、前記1または複数の機能のうち、該アクセスの要求を受けた前記監査ログの種別に関連する機能について停止制御を行う制御手段と、を備えることを特徴とする。
本発明によれば、不正アクセスの攻撃を検出した場合に、監査ログの破損やロストを防ぐことができる。
本発明の第1実施形態に係る複合機を含むシステム構成を示すブロック図である。 複合機および管理サーバのハードウェア構成を示すブロック図である。 複合機および管理サーバのソフトウェア構成を示すブロック図である。 管理サーバと複合機との間で実行される監査ログ取得指示から監査ログ送信までの流れを示すシーケンス図である。 複合機のHDDに書き込まれる監査ログの構成を示すブロック図である。 複合機の監査ログの取得に関する定常稼働状態を示すフローチャートである。 第1実施形態に係る複合機で監査ログを保全する制御を説明するためのフローチャートである。 不正アクセス判定部が判定に用いるアクセス許可パターンを説明するための図である。 UI制御部が複合機の操作パネルに表示する通知画面の一例を示す図である。 第1実施形態において、機能の無効化を解除する場合の複合機の制御を説明するためのフローチャートである。 第2実施形態に係る複合機で監査ログを保全する制御を説明するためのフローチャートである。 第2実施形態において、機能の無効化を解除する場合の複合機の制御を説明するためのフローチャートである。
以下、本発明の各実施形態について図面を参照しながら詳細に説明する。しかしながら、以下の各実施形態に記載されている構成はあくまで例示に過ぎず、本発明の範囲は各実施形態に記載されている構成によって限定されることはない。例えば、本発明を構成する各部は、同様の機能を発揮し得る任意の構成のものと置換することができる。また、任意の構成物が付加されていてもよい。また、各実施形態のうちの、任意の2以上の構成(特徴)を組み合わせることもできる。
各実施形態では、本発明の情報処理装置の一例として、ユーザ認証機能を持つ複合機(デジタル複合機/MFP/Multi Function Peripheral)を説明する。しかしながら、一般的にユーザ認証機能は、SFP(Single Function Peripheral)でも使用される。そのため、本発明の範囲は、複合機に限定されず、情報処理装置であればよく、画像形成装置や画像処理装置をも含む。
<第1実施形態>
以下、図1~図10を参照して、第1実施形態について説明する。図1は、本発明の第1実施形態に係る複合機1000(情報処理装置)を含むシステム構成を示すブロック図である。複合機1000は、上記のユーザ認証機能に加えて、スキャン機能、プリント機能、および監査ログ機能などを有し、スキャンした画像データ、印刷データ、およびデバイスの管理情報などを、各装置間で送受信が可能である。この送受信は、他の情報処理装置を相手とする内部ネットワーク100を介して行われる。
なお、本実施形態では、監査ログを、ジョブログ、認証ログ、UI操作ログ、画像ログ、ネットワーク通信時のパケット情報などとする。ジョブログは、誰が、いつ、どこで、何の処理を行ったかというユーザやデバイスの動作の履歴を蓄積したログである。認証ログは、誰が、いつ、どこで、認証を行ったかというデータを蓄積したログである。UI操作ログは、ユーザインターフェースを使用した操作(UI操作)の履歴を蓄積したログである。画像ログは、印刷や原稿の読み取りを実行した際の画像データを蓄積したログである。ただし、複合機1000が蓄積し扱う監査ログの種別は、管理者が何の情報を監査したいかによって変わってくる。そのため、管理者が、例えばジョブログやUI操作ログのみを複合機1000に蓄積し、参照させる場合もあるので、監査ログの種別は、上記の種別に限定されるものではない。
複合機1000は、内部ネットワーク100および外部ネットワーク200を介して、管理サーバ2000とも通信が可能である。内部ネットワーク100は、オフィス内のファイアウォールやゲートウェイで保護された社内ネットワークであり、外部ネットワーク200は、インターネットから直接アクセスできるネットワークであるが、上記のネットワークに限定されるものではない。PC11は、内部ネットワーク100を介して、複合機1000に対してユーザ認証や参照・操作することが可能である。管理サーバ2000は、外部ネットワーク200を介して、複合機1001,1002や、PC12、モバイル端末13と通信可能である。複合機1001,1002は、外部ネットワーク200に直接接続された複合機である。複合機1001は、コワーキングスペースなどの共有スペースに、複合機1002は、在宅勤務用の家庭内に設置されているが、上記の設置場所に限定されるものではない。PC12やモバイル端末13は、外部ネットワーク200を介して、複合機1001,1002に対してユーザ認証や参照・操作することが可能である。複合機1000~1002では、装置自体で印刷や原稿の読み取りが行われるだけでなく、管理サーバ2000経由で印刷やスキャンデータの格納が実行される。
なお、図1に示すシステムは、複合機1000~1002、管理サーバ2000、PC11,12、およびモバイル端末13を有し、それぞれ図示された台数のみ存在するが、それぞれ複数台数存在してもよく、図示された構成に限定されるものではない。また、管理サーバ2000は、別のクラウドストレージと外部ネットワーク200を介して接続されていてもよく、図1に示すように接続されたものに限定されるものではない。
図2(A)は、複合機1000のハードウェア構成を示すブロック図である。CPU201は、複合機1000のソフトウェアプログラムを実行し、装置全体の制御を行う。ROM202は、リードオンリーメモリで、複合機1000のブートプログラムや固定パラメータなどを格納している。RAM203は、ランダムアクセスメモリで、CPU201が複合機1000を制御する際に、プログラムや一時的なデータの格納などに使用される。HDD204は、ハードディスクドライブで、システムソフトウェア、アプリケーション、およびジョブログ、認証ログ、UI操作ログ、画像ログからなる監査ログの各データを格納する。CPU201は、ROM202に記憶されているブートプログラムを実行し、HDD204に格納されているプログラムをRAM203に展開し、その展開したプログラムを実行することにより、複合機1000の動作を制御する。ネットワークI/F制御部205は、内部ネットワーク100とのデータの送受信を制御する。スキャナI/F制御部206は、スキャナ211による原稿の読み取りを制御する。プリンタI/F制御部207は、プリンタ210による印刷処理などを制御する。パネル制御部208は、タッチパネル式の操作パネル209を制御し、各種情報の表示、ユーザからの指示入力を制御する。バス212は、CPU201、ROM202、RAM203、HDD204、ネットワークI/F制御部205、スキャナI/F制御部206、プリンタI/F制御部207、およびパネル制御部208を相互に接続している。バス212を介して、CPU201からの制御信号や各構成要素間のデータ信号が送受信される。なお、複合機1001,1002も、図2(A)と同様のハードウェア構成となる。
図2(B)は、管理サーバ2000のハードウェア構成を示すブロック図である。CPU221は、管理サーバ2000のソフトウェアプログラムを実行し、装置全体の制御を行う。ROM222は、リードオンリーメモリで、管理サーバ2000のブートプログラムや固定パラメータなどを格納している。RAM223は、ランダムアクセスメモリで、CPU221が管理サーバ2000を制御する際に、プログラムや一時的なデータの格納などに使用される。HDD224は、ハードディスクドライブで、システムソフトウェア、アプリケーション、および各種データを格納する。CPU221は、ROM222に記憶されているブートプログラムを実行し、HDD224に格納されているプログラムをRAM223に展開し、その展開したプログラムを実行することにより、管理サーバ2000の動作を制御する。ネットワークI/F制御部225は、外部ネットワーク200とのデータの送受信を制御する。
本実施形態において、管理サーバ2000は、操作パネルを持っていない構成を想定している。この場合、管理サーバ2000は、ネットワークI/F制御部225を介して、PC12やモバイル端末13を用いた操作が可能となる。本実施形態では、PC12やモバイル端末13に表示する操作部をリモートUIと称する。バス232は、CPU221、ROM222、RAM223、HDD224、およびネットワークI/F制御部225を相互に接続している。バス232を介して、CPU221からの制御信号や各構成要素間のデータ信号が送受信される。
図3(A)は、複合機1000のソフトウェア構成を示すブロック図である。なお、図3(A)に示す各ソフトウェアモジュールは、CPU201がHDD204に格納されたプログラムをRAM203に読み出して実行することにより実現される。ネットワークドライバ301は、内部ネットワーク100に接続されるネットワークI/F制御部205を制御して、内部ネットワーク100を介して外部とデータの送受信を行なう。ネットワーク制御部302は、TCP/IPなどのネットワーク通信プロトコルにおけるトランスポート層以下の通信を制御して、データの送受信を行なう。通信制御部303は、複合機1000がサポートする複数の通信プロトコルの制御を行うためのモジュールである。複合機1000がサポートするTLSなどの暗号化通信も、通信制御部303によって実行される。
暗号化処理部304は、データの暗号化および復号処理、電子署名の生成・検証、ハッシュ値生成などの各種暗号処理を行うためのモジュールである。通信制御部303によって行われるTLSなどの暗号化通信処理においても、暗号化処理部304で暗号化処理が行われる。デバイス制御部305は、複合機1000の制御コマンドや制御データを生成して、複合機1000を統括的に制御するためのモジュールである。操作パネル209およびパネル制御部208やネットワークI/F制御部205を経由して指示されたユーザ認証は、デバイス制御部305によって実行される。デバイス制御部305は、複合機1000の動作履歴を監査ログとしてHDD204に書き込むこと(記録)を、不正アクセス判定部308を通して監査ログ制御部309(記録手段)へ依頼し、監査ログ制御部309は、監査ログをHDD204に書き込む。
印刷/読取処理部306は、プリンタ210による印刷や、スキャナ211による原稿の読み取りなどの機能を実行するためのモジュールである。複合機1000に対する印刷や原稿の読み取りなどの指示は、操作パネル209を介したユーザの指示によって実行することも可能である。操作パネル209およびパネル制御部208の制御は、UI制御部307によって行われる。不正アクセス判定部308(判定手段)は、監査ログ制御部309を通じて実行される、監査ログの取得および監査ログの書き込みの全てのアクセスを監視し、それらのアクセスの正当性を判定するためのモジュールである。
以下では、図3(A)に示す複合機1000の各ソフトウェアモジュールを実現する制御部を、図2(A)に示すように、制御部1(制御手段)と表記する。制御部1は、複合機1000のCPU201、ROM202、RAM203、HDD204などからなる。以降のシーケンス図やフローチャートにおいて、複合機1000が処理する部分は、制御部1のROM202、RAM203、HDD204のいずれかの記憶部に記憶され、CPU201により行われる。なお、複合機1001,1002の各ソフトウェアモジュールや制御部も、複合機1000と同様である。
図3(B)は、管理サーバ2000のソフトウェア構成を示すブロック図である。なお、図3(B)に示す各ソフトウェアモジュールは、CPU221がHDD224に格納されたプログラムをRAM223に読み出して実行することにより実現される。ネットワークドライバ321は、外部ネットワーク200に接続されるネットワークI/F制御部225を制御して、外部ネットワーク200を介して外部とデータの送受信を行なう。ネットワーク制御部322は、TCP/IPなどのネットワーク通信プロトコルにおけるトランスポート層以下の通信を制御して、データの送受信を行なう。通信制御部323は、管理サーバ2000がサポートする複数の通信プロトコルの制御を行うためのモジュールである。管理サーバ2000がサポートするTLSなどの暗号化通信も、通信制御部323によって実行される。
暗号化処理部324は、データの暗号化および復号処理、電子署名の生成・検証、ハッシュ値生成などの各種暗号処理を行うためのモジュールである。通信制御部323によって行われるTLSなどの暗号化通信処理においても、暗号化処理部324で暗号化処理が行われる。デバイス制御部325は、管理サーバ2000の制御コマンドや制御データを生成して、管理サーバ2000を統括的に制御するためのモジュールである。デバイス制御部325は、複合機1000の動作履歴を監査ログとしてHDD224に書き込む。管理サーバ2000に対する操作は、ネットワークI/F制御部225を介してPC12やモバイル端末13から操作可能となるリモートUIによって実行される。リモートUIの制御は、UI制御部327によって行われる。
以下では、図3(B)に示す管理サーバ2000の各ソフトウェアモジュールを実現する制御部を、図2(B)に示すように、制御部2と表記する。制御部2は、管理サーバ2000のCPU221、ROM222、RAM223、HDD224などからなる。以降のシーケンス図やフローチャートにおいて、管理サーバ2000が処理する部分は、制御部2のROM222、RAM223、HDD224のいずれかの記憶部に記憶され、CPU221により行われる。
図4は、管理サーバ2000と複合機1000~1002との間で実行される監査ログ取得指示から監査ログ送信までの流れを示すシーケンス図である。本実施形態では、ユーザ認証や操作パネル209による印刷指示の受付、印刷制御などを行う複合機1000~1002と、複合機1000~1002から監査ログを取得する管理サーバ2000とに加えて、PC12が存在する。PC12は、リモートUIで監査ログ取得指示を管理サーバ2000と共有するものである。なお、複合機1000~1002は、何れの装置も同様に構成されるため、以下詳細な説明は、複合機1000を代表として記述する。また、管理サーバ2000と複合機1000~1002は、別々の装置構成になっているが、管理サーバ2000の機能を複合機1000~1002の何れかの装置が内包する構成でもよく、別々の装置構成に限定されるものではない。
図4のシーケンスは、管理サーバ2000に対する監査ログ取得指示の受付に応答して開始される。なお、シーケンスのステップS401~417は、管理サーバ2000において、制御部2のCPU221がHDD224に格納されたプログラムをRAM223に読み出して実行することにより実現される。先ず、ステップS401で、管理サーバ2000の制御部2は、PC12に表示しているリモートUIを介して、ユーザから監査ログ取得指示を受け付ける。監査ログ取得指示は、管理サーバ2000に対する取得指示(下記のステップS402の監査ログ取得要求)のもと情報である。監査ログ取得指示には、取得対象が複合機1000~1002の何れか、また、各取得対象から取得する監査ログの種別、日時の範囲などの詳細情報が含まれる。
次に、ステップS402で、PC12は、管理サーバ2000に対して、監査ログ取得要求を指示する。次に、ステップS403で、管理サーバ2000の制御部2は、受信した監査ログ取得要求の詳細情報に基づき、取得対象のリストを生成する処理を行う。その後、ステップS404で、管理サーバ2000の制御部2は、複合機1000に対して、監査ログの取得を指示し、ステップS405で、複合機1000は、監査ログ取得処理を行う。そして、ステップS406で、複合機1000は、ステップS405の結果を管理サーバ2000に返す。続いて、ステップS404~406と同様な処理が、ステップS407~409において、管理サーバ2000と複合機1001の間で行われ、ステップS410~412において、管理サーバ2000と複合機1002の間で行われる。
なお、図4では、複合機1000~1002と同様な構成の他の複合機3000が複数台数存在し、それぞれ取得対象に加えられている場合が想定されている。この場合、ステップS404~406と同様な処理が、例えばステップS413~415で示すように、管理サーバ2000とそれぞれの他の複合機3000の間で行われる。次に、ステップS416で、管理サーバ2000の制御部2は、ステップS406,409,412,415で返ってきた監査ログを結合する。そして、ステップS417で、管理サーバ2000の制御部2は、ステップS416の結果をPC12に返す。
図5は、複合機1000のHDD204に書き込まれる監査ログ500の構成を示すブロック図である。監査ログ500は、コピージョブログ501、スキャンジョブログ502、プリントジョブログ503、FAXジョブログ504、認証ログ505、UI操作ログ506、および画像ログ507から構成されている。このようにして、監査ログ500の各データは、データ構造として種別毎に独立して管理される。以下では、コピージョブログ501、スキャンジョブログ502、プリントジョブログ503、およびFAXジョブログ504を、各ジョブ種に対応するログとしてまとめて称する場合、ジョブログ508と表記する。ジョブログ508は、複合機1000が各ジョブ種の動作をする都度、必要な監査情報がHDD204に書き込まれるログである。このようなジョブログ508を含む監査ログ500の各データは、複合機1000の各種の動作に伴い、デバイス制御部305からの書き込み依頼を不正アクセス判定部308を通して受けた監査ログ制御部309によって、HDD204に書き込み保存される。
また、監査ログ500の各データは、図4に示すように、外部ネットワーク200に接続された管理サーバ2000が複合機1000から取得可能に構成されている。複合機1000では、管理サーバ2000から監査ログ取得を指示されると、通信制御部303は、デバイス制御部305、不正アクセス判定部308、および監査ログ制御部309を経由して、監査ログ500の各データを取得する。さらに、通信制御部303は、管理サーバ2000へ監査ログ500の各データを送信する。なお、本実施形態において、監査ログ500の各データは、データ構造として種別毎に独立して管理されることを想定しているが、必ずしも独立して管理されなくてもよい。つまり、監査ログ500の各データは、各ジョブ種が識別可能にHDD204に書き込まれていればよい。具体的には、例えば、監査ログ500の各データは、コピージョブログ501、スキャンジョブログ502などに対応する各ジョブ種のタグが付いた状態で一括にHDD204に書き込まれる。
図6は、複合機1000の監査ログ500の取得に関する定常稼働状態を示すフローチャートである。なお、フローチャートのステップS601~605は、複合機1000において、制御部1のCPU201がHDD204に格納されたプログラムをRAM203に読み出して実行することにより実現される。ステップS601で、複合機1000が稼働開始すると、ステップS602で、制御部1は、認証・ジョブ処理を行う。この処理では、ユーザの複合機1000へのログインやジョブ投入などの動作指示を受けて、デバイス制御部305により複合機1000の動作が行われる。さらに、ステップS603で、デバイス制御部305は、複合機1000の動作の監査情報をHDD204に監査ログ500として書き込む依頼を、不正アクセス判定部308を通して監査ログ制御部309に行う。これに応じて、監査ログ制御部309は、書き込み依頼された監査情報を、複合機1000の動作に対応する種別の監査ログ500(501~507の符号で示す何れかのログ)として、HDD204に書き込む(記録工程)。
次に、ステップS604で、通信制御部303は、管理サーバ2000からの監査ログの取得の指示の有無を判定する。通信制御部303が取得の指示のないと判定する場合、処理はステップS602に戻り、通信制御部303が取得の指示があると判定する場合、処理はステップS605に移行する。ステップS605では、制御部1は、監査ログ収集処理を行う。この処理では、後で説明する図7の不正アクセス判定処理と、不正アクセスと判定した場合の処理とが行われる。制御部1は、取得の指示つまり監査ログ500へのアクセスの要求が正当なアクセスであると判定する場合、管理サーバ2000へ監査ログ500を送信する。その後、処理はステップS602に戻る。このようにして、複合機1000は、同じフローを繰り返すことを定常動作として稼働する。
図7は、第1実施形態に係る複合機1000で監査ログ500を保全する制御を説明するためのフローチャートである。なお、フローチャートのステップS701~707(情報処理装置の制御方法)は、複合機1000において、制御部1(コンピュータ)のCPU201がHDD204に格納されたプログラムをRAM203に読み出して実行することにより実現される。また、第1実施形態では、管理サーバ2000からのアクセスの要求が不正アクセスと判定されず、正当な監査ログ500へのアクセスの要求の場合、図6のフローチャートに従って、管理サーバ2000に監査ログ500が回収され、必要な監査に利用される。また、監査ログ500へのアクセスの全ては、不正アクセス判定部308を通してのみ行われる構成であり、予め定義されたアクセス許可パターン(許可条件)に合致する場合のみ、監査ログ500へのアクセスの要求が許可される。不正アクセス判定部308の判定は、不正アクセス判定部308に対する要求コマンドのアクセスIFに付加されるアクセス情報と、予め定義されたアクセス許可パターンを比較することで行われる。
ここで、予め定義されたアクセス許可パターンの構成について説明する。図8は、不正アクセス判定部308が判定に用いるアクセス許可パターンを説明するための図である。図8のアクセス許可パターンは、HDD204に記憶された管理テーブルに保有されており、管理サーバ2000用の定義1210、デバイス制御部305用の定義1211、および通信制御部303用の定義1212が登録されている。さらに、各アクセス判定項目として、アプリID1201、管理者ID1202、管理者パスワード1203、およびアクセス権限1204が定義されている。不正アクセス判定部308は、監査ログ500へのアクセスの要求の全てについて、図8のアクセス許可パターンとの照合により、正当性の判定を行う。このようにして、第1実施形態に係る複合機1000は、監査ログ500へのアクセスの要求が不正アクセスであるかの判定を可能にする。なお、複合機1000に対して監査ログ500へのアクセスの要求を行う管理サーバ2000は、要求コマンドに図8のアクセス許可パターンに合致する正しいアクセス情報を付加する前提である。また、複合機1000で実行されるデバイス制御部305や通信制御部303の監査ログ500へのアクセスの要求も同様で、図8のアクセス許可パターンに合致する正しいアクセス情報を要求コマンドに付加し、監査ログ500へのアクセスの要求が実行される。
図7のフローチャートの説明に戻る。ステップS701で、複合機1000が稼働開始すると、ステップS702で、監査ログ500へのアクセスの要求が行われる。監査ログ500へのアクセスの要求は、例えば管理サーバ2000などの外部装置から外部ネットワーク200および内部ネットワーク100を介したアクセスの要求である。また、複合機1000の操作パネル209を介した監査ログ制御部309に対する監査ログ500へのアクセスの要求も想定している。
続いて、ステップS703で、不正アクセス判定部308は、要求コマンドのアクセスIFに付加されたアクセス情報と、図8のアクセス許可パターンとを照合することにより、監査ログ500へのアクセスの要求の正当性を判定する(判定工程)。ステップS704で、不正アクセス判定部308が、監査ログ500へのアクセスの要求が正当なアクセスであると判定する場合、処理はステップS707に移行する。ステップS707で、制御部1は、監査ログ500へのアクセス処理をアクセスの要求通りに行ない、その後、処理はステップS702に戻る。
一方、ステップS704で、不正アクセス判定部308が、監査ログ500へのアクセスの要求が不正アクセスであると判定する場合、処理はステップ705に移行する。ステップS705で、不正アクセス判定部308は、不正アクセスがどの種別の監査ログ500(501~507の符号で示す何れかのログ)へのアクセスの要求だったのかを判定する。これにより、不正アクセスと判定されたアクセスの要求を受けた、監査ログ500の種別に関連する複合機1000の機能が特定される。なお、以下の説明では、不正アクセスと判定されたアクセスの要求を、不正アクセスの要求と表記する。さらに、ステップS706で、不正アクセス判定部308は、デバイス制御部305に対して、ステップS705で特定された複合機1000の機能の無効化を要求する。この無効化要求は、不正アクセスの要求を受けた監査ログ500の種別(501~507の符号で示す何れかのログ)に関連する複合機1000の機能を無効化するためである。これに応じて、デバイス制御部305は、無効化要求の対象である複合機1000の機能について、以後の動作要求を受け付けない状態に遷移させ、不正アクセスの要求を受けた種別の監査ログ500についてのアクセスを遮断する(制御工程)。このようにして、制御部1は、不正アクセスの要求を受けた監査ログ500の種別(501~507の符号で示す何れかのログ)に関連する複合機1000の機能を停止する停止制御を行う。
具体的には、例えば、ステップS705で、不正アクセス判定部308が、不正アクセスの要求がコピージョブログ501へのアクセスの要求だったと判定する場合、ステップS706で、デバイス制御部305は、以後のコピージョブ動作を受け付けない。また、同時に、UI制御部307(表示制御手段)は、複合機1000の操作パネル209(表示部)において、図9に示す通知画面800によるメッセージ表示を行い、複合機1000のコピー機能が利用できない旨を示す。画像801は、通知画面800内において、複合機1000のモードが、コピージョブログ501に関連するコピー機能を利用するモードであることを示す表示である。了解ボタン802は、通知画面800を閉じるためのボタンである。これにより、複合機1000の操作パネル209では、無効化されているコピー機能に関し、通知画面800のメッセージ表示および画像801のモード表示が行われる。なお、不正アクセスの要求がスキャンジョブログ502、プリントジョブログ503、FAXジョブログ504、認証ログ505、UI操作ログ506、または画像ログ507へのアクセスの要求だったと判定された場合も、同様である。このようにして、第1実施形態に係る複合機1000では、操作パネル209に表示される通知画面800によって、停止されている機能を利用できない旨をユーザに知らせることができる。この点は、後で説明する第2実施形態においても、同様である。
上記の通り、複合機1000は、監査ログ500への不正アクセスの要求に伴って、不正アクセスの要求を受けた種別の監査ログ500(501~507の符号で示す何れかのログ)を保全状態へ切り替る。さらに、複合機1000では、不正アクセスの要求を受けた種別の監査ログ500(501~507で示す何れかのログ)に関連する機能が無効化される。よって、ジョブログ508への不正アクセスの要求が行われると、図7のフローチャートに従い、不正アクセスの要求を受けたジョブログ508の種別に関連するコピー機能、スキャン機能、プリント機能、またはFAX機能が無効化される。また、認証ログ505、UI操作ログ506、または画像ログ507への不正アクセスの要求が行われた場合も、同様である。このようにして、第1実施形態に係る複合機1000では、無効化による機能停止の細分化を図っている。この点は、後で説明する第2実施形態においても、同様である。
なお、認証ログ505への不正アクセスの要求が行われた場合、複合機1000の認証処理が無効化され、複合機1000全体の機能が無効化される。つまり、複合機1000の全ての機能が停止対象となる。これは、認証ログ505への不正アクセスの要求は、複合機1000全体を攻撃する危険性が高いためである。このようにして、第1実施形態に係る複合機1000は、認証ログ505への不正アクセスの要求から守られる。また、UI操作ログ506への不正アクセスの要求が行われた場合、複合機1000の操作パネル209からの全ての操作が無効化される。ただし、この場合、操作パネル209経由でない内部ネットワーク100経由によるジョブ投入は、無効化されない。画像ログ507への不正アクセスの要求が行われた場合、複合機1000の画像処理を伴う全ての機能が無効化される。従って、複合機1000のコピー機能、スキャン機能、プリント機能、およびFAX機能が無効化されるが、画像処理を伴わない認証機能とUI操作は無効化されない。そのため、ユーザは、操作パネル209を用いて複合機1000にログインし、複合機1000のステータス確認などの操作や表示を行うことは可能である。
このようにして、第1実施形態に係る複合機1000は、不正アクセスの攻撃を検出した場合に、監査ログ500の破損やロストを防ぐことができる。従って、不正アクセスの要求が行われた後は、その不正アクセスの要求を受けた監査ログ500の種別(501~507で示す何れかのログ)に関連する機能の動作要求に織り込むようにして、そのログへの攻撃を繰り返し受けても防ぐことができる。この点は、不正アクセスの要求が行われた後に、不正アクセス判定部308や監査ログ制御部309などが攻撃を受けて破壊された場合でも、同様である。
図10は、第1実施形態において、機能の無効化を解除する場合の複合機1000の制御を説明するためのフローチャートである。以下、図10のフローチャートを用いて、保全された種別の監査ログ500(501~507の符号で示す何れかのログ)に関連する機能を無効化状態(ステップS706)から復帰させる例を説明する。なお、フローチャートのステップS706およびステップS902~904は、複合機1000において、制御部1のCPU201がHDD204に格納されたプログラムをRAM203に読み出して実行することにより実現される。
ステップS706で、制御部1が、不正アクセスの要求を受けた監査ログ500の種別(501~507の符号で示す何れかのログ)に関連する機能を無効化すると、処理はステップS902に移行する。ステップS902で、不正アクセス判定部308は、予め設定した一定時間周期でその後の不正アクセス発生状況の監視を行う。この監視は、複合機1000内部で監査ログ500へのアクセスの要求が発生する都度実行される、上記のステップS703の判定に合わせて実行される。次に、ステップS903で、不正アクセス判定部308が、予め設定した一定時間内で、引き続き不正アクセスの要求が発生していると判定する場合、処理はステップS902に戻る。これにより、不正アクセス判定部308は、継続して不正アクセス発生状況の監視を行う。一方、ステップS903で、不正アクセス判定部308が、不正アクセスの要求が発生していない時間が一定時間以上になると判定する場合、処理はステップS904に移行する。
ステップS904で、不正アクセス判定部308は、デバイス制御部305とUI制御部307に対して、機能無効化の解除を通知する。これに応じて、デバイス制御部305は、ジョブ受付制限を解除してジョブ受付を可能とし、UI制御部307は、操作パネル209における図9の通知画面800の表示を解除する。これにより、停止制御の後においては、不正アクセスの要求が発生していない時間が一定時間経過後に停止制御が解除される。このようにして、第1実施形態に係る複合機1000は、機能の無効化を解除し、通常通りの稼働状態に復帰することによって、速やか且つ安全に機能を再開させて利便性を確保すると共に、監査ログ500の保護と複合機1000の可用性を両立する。
<第2実施形態>
以下、図11および図12を参照して、第2実施形態について説明するが、前述した実施形態との相違点を中心に説明し、同様の事項はその説明を省略する。図11は、第2実施形態に係る複合機1000(情報処理装置)で監査ログ500を保全する制御を説明するためのフローチャートである。なお、フローチャートのステップS1001~1005(情報処理装置の制御方法)は、複合機1000において、制御部1(コンピュータ)のCPU201がHDD204に格納されたプログラムをRAM203に読み出して実行することにより実現される。ステップS1001で、複合機1000が、稼働開始し、図6で説明した定常稼働状態に入ると、ステップS1002で、監査ログ制御部309(判定手段)は、監査ログ500の各データの正当性チェックを行う(判定工程)。監査ログ500の各データの正当性チェックは、図6のステップS603の処理の度に、つまり監査ログ500の書き込みの都度、再計算される。その際、コピージョブログ501、スキャンジョブログ502、プリントジョブログ503、FAXジョブログ504、認証ログ505、UI操作ログ506、および画像ログ507それぞれに付加しているハッシュ値が検証される。このようにして、第2実施形態に係る複合機1000は、監査ログ500に異常データがあるかの判定を可能にする。次に、ステップS1003で、監査ログ制御部309が、ハッシュ値の検証が正常であると判定する場合、処理はステップS1002に戻る。これにより、監査ログ制御部309は、複合機1000の定常稼働状態を継続させる。
一方、ステップS1003で、監査ログ制御部309が、ハッシュ値の検証が異常であると判定する場合、処理はステップS1004に移行する。ステップS1004で、監査ログ制御部309は、ハッシュ値に異常があった監査ログ500の種別(501~507の符号で示す何れかのログ)に関連する機能を特定する。ステップS1005で、監査ログ制御部309は、デバイス制御部305、UI制御部307に対して、その特定された複合機1000の機能の無効化を指示し、ハッシュ値に異常があった種別の監査ログ500への書き込み処理も含めて停止させる(制御工程)。その際、操作パネル209には、図9の通知画面800が表示される。このようにして、制御部1は、ハッシュ値に異常があったデータ、つまり異常データを含んだ監査ログ500の種別(501~507の符号で示す何れかのログ)に関連する複合機1000の機能を停止する停止制御を行う。従って、第2実施形態に係る複合機1000では、監査ログ500のデータに異常がある、すなわち不正アクセスの要求判定をすり抜けて監査ログ500への攻撃が行われている可能性ありとする判定により、監査ログ500を保全状態へ移行することができる。
このようにして、第2実施形態に係る複合機1000は、不正アクセスの攻撃を異常データによって検出した場合に、監査ログ500の破損やロストを防ぐことができる。従って、異常データが検出された後は、その異常データを含む監査ログ500の種別(501~507で示す何れかのログ)に関連する機能の動作要求に織り込むようにして、そのログへの攻撃を繰り返し受けても防ぐことができる。この点は、異常データが検出された後に、不正アクセス判定部308や監査ログ制御部309などが攻撃を受けて破壊された場合でも、同様である。
なお、認証ログ505のデータに異常がある場合、複合機1000の認証処理が無効化され、複合機1000全体の機能が無効化される。つまり、複合機1000の全ての機能が停止対象となる。これは、認証ログ505におけるデータの異常は、複合機1000全体を攻撃する危険性が高いためである。このようにして、第2実施形態に係る複合機1000は、認証ログ505におけるデータの異常から守られる。
図12は、第2実施形態において、機能の無効化を解除する場合の複合機1000の制御を説明するためのフローチャートである。以下、図12のフローチャートを用いて、保全された種別の監査ログ500(501~507の符号で示す何れかのログ)に関連する機能を無効化状態(ステップS1005)から復帰させる例を説明する。なお、フローチャートのステップS1005およびステップS1102~1104は、複合機1000において、制御部1のCPU201がHDD204に格納されたプログラムをRAM203に読み出して実行することにより実現される。ステップS1005で、制御部1が、ハッシュ値に異常があった監査ログ500の種別(501~507の符号で示す何れかのログ)に関連する機能を無効化すると、処理はステップS1102に移行する。ステップS1102で、監査ログ制御部309は、管理サーバ2000へ監査ログ500の全データを送信する。この送信は、通信制御部303と連動して行われる。このような制御は、新たな監査ログ500の書き込みを停止しつつ、既存の監査ログ500の全データを複合機1000から安全な管理サーバ2000側に退避し回収するために行われる。
そして、ステップS1103で、制御部1が、監査ログ500の全データを管理サーバ2000へ転送することが完了したと判定すると、処理はステップS1104に移行する。その際、複合機1000では、監査ログ500が一旦回収されて保全済みとなるため、これ以上の監査ログ500の不正や破壊が起こる危険が解消した状態になる。そのため、ステップS1104で、監査ログ制御部309は、デバイス制御部305とUI制御部307に対して、機能無効化の解除を通知する。これに応じて、デバイス制御部305は、ジョブ受付制限を解除してジョブ受付可能とし、UI制御部307は、操作パネル209における図9の通知画面800の表示を解除する。このようにして、第2実施形態に係る複合機1000は、機能の無効化を解除し、通常通りの稼働状態に復帰することによって、速やか且つ安全に機能を再開させて利便性を確保すると共に、監査ログ500の保護と複合機1000の可用性を両立する。
<その他の実施形態>
なお、第1実施形態において、監査ログ制御部309は、不正アクセスと判定されたアクセスの要求に関するログを、監査ログ500の種別(501~507の符号で示す何れかのログ)とは識別可能な状態でHDD204に書き込んでもよい。その際、不正アクセスと判定されたアクセスの要求に関するログは、監査ログ500の新たな種別として独立して管理されてもいし、識別のためのタグが付いた状態で監査ログ500の各データと一括にHDD204に書き込まれてもよい。このようにすれば、第1実施形態に係る複合機1000は、不正アクセスと判定されたアクセスの要求に関する情報を残すことができるので、事後の監査・追跡が可能である。
また、第1実施形態では、図10のフローチャートに代え、図12のフローチャートによって、保全された種別の監査ログ500(501~507の符号で示す何れかのログ)に関連する機能を無効化状態(ステップS706)から復帰させてもよい。
また、第2実施形態では、図12のフローチャートに代え、図10のフローチャートによって、保全された種別の監査ログ500(501~507の符号で示す何れかのログ)に関連する機能を無効化状態(ステップS1005)から復帰させてもよい。この場合、ステップS902で、監査ログ制御部309は、予め設定した一定時間周期でその後の異常データ発生状況の監視を行う。この監視は、図6のステップS603の処理の度に、つまり監査ログ500の書き込みの都度実行される、上記のステップS1002の判定に合わせて実行される。次に、ステップS903で、監査ログ制御部309が、予め設定した一定時間内で、引き続き異常データが発生していると判定する場合、処理はステップS902に戻る。これにより、監査ログ制御部309は、継続して異常データ発生状況の監視を行う。一方、ステップS903で、監査ログ制御部309が、異常データが発生していない時間が一定時間以上になると判定する場合、処理はステップS904に移行する。ステップS904で、監査ログ制御部309は、デバイス制御部305とUI制御部307に対して、機能無効化の解除を通知する。これにより、停止制御の後においては、異常データが発生していない時間が一定時間経過後に停止制御が解除される。
また、各実施形態に係る複合機1000は、無効化により停止している機能を、図10または図12のフローチャートを用いて、複合機1000自体が再開させるが、再開権限のある管理サーバや管理者が再開させてもよい。具体的には、管理サーバは、図8のアクセス許可パターンなどを用いて、複合機1000から再開権限あるサーバとして許可を受けた上で、複合機1000に対する再開指示により、無効化により停止している機能を再開させる。また、管理者は、操作パネル209での操作により、再開権限ある者としての認証を正しく行った上で、無効化により停止している機能を再開させる。
また、各実施形態に係る複合機1000は、コピー機能などの複数の機能を有するものであったが、1つの機能のみを有する情報処理装置であっても、同様にして、監査ログ500の破損やロストを防ぐことができる。
本実施形態の開示は、以下の構成、方法およびプログラムを含む。
(構成1) 1または複数の機能を有する情報処理装置であって、
前記1または複数の機能に対応する種別ごとに監査ログを記録する記録手段と、
前記監査ログへのアクセスの要求があった際に、該アクセスの要求が不正アクセスであるかを判定する判定手段と、
前記判定手段の判定結果が、前記アクセスの要求が不正アクセスであるとする場合、前記1または複数の機能のうち、該アクセスの要求を受けた前記監査ログの種別に関連する機能について停止制御を行う制御手段と、を備えることを特徴とする情報処理装置。
(構成2) 前記監査ログは、少なくとも、前記情報処理装置の認証に関する認証ログ、該情報処理装置のジョブ動作に関するジョブログ、該情報処理装置のUI操作に関する操作ログ、および該情報処理装置の画像処理に関する画像ログに種別されていることを特徴とする構成1に記載の情報処理装置。
(構成3) 前記制御手段は、前記判定手段の判定結果が、前記アクセスの要求が不正アクセスであるとする場合に、該アクセスの要求を受けた前記監査ログの種別が前記認証ログであるときは、前記1または複数の機能の全てを前記停止制御の停止対象にすることを特徴とする構成2に記載の情報処理装置。
(構成4) 前記アクセスの要求に対する許可条件を保有する管理テーブルを備え、
前記判定手段は、前記アクセスの要求に付加されたアクセス情報と前記管理テーブルの前記許可条件とを照合することにより、該アクセスの要求が不正アクセスであるかを判定することを特徴とする構成1乃至3のいずれか一項に記載の情報処理装置。
(構成5) 前記記録手段は、前記判定手段の判定結果が、前記アクセスの要求が不正アクセスであるとする場合、該アクセスの要求に関するログを前記1または複数の機能に関するログと識別可能に前記監査ログに記録することを特徴とする構成1乃至4のいずれか一項に記載の情報処理装置。
(構成6) 1または複数の機能を有する情報処理装置であって、
前記1または複数の機能に対応する種別ごとに監査ログを記録する記録手段と、
前記記録手段で前記監査ログを記録した際に、前記監査ログに異常データがあるかを判定する判定手段と、
前記判定手段の判定結果が、前記監査ログに異常データがあるとする場合、前記1または複数の機能のうち、該判定結果の異常データに該当するデータを含んだ前記監査ログの種別に関連する機能について停止制御を行う制御手段と、を備えることを特徴とする情報処理装置。
(構成7) 前記監査ログは、少なくとも、前記情報処理装置の認証に関する認証ログ、該情報処理装置のジョブ動作に関するジョブログ、該情報処理装置のUI操作に関する操作ログ、および該情報処理装置の画像処理に関する画像ログに種別されていることを特徴とする構成6に記載の情報処理装置。
(構成8) 前記制御手段は、前記判定手段の前記判定結果が、前記監査ログに異常データがあるとする場合に、該判定結果の異常データに該当するデータを含んだ前記監査ログの種別が前記認証ログのときは、前記1または複数の機能の全てを前記停止制御の停止対象にすることを特徴とする構成7に記載の情報処理装置。
(構成9) 前記判定手段は、前記監査ログのハッシュ値を検証することにより、該監査ログに異常データがあるかを判定することを特徴とする構成6乃至8のいずれか一項に記載の情報処理装置。
(構成10) 前記制御手段は、前記停止制御の後に、一定時間、前記判定手段により前記アクセスの要求が不正アクセスであると判定されなかった場合、該一定時間の経過後に前記停止制御を解除することを特徴とする構成1乃至5のいずれか一項に記載の情報処理装置。
(構成11) 前記制御手段は、前記停止制御の後に、一定時間、前記判定手段により前記監査ログに異常データがあると判定されなかった場合、該一定時間の経過後に前記停止制御を解除することを特徴とする構成6乃至9のいずれか一項に記載の情報処理装置。
(構成12) 前記制御手段は、前記停止制御の後に、前記情報処理装置を管理する管理サーバに前記監査ログの全データの送信が完了した場合、前記停止制御を解除することを特徴とする構成1乃至9のいずれか一項に記載の情報処理装置。
(構成13) 表示部と、
前記表示部を制御する表示制御手段と、を備え、
前記表示制御手段は、前記制御手段による前記停止制御の際に、前記停止制御された機能が利用できない旨を通知する通知画面を前記表示部に表示することを特徴とする構成1乃至12のいずれか一項に記載の情報処理装置。
(方法1) 1または複数の機能を有する情報処理装置の制御方法であって、
前記1または複数の機能に対応する種別ごとに監査ログを記録する記録工程と、
前記監査ログへのアクセスの要求があった際に、該アクセスの要求が不正アクセスであるかを判定する判定工程と、
前記判定工程の判定結果が、前記アクセスの要求が不正アクセスであるとする場合、前記1または複数の機能のうち、該アクセスの要求を受けた前記監査ログの種別に関連する機能について停止制御を行う制御工程と、を備えることを特徴とする情報処理装置の制御方法。
(方法2) 1または複数の機能を有する情報処理装置の制御方法であって、
前記1または複数の機能に対応する種別ごとに監査ログを記録する記録工程と、
前記記録工程で前記監査ログを記録した際に、前記監査ログに異常データがあるかを判定する判定工程と、
前記判定工程の判定結果が、前記監査ログに異常データがあるとする場合、前記1または複数の機能のうち、該判定結果の異常データに該当するデータを含んだ前記監査ログの種別に関連する機能について停止制御を行う制御手段と、を備えることを特徴とする情報処理装置の制御方法。
(プログラム1) 構成1乃至13のいずれか一項に記載の情報処理装置の各手段をコンピュータに実行させるためのプログラム。
以上、本発明の好ましい実施形態について説明したが、本発明は上述した各実施形態に限定されず、その要旨の範囲内で種々の変形および変更が可能である。本発明は、上述の各実施形態の1以上の機能を実現するプログラムを、ネットワークや記憶媒体を介してシステムや装置に供給し、そのシステムまたは装置のコンピュータの1つ以上のプロセッサがプログラムを読み出して実行する処理でも実現可能である。また、本発明は、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
1 制御部(制御手段)
309 監査ログ制御部(記録手段)
308 不正アクセス判定部(判定手段)
500 監査ログ
1000 複合機(情報処理装置)

Claims (16)

  1. 1または複数の機能を有する情報処理装置であって、
    前記1または複数の機能に対応する種別ごとに監査ログを記録する記録手段と、
    前記監査ログへのアクセスの要求があった際に、該アクセスの要求が不正アクセスであるかを判定する判定手段と、
    前記判定手段の判定結果が、前記アクセスの要求が不正アクセスであるとする場合、前記1または複数の機能のうち、該アクセスの要求を受けた前記監査ログの種別に関連する機能について停止制御を行う制御手段と、を備えることを特徴とする情報処理装置。
  2. 前記監査ログは、少なくとも、前記情報処理装置の認証に関する認証ログ、該情報処理装置のジョブ動作に関するジョブログ、該情報処理装置のUI操作に関する操作ログ、および該情報処理装置の画像処理に関する画像ログに種別されていることを特徴とする請求項1に記載の情報処理装置。
  3. 前記制御手段は、前記判定手段の判定結果が、前記アクセスの要求が不正アクセスであるとする場合に、該アクセスの要求を受けた前記監査ログの種別が前記認証ログであるときは、前記1または複数の機能の全てを前記停止制御の停止対象にすることを特徴とする請求項2に記載の情報処理装置。
  4. 前記アクセスの要求に対する許可条件を保有する管理テーブルを備え、
    前記判定手段は、前記アクセスの要求に付加されたアクセス情報と前記管理テーブルの前記許可条件とを照合することにより、該アクセスの要求が不正アクセスであるかを判定することを特徴とする請求項1に記載の情報処理装置。
  5. 前記記録手段は、前記判定手段の判定結果が、前記アクセスの要求が不正アクセスであるとする場合、該アクセスの要求に関するログを前記1または複数の機能に関するログと識別可能に前記監査ログに記録することを特徴とする請求項1に記載の情報処理装置。
  6. 1または複数の機能を有する情報処理装置であって、
    前記1または複数の機能に対応する種別ごとに監査ログを記録する記録手段と、
    前記記録手段で前記監査ログを記録した際に、前記監査ログに異常データがあるかを判定する判定手段と、
    前記判定手段の判定結果が、前記監査ログに異常データがあるとする場合、前記1または複数の機能のうち、該判定結果の異常データに該当するデータを含んだ前記監査ログの種別に関連する機能について停止制御を行う制御手段と、を備えることを特徴とする情報処理装置。
  7. 前記監査ログは、少なくとも、前記情報処理装置の認証に関する認証ログ、該情報処理装置のジョブ動作に関するジョブログ、該情報処理装置のUI操作に関する操作ログ、および該情報処理装置の画像処理に関する画像ログに種別されていることを特徴とする請求項6に記載の情報処理装置。
  8. 前記制御手段は、前記判定手段の前記判定結果が、前記監査ログに異常データがあるとする場合に、該判定結果の異常データに該当するデータを含んだ前記監査ログの種別が前記認証ログのときは、前記1または複数の機能の全てを前記停止制御の停止対象にすることを特徴とする請求項7に記載の情報処理装置。
  9. 前記判定手段は、前記監査ログのハッシュ値を検証することにより、該監査ログに異常データがあるかを判定することを特徴とする請求項6に記載の情報処理装置。
  10. 前記制御手段は、前記停止制御の後に、一定時間、前記判定手段により前記アクセスの要求が不正アクセスであると判定されなかった場合、該一定時間の経過後に前記停止制御を解除することを特徴とする請求項1に記載の情報処理装置。
  11. 前記制御手段は、前記停止制御の後に、一定時間、前記判定手段により前記監査ログに異常データがあると判定されなかった場合、該一定時間の経過後に前記停止制御を解除することを特徴とする請求項6に記載の情報処理装置。
  12. 前記制御手段は、前記停止制御の後に、前記情報処理装置を管理する管理サーバに前記監査ログの全データの送信が完了した場合、前記停止制御を解除することを特徴とする請求項1または6に記載の情報処理装置。
  13. 表示部と、
    前記表示部を制御する表示制御手段と、を備え、
    前記表示制御手段は、前記制御手段による前記停止制御の際に、前記停止制御された機能が利用できない旨を通知する通知画面を前記表示部に表示することを特徴とする請求項1または6に記載の情報処理装置。
  14. 1または複数の機能を有する情報処理装置の制御方法であって、
    前記1または複数の機能に対応する種別ごとに監査ログを記録する記録工程と、
    前記監査ログへのアクセスの要求があった際に、該アクセスの要求が不正アクセスであるかを判定する判定工程と、
    前記判定工程の判定結果が、前記アクセスの要求が不正アクセスであるとする場合、前記1または複数の機能のうち、該アクセスの要求を受けた前記監査ログの種別に関連する機能について停止制御を行う制御工程と、を備えることを特徴とする情報処理装置の制御方法。
  15. 1または複数の機能を有する情報処理装置の制御方法であって、
    前記1または複数の機能に対応する種別ごとに監査ログを記録する記録工程と、
    前記記録工程で前記監査ログを記録した際に、前記監査ログに異常データがあるかを判定する判定工程と、
    前記判定工程の判定結果が、前記監査ログに異常データがあるとする場合、前記1または複数の機能のうち、該判定結果の異常データに該当するデータを含んだ前記監査ログの種別に関連する機能について停止制御を行う制御工程と、を備えることを特徴とする情報処理装置の制御方法。
  16. 請求項1または6に記載の情報処理装置の各手段をコンピュータに実行させるためのプログラム。
JP2022085375A 2022-05-25 2022-05-25 情報処理装置、情報処理装置の制御方法およびプログラム Pending JP2023173249A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2022085375A JP2023173249A (ja) 2022-05-25 2022-05-25 情報処理装置、情報処理装置の制御方法およびプログラム
US18/316,534 US11991336B2 (en) 2022-05-25 2023-05-12 Information processing apparatus capable of preventing damage and loss of audit log when attack due to unauthorized access is detected, control method for information processing apparatus, and storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2022085375A JP2023173249A (ja) 2022-05-25 2022-05-25 情報処理装置、情報処理装置の制御方法およびプログラム

Publications (1)

Publication Number Publication Date
JP2023173249A true JP2023173249A (ja) 2023-12-07

Family

ID=88875960

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022085375A Pending JP2023173249A (ja) 2022-05-25 2022-05-25 情報処理装置、情報処理装置の制御方法およびプログラム

Country Status (2)

Country Link
US (1) US11991336B2 (ja)
JP (1) JP2023173249A (ja)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5653380B2 (ja) * 2012-03-28 2015-01-14 京セラドキュメントソリューションズ株式会社 電子機器、画像形成装置、及びセキュリティーレベル管理プログラム
JP7289739B2 (ja) 2019-06-27 2023-06-12 キヤノン株式会社 情報処理装置、情報処理方法およびプログラム
JP2023016141A (ja) * 2021-07-21 2023-02-02 キヤノン株式会社 画像形成装置、画像形成装置の制御方法、及びプログラム

Also Published As

Publication number Publication date
US11991336B2 (en) 2024-05-21
US20230388435A1 (en) 2023-11-30

Similar Documents

Publication Publication Date Title
JP4843325B2 (ja) 文書アクセス制御システム
US8239966B2 (en) Approach for securely processing an electronic document
WO2010061801A1 (ja) 機密ファイルを保護するためのクライアント・コンピュータ、及びそのサーバ・コンピュータ、並びにその方法及びコンピュータ・プログラム
US8582137B2 (en) Method and system for managing security of a remote device using a multifunction peripheral
KR20080070779A (ko) 노드에서 유저 데이터를 보호하는 방법 및 시스템
US9734094B2 (en) Computer security system and method
US9514001B2 (en) Information processing device, data management method, and storage device
JP2007011556A (ja) セキュリティ対策アプリケーションの機密ファイル保護方法
JP2009258917A (ja) プロキシサーバ、認証サーバおよび通信システム
JP2008108143A (ja) データ管理システム、データ管理方法、情報処理装置
JP4185546B2 (ja) 情報漏洩抑止装置、情報漏洩抑止プログラム、情報漏洩抑止記録媒体、及び情報漏洩抑止システム
JP4895731B2 (ja) 情報処理装置、周辺装置、およびプログラム
JP4607082B2 (ja) 情報処理装置、管理方法、及びコンピュータプログラム
US20070024886A1 (en) Image processing device
JP2023173249A (ja) 情報処理装置、情報処理装置の制御方法およびプログラム
JP2008093903A (ja) 画像情報処理システム及び画像情報処理方法
JP6826904B2 (ja) 情報処理装置
JP2008287332A (ja) 文書管理システム、利用制限情報管理装置および利用制限情報管理プログラム
JP7492886B2 (ja) 通信制御システムおよび情報処理装置
JP4415928B2 (ja) デバイス設定制御システム及びデバイス設定制御方法
US11930145B2 (en) Image forming apparatus communicable with communication apparatus, control method for same, and storage medium
US11930035B2 (en) Communication control system, information processing apparatus, and communication control method
JP2008158867A (ja) 画像処理装置、情報管理装置、およびプログラム
JP6226930B2 (ja) セキュリティ制御装置、セキュリティ制御システム、セキュリティ制御方法およびプログラム
JP2022184014A (ja) 情報処理装置、情報処理装置の制御方法