JP4814130B2 - Business information protection device - Google Patents

Business information protection device Download PDF

Info

Publication number
JP4814130B2
JP4814130B2 JP2007065825A JP2007065825A JP4814130B2 JP 4814130 B2 JP4814130 B2 JP 4814130B2 JP 2007065825 A JP2007065825 A JP 2007065825A JP 2007065825 A JP2007065825 A JP 2007065825A JP 4814130 B2 JP4814130 B2 JP 4814130B2
Authority
JP
Japan
Prior art keywords
access
user
information
application
server device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2007065825A
Other languages
Japanese (ja)
Other versions
JP2008226057A (en
Inventor
潤 小田島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nomura Research Institute Ltd
Original Assignee
Nomura Research Institute Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nomura Research Institute Ltd filed Critical Nomura Research Institute Ltd
Priority to JP2007065825A priority Critical patent/JP4814130B2/en
Publication of JP2008226057A publication Critical patent/JP2008226057A/en
Application granted granted Critical
Publication of JP4814130B2 publication Critical patent/JP4814130B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Description

この発明は、組織業務を管理するための業務情報システムに関連し、特に、業務情報システムの情報セキュリティを向上させるための技術、に関する。   The present invention relates to a business information system for managing organizational work, and more particularly, to a technique for improving information security of the business information system.

企業や公共施設などの運用を支える業務情報システム、いわゆるエンタープライズシステム(Enterprise System)は、今や、大小さまざまな組織の基盤となっている。業務情報システムは、クライアント端末やデータベースから得られるデータを集計、蓄積、解析、加工した上でより付加価値の高い情報を出力することにより、複雑化する組織マネジメントを支えている。   Business information systems that support the operation of companies and public facilities, so-called enterprise systems, are now the foundation of organizations of various sizes. The business information system supports complicated organization management by outputting higher value-added information after totaling, accumulating, analyzing and processing data obtained from client terminals and databases.

業務情報システムが取り扱う情報(以下、「組織情報」とよぶ)は、以下の3種類に大別できる。
1.外部公開情報:組織内のみならず組織外にも公開可能な組織情報。たとえば、IR(Investor Relations)情報やプレスリリース情報が該当する。
2.内部公開情報:組織内において公開されるが、組織外には非公開となる組織情報。たとえば、社内掲示板の情報が該当する。
3.限定公開情報:特殊な内部公開情報であり、一部の組織構成員にのみ公開される情報。たとえば、取引先リスク評価情報は、通常、経理部や所定職位以上の社員のみがアクセスできる限定公開情報である。 Information handled by the business information system (hereinafter referred to as “organization information”) can be roughly divided into the following three types.
1. Externally disclosed information: Organization information that can be disclosed not only within the organization but also outside the organization. For example, IR (Investor Relations) information and press release information are applicable.
2. Internally disclosed information: Organization information that is disclosed inside the organization but is not disclosed outside the organization. For example, in-house bulletin board information is applicable.
3. Limited public information: Special internal public information that is open to only some members of the organization. For example, supplier risk evaluation information is limited public information that is usually accessible only to the accounting department or employees of a predetermined position or higher.

一般的な業務情報システムは、パスワードなどのユーザ認証により、限定公開情報へのアクセスを制限することが多い。たとえば、経理部用の限定公開情報を格納する経理情報データベースに対して、経理部共通の「部署パスワード」を設定する。このような運用によれば、部署パスワードを知っている社員、いいかえれば、経理部に所属する社員だけが経理情報データベースの限定公開情報にアクセスできる。
特開2004−213475号公報 A general business information system often restricts access to limited public information by user authentication such as a password. For example, a “department password” common to the accounting department is set for the accounting information database storing the limited public information for the accounting department. According to such an operation, only employees who know the department password, in other words, only employees who belong to the accounting department can access the limited public information in the accounting information database.
JP 2004-213475 A

しかし、上記運用の場合、ある経理部員が別の部署に配属変更となると、部署パスワードが経理部以外に漏洩する可能性が高くなる。この経理部員が正社員でなく契約社員であれば、部署パスワードが組織外に漏洩する可能性も高くなる。部署パスワードを頻繁に変更すればこのような問題にある程度は対処できるが、他の経理部員にとって負担となる。   However, in the case of the above operation, if a certain accounting member is reassigned to another department, there is a high possibility that the department password will be leaked to other than the accounting department. If this accounting member is not a full-time employee but a contract employee, there is a high possibility that the department password will be leaked outside the organization. Changing the department password frequently can address this problem to some extent, but it is a burden on other accounting staff.

更に、経理部以外に所属する社員が経理情報データベースにアクセスしたい場合もある。この社員のアクセス範囲・アクセス時間等をコントロールできれば、経理情報データベースへの一時的・限定的なアクセスを許可してもよいかもしれない。しかし、この社員に部署パスワード自体を教えてしまうと、やはり部署パスワードが関係者以外に漏洩するかもしれない。   In addition, employees who belong to other than the accounting department may want to access the accounting information database. If this employee's access range and access time can be controlled, temporary and limited access to the accounting information database may be permitted. However, if this employee is informed of the department password itself, the department password may be leaked to anyone other than those involved.

近年、アメリカで成立したSOX(Sarbanes‐Oxley)法は、企業経営者や会計監査人に対して公開情報の正当性を保証するように強く求めている。これに倣って、日本でも日本版SOX法が導入される予定であり、日本版SOX法に対応できる態勢の確立が急務となっている。   In recent years, the SOX (Sarbanes-Oxley) law, which was enacted in the United States, urges corporate managers and accounting auditors to ensure the validity of public information. Following this, the Japanese version of the SOX method is scheduled to be introduced in Japan, and there is an urgent need to establish a system that can handle the Japanese version of the SOX method.

このような社会背景に鑑みて、本発明者は、業務情報システムへのアクセス、特に、限定公開情報に対する組織構成員からのアクセスに着目し、組織内部における業務情報システムへのアクセス規制を強化する必要があると認識した。特許文献1は、IDとパスワードによるユーザ認証に加えて、管理者によるアクセス承認を条件とするアクセスルールを開示する。このようなアクセスルールは、業務情報システムへの不正アクセスを防止する上で有効な手法であるが、管理者は作業申請に即座に対応する必要があるため負担が大きい。本発明者は、限定公開情報に対する組織内からのアクセスをコントロールする上で、限定公開情報の流出抑制はもちろん重要であるが、限定公開情報へのアクセスにともなうユーザ負荷を抑制することもまた重要であると考える。   In view of such a social background, the inventor focuses on access to a business information system, in particular, access from a member of an organization to limited public information, and strengthens access restrictions on the business information system inside the organization. Recognized that it was necessary. Patent Document 1 discloses an access rule that is subject to access approval by an administrator in addition to user authentication using an ID and a password. Such an access rule is an effective technique for preventing unauthorized access to the business information system, but it is burdensome because the administrator needs to respond to the work application immediately. In order to control access to the limited public information from within the organization, the present inventor is of course important to control the outflow of the limited public information, but it is also important to suppress the user load associated with the access to the limited public information. I believe that.

本発明は、本発明者の上記課題認識に基づいて完成された発明であり、その主たる目的は、業務情報システムにおける情報セキュリティを向上させるための技術、を提供することにある。   The present invention is an invention that has been completed based on the recognition of the above problems of the present inventor, and its main object is to provide a technique for improving information security in a business information system.

本発明のある態様は、複数のサーバ装置の連携により組織業務を管理するための業務情報システムにおいて、クライアント端末からサーバ装置へのリモートアクセスを制御するための業務情報防護装置に関する。
この装置は、リモートアクセスの実行対象となるサーバ装置とリモートアクセスを実行予定のユーザとを示すアクセス申請情報を受信し、サーバ装置ごとのリモートアクセス予定を管理する。いずれかのサーバ装置に対するクライアント端末からのリモートアクセスに際し、事前にアクセス申請済みであるかを判定する。更に、このユーザが正規ユーザとして登録されているか判定する。この2段階の判定が共に肯定判定となることを条件として、サーバ装置へのリモートアクセスを許可する(後述する「申請判定主導型」に対応する)。 One embodiment of the present invention relates to a business information protection apparatus for controlling remote access from a client terminal to a server apparatus in a business information system for managing organizational work by cooperation of a plurality of server apparatuses.
This apparatus receives access application information indicating a server apparatus to be executed by remote access and a user scheduled to execute remote access, and manages the remote access schedule for each server apparatus. When performing remote access from any client terminal to any server device, it is determined whether an access application has been made in advance. Furthermore, it is determined whether this user is registered as a regular user. Remote access to the server device is permitted on the condition that both of these two-stage determinations are affirmative determinations (corresponding to “application determination initiative type” described later).

なお、以上の構成要素の任意の組合せ、本発明を方法、システム、記録媒体、コンピュータプログラムにより表現したものもまた、本発明の態様として有効である。   It should be noted that any combination of the above-described components, and the present invention expressed by a method, system, recording medium, and computer program are also effective as an aspect of the present invention.

本発明によれば、業務情報システムにおける情報セキュリティを向上させることができる。   According to the present invention, information security in a business information system can be improved.

本実施例においては、「ユーザ認証主導型」および「申請判定主導型」という2つの方式について説明する。ユーザ認証主導型を基本として説明するが、申請判定主導型についても適宜補足説明を加えつつ説明する。ユーザ認証主導型ではアクセスを申請しなくても限定公開情報にアクセスできる可能性があるが、申請判定主導型においてはアクセス申請が必須条件となる。ユーザ認証主導型または申請判定主導型のいずれかを採用するとしてもよいし、アクセス対象となるサーバ装置やフォルダごとにいずれかを採用してもよい。   In this embodiment, two methods of “user authentication initiative type” and “application determination initiative type” will be described. The description will be based on the user authentication initiative type, but the application determination initiative type will be described with supplemental explanation as appropriate. In the user authentication initiative type, there is a possibility that the limited public information can be accessed without applying for access. However, in the application determination initiative type, the access application is an essential condition. Either the user authentication initiative type or the application determination initiative type may be employed, or any one of the server devices or folders to be accessed may be employed.

図1は、業務情報防護装置100と業務情報システム300との関係を示すハードウェア構成図である。
業務情報システム300は、企業Aの組織業務を管理するシステムである。業務情報システム300は、人事システム310と経理システム312という2種類のシステムを統合する。業務情報システム300は、このほかにも、在庫管理、製品開発などさまざまなシステムを含んでもよい。
人事システム310は、人事情報データベースとしてのサーバ装置320aとサーバ装置320bを含む。サーバ装置320aのデータは、フォルダ(ディレクトリ)324a、324b、324cにより階層化されている。サーバ装置320bのデータは、フォルダ324d、324e、324f、324gにより階層化されている。サーバ装置320aのフォルダ324cは、サーバ装置320bのフォルダ324dにマップ(map)されている。
経理システム312は、経理情報データベースとしてのサーバ装置320cとサーバ装置320dを含む。サーバ装置320cとサーバ装置320dのデータもフォルダ324により階層化されている。また、業務情報システム300は、社内掲示板用ウェブサーバとしてのサーバ装置320eを含む。 FIG. 1 is a hardware configuration diagram showing the relationship between the business information protection device 100 and the business information system 300.
The business information system 300 is a system that manages the organizational work of the company A. The business information system 300 integrates two types of systems, a personnel system 310 and an accounting system 312. In addition to this, the business information system 300 may include various systems such as inventory management and product development.
The personnel system 310 includes a server device 320a and a server device 320b as personnel information databases. Data of the server device 320a is hierarchized by folders (directories) 324a, 324b, and 324c. Data of the server device 320b is hierarchized by folders 324d, 324e, 324f, and 324g. The folder 324c of the server device 320a is mapped to the folder 324d of the server device 320b.
The accounting system 312 includes a server device 320c and a server device 320d as accounting information databases. Data of the server device 320c and the server device 320d is also hierarchized by a folder 324. The business information system 300 includes a server device 320e as an in-house bulletin board web server.

業務情報システム300と業務情報防護装置100、クライアント端末200a、200b、200cといった複数のクライアント端末200は、イントラネット(intranet)等の企業内ネットワークを介して互いに接続される。クライアント端末200は、ウェブブラウザを搭載した一般的なPC(Personal Computer)端末である。社員(以下、「正規ユーザ」ともよぶ)は、クライアント端末200から業務情報システム300にリモートアクセスする。業務情報システム300や業務情報防護装置100には、1以上の承認用端末322も接続される。承認用端末322も、ウェブブラウザを搭載した一般的なPC端末である。承認用端末322の役割については後述する。   A plurality of client terminals 200 such as the business information system 300, the business information protection device 100, and the client terminals 200a, 200b, and 200c are connected to each other via an intra-company network such as an intranet. The client terminal 200 is a general PC (Personal Computer) terminal equipped with a web browser. An employee (hereinafter also referred to as “regular user”) remotely accesses the business information system 300 from the client terminal 200. One or more approval terminals 322 are also connected to the business information system 300 and the business information protection device 100. The approval terminal 322 is also a general PC terminal equipped with a web browser. The role of the approval terminal 322 will be described later.

正規ユーザは、複数の「ユーザグループ」に分類される。「ユーザグループ」とは、たとえば、人事部や経理部のような所属、正社員や契約社員のような契約形態、課長や部長、取締役のような職位などの観点からユーザの分類したものである。たとえば、ある正規ユーザαは、「人事部」、「契約社員」、「事務職」というユーザグループに属し、別の正規ユーザβは、「営業部」、「正社員」、「部長」というユーザグループに属するかもしれない。   Regular users are classified into a plurality of “user groups”. The “user group” is, for example, a classification of users from the viewpoints of affiliation such as the personnel department and accounting department, contract form such as full-time employees and contract employees, and positions such as section managers and general managers and directors. For example, a regular user α belongs to the user group “HR department”, “contract employee”, and “office work”, and another regular user β belongs to the user groups “sales department”, “regular employee”, and “department manager”. May belong.

人事システム310や経理システム312において、各サーバ装置320が保持するデータは限定公開情報である。サーバ装置320aの限定公開情報にアクセスできるのは「人事部」に所属する正規ユーザだけであるかもしれない。また、サーバ装置320bのフォルダ324eに保持される限定公開情報にアクセスできるのは、「部長以上」であって「人事部」に所属する正規ユーザだけであるかもしれない。各システム、各サーバ装置320、各フォルダ324には、限定公開情報にアクセスできるユーザグループ(以下、「権限グループ」とよぶ)があらかじめ設定されている。さきほどの例であれば、フォルダ324eの限定公開情報についての権限グループは、「部長以上」かつ「人事部」となる。   In the personnel system 310 and the accounting system 312, the data held by each server device 320 is limited public information. Only authorized users who belong to the “HR department” may access the limited public information of the server device 320a. In addition, only the authorized user who is “director or higher” and belongs to the “HR department” may access the limited public information held in the folder 324e of the server device 320b. In each system, each server device 320, and each folder 324, a user group (hereinafter, referred to as “authority group”) that can access the private information is set in advance. In the above example, the authority group for the limited public information of the folder 324e is “over manager” and “HR”.

一方、サーバ装置320eが保持するデータは内部公開情報である。したがって、企業Aの社員であれば、すなわち正規ユーザでさえあればサーバ装置320eの内部公開情報へアクセスできる。サーバ装置320eの一部のフォルダ324は、完全公開情報も保持する。この場合、正規ユーザでないユーザであってもサーバ装置320eの完全公開情報にアクセスできる。
業務情報防護装置100は、内部公開情報や限定公開情報に対するクライアント端末200からのリモートアクセス可否を判定するための装置である。以下においては、限定公開情報へのリモートアクセスを中心として説明する。 On the other hand, data held by the server device 320e is internal public information. Therefore, if it is an employee of the company A, that is, even a regular user can access the internal public information of the server device 320e. Some folders 324 of the server device 320e also hold complete public information. In this case, even a non-regular user can access the complete public information of the server device 320e.
The business information protection apparatus 100 is an apparatus for determining whether or not remote access from the client terminal 200 to internal public information or limited public information is possible. In the following, description will be made centering on remote access to limited public information.

業務情報防護装置100は、ユーザ認証装置120と申請管理装置140を含む。業務情報防護装置100は、ユーザ認証装置120と申請管理装置140の機能を一体として備える単一の装置であってもよいが、本実施例においては、これら2つの装置の集合体であるとして説明する。   The business information protection device 100 includes a user authentication device 120 and an application management device 140. The business information protection device 100 may be a single device that integrally includes the functions of the user authentication device 120 and the application management device 140. In the present embodiment, the business information protection device 100 is described as an aggregate of these two devices. To do.

ユーザは、内部公開情報や限定公開情報にアクセスする上で、まず、クライアント端末200にログインする。このとき、クライアント端末200には、ユーザIDとパスワードが入力される。以下、ユーザIDやパスワードのように、ユーザを識別するためのデータのことを「ユーザ識別情報」とよぶ。クライアント端末200は、ユーザ識別情報をユーザ認証装置120に渡す。クライアント端末200は、申請管理装置140やサーバ装置320を経由してユーザ認証装置120にユーザ識別情報を渡してもよいし、ユーザ認証装置120に直接転送してもよい。
ユーザ認証装置120は、クライアント端末200に代わって、ログイン要求元のユーザが正規ユーザであるか判定する(以下、「ユーザ認証」とよぶ)。 The user first logs into the client terminal 200 when accessing the internal public information or the limited public information. At this time, a user ID and a password are input to the client terminal 200. Hereinafter, data for identifying a user, such as a user ID or password, is referred to as “user identification information”. The client terminal 200 passes the user identification information to the user authentication device 120. The client terminal 200 may pass the user identification information to the user authentication device 120 via the application management device 140 or the server device 320, or may directly transfer the user identification information to the user authentication device 120.
Instead of the client terminal 200, the user authentication device 120 determines whether the login requesting user is an authorized user (hereinafter referred to as “user authentication”).

限定公開情報の権限グループに所属しているユーザでなければ、限定公開情報にアクセスすることはできない。人事システム310のサーバ装置320aは、「人事部」のユーザであればアクセス可能である。あるユーザがサーバ装置320aをアクセス先として指定するとき、このユーザが人事部に所属していれば、サーバ装置320aへのアクセスは許可される。一方、ユーザが人事部に所属していないときでも、このユーザがサーバ装置320aに対するリモートアクセスを事前に(正しく)申請済みであればアクセスを許可される。申請管理装置140が申請済みか否かを判定する(以下、「申請判定」とよぶ)。ただし、申請判定主導型の場合、たとえユーザが人事部に所属していても、事前の申請が必須となる。
以下においては、限定公開情報Aについての権限グループに属する正規ユーザのことを限定公開情報Aの「権限ユーザ」とよぶ。また、限定公開情報Aに対する権限ユーザ以外の正規ユーザのことを「非権限ユーザ」とよぶ。
ユーザは、クライアント端末200から、業務情報システム300の任意のサーバ装置320、ひいては、任意のフォルダ324にアクセスする。 Only users who belong to the privileged group of limited public information can access the limited public information. The server device 320a of the personnel system 310 can be accessed by users of the “HR department”. When a user designates the server device 320a as an access destination, if the user belongs to the personnel department, access to the server device 320a is permitted. On the other hand, even when the user does not belong to the human resources department, access is permitted if the user has applied for a remote access to the server device 320a in advance (correctly). It is determined whether or not the application management apparatus 140 has applied (hereinafter referred to as “application determination”). However, in the case of the application determination initiative type, even if the user belongs to the personnel department, prior application is essential.
In the following, a regular user belonging to the authority group for the limited public information A is referred to as “authority user” of the limited public information A. Further, a regular user other than the authorized user for the limited public information A is referred to as “non-authorized user”.
The user accesses an arbitrary server device 320 of the business information system 300 and thus an arbitrary folder 324 from the client terminal 200.

クライアント端末200とサーバ装置320との接続が確立したあと、ログインユーザは、アクセス対象となるフォルダ324を変更できる。このとき、クライアント端末200から該当サーバ装置320に「フォルダ変更要求」が送信される。変更先のフォルダ324が保持する情報が限定公開情報であれば、サーバ装置320は、ログインユーザがその限定公開情報についての権限ユーザであるかを判定する。権限ユーザであれば、フォルダ変更要求を許可する。本来、非権限ユーザであっても、申請管理装置140に事前に正しく申請していれば、フォルダ変更要求が許可される。ただし、申請判定主導型の場合、権限ユーザであっても、事前の申請が必須となる。   After the connection between the client terminal 200 and the server device 320 is established, the login user can change the folder 324 to be accessed. At this time, a “folder change request” is transmitted from the client terminal 200 to the corresponding server device 320. If the information held in the change destination folder 324 is limited disclosure information, the server apparatus 320 determines whether the login user is an authorized user for the limited disclosure information. If it is an authorized user, a folder change request is permitted. Originally, even a non-authorized user can make a folder change request if he / she has applied correctly to the application management apparatus 140 in advance. However, in the case of the application determination initiative type, prior application is essential even for an authorized user.

以上をまとめると、
1.内部公開情報に対しては、ユーザ認証によりアクセス権を判定する。
2.限定公開情報に対しては、
2−1.ユーザ認証主導型の場合、権限ユーザであれば、申請判定の判定結果に関わらずアクセス可能である。通常は、申請判定自体を実行しない。一方、本来的に非権限ユーザであっても、事前の申請により暫定的に権限ユーザとなって限定公開情報にアクセスすることができる。
2−2.申請判定主導型の場合、権限ユーザであろうとも、事前の申請がなされていなければアクセスは不可能である。 In summary,
1. For the internal public information, the access right is determined by user authentication.
2. For private information,
2-1. In the case of the user authentication initiative type, if it is an authorized user, it is accessible regardless of the determination result of the application determination. Normally, the application determination itself is not executed. On the other hand, even if the user is originally a non-authorized user, the user can temporarily access to the limited public information as an authorized user by applying in advance.
2-2. In the case of the application determination-driven type, even if it is an authorized user, access is impossible unless an advance application is made.

内部公開情報や限定公開情報は、サーバ装置320やフォルダ324を単位として管理できる。限定公開情報を保持するサーバ装置320やフォルダ324は、権限グループについての情報を保持する。サーバ装置320aは、人事システム310についての権限グループ情報、サーバ装置320aについての権限グループ情報を保持する。また、サーバ装置320aのフォルダ324bは、フォルダ324bの権限グループ情報を保持する。同様にして、サーバ装置320bはサーバ装置320bの権限グループ情報を保持する。   The internal public information and the limited public information can be managed in units of the server device 320 and the folder 324. The server device 320 and the folder 324 that hold the limited public information hold information about the authority group. The server device 320a holds authority group information about the personnel system 310 and authority group information about the server device 320a. Further, the folder 324b of the server device 320a holds the authority group information of the folder 324b. Similarly, the server device 320b holds authority group information of the server device 320b.

なお、所定の限定公開情報については権限グループを設定しなくてもよい。たとえば、サーバ装置320bのフォルダ324gの限定公開情報Bには権限グループが設定されていない。正規ユーザがどのようなユーザグループに所属していようとも、この限定公開情報Bにアクセスするために必ずアクセス申請しなければならない。すなわち、限定公開情報Bについては、すべての正規ユーザは非権限ユーザとなる。特に機密性の高い限定公開情報については、このような設定方法も有効である。これは事実上、申請判定主導型によるセキュリティ管理と同様の効果を発揮することになる。
ユーザ認証主導型によるリモートアクセスの手続きの流れについては図9に関連して詳述する。また、申請判定主導型によるリモートアクセスの手続きの流れについては図10に関連して詳述する。 Note that an authority group may not be set for the predetermined limited public information. For example, no authority group is set in the limited public information B of the folder 324g of the server device 320b. No matter what user group the regular user belongs to, an access application must be made in order to access this limited public information B. That is, for the limited public information B, all regular users are non-authorized users. Such a setting method is also effective especially for limited public information with high confidentiality. This effectively has the same effect as the security management by the application determination initiative type.
The flow of the remote access procedure based on the user authentication initiative will be described in detail with reference to FIG. In addition, the flow of the remote access procedure by the application determination initiative type will be described in detail with reference to FIG.

図2は、業務情報防護装置100の機能ブロック図である。
ここに示す各ブロックは、ハードウェア的には、コンピュータのCPUをはじめとする素子や機械装置で実現でき、ソフトウェア的にはコンピュータプログラム等によって実現されるが、ここでは、それらの連携によって実現される機能ブロックを描いている。したがって、これらの機能ブロックはハードウェア、ソフトウェアの組合せによっていろいろなかたちで実現できることは、当業者には理解されるところである。ここでは、各部の機能を中心として説明し、それらの連携、データ構造、作用については、図3以降に関連して詳述する。 FIG. 2 is a functional block diagram of the business information protection apparatus 100.
Each block shown here can be realized in hardware by an element such as a CPU of a computer or a mechanical device, and in software it is realized by a computer program or the like. Draw functional blocks. Therefore, those skilled in the art will understand that these functional blocks can be realized in various forms by a combination of hardware and software. Here, the function of each unit will be mainly described, and their cooperation, data structure, and operation will be described in detail with reference to FIG.

本実施例における業務情報防護装置100は、互いに通信回線で接続されたユーザ認証装置120と申請管理装置140を含む。   The business information protection apparatus 100 in this embodiment includes a user authentication apparatus 120 and an application management apparatus 140 that are connected to each other via a communication line.

ユーザは、業務情報システム300へアクセスする前に、まず、クライアント端末200にログインする。このとき、クライアント端末200にはユーザIDとパスワードが入力される。本実施例においては、このユーザIDとパスワードは、ユーザ認証装置120によるユーザ認証や申請管理装置140による申請判定のために転送される。   The user first logs into the client terminal 200 before accessing the business information system 300. At this time, a user ID and a password are input to the client terminal 200. In this embodiment, the user ID and password are transferred for user authentication by the user authentication device 120 and application determination by the application management device 140.

A:ユーザ認証装置120
ユーザ認証装置120は、ユーザ認証部122と正規ユーザ情報保持部124を含む。正規ユーザ情報保持部124は、ユーザIDとパスワード、ユーザグループを対応づけた正規ユーザ情報を保持する。この正規ユーザ情報に登録されているユーザが「正規ユーザ」となる。ユーザがクライアント端末200にログインするとき、クライアント端末200はユーザ認証部122にユーザ識別情報を送信する。ユーザ認証部122は、このユーザ識別情報と正規ユーザ情報を比較することによりユーザ認証を行う。ユーザ認証部122は、クライアント端末200のユーザだけでなく承認用端末322のユーザについてもユーザ認証を実行する。 A: User authentication device 120
The user authentication device 120 includes a user authentication unit 122 and a regular user information holding unit 124. The regular user information holding unit 124 holds regular user information in which a user ID, a password, and a user group are associated with each other. A user registered in the regular user information is a “regular user”. When the user logs in to the client terminal 200, the client terminal 200 transmits user identification information to the user authentication unit 122. The user authentication unit 122 performs user authentication by comparing the user identification information with the regular user information. The user authentication unit 122 performs user authentication not only for the user of the client terminal 200 but also for the user of the approval terminal 322.

本実施例におけるユーザ認証装置120は単一の装置であり、正規ユーザ情報を一元的に管理する。複数のシステムについてのユーザ認証を単一のユーザ認証装置120にて実行することにより、ユーザ認証ポリシー(policy)を一元的に管理できる。   The user authentication device 120 in this embodiment is a single device, and manages regular user information in an integrated manner. By executing user authentication for a plurality of systems with a single user authentication device 120, a user authentication policy (policy) can be managed centrally.

B:申請管理装置140
申請管理装置140は、申請状態管理部142、申請状態判定部144、アクセスインタフェース処理部146、ユーザグループ変更部182、実行条件保持部150およびアクセス予定保持部152を含む。 B: Application management device 140
The application management apparatus 140 includes an application state management unit 142, an application state determination unit 144, an access interface processing unit 146, a user group change unit 182, an execution condition holding unit 150, and an access schedule holding unit 152.

実行条件保持部150は、非権限ユーザについてのアクセスルールを示す実行条件情報を保持する。リモートアクセスの目的は複数の種別(以下、単に「アクセス種別」とよぶ)に分類される。アクセス種別として、データを閲覧するだけの「データ参照」、新たなデータを登録するための「データ追加」、既存のデータを書き換えるための「データ変更」、ソフトウェアインストールなどの「リリース作業」などが挙げられる。ユーザ認証主導型の場合、権限ユーザは事前のアクセス申請をしなくても限定公開情報にアクセスできるが、非権限ユーザはアクセス日時、アクセス種別等を明示した「アクセス申請情報」を業務情報防護装置100に送信することにより、アクセス予定を事前に申請しておかなければならない。後述の登録判定部162は、実行条件情報を参照して、このアクセス申請情報の適否をチェックする。   The execution condition holding unit 150 holds execution condition information indicating an access rule for an unauthorized user. The purpose of remote access is classified into a plurality of types (hereinafter simply referred to as “access types”). Access types include “data reference” for simply browsing data, “data addition” for registering new data, “data change” for rewriting existing data, and “release work” such as software installation. Can be mentioned. In the case of user authentication initiative type, authorized users can access privately disclosed information without applying for access in advance, but non-authorized users can access “access application information” that specifies access date and time, access type, etc. By sending to 100, the access schedule must be applied in advance. The registration determination unit 162 described later checks the suitability of the access application information with reference to the execution condition information.

たとえば、サーバ装置320aの権限グループが「人事部」であるとき、情報技術部のユーザがこのサーバ装置320aに新しいソフトウェアをインストールしたいとする。このユーザは、サーバ装置320aについては非権限ユーザである。ここで、サーバ装置320aの管理責任者は、サーバ装置320aへの「リリース作業」が2月1日にのみ実行可能である旨を実行条件情報に登録したとする。   For example, when the authority group of the server device 320a is “HR”, the user of the information technology department wants to install new software on the server device 320a. This user is an unauthorized user with respect to the server device 320a. Here, it is assumed that the manager of the server apparatus 320a has registered in the execution condition information that “release work” to the server apparatus 320a can be executed only on February 1st.

非権限ユーザが1月30日を予定日としてサーバ装置320aへの「リリース作業」を申請しても、アクセスルールに適合しないためこの申請は自動的に却下される。このように、サーバ装置320aの管理責任者は、サーバ装置320aに対する非権限ユーザのアクセスルールを実行条件情報としてあらかじめ登録しておくことができる。
更に、承認権限のある特別なユーザ(以下、単に「承認者」とよぶ)によって申請が承認されなければならない旨を実行条件情報に登録することもできる。実行条件情報のデータ構造については、次の図3に関連して更に詳述する。 Even if a non-authorized user applies for a “release work” to the server device 320a with January 30 as the scheduled date, the request is automatically rejected because it does not conform to the access rules. As described above, the person in charge of management of the server device 320a can register in advance the access rules of the non-authorized user for the server device 320a as execution condition information.
Furthermore, it is possible to register in the execution condition information that the application must be approved by a special user with approval authority (hereinafter simply referred to as “approver”). The data structure of the execution condition information will be further described in detail with reference to FIG.

申請状態管理部142は、アクセス申請に関する処理を全般的に担当する。申請状態管理部142は、アクセス申請部156、アクセス承認部158、申請通知部160および登録判定部162を含む。   The application status management unit 142 is generally in charge of processing related to the access application. The application status management unit 142 includes an access application unit 156, an access approval unit 158, an application notification unit 160, and a registration determination unit 162.

アクセス申請部156は、アクセス申請情報を受信する。アクセス申請情報は、後の図4に示す申請画面220において入力されるデータの集合である。後の図4では、入力データとして、アクセスの目的、日時、件名、アクセス対象となるサーバ名などが示されるが、このほかにも、申請者のメールアドレスなどさまざまな情報が含まれてもよい。更に、申請日時や申請者のIPアドレスなど、入力されたデータ以外の付帯情報が含まれてもよい。登録判定部162は、アクセス申請情報が実行条件情報と適合するか判定する。先ほどの例でいえば、2月1日以外を対象としてサーバ装置320aに対するリリース作業が申請された場合、登録判定部162はこの申請を却下し、その旨を非権限ユーザに通知する。申請内容が実行条件情報と適合していれば、登録判定部162はアクセス予定保持部152のアクセス予定情報に、申請を登録する。アクセス予定情報に登録されたアクセス申請のことを「有効なアクセス申請」とよぶ。アクセス予定情報の内容は、アクセス申請情報の内容と実質的に同等であってよい。すなわち、受信されたアクセス申請情報のうち、有効なアクセス申請としての要件を満たすアクセス申請情報だけがアクセス予定情報として正式登録される。登録判定部162は、有効なアクセス申請がなされると、リモートアクセス予定を一意に識別するためのアクセスIDを付与する。アクセス予定情報では、アクセスID、アクセス予定日時、アクセス内容、ユーザ名、承認状態等が対応づけられる。   The access application unit 156 receives access application information. The access application information is a set of data input on the application screen 220 shown in FIG. 4 later. In FIG. 4 later, the purpose of access, the date and time, the subject, the name of the server to be accessed, and the like are shown as input data. . Furthermore, incidental information other than the input data, such as the application date and time and the IP address of the applicant, may be included. The registration determination unit 162 determines whether the access application information matches the execution condition information. In the previous example, when a release operation for the server device 320a is requested for a date other than February 1, the registration determination unit 162 rejects this application and notifies the unauthorized user to that effect. If the application content matches the execution condition information, the registration determination unit 162 registers the application in the access schedule information of the access schedule holding unit 152. The access application registered in the access schedule information is called “valid access application”. The contents of the access schedule information may be substantially equivalent to the contents of the access application information. That is, of the received access application information, only the access application information that satisfies the requirements as a valid access application is formally registered as access schedule information. When a valid access application is made, the registration determination unit 162 assigns an access ID for uniquely identifying a remote access schedule. In the access schedule information, an access ID, an access scheduled date and time, access contents, a user name, an approval status, and the like are associated.

申請通知部160は、アクセス申請情報が登録されると、その申請内容が承認を必要とするものであるか否かを実行条件情報を参照して判定する。申請通知部160は、承認が必要なアクセス申請情報について、そのアクセスIDを承認者に通知する。本実施例における申請通知部160は、アクセスIDを示す電子メールを承認用端末322に送信する。承認者は、アクセスIDに基づいて申請管理装置140にアクセスし、承認可否を入力する。アクセス承認部158は、承認可否を承認用端末322から受信する。このときのユーザインタフェースに関しては図5に関連して後述する。   When the access application information is registered, the application notification unit 160 determines whether or not the application content requires approval with reference to the execution condition information. The application notifying unit 160 notifies the approver of the access ID of access application information that needs to be approved. The application notification unit 160 in this embodiment transmits an e-mail indicating the access ID to the approval terminal 322. The approver accesses the application management apparatus 140 based on the access ID and inputs approval approval / disapproval. The access approval unit 158 receives approval approval from the approval terminal 322. The user interface at this time will be described later with reference to FIG.

アクセス承認部158は、承認がなされると、アクセス予定情報における承認状態を「未承認」から「承認」に変更する。却下の場合には、アクセス承認部158はユーザに申請却下の旨を通知すると共に、アクセス予定情報から該当申請を抹消する。また、登録判定部162は、アクセス予定情報のうち、アクセス予定日時を経過した申請や、すでに完了した申請を適宜抹消する。   When approved, the access approval unit 158 changes the approval state in the access schedule information from “unapproved” to “approved”. In the case of rejection, the access approval unit 158 notifies the user that the application is rejected and deletes the corresponding application from the access schedule information. In addition, the registration determination unit 162 appropriately deletes the application that has passed the scheduled access date and the already completed application from the access schedule information.

申請状態判定部144は申請判定を実行する。ここで、ユーザ認証主導型と申請判定主導型について簡単に説明しておく。   The application state determination unit 144 executes application determination. Here, the user authentication initiative type and the application determination initiative type will be briefly described.

1:ユーザ認証主導型
リモートログインに際し、クライアント端末200はユーザ識別情報をサーバ装置320に送信する。サーバ装置320はユーザ識別情報をユーザ認証装置120に送信し、ユーザ認証装置120はユーザ認証を実行する。ここで、ログイン要求元のユーザが正規ユーザであれば、ユーザの所属するユーザグループをサーバ装置320に通知する。サーバ装置320についての権限ユーザであれば、サーバ装置320はアクセスを許可し、クライアント端末200との通信経路を確立する。 1: User authentication initiative type In remote login, the client terminal 200 transmits user identification information to the server device 320. The server device 320 transmits user identification information to the user authentication device 120, and the user authentication device 120 performs user authentication. If the login requesting user is a regular user, the server group 320 is notified of the user group to which the user belongs. If the user is an authorized user for the server device 320, the server device 320 permits access and establishes a communication path with the client terminal 200.

申請管理装置140のユーザグループ変更部182は、アクセス予定情報に基づいて、適宜、ユーザ認証装置120の正規ユーザ情報を更新する。たとえば、情報技術部のユーザAが、「2月1日から2月2日」を対象として、人事システム310へのアクセス予定を有効に申請している状況を想定する。本来、ユーザAは、人事システム310のサーバ装置320aに関する権限ユーザではないが、申請された「2月1日から2月2日」に限って一時的にアクセス権限を付与される。
ユーザグループ変更部182は、2月1日に至るとユーザAのユーザグループとして一時的に「人事部」と登録する。そして、2月2日が終わるとき、ユーザAのユーザグループから「人事部」を抹消する。いわば、ユーザAは申請期間に限って暫定的に人事部に所属することになる。 The user group changing unit 182 of the application management apparatus 140 updates the authorized user information of the user authentication apparatus 120 as appropriate based on the access schedule information. For example, it is assumed that the user A of the information technology department effectively applies for an access schedule to the personnel system 310 for “February 1 to February 2”. Originally, the user A is not an authorized user related to the server device 320a of the personnel system 310, but is temporarily granted access authority only for the application “February 1st to February 2nd”.
When the user group changing unit 182 arrives on February 1, the user group changing unit 182 temporarily registers as the user group of the user A as “HR”. Then, when February 2 ends, the “personnel department” is deleted from the user group of user A. In other words, the user A temporarily belongs to the personnel department only during the application period.

このようにして申請管理装置140は、適宜、正規ユーザ情報保持部124を更新することになる。このため、リモートアクセス実行時において、ユーザ認証装置120は、ユーザ識別情報に基づいて、事実上、ユーザ認証と申請判定をまとめて実行できることになる。リモートログインに限らず、フォルダ変更要求についても同様のアルゴリズムにてユーザ認証主導型によるアクセス制御が可能である。   In this way, the application management apparatus 140 updates the authorized user information holding unit 124 as appropriate. For this reason, at the time of remote access execution, the user authentication device 120 can effectively execute user authentication and application determination collectively based on the user identification information. Not only remote login but also folder change requests, user authentication-driven access control can be performed with the same algorithm.

2:申請判定主導型
この申請判定主導型においては、有効なアクセス申請がなされていなければ業務情報システム300へのアクセスを許可しない。このため、特に情報セキュリティを重視する場合に好ましい処理モデルである。
リモートログインに際し、クライアント端末200はユーザ識別情報をサーバ装置320に送信する。サーバ装置320はユーザ識別情報を申請管理装置140に送信する。ここで、申請管理装置140はユーザ識別情報に含まれるユーザIDを取得し、当該ユーザが有効にアクセス申請済みであるか判定する。有効なアクセス申請がなされていなければ、ユーザ認証を実行することなくアクセスは拒否される。 2: Application determination initiative type In this application decision initiative type, access to the business information system 300 is not permitted unless a valid access application is made. For this reason, it is a preferable processing model especially when importance is attached to information security.
At the time of remote login, the client terminal 200 transmits user identification information to the server device 320. The server device 320 transmits user identification information to the application management device 140. Here, the application management apparatus 140 acquires the user ID included in the user identification information, and determines whether or not the user has been effectively applied for access. If a valid access application has not been made, access is denied without executing user authentication.

有効にアクセス申請済みであれば、申請管理装置140はユーザ識別情報をユーザ認証装置120に転送する。ユーザ認証装置120はここでユーザIDとパスワードをチェックしてユーザ認証を実行する。ログイン要求元のユーザが正規ユーザであれば、ユーザ認証装置120はアクセス許可通知をサーバ装置320に通知する。サーバ装置320は、アクセス許可通知を受信したことを条件として、クライアント端末200との通信経路を確立する。   If the access application is valid, the application management device 140 transfers the user identification information to the user authentication device 120. Here, the user authentication device 120 checks the user ID and password and executes user authentication. If the login requesting user is a regular user, the user authentication device 120 notifies the server device 320 of an access permission notification. The server device 320 establishes a communication path with the client terminal 200 on the condition that the access permission notification is received.

すなわち、申請管理装置140は、アクセス予定情報に基づいて、有効にアクセス申請していないユーザのアクセスをユーザ認証の前段階にて排除する。リモートログインに限らず、フォルダ変更要求についても同様のアルゴリズムにて申請判定主導型によるアクセス制御が可能である。詳細については図10に関連して後述する。   That is, the application management apparatus 140 eliminates the access of the user who has not applied for an effective access at the previous stage of user authentication based on the access schedule information. Not only remote login but also folder change requests can be controlled by the application determination initiative type with the same algorithm. Details will be described later with reference to FIG.

1.ユーザ認証主導型の場合、申請状態判定部144は、ユーザ識別情報とアクセス予定情報を定期的に参照して、アクセス申請済か否か、必要であれば、更に承認済みか否かを判定する。
2.申請判定主導型の場合においては、申請状態判定部144は、リモートアクセス要求日時が、申請されたアクセス予定時間内にあるかについても判定する。たとえば、ある非権限ユーザαが「2月1日」というアクセス予定日時を指定してサーバ装置320aへのアクセス申請をしている場合、1月31日以前や2月2日以後にサーバ装置320aにリモートアクセス要求をしても申請判定の結果は「否定」となり、リモートアクセスは許可されない。一方、非権限ユーザAが「2月1日」というアクセス予定日時においてサーバ装置320aにリモートアクセス要求してきたときには、申請判定の結果は「肯定」となり、アクセスインタフェース処理部146はアクセスを許可する。
もちろん、承認が必要なアクセスが申請されているときには、承認済みでなければアクセス許可されない。アクセスインタフェース処理部146は、サーバ装置320やフォルダ324へのアクセス可否判定を統括的に制御する。 1. In the case of the user authentication initiative type, the application state determination unit 144 periodically refers to the user identification information and the access schedule information to determine whether access has been applied and, if necessary, further approved. .
2. In the case of the application determination initiative type, the application state determination unit 144 also determines whether or not the remote access request date and time is within the requested access scheduled time. For example, when a certain non-authorized user α has applied for access to the server device 320a by specifying the scheduled access date and time of “February 1”, the server device 320a before January 31st or after February 2nd. Even if a remote access request is made, the result of the application determination is “No” and remote access is not permitted. On the other hand, when the non-authoritative user A makes a remote access request to the server device 320a at the scheduled access date “February 1”, the result of the application determination is “Yes”, and the access interface processing unit 146 permits the access.
Of course, when access requiring approval is applied, access is not permitted unless approved. The access interface processing unit 146 comprehensively controls whether access to the server device 320 and the folder 324 is permitted.

本実施例における申請管理装置140は単一の装置であり、申請判定を一元的に実行する。複数システムに関する申請判定を単一の申請管理装置140にて実行することにより、実行条件情報やアクセス予定情報を一元的に管理できる。   The application management apparatus 140 in the present embodiment is a single apparatus, and performs application determination centrally. By executing application determination for multiple systems with a single application management device 140, execution condition information and access schedule information can be managed centrally.

図3は、実行条件保持部150における実行条件情報のデータ構造図である。
実行条件情報は、各サーバ装置320やフォルダ324の管理責任者により定められたアクセスルールを示す。ルールID欄164は、アクセスルールを一意に識別するためのID(以下、「ルールID」とよぶ)を示す。アクセスルールが登録されると、ルールIDが割り当てられる。対象領域欄166は、アクセスルールの適用対象となるサーバ装置320やフォルダ324を示す。日時欄168は、アクセスルールの適用日時を示す。アクセス種別欄170は、アクセスルールが適用されるアクセス種別を示す。承認要否欄172は、該当アクセスの実行をするために承認が必要か否かを示す。たとえば、ルールID「1」のアクセスルールは、「サーバID:06」のサーバ装置320(以下、「サーバ装置320(06)」と表記する)における「フォルダID:24」のフォルダ324(以下、「フォルダ324(24)」と表記する)に保持される限定公開情報に関し、「6:00〜16:00」の時間帯について適用される。 FIG. 3 is a data structure diagram of execution condition information in the execution condition holding unit 150.
The execution condition information indicates an access rule defined by the person in charge of managing each server device 320 or folder 324. The rule ID column 164 indicates an ID (hereinafter referred to as “rule ID”) for uniquely identifying an access rule. When an access rule is registered, a rule ID is assigned. The target area column 166 shows the server device 320 and the folder 324 to which the access rule is applied. The date / time column 168 indicates the application date / time of the access rule. The access type column 170 indicates the access type to which the access rule is applied. The approval necessity column 172 indicates whether or not approval is required to execute the corresponding access. For example, an access rule with a rule ID “1” is a folder 324 (hereinafter, referred to as “folder ID: 24”) in a server device 320 (hereinafter referred to as “server device 320 (06)”) as “server ID: 06”. With respect to the limited public information held in “Folder 324 (24)”, it is applied to the time zone of “6:00 to 16:00”.

すなわち、サーバ装置320(06)のフォルダ324(24)に非権限ユーザがアクセスする場合、「6:00〜16:00」という時間帯に限って、「データ参照」か「データ追加」というアクセス種別にて事前申請をしていればアクセスが許可される。承認は不要であり、正しく申請さえしていればよい。しかし、「データ変更」を目的として申請をしても却下されることになる。また、この時間帯以外のアクセスは許可されない。   That is, when a non-privileged user accesses the folder 324 (24) of the server device 320 (06), the access “data reference” or “data addition” is limited to the time zone “6:00 to 16:00”. Access is permitted if you have applied in advance by type. Approval is not required, as long as the application is correct. However, even if an application is made for the purpose of "data change", it will be rejected. Also, access outside this time period is not permitted.

一方、サーバ装置320(08)に非権限ユーザがアクセスする場合、「6:00〜16:00」という時間帯に限って、「データ変更」か「リリース作業」というアクセス種別にて事前申請をし、かつ、承認を得られればアクセスが許可される。   On the other hand, when a non-privileged user accesses the server device 320 (08), a prior application is made with an access type of “data change” or “release work” only during the time period “6:00 to 16:00”. If access is approved, access is permitted.

図4は、申請画面220を示す画面図である。
ユーザがアクセス申請のために申請管理装置140にアクセスすると、アクセス申請部156はクライアント端末200に同図に示す申請画面220を表示させる。申請画面220は、クライアント端末200にウェブページとして表示される画面である。 FIG. 4 is a screen diagram showing the application screen 220.
When the user accesses the application management apparatus 140 for an access application, the access application unit 156 displays the application screen 220 shown in FIG. The application screen 220 is a screen displayed as a web page on the client terminal 200.

申請者名領域222には、申請者名を入力する。申請者は、自分以外が作業をするときには、実際に作業を実行する予定のユーザ名を入力する。件名領域224には、申請する作業の件名を入力する。システム分類領域226からは、対象システムのタイプが選択される。ここでは、経理システム312が選択されている。サーバ指定領域227はアクセス対象となるサーバ装置320のサーバID、フォルダ指定領域228はアクセス対象となるフォルダ324のフォルダIDを示す。サーバ指定領域227やフォルダ指定領域228においては複数のサーバ装置320や複数のフォルダ324を指定してもよい。   In the applicant name area 222, an applicant name is input. When an applicant other than himself / herself works, the applicant inputs the name of the user who will actually perform the work. In the subject area 224, the subject of the work to be applied is input. From the system classification area 226, the type of the target system is selected. Here, the accounting system 312 is selected. The server designation area 227 indicates the server ID of the server device 320 to be accessed, and the folder designation area 228 indicates the folder ID of the folder 324 to be accessed. In the server designation area 227 and the folder designation area 228, a plurality of server devices 320 and a plurality of folders 324 may be designated.

アクセス種別領域230はアクセス種別を示す。内容入力領域232は、作業内容などを自由記述するための領域である。アクセス予定日時領域234は、アクセス予定日時を示す。申請者は、申請画面220に示される各項目にデータを入力した後、申請ボタン236をクリックする。すると、入力されたデータがアクセス申請情報として申請管理装置140に送信される。   The access type area 230 indicates the access type. The content input area 232 is an area for freely describing work contents and the like. The scheduled access date / time area 234 indicates the scheduled access date / time. The applicant clicks the application button 236 after inputting data in each item shown on the application screen 220. Then, the input data is transmitted to the application management apparatus 140 as access application information.

図5は、承認画面260を示す画面図である。
承認が必要なアクセス申請がなされた場合、申請通知部160はアクセスIDを承認用端末322に通知する。承認者が、アクセスIDを指定して申請管理装置140にアクセスすると、アクセス承認部158は承認用端末322に同図に示す承認画面260を表示させる。承認画面260も、承認用端末322にウェブページとして表示される。 FIG. 5 is a screen diagram showing the approval screen 260.
When an access application that requires approval is made, the application notification unit 160 notifies the access terminal 322 of the access ID. When the approver specifies the access ID and accesses the application management apparatus 140, the access approval unit 158 causes the approval terminal 322 to display the approval screen 260 shown in FIG. The approval screen 260 is also displayed on the approval terminal 322 as a web page.

申請情報領域262は、申請画面220に入力された申請内容を示す。承認者名領域264は、承認者名を入力する領域である。承認依頼者名領域266は、承認を依頼したユーザ名を入力するための領域である。たとえば、承認権限のあるユーザBが、ユーザCに承認を依頼したときには、ユーザCはユーザBに代理して承認判断を行う。これは、ユーザBの休暇中など、特殊な状況に対応するための措置である。通信欄268は、申請者に対するメッセージを記述する欄である。申請却下の理由を記述したり、申請承認するときには作業内容に条件や注文をつけるための記述がなされてもよい。承認ボタン270は承認用、却下ボタン272は却下用のボタンである。承認ボタン270から却下ボタン272のいずれかがクリックされると、入力内容と承認可否を示すデータが申請管理装置140に送信される。アクセス承認部158は、このデータをクライアント端末200に、たとえば、電子メールにより送信する。   The application information area 262 indicates the application content input on the application screen 220. The approver name area 264 is an area for inputting an approver name. The approval requester name area 266 is an area for inputting the name of the user who requested the approval. For example, when the user B having the authorization authority requests the user C to approve, the user C makes an approval judgment on behalf of the user B. This is a measure for dealing with a special situation such as when the user B is on vacation. The communication column 268 is a column describing a message for the applicant. When the reason for rejecting the application is described, or when the application is approved, a description for adding conditions and orders to the work content may be made. The approval button 270 is a button for approval, and the rejection button 272 is a button for rejection. When any of the approval button 270 and the reject button 272 is clicked, the input content and data indicating approval / disapproval are transmitted to the application management apparatus 140. The access approval unit 158 transmits this data to the client terminal 200 by e-mail, for example.

図6は、リモートログインに成功した後、クライアント端末200から人事システム310にアクセスするときのアクセス画面294を示す。
クライアント端末200から人事システム310への接続が確立すると、人事システム310のフォルダ構造を示すアクセス画面294がクライアント端末200に表示される。同図に示すように、サーバ装置320aとサーバ装置320bの各フォルダ324が階層化されて画面表示される。ユーザは、アクセス先となるフォルダ324を選択する。このとき、クライアント端末200から該当サーバ装置320にフォルダ変更要求が送信される。ユーザ認証主導型の場合、該当サーバ装置320は、ユーザが変更先のフォルダ324についての権限ユーザであるかを判定する。 FIG. 6 shows an access screen 294 when accessing the personnel system 310 from the client terminal 200 after successful remote login.
When the connection from the client terminal 200 to the personnel system 310 is established, an access screen 294 indicating the folder structure of the personnel system 310 is displayed on the client terminal 200. As shown in the figure, the folders 324 of the server device 320a and the server device 320b are hierarchized and displayed on the screen. The user selects a folder 324 to be accessed. At this time, a folder change request is transmitted from the client terminal 200 to the corresponding server device 320. In the case of user authentication initiative type, the server apparatus 320 determines whether the user is an authorized user for the change destination folder 324.

図7は、アクセス申請処理の過程を示すシーケンス図である。
アクセス申請時においては、クライアント端末200のユーザは、ユーザ識別情報を送信して、直接、申請管理装置140にアクセスする(S10)。申請管理装置140は、ユーザ識別情報をユーザ認証装置120に転送する(S12)。ユーザ認証装置120のユーザ認証部122は、ユーザ認証を実行する(S14)。ユーザ認証に失敗すれば、以降の処理は実行されない。ここでは、ユーザ認証が成功したものとして説明を続ける。 FIG. 7 is a sequence diagram showing a process of access application processing.
At the time of the access application, the user of the client terminal 200 transmits the user identification information and directly accesses the application management device 140 (S10). The application management device 140 transfers the user identification information to the user authentication device 120 (S12). The user authentication unit 122 of the user authentication device 120 performs user authentication (S14). If user authentication fails, the subsequent processing is not executed. Here, the description will be continued assuming that the user authentication is successful.

ユーザ認証装置120は、ユーザ認証の結果、すなわち、認証成功の旨を申請管理装置140に通知する(S16)。申請管理装置140のアクセス申請部156は、申請画面220のためのHTML(Hyper Text Markup Language)データを送信し(S18)、クライアント端末200は、申請画面220を表示させる(S20)。ユーザは、申請画面220にデータを入力し、申請ボタン236をクリックすると(S22)、入力されたデータがアクセス申請情報として申請管理装置140に送信される(S24)。   The user authentication device 120 notifies the application management device 140 of the result of user authentication, that is, the success of authentication (S16). The access application unit 156 of the application management apparatus 140 transmits HTML (Hyper Text Markup Language) data for the application screen 220 (S18), and the client terminal 200 displays the application screen 220 (S20). When the user inputs data to the application screen 220 and clicks the application button 236 (S22), the input data is transmitted to the application management apparatus 140 as access application information (S24).

申請管理装置140の登録判定部162は、申請内容と実行条件情報を比較し、登録可否を判定する(S26)。有効なアクセス申請でなければ、登録判定部162は申請を却下した上で、クライアント端末200に却下通知し、以降の処理は実行されない。ここでは、有効なアクセス申請であったとして説明を続ける。
登録判定部162は、申請をアクセス予定保持部152のアクセス予定情報に登録する(S28)。このときアクセスIDが付与される。承認が必要であれば、申請通知部160は承認を求める旨の電子メールを承認用端末322に送信する(S30)。 The registration determination unit 162 of the application management apparatus 140 compares the application content with the execution condition information and determines whether registration is possible (S26). If it is not a valid access application, the registration determination unit 162 rejects the application, notifies the client terminal 200 of the rejection, and the subsequent processing is not executed. Here, the description will be continued assuming that the access application is valid.
The registration determination unit 162 registers the application in the access schedule information of the access schedule holding unit 152 (S28). At this time, an access ID is given. If approval is required, the application notifying unit 160 transmits an e-mail requesting approval to the approval terminal 322 (S30).

図8は、アクセス承認処理の過程を示すシーケンス図である。
承認用端末322が図7のS30において電子メールを受け取ったあと、承認者は任意のタイミングにて、自己のユーザ識別情報と共に申請管理装置140にアクセスする(S32)。承認者はアクセスIDも指定する。 FIG. 8 is a sequence diagram showing the process of access approval processing.
After the approval terminal 322 receives the e-mail in S30 of FIG. 7, the approver accesses the application management apparatus 140 together with his / her user identification information at an arbitrary timing (S32). The approver also specifies an access ID.

申請管理装置140は、承認者のユーザ識別情報をユーザ認証装置120に転送する(S34)。ユーザ認証装置120のユーザ認証部122は、正規ユーザ情報を参照してユーザ認証を行う(S36)。このユーザ認証では、正規ユーザであるだけでなく、「承認権限者」として登録されているかも判定される。ユーザ認証に失敗すれば、以降の処理は実行されない。ここでは、ユーザ認証が成功したものとして説明を続ける。   The application management device 140 transfers the user identification information of the approver to the user authentication device 120 (S34). The user authentication unit 122 of the user authentication device 120 performs user authentication with reference to the regular user information (S36). In this user authentication, not only a regular user but also whether it is registered as an “authorization authority” is determined. If user authentication fails, the subsequent processing is not executed. Here, the description will be continued assuming that the user authentication is successful.

ユーザ認証装置120は、ユーザ認証の結果を示すデータ、ここでは認証成功の旨を示すデータを申請管理装置140に通知する(S38)。申請管理装置140のアクセス承認部158は、承認画面260のためのHTMLデータを送信し(S40)、承認用端末322は、承認画面260を表示させる(S42)。ユーザは、承認画面260にデータを入力し、承認ボタン270または却下ボタン272をクリックすると(S44)、入力されたデータが申請管理装置140に送信される(S46)。   The user authentication device 120 notifies the application management device 140 of data indicating the result of user authentication, here, data indicating success of authentication (S38). The access approval unit 158 of the application management apparatus 140 transmits HTML data for the approval screen 260 (S40), and the approval terminal 322 displays the approval screen 260 (S42). When the user inputs data to the approval screen 260 and clicks the approval button 270 or the reject button 272 (S44), the input data is transmitted to the application management device 140 (S46).

申請管理装置140のアクセス承認部158は、承認可否に応じてアクセス予定保持部152のアクセス予定情報を更新する(S48)。アクセス承認部158は、クライアント端末200に承認可否を通知する(S50)。
以上の処理により、有効に申請されたアクセスについて承認がなされる。なお、承認者が、申請管理装置140にアクセスすると、申請管理装置140は承認待ちのアクセス申請を一覧表示させ、承認者はその中から承認対象となるアクセス申請を選択するというユーザインタフェースであってもよい。 The access approval unit 158 of the application management apparatus 140 updates the access schedule information in the access schedule holding unit 152 in accordance with approval / disapproval (S48). The access approval unit 158 notifies the client terminal 200 of approval / disapproval (S50).
With the above processing, the access that has been effectively applied is approved. When the approver accesses the application management apparatus 140, the application management apparatus 140 displays a list of access applications awaiting approval, and the approver selects an access application to be approved from among the user applications. Also good.

図9は、ユーザ認証主導型において、クライアント端末200からサーバ装置320へのリモートアクセス実行過程を示すシーケンス図である。
ユーザが人事システム310へアクセスする場合について説明する。このとき、クライアント端末200から、人事システム310の入口であるサーバ装置320aに対して、リモートアクセス要求が送信される(S100)。このとき、ユーザ識別情報もサーバ装置320aに送信される。サーバ装置320aは、このユーザの権限グループをユーザ認証装置120に問い合わせる(S102)。申請管理装置140はユーザ認証装置120の正規ユーザ情報保持部124をアクセス予定情報に基づいて定期的に更新している。ユーザ認証装置120は、権限グループの判定の前に、まず、ユーザ識別情報に基づいて、ユーザ認証を実行する(S104)。ユーザ認証に失敗すると、人事システム310のアクセスは許可されないが、ここでは成功したものとして説明を続ける。次に、ユーザ認証装置120は、ログインユーザの権限グループを正規ユーザ情報保持部124を参照して特定し(S106)、サーバ装置320に通知する(S108)。ここでいう権限グループは、アクセス元のユーザの本来の権限グループかもしれないし、申請により暫定的に所属している権限グループかもしれない。サーバ装置320aは、この権限グループを参照して、ユーザがサーバ装置320aにアクセス可能な権限ユーザであれば(S110のY)、アクセス画面294の画面データをクライアント端末200に送信する(S112)。権限ユーザでなければ(S110のN)、アクセスは許可されない。 FIG. 9 is a sequence diagram showing a remote access execution process from the client terminal 200 to the server device 320 in the user authentication initiative type.
A case where the user accesses the personnel system 310 will be described. At this time, a remote access request is transmitted from the client terminal 200 to the server device 320a that is the entrance of the personnel system 310 (S100). At this time, the user identification information is also transmitted to the server device 320a. The server apparatus 320a inquires of the user authentication apparatus 120 about the authority group of this user (S102). The application management device 140 periodically updates the authorized user information holding unit 124 of the user authentication device 120 based on the access schedule information. The user authentication device 120 first performs user authentication based on the user identification information before determining the authority group (S104). If the user authentication fails, access to the personnel system 310 is not permitted, but the description is continued here assuming that the user authentication is successful. Next, the user authentication device 120 identifies the authority group of the login user with reference to the regular user information holding unit 124 (S106), and notifies the server device 320 (S108). The authority group here may be the original authority group of the user who is the access source, or may be an authority group that temporarily belongs to the application. The server device 320a refers to this authority group, and if the user is an authorized user who can access the server device 320a (Y in S110), the screen data of the access screen 294 is transmitted to the client terminal 200 (S112). If it is not an authorized user (N of S110), access is not permitted.

アクセス画面294において、ユーザがアクセス対象となるフォルダ324を変更するときも同様である。たとえば、アクセス対象となるフォルダ324をサーバ装置320aのフォルダ324aからサーバ装置320bのフォルダ324fに変更するとする。ユーザがアクセス画面294において、アクセス先フォルダを変更すると、クライアント端末200はサーバ装置320bにフォルダ変更要求を送信する。サーバ装置320は、このユーザがフォルダ324fについての権限ユーザであるかを判定する。権限ユーザであれば、クライアント端末200からフォルダ324fへのアクセスを許可する。   The same applies when the user changes the folder 324 to be accessed on the access screen 294. For example, assume that the folder 324 to be accessed is changed from the folder 324a of the server device 320a to the folder 324f of the server device 320b. When the user changes the access destination folder on the access screen 294, the client terminal 200 transmits a folder change request to the server apparatus 320b. The server device 320 determines whether this user is an authorized user for the folder 324f. If the user is an authorized user, the client terminal 200 permits access to the folder 324f.

図10は、申請判定主導型において、クライアント端末200からサーバ装置320へのリモートアクセス実行過程を示すシーケンス図である。
ここでも、ユーザが人事システム310へアクセスする場合について説明する。クライアント端末200から、人事システム310の入口であるサーバ装置320aに対して、リモートアクセス要求が送信される(S120)。ユーザ識別情報もサーバ装置320aに送信される。サーバ装置320aは、このユーザが事前に有効な申請をしているかを申請管理装置140に問い合わせる(S122)。申請済みでなければ(S124のN)、申請管理装置140はアクセス拒否通知をサーバ装置320に送信し(S126)、アクセスは失敗する。当該時間帯について有効に申請済みであれば(S124のY)、申請管理装置140はユーザ認証装置120に対してユーザ認証を依頼する(S124)。ユーザ認証装置120は、ユーザ識別情報に基づいて、ユーザ認証を実行する(S126)。すなわち、ユーザIDとパスワードがマッチしているかを判定する。ユーザ認証装置120は、ユーザ認証の結果をサーバ装置320に送信する(S128)。ユーザ認証に成功していれば、サーバ装置320は、アクセス画面294の画面データをクライアント端末200に送信する(S130)。
なお、変形例として、申請済みでなければ(S124のN)、申請管理装置140はサーバ装置320にアクセス拒否通知を明示的に送信せず、ユーザ認証装置120へのユーザ認証も依頼しないとしてもよい。すなわち、申請済みでなければ、申請管理装置140において一連のプロセスが中断されることになる。サーバ装置320は、申請管理装置140への問い合わせ後(S122)、所定時間が経過しても、ユーザ認証装置120からユーザ認証の結果が返ってこなければ、リモートアクセスを拒否されたものとして判定してもよい。 FIG. 10 is a sequence diagram illustrating a remote access execution process from the client terminal 200 to the server device 320 in the application determination initiative type.
Again, a case where the user accesses the personnel system 310 will be described. A remote access request is transmitted from the client terminal 200 to the server apparatus 320a that is the entrance of the personnel system 310 (S120). User identification information is also transmitted to the server device 320a. The server apparatus 320a inquires of the application management apparatus 140 whether the user has made a valid application in advance (S122). If the application has not been completed (N in S124), the application management device 140 transmits an access rejection notice to the server device 320 (S126), and the access fails. If the application is valid for the time period (Y in S124), the application management apparatus 140 requests the user authentication apparatus 120 for user authentication (S124). The user authentication device 120 performs user authentication based on the user identification information (S126). That is, it is determined whether the user ID and the password match. The user authentication device 120 transmits the result of user authentication to the server device 320 (S128). If the user authentication is successful, the server device 320 transmits the screen data of the access screen 294 to the client terminal 200 (S130).
As a modified example, if the application has not been applied (N in S124), the application management apparatus 140 may not explicitly send an access denial notification to the server apparatus 320, and may not request user authentication to the user authentication apparatus 120. Good. That is, if the application has not been completed, a series of processes are interrupted in the application management apparatus 140. After the inquiry to the application management device 140 (S122), the server device 320 determines that the remote access is denied if the user authentication result is not returned from the user authentication device 120 even after a predetermined time has elapsed. May be.

図11は、ユーザグループ変更処理の過程を示すシーケンス図である。
ユーザ認証主導型と申請判定主導型のいずれの場合であっても、業務情報防護装置100は、各正規ユーザのユーザグループを定期的に変更することができる。たとえば、2007年を契約期間として人事部に派遣される契約社員の場合、人事システム310の限定公開情報にアクセスできるのは2007年だけである。また、2007年3月31日までは経理部に所属し、4月1日からは人事部へ配属になることが決まっている社員の場合、4月1日からユーザグループが変更となる。このように、正規ユーザのユーザグループ変更が組織のスケジュールとして確定していることも多い。ユーザグループ変更部182は、このような正規ユーザのユーザグループを変更するための条件として「グループ変更条件」を保持している。
申請管理装置140のユーザグループ変更部182は、同図に示すS80、S82、S84の処理を定期的に繰り返す。このループ処理の開始タイミングは、所定時間、たとえば、毎日午前6時00分のように設定される。 FIG. 11 is a sequence diagram illustrating a process of user group change processing.
In any case of the user authentication initiative type and the application determination initiative type, the business information protection apparatus 100 can periodically change the user group of each regular user. For example, in the case of a contract employee dispatched to the personnel department with a contract period of 2007, only 2007 is accessible to the limited public information of the personnel system 310. In addition, in the case of an employee who belongs to the accounting department until March 31, 2007 and is determined to be assigned to the human resources department from April 1, the user group will be changed from April 1. As described above, the user group change of the regular user is often confirmed as an organization schedule. The user group changing unit 182 holds a “group changing condition” as a condition for changing the user group of such a regular user.
The user group changing unit 182 of the application management apparatus 140 periodically repeats the processes of S80, S82, and S84 shown in FIG. The start timing of this loop processing is set to a predetermined time, for example, 6:00 am every day.

ループ処理の開始タイミングに至ると、申請管理装置140のユーザグループ変更部182は、グループ変更条件を読み出し(S80)、ユーザグループを変更させるべき正規ユーザが存在するか判定する(S82)。ユーザグループ変更部182は、ユーザグループを変更すべきユーザが存在すれば(S82のY)、その正規ユーザのユーザ識別情報と変更後のユーザグループをユーザ認証装置120に通知する(S84)。ユーザ認証装置120は、正規ユーザ情報を更新する(S86)。このようなループ処理により、正規ユーザ情報は定期的に更新される。   When the loop processing start timing is reached, the user group changing unit 182 of the application management apparatus 140 reads the group change condition (S80) and determines whether there is a regular user whose user group should be changed (S82). If there is a user whose user group should be changed (Y in S82), the user group changing unit 182 notifies the user authentication apparatus 120 of the user identification information of the regular user and the changed user group (S84). The user authentication device 120 updates the regular user information (S86). By such a loop process, the regular user information is periodically updated.

以上、本実施例に示した業務情報防護装置100によれば、限定公開情報に対するアクセス権をユーザ認証と申請判定により判定するため、不正アクセスを防止しやすい構成となっている。権限ユーザは、クライアント端末200にログインするだけで限定公開情報にアクセスできる。このため、部署パスワードの設定にともなう煩わしさが回避される。一方、非権限ユーザであっても、アクセス予定を事前に申請することにより限定公開情報にアクセスできる。申請判定主導型の場合、アクセス予定を事前に申請しなければ限定にアクセスできないため、よりセキュリティが強固となる。
更に、実行条件情報の設定や承認可否判定により、非権限ユーザの限定公開情報へのアクセス権を一時的・限定的に制御しやすくなっている。システムやサーバ装置320単位だけでなく、フォルダ324単位でアクセス権をコントロールできるため、限定公開情報の重要度に応じて、セキュリティを精緻かつ簡易に制御できる。グループ変更条件によりユーザグループを自動的に管理することにより、組織変更時においてもユーザに負担をかけることなく情報セキュリティを保つことができる。
このような特徴により、業務情報防護装置100は、SOX法が求める「内部統制の強化」に資する。 As described above, according to the business information protection apparatus 100 shown in the present embodiment, since the access right to the limited public information is determined by the user authentication and the application determination, the unauthorized access can be easily prevented. The authorized user can access the limited public information simply by logging into the client terminal 200. For this reason, the troublesomeness associated with setting the department password is avoided. On the other hand, even a non-privileged user can access the limited public information by applying for an access schedule in advance. In the case of the application determination-led type, since the limited access is not possible unless the access schedule is applied in advance, the security becomes stronger.
Furthermore, it is easy to temporarily and limitedly control the access rights of the unprivileged user to the limited public information by setting the execution condition information and determining whether to approve. Since access rights can be controlled not only in units of systems and server devices 320 but also in units of folders 324, security can be precisely and easily controlled according to the importance of the limited public information. By automatically managing user groups according to group change conditions, information security can be maintained without burdening the user even when the organization is changed.
With such characteristics, the business information protection apparatus 100 contributes to “intensification of internal control” required by the SOX method.

通常、リモートアクセス作業は、あらかじめ実行スケジュールが確定していることが多い。本実施例の業務情報防護装置100によれば、事前のアクセス申請と任意のタイミングでの承認という運用により、ユーザおよび承認者に過度の心理的負担をかけないかたちで業務情報システム300のセキュリティ管理を実現できる。   Usually, the execution schedule of remote access work is often determined in advance. According to the business information protection apparatus 100 of the present embodiment, security management of the business information system 300 can be performed in a manner that does not place an excessive psychological burden on the user and the approver by the operation of prior access application and approval at an arbitrary timing. Can be realized.

なお、業務情報システム300の各サーバ装置320は、自装置に対するクライアント端末200からのアクセス内容を業務情報防護装置100に通知してもよい。そして、業務情報防護装置100は、実際のアクセス内容を示すアクセスログとして記録してもよい。このような態様によれば、業務情報防護装置100は、申請されたアクセス内容と、実際のアクセス内容に齟齬が発生していないかをチェックできる。このため、アクセス許可されたあとも、事後的に不正アクセスが発生していないかをチェックできる。   Each server device 320 of the business information system 300 may notify the business information protection device 100 of the access content from the client terminal 200 to the own device. The business information protection apparatus 100 may record an access log indicating actual access contents. According to such an aspect, the business information protection apparatus 100 can check whether a flaw has occurred between the requested access content and the actual access content. Therefore, it is possible to check whether unauthorized access has occurred after the fact even after the access is permitted.

また、業務情報防護装置100は、複数のシステムに対するアクセスを一元管理できる。そのため、複数のシステムに対して統一的なアクセスポリシーを適用しやすくなっている。更に、既に運用されている業務情報システム300に対して、業務情報防護装置100を追加するだけで実現できるというメリットもある。   Further, the business information protection apparatus 100 can centrally manage access to a plurality of systems. This makes it easy to apply a uniform access policy to a plurality of systems. Furthermore, there is an advantage that it can be realized only by adding the business information protection device 100 to the business information system 300 that has already been operated.

以上、本発明を実施例をもとに説明した。実施の形態は例示であり、それらの各構成要素や各処理プロセスの組合せにいろいろな変形例が可能なこと、またそうした変形例も本発明の範囲にあることは当業者に理解されるところである。   In the above, this invention was demonstrated based on the Example. The embodiments are exemplifications, and it will be understood by those skilled in the art that various modifications can be made to combinations of the respective constituent elements and processing processes, and such modifications are within the scope of the present invention. .

請求項に記載のアクセス申請受信部の機能は、本実施例においては主としてアクセス申請部156により実現される。また、請求項に記載のアクセス要求取得部の機能は、本実施例においては主としてアクセスインタフェース処理部146により実現される。
このほかにも、請求項に記載の各構成要件が果たすべき機能は、本実施例において示された各機能ブロックの単体もしくはそれらの連係によって実現されることも当業者には理解されるところである。 The function of the access application receiving unit described in the claims is mainly realized by the access application unit 156 in this embodiment. Further, the function of the access request acquisition unit described in the claims is realized mainly by the access interface processing unit 146 in this embodiment.
In addition, it should be understood by those skilled in the art that the functions to be fulfilled by the constituent elements described in the claims are realized by the individual functional blocks shown in the present embodiment or their linkage. .

以上の実施の形態および変形例から把握される発明のいろいろな態様をすでに特許請求の範囲に記載したものも含むかたちにて以下に例示する。ユーザ認証主導型の特徴について、以下のAグループの発明が認識される。   Various aspects of the invention ascertained from the above embodiments and modifications will be exemplified below, including those already described in the claims. The following A group inventions are recognized for user authentication driven features.

A1.複数のサーバ装置の連携により組織業務を管理するための業務情報システムにおいて、クライアント端末からサーバ装置へのリモートアクセスを制御するための装置であって、
リモートアクセスを実行可能な正規ユーザと複数のユーザグループのいずれかとの対応を示す正規ユーザ情報を保持する正規ユーザ情報保持部と、
クライアント端末から、リモートアクセスの実行対象となるサーバ装置とリモートアクセスを実行予定のユーザとを示すアクセス申請情報を受信するアクセス申請受信部と、
受信されたアクセス申請情報に基づいて、サーバ装置ごとのリモートアクセス予定を示すアクセス予定情報を保持するアクセス予定保持部と、
前記アクセス予定情報を参照して、リモートアクセスの実行対象となるサーバ装置についてあらかじめ設定されている所定のユーザグループにリモートアクセスを実行予定のユーザを一時的に登録するユーザグループ変更部と、
クライアント端末からのいずれかのサーバ装置に対するリモートアクセスに際して、ユーザを特定するためのユーザ識別情報とリモートアクセス対象となるサーバ装置を特定するサーバ識別情報を取得するアクセス要求取得部と、
前記ユーザ識別情報と前記正規ユーザ情報を参照して、リモートアクセスを要求するユーザが、正規ユーザとして登録されているかを判定するユーザ認証部と、
リモートアクセスを要求するユーザがサーバ装置について設定されているユーザグループに所属しているかをサーバ装置側において判定するために、前記ユーザ識別情報と前記正規ユーザ情報を参照して、リモートアクセスを要求するユーザが属しているユーザグループをサーバ装置に通知するユーザグループ通知部と、
を備えることを特徴とする業務情報防護装置。 A1. A device for controlling remote access from a client terminal to a server device in a business information system for managing organizational work by cooperation of a plurality of server devices,
A regular user information holding unit for holding regular user information indicating correspondence between a regular user capable of performing remote access and any of a plurality of user groups;
An access application receiving unit for receiving access application information indicating a server device to be executed for remote access and a user scheduled to execute remote access from a client terminal;
Based on the received access application information, an access schedule holding unit that holds access schedule information indicating a remote access schedule for each server device;
A user group changing unit for temporarily registering a user scheduled to perform remote access to a predetermined user group set in advance for a server device to be executed for remote access with reference to the access schedule information;
An access request acquisition unit for acquiring user identification information for specifying a user and server identification information for specifying a server device to be remotely accessed in remote access to any server device from a client terminal;
A user authentication unit that determines whether a user who requests remote access is registered as a regular user with reference to the user identification information and the regular user information;
In order to determine on the server device side whether the user requesting remote access belongs to the user group set for the server device, the remote access is requested with reference to the user identification information and the regular user information. A user group notification unit for notifying the server device of the user group to which the user belongs;
A business information protection device characterized by comprising:

A2.正規ユーザの属するユーザグループを変更するための条件を示すグループ変更条件の設定入力を受け付けるユーザ条件設定部と、
前記グループ変更条件が成立するときに、その対象となる正規ユーザの所属するユーザグループを変更するユーザグループ変更部と、
を備えることを特徴とするA1に記載の業務情報防護装置。 A2. A user condition setting unit for receiving a group change condition setting input indicating a condition for changing a user group to which a regular user belongs;
When the group change condition is satisfied, a user group change unit that changes a user group to which the target regular user belongs,
The business information protection device according to A1, comprising:

業務情報防護装置と業務情報システムとの関係を示すハードウェア構成図である。It is a hardware block diagram which shows the relationship between a business information protection apparatus and a business information system. 業務情報防護装置の機能ブロック図である。It is a functional block diagram of a business information protection device. 実行条件保持部における実行条件情報のデータ構造図である。It is a data structure figure of the execution condition information in an execution condition holding part. 申請画面を示す画面図である。It is a screen figure which shows an application screen. 承認画面を示す画面図である。It is a screen figure which shows an approval screen. リモートログインに成功した後、クライアント端末から人事システムにアクセスするときのアクセス画面を示す図である。It is a figure which shows the access screen when accessing a personnel system from a client terminal after remote login is successful. アクセス申請処理の過程を示すシーケンス図である。It is a sequence diagram which shows the process of an access application process. アクセス承認処理の過程を示すシーケンス図である。It is a sequence diagram which shows the process of an access approval process. ユーザ認証主導型において、クライアント端末からサーバ装置へのリモートアクセス実行過程を示すシーケンス図である。FIG. 10 is a sequence diagram showing a remote access execution process from a client terminal to a server device in a user authentication initiative type. 申請判定主導型において、クライアント端末からサーバ装置へのリモートアクセス実行過程を示すシーケンス図である。FIG. 10 is a sequence diagram illustrating a remote access execution process from a client terminal to a server device in an application determination initiative type. ユーザグループ変更処理の過程を示すシーケンス図である。It is a sequence diagram which shows the process of a user group change process.

符号の説明Explanation of symbols

100 業務情報防護装置、 120 ユーザ認証装置、 122 ユーザ認証部、 124 正規ユーザ情報保持部、 140 申請管理装置、 142 申請状態管理部、 144 申請状態判定部、 146 アクセスインタフェース処理部、 150 実行条件保持部、 152 アクセス予定保持部、 156 アクセス申請部、 158 アクセス承認部、 160 申請通知部、 162 登録判定部、 182 ユーザグループ変更部、 200 クライアント端末、 300 業務情報システム、 310 人事システム、 312 経理システム、 320 サーバ装置、 322 承認用端末、 324 フォルダ。   DESCRIPTION OF SYMBOLS 100 Business information protection apparatus, 120 User authentication apparatus, 122 User authentication part, 124 Regular user information holding part, 140 Application management apparatus, 142 Application state management part, 144 Application state determination part, 146 Access interface processing part, 150 Execution condition holding Department, 152 access schedule holding section, 156 access application section, 158 access approval section, 160 application notification section, 162 registration determination section, 182 user group change section, 200 client terminal, 300 business information system, 310 personnel system, 312 accounting system 320 server device, 322 terminal for approval, 324 folder.

Claims (4)

複数のサーバ装置の連携により組織業務を管理するための業務情報システムにおいて、クライアント端末からサーバ装置へのリモートアクセスを制御するための装置であって、
リモートアクセスを実行可能な正規ユーザを示す正規ユーザ情報を保持する正規ユーザ情報保持部と、
クライアント端末から、リモートアクセスの実行対象となるサーバ装置とリモートアクセスを実行予定のユーザとを示すアクセス申請情報を受信するアクセス申請受信部と、
受信されたアクセス申請情報に基づいて、サーバ装置ごとのリモートアクセス予定を示すアクセス予定情報を保持するアクセス予定保持部と、
クライアント端末からいずれかのサーバ装置に対するリモートアクセスに際して、ユーザを特定するためのユーザ識別情報とリモートアクセス対象となるサーバ装置を特定するサーバ識別情報を取得するアクセス要求取得部と、
前記アクセス予定情報を参照して、前記リモートアクセス対象となるサーバ装置について前記リモートアクセスを要求するユーザからのアクセスが申請済か否かを判定する申請状態判定部と、
前記申請状態判定部の判定結果が肯定判定となることを条件として、前記ユーザ識別情報と前記正規ユーザ情報を参照して、リモートアクセスを要求するユーザが正規ユーザとして登録されているか否かを判定するユーザ認証部と、
前記ユーザ認証部の判定結果が肯定判定となることを条件として、サーバ装置へのリモートアクセスを許可するアクセス制御部と、
を備えることを特徴とする業務情報防護装置。 A device for controlling remote access from a client terminal to a server device in a business information system for managing organizational work by cooperation of a plurality of server devices,
An authorized user information holding unit for holding authorized user information indicating authorized users capable of remote access;
An access application receiving unit for receiving access application information indicating a server device to be executed for remote access and a user scheduled to execute remote access from a client terminal;
Based on the received access application information, an access schedule holding unit that holds access schedule information indicating a remote access schedule for each server device;
An access request acquisition unit that acquires user identification information for specifying a user and server identification information for specifying a server device that is a remote access target in remote access to any server device from a client terminal;
With reference to the access schedule information, an application state determination unit that determines whether or not an access from a user requesting the remote access has been applied for the server device to be remotely accessed;
On the condition that the determination result of the application status determination unit is affirmative, it is determined whether or not a user who requests remote access is registered as a regular user with reference to the user identification information and the regular user information A user authentication unit to
On condition that the determination result of the user authentication unit is an affirmative determination, an access control unit that permits remote access to the server device,
A business information protection device characterized by comprising: サーバ装置は、データを複数のフォルダ領域に分類して保持しており、
前記アクセス申請受信部は、リモートアクセスの実行対象となるフォルダ領域も示す情報として前記アクセス申請情報を受信し、
前記アクセス予定保持部は、受信されたアクセス申請情報に基づいて、サーバ装置におけるフォルダ領域ごとのリモートアクセス予定を示す情報として、前記アクセス予定情報を保持し、
前記アクセス要求取得部は、クライアント端末から前記リモートアクセス対象となるサーバ装置に対して、リモートアクセスの実行対象となるフォルダ領域を変更するためのフォルダ変更要求が送信されたとき、新たなアクセス先となるフォルダ領域を示すフォルダ識別情報を取得し、
前記申請状態判定部は、前記アクセス予定情報を参照して、前記新たなアクセス先となるフォルダ領域について前記ユーザからのアクセスが申請済か否かを判定し、
前記アクセス制御部は、前記申請状態判定部の判定が肯定判定となることを条件として、前記新たなアクセス先となるフォルダ領域へのアクセスを許可することを特徴とする請求項1に記載の業務情報防護装置。 The server device classifies and holds data in multiple folder areas,
The access application receiving unit receives the access application information as information indicating a folder area to be executed by remote access,
The access schedule holding unit holds the access schedule information as information indicating a remote access schedule for each folder area in the server device based on the received access application information,
The access request acquisition unit receives a new access destination when a folder change request for changing a folder area to be executed for remote access is transmitted from the client terminal to the server apparatus to be remote accessed. Folder identification information indicating the folder area
The application state determination unit refers to the access schedule information, determines whether or not an application from the user has been applied for the folder area to be the new access destination,
The business according to claim 1, wherein the access control unit permits access to the folder area as the new access destination on condition that the determination of the application state determination unit is affirmative. Information protection device. 承認用端末に対して、アクセス申請情報を通知するアクセス申請通知部と、
前記承認用端末から、前記アクセス申請情報に対する承認可否を受け付けるアクセス承認取得部と、を更に備え、
前記アクセス予定保持部は、前記アクセス予定情報として、サーバ装置ごとのリモートアクセス予定とその承認状態とを対応づけて保持し、
前記申請状態判定部は、更に、前記リモートアクセス対象となるサーバ装置について前記リモートアクセスを要求するユーザからのアクセス申請が承認済か否かを判定することを特徴とする請求項1に記載の業務情報防護装置。 An access application notifying unit that notifies access application information to the terminal for approval,
An access approval acquisition unit for accepting approval / disapproval for the access application information from the approval terminal;
The access schedule holding unit holds, as the access schedule information, a remote access schedule for each server device and its approval state in association with each other,
2. The business according to claim 1, wherein the application state determination unit further determines whether or not an access application from a user requesting the remote access is approved for the server device to be remotely accessed. Information protection device. リモートアクセスの実行条件が定義された実行条件情報を保持する実行条件保持部と、
受信されたアクセス申請情報が前記実行条件情報と整合することを条件として、申請されたリモートアクセスの実行予定を前記アクセス予定情報として正規登録する申請登録判定部と、
を備えることを特徴とする請求項1に記載の業務情報防護装置。 An execution condition holding unit for holding execution condition information in which remote access execution conditions are defined;
An application registration determination unit that regularly registers the execution schedule of the applied remote access as the access schedule information on condition that the received access application information is consistent with the execution condition information;
The business information protection apparatus according to claim 1, further comprising:
JP2007065825A 2007-03-14 2007-03-14 Business information protection device Active JP4814130B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007065825A JP4814130B2 (en) 2007-03-14 2007-03-14 Business information protection device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007065825A JP4814130B2 (en) 2007-03-14 2007-03-14 Business information protection device

Publications (2)

Publication Number Publication Date
JP2008226057A JP2008226057A (en) 2008-09-25
JP4814130B2 true JP4814130B2 (en) 2011-11-16

Family

ID=39844566

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007065825A Active JP4814130B2 (en) 2007-03-14 2007-03-14 Business information protection device

Country Status (1)

Country Link
JP (1) JP4814130B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11126700B2 (en) * 2017-06-22 2021-09-21 Casio Computer Co., Ltd. Information processing apparatus, information processing method and storage medium

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6140735B2 (en) 2013-01-09 2017-05-31 株式会社野村総合研究所 Access control device, access control method, and program

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000250872A (en) * 1999-03-02 2000-09-14 Mitsubishi Electric Corp Integral managing system for job processing system
JP2000259476A (en) * 1999-03-10 2000-09-22 Toshiba Corp File management system and server computer
JP4007873B2 (en) * 2002-07-09 2007-11-14 富士通株式会社 Data protection program and data protection method
JP2005234729A (en) * 2004-02-18 2005-09-02 Hitachi Omron Terminal Solutions Corp Unauthorized access protection system and its method
JP2006079251A (en) * 2004-09-08 2006-03-23 Hitachi Information Systems Ltd Command performance control system, control method, and its program

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11126700B2 (en) * 2017-06-22 2021-09-21 Casio Computer Co., Ltd. Information processing apparatus, information processing method and storage medium

Also Published As

Publication number Publication date
JP2008226057A (en) 2008-09-25

Similar Documents

Publication Publication Date Title
JP5789390B2 (en) Business information protection device, business information protection method, and program
JP6140735B2 (en) Access control device, access control method, and program
US7269853B1 (en) Privacy policy change notification
US8055904B1 (en) Systems and methods for software application security management
US7950049B2 (en) Hybrid meta-directory
US7707623B2 (en) Self-service resource provisioning having collaborative compliance enforcement
US8375113B2 (en) Employing wrapper profiles
JP5383838B2 (en) Authentication linkage system, ID provider device, and program
JP2007249912A (en) Shared resource management system, shared resource management method, and computer program
JP2008117316A (en) Business information protection device
WO2009147855A1 (en) File management system
CN107103216B (en) Service information protection device
JP5039402B2 (en) Business information protection device
JP5952466B2 (en) Business information protection device, business information protection method, and program
JP2008117317A (en) Business information protection device
JP2019074994A (en) Information processing device, information processing system, and program
JP4814130B2 (en) Business information protection device
US7072969B2 (en) Information processing system
KR20040106619A (en) Patent management system and the method for enterprise
JP2018152091A (en) Business information protection device, business information protection method, and program
JP2022120314A (en) Personal information management device, terminal and terminal program
JP2016173851A (en) Business information protection device, business information protection method, and program
JP2020095750A (en) Business information protection device, business information protection method, and program
Blum et al. Control Access with Minimal Drag on the Business
US11748499B2 (en) Asynchronous authorization of application access to resources

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090907

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110817

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110823

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110825

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4814130

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140902

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250