JP4938233B2 - 管理サーバ及び情報処理装置、並びに、それらの制御方法、ネットワーク管理システム、コンピュータプログラム及びコンピュータ可読記憶媒体 - Google Patents
管理サーバ及び情報処理装置、並びに、それらの制御方法、ネットワーク管理システム、コンピュータプログラム及びコンピュータ可読記憶媒体 Download PDFInfo
- Publication number
- JP4938233B2 JP4938233B2 JP2004325592A JP2004325592A JP4938233B2 JP 4938233 B2 JP4938233 B2 JP 4938233B2 JP 2004325592 A JP2004325592 A JP 2004325592A JP 2004325592 A JP2004325592 A JP 2004325592A JP 4938233 B2 JP4938233 B2 JP 4938233B2
- Authority
- JP
- Japan
- Prior art keywords
- network
- management server
- terminals
- command
- device information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0866—Checking the configuration
- H04L41/0869—Validating the configuration within one network element
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/085—Retrieval of network configuration; Tracking network configuration history
- H04L41/0853—Retrieval of network configuration; Tracking network configuration history by actively collecting configuration information or by backing up configuration information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
- H04L41/082—Configuration setting characterised by the conditions triggering a change of settings the condition being updates or upgrades of network functionality
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Description
本発明はコンピュータネットワークのシステムに有効なネットワーク制御や管理技術に関するものである。
企業内で使用されているパーソナルコンピュータ等の汎用情報処理装置(以下、単にPCという)はLANに接続され、ネットワーク上のデバイスやファイルの共有したり、クライアント/サーバ型のデータベースを利用することが行われている。
例えば、ネットワーク上に存在するファイルサーバが保持しているデータファイルを多数のクライアントPCがアクセスすることが可能になってきている。
ネットワークシステムを構成する上で重要になる点は、システムの不安定とセキュリティ上の問題であろう。
例えば後者に関して、クライアントPCによる共有リソースへのアクセスを、サーバにより監視するシステムが提案されている。(例えば、特許文献1)
又前者に関して、PC上で動作可能なアプリケーションプログラムは、商用アプリケーション、フリーウェア、シェアウェア等のアプリケーションプログラムを含めると膨大な数になる。その中には、OSの特定のバージョンでのみ正常稼働するもの、バグが存在してその動作が不安定なもの、或いは特定のアプリケーションの相性問題が発生するもの等が存在する。
特開2004−38232公報
又前者に関して、PC上で動作可能なアプリケーションプログラムは、商用アプリケーション、フリーウェア、シェアウェア等のアプリケーションプログラムを含めると膨大な数になる。その中には、OSの特定のバージョンでのみ正常稼働するもの、バグが存在してその動作が不安定なもの、或いは特定のアプリケーションの相性問題が発生するもの等が存在する。
上記提案技術によると、アクセス権を所有している人以外の第3者によるアクセスを排除できることになり、ある程度のセキュリティを確保することが可能である。
しかしながら、過去のデータ漏洩事件を鑑みると、上記の対処では不充分である。理由は、一旦パスワードを盗まれると無防備に近かくなるからである。換言すれば、これまでのセキュリティを保つ技術というのは、専ら、ネットワーク共有リソースへのアクセス権のみしか考慮されず、アクセスできてしまった後の処理については何等考慮されていなかった。したがって、クライアントPCから、それに接続されたリムーバブルストレージデバイスへの出力を制限する技術が必要になってくる。
又、PCに業務上必須なアプリケーションプログラムがインストールされるのは当然であるものの、その一方で、業務と無関係なアプリケーションや、システムが不安定になる要因となるアプリケーションのインストールを阻止することは、現実問題としては難しい。
、特に設置されているPCの数が非常に多い企業においては、システム管理者と言えども、、業務と無関係なアプリケーションや、不安定要因のアプリケーションのインストールを阻止することは実質上不可能である。したがって、システムや或るPCが異常な状態になった場合に、その原因がハードウェア、ソフトウェアの両方の観点から突き詰める必要があり、管理者の負担は増すばかりである。
また、ネットワークには種々のOSで動作するクライアントPCが接続される場合があり、また、本来のOSは共通であっても、OSを許可なく変更して使用される可能性もあるため、不安定要因となり信頼性が低くなる。)
本発明は、ネットワークシステムの不適正な状況をネットワーク情報の変化から発見することが可能な、信頼性の高いネットワークシステムの環境の提供を目的とする。
本発明は、ネットワークシステムの不適正な状況をネットワーク情報の変化から発見することが可能な、信頼性の高いネットワークシステムの環境の提供を目的とする。
又ネットワークに接続されたコンピュータ等の情報処理装置を利用したデータ出力を制限させることを別の目的とし
又ネットワークに接続された情報処理装置に無差別にアプリケーションプログラムをインストールされるのを防ぐことを別の目的とする。
又ネットワークに接続された情報処理装置に無差別にアプリケーションプログラムをインストールされるのを防ぐことを別の目的とする。
又システム管理者にかかる負担を小さくした、ネットワークシステムの管理に寄与することを別の目的とするものである。
又、ネットワークシステムの不適正が発見されたら速やかに対処することの可能な制御方法の提供を別の目的とするものである。
この課題を解決するため、例えば本発明は以下の構成を備える。すなわち、
ネットワークに接続される複数の端末を管理する管理サーバであって、
前記複数の端末に装着されたデバイスを表すデバイス情報を当該複数の端末から前記ネットワークを介して取得する取得手段と、
前記取得手段により取得されたデバイス情報が、複数の端末に対応してデバイス情報を管理する管理テーブルに存在するか否かを判別する判別手段と、
前記取得手段により取得されたデバイス情報が、前記判別手段により前記管理テーブルの対応するフィールドに存在しないと判別された場合、前記複数の端末の中で該当する端末に対して端末の電源を遮断させる電源断命令、ネットワークアクセスを遮断させる接続不許可命令、或いは、デバイスに対する書き込みを制限する制限命令を前記ネットワークを介して送信する送信手段とを備える。
ネットワークに接続される複数の端末を管理する管理サーバであって、
前記複数の端末に装着されたデバイスを表すデバイス情報を当該複数の端末から前記ネットワークを介して取得する取得手段と、
前記取得手段により取得されたデバイス情報が、複数の端末に対応してデバイス情報を管理する管理テーブルに存在するか否かを判別する判別手段と、
前記取得手段により取得されたデバイス情報が、前記判別手段により前記管理テーブルの対応するフィールドに存在しないと判別された場合、前記複数の端末の中で該当する端末に対して端末の電源を遮断させる電源断命令、ネットワークアクセスを遮断させる接続不許可命令、或いは、デバイスに対する書き込みを制限する制限命令を前記ネットワークを介して送信する送信手段とを備える。
また、他の発明は、ネットワークに接続される複数の端末を管理する管理サーバであって、
前記複数の端末に装着されたデバイスを表すデバイス情報を当該複数の端末から前記ネットワークを介して取得する第1の取得手段と、
該第1の取得手段で取得したデバイス情報を初期許容構成情報として複数端末に対応して記憶保持する記憶保持手段と、
前記第1の取得手段による取得後に前記複数端末に装着されたデバイスを表すデバイス情報を当該複数端末から前記ネットワークを介して再度取得する第2の取得手段と、
該第2の取得手段で取得したデバイス情報の表すデバイス中で、前記記憶保持手段で前記複数端末に対応して記憶保持された初期許容構成情報の表すデバイスに含まれないデバイスがあるか否かを判定する判定手段と、
前記複数の端末の中で前記判定手段により含まれないデバイスがあると判定された端末に対して端末の電源を遮断させる電源断命令、ネットワークアクセスを遮断させる接続不許可命令、或いは、デバイスに対する書き込みを制限する制限命令を送信する送信手段とを備える。
前記複数の端末に装着されたデバイスを表すデバイス情報を当該複数の端末から前記ネットワークを介して取得する第1の取得手段と、
該第1の取得手段で取得したデバイス情報を初期許容構成情報として複数端末に対応して記憶保持する記憶保持手段と、
前記第1の取得手段による取得後に前記複数端末に装着されたデバイスを表すデバイス情報を当該複数端末から前記ネットワークを介して再度取得する第2の取得手段と、
該第2の取得手段で取得したデバイス情報の表すデバイス中で、前記記憶保持手段で前記複数端末に対応して記憶保持された初期許容構成情報の表すデバイスに含まれないデバイスがあるか否かを判定する判定手段と、
前記複数の端末の中で前記判定手段により含まれないデバイスがあると判定された端末に対して端末の電源を遮断させる電源断命令、ネットワークアクセスを遮断させる接続不許可命令、或いは、デバイスに対する書き込みを制限する制限命令を送信する送信手段とを備える。
本発明によれば、ネットワークに不適切な要素が追加された場合等、ネットワークに異常な変化が生じた時、そのことを検知できるようになる。
又、他の発明では、ネットワーク端末やシステムの不安定となる機能を阻止できるので端末やシステムの安定した動作が期待できるようになる。
また他の発明では、例えば、該当するクライアント端末の所定の機能を停止させることで、その機能を利用した情報の漏洩を抑制できるようになる。
又、他の発明によればネットワーク管理者にかかる負担の軽減ができるようになる。
また、他の発明によれば、ネットワークを構成する要素に問題が生じた場合、その要素に対し速やかに確実に遮断等の対処ができるようになる。
以下、添付図面にしたがって、本発明に係る実施形態を詳細に説明する。
<システム構成の説明>
図1に実施形態におけるネットワークシステム構成図を示す。図示において、1はイーサネット(登録商標)等のネットワークを示している。2はネットワーク管理サーバであって、内部の外部記憶装置(例えばハードディスク)にはネットワーク上の各クライアントPCを管理するためのプログラム、並びに、各クライアントPCの構成情報(詳細後述)を記憶するものである。4はネットワーク1上に作成されたドメインを管理するドメインサーバ(ドメインコントローラとも言う)であって、ドメインに参加可能な各PCやユーザ名を管理するものである。5は外部のWAN(インターネットを含む)6を接続するためのルータである。7乃至9はクライアントPC、10はファイルサーバである。
図1に実施形態におけるネットワークシステム構成図を示す。図示において、1はイーサネット(登録商標)等のネットワークを示している。2はネットワーク管理サーバであって、内部の外部記憶装置(例えばハードディスク)にはネットワーク上の各クライアントPCを管理するためのプログラム、並びに、各クライアントPCの構成情報(詳細後述)を記憶するものである。4はネットワーク1上に作成されたドメインを管理するドメインサーバ(ドメインコントローラとも言う)であって、ドメインに参加可能な各PCやユーザ名を管理するものである。5は外部のWAN(インターネットを含む)6を接続するためのルータである。7乃至9はクライアントPC、10はファイルサーバである。
なお、上記構成に加えて、ファイヤーウォールやネットワークプリンタ等のデバイスが接続しても構わないが、それらは本願発明にとっては直接には関係しないので省略した。ドメインサーバ(ドメインコントローラとも言う)4、ルータ5、ファイルサーバ10については周知の構成であるので、その説明については省略し、以下ではネットワーク管理サーバ2、クライアントPC7乃至9について説明する。
<ネットワーク管理サーバ>
図2は実施形態におけるネットワーク管理サーバのブロック構成図である。
図2は実施形態におけるネットワーク管理サーバのブロック構成図である。
図示において、201は装置全体の制御を司るCPUであり、202はブートプログラム及びBIOSを記憶しているROMである。203はCPU201のワークエリアとして使用されるRAMである。このRAM203には、OSをはじめ、サーバプログラムがロードされることになる。204はハードディスクドライブ(HDD)であり、図示に示すようにOS204a、管理プログラム204b、初期設定プログラム204c、及び、クライアントPC管理テーブル204dが格納される(詳細は後述)。なお、これ以外にも、各種データファイルが格納可能であるが、ここでは省略する。
205はキーボード、206はマウス(登録商標)等のポインティングデバイスである。207は表示制御部であって、ビデオメモリと、CPU201の指示にしたがってビットマップイメージの書き込み等を行うと共に、ビデオメモリに描画されたイメージデータを読出し、所定のビデオ信号を生成するコントローラを内蔵する。208は表示制御部208からのビデオ信号を入力し、表示する表示装置(CRTやLCD等)である。209はネットワークインタフェースであり、ネットワーク1と接続し、通信するためのものである。
<クライアントPC>
図4はクライアントPC7のブロック構成図である。尚、他のクライアントPC8、9も同様である。
図4はクライアントPC7のブロック構成図である。尚、他のクライアントPC8、9も同様である。
図示において、401は装置全体の制御を司るCPUであり、402はブートプログラム及びBIOSを記憶しているROMである。このROM402は、これ以外に、本装置の稼働を停止する機能停止プログラム(実施形態では電源断プログラム)402aが格納されている。この機能停止プログラムは、CPU401により実行するためにマシン語であるが、OS非依存プログラムでもある。
403はCPU401のワークエリアとして使用されるRAMである。このRAM403には、OSをはじめ、実施形態における監視プログラムや、各種アプリケーションプログラムがロードされることになる。404はハードディスクドライブ(HDD)であり、図示に示すようにOS404a、各種アプリケーションプログラム404b、及び監視プログラム404c(詳細は後述)が格納されている。なお、これ以外にも、各種データファイルが格納可能であるが、ここでは省略する。
405はキーボード、406はポインティングデバイスである。407は表示制御部であって、408は表示制御部408からのビデオ信号を入力し、表示する表示装置(CRTやLCD等)である。409はネットワークインタフェース、410は外部デバイスを接続可能なインタフェースであり、実施形態ではUSBインタフェースの例を説明する。
<概要の説明>
先ず、前提として、システム管理者は、新なクライアントPCを設置する際、必要なソフトウェアをインストールした上で、そのクライアントPCを利用者に与え、ネットワークへの接続を許可する。ここで、インストールするソフトウェアとしては、図4で示したように、業務上必須のアプリケーションプログラム404b、並びに、管理プログラム404cである。この管理プログラム404cはOSが起動した際に、RAM203に常駐するプログラムであり、OSが起動直後に実行されるように設定しておく。図1におけるクライアントPC7乃至9は、そのいずれもが上記の設定が施されたものである。
先ず、前提として、システム管理者は、新なクライアントPCを設置する際、必要なソフトウェアをインストールした上で、そのクライアントPCを利用者に与え、ネットワークへの接続を許可する。ここで、インストールするソフトウェアとしては、図4で示したように、業務上必須のアプリケーションプログラム404b、並びに、管理プログラム404cである。この管理プログラム404cはOSが起動した際に、RAM203に常駐するプログラムであり、OSが起動直後に実行されるように設定しておく。図1におけるクライアントPC7乃至9は、そのいずれもが上記の設定が施されたものである。
ネットワーク管理サーバ2には、先に説明したように、管理プログラム204b、初期設定プログラム204cが既にインストールされているものである。
管理者は、ネットワーク1のセキュリティの初期設定を行うため、初期設定プログラム204cを実行する(この作業は1回行えば良い)。この実行の指示は、ネットワーク管理サーバ2のOSが起動した後、キーボード205やポインティングデバイス206等で指示することで行う。
初期設定プログラム204cは、先ず、ドメインサーバ4にアクセスし、ネットワーク1にログイン可能な各クライアントPC7乃至9のクライアントPC−ID(ネットワーク上のマシン名、もしくはユーザ名)を取得する。そして、取得したクライアントPC−IDに基づき、個々のクライアントPCに対して、構成情報取得要求を行し、その結果、受信した情報にしたがって、クライアントPC管理テーブル204dを作成する。
図3は、作成されたクライアントPC管理テーブル205dの一例である。図示に示すように、第1フィールドには、クライアントPC−ID、第2、第3フィールドには、そのクライアントPCの外部ストレージ用インタフェース410に接続されているハードウェア情報、並びに、インストールされているアプリケーションにはどのようなものがあるのかを示すソフトウェア情報で構成される。
本実施形態におけるネットワーク管理サーバ2は、上記のようにして、作成されたクライアントPC管理テーブル204dの情報でもって、各クライアントの初期の許容構成情報として扱う。
そして、これ以降、クライアントPCに、許容構成情報を超える変化が発生した場合、そのクライアントPCのそれ以上の稼働を不許可にすべく、該当するクライアントPCに対して停止命令を発行する。
以下、上記を実現するため、クライアントPCが起動した際に実行する監視プログラム404c、機能停止プログラム402a、並びに、ネットワーク管理サーバ2における初期設定プログラム205d、管理プログラム204bについて説明する。
<監視プログラム(クライアントPC)の説明>
図5は、実施形態におけるクライアントPC7(8、9も同様)で実行する監視プログラム404cの処理内容を示すフローチャートである。この監視プログラムは先に説明したように、クライアントPC7の電源がONになり、通常通りにOSが起動した際に、自動的に実行されるメモリ常駐プログラムである。なお、OSを変更したり、他のOSを外部ドライブから読み込んで実行した場合などに、この監視プログラムが正常に起動しないことも考えられるので、電源ONで実行されるBIOSの実行中もしくは実行直後に起動するようにしてもよい。
図5は、実施形態におけるクライアントPC7(8、9も同様)で実行する監視プログラム404cの処理内容を示すフローチャートである。この監視プログラムは先に説明したように、クライアントPC7の電源がONになり、通常通りにOSが起動した際に、自動的に実行されるメモリ常駐プログラムである。なお、OSを変更したり、他のOSを外部ドライブから読み込んで実行した場合などに、この監視プログラムが正常に起動しないことも考えられるので、電源ONで実行されるBIOSの実行中もしくは実行直後に起動するようにしてもよい。
先ず、ステップS500では起動直後であるか否かを判断する。否の場合には、ステップS501以降の処理を行う。起動直後に限っては、ステップS505の処理に進む。
ステップS501乃至S504では、ネットワーク管理サーバ2からの構成情報要求命令を受信したか否か、外部ストレージ用インタフェース410へのデバイスの脱着によるハードウェアの変更があるか否か、インストールされているソフトウェアに変更があるか否か、並びに、ネットワーク管理サーバ2より停止命令を受信したか否かを監視する。通常状態であれば、要求・命令受信がなく、且つ、ハードウェア・ソフトウェアに変更がないので、ステップS501乃至S504をループし続けることになる。
なお、昨今のOSは、イベントドリブンタイプであるので、ステップS501乃至S504に対応するイベントが発生した場合にはじめて実行するようにしても良いし、タイマ割込みにより、所定周期(例えば5秒程度)毎に図5の処理を実行するようにしても構わない。いずれの場合にも、ループ処理を継続する場合と比較して、クライアントPCのCPU01に係る負担を軽減できる。
さて、ステップS501にて、ネットワーク管理サーバ2から構成情報要求があったと判断した場合には、ステップS505に進んで、現在のクライアントPC自身にインストールされているアプリケーション(正確にはアプリケーションプログラムファイル名)を、レジストリ等を参照して探索すると共に、外部ストレージ用インタフェース410に接続されているデバイス(その中でもマスストレージクラスのデバイス)の探索する。そして、ステップS506にて、探索して得られたソフトウェア情報、ハードウェア情報(マスストレージデバイスのボリューム名も含む)を、それぞれが区別できるようなデータフォーマットにして、ネットワーク管理サーバ2に返送(送信)する。このようにしてサーバの初期設定時に送信される情報が、先に説明した「初期の許容構成情報」として登録されることになる。
また、ステップS502にて、外部ストレージ用インタフェース410へのデバイスの脱着があったことを検出した場合(デバイス脱着イベントが発生した場合と言うこともできる)、ステップS507に進んで、その際のデバイス構成(デバイスが存在すればデバイス名とそのボリューム名を含める)を所定のデータフォーマットにしてネットワーク管理サーバ2に通知(送信)する。
また、ステップS503にて、プリケーションの追加、削除があったと判断した場合には、ステップS508に進んで、その際のソフトウェア構成(追加された場合には、そのアプリケーションプログラムファイル名)を所定のデータフォーマットにしてネットワーク管理サーバ2に通知する。
そして、ステップS504にて、ネットワーク管理サーバ2により停止命令を受信した場合には、ステップS509に進み、その停止命令が緊急を要する命令か否か(実施形態では2種類の停止命令があるとしている)を判定する。
詳細は後述するが、緊急を要する停止命令はハードウェアの変化(追加)が許容されない場合に発行され、もう一方(以下、「通常停止命令」という)はソフトウェアの変化(追加)が許容されない場合に発行されるものである。
緊急を要する命令であると判断した場合には、ステップS510に進んで、ROM402に格納されている機能停止プログラム402aを実行させる。また、通常停止命令であると判断した場合には、ステップS511にて、例えば、『ネットワークケーブルを抜き、インストールしたアプリケーションをアンインストールしないと、稼働できません』というメッセージを表示し、ステップS512にてOSに対してシャットダウン処理の実行要求を行う。
<機能停止プログラム(クライアントPC)の説明>
この機能停止プログラムは、通常BIOS−ROMと呼ばれるROM702に格納されているものであり、OSに非依存のプログラムである。図6にその処理手順を示す。
この機能停止プログラムは、通常BIOS−ROMと呼ばれるROM702に格納されているものであり、OSに非依存のプログラムである。図6にその処理手順を示す。
先ず、ステップS601において、全てのストレージ系のデバイス(内蔵のHDD404は勿論、外部ストレージ用インタフェース410に接続されているストレージ系デバイス)に対して、BIOSを介して停止命令(もしくはリセット命令)を発行し、ストレージ上のファイルが破壊されることを防止する。次いで、ステップS602に進み、不図示の電源から伸びる所定の信号線に電源遮断信号を出力する。
<初期設定プログラム(ネットワーク管理サーバ)の説明>
この初期設定プログラムは、管理者が適当な時期(例えば、ネットワークシステムを構築した際等)にネットワーク管理サーバ2上で実行するものである。処理内容を図7に示す。
この初期設定プログラムは、管理者が適当な時期(例えば、ネットワークシステムを構築した際等)にネットワーク管理サーバ2上で実行するものである。処理内容を図7に示す。
先ず、ステップS701にて、ドメインサーバ4にアクセスして、ドメインに登録されている全クライアントPCのクライアントPC−IDを取得する。次いで、ステップS702にて、各クライアントに対して、構成情報を要求する。
この結果、該当するクライアントPCは、図5の監視プログラム404cにおけるステップS505、S506の処理を行うことになる。したがって、ステップS703にて、各クライアントPCから構成情報を受信し、ステップS704にてクライアントPC管理テーブルに、それぞれのクライアントPC−ID、ハードウェア情報、ソフトウェア情報を、先に説明した「初期の許容構成情報」として登録する。
<管理プログラム(ネットワーク管理サーバ)の説明>
次に、実施形態におけるネットワーク管理サーバ2における管理プログラム204bの処理内容を図8のフローチャートに従って説明する。
次に、実施形態におけるネットワーク管理サーバ2における管理プログラム204bの処理内容を図8のフローチャートに従って説明する。
先ず、ステップS801では、クライアントPCから構成の通知があったか否かを判断する。これは、クライアントPCの監視プログラム404c(図5の)の起動直後のステップS506、或いは、ステップS507、S508の送信処理に対応するものである。
構成の通知があった場合、ステップS802に進んで、RAM203に予め確保されたフラグFを“0”で初期化する。そして、ステップS803にて、ソフトウェアの変更の通知であれば、クライアントPC管理テーブル204d内の通知元のクライアントPCの「ソフトウェア情報」に、受信した通知情報に含まれる追加アプリケーションプログラムファイル名が存在するか否かを判定する。また、サーバからの要求に応じた構成の通知であれば、クライアントPC管理テーブル204d内の通知元のクライアントPCの「ソフトウェア情報」に、受信した通知情報に含まれる全アプリケーションプログラムファイル名が存在するか否かを判定する。ステップS803の判定が否の場合、インストールしたアプリケーションは、業務に無関係、もしくは、該当するクライアントPCの動作が不安定になる要因に成り得るので、ステップS804にてフラグFに“1”を代入する。
また、ソフトウェア情報に変更がないと判断した場合には、ステップS805に進み、ハードウェアの変更の通知であれば、クライアントPC管理テーブル204d内の通知元のクライアントPCの「ハードウェア情報」に、受信した通知情報に含まれる追加ハードウェア情報が存在するか否かを判定する。また、サーバからの要求に応じた構成の通知であれば、クライアントPC管理テーブル204d内の通知元のクライアントPCの「ハードウェア情報」に、受信した通知情報に含まれる全ハードウェア情報が存在するか否かを判定する。ステップS805の判定が否の場合、接続されたデバイスに、機密情報が書き込まれる可能性があるので、ステップS806にてフラグFに“2”を代入する。なお、このステップもしくはステップS803に先立つ処理として、クライアントPC―IDもしくはネットワーク上のアドレスなどを登録済みのクライアントPCの情報と比較することで、クライアントPCそのものが新たに追加されたことを検出した場合も、フラグFに“2”を代入するようにしてもよい。これについては後述する。
ステップS807では、フラグFの内容を判定する。フラグFが“0”である場合には、構成変化は許容範囲であるものとし、その許可通知を該当するクライアントPCに通知する(ステップS808)。また、フラグFが“1”である場合には、通常停止命令を該当するクライアントPCに通知する(ステップS809)。そして、フラグFが“2”である場合には、緊急停止命令を該当するクライアントPCに通知する(ステップS810)。
以上、実施形態のクライアントPC7(8、9も同様)、並びに、ネットワーク管理サーバ2の処理内容について説明したが、上記の処理を行うことにより、次のような作用効果を奏することが可能となる。
1.クライアントPCが多数存在し、既にネットワークを構築している企業においては、個々のクライアントPCに、過去にインストールされたアプリケーションを調べることは実質的に不可能であるが、その時点での各クライアントPCは安定動作しているものとして見なして良いであろう。そこで、ネットワーク管理サーバ2を設置し、その初期設定プログラム204cを実行する直前までの各クライアントPCの構成を許容範囲として認定し、それ以降のソフトウェア並びにハードウェアの変更については、制限を加える。この結果、システム管理者にとっては、実質的に、初期設定プログラム204cを実行した以降についてメンテナンスすれば良いので、その負担を軽減させることが可能になる。
2.許容範囲を超えるアプリケーションをインストールした場合には、それをアンインストールしない限りは、クライアントPCを利用した業務が行えなくなるので、システムの安定を維持させることが可能となる。
3.許容されていない外部ストレージデバイス(例えば、フラッシュメモリデバイス)等を外部ストレージ用インタフェース410に接続された場合には、即座に電源断処理が実行されるので、機密情報が外部に漏洩することを防ぐことが可能になる。
4.また、クライアントPCに搭載可能なOS毎に、監視プログラム(図5)を作成することが必要となるものの、機能停止プログラム402aについては、それがOS非依存であるが故に、プログラマにかかる負担を軽減させることが可能になる。
1.クライアントPCが多数存在し、既にネットワークを構築している企業においては、個々のクライアントPCに、過去にインストールされたアプリケーションを調べることは実質的に不可能であるが、その時点での各クライアントPCは安定動作しているものとして見なして良いであろう。そこで、ネットワーク管理サーバ2を設置し、その初期設定プログラム204cを実行する直前までの各クライアントPCの構成を許容範囲として認定し、それ以降のソフトウェア並びにハードウェアの変更については、制限を加える。この結果、システム管理者にとっては、実質的に、初期設定プログラム204cを実行した以降についてメンテナンスすれば良いので、その負担を軽減させることが可能になる。
2.許容範囲を超えるアプリケーションをインストールした場合には、それをアンインストールしない限りは、クライアントPCを利用した業務が行えなくなるので、システムの安定を維持させることが可能となる。
3.許容されていない外部ストレージデバイス(例えば、フラッシュメモリデバイス)等を外部ストレージ用インタフェース410に接続された場合には、即座に電源断処理が実行されるので、機密情報が外部に漏洩することを防ぐことが可能になる。
4.また、クライアントPCに搭載可能なOS毎に、監視プログラム(図5)を作成することが必要となるものの、機能停止プログラム402aについては、それがOS非依存であるが故に、プログラマにかかる負担を軽減させることが可能になる。
尚、本発明の例を、図3のサーバ構成にて説明したが、CPU201のハードと、OS204a,管理プログラム204b,初期設定プログラム204cのソフトとを主とした構成のネットワーク制御方式からなるユニット構成でも、この発明を可能とすることができるので、このユニットシステムを用いることで、信頼度の高いネットワークシステムの構築が容易となる。
また、以上の実施形態では、特にクライアントの構成情報のチェックにつき説明したが、上記と同様にして、ドメインサーバ4やファイルサーバ10における、ハードウェアやソフトウェアの構成情報のチェックも実現することができる。
又、以上は、サーバ,クライアントのプログラムにてハードウェア、ソフトウェアの両方の構成情報のチェックを説明してきたが、いずれか一方の、又は両方のチェックのためのプログラムとすることは、システムの用途に応じて可能である。
<変形例の説明>
上記実施形態では、ネットワーク管理サーバ2が作成するクライアントPC管理テーブル204dを編集するプログラムをネットワーク管理サーバ2に搭載しても構わない。この編集プログラムは、キーボード205等を用いて管理者が構成情報の変更等の編集をして管理テーブル204dへ再登録するためのものである。ただし、この編集プログラムを管理者のみが起動できるようにするためには、適当な認証(パスワードの照合や、指紋照合等)を経る必要がある。
上記実施形態では、ネットワーク管理サーバ2が作成するクライアントPC管理テーブル204dを編集するプログラムをネットワーク管理サーバ2に搭載しても構わない。この編集プログラムは、キーボード205等を用いて管理者が構成情報の変更等の編集をして管理テーブル204dへ再登録するためのものである。ただし、この編集プログラムを管理者のみが起動できるようにするためには、適当な認証(パスワードの照合や、指紋照合等)を経る必要がある。
この編集を可能とすると、例えば、A氏が使用しているクライアントPCはUSBメモリカードが許可されていたが、A氏の異動・退職、ユーザの変更などに合わせて、このUSBメモリカードを管理テーブル204dのハードウェア構成情報から削除して不許可にすることもできる。逆に、B氏には、特別に或るアプリケーションをインストールすることを許可させるために、そのアプリケーションプログラムファイルを管理テーブル204dのソフトウェア構成情報へ登録する等が行えるようになる。更に、全クライアントPCに新規のアプリケーションを導入する場合に、このプログラムをPCやユーザによらない許可プログラムとして登録することで、インストールは各端末で実行することができる。
また、前述の監視プログラム404cを有しているクライアントPCが、リプレースやユーザ変更などの理由でネットワークへの接続が禁止されている状態で、このPCがネットワークに追加された場合にも、上記と同様にして、このPCを停止させることができる。一方、前述の監視プログラム404cを有してないクライアントPCがネットワークに追加される場合は、そのPCによりネットワーク上のデータベースへアクセスしてデータ収集が可能となる恐れがある。
これに対しては、管理サーバ2がネットワーク1上のPC固有のアドレスデータ(MACアドレスデータ等、以下固有アドレスデータという)をチェックすることにより、追加PCからのアクセスを検出して禁止することができる。
即ち、図7の場合と同様、ネットワーク起動時、管理サーバ2はネットワーク1に流れるデータからアドレスデータを、接続されている各クライアントPCの固有アドレスデータとして検出し、図3の各クライアントPC管理テーブル204dへ不図示のネットワーク構成情報として各クライアントPCに対応して登録しておく。
その後、追加のPCがネットワーク1に接続されて電源を入れ起動した際に、不図示のDHCPサーバとの間でネットワークへの参加設定のためのDHCPプロトコルのやりとりがあるので、PCのネットワークへの接続行為が分かる。管理サーバ2は、常にネットワークを監視しているので、接続時にネットワークに流れる固有アドレスデータを検出し、これを管理テーブル204dに登録されている固有アドレスデータと比較参照する。
比較の結果、登録されていないことが判明したら、このPCからのネットワーク1へのアクセスを禁止すべく、サーバ2がドメインサーバ4やファイルサーバ10に対し、この追加PCからの受付を禁止するよう働きかける。これは例えば、これらサーバ4,10におけるネットワークインターフェースのドライバプログラムに、この追加PCからの受信を不許可とするためのステップを用意する等で可能となる。
なお、アドレスデータ以外の他の識別データを検出して、ネットワーク構成の異常を検知するように構成してもよい。
以上により、ネットワークに流れるデータの変化を直接判定して処置するので、ネットワーク環境の異常状態を速やかに検知して対処でき、信頼度の高いネットワークシステムを提供できる。
尚、この場合、管理者がサーバ2のキーボード等を用いて必要な固有アドレスデータを初期登録したり、変更したりすることも可能で、対応の自由度を高めることができる。
<第2の実施形態>
上記実施形態では、或るクライアントPCにおいて、初期の許容構成情報を超える構成の変更があった場合、そのクライアントPCのシャットダウンするものであったが、構成の変更があった場合にクライアントPCの使用そのものは禁止せず、ローカルな処理については許容するものの、ネットワークの使用を不許可にする例を第2の実施形態として説明する。
上記実施形態では、或るクライアントPCにおいて、初期の許容構成情報を超える構成の変更があった場合、そのクライアントPCのシャットダウンするものであったが、構成の変更があった場合にクライアントPCの使用そのものは禁止せず、ローカルな処理については許容するものの、ネットワークの使用を不許可にする例を第2の実施形態として説明する。
ネットワーク構成、ネットワーク管理サーバ、並びに、クライアントPCの構成は図1乃至図4と同じとする。
但し、本第2の実施形態においては、クライアントPC7(8、9も同じ)のネットワークインタフェース409のドライバプログラムにある程度の機能を附加した。以下、第2の実施形態におけるネットワークインタフェース409のドライバプログラムの処理内容を図9のフローチャートに従って説明する。
先ず、ステップS901にて、ネットワーク不許可フラグ(RAM403に確保される)がON状態であるか否かを判断する。このネットワーク不許可フラグは、それがOFFの場合が通常のネットワークアクセスを許可するため、ステップS902に進み、通常のネットワークとの通信(送信、受信)処理を行う。
また、ネットワーク不許可フラグがONになっている場合には、ステップS903、S904にて、上位処理から送信要求があるか、或いはネットワーク1から自身宛のデータを受信したかを判定する。
送信要求であると判断した場合には、ステップS905に進み、送信要求元のアプリケーションが監視プログラム404cであるか否かを判定する。この判定は、監視プログラムとの間で、予め決められた所定データが含まれるか否かで判定するものとする。監視プログラム404cからの要求であると判定した場合に限って、ステップS906に進み、ネットワーク管理サーバ宛の送信を行う。
また、ネットワークからの受信があった場合には、ステップS904からステップS907に進み、送信元がネットワーク管理サーバ2であるか否かを判定する。この判定は、受信したフレームに含まれるネットワークアドレスがネットワーク管理サーバ2のものであるか否かで判定すれば良い。そして、ネットワーク管理サーバ2からのデータ受信に限ってステップS908に進み、受信したデータを監視プログラム404cに通知する。
以上の結果、ネットワーク不許可フラグをONにすると、ネットワーク管理サーバ2への送信(監視プログラム404cからの送信要求に対する送信)、ネットワーク管理サーバ2からの受信(監視プログラム404cの受信処理)のみが機能し、それ以外のアプリケーションからのネットワークへのアクセスは遮断されることになる。
なお、ステップS902の処理が、通常のネットワークドライバと見ることもできる。この場合、図9の処理は、レイヤ層で言えば、通常のネットワークドライバの上位に位置するプログラムであるとも言える。
さて、次に、本第2の実施形態におけるクライアントPC上で実行される監視プログラム404cの処理内容を図10のフローチャートに従って説明する。
なお、ステップS500乃至S508は、図5と同じであるので、同符号を付し、その説明は省略する。
ステップS504にて、ネットワーク管理サーバ2より停止命令を受信すると、ステップS1001にてネットワーク不許可フラグをONに設定する。つまり、クライアントPCにて、許容範囲を超える新たなアプリケーションをインストールする、或いは、許容範囲を超えるデバイスを外部ストレージ用インタフェース410に接続すると、それ以降は、利用者はネットワークのアクセスが一切禁止されることを意味する。なお、この際、その理由を示すメッセージをクライアントPCに表示しても構わない。
また、ステップS1002にて、ネットワーク管理サーバ2より許可通知を受けたか否かを判断し、許可通知を受けたと判断した(図8のステップS808が実行された場合に相当する)には、ステップS1003にて、ネットワーク不許可フラグをOFFにする。
先に説明したように、デバイス接続、或いは、インストールしたアプリケーションによってネットワーク使用が不許可になった場合、そのデバイスを非接続状態にしたり、アプリケーションをアンインストールすると、その処理の実行後の構成情報がネットワーク管理サーバ2に通知されることになり、構成情報が初期の許容構成情報に一致するので、結果的に、許可通知を受信することになる。この場合、ステップS1003の処理が行われることになり、それ以降は一般アプリケーション等でも再びネットワークアクセスが可能になる。
以上、第1、第2の実施形態を説明したが、初期許容構成を超えるハードウェア、ソフトウェアの変更があると、電源断、或いは、ネットワークを利用できない状態、すなわち、機能停止状態になるので、情報漏洩を抑制できる。また、業務に無関係であったり、不安定要因になるアプリケーションをインストールしたままでは利用できなくなるので、必然、そのような未知のアプリケーションのインストールを行う行為が減少することになるので、クライアントPCの安定動作が期待できるようになる。
なお、実施形態では、機能停止する対象として電源、ネットワークを例にして説明したが、少なくともハードウェアについて述べると、外部デバイスへの書き込みを抑制すればいので、これらに限定されるものではない。
また、実施形態では、外部ストレージ用インタフェースとしてUSBを例にしたが、USBに限らず、他のインタフェースでも良いので、これによって本願発明が限定されるものでもない。
また、実施形態では、端末の構成に変化があった場合、その端末の機能を停止するとしたが、更に管理者などに通知したり、端末の使用状況として記録したりするようにしてもよい。また、例えば新規の端末や外部デバイスの接続は機能を停止させるが、アプリケーションのインストールは通知や記録に留め、あるいは端末のユーザにアンインストールを要求するなどのように、構成変化の内容に応じて処理を変えてもよい。
さらにまた、第1の実施形態でのROM2に格納される機能停止プログラムを除き、実施形態の特徴とする点は、通常のパーソナルコンピュータ(クライアントPC、ネットワーク管理サーバ)上で動作するアプリケーションで実現できるものであるから、当然、本願発明はかかるコンピュータプログラムをもその範疇とする。そして、通常、コンピュータプログラムは、CDROM等のコンピュータ可読記憶媒体をコンピュータにセットし、システムにコピーもしくはインストールすることで実行可能になるわけであるから、当然そのようなコンピュータ可読記憶媒体も本願発明の範疇である。
Claims (20)
- ネットワークに接続される複数の端末を管理する管理サーバであって、
前記複数の端末に装着されたデバイスを表すデバイス情報を当該複数の端末から前記ネットワークを介して取得する取得手段と、
前記取得手段により取得されたデバイス情報が、複数の端末に対応してデバイス情報を管理する管理テーブルに存在するか否かを判別する判別手段と、
前記取得手段により取得されたデバイス情報が、前記判別手段により前記管理テーブルの対応するフィールドに存在しないと判別された場合、前記複数の端末の中で該当する端末に対して端末の電源を遮断させる電源断命令、ネットワークアクセスを遮断させる接続不許可命令、或いは、デバイスに対する書き込みを制限する制限命令を前記ネットワークを介して送信する送信手段と
を備えたことを特徴とする管理サーバ。 - ネットワークに接続される複数の端末を管理する管理サーバであって、
前記複数の端末に装着されたデバイスを表すデバイス情報を当該複数の端末から前記ネットワークを介して取得する第1の取得手段と、
該第1の取得手段で取得したデバイス情報を初期許容構成情報として複数端末に対応して記憶保持する記憶保持手段と、
前記第1の取得手段による取得後に前記複数端末に装着されたデバイスを表すデバイス情報を当該複数端末から前記ネットワークを介して再度取得する第2の取得手段と、
該第2の取得手段で取得したデバイス情報の表すデバイス中で、前記記憶保持手段で前記複数端末に対応して記憶保持された初期許容構成情報の表すデバイスに含まれないデバイスがあるか否かを判定する判定手段と、
前記複数の端末の中で前記判定手段により含まれないデバイスがあると判定された端末に対して端末の電源を遮断させる電源断命令、ネットワークアクセスを遮断させる接続不許可命令、或いは、デバイスに対する書き込みを制限する制限命令を送信する送信手段と
を備えることを特徴とする管理サーバ。 - 前記構成情報には、各端末の識別情報が含まれることを特徴とする請求項2に記載の管理サーバ。
- 前記送信手段で送信する命令は、前記端末のBIOSに対する命令であることを特徴とする請求項1又は2に記載の管理サーバ。
- 前記判定手段でデバイスの追加があったと判定した場合、その旨を通知する通知手段を備えることを特徴とする請求項2に記載の管理サーバ。
- 前記判定手段でデバイスの追加があったと判定した場合、その旨を記録する記録手段を備えることを特徴とする請求項2に記載の管理サーバ。
- 前記第2の取得手段は、各端末の起動時に該端末からデバイス情報を取得することを特徴とする請求項2に記載の管理サーバ。
- 前記第2の取得手段は、各端末への外部デバイスの装着時に該端末からデバイス情報を取得することを特徴とする請求項2に記載の管理サーバ。
- 前記第2の取得手段は、所定時間経過ごとに各端末のデバイス情報を該端末から取得することを特徴とする請求項2に記載の管理サーバ。
- ネットワークに接続される複数の端末を管理する管理サーバの制御方法であって、
前記管理サーバの取得手段が、前記複数の端末に装着されたデバイスを表すデバイス情報を当該複数の端末から前記ネットワークを介して取得する取得工程と、
前記管理サーバの判別手段が、前記取得工程により取得されたデバイス情報が、複数の端末に対応してデバイス情報を管理する管理テーブルに存在するか否かを判別する判別工程と、
前記管理サーバの送信手段が、前記取得工程により取得されたデバイス情報が、前記判別工程により前記管理テーブルに存在しないと判別された場合、前記複数の端末の中で該当する端末に対して端末の電源を遮断させる電源断命令、ネットワークアクセスを遮断させる接続不許可命令、或いは、デバイスに対する書き込みを制限する制限命令を前記ネットワークを介して送信する送信工程と
を備えたことを特徴とする管理サーバの制御方法。 - ネットワークに接続される複数の端末を管理する管理サーバの制御方法であって、
前記管理サーバの第1の取得手段が、前記複数の端末に装着されたデバイスを表すデバイス情報を当該複数の端末から前記ネットワークを介して取得する第1の取得工程と、
前記管理サーバの登録手段が、該第1の取得工程で取得したデバイス情報を初期許容構成情報として複数端末に対応して所定の記憶保持手段に登録する登録工程と、
前記管理サーバの第2の取得手段が、前記第1の取得工程による取得後に前記複数端末に装着されたデバイスを表すデバイス情報を当該複数端末から前記ネットワークを介して再度取得する第2の取得工程と、
前記管理サーバの判定手段が、該第2の取得工程で取得したデバイス情報の表すデバイス中で、前記記憶保持手段で前記複数端末に対応して記憶保持された初期許容構成情報の表すデバイスに含まれないデバイスの有無を判定する判定工程と、
前記管理サーバの送信手段が、前記複数の端末の中で前記判定工程により含まれないデバイスがあると判定された端末に対して端末の電源を遮断させる電源断命令、ネットワークアクセスを遮断させる接続不許可命令、或いは、デバイスに対する書き込みを制限する制限命令を送信する送信工程と
を備えることを特徴とする管理サーバの制御方法。 - コンピュータが読み込み実行することで、当該コンピュータを、ネットワークに接続される複数の端末を管理する管理サーバとして機能させるコンピュータプログラムであって、
前記コンピュータを、
前記複数の端末に装着されたデバイスを表すデバイス情報を当該複数の端末から前記ネットワークを介して取得する取得手段と、
前記取得手段により取得されたデバイス情報が、複数の端末に対応してデバイス情報を管理する管理テーブルに存在するか否かを判別する判別手段と、
前記取得手段により取得されたデバイス情報が、前記判別手段により前記管理テーブルの対応するフィールドに存在しないと判別された場合、前記複数の端末の中で該当する端末に対して端末の電源を遮断させる電源断命令、ネットワークアクセスを遮断させる接続不許可命令、或いは、デバイスに対する書き込みを制限する制限命令を前記ネットワークを介して送信する送信手段
として機能させるためのコンピュータプログラム。 - コンピュータが読み込み実行することで、当該コンピュータを、ネットワーク上に接続される複数のクライアント端末を管理する管理サーバとして機能させるコンピュータプログラムであって、
前記コンピュータを、
前記複数の端末に装着されたデバイスを表すデバイス情報を当該複数の端末から前記ネットワークを介して取得する第1の取得手段と、
該第1の取得手段で取得したデバイス情報を初期許容構成情報として複数端末に対応して所定の記憶保持手段に登録する登録手段と、
前記第1の取得手段による取得後に前記複数端末に装着されたデバイスを表すデバイス情報を当該複数端末から前記ネットワークを介して再度取得する第2の取得手段と、
該第2の取得手段で取得したデバイス情報の表すデバイス中で、前記記憶保持手段で前記複数端末に対応して記憶保持された初期許容構成情報の表すデバイスに含まれないデバイスの有無を判定する判定手段と、
前記複数の端末の中で前記判定手段により含まれないデバイスがあると判定された端末に対して端末の電源を遮断させる電源断命令、ネットワークアクセスを遮断させる接続不許可命令、或いは、デバイスに対する書き込みを制限する制限命令を前記ネットワークを介して送信する送信手段
として機能させるためのコンピュータプログラム。 - 請求項13に記載のコンピュータプログラムを格納したことを特徴とするコンピュータ可読記憶媒体。
- 管理サーバとネットワークを介して接続されるクライアント端末として機能する情報処理装置であって、
前記情報処理装置自身に装着されたデバイスを表すデバイス情報を前記管理サーバで前記情報処理装置に対応して管理させるために前記管理サーバに送信する送信手段と、
前記管理サーバから前記デバイス情報に基づく制御命令を受信する受信手段と、
前記受信手段にて受信した制御命令に基づいて、前記情報処理装置自身の電源を遮断する、ネットワークアクセスを遮断する、或いは、デバイスに対する書き込みを制限する制御手段と
を備えることを特徴とする情報処理装置。 - 前記制御手段は、前記情報処理装置自身が有するBIOSを格納するROMに格納した電源断プログラムを実行する手段を含むことを特徴とする請求項15に記載の情報処理装置。
- 管理サーバとネットワークを介して接続されるクライアント端末として機能する情報処理装置の制御方法であって、
前記情報処理装置の送信手段が、該装置自身に装着されたデバイスを表すデバイス情報を前記管理サーバで前記情報処理装置に対応して管理させるために前記管理サーバに送信する送信工程と、
前記情報処理装置の受信手段が、前記管理サーバから前記デバイス情報に基づく制御命令を受信する受信工程と、
前記情報処理装置のデバイス制御手段が、前記受信工程にて受信した制御命令に基づいて、前記情報処理装置自身の電源を遮断する、ネットワークアクセスを遮断する、或いは、デバイスに対する書き込みを制限する制御工程と
を備えることを特徴とする情報処理装置の制御方法。 - コンピュータを、管理サーバとネットワークを介して接続されるクライアント端末として機能させるコンピュータプログラムであって、
前記コンピュータを、
当該コンピュータに装着されたデバイスを表すデバイス情報を前記管理サーバで前記情報処理装置に対応して管理させるために前記管理サーバに送信する送信手段と、
前記管理サーバから前記デバイス情報に基づく制御命令を受信する受信手段と、
前記受信手段にて受信した制御命令に基づいて、前記クライアント端末自身の電源を遮断する、ネットワークアクセスを遮断する、或いは、デバイスに対する書き込みを制限する制御手段
として機能させるためのコンピュータプログラム。 - 請求項18に記載のコンピュータプログラムを格納したことを特徴とするコンピュータ可読記憶媒体。
- ネットワークに接続される複数のクライアント端末と、複数のクライアント端末を管理する管理サーバとを含んで構成されるネットワーク管理システムであって、
前記クライアント端末は、
当該クライアント端末に装着されたデバイスを表すデバイス情報を前記ネットワークを介して前記管理サーバに送信する送信手段と、
前記管理サーバから電源断命令、接続不許可命令、或いは、制限命令を受信すると当該クライアント端末の電源を遮断する、ネットワークアクセスを遮断する、或いは、デバイスに対する書き込みを制限する制御手段とを備え、
前記管理サーバは、
複数のクライアント端末の前記送信手段で送信されるデバイス情報を前記ネットワークを介して受信する第1の受信手段と、
該受信手段で受信したデバイス情報を初期許容構成情報として複数端末に対応して記憶保持する記憶保持手段と、
前記第1の受信手段による受信後にクライアント端末の前記送信手段で送信されるデバイス情報を前記ネットワークを介して再度受信する第2の受信手段と、
該第2の受信手段で受信したデバイス情報の表すデバイス中で、前記記憶保持手段で前記複数端末に対応して記憶保持された該当クライアント端末の初期許容構成情報の表すデバイスに含まれない追加されたデバイスを判定する判定手段と、
前記複数の端末の中で前記判定手段により含まれないと判定されたデバイスが装着されたクライアント端末に対して端末の電源を遮断させる電源断命令、ネットワークアクセスを遮断させる接続不許可命令、或いは、デバイスに対する書き込みを制限する制限命令を送信する送信手段とを備える
ことを特徴とするネットワーク管理システム。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004325592A JP4938233B2 (ja) | 2004-11-09 | 2004-11-09 | 管理サーバ及び情報処理装置、並びに、それらの制御方法、ネットワーク管理システム、コンピュータプログラム及びコンピュータ可読記憶媒体 |
| US11/269,644 US9231825B2 (en) | 2004-11-09 | 2005-11-09 | Network management apparatus, management server, client terminal, and control method thereof |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004325592A JP4938233B2 (ja) | 2004-11-09 | 2004-11-09 | 管理サーバ及び情報処理装置、並びに、それらの制御方法、ネットワーク管理システム、コンピュータプログラム及びコンピュータ可読記憶媒体 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011116264A Division JP5368509B2 (ja) | 2011-05-24 | 2011-05-24 | 管理サーバ及びその制御方法、コンピュータプログラム、並びに、ネットワーク管理システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006134259A JP2006134259A (ja) | 2006-05-25 |
| JP4938233B2 true JP4938233B2 (ja) | 2012-05-23 |
Family
ID=36727721
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004325592A Active JP4938233B2 (ja) | 2004-11-09 | 2004-11-09 | 管理サーバ及び情報処理装置、並びに、それらの制御方法、ネットワーク管理システム、コンピュータプログラム及びコンピュータ可読記憶媒体 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US9231825B2 (ja) |
| JP (1) | JP4938233B2 (ja) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008027149A (ja) * | 2006-07-20 | 2008-02-07 | Hitachi Ltd | 保守情報管理システム |
| US9483791B2 (en) | 2007-03-02 | 2016-11-01 | Spiceworks, Inc. | Network software and hardware monitoring and marketplace |
| US7984143B2 (en) * | 2007-05-11 | 2011-07-19 | Spiceworks, Inc. | Computer network software and hardware event monitoring and reporting system and method |
| US7949905B2 (en) * | 2007-10-09 | 2011-05-24 | Honeywell International Inc. | Apparatus and method for dynamically detecting improper configuration data provided in a network |
| CN101939947B (zh) * | 2008-02-29 | 2013-01-09 | 三菱电机株式会社 | 密钥管理服务器、终端、密钥共享系统、密钥配送方法以及密钥接收方法 |
| US8661523B2 (en) * | 2009-10-21 | 2014-02-25 | Clearcube Technology, Inc. | Mass storage lockout for USB devices on extended USB system |
| EP2717612B1 (en) * | 2011-05-26 | 2019-02-06 | NEC Corporation | Network setting changing method and system thereof, and terminals which are used with said system |
| KR101173810B1 (ko) | 2011-09-07 | 2012-08-16 | (주)멜리타 | 보안 강화 시스템, 이를 위한 단말 및 서비스 장치, 그리고 이를 위한 방법 |
| JP6352140B2 (ja) | 2013-10-22 | 2018-07-04 | キヤノン電子株式会社 | ウェブシステム、サーバ切替装置、サーバ切替方法およびプログラム |
| US20220108000A1 (en) * | 2020-10-05 | 2022-04-07 | Lenovo (Singapore) Pte. Ltd. | Permitting device use based on location recognized from camera input |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH09265394A (ja) | 1996-03-28 | 1997-10-07 | Hitachi Ltd | ネットワークpcへの無許可ソフトウエアインストール検知方式 |
| AU5759699A (en) * | 1999-09-22 | 2001-04-24 | Keiichi Nakajima | Electronic settlement system, settlement device, and terminal |
| US6789111B1 (en) * | 1999-12-09 | 2004-09-07 | Microsoft Corporation | Automatic detection and installation of client peripheral devices by a server |
| JP2002014848A (ja) | 2000-06-28 | 2002-01-18 | Nec Software Kobe Ltd | 保守監視システムおよび保守監視方法 |
| JP2002244874A (ja) * | 2001-02-15 | 2002-08-30 | Toshiba Corp | 情報処理装置およびファームウェア更新方法 |
| JP2002366525A (ja) | 2001-06-12 | 2002-12-20 | Needs Creator Kk | セキュリティポリシー維持システム |
| US7043587B2 (en) * | 2001-09-20 | 2006-05-09 | Lenovo (Singapore) Pte. Ltd. | System and method for connecting a universal serial bus device to a host computer system |
| JP4782353B2 (ja) | 2002-06-28 | 2011-09-28 | キヤノン電子株式会社 | 情報管理装置、情報処理装置及びそれらの制御方法、情報管理システム、プログラム |
| JP2004046587A (ja) * | 2002-07-12 | 2004-02-12 | Fujitsu Ltd | デバイスドライバ組込プログラム及びデバイスドライバ組込装置 |
| EP2182465B1 (en) * | 2003-02-21 | 2013-05-01 | Research In Motion Limited | System and method of multiple-level control of electronic devices |
| US7246156B2 (en) * | 2003-06-09 | 2007-07-17 | Industrial Defender, Inc. | Method and computer program product for monitoring an industrial network |
| IL157203A (en) * | 2003-07-31 | 2010-12-30 | Rit Techn Ltd | Management of large scale cabling systems |
| US7590837B2 (en) * | 2003-08-23 | 2009-09-15 | Softex Incorporated | Electronic device security and tracking system and method |
| JP2005339111A (ja) * | 2004-05-26 | 2005-12-08 | Hitachi Ltd | ジョブの実行制御方法、及びジョブの実行制御システム |
-
2004
- 2004-11-09 JP JP2004325592A patent/JP4938233B2/ja active Active
-
2005
- 2005-11-09 US US11/269,644 patent/US9231825B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US20070282895A1 (en) | 2007-12-06 |
| JP2006134259A (ja) | 2006-05-25 |
| US9231825B2 (en) | 2016-01-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9753742B2 (en) | Web-based interface to access a function of a basic input/output system | |
| US7971232B2 (en) | Setting group policy by device ownership | |
| US7516477B2 (en) | Method and system for ensuring that computer programs are trustworthy | |
| TWI430174B (zh) | 使用基本輸入輸出系統來安裝軟體之方法 | |
| US9231825B2 (en) | Network management apparatus, management server, client terminal, and control method thereof | |
| JP3992721B2 (ja) | 情報処理装置およびプロセス制御方法 | |
| US8281038B2 (en) | Thin client terminal, operation program and method thereof, and thin client system | |
| US8874891B2 (en) | Systems and methods for activation of applications using client-specific data | |
| JP2007128205A (ja) | 機密ファイル保護方法 | |
| JP4671418B2 (ja) | 利用者端末における二次記憶装置の管理方法および利用者端末 | |
| JP2009169661A (ja) | セキュアosのセキュリティポリシーの管理方法及びシステム | |
| JP5408910B2 (ja) | ネットワーク機器管理装置およびその制御方法、プログラム、記憶媒体 | |
| JP2004013607A (ja) | ファイル監視装置 | |
| WO2020038106A1 (zh) | 一种bmc的管理方法、管理系统及相关装置 | |
| US20120174206A1 (en) | Secure computing environment | |
| US9552491B1 (en) | Systems and methods for securing data | |
| JP5368509B2 (ja) | 管理サーバ及びその制御方法、コンピュータプログラム、並びに、ネットワーク管理システム | |
| JP2004094782A (ja) | リソース管理システム、プログラムおよび記録媒体 | |
| US20230359741A1 (en) | Trusted boot method and apparatus, electronic device, and readable storage medium | |
| JP4908367B2 (ja) | 情報処理装置 | |
| JP4663688B2 (ja) | 端末 | |
| JP2004152251A (ja) | セキュリティに関する情報を更新する方法、クライアント、サーバ、及び管理端末 | |
| JP7486368B2 (ja) | 情報処理装置、情報処理装置の制御方法、情報処理システム及びプログラム | |
| JP6661297B2 (ja) | 情報処理装置およびセキュリティ管理方法 | |
| JP2015049646A (ja) | 情報処理装置、情報処理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20071109 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20071109 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101101 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101228 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110325 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110524 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120213 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120223 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150302 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4938233 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |