JP5226636B2 - セキュリティ維持支援システムおよび情報端末 - Google Patents

セキュリティ維持支援システムおよび情報端末 Download PDF

Info

Publication number
JP5226636B2
JP5226636B2 JP2009221373A JP2009221373A JP5226636B2 JP 5226636 B2 JP5226636 B2 JP 5226636B2 JP 2009221373 A JP2009221373 A JP 2009221373A JP 2009221373 A JP2009221373 A JP 2009221373A JP 5226636 B2 JP5226636 B2 JP 5226636B2
Authority
JP
Japan
Prior art keywords
work
information terminal
unit
information
target server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009221373A
Other languages
English (en)
Other versions
JP2011070427A (ja
Inventor
康一 稲木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nomura Research Institute Ltd
Original Assignee
Nomura Research Institute Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nomura Research Institute Ltd filed Critical Nomura Research Institute Ltd
Priority to JP2009221373A priority Critical patent/JP5226636B2/ja
Publication of JP2011070427A publication Critical patent/JP2011070427A/ja
Application granted granted Critical
Publication of JP5226636B2 publication Critical patent/JP5226636B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

この発明は、データ処理技術に関し、特に、情報処理システムのセキュリティ技術に関する。
近年、企業における情報処理システムの重要性が高まっており、企業の業務継続のためには情報処理システムの正常な運用が不可欠となっている。本出願人は、情報処理システムのセキュリティを維持するために、情報処理システムのメンテナンス作業およびその作業者が申請済のものか否かに基づいて、そのメンテナンス作業の許否を決定する技術を提案している(例えば、特許文献1参照)。
特開2008−117317号公報
企業の機密情報が外部に漏洩する原因の1つとして、機密情報を保持するサーバに対する作業権限を有する作業者が、悪意をもって機密情報をサーバから取得することが挙げられる。このように情報処理システムに対する作業権限を有する作業者が悪意を持つ場合であっても、情報処理システムのセキュリティを維持するための発想やそのための具体的な方法はこれまで十分に提案されてこなかった。
本発明は、こうした課題に鑑みてなされたものであり、その主たる目的は、情報処理システムのセキュリティの維持を支援する技術を提供することである。
上記課題を解決するために、本発明のある態様のセキュリティ維持支援システムは、管理サーバと、作業対象サーバに対して作業者が作業を行うための情報端末と、を備える。管理サーバは、作業対象サーバへ送信するコマンドであって、作業対象サーバに対する作業内容の許否を決定する承認プロセスにおいて許可された許可済コマンドを取得するコマンド取得部と、情報端末に対する所定の操作と許可済コマンドとが対応づけられたアプリケーションであって、情報端末において実行させるべき作業用アプリケーションを設定するアプリケーション設定部と、を含む。情報端末は、当該情報端末に対する作業者による操作を検出する操作検出部と、管理サーバにより生成された作業用アプリケーションを取得するアプリケーション取得部と、取得された作業用アプリケーションを実行し、当該情報端末に対する所定の操作が検出されたとき、その操作に対応づけられた許可済コマンドを選択するアプリケーション実行部と、アプリケーション実行部により選択された許可済コマンドを作業対象サーバへ送信する一方、所定の操作以外の操作に基づくコマンドの送信は制限する通信処理部と、を含む。
本発明の別の態様は、情報端末である。この情報端末は、作業対象サーバに対する作業プロセスにおいて使用される情報端末であって、作業対象サーバへ送信するコマンドであって、作業対象サーバに対する作業内容の許否を決定する承認プロセスにおいて許可された許可済コマンドを、当該情報端末に対する所定の操作と対応づけて保持するコマンド保持部と、作業プロセスにおける当該情報端末に対する操作を検出する操作検出部と、当該情報端末に対する所定の操作が検出されたとき、その操作に対応づけられた許可済コマンドを作業対象サーバへ送信する一方、所定の操作以外の操作に基づくコマンドの送信は制限する通信処理部と、を備える。
なお、以上の構成要素の任意の組合せ、本発明の表現を装置、方法、システム、プログラム、プログラムを格納した記録媒体などの間で変換したものもまた、本発明の態様として有効である。
本発明によれば、情報処理システムのセキュリティの維持を支援できる。
本発明の実施の形態である情報処理システムの構成を示す図である。 図1の管理サーバの機能構成を示すブロック図である。 作業情報に設定される作業内容を示す図である。 セキュリティAPの処理ロジックを模式的に示す図である。 図1の携帯情報端末の機能構成を示すブロック図である。 作業対象サーバに対して作業が行われる場合の情報処理システムにおける処理フローを示すフローチャートである。 図6のS16の処理を詳細に示すフローチャートである。 図6のS18の処理を詳細に示すフローチャートである。 図6のS20の処理を詳細に示すフローチャートである。
本発明の実施の形態について、その構成を説明する前にまず概要を説明する。
企業の基幹業務の遂行を支援する業務サーバや、機密情報を保持するデータベースサーバ等は、高いセキュリティレベル、すなわち高い機密性と保全性とが要求される。これらの装置を以下では「保全対象サーバ」と呼ぶこととする。保全対象サーバは、高いセキュリティレベルを担保するために、入退室が管理されたデータセンタに配置され、また、ネットワークとの接続が制限されることがある。
保全対象サーバにインストールされたソフトウェアがエンハンスされる場合等、これらの装置に対するメンテナンス作業が実施されることがある。一般的には、保全対象サーバに接続されたコンソール端末を使用して、ファイル更新等の作業が作業者により実施される。作業者は、コンソール端末を操作して保全対象サーバに任意のコマンドを実行させることができるため、機密情報へのアクセス等、本来行うべきでない作業・承認されていない作業を任意に実行できた。本発明者は、保全対象サーバに対するこのような作業の形態はセキュリティ事故を招く要因であると考えた。
そこで、本実施の形態においては、保全対象サーバに対する作業において、その作業に対し作業者の悪意が入り込む余地を無くすことにより、保全対象サーバのセキュリティ維持を支援する技術を提案する。
具体的には、保全対象サーバに対する作業において作業者が使用する情報端末は、所定の入力操作と、予め承認者により許可されたコマンド(以下、「許可済コマンド」とも呼ぶ)とを対応づけて保持する。この情報端末は、作業者から所定の入力操作を受け付けると、その入力操作に対応づけられた許可済コマンドを保全対象サーバへ送信する一方で、その他の操作に基づくコマンドの送信は禁止する。これにより、保全対象サーバに対する作業において、作業者による任意のコマンドの送信を制限する。
図1は、本発明の実施の形態である情報処理システム100の構成を示す。この情報処理システム100は、作業対象サーバ10のセキュリティ維持を支援するよう構成される。
データセンタには、作業対象サーバ10と、ファイルサーバ11と、作業者PC12とが設置される。作業対象サーバ10は、作業の対象となる保全対象サーバである。ファイルサーバ11は、作業対象サーバ10に置かれた旧ファイルを置き換えるための更新ファイルを保持する。この作業対象サーバ10およびファイルサーバ11は、作業者がこれらの装置を直接操作可能なコンソール端末を備えないことが望ましく、少なくとも、作業者の作業時点においてはコンソール端末と未接続の状態におかれる。作業者PC12は、作業対象サーバ10に対する作業を実施する作業者が事務作業を行うためのPCであり、後述するアクティベーションキーが通知される。
開発部門には開発者PC14が設置される。開発者PC14は、作業対象サーバ10に対する作業の内容を決定する開発者が事務作業を行うためのPCであり、後述するアクティベーションキーが通知される。開発者PC14は、開発者により決定された作業内容であり、その作業内容の許否を決定する承認者により許可された作業内容を示すデータ(以下、「作業情報」とも呼ぶ)を管理サーバ18へ送信する。この作業情報には、作業内容として承認者により事前に許可された許可済コマンドが設定される。
セキュリティ管理部門には管理サーバ18が設置される。管理サーバ18は、作業対象サーバ10のセキュリティを管理する管理者により適宜操作される。管理サーバ18は、開発者PC14から受け付けられた作業情報に応じて、作業対象サーバ10への作業にあたり携帯情報端末16において実行させるアプリケーションを設定する。このアプリケーションは、作業対象サーバ10のセキュリティが維持されるよう構成されたものであり、以下、「セキュリティAP」と呼ぶこととする。
携帯情報端末16は、持ち運びが可能な情報端末であり、例えばスマートフォンである。作業対象サーバ10への作業においては、携帯情報端末16が従来のコンソール端末の役割を担う。開発部門の開発者は、セキュリティAPを携帯情報端末16へダウンロードし、その携帯情報端末16をデータセンタの作業者に貸与する。作業者は、そのセキュリティAPをアクティベート後、携帯情報端末16を操作することにより、作業対象サーバ10への作業を遂行する。
なお図1の各装置は、LAN・WAN・インターネット等、公知の通信手段により適宜接続される。例えば、携帯情報端末16と作業対象サーバ10とは、無線LANや赤外線通信、Bluetooth(登録商標)等の手段により接続されてもよい。
図2は、図1の管理サーバ18の機能構成を示すブロック図である。管理サーバ18は、各種データを記憶する記憶領域であるデータ保持部20と、各種データ処理を実行するデータ処理部34と、通信処理部32とを備える。
本明細書のブロック図において示される各ブロックは、ハードウェア的には、コンピュータのCPUをはじめとする素子や機械装置で実現でき、ソフトウェア的にはコンピュータプログラム等によって実現されるが、ここでは、それらの連携によって実現される機能ブロックを描いている。したがって、これらの機能ブロックはハードウェア、ソフトウェアの組合せによっていろいろなかたちで実現できることは、当業者には理解されるところである。例えば、各機能ブロックは、ソフトウェアとして記録媒体に格納され、管理サーバ18のハードディスクにインストールされ、管理サーバ18のメインメモリに適宜読み出されてプロセッサにて実行されてもよい。後述するブロック図についても同様である。
データ保持部20は、ログイン情報保持部22と、秘密情報保持部24と、AP保持部26と、接続条件保持部28と、ログ保持部30とを有する。ログイン情報保持部22は、作業対象サーバ10やファイルサーバ11へのログイン時に必要なる情報(以下、「ログイン情報」とも呼ぶ)を保持する。ログイン情報には、ユーザIDとパスワードとが含まれる。
秘密情報保持部24は、開発者および作業者のそれぞれが外部に対して非公開にする秘密情報を保持する。つまり、開発者の秘密情報は開発者のみが知っている情報であり、作業者の秘密情報は作業者のみが知っている情報である。AP保持部26は、後述するAP設定部38により設定されたセキュリティAPのデータを保持する。接続条件保持部28は、後述する接続条件を保持する。ログ保持部30は、携帯情報端末16よりアップロードされたログ情報を、作業者による作業内容の証跡情報として保持する。
通信処理部32は、作業者PC12、開発者PC14、携帯情報端末16との通信処理を実行する。データ処理部34は、通信処理部32を介して外部装置との間でデータを送受する。
データ処理部34は、作業情報取得部36と、AP設定部38と、キー設定部40と、条件設定部42と、AP提供部44と、ログ取得部46とを有する。作業情報取得部36は、承認者により内容が承認された作業情報を開発者PC14から受け付ける。この作業情報には、作業の終期を含む作業予定日時、作業対象サーバのID、作業内容、開発者の情報、作業者の情報が含まれる。
図3は、作業情報に設定される作業内容を示す。同図は、作業内容として設定された許可済コマンドを示している。実行順序欄には、コマンドが実行されるべき順序が設定される。コマンド欄には、作業対象サーバ10に送信すべき許可済コマンドが設定される。パラメータ欄には、許可済コマンドとともに作業対象サーバ10に送信すべき情報が設定される。なお、許可済コマンドの中には作業対象サーバ10やファイルサーバ11へのログイン情報を必要とするものがある。しかし、ログイン情報は開発者には開示されないため、開発者が設定する作業情報においてはログイン情報は指定されない。
図2に戻りAP設定部38は、作業情報を参照して、携帯情報端末16に対する所定の操作が行われたときに、その操作に対応する許可済コマンドを作業対象サーバ10へ送信するよう構成したセキュリティAPを設定する。セキュリティAPは、JAVA(登録商標)アプリケーションであってもよい。またAP設定部38は、作業情報に設定された許可済コマンドの中で、ログイン情報を必要とする許可済コマンドを検出する。ログイン情報を必要とする許可済コマンドに対しては、ログイン情報保持部22に保持されたログイン情報を、その許可済コマンドのパラメータとして追加する。
図4は、セキュリティAPの処理ロジックを模式的に示す。同図の入力キー欄は、携帯情報端末16に対する入力操作、ここでは「特定の入力キーの押下」を示している。コマンド欄は、入力操作がなされた際に作業対象サーバ10へ送信する許可済コマンドを示している。パラメータ欄は、許可済コマンドとともに作業対象サーバ10に送信する情報を示している。上述したように、ログイン情報を必要とする許可済コマンドに対しては、作業対象サーバ10やファイルサーバ11のログイン情報が追加されている。
図4で示すように、セキュリティAPは、携帯情報端末16の所定の入力キーが押下されると、その入力キーに対応するコマンドとパラメータとを作業対象サーバ10へ送信するよう構成される。例えば、図4が示すセキュリティAPの場合、データセンタにおいて作業者が入力キーを1から7まで順次押下すれば、作業対象サーバへのログイン、更新ファイルの取得、旧ファイルを更新ファイルへ置換、サーバの再起動という一連の作業が実現される。なお、作業者の作業手順は、管理者または開発者から作業者へ予め通知されてもよく、管理サーバ18がセキュリティAPに設定された入力操作の情報にしたがって作業手順の情報を自動設定し、作業者PC12へ送信してもよい。
図2に戻りキー設定部40は、作業情報にしたがって、携帯情報端末16においてセキュリティAPを利用可能にするために必要となるアクティベーションキーを設定する。このアクティベーションキーは、作業対象サーバ10のID、作業日時、開発者の社員ID、作業者の社員IDを組み合わせた文字列を、所定のハッシュ関数に入力して得られるハッシュ値であってもよい。キー設定部40は、アクティベーションキーを開発者PC14および作業者PC12へ送信する。
条件設定部42は、セキュリティAPを携帯情報端末16において利用するための各種条件を設定する。具体的には、秘密情報保持部24を参照して、アクティベーションキーと開発者の秘密情報とを組み合わせたデータを、管理サーバ18と携帯情報端末16との間でのデータ送受を許容するための条件(以下、「接続条件」とも呼ぶ)として設定する。条件設定部42は、この接続条件を接続条件保持部28へ格納する。
また条件設定部42は、秘密情報保持部24を参照して、アクティベーションキーと作業者の秘密情報とを組み合わせたデータを、セキュリティAPを利用可能に有効化するための有効化条件として設定する。この有効化条件は、セキュリティAPを利用不能に無効化するための条件にもなる。また条件設定部42は、作業情報を参照して、その作業予定日時の終期を作業終期として設定する。そして、セキュリティAPと、有効化条件と、作業終期とを対応づけてAP保持部26へ格納する。以下では、AP保持部26が保持するデータを、単にセキュリティAPのデータとも呼ぶ。
AP提供部44は、セキュリティAPのダウンロード要求を携帯情報端末16から受け付ける。そして、そのダウンロード要求で指定されたアクティベーションキーおよび開発者の秘密情報が、接続条件として保持されたアクティベーションキーおよび開発者の秘密情報に合致することを条件として、セキュリティAPのダウンロードを許可する。セキュリティAPのダウンロードを許可した場合、AP提供部44は、セキュリティAPのデータをAP保持部26から取得して携帯情報端末16へ送信する。
ログ取得部46は、セキュリティAPのアップロード要求を携帯情報端末16から受け付ける。そして、そのアップロード要求で指定されたアクティベーションキーおよび開発者の秘密情報が、接続条件として保持されたアクティベーションキーおよび開発者の秘密情報に合致することを条件として、セキュリティAPのアップロードを許可する。セキュリティAPのアップロードを許可した場合、そのアップロードデータを取得するとともに、そのデータに含まれるログ情報を抽出してログ保持部30へ格納する。
なお図2には図示しないが、管理サーバ18は、ログ保持部30に保持されたログ情報を、管理者に確認させるために所定のディスプレイに表示させるログ表示部や、ログ情報の解析処理を実行するログ解析部をさらに備えてもよい。例えば、ログ解析部は、ログ情報に記録された作業者の操作内容と、セキュリティAPに設定された入力操作とが異なることを検出した場合、所定の外部装置へアラートメッセージを送出してもよい。
図5は、図1の携帯情報端末16の機能構成を示すブロック図である。携帯情報端末16は、各種データを記憶するデータ保持部50と、各種データ処理を実行するデータ処理部64と、操作検出部60と、通信処理部62とを備える。
データ保持部50は、AP保持部52と、AP保護部54と、ログ保持部56と、ログ保護部58とを有する。データ保持部50は、外部からの記憶データの参照および改変が困難なよう構成されたICチップを記録媒体として実装されてもよい。
AP保持部52は、管理サーバ18から取得されたセキュリティAPを保持する記憶領域である。AP保護部54は、AP保持部52の保持データにアクセスするためのインタフェース機能を提供し、操作検出部60において検出された操作内容にかかわらずAP保持部52に保持されたセキュリティAPの参照・改変を拒否する。すなわち、後述するデータ処理部64の各機能ブロックからのアクセス要求のみを許可する。例えば、データ処理部64の各機能ブロックからのアクセス要求には、データ処理部64が要求元であることを示す識別データが設定されてもよく、AP保護部54はアクセス要求からこの識別データを検出したときに限りそのアクセス要求を許可してもよい。後述するログ保持部56についても同様である。
ログ保持部56は、ログ情報を保持する記憶領域である。ログ保護部58は、ログ保持部56の保持データにアクセスするためのインタフェース機能を提供し、操作検出部60において検出された操作内容にかかわらずログ保持部56に保持されたログ情報の参照・改変を拒否する。すなわち、後述するデータ処理部64の各機能ブロックからのアクセス要求のみを許可する。
操作検出部60は、携帯情報端末16の入力キーに対して開発者および作業者が入力した操作内容を検出する。例えば、どの入力キーが押下されたかを検出する。データ処理部64は、操作検出部60において検出された操作内容にしたがって、開発者および作業者の指示内容を判別する。
通信処理部62は、作業対象サーバ10および管理サーバ18との通信処理を実行する。データ処理部64は、通信処理部62を介して外部装置のデータの送受を行う。通信処理部62は、管理サーバ18等、予め定められた装置以外が通信の対向装置である場合、通信要求の要求元が後述するAP実行部74であることを条件としてその通信要求を許可して通信処理を実行する。言い換えれば、AP実行部74以外が通信要求の要求元である場合、例えば、AP実行部74を経由せずに開発者や作業者から受け付けられた通信要求は拒否する。例えば、AP実行部74からの通信要求には、AP実行部74が要求元であることを示す識別データが設定されてもよく、通信処理部62は通信要求からこの識別データを検出したときに限りその通信要求を許可してもよい。これにより、作業対象サーバ10に対する開発者または作業者による任意のコマンドの送信は禁止される。
データ処理部64は、AP取得部66と、AP送信部68と、AP有効化部70と、AP無効化部72と、AP実行部74とを有する。AP取得部66は、アクティベーションキーと開発者の秘密情報とが指定された、セキュリティAPのダウンロード要求を開発者から受け付ける。AP取得部66は、セキュリティAPのダウンロード要求を管理サーバ18へ送信し、管理サーバ18から受け付けられたセキュリティAPのデータをAP保持部52へ格納する。
AP送信部68は、アクティベーションキーと開発者の秘密情報とが指定された、セキュリティAPのアップロード要求を開発者から受け付ける。AP送信部68は、セキュリティAPのデータをAP保持部52から取得し、そのセキュリティAPに対応するログ情報をログ保持部56から取得し、それぞれのデータをアップロード要求とともに管理サーバ18へ送信する。
AP有効化部70は、アクティベーションキーと作業者の秘密情報とが指定された、セキュリティAPを利用可能に有効化させるための有効化要求を作業者から受け付ける。AP有効化部70は、有効化要求で指定されたアクティベーションキーおよび作業者の秘密情報が、AP保持部52のセキュリティAPと対応づけられた有効化条件、すなわちアクティベーションキーおよび作業者の秘密情報と合致することを条件として、その有効化要求を許可する。有効化要求を許可した場合、AP有効化部70は、セキュリティAPの実行を継続させるための所定の有効化処理を実行する。例えば、AP保持部52のセキュリティAPのデータに、実行継続が可能であることを示すフラグを設定してもよい。
AP無効化部72は、アクティベーションキーと作業者の秘密情報とが指定された。セキュリティAPを利用不能に無効化させるための無効化要求を作業者から受け付ける。AP無効化部72は、無効化要求で指定されたアクティベーションキーおよび作業者の秘密情報が、AP保持部52のセキュリティAPと対応づけられた有効化条件と合致することを条件として、その無効化要求を許可する。無効化要求を許可した場合、AP有効化部70は、セキュリティAPの実行を継続させないための所定の無効化処理を実行する。例えば、AP保持部52のセキュリティAPのデータから、実行継続が可能であることを示すフラグを除外してもよい。
AP実行部74は、セキュリティAPをAP保持部52から読み出して実行することにより、作業対象サーバ10に対する作業者の作業を支援する。AP実行部74は、実行制御部76と、コマンド送信部78と、ログ記録部80とを含む。
実行制御部76は、セキュリティAPの起動・停止等の実行状態を制御する。例えば、セキュリティAPの起動要求を作業者から受け付けると、セキュリティAPの実行を開始し、セキュリティAPのデータに対し実行継続可能を示すフラグが設定されていない場合は、その実行を停止する。また、セキュリティAPに設定された一連の入力操作の完了を検出すると、セキュリティAPの実行を終了する。また、セキュリティAPの実行中であっても、そのセキュリティAPに対応づけられた作業終期を途過した場合、その実行を強制的に停止する。
コマンド送信部78は、作業者からの入力操作が受け付けられた際、その入力操作がセキュリティAPに規定された入力操作と合致する場合、セキュリティAPにおいてその入力操作と対応づけられた許可済コマンドを選択する。そして、その許可済コマンドを作業対象サーバ10へ送信させるための通信要求を通信処理部62へ送出することにより、その許可済コマンドを作業対象サーバ10へ送信させる。作業者からの入力操作がセキュリティAPに規定された入力操作と合致しない場合は、何らの通信要求を送出することなく、その入力操作を無視する。
ログ記録部80は、作業者からの入力操作が受け付けられた際、その入力操作の内容にかかわらず、言い換えれば、その入力操作がセキュリティAPに規定された操作であるか否かによらず、その入力操作をログ保持部56のログ情報へ逐次記録する。
以上の構成による動作を以下説明する。
図6は、作業対象サーバ10に対して作業が行われる場合の情報処理システム100における処理フローを示すフローチャートである。管理サーバ18の作業情報取得部36は、作業内容として許可済コマンドが設定された作業情報を開発者PC14から取得する(S10)。管理サーバ18のAP設定部38は、その作業情報にしたがってセキュリティAPを設定する(S12)。キー設定部40は、セキュリティAPのアクティベーションキーを設定する。そして、条件設定部42は、「アクティベーションキー+作業者の秘密情報」をセキュリティAPの有効化条件として設定し、「アクティベーションキー+開発者の秘密情報」を管理サーバ18と携帯情報端末16との接続条件として設定する(S14)。その後、開発者からのダウンロード要求に基づいて、携帯情報端末16に対するセキュリティAPのダウンロード処理が実行される(S16)。
続いて、開発者から携帯情報端末16を貸与された作業者からの有効化要求に基づいて、携帯情報端末16においてセキュリティAPの有効化処理が実行される(S18)。そして、作業者による作業対象サーバ10への作業時に、携帯情報端末16においてセキュリティAPの実行処理がなされる(S20)。携帯情報端末16においてセキュリティAPが有効であれば(S22のY)、作業者からの無効化要求に基づいて、携帯情報端末16のAP無効化部72は、セキュリティAPを無効化する(S24)。セキュリティAPがそもそも無効であれば(S22のN)、S24はスキップされる。続いて、作業者から携帯情報端末16を回収した開発者からのアップロード要求に基づいて、携帯情報端末16のAP送信部68は、セキュリティAPとログ情報とを対応づけて管理サーバ18へアップロードする(S26)。管理サーバ18のログ取得部46は、携帯情報端末16からアップロードされたログ情報を取得してログ保持部30へ格納する(S28)。
図7は、図6のS16の処理を詳細に示すフローチャートである。携帯情報端末16のAP取得部66は、セキュリティAPのダウンロード要求を開発者から受け付けて管理サーバ18へ転送する。管理サーバ18のAP提供部44は、携帯情報端末16から送信されたセキュリティAPのダウンロード要求を受け付ける(S30)。そのダウンロード要求において接続条件が正しく指定されている場合(S32のY)、AP提供部44は、セキュリティAPと有効化条件と実行終期とが対応づけられたデータを携帯情報端末16へ送信する(S34)。ダウンロード要求において接続条件が正しく指定されていなければ(S32のN)、S34はスキップされる。
図8は、図6のS18の処理を詳細に示すフローチャートである。携帯情報端末16のAP有効化部70は、セキュリティAPの有効化要求を作業者から受け付ける(S40)。その有効化要求において有効化条件が正しく指定されている場合(S42のY)、AP有効化部70は、セキュリティAPを実行可能な状態に設定する(S44)。有効化要求において有効化条件が正しく指定されていなければ(S42のN)、S44はスキップされる。
なお、図6のS26のアップロード処理についても、図7で示したダウンロード処理と同様に、アップロード要求において接続条件が正しく指定されていることを条件として、データのアップロードが許可される。また、図6のS24の無効化処理についても、図8で示した有効化処理と同様に、無効化要求において有効化条件が正しく指定されていることを条件として、セキュリティAPの無効化が許可される。
図9は、図6のS20の処理を詳細に示すフローチャートである。携帯情報端末16の実行制御部76は、セキュリティAPの起動要求を作業者から受け付けると、セキュリティAPの実行を開始する(S50)。セキュリティAPが利用可能な状態に有効化されており(S52のY)、作業終期を途過していなければ(S54のN)、セキュリティAPの実行は継続される。作業者からの入力操作が受け付けられたとき(S56のY)、コマンド送信部78は、その入力操作がセキュリティAPに規定されているか否かを判別する。その入力操作がセキュリティAPに規定されている場合(S58のY)、コマンド送信部78は、その入力操作に対応づけられた許可済コマンドを作業対象サーバ10へ送信させる(S60)。それとともに、ログ記録部80は、その入力操作をログ情報として逐次記録する(S62)。作業者の入力操作がセキュリティAPに規定されたものでない場合(S58のN)、S60はスキップされる。
セキュリティAPに規定された一連の入力操作が完了すると(S64のY)、実行制御部76は、セキュリティAPの実行を終了する(S66)。一連の入力操作が未完了であれば(S64のN)、S54に戻る。作業者からの入力操作が受け付けられなければ(S56のN)、S54に戻る。セキュリティAPが有効化されていなければ(S52のN)、S54〜S64はスキップされる。すなわち実行制御部76は、セキュリティAPの実行を継続しない。作業終期を途過すると(S54のY)、S56〜S64はスキップされる。すなわち実行制御部76は、セキュリティAPの実行を強制終了する。なお、作業期間を途過した場合、実行制御部76はAP無効化部72に指示して、作業者による操作にかかわらず、セキュリティAPを強制的に無効化させてもよい。
本実施の形態の情報処理システム100においては、作業対象サーバ10に対する作業に関係する人の職責が分離されている。すなわち、管理者、開発者、承認者、作業者のそれぞれが行うことができる作業が限定されており、これらの関係者の全てが悪意をもった人でない限り、作業対象サーバ10に対する悪意のあるコマンドの送信は回避される。したがって、情報処理システム100の構成によれば、作業対象サーバ10等の保全対象サーバの機密性および保全性を強固に維持することができる。
例えば、作業対象サーバ10に対して直接的な作業を実施する作業者が悪意をもっていたとしても、情報処理システム100では、作業対象サーバ10への作業に対して作業者の悪意が入り込む余地を生じさせない。すなわち、作業者は許可済コマンド以外のコマンドを作業対象サーバ10へ送信することはできず、また、機密情報を作業対象サーバ10から取得することもできない。これにより、作業対象サーバ10は、悪意のある作業者から保護される。
また例えば、作業対象サーバ10に対する作業内容を決定する開発者が悪意をもっていたとしても、情報処理システム100では、作業対象サーバ10への作業に対して開発者の悪意が入り込む余地を生じさせない。すなわち、開発者が決定した作業内容が作業対象サーバ10に対して実行されるためには承認者による許可が必要であり、その作業内容を実装したセキュリティAPはセキュリティ管理部門の管理サーバ18により設定される。これにより、作業対象サーバ10は、悪意のある開発者からも保護される。
さらに情報処理システム100によれば、セキュリティAPの改変およびログ情報の改変は禁止される。これにより、例えば、セキュリティAPが改変されて、悪意のあるコマンドが作業対象サーバ10へ送信されることを防止できる。また、ログ情報を改変することにより、実施された悪意のある操作が隠蔽されることを防止できる。また情報処理システム100によれば、作業対象サーバ10へログインするためのログイン情報も開発者および作業者等から秘匿されるため、作業対象サーバ10への不正アクセスも防止できる。
さらにまた情報処理システム100によれば、セキュリティAPのダウンロードには開発者の秘密情報が必要とされ、その有効化には作業者の秘密情報が必要とされる。これにより、悪意のある第三者がセキュリティAPを取得し、使用することを防止できる。
以上、本発明を実施の形態をもとに説明した。この実施の形態は例示であり、それらの各構成要素や各処理プロセスの組合せにいろいろな変形例が可能なこと、またそうした変形例も本発明の範囲にあることは当業者に理解されるところである。以下変形例を示す。
第1の変形例を説明する。データセンタへの入退館や、サーバルームへの入退室のために必要となるキー情報として、セキュリティAPに設定された作業対象サーバ10へのログイン情報が使用されてもよい。この場合、データセンタへの入退館や、サーバルームへの入退室のために、セキュリティAPをダウンロードして保持する携帯情報端末16が使用されてもよい。これにより、データセンタへの入退館や、サーバルームへの入退室のためのID管理と、保全対象サーバのID管理とを一元化でき、管理コストを低減できる。
第2の変形例を説明する。実施の形態では言及しなかったが、携帯情報端末16から作業対象サーバ10への許可済コマンドの送信後、携帯情報端末16は作業対象サーバ10から許可済コマンドの実行状況を示すフィードバックデータを取得してもよい。そして、そのフィードバックデータを携帯情報端末16の表示装置に表示させてもよい。また、そのフィードバックデータを表示するための専用の表示装置がデータセンタに配置されてもよい。この変形例によれば、作業者は、許可済コマンドの実行による作業対象サーバ10の挙動を確認しながら携帯情報端末16への入力操作を行うことができる。なお、携帯情報端末16が受け付けたフィードバックデータは、ログ情報として記録されてもよい。
第3の変形例を説明する。管理サーバ18の条件設定部42は、セキュリティAPに対して、入力操作に基づき許可済コマンドを選択する条件として、入力操作の実行順序を定めた実行順序条件をさらに設定してもよい。このセキュリティAPを実行する携帯情報端末16のコマンド送信部78は、新たに受け付けた入力操作とその前に受け付けた入力操作とが実行順序条件を充足することを条件として、新たに受け付けた入力操作に対応する許可済コマンドを選択してもよい。実行順序条件を充足しない場合は、新たに受け付けた入力操作を無視してもよい。この変形例によれば、予め承認された順序での許可済コマンドの送信を担保でき、保全対象サーバのセキュリティを一層高めることができる。
第4の変形例を説明する。実施の形態では、セキュリティAPにおいて1つの入力操作と1つの許可済コマンドとが対応づけられた。変形例として、セキュリティAPにおいて1つの入力操作と複数の許可済コマンドとが対応づけられてもよい。
第5の変形例を説明する。実施の形態では、管理サーバ18に対する作業情報の送信元は開発者PC14であったが、変形例として、その送信元は承認者のPCであってもよい。また、開発者が決定した作業情報の許否を承認者が決定するビジネスプロセス・ワークフローを自動化した、その作業情報を承認者に回覧するワークフローサーバが、作業情報の送信元であってもよい。悪意を持つ開発者によって承認済の作業情報が改変されてしまうことを防止し、保全対象サーバのセキュリティを一層高めることができる。
第6の変形例を説明する。実施の形態では携帯情報端末16の入力装置について言及しなかったが、その入力装置は、開発者および作業者による任意の情報入力が制限される態様であってもよい。例えば、セキュリティAPに規定されうる入力操作のみが可能な態様であってもよく、「1〜9」等の数字情報のみが入力可能であってもよい。
上述した実施の形態および変形例の任意の組み合わせもまた本発明の実施の形態として有用である。組み合わせによって生じる新たな実施の形態は、組み合わされる実施の形態および変形例それぞれの効果をあわせもつ。
請求項に記載の各構成要件が果たすべき機能は、実施の形態および変形例において示された各構成要素の単体もしくはそれらの連携によって実現されることも当業者には理解されるところである。
10 作業対象サーバ、 16 携帯情報端末、 18 管理サーバ、 22 ログイン情報保持部、 24 秘密情報保持部、 26 AP保持部、 28 接続条件保持部、 30 ログ保持部、 36 作業情報取得部、 38 AP設定部、 40 キー設定部、 42 条件設定部、 44 AP提供部、 46 ログ取得部、 52 AP保持部、 54 AP保護部、 56 ログ保持部、 58 ログ保護部、 60 操作検出部、 62 通信処理部、 66 AP取得部、 68 AP送信部、 70 AP有効化部、 72 AP無効化部、 74 AP実行部、 76 実行制御部、 78 コマンド送信部、 80 ログ記録部、 100 情報処理システム。

Claims (7)

  1. 管理サーバと、
    作業対象サーバに対して作業者が作業を行うための情報端末と、を備え、
    前記管理サーバは、
    前記作業対象サーバへ送信するコマンドであって、前記作業対象サーバに対する作業内容の許否を決定する承認プロセスにおいて許可された許可済コマンドを取得するコマンド取得部と、
    前記情報端末に対する所定の操作と前記許可済コマンドとが対応づけられたアプリケーションであって、前記情報端末において実行させるべき作業用アプリケーションを設定するアプリケーション設定部と、を含み、
    前記情報端末は、
    当該情報端末に対する作業者による操作を検出する操作検出部と、
    前記管理サーバにより生成された作業用アプリケーションを取得するアプリケーション取得部と、
    取得された作業用アプリケーションを実行し、当該情報端末に対する前記所定の操作が検出されたとき、その操作に対応づけられた許可済コマンドを選択するアプリケーション実行部と、
    前記アプリケーション実行部により選択された許可済コマンドを前記作業対象サーバへ送信する一方、前記所定の操作以外の操作に基づくコマンドの送信は制限する通信処理部と、を含むことを特徴とするセキュリティ維持支援システム。
  2. 前記情報端末は、前記操作検出部において検出された操作内容にかかわらず、前記作業用アプリケーションの改変を禁止するアプリケーション保護部をさらに含むことを特徴とする請求項1に記載のセキュリティ維持支援システム。
  3. 前記管理サーバのアプリケーション設定部は、前記作業対象サーバへのログインに必要なログイン情報を、前記作業対象サーバへログインするためのコマンドに対応づけて前記アプリケーションに設定し、
    前記情報端末は、前記操作検出部において検出された操作内容にかかわらず、前記ログイン情報の参照を禁止するアプリケーション保護部をさらに含むことを特徴とする請求項1に記載のセキュリティ維持支援システム。
  4. 前記情報端末は、
    前記操作検出部において検出された操作内容をログ情報として逐次記録するログ記録部と、
    前記操作検出部において検出された操作内容にかかわらず、前記ログ情報の改変を禁止するログ保護部をさらに含むことを特徴とする請求項1から3のいずれかに記載のセキュリティ維持支援システム。
  5. 前記管理サーバのアプリケーション設定部は、前記アプリケーションを利用可能にするためのキーとして、予め定められた作業者の秘密情報を前記アプリケーションに設定し、
    前記情報端末の操作受付部は、作業者による秘密情報の入力を検出し、
    前記情報端末のアプリケーション実行部は、作業者により入力された秘密情報が、前記予め定められた作業者の秘密情報と合致することを条件として、前記アプリケーションの実行を継続することを特徴とする請求項1から4のいずれかに記載のセキュリティ維持支援システム。
  6. 作業対象サーバに対する作業プロセスにおいて使用される情報端末であって、
    前記作業対象サーバへ送信するコマンドであって、前記作業対象サーバに対する作業内容の許否を決定する承認プロセスにおいて許可された許可済コマンドを、当該情報端末に対する所定の操作と対応づけて保持するコマンド保持部と、
    前記作業プロセスにおける当該情報端末に対する操作を検出する操作検出部と、
    当該情報端末に対する前記所定の操作が検出されたとき、その操作に対応づけられた許可済コマンドを前記作業対象サーバへ送信する一方、前記所定の操作以外の操作に基づくコマンドの送信は制限する通信処理部と、
    を備えることを特徴とする情報端末。
  7. 作業対象サーバに対する作業プロセスにおいて使用される情報端末に、
    前記作業対象サーバへ送信するコマンドであって、前記作業対象サーバに対する作業内容の許否を決定する承認プロセスにおいて許可された許可済コマンドを、当該情報端末に対する所定の操作と対応づけて所定の記憶装置に保持させる機能と、
    前記作業プロセスにおける当該情報端末に対する操作を検出する機能と、
    当該情報端末に対する前記所定の操作が検出されたとき、その操作に対応づけられた許可済コマンドを前記作業対象サーバへ送信する一方、前記所定の操作以外の操作に基づくコマンドの送信は制限する機能と、
    を実現させることを特徴とするコンピュータプログラム。
JP2009221373A 2009-09-25 2009-09-25 セキュリティ維持支援システムおよび情報端末 Expired - Fee Related JP5226636B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009221373A JP5226636B2 (ja) 2009-09-25 2009-09-25 セキュリティ維持支援システムおよび情報端末

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009221373A JP5226636B2 (ja) 2009-09-25 2009-09-25 セキュリティ維持支援システムおよび情報端末

Publications (2)

Publication Number Publication Date
JP2011070427A JP2011070427A (ja) 2011-04-07
JP5226636B2 true JP5226636B2 (ja) 2013-07-03

Family

ID=44015655

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009221373A Expired - Fee Related JP5226636B2 (ja) 2009-09-25 2009-09-25 セキュリティ維持支援システムおよび情報端末

Country Status (1)

Country Link
JP (1) JP5226636B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SG11201606323QA (en) 2014-02-12 2016-09-29 Mitsubishi Electric Corp Log analysis device, unauthorized access auditing system, log analysis program, and log analysis method
JP2018106737A (ja) * 2018-02-13 2018-07-05 株式会社野村総合研究所 アクセス管理方法およびアクセス管理装置

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2865928B2 (ja) * 1992-02-18 1999-03-08 松下電器産業株式会社 リモートメンテナンス装置
JPH06268731A (ja) * 1993-03-11 1994-09-22 Hitachi Ltd 保守端末装置
JP2001350509A (ja) * 2000-06-08 2001-12-21 Fanuc Ltd ロボット制御装置
JP2002091773A (ja) * 2000-09-20 2002-03-29 Mitsubishi Electric Building Techno Service Co Ltd 保守用制御器の管理装置及びその管理方法
JP2006259848A (ja) * 2005-03-15 2006-09-28 Matsushita Electric Ind Co Ltd プログラム実行装置、プログラム実行方法、および、プログラム
JP4698481B2 (ja) * 2006-05-26 2011-06-08 Necフィールディング株式会社 作業者管理方法、これに用いる情報処理装置及び作業者端末、プログラム
JP4933218B2 (ja) * 2006-10-31 2012-05-16 株式会社野村総合研究所 リモートアクセス制御装置
JP2008117317A (ja) * 2006-11-07 2008-05-22 Nomura Research Institute Ltd 業務情報防護装置
JP4927668B2 (ja) * 2007-09-03 2012-05-09 株式会社日立ソリューションズ ジョブ管理システム

Also Published As

Publication number Publication date
JP2011070427A (ja) 2011-04-07

Similar Documents

Publication Publication Date Title
KR100464755B1 (ko) 이메일 주소와 하드웨어 정보를 이용한 사용자 인증방법
JP5318719B2 (ja) 端末装置及び端末装置におけるアクセス制御ポリシー取得方法
JP6376154B2 (ja) 画像処理システム、情報処理装置、画像処理装置及びプログラム
JPWO2008129765A1 (ja) 監視機器制御システム
JP5003749B2 (ja) 情報処理装置、情報処理方法および情報処理プログラム
JP4044126B1 (ja) 情報漏洩抑止装置、情報漏洩抑止プログラム、情報漏洩抑止記録媒体、及び情報漏洩抑止システム
JP6459270B2 (ja) 情報処理装置及びプログラム
JP2007316962A (ja) 作業者管理方法、これに用いる情報処理装置及び作業者端末、プログラム
JP2008243172A (ja) アクセス権限制御システム
JP4587688B2 (ja) 暗号鍵管理サーバ、暗号鍵管理プログラム、暗号鍵取得端末、暗号鍵取得プログラム、暗号鍵管理システム及び暗号鍵管理方法
JP5226636B2 (ja) セキュリティ維持支援システムおよび情報端末
JP6065623B2 (ja) 情報管理装置、携帯端末装置及びプログラム
JP6351061B2 (ja) 管理システム、管理方法、プログラム、および利用者端末
JP4191239B2 (ja) アクセス権限制御システム
JP4769241B2 (ja) アクセス権限制御システム
JP2008003962A (ja) 携帯電話を利用した端末装置認証システム、認証方法およびそのプログム
JP2000105747A (ja) シングルログイン方式のための画面制御方法
JP2012256253A (ja) 情報処理装置、情報処理方法、プログラム
JP2017068738A (ja) セキュリティ情報更新システム、情報処理装置、およびセキュリティ情報更新プログラム
JP2009181396A (ja) ユーザ認証システム及びその方法
JP4508066B2 (ja) 可搬媒体を用いたシングルログイン制御方法および該方法を実現するためのプログラムを格納した記録媒体および装置。
JP2008217712A (ja) メールサーバアクセス方法及び電子メールシステム
JP7250288B2 (ja) 端末装置及びプログラム
JP2008242934A (ja) アクセス権限制御システム
JP2012185598A (ja) 情報処理システム、管理サーバ、端末装置、情報処理方法、及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20111222

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130228

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130312

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130314

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20160322

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees