JP5797060B2 - アクセス管理方法およびアクセス管理装置 - Google Patents

アクセス管理方法およびアクセス管理装置 Download PDF

Info

Publication number
JP5797060B2
JP5797060B2 JP2011182532A JP2011182532A JP5797060B2 JP 5797060 B2 JP5797060 B2 JP 5797060B2 JP 2011182532 A JP2011182532 A JP 2011182532A JP 2011182532 A JP2011182532 A JP 2011182532A JP 5797060 B2 JP5797060 B2 JP 5797060B2
Authority
JP
Japan
Prior art keywords
login
work
target device
work target
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2011182532A
Other languages
English (en)
Other versions
JP2013045278A5 (ja
JP2013045278A (ja
Inventor
橋本 淳
淳 橋本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nomura Research Institute Ltd
Original Assignee
Nomura Research Institute Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nomura Research Institute Ltd filed Critical Nomura Research Institute Ltd
Priority to JP2011182532A priority Critical patent/JP5797060B2/ja
Publication of JP2013045278A publication Critical patent/JP2013045278A/ja
Publication of JP2013045278A5 publication Critical patent/JP2013045278A5/ja
Application granted granted Critical
Publication of JP5797060B2 publication Critical patent/JP5797060B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明はデータ処理技術に関し、特に、情報処理装置に対するユーザのアクセスを管理する技術に関する。
ネットワーク技術の発展に伴って、ネットワークを介したコンピュータシステムへのアクセスが広く行われている。そして、ユーザがコンピュータシステムにログインする際の認証手段としてはパスワード認証が広く用いられている。パスワード認証の安全性を高めるための対策として、一定期間が経過するとパスワードを強制的に変更させたり、所定回数連続してパスワード入力に失敗すると、それ以降のログインを拒否したりすることが行われている。
本出願人は、以下の特許文献1において、正規ユーザの使い勝手を低下させず、不正アクセスを容易に発見する技術を提案している。
特開2006−004333号公報
これまでのパスワード認証では、ユーザが作業を行うべき情報処理装置(以下、「作業対象装置」とも呼ぶ。)のパスワードをユーザへ開示する必要があった。そのため、作業対象装置にはセキュリティ上のリスクが発生することがあった。例えば、正規のユーザから悪意のある第三者へ作業対象装置のパスワードが漏洩する可能性もあった。
本発明はこうした課題に鑑みてなされたものであり、その主な目的は、情報処理装置のセキュリティ上のリスクを低減するための技術を提供することにある。
上記課題を解決するために、本発明のある態様のアクセス管理装置は、ユーザが作業を行うべき作業対象装置について、その作業対象装置へログインするためのアカウントを保持するアカウント保持部と、作業対象装置に対する作業を許可する条件を保持する条件保持部と、作業対象装置へのログイン要求をユーザから受け付けるログイン要求受付部と、ログイン要求が条件を充足する場合、ログイン要求に作業対象装置のアカウントが含まれていなくても、アカウント保持部からアカウントを取得して作業対象装置へログインするログイン処理部と、本装置が作業対象装置へログインした後、ユーザから受け付けたコマンドを作業対象装置へ転送するコマンド転送部と、を備える。
なお、以上の構成要素の任意の組合せ、本発明の表現を方法、システム、プログラム、プログラムを格納した記録媒体などの間で変換したものもまた、本発明の態様として有効である。
本発明によれば、情報処理装置のセキュリティ上のリスクを低減することができる。
実施の形態の情報処理システムの構成を示す図である。 図1のアクセス管理装置の機能構成を示すブロック図である。 アクセス管理装置の動作を示すフローチャートである。 アクセス管理装置の動作を示すフローチャートである。
図1は、実施の形態の情報処理システムの構成を示す。情報処理システム100はある企業内のシステムであり、運用者端末10と、管理者端末12と、作業対象装置14で総称される作業対象装置14a、作業対象装置14b、作業対象装置14cと、アクセス管理装置16を含む。
運用者端末10は、作業対象装置14に対する作業を行うべき情報処理システム100の運用者や開発者(以下、運用者で統一する)により操作されるPCである。管理者PC12は、情報処理システム100の管理者により操作されるPCである。
作業対象装置14は、情報処理システム100の運用者による作業(例えば、ファイルの更新や各種設定値の調整等)の対象となるサーバである。例えば、ウェブサーバ・アプリケーションサーバ・データベースサーバ等であってもよい。また、作業対象装置14のソフトウェア構成に制限はなく、作業対象装置14a〜作業対象装置14c間で異なる構成であってもよい。例えば、作業対象装置14aのOSはUNIX(登録商標)、作業対象装置14bのOSはLinux(登録商標)、作業対象装置14cのOSはWindows(登録商標)であってもよい。また、運用者PC10から作業対象装置14へコマンドを通知するための通信プロトコルにも制限はなく、Telnet・SSH・FTP・RDP等であってもよい。
アクセス管理装置16は、複数の作業対象装置14(図1では作業対象装置14a〜作業対象装置14c)に対する運用者のログイン要求を、作業対象装置14の種別にかかわらず一括して受け付け、運用者のログインが管理者により承認済か否かを判定する。承認済であれば、アクセス管理装置16は、運用者に代わって作業対象装置14へログインし、運用者PC10から送信されたコマンドを作業対象装置14へ中継する。すなわちアクセス管理装置16は、運用者PC10から作業対象装置14へのアクセスを仲介することにより、作業対象装置14のセキュリティ強度を高めつつ、作業対象装置14に対する運用者の作業を可能にする。
図2は、図1のアクセス管理装置16の機能構成を示すブロック図である。アクセス管理装置16は、内部アカウント保持部20と、外部アカウント保持部22と、アカウント更新部24と、作業条件保持部26と、申請情報受付部28と、申請情報通知部30と、承認情報受付部32と、接続要求受付部34と、認証処理部36と、ログイン要求受付部38と、判定部40と、ログイン処理部42と、コマンド受付部44と、コマンド転送部46を備える。
本明細書のブロック図において示される各ブロックは、ハードウェア的には、コンピュータのCPUをはじめとする素子や機械装置で実現でき、ソフトウェア的にはコンピュータプログラム等によって実現されるが、ここでは、それらの連携によって実現される機能ブロックを描いている。したがって、これらの機能ブロックはハードウェア、ソフトウェアの組合せによっていろいろなかたちで実現できることは、当業者には理解されるところである。例えば、図2の各機能ブロックは、アクセス管理プログラムとして記録媒体に格納され、アクセス管理装置16のストレージへインストールされてもよい。そして、アクセス管理プログラムの起動時に、各機能ブロックに対応するプログラムがメインメモリに読み出されてCPUにより実行されてもよい。
内部アカウント保持部20は、運用者PC10からアクセス管理装置16への接続を運用者に許可するためのアカウント(以下、「内部アカウント」とも呼ぶ。)として、予め定められた運用者のIDおよびパスワードを対応付けて保持する記憶領域である。
外部アカウント保持部22は、作業対象装置14への接続を許可するためのアカウント(以下、「外部アカウント」とも呼ぶ。)として、作業対象装置14において予め定められたアカウント(具体的にはログインIDとパスワードの組み合わせ)を保持する記憶領域である。例えば、作業対象装置14a〜作業対象装置14cのそれぞれにおいて定められた外部アカウントを一括して保持する。また外部アカウント保持部22は、作業対象装置14の特権ユーザのアカウントも外部アカウントとして保持し、例えばrootのパスワードや、Administratorのパスワードを保持する。
アカウント更新部24は、作業対象装置14においてログインアカウントが変更された場合、その事実を検出して、変更後のアカウントを外部アカウント保持部22へ格納する。例えば、作業対象装置14は自装置においてログインアカウントを定期的に変更し、変更後のアカウントを示す情報をアクセス管理装置16へ通知し、作業対象装置14はその通知にもとづいて作業対象装置14におけるアカウントの変更を検出してもよい。変形例として、アカウント更新部24は、定期的に作業対象装置14へアクセスしてログインアカウントを変更し、変更後のアカウントを外部アカウント保持部22へ格納してもよい。
作業条件保持部26は、作業対象装置14へのログインを運用者に許可するための条件(以下、「作業条件」とも呼ぶ。)を保持する記憶領域であり、例えば作業対象装置14a〜作業対象装置14cのそれぞれに対する作業条件を一括して保持する。本実施の形態の作業条件には、運用者のID・作業対象装置14に対する作業開始日時および作業終了日時・作業対象装置14のホスト名・利用する通信プロトコル・作業対象装置14へのログインに用いるログインID(例えばroot等)が含まれる。
申請情報受付部28は、運用者PC10から、作業対象装置14へのログインを管理者へ申請するための情報(以下、「申請情報」とも呼ぶ。)を受け付ける。この申請情報には既述の作業条件と同様の内容が含まれる。すなわち、運用者のID・作業開始日時および作業終了日時・作業対象装置14のホスト名・利用する通信プロトコル・作業対象装置14へのログインに用いるログインIDが含まれる。
申請情報通知部30は、運用者PC10から受け付けた申請情報を管理者PC12へ送信して、運用者の申請内容を承認するか、もしくは拒否するかを管理者に決定させる。承認情報受付部32は、管理者PC12から、管理者が申請内容を承認したか否かを示す情報を受け付ける。管理者が申請内容を承認した場合、承認情報受付部32は、運用者の申請内容を作業条件として作業条件保持部26へ格納する。
接続要求受付部34は、アクセス管理装置16への接続要求を運用者PC10から受け付ける。この接続要求では、アクセス管理装置16において定められた運用者のアカウント(すなわち内部アカウント)が指定される。なお、運用者PC10〜アクセス管理装置16間の通信プロトコルは、運用者により適宜選択されてよく、例えばTelnet・SSH・FTP・RDP等であってもよい。
認証処理部36は運用者を認証する。具体的には、接続要求で指定された運用者のアカウントが、内部アカウント保持部20に保持された運用者のアカウントと一致するか否かを判定する。一致した場合、運用者の認証に成功した旨を接続要求受付部34へ通知する。接続要求受付部34は、運用者の認証が成功した場合、運用者PC10との通信セッションを確立させて、認証成功の旨を運用者PC10へ通知する。運用者PC10は、認証成功の旨が通知されると、ログイン先とする作業対象装置14(言い換えれば運用者が作業を実施する作業対象装置14)の指定画面をディスプレイに表示させる。変形例として、接続要求受付部34は、運用者の認証に成功した場合、ログイン先の指定画面のデータを運用者PC10へ送信して運用者PC10にて表示させてもよい。
ログイン要求受付部38は、接続要求受付部34が確立した運用者PC10〜アクセス管理装置16間の通信セッションを介して、運用者PC10から、特定の作業対象装置14へのログインを要求する情報(以下、「ログイン要求」とも呼ぶ。)を受け付ける。このログイン要求には、運用者PC10で表示されたログイン先の指定画面において運用者が指定したログイン先とする作業対象装置14(以下、「指定装置」とも呼ぶ。)を示す情報が含まれる。その一方、指定装置のアカウント(例えばパスワード)はログイン要求に含まれない。
判定部40は、ログイン要求が作業条件保持部26に格納された作業条件を充足するか否かを判定する。具体的には、ログイン要求の送信元である運用者のIDが作業条件の運用者のIDと一致し、かつ、ログイン要求の受付日時が作業条件の作業開始時刻から作業終了日時の範囲にあり、かつ、ログイン要求での指定装置が作業条件の接続先装置と一致する場合、ログイン要求が作業条件を充足すると判定する。
ログイン処理部42は、ログイン要求が作業条件を充足すると判定された場合、指定装置のアカウントがログイン要求に含まれていなくても、外部アカウント保持部22に保持された指定装置のアカウントを用いて指定装置へログインし、アクセス管理装置16と指定装置間の通信セッションを確立させる。具体的には、指定装置において予め定められたアカウントであり、作業条件で指定されたログインIDに対応するアカウント(ログインIDとパスワードであり、例えばrootとrootのパスワード)を外部アカウント保持部22から取得する。そして、作業条件で指定された通信プロトコルを使用して、外部アカウント保持部22から取得したアカウントを指定したログイン要求を指定装置へ送信する。
コマンド受付部44は、接続要求受付部34が確立した運用者PC10〜アクセス管理装置16間の通信セッションを介して、運用者PC10から、指定装置に対するコマンドを受け付ける。コマンド転送部46は、コマンド受付部44において受け付けられたコマンドを、ログイン処理部42が確立したアクセス管理装置16〜指定装置間の通信セッションを介して指定装置へ転送する。
以上の構成による動作を以下説明する。
図3は、アクセス管理装置16の動作を示すフローチャートである。運用者PC10から送信された申請情報を申請情報受付部28が受け付けると(S10のY)、申請情報通知部30はその申請情報を管理者PC12へ送信する(S12)。承認情報受付部32は、申請内容を承認した旨の情報を管理者PC12から受け付けると(S14のY)、申請内容を作業条件として作業条件保持部26へ格納する(S16)。申請内容を承認した旨の情報を受け付けなければ(S14のN)、S16はスキップされる。運用者PC10からの申請情報を受け付けなければ(S10のN)、S12〜S16はスキップされる。アカウント更新部24は、作業対象装置14においてアカウントが変更されたことを検出すると(S18のY)、変更後のアカウントを作業対象装置14から取得して外部アカウント保持部22へ格納する(S20)。作業対象装置14におけるアカウント変更が未検出であれば(S18のN)、S20はスキップされる。
図4もアクセス管理装置16の動作を示すフローチャートである。同図は図3の動作の続きを示している。運用者PC10から送信された接続要求を接続要求受付部34が受け付けると(S30のY)、認証処理部36はその接続要求にもとづいて運用者を認証する。運用者の認証に成功した場合(S32のY)、接続要求受付部34はその旨を運用者PC10へ通知してログイン先の指定画面を運用者PC10に表示させる(S34)。運用者の認証に失敗した場合(S32のN)、S34をスキップし、運用者PC10からの接続要求を受け付けない場合(S30のN)、S32およびS34をスキップする。
運用者PC10から送信されたログイン要求をログイン要求受付部38が受け付けると(S36のY)、判定部40はそのログイン要求が作業条件を充足するか否かを判定する。ログイン要求が作業条件を充足する場合(S38のY)、ログイン処理部42は外部アカウント保持部22からログイン要求における指定装置のアカウントを取得し(S40)、そのアカウントを用いて指定装置へログインする(S42)。
コマンド受付部44は、運用者PC10からコマンドを受け付けるまで待機する(S44のN)。運用者PC10から送信されたコマンドをコマンド受付部44が受け付けると(S44のY)、コマンド転送部46はそのコマンドを作業対象装置14へ送信する(S46)。運用者PC10から受け付けたコマンドが終了コマンド(例えば「exit」コマンド)であれば(S48のY)、コマンド受付部44は運用者PC10との通信セッションを切断して本図のフローを終了する。運用者PC10から受け付けたコマンドが終了コマンドでなければ(S48のN)、S44のコマンド待ちの状態へ戻る。ログイン要求が作業条件を充足しない場合(S38のN)、もしくは、ログイン要求を受け付けない場合(S36のN)、以降の処理をスキップして本図のフローを終了する。
本実施の形態の情報処理システム100によれば、作業対象装置14へのログインを運用者や開発者に代わってアクセス管理装置16が行う。したがって、作業対象装置14のアカウント(特にパスワード)を運用者や開発者から秘匿でき、作業対象装置14のセキュリティ上のリスクを低減することができる。例えば、運用者や開発者から悪意のある第三者へアカウントが漏洩してしまうことや、管理者が承認した範囲を超えて運用者や開発者が作業対象装置14へアクセスすることを防止できる。情報処理システム100によれば、作業対象装置14のアクセスログにより不正アクセスがあったか否かを事後的に発見できるだけでなく、そもそも不正アクセスの発生を予防できる。
また作業対象装置14へのログインアカウントは定期的に変更されて、アクセス管理装置16の外部アカウント保持部22に格納される。これにより、作業対象装置14のセキュリティ上のリスクを一層低減できる。それに加えて、作業対象装置14におけるログインアカウント変更の影響はアクセス管理装置16が吸収し、運用者および開発者はその影響を受けないため、運用者および開発者の利便性を高めることができる。
また作業対象装置14へのアクセス制御をアクセス管理装置16が一括して行うため、作業対象装置14は複数の運用者や開発者それぞれに対する個別のアカウントを予め定める必要がない。また、それら個別のアカウントに対して各種のアクセス権を設定する必要もない。したがって、作業対象装置14には手を加えることなく、作業対象装置14のセキュリティ上のリスクを低減することができる。
以上、本発明を実施の形態をもとに説明した。この実施の形態は例示であり、それらの各構成要素や各処理プロセスの組合せにいろいろな変形例が可能なこと、またそうした変形例も本発明の範囲にあることは当業者に理解されるところである。以下変形例を示す。
第1の変形例を説明する。上記実施の形態では言及していないが、コマンド受付部44は、現在日時が作業条件で規定された作業終了日時を途過したか否かを監視し、途過した場合には運用者PC10とアクセス管理装置16との通信セッションを切断してもよい。同様にコマンド転送部46は、現在日時が作業条件の作業終了日時を途過したか否かを監視し、途過した場合にはアクセス管理装置16と作業対象装置14との通信セッションを切断してもよい。この態様によると、作業終了日時を途過した後は、運用者からのコマンドは作業対象装置14へ転送されなくなるため、管理者により承認された範囲内で運用者による作業を許容することができる。
別の変形例として、コマンド受付部44は、現在日時が作業条件の作業終了日時を途過した場合でも、運用者PC10とアクセス管理装置16との通信セッションを維持してもよい。同様にコマンド転送部46は、現在日時が作業条件の作業終了日時を途過した場合でも、アクセス管理装置16と作業対象装置14との通信セッションを維持してもよい。さらにまた、現在日時が作業条件の作業終了日時を途過した場合に通信セッションを切断するか、もしくは維持するかを運用者が選択可能としてもよく、運用者による選択結果が申請情報(すなわち作業条件)に含まれてもよい。この場合、コマンド受付部44およびコマンド転送部46は、現在日時が作業条件の作業終了日時を途過した場合に通信セッションを切断するかもしくは維持するかを、作業条件にしたがって決定してもよい。
第2の変形例を説明する。アクセス管理装置16は、ログ保持部とログ出力部とログ検索部をさらに備えてもよい。ログ保持部は、運用者の内部アカウント、ログイン先の作業対象装置14のホスト名、作業対象装置14へのログインアカウント(外部アカウント)、作業対象装置14へ発行したコマンド、コマンド発行日時を対応づけたログを保持する。ログ出力部は、ログイン要求に応じて作業対象装置14へのログインがなされた場合、運用者の内部アカウント、ログイン先の作業対象装置14のホスト名、作業対象装置14へのログインアカウントをログイン情報として保持しておく。そして、コマンド受付部44において運用者PC10からコマンドが受け付けられた際、そのコマンド、ログイン情報、現在日時(すなわちコマンド発行日時)を対応づけてログ保持部へ格納する。
ログ検索部は、検索キーワードが指定された検索要求を管理者PC12から受け付ける。そして、検索キーワードにもとづいてログ保持部に格納されたログを検索し、検索にヒットしたログの情報を管理者PC12へ送信する。第2の変形例によれば、複数の作業対象装置14に亘るアクセスログをアクセス管理装置16が一括して管理するため、複数の作業対象装置14に亘るアクセスログを管理者が容易に取得することができる。例えば、特定の運用者のID(特定の内部アカウント)を検索キーワードとしてアクセス管理装置16に対して検索要求を行うことで、各作業対象装置14に問い合わせることなく、特定の運用者が複数の作業対象装置14に対してアクセスした履歴を効率的に取得できる。
第3の変形例を説明する。アクセス管理装置16は、禁止コマンド保持部とコマンド判定部をさらに備えてもよい。禁止コマンド保持部は、作業対象装置14への発行を禁止すべきコマンドとして予め定められた禁止コマンドを示す情報を保持する。禁止コマンドには、例えば、ユーザのパスワードを変更するコマンド(passwdコマンド等)や、ユーザのアカウントを切り替えるコマンド(suコマンド等)が含まれてもよい。コマンド判定部は、運用者PC10から受け付けられたコマンドが禁止コマンド保持部に保持された禁止コマンドに一致するか否かを判定する。不一致の場合、コマンド判定部は運用者PC10から受け付けられたコマンドをコマンド転送部46へ渡す。一致した場合、コマンド判定部は運用者PC10から受け付けられたコマンドをコマンド転送部46に渡すことを抑止して破棄する。この場合、コマンド判定部は禁止コマンドであるため作業対象装置14への転送を拒否した旨を運用者PC10へ通知してもよい。
なお第2の変形例および第3の変形例において、運用者PC10〜アクセス管理装置16間およびアクセス管理装置16〜作業対象装置14間が暗号化通信である場合(例えばSSH通信である場合)について付言する。この場合、アクセス管理装置16は、運用者PC10から受け付けた暗号化コマンドを一旦復号し、復号後の平文のコマンドを再度暗号化して作業対象装置14へ送信する。したがって、第2の変形例のログ出力部は、平文のコマンドを示すログをログ保持部へ格納し、第3の変形例のコマンド判定部は平文のコマンドと禁止コマンドとを比較する。このように通信経路上は暗号化通信によりセキュリティ強度を維持しつつ、コマンドの保存や禁止コマンドとの比較は平文のコマンドを用いて実現できる。
第4の変形例を説明する。上記実施の形態ではアクセス管理装置16が外部アカウント保持部22およびアカウント更新部24を備えることとした。変形例として、アクセス管理装置16とは別の情報処理装置(ここでは「アカウント管理装置」とも呼ぶ。)が、アクセス管理装置16に代わって外部アカウント保持部22およびアカウント更新部24を備え、さらに外部アカウント提供部を備えてもよい。この場合、アクセス管理装置16のログイン処理部42は、ログイン先の作業対象装置14のホスト名と、ログインで使用する作業対象装置14のログインIDとを指定したパスワード要求をアカウント管理装置へ送信する。アカウント管理装置の外部アカウント提供部は、パスワード要求で指定されたログインIDに対応づけられたパスワードをアクセス管理装置16へ提供する。
上述した実施の形態、変形例の任意の組み合わせもまた本発明の実施の形態として有用である。組み合わせによって生じる新たな実施の形態は、組み合わされる実施の形態、変形例それぞれの効果をあわせもつ。
請求項に記載の各構成要件が果たすべき機能は、実施の形態および変形例において示された各構成要素の単体もしくはそれらの連係によって実現されることも当業者には理解されるところである。
10 運用者PC、 12 管理者PC、 14,16 アクセス管理装置、 20 内部アカウント保持部、 22 外部アカウント保持部、 24 アカウント更新部、 26 作業条件保持部、 34 接続要求受付部、 36 認証処理部、 38 ログイン要求受付部、 40 判定部、 42 ログイン処理部、 44 コマンド受付部、 46 コマンド転送部、 100 情報処理システム。

Claims (5)

  1. アクセス管理装置が、
    作業対象装置へログインするためのログインIDであり、かつ、ユーザにより申請されたログインIDを含む前記作業対象装置に対する作業の条件であって、ユーザの申請に基づいて管理者が許可した作業条件をユーザと対応付けて第1の記憶領域に記憶させるステップと、
    ログイン先の作業対象装置を指定する情報を含むログイン要求をユーザから受け付けるログイン要求受付ステップと、
    前記第1の記憶領域に予め記憶された作業条件を充足するログイン要求を受け付けた場合に、第2の記憶領域に予め記憶された前記ログイン先の作業対象装置へログインするためのログインIDとパスワードであって、前記ログイン要求が充足した作業条件で指定されたログインIDに対応するログインIDとパスワードを使用して前記ログイン先の作業対象装置へログインすることにより、前記ログイン先の作業対象装置に対するユーザの作業を可能にするログインステップと、
    を実行することを特徴とするアクセス管理方法。
  2. 前記作業対象装置へログインするためのログインIDとパスワードは変更されるものであり、
    前記作業対象装置へログインするためのログインIDとパスワードが変更された場合、変更後のログインIDとパスワードを前記第2の記憶領域へ格納するステップを前記アクセス管理装置がさらに実行することを特徴とする請求項1に記載のアクセス管理方法。
  3. 前記第1の記憶領域には、複数の作業対象装置のそれぞれに対して許可された作業条件が記憶されており、
    前記第2の記憶領域には、複数の作業対象装置のそれぞれへログインするためのログインIDとパスワードが記憶されており、
    前記ログイン要求受付ステップは、前記複数の作業対象装置のうち特定の作業対象装置を指定する情報を含むログイン要求をユーザから受け付け、
    前記ログインステップは、前記特定の作業対象装置に対して許可された作業条件を充足するログイン要求を受け付けた場合に、前記第2の記憶領域に記憶された前記特定の作業対象装置へログインするためのログインIDとパスワードであって、前記ログイン要求が充足した作業条件で指定されたログインIDに対応するログインIDとパスワードを使用して前記特定の作業対象装置へログインすることを特徴とする請求項1または2に記載のアクセス管理方法。
  4. ユーザが作業を行うべき作業対象装置について、その作業対象装置へログインするためのログインIDとパスワードを対応づけて保持するアカウント保持部と、
    作業対象装置へログインするためのログインIDであり、かつ、ユーザにより申請されたログインIDを含む前記作業対象装置に対する作業の条件であって、ユーザの申請に基づいて管理者が許可した作業条件をユーザと対応付けて保持する条件保持部と、
    ログイン先の作業対象装置を指定する情報を含むログイン要求をユーザから受け付けるログイン要求受付部と、
    前記条件保持部に保持された作業条件を充足するログイン要求が受け付けられた場合に、前記アカウント保持部に保持されたログインIDとパスワードであって、前記ログイン要求が充足した作業条件で指定されたログインIDに対応するログインIDとパスワードを使用して前記ログイン先の作業対象装置へログインすることにより、前記ログイン先の作業対象装置に対するユーザの作業を可能にするログイン処理部と、
    を備えることを特徴とするアクセス管理装置。
  5. アクセス管理装置に、
    作業対象装置へログインするためのログインIDであり、かつ、ユーザにより申請されたログインIDを含む前記作業対象装置に対する作業の条件であって、ユーザの申請に基づいて管理者が許可した作業条件をユーザと対応付けて第1の記憶領域に記憶させる機能と、
    ログイン先の作業対象装置を指定する情報を含むログイン要求をユーザから受け付ける機能と、
    前記第1の記憶領域に予め記憶された作業条件を充足するログイン要求を受け付けた場合に、第2の記憶領域に予め記憶された前記ログイン先の作業対象装置へログインするためのログインIDとパスワードであって、前記ログイン要求が充足した作業条件で指定されたログインIDに対応するログインIDとパスワードを使用して前記ログイン先の作業対象装置へログインすることにより、前記ログイン先の作業対象装置に対するユーザの作業を可能にする機能と、
    を実現させるためのコンピュータプログラム。
JP2011182532A 2011-08-24 2011-08-24 アクセス管理方法およびアクセス管理装置 Active JP5797060B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011182532A JP5797060B2 (ja) 2011-08-24 2011-08-24 アクセス管理方法およびアクセス管理装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011182532A JP5797060B2 (ja) 2011-08-24 2011-08-24 アクセス管理方法およびアクセス管理装置

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2014192173A Division JP5912159B2 (ja) 2014-09-22 2014-09-22 アクセス管理方法およびアクセス管理装置

Publications (3)

Publication Number Publication Date
JP2013045278A JP2013045278A (ja) 2013-03-04
JP2013045278A5 JP2013045278A5 (ja) 2014-11-06
JP5797060B2 true JP5797060B2 (ja) 2015-10-21

Family

ID=48009140

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011182532A Active JP5797060B2 (ja) 2011-08-24 2011-08-24 アクセス管理方法およびアクセス管理装置

Country Status (1)

Country Link
JP (1) JP5797060B2 (ja)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9294475B2 (en) * 2013-05-13 2016-03-22 Hoyos Labs Ip, Ltd. System and method for generating a biometric identifier
US10225245B2 (en) * 2014-11-18 2019-03-05 Auth0, Inc. Identity infrastructure as a service
US9887978B2 (en) * 2015-06-23 2018-02-06 Veritas Technologies Llc System and method for centralized configuration and authentication
CN106452814B (zh) * 2015-08-10 2019-11-26 阿里巴巴集团控股有限公司 一种采用外部账户操作资源的方法和装置
KR101746279B1 (ko) * 2015-08-27 2017-06-12 라인 가부시키가이샤 컨텍 리스트를 이용하여 사용자를 인증하는 시스템 및 방법
WO2017169144A1 (ja) * 2016-03-31 2017-10-05 ソニー株式会社 情報処理装置、情報処理方法、およびプログラム
JP2017228926A (ja) * 2016-06-22 2017-12-28 京セラドキュメントソリューションズ株式会社 電子機器
JP2018124652A (ja) * 2017-01-30 2018-08-09 京セラドキュメントソリューションズ株式会社 システムおよびログインシステム
JP6475271B2 (ja) * 2017-01-31 2019-02-27 セコム株式会社 ゲートウェイ装置、機器、及び通信システム
US10089801B1 (en) 2017-05-15 2018-10-02 Amazon Technologies, Inc. Universal access control device
JP6731887B2 (ja) 2017-06-27 2020-07-29 Kddi株式会社 保守システム及び保守方法
US11196711B2 (en) * 2017-07-21 2021-12-07 Fisher-Rosemount Systems, Inc. Firewall for encrypted traffic in a process control system
US10498538B2 (en) 2017-09-25 2019-12-03 Amazon Technologies, Inc. Time-bound secure access
US10783338B2 (en) 2018-03-08 2020-09-22 Amazon Technologies, Inc. Integrated access control system
JP7231082B2 (ja) * 2018-03-20 2023-03-01 日本電気株式会社 管理システム、制御装置、管理方法及びプログラム
JP7031408B2 (ja) * 2018-03-20 2022-03-08 日本電気株式会社 管理システム、制御装置、管理方法及びプログラム
JP2019164594A (ja) * 2018-03-20 2019-09-26 富士ゼロックス株式会社 情報処理装置およびプログラム
JPWO2021124568A1 (ja) * 2019-12-20 2021-06-24

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002334056A (ja) * 2001-05-08 2002-11-22 Infocom Corp ログイン代行システム及びログイン代行方法
JP4738183B2 (ja) * 2006-01-26 2011-08-03 三菱電機株式会社 アクセス制御装置及びアクセス制御方法及びプログラム
JP4992332B2 (ja) * 2006-08-03 2012-08-08 富士通株式会社 ログイン管理方法及びサーバ
JP2008117009A (ja) * 2006-10-31 2008-05-22 Nomura Research Institute Ltd リモートアクセス制御装置
JP2008117316A (ja) * 2006-11-07 2008-05-22 Nomura Research Institute Ltd 業務情報防護装置
JP2009259229A (ja) * 2008-03-17 2009-11-05 Nec Personal Products Co Ltd 遠隔制御装置、遠隔制御プログラム、遠隔制御方法、及び、遠隔制御システム
JP2009258820A (ja) * 2008-04-14 2009-11-05 Nec Corp アカウント管理システム、アカウント管理装置、アカウント管理方法
JP2012064007A (ja) * 2010-09-16 2012-03-29 Daiwa Institute Of Research Business Innovation Ltd 情報処理装置、通信中継方法およびプログラム

Also Published As

Publication number Publication date
JP2013045278A (ja) 2013-03-04

Similar Documents

Publication Publication Date Title
JP5797060B2 (ja) アクセス管理方法およびアクセス管理装置
JP6397956B2 (ja) モバイルデバイス管理機能の提供
JP6437589B2 (ja) 企業アプリケーションストアの提供
EP2997706B1 (en) Method and system for authentication with denial-of-service attack protection
US8490165B2 (en) Restoring secure sessions
US8572268B2 (en) Managing secure sessions
US8910239B2 (en) Providing virtualized private network tunnels
US20130031368A1 (en) Remote computer management when a proxy server is present at the site of a managed computer
JP2007310512A (ja) 通信システム、サービス提供サーバおよびユーザ認証サーバ
US20220070206A1 (en) Secure device selection based on sensitive content detection
JPWO2013080659A1 (ja) 機密情報漏洩防止システム、機密情報漏洩防止方法、及びプログラム
US10032027B2 (en) Information processing apparatus and program for executing an electronic data in an execution environment
JP3961112B2 (ja) パケット通信制御システム及びパケット通信制御装置
US10560439B2 (en) System and method for device authorization and remediation
US20150281003A1 (en) Mobile application control
JP5912159B2 (ja) アクセス管理方法およびアクセス管理装置
JP2016139434A (ja) アクセス管理方法およびアクセス管理装置
JP6719635B2 (ja) アクセス管理方法、アクセス管理装置およびコンピュータプログラム
JP4675921B2 (ja) 情報処理システム及びコンピュータプログラム
JP6990748B2 (ja) アクセス管理方法
JP7001665B2 (ja) アクセス管理方法、アクセス管理装置およびコンピュータプログラム
JP2019192302A (ja) アクセス管理方法、アクセス管理装置およびコンピュータプログラム
JP2006261937A (ja) 通信プロファイル自動配布設定システムおよび方法ならびに管理装置、プログラム
JP2023105059A (ja) アクセス管理方法
JP2022020000A (ja) アクセス管理方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140129

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140916

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140922

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20141014

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20141212

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150331

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150526

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150728

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150818

R150 Certificate of patent or registration of utility model

Ref document number: 5797060

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250