JP6207340B2 - 画像形成装置及びその制御方法、並びにプログラム - Google Patents

画像形成装置及びその制御方法、並びにプログラム Download PDF

Info

Publication number
JP6207340B2
JP6207340B2 JP2013217689A JP2013217689A JP6207340B2 JP 6207340 B2 JP6207340 B2 JP 6207340B2 JP 2013217689 A JP2013217689 A JP 2013217689A JP 2013217689 A JP2013217689 A JP 2013217689A JP 6207340 B2 JP6207340 B2 JP 6207340B2
Authority
JP
Japan
Prior art keywords
security policy
policy
image forming
forming apparatus
reset
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2013217689A
Other languages
English (en)
Other versions
JP2015079451A (ja
Inventor
匡平 武田
匡平 武田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2013217689A priority Critical patent/JP6207340B2/ja
Priority to US14/511,565 priority patent/US20150109629A1/en
Priority to CN201410549433.2A priority patent/CN104580139B/zh
Publication of JP2015079451A publication Critical patent/JP2015079451A/ja
Application granted granted Critical
Publication of JP6207340B2 publication Critical patent/JP6207340B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N1/00Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
    • H04N1/44Secrecy systems
    • H04N1/4406Restricting access, e.g. according to user identity
    • H04N1/4433Restricting access, e.g. according to user identity to an apparatus, part of an apparatus or an apparatus function
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N2201/00Indexing scheme relating to scanning, transmission or reproduction of documents or the like, and to details thereof
    • H04N2201/0077Types of the still picture apparatus
    • H04N2201/0094Multifunctional device, i.e. a device capable of all of reading, reproducing, copying, facsimile transception, file transception

Description

本発明は、画像形成装置及びその制御方法、並びにプログラムに関し、特に、ネットワーク環境におけるセキュリティポリシーの配信技術に関する。
オフィス等のネットワークに接続するパーソナルコンピュータ(PC)やサーバー機器(ファイルサーバーや認証サーバー等)は、オフィス毎に決められた情報セキュリティポリシーに従って運用されることが望ましい。情報セキュリティポリシーとは、企業全体の情報セキュリティに関する基本方針であり、情報の利用や外部からの侵入、情報漏えいを防止するための方針をまとめたものであって、セキュリティを扱う管理者が策定するものである。
オフィスのネットワークに接続する機器としては、PCやサーバー機器以外に、複合機などの周辺装置がある。近年の複合機は、単純に画像を印刷や送信するだけではなく、複合機内に画像データを格納し、PCに対してファイルサービスを提供する機能を有するものがあり、ネットワーク上に存在するその他のサーバー機器と同様の役割を果たすようになってきている。また、近年、複合機に搭載するアプリケーションの開発環境が公開されており、PCなどと同様に、第三者によって開発されたアプリケーションが利用されている。
安全安心なオフィス環境を維持するためには、PCやサーバー機器と同様に、複合機においても、情報セキュリティポリシーに従うことが求められる。ここでいう情報セキュリティポリシーに従うとは、複合機を操作する際にユーザ認証を必須とするなど、オフィス内の複合機の正規でない使用や情報漏えいを防ぐために運用に制約を設けることを意味する。
情報セキュリティポリシーに従わせるために、PCやサーバー機器においては、OSに依存する設定値(以下、「セキュリティポリシー」と呼ぶ)を配信サーバーで一括して設定し、設定されたセキュリティポリシーを各PCやサーバー機器に配信する方法がある。例えば、通信経路の暗号化に関するOS依存の設定値としては、「非SSL接続を許可する」などがあり、どのベンダーのPCであっても情報セキュリティポリシーに従うよう統一的管理がされている。
複合機においては、複合機毎にセキュリティに関して設定可能な項目が異なるため、PCやサーバー機器のようにOSに依存する設定値をそのままセキュリティポリシーとして配信することはできない。そのため、機器毎に設けられたルールに基づき機器にセキュリティポリシーに従ったセキュリティ設定を行うシステムが提案されている(例えば、特許文献1参照)。また、配信サーバーから一括して配信する以外にもPCのブラウザに表示された画面から複合機にアクセスして個別にセキュリティポリシーを設定することも可能である。
特開2008−219419号公報
上記従来技術では、セキュリティポリシーを設定する際の通信プロトコルとして主にHTTPが使用されている。そのため、例えば「HTTP接続を禁止する」というポリシーが設定された場合、セキュリティポリシーを配信サーバーから配信することも、個別にブラウザから設定することもできなくなってしまう。そこで、複写機の表示パネルからセキュリティポリシーを変更する機能を設けることで対応することも可能である。
しかしながら、セキュリティ管理者がオフィス外のネットワークから複数の機器を管理しているケースも想定され、それら全ての機器に対して個別に再設定するのは困難である。そのため、遠隔地からでもネットワーク経由で再設定する機能が求められる。
本発明は、上記問題に鑑みて成されたものであり、再設定ができなくなるセキュリティポリシーが設定された場合であっても、ネットワーク経由でセキュリティポリシーの再設定が可能となるセキュリティポリシーの配信技術を提供することを目的とする。
上記目的を達成するために、本発明の画像形成装置は、外部からセキュリティポリシーを受信する受信手段と、前記受信手段で受信したセキュリティポリシーを解析する解析手段と、前記解析手段による解析結果から前記受信したセキュリティポリシーが、再設定ができなくなるセキュリティポリシーであると判断した場合に緊急用のポートをオープンする制御手段とを備えることを特徴とする。
本発明によれば、セキュリティポリシーが再設定できなくなった場合でも、予め設定された緊急用のポートを使用してアクセスを行う。これにより、再設定ができなくなるセキュリティポリシーが設定された場合であっても、ネットワーク経由でセキュリティポリシーの再設定が可能となる。
本発明の第1の実施形態に係る画像形成装置が配置されたネットワーク環境の一例を示す図である。 図1における画像形成装置のハードウェア構成の一例を示すブロック図である。 図1における画像形成装置のソフトウェア構成の一例を示すブロック図である。 セキュリティポリシーの設定変更時のクライアントPCと画像形成装置間のアクセス動作を示すシーケンス図である。 HTTPアクセス制御部の動作処理の流れを示すフローチャートである。 セキュリティポリシー制御部の動作処理の流れを示すフローチャートである。 クライアントPCのブラウザに表示される画像形成装置へのログイン画面の一例を示す図である。 クライアントPCのブラウザに表示される設定登録画面の一例を示す図である。 クライアントPCのブラウザに表示されるセキュリティポリシー設定画面の一例を示す図である。 画像形成装置内のHDDに格納されているポリシーデータベースの一例を示す図である。 クライアントPCのブラウザに表示されるアクセス不可警告画面の一例を示す図である。 セキュリティポリシーの再設定ができない状況でアクセスしたときのクライアントPCと画像形成装置間のアクセス動作を示すシーケンス図である。 クライアントPCのブラウザに表示されるアクセス不可画面の一例を示す図である。 セキュリティポリシーの再設定ができず、緊急用のポートを使用してアクセスするときのクライアントPCと画像形成装置間のアクセス動作を示すシーケンス図である。 クライアントPCのブラウザに表示されるセキュリティポリシー設定用ログイン画面の一例を示す図である。 本発明の第2の実施形態におけるセキュリティポリシー制御部の動作処理の流れを示すフローチャートである。 サーバーから取得するモードにおけるセキュリティポリシー設定時のクライアントPC、画像形成装置、ポリシーサーバー間のアクセス動作を示すシーケンス図である。 クライアントPCのブラウザに表示される確認画面の一例を示す図である。
以下、本発明の実施の形態を図面を参照して詳細に説明する。
[第1の実施形態]
図1は、本発明の第1の実施形態に係る画像形成装置が配置されたネットワーク環境の一例を示す図である。
画像形成装置101,104、クライアントPC102、及びポリシーサーバー103がLAN等のネットワーク105に接続されており、通信可能な状態となっている。
図示のネットワーク環境では、クライアントPC102のブラウザに表示された画面から、画像形成装置101または画像形成装置104のURLを入力し、ブラウザに表示されたセキュリティポリシー設定画面からセキュリティポリシー設定を行うことができる。また、ポリシーサーバー103を利用して画像形成装置101,104の複数の装置に同時にセキュリティポリシーを配信することも可能である。さらに、画像形成装置101または画像形成装置104がポリシーサーバー103に対してセキュリティポリシーを取得することも可能である。
図2は、図1における画像形成装置101のハードウェア構成の一例を示すブロック図である。なお、画像形成装置104も画像形成装置101と略同一の構成を有するものとする。
CPU201は、ソフトウェアプログラムを実行し、装置全体の制御を行う。ROM202は、リードオンリーメモリであり、装置のブートプログラムや固定パラメータ等が格納されている。RAM203は、ランダムアクセスメモリであり、CPU201が装置を制御する際に、一時的なデータの格納などに使用する。
HDD204は、ハードディスクドライブであり、印刷データなどの様々なデータが格納される。ネットワークI/F制御部205は、ネットワーク105とのデータの送受信を制御する。
スキャナI/F制御部206は、スキャナ211を制御するためのインターフェースである。プリンタI/F制御部207は、プリンタ210を制御するためのインターフェースである。
パネル制御部208は、オペレーションパネル212を制御し、各種情報の表示、使用者からの指示入力を行う。
CPU201、ROM202、RAM203、HDD204、ネットワークI/F制御部205、スキャナI/F制御部206、プリンタI/F制御部207、及びパネル制御部208は、バス209を介して互いに接続されている。バス209は、CPU201からの制御信号や各装置間のデータ信号が送受信されるシステムバスである。
図3は、図1における画像形成装置101のソフトウェア構成の一例を示すブロック図である。図示例では、セキュリティポリシーに関連するソフトウェアについてのみ記載されている。
HTTPアクセス制御部301は、HTTPアクセスを制御するためのソフトウェアプログラムであり、以下の各機能を備える。
アクセス受信機能311は、ネットワークI/F制御部205を経由してネットワーク上の端末からのHTTPアクセスを受けたときにHTTPデータを受信する。アクセス解析機能312は、受信したHTTPデータを解析する。
ポリシー制御機能313は、アクセス解析機能312によりHTTPデータを解析した結果からポリシー変更の要求があったと判断した場合に、セキュリティポリシー制御部302に対して変更要求を行う。ポート制御機能314は、アクセス解析機能312によりHTTPデータを解析した結果からポート変更要求が有ったと判断した場合にポート変更を行う。
セキュリティポリシー制御部302は、セキュリティポリシーを制御するためのソフトウェアプログラムであり、以下の各機能を備える。
ポリシー受信機能321は、HTTPアクセス制御部301を含む他のプログラムからセキュリティポリシーを受信する。ポリシー解析機能322は、受信したセキュリティポリシーを解析する。ポリシー設定機能323は、受信したセキュリティポリシーを適用するための機能である。
HTTPアクセス制御部301及びセキュリティポリシー制御部302は、ROM202に格納され、CPU201により装置を制御する際にRAM203に展開され実行される。また、HDD204には、ポリシーデータベース331が格納されている。ポリシーデータベース331には、画像形成装置101が保持するセキュリティポリシーの情報が格納されている。
図4は、セキュリティポリシーの設定変更時のクライアントPC102と画像形成装置101間のアクセス動作を示すシーケンス図である。なお、画像形成装置101では、HTTPアクセス制御部301とセキュリティポリシー制御部302間のアクセス動作を示す。
クライアントPC102からブラウザを起動して表示された画面上のURL欄に画像形成装置101のURLを入力すると、クライアントPC102から画像形成装置101に対してHTTPアクセス要求が行われる(S4001)。S4001のHTTPアクセス要求は画面表示の要求であり、HTTPアクセス制御部301は、HTTPアクセス要求を解析してレスポンスとしてレスポンス画面を返す(S4002)。これにより、クライアントPC102のブラウザに図7に示すログイン画面700が表示される。
ログイン画面700上でユーザIDとパスワードが入力され、ログインボタンが押下されると、図8に示す設定登録画面800に遷移する。設定登録画面800上で「セキュリティポリシー設定」が選択されると、図9に示すセキュリティポリシー設定画面900に遷移する。なお、図4には記載されていないが、画面遷移の度にS4001とS4002のやり取りが繰り返し行われる。
セキュリティポリシー設定画面上で各種セキュリティポリシーの設定変更が可能であるが、本実施形態では、HTTPアクセス禁止のケースについて説明する。セキュリティポリシー設定画面900上で「HTTPアクセスを禁止」901の有効にしてOKボタン902が押下されると、クライアントPC102から画像形成装置101にポリシー設定変更要求が行われる(S4003)。
HTTPアクセス制御部301は、クライアントPC102からのHTTPアクセス要求を解析し、ポリシー設定変更要求のアクセスであると判断した場合は、セキュリティポリシー制御部302にポリシー変更通知を行う(S4004)。画像形成装置101では、図10に示すようなポリシーデータベース331によりセキュリティポリシーが管理されている。
図10において、ポリシーデータベース331は、ID1001、ポリシー名称1002、再設定不可フラグ1003、及び有効無効フラグ1004の情報を有する。例えば、ID「01」には、ポリシー名称「HTTPアクセスを禁止」、再設定不可フラグ「不可能」、有効無効フラグ「有効」のポリシー情報1005が登録されている。
ID1001はセキュリティポリシーを識別するための識別子、ポリシー名称1002はセキュリティポリシーの名前を表す。再設定不可フラグ1003は、そのセキュリティポリシーを有効にすると、ネットワーク経由でのポリシーの再設定ができなくなることを表している。この情報はユーザが設定する情報ではなく、セキュリティポリシー制御部302が予め決定し、ポリシーデータベース331に登録しておく情報である。有効無効フラグ1004は、ポリシー設定機能323によりセキュリティポリシーが設定されたときに、ポリシーを有効化または無効化されるものであり、有効化時に当該ポリシーが適用される。
図4に戻り、S4004でポリシーの変更が通知されると、セキュリティポリシー制御部302は、ポリシーを解析して当該ポリシーが再設定不可となるポリシーであるかどうかを判断する。その結果、再設定が不可能と判断された場合は利用者に再設定ができなくなるが、このまま変更を反映していいかどうかを確認するために、HTTPアクセス制御部301にアクセス不可警告画面の表示要求を行う(S4005)。
HTTPアクセス制御部301は、セキュリティポリシー制御部302からアクセス不可警告画面の表示要求を受けると、S4003のHTTPリクエストのレスポンスとしてアクセス不可警告画面を要求元に返す(S4006)。これにより、クライアントPC102のブラウザに図11に示すアクセス不可警告画面1100が表示される。このように、セキュリティポリシーを設定すると再設定ができなくなる旨の警告表示を行い、OKボタンが押下されると、クライアントPC102からHTTPアクセス制御部301にポリシー変更確定要求が行われる(S4007)。
HTTPアクセス制御部301は、クライアントPC102からポリシー変更確定要求が通知されると、現在使用しているポートを閉じて、緊急用のポートを開く。ここでポートの変更を行う理由は、例えばHTTPアクセスを禁止するセキュリティポリシーの再設定ができなくなるようなポリシーが反映された場合に、特別なアクセス方法によって再設定ができるようにするためである。通常、HTTPでは、80番ポートが使用されるが、HTTPアクセスが禁止されることにより、80番ポートが閉じられる。本実施形態では、緊急用に特別なポート番号を開くことでセキュリティポリシー設定のみを継続させることができる。緊急用のポートについては、予め管理者が知っている前提で固定したポートを開くようにしてもよいし、登録されている管理者のメールアドレスに対してポート番号を通知するような構成でもよい。本実施形態では、前者の固定したポートを開く構成で説明を行う。その後、HTTPアクセス制御部301は、セキュリティポリシー制御部302にポリシー変更確定通知を行う(S4008)。S4008でポリシーの変更確定が通知されると、セキュリティポリシー制御部302では当該ポリシーの適用を行う。
次に、図4におけるHTTPアクセス制御部301の詳細な動作処理について図5を参照して説明する。
図5は、HTTPアクセス制御部301の動作処理の流れを示すフローチャートである。
HTTPアクセス制御部301では、アクセス受信機能311がHTTPアクセス要求を受信し(ステップS501)、アクセス解析機能312がHTTPアクセスの解析を行う(ステップS502)。アクセス解析機能312は解析結果から処理を判断し(ステップS503)、画面表示のアクセス要求と判断したときは、レスポンス画面を生成してリクエスト元に返す(ステップS504)。ステップS503での判定結果がポリシー変更要求の場合は、ポリシー制御機能313がセキュリティポリシー制御部302に変更要求を実施する(ステップS505)。ステップS503での判定結果がポリシー変更確定要求の場合は、ポート制御機能314が現在使用しているポートを閉じて、緊急用のポートを開く(ステップS506)。その後、ポリシー制御機能313がセキュリティポリシー制御部302にポリシー変更確定通知を実施する(ステップS507)。
次に、図4におけるセキュリティポリシー制御部302の詳細な動作処理について図6を参照して説明する。
図6は、セキュリティポリシー制御部302の動作処理の流れを示すフローチャートである。
セキュリティポリシー制御部302は、ポリシー受信機能321がポリシー変更要求を受信し(ステップS601)し、ポリシー解析機能322が受信したポリシーの解析を行う(ステップS602)。ポリシー解析機能322は解析結果から処理を判断し(ステップS603)、ポリシー変更通知と判断したときは、受信したポリシーのポリシーデータベース331に登録されている再設定不可フラグ1003を確認する処理を行う(ステップS604)。その結果、再設定不可フラグ1003が「可能」となっている場合は、セキュリティポリシー制御部302は、上述した警告表示を行わずにステップS607のポリシー設定の変更を反映する。一方、再設定不可フラグ1003が「不可能」となっている場合は、利用者に再設定ができなくなるがこのまま変更を反映していいかどうかを確認するためにHTTPアクセス制御部301に警告表示を要求する(ステップS605)。このとき、図5には図示していないが、HTTPアクセス制御部301では、ポリシー制御機能313が要求を受け、S4003のHTTPリクエストのレスポンスとしてアクセス不可警告画面を生成して返している。
ステップS603の判定結果がポリシー変更確定通知の場合、ポリシー設定機能323が図10に示すポリシーデータベース331における有効無効フラグ1004を有効に変更して、ポリシー設定の変更を反映する(ステップS607)。
次に、上述したセキュリティポリシーの設定変更によりHTTPアクセスの禁止が設定されたときにクライアントPC102と画像形成装置101間のアクセス動作について説明する。
図12は、セキュリティポリシーの再設定ができない状況でアクセスしたときのクライアントPC102と画像形成装置101間のアクセス動作を示すシーケンス図である。
クライアントPC102からブラウザを起動してURL欄に画像形成装置101のIPアドレスを入力すると、クライアントPC102から画像形成装置101に対してHTTPアクセス要求が行われる(S4001)。通常、ブラウザからIPアドレスを入力してアクセスする場合、80番ポートを使用してアクセスが行われる。HTTPアクセスが禁止されている場合、80番ポートが閉じているため、HTTPアクセス制御部301は、この要求を受信することができない。そのため、ブラウザがタイムアウトして、図13に示すように、アクセスできない旨のアクセス不可画面1300が表示される(S12001)。
図14は、セキュリティポリシーの再設定ができず、緊急用のポートを使用してアクセスするときのクライアントPC102と画像形成装置101間の動作を示すシーケンス図である。
クライアントPC102からブラウザを起動してURL欄に画像形成装置101のIPアドレスと緊急用のポート番号を入力すると、クライアントPC102から画像形成装置101に対してHTTPアクセス要求が行われる(S14001)。例えば、ここで画像形成装置101のIPアドレスが192.168.0.11、緊急用のポート番号が1234番ポートであれば、http://192.168.0.1:1234のようにポート番号を直接指定してアクセスを行う。このとき、表示される画面は、通常時は図7に示すログイン画面700を表示するが、緊急用のポートへのアクセス時はセキュリティポリシーの再設定のみを行わせるために、図15に示すセキュリティポリシーの設定用のログイン画面1500を表示する。ここで正しいパスワードが入力されると、図9に示すセキュリティポリシー設定画面900に遷移する。
セキュリティポリシーの再設定不可の状態を解除するためには、「HTTPアクセスを禁止」901を「無効」にしてOKボタン902を押下する。その結果、クライアントPC102から画像形成装置101にポリシー設定変更要求が行われる。このときのHTTPアクセス制御部301、セキュリティポリシー制御部302の処理に関しては通常時と同様であり、S4003のポリシー設定要求、S4004のポリシー変更通知も同様に行われる。
以上説明したように、本実施形態によれば、セキュリティポリシーの再設定ができなくなった場合であっても、予め設定された緊急用のポートへアクセスすることで、ネットワーク経由でのセキュリティポリシーの再設定が可能となる。
[第2の実施形態]
次に、本発明の第2の実施形態について説明する。
本第2の実施形態では、セキュリティポリシーの再設定ができなくなった場合に、外部のサーバーからセキュリティポリシーを取得するモードに自動的に切り替える点が上記第1の実施形態と異なる。セキュリティポリシーの設定変更時の処理は、上記第1の実施形態で説明した図4のS4001〜S4008と同じである。しかしながら、その際のHTTPアクセス制御部301とセキュリティポリシー制御部302の内部の動作に差異があるため、その点について説明を行う。
第1の実施形態では、図4のS4007でクライアントPC102から画像形成装置101にポリシー変更確定要求が送信されると、HTTPアクセス制御部301は、図5のステップS506で現在使用中のポートを閉じて、緊急用のポートを開いていた。第2の実施形態では、この処理は行わない。
図16は、本発明の第2の実施形態におけるセキュリティポリシー制御部302の動作処理の流れを示すフローチャートである。なお、図示の処理では、図6と同一のステップにはついては同じ符号を付して、それらの説明を省略する。
セキュリティポリシー制御部302は、図4のS4008でポリシー変更確定通知が行われたときに、サーバーから取得するモードに切り替える処理を行う(ステップS1601)。サーバーから取得するモードとは、上述したクライアントPCのブラウザ等から設定変更を受け付けるモードと異なり、ポリシーサーバー103に対して定期的にセキュリティポリシーの更新を要求するモードである。
HTTPアクセスを禁止する設定変更によりセキュリティポリシーが再設定できなくなる課題に対して、本実施形態では、ポリシーサーバー103に予めHTTPアクセス禁止を無効にしたセキュリティポリシーを保存しておく。そして、画像形成装置101からポリシーサーバー103への定期的なアクセスにより画像形成装置101のセキュリティポリシーが更新される。これにより、セキュリティポリシーの再設定が可能となる。なお、画像形成装置101からポリシーサーバー103へのアクセスは、予め設定された時間(時刻)に定期的に行われるようにすることが好ましいが、これに限定されるものではない。
ところで、画像形成装置101からポリシーサーバー103にアクセスしたときにポリシーサーバー103が稼働していない場合は、図18に示すセキュリティポリシー設定確認画面1800が表示される。セキュリティポリシー設定確認画面1800では、サーバーから取得するモードに切り替えてもポリシーサーバー103との通信が確認できない場合は処理を継続していいかどうかをユーザに問い合わせる内容になっている。これらの再警告処理は、図4のS4005〜S4007の処理と同じである。
また、オペレーションパネル212からセキュリティポリシーの設定を変更することも可能である。例えば、図10に示すポリシーデータベース331のように、再設定不可フラグ1003がHTTPアクセス禁止のみである場合に、HTTPアクセス禁止を無効にすることで再設定可能にすることができる。このとき、動作モードはサーバーから取得するモードではなく、外部から設定の変更を受け付けるモードに切り替わる。
図17は、サーバーから取得するモードにおけるセキュリティポリシー設定時のクライアントPC102、画像形成装置101、ポリシーサーバー103間のアクセス動作を示すシーケンス図である。
ポリシーの再設定ができなくなった場合に、クライアントPC102からポリシーサーバー103に対して再設定したいポリシーファイルが送信される(S17000)。ポリシーファイルとは、セキュリティポリシーの設定をファイルにしたものでポリシーデータベース331の構成である図10と同等の設定値を持つ。ポリシーファイルの設定値であるID1001、ポリシー名称1002、再設定不可フラグ1003の値は予め決められており変更することはできない。変更可能な設定値は、有効無効フラグ1004の値である。例えば、ポリシー情報1005の「HTTPアクセスを禁止」が有効で再設定が不可能となっている場合は、「HTTPアクセスを禁止」を無効にしたポリシーファイルをポリシーサーバー103に送信しておくことで再設定不可能な状態を解除することができる。
ポリシーファイルには、サーバーから取得する時間等を設定することが可能である。画像形成装置101がポリシーサーバー103からポリシーファイルを取得する時間を、例えば深夜0時とポリシーファイルに設定しておくと、このポリシーファイルを取得した画像形成装置101がポリシーサーバー103へのアクセス時間を変更する。
セキュリティポリシー制御部302は、予め決められた時間になると、セキュリティポリシーを更新するために、ポリシー設定変更要求をHTTPアクセス制御部301に送信する(S17001)。
HTTPアクセス制御部301は、ポリシー設定変更要求を受信すると、ポリシーサーバー103に対してポリシー取得要求を行う(S17002)。
ポリシーサーバー103は、HTTPアクセス制御部301からポリシー取得要求を受けると、画像形成装置101に該当するポリシーファイルを探索し、該当するポリシーファイルを配信する(S17003)。
HTTPアクセス制御部301は、ポリシーサーバー103からポリシーファイルを受け取ると、セキュリティポリシー制御部302にポリシー設定要求を行う(S17004)。
セキュリティポリシー制御部302は、HTTPアクセス制御部301から設定要求を受けると、当該ポリシーファイルの設定に従ってセキュリティポリシーの変更を反映する。
以上説明したように、本実施形態によれば、ポリシーサーバー103にセキュリティポリシーの再設定が可能なセキュリティポリシーのポリシーファイルを予め保存しておく。そして、画像形成装置101のセキュリティポリシーの再設定ができなくなった場合にはサーバーから取得するモードに切り替える。そして、ポリシーサーバー103から取得した、再設定が可能なセキュリティポリシーにより画像形成装置101のセキュリティポリシーを更新する。これにより、ネットワーク経由でのセキュリティポリシーの再設定が可能となる。
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワークまたは各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(またはCPUやMPU等)がプログラムを読み出して実行する処理である。
101 画像形成装置
102 クライアントPC
103 ポリシーサーバー
201 CPU
301 HTTPアクセス制御部
302 セキュリティポリシー制御部
331 アクセス受信機能
313 ポリシー制御機能
314 ポート制御機能
331 ポリシーデータベース

Claims (9)

  1. 外部からアクセス要求を受信する受信手段と、
    前記受信手段で受信したアクセス要求を解析する第1の解析手段と、
    前記第1の解析手段により、前記アクセス要求が、再設定ができなくなるセキュリティポリシーの変更確定要求であると判断された場合、前記受信手段が現在使用している第1のポートとは異なる第2のポートを開く制御手段とを備えることを特徴とする画像形成装置。
  2. 前記再設定ができなくなるセキュリティポリシーは、少なくともHTTPアクセスを禁止するポリシーが含まれることを特徴とする請求項1に記載の画像形成装置。
  3. 前記受信手段が前記第2のポートを使用して、再設定が可能になるセキュリティポリシーを受信したときは、前記制御手段は、前記再設定ができなくなったセキュリティポリシーを、前記再設定が可能になるセキュリティポリシーに変更することを特徴とする請求項1または2に記載の画像形成装置。
  4. 外部からアクセス要求を受信する受信手段と、
    前記受信手段で受信したアクセス要求を解析する第1の解析手段と、
    前記第1の解析手段により、前記アクセス要求が、再設定ができなくなるセキュリティポリシーの変更確定要求であると判断された場合、再設定が可能になるセキュリティポリシーを外部から取得する制御手段とを備えることを特徴とする画像形成装置。
  5. 前記制御手段は、前記再設定が可能になるセキュリティポリシーが格納されたサーバーから定期的に取得して、前記再設定ができなくなったセキュリティポリシーを、前記再設定が可能になるセキュリティポリシーに変更することを特徴とする請求項4に記載の画像形成装置。
  6. 前記第1の解析手段により、前記アクセス要求がセキュリティポリシーの変更要求であると判断された場合、変更されるセキュリティポリシーを解析する第2の解析手段と、
    前記第2の解析手段により、前記変更されるセキュリティポリシーが、前記再設定ができなくなるセキュリティポリシーであると判断された場合、前記アクセス要求の要求元に対して警告を行う警告手段とをさらに備えることを特徴とする請求項1乃至5のいずれか1項に記載の画像形成装置。
  7. 外部からアクセス要求を受信する受信工程と、
    前記受信工程で受信したアクセス要求を解析する解析工程と、
    前記解析工程にて、前記アクセス要求が、再設定ができなくなるセキュリティポリシーの変更確定要求であると判断された場合、前記受信工程で現在使用しているポートとは異なるポートを開く制御工程とを備えることを特徴とする画像形成装置の制御方法。
  8. 外部からアクセス要求を受信する受信工程と、
    前記受信工程で受信したアクセス要求を解析する解析工程と、
    前記解析工程にて、前記アクセス要求が、再設定ができなくなるセキュリティポリシーの変更確定要求であると判断された場合、再設定が可能になるセキュリティポリシーを外部から取得する制御工程とを備えることを特徴とする画像形成装置の制御方法。
  9. 請求項7または8に記載の制御方法を画像形成装置に実行させるためのコンピュータに読み取り可能なプログラム。
JP2013217689A 2013-10-18 2013-10-18 画像形成装置及びその制御方法、並びにプログラム Expired - Fee Related JP6207340B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2013217689A JP6207340B2 (ja) 2013-10-18 2013-10-18 画像形成装置及びその制御方法、並びにプログラム
US14/511,565 US20150109629A1 (en) 2013-10-18 2014-10-10 Image forming apparatus capable of resetting security policy, method of controlling the same, and storage medium
CN201410549433.2A CN104580139B (zh) 2013-10-18 2014-10-16 能够重新设置安全策略的图像形成装置及其控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013217689A JP6207340B2 (ja) 2013-10-18 2013-10-18 画像形成装置及びその制御方法、並びにプログラム

Publications (2)

Publication Number Publication Date
JP2015079451A JP2015079451A (ja) 2015-04-23
JP6207340B2 true JP6207340B2 (ja) 2017-10-04

Family

ID=52825929

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013217689A Expired - Fee Related JP6207340B2 (ja) 2013-10-18 2013-10-18 画像形成装置及びその制御方法、並びにプログラム

Country Status (3)

Country Link
US (1) US20150109629A1 (ja)
JP (1) JP6207340B2 (ja)
CN (1) CN104580139B (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6555218B2 (ja) * 2016-09-21 2019-08-07 京セラドキュメントソリューションズ株式会社 情報処理システムおよび情報処理方法
JP2020154955A (ja) * 2019-03-22 2020-09-24 日本電気株式会社 情報処理システム、情報処理装置、情報処理方法、及びプログラム

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI111590B (fi) * 2001-04-20 2003-08-15 Swelcom Oy Menetelmä ja laite datan lokalisointia varten
US20030163692A1 (en) * 2002-01-31 2003-08-28 Brocade Communications Systems, Inc. Network security and applications to the fabric
US20030233463A1 (en) * 2002-06-14 2003-12-18 O'connor Neil Network device operation and control
JP3806105B2 (ja) * 2003-08-22 2006-08-09 株式会社東芝 通信装置、通信方法、および通信プログラム
JP2005250965A (ja) * 2004-03-05 2005-09-15 Fuji Xerox Co Ltd 情報処理装置
CA2535371C (en) * 2004-05-05 2011-11-01 Research In Motion Limited System and method for sending secure messages
US10015140B2 (en) * 2005-02-03 2018-07-03 International Business Machines Corporation Identifying additional firewall rules that may be needed
US7929517B2 (en) * 2005-04-01 2011-04-19 Cisco Technology, Inc. Voice over IP auto-switching/backup for emergency calls
JP2007011700A (ja) * 2005-06-30 2007-01-18 Brother Ind Ltd 情報処理装置、通信システム、管理装置、及び、プログラム
JP4705863B2 (ja) * 2006-03-07 2011-06-22 ソフトバンクBb株式会社 セッション制御システム、セッション制御方法及び移動端末装置
US7962567B1 (en) * 2006-06-27 2011-06-14 Emc Corporation Systems and methods for disabling an array port for an enterprise
JP2009033540A (ja) * 2007-07-27 2009-02-12 Canon Inc 通信装置
JP5051656B2 (ja) * 2008-06-05 2012-10-17 日本電気株式会社 通信制御システムおよび通信制御方法
JP2010253724A (ja) * 2009-04-22 2010-11-11 Canon Inc 画像形成装置
JP5503276B2 (ja) * 2009-11-18 2014-05-28 キヤノン株式会社 情報処理装置及びそのセキュリティ設定方法
JP2012118757A (ja) * 2010-12-01 2012-06-21 Buffalo Inc ネットワーク機器
JP5691607B2 (ja) * 2011-02-18 2015-04-01 日本電気株式会社 接続防止システム、不正接続検知装置、アクセス管理方法、プログラム
US20130124852A1 (en) * 2011-11-11 2013-05-16 Michael T. Kain File-based application programming interface providing ssh-secured communication

Also Published As

Publication number Publication date
CN104580139B (zh) 2018-10-30
CN104580139A (zh) 2015-04-29
US20150109629A1 (en) 2015-04-23
JP2015079451A (ja) 2015-04-23

Similar Documents

Publication Publication Date Title
KR101805820B1 (ko) 액세스 제공 메커니즘을 이용한 소셜 네트워크 시스템 및 그 작동 방법
US9071601B2 (en) Authority delegate system, server system in authority delegate system, and control method for controlling authority delegate system
JP5987656B2 (ja) 情報処理システム、情報処理装置、情報処理方法、及び情報処理プログラム
JP5797060B2 (ja) アクセス管理方法およびアクセス管理装置
US7865933B2 (en) Authentication agent apparatus, authentication method, and program product therefor
US9398084B2 (en) Information processing system
US9088566B2 (en) Information processing system, information processing device, and relay server
US9836254B2 (en) Image forming apparatus, control method therefor, and storage medium storing control program therefor
JP6184209B2 (ja) 管理装置、制御方法及びプログラム
JP2019040454A (ja) 機器システム、サーバ、データ処理方法
JP6160753B2 (ja) 情報処理システム、情報処理装置、情報処理方法、及び情報処理プログラム
JP2007304963A (ja) ネットワークプリンタおよびファイルサーバ
JP6207340B2 (ja) 画像形成装置及びその制御方法、並びにプログラム
US10560477B2 (en) Information processing system, control method therefor, image processing apparatus, control method therefor, and storage medium storing control program therefor
US9881181B2 (en) Device-installation-information distribution apparatus and system
JP6300896B2 (ja) 画像処理装置及びその制御方法、並びにプログラム
US10135869B2 (en) Information processing system, information processing apparatus, and method for controlling information processing system
JP6432268B2 (ja) 画像形成装置、画像形成システム、及びプログラム
JP2019152965A (ja) 情報処理装置およびプログラム
JP2014102595A (ja) 画像形成装置、アップロードプログラム及びアップロードシステム
JP2016139434A (ja) アクセス管理方法およびアクセス管理装置
JP2005190315A (ja) アカウント情報管理装置および方法
JP4602707B2 (ja) WWWサーバ機能を有する組み込み機器、ポート情報共有方法、ポート情報共有プログラム、および、Webシステム
JP2021068126A (ja) 文書管理システム
JP2014179048A (ja) サービス提供システム、サービス提供方法およびサービス提供プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20161017

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170719

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170808

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170905

R151 Written notification of patent or utility model registration

Ref document number: 6207340

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

LAPS Cancellation because of no payment of annual fees