JP6228350B2 - セキュリティ管理システム、およびセキュリティ管理方法 - Google Patents

セキュリティ管理システム、およびセキュリティ管理方法 Download PDF

Info

Publication number
JP6228350B2
JP6228350B2 JP2017515254A JP2017515254A JP6228350B2 JP 6228350 B2 JP6228350 B2 JP 6228350B2 JP 2017515254 A JP2017515254 A JP 2017515254A JP 2017515254 A JP2017515254 A JP 2017515254A JP 6228350 B2 JP6228350 B2 JP 6228350B2
Authority
JP
Japan
Prior art keywords
information
user
management server
terminal
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017515254A
Other languages
English (en)
Other versions
JPWO2017077639A1 (ja
Inventor
融 大久保
融 大久保
忠浩 今城
忠浩 今城
賢二郎 寺西
賢二郎 寺西
尚祐 小山
尚祐 小山
文晃 飯樋
文晃 飯樋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NATURE CORPORATION
Base Technology Inc
Original Assignee
NATURE CORPORATION
Base Technology Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NATURE CORPORATION, Base Technology Inc filed Critical NATURE CORPORATION
Publication of JPWO2017077639A1 publication Critical patent/JPWO2017077639A1/ja
Application granted granted Critical
Publication of JP6228350B2 publication Critical patent/JP6228350B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Time Recorders, Dirve Recorders, Access Control (AREA)

Description

本発明は、セキュリティ管理システム、セキュリティ管理方法、及びセキュリティ管理プログラムに関する。
企業機密や個人情報の流出は、企業の活動や信用に重大な影響を与えることになる。そのため、企業はセキュリティ管理を厳格化している傾向にある。セキュリティ管理の施策としては、例えば、オフィスへの人の入退室の管理や、情報機器の使用に際して利用者の認証、対象物の施錠等があげられる。
例えば、特許文献1には、入退室管理システムと、電子機器の利用許可の判断を連携させて、入室許可がないと判断された人には電子機器の利用を拒否する電子機器管理システムが開示されている。
また、特許文献2には、オフィスに設置されたキャビネットや机を開閉する手動式鍵の使用状態を検知して、その状態をPC(パーソナルコンピュータ)等の管理装置で管理する鍵と可動体の管理システムが開示されている。さらに、電気錠を使用して入退室管理システムと組み合わせることで、退室時に施錠されていない場合には、その旨を入退室用リーダに設けた表示手段が文字や音声で知らせる旨が開示されている。
特開2002−41469号公報 特開2009−185451号公報
特許文献1に記載の電子機器管理システムでは、正規の入室者が電子機器のログイン条件を満たせば当該電子機器の利用を可能とする、いわゆる利用者個人の認証である。したがって、例えば、利用者の使用を可能とする電子機器の種類やその電子機器を使用して接続する接続先のネットワーク機器によっていずれの機器を使用可能とするかについて配慮がなされていない。
また、特許文献2には、鍵の管理システムと入退室管理システムとの組合せにおいて、入退室用リーダに設けた表示手段が文字や音声で知らせる旨が記載されているだけで、具体的な構成が示されていない。
また、最近では、入退室管理システムで入室が許可された部外者が、自分の携帯端末をオフィス等のセキュリティを必要とするセキュリティエリアに持参してミーティング等を行う場合がある。特許文献1ではそのような事態にどのように対処するかについて何ら記載されていない。
本発明は、上記に鑑みてなされたものであって、その第1の目的は、セキュリティエリアに出入りする人を管理すると共に、使用する情報機器とその使用者を管理することにある。
また、第2の目的は、セキュリティエリアに出入りする人を管理すると共に、セキュリティエリアに出入りするための鍵を適正に管理することにある。
上記課題を解決するために、本発明にかかるセキュリティ制御システムは、セキュリティエリアへの入退室を管理する入退管理サーバと、ユーザが使用する情報処理端末を管理する端末管理サーバと、前記情報処理端末からネットワークを介したシステムリソースへのアクセスを管理するネットワーク管理サーバとを有したセキュリティ管理システムであって、前記入退管理サーバは、ユーザを識別するためにあらかじめ登録された登録ユーザ情報を記憶する記憶部と、前記セキュリティエリアごとに設けられたリーダが読み取ったユーザを識別するためのユーザ情報と前記登録ユーザ情報とに基づいて、ユーザの前記セキュリティエリアへの入室を認証し、前記認証によりユーザの前記セキュリティエリアへの入室の可否を判定する入退認証部と、を備え、前記入退認証部は、前記セキュリティエリアへの入室を可と判定した場合、前記ユーザ情報を含む前記ユーザが前記情報処理端末を使用するアカウントを有効にするための利用可能要求と前記セキュリティエリアの識別情報とを前記端末管理サーバに送信し、前記端末管理サーバは、前記入退管理サーバから受信した前記利用可能要求と、あらかじめ記憶部に記憶されている前記ユーザ情報と前記情報処理端末の識別情報と前記アカウントの利用可否とを対応付けたユーザ認証情報とに基づいて、前記利用可能要求に含まれる前記アカウントを有効にするユーザ認証部と、情報処理端末から受信したユーザを認証するための認証情報と、前記ユーザ認証情報とに基づいて、前記アカウントが有効にされた情報処理端末から前記認証情報を受信したか否かを判定し、前記ネットワーク管理サーバから受信したユーザ情報および前記入退管理サーバから受信した前記利用可能要求に含まれる前記セキュリティエリアの識別情報と、あらかじめ記憶部に記憶されている前記ユーザ情報ごと前記セキュリティエリアごとにユーザによるアクセスが可能なシステムリソースのパターンを定めたポリシー情報とに基づいて、前記セキュリティエリアにいる前記ユーザによるアクセスが可能なシステムリソースを確認し、その確認結果を前記ネットワーク管理サーバに送信する端末認証部と、を備え、前記ネットワーク管理サーバは、前記アカウントが有効にされた情報処理端末から受信した前記ユーザ情報を含むネットワークへの接続設定を確認するための確認要求を前記端末管理サーバに送信するネットワーク認証部を有し、前記ネットワーク認証部は、前記端末管理サーバから受信した前記確認結果に基づいて、アクセスが可能であることが確認されたシステムリソースにアクセスするために必要な設定情報を生成し、生成した設定情報にしたがってネットワークまたはシステムリソースを設定するネットワーク認証部と、
を備えることを特徴とするセキュリティ管理システムとして構成される。
また、本発明は、上記セキュリティ制御システムで用いられるセキュリティ管理方法、及びセキュリティ管理プログラムとしても把握される。
本発明によれば、セキュリティエリアに出入りする人を管理すると共に、使用する情報機器とその使用者を管理することができる。また、セキュリティエリアに出入りする人を管理すると共に、セキュリティエリアに出入りするための鍵を適正に管理することができる。
本発明にかかるセキュリティ管理システム、その方法、及びそのプログラムを第1の実施の形態に適用したセキュリティ管理システムの構成例を示す図である。 入退ログ情報の例を示す図である。 ユーザ認証情報の例を示す図である。 ユーザ状態情報の例を示す図である。 ポリシー情報の例を示す図である。 ネットワーク接続情報の例を示す図である。 第1の実施の形態におけるセキュリティ制御処理の処理手順を示すシーケンス図である。 本発明にかかるセキュリティ管理システム、その方法、及びそのプログラムを第2の実施の形態に適用したセキュリティ管理システムの構成例を示す図である。 鍵管理情報の例を示す図である。 第2の実施の形態におけるセキュリティ制御処理の処理手順を示すシーケンス図である。 第2の実施の形態におけるセキュリティ制御処理の処理手順を示すシーケンス図である。 本発明にかかるセキュリティ管理システム、その方法、及びそのプログラムを第3の実施の形態に適用したセキュリティ管理システムの構成例を示す図である。 部屋管理情報の例を示す図である。 第3の実施の形態におけるセキュリティ制御処理の処理手順を示すシーケンス図である。 第3の実施の形態におけるセキュリティ制御処理の処理手順を示すシーケンス図である。 ポリシー情報とユーザまたはメンバの状態の関係を示す図である。 ユーザ状態情報と鍵管理の状態との関係を示す図である。 鍵管理状態を含むユーザ状態情報の例を示す図である。
以下に添付図面を参照して、本発明にかかるセキュリティ管理システム、その方法、及びそのプログラムの実施の形態を詳細に説明する。
(第1の実施の形態)
図1は、本発明にかかるセキュリティ管理システム、その方法、及びそのプログラムを第1の実施の形態に適用したセキュリティ管理システム1000の構成例を示す図である。本システムは、ビルや家屋等の建物、あるいは建物内の居室や廊下等のエリアを含む、セキュリティ対象となるエリア(以下、セキュリティエリア)に対するセキュリティを管理するシステムである。以下では、ビル等の建物や会議室等の居室に出入りする場合について説明しているが、上記のとおり様々なセキュリティエリアに適用することができる。
図1に示すように、セキュリティ管理システム1000は、入退管理サーバ100と、端末管理サーバ200と、ネットワーク管理サーバ300と、複数の情報処理端末400とがネットワークN1を介して接続されている。ネットワークN1は、社内LAN(Local Area Network)、WAN(Wide Area Network)等の一般的な通信回線網であり、後述するように、複数のVLAN(Virtual LAN)を構成している。以下では、入退管理サーバ100と端末管理サーバ200とネットワーク管理サーバ300とが、物理的に別個の筐体である前提で説明しているが、これらが1つまたは複数のサーバで構成されていてもよい。
入退管理サーバ100は、セキュリティエリアへの出入りを管理するサーバである。入退管理サーバ100は、物理的には一般的なサーバから構成される。
図1に示すように、入退管理サーバ100は、記憶部101と、入退認証部102と、通信部103と、制御部104とを有して構成されている。また、入退管理サーバ100は、ネットワークN2を介してリーダ500に接続されている。ネットワークN2は、一般的なネットワークであり、リーダ500と入退管理サーバ100との間の通信を媒介する。ネットワークN1とネットワークN2とを一つのネットワークにより構成してもよい。
リーダ500は、セキュリティエリアとして定められている場所ごとに、例えば、その出入り口付近に設置される。リーダ500は、ユーザがその場所に出入りする際に社員証等のユーザの身分証明証としての役割を果たす情報記録媒体(例えば、ICカード)に記録された識別情報(例えば、ユーザID等のユーザ情報)を読み取る装置である。リーダ500は、ユーザがICカードをリーダ500に近接または接触させると、そのICカードに記録されているユーザIDを読み取る。以下では、リーダ500がICカードを読み取ってユーザを認証する場合の例を示しているが、指紋、静脈、虹彩等の生体認証によりユーザを認証してもよい。
記憶部101は、HDD(Hard Disk Drive)等の一般的な記憶装置から構成され、ユーザごとおよびセキュリティエリアとして定められている場所ごとに、出入りの履歴を示す入退ログ情報1011を記憶する。以下では特に示していないが、記憶部101には、ユーザを認証するための識別情報であるユーザID等の登録ユーザ情報があらかじめ登録されているものとする。
図2は、入退ログ情報1011の例を示す図である。図2に示すように、入退ログ情報1011は、ユーザを識別するためのユーザIDと、そのユーザがセキュリティエリアとして定められている場所に入った日時を示す入り日時と、その場所から出た日時を示す出日時と、そのような出入りをした場所とが対応付けて記憶されている。
図2では、例えば、ユーザIDがA0001、C0001で識別されるユーザは、セキュリティエリアとして定められている場所の一つである会議室1に、それぞれ2015年10月2日の午前8時30分、午前8時10分に入り、現在も会議室1から出ていないことを示している。また、ユーザIDがB0001で識別されるユーザは、セキュリティエリアとして定められている場所の一つである事務室1に2015年10月2日の午前8時50分に入り、同日の午前10時50分に出たことを示している。
続いて、図1に戻り、入退認証部102について説明する。入退認証部102は、ユーザがセキュリティエリアとして定められている場所に入る際に、記憶部101にあらかじめ登録されているユーザIDと、リーダ500が読み取ったユーザIDとを照合することにより、そのユーザが正当なユーザであるか否かを認証する処理部である。通信部103は、ネットワークN1やネットワークN2を介した各種情報の送受信を司る処理部である。制御部104は、入退管理サーバ100を構成する各部を制御する処理部である。入退管理サーバ100が有する各部の具体的な動作については、シーケンス図を用いて後述する。続いて、端末管理サーバ200について説明する。
端末管理サーバ200は、情報処理端末400を管理するサーバである。端末管理サーバ200は、入退管理サーバ100と同様、物理的には一般的なサーバから構成される。
図1に示すように、端末管理サーバ200は、記憶部201と、ユーザ認証部202と、端末認証部203と、通信部204と、制御部205とを有して構成されている。
記憶部201は、HDD等の一般的な記憶装置から構成され、ユーザ認証情報2011と、ユーザ状態情報2012と、ポリシー情報2013とを記憶する。これらの情報は、あらかじめ記憶部201に記憶されている。
ユーザ認証情報2011は、ユーザが使用するアカウントや情報処理端末500を認証するための情報である。
図3は、ユーザ認証情報2011の例を示す図である。図3に示すように、ユーザ認証情報2011は、上記ユーザIDと、情報処理端末400を識別するための端末IDと、その端末を利用するための認証情報と、そのユーザがアカウントを有効にして利用が可能か否かを示すアカウント利用可否とが対応付けて記憶されている。なお、認証情報とは、例えば、パスワードである。
図3では、例えば、ユーザIDがA0001で識別されるユーザが使用する情報処理端末400はPC001−01で識別される端末であり、その端末を利用するために使用する認証情報は、289・・・(以下省略)であることを示している。すなわち、A0001で識別されるユーザは、あらかじめ登録されているPC001−01で識別される端末を操作してシステムにログインし、そのときの認証情報は上記の値でなければならないことを示している。
また、図3では、アカウント利用可否として、A0001で識別されるユーザのアカウントが利用可能であることを示している。アカウント利用可否の状態は、入退管理サーバ100から利用可能要求を受信した場合に「可」となり、入退管理サーバ100から利用停止要求を受信した場合に「否」となる。利用可能要求、利用停止要求については後述する。
ユーザ状態情報2012は、ユーザごとセキュリティエリアとして定められている場所ごとにアクセス可能なリソースのパターンを決定するための情報である。
図4は、ユーザ状態情報2012の例を示す図である。図4に示すように、ユーザ状態情報2012は、上記ユーザIDと、上記場所に応じてアクセスが可能なシステムリソースのパターンを決定するためのユーザの状態を識別する状態IDと、上記場所とが対応付けて記憶されている。以下、単にシステムリソースといった場合には、広く、LANやWANを含むネットワークへの接続、ネットワークを介したファイルサーバや基幹システム等の各種システムへのアクセスを含むものとする。以下では、一例として、VLAN1にアクセスした場合にはLANへの接続が可能となり、VLAN2にアクセスした場合にはWANへの接続が可能となり、VLAN3にアクセスした場合にはファイルサーバへの接続が可能となり、VLAN4にアクセスした場合には基幹システムへの接続が可能な例を示している。
図4では、例えば、ユーザIDがA0001であるユーザは、会議室1に入室して情報処理端末400を使用する場合には、状態IDがSTS003で識別されるポリシーで定められたシステムリソースにアクセスすることが可能であることを示している。また、ユーザIDがB0001であるユーザは、会議室1に入室して情報処理端末400を使用する場合には、状態IDがSTS002で識別されるポリシーで定められたシステムリソースにアクセスすることが可能であることを示している。さらに、A0001のユーザは、会議室2に入室して情報処理端末400を使用する場合には、状態IDがSTS010で識別されるポリシーで定められたシステムリソースにアクセスすることが可能であることを示している。
すなわち、同じ場所に入って情報処理端末400を使用する場合であっても、ユーザIDが異なれば、アクセス可能なシステムリソースも異なる。さらに、同じユーザであっても、情報処理端末400を使用する場所が異なる場合には、アクセス可能なシステムリソースも異なる。上記ポリシーについては後述する。なお、以下では、ユーザIDごとにアクセス可能なシステムリソースを定めているが、さらに役職ごとあるいは部課ごとにこれらの情報を定めてもよい。この場合、より細やかにアクセス可能なシステムリソースを定めることができる。
ポリシー情報2013は、上記状態IDごとにアクセス可能なシステムリソースのパターンを定めた情報である。
図5は、ポリシー情報2013の例を示す図である。図5に示すように、ポリシー情報2013は、上記状態IDと、その状態でのシステムリソースのアクセス先と、そのアクセス先に対するアクセスの可否を示す許可とが対応付けて記憶されている。図5では、例えば、状態IDがSTS001である場合には、VLAN1を経由したLAN接続およびVLAN2を経由したWAN接続が可能であるとともに、VLAN3を経由したファイルサーバおよびVLAN4を経由した基幹システムへのアクセスが可能であることを示している。同様に、状態IDがSTS002である場合には、上記LAN接続および上記WAN接続が可能であり、上記ファイルサーバへのアクセスは可能であるものの、上記基幹システムへのアクセスは制限されていることがわかる。
続いて、図1に戻り、ユーザ認証部202について説明する。ユーザ認証部202は、ユーザを認証する処理部である。端末認証部203は、情報処理端末400を認証する処理部である。通信部204は、ネットワークを介した各種情報の送受信を司る処理部である。制御部205は、端末管理サーバ200を構成する各部を制御する処理部である。端末管理サーバ200が有する各部の具体的な動作については、シーケンス図を用いて後述する。続いて、図1に戻り、ネットワーク管理サーバ300について説明する。
ネットワーク管理サーバ300は、ネットワークやネットワークを介したシステムリソースへのアクセスを管理するサーバである。図1に示すように、ネットワーク管理サーバ300は、入退管理サーバ100等と同様、物理的には一般的なサーバから構成される。
図1に示すように、ネットワーク管理サーバ300は、記憶部301と、ネットワーク認証部302と、通信部303と、制御部304とを有して構成されている。
記憶部301は、HDD等の一般的な記憶装置から構成され、ネットワーク接続情報3011を記憶する。
ネットワーク接続情報3011は、ネットワークへの接続が許可された端末に関する設定情報である。
図6は、ネットワーク接続情報3011の例を示す図である。図6に示すように、ネットワーク接続情報3011は、上記ユーザIDと、上記端末IDと、システムリソースにアクセスするための設定情報とが対応付けて記憶されている。図6では、例えば、ユーザIDがA0001であるユーザが使用する端末IDがPC001−01の情報処理端末400は、ネットワークへの接続が可能であることを示している。また、その設定情報は、VLAN1〜4を経由した、O(LAN接続設定)、P(WAN接続設定)、Q(ファイルサーバ設定)、R(基幹システム設定)であることを示している。同様に、ユーザIDがB0001であるユーザが使用する端末IDがPC001−02の情報処理端末400は、ネットワークへの接続が可能であることを示している。また、その設定情報は、VLAN1〜3を経由した、OPQであり、Rは設定されず利用できないことを示している。
続いて、図1に戻り、ネットワーク認証部302について説明する。ネットワーク認証部302は、ネットワークへの接続や、ネットワークを介した各種システムへのアクセスのための接続設定をする処理部である。通信部303は、ネットワークN1を介した各種情報の送受信を司る処理部である。制御部304は、ネットワーク管理サーバ300を構成する各部を制御する処理部である。ネットワーク管理サーバ300が有する各部の具体的な動作については、シーケンス図を用いて後述する。
続いて、図1に戻り、情報処理端末400について説明する。情報処理端末400は、ユーザが使用する端末である。情報処理端末400は、物理的には一般的なPC(Personal Computer)等のコンピュータから構成される。
図1に示すように、情報処理端末400は、記憶部401と、表示部402と、入力部403と、入出力処理部404と、通信部405と、制御部406とを有して構成されている。
記憶部401は、HDD等の一般的な記憶装置から構成され、図3に示した端末IDを含む各種情報を記憶する。繰り返しユーザIDや認証情報の入力を避ける場合には、必要に応じてユーザIDや認証情報を記憶してもよい。これらの情報については図3と同様であるため、ここではその説明を省略する。
表示部402は、LCD(Liquid Crystal Display)等の一般的なディスプレイ装置であり、入力部403から入力された情報、端末管理サーバ200やネットワーク管理サーバ300から受信した情報等、各種情報を表示する。入力部403は、キーボード等の一般的な入力装置であり、ユーザから、ユーザIDや認証情報を含む各種情報の入力を受け付ける。
入出力処理部404は、入力部403が受け付けた情報、表示部402に出力する情報、ネットワークに送信またはネットワークから受信する各種情報を処理する処理部である。通信部405は、ネットワークN1を介した各種情報の送受信を司る処理部である。制御部406は、情報処理端末400を構成する各部を制御する処理部である。情報処理端末400が有する各部の具体的な動作については、シーケンス図を用いて後述する。続いて、本システムで行われるセキュリティ制御処理について説明する。セキュリティ制御処理は、あらかじめ定められたポリシー情報によりユーザごと場所ごとに利用可能なシステムリソースを判断し、ユーザに利用させる処理である。
図7は、第1の実施の形態におけるセキュリティ制御処理の処理手順を示すシーケンス図である。図7に示すように、セキュリティ制御処理では、まず、リーダ500が、ユーザによって近接または接触されたICカードに記録されているユーザIDを読み取り(S701)、読み取ったユーザID、入り日時、そのリーダ500が設置されているセキュリティエリアとして定められている場所を示す情報(あるいはその場所を識別するための場所ID。)を含む読み取り情報を入退管理サーバ100に送信する(S702)。
入退管理サーバ100では、入退認証部102が、リーダ500から受信した読み取り情報に含まれるユーザIDが、記憶部101にあらかじめ登録されているユーザIDと一致するか否かを判定することによりそのユーザIDのユーザを認証し、上記ユーザIDと入り日時と場所とを図2に示した入退ログ情報1011に記録する(S703)。入退認証部102がS703での認証結果をリーダ500に送信すると(S704)、リーダ500は、自装置に設けられたパネル等の表示部(不図示)に、その認証結果を表示する(S705)。入退認証部102は、S703において両者が一致したと判定した場合、そのユーザは正当なユーザであると判断し、場所及びユーザIDを含むそのユーザのアカウントについての利用可能要求を端末管理サーバ200に送信する(S706)。利用可能要求とは、そのユーザのアカウントを利用可能にする要求のことである。
端末管理サーバ200のユーザ認証部202は、入退管理サーバ100から利用可能要求を受信すると、図3に示したユーザ認証テーブル2011にアクセスし、その利用可能要求に含まれるユーザIDに対応するアカウント利用可否を「可」に設定する(S707)。この処理が終了すると、ユーザが認証され、そのユーザのアカウントが有効になる。
情報処理端末400では、入力部403が、ユーザからユーザIDや認証情報等のログイン操作の入力を受け付け(S708)、入出力処理部404は、入力部403が受け付けたユーザIDや認証情報を端末管理サーバ200に送信する(S709)。
端末管理サーバ200の端末認証部203は、情報処理端末400から受信したユーザIDおよび認証情報が、図3に示したユーザ認証情報2011に記憶されているアカウントの利用が「可」に設定されたユーザのユーザIDおよび認証情報であるか否かを判定し、そのユーザに対応する端末IDの端末の使用を許可するための認証をする(S710)。例えば、端末認証部203は、情報処理端末400から受信したユーザIDおよび認証情報が、ユーザ認証情報2011に記憶されているアカウント利用可否が「可」に設定されたユーザIDおよび認証情報であると判定した場合、端末認証部203は、正規のユーザがあらかじめ登録された端末から操作されたものであると判断し、そのユーザによるその端末の使用を許可する認証をする。
端末認証部203は、上記認証をすると、その認証結果を情報処理端末400に送信する(S711)。情報処理端末400の入出力処理部404は、上記認証結果を表示部403に表示する(S712)。認証結果は、例えば、認証OK、認証NG等の、認証の可否を示すメッセージ、端末IDを含む。
入出力処理部404は、認証結果が認証OKであり正しく認証されものであると判定した場合、ユーザIDおよび端末IDを含むネットワーク接続設定要求をネットワーク管理サーバ300に送信する(S713)。ネットワーク接続設定要求は、そのユーザIDのユーザがその端末IDの情報処理端末400をそのユーザがいる場所で使用するためのネットワークへの接続設定要求である。
ネットワーク管理サーバ300のネットワーク認証部302は、情報処理端末400から受信したネットワーク接続設定要求に含まれるユーザIDおよび端末IDを、図6に示したネットワーク接続情報3011に登録し(S714)、そのユーザIDのユーザがその端末IDの情報処理端末400をそのユーザがいる場所で使用した場合におけるネットワークへの接続設定を確認するために、端末管理サーバ200に対してネットワーク接続設定確認要求を送信する(S715)。
端末管理サーバ200の端末認証部203は、ネットワーク管理サーバ300から受信したネットワーク接続設定確認要求に含まれるユーザIDと、S706で入退管理サーバ100から受信した場所と、図4に示したユーザ状態情報2012とを参照して状態IDを決定し、決定した状態IDをキーにして参照したポリシー情報2013に含まれるアクセス先として許可されているか否かを読み取り、その確認をする(S716)。例えば、端末認証部203は、その状態IDに対応するポリシー情報2013のアクセス先が、WAN、LAN、ファイルサーバが許可されていると判定した場合、VLAN1〜3を経由してこれらのシステムリソースへのアクセスが可能であることを確認する。端末認証部203は、上記確認をすると、その確認結果をネットワーク管理サーバ300に送信する(S717)。
ネットワーク認証部302は、端末管理サーバ200から受信した確認結果にしたがって、アクセスが可能であることが確認されたシステムリソースにアクセスするために必要な設定情報を生成し、S714で登録したユーザIDおよび端末IDに対応する設定情報としてネットワーク接続情報3011に登録し、その設定情報にしたがって各種設定(例えば、VLAN1〜3を経由するためのポートの割り当て、パスの設定等)を書き込み、または既に設定情報が書き込まれている場合には新たな設定情報に書き換えをする(S718)。ネットワーク認証部302は、これらの設定が完了すると、ネットワーク認証された旨を含む認証結果を情報処理端末400に送信する(S719)。その後、情報処理装置400の入出力処理部404は、ユーザからの指示に従って、設定されたシステムリソースにアクセスするためのアクセス要求を、ネットワーク管理サーバ300に送信する(S720)。
ネットワーク管理サーバ300のネットワーク認証部302は、情報処理端末400からアクセス要求を受信すると、S718で書き込みまたは書き換えた設定情報を参照し、その設定情報で許可されているシステムリソースにアクセスする(S721)。この処理が終了すると、上記セキュリティエリアとして定められている場所に入ったユーザは、あらかじめ登録されている自身の情報処理端末400を使用して、ポリシーとしてその場所でアクセスが許可されていると定められたシステムリソースのみを使用することができるようになる。
続いて、ユーザが入室した場所から退室する際のシーケンスについて説明する。入室時の場合と同様に、リーダ500は、ユーザによって近接または接触されたICカードに記録されているユーザIDを読み取り(S722)、読み取ったユーザID、入り日時、そのリーダ500が設置されている場所を含む読み取り情報を入退管理サーバ100に送信する(S723)。入退管理サーバ100の入退認証部102は、リーダ500から受信したユーザIDが、入退ログ情報1011に記録されたユーザであるか否かを判定することによりそのユーザIDのユーザを認証し、そのユーザIDに対応する出日時を入退ログ情報1011に記録し(S724)、入退認証部102は、その認証結果をリーダ500に送信する(S725)。
リーダ500は、入退管理サーバ100から受信した認証結果を、自装置に設けられたパネル等の表示部(不図示)に表示する(S726)。入退認証部102は、S723の処理が終了すると、上記ユーザが退室したと判断し、そのユーザのアカウントについての利用停止要求を端末管理サーバ200に送信する(S727)。利用停止要求とは、そのユーザのアカウントを利用停止にする要求のことである。
端末管理サーバ200のユーザ認証部202は、入退管理サーバ100から利用停止要求を受信すると、図3に示したユーザ認証テーブル2011にアクセスし、その利用停止要求に含まれるユーザIDに対応するアカウント利用可否を「否」に設定する(S728)。端末認証部203は、S710と同様の処理を実行してそのユーザを再認証し、そのユーザが認証できないことを確認すると(S729)、認証結果がNGであり正しく認証されないため、このユーザのネットワーク接続設定を解除するための設定解除要求をネットワーク管理サーバ300に送信する(S730)。
ネットワーク管理サーバ300のネットワーク認証部302は、端末管理サーバ200から受信した設定解除要求に含まれるユーザIDをキーにして、そのユーザIDに対応する図6に示したネットワーク接続情報3011の設定情報の設定をクリアし(S731)、その解除結果を端末管理サーバ200に送信する(S732)。
端末管理サーバ200の端末認証部203は、S710で認証した端末IDで識別される情報処理端末400に対して、ネットワーク管理サーバ300から受信した解除結果とS728での再認証結果とにより、アカウントが停止された旨およびネットワークへの接続やネットワークを介したシステムリソースへのアクセスが制限された旨を含む認証結果を送信する(S734)。これらの情報が情報処理端末400に送信されると、その情報処理端末400は、スタンドアロン環境でしか情報処理端末400を操作することができなくなり、これ以降の不正な接続やアクセスを未然に防ぐことができる。
S732の処理が終了すると、情報処理端末400が別のユーザから不正なログイン操作の入力を受け付け(S733)、入出力処理部404がユーザID、認証情報を送信した場合であっても、上記のとおりアカウント利用可否に「否」が設定されているため、その後、端末認証部203が、S710と同様の処理を実行しても、そのユーザによるその端末の使用を許可する認証をすることはなく(S735)、端末認証されない旨を含む認証結果が情報処理端末400に送信される(S736)。したがって、点線で示したように、その情報処理端末400からネットワークへの接続やネットワークを介したシステムリソースへのアクセスが許容されることはない。すなわち、スタンドアロン環境でしか情報処理端末400を操作することができないため、不正な接続やアクセスを未然に防ぐことができる。
ユーザIDや認証情報が漏えいした場合、そのユーザIDに対応する情報処理端末400から、不正にログインしてなりすまされてしまうことがある。しかし、本実施の形態では、ユーザ認証部202が、正常に上記セキュリティエリアとして定められている場所に入ったユーザのアカウントのみ利用可能としたうえで、さらに端末認証部203が、その場所でそのユーザに許可されているシステムリソースに対してのみ利用可能とする。したがって、正常に認証されたユーザが入っていない場所(ポリシーとして設定されていない場所)からのなりすましによる不正アクセスを防止することができる。また、その場所から出た後は、端末管理サーバ200からネットワーク管理サーバ300に対して設定解除要求をしてその設定をクリアすることで、そのユーザが使用する情報処理端末400からの通信を遮断することができる。さらに、端末管理サーバ200が保持するポリシー情報に示された設定情報を保持しておき、ネットワーク管理サーバ300がその設定情報を確認したうえで、その設定情報で許可されているシステムリソースにアクセスするための設定をするので、端末管理サーバ200とネットワーク管理サーバ300とが実行する処理を適切に切り分けて連携させつつ、ユーザからのアクセスを制御することができる。
(第2の実施の形態)
第1の実施の形態では、ユーザ認証部が正常なユーザのアカウントのみ利用可能とし、さらに端末認証部がセキュリティエリアとして定められている場所でそのユーザが使用する情報処理端末からシステムリソースへの接続やアクセスのみを可能としたが、その場所への出入りは鍵を使用することもある。そこで、以下では、ユーザ認証や端末認証と鍵認証とを連携させた例について説明する。
図8は、本発明にかかるセキュリティ管理システム、その方法、及びそのプログラムを第2の実施の形態に適用したセキュリティ管理システム2000の構成例を示す図である。以下では、第1の実施の形態と同一の構成要素には同一の符号を付してその説明を省略しているが、第1の実施の形態におけるセキュリティ管理システム1000に対して、さらに、鍵管理サーバ800を有している。
鍵管理サーバ800は、セキュリティエリアとして定められている場所に出入りするための鍵を管理するサーバである。鍵管理サーバ800は、入退管理サーバ100等と同様、物理的には一般的なサーバから構成される。
図8に示すように、鍵管理サーバ800は、鍵保管部801と、リーダ部802と、記憶部803と、登録処理部804と、貸出処理部805と、通信部806と、制御部807とを有して構成されている。なお、以下では、鍵管理サーバ800が鍵保管部801とリーダ部802とを有した構成としているが、これらの機能を有した別の装置を設け、上記鍵管理サーバに接続してもよい。
鍵保管部801は、物理的な鍵を保管する機能を有する装置から構成される。鍵保管部801は、例えば、セキュリティエリアとして定められている場所ごとの鍵ホルダを有し、その鍵ホルダにその場所に対応する鍵が保持されている。
リーダ部802は、第1の実施の形態におけるリーダ部500と同様の機器や装置であり、ICカードが接触または近接されると、そのICカード等に記録されているユーザIDを読み取る。
記憶部803は、HDD等の一般的な記憶装置から構成され、鍵管理情報8031を記憶する。鍵管理情報8031は、鍵の貸出状態を管理するための情報である。
図9は、鍵管理情報8031の例を示す図である。図9に示すように、鍵管理情報8031は、上記鍵を識別するための鍵IDと、その鍵を用いて出入りする場所と、その鍵が貸し出されたまたは返却されたユーザのユーザIDと、その鍵が実際に貸し出された日時および返却された日時と、その鍵が貸し出される予定日時および返却される予定日時と、実際に返却された日時が返却される予定日時を過ぎたか否かを示す遅延フラグとが対応付けて記憶されている。
図9では、例えば、鍵IDがK0001の鍵は会議室1に出入りするための鍵であり、ユーザIDがA0001であるユーザにより貸し出されていることを示している。また、そのユーザは、2015年9月30日の12:00から2015年10月2日の12:00までの予定で鍵の貸し出しを予約したものの、実際に貸し出されたのは2015年9月30日の17:00であり、現時点で貸出中であり返却されていないこと(遅延フラグ「1」)を示している。同様に、鍵IDがK0002の鍵は事務室1に出入りするための鍵であり、ユーザIDがB0001であるユーザにより貸し出されていることを示している。また、そのユーザは、2015年10月1日の13:00から2015年10月2日の13:00までの予定で鍵の貸し出しを予約したものの、実際に貸し出されたのは2015年10月1日の15:00であり、返却予定日時よりも前の2015年10月2日の12:30に返却されていること(遅延フラグ「0」)を示している。
登録処理部804は、ユーザから鍵の貸し出しや返却の予約を登録する処理部である。貸出処理部805は、予約された鍵の貸し出し処理を行う処理部である。通信部806は、ネットワークN1を介した各種情報の送受信を司る処理部である。制御部807は、鍵管理サーバ800を構成する各部を制御する処理部である。これらの具体的な動作については、シーケンス図を用いて後述する。
図10A、10Bは、第2の実施の形態におけるセキュリティ制御処理の処理手順を示すシーケンス図である。図10A、10BのS701〜S720の各ステップについては第1の実施の形態と同様であるためここではその説明を省略し、S1001以降の各処理について説明する。
第2の実施の形態におけるセキュリティ制御処理では、情報処理端末400の入力部403がユーザから鍵の貸出情報の入力を受け付けると(S1001)、入出力処理部404は、その貸し出し情報を鍵管理サーバ800に送信する(S1002)。貸出情報には、ユーザID、鍵ID、予定貸出日時および予定返却日時が含まれる。鍵管理サーバ800の登録処理部804は、情報処理端末400から受信した貸出情報を、鍵管理情報8031に登録する(S1003)。
その後、鍵管理サーバ800のリーダ部802は、ユーザにより接触または近接されたICカードを読み取り(S1004)、貸出処理部805は、そのICカードに記録されているユーザIDが、S1003で登録されているユーザIDであるか否かを判定し、ユーザIDである場合に、正当なユーザであると判断してそのユーザを認証する(S1005)。さらに、貸出処理部805は、ユーザIDを読み取った日時を実際の貸出日時として記録する(S1006)。
貸出処理部805は、S1006の処理が終了すると、記録した鍵IDに対応するユーザIDを端末管理サーバ200に送信する(S1007)。端末管理サーバ200の端末認証部203は、鍵管理サーバ800から受信したユーザIDをキーにして図3に示したユーザ認証情報2011を参照し、そのユーザIDに対応する端末IDを読み取り(S1008)、読み取った端末IDを鍵管理サーバ800に送信する(S1009)。鍵管理サーバ800の貸出処理部805は、実際に鍵が貸し出された日時からあらかじめ定められた時間が経過し、貸出中となっている鍵の返却予定日時の一定時間前となったか否かを判定する(S1010)。貸出処理部805は、上記返却予定日時の一定時間前となったと判定した場合、返却日時が近づいている旨の返却要請メッセージを、端末IDにより識別される情報処理端末400に送信し、ユーザに対して警告をする(S1011)。
なお、本例では、S1007において、鍵管理サーバ800の貸出処理部805からから端末管理サーバ200にユーザIDを送信しているが、端末管理サーバ200の端末認証部203からが所定の時間間隔(例えば、1分間隔)で鍵管理サーバ800にアクセスしてユーザIDを参照してもよい。また、本例では、S1011において、鍵管理サーバ800の貸出処理部805から情報処理端末400に返却要請メッセージを送信しているが、端末管理サーバ200の端末認証部203から情報処理端末400に返却要請メッセージを送信してもよい。このような構成とすることにより、既存の鍵管理サーバ800に対してこれらの機能を追加することなく本システムを適用することができる。
その後、鍵管理サーバ800のリーダ部802がICカードを読み取り、貸出処理部805は、読み取ったユーザIDが鍵管理情報8031に登録されているユーザIDであると判定した場合には、そのユーザによって貸し出された鍵が返却されたと判断し、その時の日時を実際の返却日時に記録する(S1012)。
一方、貸出処理部805は、S1011の警告から一定時間を経過してもS1012の処理が実行されない場合、鍵管理情報8031の遅延フラグを設定するとともに、端末管理サーバ200に対して、S1006でユーザIDが記録されたユーザのアカウントの利用停止要求を送信する(S1013)。
端末管理サーバ200の端末認証部203は、鍵管理サーバ800から受信した利用停止要求に含まれるユーザIDをキーにして、図3に示したユーザ認証情報2011を参照し、対応するアカウント利用可否を「否」に設定する(S1014)。端末認証部203は、S710と同様の処理を実行してそのユーザを再認証し、そのユーザが認証できないことを確認すると(S1015)、認証結果がNGであり正しく認証されないため、このユーザのネットワーク接続設定を解除するための設定解除要求をネットワーク管理サーバ300に送信する(S1016)。
ネットワーク管理サーバ300のネットワーク認証部302は、端末管理サーバ200から受信した設定解除要求に含まれるユーザIDをキーにして、そのユーザIDに対応する図6に示したネットワーク接続情報3011の設定情報の設定を解除し(S1017)、その解除結果を端末管理サーバ200に送信する(S1018)。端末管理サーバ200の端末認証部203は、S1008で検索した端末IDで識別される情報処理端末400に対して、ネットワーク管理サーバ300から受信した解除結果とS1015での再認証結果とにより、アカウントが停止された旨およびネットワークへの接続やネットワークを介したシステムリソースへのアクセスが制限された旨の認証結果を送信する(S1019)。これらの情報が情報処理端末400に送信されると、その情報処理端末400は、スタンドアロン環境でしか情報処理端末400を操作することができなくなり、これ以降の不正な接続やアクセスを未然に防ぐことができる。
このように、本実施の形態では、鍵が必要なセキュリティエリアとして定められている場所にユーザが入って情報処理端末を操作する場合において、鍵の貸し出し期間切れに近づいた場合にはそのユーザが使用している情報処理端末に警告を送信して貸出中の鍵を返却するように促す。さらに、返却期限を過ぎてしまった場合には、そのユーザのアカウントを停止するとともに、ネットワークへの接続やネットワークを介したシステムリソースへのアクセスを制限する。したがって、このような場合でも、システムリソースへの不正なアクセスを防止できる。
(第3の実施の形態)
第2の実施の形態では、鍵管理サーバの貸出処理部と、端末管理サーバの端末認証部と、ネットワーク管理サーバのネットワーク認証部とが連携して端末認証および鍵管理を実行し、不正なユーザによるシステムリソースへのアクセスを防止した。セキュリティエリアとして定められ、鍵を必要とする場所のうち、社内あるいは社外の複数のメンバが使用する会議室では、それらのメンバが各自の情報処理端末を持ちよって会議が進行する場合もある。メンバとは、ユーザに同行する他のユーザのことであり、社内メンバが他のユーザとして同行する場合、社外メンバが他のユーザとして同行する場合、これらの双方を含む場合がある。このような場合、メンバの種類(例えば、社外メンバを含むのか社内メンバだけなのか、あるいは社内メンバの場合であっても、各メンバの職位の違い)によって、アクセス可能とすべきシステムリソースとそうすべきでないシステムリソースがある。そこで、以下では、ユーザと複数の異なる種類のメンバとが集合して情報処理端末を使用する環境にいる場合のアクセス制御について説明する。以下では、その環境の例として、会議室を挙げているが、これと同様にユーザおよびメンバを含む複数の人が集まる様々なセキュリティエリアに適用することができる。
図11は、本発明にかかるセキュリティ管理システム、その方法、及びそのプログラムを第3の実施の形態に適用したセキュリティ管理システム3000の構成例を示す図である。以下では、第2の実施の形態と同一の構成要素には同一の符号を付してその説明を省略しているが、第2の実施の形態におけるセキュリティ管理システム2000に対して、さらに、部屋管理サーバ900を有している。
部屋管理サーバ900は、会議室をはじめとするユーザやメンバが集合して情報処理端末400を操作する部屋を管理するサーバである。部屋管理サーバ900は、入退管理サーバ100等と同様、物理的には一般的なサーバから構成される。
図11に示すように、部屋管理サーバ900は、記憶部901と、登録処理部902と、通信部903と、制御部904とを有して構成されている。
記憶部901は、HDD等の一般的な記憶装置から構成され、部屋管理情報9011を記憶する。部屋管理情報9011は、部屋を使用するための予約状態を管理するための情報である。
図12は、部屋管理情報9011の例を示す図である。図12に示すように、部屋管理情報9011は、部屋を識別するための部屋IDと、その部屋を使用するユーザのユーザIDと、そのユーザとともにその部屋を使用するメンバを識別するためのメンバIDと、その部屋の使用を開始する日時である予約開始日時と、その部屋の使用を終了する日時である予約終了日時と、その部屋の鍵IDとが対応付けて記憶されている。
図12では、例えば、部屋IDがR0001の部屋(会議室1、鍵IDがK0001)は、ユーザIDがA0001、メンバIDがC0001、D0001の計3名で、2015年10月2日の8:00から2015年10月2日の12:00までの間使用する予約がとられていることを示している。また、部屋IDがR0003の部屋は、現時点では予約がとられていないことを示している。
登録処理部902は、ユーザから部屋の予約を登録する処理部である。通信部903は、ネットワークN1を介した各種情報の送受信を司る処理部である。制御部904は、部屋管理サーバ900を構成する各部を制御する処理部である。これらの具体的な動作については、シーケンス図を用いて後述する。
図13A、13Bは、第3の実施の形態におけるセキュリティ制御処理の処理手順を示すシーケンス図である。図13A、13BのS701〜S720の各ステップについては第1、第2の実施の形態と同様であるためここではその説明を省略し、S1301以降の各処理について説明する。
第3の実施の形態におけるセキュリティ制御処理では、情報処理端末400の入力部403がユーザから部屋を使用するための予約情報の入力を受け付けると(S1301)、入出力処理部404は、その予約情報を部屋管理サーバ900に送信する(S1302)。予約情報には、部屋ID、ユーザID、メンバID、鍵ID、予約開始日時および予約終了日時が含まれる。部屋管理サーバ900の登録処理部902は、情報処理端末400から受信した予約情報を、部屋管理情報9011に登録する(S1303)。鍵の貸し出しについては、図10A、10Bの場合と同様にS1001〜S1002の処理が実行される。
鍵管理サーバ800は、情報処理端末400から貸出情報を受信すると、その貸出情報に含まれるユーザIDで鍵IDの部屋が予約されているか問い合わせるための予約確認要求を、部屋管理サーバ900に送信する(S1304)。部屋管理サーバ900の登録処理部902は、ユーザIDをキーにして、図12に示した部屋管理情報9011を参照し、そのユーザによる会議室の予約の有無を判定し(S1305)、その確認結果を鍵管理サーバ800に送信する(S1306)。
鍵管理サーバ800は、部屋管理サーバ900から予約がされている旨の確認結果を受信した場合、図10A、10BのS1003の場合と同様に、登録処理部804が、情報処理端末400から受信した貸し出し情報を、鍵管理情報8031に登録する。以降、S1004〜S1006の処理が実行される。
貸出処理部805は、S1006の処理が終了すると、鍵の貸し出しが完了した旨を部屋管理サーバ900に送信する(S1307)。部屋管理サーバ900の登録処理部902は、鍵管理サーバ800から鍵の貸し出しが完了した旨を受信すると、S1305で予約を確認した会議室の部屋IDと、その会議室を使用するユーザのユーザIDおよびメンバIDを端末管理サーバ200に送信する(S1308)。
端末管理サーバ200の端末認証部203は、鍵管理サーバ800から受信したユーザIDおよびメンバIDをキーにして図3に示したユーザ認証情報2011を参照し、そのユーザIDに対応する端末IDを読み取る(S1008)。以降、S1009〜S1019の処理が実行され、会議室を使用したすべてのユーザおよびメンバについて、警告、アカウントの停止、ネットワークへの接続やネットワークを介したシステムリソースへのアクセス制限が実行される。
このように、本実施の形態では、鍵が必要なセキュリティエリアとして定められている場所にユーザおよびメンバが入って情報処理端末を操作する場合において、鍵の貸し出し期間切れに近づいた場合にはそのユーザおよびメンバ全員に、それぞれが使用している情報処理端末に警告を促して貸出中の鍵を返却するように促し、さらに返却期限を過ぎてしまった場合には、そのユーザおよびメンバのアカウントを停止するとともに、ネットワークへの接続やネットワークを介したシステムリソースへのアクセスを制限する。したがって、このような場合でも、ユーザだけでなく、会議に参加したメンバ全員を対象に、システムリソースへの不正なアクセスを防止できる。
続いて、第1〜第3の実施の形態におけるポリシー情報2013とユーザまたはメンバの状態(例えば、居場所や鍵の貸し出し状態)、ユーザ状態情報2012と鍵管理の状態との関係について説明する。
図14は、ポリシー情報2013とユーザまたはメンバの状態1401の関係を示す図である。図14に示すように、例えば、状態IDがSTS000は、ユーザやメンバがセキュリティエリアとして定められている場所のどこにも入っていない状態(例えば、出社してまだ玄関ホールや廊下にいる状態)であり、その場合は、例えば、VLAN1〜4を経由して、それぞれLAN接続、WAN接続、ファイルサーバへのアクセス、基幹システムへのアクセスのいずれもが許可されていないことを示している。同様に、状態IDがSTS001は、ユーザやメンバがセキュリティエリアとなる居室(例えば、自席がある事務室)に入った状態であり、その場合には、上記のいずれも可能であることを示している。さらに、同様に、状態IDがSTS002は、鍵が貸し出され、かつ会議室に入った状態であり、その場合は、基幹システムへのアクセス以外はいずれも許可されていることを示し、状態IDがSTS003は、鍵が貸し出されずに会議室に入った状態であり、その場合は、WAN接続のみ許可されていることを示し、状態IDがSTS004は、鍵が未返却のまま上記居室に入った状態であり、その場合は、ネットワークへの接続のみが許可されていることを示している。
図15は、ユーザ状態情報2012と鍵管理の状態1501との関係を示す図である。図15に示すように、例えば、図15(A)の状態は、鍵管理状態1501に記録がなくユーザU0001がどこの場所にも入っていないため状態DIがSTS000であり、LAN接続、WAN接続、ファイルサーバへのアクセス、基幹システムへのアクセスのいずれもが許可されていないが、図15(B)に示すように、出社して居室に入室すると、状態IDがSTS001に遷移し、その状態IDに対応するアクセス先が許可される。この場合、図14に示すように、LAN接続、WAN接続、ファイルサーバへのアクセス、基幹システムへのアクセスのすべてについて許可されていることがわかる。
さらに、そのユーザが図15(C)に示すように、居室から退室すると、状態IDがSTS000に戻り、上記図15(A)と同様の状態となる。さらに、そのユーザが図15(D)に示すように、会議室を予約して鍵が貸し出されるが、この時はまだ会議室に入っていない(例えば、まだ廊下を歩いている)ため、状態IDはSTS000のままとなる。そして、鍵が貸し出されたユーザが図15(E)−01に示すように、会議室に入室すると、状態IDがSTS002に遷移し、その状態IDに対応するアクセス先が許可される。この場合、図14に示すように、基幹システム以外への接続やアクセスが許可されていることがわかる。なお、このとき、鍵をまだ受け取っていないユーザが図15(E)−02に示すように会議室に入室すると、状態IDがSTS003に遷移し、図14に示すように、LAN接続、WAN接続のみが許可される。
そして、会議室からユーザが退室して鍵を返却した場合、図15(F)、(G)に示すように、状態IDがSTS000となって、図15(A)に示した場合と同様の状態となり、ユーザが居室に戻ると、図15(B)の場合と同様に、状態IDがSTS001となって、LAN接続、WAN接続、ファイルサーバへのアクセス、基幹システムへのアクセスのすべてについて許可される。このとき、ユーザが、鍵を未返却のまま居室に戻ると、状態IDがSTS00となり、図14に示すように、LAN接続、WAN接続のみが許可される。
第2、第3の実施の形態では、図10A、10B、13に示したS1012において鍵が返却されることを前提に、ユーザのアカウントを利用停止にし、さらに情報処理端末400からのシステムリソースの使用を制限した。しかし、ユーザによっては鍵の返却要請をした場合であっても、外出や出張のため鍵自体を返却できずにその期間が過ぎてしまう場合もある。このため、鍵が返却されない場合のポリシーを、図16に示すように、図4に示したユーザ状態情報2012に鍵管理状態(貸出中、または返却済)を含めて状態IDを定めるとともに、鍵管理状態に応じて、図5に示したポリシー情報2013を設定することも可能である。
図16では、例えば、同じユーザ(A0001)が、同じ会議室(会議室1)を使用した場合であっても、鍵管理状態が貸出中の場合には、状態IDはSTS003となり、鍵管理状態が返却済の場合には、状態IDはSTS0031となり、鍵管理状態に応じて状態IDが異なり、これらの状態IDごとに、図5に示したポリシー情報2013を設定しておけばよい。このように、鍵管理状態を含めてポリシーを設定することにより、図14、15に示したように、端末管理サーバ200の端末認証部203は、鍵の管理状態を考慮してポリシー情報を確認し、そのポリシー情報に含まれるアクセス先として許可されている設定情報を含む確認結果をネットワーク管理サーバ300に送信し、ネットワーク管理サーバ300のネットワーク認証部302は、端末管理サーバ200から受信した鍵設定情報にしたがって、ネットワークやネットワークを介したシステムリソースにアクセスするための各種設定をし、ユーザごと、場所ごと、鍵管理状態ごとに、ユーザによるシステムリソースの使用を制限することができる。
このように、第1の実施の形態では、図3に示したポリシー情報は、ユーザIDごとおよびセキュリティエリアとして定められている場所ごとに定められた状態IDごとにアクセス先が定められ、それぞれの場所に設置されているリーダ500がICカードを読み取ることをトリガとして、どのユーザがどの場所に出入りしたのかを判定し、ユーザおよび場所に応じてアクセス先を決定している。第2の実施の形態では、さらに、鍵が貸し出された状態あるいは鍵が返却された状態に対応するポリシー情報をユーザおよび場所ごとに定め、ユーザ、場所、鍵の3つの状態に応じてアクセス先を決定している。第3の実施の形態では、さらに、会議室を使用するユーザおよびメンバの種類、場所、鍵の3者の状態に応じてアクセス先を決定している。したがって、上記したような細やかなセキュリティ管理を実現することができる。
上記各サーバや端末で実行される各処理は、実際には、これらのサーバや端末にインストールされたプログラムを実行することにより実現される。そのプログラムは、ROM等に予め組み込まれて提供されたり、インストール可能な形式又は実行可能な形式のファイルでCD−ROM、CD−R、DVD(Digital Versatile Disk)等のコンピュータで読み取り可能な記録媒体に記録して提供したり、配布してもよい。さらには、そのプログラムを、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせることにより提供したり、配布してもよい。
1000、2000、3000 セキュリティ管理システム
100 入退管理サーバ
101 記憶部
1011 入退ログ情報
102 入退認証部
103 通信部
104 制御部
200 端末管理サーバ
201 記憶部
2011 ユーザ認証情報
2012 ユーザ状態情報
2013 ポリシー情報
202 ユーザ認証部
203 端末認証部
204 通信部
205 制御部
300 ネットワーク管理サーバ
301 記憶部
3011 ネットワーク接続情報
302 ネットワーク認証部
303 通信部
304 制御部
400 情報処理端末
401 記憶部
402 表示部
403 入力部
404 入出力処理部
405 通信部
406 制御部
8031 鍵管理情報
9011 部屋管理情報
N1、N2 ネットワーク。

Claims (9)

  1. セキュリティエリアへの入退室を管理する入退管理サーバと、ユーザが使用する情報処理端末を管理する端末管理サーバと、前記情報処理端末からネットワークを介したシステムリソースへのアクセスを管理するネットワーク管理サーバとを有するセキュリティ管理システムであって、
    前記入退管理サーバは、
    ユーザを識別するためにあらかじめ登録された登録ユーザ情報を記憶する記憶部と、
    前記セキュリティエリアごとに設けられたリーダが読み取ったユーザを識別するためのユーザ情報と前記登録ユーザ情報とに基づいて、ユーザの前記セキュリティエリアへの入室を認証し、前記認証によりユーザの前記セキュリティエリアへの入室の可否を判定する入退認証部と、を備え、前記入退認証部は、前記セキュリティエリアへの入室を可と判定した場合、前記ユーザ情報を含む前記ユーザが前記情報処理端末を使用するアカウントを有効にするための利用可能要求と前記セキュリティエリアの識別情報とを前記端末管理サーバに送信し、
    前記端末管理サーバは、
    前記入退管理サーバから受信した前記利用可能要求と、あらかじめ記憶部に記憶されている前記ユーザ情報と前記情報処理端末の識別情報と前記アカウントの利用可否とを対応付けたユーザ認証情報とに基づいて、前記利用可能要求に含まれる前記アカウントを有効にするユーザ認証部と、
    情報処理端末から受信したユーザを認証するための認証情報と、前記ユーザ認証情報とに基づいて、前記アカウントが有効にされた情報処理端末から前記認証情報を受信したか否かを判定し、前記ネットワーク管理サーバから受信したユーザ情報および前記入退管理サーバから受信した前記利用可能要求に含まれる前記セキュリティエリアの識別情報と、あらかじめ記憶部に記憶されている前記ユーザ情報ごと前記セキュリティエリアごとにユーザによるアクセスが可能なシステムリソースのパターンを定めたポリシー情報とに基づいて、前記セキュリティエリアにいる前記ユーザによるアクセスが可能なシステムリソースを確認し、その確認結果を前記ネットワーク管理サーバに送信する端末認証部と、を備え、
    前記ネットワーク管理サーバは、
    前記アカウントが有効にされた情報処理端末から受信した前記ユーザ情報を含むネットワークへの接続設定を確認するための確認要求を前記端末管理サーバに送信するネットワーク認証部を有し、前記ネットワーク認証部は、前記端末管理サーバから受信した前記確認結果に基づいて、アクセスが可能であることが確認されたシステムリソースにアクセスするために必要な設定情報を生成し、生成した設定情報にしたがってネットワークまたはシステムリソースを設定するネットワーク認証部と、
    を備えることを特徴とするセキュリティ管理システム。
  2. 前記端末管理サーバの前記端末認証部は、前記入退管理サーバから前記セキュリティエリアの識別情報とは異なるセキュリティエリアの識別情報を受信し、前記ネットワーク管理サーバから前記確認要求を受信した場合、前記ユーザ情報および前記異なるセキュリティエリアの識別情報と前記ポリシー情報とに基づいて確認した確認結果を前記ネットワーク管理サーバに送信し、
    前記ネットワーク管理サーバの前記ネットワーク認証部は、前記端末管理サーバから受信した前記確認結果にしたがって新たな設定情報を生成し、生成した新たな設定情報したがって前記設定をする、
    ことを特徴とする請求項1に記載のセキュリティ管理システム。
  3. 前記セキュリティ管理システムは、さらに前記セキュリティエリアに入室するための鍵を管理する鍵管理サーバを有し、
    前記鍵管理サーバは、
    前記情報処理端末から受信した前記ユーザ情報を含む前記鍵の貸出情報を、前記鍵の識別情報と前記セキュリティエリアの識別情報と前記ユーザ情報と前記鍵が貸出中であるか否かを示す鍵管理状態とを含む鍵管理情報に登録する鍵登録処理部と、
    前記鍵管理状態が貸出中となっている鍵に対応するユーザ情報を前記端末管理サーバに送信する貸出処理部と、を備え、
    前記端末管理サーバの端末認証部は、
    前記鍵管理状態ごとに定められた前記ポリシー情報と、前記ユーザ情報および前記セキュリティエリアの識別情報とに基づいて、確認結果を前記ネットワーク管理サーバに送信し、
    前記ネットワーク管理サーバのネットワーク認証部は、前記端末管理サーバから受信した前記確認結果にしたがって新たな設定情報を生成し、生成した新たな設定情報したがって前記設定をする、
    ことを特徴とする請求項1に記載のセキュリティ管理システム。
  4. 前記端末管理サーバの前記端末認証部または前記鍵管理サーバの前記貸出処理部は、前記鍵管理状態が貸出中となっている鍵の返却期限が過ぎているか否かを判定し、前記返却期限が過ぎていると判定した場合、前記アカウントが有効にされた前記情報処理端末に前記返却期限が過ぎた旨を送信する、
    ことを特徴とする請求項3に記載のセキュリティ管理システム。
  5. 前記鍵管理サーバの前記貸出処理部は、前記鍵管理状態が貸出中となっている鍵が返却されたか否かを判定し、前記鍵管理状態が貸出中となっている鍵が返却されていないと判定した場合、前記情報処理端末を使用するアカウントを停止するための利用停止要求を、前記端末管理サーバに送信し、
    前記端末管理サーバの前記ユーザ認証部は、前記鍵管理サーバから受信した前記ユーザ情報を含む前記利用停止要求と、前記ユーザ認証情報とに基づいて、前記利用可能要求として要求された前記アカウントを停止し、
    前記端末管理サーバの前記端末認証部は、前記設定情報にしたがって設定されたネットワークまたはシステムリソースへの設定を解除するための解除要求を前記ネットワーク管理サーバに送信し、
    前記ネットワーク管理サーバの前記ネットワーク認証部は、前記解除要求にしたがって前記設定情報をクリアする、
    ことを特徴とする請求項4に記載のセキュリティ管理システム。
  6. 前記セキュリティ管理システムは、
    前記鍵により入室するセキュリティエリアを管理する部屋管理サーバを有し、
    前記部屋管理サーバは、
    前記情報処理端末から受信した前記ユーザ情報を含む前記セキュリティエリアの使用を予約する予約情報を、前記セキュリティエリアの識別情報と前記ユーザ情報とユーザに同行するメンバを識別するためのメンバ情報と、前記セキュリティエリアが予約されているか否かを示す予約状態とを含むセキュリティエリア管理情報に登録し、前記セキュリティエリアの鍵が貸し出された場合に、登録した前記セキュリティエリアに対応する前記ユーザ情報および前記メンバ情報を前記端末管理サーバに送信するセキュリティエリア登録処理部と、を備え、
    前記端末管理サーバの前記端末認証部または前記鍵管理サーバの前記貸出処理部は、前記返却期限が過ぎていると判定した場合、前記アカウントが有効にされたユーザおよび前記メンバのそれぞれの情報処理端末に前記鍵の返却を促す旨を送信する、
    ことを特徴とする請求項3に記載のセキュリティ管理システム。
  7. 前記部屋管理サーバの前記セキュリティエリア登録処理部は、貸し出した鍵が返却されていないと判定された場合、前記アカウントが有効にされた前記ユーザおよび前記メンバのそれぞれの情報処理端末を使用するアカウントを停止するための利用停止要求を、前記端末管理サーバに送信し、
    前記端末管理サーバの前記ユーザ認証部は、前記鍵管理サーバから受信した前記ユーザ情報および前記メンバ情報を含む前記利用停止要求と、前記ユーザ認証情報とに基づいて、前記利用可能要求として要求された前記アカウントを停止し、
    前記端末管理サーバの前記端末認証部は、前記設定情報にしたがって設定された前記アカウントが有効にされたユーザおよび前記メンバのそれぞれの情報処理端末についてのネットワークまたはシステムリソースへの設定を解除するための解除要求を前記ネットワーク管理サーバに送信し、
    前記ネットワーク管理サーバの前記ネットワーク認証部は、前記解除要求にしたがって前記それぞれの情報処理端末についての前記設定情報をクリアする、
    ことを特徴とする請求項6に記載のセキュリティ管理システム。
  8. セキュリティエリアへの入退室を管理する入退管理サーバと、ユーザが使用する情報処理端末を管理する端末管理サーバと、前記情報処理端末からネットワークを介したシステムリソースへのアクセスを管理するネットワーク管理サーバとを有したセキュリティ管理システムで行われるセキュリティ管理方法であって、
    前記セキュリティエリアごとに設けられたリーダが読み取ったユーザを識別するためのユーザ情報とあらかじめ記憶部に記憶されている登録ユーザ情報とに基づいて、ユーザの前記セキュリティエリアへの入室を認証する認証ステップと、
    前記認証によりユーザの前記セキュリティエリアへの入室を可と判定した場合、前記ユーザ情報を含むユーザが前記情報処理端末を使用するアカウントを有効にするための利用可能要求と前記セキュリティエリアの識別情報とを前記端末管理サーバに送信する第1の送信ステップと、
    前記入退管理サーバから受信した前記利用可能要求と、あらかじめ記憶部に記憶されている前記ユーザ情報と前記情報処理端末の識別情報と前記アカウントの利用可否とを対応付けたユーザ認証情報とに基づいて、前記利用可能要求に含まれる前記アカウントを有効にするユーザ認証ステップと、
    情報処理端末から受信したユーザを認証するための認証情報と、前記ユーザ認証情報とに基づいて、前記アカウントが有効にされた情報処理端末から前記認証情報を受信したか否かを判定する判定ステップと、
    前記アカウントが有効にされた情報処理端末から受信した前記ユーザ情報を含むネットワークへの接続設定を確認するための確認要求を前記端末管理サーバに送信する第2の送信ステップと、
    前記ネットワーク管理サーバから受信したユーザ情報および前記入退管理サーバから受信した前記利用可能要求に含まれる前記セキュリティエリアの識別情報と、あらかじめ記憶部に記憶されている前記ユーザ情報ごと前記セキュリティエリアごとにユーザによるアクセスが可能なシステムリソースのパターンを定めたポリシー情報とに基づいて、前記セキュリティエリアにいるユーザによるアクセスが可能なシステムリソースを確認する確認ステップと、
    前記確認した確認結果を前記ネットワーク管理サーバに送信する第4の送信ステップと、
    前記端末管理サーバから受信した前記確認結果に基づいて、アクセスが可能であることが確認されたシステムリソースにアクセスするために必要な設定情報を生成する生成ステップと、
    生成された設定情報にしたがってネットワークまたはシステムリソースを設定する設定ステップと、
    を含むことを特徴とするセキュリティ管理方法。
  9. 前記情報処理端末から前記セキュリティエリアに入室するための鍵を管理する鍵管理サーバが受信した前記ユーザ情報を含む前記鍵の貸出情報を、前記鍵の識別情報と前記セキュリティエリアの識別情報と前記ユーザ情報と前記鍵が貸出中であるか否かを示す鍵管理状態とを含む鍵管理情報に登録する登録ステップと、
    前記鍵管理状態が貸出中となっている鍵に対応するユーザ情報を前記端末管理サーバに送信する第5の送信ステップと、を含み、
    前記確認ステップにおいて、前記鍵管理状態ごとに定められた前記ポリシー情報と、前記ユーザ情報および前記セキュリティエリアの識別情報とに基づいて前記確認をし、
    前記第4の送信ステップにおいて、前記確認結果を前記ネットワーク管理サーバに送信し、
    前記生成ステップにおいて、前記端末管理サーバから受信した前記確認結果にしたがって新たな設定情報を生成し、
    前記設定ステップにおいて、生成した新たな設定情報したがって前記設定をする、
    ことを特徴とする請求項8に記載のセキュリティ管理方法。
JP2017515254A 2015-11-06 2015-11-06 セキュリティ管理システム、およびセキュリティ管理方法 Active JP6228350B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2015/081313 WO2017077639A1 (ja) 2015-11-06 2015-11-06 セキュリティ管理システム、セキュリティ管理方法、及びセキュリティ管理プログラム

Publications (2)

Publication Number Publication Date
JPWO2017077639A1 JPWO2017077639A1 (ja) 2017-11-02
JP6228350B2 true JP6228350B2 (ja) 2017-11-08

Family

ID=58661842

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017515254A Active JP6228350B2 (ja) 2015-11-06 2015-11-06 セキュリティ管理システム、およびセキュリティ管理方法

Country Status (2)

Country Link
JP (1) JP6228350B2 (ja)
WO (1) WO2017077639A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7430491B2 (ja) * 2019-03-18 2024-02-13 アパホテル株式会社 ルームキー回収ボックス及びこれを用いたチェックアウトシステム
CN113438246B (zh) * 2021-06-29 2023-05-30 四川巧夺天工信息安全智能设备有限公司 一种针对智能终端的数据安全及权限管控的方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4313171B2 (ja) * 2003-12-09 2009-08-12 株式会社日立製作所 認証制御装置および認証制御方法
JP2009230325A (ja) * 2008-03-21 2009-10-08 Mitsubishi Electric Corp 通信システム及びネットワーク接続管理装置
JP2010055197A (ja) * 2008-08-26 2010-03-11 Panasonic Electric Works Co Ltd 連携制御装置
JP2014235633A (ja) * 2013-06-04 2014-12-15 三菱電機株式会社 認証装置及び不正アクセス監視システム及び認証プログラム

Also Published As

Publication number Publication date
WO2017077639A1 (ja) 2017-05-11
JPWO2017077639A1 (ja) 2017-11-02

Similar Documents

Publication Publication Date Title
JP6207697B2 (ja) 安全移動体フレームワーク
US20210304540A1 (en) Determining whether a user with a credential should be granted access to a physical space
JP5593327B2 (ja) あるユーザに成り代わるための方法およびシステム
JP4822738B2 (ja) サービス認証システムおよびサービス認証方法
CN100474234C (zh) 在通过多路入口访问的网络资源中管理安全资源
US9825938B2 (en) System and method for managing certificate based secure network access with a certificate having a buffer period prior to expiration
US20180367532A1 (en) Trusted status transfer between associated devices
US10922629B2 (en) Methods for managing remote access to a physical location and systems thereof
JP7042526B2 (ja) 期限管理サーバー、エージェント・プログラム及び端末貸出システム
JP2007241368A (ja) セキュリティ管理装置、セキュリティ管理方法およびプログラム
JP6228350B2 (ja) セキュリティ管理システム、およびセキュリティ管理方法
JP2004355318A (ja) コンピュータ利用管理システム、コンピュータ利用管理方法、視聴覚機器利用管理システムおよび視聴覚機器利用管理方法
de Camargo Silva et al. IoT and blockchain for smart locks
JP2008107936A (ja) 認証装置、認証装置の認証方法および認証装置の認証プログラム
JP2010026733A (ja) 入場管理装置
JP5978114B2 (ja) 入退室管理システムおよびそのプログラム
JP5755475B2 (ja) 入退管理システム、及びアンチパスバック違反解除方法
JP2008208580A (ja) 入退管理システム
JP2008045349A (ja) 鍵管理機用サーバ、鍵管理機、及び鍵管理システム
JP2006260293A (ja) 機密情報の保持方法、情報保護システム、アクセス権限管理装置およびプログラム
JP2009230325A (ja) 通信システム及びネットワーク接続管理装置
JP2010055197A (ja) 連携制御装置
JP2005032100A (ja) 会議室予約システム
CN101136740B (zh) 服务认证系统、服务器装置、网络设备及服务认证方法
JP7398685B2 (ja) 情報処理システム、及び、情報処理方法

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170905

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170920

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171003

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171012

R150 Certificate of patent or registration of utility model

Ref document number: 6228350

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250