以下、本発明の実施の形態を図面を参照して詳細に説明する。
[第1の実施形態]
図1は、本発明の第1の実施形態に係る情報処理システムを構成する機器のハードウェア構成の概略を示すブロック図である。
図1において、本発明の第1の実施形態に係る情報処理システムは、画像処理装置の一例である複合機101と、情報処理装置の一例であるパーソナルコンピュータ(PC)201と、これらを互いに接続するネットワーク126とを備える。なお、本発明の情報処理システムを構成する機器は、図示例に限定されるものではなく、図示の機器以外に複数の機器がネットワーク126に接続されていてもよい。また、画像処理装置が複合機以外の機器(例えば、プリンタ、スキャナ、携帯端末等)であってもよい。
まず、複合機101について説明する。
102はネットワーク126を介して外部機器(例えばPC201)と通信を行うためのネットワーク通信部である。103は複合機101に対する設定を受け付けたり、複合機101の状態を表示したり、ユーザーからの操作を可能とするUI操作部である。104はプリントデータの画像処理や各種制御を実行するCPUである。106はCPU104が実行するプログラムコードや、画像データなどの情報を一時的に記憶するRAMである。107はプログラムコードや画像データ等を記憶する記憶装置である。108は画像データを実際の用紙媒体に印刷するために、電子写真技術やインクジェット技術などの既知の技術を用いた印刷エンジンである。114は用紙媒体に印刷された画像を光学的に読み取るスキャナエンジンである。
上記構成において、複合機101におけるコピー機能は次のように実現される。すなわち、UI操作部103の操作を起点として、CPU104がRAM105に記憶されたプログラムコードに従ってスキャナエンジン108から画像データを読み込む。読み込んだ画像データは記憶装置106に取り込まれ、必要な画像処理を加えて印刷エンジン107によって出力される。
また、PDF送信機能は次のように実現される。すなわち、UI操作部103の操作を起点として、CPU104はRAM105に記憶されたプログラムコードに従ってスキャナエンジン108から画像データを読み込む。読み込んだ画像データは記憶装置205に取り込まれ、所定のフォーマット変換が行われた後に、指定された宛先に対して、ネットワーク通信部102から送信される。
次に、PC201について説明する。
202はネットワーク126を介して外部機器と通信を行うためのネットワーク通信部である。203は各種制御を実行するCPUである。204はCPU104が実行するプログラムコードなどの情報を一時的に記憶するRAMである。205はプログラムコードやデータを記憶する記憶装置である。206は管理者によるPC201への入力を受け付ける操作表示部である。操作表示部206は、操作手段及び表示手段として機能する。
図2(a)は、図1の複合機101における情報セキュリティポリシーの制御に関連する機能の概略構成を示すブロック図である。図2(b)は、図1のPC201における情報セキュリティポリシーの制御に関連する機能の概略構成を示すブロック図である。なお、本実施形態では、図示の機能がソフトウェアで構成されているものとして説明するが、ハードウェアで構成されていてもよい。
図2(a)において、114は、UI操作部103によって設定された、複合機101の動作に関わる設定項目(以下、「ユーザーモード」と呼ぶ)の名称と値を格納するユーザーモード格納部である。なお、ユーザーモードの名称と値等は、実際は記憶装置106等に記憶される。
ユーザーモード設定項目には、例えば、「強制デジタル署名付きPDF」や「強制ハッシュ付きPDF」がある。
「強制デジタル署名付きPDF」とは、次のことである。すなわち、複合機101がPDFファイル生成時に強制的にPDFファイルからハッシュ値を計算する。そして、そのハッシュ値をファイル作成者の秘密鍵で暗号化することで得られた電子署名をファイルに付加することでファイル作成者が本人であることを検証する機能の設定項目である。なお、「強制デジタル署名付きPDF」のユーザーモード設定項目を有効にした場合は作成したファイルの改ざんを検知することもできる。
「強制ハッシュ付きPDF」は、PDFファイル生成時に強制的にPDFファイルからハッシュ値を計算し、そのハッシュ値をファイルに付加することでファイルの改ざんを検知可能とする機能の設定項目である。
また、「FTP」や「SFTP」などもユーザーモード設定項目の一例である。FTPとはFile Transfer Protocolの略称であり、ネットワークでファイル転送を行うための通信プロトコルである。SFTPはSSH File Transfer Protocolの略称であり、ネットワークで暗号通信を用いてファイル転送を行うための通信プロトコルである。「FTP」や「SFTP」のユーザーモード設定項目を有効にした場合、記憶装置106に記憶されたファイルをFTPで送信するといった機能を利用することができる。
110は、ネットワーク通信部102を介して外部から送られてきたセキュリティポリシーデータを記憶装置106等に格納するポリシー格納部である。111は、セキュリティポリシーデータと複合機101の現在のユーザーモードの値とを比較するために必要な情報が書かれた変換ルールファイルを記憶装置106等に格納する変換ルール格納部である。変換ルールファイルの詳細については後述する。
112はポリシー変換手段であるポリシー変換部であり、変換ルール格納部111に格納された変換ルールファイルに基づいて、セキュリティポリシーデータをユーザーモードの値と比較するための中間情報を生成する。115は不揮発記憶装置によって構成され、ポリシー変換部112によって生成された中間情報を格納する中間情報格納部である。
109はポリシー判定手段であるポリシー検証部であり、中間情報格納部115に格納された中間情報とユーザーモード格納部114に格納されたユーザーモードの値とを比較し、変換ルールファイルに書かれた条件によって判定を行う。この判定を行った結果、条件を満たさない場合、ポリシー検証部109は画面制御を行うための画面制御情報を生成する。
116は、ポリシー検証部109によって生成された画面制御情報を格納する画面制御情報格納部である。画面制御情報は、記憶装置106等に記憶される。
ポリシー検証部109は、上記に加えて、複合機101の各種アプリケーションの動作制御をも行う。複合機101には、図示されていないが、複合機101の送信機能・プリント機能・ファイルサーバ機能等を提供するための各種アプリケーションを有している。ポリシー検証部109は、これら各種アプリケーションが情報セキュリティポリシーに応じて限定的に動作されるように制御したり、あるいは情報セキュリティポリシーを遵守しないアプリケーションの起動を禁止したりする。
複合機101は、不図示であるが、スキャナエンジン108を制御し、原稿を光学的に読み取って得られた画像データを電子ファイル化して指定の宛先に送信するSendモジュールを有している。
また、複合機101は、PC201や他のデバイスからネットワークを介して受信したPDLコードを解釈して印刷を実行するモジュールなどを有している。また、複合機101は、画像データを記憶装置106に蓄積するBOXモジュールを有している。さらに、HTTP又はHTTPSプロトコルによりインターネットまたはイントラネット上の各種Webサイト(ホームページ)の情報を読み込んで表示を行うためのWebブラウザモジュールなども有している。これらアプリケーションは、ポリシー検証部109によって情報セキュリティポリシーを遵守しているか否かの判定がなされる。そして、情報セキュリティポリシーを遵守していないアプリケーションであると判定されると、画面制御情報が生成されたり、当該アプリケーションの起動が制限される。
ポリシー検証部109によって制御されるアプリケーションは、複合機101に動的に追加・削除されるアプリケーションも含まれる。例えば、複合機101にJava(登録商標)の実行環境を組み込むことにより、組み込みアプリケーションを動的に追加・削除できるMEAP(登録商標)が製品化されている。(MEAP:Multi−functional Embedded Application Platform)
また、MEAPのAPI(アプリケーション・プラットホーム・インターフェイス)を自社以外に公開することにより、サードパーティがアプリケーションを作成することが可能となる。以降、このようなアプリケーションを拡張アプリケーションと呼称する。
118は、拡張アプリケーション管理手段である拡張アプリケーション管理部であり、複合機101の複数の拡張アプリケーションを管理、動作させる。
119は、情報セキュリティポリシーの変更を検知した場合に、拡張アプリケーション管理部118により管理されている拡張アプリケーションに対して変更通知を行う。
120は、ポリシー問い合わせ手段であるポリシー問い合わせ部であり、拡張アプリケーションからの情報セキュリティポリシーの設定値の問い合わせを受け付ける。
121は、システム動作指示手段であるシステム動作指示部であり、拡張アプリケーションから複合機101の再起動の指示を受け付ける。
117はポリシー受信手段であるポリシー受信部であり、ネットワーク通信部102に受信したセキュリティポリシーデータをポリシー格納部110に格納する。113は画面制御手段である画面制御部であり、画面制御情報格納部116に格納された画面制御情報を利用して画面制御を行う。
図2(b)において、207はポリシー生成手段であるポリシー生成部であり、管理者の入力に従って、セキュリティポリシーデータの生成を行う。208はポリシー送信手段であるポリシー送信部であり、ポリシー生成部207によって生成されたセキュリティポリシーデータをネットワーク通信部202からネットワーク126を介して送信する。
次に、本発明の情報セキュリティポリシー制御方法における3つの段階について説明する。
まず、管理者がPC201を用いて、複合機101を情報セキュリティポリシー(以下、単に「情報セキュリティポリシー」とも呼ぶ)に従った状態にするためのセキュリティポリシーデータを生成する段階である。
次に、生成したセキュリティポリシーデータをPC201から複合機101に送信、適用することで、複合機101が情報セキュリティポリシーに従った状態にあるか判定し、管理者に通知する段階である。
最後に、ユーザーがセキュリティポリシーデータを適用した複合機101を情報セキュリティポリシーに違反しない状態で利用する段階である。
まず、管理者がPC201を用いて、複合機101を情報セキュリティポリシーに従った状態にするためのセキュリティポリシーデータを生成する段階の処理について説明する。
図3は、PC201の操作表示部206に表示される、セキュリティポリシーデータを生成するためのポリシー設定画面の一例を示す図である。なお、本実施形態では、説明を簡単にするために、ファイルの改ざん検知、ファイル共有、HDD残存データ削除の3つの情報セキュリティポリシーを設定する場合のみを説明するが、実際にはより多くの情報セキュリティポリシーが存在してもよい。また、各情報セキュリティポリシーの値がラジオボタンによって選択される場合のみを説明するが、テキストフィールドによる入力やチェックボックスによって複数の選択肢から選択が可能な形式であってもよい。
図3において、ポリシー設定画面301は、「ファイルの改ざん検知」302、「ファイルの送信方式」303、「HDD残存データ削除」304という3つの情報セキュリティポリシーを設定するための設定画面である。
「ファイルの改ざん検知」302は、生成したファイルに改ざん検知が必要か否かを示す情報セキュリティポリシーである。本実施形態では、「もっともセキュリティレベルの高い手段を使う」、「どれか一つを使う」、「情報セキュリティポリシーなし」の3つから情報セキュリティポリシーを選択できる。図示例では、「どれか一つが有効」が選択されている状態を示す。
「ファイルの送信方式」303は、ファイルの送受信を行うときに、暗号化通信を使う必要があるか否かを示す情報セキュリティポリシーである。本実施形態では、「暗号化通信ならOK」、「情報セキュリティポリシーなし」の2つから情報セキュリティポリシーを選択できる。図示例では、「情報セキュリティポリシーなし」が選択されている状態を示す。
「HDD残存データ削除」304は、複合機101におけるコピー処理等で不揮発記憶装置(不図示)を一時データ記憶領域として使用した場合に、処理完了後に残存するデータを削除するか否かを示す情報セキュリティポリシーである。図示例では、「削除」が選択されている状態を示す。
管理者は、ポリシー設定画面301を使って各情報セキュリティポリシーの設定を行う。ポリシー設定画面301において、「OK」ボタン305の押下を操作表示部206が受け付けると、ポリシー生成部207は、ポリシー設定画面301上で設定された内容に応じたセキュリティポリシーデータを生成し、記憶装置205に記憶する。記憶装置205に記憶されたセキュリティポリシーデータを表形式で表した一例を図4(a)に示す。なお、本実施形態では、説明を簡単にするために、表形式のセキュリティポリシーデータについて説明するが、XML等のデータ形式であってもよい。図4(a)に示すセキュリティポリシーデータをXML形式で表したセキュリティポリシーデータを図17に示す。
セキュリティポリシーデータ401では、1列目が、ポリシー設定画面301上で管理者により設定された情報セキュリティポリシーの名称(ルール)402である。2列目が、ポリシー設定画面301上で管理者によって選択された各情報セキュリティポリシーの値(条件)403となっている。
次に、生成したセキュリティポリシーデータをPC201から複合機101に送信、適用することで、複合機101が情報セキュリティポリシーに従った状態にあるか判定し、管理者に通知する段階の処理について説明する。
管理者によるセキュリティポリシーデータ送信の指示を受け付けた操作表示部206は、ポリシー送信部208に送信を指示する。指示を受けたポリシー送信部208は、記憶装置205に記憶されたセキュリティポリシーデータをネットワーク通信部202からネットワーク126を介して、複合機101のネットワーク通信部102に送信する。なお、セキュリティポリシーデータは、PC201から自動配信されるように構成してもよい。また、管理者や特定のコンピュータから送られたことを認証する方法が望ましいが、本実施形態ではそれらの説明を省略する。
図5は、複合機101にセキュリティポリシーデータを適用する際に実行される情報セキュリティポリシー変換処理の流れを示すフローチャートである。なお、本処理は、特に断りがない限り、記憶装置106からRAM105に読み込んだプログラムコードによって、CPU104が実行するものとする。
図5において、ステップS401では、ネットワーク通信部102がセキュリティポリシーデータをPC201から受信すると、ポリシー受信部117が該セキュリティポリシーデータをポリシー格納部110に格納する。
次に、ステップS402では、ポリシー変換部112は、ポリシー格納部110に格納されたセキュリティポリシーデータから1行目の情報セキュリティポリシーを取得する。そして、情報セキュリティポリシーの名称と値を抽出してRAM105に記憶する。
次に、ステップS403では、ポリシー変換部112は、変換ルール格納部111に格納されている変換ルールファイル501(図4(b))を取得する。そして、取得した変換ルールファイルのルール部502に書かれた情報セキュリティポリシーの名称と、RAM105に記憶された情報セキュリティポリシーの名称とを比較する。そして、その比較結果から一致する名称があるか判定する。つまり、ステップS402で抽出した情報セキュリティポリシーの名称が、図4(b)に示す変換ルールファイル501の情報セキュリティポリシーの名称群に含まれるか否かを判定する。変換ルール格納部111に格納されている変換ルールファイルを表形式で表した一例を図4(b)に示す。なお、本実施形態では、表形式の変換ルールファイルについて説明するが、セキュリティポリシーデータと同様に、必ずしも表形式である必要はない。
図4(b)において、変換ルールファイル501は、ルール部502と条件部503から構成されている。
ルール部502の2列目には、セキュリティポリシーデータに記述可能な情報セキュリティポリシーの名称がそれぞれ記述されている。ルール部502の3列目には、情報セキュリティポリシーの名称に対応したユーザーモードの名称がそれぞれ記述されている。
条件部503の2列目には、セキュリティポリシーデータに記述可能な情報セキュリティポリシーの名称がそれぞれ記述されている。条件部503の3列目には、セキュリティポリシーデータに設定可能な情報セキュリティポリシーの値がそれぞれ記述されている。条件部503の最後の列には、ユーザーモードの設定が情報セキュリティポリシーに従っているか判定するための条件がそれぞれ記述されている。
本実施形態では、変換ルールファイル501は、予め変換ルール格納部111に格納されているものとして説明するが、セキュリティポリシーデータと同様に、ネットワーク通信部102で外部(例えばPC201)から受信する形態であってもよい。また、変換ルールファイル501は、セキュリティポリシーデータを作成する情報システム部門の管理者とは別の管理者、例えば機器管理者によってネットワーク通信部102に配信され、変換ルール格納部111に格納されるというものであってもよい。
図4(b)において、ルール部502の2列目の「ファイルの改ざん検知」は、複合機101のユーザーモードの中でも、「強制デジタル署名付きPDF」、「強制ハッシュ付きPDF」に対応していることを示している。これは、複合機101がPDFファイル生成時に強制的にPDFファイルのハッシュ値(「強制デジタル署名付きPDF」の場合はハッシュ値を暗号化して得られたデジタル署名)を付加する機能を有している。これらの値によって、「ファイルの改ざん検知」の情報セキュリティポリシーに従っているか否かが決まることを意味している。
また、ルール部502の2列目における「ファイル送信の送受信方式」は、複合機101のユーザーモードの中でも、「FTP」、「SFTP」に対応していることを示している。これらは複合機101が利用できる通信プロトコルとして、FTPやSFTPの利用の可否を選択する機能を有しており、これらの値によって、「ファイル送信の送受信方式」の情報セキュリティポリシーに従っているか否かが決まることを意味している。なお、図4(b)の変換ルールファイル501をXML形式で表したものを図18に示す。
図5に戻り、ステップS403にて一致する名称があると判定した場合、ステップS404へ進む。ステップS404では、ポリシー変換部112は、ステップS402にてRAM105に記憶された情報セキュリティポリシーの名称を変換ルールファイル501のルール部502に記述されたユーザーモードの名称に変換する。そして、ポリシー変換部112は、管理者によって選択された情報セキュリティポリシーの値と対応付けてRAM105に中間情報として記憶する。例えば、図4(a)のセキュリティポリシーデータ401における「ファイルの改ざん検知」は、図4(b)の変換ルールファイル501におけるルール部502の「ファイルの改ざん検知」と一致する。
そこで、ポリシー変換部112は、情報セキュリティポリシーの名称「ファイルの改ざん検知」をユーザーモードの名称「強制デジタル署名付きPDF」、「強制ハッシュ付きPDF」に変換する。そして、これらと情報セキュリティポリシーの値「どれか一つ有効」と対応付けて中間情報としてRAM105に記憶する。
一方、ステップS403の判定結果から一致する名称がないと判定した場合、ポリシー変換部112は、ステップS402にRAM105に記憶された情報セキュリティポリシーの名称をエラー情報としてRAM105に記憶する(ステップS405)。
ステップS403でNOと判定される場合は例えば次のような場合である。セキュリティポリシーデータ401から取得した名称402が「HDDの残存データ削除」で且つ変換ルールファイルのルール部502に記述されている情報セキュリティポリシーの名称群に「HDDの残存データ削除」の項目が含まれていない場合である。
次に、ステップS406では、ポリシー変換部112は、セキュリティポリシーデータの次の行の情報セキュリティポリシーがあるか判定する。次の行の情報セキュリティポリシーがあると判定した場合、ステップS407へ進む。
ステップS407では、ポリシー変換部112は、セキュリティポリシーデータの次の行を取得し、情報セキュリティポリシーの名称と値を抽出してRAM105に記憶し、ステップS403に戻る。ステップS403〜S407の処理は、セキュリティポリシーデータに含まれるすべての情報セキュリティポリシーを読み取るまで行われる。図4(a)に示すセキュリティポリシーデータをすべて読み取った後に、RAM105に記憶された中間情報を表形式で表した一例を図4(c)に示す。
図4(c)に示す中間情報601では、ユーザーモードの名称「強制デジタル署名付きPDF」と「強制ハッシュ付きPDF」が、情報セキュリティポリシーの値「どれか一つ有効」に対応することを示している。また、ユーザーモードの名称「FTP」と「SFTP」が、情報セキュリティポリシーの値「情報セキュリティポリシーなし」に対応することを示している。なお、セキュリティポリシーデータ401における「HDD残存データ削除」は、変換ルールファイル501に名称が存在しないため、ステップS405にてエラー情報としてRAM105(エラー情報格納手段)に記憶される。
図5に戻り、ステップS408において、ポリシー変換部112は、セキュリティポリシーデータをすべて読み取ると、RAM105に記憶された中間情報を中間情報格納部115に格納する。
図6は、複合機101にセキュリティポリシーデータを適用する際に実行される情報セキュリティポリシー適用処理の流れを示すフローチャートである。なお、本処理は、特に断りがない限り、記憶装置106からRAM105に読み込んだプログラムコードによって、CPU104が実行するものとする。
ステップS409にて、ポリシー検証部109は、中間情報格納部115に格納された中間情報をすべて読み取ったか判定する。すべて読み取っていないと判定した場合、ステップS410にてポリシー検証部109は、中間情報から、取得していない情報セキュリティポリシーの値を1つと、それに対応するユーザーモードの名称を取得し、RAM105に記憶する。図4(c)に示す中間情報601の場合、「どれか一つ有効」と「強制デジタル署名付きPDF」、「強制ハッシュ付きPDF」がRAM105に記憶される。
次に、ステップS411にて、ポリシー検証部109は、RAM105に記憶されたユーザーモードの名称を用いて、ユーザーモード格納部114から複合機101に設定された現在のユーザーモードの値を取得する。複合機101のユーザーモード格納部114に格納されているユーザーモードの名称と値を表形式で表したものを図7(a)に示す。なお、表中の「ON」はユーザーモードの名称によって示される機能が有効であることを示し、「OFF」は無効であることを示す。例えば、ステップS411では、「強制デジタル署名付きPDF」の値として「OFF」、「強制ハッシュ付きPDF」の値として「OFF」を取得し、RAM105に記憶する。
ステップS412にて、ポリシー検証部109は、読み取った情報セキュリティポリシーの値を用いて、変換ルール格納部111に格納された変換ルールファイルの条件部503から、対応する条件を取得する。そして、RAM105に記憶された現在のユーザーモードが条件を満たすか判定する。
図4(b)に示す条件部503の「もっともセキュリティレベルの高い手段を使う」は、現在のユーザーモードの「強制デジタル署名付きPDF」の値が「ON」である場合に、ステップS412で条件を満たすと判定されることを示している。
「どれか一つ有効」は、現在のユーザーモードの「強制デジタル署名付きPDF」が「ON」もしくは「強制ハッシュ付きPDF」が「ON」である場合に、ステップS412で条件を満たすと判定されることを示している。
「情報セキュリティポリシーなし」は現在のユーザーモードの値に関わらず、ステップS412で条件を満たすと判定されることを示している。「暗号化通信ならOK」は現在のユーザーモードの「FTP」が「OFF」、「SFTP」が「ON」である場合に条件を満たすと判定することを示している。
ステップS412の判定結果から条件を満たすと判定した場合、ステップS409に戻る。一方、条件を満たさないと判定した場合、ポリシー検証部109は、ステップS410でRAM105に記憶された情報とステップS412にて変換ルールから取得した条件の組を画面制御情報としてRAM105に一時的に記憶する(ステップS413)。そして、ステップS409に戻る。
更に、本実施形態では、ステップS412にて、ポリシー検証部109は、ユーザーモードの値の確認だけでなく、複合機101の各アプリケーションが情報セキュリティポリシーを遵守しているかの確認も行う。具体的には、まずポリシー検証部109は、複合機101にインストールされている各アプリケーションが情報セキュリティポリシーに関係するアプリケーションであるかを判定する。例えば、「ファイルの改ざん検知」という情報セキュリティポリシーを適用する場合、複合機101にインストールされているアプリケーションが、「ファイルの改ざん検知」の情報セキュリティポリシーを遵守することができるアプリケーションであるか判定する。そして、遵守することができるアプリケーションである場合はアプリケーションのファイル改ざん検知機能を強制的にONにしたり、ファイルの改ざん検知を必須とする旨を当該アプリケーションに通知したりする。
また、ステップS412の判定の結果、ファイル改ざん検知の情報セキュリティポリシーを遵守することができないアプリケーションであると判定された場合には、ステップS413にてそのアプリケーションを示す画面制御情報をRAM105に記憶する。また、情報セキュリティポリシーを遵守しないアプリケーションの起動を制限したりしてもよい。
ステップS409からステップS413の処理は中間情報をすべて読み取るまで行われる。中間情報をすべて読み取ると、ステップS414へ進む。
ステップS414では、ポリシー検証部109は、RAM105に記憶された画面制御情報を画面制御情報格納部116に格納する。ステップS414を実行する時点でRAM105に記憶された画面制御情報を表形式で表したものを図7(b)に示す。
図7(b)において、複合機101の現在の「強制デジタル署名付きPDF」と「強制ハッシュ付きPDF」の両方の値がOFFであるため、「どれか一つ有効」の条件を満たさず、画面制御情報が記憶される。一方、「FTP」、「SFTP」の条件は「情報セキュリティポリシーなし」であるため、画面制御情報は記憶されない。
図6のステップS415では、ポリシー検証部109は、図5のステップS405でエラーとしてRAM105に記憶された情報セキュリティポリシーの名称若しくはステップS414にて画面制御情報格納部116に格納された画面制御情報があるか判定する。情報セキュリティポリシーの名称若しくは画面制御情報があると判定された場合、ステップS416に進む。ステップS416では、ポリシー検証部109は、これらの情報をネットワーク通信部102からネットワーク126を介してPC201に送信する。
PC201は、情報セキュリティポリシーの名称をネットワーク通信部202で受け取ると、複合機101に適用できない情報セキュリティポリシーがあった旨を管理者に通知する。また、PC201は、複合機101から画面制御情報を受け取った場合、PC201のディスプレイに図8(a)のような表示画面を表示し、複合機101が情報セキュリティポリシーに反した状態であることを管理者に通知する。
図8(a)では、「<エラー!>」の項目に、ステップS405でエラーとしてRAM105に記憶された「HDD残存データ削除」を、「注意!」の項目に、画面制御情報から抽出した「強制デジタル署名付きPDF」、「強制ハッシュ付きPDF」を表示する。なお、管理者に通知する方法として、PC201が画面を表示するとしたが、メールで情報を送信する等の方法であってもよい。
以上により、PC201で作成されたセキュリティポリシーデータを複合機101に好適に適用させることができる。特に、PC201で情報セキュリティポリシーを作成する情報システム部門の管理者は、複合機101の機能やユーザーモードの設定値などを意識せずに上記情報セキュリティポリシーを作成することができる。
次に、セキュリティポリシーデータが適用された複合機101におけるエラー画面表示処理について説明する。
図9は、複合機101の画面制御部113により実行されるエラー画面表示処理の流れを示すフローチャートである。なお、本処理は、特に断りがない限り、記憶装置106からRAM105に読み込んだプログラムコードによって、CPU104が実行するものとする。なお図9の処理は、図6のフローチャートが実行された後に実行される。
ステップS1001にて、画面制御部113は、画面制御情報格納部116に格納された画面制御情報が存在するか判定する。画面制御情報が存在すると判定した場合、ステップS1002にて画面制御部113はエラー画面を表示する。画面制御部113が表示するエラー画面の一例を図8(b)に示す。
図8(b)に示すエラー画面では、画面制御部113が図7(b)に示す画面制御情報から、ユーザーモードの名称を抽出し、「強制デジタル署名付きPDF」と「強制ハッシュ付きPDF」の設定変更が必要な旨が表示されている。なお、図8(a)に示すエラー画面と同様に「<エラー!>」の項目として「HDD残存データ削除」の情報セキュリティポリシーが適用されていない旨が表示されてもよい。そして、「HDD残存データ削除」の情報セキュリティポリシーを遵守するために必要な機能を複合機101に追加する旨が表示されてもよい。
本実施形態では、エラー画面が表示された状態で、ユーザーが複合機101で利用可能な機能が、UI操作部103を用いたユーザーモードの設定のみとして説明する。なお、情報セキュリティポリシーに違反したユーザーモードに関連しない機能は利用できるように画面制御を行ってもよい。
図9に戻り、ステップS1003にて、画面制御部113は、ユーザーによるUI操作部103の操作によってユーザーモード格納部114に格納されたユーザーモードの値が変更されたか否かを判定する。設定が変更されないと判定した場合、ステップS1002に戻り、図8(b)に示すエラー画面を表示する。一方、設定が変更された場合、図6に示すセキュリティポリシーの適用処理を行い、ステップS1001に戻る。
ステップS1001にて画面制御情報が存在しないと判定した場合、画面制御部113は、ステップS1003と同様の判定をする(ステップS1005)。ステップS1005にてユーザーモードの値が変更されたと判定した場合、ステップS1004に進む。一方、ステップS1005にてユーザーモードの値が変更されていないと判定した場合、本処理を終了して再度図9の処理を開始する。
なお、本実施形態では、管理者がPC201のポリシー生成部207を用いてセキュリティポリシーデータを生成する形態について説明した。しかし、ポリシー生成部207が複合機101内部にあり、管理者がUI操作部103もしくはPC201を用いて複合機101にアクセスし、セキュリティポリシーデータの設定を行う構成であってもよい。
次に、外部から追加された拡張アプリケーションに対して情報セキュリティポリシーを適用させる方法について説明する。
図10は、拡張アプリケーションの構成例を示す模式図である。
拡張アプリケーションは、複合機101とは異なる形態(CD−ROMやネットワーク配信など)で図10に示す形式で提供され、複合機101に取り込まれると構成要素が分解されて複合機101に格納される。
図10において、1001は拡張アプリケーションの全体を包含したパッケージ、1002は拡張アプリケーションの本体を示しており、例えばJava(登録商標)コードで構成される。また、アプリケーションの本体は、実際に機能を実現する機能実行部1004と、ポリシー強制処理部1005の両方を持つ。
1003は拡張アプリケーションそのものの情報を示すアプリケーション属性情報であり、マニフェストファイルとも呼ばれる。アプリケーション属性情報は例えばテキスト形式で記載されており、拡張アプリケーションの特徴を示す情報が記載されている。図示例では、拡張アプリケーションのアプリケーション名は「スキャン送信アプリケーション」、アプリケーションのバージョンはV1.00、アプリケーション識別子は16進数表記で0x1234、ポリシーバージョンはv1.00であることを示す。
複合機101は、拡張アプリケーション管理部118によって複数の拡張アプリケーションを管理、動作させることが可能である。また、API(アプリケーション・プログラム・インターフェイス)によって、複合機101のスキャン動作結果の受け渡しや、拡張アプリケーションによって作られた画像データの出力も可能である。さらに、ユーザー認証によって得られた認証情報の受け渡しや、機器のシャットダウンのようなソフトウェアの制御も可能となっている。
また、情報セキュリティポリシーに対応する拡張アプリケーションの場合、情報セキュリティポリシーの変更を拡張アプリケーションに通知し、関係する設定値を変更する。これにより、当該拡張アプリケーションの動作を情報セキュリティポリシーの範囲内に強制することが可能である。
図11は、複合機101と拡張アプリケーション間で情報のやり取りや指示を行うAPIを説明するための図である。
図11において、1601は複合機101を示し、1602は拡張アプリケーションを示す。両者の間にインターフェイスとしてAPIが取りきめられ、所定の呼び出しによってお互いの情報のやり取りや指示を行う。
1603は、拡張アプリケーション1602が動作中に、情報セキュリティポリシーの変更が行われたときに、変更を通知するためのイベント通知方法を登録するAPIである。このAPIは拡張アプリケーション1602から複合機101内の拡張アプリケーション管理部118に通知を行う。
複合機101は予め登録される拡張アプリケーションを把握していないため、個々の拡張アプリケーションが起動したときにイベント通知方法を登録する。イベント通知方法には、一般的なIPC(プロセス間通信)であるメッセージ通知を用いられるが、プロセス間の通信方法であれば他の方法を用いてもよい。
1604は実際に情報セキュリティポリシーの変更が発生した場合に、ポリシー変更通知部119が個々の拡張アプリケーションに通知を行うAPIである。これは1603のAPI呼び出しで登録されたメッセージを呼び出すことによって実現する。
1605は拡張アプリケーション1602がポリシー問い合わせ部120に対して情報セキュリティポリシーの設定値を問い合わせるためのAPIである。このAPIが呼び出されるのは、拡張アプリケーション1602が起動を始めた場合と、1604のAPIによって情報セキュリティポリシーの変更を通知された場合である。この問い合わせ結果に応じて、拡張アプリケーション1602は自身が持つ設定値を情報セキュリティポリシーに合うように強制する。
1606は拡張アプリケーション1602からシステム動作指示部121に対して複合機101の再起動の指示を行うためのAPIである。このAPIによって再起動の指示が行われると、複合機101は全ての情報セキュリティポリシーの変更に係わる処理が完了した時点で再起動を行う。
図12は、拡張アプリケーション管理部118の動作を説明するためのフローチャートである。
拡張アプリケーション管理部118は、複合機101の動作開始と共に起動し、以降電源遮断まで動作を継続する。
図12において、ステップS1101では、拡張アプリケーション管理部118は、拡張アプリケーションの登録が指示されたかどうかを判定する。拡張アプリケーション管理部118は、不図示のWebサービスインターフェイスを持ち、PC201の不図示のウェブ・ブラウザソフトウェアを用いることによって、拡張アプリケーションのパッケージ1001をネットワーク126を介して転送する。
次に、ステップS1102では、拡張アプリケーション管理部118は、転送されたパッケージ1001からアプリケーション属性情報1003を抽出して取得し、書き込まれた情報を調査する。
ステップS1103では、拡張アプリケーション管理部118は、ポリシーバージョンが記載されているかを判定する。ポリシーバージョンが記載されていると判定した場合、拡張アプリケーション管理テーブル1200にポリシーバージョンを記載する(ステップS1104)。
次に、拡張アプリケーション管理部118は、拡張アプリケーションにポリシー変更通知を行うためのポリシー変更イベントを登録する(API1603)(ステップS1105)。これは、上述したポリシー強制処理部1005に通知を行うイベントであり、Java(登録商標)コードのメッセージを想定しているが、他のプロセス間通信を使っても実現可能である。
ステップS1106では、拡張アプリケーション管理部118は、情報セキュリティポリシー以外のその他のアプリケーション属性を記憶装置106に記憶する。
次に、ステップS1107では、拡張アプリケーション管理部118は、アプリケーション本体1002を記憶装置106に記憶して、ステップS1101に戻り、次の拡張アプリケーションの登録を待つ。
図13は、拡張アプリケーション管理テーブル1200の一例を示す図である。
拡張アプリケーション管理テーブル1200は、拡張アプリケーション管理部118により管理及び保持され、図12のステップS1104及びステップS1106にてエントリが作成される。
図13において、1201〜1203は、登録された拡張アプリケーションの一例であり、複合機101に登録される拡張アプリケーションの数だけエントリを持つ。1204〜1207は拡張アプリケーション固有の情報であって、アプリケーション属性情報1003に記載された情報と同一の情報である。
1203で登録されている拡張アプリケーション「パーソナルセキュアプリント」のポリシーバージョンが「−(ハイフン)」になっている。これは当該拡張アプリケーションがポリシーバージョンを持っていないこと、すなわち情報セキュリティポリシーによって設定を強制する機能を持っていないことを示す。情報セキュリティポリシーによって設定を強制する機能を持っていないとは、例えば拡張アプリケーションが情報セキュリティポリシーに対応する前の古い拡張アプリケーション(レガシーアプリケーション)である場合である。または、そもそも情報セキュリティポリシーによって制限させる設定値がない場合である。これらの場合の扱いについては第2の実施形態で説明する。
次に、複合機101の情報セキュリティポリシーが変更になった場合の動作を説明する。
図14は、ポリシー変更通知部119の動作を説明するためのフローチャートである。
ポリシー変更通知部119は複合機101の動作開始と共に起動し、以降電源遮断まで動作を継続する。
図14において、ステップS1301では、ポリシー変更通知部119は、情報セキュリティポリシーの変更を検知した場合、拡張アプリケーション管理テーブル1200から拡張アプリケーションの情報を1つ取得する(ステップS1302)。これは、図6で説明したセキュリティポリシーの適用処理のステップS414を通過することによって検知したと判定する。
次に、ポリシー変更通知部119は、取得した拡張アプリケーションのポリシーバージョンを調査し(ステップS1303)、当該拡張アプリケーションのポリシーバージョンが設定されているかを判定する(ステップS1304)。ポリシーバージョンが設定されている場合、当該拡張アプリケーションが情報セキュリティポリシーに対応可能であるため、ポリシー変更通知部119は、当該拡張アプリケーションに情報セキュリティポリシー変更イベントを通知する(ステップS1305)。これは図12のステップS1105で登録した拡張アプリケーションのAPI1604を用いており、拡張アプリケーションは情報セキュリティポリシーの変更を検知して、情報セキュリティポリシーの問い合わせを行うきっかけとなる。
ステップS1306では、ポリシー変更通知部119は、拡張アプリケーション管理テーブル1200のすべての拡張アプリケーションへの問い合わせが完了したかを判定する。完了していない場合はステップS1302から次の拡張アプリケーションへの問い合わせを開始する。一方、すべての拡張アプリケーションへの問い合わせが完了した場合にはステップS1301に戻り、次の情報セキュリティポリシーの変更を待つ。
次に、個々の拡張アプリケーションにおける情報セキュリティポリシーの変更方法について説明する。
図15(a)は、拡張アプリケーションにおける情報セキュリティポリシーと設定値との関係の一例を示す図である。実際には、図示のような対応付けをデータ構造としてもよいし、あるいはJava(登録商標)コードとして実現されていてもよい。
1401は、「ファイルの改ざん検知」という情報セキュリティポリシーに対して、関連する設定値がないことを示している。1402は、「ファイルの送信方式=暗号化通信のみ」という情報セキュリティポリシーにおいて、FTP通信をOFFとし、SSL通信をONにする必要があることを示している。ここでいうFTPでは、通信時に認証情報が平文で流れるため、暗号化通信のみ許可されている場合にはプロトコルそのものを使用することができない。また、SSL通信はセキュアソケット層(Secure Socket Layer)を構成しているものであり、この経路上にながれる情報はすべて暗号化されるため、上記情報セキュリティポリシーを満たすことが可能である。
図16は、ポリシー強制処理部1005の動作を説明するためのフローチャートである。
ポリシー強制処理部1005は、拡張アプリケーションの動作開始と共に起動し、ポリシー変更に伴う拡張アプリケーションの設定変更を行う。
図16において、ステップS1501では、ポリシー強制処理部1005は、ポリシー変更イベントが届いたかどうかを判定する。届いたと判定した場合、ポリシー強制処理部1005は、拡張アプリケーションに関係する情報セキュリティポリシーを1つ取得して調査を行う(ステップS1502)。図15(a)に示す例では、設定値が影響を受ける情報セキュリティポリシーは「ファイルの送信方式=暗号通信ならOK」のみであるので、ステップS1502ではこの情報セキュリティポリシーに注目する。
次に、ステップS1503では、ポリシー強制処理部1005は、関連する設定値を1つ取得して調査する。図15(a)に示す例では、設定値は2つあり、最初に「FTP通信」という設定に注目する。
ステップS1504では、ポリシー強制処理部1005は、設定値が情報セキュリティポリシーを守っているかどうかを判定する。図15(a)に示す例では、「ファイルの送信方式=暗号通信ならOK」の情報セキュリティポリシーは「FTP通信」という設定値が「OFF」であることを要求している。もしFTP通信がONになっている場合は、ポリシー強制処理部1005は、ポリシーに合わせるために設定値を強制的にOFFに変更する(ステップS1505)。
ステップS1506では、ポリシー強制処理部1005は、情報セキュリティポリシーの設定値変更に伴い、再起動が必要かどうかを判定する。例えばネットワークでサービスを行っている場合、リアルタイムで設定を反映させることができない。その場合は複合機101全体の再起動を必要とする。そこで、ポリシー強制処理部1005は、図15(b)に示すテーブル情報を利用して、拡張アプリケーションの設定値の変更に伴い、再起動が必要かどうかを判定する。
図15(b)において、行1411では、設定値「FTP通信」は、再起動が必要と判定される。一方、行1412では、設定値「SSL通信」は、再起動が不要と判定される。
ステップS1506で再起動が必要と判定されると、ステップS1507において再起動フラグがセットされる。
ステップS1508では、ポリシー強制処理部1005は、全ての設定値について調査したかを判定する。ここでは「SSL通信」についても確認が必要となり、同様の判定が行われる。すべての設定値の確認が終わると、ポリシー強制処理部1005は、すべての情報セキュリティポリシーを調査したかを判定する(ステップS1509)。
すべての情報セキュリティポリシーを調査していない場合には、ステップS1502に移動し、ポリシー強制処理部1005は、次の情報セキュリティポリシーに関連する設定値の調査を同様に行う。
すべての情報セキュリティポリシーに関する調査が完了した場合、ポリシー強制処理部1005は、再起動フラグがセットされているかどうかを判定する(ステップS1510)。セットされている場合には、ステップS1511においてシステムに再起動が必要であることを、API1606を呼び出すことによって通知する。すべての処理が終わるとステップS1501に戻り、次のポリシー変更イベントを待つ。
上記第1の実施形態によれば、複合機に外部から導入される拡張アプリケーションに対しても、情報セキュリティポリシーの変更が発生したことを通知し、それに伴う設定値を強制する仕組みを提供する。これによって拡張アプリケーションに対しても情報セキュリティポリシーに従った状態の維持を図ることができる。また、拡張アプリケーションの設定を強制的に変更した場合に、必要な場合にだけ再起動を指示することが可能となり、ダウンタイムの縮小を行うことが可能となる。
さらに、セキュリティポリシーデータを複合機の設定が満たすべき条件に変換し、変換された条件を、現在の複合機の設定が満たしているか否か判定する。そして、複合機の設定が、変換された条件を満たしていないと判定された場合には、複合機の利用を制限して複合機の設定を見直すように通知する。これにより、情報セキュリティポリシーに従うようにユーザーモードの設定変更を促し、複合機の情報セキュリティポリシーに従った状態の維持を図ることができる。
[第2の実施形態]
上記第1の実施形態では、情報セキュリティポリシーを扱うことができる拡張アプリケーションの場合の説明のみを行った。この場合、情報セキュリティポリシーを認識しない拡張アプリケーションが複合機101に導入されている場合、情報セキュリティポリシーを変更しても当該拡張アプリケーションに設定値の変更を行わせることができない。
また、管理者は、このような拡張アプリケーションの設定値の見直しをする必要性に気付かず、情報セキュリティポリシーに合致しない状態での複合機101の運用を行ってしまうことで、セキュリティの脅威にさらされてしまうというリスクがある。
そこで本実施形態では、管理者に対して拡張アプリケーションを適切な設定値に変更する必要があることを通知する方法について説明する。
図19は、情報セキュリティポリシーを認識しない拡張アプリケーションの構成例を示す模式図である。図示の拡張アプリケーションは、図10に示す拡張アプリケーションから、ポリシー強制処理部1005とアプリケーション属性情報1003のポリシーバージョンが省かれている。
図示の拡張アプリケーションは、ポリシー強制処理部1005を有しないために、情報セキュリティポリシーが変更されても当該拡張アプリケーションの設定を情報セキュリティポリシーに合致させるように変更することができない。このような拡張アプリケーションを使用する場合は、情報セキュリティポリシーの変更による自動的な設定値の強制ができないため、複合機101の管理者に対して、手動による設定値の変更を促す。
図20は、本実施形態におけるポリシー変更通知部119の動作を説明するためのフローチャートである。図20のフローチャートは図12に示すフローチャートに対してステップS1707が追加されたものであり、この異なる点のみ説明する。
ステップS1704において、ポリシー変更通知部119は、調査中の拡張アプリケーションのポリシーバージョンを調査する。ポリシーバージョンが設定されていない場合(図19の場合が該当)、管理者に対して当該アプリケーションは手動による再設定が必要であるとの注意メッセージをUI操作部103に表示する(ステップS1707)。UI操作部103に表示される注意メッセージの一例を図21に示す。本実施形態では、拡張アプリケーションを識別するために、アプリケーション属性情報1803からアプリケーション名とバージョン名の情報を抽出して表示をおこなっている。
このように、拡張アプリケーションが情報セキュリティポリシーを扱うことができる場合には、上記第1の実施形態のように設定値を情報セキュリティポリシーに合致するように自動的に適用し、扱えない場合には注意メッセージを表示する。これによって管理者に対して最小限の設定見直しを提示することが可能となり、管理者の設定負荷を最小限に抑えることが可能となる。
[第3の実施形態]
情報セキュリティポリシーの項目は、一般的に一度決めたら不変というわけではなく、複合機の機能の追加やセキュリティ対策等に応じて、項目が追加される可能性がある。どの項目に対応しているかは情報セキュリティポリシーのポリシーバージョンで識別される。
図22(a)はポリシーバージョンがV1.00の場合の情報セキュリティポリシー項目の一覧を示す図であり、図22(b)はポリシーバージョンがV1.01の場合の情報セキュリティポリシー項目の一覧を示す図である。
図示例では、ポリシーバージョンがV1.01に上がることにより、新たに「パスワードの文字数は8文字以上を使う」という情報セキュリティポリシー項目が増加している。この情報セキュリティポリシーは、文字数の短いパスワードが使用可能であると、容易に他人にわかってしまい、なりすましが可能であるという脅威に対抗することを目的とする項目である。
このような前提において、追加される可能性のある情報セキュリティポリシーの仕様が予めわからないため、必ずしも拡張アプリケーションが情報セキュリティポリシーのバージョンアップに追随できるわけではない。そのため、複合機101が扱う情報セキュリティポリシーのポリシーバージョンと、拡張アプリケーションの扱うことができる情報セキュリティポリシーのポリシーバージョンが異なる場合がある。このとき、新しく追加された情報セキュリティポリシー項目に対して、導入済みの拡張アプリケーションが設定値を強制できないことがある。管理者は、このような拡張アプリケーションの設定値の見直しをする必要性に気付かず、情報セキュリティポリシーに合致しない状態での複合機101の運用を行ってしまうおそれがある。本実施形態では、このような場合に、管理者に対して適切な設定値に変更する必要があることを通知する方法について説明する。
本実施形態では、複合機101に図10に示す拡張アプリケーションを導入しているときに、複合機101全体の情報セキュリティポリシーのポリシーバージョンをV1.01に更新するものとする。
ポリシーバージョンを更新するとともに、当該バージョンに対する情報セキュリティポリシーの設定が行われると、ポリシー変更通知部119が呼び出される。
図23は、第3の実施形態におけるポリシー変更通知部119の動作を説明するためのフローチャートである。図23のフローチャートは図20に示すフローチャートに対してステップS2308,S2309が追加されたものであり、これら異なる点のみ説明する。
ステップS2308において、ポリシー変更通知部119は、拡張アプリケーションのポリシーバージョン(例えば図10のV1.00)と、複合機101のポリシーバージョン(V1.01)とを比較する。複合機101のバージョンが大きいので、ステップS2309に進み、複合機101のバージョンが大きいので、ステップS2309に進み、図24に示す注意メッセージが表示される。
図24において、2401は拡張アプリケーションの名称を表示し、2402は差分となる情報セキュリティポリシー項目を表示している。
一方、拡張アプリケーションの情報セキュリティポリシーのバージョンと、複合機の情報セキュリティポリシーのバージョンが一致する場合、上記第1の実施形態のように、設定値を情報セキュリティポリシーに合致するように自動的に変更することが可能である。
両者の情報セキュリティポリシーが一致しない場合には、注意メッセージを表示するように構成してもよい。これによって管理者に対して最小限の設定見直しを提示することが可能となり、管理者の設定負荷を最小限に抑えることが可能となる。
[第4の実施形態]
上記実施形態では、拡張アプリケーションが保持しているアプリケーション属性情報にポリシーバージョンが付与されている場合には、当該拡張アプリケーションの情報セキュリティポリシーの対応状況がシステム上で識別できる。
しかしながら、実際の運用としてアプリケーション属性情報にポリシーバージョンが付与できない場合がある。例えば拡張アプリケーションがすでに市場に広く出回っており、アプリケーション属性情報にポリシーバージョンを保持しない場合である。このような拡張アプリケーションを実際に使用したいという要求がある一方、機器の情報セキュリティポリシーに反するため、無条件には許可することはできない。
ここで、拡張アプリケーションが機器の情報セキュリティポリシーに対応せずに問題となる場合について説明する。
アプリケーションAは、FTPで印刷ジョブを受けつける独自のサーバ機能を持ち、受信した印刷ジョブを機器において印刷する機能を有するものとする。AによるFTPポートは、図7(a)のユーザーモード設定と無関係に動作する場合、第1の実施形態で説明した情報セキュリティポリシー(ファイルの送信方式=暗号化通信ならOK)による設定変更を行っても、Aの動作には影響せず、FTP動作を続ける。本来、このような場合、アプリケーションAは情報セキュリティポリシーの変更を検知して、それに従うようにFTPポートを閉じる必要がある。
しかしながら、アプリケーションAが情報セキュリティポリシーに対応していないため、機器全体ではアプリケーションAによるFTPポートが空いた状態が継続する。一般的にネットワーク機器に対しては、ポートスキャンという解析手法を用いることにより、当該機器で空いているポート番号が明確に判断できる。この手法により、当該機器は、情報セキュリティポリシー(ファイルの送信方式=暗号化通信ならOK)に反してFTP動作を許可していることを解析可能であり、運用上の問題が露呈する。
次に、拡張アプリケーションが機器の情報セキュリティポリシーに対応しなくても問題がない場合について説明する。
アプリケーションBは、機器にたまった印刷データを印刷指示する機能を持つものとする。このアプリケーションBは、ネットワークを使った受信処理には関与せず、セキュリティポリシー(ファイルの送信方式=暗号化通信ならOK)には影響を受けない。アプリケーションBの場合は、セキュリティポリシーがどのような設定になっていたとしても動作には影響せず、かつセキュリティポリシーを外れないことが分かる。
機器はアプリケーションA,Bについて、アプリケーション属性情報1003に情報セキュリティポリシーに関する情報がないため、どのアプリケーションを動作させていいかの判断がシステム上できない。そのため、第1の実施形態では、図23のステップS2307において手動による再設定が必要であることを警告表示している。
本実施形態では、上述したアプリケーションの特徴を管理者が判断し、組織で使用してもセキュリティポリシーとして問題ないアプリケーションBの警告表示を行わないようにさせる方法について説明する。
図25は、第4の実施形態におけるセキュリティポリシーデータの一例を示す図である。
図25に示すセキュリティポリシーデータは、図17に示すセキュリティポリシーデータに対して、2601の枠内に記載された部分が追加されたものである。<ポリシー除外アプリID>というタグの中には、除外すべきアプリケーション識別子のリストが記載されている。図示例では、「abc1234567」と「xyz234568」という2つのアプリケーション識別子を除外としている。このように、情報セキュリティポリシーの適用有無にかかわらず動作が可能な拡張アプリケーションの識別子のリストをホワイトリストと呼ぶ。ポリシー変更通知部119は、セキュリティポリシーデータから、このホワイトリストを抽出して格納する。
セキュリティポリシーデータは、当該組織の情報セキュリティポリシーを決める権限が持つ人が記述するものであり、その権限において使用を許可するアプリケーションを事前にホワイトリストに指定することが可能である。
次に、セキュリティポリシーデータに、除外するアプリケーション識別子が記載されている場合のポリシー変更通知部の動作について説明する。
図26は、第4の実施形態におけるポリシー変更通知部119の動作を説明するためのフローチャートである。図26のフローチャートは図23のフローチャートに対してステップS2510,S2511が追加されたものであり、これら異なる点のみ説明する。
ステップS2510では、ポリシー変更通知部119は、拡張アプリケーションがホワイトリストに登録されているか調査する。つづいて、ホワイトリストに登録されている場合には、特に警告表示等を行わずにステップS2506に進む。一方、ホワイトリストに登録されていない場合にはステップS2507に進み、拡張アプリケーションの手動による再設定が必要である旨の警告表示が行われる。このような処理を設けることによって、管理者がホワイトリストに予め登録した拡張アプリケーションに関しては、特に警告を表示することなく利用することが可能である。
さらに拡張アプリケーションが情報セキュリティポリシーに応じて、動作可能かを利用者に知らせるためのGUIを設けてもよい。
図27は、拡張アプリケーションの情報がUI操作部103に表示されたUI画面の一例を示す図である。
拡張アプリケーションの情報は、ポリシー変更通知部119が、登録された各拡張アプリケーションの確認をする過程において、拡張アプリケーション管理部118に保存される。
図27において、2701は画面全体を示し、2702はアプリケーションに関する情報である。ここでは「アプリケーション名」は「印刷アプリケーション」であり、「製品バージョン」が「1.0.1」であることを示す。これらの情報は、図10に示したアプリケーション属性情報1003に記載されたアプリケーション名とバージョンに記載された情報である。
2703は情報セキュリティポリシー対応に関する情報である。「ポリシー対応」の項目は、図26のステップS2504の判定結果から「なし」であることを示す。「ホワイトリスト対応」の項目は、図26のステップS2510で調査した結果であり、「あり」が表示されている。
「ポリシーによる制限」は、図26のステップS2507において拡張アプリケーションがセキュリティポリシーによる制限(警告が表示される)と判定された場合には「あり」となり、そうでない場合は「なし」となる。図27ではホワイトリストに記載されているため、制限が「なし」と判定される。このように拡張アプリケーションの情報セキュリティポリシーに関する情報を表示することによって、利用者にとって当該拡張アプリケーションが利用可能かどうかを判断することが可能となる。
第4の実施形態によれば、複合機101では、外部のPC201から配信されたセキュリティポリシーデータから、情報セキュリティポリシーの適用が除外される拡張アプリケーションの識別子を抽出する。そして、複合機101内の拡張アプリケーションの識別子に、上記抽出した拡張アプリケーションの識別子と一致するものがなく、且つ複合機101内の拡張アプリケーションが、セキュリティポリシーデータに記述された情報セキュリティポリシーを満たさない場合は、拡張アプリケーションの情報セキュリティポリシーの再設定が必要であることを管理者に通知する。これにより、機器内の拡張アプリケーションの情報セキュリティポリシーが機器のセキュリティポリシーに対応していなくとも、管理者が判断して当該拡張アプリケーションの利用が可能となり、機器における情報セキュリティポリシーの管理が容易になる。
[第5の実施形態]
上記第2〜第4の実施形態では、拡張アプリケーションが情報セキュリティポリシーに違反する可能性がある場合、当該アプリケーションは手動による再設定が必要である旨のメッセージを表示する構成である(ステップS1707,S2507)。そこで、より情報セキュリティポリシーによる強制力を増すために、設定の見直しではなく、動作を停止するようにしてもよい。
図28は、第5の実施形態における複合機101と拡張アプリケーション間で情報のやり取りや指示を行うAPIの動作を説明するための図である。なお、図28は、図11に対して、APIである2807が追加されたものであり、他の構成については説明を省略する。
図28において、2807は拡張アプリケーションが情報セキュリティポリシーを守れないと判断されたときに、当該拡張アプリケーションに対して停止を指示するAPIである。このAPI2807は、拡張アプリケーションが動作時あるいは複合機101が起動するタイミングで拡張アプリケーションに通知を行う。その結果、当該拡張アプリケーションは停止処理を行い、以降当該拡張アプリケーションが提供するサービスを停止する。
図29は、第5の実施形態におけるポリシー変更通知部119の動作を説明するためのフローチャートである。図29のフローチャートは図26のフローチャートに対してステップS2907が異なるのみである。
図26のステップS2507では、管理者に拡張アプリケーションの設定を見直すよう促す表示が行われていたが、図29のステップS2907では、拡張アプリケーションに対する停止指示として、ステップS2807に相当するAPIをコールする。
このように、情報セキュリティポリシーに応じて拡張アプリケーションの動作を停止させることにより、厳格に情報セキュリティポリシーを維持することも可能である。
本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(またはCPUやMPU等)がプログラムを読み出して実行する処理である。