JP6525776B2 - 監視装置、監視装置の制御方法、及びプログラム - Google Patents

監視装置、監視装置の制御方法、及びプログラム Download PDF

Info

Publication number
JP6525776B2
JP6525776B2 JP2015136664A JP2015136664A JP6525776B2 JP 6525776 B2 JP6525776 B2 JP 6525776B2 JP 2015136664 A JP2015136664 A JP 2015136664A JP 2015136664 A JP2015136664 A JP 2015136664A JP 6525776 B2 JP6525776 B2 JP 6525776B2
Authority
JP
Japan
Prior art keywords
monitoring
setting information
task
setting
difference
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015136664A
Other languages
English (en)
Other versions
JP2017021458A (ja
Inventor
淳史 佐藤
淳史 佐藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2015136664A priority Critical patent/JP6525776B2/ja
Priority to US15/203,598 priority patent/US10609201B2/en
Publication of JP2017021458A publication Critical patent/JP2017021458A/ja
Application granted granted Critical
Publication of JP6525776B2 publication Critical patent/JP6525776B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M1/00Substation equipment, e.g. for use by subscribers
    • H04M1/72Mobile telephones; Cordless telephones, i.e. devices for establishing wireless links to base stations without route selection
    • H04M1/724User interfaces specially adapted for cordless or mobile telephones
    • H04M1/72403User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality
    • H04M1/72409User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality by interfacing with external accessories
    • H04M1/72415User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality by interfacing with external accessories for remote control of appliances
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/37Managing security policies for mobile devices or for controlling mobile applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration

Description

本発明は、ネットワークデバイスの設定情報のリモート監視制御に関する。
従来から、ネットワーク上に存在する画像形成装置などのデバイスに対して、IT管理者が、各デバイスに設定した設定が意図しない設定値に変更されていないかをリモートで監視するための技術が存在する。
例えば、特許文献1では、管理サーバに記憶されている設定と、監視対象のデバイスから取得した設定を比較し、両者が異なる場合には管理サーバに記憶している設定をデバイスに配信して設定を正常に戻すことにより、デバイスの安定稼働を実現している。
また、特許文献2では、デバイスの設定を監視する期間を設定し、監視期間内に設定を変更しようとした場合、変更要求を棄却したり、監視設定を行ったユーザに通知したりすることで、デバイスの設定が不用意に変更されることを防いでいる。
特願2006−318207号公報 特開2004−192625号公報
近年、各種デバイスにおいても、ネットワーク環境やオフィスのセキュリティ指針に従った利用を徹底するために、セキュリティに係るような設定を強制して変更できなくする設定情報の管理機能が搭載されている。このような機能は一般的にセキュリティポリシーと呼ばれる。
通常、セキュリティポリシーを変更するためには、従来の設定変更と比較してより上位のユーザ権限や特別なパスワードが必要とされるが、そのような権限を持つユーザがセキュリティポリシーを不用意に変更してしまう可能性がある。そのため、従来の設定監視と同様に、セキュリティポリシーを監視する機能が必要となる。このとき、設定とセキュリティポリシーとではセキュリティレベルが異なるため、検出した変更の管理者への通知や元の値への更新を行うべきかどうかの判断も異なるべきである。
このような設定やセキュリティポリシーの変更の管理者への通知や元の値への更新が適切に行われないと、管理者による監視業務やネットワークデバイスのセキュリティ維持に支障をきたす可能性があった。例えば、管理者へ不要な通知が大量に送信されてしまい、管理者の業務に影響を与え、管理コストを上昇させてしまう可能性があった。また、本来管理者に通知すべきセキュリティリスクの高い変更が通知されない、本来元の値に戻すべきセキュリティリスクの高い項目の値が元にもどされない、といったネットワークデバイスのセキュリティを脅かす事態が発生する可能性もあった。
本発明は、上記の問題点を解決するためになされたものである。本発明の目的は、一般の設定とセキュリティポリシーの設定のような複数種別の設定情報の監視を両立する場合であっても、管理者へ不要な通知等の不要な処理を低減しつつ、セキュリティリスクの高い変更については適正に対処可能にする仕組みを提供することである。
本発明は、所定の認証なしに特定の項目の値の変更ができないようにする管理機能に対応したネットワークデバイスと通信する監視装置であって、監視対象となるネットワークデバイスについて、複数の項目と各項目の値とからなる設定情報を監視する監視タスクの実行を制御する制御手段と、前記監視タスクが実行された際に、監視対象のネットワークデバイスから設定情報を取得する取得手段と、前記取得手段により取得された設定情報と、前記監視タスクの監視用の設定情報とを比較して差異を判定する判定手段と、前記判定手段により差異があると判定された場合に、前記監視タスクの監視設定に従う処理を実行する処理手段と、を有し、前記判定手段は、前記監視用の設定情報には含まれているが前記取得された設定情報に含まれていない項目については、前記監視タスクが前記管理機能に係る監視のためのタスクであった場合に差異があると判定し、前記監視タスクが前記管理機能に係る監視のためのタスクでなかった場合に差異がないと判定し、前記判定手段は、さらに、前記監視用の設定情報及び前記取得された設定情報の両方に含まれている項目については、該項目の値を比較して差異がある否かを判定することを特徴とする。
本発明によれば、複数種別の設定情報の監視を両立する場合でも、不要な処理を低減しつつ、セキュリティリスクの高い変更については適正に対処することができる。
よって、一般の設定とセキュリティポリシーの設定のリモート監視を両立する場合であっても、管理者へ不要な通知等の不要な処理を低減しつつ、セキュリティリスクの高い変更については適切に通知、設定値の更新等の対処が可能となる。
本実施例の管理サーバを含むデバイス管理システムの構成図 管理サーバのハードウェア構成図 管理サーバ及びデバイスのソフトウェア構成図 デバイスのハードウェア構成図 デバイス探索結果を例示する図 デバイスから取得したデバイス構成ファイルを例示する図 デバイス管理アプリケーションの画面例 設定監視タスク作成処理を例示するフローチャート 設定監視タスクで監視対象とするデバイス設定情報の選択画面例 設定監視タスクで監視対象とするデバイスの選択画面例 セキュリティポリシー監視タスク作成処理を例示するフローチャート セキュリティポリシー監視タスクで監視対象とするデバイス設定情報の選択画面例 セキュリティポリシー監視タスクで監視対象とするデバイスの選択画面例 セキュリティポリシーパスワードの入力画面例 監視タスク実行処理を例示するフローチャート 実施例1の差異判定処理を例示するフローチャート 監視用デバイス構成ファイルを例示する図 監視用デバイス構成ファイルを例示する図 実施例2の差異判定処理を例示するフローチャート 監視用デバイス構成ファイルを例示する図
以下、本発明を実施するための形態について図面を用いて説明する。
図1は、本発明の一実施例を示す監視装置を含むデバイス管理システムの構成を例示する図である。
図1に示すように、本実施例のデバイス管理システムは、管理サーバ1000と、デバイス2000(DevA1〜DevAxおよびDevB1〜DevBx)を有する。以下、デバイスDevA1〜DevAxおよびDevB1〜DevBxを総称してデバイス2000と呼ぶ。管理サーバ1000とデバイス2000とは、互いに通信回線3000により接続されている。なお、大規模なデバイス管理システムでは、デバイス2000の数が数百〜数万になることも考えられる。
管理サーバ1000は、デバイス2000を管理するために、後述する図3に示すデバイス管理部30が稼働するサーバであり、本発明の監視装置に対応する。
デバイス2000は、後述する図3に示すデバイス構成サービス部36が稼働するネットワークデバイスである。本発明におけるネットワークデバイスは、セキュリティに係るような設定を強制して変更できなくする設定情報の管理機能(セキュリティポリシー)をサポートしている。適用すべきセキュリティポリシーのバージョン、もしくはセキュリティポリシーに対応する項目やその設定値を変更するためには、特殊な認証が必要とされる。
ここで特殊な認証には、セキュリティポリシーに該当しない一般的な設定値の変更と比較してより上位のユーザ権限や、特別なパスワード(セキュリティポリシーパスワード)が必要とされる。
デバイス2000は、例えば、画像形成装置(プリンタ、スキャナ、ファクシミリ、複合機等)、情報処理装置(パーソナルコンピュータ、タブレット端末、スマートフォン等)、ネットワークカメラ、デジタル医療機器、ロボット、車載端末、空調機器、その他ネットワーク家電などのネットワークデバイスである。
図2は、管理サーバ1000のハードウェア構成を例示する図である。
図2において、201はCPUで、ROM202又はハードディスク(HDD)212に格納されるプログラムを必要に応じてRAM203にロードして実行することにより、各種制御を実行する。HDD212には、後述のすべての説明でソフトウェア上の動作主体となる本実施例に係るデバイス管理ソフトウェアのプログラムが格納され、CPU201により実行される。
後述のすべての説明において、特に断りのない限り、ハードウェア上の実行の主体はCPU201である。一方、ソフトウェア上の制御の主体は、上述のように、ハードディスク(HDD)212に格納されたデバイス管理ソフトウェア(デバイス管理プログラム)である。即ち、CPU201が、HDD212にコンピュータにより読み取り可能に記録されたデバイス管理プログラムを読み出して実行することにより、後述する管理サーバ1000の機能を実現する。
202はROMで、BIOSやブートプログラムが格納されている。203はRAMで、CPU201の主メモリー、ワークエリア等として機能する。205はキーボードコントローラ(KBC)で、キーボード(KB)209やポインティングデバイス(PD)210などからの指示入力を制御する。206はディスプレイコントローラ(DSPC)で、ディスプレイ(DSP)211の表示を制御する。
207はディスクコントローラ(DKC)で、ハードディスク(HDD)212やCD−ROM(CD)213などの記憶装置へのアクセスを制御するものである。HDD212およびCD−ROM(CD)213などには、ブートプログラム、オペレーティングシステム、データベース、デバイス管理プログラムおよびそのデータ等が記憶されている。
208はインタフェースコントローラ(IFC)で、通信回線3000を介してデバイス2000とのデータ通信を行う。これらの各構成要素は、システムバス204上に配置される。
なお、本実施例に係るデバイス管理プログラムは、CD−ROMなどの記憶媒体に格納された形で供給されてもよい。その場合には、図2に示すCD213などによって記憶媒体からプログラムが読み取られ、HDD212にインストールされる。なお、HDDの代わりに又はHDDと併用してSSD(ソリッドステートドライブ)等の他の記憶装置を備えていてもよい。
図3は、管理サーバ1000上で動作するデバイス管理部30と、デバイス2000上で動作するデバイス構成サービス部36のソフトウェア構成を例示する図である。
なお、デバイス管理部30は、管理サーバ1000のCPU201がHDD212に格納されるプログラムを読み出して実行することにより実現される機能部である。また、デバイス構成サービス部36は、後述する図4に示すデバイス2000のCPU401がROM402に格納されるプログラムを読み出して実行することにより実現される機能部である。
デバイス管理部30は、デバイス探索部31、タスク管理部32、デバイス構成管理部33、データ保管部34、及びデバイス構成データ保管部35を有する。デバイス管理部30は、Webベースのアプリケーションとしての実施も可能であり、その場合には、Webブラウザを介してパーソナルコンピュータ(PC)等から利用が可能である。デバイス管理部30をWebベースのアプリケーションとして実施する場合、デバイス管理部30は、例えば後述する図7、図9、図10、図12〜図14に示す画面をWebブラウザ上に表示するように制御する。
タスク管理部32は、デバイス探索部31やデバイス構成管理部33が生成し、データ保管部34に保管したタスクの実行機能を有する。タスクには、管理サーバ1000に実行させる機能と、実行日時(スケジュール)などの実行条件が設定される。タスク管理部32は、タスクに設定されたスケジュールに応じて、デバイス探索部31、もしくはデバイス構成管理部33にタスク実行を指示する。
デバイス探索部31は、SNMP、IP Broadcast、SLP/Multicast等の公知の技術を用いて、通信回線3000に接続されたデバイス2000を探索する。本実施例では、デバイス探索部31は、デバイス探索の結果として、デバイス名、製品名、及びIPアドレス等のデバイス情報を取得し、例えば後述する図5に示すように、データ保管部34へ保存する。
また、デバイス探索部31は、通信回線3000を介してMIB(Management Information Base)といった公知の技術を用いて、デバイス2000の各種情報を取得/変更する機能を有する。
デバイス構成管理部33は、SOAP(Simple Object Access Protocol)などの公知の技術を用いて、デバイス2000のデバイス構成サービス部36と通信を行い、デバイス2000を形成する各種設定情報を取得する。ここで、設定情報には、セキュリティポリシーも含まれる。本実施例では、デバイス構成管理部33は、デバイス2000の設定情報をデバイス構成ファイルという形式で取得し、取得したデバイス構成ファイルをデバイス構成データ保管部35に格納する。
また、デバイス構成管理部33は、デバイス構成データ保管部35に保存しているデバイス構成ファイルを、デバイス2000に配信する機能を有する。
さらに、デバイス構成管理部33は、デバイス2000から取得した設定情報が、管理者が予め監視対象として指定した設定情報(監視対象設定情報と呼ぶ)と差異があるかどうか検証し、差異があった場合に所定の処理を行う機能を有する。
所定の処理とは、例えば、「メール通知する」、「修復する」、「修復してメール通知する」などである。「メール通知する」は、差異があると判定された項目の値がデバイス2000において変化したことを管理者に電子メール等で通知する処理を示す。また、「修復する」は、差異があると判定された項目のデバイス2000における値を監視対象設定情報で上書きする処理を示す。また、「修復してメール通知する」は、「メールで通知する」と「修復する」の両方を行う処理を示す。なお、管理者への通知は電子メールに限定されるものではなく、SNSのメッセージやその他の通知方法であってもよい。
デバイス2000のデバイス構成サービス部36は、SOAPなどの公知の技術を用いて、管理サーバ1000のデバイス構成管理部33と通信を行い、デバイス2000を形成する各種設定情報を管理サーバ1000に送信する。また、デバイス構成サービス部36は、管理サーバ1000のデバイス構成管理部33から送信される監視対象設定情報で、デバイス2000の設定を上書きする。
図4は、デバイス2000のハードウェア構成を例示する図である。
図4において、400は、デバイス2000の一例としての、印刷機能やスキャン機能、ネットワーク通信機能などを備える画像形成装置である。
401は画像形成装置全体の制御を司るCPUである。402はROMで、CPU401が実行する印刷処理プログラムやフォントデータを格納する。403はRAMで、CPU401のワークエリア、受信バッファ、画像描画に使用される。404はHDDで、画像形成装置400の設定値などを記録するハードディスクである。なお、HDDの代わりに又はHDDと併用してSSD(ソリッドステートドライブ)等の他の記憶装置を備えていてもよい。
405は操作パネルで、各種スイッチやボタン、並びに、タッチパネル、メッセージ表示用の液晶表示部を有する。操作パネル405では、ユーザ操作により画像形成装置400の設定値を変更することも可能である。
406はネットワークインタフェース(ネットワークI/F)で、ネットワークに接続するためのものである。407はプリンタエンジンで、記録紙に印刷を行うものである。408はスキャナで、原稿を読み取るためのものである。409はファクシミリ通信部で、ファクシミリの送受信を行うための通信部である。
図5は、デバイス探索部31がデータ保管部34に格納するデバイス探索結果を例示する図である。
図5の例では、各デバイスに対して、デバイス名、製品名、及びIPアドレスが記録されている。なお、デバイス情報は、デバイス探索部31が行ったデバイス探索により取得される以外に、DKC207を介してCSV形式のファイルなどから取り込むことで取得されてもよい。
図6は、デバイス構成管理部33がデバイス2000から取得するデバイス構成ファイルを例示する図である。図6の例では、デバイス構成ファイルは、XML形式でデバイス2000の設定値を保持している。
601は、デバイスの各種情報を表す要素である。図6の例では、601には、デバイス名やシリアルNo、機種名などが記述されている。
602は、デバイスの各種設定情報のうち電力管理に係る設定を表す要素である。図6の例では、602には、自動的にスリープモードに移行するまでの時間や、より消費電力の低い、いわゆるディープスリープモードを有効にするかどうかの設定が記述されている。
610は、デバイスのセキュリティポリシーを表す要素である。図6の例では、610には、セキュリティポリシーバージョン=1.20として記述されている。セキュリティポリシーバージョンとは、セキュリティポリシーの構成を特定するための情報である。セキュリティポリシーバージョンが異なると、セキュリティポリシーの項目が異なったり、項目は同じでも設定できるポリシー設定値が異なったりする可能性がある。
611は、セキュリティポリシーパスワードを表す要素である。セキュリティポリシーパスワードは、デバイスごとに設定可能なパスワードであり、デバイス構成管理部33がデバイス2000からデバイス構成ファイルを取得する際には、デバイス構成サービス部36によって611に示す通りデバイス構成ファイル上に記述される。
反対にデバイス構成管理部33からデバイス構成サービス部36にデバイス構成ファイルを配信する際には、デバイス構成サービス部36によって、デバイス構成ファイル上のセキュリティポリシーパスワード611がデバイス2000に設定されているセキュリティポリシーパスワードと合致するか検証される。セキュリティポリシーパスワードが合致した場合には、配信したセキュリティポリシーの内容がデバイス2000に反映される。一方、セキュリティポリシーパスワードが合致しなかった場合には、デバイス構成サービス部36がデバイス構成管理部33に対してエラーを返す。
612は、セキュリティポリシーの各項目を表す要素である。図6の例では、612には、ID=I0001〜I0010までの10個のセキュリティポリシー項目が記述されている。
図6に例示するように、デバイス2000の設定情報には、602のような一般の設定情報と、一般の設定情報を強制するための設定情報(610〜612のようなセキュリティポリシー設定情報)とがある。
なお、デバイス構成ファイルは、図6に示す以外にも、たとえば印刷設定やアドレス帳設定など、デバイスに係るあらゆる設定情報が記述されてもよい。また、デバイス構成ファイルには、各設定情報がすべて記述されている必要はなく、例えば610〜612に示すようなセキュリティポリシー設定情報が記述されていなかったり、逆にセキュリティポリシー設定情報だけが記述されていたりしてもよい。デバイス構成ファイルにどのような設定情報が記述されるかは、デバイス構成管理部33がデバイス構成サービス部36に対して、どのような設定情報の出力を要求するかによって決定する。
図7は、デバイス管理アプリケーションの画面例を示す説明図である。
図7に示すようなデバイス管理アプリケーション700の画面は、デバイス管理部30により、DSP211等に表示されるものである。
図7に示すように、デバイス管理アプリケーション700の画面は、メニュー701とタスク作成領域702とを有する。
デバイス管理部30は、ユーザが選択したメニュー701に応じて、タスク作成のための画面をDSP211上のタスク作成領域702に表示する。
図7の例では、メニュー701は、デバイス探索部31が提供する「デバイス探索」メニューと、デバイス構成管理部33が提供する「デバイス構成管理」メニューを含む。
さらに、「デバイス探索」メニューは、「デバイス探索タスクの作成」メニューを含む。
また、「デバイス構成管理」メニューは、「構成情報取得タスクの作成」、「構成情報配信タスクの作成」、「設定監視タスクの作成」、「セキュリティポリシー監視タスクの作成」メニューを含む。
以下、設定監視タスク作成、セキュリティポリシー監視タスク作成の流れを示す。
まず、図8〜図10を用いて、設定監視タスク作成の流れを示す。
図8は、設定監視タスク作成処理を例示するフローチャートである。図8のフローチャートに示す処理は、管理サーバ1000のデバイス管理部30により実行される。すなわち図8のフローチャートの処理は、CPU201が、HDD212に記録されたプログラムを読み出して実行することにより実現されるものである。
S801において、デバイス構成管理部33は、デバイス構成データ保管部35に保存してあるデバイス構成ファイルを取得して図9に示すような監視対象とするデバイス設定情報の選択画面をタスク作成領域702に表示し、監視対象とする設定情報が含まれるデバイス構成ファイルの選択を、ユーザから受け付ける。
図9は、図8のS801において監視対象とするデバイス設定情報を選択する際にタスク作成領域702に表示される画面を例示する図である。
図9では、設定情報名や、更新日時などの情報が表示されている。設定情報名は、デバイス構成ファイルを識別可能なものであり、例えばデバイス構成ファイルのファイル名とする。監視対象とする設定情報は一つだけ選択可能であり、図9の例ではラジオボタンで「パブリックスペース」という名前の設定情報が選択されている。図9の画面で選択される設定情報が、図8で作成される設定監視タスクにおける監視用の設定情報となる。
次に、S802において、デバイス構成管理部33は、図5に示したようなデバイス探索結果を用いて図10に示すような監視対象とするデバイスの選択画面をタスク作成領域702に表示し、探索済みデバイスの中から監視対象とするデバイスの選択を、ユーザから受け付ける。
図10は、図8のS802において監視対象とするデバイスを選択する際にタスク作成領域702に表示される画面を例示する図である。
図10に表示されるデバイスの一覧は、図5のデバイス探索結果に基づき表示される。監視対象デバイスは複数選択可能であり、図10の例ではDevA1、DevA2の2台が選択されている。図10の画面で選択されるデバイスが、図8で作成される設定監視タスクにおける監視対象のデバイスとなる。
次に、S803において、デバイス構成管理部33は、認証情報の入力画面(不図示)をタスク作成領域702に表示し、上記S802で選択された監視対象デバイスと通信するための認証情報の入力を、ユーザから受け付ける。
次に、S804において、デバイス構成管理部33は、変更検出時の処理の選択画面(不図示)をタスク作成領域702に表示し、デバイスの設定情報が上記S801およびS802で選択された監視対象設定情報と異なっていることが検出された場合の処理の指定を、ユーザから受け付ける。本実施例では具体的には、「メール通知する」、「修復する」、「修復してメール通知する」の3つから少なくとも1つを選択可能である。ここで選択される処理が、図8で作成される設定監視タスクにおいて差異が検出された場合に実行される処理となる。
次に、S805において、デバイス構成管理部33は、タスクの設定画面(不図示)をタスク作成領域702に表示し、タスクの全体的な設定の入力をユーザから受け付ける。具体的には、タスク名、タスクの実行スケジュール、タスク実行結果の通知先メールアドレスなどの設定を受け付ける。
次に、S806において、デバイス構成管理部33は、上記S801で選択されたデバイス構成ファイルから監視に不要な情報を削除したデバイス構成ファイル(監視用デバイス構成ファイルと呼ぶ)を生成し、デバイス構成データ保管部35に保存する(例えば図17(a)、図18(a))。
なお、設定監視タスクにおける不要な情報とは、具体的には、設定項目ではない情報や、セキュリティポリシーが該当する(詳細は図17(a)で後述)。なお、図8のS801において、選択した設定情報に含まれる設定項目のうち実際に監視対象とするものをさらにユーザに選択させてもよい。この場合、ユーザが監視対象として選択しなかった設定項目は図8のS806で削除し、監視用デバイス構成ファイルには含めないものとする。
以上、S801〜806の設定内容はタスク設定(監視設定)としてデータ保管部34に保存され、S805で指定した実行スケジュールに対応するタイミングで、タスク管理部32によって読み込まれタスクが実行される。
次に、図11〜図14を用いて、セキュリティポリシー監視タスク作成の流れを示す。
図11は、セキュリティポリシー監視タスク作成処理を例示するフローチャートである。図11のフローチャートに示す処理は、管理サーバ1000のデバイス管理部30により実行される。すなわち図11のフローチャートの処理は、CPU201が、HDD212に記録されたプログラムを読み出して実行することにより実現されるものである。
S1101において、デバイス構成管理部33は、デバイス構成データ保管部35に保存してあるデバイス構成ファイルを取得して図12に示すような監視対象とするデバイス設定情報の選択画面をタスク作成領域702に表示し、監視対象とするセキュリティポリシーが含まれるデバイス構成ファイルの選択を、ユーザから受け付ける。
図12は、図11のS1101において監視対象とするデバイス設定情報を選択する際にタスク作成領域702に表示される画面を例示する図である。
図12に示す画面と図9に示した画面との違いは、設定情報ごとにセキュリティポリシーバージョンが表示されている点である。セキュリティポリシーバージョンは、デバイス構成ファイル中の610に示す部分が該当する。なお、デバイス構成データ保管部35に保存されているもののうち、セキュリティポリシーの設定情報を含まないものは、デバイス構成管理部33は、図12の画面にリストアップしない。
図12の画面で選択される設定情報が、図11で作成されるセキュリティポリシー監視タスクにおける監視用の設定情報となる。
次に、S1102において、デバイス構成管理部33は、図5に示したようなデバイス探索結果を用いて図13に示すような監視対象とするデバイスの選択画面をタスク作成領域702に表示し、探索済みデバイスの中から監視対象とするデバイスの選択を、ユーザから受け付ける。
図13は、図11のS1102において監視対象とするデバイスを選択する際にタスク作成領域702に表示される画面を例示する図である。
図13に示す画面と図10に示した画面との違いは、デバイスごとにそのデバイスが対応可能なセキュリティポリシーバージョンが表示されている点である。デバイスは複数のセキュリティポリシーバージョンのセキュリティポリシーを適用することができ、図13の例では、デバイスDevA1はバージョンV1.20のセキュリティポリシーか、またはバージョンV1.30のセキュリティポリシーを適用することができる。
図11のS1101において、図12に示す通りセキュリティポリシーバージョンV1.20の設定情報「パブリックスペース」を監視対象として選択した場合、S1102において、セキュリティポリシーバージョンV1.20に対応できないデバイスは選択できない。したがって、図13の例では、セキュリティポリシーバージョンV1.00のデバイス「DevB1」はグレーアウトされ選択できないようになっている。
図13の画面で選択されるデバイスが、図11で作成されるセキュリティポリシー監視タスクにおける監視対象のデバイスとなる。
S1103、S1104は、図8のS803、S804と同様の処理のため説明を省略する。
次に、S1105において、デバイス構成管理部33は、デバイスのセキュリティポリシーが上記S1101で選択された監視対象設定情報に含まれるセキュリティポリシーと異なる場合に、セキュリティポリシーの修復を行うかどうかを判断する。具体的には、上記S1104では、「修復する」または「修復してメール通知する」が選択された場合は修復を行うと判断し、「メール通知する」が選択された場合は修復を行わないと判断する。
上記S1105において、変更検出時に修復を行わないと判断した場合(S1105でNoの場合)、デバイス構成管理部33は、そのままS1107に処理を進める。
一方、上記S1105において、変更検出時に修復を行うと判断した場合(S1105でYesの場合)、デバイス構成管理部33は、S1106に処理を進める。
S1106において、デバイス構成管理部33は、図14に示すようなセキュリティポリシーパスワードの入力画面をタスク作成領域702に表示し、セキュリティポリシーパスワードの入力を、ユーザから受け付け、S1107に処理を進める。
図14は、図11のS1106においてセキュリティポリシーパスワードを入力する際にタスク作成領域702に表示される画面を例示する図である。
図14の例は、図11のS1102において図13に示す通り監視対象デバイスとして「DevA1」と「DevA2」を選択した場合の例である。セキュリティポリシーパスワードの入力画面では、監視対象デバイスごとに、セキュリティポリシーパスワードの入力欄が表示されている。
S1107は、図8のS805と同様の処理のため説明を省略する。
次に、S1108において、デバイス構成管理部33は、上記S1101で選択したデバイス構成ファイルから監視に不要な情報を削除した監視用デバイス構成ファイルを生成し、デバイス構成データ保管部35に保存する(例えば図17(b)、図18(b))。セキュリティポリシー監視タスクにおける不要な情報とは、具体的には、設定項目ではない情報や、セキュリティポリシー以外の各種設定項目、セキュリティポリシーパスワードが該当する(詳細は図17(b)、図18(b)で後述する)。
以上、S1101〜S1108の設定内容は、タスク設定としてデータ保管部34に保存され、S1107で指定した実行スケジュールに対応するタイミングで、タスク管理部32によって読み込まれタスクが実行される。
次に、図15を用いて、監視タスク実行の流れを示す。
図15は、監視タスク実行処理を例示するフローチャートである。図15及び後述する図16のフローチャートに示す処理は、管理サーバ1000のデバイス管理部30により実行される。すなわち図15及び後述する図16のフローチャートの処理は、CPU201が、HDD212に記録されたプログラムを読み出して実行することにより実現されるものである。なお、図15の処理は、設定監視タスクとセキュリティポリシー監視タスクの両方に共通する監視タスク実行処理である。
デバイス構成管理部33は、タスク管理部32からタスク実行指示を受けると、本フローチャートの処理を開始する。
まず、S1500において、デバイス構成管理部33は、実行指示されたタスク情報に監視対象として指定されている各デバイスから、デバイス構成ファイルの形式で設定情報を取得する。
次に、S1501において、デバイス構成管理部33は、監視対象として選択されている全てのデバイスに対して、設定情報に差異の判定処理が完了したかどうかを判定する。そして、未判定のデバイスが存在すると判定した場合(S1501でNoの場合)、デバイス構成管理部33は、未判定のデバイスを1つ選択し(以下、対象のデバイス)、S1502に処理を進める。
S1502において、デバイス構成管理部33は、デバイス構成サービス部36を介して、対象のデバイス2000の設定情報をデバイス構成ファイルとして取得する。このとき、デバイス構成管理部33は、対象のデバイス2000の全ての設定情報を取得してもよいし、図8のS806や図11のS1108で生成した監視用デバイス構成ファイルに含まれる設定項目のみを取得してもよい。
次に、S1503において、デバイス構成管理部33は、上記S1502で取得した設定情報が監視対象設定情報(図8のS806や図11のS1108で生成した監視用のデバイス構成ファイルに記載されている設定情報)と同一であるかどうかを判定する。この判定処理の詳細は図16を用いて後述する。
次に、S1504において、デバイス構成管理部33は、上記S1503の判定結果として、監視用デバイス構成ファイルの設定情報とデバイスから取得した設定情報に差異があった(異なっている)かどうかを判定する。
そして、差異がないと判定した場合(S1504でNoの場合)、デバイス構成管理部33は、そのままS1501に処理を戻す。
一方、差異があったと判定した場合(S1504でYesの場合)、デバイス構成管理部33は、S1505に処理を進める。
S1505において、デバイス構成管理部33は、異なっていることが検出された場合の処理の設定(図8のS804や図11のS1104でなされた設定)が修復を行う設定になっているかどうかを判定する。具体的には、上記S1505では、「修復する」または「修復してメール通知する」が設定されている場合は修復を行うと判定し、「メール通知する」が設定されている場合は修復を行わないと判定する。
そして、修復を行う設定になっていないと判定した場合(S1505でNoの場合)、デバイス構成管理部33は、そのままS1509に処理を進める。
一方、修復を行う設定になっていると判定した場合(S1505でYesの場合)、デバイス構成管理部33は、S1506に処理を進める。
S1506において、デバイス構成管理部33は、実行中の監視タスクがセキュリティポリシー監視タスクか設定監視タスクかを判定する。
そして、セキュリティポリシー監視タスクでない(設定監視タスクである)と判定した場合(S1506でNoの場合)、デバイス構成管理部33は、そのままS1508に処理を進める。
一方、セキュリティポリシー監視タスクであると判定した場合(S1506でYesの場合)、デバイス構成管理部33は、S1507に処理を進める。
S1507において、デバイス構成管理部33は、実行中のタスクに対応するデバイス構成ファイル(図11のS1108で生成)内の、図6の611に示すセキュリティポリシーパスワードを、実行中のタスクのタスク設定としてデータ保管部34に保存されている、対象のデバイスのセキュリティポリシーパスワード(図11のS1106で入力)に書き換えたデバイス構成ファイルを生成し、S1508に処理を進める。
S1508において、デバイス構成管理部33は、監視対象設定情報を該デバイスのデバイス構成サービス部36に対して送信する。監視対象設定情報としては、具体的には、設定監視タスクの場合には実行中のタスクに対応するデバイス構成ファイル(図8のS806で生成)を送信し、セキュリティポリシー監視タスクの場合には上記S1507で生成したデバイス構成ファイルを送信する。そして、S1509に処理を進める。
次に、S1509において、デバイス構成管理部33は、異なっていることが検出された場合の処理の設定(図8のS804や図11のS1104でなされた設定)がメール通知を行う設定になっているかどうかを判定する。具体的には、上記S1509では、「メール通知する」または「修復してメール通知する」が設定されている場合はメール通知を行うと判定し、「修復する」が設定されている場合はメール通知を行わないと判定する。
そして、メール通知を行う設定になっていないと判定した場合(S1509でNoの場合)、デバイス構成管理部33は、そのままS1501に処理を戻す。
一方、メール通知を行う設定になっていると判定した場合(S1509でYesの場合)、デバイス構成管理部33は、S1510に処理を進める。
S1510において、デバイス構成管理部33は、タスクの設定(図8のS805や図11のS1107でなされた設定)で設定された宛先情報(メールアドレス)に対して、対象のデバイスの設定情報が実行中のタスクに対応する監視対象設定情報(図8のS801や図11のS1101で選択)と異なっていた旨を示すメールを送信する。そして、S1501に処理を戻す。
また、上記S1501において、全てのデバイスの設定情報の判定を終了したと判定した場合(S1501でYesの場合)、デバイス構成管理部33は、実行中のタスク処理を終了する。
なお、図15の例では、S1510においてデバイスごとに管理者にメール通知しているが、複数のデバイスの監視結果をまとめてメール通知してもよい。例えば、全てのデバイスの設定情報の判定を終了したと判定した場合(S1501でYesの場合)に、全てのデバイスの監視結果をまとめてメール通知するようにしてもよい。
以下、図16を用いて、図15のS1503における差異判定処理の流れを示す。
図16は、実施例1の図15のS1503における差異判定処理を例示するフローチャートである。
S1600において、デバイス構成管理部は、実行中のタスクに対応するデバイス構成ファイル(図8のS806又は図11のS1108で生成)に含まれる全ての監視対象となる設定項目を抽出する。
次に、S1601において、デバイス構成管理部33は、上記S1601で抽出した全ての設定項目に対して、デバイス設定情報に差異があるかどうかの判定をしたかどうか確認する。そして、未判定の設定項目があると判定した場合(S1601でNoの場合)、デバイス構成管理部33は、S1602に処理を進める。
S1602において、デバイス構成管理部33は、差異を判定する対象である設定項目が、図15のS1502で取得したデバイスの設定情報に存在するかどうかを判定する。そして、存在しないと判定した場合(S1602でNoの場合)、デバイス構成管理部33は、S1603に処理を進める。
S1603において、デバイス構成管理部33は、実行している監視タスクがセキュリティポリシー監視なのか、設定監視なのかを確認する。
そして、実行している監視タスクがセキュリティポリシー監視でない(設定監視である)と判定した場合(S1603でNoの場合)、デバイス構成管理部33は、そのままS1601に処理を戻す。監視対象設定情報に設定が存在するのにデバイスの設定情報にそれが存在しない場合、そのデバイスが該設定を備えていないことを意味し、そもそも該設定が係る機能を使用することができないため、設定を監視する必要がないと考えられるため、該項目は差異がないと同等と判定する。
一方、上記S1603において、実行している監視タスクがセキュリティポリシー監視であると判定した場合(S1603でYesの場合)、デバイス構成管理部33は、該項目は差異があると判定し、S1605に処理を進める。監視対象設定情報にセキュリティポリシーが存在するのにデバイスの設定情報にそれが存在しない場合、そのデバイスが該セキュリティポリシーに対応していないことを意味し、セキュリティホールになりえると考えられるためである。
S1605において、デバイス構成管理部33は、差異があると判定された項目をデータ保管部34に保存する。この情報は、図15のS1510において、管理者に差異の情報をメールで通知する際に用いられる。そして、S1601に処理を戻す。
また、上記S1602において、差異を判定する対象である設定項目が、図15のS1502で取得したデバイスの設定情報に存在すると判定した場合(S1602でYesの場合)、デバイス構成管理部33は、S1604に処理を進める。
S1604において、デバイス構成管理部33は、該項目の設定値が等しいかどうかを判定する。そして、該項目の設定値が等しくないと判定した場合(S1604でNoの場合)、デバイス構成管理部33は、該項目は差異があると判定し、S1605に処理を進める。
一方、該項目の設定値が等しいと判定した場合(S1604でYesの場合)、デバイス構成管理部33は、該項目は差異がないと判定し、S1601に処理を戻す。
そして、上記S1601において、全ての設定項目に対してデバイス設定情報の判定を終了したと判定した場合(S1601でYesの場合)、デバイス構成管理部33は、本フローチャートの処理を終了する。
以下、図17、図18に、図8のS806や図11のS1108で生成された監視用デバイス構成ファイルを例示して具体的に説明する。
図17(a)は、図8のS806で生成された設定監視タスクの監視用デバイス構成ファイルを例示する図である。
図17(a)に示す例は、設定監視タスクの例であるため、図6の610に示すようなセキュリティポリシーの記述は監視対象外として図8のS806で削除され含まれていない。同様に、1701は、デバイスの各種情報を表す要素であるが、図6の601と比較してデバイス名やシリアルNoなどのデバイス固有の情報は図15のS1508における設定の修正において不要であるため図8のS806で削除されている。なお、1701はユーザが変更可能な設定項目ではないため監視対象外である。したがって、図17(a)における監視対象は1702の部分だけである。
以下、図17(a)に示す監視用デバイス構成ファイルに対して、デバイスから取得したデバイス構成ファイルが図6であった場合の差異判定処理について説明する。
図6の602と図17(a)の1702を比較すると、設定項目にはいずれも<AutoSleepTime>と<DeepSleep>が存在する。したがって、図16のS1602の分岐ではS1604に進む。しかし、<DeepSleep>の設定値は、602では「Enabled」であるのに対し、1702では「Disabled」であり、異なる。したがって、S1604の分岐で差異があると判定され、S1605に進む。
図17(b)は、図11のS1108で生成されたセキュリティポリシー監視タスクの監視用デバイス構成ファイルを例示する図である。
図17(b)に示す例は、セキュリティポリシー監視タスクであるため、図6の602に示すようなセキュリティポリシー以外の設定の記述は監視対象外であるため図11のS1108で削除され、図17(b)に含まれていない。また、1704はセキュリティポリシーパスワードを表す部分であるが、図15のS1507において対象デバイスごとにセキュリティポリシーパスワードを追記するため図11のS1108においてセキュリティポリシーパスワードが削除され、図17(b)ではセキュリティポリシーパスワードが空欄となっている。
以下、監視用デバイス構成ファイル図17(b)に対して、デバイスから取得したデバイス構成ファイルが図6であった場合の差異判定処理について説明する。
図6の612と図17(b)の1705を比較すると、セキュリティポリシー項目はいずれもID=I0001〜I0010である10個の<Item>が存在する。したがって、図16のS1602の分岐ではS1604に進む。しかし、ID=I0001の<Item>の設定値は、612では「false」であるのに対し、1705では「true」であり、異なる。したがって、図16のS1604の分岐で差異があると判定され、S1605に進む。
図18(a)は、図8のS806で生成された設定監視タスクの監視用デバイス構成ファイルを例示する図であり、図17(a)と同様の部分については同一の符号を用いてその説明を省略する。
図18(a)に示す例は、設定監視タスクの監視用デバイス構成ファイルの例である。
以下、監視用デバイス構成ファイル図18(a)に対して、デバイスから取得したデバイス構成ファイルが図6であった場合の差異判定処理を説明する。
図6の602と図18(a)の1802を比較すると、設定項目のうち<AutoSleepTime>と<DeepSleep>は値が同一だが、<AutoShutdownTime>は図6には存在しない。したがって、図16のS1602の分岐ではS1603に進むが、設定監視タスクであるため、S1603で差異が無いと判定され、S1601に進む。
図18(b)は、図11のS1108で生成したセキュリティポリシー監視タスクの監視用デバイス構成ファイルを例示する図であり、図18(a)と同様の部分については同一の符号を用いてその説明を省略する。
以下、監視用デバイス構成ファイル図18(b)に対して、デバイスから取得したデバイス構成ファイルが図6であった場合の差異判定処理について説明する。
図6の612と図18(b)の1805を比較すると、セキュリティポリシー項目のうちID=I0001〜I0010の設定値は同一だが、ID=I0011の項目は図6には存在しない。したがって、図16のS1602の分岐ではS1603に進み、セキュリティポリシー監視タスクであるため、図16のS1603で差異があると判定され、S1605に進む。
以上示したように、実施例1によれば、監視対象設定情報に含まれる設定項目が監視対象デバイスの設定情報に存在しない場合に、設定監視かセキュリティポリシー監視かによって変更検出時の処理を実行するかどうか判定する。この構成により、設定監視とセキュリティポリシー監視という2種類の監視機能を両立する場合であっても、監視対象の種別と、検出した変更の内容に基づき、管理者に変更を通知するかどうかを判定して、管理者へ不要な通知を低減しつつ、セキュリティリスクの高い変更を確実に通知することができる。また、本来元の値に戻すべきセキュリティリスクの高い項目の値を確実に元にもどすことができる。すなわち、管理者へ不要な通知を低減しつつセキュリティリスクを考慮した精度の高い変更の検知と適切な対処を実現できる。よって、管理者による監視業務への影響を抑えて管理コストの上昇を抑えることができる。また、セキュリティポリシーの不用意な変更によるネットワークデバイスのセキュリティの脅威を除くことができる。
実施例2では、セキュリティポリシー監視において、セキュリティポリシーバージョンを考慮してセキュリティポリシーをより厳密に監視する構成について説明する。以下、実施例1と異なる点のみを説明する。
図19は、実施例2の図15のS1503における差異判定処理を例示するフローチャートである。図16と同一のステップについては、同一のステップ番号を付し、その説明を省略する。
なお、図19のフローチャートに示す処理は、管理サーバ1000のデバイス管理部30により実行される。すなわち図19のフローチャートの処理は、CPU201が、HDD212に記録されたプログラムを読み出して実行することにより実現されるものである。
S1901において、デバイス構成管理部33は、実行している監視タスクがセキュリティポリシー監視なのか設定監視なのかを確認する。
そして、セキュリティポリシー監視でない(設定監視)と判定した場合(S1901でNoの場合)、デバイス構成管理部33は、S1600に処理を進める。
一方、セキュリティポリシー監視であると判定した場合(S1901でYesの場合)、デバイス構成管理部33は、S1902に処理を進める。
S1902において、デバイス構成管理部33は、実行中の監視タスクに対応する監視用デバイス構成ファイルのセキュリティポリシーバージョン情報が、図15のS1502で取得したデバイス構成ファイルのセキュリティポリシーバージョンと同一かどうか比較する。そして、セキュリティポリシーバージョンが等しい(同一)と判定した場合(S1902でYesの場合)、デバイス構成管理部33は、S1600に処理を進める。
一方、セキュリティポリシーバージョンが等しくない(差異があった)と判定した場合(S1902でNoの場合)、デバイス構成管理部33は、S1093に処理を進める。
S1903において、デバイス構成管理部33は、セキュリティポリシーバージョンに差異があったことをデータ保管部34に保持されている差異リストに保存する。この情報は、図15のS1510において、管理者に差異の情報をメールで通知する際に用いられる。
図20は、図11のS1108で生成した監視用デバイス構成ファイルを例示する図である。なお、図17と同様の部分については同一の符号を用いてその説明を省略する。
以下、監視用デバイス構成ファイル図20に対して、デバイスから取得したデバイス構成ファイルが図6であった場合の差異判定処理を説明する。
まず、図20に示す監視用デバイス構成ファイルの監視対象はセキュリティポリシーであるため、図19のS1901の分岐でS1902に進む。次に、図6の610と図20の2003を比較すると、セキュリティポリシーバージョンが異なっている。したがって、図19のS1902の分岐でS1903に進み、S1903においてセキュリティポリシーバージョンに差異があったことを記録し、差異判定処理を終了する。
ここで、S1903においてセキュリティポリシーバージョンに差異があったことを記録された場合における図15で示すデバイス構成管理部33の処理について、実施例1との差分を説明する。
具体的には、S1507では、監視タスクで設定されるセキュリティポリシーバージョン情報に対応する設定項目及び設定値を含む監視用デバイス構成ファイルにセキュリティポリシーパスワードを埋め込む。また、S1510において、タスクで設定された宛先情報を用いて、監視対象に設定されたセキュリティポリシーのバージョン情報が変更された旨を示す通知を行う。
実施例2によれば、セキュリティポリシー監視において、セキュリティポリシーバージョンが異なる時点で差異があると判定する。この構成により、複数のデバイスに対する同一セキュリティポリシーの徹底をより厳密に行うことができる。なお、バージョンが異なると判定した際に、さらに、セキュリティポリシーの項目や設定値の差異を検出するようにしてもよい。そして、S1510の通知において、セキュリティポリシーのバージョン情報の変更だけでなく、差異となった項目や設定値についても通知するようにしてもよい。
なお、上記各実施例では、一般の設定を監視する設定監視タスク、セキュリティポリシーを監視するセキュリティポリシー監視タスクをそれぞれ生成し、各タスクを実行することによりデバイスの設定情報を監視する構成について説明した。しかし、一般の設定とセキュリティポリシーの両方を1つのタスクで監視する監視タスクを生成し、該タスクを実行することによりデバイスの設定情報を監視可能に構成してもよい。この構成の場合、図15のS1506では、実行中の監視タスクの監視対象にセキュリティポリシーが含まれている場合にYesと判定し、監視対象にセキュリティポリシーが含まれていない場合にNoと判定する。また、図16及び図19のS1603では、S1601〜S1605のループ毎に、該ループで判定対象の項目が一般の設定情報とセキュリティポリシー設定情報のいずれの項目であるかに基づいて差異を判断するものとする。即ち、一般の設定情報の項目を判定対象とするループではS1603でNoと判定して「差異がない」と判断する。一方、セキュリティポリシー設定情報の項目を判定対象とするループではS1603でYesと判定して「差異がある」と判断するものとする。
以上示したように、本発明の各実施例によれば、複数種別の設定情報の監視を両立する場合でも、不要な処理を低減しつつ、セキュリティリスクの高い変更については適正に対処することができる。よって、一般の設定とセキュリティポリシーの設定のリモート監視を両立する場合であっても、管理者へ不要な通知等の不要な処理を低減しつつ、セキュリティリスクの高い変更については適切に通知、設定値の更新等の対処が可能となる。
なお、上述した各種データの構成及びその内容はこれに限定されるものではなく、用途や目的に応じて、様々な構成や内容で構成されていてもよい。
以上、一実施形態について示したが、本発明は、例えば、システム、装置、方法、プログラムもしくは記憶媒体等としての実施態様をとることが可能である。具体的には、複数の機器から構成されるシステムに適用しても良いし、また、一つの機器からなる装置に適用しても良い。
また、上記各実施例を組み合わせた構成も全て本発明に含まれるものである。
(その他の実施例)
本発明は、上述の実施例の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサーがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
また、本発明は、複数の機器から構成されるシステムに適用しても、1つの機器からなる装置に適用してもよい。
本発明は上記実施例に限定されるものではなく、本発明の趣旨に基づき種々の変形(各実施例の有機的な組合せを含む)が可能であり、それらを本発明の範囲から除外するものではない。即ち、上述した各実施例及びその変形例を組み合わせた構成も全て本発明に含まれるものである。

Claims (7)

  1. 所定の認証なしに特定の項目の値の変更ができないようにする管理機能に対応したネットワークデバイスと通信する監視装置であって、
    監視対象となるネットワークデバイスについて、複数の項目と各項目の値とからなる設定情報を監視する監視タスクの実行を制御する制御手段と、
    前記監視タスクが実行された際に、監視対象のネットワークデバイスから設定情報を取得する取得手段と、
    前記取得手段により取得された設定情報と、前記監視タスクの監視用の設定情報とを比較して差異を判定する判定手段と、
    前記判定手段により差異があると判定された場合に、前記監視タスクの監視設定に従う処理を実行する処理手段と、を有し、
    前記判定手段は、前記監視用の設定情報には含まれているが前記取得された設定情報に含まれていない項目については、前記監視タスクが前記管理機能に係る監視のためのタスクであった場合に差異があると判定し、前記監視タスクが前記管理機能に係る監視のためのタスクでなかった場合に差異がないと判定し、
    前記判定手段は、さらに、前記監視用の設定情報及び前記取得された設定情報の両方に含まれている項目については、該項目の値を比較して差異がある否かを判定することを特徴とする監視装置。
  2. 前記監視設定には、前記判定手段により判定された差異について通知する第1の処理と、前記判定手段により判定された差異を前記監視用の設定情報を用いて更新する第2の処理の少なくともいずれかを前記処理手段に実行させる設定が含まれることを特徴とする請求項1に記載の監視装置。
  3. 前記所定の認証には、管理機能のためのパスワードが必要とされ、
    前記監視タスクの監視設定として、前記判定手段により判定された差異を前記監視用の設定情報を用いて更新する設定が含まれていた場合には、当該監視タスクには管理機能のためのパスワードが設定されることを特徴とする請求項1又は2に記載の監視装置。
  4. 前記判定手段は、前記監視タスクが前記管理機能に係る監視のためのタスクであった場合には、前記取得手段により取得された設定情報が示すバージョン情報と、前記監視タスクの監視用の設定情報が示すバージョン情報とを比較して差異を判定することを特徴とする請求項1乃至3のいずれか1項に記載の監視装置。
  5. 前記ネットワークデバイスは、画像形成装置、ネットワークカメラ、デジタル医療機器、ロボット、車載端末、空調機器、ネットワーク家電のいずれかであることを特徴とする請求項1乃至4のいずれか1項に記載の監視装置。
  6. 所定の認証なしに特定の項目の値の変更ができないようにする管理機能に対応したネットワークデバイスと通信する監視装置における制御方法であって、
    監視対象となるネットワークデバイスについて、複数の項目と各項目の値とからなる設定情報を監視する監視タスクの実行を制御する制御ステップと、
    前記監視タスクが実行された際に、監視対象のネットワークデバイスから設定情報を取得する取得ステップと、
    監視対象の前記ネットワークデバイスから取得された設定情報と、前記監視タスクの監視用の設定情報とを比較して差異を判定する判定ステップと、
    前記判定ステップで差異があると判定された場合に、前記監視タスクの監視設定に従う処理を実行する処理ステップと、を有し、
    前記判定ステップでは、前記監視用の設定情報には含まれているが前記取得された設定情報に含まれていない項目について、前記監視タスクが前記管理機能に係る監視のためのタスクであった場合には差異があると判定され、前記監視タスクが前記管理機能に係る監視のためのタスクでなかった場合には差異がないと判定され、
    前記判定ステップでは、さらに、前記監視用の設定情報及び前記取得された設定情報の両方に含まれている項目について、該項目の値を比較して差異がある否かが判定されることを特徴とする制御方法。
  7. コンピュータを、請求項1乃至5のいずれか1項に記載の手段として機能させるためのプログラム。
JP2015136664A 2015-07-08 2015-07-08 監視装置、監視装置の制御方法、及びプログラム Active JP6525776B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2015136664A JP6525776B2 (ja) 2015-07-08 2015-07-08 監視装置、監視装置の制御方法、及びプログラム
US15/203,598 US10609201B2 (en) 2015-07-08 2016-07-06 Monitoring apparatus and control method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015136664A JP6525776B2 (ja) 2015-07-08 2015-07-08 監視装置、監視装置の制御方法、及びプログラム

Publications (2)

Publication Number Publication Date
JP2017021458A JP2017021458A (ja) 2017-01-26
JP6525776B2 true JP6525776B2 (ja) 2019-06-05

Family

ID=57731667

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015136664A Active JP6525776B2 (ja) 2015-07-08 2015-07-08 監視装置、監視装置の制御方法、及びプログラム

Country Status (2)

Country Link
US (1) US10609201B2 (ja)
JP (1) JP6525776B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017044352A1 (en) 2015-09-11 2017-03-16 Curtail Security, Inc. Implementation comparison-based security system
US10462256B2 (en) 2016-02-10 2019-10-29 Curtail, Inc. Comparison of behavioral populations for security and compliance monitoring
JP6983677B2 (ja) * 2018-01-25 2021-12-17 キヤノン株式会社 デバイスデータ管理システム、制御方法、およびプログラム
JP7196134B2 (ja) 2020-06-15 2022-12-26 キヤノン株式会社 管理装置、方法、およびプログラム

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001086118A (ja) * 1999-09-16 2001-03-30 Nec Corp コンピュータ機器遠隔管理方法
US7159125B2 (en) * 2001-08-14 2007-01-02 Endforce, Inc. Policy engine for modular generation of policy for a flat, per-device database
JP2004192625A (ja) 2002-11-25 2004-07-08 Brother Ind Ltd 設定システム、電子機器、及びプログラム
JP4182083B2 (ja) 2005-05-12 2008-11-19 キヤノン株式会社 ネットワークに接続されたネットワーク機器を管理する装置、方法、及びプログラム
JP5677811B2 (ja) * 2010-06-11 2015-02-25 任天堂株式会社 携帯型情報端末、携帯情報システム、携帯型情報端末制御プログラム
JP5975730B2 (ja) * 2012-05-18 2016-08-23 キヤノン株式会社 管理システム、管理システムの制御方法、管理装置、及びプログラム
JP6184209B2 (ja) * 2013-07-09 2017-08-23 キヤノン株式会社 管理装置、制御方法及びプログラム

Also Published As

Publication number Publication date
JP2017021458A (ja) 2017-01-26
US20170013110A1 (en) 2017-01-12
US10609201B2 (en) 2020-03-31

Similar Documents

Publication Publication Date Title
US9696948B2 (en) Printing system, printing service apparatus, image forming apparatus, control method, and storage medium
JP6318698B2 (ja) セキュリティ管理システム、セキュリティ管理方法およびプログラム
US9807260B2 (en) Method and device for using cloud print service
US10333774B2 (en) Image forming apparatus that cooperates with management server, method of controlling image forming apparatus, and storage medium
US9703969B2 (en) Image forming system, service providing server, information processing terminal, image forming device and non-transitory computer readable recording medium
US8982392B2 (en) Device search system, device search method, image forming apparatus, and information processing apparatus
JP6525776B2 (ja) 監視装置、監視装置の制御方法、及びプログラム
US9049332B2 (en) Management apparatus, management method and network system
US10178134B2 (en) Management apparatus and method for controlling management apparatus
US10021264B2 (en) Information processing apparatus and method for executing and controlling sequential processing
US20160063508A1 (en) Communication system, image processing apparatus, method for controlling image processing apparatus, and storage medium
JP2016018339A (ja) システム、及びシステムの制御方法
US20140085674A1 (en) Information processing apparatus, control method, and program
JP2013145504A (ja) 配信サーバ、監視装置、画像処理装置、および配信サーバの制御方法、およびプログラム
JP6274758B2 (ja) ネットワーク機器管理装置、ネットワーク機器管理方法、およびネットワーク機器管理方法を実行するプログラム
JP6362503B2 (ja) ネットワークシステム、及び、ネットワークシステムの制御方法
JP2016218611A (ja) 情報処理装置、プログラムおよび情報処理システム
JP2010128958A (ja) 機器管理装置、機器管理システム、動作設定管理方法、動作設定管理プログラム、及びそのプログラムを記録した記録媒体
US8200953B1 (en) Method and system to automatically update a configuration scheme
JP6763244B2 (ja) 印刷装置、印刷制御方法及びプログラム
JP6639363B2 (ja) サーバ装置、情報処理方法及びプログラム
US11513843B2 (en) Remote operation system, management client, and non-transitory computer-readable recording medium storing management client program
JP2019160082A (ja) システムおよびシステムにおける方法
JP2008234118A (ja) ユーザインタフェース提供装置、ユーザインタフェース生成方法、およびプログラム。
US20180115666A1 (en) Application store for multifunction peripherals

Legal Events

Date Code Title Description
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20180306

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180625

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190322

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190402

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190507

R151 Written notification of patent or utility model registration

Ref document number: 6525776

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151