以下に添付図面を参照して、ネットワークシステムおよび通信方法の実施形態を詳細に説明する。
(実施形態)
図1は、実施形態に係るネットワークシステムの一例の構成を示す。図1において、ネットワークシステム1は、機密区画2内にネットワーク20により構成される第1のネットワークと、通常区画3内にネットワーク30により構成される第2のネットワークとを含む。ネットワーク20とネットワーク30とは、通信制御装置10を介して接続される。通信制御装置10は、例えばファイアウォール(FW)であって、設定に従い、ネットワーク20からネットワーク30への通信、および、ネットワーク30からネットワーク20への通信を制御する。
機密区画2は、機密文書を扱うための区画であって、一般的に、他の区画(例えば通常区画3)よりも厳重なセキュリティが設定された区画である。厳重なセキュリティの例としては、他の区画には備わっていない、静脈認証などの高度な認証処理が挙げられる。機密区画2は、例えば1つの独立した部屋として構成され、入室可能なユーザが制限されていることが想定され得る。機密区画2は、それぞれネットワーク20に接続される機密文書サーバ200と、VDI(Virtual Desktop Infrastructure)サーバ201と、ログ保管サーバ202と、プリントサーバ203とを含む。また、機密区画2のネットワーク20は、インターネットなどの外部ネットワークとは接続されていないものとする。
図1では、機密文書サーバ200と、VDIサーバ201と、ログ保管サーバ202とがそれぞれ独立したハードウェアであるように示しているが、これはこの例に限られない。例えば、機密文書サーバ200、VDIサーバ201およびログ保管サーバ202のうち2以上を一体的に構成してもよい。
通常区画3は、機密区画2と区別される区画であり、所謂、ユーザが通常業務を行う際に利用する区画である。図1の例では、通常区画3は、それぞれネットワーク30に接続される業務端末300と、ユーザ情報管理サーバ301と、認証サーバ302と、プリントサーバ303と、印刷装置304と、印刷ログ管理サーバ305とを含む。通常区画3には、後述する、機密区画2において保存、管理される機密文書は保存されない。また、通常区画3のネットワーク30は、インターネットなどの外部ネットワークへの接続が許可されているものとする。
図1では、ユーザ情報管理サーバ301、認証サーバ302および印刷ログ管理サーバ305がそれぞれ独立したハードウェアであるように示しているが、これはこの例に限られない。例えば、ユーザ情報管理サーバ301、認証サーバ302および印刷ログ管理サーバ305のうち2以上を一体的に構成してもよい。一方で、図1では、機密区画2および通常区画3において、機器が種類毎に1台ずつ設けられるように示されているが、これはこの例に限定されず、同種の機器が複数台設けられていても良い。
通常区画3において、業務端末300は、ユーザが一般の業務に用いるための端末装置であって、例えばパーソナルコンピュータである。実施形態に適用可能な業務端末300は、後述するVDIサーバ201によるデスクトップ仮想化に対応するクライアントアプリケーションプログラム(以下、VDIクライアント)が搭載される。さらに、業務端末300は、ワードプロセッサプログラム、表計算プログラム、画像編集プログラムといった、文書作成を行うためのアプリケーションプログラム(以下、文書作成プログラム)と、印刷装置403に印刷を実行させるためのプリンタドライバプログラム(以下、プリンタドライバ)と、を搭載することができる。
ユーザは、プリントサーバ303に印刷ジョブを送信するためのプリンタドライバや、特定の印刷装置304に印刷ジョブを送信するためのプリンタドライバから、自身の業務に合わせて必要なプリンタドライバを選択して、業務端末300に搭載することができる。なお、VDIクライアントは、後述するように、特定の業務を行うための専用のアプリケーションプログラムであるため、特定の業務端末300にのみ搭載して、複数のユーザがこの業務端末300を共有して使用してもよい。
ユーザ情報管理サーバ301は、ネットワークシステム1を利用する1以上のユーザを管理するために、ユーザ毎に、ユーザの識別情報を含むユーザ情報が登録される。ユーザ情報管理サーバ301は、登録される全てのユーザのユーザ情報をデータベース(DB)を用いて記憶し、管理する。ユーザの識別情報としては、ユーザID、社員番号などが例として挙げられる。この識別情報そのものにより、あるいは、識別情報とパスワードとを関連付けることで、ユーザの一意性が担保される。ここでは、ユーザIDとパスワードとが関連付けられて、ユーザ情報管理サーバ301に登録されるものとする。
ユーザ情報管理サーバ301は、外部からユーザIDおよびパスワードが送信されてその存在確認が要求されると、送信されたユーザIDおよびパスワードと、ユーザ情報管理サーバ301に登録されているユーザIDおよびパスワードとの照合を行うことで、ユーザの存在確認を行うことができる。また、ユーザ情報管理サーバ301は、ユーザの識別情報に関連付けて、そのユーザに利用権限を付加するか否かを示す権限情報を登録することができる。権限情報として、少なくとも機密区画2内にアクセスして行う業務を特定のユーザに制限したい場合は、当該特定のユーザにのみに、機密区画2内へのアクセス権限が付与される。なお、ユーザ情報管理サーバ301は、例えばアクティブディレクトリを適用可能である。
認証サーバ302は、ユーザが印刷装置304を利用するために印刷装置304にログインした際のユーザ認証を制御する。認証サーバ302は、例えば各ユーザが所持する、近距離無線通信が可能なIC(Integrated Circuit)カードの識別情報(カードID)と、当該ユーザのユーザIDおよびパスワードとを関連付けて記憶する。また、認証サーバ302は、ユーザ情報管理サーバ301に登録されているユーザ情報と同期処理を行うことで、ユーザ情報管理サーバ301に登録されているユーザ情報を取り込むことができる。認証サーバ302においてカードIDと関連付けて登録されるユーザIDおよびパスワードは、通常は、ユーザ情報管理サーバ301に登録されている。
プリントサーバ303は、業務端末300から送信された印刷ジョブを記憶する。印刷ジョブは、例えば業務端末300で作成された文書に基づきプリンタドライバにより生成された印刷データと、ユーザにより業務端末300に入力されたユーザIDとを含む。印刷ジョブは、ユーザIDを印刷データの一部に含ませることができる。これに限らず、印刷ジョブは、ユーザIDを印刷データとは別に含ませてもよい。なお、ここでいう文書は、例えば業務端末300に搭載される文書作成プログラムにより作成された文書データ、表データ、画像データなどを、一括して示すものであるとする。
また、プリントサーバ303は、例えば、業務端末300から文章を受信し、受信した文書を印刷データに変換する変換する機能を有していてもよい。プリントサーバ303は、印刷ジョブに含まれるユーザIDと印刷データとの対応付を示す印刷ジョブ情報を記憶する。プリントサーバ303において記憶された印刷ジョブは、所定の時間が経過するか、あるいは、印刷装置304から印刷要求があるまでプリントサーバ303に蓄積されている。プリントサーバ303は、印刷装置304からの印刷要求に応じて、印刷要求により要求された印刷データを印刷装置304に送信する。
印刷装置304は、印刷データに従った印刷を行う。印刷装置304は、例えば、印刷機能、スキャナ機能、コピー機能、FAX機能といった複数の機能を1つの筐体で実現可能としたMFP(Multi Function Printer)である。これに限らず、印刷装置304は、これらの機能のうち印刷機能のみを実行する単機能の印刷装置であってもよい。
また、実施形態に適用可能な印刷装置304は、例えばプリントサーバ303と連携して、プリントサーバ303に記憶される印刷データを取得して印刷を行う、所謂プルプリント機能を実現するための印刷制御アプリケーションプログラム(以下、印刷制御アプリ)を搭載することができる。ユーザは、この印刷制御アプリを利用して、通常区画3に設置されるプリントサーバ303や、機密区画2に設置されるプリントサーバ203に蓄積されている印刷ジョブから印刷データを取得し印刷を実行することができる。なお、印刷装置304は、プリントサーバ303から取得した印刷データの印刷のみならず、業務端末300から送信された印刷データの印刷も実行できる。
印刷ログ管理サーバ305は、印刷装置304が印刷データの印刷を実行した際に、印刷装置304において生成される印刷ログを印刷装置304から受信して記憶する。印刷装置304において生成される印刷ログは、印刷ジョブまたは印刷データに含まれるユーザIDと、印刷データによる印刷を実行したユーザのユーザIDと、印刷データによる印刷を実行した際の印刷条件(カラー/モノクロ印刷、片面印刷、両面印刷、集約印刷など)、印刷枚数、面数、印刷日時などを含む書誌情報と、が含まれる。
また、印刷装置304から印刷ログ管理サーバ305へは、印刷された印刷画像に対応するデータである印刷イメージのデータが送信されることは無いものとする。なお、印刷イメージのデータは、実際に印刷された文書の内容をユーザに表示することが可能な画像データである。この印刷イメージのデータを、以下では画像ログと呼ぶ。特に、機密区画2に保存される機密文書の画像ログが通常区画3内の機器により保存されることは、当該機器に対するアクセスが余程堅牢なセキュリティにより保護されていない限り、避けるべきである。
機密区画2において、機密文書サーバ200は、特定の者のみに閲覧や利用が許可される文書である機密文書の保存および管理を行う。機密文書サーバ200は、通信制御装置10により、通常区画3内のネットワーク30からアクセス不可に制御される。
VDIサーバ201は、1以上の仮想化されたデスクトップを生成する。VDIサーバ201は、生成した仮想化デスクトップを、通常区画3内のネットワーク30に接続され、対応するVDIクライアントが搭載される業務端末300に提供する。VDIサーバ201は、業務端末300から仮想化デスクトップを介して送信された要求に従い、機密区画2内のネットワーク20における処理を実行する。例えば、VDIサーバ201は、業務端末300から送信された文書取得要求に従い、機密文書サーバ200から機密文書を取得し、取得した機密文書を含む印刷ジョブを生成する。VDIサーバ201は、生成した印刷ジョブをログ保管サーバ202に渡す。
このように、VDIサーバ201が生成する仮想化デスクトップは、業務端末300に対して、業務端末300が機密区画2内の機密文書の印刷を実行するためのインタフェースを形成し、これを提供する。業務端末300は、自身の画面に仮想的に表示されたインタフェースを介して指示を行い、その指示に応じた処理の結果が画面に表示されるが、実際にこの処理を行うのはVDIサーバ201である。そのため、業務端末300に機密区画2内の機密文書が送信されることは無く、機密区画2内の機密文書が業務端末300に取得されることは無い。
また、VDIサーバ201は、業務端末300の仮想化デスクトップを介した要求に応じて、機密区画2内の機密文書に対する印刷指示を受け付けるプログラム(専用プリンタドライバ)が搭載されている。この専用プリンタドライバは、機密文書などのVDIサーバ201により取得される文書、あるいは、VDIサーバ202に保存される文書に基づく印刷データの印刷処理を制御する、印刷データ制御部としても機能する。
専用プリンタドライバは、機密文書などの文書に対する印刷指示を受け付けると、印刷対象の文書を含む印刷ジョブをログ管理サーバ202に送信する印刷制御を実行する。VDIサーバ201は、印刷制御としては、ログ管理サーバ202に送信する以外の印刷制御は行わない。したがって、ユーザは、VDIサーバ201に対して、VDIサーバ201からプリントサーバ303や印刷装置304に直接的に印刷ジョブを送信する指示を行うことはできない。つまり、VDIサーバ201は、ユーザが印刷指示を行う際にはログ管理サーバ202に送信するように設定されたプリンタ以外を選択できないように、換言すると、ログ管理サーバ202に送信するように設定されたプリンタのみが選択できるように、構築されている。
また、VDIサーバ201は、機密文書サーバ200に保存されている機密文書の閲覧などを行うための文書管理プログラムが搭載されている。ユーザは、VDIサーバ201に搭載される文書管理プログラムを、仮想化デスクトップが形成された業務端末300を介して起動し、起動した文書管理プログラムに対して、業務端末300から各種の指示の操作を行うことで、この文書管理プログラムが実行されるVDIサーバ201に対して、機密文書サーバ200から機密文書を取得しその内容を表示する画面を生成させることができる。このため、業務端末300は、仮想化デスクトップを介するユーザの操作に応じて、この画面を介して機密文書の取得を要求する取得要求を機密区画2内のネットワーク20に対して送信する取得要求送信部や、印刷を要求する印刷要求送信部としても機能する。
ログ保管サーバ202は、VDIサーバ201から印刷ジョブを受け取ると、受け取った印刷ジョブが、印刷禁止文書の印刷を行うものであるか否かを判定する。ログ保管サーバ202は、印刷ジョブが印刷禁止文書の印刷を行うものではないと判定した場合、当該印刷ジョブに基づき印刷イメージを含めたログ情報を生成し、生成したログ情報を記憶する。ここで生成されるログ情報は、少なくとも、仮想化デスクトップを介して印刷指示を行ったユーザのユーザIDと印刷ジョブの画像ログとが含まれる。また、ログ情報に、ユーザが印刷指示を行う際に設定した印刷条件や印刷指示を受け付けた日時などの書誌情報をさらに含めてもよい。ログ保管サーバ202は、印刷ジョブのログ情報を記憶すると、当該印刷ジョブをプリントサーバ203に渡す。
プリントサーバ203は、ログ保管サーバ202から渡された印刷ジョブを記憶する。このとき、プリントサーバ203は、当該印刷ジョブに含まれる印刷対象の文書を印刷装置304が対応可能な印刷データに変換して、印刷ジョブを記憶する。また、プリントサーバ203は、当該印刷ジョブに関する印刷ジョブ情報を記憶する。プリントサーバ203は、印刷装置304からユーザIDが指定されて印刷リストの要求が送信されると、この要求に応じて、指定されたユーザIDと対応付けられた印刷データを印刷ジョブ情報から特定し、特定した印刷データのリストを印刷装置304に送信する。また、印刷装置304から、指定されたユーザIDに対応付けられた印刷データの印刷要求が送信されると、要求された印刷データを印刷装置304に送信する。このように、プリントサーバ203および303は、印刷ジョブを記憶する印刷データ記憶部としての機能と、印刷ジョブ情報を記憶する印刷ジョブ情報記憶部としての機能と、印刷データを送信する印刷データ送信部としての機能と、を含む。
(実施形態に係る各部のより詳細な構成)
次に、図1を用いて説明した、実施形態に係る各部のより詳細な構成について説明する。
図2は、実施形態に適用可能な業務端末300の一例のハードウェア構成を示す。図2において、業務端末300は、CPU(Central Processing Unit)320と、ROM(Read Only Memory)321と、RAM(Random Access Memory)322と、グラフィクスI/F(インタフェース)323と、ストレージ324と、データI/F325と、通信I/F326とを備え、これら各部がバス330により互いに通信可能に接続される。
ストレージ324は、データを不揮発に記憶する記憶媒体であって、ハードディスクドライブやフラッシュメモリを適用できる。ストレージ324は、CPU320が動作するためのプログラムやデータが記憶される。
CPU320は、例えば、ROM321やストレージ324に予め記憶されたプログラムに従い、RAM322をワークメモリとして用い、この業務端末300の全体の動作を制御する。グラフィクスI/F323は、CPU320によりプログラムに従い生成された表示制御信号に基づき、ディスプレイ327が対応可能な表示信号を生成する。ディスプレイ327は、グラフィクスI/F323から供給された表示信号に応じた画面を表示する。
データI/F325は、外部の機器との間でデータの送受信を行う。データI/F325としては、例えばUSB(Universal Serial Bus)を適用可能である。この例では、データI/F325に、ユーザ入力を受け付ける入力デバイスとしてキーボード328aおよびポインティングデバイス328bが接続されている。通信I/F326は、CPU320の指示に従い、ネットワーク30に対する通信を制御する。
図3は、実施形態に適用可能な業務端末300の機能を説明するための一例の機能ブロック図である。業務端末300は、全体制御部3000と、通信制御部3001と、VDIクライアント3002と、印刷要求部3005と、を含む。これら全体制御部3000、通信制御部3001、VDIクライアント3002および印刷要求部3005は、CPU320上でプログラムが動作することによって構成される。業務端末300は、文書を作成する文書作成部をさらに含んでいてもよい。
全体制御部3000は、例えばOS(Operating System)であって、業務端末300の全体の動作を制御する。通信制御部3001は、通信I/F326を制御して、ネットワーク30に対する通信を行う。
印刷要求部3005は、業務端末300が記憶する、あるいは、取得する文書に対する印刷指示をユーザ操作に応じて受け付けると、その文書の印刷ジョブを、ユーザにより指定された出力先(印刷装置304またはプリントサーバ303など)に送信する。なお、詳細は後述するが、業務端末300からプリントサーバ203への印刷データの送信は許可されていないため、印刷ジョブの出力先としてプリントサーバ203が指定された場合は、送信が失敗しエラーとなる。上述した、業務端末300に搭載されるプリンタドライバが、この印刷要求部3005の処理を実行することができる。
VDIクライアント3002は、例えば、全体制御部3000および通信制御部3001に対して追加して搭載されるもので、通信部3003とUI部3004とを含む。通信部3003は、VDIサーバ201との通信を行う。UI部3004は、ユーザに対する情報の表示、ユーザ操作のための画面表示、および、画面表示に応じたユーザ操作による入力の処理など、ユーザインタフェースを実現する。
UI部3004は、VDIサーバ201と通信接続するためのユーザ認証情報(ユーザIDおよびパスワードなど)をユーザに入力させる画面をディスプレイ327に表示させる。UI部3004は、例えば業務端末300に対するユーザ操作に応じて、VDIサーバ201との通信接続が要求されると、入力されたユーザ認証情報をユーザ情報管理サーバ301に送信して認証を要求する。UI部3004は、ユーザ管理サーバ301から認証成功を示す認証結果を受信すると、認証されたユーザのユーザ情報(ユーザ識別情報など)をVDIサーバ201に送信して、VDIサーバ201に対して通信接続を要求する。
また、UI部3004は、通信部3003によるVDIサーバ201との通信によりVDIサーバ201から提供された仮想化デスクトップの画面をディスプレイ327に表示させる。UI部3004は、また、仮想化デスクトップの画面に応じた入力デバイスによる入力を受け付け、受け付けた入力に応じて、通信部3003によりVDIサーバ201と通信を行う。
図4は、実施形態に適用可能な印刷装置304の一例のハードウェア構成を示す。ここでは、印刷装置304がMFPであるものとして説明する。図4において、印刷装置304は、CPU340と、ROM341と、RAM342と、外部I/F343と、操作部I/F344と、操作パネル3440と、近距離無線通信部345と、通信I/F346と、ストレージ350とを備える。さらに、印刷装置304は、印刷装置304の各機能を実行するための構成を備える。
ストレージ350は、データを不揮発に記憶する記憶媒体であって、ハードディスクドライブやフラッシュメモリを適用できる。ストレージ350は、CPU340が動作するためのプログラムやデータが記憶される。
印刷装置304がプリント機能、コピー機能、スキャナ機能およびFAX機能を有するこの例では、印刷装置304は、各機能を実行するための構成として、画像処理・エンジン制御部360と、スキャナユニット361と、プリンタユニット362と、FAXユニット363とを有する。また、印刷装置304が有する上述した各部は、バス370および371により互いに通信可能に接続されている。
CPU340は、例えば、ROM341やストレージ350に予め記憶されたプログラムに従い、RAM342をワークメモリとして用い、この印刷装置304の全体の動作を制御する。
操作部I/F344は、ユーザ操作を受け付ける操作部と、ユーザに情報を提示するための表示部を備えた操作パネル3440が接続される。操作部は、接触した位置に応じた信号を出力するようにしたタッチパネルを用いることができ、当該タッチパネルと表示部とを一体的に構成することができる。操作パネル3440からユーザ操作に応じて出力された信号は、操作部I/F344を介してCPU340に供給される。また、操作部I/F344は、CPU340から供給された表示制御信号に応じて、操作部3440の表示部に対して画面を表示させる。
近距離無線通信部345は、例えば数cmから1m程度の極短距離を通信エリアとした無線通信である近距離無線通信を行うもので、無線通信による信号の送受信を行うための通信部位を含む。通信部位は、印刷装置304の外部との通信が容易なように、例えば印刷装置304の筐体の表面近くに設けられる。例えば、記憶部と、近距離無線通信部345と通信方式が対応する近距離無線通信部とを含むRFIC(Radio Frequency Integrated Circuit)チップを備えるIC(Integrated Circuit)カードを用意する。近距離無線通信部345は、このICカードが通信部位に近接されることで、当該ICカードが備える近距離無線通信部と通信を行い、当該ICカードが備える記憶部に記憶される情報を取得することができる。
通信I/F346は、CPU340の指示に従い、ネットワーク30に対する通信を制御する。外部I/F343は、例えばUSBインタフェースといった、外部機器を接続するためのインタフェースである。
スキャナユニット361は、CIS(Contact Image Sensor)といった光センサを用いて原稿台にセットされた原稿の画像をスキャンして読み取り、画像データを出力する。プリンタユニット362は、インクジェット方式や電子写真方式といった画像形成方式を用いて、画像データに基づき媒体に画像を形成する。
画像処理・エンジン制御部360は、CPU340の指示に従いスキャナユニット361およびプリンタユニット362の動作を制御する。また、画像処理・エンジン制御部360は、CPU340の指示に従い、スキャナユニット361で読み取られた画像データに所定の画像処理を施してバス371に対して出力する。さらに、画像処理・エンジン制御部360は、バス371を介して供給された画像データに所定の画像処理を施してプリンタユニット362に供給する。FAXユニット363は、例えば公衆電話回線に接続され、CPU340の指示に従い、バス371を介して供給された画像データのFAX送信処理を行う。
図5は、実施形態に係る印刷装置304の機能を説明するための一例の機能ブロック図である。印刷装置304は、印刷実行部3040と、通信制御部3041と、認証処理部3042と、印刷制御部3043とを含む。これら印刷実行部3040、通信制御部3041、認証処理部3042および印刷制御部3043は、CPU340上でプログラムが動作することで構成される。
印刷実行部3040は、用紙などの印刷媒体に対して印刷データに従った印刷を実行する。通信制御部3041は、通信I/F346を制御して、ネットワーク30に対する通信を行う。認証処理部3042は、例えば近距離無線通信部345に近接されたICカードから、ICカードが備える記憶部に記憶されるカードID、ユーザIDおよびパスワードを読み取って認証サーバ302に送信し、ICカードを所持するユーザの認証を依頼する。
印刷制御部3043は、例えば、印刷装置304に対して追加で搭載されるアプリケーションプログラムがCPU340上で動作することで構成される。これに限らず、印刷制御部3043は、印刷装置304に予め組み込まれていてもよい。
印刷制御部3043は、UI部3044およびリスト取得部3045を含む。UI部3044は、操作パネル3440に表示させるUI(User Interface)画面を生成する。また、UI部3044は、操作パネル3440に対するユーザ操作を受け付け、受け付けたユーザ操作に応じて印刷装置304の動作を制御する。リスト取得部3045は、リストの取得先に設定されている、通常区画3内のプリントサーバ303や、機密区画2内のプリントサーバ203から、印刷待機中の印刷ジョブのリストを取得することができる。
なお、通常区画3において、認証サーバ302、プリントサーバ303および印刷ログ管理サーバ305は、それぞれ図2を用いて説明した業務端末300と同等のハードウェア構成にて実現可能であるため、ハードウェア構成の説明を省略する。ここで、認証サーバ302、プリントサーバ303および印刷ログ管理サーバ305は、図2におけるグラフィクスI/F323や、ディスプレイ327、キーボード328aおよびポインティングデバイス328bを省略することができる。
図6は、実施形態に適用可能なVDIサーバ201の機能を説明するための一例の機能ブロック図である。なお、VDIサーバ201は、図2を用いて説明した業務端末300と同等のハードウェア構成にて実現可能であるため、ハードウェア構成の説明を省略する。ここで、VDIサーバ201は、図2におけるグラフィクスI/F323や、ディスプレイ327、キーボード328aおよびポインティングデバイス328bを省略することができる。
図6において、VDIサーバ201は、仮想化デスクトップ制御部2010と、通信制御部2012と、印刷制御部2013とを含む。これら仮想化デスクトップ制御部2010、通信制御部2012および印刷制御部2013は、VDIサーバ201が備えるCPU上でプログラムが動作することで構成される。
通信制御部2012は、仮想化デスクトップ制御部2010の指示に従いVDIサーバ201が備える通信I/Fを制御して、ネットワーク20に対する通信を行う。印刷制御部2013は、仮想化デスクトップ制御部2010の指示に従い印刷ジョブを生成する。
仮想化デスクトップ制御部2010は、例えば通常区画3に含まれる、それぞれVDIクライアント3002が搭載された複数の業務端末300、300、…からの要求に従い、仮想化デスクトップ20111、20112、…を生成する。各仮想化デスクトップ20111、20112、…は、例えばUIを構成するための情報を、要求の送信元の各業務端末300、300、…に送信することで、各業務端末300、300、…にUI画面を表示させ、また、表示されたUI画面に応じたユーザ操作を受け付けることができる。
例えば、仮想化デスクトップ20111は、当該仮想化デスクトップ20111により業務端末300に表示されたUI画面に応じたユーザ操作を受け付け、受け付けたユーザ操作を示すユーザ操作情報を仮想化デスクトップ制御部2010に渡す。仮想化デスクトップ制御部2010は、仮想化デスクトップ20111から渡されたユーザ操作情報に応じて、通信制御部2012および印刷制御部2013に対して指示を出す。
例えば、仮想化デスクトップ制御部2010は、仮想化デスクトップ20111が提供される業務端末300に対する機密文書の印刷を要求するユーザ操作に応じて、印刷制御部2013に、印刷が要求された機密文書の印刷処理を指示する。印刷制御部2013は、仮想化デスクトップ制御部2010の指示に従い、機密文書サーバ200から取得された機密文書を含む印刷ジョブを生成する。VDIサーバ201は、機密文書サーバ201からの機密文書の取得を、上述したように、文書管理プログラムが有する機能により実行することができる。
このとき、印刷制御部2013は、印刷ジョブに、当該印刷ジョブの属性情報を含ませる。属性情報は、例えば、印刷を指示する操作を行った業務端末300を識別する端末IDと、当該操作を行ったユーザのユーザIDと、印刷ジョブを生成した時間を示す時間情報と、印刷対象の文書を示す情報(例えばファイル名)と、印刷条件としてユーザにより指定された印刷属性とを含む。印刷属性は、例えば、印刷色(カラーまたはモノクロ)、ページ数、印刷部数などの、印刷に関するパラメータを含む。VDIサーバ201は、印刷制御部2013が生成した印刷ジョブを、ログ保管サーバ202に送信する。
なお、以下では、仮想化デスクトップ20111、20112、…を区別する必要が無い場合には、これらのうち任意の1つを仮想化デスクトップ2011として説明を行う。
図7は、実施形態に係るログ保管サーバ202の機能を説明するための一例の機能ブロック図である。なお、ログ保管サーバ202は、図2を用いて説明した業務端末300と同等のハードウェア構成にて実現可能であるため、ハードウェア構成の説明を省略する。ここで、ログ保管サーバ202は、図2におけるグラフィクスI/F323や、ディスプレイ327、キーボード328aおよびポインティングデバイス328bを省略することができる。
図7において、ログ保管サーバ202は、検出部2020と、禁止文字列記憶部2021と、ログ情報収集部2022と、変換部2023と、ログ記憶部2024とを含む。これらのうち、検出部2020、ログ情報収集部2022および変換部2023は、ログ保管サーバ202が備えるCPU上でプログラムが動作することで構成される。また、禁止文字列記憶部2021およびログ記憶部2024は、例えば、それぞれログ保管サーバ202が備えるストレージの所定の記憶領域が利用される。
禁止文字列記憶部2021は、印刷対象の文書に含まれている場合に当該文書の印刷を禁止する対象となる文字列(禁止文字列と呼ぶ)が記憶される。検出部2020は、ログ保管サーバ202に送信された印刷ジョブが入力されと、禁止文字列記憶部2021に記憶される禁止文字列を参照して、入力された印刷ジョブに含まれる文書情報に対して禁止文字列の検出処理を実行する。
検出部2020は、検出対象として、例えば印刷対象の文書の全文や、印刷対象の文書の文書ファイルのファイル名など、印刷ジョブに含まれる情報のうちテキスト情報として認識される情報(文字情報として認識される情報)から、任意の情報を指定することができる。検出部2020は、予め設定された検出対象の文書情報に対して禁止文字列の検出を行い、禁止文字列が含まれているか否かを判定する。
検出部2020は、印刷ジョブに含まれる文書から禁止文字列が検出されなかった場合、当該印刷ジョブをログ情報収集部2022に渡す。一方、検出部2020は、印刷ジョブに含まれる文書から禁止文字列が検出された場合、当該当該印刷ジョブを破棄し、VDIサーバ201に対してエラーメッセージを返す。なお、VDIサーバ201は、ログ管理サーバ202からこのエラーメッセージを受信すると、印刷要求に対してエラー画面を生成し、ユーザにエラーを通知する。
ログ情報収集部2022は、検出部2020から渡された印刷ジョブに基づくログ情報を、ログ記憶部2024に記憶させる。このとき、ログ情報収集部2022は、印刷ジョブに含まれる文書を変換部2023に渡す。変換部2023は、ログ情報収集部2022から渡された文書を、印刷イメージのデータに変換してログ情報収集部2022に返す。印刷イメージのデータは、文書が印刷装置304に印刷された印刷画像に対応するデータであって、例えばPDF(Portable Document Format)データである。ログ情報収集部2022は、この印刷ジョブに含まれる文書が変換された印刷イメージのデータを、印刷ジョブの属性情報に関連付けてログ記憶部2024に記憶する。
ログ情報収集部2022は、印刷イメージのデータをログ記憶部2024に記憶させると、記憶させた印刷イメージに対応する印刷ジョブを、プリントサーバ203に送信する。
図8は、実施形態に適用可能な通信制御装置10の機能を説明するための一例の機能ブロック図である。なお、通信制御装置10は、図2を用いて説明した業務端末300と同等のハードウェア構成にて実現可能であるため、ハードウェア構成の説明を省略する。ここで、通信制御装置10は、図2におけるグラフィクスI/F323や、ディスプレイ327、キーボード328aおよびポインティングデバイス328bを省略することができる。
図8において、通信制御装置10は、設定部1000と、フィルタ部1001とを含む。これら設定部1000およびフィルタ部1001は、それぞれ、通信制御装置10が備えるCPU上でプログラムが動作することで構成されてもよいし、互いに協働して動作するハードウェア回路によって構成してもよい。
設定部1000は、フィルタ部1001に対して、例えば宛先および送信元毎に、通信制御の設定を行う。フィルタ部1001は、設定部1000により設定された内容を示す設定情報に従い、ネットワーク20およびネットワーク30の間の通信を制御する。例えば、フィルタ部1001は、ネットワーク20からネットワーク30へ、および、ネットワーク30からネットワーク20へ送信されるパケットを取得し、取得したパケットの例えばヘッダ部に含まれる宛先情報および送信元情報を抽出する。フィルタ部1001は、抽出した宛先情報と設定部1000に設定された設定情報とに基づき、そのパケットを通過させるか否かを制御する。
図9は、実施形態に係る、通信制御装置10による通信制御の例を示す。なお、図9において、上述した図1および図8と共通する部分には同一の符号を付して、詳細な説明を省略する。
図9において、図中の水平方向の矢印が、通信制御装置10における、設定部1000の設定に従ったフィルタ部1001による通信制御を示している。通信制御装置10は、通常区画3内のユーザ情報管理サーバ301について、機密区画2内の機密文書サーバ201、VDIサーバ201、ログ保管サーバ202およびプリントサーバ203それぞれとの間の通信を許可する。
通信制御装置10は、通常区画3内の業務端末300について、機密区画2内のVDIサーバ201との間の通信を許可し、機密文書サーバ200、ログ保管サーバ202およびプリントサーバ203との間の通信を許可しない。通信制御装置10は、通常区画3内の印刷装置304について、機密区画2内のプリントサーバ203との間の通信を許可し、機密文書サーバ200、VDIサーバ201およびログ保管サーバ202との間の通信を許可しない。通信制御装置10は、通常区画3内の認証サーバ302について、機密区画2内のプリントサーバ203との間の通信を許可し、機密文書サーバ200、VDIサーバ201およびログ保管サーバ202との間の通信を許可しない。これに限らず、通信制御装置10は、認証サーバ302による認証処理を必要とする、機密区画2内の他の機器との通信をさらに許可するように設定してもよい。
通信制御装置10は、通常区画3内の、図9に示されていない各部、プリントサーバ303および印刷ログ管理サーバ305については、機密区画2内のネットワーク20に対するアクセスを許可しない。また、認証サーバ302が、ユーザが印刷装置304を利用する際の、印刷装置304からの直接的な認証要求に応じたユーザ認証のみを行う場合には、通信制御装置10は、認証サーバ302から機密区画2内のネットワーク20に対するアクセスを許可しないように設定してもよい。
さらに、通信制御装置10は、機密区画2内のネットワーク20から、通常区画3内のネットワーク30への通信については、特に制限しない。これに限らず、通信制御装置10は、機密区画2内のネットワーク20から、通常区画3内のネットワーク30への通信についても、ネットワーク30からネットワーク20への通信と同様に、宛先および送信元毎に制御してもよい。
(実施形態に係る処理の詳細)
次に、実施形態に係る処理について、より詳細に説明する。図10は、実施形態に係る、通常区画3内の業務端末300から機密区画2内の機密文書サーバ200に記憶される機密文書の印刷を要求する場合の処理を示す一例のシーケンス図である。なお、図10において、上述した図1と共通する部分には同一の符号を付して、詳細な説明を省略する。
ユーザは、通常区画3内において、機密区画2内の機密文書サーバ200に記憶される機密文書の印刷を要求する場合、業務端末300においてVDIクライアント3002を起動させる。VDIクライアント3002は、起動されると、UI部3044により、ログイン画面を表示させる。ユーザは、業務端末300を操作して、ログイン画面に従いユーザIDおよびパスワード(PW)を入力する(ステップS100)。
業務端末300において、VDIクライアント3002は、入力されたユーザIDおよびパスワードと、当該業務端末300を特定するための端末IDとを、VDIサーバ201に送信し、VDIサーバ201へのログインを要求する(ステップS101)。なお、端末IDは、業務端末300毎に固有の識別情報であって、例えばMAC(Media Access Control)アドレスを用いることができる。
図9を用いて説明したように、通信制御装置10は、業務端末300とVDIサーバ201との間の通信を許可しているため、業務端末300から送信されたユーザID、パスワードおよび端末IDは、通信制御装置10を介してVDIサーバ201に受信される。
VDIサーバ201は、受信したユーザID、パスワードおよび端末IDのうち、ユーザIDおよびパスワードを通常区画3内のユーザ情報管理サーバ301に送信し、ユーザIDに示されるユーザの認証を要求する(ステップS102)。ユーザ情報管理サーバ301は、ユーザIDおよびパスワードに基づき、ユーザIDが示すユーザが機密区画2内のネットワーク20に対するアクセス権限を与えられたユーザとして登録されているか否かを判定する。ユーザ情報管理サーバ301は、この判定結果を認証結果としてVDIサーバ201に送信する(ステップS103)。このように、ユーザ情報管理サーバ301は、業務端末300を使用するユーザの認証を行う認証部としても機能する。
VDIサーバ201は、ユーザ情報管理サーバ301による認証結果がユーザの登録を示し、認証が成功したとされた場合、例えば仮想化デスクトップ2011を生成し、ログイン要求を送信した業務端末300に対して、生成した仮想化デスクトップ2011によるUI構成情報を送信する(ステップS110)。
なお、ユーザ情報管理サーバ301では、ユーザIDおよびパスワードが登録されているかどうか、つまり、ユーザの存在確認を行い、ユーザが存在すると判定した場合に、アクセス権限の有無を含むそのユーザのユーザ情報をVDIサーバ201に返信するようにしてもよい。この場合は、ユーザ情報を受信したVDIサーバ201において、そのユーザが機密区画2内のネットワーク20に対するアクセス権限を与えられたユーザか否かを、権限の有無に基づいて判定する。
また、VDIサーバ201は、認証結果がユーザが登録されていない、すなわち、ログインを要求したユーザがネットワーク20に対するアクセス権限を与えられていないことを示している場合、認証が失敗したとして、ログイン要求を送信した業務端末300のアクセスを拒否する。
業務端末300は、VDIクライアント3002により、ステップS110でVDIサーバ201から送信されたUI構成情報に基づきUIを構成し、UI画面をディスプレイ327に表示させる(ステップS111)。業務端末300は、VDIクライアント3002により、このUI画面に基づくユーザ操作に応じて、機密文書サーバ200に記憶される機密文書の一覧を、VDIサーバ201に要求する(ステップS112)。このとき、VDIクライアント3002は、機密文書一覧要求に、当該業務端末300の端末IDを付加してVDIサーバ201に送信する。
VDIサーバ201は、業務端末300から送信された機密文書一覧要求に従い、機密文書サーバ200に対して、記憶している機密文書の一覧を要求する(ステップS113)。機密文書サーバ200は、この要求に応じて、記憶している機密文書の一覧をVDIサーバ201に送信する(ステップS114)。VDIサーバ201は、機密文書サーバ200から送信された機密文書一覧を、仮想化デスクトップ2011を介して業務端末300に提示する(ステップS115)。業務端末300は、VDIクライアント3002により、VDIサーバ201から送信された機密文書一覧をディスプレイ327に表示させる(ステップS116)。
業務端末300は、VDIクライアント3002により、ディスプレイ327に表示された機密文書一覧に応じたユーザ操作により指定された機密文書の印刷を、VDIサーバ201に対して要求する(ステップS120)。VDIサーバ201は、業務端末300からの印刷要求により指定された機密文書を機密文書サーバ200に要求する(ステップS121)。機密文書サーバ200は、この要求に応じて、指定された機密文書をVDIサーバ201に渡す(ステップS122)。
VDIサーバ201は、機密文書サーバ200から機密文書を受け取ると、受け取った機密文書と、当該機密文書の印刷に関する属性情報とを含む印刷ジョブを作成する。属性情報は、上述したように、印刷要求を送信した業務端末300およびユーザの端末IDおよびユーザIDと、印刷ジョブを作成した時間を示す時間情報と、機密文書を示す情報と、印刷属性とを含む。VDIサーバ201は、作成した印刷ジョブをログ保管サーバ202に送信し、機密文書の印刷をログ保管サーバ202に対して要求する(ステップS123)。
なお、機密文書の選択は、機密文書一覧を表示しての選択に限られない。例えば、機密文書サーバ200に保持されている機密文書を検索し、特定の機密文書を指定してこの文書の内容を閲覧した上で、印刷を要求してもよい。この場合、VDIサーバ201は、閲覧の際に機密文書サーバ200から機密文書を取得してもよい。
ログ保管サーバ202は、VDIサーバ201から送信された印刷ジョブを受信すると、検出部2020により、受信した印刷ジョブに含まれる機密文書に対して印刷禁止文字列の検出処理を実行し、当該印刷ジョブによる印刷の可否をチェックする(ステップS124)。検出部2020は、印刷対象の機密文書から印刷禁止文字列が検出された場合、VDIサーバ201にエラーメッセージを返す。VDIサーバ201は、このエラーメッセージを、印刷要求を送信した送信元の業務端末300に送信することができる。
ログ保管サーバ202は、印刷対象の機密文書から印刷禁止文字が検出されなかった場合、当該印刷ジョブをログ情報収集部2022に渡す。ログ情報収集部2022は、渡された印刷ジョブに基づきログ情報を生成し、生成したログ情報をログ記憶部2024に記憶する(ステップS125)。より具体的には、ログ情報収集部2022は、渡された印刷ジョブに含まれる機密文書を変換部2023に渡し、変換部2023により機密文書が変換された印刷イメージのデータを、印刷ジョブの属性情報に関連付けて、ログ記憶部2024に記憶する。
ログ保管サーバ202は、ログ情報をログ記憶部2024に記憶すると、印刷ジョブを機密区画2内のプリントサーバ203に送信する(ステップS126)。プリントサーバ203は、ログ保管サーバ201から送信された印刷ジョブを受信すると、受信した印刷ジョブを記憶する(ステップS127)。
図11は、実施形態に適用可能な、通常区画3内で、業務端末300が一般文書の印刷を要求する場合の処理を示す一例のシーケンス図である。なお、ここでいう一般文書は、閲覧の対象を制限しない文書である。なお、図11において、上述した図1と共通する部分には同一の符号を付して、詳細な説明を省略する。
ステップS200で、業務端末300は、ユーザIDおよびパスワードが入力される(ステップS200)。このユーザIDおよびパスワードの入力は、例えば、ユーザが業務端末300にログインするために、ユーザ操作に応じて行われる。業務端末300は、入力されたユーザIDおよびパスワードをユーザ情報管理サーバ301に送信し、認証を要求する(ステップS201)。ユーザ情報管理サーバ301は、業務端末300から送信されたユーザIDおよびパスワードが登録されているか否かを判定する。ユーザ情報管理サーバ301は、この判定結果を認証結果として業務端末300に送信する(ステップS202)。
認証結果がユーザの登録を示し、認証が成功した場合、業務端末300にログインしたユーザは、印刷対象の文書、印刷属性、出力先などを指定し、指定した文書の印刷を要求する。業務端末300は印刷要求を受けて、指定した文書を含む印刷ジョブを作成する(ステップS203)。このとき、業務端末300は、ステップS200で入力されたユーザIDを含む属性情報を設定し、指定した文書の印刷データを作成して印刷ジョブに含ませる。業務端末300は、例えば搭載される文書作成プログラムにより作成された文書を、印刷対象の文書として指定できる。業務端末300は、作成した印刷ジョブを、通常区画3内のプリントサーバ303に送信する(ステップS204)。プリントサーバ303は、業務端末300から送信された印刷ジョブを受信し、受信した印刷ジョブを記憶する(ステップS205)。
図12は、実施形態に係る、印刷装置304からプリントサーバ203またはプリントサーバ303に記憶された印刷ジョブに従った印刷を行う処理を示す一例のシーケンス図である。なお、図12において、上述した図1と共通する部分には同一の符号を付して、詳細な説明を省略する。
印刷装置304から印刷対象の文書を指定して印刷を実行する場合、ユーザは、ログイン情報、すなわちユーザ認証情報(例えば、ユーザIDおよびパスワード)を用いて印刷装置304にログインを要求する(ステップS300)。
ユーザは、例えば、カードIDが予め記憶されるICカードを、印刷装置304に設けられる近距離無線通信部345の通信部位に近接させる。これにより、当該ICカードと近距離無線通信部345との間で通信が行われ、当該ICカードに記憶されるカードIDが印刷装置304に入力され、印刷装置304に対するログインが要求される。
印刷装置304は、ログイン要求により入力されたカードIDを認証サーバ302に送信し、認証サーバ302に対して認証を要求する(ステップS301)。認証サーバ302は、この要求に応じて、認証サーバ302に登録される情報であって、カードIDとユーザIDおよびパスワードとが対応付いたカード管理情報を参照し、印刷装置304から送信されたカードIDに基づいて、そのカードIDに対応付いているユーザIDおよびパスワードが特定できるかを判定する。特定できた場合、特定されたユーザIDおよびパスワードをユーザ情報管理サーバ301に送信し、ユーザ情報管理サーバ301に対して、これらユーザIDおよびパスワードの照合を要求する(ステップS302)。
ユーザ情報管理サーバ301は、認証サーバ302から送信されたユーザIDおよびパスワードと、登録されているユーザIDおよびパスワードとを照合し、照合結果を認証サーバ302に返す(ステップS303)。認証サーバ302は、ユーザ情報管理サーバ301から送信された照合結果に基づき、認証サーバ302から送信したユーザIDおよびパスワードに対応するユーザの存在が確認されると、認証が成功したとしてユーザの印刷装置304に対するログインを許可し、その旨を認証結果として印刷装置304に送信する(ステップS304)。
印刷装置304は、ユーザのログインを許可する認証結果を受信すると、UI部3044により、操作パネル3440に対して印刷ジョブを指定するための印刷制御画面を表示させる(ステップS305)。
図13は、実施形態に適用可能な、操作パネル3440に表示される印刷制御画面の例を示す。例えば図13(a)において、印刷制御画面400は、表示部401および413と、タブ402aおよび402bと、印刷データ一覧表示部403と、ボタン410〜412、420〜422とを含む。表示部401は、印刷装置304にログインしたユーザを示す情報(例えばユーザID)が表示される。
タブ402aおよび402bは、印刷対象を一般文書および機密文書の何れかに指定するためのタブである。タブ402aは、一般文書を印刷対象として指定するためのタブである。図13(a)は、タブ402aが指定された状態を示している。タブ402aが指定された場合、印刷装置304のUI部3044は、通常区画3内のプリントサーバ303から、印刷装置304にログインしたユーザのユーザIDに対応する印刷ジョブを取得するようにリスト取得部3045に指示する。リスト取得部3045は、この指示に従い、プリントサーバ303から印刷ジョブの一覧を取得する。
一方、タブ402bは、機密文書を印刷対象として指定するためのタブである。図13(b)は、タブ402bが指定された状態を示している。タブ402bが指定された場合、印刷装置304のUI部3044は、機密区画2内のプリントサーバ203から、印刷装置304にログインしたユーザのユーザIDに対応する印刷ジョブを取得するようにリスト取得部3045に指示する。リスト取得部3045は、この指示に従い、プリントサーバ203から印刷ジョブの一覧を取得する。
印刷データ一覧表示部403は、タブ402aおよび402bに対する操作に応じて、通常区画3内のプリントサーバ303、または、機密区画2内のプリントサーバ203から取得した印刷ジョブの情報が一覧表示される。印刷データ一覧表示部403に表示される印刷ジョブの情報を、例えば操作パネル3440に対するユーザ操作により指定することで、指定された印刷ジョブを印刷対象の印刷ジョブとして選択できる。
なお、ここでは、印刷ジョブの一覧表示がユーザ操作により要求されると、デフォルトでタブ402aが選択された印刷ジョブの一覧が表示されるように設定されているものとする。このようにすることで、機密文書の印刷ジョブ一覧は、ユーザがタブ402bを指定しない限り取得されないため、機密区画2への無用のアクセスを減らすことができる。
タブ402aが指定される図13(a)の例では、印刷データ一覧表示部403は、プリントサーバ303から取得した、一般文書を印刷するための各印刷ジョブの情報が一覧表示されている。また、タブ402bが指定される図13(b)の例では、印刷データ一覧表示部403は、プリントサーバ203から取得した、機密文書を印刷するための各印刷ジョブの情報が一覧表示されている。
図13(a)および図13(b)の例では、印刷データ一覧表示部403に表示される印刷ジョブの情報は、印刷ジョブにより印刷される文書ファイルのファイル名と、その印刷ジョブが作成された時間を示す時間情報と、印刷ジョブにより指定される印刷属性とを含んでいる。印刷属性は、例えば、印刷色(カラーまたはモノクロ)、ページ数、印刷部数などの情報を含む。
ボタン410〜412は、印刷データ一覧表示部403の表示に対する操作を行うためのボタンである。ボタン410は、タブ402aが指定された場合はプリントサーバ303から取得された全ての印刷ジョブを、タブ402bが指定された場合はプリントサーバ203から取得された全ての印刷ジョブを、印刷対象の印刷ジョブとして選択するためのボタンである。
ボタン411および412は、印刷データ一覧表示部403のページを切り替えるためのボタンである。例えば、UI部3044は、プリントサーバ203やプリントサーバ303から取得した印刷ジョブの一覧を、印刷データ一覧表示部403が一度に表示可能な印刷ジョブ数(この例では2個)に基づくページを単位として扱う。ボタン411および412は、それぞれ、操作に応じて、現在印刷データ一覧表示部403に表示されるページを、1つ前および次のページに切り替えるためのボタンである。表示部413は、現在印刷データ一覧表示部403に表示されるページが、取得した印刷ジョブの一覧による全ページの中で何ページ目かを示す情報が表示される。
ボタン420〜422は、それぞれ、印刷データ一覧表示部403において指定されている印刷ジョブの情報に対応する印刷ジョブに対する処理を指示するためのボタンである。ボタン420は、指定される印刷ジョブの情報に対応する印刷ジョブを削除するためのボタン、ボタン421は、当該印刷ジョブの情報を編集するためのボタンである。また、ボタン422は、指定される印刷ジョブの情報に対応する印刷ジョブによる印刷を指示するためのボタンである。
説明は図12に戻り、ステップS305で表示された印刷制御画面400において、タブ402aが指定された場合、ステップS310の処理が実行され、タブ402bが指定された場合、ステップS320の処理が実行される。
ステップS310の処理について説明する。ステップS310は、ステップS3101〜ステップS3109の各処理を含む。ステップS3101で、印刷装置304は、通常区画3内のプリントサーバ303に対して印刷ジョブの一覧を要求すると共に、ログインしているユーザのユーザIDを送信する(ステップS3101)。プリントサーバ303は、印刷装置304から送信された印刷ジョブ一覧要求に応じて、記憶される印刷ジョブに対して、印刷装置304から送信されたユーザIDによる照合を、認証サーバ302に要求する(ステップS3102)。
認証サーバ302は、プリントサーバ303から送信されたユーザIDに基づき、当該ユーザIDの照合を行い、当該ユーザIDのユーザが印刷装置304による印刷を実行するための権限を有しているか否かを判定する。認証サーバ302は、当該ユーザIDのユーザが印刷装置304を利用する権限を有していないと判定した場合、例えばエラーメッセージを出力することができる。このエラーメッセージは、例えば、プリントサーバ303を介して印刷装置304に送信される。一方、認証サーバ302は、当該ユーザIDのユーザが印刷装置304を利用する権限を有していると判定した場合、当該ユーザIDをユーザ情報管理サーバ301に送信し(ステップS3103)、当該ユーザIDのユーザの存在確認を要求する。
ユーザ情報管理サーバ301は、認証サーバ302から送信されたユーザIDの照合を行い、当該ユーザIDのユーザの存在が確認されると、認証成功を示す照合結果を認証サーバ302に送信する(ステップS3104)。認証サーバ302は、ユーザIDの認証成功を示す照合結果をプリントサーバ303に送信する(ステップS3105)。
なお、ユーザ情報管理サーバ301は、照合の結果、当該ユーザIDのユーザの存在が確認されなかった場合、エラーメッセージを出力することができる。このエラーメッセージは、例えばプリントサーバ303に送信され、プリントサーバ303から印刷装置304に送信される。なお、これらステップS3103およびステップS3104の処理は省略することができる。
プリントサーバ303は、印刷装置304からのユーザIDに基づく認証成功の照合結果を認証サーバ302から受信すると、当該ユーザIDに対応する印刷ジョブを抽出し、抽出した印刷ジョブの属性情報を、印刷ジョブの情報の一覧に含まれる情報として、印刷装置304に送信する(ステップS3106)。
印刷装置304は、プリントサーバ303から送信された印刷ジョブの情報の一覧を受信すると、UI部3044により、操作パネル3440に表示される印刷制御画面400の印刷データ一覧表示部403に対して、受信した印刷ジョブの情報の一覧を表示させる。UI部3044は、操作パネル3440に対する、印刷対象を指定するユーザ操作を待機する(ステップS3107)。
UI部3044は、操作パネル3440に対する印刷対象指定のユーザ操作に応じて、印刷対象として指定された印刷ジョブの情報に対応する印刷ジョブをプリントサーバ303に要求する(ステップS3108)。プリントサーバ303は、要求された印刷ジョブを印刷装置304に送信する(ステップS3109)。なお、印刷ジョブに基づく印刷データの生成は、印刷装置304側で行うことも可能である。印刷装置304は、プリントサーバ303から送信された印刷ジョブを受信し、受信した印刷ジョブに含まれる印刷データに従い印刷処理を実行する(ステップS3110)。
印刷装置304は、印刷処理が実行されると、実行された印刷処理に関する印刷ログ情報を印刷ログ管理サーバ305に送信する(ステップS3111)。印刷ログ管理サーバ305は、印刷装置304から送信された印刷ログ情報を受信すると、受信した印刷ログ情報を記憶する(ステップS3112)。
なお、印刷制御画面400は、タブ402aが指定された状態をデフォルトの状態とすることができる。この場合、ステップS310に含まれるステップS3101〜ステップS3103の処理は、印刷制御画面400の表示に伴い自動的に実行される。
次に、ステップS320の処理について説明する。ステップS320は、ステップS3201〜ステップS3209の各処理を含む。ステップS320に含まれるステップS3201〜ステップS3209の各処理は、上述したステップS310に含まれるステップS3101〜ステップS1209の各処理と、印刷装置304が印刷ジョブ等を取得する取得先が異なる以外は、同等の処理となる。
ステップS3201で、印刷装置304は、機密区画2内のプリントサーバ203に対して印刷ジョブの一覧を要求すると共に、ログインしているユーザのユーザIDを送信する(ステップS3201)。図9を用いて説明したように、通信制御装置10は、印刷装置304と、機密区画2内のプリントサーバ203との間の通信を許可しているため、印刷装置304から送信された印刷ジョブの一覧の要求と、ユーザIDは、通信制御装置10を介してプリントサーバ203に受信される。プリントサーバ203は、印刷装置304から送信された印刷ジョブ一覧要求に応じて、記憶される印刷ジョブに対して、印刷装置304から送信されたユーザIDによる照合を、認証サーバ302に要求する(ステップS3202)。
認証サーバ302は、プリントサーバ203から送信されたユーザIDに基づき、当該ユーザIDの照合を行い、当該ユーザIDのユーザが印刷装置304による印刷を実行するための権限を有しているか否かを判定する。認証サーバ302は、当該ユーザIDのユーザが印刷装置304を利用する権限を有していないと判定した場合、例えばエラーメッセージを出力することができる。このエラーメッセージは、例えば、プリントサーバ303を介して印刷装置304に送信される。
一方、認証サーバ302は、当該ユーザIDのユーザが印刷装置304を利用する権限を有していると判定した場合、当該ユーザIDをユーザ情報管理サーバ301に送信し(ステップS3203)、当該ユーザIDのユーザの存在確認と、当該ユーザの機密区画2内へのアクセス権限を有しているかの確認と、を要求する。ユーザ情報管理サーバ301は、認証サーバ302から送信されたユーザIDの照合を行い、当該ユーザIDのユーザの存在が確認され、且つ、当該ユーザが機密区画2内へのアクセス権限を有していると判定すると、認証成功を示す照合結果を認証サーバ302に送信する(ステップS3204)。認証サーバ302は、ユーザIDの認証成功を示す照合結果をプリントサーバ303に送信する(ステップS3205)。
なお、ユーザ情報管理サーバ301は、照合の結果、当該ユーザIDのユーザの存在が確認されなかった場合、エラーメッセージを出力することができる。また、ユーザ情報管理サーバ301は、照合の結果、当該ユーザIDのユーザが機密区画2内へのアクセス権限を有していることが確認されなかった場合も、エラーメッセージを出力することができる。このエラーメッセージは、例えばプリントサーバ303に送信され、プリントサーバ303から印刷装置304に送信される。
プリントサーバ203は、印刷装置304からのユーザIDに基づく認証成功の照合結果を認証サーバ302から受信すると、当該ユーザIDに対応する印刷ジョブを抽出し、抽出した印刷ジョブの属性情報を、印刷ジョブの情報の一覧に含まれる情報として、印刷装置304に送信する(ステップS3206)。
印刷装置304は、UI部3044により、操作パネル3440に表示される印刷制御画面400の印刷データ一覧表示部403に対して、プリントサーバ203から送信された印刷ジョブの情報の一覧を表示させる。UI部3044は、操作パネル3440に対する、印刷対象を指定するユーザ操作を待機する(ステップS3207)。
UI部3044は、操作パネル3440に対する印刷対象指定のユーザ操作に応じて、印刷対象として指定された印刷ジョブの情報に対応する印刷ジョブをプリントサーバ203に要求する(ステップS3208)。プリントサーバ203は、要求された印刷ジョブを印刷装置304に送信する(ステップS3209)。印刷装置304は、プリントサーバ203から送信された印刷データに従い印刷処理を実行する(ステップS3210)。
印刷装置304は、印刷処理が実行されると、実行された印刷処理に関する印刷ログ情報を印刷ログ管理サーバ305に送信する(ステップS3211)。印刷ログ管理サーバ305は、印刷装置304から送信された印刷ログ情報を受信すると、受信した印刷ログ情報を記憶する(ステップS3212)。
このように、実施形態に係るネットワークシステム1では、機密区画2内のネットワーク20と、通常区画3内のネットワーク30との間の通信において、通常区画3内の業務端末300と機密区画2内のVDIサーバ201との間の相互の通信と、通常区画3内の印刷装置304と機密区画2内のプリントサーバ203との間の相互の通信と、を許可する。また、業務端末300は、機密区画2内の、VDIサーバ201以外の機器に対するアクセスが禁止される。
実施形態では、このようにネットワーク20とネットワーク30との間の通信を制御した上で、業務端末300からVDIサーバ201に対して、機密区画2内の機密文書の印刷を要求している。VDIサーバ201は、この要求に応じて、機密区画2内の機密文書に基づく印刷データの制御を行っている。
これにより、実施形態に係るネットワークシステム1では、通常区画3内の業務端末300に対する操作に応じて、機密区画2内の機密文書の印刷を実行することが可能とされ、機密文書の印刷のためにユーザが通常区画3から機密区画2に移動する必要が無い。また、業務端末300から機密区画2内の機密文書に直接的にアクセスできないため、機密文書が機密区画2から漏洩することが防がれる。さらに、機密区画2内の機密文書の印刷を、通常区画3内の印刷装置304により実行可能であるため、リソースの効率的な活用が可能である。
(実施形態の変形例)
上述では、機密区画2内のログ保管サーバ202によるログ情報の記憶は、印刷対象の機密文書に基づく印刷ジョブを、機密区画2内のプリントサーバ203に記憶させる前に行っている(図10、ステップS125)が、これはこの例に限定されない。例えば、印刷装置304からプリントサーバ203に印刷ジョブが要求された時点(図12、ステップS3205)で、ログ保管サーバ202によるログ情報の記憶を行ってもよい。
また、上述では、通常区画3内の印刷ログ管理サーバ305は、印刷装置304において機密区画2(ネットワーク20)から取得した印刷ジョブによる印刷を実行した場合も、印刷ログ情報を記憶している(図12、ステップS3209)が、これはこの例に限定されない。すなわち、印刷ログ管理サーバ305は、印刷装置304において機密区画2から取得した印刷ジョブの印刷を行った場合に、印刷ログ情報を残さないようにしてもよい。
例えば、印刷ログ管理サーバ305は、機密区画2から取得した印刷ジョブの印刷を行った場合に印刷ログ情報を記憶しない。または、印刷ログ管理サーバ305は、図12のステップS3209の処理に従い当該印刷ログ情報を記憶するが、所定のタイミングで、当該印刷ログ情報を削除する。あるいは、ログ保管サーバ202が機密文書に関する印刷ログ情報を定期的に取得し、このタイミングで印刷ログ管理サーバ305からは削除する。これにより、印刷ログ情報として記憶される、印刷を行った機密文書の例えばファイル名に基づく印刷内容の類推を阻止できる。
なお、上述の各実施形態では、機密区画2内に機密文書が保存されていることを例に説明を行ったが、機密区画2内に保存される文書は、機密文書に限られなくてもよい。機密文書サーバ200は、外部ネットワークを介してユーザの業務端末300からアクセスできない文書管理装置であり、このような文書管理装置において保存される文書であれば、その種類は特に限定されない。
なお、上述の各実施形態は、本発明の好適な実施の例ではあるがこれに限定されるものではなく、本発明の要旨を逸脱しない範囲において種々の変形による実施が可能である。