JP7074034B2 - 仮想デスクトップ環境等で用いる情報処理システム、プログラム及び情報処理方法 - Google Patents

仮想デスクトップ環境等で用いる情報処理システム、プログラム及び情報処理方法 Download PDF

Info

Publication number
JP7074034B2
JP7074034B2 JP2018219308A JP2018219308A JP7074034B2 JP 7074034 B2 JP7074034 B2 JP 7074034B2 JP 2018219308 A JP2018219308 A JP 2018219308A JP 2018219308 A JP2018219308 A JP 2018219308A JP 7074034 B2 JP7074034 B2 JP 7074034B2
Authority
JP
Japan
Prior art keywords
information processing
data
storage unit
procedure
communication line
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018219308A
Other languages
English (en)
Other versions
JP2020086834A (ja
Inventor
浩志 須田
正志 宇陀
晃子 松▲原▼
昌洋 長坂
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2018219308A priority Critical patent/JP7074034B2/ja
Publication of JP2020086834A publication Critical patent/JP2020086834A/ja
Application granted granted Critical
Publication of JP7074034B2 publication Critical patent/JP7074034B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、仮想デスクトップ環境等で用いる情報処理システム、プログラム及び情報処理方法に関する。
VDI(Virtual Desktop Infrastructure、仮想デスクトップ基盤又はデスクトップ仮想化等と呼ばれる場合が多い。)等のように、ネットワークを利用して、いわゆる仮想デスクトップ環境を構築する技術が知られている。
例えば、仮想デスクトップ環境下において、クライアント(Client)の転送作業を容易にする方法等が知られている。具体的には、まず、仮想デスクトップ環境下におけるクライアントで、アプリケーションソフトウェアを実行するのに用いられるデータごとに、クライアントにおけるパス情報と、仮想デスクトップ環境におけるパス情報とが対応付けされる。そして、この対応付けに基づいて、クライアントは、仮想マシンへクライアントが保持するデータを自動的に転送する。このようにして、ユーザが、データの転送先を指定する作業を減らす方法が知られている(例えば、特許文献1等)。
国際公開第2013-057795号
しかしながら、従来の方法では、セキュリティが確保しにくい場合があったり、又は、運用が煩雑になったりしやすい。そのため、ユーザの利便性を損なう場合が多い。
本発明は、上記課題に鑑み、ユーザの利便性を高めることを目的とする。
本発明では、例えば、1台又は複数の情報処理端末と、前記情報処理端末と通信を行う1台又は複数の情報処理装置とを少なくとも有する情報処理システムであって、
前記情報処理端末は、
前記情報処理装置に対してアクセスする通信に用いられる第1通信回線を用いて、暗号化された暗号化データを前記情報処理端末から前記情報処理装置に送信する第1送信部を有し、
前記情報処理装置は、
前記暗号化データを記憶する第1記憶部と、
前記第1記憶部から転送される前記暗号化データを受信する受信部と、
前記受信部が受信する前記暗号化データを復号した復号化データを記憶する第2記憶部と、
前記第1記憶部から前記第2記憶部に、プライベート通信回線を介して前記暗号化データを転送するデータ転送部とを有し、
前記情報処理端末は、
前記第1通信回線と異なる通信回線であって、かつ、前記情報処理装置に対してアクセスする通信に用いられる第2通信回線を用いて、前記復号化データに対する操作を示す操作データを前記情報処理端末から前記情報処理装置に送信する第2送信部を更に有し、
前記情報処理装置は、
前記操作データに基づいて、前記復号化データを用いる処理を行う処理部と、
前記第2通信回線を用いて、前記処理部に対するインタフェースとなる画面を示す画像データを前記情報処理装置から前記情報処理端末に送信する第3送信部と
を更に有し、
前記第1記憶部に対するアクセスを監視する第1監視部と、
前記第2記憶部に対するアクセスを監視する第2監視部と、
前記第2記憶部に対するアクセスを監視する第3監視部と
を含む。
ユーザの利便性を高めることができる。
第1実施形態に係る情報処理システムの構成例を示す全体構成図である。 第1実施形態に係る情報処理端末及び情報処理装置のハードウェア構成例を示すブロック図である。 第1実施形態に係る情報処理システムによる全体処理例を示すフローチャートである。 第1実施形態に係る情報処理システムによる全体処理の処理結果例を示す図である。 第1実施形態に係る情報処理システムにおける各データに対するアクセスとそれぞれの状態の例を説明する表である。 第1実施形態に係る情報処理システムの機能構成例を示す機能ブロック図である。 第2実施形態に係る情報処理システムによる全体処理例を示すフローチャートである。 第2実施形態に係る情報処理システムによる全体処理の処理結果例を示す図である。 第3実施形態に係る情報処理システムによる全体処理例を示すフローチャートである。 第3実施形態に係る情報処理システムによる全体処理の処理結果例を示す図である。 本実施形態に係る情報処理システムによる全体処理におけるVDI等の例を示す図である。
以下、本発明を実施するための形態について図面を参照しながら説明する。
<第1実施形態>
<全体構成例>
図1は、第1実施形態に係る情報処理システムの構成例を示す全体構成図である。以下、図示するような全体構成を例に説明する。この例では、送信ユーザUR1が、データ(以下「アップロードデータ」という。)を提供する。そして、受信ユーザUR2が、アップロードデータ等を使用する例であるとする。
図示するように、情報処理システム1は、例えば、第1情報処理端末21、第2情報処理端末22、第1情報処理装置11及び第2情報処理装置12等を有する構成である。そして、情報処理端末及び情報処理装置は、例えば、図示するように回線等によって接続され、アップロードデータ等のデータを送受信することができる構成である。
アップロードデータは、例えば、CAD(Computer Aided Design)データ等である。すなわち、例えば、送信ユーザUR1が設計して生成したCADデータをアップロードデータとして、受信ユーザUR2に提供する。そして、受信ユーザUR2は、VDI等を利用して、アップロードデータをCADアプリケーションソフトウェアで展開する。
このようにすると、受信ユーザUR2は、送信ユーザUR1が生成したCADデータを閲覧したり、又は、送信ユーザUR1が行った設計をベースに設計を更に行うことができたりする。すなわち、図示する例は、送信ユーザUR1及び受信ユーザUR2の間で、アップロードデータが共有される例となる。
まず、図示する例では、第1情報処理端末21及び第1情報処理装置11は、第1通信回線L1によって通信可能に接続される。したがって、第1情報処理端末21でログイン等の処理を行うと、第1情報処理端末21は、第1情報処理装置11にアップロードデータを第1通信回線L1を介してアップロードできる。
この構成では、第1情報処理端末21がクライアント側となり、かつ、第1情報処理装置11がサーバ側となる。また、第1通信回線L1は、インターネット等の公衆回線を利用するネットワークである。
そして、第1通信回線L1を介するデータ送信を含む第1情報処理装置11へのアクセスは、ファイヤウォールによって監視される。以下、第1情報処理装置11へのアクセスを監視する1つのファイヤウォールを「第1ファイヤウォールFW1」という。したがって、第1情報処理装置11によって形成される記憶領域は、第1ファイヤウォールFW1による監視により、セキュアな状態となる。
次に、第1情報処理装置11及び第2情報処理装置12は、例えば、プライベート回線L3等によってデータが転送できるように接続される。具体的には、第1情報処理装置11及び第2情報処理装置12は、例えば、同一の社内に設置され、いわゆる社内LAN(Local Area Network)等で接続される。この例では、例えば、プライベート回線L3は、第1情報処理装置11及び第2情報処理装置12のどちらも、プライベートアドレスを用いるデータ転送等が行われる。
このように、プライベートアドレスが設定された装置の間でのデータ転送以外を拒否する、すなわち、Webといった社外からの装置によるアクセスを拒否する構成にすると、セキュリティを高くできる。
第2情報処理端末22及び第2情報処理装置12は、第2通信回線L2によって通信可能に接続される。したがって、第2情報処理端末22においてログイン等の処理を行うと、第2情報処理端末22では、第2通信回線L2を用いるVDI等によって、いわゆる仮想デスクトップ環境が構築できる。
この例では、第2情報処理端末22がクライアント側となり、かつ、第2情報処理装置12がサーバ側となる。また、第2通信回線L2は、インターネットを利用する通信回線等である。
また、第2情報処理装置12へのアクセスは、ファイヤウォールによって監視される。例えば、図示するように、第2ファイヤウォールFW2及び第3ファイヤウォールFW3が設置される。この例では、第2ファイヤウォールFW2は、プライベート回線L3等を監視する。同様に、第3ファイヤウォールFW3は、プライベート回線L3等を監視する。
なお、第1ファイヤウォールFW1、第2ファイヤウォールFW2及び第3ファイヤウォールFW3は、図示する例では、監視対象を各回線としているが、他の回線によるアクセスも監視してよい。
また、情報処理システム1には、ファイヤウォール以外のセキュリティ装置及びソフトウェア等があってもよい。さらに、情報処理システム1には、図示する以外のファイヤウォール、通信装置、情報処理装置及び情報処理端末等があってもよい。
<変形例>
なお、アップロードデータは、CADデータに限られない。また、VDI等を利用して使用されるアプリケーションソフトウェアは、CADに限られない。つまり、データの種類及びアプリケーションソフトウェアの種類は、限定されない。
望ましくは、高速な演算が有用な科学技術計算、画像処理又は映像処理等の処理が含まれるアプリケーションソフトウェア等である。具体的には、アップロードデータは、例えば、様々な画像を示す映像データ又は画像処理用のパラメータ等を示すデータである。そして、この例では、情報処理装置において、アップロードされたデータに基づいて、画像処理等の処理が行われる等でもよい。
ほかにも、アップロードデータは、測量データ等でもよい。すなわち、アップロードデータは、いわゆる点群データ等でもよい。
以上のように、情報処理装置で実行される処理は、科学技術計算等によるシミュレーション又は画像処理等に含まれる複数のデータを対象とする処理等であるのが望ましい。
このような処理では、サーバ側は、高速な演算を行うことができる演算装置及び記憶装置等があることが望ましい。一方で、クライアント側は、操作及び表示といったインタフェース及び通信が行える程度の情報処理端末でよい。このような処理が対象となる場合は、より仮想デスクトップ環境を構築するのが有益な場合である。すなわち、クライアント側に高速演算が可能な演算装置又は大容量を扱える記憶装置等がなくとも、処理を行ったり、データを記憶したりすることができる。
なお、送信ユーザUR1及び受信ユーザUR2は、同一の人物であってもよい。また、第1情報処理端末21及び第2情報処理端末22は、同一の情報処理端末であってもよい。
さらに、情報処理装置は、図示する例のように、物理的に異なる第1情報処理装置11及び第2情報処理装置12等の複数の情報処理装置をネットワーク等で接続させた構成でなくともよい。すなわち、第1情報処理装置11及び第2情報処理装置12は、1台の情報処理装置であってもよい。そして、情報処理装置は、例えば、論理的に図示するような第1情報処理装置11及び第2情報処理装置12に分けられた構成でもよい。このように、例えば、物理的に1台の情報処理装置を論理的に複数の情報処理装置又は記憶装置等に分けて、仮想LAN等で接続させる構成等でもよい。
一方で、第1情報処理端末21、第2情報処理端末22、第1情報処理装置11又は第2情報処理装置12は、複数の装置で構成されてもよい。
<ハードウェア構成例>
図2は、第1実施形態に係る情報処理端末及び情報処理装置のハードウェア構成例を示すブロック図である。例えば、第1情報処理端末21、第2情報処理端末22、第1情報処理装置11及び第2情報処理装置12は、図示するようなハードウェア構成である。以下、第1情報処理装置11、第2情報処理装置12、第1情報処理端末21及び第2情報処理端末22は、同一のハードウェア構成であるとし、第1情報処理装置11のハードウェア構成を例に説明する。
第1情報処理装置11は、例えば、CPU(Central Processing Unit、以下「CPU11H1」という。」)、記憶装置11H2、入力装置11H3、通信装置11H4、出力装置11H5及びインタフェース11H6等を含むハードウェア構成である。
CPU11H1は、演算装置及び制御装置の例である。すなわち、CPU11H1は、プログラム等に基づいて、主記憶装置等を用いて各処理を実現するための演算を行う。また、CPU11H1は、プログラム等に基づいて、各ハードウェア資源を制御する。
記憶装置11H2は、主記憶装置等である。すなわち、記憶装置11H2は、いわゆるメモリ等である。なお、記憶装置11H2は、ハードディスク及びSSD(Solid State Drive)等の補助記憶装置を有してもよい。
入力装置11H3は、ユーザによる操作を受け付けるインタフェースとなる装置である。例えば、入力装置11H3は、キーボード、マウス又はこれらの組み合わせ等である。
通信装置11H4は、外部装置と通信を行う装置である。例えば、通信装置11H4は、コネクタ及び処理IC(Integrated Circuit)等である。したがって、通信装置11H4は、接続されたケーブル等を介してネットワークに接続し、他の装置とデータを送受信する。なお、通信装置11H4は、有線、無線又はこれらの組み合わせ等によって、通信を行う。
出力装置11H5は、ユーザに対して処理結果又は画面等を表示するインタフェースとなる装置である。例えば、出力装置11H5は、ディスプレイ等である。
インタフェース11H6は、外部装置等と入出力を行う装置である。例えば、インタフェース11H6は、コネクタ等である。したがって、第1情報処理装置11には、インタフェース11H6により、様々な周辺機器が接続されてもよい。
すなわち、第1情報処理装置11、第2情報処理装置12、第1情報処理端末21及び第2情報処理端末22は、PC(Personal Computer)、モバイルPC、サーバ、ワークステーション、タブレット、スマートフォン又はこれらの組み合わせ等のコンピュータである。
なお、情報処理端末及び情報処理装置は、図示するハードウェア構成に限られない。すなわち、情報処理端末及び情報処理装置は、図示する以外の装置を更に有するハードウェア構成でもよい。例えば、情報処理端末及び情報処理装置は、演算装置、制御装置又は記憶装置等を外部又は内部に更に有してもよい。また、情報処理端末及び情報処理装置は、同一のハードウェア構成でなくてもよい。
<全体処理例>
図3は、第1実施形態に係る情報処理システムによる全体処理例を示すフローチャートである。また、図示する全体処理における各処理が行われた場合の処理結果例を以下に合わせて説明する。
図4は、第1実施形態に係る情報処理システムによる全体処理の処理結果例を示す図である。
以下、送信ユーザUR1がアップロードデータD1を受信ユーザUR2に提供する場合の例で説明する。図示する処理では、ステップS101乃至ステップS105による処理で、アップロードデータD1がアップロードされる。これにより、受信ユーザUR2側へアップロードデータを提供する状態となる。そして、ステップS106乃至ステップS110の処理が行われると、受信ユーザUR2は、データを使用できる状態となる。つまり、このような状態となると、受信ユーザUR2は、VDI等を利用して、CADにおける操作及び処理結果の表示等(この例では、ステップS112及びステップS113等が該当する。)といったデータの使用が可能となる。
S101:アップロードデータの入力及び受信ユーザの設定例
ステップS101では、情報処理システムは、アップロードデータを入力する。また、ステップS101では、情報処理システムは、受信ユーザを設定する。
つまり、ステップS101では、例えば、送信ユーザUR1による操作等に基づいて、第1情報処理端末21にアップロードデータD1を入力する。なお、アップロードデータD1は、第1情報処理端末21等でCADのソフトウェア等によって生成されてもよい。
そして、ステップS101では、受信ユーザUR2が設定される。この設定が、アップロードデータD1の宛て先等となる。すなわち、このような設定をすることで、送信ユーザUR1は、アップロードデータD1を送信ユーザUR1と、受信ユーザUR2との間で共有化することを指示できる。
S102:暗号化データの生成例
ステップS102では、情報処理システムは、暗号化データを生成する。例えば、アップロードデータD1は、公開鍵方式等で暗号化される。具体的には、まず、第1情報処理端末21は、あらかじめ第2情報処理装置12が公開する公開鍵を取得する。そして、第1情報処理端末21は、第2情報処理装置12の公開鍵でアップロードデータD1を暗号化し、暗号化データD2を生成する。
したがって、暗号化されてから復号化されるまで(図示する全体処理ではステップS111が実行されるまでとなる。)は、データは、暗号化によって、データの秘密が守られた状態である。また、第2情報処理装置12は、暗号化データD2を復号化してアップロードデータD1に戻すことができる。
S103:第1通信回線を用いる暗号化データの送信例
ステップS103では、情報処理システムは、第1通信回線を用いて、暗号化データを送信する。この例では、第1通信回線L1を介して、第1情報処理端末21から第1情報処理装置11に暗号化データD2が送信される。このようにして、暗号化データD2は、第1情報処理装置11が提供する記憶領域(以下「第1記憶領域M1」という。)に、アップロードされた状態となる。
S104:第1監視部による監視例
ステップS104では、情報処理システムは、第1監視部によって監視を行う。具体的には、第1情報処理装置11に対するアクセスは、第1情報処理端末21からのアクセスに限られず、他の装置等からのアクセスも、第1ファイヤウォールFW1によって監視される。したがって、第1記憶領域M1は、第1ファイヤウォールFW1にセキュリティが確保された状態、いわゆる「セキュアな状態」の記憶領域となる。
S105:暗号化データ等の受信及び記憶例
ステップS105では、情報処理システムは、暗号化データ等を受信する。また、ステップS105では、情報処理システムは、暗号化データを記憶する。
具体的には、第1情報処理装置11は、第1通信回線L1を介して第1情報処理端末21からアップデートされる暗号化データD2を受信する。
なお、暗号化データD2は、受信ユーザUR2と対応付けされるのが望ましい。例えば、対応付けは、暗号化データD2と、受信ユーザUR2とを対応付けするデータ(以下「ユーザデータD3」という。)等で実現される。すなわち、ユーザデータD3は、それぞれの暗号化データD2の宛て先となる受信ユーザUR2を特定できるデータを示す。具体的には、ユーザデータD3は、例えば、受信ユーザUR2の氏名又はID(Identification)等を示す。このように、ユーザデータD3等が、それぞれの暗号化データD2に紐付けされると、複数の暗号化データD2があっても、どのデータをどの受信ユーザに対応付けすればよいかがわかる。
なお、ユーザデータD3は、第1情報処理装置11が保持しなくともよい。例えば、ユーザデータD3は、外部装置に保持され、第1情報処理装置11がユーザデータD3を参照する構成でもよい。
S106:アップロードの通知例
ステップS106では、情報処理システムは、アップロードを通知する。例えば、ステップS106では、第1情報処理端末21等は、暗号化データD2がアップロードされたことを示すメールを第2情報処理端末22に送信する。そして、受信ユーザUR2が通知を見ると、受信ユーザUR2は、受信ユーザUR2に送られたデータが第1記憶領域M1にアップロードされたことを知ることができる。
なお、通知方法は、メール以外の方法でもよい。すなわち、通知は、受信ユーザUR2がアップロードされたことをわかる方法であればよい。さらに、通知は、例えば、アップロード先(すなわち、この例では、第1記憶領域M1を特定できる情報等である。)、取得用のURL(Uniform Resource Locator)、取得用のパスワード等が一緒に通知されてもよい。
また、通知は、なくてもよい。さらに、通知は、第1情報処理装置11等が行ってもよい。
S107:受信ユーザのログイン例
ステップS107では、情報処理システムは、受信ユーザのログインを行う。具体的には、この例では、第2情報処理端末22は、ID及びパスワード等を用いて、受信ユーザUR2を認証する。
なお、ログインは、後段で行われるVDIにおいて受信ユーザが識別される処理となる。ただし、ログインは、第2情報処理端末22に対するログインでもよい。また、第2情報処理端末22及びVDIについてのログインが同時に行われてもよい。すなわち、第2情報処理端末22及びVDIについて、いわゆるシングルサインオン(Single Sign-On)が行われてもよい。
S108:受信ユーザの対応付け例
ステップS108では、情報処理システムは、受信ユーザの対応付けを行う。すなわち、第2情報処理端末22は、ユーザデータD3等に基づいて、ステップS107で認証した受信ユーザUR2と、暗号化データD2とを対応付けする。したがって、このような対応付けがされると、第2情報処理端末22及び第2情報処理装置12等は、受信ユーザUR2用にアップロードされた暗号化データD2等を特定できる。
S109:第1記憶部から第2記憶部に暗号化データの転送例
ステップS109では、情報処理システムは、第1記憶部から第2記憶部に暗号化データを転送する。具体的には、まず、第2情報処理装置12は、第1情報処理装置11に対してリクエストREQを送信する。
リクエストREQは、第1情報処理装置11に対して、暗号化データD2を第2情報処理装置12にデータ転送するように求める処理である。
次に、リクエストREQに応答するように、第1情報処理装置11は、プライベート回線L3を用いて、第2情報処理装置12に暗号化データD2をデータ転送する。
なお、データ転送は、暗号化データD2等を複製してもよいし、移動させてもよい。
この例では、プライベート回線L3を介して、第1情報処理装置11から第2情報処理装置12に暗号化データD2がデータ転送される。このようにして、暗号化データD2は、第2情報処理装置12が提供する記憶領域(以下「第2記憶領域M2」という。)に、アップロードされた状態となる。
S110:第2監視部による監視例
ステップS110では、情報処理システムは、第2監視部によって監視を行う。具体的には、第2情報処理装置12に対するアクセスは、第1情報処理装置11からのアクセスに限られず、他の装置等からのアクセスも、第2ファイヤウォールFW2によって監視される。したがって、第2記憶領域M2は、第2ファイヤウォールFW2等にセキュリティが確保された状態、いわゆる「セキュアな状態」の記憶領域となる。
具体的には、第2ファイヤウォールFW2は、プライベート回線L3において、リクエストREQに応じたデータ転送又はリクエストREQであるか否かを監視する。そして、監視結果に基づいて、リクエストREQ、又は、リクエストREQに応じたデータ転送以外のアクセスであると、第2ファイヤウォールFW2は、アクセスを拒否する。このような監視が行われると、第2記憶領域M2には、リクエストREQに対応した入出力以外が行われず、不正なアクセスを防ぎやすい。
なお、第2ファイヤウォールFW2は、第2記憶領域M2に対するアクセスであれば、プライベート回線L3以外の回線を用いるアクセスも監視してよい。例えば、第2ファイヤウォールFW2は、いわゆるWebからのアクセスを監視してもよい。
このようにして、第2ファイヤウォールFW2による監視等により、第2記憶領域M2は、セキュリティを高くするのが望ましい。したがって、リクエストREQ、又は、リクエストREQに応じたデータ転送以外を禁止するように第2ファイヤウォールFW2が監視すると、データが漏洩する可能性を低くできる。
S111:暗号化データの受信、復号化及びアップロードデータの記憶例
ステップS111では、情報処理システムは、まず、暗号化データを受信する。次に、ステップS111では、情報処理システムは、暗号化データを復号化し、暗号化データをアップロードデータにする。続いて、ステップS111では、情報処理システムは、復号化されたアップロードデータを記憶する。
すなわち、第2記憶領域M2では、第2情報処理装置12は、データ転送された暗号化データD2を復号化し、アップロードデータD1にする。このような状態であると、第2情報処理装置12は、アップロードデータD1を様々なアプリケーションソフトウェア等で用いることができる。
例えば、受信及び復号化は、受信ユーザのログイン又は受信ユーザがログイン後、「受信及び復号化」を指示するボタンを押す操作が行われる等をトリガにして行われる。具体的には、受信ユーザは、ログインすると、受信及び復号化の対象となるファイルが存在するか否かをチェックできる。そして、対象となるファイルが存在する場合には、受信ユーザは、受信及び復号化を行うように指示を行う。
又は、受信及び復号化は、受信ユーザのログインをトリガにしてもよい。すなわち、受信及び復号化は、受信ユーザがログインすると、受信ユーザによる指示がなくとも、自動的に行われてもよい。
なお、トリガは、ログイン及び操作以外であってもよい。
また、復号化は、暗号化に対応した処理が行われる。すなわち、復号化は、例えば、暗号化に用いられる関数の逆関数等を実行する処理となる。
S112:第2通信回線を用いるVDI等による送受信例
ステップS112では、情報処理システムは、第2通信回線を用いて、VDI等においてデータの送受信を行う。なお、VDI等におけるデータの送受信の詳細は、後述する。
以下、図示するように、第2記憶領域M2に記憶されるアップロードデータD1に対する操作を示すデータを「操作データD4」という。図示するように、操作データD4は、第2情報処理端末22から第2情報処理装置12に送信されるデータである。
一方で、第2情報処理装置12は、操作データD4に基づいて、アップロードデータD1に対して処理を実行する。このように処理を実行するには、受信ユーザUR2による操作、すなわち、操作データD4を要する。そこで、第2情報処理装置12は、受信ユーザUR2が操作を入力する、及び、受信ユーザUR2が処理結果を見るのに用いる画面を示すデータ(以下「画像データD5」という。)を第2情報処理端末22に送信する。
つまり、第2情報処理端末22は、画像データD5があると、インタフェースとなる操作画面を表示して仮想デスクトップ環境を提供できる。
S113:第3監視部による監視例
ステップS113では、情報処理システムは、第3監視部によって監視を行う。例えば、第3ファイヤウォールFW3は、第2通信回線L2において、VDI通信等であるか否かを判断し、VDI通信等以外を拒否する。そして、第3ファイヤウォールFW3は、第2情報処理装置12からアップロードデータD1等のデータが送信されるのを禁止する。
なお、各手順は、図示するような順序に限られない。すなわち、各手順は、同様な効果を奏するのであれば、異なる順序又は並列に行われる処理があってもよい。
<各データに対するアクセスと状態について>
図5は、第1実施形態に係る情報処理システムにおける各データに対するアクセスとそれぞれの状態の例を説明する表である。
図示する表における「暗号化の状態」は、データが暗号化された状態であるか復号化された状態であるかを示す。具体的には、「暗号化」は、データが暗号化されている状態を示す。上記の例におけるステップS102による処理が行われると、データは、「暗号化」の状態となる。この状態では、データは、暗号化されているため、データを取得しても、データが示す内容を把握するのが難しい状態である。また、図3及び図4等に示す例では、暗号化データD2が「暗号化」の状態である。
一方で、「復号化(暗号化なし)」は、データが暗号化された状態から復号化された状態である。すなわち、「復号化(暗号化なし)」は、データがいわゆる平文の状態である。したがって、「復号化(暗号化なし)」の状態であると、情報処理装置は、アプリケーションソフトウェアにおける処理等にデータを用いることができる。また、「復号化(暗号化なし)」の状態であると、データが平文であるため、データの内容を把握することができる。なお、図3及び図4等に示す例では、アップロードデータD1が「復号化(暗号化なし)」の状態である。
「インターネット等によるアクセスの可否」は、データに対してインターネット等からのアクセスがファイヤウォール等によって許可されるか拒否されるかによるセキュリティの状態を示す。具体的には、「可」であると、記憶領域は、セキュリティが確保された上で、インターネットを利用する等の様々なアクセスが可能である。一方で、「否」であると、VDI通信等でないと、アクセスが拒否される。ゆえに、「否」の記憶領域は、「可」の記憶領域より更にセキュリティが高い。
図示するように、「可」の記憶領域では、データは、「暗号化」の状態である暗号化データD2とする。この記憶領域では、インターネット等によるアクセスが許可されるため、セキュリティを破ってデータを不正に取得される可能性が高い。そこで、データを「暗号化」の状態にしておくと、データが不正に取得されても、データの内容を不正に取得されるのを少なくできる。
一方で、「可」の記憶領域であるため、様々な情報処理端末又は通信回線を使用してアクセスすることが可能である。ゆえに、データをアップロードするのに、所定のアプリケーションソフトをインストールしたり、又は、所定の設定をしたりする手間を少なくできる。
図示するように、「可」の記憶領域であって、データが「暗号化」である記憶領域は、例えば、第1記憶領域M1等である。一方で、「否」の記憶領域であって、データが「復号化(暗号化なし)」である記憶領域は、例えば、第2記憶領域M2等である。
この例では、暗号化データD2がインターネット等を介してアップデートされると、第1記憶部、すなわち、第1記憶領域M1に暗号化データD2を記憶できる(ステップS105)。そして、リクエストに対して、ステップS109及びステップS111が行われると、第2記憶部、すなわち、第2記憶領域M2にアップロードデータD1を記憶できる。
第2記憶領域M2は、「否」の記憶領域であるため、VDI通信(ステップS112)等によるアクセスでないと、アクセスは、拒否される。つまり、VDI通信を行うためのツール又は設定等がされた情報処理端末からのアクセスでないと、第2記憶領域M2には、アクセスするのが難しい。したがって、第2記憶領域M2では、アップロードデータD1のような平文のデータが使用されても、アップロードデータD1の内容が不正に取得されるのを少なくできる。
<機能構成例>
図6は、第1実施形態に係る情報処理システムの機能構成例を示す機能ブロック図である。図示する例では、第1情報処理端末21は、第1送信部1F1を有する。また、第1ファイヤウォールFW1は、第1監視部1F3を有する。さらに、第1情報処理装置11は、第1記憶部1F2と、データ転送部1F5とを有する。さらにまた、第2ファイヤウォールFW2は、第2監視部1F6を有する。また、第2情報処理装置12は、受信部1F4と、第2記憶部1F7と、処理部1F9と、第3送信部1F10とを有する。さらに、第3ファイヤウォールFW3は、第3監視部1F11を有する。さらにまた、第2情報処理端末22は、第2送信部1F8を有する。
第1情報処理装置11には、例えば、第1通信回線L1を介してアクセスできる。また、第1情報処理装置11及び第2情報処理装置12の間は、プライベート回線L3等によって接続される。さらに、第2情報処理装置12には、例えば、第2通信回線L2を介してアクセスできる。以下、図示するような構成を例に説明する。
第1送信部1F1は、第1通信回線L1を用いて、暗号化データD2を第1情報処理端末21から第1情報処理装置11に送信する第1送信手順を行う。例えば、第1送信部1F1は、通信装置11H4等によって実現される。
第1監視部1F3は、第1情報処理装置11に対するアクセスを監視する第1監視手順を行う。例えば、第1監視部1F3は、第1ファイヤウォールFW1が有する演算装置等によって実現される。
第1記憶部1F2は、暗号化データD2を記憶する第1記憶手順を行う。例えば、第1記憶部1F2は、記憶装置11H2等によって実現される。
第2記憶部1F7は、受信部1F4が受信する暗号化データD2を復号化して復号化データを生成する。そして、第2記憶部1F7は、復号化データの例であるアップロードデータD1を記憶する第2記憶手順を行う。例えば、第2記憶部1F7は、記憶装置11H2等によって実現される。
データ転送部1F5は、第1記憶部1F2から第2記憶部1F7に、暗号化データD2を転送するデータ転送手順を行う。例えば、データ転送部1F5は、通信装置11H4又はインタフェース11H6等によって実現される。
受信部1F4は、第1記憶部1F2から転送される暗号化データD2を受信する受信手順を行う。例えば、受信部1F4は、通信装置11H4又はインタフェース11H6等によって実現される。
第2監視部1F6は、第2情報処理装置12に対するアクセスを監視する第2監視手順を行う。例えば、第2監視部1F6は、第2ファイヤウォールFW2が有する演算装置等によって実現される。
処理部1F9は、操作データD4に基づいて、アップロードデータD1を用いる処理を行う処理手順を行う。例えば、処理部1F9は、CPU11H1等によって実現される。
第2送信部1F8は、第2通信回線L2を用いて、操作データD4を第2情報処理端末22から第2情報処理装置12に送信する第2送信手順を行う。例えば、第2送信部1F8は、通信装置11H4等によって実現される。
第3送信部1F10は、第2通信回線L2を用いて、画像データD5を第2情報処理装置12から第2情報処理端末22に送信する第3送信手順を行う。例えば、第3送信部1F10は、通信装置11H4等によって実現される。
第3監視部1F11は、第2情報処理装置12に対するアクセスを監視する第3監視手順を行う。例えば、第3監視部1F11は、第3ファイヤウォールFW3が有する演算装置等によって実現される。
例えば、以上のような構成であると、アップロードデータD1は、暗号化データD2となって第1記憶部1F2にアップロードされる。そして、第1記憶部1F2は、第1監視部1F3による監視で保護されるため、セキュリティが確保される。また、第1記憶部1F2では、データが暗号化データD2であるため、不正に取得されても、情報漏洩等を防ぐことができる。
そして、暗号化データD2は、転送されて受信部1F4に受信される。そして、受信された暗号化データD2は、復号化されてアップロードデータD1となる。その後、アップロードデータD1は、第2記憶部1F7に記憶される。
第2記憶部1F7は、第2監視部1F6及び第3監視部1F11等による監視で保護されるため、セキュリティが確保される。
アップロードデータD1のような復号化データであると、処理部1F9は、アップロードデータD1を用いて、処理を行うことができる。また、処理は、第2情報処理端末22に入力される操作を示す操作データD4に基づいて行われる。そして、これらの処理結果を示す表示画面又は操作を行うための操作画面等が画像データD5等によって、受信ユーザUR2に表示される。
したがって、画像データD5による表示があると、受信ユーザUR2は、仮想デスクトップ環境下でアップロードデータD1に対する操作を入力できる。この操作が操作データD4によって処理部1F9に送信されると、受信ユーザUR2は、仮想デスクトップ環境下でアップロードデータD1を利用できる。
<第2実施形態>
図7は、第2実施形態に係る情報処理システムによる全体処理例を示すフローチャートである。
図8は、第2実施形態に係る情報処理システムによる全体処理の処理結果例を示す図である。
第1実施形態と比較すると、第2実施形態は、ステップS201及びステップS202が行われる点が異なる。以下、第1実施形態と同一の構成には、同一の符号を付し、重複した説明を省略する。
S201:アップロードデータの分割例
ステップS201では、情報処理システムは、アップロードデータを分割する。例えば、ステップS101で入力されるアップロードデータD1は、図示するように、第1分割データD1A、第2分割データD1B、・・・のように、複数のデータに分割される。そして、ステップS102では、暗号化データD2は、例えば、第1分割データD1A及び第2分割データD1B等をそれぞれ暗号化して、第1暗号化分割データD2A、第2暗号化分割データD2B、・・・のように生成される。
なお、データの分割は、暗号化の前でも後でもよい。すなわち、アップロードデータD1が分割され、分割データとなった後に、各分割データが暗号化されてもよい。一方で、アップロードデータD1が暗号化された後、暗号化されたデータを分割して第1暗号化分割データD2A、第2暗号化分割データD2B、・・・のようなデータ構成となってもよい。以下、分割かつ暗号化されたデータを「暗号化データD2」と呼ぶ。
また、分割されたデータは、例えば、結合して元のデータに戻すことができる。以下、結合に必要な情報は、「結合データD21」に記憶されるとする。すなわち、第1分割データD1A及び第2分割データD1B等のデータは、結合データD21があると、アップロードデータD1に戻すことができる。したがって、結合データD21は、図示するように、例えば、暗号化データD2等と一緒に記憶される。
S202:暗号化データの受信、復号化、分割されたデータの結合及びアップロードデータの記憶例
ステップS202では、情報処理システムは、まず、暗号化データを受信する。次に、ステップS202では、情報処理システムは、受信した暗号化データを復号化し、第1分割データD1A、第2分割データD1B、・・・のように分割されたデータとする。続いて、ステップS202では、情報処理システムは、結合データD21等に基づいて分割されたデータを結合してアップロードデータD1とする。そして、ステップS202では、情報処理システムは、アップロードデータD1を記憶する。
以上のように、例えば、暗号化データD2は、第1暗号化分割データD2A、第2暗号化分割データD2B、・・・のように、複数のデータに分割して送信されるのが望ましい。
暗号化データD2は、アップロードデータD1が大容量のデータであると、大容量となる場合が多い。このような大容量のデータが一度に送信されると、受信者側で拒まれたり、送信時間が長くなることでエラーになったりする場合がある。そこで、データを複数のデータに分割する。このように分割すると、送信するそれぞれのデータの容量を小さくできる。そのため、例えば、通信におけるエラー等を少なくすることができる。
<第3実施形態>
図9は、第3実施形態に係る情報処理システムによる全体処理例を示すフローチャートである。
図10は、第3実施形態に係る情報処理システムによる全体処理の処理結果例を示す図である。
第1実施形態と比較すると、第3実施形態は、ステップS301が行われる点が異なる。以下、第1実施形態と同一の構成には、同一の符号を付し、重複した説明を省略する。
S301:新着のデータをチェック及びリクエストの例
ステップS301では、情報処理システムは、新着のデータをチェックする。そして、ステップS301では、情報処理システムは、新着のデータがあると、新着のデータをリクエストする。
具体的には、受信ユーザUR2と、第1記憶領域M1に記憶される暗号化データD2とを対応付けさせるデータ(以下「対応化データD31」という。)があらかじめ第2情報処理装置12等に設定される。そして、対応化データD31に基づいて、第2情報処理装置の12は、例えば、所定時間ごとに受信ユーザUR2に対応する暗号化データD2が第1記憶領域M1に記憶されているか否かを判定する。
そして、受信ユーザUR2に対応する暗号化データD2が第1記憶領域M1に記憶されていると判定されると、例えば、受信ユーザUR2のログイン、リソースの変更時、起動時、災害等の緊急時又はこれらの組み合わせをトリガとし、第2情報処理装置12は、第1情報処理装置11に対してリクエストREQを送る。次に、リクエストREQに応じて、暗号化データD2が、第1記憶領域M1から第2記憶領域M2にデータ転送される。
したがって、第1記憶領域M1に受信ユーザUR2を宛て先とするデータがあると、操作がなくとも、ジョブスケジューラ等に基づいて定期的にチェックされてデータ転送される。このようにすると、例えば、受信ユーザUR2がステップS107でログインすると、暗号化データD2が自動的に第1記憶領域M1から第2記憶領域M2にデータ転送される。したがって、受信ユーザUR2は、アップロードデータD1を直ぐに使用することができる。
なお、データ転送が行われるトリガは、受信ユーザUR2のログインに限られない。例えば、第2情報処理装置12は、チェック後、直ぐに第1情報処理装置11に対してリクエストREQを送ってもよい。ほかにも、データ転送が行われるトリガは、例えば、他のデータ転送が少ない場合等でもよい。
なお、第2実施形態及び第3実施形態は、組み合わせて実施されてもよい。
<暗号化について>
例えば、アップロードデータD1は、DH(Diffie‐Hellman key exchange)鍵共有方式等で暗号化及び復号化される。
なお、暗号化及び復号化は、共通鍵方式、公開鍵方式又はこれらの組み合わせのいずれで行われてもよい。すなわち、暗号化及び復号化の方式は、第1情報処理端末21で暗号化されたデータが、第2情報処理装置12で復号化できれば限定されない。
<監視について>
セキュリティを確保するための監視は、ファイヤウォールによる監視に限られない。例えば、監視には、ファイヤウォール以外のソフトウェア及びハードウェアが用いられてもよい。具体的には、ルータ等の通信装置が用いられてもよい。ほかにも、例えば、通信を行う際に、IP(Internet Protocol)アドレス又は位置情報等がチェックされてもよい。すなわち、監視によって実現されるセキュリティレベルは、上記の例に限られない。例えば、上記に説明した以外の監視が更に行われて、上記の例よりも高いセキュリティレベルであってもよい。
なお、第1ファイヤウォールFW1、第2ファイヤウォールFW2及び第3ファイヤウォールFW3は、第1情報処理装置11又は第2情報処理装置12であってもよい。すなわち、各ファイヤウォールは、第1情報処理装置11又は第2情報処理装置12にインストールされるソフトウェア等で実現されてもよいし、ファイヤウォールとなる装置であってもよい。
<用語について>
第1通信回線及び第2通信回線は、同一のハードウェアでもよい。具体的には、第1通信回線及び第2通信回線は、同一のケーブル等が用いられる通信回線でもよい。一方で、第1通信回線及び第2通信回線は、通信に用いられるプロトコルが異なるのが望ましい。具体的には、第1通信回線では、例えば、インターネット用のプロトコルが用いられ、かつ、第2通信回線では、VDI通信用のプロトコルが用いられる構成が望ましい。このように、異なる通信回線が用いられると、マウス等の操作ができなくなる等の仮想デスクトップ環境が停止する不具合が発生しづらくなり、利便性を高めることができる。
例えば、VDIは、以下のような構成で実現される。すなわち、ステップS112等は、例えば、以下のような処理である。
図11は、本実施形態に係る情報処理システムによる全体処理におけるVDI等の例を示す図である。図示するように、VDI等を利用する処理では、OS(Operating System)、データ及びアプリケーションソフト等は、第2情報処理装置12にある。したがって、処理等は、第2情報処理装置12が有する演算装置及び記憶装置等によって実行される。このように、第2情報処理端末22は、いわゆるクライアント側になる。一方で、第2情報処理装置12は、サーバ側となる。
図示するように、第2情報処理装置12は、第2情報処理端末22に対してインタフェースとなる画面等を示す画像データを送信する。このようにすると、第2情報処理装置12は、第2情報処理端末22を介して、いわゆる仮想デスクトップ環境を受信ユーザUR2に提供する。図示するように、データの処理、ソフトウェアのインストール及びデータの記憶等は、サーバ側で行われる。そして、第2情報処理装置12が処理を実行した処理結果を表示及びソフトウェアを実行させるための操作入力の画面が画像データによって表示される。このような画像データに基づいて表示されると、受信ユーザUR2は、画面を見ることによって、処理結果等を知ることができる。
さらに、受信ユーザUR2は、画像データが示す画面に対して操作を行うことで、処理を実行するのに用いられるパラメータを入力したり、処理の実行を指示する操作を入力したりできる。このように、第2情報処理端末22では、受信ユーザUR2によって、アップロードデータD1に対する操作が入力される。そして、これらの操作を示す操作データD4が第2情報処理装置12に送信される。
また、第3ファイヤウォールFW3は、所定のポートを使用する通信か否かを監視するのが望ましい。つまり、VDI通信等では、あらかじめ定められた所定のポートを使用して通信を行う場合が多い。そこで、第3ファイヤウォールFW3は、VDI通信用のポートを使用する通信であるか否かを監視する。そして、監視結果から、所定のポートを使用する通信であれば、許可してよい通信と判断する。一方で、所定のポート以外のポートを使用する通信であれば、不正なアクセス等である可能性が高いため、拒否する通信と判断する。
このように、使用するポートに基づいて監視を行うと、情報処理システムは、第2記憶部等のセキュリティを高くすることができる。
さらに、第3ファイヤウォールFW3は、所定のプロトコルを使用する通信か否かを監視するのが望ましい。つまり、VDI通信等は、VDI通信を実現する独自のプロトコルが用いられる場合が多い。そこで、第3ファイヤウォールFW3は、VDI通信用のプロトコルを使用する通信であるか否かを監視する。そして、監視結果から、所定のプロトコルを使用する通信であれば、許可してよい通信と判断する。一方で、所定のプロトコル以外のプロトコルを使用する通信であれば、不正なアクセス等である可能性が高いため、拒否する通信と判断する。
このように、使用するプロトコルに基づいて監視を行うと、情報処理システムは、第2記憶部等のセキュリティを高くすることができる。
また、第3ファイヤウォールFW3は、送受信されるデータが操作データ又は画像データであるか否かを監視するのが望ましい。すなわち、第3ファイヤウォールFW3は、通信で送受信されるデータの種類を判定して監視を行う。
VDI通信等では、図示するように、第2情報処理端末22から第2情報処理装置12に、パラメータ及びUI(User Interface)の操作結果等といった種類のデータが送信される。つまり、操作データは、アップロードデータに対して行われるマウス又はキーボードの操作結果を示すデータであれば、データ形式及びデータ名等は問わない。
一方で、VDI通信等では、図示するように、第2情報処理装置12から第2情報処理端末22に、操作画面等といったインタフェースとなる画面を示す種類のデータが送信される。つまり、画像データは、情報処理端末でデスクトップ画面等の操作画面を出力できるデータであれば、データ形式及びデータ名等は問わない。
なお、操作データ及び画像データ等を送信する通信であれば、通信は、VDI通信に限られない。すなわち、情報処理システムは、仮想デスクトップ環境が用いられる構成であれば、VDI通信に限られず、適用されてもよい。具体的には、情報処理システムは、シンクライアント(Thin Client)又はDaaS(Desktop as a Service)等で構築された仮想デスクトップ環境等において適用されてもよい。
特に、シンクライアントの分類のうち、いわゆる画面転送型では、VDI通信と同様にサーバ及びクライアントの間において、画像データ及び操作データが送受信される。具体的には、画面転送型のシンクライアントは、ブレードPC方式又はサーバベース方式等で実現される。情報処理システムは、このようなシンクライアント等に適用されてもよい。
なお、送信ユーザUR1及び受信ユーザUR2は、グループ等の複数人でもよい。また、複数人は、グループによる設定等で定まるユーザでなくともよい。すなわち、グループ以外に、任意に設定される複数の送信先及び複数の受信先等が、送信ユーザUR1及び受信ユーザUR2となってもよい。
また、データのアップロードには、伝送ツール等が用いられるのが望ましい。具体的には、伝送ツールでは、まず、送信者側でデータが圧縮及び暗号化される。その後、圧縮及び暗号化されたデータが、サーバにアップロードされる。このようなアップロードがされると、受信者側には、アップロードが通知される。この通知を受けてアップロードされたデータがダウンロードされてもよい。例えば、ダウンロード等がされる場合には、受信者側へパスワードが通知される。このようなパスワードを利用して、データがダウンロードされてもよいし、VDI等でダウンロードなしでデータが使用されてもよい。
例えば、ダウンロードは、アップロードと逆の処理となる。つまり、サーバにアップロードされたデータは、受信者が用いる情報処理装置にダウンロードされる。そして、受信者側にダウンロードされたデータは、パスワードに基づいて受信者側で復号化される。なお、通知は、あってもよいし、なくてもよい。また、パスワードをユーザが直接入力しない構成でもよい。つまり、ユーザからすると、パスワードを入力する操作が省略できるシームレスな構成でもよい。
そして、送信者側及び受信者側となる情報処理装置及び情報処理端末は、IPアドレス及びMACアドレス(Media Access Control address)が限定されるのが望ましい。すなわち、情報処理システムでは、情報処理装置及び情報処理端末が、あらかじめ所定のIPアドレス及び所定のMACアドレスであることが認証されると、データが送信されるのが望ましい。このように、ネットワーク制御及びMACアドレス認証が行われると、設定されていないIPアドレス又はMACアドレスの装置では、データを送信及び受信できなくすることができる。したがって、仮にデータを誤送信した場合であっても、設定されていないIPアドレス又はMACアドレスの装置では、データが受信できない。そのため、情報が漏洩するのを少なくできる。
また、この伝送ツールでは、送信者側において、宛先がグループ化されてもよい。このようにすると、誤送信を防ぐことができる。さらに、送信者側では、送信が行われる前に承認が行われてもよい。このようにすると、誤送信を防ぐことができる。
ほかにも、例えば、まず、送信者側から、データがAES(Advanced Encryption Standard)256等で暗号化して送信される。次に、受信者側で復号化する際に、受信者側の装置が、サーバで認証されるようにしてもよい。このような構成であると、誤送信があった場合であっても、送信者は、認証までは復号化を取り消すことができる。
さらに、データの送信は、メールに添付して送れる構成等が望ましい。具体的には、メールの本文データと、メールに添付された添付データとは、異なるサーバで分離してそれぞれのサーバが記憶する。その後、メール本文は、受信者側に送信される。一方で、添付データは、暗号化されてデータ転送されるのを待つ。このような構成であると、メールにデータを添付する形式でアップロードを行うことができる。
また、情報処理システムには、返信機能があってもよい。このような構成であると、返信を行う者も、同様の構成でデータをアップロードできる。
ほかにも、API(Application Programming Interface)等を情報処理システムに組み込むことで所定の宛て先にデータを自動的に送信するようにしてもよい。同様に、情報処理システムは、自動的に受信するようにしてもよい。
さらに、情報処理装置等は、データの送信及び受信において、ログを記録してもよい。ほかにも、情報処理装置等では、ウィルスチェック又は一定期間が経過するとデータを削除等を行ってもよい。
<まとめ>
上記の例で説明したように、第1記憶部のような記憶領域があると、データを容易にアップロードできる。例えば、第1記憶部は、いわゆるオンラインストレージ等である。このような記憶領域では、データを暗号化して記憶する。このようにすると、データが不正に取得されても、データの内容が漏洩するのを防ぐことができる。
一方で、第2記憶部のように、セキュアな記憶領域を構築すると、平文のデータであっても、セキュリティを確保した上で使用することができる。
また、第1通信回線及び第2通信回線のように、データをアップロードするのに用いられる通信回線と、VDI通信等を行う通信回線とを分けると、例えば、データが大容量であっても、通信遅延等が少なくできる。具体的には、通信回線が同一であると、大容量のデータをアップロードすると、アップロードに通信回線の帯域が使われるため、VDI通信用の帯域が狭くなり、VDI通信が停止する等の不便が生じる場合がある。特に、CAD等のように、細かな操作が要求される場合には、このような現象が起きると、ユーザは、利便性を損なう。一方で、本実施形態のような構成であると、仮想デスクトップ環境におけるネットワーク帯域を最大限に活用しやすくできる。
ほかにも、このような構成であると、受信ユーザがあまり暗号化及び復号化等を意識せず、利用でき、利便性を向上できる。
さらに、このような構成であると、専用の通信回線を構築しなくてもよい。つまり、上記のような構成でないと、VPN(Virtual Private Network)又はトンネル回線等を構築する必要がある。そのため、大きなコストが必要な場合が多い。これに対して、本実施形態であると、コストが小さくてすむため、容易に利用することができる。
例えば、以上のような効果を奏し、快適な仮想デスクトップ環境を構築できるので、ユーザの利便性を高めることができる。
<その他の適用例>
以上、本発明を実施するための最良の形態について実施例を用いて説明したが、本発明はこうした実施例に何等限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々の変形及び置換を加えることができる。
また、全体構成図及び機能ブロック図で示す構成例は、情報処理システムによる情報処理方法の理解を容易にするために、主な機能に応じて分割したものである。したがって、処理単位の分割の仕方及び名称等によって、本願の発明が制限されることはない。また、情報処理システムによる処理は、処理内容に応じて更に多くの処理単位に分割することもできる。また、1つの処理単位が更に多くの処理を含むように分割することもできる。
なお、本発明に係る各処理の全部又は一部は、様々なプログラム言語で記述され、コンピュータに情報処理方法を実行させるためのプログラムによって実現されてもよい。すなわち、プログラムは、情報処理システム等のコンピュータに各処理を実行させるためのコンピュータプログラムである。
したがって、プログラムに基づいて情報処理方法が実行されると、コンピュータが有する演算装置及び制御装置は、各処理を実行するため、プログラムに基づいて演算及び制御を行う。また、コンピュータが有する記憶装置は、各処理を実行するため、プログラムに基づいて、処理に用いられるデータを記憶する。
また、プログラムは、コンピュータが読み取り可能な記録媒体に記録されて頒布することができる。なお、記録媒体は、磁気テープ、フラッシュメモリ、光ディスク、光磁気ディスク又は磁気ディスク等のメディアである。さらに、プログラムは、電気通信回線を通じて頒布することができる。
なお、第1情報処理端末21及び第2情報処理端末22は、1台又は複数の情報処理端末の一例である。また、第1情報処理装置11及び第2情報処理装置12は、1台又は複数の情報処理装置の一例である。さらに、情報処理システム1は、情報処理システムの一例である。さらにまた、アップロードデータD1は、復号化データの一例である。
1 情報処理システム
11 第1情報処理装置
12 第2情報処理装置
21 第1情報処理端末
22 第2情報処理端末
FW1 第1ファイヤウォール
FW2 第2ファイヤウォール
FW3 第3ファイヤウォール
L1 第1通信回線
L2 第2通信回線
L3 プライベート回線
UR1 送信ユーザ
UR2 受信ユーザ
1F1 第1送信部
1F2 第1記憶部
1F3 第1監視部
1F4 受信部
1F5 データ転送部
1F6 第2監視部
1F7 第2記憶部
1F8 第2送信部
1F9 処理部
1F10 第3送信部
1F11 第3監視部
D1 アップロードデータ
D2 暗号化データ
D3 ユーザデータ
D31 対応化データ
D4 操作データ
D5 画像データ
M1 第1記憶領域
M2 第2記憶領域
REQ リクエスト

Claims (10)

  1. 1台又は複数の情報処理端末と、前記情報処理端末と通信を行う1台又は複数の情報処理装置とを少なくとも有する情報処理システムであって、
    前記情報処理端末は、
    前記情報処理装置に対してアクセスする通信に用いられる第1通信回線を用いて、暗号化された暗号化データを前記情報処理端末から前記情報処理装置に送信する第1送信部を有し、
    前記情報処理装置は、
    前記暗号化データを記憶する第1記憶部と、
    前記第1記憶部から転送される前記暗号化データを受信する受信部と、
    前記受信部が受信する前記暗号化データを復号した復号化データを記憶する第2記憶部と、
    前記第1記憶部から前記第2記憶部に、プライベート通信回線を介して前記暗号化データを転送するデータ転送部とを有し、
    前記情報処理端末は、
    前記第1通信回線と異なる通信回線であって、かつ、前記情報処理装置に対してアクセスする通信に用いられる第2通信回線を用いて、前記復号化データに対する操作を示す操作データを前記情報処理端末から前記情報処理装置に送信する第2送信部を更に有し、
    前記情報処理装置は、
    前記操作データに基づいて、前記復号化データを用いる処理を行う処理部と、
    前記第2通信回線を用いて、前記処理部に対するインタフェースとなる画面を示す画像データを前記情報処理装置から前記情報処理端末に送信する第3送信部と
    を更に有し、
    前記第1記憶部に対するアクセスを監視する第1監視部と、
    前記第2記憶部に対するアクセスを監視する第2監視部と、
    前記第2記憶部に対するアクセスを監視する第3監視部と
    を含む情報処理システム。
  2. 前記第2送信部及び前記第3送信部による送信は、VDI通信による送信である請求項1に記載の情報処理システム。
  3. 前記第1通信回線と、前記第2通信回線とでは、通信に用いられるプロトコルが異なる請求項1又は2に記載の情報処理システム。
  4. 前記第2監視部は、
    前記第2記憶部から前記第1記憶部に対するリクエスト、又は、前記リクエストに応じたデータ転送であるか否かを監視し、監視結果に基づいてアクセスを監視する
    請求項1乃至3のいずれか1項に記載の情報処理システム。
  5. 前記第3監視部は、
    所定のポートを使用し、かつ、所定のプロトコルを使用する通信であるか否かを判定し、及び、データの種類が前記操作データ又は前記画像データであるか否かを判定してアクセスを監視する
    請求項1乃至4のいずれか1項に記載の情報処理システム。
  6. 前記第1送信部は、
    前記暗号化データを複数のデータに分割して送信する請求項1乃至5のいずれか1項に記載の情報処理システム。
  7. 前記暗号化データは、前記情報処理端末を操作するユーザに対応付けされ、
    前記第1記憶部に、前記ユーザに対応する前記暗号化データが記憶されているか否かが
    所定時間ごとに判定される請求項1乃至6のいずれか1項に記載の情報処理システム。
  8. 前記第1送信部は、
    前記情報処理端末及び前記情報処理装置がいずれも、所定のIPアドレス又は所定のM
    ACアドレスであることを認証して送信する請求項1乃至7のいずれか1項に記載の情報処理システム。
  9. 1台又は複数の情報処理端末と、前記情報処理端末と通信を行う1台又は複数の情報処理装置とを少なくとも有する情報処理システムが行う情報処理方法であって、
    前記情報処理端末が、前記情報処理装置に対してアクセスする通信に用いられる第1通信回線を用いて、暗号化された暗号化データを前記情報処理端末から前記情報処理装置が有する第1記憶部に送信する第1送信手順と、
    前記情報処理装置が、前記暗号化データを前記第1記憶部に記憶する第1記憶手順と、前記情報処理装置が、前記第1記憶部から転送される前記暗号化データを受信する受信手順と、
    前記情報処理装置が、前記受信手順で受信する前記暗号化データを復号した復号化データを前記情報処理装置が有する第2記憶部に記憶する第2記憶手順と、
    前記情報処理装置が、前記第1記憶部から前記第2記憶部に、プライベート通信回線を介して前記暗号化データを転送するデータ転送手順と、
    前記情報処理端末が、前記第1通信回線と異なる通信回線であって、かつ、前記情報処理装置に対してアクセスする通信に用いられる第2通信回線を用いて、前記復号化データに対する操作を示す操作データを前記情報処理端末から前記情報処理装置に送信する第2送信手順と、
    前記情報処理装置が、前記操作データに基づいて、前記復号化データを用いる処理を行う処理手順と、
    前記情報処理装置が、前記第2通信回線を用いて、前記処理手順に対するインタフェースとなる画面を示す画像データを前記情報処理装置から前記情報処理端末に送信する第3送信手順と、
    前記情報処理システムが、前記第1記憶部に対するアクセスを監視する第1監視手順と、
    前記情報処理システムが、前記第2記憶部に対するアクセスを監視する第2監視手順と、
    前記情報処理システムが、前記第2記憶部に対するアクセスを監視する第3監視手順とを含む情報処理方法。
  10. 1台又は複数の情報処理端末と、前記情報処理端末と通信を行う1台又は複数の情報処理装置とを少なくとも有する情報処理システムに情報処理方法を実行させるためのプログラムであって、
    前記情報処理端末が、前記情報処理装置に対してアクセスする通信に用いられる第1通信回線を用いて、暗号化された暗号化データを前記情報処理端末から前記情報処理装置が有する第1記憶部に送信する第1送信手順と、
    前記情報処理装置が、前記暗号化データを前記第1記憶部に記憶する第1記憶手順と、
    前記情報処理装置が、前記第1記憶部から転送される前記暗号化データを受信する受信手順と、
    前記情報処理装置が、前記受信手順で受信する前記暗号化データを復号した復号化データを前記情報処理装置が有する第2記憶部に記憶する第2記憶手順と、
    前記情報処理装置が、前記第1記憶部から前記第2記憶部に、プライベート通信回線を介して前記暗号化データを転送するデータ転送手順と、
    前記情報処理端末が、前記第1通信回線と異なる通信回線であって、かつ、前記情報処理装置に対してアクセスする通信に用いられる第2通信回線を用いて、前記復号化データに対する操作を示す操作データを前記情報処理端末から前記情報処理装置に送信する第2送信手順と、
    前記情報処理装置が、前記操作データに基づいて、前記復号化データを用いる処理を行う処理手順と、
    前記情報処理装置が、前記第2通信回線を用いて、前記処理手順に対するインタフェースとなる画面を示す画像データを前記情報処理装置から前記情報処理端末に送信する第3送信手順と、
    前記情報処理システムが、前記第1記憶部に対するアクセスを監視する第1監視手順と、
    前記情報処理システムが、前記第2記憶部に対するアクセスを監視する第2監視手順と、
    前記情報処理システムが、前記第2記憶部に対するアクセスを監視する第3監視手順とを実行させるためのプログラム。
JP2018219308A 2018-11-22 2018-11-22 仮想デスクトップ環境等で用いる情報処理システム、プログラム及び情報処理方法 Active JP7074034B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018219308A JP7074034B2 (ja) 2018-11-22 2018-11-22 仮想デスクトップ環境等で用いる情報処理システム、プログラム及び情報処理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018219308A JP7074034B2 (ja) 2018-11-22 2018-11-22 仮想デスクトップ環境等で用いる情報処理システム、プログラム及び情報処理方法

Publications (2)

Publication Number Publication Date
JP2020086834A JP2020086834A (ja) 2020-06-04
JP7074034B2 true JP7074034B2 (ja) 2022-05-24

Family

ID=70908216

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018219308A Active JP7074034B2 (ja) 2018-11-22 2018-11-22 仮想デスクトップ環境等で用いる情報処理システム、プログラム及び情報処理方法

Country Status (1)

Country Link
JP (1) JP7074034B2 (ja)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002358253A (ja) 2001-05-31 2002-12-13 Trend Micro Inc データ通信方法、データ通信システム、データ中継装置、サーバ、プログラム及び記録媒体
WO2009054056A1 (ja) 2007-10-25 2009-04-30 Fujitsu Limited 情報提供方法、中継方法、情報保持装置、中継器
JP2014164571A (ja) 2013-02-26 2014-09-08 Nec Corp 仮想デスクトップシステム、サーバ装置、クライアント装置、入力方法およびプログラム
JP2018037927A (ja) 2016-09-01 2018-03-08 株式会社リコー 情報処理装置、情報処理システム、情報処理方法、及びプログラム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002358253A (ja) 2001-05-31 2002-12-13 Trend Micro Inc データ通信方法、データ通信システム、データ中継装置、サーバ、プログラム及び記録媒体
WO2009054056A1 (ja) 2007-10-25 2009-04-30 Fujitsu Limited 情報提供方法、中継方法、情報保持装置、中継器
JP2014164571A (ja) 2013-02-26 2014-09-08 Nec Corp 仮想デスクトップシステム、サーバ装置、クライアント装置、入力方法およびプログラム
JP2018037927A (ja) 2016-09-01 2018-03-08 株式会社リコー 情報処理装置、情報処理システム、情報処理方法、及びプログラム

Also Published As

Publication number Publication date
JP2020086834A (ja) 2020-06-04

Similar Documents

Publication Publication Date Title
US10554622B2 (en) Secure application delivery system with dial out and associated method
EP3192002B1 (en) Preserving data protection with policy
US8312064B1 (en) Method and apparatus for securing documents using a position dependent file system
CN100542114C (zh) 网络通信系统和通信装置
JP5797060B2 (ja) アクセス管理方法およびアクセス管理装置
KR101652871B1 (ko) 이메일 대화의 보호
US9219709B2 (en) Multi-wrapped virtual private network
US10742586B2 (en) Assured encrypted delivery
US20130332724A1 (en) User-Space Enabled Virtual Private Network
US20030229786A1 (en) System and Method for Application-Level Virtual Private Network
US20070143408A1 (en) Enterprise to enterprise instant messaging
WO2004107646A1 (en) System and method for application-level virtual private network
JP2015510287A (ja) 企業境界内において企業デジタル情報を制限する方法
JP2008299617A (ja) 情報処理装置、および情報処理システム
US9444807B2 (en) Secure non-geospatially derived device presence information
JP4492248B2 (ja) ネットワークシステム、内部サーバ、端末装置、プログラム、およびパケット中継方法
JP2008252456A (ja) 通信装置、及び通信方法
CN113826371A (zh) 可信对等体之间的带宽共享
KR20190009497A (ko) 무선 보안 액세스 포인트를 이용한 망분리 장치 및 그 방법
JP7074034B2 (ja) 仮想デスクトップ環境等で用いる情報処理システム、プログラム及び情報処理方法
JP2007267064A (ja) ネットワークセキュリィテイ管理システム、暗号化通信の遠隔監視方法及び通信端末。
JP7124343B2 (ja) 情報処理装置およびプログラム
KR101286978B1 (ko) 가상화를 이용한 다중망 연계장치 및 방법
JP5417026B2 (ja) パスワード通知装置およびパスワード通知システム
JP2008234256A (ja) 情報処理システム及びコンピュータプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200923

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20210604

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210616

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20210623

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211014

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211102

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211223

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20220121

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220412

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220425

R150 Certificate of patent or registration of utility model

Ref document number: 7074034

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150