JPWO2015025373A1 - マネージメントセキュリティサービスの提供に適したoa機器およびそのoa機器を利用したセキュリティサービスの提供方法 - Google Patents
マネージメントセキュリティサービスの提供に適したoa機器およびそのoa機器を利用したセキュリティサービスの提供方法 Download PDFInfo
- Publication number
- JPWO2015025373A1 JPWO2015025373A1 JP2013554127A JP2013554127A JPWO2015025373A1 JP WO2015025373 A1 JPWO2015025373 A1 JP WO2015025373A1 JP 2013554127 A JP2013554127 A JP 2013554127A JP 2013554127 A JP2013554127 A JP 2013554127A JP WO2015025373 A1 JPWO2015025373 A1 JP WO2015025373A1
- Authority
- JP
- Japan
- Prior art keywords
- security
- service
- management center
- appliance
- operation management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
MSS(Management Security Service)の監視プログラムや提供するサービスを、その複合機等のハードウェアに合わせて標準化し、パッケージ化することによって、中小企業でも導入しやすいMSSを提供することを目的とする。所定のセキュリティ手段を含むセキュリティアプライアンスを例えば用紙トレー型筐体に格納した複合機等のOA機器を、情報システムのセンターとして利用する。そして、この複合機の構成に基づきソフトウェアや提供サービスをパッケージ化する。運用管理センターからの問い合わせによって、上記OA機器がセキュリティに関する情報を運用管理センターに送信すれば、運用管理センターが、情報システムの管理を円滑に行うことができる。このような仕組みで、IT管理者等がいない企業・団体でも円滑にMSSの提供を受けることが可能である。
Description
本発明の技術分野は、いわゆるマネージメントセキュリティサービス(以下、MSSと略称する場合もある)の提供に関する。より詳細には、この改良されたMSSの提供に、本発明は関する。
(1)MSSについて
近年、情報システムに対するセキュリティの確保、障害からの迅速な普及、外部からの攻撃に対する防御や迅速な復旧等の目的で、MSS(management security service)と呼ばれるセキュリティサービスが提供されている。
近年、情報システムに対するセキュリティの確保、障害からの迅速な普及、外部からの攻撃に対する防御や迅速な復旧等の目的で、MSS(management security service)と呼ばれるセキュリティサービスが提供されている。
用語:「提供者」と「利用者」
なお、本文の説明文中では、MSSのサービスを提供する者(及びそのハードウェア・ソフトウェア資源・設備等を提供する者)を、「提供者」と呼び、「MSSのサービス提供者」「サービスの提供者の側」等の表現を採用する。一般にMSSのサービスの「提供者」は、情報セキュリティ会社、IT会社等である。
なお、本文の説明文中では、MSSのサービスを提供する者(及びそのハードウェア・ソフトウェア資源・設備等を提供する者)を、「提供者」と呼び、「MSSのサービス提供者」「サービスの提供者の側」等の表現を採用する。一般にMSSのサービスの「提供者」は、情報セキュリティ会社、IT会社等である。
また、MSSのサービスを受ける者をMSSサービスの「利用者」と呼び、単に「利用者」と呼ぶことや、監視対象である「サービスの利用者側のシステム」等の表現を採用する。一般にMSSのサービスの「利用者」は、情報システムを使用している企業であり、その企業の情報システムが上記「サービスの利用者側のシステム」である。
なお、この監視対象である「利用者側のシステム」は、その企業内に設けられているシステムだけでなく、外部に位置する利用者側のシステムも含まれる。例えば、その企業が外部のサーバを利用している場合であって、その外部のサーバもMSSのサービスの監視対象である場合は、その外部のシステムも、上記「利用者側のシステム」である。また、MSSを提供する提供者がその外部のサーバ等も同時に提供している場合もある。また、データセンター等が提供するデータサーバー等と同時にMSSのサービスを提供する場合もある。
また、監視対象である「利用者側のシステム」は、単に「情報システム」と呼ぶ場合もある。特に、請求の範囲における「情報システム」の好適な一例が、監視対象である「利用者側のシステム」である。
なお、以下、本文では、説明をわかりやすくするために、監視対象である「利用者側のシステム」の例として、その企業の社内の利用者側ネットワークに属する部分のみを説明する。但しもちろん、本件発明の範囲としては、監視対象である利用者側のシステムがその企業の外部に位置する場合も含む。
なお、この監視対象である「利用者側のシステム」は、その企業内に設けられているシステムだけでなく、外部に位置する利用者側のシステムも含まれる。例えば、その企業が外部のサーバを利用している場合であって、その外部のサーバもMSSのサービスの監視対象である場合は、その外部のシステムも、上記「利用者側のシステム」である。また、MSSを提供する提供者がその外部のサーバ等も同時に提供している場合もある。また、データセンター等が提供するデータサーバー等と同時にMSSのサービスを提供する場合もある。
また、監視対象である「利用者側のシステム」は、単に「情報システム」と呼ぶ場合もある。特に、請求の範囲における「情報システム」の好適な一例が、監視対象である「利用者側のシステム」である。
なお、以下、本文では、説明をわかりやすくするために、監視対象である「利用者側のシステム」の例として、その企業の社内の利用者側ネットワークに属する部分のみを説明する。但しもちろん、本件発明の範囲としては、監視対象である利用者側のシステムがその企業の外部に位置する場合も含む。
一般的な従来のMSSにおいては、MSSのサービス提供者が、サービスの提供を受ける利用者側の情報システムに対して、以下のようなサービスを提供する場合が多い。
・ネットワークを介した遠隔監視を行う。
・ネットワークを通過するデータを監視し、そのログを蓄積する。
・サービス提供者が上記ログをネットワークを介して取得し、解析する。
・解析結果を、利用者に定期的に又は不定期で提供する。
・ネットワークを介して利用者のセキュリティシステムの更新や、調整を行う。
・セキュリティシステムのダウン等のハードウェア障害が発生した場合に迅速に対応する。
・セキュリティ侵害事故が発生した場合(発生する兆候がある場合も含む)に、迅速に対応する。
・その他
なお、このようなMSS(マネージメントセキュリティサービス)は、請求の範囲のセキュリティサービスの好適な一例に相当する。
・ネットワークを通過するデータを監視し、そのログを蓄積する。
・サービス提供者が上記ログをネットワークを介して取得し、解析する。
・解析結果を、利用者に定期的に又は不定期で提供する。
・ネットワークを介して利用者のセキュリティシステムの更新や、調整を行う。
・セキュリティシステムのダウン等のハードウェア障害が発生した場合に迅速に対応する。
・セキュリティ侵害事故が発生した場合(発生する兆候がある場合も含む)に、迅速に対応する。
・その他
なお、このようなMSS(マネージメントセキュリティサービス)は、請求の範囲のセキュリティサービスの好適な一例に相当する。
セキュリティサービスの基本的な考え方
このようなセキュリティサービスの提供は、一般に設置(Plan)、運用(Do)、分析(Check)、改善(Act)のサイクル(以下、ステップとも呼ぶ)で行われる場合が多い。これはPDCAサイクルと一般に呼ばれる。
このようなセキュリティサービスの提供は、一般に設置(Plan)、運用(Do)、分析(Check)、改善(Act)のサイクル(以下、ステップとも呼ぶ)で行われる場合が多い。これはPDCAサイクルと一般に呼ばれる。
設置ステップにおいては、所定のセキュリティ機器、通信機器、を利用者の情報システムに設置する。または、すでに機器が設置されている場合もある。この設置ステップでは、ネットワークへの接続の設定(導入のこと)が行われる。これはいわゆるハードウェアの導入である。
また、この設置ステップでは、ルール部分の設定も行われる。すなわち、大きくは、セキュリティポリシーの設定を行う。これには、通過させる/通過させないパケットに関するルール設定や、検知対象であるイベントに対するルール設定やその他のセキュリティポリシーの設定(インシデントの設定等を含む)を行う。
また、この設置ステップでは、ルール部分の設定も行われる。すなわち、大きくは、セキュリティポリシーの設定を行う。これには、通過させる/通過させないパケットに関するルール設定や、検知対象であるイベントに対するルール設定やその他のセキュリティポリシーの設定(インシデントの設定等を含む)を行う。
次に、運用ステップでは)、機器稼働の監視を行う。各機器に故障等が発生した場合又は故障しそうな場合、これを検知して下記のような処理を行う。
すなわち、運用管理センター側からポーリングを行い、利用者側システムに属する機器のCPUやメモリを監視し、その情報を記録している。その監視の結果、異常や故障が発生している場合又は発生しそうな場合を運用管理センター側がリアルタイムに検知することが可能である。
また、セキュリティ監視も行う。利用者ネットワークの外部又は内部からのパケットのログを取得し、セキュリティ侵害等があったか否かを検知する。
このように、MSSのサービスでは、機器障害、セキュリティ侵害等を、運用の最中に検知する。また、多くの場合、ネットワークで接続された外部の管理センターにおいて遠隔地から利用者の情報システムの管理が行われることが多い。この外部の管理センターは、MSSのサービス提供者が設置・提供を行う。
次に、分析ステップでは、取得したログから機器障害の分析を行う。また、外部又は内部からのセキュリティ侵害や不適切なアクセス等の有無を解析するセキュリティ分析が行われる。これらの分析は、主に、上述した外部の管理センターにおいて行われる。しかし、その利用者側の担当者であるセキュリティ管理者にもこの分析結果が報告されるが、原則として、分析は、外部の管理者が行う。
このような分析ステップの動作は、種々パターンに分かれる。
(大規模な大企業の場合)
比較的大規模な大企業の場合は、内部の管理者は、情報システムに関する専門知識を有しており、ファイアーウォール等の設定をすることができる場合が多い。このような管理者を「IT管理者」と呼ぶ。
比較的大規模な大企業の場合は、内部の管理者は、情報システムに関する専門知識を有しており、ファイアーウォール等の設定をすることができる場合が多い。このような管理者を「IT管理者」と呼ぶ。
また、セキュリティに関しても、基本的な知識を有する「セキュリティ管理者」を配備している場合もあるが、詳細な専門的な知識については持っていない場合も多い。その結果、上述したいわゆるPDCAサイクルを回すほどの知識は持っていない。そのため、分析に関しては、セキュリティに関する専門知識を有する外部の専門家に委託した方が、コスト的にもまた労力的にも好適であることが多い。すなわち、外部の業者に委託して、MSSのサービスを利用する場合が多い。
(大企業の場合)
また、中堅的な大企業の場合、内部に情報システムのIT管理者を配置しているが、そのIT管理者はあくまでも情報管理のための管理者であり、セキュリティには詳しくない場合も多い。すなわち、このIT管理者は、ネットワークの構成方法等は知っているが、セキュリティに関する知識はあまり持っていないという場合である。つまり、「セキュリティ管理者」は配置していないという企業が中堅的な大企業には多い。このような企業の場合は、外部の業者に委託してMSSを利用すれば、より一層PDCAサイクルを回しやすくなるするメリットがある。
また、中堅的な大企業の場合、内部に情報システムのIT管理者を配置しているが、そのIT管理者はあくまでも情報管理のための管理者であり、セキュリティには詳しくない場合も多い。すなわち、このIT管理者は、ネットワークの構成方法等は知っているが、セキュリティに関する知識はあまり持っていないという場合である。つまり、「セキュリティ管理者」は配置していないという企業が中堅的な大企業には多い。このような企業の場合は、外部の業者に委託してMSSを利用すれば、より一層PDCAサイクルを回しやすくなるするメリットがある。
このように、企業の内部に管理者を配置しつつも、外部の管理者(専門家)を用いて分析を行った方が好ましい場合は多い。
ここで、内部管理者と外部管理者の役割分担は種々のものが考えられる。例えば、外部から情報システムのリセットをかけることを許可している企業もあれば、外部からリセットをかけられることを拒否するようなポリシーを持っている企業もある。外部からのリセットを拒否している企業の場合は、外部の管理者は内部の管理者に連絡してリセットを依頼することになる。
同様に、サーバのルールに関しても、外部の管理者からのルール変更の提案を受けて、内部の管理者が検討してからルールを変更するような仕組みを採用する企業もあれば、全くのお任せで、外部の管理者にサーバのルール設定まですべてお任せする企業もある。
次に、改善ステップにおいては、機器に障害が発生した場合は、機器の障害からの復旧を行う。
また、上述した分析結果に基づき、機器に設定したセキュリティルールの見直し・改善を行う。これには、社内ルールの見直しや改善等も含まれる。
これらの処理は、同時期に行われるわけではない。機器の障害からの復旧と、セキュリティルールの見直し等は、(同じタイミングに生じる場合もあるが)、基本的には別の独立したタイミングで行われる。
これらの処理は、同時期に行われるわけではない。機器の障害からの復旧と、セキュリティルールの見直し等は、(同じタイミングに生じる場合もあるが)、基本的には別の独立したタイミングで行われる。
このいわゆる「PDCAサイクル」は、IT管理者がいる場合、又は、IT管理者及びセキュリティ/運用管理者がいる場合、を前提としていることが多い。利用者側の情報システムやネットワークの管理は、サービス提供者側の運用管理センターにおいてリモートで行われる場合が多いが、運用や改善のステップなどは、場合によっては、現場のセキュリティ/運用管理者と連携して行う必要がある場合もある。上述したように、ここでは必ずしも連携が必要でない場合もある。
しかし、一般的には、これまでのMSSにおいては、サービスの提供を受ける利用者側にIT管理者が配置されていることが望ましく、さらにはセキュリティ管理者(「セキュリティ/運用管理者」とも呼ぶ)がいることがより一層望ましい。
実際に、これまでのMSSのサービスを導入していなかった場合は、人的その他の種々の事情により、利用者側のセキュリティ/運用管理者を設置できなかった場合は、設置(Plan)だけで、終わってしまい、運用(Do)、分析(Check)、改善(Act)の各ステップまで実現できていない場合も考えられる。このような利用者側において、IT管理者もセキュリティ管理者も配置されていない場合のPDCAサイクルの例が図6の概念図に示されている。
運用管理センター(従来の技術)
MSSのサービスにおいては、なるべく利用者側の負担を減らすために、上述のように、外部の運用管理センターから、インターネット等の通信回線介して利用者側の情報システムを監視することが多く、近年、広く活用されてきている。
MSSのサービスにおいては、なるべく利用者側の負担を減らすために、上述のように、外部の運用管理センターから、インターネット等の通信回線介して利用者側の情報システムを監視することが多く、近年、広く活用されてきている。
図7には、このような運用管理センター10による従来の一般的なMSSの提供の概要の説明図が示されている。すなわち、図7は、従来から知られているMSSの例を示す図である。
監視対象である利用者側の情報システムを利用者側ネットワーク12と称する(図7参照)。利用者側ネットワーク12には、例えば、DMZサーバ群12aと、内部セグメント14とが含まれている(図7参照)。
この利用者側ネットワーク12には、上述したように、外部に設けているサーバ等も含まれるが、説明をわかりやすくするために、便宜上、図7ではこの外部のサーバ等の例は示されていない。
このDMZサーバ群12aには、セキュリティ装置として例えばファイアーウォール12bと、各種DMZサーバが含まれている。その他種々のセキュリティ装置が含まれうる。
図示されてはいないが、Webサーバ12a1の前には例えばWAF(Web Application Firewall)等が含まれれている場合もある。また、メールサーバ12a2の前にはメールのSPAMを防ぐメールセキュリティ装置を置く場合もある。また、これらWAF等の前にIPSやIDSを置く場合もある。また、ファイアーウォール12b中にこれらの機能を統合したUTMと呼ばれる仕組みを搭載する場合もある。さらに、UTMを置く場合でも、IPSは別個に置くという場合もある。
このように各企業によって、セキュリティ装置の構成は千差万別であり、その結果MSSのサービスも千差万別であった。この結果、小さな企業はMSSの利用が困難な場合もあった。そこで、後述するように。本発明は、MFP等の中にUTM等を入れた構成を用いてMSSを提供する仕組みを採用したのである。
DMZ(Demilitarized Zone)とは本来は「非武装地帯」の意味であるが、情報システム上では、インターネット等の信頼できないネットワークと社内ネットワークなどの信頼できるネットワークとの中間に置かれるセグメントを意味する。
但し、運用管理者が内部に配置されていない企業の場合は、このようなDMZサーバ群12aが社内にない場合も多い。すなわち、利用しているISP側にメールサーバやWEBサーバ等を委託しているような場合である。
図示されてはいないが、Webサーバ12a1の前には例えばWAF(Web Application Firewall)等が含まれれている場合もある。また、メールサーバ12a2の前にはメールのSPAMを防ぐメールセキュリティ装置を置く場合もある。また、これらWAF等の前にIPSやIDSを置く場合もある。また、ファイアーウォール12b中にこれらの機能を統合したUTMと呼ばれる仕組みを搭載する場合もある。さらに、UTMを置く場合でも、IPSは別個に置くという場合もある。
このように各企業によって、セキュリティ装置の構成は千差万別であり、その結果MSSのサービスも千差万別であった。この結果、小さな企業はMSSの利用が困難な場合もあった。そこで、後述するように。本発明は、MFP等の中にUTM等を入れた構成を用いてMSSを提供する仕組みを採用したのである。
DMZ(Demilitarized Zone)とは本来は「非武装地帯」の意味であるが、情報システム上では、インターネット等の信頼できないネットワークと社内ネットワークなどの信頼できるネットワークとの中間に置かれるセグメントを意味する。
但し、運用管理者が内部に配置されていない企業の場合は、このようなDMZサーバ群12aが社内にない場合も多い。すなわち、利用しているISP側にメールサーバやWEBサーバ等を委託しているような場合である。
一般的には、上記ファイアーウォール12から下にDMZサーバ群12aが置かれている。ここでファイアーウォール12aは、UTM(図示しない)で構成される場合もある。UTMを用いる場合は、その下にIPSやWAF等が設けられる(DMZサーバの前に置かれる)場合もある。
さて、このDMZサーバ12aには、WEBサーバ12a1、メールサーバ12a2、FTPサーバ12a3、DNSサーバ12a4と、等が含まれている。どのようなサーバが含まれるかは、各企業、各システムにより異なる。図7では一般的と思われるサーバ群のみが示されており、これらに限られるものではない。
これらの、インターネットに公開しなければならないサーバ群は、一般にDMZセグメントに配置され、ここではこれらをDMZサーバ群12aと呼んでいる。これらDMZサーバ群12aは、ファイアーウォール12bを介してインターネット20に接続している。
また、内部セグメント14には、クライアント端末14a、14b、14c、14dが含まれており、インターネット20に対して、無制限に公開されてはいない。
一般的には、ファイアーウォール12bは、外部のインターネット20からのアクセスは、DMZサーバ群12aに対してのみ許され(パケットを通過させ)、内部セグメント14へのアクセスは原則として許可しない。またファイアーウォール12bは、DMZサーバ群12aに対してのアクセスに関しても、パケットの内容(ソース・ディスティネーション等)を検査し不正なパケットは通過させない。さらに、ファイアーウォール12bは、DMZサーバ群12aから内部セグメント14へのアクセスも原則として許可しないが、内部セグメント14からのアクセスは、外部のインターネット20に対してもDMZサーバ群12aに対しても原則として許可される。ただし、不正なサイトへのアクセスは、たとえ、内部セグメント14からのアクセスでも許可されない。このようなファイアーウォール12bの作用・機能は、後述する実施の形態でも基本的に同様である。なお、IPSやWAF等の動作は従来からよく知られているので、ここではその動作の説明は省略する。
さて、この利用者側情報システムである利用者側ネットワーク12は、図7に示すように、インターネットを介して運用管理センター10から24時間365日監視されている場合もあった。この運用管理センター10には、セキュリティエンジニアが24時間駐在しており、文字通り24時間の監視を行っている。この結果、利用者側において専任の管理者が不在の場合であっても、利用者側ネットワーク12に対する攻撃や障害を監視するとともに、その分析を行っている。そして、その分析結果に基づきしかるべき対応を行っている。
従来から、運用管理センター10における障害分析の対応や復旧は、例えば、メールを用いて担当者に障害の報告やその復旧の内容を伝えることによって行われている。各種ネットワーク機器の設定変更等、運用管理センター10側において対処可能な事項の場合は、上記メールはそのような対処が行われたことを報告するメールとなろう。また特に使用者側で実行しなければならないことがあれば、上記メールに含まれることになる。例えば、サーバの再起動等を使用者側で行ってください等のメールとなる。
さらに、運用管理センター10側においては、その使用者専用のWebサーバを用いて、使用者側が閲覧可能なWebポータルサイトを提供していることが多い。このWebポータルサイトを通じて、使用者側の情報ネットワーク12の監視状況やログを使用者側に提供する。
また、使用者は、運用管理センター10に対して、セキュリティに関する相談・問い合わせを行うことが可能である。
(2)複合機の利用
ところで、近年、コピー機に、FAX機能や、スキャナー機能を組み込んだいわゆる複合機が広く利用されており、代表的なOA機器の一つとなっている。さらに近年のインターネット環境の進展にともない、この複合機にもいわゆるLAN接続機能を持たせた複合機も種々知られている。
ところで、近年、コピー機に、FAX機能や、スキャナー機能を組み込んだいわゆる複合機が広く利用されており、代表的なOA機器の一つとなっている。さらに近年のインターネット環境の進展にともない、この複合機にもいわゆるLAN接続機能を持たせた複合機も種々知られている。
ところが、このようなLAN接続機能を備えた複合機をそのままインターネットに接続したのでは、セキュリティ上問題があると考えられる。そこで、その複合機にセキュリティ機能を持たせることが考えられる。例えば、特開2012−74935号公報には、複数人の認証によって画像データを出力するように構成して情報漏洩を防止した複合機が開示されている。また、特開2011−19099号公報には、ファームウェアに異常が見つかった場合に複合機の機能を制限する複合機が開示されている。
上述のように、特に中小企業の場合には、社内ネットワークも小規模なので、このようなネット接続機能を有する複合機等を中心に社内ネットワークを構築する場合も多く、複合機のセキュリティ機能は重要であると考えられる。この複合機がその企業のネットワーク接続のセンター部分となり、それに対してPCや各種スマートデバイスが接続されて、社内ネットワークが構築されるからである。
なお、後述する本発明の実施の形態においては、改良された複合機の説明を行っているが、そこで用いられるセキュリティアプライアンスを格納する筐体は、複合機の本体とは別体に構成される場合がある。その詳細は、後述する実施の形態において説明する。
なお、後述する本発明の実施の形態においては、改良された複合機の説明を行っているが、そこで用いられるセキュリティアプライアンスを格納する筐体は、複合機の本体とは別体に構成される場合がある。その詳細は、後述する実施の形態において説明する。
(3) PDCAサイクルと、MSSのカスタマイズ
さて、非常に大規模な大企業の場合は、いわゆるIT管理者も配置しており、さらに、セキュリティ管理者も配備している場合が多いが、その場合でも円滑に上述したPDCAサイクルを回すためにはMSSののサービスを利用することがあった。
さて、非常に大規模な大企業の場合は、いわゆるIT管理者も配置しており、さらに、セキュリティ管理者も配備している場合が多いが、その場合でも円滑に上述したPDCAサイクルを回すためにはMSSののサービスを利用することがあった。
また、中堅的な大企業であって、IT管理者のみを備えている企業の場合は、セキュリティに関する専門知識を有する者が少ないので、MSSのサービスを利用してPDCAサイクルを回すことが一般に好適であり、実際にもそのような利用があった。
これに対して、中小企業等の小規模な企業や団体の場合は、いわゆるIT管理者を設けることが難しく、上述したいわゆるPDCAのサイクルを回すのは困難な場合もあった。
しかし、また、このような中小企業等の社内ネットワークこそ、上の(1)で述べたMSSのサービスを利用して、PDCAサイクルを回すことが望ましい。しかし、既存の従来のMSSのサービスは、上述したように利用者側の少なくともIT管理者が存在することを前提としている場合が多かった。すなわち、中小企業での利用はほとんど考慮されていなかった。
特に、従来、MSSはいわば利用者の情報システムに合わせたカスタマイズやチューニングが必要であった。
非常に大規模な超大企業の場合は、使用している機器も特殊な場合があり、提供するMSSのサービスも企業の要求に合わせた監視方法や、企業の要求に合わせた監視体制を採用しなければならない場合もある(これを、ここでは、カスタマイズと呼ぶ)。
非常に大規模な超大企業の場合は、使用している機器も特殊な場合があり、提供するMSSのサービスも企業の要求に合わせた監視方法や、企業の要求に合わせた監視体制を採用しなければならない場合もある(これを、ここでは、カスタマイズと呼ぶ)。
また、利用者の情報システムは、各利用者ごとに大きく異なり、クライアントの台数・種類、ファイアーウォールの台数・種類、その他のセキュリティ機器の台数・種類・置かれ方、さらに各種サーバの台数・種類も様々であり(すなわち、ネットワーク構成が千差万別であり)、サーバーのOSも様々である。また、その製造メーカーもまた多種多様である。そのため、上記のようなカスタマイズが必要となる。また例えば、UNIX(登録商標)を利用しているか/利用していないか、等の調整はここでいうカスタマイズの一つである。
さらに、利用者の望む監視の程度・内容も利用者ごとに大きく異なる(ネットワーク構成に対して何をどの程度監視していくのか)ので、従来からのMSSは、利用者ごとにチューニングを行って構築する必要があった。例えば、危険であると判断するしきい値をどのような値にするか、等の調整がチューニングの一種である。このように、主としてこのようなしきい値の調整がチューニングと呼ばれる。
さらに、利用者の望む監視の程度・内容も利用者ごとに大きく異なる(ネットワーク構成に対して何をどの程度監視していくのか)ので、従来からのMSSは、利用者ごとにチューニングを行って構築する必要があった。例えば、危険であると判断するしきい値をどのような値にするか、等の調整がチューニングの一種である。このように、主としてこのようなしきい値の調整がチューニングと呼ばれる。
また、連絡やアラートの方法の調整もチューニングの一種である。また、改修の際の、内部のIT管理者と外部のセンター側の管理者との間の連携体制調整もチューニングの一種である。
このようにカスタマイズやチューニングを行う必要があることから、サービスのコストがどうしても上昇しがちであり、一層、中小企業等でのMSSの利用は考えにくい状況にあった。
(4)先行特許文献
例えば、下記特許文献1には、電気機器の状態を確認して、その確認した情報を通信手段を用いて通信する状態報知システムが開示されている。このような構成によって、利便性やセキュリティ性を向上させることができるとされている。
例えば、下記特許文献1には、電気機器の状態を確認して、その確認した情報を通信手段を用いて通信する状態報知システムが開示されている。このような構成によって、利便性やセキュリティ性を向上させることができるとされている。
また、下記特許文献2には、リスク分析をリアルタイムに行う方法が開示されている。具体的には、コンピュータベースビジネスアプリケーションサブシステム内のビジネス活動の技術的解釈を与えて、この解釈に基づいて、ビジネス活動が運用ガイドラインに違反して実行されてしまうタスクを生成すること(リスク分析)が提案されている。
また、下記特許文献3には、メールサーバやWebサーバと接続し、特定のユーザを監視する監視サーバが開示されている。その特定のユーザと関連するメール等の中から、所定のキーワードに該当するデータを抽出し、報告先のユーザに送信する技術が開示されている。子供等の行動を親等が監視できるとされている。
また、下記特許文献4には、複数人の認証によって画像データを出力するように構成して情報漏洩を防止した複合機が開示されている。また、下記特許文献5には、ファームウェアに異常が見つかった場合に複合機の機能を制限する複合機が開示されている。
このように、従来のMSSのサービスでは、
(a1)IT管理者に加えて、セキュリティ管理者もいるが、そのセキュリティ管理者は、セキュリティに関して脆弱な知識しかもっていない企業、
(a2)IT管理者に加えて、セキュリティ管理者もいるが、もっとセキュリティを強化したい企業、
(b)IT管理者はいるものの、セキュリティ管理者がいない企業、
を主な顧客として提供されていた。すなわち
(c)IT管理者がいない企業、またはIT管理者がいてもそのIT管理者が脆弱な知識しか持っていない企業、
に対してはMSSのサービスを提供することは少なかった。
(a1)IT管理者に加えて、セキュリティ管理者もいるが、そのセキュリティ管理者は、セキュリティに関して脆弱な知識しかもっていない企業、
(a2)IT管理者に加えて、セキュリティ管理者もいるが、もっとセキュリティを強化したい企業、
(b)IT管理者はいるものの、セキュリティ管理者がいない企業、
を主な顧客として提供されていた。すなわち
(c)IT管理者がいない企業、またはIT管理者がいてもそのIT管理者が脆弱な知識しか持っていない企業、
に対してはMSSのサービスを提供することは少なかった。
そこで、本願発明者は、上記(c)のようなIT管理者がいない企業であっても、MSSのサービスを利用することができる仕組みを検討し、本願発明をなすに至った。すなわち、本願発明は、IT管理者がいない中小企業でも利用することが容易なMSSのサービスを提供すること、及びそれに関連する機器の提供を主たる目的とする。
本発明の特徴の一つ、すなわち、主要な訴求ポイントの一つは、複合機等のOA機器のようなもの中に、UTM等のセキュリティ装置を埋め込んで、オフィスのセキュリティセンターとして機能させる点と、それに加えて、MSSのサービスの提供を行おうとする点にある。なおかつ、パッケージ化されているので、低コスト化が期待される。
(1) セキュリティ装置
本発明は、上記課題を解決するために、外部ネットワークとの接続手段を備えたOA機器において、ゲートウェイを含むUTM等のセキュリティ装置を含むアプライアンス手段、を備え、前記接続手段は、前記ゲートウェイであることを特徴とするOA機器である。
本発明は、上記課題を解決するために、外部ネットワークとの接続手段を備えたOA機器において、ゲートウェイを含むUTM等のセキュリティ装置を含むアプライアンス手段、を備え、前記接続手段は、前記ゲートウェイであることを特徴とするOA機器である。
(2) 無線LAN(Wi-fi)セキュリティ
本発明は、上記(1)記載のOA機器において、前記アプライアンス手段は、オプションとして、本OA機器の周囲のWi-fiアクセスポイントを検出する手段、を備えていることを特徴とするOA機器である。
本発明は、上記(1)記載のOA機器において、前記アプライアンス手段は、オプションとして、本OA機器の周囲のWi-fiアクセスポイントを検出する手段、を備えていることを特徴とするOA機器である。
(3) トレー型
本発明は、上記(1)〜(2)のいずれか1項に記載のOA機器において、用紙トレーを格納する棚部と、前記棚部に格納された用紙トレー型筐体と、前記用紙トレー型筐体に格納された前記アプライアンス手段と、を含むことを特徴とするOA機器である。
本発明は、上記(1)〜(2)のいずれか1項に記載のOA機器において、用紙トレーを格納する棚部と、前記棚部に格納された用紙トレー型筐体と、前記用紙トレー型筐体に格納された前記アプライアンス手段と、を含むことを特徴とするOA機器である。
(4) トレ ー型(用紙トレーではない)
本発明は、上記(1)〜(2)のいずれか1項に記載のOA機器において、用紙トレーとほぼ同形状のトレー型筐体と、前記トレー型筐体に格納された前記アプライアンス手段と、を含むことを特徴とするOA機器である。
本発明は、上記(1)〜(2)のいずれか1項に記載のOA機器において、用紙トレーとほぼ同形状のトレー型筐体と、前記トレー型筐体に格納された前記アプライアンス手段と、を含むことを特徴とするOA機器である。
(5) バックパック型
本発明は、上記(1)〜(2)のいずれか1項に記載のOA機器において、本OA機器の背面に取り付け可能なバックパック型筐体と、前記バックパック型筐体に格納された前記アプライアンス手段と、を含むことを特徴とするOA機器である。
本発明は、上記(1)〜(2)のいずれか1項に記載のOA機器において、本OA機器の背面に取り付け可能なバックパック型筐体と、前記バックパック型筐体に格納された前記アプライアンス手段と、を含むことを特徴とするOA機器である。
(6) サブ筐体(サブユニット型)
本発明は、上記(1)〜(2)のいずれか1項に記載のOA機器機器において、本OA機器の本体と、前記本体とは別体であるサブ筐体と、前記サブ筐体に格納された前記アプライアンス手段と、を含むことを特徴とするOA機器である。
本発明は、上記(1)〜(2)のいずれか1項に記載のOA機器機器において、本OA機器の本体と、前記本体とは別体であるサブ筐体と、前記サブ筐体に格納された前記アプライアンス手段と、を含むことを特徴とするOA機器である。
(7) コンピューターラック型
本発明は、上記(3)又は(4)に記載のOA機器において、前記トレー型筐体は、コンピューターラック型オープンシャシー、を備えていることを特徴とするOA機器である。
本発明は、上記(3)又は(4)に記載のOA機器において、前記トレー型筐体は、コンピューターラック型オープンシャシー、を備えていることを特徴とするOA機器である。
(8) コンピューターラック型
本発明は、上記(5)に記載のOA機器において、前記バックパック型筐体は、コンピューターラック型オープンシャシー、を備えていることを特徴とするOA機器である。
本発明は、上記(5)に記載のOA機器において、前記バックパック型筐体は、コンピューターラック型オープンシャシー、を備えていることを特徴とするOA機器である。
(9) コンピューターラック型
本発明は、上記(6)記載のOA機器において、前記サブ筐体は、コンピューターラック型オープンシャシー、を備えていることを特徴とするOA機器である。
本発明は、上記(6)記載のOA機器において、前記サブ筐体は、コンピューターラック型オープンシャシー、を備えていることを特徴とするOA機器である。
(10)
本発明は、上記(1)〜(9)のいずれか1項に記載のOA機器において、前記OA機器は、複写機、複合機、FAX装置、プリンタ、パーソナルコンピュータ、電話関連装置装置、NAS、のいずれかの機器であることを特徴とするOA機器である。
本発明は、上記(1)〜(9)のいずれか1項に記載のOA機器において、前記OA機器は、複写機、複合機、FAX装置、プリンタ、パーソナルコンピュータ、電話関連装置装置、NAS、のいずれかの機器であることを特徴とするOA機器である。
(11)
上記(10)記載のOA機器において、前記電話関連装置は、PBX、キーテレホン、のいずれかの機器であることを特徴とするOA機器である。
上記(10)記載のOA機器において、前記電話関連装置は、PBX、キーテレホン、のいずれかの機器であることを特徴とするOA機器である。
(12)
本発明は、上記(1)に記載のOA機器を含む情報システムに対して、運用管理センターが前記情報システムの監視を行うことによって、セキュリティサービスを前記情報システムに対して提供する方法において、前記運用管理センターが、前記アプライアンス手段に対して、問い合わせを行うステップと、前記アプライアンス手段が、前記問い合わせに対して、セキュリティの情報を返送するステップと、を含み、前記アプライアンス手段は、前記OA機器に合わせてあらかじめ構築されたセキュリティのためのベースソフトウェアがインストールされており、前記ベースソフトウェアがインストールされた前記アプライアンス手段が前記UTM等のセキュリティ装置を含むゲートウェイを実現していることを特徴とするセキュリティサービスを提供する方法である。
本発明は、上記(1)に記載のOA機器を含む情報システムに対して、運用管理センターが前記情報システムの監視を行うことによって、セキュリティサービスを前記情報システムに対して提供する方法において、前記運用管理センターが、前記アプライアンス手段に対して、問い合わせを行うステップと、前記アプライアンス手段が、前記問い合わせに対して、セキュリティの情報を返送するステップと、を含み、前記アプライアンス手段は、前記OA機器に合わせてあらかじめ構築されたセキュリティのためのベースソフトウェアがインストールされており、前記ベースソフトウェアがインストールされた前記アプライアンス手段が前記UTM等のセキュリティ装置を含むゲートウェイを実現していることを特徴とするセキュリティサービスを提供する方法である。
(13)
本発明は、上記(2)記載のOA機器を含む情報システムに対して、運用管理センターが前記情報システムの監視を行うことによって、セキュリティサービスを前記情報システムに対して提供する方法において、前記運用管理センターが、前記アプライアンス手段に対して、問い合わせを行うステップと、前記アプライアンス手段が、前記問い合わせに対して、前記周囲のWi-fiアクセスポイントに関する情報を返送するステップと、を含み、前記アプライアンス手段は、前記OA機器に合わせてあらかじめ構築されたセキュリティのためのWi-fiセキュリティソフトウェアがインストールされており、前記Wi-fiセキュリティソフトウェアがインストールされた前記アプライアンス手段が、前記Wi-fiアクセスポイントを検出する手段、を実現していることを特徴とするセキュリティサービスを提供する方法である。
本発明は、上記(2)記載のOA機器を含む情報システムに対して、運用管理センターが前記情報システムの監視を行うことによって、セキュリティサービスを前記情報システムに対して提供する方法において、前記運用管理センターが、前記アプライアンス手段に対して、問い合わせを行うステップと、前記アプライアンス手段が、前記問い合わせに対して、前記周囲のWi-fiアクセスポイントに関する情報を返送するステップと、を含み、前記アプライアンス手段は、前記OA機器に合わせてあらかじめ構築されたセキュリティのためのWi-fiセキュリティソフトウェアがインストールされており、前記Wi-fiセキュリティソフトウェアがインストールされた前記アプライアンス手段が、前記Wi-fiアクセスポイントを検出する手段、を実現していることを特徴とするセキュリティサービスを提供する方法である。
(14) UTM
本発明は、上記(1)に記載のOA機器を含む情報システムに対して、運用管理センターが前記情報システムの監視を行うことによって、セキュリティサービスを前記情報システムに対して提供する方法において、前記アプライアンス手段が、セキュリティに関する情報であるセキュリティ情報を前記運用管理センターに送信するステップと、前記運用管理センターが、前記送信されてきたセキュリティ情報を受信するステップと、を含むことを特徴とするセキュリティサービスを提供する方法である。
本発明は、上記(1)に記載のOA機器を含む情報システムに対して、運用管理センターが前記情報システムの監視を行うことによって、セキュリティサービスを前記情報システムに対して提供する方法において、前記アプライアンス手段が、セキュリティに関する情報であるセキュリティ情報を前記運用管理センターに送信するステップと、前記運用管理センターが、前記送信されてきたセキュリティ情報を受信するステップと、を含むことを特徴とするセキュリティサービスを提供する方法である。
(15) Wi-fi
本発明は、上記(2)記載のOA機器を含む情報システムに対して、運用管理センターが前記情報システムの監視を行うことによって、セキュリティサービスを前記情報システムに対して提供する方法において、前記アプライアンス手段が、前記周囲のWi-fiアクセスポイントに関する情報を運用管理センターに送信するステップと、前記運用管理センターが、前記送信されてきたWi-fiアクセスポイントに関する情報を受信するステップと、を含むことを特徴とするセキュリティサービスを提供する方法である。
本発明は、上記(2)記載のOA機器を含む情報システムに対して、運用管理センターが前記情報システムの監視を行うことによって、セキュリティサービスを前記情報システムに対して提供する方法において、前記アプライアンス手段が、前記周囲のWi-fiアクセスポイントに関する情報を運用管理センターに送信するステップと、前記運用管理センターが、前記送信されてきたWi-fiアクセスポイントに関する情報を受信するステップと、を含むことを特徴とするセキュリティサービスを提供する方法である。
(16)
本発明は、上記(12)〜(15)のいずれか1項記載のセキュリティサービスの提供方法において、前記運用管理センターは、前記OA機器の構成、及び、前記あらかじめ構築されたセキュリティのためのソフトウェアの内容、に基づいて、あらかじめ設定されているベースサービスである、前記情報システムの監視、動作状況の分析、障害に対する対処、を提供することを特徴とするセキュリティサービスを提供する方法である。
本発明は、上記(12)〜(15)のいずれか1項記載のセキュリティサービスの提供方法において、前記運用管理センターは、前記OA機器の構成、及び、前記あらかじめ構築されたセキュリティのためのソフトウェアの内容、に基づいて、あらかじめ設定されているベースサービスである、前記情報システムの監視、動作状況の分析、障害に対する対処、を提供することを特徴とするセキュリティサービスを提供する方法である。
(17) 追加パッケージ ソフトウェア
本発明は、上記(12)〜(15)のいずれか1項に記載のセキュリティサービスを提供する方法において、前記ベースソフトウェア及び前記ベースサービスからなるベースパッケージに加えて、本セキュリティサービスを受ける利用者が追加パッケージを要望した場合、その追加パッケージに含まれる、あらかじめ構築されたセキュリティのための追加ソフトウェアを、前記アプライアンス手段にインストールするステップと、前記アプライアンス手段が、前記追加ソフトウェアによって検査されるセキュリティに関する情報を、運用管理センターに送信するステップと、前記運用管理センターが、前記送信されてきた前記セキュリティに関する情報を、受信するステップと、を含むことを特徴とするセキュリティサービスを提供する方法である。
本発明は、上記(12)〜(15)のいずれか1項に記載のセキュリティサービスを提供する方法において、前記ベースソフトウェア及び前記ベースサービスからなるベースパッケージに加えて、本セキュリティサービスを受ける利用者が追加パッケージを要望した場合、その追加パッケージに含まれる、あらかじめ構築されたセキュリティのための追加ソフトウェアを、前記アプライアンス手段にインストールするステップと、前記アプライアンス手段が、前記追加ソフトウェアによって検査されるセキュリティに関する情報を、運用管理センターに送信するステップと、前記運用管理センターが、前記送信されてきた前記セキュリティに関する情報を、受信するステップと、を含むことを特徴とするセキュリティサービスを提供する方法である。
(18) 追加パッケージ アプライアンス
本発明は、上記(12)〜(15)のいずれか1項に記載のセキュリティサービスを提供する方法において、前記ベースソフトウェア及び前記ベースサービスからなるベースパッケージに加えて、本セキュリティサービスを受ける利用者が追加パッケージを要望した場合、その追加パッケージに含まれる、追加アプライアンスを、前記アプライアンス手段に付加するステップと、前記アプライアンス手段が、前記追加アプライアンスによって検査されるセキュリティに関する情報を、運用管理センターに送信するステップと、前記運用管理センターが、前記送信されてきた前記セキュリティに関する情報を、受信するステップと、を含むことを特徴とするセキュリティサービスを提供する方法である。
本発明は、上記(12)〜(15)のいずれか1項に記載のセキュリティサービスを提供する方法において、前記ベースソフトウェア及び前記ベースサービスからなるベースパッケージに加えて、本セキュリティサービスを受ける利用者が追加パッケージを要望した場合、その追加パッケージに含まれる、追加アプライアンスを、前記アプライアンス手段に付加するステップと、前記アプライアンス手段が、前記追加アプライアンスによって検査されるセキュリティに関する情報を、運用管理センターに送信するステップと、前記運用管理センターが、前記送信されてきた前記セキュリティに関する情報を、受信するステップと、を含むことを特徴とするセキュリティサービスを提供する方法である。
(19) 追加パッケージ ソフト
本発明は、上記(17)記載のセキュリティサービスを提供する方法において、前記運用管理センターは、前記追加パッケージに含まれる追加サービスであって、前記ソフトウェアに合わせてあらかじめ設定されている追加サービスを提供することを特徴とするセキュリティサービスを提供する方法である。
本発明は、上記(17)記載のセキュリティサービスを提供する方法において、前記運用管理センターは、前記追加パッケージに含まれる追加サービスであって、前記ソフトウェアに合わせてあらかじめ設定されている追加サービスを提供することを特徴とするセキュリティサービスを提供する方法である。
(20) 追加パッケージ アプライアンス
本発明は、上記(18)記載のセキュリティサービスを提供する方法において、前記運用管理センターは、前記追加パッケージに含まれる追加サービスであって、前記追加アプライアンスに合わせてあらかじめ設定されている追加サービスを提供することを特徴とするセキュリティサービスを提供する方法である。
本発明は、上記(18)記載のセキュリティサービスを提供する方法において、前記運用管理センターは、前記追加パッケージに含まれる追加サービスであって、前記追加アプライアンスに合わせてあらかじめ設定されている追加サービスを提供することを特徴とするセキュリティサービスを提供する方法である。
以上述べたように、本発明によれば、情報システムのセンターとなるファイアーウォール等を備えたオフィス情報機器を提供したので、所定の企業・団体に対してその情報システムのセンターとすることができる。
また、本発明によれば、上記オフィス情報機器の構成に基づきパッケージ化されたサービスによってMSSを提供するので、利用者にとってよりわかりやすいMSSのサービスを提供することがでる。同様にパッケージ化によって、より迅速にサービスの提供を受けることができる。
以下、本発明の好適な実施の形態を図面に基づき説明する。
第1章 複合機(MFP)
本実施の形態1では、まずセキュリティ機能を向上させた複合機(MFPと称する)200を提案する。
本実施の形態1では、まずセキュリティ機能を向上させた複合機(MFPと称する)200を提案する。
MFP(複合機)とは、上で述べたように、従来の複写機に、FAXやスキャナー、プリンター等の機能を付加したものであり、現在、中小企業から大企業まで広く用いられている。近年、いっそう多機能化が進展しており、通信機能を備えたものも多く提案されており、インターネットとの接続も広く実現され、メールの送信受信やwebへの接続も可能に構成されている。
特に、本実施の形態で対象と考えているのは、IT管理者もセキュリティ運用管理者も存在しない企業・団体や、IT管理者(又はセキュリティ運用管理者)が存在しても24時間常駐していない企業・団体を対象にしている。
IT管理者が不在の企業・団体のためのインフラセンターとするために、既存の従来のMFPの機能に加えて、インターネットセキュリティ機能を備えさせている。このインターネットセキュリティ機能は、クラウドセキュリティやモバイルセキュリティを含むものである。
1−1:FW/UTMセキュリティアプライアンス
特に、本実施の形態で提案するMFP200は、用紙トレーが入る棚の一部に、用紙トレーの代わりに、用紙トレーと同様の形状のトレー型筐体202aに納められたFW/UTMセキュリティアプライアンス202が備えられていることを特徴とする。このトレー型筐体202aを備えたMFP200の外観図が図1に示されている。
特に、本実施の形態で提案するMFP200は、用紙トレーが入る棚の一部に、用紙トレーの代わりに、用紙トレーと同様の形状のトレー型筐体202aに納められたFW/UTMセキュリティアプライアンス202が備えられていることを特徴とする。このトレー型筐体202aを備えたMFP200の外観図が図1に示されている。
(1)トレー型筐体
また、FW/UTMセキュリティアプライアンス202を備えたトレー型筐体202aの外観図が図2に示されている。図2に示すように、トレー型筐体202aは、1Uラック型オープンシャシー202a−1と、フロントベゼル202a−2と、から構成されている。
また、FW/UTMセキュリティアプライアンス202を備えたトレー型筐体202aの外観図が図2に示されている。図2に示すように、トレー型筐体202aは、1Uラック型オープンシャシー202a−1と、フロントベゼル202a−2と、から構成されている。
フロントベゼル202a−2は、MFPトレー型とバックパック型、サブユニット型があるが、図2中ではMFPトレー型が示されている。バックパック型やサブユニット型については後述する。図2のMFPトレー型は、MFP200の用紙トレーと同型の外観のフロントベゼルであり、このフロントベゼル202a−2によって用紙トレーと同様に、MFP200に取り付けることが可能である。
なお、後述するように、MFPトレー型は、用紙トレーと同形であるが、ほぼ同様の大きさであれば、「用紙」のトレーである必要はない。後の「0070」で詳述する
そしてフロントベゼル202a−2の裏側に(図2参照)FW/UTMセキュリティアプライアンス202が設置されている。
なお、後述するように、MFPトレー型は、用紙トレーと同形であるが、ほぼ同様の大きさであれば、「用紙」のトレーである必要はない。後の「0070」で詳述する
そしてフロントベゼル202a−2の裏側に(図2参照)FW/UTMセキュリティアプライアンス202が設置されている。
このように、本実施の形態においては、FW/UTMセキュリティアプライアンス202が、用紙トレー型の筐体202aに格納されているので、これをMFP用紙トレーと同様に、MFP200に容易に装着することができるものである。このような構成によって、既存のMFPに、容易にインターネットセキュリティ機能を備えさせることができる。
なお、図2では、用紙トレーと同形を採用してFW/UTMセキュリティアプライアンス202を設置したが、必ずしも「用紙」トレーではなく、用紙以外の他の汎用的なトレーにFW/UTMセキュリティアプライアンス202を設置することも好ましい。また、トレーである必要もなく、用紙トレーとほぼ同様の大きさや形状であればよい。
また、1個又は複数の用紙トレーを備えたMFPに対して、その既存の用紙トレーをFW/UTMセキュリティアプライアンス202に置き換えるのではなく、追加で、用紙トレーとほぼ同様の大きさのトレー状のFW/UTMセキュリティアプライアンス202を追加・増設することも好ましい。
また、トレー型筐体202aの裏側(フロントベゼル202a−2とは反対側)には、ユーティリティモジュール202a−3が設けられており、各種装置が格納されている(図2参照)。
(2)1Uラック型オープンシャシー
このトレー型筐体202aを構成するフレーム部分である1Uラック型オープンシャシー202a−1は、いわゆる1Uの大きさの機器を搭載可能なコンピューターラックの形状のシャシーであり、その結果、いわゆる1U機器の大きさまでの機器を格納(マウント)可能である。すなわち、本実施の形態に係るトレー型筐体202aは、1Uまでの大きさのFW/UTMセキュリティアプライアンス202を格納(マウント)可能である。1Uまでの大きさであれば、他の機器を格納(マウント)することも可能である。例えば、1Uのサイズのハードディスクや、Wi-fiに関する装置等を格納することも可能である。
このトレー型筐体202aを構成するフレーム部分である1Uラック型オープンシャシー202a−1は、いわゆる1Uの大きさの機器を搭載可能なコンピューターラックの形状のシャシーであり、その結果、いわゆる1U機器の大きさまでの機器を格納(マウント)可能である。すなわち、本実施の形態に係るトレー型筐体202aは、1Uまでの大きさのFW/UTMセキュリティアプライアンス202を格納(マウント)可能である。1Uまでの大きさであれば、他の機器を格納(マウント)することも可能である。例えば、1Uのサイズのハードディスクや、Wi-fiに関する装置等を格納することも可能である。
このような1Uラック型オープンシャシー202a−1を利用してトレー型筐体202aを構成したので、従来から存在する1U型の機器を設置しやすくなるというメリットがある。従来から1Uのサイズのセキュリティ関連機器は多く利用されているので、それらをモディファイしてFW/UTMセキュリティアプライアンス202を構成することも可能であり、より簡便にMFP200を構成することが可能である。
また、1Uラック型オープンシャシー202a−1は、請求の範囲のコンピューターラック型オープンシャシーの好適な一例に相当する。また、この1Uラック型オープンシャシー202a−1は後述するバックパック型でも同様に採用されている。
(3)FW/UTMセキュリティアプライアンスの機能
FW/UTMセキュリティアプライアンス202は、文字通り、ファイアーウォールを含むUTM機能を備えた装置である。UTM(Unified Threat management:統合脅威管理)は、ファイアーウォールとVPN機能とをベースに、アンチウィルス、不正侵入防御(IDS、IPS)、Webコンテンツフィルタリング(単にWebフィルタリングとも呼ぶ)、アンチスパム、等の機能を備えた複合的なセキュリティ機能である。これらの機能をセキュリティアプライアンスとしてゲートウェイに組み込んだものがFW/UTMセキュリティアプライアンス202である。
FW/UTMセキュリティアプライアンス202は、文字通り、ファイアーウォールを含むUTM機能を備えた装置である。UTM(Unified Threat management:統合脅威管理)は、ファイアーウォールとVPN機能とをベースに、アンチウィルス、不正侵入防御(IDS、IPS)、Webコンテンツフィルタリング(単にWebフィルタリングとも呼ぶ)、アンチスパム、等の機能を備えた複合的なセキュリティ機能である。これらの機能をセキュリティアプライアンスとしてゲートウェイに組み込んだものがFW/UTMセキュリティアプライアンス202である。
(アプライアンスとは、機能をある特定の目的に特化したコンピュータ等の機器をいう。ここでは、セキュリティ機能に特化したコンピュータを表す。)
また、FW/UTMセキュリティアプライアンス202は、利用者である中小企業等の情報システムのセンターとなることを念頭に置かれているので、基本的にルーターの機能を備えており、さらに、上述のようにファイアーウォールが備えられている。
また、FW/UTMセキュリティアプライアンス202は、利用者である中小企業等の情報システムのセンターとなることを念頭に置かれているので、基本的にルーターの機能を備えており、さらに、上述のようにファイアーウォールが備えられている。
本FW/UTMセキュリティアプライアンス202は、ファイアーウォールを含むUTM機能を備えた装置である。
UTMの機能としてどのような機能を含めるかはケースバイケースであり、様々である。例えば、このUTMの中に、アンチスパム機能が入っている場合は、その機能によって不正メール(ブラックリスト等に掲載され受信拒否等されたメール)、スパムメール等の不正な行為等が、内部の記憶手段に記憶される。この記憶される不正メールやスパムメール等の情報は、代表的なセキュリティ情報である。このように、セキュリティに関する情報、各種脅威や、不正行為情報(不正メールやスパムメールに関する情報)一般をセキュリティ情報と呼ぶ。そして、外部からの要求(管理者の操作等)によって適宜そのようなセキュリティ情報を見ることが可能である場合もある。
このUTMは、請求の範囲のセキュリティ装置の好適な一例に相当する。
このような装置によって、情報システムのセキュリティを達成することが可能である。なお、記憶手段に記憶されたセキュリティ情報は、いわゆる「ログ」と呼ばれることもある。
また、外部からの要求だけでなく、重度の障害やエラー、不正アクセス等が発生した場合においては、自発的に警告を発することもある。管理者に報告するメールや、危険を示すランプを点灯させることも好適である。
特に、本実施の形態において特徴的なことは、ネットワーク等を介して外部(例えば運用管理センター10)から問い合わせがあった場合に、それに応じて、セキュリティ情報を外部に提供する機能を備えていることである。また、セキュリティ情報には、上記ファイアーウォールで検出された各種脅威の他、UTMの様々な機能で検出された各種脅威が含まれている。これらが上述した表に内部にログとして記憶されており、外部(運用管理センター10)からの要求に応じてそれらの情報を提供する。
また、外部からの要求だけでなく、重度の障害やエラー、不正アクセス等が発生した場合においては、自発的に警告を発することもある。管理者に報告するメールや、危険を示すランプを点灯させることも好適である。
特に、本実施の形態において特徴的なことは、ネットワーク等を介して外部(例えば運用管理センター10)から問い合わせがあった場合に、それに応じて、セキュリティ情報を外部に提供する機能を備えていることである。また、セキュリティ情報には、上記ファイアーウォールで検出された各種脅威の他、UTMの様々な機能で検出された各種脅威が含まれている。これらが上述した表に内部にログとして記憶されており、外部(運用管理センター10)からの要求に応じてそれらの情報を提供する。
また、外部(運用管理センター10)からの要求だけでなく、重度の障害やエラー、不正アクセス等が発生した場合においては、自発的に警告を発することもある。また、定期的にセキュリティ情報をネットワークを介して外部(運用管理センター10)に送信することも好適である。ある条件が検出された場合に。メールを外部に送信する仕組みや、HTMLベースでデータを更新する仕組み、等が従来から知られているので、そのような手段を用いれば、自動的に外部(運用管理センター10)に警告や情報を発信することが可能である。
このような機能を備えているので、後述するように、例えば外部の運用管理センター10から定期的又は随時(不定期的)にその情報システムのセキュリティ情報を監視することが可能となる。
(3−2)FWセキュリティアプライアンス
上述した例では、FW/UTMセキュリティアプライアンス202を用いて、統合的なセキュリティを達成することができるが、小規模な企業や団体においては、UTM(統合脅威管理)ほど高度なセキュリティを必要としない場合もある。そのような小規模な企業や団体に対しては、UTMの機能を外した、ファイアーウォールとVPNの機能だけでも、かなりの安全性を実現することができる場合もある。そのよう小規模な企業や団体のために、FW/UTMセキュリティアプライアンス202から、FW以外のUTM機能をOFFにしてもよい。
上述した例では、FW/UTMセキュリティアプライアンス202を用いて、統合的なセキュリティを達成することができるが、小規模な企業や団体においては、UTM(統合脅威管理)ほど高度なセキュリティを必要としない場合もある。そのような小規模な企業や団体に対しては、UTMの機能を外した、ファイアーウォールとVPNの機能だけでも、かなりの安全性を実現することができる場合もある。そのよう小規模な企業や団体のために、FW/UTMセキュリティアプライアンス202から、FW以外のUTM機能をOFFにしてもよい。
(削除)
(4)ユーティリティモジュール
ユーティリティモジュール202a−3は、ネットワークとの接続機能その他の機能を司るモジュールであり、例えば、以下の機能を備えている(図2参照)。
(4)ユーティリティモジュール
ユーティリティモジュール202a−3は、ネットワークとの接続機能その他の機能を司るモジュールであり、例えば、以下の機能を備えている(図2参照)。
・ネットワークのブリッジとハブ装置
・冷却ファン
・アプライアンス用ACコンセント
・Wi-fiセキュリティモジュール(オプション)
ここで挙げた機能は例示であり、これらの機能を全て含むとは限らない。また、本実施の形態で説明する形態以外の形態をとる場合もある。また、オプションとしてWi-fiセキュリティモジュールのみを別体(別の筐体)に構成することもありえるし、同一の筐体に備えさせることもある。
・冷却ファン
・アプライアンス用ACコンセント
・Wi-fiセキュリティモジュール(オプション)
ここで挙げた機能は例示であり、これらの機能を全て含むとは限らない。また、本実施の形態で説明する形態以外の形態をとる場合もある。また、オプションとしてWi-fiセキュリティモジュールのみを別体(別の筐体)に構成することもありえるし、同一の筐体に備えさせることもある。
また、有線接続のためのハブを備えている。このハブの上流ポートは、図2に示す例では、筐体内部に向いており、FW/UTMセキュリティアプライアンス202と接続されている。FW/UTMセキュリティアプライアンス202から出ているLANポートは一般に少ないので、ハブによってより多くのポートに変換する。この増やされた下流ポートは、図2には示されていないが、筐体の外部に向かって設けられており、他のクライアントPCやその企業・団体の情報システムの他の機器に接続することも可能である。この結果、本実施の形態のMFP200は、その企業や団体の情報システムのセンターとしての役割を果たすことができる。
冷却ファン(図2参照)は、ユーティリティモジュール202a−3、及び、FW/UTMセキュリティアプライアンス202を冷却するためのファンである。
アプライアンス用ACコンセントは、FW/UTMセキュリティアプライアンス202に電力を供給するコンセントであるが、他の機器に電力を供給することも好適である。
また、周囲に存在する、無線LANのアクセスポイントを検出する手段(Wi-fiセキュリティモジュール)が設けられている(但し、オプションである)。このような手段を設けておくことによって、周囲のアクセスポイントの有無を確認することができる。なお、Wi-fiセキュリティモジュールは、その名の通り、Wi-fiアクセスポイントを検出する手段であるが、様々な規格の各種無線LANのアクセスポイントを検出可能な手段であり、そのような手段が従来から知られている。このような検出する手段を利用したMSSに関しては後に詳述する。
なお、無線LANのいわゆるアクセスポイントの機能(手段)は、ユーティリティモジュール202a−3には設けることもできるが、基本的には設けられていない。近年、小型で安価のアクセスポイントが広く普及・活用されており、利用者のシステムにすでに設けられている場合が非常に多いためである。しかしながら、設けられるケースもある。
また、USB等のインターフェースを介して、この部分に無線LANのアクセスポイントの機能を外付けで設ける等の処置を行ってもかまわない。
さて、本実施の形態では、ユーティリティモジュール202a−3に、
・ネットワークのブリッジとハブ装置
・冷却ファン
・アプライアンス用ACコンセント
・Wi-fiセキュリティモジュール
の手段・機能が備えられている例を説明したが、実際には利用者の要求によって、必要な手段のみが設けられることになる。利用者によっては、すでにハブ装置は十分にある場合もあり、また、ハードウェアの消費電力次第では、冷却ファンも不要な場合もある。もちろん、ACコンセント等もすでに利用者側の情報システムに十分な数があれば、省くことも好適である。
・ネットワークのブリッジとハブ装置
・冷却ファン
・アプライアンス用ACコンセント
・Wi-fiセキュリティモジュール
の手段・機能が備えられている例を説明したが、実際には利用者の要求によって、必要な手段のみが設けられることになる。利用者によっては、すでにハブ装置は十分にある場合もあり、また、ハードウェアの消費電力次第では、冷却ファンも不要な場合もある。もちろん、ACコンセント等もすでに利用者側の情報システムに十分な数があれば、省くことも好適である。
また、Wi-fiセキュリティモジュールは、原則としてオプションであるが、場合によっては単体で利用すること(Wi-fiセキュリティモジュールのみを含む)もあり得るし、そのような場合も本特許の権利範囲に含まれる。
効果その他
本実施の形態におけるMFP200は、以上のような構成によって、その企業・団体の情報システムのセンターとなることが可能である。
本実施の形態におけるMFP200は、以上のような構成によって、その企業・団体の情報システムのセンターとなることが可能である。
特に、本実施の形態のMFP200は、トレー型筐体202aを用いて、このトレー型筐体202a中にFW/UTMセキュリティアプライアンス202を格納している。したがって、このトレー型筐体202aをMFP200の用紙トレーに格納することにより、場所をとることなく、情報システムのセキュリティを確保することが可能である。
MFP200の他の態様(トレー型、バックパック型、サブユニット型)
上述した例では、用紙トレーの形状をしたトレー型筐体202aを利用する例や、「用紙」用ではない棚状の筐体を利用する例を説明した。
上述した例では、用紙トレーの形状をしたトレー型筐体202aを利用する例や、「用紙」用ではない棚状の筐体を利用する例を説明した。
用紙トレーの形状の筐体を利用すれば、MFP200の用紙トレーの棚にFW/UTMセキュリティアプライアンス202を備えさせることができ、棚状の筐体を利用すれば、MFPの用紙トレー部分に、棚状の筐体を隣接させて設けることが可能である。
したがって、情報セキュリティのために別途セキュリティアライアンス等のコンピュータを設置する必要がなく、中小規模の企業にとってオフィススペースの節約になる。上述したユーティリティモジュール202a−3を備えているので、その企業・団体の他のコンピュータをこのMFP200のハブ装置等に接続して運用することが可能である。同様に、無線LANのルーター等の機能を備えているので、無線で他のクライアントコンピュータを接続することができる。
・バックパック型
一方、このFW/UTMセキュリティアプライアンス202は、MFP200の背面に設置しておくことも好適である。上述したように、本実施の形態に係るFW/UTMセキュリティアプライアンス202は1Uのサイズであるので、MFP200の背面に設けてもMFP200の奥行きはそれほど増えないからである。
一方、このFW/UTMセキュリティアプライアンス202は、MFP200の背面に設置しておくことも好適である。上述したように、本実施の形態に係るFW/UTMセキュリティアプライアンス202は1Uのサイズであるので、MFP200の背面に設けてもMFP200の奥行きはそれほど増えないからである。
図3には、このような考えに基づき、FW/UTMセキュリティアプライアンス202をバックパック型筐体に格納して、MFP200の背面に設けた例が示されている。 トレー型の場合は、フロントベゼル202a−2が、用紙トレーの前面とほぼ同形状に形成されており、まさに用紙トレーと同様にMFP200に取り付けられていたが、バックパック型筐体の場合は、用紙トレーではなく、フロントベゼル202a−2は通常の箱形の電子機器の前面操作部としての形状をなしており、かつ、MFP200の背面に取り付けやすい形状をしている。このようなバックパック型筐体を図3では特に、バックパック型筐体202bと呼ぶが、形状が異なるだけであり、1Uシャシーを備える点等の内容的・機能的には、トレー型筐体202aと同様である。
図3に示されている例では、バックパック型筐体202bに、FW/UTMセキュリティアプライアンス202を格納して、MFP200の背面に設置している。背面に設けることによって、機器の背面にケーブルを沿わせることが容易となる。したがって、バックパック型筐体202bを利用する場合は、背面に沿わせたケーブルで他の機器との間の接続を行うことが好適である。
・サブユニット型
また、このFW/UTMセキュリティアプライアンス202は、MFP200に隣接させて設置しておくことも好適である。上述したように、本実施の形態に係るFW/UTMセキュリティアプライアンス202は1Uのサイズであり、比較的小型の筐体(サブユニット型筐体と呼ぶ)に収納して、MFP200の隣に配置しても、大きな専有面積を必要としないと考えられる。
また、このFW/UTMセキュリティアプライアンス202は、MFP200に隣接させて設置しておくことも好適である。上述したように、本実施の形態に係るFW/UTMセキュリティアプライアンス202は1Uのサイズであり、比較的小型の筐体(サブユニット型筐体と呼ぶ)に収納して、MFP200の隣に配置しても、大きな専有面積を必要としないと考えられる。
図4には、このような考えに基づき、FW/UTMセキュリティアプライアンス202をサブユニット型筐体202cに格納して、MFP200の背面に設けた例が示されている。この場合、フロントベゼル202a−2は通常の箱形の電子機器のフロント部分と同様である。一般的には、各種操作部が設けられることになるが、図4では省略して図示してはいない。このようなサブユニット型筐体202cは、形状が異なるだけであり、1Uシャシーを備える点等の内容的・機能的には、トレー型筐体202aと同様である。
なお、このサブユニット型筐体202cは、請求の範囲のサブ筐体の好適な一例に相当する。
図4に示されている例では、サブユニット型筐体202cに、FW/UTMセキュリティアプライアンス202を格納して、MFP200に隣接して設置している。サブユニット型筐体202cを利用する場合は、所定のケーブルで他のMFP200の間の接続を行うことが好適である。
いずれの場合も、FW/UTMセキュリティアプライアンス202は、Wi-fiセキュリティモジュール単体になる場合もある。
いずれの場合も、FW/UTMセキュリティアプライアンス202は、Wi-fiセキュリティモジュール単体になる場合もある。
他のOA機器
上述した例ではFW/UTMセキュリティアプライアンス202を備えたMFP200(複合機)を説明したが、複合機に限られず、いわゆる複写機(コピー機)であっても好適であり、また、複写機の他、プリンタ、FAX装置、パーソナルコンピュータ、PBXやキーテレホンなどの電話関連装置、NAS(Network Attached Storage)、でもよい。またオフィス内又はその近傍に設置されるいわゆるOA機器であれば、どのようなものでも利用することができる。
上述した例ではFW/UTMセキュリティアプライアンス202を備えたMFP200(複合機)を説明したが、複合機に限られず、いわゆる複写機(コピー機)であっても好適であり、また、複写機の他、プリンタ、FAX装置、パーソナルコンピュータ、PBXやキーテレホンなどの電話関連装置、NAS(Network Attached Storage)、でもよい。またオフィス内又はその近傍に設置されるいわゆるOA機器であれば、どのようなものでも利用することができる。
特に、用紙トレー等を挿入できる「棚」部分があっても良いし、無くても構わない。用紙トレーが収納できれば、用紙トレー型筐体202aを利用することができるが、用紙トレーがない場合でも、棚状の筐体を利用して、底面や上面に積み重ねる形で取り付けることが好ましい。
例えば、コピー機やFAX装置等のOA機器が特に好ましい機器の一例に相当するが、他のOA機器でも十分に利用可能である。
請求の範囲のOA機器とは、このようにオフィス内又はその近傍に設置される各種のOA機器を含む概念である。
セキュリティサービス
このようにMFP200を導入することによって、不正なアクセス等を検出することができ、その結果、情報セキュリティを達成することができる。
このようにMFP200を導入することによって、不正なアクセス等を検出することができ、その結果、情報セキュリティを達成することができる。
すなわち、
・ファイアーウェールによるセキュリティを達成できる。
・ファイアーウェールによるセキュリティを達成できる。
・UTMが導入されている場合は、それによって複合的なセキュリティを達成することができる。
・Wi-fiセキュリティモジュールによって、周囲のアクセスポイントの有無を知ることができる。特に本実施の形態のWi-fiセキュリティモジュールは、周囲のアクセスポイントの有無を内部にログとして記録するので、その内容を管理者が見ることによって、不正なアクセスポイントの有無を確認することが可能である。
なお、Wi-fiセキュリティモジュールは、周囲のアクセスポイントを検出するが、そのWi-fiセキュリティモジュールが検出したアクセスポイントの中から、不正なアクセスポイント等を、運用管理センター側で判断することができる。
なお、Wi-fiセキュリティモジュールは、周囲のアクセスポイントを検出するが、そのWi-fiセキュリティモジュールが検出したアクセスポイントの中から、不正なアクセスポイント等を、運用管理センター側で判断することができる。
また、いわゆるステルスのアクセスポイントの場合は、不正なアクセスポイントであるか否かの判断が困難な場合が多いが、本実施の形態では、運用管理センター側でこのようなステルスアクセスポイントが正当なものであるか否かの判断を行うことができる。
また、このWi-fiセキュリティモジュールは、外部の運用管理センター10からの問い合わせによって、それまでに記録したログや、その時点において検出されている周囲のアクセスポイントに関する情報を外部にネットワークを介して提供する機能も有している。また、定期的に、ログデータやその時点において検出されている周囲のアクセスポイントに関する情報を外部にネットワークを介して自発的に提供する機能も有している。
また、このWi-fiセキュリティモジュールは、外部の運用管理センター10からの問い合わせによって、それまでに記録したログや、その時点において検出されている周囲のアクセスポイントに関する情報を外部にネットワークを介して提供する機能も有している。また、定期的に、ログデータやその時点において検出されている周囲のアクセスポイントに関する情報を外部にネットワークを介して自発的に提供する機能も有している。
このような機能は、一般的なコンピュータとソフトウェアで実現可能である。定期的に所定の情報を外部に送る動作は、一般的なコンピュータで行われていることであり、また、問い合わせがあるたびに(不定期に)情報を送る動作も、一般的なコンピュータで行われていることであり、当業者であれば実現可能である。
したがって、次に述べるように、外部の運用管理センター10からこのMFP200にアクセスすることによって、利用者側の情報システムの監視を行うことが好適である。すなわち、従来の技術の欄で説明したように、標的形攻撃等、種々の脅威が存在する現在では、MSS(マネージメントセキュリティサービス)を利用することが好ましい。そこで、次章では、MFP200を用いたMSSの利用に関して述べる。
第2章 MSSの提供
2−1a:MFP200の導入とMSSの提供
上で述べたように、本実施の形態で提案したMFP200には各種通信機能が備えられているため、小規模な企業・団体等においては、このMFP200を中心として情報システムを構築することが可能である。
2−1a:MFP200の導入とMSSの提供
上で述べたように、本実施の形態で提案したMFP200には各種通信機能が備えられているため、小規模な企業・団体等においては、このMFP200を中心として情報システムを構築することが可能である。
しかしながら、上述したように、小規模な企業等では、IT管理者が不在の場合も多い。その結果、MFP200といういわゆる「セキュリティハードウェア」をいれただけの状態になりがちである。すなわち、外部からの不正侵入があった場合や、許可されていないアクセスが生じた場合でも、それに対して適切な処理をすることができない場合も想定された。
2−1b:本実施の形態におけるパッケージ化
そこで、本実施の形態では、MSSのサービスをパッケージ化して利用者に提供している。このようなパッケージ化によれば、上述した「カスタマイズ」が不要となるため、MSSのサービスの低コスト化を図ることができ、中小企業等でもMSSを導入することが可能となる。その結果、図6等で示したいわゆるPDCAサイクルを回すことが可能となり、情報システムのセキュリティを極めて良好に維持・管理することが可能となる。
そこで、本実施の形態では、MSSのサービスをパッケージ化して利用者に提供している。このようなパッケージ化によれば、上述した「カスタマイズ」が不要となるため、MSSのサービスの低コスト化を図ることができ、中小企業等でもMSSを導入することが可能となる。その結果、図6等で示したいわゆるPDCAサイクルを回すことが可能となり、情報システムのセキュリティを極めて良好に維持・管理することが可能となる。
なお、ここで言うカスタマイズとは、各利用者が使用している機器も特殊な場合があり、提供するMSSのサービスも企業の要求に合わせた監視方法や、企業の要求に合わせた監視体制を採用しなければならない場合を主に意味している。
2−2:パッケージ化
従来のMSSではいわゆる利用者ごとに「カスタマイズ」をしていた。これは利用者ごとに全く異なる情報システムを構築しているからである。しかし、上で提案したMFP200は、小規模な企業・団体向けの複合機であり、その企業等の情報システムのセンターとなり得るものである。したがって、このMFP200の導入に際して、合わせてMSSを提供する場合は、情報システムとしてMFP200を中心としたものであるので、このMFP200の構成に基づいてパッケージ化したソフトウェア及びサービスを提供することが好適であると本願発明者は考えた。
従来のMSSではいわゆる利用者ごとに「カスタマイズ」をしていた。これは利用者ごとに全く異なる情報システムを構築しているからである。しかし、上で提案したMFP200は、小規模な企業・団体向けの複合機であり、その企業等の情報システムのセンターとなり得るものである。したがって、このMFP200の導入に際して、合わせてMSSを提供する場合は、情報システムとしてMFP200を中心としたものであるので、このMFP200の構成に基づいてパッケージ化したソフトウェア及びサービスを提供することが好適であると本願発明者は考えた。
本実施の形態において特徴的なことは、MFP200とともに、カスタマイズではなく、あらかじめMFP200に合わせてパッケージ化したソフトウェア及びサービスによって、MSSを利用者に提供したことである。
このようにパッケージ化することによって、直接的には低コストでMSSを利用者に提供できるという効果を奏する。その他、下記のような効果を奏する。
(1)MFP200の導入とともに、その仕様に合致したソフトウェア及びサービスによるMSSを導入することができるので、安定したシステムを最初から得られやすいというメリットがある。
これまで、MSSはカスタマイズを行うことが通例であった。カスタマイズの意義・内容は、上記2−1bで述べたとおりである。
このような、カスタマイズの作業が必要となる場合は、一定の納期・作業期間が必要であり、さらに、システムの不具合が発生することがあるので、いわゆるデバッグや、問題点の洗い出し等の一定の作業が必要となり、システムが安定して稼働するまでに時間がかかる場合もあった。これに対して、パッケージ化されたソフトウェアを用いれば、作業期間等が大幅に短くなるとともに、安定したシステムが得られやすい。
(2)また、MFP200を導入しようとする小規模の企業等では、IT管理者がいないか、いる場合でもセキュリティに対する高度の見識が不足している場合がある。そのような場合でも、MFP200と合わせて、UTM等をあらかじめ備えたMSSの提供を受けることによって、セキュリティの技術的な知識がなくても、容易に情報システムのセキュリティを確立できるというメリットがある。一般に、インターネット等の通信インフラが必要であり、それにスマートデバイスが種々接続しうる環境では、いわゆるモバイルセキュリティや、クラウドセキュリティが必要であることは多くの人が認識するところであるが、それらを実現するためには高度な知識が必要となることが多い。
そこで、本実施の形態では、MFP200を導入し、アプライアンスの設定をパッケージ化してMSSを提供しているので、たとえ利用者側に高度の知識がなくても、モバイルセキュリティやクラウドセキュリティなどがあらかじめ設定された環境を最初から得ることが可能である。
そこで、本実施の形態では、MFP200を導入し、アプライアンスの設定をパッケージ化してMSSを提供しているので、たとえ利用者側に高度の知識がなくても、モバイルセキュリティやクラウドセキュリティなどがあらかじめ設定された環境を最初から得ることが可能である。
(3)上と同様に、MFP200を導入しようとする小規模の企業等では、IT管理者がいないか、いる場合でもセキュリティに対する高度の見識が不足している場合がある。そのため、セキュリティに対する理解が困難な場合もある。その点、MFP200と合わせて、UTM等をあらかじめ備えたMSSの提供を受けることによって、いわば一体として情報セキュリティが確立できるため、利用者にとってよりわかりやすいソリューションを提示・提供を行うことが可能となる。
このように、MFP200を導入し、アプライアンスの設定をパッケージ化してMSSを提供しているので、利用者は低コストで高品質なMSSサービスを受けることができる。
2−3:パッケージ化の内容
本実施の形態では、このMFP200とともに導入され、アプライアンスの設定をパッケージ化してサービスを提供している。この提供するサービスをベースパッケージと呼ぶ。
本実施の形態では、このMFP200とともに導入され、アプライアンスの設定をパッケージ化してサービスを提供している。この提供するサービスをベースパッケージと呼ぶ。
なお、ここでいうサービスは、運用管理センター10が提供するサービスであるが、コンピュータが自動的に実行するサービスの他、担当者が行うサービスも含まれうる。例えば、セキュリティ障害が発生した(又は発生する恐れがある)場合の警告・報告メールは、コンピュータが自動的にメールを送信することが迅速で好ましい。同様に、CPU稼働率が○○%以上になった場合の警告等も、コンピュータが自動的に判断して、利用者にメール等で通知することが好適である。ベースパッケージには、その他、担当者がセキュリティに関する問い合わせに対応したり、アドバイスをす等の人によるサービスも含まれうる。
また、ベースパッケージに含まれる上記サービスを「ベースサービス」と呼ぶ。
このベースパッケージは、これまでのカスタマイズされたMSSで利用されていたソフトウェアやサービスと比べて以下のような特徴がある。ここでいうカスタマイズとは、上述したチューニングも含まれる。チューニングとは、危険であると判断するしきい値をどのような値にするか、等の調整もチューニングと呼ぶことは上述の通りである。
(a)監視対象
ベースパッケージでは、監視対象は特定のセキュリティデバイスであり、具体的にはUTMと、Wi-fiのアクセスポイントに限定されている。
ベースパッケージでは、監視対象は特定のセキュリティデバイスであり、具体的にはUTMと、Wi-fiのアクセスポイントに限定されている。
一方、カスタマイズ(主にチューニングを意味する、以下、チューニングと呼ぶ)されたMSSでは、監視対象は利用者の任意の機器を指定することができ、種々の各社のルーターやファイアーウォール、各種サーバ、各種クライアント機器等、を監視対象とすることができる。
(b)リソース監視
ベースパッケージでは、どのデバイスに対しても、リソース監視のための閾値として一定の値が採用されている。すなわち、どのデバイスにおいても、CPUは稼働率90%以上でアラートが出る。どのデバイスにおいても、3回連続してPingに応答しない場合はアラートが出る、等である。これらの数値はいずれも例示であり、本発明の権利範囲はこれらの数値には限定されない。
ベースパッケージでは、どのデバイスに対しても、リソース監視のための閾値として一定の値が採用されている。すなわち、どのデバイスにおいても、CPUは稼働率90%以上でアラートが出る。どのデバイスにおいても、3回連続してPingに応答しない場合はアラートが出る、等である。これらの数値はいずれも例示であり、本発明の権利範囲はこれらの数値には限定されない。
また、ベースパッケージにおけるリソース監視では、特定の項目のみ監視を行っている。本実施の形態では、CPU稼働率、メモリー利用率、Disk利用率、セッション数、Pingに対する応答の有無のみを監視している。
一方、チューニングされたMSSでは、ユーザ毎、デバイス毎に、リソース監視のための任意の閾値を設定可能である。例えば、あるデバイスにおけるリソース監視では、CPUは稼働率80%以上でアラートが出るが、他のデバイスではCPU稼働率が90%以上でアラートが出る、等である。また、あるデバイスは、LAN上で応答期間が3秒でタイムアウトのエラーとみなすが、他のデバイスでは応答期間が30秒でタイムアウトエラーと見なすことができる。また、Pingに応答しない回数に応じてアラートを発生する場合に、各デバイス毎にその回数を設定することができる等である。
また、チューニングされたMSSでは、ユーザが指定した項目のリソース監視を行うことができる。例えば、CPU稼働率、メモリー利用率の他に、電源や、冷却ファン等のハードウェアのステータスを監視項目に入れることができる。また、特定のプロセスが正常起動しているかどうか等のソフトウェア関連のステータスを監視項目に入れることができる。
(c)セキュリティアラート設定
ベースパッケージにおけるセキュリティアラートは、一律の定型ルールを適用している。例えば、ファイアーウォールへのログイン失敗や、DMZからの内部への通信失敗、内部からインターネットへの主要ポート以外の通信、など、事前に定義した定型ルールのみを適用し、セキュリティアラートを発生させている。
アラートは、ローカルで(例えば、上述したMFP200内部のアライアンスが)発生する場合もあるし、また、運用管理センター10から発生させる場合もある。これによって利用者にお知らせを行うのである。
ベースパッケージにおけるセキュリティアラートは、一律の定型ルールを適用している。例えば、ファイアーウォールへのログイン失敗や、DMZからの内部への通信失敗、内部からインターネットへの主要ポート以外の通信、など、事前に定義した定型ルールのみを適用し、セキュリティアラートを発生させている。
アラートは、ローカルで(例えば、上述したMFP200内部のアライアンスが)発生する場合もあるし、また、運用管理センター10から発生させる場合もある。これによって利用者にお知らせを行うのである。
一方、チューニングされたMSSでは、上記定型ルールに加えて、ユーザ環境に適したルールを設定している。例えば、ユーザが指定する特定通信(P2P等)の監視、特定の送信元からの通信監視などを行ってセキュリティアラートを出力することができる。また、例えば、平均的なログの出力数を常に計測しており、指定時間内でN回数以上のログが出力された場合(つまり、大量の通信が発生した場合)を検知して、セキュリティアラートを出力する。また、例えば、ファイアーウォールのログだけでなく、Syslog上でのユーザ指定の特定の文字列(OSによって異なるが、インターフェースダウンや、HDD障害等を示すエラー文字列)を検知してセキュリティアラートを出力することができる。
(d)セキュリティインシデント対応
ベースパッケージにおけるセキュリティインシデントの対象は、クリティカルレベルのアラートのみである。
ベースパッケージにおけるセキュリティインシデントの対象は、クリティカルレベルのアラートのみである。
そして、セキュリティインシデントに対する対処は、そのアラートの内容に即して対応するが、あらかじめ決められた範囲での対応となる。例えば、ファイアーウォールの設定変更は行うが、サーバの設定変更はユーザに対する指示のみを行う。また、SLA(Service Level Agreement:サービスレベルに関する合意、サービス品質保証契約)としてクリティカルレベルのインシデントには4時間以内の対応としている。
一方、チューニングされたMSSでは、クリティカルレベルだけでなく、利用者が要求するレベルのアラートを対象としている。
そして、セキュリティインシデントに対する対処は、そのアラートの内容に即して対応を行い、かつ、ユーザの要望に応じてカスタマイズした処理で対応する。例えば、ファイアーウォールの設定変更を行い、かつ、サーバの設定変更も行う。また、SLAとしてクリティカルレベルのインシデントには、ユーザと調整した時間(例えば2時間以内)で対応することにしている。
2−4 パッケージ化のメリット
このようにパッケージ化を行えば、利用者毎にカスタマイズやチューニングを行う場合に比べて作業量が大幅に減るため、その結果コストを低減することが可能である。また、あらかじめパッケージ化が行われているため、カスタマイズを行う等のこれまでのMSSで必要であった作業が不要となるため、その分、稼働までの期間を短くすることができる。
このようにパッケージ化を行えば、利用者毎にカスタマイズやチューニングを行う場合に比べて作業量が大幅に減るため、その結果コストを低減することが可能である。また、あらかじめパッケージ化が行われているため、カスタマイズを行う等のこれまでのMSSで必要であった作業が不要となるため、その分、稼働までの期間を短くすることができる。
本実施の形態においては、MFP200を、利用者の情報システムのセンターとして導入することを前提としたので、ハードウェアがある程度固定された結果、上記のようなパッケージ化が可能となったものである。
パッケージ化とは、MFP200の機能・構成に合わせてあらかじめ機能を決めて構築しておくことであり、MSSを定形化しておくことによって、作業工程の簡易化や低コスト化を図ることができる。つまり、MFP200の機能・構成に合わせてあらかじめ提供するサービスが決められているので、運用管理センター10から通知する内容や種別、頻度等をあらかじめ設定すること(固定すること)ができ、円滑なMSSの提供を容易に実現することができる。特に、サービス内容があらかじめ決められていれば、サービスの提供に誤りが生じる可能性を減らすことができ、より高品質なMSSのサービスを提供できることが期待され、利用者にとってメリットが大である。
2−5 チューニングの可能性
なお、利用者が最初はパッケージ化されたMSSを望んでいた場合でも、より細かい内容を設定するチューニングを希望してくる場合も考えられる。この場合は、もちろんベースパッケージに含まれるソフトウェアやサービスを、従来と同様に適宜チューニングしていくことが好適である。
なお、利用者が最初はパッケージ化されたMSSを望んでいた場合でも、より細かい内容を設定するチューニングを希望してくる場合も考えられる。この場合は、もちろんベースパッケージに含まれるソフトウェアやサービスを、従来と同様に適宜チューニングしていくことが好適である。
2−6 ベースパッケージを利用したMSSのサービスの提供
さて、このように本実施の形態では、MFP200をその利用者の情報システムのセンターとして機能させて、そのMFP200に合わせてパッケージ化したMSSのサービスを提供することを提案した。このMSSのサービス提供の全体図は図5に示されている。
さて、このように本実施の形態では、MFP200をその利用者の情報システムのセンターとして機能させて、そのMFP200に合わせてパッケージ化したMSSのサービスを提供することを提案した。このMSSのサービス提供の全体図は図5に示されている。
この提供においては、第1のステップで、セキュリティ機器の導入、すなわちMFP200の導入が行われる。次に、この機器の稼働監視が運用管理センター10(図7)から行われ、障害が生じた場合には障害からの復旧の連絡等が行われる。さらにステップ3においては、攻撃(イベント)の監視や分析及びそれに対する対応処理が行われる。
その後、いわゆるPDCAサイクルを回すことができ、情報システムの良好のセキュリティを確保することが可能である。
なお、このようなMSS(マネージメントセキュリティサービス)は、請求の範囲のセキュリティサービスの好適な一例に相当する。
第3章 追加パッケージ
3−1:ベースパッケージへの追加パッケージ
上では、MSSのソフトウェア及びサービスを、パッケージ化して提供することを説明した。
3−1:ベースパッケージへの追加パッケージ
上では、MSSのソフトウェア及びサービスを、パッケージ化して提供することを説明した。
このパッケージ化を行うことのメリットの一つが上述したように「わかりやすさ」が挙げられる。本願発明者らは、このようなわかりやすさを推し進めるために、上記ベースパッケージのソフトウェア及びサービスに加えて、下記のような追加パッケージ(ソフトウェア及びサービス)を利用者に提示している。
・スマートデバイス向けのパッケージ
・モバイルデバイス向けのパッケージ
・クラウドセキュリティのパッケージ
このように、対象ごとにパッケージ化することによって、利用者にとってより一層「わかりやすい」MSSを提供することが可能となる。
・モバイルデバイス向けのパッケージ
・クラウドセキュリティのパッケージ
このように、対象ごとにパッケージ化することによって、利用者にとってより一層「わかりやすい」MSSを提供することが可能となる。
本実施の形態では、上記ベースパッケージによるMSSのサービスを「第1段階」と呼び、追加パッケージを、第2段階、第3段階、・・・と呼ぶ。
第4章 Wi-fiセキュリティのパッケージ(オプション)
上述したWi-fiセキュリティパッケージは、一般的には、追加のパッケージとしてオプションとして提供することが好適である。しかし、近年Wi-fiのが広く利用されており、その利用価値は高いと言えよう。例えば、ベースパッケージに加えて、オプションのWi-fiセキュリティパッケージ最初から加えて導入することも好ましい。
4−1 Wi-fiセキュリティの重要性
例えば、近年、Wi-Fi接続が広く利用されている。公衆の場においても、無料でWi-Fiのアクセスポイント提供されている場合がある。例えば飲食店食店や喫茶店が店内でWi-Fi接続のアクセスポイントを設けている場合があり、また、空港のラウンジにおいてWi-Fi接続がアクセスポイントが設置されている場合も多い。このようなWi-Fi接続を利用するには、そのネットのSSIDと、(もし必要であれば)パスワードを知る必要がある。
上述したWi-fiセキュリティパッケージは、一般的には、追加のパッケージとしてオプションとして提供することが好適である。しかし、近年Wi-fiのが広く利用されており、その利用価値は高いと言えよう。例えば、ベースパッケージに加えて、オプションのWi-fiセキュリティパッケージ最初から加えて導入することも好ましい。
4−1 Wi-fiセキュリティの重要性
例えば、近年、Wi-Fi接続が広く利用されている。公衆の場においても、無料でWi-Fiのアクセスポイント提供されている場合がある。例えば飲食店食店や喫茶店が店内でWi-Fi接続のアクセスポイントを設けている場合があり、また、空港のラウンジにおいてWi-Fi接続がアクセスポイントが設置されている場合も多い。このようなWi-Fi接続を利用するには、そのネットのSSIDと、(もし必要であれば)パスワードを知る必要がある。
しかしながら、その一方、このような公衆の場におけるWi-Fi接続には、一定の危険性があると言われており、公衆のWi-Fiのアクセスポイントにおける通信は十分注意をする必要があると考えられている。
また、近年、標的型攻撃とよばれる攻撃手法が注目されている。この攻撃はいわゆるサイバー攻撃の一種であるが、特定の対象を目的としたより悪意の強い攻撃である。特に、上記のようなWi-Fi接続を介して、標的型攻撃が行われる場合もあると言われている。
そのため、利用者にとって、オプションとして、本実施の形態のWi-Fiに関するセキュリティ(Wi-Fiパッケージ)を導入することは十分に価値あることと考えられる。
4−2 Wi-Fiパッケージ
第4章では、オプションのパッケージの一例として、Wi-Fiパッケージを説明する。例えば、小規模な飲食店や喫茶店で、情報システムを構築した場合、店舗の利用者に対してWi-Fiサービスを提供しようとすることは、近年非常に増えている。その場合に、その飲食店・喫茶店では、オプションのパッケージとして、Wi-Fiパッケージを導入すれば、いわゆるスニッフィングを発見することができ、不正のアクセス、接続を発見し、除去することが可能である。以下、詳述する。
第4章では、オプションのパッケージの一例として、Wi-Fiパッケージを説明する。例えば、小規模な飲食店や喫茶店で、情報システムを構築した場合、店舗の利用者に対してWi-Fiサービスを提供しようとすることは、近年非常に増えている。その場合に、その飲食店・喫茶店では、オプションのパッケージとして、Wi-Fiパッケージを導入すれば、いわゆるスニッフィングを発見することができ、不正のアクセス、接続を発見し、除去することが可能である。以下、詳述する。
(1)ハードウェア
ハードウェア的には、上述したユーティリティモジュール202a−3中に、Wi-Fiのアクセスポイント(その他各種規格の無線LANのアクセスポイント)を検出する機能を実装させている。周囲のWi-Fiのアクセスポイントを検出する機能は、一般的なパソコン等にも備えられており、実装は当業者であれば容易である。周囲のWi-Fiのアクセスポイントを、その強度等も含めて検出するハードウェアやソフトウェアも知られているので、これを応用すれば、周囲のアクセスポイントに関する情報(強度や周波数その他)を、運用管理センターに送る手段を構築することは当業者であれば容易である。
ハードウェア的には、上述したユーティリティモジュール202a−3中に、Wi-Fiのアクセスポイント(その他各種規格の無線LANのアクセスポイント)を検出する機能を実装させている。周囲のWi-Fiのアクセスポイントを検出する機能は、一般的なパソコン等にも備えられており、実装は当業者であれば容易である。周囲のWi-Fiのアクセスポイントを、その強度等も含めて検出するハードウェアやソフトウェアも知られているので、これを応用すれば、周囲のアクセスポイントに関する情報(強度や周波数その他)を、運用管理センターに送る手段を構築することは当業者であれば容易である。
また、運用管理センターのコンピュータから適宜問い合わせを発し、それに対して、周囲のアクセスポイントに関する情報(強度や周波数その他)を返信するような手段を構築することも好適である。ネットワークを介して遠隔地に問い合わせを行い、その問い合わせに応じて、その遠隔地の情報を返信する装置は、例えば気象観測その他で広く利用されているので、当業者であれば、アクセスポイントに関する情報を返信する装置を構築することは容易である。また、定期的に問い合わせを行う装置も知られているので、そのような装置(コンピュータ)を運用管理センター10に備えさせておくことも好適である。なお、操作者が適宜(不定期に)問い合わせを行って情報を取得することも好適である。
またさらに、上述したように、ユーティリティモジュール202a−3(図2)中には、各種の機能が含まれているが、それぞれの機能はモジュール化されており、利用者に合わせて必要な手段を搭載することが可能である。
(2)ソフトウェア、サービス
上記のようなWi-Fiのアクセスポイントを検出する機能(Wi-fiセキュリティモジュール:図2参照)が、MFP200に備えられているので、リモートサービスによって、利用者の情報システム中のMFP200の周囲に利用可能なWi-Fiのアクセスポイントの有無を監視することが可能である。本実施の形態において特徴的なことは、利用者のWi-Fiのアクセスポイントの周囲に不正なアクセスポイントが設けられていないかどうかをリモートサービスによって検知している点である。
上記のようなWi-Fiのアクセスポイントを検出する機能(Wi-fiセキュリティモジュール:図2参照)が、MFP200に備えられているので、リモートサービスによって、利用者の情報システム中のMFP200の周囲に利用可能なWi-Fiのアクセスポイントの有無を監視することが可能である。本実施の形態において特徴的なことは、利用者のWi-Fiのアクセスポイントの周囲に不正なアクセスポイントが設けられていないかどうかをリモートサービスによって検知している点である。
具体的な態様としては、運用管理センター10側のコンピューターが定期的(又は不定期的に、随時)に問い合わせを自動的にMFP200に送信し、これに対して、MFP200内のWi-fiセキュリティモジュールが周囲のWi-fiアクセスポイントを検出して、その検出結果(Wi-fiアクセスポイントに関する情報と呼ぶ)を運用管理センター10に送信することが好適である。
この場合、MFP200のWi-fiセキュリティモジュールが、定期的に自発で周囲のWi-fiアクセスポイントの検出結果(Wi-fiアクセスポイントに関する情報)を、運用管理センター10に対して送信することも好適である。また、定期的な送信だけでなく、周囲で検出されたWi-fiアクセスポイントに関する情報に変化が生じた場合に、その都度、更新されたWi-fiアクセスポイントに関する情報を、運用管理センター10に送信することも好適である。
したがって、このようなMSSの監視サービスによって、利用者である飲食店や喫茶店でWi-Fiサービスを提供している場合に、不正なアクセスポイントが設けられているかどうかを知ることができ、利用者に報告を行うことが可能である。
このようなWi-fiパッケージのみからなるベースパッケージでは、この不正なアクセスポイントが見つかった場合には、その旨がメール及び電話で利用者に通知される。この通知には、不正なアクセスポイントがある範囲や不正なアクセスポイントの見つけ方等を含めることが好ましい。この結果、その飲食店を訪れた顧客の秘密情報の漏洩を防止することができ、飲食店や喫茶店に対する顧客の満足度の向上に寄与するものである。
なお、メールに関しては、運用管理センター10のコンピュータで自動的に送信するように構成することが迅速性の観点から好適である。ある条件が満たされた場合にメールを送る装置は知られているので、そのような仕組みを利用すれば、運用管理センター10から自動的にメールを送ることが可能である。
(3)空港ラウンジ
例えば、ホテルのロビーや、空港のラウンジ等において、一般公衆向けにSSIDやパスワード等を公開して、自由にWi-fiを使用できる場所を設けることが近年増えている。このような公衆向けのWi-fiサービスの場合、所定の条件で不正なアクセスポイントを見つけ出す仕組みとすることが好適である。また、公衆向けWi-fiサービスの場合はカバーするエリアが一般に非常に広いので、例えば検出センサの数を増やす等の対応をすることが好ましい。そのアクセスポイントが不正なポイントであるか否かを発見する手法は種々知られている。それらの手法は、精度の高いものもあれば、精度の低いものもある。
例えば、ホテルのロビーや、空港のラウンジ等において、一般公衆向けにSSIDやパスワード等を公開して、自由にWi-fiを使用できる場所を設けることが近年増えている。このような公衆向けのWi-fiサービスの場合、所定の条件で不正なアクセスポイントを見つけ出す仕組みとすることが好適である。また、公衆向けWi-fiサービスの場合はカバーするエリアが一般に非常に広いので、例えば検出センサの数を増やす等の対応をすることが好ましい。そのアクセスポイントが不正なポイントであるか否かを発見する手法は種々知られている。それらの手法は、精度の高いものもあれば、精度の低いものもある。
本願発明者は、より精度の高い検出方法を、開発しているが、それは本願の「MSSの提供に関するビジネスモデル特許」とは別の「検出方法」の特許として特許出願を予定している。
4−3:そのほかの追加パッケージ
また、例えば、第2段階のオプションとして、「捜索サービスパッケージ」を設けることも好適である。この第2段階の「捜索サービスパッケージ」は、運用管理センター10の担当者が利用者の情報システムに出向いて、実際に不正のアクセスポイントを探しだし、除去するサービスである。
また、例えば、第2段階のオプションとして、「捜索サービスパッケージ」を設けることも好適である。この第2段階の「捜索サービスパッケージ」は、運用管理センター10の担当者が利用者の情報システムに出向いて、実際に不正のアクセスポイントを探しだし、除去するサービスである。
多数の店舗が軒を連ねる複合型商業施設(ショッピングモールと呼ぶ)が広く開発されている。このようなショッピングモールでは、セール品の案内やイベントの案内をスマートデバイス向けに発信するサービスが広く行われている。多くの場合そのようなサービスはWi-Fiサービスを用いて行われている。
そのような店舗が利用者である場合にも、本実施の形態にかかる追加のWi-Fiパッケージを用い、さらに第2段階のオプションである「捜索サービスパッケージ」によれば、不正なアクセスポイントを発見できるMSSのサービスを利用することができる。このような喫茶店等は一般に小規模な場合が多く、本実施の形態で説明してきたMFP200を導入する対象となる利用者である場合が多い。
第5章 本実施の形態のバリエーション
(1)上述した実施の形態では、1Uラック型オープンシャシー202a−1を利用した(図2)。そして、このシャシーにはFW/UTMセキュリティアプライアンス202を格納したが、他の機器を格納することも好適である。ストレージを補充したい場合は、ハードディスク等を格納することも好適であり、追加のHUB装置等を入れることも好適である。また、上述した実施の形態では、主としてMFP200を説明したが、他の機器として、NAS(Network Attached Storage)を利用することも好適である。
(1)上述した実施の形態では、1Uラック型オープンシャシー202a−1を利用した(図2)。そして、このシャシーにはFW/UTMセキュリティアプライアンス202を格納したが、他の機器を格納することも好適である。ストレージを補充したい場合は、ハードディスク等を格納することも好適であり、追加のHUB装置等を入れることも好適である。また、上述した実施の形態では、主としてMFP200を説明したが、他の機器として、NAS(Network Attached Storage)を利用することも好適である。
また、上述した実施の形態では、1Uラック型オープンシャシー202a−1を利用したが(図2)、1/2のハーフハイトのシャシーや2Uのラック型シャシーを利用することも好ましい。
このように、本実施の形態では、コンピュータラックのシャシーを設けたトレー型筐体を利用したので、シャシーに取り付け可能な機器をMFP200に取り付けることができるという柔軟性を有している。
10 運用管理センター
12 利用者側ネットワーク
12a DMZサーバ群
12a1 Webサーバ
12a2 メールサーバ
12a3 FTPサーバ
12a4 DNSサーバ
12b ファイアーウォール
14 内部セグメント
14a、14b、14c、14d クライアント端末
20 インターネット
200 MFP(複合機)
202 FW/UTMセキュリティアプライアンス
202a トレー型筐体
202a−1 1Uラック型オープンシャシー
202a−2 フロントベゼル
202a−3 ユーティリティモジュール
202b バックパック型筐体
202c サブユニット型筐体
12 利用者側ネットワーク
12a DMZサーバ群
12a1 Webサーバ
12a2 メールサーバ
12a3 FTPサーバ
12a4 DNSサーバ
12b ファイアーウォール
14 内部セグメント
14a、14b、14c、14d クライアント端末
20 インターネット
200 MFP(複合機)
202 FW/UTMセキュリティアプライアンス
202a トレー型筐体
202a−1 1Uラック型オープンシャシー
202a−2 フロントベゼル
202a−3 ユーティリティモジュール
202b バックパック型筐体
202c サブユニット型筐体
Claims (20)
- 外部ネットワークとの接続手段を備えたOA機器において、
ゲートウェイを含むUTM等のセキュリティ装置を備えたアプライアンス手段、
を備え、前記接続手段は、前記ゲートウェイであることを特徴とするOA機器。 - 請求項1記載のOA機器において、前記アプライアンス手段は、オプションとして、
本OA機器の周囲のWi-fiアクセスポイントを検出する手段、
を備えていることを特徴とするOA機器。 - 請求項1又は2のいずれか1項に記載のOA機器において、
用紙トレーを格納する棚部と、
前記棚部に格納された用紙トレー型筐体と、
前記用紙トレー型筐体に格納された前記アプライアンス手段と、
を含むことを特徴とするOA機器。 - 請求項1又は2のいずれか1項に記載のOA機器において、
用紙トレーとほぼ同形状のトレー型筐体と、
前記トレー型筐体に格納された前記アプライアンス手段と、
を含むことを特徴とするOA機器。 - 請求項1又は2のいずれか1項に記載のOA機器において、
本OA機器の背面に取り付け可能なバックパック型筐体と、
前記バックパック型筐体に格納された前記アプライアンス手段と、
を含むことを特徴とするOA機器。 - 請求項1又は2のいずれか1項に記載のOA機器機器において、
本OA機器の本体と、
前記本体とは別体であるサブ筐体と、
前記サブ筐体に格納された前記アプライアンス手段と、
を含むことを特徴とするOA機器。 - 請求項3又は4記載のOA機器において、前記トレー型筐体は、
コンピューターラック型オープンシャシー、
を備えていることを特徴とするOA機器。 - 請求項4記載のOA機器において、前記バックパック型筐体は、
コンピューターラック型オープンシャシー、
を備えていることを特徴とするOA機器。 - 請求項6記載のOA機器において、前記サブ筐体は、
コンピューターラック型オープンシャシー、
を備えていることを特徴とするOA機器。 - 請求項1〜9のいずれか1項に記載のOA機器において、
前記OA機器は、複写機、複合機、FAX装置、プリンタ、パーソナルコンピュータ、電話関連装置装置、NAS、のいずれかの機器であることを特徴とするOA機器。 - 請求項10記載のOA機器において、
前記電話関連装置は、PBX、キーテレホン、のいずれかの機器であることを特徴とするOA機器。 - 請求項1に記載のOA機器を含む情報システムに対して、運用管理センターが前記情報システムの監視を行うことによって、セキュリティサービスを前記情報システムに対して提供する方法において、
前記運用管理センターが、前記アプライアンス手段に対して、問い合わせを行うステップと、
前記アプライアンス手段が、前記問い合わせに対して、セキュリティの情報を返送するステップと、
を含み、
前記アプライアンス手段は、前記OA機器に合わせてあらかじめ構築されたセキュリティのためのベースソフトウェアがインストールされており、前記ベースソフトウェアがインストールされた前記アプライアンス手段がゲートウェイを含むUTM等のセキュリティ装置を実現していることを特徴とするセキュリティサービスを提供する方法。 - 請求項2記載のOA機器を含む情報システムに対して、運用管理センターが前記情報システムの監視を行うことによって、セキュリティサービスを前記情報システムに対して提供する方法において、
前記運用管理センターが、前記アプライアンス手段に対して、問い合わせを行うステップと、
前記アプライアンス手段が、前記問い合わせに対して、前記周囲のWi-fiアクセスポイントに関する情報を返送するステップと、
を含み、
前記アプライアンス手段は、前記OA機器に合わせてあらかじめ構築されたセキュリティのためのWi-fiセキュリティソフトウェアがインストールされており、前記Wi-fiセキュリティソフトウェアがインストールされた前記アプライアンス手段が、前記Wi-fiアクセスポイントを検出する手段、を実現していることを特徴とするセキュリティサービスを提供する方法。 - 請求項1に記載のOA機器を含む情報システムに対して、運用管理センターが前記情報システムの監視を行うことによって、セキュリティサービスを前記情報システムに対して提供する方法において、
前記アプライアンス手段が、セキュリティに関する情報であるセキュリティ情報を前記運用管理センターに送信するステップと、
前記運用管理センターが、前記送信されてきたセキュリティ情報を受信するステップと、
を含むことを特徴とするセキュリティサービスを提供する方法。 - 請求項2記載のOA機器を含む情報システムに対して、運用管理センターが前記情報システムの監視を行うことによって、セキュリティサービスを前記情報システムに対して提供する方法において、
前記アプライアンス手段が、前記周囲のWi-fiアクセスポイントに関する情報を運用管理センターに送信するステップと、
前記運用管理センターが、前記送信されてきたWi-fiアクセスポイントに関する情報を受信するステップと、
を含むことを特徴とするセキュリティサービスを提供する方法。 - 請求項12〜請求項15のいずれか1項記載のセキュリティサービスの提供方法において、
前記運用管理センターは、前記OA機器の構成、及び、前記あらかじめ構築されたセキュリティのためのソフトウェアの内容、に基づいて、あらかじめ設定されているベースサービスである、前記情報システムの監視、動作状況の分析、障害に対する対処、を提供することを特徴とするセキュリティサービスを提供する方法。 - 請求項12〜請求項15のいずれか1項に記載のセキュリティサービスを提供する方法において、
前記ベースソフトウェア及び前記ベースサービスからなるベースパッケージに加えて、本セキュリティサービスを受ける利用者が追加パッケージを要望した場合、その追加パッケージに含まれる、あらかじめ構築されたセキュリティのための追加ソフトウェアを、前記アプライアンス手段にインストールするステップと、
前記アプライアンス手段が、前記追加ソフトウェアによって検査されるセキュリティに関する情報を、運用管理センターに送信するステップと、
前記運用管理センターが、前記送信されてきた前記セキュリティに関する情報を、受信するステップと、
を含むことを特徴とするセキュリティサービスを提供する方法。 - 請求項12〜請求項15のいずれか1項に記載のセキュリティサービスを提供する方法において、
前記ベースソフトウェア及び前記ベースサービスからなるベースパッケージに加えて、本セキュリティサービスを受ける利用者が追加パッケージを要望した場合、その追加パッケージに含まれる、追加アプライアンスを、前記アプライアンス手段に付加するステップと、
前記アプライアンス手段が、前記追加アプライアンスによって検査されるセキュリティに関する情報を、運用管理センターに送信するステップと、
前記運用管理センターが、前記送信されてきた前記セキュリティに関する情報を、受信するステップと、
を含むことを特徴とするセキュリティサービスを提供する方法。 - 請求項17記載のセキュリティサービスを提供する方法において、
前記運用管理センターは、前記追加パッケージに含まれる追加サービスであって、前記ソフトウェアに合わせてあらかじめ設定されている追加サービスを提供することを特徴とするセキュリティサービスを提供する方法。 - 請求項18記載のセキュリティサービスを提供する方法において、
前記運用管理センターは、前記追加パッケージに含まれる追加サービスであって、前記追加アプライアンスに合わせてあらかじめ設定されている追加サービスを提供することを特徴とするセキュリティサービスを提供する方法。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2013/072247 WO2015025373A1 (ja) | 2013-08-21 | 2013-08-21 | マネージメントセキュリティサービスの提供に適したoa機器およびそのoa機器を利用したセキュリティサービスの提供方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JPWO2015025373A1 true JPWO2015025373A1 (ja) | 2017-03-02 |
Family
ID=52483183
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013554127A Pending JPWO2015025373A1 (ja) | 2013-08-21 | 2013-08-21 | マネージメントセキュリティサービスの提供に適したoa機器およびそのoa機器を利用したセキュリティサービスの提供方法 |
Country Status (2)
Country | Link |
---|---|
JP (1) | JPWO2015025373A1 (ja) |
WO (1) | WO2015025373A1 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106682881A (zh) * | 2017-01-05 | 2017-05-17 | 李铖浩 | 一种智能化办公自动化系统 |
JP6869203B2 (ja) * | 2018-03-28 | 2021-05-12 | ソフトバンク株式会社 | 監視システム |
JP7111420B2 (ja) | 2019-04-25 | 2022-08-02 | Necプラットフォームズ株式会社 | ブリッジ装置、ネットワークシステム及びブリッジ装置の制御方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008312017A (ja) * | 2007-06-15 | 2008-12-25 | Ricoh Co Ltd | 画像処理装置、拡張ボード及び電気機器 |
JP2010074334A (ja) * | 2008-09-17 | 2010-04-02 | Brother Ind Ltd | 無線通信装置、識別子出力方法及びプログラム |
-
2013
- 2013-08-21 JP JP2013554127A patent/JPWO2015025373A1/ja active Pending
- 2013-08-21 WO PCT/JP2013/072247 patent/WO2015025373A1/ja active Application Filing
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008312017A (ja) * | 2007-06-15 | 2008-12-25 | Ricoh Co Ltd | 画像処理装置、拡張ボード及び電気機器 |
JP2010074334A (ja) * | 2008-09-17 | 2010-04-02 | Brother Ind Ltd | 無線通信装置、識別子出力方法及びプログラム |
Non-Patent Citations (5)
Title |
---|
CSND200800483004; 藤田 健: 'ビジネス最前線 Business Frontline' テレコミュニケーション 第25巻 第7号 Telecommunication 第25巻, 20080625, 第62-65頁, 株式会社リックテレコム * |
CSNH201000136005; 武井 英直 Toshitada Takei: 'ユニアデックスのITマネジメントサービス' 技報 UNISYS TECHNOLOGY REVIEW Vol.30 No.3 第30巻, 20101130, 第51-62頁, 日本ユニシス株式会社 * |
JPN6014048672; 藤田 健: 'ビジネス最前線 Business Frontline' テレコミュニケーション 第25巻 第7号 Telecommunication 第25巻, 20080625, 第62-65頁, 株式会社リックテレコム * |
JPN6014048674; 業界初、空間清浄機を内蔵したカラー複合機を発売 , 20130717, 富士ゼロックス株式会社 * |
JPN6014048677; 武井 英直 Toshitada Takei: 'ユニアデックスのITマネジメントサービス' 技報 UNISYS TECHNOLOGY REVIEW Vol.30 No.3 第30巻, 20101130, 第51-62頁, 日本ユニシス株式会社 * |
Also Published As
Publication number | Publication date |
---|---|
WO2015025373A1 (ja) | 2015-02-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11936619B2 (en) | Combined security and QOS coordination among devices | |
US10708304B2 (en) | Honeypot network services | |
US8296178B2 (en) | Services using globally distributed infrastructure for secure content management | |
EP3085020B1 (en) | Security gateway for a regional/home network | |
US8484726B1 (en) | Key security indicators | |
US8479267B2 (en) | System and method for identifying unauthorized endpoints | |
US8640239B2 (en) | Network intrusion detection in a network that includes a distributed virtual switch fabric | |
US20090217346A1 (en) | Dhcp centric network access management through network device access control lists | |
US20070107043A1 (en) | Dynamic endpoint compliance policy configuration | |
US20160072770A1 (en) | Emergent network defense system | |
Hares et al. | Interface to network security functions (I2NSF): Problem statement and use cases | |
US20220086645A1 (en) | System and method for rogue device detection | |
Sharma et al. | Security-as-a-Service from Clouds: A comprehensive Analysis | |
WO2015025373A1 (ja) | マネージメントセキュリティサービスの提供に適したoa機器およびそのoa機器を利用したセキュリティサービスの提供方法 | |
US20210329459A1 (en) | System and method for rogue device detection | |
US11683350B2 (en) | System and method for providing and managing security rules and policies | |
US11916858B1 (en) | Method and system for outbound spam mitigation | |
US20220311805A1 (en) | System and Method for Providing and Managing Security Rules and Policies | |
GB2574334A (en) | Combined security and QOS coordination among devices | |
Malmgren et al. | A comparative study of Palo Alto Networks and Juniper Networks next-generation firewalls for a small enterprise network | |
Pravail | 2100 Series Appliances Version 5.4 | |
Zarny et al. | I2NSF S. Hares Internet-Draft L. Dunbar Intended status: Standards Track Huawei Expires: January 9, 2017 D. Lopez Telefonica I+ D | |
GB2574339A (en) | Combined security and QOS coordination among devices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20150311 |