WO2011132230A1

WO2011132230A1 - 管理システム及び計算機システムの情報処理方法

Info

Publication number: WO2011132230A1
Application number: PCT/JP2010/002929
Authority: WO
Inventors: 黒田圭一
Original assignee: 株式会社日立製作所
Priority date: 2010-04-22
Filing date: 2010-04-22
Publication date: 2011-10-27
Also published as: US20120110058A1

Abstract

【解決課題】クライアント端末から収集した評価結果を基にアプリケーションの利用可否を判断し、その判断結果をクライアント端末に提供する。【解決手段】クライアント、管理サーバ対して、アプリケーションの利用を申請し、管理サーバは、申請されたアプリケーションの情報と外部のセキュリティ情報とを比較し、安全上問題ないことを条件に、申請されたアプリケーションをアプリケーション提供サーバから取得し、取得したアプリケーションに対して安全なアプリケーション評価環境を構築してクライアント提供し、クライアントからの評価結果とアプリケーション利用可否規則とを比較して、アプリケーションの利用可否を判断し、判断結果をクライアントに送信する。

Description

管理システム及び計算機システムの情報処理方法

　本発明は、企業などのクライアント端末で利用されるアプリケーションの安全性を確保するための管理を行うことができる管理システム及び計算機システムの情報処理方法に関する。

　一般に、企業などに構築される情報処理システムにおいては、組織内の各利用者によって利用されるPC（Personal　Computer）などのクライアント端末は、構内通信網を介して他のクライアント端末と相互に通信可能に接続されるとともに、各クライアント端末は、構内通信網に接続されたプロキシサーバを介してインターネット上の各種サーバによるサービスの提供を受けることができる。

　一方、各クライアント端末は、各クライアント端末が保持している情報をインターネットなどの外部通信網を介して外部に送出することもできる。このため、各クライアント端末においては、各クライアント端末が保持している情報に対してセキュリティを考慮して管理しなければ、重要な情報などが外部に流出することになる。

　そこで、企業などの内部システムの利用者に対して、内部システムのセキュリティを確保するための電子教育を、各利用者端末の実態に即して行うようにしたものが提案されている。

　例えば、各利用者端末を管理する管理サーバは、各利用者端末から環境情報を収集し、収集した環境情報に基づいて、各利用者端末の管理条件を判断し、管理条件に応じてセキュリティについての電子教育を利用者端末に実行させ、電子教育を実行した利用者端末のうち管理条件を満たさないものに対して所定のプログラム以外の実行を禁止するようにしたものが提案されている（特許文献１参照）。

　また、現在、インターネット上のサイトなどには多くのアプリケーションが存在し、利用者はインターネット上に公開されているアプリケーションを利用することができる。このアプリケーションの中には、製品開発、業務管理などに用いることで、開発期間を短くしたり、高品質の製品を開発したり、あるいはコスト削減できたりするものがある。

　しかし、インターネット上で公開されているアプリケーションの全てが安全で且つ有用性が高い訳ではなく、アプリケーションの中には悪意のものや低品質のものも存在する。そのようなアプリケーションを利用すると、情報漏えいや不正アクセスなどの様々な問題が発生することがある。

　そこで、現在、一般的には、以下の方法で情報漏えいや不正アクセスを防止することが行われている。

　（１）インターネットからのアプリケーションのダウンロードの禁止
　（２）管理者が許可したアプリケーション（安全性が検証されたアプリケーション）のみを利用可能
　（３）ファイル共有ソフトなどの禁止アプリケーションの利用不可

特開２００９－１４０４７２号公報

　しかし、上記対応のうち（１）または（２）では、未検証の有用なアプリケーションまでも利用不可となることがあり、ユーザの利便性や効率性を犠牲にすることがある。

　また、上記対応の（３）では、一部に問題があるアプリケーションしか利用不可とされないため、ファイル共有ソフト以外のアプリケーションを用いたときには、安全性に問題が生じる恐れがある。

　そこで、上記対応の（１）や（２）に対する対策として、利用者が管理者に対して、アプリケーションの利用申請を行い、管理者がその可否を判断する方法を用いることも考えられる。
しかし、以下の課題があり、管理者は、利用者から申請されたアプリケーションに対して、利用可否の判断を即座に行うことができず、利用者の利便性は高くない。

　すなわち、管理者の数が少なく、管理者は、利用者から申請されたアプリケーションに対する安全性の調査などに十分な時間を割くことができない。また、セキュリティに関する情報は日々刻々変わるため、管理者は、利用者から申請されたアプリケーションの安全性の調査に時間がかかる。さらに、インターネット上に存在するアプリケーションの数が多く、しかもバージョンの変更などによって新しいアプリケーションが次々と公開され、アプリケーションの申請数が多くなる。

　本発明は、前記従来技術の課題に鑑みて為されたものであり、その目的は、安全なアプリケーション評価環境を構築してクライアント端末に提供し、クライアント端末から収集した評価結果を基にアプリケーションの利用可否を判断し、その判断結果をクライアント端末に提供することができる管理サーバ及び計算機システムの情報処理方法を提供することにある。

　前記目的を達成するために、本発明は、管理サーバは、安全なアプリケーション評価環境を構築して各クライアント端末に提供し、各クライアント端末から収集した評価結果とクライアント端末から提供されたアプリケーション利用可否規則に基づいてアプリケーションの利用可否を判断し、この判断結果をクライアント端末に提供することを特徴とする。

　本発明によれば、管理サーバは、安全なアプリケーション評価環境を構築してクライアント端末に提供し、クライアント端末から収集した評価結果とクライアント端末から提供されたアプリケーション利用可否規則を基にアプリケーションの利用可否を判断し、その判断結果をクライアント端末に提供することができる。

本発明に係る計算機システムのブロック構成図である。計算機システムの処理の概要を説明するための説明図である。計算機システムにおける事前準備の処理を説明するためのタイムチャートである。アプリ利用可否規則の作成処理を説明するためのフローチャートである。アプリ利用可否規則の作成処理を説明するためのフローチャートである。アプリ利用可否規則の作成処理を説明するためのフローチャートである。アプリ利用可否規則の作成処理を説明するためのフローチャートである。クライアントと管理サーバの機器認証処理を説明するためのフローチャートである。管理テーブルの構成図である。アプリ申請タイミングとアプリダウンロードタイミングおよび評価環境の構築タイミングにおける処理を説明するためのタイムチャートである。アプリ申請処理を説明するためのフローチャートである。アプリ申請処理を説明するためのフローチャートである。アプリのダウンロードの処理を説明するためのフローチャートである。アプリのダウンロードの処理を説明するためのフローチャートである。アプリのダウンロードの処理を説明するためのフローチャートである。アプリのダウンロードの処理を説明するためのフローチャートである。アプリのダウンロードの処理を説明するためのフローチャートである。アプリのダウンロードの処理を説明するためのフローチャートである。アプリのダウンロードの処理を説明するためのフローチャートである。評価環境の構築処理を説明するためのフローチャートである。評価環境の構築時の通知処理を説明するためのフローチャートである。評価環境の構築時の通知処理を説明するためのフローチャートである。評価環境の構築の完了タイミングとアプリの操作・評価タイミングおよび評価情報以外の情報の収集タイミングにおける処理を説明するためのタイムチャートである。アプリの操作・評価の処理を説明するためのフローチャートである。アプリの操作・評価の処理を説明するためのフローチャートである。アプリの操作・評価の処理を説明するためのフローチャートである。アプリの操作・評価の処理を説明するためのフローチャートである。アプリの操作・評価の処理を説明するためのフローチャートである。アプリの操作・評価の処理を説明するためのフローチャートである。アプリの操作・評価の処理を説明するためのフローチャートである。アプリの操作・評価の処理を説明するためのフローチャートである。評価情報以外の情報の取得処理を説明するためのフローチャートである。評価情報以外の情報の取得処理を説明するためのフローチャートである。評価情報以外の情報の取得処理を説明するためのフローチャートである。評価情報以外の情報の収集タイミングと、アプリ利用可否リストを更新するタイミングおよびアプリ利用可否リストの展開タイミングにおける処理を説明するためのタイムチャートである。評価情報以外の情報の取得処理を説明するためのフローチャートである。評価情報以外の情報の取得処理を説明するためのフローチャートである。評価情報以外の情報の取得処理を説明するためのフローチャートである。評価情報以外の情報の取得処理を説明するためのフローチャートである。評価情報以外の情報の取得処理を説明するためのフローチャートである。評価情報以外の情報の取得処理を説明するためのフローチャートである。判定・アプリ利用可否リストを更新する処理を説明するためのフローチャートである。アプリ利用可否規則編集画面の表示例を示す図である。アプリ申請画面の表示例を示す図である。アプリ選択画面の表示例を示す図である。アプリ評価画面の表示例を示す図である。アプリ評価結果表示画面の表示例を示す図である。

　以下に本発明に係るシステムの実施形態について説明する。なお、以後の説明では「ａａａテーブル」、「ａａａリスト」、「ａａａＤＢ」、「ａａａキュー」等の表現にて本発明の情報を説明するが、これら情報は必ずしもテーブル、リスト、ＤＢ、キュー、等に限定されるわけではなく、これら以外のデータ構造で表現されていてもよい。
そのため、データ構造に依存しないことを示すために「ａａａテーブル」、「ａａａリスト」、「ａａａＤＢ」、「ａａａキュー」等について「ａａａ情報」と呼ぶことがある。

　さらに、各情報の内容を説明する際に、「識別情報」、「識別子」、「名」、「名前」、「ＩＤ」という表現を用いるが、これらについてはお互いに置換が可能である。

　以後の説明では「プログラム」を主語として説明を行う場合があるが、プログラムはＣＰＵによって実行されることで定められた処理をメモリ及び通信ポート（通信制御装置）を用いながら行うため、ＣＰＵを主語とした説明としてもよい。
また、プログラムを主語として開示された処理はプログラムを実行する計算機が行う処理としてもよい。また、プログラムの一部または全てが専用ハードウェアによって実現されてもよい。

　また、各種プログラムはプログラム配布サーバや記憶メディアによって各計算機にインストールされてもよい。

　以下に説明する実施形態は、管理サーバが、安全なアプリケーション評価環境を構築して各クライアント端末に提供し、その後、各クライアント端末から収集した評価結果とアプリケーション利用可否規則に基づいてアプリケーションの利用可否を判断し、この判断結果をクライアント端末に提供するものである。

　以下、本発明の一実施形態を図面に基づいて説明する。図１は、本発明に係る計算機システムのブロック構成図である。

図１において、計算機システムは、１または２以上のクライアント端末（以下、クライアントと称することもある）１０と、管理サーバ１２と、アプリ評価用サーバ１４と、アプリ利用管理サーバ１６と、パーソナル情報サーバ１８を有し、各サーバが、LAN（Local　Area　Network）などのネットワーク２０を介して互いに接続されている。ネットワーク２０は、公衆通信網であるインターネット２２を介して、セキュリティ情報サーバ２４とアプリケーション提供サーバ２６に接続されている。なお、アプリは、アプリケーションを意味し、以下では、アプリケーションをアプリと称することもある。

　クライアント１０は、クライアント１０全体を統括制御するプロセッサとしてのCPU（Central　Processing　Unit）３０と、メモリ３２と、通信インターフェース（I/F）３４と、マウスやキーボードなどの入力装置（図示せず）、ディスプレイなどの出力装置（図示せず）を有し、通信ネットワーク３４がネットワーク２０に接続されている。メモリ３２には、OS（Operating　System）３６、機器認証プログラム３８、アプリ申請/操作/評価/利用可否規則編集プログラム（以下、編集プログラムと称することもある）４０と、アプリ利用可否制御プログラム４２、通信情報４４、アプリ利用可否リスト４６が格納される。

　CPU３０は、メモリ３２に格納されたプログラムに従って各種の処理を実行し、通信インターフェース３４を介して他のサーバと情報の授受を行う。

　例えば、CPU３０は、アプリ利用管理サーバ１６から提供されるアプリ利用可否リスト４６に基づいて、アプリケーションの実行許可や拒否を制御する。また、クライアント１０を利用する利用者、例えば、組織内の利用者がインターネット２２上で公開されているアプリケーションを利用するための申請を行ったときに、CPU３０は、安全なアプリケーション評価環境にアクセスするための処理を行う。この後、クライアント１０を利用する利用者は、アプリケーションの操作および評価を実施する。また、組織内の利用者のうち管理者が、アプリケーションの利用可否の規則の作成および編集の操作を行ったときには、CPU３０は、その操作に応じた処理を実行する。

　なお、組織内の利用者のうちアプリケーションの利用を申請する利用者を申請者と称することもあり、また、申請者からのアプリケーションを管理する者を管理者と称することもある。

　通信情報４４は、例えば、各サーバとの通信および認証に使用する情報から構成される。例えば、通信情報４４は、各サーバを識別するための機器種別と、各サーバに割り当てられたIP（Internet　Protocol）アドレスである「機器のIPアドレス」と、各サーバに割り当てられた通信ポート番号である「機器の通信ポート番号」と、各サーバを認証するための共通鍵である「認証用の共通鍵」から構成される。

　なお、機器種別は、管理サーバ１２とアプリ評価用サーバ１４の２種類で構成される。また、通信情報４４は、上記４項目の情報に限定されるものではなく、例えば、各通信情報の更新日時などを用いることもできる。また、各サーバ間で相互に認証する必要がないとき、またはできない場合は、認証用の共通鍵は不要となる。また、認証用の共通鍵は、各サーバ間で別々の鍵を使用することもできるとともに、全てのサーバで共通の鍵を使用することもできる。

　また、機器種別に、アプリ評価用サーバの代わりにアプリ評価用環境（VM）を用いるときには、この機器種別の情報は、クライアント１０が、アプリ評価用サーバ１４上に存在するアプリ評価用環境（VM）に接続するための情報となる。この際、アプリ評価用環境が複数存在する場合は、機器種別の情報も複数存在することになる。また、この機器種別の情報は、クライアントで必ずしも保持する必要はなく、機器種別の情報を通信情報４４から外し、クライアント１０がアプリ評価用サーバ１４と接続する際に、管理サーバ１２から、アプリ評価用環境に関する情報を受領することもできる。

　アプリ利用可否リスト４６は、クライアント１０における各アプリケーションの利用可否を記述したリストである。このアプリ利用可否リスト４６は、CPU３０が、アプリ利用可否制御プログラム４２を起動したときに利用される。この際、CPU３０は、アプリ利用可否制御プログラム４２に従ってアプリケーションの起動許可または起動拒否を制御することになる。

　アプリ利用可否リスト４６には、アプリケーションを特定するための情報と、アプリケーションの利用可否情報と、アプリケーションの利用可否に関する追加条件などの情報が記録される。

　例えば、アプリケーションを特定するための情報として、アプリケーション名（テキストエディタA）、アプリケーションの実行ファイル名（exe）が用いられる。また、アプリケーションの利用可否情報としては、アプリケーションを利用可能なときには、「可」が用いられ、アプリケーションの利用が不可能なときには、「不可」が用いられる。またアプリケーションの利用可否に関する追加条件としては、「xxx、xxx、xxx、xxx/２４　セグメントでは利用可」が用いられる。またアプリケーションを特定するための情報としては、アプリケーションのバージョン情報、アプリケーションのインストールパス、アプリケーションの実行ファイルのハッシュ値を用いることもできる。

　なお、以後の説明では、アプリケーションに関する情報などの表現にて本発明に関する情報を説明するが、これら情報は、テーブル等のデータ構造以外で表現されてもよい。そのため、データ構造に依存しないことを示すために、「アプリケーションに関する情報」等について、単に「情報」と呼ぶことがある。同様に、データベースを用いる場合でも、必ずしもデータベースとしてのデータ構造を有することは必須ではないため、単に「情報」と呼ぶことがある。

　また、各情報の内容を説明する際に、「識別情報」、「識別子」、「名」、「名前」、「ID」という表現を用いるが、これらについては互いに置換が可能である。

　さらに、以後の説明では、「プログラム」を主語として説明を行う場合があるが、プログラムは、プロセッサによって実行されることで、定められた処理をメモリ及び通信ポート（通信制御装置）を用いながら行うため、プロセッサを主語とした説明としてもよい。また、プログラムを主語として開示された処理は、管理サーバ１２等の計算機、情報処理装置が行う処理としてもよい。また、プログラムの一部または全ては専用ハードウェアによって実現されてもよい。また、本発明は、必ずしもスレッド機構を用いて実現する必要なく、マイクロスレッドやプロセス機構等OSが提供するプログラムの実行を管理する機構によって実行できればいかような機構を用いても良い。

　また、各種プログラムは、プログラム配布サーバや記憶メディアによって各計算機にインストールされてもよい。

　なお、各サーバは入出力装置を有する。この入出力装置の例としては、ディスプレイとキーボードとポインタデバイスを挙げることができるが、これ以外の装置であってもよい。

　また、入出力装置の代替として、シリアルインターフェースやイーサーネットインターフェースを入出力装置とし、当該インターフェースにディスプレイ又はキーボード又はポインタデバイスを有する表示用計算機を接続し、表示用情報を表示用計算機で表示を行い、入力を受け付けることで、入出力装置での入力及び表示を代替してもよい。

　管理サーバ１２は、管理サーバ全体を統括制御するCPU５０と、メモリ５２と、通信インターフェース５４を有し、通信インターフェース５４がネットワーク２０に接続されている。

　メモリ５２には、機器認証プログラム５６と、OS５８と、申請および評価受付プログラム６０と、判定/アプリ利用可否リスト管理プログラム６２と、セキュリティ情報/アプリ取得プログラム６４と、アプリ利用可否規則管理プログラム６６が格納されている。また、メモリ５２には、通信情報６８と、認証情報７０と、アプリ利用可否規則７２と、利用申請情報７４と、アプリケーション７６と、利用者による評価結果７８と、セキュリティ情報８０と、パーソナル情報８２と、利用者のアプリの操作ログ８４と、アプリ利用可否リスト８６が格納される。

　CPU５０は、メモリ５２に格納されたプログラムに従って処理を実行し、通信インターフェース５４を介して他のサーバと情報の授受を行う。

　CPU５０は、クライアント１０から送信される評価結果７８とアプリ利用可否規則７２を基にアプリケーション７６の利用可否を決定するための処理を実行する。

　この際、CPU５０は、クライアント１０から送信されたアプリ申請やクライアント１０から送信された評価結果７８の受付処理を実行するとともに、アプリケーション７６の利用可否の判定結果の表示やクライアント１０に対する情報の通知を実行する。また、CPU５０は、クライアント１０から送信されたアプリ利用可否規則７２に関する作成処理および編集処理を実行する。さらに、CPU５０は、セキュリティ情報８０、パーソナル情報８２、アプリの操作ログ８４を利用してアプリケーション７６の利用可否を判定するために、他のサーバから情報を取得するための処理やインターネット２２上に公開されているアプリケーションを取得するための処理を実行する。

　この際、CPU５０は、インターネット２２上に公開されているアプリケーションを取得するときには、外部のセキュリティ情報を基に、クライアント１０から申請されたアプリケーションが、安全なサイトに存在するものか否かの確認処理を実行する。

　また、CPU５０は、クライアント１０から送信された評価結果７８や外部から取得したセキュリティ情報８０などを基にアプリケーション７６の利用可否の判定を実施するとともに、この判定結果を基にアプリ利用可否リスト８６の更新やアプリ利用可否リスト８６に関する情報をクライアント１０に通知するための処理を実行する。

　管理サーバ１２における通信情報６８としては、クライアント１０における通信情報４４と同一構成の情報を用いることができる。なお、通信情報６８における機器種別としては、アプリ利用管理サーバ１６と、アプリ評価用サーバ１４と、セキュリティ情報サーバ２４と、パーソナル情報サーバ１８の４種類が用いられる。なお、他の項目が必要であれば、例えば、機器名称（サーバ名称）、各通信情報の更新日時などを用いることもできる。

　認証情報７０は、管理者であることを識別および認証するために用いられる情報であって、アプリ利用可否規則７２の作成および編集を行う前に用いられる。

　この認証情報７０としては、例えば、管理者であることを確認するための情報として、「ユーザID」、「パスワード」を用いることができる。

　アプリ利用可否規則７２は、管理サーバ１２が、クライアント１０から申請されたアプリケーションの利用可否を判断するために用いられる情報である。このアプリ利用可否規則７２は、クライアント１０を利用する管理者が予め作成したものを、クライアント１０から受信してメモリ５２に格納した情報であって、必要に応じて編集される。
アプリ利用可否規則７２に記載される情報としては、例えば、「アプリケーションのダウンロードを許可するための条件」と、「アプリケーションの利用を許可するための条件」が用いられる。

　「アプリケーションのダウンロードを許可するための条件」は、アプリケーションが存在するサイトの安全性に関する情報において、以下の条件を満たしていることである。

　（１）当該アプリケーションが存在するサイトのURLの危険度評価結果が安全または注意であること。

　「アプリケーションの利用を許可するための条件」は、評価結果において以下の条件を満たしていることである。

　（２）組織内の全利用者のうち３０％以上から有効な評価結果が回答されている。

　（３）利用者が実施した評価観点において、YES（問題があるときの回答）が１個以下と回答した利用者が、回答した利用者のうち半数未満であること。

　（４）利用者が実施した評価観点において、YESが２個以上５個以下と回答した利用者の中に、当該アプリの操作ログまたはパーソナル情報で「高」がいないこと。

　ちなみに、当該アプリの操作ログで「高」となる条件は、アプリ起動回数が５回以上で、且つアプリ実行時間が３０分以上であり、パーソナル情報で「高」となる条件は、役職で課長以上である。

　セキュリティ情報において、以下の条件を満たしていること。

　（１）アプリケーションの不審な挙動において、全ての挙動の回数が０回であること。

　（２）アプリケーションの脆弱性情報において、当該アプリケーションの脆弱性評価結果が安全または注意であること。

　なお、アプリ利用可否規則７２は、上記の例に限定されるものではなく、条件数の増減などは自由に設定可能である。またアプリ利用可否規則７２について、上記の例では、全てのアプリケーションに対して、１つの規則を記述しているが、アプリケーションごとに個別に設定することもできる。

　判定/アプリ利用可否リスト管理プログラム６２は、アプリケーションをダウンロードする前または利用者による評価が始まった際には、上記条件を基に各アプリケーションについて判定を実施するための処理を行うことになる。

　利用申請情報７４およびアプリケーション７６のうち、利用申請情報７４は、申請者が、申請時に、クライアント１０に入力したアプリケーションに関する情報である。アプリケーション７６は、申請者が、申請したときに入力された情報を基に、インターネット２２上のサーバから取得したアプリケーション本体を特定するための情報である。

　利用申請情報７４は、例えば、「アプリケーション名」と、「アプリケーションのURL」から構成され、これらにアプリケーション本体そのものを格納する情報としてアプリケーション７６が付加されることになる。

　なお、申請したアプリケーションに関する情報としては、アプリケーションの種別、アプリケーションのバージョン情報、メーカ名（作者名）、有償/無償を用いることもできる。

　（利用者による）評価結果７８は、クライアント１０を利用する各利用者が行った、各アプリケーションに対する評価結果を示す情報である。クライアント１０を利用する各利用者は、管理サーバ１２から提示された評価観点に対して、実際に当該アプリケーションを操作し、その操作結果を管理サーバ１２に通知することで、操作結果が評価結果７８としてメモリ５２に格納される。

　評価結果７８には、利用者が実施した評価観点と当該アプリケーションに対するコメントに関する情報が含まれる。

　利用者が実施した評価観点は、例えば、「操作時に多量のエラーメッセージやエラーダイヤログが表示される」、「個人情報や暗証番号を入力するインターフェースが表示される」、「誹謗中傷などの不適切なメッセージが表示される」等の項目が用いられる。

　これらの項目に対して、利用者は、該当するときには、「YES」として回答し、該当しないときには、「NO」として回答する。また、当該アプリケーションに対するコメントは、例えば、各利用者が当該アプリケーションを操作し、アプリケーションを評価する際に気付いたことなどを記述するものであり、このコメントの欄に何も記述されない場合、このコメントの欄は、空となる。

　なお、利用者の実施した評価観点に、他の項目として、例えば、評価実施日時などを追加することもできる。

　また、利用者が実施した評価観点の各項目について、利用者が操作した現象が発生した場合、その現象自体の問題の度合いを、０（最小）～１００（最大）を記述し、当該現象が発生しないときには、０を記述する方法を採用することもできる。

　セキュリティ情報８０は、計算機システム外部（インターネット上）もしくは計算機システム内で収集したアプリケーションの安全性に関する情報である。このセキュリティ情報８０は、管理サーバ１２が、定期的にもしくは必要に応じて該当するサーバから収集する情報である。

　セキュリティ情報８０は、アプリケーションの脆弱性情報、アプリケーションが存在するサイトの安全性に関する情報およびアプリケーションの不審な挙動から構成される。

　アプリケーションの脆弱性情報は、例えば、アプリケーションを特定するための情報と脆弱性のレベルから構成される。

　アプリケーションを特定するための情報は、「アプリケーション名」と「バージョン」から構成され、脆弱性のレベルは、「脆弱性評価結果」から構成される。「脆弱性評価結果」には、例えば、「緊急」、「警告」、「安全」、「注意」が用いられる。

　アプリケーションが存在するサイトの安全性に関する情報は、例えば、サイトを特定するための情報と危険性のレベルから構成される。サイトを特定するための情報は、「サイトURL」から構成され、危険度のレベルは、「危険度評価結果」から構成される。この「危険度評価結果」には、そのレベルに応じて「危険」、「警告」、「安全」、「注意」を用いることができる。

　アプリケーションの不審な挙動は、アプリケーションを特定するための情報と不審な挙動一覧から構成される。

　アプリケーションを特定するための情報は、「アプリケーション名」と「バージョン」から構成される。不審な挙動一覧は、「マシン外へのファイル転送回数」と「マシン内へのファイル転送回数」および「他マシンへのアクセス回数」から構成される。

　なお、アプリケーションの脆弱性情報としては、最終更新日時、情報提供元サイト名などを用いることもできる。

　また、アプリケーションを特定する情報としては、メーカ名（作者名）、実行ファイルのハッシュ値、前提環境（例えば、あるOS上でのみ、その脆弱性が顕在化するなど）を用いることができる。

　また、脆弱性のレベルについては、単一の評価観点ではなく、複数の評価観点として、攻撃の難易度、攻撃経路、影響範囲などを用いることができる。またサイトを特定するための情報としては、ブラウザのタイトルに表示される情報を用い、不審な挙動として、システム領域の書込み回数、メールおよびメッセージの送信/受信回数を用いることもできる。

　パーソナル情報８２は、クライアント１０を利用する各利用者の組織内での役職や各利用者が保持するスキルに関する情報である。このパーソナル情報８２は、各利用者が行った評価の妥当性を検証するために用いられる。管理サーバ１２は、組織内にあるパーソナル情報サーバ１８から定期的にまたは必要に応じてパーソナル情報８２を取得する。

　パーソナル情報８２は、利用者を特定するための情報と利用者のパーソナル情報から構成される。利用者を特定するための情報は、「ユーザ名」から構成され、利用者のパーソナル情報は、例えば、「役職」から構成される。「役職」としては、「部長」、「課長」、「主任」、「社員」が用いられる。また利用者のパーソナル情報としては、利用者が保持する保有資格、業務履歴（過去に類似アプリケーションを開発していたなどの情報）を用いることができる。

　（利用者の）当該アプリの操作ログ８４は、クライアント１０を利用する各利用者が行った当該アプリケーションに対する操作ログの情報である。この当該アプリの操作ログ８４は、各利用者が行った評価の妥当性を検証するために用いられるものである。

　当該アプリの操作ログ８４は、利用者を特定するための情報とアプリケーションを特定するための情報およびアプリケーションに対する操作情報から構成される。

　利用者を特定するための情報は、「ユーザ名」から構成され、アプリケーションを特定するための情報は、「アプリケーション名」から構成され、アプリケーションに対する操作情報は、「アプリ起動回数」と「アプリ実行時間」から構成される。

　利用者を特定するための情報としては、社員番号、メールアドレスを用いることもできる。またアプリケーションを特定するための情報としては、アプリケーションのバージョン情報、アプリケーションの実行ファイル名またはそのハッシュ値、アプリケーションのインストールパスを用いることもできる。また、アプリケーションに対する操作情報としては、最終起動日時、アプリケーションに対してキーボードやマウスなどの入力装置から操作（入力）した回数を用いることもできる。

　また、操作ログとしては、アプリ評価用サーバ１４は、取得した操作ログの情報を送信する際、操作ログの形式とは異なり、例えば、以下のような形式のデータが管理サーバ１２に渡される場合、管理サーバ１２が受信した操作ログを集計し、上記操作ログの形式に変換することもできる。すなわち、「アプリ起動回数」、「アプリ実行時間」の代わりに、「起動時間」が送信された場合、管理サーバ１２において、「起動時間」を基に「アプリ起動回数」と「アプリ実行時間」に変換することもできる。

　アプリ評価用サーバ１４は、アプリ評価用サーバ全体を統括制御するCPU９０と、メモリ９２と、通信インターフェース９４を有し、通信インターフェース９４がネットワーク２０に接続されている。

　メモリ９２には、機器認証プログラム９６と、通信情報９８と、OS１００と、評価環境構築プログラム１０２と、VM（Virtual　Machine）プログラム１０４が格納されている。さらに、メモリ９２には、アプリ評価環境（VM）を構築するための情報として、機器認証プログラム１０６と、アプリケーション１０８と、通信情報１１０と、操作ログ/不審な挙動取得プログラム１１２と、OS１１４と、リモコンマネージャプログラム１１６が格納されている。

　CPU９０は、メモリ９２に格納されたプログラムに従って各種の処理を実行し、通信インターフェース９４を介して他のサーバと情報の授受を行う。

　例えば、CPU９０は、クライアント１０の利用者に対して、アプリケーションを操作する環境を提供するための処理として、以下の処理を実行する。

　（１）評価環境の構築（構築環境へのアプリケーションの導入を含む）
　（２）利用者の操作ログの取得（利用者の評価の妥当性等に用いる）
　（３）各アプリの不審な挙動の取得
　CPU９０が、上記処理を実行することで、アプリ評価用サーバ１４は、クライアント１０に対して、アプリケーションを操作する環境を提供するサーバとして機能することになる。

　なお、アプリ評価用サーバ１４は、操作ログ等の情報を、管理サーバ１２に送信するまでの一時的な間だけ保持するが、送信後は、操作ログ等の情報を削除することとしている。

　アプリ評価用サーバ１４における通信情報１１０は、クライアント１０における通信情報４４と同一構成である。なお、通信情報１１０のうち機器種別は管理サーバ１２とクライアント１０の２種類で構成される。

　アプリ評価用サーバ１４において、安全が確保された環境とは、サンドボックスの考えに基づいた環境であり、VMソフトウェア上に構築された仮想PCなどが該当する。また、アプリ評価環境は１つとは限らず複数存在しても構わない。

　操作ログ/不審な挙動取得プログラム１１２は、評価対象のアプリケーションの操作を取得する機能を有するプログラムであり、このプログラムは、クライアント１０内に存在しても構わない。

　アプリ利用管理サーバ１６は、アプリ利用管理サーバ１６全体を統括制御するCPU１２０と、メモリ１２２と、通信インターフェース１２４を有し、通信インターフェース１２４がネットワーク２０に接続されている。

　メモリ１２２には、機器認証プログラム１２６と、OS１２８と、アプリ利用可否リスト１３０と、通信情報１３２と、アプリ利用可否リスト展開プログラム１３４が格納されている。

　CPU１２０は、メモリ１２２に格納されたプログラムに従って各種の処理を実行し、通信インターフェース１２４を介して他のサーバと情報の授受を実行する。

　アプリ利用管理サーバ１６は、アプリ利用可否リスト１３０を管理し、クライアント１０に対して、アプリ利用可否リスト１３０を展開するサーバとして構成されている。

　アプリ利用可否リスト１３０は、クライアント１０におけるアプリ利用可否リスト４６と同一構成のものであり、通信情報１３２は、クライアント１０における通信情報４４と同一構成のものである。

　なお、通信情報１３２のうち機器種別は、管理サーバ１２とクライアント１０の２種類が用いられる。

　パーソナル情報サーバ１８は、パーソナル情報サーバ全体を統括制御するCPU１４０と、メモリ１４２と、通信インターフェース１４４を有し、通信インターフェース１４４がネットワーク２０に接続されている。

　メモリ１４２には、機器認証プログラム１４６と、パーソナル情報１４８と、通信情報１５０と、OS１５２と、Webサーバ（Webサーバプログラム）１５４が格納されている。

　CPU１４０は、メモリ１４２に格納された機器認証プログラム１４６に従って処理を実行し、通信インターフェース１４４を介して他のサーバと情報の授受を実行する。

　パーソナル情報１４８は、管理サーバ１２の参照情報であって、パーソナル情報８２と同一構成のものである。通信情報１５０は、クライアント１０における通信情報４４と同一構成である。なお、通信情報１５０のうち機器種別は、管理サーバ１２の１種類で構成されている。また、パーソナル情報サーバ１８は、管理サーバ１２と相互認証する必要がない場合は、通信情報１５０は不要である。

　また、パーソナル情報サーバ１８は、１つとは限らず複数存在する場合がある。この場合、管理サーバ１２に存在するパーソナル情報８２の全てが１カ所のパーソナル情報サーバ１８上のパーソナル情報１４８として存在する訳ではない。

　セキュリティ情報サーバ２４は、セキュリティ情報サーバ２４全体を統括制御するCPU１６０と、メモリ１６２を有し、通信インターフェース（図示せず）がインターネット２２に接続されている。

　メモリ１６２には、機器認証プログラム１６４と、セキュリティ情報１６６と、通信情報１６８と、OS１７０と、Webサーバ（Webサーバプログラム）１７２が格納されている。

　CPU１６０は、メモリ１６２に格納された機器認証プログラム１６４に従って機器認証処理を実行し、インターネット２２を介して他のサーバと情報の授受を行う。

　セキュリティ情報サーバ２４は、インターネット２２上でセキュリティ情報を公開しているサーバ（このサーバは、有償で契約者のみアクセス可能なサーバも含む。）であって、例えば、脆弱性を保有しているアプリケーションの情報などを公開している。具体的なサーバとしては、例えば、CVE、CPCERT/CC、JVNなどの公的な脆弱性情報を公開するサイトや、各種アンチウィルスベンダやアプリケーションを開発している会社のサイトのサーバなどが挙げられる。

　セキュリティ情報サーバ２４は、１つではなく複数存在する場合がある。この場合、管理サーバ１２に存在するセキュリティ情報８０は、各セキュリティ情報サーバ２４から取得した情報となる。また、通信情報１６８は、クライアント１０における通信情報４４と同一構成である。この通信情報１６８のうち機器種別は、管理サーバ１２の１種類で構成される。セキュリティ情報サーバ２４は、管理サーバ１２と相互認証する必要がない場合は、通信情報１６８は不要となる。

　アプリケーション提供サーバ２６は、アプリケーション提供サーバ全体を統括制御するCPU１８０と、メモリ１８２と、通信インターフェース（図示せず）を有し、通信インターフェースがインターネット２２に接続されている。

　メモリ１８２には、機器認証プログラム１８４と、アプリケーション１８６と、通信情報１８８と、OS１９０と、Webサーバ（Webサーバプログラム）１９２が格納されている。

　CPU１８０は、メモリ１８２に格納された機器認証プログラム１８４に従って機器認証処理を実行し、インターネット２２を介して他のサーバと情報の授受を実行する。

　アプリケーション提供サーバ２６は、１または２以上存在し、複数のアプリケーション提供サーバ２６がインターネット２２上に存在する場合、いずれかのアプリケーション提供サーバ２６から、管理サーバ１２に対してアプリケーションが提供されることになる。

　通信情報１８８は、クライアント１０における通信情報４４と同一構成である。通信情報１８８のうち機器種別は、管理サーバ１２の１種類である。アプリケーション提供サーバ２６は、管理サーバ１２と相互認証する必要がない場合は、通信情報１８８は不要である。

　アプリケーション提供サーバ２６は、インターネット２２上でアプリケーションを公開しているサーバであって、管理サーバ１２またはクライアント１０が、アプリケーション提供サーバ２６にアクセスすることで、アプリケーション提供サーバ２６のアプリケーション１８６が、管理サーバ１２にダウンロードされる。

　インターネット２２上で公開されるアプリケーションは、様々な機能を持ったプログラムであって、アプリ利用管理サーバ１６においてその利用可否の制御が行われる。

　本実施形態では、管理サーバ１２と、アプリ評価用サーバ１４およびアプリ利用管理サーバ１６を別々に配置しているが、アプリ評価用サーバ１４およびアプリ利用管理サーバ１６を管理サーバ１２に一体化して配置し、管理サーバ１２が、アプリ評価用サーバ１４およびアプリ利用管理サーバ１６の機能を有するサーバとして構成とすることもできる。

　次に、計算機システムにおける処理の概要を図２に従って説明する。まず、前提として、管理者が、クライアント１０を操作して、アプリ利用可否規則を作成し、作成したアプリ利用可否規則を送信するための操作を行うと、アプリ利用可否規則の情報が、クライアント１０から管理サーバ１２に送信される（A１）。また、管理サーバ１２においては、定期的に外部のセキュリティ情報サーバ２４からセキュリティ情報１６６を収集し、セキュリティ情報８０として格納する（A２）。この後、以下の処理が行われる。

　（１）申請者（ユーザ）は、利用したいアプリケーションがある場合、クライアント１０を操作して、管理サーバ１２に対して利用申請を実施する（A３）。その際、申請者は、アプリケーション自体をダウンロードせずに、アプリケーションが存在するサイトを示すURL（Uniform　Resource　Locator）などの情報を管理サーバ１２に提示する。

　（２）管理サーバ１２は、アプリケーションの申請を受領した後、URLなどの情報を基に、アプリケーション提供サーバ２６からアプリケーションをダウンロードする（A４）。その際、管理サーバ１２は、取得済みのセキュリティ情報８０を活用し、当該URLが安全なサイトであるか否かの検証を実施し、問題があればアプリケーションのダウンロードを停止する。

　（３）管理サーバ１２は、アプリ評価用サーバ１４に対して、安全なアプリケーション評価環境の構築を依頼する（A５）。

　（４）管理サーバ１２は、アプリ評価用サーバ１４から、安全なアプリケーション評価環境の構築ができた旨の情報を受領したときには、全てのクライアント１０に対して、申請されたアプリケーションが評価可能である旨の通知または申請されたアプリケーションが評価可能である旨の情報を公開する（A６）。

　（５）クライアント１０を利用する利用者は、（４）で提示された情報を基に、アプリ評価用サーバ１４によって構築された安全なアプリ評価環境に対してアクセスし（A７）、当該アプリケーションを操作して評価を実施し、評価結果を管理サーバ１２に送信する（A８）。

　（６）管理サーバ１２は、（５）実施中に、セキュリティ情報サーバ２４から最新のセキュリティ情報を収集し（A９）、当該アプリケーションに対する利用者の操作ログと当該アプリケーションの不審な挙動をアプリ評価用サーバ１４から収集し（A１０）、パーソナル情報サーバ１８から、利用者のパーソナル情報を収集する（A１１）。

　（７）管理サーバ１２は、（５）および（６）にて収集した情報と、アプリ利用可否規則７２とを比較して、当該アプリケーションの利用可否を判定し、判定結果に従ってアプリ利用可否リスト８６を更新する。

　（８）管理サーバ１２は、更新したアプリ利用可否リスト８６をアプリ利用管理サーバ１６に送信し（A１２）、アプリ利用管理サーバ１６は、更新されたアプリ利用可否リスト１３０を各クライアント１０に配布する（A１３）。

　これにより、クライアント１０における当該アプリケーションの利用可否が、クライアント１０に通知される。このときアプリケーションの利用が可能であるとの通知を受けたときには、クライアント１０を利用する利用者は、アプリケーションを利用することができ、アプリケーションの利用が不可能との通知を受けたときには、クライアント１０を利用する利用者は、アプリケーションの利用ができなくなる。

　上記処理を実施することで、クライアント１０を利用する管理者は、アプリケーションの利用を許可する際に、申請の受付、アプリケーションの調査および評価、使用許可の作業を行うことがなく、作業の負担が軽減される。また、クライアント１０の利用者は、アプリケーションの評価に必要な安全な環境が自動的に用意されるため、容易且つ安全にアプリケーションの評価を行うことができる。

　さらに、アプリ評価用環境構築前やアプリ利用可否判定前などに、内外から収集した情報を用いることで、その時点で問題あれば、その後の処理を管理サーバ１２が停止するので、管理者や利用者は、余分な作業をすることがなく、作業コストの削減が可能となる。

　次に、図３に、事前準備における処理フローを示す。

　事前準備を行うに際して、クライアント１０と管理サーバ１２には、アプリ利用可否規則の作成タイミングT０１とセキュリティ情報の収集タイミングT０２が設定されている。

　以下、事前準備における処理を図３のタイムチャートと図４乃至図８のフローチャートに従って説明する。

　まず、アプリ利用可否規則の作成タイミングT０１では、図３に示すように、アプリ申請/操作/評価/利用可否規則編集プログラム４０がCPU３０によって起動され、処理が開始される。このとき、管理者２００からクライアント１０に対して、管理者専用画面の表示要求が実行されると（A２１）、クライアント１０は、認証画面の表示を行う（A２２）。この認証画面に対して、管理者２００が認証情報の入力操作を行うと（A２３）、クライアント１０は、管理サーバ１２との相互認証の処理を実施し、認証に成功したことを条件に、管理サーバ１２に対して認証情報の送信する（A２４）。

　このとき、管理サーバ１２において、入力された認証情報とメモリ５２に格納されている認証情報７０とを比較して、認証情報を確認するための処理が実行される。

　次に、管理サーバ１２は、認証結果をクライアント１０に送信し（A２５）、クライアント１０は、認証結果の表示を管理者２００に対して実行する（A２６）。この際、クライアント１０は、認証結果が成功したか否かを判定し、認証結果が成功のときには、認証結果を管理者２００に表示する処理を行い、管理者２００から、アプリ利用可否規則の入力を受け付ける（A２７）。

　次に、クライアント１０は、管理サーバ１２に対してアプリ利用可否規則を送信し（A２８）、管理サーバ１２は、受信したアプリ利用可否規則をメモリ５２に保存する。この後、管理サーバ１２は、クライアント１０と管理者２００に対して、アプリ利用可否規則を保存したことを通知する（A２９）。

　一方、事前準備のうちセキュリティ情報の取得タイミングT０２では、管理サーバ１２からセキュリティ情報サーバ２４に対してセキュリティ情報の要求が行われ（A３０）、セキュリティ情報サーバ２４から管理サーバ１２に対してセキュリティ情報の送信が行われる（A３１）。

　次に、事前準備におけるアプリ利用可否規則の作成タイミングT０１での処理を図４のフローチャートに従って説明する。

　アプリ利用可否規則の作成タイミングT０１では、アプリ申請/操作/評価/利用可否規則編集プログラム４０がCPU３０によって起動され、処理が開始される。このとき、管理者２００からクライアント１０に対して、管理者専用画面の表示要求が実行されると（S１）、クライアント１０は、認証画面の表示を行う（S２）。

　この認証画面に対して、管理者２００が認証情報の入力操作を行うと、クライアント１０は、認証情報を受領し（S３）、認証開始の指示があるか否かの判定を行い（S４）、認証開始の指示がないときには、ステップS２の処理に戻り、認証開始の指示があったときには、管理サーバ１２との相互認証の処理を実施し（S５）、認証に成功したことを条件に、管理サーバ１２に対して認証情報の送信を実行する（S６）。

　このとき、管理サーバ１２において、入力された認証情報とメモリ５２に格納されている認証情報７０とを比較して認証情報を確認するための処理が実行される。

　次に、管理サーバ１２は、図５に示すように、認証結果をクライアント１０に送信する（S１１）、クライアント１０は、認証結果の表示を管理者２００に対して実行する。この際、クライアント１０におけるCPU３０は、認証結果が成功したか否かを判定し（S１２）、認証結果が成功のときには認証結果を管理者２００に表示する処理を行い（S１３）、管理者２００からアプリ利用可否規則の入力を行う（S１４）。

　次に、CPU３０は、管理サーバ１２に対してアプリ利用可否規則を送信し（S１５）、管理サーバ１２は受信したアプリ利用可否規則をメモリ５２に保存する。

　一方、ステップS１２において、認証結果が失敗と判定したときには、CPU３０は、認証失敗のメッセージを認証結果の表示として、管理者専用画面に表示し（S１６）、不一致回数がN回以下か否かを判定する（S１７）。なお、Nは失敗許容回数を示す整数である。

　CPU３０は、不一致回数がN回以下と判定したときには、その旨を認証画面に表示し（S１８）、不一致回数が、N回を超えたと判定したときには、失敗許容回数を超えたことによるエラーとして、処理を終了する（S１９）。

　なお、不一致回数N回をしきい値として、不一致回数がN回を超える場合には処理を終了し、それまでは再度認証情報を入力する画面を表示することもできる。

　また、事前準備におけるアプリ利用可否規則の作成タイミングT０１では、図６に示すように、管理サーバ１２におけるアプリ利用可否規則管理プログラム６６がCPU５０によって起動され、クライアント１０から管理サーバ１２に対して認証情報が送信されると（S２１）、CPU５０は、受信した認証情報と管理サーバ１２が保有する認証情報７８とが一致するか否かを判定し（S２２）、両者が一致すると判定したときには、クライアント１０に対して成功した旨の認証結果を送信し（S２３）、一方、両者の情報が不一致であると判定したときには、クライアント１０に対して認証に失敗した旨の認証結果を送信する（S２４）。

　また、管理サーバ１２におけるCPU５０は、クライアント１０からアプリ利用可否規則が送信されたとき（S３１）、受信したアプリ利用可否規則をアプリ利用可否規則７２としてメモリ５２に保存し（S３２、A２８）、クライアント１０と管理者２００に対して、アプリ利用可否規則を保存したことを通知する（S３３）。

　ここで、図４３に、アプリ利用可否規則編集画面５００の表示例を示す。アプリ利用可否規則編集画面５００は、ダウンロード規則表示領域５０２と、プルダウンメニュー選択領域５０４と、規則表示領域５０６と、利用者評価表示領域５０８と、アプリのセキュリティ表示領域５１０と、OKボタン５１２と、キャンセルボタン５１４と、適用ボタン５１６を備えている。

　利用者が、プルダウンメニュー表示領域５０４を操作することで、アプリケーションのダウンロード規則やアプリケーションの利用可否規則が一覧表示されることになる。その際、規則表示領域５０６内の規則を選択することで、その規則の内容が表示される。

　利用者表示領域５０８には、「組織内の有効評価結果の回答割合」として、例えば、「３０％以上」が表示され、「評価観点における利用許可条件」として、「YESの数」が、例えば、「１個以下」として表示され、「上記回答した利用者の割合」が、例えば、「５０％以上」であると表示される。さらに、「上記評価をしていない人にて、以下の条件を満たしている人がいないこと」として、「アプリ起動回数」が、「０回以上」であると表示され、「アプリ実行時間」が、「００；３０；００以上」であると表示され、「役職」が、「課長相当職以上」であると表示される。

　アプリセキュリティ情報表示領域５１０には、例えば、「アプリケーションの不審な挙動の回数」が、「０回以下」であると表示され、「アプリケーションの脆弱性評価結果」が、「注意以下」であると表示される。

　また、アプリのセキュリティ情報表示領域５１０には、設定可能なアプリ利用可否規則の一覧が表示される。この際、設定したい項目について、下線部分（候補選択型）に値を設定することができる。

　次に、クライアント１０と管理サーバ１２における機器認証の処理を図８のフローチャートに従って説明する。この処理では、クライアント１０において、機器認証プログラム３８がCPU３０によって起動され、管理サーバ１２において、機器認証プログラム５６がCPU５０によって起動される。

　まず、クライアント１０におけるCPU３０は、認証情報を入力し（S４１）、管理サーバ１２の機器認証プログラム５６への接続を要求し（S４２）、管理サーバ１２は、乱数を生成し、クライアント１０に通知する（S４３）。

　クライアント１０のCPU３０は、乱数に管理サーバ１２の認証の共通鍵を使用し、生成した値を管理サーバ１２の機器認証プログラム５２に通知する（S４４）。

　管理サーバ１２のCPU５０は、生成した乱数に、管理サーバ１２の認証用の共通鍵を使用し、その値と通知された値が一致するか否かを判定し（S４５）、両者が一致すると判定したときには、認証成功をクライアント１０の機器認証プログラム３８に通知し（S４６）、両者の値が不一致と判定したときには、認証失敗をクライアント１０の機器認証プログラム３８に通知する（S４７）。

　この後、クライアント１０のCPU３０は、管理サーバ１２からの認証結果を判定し、認証結果を表示する（S４８）。

　上記処理は、クライアント１０と管理サーバ１２がチャレンジ＆レスポンス方式で機器認証を実行する例を説明したが、クライアント１０と管理サーバ１２だけではなく、管理サーバ１２と他のサーバ、例えば、アプリ利用管理サーバ１６との間で機器認証を行うこともできる。この場合、各機器に、各機器の相互認証を行うためのプログラムを配置することになる。

　次に、図９に、管理テーブル３００の構成を示す。図９において、処理タイミング３０２として、事前準備では、アプリ利用可否規則の作成タイミングT０１、セキュリティ情報の収集タイミングT０２が設定され、通知要求元の機器３０４として、クライアント１０、管理サーバ１２が用いられ、通信要求先の機器３００として、管理サーバ１２とセキュリティ情報サーバ２４が用いられ、通信要求元のプログラム３０８として、アプリ申請/操作/評価/利用可否規則編集プログラム４０と、セキュリティ情報アプリ取得プログラム６４が用いられ、通信要求先のプログラム３１０として、アプリ利用可否規則管理プログラム６６と、Webサーバ１７２が用いられることになる。

　次に、アプリ申請タイミングT１１とアプリのダウンロードタイミングT２１～T２３および評価タイミングの構築タイミングT３１における処理を図１０のタイムチャートと図１１～図２２のフローチャートに従って説明する。

　アプリ申請タイミングT１１においては、まず、申請者２０４から、アプリ申請に必要な項目の入力が行われると（A４１）、クライアント１０は、管理サーバ１２と相互認証の処理を実施し、認証に成功したことを条件に、管理サーバ１２に対してアプリ申請情報の送信を行う（A４２）。この際、管理サーバ１２は、クライアント１０から、アプリ申請情報を受信し、受信したアプリ申請情報をメモリ５２に保存し、クライアント１０と申請者２０４に対してアプリ申請情報を受領したことを通知する（A４３）。

　ここで、図４４に、アプリ申請画面５２０の一例を示す。アプリ申請画面５２０には、入力項目一覧表示領域５２２と、OKボタン５２４と、キャンセルボタン５２６が表示される。

　入力項目一覧表示領域５２２には、申請者名５２８、アプリケーション名５３０、アプリケーションのバージョン情報５３２、アプリケーションのURL５３４が表示される。なお、これらの入力項目の一覧の全ての項目が必須とは限らない。

　次に、アプリのダウンロードタイミングT２１～T２３において、管理サーバ１２は、判定/アプリ利用可否リスト管理プログラム６２を起動して処理を開始し、セキュリティ情報８０を確認し、申請されたアプリの存在するサイトが安全か否かを判定し、安全であると判定したときには、アプリ提供サーバ２６に対してアプリのダウンロードを要求する（A５１）。この後、アプリ提供サーバ２６から管理サーバ１２に対してアプリが送信され（A５２）、管理サーバ１２は、受信したアプリをメモリ５２に保存する。

　一方、管理サーバ１２は、サイトが安全でないと判定したときには、判定結果に従ってアプリ利用可否リスト８６を更新し、アプリ利用管理サーバ１６に対して、アプリ利用可否リストを送信する（A５３）。

　アプリ利用管理サーバ１６は、アプリ利用可否リスト１３０をメモリ１２２に保存し、クライアント１０に対して、アプリ利用可否リスト１３０を展開する（A５４）。

　この際、サイトが危険であるときには、ここで処理を終了し、サイトが安全である場合は、クライアント１０は、評価環境構築、アプリの評価、情報の収集などの処理を実行し、アプリ利用可否リスト４６をメモリ３２に保存するとともに、保存したアプリ利用可否リスト４６に基づいてアプリの起動を制御する。

　次に、評価環境の構築タイミングT３１においては、管理サーバ１２からアプリ評価用サーバ１４に対して評価環境の構築が要求される（A６１）。アプリ評価用サーバ１４は、管理サーバ１２からの要求に応答して、評価環境を構築し、その後、管理サーバ１２に対して、評価環境の構築完了を通知する（A６２）。

　次に、アプリ申請タイミングT１１における処理を図１１のフローチャートに基づいて説明する。

　まず、クライアント１０のCPU３０は、アプリ申請/操作/評価/利用可否規則編集プログラム４０を起動して処理を開始し、申請者２０４から、アプリ申請に必要な項目の入力が行われると（S５１）、これに応答して、管理サーバ１２と相互認証の処理を実施する（S５２）。

　クライアント１０のCPU３０は、認証に成功したことを条件に、管理サーバ１２に対してアプリ申請情報の送信を行う（S５３）。

　この際、管理サーバ１２のCPU５０は、図１２に示すように、申請および評価受付プログラム６０を起動し、クライアント１０からのアプリ申請情報の受信処理を実行し（S６１）、受信したアプリ申請情報をメモリ５２に保存し（S６２）、クライアント１０と申請者２０４に対してアプリ申請情報を受領したことを通知し（S６３）、判定/アプリ利用可否リスト管理プログラム６２に対してアプリの存在するサイトの安全確認依頼を行う（S６４）。

　次に、アプリのダウンロードタイミングT２１～T２３においては、図１３に示すように、管理サーバ１２におけるCPU５０は、判定/アプリ利用可否リスト管理プログラム６２を起動して処理を開始し、アプリが存在するサイトの安全確認依頼を入力し（S７１）、この入力に応答して、セキュリティ情報８０を確認し、申請されたアプリの存在するサイトが安全か否かを判定し（S７２）、安全であると判定したときには、セキュリティ情報/アプリ取得プログラム６４に対してアプリのダウンロードを要求する（S７３）。

　これにより、管理サーバ１２からアプリ提供サーバ２６に対してアプリのダウンロードが要求される。この後、アプリ提供サーバ２６から管理サーバ１２に対してアプリが送信され、管理サーバ１２のCPU５０は、アプリをメモリ５２に保存する。

　一方、ステップS７２において、サイトが安全でないと判定したときには、CPU５０は、判定結果に従ってアプリ利用可否リスト８６を更新し、アプリ利用管理サーバ１６との相互認証の処理を実施し（S７５）、認証に成功したことを条件に、アプリ利用管理サーバ１６に対してアプリ利用可否リストを送信する（S７６）。

　このとき、アプリ利用管理サーバ１６は、アプリ利用可否リスト１３０をメモリ１２２に保存し、クライアント１０に対してアプリ利用可否リスト１３０を展開する。

　次に、管理サーバ１２からアプリ提供サーバ２６に対してアプリのダウンロードが要求されたときには、図１４に示すように、CPU５０は、セキュリティ情報/アプリ取得プログラム６４を起動して、処理を開始し、アプリのダウンロードの要求を入力し（S８１）、アプリ提供サーバ２６との相互認証の処理を実施し（S８２）、認証に成功したことを条件に、アプリ提供サーバ２６に対してアプリのダウンロードを要求する（S８３）。

　このとき、アプリ提供サーバ２６においては、図１５に示すように、Webサーバ１９０が、アプリのダウンロードの要求を入力し（S９１）、管理サーバ１２に対してアプリを送信する（S９２）。

　次に、管理サーバ１２のCPU５０は、図１６に示すように、Webサーバ１９０から、アプリを受信し（S１０１）、受信したアプリをメモリ５２に保存する（S１０２）。

　一方、アプリ利用管理サーバ１６におけるCPU１２０は、図１７に示すように、アプリ利用可否リスト展開プログラム１３４を起動して処理を開始し、アプリ利用可否リスト１３０を受信し（S１１１）、受信したアプリ利用可否リスト１３０をメモリ１２２に保存し（S１１２）、クライアント１０との相互認証処理を実施し（S１１３）、認証に成功したことを条件に、クライアント１０に対して、アプリ利用可否リスト１３０を展開する（S１１４）。

　一方、クライアント１０におけるCPU１０は、図１８に示すように、アプリ利用可否制御プログラム４２を起動して、アプリ利用管理サーバ１６によって展開されたアプリ利用可否リスト１３０を入力し（S１２１）、アプリ利用可否リスト４６をメモリ３２に保存し（S１２２）、保存したアプリ利用可否リスト４６に基づいて、当該クライアント１０におけるアプリの起動を制御する（S１２３）。

　次に、評価環境の構築タイミングT３１においては、管理サーバ１２からアプリ評価用サーバ１４に対して評価環境の構築が要求され、アプリ評価用サーバ１４において評価環境の構築が行われ、アプリ評価用サーバ１４から管理サーバ１２に対して評価環境の構築完了が通知される。

　具体的には、図１９に示すように、管理サーバ１２におけるCPU５０は、セキュリティ情報/アプリ取得プログラム６４を起動して処理を開始し、アプリをメモリ５２に保存し（S１３１）、アプリ評価用サーバ１４との相互認証の処理を実施し（S１３２）、認証に成功したことを条件に、アプリ評価用サーバ１４に対して評価環境の構築を要求する（S１３３）。

　一方、アプリ評価用サーバ１４におけるCPU９０は、図２０に示すように、評価環境構築プログラム１０２を起動して処理を開始し、管理サーバ１２から、評価環境の構築の要求を入力し（S１４１）、入力した要求に応答して評価環境の構築を行い（S１４２）、管理サーバ１２に対して評価環境の構築完了を通知する（S１４３）。この評価環境の構築では、VM環境の構築を行うとともに、アプリの導入を行う。この際、すでに構築済みで、アプリを導入している環境の場合にはVM環境の構築は不要である。

　一方、管理サーバ１２におけるCPU５０は、図２１に示すように、セキュリティ情報/アプリ取得プログラム６４を起動して、アプリ評価用サーバ１４から、評価環境の構築完了の通知を入力し（S１５１）、入力した通知に応答して、申請および評価受付プログラム６０に対して評価環境の構築完了を通知する（S１５２）。

　次に、図２２に示すように、CPU５０は、申請および評価受付プログラム６０を起動して処理を開始し、評価環境の構築完了の通知を入力し（S１６１）、入力した通知に応答して、クライアント１０に対して評価環境の構築完了（評価可能であること）を通知する（S１６２）。

　なお、上記処理では、全てのクライアント１０に通知しているが、メールなど使用して通知することもでき、また管理サーバ１２上にWebサーバプログラムを用意し、このWebサーバプログラムを用いて情報を公開することもできる。

　アプリ申請タイミングT１１では、図９に示すように、通信要求元の機器３０４として、クライアント１０が用いられ、通信要求先の機器３０６として管理サーバ１２が用いられ、通信要求元のプログラム３０８として、アプリ申請/操作/評価/利用可否規則編集プログラム４０が用いられ、通信要求先のプログラム３１０として、申請および評価受付プログラム６０が用いられる。

　また、アプリのダウンロードタイミングT２１～T２３では、通信要求元の機器３０４として、管理サーバ１２とアプリ利用管理サーバ１６が用いられ、通信要求元の機器３０６として、管理サーバ１２、アプリ利用管理サーバ１６、クライアント１０が用いられ、通信要求元のプログラム３０８として、セキュリティ情報/アプリ取得プログラム６４、判定/アプリ利用可否リスト管理プログラム６２、アプリ利用可否リスト展開プログラム１３４が用いられ、通信要求先のプログラム３１０として、申請および評価受付プログラム６０、Webサーバ１９０、アプリ利用可否制御プログラム４２が用いられることになる。

　次に、評価環境構築の完了タイミングT４１とアプリの操作・評価タイミングT５１および評価情報以外の情報の収集タイミングT６１～T６３における処理を図２３のタイムチャートと図２４乃至図３４のフローチャートに従って説明する。

　まず、評価環境構築の完了タイミングT４１では、管理サーバ１２からクライアント１０に対して評価環境の構築完了が通知される（A７１）。

　次に、アプリの操作・評価タイミングT５１では、利用者２０２は、クライアント１０に対して、操作するアプリを選択する。クライアント１０は、アプリ評価用サーバ１４に対して、選択したアプリの評価環境へ接続する（A８２）。このとき、アプリ評価用サーバ１４は、選択したアプリの環境が利用可能か否かを確認し、確認結果として、利用可否をクライアント１０に対して通知する（A８３）。

　このとき、クライアント１０は、アプリが利用可能であれば、アプリを評価するための処理を実施し、アプリの利用が不可能なときには処理を終了する。

　アプリの利用が可能なときには、利用者２０２は、クライアント１０に対してアプリの操作を実行し（A８４）、クライアント１０は、アプリの操作内容をアプリ評価用サーバ１４に送信する（A８５）。アプリ評価用サーバ１４は、操作内容を当該アプリに渡し、その結果を取得し、管理サーバ１２に送信する（A８６）。

　クライアント１０は、操作結果を利用者２０２に対して表示する（A８７）。この後、評価を実施するまで、A８４～A８７の処理が繰り返される。

　アプリに対する評価を実施した後、利用者２０２は、クライアント１０に対して、アプリの評価を入力し（A８８）、クライアント１０は、管理サーバ１２に対して、アプリの評価を送信する（A８９）。管理サーバ１２は、受信したアプリの評価をメモリ５２に保存し、その後、アプリの評価結果を受信したことをクライアント１０に通知するとともに、利用者２０２に通知する（A９０）。

　次に、アプリの操作・評価タイミングT５１における具体的な処理を図２４乃至図３４のフローチャートに従って説明する。まず、クライアント１０のCPU３０は、アプリ申請/操作/評価/利用可否規則編集プログラム４０を起動して、利用者２０２の操作するアプリの選択を受け付け（S１７１）、アプリ評価用サーバ１４との相互認証の処理を実施し（S１７２）、認証に成功したことを条件に、アプリ評価用サーバ１４に対して、選択したアプリの評価環境構築へ接続する（S１７３）。

　次に、アプリ評価用サーバ１４のCPU９０は、図２５に示すように、リモコンマネージャプログラム１１６を起動し、選択したアプリの評価環境へ接続されたことの処理を入力し（S１８１）、選択したアプリの環境が利用可能か否かを判断し、この判断結果としての利用可否をクライアント１０に対して通知する（S１８３）。

　一方、クライアント１０におけるCPU３０は、図２６に示すように、アプリ申請/操作/評価/利用可否規則編集プログラム４０を起動して、利用者２０２からのアプリの操作を受け付け（S１９１）、アプリ評価用サーバ１４に対して、アプリの操作内容を送信する（S１９２）。

　一方、アプリ評価用サーバ１４におけるCPU９０は、図２７に示すように、リモコンマネージャプログラム１１６を起動し、アプリの操作内容を受信し（S２０１）、受信した操作内容を当該アプリに渡し、その結果を取得し（S２０２）、クライアント１０に対して操作結果を送信する（S２０３）。

　また、クライアント１０におけるCPU３０は、図２８に示すように、アプリ申請/操作/評価/利用可否規則編集プログラム４０を起動し、操作結果を受信し（S２１１）、受信した操作結果をクライアント１０に対して表示する（S２１２）。

　一方、アプリ評価用サーバ１４のCPU９０は、図２９に示すように、操作ログ/不審な挙動取得プログラム１１２を起動し、利用者の操作またはアプリの不審な挙動の発生を入力し（S２２１）、利用者の操作ログもしくはアプリの不審な挙動をメモリ９２に保存する（S２２２）。

　また、クライアント１０におけるCPU３０は、図３０に示すように、アプリ申請/操作/評価/利用可否規則編集プログラム４０を起動し、利用者２０２から、アプリの評価の入力を受付（S２３１）、管理サーバ１２との相互認証の処理を実施し（S２３２）、認証に成功したことを条件に、管理サーバ１２に対して、アプリの評価を送信する（S２３３）。

　一方、管理サーバ１２におけるCPU５０は、図３１に示すように、申請および評価受付プログラム６０を起動し、アプリの評価をクライアント１０から受信し（S２４１）、受信したプリの評価をメモリ５２に保存し（S２４２）、クライアント１０と利用者２０２に対して、アプリの評価結果を受信したことを通知する（S２４３）。

　ここで、図４５に、アプリ選択画面５４０の表示例を示す。

　アプリ選択画面５４０は、アプリ一覧表示領域５４２と、OKボタン５４４と、キャンセルボタン５４６を備えている。

　アプリ一覧表示領域５４２には、アプリケーション名５４８、バージョン情報５５０、アプリの種別５５２、申請日５５４が表示される。この際、利用者２０２は、アプリ一覧表示領域５４２に操作/評価可能なアプリの一覧が表示されるため、操作/評価したいアプリを選択することができる。

　次に、図４６に、アプリ評価画面５６０の表示例を示す。

　アプリ評価画面５６０は、評価者名表示領域５６２と、評価観点一覧表示領域５６４と、OKボタン５６６と、キャンセルボタン５６８から構成される。

　評価者名表示領域５６２には、アプリケーションを評価した人の「評価者名」が表示され、評価観点一覧表示領域５６４には、「操作時に大量のエラーメッセージやエラーログが表示される」と、「個人情報や暗証番号を入力するインターフェースが表示される」と、「誹謗中傷などの不適切なメッセージが表示される」などの項目が表示される。これらの項目に対応して、各観点に対する評価を入力するための入力領域５７０、５７４、５７４には、評価として妥当なときには「YES」が入力され、評価が妥当でないときには「NO」が入力される。

　次に、図４７に、アプリ評価結果表示画面５８０の表示例を示す。

　アプリ評価結果表示画面５８０は、アプリ名表示領域５８２と、評価結果一覧表示領域５８４と、利用可ボタン５８６と、利用不可ボタン５８８と、キャンセルボタン５９０から構成される。

　アプリ名表示領域５８２には、「アプリ名」が表示され、評価結果一覧表示領域５８４には、利用者評価結果５９２と、アプリの不審な挙動５９４と、外部のセキュリティ情報５９６に関する情報が表示される。

　例えば、利用者評価結果５９２には、「操作時に大量のエラーメッセージやエラーダイヤログが表示される」に対応して「５３％」が表示され、「個人情報や暗証番号を入力するインターフェースが表示される」に対応して「０％」が表示され、「誹謗中傷などの不適切なメッセージが表示される」に対応して「３２％」が表示される。

　アプリの不審な挙動１９４には、例えば、「マシン外へのファイル転送回数」に対応して「１００回」が表示され、「マシン内へのファイル転送回数」に対応して「１０３回」が表示され、「他マシンへのアクセス回数」に対応して「５９回」が表示される。

　外部セキュリティ情報５９６には、例えば、「セキュリティサイト１」に対応して「注意」が表示され、「セキュリティサイト２」に対応して「警告」が表示される。なお、アプリ評価結果表示画面５８２には、アプリ利用可否規則として設定されていない項目については表示されない。また、判定を先延ばしする場合には、利用者は、キャンセルボタン５９０を選択することになる。

　なお、あくまで、判定処理は基本的には自動で実施される。ただし、判定を自動とせずに、アプリ評価結果表示画面を表示して、毎回管理者に手動で判定の可否を実施させてもよい。そして、手動判定時に、利用可否の判定を先延ばしにすることもでき、その場合は、キャンセルボタンを選択することになる。

　次に、評価情報以外の情報の収集タイミングT６１～T６３においては、図２３に示すように、定期的なタイミングあるいは任意のタイミングで管理サーバ１２は、アプリ評価用１４に対して、操作ログ、不審な挙動の要求を出力する（A１０１）。アプリ評価用サーバ１４は、管理サーバ１２に対して、操作ログ、不審な挙動に関する情報を送信する（A１０２）。

　また、管理サーバ１２は、セキュリティ情報サーバ２４に対して、セキュリティ情報の要求を出力し（A１０３）、セキュリティ情報サーバ２４は、管理サーバ１２からの要求に応答して、管理サーバ１２に対して、セキュリティ情報を送信する（A１０４）。

　評価情報以外の情報の収集タイミングでは、図３２に示すように、管理サーバ１２のCPU５０は、セキュリティ情報/アプリ取得プログラム６４を起動し、管理サーバ自身による操作ログ、不審な挙動に関する取得をトリガーとし（S２５１）、アプリ評価用サーバ１４との相互認証の処理を実施し（S２５２）、認証に成功したことを条件に、アプリ評価用サーバ１４に対して、操作ログ、不審な挙動を要求する（S２５３）。

　一方、アプリ評価用サーバ１４におけるCPU９０は、図３３に示すように、操作ログ/不審な挙動取得プログラム１１２を起動し、操作ログ、不審な挙動の要求を受付（S２６１）、この要求に応答して、管理サーバ１２に対して、操作ログ、不審な挙動に関する情報を送信する（S２６２）。
次に、管理サーバ１２におけるCPU５０は、図３４に示すように、セキュリティ情報/アプリ取得プログラム６４を起動し、操作ログ、不審な挙動に関する情報をアプリ評価用サーバ１４から受信し（S２７１）、受信した操作ログおよび不審な挙動に関する情報をメモリ５２に保存する（S２７２）。

　アプリ操作・評価タイミングT５１では、図９に示すように、通信要求元の機器３０４として、クライアント１０が用いられ、通信要求先の機器３０６として、アプリ評価用サーバ１４が用いられ、通信要求元のプログラム３０８として、アプリ申請/操作/評価/利用可否規則編集プログラム４０が用いられ、通信要求先のプログラム３１０として、申請および評価受付プログラム６０が用いられる。

　また、評価情報以外の情報の収集タイミングT６１～T６３では、通信要求元の機器３０４として、管理サーバ１２が用いられ、通信要求元の機器３０６として、アプリ評価用サーバ１４、セキュリティ情報サーバ２４が用いられ、通信要求元のプログラム３０８として、セキュリティ情報/アプリ取得プログラム６４、セキュリティ情報/アプリ取得プログラム６４が用いられ、通信要求先のプログラム３１０として、操作ログ/不審な挙動取得プログラム１１２が用いられることになる。

　次に、評価情報以外の情報の収集タイミングT６３と、アプリ利用可否リストの更新タイミングおよびアプリ利用可否リストの展開タイミングの処理を図３５のタイムチャートと図３６乃至図４２のフローチャートに従って説明する。

　まず、評価情報以外の情報の収集タイミングT６３では、管理サーバ１２は、パーソナル情報サーバ１８に対して、パーソナル情報の送信を要求し（A１１１）、パーソナル情報サーバ１８は、管理サーバ１２からの要求に応答して、管理サーバ１２に対してパーソナル情報を送信する（A１１２）。

　一方、判定し、アプリ利用可否リスト更新タイミングT７１では、管理サーバ１２は、クライアント１０から、アプリの評価を受信したタイミングとセキュリティ情報サーバ２４からセキュリティ情報を受信したタイミングおよびアプリ評価用サーバ１４から操作ログや不審な挙動を受信したタイミングあるいはパーソナル情報サーバ１８からパーソナル情報を受信したタイミングで、受信した情報とアプリ利用可否規則７２とを比較し、この比較結果に従ってアプリ利用可否リスト８６の内容を更新する。

　また、アプリ利用可否リストの展開タイミングT８１では、管理サーバ１２は、アプリ利用可否リストをアプリ利用管理サーバ１６に対して送信する（A１２１）。アプリ利用管理サーバ１６は、受信したアプリ利用可否リスト１３０をメモリ１２２に保存し、アプリ利用可否リストをクライアント１０に対して展開する（A１２２）。

　クライアント１０は、アプリ利用可否リスト４６を保存するとともに、保存したアプリ利用可否リスト４６に基づいてアプリの起動を制御する。

　評価情報以外の情報の収集タイミングT６３では、図３６に示すように、管理サーバ１２のCPU５０は、セキュリティ情報/アプリ取得プログラム６４を起動し、管理サーバ自身によるセキュリティ情報取得をトリガーとし（S２８１）、セキュリティ情報サーバ２４との相互認証の処理を実施し（S２８２）、認証に成功したことを条件に、セキュリティ情報サーバ２４に対して、セキュリティ情報の要求を出力する（S２８３）。

　セキュリティ情報サーバ２４は、図３７に示すように、管理サーバ１２からの要求に応答して、Webサーバ１７２のプログラムを起動し、セキュリティ情報の要求を受付（S２９１）、管理サーバ１２に対して、セキュリティ情報１６６を送信する（S２９２）。

　管理サーバ１２のCPU５０は、図３８に示すように、セキュリティ情報/アプリ取得プログラム６４を起動し、セキュリティ情報サーバ２４からのセキュリティ情報を受信し（S３０１）、受信したセキュリティ情報をメモリ５２に保存する（S３０２）。

　また、管理サーバ１２におけるCPU５０は、図３９に示すように、セキュリティ情報/アプリ取得プログラム６４を起動し、管理サーバ自身によるパーソナル情報取得をトリガーとし（S３１１）、パーソナル情報サーバ１８との相互認証の処理を実施し（S３１２）、認証に成功したことを条件に、パーソナル情報サーバ１８に対して、パーソナル情報の送信を要求する（S３１３）。

　一方、パーソナル情報サーバ１８は、図４０に示すように、Webサーバ１５４を起動し、管理サーバ１２からのパーソナル情報の要求を受付（S３２１）、管理サーバ１２に対して、パーソナル情報１４８を送信する（S３２０）。

　管理サーバ１２のCPU５０は、図４１に示すように、セキュリティ情報/アプリ取得プログラム６４を起動し、パーソナル情報サーバ１８からパーソナル情報を受信し（S３３１）、受信したパーソナル情報８２をメモリ５２に保存する（S３３２）。

　次に、判定し、アプリ利用可否リストを更新するタイミングT７１では、管理サーバ１２のCPU５０は、図４２に示すように、判定/アプリ利用可否リスト管理プログラム６２を起動し、評価情報以外の情報の収集タイミングで保存したタイミングで処理を開始し（S３４１）、受信した情報とアプリ利用可否規則７０とを比較し、この比較結果に従って利用可否リスト８６を更新し（S３４２）、アプリ利用管理サーバ１６との相互認証の処理を実施し（S３４３）、認証に成功したことを条件に、アプリ利用管理サーバ１６に対して、更新されたアプリ利用可否リスト８６を送信する（S３４４）。

　アプリ利用可否リストの展開タイミングT８１では、図９に示すように、通信要求元の機器３０４として、管理サーバ１２が用いられ、通信要求先の機器３０６として、アプリ利用管理サーバ１６が用いられ、通信要求元のプログラム３０８として、判定/アプリ利用可否リスト管理プログラム６６が用いられ、通信要求先のプログラム３１０として、アプリ利用可否リスト展開プログラム１３４が用いられる。

　本実施形態によれば、管理サーバ１２は、安全なアプリケーション評価環境を構築してクライアント１０に提供し、クライアント１０から収集した評価結果を基にアプリケーションの利用可否を判断し、その判断結果をクライアント１０に提供することができる。
また、本実施形態によれば、管理者は、アプリケーションの利用許可する際に行っていた作業として、例えば、申請の受付、アプリケーションの調査および評価、使用許可の作業を行うことなく、作業の負担が軽減され、利用者は、アプリケーションの評価に必要な安全な環境が自動的に用意されるため、容易且つ安全にアプリケーションの評価を行うことができる。

　さらに、本実施形態によれば、アプリケーション評価用環境構築前やアプリケーション利用可否判断前などに、内外から収集した情報を用いることで、その時点でアプリケーションの利用に問題があれば、その後の作業を行うことなく処理を終了することができるので、余分な作業をする必要がなく、作業に伴うコスト削減が可能となる。

１０・・・クライアント（クライアント端末）
１２・・・管理サーバ
１４・・・アプリ評価用サーバ
１６・・・アプリ利用管理サーバ
１８・・・パーソナル情報サーバ
２０・・・ネットワーク
２２・・・インターネット
２４・・・セキュリティ情報サーバ
２６・・・アプリケーション提供サーバ
３０・・・CPU
３２・・・メモリ
３８・・・機器認証プログラム
４０・・・アプリ申請/操作/評価/利用可否規則編集プログラム
４２・・・アプリ利用可否制御プログラム
４６・・・アプリ利用可否リスト
５０・・・CPU
５２・・メモリ
６０・・・申請および評価受付プログラム
６２・・・判定/アプリ利用可否リスト管理プログラム
６４・・・セキュリティ情報/アプリ取得プログラム
６６・・・アプリ利用可否規則管理プログラム
９０・・・CPU
９２・・・メモリ
１０２・・・評価環境構築プログラム
１０４・・・VMプログラム
１１２・・・操作ログ/不審な挙動取得プログラム
１１６・・・リモコンマネージャプログラム
１２０・・・CPU
１２２・・・メモリ
１３４・・・アプリ利用可否リスト展開プログラム
１４０・・・CPU
１４２・・・メモリ　

Claims

　セキュリティ情報を格納するセキュリティ情報サーバとアプリケーションを提供するアプリケーション提供サーバにネットワークを介して接続された管理サーバと、前記管理サーバに前記ネットワークを介して接続された複数のクライアント端末と、を有し、
前記管理サーバは、前記各クライアント端末と情報の授受を行って前記アプリケーションの利用の可否を管理する管理システムであって、
前記各クライアント端末は、
前記管理サーバに対して、前記アプリケーション提供サーバから提供されるアプリケーションの利用を申請し、
前記管理サーバは、
前記各クライアント端末からの申請に応答して、前記申請で要求されたアプリケーションの提供元を特定する情報と前記セキュリティ情報サーバから取得した外部のセキュリティ情報とを比較し、前記申請で要求されたアプリケーションの提供元が安全上問題ないことを条件に、前記申請で要求されたアプリケーションを前記アプリケーション提供サーバから取得し、前記取得したアプリケーションに対して安全なアプリケーション評価環境を構築して前記各クライアント端末に提供し、前記各クライアント端末から前記取得したアプリケーションに対する評価結果が入力されたときに、前記入力された評価結果を含む利用可否判断情報と前記いずれかのクライアント端末から受信したアプリケーション利用可否規則とを比較し、前記取得したアプリケーションについて利用可否を判断し、前記判断結果を前記各クライアント端末に送信する管理システム。
前記利用可否判断情報は、
前記取得したアプリケーションに対するセキュリティのチェック結果を示す情報、前記取得したアプリケーションに対する操作ログを示す情報、前記取得したアプリケーションに対する不適切で不必要なアクセスを示す情報、前記各利用者の個人情報、または前記ネットワークから得られた外部のセキュリティ情報のうち少なくとも一つの情報を含む、請求項１記載の管理システム。
前記管理サーバは、
前記外部のセキュリティ情報として、アプリケーションの脆弱性情報と不適切なサイトの情報および不適切なアプリケーションの情報を、前記セキュリティ情報サーバから取得する、請求項２記載の管理システム。
前記管理サーバは、
前記取得したアプリケーションを稼働するための基本ソフトウェアの種類またはバージョンに関する情報が、前記外部のセキュリティ情報に属する情報のうち前記アプリケーションの脆弱性情報で規定された条件を満たさない場合にのみ、前記取得したアプリケーションに対して安全なアプリケーション評価環境を構築し、前記基本ソフトウェアの種類またはバージョンに関する情報が、前記アプリケーションの脆弱性情報で規定された条件を満たす場合には、前記取得したアプリケーションに対して安全なアプリケーション評価環境を構築することなく、前記取得したアプリケーションについて利用不可と判断する、請求項３記載の管理システム。
前記管理サーバは、
前記ネットワークを介してアプリケーション評価用サーバに接続され、前記申請で要求されたアプリケーションを前記アプリケーション提供サーバから取得したときに、前記取得したアプリケーションに対して安全なアプリケーション評価環境の構築を、前記アプリケーション評価用サーバに依頼し、前記アプリケーション評価用サーバで構築された安全なアプリケーション評価環境を前記各クライアント端末に提供する、請求項４記載の管理システム。
前記管理サーバは、
前記ネットワークを介してアプリケーション利用管理サーバに接続され、前記取得したアプリケーションについて利用可否を判断したときに、前記判断結果を前記アプリケーション利用管理サーバに送信し、
前記アプリケーション利用管理サーバは、
前記管理サーバから送信された前記判断結果を受信したときに、前記受信した前記判断結果を基に前記各利用者の利用対象となる複数のアプリケーションの利用可否の情報を格納するアプリケーション利用可否リストを更新し、前記更新したアプリケーション利用可否リストを前記各クライアント端末に送信する、請求項５記載の管理システム。
　セキュリティ情報を格納するセキュリティ情報サーバとアプリケーションを提供するアプリケーション提供サーバにネットワークを介して接続された管理サーバと、前記管理サーバに前記ネットワークを介して接続された複数のクライアント端末と、を有し、
前記管理サーバは、前記ネットワークを介してアプリケーション評価用サーバとアプリケーション利用管理サーバに接続された計算機システムの情報処理方法であって、
前記各クライアント端末は、
前記管理サーバに対して、前記アプリケーション提供サーバから提供されるアプリケーションの利用を申請し、
前記管理サーバは、
前記各クライアント端末からの申請に応答して、前記申請で要求されたアプリケーションの提供元を特定する情報と前記セキュリティ情報サーバから取得した外部のセキュリティ情報とを比較し、
前記比較結果を基に前記申請で要求されたアプリケーションの提供元が安全上問題ないことを条件に、前記申請で要求されたアプリケーションを前記アプリケーション提供サーバから取得し、
前記取得したアプリケーションに対して安全なアプリケーション評価環境を構築して前記各クライアント端末に提供し、
前記各クライアント端末から前記取得したアプリケーションに対する評価結果が入力されたときに、前記入力された評価結果を含む利用可否判断情報と前記いずれかのクライアント端末から受信したアプリケーション利用可否規則とを比較し、
前記比較結果を基に前記取得したアプリケーションについて利用可否を判断し、
前記判断結果を前記各クライアント端末に送信することを特徴とする計算機システムの情報処理方法。
前記利用可否判断情報は、
前記取得したアプリケーションに対するセキュリティのチェック結果を示す情報、前記取得したアプリケーションに対する操作ログを示す情報、前記取得したアプリケーションに対する不適切で不必要なアクセスを示す情報、前記各利用者の個人情報、または前記ネットワークから得られた外部のセキュリティ情報のうち少なくとも一つの情報を含む、請求項７記載の計算機システムの情報処理方法。
前記管理サーバは、
前記外部のセキュリティ情報として、アプリケーションの脆弱性情報と不適切なサイトの情報および不適切なアプリケーションの情報を、前記セキュリティ情報サーバから取得する、請求項８記載の計算機システムの情報処理方法。
前記管理サーバは、
前記取得したアプリケーションを稼働するための基本ソフトウェアの種類またはバージョンに関する情報が、前記外部のセキュリティ情報に属する情報のうち前記アプリケーションの脆弱性情報で規定された条件を満たさない場合にのみ、前記取得したアプリケーションに対して安全なアプリケーション評価環境を構築し、
前記基本ソフトウェアの種類またはバージョンに関する情報が、前記アプリケーションの脆弱性情報で規定された条件を満たさす場合には、前記取得したアプリケーションに対して安全なアプリケーション評価環境を構築することなく、前記取得したアプリケーションについて利用不可と判断する、請求項９記載の計算機システムの情報処理方法。
前記管理サーバは、
前記申請で要求されたアプリケーションを前記アプリケーション提供サーバから取得したときに、前記取得したアプリケーションに対して安全なアプリケーション評価環境の構築を、前記アプリケーション評価用サーバに依頼し、
前記アプリケーション評価用サーバで構築された安全なアプリケーション評価環境を前記各クライアント端末に提供する、請求項１０記載の計算機システムの情報処理方法。
前記管理サーバは、
前記取得したアプリケーションについて利用可否を判断したときに、前記判断結果を前記アプリケーション利用管理サーバに送信し、
前記アプリケーション利用管理サーバは、
前記管理サーバから送信された前記判断結果を受信したときに、前記受信した前記判断結果を基に前記各利用者の利用対象となる複数のアプリケーションの利用可否の情報を格納するアプリケーション利用可否リストを更新し、
前記更新したアプリケーション利用可否リストを前記各クライアント端末に送信する、請求項１１記載の計算機システムの情報処理方法。