WO2012132012A1

WO2012132012A1 - 管理装置、管理プログラムおよび管理方法

Info

Publication number: WO2012132012A1
Application number: PCT/JP2011/058350
Authority: WO
Inventors: 正信森永; 金谷　延幸
Original assignee: 富士通株式会社
Priority date: 2011-03-31
Filing date: 2011-03-31
Publication date: 2012-10-04
Also published as: JP5733387B2; JPWO2012132012A1; EP2693357A1; EP2693357A4; US20140059661A1

Abstract

　管理装置（１０）が、認証部（１０ｃ）と、制御部（１０ｄ）とを有する。管理装置（１０）が有する認証部（１０ｃ）は、第一の装置（１１）から認証情報を受信した場合に、第一の記憶部（１０ａ）に記憶された複数の認証情報を用いて、受信した認証情報を認証する。管理装置（１０）が有する制御部（１０ｄ）は、認証部（１０ｃ）による認証が成功した場合に、第二の記憶部（１０ｂ）に記憶された単一のログイン情報を用いて、第二の装置（１２）へのログインを実行させる。

Description

管理装置、管理プログラムおよび管理方法

　本発明は、管理装置、管理プログラムおよび管理方法に関する。

　各種システムの運用において、ルータやスイッチなどのネットワーク装置、Ｗｅｂサーバ、ＤＢ（Data　Base）サーバなどの各種装置、ＯＳ（Operating　System）に、管理者などの利用者が管理端末からログインを行う従来技術が知られている。

　例えば、従来技術では、障害発生時には、利用者は、ｔｅｌｎｅｔやｓｓｈなどのコマンドを用いて、管理端末から、上記の各種装置にログインを行う。そして、利用者は、管理端末を用いて、各種装置の状況を把握するとともに、例えば、障害からの復旧のために、状況に応じて各種情報を設定する。また、一般的に、大規模なシステムになるほど、システムの運用のためにシステムの管理者などの数は増加し、システムの各種装置などにログイン可能な管理端末の台数も増える。

　また、外部情報提供サーバと内部情報提供サーバとによって、大量のユーザを抱える情報提供サービスシステムの認証権限処理の効率化を図る技術もある。外部情報提供サーバは、外部ユーザ名に対応づけて、内部情報提供サーバで用いられる内部ユーザ名と内部パスワードとを管理する。そして、外部情報提供サーバは、端末装置から外部ユーザ名と外部パスワードとを受け付けてユーザを認証する。そして、認証が成功すると、外部情報提供サーバは、権限写像として、外部ユーザ名を内部ユーザ名に変換し、外部ユーザ名に対応する内部ユーザ名と内部パスワードを用いて内部情報提供サーバにログインする。内部情報提供サーバは、内部ユーザ名と内部パスワードとに基づいて、ログインを認めるかどうかを判定する。

特開２０１０－１４０３４９号公報特開２００５－３１０１３６号公報特開２００６－１７８７２４号公報特開平１１－３１１３２号公報

　しかしながら、上記の従来技術では、セキュリティの面で問題がある。これを説明すると、従来技術では、管理端末から各種装置などにログインを行う。このため、利用者は、ログインに用いられるアカウントの情報を把握することができる。このような場合には、利用者が不正にシステムの各種装置などにログインを行うことが可能となる。したがって、システムのセキュリティ上好ましくない不正行為が発生する可能性がある。なお、利用者が、アカウントの情報を把握した上で、任意のモジュールに対してログインするような場合にも、同様のセキュリティの面での問題が存在する。

　なお、外部情報提供サーバと内部情報提供サーバとによる従来技術では、内部情報提供サーバへのログインに用いる情報である内部ユーザ名および内部パスワードは、外部ユーザ名に紐付くものである。しかしながら、ＩＣＴシステムの運用管理においては、例えば、複数の利用者が、同一の装置にログインする場合に、装置の一つのアカウントを複数の利用者で共有する運用が行われる場合があるが、この外部情報提供サーバと内部情報提供サーバとによる従来技術は、基本的に、外部ユーザと内部ユーザが一対一の関係であるため、そのまま適用することはできない。ただし、一つの内部ユーザ名・パスワードを、複数の外部ユーザ名・パスワードに紐づけて運用することも考えられるが、この場合、内部パスワードに関連付けられた外部ユーザが複数のため、内部ユーザ名および内部パスワードが悪用される可能性が高くなり、ログインに用いる情報の漏洩リスクも増加し、不正行為が発生する可能性も増加する。

　１つの側面では、セキュリティをより向上させることができる管理装置、管理プログラムおよび管理方法を提供することを目的とする。

　第１の案では、管理装置が、認証部と、制御部とを有する。認証部は、第一の装置から認証情報を受信した場合に、第一の記憶部に記憶された複数の認証情報を用いて、受信した認証情報を認証する。制御部は、認証部による認証が成功した場合に、第二の記憶部に記憶された単一のログイン情報を用いて、前記第二の装置へのログインを実行させる。

　第２の案では、管理装置が、認証部と、制御部と、変更部とを有する。認証部は、第一の装置から認証情報を受信した場合に、第一の記憶部に記憶された複数の認証情報を用いて、受信した認証情報を認証する。制御部は、認証部による認証が成功した場合に、第二の記憶部に記憶されたログイン情報を用いて、前記第二の装置へのログインを実行させる。変更部は、第二の装置からログアウトした場合には、第二の記憶部に記憶されたログイン情報を変更する。

　セキュリティをより向上させることができる。

図１は、実施例１に係る管理装置が適用される管理システムの全体構成図の一例を示す図である。図２は、実施例２に係るプロキシサーバの構成を示す図である。図３は、アカウントテーブルの一例を示す図である。図４は、パスワードテーブルの一例を示す図である。図５は、実施例２に係るログイン処理の手順を示すフローチャートである。図６は、実施例３に係るプロキシサーバの構成を示す図である。図７Ａは、パスワード変更前のパスワードテーブルの一例を示す図である。図７Ｂは、パスワード変更後のパスワードテーブルの一例を示す図である。図８は、実施例３に係るログイン処理の手順を示すフローチャートである。図９は、実施例４に係るプロキシサーバが適用される管理システムの全体構成図の一例を示す図である。図１０Ａは、運用条件情報の一例を示す図である。図１０Ａは、運用条件情報の一例を示す図である。図１１は、実施例４に係るプロキシサーバの構成を示す図である。図１２は、実施例４に係るログイン処理の手順を示すフローチャートである。図１３は、実施例５に係るプロキシサーバの構成を示す図である。図１４は、実施例５に係るログイン処理の手順を示すフローチャートである。図１５は、実施例６に係るプロキシサーバの構成の一部を示す図である。図１６は、可能操作情報の一例を示す図である。図１７は、実施例６に係るフィルタリング処理の手順を示すフローチャートである。図１８は、実施例７に係るプロキシサーバの構成の一部を示す図である。図１９は、実施例７に係るフィルタリング処理の手順を示すフローチャートである。図２０は、設定表の一例を示す図である。

　以下に、本願の開示する管理装置、管理プログラムおよび管理方法の各実施例を図面に基づいて詳細に説明する。なお、この実施例は開示の技術を限定するものではない。そして、各実施例は、処理内容を矛盾させない範囲で適宜組み合わせることが可能である。

　実施例１に係る管理装置について説明する。図１は、実施例１に係る管理装置が適用される管理システムの全体構成図の一例を示す図である。図１に示すように、管理装置１０は、第一の装置１１および第二の装置１２に接続されている。なお、図１の例では、第一の装置１１および第二の装置１２の台数が複数の場合が図示されているが、第一の装置１１および第二の装置１２の台数は任意の値を採用することができる。

　第一の装置１１は、第一の装置１１を利用する利用者の認証情報を受け付ける。第一の装置１１は、受け付けた認証情報を管理装置１０に送信する。第一の装置１１を利用する利用者の一例として、システムにおけるネットワークの管理者が挙げられる。この場合、第二の装置１２は、スイッチやルータ等のネットワーク機器となる。また、第一の装置１１を利用する利用者の別の例として、システム自体の管理者が挙げられる。この場合、第二の装置１２は、データベースのミドルウェアや、認証サーバなどのサーバアプリ、もしくはＯＳ自体となる。また、第一の装置１１としては、ＰＣ（Personal　Computer）などの装置を含む、管理システム全体を管理するための管理端末が挙げられる。

　第二の装置１２は、前述したとおり、スイッチやルータ等のネットワーク機器、または、データベースのミドルウェアや、認証サーバなどのサーバアプリ、もしくはＯＳ自体であって、正規のログイン情報が入力されることで、ログインされる装置である。

［装置構成］
　管理装置１０は、第一の記憶部１０ａ、第二の記憶部１０ｂ、認証部１０ｃ、制御部１０ｄを有する。第一の記憶部１０ａは、第一の装置１１を利用する利用者の複数の認証情報を記憶する。第二の記憶部１０ｂは、第二の装置１２へのログインに用いるログイン情報であって、第二の装置１２のログイン情報を記憶する。認証部１０ｃは、第一の装置１１から認証情報を受信した場合に、第一の記憶部に記憶された複数の認証情報を用いて、受信した認証情報を認証する。制御部１０ｄは、認証部１０ｃによる認証が成功した場合に、第二の記憶部１０ｂに記憶された第二の装置１２の単一のログイン情報を用いて、第二の装置１２へのログインを実行させる。すなわち、管理装置１０では、第二の装置１２については、ログイン情報を１つだけしか記憶しておらず、他の利用者についても共通してこの単一のログイン情報を利用するため、ログイン情報を複数記憶し、管理するものよりもセキュリティが高いものとなる。

　上述してきたように、本実施例に係る管理装置１０によれば、ログイン情報を１つだけしか記憶していないため、ログイン情報を複数記憶し、管理するものよりもログイン情報の漏洩リスクを低減することができる。したがって、本実施例に係る管理装置１０によれば、セキュリティをより向上させることができる。

　次に、実施例２について説明する。実施例２では、管理装置の一例として、プロキシサーバを採用した場合について説明する。また、実施例２では、ログイン情報の一例として、第二の装置１２のパスワードを採用し、認証情報の一例として、利用者のＩＤ（IDentification）およびパスワードのアカウントを採用した場合について説明する。なお、実施例２のシステム構成は、実施例１のシステム構成と同様であるので説明を省略する。その他、実施例１と同様の構成について、同一の符号を付して説明を省略する場合がある。

　また、本実施例に係る第一の装置１１は、例えば、ｔｅｌｎｅｔやｓｓｈなどのコマンドを用いて、プロキシサーバ２０と通信を行うが、第一の装置１１とプロキシサーバ２０との通信方法はこれに限られず、任意の通信方式を採用することができる。利用者は、第二の装置１２にログインを行う場合に、ログイン対象の装置のＩＤ、および自身に割り当てられたアカウントを第一の装置１１に入力する。第一の装置１１は、ユーザの指示に応じて、ログインのリクエストとともに、入力されたアカウントをプロキシサーバ２０に送信する。

［プロキシサーバの構成］
　実施例２に係るプロキシサーバについて説明する。図２は、実施例２に係るプロキシサーバの構成を示す図である。本実施例に係るプロキシサーバ２０は、第一の装置１１を利用する複数の利用者のＩＤおよびパスワードのアカウントを記憶する。また、本実施例に係るプロキシサーバ２０は、第二の装置１２へのログインに用いる第二の装置１２へのログインに用いるパスワードを記憶する。本実施例に係るプロキシサーバ２０は、第一の装置１１からアカウントを受信した場合に、記憶した複数のアカウントを用いて、受信したアカウントを認証する。本実施例に係るプロキシサーバ２０は、認証が成功した場合に、単一のログイン情報を用いて、第二の装置１２へのログインを実行させる。図２に示すように、プロキシサーバ２０は、第一の通信部２１と、第二の通信部２２と、記憶部２３と、制御部２４とを有する。

　第一の通信部２１は、第一の装置１１と制御部２４との通信を行うための通信インタフェースである。例えば、第一の通信部２１は、第一の装置１１から送信されたリクエスト、ログイン対象の装置のＩＤ、利用者のアカウントを受信し、受信したリクエスト、ログイン対象の装置のＩＤ、利用者のアカウントを制御部２４へ送信する。また、第一の通信部２１は、制御部２４から送信された、後述する「エラー」や「成功」のメッセージを受信し、受信したメッセージを第一の装置１１へ送信する。これにより、第一の装置１１により、「エラー」や「成功」のメッセージが報知される。

　第二の通信部２２は、第二の装置１２と制御部２４との通信を行うための通信インタフェースである。例えば、第二の通信部２２は、制御部２４から送信されたパスワードを受信し、受信したパスワードを第二の装置１２へ送信する。

　また、第一の通信部２１と第二の通信部２２とは、接続されている。後述の制御部２４ｂによる第二の装置１２へのログインが成功した場合には、第一の通信部２１および第二の通信部２２を介して、第一の装置１１と第二の装置１２とが通信可能となる。第一の通信部２１と第二の通信部２２は、同じものでもよい。例えば、第一の通信部２１および第二の通信部２２は、１枚のＮＩＣ（Network　Interface　Card）であってもよい。

　記憶部２３は、制御部２４で実行される各種プログラムを記憶する。また、記憶部２３は、アカウントテーブル２３ａ、パスワードテーブル２３ｂを記憶する。

　アカウントテーブル２３ａについて説明する。アカウントテーブル２３ａは、正規の利用者のアカウントが登録されたテーブルである。アカウントテーブル２３ａの各レコードには、利用者に割り当てられた正規のＩＤとパスワードとが、利用者ごとに登録されている。アカウントテーブル２３ａは、後述の認証部２４ａにより利用者の認証を行う場合に用いられる。図３は、アカウントテーブルの一例を示す図である。図３の例では、ＩＤ「Ａ」と、ＩＤがＡである利用者のパスワードＰ_ａとが対応付けられてアカウントテーブル２３ａの１レコードに登録されている場合が示されている。また、図３の例では、ＩＤ「Ｂ」と、ＩＤがＢである利用者のパスワードＰ_ｂとが対応付けられてアカウントテーブル２３ａの１レコードに登録されている場合が示されている。

　パスワードテーブル２３ｂについて説明する。パスワードテーブル２３ｂは、第二の装置１２へのログインに用いるパスワードが登録されたテーブルである。パスワードテーブル２３ｂの各レコードには、第二の装置１２の正規のパスワードが、装置ごとに登録されている。パスワードテーブル２３ｂは、後述の制御部２４ｂにより第二の装置１２へのログインを行う場合に用いられる。図４は、パスワードテーブルの一例を示す図である。図４の例では、ＩＤがＸである第二の装置１２のパスワードＰ_Ｘがパスワードテーブル２３ｂの１レコードに登録されている場合が示されている。また、図４の例では、ＩＤがＹである第二の装置１２のパスワードＰ_Ｙがパスワードテーブル２３ｂの１レコードに登録されている場合が示されている。また、図４の例では、ＩＤがＺである第二の装置１２のパスワードＰ_Ｚがパスワードテーブル２３ｂの１レコードに登録されている場合が示されている。

　記憶部２３は、例えば、フラッシュメモリなどの半導体メモリ素子、または、ハードディスク、光ディスクなどの記憶装置である。なお、記憶部２３は、上記の種類の記憶装置に限定されるものではなく、ＲＡＭ（Random　Access　Memory)、ＲＯＭ（Read　Only　Memory)であってもよい。

　図２の説明に戻り、制御部２４は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、これらによって種々の処理を実行する。制御部２４は、図２に示すように、認証部２４ａと、制御部２４ｂとを有する。

　認証部２４ａは、第一の装置１１からアカウントを受信した場合に、アカウントテーブル２３ａに記憶された複数のアカウントを用いて、受信したアカウントを認証する。例えば、認証部２４ａは、第一の通信部２１を介して第一の装置１１から入力されたアカウントを取得する。認証部２４ａは、取得したアカウントのＩＤと同一のＩＤを有するレコードをアカウントテーブル２３ａから検索する。検索の結果、対応するレコードが存在する場合には、認証部２４ａは、対応するレコードに含まれるパスワードを取得する。認証部２４ａは、取得したパスワードと、取得したアカウントのパスワードとを比較し、利用者の認証を行う。認証部２４ａは、取得したパスワードと、取得したアカウントのパスワードとが一致する場合には、利用者の認証が成功したと判断する。一方、認証部２４ａは、取得したパスワードと取得したアカウントのパスワードとが一致しない場合には、利用者の認証が失敗したと判断し、第一の通信部２１を介して第一の装置１１に、認証が失敗した旨の「エラー」のメッセージを送信する。また、認証部２４ａは、検索の結果、対応するレコードが存在しない場合にも、利用者の認証が失敗したと判断し、第一の通信部２１を介して第一の装置１１に、認証が失敗した旨の「エラー」のメッセージを送信する。

　制御部２４ｂは、認証部２４ａによる認証が成功した場合に、パスワードテーブル２３ｂに記憶された、第二の装置１２のパスワードを用いて、第二の装置１２へのログインを実行させる。例えば、制御部２４ｂは、認証部２４ａで利用者の認証が成功した場合には、ログイン対象の装置のＩＤと同一のＩＤを有するレコードをパスワードテーブル２３ｂから検索する。ログイン対象の装置のＩＤは、第一の装置１１からログイン情報とともに送信しても良いし、管理装置１０にログインした後に、メニュー画面等で選択する等してもよい。検索の結果、対応するレコードが存在する場合には、制御部２４ｂは、対応するレコードに含まれるパスワードを取得する。制御部２４ｂは、取得したパスワードを第二の通信部２２へ送信し、ログイン対象の装置のＩＤが示す第二の装置１２へのログインを行う。この結果、第一の装置１１を利用する利用者は、第一の通信装置１１、並びに、プロキシサーバ２０の第一の通信部２１および第二の通信部２２を介して、第二の通信装置１２へのアクセスが可能となる。よって、プロキシサーバ２０は、利用者を第二の装置１２にログインさせることとなる。なお、プロキシサーバ２０は、例えば、ｔｅｌｎｅｔやｓｓｈなどのコマンドを用いて、第二の装置１２と通信を行うが、プロキシサーバ２０と第二の通信装置１２との通信方法はこれに限られず、任意の通信方式を採用することができる。

　ここで、パスワードテーブル２３ｂの登録内容が、何らかの原因、例えば図示しない電源の瞬断などで変化してしまう場合がある。この場合には、パスワードテーブル２３ｂに登録されたパスワードの内容が変化し、パスワードテーブル２３ｂに登録された正規のパスワードが変更されてしまう状況もあり得る。そこで、そのような状況も考慮して、制御部２４ｂは、第二の装置１２からのログイン結果を受信し、受信したログイン結果からログインが成功したか否かを判定する。ログインが成功した場合には、制御部２４ｂは、ログインが成功した旨の「成功」のメッセージを第一の通信部２１に送信する。ログインが失敗した場合には、制御部２４ｂは、ログインが失敗した旨の「エラー」のメッセージを第一の通信部２１に送信する。これにより、利用者は、パスワードテーブル２３ｂに何らかの異常が発生したことを認識することができる。また、制御部２４ｂは、検索の結果、対応するレコードが存在しない場合にも、ログインが失敗したと判断し、第一の通信部２１を介して第一の装置１１に、ログインが失敗した旨の「エラー」のメッセージを送信する。

　なお、認証部２４ａまたは制御部２４ｂは、ある利用者がログイン中は、他の利用者からのログインのリクエストがあった場合には、他の利用者からのログインを行わせないように、いわゆる排他制御を行うこともできる。この場合、排他制御を行う認証部２４ａまたは制御部２４ｂは、ログインを拒否した利用者に対して、ログイン対象の装置がログイン中である旨のメッセージを、第一の通信部２１を介して第一の装置１１に送信することもできる。

　制御部２４は、ＡＳＩＣ（Application　Specific　Integrated　Circuit）やＦＰＧＡ（Field　Programmable　Gate　Array）などの集積回路またはＣＰＵ（Central　Processing　Unit）やＭＰＵ（Micro　Processing　Unit）などの電子回路である。

［処理の流れ］
　次に、本実施例に係るプロキシサーバ２０の処理の流れを説明する。図５は、実施例２に係るログイン処理の手順を示すフローチャートである。このログイン処理の実行タイミングとしては様々なタイミングが考えられる。例えば、ログイン処理は、プロキシサーバ２０の電源がＯＮの間、所定時間間隔で繰り返し実行される。

　図５に示すように、認証部２４ａは、第一の通信部２１を介して、第一の装置１１からリクエストを受信したか否かを判定する（ステップＳ１０１）。リクエストを受信していない場合（ステップＳ１０１否定）には、認証部２４ａは、再度、同様の判定を行う。一方、リクエストを受信した場合（ステップＳ１０１肯定）には、認証部２４ａは、リクエストが「ログイン」であるか否かを判定する（ステップＳ１０２）。リクエストが「ログイン」でない場合（ステップＳ１０２否定）には、ステップＳ１０１へ戻る。一方、リクエストが「ログイン」である場合（ステップＳ１０２肯定）には、認証部２４ａは、第一の通信部２１を介して第一の装置１１から入力されたアカウントを取得する（ステップＳ１０３）。

　認証部２４ａは、取得したパスワードと、取得したアカウントのパスワードとを比較し、利用者の認証を行う（ステップＳ１０４）。認証部２４ａは、認証が成功したか否かを判定する（ステップＳ１０５）。認証が成功していない場合、すなわち失敗した場合（ステップＳ１０５否定）には、認証部２４ａは、第一の通信部２１を介して第一の装置１１に、認証が失敗した旨の「エラー」のメッセージを送信し（ステップＳ１０６）、ステップＳ１０１へ戻る。一方、認証が成功した場合（ステップＳ１０５肯定）には、制御部２４ｂは、次のような処理を行う。すなわち、制御部２４ｂは、ログイン対象の装置のＩＤと同一のＩＤを有するレコードをパスワードテーブル２３ｂから検索し、検索の結果、対応するレコードが存在する場合には、対応するレコードに含まれるパスワードを取得する（ステップＳ１０７）。

　制御部２４ｂは、取得したパスワードを第二の通信部２２へ送信し、ログイン対象の装置のＩＤが示す第二の装置１２へのログインを行う（ステップＳ１０８）。制御部２４ｂは、受信したログイン結果からログインが成功したか否かを判定する（ステップＳ１０９）。ログインが成功していない場合、すなわち失敗した場合（ステップＳ１０９否定）には、制御部２４ｂは、ログインが失敗した旨の「エラー」のメッセージを第一の通信部２１に送信し（ステップＳ１１０）、ステップＳ１０１に戻る。一方、ログインが成功した場合（ステップＳ１０９肯定）には、制御部２４ｂは、ログインが成功した旨の「成功」のメッセージを第一の通信部２１に送信し（ステップＳ１１１）、ステップＳ１０１に戻る。

　上述してきたように、本実施例に係るプロキシサーバ２０では、アカウントテーブル２３ａにアカウントが登録された利用者以外の利用者は、利用者の認証が失敗し、第二の装置１２へのログインができない。よって、本実施例に係るプロキシサーバ２０によれば、第二の装置１２にログインすることができる利用者を限定することができる。

　また、本実施例に係るプロキシサーバ２０では、複数の第二の装置１２のそれぞれのログインの際に用いられるパスワードを単一のものとすることができる。この場合、本実施例に係るプロキシサーバ２０によれば、ログイン情報を１つだけしか記憶していないため、ログイン情報を複数記憶し、管理するものよりもログイン情報の漏洩リスクを低減することができる。したがって、本実施例に係るプロキシサーバ２０によれば、セキュリティをより向上させることができる。

　さて、上記の実施例２では、ログインに用いられるパスワードが固定の場合を例示したが、開示の装置はこれに限定されない。そこで、実施例３では、パスワードを変更する場合について説明する。

［プロキシサーバ３０の構成］
　図６は、実施例３に係るプロキシサーバの構成を示す図である。図６に示すように、プロキシサーバ３０は、新たに、第三の通信部３３と、制御部３４とを有する。かかる制御部３４は、図２に示す実施例２に係る制御部２４と比較して、さらに、変更部３４ｃを有する点が異なる。なお、以下では、上記の実施例２と同様の機能を果たす回路や機器については図２と同様の符号を付し、その説明は省略することとする。

　本実施例では、第二の装置１２は、第三の通信部３３から、自身の現在のパスワードおよび新パスワードを受信すると、自身の現在のパスワードを新パスワードに変更する。

　第三の通信部３３は、第二の装置１２のパスワードを変更するために、第二の装置１２と制御部３４との通信を行うための通信インタフェースである。例えば、第三の通信部３３は、後述の変更部３４ｃから、パスワード変更対象の第二の装置１２の現在のパスワードおよび新パスワードを受信した場合には、現在のパスワードおよび新パスワードをパスワード変更対象の第二の装置１２に送信する。第三の通信部３３は、例えば、第二の装置１２固有のコマンドラインインタフェースなどに接続される。もしくは、第三の通信部３３は、ＮＩＣであり、第二の装置１２とＩＰ（Internet　Protocol）により接続され、この場合は、第三の通信部３３は、第一の通信部２１や第二の通信部２２と同じＮＩＣでもよい。

　変更部３４ｃは、第二の装置１２へログインした利用者がログアウトしたか否かを判定する。例えば、変更部３４ｃは、第二の通信部２２に流れる第一の装置１１からのコマンドを監視し、ログアウトのコマンドを検出した場合に、第二の装置１２へログインした利用者がログアウトしたと判定する。

　変更部３４ｃは、ログアウトしたと判定した場合には、ログアウトされた第二の装置１２のパスワードをパスワードテーブル２３ｂから取得し、取得したパスワードと異なる新たなパスワードである新パスワードを生成する。例えば、変更部３４ｃは、プロキシサーバ３０の管理者が予め指定しておいた設定値を疑似乱数の種（seed）として、取得した疑似乱数からパスワードを生成し、生成した擬似乱数を新パスワードとする。また、変更部３４ｃは、ログアウトした時刻を疑似乱数の種として、取得した疑似乱数からパスワードを生成し、生成した擬似乱数を新パスワードとすることもできる。また、さらに、変更部３４ｃは、ログアウトされた第二の装置１２固有のＭａｃアドレスとログアウトした時刻を組み合わせた値を疑似乱数の種として、取得した疑似乱数からパスワードを生成し、生成した疑似乱数を新パスワードとすることもできる。この場合、プロキシサーバ３０にて、複数の第二の装置１２のパスワードを、全て各装置で異なるパスワードとすることができるとともに、複数の第二の装置１２のパスワードを、一括して生成し管理できる。

　変更部３４ｃは、生成した新パスワードを、現在のパスワードとともに第三の通信部３３を介して、パスワード変更対象である、ログアウトされた第二の装置１２へ送信する。変更部３４ｃは、新パスワードをパスワードテーブル２３ｂの対応するレコードに登録する。図７Ａは、パスワード変更前のパスワードテーブルの一例を示す図である。図７Ｂは、パスワード変更後のパスワードテーブルの一例を示す図である。図７Ａの例では、ＩＤがＸであるパスワード変更対象の第二の装置１２の変更前のパスワードはＰ_Ｘである。変更部３４ｃによってパスワードが変更された場合には、図７Ｂの例に示すように、ＩＤがＸであるパスワード変更対象の第二の装置１２の新パスワードとしてＰ_Ｑが、パスワードテーブル２３ｂに登録される。ここで、疑似乱数の種として、利用者が類推困難なログアウトした時刻を用いた場合には、種が利用者によって類推することが困難なため、利用者がパスワードを類推することが困難となる。逆に、疑似乱数の種として、プロキシサーバ３０の管理者が予め指定しておいた設定値を用いた場合には、パスワードテーブル２３ｂが何らかの原因で壊れてしまっても、種がプロキシサーバ３０の管理者によって類推できるため、利用者のパスワードを類推することができる。よって、疑似乱数の種として、管理者が類推可能な値を用いた場合には、このような状況であっても、利用者は、第二の装置１２を利用することができるという利点もある。

　このように、変更部３４ｃが、ログアウトのたびにパスワードを変更することで、仮に第二の装置１２のパスワードを利用者が把握する状況になったとしても、ログアウト後にはパスワードが変更されるため、利用者の不正行為の成功を抑制することができる。したがって、セキュリティを向上させることができる。

　また、第二の装置１２自身がパスワードを変更するのではなく、第二の装置１２の外部の装置であるプロキシサーバ３０の変更部３４ｃがパスワードを変更し、パスワードテーブル２３ｂを更新することで、第二の装置１２のパスワードを一元管理ができる。

［処理の流れ］
　次に、本実施例に係るプロキシサーバ３０の処理の流れを説明する。図８は、実施例３に係るログイン処理の手順を示すフローチャートである。このログイン処理の実行タイミングとしては様々なタイミングが考えられる。例えば、ログイン処理は、プロキシサーバ３０の電源がＯＮの間、所定時間間隔で繰り返し実行される。なお、ステップＳ２０１～Ｓ２１１は、実施例２に係るログイン処理のステップＳ１０１～Ｓ１１１と同様であるので、説明を省略する。

　図８に示すように、変更部３４ｃは、第二の装置１２へログインした利用者がログアウトしたか否かを判定する（ステップＳ２１２）。ログアウトした場合（ステップＳ２１２肯定）には、変更部３４ｃは、ログアウトされた第二の装置１２のパスワードから新たなパスワードである新パスワードを生成する（ステップＳ２１３）。変更部３４ｃは、生成した新パスワードを、現在のパスワードとともに第三の通信部３３を介して、パスワード変更対象である、ログアウトされた第二の装置１２へ送信する（ステップＳ２１４）。変更部３４ｃは、新パスワードをパスワードテーブル２３ｂの対応するレコードに登録し（ステップＳ２１５）、ステップＳ２０１へ戻る。

　上述してきたように、本実施例に係るプロキシサーバ３０では、アカウントテーブル２３ａにアカウントが登録された利用者以外の利用者は、利用者の認証が失敗し、第二の装置１２へのログインができない。よって、本実施例に係るプロキシサーバ３０によれば、第二の装置１２にログインすることができる利用者を限定することができる。

　また、本実施例に係るプロキシサーバ３０は、ログアウトのたびにパスワードを変更する。したがって、仮に第二の装置１２のパスワードを利用者が把握する状況になったとしても、ログアウト後にはパスワードが変更されるため、利用者の不正行為の成功を抑制することができる。よって、本実施例に係るプロキシサーバ３０によれば、セキュリティを向上させることができる。

　また、本実施例に係るプロキシサーバ３０は、パスワードを変更し、パスワードテーブル２３ｂを更新する。したがって、本実施例に係るプロキシサーバ３０によれば、第二の装置１２のパスワードを一元管理ができる。

　また、本実施例に係るプロキシサーバ３０では、複数の第二の装置１２のそれぞれのログインの際に用いられるパスワードを単一のものとすることができる。この場合、本実施例に係るプロキシサーバ３０によれば、ログイン情報を１つだけしか記憶していないため、ログイン情報を複数記憶し、管理するものよりもログイン情報の漏洩リスクを低減することができる。したがって、本実施例に係るプロキシサーバ３０によれば、セキュリティをより向上させることができる。

　さて、上記の実施例２、３では、プロキシサーバが受信したアカウント、およびプロキシサーバが記憶したアカウントに基づいて利用者を認証する場合を例示したが、開示の装置はこれに限定されない。そこで、実施例４では、運用管理サーバから取得した運用条件情報が示す運用条件を加味して、利用者を認証する場合について説明する。

［システム構成］
　実施例４に係る管理システムについて説明する。図９は、実施例４に係るプロキシサーバが適用される管理システムの全体構成図の一例を示す図である。図９に示すように、管理システム４は、プロキシサーバ４０、第一の装置１１および第二の装置１２に加え、運用管理サーバ４１を有する。

　運用管理サーバ４１は、管理システム４以外のシステムであって、管理システム４の業務を支援するためのワークフローを制御するためのサーバである。また、運用管理サーバ４１は、第二の装置１２に対するログインを可能な人物を定義した運用条件の情報である運用条件情報を記憶する。運用管理サーバ４１は、運用条件情報に基づいて、第二の装置１２に対するログインの許可／不許可を決定する。なお、運用管理サーバ４１は、管理システム４と連携するシステムのサーバであれば、前述のワークフローのサーバ以外であっても良い。

　図１０Ａは、運用条件情報の一例を示す図である。図１０Ａの例では、月曜日に、Ａが第二の装置１２にログインすることが出来ることを示す。図１０Ａの例では、火曜日に、Ｂが第二の装置１２にログインすることが出来ることを示す。図１０Ａの例では、水曜日に、ＡおよびＢが第二の装置１２にログインすることが出来ることを示す。図１０Ａの例では、木曜日には、誰も第二の装置１２にログインすることが出来ないことを示す。図１０Ａの例では、金曜日に、Ａが第二の装置１２にログインすることが出来ることを示す。図１０Ａの例では、土曜日に、誰も第二の装置１２にログインすることが出来ないことを示す。図１０Ａの例では、日曜日に、誰も第二の装置１２にログインすることが出来ないことを示す。

　図１０Ｂは、運用条件情報の一例を示す図である。図１０Ｂの例では、所属部署が開発一部の人物は、第二の装置１２にログインすることが出来ることを示す。図１０Ｂの例では、所属部署が開発二部の人物は、第二の装置１２にログインすることが出来ることを示す。図１０Ｂの例では、所属部署が総務部の人物は、第二の装置１２にログインすることが出来ないことを示す。図１０Ｂの例では、所属部署が営業部の人物は、第二の装置１２にログインすることが出来ないことを示す。

　なお、運用条件情報は、上記の例に限られない。例えば、運用条件情報は、役職ごとに第二の装置１２へのログインの許可／不許可が定義されたものであってもよい。また、運用条件情報は、人物ごとに、第二の装置１２へのログインが許可される期間が定められたものであってもよい。

［プロキシサーバ４０の構成］
　図１１は、実施例４に係るプロキシサーバの構成を示す図である。図１１に示すように、プロキシサーバ４０は、新たに、第四の通信部４３と、制御部４４とを有する。かかる制御部４４は、図６に示す実施例３に係る制御部３４と比較して、認証部２４ａに代えて認証部４４ａを有する点が異なる。なお、以下では、上記の実施例２、３と同様の機能を果たす回路や機器については図２、図６と同様の符号を付し、その説明は省略することとする。

　第四の通信部４３は、運用管理サーバ４１と制御部４４との通信を行うための通信インタフェースである。例えば、第四の通信部４３は、運用管理サーバ４１から運用条件情報を受信した場合には、受信した運用条件情報を制御部４４に送信する。第四の通信部４３は、第一の通信部２１、第二の通信部２２および第三の通信部３３と同じものでもよい。例えば、第一の通信部２１、第二の通信部２２、第三の通信部３３および第四の通信部４３は、１枚のＮＩＣであってもよい。

　認証部４４ａは、第二の装置１２に係る運用条件情報、および第一の装置１１から受信するアカウント、並びに記憶部２３に記憶したアカウントテーブル２３ａに登録されたアカウントに基づいて利用者を認証する。例えば、認証部４４ａは、第一の通信部２１を介して第一の装置１１から入力されたアカウントを取得する。認証部４４ａは、取得したアカウントのＩＤと同一のＩＤを有するレコードをアカウントテーブル２３ａから検索する。検索の結果、対応するレコードが存在する場合には、認証部４４ａは、対応するレコードに含まれるパスワードを取得する。認証部４４ａは、第四の通信部４３を介して、運用管理サーバ４１から運用条件情報を取得する。認証部４４ａは、運用条件情報を加味して、運用条件情報が示す運用条件に合致する利用者について、取得したパスワードと、取得したアカウントのパスワードとを比較し、利用者の認証を行う。認証部４４ａは、運用条件情報が示す運用条件に合致しない利用者については、利用者の認証を行わない。ここで、「運用条件に利用者が合致する場合」とは、利用者がログイン対象の第二の装置１２へログイン可能な場合を指す。また、「運用条件に利用者が合致しない場合」とは、利用者がログイン対象の第二の装置１２へログイン可能でない場合を指す。

　認証部４４ａは、運用条件に合致する利用者について、取得したパスワードと、取得したアカウントのパスワードとが一致する場合には、利用者の認証が成功したと判断する。一方、認証部４４ａは、運用条件に合致する利用者について、取得したパスワードと取得したアカウントのパスワードとが一致しない場合や、利用者が運用条件に合致しない場合には、次のような処理を行う。すなわち、認証部４４ａは、利用者の認証が失敗したと判断し、第一の通信部２１を介して第一の装置１１に、認証が失敗した旨や、利用者が運用条件に合致しない旨の「エラー」のメッセージを送信する。また、認証部４４ａは、検索の結果、対応するレコードが存在しない場合にも、利用者の認証が失敗したと判断し、第一の通信部２１を介して第一の装置１１に、認証が失敗した旨の「エラー」のメッセージを送信する。

　このように、認証部４４ａは、他のワークフローのシステムの運用条件情報が示す運用条件に合致する利用者について、利用者の認証を行い、第二の装置１２へのログインを試みる。一方、認証部４４ａは、運用条件に合致しない利用者については、利用者の認証を行わず、第二の装置１２へのログインをさせない。したがって、認証部４４ａによれば、他のワークフローのシステムと連携して利用者のログインを行うことができる。

　また、制御部２４ｂが、図１０Ａの例で示す運用条件のように、日時や時間帯で、利用者のログイン可否を定義している場合、利用者がログインできない時間帯には、利用者に知らせていない認証パスワードを、アカウントテーブル２３ａにて、認証不可能な別のパスワードに設定しなおすことで、利用者の認証が成功しないようにし、したがって、第二の装置１２へもログインさせないこともできる。

［処理の流れ］
　次に、本実施例に係るプロキシサーバ４０の処理の流れを説明する。図１２は、実施例４に係るログイン処理の手順を示すフローチャートである。このログイン処理の実行タイミングとしては様々なタイミングが考えられる。例えば、ログイン処理は、プロキシサーバ４０の電源がＯＮの間、所定時間間隔で繰り返し実行される。なお、ステップＳ３０１～Ｓ３０３、Ｓ３０６～Ｓ３１５は、実施例３に係るログイン処理のステップＳ２０１～Ｓ２０３、Ｓ２０６～Ｓ２１５と同様であるので、説明を省略する。

　図１２に示すように、認証部４４ａは、第四の通信部４３を介して、運用管理サーバ４１から運用条件情報を取得する（ステップＳ４０１）。認証部４４ａは、運用条件情報を加味して、運用条件情報が示す運用条件に合致する利用者について、取得したパスワードと、取得したアカウントのパスワードとを比較し、利用者の認証を行う（ステップＳ４０２）。なお、ステップＳ４０２では、認証部４４ａは、運用条件情報が示す運用条件に合致しない利用者については、利用者の認証を行わない。認証部４４ａは、認証が成功したか否かを判定する（ステップＳ４０３）。認証が失敗した場合（ステップＳ４０３否定）には、ステップＳ３０６へ進む。一方、認証が成功した場合（ステップＳ４０３肯定）には、ステップＳ３０７へ進む。

　上述してきたように、本実施例に係るプロキシサーバ４０では、アカウントテーブル２３ａにアカウントが登録された利用者以外の利用者は、利用者の認証が失敗し、第二の装置１２へのログインができない。よって、本実施例に係るプロキシサーバ４０によれば、第二の装置１２にログインすることができる利用者を限定することができる。

　また、本実施例に係るプロキシサーバ４０は、ログアウトのたびにパスワードを変更する。したがって、仮に第二の装置１２のパスワードを利用者が把握する状況になったとしても、ログアウト後にはパスワードが変更されるため、利用者の不正行為の成功を抑制することができる。よって、本実施例に係るプロキシサーバ４０によれば、セキュリティを向上させることができる。

　また、本実施例に係るプロキシサーバ４０は、パスワードを変更し、パスワードテーブル２３ｂを更新する。したがって、本実施例に係るプロキシサーバ４０によれば、第二の装置１２のパスワードを一元管理ができる。

　また、本実施例に係るプロキシサーバ４０は、他のワークフローのシステムの運用条件情報が示す運用条件に合致する利用者について、利用者の認証を行い、第二の装置１２へのログインを試みる。一方、本実施例に係るプロキシサーバ４０は、運用条件に合致しない利用者については、利用者の認証を行わず、第二の装置１２へのログインをさせない。このように、本実施例に係るプロキシサーバ４０は、第二の装置に係る所定の運用条件をさらに用いて認証する。したがって、本実施例に係るプロキシサーバ４０によれば、他のワークフローのシステムの運用と連携して利用者のログインを行うことができる。

　また、本実施例に係るプロキシサーバ４０では、複数の第二の装置１２のそれぞれのログインの際に用いられるパスワードを単一のものとすることができる。この場合、本実施例に係るプロキシサーバ４０によれば、ログイン情報を１つだけしか記憶していないため、ログイン情報を複数記憶し、管理するものよりもログイン情報の漏洩リスクを低減することができる。したがって、本実施例に係るプロキシサーバ４０によれば、セキュリティをより向上させることができる。

　さて、上記の実施例４では、運用管理サーバから取得した運用条件情報が示す運用条件を加味して利用者を認証する場合を例示したが、開示の装置はこれに限定されない。そこで、実施例５では、運用管理サーバから取得した運用条件情報が示す運用条件を加味して、利用者を第二の装置１２へログインさせる場合について説明する。なお、実施例５のシステム構成は、実施例４のシステム構成と同様であるので説明を省略する。

［プロキシサーバ５０の構成］
　図１３は、実施例５に係るプロキシサーバの構成を示す図である。図１３に示すように、プロキシサーバ５０は、新たに、制御部５４を有する。かかる制御部５４は、図１１に示す実施例４に係る制御部４４と比較して、認証部４４ａに代えて実施例３に係る認証部２４ａを有する点、および制御部２４ｂに代えて制御部５４ｂを有する点が異なる。なお、以下では、上記の実施例２、３、４と同様の機能を果たす回路や機器については図２、図６、図１１と同様の符号を付し、その説明は省略することとする。

　制御部５４ｂは、第二の装置１２に係る所定の運用条件を満たす場合に、パスワードを用いて、第二の装置１２にログインさせる。例えば、制御部５４ｂは、認証部２４ａで利用者の認証が成功した場合には、第四の通信部４３を介して、運用管理サーバ４１から運用条件情報を取得する。制御部５４ｂは、運用条件情報が示す運用条件に利用者が合致するか否かを判定する。運用条件に利用者が合致しない場合には、制御部５４ｂは、第一の通信部２１を介して第一の装置１１に、運用条件に利用者が合致しない旨の「エラー」のメッセージを送信する。一方、運用条件に利用者が合致する場合には、制御部５４ｂは、ログイン対象の装置のＩＤと同一のＩＤを有するレコードをパスワードテーブル２３ｂから検索する。検索の結果、対応するレコードが存在する場合には、制御部５４ｂは、対応するレコードに含まれるパスワードを取得する。制御部５４ｂは、取得したパスワードを第二の通信部２２へ送信し、ログイン対象の装置のＩＤが示す第二の装置１２へのログインを行う。

　制御部５４ｂは、第二の装置１２からのログイン結果を受信し、受信したログイン結果からログインが成功したか否かを判定する。ログインが成功した場合には、制御部５４ｂは、ログインが成功した旨の「成功」のメッセージを第一の通信部２１に送信する。ログインが失敗した場合には、制御部５４ｂは、ログインが失敗した旨の「エラー」のメッセージを第一の通信部２１に送信する。また、制御部５４ｂは、検索の結果、対応するレコードが存在しない場合にも、ログインが失敗したと判断し、第一の通信部２１を介して第一の装置１１に、ログインが失敗した旨の「エラー」のメッセージを送信する。

　このように、制御部５４ｂは、他のワークフローのシステムの運用条件情報が示す運用条件に利用者が合致し、かつ、利用者の認証が成功であった場合に、パスワードを用いて、利用者を第二の装置１２にログインさせることを試みる。一方、制御部５４ｂは、運用条件に利用者が合致しない場合には、利用者に対して、第二の装置１２へのログインをさせない。したがって、制御部５４ｂによれば、他のワークフローのシステムと連携して利用者のログインを行うことができる。

　また、制御部２４ｂが、図１０Ａの例で示す運用条件のように、日時や時間帯で、利用者のログイン可否を定義している場合、利用者がログインできない時間帯には、第二の装置１２のパスワードを、パスワードテーブル２３ｂにて、ログイン不可能な別のパスワードに設定しなおすことで、第二の装置１２へもログインさせないこともできる。

［処理の流れ］
　次に、本実施例に係るプロキシサーバ５０の処理の流れを説明する。図１４は、実施例５に係るログイン処理の手順を示すフローチャートである。このログイン処理の実行タイミングとしては様々なタイミングが考えられる。例えば、ログイン処理は、プロキシサーバ５０の電源がＯＮの間、所定時間間隔で繰り返し実行される。なお、ステップＳ５０１～Ｓ５１５は、実施例３に係るログイン処理のステップＳ２０１～Ｓ２１５と同様であるので、説明を省略する。

　図１４に示すように、制御部５４ｂは、第四の通信部４３を介して、運用管理サーバ４１から運用条件情報を取得する（ステップＳ６０１）。制御部５４ｂは、運用条件情報が示す運用条件に利用者が合致するか否かを判定する（ステップＳ６０２）。運用条件に利用者が合致しない場合（ステップＳ６０２否定）には、制御部５４ｂは、第一の通信部２１を介して第一の装置１１に、運用条件に利用者が合致しない旨の「エラー」のメッセージを送信する（ステップＳ６０３）。一方、運用条件に利用者が合致する場合（ステップＳ６０２肯定）には、ステップＳ５０８へ進む。

　上述してきたように、本実施例に係るプロキシサーバ５０では、アカウントテーブル２３ａにアカウントが登録された利用者以外の利用者は、利用者の認証が失敗し、第二の装置１２へのログインができない。よって、本実施例に係るプロキシサーバ５０によれば、第二の装置１２にログインすることができる利用者を限定することができる。

　また、本実施例に係るプロキシサーバ５０は、ログアウトのたびにパスワードを変更する。したがって、仮に第二の装置１２のパスワードを利用者が把握する状況になったとしても、ログアウト後にはパスワードが変更されるため、利用者の不正行為の成功を抑制することができる。よって、本実施例に係るプロキシサーバ５０によれば、セキュリティを向上させることができる。

　また、本実施例に係るプロキシサーバ５０は、パスワードを変更し、パスワードテーブル２３ｂを更新する。したがって、本実施例に係るプロキシサーバ５０によれば、第二の装置１２のパスワードを一元管理ができる。

　また、本実施例に係るプロキシサーバ５０は、第二の装置１２に係る所定の運用条件を満たす場合に、パスワードを用いて、第二の装置１２にログインさせる。例えば、本実施例に係るプロキシサーバ５０は、他のワークフローのシステムの運用条件情報が示す運用条件に合致する利用者について、第二の装置１２へのログインを試みる。一方、本実施例に係るプロキシサーバ５０は、運用条件に合致しない利用者については、第二の装置１２へのログインをさせない。したがって、本実施例に係るプロキシサーバ５０によれば、他のワークフローのシステムの運用と連携して利用者のログインを行うことができる。

　また、本実施例に係るプロキシサーバ５０では、複数の第二の装置１２のそれぞれのログインの際に用いられるパスワードを単一のものとすることができる。この場合、本実施例に係るプロキシサーバ５０によれば、ログイン情報を１つだけしか記憶していないため、ログイン情報を複数記憶し、管理するものよりもログイン情報の漏洩リスクを低減することができる。したがって、本実施例に係るプロキシサーバ５０によれば、セキュリティをより向上させることができる。

　実施例６では、利用者が操作可能なコマンドを示す情報に基づいて、第一の装置１１から入力されたコマンドが、利用者が操作可能な場合には、コマンドを第二の装置１２へ発行する場合について説明する。

　また、本実施例では、第一の装置１１は、ユーザの操作を受け付けて、プロキシサーバに「コマンド」のリクエストを送信する。コマンドの一例としては、ファイルを読み込むための「ｒｅａｄ」、ファイルをコピーするための「ｃｏｐｙ」、ファイルを削除するための「ｄｅｌｅｔｅ」などが挙げられる。

［システム構成］
　実施例６に係る管理システムについて説明する。実施例６に係る管理システムのシステム構成は、実施例１～５のいずれかのシステム構成と同様であるので、説明を省略する。

［プロキシサーバ６０の構成］
　図１５は、実施例６に係るプロキシサーバの構成の一部を示す図である。図１５に示すプロキシサーバ６０は、記憶部６３および制御部６４を有する。プロキシサーバ６０は、実施例１の管理装置１０の機能および構成、または、実施例２～５のいずれか１つに係るプロキシサーバの機能および構成に加え、新たに制御部６４が判定部６４ｄおよび発行部６４ｅを有するとともに、記憶部６３が可能操作情報６３ａを記憶する。なお、以下では、上記の実施例１～５と同様の機能を果たす回路や機器については図１、図２、図６、図１１、図１３と同様の符号を付し、その説明は省略することとする。

　可能操作情報６３ａについて説明する。可能操作情報６３ａは、利用者が実行可能なコマンドおよび実行不可能なコマンドを、利用者ごとに定義された情報である。図１６は、可能操作情報の一例を示す図である。図１６の例では、ＩＤがＡである利用者は、「ｒｅａｄ」コマンドを実行でき、「ｃｏｐｙ」コマンドおよび「ｄｅｌｅｔｅ」コマンドを実行できないことが示されている。また、図１６の例では、ＩＤがＢである利用者は、「ｒｅａｄ」コマンドおよび「ｃｏｐｙ」コマンドを実行でき、「ｄｅｌｅｔｅ」コマンドを実行できないことが示されている。

　判定部６４ｄは、第一の通信部２１を介して受信したリクエストが「コマンド」であるか否かを判定する。判定部６４ｄは、リクエストがコマンドである場合には、可能操作情報６３ａを読み込む。判定部６４ｄは、読み込んだ可能操作情報６３ａから、「コマンド」のリクエストを行った利用者のＩＤを含むレコードを特定し、特定したレコードから、リクエストのコマンドが実行可能であるか否かの情報を取得する。判定部６４ｄは、取得した情報に基づいて、利用者がコマンドを実行可能であるか否かを判定する。

　発行部６４ｅは、判定部６４ｄにより発行可能と判定された場合に、操作コマンドを第二の装置１２へ発行する。例えば、発行部６４ｅは、判定部６４ｄの判定結果が実行可能でない場合には、発行部６４ｅは、第一の通信部２１を介して第一の装置１１に、利用者がコマンドを実行可能でない旨の「エラー」のメッセージを送信する。一方、実行可能である場合には、発行部６４ｅは、第二の装置１２にコマンドを発行する。

　このように、発行部６４ｅは、可能操作情報６３ａに基づいて、利用者が実行可能なコマンドについては、第二の装置１２にコマンドを発行し、実行不可能なコマンドについては、コマンドを発行しない。したがって、発行部６４ｅによれば、利用者ごとにコマンドのフィルタリングを行うことができる。

［処理の流れ］
　次に、本実施例に係るプロキシサーバ６０の処理の流れを説明する。図１７は、実施例６に係るフィルタリング処理の手順を示すフローチャートである。このフィルタリング処理は、割り込み処理であり、実行タイミングとしては様々なタイミングが考えられる。例えば、フィルタリング処理は、図５のステップＳ１０２で否定判定された場合、図８のステップＳ２０２で否定判定された場合、図１２のステップＳ３０２で否定判定された場合、図１４のステップＳ５０２で否定判定された場合などに実行される。

　図１７に示すように、判定部６４ｄは、第一の通信部２１を介して受信したリクエストが「コマンド」であるか否かを判定する（ステップＳ７０１）。判定部６４ｄは、リクエストがコマンドでない場合（ステップＳ７０１否定）には、リターンする。一方、判定部６４ｄは、リクエストがコマンドである場合（ステップＳ７０１肯定）には、可能操作情報６３ａを読み込む（ステップＳ７０２）。判定部６４ｄは、読み込んだ可能操作情報６３ａから、「コマンド」のリクエストを行った利用者のＩＤを含むレコードを特定し、特定したレコードから、リクエストのコマンドが実行可能であるか否かの情報を取得する（ステップＳ７０３）。判定部６４ｄは、取得した情報に基づいて、利用者がコマンドを実行可能であるか否かを判定する（ステップＳ７０４）。実行可能でない場合（ステップＳ７０４否定）には、発行部６４ｅは、第一の通信部２１を介して第一の装置１１に、利用者がコマンドを実行可能でない旨の「エラー」のメッセージを送信し（ステップＳ７０５）、リターンする。一方、実行可能である場合（ステップＳ７０４肯定）には、発行部６４ｅは、第二の装置１２にコマンドを発行し（ステップＳ７０６）、リターンする。

　上述してきたように、本実施例に係るプロキシサーバ６０では、アカウントテーブル２３ａにアカウントが登録された利用者以外の利用者は、利用者の認証が失敗し、第二の装置１２へのログインができない。よって、本実施例に係るプロキシサーバ６０によれば、第二の装置１２にログインすることができる利用者を限定することができる。

　また、本実施例に係るプロキシサーバ６０は、ログアウトのたびにパスワードを変更する。したがって、仮に第二の装置１２のパスワードを利用者が把握する状況になったとしても、ログアウト後にはパスワードが変更されるため、利用者の不正行為の成功を抑制することができる。よって、本実施例に係るプロキシサーバ６０によれば、セキュリティを向上させることができる。

　また、本実施例に係るプロキシサーバ６０は、パスワードを変更し、パスワードテーブル２３ｂを更新する。したがって、本実施例に係るプロキシサーバ６０によれば、第二の装置１２のパスワードを一元管理ができる。

　また、本実施例に係るプロキシサーバ６０は、第二の装置１２に係る所定の運用条件を満たす場合に、パスワードを用いて、第二の装置１２にログインさせる。例えば、本実施例に係るプロキシサーバ６０は、他のワークフローのシステムの運用条件情報が示す運用条件に合致する利用者について、第二の装置１２へのログインを試みる。一方、本実施例に係るプロキシサーバ６０は、運用条件に合致しない利用者については、第二の装置１２へのログインをさせない。したがって、本実施例に係るプロキシサーバ６０によれば、他のワークフローのシステムの運用と連携して利用者のログインを行うことができる。

　また、本実施例に係るプロキシサーバ６０は、ログイン後に第一の装置１１から第二の装置１２に対する操作コマンドの発行要求を受信した場合に、アカウントに紐付けて記憶された発行条件に基づいて、操作コマンドの発行可否を判定する。そして、本実施例に係るプロキシサーバ６０は、発行可能と判定された場合に、操作コマンドを第二の装置１２へ発行する。したがって、本実施例に係るプロキシサーバ６０によれば、利用者ごとにコマンドのフィルタリングを行うことができる。

　また、本実施例に係るプロキシサーバ６０では、複数の第二の装置１２のそれぞれのログインの際に用いられるパスワードを単一のものとすることができる。この場合、本実施例に係るプロキシサーバ６０によれば、ログイン情報を１つだけしか記憶していないため、ログイン情報を複数記憶し、管理するものよりもログイン情報の漏洩リスクを低減することができる。したがって、本実施例に係るプロキシサーバ６０によれば、セキュリティをより向上させることができる。

　さて、上記の実施例６では、可能操作情報６３ａに基づいて、コマンドをフィルタリングする場合を例示したが、開示の装置はこれに限定されない。そこで、実施例７では、さらに、運用管理サーバから取得した運用条件情報が示す運用条件を加味して、コマンドをフィルタリングする場合について説明する。

［システム構成］
　実施例７に係る管理システムについて説明する。実施例７に係る管理システムのシステム構成は、実施例４、５のいずれかのシステム構成と同様であるので、説明を省略する。

［プロキシサーバ７０の構成］
　図１８は、実施例７に係るプロキシサーバの構成の一部を示す図である。図１８に示すプロキシサーバ７０は、記憶部６３と、制御部７４とを有する。プロキシサーバ７０は、実施例４、５のいずれか１つに係るプロキシサーバの機能および構成に加え、新たに制御部７４が判定部７４ｄおよび発行部７４ｅを有するとともに、実施例６と同様に、記憶部６３が可能操作情報６３ａを記憶する。なお、以下では、上記の実施例４、５、６と同様の機能を果たす回路や機器については図１１、図１３、図１５と同様の符号を付し、その説明は省略することとする。

　判定部７４ｄは、アカウントに紐付けて記憶された発行条件に加え、第二の装置１２に係る所定の運用条件をさらに用いて、操作コマンドの発行可否を判定する。例えば、判定部７４ｄは、第一の通信部２１を介して受信したリクエストが「コマンド」であるか否かを判定する。判定部７４ｄは、リクエストがコマンドである場合には、第四の通信部４３を介して、運用管理サーバ４１から運用条件情報を取得する。判定部７４ｄは、運用条件情報が示す運用条件に利用者が合致するか否かを判定する。運用条件に利用者が合致しない場合には、判定部７４ｄは、第一の通信部２１を介して第一の装置１１に、運用条件に利用者が合致しない旨の「エラー」のメッセージを送信する。一方、運用条件に利用者が合致する場合には、判定部７４ｄは、可能操作情報６３ａを読み込む。判定部７４ｄは、読み込んだ可能操作情報６３ａから、「コマンド」のリクエストを行った利用者のＩＤを含むレコードを特定し、特定したレコードから、リクエストのコマンドが実行可能であるか否かの情報を取得する。判定部７４ｄは、取得した情報に基づいて、利用者がコマンドを実行可能であるか否かを判定する。実行可能でない場合には、発行部７４ｅは、第一の通信部２１を介して第一の装置１１に、利用者がコマンドを実行可能でない旨の「エラー」のメッセージを送信する。一方、実行可能である場合には、発行部７４ｅは、第二の装置１２にコマンドを発行する。

　このように、判定部７４ｄは、アカウントに紐付けて記憶された発行条件に基づいて、操作コマンドの発行可否を判定し、発行部７４ｄは、発行可能と判定された場合に、操作コマンドを第二の装置１２へ発行する。したがって、判定部７４ｄおよび発行部７４ｄによれば、他のワークフローのシステムの運用と連携した利用者ごとのコマンドの実行可能／不可能の情報に応じて、コマンドのフィルタリングを行うことができる。

［処理の流れ］
　次に、本実施例に係るプロキシサーバ７０の処理の流れを説明する。図１９は、実施例７に係るフィルタリング処理の手順を示すフローチャートである。このフィルタリング処理は、割り込み処理であり、実行タイミングとしては様々なタイミングが考えられる。例えば、フィルタリング処理は、図１２のステップＳ３０２で否定判定された場合、図１４のステップＳ５０２で否定判定された場合などに実行される。なお、ステップＳ８０１～Ｓ８０６は、実施例６に係るフィルタリング処理のステップＳ７０１～Ｓ７０６と同様であるので、説明を省略する。

　図１９に示すように、判定部７４ｄは、第四の通信部４３を介して、運用管理サーバ４１から運用条件情報を取得する（ステップＳ９０１）。判定部７４ｄは、運用条件情報が示す運用条件に利用者が合致するか否かを判定する（ステップＳ９０２）。運用条件に利用者が合致しない場合（ステップＳ９０２否定）には、判定部７４ｄは、第一の通信部２１を介して第一の装置１１に、運用条件に利用者が合致しない旨の「エラー」のメッセージを送信する（ステップＳ９０３）。一方、運用条件に利用者が合致する場合（ステップＳ９０２肯定）には、ステップＳ８０２へ進む。

　上述してきたように、本実施例に係るプロキシサーバ７０では、アカウントテーブル２３ａにアカウントが登録された利用者以外の利用者は、利用者の認証が失敗し、第二の装置１２へのログインができない。よって、本実施例に係るプロキシサーバ７０によれば、第二の装置１２にログインすることができる利用者を限定することができる。

　また、本実施例に係るプロキシサーバ７０は、ログアウトのたびにパスワードを変更する。したがって、仮に第二の装置１２のパスワードを利用者が把握する状況になったとしても、ログアウト後にはパスワードが変更されるため、利用者の不正行為の成功を抑制することができる。よって、本実施例に係るプロキシサーバ７０によれば、セキュリティを向上させることができる。

　また、本実施例に係るプロキシサーバ７０は、パスワードを変更し、パスワードテーブル２３ｂを更新する。したがって、本実施例に係るプロキシサーバ７０によれば、第二の装置１２のパスワードを一元管理ができる。

　また、本実施例に係るプロキシサーバ７０は、第二の装置１２に係る所定の運用条件を満たす場合に、パスワードを用いて、第二の装置１２にログインさせる。例えば、本実施例に係るプロキシサーバ７０は、他のワークフローのシステムの運用条件情報が示す運用条件に合致する利用者について、第二の装置１２へのログインを試みる。一方、本実施例に係るプロキシサーバ７０は、運用条件に合致しない利用者については、第二の装置１２へのログインをさせない。したがって、本実施例に係るプロキシサーバ７０によれば、他のワークフローのシステムの運用と連携して利用者のログインを行うことができる。

　また、本実施例に係るプロキシサーバ７０は、ログイン後に第一の装置１１から第二の装置１２に対する操作コマンドの発行要求を受信した場合に、アカウントに紐付けて記憶された発行条件に基づいて、操作コマンドの発行可否を判定する。そして、本実施例に係るプロキシサーバ７０は、発行可能と判定された場合に、操作コマンドを第二の装置１２へ発行する。したがって、本実施例に係るプロキシサーバ７０によれば、利用者ごとにコマンドのフィルタリングを行うことができる。

　また、本実施例に係るプロキシサーバ７０は、アカウントに紐付けて記憶された発行条件に基づいて、操作コマンドの発行可否を判定し、発行可能と判定した場合に、操作コマンドを第二の装置１２へ発行する。したがって、本実施例に係るプロキシサーバ７０によれば、他のワークフローのシステムの運用と連携した利用者ごとのコマンドの実行可能／不可能の情報に応じて、コマンドのフィルタリングを行うことができる。

　また、本実施例に係るプロキシサーバ７０では、複数の第二の装置１２のそれぞれのログインの際に用いられるパスワードを単一のものとすることができる。この場合、本実施例に係るプロキシサーバ７０によれば、ログイン情報を１つだけしか記憶していないため、ログイン情報を複数記憶し、管理するものよりもログイン情報の漏洩リスクを低減することができる。したがって、本実施例に係るプロキシサーバ７０によれば、セキュリティをより向上させることができる。

　さて、これまで開示の装置に関する実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下では、本発明に含まれる他の実施例を説明する。

　例えば、実施例２～７において、第二の装置１２へログインするためのパスワードが、アカウントには紐付かない場合について例示した。しかしながら、開示の装置は、これに限られず、パスワードが、アカウントに紐付くようにしてもよい。例えば、複数のパスワードでログイン可能な装置を、第二の装置１２として採用する。この場合に、開示の装置は、かかる複数のパスワードのそれぞれを、複数の利用者のそれぞれに対応させ、利用者ごとに、対応するパスワードを用いて、第二の装置１２へログインするようにしてもよい。このとき、上述した変更部３４ｃは、ログアウトのたびに、複数のパスワードのうち、ログアウトした利用者に対応するパスワードのみを変更してもよいし、複数のパスワードを一括して変更してもよい。さらに、利用者を所定のグループ、例えば、部署毎のグループに割り当てた場合には、変更部３４ｃは、ログアウトのたびに、複数のパスワードのうち、ログアウトした利用者が割り当てられたグループの利用者のパスワードのみを変更することもできる。

　また、実施例１～７において説明した各処理のうち、自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともできる。例えば、利用者などが、図示しない操作受付装置を介して、各処理の実行指示を入力してもよい。

　また、各種の負荷や使用状況などに応じて、各実施例において説明した各処理の各ステップでの処理を任意に細かくわけたり、あるいはまとめたりすることができる。また、ステップを省略することもできる。例えば、図１４のステップＳ５０７とステップＳ６０１とをまとめてもよい。

　また、各種の負荷や使用状況などに応じて、各実施例において説明した各処理の各ステップでの処理の順番を変更できる。例えば、図１４のステップＳ２１４とステップＳ２１５の順番を入れ替えてもよい。

　また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的状態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、図１５に示す判定部６４ｄと、発行部６４ｅとを統合することができる。また、図１８に示す判定部７４ｄと、発行部７４ｅとを統合することができる。

［管理プログラム］
　また、上記の実施例で説明した管理装置またはプロキシサーバの各種の処理は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータシステムで実行することによって実現することもできる。そこで、以下では、図２０を用いて、上記の実施例１～７のいずれか１つで説明した管理装置またはプロキシサーバと同様の機能を有する管理プログラムを実行するコンピュータの一例を説明する。

　図２０は、管理プログラムを実行するコンピュータを示す図である。図２０に示すように、実施例８におけるコンピュータ３００は、ＣＰＵ（Central　Processing　Unit）３１０、ＲＯＭ（Read　Only　Memory）３２０、ＨＤＤ（Hard　Disk　Drive）３３０、ＲＡＭ（Random　Access　Memory）３４０を有する。これら３００～３４０の各部は、バス３５０を介して接続される。

　ＲＯＭ３２０には、上記の実施例１～７のいずれか１つで示す認証部、制御部や、変更部、判定部、発行部と同様の機能を発揮する管理プログラム３２０ａが予め記憶される。なお、管理プログラム３２０ａについては、適宜分離しても良い。例えば、認証部、制御部と同様の機能を発揮するプログラムと、変更部、判定部、発行部と同様の機能を発揮するプログラムとに分離しても良い。

　そして、ＣＰＵ３１０が、管理プログラム３２０ａをＲＯＭ３２０から読み出して実行する。

　そして、ＨＤＤ３３０には、アカウントテーブル、パスワードテーブルや、可能操作情報が設けられる。これらアカウントテーブル、パスワードテーブルや、可能操作情報のそれぞれは、アカウントテーブル２３ａ、パスワードテーブル２３ｂ、可能操作情報６３ａのそれぞれに対応する。

　そして、ＣＰＵ３１０は、アカウントテーブル、パスワードテーブルや、可能操作情報を読み出してＲＡＭ３４０に格納する。さらに、ＣＰＵ３１０は、ＲＡＭ３４０に格納されたアカウントテーブル、パスワードテーブルや、可能操作情報を用いて、管理プログラムを実行する。なお、ＲＡＭ３４０に格納される各データは、常に全てのデータがＲＡＭ３４０に格納されなくともよく、全てのデータのうち処理に用いられるデータのみがＲＡＭ３４０に格納されれば良い。

　なお、上記した管理プログラムについては、必ずしも最初からＲＯＭ３２０、４２０に記憶させなくともよい。

　例えば、コンピュータ３００に挿入されるフレキシブルディスク（ＦＤ）、ＣＤ－ＲＯＭ、ＤＶＤディスク、光磁気ディスク、ＩＣカードなどの「可搬用の物理媒体」にプログラムを記憶させておく。そして、コンピュータ３００がこれらからプログラムを読み出して実行するようにしてもよい。　

　さらには、公衆回線、インターネット、ＬＡＮ、ＷＡＮなどを介してコンピュータ３００に接続される「他のコンピュータ（またはサーバ）」などにプログラムを記憶させておく。そして、コンピュータ３００がこれらからプログラムを読み出して実行するようにしてもよい。

　　　１０　　　管理装置
　　　１０ａ　　第一の記憶部
　　　１０ｂ　　第二の記憶部
　　　１０ｃ　　認証部
　　　１０ｄ　　制御部
　　　１１　　　第一の装置
　　　１２　　　第二の装置

Claims

　第一の装置から認証情報を受信した場合に、第一の記憶部に記憶された複数の認証情報を用いて、受信した認証情報を認証する認証部と、
　前記認証部による認証が成功した場合に、第二の記憶部に記憶された単一のログイン情報を用いて、前記第二の装置へのログインを実行させる制御部と
　を有することを特徴とする管理装置。
　第一の装置から認証情報を受信した場合に、第一の記憶部に記憶された複数の認証情報を用いて、受信した認証情報を認証する認証部と、
　前記認証部による認証が成功した場合に、第二の記憶部に記憶されたログイン情報を用いて、前記第二の装置へのログインを実行させる制御部と、
　前記第二の装置からログアウトした場合には、前記第二の記憶部に記憶されたログイン情報を変更する変更部と
　を有することを特徴とする管理装置。
　前記認証部は、前記第二の装置に係る所定の運用条件をさらに用いて認証することを特徴とする請求項１または２に記載の管理装置。
　前記制御部は、前記第二の装置に係る所定の運用条件を満たす場合に、前記ログイン情報を用いて前記第二の装置へのログインを実行させることを特徴とする請求項１または２に記載の管理装置。
　ログイン後に前記第一の装置から前記第二の装置に対する操作コマンドの発行要求を受信した場合に、記憶された発行条件に基づいて、操作コマンドの発行可否を判定する判定部と、
　前記判定部により発行可能と判定された場合に、操作コマンドを前記第二の装置へ発行する発行部と
　をさらに有することを特徴とする請求項１～４のいずれか一つに記載の管理装置。
　前記判定部は、前記第二の装置に係る所定の運用条件をさらに用いて判定することを特徴とする請求項５に記載の管理装置。
　コンピュータに、
　第一の装置から認証情報を受信した場合に、第一の記憶部に記憶された複数の認証情報を用いて、受信した認証情報を認証し、
　認証が成功した場合に、第二の記憶部に記憶された単一のログイン情報を用いて、前記第二の装置へのログインを実行させる
　処理を実行させることを特徴とする管理プログラム。
　コンピュータに、
　第一の装置から認証情報を受信した場合に、第一の記憶部に記憶された複数の認証情報を用いて、受信した認証情報を認証し、
　認証が成功した場合に、第二の記憶部に記憶されたログイン情報を用いて、前記第二の装置へのログインを実行させ、
　前記第二の装置からログアウトした場合には、前記第二の記憶部に記憶されたログイン情報を変更する
　処理を実行させることを特徴とする管理プログラム。
　コンピュータが実行する管理方法であって、
　第一の装置から認証情報を受信した場合に、第一の記憶部に記憶された複数の認証情報を用いて、受信した認証情報を認証し、
　認証が成功した場合に、第二の記憶部に記憶された単一のログイン情報を用いて、前記第二の装置へのログインを実行させる
　ことを特徴とする管理方法。
　コンピュータが実行する管理方法であって、
　第一の装置から認証情報を受信した場合に、第一の記憶部に記憶された複数の認証情報を用いて、受信した認証情報を認証し、
　認証が成功した場合に、第二の記憶部に記憶されたログイン情報を用いて、前記第二の装置へのログインを実行させ、
　前記第二の装置からログアウトした場合には、前記第二の記憶部に記憶されたログイン情報を変更する
　ことを特徴とする管理方法。