WO2014125956A1

WO2014125956A1 - ネットワークのアクセス制御システム、アクセス制御装置およびアクセス制御用プログラム

Info

Publication number: WO2014125956A1
Application number: PCT/JP2014/052478
Authority: WO
Inventors: 勝也石野; ソールズベリーデイビッド
Original assignee: スター精密株式会社
Priority date: 2013-02-15
Filing date: 2014-02-04
Publication date: 2014-08-21
Also published as: JP2014157461A

Abstract

正当なアクセス権を持った現職の従業員のみがネットワークに接続できるようにすることにより、セキュリティを向上させることができるようにする。Ｗｅｂサーバ１とモバイル端末２とルータ３とを備えたネットワークシステムにおいて、モバイル端末２からネットワーク接続してＷｅｂサーバ１にアクセスをする際にアクセス権情報として使用するＩＤとＰＡＳＳのうち少なくとも一方を繰り返し発行して設定する機能をルータ３が備え、随時変更してルータ３に設定される可変のアクセス権情報をＮＦＣ通信によりモバイル端末２にも設定しなければネットワーク接続ができないようにすることにより、ＮＦＣ通信を通じて可変のアクセス権情報を随時設定可能な現職の従業員が持つモバイル端末２でなければＷｅｂサーバ１へのアクセスができないようにする。

Description

ネットワークのアクセス制御システム、アクセス制御装置およびアクセス制御用プログラム

　本発明は、ネットワークのアクセス制御システム、アクセス制御装置およびアクセス制御用プログラムに関し、特に、無線ＬＡＮルータを通してモバイル式のクライアント端末（以下、モバイル端末という）をネットワーク上のサーバに接続するネットワークシステムにおいて、モバイル端末からサーバへのアクセスを制御するシステムに用いて好適なものである。

　現状、世の中には、通常のルータ機能に無線アクセスポイント機能が付加された無線ＬＡＮルータが広く普及している（例えば、特許文献１，２参照）。ここで、ルータ機能とは、有線ＬＡＮとインターネットとの間を仲立ちする機能をいう。また、無線アクセスポイント機能とは、無線ＬＡＮで接続するモバイル端末のために、無線ＬＡＮと有線ＬＡＮとを相互変換する機能をいう。

　また、昨今ではスマートフォンやタブレットといったモバイル端末も広く普及し、会社の業務においてもモバイル端末を利用することが増えている。特に現在はＢＹＯＤ（Bring Your Own Device）が普及しており、従業員が個人保有のモバイル端末を職場に持ち込み、モバイル端末を業務に使用することが増えている。例えば、モバイル端末からサーバにアクセスし、サーバ上の情報を活用して業務を遂行することが行われている。このときモバイル端末からのアクセスを無線ＬＡＮ経由で行えるようにするために、無線ＬＡＮルータが使用される。

　サーバは、社内の有線ＬＡＮ上に設置される場合もあるし（以下、この場合のサーバを社内サーバという）、インターネット上に設置される場合もある（以下、この場合のサーバをＷｅｂサーバという）。社内にいる従業員がモバイル端末から社内サーバまたはＷｅｂサーバのどちらにアクセスする場合も、無線ＬＡＮルータを経由してアクセスすることが必要となる。また、社内の有線ＬＡＮ上に社内サーバを設けている場合には、社外にいる従業員がモバイル端末からインターネット経由で社内サーバにアクセスする場合もある。このような社外から社内へのアクセスの場合も、無線ＬＡＮルータを経由することが必要である。

　前述のネットワークシステムにおいては、サーバへのアクセス権を従業員のみに限定することにより、セキュリティを確保する必要がある。そのために、無線ＬＡＮルータ（以下、単にルータという）にＩＤとＰＡＳＳＷＯＲＤ（以下、単にＰＡＳＳという）を設定し、従業員は自らの保有するモバイル端末にルータのＩＤとＰＡＳＳを手動で入力するようにしていた。すなわち、ルータのＩＤとＰＡＳＳをモバイル端末に入力しない限りはネットワーク接続ができないため、ルータのＩＤとＰＡＳＳを従業員のみに通知することで、従業員以外はサーバにアクセスできないネットワークを構築していた。

特開２００８－１４６５５６号公報特開２０１１－２４９８８９号公報

　しかしながら、従業員が自分のモバイル端末に一度ＩＤとＰＡＳＳを入力すれば、それ以降はＩＤとＰＡＳＳを入力することなく、ネットワークにモバイル端末を接続してサーバにアクセスすることが可能となる。よって、正当なアクセス権を失ったはずの元従業員も、簡単にネットワークに接続することが可能となり、サーバに記憶されている社内の重要情報を盗み見られてしまう恐れがあるという問題があった。

　本発明は、このような問題を解決するために成されたものであり、正当なアクセス権を持った現職の従業員のみがネットワークに接続できるようにすることにより、セキュリティを向上させることができるようにすることを目的とする。

　上記した課題を解決するために、本発明では、モバイル端末とルータとサーバとを備えたネットワークシステムにおいて、モバイル端末からネットワーク接続をする際にアクセス権情報として使用するルータのＩＤとパスワードのうち、少なくとも一方を繰り返し発行してネットワーク上に設定し、当該設定した可変のアクセス権情報をモバイル端末に通知して設定するようにしている。

　上記のように構成した本発明によれば、ネットワーク接続に必要な可変のアクセス権情報が随時発行されてネットワーク上に設定されるので、そのように随時変更されるアクセス権情報を設定したモバイル端末でなければネットワークへの接続はできなくなる。そのため、現職の従業員が使用するモバイル端末に対してのみ随時変更されるアクセス権情報を通知して設定するようにすれば、通知が行われなくなった元従業員のモバイル端末からはネットワークへの接続を行うことができなくなる。これにより、正当なアクセス権を持った現職の従業員のみがネットワークに接続してサーバにアクセスすることができるようになり、セキュリティを向上させることができる。

第１の実施形態によるネットワークのアクセス制御システムの概略構成例を示す図である。第１の実施形態によるモバイル端末、ルータおよびＮＦＣリーダライタのハードウェア構成を示す図である。第１の実施形態によるモバイル端末、ルータおよびＮＦＣリーダライタの機能構成を示す図である。第２の実施形態によるネットワークのアクセス制御システムの概略構成例を示す図である。第２の実施形態によるモバイル端末、ルータおよびＮＦＣリーダライタのハードウェア構成を示す図である。第２の実施形態によるモバイル端末、ルータおよびＮＦＣリーダライタの機能構成を示す図である。第３の実施形態によるネットワークのアクセス制御システムの概略構成例を示す図である。第３の実施形態によるモバイル端末、ルータ、ＮＦＣリーダライタおよびアクセス制御装置のハードウェア構成を示す図である。第３の実施形態によるモバイル端末、ルータ、ＮＦＣリーダライタおよびアクセス制御装置の機能構成を示す図である。第４の実施形態によるネットワークのアクセス制御システムの概略構成例を示す図である。第５の実施形態によるモバイル端末、ルータおよびＮＦＣリーダライタの機能構成を示す図である。第６の実施形態によるネットワークのアクセス制御システムの概略構成例を示す図である。第６の実施形態によるルータおよびプリンタのハードウェア構成を示す図である。第６の実施形態によるルータおよびプリンタの機能構成を示す図である。

（第１の実施形態）
　以下、本発明の第１の実施形態を図面に基づいて説明する。図１は、第１の実施形態によるネットワークのアクセス制御システムの概略構成例を示す図である。図１に示すように、第１の実施形態によるアクセス制御システムは、Ｗｅｂサーバ１、モバイル端末２、ルータ３およびＮＦＣリーダライタ４を備えて構成されている。

　ここで、Ｗｅｂサーバ１とルータ３との間はインターネット１００で接続されている。また、モバイル端末２とルータ３との間は無線ＬＡＮ２００により接続されている。また、ルータ３とＮＦＣリーダライタ４との間はＵＳＢ（Universal Serial Bus）等の有線ケーブル３００により接続されている。さらに、モバイル端末２とＮＦＣリーダライタ４との間はＮＦＣ（Near Field Communication）で無線通信が可能に構成されている。

　第１の実施形態によるアクセス制御システムでは、モバイル端末２から無線ＬＡＮ２００を介してルータ３に接続し、当該ルータ３を介してインターネット１００上のＷｅｂサーバ１に対してアクセスを行う際に、モバイル端末２からＷｅｂサーバ１へのネットワーク接続をＩＤとＰＡＳＳにより制御する。

　すなわち、第１の実施形態では、ルータ３において可変のアクセス権情報（ＩＤおよびＰＡＳＳ）を発行して当該ルータ３に設定する。また、ルータ３に設定した可変のアクセス権情報をＮＦＣリーダライタ４を介してＮＦＣ通信によりモバイル端末２に通知し、当該モバイル端末２にも可変のアクセス権情報を設定する。そして、モバイル端末２からルータ３を介してＷｅｂサーバ１にアクセスするときは、以上のようにしてモバイル端末２およびルータ３に設定した可変のアクセス権情報を用いて認証を実行する。

　図２は、第１の実施形態によるアクセス制御システムの構成要素であるモバイル端末２、ルータ３およびＮＦＣリーダライタ４のハードウェア構成を示す図である。図２に示すように、モバイル端末２は、そのハードウェア構成として、ＣＰＵ２０１、無線ＬＡＮ用Ｉ／Ｆ２０２、液晶ディスプレイ等の表示部２０３、タッチパネル等の入力部２０４、ＲＯＭ２０５、ＲＡＭ２０６、不揮発性メモリ２０７およびＮＦＣリーダ２０８を備えている。

　また、ルータ３は、そのハードウェア構成として、ＣＰＵ３０１、インターネット用Ｉ／Ｆ３０２、無線ＬＡＮ用Ｉ／Ｆ３０３、ケーブル用Ｉ／Ｆ３０４、ＲＯＭ３０５、ＲＡＭ３０６および不揮発性メモリ３０７を備えている。また、ＮＦＣリーダライタ４は、そのハードウェア構成として、ＣＰＵ４０１、ケーブル用Ｉ／Ｆ４０２、ＲＯＭ４０３、ＲＡＭ４０４、不揮発性メモリ４０５およびＮＦＣタグ４０６を備えている。

　図３は、第１の実施形態によるアクセス制御システムの構成要素であるモバイル端末２、ルータ３およびＮＦＣリーダライタ４の機能構成例を示すブロック図である。なお、この図３では、図２に示したハードウェア構成の一部もあわせて示している。

　図３に示すように、モバイル端末２は、その機能構成として、アクセス権情報記録部２１およびアクセス処理部２２を備えている。ここで、アクセス権情報記録部２１およびアクセス処理部２２の機能は、図２に示したＣＰＵ２０１の制御に従って、ＲＯＭ２０５、ＲＡＭ２０６または不揮発性メモリ２０７に記憶されたアクセス制御用プログラムが動作することによって実現される。

　また、ルータ３は、その機能構成として、アクセス権情報発行部３０、アクセス権情報設定部３１、アクセス権情報通知部３２、照合部３３およびルーティング部３４を備えている。ここで、アクセス権情報発行部３０、アクセス権情報設定部３１、アクセス権情報通知部３２および照合部３３の機能は、図２に示したＣＰＵ３０１の制御に従って、ＲＯＭ３０５、ＲＡＭ３０６または不揮発性メモリ３０７に記憶されたアクセス制御用プログラムが動作することによって実現される。

　また、ＮＦＣリーダライタ４は、その機能構成として、アクセス権情報記録部４１を備えている。ここで、アクセス権情報記録部４１の機能は、図２に示したＣＰＵ４０１の制御に従って、ＲＯＭ４０３、ＲＡＭ４０４または不揮発性メモリ４０５に記憶されたアクセス制御用プログラムが動作することによって実現される。

　ルータ３のアクセス権情報発行部３０は、モバイル端末２からネットワーク接続してＷｅｂサーバ１にアクセスをする際にアクセス権情報として使用するＩＤとＰＡＳＳを繰り返し発行する。アクセス権情報発行部３０で発行されたＩＤとＰＡＳＳは、アクセス権情報設定部３１に送信される。そしてアクセス権情報設定部３１によって、不揮発性メモリ３０７にＩＤとＰＡＳＳを記録する。これにより、不揮発性メモリ３０７にアクセス権情報を設定することができる。すなわち、アクセス権情報発行部３０は、Ｗｅｂサーバ１とモバイル端末２とを繋ぐネットワーク上にあるルータ３にてＩＤとＰＡＳＳを可変のアクセス権情報として繰り返し発行するものとして機能する。また、アクセス権情報設定部３１は、アクセス権情報発行部３０が発行した可変のアクセス権情報をルータ３自身に都度設定するものとして機能する。

　繰り返しのタイミングは、所定の時間間隔毎の定期的なものでもよいし、非定期的なものでもよい。例えば、アクセス権情報発行部３０は、毎日決められた時刻（例えば、午前０時）に可変のＩＤとＰＡＳＳの両方を発行し、アクセス権情報設定部３１が不揮発性メモリ３０７にＩＤとＰＡＳＳを設定する。なお、ここではＩＤとＰＡＳＳの両方を繰り返し発行する例について説明したが、何れか一方のみを可変のアクセス権情報とし、他方を固定のアクセス権情報としてもよい。

　アクセス権情報通知部３２は、アクセス権情報発行部３０により発行された可変のアクセス権情報（ＩＤとＰＡＳＳ）をモバイル端末２に通知する。第１の実施形態では、アクセス権情報通知部３２は、アクセス権情報発行部３０により発行された可変のアクセス権情報をＮＦＣリーダライタ４に送信してＮＦＣタグ４０６に記録させることにより、ＮＦＣタグ４０６の読み取りを通じて可変のアクセス権情報をモバイル端末２に通知する。

　すなわち、アクセス権情報通知部３２は、アクセス権情報発行部３０により発行された可変のアクセス権情報を、ケーブル用Ｉ／Ｆ部３０４，４０２を介してＮＦＣリーダライタ４に送信する。ＮＦＣリーダライタ４のアクセス権情報記録部４１は、ルータ３から送信されてきた可変のアクセス権情報をＮＦＣタグ４０６に記録する。ＮＦＣタグ４０６に記録された可変のアクセス権情報は、モバイル端末２のＮＦＣリーダ２０８により読み取られ、アクセス権情報記録部２１に供給される。

　モバイル端末２のアクセス権情報記録部２１は、ＮＦＣリーダ２０８によりＮＦＣタグ４０６から読み取られた（つまり、ルータ３のアクセス権情報通知部３２により通知された）可変のアクセス権情報を不揮発性メモリ２０７に記録する。アクセス権情報記録部２１が新しいアクセス権情報を不揮発性メモリ２０７に記録する際、古いアクセス権情報は上書きにより削除する。なお、古いアクセス権情報は上書きによる削除を行わず、不揮発性メモリ２０７内に残しておいてもよい。

　モバイル端末２のアクセス処理部２２は、ルータ３を介してＷｅｂサーバ１に対するアクセスに関する処理を実行する。このときアクセス処理部２２は、Ｗｅｂサーバ１のＵＲＬ（Uniform Resource Locator）をルータ３に送信するとともに、不揮発性メモリ２０７に記憶されている可変のアクセス権情報をルータ３に送信してアクセスに関する処理を実行する。

　ルータ３の照合部３３は、モバイル端末２から送信されてきた可変のアクセス権情報（ＩＤおよびＰＡＳＳ）と、不揮発性メモリ３０７に記憶されている可変のアクセス権情報（ＩＤおよびＰＡＳＳ）とを照合し、両者が一致する場合にＷｅｂサーバ１へのアクセスを許可する。ルーティング部３４は、照合部３３によりＷｅｂサーバ１へのアクセスが許可された場合に、公知のルーティング処理を行ってＷｅｂサーバ１へのアクセスを実行する。

　以上詳しく説明したように、第１の実施形態では、モバイル端末２からネットワーク接続してＷｅｂサーバ１にアクセスをする際にアクセス権情報として使用するＩＤとＰＡＳＳの少なくとも一方をルータ３が繰り返し発行し、ルータ３自身に都度設定するようにしている。そして、ルータ３に設定した可変のアクセス権情報を、ＮＦＣタグ４０６を介してモバイル端末２に通知し、モバイル端末２にも都度設定するようにしている。

　このように構成した第１の実施形態によれば、ネットワーク接続に必要な可変のアクセス権情報が随時発行されてルータ３に設定されるので、そのように随時変更されるアクセス権情報を設定したモバイル端末２でなければネットワーク接続はできなくなる。ここで、可変のアクセス権情報をモバイル端末２に通知するために用いられるＮＦＣリーダライタ４は社内に設置されるので、社内への立ち入りを許可された現職の従業員でなければ、自分の使用するモバイル端末２に可変のアクセス権情報を設定することはできない。そのため、元従業員のモバイル端末からネットワーク接続してＷｅｂサーバ１へのアクセスを行うことはできず、正当なアクセス権を持った現職の従業員のみがモバイル端末２からＷｅｂサーバ１にアクセスすることができるようになる。これにより、セキュリティを向上させることができる。

（第２の実施形態）
　次に、本発明の第２の実施形態を図面に基づいて説明する。図４は、第２の実施形態によるネットワークのアクセス制御システムの概略構成例を示す図である。なお、この図４において、図１に示した符号と同一の符号を付したものは同一の機能を有するものであるので、ここでは重複する説明を省略する。

　図４に示すように、第２の実施形態によるアクセス制御システムは、図１に示したＷｅｂサーバ１の代わりに社内サーバ５を備えている。ここで、モバイル端末２とルータ３との間はインターネット１００で接続されている。また、ルータ３と社内サーバ５との間は有線ＬＡＮ４００により接続されている。また、ルータ３とＮＦＣリーダライタ４との間は有線のケーブル３００により接続されている。さらに、モバイル端末２とＮＦＣリーダライタ４との間はＮＦＣで無線通信が可能に構成されている。なお、第２の実施形態によるルータはＶＰＮ（Virtual Private Network）機能を有するルータでもよい。

　第２の実施形態によるアクセス制御システムでは、モバイル端末２からインターネット１００を介してルータ３に接続し、当該ルータ３を介して有線ＬＡＮ４００上の社内サーバ５に対してアクセスを行う際に、モバイル端末２から社内サーバ５へのネットワーク接続をＩＤとＰＡＳＳにより制御する。

　すなわち、第２の実施形態では、ルータ３において可変のアクセス権情報（ＩＤおよびＰＡＳＳ）を発行して当該ルータ３に設定する。また、ルータ３に設定した可変のアクセス権情報をＮＦＣリーダライタ４を介してＮＦＣ通信によりモバイル端末２に通知し、当該モバイル端末２にも可変のアクセス権情報を設定する。そして、モバイル端末２からルータ３を介して社内サーバ５にアクセスするときは、以上のようにしてモバイル端末２およびルータ３に設定した可変のアクセス権情報を用いて認証を実行する。

　図５は、第２の実施形態によるアクセス制御システムの構成要素であるモバイル端末２、ルータ３およびＮＦＣリーダライタ４のハードウェア構成を示す図である。なお、この図５において、図２に示した符号と同一の符号を付したものは同一の機能を有するものであるので、ここでは重複する説明を省略する。

　図５に示すように、モバイル端末２は、そのハードウェア構成として、無線ＬＡＮ用Ｉ／Ｆ２０２の代わりにインターネット用Ｉ／Ｆ２１２を備えている。ルータ３は、図２に示した構成に加えて有線ＬＡＮ用Ｉ／Ｆ３０８を更に備えている。なお、ＮＦＣリーダライタ４のハードウェア構成は、図２に示したものと同様である。

　図６は、第２の実施形態によるモバイル端末２、ルータ３およびＮＦＣリーダライタ４の機能構成例を示すブロック図である。なお、この図６において、図３に示した符号と同一の符号を付したものは同一の機能を有するものであるので、ここでは重複する説明を省略する。図６に示すように、モバイル端末２、ルータ３およびＮＦＣリーダライタ４が備える機能構成は、図３に示したものと同様である。

　図６に示す第２の実施形態では、モバイル端末２のアクセス処理部２２は、ルータ３を介して社内サーバ５に対するアクセスに関する処理を実行する。このときアクセス処理部２２は、インターネット用Ｉ／Ｆ２１２およびインターネット１００を介して社内サーバ５のＵＲＬをルータ３に送信するとともに、不揮発性メモリ２０７に記憶されている可変のアクセス権情報をルータ３に送信してアクセスに関する処理を実行する。

　ルータ３では、インターネット用Ｉ／Ｆ３０２を介してモバイル端末２から社内サーバ５のＵＲＬおよび可変のアクセス権情報を受信する。そして、照合部３３は、モバイル端末２から送信されてきた可変のアクセス権情報（ＩＤおよびＰＡＳＳ）と、不揮発性メモリ３０７に記憶されている可変のアクセス権情報（ＩＤおよびＰＡＳＳ）とを照合し、両者が一致する場合に社内サーバ５へのアクセスを許可する。ルーティング部３４は、照合部３３により社内サーバ５へのアクセスが許可された場合に、公知のルーティング処理を行うことにより、有線ＬＡＮ用Ｉ／Ｆ３０８を介して社内サーバ５へのアクセスを実行する。

　このように構成した第２の実施形態においても第１の実施形態と同様に、ネットワーク接続に必要な可変のアクセス権情報が随時発行されてルータ３に設定されるので、そのように随時変更されるアクセス権情報を記録したモバイル端末２でなければネットワーク接続はできなくなる。そのため、元従業員のモバイル端末からネットワーク接続して社内サーバ５へのアクセスを行うことはできず、正当なアクセス権を持った現職の従業員のみがモバイル端末２から社内サーバ５にアクセスすることが接続できるようになる。これにより、セキュリティを向上させることができる。

　なお、ここでは第１の実施形態と第２の実施形態とを分けて説明したが、第１の実施形態において、第２の実施形態のようにルータ３に有線ＬＡＮ４００を介して接続された社内サーバ５にアクセスすることも可能である。つまり、モバイル端末２からルータ３に無線ＬＡＮ２００で接続し、ルータ３に有線ＬＡＮ４００を介して接続された社内サーバ５にアクセスすることも可能である。この場合のアクセスの制御には、可変のアクセス権情報を用いることが可能である。

　また、上記第１および第２の実施形態では、ルータ３が自らのトリガで（所定の時刻になったときに）アクセス権情報を変更する例について説明したが、本発明はこれに限定されない。例えば、社内サーバ５からルータ３に変更指令を出力することにより、アクセス権情報を変更するようにしてもよい。

　また、上記第１および第２の実施形態では、ルータ３がアクセス権情報発行部３０を備え、ルータ３で発生した可変のアクセス権情報をルータ３自身に設定する例について説明したが、本発明はこれに限定されない。例えば、社内サーバ５にアクセス権情報発行部３０を備え、社内サーバ５で発行した可変のアクセス権情報をルータ３およびＮＦＣリーダライタ４に送信するようにしてもよい。あるいは、Ｗｅｂサーバ１にアクセス権情報発行部３０を備え、Ｗｅｂサーバ１で発行した可変のアクセス権情報をルータ３およびＮＦＣリーダライタ４に送信するようにしてもよい。

　また、上記第１および第２の実施形態では、ルータ３とＮＦＣリーダライタ４を別々に設ける例について説明したが、本発明はこれに限定されない。ルータ３内にＮＦＣリーダライタ４の各構成要素を含めることで、ルータ３とＮＦＣリーダライタ４とを一体としてもよい。

（第３の実施形態）
　次に、本発明の第３の実施形態を図面に基づいて説明する。図７は、第３の実施形態によるネットワークのアクセス制御システムの概略構成例を示す図である。なお、この図７において、図１に示した符号と同一の符号を付したものは同一の機能を有するものであるので、ここでは重複する説明を省略する。

　図７に示すように、第３の実施形態によるアクセス制御システムは、Ｗｅｂサーバ１、モバイル端末２、ルータ３’、ＮＦＣリーダライタ４およびアクセス制御装置６を備えて構成されている。ルータ３の代わりにルータ３’を設け、ルータ３’とインターネット１００との間にアクセス制御装置６を設けているところが第１の実施形態と異なっている。

　ここで、Ｗｅｂサーバ１とアクセス制御装置６との間はインターネット１００で接続されている。また、モバイル端末２とルータ３’との間は無線ＬＡＮ２００により接続されている。また、ルータ３’とアクセス制御装置６との間は有線のケーブル３０１で接続されている。また、アクセス制御装置６とＮＦＣリーダライタ４との間も有線のケーブル３０２により接続されている。さらに、モバイル端末２とＮＦＣリーダライタ４との間はＮＦＣで無線通信が可能に構成されている。

　第３の実施形態によるアクセス制御システムでは、モバイル端末２から無線ＬＡＮ２００を介してルータ３’に接続し、当該でルータ３’とこれに接続されたアクセス制御装置６を介してインターネット１００上のＷｅｂサーバ１に対してアクセスを行う際に、モバイル端末２からＷｅｂサーバ１へのネットワーク接続をＩＤとＰＡＳＳにより制御する。ここで、ルータ３’には固定のアクセス権情報が設定されている。また、アクセス制御装置６にて繰り返し発行された可変のアクセス権情報がアクセス制御装置６に都度設定されるようになっている。

　すなわち、第３の実施形態では、アクセス制御装置６において可変のアクセス権情報（ＩＤおよびＰＡＳＳ）を発行する。そして、発行した可変のアクセス権情報をアクセス制御装置６に設定する。また、アクセス制御装置６に設定した可変のアクセス権情報をＮＦＣリーダライタ４を介してＮＦＣ通信によりモバイル端末２に通知し、当該モバイル端末２にも可変のアクセス権情報を記録する。一方、ルータ３’には固定のアクセス権情報をあらかじめ設定しておき、モバイル端末２にもルータ３’の固定のアクセス権情報をあらかじめ記録しておく。なお、アクセス制御装置６によって発行される可変のアクセス権情報は、ルータ３’に設定される固定のアクセス権情報と同一となることがないよう制御される。

　そして、モバイル端末２からルータ３’およびアクセス制御装置６を介してＷｅｂサーバ１にアクセスするときは、以上のようにしてモバイル端末２およびルータ３’に設定した固定のアクセス権情報と、モバイル端末２およびアクセス制御装置６に設定した可変のアクセス権情報とを用いて認証を実行する。

　図８は、第３の実施形態によるアクセス制御システムの構成要素であるモバイル端末２、ルータ３’、ＮＦＣリーダライタ４およびアクセス制御装置６のハードウェア構成を示す図である。なお、この図８において、図２に示した符号と同一の符号を付したものは同一の機能を有するものであるので、ここでは重複する説明を省略する。

　図８に示すように、モバイル端末２、ルータ３’およびＮＦＣリーダライタ４のハードウェア構成は、図２に示したものと同様である。また、アクセス制御装置６は、そのハードウェア構成として、ＣＰＵ６０１、ケーブル用Ｉ／Ｆ６０２、インターネット用Ｉ／Ｆ６０３、ＲＯＭ６０４、ＲＡＭ６０５および不揮発性メモリ６０６を備えている。

　図９は、第３の実施形態によるモバイル端末２、ルータ３’、ＮＦＣリーダライタ４およびアクセス制御装置６の機能構成例を示すブロック図である。なお、この図９において、図３に示した符号と同一の符号を付したものは同一の機能を有するものであるので、ここでは重複する説明を省略する。図９に示すように、モバイル端末２およびＮＦＣリーダライタ４が備える機能構成は、図３に示したものと同様である。

　第３の実施形態において、ルータ３’は、市販されている通常の機能を有する無線ＬＡＮルータである。すなわち、ルータ３’は、図３に示したアクセス権情報発行部３０、アクセス権情報設定部３１およびアクセス権情報通知部３２の機能構成を備えていない。また、不揮発性メモリ３０７には、可変のアクセス権情報ではなく、あらかじめ設定された固定のアクセス権情報（ＩＤおよびＰＡＳＳ）が記憶されている。この固定のアクセス権情報は、ユーザがルータ３’を操作して設定したものである。

　アクセス制御装置６は、その機能構成として、アクセス権情報発行部６０、アクセス権情報設定部６１、アクセス権情報通知部６２および照合部６３を備えている。ここで、アクセス権情報発行部６０、アクセス権情報設定部６１、アクセス権情報通知部６２および照合部６３の機能は、図８に示したＣＰＵ６０１の制御に従って、ＲＯＭ６０４、ＲＡＭ６０５または不揮発性メモリ６０６に記憶されたアクセス制御用プログラムが動作することによって実現される。

　アクセス権情報発行部６０は、モバイル端末２からネットワーク接続してＷｅｂサーバ１にアクセスをする際にアクセス権情報として使用するＩＤとＰＡＳＳを繰り返し発行する。アクセス権情報設定部６１は、アクセス権情報発行部６０が発行したアクセス権情報を不揮発性メモリ６０６に記録する。これにより、不揮発性メモリ６０６にアクセス権情報を設定することができる。すなわち、アクセス権情報発行部６０は、Ｗｅｂサーバ１とモバイル端末２とを繋ぐネットワーク上にあるアクセス制御装置６にてＩＤとＰＡＳＳを可変のアクセス権情報として繰り返し発行するものとして機能し、アクセス権情報設定部６１は、当該発行した可変のアクセス権情報をアクセス制御装置６自身に都度設定するものとして機能する。

　繰り返しのタイミングは、所定の時間間隔毎の定期的なものでもよいし、非定期的なものでもよい。例えば、アクセス権情報発行部６０によって毎日決められた時刻（例えば、午前０時）に可変のＩＤとＰＡＳＳの両方を発行し、アクセス権情報設定部６１によって不揮発性メモリ６０６に可変のＩＤとＰＡＳＳを記録する。なお、ここではＩＤとＰＡＳＳの両方を繰り返し発行する例について説明したが、何れか一方のみを可変のアクセス権情報とし、他方を固定のアクセス権情報としてもよい。

　アクセス権情報通知部６２は、アクセス権情報発行部６０により発行された可変のアクセス権情報（ＩＤとＰＡＳＳ）をモバイル端末２に通知する。第３の実施形態でも第１の実施形態と同様、アクセス権情報通知部６２は、アクセス権情報発行部６０により発行された可変のアクセス権情報をＮＦＣリーダライタ４に送信してＮＦＣタグ４０６に記録させることにより、ＮＦＣタグ４０６の読み取りを通じて可変のアクセス権情報をモバイル端末２に通知する。

　すなわち、アクセス権情報通知部６２は、アクセス権情報発行部６０により発行された可変のアクセス権情報を、ケーブル用Ｉ／Ｆ部６０２，４０２を介してＮＦＣリーダライタ４に送信する。ＮＦＣリーダライタ４のアクセス権情報記録部４１は、アクセス制御装置６から送信されてきた可変のアクセス権情報をＮＦＣタグ４０６に記録する。ＮＦＣタグ４０６に記録された可変のアクセス権情報は、モバイル端末２のＮＦＣリーダ２０８により読み取られ、アクセス権情報記録部２１に供給される。

　モバイル端末２のアクセス権情報記録部２１は、ＮＦＣリーダ２０８によりＮＦＣタグ４０６から読み取られた（つまり、アクセス制御装置６のアクセス権情報通知部６２により通知された）可変のアクセス権情報を不揮発性メモリ２０７の所定の記憶領域に記録する。アクセス権情報記録部２１が新しいアクセス権情報を不揮発性メモリ２０７に記録する際、古いアクセス権情報は上書きにより削除する。なお、古いアクセス権情報は上書きによる削除を行わず、不揮発性メモリ２０７内に残しておいてもよい。

　なお、不揮発性メモリ２０７には、ルータ３’の不揮発性メモリ３０７に記憶されている固定のアクセス権情報と同じアクセス権情報も記憶されている。この固定のアクセス権情報は、ユーザがモバイル端末２を操作してあらかじめ設定したものである。

　モバイル端末２のアクセス処理部２２は、ルータ３’およびアクセス制御装置６を介してＷｅｂサーバ１に対するアクセスに関する処理を実行する。このときアクセス処理部２２は、Ｗｅｂサーバ１のＵＲＬをルータ３’に送信するとともに、不揮発性メモリ２０７に記憶されている可変のアクセス権情報および固定のアクセス権情報をルータ３’に送信してアクセスに関する処理を実行する。

　ルータ３’の照合部３６は、モバイル端末２から送信されてきた固定のアクセス権情報（ＩＤおよびＰＡＳＳ）と、不揮発性メモリ３０７に記憶されている固定のアクセス権情報（ＩＤおよびＰＡＳＳ）とを照合し、両者が一致する場合にＷｅｂサーバ１へのアクセスを許可する。なお、照合部３６では、モバイル端末２から送信されてきたアクセス権情報のうち、どちらが固定のものでどちらが可変のものかは判別できない。そこで、両方のアクセス権情報を不揮発性メモリ３０７に記憶されている固定のアクセス権情報と照合し、どちらかが一致すればＷｅｂサーバ１へのアクセスを許可する。

　ルーティング部３７は、照合部３６によりＷｅｂサーバ１へのアクセスが許可された場合に、公知のルーティング処理を行ってＷｅｂサーバ１へのアクセスを実行する。ただし、第３の実施形態では、ルータ３’とＷｅｂサーバ１との間にアクセス制御装置６が設置されている。よって、ルーティング部３７は、モバイル端末２から受信したＷｅｂサーバ１のＵＲＬをアクセス制御装置６に転送するとともに、可変のアクセス権情報（不揮発性メモリ３０７に記憶されている固定のアクセス権情報と一致しなかった方）をアクセス制御装置６に転送してアクセスに関する処理を実行する。

　アクセス制御装置６の照合部６３は、ルータ３’から送信されてきた可変のアクセス権情報（ＩＤおよびＰＡＳＳ）と、不揮発性メモリ６０６に記憶されている可変のアクセス権情報（ＩＤおよびＰＡＳＳ）とを照合し、両者が一致する場合にＷｅｂサーバ１へのアクセスを許可する。Ｗｅｂサーバ１へのアクセスを許可する場合、照合部６３は、ルータ３’から送信されてきたＵＲＬを用いてＷｅｂサーバ１へのアクセスを実行する。

　以上詳しく説明したように、第３の実施形態では、モバイル端末２からネットワーク接続してＷｅｂサーバ１にアクセスをする際にアクセス権情報として使用するＩＤとＰＡＳＳの少なくとも一方をアクセス制御装置６が繰り返し発行し、アクセス制御装置６自身に都度設定するようにしている。そして、アクセス制御装置６に設定した可変のアクセス権情報を、ＮＦＣタグ４０６を介してモバイル端末２に通知し、モバイル端末２にも都度記録するようにしている。

　このように構成した第３の実施形態においても第１の実施形態と同様に、アクセス制御装置６により随時変更されるアクセス権情報を設定したモバイル端末２でなければネットワーク接続はできなくなる。そのため、元従業員のモバイル端末からネットワーク接続してＷｅｂサーバ１へのアクセスを行うことはできず、正当なアクセス権を持った現職の従業員のみがモバイル端末２からＷｅｂサーバ１にアクセスすることができるようになる。これにより、セキュリティを向上させることができる。

　また、第３の実施形態では、ルータ３’とは別に専用装置としてアクセス制御装置６を設け、当該アクセス制御装置６において可変のアクセス権情報を発行して設定するようにしている。そのため、ネットワーク上で既に使用しているルータ３’をそのまま利用することができる。第１および第２の実施形態の場合は、通常のルータ３’を使用しているユーザは、アクセス権情報の変更機能が追加されたルータ３を新たに購入して設置しなければならない。これはコストアップにつながる。また、ルータ３’に代えてルータ３を設定する際にネットワークの細かな設定を再度行う必要もあるため、ユーザとしては好ましくない。

　これに対して、第３の実施形態によれば、現状のネットワーク（アクセス権情報の変更機能がない通常のルータ３’）を利用したまま、セキュリティを向上させることができる。アクセス制御装置６を新たに購入する必要はあるが、ルーティング機能やアクセスポイント機能がなく、可変のアクセス権情報を発行して設定する機能だけあれば良いので、安価に構成することが可能である。したがって、アクセス権情報の変更機能が付加されたルータ３を購入する場合に比べて、コストアップを抑制することができる。

（第４の実施形態）
　次に、本発明の第４の実施形態を図面に基づいて説明する。図１０は、第４の実施形態によるネットワークのアクセス制御システムの概略構成例を示す図である。なお、この図１０において、図７に示した符号と同一の符号を付したものは同一の機能を有するものであるので、ここでは重複する説明を省略する。

　図１０に示すように、第４の実施形態によるアクセス制御システムは、図７に示したＷｅｂサーバ１の代わりに社内サーバ５を備えている。この社内サーバ５は、ルータ３’との間が有線ＬＡＮ４００により接続されている。

　第４の実施形態によるアクセス制御システムでは、モバイル端末２からインターネット１００を介してルータ３’に接続し、当該ルータ３’とこれに接続されたアクセス制御装置６を介して有線ＬＡＮ４００上の社内サーバ５に対してアクセスを行う際に、モバイル端末２から社内サーバ５へのネットワーク接続をＩＤとＰＡＳＳにより制御する。ここで、ルータ３’には固定のアクセス権情報が設定されており、アクセス制御装置６にて繰り返し発行された可変のアクセス権情報がアクセス制御装置６に都度設定されるようになっている。

　すなわち、第４の実施形態では、アクセス制御装置６において可変のアクセス権情報（ＩＤおよびＰＡＳＳ）を発行して当該アクセス制御装置６に設定する。また、アクセス制御装置６に設定した可変のアクセス権情報をＮＦＣリーダライタ４を介してＮＦＣ通信によりモバイル端末２に通知し、当該モバイル端末２にも可変のアクセス権情報を記録する。一方、ルータ３’には固定のアクセス権情報をあらかじめ設定しておき、モバイル端末２にも固定のアクセス権情報をあらかじめ記録しておく。

　そして、モバイル端末２からアクセス制御装置６およびルータ３’を介して社内サーバ５にアクセスするときは、以上のようにしてモバイル端末２およびルータ３’に設定した固定のアクセス権情報と、モバイル端末２およびアクセス制御装置６に設定した可変のアクセス権情報とを用いて認証を実行する。

　第４の実施形態によるアクセス制御システムの構成要素であるモバイル端末２、ルータ３’、ＮＦＣリーダライタ４およびアクセス制御装置６のハードウェア構成は、図８に示したものとほぼ同じである。ただし、モバイル端末２は、図５と同様に、無線ＬＡＮ用Ｉ／Ｆ２０２の代わりにインターネット用Ｉ／Ｆ２１２を備えている。また、ルータ３’は、図５と同様に、有線ＬＡＮ用Ｉ／Ｆ３０８を更に備えている。

　また、第４の実施形態によるアクセス制御システムの構成要素であるモバイル端末２、ルータ３’、ＮＦＣリーダライタ４およびアクセス制御装置６の機能構成は、図９に示したものとほぼ同じである。ただし、モバイル端末２は、図６と同様に、無線ＬＡＮ用Ｉ／Ｆ２０２の代わりにインターネット用Ｉ／Ｆ２１２を備えている。また、ルータ３’は、図６と同様に、無線ＬＡＮ用Ｉ／Ｆ３０３の代わりにインターネット用Ｉ／Ｆ３０２を備えている。

　上述した第３の実施形態に対する第４の実施形態の関係は、第１の実施形態に対する第２の実施形態の関係と同様であり、モバイル端末２からアクセスするネットワーク接続の経路を変えたものである。したがって、第４の実施形態に関する詳細な説明は割愛するが、第４の実施形態においても第２の実施形態と同様に、元従業員のモバイル端末からネットワーク接続して社内サーバ５へのアクセスを行うことはできなくなり、正当なアクセス権を持った現職の従業員のみがモバイル端末２から社内サーバ５にアクセスすることができるようになる。

　また、第４の実施形態においても第３の実施形態と同様に、現状のネットワーク（アクセス権情報の変更機能がない通常のルータ３’）を利用したまま、セキュリティを向上させることができる。これにより、コストアップを抑制するとともに、ネットワークの細かな設定を再度行う必要もなくすことができる。

（第５の実施形態）
　次に、本発明の第５の実施形態を図面に基づいて説明する。第５の実施形態は、上述した第１～第４の実施形態に対する応用例であり、どの実施形態に対しても適用することが可能である。以下では便宜上、第１の実施形態に対する応用例として説明する。

　図１１は、第５の実施形態によるアクセス制御システムの構成要素であるモバイル端末２、ルータ３およびＮＦＣリーダライタ４の機能構成を示す図である。なお、この図１１において、図３に示した符号と同一の符号を付したものは同一の機能を有するものであるので、ここでは重複する説明を省略する。

　図１１に示すように、第５の実施形態において、モバイル端末２は、その機能構成として、アクセス権情報記録部２１の代わりにアクセス権情報記録部２１’を備えるとともに、アクセス権情報削除部２３を更に備えている。また、ルータ３は、その機能構成として、アクセス権情報発行部３０とアクセス権情報設定部３１の代わりにアクセス権情報発行部３０’とアクセス権情報設定部３１’を備えている。

　第１の実施形態では、アクセス権情報記録部２１が新しいアクセス権情報を不揮発性メモリ２０７に記録する際に、古いアクセス権情報は上書きにより削除していた。これに対し、アクセス権情報記録部２１’は、古いアクセス権情報も上書きせずに不揮発性メモリ２０７に残しておく。

　その代り、アクセス権情報削除部２３が、アクセス権情報記録部２１’により不揮発性メモリ２０７に記録された可変のアクセス権情報を、ルータ３のアクセス権情報発行部３０’により可変のアクセス権情報が発行される時間間隔に合わせて削除する。例えば、アクセス権情報発行部３０’が毎日決められた時刻に可変のアクセス権情報を発行する場合、アクセス権情報削除部２３も毎日決められた同じ時刻に不揮発性メモリ２０７より可変のアクセス権情報を削除する。

　アクセス権情報発行部３０’は、毎日決められた時刻に可変のアクセス権情報（ＩＤとＰＡＳＳ）を発行する際に、可変のアクセス権情報であることを示す所定の識別子（フラグ）を付けて可変のアクセス権情報を発行する。上述のアクセス権情報記録部２１’は、このフラグが付いているアクセス権情報を不揮発性メモリ２０７に記録する。また、アクセス権情報削除部２３は、フラグが付いている可変のアクセス権情報のみを不揮発性メモリ２０７から削除する。

　例えば、ユーザが社内ネットワークにおいてモバイル端末２をＢＹＯＤとして使用すると同時に、家庭内ネットワークにおいてもモバイル端末２を使用する場合、不揮発性メモリ２０７には、社内ネットワークで使用する可変のアクセス権情報の他に、家庭内ネットワークで使用する固定のアクセス権情報も不揮発性メモリ２０７に記憶されている。

　この場合において、アクセス権情報削除部２３は、フラグが付いている社内ネットワーク用の可変のアクセス権情報のみを不揮発性メモリ２０７から削除し、フラグが付いていない家庭内ネットワーク用の固定のアクセス権情報については不揮発性メモリ２０７から削除しない。これにより、第５の実施形態によれば、１つのモバイル端末２を複数のネットワークで使用する場合にも、それぞれのネットワークにおけるセキュリティを固定または可変のアクセス権情報を用いて適切に管理することができる。

　なお、第５の実施形態においてもアクセス権情報記録部２１を設け、新しいアクセス権情報を不揮発性メモリ２０７に記録する際に、古いアクセス権情報を上書きにより削除するようにしてもよい。この場合、アクセス権情報削除部２３は設けなくてもよい。ただし、上書きにより削除するアクセス権情報は、フラグが付いている可変のアクセス権情報のみである。

（第６の実施形態）
　次に、本発明の第６の実施形態を図面に基づいて説明する。第６の実施形態も上述した第１～第４の実施形態に対する応用例であり、どの実施形態に対しても適用することが可能である。以下では便宜上、第１の実施形態に対する応用例として説明する。

　図１２は、第６の実施形態によるアクセス制御システムの概略構成例を示す図である。図１２に示すように、第６の実施形態によるアクセス制御システムは、Ｗｅｂサーバ１、モバイル端末２、ルータ３、ＮＦＣリーダライタ４およびプリンタ７を備えて構成されている。周辺機器としてプリンタ７が追加されている点が、図１に示した第１の実施形態と異なる。プリンタ７は、有線ＬＡＮ４００を介してルータ３と接続されている。

　図１３は、第６の実施形態によるネットワークのアクセス制御システムの構成要素であるルータ３およびプリンタ７のハードウェア構成例を示すブロック図である。なお、モバイル端末２およびＮＦＣリーダライタ４のハードウェア構成については図２と同様なので、図示を省略してある。また、図１３において、図２に示した符号と同一の符号を付したものは同一の機能を有するものであるので、ここでは重複する説明を省略する。

　図１３に示すように、ルータ３は、図２に示した構成に加えて有線ＬＡＮ用Ｉ／Ｆ３０８を更に備えている。プリンタ７は、そのハードウェア構成として、ＣＰＵ７０１、有線ＬＡＮ用Ｉ／Ｆ７０２、印刷部７０３、ＲＯＭ７０４、ＲＡＭ７０５および不揮発性メモリ７０６を備えている。

　図１４は、第６の実施形態によるアクセス制御システムの構成要素であるルータ３およびプリンタ７の機能構成例を示すブロック図である。なお、モバイル端末２およびＮＦＣリーダライタ４の機能構成については図３と同様なので、図示を省略してある。また、図１４において、図３に示した符号と同一の符号を付したものは同一の機能を有するものであるので、ここでは重複する説明を省略する。

　図１４に示すように、プリンタ７は、その機能構成として、アクセス権情報記録部７１およびアクセス処理部７２を備えている。ここで、アクセス権情報記録部７１およびアクセス処理部７２の機能は、図１３に示したＣＰＵ７０１の制御に従って、ＲＯＭ７０４、ＲＡＭ７０５または不揮発性メモリ７０６に記憶されたアクセス制御用プログラムが動作することによって実現される。

　また、ルータ３は、その機能構成として、アクセス権情報発行部３０”、アクセス権情報設定部３１”、アクセス権情報通知部３２”、照合部３８およびルーティング部３４を備えている。ここで、アクセス権情報発行部３０”、アクセス権情報発行・設定部３１”、アクセス権情報通知部３２”および照合部３８の機能は、図１３に示したＣＰＵ３０１の制御に従って、ＲＯＭ３０５、ＲＡＭ３０６または不揮発性メモリ３０７に記憶されたアクセス制御用プログラムが動作することによって実現される。

　ルータ３のアクセス権情報発行部３０”は、複数のアクセス権情報を発行する。アクセス権情報設定部３１”は、アクセス権情報発行部３０”により発行された複数のアクセス権情報を不揮発性メモリ３０７に設定する。第６の実施形態では、アクセス権情報発行部３０”によって可変のアクセス権情報を繰り返し発行し、発行されたアクセス権情報をアクセス権情報設定部３１”によって不揮発性メモリ３０７に繰り返し設定する。それとともに、アクセス権情報発行部３０”によって固定のアクセス権情報を発行し、発行された固定のアクセス権情報をアクセス権情報設定部３１”によって不揮発性メモリ３０７に設定する。なお、固定のアクセス権情報については繰り返し発行する必要はない。

　具体的には、アクセス権情報発行部３０”は、モバイル端末２からネットワーク接続してＷｅｂサーバ１にアクセスをする際に可変のアクセス権情報として使用するＩＤとＰＡＳＳを繰り返し発行する。そして、発行されたＩＤとＰＡＳＳを不揮発性メモリ３０７にアクセス権情報設定部３１”が設定する。さらに、アクセス権情報発行部３０”は、プリンタ７からＷｅｂサーバ１にアクセスをする際に固定のアクセス権情報として使用するＩＤとＰＡＳＳを発行し、発行されたＩＤとＰＡＳＳを不揮発性メモリ３０７にアクセス権情報設定部３１”が設定する。

　なお、プリンタ７からＷｅｂサーバ１にアクセスをするのは、例えば、プリンタ７において検知したインク切れや紙切れ、紙詰まりなどのメンテナンス情報を送信するためである。Ｗｅｂサーバ１の代わりに社内サーバ５を設け、メンテナンス情報をプリンタ７から社内サーバ５に送信するようにしてもよい。

　アクセス権情報通知部３２”は、アクセス権情報発行部３０”により発行された可変のアクセス権情報をモバイル端末２に通知するとともに、アクセス権情報発行部３０”により発行された固定のアクセス権情報をプリンタ７に通知する。

　可変のアクセス権情報をモバイル端末２に通知する方法は、第１の実施形態と同様である。すなわち、アクセス権情報通知部３２”は、アクセス権情報発行部３０”により発行された可変のアクセス権情報をＮＦＣリーダライタ４に送信してＮＦＣタグ４０６に記録させることにより、ＮＦＣタグ４０６の読み取りを通じて可変のアクセス権情報をモバイル端末２に通知する。

　一方、固定のアクセス権情報については、有線ＬＡＮ４００への送信を通じてプリンタ７に通知する。すなわち、アクセス権情報通知部３２”は、アクセス権情報発行部３０”により発行された固定のアクセス権情報を、有線ＬＡＮ４００を通じてプリンタ７のＩＰアドレスに向けて送信することにより、アクセス権情報の通知を行う。なお、ＩＰアドレスではなくＭＡＣアドレスを利用してもよい。

　プリンタ７のアクセス権情報記録部７１は、ルータ３から有線ＬＡＮ４００を介して送信されてきた固定のアクセス権情報を不揮発性メモリ７０６に記録する。これにより、プリンタ７にルータ３のアクセス権情報を設定することができる。なお、固定のアクセス権情報は、不揮発性メモリ７０６に一度記録しておけばよく、繰り返し記録し直す必要はない。例えば、プリンタ７を有線ＬＡＮ４００に最初に接続するときに、プリンタ７のＩＰアドレス等をルータ３に記録してアクセス権情報の発行を指示することにより、アクセス権情報発行部３０”にてプリンタ７用のアクセス権情報を一度だけ発行するようにする。

　プリンタ７のアクセス処理部７２は、ルータ３を介してＷｅｂサーバ１に対するアクセスに関する処理を実行する。このときアクセス処理部７２は、Ｗｅｂサーバ１のＵＲＬをルータ３に送信するとともに、不揮発性メモリ７０６に記憶されている固定のアクセス権情報をルータ３に送信してアクセスに関する処理を実行する。

　ルータ３の照合部３８は、プリンタ７から送信されてきた固定のアクセス権情報と、不揮発性メモリ３０７に記憶されている固定のアクセス権情報とを照合し、両者が一致する場合にＷｅｂサーバ１へのアクセスを許可する。また、照合部３８は、モバイル端末２から送信されてきた可変のアクセス権情報と、不揮発性メモリ３０７に記憶されている可変のアクセス権情報とを照合し、両者が一致する場合にＷｅｂサーバ１へのアクセスを許可する。

　以上のように構成した第６の実施形態によれば、従業員がＢＹＯＤとして使用するモバイル端末２については可変のアクセス権情報を設定してセキュリティを確保することができる。さらに、従業員の所有物ではなく、従業員の退職と関係なく社内において共有物として常時使用されるプリンタ７等の周辺機器については、固定のアクセス権情報を設定することにより、プリンタ７の設定を毎日行う手間を省くことができる。

（その他の実施形態）
　なお、上記第１～第６の実施形態では、ＮＦＣタグ４０６の読み取りを通じて可変のアクセス権情報をモバイル端末２に通知する例について説明したが、本発明はこれに限定されない。例えば、ＮＦＣリーダライタ４の代わりにプリンタを設け、アクセス権情報発行部３０，３０’，３０”，６０により発行された可変のアクセス権情報をプリンタに送信して識別子（例えば、バーコードや二次元コードなど）として印刷させる。そして、印刷された識別子をモバイル端末２の識別子リーダまたはカメラで読み取ることにより、可変のアクセス権情報をモバイル端末２に通知するようにしてもよい。なお、上記では、ＮＦＣリーダライタ４の代わりにプリンタを設ける例を説明したが、プリンタはルータ３，３’もしくはアクセス制御装置６と一体として構成されてもよい。

　また、上記第１～第６の実施形態では、ＮＦＣタグ４０６の読み取りを通じて可変のアクセス権情報をモバイル端末２に通知する例について説明したが、本発明はこれに限定されない。ＮＦＣタグではなく、ＮＦＣ通信の可能な他の記憶媒体を利用してもよい。また、ＮＦＣ通信ではなく、他の近距離無線通信を行ってもよい。例えば、ブルートゥースや光信号、赤外線信号、音信号などを利用してアクセス権情報を通知してもよい。

　また、ＮＦＣリーダライタ４とルータ３，３’の間、もしくはＮＦＣリーダライタ４とアクセス制御装置６の間は有線ケーブルに限らず、無線接続されていてもよい。

　また、上記第３および第４の実施形態では、ルータ３’に設定した固定のアクセス権情報とアクセス制御装置６に設定した可変のアクセス権情報との２つを用いてネットワーク接続の制御を行う例について説明したが、本発明はこれに限定されない。すなわち、ルータ３’に対するアクセス権情報の設定を不要とし、アクセス制御装置６に設定した可変のアクセス権情報のみを用いてネットワーク接続の制御を行うようにしてもよい。

　その他、上記第１～第６の実施形態は、何れも本発明を実施するにあたっての具体化の一例を示したものに過ぎず、これらによって本発明の技術的範囲が限定的に解釈されてはならないものである。すなわち、本発明はその要旨、またはその主要な特徴から逸脱することなく、様々な形で実施することができる。

　１　Ｗｅｂサーバ
　２　モバイル端末
　３，３’　ルータ
　４　ＮＦＣリーダライタ
　５　社内サーバ
　６　アクセス制御装置
　７　プリンタ
　２１，２１’　アクセス権情報記録部
　３０，３０’，３０”　アクセス権情報発行部
３１，３１’，３１”　アクセス権情報設定部
　３２，３２”　アクセス権情報通知部
　６０　アクセス権情報発行部
６１　アクセス権情報設定部
　６２　アクセス権情報通知部
　７１　アクセス権情報記録部

Claims

モバイル端末と無線ＬＡＮルータとサーバとを備えたネットワークシステムにおいて、上記モバイル端末から上記無線ＬＡＮルータを介して上記サーバに対して行われるアクセスを制御するアクセス制御システムであって、
　上記モバイル端末から上記サーバにアクセスをする際にアクセス権情報として使用するＩＤとパスワードのうち少なくとも一方を繰り返し発行するアクセス権情報発行部と、
　上記アクセス権情報発行部により発行された可変のアクセス権情報を上記モバイル端末と上記サーバとの間のネットワーク上に設定するアクセス権情報設定部と、
　上記アクセス権情報発行部により発行された上記可変のアクセス権情報を上記モバイル端末に通知するアクセス権情報通知部と、
　上記アクセス権情報通知部により通知された上記可変のアクセス権情報を上記モバイル端末に記録するアクセス権情報記録部とを備えたことを特徴とするネットワークのアクセス制御システム。
　上記アクセス権情報発行部と上記アクセス権情報設定部は、上記無線ＬＡＮルータに接続されたアクセス制御装置に備えられ、上記無線ＬＡＮルータには固定のアクセス権情報が設定されており、上記ネットワーク上にある上記アクセス制御装置にて繰り返し発行した上記可変のアクセス権情報を上記アクセス制御装置に都度設定することを特徴とする請求項１に記載のネットワークのアクセス制御システム。
　上記アクセス権情報発行部と上記アクセス権情報設定部は、ＬＡＮとインターネットとの間に設置された上記無線ＬＡＮルータに備えられ、上記ネットワーク上にある上記無線ＬＡＮルータにて繰り返し発行した上記可変のアクセス権情報を上記無線ＬＡＮルータに都度設定することを特徴とする請求項１に記載のネットワークのアクセス制御システム。
　上記アクセス権情報発行部は、所定の時間間隔毎に上記可変のアクセス権情報を繰り返し発行するようになされており、
　上記アクセス権情報記録部により上記モバイル端末に記録された上記可変のアクセス権情報を、上記アクセス権情報発行部により上記可変のアクセス権情報が発行される時間間隔に合わせて削除するアクセス権情報削除部を更に備えたことを特徴とする請求項２または３に記載のネットワークのアクセス制御システム。
　上記アクセス権情報発行部は、上記可変のアクセス権情報であることを示す所定の識別子を付けて上記可変のアクセス権情報を繰り返し発行し、
　上記アクセス権情報削除部は、上記識別子が付いている上記可変のアクセス権情報のみを削除することを特徴とする請求項４に記載のネットワークのアクセス制御システム。
上記アクセス権情報発行部は、上記可変のアクセス権情報を繰り返し発行するとともに、固定のアクセス権情報を発行し、
　上記アクセス権情報設定部は、上記可変のアクセス権情報を繰り返し設定するとともに、上記固定のアクセス権情報を設定し、
　上記アクセス権情報通知部は、上記アクセス権情報発行部により発行された上記可変のアクセス権情報を上記モバイル端末に通知するとともに、上記アクセス権情報発行部により発行された上記固定のアクセス権情報を上記ネットワーク上に設置された周辺機器に通知することを特徴とする請求項２または３に記載のネットワークのアクセス制御システム。
　上記アクセス権情報通知部は、上記アクセス権情報発行部により発行された上記可変のアクセス権情報をＮＦＣリーダライタに送信してＮＦＣ記憶媒体に記録させ、
　上記アクセス権情報記録部は、上記ＮＦＣリーダライタにより上記ＮＦＣ記憶媒体に記録された上記可変のアクセス権情報を読み取って上記モバイル端末に記録することを特徴とする請求項２または３に記載のネットワークのアクセス制御システム。
　上記アクセス権情報通知部は、上記アクセス権情報発行部により発行された上記可変のアクセス権情報をプリンタに送信して識別子として印刷させ、
　上記アクセス権情報記録部は、上記プリンタにより印刷された識別子を読み取って上記可変のアクセス権情報を上記モバイル端末に記録することを特徴とする請求項２または３に記載のネットワークのアクセス制御システム。
　モバイル端末と無線ＬＡＮルータとサーバとを備えたネットワークシステムにおいて、上記モバイル端末から上記無線ＬＡＮルータを介して上記サーバに対して行われるアクセスを制御するアクセス制御装置であって、
　上記モバイル端末から上記サーバにアクセスをする際にアクセス権情報として使用するＩＤとパスワードのうち少なくとも一方を繰り返し発行するアクセス権情報発行部と、
　上記アクセス権情報発行部により発行された可変のアクセス権情報をネットワーク上に設定するアクセス権情報設定部と、
　上記アクセス権情報発行部により発行された上記可変のアクセス権情報を上記モバイル端末に通知するアクセス権情報通知部とを備えたことを特徴とするネットワークのアクセス制御装置。
　モバイル端末と無線ＬＡＮルータとサーバとを備えたネットワークシステムにおいて、上記モバイル端末から上記無線ＬＡＮルータを介して上記サーバに対して行われるアクセスを制御するためのアクセス制御用プログラムであって、
　上記モバイル端末から上記サーバにアクセスをする際にアクセス権情報として使用するＩＤとパスワードのうち少なくとも一方を繰り返し発行するアクセス権情報発行手段、
　上記アクセス権情報発行手段により発行された可変のアクセス権情報をネットワーク上に設定するアクセス権情報設定手段、および
　上記アクセス権情報発行手段により発行された上記可変のアクセス権情報を上記モバイル端末に通知するアクセス権情報通知手段
としてコンピュータを機能させるためのネットワークのアクセス制御用プログラム。