WO2015025373A1 - Oa apparatus suitable for providing management security service, and security service provision method using said oa apparatus - Google Patents

Oa apparatus suitable for providing management security service, and security service provision method using said oa apparatus Download PDF

Info

Publication number
WO2015025373A1
WO2015025373A1 PCT/JP2013/072247 JP2013072247W WO2015025373A1 WO 2015025373 A1 WO2015025373 A1 WO 2015025373A1 JP 2013072247 W JP2013072247 W JP 2013072247W WO 2015025373 A1 WO2015025373 A1 WO 2015025373A1
Authority
WO
WIPO (PCT)
Prior art keywords
security
service
management center
appliance
operation management
Prior art date
Application number
PCT/JP2013/072247
Other languages
French (fr)
Japanese (ja)
Inventor
▲隆▼洋 杉本
Original Assignee
株式会社アズジェント
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社アズジェント filed Critical 株式会社アズジェント
Priority to JP2013554127A priority Critical patent/JPWO2015025373A1/en
Priority to PCT/JP2013/072247 priority patent/WO2015025373A1/en
Publication of WO2015025373A1 publication Critical patent/WO2015025373A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Definitions

  • the technical field of the present invention relates to the provision of so-called management security services (hereinafter sometimes abbreviated as MSS). More particularly, the present invention relates to providing this improved MSS.
  • MSS management security services
  • MSS management security service
  • a person who receives an MSS service is referred to as a “user” of the MSS service, and is simply referred to as a “user”, or an expression such as “system on the service user side” to be monitored is adopted.
  • a “user” of an MSS service is a company that uses an information system, and the information system of the company is the “system on the user side of the service”.
  • the “user-side system” to be monitored includes not only a system provided in the company but also a user-side system located outside. For example, when the company uses an external server, and the external server is also a monitoring target of the MSS service, the external system is also the above-mentioned “user side system”. .
  • a provider who provides the MSS also provides an external server or the like at the same time.
  • an MSS service is provided simultaneously with a data server provided by a data center or the like.
  • the “user-side system” to be monitored may be simply referred to as “information system”.
  • a preferred example of the “information system” in the claims is a “user-side system” that is a monitoring target.
  • the scope of the present invention includes the case where the user-side system to be monitored is located outside the company.
  • an MSS service provider In a general conventional MSS, an MSS service provider often provides the following service to an information system on the user side who receives the service.
  • -Perform remote monitoring via the network -Monitor the data passing through the network and accumulate the log. -The service provider acquires the above logs via the network and analyzes them. ⁇ Provide analysis results to users regularly or irregularly. -Update and adjust the user's security system via the network. -Respond quickly when a hardware failure such as a security system failure occurs. -Respond quickly in the event of a security breach accident (including signs of occurrence). Others Note that such MSS (Management Security Service) corresponds to a preferred example of the security service in the claims.
  • MSS Management Security Service
  • predetermined security devices and communication devices are installed in the user information system. Or there may be equipment already installed.
  • connection setting (introduction) to the network is performed. This is the introduction of so-called hardware.
  • the rule part is also set. That is, the security policy is generally set. For this purpose, rule settings relating to packets that are allowed to pass or not, rule settings for events that are detection targets, and other security policy settings (including incident settings, etc.) are performed.
  • equipment operation is monitored.
  • a failure or the like occurs in each device or is likely to fail, this is detected and the following processing is performed.
  • the operation management center can detect in real time when an abnormality or failure has occurred or is likely to occur.
  • a packet log from outside or inside the user network is acquired to detect whether there has been a security breach.
  • the MSS service detects device failures, security breaches, etc. during operation.
  • the user's information system is often managed remotely from an external management center connected via a network.
  • This external management center is installed and provided by an MSS service provider.
  • an equipment failure is analyzed from the acquired log.
  • security analysis is performed to analyze the presence or absence of security breaches or inappropriate access from outside or inside. These analyzes are mainly performed at the external management center described above. However, this analysis result is also reported to the security administrator who is in charge of the user side, but in principle, the analysis is performed by an external administrator.
  • IT administrator In the case of a relatively large company, an internal administrator has specialized knowledge about information systems and can often set a firewall or the like. Such an administrator is called an “IT administrator”.
  • various roles can be considered between the internal administrator and the external administrator.
  • there are companies that allow the information system to be reset from the outside and some companies have a policy that refuses to be reset from the outside.
  • the external manager contacts the internal manager and requests the resetting.
  • server rules there are companies that adopt a mechanism to change rules after an internal administrator considers a proposal to change rules from an external administrator. Some companies leave the server rules to the external administrator.
  • the security rules set for the device are reviewed and improved. This includes reviewing and improving internal rules. These processes are not performed at the same time. Recovery from equipment failures and review of security rules, etc. (which may occur at the same time) are basically done at different independent times.
  • PDCA cycle is often based on the assumption that there is an IT administrator or an IT administrator and a security / operation administrator. Management of information systems and networks on the user side is often performed remotely at the operation management center on the service provider side. However, depending on the situation, operations and improvement steps may be performed with the security / operation manager at the site. Sometimes it is necessary to do this together. As described above, there is a case where cooperation is not necessarily required here.
  • an IT administrator is arranged on the user side to receive the service, and further, a security administrator (also referred to as a “security / operation administrator”). ) Is even more desirable.
  • Operation management center (conventional technology) In the MSS service, in order to reduce the burden on the user side as much as possible, as described above, the information system on the user side is often monitored from an external operation management center via a communication line such as the Internet. Have been widely used.
  • FIG. 7 shows an explanatory diagram of an outline of providing a conventional general MSS by such an operation management center 10. That is, FIG. 7 is a diagram illustrating an example of a conventionally known MSS.
  • the information system on the user side to be monitored is referred to as a user side network 12 (see FIG. 7).
  • the user side network 12 includes, for example, a DMZ server group 12a and an internal segment 14 (see FIG. 7).
  • the user-side network 12 includes an external server or the like, but for the sake of convenience of explanation, FIG. 7 shows an example of the external server and the like. Absent.
  • the DMZ server group 12a includes, for example, a firewall 12b and various DMZ servers as security devices. Various other security devices can be included.
  • the Web server 12a1 may include a WAF (Web Application Firewall) or the like, for example.
  • a mail security device for preventing mail SPAM is placed in front of the mail server 12a2.
  • IPS or IDS is placed before these WAFs.
  • UTM a mechanism called UTM that integrates these functions is installed in the firewall 12b. Furthermore, even when UTM is placed, IPS may be placed separately. As described above, each company has various security device configurations, and as a result, MSS services are also infinitely different.
  • DMZ Demilitarized Zone
  • DMZ server group 12a does not exist in the company in the case of a company in which an operation manager is not arranged inside. In other words, this is a case where a mail server, a WEB server, or the like is outsourced to the ISP used.
  • a DMZ server group 12 a is placed below the firewall 12.
  • the firewall 12a may be configured by a UTM (not shown).
  • UTM When UTM is used, IPS, WAF, or the like may be provided below (located before the DMZ server).
  • the DMZ server 12a includes a WEB server 12a1, a mail server 12a2, an FTP server 12a3, a DNS server 12a4, and the like. Which servers are included depends on each company and each system. FIG. 7 shows only a group of servers considered to be general, and is not limited to these.
  • DMZ server group 12a These server groups that have to be disclosed to the Internet are generally arranged in the DMZ segment, and here they are called DMZ server group 12a. These DMZ server groups 12a are connected to the Internet 20 via a firewall 12b.
  • the internal segment 14 includes client terminals 14a, 14b, 14c, and 14d, and is not open to the Internet 20 without restriction.
  • firewall 12b access from the external Internet 20 is permitted only to the DMZ server group 12a (pass the packet), and access to the internal segment 14 is not permitted in principle.
  • the firewall 12b also checks the packet contents (source / destination, etc.) for access to the DMZ server group 12a and does not allow unauthorized packets to pass through. Further, the firewall 12b does not permit the access from the DMZ server group 12a to the internal segment 14 in principle, but the access from the internal segment 14 is in principle for both the external Internet 20 and the DMZ server group 12a. As allowed. However, access to an unauthorized site is not permitted even from the internal segment 14.
  • the operation and function of such a firewall 12b are basically the same in the embodiments described later. Since operations such as IPS and WAF are well known in the art, description of the operations is omitted here.
  • the user-side network 12 that is this user-side information system may be monitored for 24 hours 365 days from the operation management center 10 via the Internet.
  • a security engineer is stationed at the operation management center 10 for 24 hours, and literally monitors for 24 hours.
  • the attack and failure on the user side network 12 are monitored and analyzed. Based on the analysis results, appropriate measures are taken.
  • failure analysis response and recovery in the operation management center 10 has been performed by, for example, reporting a failure report and details of the recovery to a person in charge using e-mail.
  • the above-mentioned mail will be a mail reporting that such a countermeasure has been taken.
  • the email if there is something that must be executed by the user, it will be included in the email. For example, it is an email indicating that the user must restart the server.
  • the operation management center 10 often provides a web portal site that can be browsed by the user using a web server dedicated to the user. Through this Web portal site, the monitoring status and logs of the information network 12 on the user side are provided to the user side.
  • the user can make a consultation / inquiry about security to the operation management center 10.
  • MFPs that incorporate a FAX function or a scanner function have been widely used in copy machines, and have become one of typical OA devices. Further, with the progress of the Internet environment in recent years, various types of multifunction devices in which this multifunction device has a so-called LAN connection function are also known.
  • Japanese Unexamined Patent Application Publication No. 2012-74935 discloses a multi-function machine that is configured to output image data by authentication of a plurality of people and prevent information leakage.
  • Japanese Patent Application Laid-Open No. 2011-19099 discloses a multifunction peripheral that restricts the functions of the multifunction peripheral when an abnormality is found in the firmware.
  • the internal network is also small, so there are many cases where an internal network is built around multifunction devices with such a network connection function, and the security function of the multifunction device is important. It is thought that. This is because this multi-function machine becomes the central part of the company's network connection, and PCs and various smart devices are connected to it to build an in-house network.
  • an improved multifunction device is described.
  • a housing for storing the security appliance used therein is configured separately from the main body of the multifunction device. There is a case. Details thereof will be described in an embodiment described later.
  • MSS has to be customized and tuned according to the user's information system.
  • the equipment used may be special, and the MSS service provided will adopt a monitoring method that matches the company's requirements and a monitoring system that meets the company's requirements. Sometimes it is necessary (this is called customization here).
  • User information systems vary greatly from user to user.
  • the manufacturers are also diverse. Therefore, customization as described above is required. Further, for example, adjustment of whether UNIX (registered trademark) is used or not is one of customizations described here.
  • the degree and content of monitoring desired by users varies greatly from user to user (what is monitored and what is monitored for the network configuration), so conventional MSS is tuned for each user. There was a need to build. For example, adjustment of what value the threshold value for determining as dangerous is one type of tuning. As described above, adjustment of the threshold value is mainly called tuning.
  • Patent Literature 1 discloses a status notification system that confirms the status of an electrical device and communicates the confirmed information using communication means. With such a configuration, it is said that convenience and security can be improved.
  • Patent Document 2 discloses a method for performing risk analysis in real time. Specifically, it provides a technical interpretation of business activities within a computer-based business application subsystem and, based on this interpretation, generates tasks that cause business activities to be performed in violation of operational guidelines (risk analysis). ) Has been proposed.
  • Patent Document 3 discloses a monitoring server that connects to a mail server or a Web server and monitors a specific user.
  • a technique is disclosed in which data corresponding to a predetermined keyword is extracted from e-mails related to the specific user and transmitted to a report destination user. It is said that parents can monitor the behavior of children.
  • Patent Document 4 discloses a multi-function machine that is configured to output image data by authentication of a plurality of people to prevent information leakage.
  • Patent Document 5 discloses a multifunction device that restricts the functions of the multifunction device when an abnormality is found in the firmware.
  • the inventor of the present application has studied the mechanism that can use the service of MSS even if the company does not have an IT administrator as in (c) above, and has come to make the present invention. That is, the main object of the present invention is to provide an MSS service that can be easily used even by a small and medium-sized company without an IT administrator, and to provide related equipment.
  • a security device such as a UTM is embedded in an OA device such as a multi-function device to function as an office security center. In addition to that, it is in the point of providing MSS services. Moreover, since it is packaged, cost reduction is expected.
  • the present invention includes an appliance means including a security device such as a UTM including a gateway in an OA device provided with a connection means with an external network, and the connection means includes: An OA device that is the gateway.
  • a security device such as a UTM including a gateway in an OA device provided with a connection means with an external network
  • the connection means includes: An OA device that is the gateway.
  • the appliance means may optionally include means for detecting a Wi-fi access point around the OA equipment. It is an OA device characterized by comprising.
  • the present invention provides a shelf unit that stores a paper tray, and a paper tray type housing that is stored in the shelf unit. And the appliance means stored in the paper tray type housing.
  • the present invention provides the OA device according to any one of the above (1) to (2), a tray type housing having substantially the same shape as a paper tray, and the appliance means stored in the tray type housing.
  • OA equipment characterized by including.
  • the present invention provides a backpack type casing that can be attached to the back surface of the OA device, and the backpack type. And an appliance means stored in a housing.
  • Sub housing (sub unit type)
  • the present invention provides the OA equipment device according to any one of the above (1) to (2), wherein the main body of the OA equipment, a sub-housing separate from the main body, and the sub-housing And the stored appliance means.
  • Computer rack type The present invention is the OA device according to the above (3) or (4), wherein the tray type casing includes a computer rack type open chassis. is there.
  • Computer rack type The present invention is the OA device according to the above (6), wherein the sub casing includes a computer rack type open chassis.
  • the present invention provides the OA device according to any one of the above (1) to (9), wherein the OA device is a copier, a multifunction peripheral, a FAX device, a printer, a personal computer, a telephone related device, a NAS, An OA device characterized by being any one of the devices.
  • the telephone-related device is an OA device characterized in that it is one of a PBX and a key telephone.
  • the present invention provides a method of providing a security service to the information system by an operation management center monitoring the information system including the OA device described in (1) above.
  • the operation management center includes a step of making an inquiry to the appliance means, and the appliance means returns security information to the inquiry, and the appliance means sends the security information to the OA device.
  • security base software constructed in advance is installed, and the appliance means in which the base software is installed realizes a gateway including a security device such as the UTM. It is a method of providing a scan.
  • the present invention provides a method for providing a security service to the information system by an operation management center monitoring the information system including the OA device described in (2).
  • a management center making an inquiry to the appliance means; and the appliance means returning information about the surrounding Wi-fi access point to the inquiry, the appliance means comprising: Is installed with Wi-fi security software for security built in advance for the OA device, and the appliance means with the Wi-fi security software installed detects the Wi-fi access point.
  • Has realized the means to It is a method for providing a security service, wherein.
  • UTM The present invention provides a method of providing a security service to the information system by an operation management center monitoring the information system including the OA device described in (1) above.
  • a security service comprising: a step in which appliance means transmits security information, which is information relating to security, to the operation management center; and a step in which the operation management center receives the transmitted security information. Is a way to provide
  • Wi-fi The present invention provides a method of providing a security service to the information system by an operation management center monitoring the information system with respect to the information system including the OA device described in (2). Means for transmitting information relating to the surrounding Wi-fi access point to an operation management center; and wherein the operation management center receiving the transmitted information relating to the Wi-fi access point. Is a method for providing a security service.
  • the present invention provides the security service providing method according to any one of the above (12) to (15), wherein the operation management center includes the configuration of the OA device and the software for security built in advance.
  • the operation management center includes the configuration of the OA device and the software for security built in advance.
  • the present invention provides the security service providing method according to any one of (12) to (15), in addition to the base package including the base software and the base service.
  • a security service requests an additional package
  • a step of installing additional software for pre-built security included in the additional package in the appliance means and the appliance means includes the additional software.
  • the present invention provides the security service providing method according to any one of (12) to (15) above, in addition to the base package including the base software and the base service.
  • the step of adding an additional appliance included in the additional package to the appliance means, and the appliance means includes information on security checked by the additional appliance.
  • a method of providing a security service comprising: a step of transmitting to the operation management center; and a step of the operation management center receiving the transmitted information relating to the security.
  • the present invention is the method for providing a security service according to (17) above, wherein the operation management center is an additional service included in the additional package, and is preset according to the software. Providing a security service characterized by providing an additional service.
  • the present invention is the method for providing a security service according to (18), wherein the operation management center is an additional service included in the additional package, and is set in advance according to the additional appliance.
  • a method for providing a security service characterized by providing an additional service.
  • the office information device provided with the firewall or the like serving as the center of the information system since the office information device provided with the firewall or the like serving as the center of the information system is provided, it can be used as the center of the information system for a predetermined company / organization. .
  • the MSS is provided by a packaged service based on the configuration of the office information device, it is possible to provide an MSS service that is easier for the user to understand. Similarly, it is possible to receive services more quickly by packaging.
  • FIG. 1 is an external view of an MFP according to the present embodiment (tray type).
  • FIG. It is an external view of the tray type
  • 1 is an external view of an MFP according to the present embodiment (backpack type).
  • FIG. 1 is an external view of an MFP according to an embodiment (subunit type).
  • FIG. It is a conceptual diagram of provision of the service of MSS at the time of using MFP concerning this Embodiment. It is a conceptual diagram which shows the mode of the general security service which provides a management security service in the cycle of installation (Plan), operation (Do), analysis (Check), and improvement (Act) when there is no security administrator. It is a schematic diagram showing the operation
  • MFP multifunction peripheral
  • an MFP is a conventional copier with functions such as a FAX, a scanner, and a printer, and is currently widely used from small and medium businesses to large enterprises.
  • functions such as a FAX, a scanner, and a printer
  • connection to the Internet is widely realized, and it is possible to send and receive mail and connect to the web. .
  • what is considered as a target in this embodiment is that even if there is a company / organization that does not have an IT administrator or a security operation manager, or an IT administrator (or a security operation manager), it remains resident for 24 hours. Targeting companies and organizations that have not.
  • This Internet security function includes cloud security and mobile security.
  • the MFP 200 proposed in the present embodiment has a tray-type housing 202a having the same shape as the paper tray instead of the paper tray, instead of the paper tray.
  • a contained FW / UTM security appliance 202 is provided.
  • FIG. 1 shows an external view of the MFP 200 provided with the tray-type housing 202a.
  • tray-type casing 202a An external view of a tray-type casing 202a provided with the FW / UTM security appliance 202 is shown in FIG. As shown in FIG. 2, the tray-type housing 202a includes a 1U rack-type open chassis 202a-1 and a front bezel 202a-2.
  • the front bezel 202a-2 includes an MFP tray type, a backpack type, and a subunit type.
  • the MFP tray type is shown.
  • the backpack type and subunit type will be described later.
  • 2 is a front bezel having the same appearance as the paper tray of the MFP 200, and can be attached to the MFP 200 by the front bezel 202a-2 in the same manner as the paper tray.
  • the MFP tray type has the same shape as the paper tray, but it does not have to be a “paper” tray as long as it is approximately the same size.
  • the FW / UTM security appliance 202 is installed behind the front bezel 202a-2 (see FIG. 2).
  • the FW / UTM security appliance 202 since the FW / UTM security appliance 202 is stored in the paper tray type casing 202a, it can be easily attached to the MFP 200 like the MFP paper tray. It can be done. With such a configuration, an existing MFP can be easily provided with an Internet security function.
  • the FW / UTM security appliance 202 is installed in the same shape as the paper tray.
  • the FW / UTM security appliance 202 is not necessarily a “paper” tray but a general-purpose tray other than paper. Installation is also preferable. Further, it is not necessary to be a tray, and it is sufficient if it has almost the same size and shape as the paper tray.
  • an additional tray-like size of the paper tray is added. It is also preferable to add / add FW / UTM security appliance 202.
  • a utility module 202a-3 is provided on the back side of the tray-type casing 202a (the side opposite to the front bezel 202a-2), and various devices are stored (see FIG. 2).
  • the 1U rack type open chassis 202a-1 which is a frame portion constituting the tray type casing 202a is a chassis of a computer rack shape capable of mounting a so-called 1U size device.
  • the tray-type housing 202a according to the present embodiment can store (mount) the FW / UTM security appliance 202 having a size up to 1U. If the size is up to 1U, other devices can be stored (mounted). For example, it is also possible to store a 1U size hard disk, a device related to Wi-fi, or the like.
  • the tray type casing 202a is configured by using such a 1U rack type open chassis 202a-1, there is an advantage that it is easy to install the existing 1U type equipment.
  • 1U-sized security-related devices are often used, it is possible to configure the FW / UTM security appliance 202 by modifying them, and the MFP 200 can be configured more simply.
  • the 1U rack type open chassis 202a-1 corresponds to a preferred example of the computer rack type open chassis in the claims.
  • the 1U rack type open chassis 202a-1 is also used in the backpack type described later.
  • the FW / UTM security appliance 202 is literally a device having a UTM function including a firewall.
  • UTM Unified Threat Management
  • VPN functions such as anti-virus, intrusion prevention (IDS, IPS), Web content filtering (also simply called Web filtering), anti-spam, etc. It is a complex security function with functions.
  • the FW / UTM security appliance 202 incorporates these functions as a security appliance in the gateway.
  • FW / UTM security appliance 202 is intended to be a center of information systems for users such as SMEs, it basically has a router function, and further, as described above. Is equipped with a firewall.
  • the FW / UTM security appliance 202 is a device having a UTM function including a firewall.
  • UTM functions What functions are included as UTM functions is case by case and varies. For example, if there is an anti-spam function in this UTM, illegal functions such as unauthorized mail ( emails posted on the blacklist etc. that have been rejected) , spam mail, etc. Stored in the storage means.
  • the stored information such as illegal mail and spam mail is typical security information.
  • Information on security, various threats, and fraudulent information (information on fraudulent mail and spam mail) in general are called security information. In some cases, it is possible to view such security information as required by an external request (such as an operation by an administrator).
  • This UTM corresponds to a preferred example of the security device in the claims.
  • the security information stored in the storage means may be referred to as a so-called “log”.
  • a warning may be issued spontaneously when a serious failure, error, unauthorized access, or the like occurs. It is also preferable to turn on an email to report to the administrator or a lamp indicating danger.
  • the present embodiment is characterized by a function of providing security information to the outside in response to an inquiry from the outside (for example, the operation management center 10) via a network or the like. That is.
  • the security information includes various threats detected by various functions of the UTM in addition to the various threats detected by the firewall. These are stored as logs in the table described above, and the information is provided in response to a request from the outside (operation management center 10).
  • a warning may be issued spontaneously when a serious failure, error, unauthorized access, etc. occurs. It is also preferable to periodically send security information to the outside (operation management center 10) via a network. When a certain condition is detected. Since a mechanism for sending an email to the outside, a mechanism for updating data on an HTML basis, and the like have been known, warnings and information are automatically sent to the outside (operation management center 10) using such means. Can be transmitted.
  • FW Security Appliance In the above example, integrated security can be achieved by using the FW / UTM security appliance 202. However, in a small company or organization, UTM (Unified Threat Management) Sometimes it doesn't require as much security. For such a small company or organization, considerable security may be achieved with only the firewall and VPN functions without the UTM function. For such a small company or organization, UTM functions other than FW may be turned off from the FW / UTM security appliance 202.
  • UTM Unified Threat Management
  • the utility module 202a-3 is a module that manages the network connection function and other functions, and has, for example, the following functions (see FIG. 2).
  • the upstream port of this hub faces the inside of the casing and is connected to the FW / UTM security appliance 202. Since there are generally few LAN ports out of the FW / UTM security appliance 202, the hub converts them to more ports. Although this increased downstream port is not shown in FIG. 2, it is provided toward the outside of the housing and is connected to other client PCs and other devices of the information system of the company / organization. Is also possible. As a result, the MFP 200 according to the present embodiment can serve as the center of the information system of the company or organization.
  • the cooling fan (see FIG. 2) is a fan for cooling the utility module 202a-3 and the FW / UTM security appliance 202.
  • the AC outlet for appliance is an outlet for supplying power to the FW / UTM security appliance 202, but it is also preferable to supply power to other devices.
  • Wi-fi security module for detecting a wireless LAN access point existing in the vicinity is provided (optional) .
  • the Wi-fi security module is a means for detecting a Wi-fi access point, but it is a means for detecting various wireless LAN access points of various standards. Conventionally known. The MSS using such detection means will be described in detail later.
  • the function (means) of the so-called access point of the wireless LAN can be provided in the utility module 202a-3, but is not provided basically. This is because in recent years, small and inexpensive access points have been widely spread and utilized, and there are very many cases where they are already provided in user systems. However, there are cases where it is provided.
  • a wireless LAN access point function may be provided externally in this part via an interface such as USB.
  • the utility module 202a-3 includes -Network bridge and hub device-Cooling fan-AC outlet for appliance-Wi-fi security module means / examples provided, but in reality, only necessary means are provided according to user requirements Will be provided. Depending on the user, there may already be sufficient hub devices, and depending on the power consumption of the hardware, there may be no need for a cooling fan. Of course, it is also preferable to omit AC outlets if there are already enough information systems on the user side.
  • Wi-fi security module is an option in principle, but in some cases, it can be used alone (including only the Wi-fi security module), and such a case is also within the scope of this patent. included.
  • the MFP 200 according to the present embodiment can serve as the center of the information system of the company / organization by the above configuration.
  • the MFP 200 uses a tray-type casing 202a and stores the FW / UTM security appliance 202 in the tray-type casing 202a. Therefore, by storing this tray type casing 202a in the paper tray of the MFP 200, it is possible to ensure the security of the information system without taking up space.
  • MFP 200 (tray type, backpack type, subunit type)
  • tray-type casing 202a having the shape of a paper tray is used, or an example in which a shelf-like casing that is not for “paper” is used has been described.
  • the FW / UTM security appliance 202 can be provided on the paper tray shelf of the MFP 200, and if the shelf-shaped housing is used, the shelf can be placed on the paper tray portion of the MFP. Can be provided adjacent to each other.
  • the FW / UTM security appliance 202 it is also preferable to install the FW / UTM security appliance 202 on the back surface of the MFP 200.
  • the FW / UTM security appliance 202 since the FW / UTM security appliance 202 according to the present embodiment has a size of 1 U, the depth of the MFP 200 does not increase so much even if it is provided on the back surface of the MFP 200.
  • FIG. 3 shows an example in which the FW / UTM security appliance 202 is stored in a backpack-type casing and provided on the back surface of the MFP 200 based on such a concept.
  • the front bezel 202a-2 is formed in substantially the same shape as the front surface of the paper tray and is attached to the MFP 200 just like the paper tray.
  • the front bezel 202a-2 not the paper tray, has a shape as a front operation unit of a normal box-shaped electronic device, and has a shape that can be easily attached to the rear surface of the MFP 200.
  • Such a backpack type casing is particularly called a backpack type casing 202b in FIG. 3, but it has a different shape and has a 1U chassis in terms of contents and functions. It is the same as 202a.
  • the FW / UTM security appliance 202 is stored in the backpack-type casing 202 b and installed on the back surface of the MFP 200. By providing it on the back, it becomes easy to run the cable along the back of the device. Therefore, when using the backpack-type housing 202b, it is preferable to perform connection with other devices using a cable along the back surface.
  • the FW / UTM security appliance 202 is preferably installed adjacent to the MFP 200. As described above, the FW / UTM security appliance 202 according to the present embodiment has a size of 1U, is housed in a relatively small housing (referred to as a subunit-type housing), and is arranged next to the MFP 200. However, it is considered that a large occupied area is not required.
  • FIG. 4 shows an example in which the FW / UTM security appliance 202 is stored in the subunit type casing 202c and provided on the back surface of the MFP 200 based on such a concept.
  • the front bezel 202a-2 is the same as the front portion of a normal box-shaped electronic device.
  • various operation units are provided, but are omitted from FIG.
  • Such a subunit type casing 202c is only different in shape, and is similar to the tray type casing 202a in terms of contents and functions such as having a 1U chassis.
  • subunit-type housing 202c corresponds to a preferred example of the sub-housing in the claims.
  • the FW / UTM security appliance 202 is stored in the subunit type housing 202 c and is installed adjacent to the MFP 200.
  • the FW / UTM security appliance 202 may be a single Wi-fi security module.
  • the MFP 200 multifunction device
  • the FW / UTM security appliance 202 has been described.
  • the present invention is not limited to the multifunction device, and a so-called copying machine (copier) is also suitable.
  • a printer In addition to the copying machine, a printer, a FAX apparatus, a personal computer, a telephone-related apparatus such as a PBX or a key telephone, and NAS (Network Attached Storage) may be used. Any so-called OA device installed in or near the office can be used.
  • shelf there may or may not be a “shelf” part into which a paper tray or the like can be inserted. If the paper tray can be stored, the paper tray-type housing 202a can be used. However, even when there is no paper tray, it is preferable to use a shelf-like housing and stack the paper tray on the bottom surface and the top surface.
  • an OA device such as a copier or a FAX apparatus corresponds to an example of a particularly preferable device, but other OA devices can be used sufficiently.
  • the claimed OA device is a concept including various OA devices installed in or near the office in this way.
  • ⁇ I can achieve the security by the firewall.
  • the Wi-fi security module allows you to know if there are access points around you.
  • the Wi-fi security module of this embodiment records the presence / absence of surrounding access points as a log, so the administrator can check the presence / absence of unauthorized access points by viewing the contents. It is.
  • the Wi-fi security module detects surrounding access points, but the operation management center can determine unauthorized access points from the access points detected by the Wi-fi security module. .
  • this Wi-fi security module provides externally recorded logs and information about surrounding access points detected at that time via the network in response to inquiries from the external operation management center 10 It also has a function to do. In addition, it also has a function of regularly providing log data and information on surrounding access points detected at that time to the outside via a network.
  • Such a function can be realized by a general computer and software.
  • the operation of regularly sending predetermined information to the outside is performed by a general computer, and the operation of transmitting information every time there is an inquiry (irregularly) is also performed by a general computer. It can be realized by those skilled in the art.
  • MSS Management Security Service
  • the MFP 200 tends to be in a state where only so-called “security hardware” is inserted. That is, it is assumed that there is a case where there is an unauthorized intrusion from the outside, or even when an unauthorized access occurs, an appropriate process cannot be performed.
  • the MSS service is packaged and provided to the user.
  • Such packaging eliminates the need for the “customization” described above, so that it is possible to reduce the cost of MSS services, and it is also possible for small and medium-sized businesses to introduce MSS.
  • the so-called PDCA cycle shown in FIG. 6 and the like can be rotated, and the security of the information system can be maintained and managed very well.
  • customization means that the equipment used by each user may be special, and the MSS service to be provided can be monitored according to the company's requirements and the monitoring system according to the company's requirements. Mainly means when it has to be adopted.
  • the MFP 200 proposed above is a multifunction device for a small-scale company / organization, and can serve as a center for an information system of the company. Accordingly, when the MSS is provided together with the introduction of the MFP 200, the MFP 200 is mainly used as an information system. Therefore, it is preferable to provide software and services packaged based on the configuration of the MFP 200. The present inventor thought that there was.
  • a characteristic feature of the present embodiment is that the MSS is provided to the user not only with the MFP 200 but also with software and services pre-packaged with the MFP 200 instead of customization.
  • This packaging has the effect of providing MSS directly to the user at low cost. In addition, there are the following effects.
  • the user can receive a high-quality MSS service at a low cost.
  • the service is provided by packaging the settings of the appliance, which is introduced together with the MFP 200.
  • This provided service is called a base package.
  • the service here is a service provided by the operation management center 10, in addition to a service automatically executed by a computer, a service performed by a person in charge can be included.
  • a computer automatically sends a warning / report mail when a security failure has occurred (or is likely to occur).
  • the computer automatically determines a warning or the like when the CPU operation rate becomes XX% or more and notifies the user by e-mail or the like.
  • the base package may include services by a person such as a person in charge who responds to a security inquiry or gives advice.
  • base services are called “base services”.
  • This base package has the following features compared to the software and services used in customized MSS.
  • the customization here includes the tuning described above.
  • the tuning refers to the adjustment of the threshold value that is determined to be dangerous, and the like.
  • the monitoring target is a specific security device, and specifically limited to UTM and Wi-fi access points.
  • the monitoring target can specify any device of the user, routers and firewalls of various companies, various servers, Various client devices can be monitored.
  • an arbitrary threshold for resource monitoring can be set for each user and each device.
  • an alert is issued when the CPU operation rate is 80% or more, while in other devices, an alert is issued when the CPU operation rate is 90% or more.
  • a certain device can be regarded as a timeout error when the response period is 3 seconds on the LAN, while another device can be regarded as a timeout error when the response period is 30 seconds.
  • the number of times can be set for each device.
  • the tuned MSS can perform resource monitoring of items specified by the user. For example, in addition to the CPU operation rate and the memory utilization rate, the status of hardware such as a power supply and a cooling fan can be entered as monitoring items. Also, software-related status such as whether or not a specific process is normally started can be entered in the monitoring item.
  • Security alert setting A uniform rule is applied to the security alert in the base package. For example, security alerts are generated by applying only predefined rules such as firewall login failure, DMZ internal communication failure, internal communication from other than the main port to the Internet, etc. . The alert may occur locally (for example, the above-described alliance within the MFP 200) or may be generated from the operation management center 10. This notifies the user.
  • rules suitable for the user environment are set. For example, it is possible to output a security alert by monitoring specific communication (P2P or the like) designated by the user, monitoring communication from a specific transmission source, or the like. Also, for example, the average number of log outputs is always measured, and when a log is output more than N times within a specified time (that is, when a large amount of communication occurs), a security alert is detected. Is output. Also, for example, not only firewall logs but also specific character strings specified by the user on Syslog (error strings indicating interface down, HDD failure, etc. depending on the OS) are output and security alerts are output can do.
  • the response to the security incident will be dealt with according to the content of the alert, but it will be within the predetermined range.
  • the firewall setting is changed, but the server setting is changed only by giving an instruction to the user.
  • incidents of critical level are handled within 4 hours as SLA (Service Level Agreement).
  • the tuned MSS targets not only the critical level but also the alert of the level requested by the user.
  • Security incidents are dealt with according to the contents of the alert, and with customized processing according to the user's request. For example, the firewall setting is changed and the server setting is also changed. In addition, an incident at a critical level as an SLA is handled in a time coordinated with the user (for example, within 2 hours).
  • packaging is performed in this way, the amount of work is greatly reduced as compared with the case of customization and tuning for each user, and as a result, the cost can be reduced. Further, since the packaging is performed in advance, the work necessary for the MSS so far, such as customization, becomes unnecessary, and accordingly, the period until the operation can be shortened.
  • the MFP 200 is introduced as the center of the user information system, the above-described packaging is possible as a result of fixing the hardware to some extent. .
  • Packaging means that functions are determined in advance in accordance with the functions and configurations of the MFP 200, and the MSS is standardized to simplify the work process and reduce costs. That is, since the service to be provided in advance is determined in accordance with the function and configuration of the MFP 200, the content, type, frequency, etc. notified from the operation management center 10 can be set (fixed) in advance, and smooth MSS can be performed. Can be easily realized. In particular, if the service content is determined in advance, it is possible to reduce the possibility of an error in the provision of the service, and it is expected that a higher quality MSS service can be provided, which has a great advantage for the user.
  • Overall diagram of a service providing the MSS is shown in FIG.
  • the security device is installed, that is, the MFP 200 is installed.
  • the operation monitoring of this device is performed from the operation management center 10 (FIG. 7), and when a failure occurs, notification of recovery from the failure is made. Further, in step 3, an attack (event) is monitored and analyzed, and a response process is performed.
  • the so-called PDCA cycle can be rotated to ensure good security of the information system.
  • MSS Management Security Service
  • Packaging for smart devices ⁇ Packaging for mobile devices ⁇ Packaging for cloud security In this way, by packaging for each target, it becomes possible to provide an MSS that is even easier to understand for users.
  • the MSS service using the base package is referred to as “first stage”, and the additional packages are referred to as second stage, third stage,.
  • Wi-fi security package (optional)
  • Wi-fi has been widely used in recent years, and it can be said that its utility value is high.
  • Wi-fi has been widely used in recent years, and it can be said that its utility value is high.
  • Wi-Fi connection has been widely used. Even in public places, free Wi-Fi access points may be provided. For example, restaurants and coffee shops may have Wi-Fi connection access points in the store, and there are many cases where Wi-Fi connection access points are installed in airport lounges. To use such a Wi-Fi connection, you need to know the SSID of the net and the password (if necessary).
  • a target-type attack has attracted attention.
  • This attack is a kind of so-called cyber attack, but it is a more malicious attack aimed at a specific target.
  • a targeted attack may be performed via the Wi-Fi connection as described above.
  • Wi-Fi package related to Wi-Fi according to the present embodiment as an option.
  • Wi-Fi Package Chapter 4 describes a Wi-Fi package as an example of an optional package.
  • an information system is constructed in a small restaurant or coffee shop, attempts to provide Wi-Fi services to store users have increased greatly in recent years.
  • the Wi-Fi package is introduced as an optional package at that restaurant / coffee shop, so-called sniffing can be found, and unauthorized access and connection can be found and removed. Details will be described below.
  • a function for detecting a Wi-Fi access point (a wireless LAN access point of various other standards) is implemented in the utility module 202a-3.
  • a function of detecting surrounding Wi-Fi access points is also provided in a general personal computer or the like, and can be easily implemented by those skilled in the art.
  • Hardware and software that detects surrounding Wi-Fi access points, including their strength, are also known, so if you apply this, you can operate information about the surrounding access points (intensity, frequency, etc.). It is easy for those skilled in the art to construct means for sending to the management center.
  • a device that makes an inquiry to a remote location via a network and returns information on the remote location in response to the inquiry is widely used in, for example, weather observation and the like. It is easy to build a device that returns.
  • an apparatus that periodically inquires is also known, it is also preferable to provide such an apparatus (computer) in the operation management center 10. It is also preferable for the operator to make inquiries as appropriate (irregularly) to acquire information.
  • the utility module 202a-3 (FIG. 2) includes various functions. However, each function is modularized, and means necessary for the user is provided. It can be installed.
  • the MFP 200 has a function for detecting an access point of Wi-Fi as described above (Wi-fi security module: see FIG. 2), a user information system is provided by a remote service. It is possible to monitor the presence or absence of an available Wi-Fi access point around the MFP 200. What is characteristic in the present embodiment is that the remote service detects whether or not an unauthorized access point is provided around the Wi-Fi access point of the user.
  • the computer on the operation management center 10 side automatically transmits an inquiry to the MFP 200 periodically (or irregularly, as needed), and in response to this, the Wi-fi security module in the MFP 200 It is preferable to detect surrounding Wi-fi access points and transmit the detection results (referred to as information about Wi-fi access points) to the operation management center 10.
  • the Wi-fi security module of the MFP 200 periodically and spontaneously transmits a detection result of surrounding Wi-fi access points (information on Wi-fi access points) to the operation management center 10. It is. In addition to periodic transmissions, whenever there is a change in information about Wi-fi access points detected in the surroundings, updated information about Wi-fi access points is sent to the operation management center 10 each time. It is also suitable to transmit.
  • MSS monitoring service it is possible to know whether an unauthorized access point is provided or not when a Wi-Fi service is provided at a restaurant or coffee shop that is a user. It is possible to report to
  • This unauthorized access point when this unauthorized access point is found, the user is notified by e-mail and telephone.
  • This notification preferably includes a range of unauthorized access points, how to find unauthorized access points, and the like.
  • the inventor of the present application has developed a more accurate detection method, which is scheduled to be filed as a patent for a “detection method” different from the “business model patent relating to provision of MSS” of the present application.
  • search service package is a service in which the person in charge of the operation management center 10 visits the user's information system to actually find and remove an unauthorized access point.
  • a complex commercial facility (called a shopping mall) with many stores in a row has been widely developed.
  • services for transmitting information on sales items and information on events to smart devices are widely used.
  • such services are performed using Wi-Fi services.
  • the additional Wi-Fi package according to this embodiment is used, and according to the “search service package” that is the second stage option, an unauthorized access point is MSS services that can be discovered can be used.
  • MSS services that can be discovered can be used.
  • a coffee shop or the like is often small, and is often a user to which the MFP 200 described in the present embodiment is to be introduced.
  • the 1U rack type open chassis 202a-1 is used (FIG. 2).
  • the FW / UTM security appliance 202 is stored, but it is also preferable to store other devices.
  • the MFP 200 has been mainly described. However, it is also preferable to use NAS (Network Attached Storage) as another device.
  • NAS Network Attached Storage
  • the 1U rack type open chassis 202a-1 is used (FIG. 2).
  • the tray-type casing provided with the chassis of the computer rack is used, there is flexibility in that a device that can be attached to the chassis can be attached to the MFP 200.

Abstract

The purpose of the present invention is to provide a management security service (MSS) that is easy to introduce into even small and medium-sized enterprises, by standardizing and packaging MSS monitoring programs and services to be provided and thereby accommodating these monitoring programs and services to the hardware of a multifunction machine or the like. An OA apparatus, such as a multifunction machine, in which a security appliance including a predetermined security means is stored in, for example, a sheet tray type enclosure, is used as the center of an information system. Software and services to be provided are packaged based on the configuration of this multifunction machine. In response to a query from an operation management center, the OA apparatus transmits security information to the operation management center, thereby allowing the operation management center to smoothly manage the information system. With this mechanism, even enterprises and organizations that do not have an IT manager or the like can smoothly receive a supply of MSS.

Description

マネージメントセキュリティサービスの提供に適したOA機器およびそのOA機器を利用したセキュリティサービスの提供方法OA device suitable for providing management security service, and security service providing method using the OA device
 本発明の技術分野は、いわゆるマネージメントセキュリティサービス(以下、MSSと略称する場合もある)の提供に関する。より詳細には、この改良されたMSSの提供に、本発明は関する。 The technical field of the present invention relates to the provision of so-called management security services (hereinafter sometimes abbreviated as MSS). More particularly, the present invention relates to providing this improved MSS.
 (1)MSSについて
 近年、情報システムに対するセキュリティの確保、障害からの迅速な普及、外部からの攻撃に対する防御や迅速な復旧等の目的で、MSS(management security service)と呼ばれるセキュリティサービスが提供されている。 (1) About MSS In recent years, security services called MSS (management security service) have been provided for the purposes of ensuring security for information systems, quickly spreading from failures, protecting against external attacks, and quickly recovering. Yes.
 用語:「提供者」と「利用者」
 なお、本文の説明文中では、MSSのサービスを提供する者(及びそのハードウェア・ソフトウェア資源・設備等を提供する者)を、「提供者」と呼び、「MSSのサービス提供者」「サービスの提供者の側」等の表現を採用する。一般にMSSのサービスの「提供者」は、情報セキュリティ会社、IT会社等である。 Terminology: “provider” and “user”
In the explanation of the text, the person who provides the MSS service (and the person who provides the hardware, software resources, facilities, etc.) is called the “provider”, and the “MSS service provider” Employ expressions such as “provider side”. In general, “providers” of MSS services are information security companies, IT companies, and the like.
 また、MSSのサービスを受ける者をMSSサービスの「利用者」と呼び、単に「利用者」と呼ぶことや、監視対象である「サービスの利用者側のシステム」等の表現を採用する。一般にMSSのサービスの「利用者」は、情報システムを使用している企業であり、その企業の情報システムが上記「サービスの利用者側のシステム」である。 
 なお、この監視対象である「利用者側のシステム」は、その企業内に設けられているシステムだけでなく、外部に位置する利用者側のシステムも含まれる。例えば、その企業が外部のサーバを利用している場合であって、その外部のサーバもMSSのサービスの監視対象である場合は、その外部のシステムも、上記「利用者側のシステム」である。また、MSSを提供する提供者がその外部のサーバ等も同時に提供している場合もある。また、データセンター等が提供するデータサーバー等と同時にMSSのサービスを提供する場合もある。 
 また、監視対象である「利用者側のシステム」は、単に「情報システム」と呼ぶ場合もある。特に、請求の範囲における「情報システム」の好適な一例が、監視対象である「利用者側のシステム」である。 
 なお、以下、本文では、説明をわかりやすくするために、監視対象である「利用者側のシステム」の例として、その企業の社内の利用者側ネットワークに属する部分のみを説明する。但しもちろん、本件発明の範囲としては、監視対象である利用者側のシステムがその企業の外部に位置する場合も含む。 Also, a person who receives an MSS service is referred to as a “user” of the MSS service, and is simply referred to as a “user”, or an expression such as “system on the service user side” to be monitored is adopted. In general, a “user” of an MSS service is a company that uses an information system, and the information system of the company is the “system on the user side of the service”.
The “user-side system” to be monitored includes not only a system provided in the company but also a user-side system located outside. For example, when the company uses an external server, and the external server is also a monitoring target of the MSS service, the external system is also the above-mentioned “user side system”. . In some cases, a provider who provides the MSS also provides an external server or the like at the same time. In some cases, an MSS service is provided simultaneously with a data server provided by a data center or the like.
The “user-side system” to be monitored may be simply referred to as “information system”. In particular, a preferred example of the “information system” in the claims is a “user-side system” that is a monitoring target.
In the following, in order to make the explanation easy to understand, only a part belonging to the user side network in the company is explained as an example of the “user side system” to be monitored. However, as a matter of course, the scope of the present invention includes the case where the user-side system to be monitored is located outside the company.
 一般的な従来のMSSにおいては、MSSのサービス提供者が、サービスの提供を受ける利用者側の情報システムに対して、以下のようなサービスを提供する場合が多い。 In a general conventional MSS, an MSS service provider often provides the following service to an information system on the user side who receives the service.
 ・ネットワークを介した遠隔監視を行う。 
 ・ネットワークを通過するデータを監視し、そのログを蓄積する。 
 ・サービス提供者が上記ログをネットワークを介して取得し、解析する。 
 ・解析結果を、利用者に定期的に又は不定期で提供する。 
 ・ネットワークを介して利用者のセキュリティシステムの更新や、調整を行う。 
 ・セキュリティシステムのダウン等のハードウェア障害が発生した場合に迅速に対応する。 
 ・セキュリティ侵害事故が発生した場合(発生する兆候がある場合も含む)に、迅速に対応する。 
 ・その他
 なお、このようなMSS(マネージメントセキュリティサービス)は、請求の範囲のセキュリティサービスの好適な一例に相当する。 -Perform remote monitoring via the network.
-Monitor the data passing through the network and accumulate the log.
-The service provider acquires the above logs via the network and analyzes them.
・ Provide analysis results to users regularly or irregularly.
-Update and adjust the user's security system via the network.
-Respond quickly when a hardware failure such as a security system failure occurs.
-Respond quickly in the event of a security breach accident (including signs of occurrence).
Others Note that such MSS (Management Security Service) corresponds to a preferred example of the security service in the claims.
 セキュリティサービスの基本的な考え方
 このようなセキュリティサービスの提供は、一般に設置(Plan)、運用(Do)、分析(Check)、改善(Act)のサイクル(以下、ステップとも呼ぶ)で行われる場合が多い。これはPDCAサイクルと一般に呼ばれる。 Basic concept of security services Such security services are generally provided in the installation (Plan), operation (Do), analysis (Check), and improvement (Act) cycle (hereinafter also referred to as steps). Many. This is commonly referred to as a PDCA cycle.
 設置ステップにおいては、所定のセキュリティ機器、通信機器、を利用者の情報システムに設置する。または、すでに機器が設置されている場合もある。この設置ステップでは、ネットワークへの接続の設定(導入のこと)が行われる。これはいわゆるハードウェアの導入である。 
 また、この設置ステップでは、ルール部分の設定も行われる。すなわち、大きくは、セキュリティポリシーの設定を行う。これには、通過させる/通過させないパケットに関するルール設定や、検知対象であるイベントに対するルール設定やその他のセキュリティポリシーの設定(インシデントの設定等を含む)を行う。 In the installation step, predetermined security devices and communication devices are installed in the user information system. Or there may be equipment already installed. In this installation step, connection setting (introduction) to the network is performed. This is the introduction of so-called hardware.
In this installation step, the rule part is also set. That is, the security policy is generally set. For this purpose, rule settings relating to packets that are allowed to pass or not, rule settings for events that are detection targets, and other security policy settings (including incident settings, etc.) are performed.
 次に、運用ステップでは)、機器稼働の監視を行う。各機器に故障等が発生した場合又は故障しそうな場合、これを検知して下記のような処理を行う。 Next, in the operation step), equipment operation is monitored. When a failure or the like occurs in each device or is likely to fail, this is detected and the following processing is performed.
 すなわち、運用管理センター側からポーリングを行い、利用者側システムに属する機器のCPUやメモリを監視し、その情報を記録している。その監視の結果、異常や故障が発生している場合又は発生しそうな場合を運用管理センター側がリアルタイムに検知することが可能である。 That is, polling is performed from the operation management center side, and the CPU and memory of devices belonging to the user side system are monitored and recorded. As a result of the monitoring, the operation management center can detect in real time when an abnormality or failure has occurred or is likely to occur.
 また、セキュリティ監視も行う。利用者ネットワークの外部又は内部からのパケットのログを取得し、セキュリティ侵害等があったか否かを検知する。 Also performs security monitoring. A packet log from outside or inside the user network is acquired to detect whether there has been a security breach.
 このように、MSSのサービスでは、機器障害、セキュリティ侵害等を、運用の最中に検知する。また、多くの場合、ネットワークで接続された外部の管理センターにおいて遠隔地から利用者の情報システムの管理が行われることが多い。この外部の管理センターは、MSSのサービス提供者が設置・提供を行う。 Thus, the MSS service detects device failures, security breaches, etc. during operation. In many cases, the user's information system is often managed remotely from an external management center connected via a network. This external management center is installed and provided by an MSS service provider.
 次に、分析ステップでは、取得したログから機器障害の分析を行う。また、外部又は内部からのセキュリティ侵害や不適切なアクセス等の有無を解析するセキュリティ分析が行われる。これらの分析は、主に、上述した外部の管理センターにおいて行われる。しかし、その利用者側の担当者であるセキュリティ管理者にもこの分析結果が報告されるが、原則として、分析は、外部の管理者が行う。 Next, in the analysis step, an equipment failure is analyzed from the acquired log. In addition, security analysis is performed to analyze the presence or absence of security breaches or inappropriate access from outside or inside. These analyzes are mainly performed at the external management center described above. However, this analysis result is also reported to the security administrator who is in charge of the user side, but in principle, the analysis is performed by an external administrator.
 このような分析ステップの動作は、種々パターンに分かれる。 The operation of such an analysis step is divided into various patterns.
 (大規模な大企業の場合)
 比較的大規模な大企業の場合は、内部の管理者は、情報システムに関する専門知識を有しており、ファイアーウォール等の設定をすることができる場合が多い。このような管理者を「IT管理者」と呼ぶ。 (For large large companies)
In the case of a relatively large company, an internal administrator has specialized knowledge about information systems and can often set a firewall or the like. Such an administrator is called an “IT administrator”.
 また、セキュリティに関しても、基本的な知識を有する「セキュリティ管理者」を配備している場合もあるが、詳細な専門的な知識については持っていない場合も多い。その結果、上述したいわゆるPDCAサイクルを回すほどの知識は持っていない。そのため、分析に関しては、セキュリティに関する専門知識を有する外部の専門家に委託した方が、コスト的にもまた労力的にも好適であることが多い。すなわち、外部の業者に委託して、MSSのサービスを利用する場合が多い。 Also, with regard to security, there are cases where “security administrators” with basic knowledge are deployed, but there are many cases where detailed technical knowledge is not available. As a result, they do not have enough knowledge to run the so-called PDCA cycle described above. Therefore, in terms of analysis, it is often preferable to outsource to an external expert who has expertise in security, both in terms of cost and labor. In other words, the MSS service is often used by outsourcing to an external supplier.
 (大企業の場合)
 また、中堅的な大企業の場合、内部に情報システムのIT管理者を配置しているが、そのIT管理者はあくまでも情報管理のための管理者であり、セキュリティには詳しくない場合も多い。すなわち、このIT管理者は、ネットワークの構成方法等は知っているが、セキュリティに関する知識はあまり持っていないという場合である。つまり、「セキュリティ管理者」は配置していないという企業が中堅的な大企業には多い。このような企業の場合は、外部の業者に委託してMSSを利用すれば、より一層PDCAサイクルを回しやすくなるするメリットがある。 (For large companies)
Moreover, in the case of a medium-sized large company, an IT manager of an information system is arranged inside, but the IT manager is an administrator for information management to the last, and is often not familiar with security. That is, this IT administrator knows the network configuration method and the like but does not have much knowledge about security. In other words, there are many companies that do not have “security managers” in mid-sized companies. In the case of such a company, if the MSS is used by outsourcing to an external contractor, there is an advantage that the PDCA cycle can be more easily performed.
 このように、企業の内部に管理者を配置しつつも、外部の管理者(専門家)を用いて分析を行った方が好ましい場合は多い。 As described above, in many cases, it is preferable to perform analysis using an external administrator (expert) while an administrator is placed inside a company.
 ここで、内部管理者と外部管理者の役割分担は種々のものが考えられる。例えば、外部から情報システムのリセットをかけることを許可している企業もあれば、外部からリセットをかけられることを拒否するようなポリシーを持っている企業もある。外部からのリセットを拒否している企業の場合は、外部の管理者は内部の管理者に連絡してリセットを依頼することになる。 Here, various roles can be considered between the internal administrator and the external administrator. For example, there are companies that allow the information system to be reset from the outside, and some companies have a policy that refuses to be reset from the outside. In the case of a company that refuses resetting from the outside, the external manager contacts the internal manager and requests the resetting.
 同様に、サーバのルールに関しても、外部の管理者からのルール変更の提案を受けて、内部の管理者が検討してからルールを変更するような仕組みを採用する企業もあれば、全くのお任せで、外部の管理者にサーバのルール設定まですべてお任せする企業もある。 Similarly, with regard to server rules, there are companies that adopt a mechanism to change rules after an internal administrator considers a proposal to change rules from an external administrator. Some companies leave the server rules to the external administrator.
 次に、改善ステップにおいては、機器に障害が発生した場合は、機器の障害からの復旧を行う。 Next, in the improvement step, if a device failure occurs, recovery from the device failure is performed.
 また、上述した分析結果に基づき、機器に設定したセキュリティルールの見直し・改善を行う。これには、社内ルールの見直しや改善等も含まれる。 
 これらの処理は、同時期に行われるわけではない。機器の障害からの復旧と、セキュリティルールの見直し等は、(同じタイミングに生じる場合もあるが)、基本的には別の独立したタイミングで行われる。 Also, based on the analysis results described above, the security rules set for the device are reviewed and improved. This includes reviewing and improving internal rules.
These processes are not performed at the same time. Recovery from equipment failures and review of security rules, etc. (which may occur at the same time) are basically done at different independent times.
 このいわゆる「PDCAサイクル」は、IT管理者がいる場合、又は、IT管理者及びセキュリティ/運用管理者がいる場合、を前提としていることが多い。利用者側の情報システムやネットワークの管理は、サービス提供者側の運用管理センターにおいてリモートで行われる場合が多いが、運用や改善のステップなどは、場合によっては、現場のセキュリティ/運用管理者と連携して行う必要がある場合もある。上述したように、ここでは必ずしも連携が必要でない場合もある。 This so-called “PDCA cycle” is often based on the assumption that there is an IT administrator or an IT administrator and a security / operation administrator. Management of information systems and networks on the user side is often performed remotely at the operation management center on the service provider side. However, depending on the situation, operations and improvement steps may be performed with the security / operation manager at the site. Sometimes it is necessary to do this together. As described above, there is a case where cooperation is not necessarily required here.
 しかし、一般的には、これまでのMSSにおいては、サービスの提供を受ける利用者側にIT管理者が配置されていることが望ましく、さらにはセキュリティ管理者(「セキュリティ/運用管理者」とも呼ぶ)がいることがより一層望ましい。 However, in general, in the conventional MSS, it is desirable that an IT administrator is arranged on the user side to receive the service, and further, a security administrator (also referred to as a “security / operation administrator”). ) Is even more desirable.
 実際に、これまでのMSSのサービスを導入していなかった場合は、人的その他の種々の事情により、利用者側のセキュリティ/運用管理者を設置できなかった場合は、設置(Plan)だけで、終わってしまい、運用(Do)、分析(Check)、改善(Act)の各ステップまで実現できていない場合も考えられる。このような利用者側において、IT管理者もセキュリティ管理者も配置されていない場合のPDCAサイクルの例が図6の概念図に示されている。 Actually, if the MSS service has not been introduced so far, the security / operation manager on the user side could not be established due to various reasons such as human resources, etc. In some cases, it may be impossible to realize the steps of operation (Do), analysis (Check), and improvement (Act). An example of a PDCA cycle in the case where neither an IT administrator nor a security administrator is arranged on such a user side is shown in the conceptual diagram of FIG.
 運用管理センター(従来の技術)
 MSSのサービスにおいては、なるべく利用者側の負担を減らすために、上述のように、外部の運用管理センターから、インターネット等の通信回線介して利用者側の情報システムを監視することが多く、近年、広く活用されてきている。 Operation management center (conventional technology)
In the MSS service, in order to reduce the burden on the user side as much as possible, as described above, the information system on the user side is often monitored from an external operation management center via a communication line such as the Internet. Have been widely used.
 図7には、このような運用管理センター10による従来の一般的なMSSの提供の概要の説明図が示されている。すなわち、図7は、従来から知られているMSSの例を示す図である。 FIG. 7 shows an explanatory diagram of an outline of providing a conventional general MSS by such an operation management center 10. That is, FIG. 7 is a diagram illustrating an example of a conventionally known MSS.
 監視対象である利用者側の情報システムを利用者側ネットワーク12と称する(図7参照)。利用者側ネットワーク12には、例えば、DMZサーバ群12aと、内部セグメント14とが含まれている(図7参照)。 The information system on the user side to be monitored is referred to as a user side network 12 (see FIG. 7). The user side network 12 includes, for example, a DMZ server group 12a and an internal segment 14 (see FIG. 7).
 この利用者側ネットワーク12には、上述したように、外部に設けているサーバ等も含まれるが、説明をわかりやすくするために、便宜上、図7ではこの外部のサーバ等の例は示されていない。 As described above, the user-side network 12 includes an external server or the like, but for the sake of convenience of explanation, FIG. 7 shows an example of the external server and the like. Absent.
 このDMZサーバ群12aには、セキュリティ装置として例えばファイアーウォール12bと、各種DMZサーバが含まれている。その他種々のセキュリティ装置が含まれうる。 
 図示されてはいないが、Webサーバ12a1の前には例えばWAF(Web Application Firewall)等が含まれれている場合もある。また、メールサーバ12a2の前にはメールのSPAMを防ぐメールセキュリティ装置を置く場合もある。また、これらWAF等の前にIPSやIDSを置く場合もある。また、ファイアーウォール12b中にこれらの機能を統合したUTMと呼ばれる仕組みを搭載する場合もある。さらに、UTMを置く場合でも、IPSは別個に置くという場合もある。 
 このように各企業によって、セキュリティ装置の構成は千差万別であり、その結果MSSのサービスも千差万別であった。この結果、小さな企業はMSSの利用が困難な場合もあった。そこで、後述するように。本発明は、MFP等の中にUTM等を入れた構成を用いてMSSを提供する仕組みを採用したのである。 
 DMZ(Demilitarized Zone)とは本来は「非武装地帯」の意味であるが、情報システム上では、インターネット等の信頼できないネットワークと社内ネットワークなどの信頼できるネットワークとの中間に置かれるセグメントを意味する。 
 但し、運用管理者が内部に配置されていない企業の場合は、このようなDMZサーバ群12aが社内にない場合も多い。すなわち、利用しているISP側にメールサーバやWEBサーバ等を委託しているような場合である。 The DMZ server group 12a includes, for example, a firewall 12b and various DMZ servers as security devices. Various other security devices can be included.
Although not shown, the Web server 12a1 may include a WAF (Web Application Firewall) or the like, for example. In some cases, a mail security device for preventing mail SPAM is placed in front of the mail server 12a2. In some cases, IPS or IDS is placed before these WAFs. In some cases, a mechanism called UTM that integrates these functions is installed in the firewall 12b. Furthermore, even when UTM is placed, IPS may be placed separately.
As described above, each company has various security device configurations, and as a result, MSS services are also infinitely different. As a result, it may be difficult for small companies to use MSS. Therefore, as will be described later. The present invention employs a mechanism for providing an MSS using a configuration in which a UTM or the like is included in an MFP or the like.
DMZ (Demilitarized Zone) originally means a “demilitarized zone”, but on an information system, means a segment placed between an untrusted network such as the Internet and a trusted network such as an in-house network.
However, there are many cases where such a DMZ server group 12a does not exist in the company in the case of a company in which an operation manager is not arranged inside. In other words, this is a case where a mail server, a WEB server, or the like is outsourced to the ISP used.
 一般的には、上記ファイアーウォール12から下にDMZサーバ群12aが置かれている。ここでファイアーウォール12aは、UTM(図示しない)で構成される場合もある。UTMを用いる場合は、その下にIPSやWAF等が設けられる(DMZサーバの前に置かれる)場合もある。 Generally, a DMZ server group 12 a is placed below the firewall 12. Here, the firewall 12a may be configured by a UTM (not shown). When UTM is used, IPS, WAF, or the like may be provided below (located before the DMZ server).
 さて、このDMZサーバ12aには、WEBサーバ12a1、メールサーバ12a2、FTPサーバ12a3、DNSサーバ12a4と、等が含まれている。どのようなサーバが含まれるかは、各企業、各システムにより異なる。図7では一般的と思われるサーバ群のみが示されており、これらに限られるものではない。 The DMZ server 12a includes a WEB server 12a1, a mail server 12a2, an FTP server 12a3, a DNS server 12a4, and the like. Which servers are included depends on each company and each system. FIG. 7 shows only a group of servers considered to be general, and is not limited to these.
 これらの、インターネットに公開しなければならないサーバ群は、一般にDMZセグメントに配置され、ここではこれらをDMZサーバ群12aと呼んでいる。これらDMZサーバ群12aは、ファイアーウォール12bを介してインターネット20に接続している。 These server groups that have to be disclosed to the Internet are generally arranged in the DMZ segment, and here they are called DMZ server group 12a. These DMZ server groups 12a are connected to the Internet 20 via a firewall 12b.
 また、内部セグメント14には、クライアント端末14a、14b、14c、14dが含まれており、インターネット20に対して、無制限に公開されてはいない。 The internal segment 14 includes client terminals 14a, 14b, 14c, and 14d, and is not open to the Internet 20 without restriction.
 一般的には、ファイアーウォール12bは、外部のインターネット20からのアクセスは、DMZサーバ群12aに対してのみ許され(パケットを通過させ)、内部セグメント14へのアクセスは原則として許可しない。またファイアーウォール12bは、DMZサーバ群12aに対してのアクセスに関しても、パケットの内容(ソース・ディスティネーション等)を検査し不正なパケットは通過させない。さらに、ファイアーウォール12bは、DMZサーバ群12aから内部セグメント14へのアクセスも原則として許可しないが、内部セグメント14からのアクセスは、外部のインターネット20に対してもDMZサーバ群12aに対しても原則として許可される。ただし、不正なサイトへのアクセスは、たとえ、内部セグメント14からのアクセスでも許可されない。このようなファイアーウォール12bの作用・機能は、後述する実施の形態でも基本的に同様である。なお、IPSやWAF等の動作は従来からよく知られているので、ここではその動作の説明は省略する。 Generally, in the firewall 12b, access from the external Internet 20 is permitted only to the DMZ server group 12a (pass the packet), and access to the internal segment 14 is not permitted in principle. The firewall 12b also checks the packet contents (source / destination, etc.) for access to the DMZ server group 12a and does not allow unauthorized packets to pass through. Further, the firewall 12b does not permit the access from the DMZ server group 12a to the internal segment 14 in principle, but the access from the internal segment 14 is in principle for both the external Internet 20 and the DMZ server group 12a. As allowed. However, access to an unauthorized site is not permitted even from the internal segment 14. The operation and function of such a firewall 12b are basically the same in the embodiments described later. Since operations such as IPS and WAF are well known in the art, description of the operations is omitted here.
 さて、この利用者側情報システムである利用者側ネットワーク12は、図7に示すように、インターネットを介して運用管理センター10から24時間365日監視されている場合もあった。この運用管理センター10には、セキュリティエンジニアが24時間駐在しており、文字通り24時間の監視を行っている。この結果、利用者側において専任の管理者が不在の場合であっても、利用者側ネットワーク12に対する攻撃や障害を監視するとともに、その分析を行っている。そして、その分析結果に基づきしかるべき対応を行っている。 Now, as shown in FIG. 7, the user-side network 12 that is this user-side information system may be monitored for 24 hours 365 days from the operation management center 10 via the Internet. A security engineer is stationed at the operation management center 10 for 24 hours, and literally monitors for 24 hours. As a result, even when a dedicated administrator is not present on the user side, the attack and failure on the user side network 12 are monitored and analyzed. Based on the analysis results, appropriate measures are taken.
 従来から、運用管理センター10における障害分析の対応や復旧は、例えば、メールを用いて担当者に障害の報告やその復旧の内容を伝えることによって行われている。各種ネットワーク機器の設定変更等、運用管理センター10側において対処可能な事項の場合は、上記メールはそのような対処が行われたことを報告するメールとなろう。また特に使用者側で実行しなければならないことがあれば、上記メールに含まれることになる。例えば、サーバの再起動等を使用者側で行ってください等のメールとなる。 Conventionally, failure analysis response and recovery in the operation management center 10 has been performed by, for example, reporting a failure report and details of the recovery to a person in charge using e-mail. In the case of matters that can be dealt with on the operation management center 10 side, such as setting changes of various network devices, the above-mentioned mail will be a mail reporting that such a countermeasure has been taken. In particular, if there is something that must be executed by the user, it will be included in the email. For example, it is an email indicating that the user must restart the server.
 さらに、運用管理センター10側においては、その使用者専用のWebサーバを用いて、使用者側が閲覧可能なWebポータルサイトを提供していることが多い。このWebポータルサイトを通じて、使用者側の情報ネットワーク12の監視状況やログを使用者側に提供する。 Furthermore, the operation management center 10 often provides a web portal site that can be browsed by the user using a web server dedicated to the user. Through this Web portal site, the monitoring status and logs of the information network 12 on the user side are provided to the user side.
 また、使用者は、運用管理センター10に対して、セキュリティに関する相談・問い合わせを行うことが可能である。 In addition, the user can make a consultation / inquiry about security to the operation management center 10.
 (2)複合機の利用
 ところで、近年、コピー機に、FAX機能や、スキャナー機能を組み込んだいわゆる複合機が広く利用されており、代表的なOA機器の一つとなっている。さらに近年のインターネット環境の進展にともない、この複合機にもいわゆるLAN接続機能を持たせた複合機も種々知られている。 (2) Use of MFPs In recent years, so-called MFPs that incorporate a FAX function or a scanner function have been widely used in copy machines, and have become one of typical OA devices. Further, with the progress of the Internet environment in recent years, various types of multifunction devices in which this multifunction device has a so-called LAN connection function are also known.
 ところが、このようなLAN接続機能を備えた複合機をそのままインターネットに接続したのでは、セキュリティ上問題があると考えられる。そこで、その複合機にセキュリティ機能を持たせることが考えられる。例えば、特開2012-74935号公報には、複数人の認証によって画像データを出力するように構成して情報漏洩を防止した複合機が開示されている。また、特開2011-19099号公報には、ファームウェアに異常が見つかった場合に複合機の機能を制限する複合機が開示されている。 However, it is considered that there is a security problem if the MFP having such a LAN connection function is directly connected to the Internet. Therefore, it is conceivable to give the multifunction device a security function. For example, Japanese Unexamined Patent Application Publication No. 2012-74935 discloses a multi-function machine that is configured to output image data by authentication of a plurality of people and prevent information leakage. Japanese Patent Application Laid-Open No. 2011-19099 discloses a multifunction peripheral that restricts the functions of the multifunction peripheral when an abnormality is found in the firmware.
 上述のように、特に中小企業の場合には、社内ネットワークも小規模なので、このようなネット接続機能を有する複合機等を中心に社内ネットワークを構築する場合も多く、複合機のセキュリティ機能は重要であると考えられる。この複合機がその企業のネットワーク接続のセンター部分となり、それに対してPCや各種スマートデバイスが接続されて、社内ネットワークが構築されるからである。 
 なお、後述する本発明の実施の形態においては、改良された複合機の説明を行っているが、そこで用いられるセキュリティアプライアンスを格納する筐体は、複合機の本体とは別体に構成される場合がある。その詳細は、後述する実施の形態において説明する。 As mentioned above, especially in the case of small and medium-sized enterprises, the internal network is also small, so there are many cases where an internal network is built around multifunction devices with such a network connection function, and the security function of the multifunction device is important. It is thought that. This is because this multi-function machine becomes the central part of the company's network connection, and PCs and various smart devices are connected to it to build an in-house network.
In the embodiment of the present invention to be described later, an improved multifunction device is described. However, a housing for storing the security appliance used therein is configured separately from the main body of the multifunction device. There is a case. Details thereof will be described in an embodiment described later.
 (3) PDCAサイクルと、MSSのカスタマイズ
 さて、非常に大規模な大企業の場合は、いわゆるIT管理者も配置しており、さらに、セキュリティ管理者も配備している場合が多いが、その場合でも円滑に上述したPDCAサイクルを回すためにはMSSののサービスを利用することがあった。 (3) PDCA cycle and MSS customization In the case of a very large large company, so-called IT administrators are also deployed, and there are many cases where security administrators are also deployed. However, in order to smoothly run the PDCA cycle described above, the MSS service may be used.
 また、中堅的な大企業であって、IT管理者のみを備えている企業の場合は、セキュリティに関する専門知識を有する者が少ないので、MSSのサービスを利用してPDCAサイクルを回すことが一般に好適であり、実際にもそのような利用があった。 In addition, in the case of a medium-sized large company that has only IT managers, it is generally preferable to use the MSS service to rotate the PDCA cycle because there are few people who have security expertise. And there was actually such use.
 これに対して、中小企業等の小規模な企業や団体の場合は、いわゆるIT管理者を設けることが難しく、上述したいわゆるPDCAのサイクルを回すのは困難な場合もあった。 On the other hand, in the case of small businesses and organizations such as small and medium enterprises, it is difficult to provide a so-called IT administrator, and it is sometimes difficult to run the above-described PDCA cycle.
 しかし、また、このような中小企業等の社内ネットワークこそ、上の(1)で述べたMSSのサービスを利用して、PDCAサイクルを回すことが望ましい。しかし、既存の従来のMSSのサービスは、上述したように利用者側の少なくともIT管理者が存在することを前提としている場合が多かった。すなわち、中小企業での利用はほとんど考慮されていなかった。 However, it is also desirable for such an in-house network such as SMEs to use the MSS service described in (1) above and rotate the PDCA cycle. However, existing conventional MSS services are often premised on the presence of at least an IT administrator on the user side as described above. In other words, the use in small and medium enterprises was hardly considered.
 特に、従来、MSSはいわば利用者の情報システムに合わせたカスタマイズやチューニングが必要であった。 
 非常に大規模な超大企業の場合は、使用している機器も特殊な場合があり、提供するMSSのサービスも企業の要求に合わせた監視方法や、企業の要求に合わせた監視体制を採用しなければならない場合もある(これを、ここでは、カスタマイズと呼ぶ)。 In particular, conventionally, MSS has to be customized and tuned according to the user's information system.
In the case of a very large ultra-large company, the equipment used may be special, and the MSS service provided will adopt a monitoring method that matches the company's requirements and a monitoring system that meets the company's requirements. Sometimes it is necessary (this is called customization here).
 また、利用者の情報システムは、各利用者ごとに大きく異なり、クライアントの台数・種類、ファイアーウォールの台数・種類、その他のセキュリティ機器の台数・種類・置かれ方、さらに各種サーバの台数・種類も様々であり(すなわち、ネットワーク構成が千差万別であり)、サーバーのOSも様々である。また、その製造メーカーもまた多種多様である。そのため、上記のようなカスタマイズが必要となる。また例えば、UNIX(登録商標)を利用しているか/利用していないか、等の調整はここでいうカスタマイズの一つである。 
 さらに、利用者の望む監視の程度・内容も利用者ごとに大きく異なる(ネットワーク構成に対して何をどの程度監視していくのか)ので、従来からのMSSは、利用者ごとにチューニングを行って構築する必要があった。例えば、危険であると判断するしきい値をどのような値にするか、等の調整がチューニングの一種である。このように、主としてこのようなしきい値の調整がチューニングと呼ばれる。 User information systems vary greatly from user to user. The number and type of clients, the number and type of firewalls, the number and types of other security devices, and the number and types of servers. (That is, the network configuration is various), and the OS of the server is also various. The manufacturers are also diverse. Therefore, customization as described above is required. Further, for example, adjustment of whether UNIX (registered trademark) is used or not is one of customizations described here.
Furthermore, the degree and content of monitoring desired by users varies greatly from user to user (what is monitored and what is monitored for the network configuration), so conventional MSS is tuned for each user. There was a need to build. For example, adjustment of what value the threshold value for determining as dangerous is one type of tuning. As described above, adjustment of the threshold value is mainly called tuning.
 また、連絡やアラートの方法の調整もチューニングの一種である。また、改修の際の、内部のIT管理者と外部のセンター側の管理者との間の連携体制調整もチューニングの一種である。 Also, adjustment of contact and alert methods is a kind of tuning. Coordination system adjustment between the internal IT administrator and the external center administrator at the time of renovation is also a kind of tuning.
 このようにカスタマイズやチューニングを行う必要があることから、サービスのコストがどうしても上昇しがちであり、一層、中小企業等でのMSSの利用は考えにくい状況にあった。 Since it is necessary to perform customization and tuning in this way, the cost of services tends to rise inevitably, and the use of MSS by SMEs etc. has been difficult to consider.
 (4)先行特許文献
 例えば、下記特許文献1には、電気機器の状態を確認して、その確認した情報を通信手段を用いて通信する状態報知システムが開示されている。このような構成によって、利便性やセキュリティ性を向上させることができるとされている。 (4) Prior Patent Literature For example, Patent Literature 1 below discloses a status notification system that confirms the status of an electrical device and communicates the confirmed information using communication means. With such a configuration, it is said that convenience and security can be improved.
 また、下記特許文献2には、リスク分析をリアルタイムに行う方法が開示されている。具体的には、コンピュータベースビジネスアプリケーションサブシステム内のビジネス活動の技術的解釈を与えて、この解釈に基づいて、ビジネス活動が運用ガイドラインに違反して実行されてしまうタスクを生成すること(リスク分析)が提案されている。 Further, Patent Document 2 below discloses a method for performing risk analysis in real time. Specifically, it provides a technical interpretation of business activities within a computer-based business application subsystem and, based on this interpretation, generates tasks that cause business activities to be performed in violation of operational guidelines (risk analysis). ) Has been proposed.
 また、下記特許文献3には、メールサーバやWebサーバと接続し、特定のユーザを監視する監視サーバが開示されている。その特定のユーザと関連するメール等の中から、所定のキーワードに該当するデータを抽出し、報告先のユーザに送信する技術が開示されている。子供等の行動を親等が監視できるとされている。 Also, Patent Document 3 below discloses a monitoring server that connects to a mail server or a Web server and monitors a specific user. A technique is disclosed in which data corresponding to a predetermined keyword is extracted from e-mails related to the specific user and transmitted to a report destination user. It is said that parents can monitor the behavior of children.
 また、下記特許文献4には、複数人の認証によって画像データを出力するように構成して情報漏洩を防止した複合機が開示されている。また、下記特許文献5には、ファームウェアに異常が見つかった場合に複合機の機能を制限する複合機が開示されている。  Also, Patent Document 4 below discloses a multi-function machine that is configured to output image data by authentication of a plurality of people to prevent information leakage. Further, Patent Document 5 below discloses a multifunction device that restricts the functions of the multifunction device when an abnormality is found in the firmware. *
特開2009-151459号公報JP 2009-151459 A 特開2011-76629号公報JP 2011-76629 A 特開2012-73798号公報JP 2012-73798 A 特開2012-74935号公報JP 2012-74935 A 特開2011-19099号公報JP 2011-19099 A
 このように、従来のMSSのサービスでは、
 (a1)IT管理者に加えて、セキュリティ管理者もいるが、そのセキュリティ管理者は、セキュリティに関して脆弱な知識しかもっていない企業、
 (a2)IT管理者に加えて、セキュリティ管理者もいるが、もっとセキュリティを強化したい企業、
 (b)IT管理者はいるものの、セキュリティ管理者がいない企業、
 を主な顧客として提供されていた。すなわち
 (c)IT管理者がいない企業、またはIT管理者がいてもそのIT管理者が脆弱な知識しか持っていない企業、
 に対してはMSSのサービスを提供することは少なかった。 Thus, with the conventional MSS service,
(A1) In addition to IT administrators, there are security managers, but the security managers are companies that have only weak knowledge about security,
(A2) In addition to IT administrators, there are security administrators, but companies that want to strengthen security
(B) Companies with IT administrators but no security managers,
Had been offered as the main customer. (C) A company that does not have an IT administrator, or a company that has an IT administrator but the IT administrator has only weak knowledge,
There were few MSS services.
 そこで、本願発明者は、上記(c)のようなIT管理者がいない企業であっても、MSSのサービスを利用することができる仕組みを検討し、本願発明をなすに至った。すなわち、本願発明は、IT管理者がいない中小企業でも利用することが容易なMSSのサービスを提供すること、及びそれに関連する機器の提供を主たる目的とする。 Therefore, the inventor of the present application has studied the mechanism that can use the service of MSS even if the company does not have an IT administrator as in (c) above, and has come to make the present invention. That is, the main object of the present invention is to provide an MSS service that can be easily used even by a small and medium-sized company without an IT administrator, and to provide related equipment.
 本発明の特徴の一つ、すなわち、主要な訴求ポイントの一つは、複合機等のOA機器のようなもの中に、UTM等のセキュリティ装置を埋め込んで、オフィスのセキュリティセンターとして機能させる点と、それに加えて、MSSのサービスの提供を行おうとする点にある。なおかつ、パッケージ化されているので、低コスト化が期待される。 One of the features of the present invention, that is, one of the main appeal points is that a security device such as a UTM is embedded in an OA device such as a multi-function device to function as an office security center. In addition to that, it is in the point of providing MSS services. Moreover, since it is packaged, cost reduction is expected.
 (1) セキュリティ装置
 本発明は、上記課題を解決するために、外部ネットワークとの接続手段を備えたOA機器において、ゲートウェイを含むUTM等のセキュリティ装置を含むアプライアンス手段、を備え、前記接続手段は、前記ゲートウェイであることを特徴とするOA機器である。 (1) Security device In order to solve the above problems, the present invention includes an appliance means including a security device such as a UTM including a gateway in an OA device provided with a connection means with an external network, and the connection means includes: An OA device that is the gateway.
 (2) 無線LAN(Wi-fi)セキュリティ
 本発明は、上記(1)記載のOA機器において、前記アプライアンス手段は、オプションとして、本OA機器の周囲のWi-fiアクセスポイントを検出する手段、を備えていることを特徴とするOA機器である。 (2) Wireless LAN (Wi-fi) security In the OA device according to (1), the appliance means may optionally include means for detecting a Wi-fi access point around the OA equipment. It is an OA device characterized by comprising.
 (3) トレー型
 本発明は、上記(1)~(2)のいずれか1項に記載のOA機器において、用紙トレーを格納する棚部と、前記棚部に格納された用紙トレー型筐体と、前記用紙トレー型筐体に格納された前記アプライアンス手段と、を含むことを特徴とするOA機器である。 (3) Tray type In the OA device according to any one of (1) to (2), the present invention provides a shelf unit that stores a paper tray, and a paper tray type housing that is stored in the shelf unit. And the appliance means stored in the paper tray type housing.
 (4) トレ ー型(用紙トレーではない)
 本発明は、上記(1)~(2)のいずれか1項に記載のOA機器において、用紙トレーとほぼ同形状のトレー型筐体と、前記トレー型筐体に格納された前記アプライアンス手段と、を含むことを特徴とするOA機器である。 (4) Tray type (not paper tray)
The present invention provides the OA device according to any one of the above (1) to (2), a tray type housing having substantially the same shape as a paper tray, and the appliance means stored in the tray type housing. OA equipment characterized by including.
 (5)  バックパック型
 本発明は、上記(1)~(2)のいずれか1項に記載のOA機器において、本OA機器の背面に取り付け可能なバックパック型筐体と、前記バックパック型筐体に格納された前記アプライアンス手段と、を含むことを特徴とするOA機器である。 (5) Backpack type In the OA device according to any one of the above (1) to (2), the present invention provides a backpack type casing that can be attached to the back surface of the OA device, and the backpack type. And an appliance means stored in a housing.
 (6)  サブ筐体(サブユニット型)
 本発明は、上記(1)~(2)のいずれか1項に記載のOA機器機器において、本OA機器の本体と、前記本体とは別体であるサブ筐体と、前記サブ筐体に格納された前記アプライアンス手段と、を含むことを特徴とするOA機器である。 (6) Sub housing (sub unit type)
The present invention provides the OA equipment device according to any one of the above (1) to (2), wherein the main body of the OA equipment, a sub-housing separate from the main body, and the sub-housing And the stored appliance means.
 (7)  コンピューターラック型
 本発明は、上記(3)又は(4)に記載のOA機器において、前記トレー型筐体は、コンピューターラック型オープンシャシー、を備えていることを特徴とするOA機器である。 (7) Computer rack type The present invention is the OA device according to the above (3) or (4), wherein the tray type casing includes a computer rack type open chassis. is there.
 (8)  コンピューターラック型
 本発明は、上記(5)に記載のOA機器において、前記バックパック型筐体は、コンピューターラック型オープンシャシー、を備えていることを特徴とするOA機器である。 (8) Computer rack type | mold This invention is OA apparatus as described in said (5), The said backpack type | mold housing | casing is provided with the computer rack type | mold open chassis.
 (9)  コンピューターラック型
 本発明は、上記(6)記載のOA機器において、前記サブ筐体は、コンピューターラック型オープンシャシー、を備えていることを特徴とするOA機器である。 (9) Computer rack type The present invention is the OA device according to the above (6), wherein the sub casing includes a computer rack type open chassis.
 (10)
 本発明は、上記(1)~(9)のいずれか1項に記載のOA機器において、前記OA機器は、複写機、複合機、FAX装置、プリンタ、パーソナルコンピュータ、電話関連装置装置、NAS、のいずれかの機器であることを特徴とするOA機器である。 (10)
The present invention provides the OA device according to any one of the above (1) to (9), wherein the OA device is a copier, a multifunction peripheral, a FAX device, a printer, a personal computer, a telephone related device, a NAS, An OA device characterized by being any one of the devices.
 (11)
 上記(10)記載のOA機器において、前記電話関連装置は、PBX、キーテレホン、のいずれかの機器であることを特徴とするOA機器である。 (11)
In the OA device described in (10) above, the telephone-related device is an OA device characterized in that it is one of a PBX and a key telephone.
 (12) 
 本発明は、上記(1)に記載のOA機器を含む情報システムに対して、運用管理センターが前記情報システムの監視を行うことによって、セキュリティサービスを前記情報システムに対して提供する方法において、前記運用管理センターが、前記アプライアンス手段に対して、問い合わせを行うステップと、前記アプライアンス手段が、前記問い合わせに対して、セキュリティの情報を返送するステップと、を含み、前記アプライアンス手段は、前記OA機器に合わせてあらかじめ構築されたセキュリティのためのベースソフトウェアがインストールされており、前記ベースソフトウェアがインストールされた前記アプライアンス手段が前記UTM等のセキュリティ装置を含むゲートウェイを実現していることを特徴とするセキュリティサービスを提供する方法である。 (12)
The present invention provides a method of providing a security service to the information system by an operation management center monitoring the information system including the OA device described in (1) above. The operation management center includes a step of making an inquiry to the appliance means, and the appliance means returns security information to the inquiry, and the appliance means sends the security information to the OA device. In addition, security base software constructed in advance is installed, and the appliance means in which the base software is installed realizes a gateway including a security device such as the UTM. It is a method of providing a scan.
 (13)
 本発明は、上記(2)記載のOA機器を含む情報システムに対して、運用管理センターが前記情報システムの監視を行うことによって、セキュリティサービスを前記情報システムに対して提供する方法において、前記運用管理センターが、前記アプライアンス手段に対して、問い合わせを行うステップと、前記アプライアンス手段が、前記問い合わせに対して、前記周囲のWi-fiアクセスポイントに関する情報を返送するステップと、を含み、前記アプライアンス手段は、前記OA機器に合わせてあらかじめ構築されたセキュリティのためのWi-fiセキュリティソフトウェアがインストールされており、前記Wi-fiセキュリティソフトウェアがインストールされた前記アプライアンス手段が、前記Wi-fiアクセスポイントを検出する手段、を実現していることを特徴とするセキュリティサービスを提供する方法である。 (13)
The present invention provides a method for providing a security service to the information system by an operation management center monitoring the information system including the OA device described in (2). A management center making an inquiry to the appliance means; and the appliance means returning information about the surrounding Wi-fi access point to the inquiry, the appliance means comprising: Is installed with Wi-fi security software for security built in advance for the OA device, and the appliance means with the Wi-fi security software installed detects the Wi-fi access point. Has realized the means to It is a method for providing a security service, wherein.
 (14) UTM
 本発明は、上記(1)に記載のOA機器を含む情報システムに対して、運用管理センターが前記情報システムの監視を行うことによって、セキュリティサービスを前記情報システムに対して提供する方法において、前記アプライアンス手段が、セキュリティに関する情報であるセキュリティ情報を前記運用管理センターに送信するステップと、前記運用管理センターが、前記送信されてきたセキュリティ情報を受信するステップと、を含むことを特徴とするセキュリティサービスを提供する方法である。 (14) UTM
The present invention provides a method of providing a security service to the information system by an operation management center monitoring the information system including the OA device described in (1) above. A security service comprising: a step in which appliance means transmits security information, which is information relating to security, to the operation management center; and a step in which the operation management center receives the transmitted security information. Is a way to provide
 (15)  Wi-fi
 本発明は、上記(2)記載のOA機器を含む情報システムに対して、運用管理センターが前記情報システムの監視を行うことによって、セキュリティサービスを前記情報システムに対して提供する方法において、前記アプライアンス手段が、前記周囲のWi-fiアクセスポイントに関する情報を運用管理センターに送信するステップと、前記運用管理センターが、前記送信されてきたWi-fiアクセスポイントに関する情報を受信するステップと、を含むことを特徴とするセキュリティサービスを提供する方法である。 (15) Wi-fi
The present invention provides a method of providing a security service to the information system by an operation management center monitoring the information system with respect to the information system including the OA device described in (2). Means for transmitting information relating to the surrounding Wi-fi access point to an operation management center; and wherein the operation management center receiving the transmitted information relating to the Wi-fi access point. Is a method for providing a security service.
 (16)
 本発明は、上記(12)~(15)のいずれか1項記載のセキュリティサービスの提供方法において、前記運用管理センターは、前記OA機器の構成、及び、前記あらかじめ構築されたセキュリティのためのソフトウェアの内容、に基づいて、あらかじめ設定されているベースサービスである、前記情報システムの監視、動作状況の分析、障害に対する対処、を提供することを特徴とするセキュリティサービスを提供する方法である。 (16)
The present invention provides the security service providing method according to any one of the above (12) to (15), wherein the operation management center includes the configuration of the OA device and the software for security built in advance. Is a base service that is set in advance based on the content of the information system, and provides the security service characterized by providing the monitoring of the information system, the analysis of the operation status, and the countermeasure against the failure.
 (17) 追加パッケージ ソフトウェア
 本発明は、上記(12)~(15)のいずれか1項に記載のセキュリティサービスを提供する方法において、前記ベースソフトウェア及び前記ベースサービスからなるベースパッケージに加えて、本セキュリティサービスを受ける利用者が追加パッケージを要望した場合、その追加パッケージに含まれる、あらかじめ構築されたセキュリティのための追加ソフトウェアを、前記アプライアンス手段にインストールするステップと、前記アプライアンス手段が、前記追加ソフトウェアによって検査されるセキュリティに関する情報を、運用管理センターに送信するステップと、前記運用管理センターが、前記送信されてきた前記セキュリティに関する情報を、受信するステップと、を含むことを特徴とするセキュリティサービスを提供する方法である。 (17) Additional package software The present invention provides the security service providing method according to any one of (12) to (15), in addition to the base package including the base software and the base service. When a user who receives a security service requests an additional package, a step of installing additional software for pre-built security included in the additional package in the appliance means; and the appliance means includes the additional software. Transmitting the security-related information to be checked by the operation management center, and the operation management center receiving the transmitted security-related information. It is a method to provide security services.
 (18) 追加パッケージ アプライアンス
 本発明は、上記(12)~(15)のいずれか1項に記載のセキュリティサービスを提供する方法において、前記ベースソフトウェア及び前記ベースサービスからなるベースパッケージに加えて、本セキュリティサービスを受ける利用者が追加パッケージを要望した場合、その追加パッケージに含まれる、追加アプライアンスを、前記アプライアンス手段に付加するステップと、前記アプライアンス手段が、前記追加アプライアンスによって検査されるセキュリティに関する情報を、運用管理センターに送信するステップと、前記運用管理センターが、前記送信されてきた前記セキュリティに関する情報を、受信するステップと、を含むことを特徴とするセキュリティサービスを提供する方法である。 (18) Additional Package Appliance The present invention provides the security service providing method according to any one of (12) to (15) above, in addition to the base package including the base software and the base service. When a user who receives a security service requests an additional package, the step of adding an additional appliance included in the additional package to the appliance means, and the appliance means includes information on security checked by the additional appliance. A method of providing a security service, comprising: a step of transmitting to the operation management center; and a step of the operation management center receiving the transmitted information relating to the security.
 (19) 追加パッケージ ソフト
 本発明は、上記(17)記載のセキュリティサービスを提供する方法において、前記運用管理センターは、前記追加パッケージに含まれる追加サービスであって、前記ソフトウェアに合わせてあらかじめ設定されている追加サービスを提供することを特徴とするセキュリティサービスを提供する方法である。 (19) Additional package software The present invention is the method for providing a security service according to (17) above, wherein the operation management center is an additional service included in the additional package, and is preset according to the software. Providing a security service characterized by providing an additional service.
 (20) 追加パッケージ アプライアンス
 本発明は、上記(18)記載のセキュリティサービスを提供する方法において、前記運用管理センターは、前記追加パッケージに含まれる追加サービスであって、前記追加アプライアンスに合わせてあらかじめ設定されている追加サービスを提供することを特徴とするセキュリティサービスを提供する方法である。 (20) Additional package appliance The present invention is the method for providing a security service according to (18), wherein the operation management center is an additional service included in the additional package, and is set in advance according to the additional appliance. A method for providing a security service characterized by providing an additional service.
 以上述べたように、本発明によれば、情報システムのセンターとなるファイアーウォール等を備えたオフィス情報機器を提供したので、所定の企業・団体に対してその情報システムのセンターとすることができる。 As described above, according to the present invention, since the office information device provided with the firewall or the like serving as the center of the information system is provided, it can be used as the center of the information system for a predetermined company / organization. .
 また、本発明によれば、上記オフィス情報機器の構成に基づきパッケージ化されたサービスによってMSSを提供するので、利用者にとってよりわかりやすいMSSのサービスを提供することがでる。同様にパッケージ化によって、より迅速にサービスの提供を受けることができる。 In addition, according to the present invention, since the MSS is provided by a packaged service based on the configuration of the office information device, it is possible to provide an MSS service that is easier for the user to understand. Similarly, it is possible to receive services more quickly by packaging.
本実施の形態にかかるMFPの外観図である(トレー型)。1 is an external view of an MFP according to the present embodiment (tray type). FIG. 本実施の形態にかかるFW/UTMセキュリティアプライアンスを備えたトレー型筐体の外観図である。It is an external view of the tray type | mold housing | casing provided with the FW / UTM security appliance concerning this Embodiment. 本実施の形態にかかるMFPの外観図である(バックパック型)。1 is an external view of an MFP according to the present embodiment (backpack type). FIG. 本実施の形態にかかるMFPの外観図である(サブユニット型)。1 is an external view of an MFP according to an embodiment (subunit type). FIG. 本実施の形態にかかるMFPを利用した場合のMSSのサービスの提供の概念図である。It is a conceptual diagram of provision of the service of MSS at the time of using MFP concerning this Embodiment. セキュリティ管理者がいない場合の、設置(Plan)、運用(Do)、分析(Check)、改善(Act)のサイクルでマネージメントセキュリティサービスを提供する一般的なセキュリティサービスの様子を示す概念図である。It is a conceptual diagram which shows the mode of the general security service which provides a management security service in the cycle of installation (Plan), operation (Do), analysis (Check), and improvement (Act) when there is no security administrator. MSSの動作概要、すなわち、運用管理センターから、利用者側情報システムである利用者側ネットワークの監視を行う仕組みを表す模式図である。It is a schematic diagram showing the operation | movement outline | summary of MSS, ie, the mechanism which monitors the user side network which is a user side information system from the operation management center.
 以下、本発明の好適な実施の形態を図面に基づき説明する。 Hereinafter, preferred embodiments of the present invention will be described with reference to the drawings.
 第1章 複合機(MFP)
 本実施の形態1では、まずセキュリティ機能を向上させた複合機(MFPと称する)200を提案する。 Chapter 1 MFPs
In the first embodiment, first, a multifunction peripheral (referred to as MFP) 200 with an improved security function is proposed.
 MFP(複合機)とは、上で述べたように、従来の複写機に、FAXやスキャナー、プリンター等の機能を付加したものであり、現在、中小企業から大企業まで広く用いられている。近年、いっそう多機能化が進展しており、通信機能を備えたものも多く提案されており、インターネットとの接続も広く実現され、メールの送信受信やwebへの接続も可能に構成されている。 As described above, an MFP (MFP) is a conventional copier with functions such as a FAX, a scanner, and a printer, and is currently widely used from small and medium businesses to large enterprises. In recent years, more and more functions have been developed, and many devices with communication functions have been proposed. Connection to the Internet is widely realized, and it is possible to send and receive mail and connect to the web. .
 特に、本実施の形態で対象と考えているのは、IT管理者もセキュリティ運用管理者も存在しない企業・団体や、IT管理者(又はセキュリティ運用管理者)が存在しても24時間常駐していない企業・団体を対象にしている。 In particular, what is considered as a target in this embodiment is that even if there is a company / organization that does not have an IT administrator or a security operation manager, or an IT administrator (or a security operation manager), it remains resident for 24 hours. Targeting companies and organizations that have not.
 IT管理者が不在の企業・団体のためのインフラセンターとするために、既存の従来のMFPの機能に加えて、インターネットセキュリティ機能を備えさせている。このインターネットセキュリティ機能は、クラウドセキュリティやモバイルセキュリティを含むものである。 In order to become an infrastructure center for companies and organizations where IT managers are absent, Internet security functions are provided in addition to existing conventional MFP functions. This Internet security function includes cloud security and mobile security.
 1-1:FW/UTMセキュリティアプライアンス
 特に、本実施の形態で提案するMFP200は、用紙トレーが入る棚の一部に、用紙トレーの代わりに、用紙トレーと同様の形状のトレー型筐体202aに納められたFW/UTMセキュリティアプライアンス202が備えられていることを特徴とする。このトレー型筐体202aを備えたMFP200の外観図が図1に示されている。 1-1: FW / UTM Security Appliance In particular, the MFP 200 proposed in the present embodiment has a tray-type housing 202a having the same shape as the paper tray instead of the paper tray, instead of the paper tray. A contained FW / UTM security appliance 202 is provided. FIG. 1 shows an external view of the MFP 200 provided with the tray-type housing 202a.
 (1)トレー型筐体
 また、FW/UTMセキュリティアプライアンス202を備えたトレー型筐体202aの外観図が図2に示されている。図2に示すように、トレー型筐体202aは、1Uラック型オープンシャシー202a-1と、フロントベゼル202a-2と、から構成されている。 (1) Tray-type casing An external view of a tray-type casing 202a provided with the FW / UTM security appliance 202 is shown in FIG. As shown in FIG. 2, the tray-type housing 202a includes a 1U rack-type open chassis 202a-1 and a front bezel 202a-2.
 フロントベゼル202a-2は、MFPトレー型とバックパック型、サブユニット型があるが、図2中ではMFPトレー型が示されている。バックパック型やサブユニット型については後述する。図2のMFPトレー型は、MFP200の用紙トレーと同型の外観のフロントベゼルであり、このフロントベゼル202a-2によって用紙トレーと同様に、MFP200に取り付けることが可能である。 
 なお、後述するように、MFPトレー型は、用紙トレーと同形であるが、ほぼ同様の大きさであれば、「用紙」のトレーである必要はない。後の「0070」で詳述する
 そしてフロントベゼル202a-2の裏側に(図2参照)FW/UTMセキュリティアプライアンス202が設置されている。 The front bezel 202a-2 includes an MFP tray type, a backpack type, and a subunit type. In FIG. 2, the MFP tray type is shown. The backpack type and subunit type will be described later. 2 is a front bezel having the same appearance as the paper tray of the MFP 200, and can be attached to the MFP 200 by the front bezel 202a-2 in the same manner as the paper tray.
As will be described later, the MFP tray type has the same shape as the paper tray, but it does not have to be a “paper” tray as long as it is approximately the same size. The FW / UTM security appliance 202 is installed behind the front bezel 202a-2 (see FIG. 2).
 このように、本実施の形態においては、FW/UTMセキュリティアプライアンス202が、用紙トレー型の筐体202aに格納されているので、これをMFP用紙トレーと同様に、MFP200に容易に装着することができるものである。このような構成によって、既存のMFPに、容易にインターネットセキュリティ機能を備えさせることができる。 Thus, in this embodiment, since the FW / UTM security appliance 202 is stored in the paper tray type casing 202a, it can be easily attached to the MFP 200 like the MFP paper tray. It can be done. With such a configuration, an existing MFP can be easily provided with an Internet security function.
 なお、図2では、用紙トレーと同形を採用してFW/UTMセキュリティアプライアンス202を設置したが、必ずしも「用紙」トレーではなく、用紙以外の他の汎用的なトレーにFW/UTMセキュリティアプライアンス202を設置することも好ましい。また、トレーである必要もなく、用紙トレーとほぼ同様の大きさや形状であればよい。 In FIG. 2, the FW / UTM security appliance 202 is installed in the same shape as the paper tray. However, the FW / UTM security appliance 202 is not necessarily a “paper” tray but a general-purpose tray other than paper. Installation is also preferable. Further, it is not necessary to be a tray, and it is sufficient if it has almost the same size and shape as the paper tray.
 また、1個又は複数の用紙トレーを備えたMFPに対して、その既存の用紙トレーをFW/UTMセキュリティアプライアンス202に置き換えるのではなく、追加で、用紙トレーとほぼ同様の大きさのトレー状のFW/UTMセキュリティアプライアンス202を追加・増設することも好ましい。 Also, instead of replacing the existing paper tray with the FW / UTM security appliance 202 for an MFP having one or more paper trays, an additional tray-like size of the paper tray is added. It is also preferable to add / add FW / UTM security appliance 202.
 また、トレー型筐体202aの裏側(フロントベゼル202a-2とは反対側)には、ユーティリティモジュール202a-3が設けられており、各種装置が格納されている(図2参照)。 Also, a utility module 202a-3 is provided on the back side of the tray-type casing 202a (the side opposite to the front bezel 202a-2), and various devices are stored (see FIG. 2).
 (2)1Uラック型オープンシャシー
 このトレー型筐体202aを構成するフレーム部分である1Uラック型オープンシャシー202a-1は、いわゆる1Uの大きさの機器を搭載可能なコンピューターラックの形状のシャシーであり、その結果、いわゆる1U機器の大きさまでの機器を格納(マウント)可能である。すなわち、本実施の形態に係るトレー型筐体202aは、1Uまでの大きさのFW/UTMセキュリティアプライアンス202を格納(マウント)可能である。1Uまでの大きさであれば、他の機器を格納(マウント)することも可能である。例えば、1Uのサイズのハードディスクや、Wi-fiに関する装置等を格納することも可能である。 (2) 1U rack type open chassis The 1U rack type open chassis 202a-1 which is a frame portion constituting the tray type casing 202a is a chassis of a computer rack shape capable of mounting a so-called 1U size device. As a result, it is possible to store (mount) a device up to the size of a so-called 1U device. That is, the tray-type housing 202a according to the present embodiment can store (mount) the FW / UTM security appliance 202 having a size up to 1U. If the size is up to 1U, other devices can be stored (mounted). For example, it is also possible to store a 1U size hard disk, a device related to Wi-fi, or the like.
 このような1Uラック型オープンシャシー202a-1を利用してトレー型筐体202aを構成したので、従来から存在する1U型の機器を設置しやすくなるというメリットがある。従来から1Uのサイズのセキュリティ関連機器は多く利用されているので、それらをモディファイしてFW/UTMセキュリティアプライアンス202を構成することも可能であり、より簡便にMFP200を構成することが可能である。 Since the tray type casing 202a is configured by using such a 1U rack type open chassis 202a-1, there is an advantage that it is easy to install the existing 1U type equipment. Conventionally, since 1U-sized security-related devices are often used, it is possible to configure the FW / UTM security appliance 202 by modifying them, and the MFP 200 can be configured more simply.
 また、1Uラック型オープンシャシー202a-1は、請求の範囲のコンピューターラック型オープンシャシーの好適な一例に相当する。また、この1Uラック型オープンシャシー202a-1は後述するバックパック型でも同様に採用されている。 The 1U rack type open chassis 202a-1 corresponds to a preferred example of the computer rack type open chassis in the claims. The 1U rack type open chassis 202a-1 is also used in the backpack type described later.
 (3)FW/UTMセキュリティアプライアンスの機能
 FW/UTMセキュリティアプライアンス202は、文字通り、ファイアーウォールを含むUTM機能を備えた装置である。UTM(Unified Threat management:統合脅威管理)は、ファイアーウォールとVPN機能とをベースに、アンチウィルス、不正侵入防御(IDS、IPS)、Webコンテンツフィルタリング(単にWebフィルタリングとも呼ぶ)、アンチスパム、等の機能を備えた複合的なセキュリティ機能である。これらの機能をセキュリティアプライアンスとしてゲートウェイに組み込んだものがFW/UTMセキュリティアプライアンス202である。 (3) Function of FW / UTM security appliance The FW / UTM security appliance 202 is literally a device having a UTM function including a firewall. UTM (Unified Threat Management) is based on firewall and VPN functions, such as anti-virus, intrusion prevention (IDS, IPS), Web content filtering (also simply called Web filtering), anti-spam, etc. It is a complex security function with functions. The FW / UTM security appliance 202 incorporates these functions as a security appliance in the gateway.
 (アプライアンスとは、機能をある特定の目的に特化したコンピュータ等の機器をいう。ここでは、セキュリティ機能に特化したコンピュータを表す。)
 また、FW/UTMセキュリティアプライアンス202は、利用者である中小企業等の情報システムのセンターとなることを念頭に置かれているので、基本的にルーターの機能を備えており、さらに、上述のようにファイアーウォールが備えられている。 (Appliance means a device such as a computer whose function is specialized for a specific purpose. Here, it represents a computer specialized in a security function.)
In addition, since the FW / UTM security appliance 202 is intended to be a center of information systems for users such as SMEs, it basically has a router function, and further, as described above. Is equipped with a firewall.
 本FW/UTMセキュリティアプライアンス202は、ファイアーウォールを含むUTM機能を備えた装置である。 The FW / UTM security appliance 202 is a device having a UTM function including a firewall.
 UTMの機能としてどのような機能を含めるかはケースバイケースであり、様々である。例えば、このUTMの中に、アンチスパム機能が入っている場合は、その機能によって不正メール(ブラックリスト等に掲載され受信拒否等されたメール)、スパムメール等の不正な行為等が、内部の記憶手段に記憶される。この記憶される不正メールやスパムメール等の情報は、代表的なセキュリティ情報である。このように、セキュリティに関する情報、各種脅威や、不正行為情報(不正メールやスパムメールに関する情報)一般をセキュリティ情報と呼ぶ。そして、外部からの要求(管理者の操作等)によって適宜そのようなセキュリティ情報を見ることが可能である場合もある。 What functions are included as UTM functions is case by case and varies. For example, if there is an anti-spam function in this UTM, illegal functions such as unauthorized mail ( emails posted on the blacklist etc. that have been rejected) , spam mail, etc. Stored in the storage means. The stored information such as illegal mail and spam mail is typical security information. Information on security, various threats, and fraudulent information (information on fraudulent mail and spam mail) in general are called security information. In some cases, it is possible to view such security information as required by an external request (such as an operation by an administrator).
 このUTMは、請求の範囲のセキュリティ装置の好適な一例に相当する。 This UTM corresponds to a preferred example of the security device in the claims.
 このような装置によって、情報システムのセキュリティを達成することが可能である。なお、記憶手段に記憶されたセキュリティ情報は、いわゆる「ログ」と呼ばれることもある。 
 また、外部からの要求だけでなく、重度の障害やエラー、不正アクセス等が発生した場合においては、自発的に警告を発することもある。管理者に報告するメールや、危険を示すランプを点灯させることも好適である。 
 特に、本実施の形態において特徴的なことは、ネットワーク等を介して外部(例えば運用管理センター10)から問い合わせがあった場合に、それに応じて、セキュリティ情報を外部に提供する機能を備えていることである。また、セキュリティ情報には、上記ファイアーウォールで検出された各種脅威の他、UTMの様々な機能で検出された各種脅威が含まれている。これらが上述した表に内部にログとして記憶されており、外部(運用管理センター10)からの要求に応じてそれらの情報を提供する。 With such a device, it is possible to achieve security of the information system. Note that the security information stored in the storage means may be referred to as a so-called “log”.
In addition to a request from the outside, a warning may be issued spontaneously when a serious failure, error, unauthorized access, or the like occurs. It is also preferable to turn on an email to report to the administrator or a lamp indicating danger.
In particular, the present embodiment is characterized by a function of providing security information to the outside in response to an inquiry from the outside (for example, the operation management center 10) via a network or the like. That is. The security information includes various threats detected by various functions of the UTM in addition to the various threats detected by the firewall. These are stored as logs in the table described above, and the information is provided in response to a request from the outside (operation management center 10).
 また、外部(運用管理センター10)からの要求だけでなく、重度の障害やエラー、不正アクセス等が発生した場合においては、自発的に警告を発することもある。また、定期的にセキュリティ情報をネットワークを介して外部(運用管理センター10)に送信することも好適である。ある条件が検出された場合に。メールを外部に送信する仕組みや、HTMLベースでデータを更新する仕組み、等が従来から知られているので、そのような手段を用いれば、自動的に外部(運用管理センター10)に警告や情報を発信することが可能である。 Also, not only a request from the outside (operation management center 10) but also a warning may be issued spontaneously when a serious failure, error, unauthorized access, etc. occurs. It is also preferable to periodically send security information to the outside (operation management center 10) via a network. When a certain condition is detected. Since a mechanism for sending an email to the outside, a mechanism for updating data on an HTML basis, and the like have been known, warnings and information are automatically sent to the outside (operation management center 10) using such means. Can be transmitted.
 このような機能を備えているので、後述するように、例えば外部の運用管理センター10から定期的又は随時(不定期的)にその情報システムのセキュリティ情報を監視することが可能となる。 Since such a function is provided, as will be described later, it is possible to monitor the security information of the information system, for example, from the external operation management center 10 periodically or at any time (irregularly).
 (3-2)FWセキュリティアプライアンス
 上述した例では、FW/UTMセキュリティアプライアンス202を用いて、統合的なセキュリティを達成することができるが、小規模な企業や団体においては、UTM(統合脅威管理)ほど高度なセキュリティを必要としない場合もある。そのような小規模な企業や団体に対しては、UTMの機能を外した、ファイアーウォールとVPNの機能だけでも、かなりの安全性を実現することができる場合もある。そのよう小規模な企業や団体のために、FW/UTMセキュリティアプライアンス202から、FW以外のUTM機能をOFFにしてもよい。 (3-2) FW Security Appliance In the above example, integrated security can be achieved by using the FW / UTM security appliance 202. However, in a small company or organization, UTM (Unified Threat Management) Sometimes it doesn't require as much security. For such a small company or organization, considerable security may be achieved with only the firewall and VPN functions without the UTM function. For such a small company or organization, UTM functions other than FW may be turned off from the FW / UTM security appliance 202.
 (削除)
 (4)ユーティリティモジュール
 ユーティリティモジュール202a-3は、ネットワークとの接続機能その他の機能を司るモジュールであり、例えば、以下の機能を備えている(図2参照)。 (Delete)
(4) Utility Module The utility module 202a-3 is a module that manages the network connection function and other functions, and has, for example, the following functions (see FIG. 2).
 ・ネットワークのブリッジとハブ装置
 ・冷却ファン
 ・アプライアンス用ACコンセント
 ・Wi-fiセキュリティモジュール(オプション)
 ここで挙げた機能は例示であり、これらの機能を全て含むとは限らない。また、本実施の形態で説明する形態以外の形態をとる場合もある。また、オプションとしてWi-fiセキュリティモジュールのみを別体(別の筐体)に構成することもありえるし、同一の筐体に備えさせることもある。 -Network bridge and hub device-Cooling fan-AC outlet for appliance-Wi-fi security module (optional)
The functions listed here are examples and do not necessarily include all these functions. In addition, there may be a form other than the form described in the present embodiment. In addition, as an option, only the Wi-fi security module may be configured separately (separate housing) or may be provided in the same housing.
 また、有線接続のためのハブを備えている。このハブの上流ポートは、図2に示す例では、筐体内部に向いており、FW/UTMセキュリティアプライアンス202と接続されている。FW/UTMセキュリティアプライアンス202から出ているLANポートは一般に少ないので、ハブによってより多くのポートに変換する。この増やされた下流ポートは、図2には示されていないが、筐体の外部に向かって設けられており、他のクライアントPCやその企業・団体の情報システムの他の機器に接続することも可能である。この結果、本実施の形態のMFP200は、その企業や団体の情報システムのセンターとしての役割を果たすことができる。 Also equipped with a hub for wired connection. In the example shown in FIG. 2, the upstream port of this hub faces the inside of the casing and is connected to the FW / UTM security appliance 202. Since there are generally few LAN ports out of the FW / UTM security appliance 202, the hub converts them to more ports. Although this increased downstream port is not shown in FIG. 2, it is provided toward the outside of the housing and is connected to other client PCs and other devices of the information system of the company / organization. Is also possible. As a result, the MFP 200 according to the present embodiment can serve as the center of the information system of the company or organization.
 冷却ファン(図2参照)は、ユーティリティモジュール202a-3、及び、FW/UTMセキュリティアプライアンス202を冷却するためのファンである。 The cooling fan (see FIG. 2) is a fan for cooling the utility module 202a-3 and the FW / UTM security appliance 202.
 アプライアンス用ACコンセントは、FW/UTMセキュリティアプライアンス202に電力を供給するコンセントであるが、他の機器に電力を供給することも好適である。 The AC outlet for appliance is an outlet for supplying power to the FW / UTM security appliance 202, but it is also preferable to supply power to other devices.
 また、周囲に存在する、無線LANのアクセスポイントを検出する手段(Wi-fiセキュリティモジュール)が設けられている(但し、オプションである)。このような手段を設けておくことによって、周囲のアクセスポイントの有無を確認することができる。なお、Wi-fiセキュリティモジュールは、その名の通り、Wi-fiアクセスポイントを検出する手段であるが、様々な規格の各種無線LANのアクセスポイントを検出可能な手段であり、そのような手段が従来から知られている。このような検出する手段を利用したMSSに関しては後に詳述する。 In addition, means (Wi-fi security module) for detecting a wireless LAN access point existing in the vicinity is provided (optional) . By providing such means, it is possible to confirm the presence or absence of surrounding access points. As the name suggests, the Wi-fi security module is a means for detecting a Wi-fi access point, but it is a means for detecting various wireless LAN access points of various standards. Conventionally known. The MSS using such detection means will be described in detail later.
 なお、無線LANのいわゆるアクセスポイントの機能(手段)は、ユーティリティモジュール202a-3には設けることもできるが、基本的には設けられていない。近年、小型で安価のアクセスポイントが広く普及・活用されており、利用者のシステムにすでに設けられている場合が非常に多いためである。しかしながら、設けられるケースもある。 The function (means) of the so-called access point of the wireless LAN can be provided in the utility module 202a-3, but is not provided basically. This is because in recent years, small and inexpensive access points have been widely spread and utilized, and there are very many cases where they are already provided in user systems. However, there are cases where it is provided.
 また、USB等のインターフェースを介して、この部分に無線LANのアクセスポイントの機能を外付けで設ける等の処置を行ってもかまわない。 In addition, a wireless LAN access point function may be provided externally in this part via an interface such as USB.
 さて、本実施の形態では、ユーティリティモジュール202a-3に、
 ・ネットワークのブリッジとハブ装置
 ・冷却ファン
 ・アプライアンス用ACコンセント
 ・Wi-fiセキュリティモジュール
の手段・機能が備えられている例を説明したが、実際には利用者の要求によって、必要な手段のみが設けられることになる。利用者によっては、すでにハブ装置は十分にある場合もあり、また、ハードウェアの消費電力次第では、冷却ファンも不要な場合もある。もちろん、ACコンセント等もすでに利用者側の情報システムに十分な数があれば、省くことも好適である。 In this embodiment, the utility module 202a-3 includes
-Network bridge and hub device-Cooling fan-AC outlet for appliance-Wi-fi security module means / examples provided, but in reality, only necessary means are provided according to user requirements Will be provided. Depending on the user, there may already be sufficient hub devices, and depending on the power consumption of the hardware, there may be no need for a cooling fan. Of course, it is also preferable to omit AC outlets if there are already enough information systems on the user side.
 また、Wi-fiセキュリティモジュールは、原則としてオプションであるが、場合によっては単体で利用すること(Wi-fiセキュリティモジュールのみを含む)もあり得るし、そのような場合も本特許の権利範囲に含まれる。 In addition, the Wi-fi security module is an option in principle, but in some cases, it can be used alone (including only the Wi-fi security module), and such a case is also within the scope of this patent. included.
 効果その他
 本実施の形態におけるMFP200は、以上のような構成によって、その企業・団体の情報システムのセンターとなることが可能である。 Effects Others The MFP 200 according to the present embodiment can serve as the center of the information system of the company / organization by the above configuration.
 特に、本実施の形態のMFP200は、トレー型筐体202aを用いて、このトレー型筐体202a中にFW/UTMセキュリティアプライアンス202を格納している。したがって、このトレー型筐体202aをMFP200の用紙トレーに格納することにより、場所をとることなく、情報システムのセキュリティを確保することが可能である。 In particular, the MFP 200 according to the present embodiment uses a tray-type casing 202a and stores the FW / UTM security appliance 202 in the tray-type casing 202a. Therefore, by storing this tray type casing 202a in the paper tray of the MFP 200, it is possible to ensure the security of the information system without taking up space.
 MFP200の他の態様(トレー型、バックパック型、サブユニット型)
 上述した例では、用紙トレーの形状をしたトレー型筐体202aを利用する例や、「用紙」用ではない棚状の筐体を利用する例を説明した。 Other aspects of MFP 200 (tray type, backpack type, subunit type)
In the above-described example, an example in which the tray-type casing 202a having the shape of a paper tray is used, or an example in which a shelf-like casing that is not for “paper” is used has been described.
 用紙トレーの形状の筐体を利用すれば、MFP200の用紙トレーの棚にFW/UTMセキュリティアプライアンス202を備えさせることができ、棚状の筐体を利用すれば、MFPの用紙トレー部分に、棚状の筐体を隣接させて設けることが可能である。 If a paper tray-shaped housing is used, the FW / UTM security appliance 202 can be provided on the paper tray shelf of the MFP 200, and if the shelf-shaped housing is used, the shelf can be placed on the paper tray portion of the MFP. Can be provided adjacent to each other.
 したがって、情報セキュリティのために別途セキュリティアライアンス等のコンピュータを設置する必要がなく、中小規模の企業にとってオフィススペースの節約になる。上述したユーティリティモジュール202a-3を備えているので、その企業・団体の他のコンピュータをこのMFP200のハブ装置等に接続して運用することが可能である。同様に、無線LANのルーター等の機能を備えているので、無線で他のクライアントコンピュータを接続することができる。 Therefore, it is not necessary to install a separate security alliance computer for information security, which saves office space for small and medium-sized companies. Since the utility module 202a-3 described above is provided, other computers of the company / organization can be connected to the hub device of the MFP 200 for operation. Similarly, since it has functions such as a wireless LAN router, other client computers can be connected wirelessly.
 ・バックパック型
 一方、このFW/UTMセキュリティアプライアンス202は、MFP200の背面に設置しておくことも好適である。上述したように、本実施の形態に係るFW/UTMセキュリティアプライアンス202は1Uのサイズであるので、MFP200の背面に設けてもMFP200の奥行きはそれほど増えないからである。 Backpack Type On the other hand, it is also preferable to install the FW / UTM security appliance 202 on the back surface of the MFP 200. As described above, since the FW / UTM security appliance 202 according to the present embodiment has a size of 1 U, the depth of the MFP 200 does not increase so much even if it is provided on the back surface of the MFP 200.
 図3には、このような考えに基づき、FW/UTMセキュリティアプライアンス202をバックパック型筐体に格納して、MFP200の背面に設けた例が示されている。 トレー型の場合は、フロントベゼル202a-2が、用紙トレーの前面とほぼ同形状に形成されており、まさに用紙トレーと同様にMFP200に取り付けられていたが、バックパック型筐体の場合は、用紙トレーではなく、フロントベゼル202a-2は通常の箱形の電子機器の前面操作部としての形状をなしており、かつ、MFP200の背面に取り付けやすい形状をしている。このようなバックパック型筐体を図3では特に、バックパック型筐体202bと呼ぶが、形状が異なるだけであり、1Uシャシーを備える点等の内容的・機能的には、トレー型筐体202aと同様である。 FIG. 3 shows an example in which the FW / UTM security appliance 202 is stored in a backpack-type casing and provided on the back surface of the MFP 200 based on such a concept. In the case of the tray type, the front bezel 202a-2 is formed in substantially the same shape as the front surface of the paper tray and is attached to the MFP 200 just like the paper tray. The front bezel 202a-2, not the paper tray, has a shape as a front operation unit of a normal box-shaped electronic device, and has a shape that can be easily attached to the rear surface of the MFP 200. Such a backpack type casing is particularly called a backpack type casing 202b in FIG. 3, but it has a different shape and has a 1U chassis in terms of contents and functions. It is the same as 202a.
 図3に示されている例では、バックパック型筐体202bに、FW/UTMセキュリティアプライアンス202を格納して、MFP200の背面に設置している。背面に設けることによって、機器の背面にケーブルを沿わせることが容易となる。したがって、バックパック型筐体202bを利用する場合は、背面に沿わせたケーブルで他の機器との間の接続を行うことが好適である。 In the example shown in FIG. 3, the FW / UTM security appliance 202 is stored in the backpack-type casing 202 b and installed on the back surface of the MFP 200. By providing it on the back, it becomes easy to run the cable along the back of the device. Therefore, when using the backpack-type housing 202b, it is preferable to perform connection with other devices using a cable along the back surface.
 ・サブユニット型
 また、このFW/UTMセキュリティアプライアンス202は、MFP200に隣接させて設置しておくことも好適である。上述したように、本実施の形態に係るFW/UTMセキュリティアプライアンス202は1Uのサイズであり、比較的小型の筐体(サブユニット型筐体と呼ぶ)に収納して、MFP200の隣に配置しても、大きな専有面積を必要としないと考えられる。 ・ Subunit type
  The FW / UTM security appliance 202 is preferably installed adjacent to the MFP 200. As described above, the FW / UTM security appliance 202 according to the present embodiment has a size of 1U, is housed in a relatively small housing (referred to as a subunit-type housing), and is arranged next to the MFP 200. However, it is considered that a large occupied area is not required.
 図4には、このような考えに基づき、FW/UTMセキュリティアプライアンス202をサブユニット型筐体202cに格納して、MFP200の背面に設けた例が示されている。この場合、フロントベゼル202a-2は通常の箱形の電子機器のフロント部分と同様である。一般的には、各種操作部が設けられることになるが、図4では省略して図示してはいない。このようなサブユニット型筐体202cは、形状が異なるだけであり、1Uシャシーを備える点等の内容的・機能的には、トレー型筐体202aと同様である。 FIG. 4 shows an example in which the FW / UTM security appliance 202 is stored in the subunit type casing 202c and provided on the back surface of the MFP 200 based on such a concept. In this case, the front bezel 202a-2 is the same as the front portion of a normal box-shaped electronic device. Generally, various operation units are provided, but are omitted from FIG. Such a subunit type casing 202c is only different in shape, and is similar to the tray type casing 202a in terms of contents and functions such as having a 1U chassis.
 なお、このサブユニット型筐体202cは、請求の範囲のサブ筐体の好適な一例に相当する。 Note that the subunit-type housing 202c corresponds to a preferred example of the sub-housing in the claims.
 図4に示されている例では、サブユニット型筐体202cに、FW/UTMセキュリティアプライアンス202を格納して、MFP200に隣接して設置している。サブユニット型筐体202cを利用する場合は、所定のケーブルで他のMFP200の間の接続を行うことが好適である。 
 いずれの場合も、FW/UTMセキュリティアプライアンス202は、Wi-fiセキュリティモジュール単体になる場合もある。 In the example shown in FIG. 4, the FW / UTM security appliance 202 is stored in the subunit type housing 202 c and is installed adjacent to the MFP 200. When using the subunit type housing 202c, it is preferable to connect between the other MFPs 200 with a predetermined cable.
In either case, the FW / UTM security appliance 202 may be a single Wi-fi security module.
 他のOA機器
 上述した例ではFW/UTMセキュリティアプライアンス202を備えたMFP200(複合機)を説明したが、複合機に限られず、いわゆる複写機(コピー機)であっても好適であり、また、複写機の他、プリンタ、FAX装置、パーソナルコンピュータ、PBXやキーテレホンなどの電話関連装置、NAS(Network Attached Storage)、でもよい。またオフィス内又はその近傍に設置されるいわゆるOA機器であれば、どのようなものでも利用することができる。 Other OA devices In the above-described example, the MFP 200 (multifunction device) provided with the FW / UTM security appliance 202 has been described. However, the present invention is not limited to the multifunction device, and a so-called copying machine (copier) is also suitable. In addition to the copying machine, a printer, a FAX apparatus, a personal computer, a telephone-related apparatus such as a PBX or a key telephone, and NAS (Network Attached Storage) may be used. Any so-called OA device installed in or near the office can be used.
 特に、用紙トレー等を挿入できる「棚」部分があっても良いし、無くても構わない。用紙トレーが収納できれば、用紙トレー型筐体202aを利用することができるが、用紙トレーがない場合でも、棚状の筐体を利用して、底面や上面に積み重ねる形で取り付けることが好ましい。 In particular, there may or may not be a “shelf” part into which a paper tray or the like can be inserted. If the paper tray can be stored, the paper tray-type housing 202a can be used. However, even when there is no paper tray, it is preferable to use a shelf-like housing and stack the paper tray on the bottom surface and the top surface.
 例えば、コピー機やFAX装置等のOA機器が特に好ましい機器の一例に相当するが、他のOA機器でも十分に利用可能である。 For example, an OA device such as a copier or a FAX apparatus corresponds to an example of a particularly preferable device, but other OA devices can be used sufficiently.
 請求の範囲のOA機器とは、このようにオフィス内又はその近傍に設置される各種のOA機器を含む概念である。 The claimed OA device is a concept including various OA devices installed in or near the office in this way.
 セキュリティサービス
 このようにMFP200を導入することによって、不正なアクセス等を検出することができ、その結果、情報セキュリティを達成することができる。 Security Service By introducing the MFP 200 in this way, unauthorized access or the like can be detected, and as a result, information security can be achieved.
 すなわち、
 ・ファイアーウェールによるセキュリティを達成できる。 That is,
・ I can achieve the security by the firewall.
 ・UTMが導入されている場合は、それによって複合的なセキュリティを達成することができる。 ・ If UTM is installed, multiple security can be achieved.
 ・Wi-fiセキュリティモジュールによって、周囲のアクセスポイントの有無を知ることができる。特に本実施の形態のWi-fiセキュリティモジュールは、周囲のアクセスポイントの有無を内部にログとして記録するので、その内容を管理者が見ることによって、不正なアクセスポイントの有無を確認することが可能である。 
 なお、Wi-fiセキュリティモジュールは、周囲のアクセスポイントを検出するが、そのWi-fiセキュリティモジュールが検出したアクセスポイントの中から、不正なアクセスポイント等を、運用管理センター側で判断することができる。 -Wi-fi security module allows you to know if there are access points around you. In particular, the Wi-fi security module of this embodiment records the presence / absence of surrounding access points as a log, so the administrator can check the presence / absence of unauthorized access points by viewing the contents. It is.
The Wi-fi security module detects surrounding access points, but the operation management center can determine unauthorized access points from the access points detected by the Wi-fi security module. .
 また、いわゆるステルスのアクセスポイントの場合は、不正なアクセスポイントであるか否かの判断が困難な場合が多いが、本実施の形態では、運用管理センター側でこのようなステルスアクセスポイントが正当なものであるか否かの判断を行うことができる。 
 また、このWi-fiセキュリティモジュールは、外部の運用管理センター10からの問い合わせによって、それまでに記録したログや、その時点において検出されている周囲のアクセスポイントに関する情報を外部にネットワークを介して提供する機能も有している。また、定期的に、ログデータやその時点において検出されている周囲のアクセスポイントに関する情報を外部にネットワークを介して自発的に提供する機能も有している。 Also, in the case of so-called stealth access points, it is often difficult to determine whether the access point is an unauthorized access point. However, in this embodiment, such a stealth access point is valid on the operation management center side. It can be determined whether or not it is a thing.
In addition, this Wi-fi security module provides externally recorded logs and information about surrounding access points detected at that time via the network in response to inquiries from the external operation management center 10 It also has a function to do. In addition, it also has a function of regularly providing log data and information on surrounding access points detected at that time to the outside via a network.
 このような機能は、一般的なコンピュータとソフトウェアで実現可能である。定期的に所定の情報を外部に送る動作は、一般的なコンピュータで行われていることであり、また、問い合わせがあるたびに(不定期に)情報を送る動作も、一般的なコンピュータで行われていることであり、当業者であれば実現可能である。 Such a function can be realized by a general computer and software. The operation of regularly sending predetermined information to the outside is performed by a general computer, and the operation of transmitting information every time there is an inquiry (irregularly) is also performed by a general computer. It can be realized by those skilled in the art.
 したがって、次に述べるように、外部の運用管理センター10からこのMFP200にアクセスすることによって、利用者側の情報システムの監視を行うことが好適である。すなわち、従来の技術の欄で説明したように、標的形攻撃等、種々の脅威が存在する現在では、MSS(マネージメントセキュリティサービス)を利用することが好ましい。そこで、次章では、MFP200を用いたMSSの利用に関して述べる。 Therefore, it is preferable to monitor the information system on the user side by accessing the MFP 200 from the external operation management center 10 as described below. That is, as described in the section of the prior art, it is preferable to use MSS (Management Security Service) at present when various threats such as targeted attacks exist. Therefore, in the next chapter, the use of MSS using the MFP 200 will be described.
 第2章 MSSの提供
 2-1a:MFP200の導入とMSSの提供
 上で述べたように、本実施の形態で提案したMFP200には各種通信機能が備えられているため、小規模な企業・団体等においては、このMFP200を中心として情報システムを構築することが可能である。 Chapter 2 Provision of MSS 2-1a: Introduction of MFP 200 and Provision of MSS As described above, since the MFP 200 proposed in this embodiment has various communication functions, it is a small-scale company / organization. For example, an information system can be constructed around the MFP 200.
 しかしながら、上述したように、小規模な企業等では、IT管理者が不在の場合も多い。その結果、MFP200といういわゆる「セキュリティハードウェア」をいれただけの状態になりがちである。すなわち、外部からの不正侵入があった場合や、許可されていないアクセスが生じた場合でも、それに対して適切な処理をすることができない場合も想定された。 However, as mentioned above, there are many cases where IT managers are not present in small companies. As a result, the MFP 200 tends to be in a state where only so-called “security hardware” is inserted. That is, it is assumed that there is a case where there is an unauthorized intrusion from the outside, or even when an unauthorized access occurs, an appropriate process cannot be performed.
 2-1b:本実施の形態におけるパッケージ化
 そこで、本実施の形態では、MSSのサービスをパッケージ化して利用者に提供している。このようなパッケージ化によれば、上述した「カスタマイズ」が不要となるため、MSSのサービスの低コスト化を図ることができ、中小企業等でもMSSを導入することが可能となる。その結果、図6等で示したいわゆるPDCAサイクルを回すことが可能となり、情報システムのセキュリティを極めて良好に維持・管理することが可能となる。 2-1b: Packaging in the Present Embodiment Therefore, in this embodiment, the MSS service is packaged and provided to the user. Such packaging eliminates the need for the “customization” described above, so that it is possible to reduce the cost of MSS services, and it is also possible for small and medium-sized businesses to introduce MSS. As a result, the so-called PDCA cycle shown in FIG. 6 and the like can be rotated, and the security of the information system can be maintained and managed very well.
 なお、ここで言うカスタマイズとは、各利用者が使用している機器も特殊な場合があり、提供するMSSのサービスも企業の要求に合わせた監視方法や、企業の要求に合わせた監視体制を採用しなければならない場合を主に意味している。 The term “customization” as used herein means that the equipment used by each user may be special, and the MSS service to be provided can be monitored according to the company's requirements and the monitoring system according to the company's requirements. Mainly means when it has to be adopted.
 2-2:パッケージ化
 従来のMSSではいわゆる利用者ごとに「カスタマイズ」をしていた。これは利用者ごとに全く異なる情報システムを構築しているからである。しかし、上で提案したMFP200は、小規模な企業・団体向けの複合機であり、その企業等の情報システムのセンターとなり得るものである。したがって、このMFP200の導入に際して、合わせてMSSを提供する場合は、情報システムとしてMFP200を中心としたものであるので、このMFP200の構成に基づいてパッケージ化したソフトウェア及びサービスを提供することが好適であると本願発明者は考えた。 2-2: Packaging In the conventional MSS, so-called “customization” is performed for each user. This is because a completely different information system is constructed for each user. However, the MFP 200 proposed above is a multifunction device for a small-scale company / organization, and can serve as a center for an information system of the company. Accordingly, when the MSS is provided together with the introduction of the MFP 200, the MFP 200 is mainly used as an information system. Therefore, it is preferable to provide software and services packaged based on the configuration of the MFP 200. The present inventor thought that there was.
 本実施の形態において特徴的なことは、MFP200とともに、カスタマイズではなく、あらかじめMFP200に合わせてパッケージ化したソフトウェア及びサービスによって、MSSを利用者に提供したことである。 A characteristic feature of the present embodiment is that the MSS is provided to the user not only with the MFP 200 but also with software and services pre-packaged with the MFP 200 instead of customization.
 このようにパッケージ化することによって、直接的には低コストでMSSを利用者に提供できるという効果を奏する。その他、下記のような効果を奏する。 This packaging has the effect of providing MSS directly to the user at low cost. In addition, there are the following effects.
 (1)MFP200の導入とともに、その仕様に合致したソフトウェア及びサービスによるMSSを導入することができるので、安定したシステムを最初から得られやすいというメリットがある。 (1) With the introduction of the MFP 200, it is possible to introduce an MSS with software and services that meet the specifications, so there is an advantage that a stable system can be easily obtained from the beginning.
 これまで、MSSはカスタマイズを行うことが通例であった。カスタマイズの意義・内容は、上記2-1bで述べたとおりである。 Until now, it was customary to customize MSS. The significance and contents of customization are as described in 2-1b above.
 このような、カスタマイズの作業が必要となる場合は、一定の納期・作業期間が必要であり、さらに、システムの不具合が発生することがあるので、いわゆるデバッグや、問題点の洗い出し等の一定の作業が必要となり、システムが安定して稼働するまでに時間がかかる場合もあった。これに対して、パッケージ化されたソフトウェアを用いれば、作業期間等が大幅に短くなるとともに、安定したシステムが得られやすい。 When such customization work is required, a certain delivery time and work period are required. Furthermore, since a system failure may occur, a certain amount of problems such as so-called debugging and identification of problems are required. In some cases, work was required and it took time for the system to operate stably. On the other hand, when packaged software is used, the work period and the like are significantly shortened, and a stable system is easily obtained.
 (2)また、MFP200を導入しようとする小規模の企業等では、IT管理者がいないか、いる場合でもセキュリティに対する高度の見識が不足している場合がある。そのような場合でも、MFP200と合わせて、UTM等をあらかじめ備えたMSSの提供を受けることによって、セキュリティの技術的な知識がなくても、容易に情報システムのセキュリティを確立できるというメリットがある。一般に、インターネット等の通信インフラが必要であり、それにスマートデバイスが種々接続しうる環境では、いわゆるモバイルセキュリティや、クラウドセキュリティが必要であることは多くの人が認識するところであるが、それらを実現するためには高度な知識が必要となることが多い。 
 そこで、本実施の形態では、MFP200導入し、アプライアンスの設定をパッケージ化してMSSを提供しているので、たとえ利用者側に高度の知識がなくても、モバイルセキュリティやクラウドセキュリティなどがあらかじめ設定された環境を最初から得ることが可能である。 (2) In addition, in a small-scale company or the like that intends to introduce the MFP 200, there is a case where a high degree of security insight is insufficient even if there is no IT manager. Even in such a case, there is an advantage that the security of the information system can be easily established by receiving the MSS provided with the UTM or the like together with the MFP 200 without the technical knowledge of security. In general, in an environment where a communication infrastructure such as the Internet is required and various smart devices can be connected to it, many people recognize that so-called mobile security and cloud security are necessary. In order to do this, advanced knowledge is often required.
Therefore, in this embodiment, since the MFP 200 is introduced and the settings of the appliance are packaged and the MSS is provided, even if there is no advanced knowledge on the user side, mobile security, cloud security, etc. are set in advance. It is possible to obtain a customized environment from the beginning.
 (3)上と同様に、MFP200を導入しようとする小規模の企業等では、IT管理者がいないか、いる場合でもセキュリティに対する高度の見識が不足している場合がある。そのため、セキュリティに対する理解が困難な場合もある。その点、MFP200と合わせて、UTM等をあらかじめ備えたMSSの提供を受けることによって、いわば一体として情報セキュリティが確立できるため、利用者にとってよりわかりやすいソリューションを提示・提供を行うことが可能となる。 (3) Similar to the above, a small company or the like that intends to introduce the MFP 200 may lack a high degree of security insight even if there is no IT administrator. For this reason, it may be difficult to understand security. In that respect, by receiving the MSS provided with the UTM in advance together with the MFP 200, information security can be established as a whole, so that it is possible to present and provide a solution that is easier for the user to understand.
 このように、MFP200導入し、アプライアンスの設定をパッケージ化してMSSを提供しているので、利用者は低コストで高品質なMSSサービスを受けることができる。 As described above, since the MFP 200 is installed and the appliance settings are packaged to provide the MSS, the user can receive a high-quality MSS service at a low cost.
 2-3:パッケージ化の内容
 本実施の形態では、このMFP200とともに導入され、アプライアンスの設定をパッケージ化してサービスを提供している。この提供するサービスをベースパッケージと呼ぶ。 2-3: Contents of packaging In the present embodiment, the service is provided by packaging the settings of the appliance, which is introduced together with the MFP 200. This provided service is called a base package.
 なお、ここでいうサービスは、運用管理センター10が提供するサービスであるが、コンピュータが自動的に実行するサービスの他、担当者が行うサービスも含まれうる。例えば、セキュリティ障害が発生した(又は発生する恐れがある)場合の警告・報告メールは、コンピュータが自動的にメールを送信することが迅速で好ましい。同様に、CPU稼働率が○○%以上になった場合の警告等も、コンピュータが自動的に判断して、利用者にメール等で通知することが好適である。ベースパッケージには、その他、担当者がセキュリティに関する問い合わせに対応したり、アドバイスをす等の人によるサービスも含まれうる。 In addition, although the service here is a service provided by the operation management center 10, in addition to a service automatically executed by a computer, a service performed by a person in charge can be included. For example, it is preferable that a computer automatically sends a warning / report mail when a security failure has occurred (or is likely to occur). Similarly, it is preferable that the computer automatically determines a warning or the like when the CPU operation rate becomes XX% or more and notifies the user by e-mail or the like. In addition, the base package may include services by a person such as a person in charge who responds to a security inquiry or gives advice.
 また、ベースパッケージに含まれる上記サービスを「ベースサービス」と呼ぶ。 Also, the above services included in the base package are called “base services”.
 このベースパッケージは、これまでのカスタマイズされたMSSで利用されていたソフトウェアやサービスと比べて以下のような特徴がある。ここでいうカスタマイズとは、上述したチューニングも含まれる。チューニングとは、危険であると判断するしきい値をどのような値にするか、等の調整もチューニングと呼ぶことは上述の通りである。 This base package has the following features compared to the software and services used in customized MSS. The customization here includes the tuning described above. As described above, the tuning refers to the adjustment of the threshold value that is determined to be dangerous, and the like.
 (a)監視対象
 ベースパッケージでは、監視対象は特定のセキュリティデバイスであり、具体的にはUTMと、Wi-fiのアクセスポイントに限定されている。 (A) Monitoring Target In the base package, the monitoring target is a specific security device, and specifically limited to UTM and Wi-fi access points.
 一方、カスタマイズ(主にチューニングを意味する、以下、チューニングと呼ぶ)されたMSSでは、監視対象は利用者の任意の機器を指定することができ、種々の各社のルーターやファイアーウォール、各種サーバ、各種クライアント機器等、を監視対象とすることができる。 On the other hand, in the customized MSS (which mainly means tuning, hereinafter referred to as tuning), the monitoring target can specify any device of the user, routers and firewalls of various companies, various servers, Various client devices can be monitored.
 (b)リソース監視
 ベースパッケージでは、どのデバイスに対しても、リソース監視のための閾値として一定の値が採用されている。すなわち、どのデバイスにおいても、CPUは稼働率90%以上でアラートが出る。どのデバイスにおいても、3回連続してPingに応答しない場合はアラートが出る、等である。これらの数値はいずれも例示であり、本発明の権利範囲はこれらの数値には限定されない。 (B) Resource monitoring In the base package, a constant value is adopted as a threshold for resource monitoring for any device. That is, in any device, the CPU gives an alert when the operation rate is 90% or more. If any device does not respond to Ping three times in a row, an alert will be issued. These numerical values are only examples, and the scope of rights of the present invention is not limited to these numerical values.
 また、ベースパッケージにおけるリソース監視では、特定の項目のみ監視を行っている。本実施の形態では、CPU稼働率、メモリー利用率、Disk利用率、セッション数、Pingに対する応答の有無のみを監視している。 Also, in the resource monitoring in the base package, only specific items are monitored. In the present embodiment, only the CPU operation rate, memory usage rate, Disk usage rate, number of sessions, and presence / absence of a response to Ping are monitored.
 一方、チューニングされたMSSでは、ユーザ毎、デバイス毎に、リソース監視のための任意の閾値を設定可能である。例えば、あるデバイスにおけるリソース監視では、CPUは稼働率80%以上でアラートが出るが、他のデバイスではCPU稼働率が90%以上でアラートが出る、等である。また、あるデバイスは、LAN上で応答期間が3秒でタイムアウトのエラーとみなすが、他のデバイスでは応答期間が30秒でタイムアウトエラーと見なすことができる。また、Pingに応答しない回数に応じてアラートを発生する場合に、各デバイス毎にその回数を設定することができる等である。 On the other hand, in the tuned MSS, an arbitrary threshold for resource monitoring can be set for each user and each device. For example, in resource monitoring in a certain device, an alert is issued when the CPU operation rate is 80% or more, while in other devices, an alert is issued when the CPU operation rate is 90% or more. Also, a certain device can be regarded as a timeout error when the response period is 3 seconds on the LAN, while another device can be regarded as a timeout error when the response period is 30 seconds. Further, when an alert is generated according to the number of times of not responding to Ping, the number of times can be set for each device.
 また、チューニングされたMSSでは、ユーザが指定した項目のリソース監視を行うことができる。例えば、CPU稼働率、メモリー利用率の他に、電源や、冷却ファン等のハードウェアのステータスを監視項目に入れることができる。また、特定のプロセスが正常起動しているかどうか等のソフトウェア関連のステータスを監視項目に入れることができる。 In addition, the tuned MSS can perform resource monitoring of items specified by the user. For example, in addition to the CPU operation rate and the memory utilization rate, the status of hardware such as a power supply and a cooling fan can be entered as monitoring items. Also, software-related status such as whether or not a specific process is normally started can be entered in the monitoring item.
 (c)セキュリティアラート設定
 ベースパッケージにおけるセキュリティアラートは、一律の定型ルールを適用している。例えば、ファイアーウォールへのログイン失敗や、DMZからの内部への通信失敗、内部からインターネットへの主要ポート以外の通信、など、事前に定義した定型ルールのみを適用し、セキュリティアラートを発生させている。 
 アラートは、ローカルで(例えば、上述したMFP200内部のアライアンスが)発生する場合もあるし、また、運用管理センター10から発生させる場合もある。これによって利用者にお知らせを行うのである。 (C) Security alert setting A uniform rule is applied to the security alert in the base package. For example, security alerts are generated by applying only predefined rules such as firewall login failure, DMZ internal communication failure, internal communication from other than the main port to the Internet, etc. .
The alert may occur locally (for example, the above-described alliance within the MFP 200) or may be generated from the operation management center 10. This notifies the user.
 一方、チューニングされたMSSでは、上記定型ルールに加えて、ユーザ環境に適したルールを設定している。例えば、ユーザが指定する特定通信(P2P等)の監視、特定の送信元からの通信監視などを行ってセキュリティアラートを出力することができる。また、例えば、平均的なログの出力数を常に計測しており、指定時間内でN回数以上のログが出力された場合(つまり、大量の通信が発生した場合)を検知して、セキュリティアラートを出力する。また、例えば、ファイアーウォールのログだけでなく、Syslog上でのユーザ指定の特定の文字列(OSによって異なるが、インターフェースダウンや、HDD障害等を示すエラー文字列)を検知してセキュリティアラートを出力することができる。 On the other hand, in the tuned MSS, in addition to the above standard rules, rules suitable for the user environment are set. For example, it is possible to output a security alert by monitoring specific communication (P2P or the like) designated by the user, monitoring communication from a specific transmission source, or the like. Also, for example, the average number of log outputs is always measured, and when a log is output more than N times within a specified time (that is, when a large amount of communication occurs), a security alert is detected. Is output. Also, for example, not only firewall logs but also specific character strings specified by the user on Syslog (error strings indicating interface down, HDD failure, etc. depending on the OS) are output and security alerts are output can do.
 (d)セキュリティインシデント対応
 ベースパッケージにおけるセキュリティインシデントの対象は、クリティカルレベルのアラートのみである。 (D) Security incident response Security incidents in the base package are only critical level alerts.
 そして、セキュリティインシデントに対する対処は、そのアラートの内容に即して対応するが、あらかじめ決められた範囲での対応となる。例えば、ファイアーウォールの設定変更は行うが、サーバの設定変更はユーザに対する指示のみを行う。また、SLA(Service Level Agreement:サービスレベルに関する合意、サービス品質保証契約)としてクリティカルレベルのインシデントには4時間以内の対応としている。 And the response to the security incident will be dealt with according to the content of the alert, but it will be within the predetermined range. For example, the firewall setting is changed, but the server setting is changed only by giving an instruction to the user. In addition, incidents of critical level are handled within 4 hours as SLA (Service Level Agreement).
 一方、チューニングされたMSSでは、クリティカルレベルだけでなく、利用者が要求するレベルのアラートを対象としている。 On the other hand, the tuned MSS targets not only the critical level but also the alert of the level requested by the user.
 そして、セキュリティインシデントに対する対処は、そのアラートの内容に即して対応を行い、かつ、ユーザの要望に応じてカスタマイズした処理で対応する。例えば、ファイアーウォールの設定変更を行い、かつ、サーバの設定変更も行う。また、SLAとしてクリティカルレベルのインシデントには、ユーザと調整した時間(例えば2時間以内)で対応することにしている。 , Security incidents are dealt with according to the contents of the alert, and with customized processing according to the user's request. For example, the firewall setting is changed and the server setting is also changed. In addition, an incident at a critical level as an SLA is handled in a time coordinated with the user (for example, within 2 hours).
 2-4 パッケージ化のメリット
 このようにパッケージ化を行えば、利用者毎にカスタマイズやチューニングを行う場合に比べて作業量が大幅に減るため、その結果コストを低減することが可能である。また、あらかじめパッケージ化が行われているため、カスタマイズを行う等のこれまでのMSSで必要であった作業が不要となるため、その分、稼働までの期間を短くすることができる。 2-4 Merit of packaging If packaging is performed in this way, the amount of work is greatly reduced as compared with the case of customization and tuning for each user, and as a result, the cost can be reduced. Further, since the packaging is performed in advance, the work necessary for the MSS so far, such as customization, becomes unnecessary, and accordingly, the period until the operation can be shortened.
 本実施の形態においては、MFP200を、利用者の情報システムのセンターとして導入することを前提としたので、ハードウェアがある程度固定された結果、上記のようなパッケージ化が可能となったものである。 In the present embodiment, since it is assumed that the MFP 200 is introduced as the center of the user information system, the above-described packaging is possible as a result of fixing the hardware to some extent. .
 パッケージ化とは、MFP200の機能・構成に合わせてあらかじめ機能を決めて構築しておくことであり、MSSを定形化しておくことによって、作業工程の簡易化や低コスト化を図ることができる。つまり、MFP200の機能・構成に合わせてあらかじめ提供するサービスが決められているので、運用管理センター10から通知する内容や種別、頻度等をあらかじめ設定すること(固定すること)ができ、円滑なMSSの提供を容易に実現することができる。特に、サービス内容があらかじめ決められていれば、サービスの提供に誤りが生じる可能性を減らすことができ、より高品質なMSSのサービスを提供できることが期待され、利用者にとってメリットが大である。 Packaging means that functions are determined in advance in accordance with the functions and configurations of the MFP 200, and the MSS is standardized to simplify the work process and reduce costs. That is, since the service to be provided in advance is determined in accordance with the function and configuration of the MFP 200, the content, type, frequency, etc. notified from the operation management center 10 can be set (fixed) in advance, and smooth MSS can be performed. Can be easily realized. In particular, if the service content is determined in advance, it is possible to reduce the possibility of an error in the provision of the service, and it is expected that a higher quality MSS service can be provided, which has a great advantage for the user.
 2-5 チューニングの可能性
 なお、利用者が最初はパッケージ化されたMSSを望んでいた場合でも、より細かい内容を設定するチューニングを希望してくる場合も考えられる。この場合は、もちろんベースパッケージに含まれるソフトウェアやサービスを、従来と同様に適宜チューニングしていくことが好適である。 2-5 Possibility of tuning Even if the user initially wanted a packaged MSS, there may be cases where tuning is desired to set more detailed contents. In this case, of course, it is preferable to appropriately tune the software and services included in the base package as in the past.
 2-6 ベースパッケージを利用したMSSのサービスの提供
 さて、このように本実施の形態では、MFP200をその利用者の情報システムのセンターとして機能させて、そのMFP200に合わせてパッケージ化したMSSのサービスを提供することを提案した。このMSSのサービス提供の全体図は図5に示されている。 2-6 Providing an MSS Service Using a Base Package As described above, in this embodiment, an MSS service packaged in accordance with the MFP 200 by causing the MFP 200 to function as the center of the user's information system. Proposed to provide. Overall diagram of a service providing the MSS is shown in FIG.
 この提供においては、第1のステップで、セキュリティ機器の導入、すなわちMFP200の導入が行われる。次に、この機器の稼働監視が運用管理センター10(図7)から行われ、障害が生じた場合には障害からの復旧の連絡等が行われる。さらにステップ3においては、攻撃(イベント)の監視や分析及びそれに対する対応処理が行われる。 In this provision, in the first step, the security device is installed, that is, the MFP 200 is installed. Next, the operation monitoring of this device is performed from the operation management center 10 (FIG. 7), and when a failure occurs, notification of recovery from the failure is made. Further, in step 3, an attack (event) is monitored and analyzed, and a response process is performed.
 その後、いわゆるPDCAサイクルを回すことができ、情報システムの良好のセキュリティを確保することが可能である。 After that, the so-called PDCA cycle can be rotated to ensure good security of the information system.
 なお、このようなMSS(マネージメントセキュリティサービス)は、請求の範囲のセキュリティサービスの好適な一例に相当する。 Note that such MSS (Management Security Service) corresponds to a preferred example of the security service in the claims.
 第3章  追加パッケージ
 3-1:ベースパッケージへの追加パッケージ
 上では、MSSのソフトウェア及びサービスを、パッケージ化して提供することを説明した。 Chapter 3 Additional Package 3-1: Addition to Base Package In the above, it was explained that MSS software and services are packaged and provided.
 このパッケージ化を行うことのメリットの一つが上述したように「わかりやすさ」が挙げられる。本願発明者らは、このようなわかりやすさを推し進めるために、上記ベースパッケージのソフトウェア及びサービスに加えて、下記のような追加パッケージ(ソフトウェア及びサービス)を利用者に提示している。 One of the merits of this packaging is “easy to understand” as mentioned above. In order to promote such intelligibility, the present inventors present the following additional packages (software and services) to the user in addition to the software and services of the base package.
 ・スマートデバイス向けのパッケージ
 ・モバイルデバイス向けのパッケージ
 ・クラウドセキュリティのパッケージ
 このように、対象ごとにパッケージ化することによって、利用者にとってより一層「わかりやすい」MSSを提供することが可能となる。 ・ Packaging for smart devices ・ Packaging for mobile devices ・ Packaging for cloud security In this way, by packaging for each target, it becomes possible to provide an MSS that is even easier to understand for users.
 本実施の形態では、上記ベースパッケージによるMSSのサービスを「第1段階」と呼び、追加パッケージを、第2段階、第3段階、・・・と呼ぶ。 In the present embodiment, the MSS service using the base package is referred to as “first stage”, and the additional packages are referred to as second stage, third stage,.
 第4章 Wi-fiセキュリティのパッケージ(オプション)
 上述したWi-fiセキュリティパッケージは、一般的には、追加のパッケージとしてオプションとして提供することが好適である。しかし、近年Wi-fiのが広く利用されており、その利用価値は高いと言えよう。例えば、ベースパッケージに加えて、オプションのWi-fiセキュリティパッケージ最初から加えて導入することも好ましい。 
 4-1 Wi-fiセキュリティの重要性 
 例えば、近年、Wi-Fi接続が広く利用されている。公衆の場においても、無料でWi-Fiのアクセスポイント提供されている場合がある。例えば飲食店食店や喫茶店が店内でWi-Fi接続のアクセスポイントを設けている場合があり、また、空港のラウンジにおいてWi-Fi接続がアクセスポイントが設置されている場合も多い。このようなWi-Fi接続を利用するには、そのネットのSSIDと、(もし必要であれば)パスワードを知る必要がある。 Chapter 4 Wi-fi security package (optional)
In general, the Wi-fi security package described above is preferably provided as an option as an additional package. However, Wi-fi has been widely used in recent years, and it can be said that its utility value is high. For example, in addition to the base package, it is also preferable to introduce an optional Wi-fi security package from the beginning.
4-1 Importance of Wi-fi security
For example, in recent years, Wi-Fi connection has been widely used. Even in public places, free Wi-Fi access points may be provided. For example, restaurants and coffee shops may have Wi-Fi connection access points in the store, and there are many cases where Wi-Fi connection access points are installed in airport lounges. To use such a Wi-Fi connection, you need to know the SSID of the net and the password (if necessary).
 しかしながら、その一方、このような公衆の場におけるWi-Fi接続には、一定の危険性があると言われており、公衆のWi-Fiのアクセスポイントにおける通信は十分注意をする必要があると考えられている。 However, on the other hand, it is said that there is a certain danger in Wi-Fi connection in such public places, and communication at public Wi-Fi access points needs to be carefully considered. It is considered.
 また、近年、標的型攻撃とよばれる攻撃手法が注目されている。この攻撃はいわゆるサイバー攻撃の一種であるが、特定の対象を目的としたより悪意の強い攻撃である。特に、上記のようなWi-Fi接続を介して、標的型攻撃が行われる場合もあると言われている。 In recent years, an attack technique called a target-type attack has attracted attention. This attack is a kind of so-called cyber attack, but it is a more malicious attack aimed at a specific target. In particular, it is said that a targeted attack may be performed via the Wi-Fi connection as described above.
 そのため、利用者にとって、オプションとして、本実施の形態のWi-Fiに関するセキュリティ(Wi-Fiパッケージ)を導入することは十分に価値あることと考えられる。 Therefore, it is considered that it is sufficiently valuable for users to introduce security (Wi-Fi package) related to Wi-Fi according to the present embodiment as an option.
 4-2 Wi-Fiパッケージ
 第4章では、オプションのパッケージの一例として、Wi-Fiパッケージを説明する。例えば、小規模な飲食店や喫茶店で、情報システムを構築した場合、店舗の利用者に対してWi-Fiサービスを提供しようとすることは、近年非常に増えている。その場合に、その飲食店・喫茶店では、オプションのパッケージとして、Wi-Fiパッケージを導入すれば、いわゆるスニッフィングを発見することができ、不正のアクセス、接続を発見し、除去することが可能である。以下、詳述する。 4-2 Wi-Fi Package Chapter 4 describes a Wi-Fi package as an example of an optional package. For example, when an information system is constructed in a small restaurant or coffee shop, attempts to provide Wi-Fi services to store users have increased greatly in recent years. In that case, if the Wi-Fi package is introduced as an optional package at that restaurant / coffee shop, so-called sniffing can be found, and unauthorized access and connection can be found and removed. . Details will be described below.
 (1)ハードウェア
 ハードウェア的には、上述したユーティリティモジュール202a-3中に、Wi-Fiのアクセスポイント(その他各種規格の無線LANのアクセスポイント)を検出する機能を実装させている。周囲のWi-Fiのアクセスポイントを検出する機能は、一般的なパソコン等にも備えられており、実装は当業者であれば容易である。周囲のWi-Fiのアクセスポイントを、その強度等も含めて検出するハードウェアやソフトウェアも知られているので、これを応用すれば、周囲のアクセスポイントに関する情報(強度や周波数その他)を、運用管理センターに送る手段を構築することは当業者であれば容易である。 (1) Hardware In terms of hardware, a function for detecting a Wi-Fi access point (a wireless LAN access point of various other standards) is implemented in the utility module 202a-3. A function of detecting surrounding Wi-Fi access points is also provided in a general personal computer or the like, and can be easily implemented by those skilled in the art. Hardware and software that detects surrounding Wi-Fi access points, including their strength, are also known, so if you apply this, you can operate information about the surrounding access points (intensity, frequency, etc.). It is easy for those skilled in the art to construct means for sending to the management center.
 また、運用管理センターのコンピュータから適宜問い合わせを発し、それに対して、周囲のアクセスポイントに関する情報(強度や周波数その他)を返信するような手段を構築することも好適である。ネットワークを介して遠隔地に問い合わせを行い、その問い合わせに応じて、その遠隔地の情報を返信する装置は、例えば気象観測その他で広く利用されているので、当業者であれば、アクセスポイントに関する情報を返信する装置を構築することは容易である。また、定期的に問い合わせを行う装置も知られているので、そのような装置(コンピュータ)を運用管理センター10に備えさせておくことも好適である。なお、操作者が適宜(不定期に)問い合わせを行って情報を取得することも好適である。 It is also preferable to construct a means for appropriately issuing an inquiry from the computer of the operation management center and returning information (intensity, frequency, etc.) about the surrounding access point. A device that makes an inquiry to a remote location via a network and returns information on the remote location in response to the inquiry is widely used in, for example, weather observation and the like. It is easy to build a device that returns In addition, since an apparatus that periodically inquires is also known, it is also preferable to provide such an apparatus (computer) in the operation management center 10. It is also preferable for the operator to make inquiries as appropriate (irregularly) to acquire information.
 またさらに、上述したように、ユーティリティモジュール202a-3(図2)中には、各種の機能が含まれているが、それぞれの機能はモジュール化されており、利用者に合わせて必要な手段を搭載することが可能である。 Furthermore, as described above, the utility module 202a-3 (FIG. 2) includes various functions. However, each function is modularized, and means necessary for the user is provided. It can be installed.
 (2)ソフトウェア、サービス
 上記のようなWi-Fiのアクセスポイントを検出する機能(Wi-fiセキュリティモジュール:図2参照)が、MFP200に備えられているので、リモートサービスによって、利用者の情報システム中のMFP200の周囲に利用可能なWi-Fiのアクセスポイントの有無を監視することが可能である。本実施の形態において特徴的なことは、利用者のWi-Fiのアクセスポイントの周囲に不正なアクセスポイントが設けられていないかどうかをリモートサービスによって検知している点である。 (2) Software and Service Since the MFP 200 has a function for detecting an access point of Wi-Fi as described above (Wi-fi security module: see FIG. 2), a user information system is provided by a remote service. It is possible to monitor the presence or absence of an available Wi-Fi access point around the MFP 200. What is characteristic in the present embodiment is that the remote service detects whether or not an unauthorized access point is provided around the Wi-Fi access point of the user.
 具体的な態様としては、運用管理センター10側のコンピューターが定期的(又は不定期的に、随時)に問い合わせを自動的にMFP200に送信し、これに対して、MFP200内のWi-fiセキュリティモジュールが周囲のWi-fiアクセスポイントを検出して、その検出結果(Wi-fiアクセスポイントに関する情報と呼ぶ)を運用管理センター10に送信することが好適である。 As a specific aspect, the computer on the operation management center 10 side automatically transmits an inquiry to the MFP 200 periodically (or irregularly, as needed), and in response to this, the Wi-fi security module in the MFP 200 It is preferable to detect surrounding Wi-fi access points and transmit the detection results (referred to as information about Wi-fi access points) to the operation management center 10.
 この場合、MFP200のWi-fiセキュリティモジュールが、定期的に自発で周囲のWi-fiアクセスポイントの検出結果(Wi-fiアクセスポイントに関する情報)を、運用管理センター10に対して送信することも好適である。また、定期的な送信だけでなく、周囲で検出されたWi-fiアクセスポイントに関する情報に変化が生じた場合に、その都度、更新されたWi-fiアクセスポイントに関する情報を、運用管理センター10に送信することも好適である。 In this case, it is also preferable that the Wi-fi security module of the MFP 200 periodically and spontaneously transmits a detection result of surrounding Wi-fi access points (information on Wi-fi access points) to the operation management center 10. It is. In addition to periodic transmissions, whenever there is a change in information about Wi-fi access points detected in the surroundings, updated information about Wi-fi access points is sent to the operation management center 10 each time. It is also suitable to transmit.
 したがって、このようなMSSの監視サービスによって、利用者である飲食店や喫茶店でWi-Fiサービスを提供している場合に、不正なアクセスポイントが設けられているかどうかを知ることができ、利用者に報告を行うことが可能である。 Therefore, with such MSS monitoring service, it is possible to know whether an unauthorized access point is provided or not when a Wi-Fi service is provided at a restaurant or coffee shop that is a user. It is possible to report to
 このようなWi-fiパッケージのみからなるベースパッケージでは、この不正なアクセスポイントが見つかった場合には、その旨がメール及び電話で利用者に通知される。この通知には、不正なアクセスポイントがある範囲や不正なアクセスポイントの見つけ方等を含めることが好ましい。この結果、その飲食店を訪れた顧客の秘密情報の漏洩を防止することができ、飲食店や喫茶店に対する顧客の満足度の向上に寄与するものである。 In such a base package consisting only of Wi-fi packages, when this unauthorized access point is found, the user is notified by e-mail and telephone. This notification preferably includes a range of unauthorized access points, how to find unauthorized access points, and the like. As a result, it is possible to prevent leakage of confidential information of customers who visit the restaurant, which contributes to improvement of customer satisfaction with the restaurant and coffee shop.
 なお、メールに関しては、運用管理センター10のコンピュータで自動的に送信するように構成することが迅速性の観点から好適である。ある条件が満たされた場合にメールを送る装置は知られているので、そのような仕組みを利用すれば、運用管理センター10から自動的にメールを送ることが可能である。 It should be noted that it is preferable from the viewpoint of speed to configure the mail to be automatically transmitted by the computer of the operation management center 10. An apparatus for sending an email when a certain condition is satisfied is known. Therefore, using such a mechanism, an email can be automatically sent from the operation management center 10.
 (3)空港ラウンジ
 例えば、ホテルのロビーや、空港のラウンジ等において、一般公衆向けにSSIDやパスワード等を公開して、自由にWi-fiを使用できる場所を設けることが近年増えている。このような公衆向けのWi-fiサービスの場合、所定の条件で不正なアクセスポイントを見つけ出す仕組みとすることが好適である。また、公衆向けWi-fiサービスの場合はカバーするエリアが一般に非常に広いので、例えば検出センサの数を増やす等の対応をすることが好ましい。そのアクセスポイントが不正なポイントであるか否かを発見する手法は種々知られている。それらの手法は、精度の高いものもあれば、精度の低いものもある。 (3) Airport Lounges In recent years, for example, in hotel lobbies and airport lounges, there is an increasing number of places where SSIDs and passwords are disclosed to the general public so that Wi-fi can be used freely. In the case of such a public Wi-fi service, it is preferable to have a mechanism for finding an unauthorized access point under predetermined conditions. In the case of a public Wi-fi service, the area to be covered is generally very wide, so it is preferable to take measures such as increasing the number of detection sensors. Various methods for discovering whether or not the access point is an unauthorized point are known. Some of these methods have high accuracy and others have low accuracy.
 本願発明者は、より精度の高い検出方法を、開発しているが、それは本願の「MSSの提供に関するビジネスモデル特許」とは別の「検出方法」の特許として特許出願を予定している。 The inventor of the present application has developed a more accurate detection method, which is scheduled to be filed as a patent for a “detection method” different from the “business model patent relating to provision of MSS” of the present application.
 4-3:そのほかの追加パッケージ
 また、例えば、第2段階のオプションとして、「捜索サービスパッケージ」を設けることも好適である。この第2段階の「捜索サービスパッケージ」は、運用管理センター10の担当者が利用者の情報システムに出向いて、実際に不正のアクセスポイントを探しだし、除去するサービスである。 4-3: Other additional packages It is also preferable to provide a “search service package” as a second stage option, for example. This “search service package” in the second stage is a service in which the person in charge of the operation management center 10 visits the user's information system to actually find and remove an unauthorized access point.
 多数の店舗が軒を連ねる複合型商業施設(ショッピングモールと呼ぶ)が広く開発されている。このようなショッピングモールでは、セール品の案内やイベントの案内をスマートデバイス向けに発信するサービスが広く行われている。多くの場合そのようなサービスはWi-Fiサービスを用いて行われている。 A complex commercial facility (called a shopping mall) with many stores in a row has been widely developed. In such shopping malls, services for transmitting information on sales items and information on events to smart devices are widely used. In many cases, such services are performed using Wi-Fi services.
 そのような店舗が利用者である場合にも、本実施の形態にかかる追加のWi-Fiパッケージを用い、さらに第2段階のオプションである「捜索サービスパッケージ」によれば、不正なアクセスポイントを発見できるMSSのサービスを利用することができる。このような喫茶店等は一般に小規模な場合が多く、本実施の形態で説明してきたMFP200を導入する対象となる利用者である場合が多い。 Even if such a store is a user, the additional Wi-Fi package according to this embodiment is used, and according to the “search service package” that is the second stage option, an unauthorized access point is MSS services that can be discovered can be used. In general, such a coffee shop or the like is often small, and is often a user to which the MFP 200 described in the present embodiment is to be introduced.
 第5章 本実施の形態のバリエーション
 (1)上述した実施の形態では、1Uラック型オープンシャシー202a-1を利用した(図2)。そして、このシャシーにはFW/UTMセキュリティアプライアンス202を格納したが、他の機器を格納することも好適である。ストレージを補充したい場合は、ハードディスク等を格納することも好適であり、追加のHUB装置等を入れることも好適である。また、上述した実施の形態では、主としてMFP200を説明したが、他の機器として、NAS(Network Attached Storage)を利用することも好適である。 Chapter 5 Variations of the Present Embodiment (1) In the above-described embodiment, the 1U rack type open chassis 202a-1 is used (FIG. 2). In this chassis, the FW / UTM security appliance 202 is stored, but it is also preferable to store other devices. When it is desired to replenish storage, it is preferable to store a hard disk or the like, and it is also preferable to insert an additional HUB device or the like. In the embodiment described above, the MFP 200 has been mainly described. However, it is also preferable to use NAS (Network Attached Storage) as another device.
 また、上述した実施の形態では、1Uラック型オープンシャシー202a-1を利用したが(図2)、1/2のハーフハイトのシャシーや2Uのラック型シャシーを利用することも好ましい。 In the embodiment described above, the 1U rack type open chassis 202a-1 is used (FIG. 2). However, it is also preferable to use a half half height chassis or a 2U rack type chassis.
 このように、本実施の形態では、コンピュータラックのシャシーを設けたトレー型筐体を利用したので、シャシーに取り付け可能な機器をMFP200に取り付けることができるという柔軟性を有している。 As described above, in the present embodiment, since the tray-type casing provided with the chassis of the computer rack is used, there is flexibility in that a device that can be attached to the chassis can be attached to the MFP 200.
 10 運用管理センター
 12 利用者側ネットワーク
 12a DMZサーバ群
 12a1 Webサーバ
 12a2 メールサーバ
 12a3 FTPサーバ
 12a4 DNSサーバ
 12b ファイアーウォール
 14 内部セグメント
 14a、14b、14c、14d クライアント端末
 20 インターネット
 200 MFP(複合機)
 202 FW/UTMセキュリティアプライアンス
 202a トレー型筐体
 202a-1 1Uラック型オープンシャシー
 202a-2 フロントベゼル
 202a-3 ユーティリティモジュール
 202b バックパック型筐体
 202c サブユニット型筐体 DESCRIPTION OF SYMBOLS 10 Operation management center 12 User side network 12a DMZ server group 12a1 Web server 12a2 Mail server 12a3 FTP server 12a4 DNS server 12b Firewall 14 Internal segment 14a, 14b, 14c, 14d Client terminal 20 Internet 200 MFP (MFP)
202 FW / UTM security appliance 202a Tray type case 202a-1 1U rack type open chassis 202a-2 Front bezel 202a-3 Utility module 202b Backpack type case 202c Subunit type case

Claims (20)

  1.  外部ネットワークとの接続手段を備えたOA機器において、
     ゲートウェイを含むUTM等のセキュリティ装置を備えたアプライアンス手段、
     を備え、前記接続手段は、前記ゲートウェイであることを特徴とするOA機器。     In OA equipment equipped with a connection means with an external network,
    Appliance means including a security device such as UTM including a gateway;
    And the connection means is the gateway.
  2.  請求項1記載のOA機器において、前記アプライアンス手段は、オプションとして、
     本OA機器の周囲のWi-fiアクセスポイントを検出する手段、
    を備えていることを特徴とするOA機器。     2. The OA device according to claim 1, wherein the appliance means is optional.
    Means for detecting Wi-fi access points around this OA device;
    OA equipment characterized by comprising.
  3.  請求項1又は2のいずれか1項に記載のOA機器において、
     用紙トレーを格納する棚部と、
     前記棚部に格納された用紙トレー型筐体と、
     前記用紙トレー型筐体に格納された前記アプライアンス手段と、
    を含むことを特徴とするOA機器。     In the OA equipment according to claim 1 or 2,
    A shelf for storing paper trays;
    A paper tray-type housing stored in the shelf;
    The appliance means stored in the paper tray housing;
    OA equipment characterized by including.
  4.  請求項1又は2のいずれか1項に記載のOA機器において、
     用紙トレーとほぼ同形状のトレー型筐体と、
     前記トレー型筐体に格納された前記アプライアンス手段と、
    を含むことを特徴とするOA機器。     In the OA equipment according to claim 1 or 2,
    A tray-type housing that is almost the same shape as the paper tray;
    The appliance means stored in the tray-type housing;
    OA equipment characterized by including.
  5.  請求項1又は2のいずれか1項に記載のOA機器において、
     本OA機器の背面に取り付け可能なバックパック型筐体と、
     前記バックパック型筐体に格納された前記アプライアンス手段と、
    を含むことを特徴とするOA機器。     In the OA equipment according to claim 1 or 2,
    A backpack housing that can be attached to the back of the OA device;
    The appliance means stored in the backpack housing;
    OA equipment characterized by including.
  6.  請求項1又は2のいずれか1項に記載のOA機器機器において、
     本OA機器の本体と、
     前記本体とは別体であるサブ筐体と、
     前記サブ筐体に格納された前記アプライアンス手段と、
    を含むことを特徴とするOA機器。     In the OA equipment apparatus according to any one of claims 1 and 2,
    The main body of the OA device;
    A sub-housing that is separate from the main body;
    The appliance means stored in the sub-enclosure;
    OA equipment characterized by including.
  7.  請求項3又は4記載のOA機器において、前記トレー型筐体は、
     コンピューターラック型オープンシャシー、
    を備えていることを特徴とするOA機器。     The OA device according to claim 3 or 4, wherein the tray-type casing is
    Computer rack type open chassis,
    OA equipment characterized by comprising.
  8.  請求項4記載のOA機器において、前記バックパック型筐体は、
     コンピューターラック型オープンシャシー、
    を備えていることを特徴とするOA機器。     The OA device according to claim 4, wherein the backpack-type housing is
    Computer rack type open chassis,
    OA equipment characterized by comprising.
  9.  請求項6記載のOA機器において、前記サブ筐体は、
     コンピューターラック型オープンシャシー、
    を備えていることを特徴とするOA機器。     The OA device according to claim 6, wherein the sub-housing is
    Computer rack type open chassis,
    OA equipment characterized by comprising.
  10.  請求項1~9のいずれか1項に記載のOA機器において、
     前記OA機器は、複写機、複合機、FAX装置、プリンタ、パーソナルコンピュータ、電話関連装置装置、NAS、のいずれかの機器であることを特徴とするOA機器。     The OA device according to any one of claims 1 to 9,
    The OA device is any one of a copier, a multifunction device, a FAX device, a printer, a personal computer, a telephone-related device, and NAS.
  11.  請求項10記載のOA機器において、
     前記電話関連装置は、PBX、キーテレホン、のいずれかの機器であることを特徴とするOA機器。     The OA device according to claim 10,
    The OA device characterized in that the telephone-related device is any one of a PBX and a key telephone.
  12.  請求項1に記載のOA機器を含む情報システムに対して、運用管理センターが前記情報システムの監視を行うことによって、セキュリティサービスを前記情報システムに対して提供する方法において、
     前記運用管理センターが、前記アプライアンス手段に対して、問い合わせを行うステップと、
     前記アプライアンス手段が、前記問い合わせに対して、セキュリティの情報を返送するステップと、
     を含み、
     前記アプライアンス手段は、前記OA機器に合わせてあらかじめ構築されたセキュリティのためのベースソフトウェアがインストールされており、前記ベースソフトウェアがインストールされた前記アプライアンス手段がゲートウェイを含むUTM等のセキュリティ装置を実現していることを特徴とするセキュリティサービスを提供する方法。     A method for providing a security service to the information system by an operation management center monitoring the information system for the information system including the OA device according to claim 1,
    The operation management center makes an inquiry to the appliance means;
    The appliance means returning security information in response to the inquiry;
    Including
    The appliance means is installed with base software for security built in advance for the OA device, and the appliance means with the base software installed realizes a security device such as UTM including a gateway. A method for providing a security service characterized in that:
  13.  請求項2記載のOA機器を含む情報システムに対して、運用管理センターが前記情報システムの監視を行うことによって、セキュリティサービスを前記情報システムに対して提供する方法において、
     前記運用管理センターが、前記アプライアンス手段に対して、問い合わせを行うステップと、
     前記アプライアンス手段が、前記問い合わせに対して、前記周囲のWi-fiアクセスポイントに関する情報を返送するステップと、
     を含み、
     前記アプライアンス手段は、前記OA機器に合わせてあらかじめ構築されたセキュリティのためのWi-fiセキュリティソフトウェアがインストールされており、前記Wi-fiセキュリティソフトウェアがインストールされた前記アプライアンス手段が、前記Wi-fiアクセスポイントを検出する手段、を実現していることを特徴とするセキュリティサービスを提供する方法。     A method for providing a security service to the information system by an operation management center monitoring the information system for an information system including the OA device according to claim 2,
    The operation management center makes an inquiry to the appliance means;
    The appliance means returning information about the surrounding Wi-fi access point in response to the inquiry;
    Including
    The appliance means is installed with Wi-fi security software for security built in advance for the OA device, and the appliance means with the Wi-fi security software installed is connected to the Wi-fi access. A method for providing a security service characterized by realizing means for detecting a point.
  14.  請求項1に記載のOA機器を含む情報システムに対して、運用管理センターが前記情報システムの監視を行うことによって、セキュリティサービスを前記情報システムに対して提供する方法において、
     前記アプライアンス手段が、セキュリティに関する情報であるセキュリティ情報を前記運用管理センターに送信するステップと、
     前記運用管理センターが、前記送信されてきたセキュリティ情報を受信するステップと、
     を含むことを特徴とするセキュリティサービスを提供する方法。     A method for providing a security service to the information system by an operation management center monitoring the information system for the information system including the OA device according to claim 1,
    The appliance means transmitting security information, which is information relating to security, to the operations management center;
    The operation management center receiving the transmitted security information;
    A method for providing a security service comprising:
  15.  請求項2記載のOA機器を含む情報システムに対して、運用管理センターが前記情報システムの監視を行うことによって、セキュリティサービスを前記情報システムに対して提供する方法において、
     前記アプライアンス手段が、前記周囲のWi-fiアクセスポイントに関する情報を運用管理センターに送信するステップと、
     前記運用管理センターが、前記送信されてきたWi-fiアクセスポイントに関する情報を受信するステップと、
     を含むことを特徴とするセキュリティサービスを提供する方法。     A method for providing a security service to the information system by an operation management center monitoring the information system for an information system including the OA device according to claim 2,
    The appliance means transmitting information about the surrounding Wi-fi access point to an operation management center;
    The operation management center receives the transmitted Wi-fi access point information;
    A method for providing a security service comprising:
  16.  請求項12~請求項15のいずれか1項記載のセキュリティサービスの提供方法において、
     前記運用管理センターは、前記OA機器の構成、及び、前記あらかじめ構築されたセキュリティのためのソフトウェアの内容、に基づいて、あらかじめ設定されているベースサービスである、前記情報システムの監視、動作状況の分析、障害に対する対処、を提供することを特徴とするセキュリティサービスを提供する方法。     The security service providing method according to any one of claims 12 to 15,
    The operation management center is a base service set in advance based on the configuration of the OA device and the contents of the software for security built in advance. A method for providing a security service, characterized by providing analysis and coping with a failure.
  17.  請求項12~請求項15のいずれか1項に記載のセキュリティサービスを提供する方法において、
     前記ベースソフトウェア及び前記ベースサービスからなるベースパッケージに加えて、本セキュリティサービスを受ける利用者が追加パッケージを要望した場合、その追加パッケージに含まれる、あらかじめ構築されたセキュリティのための追加ソフトウェアを、前記アプライアンス手段にインストールするステップと、
     前記アプライアンス手段が、前記追加ソフトウェアによって検査されるセキュリティに関する情報を、運用管理センターに送信するステップと、
     前記運用管理センターが、前記送信されてきた前記セキュリティに関する情報を、受信するステップと、
     を含むことを特徴とするセキュリティサービスを提供する方法。     The method for providing a security service according to any one of claims 12 to 15,
    In addition to the base package composed of the base software and the base service, when a user who receives this security service requests an additional package, the additional software for security built in advance included in the additional package is Installing on appliance means;
    The appliance means transmitting information on security to be inspected by the additional software to an operation management center;
    The operation management center receiving the transmitted information on the security;
    A method for providing a security service comprising:
  18.  請求項12~請求項15のいずれか1項に記載のセキュリティサービスを提供する方法において、
     前記ベースソフトウェア及び前記ベースサービスからなるベースパッケージに加えて、本セキュリティサービスを受ける利用者が追加パッケージを要望した場合、その追加パッケージに含まれる、追加アプライアンスを、前記アプライアンス手段に付加するステップと、
     前記アプライアンス手段が、前記追加アプライアンスによって検査されるセキュリティに関する情報を、運用管理センターに送信するステップと、
     前記運用管理センターが、前記送信されてきた前記セキュリティに関する情報を、受信するステップと、
     を含むことを特徴とするセキュリティサービスを提供する方法。     The method for providing a security service according to any one of claims 12 to 15,
    In addition to the base package consisting of the base software and the base service, when a user who receives the security service requests an additional package, adding an additional appliance included in the additional package to the appliance means;
    The appliance means transmitting information about security to be inspected by the additional appliance to an operation management center;
    The operation management center receiving the transmitted information on the security;
    A method for providing a security service comprising:
  19.  請求項17記載のセキュリティサービスを提供する方法において、
     前記運用管理センターは、前記追加パッケージに含まれる追加サービスであって、前記ソフトウェアに合わせてあらかじめ設定されている追加サービスを提供することを特徴とするセキュリティサービスを提供する方法。     The method of providing a security service according to claim 17,
    The operation management center provides an additional service that is an additional service included in the additional package and is preset according to the software, and provides a security service.
  20.  請求項18記載のセキュリティサービスを提供する方法において、
     前記運用管理センターは、前記追加パッケージに含まれる追加サービスであって、前記追加アプライアンスに合わせてあらかじめ設定されている追加サービスを提供することを特徴とするセキュリティサービスを提供する方法。     The method for providing a security service according to claim 18,
    The method of providing a security service, wherein the operation management center provides an additional service included in the additional package and set in advance according to the additional appliance.
PCT/JP2013/072247 2013-08-21 2013-08-21 Oa apparatus suitable for providing management security service, and security service provision method using said oa apparatus WO2015025373A1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2013554127A JPWO2015025373A1 (en) 2013-08-21 2013-08-21 OA device suitable for providing management security service, and security service providing method using the OA device
PCT/JP2013/072247 WO2015025373A1 (en) 2013-08-21 2013-08-21 Oa apparatus suitable for providing management security service, and security service provision method using said oa apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2013/072247 WO2015025373A1 (en) 2013-08-21 2013-08-21 Oa apparatus suitable for providing management security service, and security service provision method using said oa apparatus

Publications (1)

Publication Number Publication Date
WO2015025373A1 true WO2015025373A1 (en) 2015-02-26

Family

ID=52483183

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2013/072247 WO2015025373A1 (en) 2013-08-21 2013-08-21 Oa apparatus suitable for providing management security service, and security service provision method using said oa apparatus

Country Status (2)

Country Link
JP (1) JPWO2015025373A1 (en)
WO (1) WO2015025373A1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106682881A (en) * 2017-01-05 2017-05-17 李铖浩 Intelligent office automation system
JP2019176309A (en) * 2018-03-28 2019-10-10 ソフトバンク株式会社 Duplication module, duplication method, duplication program, and monitoring system
JP7111420B2 (en) 2019-04-25 2022-08-02 Necプラットフォームズ株式会社 BRIDGE DEVICE, NETWORK SYSTEM, AND BRIDGE DEVICE CONTROL METHOD

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008312017A (en) * 2007-06-15 2008-12-25 Ricoh Co Ltd Image processor, add-in board, and electric apparatus
JP2010074334A (en) * 2008-09-17 2010-04-02 Brother Ind Ltd Wireless communication device, method to output identifier, and program thereof

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008312017A (en) * 2007-06-15 2008-12-25 Ricoh Co Ltd Image processor, add-in board, and electric apparatus
JP2010074334A (en) * 2008-09-17 2010-04-02 Brother Ind Ltd Wireless communication device, method to output identifier, and program thereof

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
GYOKAI HATSU: "Kukan Seijoki o Naizo shita Color Fukugoki o Hatsubai", 17 July 2013 (2013-07-17), Retrieved from the Internet <URL:http://news.fujixerox.co.jp/news/2013/000933> [retrieved on 20130910] *
TAKESHI FUJITA, BUSINESS FRONTLINE, TELECOMMUNICATION, vol. 25, no. 7, 25 June 2008 (2008-06-25), pages 62 - 65 *
TOSHITADA TAKEI: "Yuniadekkusu no IT Management Service", GIHO UNISYS TECHNOLOGY REVIEW, vol. 30, no. 3, 30 November 2010 (2010-11-30), pages 51 - 62 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106682881A (en) * 2017-01-05 2017-05-17 李铖浩 Intelligent office automation system
JP2019176309A (en) * 2018-03-28 2019-10-10 ソフトバンク株式会社 Duplication module, duplication method, duplication program, and monitoring system
JP7111420B2 (en) 2019-04-25 2022-08-02 Necプラットフォームズ株式会社 BRIDGE DEVICE, NETWORK SYSTEM, AND BRIDGE DEVICE CONTROL METHOD

Also Published As

Publication number Publication date
JPWO2015025373A1 (en) 2017-03-02

Similar Documents

Publication Publication Date Title
US10708304B2 (en) Honeypot network services
US11936619B2 (en) Combined security and QOS coordination among devices
US20210029547A1 (en) System and method for filtering access points presented to a user and locking onto an access point
US8296178B2 (en) Services using globally distributed infrastructure for secure content management
US7526800B2 (en) Administration of protection of data accessible by a mobile device
US10917787B2 (en) Security gateway for a regional/home network
US20080109679A1 (en) Administration of protection of data accessible by a mobile device
Hares et al. Interface to network security functions (I2NSF): Problem statement and use cases
US20160072770A1 (en) Emergent network defense system
Sharma et al. Security-as-a-Service from Clouds: A comprehensive Analysis
WO2015025373A1 (en) Oa apparatus suitable for providing management security service, and security service provision method using said oa apparatus
US11683350B2 (en) System and method for providing and managing security rules and policies
US20240129297A1 (en) Domain ownership verification for a ztna service platform
US20240129310A1 (en) Hybrid appliance for zero trust network access to customer applications
US20240129277A1 (en) Alias domains for accessing ztna applications
US20240129278A1 (en) Dynamic routing of application traffic to ztna connectors
US20240126868A1 (en) Validation of ztna configuration for a multi-tenant proxy environment
US20240129296A1 (en) Cloud-based zero trust network access service
US20240129298A1 (en) Scaling tunnels for zero trust network access appliances
GB2574334A (en) Combined security and QOS coordination among devices
Malmgren et al. A comparative study of Palo Alto Networks and Juniper Networks next-generation firewalls for a small enterprise network
Zarny et al. I2NSF S. Hares Internet-Draft L. Dunbar Intended status: Standards Track Huawei Expires: January 9, 2017 D. Lopez Telefonica I+ D
Pravail 2100 Series Appliances Version 5.4
GB2574339A (en) Combined security and QOS coordination among devices

Legal Events

Date Code Title Description
ENP Entry into the national phase

Ref document number: 2013554127

Country of ref document: JP

Kind code of ref document: A

121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 13891718

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 13891718

Country of ref document: EP

Kind code of ref document: A1