WO2015115183A1

WO2015115183A1 - アクセス制御装置、通信システム、プログラム、及びアクセス制御方法

Info

Publication number: WO2015115183A1
Application number: PCT/JP2015/050829
Authority: WO
Inventors: 毅史本間; 山本　陽平; 前田　薫
Original assignee: 株式会社リコー; 毅史本間; 山本　陽平; 前田　薫
Priority date: 2014-01-31
Filing date: 2015-01-14
Publication date: 2015-08-06
Also published as: EP3101576B1; JPWO2015115183A1; SG11201605622UA; US20160330202A1; US10305905B2; CN105940405B; EP3101576A4; CA2936055A1; JP6107977B2; EP3101576A1; CN105940405A

Abstract

　通信端末からアプリケーションへのアクセスを制御するアクセス制御装置であって、前記アプリケーション毎に、前記アプリケーションへのアクセス要求元を認証するために有効な認証方式を示す認証情報を関連付けて管理する認証方式管理手段と、通信端末からの要求に基づいて、前記通信端末において利用可能な認証方式により要求元を認証する認証手段と、前記通信端末から、所望のアプリケーションへのアクセスを伴う要求を受け付けるアクセス要求受付手段と、前記認証方式管理手段において、前記所望のアプリケーションに関連付けられて、前記認証に用いられた認証方式を示す認証情報が管理されていない場合には前記通信端末を前記所望のアプリケーションにアクセスさせないように、一方、管理されている場合にはアクセスを制御するアクセス制御手段と、を有するアクセス制御装置を提供する。

Description

アクセス制御装置、通信システム、プログラム、及びアクセス制御方法

　本発明は、通信端末からアプリケーションへのアクセスを制御する発明に関する。

　近年、出張経費及び出張時間を削減する要請に伴い、インターネットや専用線等の通信ネットワークを介して通信を行う通信システムが普及している。通信システムのうち、例えば、テレビ会議システムでは、複数の通信端末間で、画像データ及び音データの送受信が行われることにより、テレビ会議を実現することができる（特許文献１参照）。

　また、テレビ会議システムにおいては、通信端末の認証に用いられる端末証明書情報に基づいて、伝送管理システムや、アップデートシステム、画面提供システム等のＵＲＩを通信端末へ通知する方法が知られている（特許文献２参照）。この方法によると、一度の認証により、伝送管理システム等の各サービスプロバイダにアクセスすることが可能となるので利便性が向上する。

　一方、サービスを提供するためのアプリケーションとしては、例えば、Ｊａｖａ（登録商標）アプリケーションなど、プラットフォームに依存することなく動作するものが開発されている。これにより、ＰＣ(Personal Computer)とテレビ会議専用端末などの異なるプラットフォームの通信端末が、それぞれ同じアプリケーションを動作させることにより、異端末間の通信等の異端末間を連携させるサービスの提供が可能となる。

特開２００８－２２７５７７号公報特開２０１２－１３４９４０号公報

　しかしながら、通信端末のプラットフォームが異なる場合、それぞれの通信端末において利用可能な認証方式は異なることがある。このため、それぞれの通信端末が利用した認証方式による認証に基づいてアプリケーションへのアクセスを許可した場合には、認証方式毎に信頼性が異なるため、アプリケーション側が期待する安全性を担保しにくくなるという課題が生じる。

　本発明の第一の側面によれば、通信端末からアプリケーションへのアクセスを制御するアクセス制御装置であって、前記アプリケーション毎に、前記アプリケーションへのアクセス要求元を認証するために有効な認証方式を示す認証情報を関連付けて管理する認証方式管理手段と、通信端末からの要求に基づいて、前記通信端末において利用可能な認証方式により要求元を認証する認証手段と、前記通信端末から、所望のアプリケーションへのアクセスを伴う要求を受け付けるアクセス要求受付手段と、前記認証方式管理手段において、前記所望のアプリケーションに関連付けられて、前記認証に用いられた認証方式を示す認証情報が管理されていない場合には、前記通信端末を前記所望のアプリケーションにアクセスさせないようにする一方で、前記認証方式管理手段において、前記所望のアプリケーションに関連付けられて、前記認証に用いられた認証方式を示す認証情報が管理されている場合には、前記通信端末から前記所望のアプリケーションへのアクセスを制御するアクセス制御手段と、を有することを特徴とするアクセス制御装置である。

　以上説明したように本発明によれば、アクセス制御装置は、アプリケーション毎に、このアプリケーションへのアクセス要求元を認証するために有効な認証方式を示す認証情報を関連付けて管理する。これにより、アプリケーションへのアクセス要求元を、任意の認証方式により認証していた場合でも、この認証方式が有効な認証方式でない場合には、アクセス要求元をアプリケーションにアクセスさせないようにすることが可能となるので、アプリケーション側が期待する安全性を担保しやすくなるという効果を奏する。

本発明の一実施形態に係る通信システムの概略図である。認証・認可方式を示すフロー図である。通信端末の外観図の一例である。通信端末のハードウェア構成図である。通信端末のハードウェア構成図である。通信管理システム及び中継装置のハードウェア構成図である。通信端末のソフトウェア構成図である。通信端末、通信管理システム、及びアプリケーションサーバの各機能ブロック図である。端末認証管理テーブルを示す概念図である。アプリ利用管理テーブルを示す概念図である。アプリＵＲＬ管理テーブルを示す概念図である。アプリ認可管理テーブルを示す概念図である。アクセストークン管理テーブルを示す概念図である。通信システムにおける各種情報の送受信の状態を示した概念図である。通信を開始する準備段階の処理を示したシーケンス図である。通信端末が起動してからアプリアイコンを表示させるまでの処理を示したシーケンス図である。アプリケーションの起動を要求する処理を示したシーケンス図である。アプリケーションリストの画面例を示した図である。アプリケーションの起動の可否を判断する処理を示したフロー図である。通信管理システムの機能ブロック図である。アプリケーションのリストを作成する処理を示したフロー図である。

　以下、図面を用いて、本発明の一実施形態について説明する。

　〔第１の実施形態〕
　まず、本発明の第１の実施形態について説明する。

　＜＜実施形態の全体構成＞＞
　図１は、本発明の第１の実施形態に係る通信システムの概略図である。図１に示されているように、通信システム１は、複数の通信端末（１０ａａ，１０ａｂ，…）、各通信端末（１０ａａ，１０ａｂ，…）用のディスプレイ（１２０ａａ，１２０ａｂ，…）、複数の中継装置（３０ａ，３０ｂ，３０ｃ，３０ｄ）、通信管理システム５０、アプリケーションサーバ８０、プログラム提供システム９０、及びメンテナンスシステム１００によって構築されている。

　なお、以下、「アプリケーション」は「アプリ」と省略して説明する。また、以下では、「通信端末」は単に「端末」として表され、「通信管理システム」は単に「管理システム」として表されている。また、複数の端末（１０ａａ，１０ａｂ，…）のうち任意の端末は、「端末１０」と表され、複数のディスプレイ（１２０ａａ，１２０ａｂ，…）のうち任意のディスプレイは「ディスプレイ１２０」と表され、複数の中継装置（３０ａ，３０ｂ，３０ｃ）のうち任意の中継装置は「中継装置３０」と表されている。また、ルータ（７０ａ，７０ｂ，７０ｃ，７０ｄ，７０ａｂ，７０ｃｄ）のうち任意のルータは、「ルータ７０」と表されている。なお、この通信は、音、映像（画像）、又は、音及び映像（画像）によって実現することができる。

　この通信システム１によって、通信データの一例としての画像データ及び音データの通信が行われることで、遠隔地間のテレビ会議等を実現することができる。なお、複数のルータ（７０ａ，７０ｂ，７０ｃ，７０ｄ，７０ａｂ，７０ｃｄ）は、通信データの最適な経路の選択を行う。また、アプリサーバ８０は、各端末１０で動作する各種アプリ（オンラインアプリ）を管理する。各端末１０は、アプリサーバ８０から各種アプリをダウンロードして利用する。

　また、端末（１０ａａ，１０ａｂ，１０ａｃ，・・・）、中継装置３０ａ、及びルータ７０ａは、ＬＡＮ２ａによって通信可能に接続されている。通信端末（１０ｂａ，１０ｂｂ，１０ｂｃ，・・・）、中継装置３０ｂ、及びルータ７０ｂは、ＬＡＮ２ｂによって通信可能に接続されている。また、ＬＡＮ２ａ及びＬＡＮ２ｂは、ルータ７０ａｂが含まれた専用線２ａｂによって通信可能に接続されている。更に、ＬＡＮ２ａ、ＬＡＮ２ｂ、及び専用線２ａｂは、会社の一例としてＸ社内で構築されている。例えば、ＬＡＮ２ａはＸ社のＡ事業所内で構築されており、ＬＡＮ２ｂはＸ社のＢ事業所内で構築されている。

　また、Ｘ社の保有する端末１０のうち、端末（１０ａａ，１０ｂｃ）は、テレビ会議の用途の他、テレビ会議に関連しない用途でも利用可能な汎用端末である。Ｘ社の保有する残りの端末１０は、テレビ会議の用途で利用可能な専用端末である。専用端末と汎用端末とは、それぞれ、プラットフォームが異なっている。

　一方、通信端末（１０ｃａ，１０ｃｂ，１０ｃｃ，・・・）、中継装置３０ｃ、及びルータ７０ｃは、ＬＡＮ２ｃによって通信可能に接続されている。通信端末１０ｄ（１０ｄａ，１０ｄｂ，１０ｄｃ，・・・）、中継装置３０ｄ、及びルータ７０ｄは、ＬＡＮ２ｄによって通信可能に接続されている。また、ＬＡＮ２ｃ及びＬＡＮ２ｄは、ルータ７０ｃｄが含まれた専用線２ｃｄによって通信可能に接続されている。更に、ＬＡＮ２ｃ、ＬＡＮ２ｄ、及び専用線２ｃｄは、所定の会社の一例としてＹ社内で構築されている。例えば、ＬＡＮ２ｃはＹ社のＣ事業所内で構築されており、ＬＡＮ２ｄはＹ社のＤ事業所内で構築されている。Ｘ社及びＹ社は、それぞれルータ（７０ａｂ，７０ｃｄ）からインターネット２ｉを介して通信可能に接続されている。

　また、Ｙ社の保有する端末１０のうち、端末（１０ｃｃ，１０ｄｃ）は、テレビ会議の用途の他、テレビ会議に関連しない用途でも利用可能な汎用端末である。Ｙ社の保有する残りの端末１０は、テレビ会議の用途で利用可能な専用端末である。専用端末と汎用端末とは、それぞれ、プラットフォームが異なっている。

　また、管理システム５０、アプリサーバ８０、プログラム提供システム９０、及びメンテナンスシステム１００は、インターネット２ｉに接続されている。なお、管理システム５０、プログラム提供システム９０、及びメンテナンスシステム１００の設置場所は限定されず、それぞれのシステムが同一地域あるいは同一国内に設置されていても、異なる地域あるいは異なる国内にそれぞれ設置されていても良い。

　また、本実施形態では、ＬＡＮ２ａ、ＬＡＮ２ｂ、専用線２ａｂ、インターネット２ｉ、専用線２ｃｄ、ＬＡＮ２ｃ、及びＬＡＮ２ｄによって、本実施形態の通信ネットワーク２が構築されている。この通信ネットワーク２には、有線だけでなく、ＷｉＦｉ(Wireless Fidelity)やＢｌｕｅｔｏｏｔｈ（登録商標）等の無線による通信が行われる箇所があってもよい。

　また、図１において、各端末１０、各中継装置３０、管理システム５０、各ルータ７０、プログラム提供システム９０、及びメンテナンスシステム１００の下に示されている４組の数字は、一般的なＩＰｖ４におけるＩＰアドレスを簡易的に示している。例えば、端末１０ａａのＩＰアドレスは「１．２．１．３」である。また、ＩＰｖ４ではなく、ＩＰｖ６を用いてもよいが、説明を簡略化するため、ＩＰｖ４を用いて説明している。

　なお、各端末１０は、複数の事業所間での通信や、同じ事業所内の異なる部屋間での通信だけでなく、同じ部屋内での通信や、屋外と屋内又は屋外と屋外での通信で使われてもよい。各端末１０が屋外で使われる場合には、携帯電話通信網等の無線による通信が行われる。

　また、図１に示されている各端末１０は、通信データの送受信により、ユーザの通信を実現する端末であり、例えば、テレビ会議用端末である。更に、端末１０は、所定の通信方式（通信の宛先と接続又は切断をするための呼制御方式、及び通信データをＩＰパケット化するための符号化方式）を利用して、通信データの送受信を行う。

　なお、この呼制御方式としては、(1)SIP(Session Initiation Protocol)、(2)H.323、(3)SIPを拡張したプロトコル、(4)インスタントメッセンジャーのプロトコル、(5)SIPのMESSAGEメソッドを利用したプロトコル、(6)インターネットリレーチャットのプロトコル(IRC(Internet Relay Chat))、(7)インスタントメッセンジャーのプロトコルを拡張したプロトコル等が挙げられる。このうち、(4)インスタントメッセンジャーのプロトコルは、例えば、(4-1)XMPP(Extensible Messaging and Presence Protocol)、又は(4-2)ICQ（登録商標）、AIM（登録商標）、若しくはSkype（登録商標）などで利用されるプロトコルである。また、(7)インスタントメッセンジャーのプロトコルを拡張したプロトコルは、例えば、Jingleである。

　また、端末１０は、ユーザの操作に基づいて、テレビ会議用あるいは他の用途のアプリを、アプリサーバ８０からダウンロードして利用する。複数の端末１０は、お互いに同じアプリを利用した場合、通信ネットワーク２を介して通信を実現することができる。ここで、アプリは、通信及びメッセージアプリを含み、テレビ会議用のアプリの他に、例えば、Skype, Google Talk, LINE, FaceTime, カカオトーク, Tango（登録商標又は未登録商標）等が挙げられる。

　また、管理システム５０は、端末１０の認証・認可に必要な情報を管理しており、端末１０を認証し、アプリへのアクセスを認可するアクセス認可システムの機能を有している。アプリサーバ８０は、アプリの実体であるＵＲＩ（Uniform Resource Identifier）をホストしているサーバである。

　端末１０は、通信ネットワーク２を介して各種アプリを利用することができる。この場合、端末１０は、アプリをホストしているアプリサーバ８０へのＵＲＩを取得し、そこへアクセスする。本発明の一実施形態によると、なりすまし等の不正利用や、情報漏洩を防止するために、これらのアプリを利用する際に、図２に示したような、認証・認可方式を用いることができる。なお、図２は、認証・認可方式を示すフロー図である。ステップＳ１０１で認証が成功したかを確認し、ＮＯの場合はフローを終了する。一方、ＹＥＳの場合は、ステップＳ１０２で認可情報を作成する。ステップＳ１０３で認可情報を送信する。ステップＳ１０４でアプリを起動する。以上でフローを終了する。すなわち、端末１０は、管理システム５０へ認証要求を行う。この認証に成功した場合には、管理システム５０は、アプリへのアクセスが認可されていることを示すアクセストークン等の認可情報を作成して端末１０へ送信する。端末１０では、認可情報をアプリサーバ８０へ送信することにより、アプリへアクセスしアプリを起動する。

　管理システム５０は、専用端末と汎用端末等の多様なプラットフォームの端末１０から認証要求を受け付け、アプリ側に代わって一括して端末１０の認証を行う。これにより、各アプリ側において、認証に要するコストを削減することが可能となる。この場合、プラットフォームの違いから、端末１０毎に利用可能な認証方式は異なっている。このため、正規に認証済みのアカウントによって、端末１０にアプリへのアクセスが認可された場合であっても、用いられた認証方式によっては、アプリ側が期待した信頼性が担保されない場合がある。そこで、本実施形態の通信システム１では、アカウント（端末１０）、アカウントの認証方式、アプリの認可情報を関連付けて管理することで、アプリ利用の認可時に、アプリを利用するアカウント方式を限定して、安全性を担保している。

　＜＜実施形態のハードウェア構成＞＞
　次に、本実施形態のハードウェア構成を説明する。まず、端末１０のハードウェア構成について説明する。端末１０には、通話アプリを利用して端末１０間のテレビ会議を実現するテレビ会議専用端末（専用端末）と、通話アプリを利用可能であるとともにテレビ会議に関連しない用途でも利用可能なＰＣ（Personal Computer）（汎用端末）と、が含まれている。以下、専用端末の外観について説明する。

　図３は、本実施形態に係る端末１０の外観図である。図３に示されているように、端末１０は、筐体１１００、アーム１２００、及びカメラハウジング１３００を備えている。このうち、筐体１１００の前側壁面１１１０には、複数の吸気孔によって形成された不図示の吸気面が設けられており、筐体１１００の後側壁面１１２０には、複数の排気孔が形成された排気面１１２１が設けられている。これにより、筐体１１００に内蔵された冷却ファンの駆動によって、不図示の吸気面を介して端末１０の後方の外気を取り込み、排気面１１２１を介して端末１０の後方へ排気することができる。筐体１１００の右側壁面１１３０には、収音用孔１１３１が形成され、後述する内蔵型のマイク１１４によって音声、物音、雑音等の音が収音可能となっている。

　筐体１１００の右側壁面１１３０側には、操作パネル１１５０が形成されている。この操作パネル１１５０には、後述の複数の操作ボタン（１０８ａ～１０８ｅ）、後述の電源スイッチ１０９、及び後述のアラームランプ１１９が設けられていると共に、後述の内蔵型のスピーカ１１５からの出力音を通すための複数の音声出力孔によって形成された音出面１１５１が形成されている。また、筐体１１００の左側壁面１１４０側には、アーム１２００及びカメラハウジング１３００を収容するための凹部としての収容部１１６０が形成されている。筐体１１００の右側壁面１１３０には、後述の外部機器接続Ｉ／Ｆ１１８に対して電気的にケーブルを接続するための複数の接続口（１１３２ａ～１１３２ｃ）が設けられている。一方、筐体１１００の左側壁面１１４０には、後述の外部機器接続Ｉ／Ｆ１１８に対して電気的にディスプレイ１２０用のケーブル１２０ｃを接続するための不図示の接続口が設けられている。

　なお、以下では、操作ボタン（１０８ａ～１０８ｅ）のうち任意の操作ボタンを示す場合には「操作ボタン１０８」を用い、接続口（１１３２ａ～１１３２ｃ）のうち任意の接続口を示す場合には「接続口１１３２」を用いて説明する。

　次に、アーム１２００は、トルクヒンジ１２１０を介して筐体１１００に取り付けられており、アーム１２００が筐体１１００に対して、１３５度のチルト角θ１の範囲で、上下方向に回転可能に構成されている。図３は、チルト角θ１が９０度の状態を示している。カメラハウジング１３００には、後述の内蔵型のカメラ１１２が設けられており、ユーザ、書類、及び部屋等を撮像することができる。また、カメラハウジング１３００には、トルクヒンジ１３１０が形成されている。カメラハウジング１３００は、トルクヒンジ１３１０を介して、アーム１２００に取り付けられている。そして、カメラハウジング１３００は、トルクヒンジ１３１０を介してアーム１２００に取り付けられており、カメラハウジング１３００がアーム１２００に対して、図３で示されている状態を０度として±１８０度のパン角θ２の範囲で、且つ、±４５度のチルト角θ３の範囲で、上下左右方向に回転可能に構成されている。

　なお、上記図３の外観図はあくまで一例であってこの外観に限定するものではない。端末１０は例えば汎用的なＰＣ、スマートフォン、タブレット型端末、電子黒板、プロジェクターなどの投影装置、自動車に搭載されるカーナビゲーション端末、複合機やプリンタなどの画像形成装置、ウェアラブル端末であってもよい。カメラやマイクは必ずしも内蔵型である必要はなく外付けであってもよい。

　なお、端末１０のうち汎用端末、並びに、管理システム５０、プログラム提供システム９０、及びメンテナンスシステム１００は、それぞれ一般のサーバコンピュータの外観と同じであるため、外観の説明を省略する。

　続いて端末１０のうち専用端末のハードウェア構成について説明する。図４は、本実施形態に係る端末１０のハードウェア構成図である。図４に示されているように、本実施形態の端末１０は、端末１０全体の動作を制御するＣＰＵ(Central Processing Unit)１０１、ＩＰＬ(Initial Program Loader)等のＣＰＵ１０１の駆動に用いられるプログラムを記憶したＲＯＭ(Read Only Memory)１０２、ＣＰＵ１０１のワークエリアとして使用されるＲＡＭ(Random Access Memory)１０３、通信端末１０用のプログラム、画像データ、及び音声データ等の各種データを記憶するフラッシュメモリ１０４、ＣＰＵ１０１の制御にしたがってフラッシュメモリ１０４に対する各種データの読み出し又は書き込みを制御するＳＳＤ（Solid State Drive）１０５、フラッシュメモリ等の記録メディア１０６に対するデータの読み出し又は書き込み（記憶）を制御するメディアドライブ１０７、端末１０の宛先を選択する場合などに操作される操作ボタン１０８、端末１０の電源のＯＮ／ＯＦＦを切り換えるための電源スイッチ１０９、通信ネットワーク２を利用してデータ伝送をするためのネットワークＩ／Ｆ(Interface)１１１を備えている。

　また、端末１０は、ＣＰＵ１０１の制御に従って被写体を撮像して画像データを得る内蔵型のカメラ１１２、このカメラ１１２の駆動を制御する撮像素子Ｉ／Ｆ１１３、音声を入力する内蔵型のマイク１１４、音声を出力する内蔵型のスピーカ１１５、ＣＰＵ１０１の制御に従ってマイク１１４及びスピーカ１１５との間で音声信号の入出力を処理する音声入出力Ｉ／Ｆ１１６、ＣＰＵ１０１の制御に従って外付けのディスプレイ１２０に画像データを伝送するディスプレイＩ／Ｆ１１７、各種の外部機器を接続するための外部機器接続Ｉ／Ｆ１１８、端末１０の各種機能の異常を知らせるアラームランプ１１９、及び上記各構成要素を図４に示されているように電気的に接続するためのアドレスバスやデータバス等のバスライン１１０を備えている。

　ディスプレイ１２０は、被写体の画像や操作用等を表示する液晶や有機ＥＬ(Organic Electroluminescence)によって構成された表示部である。また、ディスプレイ１２０は、ケーブル１２０ｃによってディスプレイＩ／Ｆ１１７に接続される。このケーブル１２０ｃは、アナログＲＧＢ（ＶＧＡ）信号用のケーブルであってもよいし、コンポーネントビデオ用のケーブルであってもよいし、ＨＤＭＩ（登録商標）(High-Definition Multimedia Interface)やＤＶＩ(Digital Video Interactive)信号用のケーブルであってもよい。

　カメラ１１２は、レンズや、光を電荷に変換して被写体の画像（映像）を電子化する固体撮像素子を含み、固体撮像素子として、ＣＭＯＳ(Complementary Metal Oxide Semiconductor)や、ＣＣＤ（Charge Coupled Device）等が用いられる。

　外部機器接続Ｉ／Ｆ１１８には、図６に示されている筐体１１００の接続口１１３２に差し込まれたＵＳＢ(Universal Serial Bus)ケーブル等によって、外付けカメラ、外付けマイク、及び外付けスピーカ等の外部機器がそれぞれ電気的に接続可能である。外付けカメラが接続された場合には、ＣＰＵ１０１の制御に従って、内蔵型のカメラ１１２に優先して、外付けカメラが駆動する。同じく、外付けマイクが接続された場合や、外付けスピーカが接続された場合には、ＣＰＵ１０１の制御に従って、それぞれが内蔵型のマイク１１４や内蔵型のスピーカ１１５に優先して、外付けマイクや外付けスピーカが駆動する。

　なお、記録メディア１０６は、端末１０に対して着脱自在な構成となっている。また、ＣＰＵ１０１の制御にしたがってデータの読み出し又は書き込みを行う不揮発性メモリであれば、フラッシュメモリ１０４に限らず、ＥＥＰＲＯＭ（Electrically Erasable and Programmable ROM）等を用いてもよい。

　続いて端末１０のうち汎用端末のハードウェア構成について、専用端末と異なる点を説明する。図５は、本実施形態に係る端末１０のハードウェア構成図である。汎用端末において、カメラ１１２、マイク１１４、スピーカ１１５は外付けの外部機器であり、それぞれケーブル（１１２ｃ，１１４ｃ，１１５ｃ）によって、外部機器接続Ｉ／Ｆ１１８に接続している。

　また、汎用端末には、操作ボタン１０８が設けられておらず、代わりに、ユーザから文字や選択結果等の入力を受け付ける手段として、キーボード１２０及びマウス１２１が設けられている。また、汎用端末には、アラームランプ１１９が設けられておらず、端末１０の異常を、スピーカ１１５あるいはディスプレイ１２０により通知するように構成されている。

　図６は、本発明の本実施形態に係る管理システム５０のハードウェア構成図である。管理システム５０は、管理システム５０全体の動作を制御するＣＰＵ２０１、ＩＰＬ等のＣＰＵ２０１の駆動に用いられるプログラムを記憶したＲＯＭ２０２、ＣＰＵ２０１のワークエリアとして使用されるＲＡＭ２０３、管理システム５０用のプログラム等の各種データを記憶するＨＤ２０４、ＣＰＵ２０１の制御にしたがってＨＤ２０４に対する各種データの読み出し又は書き込みを制御するＨＤＤ(Hard Disk Drive)２０５、フラッシュメモリ等の記録メディア２０６に対するデータの読み出し又は書き込み（記憶）を制御するメディアドライブ２０７、カーソル、メニュー、ウィンドウ、文字、又は画像などの各種情報を表示するディスプレイ２０８、通信ネットワーク２を利用してデータ通信するためのネットワークＩ／Ｆ２０９、文字、数値、各種指示などの入力のための複数のキーを備えたキーボード２１１、各種指示の選択や実行、処理対象の選択、カーソルの移動などを行うマウス２１２、着脱可能な記録媒体の一例としてのＣＤ－ＲＯＭ(Compact Disc Read Only Memory)２１３に対する各種データの読み出し又は書き込みを制御するＣＤ－ＲＯＭドライブ２１４、及び、上記各構成要素を図６に示されているように電気的に接続するためのアドレスバスやデータバス等のバスライン２１０を備えている。

　一方、中継装置３０、アプリサーバ８０、プログラム提供システム９０、及びメンテナンスシステム１００は、上記管理システム５０と同様のハードウェア構成を有しているため、その説明を省略する。

　続いて、端末１０のソフトウェア構成について説明する。図７は、端末１０のソフトウェア構成図である。図７に示されているように、ＯＳ１０２０、通話アプリ１０３１、残高照会アプリ１０３２、遠隔医療アプリ１０３３は、ＲＡＭ１０３の作業領域１０１０上で動作する。ＯＳ１０２０は、特に限定されないが、工場出荷前から端末１０にインストールされている。また、通話アプリ１０３１、残高照会アプリ１０３２、遠隔医療アプリ１０３３は、工場出荷後にアプリサーバ８０から取得してインストールされたものであっても良い。

　また、これらのうち、ＯＳ１０２０は、基本的な機能を提供し、端末１０全体を管理する基本ソフトウェアである。ブラウザは、ＯＳ１０２０上で動作するソフトウェアであって、情報を一定の目的に沿って表示し閲覧に供するために用いられる。通話アプリ１０３１、残高照会アプリ１０３２、遠隔医療アプリ１０３３は、ブラウザ１０２１上で動作するソフトウェアであって、他の端末１０との通信や、通信料の照会などの目的で用いられる。なお、本発明の一実施形態によると、各通話アプリ１０３１、残高照会アプリ１０３２、遠隔医療アプリ１０３３は、それぞれ異なる通信プロトコルに対応したものであっても良い。

　なお、通話アプリ１０３１、残高照会アプリ１０３２、遠隔医療アプリ１０３３は、一例であって、他のアプリがインストールされていてもよいが、説明の簡略化のために、３種類のアプリを説明した。また、複数の通話アプリがインストールされる場合は、上記(1)～(7)のように、異なるプロトコルの通話アプリがインストールされてもよい。

　＜＜実施形態の機能構成＞＞
　次に、本実施形態の機能構成について説明する。図８は、本実施形態の通信システム１の一部を構成する端末１０、管理システム５０、及びアプリサーバ８０の機能ブロック図である。図８では、端末１０、及び管理システム５０が、通信ネットワーク２を介してデータ通信することができるように接続されている。

　＜通信端末の機能構成＞
　端末１０は、装置制御部１０５０及び通信制御部１０６０を有している。このうち、装置制御部１０５０は、図７に示されているＯＳ１０２０およびブラウザ１０２１が起動することによって実現される。また、通信制御部１０６０は、図７に示されている通話アプリ１０３１、残高照会アプリ１０３２、遠隔医療アプリ１０３３の何れかが起動されることによって実現される。

　また、装置制御部１０５０は、送受信部１１、操作入力受付部１２、表示制御部１３、起動要求部１４、及び記憶・読出部１９を有している。これら各部は、図４あるいは図５に示されている各構成要素のいずれかが、フラッシュメモリ１０４からＲＡＭ１０３上に展開されたプログラムに従ったＣＰＵ１０１からの命令によって動作することで実現される機能である。

　一方、通信制御部１０６０は、送受信部２１、起動部２２、表示制御部２４、機能実行部２５、及び記憶・読出部２９を有している。これら各部は、図４あるいは図５に示されている各構成要素のいずれかが、フラッシュメモリ１０４からＲＡＭ１０３上に展開された通話アプリ（プログラム）に従ったＣＰＵ１０１からの命令によって動作することで実現される機能である。

　また、端末１０は、図４あるいは図５に示されているＲＯＭ１０２、ＲＡＭ１０３、フラッシュメモリ１０４によって構築される記憶部１０００を有している。

　（認証用データ）
　端末１０の記憶部１０００には、端末１０が管理システム５０にログイン要求するときに、ログイン要求元を認証するために用いられる認証情報として認証用データ１００１が記憶されている。本発明の一実施形態によると、端末１０のうち、専用端末には証明書情報が記憶されており、さらに、任意にパスワードが記憶されている。これにより、専用端末ではクライアント証明書認証が利用可能であり、任意にパスワード認証が利用可能となる。汎用端末にはパスワードが記憶されている。これにより、汎用端末ではパスワード認証が利用可能となる。

　（装置制御部の各機能構成）
　次に、図８を用いて、端末１０における装置制御部１０５０の各機能構成について詳細に説明する。なお、以下では、端末１０における装置制御部１０５０の各機能構成を説明するにあたって、図４あるいは図５に示されている各構成要素のうち、装置制御部１０５０の各機能構成を実現させるための主な構成要素との関係も説明する。

　図８に示されている端末１０の送受信部１１は、図４あるいは図５に示されているＣＰＵ１０１からの命令、及びネットワークＩ／Ｆ１１１によって実現され、通信ネットワーク２を介して、相手側の端末、各装置又はシステム等と各種データ（または情報）の送受信を行う。

　操作入力受付部１２は、図４あるいは図５に示されているＣＰＵ１０１からの命令、並びに図３に示されている操作ボタン（１０８ａ、１０８ｂ、１０８ｃ、１０８ｄ、１０８ｅ）及び電源スイッチ１０９によって実現され、ユーザによる各種入力又は各種選択を受け付ける。例えば、ユーザが、図３に示されている電源スイッチ１０９をＯＮにすると、図８に示されている操作入力受付部１２が電源オンを受け付けて、電源をＯＮにする。

　表示制御部１３は、図４あるいは図５に示されているＣＰＵ１０１からの命令、及びディスプレイＩ／Ｆ１１７によって実現され、通信する際に相手側から送られてきた画像データをディスプレイ１２０に送信するための制御を行う。

　記憶・読出部１９は、図４あるいは図５に示されているＣＰＵ１０１からの命令及びＳＳＤ１０５によって実行され、又はＣＰＵ１０１からの命令によって実現され、記憶部１０００に各種データを記憶したり、記憶部１０００に記憶された各種データを読み出す処理を行う。

　起動要求部１４は、図４あるいは図５に示されているＣＰＵ１０１からの命令に基づいて、ブラウザ１０２１によって実現される機能であって、通信制御部１０６０に対して、通話アプリ（１０３１、１０３２、１０３３、１０３４）の起動を要求する。

　（通信制御部の各機能構成）
　次に、図４、図５、及び図８を用いて、端末１０における通信制御部１０６０の各機能構成について詳細に説明する。なお、以下では、端末１０における通信制御部１０６０の各機能構成を説明するにあたって、図４あるいは図５に示されている各構成要素のうち、通信制御部１０６０の各機能構成を実現させるための主な構成要素との関係も説明する。

　図８に示されている送受信部２１は、図４あるいは図５に示されているＣＰＵ１０１からの命令、及びネットワークＩ／Ｆ１１１によって実現され、通信ネットワーク２を介して、相手側の端末、各装置又はシステム等と各種データ（または情報）の送受信を行う。

　起動部２２は、図４あるいは図５に示されているＣＰＵ１０１からの命令によって実現され、装置制御部１０５０の操作入力受付部１２がユーザによるアプリの選択を受け付けた場合に、操作入力受付部１２の起動要求に基づいて通信制御部１０６０（通話アプリ）の動作を起動する。

　表示制御部２４は、図４あるいは図５に示されているＣＰＵ１０１からの命令、及びディスプレイＩ／Ｆ１１７によって実現され、画面のデータをディスプレイ１２０に送信するための制御を行う。

　機能実行部２５は、図４あるいは図５に示されているＣＰＵ１０１からの命令、及びカメラ１１２、マイク１１４、又はスピーカ１１５等によって実現され、画像又は音等による通信を実現するための制御を行う。

　記憶・読出部２９は、図４あるいは図５に示されているＣＰＵ１０１からの命令及びＳＳＤ１０５によって実行され、又はＣＰＵ１０１からの命令によって実現され、記憶部１０００に各種データを記憶したり、記憶部１０００に記憶された各種データを読み出す処理を行う。

　＜管理システムの機能構成＞
　管理システム５０は、送受信部５１、認証部５２、起動制御部５５、及び記憶・読出部５９を有している。これら各部は、図６に示されている各構成要素のいずれかが、ＨＤ２０４からＲＡＭ２０３上に展開された管理システム５０用のプログラムに従ったＣＰＵ２０１からの命令によって動作することで実現される機能又は手段である。また、管理システム５０は、図６に示されているＨＤ２０４により構築される記憶部５０００を有している。この記憶部５０００には、以下に示すような各テーブルによって構成されているＤＢ（５００１，５００３，５００４，５００６，５００７）が構築される。

　（端末認証管理テーブル）
　図９は、端末認証管理テーブルを示す概念図である。記憶部５０００には、図９に示されているような端末認証管理テーブルによって構成されている端末認証管理ＤＢ５００１が構築されている。この端末認証管理テーブルでは、管理システム５０によって管理される全ての端末１０の各端末ＩＤに対して、認証用のパスワード、及び、クライアント証明書認証の許否を示す情報が関連付けられて管理される。例えば、図９に示されている端末認証管理テーブルにおいて、端末ＩＤが「０１ａａ」である端末１０ａａは、パスワード認証を利用可能であり、パスワード認証用のパスワードは「ａａａａ」であることが示されている。また、端末認証管理テーブルにおいて、端末ＩＤが「０１ａｂ」である端末１０ａｂは、クライアント証明書認証を利用可能であることが示されている。更に、端末認証管理テーブルにおいて、端末ＩＤが「０１ａｃ」である端末１０ａｃは、パスワード認証、及びクライアント証明書認証を利用可能であり、パスワード認証用のパスワードは「ｃｃｃｃ」であることが示されている。なお、端末１０毎に利用可能な認証方式を限定することにより、端末１０毎に、利用可能なアプリ全体に対して、利用可能な認証方式を限定することができる。なお、本実施形態において、端末ＩＤは、通信先の端末１０を特定可能な情報であればよく、端末１０固有の情報以外に端末１０に固有ではない情報であってもよい。例えば端末１０を利用するユーザを識別する情報であってもよいし、端末１０が読み込み可能な記録媒体に記憶された識別情報であってもよい。

　（アプリ利用管理テーブル）
　図１０は、アプリ利用管理テーブルを示す概念図である。記憶部５０００には、図１０に示されているようなアプリ利用管理テーブルによって構成されているアプリ利用管理ＤＢ５００３が構築されている。このアプリ利用管理テーブルでは、端末１０を識別するための端末ＩＤ及びテレビ会議用のアプリのそれぞれを識別するためのアプリＩＤ毎に、アプリの利用可否を示す利用可否情報を関連付けて管理している。なお、利用可否情報「Ｏｎ」は利用可能である旨を示し、利用可否情報「Ｏｆｆ」は利用可能でない旨を示す。

　また、アプリ利用管理テーブルでは、アプリを利用可能である場合に、その条件を追加して管理することができる。例えば、図１０に示されているアプリ利用管理テーブルにおいて、端末ＩＤが「０１ａａ」である端末１０ａａでは、アプリＩＤが「ａ００１」で識別される通話アプリ、及び、アプリＩＤが「ａ００２」で識別される残高照会アプリを利用可能であり、アプリＩＤが「ａ００３」で識別される遠隔医療アプリを利用可能でない旨が示されている。この場合、通話アプリの利用可能期間は、「２０１４年１月１日」から「２０１４年９月３０日」までである。

　（アプリＵＲＬ管理テーブル）
　図１１は、アプリＵＲＬ管理テーブルを示す概念図である。記憶部５０００には、図１１に示されているようなアプリＵＲＬ管理テーブルによって構成されているアプリＵＲＬ管理ＤＢ５００４が構築されている。このアプリＵＲＬ管理テーブルでは、複数のアプリＩＤのそれぞれに、これらのアプリのアイコンデータの通信ネットワーク２におけるＵＲＬ情報及びこれらのアプリの通信ネットワーク２におけるＵＲＬ情報を関連付けて管理している。

　（アプリ認可管理テーブル）
　図１２は、アプリ認可管理テーブルを示す概念図である。記憶部５０００には、図１２に示されているようなアプリ認可管理テーブルによって構成されているアプリ認可管理ＤＢ５００６が構築されている。このアプリ認可管理テーブルでは、各アプリを識別するためのアプリＩＤ毎に、このアプリの起動要求元の認証方法として有効な認証方式を関連付けて管理している。これにより、管理システム５０は、端末１０から所望のアプリの起動要求を受け付けたときに、所望のアプリにおいて有効な認証方式で端末１０が認証されていることを条件として、アプリへのアクセスを認可することが可能となる。なお、図１２に示すアプリ認可管理テーブルでは、アプリＩＤ「ａ００１」で識別される通話アプリは、起動要求元がパスワード認証またはクライアント証明書認証により認証されている場合には、アプリへのアクセスが認可されることが示されている。また、アプリ認可管理テーブルでは、アプリＩＤ「ａ００３」で識別される遠隔医療アプリは、起動要求元がクライアント証明書認証により認証されている場合には、アプリへのアクセスが認可されることが示されている。

　（アクセストークン管理テーブル）
　図１３は、アクセストークン管理テーブルを示す概念図である。記憶部５０００には、に示されているようなアクセストークン管理テーブルによって構成されているアクセストークン管理ＤＢ５００７が構築されている。このアクセストークン管理テーブルでは、端末１０の端末ＩＤ、及び、テレビ会議用のアプリのそれぞれを識別するためのアプリＩＤ毎に、アプリへのアクセスが認可されたことを示す認可情報としてのアクセストークンを関連付けて管理している。例えば、図１３に示すアクセストークン管理テーブルでは、端末ＩＤ「０１ａａ」で識別される端末１０ａａが、アプリＩＤ「ａ００１」で識別される通話アプリへのアクセスが認可されたときに、認可情報としてアクセストークン「ａｂｃｄｅｆｇ」が発行されることが示されている。

　（管理システムの各機能構成）
　次に、通信管理システム５０の各機能構成について詳細に説明する。なお、以下では、通信管理システム５０の各機能構成を説明するにあたって、図６に示されている各構成要素のうち、通信管理システム５０の各機能構成を実現させるための主な構成要素との関係も説明する。

　送受信部５１は、図６に示されているＣＰＵ２０１からの命令、及び図６に示されているネットワークＩ／Ｆ２０９によって実行され、通信ネットワーク２を介して各端末、装置又はシステムと各種データ（または情報）の送受信を行う。

　認証部５２は、図６に示されているＣＰＵ２０１からの命令によって実現され、送受信部５１で受信された端末ＩＤ及びパスワードを検索キーとして、端末認証管理テーブル（図９参照）を検索し、この端末認証管理テーブルに同一の端末ＩＤ及びパスワードが管理されているかを判断することによって端末の認証を行う。

　起動制御部５５は、図６に示されているＣＰＵ２０１からの命令によって実現され、起動要求にかかるアプリの起動の可否を判断して、アプリの起動を制御する。

　記憶・読出部５９は、図６に示されているＣＰＵ２０１からの命令及び図６に示すＨＤＤ２０５によって実行され、又はＣＰＵ２０１からの命令によって実現され、記憶部５０００に各種データを記憶したり、記憶部５０００に記憶された各種データを抽出する処理を行う。

　＜アプリサーバの機能構成＞
　アプリサーバ８０は、送受信部８１、及び記憶・読出部８９を有している。これら各部は、図６に示されている各構成要素のいずれかが、ＨＤ２０４からＲＡＭ２０３上に展開されたアプリサーバ８０用のプログラムに従ったＣＰＵ２０１からの命令によって動作することで実現される機能又は手段である。また、アプリサーバ８０は、図６に示されているＨＤ２０４により構築される記憶部８０００を有している。

　（アプリホスティングＤＢ）
　記憶部８０００には、アプリホスティングＤＢ８００１が構築されている。アプリホスティングＤＢは、アプリサーバ８０にアップロードされたアプリを記憶して管理する。

　送受信部８１は、図６に示されているＣＰＵ２０１からの命令、及び図６に示されているネットワークＩ／Ｆ２０９によって実行され、通信ネットワーク２を介して各端末、装置又はシステムと各種データ（または情報）の送受信を行う。

　記憶・読出部８９は、図６に示されているＣＰＵ２０１からの命令及び図６に示すＨＤＤ２０５によって実行され、又はＣＰＵ２０１からの命令によって実現され、記憶部８０００に各種アプリを記憶したり、記憶部８０００に記憶された各種アプリを抽出する処理を行う。

　＜＜実施形態の処理または動作＞＞
　続いて、図１４を用いて本実施形態の処理または動作の概要について説明する。図１４は、通信システム１における各種情報の送受信の状態を示した概念図である。管理システム５０（アクセス制御装置の一例）は、端末１０からの要求に基づいて、アプリの起動を制御（通信端末からアプリケーションへのアクセスの制御の一例）する。管理システム５０のアプリ認可管理ＤＢ５００６（認証方式管理手段の一例）は、アプリを識別するためのアプリＩＤ毎に、このアプリの起動要求元（アクセス要求元の一例）を認証するために有効な認証方式（認証情報の一例）を関連付けて管理する。管理システム５０の認証部５２（認証手段の一例）は、端末１０からのログイン要求に基づいて、この端末１０において利用可能な認証方式により、ログイン要求元である端末１０を認証する。管理システム５０の送受信部５１（アクセス要求受付手段の一例）は、端末１０から、所望のアプリの起動の要求（所望のアプリケーションへのアクセスを伴う要求の一例）を受け付ける。アプリ認可管理ＤＢ５００６において、上記の所望のアプリのアプリＩＤに関連付けられて、上記の端末１０の認証に用いられた認証方式が管理されていない場合には、起動制御部５５（アクセス制御手段の一例）は、上記の所望のアプリにアクセスさせないように制御する。一方、アプリ認可管理ＤＢ５００６において、上記の所望のアプリのアプリＩＤに関連付けられて、上記の端末１０の認証に用いられた認証方式が含まれている場合には、起動制御部５５は、端末１０を上記の所望のアプリのＵＲＩを端末１０へ通知することにより、端末１０から所望のアプリへアクセス可能となるように制御する。これにより、管理システム５０は、各端末１０を任意の認証方式により認証していた場合でも、この認証方式が、アプリの起動要求元を認証するための有効な認証方式でない場合には、アプリへアクセスさせないようにすることが可能となるので、アプリ側が期待する安全性を担保しやすくなる。

　管理システム５０のアプリ利用管理ＤＢ５００３（アプリケーション管理手段の一例）は、アプリの起動要求元（アクセス要求元の一例）である端末１０の端末ＩＤ毎に、この端末１０において利用可能なアプリのアプリＩＤ（アプリケーション情報の一例）を関連付けて管理する。起動制御部５５は、アプリ利用管理ＤＢ５００３において、所望のアプリの起動の要求元である端末１０の端末ＩＤに関連付けられて、所望のアプリを示すアプリＩＤが管理されていない場合には、所望のアプリが起動しないように制御する。一方、アプリ利用管理ＤＢ５００３において、所望のアプリの起動の要求元である端末１０の端末ＩＤに関連付けられて、所望のアプリを示すアプリＩＤが管理されている場合には、所望のアプリの起動を制御する。この場合、アプリの利用の可否および認証方式の有効性の両方に基づいて、アプリへのアクセスを制御できるようになるので、安全性が向上する。

　アプリ利用管理ＤＢ５００３は、アプリの起動要求元である端末１０の端末ＩＤ及びアプリＩＤ毎に、アプリを利用可能な期間（期間情報の一例）を関連付けて管理する。これにより、端末１０において利用可能なアプリ毎に、利用可能な期間を設定することが可能となる。

　通信システム１のアプリサーバ８０におけるアプリホスティングＤＢ８００１（記憶手段の一例）は、端末１０上で動作するアプリを記憶する。管理システム５０の起動制御部５５は、アプリホスティングＤＢ８００１に記憶されたアプリにアクセスするためのＵＲＩ（アクセス情報の一例）を端末１０へ通知することにより、端末１０におけるアプリの起動を制御することができる。

　続いて、本実施形態の処理または動作について、詳細に説明する。まず、図１５を用いて、端末１０において通信を開始する準備段階の処理について説明する。図１５は、通信を開始する準備段階の処理を示したシーケンス図である。ユーザが、図３に示されている電源スイッチ１０９をＯＮにすると、図８に示されている操作入力受付部１２が電源ＯＮを受け付けて、端末１０を起動させる（ステップＳ１）。そして、送受信部１１は、上記電源ＯＮの受け付けを契機とし、端末１０において利用可能な認証方式により、通信ネットワーク２を介して管理システム５０に、ログイン要求を行う（ステップＳ２）。これにより、管理システム５０の送受信部５１は、ログイン要求を受け付ける。なお、ログイン要求はログイン要求元の端末１０のユーザによる指示入力を契機としてもよい。

　このログイン要求には、要求元としての自端末である端末１０を識別するための端末ＩＤ及び端末１０において利用可能な認証方式に応じて、ログイン要求元を認証するための認証情報が含まれている。なお、認証情報としては、パスワードあるいはクライアント証明書情報などが挙げられる。これら端末ＩＤ及び認証情報は、記憶・読出部１９を介して記憶部１０００から読み出されて、送受信部１１に送られたデータである。なお、これら端末ＩＤ及びパスワードは、ログイン要求元の端末１０のユーザによって入力されてもよい。また、端末１０から管理システム５０へログイン要求情報が送信される際は、受信側である管理システム５０は、送信側である端末１０のＩＰアドレスを取得することができる。

　次に、管理システム５０の認証部５２は、送受信部５１を介して受信したログイン要求情報に含まれている端末ＩＤ及び認証情報に基づいて、ログイン要求元である端末１０の認証を行う（ステップＳ３）。この場合、端末１０が、パスワード認証を要求してきた場合には、端末１０から送信されたパスワードを検索キーとして、記憶部５０００の端末認証管理テーブル（図９参照）を検索し、この端末認証管理テーブルに同一の端末ＩＤ及びパスワードが管理されているかを判断することによって端末認証を行う。また、端末１０が、クライアント証明書認証を要求してきた場合には、端末１０から送信された端末ＩＤを検索キーとして、記憶部５０００の端末認証管理テーブル（図９参照）を検索し、この端末１０のクライアント証明書認証が許可されているか否かを参照する。クライアント証明書認証が許可されている場合には、端末１０から送信されたクライアント証明書情報が正当なものであるか否かを判断することによって端末認証を行う。

　端末１０の認証に成功した場合には、記憶・読出部５９は、ログイン要求元の端末１０の端末ＩＤに関連付けて、認証に用いた認証方式を関連付けて記憶部５０００に記憶して管理させる（ステップＳ４）。そして、管理システム５０の送受信部５１は、上記認証部５２によって得られた認証結果が示された認証結果情報を、通信ネットワーク２を介して、ログイン要求元の端末１０に送信する（ステップＳ５）。これにより、ログイン要求元の端末１０の送受信部１１は、認証結果情報を受信する。続いて、認証部５２によって正当な利用権限を有する端末であると判断された場合につき、以下説明する。

　続いて、図１６を用いて、端末１０において、起動要求するアプリの候補を示すアプリアイコンを表示させるまでの処理を説明する。図１６は、アプリアイコンを表示させるまでの処理を示したシーケンス図である。

　端末１０が、ステップＳ１からステップＳ５の処理を経て管理システム５０にログインした後、端末１０の送受信部１１は、通信ネットワーク２を介して管理システム５０に、利用可能アプリの候補のリストを要求する（ステップＳ３１）。これにより、管理システム５０の送受信部５１は、利用可能アプリの要求を受け付ける。この要求には、リスト要求元の端末１０の端末ＩＤが含まれている。

　次に、管理システム５０の記憶・読出部５９は、上記ステップＳ３１によって受信されたリスト要求元の端末１０の端末ＩＤを検索キーとしてアプリ利用管理テーブル（図１０を参照）を検索することにより、この端末ＩＤに対応するアプリＩＤ、および利用条件（有効期間開始日、および有効期間終了日）を読み出す（ステップＳ３２）。更に、記憶・読出部５９は、上記ステップＳ３２によって読み出されたアプリＩＤのうち、利用条件が設定されている場合には、この処理の時点で有効期間内（有効期間開始日から有効終了日までの期間）を抽出し、抽出されたアプリＩＤを検索キーとして、アプリＵＲＬ管理テーブル（図１１を参照）を検索することにより、このアプリＩＤに対応するアイコンのＵＲＬ情報を読み出す（ステップＳ３３）。

　次に、送受信部１１は、通信ネットワーク２を介してリスト要求元の端末１０に、利用可能なアプリの候補のリストとして利用可能アプリ情報を送信する（ステップＳ３４）。この利用可能アプリ情報には、上記ステップＳ３３で読み出されたアイコンのＵＲＬ情報が含まれている。これにより、リスト要求元の端末１０の送受信部１１は、利用可能アプリ情報を受信する。

　次に、端末１０の送受信部１１は、上記ステップＳ３４によって受信したアイコンのＵＲＬで示される、アプリホスティングＤＢ８００１内のリソースにアクセスして、アイコンの画像情報の取得を要求する（ステップＳ３５）。これにより、アプリサーバ８０の送受信部８１は、アイコンの画像情報の取得要求を受け付ける。

　次に、アプリサーバ８０の記憶・読出部８９は、記憶部８０００のアプリホスティングＤＢ８００１から、上記ステップＳ３５によって要求されたアイコンの画像情報を読み出す（ステップＳ３６）。そして、送受信部８１は、通信ネットワーク２を介して取得要求元の端末１０に、アイコンの画像情報を送信する（ステップＳ３７）。これにより、要求元の端末１０の送受信部１１は、アイコンの画像情報を受信する。

　次に、表示制御部１３は、ディスプレイ１２０上に、図１８に示されているような「アプリリスト」画面１４０を表示させる（ステップＳ３８）。なお、図１８は、アプリリストの画面例を示した図である。この画面１４０には、有効期間内のアプリのアイコンが表示される。ここでは、３つの各アプリＩＤ（ａ００１，ａ００２，ａ００３）で示される３つのアプリのアイコン（１４１，１４２，１４３）が表示される。

　続いて、図１７を用いて、アプリのリストの中から所望のアプリを示すアプリアイコンの選択することにより、選択されたアプリの起動を要求する処理を説明する。なお、図１７は、アプリの起動を要求する処理を示したシーケンス図である。

　まず、ユーザの操作により、図１８に示されている複数のアイコンのうち、所望のアイコンが選択されると、端末１０の操作入力受付部１２は、ユーザによるアプリアイコンの選択を受け付ける（ステップＳ４１）。続いて、端末１０の送受信部１１は、通信ネットワーク２を介して管理システム５０へ、選択されたアプリの起動の要求を示す起動要求情報を送信する（ステップＳ４２）。起動要求情報には、起動要求元の端末１０の端末ＩＤ、及び、選択されたアプリのアプリＩＤが含まれている。

　管理システム５０の送受信部５１は、起動要求情報を受信することにより起動要求を受け付ける。起動要求が受け付けられると管理システム５０の起動制御部５５は、起動要求にかかるアプリの起動の可否を判断する（ステップＳ４３）。ステップＳ４３の処理について図１９を用いて詳細に説明する。図１９は、アプリの起動の可否を判断する処理を示したフロー図である。

　まず、管理システム５０の記憶・読出部５９は、起動要求元の端末１０の端末ＩＤを検索キーとして、記憶部５０００を検索することにより、起動要求元の端末１０の利用した認証方式を抽出する（ステップＳ４３－１）。続いて、記憶・読出部５９は、起動要求にかかるアプリのアプリＩＤを検索キーとして、アプリ認可管理テーブル（図１２参照）を検索することにより、対応する認証方式を抽出する（ステップＳ４３－２）。

　続いて、起動制御部５５は、ステップＳ４３－２で抽出された認証方式に、ステップＳ４３－１で抽出された認証方式が含まれているか否かを判断する（ステップＳ４３－３）。ステップＳ４３－２で抽出された認証方式に、ステップＳ４３－１で抽出された認証方式が含まれている場合（ステップＳ４３－３のＹＥＳ）、起動制御部５５は、アプリの起動要求を許可し、アプリの起動を制御する（ステップＳ４３－４）。

　この場合、起動制御部５５は、起動要求元の端末１０の端末ＩＤおよび起動要求にかかるアプリのアプリＩＤを検索キーとして、アクセストークン管理テーブル（図１３参照）を検索することにより対応するアクセストークンを抽出する（ステップＳ４３－５）。続いて、起動制御部５５は、起動要求に係るアプリのアプリＩＤを検索キーとして、アプリＵＲＬ管理テーブル（図１１を参照）を検索することにより、対応するアプリのＵＲＬ情報を読み出す（ステップＳ４３－６）。

　一方、ステップＳ４３－２で抽出された認証方式に、ステップＳ４３－１で抽出された認証方式が含まれていない場合（ステップＳ４３－３のＮＯ）、起動制御部５５は、アプリの起動要求を拒否する（ステップＳ４３－７）。この場合、送受信部５１は、起動要求元の端末１０へ、エラーメッセージを送信することにより処理を終了する（ステップＳ４３－８）。

　起動制御部５５によって、アプリの起動が許可された場合について説明を続ける。まず、管理システム５０の送受信部５１は、起動要求元の端末１０へ、アプリの起動の許可を示す起動可否情報を送信する（ステップＳ４４）。なお、ステップＳ４３－４において、起動が許可された場合には、起動要求に係るアプリにアクセスするための情報として、ステップＳ４３－５で抽出されたアクセストークンと、ステップＳ４３－６で抽出されたアプリのＵＲＬ情報も送信されることになる。

　起動要求元の端末１０の送受信部１１が、起動可否情報を受信すると、表示制御部１３は、起動可否を示す起動可否情報をディスプレイ１２０に表示させる。起動が許可された場合には、図８に示される装置制御部１０５０の起動要求部１４は、通信制御部１０６０の起動部２２に対して、起動を命令することで、通信制御部１０６０が起動する（ステップＳ４５）。即ち、ユーザに選択されたアプリが起動することになる。なお、これよりも前の処理は、装置制御部１０５０による処理であったが、これ以降は、通信制御部１０６０による処理となる。

　アプリが起動すると、送受信部２１は、ステップＳ４４で送信されたアクセストークンをアプリサーバ８０に送信するとともに、起動可否情報に含まれるアプリのＵＲＬにアクセスして、アプリのダウンロードを要求する（ステップＳ４６）。アプリのダウンロード要求がアプリサーバ８０の送受信部８１で受け付けられると、記憶読出部８９はＵＲＬにより特定されるアプリを読み出す（ステップＳ４７）。読み出されたアプリは、送受信部８１によってダウンロードの要求元の端末１０へ送信される。これにより、起動要求元の端末１０では、ブラウザ１０２１上でアプリを動作させることが可能となる。

　〔第２の実施形態〕
　続いて、第２の実施形態について、第１の実施形態と異なる点を説明する。第２の実施形態の通信システム１は、図２０に示されているように管理システム５０が、リスト作成部５６を有している点で第１の実施形態とは、異なる。なお、図２０は、管理システム５０の機能ブロック図である。リスト作成部５６は、端末１０において起動の要求が可能なアプリのリストを作成する。

　続いて、図２１を用いて、第２の実施形態の処理又は動作について詳細に説明する。図２１は、アプリのリストを作成する処理を示したフロー図である。第２の実施形態では、第１の実施形態におけるステップＳ３２の処理が、図２１に示された一連の処理に変更されている。

　まず、管理システム５０の記憶・読出部５９は、リスト要求元の端末１０の端末ＩＤを検索キーとしてアプリ利用管理テーブル（図１０を参照）を検索することにより、この端末ＩＤに対応するアプリＩＤ、有効期間開始日、および有効期間終了日を読み出す（ステップＳ３２－１）。続いて、リスト作成部５６は、読み出されたアプリＩＤの中から、処理の時点で有効期間内ではないアプリＩＤを除くことによりリストに含めるアプリの候補を特定する（ステップＳ３２－２）。

　続いて、記憶・読出部５９は、リスト要求元の端末１０の端末ＩＤを検索キーとして、記憶部５０００を検索することにより、リスト要求元の端末１０の利用した認証方式を抽出する（ステップＳ３２－３）。更に、記憶・読出部５９は、ステップＳ３２－２で特定された各候補のアプリのアプリＩＤを検索キーとして、アプリ認可管理テーブル（図１２参照）を検索することにより、対応する認証方式を抽出する（ステップＳ３２－４）。

　続いて、リスト作成部５６は、ステップＳ３２－３で抽出された認証方式と、ステップＳ３２－４で抽出された認証方式とが一致するか否かを候補となるアプリ毎に判断する（ステップＳ３２－５）。

　認証方式が一致する場合（ステップＳ３２－５のＹＥＳ）、リスト作成部５６は、候補のアプリを起動要求可能なアプリのリストに含める旨の判断をする（ステップＳ３２－６）。認証方式が一致しない場合（ステップＳ３２－５のＮＯ）、候補のアプリを起動要求可能なアプリのリストに含めない旨の判断をする（ステップＳ３２－７）。

　各アプリについてリストに含めるか否かの判断が完了すると、リスト作成部５６は、リストに含めると判断されたアプリＩＤにより、端末１０において起動の要求が可能なアプリのリストを作成する（ステップＳ３２－８）
　リストが完成すると、記憶・読出部５９は、上記ステップＳ３２によって作成されたリストに含まれる各アプリＩＤを検索キーとして、アプリＵＲＬ管理テーブル（図１１を参照）を検索することにより、このアプリＩＤに対応するアイコンのＵＲＬ情報を読み出す（ステップＳ３３）。以後の処理は、第１の実施形態と同様であるので説明を省略する。

　＜＜実施形態の補足＞＞
　上記実施形態における中継装置３０、管理システム５０、プログラム提供システム９０、及びメンテナンスシステム１００は、単一のコンピュータによって構築されてもよいし、各部（機能又は手段）を分割して任意に割り当てられた複数のコンピュータによって構築されていてもよい。また、プログラム提供システム９０が単一のコンピュータによって構築されている場合には、プログラム提供システム９０によって送信されるプログラムは、複数のモジュールに分けて送信されるようにしてもよいし、分けないで送信されるようにしてもよい。更に、プログラム提供システム９０が複数のコンピュータによって構築されている場合には、複数のモジュールが分けられた状態で、各コンピュータから送信されるようにしてもよい。

　また、上記各実施形態の端末用プログラム、中継装置用プログラム、又は伝送管理用プログラムが記憶されたＣＤ－ＲＯＭ等の記録媒体、並びに、これらプログラムが記憶されたＨＤ２０４、及びこのＨＤ２０４を備えたプログラム提供システム９０は、いずれもプログラム製品(Program Product)として、国内又は国外へ、上記端末用プログラム、中継装置用プログラム、及び伝送管理用プログラムが利用者等に提供される場合に用いられる。

　更に、上記実施形態の各ＩＤは、それぞれを一意に識別するために使われる言語、文字、記号、又は各種のしるし等の識別情報を示す。また、各ＩＤは、上記言語、文字、記号、及び各種のしるしのうち、少なくとも２つが組み合わされた識別情報であってもよい。

　例えば、アプリＩＤは、アプリ識別情報の一例であって、このアプリ識別情報には、アプリＩＤの他に、アプリの名称等も含まれる。また、端末ＩＤは、端末識別情報の一例であって、この端末識別情報には、端末ＩＤの他に、端末１０の製造番号、端末１０のユーザに割り当てられたユーザＩＤ等も含まれる。

　また、図１８に示されているアイコンは、文字、絵記号、又は、絵記号に文字もしくは記号が含まれていてもよい。

　また、上記では、端末１０の一例としてテレビ会議端末について説明したが、これに限るものではない。例えば、要求元端末と宛先端末のうちの一方又は両方が、ＩＰ(Internet Protocol)電話機、インターネット電話機、ＰＣ(Personal Computer)等であってもよい。更に、通信が可能な端末だけでなく、通信以外に様々なデータ通信が可能な情報処理端末として、スマートフォン、タブレット端末、ゲーム機、カーナビゲーション装置等の通信端末であってもよい。この場合、通信管理システム５０は、通信管理システムとして各種処理を実行する。

　本国際出願は、２０１４年１月３１日に出願した日本国特許出願２０１４－０１６９２２号に基づく優先権を主張するものであり、２０１４－０１６９２２号の全内容をここに本国際出願に援用する。

１　通信システム
１０　通信端末
１１　送受信部（アクセス要求受付手段の一例）
１２　操作入力受付部
１３　表示制御部
１４　起動制御部
１９　記憶・読出部
２１　送受信部
２２　起動部
２４　表示制御部
２５　機能実行部
２９　記憶・読出部
５０　通信管理システム（アクセス制御装置の一例）
５１　送受信部
５２　認証部（認証手段の一例）
５５　起動制御部（アクセス制御手段の一例）
５６　リスト作成部
５９　記憶・読出部
８０　アプリサーバ
８１　送受信部
８９　記憶・読出部
１０００　記憶部
５０００　記憶部
５００１　端末認証管理ＤＢ
５００３　アプリ利用管理ＤＢ（アプリケーション管理手段の一例）
５００４　アプリＵＲＬ管理ＤＢ
５００６　アプリ認可管理ＤＢ（認証方式管理手段の一例）
５００７　アクセストークン管理ＤＢ
８０００　記憶部
８００１　アプリホスティングＤＢ（記憶手段の一例）

Claims

　通信端末からアプリケーションへのアクセスを制御するアクセス制御装置であって、
　前記アプリケーション毎に、前記アプリケーションへのアクセス要求元を認証するために有効な認証方式を示す認証情報を関連付けて管理する認証方式管理手段と、
　通信端末からの要求に基づいて、前記通信端末において利用可能な認証方式により要求元を認証する認証手段と、
　前記通信端末から、所望のアプリケーションへのアクセスを伴う要求を受け付けるアクセス要求受付手段と、
　前記認証方式管理手段において、前記所望のアプリケーションに関連付けられて、前記認証に用いられた認証方式を示す認証情報が管理されていない場合には、前記通信端末を前記所望のアプリケーションにアクセスさせないように制御し、前記認証方式管理手段において、前記所望のアプリケーションに関連付けられて、前記認証に用いられた認証方式を示す認証情報が管理されている場合には、前記通信端末から前記所望のアプリケーションへのアクセスを制御するアクセス制御手段と、
　を有することを特徴とするアクセス制御装置。
　前記アプリケーションへのアクセス要求元毎に、前記アクセス要求元において利用可能なアプリケーションを示すアプリケーション情報を関連付けて管理するアプリケーション管理手段を有しており、
　前記アクセス制御手段は、前記アプリケーション管理手段において、前記所望のアプリケーションへのアクセス要求元に関連付けられて、前記所望のアプリケーションを示すアプリケーション情報が管理されていない場合には、前記通信端末を前記所望のアプリケーションにアクセスさせないように制御し、前記アクセス要求元に関連付けられて、前記所望のアプリケーションを示すアプリケーション情報が管理されている場合には、前記通信端末から前記所望のアプリケーションへのアクセスを制御することを特徴とする請求項１に記載のアクセス制御装置。
　前記アプリケーション管理手段は、前記アクセス要求元および前記アプリケーション情報毎に、前記アプリケーションを利用可能な期間を示す期間情報を関連付けて管理することを特徴とする請求項２に記載のアクセス制御装置。
　請求項１乃至３のいずれか一項に記載のアクセス制御装置と、
　前記アプリケーションを記憶した記憶手段を有するアプリケーションサーバと、
　を有することを特徴とする通信システム。
　前記アクセス制御手段は、前記アプリケーションサーバの前記記憶手段に記憶された前記所望のアプリケーションにアクセスするためのアクセス情報を前記通信端末に通知することにより、前記所望のアプリケーションへのアクセスを制御することを特徴とする請求項４に記載の通信システム。
　前記アクセス要求元としての通信端末を更に有することを特徴とする請求項４又は５に記載の通信システム。
　　通信端末からアプリケーションへのアクセスを制御するアクセス制御装置のプロセッサに、
　前記通信端末からの要求に基づいて、前記通信端末において利用可能な認証方式により要求元を認証する認証ステップと、
　前記通信端末から、前記所望のアプリケーションへのアクセスを伴う要求を受け付けるアクセス要求受付ステップと、
　前記認証方式管理手段において、前記所望のアプリケーションに関連付けられて、前記認証に用いられた認証方式を示す認証情報が管理されていない場合には、前記通信端末を前記所望のアプリケーションにアクセスさせないように制御し、前記認証方式管理手段において、前記所望のアプリケーションに関連付けられて、前記認証に用いられた認証方式を示す認証情報が管理されている場合には、前記通信端末から前記所望のアプリケーションへのアクセスを制御するアクセス制御ステップと、
を実行させることを特徴とするプログラム
　通信端末からアプリケーションへのアクセスを制御するアクセス制御装置のプロセッサに、
　前記通信端末からの要求に基づいて、前記通信端末において利用可能な認証方式により要求元を認証する認証ステップと、
　前記通信端末から、前記所望のアプリケーションへのアクセスを伴う要求を受け付けるアクセス要求受付ステップと、
　前記認証方式管理手段において、前記所望のアプリケーションに関連付けられて、前記認証に用いられた認証方式を示す認証情報が管理されていない場合には、前記通信端末を前記所望のアプリケーションにアクセスさせないように制御し、前記認証方式管理手段において、前記所望のアプリケーションに関連付けられて、前記認証に用いられた認証方式を示す認証情報が管理されている場合には、前記通信端末から前記所望のアプリケーションへのアクセスを制御するアクセス制御ステップと、
　を実行させることを特徴とするアクセス制御方法。