WO2019106849A1

WO2019106849A1 - 操作認証中継装置、方法、プログラム

Info

Publication number: WO2019106849A1
Application number: PCT/JP2017/043375
Authority: WO
Inventors: かや人関谷
Original assignee: 日本電気株式会社
Priority date: 2017-12-01
Filing date: 2017-12-01
Publication date: 2019-06-06
Also published as: EP3719688A4; US11381561B2; US20200366679A1; EP3719688A1; EP3719688B1; JP6969613B2; JPWO2019106849A1

Abstract

情報端末のソフトウェア等を改変等することなく、該操作を実行した人物の特定、該人物の実行した操作内容の把握、権限範囲を超える操作を無効化等するアクセス管理を可能とする。情報端末と、前記情報端末に通信接続され、前記情報端末に情報を入力する１つ又は複数の周辺機器との間に接続される中継装置は、前記情報端末からは周辺機器として認識され、前記周辺機器からは情報端末として認識され、前記周辺機器を操作して前記情報端末を利用する利用者の認証を行う認証手段と、前記利用者の認証結果に基づき、前記利用者による前記周辺機器の操作信号を前記情報端末に中継する制御を行う制御手段を備える。

Description

操作認証中継装置、方法、プログラム

　本発明は、操作認証中継装置、方法、プログラムに関する。

　例えば、発電所の中央操作室等、重要インフラ施設に設置される運用監視システムでは、近年、オープン化の流れが進んでいる。一例として、これまでの専用の監視装置に変わって、汎用ハードウェアに汎用オペレーティングシステムを搭載した汎用情報端末に専用の監視ソフトウェアを搭載したシステムの活用が進んでいる。このようなオープン化に伴い、表示も専用表示装置から汎用フラットディスプレイパネルへ置き換えられている。また、操作機器も、これまでの専用の物理操作盤から、画面上に表示されるアイコン・ボタン等をマウス等のポインティングデバイスやキーボードで操作するという情報端末上でのＧＵＩ（Graphical User Interface）操作に変化してきている。

　一方、昨今、電子化の進む重要インフラに対するサイバー攻撃等のリスクが高まっている。一部諸外国では、罰則を伴うセキュリティ規制の導入も行われている。

　このため、運用監視システムにおいても、オープン化に伴い、各種セキュリティ対策を施すことが、業界として急務な状態にある。

　セキュリティ上、例えば組織内部の人物による運用監視システムに対する不正操作等は、一般的に大きなリスクとされている。そこで、該内部の人間による運用監視システムに対する不正操作を抑制するか、もしくは未然に防ぐために、運用監視システムの運用、保全等に関わる情報端末等における所定又は任意の操作について、例えば、
１）情報端末で該操作を実行した人物を特定できること、
２）情報端末で該人物の実行した操作内容を詳細に把握できること、また、
３）該人物に与えられた権限範囲を超える操作を無効化する、もしくは、そのような操作に対して警告を発生できること、
等の機能の実装が望まれる。

　一般的には、このような機能は、情報端末に対する「アクセス管理機能」と呼ばれる。最も普及しているタイプのアクセス管理の手法は、ユーザ名と秘密のパスワード（利用者アカウント）の入力によりユーザを認証する手法である。

　しかしながら、多くの運用監視システムでは、利用者個別に利用者アカウントを準備せず、単一の利用者アカウントを共有し（ユーザＩＤ、パスワードを共有）、該アカウントにて認証済みの状態（ログインした状態）を維持するという運用方法がとられている。

　すなわち、利用者が操作するごとにログインし、操作が終わったらログアウトする、という手順はとらない。

　これは、各利用者が、操作に先だって、いちいちキーボードから、ユーザ名とパスワードを打ち込むログイン操作を行うことは、操作効率を下げる、ということも、その理由の一つとされている。

　利用者アカウントを共有し常時ログイン状態の情報端末において、組織内部の人物等による入力操作により、運用監視システムに対する不正な操作が行われた場合、該操作を行った人物を特定することや、該人物が実行した具体的な操作内容を把握することは困難である。

　また、一般的に、アクセス管理機能は、情報端末上で動作するオペレーティングシステム（ＯＳ）もしくは監視ソフトウェアなどの該情報端末上で動作するソフトウェアに予め組み込まれている。

　よって、元々、このようなアクセス管理機構が組み込まれていない情報端末を含む運用監視システムでは、該アクセス管理機能の導入にあたり、ソフトウェアの入れ替えやアップデート（更新）が必要になる。

　しかしながら、一般的に、運用監視システムに配備される情報端末においては、例えば、該システムに求められる高い信頼性の関係上、ソフトウェアの入れ替え、アップデートのコストが高く、困難である、という問題がある。

　その理由は、運用監視システムに配備される情報端末に、例えばソフトウェアを追加した場合、該追加したソフトウェア機能が既存のソフトウェア機能（該情報端末にインストール済みのソフトウェア等）やその動作タイミングに影響を与えていないか等、機能の検証、動作検証等が必要とされ、これらの検証作業には、多大な工数を要するためである。

　また、運用監視システムの設備等、実機に与える影響を考慮すると、実機稼働中に、追加したソフトウェア機能のテストを行うことが困難な場合もある。

　このようなシステム環境下に配備される情報端末（共有アカウントが使用されている情報端末やログイン機能を有さない情報端末）においても、既設情報端末のソフトウェア等を改変することなく、当該情報端末で行われる操作に関して、
１）該操作を実行した人物を特定できる仕組み（機構）、
２）該人物の実行した操作内容を詳細に把握できる仕組み、
３）該人物に与えられた権限範囲を超える操作を無効化する、もしくは、そのような操作に対し警告を発生できる仕組み、
の一部又は全部を提供することが望まれる。

　なお、特許文献１には、情報の暗号化機能を有さない外部メモリについて、保護対象情報を扱えるようにするための構成として、コンピュータ装置（ユーザ端末）との間で用いられる情報を送受信する第１インタフェースと、外部メモリ（ＵＳＢ（Universal Serial Bus）メモリ、ＵＳＢハードディスク等）との間で用いられる情報を送受信する第２インタフェースであって、保護対象情報を記憶するためのセキュリティ領域が設けられる外部メモリとの間で用いられる情報を送受信する第２インタフェースと、前記第１インタフェースと前記第２インタフェースとの間に設けられるコントローラを有するセキュリティアダプタが開示されている。前記コントローラは、前記セキュリティ領域に対するアクセス権限を有する正規の使用者か否かを、少なくとも前記コンピュータ装置を通じて送られた認証情報に基づいて判断するセキュリティ処理を行う。そして、前記コントローラは、前記セキュリティ処理で、前記コンピュータ装置の使用者が前記正規の使用者と判断されたことを条件に、前記コンピュータ装置からの要求に基づく前記セキュリティ領域に対する前記保護対象情報の読み出し処理及び書き込み処理を行う。

特開２００８－１９７９６３号公報

　共有アカウントが使用されている情報端末やログイン機能を有さない情報端末における操作について、好ましくは、当該情報端末のソフトウェア等を改変することなく、
１）該操作を実行した人物を特定可能とする、
２）該人物の実行した操作内容を詳細に把握可能とする、
３）該人物に与えられた権限範囲を超える操作を無効化するか、もしくは、そのような操作に対し警告を発生する、
の少なくとも一つ又は全部の機能を実現可能とする、アクセス管理機構の実現が望まれる。

　したがって、本発明は上記課題の少なくとも１つを解決するアクセス管理機構を実現可能とする装置、方法、プログラムを提供することにある。

　本発明の１つの形態によれば、情報端末と、前記情報端末と通信接続される１つ又は複数の周辺機器との間に接続される操作認証中継装置であって、前記情報端末からは周辺機器として認識され、前記周辺機器からは情報端末として認識され、前記周辺機器を操作して前記情報端末を利用する利用者の認証を行う認証手段と、前記認証手段による前記利用者の認証結果に基づき、前記周辺機器と前記情報端末との間の信号の中継を制御する制御手段を備えた操作認証中継装置が提供される。

　本発明の他の１つの側面によれば、情報端末と、前記情報端末に通信接続され、前記情報端末に情報を入力する１つ又は複数の周辺機器との間に接続される操作認証中継装置による操作認証中継方法あって、
　前記中継装置は、
　前記情報端末からは周辺機器として認識され、前記周辺機器からは情報端末として認識され、
　前記周辺機器を操作して前記情報端末を利用する利用者の認証を行い、
　前記利用者の認証結果に基づき、前記利用者による前記周辺機器の操作信号の前記情報端末への中継を制御する、操作認証中継方法が提供される。

　本発明の他の１つの側面によれば、情報端末と、前記情報端末に通信接続され、前記情報端末に情報を入力する１つ又は複数の周辺機器との間に接続される操作認証中継装置を構成するコンピュータに、
　前記情報端末からは周辺機器として認識され、前記周辺機器からは情報端末として認識されるように制御する処理と、
　前記周辺機器を操作して前記情報端末を利用する利用者の認証を行う処理と、
　前記利用者の認証結果に基づき、前記利用者による前記周辺機器の操作信号の前記情報端末への中継を制御する処理と、
　を実行させるプログラムが提供される。

　本発明によれば、上記プログラムを記憶したコンピュータ読み出し可能な記録媒体（例えばＲＡＭ（Random Access Memory）、ＲＯＭ（Read Only Memory）、又は、ＥＥＰＲＯＭ（Electrically Erasable and Programmable ROM））等の半導体ストレージ、ＨＤＤ（Hard Disk Drive）、ＣＤ（Compact Disc）、ＤＶＤ（Digital Versatile Disc）等の非一時的コンピュータ読み取り可能記録媒体（non-transitory computer readable recording medium）が提供される。

　本発明によれば、上記課題の少なくとも１つを解決可能とするアクセス管理機構を実現可能としている。

関連技術を説明する図である。本発明の一形態を説明する図である。本発明の一形態の動作を説明する図である。本発明の例示的な実施形態を説明する図である。本発明の例示的な第１の実施形態の中継装置によるＵＳＢ通信を説明する図である。本発明の例示的な第１の実施形態を説明する図である。ＵＳＢデバイスを説明する図である。複合ＵＳＢデバイスを説明する図である。本発明の例示的な第１の実施形態におけるコントロール転送を説明する図である。ＵＳＢのフレームを説明する図である。インタラプト入力トランザクションを説明する図である。インタラプト出力トランザクションを説明する図である。本発明の例示的な第１の実施形態を説明する図である。登録データの一例を示す図である。認証履歴の一例を示す図である。操作イベント履歴の一例を示す図である。本発明の例示的な第１の実施形態を説明する図である。本発明の例示的な第１実施形態を説明する図である。本発明の例示的な第１の実施形態を説明する図である。本発明の例示的な第１の実施形態を説明する図である。本発明の例示的な第１の実施形態を説明する図である。本発明の例示的な第１の実施形態の変形例を説明する図である。本発明の例示的な第１の実施形態の変形例を説明する図である。本発明の例示的な第１の実施形態の変形例を説明する図である。本発明の例示的な第１の実施形態の変形例を説明する図である。本発明の例示的な第２の実施形態を説明する図である。本発明の例示的な第３の実施形態を説明する図である。

　本発明の実施形態について説明する。図１Ａ、図１Ｂは、本発明の前提となるシステム構成、本発明の一態様のシステムをそれぞれ説明する図である。

　図１Ａにおいて、システム１Ａは、情報端末２０と、利用者（操作者）が該情報端末２０の操作を行う周辺機器３０－１～３０－ｎと、情報端末２０と周辺機器３０－１～３０－ｎとの間の通信を担う有線又は無線の通信インタフェース４０－１～４０－ｎを含む。情報端末２０は、例えば運用監視システムを構成するＰＣ（Personal Computer）等であってよい。この場合、運用監視システムは、例えば発電所等での発電量を制御監視する電力系統監視制御システムであってもよく、情報端末２０は、操作卓として機能するＰＣ等であってよい。また、情報端末２０は、前述したように、例えば利用者共有アカウントが使用されるか、又はログイン機能を有さない情報端末等であってよい。以下の実施形態においても同様とされる。

　なお、図１Ａには、簡単のために、情報端末２０は１台が例示されているが、情報端末２０は複数台であってもよい（その台数に特に制限はない）。情報端末２０に接続される周辺機器３０－１～３０－ｎ、通信インタフェース４０－１，…，４０―ｎにおいてｎは１以上とされる（すなわち、周辺機器３０は１台であってもよい）。図面中の要素の参照符号において、特に、枝番を指定して区別する必要が無い場合（例えば個々の要素を区別して参照する必要がない場合）には、周辺機器３０、通信インタフェース４０等、枝番を付さずに記載される。以下の実施形態でも同様の記法とする。

　図１Ｂに示すように、本発明の一態様に係るシステム１Ｂは、図１Ａのシステム１Ａに対して、情報端末２０と周辺機器３０の間に、操作認証を行う操作認証中継装置１０（以下、「中継装置」と略記される）が配設される。中継装置１０は周辺機器３０－１～３０－ｎと通信インタフェース４０－１～４０－ｎを介して接続される。情報端末２０は中継装置１０と通信インタフェース４０－０を介して接続される。なお、中継装置１０は、情報端末２０と周辺機器３０の間の通信経路（パス）間に論理的に接続される構成であればよい。この場合、中継装置１０は、例えば情報端末２０の匡体内等に配設される構成としてもよい。通信インタフェース４０－０、４０－１～４０－ｎは、以下の実施形態で説明するように、同一の通信インタフェースであってもよく、異なる通信インタフェースを含むものであってもよい。

　図１Ｂにおいて、利用者が情報端末２０に対して操作を行う際に用いられる周辺機器（例えばキーボードやマウス等のポインティングデバイス等）を中継装置１０を介して情報端末２０に接続するようにしてもよい。一方、情報端末２０の周辺機器であるＬＡＮ（Local Area Network）アダプタ等のＮＩＣ（Network Interface Card）や、ＨＤＤ（Hard Disk Drive）等は、中継装置１０を介さずに情報端末２０に直接接続される構成としてもよい。

　特に制限されないが、図１Ｂにおいて、情報端末２０は、各利用者に共通のアカウントが用いられ、最初にログインした後、例えばシャットダウンするまで、ログイン状態とされる。あるいは、情報端末２０はログイン機能を有さない情報端末であってもよい。

　中継装置１０は、周辺機器３０を操作して情報端末２０を利用する利用者の認証を行う認証部１１と、認証部１１での認証結果に基づき、周辺機器３０と情報端末２０との間の通信を遮断させる制御を行う認証部１１とコントローラ１２を備えている。

　本実施形態において、中継装置１０は、情報端末２０からは、１つの周辺機器として認識される構成とされる。

　本実施形態において、中継装置１０は、周辺機器３０からは情報端末として認識される構成としてもよい。

　複数の周辺機器３０に接続された中継装置１０は、それ自体が、情報端末２０からは、前記複数の周辺機器３０の機能を有する１つの複合型周辺機器として認識される構成としてもよい。

　中継装置１０において、コントローラ１２は、認証部１１での前記認証結果である利用者の属性等に基づき、周辺機器３０が通信インタフェース４０を介して情報端末２０との間で送信又は受信する操作イベントの通過、又は遮断する制御を行うようにしてもよい。

　中継装置１０において、コントローラ１２は、
・利用者の認証結果と、
・周辺機器３０の種別、および、操作イベントの組み合わせに応じて、周辺機器３０が通信インタフェース４０を介して情報端末２０との間で送信又は受信する操作イベントの通過、又は遮断する制御を行うようにしてもよい。コントローラ１２は、情報端末２０と周辺機器３０の間での操作イベントを記憶部に記憶してする構成としてもよい。

　中継装置１０において、コントローラ１２は、認証部１１での認証結果に応じて（該認証結果に基づき、又は、該認証結果の出力タイミングで）、適切な操作イベントを、周辺機器３０に代わって（代理で）生成し、情報端末２０に送信する構成としてもよい。

　中継装置１０において、認証部１１は利用者の認証履歴を記憶部に記憶する構成としてもよい。コントローラ１２は、利用者の認証履歴と、操作イベント履歴を付き合わせることで、利用者が周辺機器で３０行った操作内容を抽出（特定）するようにしてもよい。

　中継装置１０において、認証部１１は、利用者の生体認証、例えば顔認証等の認証結果(生体認証結果)に基づき、利用者に対応するアクセス権限情報を特定するようにしてもよい。コントローラ１２は、認証部１１での利用者に対応するアクセス権限情報に基づき、情報端末２０と前記利用者が操作する周辺機器３０との間の信号の中継を制御する構成としてもよい。

　中継装置１０においてコントローラ１２は、利用者のアクセス権限情報を越えた周辺機器３０の操作を検出すると、前記操作を無効化するか、警報を発する構成としてもよい。

　中継装置１０に接続される周辺機器３０がマウスやキーボード等の入力装置を含む場合、中継装置１０のコントローラ１２は、認証部１１で取得された利用者のアクセス権限情報に基づき、情報端末２０の表示装置の画面に表示される情報を制御するか（例えば表示情報の輝度を制御して画面上の一部の表示内容を見えなく（あるいは見づらく）するか、表示信号を遮断する等）、あるいは、マウスやキーボード等の入力装置による前記表示装置の画面（例えば特定エリア）からの入力（例えばマウスカーソル操作）や画面上に表示されるアイコン、ボタン等の操作を制御するようにしてもよい。

　中継装置１０において、認証部１１は、好ましくは、予め定められた時間間隔で繰り返し認証を行うようにしてもよい。

　複数の周辺機器３０が接続される中継装置１０において、コントローラ１２は、複数の周辺機器３０を、情報端末２０から見て、単一の周辺機器に見えるように、コントロールプレーンの機器識別情報を書き換えた上で、情報端末２０に通知する構成としてもよい。この場合、情報端末２０は、複数の周辺機器３０が接続される中継装置１０を、複数の周辺機器３０の各機能を併せ持つ１つの擬似的な複合デバイスとして認識する動作を行う。また、中継装置１０のコントローラ１２は、中継装置１０に接続される前記複数の周辺機器３０が例えば周辺機器Ａ、Ｂから周辺機器Ａ、Ｃに変更されるというように、構成機器の種別に変更がある場合、前記機器識別情報とは異なる機器識別情報を、情報端末２０側に通知する構成としてもよい。この場合、情報端末２０は、種別が変更された複数の周辺機器３０が接続される中継装置１０を、複数の周辺機器３０の各機能を併せ持つ１つの擬似的な複合デバイスとして認識する動作を行う。

　コントローラ１２は、中継装置１０に接続された１つ又は複数の周辺機器３０の種別や組み合わせが変更された場合、情報端末２０との間の通信インタフェース（中継装置１０を介して情報端末２０と周辺機器３０とに接続される通信インタフェース）のリセットが行われた後、情報端末２０による機器識別処理が再度実行されるように制御する構成としてもよい。

　図２は、図１Ｂを参照して説明した中継装置１０におけるアクセス制御動作の一例を説明する図である。図２を参照すると、認証部１１は、情報端末２０の利用者の認証を行う（ステップＳ１）。該認証結果がＯＫであれば（ステップＳ２のＹＥＳ）、認証部１１は認証された利用者の属性情報（アクセス権限）を取得する（ステップＳ３）。この場合、中継装置１０は、認証用の登録データや利用者の所属するグループのアクセス権限等を予め登録したデータベース等に、通信手段を介してアクセスし、認証された利用者の属性情報（所属部署、役職、アクセス権限情報等）を取得するようにしてもよい。中継装置１０は、取得した認証用の登録データや利用者の属性情報の対応を中継装置１０内のメモリ等にキャッシュするようにしてもよい。

　中継装置１０のコントローラ１２は、認証部１１での認証結果である利用者の属性情報（アクセス権限等）に応じて、周辺機器３０と情報端末２０間のデータ転送の許可（通過）、不許可（遮断）等を制御する（ステップＳ４）。ステップＳ４において、中継装置１０において、コントローラ１２は、利用者の属性情報（アクセス権限）の範囲を超える操作を検出した場合、該操作を無効化するか、もしくは、該操作に対し、警告を発生するようにしてもよい。

　認証部１１での認証結果がＮＧ（失敗）であれば（ステップＳ２のＮＯ）、中継装置１０は、利用者による情報端末２０のアクセス操作を不許可とする。すなわち、周辺機器３０と情報端末２０間のデータの転送を不許可とする（ステップＳ５）。このため、当該利用者は、情報端末２０を周辺機器３０側から操作することはできない。

　中継装置１０において、図２のステップＳ１―Ｓ５の一連の処理は、好ましくは、予め定められた所定時間間隔（例えば１秒単位等）で実行するようにしてもよい。この場合、中継装置１０において、図２のステップＳ１―Ｓ５の処理を実行後、内蔵されるタイマ（不図示）等により予め定められた所定時間が経過した時点で、再び、図２のステップＳ１の認証処理を実行し、認証結果に基づき、ステップＳ３－Ｓ４、又は、ステップＳ５が実行される。

　実施形態によれば、中継装置１０において、コントローラ１２は、認証部１１での利用者（ユーザ）の識別結果に基づき、周辺機器３０の操作（所定の操作）を実行した利用者を特定可能とする構成としてもよい。例えば、中継装置１０において、コントローラ１２は、周辺機器３０と情報端末２０間で転送される信号を監視し該転送の時刻等と対応させて履歴（操作イベント履歴）をとり、認証部１１での利用者の認証結果とその時刻の履歴（何時何分にある人物が識別されたという情報）に基づき、該利用者の実行した操作に対応する周辺機器３０と情報端末２０間の操作イベントを抽出し、該利用者の操作履歴を詳細に把握できる構成としてもよい。

　図３は、本発明の例示的な第１の実施形態を説明する図であり、図１Ｂを参照して説明したシステム１Ｂの一例を模式的に説明する図である。この実施形態では、図１Ｂの通信インタフェース４０としてＵＳＢ（Universal Serial Bus）を用い、情報端末２０の周辺機器３０としてＵＳＢキーボード３０－１、ＵＳＢマウス３０－２を用い、認証部１１として、カメラ１３による利用者５０の顔認証を行う構成を模式的に例示する図である。なお、ＵＳＢキーボード３０－１、ＵＳＢマウス３０－２等はこれらを区別して参照しない場合、単にＵＳＢデバイス３０という。また参照符号４０（通信インタフェース）をＵＳＢインタフェースという。

　認証部１１は、カメラ１３で撮像された画像データを取得し、該画像データから利用者５０の顔検出を行う。認証部１１は、検出された顔画像と、予め登録されている人物（例えば従業員、契約社員等）の写真画像とを照合し、カメラ１３で撮像された利用者が、予め登録されている人物のうち、どの人物であるかを識別する。なお、カメラ１３は、情報端末２０に搭載されたカメラ（画面上部に内蔵されるＷｅｂカメラ）等であってもよい。この場合、認証部１１は、情報端末２０はカメラ１３で撮像された画像データ（デジタルデータ）を所定の通信手段を介して取得する。

　認証部１１は、顔認証の結果、登録済みの人物に一致すると判別された利用者５０に関して、予め登録されているアクセス権限を参照して、該利用者５０の情報端末２０に関するアクセス権限情報をコントローラ１２に出力する。

　利用者５０の情報端末２０に関するアクセス権限情報として、該利用者５０が、情報端末２０からのパラメータ設定入力等が許可されている管理グループに所属するか、又は、情報端末２０からのパラメータ設定入力等が許可されていない閲覧グループに所属するか等、グループ単位に管理されるアクセス権限の情報であってもよい。あるいは、情報端末２０を操作する機会のある利用者の人数が少数である場合には、利用者毎に、アクセス権限を設定するようにしてもよいことは勿論である。

　特に制限されないが、利用者５０のアクセス権限情報によるアクセス制限の指定としては、例えば、
ａ）情報端末２０に対する操作が許可されていない（周辺機器３０の全てに対する操作が不許可）、
ｂ）周辺機器３０単位での許可／不許可、
ｃ）周辺機器３０における操作種別毎に許可／不許可、
ｄ）情報端末２０の表示画面上の許可／不許可、
等のいずれか又は複数の組み合わせの制御を指示するものであってもよい。

　このうち、ａ）では、中継装置１０において、該利用者５０によるＵＳＢキーボード３０－１、ＵＳＢマウス３０－２での操作は不許可とされる。

　中継装置１０において、例えば、認証部１１で顔認証した結果、該利用者５０が登録された人物に一致しない場合（図２のステップＳ５）等に、認証部１１からコントローラ１２に対して、このアクセス制限の指定が行われる。

　ｂ）では、中継装置１０において、例えば該利用者５０によるＵＳＢキーボード３０－１の操作が不許可とされる等の制御が行われる。

　ｃ）では、中継装置１０において、例えば該利用者５０によるＵＳＢマウス３０－２の操作について、
・ホイール（中央ボタン）操作（スクロール操作、キーボードのＣｔｒｌキーとともにフォントの大きさの拡大・縮小操作）、
・左ボタン操作（例えば選択または決定）、
・右ボタン操作（機能・メニューの呼び出し）
の許可、不許可の制御が操作毎に行われる。あるいは、ＵＳＢキーボード３０－１の場合、例えば、該利用者５０によるキー入力のうちＥｎｔｅｒキーの入力の不許可とする等の制御が行われる。

　ｄ）では、中継装置１０において、例えば情報端末２０の画面上でのある特定エリアでの操作、バー、ボタン等の所定のアイコンに対する、該利用者５０による操作毎に、該操作の許可、不許可の制御が行われる。

　認証部１１は、カメラ１３から画像データを取得し、画像データから顔検出を行った結果、例えば、
・情報端末２０を操作する利用者の顔が検出できないか（不在か席を離れる）、
・顔検出された人物の顔特徴量が、顔特徴量を登録した複数の人物のだれとも一致しない、
・顔認証の結果、登録された人物と判定されたが、該人物は、情報端末２０に対する操作が許可されていない、
場合等、該当する周辺機器３０に関して、利用者５０によるアクセスが不許可である旨をコントローラ１２に指示する。コントローラ１２は、周辺機器３０での操作を無効化するか、不図示の警報装置（スピーカ、表示灯）から警報を通知するようにしてもよい。

　図３において、中継装置１０は、情報端末２０に対しては周辺機器（擬似的なＵＳＢデバイス）として動作し、周辺機器３０（ＵＳＢキーボード３０－１、ＵＳＢマウス３０－２）に対してＵＳＢホストとして動作する。中継装置１０のコントローラ１２は、認証部１１での識別結果に基づき、情報端末２０からのポーリングに対して、周辺機器３０（ＵＳＢキーボード３０－１、ＵＳＢマウス３０－２）から中継装置１０に転送されたデータの返送の有無やデータの変更等の制御を行う。

　図４は、図３の中継装置１０におけるコントローラ１２の通信機能の一例を説明する図である。ＵＳＢ通信は、コントローラ１２にて一旦終端される。コントロールプレーンでは、コントローラ１２のＵＳＢホスト機能から受け取った接続デバイス情報（中継装置に接続される複数のＵＳＢデバイス３０からのデバイスディスクリプタ等）から、疑似的な複合デバイス情報の生成（例えば、ベンダＩＤ（ＵＳＢインプリメンターズ・フォーラムから各ベンダに発行される）、プロダクトＩＤ（ベンダ各社がプロダクト毎にＩＤを自由に割り当てることができる）の書き換え）が行われ、コントローラ１２内のＵＳＢデバイス機能のデバイス情報として用いられ、情報端末２０からのデバイス情報取得要求に対して、コントローラ１２内のＵＳＢデバイス機能は、擬似的な複合デバイス情報を情報端末２０に送信する。擬似的な複合デバイス情報を受信した情報端末２０は、コントローラ１２内のＵＳＢデバイス機能を、一つの疑似的な複合ＵＳＢデバイスとして認識する。

　データプレーンでは、コントローラ１２内のＵＳＢホスト機能、ＵＳＢデバイス機能間でデータの転送・遮断が、認証結果に応じてデバイス毎に行われる。ポーリングは、それぞれのホスト・デバイス間で実施され、そのタイミングが同期している保証はない。コントローラ１２は、配下のＵＳＢデバイス３０より受け取ったポーリング結果を、情報端末２０のＵＳＢホストから次回ポーリングを受けるまで保持しておくという動作をする。

　以下、中継装置１０におけるコントロールプレーン、データプレーンで動作をさらに説明する。ＵＳＢにおいて、ＵＳＢデバイスとＵＳＢホスト間の転送方式として、コントロール転送、インタラプト転送、アイソクロナス転送、バルク転送がある。このうち、コントロール転送はＵＳＢデバイスの初期設定等に用いられる。インタラプト転送は、例えばＵＳＢキーボードやＵＳＢマウスなどのＵＳＢデバイスに対してＵＳＢホストから該ＵＳＢデバイスへの割り込みによる少量の入力データの転送に用いられる。アイソクロナス転送は、スピーカ、マイク、電話、ビデオカンファレンスなどのように、音や動画を扱う装置において、ある決まった周期に、一定量のデータを転送するための転送に用いられる。バルク転送はプリンタやスキャナ等の大量データの転送に用いられる。

　例えば、図５Ａに示すように、ＵＳＢキーボード３０－１とＵＳＢマウス３０－２がそれぞれ中継装置１０に１台ずつ接続されている場合に、中継装置１０のコントローラ１２は、情報端末２０からみて、中継装置１０のＵＳＢデバイス機能が、ＵＳＢキーボード３０－１とＵＳＢマウス３０－２と機能の両方を持つ単一の擬似的な複合デバイス（composite device）として見えるように設定する。

　図５Ｂに、模式的に示すように、ＵＳＢにおいて、デバイスの構成はコンフィギュレーションディスクリプタによって表され、デバイスの機能は、インタフェースディスクリプタによって表される。図５Ｃに模式的に示すように、ＵＳＢ複合デバイスは、このインタフェースを複数持つことによって、複数の機能のデバイスとして動作する。本実施形態では、中継装置１０のコントローラ１２は、情報端末２０から転送されるデバイスディスクリプタ要求（GET_DESCRIPTOR (DEVICE)）に対して返送するデバイスディスクリプタの情報要素であるベンダＩＤ、プロダクトＩＤを書き換え、中継装置１０が図５Ｃの構成を有するものであることを、情報端末２０に通知する。ベンダＩＤとプロダクトＩＤは、接続されたＵＳＢデバイスを特定するために用いられる。

　次に、コントロールプレーンにおける中継装置１０の動作（コントロール転送）の一例について説明する。前述したように、例えば複数のＵＳＢデバイスが中継装置１０に接続されている場合、中継装置１０のコントローラ１２は、情報端末２０からみて、複数のＵＳＢデバイスのそれぞれの機能を併せ持つ単一の擬似的な複合デバイス(composite device)として見えるように、情報端末２に対してデバイス情報（擬似的な複合デバイス情報）を通知する。ＵＳＢデバイスにおいて、デバイス構成はデバイスディスクリプタやコンフィギュレーションディスクリプタ等によって表され、デバイスの機能はインタフェースディスクリプタ等によって表される。図５Ｃに模式的に示すように、複合ＵＳＢデバイスは、インタフェースを複数持つことによって複数の機能のデバイスとして動作する。

　中継装置１０のコントローラ１２の書き換え機能１２１は、情報端末２０からコントロール転送でコントローラ１２のＵＳＢデバイス機能に送信されるデバイスディスクリプタ要求（GET_DESCRIPTOR (DEVICE)）に対して、デバイスディスクリプタの情報要素であるベンダＩＤ、プロダクトＩＤを書き換え、擬似的な複合ＵＳＢデバイスのデバイスディスクリプタを生成する。生成された擬似的な複合ＵＳＢデバイスのデバイスディスクリプタは、コントローラ１２のＵＳＢデバイス機能を介して情報端末２０に通知される。

　図６は、本実施形態におけるＵＳＢのプラグアンドプレイ（Plug and Play）接続手順の概略を説明する模式図である。例えば電源がオン状態の中継装置１０のＵＳＢポートにＵＳＢキーボード３０－１とＵＳＢマウス３０－２を接続する場合、図４のコントローラ１２内のＵＳＢホスト機能が、ＵＳＢデバイス３０に対して、図６におけるＵＳＢホストとして動作するようにしてもよい。なお、特に制限されないが、中継装置１０は、例えば商用交流電源から直流に変換するＡＣアダプタ（ＡＣ－ＤＣコンバータ）、直流電圧から所望の直流電圧を取り出すＤＣ－ＤＣコンバータ等によりＤＣ電源電圧が内部回路に供給されるものとする。この場合、情報端末２０から見て、図４のコントローラ１２内のＵＳＢデバイス機能は電源を内蔵している自己電源供給型（Self Powered）として機能する。

　中継装置１０のコントローラ１２内のＵＳＢホスト機能は、ＵＳＢポートへＵＳＢデバイス３０のケーブルが接続されたこと（ＵＳＢの２本のデータ信号線Ｄ^＋、Ｄ^－のどちらかが３．３Ｖの状態）を検出すると（Ｓ１１のアタッチ検出）、図４のコントローラ１２内のＵＳＢホスト機能は、１回目のリセット（ＲＥＳＥＴ）を出力し（ＵＳＢの２本のデータ信号線Ｄ^＋、Ｄ^－をともに一定期間Ｌｏｗレベルとする）（Ｓ１２）、コントロール転送を開始する。

　図４のコントローラ１２内のＵＳＢホスト機能は、デバイスディスクリプタ取得要求（GET_DESCRIPTOR(DEVICE)）をＵＳＢデバイスに送信する（Ｓ１３）。ＵＳＢデバイス（図４のＵＳＢキーボード３０等ＵＳＢデバイス機能）は、デバイスディスクリプタの最初の８バイトを返送する（Ｓ２１）。その直後、コントローラ１２内のＵＳＢホスト機能は、２回目のリセット（ＲＥＳＥＴ）を掛ける（Ｓ１４）。

　図４のコントローラ１２内のＵＳＢホスト機能はアドレス設定要求（SET_ADDRESS）を送信する（Ｓ１５）。ＵＳＢデバイス（図４の３０）は指定されたアドレスを設定し（Ｓ２２）、図４のコントローラ１２内のＵＳＢホスト機能とＵＳＢデバイス（図４の３０）間はこのアドレスで通信する。続いて、図４のコントローラ１２内のＵＳＢホスト機能は、デバイスディスクリプタ取得要求（GET_DESCRIPTOR(DEVICE)）を送信し（Ｓ１６）、ＵＳＢデバイス（図４の３０)はデバイスディスクリプタの残り（ベンダＩＤ（idVendor）、プロダクトＩＤ（idProduct）を含む）を送信する（Ｓ２３）。つづいて、図４のコントローラ１２内のＵＳＢホスト機能は、コンフィギュレーション取得要求（GET_DESCRIPTOR (CONFIGURATION)）を送信し（Ｓ１７）、ＵＳＢデバイス（図４の３０）はコンフィギュレーションを返す（Ｓ２４）。

　図４のコントローラ１２内のＵＳＢホスト機能は、コンフィギュレーション設定要求を送信し（Ｓ１８）、ＵＳＢデバイス３０でのコンフィギュレーションが完了すると（Ｓ２４）、中継装置１０との間でデータの通信が可能となる。ただし、中継装置１０が情報端末２０に接続されていない場合、中継装置１０はＵＳＢデバイス３０に対してポーリングを行わない構成としてもよい。

　ここで、デバイスディスクリプタ（各デバイスに1つ、１８バイト固定）は、ＵＳＢクラス (bDeviceClass)、ＵＳＢサブクラス (bDeviceSubClass)、ベンダＩＤ（idVendor）、プロダクトＩＤ（idProduct）、コンフィギュレーションディスクリプタの数の情報を含む。コンフィギュレーションディスクリプタは、デバイスの構成情報を記述し、構成の番号やインタフェース(インタフェースディスクリプタ）の数を含む。インタフェースディスクリプタは、デバイスの機能を表すためのディスクリプタであり、インタフェースの番号、ＵＳＢクラス、サブクラス、プロトコル情報、エンドポイントの数を含む。エンドポイントディスクリプタ（７バイト固定）は、エンドポイントのデータ転送種別、転送方向、パケットサイズ、ポーリング時間を含む。

　エンドポイントは、ＵＳＢホストとＵＳＢデバイス間の論理的な通信路の端点（終端）であり、ＦＩＦＯ（First In First Out）等のバッファからなる。情報端末２０（ＵＳＢホスト）は、データ通信を開始する前のコンフィギュレーション設定において、ＵＳＢデバイスが持つエンドポイントの数とそれぞれのエンドポイントの転送方式、転送方向を決め、ＵＳＢホスト機能に設定しておく。ＵＳＢホストのバッファとＵＳＢデバイスのエンドポイント（ＦＩＦＯバッファ）同士が論理的な通信線であるパイプで接続される。実際に通信が始まると、ＵＳＢデバイス側のコントローラは、ＵＳＢバス上を流れるパケットを識別し、それぞれのエンドポイントに振り分ける。エンドポイント０はコントロール転送にだけ用いられる。

　図４のコントローラ１２の書き換え機能１２１は、ＵＳＢデバイス３０から取得したディスクリプタ情報に基づき、デバイスディスクリプタのベンダＩＤ、プロダクトＩＤの書き換えを行い、さらに、図５Ｃの複合ＵＳＢデバイスのコンフィギュレーションに対応するデバイスディスクリプタ、コンフィギュレーションディスクリプタ、インタフェースディスクリプタ等を作成する。なお、中継装置１０に１台のＵＳＢデバイス３０のみが接続されている場合、コントローラ１２は、疑似的に１台のＵＳＢデバイスとして情報端末２０に通知するようにしてもよい。このとき、中継装置１０のコントローラ１２はＵＳＢデバイス３０から取得したディスクリプタのプロダクトＩＤを書き換えないようにしてもよい。

　そして、中継装置１０のＵＳＢケーブル（プラグ）を情報端末２０のＵＳＢポートに接続した場合、情報端末２０は図６のＵＳＢホスト、中継装置１０のコントローラ１２内のＵＳＢデバイス機能は、図６のＵＳＢデバイスとして動作する。アタッチを検出してリセットを行った情報端末２０は、図６のＳ１３―Ｓ１８を行い、中継装置１０のコントローラ１２内のＵＳＢデバイス機能は、図６のＳ２１－Ｓ２４の処理を行う。すなわち、コントローラ１２内のＵＳＢデバイス機能は、情報端末２０からのデバイスディスクリプタ要求（図６のＳ１６）に対して、擬似的な複合ＵＳＢデバイスのベンダＩＤ（idVendor）、プロダクトＩＤ（idProduct）に書き換えたデバイスディスクリプタを返送する（Ｓ２３）。また、コントローラ１２内のＵＳＢデバイス機能は、情報端末２０からのコンフィギュレーションディスクリプタ要求（Ｓ１７）に対して、中継装置１０のコンフィギュレーションとして、複合デバイスに対応するインタフェース数に設定したコンフィギュレーションディスクリプタを情報端末２０に返送する。

　情報端末２０のオペレーティングシステム（ＯＳ）は、ベンダＩＤ（idVendor）、プロダクトＩＤ（idProduct）を、該ＵＳＢデバイスに対するデバイスドライバを探し対応するデバイスドライバを起動する。なお、ＵＳＢキーボード３０－１とＵＳＢマウス３０－２はＨＩＤ（Human Interface Device）デバイスクラスであるため、情報端末２０では、標準デバイスドライバが各機器用にロードされる。以降、情報端末２０、中継装置１０間の対応するエンドポイント、中継装置１０とＵＳＢデバイス３０間の対応するエンドポイント間での通信が行われる。

　ＵＳＢバス上において、データはフレームと呼ばれる単位（１ｍｓｅｃ（millisecond）周期）で転送される。図７Ａに示すように、１フレームは、ＳＯＦ（Start Of Frame）パケットで始まり、複数のトランザクションからなる。各トランザクションはトークンパケット、データパケット、ハンドシェイクパケットの各ＵＳＢパケットからなる。

　トークンパケットは、
・同期用のＳＹＮＣデータ（８ビット）、
・パケット種別を示すＰＩＤ（Packet Identifier）（８ビット）、
・デバイスアドレス（ＡＤＤＲ）（７ビット）、
・エンドポイント（ＥＮＤＰ）（４ビット）、
・エラー検出用のＣＲＣ５（Cyclic Redundancy Check）（５ビット）からなる。
ＰＩＤは、
・ＩＮ（ホストへの転送）、
・ＯＵＴ（ホストからデバイスのエンドポイントへの転送）、
・ＳＯＦ（Start Of Frame；フレーム開始）、
・ＳＥＴＵＰ（コントロール転送）
のいずれかからなる。

　データパケットは、ＳＹＮＣ、ＰＩＤ、ＣＲＣ１６（１６ビットのＣＲＣ）からなる。

　ハンドシェイクパケットのＰＩＤには、ＡＣＫ（デ―タ正常受信）、ＮＡＫ（データ転送不成功）、ＳＴＡＬＬ（エンドポイントのストール：デバイス側動作不能等）等がある。

　インタラプト転送は、前述したように、ＵＳＢキーボードやＵＳＢマウス（ＨＩＤデバイス）など、少量の入力データ等の転送に用いられる。すなわち、ＵＳＢ２．０やＵＳＢ１．１等では、ＵＳＢキーボード３０－１、ＵＳＢマウス３０－２等のＵＳＢデバイス３０が能動的に操作されたことを情報端末２０（ＵＳＢホスト）に通知するのではなく、情報端末２０が、巡回的な問い合わせ（ポーリング）を行うことにより、一定間隔でＵＳＢキーボード３０－１やＵＳＢマウス３０－２に問い合わせ、ＵＳＢキーボード３０－１やＵＳＢマウス３０－２が操作されたか確認する（ＵＳＢキーボード３０－１やＵＳＢマウス３０－２のエンドポイント（ＦＩＦＯバッファ）にデータがあるか否か問い合わせる）。ＵＳＢデバイス３０の該エンドポイントにデータがある場合、ＵＳＢデバイス３０は、該データを情報端末２０に送信する。なお、ＵＳＢ３．０ではポーリングは廃止され、ＵＳＢデバイス３０がデータを転送したい場合、ＵＳＢデバイス３０側からＵＳＢホスト側に要求を出して通信を開始することもできる。

　インタラプト入力転送の場合、例えば、図７Ｂに示すように、ＵＳＢホストである情報端末２０は、ＰＩＤが入力（ＩＮ）のトークンパケットをＵＳＢデバイスに送信し、ＵＳＢデバイスはＵＳＢホストの割り込み（Interrupt）に関連したデータを含むデータパケット（ＤＡＴＡ）をＵＳＢホストに送信する。ＵＳＢホストは、データパケットの受信に成功すると、肯定応答（ＡＣＫ）をＵＳＢデバイスに返す。なお、ＵＳＢデバイスは、ホストからのＩＮトークンパケット受信時（ポーリング時）、ＩＮトークンパケットで指定されたエンドポイント（割り込み先エンドポイント）に保留データがない場合、否定応答（ＮＡＫ）をＵＳＢホストに返す。また、ＵＳＢデバイス側の割り込み先エンドポイントでエラーが発生している場合、ＵＳＢデバイスは、エラー（ＳＴＡＬＬ：デバイス側動作不能）を返す。さらに、ＵＳＢホストからのＩＮトークンパケットがエラーのとき、ＵＳＢデバイスは、何も返さない。

　インタラプト出力転送の場合、図７Ｃに示すように、ＵＳＢホストである情報端末２０は、ＰＩＤが出力（ＯＵＴ）のトークンパケットを送信する。つづいて、ＵＳＢホストは、１つ又は複数のデータパケット（ＤＡＴＡ）をＵＳＢデバイスに送信する。ＵＳＢデバイスは、ＵＳＢホストから送信された１つ又は複数のデータパケットの受信に成功すると、ＵＳＢホストに対して、肯定応答（ＡＣＫ）を返す。一方、ＵＳＢデバイスは、ＵＳＢホストからのデータパケットの受信に失敗すると（エンドポイントのバッファが空でない等）、ＵＳＢホストに対して、否定応答（ＮＡＫ）を返し、ＵＳＢホストに対して、データパケットの再送を要求する。また、ＵＳＢデバイスのエンドポイントのエラー等で動作不能の場合、ＵＳＢデバイスは、ＵＳＢホストに対してＳＴＡＬＬを返す。

　図４において、中継装置１０のコントローラ１２内のＵＳＢホスト機能からポーリング（例えばＩＮトークンパケット）を受けたＵＳＢデバイス３０は、該ＵＳＢデバイス３０のエンドポイント（バッファ）に保持されているデータを含むデータパケットをコントローラ１２のＵＳＢホスト機能に返送する。

　中継装置１０のコントローラ１２内のＵＳＢホスト機能は、該ＵＳＢデバイス３０からのデータをコントローラ１２内の通過・遮断制御機能１２２に受け渡す。

　コントローラ１２内の通過・遮断制御機能１２２は、コントローラ１２内のＵＳＢホスト機能から受け取ったデータを、認証部１１での認証結果に基づき、例えば、
・コントローラ１２内のＵＳＢデバイス機に転送するか、
・破棄する
制御動作を行う。

　コントローラ１２内の通過・遮断制御機能１２２は、コントローラ１２内のＵＳＢホスト機能から受け取ったデータを転送する場合、コントローラ１２内のＵＳＢデバイス機能に該データを受け渡し、該データはコントローラ１２内のＵＳＢデバイス機能内のエンドポイントに設定される。

　情報端末２０からのポーリング（例えばＩＮトークンパケット）を受けた中継装置１０では、コントローラ１２のＵＳＢデバイス機能のエンドポイントにデータがある場合、該データをデータパケットにて返送する。なお、中継装置１０のＵＳＢホスト機能では、ＵＳＢデバイス３０からのデバイス接続情報（コンフィギュレーションディスクリプタ（インタフェース数を規定）、インタフェースディスクリプタ（エンドポイント数を規定）およびエンドポイントディスクリプタ）、情報端末２０のＵＳＢホスト機能では、コントローラ１２内のＵＳＢデバイス機能からのデバイス接続情報（コンフィギュレーションディスクリプタ（インタフェース数を規定）、インタフェースディスクリプタ（エンドポイント数を規定）およびエンドポイントディスクリプタ）によって、それぞれのＵＳＢデバイス（ＵＳＢデバイス機能）のエンドポイントの情報を得ることできる。

　このように、ポーリングは、情報端末２０（ＵＳＢホスト）と中継装置１０のＵＳＢデバイス機能の間と、中継装置１０のＵＳＢホスト機能とＵＳＢデバイス３０との間でそれぞれ行われる。このため、コントローラ１２内のＵＳＢデバイス機能は、コントローラ１２内のＵＳＢホスト機能からポーリングに対して配下のＵＳＢデバイス３０から送信され、通過・遮断制御機能１２２を介して受信したデータを、情報端末２０のＵＳＢホストから次回ポーリングを受けるまでの間、保持しておく動作を行う。

　また、コントローラ１２の通過・遮断制御機能１２２は、コントローラ１２内のＵＳＢホスト機能との間でやり取りしたデータ、コントローラ１２内のＵＳＢデバイス機能との間でやり取りしたデータ、日時（時刻情報）、処理内容（ＵＳＢデバイス３０からのデータ廃棄等）、さらに、必要に応じて、コントローラ１２内のＵＳＢホスト機能から受け取ったデータから抽出可能な場合、該データから抽出されたＵＳＢデバイス３０での操作等を、履歴として記録するようにしてもよい。

　コントローラ１２の通過・遮断制御機能１２２は、認証部１１にて現在認証されている利用者のアクセス権限が、ＵＳＢデバイス３０の特定の操作（ＵＳＢマウスの特定のボタン操作）を不許可とするものである場合、例えば以下の制御を行うようにしてもよい。

　ＵＳＢデバイス３０に対するポーリングに対してＵＳＢデバイス３０からのデータを受信したコントローラ１２内のＵＳＢホスト機能から該データを受信すると、通過・遮断制御機能１２２は該データを解析する。解析の結果、
・該データが、不許可の操作に該当しない場合、通過・遮断制御機能１２２は、該データをコントローラ１２のＵＳＢデバイス機能に転送する、
・該データが、不許可の操作に該当する情報（コード）を含む場合、通過・遮断制御機能１２２は、例えばデータを書き換えた上でコントローラ１２内のＵＳＢデバイス機能に転送する、
・該データが、不許可の操作に該当する情報（コード）を含む場合、通過・遮断制御機能１２２は、該データを破棄する、
等の制御を行うようにしてもよい。

　前述したように、コントローラ１２の通過・遮断制御機能１２２は、コントローラ１２内のＵＳＢホスト機能からのポーリングに対してＵＳＢデバイス３０から受信したデータを、認証部１１での認証結果、すなわち利用者の属性に応じて、返送するか、遮断したりする制御を行う。

　認証部１１が利用者の認証の結果取得する属性情報としては、例えば、識別情報（ＩＤ）、所属部署や役職、アクセス権限情報等を用いてもよい。アクセス権限情報は、周辺機器に対する読み込み、書き込み等に関するアクセスの許可、不許可を制御するための情報であり、例えば、複数の利用者をアクセス権限に応じてグループ化し、所属するグループ（管理者グループ、閲覧者グループ等）で設定するようにしてもよい。

　コントローラ１２の通過・遮断制御機能１２２は、認証部１１での認証結果に加え、ＵＳＢデバイス３０の種別や操作の内容の組み合わせに応じて、コントローラ１２内のＵＳＢホスト機能で受信したデータのコントローラ１２内のＵＳＢデバイス機能への転送（通過）、又は該データの廃棄（遮断）を行うようにしてもよい。

　例えば、認証部１１による認証結果から、利用者が閲覧者グループ（情報端末２０の表示の閲覧が許可されているグループ）に属すると判定された場合、コントローラ１２の通過・遮断制御機能１２２は、ＵＳＢマウス３０－２からコントローラ１２内のＵＳＢホスト機能を介して受信したデータのみをコントローラ１２内のＵＳＢデバイス機能へ転送（通過）するようにしてもよい。すなわち、この場合、コントローラ１２の通過・遮断制御機能１２２は、ＵＳＢキーボード３０－１からコントローラ１２内のＵＳＢホスト機能を介して受信したデータを廃棄する。

　あるいは、コントローラ１２の通過・遮断制御機能１２２は、操作者がグループＡに属すると判定された場合、ＵＳＢマウス３０－２からコントローラ１２内のＵＳＢホスト機能を介して受信したデータの中身を解析し、マウス操作のうち、例えば右クリック操作の操作データのみを選択的を廃棄（遮断）するようにしてもよい。

　なお、ＵＳＢマウス３０－２、ＵＳＢキーボード３０－１等のＨＩＤ（Human Interface Device）クラスでは、レポートと呼ばれる単位でデータを転送する。例えば、マウスの場合、
・Ｘ軸移動量、
・Ｙ軸移動量、
・移動方向と前回データ出力時からの移動量、
・ボタンの状態（左右中央の各ボタンが押されているかどうかの情報）等といった情報をまとめたレポートを、コントローラ１２内のＵＳＢホスト機能からのポーリングに応答して返送する。

　コントローラ１２の通過・遮断制御機能１２２は、認証部１１で取得されたアクセス権限情報が、マウスの右クリック操作のみを許可する場合、ＵＳＢマウス３０－２からコントローラ１２内のＵＳＢホスト機能を介して受信したデータを解析する。解析の結果、
・該データに含まれるレポートのボタンの状態が右ボタンの押下状態である場合に、通過・遮断制御機能１２２は、該データをコントローラ１２内のＵＳＢデバイス機能に転送（通過）し、
・データに含まれるレポートのボタン状態が他の状態を示すものである場合、通過・遮断制御機能１２２は、該データを廃棄（遮断）するようにしてもよい。

　あるいは、コントローラ１２の通過・遮断制御機能１２２は、認証部１１により、利用者が別のグループＢに属すると判定された場合、情報端末２０の表示画面における特定のエリアのみでＵＳＢマウス３０－２のクリック操作を許可するようにしてもよい。

　その際、コントローラ１２の通過・遮断制御機能１２２は、マウスカーソル（マウスポインタ）が表示画面における特定のエリア上に位置する場合にのみ、ＵＳＢマウス３０－２からのクリック操作の操作信号データをコントローラ１２内のＵＳＢデバイス機能に転送（通過）し、特定のエリア以外の領域上でのＵＳＢマウス３０－２からのクリック操作信号データを遮断するようにしてもよい。この場合、コントローラ１２の通過・遮断制御機能１２２は、情報端末２０から表示画面の領域情報、マウスカーソル（マウスポインタ）の現在の位置情報を取得しておき、コントローラ１２のＵＳＢホスト機能によるポーリングに対してＵＳＢマウス３０－２から返送されるレポートに含まれるマウスの移動量からマウスカーソル（マウスポインタ）の画面上での位置にマッピングし、画面上でのマウスカーソル（マウスポインタ）の位置情報を取得するようにしてもよい。

　あるいは、コントローラ１２の通過・遮断制御機能１２２は、認証部１１により、利用者がさらに別のグループＣに属すると判定された場合、ＵＳＢキーボード３０－１から返送されるキーコードを監視し、例えばＥｎｔｅｒキーの入力を遮断するようにしてもよい。すなわち、コントローラ１２の通過・遮断制御機能１２２は、ＵＳＢキーボード３０－１からのデータが入力されたキーコード列の最後にＥｎｔｅｒキーを含むデータである場合、該データを廃棄するようにしてもよい。あるいは、コントローラ１２の通過・遮断制御機能１２２は、ＵＳＢキーボード３０－１から返送されたキー入力データのうち、Ｅｎｔｅｒキーを削除したデータを、ＵＳＢキーボード３０－１のキー入力として、コントローラ１２内のＵＳＢデバイス機能に転送（通過）するようにしてもよい。

　また、コントローラ１２の通過・遮断制御機能１２２は、操作イベントを履歴（ログ）として記憶しておき、認証部１１による認証結果のタイミングで、適切な操作イベントをＵＳＢデバイス３０の代理で発生するようにしてもよい。例えば、認証部１１により認証された利用者によるＵＳＢキーボード３０－１のあるキーが押下（キーダウンイベント発生）された状態で、認証部１１での認証結果に基づくアクセス権限が、ＵＳＢキーボード３０－１からのデータの通過から遮断に切り替わった場合、コントローラ１２の通過・遮断制御機能１２２は、例えば当該遮断のタイミングで、当該キーのキーアップイベント相当情報をＵＳＢキーボード３０－１に代わって代理で生成し、生成した当該キーのキーアップイベント相当情報をコントローラ１２内のＵＳＢデバイス機能に転送するようにしてもよい。

　なお、ＰＳ／２キーボード等では、キーの押下あるいは解放を検出すると、キーに固有のスキャンコードをＣＰＵ（Central Processing Unit）に送る。キーが押されたときに発生するスキャンコードをメイク（make）コード、離されたときに発生するものをブレイク（break）コードという。オートリピートの処理をキーボード側で行う場合、キーが押されている間、メイクコードを周期的に発生するが、キーを離した場合に、ブレイクコードが送信される。一方、ＵＳＢキーボードでは、ＵＳＢホストに、どのキーが離されたかを送るのではなく（ブレイク（ｂｒｅａｋ）コードはない）、ＵＳＢホストからのポーリングに対してキーを離した後の状態を送ることになる。ＵＳＢホストはＵＳＢキーボードから送信された状態から、当該キーが離されたことを判定する。

　中継装置１０において、コントローラ１２の通過・遮断制御機能１２２は、認証部１１で認証結果による利用者のアクセス権限が、ＵＳＢキーボード３０－１のアクセス権限がアクセス許可から不許可に切り替わったタイミングで、操作イベント履歴を参照して、該タイミングの直前までキーダウンイベント状態であると判定した場合、当該キーのキーアップイベント相当情報（例えば当該キーと異なるキー（ダミーキー：例えば当該キーと異なる制御キー等が押された状態のデータ）を代理で生成し、コントローラ１２内のＵＳＢデバイス機能に転送するようにしてもよい。

　情報端末２０からのポーリングに対して、コントローラ１２内のＵＳＢデバイス機能は、コントローラ１２の通過・遮断制御機能１２２が代理で生成したデータを返送する。このデータを受信した情報端末２０では、当該キーが離されたこと（キーアップイベントの発生）を認識する。

　なお、認証部１１による利用者の認証は、好ましくは、繰り返し（例えば１秒に１回）行う。

　図８は、図３の認証部１１、コントローラ１２の機能構成をブロック図にて例示した図である。認証部１１は、画像データ取得部１１１、顔認証部１１２、アクセス権限取得部１１３を備えている。画像データ取得部１１１は、カメラ１３で撮像された画像データを取得する。なお、カメラ１３は、動画像で撮像した画像データをカメラ１３内の巡回バッファ等に格納し、画像データ取得部１１１で動画像から例えば１フレームの画像データを抽出するようにしてもよい。あるいは、画像データ取得部１１１が、定期的に(例えば１秒間隔)、カメラ１３に対して撮像開始コマンドを送信し、カメラ１３から静止画像を取得するようにしてもよい。

　顔認証部１１２は、画像データ取得部１１１から画像データ（例えば１フレーム分の画像データ）を取得し、該画像データから顔検出を行う。顔認証部１１２は、画像データ（１フレーム分の画像データ）に対して、例えば水平、垂直等のフィルタを用いてエッジを抽出することで、顔の輪郭（エッジ）を検出する。次に、顔認証部１１２は、検出した顔画像の特徴量を抽出する（例えば顔の特徴量の１つとして目間距離等を抽出してもよい）。

　そして、顔認証部１１２は、抽出された顔特徴量と、予め登録データ記憶部１６に記録されている登録データの人物毎（例えば従業員、契約社員、部外者等）の顔写真画像データ（顔特徴量）とを比較して、類似度を算出し、カメラ１３で撮像された利用者が、予め登録されている人物のうち、どの人物であるかを識別する。登録データ記憶部１６はＲＡＭ、ＥＥＰＲＯＭ等の半導体メモリで構成してもよいし、ＨＤＤ、ＳＳＤ（Solid State Drive）等で構成してもよい。

　顔認証部１１２は、利用者の顔認証が成功すると、アクセス権限取得部１１３に、顔認証された利用者の識別情報（ＩＤ）を出力する。

　顔認証部１１２は、利用者の識別情報（ＩＤ）に基づき、予め登録データ記憶部１６に記録されている登録データ（従業員の属性データ等）を参照して、該利用者の情報端末２０に関するアクセス権限情報（例えば情報端末２０からのパラメータ設定等が許可されているグループに所属するか、情報端末２０からのパラメータ設定等が許可されていないグループに所属するか等）を抽出する。

　図９Ａに、登録データ記憶部１６に記憶される登録データ１６１の一例を模式的に示す。なお、図９Ａでは、簡単のため、登録データ記憶部１６に記憶される登録データ１６１として、
・顔写真画像データ（顔特徴量）と、
・従業員（利用者）の属性データ（氏名、所属、役職等）、
・従業員（利用者）又は従業員（利用者）が属するグループのアクセス権限情報、
を１つのエントリとして例示しているが、登録データ１６１のデータ構造はかかる構成に制限されるものでないことは勿論である。例えば、顔写真画像データ（顔特徴量）、従業員の属性データ（所属、役職等）、該所属や役職等に対応するアクセス権限情報は、それぞれ別々の記憶装置に分散されている構成であってもよいことは勿論である。

　また、顔写真画像データ（顔特徴量）、従業員の属性データ（所属、役職等）、アクセス権限情報は、不図示の管理データベースに記憶しておき、中継装置１０の認証部１１が顔認証を行う場合に、管理データベースから情報を取得するようにしてもよい。

　あるいは、中継装置１０の認証部１１が管理データベースから情報を取得し、顔認証が成功した利用者に関する識別情報、顔写真画像データ（顔特徴量）、アクセス権限情報を、中継装置１０の登録データ記憶部１６にキャッシュとして保持するようにしてもよい。こうすることで、認証部１１が、情報端末２０を頻繁に操作する利用者や情報端末２０に長時間にわたって操作する利用者の顔認証を行う（例えば１秒毎に行う）にあたり、中継装置１０内の登録データ記憶部１６にキャッシュされた登録データにヒットした情報を利用することができ、管理データベースへのアクセスを省略し顔認証処理の高速化に貢献する。顔写真画像データ（顔特徴量）として、顔写真（デジタル画像データ）であってもよいし、顔特徴量を記憶したものであってもよいし、顔写真と顔特徴量の両方を記憶するようにしてもよい。

　なお、アクセス権限取得部１１３は、顔認証が成功した利用者のＩＤ、日時情報（タイムスタンプ）、アクセス権限を認証履歴記憶部１７に記憶するようにしてもよい。その際、アクセス権限取得部１１３は同一利用者が連続して情報端末２０の操作を行う場合、利用者に紐付けて認証開始時刻と認証失敗時刻とを対として記憶するようにしてもよい。認証履歴記憶部１７は、ＲＡＭ、ＥＥＰＲＯＭ等の半導体メモリで構成してもよいし、ＨＤＤ、ＳＳＤ（Solid State Drive）等で構成してもよい。

　さらに、図８を参照すると、コントローラ１２は、図４を参照して説明した書き換え機能（書き換え部）１２１、通過・遮断制御機能（通過・遮断制御部）１２２と、ＵＳＢデバイス機能１２３、ＵＳＢホスト機能１２４とを備えている。通過・遮断制御機能（通過・遮断制御部）１２２は、認証部１１での認証結果を受け、ＵＳＢホスト機能１２４がＵＳＢデバイス３０から受信したデータを廃棄（遮断）するか、ＵＳＢデバイス機能１２３への転送（通過）を制御する。

　デバイス側接続部１４はＵＳＢコネクタ（ポート）等の物理的な通信インタフェースである。情報端末側接続部１５はＵＳＢケーブル等の物理インタフェースである。

　書き換え機能１２１は、情報端末２０からのデバイス情報取得要求に対して、ＵＳＢデバイス３０からのデバイス情報（デバイスディスクリプタ、コンフィギュレーションディスクリプタ、インタフェースディスクリプタ）を書き換えたデバイス情報を情報端末２０に送信する。

　通過・遮断制御機能１２２は、認証部１１により現在認証されている利用者のアクセス権限が、例えばＵＳＢデバイス３０の操作を不許可とするものである場合、情報端末２０から、ＵＳＢホスト機能部１２４からのポーリングに対して、ＵＳＢデバイス３０から返送されたデータを廃棄し、操作イベント履歴記憶部１８に、当該ＵＳＢホスト機能１２４のポーリングのイベントと、日時（時刻情報）、処理内容（廃棄）等を記録してもよい。操作イベント履歴記憶部１８は、ＲＡＭ、ＥＥＰＲＯＭ等の半導体メモリで構成してもよいし、ＨＤＤ、ＳＳＤ（Solid State Drive）等で構成してもよい。

　なお、コントローラ１２は、認証部１１からのアクセス権限に基づき、通過・遮断制御機能１２２でＵＳＢデバイス３０からのデータパケットを廃棄したとき、アラーム装置（不図示）からアラームの通報（警報音、表示灯（赤ランプ）のフラッシュ等）を出力するようにしてもよい。

　同様に、図２のステップＳ５で、認証部１１で認証されない人物（例えば部外者）が情報端末２０をアクセスしようとする場合にも、コントローラ１２はアラームを通知するようにしてもよい。なお、警報装置（不図示）は、中継装置１０内部に備えてもよいし、中継装置１０と外付けで配置するようにしてもよい。

　図９Ｂは、図８の認証履歴記憶部１７に記憶される認証履歴１７１の一例を説明する図である。図９Ｂを参照すると、認証履歴１７１は、図４の認証部１１での利用者の認証結果とその時刻、および該利用者のアクセス権限の履歴が模式的に示されている。なお、認証履歴記憶部１７では、認証日時情報として、当該利用者が認証され続けて時間区間（認証開始時刻から席を立つなどして認証不能になるまでの時刻）を記録するようにしてもよい。

　図９Ｃは、通過・遮断制御機能１２２によって、操作イベントを時刻情報と対応させて記録した操作イベント履歴記憶部１８の一例を説明する図である。特に制限されないが、操作イベント履歴記憶部１８に記憶される操作イベント履歴１８１は、履歴番号に対応させて、

・通過・遮断制御機能１２２がコントローラ１２内のＵＳＢホスト機能１２４との間でやり取りしたデータ、
・通過・遮断制御機能１２２がコントローラ１２内のＵＳＢデバイス機能１２３との間でやり取りしたデータ、
・日時情報(time stamp)、
・通過・遮断制御機能１２２でのデータの処理内容（通過、廃棄）、
・さらに、通過・遮断制御機能１２２がコントローラ１２内のＵＳＢホスト機能から受け取ったデータを解析した結果、該データの元となったＵＳＢデバイス３０での操作が抽出可能である場合、当該操作の各欄を備えたテーブルとして記憶される。

　操作イベント履歴１８１において、周辺機器の操作欄には、通過・遮断制御機能１２２でＵＳＢデバイス３０からのデータを廃棄（遮断）した場合に、該データを解析して得られた操作を記録してしてもよい。図９Ｃの例では、履歴番号Nにおいて、ＵＳＢデバイス３０からのデータ（DATA_N）が数値列＋Ｅｎｔｅｒキー入力を含み、通過・遮断制御機能１２２において、ＵＳＢデバイス３０におけるパラメータ入力と判定し、アクセス権限を越えているためデータを遮断していることが記録されている。なお、通過・遮断制御機能１２２において、該データを解析してもＵＳＢデバイス３０の該当する操作の抽出ができない場合には、その旨を記録するようにしてもよい。通過・遮断制御機能１２２において、ＵＳＢデバイス３０からのデータをコントローラ１２内のＵＳＢデバイス機能に転送する場合にも、該データを解析してもＵＳＢデバイス３０の該当する操作の抽出するようにしてもよい。

　コントローラ１２は、管理者等からの指示に応じて、操作イベント履歴記憶部１８に記憶された操作イベント履歴１８１と、認証履歴記憶部１７に記憶された認証履歴１７１とを付き合わせ、例えば、トランザクションＮのポーリングに対してデータパケットを廃棄していることを検出し、その時点で操作している利用者のＩＤがＡであることを検出する構成としてもよい。

　コントローラ１２は、ＵＳＢデバイス３０から受信したデータを、通過・遮断制御機能１２２で廃棄したことを、情報端末２０、あるいは、不図示の管理サーバ等に通知するようにしてもよい。図９Ｃの操作イベント履歴１８１の例では、閲覧グループに所属する利用者Ａが、数値列とＥｎｔｅｒキーを入力し（すわなち、パラメータ等をＵＳＢキーボード３０－１から入力し）、中継装置１０で該データを廃棄したことがわかる。

　なお、コントローラ１２は、認証部１１からのアクセス権限に基づき、ＵＳＢデバイス３０からのデータを廃棄したとき、中継装置１０の警報装置（不図示）にアラーム通報を出力する構成とした場合、該アラーム通報に利用者ＩＤ情報や氏名、ＵＳＢデバイスでの操作内容等を含ませるようにしてもよい。

　さらに、コントローラ１２は、アラーム通報の内容を、廃棄したパケットに関連付けて、操作イベント履歴記憶部１８に記録するようにしてもよい。

　なお、電源オフ状態の中継装置１０の２つのＵＳＢポートにＵＳＢデバイス３０（ＵＳＢキーボード３０－１とＵＳＢマウス３０－２）が接続されており、情報端末２０のＵＳＢポートに中継装置１０のＵＳＢケーブルを接続しても、中継装置１０の電源をオンとしないかぎり、コントローラ１２内のＵＳＢデバイス機能は、電源投入状態（Powered）とはならない。電源オフ状態の中継装置１０に接続されているバスパワー型(Bus Powered)のＵＳＢデバイス（ＵＳＢキーボード３０－１とＵＳＢマウス３０－２）も電源投入状態（Powered）とはならない。

　ＵＳＢキーボード３０－１とＵＳＢマウス３０－２が接続され、情報端末２０のＵＳＢポートに接続されている中継装置１０の電源をオンしたときに、中継装置１０は電源投入状態（Powered）となり、情報端末２０と中継装置１０間のリセット、中継装置１０とＵＳＢデバイス３０間のリセットが行われる。中継装置１０のコントローラ１２のＵＳＢホスト機能は、ＵＳＢキーボード３０－１とＵＳＢマウス３０－２からデバイス情報（デバイスディスクリプタ、コンフィギュレーションディスクリプタ、インタフェースディスクリプタ等）を取得し、コントローラ１２の書き換え機能１２１は、前述した手順で、ＵＳＢキーボード３０－１とＵＳＢマウス３０－２の機能を併せ持つ擬似的な複合デバイス情報を生成し、コントローラ１２のＵＳＢデバイス機能は、情報端末２０からのデバイス情報取得要求に対して擬似的な複合デバイス情報（デバイスディスクリプタ、コンフィギュレーションディスクリプタ、インタフェースディスクリプタ等）を返送する。擬似的な複合デバイスのデバイスディスクリプタでは、プロダクトＩＤ欄（idProduct）の書き換えが行われ、コンフィギュレーションディスクリプタのインタフェース数が２とされ、２つのインタフェースディスクリプタが作成される。

　また、電源オン状態の中継装置１０にＵＳＢデバイスが何も接続されていない状態で、中継装置１０を情報端末２０のＵＳＢポートに接続した場合、リセットののち、情報端末２０からのデバイスディスクリプタ要求（GET_DESCRIPTOR(DEVICE)）が中継装置１０に転送される（図６のＳ１３）。中継装置１０はデバイスディスクリプタを情報端末２０に返さないようにしてもよい。このため、図６の２回目のリセット（図６のＳ１４）、アドレス設定要求（SET_ADDR）（図６のＳ１５）、残りのデバイスディスクリプタ要求（GET_DESCRIPTOR(DEVICE)）（図６のＳ１６）、コンフィギュレーションディスクリプタ要求（GET_DESCRIPTOR(CONFIGURATION)）（図６のＳ１７）、コンフィギュレーション設定要求（SET_CONFIGURATION）（図６のＳ１８）は行われない。この場合、情報端末２０において、中継装置１０のデバイスドライバは不要である。

　この状態で、中継装置１０に例えば１台のＵＳＢデバイス３０が接続されると、中継装置１０のコントローラ１２のＵＳＢホスト機能は、中継装置１０とＵＳＢデバイス３０間のリセットを行い、ＵＳＢデバイス３０からデバイス情報（デバイスディスクリプタ、コンフィギュレーションディスクリプタ、インタフェースディスクリプタ等）を取得する。情報端末２０と中継装置１０間でもリセットが行われ、中継装置１０のコントローラ１２のＵＳＢデバイス機能は、情報端末２０からのデバイス情報取得要求に対して、擬似的に１つのＵＳＢデバイス３０としてのデバイス情報を情報端末２０に返送する。

　その後、中継装置１０にさらに別のＵＳＢデバイス３０が接続された場合、中継装置１０は、再度、リセット等を行い、複数のＵＳＢデバイス３０からデバイス情報（デバイスディスクリプタ、コンフィギュレーションディスクリプタ、インタフェースディスクリプタ等）を取得し、複数のＵＳＢデバイス３０を１つの擬似的な複合ＵＳＢデバイスとしたデバイスディスクリプタ（プロダクトＩＤ欄：idProduct）に書き換え、コンフィギュレーションディスクリプタ（インタフェース数）を２とし、２つのインタフェースディスクリプタを作成し、情報端末２０からのデバイス情報取得要求に対して返送するようにしてもよい。

　上記した例では、中継装置１０が自己電源供給型（Self Powered）である場合を説明したが、中継装置１０に接続する周辺機器であるＵＳＢデバイス３０がマウスやキーボード等消費電流の比較的少ないデバイスである場合、情報端末２０のＵＳＢポートから電源供給（例えば１つのＵＳＢポートあたりの電流500ｍＡ（milliampere）、電力2.5Ｗ）を受けるバスパワー型としてもよい。この場合、図８の各種記憶部１６、１７、１８は、消費電流（消費電力）の点から、ＨＤＤ等は用いず、例えばＥＥＰＲＯＭ等で構成してもよい。

　中継装置１０がバスパワー型の場合において、中継装置１０のＵＳＢケーブルを情報端末２０のＵＳＢポートに接続すると、中継装置１０は電源投入状態（Powered）となる。ただし、リセット処理後の情報端末２０からのデバイスディスクリプタ取得要求に対して、中継装置１０は、自身のデバイスディスクリプタを返送しない。電源オンの状態となった中継装置１０にＵＳＢでデバイス３０接続されると、自己電源供給型（Self Powered）の電源オンの中継装置１０が情報端末２０のＵＳＢポートに接続している状態で、中継装置１０（電源オン状態）にＵＳＢデバイス３０を接続した場合の前記手順と同じとなる。

　中継装置１０がバスパワー型の場合において、バスパワー型の複数のＵＳＢデバイス３０（ＵＳＢキーボード３０－１、ＵＳＢマウス３０－２）がＵＳＢポートに接続されている中継装置１０のＵＳＢケーブルを情報端末２０のＵＳＢポートに接続すると、中継装置１０は電源投入状態（Powered）となる。この場合も、中継装置１０のコントローラ１２のＵＳＢホスト機能は、ＵＳＢデバイス３０（ＵＳＢキーボード３０－１、ＵＳＢマウス３０－２）からデバイス情報（デバイスディスクリプタ、コンフィギュレーションディスクリプタ、インタフェースディスクリプタ等）を取得し、中継装置１０のコントローラ１２のＵＳＢデバイス機能は、情報端末２０からのデバイス情報取得要求に対して、擬似的に複合ＵＳＢデバイスとしてのデバイス情報を情報端末２０に返送する。

　図１０Ａ、図１０Ｂは、異なる構成の擬似的な複合ＵＳＢデバイスを例示する図である。図１０Ａでは、ＵＳＢキーボード３０－１とＵＳＢマウス３０－２を１つの疑似複合デバイスとし、図１０ＢではＵＳＢキーボード３０－１と２つのＵＳＢマウス３０－２、３０－３のセットを１つの疑似的な複合ＵＳＢデバイスとしている。図１０Ａ、図１０Ｂでは、中継装置１０が、デバイスディスクリプタに設定するプロダクトＩＤは互いに異なる。なお、２つのＵＳＢマウス３０－２、３０－３に対して、ＯＳは１つのマウスドライバを起動する。このため、二つのマウス対して画面のマウスポインタは１つであり、二つのマウスの操作は１つのマウスの操作となる。

　図１１Ｂは、ＵＳＢキーボード３０－１、ＵＳＢマウス３０－２が接続されている中継装置１０（図１１Ａ）に対して、新たに別のＵＳＢデバイス（ＵＳＢマウス）３０－３を接続する場合を説明する図である。中継装置１０では、ＵＳＢキーボード３０－１、ＵＳＢマウス３０－２を、１つの擬似的な複合ＵＳＢデバイス（プロダクトＩＤ＝００１）として、そのデバイスディスクリプタ、コンフィギュレーションディスクリプタ等を設定済みとする。

　この状態で、中継装置１０にＵＳＢマウス３０－３が接続されると、コントローラ１２内のＵＳＢホスト機能により、中継装置１０とＵＳＢデバイス３０との間のＵＳＢバスのリセットが実行され、複数のＵＳＢデバイス３０（ＵＳＢキーボード３０－１、ＵＳＢマウス３０－２、ＵＳＢマウス３０－３）のデバイス情報を取得し、ＵＳＢキーボード３０－１、ＵＳＢマウス３０－２、３０－３の複数の機能を備えた１つの擬似的な複合ＵＳＢデバイスの擬似的なデバイス情報を生成する。例えばコントローラ１２の書き換え機能１２１では、擬似的なデバイス情報として、デバイスディスクリプタ（プロセスＩＤ＝００２））を生成し、コンフィギュレーション（インタフェース数＝３）、３つのインタフェースディスクリプタを生成し、情報端末２０からのデバイス情報取得要求に対して送信する。情報端末２０では、デバイスディスクリプタ（プロセスＩＤ＝００２）に対応したデバイスドライバを起動する。

　一方、図１１Ｂの構成から、ＵＳＢマウス３０－３を中継装置１０から引き抜いた場合、バスリセットが行われ、ＵＳＢキーボード３０－１、ＵＳＢマウス３０－２からなる１つの擬似的な複合ＵＳＢデバイスのデバイス情報への書き換えが行われる。すなわち、コントローラ１２の書き換え機能１２１では、デバイスディスクリプタ（プロセスＩＤ＝００１）、コンフィギュレーション（インタフェース数＝２）の設定が行われる。

　図１２は、図１Ｂの構成において、周辺機器３０として、情報端末２０からみて入力デバイス（周辺機器３０－１、３０－２）と出力デバイス（周辺機器３０－４）を接続した構成を例示する図である。通信インタフェース４０－０、４０－２と、通信インタフェース４０－３、４０－４は異なるインタフェースであってもよい。

　図１２において、出力デバイス（周辺機器３０－４）はＵＳＢデバイスであってもよいことは勿論である。この場合、図８においてコントローラ１２内の通過・遮断制御機能１２２は、コントローラ１２内のＵＳＢデバイス機能１２３で受信した情報端末２０からのデータを、認証部１１における認証結果に基づき、コントローラ１２内のＵＳＢホスト機能１２４への転送（通過）、廃棄（遮断）を制御する。認証部１１における認証結果（アクセス権限）がアクセス許可の場合、コントローラ１２内のＵＳＢホスト機能１２４は、通過・遮断制御機能１２２（図８参照）から受け取ったデータを、出力デバイス（ＵＳＢデバイス３０－４）に対してＯＵＴトークンパケットを送信し、続いてデータパケットを送信する。なお、図１２において、周辺機器（３０－４）がＵＳＢ出力デバイスである場合、ＵＳＢホスト、ＵＳＢデバイス間の転送モードは、バルク転送であってもよい。もしくは、連続的かつリアルタイム性を必要とする出力ＵＳＢデバイス等の場合、アイソクロナス転送であってもよい。

　図１３Ａは、図１１の周辺機器３０－４として、例えばＬＣＤ（Liquid Crystal Display）デバイスを接続した構成例を示す図である。ＬＣＤデバイス３０－４は、ＵＳＢディスプレイであっても、他のインタフェースディスプレイであってもよい。

　中継装置１０のコントローラ１２は、情報端末２０からＬＣＤデバイス３０－４へ送信される映像情報を中継装置１０でキャプチャし、認証部１１で取得された利用者のアクセス権限情報に応じて、ＬＣＤディスプレイ（ＬＣＤディスプレイデバイス）３０－４へ表示する映像の内容、あるいは輝度等を可変に制御するようにしてもよい。例えば、コントローラ１２は、情報端末２０からの映像情報を解析し、予め設定されたキーワードに関連する情報欄の表示を、利用者の所属部署、役職等に基づくアクセス権限に応じて、非表示（黒塗り表示）等するようにしてもよい。

　図１３Ｂは、情報端末２０の表示部（ＬＣＤディスプレイ２１）からの映像出力を分配器２２で分岐して中継装置１０に入力し、認証部１１で識別されたアクセス権限に基づき、ＵＳＢキーボード３０－１、ＵＳＢマウス３０－２の入力を制御するようにしてもよい。中継装置１０と分配器２２のインタフェースは、例えばＶＧＡ（Video Graphics Array）、ＤＶＩ（Digital Visual Interface）、ＨＤＭＩ（High-Definition Multimedia Interface：登録商標）等であってもよい。

　図１４Ａ、図１４Ｂは、図１３Ｂにおける中継装置１０の制御の一例を説明する図である。中継装置１０は、情報端末２０の表示部（ＬＣＤディスプレイ２１）からの映像出力を入力し、画面（フレーム）情報を生成（更新）する。図１４Ａの画面において、コントローラ１２は、マウスポインタ（マウスカーソル）２１２の形状をパタン認識するようにしてもよい。情報端末２０の表示部（ＬＣＤディスプレイ２１）に図１４Ａの画面が表示されている状態で、「パラメータ設定画面」が選択されると、図１４Ｂの画面に更新される。マウスポインタ（マウスカーソル）２１２が更新ボタンの上に位置している場合、パラメータ設定のアクセス権限のない利用者の場合、ＵＳＢマウス３０－２の入力を遮断し、さらに、情報端末２０の表示部（ＬＣＤディスプレイ２１）の画面（映像信号）をオフする（画面に映像情報を表示しない）ようにしてもよい。

　第２の実施形態として、前記第１の実施形態の中継装置１０の機能の一部をＵＳＢハブの一部の機能として実装したものである。第２の実施形態のシステム構成は、例えば図１Ｂ、図３を参照して説明した構成と同様とされる。また、第２の実施形態の中継装置１０における周辺機器３０に対する利用者のアクセス制御動作は、基本的に、図２を参照して説明した動作と同様とされる。

　図１５は、第２の実施形態を説明する図であり、前記第１の実施形態の説明で参照した図４に対応している。第２の実施形態において、中継装置１０のコントローラ１２は、コントロール転送の内容を覗き見て、どのようなＵＳＢデバイスが接続されているか（どのデータ転送パイプにどのような機器が接続されているか）を把握することが可能である。中継装置１０において、ＵＳＢデバイスのデバイス接続情報（例えばデバイスディスクリプタ等）の書き換えは行わない。

　図１５の中継装置１０では、中継装置１０に接続する複数のＵＳＢデバイス３０を単一の疑似複合デバイスに集約することはせず、各ＵＳＢデバイス３０からのデバイスディスクリプタにおけるベンダＩＤ、プロダクトＩＤ等はそのまま情報端末２０に転送される。すなわち、情報端末２０からのデバイスディスクリプタ取得要求、コンフィギュレーションディスクリプタ取得要求やアドレス設定要求等（コントロール転送による要求）は、中継装置１０のコントローラ１２を介してＵＳＢデバイス３０にそのまま転送され、各要求に対するＵＳＢデバイスからのデータパケット（各ディスクリプタ）もそのまま情報端末２０転送される。

　また、通過・遮断制御機能１２５は、データ転送の通過・遮断（ポーリングデータの書き換え）は、データ転送パイプのデータに対し、認証結果に応じて実行される。

　情報端末２０からは、中継装置１０は透明（transparent）である。例えば情報端末２０からＵＳＢデバイス３０へのデータの問い合わせ（ポーリング：ＩＮトークンパケット）又はＯＵＴトークンパケットはそのままＵＳＢデバイス３０に転送されるようにしてもよい。

　コントローラ１２の通過・遮断制御機能１２５は、認証部１１での認証結果に基づき、現在認証されている利用者のアクセス権限が、例えばＵＳＢデバイス３０の操作を不許可とするものである場合、情報端末２０からＵＳＢデバイス３０へのデータの問い合わせ（ポーリング：ＩＮトークンパケット）に対して、ＵＳＢデバイス３０から返送されたデータパケットを廃棄するようにしてよい。

　また、コントローラ１２の通過・遮断制御機能１２５は、認証部１１での認証結果に基づき、現在認証されている利用者のアクセス権限が、例えばＵＳＢデバイス３０の操作を不許可とするものである場合、コントローラ１２の通過・遮断制御機能１２５は、当該ＵＳＢデバイス３０に対する情報端末２０からのポーリング（ＩＮトークンパケット）やＯＵＴトークンパケットを廃棄するように制御してもよい。

　あるいは、コントローラ１２の通過・遮断制御機能１２５は、情報端末２０からのポーリング（ＩＮトークンパケット）に対して、例えばＳＴＡＬＬ（デバイス側動作不能）を情報端末２０に返すようにしてもよい。

　なお、コントローラ１２の通過・遮断制御機能１２５は、トランザクション単位に、操作イベント履歴を記録するようにしてもよい。特に制限されないが、通過・遮断制御機能１２５は、操作イベント履歴として、例えば、
・情報端末２０からのＩＮトークンパケット又はＯＵＴトークンパケット等、
・日時情報（time stamp）、
・該ポーリングに対してＵＳＢデバイス３０から返送されたデータパケット、
・通過・遮断制御機能１２５による該データパケットの通過、廃棄等、あるいはハンドシェイクパケットＳＴＡＬＬ返送等の処理内容、
・ＵＳＢデバイス３０から返送されたデータを解析して得られたＵＳＢデバイス３０での操作等を記録するようにしてもよい。

　認証部１１での認証結果が、利用者によるＵＳＢデバイス３０の操作のうちある特定操作を不許可とする場合、コントローラ１２において、情報端末２０からのポーリング（ＩＮトークンパケット）を受信すると、通過・遮断制御機能１２５は、データを解析し、例えば以下のような制御を行うようにしてもよい（ただし、以下に制限されない）。

・該データが、不許可の操作に該当しない場合、該データを含むデータパケットを情報端末２０に返送する。
・該データが、不許可の操作に該当する情報（コード）を含む場合、データを書き換えた上で情報端末２０に返送する。
・該データが、不許可の操作に該当する情報（コード）を含む場合、情報端末２０からの該ＩＮトークンパケットに対するハンドシェイクパケットとしてＳＴＡＬＬ（デバイス側動作不能）を返すか、情報端末２０からのＩＮトークンパケットに対して何も返さない。

　また、コントローラ１２の通過・遮断制御機能１２５は、認証部１１での認証結果が、利用者によるＵＳＢデバイス３０（例えば表示デバイス等の出力デバイス）での情報閲覧を不許可とする場合、情報端末２０からの該ＵＳＢデバイス３０に対するＯＵＴトークンパケットに続くデータパケットを廃棄するようにしてもよい。あるいは、コントローラ１２の通過・遮断制御機能１２５では、ＵＳＢデバイス３０（例えば表示デバイス）での表示データを、例えば利用者が判別不能又は見づらくするようにぼかしフィルタリング処理等の加工をした上でＵＳＢデバイス３０（例えば表示デバイス）に送信するようにしてもよい。

　上記実施形態で説明した中継装置１０は、例えば図１６に示すように、コンピュータ装置５００に実装してもよい。図１６を参照すると、コンピュータ装置５００は、プロセッサ（ＣＰＵ（Central Processing Unit）、データ処理装置）５０１、半導体メモリ（例えばＲＡＭ（Random Access Memory）、ＲＯＭ（Read Only Memory）、又は、ＥＥＰＲＯＭ（Electrically Erasable and Programmable ROM）等）、ＨＤＤ（Hard Disk Drive）、ＣＤ（Compact Disc）、ＤＶＤ（Digital Versatile Disc）等の少なくともいずれかを含む記憶装置５０２と、通信インタフェース５０３を備えている。記憶装置５０２に記憶されたプログラムを実行することで、前記実施形態で説明した中継装置１０の認証部１１、コントローラ１２の機能を実現するようにしてもよい。通信インタフェース５０３は、図１Ｂの通信インタフェース４０－０を含む。

　なお、図１６において、コンピュータ装置５００は、プロセッサ５０１に接続する表示装置（アラーム通報用のＬＥＤ（Light Emitting Diode）等の表示装置）を備えるか、通信インタフェース５０３が、外部の該表示装置に接続するＮＩＣ（Network Interface Card）等の通信インタフェースを含む構成としてもよい。あるいは、図１４において、コンピュータ装置５００は、プロセッサ５０１に接続する不図示の警報装置（警報音発生用スピーカ装置）を備えるか、外部の警報装置５０４（警報音発生用スピーカ装置、表示灯等）に接続するＮＩＣ等の通信インタフェース５０３’を含む構成としてもよい。また、通信インタフェース５０３は、従業員データを管理する管理データベース等に接続するＮＩＣ等の通信インタフェースを含む構成としてもよい。

　上記実施形態の変形例として、利用者（従業員）が職場で所持する従業員カード（例えばＲＦＩＤ（Radio Frequency Identifier）カード、タグ）等であってもよい。この場合、利用者の顔写真画像データ、利用者ID、所属、役職、アクセス権限情報とともに、従業員カード（ＲＦＩＤカード）に予め記憶しておき、認証部１１では、従業員カード（ＲＦＩＤカード）から、ＲＦＩＤリーダで登録データを読み取り、カメラ１３で撮像された利用者の顔画像と登録データを照合し、一致した場合、本人と判定し、アクセス権限情報をコントローラ１２に出力するようにしてもよい。あるいは、顔認証以外にも、他の生体認証（例えば虹彩（Iris）認証等）を用いてもよい。

　なお、上記実施形態において、通信インタフェースはＵＳＢに制限されるものでないことは勿論である。例えば通信インタフェースをＢｌｕｅｔｏｏｔｈ（登録商標）等の無線ＬＡＮ（Local Area Network）とし、周辺機器３０のキーボード、マウス、ＬＣＤディスプレイを、例えばＢｌｕｅｔｏｏｔｈキーボード、Ｂｌｕｅｔｏｏｔｈマウス、Ｂｌｕｅｔｏｏｔｈディスプレイ等としてもよい。

　なお、上記の特許文献１の開示を、本書に引用をもって繰り込むものとする。本発明の全開示（請求の範囲を含む）の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素（各請求項の各要素、各実施例の各要素、各図面の各要素等を含む）の多様な組み合わせ乃至選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。

　上記した実施形態は例えば以下のように付記される（ただし、以下に制限されない）。

(付記１）
　情報端末と、前記情報端末と通信接続される１つ又は複数の周辺機器との間に接続される操作認証中継装置であって、
　前記情報端末からは周辺機器として認識され、
　前記周辺機器からは情報端末として認識され、
　前記周辺機器を操作して前記情報端末を利用する利用者の認証を行う認証手段と、
　前記認証手段による前記利用者の認証結果に基づき、前記周辺機器と前記情報端末との間の信号の中継を制御する制御手段を備えている、ことを特徴とする操作認証中継装置。

(付記２）
　複数の周辺機器に接続された前記操作認証中継装置は、前記情報端末からは、前記複数の周辺機器のそれぞれの機能を具備する１つの複合型の周辺機器として認識される、ことを特徴とする付記１に記載の操作認証中継装置。

(付記３）
　前記制御手段は、前記認証手段での前記認証結果である前記利用者の属性に基づき、前記周辺機器が通信インタフェースを介して前記情報端末との間で送信又は受信する操作イベントの通過、又は遮断する、ことを特徴とする付記１又は２に記載の操作認証中継装置。

(付記４）
　前記制御手段は、さらに前記認証結果と、前記周辺機器の種別、および、前記操作イベントの組み合わせに応じて、前記周辺機器が通信インタフェースを介して前記情報端末との間で送信又は受信する操作イベントの通過、又は遮断する、ことを特徴とする付記１乃至３のいずれかに記載の操作認証中継装置。

(付記５）
　前記制御手段は、前記情報端末と前記周辺機器の間での操作イベントを記憶部に記憶してする、ことを特徴とする付記１乃至４のいずれかに記載の操作認証中継装置。

(付記６）
　前記認証手段からの前記認証結果に基づき、又は、前記認証手段からの前記認証結果の出力のタイミングで、前記周辺機器に代わって操作イベントを生成し、前記情報端末に送信する、ことを特徴とする付記１乃至５のいずれかに記載の操作認証中継装置。

(付記７）
　前記認証手段が、前記利用者の認証履歴を記憶部に記憶し、
　前記制御手段は、前記利用者の認証履歴と、前記操作イベント履歴を付き合わせることで、前記利用者が前記周辺機器で行った操作内容を抽出する、ことを特徴とする付記５又は６に記載の操作認証中継装置。

(付記８）
　前記認証手段は、前記利用者の生体認証結果に基づき、前記利用者に対応するアクセス権限情報を特定し、
　前記制御手段は、前記利用者に対応するアクセス権限情報に基づき、前記情報端末と前記利用者が操作する前記周辺機器との間の信号の転送を制御する、ことを特徴とする付記１乃至７のいずれかに記載の操作認証中継装置。

(付記９）
　前記制御手段は、前記利用者のアクセス権限情報を越えた前記周辺機器の操作を検出すると、前記操作を無効化するか、警報を発する、の少なくともいずれかを行う、ことを特徴とする付記１乃至８のいずれかに記載の操作認証中継装置。

(付記１０）
　前記周辺機器が表示装置と入力装置を含み、前記制御手段は、前記利用者のアクセス権限情報に基づき、前記表示装置の画面に表示される情報、前記入力装置による前記表示装置の画面からの入力を制御する、ことを特徴とする付記１乃至９のいずれかに記載の操作認証中継装置。

(付記１１）
　前記認証手段は、予め定められた時間間隔で繰り返し認証を行う、ことを特徴とする付記１乃至１０のいずれかに記載の操作認証中継装置。

(付記１２）
　前記制御手段は、前記中継装置に接続された複数の周辺機器を、前記情報端末から見て、単一の周辺機器に見えるように、コントロールプレーンの機器識別情報を書き換えた上で、前記情報端末に通知する、ことを特徴とする付記１乃至１１のいずれかに記載の操作認証中継装置。

(付記１３）
　前記制御手段は、前記情報端末から見て単一の周辺機器として見えるように機器識別情報を書き換えた複数の周辺機器について、前記複数の周辺機器の構成機器の種別が異なる場合、前記機器識別情報とは異なる機器識別情報を、前記情報端末側に通知する、ことを特徴とする付記１乃至１２のいずれかに記載の操作認証中継装置。

(付記１４）
　前記制御手段は、前記中継装置に接続された１つ又は複数の周辺機器の組み合わせが変更となった場合、前記情報端末との間の通信インタフェースのリセットの後、前記情報端末による機器識別処理が再度実行されるように制御する、ことを特徴とする付記１乃至１３のいずれかに記載の操作認証中継装置。

(付記１５）
　情報端末と通信接続される複数の周辺機器が接続可能とされ、前記周辺機器と前記情報端末との間の通信を中継するハブ（例えばＵＳＢハブ）を含む操作認証中継装置であって、
　前記周辺機器を操作して前記情報端末を利用する利用者の認証を行う認証手段と、
　前記認証手段による前記利用者の認証結果に基づき、前記周辺機器と前記情報端末との間の信号の中継を制御する制御手段を備えている、ことを特徴とする操作認証中継装置。

(付記１６）
　前記制御手段は、前記認証手段での前記認証結果である前記利用者の属性に基づき、前記周辺機器が通信インタフェースを介して前記情報端末との間で送信又は受信する操作イベントの通過、又は遮断する、ことを特徴とする付記１５に記載の操作認証中継装置。

(付記１７）
　前記制御手段は、さらに前記認証結果と、前記周辺機器の種別、および、前記操作イベントの組み合わせに応じて、前記周辺機器が通信インタフェースを介して前記情報端末との間で送信又は受信する操作イベントの通過、又は遮断する、ことを特徴とする付記１５又は１６に記載の操作認証中継装置。

(付記１８）
　前記制御手段は、前記情報端末と前記周辺機器の間での操作イベントを記憶部に記憶してする、ことを特徴とする付記１５乃至１７のいずれかに記載の操作認証中継装置。

(付記１９）
　前記認証手段からの前記認証結果に基づき、又は、前記認証手段からの前記認証結果の出力のタイミングで、前記周辺機器に代わって操作イベントを生成し、前記情報端末に送信する、ことを特徴とする付記１５乃至１８のいずれかに記載の操作認証中継装置。

(付記２０）
　前記認証手段が、前記利用者の認証履歴を記憶部に記憶し、
　前記制御手段は、前記利用者の認証履歴と、前記操作イベント履歴を付き合わせることで、前記利用者が前記周辺機器で行った操作内容を抽出する、ことを特徴とする付記１８又は１９に記載の操作認証中継装置。

(付記２１）
　前記認証手段は、前記利用者の生体認証結果に基づき、前記利用者に対応するアクセス権限情報を特定し、
　前記制御手段は、前記利用者に対応するアクセス権限情報に基づき、前記情報端末と前記利用者が操作する前記周辺機器との間の信号の転送を制御する、ことを特徴とする付記１５乃至２０のいずれかに記載の操作認証中継装置。

(付記２２）
　前記制御手段は、前記利用者のアクセス権限情報を越えた前記周辺機器の操作を検出すると、前記操作を無効化するか、警報を発する、の少なくともいずれかを行う、ことを特徴とする付記１５乃至２１のいずれかに記載の操作認証中継装置。

(付記２３）
　前記周辺機器が表示装置と入力装置を含み、前記制御手段は、前記利用者のアクセス権限情報に基づき、前記表示装置の画面に表示される情報、前記入力装置による前記表示装置の画面からの入力を制御する、ことを特徴とする付記１５乃至２２のいずれかに記載の操作認証中継装置。

(付記２４）
　前記認証手段は、予め定められた時間間隔で繰り返し認証を行う、ことを特徴とする付記１５乃至２３のいずれかに記載の操作認証中継装置。

(付記２５）
　情報端末と、前記情報端末に通信接続され、前記情報端末に情報を入力する１つ又は複数の周辺機器との間に接続される中継装置による操作認証中継方法あって、
　前記情報端末からは周辺機器として認識され、
　前記周辺機器からは情報端末として認識され、
　前記周辺機器を操作して前記情報端末を利用する利用者の認証を行い、
　前記利用者の認証結果に基づき、前記利用者による前記周辺機器の操作信号の前記情報端末への中継を制御する、ことを特徴とする操作認証中継方法。

(付記２６）
　複数の周辺機器に接続された前記操作認証中継装置は、前記情報端末からは、前記複数の周辺機器のそれぞれの機能を具備する１つの複合型の周辺機器として認識される、ことを特徴とする付記２５に記載の操作認証中継方法。

(付記２７）
　前記認証結果である前記利用者の属性に基づき、前記周辺機器が通信インタフェースを介して前記情報端末との間で送信又は受信する操作イベントの通過、又は遮断する、ことを特徴とする付記２５又は２６に記載の操作認証中継方法。

(付記２８）
　さらに前記認証結果と、前記周辺機器の種別、および、前記操作イベントの組み合わせに応じて、前記周辺機器が通信インタフェースを介して前記情報端末との間で送信又は受信する操作イベントの通過、又は遮断する、ことを特徴とする付記２５乃至２７のいずれかに記載の操作認証中継方法。

(付記２９）
　前記情報端末と前記周辺機器の間での操作イベントを記憶部に記憶してする、ことを特徴とする付記２５乃至２８のいずれかに記載の操作認証中継方法。

(付記３０）
　前記認証結果に基づき、又は、前記認証結果の出力のタイミングで、前記周辺機器に代わって操作イベントを生成し、前記情報端末に送信する、ことを特徴とする付記２５乃至２９のいずれかに記載の操作認証中継方法。

(付記３１）
　前記利用者の認証履歴を記憶部に記憶し、
　前記利用者の認証履歴と、前記操作イベント履歴を付き合わせることで、前記利用者が前記周辺機器で行った操作内容を抽出する、ことを特徴とする付記２９又は３０に記載の操作認証中継方法。

(付記３２）
　前記利用者の生体認証結果に基づき、前記利用者に対応するアクセス権限情報を特定し、
　前記利用者に対応するアクセス権限情報に基づき、前記情報端末と前記利用者が操作する前記周辺機器との間の信号の転送を制御する、ことを特徴とする付記２５乃至３１のいずれかに記載の操作認証中継方法。

(付記３３）
　前記利用者のアクセス権限情報を越えた前記周辺機器の操作を検出すると、前記操作を無効化するか、警報を発する、の少なくともいずれかを行う、ことを特徴とする付記２５乃至３２のいずれかに記載の操作認証中継方法。

(付記３４）
　前記周辺機器が表示装置と入力装置を含み、前記利用者のアクセス権限情報に基づき、前記表示装置の画面に表示される情報、前記入力装置による前記表示装置の画面からの入力を制御する、ことを特徴とする付記２５乃至３３のいずれかに記載の操作認証中継方法。

(付記３５）
　予め定められた時間間隔で繰り返し認証を行う、ことを特徴とする付記２５乃至３４のいずれかに記載の操作認証中継方法。

(付記３６）
　前記中継装置に接続された複数の周辺機器を、前記情報端末から見て、単一の周辺機器に見えるように、コントロールプレーンの機器識別情報を書き換えた上で、前記情報端末に通知する、ことを特徴とする付記２５乃至３５のいずれかに記載の操作認証中継方法。

(付記３７）
　前記情報端末から見て単一の周辺機器として見えるように機器識別情報を書き換えた複数の周辺機器について、前記複数の周辺機器の構成機器の種別が異なる場合、前記機器識別情報とは異なる機器識別情報を、前記情報端末側に通知する、ことを特徴とする付記２５乃至３６のいずれかに記載の操作認証中継方法。

(付記３８）
　前記中継装置に接続された１つ又は複数の周辺機器の組み合わせが変更となった場合、前記情報端末との間の通信インタフェースのリセットの後、前記情報端末による機器識別処理が再度実行されるように制御する、ことを特徴とする付記２５乃至３７のいずれかに記載の操作認証中継方法。

(付記３９）
　情報端末と通信接続される複数の周辺機器が接続可能とされ、前記周辺機器と前記情報端末との間の通信を中継するハブ機能による操作認証中継方法であって、
　前記周辺機器を操作して前記情報端末を利用する利用者の認証を行い、
　前記認証手段による前記利用者の認証結果に基づき、前記周辺機器と前記情報端末との間の信号の中継を制御する、ことを特徴とする操作認証中継方法。

(付記４０）
　情報端末と、前記情報端末に通信接続され、前記情報端末に情報を入力する１つ又は複数の周辺機器との間に接続される操作認証中継装置を構成するコンピュータに、
　前記情報端末からは周辺機器として認識され、前記周辺機器からは情報端末として認識されるように制御する処理と、
　前記周辺機器を操作して前記情報端末を利用する利用者の認証を行う認証処理と、
　前記利用者の認証結果に基づき、前記利用者による前記周辺機器の操作信号の前記情報端末への中継を制御する制御処理と、
　を実行させるプログラム。

(付記４１）
　複数の周辺機器に接続された前記操作認証中継装置が、前記情報端末からは、前記複数の周辺機器のそれぞれの機能を具備する１つの複合型の周辺機器として認識されるように制御する処理を前記コンピュータに実行させる付記４０に記載のプログラム。

(付記４２）
　前記制御処理は、前記認証処理での前記認証結果である前記利用者の属性に基づき、前記周辺機器が通信インタフェースを介して前記情報端末との間で送信又は受信する操作イベントの通過、又は遮断する、付記４０又は４１に記載のプログラム。

(付記４３）
　前記制御処理は、さらに前記認証結果と、前記周辺機器の種別、および、前記操作イベントの組み合わせに応じて、前記周辺機器が通信インタフェースを介して前記情報端末との間で送信又は受信する操作イベントの通過、又は遮断する、付記４０乃至４２のずれかに記載のプログラム。

(付記４４）
　前記制御処理は、前記情報端末と前記周辺機器の間での操作イベントを記憶部に記憶してする、付記４０乃至４３のいずれかに記載のプログラム。

(付記４５）
　前記認証処理からの前記認証結果に基づき、又は、前記認証処理からの前記認証結果の出力のタイミングで、前記周辺機器に代わって操作イベントを生成し、前記情報端末に送信する、付記４０乃至４４のいずれかに記載のプログラム。

(付記４６）
　前記認証処理が、前記利用者の認証履歴を記憶部に記憶し、
　前記制御処理は、前記利用者の認証履歴と、前記操作イベント履歴を付き合わせることで、前記利用者が前記周辺機器で行った操作内容を抽出する、付記４４又は４５に記載のプログラム。

(付記４７）
　前記認証処理は、前記利用者の生体認証結果に基づき、前記利用者に対応するアクセス権限情報を特定し、
　前記制御処理は、前記利用者に対応するアクセス権限情報に基づき、前記情報端末と前記利用者が操作する前記周辺機器との間の信号の転送を制御する、付記４０乃至４６のいずれかに記載のプログラム。

(付記４８）
　前記制御処理は、前記利用者のアクセス権限情報を越えた前記周辺機器の操作を検出すると、前記操作を無効化するか、警報を発する、の少なくともいずれかを行う、付記４０乃至４７のいずれかに記載のプログラム。

(付記４９）
　前記制御処理は、前記周辺機器が表示装置と入力装置を含み、前記制御処理は、前記利用者のアクセス権限情報に基づき、前記表示装置の画面に表示される情報、前記入力装置による前記表示装置の画面からの入力を制御する、付記４０乃至４８のいずれかに記載のプログラム。

(付記５０）
　前記認証処理は、予め定められた時間間隔で繰り返し認証を行う、付記４０乃至４９のいずれかに記載のプログラム。

(付記５１）
　前記制御処理は、前記中継装置に接続された複数の周辺機器を、前記情報端末から見て、単一の周辺機器に見えるように、コントロールプレーンの機器識別情報を書き換えた上で、前記情報端末に通知する、付記４０乃至５０のいずれかに記載のプログラム。

(付記５２）
　前記制御処理は、前記情報端末から見て単一の周辺機器として見えるように機器識別情報を書き換えた複数の周辺機器について、前記複数の周辺機器の構成機器の種別が異なる場合、前記機器識別情報とは異なる機器識別情報を、前記情報端末側に通知する、付記４０乃至５１のいずれかに記載のプログラム。

(付記５３）
　前記制御処理は、前記中継装置に接続された１つ又は複数の周辺機器の組み合わせが変更となった場合、前記情報端末との間の通信インタフェースのリセットの後、前記情報端末による機器識別処理が再度実行されるように制御する、付記４０乃至５２のいずれかに記載のプログラム。

(付記５４）
　情報端末と通信接続される複数の周辺機器が接続可能とされ、前記周辺機器と前記情報端末との間の通信を中継するハブを構成するコンピュータに、
　前記周辺機器を操作して前記情報端末を利用する利用者の認証を行う認証処理と、
　前記認証手段による前記利用者の認証結果に基づき、前記周辺機器と前記情報端末との間の信号の中継を制御する制御処理と、を実行させるプログラム。

(付記５５）
　前記制御処理は、前記認証処理での前記認証結果である前記利用者の属性に基づき、前記周辺機器が通信インタフェースを介して前記情報端末との間で送信又は受信する操作イベントの通過、又は遮断する、付記５４に記載のプログラム。

(付記５６）
　前記制御処理は、さらに前記認証結果と、前記周辺機器の種別、および、前記操作イベントの組み合わせに応じて、前記周辺機器が通信インタフェースを介して前記情報端末との間で送信又は受信する操作イベントの通過、又は遮断する、付記５４又は５５に記載のプログラム。

(付記５７）
　前記制御処理は、前記情報端末と前記周辺機器の間での操作イベントを記憶部に記憶してする、付記５４乃至５６のいずれかに記載のプログラム。

(付記５８）
　前記認証処理からの前記認証結果に基づき、又は、前記認証処理からの前記認証結果の出力のタイミングで、前記周辺機器に代わって操作イベントを生成し、前記情報端末に送信する、付記５４乃至５７のいずれかに記載のプログラム。

(付記５９）
　前記認証処理が、前記利用者の認証履歴を記憶部に記憶し、
　前記制御処理は、前記利用者の認証履歴と、前記操作イベント履歴を付き合わせることで、前記利用者が前記周辺機器で行った操作内容を抽出する、付記５７又は５８に記載のプログラム。

(付記６０）
　前記認証処理は、前記利用者の生体認証結果に基づき、前記利用者に対応するアクセス権限情報を特定し、
　前記制御処理は、前記利用者に対応するアクセス権限情報に基づき、前記情報端末と前記利用者が操作する前記周辺機器との間の信号の転送を制御する、付記５４乃至５９のいずれかに記載のプログラム。

(付記６１）
　前記制御処理は、前記利用者のアクセス権限情報を越えた前記周辺機器の操作を検出すると、前記操作を無効化するか、警報を発する、の少なくともいずれかを行う、付記５４乃至６０のいずれかに記載のプログラム。

(付記６２）
　前記制御処理は、前記周辺機器が表示装置と入力装置を含み、前記制御処理は、前記利用者のアクセス権限情報に基づき、前記表示装置の画面に表示される情報、前記入力装置による前記表示装置の画面からの入力を制御する、付記５４乃至６１のいずれかに記載のプログラム。

(付記６３）
　前記認証処理は、予め定められた時間間隔で繰り返し認証を行う、付記５４乃至６２のいずれかに記載のプログラム。

１０　中継装置
１１　認証部
１２　コントローラ
１３　カメラ
１４　デバイス側接続部
１４－１、１４－２　ＵＳＢポート
１５　情報端末側接続部
１６　登録データ記憶部
１７　認証履歴記憶部
１８　操作イベント履歴記憶部
２０　情報端末
２１　ＬＣＤディスプレイ
２２　分配器　
３０　周辺機器（ＵＳＢデバイス）
３０－１　周辺機器（ＵＳＢキーボード）
３０－２　周辺機器（ＵＳＢマウス）
４０、４０－０、４０－１、４０－２、４０－３、４０－ｎ　通信インタフェース（ＵＳＢインタフェース）
１１１　画像データ取得部
１１２　顔認証部
１１３　アクセス権限取得部
１２１　書き換え機能（書き換え部）
１２２　通過・遮断制御機能（通過・遮断制御部）
１２３　ＵＳＢデバイス機能
１２４　ＵＳＢホスト機能
１６１　登録データ
１７１　認証履歴
１８１　操作イベント履歴
２１１　表示画面
２１２　マウスポインタ
２１３　パラメータ設定画面
５００　コンピュータ装置
５０１　プロセッサ
５０２　記憶装置
５０３、５０３’　通信インタフェース
５０４　警報装置

Claims

　情報端末と、前記情報端末と通信接続される１つ又は複数の周辺機器との間に接続される操作認証中継装置であって、
　前記情報端末からは周辺機器として認識され、
　前記周辺機器からは情報端末として認識され、
　前記周辺機器を操作して前記情報端末を利用する利用者の認証を行う認証手段と、
　前記認証手段による前記利用者の認証結果に基づき、前記周辺機器と前記情報端末との間の信号の中継を制御する制御手段を備えている、ことを特徴とする操作認証中継装置。
　前記制御手段は、前記認証手段での前記認証結果である前記利用者の属性に基づき、前記周辺機器が通信インタフェースを介して前記情報端末との間で送信又は受信する操作イベントの通過、又は遮断する、ことを特徴とする請求項１に記載の操作認証中継装置。
　前記制御手段は、さらに前記認証結果と、前記周辺機器の種別、および、前記操作イベントの組み合わせに応じて、前記周辺機器が通信インタフェースを介して前記情報端末との間で送信又は受信する操作イベントの通過、又は遮断する、ことを特徴とする請求項２に記載の操作認証中継装置。
　前記制御手段は、前記情報端末と前記周辺機器の間での操作イベントを記憶部に記憶してする、ことを特徴とする請求項１乃至３のいずれか１項に記載の操作認証中継装置。
　前記認証手段からの前記認証結果に基づき、又は、前記認証手段からの前記認証結果の出力のタイミングで、前記周辺機器に代わって操作イベントを生成し、前記情報端末に送信する、ことを特徴とする請求項４に記載の操作認証中継装置。
　前記認証手段が、前記利用者の認証履歴を記憶部に記憶し、
　前記制御手段は、前記利用者の認証履歴と、前記操作イベント履歴を付き合わせることで、前記利用者が前記周辺機器で行った操作内容を抽出する、ことを特徴とする請求項４又は５に記載の操作認証中継装置。
　前記認証手段は、前記利用者の生体認証結果に基づき、前記利用者に対応するアクセス権限情報を特定し、
　前記制御手段は、前記利用者に対応するアクセス権限情報に基づき、前記情報端末と前記利用者が操作する前記周辺機器との間の信号の転送を制御する、ことを特徴とする請求項１乃至６のいずれか１項に記載の操作認証中継装置。
　前記制御手段は、前記利用者のアクセス権限情報を越えた前記周辺機器の操作を検出すると、前記操作を無効化するか、警報を発する、の少なくともいずれかを行う、ことを特徴とする請求項１乃至７のいずれか１項に記載の操作認証中継装置。
　前記周辺機器が表示装置と入力装置を含み、前記制御手段は、前記利用者のアクセス権限情報に基づき、前記表示装置の画面に表示される情報、前記入力装置による前記表示装置の画面からの入力を制御する、ことを特徴とする請求項１乃至８のいずれか１項に記載の操作認証中継装置。
　前記認証手段は、予め定められた時間間隔で繰り返し認証を行う、ことを特徴とする請求項１乃至９のいずれか１項に記載の操作認証中継装置。
　前記制御手段は、前記中継装置に接続された複数の周辺機器を、前記情報端末から見て、単一の周辺機器に見えるように、コントロールプレーンの機器識別情報を書き換えた上で、前記情報端末に通知する、ことを特徴とする請求項１乃至１０のいずれか１項に記載の操作認証中継装置。
　前記制御手段は、前記情報端末から見て単一の周辺機器として見えるように機器識別情報を書き換えた複数の周辺機器について、前記複数の周辺機器の構成機器の種別が異なる場合、前記機器識別情報とは異なる機器識別情報を、前記情報端末側に通知する、ことを特徴とする請求項１乃至１１のいずれか１項に記載の操作認証中継装置。
　前記制御手段は、前記中継装置に接続された１つ又は複数の周辺機器の組み合わせが変更となった場合、前記情報端末との間の通信インタフェースのリセットの後、前記情報端末による機器識別処理が再度実行されるように制御する、ことを特徴とする請求項１乃至１２のいずれか１項に記載の操作認証中継装置。
　情報端末と、前記情報端末に通信接続され、前記情報端末に情報を入力する１つ又は複数の周辺機器との間に接続される操作認証中継装置による操作認証中継方法あって、
　前記情報端末からは周辺機器として認識され、
　前記周辺機器からは情報端末として認識され、
　前記周辺機器を操作して前記情報端末を利用する利用者の認証を行い、
　前記利用者の認証結果に基づき、前記利用者による前記周辺機器の操作信号の前記情報端末への中継を制御する、ことを特徴とする操作認証中継方法。
　情報端末と、前記情報端末に通信接続され、前記情報端末に情報を入力する１つ又は複数の周辺機器との間に接続される操作認証中継装置を構成するコンピュータに、
　前記情報端末からは周辺機器として認識され、前記周辺機器からは情報端末として認識されるように制御する処理と、
　前記周辺機器を操作して前記情報端末を利用する利用者の認証を行う処理と、
　前記利用者の認証結果に基づき、前記利用者による前記周辺機器の操作信号の前記情報端末への中継を制御する処理と、
　を実行させるプログラム。