WO2022074757A1

WO2022074757A1 - 制御方法、制御プログラム、および情報処理装置

Info

Publication number: WO2022074757A1
Application number: PCT/JP2020/037976
Authority: WO
Inventors: 忠信角田; 大山本; 和明二村
Original assignee: 富士通株式会社
Priority date: 2020-10-07
Filing date: 2020-10-07
Publication date: 2022-04-14
Also published as: JPWO2022074757A1; US20230221987A1; EP4227836A4; EP4227836A1

Abstract

一実施形態に係る制御方法は、第１の業務および第２の業務の実行指示を受け付けると、第１の業務と対応する処理プログラムに演算を実行させる演算コードを追加して、処理プログラムと演算コードとを含む第１のプログラムを生成し、演算の実行に基づき得られる演算結果を用いて、第２の業務と対応する第２のプログラムを暗号化して暗号化データを生成し、第１のプログラムと暗号化データとを、第１の業務と対応する装置に送信する、処理を含む。

Description

制御方法、制御プログラム、および情報処理装置

　本発明は、制御方法、制御プログラム、および情報処理装置に関する。

　ＩＣＴ（Information　and　Communication　Technology）技術の進歩により、業務を支援する様々な技術が開発されている。そして、業務フローを実行する際に、業務を支援する様々な技術を利用することで、業務の効率化を図ることができる。

　一方で、サイバー犯罪が増加しており、業務を高い信頼性で実行するための技術への関心が高まっている。

　これに関し、ドキュメント・コンポーネントを保護又は制御することに関連する技術が知られている（例えば、特許文献１）。

特開２００５－５６４１８号公報

　しかしながら、例えば、業務フローにおいて業務の実行順序が定められていることがある。この場合に、例えば、業務フローの実行において、業務を高い信頼性で実行することが難しいことがある。例えば、業務フローの実行結果が得られているとしても、得られた実行結果が定められた順序で業務を確実に実行して得られているかが分からないことがある。

　１つの側面では、本発明は、業務フローを高い信頼性で実行するための技術を提供することを目的とする。

　本発明の一つの態様の制御方法は、第１の業務および第２の業務の実行指示を受け付けると、第１の業務と対応する処理プログラムに演算を実行させる演算コードを追加して、処理プログラムと演算コードとを含む第１のプログラムを生成し、演算の実行に基づき得られる演算結果を用いて、第２の業務と対応する第２のプログラムを暗号化して暗号化データを生成し、第１のプログラムと暗号化データとを、第１の業務と対応する装置に送信する、処理を含む。

　業務フローを高い信頼性で実行することができる。

実施形態に係る制御システムの構成を例示する図である。実施形態に係るサーバの機能ブロック構成を例示する図である。実施形態に係る端末の機能ブロック構成を例示する図である。実施形態に係る業務情報を例示する図である。実施形態に係るドキュメントを例示する図である。実施形態に係る処理情報を例示する図である。実施形態に係る通知先情報を例示する図である。実施形態に係るカプセル化データの送信処理の動作フローを例示する図である。実施形態に係る承認のプロシージャを例示する図である。実施形態に係る承認のウィンドウを例示する図である。実施形態に係るカプセル化処理の動作フローを例示する図である。実施形態に係るカプセル化処理の流れを例示する図である。実施形態に係る業務フローの工程の実行処理の動作フローを例示する図である。実施形態に係るカプセル化データの復号の流れを例示する図である。実施形態に係るプロシージャにおける複数のコードの実行順序の証明のための実行証明演算コードの追加を例示する図である。実施形態に係るサーバおよび端末を実現するためのコンピュータのハードウェア構成を例示する図である。

　以下、図面を参照しながら、本発明のいくつかの実施形態について詳細に説明する。なお、複数の図面において対応する要素には同一の符号を付す。

　上述のように、ＩＣＴ技術の進歩により、業務を支援する様々な技術が開発されている。そして、業務フローを実行する際に、業務を支援する様々な技術を利用することで、業務の効率化を図ることができる。

　一例として、社内での業務フローの実行を支援するワークフローシステムなどを備えるグループウェアが利用されている。また、別な例として、業務をソフトウェアロボットにより自動化するＲＰＡ(Robotic　Process　Automation)と呼ばれる仕組みが知られている。ＲＰＡを導入することで、人手で行われていた処理をロボットに実行させることができる。そして、業務の実行の少なくとも一部をソフトウェアにより代行させて実行することで、業務の効率化や生産性の向上を図ることができる。

　しかしながら、例えば、こうしたソフトウェアの支援を受けて業務を実行する場合に、業務を高信頼に実行することが難しいことがある。例えば、業務フローにおいて工程の実行順序が定められていることがある。この場合に、例えば、業務フローの実行結果が得られているとしても、得られた実行結果が定められた順序で業務を確実に実行して得られているかが分からないことがある。

　例えば、業務フローを実行する端末にサイバー攻撃などにより仕掛けが施されていると、不正な動作が行われていても検出することが困難なことがある。一例として、リプレイ攻撃が挙げられる。リプレイ攻撃では、業務フローの工程を実行する端末が出力するログが記憶され、次回の工程の実行時に工程を実行していないにも関わらず同じログが送信される。このようなリプレイ攻撃を受けた場合、工程が実行されていないにもかかわらず、正しく動作しているようにみせかける結果が出力される。この場合、業務フローの実行結果を見ても、業務フローの工程が、実際には実行されていないことを検出することは困難である。

　また、例えば、ＲＰＡでは、前工程のロボットの実行により得られた結果を、次工程のロボットが利用することもしばしばある。そのため、フローの各工程が順番通りに実行されないと、望まれる結果が得られないことがある。

　そのため、例えば、業務フローの実行結果が得られた場合に、その実行結果が、定められた順序で工程を確実に実行して得られたことを保証することのできる技術の提供が求められている。

　以下で述べる実施形態では、例えば、第１の業務および第２の業務の実行指示を受け付けた場合に、第１の業務と対応するプログラムに、演算を実行させる演算コードを追加して第１のプログラムが生成される。また、演算の実行に基づき得られる演算結果を用いて、第２の業務と対応する第２のプログラムを暗号化して暗号化データが生成される。そして、このように生成された第１のプログラムと暗号化データとが、第１の業務と対応する装置に送信される。

　例えば、以上のように暗号化を実行することで、第１のプログラムと暗号化データとを受信した装置では、第１のプログラムを実行して第１の業務を実行し、演算結果を取得するまでは、暗号化された第２のプログラムの復号ができなくなる。従って、第２のプログラムの実行前に、第１のプログラムの実行を強制することができる。そして、第２のプログラムを実行して第２の業務が実行できた場合には、第１の業務が完了していることを保証することができる。以下、実施形態を更に詳細に説明する。

　なお、以下の実施形態では、業務フローを例に実施形態を説明するが、実施形態の適用対象は業務フローに限定されるものではなく、実行の順序の保証が求められるその他の処理に、実施形態が適用されてもよい。

　図１は、実施形態に係る制御システム１００の構成を例示する図である。制御システム１００は、例えば、サーバ１０１および端末１０２を含んでよい。サーバ１０１は、例えば、サーバコンピュータ、パーソナルコンピュータ、モバイルコンピュータなどの情報処理装置であってよい。また、端末１０２は、例えば、パーソナルコンピュータ、モバイルコンピュータ、タブレット端末、スマートフォン、携帯電話機、検査機器、製造機器、および管理機器などの情報処理装置であってよい。なお、サーバ１０１および端末１０２は、例えば、インターネットおよび構内ネットワークなどのネットワーク１０５を介して通信してよい。

　図２は、実施形態に係るサーバ１０１の機能ブロック構成を例示する図である。サーバ１０１は、例えば、制御部２０１、記憶部２０２、および通信部２０３を含む。制御部２０１は、例えば生成部２１１、暗号化部２１２、および送信部２１３などを含み、またその他の機能部を含んでもよい。記憶部２０２は、例えば、後述する業務情報４００、ドキュメント５００、処理情報６００、および通知先情報７００などの情報を記憶している。通信部２０３は、例えば、制御部２０１の指示に従って他の装置と通信する。例えば、通信部２０３は、端末１０２と通信する。これらの各部の詳細および記憶部２０２に格納されている情報の詳細については後述する。

　図３は、実施形態に係る端末１０２の機能ブロック構成を例示する図である。端末１０２は、例えば、制御部３０１、記憶部３０２、通信部３０３、および表示部３０４を含む。制御部３０１は、例えば実行部３１１、および送信部３１２などを含み、またその他の機能部を含んでもよい。記憶部３０２は、例えば、後述するカプセル化データなどの情報を記憶している。通信部３０３は、例えば、制御部３０１の指示に従って他の装置と通信する。例えば、通信部３０３は、サーバ１０１および他の端末１０２と通信する。表示部３０４は、例えば、表示画面に情報を表示してよい。これらの各部の詳細および記憶部３０２に格納されている情報の詳細については後述する。

　図４は、実施形態に係る業務情報４００を例示する図である。業務情報４００には、例えば、ドキュメント、および業務フローを対応づけたレコードが登録されている。業務情報４００のドキュメントには、例えば、業務フローによる処理対象となるドキュメントのテンプレートのデータが登録されている。ドキュメントは、例えば、契約書、請求書、依頼書、申請書などを含む。また、業務情報４００の業務フローには、例えば、レコードのドキュメントに対して実行される業務フローが登録されている。例えば、図４では、請求書に対して、請求書の発行業務の流れとして、請求書の承認および送付などの複数の工程を含む業務フローが登録されている。また、購入依頼書に対して、購入依頼の流れとして、購入依頼書の承認処理および送付処理などの複数の工程を含む業務フローが登録されている。また、業務情報４００の業務フローは、図４に示すように、各工程で実行される承認および送付などの処理内容を示す情報に加えて、処理を実行する担当者および宛先などに関する情報を含んでいてもよい。

　なお、業務フローにおける工程の分離は、例えば、業務を実行する担当者、および業務が行われる端末１０２などに基づいて実行されてよい。また、実施形態に係る業務フローにおける工程の分離はこれに限定されるものではなく、その他の情報に基づいて分離が行われてもよい。図４では、業務を担当する担当者ごとに業務フローにおいて工程が分けられる例が示されている。業務フローは、例えば、ＢＰＭＮ（Business　Process　Model　and　Notation）のデータであってよい。或いは、業務フローは、例えば、フローをＸＭＬで記述したＢＰＥＬ（Business　Process　Execution　Language）のデータであってもよい。

　図５は、実施形態に係るドキュメント５００を例示する図である。図５では、ドキュメント５００の例として、請求書のテンプレートが示されている。例えば、請求書の発行業務を担当する担当者は、請求書のドキュメント５００に、請求に関する情報を入力したあと、入力済みのドキュメント５００を用いて対応する業務フローの申請を行ってよい。

　例えば、図５の請求書のドキュメント５００であれば、担当者は、あて先の欄（図５では「御中」の欄）、御請求金額の欄、並びに品名、単価、および個数の欄に情報を入力してよい。また、承認印の欄については、一例では、サーバ１０１の制御部２０１は、後述するカプセル化データの生成の際に、担当者および承認者（例えば、部長および社長など）の印影を付与してよい。なお、印影は、例えば、印鑑を押した画像であってよく、一例では、部長印や社長印などの承認者の印であってよい。また、サーバ１０１の制御部２０１は、ドキュメント５００への情報の入力完了後に、ドキュメントに電子署名を付与してもよい。

　図６は、実施形態に係る処理情報６００を例示する図である。処理情報６００には、処理と、その処理を実行するためのコンピュータが実行可能なプロシージャとを対応づけたレコードが登録されている。処理情報６００の処理には、例えば、業務情報４００の業務フローの工程で実行される処理が登録されていてよい。また、処理情報６００のプロシージャには、例えば、レコードの処理をコンピュータに実行させるための処理プログラムが記述されている。例えば、プロシージャは、ＪａｖａＳｃｒｉｐｔ（登録商標）などのプログラム言語で記述されていてよく、その他のプログラム言語で記述されていてもよい。プロシージャは、一例ではＲＰＡのロボットを含む。

　また、プロシージャのプログラムにおいて、実行証明対象となるコードにはマークが付加されていてよい。図６の例では、承認の処理と対応するプロシージャに実行証明対象のコードの開始位置を示す「////実行証明対象のコード：開始////」と、実行証明対象のコードの終了位置を示す「////実行証明対象のコード：終了////」のマークが含まれている。そのため、制御部２０１は、プロシージャのプログラムにおいて実行証明対象となるコードの位置をマークから特定することができる。なお、実行証明対象のコードの位置の特定は、これに限定されるものではなく、実行証明対象と対応するコードを特定するための所定の条件を設定することで、所定の条件を満たすコードとして実行証明対象となるコードを特定することができる。例えば、別の実施形態では実行証明対象となるコードを登録したデータを予め記憶部２０２に記憶しておき、制御部２０１は、登録されたコードをプロシージャ内で検索することで実行証明対象のコードを特定してもよい。

　なお、実行証明対象のコードは、例えば、プロシージャの実行においって実行されたことを証明したい対象のコードであってよい。一例では、実行証明対象のコードは、業務フローを次の工程へと進める上で完了させることが要求されるコードであってよい。例えば、図６の承認の例では、承認の工程を次の工程に進めるためには、プロシージャを実行する担当者に、承認ボタンを押し下げさせて承認を得ることが要求される。そのため、承認ボタンの押し下げを受け付けるコードを実行証明対象のコードとしてよく、図６の承認の例では承認ボタンの押し下げを受け付けるコードの前後にマークが書き込まれている。そして、制御部２０１は、例えば、実行証明対象のコードの位置をマークにより検出し、実行証明対象のコードの位置に応じて、実行証明対象のコードの実行を証明するための演算を実行させる演算コードを追加することができる。なお、以下では、実行証明対象のコードの実行を証明するための演算を実行させる演算コードを、実行証明演算コードと呼ぶことがある。プロシージャへの実行証明演算コードの追加についての更なる詳細は後述する。

　また、処理情報６００においてプロシージャには、処理の完了後にデータを送信する通知先の情報が記述されていなくてもよい。一例では、制御部２０１は、業務情報４００の業務フローの次工程の担当者および宛先などに関する情報に基づいて通知先の情報を特定し、プロシージャに書き込んでもよい。

　図７は、実施形態に係る通知先情報７００を例示する図である。通知先情報７００には、例えば、業務情報４００に登録されている業務フローの工程で情報を通知する通知先の情報が登録されている。例えば、図７では通知先情報７００には、部署名、役職名、氏名、および通知先を対応づけたレコードが登録されている。通知先情報７００に登録されるレコードは、例えば、業務フローの工程を担当する担当者および業務フローの実行結果を送付する取引先の担当者などについての情報であってよい。通知先情報７００を参照することで、制御部２０１は、業務情報４００の業務フローの工程が完了した際に情報を通知する通知先を特定することができる。通知先は、例えば、メールアドレス、およびネットワーク上の所定のフォルダへのパスなどであってよい。

　図８は、実施形態に係るカプセル化データの送信処理の動作フローを例示する図である。また、図９は、実施形態に係る承認のプロシージャを例示する図である。図９には、例としてＪａｖａＳｃｒｉｐｔにより作成された承認のプログラムが示されている。図９のプログラムを実行すると、例えば、ブラウザに図１０のウィンドウ１０００が表示され、承認者は、承認ボタンを押し下げることで、承認の意思を入力することができる。

　以下、図８および図９を参照して、実施形態に係るカプセル化データの送信処理について説明する。例えば、サーバ１０１の制御部２０１は、カプセル化データの送信処理の実行指示が入力されると、図８の動作フローを開始してよい。

　Ｓ８０１においてサーバ１０１の制御部２０１は、業務の担当者が利用する端末１０２からの業務の実行指示を受け付ける。業務の担当者は、例えば、端末１０２を介してサーバ１０１に接続し、業務情報４００に登録されている実行対象の業務と対応するドキュメントのテンプレートをサーバ１０１から取得してよい。そして、担当者は、取得したドキュメントのテンプレートに情報を入力したドキュメントを、端末１０２を介してサーバ１０１へと送信して、業務の実行指示をサーバ１０１に入力してよい。サーバ１０１の制御部２０１が、業務の実行指示の入力を受けると、フローはＳ８０２進む。

　Ｓ８０２においてサーバ１０１の制御部２０１は、受け付けた業務の実行指示に含まれるドキュメントに電子署名を付与する。電子署名は、一例ではサーバ１０１が発行するｅシール（Electronic　seal）であってよい。

　Ｓ８０３においてサーバ１０１の制御部２０１は、受信した業務の実行指示と対応する業務フローを特定する。例えば、制御部２０１は、受け付けた業務の実行指示に含まれるドキュメントと対応する業務フローを、業務情報４００のうちから特定してよい。例えば、Ｓ８０１で受け付けた業務の実行指示に含まれるドキュメントが請求書である場合、制御部２０１は、請求書と対応する業務フローを業務情報４００から読み出してよい。

　Ｓ８０４において制御部２０１は、読み出した業務フローの各工程にプロシージャを割り当てる。例えば、制御部２０１は、業務情報４００から読み出した業務フローの各工程の処理と対応するプロシージャを処理情報６００から特定して、各工程に割り当ててよい。

　一例として、業務情報４００の請求書の業務フローでは、（工程１）および（工程２）は承認の処理であり、制御部２０１は、処理情報６００の承認の処理と対応するプロシージャを割り当ててよい。また、請求書の業務フローでは、（工程３）は送付の処理であり、制御部２０１は、処理情報６００の送付の処理と対応するプロシージャを割り当ててよい。

　Ｓ８０５において制御部２０１は、各工程と対応するプロシージャに情報を入力する。例えば、制御部２０１は、プロシージャに通知先の情報を入力してよい。

　例えば、図９のプロシージャには通知先を指定するためのコードが記述されている（例えば、図９の（１））。制御部２０１はＳ８０５において、例えば、通知先を指定するためのコードに、通知先を示す情報を書き込んでよい。なお、制御部２０１は、例えば、業務フローの工程に設定されている担当者または宛先の情報に基づいて、次の工程の担当者または宛先と対応する通知先の情報を、通知先情報７００から取得してよい。それにより、制御部２０１は、工程の処理により得られた情報を業務フローの次の工程の担当者または取引先の担当者に通知することができる。

　なお、上記においては、通知先情報７００から取引先の担当者への通知先の情報を取得する例を述べているが、実施形態はこれに限定されるのもではない。別の例では、制御部２０１は、取引先の担当者への通知先の情報を、Ｓ８０１で受け付けた入力済みのドキュメントから取得してもよい。

　Ｓ８０６において制御部２０１は、プロシージャに対してチャレンジ値を生成する。なお、チャレンジ値は、例えば、各工程と対応するプロシージャごとに生成されてよい。また、別の例では、複数のプロシージャにおいて共通するチャレンジ値が用いられてもよい。チャレンジ値は、例えば、実行のたびに異なる結果を出力する関数から取得することができる。実行のたびに異なる結果を出力する関数の例としては、ランダム関数、シャッフル関数など利用することができる。チャレンジ値は、一例では乱数であってよい。

　Ｓ８０７において制御部２０１は、チャレンジ値を用いて実行証明演算コードを生成し、プロシージャに追加して、追加プロシージャを生成する。従って、追加プロシージャは、例えば、プロシージャの処理プログラム、および実行証明演算コードを含む。例えば、図９では、「//--attached　by　server--//」から「//--end--//」までのコードは、制御部２０１によってプロシージャに追加されたコードを表している。実行証明演算コードは、例えば、実行証明対象のコードの実行を証明するための演算を実行させるコードである。なお、実行証明演算コードの追加により生成された追加プロシージャは、例えば、第1のプログラムおよび第２のプログラムと呼ばれてもよい。

　また、例えば、制御部２０１は、プロシージャにおいて所定の条件を満たす実行証明対象のコードの位置を特定し、特定した実行証明対象のコードの位置に応じて実行証明演算コードをプロシージャに追加して、追加プロシージャを生成する。一例では、制御部２０１は、実行証明対象のコードの位置を示すマークの位置に、マークと置き換えて、実行証明演算コードを追加してよい。なお、マークを削除することで、実行証明対象となるコードがプロシージャのどこにあるのかの特定を難しくすることができ、セキュリティの向上を図ることができる。

　例えば、図９では、プロシージャのプログラムの最初に、実行証明演算コードとして演算１および演算２の演算内容を定義するプログラムが記述されている（図９の（２））。図９の例では演算１：cal1として、変数：calanswerに３８４を加算する演算コードが記述されている。また、演算２：cal2として、変数：calanswerに４８３を乗算する演算コードが記述されている。なお、演算１：cal1の演算に用いる数値：３８４および演算２：cal2の演算に用いる数値：４８３は、いずれもプロシージャに対して生成されたチャレンジ値である。例えば、業務フローの実行のたびにチャレンジ値を生成し、生成したチャレンジ値を用いる演算を実行する実行証明演算コードをプロシージャに追加する。それにより、業務フローの実行のたびに実行証明演算コードの実行に基づき得られる演算結果を異ならせることができる。その結果、リプレイ攻撃などに対処することができる。

　また、図９のプログラムでは実行証明対象のコードとして承認処理の関数：executeApproval();が示されている（図９の（３））。そして、実行証明演算コードとして、実行証明対象のコードを挟むように演算１：cal1を実行する演算コードと、演算２：cal2を実行する演算コードとが追加されている（図９の（４）および（５））。この場合に、プロシージャの実行において演算１の演算コード→実行証明対象のコード→演算２の演算コードの順でプログラムが実行されると、後述する鍵の生成に用いる演算結果が得られるものとする。

　例えば、図９のプログラムでは演算結果の取得に用いる変数：calanswerの値は初めに０に初期化される。その後、演算１：cal1の実行で３８４が加算され、calanswerは３８４となる。続いて、実行証明対象のコードの実行後に演算２が実行されると、４８３が乗算され、calanswer＝３８４×４８３＝１８５４７２となり、演算結果：１８５４７２が得られる。なお、例えば、プロシージャの実行において演算１および演算２が実行されなかったり、一方のみしか実行されなかったり、演算２→演算１のように異なる順序で実行されたりした場合、演算結果のcalanswerの値は１８５４７２とはならない。そのため、プロシージャを実行して演算結果のcalanswerの値が１８５４７２であれば、実行証明対象のコードが実行されたことを証明することができる。

　なお、Ｓ８０７の処理では、制御部２０１は、各工程のプロシージャに異なる実行証明演算コードを追加してよい。それにより、セキュリティ強度を高めることができる。しかしながら、別の例では、制御部２０１は、複数の工程のプロシージャに共通する実行証明演算コードを追加してもよい。

　続く、Ｓ８０８において制御部２０１は、プロシージャに追加した実行証明演算コードが示す演算の実行に基づく演算結果を用いて鍵を生成する。例えば、制御部２０１は、Ｓ８０７で生成した追加プロシージャのうちの少なくとも実行証明演算コードを実行することで演算結果を取得し、演算結果を用いて鍵を生成してよい。一例では、制御部２０１は、演算結果を、そのまま鍵として用いてもよい。また、別の例では制御部２０１は、演算結果を用いて所定のアルゴリズムで鍵を生成してもよい。例えば、制御部２０１は、演算結果のハッシュ値を取得し、得られたハッシュ値を用いてＡＥＳ２５６、ＲＣ４、およびＤＥＳなどの共通鍵暗号のアルゴリズムにより鍵を生成してよい。なお、ハッシュ値の取得には、例えば、ＳＨＡ２５６、ＳＨＡ２、およびＭＤ５などのハッシュ関数を利用することができる。

　Ｓ８０９において制御部２０１は、生成した鍵を用いてカプセル化処理を実行する。そして、Ｓ８１０において制御部２０１は、カプセル化処理で得られたカプセル化データを、業務フローの最初の工程の実行端末に送信し、本動作フローは終了する。なお、制御部２０１は、例えば、業務フローの最初の工程の実行端末の宛先を通知先情報７００から取得してよい。

　また、Ｓ８０９で実行されるカプセル化処理では、制御部２０１は、例えば、工程のプロシージャに対して生成された鍵を用いて、業務フローにおいて次の工程のプロシージャを暗号化してよい。例えば、この様に暗号化を実行すると、プロシージャの実行において得られた演算結果を用いて鍵を生成することができ、生成した鍵を用いて次の工程のプロシージャを復号することが可能になる。

　また、カプセル化処理において業務フローの最後の工程については、制御部２０１は、最後の工程のプロシージャに対して生成された鍵を用いて、ドキュメントを暗号化してよい。例えば、この様に暗号化を実行すると、最後の工程のプロシージャの実行において得られた演算結果を用いて鍵を生成することができ、生成した鍵を用いてドキュメントを復号することが可能になる。

　また、プロシージャに追加される実行証明演算コードは、上述のように、プロシージャの実行において実行証明対象のコードが実行された場合に、次の工程のプロシージャの復号に成功する演算結果が得られるように追加されていてよい。一方で、プロシージャに追加される実行証明演算コードは、プロシージャの実行において実行証明対象のコードが実行されなかった場合には、次の工程のプロシージャの復号に成功する演算結果が得られなくなるように追加されていてよい。そして、例えば、プロシージャの実行で得られた演算結果を用いて、次工程のプロシージャの復号に成功し、次工程のプロシージャが実行できるようになったとする。この場合、その演算結果が得られたプロシージャにおいて実行証明対象のコードが確実に実行されたことを証明することができる。

　なお、実行証明演算コードは、例えば、上述のＳ８０７の処理の説明で述べたように、プロシージャにおいて実行証明対象のコードを挟むようにプロシージャに追加されてよい。即ち、例えば、制御部２０１は、実行証明対象のコードの位置の前に前部演算コードを追加し、また、実行証明対象のコードの位置の後に後部演算コードを追加するように、プロシージャに実行証明演算コードを追加してよい。また、次の工程のプロシージャの復号が成功する演算結果は、例えば、前部演算コードの実行で得られる一次演算結果を用いて後部演算コードの演算が実行された場合に得られてよい。

　例えば、このようにプロシージャに実行証明演算コードを追加することで、実行証明演算コードの実行に基づき得られる演算結果を用いて次の工程のプロシージャの復号に成功すれば、実行証明対象のコードが実行されたことを証明することが可能である。

　なお、プロシージャへの実行証明演算コードの追加は、上記の例に限定されるものではない。例えば、実行証明対象のコードが実行された場合には復号に成功する演算結果が得られるが、実行証明対象のコードが実行されなかった場合には復号に成功する演算結果が得られなくなる他の形式でプロシージャに実行証明演算コードが追加されてもよい。

　別な例としては、実行証明対象のコードに含まれる関数の戻り値を用いて演算を実行するように、実行証明演算コードがプロシージャに追加されてもよい。この場合、プロシージャの実行において実行証明対象のコードが実行されれば戻り値が得られるが、実行証明対象のコードが実行されなければ戻り値が得られなくなる。そのため、実行証明対象のコードが実行されたか否かに応じて演算結果を異ならせることができる。

　続いて、図１１および図１２を参照して、実施形態に係るカプセル化処理の一例を更に詳細に説明する。

　図１１は、実施形態に係るカプセル化処理の動作フローを例示する図である。例えば、サーバ１０１の制御部２０１は、図８の動作フローのＳ８０９に進むと、図１１の動作フローを開始してよい。

　Ｓ１１０１においてサーバ１０１の制御部２０１は、業務フローの最後の工程の追加プロシージャについてＳ８０８で演算結果を用いて得た鍵を用いてドキュメントを暗号化し、ドキュメントのバイトコードを生成する。バイトコードは、例えば、暗号化により得られたバイト列のデータであってよく、一例では、アスキー文字で表されてよい。バイトコードは、例えば、暗号化データと呼ばれてもよい。また、暗号化の対象には、Ｓ８０２で付与したドキュメントの電子署名が含まれていてもよい。暗号化は、例えば、共通鍵暗号のアルゴリズムを用いて実行されてよい。

　Ｓ１１０２においてサーバ１０１の制御部２０１は、最後の工程のプロシージャを処理対象として、ドキュメントのバイトコードを関連づける。一例では、制御部２０１は、図９の（６）に示すように、プロシージャの定数にバイトコードを格納してよい。

　Ｓ１１０３において制御部２０１は、処理対象の工程に前工程があるか否かを判定する。処理対象の工程に前工程がある場合（Ｓ１１０３がＹＥＳ）、フローはＳ１１０４に進む。

　Ｓ１１０４において制御部２０１は、１つ前の工程の追加プロシージャについてＳ８０８で演算結果を用いて得た鍵を用いて処理対象のプロシージャを暗号化する。なお、暗号化の対象には、業務フローにおいて処理対象のプロシージャの下流に位置するプロシージャのバイトコードおよびドキュメントのバイトコードが含まれていてもよい。暗号化は、例えば、共通鍵暗号のアルゴリズムを用いて実行されてよい。

　Ｓ１１０５において制御部２０１は、１つ前の工程のプロシージャを処理対象として、Ｓ１１０４の処理で得られたバイトコードを関連づけて、フローはＳ１１０３に戻る。一例では、制御部２０１は、図９の（６）に示すように、処理対象とした１つ前の工程のプロシージャの定数にバイトコードを格納してよい。

　また、Ｓ１１０３において処理対象の工程より前に工程がない場合（Ｓ１１０３がＮＯ）、本動作フローは終了し、フローはＳ８１０に進む。

　以上の図１１の動作フローにより、サーバ１０１の制御部２０１は、業務フローの工程のプロシージャが、工程の実行順序に従って暗号化されたカプセル化データを生成することができる。なお、カプセル化データでは、業務フローの最初の工程のプロシージャは暗号化されずに含まれていてよい。

　図１２は、図１１の動作フローで示される実施形態に係るカプセル化処理の流れを例示する図である。

　図１２（ａ）では、工程１から工程３の３つの工程を含む業務フローが例示されており、また、各工程に追加された実行証明演算コードに示される演算の実行に基づく演算結果として、演算結果１から演算結果３が示されている。

　また、図１２（ｂ）は、ドキュメントの暗号化を例示しており、制御部２０１は、最後の工程３の演算結果３：６７８９１２を用いてドキュメントを暗号化し、ドキュメントのバイトコードを取得する。

　図１２（ｃ）は、業務フローの最後の工程である工程３のプロシージャ３の暗号化を例示している。制御部２０１は、工程３のプロシージャに図１２（ｂ）で得られたドキュメントのバイトコードを付加した後、工程２の演算結果２：３４５６７８を用いて暗号化し、工程３のプロシージャのバイトコードを取得する。なお、工程３のプロシージャのバイトコードには、例えば、図１２（ｂ）のドキュメントのバイトコードのデータが含まれていてよい。

　図１２（ｄ）は、工程３の１つ前の工程である工程２のプロシージャ２の暗号化を例示している。制御部２０１は、工程２のプロシージャに図１２（ｃ）で暗号化した工程３のプロシージャのバイトコードを付加した後、工程１の演算結果１：１２３４５６を用いて暗号化し、工程２のプロシージャのバイトコードを取得する。なお、工程２のプロシージャのバイトコードには、例えば、図１２（ｃ）の工程３のプロシージャのバイトコードのデータが含まれていてよい。

　図１２（ｅ）は、カプセル化データの送信を例示している。制御部２０１は、工程１のプロシージャに図１２（ｄ）で暗号化した工程２のプロシージャのバイトコードを付加して得たカプセル化データを、工程１を実行する端末１０２に送信する。

　なお、工程１を実行する端末１０２は、カプセル化データを受信すると、受信したカプセル化データの工程１のプロシージャを実行することで、工程１の演算結果１：１２３４５６を取得することができる。そして、演算結果１：１２３４５６を用いて工程２のプロシージャのバイトコードを復号して、工程２のプロシージャを取得することができる。以降、プロシージャを実行し、プロシージャの実行で得られた演算結果を用いた復号を繰り返すことで、最終的にドキュメントを復号することができる。また、ドキュメントの復号に成功した場合、業務フローの各工程と対応するプロシージャにおいて実行証明対象のコードが実行されていることを保証することができる。

　以下、図１３および図１４を参照して、端末１０２の制御部３０１が実行する業務フローの工程の実行処理を説明する。図１３は、実施形態に係る業務フローの工程の実行処理の動作フローを例示する図である。例えば、端末１０２の制御部３０１は、カプセル化データを受信すると、図１３の動作フローを開始してよい。

　Ｓ１３０１において端末１０２の制御部３０１は、受信したカプセル化データに含まれるプロシージャの実行を開始する。それにより、端末１０２の制御部３０１は、プロシージャと対応する業務フローの工程の業務を実行してよい。例えば、承認のプロシージャでは、端末１０２の表示部３０４の表示画面にウィンドウ１０００を表示させて承認指示の入力を受け付け、承認業務を実行してよい。

　そして、Ｓ１３０２において端末１０２の制御部３０１は、プロシージャの実行の際に実行証明演算コードの実行に基づく演算結果を用いて鍵を取得する。

　Ｓ１３０３において端末１０２の制御部３０１は、鍵を用いてバイトコードを復号する。例えば、図９の（７）に示すように、バイトコードの生成の際の暗号化に用いた演算結果と同じ演算結果が得られていれば、データを正しく復号することができる。

　Ｓ１３０４において端末１０２の制御部３０１は、復号したデータを宛先に送信する。復号したデータを宛先は、例えば、サーバ１０１によるＳ８０５の処理でプロシージャに書き込まれていてよい。なお、例えば、実行したプロシージャが業務フローにおいて後続の工程を含む場合、復号したデータには、次工程のプロシージャと、残りのバイトコードが含まれていてよい。また、例えば、実行したプロシージャが業務フローにおいて最後の工程である場合、復号したデータにはドキュメントと電子署名とが含まれていてよい。

　図１４は、実施形態に係るカプセル化データの復号の流れを例示する図である。

　図１４（ａ）では、工程１から工程３の３つの工程を含む業務フローが例示されており、また、各工程に追加された実行証明演算コードに示される演算の実行に基づく演算結果として、演算結果１から演算結果３が示されている。

　図１４（ｂ）は、カプセル化データの復号を例示している。業務フローの最初の工程１を実行する端末１０２の制御部３０１は、工程１のプロシージャを実行することで工程１の処理を実行する。また、工程１の端末１０２の制御部３０１は、工程１のプロシージャの実行により工程１の演算結果１：１２３４５６を取得する。そして、工程１の端末１０２の制御部３０１は、演算結果１：１２３４５６を用いて工程２のプロシージャのバイトコードを復号し、次の工程２の端末１０２に送信する。

　図１４（ｃ）は、工程２の実行を例示している。工程２を実行する端末１０２の制御部３０１は、工程２のプロシージャを受信すると、工程２のプロシージャを実行することで工程２の処理を実行する。また、工程２の端末１０２の制御部３０１は、工程２のプロシージャの実行により工程２の演算結果２：３４５６７８を取得する。そして、工程２の端末１０２の制御部３０１は、演算結果２：３４５６７８を用いて工程３のプロシージャのバイトコードを復号し、次の工程３の端末１０２に送信する。

　図１４（ｄ）は、工程３の実行を例示している。工程３を実行する端末１０２の制御部３０１は、工程３のプロシージャを受信すると、工程３のプロシージャを実行することで工程３の処理を実行する。また、工程３の端末１０２の制御部３０１は、工程３のプロシージャの実行により工程３の演算結果３：６７８９１２を取得する。そして、工程３の端末１０２の制御部３０１は、演算結果３：６７８９１２を用いてドキュメントのバイトコードを復号し、ドキュメントを取得する。

　図１４（ｅ）は、ドキュメントの送信を例示している。工程３の端末１０２の制御部３０１は、取得したドキュメントを含む送信データを業務フローの工程３で指定された宛先に送信してよい。なお、送信データにはドキュメントに対する電子署名が含まれていてもよい。

　以上で述べたように、実施形態に係るカプセル化処理を行うことで、カプセル化データからドキュメントを取得できた場合、業務フローの各工程が実行順序に従って実行されたことを保証することができる。

　また、上述の実施形態では、業務フローの実行のたびにチャレンジ値を生成し、チャレンジ値を用いた実行証明演算コードを工程のプロシージャに追加している。そのため、業務フローの実行のたびに、実行証明演算コードに示される演算の実行に基づき得られる演算結果は異なる値となり、リプレイ攻撃などに対処することができる。

　なお、上述の実施形態の図１３および図１４では、端末１０２の制御部３０１は、プロシージャの実行で得られた演算結果を用いてバイトコードの復号まで実行する例を述べているが、実施形態はこれに限定されるものではない。別の実施形態では端末１０２の制御部３０１は、次の工程を実行する端末１０２に、演算結果もしくは演算結果に基づき生成されるバイトコードを復号するための情報（例えば、暗号鍵など）をバイトコードとともに通知してもよい。即ち、例えば、上述のＳ１３０２～Ｓ１３０４の処理の代わりに、制御部３０１は、演算結果もしくは演算結果に基づき生成されるバイトコードを復号するための情報をバイトコードとともに宛先に送信してよい。

　また、上述の実施形態では、プロシージャへの実行証明演算コードの追加により、１つの実行証明対象のコードの実行を証明する例を述べているが、実施形態はこれに限定されるものではない。別の実施形態では、プロシージャに含まれる複数のコードが所定の順序で実行されたことを保証するために、プロシージャに実行証明演算コードが追加されてもよい。

　図１５は、実施形態に係るプロシージャにおける複数のコードの実行順序の証明のための実行証明演算コードの追加を例示する図である。図１５には、承認のプロシージャが例示されている。なお、図１５において、「//--attached　by　server--//」から「//--end--//」までのコードは、制御部２０１によってプロシージャに追加されたコードを表している。そして、図１５の例では、演算１：ｃａｌ１、演算２：ｃａｌ２、および演算３：ｃａｌ３の３つの演算が定義されている（図１５の（１））。

　例えば、図１５では、変数：calanswerはまず０に初期化される。また、演算１：ｃａｌ１はcalanswerに３８４を加算する演算を行う。演算２：ｃａｌ２はcalanswerに４８３を乗算する演算を行う。演算３：ｃａｌ３はcalanswerから９３６を除算する演算を行う。なお、これらの演算で用いられる３８４、４８３、および９３６の値は、チャレンジ値であってよい。

　また、図１５の例では、実行証明対象のコードは、表示処理の関数（図１５の（２））と、承認処理の関数（図１５の（３））とであるものとする。この場合に、制御部２０１は、表示処理の関数の前に、演算１の演算コードを追加する（図１５の（４））。また、制御部２０１は、表示処理の関数の後ろで、承認処理の関数の前に演算２の演算コードを追加する（図１５の（５））。更に、制御部２０１は、承認処理の関数の後ろに演算３の演算コードを追加する（図１５の（６））。

　この場合、図１５のプロシージャを実行すると、演算１、演算２、演算３の順序でコードが実行され、calanswerの値は（０＋３８４）×４８３－９３６＝１８４５３６となる（図１５の（７））。一方で、演算の実行順序が異なっていたり、一部の演算が実行されなかったりすると、演算結果：１８４５３６は得られなくなる。

　従って、例えば、端末１０２の制御部３０１が、図１５のプロシージャを実行した際に、演算結果としてcalanswer：１８４５３６が得られれば、表示処理の関数が実行され、その後に承認処理の関数が実行されたことを保証することができる。即ち、実施形態によれば、プロシージャに含まれる複数のコードが所定の順序で実行されたことを保証することができる。そして、プロシージャ内で複数のコードが望ましい所定の順序で実行された場合に得られる演算結果を、ドキュメントおよび次工程のプロシージャの暗号化に用いることで、上述の業務フローの工程を順番通りに実行させる効果も得ることができる。

　以上に述べたように実施形態によれば、カプセル化データの復号が完了し、例えば、ドキュメントなどのデータを取り出すことができた場合に、業務フローの工程が望ましい順序で実行され、完了していることを保証することができる。

　また、実施形態によれば、或る工程の実行の前に、別の工程の実行を完了させることを強制することができる。換言すると、或る工程の実行するプロシージャの復号に成功していれば、その前の別のプロシージャの実行が完了していることを保証することができる。

　また、上述の実施形態は、例えば、プロシージャとしてＲＰＡのロボットを用いることで、ＲＰＡを用いた業務の自動実行にも適用することができる。

　また、上述の実施形態においてサーバ１０１は、例えば、カプセル化データを生成するサービスを提供してもよい。この場合、サーバ１０１は、例えば、ドキュメントなどの復号の結果として最終的に取り出されるデータに対してサーバ１０１が発行したｅシールを付与してよい。それにより、サービスの利用者は、カプセル化データからサーバ１０１のｅシールが付与されたデータが得られていれば、カプセル化データと対応する業務フローが全て規定通りの順序で実行されていると解釈することが可能になる。

　以上において、実施形態を例示したが、実施形態はこれに限定されるものではない。例えば、上述の動作フローは例示であり、実施形態はこれに限定されるものではない。可能な場合には、動作フローは、処理の順番を変更して実行されてもよく、別に更なる処理を含んでもよく、または、一部の処理が省略されてもよい。例えば、一実施形態においては、上述のＳ８０２の処理は省略されてもよい。

　また、上述の実施形態のＳ８０８の処理では、追加プロシージャのうちの少なくとも実行証明演算コードを実行することで演算結果を取得し、演算結果を用いて鍵を生成する例を述べている。しかしながら、実施形態はこれに限定されるものではない。例えば、プロシージャに追加する実行証明演算コードの演算内容が予め決まっていれば、制御部２０１は、追加プロシージャを生成する前に、チャレンジ値が生成された時点で演算を実行して演算結果を取得することもできる。この場合、Ｓ８０８の処理は、Ｓ８０７の処理の前に実行されてもよい。

　また、上述の実施形態では、得られた演算結果をハッシュ関数にかけて鍵を生成する例を述べているが、実施形態はこれに限定されるものではない。別の実施形態では、制御部２０１は、追加プロシージャのプログラムなどその他の情報を演算結果に結合してからハッシュ関数にかけて鍵を生成してもよい。それにより、セキュリティ強度を高めることができる。

　また、上述の実施形態では実行証明演算コードとして、数値の計算を実行する演算コードを例示しているが、実施形態はこれに限定されるものではない。例えば、実行証明演算コードにより実行される演算は、文字列の結合など、その他の演算を含んでよい。更には、実行証明演算コードにより実行される演算は、暗号学的計算などより複雑な演算を用いて実施されてもよい。

　また、別の実施形態では、例えば、プロシージャにダミーの実行証明演算コードを追加するなどして、どの関数をどの順番で実行するのが正しいのか、実際に正しい手順で処理が実行された場合にしか分からないようにしてもよい。それにより、セキュリティ強度を高めることができる。

　また、上述の図１２および図１４では、業務フローの最後の工程から順次、暗号化を行い暗号化データが入れ子となってカプセル化される例を述べているが、実施形態はこれに限定されるものではない。別の実施形態では、後工程のプロシージャの暗号化の際に、既に暗号化されている後続の工程の暗号化されたバイトコードおよび暗号化されたドキュメントは、暗号化対象に含まれていなくてもよい。この場合にも、暗号化されたデータの復号に用いる実行証明演算コードの演算結果は、業務フローに規定された順序で工程を実行することで取得されるため、業務の実行順序を強制することができる。

　また、実施形態において実行のタイミングが制御される対象は次の工程のプロシージャに限定されるものではない。実施形態は下流のいずれかのプロシージャの実行タイミングを制御するために利用することができる。更には、実施形態は下流の複数のプロシージャの実行タイミングを制御するために利用することができる。この場合、例えば、或るプロシージャに追加した実行証明演算コードの実行で得られる演算結果が、下流の複数のプロシージャの暗号化に用いられてよい。

　或いは、実施形態は上流の複数のプロシージャの実行の完了を待ってから下流の少なくとも１つのプロシージャの実行が開始するように制御を行うため利用することができる。この場合、例えば、複数のプロシージャに追加された実行証明演算コードの実行で得られる複数の演算結果が、それらのプロシージャの下流の少なくとも１つのプロシージャの暗号化に用いられてもよい。

　なお、上述の実施形態においてＳ８０７の処理ではサーバ１０１の制御部２０１は、例えば、生成部２１１として動作する。また、Ｓ８０９の処理ではサーバ１０１の制御部２０１は、例えば、暗号化部２１２として動作する。Ｓ８１０の処理ではサーバ１０１の制御部２０１は、例えば、送信部２１３として動作する。

　また、上述の実施形態においてＳ１３０１の処理では端末１０２の制御部３０１は、例えば、実行部３１１として動作する。また、Ｓ１３０４の処理では端末１０２の制御部３０１は、例えば、送信部３１２として動作する。

　図１６は、実施形態に係るサーバ１０１および端末１０２を実現するためのコンピュータ１６００のハードウェア構成を例示する図である。図１６のサーバ１０１および端末１０２を実現するためのハードウェア構成は、例えば、プロセッサ１６０１、メモリ１６０２、記憶装置１６０３、読取装置１６０４、通信インタフェース１６０６、および入出力インタフェース１６０７を備える。なお、プロセッサ１６０１、メモリ１６０２、記憶装置１６０３、読取装置１６０４、通信インタフェース１６０６、入出力インタフェース１６０７は、例えば、バス１６０８を介して互いに接続されている。

　プロセッサ１６０１は、例えば、シングルプロセッサであっても、マルチプロセッサやマルチコアであってもよい。プロセッサ１６０１は、メモリ１６０２を利用して例えば上述の動作フローの手順を記述したプログラムを実行することにより、上述したサーバ１０１の制御部２０１、または端末１０２の制御部３０１の一部または全部の機能を提供してよい。例えば、サーバ１０１のプロセッサ１６０１は、記憶装置１６０３に格納されているプログラムを読み出して実行することで、生成部２１１、暗号化部２１２、および送信部２１３として動作する。また、端末１０２のプロセッサ１６０１は、記憶装置１６０３に格納されているプログラムを読み出して実行することで、例えば、実行部３１１、および送信部３１２として動作する。

　メモリ１６０２は、例えば半導体メモリであり、ＲＡＭ領域およびＲＯＭ領域を含んでいてよい。記憶装置１６０３は、例えばハードディスク、フラッシュメモリ等の半導体メモリ、または外部記憶装置である。なお、ＲＡＭは、Random　Access　Memoryの略称である。また、ＲＯＭは、Read　Only　Memoryの略称である。

　読取装置１６０４は、プロセッサ１６０１の指示に従って着脱可能記憶媒体１６０５にアクセスする。着脱可能記憶媒体１６０５は、例えば、半導体デバイス、磁気的作用により情報が入出力される媒体、光学的作用により情報が入出力される媒体などにより実現される。なお、半導体デバイスは、例えば、ＵＳＢ（Universal　Serial　Bus）メモリである。また、磁気的作用により情報が入出力される媒体は、例えば、磁気ディスクである。光学的作用により情報が入出力される媒体は、例えば、ＣＤ－ＲＯＭ、ＤＶＤ、Blu-ray　Disc等（Blu-rayは登録商標）である。ＣＤは、Compact　Discの略称である。ＤＶＤは、Digital　Versatile　Diskの略称である。

　上述のサーバ１０１の記憶部２０２および端末１０２の記憶部３０２は、例えばメモリ１６０２、記憶装置１６０３、および着脱可能記憶媒体１６０５を含んでいる。例えば、サーバ１０１の記憶装置１６０３には、業務情報４００、ドキュメント５００、処理情報６００、および通知先情報７００が記憶されている。また、端末１０２の記憶装置１６０３には、例えば、サーバ１０１で生成されたカプセル化データが記憶されてよい。

　通信インタフェース１６０６は、プロセッサ１６０１の指示に従って、他の装置と通信する。通信インタフェース１６０６は、例えば、上述のサーバ１０１の通信部２０３および端末１０２の通信部３０３の一例である。サーバ１０１は、例えば、通信インタフェース１６０６を介して端末１０２などの装置と通信してよい。また、端末１０２は、例えば、通信インタフェース１６０６を介してサーバ１０１および他の端末１０２などの装置と通信してよい。

　入出力インタフェース１６０７は、例えば、入力装置および出力装置との間のインタフェースであってよい。入力装置は、例えばユーザからの指示を受け付けるキーボード、マウス、タッチパネルなどのデバイスである。出力装置は、例えばディスプレーなどの表示装置、およびスピーカなどの音声装置である。

　実施形態に係る各プログラムは、例えば、下記の形態でサーバ１０１および端末１０２に提供される。
（１）記憶装置１６０３に予めインストールされている。
（２）着脱可能記憶媒体１６０５により提供される。
（３）プログラムサーバなどのサーバから提供される。

　なお、図１６を参照して述べたサーバ１０１および端末１０２を実現するためのコンピュータ１６００のハードウェア構成は、例示であり、実施形態はこれに限定されるものではない。例えば、上述の構成の一部が、削除されてもよく、また、新たな構成が追加されてもよい。また、別の実施形態では、例えば、上述のサーバ１０１の制御部２０１および端末１０２の制御部３０１の一部または全部の機能がＦＰＧＡ、ＳｏＣ、ＡＳＩＣ、およびＰＬＤなどによるハードウェアとして実装されてもよい。なお、ＦＰＧＡは、Field　Programmable　Gate　Arrayの略称である。ＳｏＣは、System-on-a-chipの略称である。ＡＳＩＣは、Application　Specific　Integrated　Circuitの略称である。ＰＬＤは、Programmable　Logic　Deviceの略称である。

　以上において、いくつかの実施形態が説明される。しかしながら、実施形態は上記の実施形態に限定されるものではなく、上述の実施形態の各種変形形態および代替形態を包含するものとして理解されるべきである。例えば、各種実施形態は、その趣旨および範囲を逸脱しない範囲で構成要素を変形して具体化できることが理解されよう。また、前述した実施形態に開示されている複数の構成要素を適宜組み合わせることにより、種々の実施形態が実施され得ることが理解されよう。更には、実施形態に示される全構成要素からいくつかの構成要素を削除して、または実施形態に示される構成要素にいくつかの構成要素を追加して種々の実施形態が実施され得ることが当業者には理解されよう。

１００　　　制御システム
１０１　　　サーバ
１０２　　　端末
１０５　　　ネットワーク
２０１　　　制御部
２０２　　　記憶部
２０３　　　通信部
２１１　　　生成部
２１２　　　暗号化部
２１３　　　送信部
３０１　　　制御部
３０２　　　記憶部
３０３　　　通信部
３０４　　　表示部
３１１　　　実行部
３１２　　　送信部
４００　　　業務情報
５００　　　ドキュメント
６００　　　処理情報
７００　　　通知先情報
１０００　　ウィンドウ
１６００　　コンピュータ
１６０１　　プロセッサ
１６０２　　メモリ
１６０３　　記憶装置
１６０４　　読取装置
１６０５　　着脱可能記憶媒体
１６０６　　通信インタフェース
１６０７　　入出力インタフェース
１６０８　　バス

Claims

　第１の業務および第２の業務の実行指示を受け付けると、前記第１の業務と対応する処理プログラムに演算を実行させる演算コードを追加して、前記処理プログラムと前記演算コードとを含む第１のプログラムを生成し、
　前記演算の実行に基づき得られる演算結果を用いて、前記第２の業務と対応する第２のプログラムを暗号化して暗号化データを生成し、
　前記第１のプログラムと前記暗号化データとを、前記第１の業務と対応する装置に送信する、
　処理を含む、コンピュータが実行する制御方法。
　前記演算結果は、前記第１のプログラムのうちの少なくとも前記演算コードを実行することで得られる、ことを特徴とする請求項１に記載の制御方法。
　前記生成する処理は、前記第１の業務と対応する前記処理プログラムに含まれる所定の条件を満たすコードの位置に応じて前記演算コードを追加する、ことを特徴とする請求項１または２に記載の制御方法。
　前記生成する処理は、前記第１のプログラムの実行において前記所定の条件を満たすコードが実行された場合には前記演算結果が得られるが、前記所定の条件を満たすコードが実行されなかった場合には前記演算結果が得られなくなるように、前記演算コードを前記処理プログラムに追加して前記第１のプログラムを生成する、請求項３に記載の制御方法。
　前記生成する処理は、前記所定の条件を満たすコードの位置の前に前部演算コードを追加し、かつ、前記所定の条件を満たすコードの位置の後ろに後部演算コードを追加するように、前記演算コードを前記処理プログラムに追加して前記第１のプログラムを生成し、
　前記演算結果は、前記第１のプログラムの実行において、前記前部演算コードの実行により得られた一次演算結果を用いて前記後部演算コードが実行された場合に得られる、請求項３または４に記載の制御方法。
　前記生成する処理は、前記所定の条件を満たすコードに含まれる関数の戻り値を用いて前記演算を実行するように前記演算コードを前記処理プログラムに追加して前記第１のプログラムを生成する、ことを特徴とする請求項３または４に記載の制御方法。
　更に、実行のたびに異なる結果を出力する関数から取得したチャレンジ値を用いて前記演算を実行させる前記演算コードを生成する処理を含む、請求項１から請求項６のいずれか１項に記載の制御方法。
　前記第２の業務は、業務フローにおいて前記第１の業務の実行が完了した後に実行が開始する業務であることを特徴とする、請求項１から７のいずれか１項に記載の制御方法。
　前記生成する処理は、更に、前記第２の業務と対応する第２の処理プログラムに、第２の演算を実行させる第２の演算コードを追加して前記第２のプログラムを生成し、
　前記暗号化する処理は、更に、前記第２の演算の実行に基づき得られる第２の演算結果を用いて、ドキュメントを含むデータを暗号化して第２の暗号化データを生成する、請求項１から８のいずれか１項に記載の制御方法。
　前記ドキュメントを含む前記データは、前記ドキュメントに対して前記コンピュータが発行した電子署名を含む、請求項９に記載の制御方法。
　第１の業務および第２の業務の実行指示を受け付けると、前記第１の業務と対応する処理プログラムに演算を実行させる演算コードを追加して、前記処理プログラムと前記演算コードとを含む第１のプログラムを生成し、
　前記演算の実行に基づき得られる演算結果を用いて、前記第２の業務と対応する第２のプログラムを暗号化して暗号化データを生成し、
　前記第１のプログラムと前記暗号化データとを、前記第１の業務と対応する装置に送信する、
処理をコンピュータに実行させる制御プログラム。
　第１の業務および第２の業務の実行指示を受け付けると、前記第１の業務と対応する処理プログラムに演算を実行させる演算コードを追加して、前記処理プログラムと前記演算コードとを含む第１のプログラムを生成する生成部と、
　前記演算の実行に基づき得られる演算結果を用いて、前記第２の業務と対応する第２のプログラムを暗号化して暗号化データを生成する暗号化部と、
　前記第１のプログラムと前記暗号化データとを、前記第１の業務と対応する装置に送信する送信部と、
を含む、情報処理装置。
　第１の業務と対応する処理プログラムに演算を実行させる演算コードが追加されている第１のプログラムと、第２の業務と対応する第２のプログラムが暗号化されている暗号化データとを受信すると、前記第１のプログラムを実行し、
　前記第１のプログラムの実行において前記演算コードの実行に基づき得られる演算結果もしくは前記演算結果に基づき生成される前記暗号化データを復号するための情報を、前記暗号化データとともに前記第２の業務と対応する装置に送信すること、または、前記暗号化データを前記演算結果を用いて復号して得られた前記第２のプログラムを前記装置に送信することを実行する、
　処理を含む、コンピュータが実行する制御方法。