JP4453570B2 - 連携制御装置 - Google Patents

連携制御装置 Download PDF

Info

Publication number
JP4453570B2
JP4453570B2 JP2005038382A JP2005038382A JP4453570B2 JP 4453570 B2 JP4453570 B2 JP 4453570B2 JP 2005038382 A JP2005038382 A JP 2005038382A JP 2005038382 A JP2005038382 A JP 2005038382A JP 4453570 B2 JP4453570 B2 JP 4453570B2
Authority
JP
Japan
Prior art keywords
information
network
user
security level
level area
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005038382A
Other languages
English (en)
Other versions
JP2006227755A (ja
Inventor
治 西村
享 飯田
康 津田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Panasonic Electric Works Co Ltd
Original Assignee
Panasonic Corp
Matsushita Electric Works Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp, Matsushita Electric Works Ltd filed Critical Panasonic Corp
Priority to JP2005038382A priority Critical patent/JP4453570B2/ja
Publication of JP2006227755A publication Critical patent/JP2006227755A/ja
Application granted granted Critical
Publication of JP4453570B2 publication Critical patent/JP4453570B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Lock And Its Accessories (AREA)

Description

本発明は、低度セキュリティレベル領域から、高度セキュリティレベル領域への入室管理、及び高度セキュリティレベル領域における情報管理に関し、詳しくは、入室管理を担う設備系ネットワークと、情報管理を担う情報系ネットワークとの連携を図る連携制御装置に関する。
機密情報を扱うことの多い企業や、企業内の特定の部署などでは、機密情報を扱う従事者の入室を管理する入室管理システムを適用することで、機密情報の漏洩を事前に防止するようにしている。
一般に入室管理システムは、ユーザに与えられたIC(Integrated Circuit)カードに組み込まれたユーザID(IDentification)や、生体情報(指紋、虹彩、声紋など)といった、ユーザを一意に特定する情報を用いて入室管理用のホストコンピュータにより個人認証を行い、登録された正当なユーザであることが認証された場合に、施錠された入室用のドアを解錠することで、機密情報を扱う高度セキュリティレベル領域内への入室を許可する、というような管理を行っている。
ところで、上述した機密情報は、入室管理システムとは別のネットワークにて構築された機密情報管理システムによって管理がなされており、入室管理がなされている領域内に設置された情報端末装置から機密情報管理用のホストコンピュータへのアクセスに応じて利用可能となる。この機密情報管理用のホストコンピュータへアクセスする場合には、上述した入室管理システムにおける個人認証と同様の認証処理が要求されることになる。
このように、入室管理システムと、機密情報管理システムとは、全く別のネットワークで構築されているため、機密情報を利用するまでには、2度の認証処理が必要になるなど、ユーザにとって非常に煩雑な操作が要求されていた。
そこで、このような入室管理システムと、機密情報管理システムとの連携が求められており、機密情報を扱う領域内への入室時の認証処理と、入室後の情報端末装置の使用開始時の認証処理とを関連付ける手法が考案されている(例えば、特許文献1、特許文献2参照。)。
また、特許文献1、特許文献2で考慮されていなかった、入室してから情報端末装置へログオンするまでの時間経過によって生ずる問題への対処、退室時における情報端末装置のログオフ忘れへの対処を実現する手法も考案されている(例えば、特許文献3参照。)。
特開2000−259878号公報 特開2002−41469号公報 特開2004−302875号公報
しかしながら、特許文献1,2,3で開示されている技術は、いずれの場合も、入室管理システムと、機密情報管理システムとの連携を行うために、個別に構築されていたネットワークを、同一のネットワークに接続するような構成となっている。
機密情報管理システムは、外部のネットワークへ接続する場合もあり、第三者による不正なアクセスや、ウィルス感染の危険性を含んでいる。機密情報管理システムは、このような外部のネットワークへの接続があらかじめ考慮されているため、十分な対策が施されている。一方、入室管理システムにおいては、外部のネットワークとの接続が元々考慮されていなかった。
したがって、入室管理システムと、機密情報管理システムとを、同一のネットワークとなるように接続すると、入室管理システムが、不正なアクセスやウィルス感染にさらされる危険性が高くなり、しかも、これらに対処することができないといった問題がある。
また、入室管理システムと、機密情報管理システムとは、それぞれ独自のプロトコルを用いた通信が行われる場合があるため、同一のネットワークを構築した場合、通信負荷が不必要にかかってしまうことがあり、なんらかの負荷対策を施さねばならないといった問題がある。
さらに、また、入室管理システム、又は機密情報管理システムの何れかで、ネットワーク障害が発生した場合、入室管理システム及び機密情報管理システムは、同一のネットワークに接続されているため、障害回復のためには大規模なネットワーク全体を検証する必要がある。したがって、ネットワーク管理者にとって非常に管理が困難な、ネットワークシステムとなってしまうといった問題がある。
そこで、本発明は、上述したような問題を解決するために案出されたものであり、入退室管理システムのネットワークである設備系ネットワークと、機密情報管理システムのネットワークである情報系ネットワークとを、それぞれ個別に切り分けて管理可能とすると同時に、ネットワーク同士を適切に連携することができる連携制御装置を提供することを目的とする。
本発明は、上述の課題を解決するために、ユーザを一意に特定する第1の被認証情報に基づいた認証処理結果に応じて、低度セキュリティレベル領域から高度セキュリティレベル領域への入室を管理する設備系ネットワークと、上記高度セキュリティレベル領域に構築され、上記ユーザを一意に特定する第2の被認証情報に基づいた認証処理結果に応じて、上記ユーザの当該情報系ネットワークへのアクセス制限をする情報系ネットワークとを相互に連携させる連携制御装置であって、上記設備系ネットワークにおいて、上記低度セキュリティレベル領域から上記高度セキュリティレベル領域への入室時に、上記第1の被認証情報を読み取る入室用読み取り機器の入室用機器ID(IDentification)及び上記第1の被認証情報と、上記第2の被認証情報とを対応づけて格納する記憶手段と、上記設備系ネットワークから送信される上記第1の被認証情報及び上記入室用機器IDとから、対応する上記第2の被認証情報を上記記憶手段から取得する情報取得手段と、上記低度セキュリティレベル領域から、上記高度セキュリティレベル領域への入室時において、上記情報取得手段によって取得された上記第2の被認証情報を含み、上記情報系ネットワークにおいて管理される上記ユーザの上記情報系ネットワークへのアクセス権限であるアカウントを有効化させる有効情報を、上記アカウントを管理する上記情報系ネットワークに設けられたアカウント管理手段に送信するよう制御する制御手段とを備えることを特徴とする。
本発明の連携制御装置は、設備系ネットワーク、情報系ネットワークをそれぞれ切り分けて管理可能とすると共に、設備系ネットワークにおける認証処理に用いる第1の被認証情報と、上記第1の被認証情報を読み出す入室用読み取り機器の入室用機器IDと、情報系ネットワークにける認証処理に用いる第2の被認証情報とを関連付けて、記憶手段に格納し、第1の被認証情報の認証処理結果に応じて、第2の被認証情報が取得され、情報系ネットワークへのアクセス権限が得られるように連携を図ることで、設備系ネットワークと、情報系ネットワークとがそれぞれ閉じたネットワークであることの利点である、第三者、又は他の正規ユーザによるネットワークを介した不正なアクセスや、ウィルス感染といったネットワークを介しての危険を回避しつつ、連携を図ることによる認証処理の利便性及び高度セキュリティレベル領域への不正な侵入、情報漏洩を防止し、セキュリティを強化することを可能とする。
また、連携制御装置は、関連付けられた上記第1の被認証情報と、退室時に上記第1の被認証情報を読み出す退室用読み取り機器の退室用機器IDと、上記第2の被認証情報とを用いて、上記第1の被認証情報の認証処理結果に応じて、上記第2の被認証情報が取得され、情報系ネットワークへのアクセス権限が消失するように連携を図ることで、高度セキュリティレベル領域からのユーザ退室後の情報漏洩を防止することができる。
以下、本発明の実施の形態について図面を参照して説明する。
[第1の実施の形態]
まず、図1を用いて、本発明の第1の実施の形態として示す情報漏洩防止システムについて説明をする。図1に示すように、情報漏洩防止システムは、設備系ネットワーク10と、情報系ネットワーク20とが連携制御装置30によって相互に接続されて構成されている。
設備系ネットワーク10は、セキュリティレベルの低い領域(低度セキュリティレベル領域)から、機密情報などを扱うセキュリティレベルの高い領域(高度セキュリティレベル領域)への侵入を管理する。設備系ネットワーク10では、高度セキュリティレベル領域への入室を希望するユーザ全てに対して、又、高度セキュリティレベル領域から退出を希望するユーザ全てに対して認証処理を行い、あらかじめ登録された正当なユーザのみを認証して上記領域への入室、上記領域からの退出を許可する。
情報系ネットワーク20は、設備系ネットワーク10で管理される高度セキュリティレベル領域内に構築されたネットワークである。情報系ネットワーク20では、例えば、機密情報などを管理しており、認証されたユーザに対してのみ、ネットワークに接続された情報端末装置からのログオンを認め、機密情報へのアクセスを許可する。
この設備系ネットワーク10と、情報系ネットワーク20とは、それぞれ互いに切り分けられて独立したネットワークであり、それぞれ独自に管理することができる。連携制御装置30は、このような設備系ネットワーク10と、情報系ネットワーク20との相互連携を図ることで、高度セキュリティレベルにて管理される機密情報の外部漏洩を防止しながら、高度セキュリティレベル領域におけるユーザの作業が円滑に進むよう支援をする。
続いて、図1を用いて、情報漏洩防止システムを構成する設備系ネットワーク10、情報系ネットワーク20、連携制御装置30の構成について説明をする。
(設備系ネットワーク10の構成)
まず、設備系ネットワーク10の構成について説明をする。設備系ネットワーク10は、ハブ11に接続された複数のコントロールユニット12と、各コントロールユニット12の下にハブ13を介して接続された複数のゲートウェイユニット14とを備えている。
各コントロールユニット12は、設備系ネットワーク10において実行される高度セキュリティレベル領域、低度セキュリティレベル領域の入退室の管理を制御する最小単位である。各コントロールユニット12は、同じくハブ11に接続された汎用型のPC(Personal Computer)である管理用PC18によって統括的に制御される。設備系ネットワーク10を管理する管理者は、この管理用PC18から各コントロールユニット12による入退室処理のエラーを検出し管理することになる。
このように、設備系ネットワーク10では、複数のコントロールユニット12による入退室管理により入退室管理処理を分散することで、設備系ネットワーク10全体における稼働率を大幅に向上させると共に、設備系ネットワーク10を小規模とした場合にも、設置環境に応じてコントロールユニット12の組み合わせを適宜変えることで、容易に適用することができるようになる。また、専用の管理装置も必要としない。
設備系ネットワーク10を大規模対応とする場合は、管理用PC18に代えて、専用の管理装置として図1に点線で示したようなセンタ装置19を設けるようにする。
各ゲートウェイユニット14の下には、高度セキュリティレベル領域外に設けられ、高度セキュリティレベル領域へ入室する際に、ユーザが所有するICカードの半導体メモリ内に格納された情報を読み取る入室用カードリーダ15と、高度セキュリティレベル領域内に設けられ、高度セキュリティレベル領域から退室する際に、ICカードの上述した情報を読み取る退室用カードリーダ16とが複数接続されている。
ユーザが所有するICカードは、例えば、非接触のICカードなどであり、入室用カードリーダ15又は退室用カードリーダ16との間で電波/電磁波を利用することで、非接触で情報の読み出しや書き込みを行うことができる。
また、ゲートウェイユニット14は、低度セキュリティレベル領域から高度セキュリティレベル領域へ入室する際、又は高度セキュリティレベル領域から低度セキュリティレベル領域へ退出する際の出入り口に設けられ、2つの領域を隔てるドア(扉)を電気的な作用により施錠、解錠することができる電気錠17に接続されている。電気錠17は、通常、ドア(扉)を施錠している。
この低度セキュリティレベル領域、高度セキュリティレベル領域とを隔てるドア(扉)は、例えば、部屋と部屋とを仕切るドア(扉)であってもよいし、エレベータのドア(扉)などであってもよい。
ゲートウェイユニット14は、入室用カードリーダ15又は退室用カードリーダ16によって読み出されたICカードの情報のうち、当該ICカードを一意に特定する被認証情報であるカードIDを取得し、このカードIDが、あらかじめ登録されているカードIDかどうかの認証処理を行う。ゲートウェイユニット14は、カードIDが、あらかじめ登録された正当なカードIDであると認証した場合に、施錠された電気錠17を所定の時間だけ解錠するように制御する。一方、ゲートウェイユニット14は、カードIDが、あらかじめ登録された正当なカードIDでない場合には、施錠された電気錠17をそのままにし、例えば、図示しない警報装置といった通知手段を制御して、認証処理結果がエラーであることをユーザに通知する。
ゲートウェイユニット14は、入退室処理における処理負荷が増大することを防ぐため、1つのゲートウェイユニット14で、例えば、入室用カードリーダ15、退室用カードリーダ16、電気錠17とからなる入退室処理に必要なユニットを、最大でも、例えば、4ユニットだけ受け持つようにする。
設備系ネットワーク10は、ハブ11を介したコントロールユニット12によって連携制御装置30と、通信をすることになるが、通信される情報量がそれほど多くないため、連携制御装置30との通信では、例えば、イーサネット(登録商標)の通信規格である10BASE−Tといった比較的低速度の通信で賄うことができる。
(情報系ネットワーク20の構成)
続いて、情報系ネットワーク20の構成について説明をする。情報系ネットワーク20は、トラフィックが増大する当該情報系ネットワーク20において連携制御装置30との通信を制御するスイッチングハブ21と、スイッチングハブ21に接続された、高度セキュリティレベル領域に入室したユーザによって操作される情報端末装置である複数のクライアントPC(Personal Computer)22と、ACL(Access Control List)サーバ24とを備えている。
各クライアントPC22には、高度セキュリティレベル領域に入室したユーザが所有するICカードの半導体メモリ内に格納されている情報を読み取るカードリーダ23が接続されている。ユーザは、クライアントPC22を起動して、例えば、情報系ネットワーク20内でアクセスが管理されている機密情報などを閲覧、利用、使用する場合などに、カードリーダ23からICカードに格納されているカードIDを読み取り、認証処理することを要求される。
ACLサーバ24は、情報系ネットワーク20にアクセス可能とする、あらかじめ登録されたユーザのアカウントを登録しているサーバであり、情報系ネットワーク20にアクセスをするユーザの管理を行っている。ACLサーバ24に登録されているアカウントは、通常時、無効とされており、連携制御装置30からアカウントを有効とする旨が通知されたことに応じて有効とされる。つまり、ACLサーバ24は、連携制御装置30からの通知に応じて、情報系ネットワーク20にアクセスを許可するようユーザを管理している。
したがって、ACLサーバ24が、例えば、アカウントを有効にする旨を受け取っていない状態では、クライアントPC22から情報系ネットワーク20にログオンすることはできない。
また、ACLサーバ24は、ログサーバとしても機能しており、アカウントが有効にされたユーザから、クライアントPC22を介して情報系ネットワーク20にアクセスがあった場合に、そのログを記録する。このログサーバは、必ずしもACLサーバ24と同一に構成させなくてもよく、連携制御装置30に、ログサーバの機能をもたせるようにしてもよい。
ACLサーバ24には、情報系ネットワーク20のネットワーク管理者のみが所有する管理者用ICカード内の半導体メモリに格納されている情報を読み取るカードリーダ25が接続されている。ネットワーク管理者は、例えば、メンテナンスや、セキュリティ管理のためにACLサーバ24に格納されているユーザのアカウント情報や、ログサーバに記録されているログを参照する場合など、カードリーダ25からネットワーク管理者が所有するICカードに格納されているカードIDを読み取り、認証処理することを要求される。
情報系ネットワーク20は、スイッチングハブ21を介して連携制御装置30と、通信をすることになるが、設備系ネットワーク10と較べて通信される情報量が多くなりトラフィックが増大するため、連携制御装置30との通信では、例えば、イーサネット(登録商標)の通信規格である100BASE−TXといった高速度の通信を行うことが望ましい。
連携制御装置30は、設備系ネットワーク10と、情報系ネットワーク20との連携を図るために設けられた装置である。この連携制御装置30が実行する設備系ネットワーク10と、情報系ネットワーク20との連携とは、設備系ネットワーク10と、情報系ネットワーク20という既存のネットワークを閉じた系として管理可能としながらも、相互に情報をやり取りすることで、セキュリティを強固なものとするような連携である。
連携制御装置30は、設備系ネットワーク10による認証処理結果に応じて、情報系ネットワーク20へのアクセスを許可するように連携を図る。具体的には、連携制御装置30は、図示しない記憶部を備え、この記憶部内に格納されている設備系ネットワーク10と、情報系ネットワーク20とを連携するために、ユーザが所有するICカードの半導体メモリ内に格納されている当該ICカードを一意に特定するカードIDと、設備系ネットワーク10に構成されている全ての入室用カードリーダ15、退室用カードリーダ16をそれぞれ一意に特定する機器IDであるリーダIDと、情報系ネットワーク20において、ユーザを一意に特定する被認証情報であるユーザIDとを対応付けたテーブルを用いて、設備系ネットワーク10と、情報系ネットワーク20との連携を図っている。
連携制御装置30が備える記憶部に格納されているテーブルは、例えば、図2(a),(b)に示すような2つのテーブルである。
図2(a)に示すテーブルは、入室用カードリーダ15、退室用カードリーダ16の機器IDである各リーダID毎に、当該入室用カードリーダ15、退室用カードリーダ16を管理するゲートウェイユニット14の管轄となる高度セキュリティレベル領域に入室可能とされたICカードに与えられたカードIDが対応付けらたテーブルである。つまり、図2(a)に示すテーブルは、高度セキュリティレベル領域と、低度セキュリティレベル領域との入退室口に取り付けられた入室用カードリーダ15、退室用カードリーダ16と、入退室可能なICカードとを関係付けるテーブルである。
一つのカードIDは、複数の入室用カードリーダ15、複数の退室用カードリーダ16に登録されるため、図2(a)に示すように、一つのカードIDが、複数のリーダIDと対応付けられることになる。
図2(b)に示すテーブルは、設備系ネットワーク10において、ユーザを一意に特定するために用いるICカードの半導体メモリ内に格納された被認証情報であるカードIDと、情報系ネットワーク20において、ユーザを一意に特定する被認証情報であるユーザIDとを対応づけたテーブルである。
連携制御装置30は、設備系ネットワーク10のコントロールユニット12を介して入室情報として、リーダIDと、カードIDとを受け取ると、図2(a)に示すテーブルからリーダIDと、カードIDとが対応しているかどうか判定をする。そして、対応している場合に、図2(b)に示すテーブルを用いて、カードIDに対応するユーザIDを取得し、このユーザIDに対応するアカウントを有効にするように情報系ネットワーク20に通知する。
リーダIDと、カードIDとの対応がとれない場合には、連携制御装置30は、設備系ネットワーク10と、情報系ネットワーク20との連携をとらないため、ユーザは、高度セキュリティレベル領域に入室したとしても情報系ネットワーク20へのアクセス権限が与えられないことになる。
また、連携制御装置30は、上述したACLサーバ24に与えられる、情報系ネットワーク20でのクライアントPC22からのアクセスログを記録するログサーバの機能を備えるようにしてもよい。このように連携制御装置30が、ログサーバの機能を備えた場合の処理動作については、後述するタイミングチャートを用いた連携制御装置30の連携処理動作にて適宜説明をする。
次に、このような構成の情報漏洩防止システムにおいて、ユーザが、低度セキュリティレベル領域から高度セキュリティレベル領域へ入室し、高度セキュリティレベル領域内でのクライアントPC22から情報系ネットワーク20へログオン後、ログオフし、高度セキュリティレベル領域から低度セキュリティレベル領域へと退室するまでの一連の動作についてタイミングチャートを用いて説明をする。
{第1の連携処理動作}
まず、設備系ネットワーク10におけるユーザの認証結果に応じて、連携制御装置30が、ACLサーバ24の情報系ネットワーク20におけるユーザのアカウントを有効とすることで連携を図る第1の連携処理動作について説明をする。
(高度セキュリティレベル領域への入室処理)
高度セキュリティレベル領域への入室処理は、設備系ネットワーク10による管理によって実行される。まず、ユーザは、所有するICカードを、入室用カードリーダ15からの電波を受信可能な位置まで運び、半導体メモリ内に格納されているカードIDを読み取らせる(ステップS1)。
入室用カードリーダ15は、ICカードからカードIDを読み取り、ゲートウェイユニット14へ送信する(ステップS2)。
ゲートウェイユニット14は、送信されたカードIDと、あらかじめ登録されているカードIDとを照合して設備系ネットワーク10における認証処理を行う。ゲートウェイユニット14は、送信されたカードIDと、登録されているカードIDとが一致した場合、このカードIDを認証し、施錠されている電気錠17を解錠することで入室を許可する(ステップS3)。
一方、カードIDが一致せず、認証されなかった場合には、ゲートウェイユニット14は、低度セキュリティレベル領域側に設けられている、例えば、図示しない警報装置や、液晶ディスプレイなどを介して、認証されなかった旨を示すエラー通知を出力させるように制御する。
ゲートウェイユニット14は、送信されたカードIDを認証した場合には、ユーザが低度セキュリティレベル領域から高度セキュリティレベル領域へと入室したことを示すログを、当該ゲートウェイユニット14内に記録する(ステップS4)。また、ゲートウェイユニット14は、送信されたカードIDを認証した場合には、このカードIDと、当該ゲートウェイユニット14を一意に特定する機器IDであるリーダIDとを入室情報として、コントロールユニット12に送信する。そして、コントロールユニット12が、この入室情報を連携制御装置30に通知する(ステップS5)。
連携制御装置30は、ゲートウェイユニット14から、通知された入室情報を用いて、図示しない記憶部に格納されている、図2を用いて説明したような、カードIDと、リーダIDと関連付けたテーブル、カードIDと、情報系ネットワーク20における認証処理用にあらかじめ登録されているユーザIDとを関連付けたテーブルとを用いて、リーダID、カードID、ユーザIDとの整合をとる。つまり、連携制御装置30は、図2(a)に示すテーブルを用いて、入室情報として送信されたリーダIDと、カードIDとが認められた正しい組み合わせであるかを検証し、正しい組み合わせであるとされた場合には、図2(b)に示すテーブルを用いて、カードIDに対応するユーザIDを取得する(ステップS6)。
さらに、連携制御装置30は、取得したユーザIDを添付した、情報系ネットワーク20のACLサーバ24に登録されているユーザのアカウントを有効化させる有効情報を、スイッチングハブ21を介してACLサーバ24に送信する(ステップS7)。
これにより、高度セキュリティレベル領域へ入室したユーザの情報系ネットワーク20におけるアカウントが有効となり、当該ユーザは、情報系ネットワーク20へのアクセス権限を獲得したことになる。
(ログオン処理)
高度セキュリティレベル領域へ入室したユーザは、まずクライアントPC22を起動させる(ステップS11)。そして、クライアントPC22を起動させた後、カードリーダ23に、ICカードをセットして、クライアントPC22にログオン要求をする。カードリーダ23は、セットされたICカードからカードIDを読み出しクライアントPC22へと送信する(ステップS12)。
クライアントPC22は、カードリーダ23から読み出されたカードIDを用いて、ACLサーバ24にログオン許可要求をする(ステップS13)。
ACLサーバ24は、送信されたカードIDを認証し、認証された場合にクライアントPC22からのログオン許可をする(ステップS14)。これに応じて、クライアントPC22は、どのユーザが、いつ、どのクライアントPC22からログオンしたのかを記録するために、ユーザIDを含むログオン情報のログをACLサーバ24のログサーバに送信する(ステップS15)。クライアントPC22は、例えば、表示画面上に、ログオンが許可されたことを通知するメッセージを表示させユーザに対してログオンが許可されたことを通知する(ステップS16)。
このようにして、高度セキュリティレベル領域へ入室したユーザは、クライアントPC22を介して情報系ネットワーク20へアクセスすることができる。このとき、連携制御装置30によって、設備系ネットワーク10と、情報系ネットワーク20とが連携されることで、例えば、正規のユーザAが、他の正規のユーザBと一緒に入室する場合などにおいて、ユーザAがICカードを使用しないで入室した時は、クライアントPC22にアクセス権限があってもログオンできないことになり、より正確なアクセス管理ができるようになる。
また、高度セキュリティレベル領域へ正当に入室しようとしたユーザによって電気錠17が解錠されたドア(扉)から、隙をみて不正に侵入した第三者がクライアントPC22へアクセスしたとしても、アクセス権限がないため不正なアクセスを防止することができる。
したがって、設備系ネットワーク10と、情報系ネットワーク20とを、それぞれ互いに閉じた系として、独自に管理可能としながらも、連携制御装置30による連携によって非常に高いセキュリティを確保することができる。
(ログオフ処理)
高度セキュリティレベル領域から退室する場合、ユーザは、まずクライアントPC22からのログオンをログオフすることになる。
ユーザは、クライアントPC22に対して終了要求をする(ステップS21)。終了要求を受けたクライアントPC22は、どのユーザが、いつ、どのクライアントPC22からログオフしたのか記録するために、ユーザIDを含むログオフ情報をACLサーバ24のログサーバに送信する(ステップS22)。これにより、クライアントPC22は、情報系ネットワーク20からログオフされ、シャットダウンする(ステップS23)。
(高度セキュリティレベル領域からの退室処理)
ユーザは、ログオフが完了した後、高度セキュリティレベル領域から低度セキュリティレベル領域へと退室する。
高度セキュリティレベル領域からの退室処理は、設備系ネットワーク10による管理によって実行される。まず、ユーザは、所有するICカードを、退室用カードリーダ16からの電波を受信可能な位置まで運び、半導体メモリ内に格納されているカードIDを読み取らせる(ステップS41)。
退室用カードリーダ16は、ICカードからカードIDを読み取り、ゲートウェイユニット14へ送信する(ステップS42)。
ゲートウェイユニット14は、送信されたカードIDと、あらかじめ登録されているカードIDとを照合して設備系ネットワーク10における認証処理を行う。ゲートウェイユニット14は、送信されたカードIDと、登録されているカードIDとが一致した場合、このカードIDを認証し、施錠されている電気錠17を解錠することで退室を許可する(ステップS43)。
一方、カードIDが一致せず、認証されなかった場合には、ゲートウェイユニット14は、高度セキュリティレベル領域側に設けられている、例えば、図示しない警報装置や、液晶ディスプレイなどを介して、認証されなかった旨を示すエラー通知を出力させるように制御する。
ゲートウェイユニット14は、送信されたカードIDを認証した場合には、ユーザが高度セキュリティレベル領域から低度セキュリティレベル領域へと退室したことを示すログを、当該ゲートウェイユニット14内に記録する(ステップS44)。また、ゲートウェイユニット14は、送信されたカードIDを認証した場合には、このカードIDと、当該ゲートウェイユニット14を一意に特定する機器IDであるリーダIDとを退室情報として、コントロールユニット12に送信する。そして、コントロールユニット12が、この退室情報を連携制御装置30に通知する(ステップS45)。
連携制御装置30は、ゲートウェイユニット14から、通知された退室情報を用いて、図示しない記憶部に格納されている、図2を用いて説明したような、カードIDと、リーダIDと関連付けたテーブル、カードIDと、情報系ネットワーク20における認証処理用にあらかじめ登録されているユーザIDとを関連付けたテーブルとを用いて、リーダID、カードID、ユーザIDとの整合をとる。つまり、連携制御装置30は、図2(a)に示すテーブルを用いて、退室情報として送信されたリーダIDと、カードIDとが認められた正しい組み合わせであるかを検証し、正しい組み合わせであるとされた場合には、図2(b)に示すテーブルを用いて、カードIDに対応するユーザIDを取得する(ステップS46)。
さらに、連携制御装置30は、取得したユーザIDを添付した、情報系ネットワーク20のACLサーバ24に登録されているユーザのアカウントを無効化させる無効情報を、スイッチングハブ21を介してACLサーバ24に送信する(ステップS47)。
これにより、高度セキュリティレベル領域から退室したユーザの情報系ネットワーク20におけるアカウントが無効となり、当該ユーザは、情報系ネットワーク20へのアクセス権限を消失したことになるため、ユーザ退室後の情報漏洩を防止することができる。
{第2の連携処理動作}
次に、高度セキュリティレベル領域に一旦入室し、クライアントPC22から情報系ネットワーク20へログオンした状態のまま、低度セキュリティレベル領域へと退室しようとする行為を防止する第2の連携処理動作について、上述した第1の連携処理動作をふまえながら説明をする。
このように、情報系ネットワーク20へログオンした状態のまま、高度セキュリティレベル領域から低度セキュリティレベルへ退室してしまうと、例えば、不正に高度セキュリティレベルに入室した第三者、又は入室を許可された他の正規ユーザによる情報系ネットワーク20への不正なアクセスを容易に許してしまうことになる。
そこで、ACLサーバ24が備えていたログサーバの機能を、連携制御装置30に与え、図4に示すようなタイミングチャートにて動作させることで、このような行為を防止することができる。
(高度セキュリティレベル領域への入室処理)
第2の連携処理動作における低度セキュリティレベル領域から高度セキュリティレベル領域への入室動作は、図3を用いて説明したステップS1〜ステップS7までの動作と全く同様であるため、同一ステップ番号を付して説明を省略する。
(ログオン処理)
高度セキュリティレベル領域へ入室したユーザは、まずクライアントPC22を起動させる(ステップS51)。そして、クライアントPC22を起動させた後、カードリーダ23に、ICカードをセットして、クライアントPC22にログオン要求をする。カードリーダ23は、セットされたICカードからカードIDを読み出しPC22へと送信する(ステップS52)。
クライアントPC22は、カードリーダ23から読み出されたカードIDを用いて、ACLサーバ24にログオン許可要求をする(ステップS53)。
ACLサーバ24は、送信されたカードIDを認証し、認証された場合にクライアントPC22からのログオン許可をする(ステップS54)。これに応じて、クライアントPC22は、どのユーザが、いつ、どのクライアントPC22からログオンしたのかを記録するために、ユーザIDを含むログオン情報のログを連携制御装置30のログサーバに送信する(ステップS55)。クライアントPC22は、例えば、表示画面上に、ログオンが許可されたことを通知するメッセージを表示させユーザに対してログオンが許可されたことを通知する(ステップS56)。
連携制御装置30は、ログサーバにログオン情報が送信されたことに応じて、図示しない記憶部に格納されている図2(b)に示すようなユーザIDと、カードIDとを対応づけるテーブルから、送信されたログオン情報に含まれるユーザIDと対応するカードIDを検索する(ステップS57)。
連携制御装置30は、検索されたカードIDが無効となるように、カードIDを含んだ無効情報を、コントロールユニット12に送信する。そして、コントロールユニット12が、この無効情報をゲートウェイユニット14に送信する。これに応じて、ゲートウェイユニット14は、送信された無効情報に含まれるカードIDを無効とする(ステップS58)。
このようにして、高度セキュリティレベル領域へ入室したユーザは、クライアントPC22を介して情報系ネットワーク20へアクセスすることができる。このとき、連携制御装置30によって、設備系ネットワーク10と、情報系ネットワーク20とが連携されることで、例えば、高度セキュリティレベル領域へ正当に入室しようとしたユーザによって電気錠17が解錠されたドア(扉)から、隙をみて不正に侵入した第三者、又は入室を許可された他の正規ユーザがPC22へアクセスしたとしても、アクセス権限がないため不正なアクセスを防止することができる。
したがって、設備系ネットワーク10と、情報系ネットワーク20とを、それぞれ互いに閉じた系として、独自に管理可能としながらも、連携制御装置30による連携によって非常に高いセキュリティを確保することができる。
さらに、クライアントPC22から、情報系ネットワーク20へログオンしている状態のときに、連携制御装置30によってゲートウェイユニット14での認証処理が行えないように、ログオンしているユーザが所有するICカードのカードIDを無効化する。これにより、ログオンしたままの状態での高度セキュリティレベル領域から低度セキュリティレベル領域への退室ができなくなる。
したがって、ログオフ忘れによって生じる可能性の高い、ログオンされたクライアントPC22からの情報系ネットワーク20への不正なアクセスを排除することができる。
(ログオフ処理)
高度セキュリティレベル領域から退室する場合、ユーザは、まずクライアントPC22からのログオンをログオフすることになる。
ユーザは、クライアントPC22に対して終了要求をする(ステップS61)。終了要求を受けたクライアントPC22は、どのユーザが、いつ、どのクライアントPC22からログオフしたのか記録するために、ユーザIDを含むログオフ情報を連携制御装置30のログサーバに送信する(ステップS62)。これにより、クライアントPC22は、情報系ネットワーク20からログオフされ、シャットダウンする(ステップS63)。
連携制御装置30は、ログサーバにログオフ情報が送信されたことに応じて、図示しない記憶部に格納されている図2(b)に示すようなユーザIDと、カードIDとを対応づけるテーブルから、送信されたログオフ情報に含まれるユーザIDと対応するカードIDを検索する(ステップS64)。
連携制御装置30は、検索されたカードIDが有効となるように、カードIDを含んだ有効情報を、コントロールユニット12に送信する。そして、コントロールユニット12が、この有効情報をゲートウェイユニット14に送信する。これに応じて、ゲートウェイユニット14は、送信された有効情報に含まれるカードIDを有効とする (ステップS65)。
(高度セキュリティレベル領域からの退室処理)
第2の連携処理動作における高度セキュリティレベル領域から低度セキュリティレベル領域への退出動作は、図3を用いて説明した第1の連携処理動作におけるステップS41〜ステップS47までの動作と全く同様であるため、同一ステップ番号を付して説明を省略する。
このようにして、第2の連携処理動作では、 高度セキュリティレベル領域において、情報系ネットワーク20へ、一旦ログオンされた場合には、ICカードの認証処理をするゲートウェイユニット14においてICカードのカードIDが無効となるような処理を行う。これにより、ログオフ忘れによる高度セキュリティレベル領域からの退室によって生じる可能性の高い、ログオンされたままのクライアントPC22を不正利用することによる情報系ネットワーク20への不正なアクセスを排除することができる。
{第3の連携処理動作}
次に、高度セキュリティレベル領域の中でも特に、ユーザの長時間の滞在を好まない領域、例えば、サーバ室などにおいて、滞在時間の制限付きで入室を許可する第3の連携処理動作について、上述した第1の連携処理動作をふまえながら説明をする。
サーバ室は、サーバ内に格納されたあらゆる情報へのアクセスが可能となってしまうため、例えば、保守や、定期的な点検、サーバダウン時などの緊急時などであっても、サーバ室内にて処理時間を制限して、目的以外の行為が実行されてしまうことを抑制する必要がある。
そこで、ユーザが高度セキュリティレベル領域へ入室してからの在室時間を、連携制御装置30にて管理して、図5に示すタイミングチャートにて動作させることで、このような行為を抑制することができる。
(高度セキュリティレベル領域への入室処理)
高度セキュリティレベル領域への入室処理は、設備系ネットワーク10による管理によって実行される。まず、ユーザは、所有するICカードを、入室用カードリーダ15からの電波を受信可能な位置まで運び、半導体メモリ内に格納されているカードIDを読み取らせる(ステップS71)。
入室用カードリーダ15は、ICカードからカードIDを読み取り、ゲートウェイユニット14へ送信する(ステップS72)。
ゲートウェイユニット14は、送信されたカードIDと、あらかじめ登録されているカードIDとを照合して設備系ネットワーク10における認証処理を行う。ゲートウェイユニット14は、送信されたカードIDと、登録されているカードIDとが一致した場合、このカードIDを認証し、施錠されている電気錠17を解錠することで入室を許可する(ステップS73)。
一方、カードIDが一致させず、認証されなかった場合には、ゲートウェイユニット14は、低度セキュリティレベル領域側に設けられている、例えば、図示しない警報装置や、液晶ディスプレイなどを介して、認証されなかった旨を示すエラー通知を出力させるように制御する。
ゲートウェイユニット14は、送信されたカードIDを認証した場合には、ユーザが低度セキュリティレベル領域から高度セキュリティレベル領域へと入室したことを示すログを、当該ゲートウェイユニット14内に記録する(ステップS74)。また、ゲートウェイユニット14は、送信されたカードIDを認証した場合には、このカードIDと、当該ゲートウェイユニット14を一意に特定する機器IDであるリーダIDとを入室情報として、コントロールユニット12に送信する。そして、コントロールユニット12が、この入室情報を連携制御装置30に通知する(ステップS75)。
連携制御装置30は、入室情報を受け取ったことに応じて、ユーザが高度セキュリティレベル領域へと入室したと判断し、ユーザの高度セキュリティレベル領域の在室時間を制限するために、例えば、在室時間を測定するタイマーなどを作動させ計時をすることで在室時間の管理をスタートさせる。(ステップS76)。
連携制御装置30による在室時間の管理は、例えば、上述したように高度セキュリティレベル領域に入室してからタイマーで測定される時間が、あらかじめ連携制御装置30に設定された在室可能時間となった場合に、情報系ネットワーク20へその旨が通知されることで行われる。在室可能時間は、例えば、カードIDを登録する際に、カードID毎に関連付けて連携制御装置30に設定される。連携制御装置30は、入室情報を取得した際に、入室情報を構成するカードIDを参照して、関連付けられて設定されている在室可能時間を読み出す。
このように、カードID毎に在室可能時間を、連携制御装置30に設定しておくと、カードID毎、つまりは、高度セキュリティレベル領域に入室するユーザ毎に在室可能時間を設定することができる。
連携制御装置30に設定する在室可能時間は、これに限定されるものではなく、例えば、一律に二時間としたり、入室時間帯に応じて変化させたり、高度セキュリティレベル領域内に構築される情報系ネットワークの20で求められる要求によって臨機応変に決定する。
連携制御装置30は、ゲートウェイユニット14から、通知された入室情報を用いて、図示しない記憶部に格納されている、図2を用いて説明したような、カードIDと、リーダIDと関連付けたテーブル、カードIDと、情報系ネットワーク20における認証処理用にあらかじめ登録されているユーザIDとを関連付けたテーブルとを用いて、リーダID、カードID、ユーザIDとの整合をとる。つまり、連携制御装置30は、図2(a)に示すテーブルを用いて、入室情報として送信されたリーダIDと、カードIDとが認められた正しい組み合わせであるかを検証し、正しい組み合わせであるとされた場合には、図2(b)に示すテーブルを用いて、カードIDに対応するユーザIDを取得する(ステップS77)。
さらに、連携制御装置30は、取得したユーザIDを添付した、情報系ネットワーク20のACLサーバ24に登録されているユーザのアカウントを有効化させる有効情報を、スイッチングハブ21を介してACLサーバ24に送信する(ステップS78)。
これにより、高度セキュリティレベル領域へ入室したユーザの情報系ネットワーク20におけるアカウントが有効となり、当該ユーザは、情報系ネットワーク20へのアクセス権限を獲得したことになる。
(ログオン処理)
第3の連携処理動作における高度セキュリティレベル領域での情報系ネットワーク20へのログオン処理動作は、図3を用いて説明したステップS11〜ステップS16までの動作と全く同様であるため、同一ステップ番号を付して説明を省略する。
(ログオフ処理)
第3の連携処理動作のログオフ処理は、連携制御装置30に設定された滞在時間を超えない場合には、図3を用いて説明した第1の連携処理動作におけるステップS21〜ステップS23までの動作と全く同様となるため説明を省略する。
一方、連携制御装置30は、ユーザの高度セキュリティレベル領域への入室後、タイマーによって入室開始時間から測定されている測定時間と、設定された滞在可能時間とを、例えば、所定の時間間隔毎に比較し、測定時間が滞在可能時間を超えたかどうかを監視している(ステップS81)。
連携制御装置30は、設定された滞在時間となった場合に、クライアントPC22に警告メッセージを通知する(ステップS82)。この警告メッセージに従う場合、ユーザは、クライアントPC22からのログオンをログオフすることになる。連携制御装置30は、クライアントPC22に警告メッセージを通知したことに応じて、タイマーなどにより計時を開始する。
具体的に、ユーザは、クライアントPC22に対して終了要求をする(ステップS83)。終了要求を受けたクライアントPC22は、どのユーザが、いつ、どのクライアントPC22からログオフしたのか記録するために、ユーザIDを含むログオフ情報をACLサーバ24のログサーバに送信する(ステップS84)。これにより、クライアントPC22は、情報系ネットワーク20からログオフされ、シャットダウンする(ステップS85)。
一方、連携制御装置30からの警告メッセージに、所定の時間を経過しても従わないと、つまり、警告メッセージを通知後に開始された計時が所定の時間を超過たのにも関わらず、情報系ネットワーク20からログオフしていない場合、連携制御装置30は、高度セキュリティレベル領域への入室が認証されたカードIDが無効となるように、カードIDを含んだ無効情報を、コントロールユニット12に送信する。そして、コントロールユニット12が、この無効情報をゲートウェイユニット14に送信する。これに応じて、ゲートウェイユニット14は、送信された無効情報に含まれるカードIDを無効とする(ステップS86)。
さらに、連携制御装置30は、このカードIDに対応するユーザIDを添付した、情報系ネットワーク20のACLサーバ24に登録されているユーザのアカウントを無効化させる無効情報を、スイッチングハブ21を介してACLサーバ24に送信する(ステップS87)。そして、連携制御装置30は、クライアントPC22に強制終了命令を送信し、強制終了させる(ステップS88)。
これにより、警告メッセージに従わなかった場合でも、情報系ネットワーク20へのアクセスを強制的に排除することができる。
(高度セキュリティレベル領域からの退室処理)
第3の連携処理動作における高度セキュリティレベル領域から低度セキュリティレベル領域への退出動作は、図3を用いて説明した第1の連携処理動作におけるステップS41〜ステップS47までの動作と全く同様であるため、同一ステップ番号を付して説明を省略する。
このようにして、第3の連携処理動作では、連携制御装置30によって高度セキュリティレベル領域に入室したユーザの滞在時間を管理することができるため、高度セキュリティレベル領域の中でも、特に厳重なセキュリティを要する情報系ネットワーク20へのアクセスを時間管理できるため、情報漏洩を抑制することができる。
上述した、第3の連携処理動作は、ユーザの高度セキュリティレベル領域内での滞在時間の管理を連携制御装置30にて実行するようにしていたが、設備系ネットワーク10を大規模とする場合には、管理用PC18の代わりに用いられるセンタ装置19を使って、図6に示すタイミングチャートのように実行させるようにしてもよい。図6に示すタイミングチャートは、図5を用いて説明したタイミングチャートとほぼ同一であるため、“高度セキュリティレベル領域への入室処理”と、“ログオフ処理”の異なるステップのみについて説明し、それ以外のステップは、同一ステップ番号を付し説明を省略する。
高度セキュリティレベル領域への入室処理において、ゲートウェイユニット14は、カードIDを認証した場合には、このカードIDと、当該ゲートウェイユニット14を一意に特定する機器IDであるリーダIDとを入室情報として、コントロールユニット12に送信する(ステップS75a)。
そして、コントロールユニット12が、入室情報をセンタ装置19と、連携制御装置30とに通知する(ステップS75b)。
そして、センタ装置19は、入室情報を受け取ったことに応じて、ユーザが高度セキュリティレベル領域へと入室したと判断し、ユーザの高度セキュリティレベル領域の在室時間を制限するために、例えば、在室時間を測定するタイマーなどを作動させ在室時間の管理をスタートさせる(ステップS76)。
センタ装置19による在室時間の管理は、連携制御装置30と同様に、例えば、上述したように高度セキュリティレベル領域に入室してからタイマーで測定される時間が、あらかじめセンタ装置19に設定された在室可能時間となった場合に、情報系ネットワーク20へその旨が通知されることで行われる。在室可能時間は、例えば、カードIDを登録する際に、カードID毎に関連付けて連携制御装置30に設定される。センタ装置19は、入室情報を取得した際に、入室情報を構成するカードIDを参照して、関連付けられて設定されている在室可能時間を読み出す。
このように、カードID毎に在室可能時間を、センタ装置19に設定しておくと、カードID毎、つまりは、高度セキュリティレベル領域に入室するユーザ毎に在室可能時間を設定することができる。
センタ装置19に設定する在室可能時間は、これに限定されるものではなく、例えば、一律に二時間としたり、入室時間帯に応じて変化させたり、高度セキュリティレベル領域内に構築される情報系ネットワークの20で求められる要求によって臨機応変に決定する。
クライアントPC22による情報系ネットワーク20からのログオフ処理において、センタ装置19は、ユーザの高度セキュリティレベル領域への入室後、タイマーによって入室開始時間から測定されている測定時間と、設定された滞在可能時間とを、例えば、所定の時間間隔毎に比較し、測定時間が滞在可能時間を超えたかどうかを監視している(ステップS81a)。
センタ装置19は、測定時間が、設定された滞在可能時間を超えた場合、滞在可能時間をオーバーして情報系ネットワークへアクセスしているユーザがいるという、異常事態であることを、連携制御装置30に通知する(ステップS81b)
このようにして、第3の連携処理動作では、センタ装置19によって高度セキュリティレベル領域に入室したユーザの滞在時間を管理することができるため、高度セキュリティレベル領域の中でも、特に厳重なセキュリティを要する情報系ネットワーク20へのアクセスを時間管理できるため、情報漏洩を抑制することができる。
[第2の実施の形態]
続いて、図7を用いて、本発明の第2の実施の形態として示す情報漏洩防止システムについて説明をする。図7に示すように、第2の実施の形態として示す情報漏洩防止システムは、上述した第1の実施の形態として示した情報漏洩防止システム、設備系ネットワーク10において、ユーザが、高度セキュリティレベル領域から低度セキュリティレベル領域に退出する際の認証処理を実行するために、ユーザが所有するICカードに格納された被認証情報であるカードIDを読み取るための退室用カードリーダ16を備えていない構成となっている。
このように、第2の実施の形態として示す情報漏洩防止システムは、設備系ネットワーク10において、退室用カードリーダ16を備えていない以外は、情報系ネットワーク20の構成も、第1の実施の形態として示す情報漏洩防止システムと変わらない。したがって、図7に示すように、第2の実施の形態として示す情報漏洩防止システムを構成する各機能部には、図1で示した第1の実施の形態として示す情報漏洩防止システムと同一の符号を付して説明を省略する。
{第4の連携処理動作}
第2の実施の形態として図7に示す情報漏洩防止システムでは、連携制御装置30によって、図8に示すタイミングチャートのような第4の連携処理動作を実行する。第4の連携処理動作では、設備系ネットワーク10が退室用カードリーダ16を備えていないことに応じて、ユーザの高度セキュリティレベル領域からの退室時におけるACLサーバ24のアカウントの無効処理を時間に基づいて実行するようにしている。
(高度セキュリティレベル領域への入室処理)
第4の連携処理動作における低度セキュリティレベル領域から高度セキュリティレベル領域への入室動作は、図3を用いて説明したステップS1〜ステップS7までの動作と全く同様であるため、同一ステップ番号を付して説明を省略する。
(ログオン処理)
第4の連携処理動作における高度セキュリティレベル領域での情報系ネットワーク20へのログオン処理動作は、図3を用いて説明したステップS11〜ステップS16までの動作と全く同様であるため、同一ステップ番号を付して説明を省略する。
(ログオフ処理)
第4の連携処理動作における高度セキュリティレベル領域での情報系ネットワーク20からのログオフ処理動作は、図3を用いて説明したステップS21〜ステップS23までの動作と全く同様であるため、同一ステップ番号を付して説明を省略する。
(高度セキュリティレベル領域からの退室処理)
図7に第2の実施の形態として示す情報漏洩防止システムは、上述したように退室用カードリーダ16を備えていないため退室時において、ゲートウェイユニット14による認証処理が実行されない。つまり、例え、ユーザがクライアントPC22からログオフした状態で、高度セキュリティレベル領域から退室したとしても、情報系ネットワーク20のアカウントは有効のままである。そのため、不正に高度セキュリティレベル領域へ侵入した第三者、又は、入室を許可された他の正規ユーザによって、情報系ネットワーク20へ不正にアクセスされる危険性が高い状態となっている。
そこで、第4の連携動作処理では、連携制御装置30が、ステップS91において、所定の決められた時間になると、ACLサーバ24に対して有効となっているアカウントを無効とする無効情報を送信する。ステップS91において、連携制御装置30が、無効情報をACLサーバ24に送信するタイミングとなる“所定の決められた時間”は、当該情報漏洩防止システムが構築される環境などに応じて、様々な想定をすることができるが、例えば、以下に示すような2つを想定することができる。
一つ目の“所定の決められた時間”とは、情報系ネットワーク20の管理者などによって決められた時刻である。例えば、深夜0時に全てのアカウントを無効にするというように決めることで、連携制御装置30は、時刻に応じて自動的にアカウントを無効とする無効情報をACLサーバ24に送信する。
二つ目の“所定の決められた時間”とは、情報系ネットワーク20を使用するユーザがいないと判断された時間である。例えば、警報モードと呼ばれる、当該情報漏洩防止システムが設置された会社などにおいて、退社する際に作動させる防犯システムなどと連動させ、全ての人が退社するので防犯システムを作動させたこと、つまり防犯システムを機能させた時間に応じて、連携制御装置30は、アカウントを無効とする無効情報をACLサーバ24に送信する。
連携制御装置30に、図4で示したようにログサーバ機能を与えた場合には、クライアントPC22がログオフしてから所定の時間経過した後に連携制御装置30からアカウントを無効とする無効情報をACLサーバ24に送信することができる。このとき、連携制御装置30は、ログサーバにクライアントPC22からログオフ情報を受け取ったことに応じて、無効信号を生成してACLサーバ24に送信するまで所定の時間の計測を開始することになる。
第2の実施の形態として図7に示す情報漏洩防止システムでは、連携制御装置30によって、図8に示すタイミングチャートのような第4の連携処理動作を実行する。第4の連携処理動作では、設備系ネットワーク10が退室用カードリーダ16を備えていないことに応じて、ユーザの高度セキュリティレベル領域からの退室時におけるACLサーバ24のアカウントの無効処理を時間に基づいて実行するようにしている。
また、第4の連携処理動作は、図9に示すタイミングチャートのように、ACLサーバ24に 無効化機能を与えることにより、ACLサーバ24自身が、クライアントPC22を介して情報系ネットワーク20からログオフしたユーザのアカウントを無効とすることもできる。
図9に示すタイミングチャートは、ステップS1〜ステップS7、ステップS11〜ステップS16、ステップS21〜ステップS23までの動作は、図8に示したタイミングチャートと全く同じであるため、同一ステップ番号を付して説明を省略する。
ユーザによるクライアントPC22を介してユーザが、情報系ネットワーク20からログオフ、ログオフ情報を受信したことに応じて、ACLサーバ24は、無効化機能が動作して、ログオフしたユーザのアカウントを無効化する(ステップS101)。
ACLサーバ24が無効化機能を備えている場合、上述したように、クライアントPC22からのログオフ情報を受信したことに応じて、アカウントを無効化させるようにしているが、ログオフしたことによらず、所定の時間が経過した後にアカウントを無効化させるようにしてもよい。
例えば、情報漏洩防止システムの運用ルールとして、社員規則、法令などによって最終労働時刻(例えば、PM10時)が決められている場合など、これを遵守するように、最終労働時刻になったらACLサーバ24が無効化機能により自動的にアカウントを無効化する。このとき、最終労働時刻ちょうどでアカウントを無効化させるのではなく、最終労働時刻を過ぎてから30分後にアカウントを無効化させるようにすることもできる。
また、例えば、情報漏洩防止システムが適用されているのがサーバルームなどのように、情報系ネットワーク20へのアクセス可能時間帯(例えば、AM9時〜PM5時まで)が運用ルールで決められているような場合などには、このアクセス可能時間帯以外の時刻では、ACLサーバ24の無効化機能によってアカウントが無効化される。
このように、設備系ネットワーク10において、退室用カードリーダ16を備えず高度セキュリティレベル領域から低度セキュリティレベル領域への退室に認証処理を必要としない場合であっても、連携制御装置30、ACLサーバ24によって設備系ネットワーク10と、情報系ネットワーク20との連携が図られ、高度セキュリティレベル領域からの退室後にアカウントを無効化する。
これにより、高度セキュリティレベル領域から退室したユーザの情報系ネットワーク20におけるアカウントが無効となり、当該ユーザは、情報系ネットワーク20へのアクセス権限を消失したことになるため、ユーザ退室後の情報漏洩を防止することができる。
なお、本発明の第1の実施の形態、第2の実施の形態において、ユーザは、自身が所有するICカードに格納されたカードIDを被認証情報として用い、設備系ネットワーク10の認証処理を行っているが、本発明はこれに限定されるものではなく、設備系ネットワーク10においてユーザが一意に特定されればよいので、例えば、被認証情報として指紋情報、虹彩情報といった生体情報を用い、生体認証処理を実行することで設備系ネットワーク10における認証処理を行ってもよい。
また、クライアントPC22から、情報系ネットワーク20へログオンする際にも、この生体情報を用いた生体認証処理を実行するようにしてもよい。
なお、上述の実施の形態は本発明の一例である。このため、本発明は、上述の実施形態に限定されることはなく、この実施の形態以外であっても、本発明に係る技術的思想を逸脱しない範囲であれば、設計等に応じて種々の変更が可能であることは勿論である。
本発明の第1の実施の形態として示す情報漏洩システムの構成について説明するためのブロック図である。 連携制御装置が備える記憶手段に格納されたテーブルの一例を示した図であり、(a)はリーダIDと、カードIDとを関係付けるテーブル、(b)は、カードIDと、ユーザIDとを関係付けるテーブルである。 第1の連携処理動作について説明するためのタイミングチャートである。 第2の連携処理動作について説明するためのタイミングチャートである。 第3の連携処理動作について説明するためのタイミングチャートである。 上記第3の連携処理動作の別な例について説明するためのタイミングチャートである。 本発明の第2の実施の形態として示す情報漏洩システムの構成について説明するためのブロック図である。 第4の連携処理動作について説明するためのタイミングチャートである。 上記第4の連携処理動作の別な例について説明するためのタイミングチャートである。
符号の説明
10 設備系ネットワーク
12 コントロールユニット
14 ゲートウェイユニット
15 入室用カードリーダ
16 退室用カードリーダ
17 電気錠
20 情報系ネットワーク
22 クライアントPC(Personal Computer)
24 ACL(Access Control List)サーバ
30 連携制御装置

Claims (13)

  1. ユーザを一意に特定する第1の被認証情報に基づいた認証処理結果に応じて、低度セキュリティレベル領域から高度セキュリティレベル領域への入室を管理する設備系ネットワークと、上記高度セキュリティレベル領域に構築され、上記ユーザを一意に特定する第2の被認証情報に基づいた認証処理結果に応じて、上記ユーザの当該情報系ネットワークへのアクセス制限をする情報系ネットワークとを相互に連携させる連携制御装置であって、
    上記設備系ネットワークにおいて、上記低度セキュリティレベル領域から上記高度セキュリティレベル領域への入室時に、上記第1の被認証情報を読み取る入室用読み取り機器の入室用機器ID(IDentification)及び上記第1の被認証情報と、上記第2の被認証情報とを対応づけて格納する記憶手段と、
    上記設備系ネットワークから送信される上記第1の被認証情報及び上記入室用機器IDとから、対応する上記第2の被認証情報を上記記憶手段から取得する情報取得手段と、
    上記低度セキュリティレベル領域から、上記高度セキュリティレベル領域への入室時において、上記情報取得手段によって取得された上記第2の被認証情報を含み、上記情報系ネットワークにおいて管理される上記ユーザの上記情報系ネットワークへのアクセス権限であるアカウントを有効化させる有効情報を、上記アカウントを管理する上記情報系ネットワークに設けられたアカウント管理手段に送信するよう制御する制御手段とを備えること
    を特徴とする連携制御装置。
  2. 上記記憶手段は、上記設備系ネットワークにおいて、上記高度セキュリティレベル領域から上記低度セキュリティレベル領域への退室時に、上記第1の被認証情報を読み取る退室用読み取り機器の退室用機器ID及び上記第1の被認証情報と、上記第2の被認証情報とを対応付けて格納し、
    上記情報取得手段は、上記設備系ネットワークから送信される上記第1の被認証情報及び上記退室用機器IDとから、対応する上記第2の被認証情報を上記記憶手段から取得し、
    上記ユーザの上記高度セキュリティレベル領域から、上記低度セキュリティレベル領域への退室時において、上記制御手段は、上記情報取得手段によって取得された上記第2の被認証情報を含み、上記アカウントを無効化させる無効情報を、上記アカウント管理手段に送信するよう制御すること
    を特徴とする請求項1記載の連携制御装置。
  3. 上記ユーザの上記高度セキュリティレベル領域から、上記低度セキュリティレベル領域への退室時において、
    上記制御手段は、あらかじめ決められた時間となったことに応じて、上記アカウント管理手段が管理する全てのユーザのアカウントを無効化させる無効情報を、上記アカウント管理手段に送信するよう制御すること
    を特徴とする請求項1記載の連携制御装置。
  4. 上記ユーザの上記高度セキュリティレベル領域から、上記低度セキュリティレベル領域への退室時において、
    上記制御手段は、上記情報系ネットワークにおいて、当該情報系ネットワークに接続され、上記ユーザがログオンしている情報端末装置から、ログオフしたことを通知するログオフ情報を受信したことに応じて、上記アカウントを無効化する無効情報を、上記アカウント管理手段に送信するよう制御すること
    を特徴とする請求項1記載の連携制御装置。
  5. 上記制御手段は、上記情報系ネットワークに接続された情報端末装置から、上記情報系ネットワークにログオンしたことを通知するログオン情報を受信したことに応じて、
    上記ログオン情報に含まれる上記第2の被認証情報から、対応する上記第1の被認証情報を上記記憶手段から検索し、検索された上記第1の被認証情報を無効化する無効情報を、上記設備系ネットワークに送信し、上記設備系ネットワークにおける上記第1の被認証処理情報による認証処理を停止するよう制御し、
    上記制御手段は、上記情報系ネットワークに接続された情報端末装置から、上記情報系ネットワークからログオフしたことを通知するログオフ情報を受信したことに応じて、
    上記ログオフ情報に含まれる上記第2の被認証情報から、対応する上記第1の被認証情報を上記記憶手段から検索し、検索された上記第1の被認証情報を有効化する有効情報を、上記設備系ネットワークに送信し、上記設備系ネットワークにおける上記第1の被認証処理情報による認証処理を再び実行するよう制御すること
    を特徴とする請求項2記載の連携制御装置。
  6. 上記制御手段は、上記設備系ネットワークから送信される、上記高度セキュリティレベル領域へ上記ユーザが入室したこととを知らせる入室情報を受信したことに応じて、計時を開始し、計時された時間が、あらかじめ定められた上記高度セキュリティレベル領域での滞在可能時間を超えたことに応じて、
    上記情報系ネットワークに接続され、上記情報系ネットワークにログオンしている情報端末装置に対して、上記滞在可能時間を超過している旨を通知すること
    を特徴とする請求項1記載の連携制御装置。
  7. 上記制御手段は、上記設備系ネットワークを制御するセンタ装置から、あらかじめ定められた上記高度セキュリティレベル領域でのユーザの滞在可能時間を超えたことの通知を受信したことに応じて、
    上記情報系ネットワークに接続され、上記情報系ネットワークにログオンしている情報端末装置に対して、上記滞在時間を超過している旨を通知すること
    を特徴とする請求項1記載の連携制御装置。
  8. 上記制御手段は、上記滞在可能時間を超過している旨を上記情報端末装置へ通知したことに応じて計時を開始し、計時された時間が所定の時間を経過したことと、上記情報端末装置が上記情報系ネットワークへログオン状態であることに応じて、上記第1の被認証情報を無効化する無効情報を上記設備系ネットワークに送信するよう制御すること
    を特徴とする請求項6又は請求項7記載の連携制御装置。
  9. 上記制御手段は、上記滞在可能時間を超過している旨を上記情報端末装置へ通知したことに応じて計時を開始し、計時された時間が所定の時間を経過したことと、上記情報端末装置が上記情報系ネットワークへログオン状態であることに応じて、上記アカウントを無効化させる無効情報を、上記アカウント管理手段に送信するよう制御すること
    を特徴とする請求項6又は請求項7記載の連携制御装置。
  10. 上記滞在可能時間を超過している旨を上記情報端末装置へ通知したことに応じて計時を開始し、計時された時間が所定の時間を経過したことと、上記情報端末装置が上記情報系ネットワークへログオン状態であることに応じて、上記情報端末装置に対して強制終了命令を送信するよう制御すること
    を特徴とする請求項6又は請求項7記載の連携制御装置。
  11. 上記第1の被認証情報は、ユーザが所有するIC(Integrated Circuit)カードが備えるメモリ内に格納されたカードID(IDentification)であること
    を特徴とする請求項1記載の連携制御装置。
  12. 上記第1の被認証情報は、ユーザの生体情報であること
    を特徴とする請求項1記載の連携制御装置。
  13. 上記第2の被認証情報は、上記情報系ネットワークにおいて、ユーザを一意に特定するユーザID(IDentification)であること
    を特徴する請求項1記載の連携制御装置。
JP2005038382A 2005-02-15 2005-02-15 連携制御装置 Expired - Fee Related JP4453570B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005038382A JP4453570B2 (ja) 2005-02-15 2005-02-15 連携制御装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005038382A JP4453570B2 (ja) 2005-02-15 2005-02-15 連携制御装置

Publications (2)

Publication Number Publication Date
JP2006227755A JP2006227755A (ja) 2006-08-31
JP4453570B2 true JP4453570B2 (ja) 2010-04-21

Family

ID=36989112

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005038382A Expired - Fee Related JP4453570B2 (ja) 2005-02-15 2005-02-15 連携制御装置

Country Status (1)

Country Link
JP (1) JP4453570B2 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4894432B2 (ja) * 2006-09-20 2012-03-14 パナソニック電工株式会社 連携制御装置
JP4885683B2 (ja) * 2006-10-24 2012-02-29 三菱電機株式会社 認証装置、認証装置の認証方法および認証装置の認証プログラム
JP4649578B2 (ja) * 2007-05-08 2011-03-09 サイレックス・テクノロジー株式会社 Icカード情報認証システム
JP2010152810A (ja) * 2008-12-26 2010-07-08 Fujitsu Fsas Inc 入退室ログイン認証連携システム,および入退室ログイン認証連携システムの連携装置
JP5308866B2 (ja) * 2009-02-24 2013-10-09 パナソニック株式会社 連携制御システム及び連携制御装置
JP5458676B2 (ja) * 2009-06-03 2014-04-02 株式会社デンソーウェーブ 入退室管理システム
JP5195791B2 (ja) * 2010-03-10 2013-05-15 株式会社デンソーウェーブ 通行管理システム

Also Published As

Publication number Publication date
JP2006227755A (ja) 2006-08-31

Similar Documents

Publication Publication Date Title
US20090216587A1 (en) Mapping of physical and logical coordinates of users with that of the network elements
JP4453570B2 (ja) 連携制御装置
US20140002236A1 (en) Door Lock, System and Method for Remotely Controlled Access
US20140019768A1 (en) System and Method for Shunting Alarms Using Identifying Tokens
US20130214902A1 (en) Systems and methods for networks using token based location
JP2019505058A (ja) 物理空間へのアクセスを制御するためのシステムおよび方法
US9355278B2 (en) Server chassis physical security enforcement
JP2006072446A (ja) 入退室時の利用者認証による電子機器の電源制御システム
US20210390810A1 (en) Biometric enabled access control
JP4320781B2 (ja) 入退室管理システム
JP2002041469A (ja) 電子機器管理システムおよび電子機器管理方法
KR20220165691A (ko) 출입 관리 시스템 및 이를 이용한 출입 관리 방법
KR20230007983A (ko) 출입 관리 시스템 및 이를 이용한 출입 관리 방법
KR20220166239A (ko) 출입 관리 시스템 및 이를 이용한 출입 관리 방법
JP2004355318A (ja) コンピュータ利用管理システム、コンピュータ利用管理方法、視聴覚機器利用管理システムおよび視聴覚機器利用管理方法
KR20230007985A (ko) 출입 관리 시스템 및 이를 이용한 출입 관리 방법
JP2006227756A (ja) 連携制御装置
JP2006268148A (ja) サーバ保守作業監視システム
JP2007102405A (ja) 通行管理装置
JP2006343886A (ja) ネットワーク管理システム
JP2009098780A (ja) 入退室管理システムおよび入退室管理方法
KR20220121744A (ko) 빅데이터 및 인공지능 기반의 IoT 기기조작위험감지 및 이상행위방지 방법 및 이를 수행하는 IoT 모니터링 시스템
WO2022096870A1 (en) Augmented access control system
JP2005232754A (ja) セキュリティ管理システム
KR20080094228A (ko) 스마트카드를 이용한 출입통제시스템 및 그 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20071011

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100112

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100125

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130212

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130212

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140212

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees