WO2014091576A1

WO2014091576A1 - 中継装置および中継方法、並びにプログラム

Info

Publication number: WO2014091576A1
Application number: PCT/JP2012/082159
Authority: WO
Inventors: 亮一寺村; 橋本　淳
Original assignee: 株式会社野村総合研究所
Priority date: 2012-12-12
Filing date: 2012-12-12
Publication date: 2014-06-19
Also published as: US9887986B2; JP6013508B2; US20150326557A1; JPWO2014091576A1; SG11201504468WA

Abstract

　適切なアクセス管理ができる中継装置および中継方法、並びにプログラムを提供する。　作業用端末２０（クライアント端末）からの接続要求に基づいて財務情報システム４１、顧客情報システム４２、在庫管理システム４３のサーバのいずれか（所望のサーバ）にログインするためのユーザＩＤとパスワードを受け付け、受け付けたユーザＩＤとパスワードによるユーザ認証を所望のサーバとのセッション確立の際に行わないで接続を中継する中継装置１０であって、この接続を中継する処理とは異なる処理によりサーバへと接続し、受け付けたユーザＩＤとパスワードの組み合わせの正当性を確認し、ユーザＩＤとパスワードの組み合わせが正しいと確認された場合に所望のサーバとのセッションの確立をする。

Description

中継装置および中継方法、並びにプログラム

　本発明は、中継装置および中継方法、並びにプログラムに関する。

　業務情報システムを構成するサーバへアクセスする場合、一般権限のＩＤだけでなく、高権限のＩＤにてアクセスし、各種データなどの作成・更新・削除・実行などを行う場合がある。このような一般権限を超える権限を持つＩＤは、「特権ＩＤ」と呼ばれ、たとえばUNIXシステムのroot、WindowsシステムのAdministrator、DBシステムのSYS、SYSTEMなどが知られている。この特権ＩＤには、上述したもの以外にも多数存在し、中にはそれらの特権ＩＤが複数の操作者により共有されていたり、プログラムの中で利用されている場合がある。また、通常運用や障害対応の場面で特権ＩＤを利用せざるを得ない場面も多数存在する。そのため、特権ＩＤ利用者を特定し、適切なアクセス管理を行うことは一般権限のＩＤのアクセス管理と比較すると非常に困難である。

　しかしながら、ＩＴ統制の監査などの場面では、特権ＩＤを含めた業務情報システムを構成するサーバへのアクセスに対して、「いつ」、「誰が」、「どんな目的で」利用したのかを管理すべきである、という指摘を受けるケースがある。たとえば、特権ＩＤ利用者の操作に対して、アクセスした利用者の特定ができない、業務情報システムを構成するサーバでの作業に対して、職務分掌ができておらず、誰でも作業が可能、作業のログが取得できていない、作業に対する事後確認ができていないといった指摘がなされることがある。

　このような指摘に対応すべく、たとえば特許文献１に示すように、作業者が特権ＩＤを用いて業務情報システムを構成するサーバに接続する前に中継装置に接続させて、この中継装置によりユーザ認証を行うことで登録されているユーザＩＤと接続先のサーバで使用される特権ＩＤとを紐つけ、特権ＩＤ利用者を特定することで特権ＩＤ管理をする技術が提案されている。

特開２０１２－２０３６２４号公報

　しかしながら、特許文献１に示すような構成であっても、特権ＩＤでのアクセスを厳密に管理する上では、更なる改善の余地がある。以下に業務情報システムを構成するサーバへの従来のアクセス例と、問題が発生するアクセス例について図を参照しながらそれぞれ説明する。

　図５は、業務情報システムを構成するサーバへの従来のアクセス例を説明するための図である。まず、作業用端末１００から接続先サーバ１５０へのアクセスを行おうとする者が、特権ＩＤ管理を行うためのゲートウェイサーバ１２０でのユーザＩＤとパスワード、および接続先サーバ１５０でのユーザＩＤとパスワードとを入力し、ゲートウェイサーバ１２０へのログインを試みる。ゲートウェイサーバ１２０では、ゲートウェイサーバ１２０で管理しているユーザＩＤとパスワードに基づいてユーザ認証を行う。さらに、ゲートウェイサーバ１２０では、これらの組み合わせが正しいことに加えて接続先サーバ１５０へのログイン権限のあるユーザＩＤの組み合わせであることが確認できた場合には、接続先サーバ１５０のユーザＩＤとパスワードを含む接続要求を接続先サーバ１５０へ送信する。接続先サーバ１５０側では、ゲートウェイサーバ１２０から送信されてきたユーザＩＤとパスワードに基づいてユーザ認証を行い、正当なユーザＩＤおよびパスワードの組み合わせであれば自動的にログイン処理が実行される。これにより、ゲートウェイサーバ１２０では特権ＩＤの利用者を特定することができる。続いて、ゲートウェイサーバ１２０側で業務情報システムを構成する接続先サーバ１５０へのアクセス管理ができなくなる例について説明する。

　図６は、図５に示す構成例において、アクセス管理ができなくなる例を説明するための図である。図６に示す例では、業務情報システム１００を構成する接続先サーバ１５０へアクセスを行おうとする者が、ゲートウェイサーバ１２０で入力する情報が図５の場合と異なっている。具体的にはゲートウェイサーバ１２０でのユーザＩＤとパスワード、および接続先サーバ１５０におけるユーザＩＤは同じであるが、そのユーザＩＤのパスワードを故意である否かに係らず、誤ったパスワードを指定した場合である。この場合、接続先サーバ１５０側ではログイン処理が当然失敗するが、接続先サーバ１５０へのアクセス方法によってはログイン失敗後にログイン画面がアクセス要求をした者が使用している端末に表示されてしまう。そのため、表示されているログイン画面にてゲートウェイサーバ１２０で入力したユーザＩＤと異なるユーザＩＤとパスワードを入力することでログインすることが理論上可能となる。また、このような方法でログインされた場合にはゲートウェイサーバ１２０では特権ＩＤのアクセス管理ができなくなる。

　本発明は、上述した課題を鑑みてなされたものであり、適切なアクセス管理ができる中継装置および中継方法、並びにプログラムを提供することを目的とする。

　本発明の一側面は、中継装置に関するものである。すなわち、本発明に係る中継装置は、クライアント端末からの接続要求に基づいて所望のサーバへの接続を中継する中継装置であって、所望のサーバにログインするためのユーザＩＤとパスワードをクライアント端末から受け付ける受付部と、受付部で受け付けたユーザＩＤとパスワードによるユーザ認証を所望のサーバとのセッション確立の際に行わないで所望のサーバへの接続を中継する接続中継部と、接続中継部による接続中継処理とは異なる処理により所望のサーバへと接続し、受付部で受け付けたユーザＩＤとパスワードの組み合わせの正当性を確認する確認部とを有し、上述の接続中継部は、受付部で受け付けたユーザＩＤとパスワードの組み合わせが正しいと確認部で確認された場合に所望のサーバとのセッションの確立をすることを特徴とする。

　また、上述した構成に加えて、確認部は、中継部が所望のサーバとの間の通信で用いるプロトコルとは異なる所定のプロトコル、あるいは所望のサーバが実装している所定のインタフェースに対応するプロトコルを用いて、受付部で受け付けたユーザＩＤとパスワードの組み合わせの正当性を確認することができる。

　また、上述した構成に加えて、所望のサーバが実装している所定のインタフェースは、所望のサーバにて正当な権限が付与されているユーザＩＤおよびパスワードを伴った所定の要求を受け付けると、所定の情報を提供するサービスを有し、確認部は、受付部で受け付けたユーザＩＤとパスワードを含む所定の要求をサービスに対して送信し、サービスからの応答で所定の情報を取得できた場合に、受付部で受け付けたユーザＩＤとパスワードの組み合わせが正しいと判断することができる。

　また、本発明の一側面は、中継方法に関するものである。すなわち、本発明に係る中継方法は、クライアント端末からの接続要求に基づいて接続要求先となるサーバへの接続を中継する中継方法であって、所望のサーバにログインするためのユーザＩＤとパスワードをクライアント端末から受け付ける受付ステップと、受付ステップで受け付けたユーザＩＤとパスワードによるユーザ認証を所望のサーバとのセッション確立の際に行わないで所望のサーバへの接続を中継する接続中継ステップと、接続中継ステップによる接続中継処理とは異なる処理により所望のサーバへと接続し、受付ステップにて受け付けたユーザＩＤとパスワードの組み合わせの正当性を確認する確認ステップと、を有するものであり、上述した接続中継ステップでは、受付ステップで受け付けたユーザＩＤとパスワードの組み合わせが正しいと確認ステップで確認された場合に所望のサーバとのセッションの確立をすることを特徴とする。

　本発明の一側面は、プログラムに関するものである。すなわち、本発明に係るプログラムは、クライアント端末からの接続要求に基づいて所望のサーバへの接続を中継する中継装置としてコンピュータを機能させるためのプログラムであって、上述のコンピュータを所望のサーバにログインするためのユーザＩＤとパスワードをクライアント端末から受け付ける受付手段と、受付手段で受け付けたユーザＩＤとパスワードによるユーザ認証を所望のサーバとのセッション確立の際に行わないで所望のサーバへの接続を中継する接続中継手段と、接続中継手段による接続中継処理とは異なる処理によりサーバへと接続し、受付手段で受け付けたユーザＩＤとパスワードの組み合わせの正当性を確認する確認手段として機能させるためのものであり、上述の接続中継手段は、受付手段で受け付けたユーザＩＤとパスワードの組み合わせが正しいと確認手段で確認された場合に所望のサーバとのセッションの確立をすることを特徴とする。

　本発明によれば、適切なアクセス管理ができる中継装置および中継方法、並びにプログラムを提供することができる。

本発明の一実施形態に係る中継装置を含む業務情報システムの構成例を示すブロック図である。図１に示す中継装置１０の機能構成例を示すブロック図である。ログイン画面の表示例を示す図である。業務情報システムへのリモートログイン処理を示すフローチャートを示す図である。業務情報システムを構成するサーバへの従来のアクセス例を説明するための図である。図５に示す構成例において、アクセス管理ができなくなる例を説明するための図である。図５に示す構成例に、更にパスワード管理サーバを設けた場合のアクセス例を説明するための図である。

［業務情報システムの構成］
　図１は、本発明の一実施形態に係る中継装置を含む業務情報システムの構成例を示すブロック図である。同図に示す業務情報システムは、中継装置１０と作業用端末２０がネットワーク３０を介して接続されているとともに、クライアント環境４０が、中継装置１０を介してネットワーク３０に接続されている。以下において、ネットワーク３０は、インターネットやローカルエリアネットワーク（ＬＡＮ）等の公衆回線を介したリモートアクセスを前提として説明するが、中継装置１０やクライアント環境４０、作業用端末２０は、互いに専用回線にて接続されてもよい。また、本明細書においては、各種の業務情報システムの運用により組織業務を実行する側の企業であって、外部の作業用端末２０からメンテナンス作業というサービスを受けるクライアントという意味で「クライアント企業」や「クライアント環境４０」という用語を使用するものとする。

　図１に示す業務情報システムにおいて、クライアント環境４０は、ある企業Ｘの業務環境を示す。クライアント環境４０の各種業務情報システムは、稼働後も、適宜メンテナンス作業を受ける。このメンテナンス作業は、クライアント環境４０内で行われることもあるが、多くは作業用端末２０からのリモートアクセスにより実行される。このリモートのメンテナンス作業を行うユーザのことを、以下、単に「作業者」とよぶ。作業者は、通常、企業Ｘとメンテナンス作業契約を交わした管理会社のＳＥ（System Engineer）であることが多い。作業者は、作業用端末２０を操作して、ネットワーク３０および中継装置１０を介して、クライアント環境４０の各種業務情報システムにリモートログインする。作業用端末２０と中継装置１０の間の通信経路は、ＶＰＮ（Virtual Private Network）などによりセキュアな通信経路であることが望ましい。

　中継装置１０は、作業用端末２０からクライアント環境４０へのリモートログイン要求を一元的に受け付ける装置であって、ネットワークセキュリティ境界に設置される。中継装置１０は、たとえば、TELNET（Telecommunication network）、SSH（Secure SHell）、FTP（File Transfer Protocol）、HTTP（HyperText Transfer Protocol）、HTTPS（Hypertext Transfer Protocol Security）、RDP（Remote Desktop Protocol）、CIFS（Common Internet File System）などの所定のプロトコルのアクセス制御、およびログ取得による監査を行うことができるように構成されている。なお、以下の説明では、中継装置１０は、クライアント環境４０内に設置されている各種業務情報システムを構成するサーバとのセッション確立の際に作業用端末２０から受け付けたユーザＩＤとパスワードによるユーザ認証を行わないでサーバへの接続を中継する方式のプロトコルの一例であるRDPを用いることを前提として説明する。

　中継装置１０は、以下の３段階の判定が共に肯定判定となったことを条件として、作業用端末２０からクライアント環境４０内に設置されている接続要求先のサーバとのセッションの確立を行い、その後に接続要求先のサーバへリモートログインが可能な状態にする。
　１．中継装置１０におけるユーザＩＤおよびパスワードの組み合わせが適切であるか否か（以下、「第１のユーザ認証」という。）
　２．作業者がメンテナンス作業を実行することが事前申請されており、その申請が正しく処理されているか否か（以下、「申請判定」という。）
　３．接続要求先のサーバにおけるユーザＩＤおよびパスワードの組み合わせが適切であるか否か（以下、「第２のユーザ認証」という。）
　すなわち、接続要求先のサーバとのセッションの確立がなされるための条件としては、上記の第１のユーザ認証および第２のユーザ認証に成功し、かつ、申請判定において作業申請済みであることである。

　作業用端末２０は、作業者によって、中継装置１０にリモートログインするためのユーザＩＤとパスワード、クライアント環境４０に構築されている各種業務システムのサーバへリモートログインするためのユーザＩＤとパスワードのそれぞれが入力されると、これらの情報をリモートログイン要求として、ネットワーク３０を介して中継装置１０へ送信する。

　クライアント環境４０は、たとえば、財務情報システム４１、顧客情報システム４２、在庫管理システム４３という３種類の業務情報システムと、１以上の承認用端末４４を含む。財務情報システム４１は、企業Ｘの財務情報を管理するシステムである。顧客情報システム４２は、企業Ｘの顧客情報を管理するシステムである。在庫管理システム４３は、企業Ｘの商品の在庫状態を管理するシステムである。承認用端末４４は、ウェブブラウザを搭載した一般的なＰＣ端末であり、作業者からメンテナンス作業を実行することが事前申請されている場合に、その申請を承認するために用いられる端末である。なお、承認用端末４４は、必ずしもクライアント環境４０に属する必要はなく、ノートＰＣなどの携帯端末であってもよい。

［中継装置１０の機能構成］
　図２は、図１に示す中継装置１０の機能構成例を示すブロック図である。図２に示す各ブロックは、ハードウェア的には、ＣＰＵなどの演算処理装置、ＲＡＭ，ＲＯＭ、ＨＤＤなどの各記憶装置などを構成することで実現でき、ソフトウェア的にはコンピュータプログラム等によって実現されるが、ここでは、それらの連携によって実現される機能ブロックを示している。したがって、これらの機能ブロックはハードウェア、ソフトウェアの組合せによって様々なかたちで実現することができる。

　図２に示すように、中継装置１０は、アクセス管理部１１、第１ユーザ認証部１２、申請管理部１３、第２ユーザ認証部１４およびログ管理部１５を含む。なお、中継装置１０は、アクセス管理部１１、第１ユーザ認証部１２、申請管理部１３、第２ユーザ認証部１４およびログ管理部１５の各機能を一体として備える単一の装置として説明するが、各機能を別々の装置で構築されるようにしてもよい。

　アクセス管理部１１は、作業用端末２０よりネットワーク３０を介して業務情報システムの特定のサーバに対しての接続要求があると、その特定のサーバに対するアクセスを許可するか否かを判定する。具体的には、アクセス管理部１１は、作業用端末２０のＩＰアドレスやホスト名などを不図示の接続許可データベースを参照して接続許可対象の端末であるか否かを確認し、接続許可対象外であった場合には、直ちに切断する。一方、接続許可対象であった場合には、アクセス管理部１１は、作業用端末２０に対して、中継装置１０で管理しているユーザＩＤとパスワードを要求して、これを受け付ける。また、特定のサーバでのユーザＩＤとパスワードを要求して、これを受け付ける。そして、これらの要求に応じて作業用端末２０から送信されてきた情報を、第１ユーザ認証部１２、申請管理部１３、および第２ユーザ認証部１４に対してそれぞれ供給し、各部からの応答内容に基づいてアクセス許可を判定する。なお、アクセス管理部１１は、第１ユーザ認証部１２、申請管理部１３、および第２ユーザ認証部１４からの応答から、特定のサーバに対するアクセスを許可すると判定した場合には、特定のサーバとの間でセッションを確立する。すなわち第１ユーザ認証部１２、申請管理部１３、および第２ユーザ認証部１４の全ての判定が肯定となった場合、作業者は、メンテナンス作業の対象となる業務情報システムにアクセス可能となる。なお、アクセス管理部１１は、セッション確立後は、作業用端末２０と特定のサーバとの間の通信を代理するプロキシサーバとしての役割を果たすと共に、その通信ログを記録する。

　第１ユーザ認証部１２は、アクセス管理部１１から供給された中継装置１０でのユーザＩＤとパスワードとして入力された情報に基づいて第１のユーザ認証を実行する。第１ユーザ認証部１２は、中継装置１０でのユーザＩＤとパスワードを管理する不図示の第１ユーザ認証データベースを有しており、このデータベースを参照して正当なユーザであるか否かの認証を行う。第１ユーザ認証部１２は、第１のユーザ認証の実行結果をアクセス管理部１１に返す。

　申請管理部１３は、アクセス管理部１１から受け取った中継装置１０でのユーザＩＤとして入力された情報に基づいて申請判定を実行する。なお、作業者は、特定のサーバへのリモートログインに先立って、どのような作業をいつ実行する予定であるかをあらかじめ申請していなければならない。申請管理部１３は、各サーバでの作業予定情報を一元的に管理している不図示の申請管理データベースを有しており、その作業者を示すユーザＩＤでなんらかのメンテナンス作業を事前に申請されているか否かについて、この申請管理データベースを参照して確認する。申請管理部１３は、申請判定結果をアクセス管理部１１に返す。

　第２ユーザ認証部１４は、アクセス管理部１１から供給された接続要求先のサーバでのユーザＩＤとパスワードとして入力された情報に基づいて、接続要求先でのユーザＩＤとパスワードが正しいか否かの確認処理を実行する（第２のユーザ認証）。第２ユーザ認証部１４は、アクセス管理部１１からユーザＩＤとパスワード、および接続要求先を示す情報（ＩＰアドレスやホスト名など）を受け取ると、接続要求先でのユーザＩＤとパスワードの組み合わせが正しいか否かを確認し、その結果をアクセス管理部１１に返す。なお、第２のユーザ認証の詳細については後述する。

　ログ管理部１５は、アクセス管理部１１で行われるアクセスの内容を取得し、管理する。たとえば、アクセス日時やＩＰアドレスといった「サマリーログ」や作業用端末２０と接続先のサーバとの間で送受信されたデータの「全文ログ」が取得され、管理される。また、ログ管理部１５は、申請管理部１３で管理される作業申請内容とログ管理部１５で管理されるアクセスログを紐付けて管理しており、アクセスチェックを容易に行うことができる。ここでいうアクセスチェックとは、アクセスログを捜査し、申請された通りのアクセスを行っているか否かのログ監査を行うことである。

[ログイン画面例]
　図３は、ログイン画面の表示例を示す図である。図３に示すログイン画面５０は、作業用端末２０からアクセス管理部１１にリモートログイン要求するときに、作業用端末２０に表示される。アクセス管理部１１は、リモートログイン要求を受け付けると、ログインウィンドウ５１を作業用端末２０のログイン画面５０内に表示させる。すなわち、アクセス管理部１１が、作業用端末２０のユーザインタフェース画面を提供することになる。作業用端末２０のユーザは、ログイン画面５０内に表示されたログインウィンドウ５１上でユーザＩＤやパスワードを入力する。また、接続先を指定するためのログイン先選択メニューウィンドウ５２から接続先を指定する。なお、図３に示す画面では、中継装置１０を示す「ＡＧＷ」が指定されている。ユーザからみたユーザインタフェースは従来のターミナルサーバが提供するものと同じであるが、入力されたユーザ識別情報は第１ユーザ認証部１２、申請管理部１３、および第２ユーザ認証部１４に供給され、それぞれユーザ認証、申請判定、第２のユーザ認証が行われる。

［リモートログイン処理について］
　次に、業務情報システムを構成するサーバへのリモートログイン処理について説明する。図４は、業務情報システムを構成するサーバへのリモートログイン処理を示すフローチャートを示す図である。中継装置１０は作業用端末２０からアクセス要求を受信すると以下の処理を開始する（ＳＴＡＲＴ）

　ステップＳ１：中継装置１０のアクセス管理部１１は、アクセスしてきた作業用端末２０のＩＰアドレスやホスト名などを確認し、接続を許可するか否かを判断する。具体的には、アクセス管理部１１は、作業用端末２０のＩＰアドレスやホスト名などを不図示の接続許可データベースを参照して接続許可対象の端末であるか否かを確認する。なお、この判定では、ＩＰアドレスかホスト名のいずれかに基づいて判定しもよいし、またはその両方の組み合わせが正しいか否かに基づいて判定してもよい。

　ステップＳ２：アクセス管理部１１は、ステップＳ１で作業用端末２０からの接続を許可しないと判定した場合（ステップＳ１でＮＯ）にはただちに接続を切断する。なお、ステップＳ２において、ただちに接続を切断せずに、接続できない端末である旨のメッセージを作業用端末２０のディスプレイ上に表示させるようにしてもよい。

　ステップＳ３：一方、アクセス管理部１１は、ステップＳ２で作業用端末２０からの接続を許可すると判定した場合（ステップＳ２でＹＥＳ）には、作業用端末２０に対し、通信プロトコルに適した形でユーザ識別情報（ユーザＩＤおよびパスワード）を要求する。具体的には本実施例での通信プロトコルはRDPであるため、作業用端末２０のディスプレイにログイン画面５０（図３）を表示させて、作業者から中継装置１０におけるユーザＩＤとパスワードの入力を受け付ける。そして、作業用端末２０は、ログイン画面５０を介して入力された中継装置１０におけるユーザＩＤとパスワードとして入力された情報をアクセス管理部１１に送信する。

　ステップＳ４：アクセス管理部１１は、作業用端末２０から中継装置１０におけるユーザ識別情報として入力された情報を受信する。アクセス管理部１１は、ステップＳ４で受信した情報を第１ユーザ認証部１１および申請管理部１３に供給することにより、第１のユーザ認証および申請判定を実行させる。

　ステップＳ５：第１ユーザ認証部１２は、中継装置１０自体に接続する権限のあるユーザＩＤとパスワードの組み合わせを保持している不図示のデータベースを参照して、アクセス管理部１１から供給された情報に基づいて作業者が接続する権限のあるユーザであるか否かの判定を行う（すなわち第１のユーザ認証を行う）。また、申請管理部１３は、各サーバでの作業予定情報を一元的に管理している不図示の申請管理データベースを参照して、供給されたユーザＩＤでなんらかのメンテナンス作業を事前に申請されているか否かについて判定を行う（すなわち、申請判定を行う）。これらの判定結果はアクセス管理部１１に返される。

　ステップＳ６：アクセス管理部１１は、ステップＳ５の第１のユーザ認証および申請判定が成功したか否かを判断する。具体的には、アクセス管理部１１は、ステップＳ５の実行結果が、作業者は接続する権限のあるユーザであり、事前になんらかのメンテナンス作業が事前に申請されているという肯定的な結果であるか否かを判断する。

　ステップＳ７：アクセス管理部１１は、ステップＳ５の実行結果に、作業者は接続する権限のあるユーザではない、または事前になんらかのメンテナンス作業が事前に申請されていないという否定的な結果が含まれる場合（ステップＳ６でＮＯ）、認証エラーメッセージを作業用端末２０のディスプレイに表示させる。

　ステップＳ８：一方、アクセス管理部１１は、ステップＳ５の実行結果が、作業者は接続する権限のあるユーザであり、かつ事前になんらかのメンテナンス作業が事前に申請されているという肯定的な結果である場合（ステップＳ６でＹＥＳ）、作業用端末２０に接続要求先となるサーバ名および接続要求先のサーバでのユーザ識別情報（ユーザＩＤおよびパスワード）の入力を更に要求する。なお、このときに作業用端末２０に表示されるログイン画面は、図３で示したログイン画面５０と同様のものを表示させてもよいし、別のものを表示させてもよい。作業用端末２０は、ステップＳ８の要求に基づいて接続要求先のサーバ名および接続要求先のサーバでのユーザＩＤおよびパスワードの入力を作業者から受け付けると共に、これらの入力情報をアクセス管理部１１に送信する。

　ステップＳ９：アクセス管理部１１は、ステップＳ８の応答として作業用端末２０にて入力された情報を受信する。アクセス管理部１１は、ステップＳ９で受信した情報を第２ユーザ認証部１４に供給する。

　ステップＳ１０：第２ユーザ認証部１４は、アクセス管理部１１から供給された情報（すなわち接続要求先を示す情報、接続要求先のサーバでのユーザＩＤおよびパスワードとして入力された情報）に基づいて、接続要求先となるサーバに対して所定のコマンド要求を発行して、第２のユーザ認証を実行する。ここでいう所定のコマンド要求は、たとえば、接続要求先となるサーバがWindows Management Instrumentation（ＷＭＩ）インタフェースを備えているものである場合に、このＷＭＩインタフェースが提供しているサービスに対してサーバの各種情報を通知するように要求を発行する。また、ここでいう各種情報とはたとえば、サーバ上で実行されているサービス名，ステータスなどのサービス情報、プロセス名，使用メモリ容量などのプロセス情報、ディスク容量，ディスクの空き容量などのディスク情報、CPU使用率などのCPU情報、プロダクト名，プロダクトタイプなどのOS情報、イベント内容などイベントログ情報、物理メモリ容量などのメモリ情報などである。そして、この要求を行う際のユーザＩＤとパスワードをアクセス管理部１１から受け取った情報（つまり、接続要求先のサーバでのユーザＩＤとパスワードとして入力された情報）を用いて実行する。そして、第２ユーザ認証部１４は、その実行結果をアクセス管理部１１に返す。

　ステップＳ１１：アクセス管理部１１は、ステップＳ１０の実行結果に基づいて第２のユーザ認証が成功したか否かを判断する。すなわち、アクセス管理部１１は、要求した情報が正常にサーバから送信されてきた場合には、接続要求先のサーバでのユーザＩＤとパスワードの正当性が確認できたため、第２のユーザ認証は成功したと判断することができる。一方、アクセス管理部１１は、サーバから要求された情報が送信されてこない（エラーメッセージなど）場合には、接続要求先のサーバでのユーザＩＤとパスワードの正当性が確認できないため、第２のユーザ認証は失敗したと判断する。

　ステップＳ１２：アクセス管理部１１は、ステップＳ１１で第２のユーザ認証が失敗したと判断した場合（ステップＳ１１でＮＯ）、認証エラーメッセージを作業用端末２０のディスプレイに表示させると共に、接続要求先のサーバとのセッションの確立を許可しない。

　ステップＳ１３：一方、アクセス管理部１１は、ステップＳ１１で第２のユーザ認証が成功したと判断した場合(ステップＳ１１でＹＥＳ)、接続要求先のサーバとのセッションの確立をする。これにより以後のリモートログイン処理が継続される。

　以上で説明した処理により、アクセス管理部１１は、第１ユーザ認証部１２、申請管理部１３、および第２ユーザ認証部１４の全ての判定が肯定となった場合のみ、接続要求先のサーバとのセッションの確立がなされる。これにより、作業者は、メンテナンス作業の対象となる業務情報システムへのリモートアクセスが可能となる。

［発明の実施の形態における効果］
　以上のように、中継装置１０のアクセス管理部１１は、作業用端末２０（クライアント端末）からの接続要求に基づいて業務情報システムの財務情報システム４１、顧客情報システム４２、在庫管理システム４３を構成するサーバのいずれか（所望のサーバ）にログインするためのユーザＩＤとパスワードを作業用端末２０から受け付け、サーバとのセッション確立の際に受け付けたユーザＩＤとパスワードによるユーザ認証を行わないでサーバへの接続を中継するものであり、この接続を中継する処理とは異なる処理により第２ユーザ認証部１４によってサーバへと接続し、上述のユーザＩＤとパスワードの組み合わせの正当性を確認し、このユーザＩＤとパスワードの組み合わせが正しいと第２ユーザ認証部１４により確認された場合にサーバとのセッションの確立をするようにしている。これにより、図６で説明したようなログイン方法はできなくなり、特権ＩＤの適切なアクセス管理を実現することができる。具体的には、中継装置１０での第２のユーザ認証時に接続要求先となるサーバでのパスワードが間違えていると、中継装置１０と接続要求先のサーバとの間でのセッションが確立されることがない。つまり、図６で説明したようなログイン方法の場合には、作業用端末２０のディスプレイに接続要求先のサーバにログインするためのログイン画面が表示されることがない。

　また、中継装置１０のアクセス管理部１１は、サーバが実装しているＷＭＩインタフェース（所定のインタフェース）を用いて、受け付けたユーザＩＤとパスワードの組み合わせの正当性を確認するようにしている。これにより、中継装置１０によるリモートログイン処理（接続中継処理）とは異なる接続処理によってユーザＩＤとパスワードの正当性を事前に確認することができる。そのため、実際に接続要求先のサーバへログインする必要がない。また、この異なる接続処理は、接続要求先のサーバでのログイン履歴情報に記録されることもない。また、接続要求先のサーバで管理されているユーザＩＤのパスワード情報を中継装置１０が保持していなくてもよい。

　なお、本発明の課題に対する別の解決策として、図７に示すような構成も考えられる。図７に示す構成では、図５に示す構成に加えて、接続先サーバ１５０のパスワードを管理するパスワード管理サーバ１３０がゲートウェイサーバ１２０とは別に構築されている。そして、ゲートウェイサーバ１２０は、作業用端末２０からゲートウェイサーバ１２０におけるユーザＩＤとパスワード（ＰＷ）および接続先サーバ１５０でのユーザＩＤとパスワードの入力があると、パスワード管理サーバ１３０に対して接続先サーバ１５０でのユーザＩＤに対応したパスワードを問い合わせ、作業用端末２０から送信されてきたパスワードの正当性を確かめる。そして、作業用端末２０から送信されてきたパスワードの正当性が確認できた場合に、接続先サーバ１５０へ自動的にログインさせる。しかしながら、このような構成では、パスワード管理サーバ１３０をゲートウェイサーバ１２０とは別に構築しなければならない点、パスワード管理の運用が負担となる点、パスワード管理サーバ１３０を構築するためのコストが新たに発生してしまう点などのデメリットが考えられる。一方、上述した中継装置１０を構成する場合には、パスワード管理サーバ１３０を構築する必要がないため、これらのデメリットは発生しない。

　また、接続要求先のサーバが実装しているＷＭＩインタフェースは、サーバにて正当な権限が付与されているユーザＩＤおよびパスワードを伴った所定の要求を受け付けると、所定の情報を提供するサービスを有しており、アクセス管理部１１は、受け付けたユーザＩＤとパスワードを含む所定の要求をこのサービスに対して送信し、サービスからの応答で所定の情報を取得できた場合に、受け付けたユーザＩＤとパスワードの組み合わせが正しいと判断するようにしている。これにより、接続要求先のサーバが実装しているＷＭＩインタフェースが提供しているサービスの応答が正常に返ってきた場合には、そのサービスが実行される前提としてのアクセス権があることを意味するため、受け付けたユーザＩＤとパスワードの正当性を簡単に確認することができる。また、接続要求先のサーバが実装している上述したＷＭＩインタフェースに対応するプロトコルを利用して確認しているため、接続要求先のサーバ側での大幅な設定変更等をする必要がない。

　上述した一連の処理は、ハードウェアにより実行することもできるし、ソフトウェアにより実行することもできる。一連の処理をソフトウェアにより実行する場合には、そのソフトウェアを構成するプログラムが、専用のハードウェアに組み込まれているコンピュータ、または、各種のプログラムをインストールすることで、各種の機能を実行することが可能な、たとえば汎用のパーソナルコンピュータなどに、プログラム記録媒体からインストールされる。すなわち、中継装置１０により実行される中継方法、中継装置１０にインストールされているプログラムについても、中継装置１０と同様の効果を奏するものである。

（変形例）
　この発明は、上記実施の形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で種々の発明を形成できる。たとえば、図４のステップＳ１０で例示した接続要求先のサーバでのユーザＩＤとパスワードの正当性を確認する方法は上述した例に限られない。たとえば、接続要求先のサーバがWindowsシステムで構築されており、かつCommon Internet File System（ＣＩＦＳ）プロトコルによりファイル共有サービスが実行されている場合に、特定のファイルの属性の読み出しを実行するコマンドを、接続要求先のサーバでのユーザＩＤとパスワードを指定して発行するようにしてもよい。このようにして発行したコマンドの応答にて、特定のファイルの属性情報を取得できた場合に、接続要求先でのユーザＩＤとパスワードの正当性が確認できたと判断することも可能である。

　すなわち、接続要求先のサーバと中継装置１０とのセッション確立後にユーザ認証が実行される方式のプロトコル（以下、プロトコルＡという）と同じユーザＩＤ及び認証手法を共用している他のプロトコル（以下、プロトコルＢという）が存在する場合、プロトコルＢを利用してユーザの存在とパスワードの正当性を確認した後に、プロトコルＡの接続を実行することで、中継装置１０側でもプロトコルＡの認証が成立することを保証することができる。

　また、図４で説明したリモートログイン処理において、申請判定については、作業用端末２０から供給されたユーザＩＤでなんらかのメンテナンス作業が事前に申請されているか否かについて判定したが、作業者の接続要求先のサーバ名まで要求すると共に、接続要求先のサーバ名が事前にメンテナンス作業が申請されているサーバ名と一致しているか否かを申請判定に加えてもよい。また、第１のユーザ認証、第２のユーザ認証は、作業端末２０へとそれぞれの認証を実行するための情報をそれぞれ別々に要求したが、中継装置１０におけるユーザＩＤとパスワード、接続要求先となるサーバでのユーザＩＤとパスワードについてまとめて要求するようにしてもよい。

　また、たとえば、上述した実施の形態および変形例の構成要素を更に変形して具体化したり、上記実施の形態および変形例に開示されている複数の構成要素を適宜組み合わせたりすることにより種々の発明を形成できる。たとえば、実施の形態および変形例に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施の形態に亘る構成要素を適宜組み合わせても良い。

１０…中継装置
１１…アクセス管理部（受付部、接続中継部の一例）
１２…第１ユーザ認証部
１３…申請管理部
１４…第２ユーザ認証部（確認部の一例）
１５…ログ管理部
２０…作業用端末（クライアント端末の一例）
３０…ネットワーク
４０…クライアント環境
４１…財務情報システム（所望のサーバの一例）
４２…顧客情報システム（所望のサーバの一例）
４３…在庫管理システム（所望のサーバの一例）
４４…承認用端末
５０…ログイン画面
５１…ログインウィンドウ
５２…ログイン先選択メニューウィンドウ

Claims

　クライアント端末からの接続要求に基づいて所望のサーバへの接続を中継する中継装置であって、
　前記所望のサーバにログインするためのユーザＩＤとパスワードを前記クライアント端末から受け付ける受付部と、
　前記受付部で受け付けたユーザＩＤとパスワードによるユーザ認証を前記所望のサーバとのセッション確立の際に行わないで前記所望のサーバへの接続を中継する接続中継部と、
　前記接続中継部による接続中継処理とは異なる処理により前記所望のサーバへと接続し、前記受付部で受け付けたユーザＩＤとパスワードの組み合わせの正当性を確認する確認部とを有し、
　前記接続中継部は、
　前記受付部で受け付けたユーザＩＤとパスワードの組み合わせが正しいと前記確認部で確認された場合に前記所望のサーバとのセッションの確立をする、
ことを特徴とする中継装置。
　請求項１に記載の中継装置であって、
　前記確認部は、
　前記接続中継部が前記所望のサーバとの間の通信で用いるプロトコルとは異なる所定のプロトコル、あるいは前記所望のサーバが実装している所定のインタフェースに対応するプロトコルを用いて、前記受付部で受け付けたユーザＩＤとパスワードの組み合わせの正当性を確認することを特徴とする中継装置。
　請求項２に記載の中継装置であって、
　前記所望のサーバが実装している所定のインタフェースは、前記所望のサーバにて正当な権限が付与されているユーザＩＤおよびパスワードを伴った所定の要求を受け付けると、所定の情報を提供するサービスを有し、
　前記確認部は、
　前記受付部で受け付けたユーザＩＤとパスワードを含む所定の要求を前記サービスに対して送信し、前記サービスからの応答で前記所定の情報を取得できた場合に、前記受付部で受け付けたユーザＩＤとパスワードの組み合わせが正しいと判断する、
ことを特徴とする中継装置。
　クライアント端末からの接続要求に基づいて接続要求先となるサーバへの接続を中継する中継方法であって、
　前記所望のサーバにログインするためのユーザＩＤとパスワードを前記クライアント端末から受け付ける受付ステップと、
　前記受付ステップで受け付けたユーザＩＤとパスワードによるユーザ認証を前記所望のサーバとのセッション確立の際に行わないで前記所望のサーバへの接続を中継する接続中継ステップと、
　前記接続中継ステップによる接続中継処理とは異なる処理により前記所望のサーバへと接続し、前記受付ステップにて受け付けたユーザＩＤとパスワードの組み合わせの正当性を確認する確認ステップと、を有し、
　前記接続中継ステップでは、
　前記受付ステップで受け付けたユーザＩＤとパスワードの組み合わせが正しいと前記確認ステップで確認された場合に前記所望のサーバとのセッションの確立をする、
ことを特徴とする中継方法。
　クライアント端末からの接続要求に基づいて所望のサーバへの接続を中継する中継装置としてコンピュータを機能させるためのプログラムであって、
　前記コンピュータを
　前記所望のサーバにログインするためのユーザＩＤとパスワードを前記クライアント端末から受け付ける受付手段と、
　前記受付手段で受け付けたユーザＩＤとパスワードによるユーザ認証を前記所望のサーバとのセッション確立の際に行わないで前記所望のサーバへの接続を中継する接続中継手段と、
　前記接続中継手段による接続中継処理とは異なる処理により前記サーバへと接続し、前記受付手段で受け付けたユーザＩＤとパスワードの組み合わせの正当性を確認する確認手段、として機能させるためのものであり、
　前記接続中継手段は、
　前記受付部で受け付けたユーザＩＤとパスワードの組み合わせが正しいと前記確認部で確認された場合に前記所望のサーバとのセッションの確立をする、
ことを特徴とするプログラム。