業務信息防護裝置的製作方法

2023-06-03 04:09:26

本申請是申請號為201110081078.7、申請日為2011.03.25、發明名稱為「業務信息防護裝置」的分案申請。

本發明涉及業務信息防護裝置，特別是涉及能夠提高業務信息系統的信息安全性的業務信息防護裝置。

背景技術：

支持企業或公共設施等運行的業務信息系統、所謂的企業系統(enterprisesystem)現在已經成為各種大小組織的基礎。業務信息系統通過對從終端節點(node)或資料庫獲得的數據進行合計、積累、解析、加工，並在此基礎上輸出附加值更高的信息，由此支持複雜的組織管理。

這樣的業務信息系統在運轉後也要進行操作監控、故障應對、功能擴充或功能變更等各種維修作業。通常，引進業務信息系統的客戶企業將該維修作業委託給外部管理公司。多數情況下是管理公司的se(systemengineer，系統工程師)遠程登錄業務信息系統，進行維修作業。

近年來，美國通過的sox(sarbanes‐oxley，薩班斯)法案強烈要求企業經營者或帳目監察人員保證公開信息的合法性。日本也打算效仿該法而引入日本版sox法，所以，可應對日本版sox法的姿態的確立成為當務之急。

鑑於這樣的社會背景，專利文獻1提出了下述技術，即涉及除了根據id和密碼進行用戶認證以外還以管理者的授權訪問為條件的訪問規則(accessrule)的技術。

【現有技術文獻】

【專利文獻】

【專利文獻1】日本特開2004－213475號公報

技術實現要素：

專利文獻1中記載的訪問規則在防止非法訪問業務信息系統方面是有效的方法，但要求管理者立即應對作業申請，所以負擔大。即，確立容易防止信息洩露的訪問規則固然重要，但是存在為抑制人為誤差的發生而必須考慮用戶負擔的問題。

另外，企業所引進的業務信息系統不限於單一系統。例如，某一企業也許分別引進財務系統和顧客系統，或者也許這些系統被合併到更上位的系統。在這類運轉多個業務系統的企業中，也需要能夠提高各業務信息系統的信息安全性、並且容易管理它們的訪問規則的架構。

本發明的目的是提供一種能夠提高業務信息系統中的信息安全性的業務信息防護裝置。

本發明的一個側面的特徵在於，具有：合法用戶信息保持裝置，其保持登記有可執行系統的規定處理的合法用戶的合法用戶信息；申請接收裝置，其接收用於申請指定訪問預定者和執行所述規定處理的申請信息；預定保持裝置，其保持使所申請的所述規定處理和其訪問預定者對應的預定信息；執行請求接收裝置，在執行所述規定處理時，從終端接收確定訪問者的用戶識別信息；用戶認證裝置，其參照所述合法用戶信息，判定所述訪問者是否被登記為合法用戶；申請狀態判定裝置，參照所述預定信息，判定所述訪問者為訪問預定者的規定處理是否進行過申請；訪問控制裝置，以所述用戶認證裝置的判定和所述申請狀態判定裝置的判定都為肯定判定作為條件，允許從所述終端至所述系統的訪問以進行規定處理；日誌記錄裝置，將從所述終端至所述系統的訪問歷史記錄為日誌信息；驗證裝置，將所述日誌信息所示的訪問和為進行所述預定信息中所申請的規定處理的訪問進行對比，檢測出所述日誌信息所示的訪問中的、與為進行所述預定信息所申請的規定處理的訪問不符合的訪問，作為非法訪問。

還具有：申請通知裝置，其向規定處理申請的授權者通知所申請的處理內容；授權獲得裝置，其受理來自所述授權者的授權輸入，所述預定保持裝置還使所申請的規定處理和其授權狀態相對應地保持為所述預定信息，所述申請狀態判定裝置還能夠判定被申請的規定處理是否已經授權。

所述申請狀態判定裝置還能夠規定處理的執行日期和時間是否在所申請的期間內。

還可以具有：執行條件保持裝置，保持定義規定處理的執行條件的執行條件信息；申請登記判定裝置，以被申請的處理內容與所述執行條件信息相符為條件，將被申請的規定處理登記在所述預定信息中。

所述合法用戶信息保持裝置還保持表示可獲得與通常的用戶權限不同的特別權限的用戶的升級用戶信息，所述申請狀態判定裝置在指定特別權限作為對於被申請的規定處理的執行條件時，還對訪問者是否是可獲得特別權限的用戶進行判定。

利用本發明能夠提供一種能夠提高業務信息系統的信息安全性的業務信息防護裝置。

附圖說明

圖1是表示本實施方式的業務信息系統的結構例的框圖。

圖2是表示業務信息防護裝置的功能結構例的框圖。

圖3是表示執行條件保持部中的執行條件信息的數據結構例的圖。

圖4是表示日誌保持部所保持的訪問日誌的記錄內容例的圖。

圖5是表示登錄畫面的顯示例的圖。

圖6是表示訪問申請畫面的顯示例的圖。

圖7是表示訪問授權畫面的顯示例的圖。

圖8是表示訪問申請、授權級別設定畫面的顯示例的圖。

圖9是表示訪問日誌檢索畫面的顯示例的圖。

圖10是表示檢索結果畫面的顯示例的圖。

圖11是對訪問檢查處理進行說明的流程圖。

符號的說明

10業務信息防護裝置

11中繼裝置

12登錄接口處理部

12用戶認證裝置

13申請管理裝置

20作業終端

40客戶環境

41財務信息系統

42顧客信息系統

43庫存管理系統

44授權終端

121用戶認證部

122合法用戶信息保持部

131申請狀態管理部

131a作業申請部

131b登記判定部

131c申請通知部

131d作業授權部

132申請狀態判定部

133訪問接口處理部

135執行條件保持部

136作業預定保持部

138升級處理部

151日誌管理部

152日誌保持部

151a日誌記錄部

151b作業驗證部

具體實施方式

[業務信息系統的結構]

圖1是表示本實施方式的業務信息系統的結構例的圖。該圖所示業務信息系統中，業務信息防護裝置10和作業終端20通過網絡30連接，同時，客戶環境40通過業務信息防護裝置10與網絡30連接。另外，日誌管理裝置15也與業務信息防護裝置10連接。

在圖1所示的業務信息系統中，客戶環境40表示某企業a的業務環境。客戶環境40的各種業務系統在運轉後也接受適當的維修作業。有時在客戶環境40內進行該維修作業，但通常通過來自作業終端20的遠程訪問來執行該維修作業。以下將進行該遠程維修作業的用戶簡稱為「作業者」。作業者通常多數為與企業a籤訂了維修作業合同的管理公司的se(systemsengineer)。作業者操作作業終端20，並通過網絡30及業務信息防護裝置10遠程登錄客戶環境40的各種業務信息系統。作業終端20和業務信息防護裝置10之間的通信路徑優選為利用vpn(virtualprivatenetwork，虛擬專用網)等的安全的通信路徑。

下面就網絡30藉助網際網路或區域網(lan)等公用線路的遠程訪問為前提進行說明，但業務信息防護裝置10和客戶環境40、作業終端20可以利用專用線路相互連接。

另外，本說明書中對於通過運行各種業務信息系統來執行組織業務的企業使用「客戶企業」或「客戶環境40」的用語，其意思為從外部的作業終端20接受維修作業服務的客戶。

業務信息防護裝置10是集中接收從作業終端20發送至客戶環境40的遠程登錄請求的裝置，被設置在網絡安全接口。業務信息防護裝置10進行telnet(telecommunicationnetwork，電信網)、ssh(secureshell，安全外殼)、ftp(filetransferprotocol，文件傳輸協議)、http(hypertexttransferprotocol，超文本傳輸協議)、https(hypertexttransferprotocolsecurity，超文本傳輸協議的安全版)、windowsrdp(remotedesktopprotocol，遠程桌面協議)、cifs(commoninternetfilesystem，通用網際網路文件系統)等通信協議的訪問控制及獲取日誌的檢查(後面進行詳細描述)。

業務信息防護裝置10以下面二個階段的判定都為肯定判定作為條件，允許來自作業終端20的遠程登錄。

1.作業者是否是預先被登記的用戶(以下稱為「用戶認證」)

2.作業者是否事先已經(正確地)申請過執行維修作業(以下稱為「申請判定」)

業務信息防護裝置10包括中繼裝置11、用戶認證裝置12、申請管理裝置13及訪問權管理裝置14。業務信息防護裝置10可以是使中繼裝置11、用戶認證裝置12、申請管理裝置13及訪問權管理裝置14的各功能一體化而構成的單一裝置，但在本實施方式中，基於以下理由，對業務信息防護裝置10為這三個裝置的集合體的情形進行說明。

一般情況下，系統構成通常如下：操作者從自己終端遠程登錄到終端伺服器，以被該終端伺服器進行用戶認證作為條件，允許訪問業務信息系統。在本實施方式中，除了這樣的系統(以往的系統)以外，還引入了用戶認證裝置12、申請管理裝置13及訪問權管理裝置14，由此實現了通過申請判定來提高信息安全性。即，圖1所示的中繼裝置11可以是現有的終端伺服器，下面對中繼裝置11是安裝了windows(註冊商標)的普通pc(personalcomputer，個人電腦)終端的情形進行說明。

當中繼裝置11被作業終端20經由網絡30訪問時，中繼裝置11對該作業終端20的ip地址和主機名等進行確認，在作業終端20為連接許可對象以外的對象的情況下，立即切斷，不允許連接。另一方面，在作業終端20為連接許可對象的情況下，中繼裝置11要求作業終端20提供用戶id和密碼，並將按照該要求而發送過來的用戶id和密碼提供給用戶認證裝置12、申請管理裝置13及訪問權管理裝置14，委託確認。

用戶認證裝置12代替中繼裝置11執行「用戶認證」。首先，作業終端20的用戶與以往相同地遠程登錄中繼裝置11。此時，用戶id和密碼通過網絡30被發送至中繼裝置11。用戶認證裝置12從中繼裝置11接收到用戶id和密碼後執行用戶認證，並將該結果返給中繼裝置11。

申請管理裝置13從中繼裝置11接收到用戶id和密碼後執行「申請判定」。作業者必須在遠程登錄業務信息系統之前，預先申請預定在何時執行何種作業。申請管理裝置13統一管理這樣的作業預定，並在接收到來自作業者的遠程登錄請求時，確認該作業者是否事先申請了某種維修作業。允許訪問業務信息系統的條件是用戶認證成功，並且已申請過作業。

訪問權管理裝置14代替中繼裝置11執行「訪問權認證」。也就是說，訪問權管理裝置14從中繼裝置11接收到用戶id和密碼及表示訪問目的地的信息(ip地址和主機名等)，執行是否允許該用戶連接到訪問目的地(是否有訪問權)的認證，並將該結果返給中繼裝置11。

中繼裝置11、用戶認證裝置12、申請管理裝置13及訪問權管理裝置14分別由正支和副支兩臺伺服器構成，具有失效轉移(failover)功能。即，構成為，在正支伺服器因某理由出現故障時，正支伺服器的ip地址被添加到副支伺服器中。具體而言，正支伺服器和副支伺服器分別具有真實ip和虛擬ip，所以，在副支伺服器監控正支伺服器並檢測到異常時，獲取正支的虛擬ip。作業者可以訪問虛擬ip，所以，在發生異常時，自動將對正支伺服器的訪問更換為對副支伺服器的訪問。由此，作業者能夠利用副支伺服器繼續服務，而沒有意識到正支伺服器發生故障。

作為本實施方式的業務信息防護裝置10的主要優點，可以列舉以下5點。

1.由於除了進行用戶認證，還進行申請判定，所以，增強了業務信息系統的信息安全性。

2.容易導入已經運行的業務信息系統中。

3.能夠減輕與申請判定相關聯的用戶的負載。

4.能夠利用單一的業務信息防護裝置10對多種業務信息系統進行統一管理。

5.由於綁定申請內容和訪問日誌，所以容易進行訪問檢查。

日誌管理裝置15獲取並管理在中繼裝置11中進行的訪問內容。例如，獲取並管理訪問日期和時間或ip地址之類的「概要日誌」或收發的數據的「全文日誌」。

日誌管理裝置15將申請管理裝置13所管理的作業申請內容和日誌管理裝置15所管理的訪問日誌綁定，進行管理，所以，能夠容易地進行訪問檢查。所謂訪問檢查，是搜索訪問日誌，並檢查是否正在進行所申請的訪問的日誌。

在作業終端20被作業者輸入用於遠程登錄客戶環境40的用戶id和密碼時，將該用戶id和密碼作為遠程登錄請求，通過網絡30發送給業務信息防護裝置10。

客戶環境40包括財務信息系統41、顧客信息系統42、庫存管理系統43的三種業務信息系統和一個以上授權終端44。財務信息系統41是管理企業a的財務信息的系統。顧客信息系統42是管理企業a的顧客信息的系統。庫存管理系統43是管理企業a的商品庫存狀態的系統。授權終端44是安裝了web瀏覽器的普通pc終端。授權終端44不一定屬於客戶環境40，可以是筆記本電腦等可攜式終端。

圖2是表示業務信息防護裝置10及日誌管理裝置15的功能結構例的框圖。

對於圖2所示的各框，在硬體方面，可以通過包括計算機的cpu在內的元件或機械裝置實現，在軟體方面，可以通過電腦程式等實現，但是，在這裡，圖2所示的各框表示通過硬體和軟體的聯合而實現的功能塊。因此，這些功能塊能夠利用硬體、軟體的組合以各種形式實現。

a：中繼裝置11

中繼裝置11的登錄接口處理部111接收來自作業終端20的遠程登錄請求。該遠程登錄請求中含有用戶id和密碼。中繼裝置11傳輸接收到的用戶id和密碼，從而利用用戶認證裝置12進行用戶認證處理，利用申請管理裝置13進行申請判定處理，利用訪問權管理裝置14進行訪問權認證處理。另外，登錄接口處理部111在從作業終端20獲取了表示訪問目的地的信息(ip地址和主機名等)時，傳輸獲取的信息，從而利用訪問權管理裝置14進行訪問權認證處理。並且，登錄接口處理部111從用戶認證裝置12、申請管理裝置13及訪問權管理裝置14接收各自的判定結果。以下將類似用戶id或密碼的用於識別用戶的數據稱為「用戶識別信息」。作為變型例，用戶識別信息可以是指紋和虹膜等生物信息。

中繼裝置11可以不是單獨的裝置。例如，可以分別是用於財務信息系統41的中繼裝置11和用於顧客信息系統42的中繼裝置11。或者，作業者可以通過多個中繼裝置11中的任意中繼裝置11訪問目標業務信息系統。從分散負載和有效性方面考慮，優選設置多個中繼裝置11。同樣，從分散負載和有效性方面考慮，也可以設置多個用戶認證裝置12、申請管理裝置13及訪問權管理裝置14。

b：用戶認證裝置12

用戶認證裝置12包括用戶認證部121和合法用戶信息保持部122。在中繼裝置11的登錄接口處理部111接收到遠程登錄請求時，用戶認證部121從登錄接口處理部111獲取該用戶id和密碼。並且，通過判定該發送源的用戶是否作為合法的用戶被登記在合法用戶信息保持部122來進行用戶認證。合法用戶信息保持部122保持有使用戶id和密碼對應的合法用戶信息。該合法用戶信息中登記的用戶稱為「合法用戶」。用戶認證部121不僅對作業者執行用戶認證，對授權者也執行用戶認證，後面進行詳細描述。另外，用戶信息保持部122安裝在用戶認證裝置12的內部，但並不限定於此，例如可以是ldap(lightweightdirectoryaccessprotocol，輕量級目錄訪問協議)伺服器等外部裝置。

在對業務信息系統進行的維修作業中，也包括如斷開(release)作業一類的對業務信息系統影響特別大的作業。為了執行這類維修作業，需要通過與管理員一樣的用戶權限進行訪問，而不是以通常的用戶權限進行訪問。但是，從提高業務信息系統的信息安全性方面來看，不優選輕易地賦予這樣的特別用戶權限(以下簡稱為「特別權限」)。在後面描述詳細架構，但業務信息防護裝置10能夠嚴格管理處於能夠獲取該特別權限的狀態的用戶(以下稱為「可升級用戶」)。合法用戶信息保持部122除了保持合法用戶信息以外，還保持表示可升級用戶的升級用戶信息。將被登記在升級用戶信息中成為可升級用戶稱為「升級」，將從升級用戶信息中刪除，不再是可升級用戶稱為「降級」。

本實施方式的用戶認證裝置12是單一裝置，統一管理用戶識別信息。通過利用單一的用戶認證裝置12執行聯繫多個業務信息系統和多個關係者的用戶認證，從而形成容易管理用戶認證策略(policy)的結構。

c：申請管理裝置13

申請管理裝置13包括申請狀態管理部131、申請狀態判定部132、訪問接口處理部133、執行條件保持部135、作業預定保持部136及升級處理部138。

作業者為了訪問業務信息系統，必須預先申請維修作業的執行。申請狀態管理部131承擔與該作業的申請相關的處理。申請狀態管理部131包括作業申請部131a、登記判定部131b、申請通知部131c及作業授權部131d。

作業者在開始作業前通過作業終端20向申請管理裝置13發送作業申請信息。所謂作業申請信息，是作業目的、作業日期和時間、項目名、成為訪問對象的系統名等輸入數據的集合，但此外還可以包括申請者的郵件地址、申請日期和時間或申請者的ip地址等輸入數據以外的附帶信息。另外，從作業終端20發送作業申請信息，但並不限於此，例如，可以從不同於作業終端20的申請終端(未圖示)發送。

作業申請部131a從作業終端20接收作業申請信息。

登記判定部131b判定作業申請部131a接收到的作業申請信息是否與被登記在執行條件保持部135的執行條件信息(後面參照圖3進行描述)相符。登記判定部131b判定為作業申請信息與執行條件信息不符時，拒絕申請，並將該結果通知作業終端20的作業者。登記判定部131b判定為作業申請信息符合執行條件信息時，在作業預定保持部136的作業預定信息中登記被申請的作業。將被登記在作業預定信息中的作業申請稱為「有效的作業申請」。作業預定信息的內容與作業申請信息的內容可以實質上相同。即，接到的作業申請信息中，只有滿足作為有效的作業申請的要件的作業申請信息才作為「作業預定信息」被正式登記在作業預定保持部136。

如果是有效的作業申請，則登記判定部131b賦予用於唯一識別作業的申請號(作業id)。在作業預定信息中申請號、作業預定日期和時間、作業內容、作業者名、授權狀態等被對應。

不僅存在只要進行有效作業申請，就可開始作業的那一類維修作業，還存在沒有獲得授權就不能開始作業的那一類維修作業。作為執行條件信息的一部分，可以像這樣進行定義。

另外，對於被登記在作業預定保持部136的作業預定信息中已經過作業預定日期和時間的作業，成為過去提出的申請歷史的狀態，對於被拒絕的申請，成為申請狀態被記錄為「拒絕」的狀態。

在有效的作業申請被登記在作業預定保持部136時，申請通知部131c參照執行條件保持部135登記的執行條件信息判定該申請的作業內容是否需要授權。在維修作業被申請了的情況下，申請通知部131c將其申請號通知給授權者。本實施方式的申請通知部131c向授權終端44發送表示申請號的電子郵件。授權者如果接收到通知，則操作授權終端44的未圖示的輸入部，基於申請號，訪問業務信息防護裝置10的申請管理裝置13，輸入是否授權。

作業授權部131d從授權終端44接收是否授權。如果被授權，則作業授權部131d將作業預定保持部136所登記的作業預定信息中的授權狀態從「未授權」變更為「授權」。拒絕的情況下，作業授權部131d將拒絕申請的結果通知給作業者，同時，將在作業預定保持部136所登記的作業預定信息的申請狀態記錄為「拒絕」。

申請狀態判定部132執行申請判定。當從作業者接收到遠程登錄請求時，參照從登錄接口處理部111獲取的用戶識別信息和作業預定保持部136所登記的作業預定信息，判定是否申請過作業。另外，申請狀態判定部132還對遠程登錄請求的接收日期和時間是否在所申請的作業時間內進行判定。

例如，當指定「10:00～11:00」的作業預定時間進行申請時，在10:00前和11:00後即使提出遠程登錄請求，申請判定的結果也是「否定」，不允許遠程登錄。

在用戶認證和申請判定都是肯定判定時，訪問接口處理部133允許用於從作業終端20訪問客戶環境40的通信路徑。當然，需要授權的維修作業被申請時，不經授權不允許訪問。

執行條件保持部135將對維修作業的訪問規則作為執行條件信息進行保持。維修作業為如應對故障、調查、運轉監控、斷開作業等，其目的各種各樣。可以將維修作業如此分為多個種類(以下簡稱為「作業種類」)。例如對業務信息系統增加模塊的斷開作業有時希望僅在營業時間以外允許。這種情況下，業務信息系統的管理負責人設定執行條件，使得只能在營業時間以外執行斷開作業。後面參照圖3對執行條件保持部135的數據結構進行描述。

作業預定保持部136保持被申請狀態管理部131的登記判定部131b正式登記的、滿足作為有效的作業申請的要件的作業預定信息。

升級處理部138按規定的時間從作業預定保持部136讀取作業預定信息，判定是存在應當升級的用戶還是存在應當降級的用戶。

本實施方式的申請管理裝置13是單一裝置，統一執行申請判定。利用單一的申請管理裝置13執行與多個業務信息系統相關的申請判定，由此構成為容易管理執行條件和作業預定信息。

圖3是表示執行條件保持部135中的執行條件信息的數據結構的例子的圖。

執行條件信息是各業務信息系統的管理負責人制定的訪問規則。規則id欄135a表示用於唯一識別訪問規則的id(以下稱為「規則id」)。訪問規則被登記時，分配規則id。年月日欄135b表示訪問規則的適用日期。時間欄135c表示訪問規則的適用時間。例如，在適用規則id「1」的訪問規則時，作為企業a的營業日為「6:00～16:00」的時間段。作業種類欄135d表示適用訪問規則的維修作業的作業種類。是否需要授權欄135e表示為了執行該作業是否需要授權。

在圖3的例子中，例如適用規則id「1」的訪問規則的維修作業是以「營業日」的「6:00～16:00」中的作業種類「01」的「應對故障」為目的的維修作業和以作業種類「02」的「調查」為目的的維修作業，針對這些維修作業不需要授權。即，進行以營業日的「6:00～16:00」作為作業預定日期和時間、以應對故障為目的的維修作業時，作業者只預先進行表示其主旨的作業申請即可，無需授權。另外，適用規則id「2」的訪問規則的維修作業是以「營業日」的「6:00～16:00」中的作業種類「03」的「運轉監控」為目的的維修作業和以作業種類「04」的「斷開作業」為目的的維修作業，這些維修作業需要授權。即，在營業日的「6:00～16:00」，在執行以「運轉監控」或「斷開作業」為目的的維修作業時，不僅需要作業申請，如果不授權，則不能訪問。

例如假設作業者a在營業日的「6:00～16:00」中的日期和時間t提出遠程訪問請求。此時，基於圖3的例子中所示的執行條件信息得到的申請判定結果如下所示。

1.未進行如含有日期和時間t為作業預定時間的作業的申請時，為否定判定。

2.已申請如含有日期和時間t作為作業預定時間的應對故障作業時，為肯定判定。

3.已申請含有日期和時間t作為作業預定時間的運轉監控作業時，申請狀態判定部132參照作業預定保持部136，如果申請的運轉監控作業被授權過，則為肯定判定。在未授權或拒絕的情況下為否定判定。

另外，登記判定部131b在同一作業者在同一日期和時間申請不同的作業時，自動拒絕這樣的申請。因此，作業者不能以日期和時間t為對象同時申請應對故障作業和運轉監控作業兩者。

執行條件保持部135可以按每一業務信息系統分別保持執行條件信息，但是在本實施方式中，是統一的執行條件信息，即針對財務信息系統41、顧客信息系統42、庫存管理系統43定義了共同的訪問規則。另外，在本實施方式中所說明的情形為，執行作業種類「04」的「斷開作業」時需要特別權限，但其以外的作業不需要特別權限。

d：訪問權管理裝置14

訪問權管理裝置14包括訪問權認證部141和訪問權信息保持部142。在中繼裝置11的登錄接口處理部111接收到遠程登錄請求時，訪問權認證部141從登錄接口處理部111獲取用戶id和密碼及表示訪問目的地的信息(ip地址和主機名等)，並基於訪問權信息保持部142所登記的訪問申請狀況判定是否允許該發送源的用戶連接訪問目的地(是否有訪問權)。訪問權信息保持部142保持與用戶id及表示訪問目的地的信息對應的訪問申請狀況。

e：日誌管理裝置15

日誌管理部151管理從作業終端20訪問客戶環境40的訪問日誌。日誌管理部151包括日誌記錄部151a和作業驗證部151b。日誌記錄部151a將遠程登錄請求的執行、作業終端20和業務信息系統之間收發的命令或數據、該執行的日期和時間記錄為訪問日誌。日誌記錄部151a在記錄時將在申請狀態管理部131的登記判定部131b被賦予的申請號和與該申請號對應的作業申請內容的訪問日誌聯繫起來。另外，日誌記錄部151a還記錄認證失敗或未申請、無訪問權等拒絕歷史的日誌。

作業驗證部151b將保持在日誌保持部152的訪問日誌的內容和與該訪問日誌所綁定的申請號對應的、被登記在作業預定保持部136的作業預定信息進行比較，檢查是否是非法訪問。

例如，在進行了「運轉監控」為目的的作業申請時，當執行文件的重寫處理時，作業驗證部151b參照日誌保持部152所保持的訪問日誌，檢測出這樣的非法訪問。作業驗證部151b將存在非法訪問或疑為非法訪問的訪問的結果通知給授權終端44。或者，在檢測出非法訪問的時間點，訪問接口處理部133可以強行禁止遠程訪問。

日誌保持部152將在申請狀態管理部131的登記判定部131b被賦予的申請號和與該申請號對應的作業申請內容的訪問日誌綁定並保持。後面參照圖4對日誌保持部152所保持訪問日誌的記錄內容進行說明。

圖4是表示日誌保持部152所保持的訪問日誌的記錄內容之一例的圖。

日誌保持部152包括概要日誌記錄區域152a和全文日誌記錄區域152b，保持概要日誌和全文日誌二種日誌。概要日誌包括訪問的開始、結束時刻、使用終端、訪問目的地伺服器的ip地址和主機名、用戶id、連接時間等。全文日誌包括實際執行、操作命令等的內容。

在圖4的例子的情況下，在概要日誌記錄區域152a和全文日誌記錄區域152b分別按照各協議保持主要記錄內容。例如，「telnet」協議的情況下，在概要日誌記錄區域152a記錄訪問開始的日期和時間、埠(port)、連接源ip地址、用戶id、連接目的地ip地址、連接時間，在全文日誌記錄區域152b記錄接收數據。

以上所示的訪問日誌的記錄內容與申請號綁定，保持在日誌保持部152。另外，通過windowsrdp獲取的訪問日誌以動畫形式被記錄。

圖5是表示登錄畫面的顯示例的圖。

當請求從作業終端20遠程登錄到中繼裝置11時，圖5所示的登錄畫面50被顯示在作業終端20。當中繼裝置11接收到遠程登錄請求時，在作業終端20的登錄畫面50內顯示登錄窗口51。即，中繼裝置11的登錄接口處理部111提供作業終端20的用戶接口畫面。作業終端20的用戶在顯示在登錄畫面50內的登錄窗口51上輸入用戶id和密碼。從用戶側看，用戶接口與以往終端伺服器提供的接口相同，但輸入的用戶識別信息通過用戶認證裝置12、申請管理裝置13及訪問權管理裝置14被分別供應並用於用戶認證、申請判定、訪問權認證。

圖6是表示訪問申請畫面的顯示例的圖。

當作業者為了作業申請而從作業終端20訪問申請管理裝置13時，在作業終端20顯示圖6所示的訪問申請畫面60。即，在從作業終端20進行訪問時，申請狀態管理部131的作業申請部131a使訪問申請畫面60在作業終端20顯示為web頁面。

在申請者名區域61輸入申請作業的用戶名。當由自己以外的人進行作業時，申請者輸入實際執行作業的預定的用戶名。在項目名區域62輸入申請的作業的項目名。從系統分類區域63選擇成為對象的業務信息系統的類型。此處選擇財務信息系統64。訪問接口處理部133可以進行控制，從而禁止該用戶在申請日期和時間對所選擇的業務信息系統以外的系統進行訪問。

系統名區域64表示業務信息系統的名稱，作業種類區域65表示作業種類。內容輸入區域66是用於自由描述作業內容等的區域。附件區域67是用於附加利用的協議書等電子文件的區域。訪問預定日期和時間區域68表示作業預定日期和時間。作業者在申請畫面60所示的各項目中輸入數據後，點擊申請按鈕(button)69。這樣，作業終端20將輸入的數據作為作業申請信息發送給申請管理裝置13。

在進行訪問申請時，除了申請者名、項目名、系統分類、系統名、作業種類、內容及訪問預定日期和時間以外，還附加記載有實際利用的協議書等的電子文件，由此能夠將作業申請信息和附帶的電子文件一起統一進行管理。

圖7是表示訪問授權畫面的顯示例的圖。

在進行需要授權的作業申請時，在授權終端44顯示圖7所示的訪問授權畫面70。即，在進行需要授權的作業申請時，申請狀態管理部131的登記判定部131b將申請號通知給授權終端44。如果授權者指定申請號後訪問申請管理裝置13，則作業授權部131d使訪問授權畫面70在授權終端44顯示為web頁面。

申請信息區域71表示訪問申請畫面60中所輸入的申請內容。授權者名區域72是用於輸入授權者名的區域。授權委託者名區域73是用於輸入委託授權的用戶名的區域。例如，具有授權權限的用戶b將授權委託給用戶c時，用戶c代理用戶b進行授權判斷。這是用於應對用戶b在休假中等特殊情況的措施。

通信欄74是記載針對作業申請者的信息的欄，可以記載拒絕申請的理由，或者在授權申請時記載對作業內容的附加條件或注釋。授權按鈕75是授權時使用的按鈕，拒絕按鈕76是拒絕時使用的按鈕。當點擊授權按鈕75和拒絕按鈕76中任一個按鈕時，輸入內容和表示是否授權的數據被發送給申請管理裝置13。作業授權部131d例如通過電子郵件將該數據發送給作業終端20。

在申請例如「斷開作業」那樣的需要特別權限的維修作業時，基於是否授權和執行條件信息對升級用戶信息進行更新。例如，假設以營業日的「6:00～16:00」中的時間段作為作業預定時間申請斷開作業。如果被授權，則限於被申請的日期和時間，申請者升級。例如，假設以營業日「2006年9月28日」的「10:00～11:00」作為作業預定日期和時間，用戶a申請了斷開作業。如果授權該作業，則僅在以作業預定日期和時間所示的期間用戶a成為可升級用戶。即，當到達2006年9月28日10:00時，升級處理部138使用戶a升級，並在合法用戶信息保持部122的升級用戶信息中進行登記。另外，當到達9月28日的11:00或者斷開作業結束時，使用戶a降級，並從升級用戶信息中刪除用戶a。由此，在本實施方式中，特別權限是具有時間限制的權限。

此處所說的特別權限也可以是所謂的超級(root)權限或管理員(administrator)權限。即，所謂可升級用戶，可以是用自己的用戶id登錄後，能夠通過例如unix(註冊商標)的所謂「su命令」等獲取超級管理員權限的用戶。

另外，可以利用與申請、授權過程不同的其他訪問策略管理是否賦予特別權限。例如，可以以下述條件允許作業者b的作業：斷開作業被作業者b申請，被授權者c授權作業，並且，另外的授權者d允許對作業者b賦予特別權限。像這樣將「特別權限」這一重要權限的管理者與作業授權者分開，由此能夠進一步增強業務信息防護裝置10的信息安全性。

升級處理部138可以在規定條件成立時使規定用戶升級，而與作業申請無關。例如，當用戶b是應對災害的專家時，升級處理部138如果檢測出地震的發生，則可以以規定時間為限使用戶b升級。另外，在這樣的緊急情況下，可以是省略作業申請手續的訪問規則。即，可以以業務信息防護裝置10具有的震度計測定到規定值以上的震動作為用戶d的升級條件。

作為其他例子，可以以在業務信息系統檢測到計算機病毒作為規定用戶的升級條件。或者，在具有特別權限的用戶c進行了超出作業申請範圍的訪問時，可以使用戶c降級。即，可以以在業務信息防護裝置10或客戶環境40發生了規定事項作為升級、降級條件，執行升級或降級處理。管理負責人也可以從外部對升級處理部138設定升級、降級條件。因此，即使在上述緊急情況下，也能夠使適當的用戶在具有時間限制的條件下快速地升級。

圖8是表示訪問申請、授權級別設定畫面的顯示例的圖。

在管理者預設作業申請信息的訪問授權級別時，在授權終端44顯示圖8所示的訪問申請、授權級別設定畫面80。管理者可以在訪問申請、授權級別設定畫面80上，通過伺服器設定，按每一個埠設定是否需要事先申請或授權。

協議、埠號區域81示出各協議的埠號。服務啟動區域82是用於設定是否在被訪問時自動啟動用戶接口等提供服務的區域。全文日誌獲取區域83是用於設定是否獲取作業內容的全文日誌的區域。訪問授權級別區域84是設定是否需要事先申請或授權的授權級別的區域。

在訪問申請、授權級別設定畫面80不只能夠按照每一個協議、埠號設定授權級別，還能夠設定概要日誌的保存期間、全文日誌的保存期間、訪問申請、畫面操作日誌保存期間及伺服器狀態。由此能夠從日誌保持部152所保持的大量訪問日誌中勤懇地刪除不需要的訪問日誌。

在圖8的例子的情況下，telnet通信協議的23號埠被設定為需要事先申請和授權。另一方面，telnet通信協議的223號埠被設定為訪問時不需要申請和授權的狀態。這樣也可以在通常利用的埠設定「事先申請和授權」，或者假設在緊急情況下授權者不在的情形，而設定僅「事先申請」。

圖9是表示訪問日誌檢索畫面的顯示例的圖。

圖9所示的訪問日誌檢索畫面90在授權者進行訪問檢查(日誌檢查)時被顯示於授權終端44。授權者為了確認許可的訪問內容是否如同事先被申請的作業內容那樣進行，而在訪問日誌檢索畫面90上設定希望檢索的訪問日誌的檢索條件。檢索按鈕91是用於以被設定的檢索條件執行訪問日誌的檢索的按鈕。點擊檢索按鈕91時，表示檢索條件的數據被發送給日誌管理裝置15。日誌管理裝置15的日誌管理部151(的作業驗證部151b)基於表示檢索條件的數據，抽取日誌保持部152所登記的訪問日誌，同時抽取申請管理裝置13的作業預定保持部136所登記的作業預定信息。

圖10是表示檢索結果畫面的顯示例的圖。

當點擊訪問日誌檢索畫面90的檢索按鈕91時，在授權終端44顯示圖10所示的檢索結果畫面100。即，利用申請管理裝置13和日誌管理裝置15檢索滿足授權者在訪問日誌檢索畫面90設定的檢索條件的訪問日誌，該檢索結果(訪問日誌和作業預定信息)被發送給授權終端44，並作為概要被一覽顯示在檢索結果畫面100上。

文件圖標101是用於下載具體的作業內容的按鈕。點擊文件圖標101時，執行命令的具體內容作為文本文件被獲取並被顯示。另外，文件命令102是用於下載申請內容的按鈕。點擊文件圖標102時，具體的申請內容被獲取並被顯示。即，授權者能夠容易地比較訪問日誌和申請內容，所以能夠高效地進行日誌檢查。

另外，如果預先將根據申請內容被認為不需要的禁止命令等作為關鍵字(keyword)進行登記，則能夠抽取含有該關鍵字記錄行數和記錄。例如，已知在訪問申請時，在向訪問分類申請「一般id作業」的情況下，如果是一般id的訪問，則不僅不需要如獲取特權id之類的命令，當然也不發出增加用戶的命令。所以，針對「一般id作業」，預先以被禁止或不需要的「su-」(用於獲取特權id的命令)及「useradd」(增加用戶的命令)為關鍵字進行登記。由此，能夠抽取含有根據申請內容被認為不需要的禁止命令等的訪問日誌，提供給授權者，所以能夠高效地發現非法使用。

另外，如果利用郵件通知的功能，則在進行了符合關鍵字的操作時，能夠向管理者發送電子郵件。這樣能夠僅通過進行訪問檢查就能夠高效地進行日誌檢查。

另外，此處，以能夠比較訪問日誌和申請內容的方式，顯示了檢索結果，但日誌管理部151的作業驗證部151b也能夠基於表示檢索條件的數據，將申請管理裝置13的作業預定保持部136所登記的作業預定信息和日誌保持部152所登記的訪問日誌進行對比，並檢測出上述日誌信息中所示的訪問中作為非法訪問的不符合在上述作業預定信息中被申請的維修作業用訪問的訪問。

[關於作業申請處理]

此處，對作業終端20的作業者進行的作業申請處理進行說明。作業者首先在顯示於作業終端20的圖5所示的登錄畫面50上輸入用戶id和密碼。作業終端20隨著所輸入的用戶識別信息直接訪問申請管理裝置13，而不經由中繼裝置11。申請管理裝置13將用戶識別信息傳送給用戶認證裝置12。用戶認證裝置12的用戶認證部121參照合法用戶信息保持部122的合法用戶信息進行用戶認證，在認證失敗的情況下，不執行後面的處理。

在認證成功的情況下，用戶認證裝置12將認證成功的結果通知申請管理裝置13。申請管理裝置13的作業申請部131a將申請畫面用數據發送給作業終端20。作業終端20顯示圖6所示的訪問申請畫面60。用戶在訪問申請畫面60輸入數據，所輸入的數據作為作業申請信息被發送給申請管理裝置13。

申請管理裝置13的登記判定部131b比較被申請的作業內容和執行條件保持部135的執行條件信息，判定是否可登記。如果不是有效的作業申請，則登記判定部131b拒絕申請，並將拒絕結果通知作業終端20，進而不執行後面的處理。另一方面，判定為是有效的作業申請的情況下，登記判定部131b在作業預定保持部136的作業預定信息中登記被申請的維修作業。如果是需要授權的作業，則申請通知部131c將請求授權的電子郵件發送給授權終端44。

通過以上處理，作業申請信息中僅有滿足作為有效的作業申請的要件的作業申請信息作為「作業預定信息」被正式登記在作業預定保持部136。

[關於作業授權處理]

接下來，對通過作業申請處理申請的作業內容的授權處理進行說明。授權終端44在接收到申請已被提出的電子郵件後，訪問申請管理裝置13。授權者利用任意時間在圖5所示的登錄畫面50上輸入用戶id和密碼。另外，授權者在輸入用戶id和密碼時，還指定申請號。授權終端44將被輸入的授權者的用戶id和密碼發送給用戶認證裝置12。用戶認證裝置12的用戶認證部121從授權終端44獲取用戶id和密碼，參照合法用戶信息保持部122所登記的合法用戶信息，進行授權者的用戶認證。用戶認證失敗的情況下，不執行後面的處理。

認證成功的情況下，申請管理裝置13的作業授權部131d基於從授權終端44獲取的申請號，檢索作業預定保持部136所登記的作業申請信息。申請管理裝置13的作業授權部131d基於檢索到的作業申請信息，將用於訪問授權畫面70的html(hypertextmarkuplanguage，超文本標記語言)數據發送給授權終端44。授權終端44顯示與申請號所指定的作業相關的訪問授權畫面70(圖7)。授權者確認訪問授權畫面70，並點擊授權按鈕75或拒絕按鈕76時，被輸入的數據被發送至申請管理裝置13。申請管理裝置13的作業授權部131d根據是否可授權來更新作業預定保持部136的作業預定信息。作業授權部131d通知作業終端20是否可授權。

通過以上處理對有效申請的作業進行授權。另外，當授權者訪問申請管理裝置13時，申請管理裝置13一覽顯示待授權的作業申請，並且授權者可以是從其中選擇成為授權對象的作業申請之類的用戶接口。另外，也可以總括地授權或拒絕多個作業申請。

[關於遠程登錄處理]

接下來說明對業務信息系統的遠程登錄處理。作業者從作業終端20首先訪問中繼裝置11。中繼裝置11確認進行訪問的作業終端20的ip地址，判斷是否允許連接，並在判斷為不允許的情況下切斷連接。另一方面，允許作業終端20連接的情況下，中繼裝置11以適合於協議的形式向作業終端20請求用戶識別信息(用戶id及密碼)。作業終端20顯示登錄畫面50(圖5)，並接受作業者輸入的用戶id和密碼。作業終端20將被輸入的用戶id和密碼發送給中繼裝置11。

中繼裝置11將從作業終端20接收到的用戶id和密碼供給用戶認證裝置12、申請管理裝置13及訪問權管理裝置14。用戶認證裝置12的用戶認證部121從中繼裝置11獲取用戶id和密碼，並參照合法用戶信息保持部12所登記的合法用戶信息，進行作業者的用戶認證。在用戶認證失敗的情況下不執行後面的處理。

在認證成功的情況下，中繼裝置11向作業終端20請求輸入訪問目的地。作業終端20接受作業者輸入的訪問目的地，並將表示訪問目的地的信息(ip地址和主機名等)發送給中繼裝置11。中繼裝置11將從作業終端20接收到的表示訪問目的地的信息發送給訪問權管理裝置14。訪問權管理裝置14的訪問權認證部141基於表示訪問目的地的信息，參照訪問權信息保持部142所登記的訪問申請狀況，確認該用戶對訪問目的地的訪問權。訪問權認證部141判斷為不適合的訪問時，拒絕該用戶對訪問目的地的訪問。另一方面，判斷為適合訪問時，允許該用戶對訪問目的地的訪問。並且，所有的判斷都為肯定時，作業者能夠訪問成為維修作業的對象的業務信息系統。

通過以上處理，對業務信息系統進行遠程登錄時，如果被判斷為非法訪問，則登錄失敗，從而能夠禁止訪問。

[關於升級、降級判定處理]

接下來，對升級處理部138執行的用戶的升級、降級處理進行說明。申請管理裝置13的升級處理部138從作業預定保持部136讀取作業預定信息，判定是否存在應當升級的用戶。例如，用戶a以營業日「2006年9月28日」的「10:00～11:00」作為作業預定日期和時間申請斷開作業，並被授權。此時，如果到達2006年9月28日的10:00，則升級處理部138升級用戶a。升級處理部138將可升級用戶的用戶識別信息發送給用戶認證裝置12，並在合法用戶信息保持部122的升級用戶信息中登記用戶a。

另外，升級處理部138判定作業預定信息中是否存在應當降級的用戶。在上述例子的情況下，如果到達2006年9月28日的11:00，則降級用戶a。升級處理部138將應當降級的用戶的用戶識別信息發送給用戶認證裝置12，並從合法用戶信息保持部122的升級用戶信息中刪除用戶a。

申請管理裝置13按每一規定時間(例如按每1分鐘)反覆執行上述處理，由此能夠定期更新升級用戶信息。

如以上處理那樣，利用帶有時間限制的特別權限，能夠進一步提高業務信息系統的信息安全性。用戶可以在進行了遠程登錄後自己明示請求特別權限，但是，以何種條件允許升級，可以由升級處理部138基於規定的升級條件對此進行判定。

另外，對於上述作業申請處理、作業授權處理、對業務信息系統的登錄處理、升級、降級判定處理的詳細說明，如同特開2008－117361號公報等中所記載的，是公知的技術。

[關於訪問檢查處理]

接下來，參照圖11的流程圖對訪問檢查處理進行說明。授權者為了確認允許訪問的內容是否是按照事先被申請的作業內容進行，而使用授權終端44的輸入部(未圖示)指示執行訪問檢查(日誌檢查)。

在步驟s1中，授權終端44基於來自授權者的指示，顯示圖9所示的訪問日誌檢索畫面90。授權者在訪問日誌檢索畫面90上設定希望檢索的訪問日誌的檢索條件。在步驟s2中，授權終端44受理由授權者所設定的訪問日誌的檢索條件的輸入。並且，當點擊檢索按鈕91時，在步驟s3中，授權終端44將受理了輸入的訪問日誌的檢索條件數據發送給日誌管理裝置15。

在步驟s4中，日誌管理裝置15的作業驗證部151b從授權終端44接收到檢索條件數據時，從申請管理裝置13的作業預定保持部136讀取與檢索條件數據中所含的申請號對應的作業預定信息，並從日誌保持部152讀取與申請號綁定的訪問日誌，對二者進行核對，檢查是否是非法訪問。例如，如上所述，在進行了以「運轉監控」為目的的作業申請時，當進行文件的重寫處理時，成為非法訪問。在步驟s5中，作業驗證部151b從日誌保持部152讀取符合檢索條件的訪問日誌，並將其作為訪問檢查結果通知給授權終端44。

在步驟s6中，授權終端44基於從日誌管理裝置15接收到的訪問檢查結果，顯示圖10所示的檢索結果畫面100。另外，在以根據申請內容被認為不需要的禁止命令為關鍵字進行預先登記，並且檢索到符合關鍵字的訪問日誌的情況下，能夠利用郵件通知管理者檢索到的符合關鍵字的記錄行數和記錄。

[發明的實施方式的效果]

如上所述，本實施方式中除了用戶認證，還進行申請判定，所以其構成容易防止非法訪問。僅進行用戶認證的情況下，用戶識別信息的洩露容易直接關係到自業務信息系統的信息洩露。但是，由於業務信息防護裝置10還要求作業申請手續，所以，用戶識別信息的洩露不易直接關係到非法訪問。原因在於，即使非法用戶暫時非法取得了用戶識別信息，也容易對要進行虛假作業申請程度的業務信息系統訪問施加心理抑制。

另外，即使對於合法的管理公司的se而言，也實現了一種限制對客戶環境40的訪問的架構。如上所述，由於作業的申請或授權作為日誌被記錄下來，所以容易進行事後的訪問檢查。因此，對於客戶企業也具有容易證明自身系統與規格符合(compliance)的優點。利用這樣的特徵，業務信息防護裝置10能夠有助於sox法案要求的「內部統一管理的增強」。

申請的作業內容不適合執行條件信息時，登記判定部131b將所進行的申請被質疑的意思通知給授權終端44，或者也可以暫時無效化該用戶識別信息。通過使登記判定部131b進行這樣的作業申請檢查，能夠自動拒絕非法的作業申請。並且，由於還能夠定義不僅需要申請還需要授權的維修作業，所以能夠進一步提高信息安全性。

在執行需要特別權限的維修作業時，也可以通過對特別權限設置時間限制，使得業務信息防護裝置10能夠統一管理在何時對於何種用戶授予特別權限。

通常，對於維修作業，預先確定執行時刻表。本實施方式中，通過進行事先的作業申請和在任意時間的授權，能夠在不對作業者及授權者施加過度的心理負擔的狀態下實現業務信息系統的安全性管理。

業務信息防護裝置10還能夠記錄訪問日誌。另外，日誌管理部151能夠檢查作業申請的內容和實際的作業內容是否出現不一致。因此，在訪問被允許之後，也能夠容易地檢查事後是否發生非法訪問。

這樣，業務信息防護裝置10從以下多個方面對業務信息系統進行防護。

1.用戶認證

2.執行條件和被申請的作業內容的適應性的判定

3.遠程登錄請求時的申請判定

4.遠程登錄請求日期和時間和被申請的作業預定日期和時間的比較

5.與特別權限相關的判定

6.基於訪問日誌的非法訪問檢測

另外，業務信息防護裝置10能夠統一管理對多個業務信息系統的訪問。因此容易針對多個業務信息系統適用統一的訪問策略。並且，還具有對於已經被運行的業務信息系統，僅通過增加業務信息防護裝置10就能實現的優點。

以上以「維修作業」為例進行了說明，但本發明並不限於此，例如，在職員從外出地點進行訪問的情況下也能夠適用。

上述一系列處理可以通過硬體執行，也可以通過軟體執行。在利用軟體執行一系列處理時，可以從程序記錄介質將構成該軟體的程序安裝到被組合進專用硬體中的計算機或通過安裝各種程序來能夠執行各種功能的例如通用的個人計算機等中。

本發明並不限定於上述實施方式所描述的那樣，可以在實施階段在不脫離其要旨的範圍內通過變型技術特徵並使其具體化，或者適當組合實施實施方式中公開的多個技術特徵，從而形成各種發明。例如，可以從實施方式中所示的所有構成要素中刪除幾個構成要素。並且，可以適當組合不同的實施方式中的構成要素。