业务信息防护装置的制作方法

本申请是申请号为201110081078.7、申请日为2011.03.25、发明名称为“业务信息防护装置”的分案申请。

本发明涉及业务信息防护装置，特别是涉及能够提高业务信息系统的信息安全性的业务信息防护装置。

背景技术：

支持企业或公共设施等运行的业务信息系统、所谓的企业系统(enterprisesystem)现在已经成为各种大小组织的基础。业务信息系统通过对从终端节点(node)或数据库获得的数据进行合计、积累、解析、加工，并在此基础上输出附加值更高的信息，由此支持复杂的组织管理。

这样的业务信息系统在运转后也要进行操作监控、故障应对、功能扩充或功能变更等各种维修作业。通常，引进业务信息系统的客户企业将该维修作业委托给外部管理公司。多数情况下是管理公司的se(systemengineer，系统工程师)远程登录业务信息系统，进行维修作业。

近年来，美国通过的sox(sarbanes‐oxley，萨班斯)法案强烈要求企业经营者或账目监察人员保证公开信息的合法性。日本也打算效仿该法而引入日本版sox法，所以，可应对日本版sox法的姿态的确立成为当务之急。

鉴于这样的社会背景，专利文献1提出了下述技术，即涉及除了根据id和密码进行用户认证以外还以管理者的授权访问为条件的访问规则(accessrule)的技术。

【现有技术文献】

【专利文献】

【专利文献1】日本特开2004－213475号公报

技术实现要素：

专利文献1中记载的访问规则在防止非法访问业务信息系统方面是有效的方法，但要求管理者立即应对作业申请，所以负担大。即，确立容易防止信息泄露的访问规则固然重要，但是存在为抑制人为误差的发生而必须考虑用户负担的问题。

另外，企业所引进的业务信息系统不限于单一系统。例如，某一企业也许分别引进财务系统和顾客系统，或者也许这些系统被合并到更上位的系统。在这类运转多个业务系统的企业中，也需要能够提高各业务信息系统的信息安全性、并且容易管理它们的访问规则的架构。

本发明的目的是提供一种能够提高业务信息系统中的信息安全性的业务信息防护装置。

本发明的一个侧面的特征在于，具有：合法用户信息保持装置，其保持登记有可执行系统的规定处理的合法用户的合法用户信息；申请接收装置，其接收用于申请指定访问预定者和执行所述规定处理的申请信息；预定保持装置，其保持使所申请的所述规定处理和其访问预定者对应的预定信息；执行请求接收装置，在执行所述规定处理时，从终端接收确定访问者的用户识别信息；用户认证装置，其参照所述合法用户信息，判定所述访问者是否被登记为合法用户；申请状态判定装置，参照所述预定信息，判定所述访问者为访问预定者的规定处理是否进行过申请；访问控制装置，以所述用户认证装置的判定和所述申请状态判定装置的判定都为肯定判定作为条件，允许从所述终端至所述系统的访问以进行规定处理；日志记录装置，将从所述终端至所述系统的访问历史记录为日志信息；验证装置，将所述日志信息所示的访问和为进行所述预定信息中所申请的规定处理的访问进行对比，检测出所述日志信息所示的访问中的、与为进行所述预定信息所申请的规定处理的访问不符合的访问，作为非法访问。

还具有：申请通知装置，其向规定处理申请的授权者通知所申请的处理内容；授权获得装置，其受理来自所述授权者的授权输入，所述预定保持装置还使所申请的规定处理和其授权状态相对应地保持为所述预定信息，所述申请状态判定装置还能够判定被申请的规定处理是否已经授权。

所述申请状态判定装置还能够规定处理的执行日期和时间是否在所申请的期间内。

还可以具有：执行条件保持装置，保持定义规定处理的执行条件的执行条件信息；申请登记判定装置，以被申请的处理内容与所述执行条件信息相符为条件，将被申请的规定处理登记在所述预定信息中。

所述合法用户信息保持装置还保持表示可获得与通常的用户权限不同的特别权限的用户的升级用户信息，所述申请状态判定装置在指定特别权限作为对于被申请的规定处理的执行条件时，还对访问者是否是可获得特别权限的用户进行判定。

利用本发明能够提供一种能够提高业务信息系统的信息安全性的业务信息防护装置。

附图说明

图1是表示本实施方式的业务信息系统的结构例的框图。

图2是表示业务信息防护装置的功能结构例的框图。

图3是表示执行条件保持部中的执行条件信息的数据结构例的图。

图4是表示日志保持部所保持的访问日志的记录内容例的图。

图5是表示登录画面的显示例的图。

图6是表示访问申请画面的显示例的图。

图7是表示访问授权画面的显示例的图。

图8是表示访问申请、授权级别设定画面的显示例的图。

图9是表示访问日志检索画面的显示例的图。

图10是表示检索结果画面的显示例的图。

图11是对访问检查处理进行说明的流程图。

符号的说明

10业务信息防护装置

11中继装置

12登录接口处理部

12用户认证装置

13申请管理装置

20作业终端

40客户环境

41财务信息系统

42顾客信息系统

43库存管理系统

44授权终端

121用户认证部

122合法用户信息保持部

131申请状态管理部

131a作业申请部

131b登记判定部

131c申请通知部

131d作业授权部

132申请状态判定部

133访问接口处理部

135执行条件保持部

136作业预定保持部

138升级处理部

151日志管理部

152日志保持部

151a日志记录部

151b作业验证部

具体实施方式

[业务信息系统的结构]

图1是表示本实施方式的业务信息系统的结构例的图。该图所示业务信息系统中，业务信息防护装置10和作业终端20通过网络30连接，同时，客户环境40通过业务信息防护装置10与网络30连接。另外，日志管理装置15也与业务信息防护装置10连接。

在图1所示的业务信息系统中，客户环境40表示某企业a的业务环境。客户环境40的各种业务系统在运转后也接受适当的维修作业。有时在客户环境40内进行该维修作业，但通常通过来自作业终端20的远程访问来执行该维修作业。以下将进行该远程维修作业的用户简称为“作业者”。作业者通常多数为与企业a签订了维修作业合同的管理公司的se(systemsengineer)。作业者操作作业终端20，并通过网络30及业务信息防护装置10远程登录客户环境40的各种业务信息系统。作业终端20和业务信息防护装置10之间的通信路径优选为利用vpn(virtualprivatenetwork，虚拟专用网)等的安全的通信路径。

下面就网络30借助互联网或局域网(lan)等公用线路的远程访问为前提进行说明，但业务信息防护装置10和客户环境40、作业终端20可以利用专用线路相互连接。

另外，本说明书中对于通过运行各种业务信息系统来执行组织业务的企业使用“客户企业”或“客户环境40”的用语，其意思为从外部的作业终端20接受维修作业服务的客户。

业务信息防护装置10是集中接收从作业终端20发送至客户环境40的远程登录请求的装置，被设置在网络安全接口。业务信息防护装置10进行telnet(telecommunicationnetwork，电信网)、ssh(secureshell，安全外壳)、ftp(filetransferprotocol，文件传输协议)、http(hypertexttransferprotocol，超文本传输协议)、https(hypertexttransferprotocolsecurity，超文本传输协议的安全版)、windowsrdp(remotedesktopprotocol，远程桌面协议)、cifs(commoninternetfilesystem，通用互联网文件系统)等通信协议的访问控制及获取日志的检查(后面进行详细描述)。

业务信息防护装置10以下面二个阶段的判定都为肯定判定作为条件，允许来自作业终端20的远程登录。

1.作业者是否是预先被登记的用户(以下称为“用户认证”)

2.作业者是否事先已经(正确地)申请过执行维修作业(以下称为“申请判定”)

业务信息防护装置10包括中继装置11、用户认证装置12、申请管理装置13及访问权管理装置14。业务信息防护装置10可以是使中继装置11、用户认证装置12、申请管理装置13及访问权管理装置14的各功能一体化而构成的单一装置，但在本实施方式中，基于以下理由，对业务信息防护装置10为这三个装置的集合体的情形进行说明。

一般情况下，系统构成通常如下：操作者从自己终端远程登录到终端服务器，以被该终端服务器进行用户认证作为条件，允许访问业务信息系统。在本实施方式中，除了这样的系统(以往的系统)以外，还引入了用户认证装置12、申请管理装置13及访问权管理装置14，由此实现了通过申请判定来提高信息安全性。即，图1所示的中继装置11可以是现有的终端服务器，下面对中继装置11是安装了windows(注册商标)的普通pc(personalcomputer，个人电脑)终端的情形进行说明。

当中继装置11被作业终端20经由网络30访问时，中继装置11对该作业终端20的ip地址和主机名等进行确认，在作业终端20为连接许可对象以外的对象的情况下，立即切断，不允许连接。另一方面，在作业终端20为连接许可对象的情况下，中继装置11要求作业终端20提供用户id和密码，并将按照该要求而发送过来的用户id和密码提供给用户认证装置12、申请管理装置13及访问权管理装置14，委托确认。

用户认证装置12代替中继装置11执行“用户认证”。首先，作业终端20的用户与以往相同地远程登录中继装置11。此时，用户id和密码通过网络30被发送至中继装置11。用户认证装置12从中继装置11接收到用户id和密码后执行用户认证，并将该结果返给中继装置11。

申请管理装置13从中继装置11接收到用户id和密码后执行“申请判定”。作业者必须在远程登录业务信息系统之前，预先申请预定在何时执行何种作业。申请管理装置13统一管理这样的作业预定，并在接收到来自作业者的远程登录请求时，确认该作业者是否事先申请了某种维修作业。允许访问业务信息系统的条件是用户认证成功，并且已申请过作业。

访问权管理装置14代替中继装置11执行“访问权认证”。也就是说，访问权管理装置14从中继装置11接收到用户id和密码及表示访问目的地的信息(ip地址和主机名等)，执行是否允许该用户连接到访问目的地(是否有访问权)的认证，并将该结果返给中继装置11。

中继装置11、用户认证装置12、申请管理装置13及访问权管理装置14分别由正支和副支两台服务器构成，具有失效转移(failover)功能。即，构成为，在正支服务器因某理由出现故障时，正支服务器的ip地址被添加到副支服务器中。具体而言，正支服务器和副支服务器分别具有真实ip和虚拟ip，所以，在副支服务器监控正支服务器并检测到异常时，获取正支的虚拟ip。作业者可以访问虚拟ip，所以，在发生异常时，自动将对正支服务器的访问更换为对副支服务器的访问。由此，作业者能够利用副支服务器继续服务，而没有意识到正支服务器发生故障。

作为本实施方式的业务信息防护装置10的主要优点，可以列举以下5点。

1.由于除了进行用户认证，还进行申请判定，所以，增强了业务信息系统的信息安全性。

2.容易导入已经运行的业务信息系统中。

3.能够减轻与申请判定相关联的用户的负载。

4.能够利用单一的业务信息防护装置10对多种业务信息系统进行统一管理。

5.由于绑定申请内容和访问日志，所以容易进行访问检查。

日志管理装置15获取并管理在中继装置11中进行的访问内容。例如，获取并管理访问日期和时间或ip地址之类的“概要日志”或收发的数据的“全文日志”。

日志管理装置15将申请管理装置13所管理的作业申请内容和日志管理装置15所管理的访问日志绑定，进行管理，所以，能够容易地进行访问检查。所谓访问检查，是搜索访问日志，并检查是否正在进行所申请的访问的日志。

在作业终端20被作业者输入用于远程登录客户环境40的用户id和密码时，将该用户id和密码作为远程登录请求，通过网络30发送给业务信息防护装置10。

客户环境40包括财务信息系统41、顾客信息系统42、库存管理系统43的三种业务信息系统和一个以上授权终端44。财务信息系统41是管理企业a的财务信息的系统。顾客信息系统42是管理企业a的顾客信息的系统。库存管理系统43是管理企业a的商品库存状态的系统。授权终端44是安装了web浏览器的普通pc终端。授权终端44不一定属于客户环境40，可以是笔记本电脑等便携式终端。

图2是表示业务信息防护装置10及日志管理装置15的功能结构例的框图。

对于图2所示的各框，在硬件方面，可以通过包括计算机的cpu在内的元件或机械装置实现，在软件方面，可以通过计算机程序等实现，但是，在这里，图2所示的各框表示通过硬件和软件的联合而实现的功能块。因此，这些功能块能够利用硬件、软件的组合以各种形式实现。

a：中继装置11

中继装置11的登录接口处理部111接收来自作业终端20的远程登录请求。该远程登录请求中含有用户id和密码。中继装置11传输接收到的用户id和密码，从而利用用户认证装置12进行用户认证处理，利用申请管理装置13进行申请判定处理，利用访问权管理装置14进行访问权认证处理。另外，登录接口处理部111在从作业终端20获取了表示访问目的地的信息(ip地址和主机名等)时，传输获取的信息，从而利用访问权管理装置14进行访问权认证处理。并且，登录接口处理部111从用户认证装置12、申请管理装置13及访问权管理装置14接收各自的判定结果。以下将类似用户id或密码的用于识别用户的数据称为“用户识别信息”。作为变型例，用户识别信息可以是指纹和虹膜等生物信息。

中继装置11可以不是单独的装置。例如，可以分别是用于财务信息系统41的中继装置11和用于顾客信息系统42的中继装置11。或者，作业者可以通过多个中继装置11中的任意中继装置11访问目标业务信息系统。从分散负载和有效性方面考虑，优选设置多个中继装置11。同样，从分散负载和有效性方面考虑，也可以设置多个用户认证装置12、申请管理装置13及访问权管理装置14。

b：用户认证装置12

用户认证装置12包括用户认证部121和合法用户信息保持部122。在中继装置11的登录接口处理部111接收到远程登录请求时，用户认证部121从登录接口处理部111获取该用户id和密码。并且，通过判定该发送源的用户是否作为合法的用户被登记在合法用户信息保持部122来进行用户认证。合法用户信息保持部122保持有使用户id和密码对应的合法用户信息。该合法用户信息中登记的用户称为“合法用户”。用户认证部121不仅对作业者执行用户认证，对授权者也执行用户认证，后面进行详细描述。另外，用户信息保持部122安装在用户认证装置12的内部，但并不限定于此，例如可以是ldap(lightweightdirectoryaccessprotocol，轻量级目录访问协议)服务器等外部装置。

在对业务信息系统进行的维修作业中，也包括如断开(release)作业一类的对业务信息系统影响特别大的作业。为了执行这类维修作业，需要通过与管理员一样的用户权限进行访问，而不是以通常的用户权限进行访问。但是，从提高业务信息系统的信息安全性方面来看，不优选轻易地赋予这样的特别用户权限(以下简称为“特别权限”)。在后面描述详细架构，但业务信息防护装置10能够严格管理处于能够获取该特别权限的状态的用户(以下称为“可升级用户”)。合法用户信息保持部122除了保持合法用户信息以外，还保持表示可升级用户的升级用户信息。将被登记在升级用户信息中成为可升级用户称为“升级”，将从升级用户信息中删除，不再是可升级用户称为“降级”。

本实施方式的用户认证装置12是单一装置，统一管理用户识别信息。通过利用单一的用户认证装置12执行联系多个业务信息系统和多个关系者的用户认证，从而形成容易管理用户认证策略(policy)的结构。

c：申请管理装置13

申请管理装置13包括申请状态管理部131、申请状态判定部132、访问接口处理部133、执行条件保持部135、作业预定保持部136及升级处理部138。

作业者为了访问业务信息系统，必须预先申请维修作业的执行。申请状态管理部131承担与该作业的申请相关的处理。申请状态管理部131包括作业申请部131a、登记判定部131b、申请通知部131c及作业授权部131d。

作业者在开始作业前通过作业终端20向申请管理装置13发送作业申请信息。所谓作业申请信息，是作业目的、作业日期和时间、项目名、成为访问对象的系统名等输入数据的集合，但此外还可以包括申请者的邮件地址、申请日期和时间或申请者的ip地址等输入数据以外的附带信息。另外，从作业终端20发送作业申请信息，但并不限于此，例如，可以从不同于作业终端20的申请终端(未图示)发送。

作业申请部131a从作业终端20接收作业申请信息。

登记判定部131b判定作业申请部131a接收到的作业申请信息是否与被登记在执行条件保持部135的执行条件信息(后面参照图3进行描述)相符。登记判定部131b判定为作业申请信息与执行条件信息不符时，拒绝申请，并将该结果通知作业终端20的作业者。登记判定部131b判定为作业申请信息符合执行条件信息时，在作业预定保持部136的作业预定信息中登记被申请的作业。将被登记在作业预定信息中的作业申请称为“有效的作业申请”。作业预定信息的内容与作业申请信息的内容可以实质上相同。即，接到的作业申请信息中，只有满足作为有效的作业申请的要件的作业申请信息才作为“作业预定信息”被正式登记在作业预定保持部136。

如果是有效的作业申请，则登记判定部131b赋予用于唯一识别作业的申请号(作业id)。在作业预定信息中申请号、作业预定日期和时间、作业内容、作业者名、授权状态等被对应。

不仅存在只要进行有效作业申请，就可开始作业的那一类维修作业，还存在没有获得授权就不能开始作业的那一类维修作业。作为执行条件信息的一部分，可以像这样进行定义。

另外，对于被登记在作业预定保持部136的作业预定信息中已经过作业预定日期和时间的作业，成为过去提出的申请历史的状态，对于被拒绝的申请，成为申请状态被记录为“拒绝”的状态。

在有效的作业申请被登记在作业预定保持部136时，申请通知部131c参照执行条件保持部135登记的执行条件信息判定该申请的作业内容是否需要授权。在维修作业被申请了的情况下，申请通知部131c将其申请号通知给授权者。本实施方式的申请通知部131c向授权终端44发送表示申请号的电子邮件。授权者如果接收到通知，则操作授权终端44的未图示的输入部，基于申请号，访问业务信息防护装置10的申请管理装置13，输入是否授权。

作业授权部131d从授权终端44接收是否授权。如果被授权，则作业授权部131d将作业预定保持部136所登记的作业预定信息中的授权状态从“未授权”变更为“授权”。拒绝的情况下，作业授权部131d将拒绝申请的结果通知给作业者，同时，将在作业预定保持部136所登记的作业预定信息的申请状态记录为“拒绝”。

申请状态判定部132执行申请判定。当从作业者接收到远程登录请求时，参照从登录接口处理部111获取的用户识别信息和作业预定保持部136所登记的作业预定信息，判定是否申请过作业。另外，申请状态判定部132还对远程登录请求的接收日期和时间是否在所申请的作业时间内进行判定。

例如，当指定“10:00～11:00”的作业预定时间进行申请时，在10:00前和11:00后即使提出远程登录请求，申请判定的结果也是“否定”，不允许远程登录。

在用户认证和申请判定都是肯定判定时，访问接口处理部133允许用于从作业终端20访问客户环境40的通信路径。当然，需要授权的维修作业被申请时，不经授权不允许访问。

执行条件保持部135将对维修作业的访问规则作为执行条件信息进行保持。维修作业为如应对故障、调查、运转监控、断开作业等，其目的各种各样。可以将维修作业如此分为多个种类(以下简称为“作业种类”)。例如对业务信息系统增加模块的断开作业有时希望仅在营业时间以外允许。这种情况下，业务信息系统的管理负责人设定执行条件，使得只能在营业时间以外执行断开作业。后面参照图3对执行条件保持部135的数据结构进行描述。

作业预定保持部136保持被申请状态管理部131的登记判定部131b正式登记的、满足作为有效的作业申请的要件的作业预定信息。

升级处理部138按规定的时间从作业预定保持部136读取作业预定信息，判定是存在应当升级的用户还是存在应当降级的用户。

本实施方式的申请管理装置13是单一装置，统一执行申请判定。利用单一的申请管理装置13执行与多个业务信息系统相关的申请判定，由此构成为容易管理执行条件和作业预定信息。

图3是表示执行条件保持部135中的执行条件信息的数据结构的例子的图。

执行条件信息是各业务信息系统的管理负责人制定的访问规则。规则id栏135a表示用于唯一识别访问规则的id(以下称为“规则id”)。访问规则被登记时，分配规则id。年月日栏135b表示访问规则的适用日期。时间栏135c表示访问规则的适用时间。例如，在适用规则id“1”的访问规则时，作为企业a的营业日为“6:00～16:00”的时间段。作业种类栏135d表示适用访问规则的维修作业的作业种类。是否需要授权栏135e表示为了执行该作业是否需要授权。

在图3的例子中，例如适用规则id“1”的访问规则的维修作业是以“营业日”的“6:00～16:00”中的作业种类“01”的“应对故障”为目的的维修作业和以作业种类“02”的“调查”为目的的维修作业，针对这些维修作业不需要授权。即，进行以营业日的“6:00～16:00”作为作业预定日期和时间、以应对故障为目的的维修作业时，作业者只预先进行表示其主旨的作业申请即可，无需授权。另外，适用规则id“2”的访问规则的维修作业是以“营业日”的“6:00～16:00”中的作业种类“03”的“运转监控”为目的的维修作业和以作业种类“04”的“断开作业”为目的的维修作业，这些维修作业需要授权。即，在营业日的“6:00～16:00”，在执行以“运转监控”或“断开作业”为目的的维修作业时，不仅需要作业申请，如果不授权，则不能访问。

例如假设作业者a在营业日的“6:00～16:00”中的日期和时间t提出远程访问请求。此时，基于图3的例子中所示的执行条件信息得到的申请判定结果如下所示。

1.未进行如含有日期和时间t为作业预定时间的作业的申请时，为否定判定。

2.已申请如含有日期和时间t作为作业预定时间的应对故障作业时，为肯定判定。

3.已申请含有日期和时间t作为作业预定时间的运转监控作业时，申请状态判定部132参照作业预定保持部136，如果申请的运转监控作业被授权过，则为肯定判定。在未授权或拒绝的情况下为否定判定。

另外，登记判定部131b在同一作业者在同一日期和时间申请不同的作业时，自动拒绝这样的申请。因此，作业者不能以日期和时间t为对象同时申请应对故障作业和运转监控作业两者。

执行条件保持部135可以按每一业务信息系统分别保持执行条件信息，但是在本实施方式中，是统一的执行条件信息，即针对财务信息系统41、顾客信息系统42、库存管理系统43定义了共同的访问规则。另外，在本实施方式中所说明的情形为，执行作业种类“04”的“断开作业”时需要特别权限，但其以外的作业不需要特别权限。

d：访问权管理装置14

访问权管理装置14包括访问权认证部141和访问权信息保持部142。在中继装置11的登录接口处理部111接收到远程登录请求时，访问权认证部141从登录接口处理部111获取用户id和密码及表示访问目的地的信息(ip地址和主机名等)，并基于访问权信息保持部142所登记的访问申请状况判定是否允许该发送源的用户连接访问目的地(是否有访问权)。访问权信息保持部142保持与用户id及表示访问目的地的信息对应的访问申请状况。

e：日志管理装置15

日志管理部151管理从作业终端20访问客户环境40的访问日志。日志管理部151包括日志记录部151a和作业验证部151b。日志记录部151a将远程登录请求的执行、作业终端20和业务信息系统之间收发的命令或数据、该执行的日期和时间记录为访问日志。日志记录部151a在记录时将在申请状态管理部131的登记判定部131b被赋予的申请号和与该申请号对应的作业申请内容的访问日志联系起来。另外，日志记录部151a还记录认证失败或未申请、无访问权等拒绝历史的日志。

作业验证部151b将保持在日志保持部152的访问日志的内容和与该访问日志所绑定的申请号对应的、被登记在作业预定保持部136的作业预定信息进行比较，检查是否是非法访问。

例如，在进行了“运转监控”为目的的作业申请时，当执行文件的重写处理时，作业验证部151b参照日志保持部152所保持的访问日志，检测出这样的非法访问。作业验证部151b将存在非法访问或疑为非法访问的访问的结果通知给授权终端44。或者，在检测出非法访问的时间点，访问接口处理部133可以强行禁止远程访问。

日志保持部152将在申请状态管理部131的登记判定部131b被赋予的申请号和与该申请号对应的作业申请内容的访问日志绑定并保持。后面参照图4对日志保持部152所保持访问日志的记录内容进行说明。

图4是表示日志保持部152所保持的访问日志的记录内容之一例的图。

日志保持部152包括概要日志记录区域152a和全文日志记录区域152b，保持概要日志和全文日志二种日志。概要日志包括访问的开始、结束时刻、使用终端、访问目的地服务器的ip地址和主机名、用户id、连接时间等。全文日志包括实际执行、操作命令等的内容。

在图4的例子的情况下，在概要日志记录区域152a和全文日志记录区域152b分别按照各协议保持主要记录内容。例如，“telnet”协议的情况下，在概要日志记录区域152a记录访问开始的日期和时间、端口(port)、连接源ip地址、用户id、连接目的地ip地址、连接时间，在全文日志记录区域152b记录接收数据。

以上所示的访问日志的记录内容与申请号绑定，保持在日志保持部152。另外，通过windowsrdp获取的访问日志以动画形式被记录。

图5是表示登录画面的显示例的图。

当请求从作业终端20远程登录到中继装置11时，图5所示的登录画面50被显示在作业终端20。当中继装置11接收到远程登录请求时，在作业终端20的登录画面50内显示登录窗口51。即，中继装置11的登录接口处理部111提供作业终端20的用户接口画面。作业终端20的用户在显示在登录画面50内的登录窗口51上输入用户id和密码。从用户侧看，用户接口与以往终端服务器提供的接口相同，但输入的用户识别信息通过用户认证装置12、申请管理装置13及访问权管理装置14被分别供应并用于用户认证、申请判定、访问权认证。

图6是表示访问申请画面的显示例的图。

当作业者为了作业申请而从作业终端20访问申请管理装置13时，在作业终端20显示图6所示的访问申请画面60。即，在从作业终端20进行访问时，申请状态管理部131的作业申请部131a使访问申请画面60在作业终端20显示为web页面。

在申请者名区域61输入申请作业的用户名。当由自己以外的人进行作业时，申请者输入实际执行作业的预定的用户名。在项目名区域62输入申请的作业的项目名。从系统分类区域63选择成为对象的业务信息系统的类型。此处选择财务信息系统64。访问接口处理部133可以进行控制，从而禁止该用户在申请日期和时间对所选择的业务信息系统以外的系统进行访问。

系统名区域64表示业务信息系统的名称，作业种类区域65表示作业种类。内容输入区域66是用于自由描述作业内容等的区域。附件区域67是用于附加利用的协议书等电子文件的区域。访问预定日期和时间区域68表示作业预定日期和时间。作业者在申请画面60所示的各项目中输入数据后，点击申请按钮(button)69。这样，作业终端20将输入的数据作为作业申请信息发送给申请管理装置13。

在进行访问申请时，除了申请者名、项目名、系统分类、系统名、作业种类、内容及访问预定日期和时间以外，还附加记载有实际利用的协议书等的电子文件，由此能够将作业申请信息和附带的电子文件一起统一进行管理。

图7是表示访问授权画面的显示例的图。

在进行需要授权的作业申请时，在授权终端44显示图7所示的访问授权画面70。即，在进行需要授权的作业申请时，申请状态管理部131的登记判定部131b将申请号通知给授权终端44。如果授权者指定申请号后访问申请管理装置13，则作业授权部131d使访问授权画面70在授权终端44显示为web页面。

申请信息区域71表示访问申请画面60中所输入的申请内容。授权者名区域72是用于输入授权者名的区域。授权委托者名区域73是用于输入委托授权的用户名的区域。例如，具有授权权限的用户b将授权委托给用户c时，用户c代理用户b进行授权判断。这是用于应对用户b在休假中等特殊情况的措施。

通信栏74是记载针对作业申请者的信息的栏，可以记载拒绝申请的理由，或者在授权申请时记载对作业内容的附加条件或注释。授权按钮75是授权时使用的按钮，拒绝按钮76是拒绝时使用的按钮。当点击授权按钮75和拒绝按钮76中任一个按钮时，输入内容和表示是否授权的数据被发送给申请管理装置13。作业授权部131d例如通过电子邮件将该数据发送给作业终端20。

在申请例如“断开作业”那样的需要特别权限的维修作业时，基于是否授权和执行条件信息对升级用户信息进行更新。例如，假设以营业日的“6:00～16:00”中的时间段作为作业预定时间申请断开作业。如果被授权，则限于被申请的日期和时间，申请者升级。例如，假设以营业日“2006年9月28日”的“10:00～11:00”作为作业预定日期和时间，用户a申请了断开作业。如果授权该作业，则仅在以作业预定日期和时间所示的期间用户a成为可升级用户。即，当到达2006年9月28日10:00时，升级处理部138使用户a升级，并在合法用户信息保持部122的升级用户信息中进行登记。另外，当到达9月28日的11:00或者断开作业结束时，使用户a降级，并从升级用户信息中删除用户a。由此，在本实施方式中，特别权限是具有时间限制的权限。

此处所说的特别权限也可以是所谓的超级(root)权限或管理员(administrator)权限。即，所谓可升级用户，可以是用自己的用户id登录后，能够通过例如unix(注册商标)的所谓“su命令”等获取超级管理员权限的用户。

另外，可以利用与申请、授权过程不同的其他访问策略管理是否赋予特别权限。例如，可以以下述条件允许作业者b的作业：断开作业被作业者b申请，被授权者c授权作业，并且，另外的授权者d允许对作业者b赋予特别权限。像这样将“特别权限”这一重要权限的管理者与作业授权者分开，由此能够进一步增强业务信息防护装置10的信息安全性。

升级处理部138可以在规定条件成立时使规定用户升级，而与作业申请无关。例如，当用户b是应对灾害的专家时，升级处理部138如果检测出地震的发生，则可以以规定时间为限使用户b升级。另外，在这样的紧急情况下，可以是省略作业申请手续的访问规则。即，可以以业务信息防护装置10具有的震度计测定到规定值以上的震动作为用户d的升级条件。

作为其他例子，可以以在业务信息系统检测到计算机病毒作为规定用户的升级条件。或者，在具有特别权限的用户c进行了超出作业申请范围的访问时，可以使用户c降级。即，可以以在业务信息防护装置10或客户环境40发生了规定事项作为升级、降级条件，执行升级或降级处理。管理负责人也可以从外部对升级处理部138设定升级、降级条件。因此，即使在上述紧急情况下，也能够使适当的用户在具有时间限制的条件下快速地升级。

图8是表示访问申请、授权级别设定画面的显示例的图。

在管理者预设作业申请信息的访问授权级别时，在授权终端44显示图8所示的访问申请、授权级别设定画面80。管理者可以在访问申请、授权级别设定画面80上，通过服务器设定，按每一个端口设定是否需要事先申请或授权。

协议、端口号区域81示出各协议的端口号。服务启动区域82是用于设定是否在被访问时自动启动用户接口等提供服务的区域。全文日志获取区域83是用于设定是否获取作业内容的全文日志的区域。访问授权级别区域84是设定是否需要事先申请或授权的授权级别的区域。

在访问申请、授权级别设定画面80不只能够按照每一个协议、端口号设定授权级别，还能够设定概要日志的保存期间、全文日志的保存期间、访问申请、画面操作日志保存期间及服务器状态。由此能够从日志保持部152所保持的大量访问日志中勤恳地删除不需要的访问日志。

在图8的例子的情况下，telnet通信协议的23号端口被设定为需要事先申请和授权。另一方面，telnet通信协议的223号端口被设定为访问时不需要申请和授权的状态。这样也可以在通常利用的端口设定“事先申请和授权”，或者假设在紧急情况下授权者不在的情形，而设定仅“事先申请”。

图9是表示访问日志检索画面的显示例的图。

图9所示的访问日志检索画面90在授权者进行访问检查(日志检查)时被显示于授权终端44。授权者为了确认许可的访问内容是否如同事先被申请的作业内容那样进行，而在访问日志检索画面90上设定希望检索的访问日志的检索条件。检索按钮91是用于以被设定的检索条件执行访问日志的检索的按钮。点击检索按钮91时，表示检索条件的数据被发送给日志管理装置15。日志管理装置15的日志管理部151(的作业验证部151b)基于表示检索条件的数据，抽取日志保持部152所登记的访问日志，同时抽取申请管理装置13的作业预定保持部136所登记的作业预定信息。

图10是表示检索结果画面的显示例的图。

当点击访问日志检索画面90的检索按钮91时，在授权终端44显示图10所示的检索结果画面100。即，利用申请管理装置13和日志管理装置15检索满足授权者在访问日志检索画面90设定的检索条件的访问日志，该检索结果(访问日志和作业预定信息)被发送给授权终端44，并作为概要被一览显示在检索结果画面100上。

文件图标101是用于下载具体的作业内容的按钮。点击文件图标101时，执行命令的具体内容作为文本文件被获取并被显示。另外，文件命令102是用于下载申请内容的按钮。点击文件图标102时，具体的申请内容被获取并被显示。即，授权者能够容易地比较访问日志和申请内容，所以能够高效地进行日志检查。

另外，如果预先将根据申请内容被认为不需要的禁止命令等作为关键字(keyword)进行登记，则能够抽取含有该关键字记录行数和记录。例如，已知在访问申请时，在向访问分类申请“一般id作业”的情况下，如果是一般id的访问，则不仅不需要如获取特权id之类的命令，当然也不发出增加用户的命令。所以，针对“一般id作业”，预先以被禁止或不需要的“su-”(用于获取特权id的命令)及“useradd”(增加用户的命令)为关键字进行登记。由此，能够抽取含有根据申请内容被认为不需要的禁止命令等的访问日志，提供给授权者，所以能够高效地发现非法使用。

另外，如果利用邮件通知的功能，则在进行了符合关键字的操作时，能够向管理者发送电子邮件。这样能够仅通过进行访问检查就能够高效地进行日志检查。

另外，此处，以能够比较访问日志和申请内容的方式，显示了检索结果，但日志管理部151的作业验证部151b也能够基于表示检索条件的数据，将申请管理装置13的作业预定保持部136所登记的作业预定信息和日志保持部152所登记的访问日志进行对比，并检测出上述日志信息中所示的访问中作为非法访问的不符合在上述作业预定信息中被申请的维修作业用访问的访问。

[关于作业申请处理]

此处，对作业终端20的作业者进行的作业申请处理进行说明。作业者首先在显示于作业终端20的图5所示的登录画面50上输入用户id和密码。作业终端20随着所输入的用户识别信息直接访问申请管理装置13，而不经由中继装置11。申请管理装置13将用户识别信息传送给用户认证装置12。用户认证装置12的用户认证部121参照合法用户信息保持部122的合法用户信息进行用户认证，在认证失败的情况下，不执行后面的处理。

在认证成功的情况下，用户认证装置12将认证成功的结果通知申请管理装置13。申请管理装置13的作业申请部131a将申请画面用数据发送给作业终端20。作业终端20显示图6所示的访问申请画面60。用户在访问申请画面60输入数据，所输入的数据作为作业申请信息被发送给申请管理装置13。

申请管理装置13的登记判定部131b比较被申请的作业内容和执行条件保持部135的执行条件信息，判定是否可登记。如果不是有效的作业申请，则登记判定部131b拒绝申请，并将拒绝结果通知作业终端20，进而不执行后面的处理。另一方面，判定为是有效的作业申请的情况下，登记判定部131b在作业预定保持部136的作业预定信息中登记被申请的维修作业。如果是需要授权的作业，则申请通知部131c将请求授权的电子邮件发送给授权终端44。

通过以上处理，作业申请信息中仅有满足作为有效的作业申请的要件的作业申请信息作为“作业预定信息”被正式登记在作业预定保持部136。

[关于作业授权处理]

接下来，对通过作业申请处理申请的作业内容的授权处理进行说明。授权终端44在接收到申请已被提出的电子邮件后，访问申请管理装置13。授权者利用任意时间在图5所示的登录画面50上输入用户id和密码。另外，授权者在输入用户id和密码时，还指定申请号。授权终端44将被输入的授权者的用户id和密码发送给用户认证装置12。用户认证装置12的用户认证部121从授权终端44获取用户id和密码，参照合法用户信息保持部122所登记的合法用户信息，进行授权者的用户认证。用户认证失败的情况下，不执行后面的处理。

认证成功的情况下，申请管理装置13的作业授权部131d基于从授权终端44获取的申请号，检索作业预定保持部136所登记的作业申请信息。申请管理装置13的作业授权部131d基于检索到的作业申请信息，将用于访问授权画面70的html(hypertextmarkuplanguage，超文本标记语言)数据发送给授权终端44。授权终端44显示与申请号所指定的作业相关的访问授权画面70(图7)。授权者确认访问授权画面70，并点击授权按钮75或拒绝按钮76时，被输入的数据被发送至申请管理装置13。申请管理装置13的作业授权部131d根据是否可授权来更新作业预定保持部136的作业预定信息。作业授权部131d通知作业终端20是否可授权。

通过以上处理对有效申请的作业进行授权。另外，当授权者访问申请管理装置13时，申请管理装置13一览显示待授权的作业申请，并且授权者可以是从其中选择成为授权对象的作业申请之类的用户接口。另外，也可以总括地授权或拒绝多个作业申请。

[关于远程登录处理]

接下来说明对业务信息系统的远程登录处理。作业者从作业终端20首先访问中继装置11。中继装置11确认进行访问的作业终端20的ip地址，判断是否允许连接，并在判断为不允许的情况下切断连接。另一方面，允许作业终端20连接的情况下，中继装置11以适合于协议的形式向作业终端20请求用户识别信息(用户id及密码)。作业终端20显示登录画面50(图5)，并接受作业者输入的用户id和密码。作业终端20将被输入的用户id和密码发送给中继装置11。

中继装置11将从作业终端20接收到的用户id和密码供给用户认证装置12、申请管理装置13及访问权管理装置14。用户认证装置12的用户认证部121从中继装置11获取用户id和密码，并参照合法用户信息保持部12所登记的合法用户信息，进行作业者的用户认证。在用户认证失败的情况下不执行后面的处理。

在认证成功的情况下，中继装置11向作业终端20请求输入访问目的地。作业终端20接受作业者输入的访问目的地，并将表示访问目的地的信息(ip地址和主机名等)发送给中继装置11。中继装置11将从作业终端20接收到的表示访问目的地的信息发送给访问权管理装置14。访问权管理装置14的访问权认证部141基于表示访问目的地的信息，参照访问权信息保持部142所登记的访问申请状况，确认该用户对访问目的地的访问权。访问权认证部141判断为不适合的访问时，拒绝该用户对访问目的地的访问。另一方面，判断为适合访问时，允许该用户对访问目的地的访问。并且，所有的判断都为肯定时，作业者能够访问成为维修作业的对象的业务信息系统。

通过以上处理，对业务信息系统进行远程登录时，如果被判断为非法访问，则登录失败，从而能够禁止访问。

[关于升级、降级判定处理]

接下来，对升级处理部138执行的用户的升级、降级处理进行说明。申请管理装置13的升级处理部138从作业预定保持部136读取作业预定信息，判定是否存在应当升级的用户。例如，用户a以营业日“2006年9月28日”的“10:00～11:00”作为作业预定日期和时间申请断开作业，并被授权。此时，如果到达2006年9月28日的10:00，则升级处理部138升级用户a。升级处理部138将可升级用户的用户识别信息发送给用户认证装置12，并在合法用户信息保持部122的升级用户信息中登记用户a。

另外，升级处理部138判定作业预定信息中是否存在应当降级的用户。在上述例子的情况下，如果到达2006年9月28日的11:00，则降级用户a。升级处理部138将应当降级的用户的用户识别信息发送给用户认证装置12，并从合法用户信息保持部122的升级用户信息中删除用户a。

申请管理装置13按每一规定时间(例如按每1分钟)反复执行上述处理，由此能够定期更新升级用户信息。

如以上处理那样，利用带有时间限制的特别权限，能够进一步提高业务信息系统的信息安全性。用户可以在进行了远程登录后自己明示请求特别权限，但是，以何种条件允许升级，可以由升级处理部138基于规定的升级条件对此进行判定。

另外，对于上述作业申请处理、作业授权处理、对业务信息系统的登录处理、升级、降级判定处理的详细说明，如同特开2008－117361号公报等中所记载的，是公知的技术。

[关于访问检查处理]

接下来，参照图11的流程图对访问检查处理进行说明。授权者为了确认允许访问的内容是否是按照事先被申请的作业内容进行，而使用授权终端44的输入部(未图示)指示执行访问检查(日志检查)。

在步骤s1中，授权终端44基于来自授权者的指示，显示图9所示的访问日志检索画面90。授权者在访问日志检索画面90上设定希望检索的访问日志的检索条件。在步骤s2中，授权终端44受理由授权者所设定的访问日志的检索条件的输入。并且，当点击检索按钮91时，在步骤s3中，授权终端44将受理了输入的访问日志的检索条件数据发送给日志管理装置15。

在步骤s4中，日志管理装置15的作业验证部151b从授权终端44接收到检索条件数据时，从申请管理装置13的作业预定保持部136读取与检索条件数据中所含的申请号对应的作业预定信息，并从日志保持部152读取与申请号绑定的访问日志，对二者进行核对，检查是否是非法访问。例如，如上所述，在进行了以“运转监控”为目的的作业申请时，当进行文件的重写处理时，成为非法访问。在步骤s5中，作业验证部151b从日志保持部152读取符合检索条件的访问日志，并将其作为访问检查结果通知给授权终端44。

在步骤s6中，授权终端44基于从日志管理装置15接收到的访问检查结果，显示图10所示的检索结果画面100。另外，在以根据申请内容被认为不需要的禁止命令为关键字进行预先登记，并且检索到符合关键字的访问日志的情况下，能够利用邮件通知管理者检索到的符合关键字的记录行数和记录。

[发明的实施方式的效果]

如上所述，本实施方式中除了用户认证，还进行申请判定，所以其构成容易防止非法访问。仅进行用户认证的情况下，用户识别信息的泄露容易直接关系到自业务信息系统的信息泄露。但是，由于业务信息防护装置10还要求作业申请手续，所以，用户识别信息的泄露不易直接关系到非法访问。原因在于，即使非法用户暂时非法取得了用户识别信息，也容易对要进行虚假作业申请程度的业务信息系统访问施加心理抑制。

另外，即使对于合法的管理公司的se而言，也实现了一种限制对客户环境40的访问的架构。如上所述，由于作业的申请或授权作为日志被记录下来，所以容易进行事后的访问检查。因此，对于客户企业也具有容易证明自身系统与规格符合(compliance)的优点。利用这样的特征，业务信息防护装置10能够有助于sox法案要求的“内部统一管理的增强”。

申请的作业内容不适合执行条件信息时，登记判定部131b将所进行的申请被质疑的意思通知给授权终端44，或者也可以暂时无效化该用户识别信息。通过使登记判定部131b进行这样的作业申请检查，能够自动拒绝非法的作业申请。并且，由于还能够定义不仅需要申请还需要授权的维修作业，所以能够进一步提高信息安全性。

在执行需要特别权限的维修作业时，也可以通过对特别权限设置时间限制，使得业务信息防护装置10能够统一管理在何时对于何种用户授予特别权限。

通常，对于维修作业，预先确定执行时刻表。本实施方式中，通过进行事先的作业申请和在任意时间的授权，能够在不对作业者及授权者施加过度的心理负担的状态下实现业务信息系统的安全性管理。

业务信息防护装置10还能够记录访问日志。另外，日志管理部151能够检查作业申请的内容和实际的作业内容是否出现不一致。因此，在访问被允许之后，也能够容易地检查事后是否发生非法访问。

这样，业务信息防护装置10从以下多个方面对业务信息系统进行防护。

1.用户认证

2.执行条件和被申请的作业内容的适应性的判定

3.远程登录请求时的申请判定

4.远程登录请求日期和时间和被申请的作业预定日期和时间的比较

5.与特别权限相关的判定

6.基于访问日志的非法访问检测

另外，业务信息防护装置10能够统一管理对多个业务信息系统的访问。因此容易针对多个业务信息系统适用统一的访问策略。并且，还具有对于已经被运行的业务信息系统，仅通过增加业务信息防护装置10就能实现的优点。

以上以“维修作业”为例进行了说明，但本发明并不限于此，例如，在职员从外出地点进行访问的情况下也能够适用。

上述一系列处理可以通过硬件执行，也可以通过软件执行。在利用软件执行一系列处理时，可以从程序记录介质将构成该软件的程序安装到被组合进专用硬件中的计算机或通过安装各种程序来能够执行各种功能的例如通用的个人计算机等中。

本发明并不限定于上述实施方式所描述的那样，可以在实施阶段在不脱离其要旨的范围内通过变型技术特征并使其具体化，或者适当组合实施实施方式中公开的多个技术特征，从而形成各种发明。例如，可以从实施方式中所示的所有构成要素中删除几个构成要素。并且，可以适当组合不同的实施方式中的构成要素。