业务信息防护装置

本发明涉及业务信息防护装置，特别是涉及能够提高业务信息系统的信息安全性 的业务信息防护装置。

支持企业或公共设施等运行的业务信息系统、所谓的企业系统(Enterprise System)现在已经成为各种大小组织的基础。业务信息系统通过对从终端节点(node)或数 据库获得的数据进行合计、积累、解析、加工，并在此基础上输出附加值更高的信息，由此支 持复杂的组织管理。

这样的业务信息系统在运转后也要进行操作监控、故障应对、功能扩充或功能变 更等各种维修作业。通常，引进业务信息系统的客户企业将该维修作业委托给外部管理公 司。多数情况下是管理公司的SE(System Engineer，系统工程师)远程登录业务信息系统， 进行维修作业。

近年来，美国通过的SOX(Sarbanes‐Oxley，萨班斯)法案强烈要求企业经营者或账 目监察人员保证公开信息的合法性。日本也打算效仿该法而引入日本版SOX法，所以，可应 对日本版SOX法的姿态的确立成为当务之急。

鉴于这样的社会背景，专利文献1提出了下述技术，即涉及除了根据ID和密码进行 用户认证以外还以管理者的授权访问为条件的访问规则(access rule)的技术。

【现有技术文献】

【专利文献】

【专利文献1】日本特开2004－213475号公报

专利文献1中记载的访问规则在防止非法访问业务信息系统方面是有效的方法， 但要求管理者立即应对作业申请，所以负担大。即，确立容易防止信息泄露的访问规则固然 重要，但是存在为抑制人为误差的发生而必须考虑用户负担的问题。

另外，企业所引进的业务信息系统不限于单一系统。例如，某一企业也许分别引进 财务系统和顾客系统，或者也许这些系统被合并到更上位的系统。在这类运转多个业务系 统的企业中，也需要能够提高各业务信息系统的信息安全性、并且容易管理它们的访问规 则的架构。

本发明的目的是提供一种能够提高业务信息系统中的信息安全性的业务信息防 护装置。

本发明的一个侧面的特征在于，具有：合法用户信息保持装置，其保持登记有可执 行系统的规定处理的合法用户的合法用户信息；申请接收装置，其接收用于申请指定访问 预定者和执行所述规定处理的申请信息；预定保持装置，其保持使所申请的所述规定处理 和其访问预定者对应的预定信息；执行请求接收装置，在执行所述规定处理时，从终端接收 确定访问者的用户识别信息；用户认证装置，其参照所述合法用户信息，判定所述访问者是 否被登记为合法用户；申请状态判定装置，参照所述预定信息，判定所述访问者为访问预定 者的规定处理是否进行过申请；访问控制装置，以所述用户认证装置的判定和所述申请状 态判定装置的判定都为肯定判定作为条件，允许从所述终端至所述系统的访问以进行规定 处理；日志记录装置，将从所述终端至所述系统的访问历史记录为日志信息；验证装置，将 所述日志信息所示的访问和为进行所述预定信息中所申请的规定处理的访问进行对比，检 测出所述日志信息所示的访问中的、与为进行所述预定信息所申请的规定处理的访问不符 合的访问，作为非法访问。

还具有：申请通知装置，其向规定处理申请的授权者通知所申请的处理内容；授权 获得装置，其受理来自所述授权者的授权输入，所述预定保持装置还使所申请的规定处理 和其授权状态相对应地保持为所述预定信息，所述申请状态判定装置还能够判定被申请的 规定处理是否已经授权。

所述申请状态判定装置还能够规定处理的执行日期和时间是否在所申请的期间 内。

还可以具有：执行条件保持装置，保持定义规定处理的执行条件的执行条件信息； 申请登记判定装置，以被申请的处理内容与所述执行条件信息相符为条件，将被申请的规 定处理登记在所述预定信息中。

所述合法用户信息保持装置还保持表示可获得与通常的用户权限不同的特别权 限的用户的升级用户信息，所述申请状态判定装置在指定特别权限作为对于被申请的规定 处理的执行条件时，还对访问者是否是可获得特别权限的用户进行判定。

利用本发明能够提供一种能够提高业务信息系统的信息安全性的业务信息防护 装置。

图1是表示本实施方式的业务信息系统的结构例的框图。

图2是表示业务信息防护装置的功能结构例的框图。

图3是表示执行条件保持部中的执行条件信息的数据结构例的图。

图4是表示日志保持部所保持的访问日志的记录内容例的图。

图5是表示登录画面的显示例的图。

图6是表示访问申请画面的显示例的图。

图7是表示访问授权画面的显示例的图。

图8是表示访问申请、授权级别设定画面的显示例的图。

图9是表示访问日志检索画面的显示例的图。

图10是表示检索结果画面的显示例的图。

图11是对访问检查处理进行说明的流程图。

符号的说明

10 业务信息防护装置

11 中继装置

12 登录接口处理部

12 用户认证装置

13 申请管理装置

20 作业终端

40 客户环境

41 财务信息系统

42 顾客信息系统

43 库存管理系统

44 授权终端

121 用户认证部

122 合法用户信息保持部

131 申请状态管理部

131A 作业申请部

131B 登记判定部

131C 申请通知部

131D 作业授权部

132 申请状态判定部

133 访问接口处理部

135 执行条件保持部

136 作业预定保持部

138 升级处理部

151 日志管理部

152 日志保持部

151A 日志记录部

151B 作业验证部

[业务信息系统的结构]

图1是表示本实施方式的业务信息系统的结构例的图。该图所示业务信息系统中， 业务信息防护装置10和作业终端20通过网络30连接，同时，客户环境40通过业务信息防护 装置10与网络30连接。另外，日志管理装置15也与业务信息防护装置10连接。

在图1所示的业务信息系统中，客户环境40表示某企业A的业务环境。客户环境40 的各种业务系统在运转后也接受适当的维修作业。有时在客户环境40内进行该维修作业， 但通常通过来自作业终端20的远程访问来执行该维修作业。以下将进行该远程维修作业的 用户简称为“作业者”。作业者通常多数为与企业A签订了维修作业合同的管理公司的SE (Systems Engineer)。作业者操作作业终端20，并通过网络30及业务信息防护装置10远程 登录客户环境40的各种业务信息系统。作业终端20和业务信息防护装置10之间的通信路径 优选为利用VPN(Virtual Private Network，虚拟专用网)等的安全的通信路径。

下面就网络30借助互联网或局域网(LAN)等公用线路的远程访问为前提进行说 明，但业务信息防护装置10和客户环境40、作业终端20可以利用专用线路相互连接。

另外，本说明书中对于通过运行各种业务信息系统来执行组织业务的企业使用 “客户企业”或“客户环境40”的用语，其意思为从外部的作业终端20接受维修作业服务的客 户。

业务信息防护装置10是集中接收从作业终端20发送至客户环境40的远程登录请 求的装置，被设置在网络安全接口。业务信息防护装置10进行TELNET(Telecommunication network，电信网)、SSH(Secure Shell，安全外壳)、FTP(File Transfer Protocol，文件传 输协议)、HTTP(HyperText Transfer Protocol，超文本传输协议)、HTTPS(Hypertext Transfer Protocol Security，超文本传输协议的安全版)、WindowsRDP(Remote Desktop Protocol，远程桌面协议)、CIFS(Common Internet File System，通用互联网文件系统)等 通信协议的访问控制及获取日志的检查(后面进行详细描述)。

业务信息防护装置10以下面二个阶段的判定都为肯定判定作为条件，允许来自作 业终端20的远程登录。

1.作业者是否是预先被登记的用户(以下称为“用户认证”)

2.作业者是否事先已经(正确地)申请过执行维修作业(以下称为“申请判定”)

业务信息防护装置10包括中继装置11、用户认证装置12、申请管理装置13及访问 权管理装置14。业务信息防护装置10可以是使中继装置11、用户认证装置12、申请管理装置 13及访问权管理装置14的各功能一体化而构成的单一装置，但在本实施方式中，基于以下 理由，对业务信息防护装置10为这三个装置的集合体的情形进行说明。

一般情况下，系统构成通常如下：操作者从自己终端远程登录到终端服务器，以被 该终端服务器进行用户认证作为条件，允许访问业务信息系统。在本实施方式中，除了这样 的系统(以往的系统)以外，还引入了用户认证装置12、申请管理装置13及访问权管理装置 14，由此实现了通过申请判定来提高信息安全性。即，图1所示的中继装置11可以是现有的 终端服务器，下面对中继装置11是安装了WINDOWS(注册商标)的普通PC(Personal Computer，个人电脑)终端的情形进行说明。

当中继装置11被作业终端20经由网络30访问时，中继装置11对该作业终端20的IP 地址和主机名等进行确认，在作业终端20为连接许可对象以外的对象的情况下，立即切断， 不允许连接。另一方面，在作业终端20为连接许可对象的情况下，中继装置11要求作业终端 20提供用户ID和密码，并将按照该要求而发送过来的用户ID和密码提供给用户认证装置 12、申请管理装置13及访问权管理装置14，委托确认。

用户认证装置12代替中继装置11执行“用户认证”。首先，作业终端20的用户与以 往相同地远程登录中继装置11。此时，用户ID和密码通过网络30被发送至中继装置11。用户 认证装置12从中继装置11接收到用户ID和密码后执行用户认证，并将该结果返给中继装置 11。

申请管理装置13从中继装置11接收到用户ID和密码后执行“申请判定”。作业者必 须在远程登录业务信息系统之前，预先申请预定在何时执行何种作业。申请管理装置13统 一管理这样的作业预定，并在接收到来自作业者的远程登录请求时，确认该作业者是否事 先申请了某种维修作业。允许访问业务信息系统的条件是用户认证成功，并且已申请过作 业。

访问权管理装置14代替中继装置11执行“访问权认证”。也就是说，访问权管理装 置14从中继装置11接收到用户ID和密码及表示访问目的地的信息(IP地址和主机名等)，执 行是否允许该用户连接到访问目的地(是否有访问权)的认证，并将该结果返给中继装置 11。

中继装置11、用户认证装置12、申请管理装置13及访问权管理装置14分别由正支 和副支两台服务器构成，具有失效转移(failover)功能。即，构成为，在正支服务器因某理 由出现故障时，正支服务器的IP地址被添加到副支服务器中。具体而言，正支服务器和副支 服务器分别具有真实IP和虚拟IP，所以，在副支服务器监控正支服务器并检测到异常时，获 取正支的虚拟IP。作业者可以访问虚拟IP，所以，在发生异常时，自动将对正支服务器的访 问更换为对副支服务器的访问。由此，作业者能够利用副支服务器继续服务，而没有意识到 正支服务器发生故障。

作为本实施方式的业务信息防护装置10的主要优点，可以列举以下5点。

1.由于除了进行用户认证，还进行申请判定，所以，增强了业务信息系统的信息安 全性。

2.容易导入已经运行的业务信息系统中。

3.能够减轻与申请判定相关联的用户的负载。

4.能够利用单一的业务信息防护装置10对多种业务信息系统进行统一管理。

5.由于绑定申请内容和访问日志，所以容易进行访问检查。

日志管理装置15获取并管理在中继装置11中进行的访问内容。例如，获取并管理 访问日期和时间或IP地址之类的“概要日志”或收发的数据的“全文日志”。

日志管理装置15将申请管理装置13所管理的作业申请内容和日志管理装置15所 管理的访问日志绑定，进行管理，所以，能够容易地进行访问检查。所谓访问检查，是搜索访 问日志，并检查是否正在进行所申请的访问的日志。

在作业终端20被作业者输入用于远程登录客户环境40的用户ID和密码时，将该用 户ID和密码作为远程登录请求，通过网络30发送给业务信息防护装置10。

客户环境40包括财务信息系统41、顾客信息系统42、库存管理系统43的三种业务 信息系统和一个以上授权终端44。财务信息系统41是管理企业A的财务信息的系统。顾客信 息系统42是管理企业A的顾客信息的系统。库存管理系统43是管理企业A的商品库存状态的 系统。授权终端44是安装了Web浏览器的普通PC终端。授权终端44不一定属于客户环境40， 可以是笔记本电脑等便携式终端。

图2是表示业务信息防护装置10及日志管理装置15的功能结构例的框图。

对于图2所示的各框，在硬件方面，可以通过包括计算机的CPU在内的元件或机械 装置实现，在软件方面，可以通过计算机程序等实现，但是，在这里，图2所示的各框表示通 过硬件和软件的联合而实现的功能块。因此，这些功能块能够利用硬件、软件的组合以各种 形式实现。

A：中继装置11

中继装置11的登录接口处理部111接收来自作业终端20的远程登录请求。该远程 登录请求中含有用户ID和密码。中继装置11传输接收到的用户ID和密码，从而利用用户认 证装置12进行用户认证处理，利用申请管理装置13进行申请判定处理，利用访问权管理装 置14进行访问权认证处理。另外，登录接口处理部111在从作业终端20获取了表示访问目的 地的信息(IP地址和主机名等)时，传输获取的信息，从而利用访问权管理装置14进行访问 权认证处理。并且，登录接口处理部111从用户认证装置12、申请管理装置13及访问权管理 装置14接收各自的判定结果。以下将类似用户ID或密码的用于识别用户的数据称为“用户 识别信息”。作为变型例，用户识别信息可以是指纹和虹膜等生物信息。

中继装置11可以不是单独的装置。例如，可以分别是用于财务信息系统41的中继 装置11和用于顾客信息系统42的中继装置11。或者，作业者可以通过多个中继装置11中的 任意中继装置11访问目标业务信息系统。从分散负载和有效性方面考虑，优选设置多个中 继装置11。同样，从分散负载和有效性方面考虑，也可以设置多个用户认证装置12、申请管 理装置13及访问权管理装置14。

B：用户认证装置12

用户认证装置12包括用户认证部121和合法用户信息保持部122。在中继装置11的 登录接口处理部111接收到远程登录请求时，用户认证部121从登录接口处理部111获取该 用户ID和密码。并且，通过判定该发送源的用户是否作为合法的用户被登记在合法用户信 息保持部122来进行用户认证。合法用户信息保持部122保持有使用户ID和密码对应的合法 用户信息。该合法用户信息中登记的用户称为“合法用户”。用户认证部121不仅对作业者执 行用户认证，对授权者也执行用户认证，后面进行详细描述。另外，用户信息保持部122安装 在用户认证装置12的内部，但并不限定于此，例如可以是LDAP(Lightweight Directory Access Protocol，轻量级目录访问协议)服务器等外部装置。

在对业务信息系统进行的维修作业中，也包括如断开(release)作业一类的对业 务信息系统影响特别大的作业。为了执行这类维修作业，需要通过与管理员一样的用户权 限进行访问，而不是以通常的用户权限进行访问。但是，从提高业务信息系统的信息安全性 方面来看，不优选轻易地赋予这样的特别用户权限(以下简称为“特别权限”)。在后面描述 详细架构，但业务信息防护装置10能够严格管理处于能够获取该特别权限的状态的用户 (以下称为“可升级用户”)。合法用户信息保持部122除了保持合法用户信息以外，还保持表 示可升级用户的升级用户信息。将被登记在升级用户信息中成为可升级用户称为“升级”， 将从升级用户信息中删除，不再是可升级用户称为“降级”。

本实施方式的用户认证装置12是单一装置，统一管理用户识别信息。通过利用单 一的用户认证装置12执行联系多个业务信息系统和多个关系者的用户认证，从而形成容易 管理用户认证策略(policy)的结构。

C：申请管理装置13

申请管理装置13包括申请状态管理部131、申请状态判定部132、访问接口处理部 133、执行条件保持部135、作业预定保持部136及升级处理部138。

作业者为了访问业务信息系统，必须预先申请维修作业的执行。申请状态管理部 131承担与该作业的申请相关的处理。申请状态管理部131包括作业申请部131A、登记判定 部131B、申请通知部131C及作业授权部131D。

作业者在开始作业前通过作业终端20向申请管理装置13发送作业申请信息。所谓 作业申请信息，是作业目的、作业日期和时间、项目名、成为访问对象的系统名等输入数据 的集合，但此外还可以包括申请者的邮件地址、申请日期和时间或申请者的IP地址等输入 数据以外的附带信息。另外，从作业终端20发送作业申请信息，但并不限于此，例如，可以从 不同于作业终端20的申请终端(未图示)发送。

作业申请部131A从作业终端20接收作业申请信息。

登记判定部131B判定作业申请部131A接收到的作业申请信息是否与被登记在执 行条件保持部135的执行条件信息(后面参照图3进行描述)相符。登记判定部131B判定为作 业申请信息与执行条件信息不符时，拒绝申请，并将该结果通知作业终端20的作业者。登记 判定部131B判定为作业申请信息符合执行条件信息时，在作业预定保持部136的作业预定 信息中登记被申请的作业。将被登记在作业预定信息中的作业申请称为“有效的作业申 请”。作业预定信息的内容与作业申请信息的内容可以实质上相同。即，接到的作业申请信 息中，只有满足作为有效的作业申请的要件的作业申请信息才作为“作业预定信息”被正式 登记在作业预定保持部136。

如果是有效的作业申请，则登记判定部131B赋予用于唯一识别作业的申请号(作 业ID)。在作业预定信息中申请号、作业预定日期和时间、作业内容、作业者名、授权状态等 被对应。

不仅存在只要进行有效作业申请，就可开始作业的那一类维修作业，还存在没有 获得授权就不能开始作业的那一类维修作业。作为执行条件信息的一部分，可以像这样进 行定义。

另外，对于被登记在作业预定保持部136的作业预定信息中已经过作业预定日期 和时间的作业，成为过去提出的申请历史的状态，对于被拒绝的申请，成为申请状态被记录 为“拒绝”的状态。

在有效的作业申请被登记在作业预定保持部136时，申请通知部131C参照执行条 件保持部135登记的执行条件信息判定该申请的作业内容是否需要授权。在维修作业被申 请了的情况下，申请通知部131C将其申请号通知给授权者。本实施方式的申请通知部131C 向授权终端44发送表示申请号的。授权者如果接收到通知，则操作授权终端44的 未图示的输入部，基于申请号，访问业务信息防护装置10的申请管理装置13，输入是否授 权。

作业授权部131D从授权终端44接收是否授权。如果被授权，则作业授权部131D将 作业预定保持部136所登记的作业预定信息中的授权状态从“未授权”变更为“授权”。拒绝 的情况下，作业授权部131D将拒绝申请的结果通知给作业者，同时，将在作业预定保持部 136所登记的作业预定信息的申请状态记录为“拒绝”。

申请状态判定部132执行申请判定。当从作业者接收到远程登录请求时，参照从登 录接口处理部111获取的用户识别信息和作业预定保持部136所登记的作业预定信息，判定 是否申请过作业。另外，申请状态判定部132还对远程登录请求的接收日期和时间是否在所 申请的作业时间内进行判定。

例如，当指定“10:00～11:00”的作业预定时间进行申请时，在10:00前和11:00后 即使提出远程登录请求，申请判定的结果也是“否定”，不允许远程登录。

在用户认证和申请判定都是肯定判定时，访问接口处理部133允许用于从作业终 端20访问客户环境40的通信路径。当然，需要授权的维修作业被申请时，不经授权不允许访 问。

执行条件保持部135将对维修作业的访问规则作为执行条件信息进行保持。维修 作业为如应对故障、调查、运转监控、断开作业等，其目的各种各样。可以将维修作业如此分 为多个种类(以下简称为“作业种类”)。例如对业务信息系统增加模块的断开作业有时希望 仅在营业时间以外允许。这种情况下，业务信息系统的管理负责人设定执行条件，使得只能 在营业时间以外执行断开作业。后面参照图3对执行条件保持部135的数据结构进行描述。

作业预定保持部136保持被申请状态管理部131的登记判定部131B正式登记的、满 足作为有效的作业申请的要件的作业预定信息。

升级处理部138按规定的时间从作业预定保持部136读取作业预定信息，判定是存 在应当升级的用户还是存在应当降级的用户。

本实施方式的申请管理装置13是单一装置，统一执行申请判定。利用单一的申请 管理装置13执行与多个业务信息系统相关的申请判定，由此构成为容易管理执行条件和作 业预定信息。

图3是表示执行条件保持部135中的执行条件信息的数据结构的例子的图。

执行条件信息是各业务信息系统的管理负责人制定的访问规则。规则ID栏135A表 示用于唯一识别访问规则的ID(以下称为“规则ID”)。访问规则被登记时，分配规则ID。年月 日栏135B表示访问规则的适用日期。时间栏135C表示访问规则的适用时间。例如，在适用规 则ID“1”的访问规则时，作为企业A的营业日为“6:00～16:00”的时间段。作业种类栏135D表 示适用访问规则的维修作业的作业种类。是否需要授权栏135E表示为了执行该作业是否需 要授权。

在图3的例子中，例如适用规则ID“1”的访问规则的维修作业是以“营业日”的“6: 00～16:00”中的作业种类“01”的“应对故障”为目的的维修作业和以作业种类“02”的“调 查”为目的的维修作业，针对这些维修作业不需要授权。即，进行以营业日的“6:00～16:00” 作为作业预定日期和时间、以应对故障为目的的维修作业时，作业者只预先进行表示其主 旨的作业申请即可，无需授权。另外，适用规则ID“2”的访问规则的维修作业是以“营业日” 的“6:00～16:00”中的作业种类“03”的“运转监控”为目的的维修作业和以作业种类“04”的 “断开作业”为目的的维修作业，这些维修作业需要授权。即，在营业日的“6:00～16:00”，在 执行以“运转监控”或“断开作业”为目的的维修作业时，不仅需要作业申请，如果不授权，则 不能访问。

例如假设作业者A在营业日的“6:00～16:00”中的日期和时间T提出远程访问请 求。此时，基于图3的例子中所示的执行条件信息得到的申请判定结果如下所示。

1.未进行如含有日期和时间T为作业预定时间的作业的申请时，为否定判定。

2.已申请如含有日期和时间T作为作业预定时间的应对故障作业时，为肯定判定。

3.已申请含有日期和时间T作为作业预定时间的运转监控作业时，申请状态判定 部132参照作业预定保持部136，如果申请的运转监控作业被授权过，则为肯定判定。在未授 权或拒绝的情况下为否定判定。

另外，登记判定部131B在同一作业者在同一日期和时间申请不同的作业时，自动 拒绝这样的申请。因此，作业者不能以日期和时间T为对象同时申请应对故障作业和运转监 控作业两者。

执行条件保持部135可以按每一业务信息系统分别保持执行条件信息，但是在本 实施方式中，是统一的执行条件信息，即针对财务信息系统41、顾客信息系统42、库存管理 系统43定义了共同的访问规则。另外，在本实施方式中所说明的情形为，执行作业种类“04” 的“断开作业”时需要特别权限，但其以外的作业不需要特别权限。

D：访问权管理装置14

访问权管理装置14包括访问权认证部141和访问权信息保持部142。在中继装置11 的登录接口处理部111接收到远程登录请求时，访问权认证部141从登录接口处理部111获 取用户ID和密码及表示访问目的地的信息(IP地址和主机名等)，并基于访问权信息保持部 142所登记的访问申请状况判定是否允许该发送源的用户连接访问目的地(是否有访问 权)。访问权信息保持部142保持与用户ID及表示访问目的地的信息对应的访问申请状况。

E：日志管理装置15

日志管理部151管理从作业终端20访问客户环境40的访问日志。日志管理部151包 括日志记录部151A和作业验证部151B。日志记录部151A将远程登录请求的执行、作业终端 20和业务信息系统之间收发的命令或数据、该执行的日期和时间记录为访问日志。日志记 录部151A在记录时将在申请状态管理部131的登记判定部131B被赋予的申请号和与该申请 号对应的作业申请内容的访问日志联系起来。另外，日志记录部151A还记录认证失败或未 申请、无访问权等拒绝历史的日志。

作业验证部151B将保持在日志保持部152的访问日志的内容和与该访问日志所绑 定的申请号对应的、被登记在作业预定保持部136的作业预定信息进行比较，检查是否是非 法访问。

例如，在进行了“运转监控”为目的的作业申请时，当执行文件的重写处理时，作业 验证部151B参照日志保持部152所保持的访问日志，检测出这样的非法访问。作业验证部 151B将存在非法访问或疑为非法访问的访问的结果通知给授权终端44。或者，在检测出非 法访问的时间点，访问接口处理部133可以强行禁止远程访问。

日志保持部152将在申请状态管理部131的登记判定部131B被赋予的申请号和与 该申请号对应的作业申请内容的访问日志绑定并保持。后面参照图4对日志保持部152所保 持访问日志的记录内容进行说明。

图4是表示日志保持部152所保持的访问日志的记录内容之一例的图。

日志保持部152包括概要日志记录区域152A和全文日志记录区域152B，保持概要 日志和全文日志二种日志。概要日志包括访问的开始、结束时刻、使用终端、访问目的地服 务器的IP地址和主机名、用户ID、连接时间等。全文日志包括实际执行、操作命令等的内容。

在图4的例子的情况下，在概要日志记录区域152A和全文日志记录区域152B分别 按照各协议保持主要记录内容。例如，“TELNET”协议的情况下，在概要日志记录区域152A记 录访问开始的日期和时间、端口(port)、连接源IP地址、用户ID、连接目的地IP地址、连接时 间，在全文日志记录区域152B记录接收数据。

以上所示的访问日志的记录内容与申请号绑定，保持在日志保持部152。另外，通 过WindowsRDP获取的访问日志以动画形式被记录。

图5是表示登录画面的显示例的图。

当请求从作业终端20远程登录到中继装置11时，图5所示的登录画面50被显示在 作业终端20。当中继装置11接收到远程登录请求时，在作业终端20的登录画面50内显示登 录窗口51。即，中继装置11的登录接口处理部111提供作业终端20的用户接口画面。作业终 端20的用户在显示在登录画面50内的登录窗口51上输入用户ID和密码。从用户侧看，用户 接口与以往终端服务器提供的接口相同，但输入的用户识别信息通过用户认证装置12、申 请管理装置13及访问权管理装置14被分别供应并用于用户认证、申请判定、访问权认证。

图6是表示访问申请画面的显示例的图。

当作业者为了作业申请而从作业终端20访问申请管理装置13时，在作业终端20显 示图6所示的访问申请画面60。即，在从作业终端20进行访问时，申请状态管理部131的作业 申请部131A使访问申请画面60在作业终端20显示为Web页面。

在申请者名区域61输入申请作业的用户名。当由自己以外的人进行作业时，申请 者输入实际执行作业的预定的用户名。在项目名区域62输入申请的作业的项目名。从系统 分类区域63选择成为对象的业务信息系统的类型。此处选择财务信息系统64。访问接口处 理部133可以进行控制，从而禁止该用户在申请日期和时间对所选择的业务信息系统以外 的系统进行访问。

系统名区域64表示业务信息系统的名称，作业种类区域65表示作业种类。内容输 入区域66是用于自由描述作业内容等的区域。附件区域67是用于附加利用的协议书等电子 文件的区域。访问预定日期和时间区域68表示作业预定日期和时间。作业者在申请画面60 所示的各项目中输入数据后，点击申请按钮(button)69。这样，作业终端20将输入的数据作 为作业申请信息发送给申请管理装置13。

在进行访问申请时，除了申请者名、项目名、系统分类、系统名、作业种类、内容及 访问预定日期和时间以外，还附加记载有实际利用的协议书等的电子文件，由此能够将作 业申请信息和附带的电子文件一起统一进行管理。

图7是表示访问授权画面的显示例的图。

在进行需要授权的作业申请时，在授权终端44显示图7所示的访问授权画面70。 即，在进行需要授权的作业申请时，申请状态管理部131的登记判定部131B将申请号通知给 授权终端44。如果授权者指定申请号后访问申请管理装置13，则作业授权部131D使访问授 权画面70在授权终端44显示为Web页面。

申请信息区域71表示访问申请画面60中所输入的申请内容。授权者名区域72是用 于输入授权者名的区域。授权委托者名区域73是用于输入委托授权的用户名的区域。例如， 具有授权权限的用户B将授权委托给用户C时，用户C代理用户B进行授权判断。这是用于应 对用户B在休假中等特殊情况的措施。

通信栏74是记载针对作业申请者的信息的栏，可以记载拒绝申请的理由，或者在 授权申请时记载对作业内容的附加条件或注释。授权按钮75是授权时使用的按钮，拒绝按 钮76是拒绝时使用的按钮。当点击授权按钮75和拒绝按钮76中任一个按钮时，输入内容和 表示是否授权的数据被发送给申请管理装置13。作业授权部131D例如通过将该数 据发送给作业终端20。

在申请例如“断开作业”那样的需要特别权限的维修作业时，基于是否授权和执行 条件信息对升级用户信息进行更新。例如，假设以营业日的“6:00～16:00”中的时间段作为 作业预定时间申请断开作业。如果被授权，则限于被申请的日期和时间，申请者升级。例如， 假设以营业日“2006年9月28日”的“10:00～11:00”作为作业预定日期和时间，用户A申请了 断开作业。如果授权该作业，则仅在以作业预定日期和时间所示的期间用户A成为可升级用 户。即，当到达2006年9月28日10:00时，升级处理部138使用户A升级，并在合法用户信息保 持部122的升级用户信息中进行登记。另外，当到达9月28日的11:00或者断开作业结束时， 使用户A降级，并从升级用户信息中删除用户A。由此，在本实施方式中，特别权限是具有时 间限制的权限。

此处所说的特别权限也可以是所谓的超级(root)权限或管理员(administrator) 权限。即，所谓可升级用户，可以是用自己的用户ID登录后，能够通过例如UNIX(注册商标) 的所谓“su命令”等获取超级管理员权限的用户。

另外，可以利用与申请、授权过程不同的其他访问策略管理是否赋予特别权限。例 如，可以以下述条件允许作业者B的作业：断开作业被作业者B申请，被授权者C授权作业，并 且，另外的授权者D允许对作业者B赋予特别权限。像这样将“特别权限”这一重要权限的管 理者与作业授权者分开，由此能够进一步增强业务信息防护装置10的信息安全性。

升级处理部138可以在规定条件成立时使规定用户升级，而与作业申请无关。例 如，当用户B是应对灾害的专家时，升级处理部138如果检测出地震的发生，则可以以规定时 间为限使用户B升级。另外，在这样的紧急情况下，可以是省略作业申请手续的访问规则。 即，可以以业务信息防护装置10具有的震度计测定到规定值以上的震动作为用户D的升级 条件。

作为其他例子，可以以在业务信息系统检测到计算机病毒作为规定用户的升级条 件。或者，在具有特别权限的用户C进行了超出作业申请范围的访问时，可以使用户C降级。 即，可以以在业务信息防护装置10或客户环境40发生了规定事项作为升级、降级条件，执行 升级或降级处理。管理负责人也可以从外部对升级处理部138设定升级、降级条件。因此，即 使在上述紧急情况下，也能够使适当的用户在具有时间限制的条件下快速地升级。

图8是表示访问申请、授权级别设定画面的显示例的图。

在管理者预设作业申请信息的访问授权级别时，在授权终端44显示图8所示的访 问申请、授权级别设定画面80。管理者可以在访问申请、授权级别设定画面80上，通过服务 器设定，按每一个端口设定是否需要事先申请或授权。

协议、端口号区域81示出各协议的端口号。服务启动区域82是用于设定是否在被 访问时自动启动用户接口等提供服务的区域。全文日志获取区域83是用于设定是否获取作 业内容的全文日志的区域。访问授权级别区域84是设定是否需要事先申请或授权的授权级 别的区域。

在访问申请、授权级别设定画面80不只能够按照每一个协议、端口号设定授权级 别，还能够设定概要日志的保存期间、全文日志的保存期间、访问申请、画面操作日志保存 期间及服务器状态。由此能够从日志保持部152所保持的大量访问日志中勤恳地删除不需 要的访问日志。

在图8的例子的情况下，TELNET通信协议的23号端口被设定为需要事先申请和授 权。另一方面，TELNET通信协议的223号端口被设定为访问时不需要申请和授权的状态。这 样也可以在通常利用的端口设定“事先申请和授权”，或者假设在紧急情况下授权者不在的 情形，而设定仅“事先申请”。

图9是表示访问日志检索画面的显示例的图。

图9所示的访问日志检索画面90在授权者进行访问检查(日志检查)时被显示于授 权终端44。授权者为了确认许可的访问内容是否如同事先被申请的作业内容那样进行，而 在访问日志检索画面90上设定希望检索的访问日志的检索条件。检索按钮91是用于以被设 定的检索条件执行访问日志的检索的按钮。点击检索按钮91时，表示检索条件的数据被发 送给日志管理装置15。日志管理装置15的日志管理部151(的作业验证部151B)基于表示检 索条件的数据，抽取日志保持部152所登记的访问日志，同时抽取申请管理装置13的作业预 定保持部136所登记的作业预定信息。

图10是表示检索结果画面的显示例的图。

当点击访问日志检索画面90的检索按钮91时，在授权终端44显示图10所示的检索 结果画面100。即，利用申请管理装置13和日志管理装置15检索满足授权者在访问日志检索 画面90设定的检索条件的访问日志，该检索结果(访问日志和作业预定信息)被发送给授权 终端44，并作为概要被一览显示在检索结果画面100上。

文件图标101是用于下载具体的作业内容的按钮。点击文件图标101时，执行命令 的具体内容作为文本文件被获取并被显示。另外，文件命令102是用于下载申请内容的按 钮。点击文件图标102时，具体的申请内容被获取并被显示。即，授权者能够容易地比较访问 日志和申请内容，所以能够高效地进行日志检查。

另外，如果预先将根据申请内容被认为不需要的禁止命令等作为关键字(key word)进行登记，则能够抽取含有该关键字记录行数和记录。例如，已知在访问申请时，在向 访问分类申请“一般ID作业”的情况下，如果是一般ID的访问，则不仅不需要如获取特权ID 之类的命令，当然也不发出增加用户的命令。所以，针对“一般ID作业”，预先以被禁止或不 需要的“SU-”(用于获取特权ID的命令)及“useradd”(增加用户的命令)为关键字进行登记。 由此，能够抽取含有根据申请内容被认为不需要的禁止命令等的访问日志，提供给授权者， 所以能够高效地发现非法使用。

另外，如果利用邮件通知的功能，则在进行了符合关键字的操作时，能够向管理者 发送。这样能够仅通过进行访问检查就能够高效地进行日志检查。

另外，此处，以能够比较访问日志和申请内容的方式，显示了检索结果，但日志管 理部151的作业验证部151B也能够基于表示检索条件的数据，将申请管理装置13的作业预 定保持部136所登记的作业预定信息和日志保持部152所登记的访问日志进行对比，并检测 出上述日志信息中所示的访问中作为非法访问的不符合在上述作业预定信息中被申请的 维修作业用访问的访问。

[关于作业申请处理]

此处，对作业终端20的作业者进行的作业申请处理进行说明。作业者首先在显示 于作业终端20的图5所示的登录画面50上输入用户ID和密码。作业终端20随着所输入的用 户识别信息直接访问申请管理装置13，而不经由中继装置11。申请管理装置13将用户识别 信息传送给用户认证装置12。用户认证装置12的用户认证部121参照合法用户信息保持部 122的合法用户信息进行用户认证，在认证失败的情况下，不执行后面的处理。

在认证成功的情况下，用户认证装置12将认证成功的结果通知申请管理装置13。 申请管理装置13的作业申请部131A将申请画面用数据发送给作业终端20。作业终端20显示 图6所示的访问申请画面60。用户在访问申请画面60输入数据，所输入的数据作为作业申请 信息被发送给申请管理装置13。

申请管理装置13的登记判定部131B比较被申请的作业内容和执行条件保持部135 的执行条件信息，判定是否可登记。如果不是有效的作业申请，则登记判定部131B拒绝申 请，并将拒绝结果通知作业终端20，进而不执行后面的处理。另一方面，判定为是有效的作 业申请的情况下，登记判定部131B在作业预定保持部136的作业预定信息中登记被申请的 维修作业。如果是需要授权的作业，则申请通知部131C将请求授权的发送给授权 终端44。

通过以上处理，作业申请信息中仅有满足作为有效的作业申请的要件的作业申请 信息作为“作业预定信息”被正式登记在作业预定保持部136。

[关于作业授权处理]

接下来，对通过作业申请处理申请的作业内容的授权处理进行说明。授权终端44 在接收到申请已被提出的后，访问申请管理装置13。授权者利用任意时间在图5所 示的登录画面50上输入用户ID和密码。另外，授权者在输入用户ID和密码时，还指定申请 号。授权终端44将被输入的授权者的用户ID和密码发送给用户认证装置12。用户认证装置 12的用户认证部121从授权终端44获取用户ID和密码，参照合法用户信息保持部122所登记 的合法用户信息，进行授权者的用户认证。用户认证失败的情况下，不执行后面的处理。

认证成功的情况下，申请管理装置13的作业授权部131D基于从授权终端44获取的 申请号，检索作业预定保持部136所登记的作业申请信息。申请管理装置13的作业授权部 131D基于检索到的作业申请信息，将用于访问授权画面70的HTML(HyperText Markup Language，超文本标记语言)数据发送给授权终端44。授权终端44显示与申请号所指定的作 业相关的访问授权画面70(图7)。授权者确认访问授权画面70，并点击授权按钮75或拒绝按 钮76时，被输入的数据被发送至申请管理装置13。申请管理装置13的作业授权部131D根据 是否可授权来更新作业预定保持部136的作业预定信息。作业授权部131D通知作业终端20 是否可授权。

通过以上处理对有效申请的作业进行授权。另外，当授权者访问申请管理装置13 时，申请管理装置13一览显示待授权的作业申请，并且授权者可以是从其中选择成为授权 对象的作业申请之类的用户接口。另外，也可以总括地授权或拒绝多个作业申请。

[关于远程登录处理]

接下来说明对业务信息系统的远程登录处理。作业者从作业终端20首先访问中继 装置11。中继装置11确认进行访问的作业终端20的IP地址，判断是否允许连接，并在判断为 不允许的情况下切断连接。另一方面，允许作业终端20连接的情况下，中继装置11以适合于 协议的形式向作业终端20请求用户识别信息(用户ID及密码)。作业终端20显示登录画面50 (图5)，并接受作业者输入的用户ID和密码。作业终端20将被输入的用户ID和密码发送给中 继装置11。

中继装置11将从作业终端20接收到的用户ID和密码供给用户认证装置12、申请管 理装置13及访问权管理装置14。用户认证装置12的用户认证部121从中继装置11获取用户 ID和密码，并参照合法用户信息保持部12所登记的合法用户信息，进行作业者的用户认证。 在用户认证失败的情况下不执行后面的处理。

在认证成功的情况下，中继装置11向作业终端20请求输入访问目的地。作业终端 20接受作业者输入的访问目的地，并将表示访问目的地的信息(IP地址和主机名等)发送给 中继装置11。中继装置11将从作业终端20接收到的表示访问目的地的信息发送给访问权管 理装置14。访问权管理装置14的访问权认证部141基于表示访问目的地的信息，参照访问权 信息保持部142所登记的访问申请状况，确认该用户对访问目的地的访问权。访问权认证部 141判断为不适合的访问时，拒绝该用户对访问目的地的访问。另一方面，判断为适合访问 时，允许该用户对访问目的地的访问。并且，所有的判断都为肯定时，作业者能够访问成为 维修作业的对象的业务信息系统。

通过以上处理，对业务信息系统进行远程登录时，如果被判断为非法访问，则登录 失败，从而能够禁止访问。

[关于升级、降级判定处理]

接下来，对升级处理部138执行的用户的升级、降级处理进行说明。申请管理装置 13的升级处理部138从作业预定保持部136读取作业预定信息，判定是否存在应当升级的用 户。例如，用户A以营业日“2006年9月28日”的“10:00～11:00”作为作业预定日期和时间申 请断开作业，并被授权。此时，如果到达2006年9月28日的10:00，则升级处理部138升级用户 A。升级处理部138将可升级用户的用户识别信息发送给用户认证装置12，并在合法用户信 息保持部122的升级用户信息中登记用户A。

另外，升级处理部138判定作业预定信息中是否存在应当降级的用户。在上述例子 的情况下，如果到达2006年9月28日的11:00，则降级用户A。升级处理部138将应当降级的用 户的用户识别信息发送给用户认证装置12，并从合法用户信息保持部122的升级用户信息 中删除用户A。

申请管理装置13按每一规定时间(例如按每1分钟)反复执行上述处理，由此能够 定期更新升级用户信息。

如以上处理那样，利用带有时间限制的特别权限，能够进一步提高业务信息系统 的信息安全性。用户可以在进行了远程登录后自己明示请求特别权限，但是，以何种条件允 许升级，可以由升级处理部138基于规定的升级条件对此进行判定。

另外，对于上述作业申请处理、作业授权处理、对业务信息系统的登录处理、升级、 降级判定处理的详细说明，如同特开2008－117361号公报等中所记载的，是公知的技术。

[关于访问检查处理]

接下来，参照图11的流程图对访问检查处理进行说明。授权者为了确认允许访问 的内容是否是按照事先被申请的作业内容进行，而使用授权终端44的输入部(未图示)指示 执行访问检查(日志检查)。

在步骤S1中，授权终端44基于来自授权者的指示，显示图9所示的访问日志检索画 面90。授权者在访问日志检索画面90上设定希望检索的访问日志的检索条件。在步骤S2中， 授权终端44受理由授权者所设定的访问日志的检索条件的输入。并且，当点击检索按钮91 时，在步骤S3中，授权终端44将受理了输入的访问日志的检索条件数据发送给日志管理装 置15。

在步骤S4中，日志管理装置15的作业验证部151B从授权终端44接收到检索条件数 据时，从申请管理装置13的作业预定保持部136读取与检索条件数据中所含的申请号对应 的作业预定信息，并从日志保持部152读取与申请号绑定的访问日志，对二者进行核对，检 查是否是非法访问。例如，如上所述，在进行了以“运转监控”为目的的作业申请时，当进行 文件的重写处理时，成为非法访问。在步骤S5中，作业验证部151B从日志保持部152读取符 合检索条件的访问日志，并将其作为访问检查结果通知给授权终端44。

在步骤S6中，授权终端44基于从日志管理装置15接收到的访问检查结果，显示图 10所示的检索结果画面100。另外，在以根据申请内容被认为不需要的禁止命令为关键字进 行预先登记，并且检索到符合关键字的访问日志的情况下，能够利用邮件通知管理者检索 到的符合关键字的记录行数和记录。

[发明的实施方式的效果]

如上所述，本实施方式中除了用户认证，还进行申请判定，所以其构成容易防止非 法访问。仅进行用户认证的情况下，用户识别信息的泄露容易直接关系到自业务信息系统 的信息泄露。但是，由于业务信息防护装置10还要求作业申请手续，所以，用户识别信息的 泄露不易直接关系到非法访问。原因在于，即使非法用户暂时非法取得了用户识别信息，也 容易对要进行虚假作业申请程度的业务信息系统访问施加心理抑制。

另外，即使对于合法的管理公司的SE而言，也实现了一种限制对客户环境40的访 问的架构。如上所述，由于作业的申请或授权作为日志被记录下来，所以容易进行事后的访 问检查。因此，对于客户企业也具有容易证明自身系统与规格符合(compliance)的优点。利 用这样的特征，业务信息防护装置10能够有助于SOX法案要求的“内部统一管理的增强”。

申请的作业内容不适合执行条件信息时，登记判定部131B将所进行的申请被质疑 的意思通知给授权终端44，或者也可以暂时无效化该用户识别信息。通过使登记判定部 131B进行这样的作业申请检查，能够自动拒绝非法的作业申请。并且，由于还能够定义不仅 需要申请还需要授权的维修作业，所以能够进一步提高信息安全性。

在执行需要特别权限的维修作业时，也可以通过对特别权限设置时间限制，使得 业务信息防护装置10能够统一管理在何时对于何种用户授予特别权限。

通常，对于维修作业，预先确定执行时刻表。本实施方式中，通过进行事先的作业 申请和在任意时间的授权，能够在不对作业者及授权者施加过度的心理负担的状态下实现 业务信息系统的安全性管理。

业务信息防护装置10还能够记录访问日志。另外，日志管理部151能够检查作业申 请的内容和实际的作业内容是否出现不一致。因此，在访问被允许之后，也能够容易地检查 事后是否发生非法访问。

这样，业务信息防护装置10从以下多个方面对业务信息系统进行防护。

1.用户认证

2.执行条件和被申请的作业内容的适应性的判定

3.远程登录请求时的申请判定

4.远程登录请求日期和时间和被申请的作业预定日期和时间的比较

5.与特别权限相关的判定

6.基于访问日志的非法访问检测

另外，业务信息防护装置10能够统一管理对多个业务信息系统的访问。因此容易 针对多个业务信息系统适用统一的访问策略。并且，还具有对于已经被运行的业务信息系 统，仅通过增加业务信息防护装置10就能实现的优点。

以上以“维修作业”为例进行了说明，但本发明并不限于此，例如，在职员从外出地 点进行访问的情况下也能够适用。

上述一系列处理可以通过硬件执行，也可以通过软件执行。在利用软件执行一系 列处理时，可以从程序记录介质将构成该软件的程序安装到被组合进专用硬件中的计算机 或通过安装各种程序来能够执行各种功能的例如通用的个人计算机等中。

本发明并不限定于上述实施方式所描述的那样，可以在实施阶段在不脱离其要旨 的范围内通过变型技术特征并使其具体化，或者适当组合实施实施方式中公开的多个技术 特征，从而形成各种发明。例如，可以从实施方式中所示的所有构成要素中删除几个构成要 素。并且，可以适当组合不同的实施方式中的构成要素。