特許 6205013 アプリケーション利用システム

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B1)

(11)【特許番号】6205013

(24)【登録日】2017年9月8日

(45)【発行日】2017年9月27日

(54)【発明の名称】アプリケーション利用システム

(51)【国際特許分類】

   G06F 15/00 20060101AFI20170914BHJP

   G06F 13/00 20060101ALI20170914BHJP

   G06F 9/50 20060101ALI20170914BHJP

   G06F 9/46 20060101ALI20170914BHJP

【ＦＩ】

   G06F15/00 410B

   G06F13/00 353C

   G06F9/46 465C

   G06F9/46 350

【請求項の数】5

【全頁数】11

(21)【出願番号】特願2016-106959(P2016-106959)

(22)【出願日】2016年5月30日

【審査請求日】2017年2月17日

【新規性喪失の例外の表示】特許法第３０条第２項適用 平成２８年１月１３日に自社ホームページのインターネットアドレス「ｈｔｔｐ：／／ｊｓｃｏｍ．ｊｐ／ｂｌｏｇ／２０１６／０１／１３／ｐｒｅｓｓ２０１６０１１３ｂ／」にて発表

【早期審査対象出願】

(73)【特許権者】

【識別番号】516130743

【氏名又は名称】ジェイズ・コミュニケーション株式会社

(74)【代理人】

【識別番号】100115738

【弁理士】

【氏名又は名称】鷲頭 光宏

(74)【代理人】

【識別番号】100121681

【弁理士】

【氏名又は名称】緒方 和文

(74)【代理人】

【識別番号】100130982

【弁理士】

【氏名又は名称】黒瀬 泰之

(72)【発明者】

【氏名】中村 時彦

(72)【発明者】

【氏名】秋月 勝

(72)【発明者】

【氏名】小島 敏宏

【審査官】 田中 幸雄

(56)【参考文献】

【文献】 特開２０１３−２０１５８９（ＪＰ，Ａ）

【文献】 特開２０１５−０６９５４４（ＪＰ，Ａ）

【文献】 米国特許出願公開第２０１６／００１９３９１（ＵＳ，Ａ１）

【文献】 特開２０１６−０５７８９８（ＪＰ，Ａ）

【文献】 Jiang Wang et al.，SafeFox: A Safe Lightweight Virtual Browsing Environment，System Sciences (HICSS), 2010 43rd Hawaii International Conference on System Sciences - 2010，米国，IEEE，２０１０年 ３月１１日，p.1-10，ＵＲＬ，http://ieeexplore.ieee.org/document/5428517

【文献】 早川 智一 ほか，ＨＴＭＬ５を用いた仮想Ｗｅｂブラウザの提案と評価，情報処理学会論文誌 Ｖｏｌ．５７ Ｎｏ．２，日本，情報処理学会，２０１６年 ２月１５日，573-582ページ

(57)【特許請求の範囲】

【請求項1】

インターネットに接続されたサーバと、ローカルネットワークを介して前記サーバに接続されたローカル端末とを備え、
前記サーバは、マスターサーバと複数のスレーブサーバとを含み、
前記マスターサーバは、前記ローカル端末がアプリケーションプログラムの起動を要求したとき、前記ローカル端末を使用するユーザの属性情報及び各スレーブサーバの属性情報及びステータス情報に基づいて前記ローカル端末に対応する一のスレーブサーバを決定すると共に、前記ローカル端末に接続先情報を返信し、
前記一のスレーブサーバは、仮想端末を新規に生成し、
前記ローカル端末は、前記接続先情報に示された前記一のスレーブサーバ内の前記仮想端末に接続し、
前記一のスレーブサーバは、
前記仮想端末内で前記アプリケーションプログラムを起動させて前記アプリケーションプログラムの画面出力を前記ローカル端末に転送し、
前記ローカル端末が前記アプリケーションプログラムを終了させたとき前記仮想端末を削除することを特徴とするアプリケーション利用システム。

【請求項2】

前記ステータス情報は、ＣＰＵ使用率、メモリ使用率、及び仮想端末の起動数から選ばれた少なくとも一つの情報を含み、
前記属性情報は、アプリケーション種別、業務種別、及びグループ名から選ばれた少なくとも一つの情報を含む、請求項１に記載のアプリケーション利用システム。

【請求項3】

前記マスターサーバは、前記一のスレーブサーバを決定した後、当該一のスレーブサーバに対して前記仮想端末の作成命令を行い、
前記仮想端末の作成命令を受けた前記一のスレーブサーバは、前記仮想端末を新規に生成する、請求項１又は２に記載のアプリケーション利用システム。

【請求項4】

前記一のスレーブサーバは、コンテナ型の仮想端末内で前記アプリケーションプログラムを起動させる、請求項１乃至３のいずれか一項に記載のアプリケーション利用システム。

【請求項5】

前記アプリケーションプログラムはウェブブラウザを含む、請求項１乃至４のいずれか一項に記載のアプリケーション利用システム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、アプリケーション利用システムに関し、特に、ローカル端末によるアプリケーションの利用を通じたインターネットアクセスを無害化するシステムに関するものである。

【背景技術】

【0002】

近年、社内のローカル端末がマルウェア等の悪意のあるプログラムに感染することにより企業内情報が流出するケースが問題となっている。またコンピュータウィルスによってはローカル端末が正しく動作しなくなる場合があり、各企業においてセキュリティ対策は重要な問題となっている。

【0003】

セキュリティを考慮した企業内のコンピュータシステムとしてシンクライアントシステムが知られている（例えば非特許文献１、２参照）。シンクライアントシステムは、プログラムの実行やデータの保存といった機能をクライアント端末から切り離し、サーバに集中させるアーキテクチャのことを言う。

【0004】

シンクライアントの実装方式は、「ネットワークブート型」と「画面転送型」の２種類に大別される。ネットワークブート型は文字通りネットワークブートの仕組みを利用した方式であり、サーバに保存したイメージファイルを端末がネットワーク経由でダウンロードしてＯＳやアプリケーションを実行する。一方、画面転送型は、ＯＳやアプリケーションをサーバ側で実行し、画面出力を端末に転送する方式である。サーバと端末との間では、画面情報と操作情報だけがやり取りされ、画面情報はイメージファイルに比べて圧倒的にサイズが小さいので、外出先からのリモートアクセスも可能である。

【0005】

画面転送型は、「サーバーベース方式」、「ブレードＰＣ方式」、「ＶＤＩ（Virtual Desktop Infrastructure）方式」の３タイプに分類できる。このうち、サーバーベース方式は、サーバにマルチユーザアクセスのアプリケーションをインストールしておき、複数のユーザで共同利用する方式であり、ブレードＰＣ方式は、物理ＰＣ（ブレードＰＣ）をユーザごとに割り当てておき、ユーザが自らに紐づけられた物理ＰＣをネットワーク経由で操作する方式である。ＶＤＩ方式は、物理ＰＣではなく仮想マシンをユーザごとに割り当てる方式であり、１台の物理サーバに複数台の仮想マシンを集約できるので、ハードウェアコストを低減することができる。

【0006】

シンクライアントシステムに関し、例えば特許文献１には、複数の端末がセッション管理装置を介してデスクトップ部に接続可能なシステムが記載されている。セッション管理装置は、シンクライアントＯＳが起動する複数の仮想マシンを有するハイパーバイザー部と、端末と仮想マシンとを接続するネットワーク部と、端末にネットワーク部内の通信経路を割り当てる制御部とを備えており、端末はデスクトップ部の遠隔操作が可能である。

【先行技術文献】

【特許文献】

【0007】

【特許文献1】特開２０１４−１２００３３号公報

【非特許文献】

【0008】

【非特許文献1】佐々木 慎介（ネットワンシステムズ）、"デスクトップ仮想化（VDI）とシンクライアントはどう違う？"、[online]、2014年2月10日、「IT Leaders（情報システムリーダーのためのIT情報専門サイト）」、［2016年5月1日検索］、インターネット<URL：http://it.impressbm.co.jp/articles/-/10941>

【非特許文献2】山本祥正（富士ソフト株式会社）、"5分で絶対に分かるデスクトップ仮想化／VDI入門 (1/5)"、[online]、2014年8月19日、「atmarkIT」、［2016年5月1日検索］、インターネット<URL：http://www.atmarkit.co.jp/ait/articles/1408/19/news033.html>

【発明の概要】

【発明が解決しようとする課題】

【0009】

しかしながら、従来のシンクライアントシステムでは、ローカル端末を含めた企業内システム全体のセキュリティが十分に高いとは言えず、さらなる改善が望まれている。

【0010】

したがって、本発明の目的は、ローカル端末がインターネットに直接接続することによる情報漏洩及びマルウェア等の悪意のあるプログラムの影響を防止することが可能なアプリケーション利用システムを提供することにある。

【課題を解決するための手段】

【0011】

上記課題を解決するため、本発明によるアプリケーション利用システムは、インターネットに接続されたサーバと、ローカルネットワークを介して前記サーバに接続されたローカル端末とを備え、前記サーバは、前記ローカル端末がクライアントプログラムを通じてアプリケーションプログラムの起動を要求したとき前記仮想端末を新規に生成し、前記仮想端末内で前記アプリケーションプログラムを起動して前記アプリケーションプログラムの画面出力を前記ローカル端末に転送し、前記ローカル端末が前記クライアントプログラムを通じて前記アプリケーションプログラムの終了を要求したとき前記仮想端末を削除することを特徴とする。

【0012】

本発明によれば、ローカル端末によるアプリケーションプログラムを通じたインターネットアクセスがサーバ内の仮想端末を介して行われ、ローカル端末側でのアプリケーションプログラムの起動／終了に連動して仮想端末が作成／削除されるので、悪意のあるプログラムが実行されたとしてもその影響の範囲は仮想端末内に留まり、次回以降は常にクリーンな環境を提供することができる。したがって、ローカル端末のウィルス感染等を回避することができ、インターネットセキュリティの向上を図ることができる。

【0013】

本発明において、前記サーバは、コンテナ型の仮想端末を生成し、コンテナ内で前記アプリケーションプログラムを自動起動することが好ましい。この構成によれば、複数の仮想端末を相互に分離してセキュリティを高めることができる。また、仮想マシンやＯＳのエミュレートを行わないので仮想端末の生成及び削除が容易であり、ＯＳレベルでの仮想化によってサーバのオーバーヘッドを大幅に低減することができる。

【0014】

本発明において、前記サーバは、マスターサーバと複数のスレーブサーバとを含み、前記マスターサーバは、前記ローカル端末が前記クライアントプログラムを通じて前記アプリケーションプログラムの起動を要求したとき、前記ローカル端末を使用するユーザの属性情報及び各スレーブサーバの属性情報及びステータス情報に基づいて前記ローカル端末に最適なスレーブサーバを決定し、当該スレーブサーバに対して前記仮想端末の作成命令を行うと共に、前記ローカル端末に接続先情報を返信し、前記仮想端末の作成命令を受けたスレーブサーバは、前記仮想端末を新規に生成し、前記ローカル端末の前記クライアントプログラムは、前記接続先情報に示された前記スレーブサーバ内の前記仮想端末に接続することが好ましい。この構成によれば、システムの規模が大きくなって非常に多くの仮想端末を取り扱う場合であっても、リソースを有効利用してアプリケーションサービスを効率良く提供することができる。

【0015】

本発明において、前記ステータス情報は、ＣＰＵ使用率、メモリ使用率、及び仮想端末の起動数から選ばれた少なくとも一つの情報を含み、前記属性情報は、アプリケーション種別、業務種別、及びグループ名から選ばれた少なくとも一つの情報を含むことが好ましい。

【0016】

本発明において、前記アプリケーションプログラムはウェブブラウザであることが好ましい。近年、外部サイトへのアクセスを通じてローカル端末が危険にさらされる機会が増加しており、ウェブブラウザはセキュリティ対策を最も強化すべきアプリケーションプログラムの一つである。ローカル端末が仮想端末を介してウェブサイトの閲覧を実施する本システムによれば、ローカル端末をインターネットから分離することができ、ウェブアクセスを通じた情報漏洩等を回避することができる。また、ユーザがローカル端末側でブラウザ閲覧を開始しようとした時点でサーバが仮想端末を新規に生成し、前記ローカル端末側でブラウザ閲覧を終了した時点でサーバが仮想端末を削除するので、マルウェア等の影響を仮想端末内に留めることができ、ローカル端末には常にクリーンな環境を提供することができる。

【発明の効果】

【0017】

本発明によれば、ローカル端末がインターネットに直接接続することによる情報漏洩及びマルウェア等の悪意のあるプログラムの影響を防止することが可能なアプリケーション利用システムを提供することができる。

【図面の簡単な説明】

【0018】

【図1】図１は、本発明の第１の実施の形態によるアプリケーション利用システムの構成を概略的に示すブロック図である。

【図2】図２は、サーバ１０の構造を階層的に示すブロック図である。

【図3】図３は、アプリケーション利用システム１の動作を説明するための模式図である。

【図4】図４は、本発明の第２の実施の形態によるアプリケーション利用システム２の構成を示すブロック図である。

【発明を実施するための形態】

【0019】

以下、添付図面を参照しながら、本発明の好ましい実施の形態について詳細に説明する。

【0020】

図１は、本発明の第１の実施の形態によるアプリケーション利用システムの構成を概略的に示すブロック図である。

【0021】

図１に示すように、このアプリケーション利用システム１は、インターネット３０及びローカルネットワーク４０の両方に接続されたサーバ１０と、ローカルネットワーク４０を介してサーバ１０に接続された複数のローカル端末２０とで構成されている。ローカル端末２０はインターネット３０に直接接続されていないが、サーバ１０を介してインターネット３０に接続可能である。

【0022】

サーバ１０は内部の仮想端末を通じて各ローカル端末２０にアプリケーションサービスを提供するアプリケーションサーバであり、各ローカル端末２０がインターネットに直接アクセスすることを阻止するセキュリティサーバとしての役割も果たすものである。サーバ１０にはローカル端末２０が使用する各種アプリケーションプログラムが用意されているが、その代表例はウェブブラウザである。

【0023】

本実施形態において、サーバ１０はコンテナ型のデスクトップ仮想化技術を通じてローカル端末２０にアプリケーションサービスを提供する。サーバ１０内の制御プログラムは「コンテナ」と呼ばれる仮想端末（ユーザ空間）を管理しており、ローカル端末２０からの要求に応じてコンテナを生成し、コンテナ内でユーザプロセス（アプリケーションプログラム）を実行し、実行画面をローカル端末２０に転送する。したがって、ローカル端末２０はサーバ１０側でプログラムが実行されていることを意識することなくアプリケーションサービスを利用することができる。

【0024】

図２は、サーバ１０の構造を階層的に示すブロック図である。

【0025】

図２に示すように、サーバ１０は例えばLinux（登録商標）サーバであり、物理マシン１１上で稼働するホストＯＳ１２と、ホストＯＳ１２上で動作するコンテナ管理用の制御プログラム（コンテナ管理ソフトウェア）１３とを有し、ホストＯＳ１２上で動作するユーザプロセス１５は対応するコンテナ１４内に閉じ込められている。代表的なコンテナ管理ソフトウェアはＤＯＣＫＥＲ（登録商標）である。

【0026】

ホストＯＳ１２の内部は、物理リソースを管理する「カーネル空間」と、ユーザプロセスを実行する「ユーザ空間」とに分けられ、コンテナ型の仮想化では、ユーザ空間を複数に分けてそれぞれのユーザプロセスから見えるリソースを制限する。このように、単一のユーザプロセス、あるいはいくつかのユーザプロセスをまとめて閉じ込めたユーザ空間が「コンテナ」である。

【0027】

コンテナ型の仮想化において、すべてのプロセスはサーバ１０にインストールされたホストＯＳ１２上で直接動作する。コンテナ内のプロセスは実際の貨物輸送のコンテナのように隔離された空間に入っているので、あるコンテナの内部から他のコンテナの内部を見ることはできない。この隔離された空間を作り出すのはホストＯＳのカーネルの機能である。ホストＯＳを通して使用できるコンピュータのリソースをコンテナごとに隔離して、ホストＯＳ上で直接動作するプロセスや他のコンテナから独立した空間を作り出すことにより、リソースが分割、分配、制限される。

【0028】

ハイパーバイザー型では仮想的なハードウェアの環境が作り出されるのに比べて、コンテナ型では独立した仮想的なＯＳの環境が作り出されるので、「ＯＳレベルの仮想化」とも呼ばれる。すなわち、コンテナ型の仮想化ではカーネルがプロセスを直接操作して隔離された空間を作り出すので、コンピュータ上で動作するＯＳは一つだけある。最低でも二つのＯＳ（ホストＯＳとゲストＯＳ）が動作する必要のあるハイパーバイザー型に比べると、多数のコンテナを作成しても消費するリソースが少なくて済むため、高密度化が実現可能である。また隔離された空間を作るだけでよく、ハードウェアの仮想化が不要であるため、オーバーヘッドを大幅に削減することができる。

【0029】

さらに、コンテナの起動は、ＯＳから見ると単にプロセスが起動しているだけであるため、通常のプロセスが起動するのとほとんど差がなく、非常に速く起動することができる。本発明はこのようなコンテナ型の仮想端末の特徴を活かしてアプリケーションの起動／終了に連動したコンテナの新規作成／削除を実現している。

【0030】

コンテナ型ではハイパーバイザー型のようにinitが最初に起動してから各種デーモンが起動する必要がなく、単にプロセスを隔離した環境を作り出せばコンテナを作成できるので、例えばウェブブラウザだけが起動しているといったような、コンテナの中に一つだけプロセスが存在する環境を作成することができ、アプリケーションのみの起動が可能である。このような環境は「アプリケーションコンテナ」と呼ばれる。もちろんinitを最初に起動して通常のＯＳが起動するのと同じような環境を作成することもでき、この環境は「システムコンテナ」と呼ばれる。

【0031】

システム管理プログラム１６は管理者に対してアプリケーション利用システム１の設定全般を実施するための管理画面を提供する。本管理画面からはユーザアカウントの追加削除など各種の設定が行える。さらに、サーバ１０のＣＰＵ使用率、メモリ使用率、起動コンテナ数を始めとしたリソース情報のほか、コンテナが正常に生成／削除されたかのログ情報を一元的に管理、閲覧する機能を提供する。これによりシステムの管理運用や障害発生時のトラブル解析を容易にする。

【0032】

図３は、アプリケーション利用システム１の動作を説明するための模式図である。

【0033】

図３に示すように、ローカル端末２０にはクライアントプログラム２１がインストールされている。ローカル端末２０でクライアントプログラム２１が起動されると（ステップＳ１）、ウェブブラウザを起動するための処理が開始され、サーバ１０に接続要求が送信される（ステップＳ２）。サーバ１０の制御プログラム１３は、データベース１７内のアカウント情報１７ａに基づいてユーザ認証を行い、ローカル端末２０の接続要求が許可されると（ステップＳ３）、事前に用意されたテンプレート１７ｂをベースにしてユーザ個別のコンテナ１４を新規に作成する（ステップＳ４）。通常、一つのウェブブラウザには一つのコンテナ１４が割り当てられる。またアカウント情報１７ａに基づいて、ウェブブラウザのユーザプロファイルの保存の可否、コピー＆ペーストの可否、起動可能な曜日や時間などがユーザごとに設定される。

【0034】

コンテナ１４内では指定のアプリケーションプログラムであるウェブブラウザ１８が自動起動し、ウェブブラウザ１８の画面出力が描画情報としてクライアントプログラム２１に転送される（ステップＳ５）。したがって、ローカル端末２０のディスプレイにはウェブブラウザ１８の出力画面が表示され、ユーザはあたかもローカル端末２０上で実行されているのと同じ使い勝手でウェブブラウザ１８を利用することができ、ウェブサイトの閲覧が可能である（ステップＳ６）。またコンテナ１４はローカル端末２０からの操作情報に従って動作し（ステップＳ７）、ローカル端末２０の代わりにウェブサイト（ウェブサーバ）へのアクセスを行うので、ローカル端末２０をインターネット３０から隔離することができる。

【0035】

コンテナ１４内の監視プログラム１９はウェブブラウザ１８の状態を常に監視しており（ステップＳ８）、ローカル端末２０側でクライアントプログラム２１が終了するとコンテナ１４内のウェブブラウザ１８を終了し、ウェブブラウザ１８の終了をもってコンテナ１４自体の削除を実行する（ステップＳ９）。その際、ウェブブラウザ１８のブックマークや拡張機能などの情報（ユーザプロファイル１７ｃ）はデータベース１７のユーザプロファイル保管領域に保存され、コンテナ１４の新規生成時に利用される。

【0036】

このように、ローカル端末２０側でウェブブラウザ１８が起動される度に完全に初期状態のコンテナ１４が作成され、ウェブブラウザ１８の終了時にはコンテナ１４が削除されるので、悪意のあるプログラムが実行された場合でもその影響はコンテナ１４の範囲内に留まる上、次回以降は常にクリーンな環境が提供される。

【0037】

従来のハイパーバイザー型のシステムは、ハイパーバイザー上に各ユーザの仮想デスクトップ（仮想端末）を事前に準備しておき、たとえ利用されていなくても仮想デスクトップが常時起動している形態であり、利用時にその都度、仮想端末の生成／削除はしない。しかし、本実施形態では、ウェブブラウザの起動／終了と連動して仮想端末を作成／削除するので、悪意のあるプログラムが実行された場合でもその影響の範囲は仮想端末内に留まり、次回以降は常にクリーンな環境が提供される。すなわち、ローカル端末２０が悪意のあるプログラムの影響を受けることを確実に回避することができ、ネットワークセキュリティの向上を図ることができる。

【0038】

以上説明したように、本実施形態によるアプリケーション利用システム１は、ローカル端末２０が使用するウェブブラウザ１８をサーバ１０上の仮想端末内で実行し、ウェブブラウザ１８の画面出力をローカル端末２０に転送することで、ローカル端末２０をインターネットから分離することができ、セキュアなインターネット接続環境を提供することができる。特にコンテナ型の仮想化技術を利用して仮想端末を生成するため、従来のＶＤＩ方式に比べて処理オーバーヘッドを削減することができ、またや初期導入コストを抑えることができる。すなわち、本実施形態によれば、セキュアな環境下で使用できるサーバ型セキュアブラウザを提供することができる。

【0039】

また、本実施形態によるアプリケーション利用システム１は、ローカル端末２０がクライアントプログラムを通じてウェブブラウザ１８の起動を要求したときにサーバ１０が仮想端末を新規に生成し、ローカル端末２０がウェブブラウザ１８の終了を要求したときサーバ１０が仮想端末を削除するので、マルウェア等の悪意のあるプログラムが実行された場合でもその影響は限定的であり、ローカル端末２０には常にクリーンなインターネット環境を提供することができる。

【0040】

図４は、本発明の第２の実施の形態によるアプリケーション利用システムの構成を示すブロック図である。

【0041】

図４に示すように、このアプリケーション利用システム２は、図１におけるサーバ１０がマスターサーバ１０Ａと複数のスレーブサーバ１０Ｂとで構成されており、各スレーブサーバ１０Ｂの利用状況やローカル端末２０を使用するユーザの属性などに基づいて最適なスレーブサーバ１０Ｂを決定し、このスレーブサーバ１０Ｂにコンテナ１４を作成するように構成されたものである。

【0042】

ローカル端末２０でクライアントプログラム２１が起動されると、まずマスターサーバ１０Ａに接続要求が送信される（ステップＳ１１）。マスターサーバ１０Ａは、各スレーブサーバ１０Ｂのステータス情報（ＣＰＵ使用率、メモリ使用率、起動コンテナ数等）、属性情報（アプリケーション種別、業務種別、グループ名等）を予め収集して保持しており、接続要求を受けたマスターサーバ１０Ａはユーザの属性情報は各スレーブサーバ１０Ｂの情報を参照して指定された条件のもとで最適なスレーブサーバ１０Ｂを決定する。そして、このスレーブサーバ１０Ｂに対してコンテナ作成命令を行うと共に、クライアントプログラム２１に接続先情報を返信する（ステップＳ１２，Ｓ１３）。

【0043】

属性情報における「アプリケーション種別」とは、ウェブブラウザの他にメールソフトなど様々なアプリケーションプログラムを対象とする場合に用いられる識別情報であり、各アプリケーションの処理に適したサーバを選択するための判断基準となるものである。また「業務種別」とは、例えば営業、経理、設計開発などであり、「グループ名」とは、例えばユーザの所属部門、所属事業所などである。ユーザの属性情報は、ユーザ認証時にデータベース１７から取得することができる。

【0044】

コンテナの作成命令を受けたスレーブサーバ１０Ｂは、コンテナを新規に生成し、コンテナ内でウェブブラウザを自動起動する。またクライアントプログラム２１は、返信された接続先情報に示されたスレーブサーバ１０Ｂ上のコンテナに接続し（ステップＳ１４）、コンテナ１４内で自動起動したウェブブラウザの画面出力を描画情報として受信する（ステップＳ１５）。コンテナ１４内の監視プログラム１９はウェブブラウザの状態を常に監視しており、ウェブブラウザの終了をもってコンテナ自体の削除を実行する。

【0045】

以上説明したように、本実施形態によるアプリケーション利用システム２は、ローカル端末２０からの要求に応答してコンテナを作成する際、複数のサーバの中からローカル端末２０に最適なサーバを選択してコンテナを作成するので、システム規模が大きくなって非常に多くのコンテナを取り扱う場合であっても、リソースを有効利用してアプリケーションサービスを効率良く提供することができる。

【0046】

以上、本発明の好ましい実施形態について説明したが、本発明は、上記の実施形態に限定されることなく、本発明の主旨を逸脱しない範囲で種々の変更が可能であり、それらも本発明の範囲内に包含されるものであることはいうまでもない。

【0047】

例えば、上記実施形態においては、仮想端末内で実行されるアプリケーションプログラムがウェブブラウザである場合を例に挙げたが、例えばメールソフトなどの他のアプリケーションプログラムであってもよく、インターネットアクセスを通じてマルウェア等の影響を受けるおそれがある種々のアプリケーションプログラムを対象とすることができる。

【符号の説明】

【0048】

１，２ アプリケーション利用システム
１０ サーバ
１０Ａ マスターサーバ
１０Ｂ スレーブサーバ
１１ 物理マシン
１２ ホストＯＳ
１３ 制御プログラム（コンテナ管理ソフトウェア）
１４ コンテナ（仮想端末）
１５ ユーザプロセス
１６ システム管理プログラム
１７ データベース
１７ａ アカウント情報
１７ｂ テンプレート
１７ｃ ユーザプロファイル
１８ ウェブブラウザ（アプリケーションプログラム）
１９ 監視プログラム
２０ ローカル端末
２１ クライアントプログラム
３０ インターネット
４０ ローカルネットワーク

【要約】

【課題】ローカル端末がインターネットに直接接続することによる情報漏洩及びマルウェア等の悪意のあるプログラムの影響を防止する。
【解決手段】アプリケーション利用システム１は、インターネット３０に接続されたサーバ１０と、ローカルネットワークを介してサーバ１０に接続されたローカル端末２０とを備える。サーバ１０は、ローカル端末２０がアプリケーションプログラム１８の起動を要求したとき仮想端末１４を新規に生成し、仮想端末１４内でアプリケーションプログラム１８を起動させてアプリケーションプログラム１８の画面出力をローカル端末２０に転送し、ローカル端末２０がアプリケーションプログラム１８を終了させたとき仮想端末１４を削除する。
【選択図】図３

【図1】

【図2】

【図3】

【図4】