知財求人 - 知財ポータルサイト「IP Force」
特許6553261閉域ネットワーク用情報処理装置、閉域ネットワーク用情報処理システム、情報処理方法及びプログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B1)
(11)【特許番号】6553261
(24)【登録日】2019年7月12日
(45)【発行日】2019年7月31日
(54)【発明の名称】閉域ネットワーク用情報処理装置、閉域ネットワーク用情報処理システム、情報処理方法及びプログラム
(51)【国際特許分類】
G06F 13/00 20060101AFI20190722BHJP
【FI】
G06F13/00 351Z
G06F13/00 351B
【請求項の数】10
【全頁数】28
(21)【出願番号】特願2018-136060(P2018-136060)
(22)【出願日】2018年7月19日
【審査請求日】2019年2月14日
【早期審査対象出願】
(73)【特許権者】
【識別番号】591106864
【氏名又は名称】富士通エフ・アイ・ピー株式会社
(74)【代理人】
【識別番号】100107766
【弁理士】
【氏名又は名称】伊東 忠重
(74)【代理人】
【識別番号】100070150
【弁理士】
【氏名又は名称】伊東 忠彦
(72)【発明者】
【氏名】八木 文弘
(72)【発明者】
【氏名】中 浩文
(72)【発明者】
【氏名】川内谷 直樹
【審査官】
安藤 一道
(56)【参考文献】
【文献】
特開2012−203719(JP,A)
【文献】
職員の利便性と運用負荷低減、低コストのすべてをカバーするファイル転送無害化ソリューション,マイナンバーマガジン 月刊自治体ソリューション 第3巻 第3号,株式会社ぎょうせい,2016年10月 1日,第3巻 第3号,pp.56-57
(58)【調査した分野】(Int.Cl.,DB名)
G06F 13/00
(57)【特許請求の範囲】
【請求項1】
外部ネットワークと遮断された閉域ネットワークに接続される第1情報処理装置と、前記外部ネットワークに接続された第2情報処理装置とを接続させる閉域ネットワーク用情報処理装置であって、
前記第1情報処理装置から前記第2情報処理装置へのリクエストがあると、前記第2情報処理装置から第1データを取得するデータ取得部と、
前記第1データを所定の変換ルールに基づいて、前記閉域ネットワークで使用できる第2データに変換する第1変換部と、
前記リクエストに対して、前記第2データを送る応答部と
を含み、
前記リクエストは、前記第2情報処理装置が公開するホームページの閲覧であり、かつ、前記リクエストは、URLの入力であって、前記URLがスクレイプ処理され、
前記第1データにおいて検索及びリンクを実行させるGUIを対象とし、前記検索のGUIが前記第1情報処理装置による表示において削除されるように、前記第1データを前記第2データに変換する、
及び、
前記リンクがクリックされるとエラーメッセージを表示するように変換する
閉域ネットワーク用情報処理装置。
前記第1情報処理装置から前記第2情報処理装置へのリクエストがあると、前記第2情報処理装置から第1データを取得するデータ取得部と、
前記第1データを所定の変換ルールに基づいて、前記閉域ネットワークで使用できる第2データに変換する第1変換部と、
前記リクエストに対して、前記第2データを送る応答部と
を含み、
前記リクエストは、前記第2情報処理装置が公開するホームページの閲覧であり、かつ、前記リクエストは、URLの入力であって、前記URLがスクレイプ処理され、
前記第1データにおいて検索及びリンクを実行させるGUIを対象とし、前記検索のGUIが前記第1情報処理装置による表示において削除されるように、前記第1データを前記第2データに変換する、
及び、
前記リンクがクリックされるとエラーメッセージを表示するように変換する
閉域ネットワーク用情報処理装置。
【請求項2】
前記閉域ネットワークに接続される閉域セグメントと、
前記閉域セグメントに接続するGWセグメントと、
前記GWセグメントに接続し、かつ、前記外部ネットワークに接続される外部セグメントとを少なくとも有し、かつ、前記閉域セグメント、前記GWセグメント及び前記外部セグメントは、ファイヤウォールで分離され、
前記GWセグメントは、前記外部ネットワーク及び前記閉域ネットワークからの直接アクセスが不可能であって、
前記第1変換部は、
前記GWセグメントにおいて変換を行う
請求項1に記載の閉域ネットワーク用情報処理装置。
前記閉域セグメントに接続するGWセグメントと、
前記GWセグメントに接続し、かつ、前記外部ネットワークに接続される外部セグメントとを少なくとも有し、かつ、前記閉域セグメント、前記GWセグメント及び前記外部セグメントは、ファイヤウォールで分離され、
前記GWセグメントは、前記外部ネットワーク及び前記閉域ネットワークからの直接アクセスが不可能であって、
前記第1変換部は、
前記GWセグメントにおいて変換を行う
請求項1に記載の閉域ネットワーク用情報処理装置。
【請求項3】
前記第2データに基づいて、前記第1情報処理装置から前記第2情報処理装置への第3データを送ると、前記第3データを前記外部ネットワークで使用できる第4データに変換する第2変換部と、
前記第4データを前記第2情報処理装置に送信するデータ送信部とを更に含む
請求項1又は2に記載の閉域ネットワーク用情報処理装置。
前記第4データを前記第2情報処理装置に送信するデータ送信部とを更に含む
請求項1又は2に記載の閉域ネットワーク用情報処理装置。
【請求項4】
前記第1変換部は、
メールが前記閉域ネットワーク用の経路で送信又は受信されるように、前記第1データを前記第2データに変換する
請求項1乃至3のうちいずれか1項に記載の閉域ネットワーク用情報処理装置。
メールが前記閉域ネットワーク用の経路で送信又は受信されるように、前記第1データを前記第2データに変換する
請求項1乃至3のうちいずれか1項に記載の閉域ネットワーク用情報処理装置。
【請求項5】
前記リクエストを前記第1情報処理装置から受け付けてゲートウェイサービスで使用できるように変換し、
前記データ取得部は、
変換されたリクエストに基づいて、前記第1データを取得する
請求項1乃至4のうちいずれか1項に記載の閉域ネットワーク用情報処理装置。
前記データ取得部は、
変換されたリクエストに基づいて、前記第1データを取得する
請求項1乃至4のうちいずれか1項に記載の閉域ネットワーク用情報処理装置。
【請求項6】
前記リンクに用いられる画像を表示させない、又は、前記閉域ネットワークで利用可能な画像を表示する
請求項1乃至5のうちいずれか1項に記載の閉域ネットワーク用情報処理装置。
請求項1乃至5のうちいずれか1項に記載の閉域ネットワーク用情報処理装置。
【請求項7】
前記スクレイプ処理によって、閉域ネットワーク用ドメイン名及び外部ネットワーク用ドメイン名が変換される
請求項1乃至6のうちいずれか1項に記載の閉域ネットワーク用情報処理装置。
請求項1乃至6のうちいずれか1項に記載の閉域ネットワーク用情報処理装置。
【請求項8】
外部ネットワークと遮断された閉域ネットワークに接続される第1情報処理装置と、前記外部ネットワークに接続された第2情報処理装置とを接続させる閉域ネットワーク用情報処理システムであって、
前記第1情報処理装置から前記第2情報処理装置へのリクエストがあると、前記第2情報処理装置から第1データを取得するデータ取得部と、
前記第1データを所定の変換ルールに基づいて、前記閉域ネットワークで使用できる第2データに変換する第1変換部と、
前記リクエストに対して、前記第2データを送る応答部と
を含み、
前記リクエストは、前記第2情報処理装置が公開するホームページの閲覧であり、かつ、前記リクエストは、URLの入力であって、前記URLがスクレイプ処理され、
前記第1データにおいて検索及びリンクを実行させるGUIを対象とし、前記検索のGUIが前記第1情報処理装置による表示において削除されるように、前記第1データを前記第2データに変換する、
及び、
前記リンクがクリックされるとエラーメッセージを表示するように変換する
閉域ネットワーク用情報処理システム。
前記第1情報処理装置から前記第2情報処理装置へのリクエストがあると、前記第2情報処理装置から第1データを取得するデータ取得部と、
前記第1データを所定の変換ルールに基づいて、前記閉域ネットワークで使用できる第2データに変換する第1変換部と、
前記リクエストに対して、前記第2データを送る応答部と
を含み、
前記リクエストは、前記第2情報処理装置が公開するホームページの閲覧であり、かつ、前記リクエストは、URLの入力であって、前記URLがスクレイプ処理され、
前記第1データにおいて検索及びリンクを実行させるGUIを対象とし、前記検索のGUIが前記第1情報処理装置による表示において削除されるように、前記第1データを前記第2データに変換する、
及び、
前記リンクがクリックされるとエラーメッセージを表示するように変換する
閉域ネットワーク用情報処理システム。
【請求項9】
外部ネットワークと遮断された閉域ネットワークに接続される第1情報処理装置と、前記外部ネットワークに接続された第2情報処理装置とを接続させる閉域ネットワーク用コンピュータに情報処理方法を実行させるためのプログラムであって、
コンピュータが、前記第1情報処理装置から前記第2情報処理装置へのリクエストがあると、前記第2情報処理装置から第1データを取得するデータ取得手順と、
コンピュータが、前記第1データを所定の変換ルールに基づいて、前記閉域ネットワークで使用できる第2データに変換する第1変換手順と、
コンピュータが、前記リクエストに対して、前記第2データを送る応答手順と
を実行させ、
前記リクエストは、前記第2情報処理装置が公開するホームページの閲覧であり、かつ、前記リクエストは、URLの入力であって、前記URLがスクレイプ処理され、
前記第1データにおいて検索及びリンクを実行させるGUIを対象とし、前記検索のGUIが前記第1情報処理装置による表示において削除されるように、前記第1データを前記第2データに変換する、
及び、
前記リンクがクリックされるとエラーメッセージを表示するように変換する
プログラム。
コンピュータが、前記第1情報処理装置から前記第2情報処理装置へのリクエストがあると、前記第2情報処理装置から第1データを取得するデータ取得手順と、
コンピュータが、前記第1データを所定の変換ルールに基づいて、前記閉域ネットワークで使用できる第2データに変換する第1変換手順と、
コンピュータが、前記リクエストに対して、前記第2データを送る応答手順と
を実行させ、
前記リクエストは、前記第2情報処理装置が公開するホームページの閲覧であり、かつ、前記リクエストは、URLの入力であって、前記URLがスクレイプ処理され、
前記第1データにおいて検索及びリンクを実行させるGUIを対象とし、前記検索のGUIが前記第1情報処理装置による表示において削除されるように、前記第1データを前記第2データに変換する、
及び、
前記リンクがクリックされるとエラーメッセージを表示するように変換する
プログラム。
【請求項10】
外部ネットワークと遮断された閉域ネットワークに接続される第1情報処理装置と、前記外部ネットワークに接続された第2情報処理装置とを接続させる閉域ネットワーク用情報処理装置が行う情報処理方法であって、
閉域ネットワーク用情報処理装置が、前記第1情報処理装置から前記第2情報処理装置へのリクエストがあると、前記第2情報処理装置から第1データを取得するデータ取得手順と、
閉域ネットワーク用情報処理装置が、前記第1データを所定の変換ルールに基づいて、前記閉域ネットワークで使用できる第2データに変換する第1変換手順と、
閉域ネットワーク用情報処理装置が、前記リクエストに対して、前記第2データを送る応答手順と
を含み、
前記リクエストは、前記第2情報処理装置が公開するホームページの閲覧であり、かつ、前記リクエストは、URLの入力であって、前記URLがスクレイプ処理され、
前記第1データにおいて検索及びリンクを実行させるGUIを対象とし、前記検索のGUIが前記第1情報処理装置による表示において削除されるように、前記第1データを前記第2データに変換する、
及び、
前記リンクがクリックされるとエラーメッセージを表示するように変換する
情報処理方法。
閉域ネットワーク用情報処理装置が、前記第1情報処理装置から前記第2情報処理装置へのリクエストがあると、前記第2情報処理装置から第1データを取得するデータ取得手順と、
閉域ネットワーク用情報処理装置が、前記第1データを所定の変換ルールに基づいて、前記閉域ネットワークで使用できる第2データに変換する第1変換手順と、
閉域ネットワーク用情報処理装置が、前記リクエストに対して、前記第2データを送る応答手順と
を含み、
前記リクエストは、前記第2情報処理装置が公開するホームページの閲覧であり、かつ、前記リクエストは、URLの入力であって、前記URLがスクレイプ処理され、
前記第1データにおいて検索及びリンクを実行させるGUIを対象とし、前記検索のGUIが前記第1情報処理装置による表示において削除されるように、前記第1データを前記第2データに変換する、
及び、
前記リンクがクリックされるとエラーメッセージを表示するように変換する
情報処理方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、閉域ネットワーク用情報処理装置、閉域ネットワーク用情報処理システム、情報処理方法及びプログラムに関する。
【背景技術】
【0002】
総合行政ネットワーク(例えば、「“総合行政ネットワークASPガイドライン 第5.0版”、[online]、[平成30年6月28日検索]、インターネット〈URL:https://www.j-lis.go.jp/data/open/cnt/3/164/1/C-7-1_ASPGuideline_20180330.pdf>」(以下「LGWANASPガイドライン」という。)等で想定されるネットワークである。)(Local Government Wide Area Network、以下「LGWAN」という。)等の閉域ネットワークが知られている。
【0003】
一方で、閉域ネットワークに限られず、外部ネットワークに接続されるサーバ等と接続するように求める要求を中継させる方法が知られている。具体的には、内部ネットワークにおける内部装置から、外部ネットワークに接続された貯蔵サーバに対して、要求があると、まず、中継装置は、要求で特定される貯蔵サーバのURL(Uniform Resource Locator)が接続を許可されているか否かをリストに基づいて判断する。そして、リストに基づいて許可されているURLであると、要求が貯蔵サーバに送信され、貯蔵サーバから、中継装置へ応答データが送信される。次に、中継装置は、取得される応答データを内部装置に送信する。例えば、このようにして外部ネットワークのリソースを活用する方法が知られている(例えば、特許文献1を参照)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2012−203719号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、従来の方法では、中継される際に、外部ネットワークから取得されるデータが変換されない。そのため、データ内に閉域ネットワークで利用できない内容を含んだり、又は、情報漏洩等につながったりしてセキュリティを低下させる場合がある。
【0006】
本発明は、上記課題に鑑み、閉域ネットワークで利用可能なデータを抽出したり、又は、セキュリティを向上させたりすることができる閉域ネットワーク用情報処理装置を提供することを目的とする。
【課題を解決するための手段】
【0007】
本発明は、例えば、外部ネットワークと遮断された閉域ネットワークに接続される第1情報処理装置と、前記外部ネットワークに接続された第2情報処理装置とを接続させる閉域ネットワーク用情報処理装置は、前記第1情報処理装置から前記第2情報処理装置へのリクエストがあると、前記第2情報処理装置から第1データを取得するデータ取得部と、
前記第1データを所定の変換ルールに基づいて、前記閉域ネットワークで使用できる第2データに変換する第1変換部と、
前記リクエストに対して、前記第2データを送る応答部と
を含み、
前記リクエストは、前記第2情報処理装置が公開するホームページの閲覧であり、かつ、前記リクエストは、URLの入力であって、前記URLがスクレイプ処理され、
前記第1データにおいて検索及びリンクを実行させるGUIを対象とし、前記検索のGUIが前記第1情報処理装置による表示において削除されるように、前記第1データを前記第2データに変換する、
及び、
前記リンクがクリックされるとエラーメッセージを表示するように変換する。
【発明の効果】
【0008】
閉域ネットワークで利用可能なデータを抽出したり、又は、セキュリティを向上させたりすることができる閉域ネットワーク用情報処理装置を提供することができる。
【図面の簡単な説明】
【0009】
【図1】本実施形態に係る閉域ネットワーク用情報処理システムの全体構成例を示すシステム図である。
【図2】本実施形態に係る閉域ネットワーク用情報処理装置のハードウェア構成例を示すブロック図である。
【図3】本実施形態に係る閉域ネットワーク用情報処理システムの機能構成例を示すブロック図である。
【図4】本実施形態に係る閉域ネットワーク用情報処理システムを利用した全体処理例を示すシーケンス図である。
【図5】本実施形態に係る閉域ネットワーク用情報処理システムによる変換例を示す図である。
【図6】本実施形態に係る閉域ネットワーク用情報処理システムによる変換によって無害化された場合の第1例を示す図である。
【図7】本実施形態に係る閉域ネットワーク用情報処理システムによる変換によって無害化された場合の第2例を示す図である。
【図8】本実施形態に係る閉域ネットワーク用情報処理システムによる変換によって無害化されたメールの送信例を示す図である。
【図9】本実施形態に係る閉域ネットワーク用情報処理システムによるリクエストメッセージにおけるヘッド部の変換例を示す図である。
【図10】本実施形態に係る閉域ネットワーク用情報処理システムによるレスポンスメッセージにおけるヘッド部の変換例を示す図である。
【図11】本実施形態に係る閉域ネットワーク用情報処理システムによるRDP(登録商標) OVER HTTPの実現例を示すブロック図である。
【図12】本実施形態に係る閉域ネットワーク用情報処理システムによるIIOP OVER HTTPの実現例を示すブロック図である。
【発明を実施するための形態】
【0010】
以下、本発明を実施するための形態について図面を参照しながら説明する。
【0011】
<システム構成例>図1は、本実施形態に係る閉域ネットワーク用情報処理システムの全体構成例を示すシステム図である。例えば、閉域ネットワーク用情報処理システム1は、図示するような全体構成で使用される。具体的には、閉域ネットワーク用情報処理システム1は、図示するように、外部ネットワークNW1と、閉域ネットワークNW2とに接続する。
【0012】
外部ネットワークNW1は、例えば、インターネット等である。なお、外部ネットワークNW1は、インターネットに限られず、LAN(Local Area Network)又はWAN(Wide Area Network)等でもよい。
【0013】
閉域ネットワークNW2は、例えば、LGWAN等である。なお、閉域ネットワークNW2は、LGWANに限られず、企業又は病院等が有するLAN又はWAN等でもよい。すなわち、閉域ネットワークNW2は、外部ネットワークNW1と遮断されたネットワークであればよい。つまり、閉域ネットワークNW2は、セキュリティを確保する目的等により、閉域ネットワークNW2に接続される情報処理装置が外部ネットワークNW1に直接アクセスするのを遮断するネットワークであればよい。以下、閉域ネットワークNW2がLGWANである例で説明する。
【0014】
また、以下に説明する例では、説明を簡略にするため、図示するように、外部ネットワークNW1及び閉域ネットワークNW2に接続される情報処理装置が、1台ずつであるとする。さらに、閉域ネットワーク用情報処理システム1は、1台の閉域ネットワーク用情報処理装置10で構成する例とする。
【0015】
図示する例では、第1情報処理装置の例であるPC(Personal Computer、以下「PC11」という。)が、閉域ネットワークNW2に接続される。一方で、第2情報処理装置の例である外部サーバ12が、外部ネットワークNW1に接続される。
【0016】
図示するように、PC11が、ユーザURによって利用される情報処理装置となる。すなわち、PC11が、いわゆる「クライアント側」となり、ユーザURは、PC11に対して、ホームページを見るため、URLを入力する等の操作を入力する。
【0017】
一方で、外部サーバ12は、例えば、ホームページを公開する等のサービスを提供する。すなわち、「クライアント側」に対して、外部サーバ12は、「サーバ側」となる。したがって、外部サーバ12は、例えば、外部ネットワークNW1を介して外部装置から、公開しているホームページを閲覧等のリクエストを受信すると、ホームページを見るためのデータを提供する。
【0018】
図示するように、外部ネットワークNW1及び閉域ネットワーク用情報処理システム1の間等は、少なくとも1つのファイヤウォール(Fire Wall、以下「ファイヤウォールFW」という。)等によって区切られる。そのため、閉域ネットワーク用情報処理システム1及び閉域ネットワークNW2は、不正なアクセス等に対してセキュリティが確保できる、いわゆるセキュアな状態となる。特に、閉域ネットワークNW2は、外部ネットワークNW1等と直接つながらず、遮断したネットワークとなる。そのため、閉域ネットワークNW2は、個人情報等のように、高いセキュリティが求められる情報を扱うことができる。
【0019】
<ハードウェア構成例>図2は、本実施形態に係る閉域ネットワーク用情報処理装置のハードウェア構成例を示すブロック図である。例えば、閉域ネットワーク用情報処理装置10は、CPU(Central Processing Unit、以下「CPU10H1」という。)と、記憶装置10H2と、入力装置10H3と、通信装置10H4と、出力装置10H5と、インタフェース装置10H6とを有するハードウェア構成である。
【0020】
すなわち、閉域ネットワーク用情報処理装置10は、PC、サーバ、ワークステーション、モバイル機器又はこれらの組み合わせ等のコンピュータである。
【0021】
CPU10H1は、演算装置及び制御装置の例である。つまり、CPU10H1は、例えば、プログラム等に基づいて、記憶装置10H2等の他のハードウェア資源と協働して各処理を実行する。
【0022】
記憶装置10H2は、例えば、メモリ等の主記憶装置である。また、記憶装置10H2は、ハードディスク又はSSD(Solid State Drive)等の補助記憶装置を有してもよい。
【0023】
入力装置10H3は、閉域ネットワーク用情報処理装置10に対する操作を入力する装置である。例えば、入力装置10H3は、キーボード、マウス又はこれらの組み合わせ等である。
【0024】
通信装置10H4は、無線又は有線によって、外部の装置とデータを送受信する通信を行う装置である。例えば、通信装置10H4は、コネクタ及び処理IC(Integrated Circuit)等である、出力装置10H5は、閉域ネットワーク用情報処理装置10による処理結果等を出力する装置である。例えば、出力装置10H5は、ディスプレイ等である。
【0025】
インタフェース装置10H6は、有線又は無線で周辺機器等を接続させる装置である。そして、インタフェース装置10H6によって、周辺機器とデータの送受信が可能となる。なお、インタフェース装置10H6は、ネットワーク等に接続させる装置であってもよい。
【0026】
なお、ハードウェア構成は、図示する構成に限られない。例えば、閉域ネットワーク用情報処理装置10には、図示する以外に、演算装置、制御装置又は記憶装置が、内部又は外部に更にあってもよい。また、例えば、入力装置及び出力装置が一体となったタッチパネル等のような入出力装置があってもよい。
【0027】
<機能構成例>図3は、本実施形態に係る閉域ネットワーク用情報処理システムの機能構成例を示すブロック図である。例えば、閉域ネットワーク用情報処理システム1は、図示するような機能構成で運用される。具体的には、閉域ネットワーク用情報処理システム1は、データ取得部FN1と、第1変換部FN2と、応答部FN3とを含む機能構成である。なお、閉域ネットワーク用情報処理システム1は、図示するように、第2変換部FN4と、データ送信部FN5と、第1受付部FN21と、第2受付部FN22とを更に含む機能構成であるのが望ましい。以下、図示する機能構成を例に説明する。
【0028】
第1受付部FN21は、PC11からリクエストRQを受け付ける。そして、第1受付部FN21は、受け付けたリクエストRQを第2受付部FN22に送る。
【0029】
第2受付部FN22は、第1受付部FN21からリクエストRQを受け付ける。そして、第2受付部FN22は、受け付けたリクエストRQをデータ取得部FN1に送る。
【0030】
なお、リクエストRQは、第2受付部FN22等によって変換されるのが望ましい。すなわち、第2受付部FN22は、リクエストRQを受け付けると、リクエストRQに含まれるURL等をゲートウェイサービスで使用できるような形式に変換してもよい。このような変換が行われると、ユーザURは、外部サービスを容易に利用できる。
【0031】
データ取得部FN1は、第2受付部FN22からリクエストRQを受け付ける。このリクエストRQは、外部のネットワークで提供されるサービスを利用する要求である。具体的には、リクエストRQには、利用する外部サーバ12を特定できるURLを示すデータ等が含まれる。なお、リクエストRQの内容は、サービス及び実行しようとする処理等によって異なる。
【0032】
次に、データ取得部FN1は、リクエストRQに基づいて、外部ネットワークNW1を介して、外部サーバ12からデータを取得する。以下、このようにリクエストRQに基づいて、外部サーバ12から取得されるデータを「第1データD1」という。そして、データ取得部FN1が取得した第1データD1は、第1変換部FN2に送られる。
【0033】
例えば、データ取得部FN1は、通信装置10H4等によって実現される。
【0034】
第1変換部FN2は、データ取得部FN1が取得する第1データD1を変換する。なお、第1変換部FN2による変換は、あらかじめ設定される所定のルール(以下「変換ルール」という。)に基づいて行われる。そして、第1変換部FN2による変換は、閉域ネットワークNW2で使用できるデータになるように変換される。以下、第1変換部FN2による変換によって生成されたデータを「第2データD2」という。なお、変換ルール及び第1データD1から第2データD2への変換の具体例等は、後述する。
【0035】
例えば、第1変換部FN2は、CPU10H1等によって実現される。
【0036】
応答部FN3は、リクエストRQに対して第2データD2を送り、応答する。すなわち、応答部FN3は、リクエストRQで要求される第1データD1を無害な状態とした第2データD2で応答する。
【0037】
例えば、応答部FN3は、通信装置10H4等によって実現される。
【0038】
第2変換部FN4は、PC11が外部サーバ12へ送るように要求するデータ(以下「第3データD3」という。)を変換する。例えば、PC11上で第2データD2に基づいて表示されるホームページ等に対して、ユーザURがコメント等を入力し、送信する場合がある。このような場合には、第3データD3は、例えば、コメント等を示すテキストデータ及び通信規格等で定められる送信用のヘッド部等を含むデータとなる。
【0039】
また、第2変換部FN4は、第3データD3を外部ネットワークNW1で使用できるようなデータに変換する。以下、第2変換部FN4による変換によって変換され、外部ネットワークNW1で使用できるようになったデータを「第4データD4」という。つまり、第3データD3は、閉域ネットワークNW2で生成されるため、外部ネットワークNW1では、使用できない形式の場合がある。このような形式であると、外部サーバ12でデータが受け付けられなかったり、フォーマットエラーになったりする場合がある。そこで、第2変換部FN4は、あらかじめ設定されるルール等に基づいて、第3データD3を第4データD4に変換し、外部サーバ12等が使用できる形式にする。
【0040】
なお、第1変換部FN2及び第2変換部FN4は、フォーマットエラーチェック等を行ってもよい。また、第1変換部FN2及び第2変換部FN4は、チェック結果に基づいて、データを是正してもよい。
【0041】
例えば、第2変換部FN4は、CPU10H1等によって実現される。
【0042】
データ送信部FN5は、第4データD4を外部サーバ12等に送信する。
【0043】
例えば、データ送信部FN5は、通信装置10H4等によって実現される。
【0044】
<望ましい実施形態の例>閉域ネットワークNW2がLGWANである場合には、図示するように、閉域ネットワーク用情報処理システム1は、例えば、3つのセグメントに分かれる。
【0045】
なお、セグメントは、3つでなくともよい。すなわち、セグメントは、1つ、2つ又は4つ以上に分かれてもよい。したがって、セグメントは、閉域ネットワークのポリシーに対して柔軟に対応して、より柔軟に対応できる。
【0046】
また、同一の外部サイトを利用する場合であっても、閉域側のドメインを分けてもよい。このようにすると、異なる変換を行うことができる、すなわち、コンテンツの許可及び不許可を切り分けることができる。
【0047】
具体的には、図示するように、閉域ネットワーク用情報処理システム1は、閉域ネットワークNW2に接続されるセグメント(以下「閉域セグメントSG1」という。)を有するのが望ましい。
【0048】
さらに、閉域ネットワーク用情報処理システム1は、図示するように、閉域セグメントSG1に接続するセグメント(以下「GWセグメントSG2」という。)を有するのが望ましい。
【0049】
さらにまた、閉域ネットワーク用情報処理システム1は、GWセグメントSG2に接続し、かつ、外部ネットワークNW1と接続されるセグメント(以下「外部セグメントSG3」という。)を有するのが望ましい。
【0050】
このようなセグメント構成であると、LGWANの規格等を満たす構成にできる。具体的には、LGWANASPガイドラインにおけるP.15 図4−3「IPリーチャビリティの境界」に定められるような構成にできる。
【0051】
すなわち、閉域セグメントSG1は、LGWANASPガイドラインにおける、「LGWANからアクセス可能な範囲」となる「LGWAN側公開セグメント」に相当する。
【0052】
また、GWセグメントSG2は、LGWANASPガイドラインにおける、「ゲートウェイセグメント」に相当する。
【0053】
さらに、外部セグメントSG3は、LGWANASPガイドラインにおける、「インターネット及び外部ネットワークからアクセス可能な範囲」となる「インターネット及び外部ネットワーク側公開セグメント」に相当する。
【0054】
なお、ファイヤウォールは、複数設置されるのが望ましい。例えば、セグメントを分けるのに合わせて、ファイヤウォールが複数設置されると、閉域ネットワークNW2のセキュリティの強度を柔軟に設定することができる。
【0055】
また、ファイヤウォールは、LGWANASPガイドラインに示すように、各セグメントを分けるように設置されるのが望ましい。すなわち、ファイヤウォールは、各セグメントの境界ごとに設置されるのが望ましい。具体的には、閉域ネットワークNW2及び閉域セグメントSG1の間、閉域セグメントSG1及びGWセグメントSG2の間、GWセグメントSG2及び外部セグメントSG3の間、外部セグメントSG3及び外部ネットワークNW1の間に、それぞれファイヤウォールが設置されるのが望ましい。
【0056】
このようなファイヤウォールの配置及びセグメントの構成であると、LGWANASPガイドラインで推奨される構成にできる。
【0057】
また、図示するように、閉域ネットワークNW2がLGWANである場合、すなわち、閉域ネットワーク用情報処理システム1が少なくとも3つのセグメントに分かれる場合には、各セグメントには、少なくとも1台ずつサーバが設置される。
【0058】
以下、閉域セグメントSG1に設置されるサーバを「WWWサーバSV1」という。
【0059】
さらに、GWセグメントSG2に設置されるサーバを「アプリサーバSV2」という。
【0060】
さらにまた、外部セグメントSG3に設置されるサーバを「外部接続サーバSV3」という。
【0061】
なお、閉域ネットワークNW2がLGWANである場合、すなわち、図示するように、セグメントが3つある構成では、GWセグメントSG2に第1変換部FN2及び第2変換部FN4があるのが望ましい。すなわち、データの変換は、GWセグメントSG2で行われるのが望ましい。
【0062】
図示するように、GWセグメントSG2は、閉域セグメントSG1及び外部セグメントSG3とは、分離し、独立したセグメントである。そのため、GWセグメントSG2は、閉域ネットワークNW2及び外部ネットワークNW1から直接アクセスされない。そのため、閉域ネットワークNW2及び外部ネットワークNW1からの脅威にさらされる可能性が低い。そのため、GWセグメントSG2で変換を行うことは、セキュリティをより担保することができる。具体的には、変換に用いる変換ルール等が改ざんされるのを防ぎやすいため、GWセグメントSG2で変換を行う構成であると、セキュリティをより担保できる。
【0063】
ほかにも、GWセグメントSG2においてログ等のデータが保存されると、データのセキュリティを担保しやすい。なお、ログは、後述するロガーにおいて詳細を説明する。
【0064】
また、各サーバは、1台の情報処理装置でなくともよい。すなわち、各サーバは、複数の情報処理装置で構成されてもよい。一方で、各サーバは、1台の情報処理装置が兼ねてもよい。
【0065】
また、図示するように、閉域ネットワーク用情報処理システム1は、ロガー等のサーバを更に有するのが望ましい。例えば、各ロガーは、図示するように、閉域セグメントSG1、GWセグメントSG2及び外部セグメントSG3に、それぞれのセグメントに接続し、ログ等を保存する。すなわち、図示する例では、第1ロガーSV41は、閉域セグメントSG1におけるログを保存する。同様に、第2ロガーSV42は、GWセグメントSG2におけるログを保存し、第3ロガーSV43は、外部セグメントSG3におけるログを保存する。
【0066】
なお、第1ロガーSV41、第2ロガーSV42及び第3ロガーSV43のように、ログは、セグメントごとに取得されるのが望ましい。このように、ログを分けて取得すると、例えば、異なるセグメントで取得されたログ同士を突きあわせること等ができる。そのため、例えば、ログの改ざんを検出すること等ができる。
【0067】
そして、第1ロガーSV41、第2ロガーSV42及び第3ロガーSV43は、保存されるそれぞれのログに基づいて、例えば、閉域ネットワーク用情報処理システム1における様々な性能を管理する。具体的には、第1ロガーSV41、第2ロガーSV42及び第3ロガーSV43は、ログに基づいて、例えば、レスポンスタイム、ターンアラウンドタイム、CPU負荷、メモリの使用率、トラフィック又は各ハードウェア資源の効率等の性能を算出する。
【0068】
また、セグメントごとにログが保存されると、セグメントごとに、処理時間等を把握できる。したがって、ログを性能改善等の参考にすることができる。
【0069】
このような値が算出されると、第1ロガーSV41、第2ロガーSV42及び第3ロガーSV43は、閉域ネットワーク用情報処理システム1における様々な性能に基づいて、システム上に異常が発生しているか否か等を監視できる。
【0070】
また、第1ロガーSV41、第2ロガーSV42及び第3ロガーSV43は、異常を検出した場合には、アラートを出力する等を行ってもよい。
【0071】
さらに、ログは、通信履歴等を示してもよい。
【0072】
ほかにも、第1ロガーSV41、第2ロガーSV42及び第3ロガーSV43は、ログに基づいて、例えば、課金情報等を生成できる。また、第1ロガーSV41、第2ロガーSV42及び第3ロガーSV43は、ログに限られず、例えば、チェック、キャッシュ又はバックアップ等を行ってもよい。
【0073】
なお、ロガーは、特に変換についてのログを取得するのが望ましい。詳細は、後述するステップSA12等で説明する。
【0074】
<全体処理例>図4は、本実施形態に係る閉域ネットワーク用情報処理システムを利用した全体処理例を示すシーケンス図である。以下、PC11において、ユーザURが外部サーバ12を示すURLを入力する操作を行い、外部サーバ12が公開するホームページ等を閲覧するリクエストがされた場合を例に説明する。
【0075】
<受信リクエスト処理例>以下、外部サーバ12が公開するホームページのデータをPC11が受信するフローを説明する。
【0076】
<第1情報処理装置から第2情報処理装置へのリクエストを送信する例>(ステップSA01)ステップSA01では、PC11は、WWWサーバSV1へリクエストRQを送信する。この例では、リクエストRQは、PC11が発する外部サーバ12に対するhttpリクエストとなる。そして、WWWサーバSV1は、リクエストRQによるhttpリクエストを受信する。
【0077】
なお、閉域ネットワークNW2がLGWANである場合、リクエストRQには、例えば、「閉域ネットワーク用ドメイン名」等が入力される。すなわち、リクエストRQには、対象とするホームページを閉域ネットワークNW2用の形式で開くように指示するURLが入力される。また、このような閉域ネットワークNW2用のURLは、あらかじめユーザURに知らされるとする。
【0078】
<WWWサーバからアプリサーバが備えるTCPListener(以下「リスナ」という。)へリクエストを送信する例>(ステップSA02)ステップSA02では、WWWサーバSV1は、リスナへリクエストRQを送信する。
【0079】
<リスナからアプリサーバが備えるScraper(以下「スクレーパ」という。)へリクエストを送信する例>(ステップSA03)ステップSA03では、リスナは、スクレーパへリクエストRQを送信する。すなわち、この例では、リスナは、スクレーパに対して、リクエストRQが示すURLを変換するように指示する。
【0080】
<リクエストに基づくスクレイプ処理例>(ステップSA04)ステップSA04では、スクレーパは、リクエストRQに基づいて、スクレイプ処理を行う。まず、この例のように、URLに対してスクレイプ処理を行う場合には、例えば、下記(表1)に示すようなデータがあらかじめアプリサーバSV2に設定される。
【0081】
【表1】
【0082】
上記(表1)における「閉域ネットワーク用ドメイン名」は、閉域ネットワークNW2用のURLである。すなわち、閉域ネットワークNW2では、ホームページを開くようにリクエストする場合には、「閉域ネットワーク用ドメイン名」に示すURLが、PC11に入力される。
【0083】
上記(表1)における「外部ネットワーク用ドメイン名」は、外部ネットワークNW1用のURLである。すなわち、閉域ネットワークNW2でなく、インターネット等からのアクセスでは、「外部ネットワーク用ドメイン名」に示すURLが情報処理装置に入力される。
【0084】
上記(表1)に示す変換ルールが設定される例において、例えば、「www.aaa.local」というURLがリクエストRQに入力されている場合には、スクレイプ処理で「www.xxx.co.jp」に変換される。
【0085】
なお、上記(表1)における「外部ネットワーク用ドメイン名」等の形式で変換ルールに管理されると、リクエストの際に、最新のリソースが取得できる。また、提供者は、一元的に管理することができる。
【0086】
また、スクレイプ処理は、キャッシュを利用してもよい。このようにキャッシュを利用すると、以前の処理結果を利用することができるため、スクレイプ処理における変換処理等を行う確率が少なくなり、処理を高速化することができる。
【0087】
ほかにも、スクレイプ処理では、エラーチェックが行われてもよい。すなわち、変換ルールに該当しないURLが入力された場合等には、例外処理を行ってもよい。
【0088】
<リスナからアプリサーバが備えるClient(以下「クライアント」という。)へリクエストを送信する例>(ステップSA05)ステップSA05では、リスナは、クライアントへリクエストを送信する。具体的には、ステップSA05では、リスナは、ステップSA04で変換された外部ネットワークNW1用のURLをクライアントへ送信する。
【0089】
<クライアントから外部接続サーバへリクエストを送信する例>(ステップSA06)ステップSA06では、クライアントは、外部接続サーバSV3へリクエストを送信する。具体的には、ステップSA06では、クライアントは、ステップSA05で受信した外部ネットワークNW1用のURLを外部接続サーバSV3へ送信する。
【0090】
<外部接続サーバから外部サーバへリクエストを送信し、レスポンスされる第1データを受信する例>(ステップSA07)ステップSA07では、まず、外部接続サーバSV3は、外部サーバ12へリクエストを送信する。このように、リクエストを受信すると、外部サーバ12は、リクエストに対するレスポンスとして、第1データD1を送信する。したがって、外部接続サーバSV3は、外部サーバ12からのレスポンスとして、第1データD1を受信する。
【0091】
なお、この例では、第1データD1は、例えば、下記(表2)のようなデータとなる。
【0092】
【表2】
【0093】
すなわち、上記(表2)に示すように、第1データD1は、「ドキュメント名」が示すようなHTML(Hyper Text Markup Language)言語等のコードを示すファイル、いわゆるHTMLファイル等である。
【0094】
なお、第1データD1は、HTMLファイル等に限られない。すなわち、第1データD1は、外部サーバ12から取得できるデータであれば、データ形式等は問わない。
【0095】
なお、外部接続サーバは、キャッシュを有し、リクエストに対応するキャッシュがあるか否かをチェックしてもよい。
【0096】
<外部接続サーバからクライアントへ第1データを送信してリクエストに応答する例>(ステップSA08)ステップSA08では、外部接続サーバSV3は、ステップSA06で受信したリクエストに対して、ステップSA07で取得する第1データD1を送信する。このようにして、外部接続サーバSV3は、クライアントからのリクエストに対してレスポンスをする。
【0097】
<クライアントからリスナへ第1データを送信してリクエストに応答する例>(ステップSA09)ステップSA09では、クライアントは、ステップSA05で受信したリクエストに対して、ステップSA08で取得する第1データD1を送信する。このようにして、クライアントは、リスナからのリクエストに対してレスポンスをする。
【0098】
<リスナからスクレーパへ第1データを送信する例>(ステップSA10)ステップSA10では、リスナは、スクレーパに第1データD1を変換させるため、ステップSA09で取得する第1データD1をスクレーパへ送信する。
【0099】
なお、変換対象が第1データD1の一部である場合には、リスナは、スクレーパへ変換対象を抽出して送信してもよい。
【0100】
<第1データを無害化して第2データに変換する例>(ステップSA11)ステップSA11では、スクレーパは、ステップSA10で受信する第1データD1を変換して第2データD2にする。すなわち、スクレーパは、第1データD1を無害化する。なお、具体例は、後述する。
【0101】
なお、変換前等に、HTML規約又は文法チェック等が行われるのが望ましい。そして、チェック結果に基づいて、規約又は文法が違反していると判定される箇所は、是正されるのが望ましい。このようなチェック及び是正がされると、変換対象が明確となるため、より確実な変換が可能となる。例えば、チェックは、W3C(World Wide Web Consortium)勧告に準拠しているか等である。そして、タグ記述の誤り又は記述漏れ等の文法的な違反がある場合には、これらの是正が行われる。
【0102】
なお、ステップSA04及びステップSA11で示すように、URLの変換と、データの変換とは分けるのが望ましい。すなわち、変換は、リクエストと、レスポンスとに分けて、それぞれ行われるのが望ましい。
【0103】
<ログ等を保存する例>(ステップSA12)図示するように、全体処理では、ステップSA12が行われるのが望ましい。すなわち、ステップSA11による変換は、ログ等が保存されるのが望ましい。
【0104】
このように、いわゆるロギングが行われると、同じ変換が後で行われる場合等に、変換を高速に行うことができる。
【0105】
ログは、例えば、アクセス時刻、処理時刻、変換内容(例えば、変換の前後を示す情報又は変換の差分等を示す情報である。)、エラー情報、クライアント情報及びリクエスト情報等である。例えば、ステップSA12は、第2ロガーSV42によって行われる。
【0106】
ログは、いわゆるauditログ(特にスクレーパについてである。)であるのが望ましい。このように、auditログが取得されると、セキュリティの担保が保証される。具体的には、ログによって、改ざんが行われていないか、監査することができ、閉域ネットワークのセキュリティ担保を追跡することができる。
【0107】
また、スクレーパによる変換の結果を追跡できると、セキュリティを脅かす内容の有無等が確認できる。そのため、ロギングにより、例えば、閉域ネットワーク用情報処理システムにおけるセキュリティレベルを検証する事ができる。
【0108】
<スクレーパからリスナへ第2データを送信して応答する例>(ステップSA13)ステップSA13では、スクレーパは、ステップSA11で変換されて生成される第2データD2をリスナへ送信する。このようにしてスクレーパは、ステップSA10での指示に対して応答する。
【0109】
<リスナからWWWサーバへ第2データを送信してリクエストに応答する例>(ステップSA14)ステップSA14では、リスナは、WWWサーバSV1へ第2データD2を送信してリクエストRQに応答する。このようにしてリスナは、ステップSA02で受信したリクエストRQに対して、ステップSA13で取得する第2データD2を送信する。
【0110】
<ログ等を保存する例>(ステップSA15)図示するように、全体処理では、ステップSA15が行われるのが望ましい。すなわち、ステップSA15のように、ログ等が保存されるのが望ましい。さらに、ログ等に基づいて課金及び性能監視処理等が行われてもよい。
【0111】
<WWWサーバからPCへ第2データを送信してリクエストに応答する例>(ステップSA16)ステップSA16では、WWWサーバSV1は、PC11へ第2データD2を送信する。したがって、WWWサーバSV1は、PC11からのhttpリクエストに対して、第2データD2を送信することで応答する。
【0112】
なお、PC11からリクエストが複数ある場合には、ステップSA01乃至ステップSA16の処理が繰り返し行われてもよい。
【0113】
以上のような受信リクエスト処理が行われると、閉域ネットワークNW2のように、セキュリティを確保するため、外部ネットワークNW1から遮断された環境であっても、外部サーバ12等から閉域ネットワークで利用可能なデータ抽出して使用することができる。
【0114】
<送信リクエスト処理例>なお、受信リクエストで得られる第2データD2、すなわち、閉域ネットワークNW2用に変換されたホームページを閲覧するためのデータ等に基づいて、PC11から外部サーバ12へデータを送信する場合がある。このような場合には、例えば、以下のような送信リクエスト処理を行う。
【0115】
<第1情報処理装置からWWWサーバへ第3データを送信する例>(ステップSB01)ステップSB01では、PC11は、WWWサーバSV1へ外部サーバ12に送信するデータ(以下「第3データD3」という。)を送信する。
【0116】
<WWWサーバからリスナへ第3データを送信する例>(ステップSB02)ステップSB02では、WWWサーバSV1は、リスナへ第3データD3を送信する。
【0117】
<リスナからスクレーパへ第3データを送信する例)(ステップSB03)ステップSB03では、リスナは、スクレーパへ第3データD3を送信する。
【0118】
<第3データを外部ネットワークで使用できる第4データに変換する例>(ステップSB04)ステップSB04では、スクレーパは、第3データD3を変換して外部ネットワークNW1で使用できるデータ(以下「第4データD4」という。)を生成する。すなわち、第3データD3は、第2データD2に基づいて生成されるデータである。そして、第2データD2は、無害化するように変換されているため、第2データD2に対して入力された第3データD3では、外部サーバ12は、データを受け付けなかったり、又は、データのフォーマットエラー等によって処理ができなかったりする。したがって、このような事態になるのを避けるため、スクレーパは、閉域ネットワークNW2用の第3データD3を外部ネットワークNW1用の第4データD4に変換する。
【0119】
すなわち、ステップSB04では、例えば、ステップSA11に行われる変換と逆の変換が行われる。このような変換が行われると、閉域ネットワークNW2からの送信であっても、外部ネットワークNW1で使用できるデータが送信できる。
【0120】
次に、ステップSB04による処理結果、すなわち、第4データD4がリスナに返される。
【0121】
<リスナからクライアントへ第4データを送信する例>(ステップSB05)ステップSB05では、リスナは、クライアントへ第4データD4を送信する。
【0122】
<クライアントから外部接続サーバへ第4データを送信する例>(ステップSB06)ステップSB06では、クライアントは、外部接続サーバSV3へ第4データD4を送信する。
【0123】
<外部接続サーバから外部サーバへ第4データを送信する例>(ステップSB07)ステップSB07では、外部接続サーバSV3は、外部サーバ12へ第4データD4を送信する。
【0124】
なお、送信リクエスト処理では、ログを保存したり、データをキャッシュしたりする処理が行われてもよい。
【0126】
まず、図示するような第1データD1が取得できたとする。図示するように、第1データD1は、HTML言語のコード、いわゆるタグ等が集まったデータであるとする。
【0127】
一方で、あらかじめ設定される変換ルールに基づいて、変換対象となるコードが定まるとする。例えば、コードには、所定のサイトへ移動する操作を受けるタグ、いわゆるリンク(以下単に「リンク」という。)が含まれる場合が多い。
【0128】
変換では、変換ルールで指定しているサイトに移動するリンク以外のリンクを削除するようにする。なお、変換ルールは、移動を禁止するサイトを指定してもよい。例えば、いわゆるSNS(Social Networking Service)サイト、検索サイト及び動画サイト等のサイトが、変換ルールにより、移動が禁じられるサイトの例である。
【0129】
図示する第1データD1では、リンクTG1、リンクTG2及びリンクTG3が含まれる。したがって、変換では、第1データD1内がスキャンされ、リンクTG1、リンクTG2及びリンクTG3が抽出される。
【0130】
次に、抽出されたリンクは、無害化される。例えば、リンクTG1は、閉域ネットワークNW2用のURLに置換される。すなわち、リンクTG1は、外部ネットワークNW1用のURLであるため、変換によって、閉域ネットワークNW2用のURLに移動するようにアドレスの一部又は全部が置き換えられる。したがって、変換後のリンク、すなわち、第2データD2によるリンクは、閉域ネットワークNW2用のサイトへ移動するリンクになる。このような変換が行われることにより、閉域ネットワークNW2のセキュリティを担保することができる。
【0131】
また、リンクTG2は、例えば、SNSサイトへのリンクであるとする。このような場合には、リンクTG2は、リンクをクリックしても指定のサイトへ移動する動作を行わない、リンクがクリックされるとエラーメッセージを表示するようにコードが置き換えられる、又は、リンクを削除する等のように変換される。
【0132】
リンクTG3は、例えば、外部ネットワークNW1上で公開されている画像を表示させるリンクである。例えば、リンクTG3は、画像を表示させない、又は、閉域ネットワークで利用可能な別の画像を表示する等のように変換される。
【0133】
また、HTML全体を変換するのが望ましい。このように、HTML全体を変換すると、画像、動画及びスクリプト等が含まれていても、ユーザURは、意識することなくホームページを閲覧する、すなわち、サービスを受けることができる。
【0134】
<変換による無害化の例>ステップSA11による変換が行われると、例えば、以下のようなホームページが閲覧できる。
【0135】
図6は、本実施形態に係る閉域ネットワーク用情報処理システムによる変換によって無害化された場合の第1例を示す図である。まず、第1データD1に基づいてホームページを閲覧する場合、すなわち、外部ネットワークNW1上で外部サーバ12へアクセスした場合等では、左図のようなホームページが閲覧できるとする。
【0136】
以下、第1データD1に基づいて表示されるページ、すなわち、左図で示すページを「変換前ページP10」という。図示するように、変換前ページP10には、所定の機能を実行させるGUI(Graphical User Interface)があるとする。
【0137】
具体的には、図示する例は、変換前ページP10には、サイト内又はサイト外を外部の検索エンジンを利用して検索する検索機能を実行するためのGUI(以下「検索機能G1」という。)が設けられる例である。
【0138】
図示するように、検索機能G1は、例えば、検索させる言葉を入力するテキストボックスG11と、検索を実行するように指示するボタンG12等で実現される。すなわち、検索機能G1は、検索したい言葉をテキストボックスG11に入力した後、ボタンG12を押すと、検索エンジン等で検索された結果が表示される機能である。
【0139】
一方で、第1データD1に対して、図5に示すような変換が行われ、第2データD2が生成される。以下、第2データD2に基づいて表示されるページ、すなわち、右図で示すページを「変換後ページP11」という。
【0140】
図示するように、変換前ページP10と、変換後ページP11とを比較すると、検索機能G1の有無が異なる。すなわち、変換後ページP11は、変換前ページP10から検索機能G1が削除されたページである。
【0141】
このようにすると、所定の機能が実行されるのを防ぎ、閉域ネットワークNW2において、所定の機能によって、セキュリティが低下するのを防ぐことができる。
【0142】
なお、無害化させる所定の機能は、検索機能に限られない。すなわち、無害化させる機能は、変換ルール等によって設定ができる。ゆえに、変換ルールで指定された機能、タグ又はGUI等であればよく、上記のように、無害化の対象は、検索用のGUIでなくともよい。
【0143】
ほかにも、ステップSA11による変換が行われると、例えば、以下のようなホームページが閲覧できる。
【0144】
図7は、本実施形態に係る閉域ネットワーク用情報処理システムによる変換によって無害化された場合の第2例を示す図である。図示する例は、エラーメッセージを表示する例である。
【0145】
例えば、変換ルールに、動画サイトへ移動するリンクを無害化するように、設定がされたとする。そして、閲覧がリクエストされたホームページに、動画サイトへのリンクが含まれるとする。
【0146】
まず、例えば、第2データD2に基づいて、左図に示すようなページが表示されるとする。以下、左図に示すページを「変換後ページP20」という。そして、この例において、変換後ページP20が示す「○○のページへ」というリンクが動画サイトへ移動するリンクであるとする。以下、動画サイトへ移動するリンク、すなわち、「○○のページへ」というリンクを「動画サイトリンクG2」という。
【0147】
そして、ユーザURが動画サイトリンクG2をクリックする操作を行ったとする。このような場合には、画面は、右図に示すような表示となる。図示するように、エラーメッセージG3が表示される。図示するように、エラーメッセージG3は、動画サイトリンクG2が無害化されていることを知らせるメッセージである。
【0148】
なお、エラーメッセージG3は、図示するような形式でなくともよい。例えば、エラーメッセージG3は、エラーを知らせるためのページ等であってもよい。
【0149】
このように、変換は、所定の機能が実行されると、エラーメッセージが表示されるようにする。このようにすると、所定の機能が実行されるのを防ぎ、閉域ネットワークNW2において、所定の機能によって、セキュリティが低下するのを防ぐことができる。
【0150】
<変換によるメールに関する無害化の例>ホームページ、すなわち、HTMLファイル等には、メールを送信するコード、いわゆるメールアンカーが存在する場合がある。
【0151】
具体的には、「タグ<a>構文<a href=mailto:user@domain.com>」といったタグがあると、ホームページ上で表示されるGUIをクリックすると、メールがタグで指定されるメールアドレスに送信される。なお、メールの送信には、あらかじめインストールされるアプリケーションソフトウェアが用いられる。
【0152】
このようなコードが含まれる場合には、例えば、以下のような経路でメールが送信又は受信されるように変換が行われる。
【0153】
図8は、本実施形態に係る閉域ネットワーク用情報処理システムによる変換によって無害化されたメールの送信例を示す図である。
【0154】
図示するように、メールD5が閉域ネットワークNW2用のSMTP(Simple Mail Transfer Protocol)サーバ(以下「第1SMTPサーバSV21」及び「第2SMTPサーバSV22」という。)及びMailBOXサーバSV23が有するPOP3(Post Office Protocol version 3)サーバDPとを経由し、更に回線NW3を介して、閉域ネットワーク用SMTPサーバSV24にメールが送信されるように、変換する。なお、回線NW3は、専用線でもよいし、それ以外のネットワークでもよい。
【0155】
なお、閉域ネットワーク用の第1SMTPサーバSV21及び第2SMTPサーバSV22は、閉域ネットワークNW2におけるPC11等とメールを送受信するため、あらかじめ設置される。
【0156】
このような変換が行われる前、すなわち、第1データにおけるメールアンカーでは、メールD5は、外部ネットワーク用のアドレスに送信されるようになっている場合が多い。
【0157】
一方で、閉域ネットワークNW2の環境下である、PC11は、外部ネットワーク用のアドレスへメールD5を送信するのが禁止されている場合がある。そこで、図示するように、メールD5の送信が許可されている閉域ネットワーク用SMTPサーバSV24にメールが送信されるように、変換する。このような変換が行われると、閉域ネットワークNW2の環境下である情報処理装置であっても、外部の情報処理装置とメールを送受信することができる。
【0158】
<ヘッド部の変換例>なお、変換は、例えば、ヘッド部のみを変換対象としてもよい。具体的には、以下のような変換である。
【0159】
まず、変換対象は、下記(表3)における「メッセージ・ヘッド部」及び下記(表4)における「メッセージ・ヘッド部」に含まれるURLである。
【0160】
【表3】
【0161】
【表4】
【0162】
具体的には、例えば、以下のような部分が変換対象となる。
【0163】
図9は、本実施形態に係る閉域ネットワーク用情報処理システムによるリクエストメッセージにおけるヘッド部の変換例を示す図である。例えば、図示するようなリクエストヘッド部データD11では、変換対象は、タグTG21等である。
【0164】
図10は、本実施形態に係る閉域ネットワーク用情報処理システムによるレスポンスメッセージにおけるヘッド部の変換例を示す図である。例えば、図示するようなレスポンスヘッド部データD12では、変換対象は、タグTG22等である。
【0165】
上記のような変換が行われると、いわゆる「パス・スルーモード」が実現できる。例えば、以下のような構成が可能となる。
【0166】
図11は、本実施形態に係る閉域ネットワーク用情報処理システムによるRDP(登録商標) OVER HTTPの実現例を示すブロック図である。
【0167】
図12は、本実施形態に係る閉域ネットワーク用情報処理システムによるIIOP OVER HTTPの実現例を示すブロック図である。
【0168】
図示するように、RDP(登録商標) OVER HTTP及びIIOP OVER HTTP等におけるパス・スルーモードにより、HTTPトンネリングモードが実装できる。
【0169】
また、このような変換では、HTMLソース部分、すなわち、ボディ部に対する変換がスキップされてもよい。
【0170】
<変形例>なお、サーバ名及び機能名は、図示する名称に限られない。例えば、アプリサーバが有する機能は、リスナ、スクレーパ及びクライアントという名称でなくともよい。
【0171】
また、閉域ネットワークNW2がLGWANである場合には、ファイヤウォールがガイドラインに定められる位置に設けられる構成となる。
【0172】
なお、外部ネットワークを介して提供されるサービスは、例えば、ホームページの公開以外でもよい。例えば、外部サーバ等によって、仮想環境、ネットワーク、ハードウェア、オペレーティングシステム(OS)、ミドルウェア、アプリケーションソフトウェア又はこれらの組み合わせ等のリソースが提供されるのでもよい。すなわち、いわゆるクラウドサービスと呼ばれる、SaaS(Software as a Service)、PaaS(Platform as a Service)又はIaaS(Infrastructure as a Service)等のサービスが外部ネットワークを介して提供されてもよい。
【0173】
<AI等を用いる変形例>閉域ネットワーク用情報処理システム1には、機械学習機能、深層学習(ディープラーニング)、又は、AI(Artificial Intelligence)機能等があってもよい。例えば、ログ等を学習用データとし、学習する機能等があってもよい。
【0174】
特に、上記の例では、第2ロガーSV42が保存するログを学習に用いるのが望ましい。第2ロガーSV42には、変換についてのログが保存される。したがって、第2ロガーSV42が保存するログを学習に用いると、変換について学習することができる。
【0175】
このような機能があると、例えば、誤って入力されるパターン等が学習できる。したがって、学習により、パターンに当てはまる誤った入力がされた場合には、正しい入力を促すように、正しい値又は文字等を推定してユーザURに表示してもよい。
【0176】
また、学習機能があると、変換エラーが発生した場合の対応方法、無害化の対象と判断されるサイトのうち、無害化が不要であるサイトの傾向、又は、無害化の対象とするサイトの判断基準等が学習できる。
【0177】
<その他の適用例>閉域ネットワーク用情報処理システム1、閉域ネットワークNW2又は外部ネットワークNW1は、ルータ等の通信機器を有してもよい。また、閉域ネットワーク用情報処理システム1、閉域ネットワークNW2又は外部ネットワークNW1には、図示する以外に、演算装置、制御装置、サーバ、ファイヤウォール等のセキュリティ機器又は記憶装置等が更にあってもよい。
【0178】
さらに、閉域ネットワーク用情報処理システム1、閉域ネットワークNW2又は外部ネットワークNW1には、図示する情報処理装置以外の情報処理装置が更に接続してもよい。ほかにも、第1情報処理装置、第2情報処理装置及び閉域ネットワーク用情報処理システム等に、更に情報処理装置が接続してもよい。
【0179】
なお、接続は、無線、有線又はこれらの組み合わせのいずれでもよい。
【0180】
また、情報処理装置は、PC及びサーバに限られない。すなわち、情報処理装置は、スマートフォン、携帯電話又はタブレット等の携帯端末であってもよい。ほかにも、情報処理装置は、ワークステーション又はノートPC等であってもよい。
【0181】
さらに、情報処理装置は、複数の装置で構成されてもよい。すなわち、2台以上の情報処理装置を有する情報処理システムでは、記憶、処理又は制御が、並列、冗長又は分散して行われてもよい。
【0182】
以上、本発明を実施するための最良の形態について実施例を用いて説明したが、本発明はこうした実施例に何等限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々の変形及び置換を加えることができる。
【0183】
また、全体構成図等で示す構成例は、各装置による情報処理方法の理解を容易にするために、主な機能に応じて分割したものである。したがって、処理単位の分割の仕方及び名称等によって、本願の発明が制限されることはない。また、各処理は、処理内容に応じて更に多くの処理単位に分割することもできる。また、1つの処理単位が更に多くの処理を含むように分割することもできる。
【0184】
なお、本発明に係る各処理の全部又は一部は、様々なプログラム言語で記述され、閉域ネットワーク用コンピュータに情報処理方法を実行させるためのプログラムによって実現されてもよい。すなわち、プログラムは、情報処理装置又は1以上の情報処理装置を含む情報処理システム等のコンピュータに各処理を実行させるためのコンピュータプログラムである。
【0185】
したがって、プログラムに基づいて情報処理方法が実行されると、コンピュータが有する演算装置及び制御装置は、各処理を実行するため、プログラムに基づいて演算及び制御を行う。また、コンピュータが有する記憶装置は、各処理を実行するため、プログラムに基づいて、処理に用いられるデータを記憶する。
【0186】
また、プログラムは、コンピュータが読み取り可能な記録媒体に記録されて頒布することができる。なお、記録媒体は、磁気テープ、フラッシュメモリ、光ディスク、光磁気ディスク又は磁気ディスク等のメディアである。さらに、プログラムは、電気通信回線を通じて頒布することができる。
【0187】
なお、閉域ネットワーク用情報処理システムは、上記に説明した構成及び接続位置に限られない。すなわち、閉域ネットワーク用情報処理システムは、閉域ネットワーク及び外部ネットワークの間等のように、ネットワークと、他のネットワークの間に接続し、セキュリティを担保する。したがって、閉域ネットワーク用情報処理システム、閉域ネットワーク用情報処理装置、情報処理方法及びプログラムを利用して、異なるネットワークのリソースが活用できればよい。
【0188】
ゆえに、閉域ネットワーク用情報処理システム等は、閉域ネットワークと、外部ネットワークの間に適用されるに限られない。すなわち、閉域ネットワーク用情報処理システムは、直接他のネットワークへの接続が制限される任意のネットワーク間にも適用できる。
【0189】
なお、外部ネットワークNW1は、外部ネットワークの一例である。また、PC11は、第1情報処理装置の一例である。さらに、閉域ネットワークNW2は、閉域ネットワークの一例である。さらにまた、外部サーバ12は、第2情報処理装置の一例である。そして、リクエストRQは、第1情報処理装置から第2情報処理装置へのリクエストの一例である。また、第1データD1は、第1データの一例である。さらに、第2データD2は、第2データの一例である。
【0190】
また、閉域セグメントSG1は、閉域セグメントの一例である。さらに、GWセグメントSG2は、GWセグメントの一例である。さらにまた、外部セグメントSG3は、外部セグメントの一例である。
【0191】
また、リンクTG1、リンクTG2及びリンクTG3等がコードの一例である。
【0192】
さらに、第3データD3は、第3データの一例である。さらにまた、第4データD4は、第4データの一例である。
【0193】
また、テキストボックスG11及びボタンG12は、第1データにおいて所定の機能を実行させるGUIの一例である。
【0194】
さらに、エラーメッセージG3は、第1データにおいて所定の機能が実行されると、表示されるエラーメッセージの一例である。
【0195】
また、ステップSA07は、データ取得部による処理及びデータ取得手順の一例である。さらに、ステップSA11は、第1変換部による処理及び第1変換手順の一例である。さらにまた、ステップSA16は、応答部による処理及び応答手順の一例である。そして、ステップSB04は、第2変換部による処理及び第2変換手順の一例である。また、ステップSB07は、データ送信部による処理及びデータ送信手順の一例である。
【符号の説明】
【0196】
1 閉域ネットワーク用情報処理システム10 閉域ネットワーク用情報処理装置
10H1 CPU
10H2 記憶装置
10H3 入力装置
10H4 通信装置
10H5 出力装置
10H6 インタフェース装置
11 PC
12 外部サーバ
FN1 データ取得部
FN2 第1変換部
FN3 応答部
FN4 第2変換部
FN5 データ送信部
FN21 第1受付部
FN22 第2受付部
NW1 外部ネットワーク
NW2 閉域ネットワーク
NW3 回線
RQ リクエスト
SG1 閉域セグメント
SG2 GWセグメント
SG3 外部セグメント
D1 第1データ
D2 第2データ
D3 第3データ
D4 第4データ
D11 リクエストヘッド部データ
D12 レスポンスヘッド部データ
TG1、TG2、TG3 リンク
TG21、TG22 タグ
UR ユーザ
SV1 WWWサーバ
SV2 アプリサーバ
SV3 外部接続サーバ
SV21 第1SMTPサーバ
SV22 第2SMTPサーバ
SV23 MailBOXサーバ
SV24 閉域ネットワーク用SMTPサーバ
SV41 第1ロガー
SV42 第2ロガー
SV43 第3ロガー
FW ファイヤウォール
G1 検索機能
G11 テキストボックス
G12 ボタン
P10 変換前ページ
P11、P20 変換後ページ
G2 動画サイトリンク
G3 エラーメッセージ
DP POP3サーバ
【要約】
【課題】閉域ネットワークで利用可能なデータを抽出したり、又は、セキュリティを向上させたりすることができる情報処理システム等を提供すること。【解決手段】外部ネットワークと遮断された閉域ネットワークに接続される第1情報処理装置と、前記外部ネットワークに接続された第2情報処理装置とを接続させる閉域ネットワーク用情報処理装置は、前記第1情報処理装置から前記第2情報処理装置へのリクエストがあると、前記第2情報処理装置から第1データを取得するデータ取得部と、前記第1データを所定の変換ルールに基づいて、前記閉域ネットワークで使用できる第2データに変換する第1変換部と、前記リクエストに対して、前記第2データを送る応答部とを含む。
【選択図】図1