ホーム > 特許ランキング > 株式会社野村総合研究所
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2022025553
(43)【公開日】2022-02-10
(54)【発明の名称】コンピュータプログラム
(51)【国際特許分類】
G06F 21/32 20130101AFI20220203BHJP
【FI】
G06F21/32
【審査請求】未請求
【請求項の数】5
【出願形態】OL
(21)【出願番号】P 2020128445
(22)【出願日】2020-07-29
(71)【出願人】
【識別番号】000155469
【氏名又は名称】株式会社野村総合研究所
(74)【代理人】
【識別番号】100076428
【弁理士】
【氏名又は名称】大塚 康徳
(74)【代理人】
【識別番号】100115071
【弁理士】
【氏名又は名称】大塚 康弘
(74)【代理人】
【識別番号】100112508
【弁理士】
【氏名又は名称】高柳 司郎
(74)【代理人】
【識別番号】100116894
【弁理士】
【氏名又は名称】木村 秀二
(74)【代理人】
【識別番号】100130409
【弁理士】
【氏名又は名称】下山 治
(74)【代理人】
【識別番号】100134175
【弁理士】
【氏名又は名称】永川 行光
(74)【代理人】
【識別番号】100199277
【弁理士】
【氏名又は名称】西守 有人
(72)【発明者】
【氏名】土屋 祐輔
(72)【発明者】
【氏名】花崎 徹治
(57)【要約】
【課題】仮想デスクトップを利用する際の安全性を高める。
【解決手段】コンピュータプログラムは、ユーザがメガネ型デバイスを装着したときに当該ユーザの虹彩を撮像できるように当該メガネ型デバイスに設けられた撮像部から画像を取得する機能と、取得された画像に基づく虹彩認証が成功した場合に他のデバイスから送信されるデータを、ネットワークを介して受信する機能と、受信したデータを、メガネ型デバイスを通じて視認可能とする機能と、をコンピュータに実現させる。
【選択図】図1
【特許請求の範囲】
【請求項1】
ユーザがメガネ型デバイスを装着したときに当該ユーザの虹彩を撮像できるように当該メガネ型デバイスに設けられた撮像部から画像を取得する機能と、
取得された画像に基づく虹彩認証が成功した場合に他のデバイスから送信されるデータを、ネットワークを介して受信する機能と、
受信したデータを、前記メガネ型デバイスを通じて視認可能とする機能と、をコンピュータに実現させるためのコンピュータプログラム。
取得された画像に基づく虹彩認証が成功した場合に他のデバイスから送信されるデータを、ネットワークを介して受信する機能と、
受信したデータを、前記メガネ型デバイスを通じて視認可能とする機能と、をコンピュータに実現させるためのコンピュータプログラム。
【請求項2】
前記取得する機能は、前記撮像部から画像を繰り返し取得し、
画像が取得されるたびにその画像に基づく虹彩認証が行われる請求項1に記載のコンピュータプログラム。
画像が取得されるたびにその画像に基づく虹彩認証が行われる請求項1に記載のコンピュータプログラム。
【請求項3】
前記メガネ型デバイスに設けられた、前記ユーザが前記メガネ型デバイスを装着しているか否かを検出する検出部から検出結果を取得する機能と、
取得された検出結果が装着していないことを示す場合、前記メガネ型デバイスに、データの視認可能化を止めさせる機能と、をさらに前記コンピュータに実現させる請求項2に記載のコンピュータプログラム。
取得された検出結果が装着していないことを示す場合、前記メガネ型デバイスに、データの視認可能化を止めさせる機能と、をさらに前記コンピュータに実現させる請求項2に記載のコンピュータプログラム。
【請求項4】
前記メガネ型デバイスに対応する位置を取得する機能をさらに前記コンピュータに実現させ、
取得された位置が所定の条件を充たさない場合、前記ネットワークを介した前記他のデバイスとの接続が拒否される請求項1から3のいずれか一項に記載のコンピュータプログラム。
取得された位置が所定の条件を充たさない場合、前記ネットワークを介した前記他のデバイスとの接続が拒否される請求項1から3のいずれか一項に記載のコンピュータプログラム。
【請求項5】
前記メガネ型デバイスはVDI(Virtual Desktop Infrastructure)におけるシンクライアントとして機能する請求項1から4のいずれか一項に記載のコンピュータプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コンピュータプログラムに関する。
【背景技術】
【0002】
近年、ネット接続環境の整備が進んだことから特にIT系を中心にテレワークを推進する企業が増えてきた。そこに近時のコロナ禍が加わり、全業種、全職種においてテレワークが一気に浸透した。今後も、コロナ禍のようなパンデミックに限らず地震などの災害時でも業務を継続するため、テレワークがより一層普及していくものと思われる。
【0003】
職場以外の環境から、職場の自分のPCを利用するための技術として、VDI(Virtual Desktop Infrastructure)が知られている(例えば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2019-053345号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
特許文献1に記載されるVDIではノート型パソコンをシンクライアントとして利用している。カフェや電車内など第三者の目があるなかでの、そのようなノート型パソコンによる仮想デスクトップの利用は、セキュリティの面で難がある。
【0006】
本発明はこうした課題に鑑みてなされたものであり、その目的は、仮想デスクトップを利用する際の安全性を高めることができる技術の提供にある。
【課題を解決するための手段】
【0007】
本発明のある態様は、コンピュータプログラムに関する。このコンピュータプログラムは、ユーザがメガネ型デバイスを装着したときに当該ユーザの虹彩を撮像できるように当該メガネ型デバイスに設けられた撮像部から画像を取得する機能と、取得された画像に基づく虹彩認証が成功した場合に他のデバイスから送信されるデータを、ネットワークを介して受信する機能と、受信したデータを、メガネ型デバイスを通じて視認可能とする機能と、をコンピュータに実現させる。
【0008】
なお、以上の構成要素の任意の組み合わせや、本発明の構成要素や表現を装置、方法、システム、コンピュータプログラムを格納した記録媒体などの間で相互に置換したものもまた、本発明の態様として有効である。
【発明の効果】
【0009】
本発明によれば、仮想デスクトップを利用する際の安全性を高めることができる。
【図面の簡単な説明】
【0010】
【図1】実施の形態に係るセキュアVDIシステムの構成を示す模式図である。
【発明を実施するための形態】
【0011】
以下、各図面に示される同一または同等の構成要素、部材、処理、信号には、同一の符号を付するものとし、適宜重複した説明は省略する。また、各図面において説明上重要ではない部材の一部は省略して表示する。
【0012】
図1は、実施の形態に係るセキュアVDIシステム2の構成を示す模式図である。セキュアVDIシステム2は、ユーザ6のサイトにおけるメガネ型デバイス200、携帯端末8およびワイヤレスキーボード10と、ユーザ6が所属する企業16の管理者の端末(不図示)と、データセンタ4における振分サーバ100、プライベートクラウド12およびパブリッククラウド14と、を備える。携帯端末8と振分サーバ100とはインターネットなどのネットワークを介してデータ通信可能に接続される。企業16と振分サーバ100とも同様にネットワークを介して接続される。携帯端末8は、メガネ型デバイス200およびワイヤレスキーボード10と、Bluetooth(登録商標)、赤外線通信、WiFi通信、NFC(Near Field Communication)などの近距離無線通信により接続される。
【0013】
セキュアVDIシステム2は、ユーザ6に、VD(Virtual Desktop、仮想デスクトップ)サービスを提供する。振分サーバ100はプライベートクラウド12やパブリッククラウド14から画面情報を取得して携帯端末8に転送する。携帯端末8は取得した画面情報をメガネ型デバイス200に転送する。メガネ型デバイス200は、受け取った画面情報に基づきデスクトップ画面を表示することにより、メガネ型デバイス200を通じてデスクトップ画面を視認可能とする。ユーザ6は、ワイヤレスキーボード10やワイヤレスマウス(不図示)などの入力デバイスを通じて文字入力、クリック、ドラッグなどの操作を行い、その操作内容は近距離無線通信により携帯端末8に伝達され、携帯端末8からネットワークを介して振分サーバ100に送信される。振分サーバ100は、受け取った操作内容をプライベートクラウド12やパブリッククラウド14に転送する。このようにしてVDサービスが提供される。このVDサービスでは、メガネ型デバイス200はVDIにおけるシンクライアントとして機能する。
【0014】
本実施の形態に係るVDサービスではユーザ6とのインタフェースとしてメガネ型デバイス200を用いるので、従来のノート型パソコンなどを用いる場合と比較して、持ち運びが容易であり、新しいワークスタイルにより合致したVDサービスを提供できる。また、のぞき見が困難であるというメガネ型デバイス200の性質を活かして、よりセキュリティの高いVDサービスを提供することができる。さらに、メガネ型デバイス200を採用すると比較的自由な姿勢で作業できるので、スマートフォンやノート型パソコンの操作に伴う姿勢の悪化や視力の低下の問題もメガネ型デバイス200を採用することで解決することができる。このようなメガネ型デバイス200を用いたVDサービスを採用することにより、ユーザ6は、いつでもどこでも、安全に仕事ができる環境を手に入れることができる。
【0015】
セキュアVDIシステム2のメガネ型デバイス200は、デスクトップ画面のみ操作する特化型の端末として構成される。メガネ型デバイス200はVDサービスのシンクライアントとして必要な機能以外の機能は有しておらず、特にアプリケーションのダウンロードおよびインストールは制限または禁止される。また、メガネ型デバイス200は、周囲の環境や他人の顔を撮像するためのカメラは有していない。これにより、プライバシー侵害の不安を取り除くことができる。
【0016】
なお、セキュリティ要件がより緩い他の実施の形態では、汎用型のメガネ型デバイスに専用のアプリケーションをインストールすることで、本実施の形態に係るVDサービスのシンクライアント機能を実現してもよい。
【0017】
以下に、ノート型パソコンでVDを利用する場合の課題と、メガネ型デバイス200を用いることによりその課題がどのように解決されるかを示す。
【0018】
シーン1:移動中の利用
課題1:電車内でのノート型パソコン利用時、隣の人に覗き見されるリスクがある。
課題2:電車に座りながらノート型パソコンを利用したいとき、隣の人とのスペースが狭いと窮屈。
課題3:電車で移動中(立っているとき)等、座るスペースがないときにノート型パソコンの利用が必要でもできない。
課題4:ノート型パソコンを持ち帰るとカバンがかさばる・重い。
メガネ型デバイス200により解決される理由:メガネ型デバイス200はメガネ型であるから盗み見がほぼ不可能である。したがって課題1が解決される。メガネ型デバイス200はノート型パソコンよりも携帯性に優れ、片手で操作可能な簡易キーボードの利用も可能である。したがって、課題2、課題3、課題4が解決される。
課題1:電車内でのノート型パソコン利用時、隣の人に覗き見されるリスクがある。
課題2:電車に座りながらノート型パソコンを利用したいとき、隣の人とのスペースが狭いと窮屈。
課題3:電車で移動中(立っているとき)等、座るスペースがないときにノート型パソコンの利用が必要でもできない。
課題4:ノート型パソコンを持ち帰るとカバンがかさばる・重い。
メガネ型デバイス200により解決される理由:メガネ型デバイス200はメガネ型であるから盗み見がほぼ不可能である。したがって課題1が解決される。メガネ型デバイス200はノート型パソコンよりも携帯性に優れ、片手で操作可能な簡易キーボードの利用も可能である。したがって、課題2、課題3、課題4が解決される。
【0019】
シーン2:カフェなどの外出先での利用
課題1:カフェでのノート型パソコンの利用時、周囲の人に覗き見されるリスクがある。
課題2:カフェでの利用時、トイレを利用したいときに困る(ノート型パソコンをトイレにもっていくのは難儀)。
課題3:席を立った時など目を離した隙の盗難のリスクがある。
メガネ型デバイス200により解決される理由:メガネ型デバイス200はメガネ型であるから盗み見がほぼ不可能である。したがって課題1が解決される。メガネ型デバイス200はノート型パソコンよりも携帯性に優れるので、トイレを利用するときも、席を立つときも持って行きやすい。したがって、課題2が解決される。課題3について、メガネ型デバイス200には後述する繰り返し虹彩認証および接続先コントロール(工場出荷時に接続先固定)が実装されるので、たとえ盗まれても正規利用以外では無力化できる。
課題1:カフェでのノート型パソコンの利用時、周囲の人に覗き見されるリスクがある。
課題2:カフェでの利用時、トイレを利用したいときに困る(ノート型パソコンをトイレにもっていくのは難儀)。
課題3:席を立った時など目を離した隙の盗難のリスクがある。
メガネ型デバイス200により解決される理由:メガネ型デバイス200はメガネ型であるから盗み見がほぼ不可能である。したがって課題1が解決される。メガネ型デバイス200はノート型パソコンよりも携帯性に優れるので、トイレを利用するときも、席を立つときも持って行きやすい。したがって、課題2が解決される。課題3について、メガネ型デバイス200には後述する繰り返し虹彩認証および接続先コントロール(工場出荷時に接続先固定)が実装されるので、たとえ盗まれても正規利用以外では無力化できる。
【0020】
シーン3:オフショアパートナーの自宅からのノート型パソコン利用(例えば、2020年初頭のコロナ禍などのようなパンデミック時に出勤禁止となった状態を想定)
課題:悪意のパートナーに重要データ・重要資料を持ち出されるリスクがある(画面ショットや録画取得されてしまう)
メガネ型デバイス200により解決される理由:メガネ型デバイス200には後述する繰り返し虹彩認証および装着検出機能が実装されるので、メガネ型デバイス200を外すと表示がオフになる。したがって、メガネ型デバイス200を外してその表示内容を撮像することはできない。メガネ型デバイス200を装着したままではその表示内容を記録することはできない。したがって、パートナー経由でのデータ流出リスクは低減または除去される。
課題:悪意のパートナーに重要データ・重要資料を持ち出されるリスクがある(画面ショットや録画取得されてしまう)
メガネ型デバイス200により解決される理由:メガネ型デバイス200には後述する繰り返し虹彩認証および装着検出機能が実装されるので、メガネ型デバイス200を外すと表示がオフになる。したがって、メガネ型デバイス200を外してその表示内容を撮像することはできない。メガネ型デバイス200を装着したままではその表示内容を記録することはできない。したがって、パートナー経由でのデータ流出リスクは低減または除去される。
【0021】
シーン4:盗難されてしまった場合
課題:パスワードが盗まれていると不正にVDIに接続されてしまう可能性がある。
メガネ型デバイス200により解決される理由:メガネ型デバイス200には後述する接続状態コントロールが実装され、振分サーバ100において不正アクセスを遮断できるようになっている。また、メガネ型デバイス200には繰り返し虹彩認証も実装される。したがって、メガネ型デバイス200の盗難によるデータ流出のリスクは低減または除去される。
課題:パスワードが盗まれていると不正にVDIに接続されてしまう可能性がある。
メガネ型デバイス200により解決される理由:メガネ型デバイス200には後述する接続状態コントロールが実装され、振分サーバ100において不正アクセスを遮断できるようになっている。また、メガネ型デバイス200には繰り返し虹彩認証も実装される。したがって、メガネ型デバイス200の盗難によるデータ流出のリスクは低減または除去される。
【0022】
図2は、図1のメガネ型デバイス200の一例を示す模式図である。メガネ型デバイス200は両眼シースルータイプのデバイスであり、表示機能付き左レンズ202と、表示機能付き右レンズ204と、ブリッジ206と、左眼虹彩撮像カメラ208と、右眼虹彩撮像カメラ210と、左テンプル212と、左装着センサ214と、右テンプル216と、右装着センサ218と、を備える。
【0023】
左眼虹彩撮像カメラ208、右眼虹彩撮像カメラ210はいずれもブリッジ206に取り付けられ、それぞれ、ユーザ6がメガネ型デバイス200を装着したときに当該ユーザ6の左眼、右眼の虹彩を撮像できるように取り付け位置および画角が設定されている。本例では左眼虹彩撮像カメラ208、右眼虹彩撮像カメラ210はブリッジ206に取り付けられているが、ユーザの虹彩を撮像できる限りにおいて取り付け位置は任意であり、例えば各レンズの周りやテンプルの付け根に取り付けられてもよい。
【0024】
左装着センサ214および右装着センサ218はそれぞれ左テンプル212、右テンプル216に取り付けられ、いずれもユーザ6がメガネ型デバイス200を装着しているか否かを検出するよう構成される。左装着センサ214、右装着センサ218は例えば静電容量センサなどの物体検知センサであってもよい。
【0025】
左テンプル212および/または右テンプル216には、不図示の電池、回路、アンテナ等が組み込まれる。左眼虹彩撮像カメラ208、右眼虹彩撮像カメラ210、左装着センサ214、右装着センサ218を除くメガネ型デバイス200の構成は、公知のシースルータイプのメガネ型デバイスと同様であってもよい。
【0026】
図2の例では両眼シースルータイプのメガネ型デバイス200を説明したが、他の例では例えばプロジェクタタイプのメガネ型デバイスが用いられてもよい。プロジェクタタイプのメガネ型デバイスは、例えば、超小型プロジェクタによって網膜に直接映像を照射することで、目で「見る」のではなく、見たいものが目に「映る」ヘッドマウントディスプレイである(例えば、QDレーザが製造する網膜走査型ディスプレイ「RETISSA Display II」)。
【0027】
このように、本実施の形態に係るセキュアVDIシステム2におけるメガネ型デバイス200には少なくとも、画像を表示するタイプのデバイスと、画像を眼の網膜に照射するタイプのデバイスがあり、その他の態様も可能である。本実施の形態では、メガネ型デバイス200を通じて画像が視認可能となればよく、そのための手段は任意である。
【0028】
図3は、図1の振分サーバ100のハードウエア構成図である。振分サーバ100は、メモリ104と、プロセッサ106と、通信インタフェース108と、ディスプレイ102と、入力インタフェース110と、を含む。これらの要素はそれぞれバス112に接続され、バス112を介して互いに通信する。
【0029】
メモリ104は、データやプログラムを記憶するための記憶領域である。データやプログラムは、メモリ104に恒久的に記憶されてもよいし、一時的に記憶されてもよい。プロセッサ106は、メモリ104に記憶されているプログラムを実行することにより、振分サーバ100における各種機能を実現する。通信インタフェース108は、振分サーバ100の外部との間でデータの送受信を行うためのインタフェースである。例えば、通信インタフェース106は、インターネットにアクセスするためのインタフェースや、データセンタ4内のLAN(Local Area Network)にアクセスするためのインタフェース等を含む。また、通信インタフェース108は有線ネットワークのインタフェースを含んでいてもよい。ディスプレイ102は、各種情報を表示するためのデバイスであり、例えば、液晶ディスプレイや有機EL(Electroluminescence)ディスプレイなどである。入力インタフェース110は入力を受け付けるためのデバイスである。
【0030】
図4は、図1のメガネ型デバイス200の機能および構成を示すブロック図である。ここに示す各ブロックは、ハードウエア的には、コンピュータのCPUをはじめとする素子や機械装置で実現でき、ソフトウエア的にはコンピュータプログラム等によって実現されるが、ここでは、それらの連携によって実現される機能ブロックを描いている。したがって、これらの機能ブロックはハードウエア、ソフトウエアの組合せによっていろいろなかたちで実現できることは、本明細書に触れた当業者には理解されるところである。
【0031】
メガネ型デバイス200は、撮像部220と、装着検出部222と、表示制御部224と、近距離通信部226と、を備える。
【0032】
撮像部220は、左眼虹彩撮像カメラ208と、右眼虹彩撮像カメラ210と、それらのカメラが取得した画像を表すデータ(以下、画像データという)を処理する周辺回路(ICチップ、不図示)と、を含む。撮像部220は、繰り返し、例えば周期的または定期的に画像データを取得し、取得した画像データを携帯端末8に送るよう構成される。あるいはまた、撮像部220は、携帯端末8から撮像指示を受信するたびに画像データを取得し、携帯端末8に送るよう構成される。
【0033】
装着検出部222は、左装着センサ214と、右装着センサ218と、それらのセンサの検出結果を示すデータ(以下、検出データという)を処理する周辺回路(ICチップ、不図示)と、を含む。装着検出部222は、繰り返し、例えば周期的または定期的に検出データを取得し、取得した検出データを携帯端末8に送るよう構成される。あるいはまた、撮像部220は、携帯端末8から検出指示を受信するたびに検出データを取得し、携帯端末8に送るよう構成される。
【0034】
撮像部220が画像データを取得する頻度をAとし、装着検出部222が検出データを取得する頻度をBとすると、BはAよりも大きくなるよう設定される。例えば、撮像部220が毎秒1回の頻度で画像データを取得して送信する場合、装着検出部222は毎秒10回の頻度で検出データを取得して送信するよう設定される。
【0035】
表示制御部224は、携帯端末8から受信した画面情報に基づいて、デスクトップ画面を表示機能付き左レンズ202および表示機能付き右レンズ204に表示させる。表示制御部224における表示の制御は、公知のシースルータイプのメガネ型デバイスにおける表示制御技術を用いて実現されてもよい。
【0036】
近距離通信部226は携帯端末8との近距離無線通信のインタフェースとして機能する。近距離通信部226は、近距離無線通信を介して画像データや検出データを携帯端末8に送信し、画面情報を携帯端末8から受信する。メガネ型デバイス200と携帯端末8との近距離無線通信は公知の技術を用いて実現されてもよい。
【0037】
図5は、図1の携帯端末8の機能および構成を示すブロック図である。ここに示す各ブロックは、ハードウエア的には、コンピュータのCPUをはじめとする素子や機械装置で実現でき、ソフトウエア的にはコンピュータプログラム等によって実現されるが、ここでは、それらの連携によって実現される機能ブロックを描いている。したがって、これらの機能ブロックはハードウエア、ソフトウエアの組合せによっていろいろなかたちで実現できることは、本明細書に触れた当業者には理解されるところである。
【0038】
携帯端末8は例えばスマートフォンやタブレット型端末であり、ディスプレイなどの情報を表示する手段と、タッチパネルなどのユーザから入力を受け付ける手段と、を有する。
【0039】
携帯端末8のユーザ6は、ダウンロードサイトからインターネットなどのネットワークを介して実施の形態に係るVDIアプリケーションプログラム(以下、VDIアプリと称す)を携帯端末8にダウンロードし、インストールする。あるいはまた、VDIアプリは携帯端末8にプリインストールされていてもよい。VDIアプリが携帯端末8により実行されることにより、携帯端末8は各種機能を実現する。以下、携帯端末8(のCPU(Central Processing Unit)等の処理ユニット)がVDIアプリを実行することにより実現する機能を携帯端末8の機能として説明する。それらの機能は実際はVDIアプリが携帯端末8に実現させる機能である。
【0040】
他の実施の形態ではVDIアプリをインストールする代わりに、ブラウザが用いられる。他の実施の形態に係るコンピュータプログラムは、サーバから携帯端末8のウェブブラウザにネットワークを介して送信され、そのウェブブラウザによって実行される、HTML(Hypertext markup language)などのプログラミング言語により記述されたコンピュータプログラムである。このコンピュータプログラムは、本明細書で説明するVDIアプリと同等の機能を有する。
【0041】
携帯端末8は、近距離通信部302と、画像取得部304と、検出結果取得部306と、ネットワーク通信部308と、画面転送部310と、入力情報取得部312と、位置取得部314と、を含む。
【0042】
近距離通信部302は、メガネ型デバイス200およびワイヤレスキーボード10などの他の周辺機器との近距離無線通信のインタフェースとして機能する。ワイヤレスキーボード10は、立ちながらの操作が可能な片手キーボードや、折りたたみ式キーボードであってもよい。近距離通信部302は、近距離無線通信を介して画面情報をメガネ型デバイス200に送信し、画像データや検出データをメガネ型デバイス200から受信し、入力操作情報をワイヤレスキーボード10から受信する。
【0043】
画像取得部304は、メガネ型デバイス200の撮像部220から画像データを繰り返し取得する。画像取得部304は、撮像部220から頻度Aで繰り返し送信される画像データを取得してもよいし、頻度Aで撮像部220に撮像指示を送信し、該撮像指示に応じて返信される画像データを取得してもよい。画像取得部304は、画像データを取得するたびに、取得した画像データを振分サーバ100に送信する。
【0044】
検出結果取得部306は、メガネ型デバイス200の装着検出部222から検出データを繰り返し取得する。検出結果取得部306は、装着検出部222から頻度Bで繰り返し送信される検出データを取得してもよいし、頻度Bで装着検出部222に検出指示を送信し、該検出指示に応じて返信される検出データを取得してもよい。
【0045】
検出結果取得部306は、取得された検出データが装着していないことを示す場合、メガネ型デバイス200に、デスクトップ画面の表示を止めさせる。検出結果取得部306は、検出データが装着していないことを示す場合、後述の画面転送部310による画面情報のメガネ型デバイス200への転送を停止させる。併せて検出結果取得部306は、メガネ型デバイス200の表示制御部224に、表示を止めるまたは消去するための指示を送信する。
【0046】
ネットワーク通信部308は、振分サーバ100とのネットワークを介した通信のインタフェースとして機能する。ネットワーク通信部308は、ネットワークを介して画像データや入力操作情報を振分サーバ100に送信し、画面情報を振分サーバ100から受信する。デスクトップ画面を表す画面情報は、振分サーバ100における画像データに基づく虹彩認証が成功した場合に振分サーバ100から送信される。虹彩認証が失敗した場合には、振分サーバ100から画面情報が送信されないか、または認証が失敗したことを示す画面を表す画面情報が振分サーバ100から送信される。この虹彩認証は、画像データが取得されるたびにその画像データに基づいて行われる。
【0047】
画面転送部310は、振分サーバ100から受信した画面情報をメガネ型デバイス200に転送することで、画面情報が表すデスクトップ画面をメガネ型デバイス200に表示させる。画面転送部310は、メガネ型デバイス200が装着されていないことが検出された場合に転送を停止することは上述のとおりである。
【0048】
入力情報取得部312は、ワイヤレスキーボード10やワイヤレスマウスなどの周辺機器から、ユーザの入力操作に対応する入力操作情報を取得する。入力情報取得部312は、取得した入力操作情報を振分サーバ100に送信する。
【0049】
位置取得部314は、携帯端末8に備わっているGPS(Global Positioning System)などの測位手段から、携帯端末8の位置、すなわちメガネ型デバイス200に対応する位置を取得する。位置取得部314は、取得した位置を振分サーバ100に送信する。
【0050】
図6は、図1の振分サーバ100の機能および構成を示すブロック図である。ここに示す各ブロックは、ハードウエア的には、コンピュータのCPUをはじめとする素子や機械装置で実現でき、ソフトウエア的にはコンピュータプログラム等によって実現されるが、ここでは、それらの連携によって実現される機能ブロックを描いている。したがって、これらの機能ブロックはハードウエア、ソフトウエアの組合せによっていろいろなかたちで実現できることは、本明細書に触れた当業者には理解されるところである。
【0051】
振分サーバ100は、ネットワーク通信部120と、VDI制御部122と、虹彩認証部124と、位置認証部126と、ユーザ情報保持部128と、デバイス情報保持部130と、を含む。
【0052】
図7は、図6のユーザ情報保持部128の一例を示すデータ構造図である。ユーザ情報保持部128は、ユーザを特定するユーザIDと、ユーザが設定したパスワードと、ユーザまたは管理者によって予め登録された虹彩情報と、ユーザが使用しているメガネ型デバイスを特定する使用デバイスIDと、ユーザによるVDサービスの利用が許可される位置を示す接続許可位置と、を対応付けて保持する。
【0053】
図8は、図6のデバイス情報保持部130の一例を示すデータ構造図である。デバイス情報保持部130は、メガネ型デバイスを特定するデバイスIDと、メガネ型デバイスの工場出荷時に設定された固定の接続先を特定する接続先情報と、メガネ型デバイスに対する接続遮断指示の有無と、を対応付けて保持する。
【0054】
図6に戻り、ネットワーク通信部120は、携帯端末8および企業16の管理者端末とのネットワークを介した通信のインタフェースとして機能する。ネットワーク通信部120は、ネットワークを介して画像データや入力操作情報を携帯端末8から受信し、画面情報を携帯端末8に送信する。ネットワーク通信部120はまた、プライベートクラウド12やパブリッククラウド14とのネットワークを介した通信のインタフェースとしても機能する。
【0055】
VDI制御部122は、メガネ型デバイス200をシンクライアントとする仮想デスクトップサービスを実現する。VDI制御部122の主な機能は以下のとおりである。
【0056】
(1)VDI制御部122は企業16の管理者端末と通信し、企業の管理者によるメガネ型デバイスの登録・管理を可能とする。VDI制御部122は、管理者端末からユーザ情報保持部128に登録すべきユーザIDとパスワードとの組を取得してユーザ情報保持部128に登録する。VDI制御部122は、管理者端末からユーザの虹彩情報を取得してユーザ情報保持部128に登録する。あるいはまた、虹彩情報は携帯端末8を介してユーザ自身によって振分サーバ100に送信され、ユーザ情報保持部128に登録されてもよい。
【0057】
(2)VDI制御部122は、企業16の管理者によるメガネ型デバイスの使用不能化を実現する。VDI制御部122は、管理者端末から接続遮断対象のメガネ型デバイスのデバイスIDを取得し、デバイス情報保持部130において当該デバイスIDの接続遮断指示を「有」と登録する。VDI制御部122は、接続遮断指示が「有」となっているメガネ型デバイスからVDの開始要求または継続要求を受信すると、そのような要求を拒否するか無視する。管理者は、管理下にあるメガネ型デバイスが盗難に遭ったとの申し出があった場合、盗まれたメガネ型デバイスのデバイスIDを接続遮断対象としてVDI制御部122に送信することで、当該メガネ型デバイスによるVDを不能化することができる。これにより、VDサービスのセキュリティをさらに向上させることができる。
【0058】
(3)VDI制御部122は携帯端末8との間でVDのユーザ認証および開始の処理を行う。VDI制御部122は、ユーザID、パスワード、メガネ型デバイスに対応する位置および接続先情報を含むVD開始要求を携帯端末8から取得すると、取得したVD開始要求に含まれるユーザIDとパスワードとの組をユーザ情報保持部128に保持されるユーザ情報と照合することでユーザ認証を行う。VDI制御部122は、ユーザ認証に成功すると、VD開始要求に含まれる接続先情報に対応するプライベートクラウド12またはパブリッククラウド14のリソース(例えば、デスクトップ端末)にアクセスし、そのリソースにおけるデスクトップ画面に対応する画面情報を取得する。
【0059】
リソースにアクセスするためにさらに認証が必要な場合、VDI制御部122は、ユーザ情報保持部128のユーザIDに対応付けて予め登録されている当該リソースの認証情報を用いて認証を行う。ユーザ情報保持部128に登録されるユーザIDおよびパスワード自体が、アクセス先のリソースの認証情報を構成してもよい。
【0060】
接続先情報は、メガネ型デバイス200に書き換え不能な形で書き込まれていてもよい。この場合、携帯端末8はVD開始要求を生成する際にメガネ型デバイス200から接続先情報を読み出す。あるいはまた、接続先情報は、企業16の管理者によるメガネ型デバイスの登録時に管理者によって指定されてもよい。
【0061】
VDI制御部122は、虹彩認証部124における虹彩認証が成功し、かつ、位置認証部126における位置認証が成功すると、取得された画面情報を携帯端末8に送信することでVDを開始する。VDI制御部122は、開始されたVDで用いられるメガネ型デバイスのデバイスIDを、VDの認証で使用されたユーザIDに対応付けてユーザ情報保持部128に登録する。VDI制御部122は、虹彩認証部124における虹彩認証または位置認証部126における位置認証のいずれかまたは両方が失敗した場合、VDの開始を拒否する。
【0062】
(4)VDI制御部122は、メガネ型デバイス200および携帯端末8と、上記のリソースとの間のVDを管理・制御する。VDI制御部122は、携帯端末8から受信した入力操作情報をリソースに送信し、リソースから受信した更新された画面情報を携帯端末8に送信する。
【0063】
(5)VDI制御部122は、VDの継続中に虹彩認証部124における虹彩認証が失敗するとVDを中止または停止する。この場合、VDI制御部122は、リソースから受信した画面情報を携帯端末8に送信しないか、あるいは認証が失敗したことを示す画面を表す画面情報を携帯端末8に送信する。
【0064】
虹彩認証部124は、携帯端末8から受信した虹彩情報と、ユーザ情報保持部128に登録されている虹彩情報と、を照合することで虹彩認証を行う。虹彩認証部124は、VD開始要求に含まれるユーザIDに対応付けてユーザ情報保持部128に登録されている虹彩情報と、携帯端末8から受信した虹彩情報と、を照合し、それらが一致するなら虹彩認証の成功、一致しないなら虹彩認証の失敗、と判断する。上述のとおり虹彩情報は所定の頻度で取得されて送られてくるので、虹彩認証部124はそのような虹彩情報を取得するたびに虹彩認証を実行する。
【0065】
位置認証部126は、VD開始要求に含まれる位置が所定の条件を充たすか否かにより位置認証を行う。位置認証部126は、取得されたVD開始要求に含まれる位置が、ユーザ情報保持部128に登録されている接続許可位置(範囲)に含まれる場合、位置認証の成功と判断し、含まれない場合は位置認証の失敗と判断する。
【0066】
以上の構成によるセキュアVDIシステム2の動作を説明する。
図9は、図1のセキュアVDIシステム2における一連の処理の流れを示すフローチャートである。ユーザ6は、メガネ型デバイス200を装着していない状態で、Bluetooth通信のために、メガネ型デバイス200を携帯端末8とペアリングする(S902)。併せてユーザ6は、ワイヤレスキーボード10などの周辺機器を携帯端末8とペアリングする。ユーザ6は、携帯端末8上でVDサービスにログインする(S904)。このログインは、例えば、振分サーバ100が携帯端末8にログイン情報入力画面を送信して携帯端末8が当該画面を表示し、ユーザ6が当該画面に対してユーザIDおよびパスワードを入力し、携帯端末8が入力されたユーザIDおよびパスワードと、メガネ型デバイス200の接続先情報と、位置と、を含むVD開始要求を生成して振分サーバ100に送信することによって行われる。なお、携帯端末8でのユーザID及びパスワードを用いてVD開始要求に関する認証を行っているが、この認証自体も虹彩認証に代える構成であってもよい。
図9は、図1のセキュアVDIシステム2における一連の処理の流れを示すフローチャートである。ユーザ6は、メガネ型デバイス200を装着していない状態で、Bluetooth通信のために、メガネ型デバイス200を携帯端末8とペアリングする(S902)。併せてユーザ6は、ワイヤレスキーボード10などの周辺機器を携帯端末8とペアリングする。ユーザ6は、携帯端末8上でVDサービスにログインする(S904)。このログインは、例えば、振分サーバ100が携帯端末8にログイン情報入力画面を送信して携帯端末8が当該画面を表示し、ユーザ6が当該画面に対してユーザIDおよびパスワードを入力し、携帯端末8が入力されたユーザIDおよびパスワードと、メガネ型デバイス200の接続先情報と、位置と、を含むVD開始要求を生成して振分サーバ100に送信することによって行われる。なお、携帯端末8でのユーザID及びパスワードを用いてVD開始要求に関する認証を行っているが、この認証自体も虹彩認証に代える構成であってもよい。
【0067】
振分サーバ100は、VD開始要求に含まれる位置に基づいて位置認証を行う(S906)。位置認証が失敗した場合(S906のNO)、VDは開始されず、処理は終了する。位置認証が成功した場合(S906のYES)、処理は続行する。
【0068】
ユーザ6がメガネ型デバイス200を装着すると(S908)、メガネ型デバイス200の撮像部220はユーザ6の虹彩を撮像する。携帯端末8は撮像部220から画像を取得する(S910)。携帯端末8は、取得された画像を振分サーバ100に送信する(S912)。振分サーバ100は受信した画像に基づく虹彩認証を行う(S914)。虹彩認証が失敗した場合(S914のNO)、VDの開始(または継続)が拒否され(S920)、処理はステップS910に戻る。虹彩認証が成功した場合(S914のYES)、振分サーバ100はVDを開始し、継続する(S916)。ステップS916におけるVDの継続中、携帯端末8はメガネ型デバイス200の装着検出部222から検出データを繰り返し取得し、メガネ型デバイス200が外されたことを検出するとメガネ型デバイス200の表示をオフにする。
【0069】
携帯端末8は前回の画像データの取得から所定の期間が経過したか否かを判定する(S918)。携帯端末8は、所定の期間が経過すると(S918のYES)、処理をステップS910に戻すことで虹彩認証を繰り返す。VDの継続中にステップS914において虹彩認証が失敗すると、振分サーバ100はVDの継続を拒否する(S920)。振分サーバ100はVDを中断した後、処理をステップS910に戻すことで虹彩認証を繰り返す。その後、虹彩認証が再び成功すれば、VDが再開される。振分サーバ100は、VDの継続の拒否(ステップS920)が連続して所定回数続いた場合、VDを終了してもよい。
【0070】
上述の実施の形態において、保持部の例は、ハードディスクや半導体メモリである。また、本明細書の記載に基づき、各部を、図示しないCPUや、インストールされたアプリケーションプログラムのモジュールや、システムプログラムのモジュールや、ハードディスクから読み出したデータの内容を一時的に記憶する半導体メモリなどにより実現できることは本明細書に触れた当業者には理解される。
【0071】
本実施の形態に係るセキュアVDIシステム2によると、繰り返し行われる虹彩認証が成功することを条件としてVDが継続される。したがって、本人以外の利用が不可となるに留まらず、繰り返しの認証成功が必要となることから、いったん本人の虹彩認証をパスしたメガネ型デバイスを悪意の他人が利用するといったなりすましも防止できる。その結果、メガネ型デバイス200をシンクライアントとするセキュアVDIシステム2のセキュリティがより強化される。
【0072】
また、本実施の形態に係るセキュアVDIシステム2では、メガネ型デバイス200を外すと虹彩認証に失敗して表示がオフになる。これにより、デスクトップ画面が盗み見られるリスクを軽減または除去することができる。さらに、本実施の形態では、繰り返しの虹彩認証に加えて、より高頻度で装着検出が行われる。したがって、メガネ型デバイス200を外してから虹彩認証失敗によりメガネ型デバイス200の表示が消えるまでの僅かな間にデスクトップ画面が盗み見られるリスクをも軽減または除去することができる。
【0073】
また、本実施の形態に係るセキュアVDIシステム2では、VDサービスを利用可能な位置範囲を指定することができる。これにより、VDを介して機微な内容を扱う会議を行う際に、参加者がVDにより参加できる場所を制限することができる。例えば、カフェや出先など、会話の内容を他人に聞かれる蓋然性の高い場所でのそのような会議への参加を禁止し、参加可能な場所を自宅などの安全な場所に限定することができる。
【0074】
また、本実施の形態に係るセキュアVDIシステム2では、振分サーバ100においてセキュリティコントロールを行っている。したがって、携帯端末8とプライベートクラウド12、パブリッククラウド14のリソースとが直接VDを行う場合と比べて障害への対応がよりスムーズになり、特に休日や夜間の障害対応がよりスムーズになる。
【0075】
また、本実施の形態に係るセキュアVDIシステム2では、企業16の社員の間でメガネ型デバイス200を共用することができる。したがって、例えば企業16に所定数のメガネ型デバイス200を備え付けておいて、社員が外出する際に好きなメガネ型デバイス200を持ち出すようなオペレーションが可能となる。これにより、企業16に、一人一台メガネ型デバイスを与えるよりは低コストで、それでいて安全性はしっかり担保されたVDサービスを提供することができる。
【0076】
以上、実施の形態に係るセキュアVDIシステム2の構成と動作について説明した。この実施の形態は例示であり、各構成要素や各処理の組み合わせにいろいろな変形例が可能なこと、またそうした変形例も本発明の範囲にあることは当業者に理解される。
【0077】
実施の形態では、VD(仮想デスクトップ)を例として説明したが、これに限られず、本実施の形態に係る技術的思想は、VPN(Vertual Private Network)を介した接続やWeb会議などのセキュアな接続が必要な他のアプリケーションにも同様に適用可能である。
【0078】
実施の形態では、メガネ型デバイス200、携帯端末8、振分サーバ100がそれぞれ図4、図5、図6に例示される機能を有する場合を説明したが、これに限られず、例えば、携帯端末8の機能の一部または全てをメガネ型デバイス200が実現してもよい。携帯端末8の全ての機能をメガネ型デバイス200で実現する場合、携帯端末8は不要となりメガネ型デバイス200がネットワークを介して直接振分サーバ100と通信する。この場合、メガネ型デバイス200は携帯端末8が不要となり、携帯端末8と通信するための近距離通信部も不要となる。なお、移動通信機能のみ携帯端末8を介して行う構成であってもよく、携帯端末8のデザリング機能(携帯端末8をアクセスポイントとする)を用いることができる。
あるいはまた、振分サーバ100の虹彩認証機能および/または位置認証機能を携帯端末8またはメガネ型デバイス200が実現してもよい。このように、どの機能をどの要素が実現するかは実際のアプリケーションに応じて適宜決めればよい。具体的なメガネ型デバイス200の動作としては、本デバイスを装着した状態で虹彩を取得し、本デバイスに予め登録されている虹彩情報と照合し、照合の成功有無により認証を行う。予め登録されているというのは、初回使用時に本デバイスを用いてユーザが自分の虹彩を初期登録することにより実現される。本実施形態では携帯端末8と連携する動作を示したが、虹彩情報を本デバイスで取得し、携帯端末8に送信して携帯端末で虹彩の照合を行ってもよい。
あるいはまた、振分サーバ100の虹彩認証機能および/または位置認証機能を携帯端末8またはメガネ型デバイス200が実現してもよい。このように、どの機能をどの要素が実現するかは実際のアプリケーションに応じて適宜決めればよい。具体的なメガネ型デバイス200の動作としては、本デバイスを装着した状態で虹彩を取得し、本デバイスに予め登録されている虹彩情報と照合し、照合の成功有無により認証を行う。予め登録されているというのは、初回使用時に本デバイスを用いてユーザが自分の虹彩を初期登録することにより実現される。本実施形態では携帯端末8と連携する動作を示したが、虹彩情報を本デバイスで取得し、携帯端末8に送信して携帯端末で虹彩の照合を行ってもよい。
【0079】
実施の形態では、ワイヤレスキーボード10やワイヤレスマウスを入力手段として用いる場合を説明したが、これに限られず、例えばキーボードを投影してPCと同等の操作を可能とするシステムや、手のジェスチャによる操作や、目線での操作を可能とするシステムが用いられてもよい。この場合、スマホ操作の不自由さを解決し、操作性を向上することができる。
【0080】
実施の形態では、メガネ型デバイス200に装着検出部222を設ける場合を説明したが、装着の検出が不要な場合や、繰り返しの虹彩認証で装着の検出も兼ねることができる場合には、装着検出部222を設けなくてもよい。
【0081】
実施の形態では、メガネ型デバイス200の接続先は工場出荷時に固定され、メガネ型デバイス200に書き込まれている場合を説明したが、これに限られず、固定でなくてもよく、VD開始時にユーザが指定できるようになっていてもよいし、接続先を企業16の管理者端末から設定・変更できるようにしてもよい。
【0082】
実施の形態において、VDIアプリはフォアグラウンドで動作してもよいし、バックグラウンドで動作してもよい。また、VDIアプリは、メガネ型デバイス200から取得した虹彩の画像データを、VD継続のための虹彩認証だけでなく、他の用途に利用するようにしてもよい。例えば、虹彩の画像データを使用して、VD環境内でさらに認証が必要な別のサービスに接続する際のシングルサインオンを実現してもよい。
【0083】
実施の形態では、位置認証、虹彩認証および装着検出によりVDを監視する場合を説明したが、これに限られず、例えば、VDが可能な期間・タイミングが指定されてもよい。
【0084】
また、実施の形態では、位置認証を用いた構成を説明したが、位置認証を除いた構成であってもよい(つまり、認証として虹彩認証のみの構成)。
【0085】
実施の形態では、一例として、VDの継続するかどうかの判断に虹彩認証を用いており、より具体的な実装の例としては、振分サーバ100にインストールされているプログラムの機能の一つとして虹彩認証に基づきVDの継続判断して継続処理を行っているが、メガネ型デバイス200又は携帯端末8の機能とする実装とすることもできる。携帯端末8の機能として実装する例としては携帯端末8にインストールされているVDクライアントの一機能として実装することもできるし、メガネ型デバイス200の機能として実装する例としてはメガネ型デバイス200にインストールされているVDクライアントの一機能として実装することもできる。VDクライアントの一機能として実装するメリットはVD継続をしないと判断した場合にVDサービスの提供を停止することを簡単に行うことができるというメリットがある。VDクライアントの一機能ではなく、別のプログラムとして実装する場合にはVD継続をしないと判断した場合にメガネ型デバイス200の表示をオフにしたり、シャットダウンしたり、携帯端末8の通信機能をオフにしたり、シャットダウンしたり、いずれにしろ、結果的にVDサービスを提供できなくすることができる。
【符号の説明】
【0086】
2 セキュアVDIシステム、 4 データセンタ、 6 ユーザ、 8 携帯端末、 100 振分サーバ。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】