ホーム > 特許ランキング > デジタルアーツ株式会社
特開2023-178208情報処理装置、認証システム、情報処理方法、及び情報処理プログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023178208
(43)【公開日】2023-12-14
(54)【発明の名称】情報処理装置、認証システム、情報処理方法、及び情報処理プログラム
(51)【国際特許分類】
G06F 21/31 20130101AFI20231207BHJP
【FI】
G06F21/31
【審査請求】未請求
【請求項の数】11
【出願形態】OL
(21)【出願番号】P 2023061812
(22)【出願日】2023-04-06
(62)【分割の表示】P 2022091178の分割
【原出願日】2022-06-03
(71)【出願人】
【識別番号】500147023
【氏名又は名称】デジタルアーツ株式会社
(72)【発明者】
【氏名】道具 登志夫
(72)【発明者】
【氏名】松本 卓也
(72)【発明者】
【氏名】堀内 幹樹
(57)【要約】
【課題】簡易かつ確実な認証システムを実現する情報処理装置、情報処理方法、及び情報処理プログラムを提供する。
【解決手段】情報処理装置10は、ユーザ端末においてアプリケーションを実行するユーザを認証する情報処理装置であって、ユーザ端末のユーザそれぞれを識別する識別情報、アプリケーションのそれぞれに対応付けたユーザ情報、及びユーザの適切な第一の認証位置を認証情報として保存する認証情報保存部13と、ユーザ端末から取得した識別情報、実行されるアプリケーションの情報、ユーザ端末の位置情報を取得して、認証情報を照合してユーザ端末のユーザの認証を実行するユーザ認証部14と、を備える。
【選択図】図1
【解決手段】情報処理装置10は、ユーザ端末においてアプリケーションを実行するユーザを認証する情報処理装置であって、ユーザ端末のユーザそれぞれを識別する識別情報、アプリケーションのそれぞれに対応付けたユーザ情報、及びユーザの適切な第一の認証位置を認証情報として保存する認証情報保存部13と、ユーザ端末から取得した識別情報、実行されるアプリケーションの情報、ユーザ端末の位置情報を取得して、認証情報を照合してユーザ端末のユーザの認証を実行するユーザ認証部14と、を備える。
【選択図】図1
【特許請求の範囲】
【請求項1】
ユーザ端末においてアプリケーションを実行するユーザを認証する情報処理装置であって、
前記ユーザ端末のユーザそれぞれを識別する識別情報、前記アプリケーションのそれぞれに対応付けたユーザ情報、及び前記ユーザの適切な第一の認証位置を認証情報として保存する認証情報保存部と、
前記ユーザ端末から取得した前記識別情報、実行されるアプリケーションの情報、前記ユーザ端末の位置情報を取得して、前記認証情報を照合して前記ユーザ端末のユーザの認証を実行するユーザ認証部と、
を備えることを特徴とする情報処理装置。
前記ユーザ端末のユーザそれぞれを識別する識別情報、前記アプリケーションのそれぞれに対応付けたユーザ情報、及び前記ユーザの適切な第一の認証位置を認証情報として保存する認証情報保存部と、
前記ユーザ端末から取得した前記識別情報、実行されるアプリケーションの情報、前記ユーザ端末の位置情報を取得して、前記認証情報を照合して前記ユーザ端末のユーザの認証を実行するユーザ認証部と、
を備えることを特徴とする情報処理装置。
【請求項2】
前記認証情報保存部は、前記ユーザに関連付けて前記アプリケーションの実行を承認する承認者情報をさらに登録して、
前記ユーザ認証部は、前記識別情報、アプリケーションを実行するユーザ、前記ユーザ端末の位置情報が認証情報と整合したときに、前記承認者情報に対応する承認者端末に通知し、前記承認者端末から受け付けた承認可否の情報に基づき認証する、
を備えることを特徴とする請求項1に記載の情報処理装置。
前記ユーザ認証部は、前記識別情報、アプリケーションを実行するユーザ、前記ユーザ端末の位置情報が認証情報と整合したときに、前記承認者情報に対応する承認者端末に通知し、前記承認者端末から受け付けた承認可否の情報に基づき認証する、
を備えることを特徴とする請求項1に記載の情報処理装置。
【請求項3】
前記認証情報保存部は、前記承認者情報に対応付けて承認者の適切な第2の認証位置を予め設定して、
前記ユーザ認証部は、前記識別情報、アプリケーションを実行するユーザ、前記ユーザ端末の位置情報が認証情報と整合し、かつ前記承認者の位置情報が前記第2の認証位置に一致する場合に、前記承認者情報に対応する承認者端末に通知し、前記承認者端末から受け付けた承認可否の情報に基づき認証する、
を備えることを特徴とする請求項2に記載の情報処理装置。
前記ユーザ認証部は、前記識別情報、アプリケーションを実行するユーザ、前記ユーザ端末の位置情報が認証情報と整合し、かつ前記承認者の位置情報が前記第2の認証位置に一致する場合に、前記承認者情報に対応する承認者端末に通知し、前記承認者端末から受け付けた承認可否の情報に基づき認証する、
を備えることを特徴とする請求項2に記載の情報処理装置。
【請求項4】
前記認証情報保存部は、複数のユーザが関連付けられたグループを前記承認者として設定可能である、
ことを特徴とする請求項2に記載の情報処理装置。
ことを特徴とする請求項2に記載の情報処理装置。
【請求項5】
前記アプリケーションの実行可能な所定の実行許可時間を予め設定して、
前記ユーザ認証部は、前記実行許可時間においてのみ認証動作が実行される、
ことを特徴とする請求項1に記載の情報処理装置。
前記ユーザ認証部は、前記実行許可時間においてのみ認証動作が実行される、
ことを特徴とする請求項1に記載の情報処理装置。
【請求項6】
前記認証情報保存部は、ユーザのそれぞれに対応して認証キーワードを登録して、
前記ユーザ認証部は、前記ユーザ端末に対してキーワードの入力を求めて、前記認証キーワードとの比較に基づく認証をさらに実行する、
ことを特徴とする請求項1に記載の情報処理装置。
前記ユーザ認証部は、前記ユーザ端末に対してキーワードの入力を求めて、前記認証キーワードとの比較に基づく認証をさらに実行する、
ことを特徴とする請求項1に記載の情報処理装置。
【請求項7】
前記認証情報保存部は、前記ユーザ及び前記承認者それぞれの認証キーワードを登録して、
ユーザ認証部は、前記ユーザ端末及び前記承認者端末に対してキーワードの入力を求めて、前記認証キーワードとの比較に基づく認証をさらに実行する、
ことを特徴とする請求項2に記載の情報処理装置。
ユーザ認証部は、前記ユーザ端末及び前記承認者端末に対してキーワードの入力を求めて、前記認証キーワードとの比較に基づく認証をさらに実行する、
ことを特徴とする請求項2に記載の情報処理装置。
【請求項8】
ユーザ認証部は、前記ユーザ端末及び前記承認者端末に対して前記キーワードの入力を求めてから所定の時間内にそれぞれから前記キーワードが前記入力された場合にのみ前記認証キーワードとの比較に基づく認証を実行する、
ことを特徴とする請求項7に記載の情報処理装置。
ことを特徴とする請求項7に記載の情報処理装置。
【請求項9】
ユーザ端末においてアプリケーションを実行するユーザを認証する認証システムであって、
前記ユーザ端末のユーザそれぞれを識別する識別情報、前記アプリケーションのそれぞれに対応付けたユーザ情報、及び前記ユーザの適切な第一の認証位置を認証情報として保存する認証情報保存部と、
前記ユーザ端末から取得した前記識別情報、実行されるアプリケーションの情報、前記ユーザ端末の位置情報を取得して、前記認証情報を照合して前記ユーザ端末のユーザの認証を実行するユーザ認証部と、を備えて、
前記ユーザ認証部より出力された認証結果を、ユーザ端末が実行するアプリケーションのサーバにおいて受け付けて、当該アプリケーションが認証結果に基づいてそのアプリケーションの実行について許可または不許可を制御する、
ことを特徴とする認証システム。
前記ユーザ端末のユーザそれぞれを識別する識別情報、前記アプリケーションのそれぞれに対応付けたユーザ情報、及び前記ユーザの適切な第一の認証位置を認証情報として保存する認証情報保存部と、
前記ユーザ端末から取得した前記識別情報、実行されるアプリケーションの情報、前記ユーザ端末の位置情報を取得して、前記認証情報を照合して前記ユーザ端末のユーザの認証を実行するユーザ認証部と、を備えて、
前記ユーザ認証部より出力された認証結果を、ユーザ端末が実行するアプリケーションのサーバにおいて受け付けて、当該アプリケーションが認証結果に基づいてそのアプリケーションの実行について許可または不許可を制御する、
ことを特徴とする認証システム。
【請求項10】
ユーザ端末においてアプリケーションを実行するユーザを認証する情報処理方法であって、
前記ユーザ端末のユーザそれぞれを識別する識別情報、前記アプリケーションのそれぞれに対応付けたユーザ情報、及び前記ユーザの適切な第一の認証位置を認証情報として保存するステップと、
前記ユーザ端末から取得した前記識別情報、実行されるアプリケーションの情報、前記ユーザ端末の位置情報を取得して、前記認証情報を照合して前記ユーザ端末のユーザの認証を実行するステップと、
を含むことを特徴とする情報処理方法。
前記ユーザ端末のユーザそれぞれを識別する識別情報、前記アプリケーションのそれぞれに対応付けたユーザ情報、及び前記ユーザの適切な第一の認証位置を認証情報として保存するステップと、
前記ユーザ端末から取得した前記識別情報、実行されるアプリケーションの情報、前記ユーザ端末の位置情報を取得して、前記認証情報を照合して前記ユーザ端末のユーザの認証を実行するステップと、
を含むことを特徴とする情報処理方法。
【請求項11】
コンピュータを、
ユーザ端末のユーザそれぞれを識別する識別情報、アプリケーションのそれぞれに対応付けたユーザ情報、及び前記ユーザの適切な第一の認証位置を認証情報として保存する機能、
前記ユーザ端末から取得した前記識別情報、実行される前記アプリケーションの情報、前記ユーザ端末の位置情報を取得して、前記認証情報を照合して前記ユーザ端末のユーザの認証を実行する機能、
として機能させることを特徴とする情報処理プログラム。
ユーザ端末のユーザそれぞれを識別する識別情報、アプリケーションのそれぞれに対応付けたユーザ情報、及び前記ユーザの適切な第一の認証位置を認証情報として保存する機能、
前記ユーザ端末から取得した前記識別情報、実行される前記アプリケーションの情報、前記ユーザ端末の位置情報を取得して、前記認証情報を照合して前記ユーザ端末のユーザの認証を実行する機能、
として機能させることを特徴とする情報処理プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明の実施形態は、情報処理装置、情報処理方法、及び情報処理プログラムに関する。
【背景技術】
【0002】
近年、スマートフォン等の携帯端末を用いて、電子決済サービス等の各種サービスが幅広く利用可能となっており、生活の利便性が急速に高まっている。また、在宅勤務、いわゆるテレワークの広まりを受けて、社員が保有するPCや携帯端末を用いて、自宅や出張先等の遠隔地からネットワークを介して業務を行う働き方が広まっている。
【0003】
一方で、ユーザの携帯端末により電子決済等の各種サービスや社内専用のアプリケーションの利用を可能とするためには、当該端末を保有するユーザのログイン情報、パスワード等の個人情報が端末内のアプリケーションに設定され記憶されている場合が多い。仮に第三者にユーザの端末が渡ってしまい、端末へのログイン情報等が洩れてしまった場合には、電子決済などのアプリケーションをその第三者に実行されてしまうおそれがある。従来から、ユーザの認証を確実にするためのセキュリティ技術が検討されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2019-125000号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
複数の認証を多段階で行うことで認証の精度は高まるものの、ユーザの認証にかかる操作は煩雑になるおそれがある。ユーザの利便性を低下させることなく、端末の正しい保有者によるアプリケーションの実行であることを確実に認証する方法が必要となる。
【0006】
本発明はこのような事情を考慮してなされたもので、簡易かつ確実な認証システムを実現する情報処理装置、情報処理方法、及び情報処理プログラムを提供することを目的とする。
【課題を解決するための手段】
【0007】
本発明の実施形態に係る情報処理装置は、ユーザ端末においてアプリケーションを実行するユーザを認証する情報処理装置であって、前記ユーザ端末のユーザそれぞれを識別する識別情報、前記アプリケーションのそれぞれに対応付けたユーザ情報、及び前記ユーザの適切な第一の認証位置を認証情報として保存する認証情報保存部と、前記ユーザ端末から取得した前記識別情報、実行されるアプリケーションの情報、前記ユーザ端末の位置情報を取得して、前記認証情報を照合して前記ユーザ端末のユーザの認証を実行するユーザ認証部と、を備える。
【発明の効果】
【0008】
本発明の実施形態により、簡易かつ確実な認証システムを実現する情報処理装置、情報処理方法、及び情報処理プログラムが提供される。
【図面の簡単な説明】
【0009】
【図1】本実施形態に係る情報処理装置を用いた認証システムの構成例を示す構成図。
【図2】情報処理装置に設定された認証情報の一例を示す説明図。
【図3】認証情報の設定画面の一例を示す説明図。
【図4】(A)承認者グループの設定例を示す説明図、(B)承認者情報の設定例を示す説明図。
【図5】本実施形態に係る情報処理方法における認証フローの一例を示す図。
【発明を実施するための形態】
【0010】
以下、本発明の実施形態を添付図面に基づいて説明する。図1は、本実施形態に係る情報処理装置10を用いた認証システム100の構成の一例を示す図である。
【0011】
まず、全体の構成について説明する。
認証システム100は、情報処理装置10においてユーザ端末50のユーザを認証するシステムである。
認証システム100は、情報処理装置10においてユーザ端末50のユーザを認証するシステムである。
【0012】
認証システム100は、ユーザ端末50、情報処理装置10と、から構成されている。情報処理装置10と、ユーザ端末50とは、ネットワークを介して通信可能に接続されており、図1では情報処理装置10に対して通信可能なユーザ端末50を1つ記載しているが、複数のユーザ端末50が情報処理装置10と通信可能に接続されてもよい。
【0013】
ユーザ端末50は、識別情報送信部51と、位置情報送信部52と、アプリケーション制御部53と、を有している。
【0014】
識別情報送信部51は、ユーザ端末50のユーザそれぞれを一意に識別するための識別情報、例えばユーザ名、パスワード、電子メールアドレスなどを情報処理装置10に送信する。また、識別情報は、スマートフォン等の携帯端末の場合には、端末情報(例えば端末のMacアドレス等)、携帯番号、ユーザ端末50のユーザの生体情報(例えばユーザの指紋情報、顔情報データ)であってもよい。ユーザ端末50において生体情報に基づき端末へのログインを認証する場合には、その判定結果を情報処理装置10に識別情報として送信してもよい。
【0015】
また、識別情報送信部51は、ユーザ端末50が外部のWebサーバにアクセスする際の、Webアクセス情報(アクセス先URLの情報等)、ユーザ端末50において送受信されるメールの送受信情報、ユーザ端末50がネットワークを介してチャットシステムを利用する場合にはテキストチャットやWeb会議の利用情報などを情報処理装置10に送信してもよい。
【0016】
位置情報送信部52は、ユーザ端末50の位置情報を情報処理装置10に送信する。なお、位置情報は、ユーザ端末50の位置が把握できる情報であり、例えばGPSから取得されるユーザ端末50の位置情報でもよい。また、位置情報は、特定の位置を予め設定しておき、この位置からの相対的な距離であってもよい。位置情報送信部52は、定期的に(例えば1時間ごとに)位置情報を情報処理装置10に送信してもよい。
【0017】
アプリケーション制御部53は、ユーザ端末50において実行されるアプリケーションの情報を送信する。アプリケーションの情報とは、アプリケーションのそれぞれを識別するための識別情報であり、アプリケーション名、アプリケーションに対応するハッシュ値が例示される。なお、アプリケーションの情報については、ユーザ端末50が通信するアプリケーションのサーバからアプリケーション情報を受け付けて、情報処理装置10の識別情報取得部11に送信してもよい。
【0018】
アプリケーション制御部53は、情報処理装置10に対して認証の要求を実行し、情報処理装置10から認証結果を受ける。そして、認証結果に基づいてユーザ端末50において実行されるアプリケーションの実行について許可/不許可を制御する。ここで、アプリケーションとは、例えば端末内で電子マネーにかかる情報や個人情報等を外部ネットワークに送信して外部と通信を行い、電子決済、ログイン認証等を実行するソフトウェアや会社等の組織内部での利用が限定されるソフトウェア(例えばファイル共有アプリケーション)を意味する。
【0019】
具体的には、アプリケーション制御部53は、情報処理装置10において認証結果が整合となる情報を受け付けた場合には、ユーザ端末50の正しいユーザによる端末利用であると判定し、端末内のアプリケーション実行を許可する。一方で、情報処理装置10において認証結果が不整合となる情報を受け付けた場合には、ユーザ端末50の正しいユーザによる端末利用ではないと判定し、アプリケーション実行を許可しない。なお、情報処理装置10における端末の認証方法については後述する。
【0020】
なお、アプリケーションの実行制御について、ユーザ端末50による制御に限定されるものでは無く、情報処理装置10から出力される認証結果を、ユーザ端末50が実行するアプリケーションのサーバ(図1の符号70)において受け付けて、当該アプリケーションが認証結果に基づいてそのアプリケーションの実行について許可/不許可を制御してもよい。
【0021】
実施形態に係る情報処理装置10の具体的な構成について説明する。
情報処理装置10は、ユーザ端末50から識別情報、アプリケーションの情報及び位置情報を取得して、この取得情報と、予め登録したユーザの識別情報及び認証位置とを照合することで、ユーザ端末50を利用しているユーザを認証する認証サーバである。
情報処理装置10は、ユーザ端末50から識別情報、アプリケーションの情報及び位置情報を取得して、この取得情報と、予め登録したユーザの識別情報及び認証位置とを照合することで、ユーザ端末50を利用しているユーザを認証する認証サーバである。
【0022】
情報処理装置10は、識別情報取得部11と、位置情報取得部12と、認証情報保存部13と、承認者通知部15と、を有している。
【0023】
なお、情報処理装置10を構成する各ユニットの機能は、所定のプログラムコードを、プロセッサを用いて実行することによって実現しても良く、このようなソフトウェア処理に限らず、例えば、ASIC等を用いたハードウェア処理で実現してもよいし、ソフトウェア処理とハードウェア処理とを組み合わせて実現してもよい。
【0024】
識別情報取得部11は、ユーザ端末50のユーザそれぞれを識別するための識別情報を、ユーザ端末50から取得する。識別情報取得部11は、ユーザを認証するために必要な識別情報(ログインID、パスワード、生体情報等)を少なくとも1つユーザ端末50から取得する。識別情報取得部11は、複数の識別情報を取得してもよく、ユーザ端末50から取得する識別情報の種類、数は、情報処理装置10の管理者により設定される。また、取得する識別情報の種類、数は、一定期間ごとに自動で変更される構成としてもよい。
【0025】
また、識別情報取得部11は、ユーザ端末50において実行されるアプリケーションの情報を受信する。
【0026】
位置情報取得部12は、ユーザ端末50から送信された、ユーザ端末50の位置情報を取得する。位置情報取得部12は、ユーザ端末50から送信される位置情報とともに当該位置情報が取得された時間情報を取得してもよい。位置情報取得部12は、ユーザ端末50のアプリケーション制御部53から認証の要求を受け付けた際、ユーザ端末50の位置情報を取得する。
【0027】
また、ユーザが複数の端末を保有する場合に、情報処理装置10において、ユーザに対して複数の端末を登録しておき、アプリケーションを実行する端末とは別のユーザの端末に位置情報を要求して、当該端末から位置情報の入力を受け付けてもよい。
【0028】
認証情報保存部13は、ユーザ端末50のユーザそれぞれを識別する識別情報、アプリケーションのそれぞれに対応付けたユーザ情報、及び当該ユーザそれぞれの適切な認証位置を認証情報として保存する。
【0029】
認証情報保存部13は、ユーザ端末50のユーザそれぞれを認証するための情報であり、例えばユーザ端末50を保有するユーザのユーザ名、パスワード、ユーザ端末50の電子メールアドレス、ユーザ端末50の識別子等を登録する。識別情報は、ユーザ端末50を保有するユーザ、または情報処理装置10の管理者によって情報処理装置10に登録される。識別情報は、認証の精度を高める観点で、複数種類の識別情報が登録されることが望ましい。
【0030】
認証情報保存部13は、ユーザ端末50で実行されるアプリケーションのそれぞれに対応付けて、アプリケーションの実行を許可するユーザ情報を登録する。ユーザ情報は、ユーザ端末50のユーザを識別する情報であり、例えばユーザ名、メールアドレス等の情報である。なお、ユーザ情報は、単一のユーザが設定されてもよいし、複数のユーザをグループとして設定して、グループ単位で設定してもよい。アプリケーションのそれぞれに対応付けたユーザ情報は、ユーザ端末50を保有するユーザ、情報処理装置10の管理者によって登録される。
【0031】
認証情報保存部13は、アプリケーションを実行するユーザ端末50のユーザがその位置に存在することを予め想定(許容)される位置情報、例えば自宅や所属する会社などの位置情報である。認証位置は、座標による指定でもよいし、一定の位置範囲(指定された位置座標を中心にして、一定の領域(例えば半径5メートル以内))によって指定してもよい。認証位置は、ユーザ端末50を保有するユーザ、または情報処理装置10の管理者によって情報処理装置10に予め登録される。
【0032】
また、認証情報保存部13は、ユーザ端末50のユーザに関連付けてアプリケーションの実行を承認する承認者情報を設定してもよい。承認者は、情報処理装置10における認証時において、当該認証に対して承認する否かを判定する。承認者情報としては、承認者の通知先(メールアドレス、電話番号等)が登録される。さらに、承認者について、その位置に存在することを予め想定(許容)される位置情報を承認者の認証位置(第2の認証位置)として保存してもよい。承認者情報は、ユーザ端末50を保有するユーザ、または情報処理装置10の管理者によって情報処理装置10に予め登録される。
【0033】
図2は、情報処理装置10に設定された認証情報の一例を示す説明図である。
【0034】
ユーザ端末50で実行されるアプリケーションのそれぞれに対応付けたユーザ情報を設定される。ユーザ情報には、単一のユーザ、または複数のユーザを関連付けたグループを設定することが可能である。アプリケーションを実行するユーザそれぞれの認証位置(図2では座標情報)が予め設定される。さらに、ユーザそれぞれに対してアプリケーションの実行を承認するか否かを決定する承認者の情報が設定されており、承認者の認証位置が設定されている。
【0035】
図3は、情報処理装置10において登録される認証情報の設定画面の一例を示す説明図である。ユーザ(または情報処理装置10の管理者)により設定される設定画面である。
【0036】
図3では、認証を実行するアプリケーションを選択し、実行を許可するユーザを選択できるように構成されており、ログイン・パスワード等の識別情報に基づく認証、生体認証、認証位置に基づく位置認証、及び承認者に基づく承認者認証の4つの認証方法を選択することが可能に構成されている。図3において、黒丸で指定されているものが、ユーザ端末50のアプリケーション実行時における認証方法となる。
【0037】
図3に示されるように、位置認証において、ユーザ端末50のユーザの認証位置が設定可能である。認証位置は、座標により指定してもよいし、住所に基づいて指定してもよい。また、承認者認証において、承認者(及び承認者の通知先)、承認者の認証位置が設定可能である。これにより、ユーザ端末50で実行されるアプリケーションの重要度に応じて、認証方法を変更することで、認証の強度を変更することができる。
【0038】
図1に戻って説明を続ける。
ユーザ認証部14は、ユーザ端末50から取得した識別情報、実行されるアプリケーションの情報、ユーザ端末50の位置情報を取得して、認証情報を照合してユーザ端末50のユーザの認証を実行する。
ユーザ認証部14は、ユーザ端末50から取得した識別情報、実行されるアプリケーションの情報、ユーザ端末50の位置情報を取得して、認証情報を照合してユーザ端末50のユーザの認証を実行する。
【0039】
具体的には、ユーザ認証部14は、ユーザ端末50から取得した識別情報を、ユーザ端末50の当該ユーザに対応して登録されている識別情報と比較して、一致するか否かを判定する。一致する場合には、このユーザがアプリケーションの実行を許可するユーザであるかを判定する。識別情報が一致し、当該ユーザがアプリケーションの許可者である場合に、当該端末の位置情報を、ユーザ端末50の当該ユーザに対応して登録されている認証位置と比較して、当該端末の位置情報が認証位置に一致するか(認証位置が一定の範囲として設定されている場合には、当該端末の位置情報がその範囲に入るか否か)を判定する。識別情報が一致し、アプリケーションの許可者であり、かつ位置情報が認証位置に一致する場合に、ユーザ端末50のユーザは認証整合と判断する。
【0040】
一方で、アプリケーションの許可者ではなく、識別情報または位置情報が登録されている情報に一致しない場合には、ユーザ端末50のユーザは認証不整合と判断する。
【0041】
さらに、ユーザ認証部14は、識別情報、アプリケーションを実行するユーザ、ユーザ端末50の位置情報が認証情報と整合したときに、承認者情報に対応する承認者端末60に通知して、承認者端末60から受け付けた承認可否の情報に基づき認証してもよい。
【0042】
具体的には、承認者通知部15は、識別情報が一致し、アプリケーションの許可者であり、かつ位置情報が認証位置に一致したときに、承認者の通知先情報に通知する。承認者に対して、ユーザがアプリケーションを実行しようとしている旨を通知する。このとき、ユーザの位置情報、ユーザの連絡先等を通知してもよい。承認者通知部15は、認証を承認するかの承認結果を当該承認者端末60から受け付ける。ユーザ認証部14は、通知された承認者端末60から認証を承認する承認情報を受け付けた際に、認証を整合と判断する。
【0043】
また、承認者通知部15は、認証時に、承認者の承認者端末60の位置情報を取得してもよい。認証情報保存部13は、承認者情報に対応付けて承認者の適切な認証位置を予め設定しておき、識別情報、アプリケーションを実行するユーザ、ユーザ端末50の位置情報が認証情報と整合し、かつ承認者の位置情報が認証位置(承認者の認証位置)に一致する場合にのみ、承認者情報に対応する承認者端末60に通知し、承認者端末60から受け付けた承認可否の情報に基づき認証してもよい。ユーザ端末50のユーザ及び承認者の位置情報のいずれかが認証位置に一致しない場合には、認証不整合としてもよい。さらに、ユーザ端末50のユーザ及び承認者の位置情報が認証位置に一致しなかった場合、承認者の承認者端末60に対して一致しなかった情報(位置情報と認証位置の差異等)ととともに通知してもよい。これにより、ユーザ端末50のユーザ及び承認者の位置情報がいずれも認証位置になければ認証されないため、不正利用を防止でき、より強度な認証を実現することができる。
【0044】
また、認証情報保存部13は、複数のユーザが関連付けられたグループを承認者として設定してもよい。この場合、グループ全員を承認者としてもよいし、グループの中の任意のユーザが承認者として自動で選択される構成にしてもよい。
【0045】
図4(A)は、承認者のグループの設定例を示す説明図である。ここでは、認証を管理するグループや上位職のユーザをグループとして分類している。例えば、認証管理グループには、suzuki、tokkyoの二人のユーザが設定されている。
【0046】
図4(B)は、承認者情報の設定例を示す説明図であり、ユーザの承認者としてグループ単位での選択可能にしている。例えば、application1の実行を許可されているユーザyamadaに対して、承認者のグループとして認証管理グループが設定されている。さらに、認証管理グループの承認ユーザの認証位置として(x2,y2,z2)の座標が設定されている。
【0047】
また、ユーザ認証部14は、ユーザ端末50によるアプリケーションの実行可能な所定の実行許可時間を予め設定しておき、ユーザ端末50から認証要求があったときに、この時間が実行許可時間内であった場合にのみ認証動作が実行されるように構成してもよい。実行許可時間とは、アプリケーションの実行が許容される時間(例えば、毎週水曜日や午前9時から午後18時までの時間帯)を意味しており、ユーザ端末50のユーザまたは管理者により設定される。
【0048】
また、認証情報保存部13において、ユーザ端末50のユーザのそれぞれに対応して認証キーワードを予め登録しておき、ユーザ認証部14が、認証動作時に、ユーザ端末50に対してキーワードの入力を求める。そして、入力されたキーワードと認証キーワードとの比較に基づく認証をさらに実行してもよい。
具体的には、ユーザ端末50から取得した識別情報、アプリケーションの情報、ユーザ端末50の位置情報を取得して、認証情報を照合して整合する場合に、ユーザ端末50にキーワードの入力を求めて、このキーワードが認証キーワードと一致する場合に認証整合とする。一致しない場合には、不整合とする。
具体的には、ユーザ端末50から取得した識別情報、アプリケーションの情報、ユーザ端末50の位置情報を取得して、認証情報を照合して整合する場合に、ユーザ端末50にキーワードの入力を求めて、このキーワードが認証キーワードと一致する場合に認証整合とする。一致しない場合には、不整合とする。
【0049】
さらに、認証情報保存部13において、ユーザ及び承認者それぞれの認証キーワードを登録しておいてもよい。この場合、ユーザ認証部14は、ユーザ端末50及び承認者端末60に対してキーワードの入力を求める。そして、入力されたユーザ及び承認者それぞれのキーワードと認証キーワードとの比較に基づく認証をさらに実行する。
具体的には、ユーザ端末50から取得した識別情報、アプリケーションの情報、ユーザ端末50の位置情報を取得して、認証情報を照合して整合する場合に、ユーザ端末50及び承認者端末60の2つの端末に対してキーワードの入力を求める。双方から入力されたキーワードが認証キーワードと一致する場合に認証整合とする。一致しない場合には、不整合とする。この場合、ユーザ端末50及び承認者端末60に対してキーワードの入力を求めてから所定の時間内(例えば5分以内)にそれぞれからキーワードが入力された場合にのみ認証キーワードとの比較に基づく認証を実行する構成としてもよい。
具体的には、ユーザ端末50から取得した識別情報、アプリケーションの情報、ユーザ端末50の位置情報を取得して、認証情報を照合して整合する場合に、ユーザ端末50及び承認者端末60の2つの端末に対してキーワードの入力を求める。双方から入力されたキーワードが認証キーワードと一致する場合に認証整合とする。一致しない場合には、不整合とする。この場合、ユーザ端末50及び承認者端末60に対してキーワードの入力を求めてから所定の時間内(例えば5分以内)にそれぞれからキーワードが入力された場合にのみ認証キーワードとの比較に基づく認証を実行する構成としてもよい。
【0050】
また、ユーザ認証部14は、ユーザ端末50の認証実行時に対する過去の位置情報を利用する認証方法を追加で実行してもよい。具体的には、ユーザ認証部14は、過去の位置情報からユーザ端末50のユーザが正当であるかを認証するための設問を生成し、ユーザ端末50から設問の回答を受け付ける。例えば、「昨日12時から13時の間にいずれの位置にいましたか?」とのユーザ本人しか知り得ない設問を生成してユーザ端末50に送信し、当該ユーザ端末50から回答を受け付ける。ユーザ端末50から受け付けた回答が、該当時間におけるユーザの正しい位置を示すものである場合にユーザの認証を整合とする。ユーザ端末50のユーザに質問する位置情報に基づく認証用の設問は、予め設問パターンを設定しておき自動的に生成する。
【0051】
さらに、ユーザ認証部14は、過去の位置情報を用いて認証する方法として、過去の位置情報(例えば、24時間前の位置情報)が認証位置に一致する場合に、ユーザ端末50のユーザは認証整合と判断してもよい。また、ユーザ認証部14は、現在のユーザ端末50の位置情報が認証位置に一致し、かつ過去の位置情報(例えば、24時間前の位置情報)が認証位置に一致する場合に、ユーザ端末50のユーザは認証整合と判断してもよい。
【0052】
また、ユーザ認証部14は、ユーザ端末50における過去のWebアクセス情報、メールの送受信情報、チャットツールを利用した場合の過去の利用情報を用いて認証を実行してもよい。ユーザ端末50のユーザが正当であるかの設問をWebアクセス情報等に基づいて生成してユーザ端末50から設問の回答を受け付ける。例えば、「昨日12時から13時の間にアクセスしたWebサイトはいずれですか?」や「昨日のWeb会議の相手はだれですか?」等としてユーザ本人しか知り得ない設問を選択肢形式で生成してユーザ端末50に送信し、当該ユーザ端末50から回答を受け付ける。ユーザ端末50からの回答が、正しい回答である場合にユーザの認証は整合とする。ユーザ端末50のユーザに質問するWebアクセス情報等に基づく認証用の設問は、予め設問のパターンを設定しておき自動的に生成する。なお、ユーザ認証部14が、位置情報やWebアクセス情報などに基づく複数の設問を生成してユーザ端末50のユーザに質問する構成としてもよい。
【0053】
さらに、ユーザ認証部14は、Webアクセス情報を用いて認証する方法として、ユーザ端末50により想定されるWebアクセスにかかる情報(アクセス先となるURL等)を予め登録しておき、過去のWebアクセス情報(例えば、24時間以内のユーザ端末50のWebアクセス情報)が、登録されている情報に一致する場合に、ユーザ端末50のユーザは認証整合と判断してもよい。
【0054】
上述のように過去の位置情報に基づく設問に対する回答による認証等の各種認証方法をユーザ端末50のユーザまたは情報処理装置10の管理者が任意に設定し、認証方法を組み合わせることで、認証の強度を高めることができる。
【0055】
ユーザ認証部14は、情報処理装置10における認証が整合したか否かの情報をユーザ端末50に出力する。ユーザ端末50のアプリケーション制御部53は、情報処理装置10から認証結果を受け付けて、認証結果に基づいてアプリケーションを制御する。なお、情報処理装置10の認証結果を端末内のアプリケーションが直接受け付けてもよいし、ユーザ端末50が実行するアプリケーションが格納されているアプリケーションサーバ70が直接受け付けてもよい。
【0056】
【0057】
識別情報取得部11は、ユーザ端末50のユーザそれぞれを識別するための識別情報、アプリケーション情報、及びユーザ端末50の現在の位置情報をユーザ端末50から取得する(S10)。
【0058】
ユーザ認証部14は、識別情報が登録された登録情報と一致するか否かを判定する(S11)。一致しない場合には、認証不整合とする結果をユーザ端末50に出力する(S11:NO、S17)。
【0059】
ユーザ認証部14は、アプリケーションを実行可能なユーザであるかを判定する(S12)。一致しない場合には、認証不整合とする結果をユーザ端末50に出力する(S12:NO、S17)。
【0060】
ユーザ認証部14は、取得した位置情報を予め登録された認証位置と比較して、一致するか否かを判定する(S13)。一致しない場合には、認証不整合とする結果をユーザ端末50に出力する(S13:NO、S17)。
【0061】
承認者通知部15は、位置情報が認証位置と一致する場合には、承認者情報に対応する通知先に通知する(S13:YES、S14)。
【0062】
ユーザ認証部14は、承認者端末60から承認情報を受け付けた場合に認証整合とする(S15:YES、S16)。認証の整合の通知を受け付けたユーザ端末50のアプリケーション制御部53は、端末内のアプリケーション実行を許可する。
【0063】
なお、一定時間内に承認情報を受け付けない場合には、認証不整合とする結果をユーザ端末50に出力する(S15:NO、S17)。認証の不整合の通知を受け付けたユーザ端末50のアプリケーション制御部53は、端末内のアプリケーション実行を不許可とする。
【0064】
このように、本実施形態の情報処理装置10では、ユーザ端末50から識別情報、アプリケーションの情報及び位置情報を取得して、この取得情報と、予め登録した認証情報とを照合することで、ユーザ端末50を利用するユーザが正当なユーザであるかを簡易かつ確実に認証できる。
【0065】
なお、情報処理装置10で実行されるプログラムは、ROM等の記憶回路に予め組み込んで提供される。もしくは、このプログラムは、インストール可能な形式または実行可能な形式のファイルでCD-ROM、CD-R、メモリカード、DVD、フレキシブルディスク等のコンピュータで読み取り可能な記憶媒体に記憶されて提供するようにしてもよい。また、情報処理装置10で実行されるプログラムは、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせて提供するようにしてもよい。
【0066】
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
【符号の説明】
【0067】
10…情報処理装置、11…識別情報取得部、12…位置情報取得部、13…認証情報保存部、14…ユーザ認証部、15…承認者通知部、50(50a,50b)…ユーザ端末、51(51a,51b)…識別情報送信部、52(52a,52b)…位置情報送信部、53(53a,53b)…アプリケーション制御部、54(54a,54b)…アクセス権限設定部、70…アプリケーションサーバ、100…認証システム。
【図1】
【図2】
【図3】
【図4】
【図5】