ホーム > 特許ランキング > 株式会社野村総合研究所
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024101448
(43)【公開日】2024-07-29
(54)【発明の名称】セキュア通信システム及びユーザ端末
(51)【国際特許分類】
H04L 41/0668 20220101AFI20240722BHJP
H04L 41/0895 20220101ALI20240722BHJP
【FI】
H04L41/0668
H04L41/0895
【審査請求】未請求
【請求項の数】10
【出願形態】OL
(21)【出願番号】P 2023005432
(22)【出願日】2023-01-17
(71)【出願人】
【識別番号】000155469
【氏名又は名称】株式会社野村総合研究所
(74)【代理人】
【識別番号】100141519
【弁理士】
【氏名又は名称】梶田 邦之
(72)【発明者】
【氏名】佐藤 俊聡
(72)【発明者】
【氏名】筒口 景洋
(57)【要約】
【課題】複数のプライベート接続を適切に切り換える。
【解決手段】セキュア通信システムが、ユーザ端末10と、アプリケーション機能を提供するアプリケーションサーバと、ユーザ端末10とアプリケーションサーバとの通信を中継する中継クラウド30と、を備える。ユーザ端末10は、クライアント機能とエージェント機能とを有し、複数のプライベート接続が、セキュア接続サービスによって中継クラウド30経由でアプリケーションサーバ内の複数のアクセス対象とクライアント機能との間に個別に確立され、ユーザ端末10が複数のプライベート接続を介してアプリケーションサーバと通信している際にエージェント機能が所定の障害トリガを検出した場合、エージェント機能は、中継クラウド内の一時的エンティティを用いてユーザ端末10に対して仮想プライベートネットワークを設定しアプリケーションサーバへの接続を提供する。
【選択図】図7
【解決手段】セキュア通信システムが、ユーザ端末10と、アプリケーション機能を提供するアプリケーションサーバと、ユーザ端末10とアプリケーションサーバとの通信を中継する中継クラウド30と、を備える。ユーザ端末10は、クライアント機能とエージェント機能とを有し、複数のプライベート接続が、セキュア接続サービスによって中継クラウド30経由でアプリケーションサーバ内の複数のアクセス対象とクライアント機能との間に個別に確立され、ユーザ端末10が複数のプライベート接続を介してアプリケーションサーバと通信している際にエージェント機能が所定の障害トリガを検出した場合、エージェント機能は、中継クラウド内の一時的エンティティを用いてユーザ端末10に対して仮想プライベートネットワークを設定しアプリケーションサーバへの接続を提供する。
【選択図】図7
【特許請求の範囲】
【請求項1】
ユーザ端末と、
前記ユーザ端末にアプリケーション機能を提供するアプリケーションサーバと、
インターネット上のクラウドサービスとして提供され、前記ユーザ端末と前記アプリケーションサーバとの通信を中継する少なくとも1つの中継クラウドと、を備え、
前記ユーザ端末は、前記インターネット上のクラウドサービスとして提供されるセキュア接続サービスのためのクライアント機能を有し、
複数のプライベート接続が、前記セキュア接続サービスによって前記中継クラウド経由で前記アプリケーションサーバ内の複数のアクセス対象と前記クライアント機能との間に個別に確立され、
前記ユーザ端末は、さらに、複数の前記プライベート接続の通信状況をモニタするエージェント機能を有し、
前記ユーザ端末が複数の前記プライベート接続を介して前記アプリケーションサーバと通信している際に前記エージェント機能が所定の障害トリガを検出した場合、前記エージェント機能は、前記中継クラウド内の一時的エンティティを用いて前記ユーザ端末に対して仮想プライベートネットワークを設定し前記アプリケーションサーバへの接続を提供する
セキュア通信システム。
前記ユーザ端末にアプリケーション機能を提供するアプリケーションサーバと、
インターネット上のクラウドサービスとして提供され、前記ユーザ端末と前記アプリケーションサーバとの通信を中継する少なくとも1つの中継クラウドと、を備え、
前記ユーザ端末は、前記インターネット上のクラウドサービスとして提供されるセキュア接続サービスのためのクライアント機能を有し、
複数のプライベート接続が、前記セキュア接続サービスによって前記中継クラウド経由で前記アプリケーションサーバ内の複数のアクセス対象と前記クライアント機能との間に個別に確立され、
前記ユーザ端末は、さらに、複数の前記プライベート接続の通信状況をモニタするエージェント機能を有し、
前記ユーザ端末が複数の前記プライベート接続を介して前記アプリケーションサーバと通信している際に前記エージェント機能が所定の障害トリガを検出した場合、前記エージェント機能は、前記中継クラウド内の一時的エンティティを用いて前記ユーザ端末に対して仮想プライベートネットワークを設定し前記アプリケーションサーバへの接続を提供する
セキュア通信システム。
【請求項2】
前記一時的エンティティは仮想マシンによって構成され、
前記障害トリガが検出されると、前記エージェント機能は前記仮想マシンを起動するように前記中継クラウドに指示を送信する
請求項1に記載のセキュア通信システム。
前記障害トリガが検出されると、前記エージェント機能は前記仮想マシンを起動するように前記中継クラウドに指示を送信する
請求項1に記載のセキュア通信システム。
【請求項3】
複数の前記アクセス対象の各々は、宛先及び使用プロトコルによって特定される
請求項1に記載のセキュア通信システム。
請求項1に記載のセキュア通信システム。
【請求項4】
前記クライアント機能は、1つのアクセス対象に対して準備された複数のプライベート接続から、所定の選択基準に従って、使用すべき1つのプライベート接続を選択する
請求項1に記載のセキュア通信システム。
請求項1に記載のセキュア通信システム。
【請求項5】
前記エージェント機能によって検出される前記障害トリガは、複数の前記プライベート接続の全部又は一部におけるポーリング応答の未受信、複数の前記プライベート接続の全部又は一部の切断、及び複数の前記プライベート接続の全部又は一部における通信遅延の発生、の少なくともいずれかを含む
請求項1に記載のセキュア通信システム。
請求項1に記載のセキュア通信システム。
【請求項6】
前記エージェント機能は、前記障害トリガを検出すると、前記障害トリガに係るプライベート接続、又は複数の前記プライベート接続の全てを切断する
請求項5に記載のセキュア通信システム。
請求項5に記載のセキュア通信システム。
【請求項7】
前記エージェント機能は、所定数以上の前記アプリケーション機能が使用できない場合は前記仮想プライベートネットワークを自動的に設定し、所定数未満の前記アプリケーション機能が使用できない場合は前記仮想プライベートネットワークの設定要否をユーザに確認するための動作を実行する
請求項1に記載のセキュア通信システム。
請求項1に記載のセキュア通信システム。
【請求項8】
前記少なくとも1つの中継クラウドは複数の中継クラウドを含み、
複数の前記中継クラウドを介して複数の前記プライベート接続が前記アプリケーションサーバ内の複数の前記アクセス対象と前記クライアント機能との間に確立され、
前記エージェント機能は、前記障害トリガを検出すると、一部の前記中継クラウドについて前記仮想プライベートネットワークを設定する
請求項1に記載のセキュア通信システム。
複数の前記中継クラウドを介して複数の前記プライベート接続が前記アプリケーションサーバ内の複数の前記アクセス対象と前記クライアント機能との間に確立され、
前記エージェント機能は、前記障害トリガを検出すると、一部の前記中継クラウドについて前記仮想プライベートネットワークを設定する
請求項1に記載のセキュア通信システム。
【請求項9】
前記エージェント機能は、前記障害トリガを検出すると、前記障害トリガに係るプライベート接続が確立されていない中継クラウドを介して前記仮想プライベートネットワークを確立する
請求項8に記載のセキュア通信システム。
請求項8に記載のセキュア通信システム。
【請求項10】
ユーザ端末と、
前記ユーザ端末にアプリケーション機能を提供するアプリケーションサーバと、
インターネット上のクラウドサービスとして提供され、前記ユーザ端末と前記アプリケーションサーバとの通信を中継する少なくとも1つの中継クラウドと、を備えるセキュア通信システムにおける前記ユーザ端末であって、
前記インターネット上のクラウドサービスとして提供されるセキュア接続サービスのためのクライアント機能を有し、
複数のプライベート接続が、前記セキュア接続サービスによって前記中継クラウド経由で前記アプリケーションサーバ内の複数のアクセス対象と前記クライアント機能との間に個別に確立され、
さらに、複数の前記プライベート接続の通信状況をモニタするエージェント機能を有し、
前記ユーザ端末が複数の前記プライベート接続を介して前記アプリケーションサーバと通信している際に前記エージェント機能が所定の障害トリガを検出した場合、前記エージェント機能は、前記中継クラウド内の一時的エンティティを用いて前記ユーザ端末に対して仮想プライベートネットワークを設定し前記アプリケーションサーバへの接続を提供する
ユーザ端末。
前記ユーザ端末にアプリケーション機能を提供するアプリケーションサーバと、
インターネット上のクラウドサービスとして提供され、前記ユーザ端末と前記アプリケーションサーバとの通信を中継する少なくとも1つの中継クラウドと、を備えるセキュア通信システムにおける前記ユーザ端末であって、
前記インターネット上のクラウドサービスとして提供されるセキュア接続サービスのためのクライアント機能を有し、
複数のプライベート接続が、前記セキュア接続サービスによって前記中継クラウド経由で前記アプリケーションサーバ内の複数のアクセス対象と前記クライアント機能との間に個別に確立され、
さらに、複数の前記プライベート接続の通信状況をモニタするエージェント機能を有し、
前記ユーザ端末が複数の前記プライベート接続を介して前記アプリケーションサーバと通信している際に前記エージェント機能が所定の障害トリガを検出した場合、前記エージェント機能は、前記中継クラウド内の一時的エンティティを用いて前記ユーザ端末に対して仮想プライベートネットワークを設定し前記アプリケーションサーバへの接続を提供する
ユーザ端末。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、セキュア通信システム及びユーザ端末に関する。
【背景技術】
【0002】
近年、オンプレミスシステムに加えてクラウドサービスが更に導入されるケース(例えば、特許文献1)のように、システム及びネットワークの多様化及び複雑化が進んでいる。一方で、個人が所有するユーザ端末を用いて業務を遂行するBYOD(Bring Your Own Device)などの様々な業務態様が提案されており、セキュアな接続環境への要求が高まっている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2015-226322号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
セキュアな接続環境の一例として、クラウド型のリモートアクセスサービスが提案されている。上記サービスでは、ユーザ端末に一括してアクセス制御を設定するのではなく、複数のアクセス対象についてそれぞれ複数のプライベート接続を設定することが可能である。結果として、ユーザ単位よりも細かい粒度でアクセス制御を実行することができる。
【0005】
上記のような複数のプライベート接続を用いたリモートアクセスサービスにシステム障害が生じると、サービスを利用するユーザに甚大な影響がある。例えば、リモート環境に居る全ユーザが業務を遂行できなくなる可能性がある。したがって、システム障害への対策が求められている。
【0006】
以上の事情に鑑み、本発明は、複数のプライベート接続を適切に切り換えることを目的とする。
【課題を解決するための手段】
【0007】
上記目的を達成するために、本発明に係るセキュア通信システムは、ユーザ端末と、前記ユーザ端末にアプリケーション機能を提供するアプリケーションサーバと、インターネット上のクラウドサービスとして提供され、前記ユーザ端末と前記アプリケーションサーバとの通信を中継する少なくとも1つの中継クラウドと、を備え、前記ユーザ端末は、前記インターネット上のクラウドサービスとして提供されるセキュア接続サービスのためのクライアント機能を有し、複数のプライベート接続が、前記セキュア接続サービスによって前記中継クラウド経由で前記アプリケーションサーバ内の複数のアクセス対象と前記クライアント機能との間に個別に確立され、前記ユーザ端末は、さらに、複数の前記プライベート接続の通信状況をモニタするエージェント機能を有し、前記ユーザ端末が複数の前記プライベート接続を介して前記アプリケーションサーバと通信している際に前記エージェント機能が所定の障害トリガを検出した場合、前記エージェント機能は、前記中継クラウド内の一時的エンティティを用いて前記ユーザ端末に対して仮想プライベートネットワークを設定し前記アプリケーションサーバへの接続を提供する。
【0008】
また、本発明に係るユーザ端末は、ユーザ端末と、前記ユーザ端末にアプリケーション機能を提供するアプリケーションサーバと、インターネット上のクラウドサービスとして提供され、前記ユーザ端末と前記アプリケーションサーバとの通信を中継する少なくとも1つの中継クラウドと、を備えるセキュア通信システムにおける前記ユーザ端末であって、前記インターネット上のクラウドサービスとして提供されるセキュア接続サービスのためのクライアント機能を有し、複数のプライベート接続が、前記セキュア接続サービスによって前記中継クラウド経由で前記アプリケーションサーバ内の複数のアクセス対象と前記クライアント機能との間に個別に確立され、さらに、複数の前記プライベート接続の通信状況をモニタするエージェント機能を有し、前記ユーザ端末が複数の前記プライベート接続を介して前記アプリケーションサーバと通信している際に前記エージェント機能が所定の障害トリガを検出した場合、前記エージェント機能は、前記中継クラウド内の一時的エンティティを用いて前記ユーザ端末に対して仮想プライベートネットワークを設定し前記アプリケーションサーバへの接続を提供する。
【0009】
以上の構成によれば、複数のプライベート接続を仮想プライベートネットワークによる接続に適切に切り替えることが可能である。なお、以上の構成により、当該効果の代わりに、又は当該効果とともに、他の効果が奏されてもよい。
【図面の簡単な説明】
【0010】
【図1】第1実施形態に係るセキュア通信システムSを示す図である。
【図2】第1実施形態に係るユーザ端末10のハードウェア構成図である。
【図3】第1実施形態に係るユーザ端末10のソフトウェア構成図である。
【図4】第1実施形態に係るアプリケーションサーバ40のハードウェア構成図である。
【図5】第1実施形態に係るアプリケーションサーバ40のソフトウェア構成図である。
【図6】第1実施形態に係るクラウドサービス3及び中継クラウド30の構成図である。
【図7】第1実施形態に係る切換処理を示すシーケンス図である。
【図8】第2実施形態に係るセキュア通信システムS2を示す図である。
【図9】第2実施形態に係る切換処理を示すシーケンス図である。
【発明を実施するための形態】
【0011】
以下、添付の図面を参照して本発明の実施形態を詳細に説明する。なお、本明細書及び図面において、同様に説明されることが可能な要素については、同一の符号を付することにより重複した説明が省略され得る。
【0012】
以下に説明される各実施形態は、本発明を実現可能な構成の一例に過ぎない。以下の各実施形態は、本発明が適用される装置の構成や各種の条件に応じて適宜に修正又は変更することが可能である。以下の各実施形態に含まれる要素の組合せの全てが本発明を実現するのに必須であるとは限られず、要素の一部を適宜に省略することが可能である。したがって、本発明の範囲は、以下の各実施形態に記載される構成によって限定されるものではない。相互に矛盾のない限りにおいて、以下の実施形態内に記載された複数の構成を組み合わせた構成も採用可能である。
【0013】
1. 第1実施形態
図1は、第1実施形態に係るセキュア通信システムSを示す図である。セキュア通信システムSは、ユーザ端末10と、セキュア接続サービス20と、中継クラウド30と、アプリケーションサーバ40と、を含む。セキュア通信システムSが他の構成要素を含んでもよい。
図1は、第1実施形態に係るセキュア通信システムSを示す図である。セキュア通信システムSは、ユーザ端末10と、セキュア接続サービス20と、中継クラウド30と、アプリケーションサーバ40と、を含む。セキュア通信システムSが他の構成要素を含んでもよい。
【0014】
ユーザ端末10は、ユーザが使用するタブレットやPC等の端末であって、例えば、BYODのための端末であってよい。ユーザ端末10は、後述されるクライアント機能及びエージェント機能を有する。セキュア接続サービス20は、インターネット上のクラウドサービスとしてユーザ端末10のユーザに提供される。
【0015】
クラウドサービス3は、クラウド関連企業等の主体が運営するクラウド環境である。クラウドサービス3は、インターネット上のクラウドサービスとして提供される少なくとも1つの中継クラウド30を含む。中継クラウド30は、仮想的に構成される1以上の仮想マシン(VM)を含む。中継クラウド30は、バーチャルプライベートクラウド(VPC)と称されてよい。ユーザ端末10は、セキュア接続サービス20を介して中継クラウド30に接続する。
【0016】
データセンタ4は、企業等の主体が所有するオンプレミス環境である。データセンタ4は、複数のアプリケーションサーバ40及び認証サーバ41を含む複数のサーバを有する。上記サーバの各々は、単体の物理サーバ又は物理サーバクラスタであってもよいし、物理サーバを用いて構成された仮想サーバであってもよいし、これらの組合せであってもよい。
【0017】
データセンタ4は、クラウドサービス3と専用線Lもしくはインターネットによって接続される。専用線Lによる接続は、クラウドサービス3上の接続ポイントとデータセンタ4上の接続ポイントとを接続するダイレクトコネクトであってよい。
【0018】
アプリケーションサーバ40は、ユーザ端末10にアプリケーション機能を提供する。アプリケーション機能は、例えば、カスタマーリレーションシップマネジメント(CRM)機能又はアカウンティング機能を提供する専用ソフトウェアであってもよいし、汎用ソフトウェアであってもよい。ユーザ端末10とアプリケーションサーバ40との通信が、上記した中継クラウド30(特に、後述されるコネクタ360)によって中継される。
【0019】
1つのアプリケーションサーバ40が複数のアプリケーション機能をユーザ端末10に提供してもよい。複数のアプリケーションサーバ40が協同して1以上の機能をユーザ端末10に提供してもよい。ユーザ端末10は、1以上のアプリケーションサーバ40が提供する複数のアプリケーション機能を利用することができる。
【0020】
認証サーバ41は、ユーザ端末10に関する認証動作を実行する。例えば、認証サーバ41は、セキュア接続サービス20と協同して、ユーザ端末10がセキュア接続サービス20を利用する権限があるか否かを判定してよい。また、認証サーバ41は、ユーザ端末10がアクセスできるアプリケーションサーバ40を判定してもよく、ユーザ端末10が利用できるアプリケーション機能を判定してもよい。認証サーバ41は、例えば、アクティブディレクトリ機能を提供してよい。なお、認証サーバ41は、オンプレミスサーバであってもよいし、クラウドサービスにより機能提供されてもよい。
【0021】
拠点5は、例えば、データセンタ4を運用する主体が所有する業務拠点であって、複数の拠点端末50を含む。拠点5とデータセンタ4はネットワークNを介して接続される。拠点端末50は、ユーザ端末10のユーザが拠点5において使用するPC等の端末であってよい。上記した中継クラウド30(特に、後述されるコネクタ360)が、ユーザ端末10と拠点端末50との通信を中継する。拠点端末50は、例えばサポート提供用のPCであって、ユーザ端末10のユーザは、ユーザ端末10を用いて拠点端末50を操作することによって顧客サポートや社内サポートを提供することができる。
【0022】
図2は、第1実施形態に係るユーザ端末10のハードウェア構成図である。図2に示すように、ユーザ端末10は、プロセッサ101とメモリ102と入出力インタフェース103と通信インタフェース104とを有する。ユーザ端末10に設けられる以上の要素は内部バスによって相互に接続される。なお、ユーザ端末10は、図2に示された要素以外のハードウェア要素を有してもよい。
【0023】
プロセッサ101は、ユーザ端末10の種々の機能を実現する演算素子である。プロセッサ101は、CPU(Central Processing Unit)、GPU(Graphics Processing Unit)、メモリコントローラ等の要素を含むSoC(System-on-a-Chip)であってよい。
【0024】
メモリ102は、RAM(Random Access Memory)、eMMC(embedded Multi Media Card)等の記憶媒体によって構成される。メモリ102は、ユーザ端末10における種々の処理を実行するのに用いられるプログラム及びデータを一時的又は恒久的に格納する要素である。上記プログラムは、ユーザ端末10の動作のための1つ以上の命令を含む。プロセッサ101は、メモリ102に記憶されたプログラムをメモリ102及び/又は不図示のシステムメモリに展開し実行することによって、ユーザ端末10の機能(例えば、後述される制御部110及び通信部120が実行する機能)を実現する。
【0025】
入出力インタフェース103は、ユーザ端末10への操作を受け付けてプロセッサ101に供給すると共に、種々の情報をユーザに提示するインタフェースであって、例えば、タッチパネル、又はキーボード及びディスプレイである。
【0026】
通信インタフェース104は、インターネット通信を実現するための種々の信号処理を実行する回路であって、例えば、ネットワークインタフェースカード(NIC)である。
【0027】
図3は、第1実施形態に係るユーザ端末10のソフトウェア構成図である。図3に示すように、ユーザ端末10は、制御部110と通信部120とを有する。制御部110は、クライアント機能112及びエージェント機能114を含む。
【0028】
クライアント機能112は、セキュア接続サービス20のための機能であって、例えば、セキュア接続サービス20によって確立されるプライベート接続を終端し、上記プライベート接続を用いたセキュア通信を実現する機能である。詳細は後述されるが、複数のプライベート接続がセキュア接続サービス20によってユーザ端末10に設定され得る。
【0029】
エージェント機能114は、プライベート接続の通信状況をモニタする機能である。エージェント機能114が、複数のプライベート接続の通信状況をモニタすると好適である。エージェント機能114は、プライベート接続における所定の障害トリガを検出することができる。
【0030】
エージェント機能114は、例えば、1以上のプライベート接続においてポーリングを実行し、ポーリング応答を受信したか否かをモニタしてよい。複数のプライベート接続の全部又は一部におけるポーリング応答の未受信があった場合に、エージェント機能114が障害トリガを検出してよい。
【0031】
エージェント機能114は、例えば、1以上のプライベート接続が切断されたか否かをモニタしてよい。複数のプライベート接続の全部又は一部の切断があった場合に、エージェント機能114が障害トリガを検出してよい。
【0032】
エージェント機能114は、例えば、1以上のプライベート接続において通信遅延が発生したか否かをモニタしてよい。複数のプライベート接続の全部又は一部において通信遅延が発生した場合に、エージェント機能114が障害トリガを検出してよい。
【0033】
図4は、第1実施形態に係るアプリケーションサーバ40のハードウェア構成図である。図2に示すように、アプリケーションサーバ40は、プロセッサ401とメモリ402と入出力インタフェース403と通信インタフェース404とを有する。アプリケーションサーバ40に設けられる以上の要素は内部バスによって相互に接続される。なお、アプリケーションサーバ40は、図4に示された要素以外のハードウェア要素を有してもよい。
【0034】
プロセッサ401は、アプリケーションサーバ40の種々の機能を実現する演算素子である。プロセッサ401は、CPUであってよく、さらにGPU等の他のプロセッサを含んでもよい。
【0035】
メモリ402は、RAM、ROM(Read Only Memory)、HDD(Hard Disk Drive)、SSD(Solid State Drive)等の記憶媒体によって構成される。メモリ402は、アプリケーションサーバ40における種々の処理を実行するのに用いられるプログラム及びデータを一時的又は恒久的に格納する要素である。上記プログラムは、アプリケーションサーバ40の動作のための1つ以上の命令を含む。プロセッサ401は、メモリ402に記憶されたプログラムをメモリ402及び/又は不図示のシステムメモリに展開し実行することによって、アプリケーションサーバ40の機能を実現する。
【0036】
入出力インタフェース403は、アプリケーションサーバ40への操作を受け付けてプロセッサ401に供給すると共に、種々の情報をユーザに提示するインタフェースであって、例えば、キーボード及びディスプレイである。なお、アプリケーションサーバ40が入出力インタフェース403を有さず、遠隔操作されてもよい。
【0037】
通信インタフェース104は、インターネット通信を実現するための種々の信号処理を実行する回路であって、例えば、ネットワークインタフェースカード(NIC)である。
【0038】
【0039】
図6は、第1実施形態に係るクラウドサービス3及び中継クラウド30の構成図である。図6に示すように、クラウドサービス3は1以上の中継クラウド30を含む。中継クラウド30の物理的実体は物理サーバ群である。中継クラウド30は、1以上の仮想サーバ(仮想マシン、VM)を含む仮想ネットワークを構成する。中継クラウド30内の仮想マシンは、権限を有するユーザやプロセスによって任意に起動(活性化)され不活化され得る。
【0040】
中継クラウド30は、第1サブネットSN1及び第2サブネットSN2を含む。第1サブネットSN1及び第2サブネットSN2は、ネットワークアドレス変換ゲートウェイ(NAT GW)340によって接続される。第1サブネットSN1はパブリックサブネットであってよく、第2サブネットSN2はプライベートサブネットであってよい。
【0041】
第1サブネットSN1は、仮想マシンとして、アプリケーションプロキシ(WAP)310と仮想プライベートネットワーク(VPN)サーバ320とを含む。第2サブネットSN2は、仮想マシンとして、連合サービス350と1以上のコネクタ360とを含む。連合サービス350は、アクティブディレクトリフェデレーションサービス(ADFS)であってよい。
【0042】
前述した認証の際に、アプリケーションプロキシ310及び連合サービス350が認証サーバ41と協同してユーザ端末10に関する認証動作を実行する。
【0043】
仮想プライベートネットワークサーバ320は、仮想プライベートネットワークによってユーザ端末10にアプリケーションサーバ40への接続を提供する。仮想プライベートネットワークサーバ320を用いた動作の詳細については後述される。
【0044】
コネクタ360は、セキュア接続サービス20がユーザ端末10とアプリケーションサーバ40とにプライベート接続を設定する際に用いられる要素である。アプリケーションサーバ40は、複数のアプリケーションサービスにそれぞれ対応する複数のアクセス対象を有する。複数のアクセス対象の各々は宛先及び使用プロトコルによって特定される。セキュア接続サービス20は、ユーザ端末10とアプリケーションサーバ40全体とにプライベート接続を一括して確立するのではなく、ユーザ端末10のクライアント機能112とアプリケーションサーバ40のアクセス対象とにプライベート接続を個別に確立する。
【0045】
コネクタ360は、アクセス対象(宛先及び使用プロトコル)にそれぞれ対応する要素であって、例えば、ユーザ端末10がアクセス対象にアクセスするのに用いるデータ及び処理のセットである。宛先は、IPアドレスやURL等のネットワーク上の識別子によって特定される。コネクタ360は、あるアクセス対象について一度確立されたことのあるプライベート接続について、再度の認証の一部又は全部を簡略化してもよい。なお、1つのアクセス対象に対して複数のプライベート接続が設定されてもよい。
【0046】
クライアント機能112は、1つのアクセス対象に対して準備された複数のプライベート接続から、所定の選択基準に従って、使用すべき1つのプライベート接続を選択してよい。例えば、クライアント機能112は、他のプライベート接続よりも通信状態が良好な(例えば、通信速度が速い、S/N比が高い、等)プライベート接続を選択して通信を実行してよい。
【0047】
中継クラウド30にコネクタ360を配置して通信を中継することによって、従来のようにプロキシサーバを個別に設定するよりも簡易に設定することが可能である。したがって、従来よりも多くのユーザに対応することができ、高いスケーラビリティを実現できる。
【0048】
以上のように、セキュア接続サービス20によって中継クラウド30経由でアプリケーションサーバ40内の複数のアクセス対象とユーザ端末10のクライアント機能112との間に複数のプライベート接続が個別に確立される。
【0049】
以上の構成によれば、アプリケーションサーバ40のアクセス対象ごと、すなわちアプリケーションサービスごとにユーザ端末10のアクセスを制御できるので、一般的なVPN接続よりも高いレベルのセキュリティが実現される。また、コネクタ360を用いることによって、多くのユーザに対応した高いスケーラビリティも実現される。
【0050】
一方で、以上のような複数のプライベート接続を設定するセキュア接続サービス20に障害が生じると、多くのユーザに甚大な影響が発生する可能性がある。したがって、セキュア接続サービス20を用いた複数のプライベート接続に対するバックアップ接続を提供することが好適であると考えられる。
【0051】
そこで、本実施形態では、ユーザ端末10が複数のプライベート接続を介してアプリケーションサーバ40と通信している際にエージェント機能114が所定の障害トリガを検出した場合、エージェント機能114が、中継クラウド30内の仮想プライベートネットワークサーバ320を用いてユーザ端末10に対してVPNを設定しアプリケーションサーバ40への接続を提供する。より詳細には以下の通りである。
【0052】
【0053】
ステップS700において、ユーザ端末10のクライアント機能112は、中継クラウド30を介して確立されている複数のプライベート接続を用いてアプリケーションサーバ40と通信している。
【0054】
ステップS710において、ユーザ端末10のエージェント機能114が、前述したように所定の障害トリガを検出する。エージェント機能114は、例えば、アプリケーションサーバ40のアクセス対象ごとにポーリング(例えば、HTTPリクエスト)を実施する。その場合、エージェント機能114は、HTTPレスポンスとして応答されるべき接続要求の有無を確認する。接続要求を受信しなければ、エージェント機能114は障害トリガを検出する。
【0055】
エージェント機能114は、アプリケーションサーバ40のアクセス対象ごと(すなわち、アプリケーション機能ごと)に検出方法を異ならせてもよい。例えば、エージェント機能114は、アカウンティング機能に対応するアクセス対象については、接続切断(レスポンス未受信)を契機として障害トリガを検出する一方で、音声通話機能に対応するアクセス対象については、通信遅延を契機として障害トリガを検出してもよい。
【0056】
エージェント機能114は、全てのプライベート接続をモニタするのではなく、一部のプライベート接続のみをモニタしてもよい。
【0057】
次いで、ステップS720において、ユーザ端末10のエージェント機能114は、中継クラウド30の仮想プライベートネットワークサーバ320を用いたVPN設定要求を中継クラウド30に送信する。
【0058】
エージェント機能114は、ステップS720において、現在接続中のプライベート接続を切断してもよい。エージェント機能114は、障害トリガに係るプライベート接続を切断してもよいし、複数のプライベート接続の全てを切断してもよい。ここで、現在接続中の接続を切断する前に、この接続に伴うアプリケーション又はクラウドサービスを終了させた後に、新たな接続に切り換えを行う構成であってもよいし、現在接続中の接続を切断する前に、この接続に伴うアプリケーション又はクラウドサービスを動作させたまま、新たな接続に切り換えを行う構成であってもよい。
【0059】
エージェント機能114は、ステップS720において、即時のVPN設定要求を中継クラウド30に送信してもよいし、VPN設定を予約する要求を中継クラウド30に送信してもよい。VPN設定を予約する要求とは、例えば、当日のオンラインサービス終了時刻等の特定の時刻において、仮想プライベートネットワークサーバ320を用いたVPN設定を行うように中継クラウド30に指示する要求である。また、エージェント機能114は、ユーザ端末10のユーザにVPN設定を行う時刻を問い合わせ、ユーザが指示した時刻にVPN設定を行うように中継クラウド30に指示してもよい。
【0060】
VPN接続への切換えを行うとネットワーク接続ひいてはネットワークを用いた業務が停止する時間帯が生じるので、上記のような予約切換によって業務停止を回避することが可能である。
【0061】
エージェント機能114は、ステップS720において、所定数以上のアプリケーション機能が使用できない場合はVPNを自動的に設定し、所定数未満のアプリケーション機能が使用できない場合はVPNの設定要否をユーザに確認するための動作を実行してよい。すなわち、エージェント機能114は、障害規模が甚大である場合には自動的にVPNに切り換え、障害規模が相対的に小さい場合にはユーザに切換えの要否を確認してよい。
【0062】
次いで、ステップS730において、VPN設定要求を受信した中継クラウド30は、ユーザ端末10に対してVPNを設定し、アプリケーションサーバ40へのバックアップ接続を提供する。
【0063】
ここで、VPNを設定する中継クラウド30の仮想プライベートネットワークサーバ320は、エージェント機能114からのVPN設定要求に基づいて起動されてもよい。換言すると、エージェント機能114は、障害トリガを検出すると、仮想マシンとしての仮想プライベートネットワークサーバ320を起動するように中継クラウド30に指示を送信してもよい。仮想マシンとしての仮想プライベートネットワークサーバ320は、必要に応じて起動される一時的エンティティであってよい。
【0064】
一方で、中継クラウド30において、仮想プライベートネットワークサーバ320が定常的に動作していてもよい。この場合、エージェント機能114からのVPN設定要求に基づいて、追加的に仮想プライベートネットワークサーバ320が起動されてもよい。
【0065】
また、他の構成として、中継クラウド30がエージェント機能114からのVPN設定要求を受信すると、クラウドサービス3において新たな中継クラウド30が起動されてもよい。新たな中継クラウド30内の仮想プライベートネットワークサーバ320がユーザ端末10に対してVPN接続を提供してよい。
【0066】
上記したステップS720及びS730におけるユーザ端末10及び中継クラウド30の動作によってVPN接続が設定されることによって、ステップS740におけるVPN接続によるバックアップ通信が実行可能となる。なお、VPN接続を設定するに際してユーザ端末10のルーティングテーブルが書き換えられてしまうので、ステップS700にて用いられる複数のプライベート接続と、ステップS740にて用いられるVPN接続との併存は技術的に困難である。
【0067】
ステップS750において、ユーザ端末10及び中継クラウド30は、バックアップ経路であるVPN接続から、通常経路であるセキュア接続サービス20による複数のプライベート接続に復旧する処理を実行する。前述したように、VPN切換えが発生すると、ネットワーク接続ひいてはネットワークを用いた業務が停止する時間帯が生じる。したがって、ステップS750の復旧処理は所定の非アクティブ時間帯(例えば、深夜及び早朝)において実行されると好適である。
【0068】
上記したステップS750におけるユーザ端末10及び中継クラウド30の動作によって複数のプライベート接続が復旧することによって、ステップS760における通常状態の通信が実行可能となる。
【0069】
以上の構成によれば、セキュア接続サービス20による複数のプライベート接続に不具合が生じた場合又は生じる可能性がある場合に、バックアップ系としてのVPNを設定することによって、ユーザ端末10とアプリケーションサーバ40との接続に関する障害を解消又は回避することができる。
【0070】
2. 第2実施形態
図8は、第2実施形態に係るセキュア通信システムS2を示す図である。セキュア通信システムS2は、複数のクラウドサービス3A、3Bがそれぞれ含む複数の中継クラウド30A、30Bを有する。複数の中継クラウド30A、30Bの間でロードバランシングが行われると好適である。
図8は、第2実施形態に係るセキュア通信システムS2を示す図である。セキュア通信システムS2は、複数のクラウドサービス3A、3Bがそれぞれ含む複数の中継クラウド30A、30Bを有する。複数の中継クラウド30A、30Bの間でロードバランシングが行われると好適である。
【0071】
複数のクラウドサービス3A、3Bは、例えば、互いに異なるリージョンに対応するクラウドサービスである。例えば、クラウドサービス3Aが東京リージョンに対応し、クラウドサービス3Bが大阪リージョンに対応してよい。すなわち、セキュア通信システムS2は、マルチリージョン構成を有する。
【0072】
図8に示すように、中継クラウド30Aを介して、プライベート接続がアプリケーションサーバ40内のアクセス対象とユーザ端末10のクライアント機能112との間に確立される。同様に、もう1つの中継クラウド30Bを介して、プライベート接続がアプリケーションサーバ40内のアクセス対象とユーザ端末10のクライアント機能112との間に確立される。
【0073】
以上のように、アプリケーションサーバ40内の1つのアクセス対象に対して、複数の中継クラウド30A、30Bを介した複数のプライベート接続が確立される。すなわち、1つのアクセス対象に対して、異なるリージョンを経由する冗長化された複数のプライベート接続がユーザ端末10との間に確立される。
【0074】
また、第1実施形態にて前述したように、アプリケーションサーバ40は複数のアクセス対象を含む。したがって、上記した接続関係を総合すると、複数の中継クラウド30A、30Bを介して複数のプライベート接続がアプリケーションサーバ40内の複数のアクセス対象とクライアント機能112との間に確立される。
【0075】
【0076】
ステップS900において、ユーザ端末10のクライアント機能112は、複数の中継クラウド30A、30Bを介して確立されている冗長化された複数のプライベート接続を用いてアプリケーションサーバ40と通信している。
【0077】
ステップS910において、ユーザ端末10のエージェント機能114が、第1実施形態と同様に所定の障害トリガを検出する。本実施形態では、エージェント機能114が、中継クラウド30Aを介したプライベート接続において障害トリガを検出したと想定する。
【0078】
次いで、ステップS920において、ユーザ端末10のエージェント機能114は、上記した障害トリガに係るプライベート接続が確立されていない中継クラウド30Bの仮想プライベートネットワークサーバ320Bを用いたVPN設定要求を、中継クラウド30Bに送信する。すなわち、エージェント機能114は、障害トリガを検出すると、一部の中継クラウド30BについてVPNを設定する。
【0079】
エージェント機能114は、ステップS920において、障害トリガに係る中継クラウド30Aを介して確立されているプライベート接続を切断してもよい。エージェント機能114は、障害トリガに係るプライベート接続を切断してもよいし、中継クラウド30Aを経由する複数のプライベート接続の全てを切断してもよい。
【0080】
エージェント機能114は、第1実施形態と同様、ステップS920において、即時のVPN設定要求を中継クラウド30Bに送信してもよいし、VPN設定を予約する要求を中継クラウド30Bに送信してもよい。
【0081】
次いで、ステップS930において、VPN設定要求を受信した中継クラウド30Bは、ユーザ端末10に対してVPNを設定し、アプリケーションサーバ40へのバックアップ接続を提供する。
【0082】
ここで、VPNを設定する中継クラウド30Bの仮想プライベートネットワークサーバ320Bは、エージェント機能114からのVPN設定要求に基づいて起動されてもよい。換言すると、エージェント機能114は、障害トリガを検出すると、仮想マシンとしての仮想プライベートネットワークサーバ320Bを起動するように中継クラウド30Bに指示を送信してもよい。仮想マシンとしての仮想プライベートネットワークサーバ320Bは、必要に応じて起動される一時的エンティティであってよい。
【0083】
一方で、中継クラウド30Bにおいて、仮想プライベートネットワークサーバ320Bが定常的に動作していてもよい。この場合、エージェント機能114からのVPN設定要求に基づいて、追加的に仮想プライベートネットワークサーバ320Bが起動されてもよい。
【0084】
上記したステップS920及びS930におけるユーザ端末10及び中継クラウド30Bの動作によってVPN接続が設定されることによって、ステップS940におけるVPN接続によるバックアップ通信が実行可能となる。
【0085】
ステップS950において、ユーザ端末10及び複数の中継クラウド30A、30Bは、バックアップ経路であるVPN接続から、通常経路であるセキュア接続サービス20による複数のプライベート接続に復旧する処理を実行する。
【0086】
上記したステップS950におけるユーザ端末10及び複数の中継クラウド30A、30Bの動作によって複数のプライベート接続が復旧することによって、ステップS960における通常状態の通信が実行可能となる。
【0087】
以上の構成によれば、第1実施形態と同様の技術的効果が奏される。特に、複数のリージョンにわたる大規模なセキュア通信システムS2においてバックアップ経路が確保されるので、接続に関する障害をより効果的に解消又は回避することができる。
【0088】
3.1. 変形例
以上、本発明を実施するための形態を説明したが、本発明は上記実施形態に限定されるものではない。上記実施形態は例示に過ぎず、種々の変形が可能であることは当然に理解される。上記実施形態において使用される単語、連語等の表現は例示に過ぎず、実質的に同一の又は類似する表現に置換され得る。
以上、本発明を実施するための形態を説明したが、本発明は上記実施形態に限定されるものではない。上記実施形態は例示に過ぎず、種々の変形が可能であることは当然に理解される。上記実施形態において使用される単語、連語等の表現は例示に過ぎず、実質的に同一の又は類似する表現に置換され得る。
【0089】
ユーザ端末10のエージェント機能114が、セキュア接続サービス20の利用状況を分析するためのデータを収集するデータ収集機能を有してもよい。エージェント機能114が、さらに、収集したデータを分析するデータ分析機能を有してもよい。例えば、エージェント機能114が、上記のようなデータ分析に基づいて、適切なVPN機器数を判定してもよい。上記したデータ収集機能及び/又はデータ分析機能は、中継クラウド30に設けられてもよいし、アプリケーションサーバ40に設けられてもよい。
【0090】
ユーザ端末10のエージェント機能114は、配布サーバから配布されるデータによってアップグレードされることが可能である。また、配布サーバからアップグレード用のデータが段階的にユーザ端末10に配布され、エージェント機能114が段階的にアップグレードされてもよい。
【0091】
上記実施形態に記載された装置が提供する手段および/または機能は、実体的なメモリ装置に記録されたソフトウェアおよびそれを実行するコンピュータ、ソフトウェアのみ、ハードウェアのみ、あるいはそれらの組合せによって提供することができる。例えば、いずれかの上記装置がハードウェアである電子回路によって提供される場合、それは多数の論理回路を含むデジタル回路、またはアナログ回路によって提供することができる。
【0092】
上記実施形態に記載された装置は、非遷移的実体的記録媒体(non-transitory tangible storage medium)に格納されたプログラムを実行する。このプログラムが実行されることで、プログラムに対応する方法が実行される。
【0093】
3.2. 付記
上記実施形態及び変形例の一部又は全部は、以下の付記のようにも記載され得るが、以下の付記の内容には限定されない。以下では、複数の付記に従属する付記に対して、複数の付記に従属する付記が従属するという関係性が表現される。以下に表現される付記の従属関係の全てが上記実施形態に含まれる。
上記実施形態及び変形例の一部又は全部は、以下の付記のようにも記載され得るが、以下の付記の内容には限定されない。以下では、複数の付記に従属する付記に対して、複数の付記に従属する付記が従属するという関係性が表現される。以下に表現される付記の従属関係の全てが上記実施形態に含まれる。
【0094】
(付記1)
ユーザ端末と、
前記ユーザ端末にアプリケーション機能を提供するアプリケーションサーバと、
インターネット上のクラウドサービスとして提供され、前記ユーザ端末と前記アプリケーションサーバとの通信を中継する少なくとも1つの中継クラウドと、を備え、
前記ユーザ端末は、前記インターネット上のクラウドサービスとして提供されるセキュア接続サービスのためのクライアント機能を有し、
複数のプライベート接続が、前記セキュア接続サービスによって前記中継クラウド経由で前記アプリケーションサーバ内の複数のアクセス対象と前記クライアント機能との間に個別に確立され、
前記ユーザ端末は、さらに、複数の前記プライベート接続の通信状況をモニタするエージェント機能を有し、
前記ユーザ端末が複数の前記プライベート接続を介して前記アプリケーションサーバと通信している際に前記エージェント機能が所定の障害トリガを検出した場合、前記エージェント機能は、前記中継クラウド内の一時的エンティティを用いて前記ユーザ端末に対して仮想プライベートネットワークを設定し前記アプリケーションサーバへの接続を提供する
セキュア通信システム。
ユーザ端末と、
前記ユーザ端末にアプリケーション機能を提供するアプリケーションサーバと、
インターネット上のクラウドサービスとして提供され、前記ユーザ端末と前記アプリケーションサーバとの通信を中継する少なくとも1つの中継クラウドと、を備え、
前記ユーザ端末は、前記インターネット上のクラウドサービスとして提供されるセキュア接続サービスのためのクライアント機能を有し、
複数のプライベート接続が、前記セキュア接続サービスによって前記中継クラウド経由で前記アプリケーションサーバ内の複数のアクセス対象と前記クライアント機能との間に個別に確立され、
前記ユーザ端末は、さらに、複数の前記プライベート接続の通信状況をモニタするエージェント機能を有し、
前記ユーザ端末が複数の前記プライベート接続を介して前記アプリケーションサーバと通信している際に前記エージェント機能が所定の障害トリガを検出した場合、前記エージェント機能は、前記中継クラウド内の一時的エンティティを用いて前記ユーザ端末に対して仮想プライベートネットワークを設定し前記アプリケーションサーバへの接続を提供する
セキュア通信システム。
【0095】
(付記2)
前記一時的エンティティは仮想マシンによって構成され、
前記障害トリガが検出されると、前記エージェント機能は前記仮想マシンを起動するように前記中継クラウドに指示を送信する
付記1に記載のセキュア通信システム。
前記一時的エンティティは仮想マシンによって構成され、
前記障害トリガが検出されると、前記エージェント機能は前記仮想マシンを起動するように前記中継クラウドに指示を送信する
付記1に記載のセキュア通信システム。
【0096】
(付記3)
複数の前記アクセス対象の各々は、宛先及び使用プロトコルによって特定される
付記1に記載のセキュア通信システム。
複数の前記アクセス対象の各々は、宛先及び使用プロトコルによって特定される
付記1に記載のセキュア通信システム。
【0097】
(付記4)
前記クライアント機能は、1つのアクセス対象に対して準備された複数のプライベート接続から、所定の選択基準に従って、使用すべき1つのプライベート接続を選択する
付記1に記載のセキュア通信システム。
前記クライアント機能は、1つのアクセス対象に対して準備された複数のプライベート接続から、所定の選択基準に従って、使用すべき1つのプライベート接続を選択する
付記1に記載のセキュア通信システム。
【0098】
(付記5)
前記エージェント機能によって検出される前記障害トリガは、複数の前記プライベート接続の全部又は一部におけるポーリング応答の未受信、複数の前記プライベート接続の全部又は一部の切断、及び複数の前記プライベート接続の全部又は一部における通信遅延の発生、の少なくともいずれかを含む
付記1に記載のセキュア通信システム。
前記エージェント機能によって検出される前記障害トリガは、複数の前記プライベート接続の全部又は一部におけるポーリング応答の未受信、複数の前記プライベート接続の全部又は一部の切断、及び複数の前記プライベート接続の全部又は一部における通信遅延の発生、の少なくともいずれかを含む
付記1に記載のセキュア通信システム。
【0099】
(付記6)
前記エージェント機能は、前記障害トリガを検出すると、前記障害トリガに係るプライベート接続、又は複数の前記プライベート接続の全てを切断する
付記5に記載のセキュア通信システム。
前記エージェント機能は、前記障害トリガを検出すると、前記障害トリガに係るプライベート接続、又は複数の前記プライベート接続の全てを切断する
付記5に記載のセキュア通信システム。
【0100】
(付記7)
前記エージェント機能は、所定数以上の前記アプリケーション機能が使用できない場合は前記仮想プライベートネットワークを自動的に設定し、所定数未満の前記アプリケーション機能が使用できない場合は前記仮想プライベートネットワークの設定要否をユーザに確認するための動作を実行する
付記1に記載のセキュア通信システム。
前記エージェント機能は、所定数以上の前記アプリケーション機能が使用できない場合は前記仮想プライベートネットワークを自動的に設定し、所定数未満の前記アプリケーション機能が使用できない場合は前記仮想プライベートネットワークの設定要否をユーザに確認するための動作を実行する
付記1に記載のセキュア通信システム。
【0101】
(付記8)
前記少なくとも1つの中継クラウドは複数の中継クラウドを含み、
複数の前記中継クラウドを介して複数の前記プライベート接続が前記アプリケーションサーバ内の複数の前記アクセス対象と前記クライアント機能との間に確立され、
前記エージェント機能は、前記障害トリガを検出すると、一部の前記中継クラウドについて前記仮想プライベートネットワークを設定する
付記1に記載のセキュア通信システム。
前記少なくとも1つの中継クラウドは複数の中継クラウドを含み、
複数の前記中継クラウドを介して複数の前記プライベート接続が前記アプリケーションサーバ内の複数の前記アクセス対象と前記クライアント機能との間に確立され、
前記エージェント機能は、前記障害トリガを検出すると、一部の前記中継クラウドについて前記仮想プライベートネットワークを設定する
付記1に記載のセキュア通信システム。
【0102】
(付記9)
前記エージェント機能は、前記障害トリガを検出すると、前記障害トリガに係るプライベート接続が確立されていない中継クラウドを介して前記仮想プライベートネットワークを確立する
付記8に記載のセキュア通信システム。
前記エージェント機能は、前記障害トリガを検出すると、前記障害トリガに係るプライベート接続が確立されていない中継クラウドを介して前記仮想プライベートネットワークを確立する
付記8に記載のセキュア通信システム。
【0103】
(付記10)
ユーザ端末と、
前記ユーザ端末にアプリケーション機能を提供するアプリケーションサーバと、
インターネット上のクラウドサービスとして提供され、前記ユーザ端末と前記アプリケーションサーバとの通信を中継する少なくとも1つの中継クラウドと、を備えるセキュア通信システムにおける前記ユーザ端末であって、
前記インターネット上のクラウドサービスとして提供されるセキュア接続サービスのためのクライアント機能を有し、
複数のプライベート接続が、前記セキュア接続サービスによって前記中継クラウド経由で前記アプリケーションサーバ内の複数のアクセス対象と前記クライアント機能との間に個別に確立され、
さらに、複数の前記プライベート接続の通信状況をモニタするエージェント機能を有し、
前記ユーザ端末が複数の前記プライベート接続を介して前記アプリケーションサーバと通信している際に前記エージェント機能が所定の障害トリガを検出した場合、前記エージェント機能は、前記中継クラウド内の一時的エンティティを用いて前記ユーザ端末に対して仮想プライベートネットワークを設定し前記アプリケーションサーバへの接続を提供する
ユーザ端末。
ユーザ端末と、
前記ユーザ端末にアプリケーション機能を提供するアプリケーションサーバと、
インターネット上のクラウドサービスとして提供され、前記ユーザ端末と前記アプリケーションサーバとの通信を中継する少なくとも1つの中継クラウドと、を備えるセキュア通信システムにおける前記ユーザ端末であって、
前記インターネット上のクラウドサービスとして提供されるセキュア接続サービスのためのクライアント機能を有し、
複数のプライベート接続が、前記セキュア接続サービスによって前記中継クラウド経由で前記アプリケーションサーバ内の複数のアクセス対象と前記クライアント機能との間に個別に確立され、
さらに、複数の前記プライベート接続の通信状況をモニタするエージェント機能を有し、
前記ユーザ端末が複数の前記プライベート接続を介して前記アプリケーションサーバと通信している際に前記エージェント機能が所定の障害トリガを検出した場合、前記エージェント機能は、前記中継クラウド内の一時的エンティティを用いて前記ユーザ端末に対して仮想プライベートネットワークを設定し前記アプリケーションサーバへの接続を提供する
ユーザ端末。
【0104】
(付記11)
ユーザ端末と、
前記ユーザ端末にアプリケーション機能を提供するアプリケーションサーバと、
インターネット上のクラウドサービスとして提供され、前記ユーザ端末と前記アプリケーションサーバとの通信を中継する少なくとも1つの中継クラウドと、を備えるセキュア通信システムにおいて、
前記ユーザ端末は、前記インターネット上のクラウドサービスとして提供されるセキュア接続サービスのためのクライアント機能を有し、
複数のプライベート接続が、前記セキュア接続サービスによって前記中継クラウド経由で前記アプリケーションサーバ内の複数のアクセス対象と前記クライアント機能との間に個別に確立され、
前記ユーザ端末は、さらに、複数の前記プライベート接続の通信状況をモニタするエージェント機能を有し、
前記ユーザ端末が複数の前記プライベート接続を介して前記アプリケーションサーバと通信している際に前記エージェント機能が所定の障害トリガを検出した場合、前記エージェント機能によって、前記中継クラウド内の一時的エンティティを用いて前記ユーザ端末に対して仮想プライベートネットワークを設定し前記アプリケーションサーバへの接続を提供する
方法。
ユーザ端末と、
前記ユーザ端末にアプリケーション機能を提供するアプリケーションサーバと、
インターネット上のクラウドサービスとして提供され、前記ユーザ端末と前記アプリケーションサーバとの通信を中継する少なくとも1つの中継クラウドと、を備えるセキュア通信システムにおいて、
前記ユーザ端末は、前記インターネット上のクラウドサービスとして提供されるセキュア接続サービスのためのクライアント機能を有し、
複数のプライベート接続が、前記セキュア接続サービスによって前記中継クラウド経由で前記アプリケーションサーバ内の複数のアクセス対象と前記クライアント機能との間に個別に確立され、
前記ユーザ端末は、さらに、複数の前記プライベート接続の通信状況をモニタするエージェント機能を有し、
前記ユーザ端末が複数の前記プライベート接続を介して前記アプリケーションサーバと通信している際に前記エージェント機能が所定の障害トリガを検出した場合、前記エージェント機能によって、前記中継クラウド内の一時的エンティティを用いて前記ユーザ端末に対して仮想プライベートネットワークを設定し前記アプリケーションサーバへの接続を提供する
方法。
【0105】
(付記12)
インターネット上のクラウドサービスとして提供され、前記ユーザ端末と前記アプリケーションサーバとの通信を中継する少なくとも1つの中継クラウドと、を備えるセキュア通信システムにおける前記ユーザ端末を、
前記インターネット上のクラウドサービスとして提供されるセキュア接続サービスのためのクライアント機能として機能させ、
複数のプライベート接続が、前記セキュア接続サービスによって前記中継クラウド経由で前記アプリケーションサーバ内の複数のアクセス対象と前記クライアント機能との間に個別に確立され、
さらに、前記ユーザ端末を、複数の前記プライベート接続の通信状況をモニタするエージェント機能として機能させるプログラムであって、
前記ユーザ端末が複数の前記プライベート接続を介して前記アプリケーションサーバと通信している際に前記エージェント機能が所定の障害トリガを検出した場合、前記エージェント機能は、前記中継クラウド内の一時的エンティティを用いて前記ユーザ端末に対して仮想プライベートネットワークを設定し前記アプリケーションサーバへの接続を提供する
プログラム。
インターネット上のクラウドサービスとして提供され、前記ユーザ端末と前記アプリケーションサーバとの通信を中継する少なくとも1つの中継クラウドと、を備えるセキュア通信システムにおける前記ユーザ端末を、
前記インターネット上のクラウドサービスとして提供されるセキュア接続サービスのためのクライアント機能として機能させ、
複数のプライベート接続が、前記セキュア接続サービスによって前記中継クラウド経由で前記アプリケーションサーバ内の複数のアクセス対象と前記クライアント機能との間に個別に確立され、
さらに、前記ユーザ端末を、複数の前記プライベート接続の通信状況をモニタするエージェント機能として機能させるプログラムであって、
前記ユーザ端末が複数の前記プライベート接続を介して前記アプリケーションサーバと通信している際に前記エージェント機能が所定の障害トリガを検出した場合、前記エージェント機能は、前記中継クラウド内の一時的エンティティを用いて前記ユーザ端末に対して仮想プライベートネットワークを設定し前記アプリケーションサーバへの接続を提供する
プログラム。
【0106】
(付記13)
インターネット上のクラウドサービスとして提供され、前記ユーザ端末と前記アプリケーションサーバとの通信を中継する少なくとも1つの中継クラウドと、を備えるセキュア通信システムにおける前記ユーザ端末を、
前記インターネット上のクラウドサービスとして提供されるセキュア接続サービスのためのクライアント機能として機能させ、
複数のプライベート接続が、前記セキュア接続サービスによって前記中継クラウド経由で前記アプリケーションサーバ内の複数のアクセス対象と前記クライアント機能との間に個別に確立され、
さらに、前記ユーザ端末を、複数の前記プライベート接続の通信状況をモニタするエージェント機能として機能させるプログラムであって、
前記ユーザ端末が複数の前記プライベート接続を介して前記アプリケーションサーバと通信している際に前記エージェント機能が所定の障害トリガを検出した場合、前記エージェント機能は、前記中継クラウド内の一時的エンティティを用いて前記ユーザ端末に対して仮想プライベートネットワークを設定し前記アプリケーションサーバへの接続を提供する
プログラムを記録した非遷移的実体的記録媒体。
インターネット上のクラウドサービスとして提供され、前記ユーザ端末と前記アプリケーションサーバとの通信を中継する少なくとも1つの中継クラウドと、を備えるセキュア通信システムにおける前記ユーザ端末を、
前記インターネット上のクラウドサービスとして提供されるセキュア接続サービスのためのクライアント機能として機能させ、
複数のプライベート接続が、前記セキュア接続サービスによって前記中継クラウド経由で前記アプリケーションサーバ内の複数のアクセス対象と前記クライアント機能との間に個別に確立され、
さらに、前記ユーザ端末を、複数の前記プライベート接続の通信状況をモニタするエージェント機能として機能させるプログラムであって、
前記ユーザ端末が複数の前記プライベート接続を介して前記アプリケーションサーバと通信している際に前記エージェント機能が所定の障害トリガを検出した場合、前記エージェント機能は、前記中継クラウド内の一時的エンティティを用いて前記ユーザ端末に対して仮想プライベートネットワークを設定し前記アプリケーションサーバへの接続を提供する
プログラムを記録した非遷移的実体的記録媒体。
【符号の説明】
【0107】
10 ユーザ端末
112 クライアント機能
114 エージェント機能
20 セキュア接続サービス
30 中継クラウド
320 仮想プライベートネットワークサーバ(VPNサーバ)
360 コネクタ
40 アプリケーションサーバ(APサーバ)
112 クライアント機能
114 エージェント機能
20 セキュア接続サービス
30 中継クラウド
320 仮想プライベートネットワークサーバ(VPNサーバ)
360 コネクタ
40 アプリケーションサーバ(APサーバ)
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】