知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024095071
(43)【公開日】2024-07-10
(54)【発明の名称】情報処理装置、情報処理方法およびプログラム
(51)【国際特許分類】
G06Q 50/10 20120101AFI20240703BHJP
【FI】
G06Q50/10
【審査請求】有
【請求項の数】9
【出願形態】OL
(21)【出願番号】P 2022212080
(22)【出願日】2022-12-28
(11)【特許番号】
(45)【特許公報発行日】2023-06-08
【新規性喪失の例外の表示】特許法第30条第2項適用申請有り 掲載年月日 令和4年1月6日 掲載アドレス(URL) https://dxeco.freshdesk.com/support/solutions/articles/73000517346-2022%E5%B9%B41%E6%9C%886%E6%97%A5%E3%81%AE%E3%83%AA%E3%83%AA%E3%83%BC%E3%82%B9 掲載年月日 令和4年1月21日 掲載アドレス(URL) https://dxeco.freshdesk.com/support/solutions/articles/73000517345-2022%E5%B9%B41%E6%9C%8821%E6%97%A5%E3%81%AE%E3%83%AA%E3%83%AA%E3%83%BC%E3%82%B9 掲載年月日 令和4年5月31日 掲載アドレス(URL) https://dxeco.freshdesk.com/support/solutions/articles/73000553790-2022%E5%B9%B45%E6%9C%8831%E6%97%A5%E3%81%AE%E3%83%AA%E3%83%AA%E3%83%BC%E3%82%B9-v0-0-16- 掲載年月日 令和4年8月31日 掲載アドレス(URL) https://dxeco.freshdesk.com/support/solutions/articles/73000585832-2022%E5%B9%B48%E6%9C%8831%E6%97%A5%E3%81%AE%E3%83%AA%E3%83%AA%E3%83%BC%E3%82%B9-v0-0-19-
(71)【出願人】
【識別番号】300068203
【氏名又は名称】株式会社オロ
(74)【代理人】
【識別番号】110001243
【氏名又は名称】弁理士法人谷・阿部特許事務所
(72)【発明者】
【氏名】後藤 歩
【テーマコード(参考)】
5L049
5L050
【Fターム(参考)】
5L049CC11
5L050CC11
(57)【要約】
【課題】利用されているシャドーITの存在およびその利用状況を把握し、後続処理を行えるようにする。
【解決手段】契約外サービスを検出し、管理する情報処理装置は、ユーザ端末からブラウザ履歴情報を受信して記憶部に格納するステップと、記憶部からブラウザ履歴情報を読み出して、読み出したブラウザ履歴情報のユーザIDおよびサービス識別子が記憶部に記憶されているユーザの契約サービス情報の対応するデータと一致するかどうかを判定するステップと、一致しないと判定されたブラウザ履歴情報に対して契約外サービスであることを示す第1の値をセットするステップと、第1の値がセットされたブラウザ履歴情報を使用して、ユーザに関連付けられる契約外サービスの利用状況を示すレポートを生成して、ユーザの管理者に送信するステップと、ユーザの管理者から契約外サービスの承認可否信号を受信するステップとを実行するように構成されている。
【選択図】図10
【解決手段】契約外サービスを検出し、管理する情報処理装置は、ユーザ端末からブラウザ履歴情報を受信して記憶部に格納するステップと、記憶部からブラウザ履歴情報を読み出して、読み出したブラウザ履歴情報のユーザIDおよびサービス識別子が記憶部に記憶されているユーザの契約サービス情報の対応するデータと一致するかどうかを判定するステップと、一致しないと判定されたブラウザ履歴情報に対して契約外サービスであることを示す第1の値をセットするステップと、第1の値がセットされたブラウザ履歴情報を使用して、ユーザに関連付けられる契約外サービスの利用状況を示すレポートを生成して、ユーザの管理者に送信するステップと、ユーザの管理者から契約外サービスの承認可否信号を受信するステップとを実行するように構成されている。
【選択図】図10
【特許請求の範囲】
【請求項1】
契約外サービスを検出し、前記契約外サービスを含むアプリケーションの利用を管理する情報処理装置であって、
外部ネットワークと通信するための通信部、記憶部、および制御部を備え、
前記制御部は、
前記通信部を介してユーザ端末からブラウザ履歴情報を受信して前記記憶部に格納するステップと、
前記記憶部から前記ブラウザ履歴情報を読み出して、読み出した前記ブラウザ履歴情報のユーザIDおよびサービス識別子が前記記憶部に記憶されているユーザの契約サービス情報の対応するデータと一致するかどうかを判定するステップと、
一致しないと判定された前記ブラウザ履歴情報に対して契約外サービスであることを示す第1の値をセットするステップと、
前記第1の値がセットされた前記ブラウザ履歴情報を使用して、前記ユーザに関連付けられる前記契約外サービスの利用状況を示すレポートを生成して、前記通信部を介して前記ユーザの管理者に送信するステップと、
前記通信部を介して前記ユーザの管理者から前記契約外サービスの承認可否信号を受信するステップと
を実行するように構成されている情報処理装置。
外部ネットワークと通信するための通信部、記憶部、および制御部を備え、
前記制御部は、
前記通信部を介してユーザ端末からブラウザ履歴情報を受信して前記記憶部に格納するステップと、
前記記憶部から前記ブラウザ履歴情報を読み出して、読み出した前記ブラウザ履歴情報のユーザIDおよびサービス識別子が前記記憶部に記憶されているユーザの契約サービス情報の対応するデータと一致するかどうかを判定するステップと、
一致しないと判定された前記ブラウザ履歴情報に対して契約外サービスであることを示す第1の値をセットするステップと、
前記第1の値がセットされた前記ブラウザ履歴情報を使用して、前記ユーザに関連付けられる前記契約外サービスの利用状況を示すレポートを生成して、前記通信部を介して前記ユーザの管理者に送信するステップと、
前記通信部を介して前記ユーザの管理者から前記契約外サービスの承認可否信号を受信するステップと
を実行するように構成されている情報処理装置。
【請求項2】
前記契約外サービスの承認可否信号は、前記ユーザID、前記サービス識別子、およびサービスの導入可否を示す値を含んでおり、
前記制御部は、
前記サービスの導入可否を示す値が導入不可を示す場合、前記ユーザIDおよび前記サービス識別子を含む使用不可リストを生成するステップと、
前記使用不可リストを前記ユーザに提供するステップと
をさらに実行するように構成されている、請求項1に記載の情報処理装置。
前記制御部は、
前記サービスの導入可否を示す値が導入不可を示す場合、前記ユーザIDおよび前記サービス識別子を含む使用不可リストを生成するステップと、
前記使用不可リストを前記ユーザに提供するステップと
をさらに実行するように構成されている、請求項1に記載の情報処理装置。
【請求項3】
前記使用不可リストを前記ユーザに提供するステップは、
前記ユーザに関連付けられるシステムのゲートウェイサーバに前記使用不可リストを配信すること、および
前記ユーザ端末に前記使用不可リストを配信すること
のうちの少なくとも1つを含む、請求項2の情報処理装置。
前記ユーザに関連付けられるシステムのゲートウェイサーバに前記使用不可リストを配信すること、および
前記ユーザ端末に前記使用不可リストを配信すること
のうちの少なくとも1つを含む、請求項2の情報処理装置。
【請求項4】
前記契約外サービスの承認可否信号は、前記ユーザID、前記サービス識別子、前記ユーザによって指定されたアカウント情報、およびサービスの導入可否を示す値を含んでおり、
前記制御部は、
前記サービスの導入可否を示す値が導入可を示す場合、前記ユーザID、前記サービス識別子、および前記ユーザによって指定されたアカウント情報を、前記ユーザの契約サービス情報に追加するステップ
をさらに実行するように構成されている、請求項1に記載の情報処理装置。
前記制御部は、
前記サービスの導入可否を示す値が導入可を示す場合、前記ユーザID、前記サービス識別子、および前記ユーザによって指定されたアカウント情報を、前記ユーザの契約サービス情報に追加するステップ
をさらに実行するように構成されている、請求項1に記載の情報処理装置。
【請求項5】
前記レポートは、第1のレポートを含み、
前記第1のレポートは、前記ユーザに関連付けられる前記契約外サービスのリストを有し、前記契約外サービスのリストは、前記契約外サービスのそれぞれの利用時期、発生件数、および利用傾向を視覚的に表示する、請求項1に記載の情報処理装置。
前記第1のレポートは、前記ユーザに関連付けられる前記契約外サービスのリストを有し、前記契約外サービスのリストは、前記契約外サービスのそれぞれの利用時期、発生件数、および利用傾向を視覚的に表示する、請求項1に記載の情報処理装置。
【請求項6】
前記レポートは、第2のレポートを含み、
前記第2のレポートは、前記ユーザに関連付けられる前記契約外サービスを利用している従業員のリストを有し、前記従業員のリストは、前記契約外サービスの利用時期、発生件数、および利用傾向を視覚的に表示する、請求項5に記載の情報処理装置。
前記第2のレポートは、前記ユーザに関連付けられる前記契約外サービスを利用している従業員のリストを有し、前記従業員のリストは、前記契約外サービスの利用時期、発生件数、および利用傾向を視覚的に表示する、請求項5に記載の情報処理装置。
【請求項7】
前記第1の値がセットされていない前記ブラウザ履歴情報を使用して、前記ユーザに関連付けられる前記契約外サービス以外の前記アプリケーションの利用状況を示すレポートを生成して、前記通信部を介して前記ユーザの管理者に送信するステップ
をさらに実行するように構成されている、請求項1に記載の情報処理装置。
をさらに実行するように構成されている、請求項1に記載の情報処理装置。
【請求項8】
契約外サービスを検出し、前記契約外サービスを含むアプリケーションの利用を管理する情報処理装置によって実行される情報処理方法であって、
前記情報処理装置は、外部ネットワークと通信するための通信部、記憶部、および制御部を備え、
前記情報処理方法は、
前記制御部が、前記通信部を介してユーザ端末からブラウザ履歴情報を受信して前記記憶部に格納するステップと、
前記制御部が、前記記憶部から前記ブラウザ履歴情報を読み出して、読み出した前記ブラウザ履歴情報のユーザIDおよびサービス識別子が前記記憶部に記憶されているユーザの契約サービス情報の対応するデータと一致するかどうかを判定するステップと、
前記制御部が、一致しないと判定された前記ブラウザ履歴情報に対して契約外サービスであることを示す第1の値をセットするステップと、
前記制御部が、前記第1の値がセットされた前記ブラウザ履歴情報を使用して、前記ユーザに関連付けられる前記契約外サービスの利用状況を示すレポートを生成して、前記通信部を介して前記ユーザの管理者に送信するステップと、
前記制御部が、前記通信部を介して前記ユーザの管理者から前記契約外サービスの承認可否信号を受信するステップと
を備える情報処理方法。
前記情報処理装置は、外部ネットワークと通信するための通信部、記憶部、および制御部を備え、
前記情報処理方法は、
前記制御部が、前記通信部を介してユーザ端末からブラウザ履歴情報を受信して前記記憶部に格納するステップと、
前記制御部が、前記記憶部から前記ブラウザ履歴情報を読み出して、読み出した前記ブラウザ履歴情報のユーザIDおよびサービス識別子が前記記憶部に記憶されているユーザの契約サービス情報の対応するデータと一致するかどうかを判定するステップと、
前記制御部が、一致しないと判定された前記ブラウザ履歴情報に対して契約外サービスであることを示す第1の値をセットするステップと、
前記制御部が、前記第1の値がセットされた前記ブラウザ履歴情報を使用して、前記ユーザに関連付けられる前記契約外サービスの利用状況を示すレポートを生成して、前記通信部を介して前記ユーザの管理者に送信するステップと、
前記制御部が、前記通信部を介して前記ユーザの管理者から前記契約外サービスの承認可否信号を受信するステップと
を備える情報処理方法。
【請求項9】
請求項8に記載された方法をコンピュータに実行させるプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、シャドーITを検出し、シャドーITを含むアプリケーションの利用を管理するための情報処理装置、情報処理方法およびプログラムに関する。
【背景技術】
【0002】
近年、各種クラウドサービスやIT機器などが広まるにつれ、従来手作業や簡便なシステムで行っていた多くの仕事が効率化できるようになってきた。一方、従業員が所属企業に正式な許可を得ずに、クラウドサービスなどを用いて業務を行う「シャドーIT」が問題視されるようになってきている。
【0003】
「シャドーIT」とは、企業のシステム系管理部門の正式な許可を得ずに使うクラウドサービスやソフトウェア、デバイスなどのことを指す。シャドーITが利用されると、企業は予期せぬセキュリティリスクを抱えたり、システム資源に対して不要な負荷がかかったりする。
【0004】
特許文献1には、企業が正式に導入しているアプリケーションのアカウント削除や一時停止、権限変更などを、日時指定して一括して行える技術が開示されている。しかしながら、特許文献1に記載されている技術は、企業が正式に導入しているアプリケーションのアカウント管理を前提とした仕組みであり、シャドーITを検出して管理することはできない。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特許第7118305号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
企業としては、予期せぬセキュリティリスクやシステム資源に対する不要な負荷は避けたい。仮に、シャドーITが業務効率を向上させ、既存のシステム資源よりも使い勝手が良いものだとしても、個人や一部の部門でのみ利用している場合には会社としては管理がしづらい。従業員にシャドーITの利用を自己申告させたとしても全容を把握するには限界があり、その従業員が何らかの理由でシャドーITの利用を中止した場合には、不必要なアカウントが存在したままになってしまう恐れがある。また、あるアプリケーションを正式導入したものの、社内のどの部門の誰がどのように利用しているのかが分からず、システム資源が有効に配分されているかどうか分かりにくかった。
【0007】
本発明は、このような課題を解決するためになされたものであり、利用されているシャドーITを検出し、企業側に通知するとともに、企業側にとって有用と判定されるシャドーITについては正式に導入手続きをとり、一方、企業側にとって不要と判定されるシャドーITについてはそのサービスを利用しているアカウント整理までを行うことが可能な情報処理装置、情報処理方法およびプログラムを提供することを目的とする。また、本発明は、シャドーITを含む様々なアプリケーションの利用状況を把握することが可能な情報処理装置、情報処理方法およびプログラムを提供することを目的とする。
【課題を解決するための手段】
【0008】
本発明の一態様である情報処理装置は、契約外サービスを検出し、管理する情報処理装置であって、
外部ネットワークと通信するための通信部、記憶部、および制御部を備え、
前記制御部は、
前記通信部を介してユーザ端末からブラウザ履歴情報を受信して前記記憶部に格納するステップと、
前記記憶部から前記ブラウザ履歴情報を読み出して、読み出した前記ブラウザ履歴情報のユーザIDおよびサービス識別子が前記記憶部に記憶されているユーザの契約サービス情報の対応するデータと一致するかどうかを判定するステップと、
一致しないと判定された前記ブラウザ履歴情報に対して契約外サービスであることを示す第1の値をセットするステップと、
前記第1の値がセットされた前記ブラウザ履歴情報を使用して、前記ユーザに関連付けられる前記契約外サービスの利用状況を示すレポートを生成して、前記通信部を介して前記ユーザの管理者に送信するステップと、
前記通信部を介して前記ユーザの管理者から前記契約外サービスの承認可否信号を受信するステップと
を実行するように構成されている。
外部ネットワークと通信するための通信部、記憶部、および制御部を備え、
前記制御部は、
前記通信部を介してユーザ端末からブラウザ履歴情報を受信して前記記憶部に格納するステップと、
前記記憶部から前記ブラウザ履歴情報を読み出して、読み出した前記ブラウザ履歴情報のユーザIDおよびサービス識別子が前記記憶部に記憶されているユーザの契約サービス情報の対応するデータと一致するかどうかを判定するステップと、
一致しないと判定された前記ブラウザ履歴情報に対して契約外サービスであることを示す第1の値をセットするステップと、
前記第1の値がセットされた前記ブラウザ履歴情報を使用して、前記ユーザに関連付けられる前記契約外サービスの利用状況を示すレポートを生成して、前記通信部を介して前記ユーザの管理者に送信するステップと、
前記通信部を介して前記ユーザの管理者から前記契約外サービスの承認可否信号を受信するステップと
を実行するように構成されている。
【発明の効果】
【0009】
本発明によれば、企業は、利用されているシャドーITの存在を把握し、シャドーITを含む様々なアプリケーションの利用状況を把握することができるようになる。また、本発明によれば、企業は、企業側にとって有用と判定されるシャドーITについては正式に導入手続きをとり、一方、企業側にとって不要と判定されるシャドーITについてはそのサービスを利用しているアカウント整理までを行うことが可能となる。
【図面の簡単な説明】
【0010】
本明細書において開示される実施形態の詳細な理解は、添付図面に関連して例示される以下の説明から得ることができる。
【図1】本発明の実施形態に係るシステム全体の構成図である。
【図2】本発明の実施形態に係る情報処理装置10のシステム構成図である。
【図3】本発明の実施形態に係るカタログ情報106のデータ構造の一例を示す図である。
【図4】本発明の実施形態に係るユーザマスタ107のデータ構造の一例を示す図である。
【図5】本発明の実施形態に係る契約サービス情報108のデータ構造の一例を示す図である。
【図6】本発明の実施形態に係る履歴情報109のデータ構造の一例を示す図である。
【図7】本発明の実施形態に係るブラウザ履歴情報からシャドーITの存在を検出する処理を説明するフロー図である。
【図8】本発明の一実施形態に係るレポート800の一例を示す図である。
【図9】本発明の一実施形態に係るサブレポート900の一例を示す図である。
【図10】本発明の実施形態に係る契約外サービス検出後の後続処理を説明するフロー図である。
【発明を実施するための形態】
【0011】
(全体構成)
図1は、本発明の実施形態に係る情報処理装置10、ユーザ端末11、およびサービス提供システム12を含むシステム全体の構成図である。情報処理装置10は、ネットワーク13を介してユーザ端末11およびサービス提供システム12と相互に通信可能に接続される。図1では、ユーザ端末11およびサービス提供システム12は1つずつしか示されていないが、複数存在し得る。
図1は、本発明の実施形態に係る情報処理装置10、ユーザ端末11、およびサービス提供システム12を含むシステム全体の構成図である。情報処理装置10は、ネットワーク13を介してユーザ端末11およびサービス提供システム12と相互に通信可能に接続される。図1では、ユーザ端末11およびサービス提供システム12は1つずつしか示されていないが、複数存在し得る。
【0012】
情報処理装置10は、本発明に係るブラウザ拡張機能をユーザ端末11に提供する。ブラウザ拡張機能は、Webブラウザの機能を拡張するプログラムであり、プラグインやアドオンと呼ぶこともできる。本明細書では、後に詳細に説明されるようなブラウザ拡張機能がユーザ端末11にインストールされているものとして本発明を説明する。
【0013】
情報処理装置10は、予め定められた周期で、あるいはユーザ端末11からのリクエストに応じて、本発明に係るカタログ情報をユーザ端末11に配信する。カタログ情報は、企業に正式に導入されているかどうかに関わらず、情報処理装置10にその存在が知られているクラウドサービス(例えば、Saasサービス)の情報を含む。カタログ情報は、シャドーITに分類され得る各種サービス、ソフトウェア、IT機器などの情報を含むことができる。カタログ情報が更新されると、情報処理装置10は、既にカタログ情報を保持しているユーザ端末11にカタログ情報のアップデートを送信する。
【0014】
情報処理装置10は、ユーザ端末11に関連付けられる企業の社内ネットワークに設置されても構わないし、クラウドサービスとして社外ネットワークに設置されていても構わず、特に限定されない。
【0015】
情報処理装置10は、本発明に係るブラウザ拡張機能を介してユーザ端末11が取得したブラウザ履歴情報を、ユーザ端末11から受信する。情報処理装置10は、受信したブラウザ履歴情報に基づいてシャドーITを含む様々なアプリケーションの利用状況データを生成する。
【0016】
情報処理装置10は、シャドーITの利用状況データをユーザである企業のシステム管理者などに送信(通知)し、シャドーITの今後の取り扱いについて問い合わせを行うことができる。問い合わせは、例えば、シャドーITの内容や利用状況を検討して企業として正式に導入するかどうかの判断を促すものであってよい。また、情報処理装置10は、シャドーIT以外のアプリケーションの利用状況データをユーザである企業のシステム管理者などに提供することができる。
【0017】
情報処理装置10は、当該シャドーITを企業に正式に導入する旨の通知を受信したことに応答して、当該ユーザ企業の契約サービス情報に当該シャドーITの情報を追加する処理を行うことができる。一方、情報処理装置10は、当該シャドーITを企業に導入したくない旨の通知を受信したことに応答して、当該シャドーITのアカウントを使用不可にする処理を行うことができる。
【0018】
ユーザ端末11は、ユーザ企業などに所属する従業員によって利用されるデバイスであって、有線または無線環境において動作可能な任意のタイプのデバイスである。ユーザ端末11は、本発明に係るブラウザ拡張機能をインストール済のデバイスである。ユーザ端末11は、情報処理装置10からカタログ情報を受信し、ブラウザ拡張機能を介して、ブラウザ履歴情報に含まれる所定のキーワード、URLとカタログ情報に含まれるキーワード、URLとを照合する。情報処理装置10は、ブラウザ履歴情報に含まれる所定のキーワード、URLがカタログ情報の対応する情報と一致すると判定した場合には、当該キーワードやURLの履歴情報を情報処理装置10に送信する。照合処理は、キーワードのみで行っても構わないし、キーワードおよびURLの両方で行ってもよい。
【0019】
サービス提供システム12は、クラウドサービスをユーザ端末11に提供することができる。本明細書では、これらのサービスの一例として、Saas(Software as a Service)サービスを説明するが、Saas以外のサービスが対象であってもよい。
【0020】
(システム構成)
図2は、本発明の実施形態に係る情報処理装置10のシステム構成図である。図2に示すように、情報処理装置10は、一般的なコンピュータと同様に、バス120などによって相互に接続された制御部101、主記憶部102、補助記憶部103、インターフェース(IF)部104、および出力部105を備える。情報処理装置10は、ファイル/データベースなどの形式で、カタログ情報106、ユーザマスタ107、契約サービス情報108、および履歴情報109を備える。
図2は、本発明の実施形態に係る情報処理装置10のシステム構成図である。図2に示すように、情報処理装置10は、一般的なコンピュータと同様に、バス120などによって相互に接続された制御部101、主記憶部102、補助記憶部103、インターフェース(IF)部104、および出力部105を備える。情報処理装置10は、ファイル/データベースなどの形式で、カタログ情報106、ユーザマスタ107、契約サービス情報108、および履歴情報109を備える。
【0021】
制御部101は、中央処理装置(CPU)とも呼ばれ、情報処理装置10の各構成要素の制御やデータの演算を行い、また、補助記憶部103に格納されている各種プログラムを主記憶部102に読み出して実行する。主記憶部102は、メインメモリとも呼ばれ、受信した各種データ、コンピュータ実行可能な命令および当該命令による演算処理後のデータなどを記憶する。補助記憶部103は、ハードディスク(HDD)などに代表される記憶装置であり、データやプログラムを長期的に保存する。
【0022】
図2の実施形態は、制御部101、主記憶部102および補助記憶部103を同一のコンピュータの内部に設ける実施形態について説明するが、他の実施形態として、情報処理装置10は、制御部101、主記憶部102および補助記憶部103を複数個使用することにより、複数のコンピュータによる並列分散処理を実現するように構成することもできる。また、他の実施形態として、情報処理装置10のための複数のサーバを設置し、複数サーバが一つの補助記憶部103を共有する実施形態にすることも可能である。
【0023】
IF部104は、他のシステムや装置との間でデータを送受信する際のインターフェースの役割を果たし、また、システムオペレータから各種コマンドや入力データ(各種マスタ、テーブルなど)を受け付けるインターフェースを提供する。出力部105は、処理されたデータを表示する表示画面や当該データを印刷するための印刷手段などを提供する。
【0024】
カタログ情報106は、情報処理装置10にその存在が知られているクラウドサービスに関する情報を格納する。図3は、本発明の実施形態に係るカタログ情報106のデータ構造の一例を示す図である。カタログ情報106は、サービス識別子301、サービス関連情報302、キーワード303、およびURL304を含むことができるが、これらのデータ項目に限定されることはなく他のデータ項目も含むことができる。
【0025】
サービス識別子301は、クラウドサービスを識別する識別子である。サービス関連情報302は、クラウドサービスの名称、サービス内容、料金情報などのクラウドサービスに関連する情報を含む。キーワード303は、クラウドサービスを利用する際にブラウザの閲覧履歴に表示されるキーワードを示す。URL304は、クラウドサービスのURLを示す。
【0026】
図2に戻って説明すると、ユーザマスタ107は、本発明に係るシャドーITの検出および管理サービスを利用するユーザの情報を格納する。ユーザの概念には、企業などの法人、自治体などの行政組織などが含まれ得るが、特に限定されることはない。図4は、本発明の実施形態に係るユーザマスタ107のデータ構造の一例を示す図である。ユーザマスタ107は、ユーザID401、ユーザ情報402、および承認者連絡先403を含むことができるが、これらのデータ項目に限定されることはなく他のデータ項目も含むことができる。
【0027】
ユーザID401は、情報処理装置10によって提供される、本発明に係るシャドーITの検出および管理サービスを利用するユーザを識別する識別子である。ユーザ情報402は、ユーザに関連付けられる情報、例えば、ユーザの名称、所在地、連絡先などの情報を含むが、本明細書に示した情報に限定されることはない。承認者連絡先403は、シャドーITを含むアプリケーションの利用状況データの通知先の情報(例えば、情報システム管理者などの電子メールアドレス)を示す。
【0028】
図2に戻って説明すると、契約サービス情報108は、ユーザが正式に導入し、利用しているクラウドサービスに関する情報を格納する。図5は、本発明の実施形態に係る契約サービス情報108のデータ構造の一例を示す図である。契約サービス情報108は、ユーザID401、サービス識別子301、アカウント情報501、および契約情報502を含むことができるが、これらのデータ項目に限定されることはなく他のデータ項目も含むことができる。
【0029】
ユーザID401およびサービス識別子301は、図3および図4を参照しながら上記で説明したので再度の説明は省略する。アカウント情報501は、クラウドサービスを利用する1人以上の従業員などのアカウントの情報を示す。契約情報502は、ユーザがクラウドサービスを契約した際の契約条件(金額、期間、利用者など)の情報を示す。
【0030】
図2に戻って説明すると、履歴情報109は、ユーザ端末11から受信したブラウザ履歴情報と当該履歴情報に関連付けられる情報を格納する。図6は、本発明の実施形態に係る履歴情報109のデータ構造の一例を示す図である。履歴情報109は、ユーザID401、サービス識別子301、キーワード303、URL304、利用者アカウント情報601、利用日時602、およびシャドーITフラグ603を含むことができるが、これらのデータ項目に限定されることはなく他のデータ項目も含むことができる。
【0031】
ユーザID401、サービス識別子301、キーワード303、およびURL304は、図3および図4を参照しながら上記で説明したので再度の説明は省略する。利用者アカウント情報601は、クラウドサービス利用者のアカウント情報(例えば、従業員の電子メールアドレス)を示す。利用日時602は、当該利用者がクラウドサービスを利用した日時を示す。シャドーITフラグ603は、当該履歴情報がシャドーITにアクセスしたことを示すか否かを表すフラグである。
【0032】
以下、本発明の一実施形態について説明する。本実施形態では、情報処理装置10からユーザ端末11に対して本発明に係るブラウザ拡張機能が配信されてインストール済であり、また、本発明に係るカタログ情報が、ユーザのシステムを経由して情報処理装置10からユーザ端末11に対して配信されてユーザ端末11に格納されているものとする。
【0033】
(処理フロー:ブラウザ履歴情報からシャドーITの存在を検出する処理)
図7は、本発明の実施形態に係るブラウザ履歴情報からシャドーITの存在を検出する処理を説明するフロー図である。ユーザ端末11がブラウザを介してクラウドサービスを利用すると、ブラウザ履歴情報、すなわちブラウザを介してアクセスしたサイトの情報、がユーザ端末11に蓄積されている。本発明に係るブラウザ拡張機能は、ユーザ端末11に、これらのブラウザ履歴情報を情報処理装置10に送信させることができる。
図7は、本発明の実施形態に係るブラウザ履歴情報からシャドーITの存在を検出する処理を説明するフロー図である。ユーザ端末11がブラウザを介してクラウドサービスを利用すると、ブラウザ履歴情報、すなわちブラウザを介してアクセスしたサイトの情報、がユーザ端末11に蓄積されている。本発明に係るブラウザ拡張機能は、ユーザ端末11に、これらのブラウザ履歴情報を情報処理装置10に送信させることができる。
【0034】
S701にて、情報処理装置10は、それぞれのユーザ端末11からブラウザ履歴情報を取得し、履歴情報109に格納する。ブラウザ履歴情報は、クラウドサービスのサービス識別子、キーワード、利用者アカウント情報、利用日時などの情報を含むことができる。加えて、ブラウザ履歴情報は、ユーザID、URLなどの情報も含むことができる。代替として、情報処理装置10は、利用者アカウント情報(例えば、メールアドレス)に基づいてユーザIDを識別することもできる。
【0035】
S702にて、情報処理装置10は、格納したブラウザ履歴情報を1件ずつ読み出し、読み出したブラウザ履歴情報のユーザIDおよびサービス識別子が契約サービス情報108に格納されている対応するデータと一致するかどうかを判定する。一致する場合には、情報処理装置10は、当該ブラウザ履歴情報のシャドーITフラグ603にシャドーITではないことを示す値をセットし、一方、一致しない場合には、情報処理装置は、当該ブラウザ履歴情報のシャドーITフラグ603にシャドーITであることを示す値をセットする。
【0036】
S703にて、情報処理装置10は、ユーザID401ごとにブラウザ履歴情報を読み出し、読み出したブラウザ履歴情報から、シャドーITであることを示す値がシャドーITフラグ603にセットされているデータを抽出する。情報処理装置10は、抽出したデータに基づいて、図8に示すような、クラウドサービスごとの時系列の利用状況を示すグラフを含むレポート800と、図9に示すような、特定のクラウドサービスの各アカウントの利用状況を示すグラフを含むサブレポート900とを生成することができる。
【0037】
ここで、図8を参照しながら、情報処理装置10によって生成されるレポートの一例を説明する。図8は、本発明の一実施形態に係るレポート800の一例を示す図である。レポート800は、ユーザ名801および契約外サービス一覧802を含む。ユーザ名801は、レポートの対象となったユーザID401に関連付けられるユーザ情報402に含まれるユーザの名称を示す。契約外サービス一覧802は、当該ユーザの従業員などによって使用されている1つ以上の契約外サービス(いわゆる「シャドーIT」)とその利用状況の概要を示す。
【0038】
契約外サービス一覧802は、それぞれの契約外サービスについて、サービス名、詳細リンク、利用状況、傾向/規模、導入ボタン、および否認ボタンなどの情報を含む。サービス名は、クラウドサービスを識別する識別子(サービス識別子301)および/またはクラウドサービスの名称(サービス関連情報302)を表示する。詳細リンクは、ユーザ操作(例えば、クリック、タップなど)に応じて、個々の従業員毎の利用状況を表示するサブレポート900を表示するためのリンクを示す。
【0039】
利用状況は、所定の期間(例えば、直近12カ月)の間の当該契約外サービスの利用時期、発生件数を視覚的に表示する。契約外サービスが発生した時期や件数は、線の太さ、色の濃淡、模様などの視覚効果技術によって表され得る。傾向/規模は、契約外サービスの利用傾向のグラフ(例えば、次第に増えてきている場合には漸増のグラフ、周期的に利用されている場合には周期的な発生を示すグラフ、利用が下火になっている場合には漸減のグラフ、など)や利用規模のグラフ(例えば、グラフの高さで示される)によって表され得る。情報処理装置10は、利用状況および傾向/規模に表示される情報を、ブラウザ履歴情報のデータ件数、各データの利用日時などに基づいて生成することができる。
【0040】
導入ボタンは、契約外サービスをユーザが正式に導入する処理を、情報処理装置10が実行するためのボタンである。導入ボタンが押下された場合には、後述する全員導入ボタン904が押下された場合と同様に、現在利用している全てのアカウントが正式な利用者として承認され、契約サービス情報108に情報が登録されることとなる。
【0041】
否認ボタンは、ユーザの従業員などに契約外サービスを使用させない処理を情報処理装置10が実行するためのボタンである。否認ボタンが押下された場合には、後述する否認ボタン906が押下された場合と同様に、当該契約外サービスを従業員などに利用させない後続処理が実行される。
【0042】
次に、図9を参照しながら、情報処理装置10によって生成されるサブレポートの一例を説明する。図9は、本発明の一実施形態に係るサブレポート900の一例を示す図である。サブレポート900は、ユーザ名901、契約外サービス名902、利用者アカウント情報903、全員導入ボタン904、一部導入ボタン905、および否認ボタン906を含むことができる。
【0043】
ユーザ名901は、ユーザ名801と同様に、レポートの対象となったユーザID401に関連付けられるユーザ情報402に含まれるユーザの名称を示す。契約外サービス名902は、レポート800の画面上で「詳細リンク」を選択することにより指定された契約外サービスの識別子および/または名称を示す。
【0044】
利用者アカウント情報903は、契約外サービスを利用している当該ユーザの従業員などのアカウント情報の一覧を示す。利用者アカウント情報903は、それぞれのアカウント情報ごとに、利用許可のためのチェックボックスを有し、また、当該契約外サービスの利用状況や傾向/規模を示す。例えば、利用者アカウント情報903は、それぞれのアカウントごとの所定の期間(例えば、直近12カ月)の当該契約外サービスの利用時期、発生件数を視覚的に表示し、利用傾向のグラフや利用規模のグラフを示すことができる。
【0045】
全員導入ボタン904は、利用者アカウント情報903に表示されている全員を正式な利用者として、当該契約外サービスを正式導入する後続処理を実行するためのボタンである。一部導入ボタン905は、利用者アカウント情報903に表示されている、チェックボックスにチェックが付いている者のみを正式な利用者として、当該契約外サービスを正式導入する後続処理を実行するためのボタンである。否認ボタン906は、当該契約外サービスを従業員などに利用させない後続処理を実行するためのボタンである。
【0046】
S704にて、情報処理装置10は、ユーザマスタ107から生成したレポートのユーザの承認者連絡先403(例えば、メールアドレス)を読み出し、S703にて生成したレポート800およびサブレポート900を送信する。
【0047】
本処理フローによりレポート800およびサブレポート900を受信したユーザのシステム管理者などは、契約外のクラウドサービスが自社に必要なものかどうかを検討することができるようになる。例えば、ある契約外サービスの利用状況が多く、かつ漸増傾向のグラフを示している場合には、ユーザのシステム管理者などは、当該契約外サービスを正式に導入することを決定することができる。あるいは、ある契約外サービスの利用状況が散発的であり、かつ漸減傾向のグラフを示している場合には、ユーザのシステム管理者などは、当該契約外サービスを従業員などに使用させないようにすることを決定することができる。
【0048】
これらの決定は、ユーザのシステム管理者などが、レポート800の導入ボタンまたは否認ボタンを押下することによって、あるいはサブレポート900の全員導入ボタン904、一部導入ボタン905、または否認ボタン906を押下することによって、情報処理装置10に示すことができる。これらのボタンが押下されると、承認可否信号がユーザ端末11から情報処理装置10に送信されて、後述のような処理が実行される。
【0049】
さらに、S703の変形例として、情報処理装置10は、ユーザID401ごとにブラウザ履歴情報を読み出し、読み出したブラウザ履歴情報から、シャドーITであることを示す値がシャドーITフラグ603にセットされていないデータを抽出し、抽出したデータに基づいて、図8および図9に例示したのと類似するフォーマットのレポートを生成してユーザの承認者連絡先403宛に当該レポートを送信することもできる。このような処理により、情報処理装置10は、シャドーIT以外のアプリケーションの利用状況についてもユーザに提供することができ、ユーザは、それぞれのアプリケーションを、社内のどの部門の誰がどのように利用しているのかを把握できるようになる。
【0050】
(処理フロー:契約外サービス検出後の後続処理)
図10は、本発明の実施形態に係る契約外サービス検出後の後続処理を説明するフロー図である。レポート800およびサブレポート900を受信したユーザのシステム管理者などは、上述したように、契約外サービスを正式に導入するか、あるいは従業員などに使用させないかを決定して、ユーザ端末11を介して情報処理装置10に承認可否信号を送信することができる。
図10は、本発明の実施形態に係る契約外サービス検出後の後続処理を説明するフロー図である。レポート800およびサブレポート900を受信したユーザのシステム管理者などは、上述したように、契約外サービスを正式に導入するか、あるいは従業員などに使用させないかを決定して、ユーザ端末11を介して情報処理装置10に承認可否信号を送信することができる。
【0051】
S1001にて、情報処理装置10は、ユーザ端末11から承認可否信号を受信する。承認可否信号は、ユーザID401、契約外サービスのサービス識別子301、およびサービスの導入可否を示す値を含むことができる。承認可否信号は、サブレポート900に表示されていた利用者アカウント情報のうち、ユーザによって指定されたアカウント情報を含むこともできる。
【0052】
S1002にて、情報処理装置10は、承認可否信号のサービスの導入可否を示す値が導入可を示すのか、あるいは導入不可を示すのかを判定する。導入可を示している場合には、S1003に処理が進み、一方、導入不可を示している場合には、S1004に処理が進む。
【0053】
S1003にて、情報処理装置10は、承認可否信号に含まれているユーザID401および契約外サービスのサービス識別子301を、契約サービス情報108に追加する処理を行う。承認可否信号に利用者アカウント情報が含まれている場合には、情報処理装置10は、契約サービス情報108にそれらの利用者アカウント情報をアカウント情報501として追加する処理を行うこともできる。これにより、契約外サービスを利用していた従業員などのアカウントは、正式導入時から利用可能なアカウントとして利用することができる。
【0054】
本発明の一実施形態では、情報処理装置10は、ユーザ端末11に管理画面(不図示)を表示し、ユーザのシステム管理者などに正式導入時から利用可能なアカウントの登録を別途行わせることもできる。この際に、情報処理装置10は、参考情報として、サブレポート900に表示されていた利用者アカウント情報をユーザ端末11に表示して入力支援を行うこともできる。
【0055】
S1004にて、情報処理装置10は、承認可否信号に含まれているユーザID401および契約外サービスのサービス識別子301を含む使用不可リストを生成する。
【0056】
S1005にて、情報処理装置10は、ユーザに関連付けられるユーザ端末11に使用不可リストを配信し、あるいは、ユーザのシステム内のゲートウェイサーバに使用不可リストを配信する。
【0057】
ユーザ端末11に使用不可リストが格納されている場合には、ユーザ端末11にインストールされているブラウザ拡張機能により、使用を禁じられているクラウドサービスなどにアクセスが行われようとされている際、ユーザ端末11は、当該クラウドサービスへのサイトへのアクセスを行わせず、ユーザのシステム管理者などに連絡するように注意喚起のメッセージをユーザ端末11上に表示することができる。
【0058】
ユーザのシステム内のゲートウェイサーバに使用不可リストが格納されている場合には、ユーザ端末11が当該クラウドサービスにアクセスしようとする際、ゲートウェイサーバにおいてその後のアクセス操作が禁止され、ユーザのシステム管理者などに連絡するように注意喚起のメッセージをユーザ端末11上に表示することができる。
【0059】
このようにして、情報処理装置10は、ユーザの判断に応じて、契約外サービスをユーザに正式に導入する処理、あるいは契約外サービスをユーザの従業員などに使用させない処理を実行することができるようになり、シャドーITの管理を適切に行うことができるようになる。
【0060】
以上、例示的な実施形態を参照しながら本発明の原理を説明したが、本発明の要旨を逸脱することなく、構成および細部において変更する様々な実施形態を実現可能であることを当業者は理解するだろう。すなわち、本発明は、例えば、システム、装置、方法、プログラムもしくは記憶媒体等としての実施態様をとることが可能である。
【符号の説明】
【0061】
10 情報処理装置
11 ユーザ端末
12 サービス提供システム
13 ネットワーク
101 制御部
102 主記憶部
103 補助記憶部
104 インターフェース(IF)部
105 出力部
106 カタログ情報
107 ユーザマスタ
108 契約サービス情報
109 履歴情報
11 ユーザ端末
12 サービス提供システム
13 ネットワーク
101 制御部
102 主記憶部
103 補助記憶部
104 インターフェース(IF)部
105 出力部
106 カタログ情報
107 ユーザマスタ
108 契約サービス情報
109 履歴情報
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】