知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-02-09
(45)【発行日】2024-02-20
(54)【発明の名称】情報処理装置、情報処理方法及びプログラム
(51)【国際特許分類】
H04L 61/00 20220101AFI20240213BHJP
【FI】
H04L61/00
【請求項の数】
13
(21)【出願番号】P 2020017732
(22)【出願日】2020-02-05
(65)【公開番号】P2021125787
(43)【公開日】2021-08-30
【審査請求日】2023-02-03
(73)【特許権者】
【識別番号】000001007
【氏名又は名称】キヤノン株式会社
(74)【代理人】
【識別番号】100090273
【弁理士】
【氏名又は名称】國分 孝悦
(72)【発明者】
【氏名】木村 朋博
【審査官】和平 悠希
(56)【参考文献】
【文献】特開2018-157516(JP,A)
【文献】特開2000-207323(JP,A)
【文献】国際公開第2019/026519(WO,A1)
【文献】特開2016-051937(JP,A)
【文献】米国特許出願公開第2016/0063472(US,A1)
【文献】AX8600S・AX8300S ソフトウェアマニュアル コンフィグレーションコマンドレファレン ス Vol.3,2018年03月,pp.180-184,482,699,706,707
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/00-12/66
H04L 41/00-101/695
(57)【特許請求の範囲】
【請求項1】
通信部を介して外部装置と通信可能な情報処理装置であって、前記通信部の通信を制御するためのネットワークの設定情報を入力する画面を表示する表示制御手段と、
前記画面を介して入力されたIPアドレスと、前記IPアドレスに対するプレフィックス長と、の組み合わせに不整合がある場合、前記IPアドレスを前記プレフィックス長に合わせて変更するか否かを問い合わせる、第1の問い合わせ手段と、
を有することを特徴とする情報処理装置。
【請求項2】
通信部を介して外部装置と通信可能な情報処理装置であって、
前記通信部の通信を制御するためのネットワークの設定情報を入力する画面を表示する表示制御手段と、
前記画面を介して入力されたIPアドレスと、前記IPアドレスに対するプレフィックス長と、の組み合わせに不整合がある場合、前記プレフィックス長を前記IPアドレスに合わせて変更するか否かを問い合わせる、第2の問い合わせ手段と、
を有することを特徴とする情報処理装置。
【請求項3】
前記第1の問い合わせ手段による問い合わせの結果、前記IPアドレスを前記プレフィックス長に合わせて変更することが選択された場合、前記IPアドレスを前記プレフィックス長に合わせて変更する第1の変更手段を有することを特徴とする請求項1に記載の情報処理装置。
【請求項4】
前記第2の問い合わせ手段による問い合わせの結果、前記プレフィックス長を前記IPアドレスに合わせて変更することが選択された場合、前記プレフィックス長を前記IPアドレスに合わせて変更する第2の変更手段を有することを特徴とする請求項2に記載の情報処理装置。
【請求項5】
前記画面を介して入力されたネットワークの設定情報であって、IPアドレスと、IPアドレスに対するプレフィックス長の組み合わせに不整合があるかどうかを判定する判定手段を有することを特徴とする請求項1乃至4の何れか1項に記載の情報処理装置。
【請求項6】
前記判定手段は、プレフィックス長からネットワーク部とホスト部を分別し、前記ホスト部に値が入っていた場合には不整合があると判定し、前記ホスト部に値が入っていない場合には不整合がないと判定することを特徴とする請求項5に記載の情報処理装置。
【請求項7】
前記ネットワークの設定情報は、静的ルーティングに関する設定情報であることを特徴とする請求項1乃至6の何れか1項に記載の情報処理装置。
【請求項8】
前記情報処理装置は、複数の通信インタフェースと、読取手段と、前記読取手段で原稿を読み取ることで得られたデータを、複数の通信インタフェースのうち、いずれか1つの通信インタフェースを介して外部に送信する送信機能を有する画像処理装置であり、前記送信機能の宛先として設定された送信宛先に対応するIPアドレスと、静的ルーティングに関する設定とに少なくとも基づき、前記データを送信する通信インタフェースを決定する決定手段を有することを特徴とする請求項1乃至7の何れか1項に記載の情報処理装置。
【請求項9】
前記ネットワークの設定情報は、IPアドレスを用いた通信を許可するか否かを制御するIPフィルタに関する設定情報であることを特徴とする請求項1乃至8の何れか1項に記載の情報処理装置。
【請求項10】
前記情報処理装置は、画像形成装置であることを特徴とする請求項1乃至9の何れか1項に記載の情報処理装置。
【請求項11】
通信部を介して外部装置と通信可能な情報処理装置が実行する情報処理方法であって、前記通信部の通信を制御するためのネットワークの設定情報を入力する画面を表示する表示制御ステップと、
前記画面を介して入力されたIPアドレスと、前記IPアドレスに対するプレフィックス長と、の組み合わせに不整合がある場合、前記IPアドレスを前記プレフィックス長に合わせて変更するか否かを問い合わせる、第1の問い合わせステップと、
を含むことを特徴とする情報処理方法。
【請求項12】
通信部を介して外部装置と通信可能な情報処理装置が実行する情報処理方法であって、
前記通信部の通信を制御するためのネットワークの設定情報を入力する画面を表示する表示制御ステップと、
前記画面を介して入力されたIPアドレスと、前記IPアドレスに対するプレフィックス長と、の組み合わせに不整合がある場合、前記プレフィックス長を前記IPアドレスに合わせて変更するか否かを問い合わせる、第2の問い合わせステップと、
を含むことを特徴とする情報処理方法。
【請求項13】
コンピュータを、請求項1乃至10の何れか1項に記載の情報処理装置の各手段として機能させるためのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理装置、情報処理方法及びプログラムに関する。
【背景技術】
【0002】
従来、情報処理装置は、ルーティング情報に基づいてネットワーク通信する際の通信経路を決定する。ルーティング情報の構成手段には、ユーザが手動で設定する静的ルーティングと、ルーティングプロトコルを用いて情報処理装置が自動的に設定する動的ルーティングの2種類がある。静的ルーティングはユーザが通信経路を意図的に決定できるため、特定の通信に関して通信経路を固定したい場合等に利用される。静的ルーティングを使用するユーザは、宛先アドレスとプレフィックス長とゲートウェイアドレスを設定するのが一般的で、必要に設定を追加や削除といったメンテナンスを行う。例えば、特許文献1では、静的ルーティングの通信先が存在するか否かを確認し、確認結果に応じて静的ルーティングの設定をメンテナンスする手段が提案されている。
【0003】
また、静的ルーティングは、複数のLANI/F(Interface)を備える画像形成装置のようなエンドポイントの情報処理装置においては、各通信が何れのLANI/Fを用いて実施されるかを決定する手段としても使用される。
なお、静的ルーティングの設定同様に、アドレスとプレフィックス長を指定して動作する機能としてアドレスフィルタがある。アドレスフィルタは、送受信先のアドレスから特定の外部装置との通信を許可又は制限するために使用する手段として使用される。
なお、静的ルーティングの設定同様に、アドレスとプレフィックス長を指定して動作する機能としてアドレスフィルタがある。アドレスフィルタは、送受信先のアドレスから特定の外部装置との通信を許可又は制限するために使用する手段として使用される。
【先行技術文献】
【特許文献】
【0004】
【文献】特願平5-330280
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、静的ルーティングはユーザが明確に通信経路を設定できるという特徴がある一方で、誤った設定をしてしまいユーザの意図通りの通信経路にならないという懸念がある。例えば、設定時の宛先に192.168.10.1/24と指定した場合には、24ビットのネットワーク部だけでなく残り8ビットのホスト部にも値が設定されている。この場合、指定したプレフィックス長が誤りの場合も考えられる。例えばユーザが192.168.168.10.1の1個のアドレスに対して静的ルーティングのルールを適用したかったとしても、192.168.10.0/24として255個のアドレスに適用される値に自動的に変改して設定される可能性がある。このように情報処理装置により自動的に変更して登録されてしまうと、ユーザの意図とは異なる宛先と通信してしまい情報漏えい等、セキュリティ観点で問題が生じるという課題がある。
【0006】
しかしながら、従来のネットワーク機器では、ネットワークのエキスパートがコマンドラインを介した設定コマンドや簡易な設定ファイルを直接編集する、又は簡易な設定画面を介してネットワーク設定を行うことを想定している。したがって、上述の設定を誤ることに対する手当は考えられていなかった。
【課題を解決するための手段】
【0007】
本発明の1つの側面としては、通信部を介して外部装置と通信可能な情報処理装置であって、前記通信部の通信を制御するためのネットワークの設定情報を入力する画面を表示する表示制御手段と、前記画面を介して入力されたIPアドレスと、前記IPアドレスに対するプレフィックス長と、の組み合わせに不整合がある場合、前記IPアドレスを前記プレフィックス長に合わせて変更するか否かを問い合わせる、第1の問い合わせ手段と、を有することを特徴とする。
【発明の効果】
【0008】
本発明の1つの側面によれば、情報処理装置のアドレスとプレフィックスを入力する設定においてユーザの意図通りに設定されないことを抑止することができるようになる。
【図面の簡単な説明】
【0009】
【図1】情報処理システムのシステム構成の一例を示す図である。
【図2】画像形成装置のハードウェア構成の一例を示す図である。
【図3】画像形成装置のソフトウェア構成等の一例を示す図である。
【図4】静的ルーティング設定に係るフローチャートである。
【図5】静的ルーティング設定に係る設定画面の一例を示す図である。
【図6】アドレスフィルタ設定に係るフローチャートである。
【図7】IPv4アドレスに基づくアドレスフィルタ設定に係る設定画面の一例を示す図である。
【発明を実施するための形態】
【0010】
以下、本発明の実施形態について図面に基づいて説明する。なお、実施形態の説明にあたり、情報処理装置の一例として画像形成装置を用いて説明するが、画像処理装置以外の通信機能を有する装置であってもよい。
【0011】
<実施形態1>
実施形態1では、静的ルーティング設定に係る処理について説明する。
(システム構成)
図1は、情報処理システムのシステム構成の一例を示す図である。本実施形態では4つのLAN(Local Area Network)が存在し、表1に示すアドレスで動作している。画像形成装置100は、2つのLANI/Fを備え、LAN110とLAN120とに直接性属されている。また、画像形成装置100は、ルータ101を介してLAN130と、ルータ102を介してLAN140と通信が可能である。さらに、LAN130にはPC131とPC131とが存在する。LAN140にはPC141とPC142とが存在する。各機器のアドレスは表2に示す通りである。なお、LAN130とLAN140は異なるLANではあるが同じアドレス帯で運用されている。そのため、画像形成装置100は、静的ルーティング設定を用いて、LAN130及びLAN140の何れの機器と通信するかを決定し運用している。そのため、静的ルーティング設定が、ユーザの設定がユーザの意図通りに実行されない場合には、同じアドレスを有するPC131とPC141、又はPC132とPC142の通信が誤って意図しない端末に対して実行されてしまう懸念がある。
実施形態1では、静的ルーティング設定に係る処理について説明する。
(システム構成)
図1は、情報処理システムのシステム構成の一例を示す図である。本実施形態では4つのLAN(Local Area Network)が存在し、表1に示すアドレスで動作している。画像形成装置100は、2つのLANI/Fを備え、LAN110とLAN120とに直接性属されている。また、画像形成装置100は、ルータ101を介してLAN130と、ルータ102を介してLAN140と通信が可能である。さらに、LAN130にはPC131とPC131とが存在する。LAN140にはPC141とPC142とが存在する。各機器のアドレスは表2に示す通りである。なお、LAN130とLAN140は異なるLANではあるが同じアドレス帯で運用されている。そのため、画像形成装置100は、静的ルーティング設定を用いて、LAN130及びLAN140の何れの機器と通信するかを決定し運用している。そのため、静的ルーティング設定が、ユーザの設定がユーザの意図通りに実行されない場合には、同じアドレスを有するPC131とPC141、又はPC132とPC142の通信が誤って意図しない端末に対して実行されてしまう懸念がある。
【0012】
【表1】
【0013】
【表2】
【0014】
(ハードウェアの構成)
図2は、画像形成装置100のハードウェア構成の一例を示す図である。なお、本実施形態におけるハードウェア構成は一例であり、この限りではない。なお、本実施形態では情報処理装置の一例として、シートに画像を印刷する印刷機能及び原稿を読み取って得られたスキャンデータを外部に送信する送信機能を有する画像形成装置を例示しているがこれに限定されるものではない。本実施形態における設定制御は送信機能のみを有する単機能の画像処理装置に適用することもできる。更には、PC、ネットワークルータ、IEEE802.11シリーズに基づく無線通信を行うアクセスポイント装置等の情報処理装置の設定制御に適用することもできる。
画像形成装置100において、各種ハードウェア201~209は、内部バス200を介して接続され、相互にデータを交換する。CPU201は、画像形成装置100全体の動作を制御する。CPU201は、ROM202に記憶された制御プログラムを読み出して実行することにより、印刷制御及びスキャン制御等の各種制御を行う。
図2は、画像形成装置100のハードウェア構成の一例を示す図である。なお、本実施形態におけるハードウェア構成は一例であり、この限りではない。なお、本実施形態では情報処理装置の一例として、シートに画像を印刷する印刷機能及び原稿を読み取って得られたスキャンデータを外部に送信する送信機能を有する画像形成装置を例示しているがこれに限定されるものではない。本実施形態における設定制御は送信機能のみを有する単機能の画像処理装置に適用することもできる。更には、PC、ネットワークルータ、IEEE802.11シリーズに基づく無線通信を行うアクセスポイント装置等の情報処理装置の設定制御に適用することもできる。
画像形成装置100において、各種ハードウェア201~209は、内部バス200を介して接続され、相互にデータを交換する。CPU201は、画像形成装置100全体の動作を制御する。CPU201は、ROM202に記憶された制御プログラムを読み出して実行することにより、印刷制御及びスキャン制御等の各種制御を行う。
【0015】
RAM203は、CPU201が各種プログラムを実行するためのワークエリア等として使用する不発性のメモリである。HDD204は、画像データ、各種プログラム、さらには画像形成装置100の動作に係る設定値を記憶する。操作部205は、ユーザの指で操作可能なタッチパネルとして動作するディスプレイを備え、キーボード入力が可能である。プリンタ部206は、内部バス200を介して転送された画像データを用紙に印刷する。スキャナ部207は、読み取った原稿の画像データを、内部バス200を介して転送し、HDD204に保存したり、LANI/F208又はLANI/F209から外部装置に送信したりする。LANI/F208はイーサネット(登録商標)110に接続された外部装置と通信し、外部装置から印刷指示を受け取ったり、外部装置にスキャンデータを送信したりできる。LANI/F209もLANI/F208と同様にLAN120に接続された外部装置との通信ができる。LANI/F208及びLANI/F209は、通信部の例である。画像形成装置100は、LANI/F208及びLANI/F209を介して外部装置と通信可能となっている。画像形成装置100は、図示省略の送信機能の画面を介したユーザ操作に基づいて送信宛先の設定を受け付けることができる。送信宛先が設定され、送信開始の指示を受け付けた場合、画像形成装置100は、スキャナ部207を用いて原稿を読み取り、スキャンデータを生成する。スキャナ部207の処理は、読取処理の一例である。続けて、画像形成装置100は、当該生成されたスキャンデータに基づいて生成されたデータをユーザにより設定された送信宛先に送信する。
【0016】
なお、本実施形態においては2つのLANI/Fを備える構成であるが、これに限らず1つ以上のI/Fを備える構成であればよい。さらには、LANI/Fは物理的なI/Fに限らず、ソフトウェアレベルで実現される仮想I/Fのような論理的なI/Fを用いて実現される形態であってもよい。
【0017】
(機能構成)
図3は、画像形成装置100のソフトウェア構成等の一例を示す図である。なお、図3に示す各処理部は、CPU201が制御プログラム300を実行することで実現される。また、本実施形態におけるソフトウェア構成は一例であり、この限りではない。
制御プログラム300は、画像形成装置100全体の制御プログラムであり、パネル制御部301、データ管理部302、フィルタ管理部303、通信制御部304を有する。
図3は、画像形成装置100のソフトウェア構成等の一例を示す図である。なお、図3に示す各処理部は、CPU201が制御プログラム300を実行することで実現される。また、本実施形態におけるソフトウェア構成は一例であり、この限りではない。
制御プログラム300は、画像形成装置100全体の制御プログラムであり、パネル制御部301、データ管理部302、フィルタ管理部303、通信制御部304を有する。
【0018】
パネル制御部301は、操作部205に値する入出力の処理をする。例えば、パネル制御部301は、操作部205から入力された静的ルーティング設定をデータ管理部302に渡すことで、HDD204等の記憶装置に保存する。また、パネル制御部301は、データ管理部302から取得した画面データを205に表示したり、操作部205から入力されたイベントを制御プログラム300の各処理部に通知したりする。
データ管理部302は、各処理部からの要求に伴い、ROM202及びHDD204の記憶装置に対する入力処理をする。
データ管理部302は、各処理部からの要求に伴い、ROM202及びHDD204の記憶装置に対する入力処理をする。
【0019】
フィルタ管理部303は、静的ルーティング設定及びアドレスフィルタ設定等の外部装置との通信に係る制御機能を管理する。フィルタ管理部303は、パネル制御部301から静的ルーティング情報やアドレスフィルタ情報が入力されたことの通知を受け取ると、静的ルーティング情報及びアドレスフィルタ情報に不整合がないかを検証する。不整合を検知した場合には、フィルタ管理部303は、パネル制御部301を介して操作部205にその旨の表示をする。また、画像形成装置100の起動時及び設定変更時等には、フィルタ管理部303は、通信制御部304に対して、静的ルーティング情報やアドレスフィルタ情報を設定する。
【0020】
通信制御部304は、LANI/F208及びLANI/F209を制御し、LAN110及びLAN120を介した外部装置との通信を制御する。例えば、通信制御部304は、データ管理部302から各LANI/Fの設定情報を読み出して設定を実行したり、フィルタ管理部303から設定された静的ルーティング情報やアドレスフィルタ情報に基づいて外部装置とのデータを送受信したりする。スキャンデータに基づくデータを送信宛先に送信する指示を受信した通信制御部304は、送信機能の画面を介して指定された送信宛先に対応するIPアドレスを特定する。続けて当該IPアドレスがアドレスフィルタに合致すると判断した場合、アドレスフィルタに記載のポリシに基づき通信を行うか否かを判断する。なお、ポリシに合致するか否かの検証は、操作部205から入力されたルールの順序に基づき検証がされる。複数のルールが定義されている場合、最初に合致すると判断がされたルールが適用される。アドレスフィルタを用いた検証の結果、通信を行うと判断した場合、通信制御部304は、当該IPアドレスが静的ルーティング設定のルールに合致するか否かを判断する。なお、静的ルーティングのルールに合致するかどうかの判定において、当該IPアドレスが複数のセ知的ルーティングのルールに合致した場合、ロンゲストマッチの法則に則り、適用すべきルーティングのルールが一意に決定される。静的ルーティングとして登録されたいずれかのルールに合致すると判断された場合、通信制御部304は。当該ルールに基づき出力先として使用すべき通信インタフェースを特定し、当該特定した通信インタフェース経由でデータを送信する。静的ルーティングの設定に合致しないと判断された場合、通信制御部304は、ロンゲストマッチの法則に則り出力先の通信インタフェースを特定する。即ちIPアドレスと各通信インタフェースのサブネットで論理積と取り、最も長く一致するサブネットに対応するインタフェース経由でデータを送信する。
【0021】
(静的ルーティング設定に係るフローチャート)
図4は、静的ルーティング設定に係るフローチャートである。図4及び後述する図6のフローチャートに示す各動作(ステップ)は、CPU201がROM202又はHDD204に記憶された各制御モジュールに対応するプログラムをRAM203に呼び出し、実行することにより実現される。なお、本実施形態において、データの送受信処理等は各I/F及び各ハードウェアと協働して実現されるものとする。また、処理の実態を担うソフトウェアモジュールを明確に示したいケースにおいてはCPUを主語とせず、当該CPUに処理を実行させる各ソフトウェアモジュールの名称を主語として記載するものとする。
図4は、静的ルーティング設定に係るフローチャートである。図4及び後述する図6のフローチャートに示す各動作(ステップ)は、CPU201がROM202又はHDD204に記憶された各制御モジュールに対応するプログラムをRAM203に呼び出し、実行することにより実現される。なお、本実施形態において、データの送受信処理等は各I/F及び各ハードウェアと協働して実現されるものとする。また、処理の実態を担うソフトウェアモジュールを明確に示したいケースにおいてはCPUを主語とせず、当該CPUに処理を実行させる各ソフトウェアモジュールの名称を主語として記載するものとする。
【0022】
S401において、フィルタ管理部303は、パネル制御部301から静的ルーティング情報が入力されたことを検知する。
S402において、フィルタ管理部303は、入力されたアドレスとプレフィックス長に不整合があるかの検証を実行する。アドレスは、通信先のアドレスである。
S402において、フィルタ管理部303は、入力されたアドレスとプレフィックス長に不整合があるかの検証を実行する。アドレスは、通信先のアドレスである。
【0023】
より具体的には、フィルタ管理部303は、S401で入力されたアドレスに対して、プレフィックス長からネットワーク部とホスト部を分別し、ホスト部に値が入っていた場合には不整合があると判定する。フィルタ管理部303は、ホスト部に値が入っていない場合には不整合がないと判定する。判定の一例について説明する。フィルタ管理部303は、プレフィックス長で特定されるネットワークアドレス部に対応する上位ビットを0とし、ホストアドレス部に対応する下位ビットを1としたビットマスクを生成する。フィルタ管理部303は、生成したビットマスクと入力されたアドレス(IPV4アドレス)とをAND演算した結果が0であれば不整合がないと判定する。フィルタ管理部303は、結果が0以外であれば不整合があると判定する。フィルタ管理部303は、不整合がないと判定した場合には、処理をS408に進め、不整合があると判定した場合は、処理をS404に進める。
【0024】
S404において、通信制御部304は、パネル制御部301に対して指示し、入力された操作部205に入力されたアドレスとプレフィックス長に不整合がある旨の表示をする。不整合がある旨は、所定の情報の一例である。S404の処理は、不整合があったことを通知する処理の一例である。さらにS405において、フィルタ管理部303は、パネル制御部301を介してプレフィックス長と不整合があるアドレスをプレフィックス長に合わせて変更するか否かの確認画面を操作部205に表示する。S405の処理は、アドレスをプレフィックス長に合わせて変更するか否かを問い合わせる、第1の問い合わせの処理の一例である。
【0025】
S406において、フィルタ管理部303は、確認画面を介したユーザの選択に応じて、変更が選択されたか否かを判定する。フィルタ管理部303は、ユーザが変更しないことを選択した場合には、処理を終了し、静的ルーティング情報の設定を中止し、変更することを選択した場合には、処理をS407に進める。
【0026】
S407において、フィルタ管理部303は、アドレスをプレフィックス長に合わせて変更し、データ管理部302に変更後のデータを格納する。S407の処理は、アドレスをプレフィックス長に合わせて変更する第1の変更の処理の一例である。
S408において、フィルタ管理部303は、アドレスとプレフィックス長とデフォルトゲートウェイアドレスを静的ルーティング情報として、通信制御部304に対して設定する。なお、静的ルーティング設定を中止した場合には、フィルタ管理部303は、パネル制御部301を制御し、入力のやり直しを促すメッセージを表示し、再度入力画面に戻ってもよい。
S408において、フィルタ管理部303は、アドレスとプレフィックス長とデフォルトゲートウェイアドレスを静的ルーティング情報として、通信制御部304に対して設定する。なお、静的ルーティング設定を中止した場合には、フィルタ管理部303は、パネル制御部301を制御し、入力のやり直しを促すメッセージを表示し、再度入力画面に戻ってもよい。
【0027】
静的ルーティングの設定がなされると、画像形成装置100は、静的ルーティング情報に基づいて通信制御を行う。例えば、画像形成装置100のデフォルトゲートウェイに172.16.10.254が設定されていると、静的ルーティング設定が実行される前には192.168.10.0の通信はデフォルトゲートウェイを介してLAN140に向けて送信される。それに対して、192.168.10.0へのゲートウェイを10.0.10.254に設定する静的ルーティング設定がなされた場合には、192.168.10.0の通信は静的ルーティング設定に基づいてLAN130に向けて送信される。
【0028】
(静的ルーティング設定に係る設定画面)
図5は、静的ルーティング設定に係る設定画面の一例を示す図である。なお、本実施形態においては、画像形成装置100が有する操作部205に表示される画面を例に説明するが、LANI/F208及びLANI/F209を介して接続された外部装置がアクセスできるウェブ形式の画面であってもよい。
図5は、静的ルーティング設定に係る設定画面の一例を示す図である。なお、本実施形態においては、画像形成装置100が有する操作部205に表示される画面を例に説明するが、LANI/F208及びLANI/F209を介して接続された外部装置がアクセスできるウェブ形式の画面であってもよい。
【0029】
【0030】
図5(b)は、静的ルーティング情報を追加及び編集するための画面である。ユーザがアドレス入力エリア510とプレフィックス長入力エリア511、ゲートウェイアドレス入力エリア512にそれぞれ値を入力し、OKボタン513を選択することで、図4に示した静的ルーティング設定のフローチャートの処理が実行される。ここで、画像形成装置100は、アドレス入力エリア510とプレフィックス長入力エリア511に入力された値に不整合を検知すると、画面を図5(c)に遷移させる。図5(b)の画面を表示する処理は、表示制御の処理の一例である。
【0031】
図5(c)は、静的ルーティング設定において、アドレスとプレフィックス長に不整合が検知された際に表示する画面である。画面上には入力された値に不整合がある旨のメッセージとプレフィックス長で変更するか否かの確認メッセージとが出力される。この状態において、OKボタン520が選択された場合には、確認メッセージにおいて出力された変更が実施される。一方でキャンセルボタン521が選択された場合には、静的ルーティング情報の設定は中止される。なお、中止された場合には、画面は図5(b)に戻り、ユーザに対して再入力を促す。
【0032】
図5(d)は、設定された静的ルーティング情報を表示する画面である。設定情報表示エリア530に設定されている静的ルーティングの設定内容が表示される。なお、不整合が検出されて変更された場合には、設定情報表示エリア530には変更が実行された内容で表示がされる。即ち、アドレスに192.168.10.1が、プレフィックス長に24が入力された状態で不整合の変更がされた場合には、設定情報表示エリア530に表示されるアドレスは192.168.10.0となる。
【0033】
以上、本実施形態によれば、画像形成装置100の静的ルーティング設定がユーザの意図通りに設定されないことを抑止することができ、セキュリティ観点の課題を解決することができる。
【0034】
<実施形態2>
実施形態2では、アドレスフィルタの設定に対してチェック処理を行う場合について説明する。なお、実施形態1とソフトウェア構成及びハードウェア構成は同様であるため、説明は省略する。なお、実施形態2は実施形態1と組み合わせることもできる。この場合、画像形成装置100は、静的ルーティングの設定を行う場合に、図4で例示した制御を実行し、アドレレスフィルタの設定を行う場合に後述する図6の制御を行うものとする。アドレスフィルタの設定は、例えば、IPアドレスを用いた通信を許可するか否かを制御するIPフィルタに関する設定情報である。
実施形態2では、アドレスフィルタの設定に対してチェック処理を行う場合について説明する。なお、実施形態1とソフトウェア構成及びハードウェア構成は同様であるため、説明は省略する。なお、実施形態2は実施形態1と組み合わせることもできる。この場合、画像形成装置100は、静的ルーティングの設定を行う場合に、図4で例示した制御を実行し、アドレレスフィルタの設定を行う場合に後述する図6の制御を行うものとする。アドレスフィルタの設定は、例えば、IPアドレスを用いた通信を許可するか否かを制御するIPフィルタに関する設定情報である。
【0035】
(アドレスフィルタルーティング設定に係るフローチャート)
図6は、アドレスフィルタ設定に係るフローチャートである。以下具体的に説明する。
S601において、フィルタ管理部303は、パネル制御部301からアドレスフィルタ情報が入力されたことを検知する。
S602において、フィルタ管理部303は、入力されたアドレスとプレフィックス長に不整合があるかの検証を実行する。
図6は、アドレスフィルタ設定に係るフローチャートである。以下具体的に説明する。
S601において、フィルタ管理部303は、パネル制御部301からアドレスフィルタ情報が入力されたことを検知する。
S602において、フィルタ管理部303は、入力されたアドレスとプレフィックス長に不整合があるかの検証を実行する。
【0036】
S603において、フィルタ管理部303は、S602の検証の結果、アドレスとプレフィックス長に不整合があるか否かを判定する。フィルタ管理部303は、不整合があると判定すると、処理をS604に進め、不整合がないと判定すると、処理をS612に進める。フィルタ管理部303は、入力されたアドレスに対して、プレフィックス長からネットワーク部とホスト部を分別し、ホスト部に値が入っていた場合には不整合があると判定する。フィルタ管理部303は、ホスト部に値が入っていない場合には不整合がないと判定する。
S612において、フィルタ管理部303は、入力されたアドレスフィルタ情報を通信制御部304に設定する。
S612において、フィルタ管理部303は、入力されたアドレスフィルタ情報を通信制御部304に設定する。
【0037】
S604において、フィルタ管理部303は、パネル制御部301に対して指示し、操作部205に入力されたアドレスとプレフィックス長に不整合がある旨の表示をする。
次に、S605において、フィルタ管理部303は、アドレスフィルタのデフォルトポリシーが拒否と許可の何れであるかを判定する。フィルタ管理部303は、デフォルトポリシーが拒否であると判定した場合にはS606に処理を進め、デフォルトポリシーが許可であると判定した場合にはS607に処理を進める。
次に、S605において、フィルタ管理部303は、アドレスフィルタのデフォルトポリシーが拒否と許可の何れであるかを判定する。フィルタ管理部303は、デフォルトポリシーが拒否であると判定した場合にはS606に処理を進め、デフォルトポリシーが許可であると判定した場合にはS607に処理を進める。
【0038】
S606において、フィルタ管理部303は、パネル制御部301を介してプレフィックス長と不整合があるアドレスをプレフィックス長に合わせて変更するか否かの確認画面を操作部205に表示する。S606の処理は、アドレスをプレフィックス長に合わせて変更するか否かを問い合わせる、第1の問い合わせの処理の一例である。一方で、S607においては、フィルタ管理部303は、パネル制御部301を介してプレフィックス長と不整合があるプレフィックス長をアドレスに合わせて変更するか否かの確認画面を操作部205に表示する。S607の処理は、プレフィックス長をアドレスに合わせて変更するか否かを問い合わせる、第2の問い合わせの処理の一例である。
これは、デフォルトポリシーが拒否の場合にはアドレスの値を優先した方が、通信が許可されるアドレス範囲を狭くできるため、誤ってユーザが設定してまったとしてもセキュリティ観点のリスクを低減できるためである。デフォルトポリシーが許可の場合も同様にプレフィックスを優先した方が許可されるアドレス範囲を狭くできるためである。
これは、デフォルトポリシーが拒否の場合にはアドレスの値を優先した方が、通信が許可されるアドレス範囲を狭くできるため、誤ってユーザが設定してまったとしてもセキュリティ観点のリスクを低減できるためである。デフォルトポリシーが許可の場合も同様にプレフィックスを優先した方が許可されるアドレス範囲を狭くできるためである。
【0039】
S608において、フィルタ管理部303は、パネル制御部301を介して受け取った情報に基づき、ユーザが変更を選択したか否かを判定する。フィルタ管理部303は、ユーザが変更を選択したと判定すると、処理をS610にすすめ、変更を選択しなかったと判定すると、図6に示すフローチャートの処理を終了する。
S610において、フィルタ管理部303は、アドレスをプレフィックス長に合わせて変更する。S610の処理は、アドレスをプレフィックス長に合わせて変更する第1の変更の処理の一例である。
S610において、フィルタ管理部303は、アドレスをプレフィックス長に合わせて変更する。S610の処理は、アドレスをプレフィックス長に合わせて変更する第1の変更の処理の一例である。
【0040】
一方、S609において、フィルタ管理部303は、パネル制御部301を介して受け取った情報に基づき、ユーザが変更を選択したか否かを判定する。フィルタ管理部303は、ユーザが変更を選択したと判定すると、処理をS611にすすめ、変更を選択しなかったと判定すると、図6に示すフローチャートの処理を終了する。
S611において、フィルタ管理部303は、プレフィックス長をアドレスに合わせて変更する。S611の処理は、プレフィックス長をアドレスに合わせて変更する第2の変更の処理の一例である。
S612において、フィルタ管理部303は、アドレスとプレフィックス長をアドレスフィルタ情報として、通信制御部304に対して設定する。
S611において、フィルタ管理部303は、プレフィックス長をアドレスに合わせて変更する。S611の処理は、プレフィックス長をアドレスに合わせて変更する第2の変更の処理の一例である。
S612において、フィルタ管理部303は、アドレスとプレフィックス長をアドレスフィルタ情報として、通信制御部304に対して設定する。
【0041】
なお、本実施形態においては、IPアドレスに係るフィルタを例としたが、MACアドレスのような他種のアドレスに係るアドレスフィルタであってもよい。なお、アドレスフィルタ設定を中止した場合には、フィルタ管理部303は、パネル制御部301を制御し、再度入力画面に戻ってもよい。
【0042】
以上の通り、アドレスフィルタに適用された画像形成装置100では、通信制御部304が、デフォルトポリシーが拒否の場合に例外として登録されたアドレスとのネットワークパケットのみを許可し、その他の通信はネットワークパケットがドロップされる。また、デフォルトポリシーが許可の場合には、通信制御部304は、例外として登録されたアドレスとのネットワークパケットをドロップし、その他の通信が許可される。
【0043】
以上、本実施形態によれば、画像形成装置100のアドレスフィルタ設定がユーザの意図通りに設定されないことを抑止することができ、セキュリティ観点の課題を解決することができる。
【0044】
(アドレスフィルタ設定に係る設定画面)
図7は、IPv4アドレスに基づくアドレスフィルタ設定に係る設定画面の一例を示す図である。なお、本実施形態においては、画像形成装置100が有する操作部205に表示される画面を例に説明するが、LANI/F208及びLANI/F209を介して接続された外部装置がアクセスできるウェブ形式の画面であってもよい。
図7は、IPv4アドレスに基づくアドレスフィルタ設定に係る設定画面の一例を示す図である。なお、本実施形態においては、画像形成装置100が有する操作部205に表示される画面を例に説明するが、LANI/F208及びLANI/F209を介して接続された外部装置がアクセスできるウェブ形式の画面であってもよい。
【0045】
図7(a)は、アドレスフィルタ情報を追加及び編集するための画面である。ユーザがアドレス入力エリア710とプレフィックス長入力エリア711にそれぞれ値を入力し、OKボタン517を選択することで、図6に示したアドレスフィルタ設定のフローチャートの処理が実行される。図7(a)の画面を表示する処理は、表示制御の処理の一例である。ここで、画像形成装置100は、アドレス入力エリア710とプレフィックス長入力エリア711に入力された値に不整合を検知すると、アドレスとプレフィックス長のどちらに合わせて値を変更するかによって図7(b)又は図7(c)を表示する。
【0046】
図7(b)は、アドレスに合わせてプレフィックス長を変更した場合の画面である。より具体的には、アドレス入力エリア710に入力されたアドレスである192.168.10.1に合わせて、プレフィックス長入力エリア711に入力された値である24を32に変更するか否かの確認メッセージが表示されている。この状態において、OKボタン720が選択された場合には、確認メッセージにおいて出力された変更が実施される。一方でキャンセルボタン721が選択された場合には、アドレスフィルタ情報の設定は中止される。なお、中止された場合には、画面は図7(a)に戻り、画像形成装置100は、ユーザに対して再入力を促す。
【0047】
図7(c)は、プレフィックス長に合わせてアドレスを変更した場合の画面である。より具体的には、プレフィックス長入力エリア711に入力された値である24に合わせて、アドレス入力エリア710に入力されたアドレスである192.168.10.1を192.168.10.0に変更するか否かの確認メッセージが表示されている。この状態において、OKボタン730が選択された場合には、確認メッセージにおいて出力された変更が実施される。一方でキャンセルボタン731が選択された場合には、アドレスフィルタ情報の設定は中止される。なお、中止された場合には、画面は図7(a)に戻り、画像形成装置100は、ユーザに対して再入力を促す。
【0048】
(変形例)
実施形態1及び実施形態2では、不整合を検知した場合の変更にはアドレス又はプレフィックス長に合わせて1種類の変更案を提示する例を説明した。しかしながら、適宜変形することができる。例えば、実施形態1において、ユーザにより入力されたIPアドレスを優先し、プレフィックスを修正する問い合わせ画面を表示し、当該画面を介して変更を受け付けるようにしてもよい。また、実施形態1、2において、1つの問い合わせ画面に、IPアドレスを優先するかプレフィックスを優先するかをユーザが選択できる表示アイテムを表示し、ユーザが選択できるように構成することもできる。
更には、また、アドレス又はプレフィックス長の値が入力された時点で、もう一方と不整合が生じる値を入力できないように画面上の入力の禁則が有効化されるような実施形態でもよい。
実施形態1及び実施形態2では、不整合を検知した場合の変更にはアドレス又はプレフィックス長に合わせて1種類の変更案を提示する例を説明した。しかしながら、適宜変形することができる。例えば、実施形態1において、ユーザにより入力されたIPアドレスを優先し、プレフィックスを修正する問い合わせ画面を表示し、当該画面を介して変更を受け付けるようにしてもよい。また、実施形態1、2において、1つの問い合わせ画面に、IPアドレスを優先するかプレフィックスを優先するかをユーザが選択できる表示アイテムを表示し、ユーザが選択できるように構成することもできる。
更には、また、アドレス又はプレフィックス長の値が入力された時点で、もう一方と不整合が生じる値を入力できないように画面上の入力の禁則が有効化されるような実施形態でもよい。
【0049】
<その他の実施形態>
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給する。そして、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサーがプログラムを読み出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給する。そして、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサーがプログラムを読み出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
【0050】
以上、本発明の実施形態の一例について詳述したが、本発明は係る特定の実施形態に限定されるものではない。
【0051】
以上、上述した各実施形態によれば、画像形成装置100のアドレスとプレフィックス長を入力する設定において、ユーザの意図通りに設定されないことを抑止することができ、セキュリティ観点の課題を解決することができる。
【符号の説明】
【0052】
100 画像形成装置
201 CPU
205 操作部
201 CPU
205 操作部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】