(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-10-25
(45)【発行日】2024-11-05
(54)【発明の名称】通信装置、通信装置の制御方法及びプログラム
(51)【国際特許分類】
H04L 67/02 20220101AFI20241028BHJP
H04L 61/4511 20220101ALI20241028BHJP
H04L 9/14 20060101ALI20241028BHJP
G09C 1/00 20060101ALI20241028BHJP
【FI】
H04L67/02
H04L61/4511
H04L9/14
G09C1/00 660E
【請求項の数】
8
(21)【出願番号】P 2020066185
(22)【出願日】2020-04-01
(65)【公開番号】P2021162778
(43)【公開日】2021-10-11
【審査請求日】2023-03-30
(73)【特許権者】
【識別番号】000001007
【氏名又は名称】キヤノン株式会社
(74)【代理人】
【識別番号】100126240
【弁理士】
【氏名又は名称】阿部 琢磨
(74)【代理人】
【識別番号】100223941
【弁理士】
【氏名又は名称】高橋 佳子
(74)【代理人】
【識別番号】100159695
【弁理士】
【氏名又は名称】中辻 七朗
(74)【代理人】
【識別番号】100172476
【弁理士】
【氏名又は名称】冨田 一史
(74)【代理人】
【識別番号】100126974
【弁理士】
【氏名又は名称】大朋 靖尚
(72)【発明者】
【氏名】森谷 郁文
【審査官】前田 健人
(56)【参考文献】
【文献】国際公開第2005/069532(WO,A1)
【文献】HIROKI TAGATO,IntraアプリでAndroid PのプライベートDNS機能をひと足先に試す,[オンライン],2018年05月18日,[検索日 2024.04.24], インターネット:<URL: https://blog.c6h12o6.org/post/android-intra>
【文献】Mozilla,Firefox DNS-over-HTTPS,[オンライン],2020年03月27日,2020年3月27日インターネットアーカイブ受入 [検索日 2024.04.24], インターネット:<URL: https://web.archive.org/web/20200327025822/https://support.mozilla.org/en-US/kb/firefox-dns-over-https>
【文献】閲覧ページの盗み見や別ページへの誘導などの「ネット検閲」を防ぐためのDNS暗号アプリ「Intra」を使ってみました,[オンライン],2018年10月04日,[検索日 2024.04.24], インターネット:<URL: https://gigazine.net/news/20181004-jigsaw-intra>
【文献】CNET Japan,Alphabet、DNSクエリを暗号化するアプリ「Intra」を公開--ネット検閲に対抗,[オンライン],2018年10月04日,[検索日 2024.04.24], インターネット:<URL: https://japan.cnet.com/article/35126541>
(58)【調査した分野】(Int.Cl.,DB名)
H04L 67/00-67/75
H04L 61/00-61/59
G09C 1/00
H04L 9/14
(57)【特許請求の範囲】
【請求項1】
通信装置であって、前記通信装置の動作設定として名前解決のために暗号化通信を使用するか否かを設定する設定手段と、
アプリケーションから依頼されたホスト名の名前解決を行う場合、前記設定手段で前記暗号化通信を使用する設定がなされていることに少なくとも基づいて第1のDNSサーバとの間で確立した暗号化された通信路を介して、前記第1のDNSサーバに当該ホスト名の名前解決を依頼し、前記設定手段で前記暗号化通信を使用しない設定がなされていることに基づき平文で第2のDNSサーバに当該ホスト名の名前解決を依頼するよう制御する通信制御手段と、
前記暗号化通信を使用した名前解決の対象から除外するアプリケーションの指定を受け付ける受付手段と、
前記受付手段で指定を受け付けたアプリケーションの識別情報であって、前記暗号化通信を使用した名前解決の対象から除外するアプリケーションの識別情報を記憶する記憶手段と、
前記記憶手段に記憶されている識別情報と、依頼元のアプリケーションの種類とに基づき前記依頼元のアプリケーションが前記暗号化通信を使用した名前解決の対象とすべきアプリケーションであるか否かを判定する判定手段と、
ホスト名で指定された宛先にスキャンデータを送信する送信アプリケーションと、
Webブラウザアプリケーションと、
を有し、
前記判定手段によって、前記依頼元のアプリケーションが前記暗号化通信を使用した名前解決の対象とすべきでないアプリケーションであると判定された場合、前記通信制御手段は、前記設定手段で前記暗号化通信を使用する設定がなされている場合であっても、平文で前記第2のDNSサーバに当該ホスト名の名前解決を依頼するよう制御し、
前記送信アプリケーションと、前記Webブラウザアプリケーションは、前記受付手段で除外するアプリケーションとして指定することが可能であることを特徴とする通信装置。
【請求項2】
通信装置であって、前記通信装置の動作設定として名前解決のために暗号化通信を使用するか否かを設定する設定手段と、
アプリケーションから依頼されたホスト名の名前解決を行う場合、前記設定手段で前記暗号化通信を使用する設定がなされていることに少なくとも基づいて第1のDNSサーバとの間で確立した暗号化された通信路を介して、前記第1のDNSサーバに当該ホスト名の名前解決を依頼し、前記設定手段で前記暗号化通信を使用しない設定がなされていることに基づき平文で第2のDNSサーバに当該ホスト名の名前解決を依頼するよう制御する通信制御手段と、
前記暗号化通信を使用した名前解決の対象から除外する通信プロトコルの識別情報を記憶する記憶手段と、
前記記憶手段に記憶されている識別情報と、当該ホスト名で特定される相手先との通信に使用する通信プロトコルの種類とに基づき依頼元のアプリケーションが前記暗号化通信を使用した名前解決の対象とすべき通信プロトコルであるか否かを判定する判定手段と、
を有し、
前記判定手段によって、依頼元のアプリケーションが前記暗号化通信を使用した名前解決の対象とすべきでない通信プロトコルであると判定された場合、前記通信制御手段は、前記設定手段で前記暗号化通信を使用する設定がなされている場合であっても、平文で前記第2のDNSサーバに当該ホスト名の名前解決を依頼するよう制御することを特徴とする通信装置。
【請求項3】
前記暗号化通信を使用した名前解決の対象から除外する通信プロトコルの指定を受け付ける受付手段を更に有し、前記記憶手段には、前記受付手段で指定を受け付けた通信プロトコルの識別情報が記憶されることを特徴とする請求項2に記載の通信装置。
【請求項4】
前記受付手段では、少なくともFTP(File Transfer Protocol)を前記除外する通信プロトコルとして指定することが可能であることを特徴とする請求項3に記載の通信装置。
【請求項5】
前記記憶手段は、前記暗号化通信を使用した名前解決の対象から除外するホスト名のリストを更に記憶しており、前記通信制御手段は、前記名前解決を依頼されたホスト名が、前記記憶手段に記憶されている前記除外するホスト名のリストに含まれている場合、前記設定手段でなされた設定に関わらず、平文で前記第2のDNSサーバに当該ホスト名の名前解決を依頼するよう制御することを特徴とする請求項1乃至4のいずれか1項に記載の通信装置。
【請求項6】
通信装置の制御方法であって、前記通信装置の動作設定として名前解決のために暗号化通信を使用するか否かを設定する設定工程と、
アプリケーションから依頼されたホスト名の名前解決を行う場合に、前記設定工程でなされた設定に基づき、第1のDNSサーバとの間で確立した暗号化された通信路を介して、前記第1のDNSサーバに当該ホスト名の名前解決を依頼するか、平文で第2のDNSサーバに当該ホスト名の名前解決を依頼するかを異ならせる通信制御工程と、
前記暗号化通信を使用した名前解決の対象から除外するアプリケーションの指定を受け付ける受付工程と、
前記受付工程で指定を受け付けたアプリケーションの識別情報であって、前記暗号化通信を使用した名前解決の対象から除外するアプリケーションの識別情報を記憶手段に記憶する記憶工程と、
前記記憶手段に記憶されている識別情報と、依頼元のアプリケーションの種類とに基づき前記依頼元のアプリケーションが前記暗号化通信を使用した名前解決の対象とすべきアプリケーションであるか否かを判定する判定工程と、
を有し、
前記判定工程によって、前記依頼元のアプリケーションが前記暗号化通信を使用した名前解決の対象とすべきでないアプリケーションであると判定された場合、前記通信制御工程は、前記設定工程で前記暗号化通信を使用する設定がなされている場合であっても、平文で前記第2のDNSサーバに当該ホスト名の名前解決を依頼するよう制御し、
前記通信装置で動作可能なアプリケーションである、ホスト名で指定された宛先にスキャンデータを送信する送信アプリケーションと、Webブラウザアプリケーションは、前記受付工程で除外するアプリケーションとして指定することが可能であることを特徴とする制御方法。
【請求項7】
通信装置の制御方法であって、
前記通信装置の動作設定として名前解決のために暗号化通信を使用するか否かを設定する設定工程と、
アプリケーションから依頼されたホスト名の名前解決を行う場合、前記設定工程で前記暗号化通信を使用する設定がなされていることに少なくとも基づいて第1のDNSサーバとの間で確立した暗号化された通信路を介して、前記第1のDNSサーバに当該ホスト名の名前解決を依頼し、前記設定工程で前記暗号化通信を使用しない設定がなされていることに基づき平文で第2のDNSサーバに当該ホスト名の名前解決を依頼するよう制御する通信制御工程と、
前記暗号化通信を使用した名前解決の対象から除外する通信プロトコルの識別情報を記憶手段に記憶する記憶工程と、
前記記憶手段に記憶されている識別情報と、当該ホスト名で特定される相手先との通信に使用する通信プロトコルの種類とに基づき依頼元のアプリケーションが前記暗号化通信を使用した名前解決の対象とすべき通信プロトコルであるか否かを判定する判定工程と、
を有し、
前記判定工程によって、依頼元のアプリケーションが前記暗号化通信を使用した名前解決の対象とすべきでない通信プロトコルであると判定された場合、前記通信制御工程は、前記設定工程で前記暗号化通信を使用する設定がなされている場合であっても、平文で前記第2のDNSサーバに当該ホスト名の名前解決を依頼するよう制御することを特徴とする通信装置。
【請求項8】
少なくとも1つのコンピュータを、請求項1乃至5のいずれか1項に記載された通信装置の各手段として機能させるためのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、外部にデータを送信する通信装置に関するものである。
【背景技術】
【0002】
近年、Domain Name System(以下、DNS)に対してホスト名の名前解決を依頼する際に、盗聴・なりすまし・改善を防ぐための技術として、DNS over HTTPS(以下、DoH)といった仕組みが考えられている。
【0003】
DoHでは、DNSへの名前解決依頼等の問い合わせを平文による通信ではなく、HTTPSにより暗号化された通信経路を介して行うことができる。主要なWebブラウザアプリーションではWebブラウザアプリケーションのDNS設定をDNSからDoHに切り替えることでDoHを使用することができる。この仕組みによりブラウザアプリケーションがURLを名前解決する際に、第三者による依頼内容の盗聴、なりすましによる依頼結果の改ざんを防ぐことができる。
【0004】
また、特許文献1にはセキュリティの観点で、デバイスにインストールされたアプリケーション毎に、DNSサーバへの名前解決を許容するか否かを設定するデバイスが開示されている。
【先行技術文献】
【特許文献】
【0005】
【文献】特開2017-139648号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
前述したように、Webブラウザアプリケーション等単体のアプリケーションの設定としてDoHを使用する動作設定を設けることが知られている。
【0007】
ところで、MFP(Multi Function Peripheral)やPCなどの通信装置では、ファイルサーバへのアクセスなど、Webブラウザアプリケーション以外でもホスト名で指定された通信相手と通信を行うことがある。また、組織や会社などのセキュリティポリシによっては通信装置におけるホスト名の名前解決によりセキュアなDoHを使用することが推奨される場合がある。この場合、単体のアプリケーションの設定としてDoHを使用するか否かを設ける、アプリケーション側でDoHを使用するか否かを切り替えることも考えられるが、設定の手間がかかったり設定漏れが発生したりといった問題がある。しかしながら、従来はシステム全体や装置全体の通信においてDoHを使用する設定を行うための具体的な仕組みが考えられていなかった。
【0008】
本発明は上述の問題点の少なくとも1つを鑑みなされたものである。本発明の1つの側面としては、前記通信装置の動作設定として名前解決のために暗号化通信を使用するか否かを設定できるようにし、通信装置における名前解決の依頼先を適切に切り替えることができる仕組みを提供することを目的の1つとする。
【課題を解決するための手段】
【0009】
上記の少なくとも1つの目的を達成するために本発明の通信装置は、
前記通信装置の動作設定として名前解決のために暗号化通信を使用するか否かを設定する設定手段と、
アプリケーションから依頼されたホスト名の名前解決を行う場合、前記設定手段で前記暗号化通信を使用する設定がなされていることに少なくとも基づいて第1のDNSサーバとの間で確立した暗号化された通信路を介して、前記第1のDNSサーバに当該ホスト名の名前解決を依頼し、前記設定手段で前記暗号化通信を使用しない設定がなされていることに基づき平文で第2のDNSサーバに当該ホスト名の名前解決を依頼するよう制御する通信制御手段と、
前記暗号化通信を使用した名前解決の対象から除外するアプリケーションの指定を受け付ける受付手段と、
前記受付手段で指定を受け付けたアプリケーションの識別情報であって、前記暗号化通信を使用した名前解決の対象から除外するアプリケーションの識別情報を記憶する記憶手段と、
前記記憶手段に記憶されている識別情報と、依頼元のアプリケーションの種類とに基づき前記依頼元のアプリケーションが前記暗号化通信を使用した名前解決の対象とすべきアプリケーションであるか否かを判定する判定手段と、
ホスト名で指定された宛先にスキャンデータを送信する送信アプリケーションと、
Webブラウザアプリケーションと、
を有し、
前記判定手段によって、前記依頼元のアプリケーションが前記暗号化通信を使用した名前解決の対象とすべきでないアプリケーションであると判定された場合、前記通信制御手段は、前記設定手段で前記暗号化通信を使用する設定がなされている場合であっても、平文で前記第2のDNSサーバに当該ホスト名の名前解決を依頼するよう制御し、
前記送信アプリケーションと、前記Webブラウザアプリケーションは、前記受付手段で除外するアプリケーションとして指定することが可能であることを特徴とする。
前記通信装置の動作設定として名前解決のために暗号化通信を使用するか否かを設定する設定手段と、
アプリケーションから依頼されたホスト名の名前解決を行う場合、前記設定手段で前記暗号化通信を使用する設定がなされていることに少なくとも基づいて第1のDNSサーバとの間で確立した暗号化された通信路を介して、前記第1のDNSサーバに当該ホスト名の名前解決を依頼し、前記設定手段で前記暗号化通信を使用しない設定がなされていることに基づき平文で第2のDNSサーバに当該ホスト名の名前解決を依頼するよう制御する通信制御手段と、
前記暗号化通信を使用した名前解決の対象から除外するアプリケーションの指定を受け付ける受付手段と、
前記受付手段で指定を受け付けたアプリケーションの識別情報であって、前記暗号化通信を使用した名前解決の対象から除外するアプリケーションの識別情報を記憶する記憶手段と、
前記記憶手段に記憶されている識別情報と、依頼元のアプリケーションの種類とに基づき前記依頼元のアプリケーションが前記暗号化通信を使用した名前解決の対象とすべきアプリケーションであるか否かを判定する判定手段と、
ホスト名で指定された宛先にスキャンデータを送信する送信アプリケーションと、
Webブラウザアプリケーションと、
を有し、
前記判定手段によって、前記依頼元のアプリケーションが前記暗号化通信を使用した名前解決の対象とすべきでないアプリケーションであると判定された場合、前記通信制御手段は、前記設定手段で前記暗号化通信を使用する設定がなされている場合であっても、平文で前記第2のDNSサーバに当該ホスト名の名前解決を依頼するよう制御し、
前記送信アプリケーションと、前記Webブラウザアプリケーションは、前記受付手段で除外するアプリケーションとして指定することが可能であることを特徴とする。
【発明の効果】
【0010】
本発明の1つの側面によれば、前記通信装置の動作設定として名前解決のために暗号化通信を使用するか否かを設定することで通信装置の名前解決先を適切に切り替えることができるようになる。
【図面の簡単な説明】
【0011】
【図1】通信システムの一例を示す図である。
【図2】MFP101のハードウェア構成の一例を示す図である。
【図3】MFP101のソフトウェア構成の一例を示す図である。
【図4】ネットワークに関する設定画面の一例を示す図である。
【図5】第1の実施形態におけるネットワークに関する設定画面の一例を示す図である。
【図6】第1の実施形態におけるMFP101の制御の一例を示すフローチャートである。
【図7】第2の実施形態におけるネットワークに関する設定画面の一例を示す図である。
【図8】第2の実施形態におけるMFP101の制御の一例を示すフローチャートである。
【図9】第3の実施形態におけるセキュリティポリシに関する設定画面の一例を示す図である。
【図10】第3の実施形態におけるMFP101の制御の一例を示すフローチャートである。
【図11】設定画面の変形例の一例を示す図である。
【発明を実施するための形態】
【0012】
以下、本発明を実施するための実施形態について図面を用いて説明する。なお、以下の実施の形態は特許請求の範囲に係る発明を限定するものではなく、また、実施の形態で説明されている特徴の組み合わせのすべてが発明の解決手段に必須のものとは限らない。
【0013】
<第1の実施形態>
まず、図1を用いて、本発明に係る通信システムの構成を説明する。本実施形態に係る通信システムには、MFP(Multi Function Peripheral)101、DNS(Domain Name System)サーバ102、メールサーバ103がネットワーク100を介して通信可能に接続されている。また、ファイルサーバ104、プリントサーバ105がネットワーク100を介して通信可能に接続されている。サーバ103~105には、DNSサーバ102で管理されるホスト名が割り振られている。また、MFP101は、ネットワーク100及び、WAN等を介してインターネット106上のDoH(DNS Over HTTPS)サーバ107やWebサーバ108と通信可能に接続されている。ネットワーク100は、例えば、社内や組織内等のローカルゾーンである。また、サーバ103~105は、ローカルゾーンのクライアント向けに提供されるサーバである。従って、サーバ103~105に対応するホスト名の名前解決はローカルゾーン内のDNSサーバでしか行うことができない。言い換えると、インターネット上に配置されているDoHサーバ107はローカルゾーンのホスト名(社内や組織内向けに運用されているホスト名)の名前解決を行えない。
まず、図1を用いて、本発明に係る通信システムの構成を説明する。本実施形態に係る通信システムには、MFP(Multi Function Peripheral)101、DNS(Domain Name System)サーバ102、メールサーバ103がネットワーク100を介して通信可能に接続されている。また、ファイルサーバ104、プリントサーバ105がネットワーク100を介して通信可能に接続されている。サーバ103~105には、DNSサーバ102で管理されるホスト名が割り振られている。また、MFP101は、ネットワーク100及び、WAN等を介してインターネット106上のDoH(DNS Over HTTPS)サーバ107やWebサーバ108と通信可能に接続されている。ネットワーク100は、例えば、社内や組織内等のローカルゾーンである。また、サーバ103~105は、ローカルゾーンのクライアント向けに提供されるサーバである。従って、サーバ103~105に対応するホスト名の名前解決はローカルゾーン内のDNSサーバでしか行うことができない。言い換えると、インターネット上に配置されているDoHサーバ107はローカルゾーンのホスト名(社内や組織内向けに運用されているホスト名)の名前解決を行えない。
【0014】
MFP101は、通信端末の一例である。本実施形態では、一例として印刷機能や原稿をスキャンして得られた画像を外部に送信する送信機能を有するMFPを例示しているがこれに限定されるものではない。IoTデバイス、パーソナルコンピューター、スマートフォンなどの通信装置に適用することもできる。
【0015】
MFP101は、スキャンして得られた画像に基づくデータ(スキャンデータとも呼ぶ)をファイルサーバに送信したり、メールに添付して送信したりする送信機能を有する。以降画像に基づくデータをメール送信やファイル送信を行う送信機能を単にSEND機能とも呼ぶ。
【0016】
また、MFP101は、プリントサーバ105にアクセスし、プリントサーバに蓄積された印刷データを受信して印刷するプルプリント機能を有する。また、MFP101はWebブラウザアプリケーションを有しており、Webサーバ108等から取得したWebコンテンツをMFP101の操作部116に表示することができる。
【0017】
SEND機能でデータを送信する際に、MFP101は、サーバのホスト名を指定した宛先を用いて送信を行う。また、MFP101は、データを添付したメールを送信する場合、メールサーバ103のホスト名を名前解決し、当該メールサーバ103と通信するためのIPアドレスを取得する。続けて当該IPアドレスを用いてメールサーバ103と通信を行って、メールを送信する。また、MFP101においてWebコンテンツを表示する場合、Webサーバ(例えば、Webサーバ108)のURLを入力して、Webコンテンツの取得先サーバの特定を行う。この際のホスト名の名前解決の方法については、後述する。
【0018】
<MFP101のハードウェア構成>
続けて、図2を用いて、MFP101について説明する。図2は、MFP101のハードウェア構成を示すブロック図である。MFP101はシート上の画像を読み取る読取機能、当該読み取った画像を外部の通信装置に送信可能なファイル送信機能などを有している。また、シートに画像を印刷する印刷機能も有する。
続けて、図2を用いて、MFP101について説明する。図2は、MFP101のハードウェア構成を示すブロック図である。MFP101はシート上の画像を読み取る読取機能、当該読み取った画像を外部の通信装置に送信可能なファイル送信機能などを有している。また、シートに画像を印刷する印刷機能も有する。
【0019】
CPU(Central Processing Unit)111を含む制御部110は、MFP101全体の動作を制御する。CPU111は、ROM(Read Only Memory)112又はストレージ114に記憶された制御プログラムを読み出して、印刷制御や読取制御などの各種制御を行う。ROM112は、CPU111で実行可能な制御プログラムを格納する。RAM(Random Access Memory)113は、CPU111がアクセスする主記憶メモリであり、ワークエリア又は各種制御プログラムを展開するための一時記憶領域として用いられる。ストレージ114は、印刷データ、画像データ、各種プログラム、及び各種設定情報を記憶する。このように、CPU111、ROM112、RAM113、ストレージ114等のハードウェアは、いわゆるコンピュータを構成している。
【0020】
なお、本実施形態のMFP101では、1つのCPU111が1つのメモリ(RAM113)を用いて後述するフローチャートに示す各処理を実行するものとするが、他の様態であっても構わない。例えば複数のプロセッサ、メモリ、及びストレージを協働させて後述するフローチャートに示す各処理を実行することもできる。また、ハードウェア回路を用いて一部の処理を実行するようにしてもよい。
【0021】
プリンタI/F(インタフェース)119は、プリンタ120(プリンタエンジン)と制御部110とを接続する。プリンタ120は、プリンタI/F119を介して入力された印刷データに基づいて、不図示の給紙カセットから給紙されたシートに画像を印刷する。印刷の方式はトナーを紙に転写して定着させる電子写真方式であってもよいし、紙にインクを吐出して印刷するインクジェット方式であってもよい。また、プリンタ120は造形材料を用いて3次元形状の出力物を生成する3Dプリンタであってもよい。この場合、印刷データは3D形状を示す印刷データとなり、トナーやインク等の色材に代えて造形材やサポート材を用いて3次元形状の出力物を生成する。
【0022】
スキャナI/F117は、スキャナ118と制御部110とを接続する。スキャナ118は、図示省略の原稿台に載置された原稿を読み取り、そして画像データを生成する。スキャナ118が生成した画像データは、プリンタ120で印刷されたり、ストレージ114に記憶されたり、ネットワークI/F121を介して外部装置に送信されたりする。
【0023】
操作部I/F115は、操作部116と制御部110とを接続する。操作部116には、タッチパネル機能を有する液晶表示部や各種ハードキーなどが備えられている。操作部116は、ユーザに情報を表示する表示部やユーザの指示を受け付ける受付部として機能する。CPU111は、操作部116と協働して情報の表示制御やユーザ操作の受け付け制御を行う。
【0024】
ネットワークI/F121には、ネットワークケーブルが接続され、ネットワーク100上やインターネット上の外部装置と通信を実行することができる。本実施形態では、ネットワークI/F121がイーサネット(登録商標)に準拠する有線通信を行う通信インタフェースである場合を想定しているがこれに限定されるものではない。例えば、IEEE802.11シリーズに準拠する無線通信インタフェースであってもよい。また、両方が無線通信インタフェースであってもよい。また、CDMA等の3G回線、LTEなどの4G回線、5G NRなどの移動体通信を行う通信インタフェースであってもよい。
【0025】
<MFP101のソフトウェア構成>
続けて、図3を用いて、MFP101のソフトウェア構成について説明する。なお、図3に示す各機能ブロックは、CPU111がRAM113に展開したプログラムを実行することにより実現するものとする。
続けて、図3を用いて、MFP101のソフトウェア構成について説明する。なお、図3に示す各機能ブロックは、CPU111がRAM113に展開したプログラムを実行することにより実現するものとする。
【0026】
OS(Operating System)1020は、コンピュータの基本的な制御を行うプログラムである。OS1020は、アプリケーションやミドルウェアのプロセスを管理する管理モジュール、ネットワーク通信を行うためのTCP/IPプロトコルスタックとして機能するモジュール機能、名前解決を行うためのOS標準DNSクライアント1021を含む。また、ミドルウェア1030は、OS1020の上位レイヤに位置するモジュール群である。ミドルウェア1030は、MFP101の動作設定を管理するモジュールや、名前解決を暗号化した通信経路で実行するためのDoH(DNS over HTTPS)クライアント1080を含む。また、MFP101は、紙面の都合上図示を省略している印刷を制御するモジュール等のミドルウェアも備えているものとする。アプリケーション1010は、OS1020上で動作するMFPの機能を実現するためのアプリケーション群である。
【0027】
まずMFP101が有するアプリケーション群について説明する。Webブラウザアプリケーション1010aは、ネットワーク上のWebサーバから取得したWebコンテンツを表示するWebブラウザである。SENDアプリケーション1010bはファイルサーバや、メールサーバ経由でスキャナ118を用いて原稿をスキャンして得られた画像に基づくデータを送信するアプリケーションである。SENDアプリケーション1010bは、スキャナ118で原稿を読み取って得られた画像に基づくファイルをユーザにより指定された送信宛先に送信することができる。送信宛先は図示省略の送信設定画面を介してユーザ操作により指定することができる。ユーザは、ファイルサーバやメールサーバのホスト名をFQDN(Fully Qualified Domain Name)の形式で入力することで宛先を指定する。送信設定画面を介して送信宛先が設定された後に、送信を開始するキーの選択を受け付けたことに従って、SENDアプリケーション1010aは原稿の読み取りをスキャナ118に依頼する。続けてSENDアプリケーション1010aは、原稿を読み取って得られた画像に基づくデータをユーザにより指定された送信宛先に送信する。なお、本実施形態では送信処理の一例としてFTP(File Transfer Protocol)やSFTP(SSH FTP)等の送信プロトコルを用いたファイル送信を想定している。また、SMTP(Simple Mail Transfer Protocol)を用いてメールサーバ103を経由したメール送信処理を行うことを想定している。しかしながら、これに限定されるものではなく、WebDAV(Web-based Distributed Authoring and Versioning)等の通信プロトコルを用いたファイル送信に適用することもできる。
【0028】
プルプリントアプリケーション1010bはプリントサーバ105に蓄積された印刷ジョブを受信し、印刷部120を介して印刷するプリントアプリケーションである。アプリケーション1010bは、ネットワーク100上のプリントサーバ105に対して印刷ジョブの問い合わせを行ったり、URL形式で指定されるジョブデータをクラウドサーバやクラウドストレージからダウンロードして印刷を行ったりする。これらの通信にもホスト名やURL(Uniform Resourse Locater)で指定された宛先と通信を行うことになる。なお、これらのアプリケーションが通信を行う際の名前解決やデータの送信処理は、ミドルウェア1030やOS1020と協働して行われる。
【0029】
このように、MFP101などの通信装置では、ファイルサーバへのアクセスなど、Webブラウザアプリケーション以外でもホスト名で指定された通信相手と通信を行うことがある。また、組織や会社などのセキュリティポリシによっては通信装置におけるホスト名の名前解決によりセキュアなDoHを使用することが推奨される場合がある。この場合、単体のアプリケーションの設定としてDoHを使用するか否かを設ける、アプリケーション側でDoHを使用するか否かを切り替えることも考えられるが、設定の手間がかかったり設定漏れが発生したりといった問題がある。
【0030】
本実施形態では、前記通信装置の動作設定として名前解決のために暗号化通信を使用するか否かを設定できるようにし、通信装置における名前解決の依頼先を適切に切り替える仕組みを提供する。
【0031】
図3の説明に戻り、OS1020はネットワーク通信を行うためのTCP/IPプロトコルスタックや、名前解決を行うためのOS標準DNSクライアント1021も含む。本実施形態では、DNSクライアント1021は、Linux(登録商標)システムにおける標準のDNSクライアントである場合を想定している。これらのクライアントを用いてドメイン名の名前解決を行う場合、「/etc/resolve.conf」に位置するファイルに対して、「nameserver “DNSサーバのIPアドレス“」といった記載を行ってDNSサーバを指定する。冗長化のため、利用するDNSサーバを複数指定することもできる。本実施形態では、DNSサーバ102のIPアドレスが設定されているものとして説明する。DNSクライアント1021は指定されたDNSサーバに対して平文で名前解決を依頼する機能を備える。
【0032】
続けてミドルウェア群1030の動作について説明する。設定値DB1050には通信設定を含むMFP101の動作設定が記憶される。通信設定には、各通信インタフェースの設定や、DNSに関する設定を示す設定を含む。DoHクライアント1080は、DoHをサポートするDoHサーバ107との間で暗号化された通信経を確立し、当該確立した通信路を経由したHTTP通信でサーバ107に名前解決を依頼する。
【0033】
DNS制御部1040は、設定画面を操作部116に表示し、管理者等のユーザから各種ネットワーク設定の変更を受け付けて設定値DB1050に格納する機能を有する。また、制御部1040は、DNS設定制御部1040aを有する。DNS設定制御部1040aは、設定値DB1050の値を参照し、DoHクライアント1080およびDNSクライアント1021の起動制御や動作設定制御を行う。また、DNS制御部1040は、アプリケーションから受け取ったホスト名の名前解決をDNSクライアント1021に依頼するか、DoHクライアント1080に依頼するかを判断する機能を備える。
【0034】
なお、制御部1040は、図示省略のWebサーバ機能と協働して、名前解決に関する設定を確認、変更するためのWebページを提供することもできる。この場合、管理者等のユーザは、PCなどのクライアントからMFP101が提供するWebページにアクセスし、名前解決に関する設定の変更を行うことができる。
【0035】
DNSサーバ自動取得部1070は、DNSサーバやDoHサーバのアドレスをDHCPサーバやIPv6ルータから取得する機能を有する。制御部1040は、取得部1070と協働して、DNSサーバのIPアドレスやDoHサーバのホスト名/IPアドレスをDHCPサーバやIPv6サーバから取得し、DNSの動作設定として保存する。DNSサーバ自動取得部1070はDNSサーバの自動取得が有効に設定された場合、ネットワークからDNSサーバの設定を取得する。自動取得部1070はDHCP(Dynamic Host Configuration Protocol)クライアントを含む。自動取得部1070のDHCPクライアントは、ネットワーク上のDHCPサーバに対して名前解決サーバを問い合わせるDHCPオプションを含む要求を送信して、DNSサーバやDoHサーバのアドレスを取得する。なお、プロトコルスタックとしてIPv6を採用する場合、RS(Router Solicitation)、RA(Router Advertisement)のやり取りで、DNSサーバやDoHサーバのアドレスを取得することもできる。
【0036】
<MFP101におけるDNSに関する動作設定>
制御部1040aが提供する画面を介したDNSに関する動作設定の一例について図4を用いて説明する。画面400は、MFP101の操作部116に表示される画面の一例である。
制御部1040aが提供する画面を介したDNSに関する動作設定の一例について図4を用いて説明する。画面400は、MFP101の操作部116に表示される画面の一例である。
【0037】
キー401aは、DoHを使用する動作設定を有効(ON)にする場合に使用するキーであり、キー401bは、DoHを使用する動作設定を無効(OFF)にする場合に使用するキーである。キー401a、401bはいずれか一方が有効にセットされ、他方は無効にセットされる。ここではDoHを名前解決に使用する動作設定が有効に設定されている場合を例示している。
【0038】
キー402aは、DHCPサーバや、RAなどからDoHサーバアドレスの自動取得を行う動作設定を有効(ON)にする場合に使用するキーである。一方、キー402bは、DoHサーバアドレスの自動取得を行う動作設定を無効(OFF)にする場合に使用するキーである。キー402a、402bはいずれか一方が有効にセットされ、他方は無効にセットされる。画面400では、自動取得を行う設定がなされている場合を例示している。
【0039】
領域403は、DoHサーバの設定を表示する領域である。また領域403は、キー401bが有効に設定され、自動取得が無効に設定された場合に、DoHサーバのホスト名やIPアドレスを手動設定する領域として機能する。この場合、ユーザは操作部116に表示される図示省略のソフトウェアキーボードを介してIPアドレスやホスト名を入力することで、DoHサーバアドレスを手動設定することができる。
【0040】
キー404は、DoHの例外設定を行う場合に使用するキーである。詳細は後述する。キー405a、405bは、平文で名前解決を行うDNSサーバのIPアドレスを自動取得するかどうかを切り替えるキーである。本実施形態では、自動取得を行う動作設定がなされている場合を例示している。領域407は、DNSサーバの設定を表示する領域である。当該領域407は自動取得が無効に設定された場合に、DNSサーバのIPアドレスを手動設定する領域としても機能する。制御部1040aは、画面400を介して設定操作がなされた後に、決定キーが押下されたことを検知すると、当該画面を介してなされた設定をMFP101の動作設定として設定値DB1050に記憶する。
【0041】
【0042】
MFP101のCPU111は、画面400のキー404が選択されたことを検知すると、操作部116に表示される画面を設定画面500に遷移する。画面500は、DoHクライアント1080による名前解決の例外を設定するための画面である。ユーザは、領域501に対するタッチ操作を行うことで、MFP101が備えるアプリケーションごとに、名前解決をDoHで行わない例外アプリケーションを設定することができる。ユーザは、当該画面を介した操作で、DoHから使用した名前解決の対象から除外するアプリケーションを指定することができる。本実施形態では、例外アプリケーションに、SENDアプリケーション1010bが設定されている場合を例示している。例えば、管理者等は、ユーザの利用実績を踏まえて、専らローカルゾーン上のサーバと通信するアプリケーションについては、DoHを使用しないようにすることができる。従って、インターネット上にローカルゾーン上でローカルゾーン向けにサービスを提供しているサーバのホスト名がDoHサーバ107に対して漏洩することを抑制できる。
【0043】
領域502は、DoHサーバに対する名前解決依頼の例外とすべきホスト名を明示的に指定する際に用いられる領域である。以降、DoHサーバに対する名前解決依頼の例外とすべきホスト名を単に例外ホスト名等とも呼ぶ。例外ホスト名を追加したい管理者は、追加キーを押下し、図示省略の入力画面を介して例外ホスト名を入力する。編集キーは既に登録済みの例外ホスト名を編集する場合に使用するキーである。削除キーは、領域502に対するタッチ操作で選択された1以上の登録済みの例外ホスト名を削除する場合に使用するキーである。なお、Web経由の画面を用いる場合、カンマ区切りで例外ホスト名を列挙したcsvファイルなどをインポートし、例外ホスト名を登録できるようにすることもできる。制御部1040aは、画面500を介して設定操作がなされた後に、決定キーが押下されたことを検知すると、当該画面を介してなされた設定をMFP101の動作設定として設定値DB1050に記憶する。
【0044】
図5を介したユーザ操作でなされた例外アプリケーションや例外ホスト名の設定は、MFP101の動作設定として設定値DB1050に格納される。図5(b)は図4、図5(A)を介してなされた名前解決に関する動作設定の一例である。領域502を介してなされた設定は、例外ホスト名を列挙したリスト構造のデータ(以降例外ホスト名リストとも呼ぶ)として格納される。DoHの設定は、DoHを使用するか否かを示す動作設定である。DNSプロバイダの設定は、MFP101が使用するDNSサーバのIPアドレスを示す設定である。DoHプロバイダは、MFP101が使用するDoHサーバのホスト名又はIPアドレスを示す設定である。例外アプリの設定は、DoHの例外とするアプリケーションの識別する識別情報としての名称を示す設定である。なお、設定値DB1050に記憶される情報は、アプリケーションを特定するためのアプリケーションを識別するIDなどであってもよい。当該設定は後述するフローチャートにて適宜参照される。
【0045】
具体的な制御について図6のフローチャートを用いて説明する。図6のフローチャートに示す各動作(ステップ)は、CPU111がROM112またはストレージ114に記憶された各制御モジュールを実現するためのプログラムをRAM113に呼び出し、実行することにより実現される。なお、データの送受信処理などは、ネットワークI/F121と協働して実現されるものとする。また、処理の主体を明確にしたいケースにおいては、CPU111により実行されるソフトウェアモジュールを主語として説明する。図6のフローチャートは、各種アプリケーションからホスト名等の名前解決の依頼がなされた場合に実行されるフローチャートである。
【0046】
S601において、DNS制御部1040は、設定値DB1050を参照し、DoHを使用する設定がなされているか否かを判定する。設定項目DoHに対応する設定値がONの場合、DoHを使用する設定がなされていると判断し、処理をS602に進める。設定項目DoHに対応する設定値がOFFの場合、DoHを使用する設定がなされていないと判断し、処理をS606に進める。
【0047】
S602において、制御部1040は、アプリケーションから名前解決を依頼された名前解決対象のホスト名が例外ホスト名リストに含まれているか否かを判断する。例外ホスト名リスト内に、名前解決が依頼されたホスト名に合致するホスト名が登録されている場合、処理をS606に進め、登録されていない場合、処理をS603に進める。
【0048】
S603において、制御部1040は、名前解決を依頼した依頼元のアプリケーションの種類を特定し、当該特定したアプリケーションの種類が例外アプリケーションとして指定されているか否かを判断する。当該特定したアプリケーションの種類が例外アプリケーションとして指定されている場合、処理をS606に進め、指定されていない場合、処理をS604に進める。S603で依頼元のアプリケーションを特定する具体的な手法としては以下の手法を採用することができる。例えば、ミドルウェア1030として機能する制御部1040は、名前解決を依頼する際に呼び出すべきAPI関数を各アプリケーションに対して提供する。このAPI関数は、アプリケーションを特定するための識別情報を引数として設定できるように構成される。各アプリケーションは当該API関数を呼び出す(即ち、名前解決を依頼する)際に、アプリケーションを識別する識別情報を引数に設定する。制御部1040は、当該引数を参照することで、依頼元のアプリケーションの種類を特定することができる。
【0049】
S604において、制御部1040は、DoHクライアント1080に対してアプリケーションから依頼された名前解決依頼を転送する。続けて、S605において、名前解決の依頼を受け付けたDoHクライアント1080は、暗号化通信を用いてDoHサーバ107に名前解決を依頼する。この際は、HTTPSの通信路で名前解決のための通信が行われるものとする。
【0050】
S608において、制御部1040は、名前解決の結果をDoHクライアント1080から受信し、当該名前解決の結果、IPアドレスが取得できたか否かを判断する。DoHサーバ107による名前解決の結果、ホスト名に対応するIPアドレスが取得できた場合、処理をS609に進め、ホスト名に対応するIPアドレスが取得できなかった場合、処理をS606に進める。例えば、制御部1040は、DoHサーバと通信が行えない場合やDoHサーバか受信した名前解決の結果が宛先を見つけられなかったことを示している場合、IPアドレスが取得できなかったと判定する。このS608の処理は、DoHで宛先が見つからなかった場合に平文による名前解決に遷移するフォールバックを実現するための処理である。
【0051】
S606において、制御部1040は、DNSクライアント1021に対して名前解決を依頼する。続けてS607において、DNSクライアント1021は、当該名前解決の依頼をDNSサーバ102に転送する。当該名前解決の依頼は前述したように平文で行われる。DNSサーバ102は、自身が管理しているドメイン名であれば、当該ドメインに対応するIPアドレスを応答し、そうでなければ、上位のDNSサーバに問合せを転送し、名前解決を行う。
【0052】
最後に、S609において、制御部1040は、S607又はS605で送信した名前解決の依頼に対する応答をS609に返す。以上説明した一連の処理により、例外アプリケーションの設定や、例外ホスト名の設定に基づいて、DoHによる名前解決を試行するか、DoHを試行することなく従来の平文による名前解決を行うかの通信制御を柔軟に切り替えることができるようになる。
【0053】
<第2の実施形態>
第1の実施形態では、アプリケーション毎にDoHを行うか否かを設定する場合を例示した。第2の実施形態では、プロトコル毎にDoHを行うか否かを設定する場合について説明する。なお、第2の実施形態におけるハードウェア構成及びソフトウェア構成は第1の実施形態と同様であるため、説明を省略する。
第1の実施形態では、アプリケーション毎にDoHを行うか否かを設定する場合を例示した。第2の実施形態では、プロトコル毎にDoHを行うか否かを設定する場合について説明する。なお、第2の実施形態におけるハードウェア構成及びソフトウェア構成は第1の実施形態と同様であるため、説明を省略する。
【0054】
図7は、第2の実施形態におけるDoHの例外設定を説明するための図である。図7(A)は、第1の実施形態の図5(A)に代えて表示される画面の一例である。図7(B)は第2の実施形態において設定値DB1050に記憶される設定値の一例である。
【0055】
MFP101のCPU111は、図4で説明した画面400のキー404が選択されたことを検知すると、操作部116に表示される画面を設定画面700に遷移する。領域702に示す例外ホスト名に関する設定は、第1の実施形態と同様であるため説明を省略する。
【0056】
領域701には、MFP101で使用される通信プロトコルが列挙される。ユーザは、当該領域701に対するタッチ操作を行うことで、例外とする通信プロトコルを設定することができる。ここでは、例外とする通信プロトコルに、SMBとFTP/SFTPが設定されている場合を例示している。例えば、管理者等は、ユーザの利用実績を踏まえて、専らローカルゾーン上のサーバと通信する際に用いられる通信プロトコルについては、DoHを使用しないようにすることができる。制御部1040aは、画面500を介して設定操作がなされた後に、決定キーが押下されたことを検知すると、当該画面を介してなされた設定をMFP101の動作設定として設定値DB1050に記憶する。図7(A)を介したユーザ操作でなされた例外アプリケーションや例外ホスト名の設定は、MFP101の動作設定として設定値DB1050に格納される。図7(B)は図4、図7(A)を介してなされた名前解決に関する動作設定の一例である。
【0057】
第2の実施形態における具体的な制御について図8のフローチャートを用いて説明する。図8のフローチャートに示す各動作(ステップ)は、CPU111がROM112またはストレージ114に記憶された各制御モジュールを実現するためのプログラムをRAM113に呼び出し、実行することにより実現される。なお、第1の実施形態と同様、データの送受信処理などは、ネットワークI/F121と協働して実現され、処理の主体を明確にしたいケースでは、ソフトウェアモジュールを主語として説明する。
【0058】
S801~S802は第1の実施形態のS601~S602と同様の処理のため説明を省略する。
【0059】
S803において、制御部1040は、名前解決を依頼されているホスト名に対応する通信プロトコルを特定し、当該通信プロトコルが例外プロトコルに指定されているか否かを判定する。例外プロトコルに指定されている場合、処理をS806に進め、指定されていない場合、処理をS804に進める。通信プロトコルの特定は第1の実施形態と同様の仕組みで、依頼元アプリケーションが引数に通信プロトコルの種類を設定した名前解決のためのAPI関数を呼び出し、制御部1040に通信プロトコルを通知するよう構成すればよい。
【0060】
以降のS804~S809のDoH又はDNSを用いた名前解決処理は第1の実施形態と同様であるため説明を省略する。
【0061】
以上説明したように、第2の実施形態では、例外プロトコルの設定や、例外ホスト名の設定に基づいて、DoHによる名前解決を試行するかDoHを試行することなく従来の平文による名前解決を行うかを柔軟に切り替えることができるようになる。
【0062】
<第3の実施形態>
第1の実施形態及び第2の実施形態では、DoHによる名前解決を行うか否かの設定をネットワークに関する設定画面を介して行う場合を例に説明した。ここで、MFP等の通信装置は、多種多様な設定を有しており、ネットワークに精通するネットワーク管理者等のユーザであっても設定漏れや設定ミスを行うことが考えられる。
第1の実施形態及び第2の実施形態では、DoHによる名前解決を行うか否かの設定をネットワークに関する設定画面を介して行う場合を例に説明した。ここで、MFP等の通信装置は、多種多様な設定を有しており、ネットワークに精通するネットワーク管理者等のユーザであっても設定漏れや設定ミスを行うことが考えられる。
【0063】
これを鑑み、MFP101には、ダイレクト接続などのネットワークの設定や認証ユーザのパスワードの桁数やロックアウトの設定など、セキュリティに関連する複数の設定を一括で変更するセキュリティポリシを設定する機能が設けられている。第3の実施形態では、第1の実施形態及び第2の実施形態で説明した設定制御に加え、セキュリティポリシを設定する画面を介して名前解決に暗号化を使用するか否かの設定変更を行えるようにする。以下具体的に説明する。
【0064】
図9は操作部116に表示されるセキュリティポリシを設定する画面900の一例である。本実施形態では、通信の運用ポリシを設定する画面から名前解決に暗号化通信を使用するか否かを設定できるようにしている。チェックボックス901は、名前解決に暗号化通信を使用する際に選択する表示アイテムである。また、ユーザは、図9を介して、その他の運用ポリシを設定することもできる。TLS通信時に必ずサーバ証明書を検証するといったポリシが設定された場合、自己署名証明書や有効期限の切れた証明書によるTLS通信を遮断する設定がなされる。また、プルプリントアプリケーション1010c等の個別設定についても、プリントサーバと通信を行う際の証明書の検証が必要な設定に変更される。また、サーバ機能で平文認証を禁止するポリシが設定された場合、平文認証や平文認証を使うサーバ機能の利用を一律禁止するよう、MFP101の複数の設定値が変更される。
【0065】
第3の実施形態における具体的な制御について図10のフローチャートを用いて説明する。図10のフローチャートに示す各動作(ステップ)は、CPU111がROM112またはストレージ114に記憶された各制御モジュールを実現するためのプログラムをRAM113に呼び出し、実行することにより実現される。なお、第1の実施形態と同様、データの送受信処理などは、ネットワークI/F121と協働して実現される。
【0066】
S1001において、CPU111はポリシの設定変更を反映するユーザ操作を受け付けたか否かを判断する。ポリシの設定変更を反映するユーザ操作を受け付けた場合、処理をS1002に進め、受け付けていない場合、設定変更を待ち受ける。ポリシの設定変更を反映するユーザ操作は、例えば画面900の決定キーを押下するユーザ操作である。
【0067】
S1002において、CPU111は、名前解決に暗号化通信を使用するポリシが指定されているか否かを判断する。名前解決に暗号化通信を使用するポリシが指定されている場合、処理をS1003に進め、指定されていない場合、処理をS1006に進める。
【0068】
S1003において、CPU111は、設定値DB1050に記憶される設定値をDoHを使用する動作設定に変更する。具体的には、CPU111は、DoHサーバアドレスの自動取得の設定が有効に設定するとともに、DoHを使用する設定を有効に変更する。また、図示省略のポートフィルタの設定も変更し、HTTPS通信に必要な443番ポートの通信を許容する設定に変更する。なお、本実施形態では、自動取得を有効にする場合を例示にしたがこれに限定されるものではない。既にDoHサーバのアドレスが手動入力されている場合、自動取得を有効とせずに、自動取得を無効とする設定を維持するよう制御にしてもよい。
【0069】
続けて、S1004において、CPU111は、現在の動作設定値でDoHサーバと通信可能であるか判断する。具体的にはDoHサーバとの間で暗号化通信路の確立を試行し、暗号化通信を確立できるかどうかを確認する。また、実際に当該DoHサーバによる名前解決が行えるか否かを試行し名前解決が行えた場合に、通信可能であると判断してもよい。
【0070】
通信可能であると判断した場合処理をS1006に進め、通信可能でないと判断した場合処理をS1005に進める。S1005において、CPU111は、操作部116にエラー画面を表示する。エラー画面にはエラーが発生した理由を示すエラーメッセージが表示される。また、当該エラー画面に、操作部116に表示する画面をDNS設定画面に遷移させるための表示アイテムを表示するように構成してもよい。この表示アイテムは、DoHサーバのアドレスが自動取得できなかったケースにおいて、ユーザがDoHサーバアドレスの手動設定を行う際に役立つ。
【0071】
S1006において、CPU111は、その他のポリシを有効に指定する操作を受け付けているか否かを判断する。その他のポリシを有効に指定する操作を受け付けている場合、処理をS1007に進める。一方、その他のポリシを有効に指定する操作を受け付けていない場合、一連の処理を終了する。
【0072】
S1007において、CPU111は、有効に指定されたその他のポリシに基づき、MFP101の動作設定値を変更し、一連の処理を終了する。
【0073】
以上説明した処理により、より簡単にMFP101の機能全体に波及するDoH設定を有効に切り替えることができるようになる。
【0074】
<変形例>
第1の実施形態の制御に加えて、第2の実施形態の制御を行うようにしてもよい。この場合、例外設定として、アプリケーション、通信プロトコル、ホスト名を管理者等が設定できるようになる。この場合、S603の判断ステップの後に、更にS803の判断ステップに示す判断処理を行うように構成すればよい。
第1の実施形態の制御に加えて、第2の実施形態の制御を行うようにしてもよい。この場合、例外設定として、アプリケーション、通信プロトコル、ホスト名を管理者等が設定できるようになる。この場合、S603の判断ステップの後に、更にS803の判断ステップに示す判断処理を行うように構成すればよい。
【0075】
また、第1乃至第2の実施形態では、DoHによる名前解決の例外とする例外アプリケーションや例外プロトコルを管理者等のユーザに選択させる場合を例示した。しかしながら、DoHを用いた名前解決を使用するか、従前の平文による名前解決を使用するかの設定方法は、適宜変形することができる。例えば、DoHによる名前解決を使用すべきアプリケーション又は通信プロトコルを選択させるようにすることができる。この場合、DoHによる名前解決を使用すべきアプリケーションを列挙した対象アプリケーションリストやDoHによる名前解決を使用すべき通信アプリケーションを列挙した対象プロトコルリストが設定値DB1050に記憶される。この場合、第1の実施形態のS603の処理に代えて、要求元のアプリケーションが当該対象アプリケーションリストに含まれているか否かを判断する処理を行う。要求元のアプリケーションが対象アプリケーションリストに含まれている場合、処理をS604に進め、含まれていない場合、処理をS606に進めるようにすればよい。第2の実施形態についても同様に、S803の処理に代えて、ホスト名に対応する通信プロトコルが対象プロトコルリストに含まれているか否かを判断する処理を行うようにすればよい。
【0076】
更に、図11に例示するように選択方法を変形するとこもできる。図11(A)及び(B)は画面500に代えて表示される変形例を示している。画面1100には、アプリケーション毎にDNSを使用するか、DoHを使用するかを択一で選択するための設定領域1101が表示される。ユーザは、当該画面を介してMFP101が有するアプリケーションごとにDoHを使用するかDNSを使用するかを決定することができる。MFP101の制御部1040は、当該画面を介してなされた設定に基づき、前述した例外アプリケーションリストを生成して、設定値DB1050に格納する。1101には、括弧書きでDNSが平文であること、DoHが暗号化であることが明確に示されている。従って管理者等のユーザは直感的に平文による名前解決を希望するか、DoHによるセキュリティの高い名前解決を希望するかをアプリケーション毎に異ならせることができる。
【0077】
更には、画面1110のように選択方法を変形することもできる。領域1111は、アプリケーション毎に主たる通信相手先を択一で選択される表示領域である。管理者は、MFP101が設置されているローカルゾーンが主な通信相手のアプリケーションについては、「イントラネット」を選択すればよい。例えば、管理者は、ローカルゾーンに設置されるプリントサーバ105と通信するプルプリントアプリケーションについては、ローカルゾーンを指定することができる。一方、管理者は、インターネット上のサーバが主たる通信相手のアプリケーションについては、「インターネット」を選択すればよい。
【0078】
また、画面1110には、主用途にイントラネットを指定した場合、DoHを使用する設定がなされていても、平文のDNSサーバでの名前解決を優先することを示すメッセージが表示される。
【0079】
当該選択方法に変形する場合、MFP101の制御部1040は、当該画面を介してなされた設定に基づき、主たる通信相手が「イントラネット」に指定されたアプリケーションを列挙した例外アプリケーションリストを生成し、設定値DB1050に格納する。
【0080】
なお、図11で説明した変形例は第2の実施形態に適用することもできる。この場合、MFP101で使用される各通信プロトコルに対する選択方法を、図11に例示した選択方法のように変形することができる。この場合に設定値DB1050に格納される例外プロトコルリストの生成方法などは例外アプリケーションリストの生成方法と同様であるため説明を省略する。
【0081】
最後に、本実施形態では、名前解決に暗号化通信を使用する方式の一例としてDoHを例示したがこれに限定されるものではない。通信路のみをTLSで暗号化し、当該通信路上に平文のDNSパケットを送信するDoT(DNS Over TLS)を使用する場合にも適用することができる。
【0082】
<その他の実施形態>
本発明は、上述の各実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASICやFPGA)によっても実現可能である。
本発明は、上述の各実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASICやFPGA)によっても実現可能である。
【符号の説明】
【0083】
101 MFP
111 CPU
121 ネットワークI/F
111 CPU
121 ネットワークI/F
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】