コンピュータシステム、及びジョブ制御方法
【課題】 サービスを提供するサーバ機器に異常が発生した場合であっても、適切に異常を排除する対応を進めながら、許容できる範囲でサービスを提供する。
【解決手段】 論理的な正常ネットワークと制限ネットワークとを設けて、制限ネットワークに接続したサーバ機器に対して検疫処理を実行する検疫ネットワークを有するコンピュータシステムであって、検疫ネット管理装置は、第1のサーバ機器と第2のサーバ機器におけるキューに関するデータを取得し、第1のサーバ機器に障害がある場合に、第1のサーバ機器のキューのジョブを第2のサーバ機器に転送するか否かを判断し、この判断結果に応じて、ジョブが第2のサーバ機器に転送された場合に、第1のサーバ機器に対する修復を実行させ、第1のサーバ機器は、ジョブを第2のサーバ機器に転送すると判断された場合に、ジョブを第2のサーバ機器に転送し、ジョブの転送後に修復を実行する。
【解決手段】 論理的な正常ネットワークと制限ネットワークとを設けて、制限ネットワークに接続したサーバ機器に対して検疫処理を実行する検疫ネットワークを有するコンピュータシステムであって、検疫ネット管理装置は、第1のサーバ機器と第2のサーバ機器におけるキューに関するデータを取得し、第1のサーバ機器に障害がある場合に、第1のサーバ機器のキューのジョブを第2のサーバ機器に転送するか否かを判断し、この判断結果に応じて、ジョブが第2のサーバ機器に転送された場合に、第1のサーバ機器に対する修復を実行させ、第1のサーバ機器は、ジョブを第2のサーバ機器に転送すると判断された場合に、ジョブを第2のサーバ機器に転送し、ジョブの転送後に修復を実行する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明の実施形態は、検疫ネットワークを含むコンピュータシステム、同ネットワークに接続されたサーバ装置のジョブ制御方法に関する。
【背景技術】
【0002】
近年、ウイルスやワームに感染したパーソナルコンピュータを、例えば社員が自覚のないまま社内ネットワークに持ち込んでしまうことを想定して、検疫ネットワークの運用が考えられている。検疫ネットワークは、社内ネットワークにアクセスしようとする全てのパーソナルコンピュータを、セキュリティの状態を確認するために用意した特別なネットワーク領域(例えば隔離ゾーン)に接続させる。隔離ゾーンのパーソナルコンピュータは、社内ネットワークとは論理的に切り離されている。この状態において、パーソナルコンピュータに対してセキュリティポリシーに合っているかどうかが確認される。例えば、ファイアウォール(ソフトウェア)が導入されているか、その検出用パターンファイルは最新か、禁止されているソフトウェアをインストールしていないか、またOSの最新修正プログラム(パッチ)を適用しているか、といった内容が確認される。また、パーソナルコンピュータがワームやウイルスに感染しているか調べ、必要があれば駆除する。そして、ワームやウイルスの駆除及び対処が完了したパーソナルコンピュータのみを社内ネットワークに接続できるようにする。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2010−287932号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
このように、検疫ネットワークを用いることにより、外部から持ち込まれるパーソナルコンピュータについては、安全な状態にあることを確認した後に、社内ネットワークに接続させることが可能となる。
【0005】
ところで、コンピュータシステムには、クライアントPCからの処理要求に対して、各種サービスを提供するサーバ機器が存在するものがある。サーバ機器については、例えば定期的に検査が行われて、セキュリティ上、正常な状態にあるかチェックされる。正常な状態にない場合には、前述したパーソナルコンピュータと同様に、例えば最新修正プログラム(パッチ)を適用するなどの検疫処理により正常な状態に修復される。また、想定外の異常設定が発覚した場合についても適切な検疫処理により修復される。
【0006】
サーバ機器の場合には、個人が使用するパーソナルコンピュータと異なり、クライアントPCからの処理要求に応じたジョブをキューに貯めている場合がある。従って、ジョブをキューに貯めている状態の場合に、修正処理が必要になるとサービスの提供に影響を及ぼしてしまう。
【0007】
特に、ゼロデイアタックに関わる緊急パッチの場合には、直ちに修正を施す必要があるため、サービスの提供を即時に停止して修正処理を実行する、あるいは修正処理が完了するまでサービスの提供を待機させるといった対応をとらなければならなかった。
【0008】
本発明が解決しようとする課題は、サービスを提供するサーバ機器に異常が発生した場合であっても、適切に異常を排除する対応を進めながら、許容できる範囲でサービスを提供することができるコンピュータシステム及びジョブ制御方法を提供することである。
【課題を解決するための手段】
【0009】
実施形態によれば、論理的な正常ネットワークと制限ネットワークとを設けて、前記制限ネットワークに接続したサーバ機器に対して検疫処理を実行する検疫ネットワークを有するコンピュータシステムであって、検疫ネット管理装置は、第1のサーバ機器と第2のサーバ機器におけるキューに関するデータを取得する取得手段と、前記第1のサーバ機器に障害がある場合に、前記第1のサーバ機器のキューのジョブを前記第2のサーバ機器に転送するか否かを判断する転送可否判断手段と、前記転送可否判断手段による判断結果に応じて、前記ジョブが前記第2のサーバ機器に転送された場合に、前記第1のサーバ機器に対する修復を実行させる修復実行指示手段とを有し、前記第1のサーバ機器は、前記転送可否判断手段により前記ジョブを前記第2のサーバ機器に転送すると判断された場合に、前記ジョブを前記第2のサーバ機器に転送する転送手段と、前記転送手段による前記ジョブの転送後に、前記修復実行指示手段からの指示に応じて修復を実行する修復実行指示手段とを有する。
【図面の簡単な説明】
【0010】
【図1】本実施形態のコンピュータシステムの構成を示すブロック図。
【図2】本実施形態における検疫ネットワークを説明するための図。
【図3】本実施形態のコンピュータシステム(検疫ネットワーク)における各装置の機能構成を示すブロック図。
【図4】本実施形態におけるMFP処理決定を示すフローチャート。
【図5】本実施形態における転送可否判断処理を説明するための図。
【図6】本実施形態における処理続行判定処理を説明するための図。
【図7】本実施形態における処理続行判定処理を説明するための図。
【図8】本実施形態におけるPOS処理決定を示すフローチャート。
【図9】本実施形態における転送可否判断処理を説明するための図。
【発明を実施するための形態】
【0011】
以下、本実施形態について、図面を参照しながら説明する。
図1は、本実施形態のコンピュータシステムの構成を示すブロック図である。図1に示すコンピュータシステムは、例えばオフィス内に構築されたシステムであり、複数のパーソナルコンピュータ14(14−1,…,14−m)、サーバ機器20,23(23−1,23−2,…,23−n)がネットワーク25を介して接続されている。また、検疫ネットワーク16を構成する検疫処理境界装置30、検疫ネット管理装置32、及び隔離機器修復装置34がネットワーク25を介して接続されている。
【0012】
パーソナルコンピュータ14(14−1,…,14−m)は、ネットワーク25を介して、サーバ機器20,23に対して、サーバ機器20,23が提供するサービスに対する処理要求を出力する。
【0013】
サーバ機器20,23(23−1,23−2,…,23−n)は、パーソナルコンピュータ14あるいは機器本体に設けられた操作部からの処理要求に応じたサービスを提供する。サーバ機器20,23は、複数のパーソナルコンピュータ14や操作部からの処理要求を受け付け、各処理要求に応じたジョブをキューにより管理して順次処理する。
【0014】
なお、本実施形態におけるサーバ機器20,23は、例えばMFP(Multi Function Peripheral)として説明する。サーバ機器(MFP)20,23は、データの制御や演算などの処理を行うプロセッサ(CPU:Central Processing Unit)と、プロセッサが処理するためのデータを一時的に記憶するRAM(Random Access Memory)と、処理プログラムなどを記憶するROM(Read Only Memory)と、ネットワーク25を介してデータを入出力するネットワークインタフェース(I/F)等を有している。
【0015】
サーバ機器20,23は、画像読み取りユニット、印刷ユニット、FAXユニットが設けられ、パーソナルコンピュータ14からの処理要求に応じて、プロセッサの制御のもとで、スキャナ機能、プリンタ機能、FAX機能によるサービスを提供する。例えば、サーバ機器20,23は、パーソナルコンピュータ14からの指示に応じて、スキャナ機能によって文書等が記録された紙媒体をスキャンして画像データ(スキャン画像)を読み取って出力したり、プリンタ機能により文書を印刷したりすることができる。また、FAX機能により文書をFAXにより送信することができる。
【0016】
サーバ機器20,23は、例えばオフィスの部署毎、フロア毎などに分散して配置されている。通常、社員は、パーソナルコンピュータ14から自分の席に近い場所に設置されたサーバ機器20,23の何れかを指定して処理要求を出力する。
【0017】
検疫処理境界装置30は、例えば無線AP、有線スイッチ、ゲートウェイサーバ等によって実現されるもので、検疫ネット管理装置32の制御のもとで、ネットワーク25に接続された機器(パーソナルコンピュータ14やサーバ機器20,23)を、論理的な正常ネットワーク(以下、セキュアゾーンとも称する)と制限ネットワーク(以下、隔離ゾーンとも称する)の何れかに接続する。検疫処理境界装置30は、隔離ゾーンに接続(隔離)された機器と検疫処理のための他の機器(検疫ネット管理装置32、隔離機器修復装置34、他の機器)との通信経路の切り替えを行なう。検疫処理境界装置30は、隔離ゾーンに接続(隔離)された機器について、検疫処理に必要なデータのみを他の機器と通信するよう制御する。
【0018】
検疫ネット管理装置32は、例えばNAP(Network Access Protection)サーバやActiveDirectory等により実現されるもので、検疫処理境界装置30及び隔離機器修復装置34を制御して検疫ネットワーク16を管理する。検疫ネット管理装置32は、ネットワーク25に接続されたサーバ機器20,23の検疫処理の対象とする状態検出、検疫処理の対象とする機器のセキュアゾーンから隔離ゾーンへの接続の切り替え、隔離ゾーンに接続(隔離)された機器に対する隔離機器修復装置34を介した修復等を制御する。また、本実施形態における検疫ネット管理装置32は、ネットワーク25に接続されたサーバ機器20,23からそれぞれのキュー(処理待ちのジョブ)に関するデータを取得する。検疫ネット管理装置32は、サーバ機器20,23のキューの状態をもとに、隔離ゾーンに接続(隔離)されたサーバ機器のジョブを他のサーバ機器に転送するための制御を行なう。
【0019】
隔離機器修復装置34は、隔離ゾーンに隔離された機器に対して、検疫ネット管理装置32からの指示に応じて検疫処理を実行し、セキュリティ上の異常を修復するための処理を実行する。隔離機器修復装置34は、検疫ネット管理装置32によって機器から検出された異常に応じた修復、例えば最新修正プログラム(パッチ)を適用する、ファイアウォールの検出用パターンファイルを最新にするといった対応をする。
【0020】
図2は、本実施形態における検疫ネットワーク16を説明するための図である。
検疫ネットワーク16は、検疫処理境界装置30と検疫ネット管理装置32によって、セキュアゾーン10と隔離ゾーン12とを構築する。なお、以下の説明では、サーバ機器20にセキュリティ上の脅威となる異常設定が検出され、検疫処理(修復)の対象となるものとする。以下、隔離対象サーバ機器20として説明する。
【0021】
検疫ネット管理装置32は、隔離対象サーバ機器20に異常が検出されたことにより、隔離対象サーバ機器20に対して検疫処理をするためにセキュアゾーン10から隔離ゾーン12へ接続を切り替えて、パーソナルコンピュータ14やサーバ機器23から隔離する。本実施形態の検疫ネットワーク16では、隔離対象サーバ機器20に対して検疫処理により修復をする際に、隔離対象サーバ機器20のキュー(処理待ちのジョブ)に対する処理のタイミングと修復するタイミングを調整する。ジョブの処理を優先する場合、隔離対象サーバ機器20のジョブは、セキュアゾーン10にあるサーバ機器群22から選択された何れかのサーバ機器23に転送され、転送先において実行される。その後、隔離機器修復装置34により隔離対象サーバ機器20に対する検疫処理(修復)が実行される。
【0022】
図3は、本実施形態のコンピュータシステム(検疫ネットワーク16)における各装置の機能構成を示すブロック図である。
図3に示すように、隔離対象サーバ機器20には、通常時ジョブ処理管理部40、ジョブ処理実行部41、緊急時ジョブ処理管理部42、緊急時ジョブ処理判定部43、及び修復実行処理部44の機能が設けられる。隔離対象サーバ機器20のプロセッサによりメモリに記録されたジョブ制御プログラムを実行することにより、通常時ジョブ処理管理部40、ジョブ処理実行部41、緊急時ジョブ処理管理部42、緊急時ジョブ処理判定部43が実現される。また、検疫プログラムを実行することで修復実行処理部44が実現される。
【0023】
通常時ジョブ処理管理部40は、通常時のパーソナルコンピュータ14から入力された処理要求に応じたジョブの処理を管理する。通常時ジョブ処理管理部40は、複数のパーソナルコンピュータ14からの処理要求をキューにより管理する。
【0024】
ジョブ処理実行部41は、通常時ジョブ処理管理部40の管理のもとで、パーソナルコンピュータ14から入力された処理要求に応じたジョブ(例えば、プリンタ機能による文書の印刷、スキャナ機能による文書のスキャン等)を実行する。
【0025】
緊急時ジョブ処理管理部42は、検疫ネット管理装置32により隔離対象サーバ機器20からセキュリティ上の異常が検出された場合に、緊急時ジョブ処理判定部43による処理判定に応じて、通常時ジョブ処理管理部40により管理されているジョブについて、検疫処理(修復)前にジョブを実行する、検疫処理(修復)後にジョブを実行する、あるいはジョブの実行を中止するかを制御する。
【0026】
緊急時ジョブ処理判定部43は、隔離対象サーバ機器20が隔離ゾーン12に隔離された場合に、通常時ジョブ処理管理部40により管理されたジョブの内容(例えば、処理データの機密度など)や検疫ネット管理装置32の転送判断処理部52による判断結果(例えば、ジョブ転送先機器の有無、ジョブ転送先の負荷状況)に応じて、通常時ジョブ処理管理部40により管理されたジョブに対する処理を判定する。すなわち検疫処理(修復)前にジョブを実行する、検疫処理(修復)後にジョブを実行する、あるいはジョブの実行を中止するかを判定する。
【0027】
修復実行処理部44は、通常時ジョブ処理管理部40により管理されたジョブに対する取り扱いが決定された後、隔離機器修復装置34からから指示される修復処理を実行する。
【0028】
また、検疫ネット管理装置32には、サービス中央制御管理部50、転送判断情報管理部51、転送判断処理部52、及び修復実行指示部53の機能が設けられる。
【0029】
サービス中央制御管理部50は、検疫処理の対象とする異常が検出された隔離対象サーバ機器20に対して、キュー(処理待ちのジョブ)に対する処理のタイミングと修復するタイミングを調整するための制御を行なう。サービス中央制御管理部50は、転送判断情報管理部51と転送判断処理部52により、隔離対象サーバ機器20のジョブ転送を制御し、修復実行指示部53により隔離対象サーバ機器20の修復を制御する。サービス中央制御管理部50は、ネットワーク25を介して接続された隔離対象サーバ機器20及びサーバ機器23(通常時ジョブ処理管理部)のそれぞれからキュー(処理待ちのジョブ)に関するデータを取得して、転送判断情報管理部51に提供する。キュー(処理待ちのジョブ)に関するデータには、処理待ちのジョブの処理内容やデータサイズが含まれる。
【0030】
転送判断情報管理部51は、サービス中央制御管理部50により隔離対象サーバ機器20及びサーバ機器23から取得されたキュー(処理待ちのジョブ)に関するデータを管理する。
【0031】
転送判断処理部52は、転送判断情報管理部51により管理されたデータをもとに、隔離対象サーバ機器20が管理するキューのジョブを他のサーバ機器23に転送するタイミングを判断し、隔離対象サーバ機器20の緊急時ジョブ処理判定部43を通じてジョブの転送処理を実行させる。
【0032】
修復実行指示部53は、サービス中央制御管理部50の制御のもとで、隔離機器修復装置34に対して隔離対象サーバ機器20の修復実行を指示する。
【0033】
また、サーバ機器23は、隔離対象サーバ機器20のジョブの転送先として検疫ネット管理装置32により選択されたもので、通常時ジョブ処理管理部60、ジョブ処理実行部61が設けられる。
なお、ジョブの転送通常時ジョブ処理管理部60とジョブ処理実行部61は、それぞれ隔離対象サーバ機器20の通常時ジョブ処理管理部40、ジョブ処理実行部41に相当し、基本的に同様の機能を有している。ただし、通常時ジョブ処理管理部60は、隔離対象サーバ機器20の通常時ジョブ処理管理部40からジョブが転送されると、他のパーソナルコンピュータ14等から入力された処理要求に応じたジョブと同様にキューにより管理して、ジョブ処理実行部61により処理させる。
【0034】
次に、本実施形態におけるコンピュータシステムの動作について説明する。
図4は、本実施形態における隔離対象サーバ機器20(MFP)のキュー(処理待ちのジョブ)に対する処理のタイミングと修復するタイミングを調整するためのMFP処理決定を示すフローチャートである。隔離対象サーバ機器20は、前述したようにMFPであり、ネットワーク25を介して接続された複数のパーソナルコンピュータ14(14−1,…,14−m)から、文書の印刷等の処理要求(ジョブ)が入力される。
【0035】
検疫ネット管理装置32は、ネットワーク25に接続された隔離対象サーバ機器20、サーバ機器23を監視し、セキュリティ上の異常が発生していないかチェックしている。ここで、検疫ネット管理装置32は、隔離対象サーバ機器20の異常を検出すると、検疫処理境界装置30及び検疫ネット管理装置32に、隔離対象サーバ機器20の修復指示を送信する(ステップB1)。
【0036】
また、検疫ネット管理装置32は、隔離対象サーバ機器20に対して、対象処理(ジョブ)が制御下にあるかをチェックするよう指示する(ステップB2)。緊急時ジョブ処理判定部43は、検疫ネット管理装置32からの指示に応じて、通常時ジョブ処理管理部40によりキューのジョブが制御されているかを判別する。
【0037】
ここで、制御不能であると判別された場合(ステップB3、No)、緊急時ジョブ処理判定部43は、隔離対象サーバ機器20を再起動するようMFP処理決定処理を中止する(ステップB4)。これにより、通常時ジョブ処理管理部40により管理されていたキューは全てフラッシュ(無効)される。すなわち、検疫ネット管理装置32により異常が検出され、制御不能となった状態においては、予測不能の障害発生を回避するため、ジョブの実行を断念して強制的に処理を終了する。
【0038】
一方、制御可能であると判別された場合(ステップB3、Yes)、緊急時ジョブ処理判定部43は、検疫ネット管理装置32に通知する。検疫ネット管理装置32は、検疫処理境界装置30に対して、隔離対象サーバ機器20を隔離ゾーン12に隔離するよう指示する。また、検疫ネット管理装置32は、隔離対象サーバ機器20(緊急時ジョブ処理判定部43)に対して、隔離対象サーバ機器20のジョブの転送先候補となるサーバ機器23に関するデータを送信する。
【0039】
検疫処理境界装置30は、検疫ネット管理装置32からの指示に応じて、隔離対象サーバ機器20を論理的なセキュアゾーン10から隔離ゾーン12に接続を切り替える。
【0040】
隔離対象サーバ機器20の緊急時ジョブ処理判定部43は、隔離ゾーン12に接続が切り替えられると、通常時ジョブ処理管理部40のキューにあるジョブが対象とするデータの機密度(重要度)をチェックして、予め決められた基準値より高いかを判定する(ステップB6)。
【0041】
例えば、隔離対象サーバ機器20のプリンタ機能によって文書を印刷するジョブの場合、印刷対象とする文書の機密度をチェックする。文書の機密度は、例えば文書中に文字列やすかしデータなどによって5段階で示されているものとする。あるいは、文書印刷の処理要求時に利用者が機密度(例えば5段階)を指定するようにしても良い。緊急時ジョブ処理判定部43は、例えば機密度が4以上であった場合に機密度が高いと判定する。
【0042】
ここで、ジョブの対象とするデータの機密度が高いと判定された場合(ステップB7、No)、緊急時ジョブ処理判定部43は、ジョブを他のサーバ機器23に転送できないものとしてMFP処理決定処理を中止する(ステップB4)。すなわち、隔離対象サーバ機器20にセキュリティ上の問題がある状態でジョブを他のサーバ機器23に転送した場合、このサーバ機器23において実行されたジョブが正常に実行されず、例えば機密度の高い文書が転送先で記録されたり、外部に出力されるといった不正な処理が実行されることを回避する。また、隔離対象サーバ機器20においても正常ではないため機密度が高い文書に対するジョブを実行しない。
【0043】
一方、ジョブの対象とするデータの機密度が低いと判定された場合(ステップB7、Yes)、緊急時ジョブ処理判定部43は、検疫ネット管理装置32から受信したジョブの転送先候補となるサーバ機器23に関するデータをもとに、転送先候補が存在するか判別する。すなわち、セキュアゾーン10に隔離対象サーバ機器20のジョブを代替して実行可能なサーバ機器23が存在しているかを判別する。ここで、隔離対象サーバ機器20と同一のサーバ機器23である必要はなく、ジョブを代替して実行可能であれば良い。
【0044】
ここで、ジョブの転送先候補が複数存在する場合には、緊急時ジョブ処理判定部43は、所定の条件に従って転送先とするサーバ機器23を選択する。例えば、隔離対象サーバ機器20に対して予め決められたサーバ機器23(設置場所が近いなど)や、複数のサーバ機器23に対して予め決められた順番(ローテーション)のサーバ機器23、あるいは負荷が少ない(キューのジョブが少ない)状態にあるサーバ機器23などを選択する。
【0045】
転送先候補が存在する場合には(ステップB9、Yes)、検疫ネット管理装置32の転送判断処理部52は、緊急時ジョブ処理判定部43により選択されたサーバ機器23を対象として転送可否判断処理を実行する(ステップB10)。転送可否判断処理では、通常時ジョブ処理管理部40によりキューで管理されているジョブを、サーバ機器23に転送して実行させるか、あるいはジョブの転送をしないでそのまま隔離対象サーバ機器20において実行させるかを判断する。ここでは、ジョブの処理が完了するまでに要する時間に基づいて判断する。
【0046】
例えば、転送判断処理部52は、対象とするジョブについて、図5(a)に示すように、隔離対象サーバ機器20において実行した場合に要する時間と、図5(b)に示すように、サーバ機器23に転送して実行した場合に要する時間とを比較する。
【0047】
図5(a)では、隔離対象サーバ機器20において実行した場合に要する時間として、例えば、対象とするジョブの前にあるキュー(他のジョブ)の処理に要する推定処理時間と、対象とするジョブ単体の実行に要する単体処理時間と、予め設定された許容時間パラメータ(パラメータk(単位:時間))とを加算して求める。ジョブ単体の実行に要する単体処理時間は、処理内容とデータサイズに基づいて算出される。許容時間パラメータは、ジョブを転送することで増大する処理時間に対する許容可能な時間が設定される。ここで、推定処理時間と単体処理時間の合計をT1、許容時間パラメータが示す時間をkとする。
【0048】
図5(b)では、サーバ機器23に転送して実行した場合に要する時間として、例えば、転送先のサーバ機器23で管理されている転送したジョブの前に処理待ちとなっているキュー(他のジョブ)の処理に要する推定処理時間と、隔離対象サーバ機器20からサーバ機器23へのジョブ転送に要する推定転送時間と、対象とするジョブ単体の実行に要する単体処理時間とを加算して求める。推定転送時間は、転送先としてサーバ機器23が選択された際にスループット情報を収集しておき、この情報をもとに算出することができる。ここで、推定処理時間と推定転送時間と単体処理時間の合計をT2とする。
【0049】
転送判断処理部52は、(T1+k)<T2である場合には、ジョブを転送しないで隔離対象サーバ機器20で実行するものと判断し、(T1+k)>=T2である場合には、ジョブを転送してサーバ機器23で実行するものと判断する。
【0050】
本来、隔離対象サーバ機器20に異常が発生しているために直ちに検疫処理(修復)に移行すべきであるため、許容時間を考慮した時間内で転送先でジョブを実行可能であればジョブを転送するものと判断する。
【0051】
転送判断処理部52は、ジョブを転送すると判断した場合(ステップB11、Yes)、緊急時ジョブ処理判定部43に通知する。緊急時ジョブ処理管理部42は、通常時ジョブ処理管理部40により管理されている対象とするジョブを、転送先として選択しているサーバ機器23(通常時ジョブ処理管理部60)に転送する(ステップB12)。
【0052】
サービス中央制御管理部50は、隔離対象サーバ機器20によりジョブの転送が終了した後、修復実行指示部53を通じて、隔離対象サーバ機器20に対する異常に応じた検疫処理(修復)を指示する。隔離機器修復装置34は、修復実行指示部53からの指示に応じて、隔離対象サーバ機器20に生じている異常に応じた修復、例えば最新修正プログラム(パッチ)を適用するなどの処理を修復実行処理部44により実行させる。修復実行処理部44は、隔離機器修復装置34の制御のもとで修復を実行する。
【0053】
一方、転送判断処理部52は、ジョブを転送しないと判断した場合(ステップB11、No)、処理続行判定処理を実行する(ステップB13)。処理続行判定処理では、通常時ジョブ処理管理部40によりキューで管理されているジョブを、修復前に処理するか、修復後に処理するか、あるいは処理を中止するかを、ジョブの処理にかかる予想時間とジョブに対して設定されている隔離処理時専用(緊急時)処理時間期待限度値(以下、期待限度値)及び処理続行フラグに基づいて判定する。期待限度値と処理続行フラグは、例えばジョブの処理対象とする処理データに含めるようにしても良いし、予め検疫ネット管理装置32の管理者が予め設定しておくようにしても良い。
【0054】
期待限度値は、ジョブ処理に要する時間の許容限度を示すものである。期待限度値は、処理要求時に利用者が指定しても良いし、通常時の処理時間期待値Tなどのデータを既に記録している場合には、この処理時間期待値Tに固定値を加算した値(T+600(sec)など)により代替させても良い。また、処理続行フラグは、ジョブの処理を続行すると期待限度値が示す時間を越える場合に、ジョブの処理を続行させるか、あるいは処理中止とするかを示す。
【0055】
例えば、通常時ジョブ処理管理部40には、図6に示すように、ジョブが管理されているものとする。すなわち、キューにはジョブA,B,C,D,E,F,Gが存在している。転送判断処理部52は、ジョブA,B,C,D,E,F,Gのそれぞれの単体処理時間ta,tb,tc,td,te,tf,tgをもとに、各ジョブA〜Gの処理に掛かる予想時間を算出する。
【0056】
図7(a)に示すように、ジョブEを対象とした場合、ジョブEを処理するまでに要する予想時間Tは、キューのジョブEまでの各ジョブの単体処理時間ta,tb,tc,td,teの合計となる。転送判断処理部52は、予想時間Tと、ジョブEに対して設定されている期待限度値Teとを比較する。
【0057】
その結果、T<Teである場合には、期待限度値Teが示す時間が経過する前にジョブの処理が完了すると予想されるため、修復前にジョブの処理を実行するものと判定する(ステップB14(Yes)、ステップB15、(ステップB16(Yes))。
【0058】
また、T>=Teであり、処理続行フラグがジョブの処理を続行を示す場合、修復後にジョブの処理を実行するものと判定する(ステップB14(Yes)、ステップB15、(ステップB16(No))。図7(b)では、ジョブEについての処理続行フラグが「○」である(ジョブの処理を続行を示す)ため、ジョブEについては修復後にジョブEを実行する。
【0059】
また、T>=Teであり、処理続行フラグがジョブの処理中止を示す場合、ジョブの処理を中止するものと判定する(ステップB14、No)。
【0060】
修復前にジョブの処理を実行するものと判定した場合(ステップB16、Yes)、緊急時ジョブ処理管理部42は、通常時ジョブ処理管理部40により該当するジョブをジョブ処理実行部41により実行させる(ステップB19)。ジョブの処理が完了すると、緊急時ジョブ処理判定部43から検疫ネット管理装置32に通知される。
【0061】
検疫ネット管理装置32(サービス中央制御管理部50)は、隔離対象サーバ機器20によりジョブの処理が終了した後、修復実行指示部53を通じて、隔離対象サーバ機器20に対する異常に応じた検疫処理(修復)を隔離機器修復装置34に指示する。隔離機器修復装置34は、修復実行指示部53からの指示に応じて、隔離対象サーバ機器20に生じている異常に応じた修復を修復実行処理部44により実行させる(ステップB20)。修復実行処理部44は、隔離機器修復装置34の制御のもとで修復を実行する。
【0062】
また、修復後にジョブの処理を実行するものと判定した場合(ステップB16、No)、緊急時ジョブ処理管理部42は、通常時ジョブ処理管理部40により該当するジョブを一時保存させる。ジョブは、信頼のおけるところ(セキュア)に保存されるものとする。例えば、TPM機構やセキュリティHDD等を用いることができる。
【0063】
検疫ネット管理装置32(サービス中央制御管理部50)は、隔離対象サーバ機器20によりジョブが保存されると、修復実行指示部53を通じて、隔離対象サーバ機器20に対する異常に応じた検疫処理(修復)を隔離機器修復装置34に指示する。隔離機器修復装置34は、修復実行指示部53からの指示に応じて、隔離対象サーバ機器20に生じている異常に応じた修復を修復実行処理部44により実行させる(ステップB17)。
【0064】
修復実行処理部44による修復が完了すると、通常時ジョブ処理管理部40により、一時保存したジョブを元の状態に戻した(正常化)後、このジョブの処理をジョブ処理実行部41により実行させる。
【0065】
このようにして、転送可否判断処理と処理続行判定処理の結果に応じて、隔離対象サーバ機器20のキュー(処理待ちのジョブ)に対する処理のタイミングと修復するタイミングを調整することで、セキュリティ上の異常を排除する対応を進めながら、許容できる範囲でジョブの処理を実行してサービス提供を継続することができる。
【0066】
なお、前述した説明では、転送可否判断処理、処理続行判定処理を検疫ネット管理装置32(転送判断処理部52)において実行するものとして説明しているが、これらの処理を隔離対象サーバ機器20(緊急時ジョブ処理判定部43)によって実行するものとしても良い。隔離対象サーバ機器20の緊急時ジョブ処理判定部43は、処理に必要な他のサーバ機器23のジョブに関するデータ等を検疫ネット管理装置32から取得して、前述と同様の処理を実行すれば良い。
【0067】
また、前述した説明では、サーバ機器20,23をMFPとして説明しており、ジョブの処理内容や処理対象とするデータサイズがジョブ毎に異なるため、前述した単体処理時間や期待限度値などがジョブ毎に異なっている。これに対して、ジョブの処理対象とするデータのサイズが均一で即応性が求められるコンピュータシステムでは、前述した処理を簡略化して実行することができる。例えば、POS(Point of Sales)システムでは、処理データが同一サイズであり、即応性が重視されるシステムである。以下、POSシステムを対象とした場合について説明する。
【0068】
図8は、本実施形態におけるPOSシステムを対象とした場合の隔離対象サーバ機器20のキューに対する処理のタイミングと修復するタイミングを調整するためのPOS処理決定を示すフローチャートである。例えば、隔離対象サーバ機器20は、店舗サーバであり、ネットワーク25を介して接続された複数のPOS端末(パーソナルコンピュータ14(14−1,…,14−m))から売り上げ情報などを含むPOSデータが入力される。
【0069】
図8に示すステップA1〜A5の処理は、図4に示すMFP処理決定処理のステップB1〜B5と同様にして実行される(詳細な説明を省略する)。POSシステムでは、データが均一であり重要度(機密度)にも違いがないため、図4のフローチャートにおける機密度に関する処理は省略できる。
【0070】
また、ステップA6〜A7,A10〜A12の処理は、図4に示すMFP処理決定処理のステップB8〜B12と同様にして実行される(詳細な説明を省略する)。ただし、POSシステムでは、ジョブのデータが均一(同セル化、同サイズ)であるため、転送可否判断処理における判断を簡略化することができる。すなわち、キューの順番に対して固定の閾値kを設定し、この閾値kと対象とするジョブのキューの順番とを単純に比較して判断する。
【0071】
例えば、通常時ジョブ処理管理部40には、図9に示すように、キューにはジョブA,B,C,D,E,F,Gが存在している。ここで、図9に示すように、閾値kが設定されているものとすると、この閾値kと対象とするジョブ(例えば、ジョブE)とを比較し、対象ジョブのキュー(先頭から j番目) j < k ならば隔離対象サーバ機器20においてジョブを処理し(ステップA11、No)、j >= k ならば(ステップA11、Yes)、他のPOSシステムへジョブを転送すると判定する。
【0072】
ステップA8,A9の処理は、図4に示すMFP処理決定処理のステップB17,B18と同様にして実行される(詳細な説明を省略する)。
【0073】
なお、POSシステムでは、即応性が重視されるため修復処理が完了した後にジョブの処理を続行することはしないものとして、転送先候補が存在しない場合(ステップA7、Yes)、及び転送可否判断処理によって転送不可と判断された場合には(ステップA11、No)、ジョブの処理を終了させるようにしても良い。
【0074】
このようにして、POSシステムのようなデータを扱うシステムでは、より簡略化した処理によって、セキュリティ上の異常を排除する対応を進めながら、許容できる範囲でジョブの処理を実行してサービス提供を継続することができる。
【0075】
また、本発明は上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組み合せてもよい。
【0076】
また、前述した実施の形態において記載した処理は、コンピュータに実行させることのできるプログラムとして、例えば磁気ディスク(フレキシブルディスク、ハードディスク等)、光ディスク(CD−ROM、DVD等)、半導体メモリなどの記録媒体に書き込んで各種装置に提供することができる。また、通信媒体により伝送して各種装置に提供することも可能である。コンピュータは、記録媒体に記録されたプログラムを読み込み、または通信媒体を介してプログラムを受信し、このプログラムによって動作が制御されることにより、上述した処理を実行する。
【符号の説明】
【0077】
10…セキュアゾーン、12…隔離ゾーン、20…隔離対象サーバ機器、23(23−1,23−2,…,23−n)…サーバ機器、30…検疫処理境界装置、32…検疫ネット管理装置、34…隔離機器修復装置、40…通常時ジョブ処理管理部、41…ジョブ処理実行部、42…緊急時ジョブ処理管理部、43…緊急時ジョブ処理判定部、44…修復実行処理部、50…サービス中央制御管理部、51…転送判断情報管理部、52…転送判断処理部、53…修復実行指示部、60…通常時ジョブ処理管理部、61…ジョブ処理実行部。
【技術分野】
【0001】
本発明の実施形態は、検疫ネットワークを含むコンピュータシステム、同ネットワークに接続されたサーバ装置のジョブ制御方法に関する。
【背景技術】
【0002】
近年、ウイルスやワームに感染したパーソナルコンピュータを、例えば社員が自覚のないまま社内ネットワークに持ち込んでしまうことを想定して、検疫ネットワークの運用が考えられている。検疫ネットワークは、社内ネットワークにアクセスしようとする全てのパーソナルコンピュータを、セキュリティの状態を確認するために用意した特別なネットワーク領域(例えば隔離ゾーン)に接続させる。隔離ゾーンのパーソナルコンピュータは、社内ネットワークとは論理的に切り離されている。この状態において、パーソナルコンピュータに対してセキュリティポリシーに合っているかどうかが確認される。例えば、ファイアウォール(ソフトウェア)が導入されているか、その検出用パターンファイルは最新か、禁止されているソフトウェアをインストールしていないか、またOSの最新修正プログラム(パッチ)を適用しているか、といった内容が確認される。また、パーソナルコンピュータがワームやウイルスに感染しているか調べ、必要があれば駆除する。そして、ワームやウイルスの駆除及び対処が完了したパーソナルコンピュータのみを社内ネットワークに接続できるようにする。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2010−287932号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
このように、検疫ネットワークを用いることにより、外部から持ち込まれるパーソナルコンピュータについては、安全な状態にあることを確認した後に、社内ネットワークに接続させることが可能となる。
【0005】
ところで、コンピュータシステムには、クライアントPCからの処理要求に対して、各種サービスを提供するサーバ機器が存在するものがある。サーバ機器については、例えば定期的に検査が行われて、セキュリティ上、正常な状態にあるかチェックされる。正常な状態にない場合には、前述したパーソナルコンピュータと同様に、例えば最新修正プログラム(パッチ)を適用するなどの検疫処理により正常な状態に修復される。また、想定外の異常設定が発覚した場合についても適切な検疫処理により修復される。
【0006】
サーバ機器の場合には、個人が使用するパーソナルコンピュータと異なり、クライアントPCからの処理要求に応じたジョブをキューに貯めている場合がある。従って、ジョブをキューに貯めている状態の場合に、修正処理が必要になるとサービスの提供に影響を及ぼしてしまう。
【0007】
特に、ゼロデイアタックに関わる緊急パッチの場合には、直ちに修正を施す必要があるため、サービスの提供を即時に停止して修正処理を実行する、あるいは修正処理が完了するまでサービスの提供を待機させるといった対応をとらなければならなかった。
【0008】
本発明が解決しようとする課題は、サービスを提供するサーバ機器に異常が発生した場合であっても、適切に異常を排除する対応を進めながら、許容できる範囲でサービスを提供することができるコンピュータシステム及びジョブ制御方法を提供することである。
【課題を解決するための手段】
【0009】
実施形態によれば、論理的な正常ネットワークと制限ネットワークとを設けて、前記制限ネットワークに接続したサーバ機器に対して検疫処理を実行する検疫ネットワークを有するコンピュータシステムであって、検疫ネット管理装置は、第1のサーバ機器と第2のサーバ機器におけるキューに関するデータを取得する取得手段と、前記第1のサーバ機器に障害がある場合に、前記第1のサーバ機器のキューのジョブを前記第2のサーバ機器に転送するか否かを判断する転送可否判断手段と、前記転送可否判断手段による判断結果に応じて、前記ジョブが前記第2のサーバ機器に転送された場合に、前記第1のサーバ機器に対する修復を実行させる修復実行指示手段とを有し、前記第1のサーバ機器は、前記転送可否判断手段により前記ジョブを前記第2のサーバ機器に転送すると判断された場合に、前記ジョブを前記第2のサーバ機器に転送する転送手段と、前記転送手段による前記ジョブの転送後に、前記修復実行指示手段からの指示に応じて修復を実行する修復実行指示手段とを有する。
【図面の簡単な説明】
【0010】
【図1】本実施形態のコンピュータシステムの構成を示すブロック図。
【図2】本実施形態における検疫ネットワークを説明するための図。
【図3】本実施形態のコンピュータシステム(検疫ネットワーク)における各装置の機能構成を示すブロック図。
【図4】本実施形態におけるMFP処理決定を示すフローチャート。
【図5】本実施形態における転送可否判断処理を説明するための図。
【図6】本実施形態における処理続行判定処理を説明するための図。
【図7】本実施形態における処理続行判定処理を説明するための図。
【図8】本実施形態におけるPOS処理決定を示すフローチャート。
【図9】本実施形態における転送可否判断処理を説明するための図。
【発明を実施するための形態】
【0011】
以下、本実施形態について、図面を参照しながら説明する。
図1は、本実施形態のコンピュータシステムの構成を示すブロック図である。図1に示すコンピュータシステムは、例えばオフィス内に構築されたシステムであり、複数のパーソナルコンピュータ14(14−1,…,14−m)、サーバ機器20,23(23−1,23−2,…,23−n)がネットワーク25を介して接続されている。また、検疫ネットワーク16を構成する検疫処理境界装置30、検疫ネット管理装置32、及び隔離機器修復装置34がネットワーク25を介して接続されている。
【0012】
パーソナルコンピュータ14(14−1,…,14−m)は、ネットワーク25を介して、サーバ機器20,23に対して、サーバ機器20,23が提供するサービスに対する処理要求を出力する。
【0013】
サーバ機器20,23(23−1,23−2,…,23−n)は、パーソナルコンピュータ14あるいは機器本体に設けられた操作部からの処理要求に応じたサービスを提供する。サーバ機器20,23は、複数のパーソナルコンピュータ14や操作部からの処理要求を受け付け、各処理要求に応じたジョブをキューにより管理して順次処理する。
【0014】
なお、本実施形態におけるサーバ機器20,23は、例えばMFP(Multi Function Peripheral)として説明する。サーバ機器(MFP)20,23は、データの制御や演算などの処理を行うプロセッサ(CPU:Central Processing Unit)と、プロセッサが処理するためのデータを一時的に記憶するRAM(Random Access Memory)と、処理プログラムなどを記憶するROM(Read Only Memory)と、ネットワーク25を介してデータを入出力するネットワークインタフェース(I/F)等を有している。
【0015】
サーバ機器20,23は、画像読み取りユニット、印刷ユニット、FAXユニットが設けられ、パーソナルコンピュータ14からの処理要求に応じて、プロセッサの制御のもとで、スキャナ機能、プリンタ機能、FAX機能によるサービスを提供する。例えば、サーバ機器20,23は、パーソナルコンピュータ14からの指示に応じて、スキャナ機能によって文書等が記録された紙媒体をスキャンして画像データ(スキャン画像)を読み取って出力したり、プリンタ機能により文書を印刷したりすることができる。また、FAX機能により文書をFAXにより送信することができる。
【0016】
サーバ機器20,23は、例えばオフィスの部署毎、フロア毎などに分散して配置されている。通常、社員は、パーソナルコンピュータ14から自分の席に近い場所に設置されたサーバ機器20,23の何れかを指定して処理要求を出力する。
【0017】
検疫処理境界装置30は、例えば無線AP、有線スイッチ、ゲートウェイサーバ等によって実現されるもので、検疫ネット管理装置32の制御のもとで、ネットワーク25に接続された機器(パーソナルコンピュータ14やサーバ機器20,23)を、論理的な正常ネットワーク(以下、セキュアゾーンとも称する)と制限ネットワーク(以下、隔離ゾーンとも称する)の何れかに接続する。検疫処理境界装置30は、隔離ゾーンに接続(隔離)された機器と検疫処理のための他の機器(検疫ネット管理装置32、隔離機器修復装置34、他の機器)との通信経路の切り替えを行なう。検疫処理境界装置30は、隔離ゾーンに接続(隔離)された機器について、検疫処理に必要なデータのみを他の機器と通信するよう制御する。
【0018】
検疫ネット管理装置32は、例えばNAP(Network Access Protection)サーバやActiveDirectory等により実現されるもので、検疫処理境界装置30及び隔離機器修復装置34を制御して検疫ネットワーク16を管理する。検疫ネット管理装置32は、ネットワーク25に接続されたサーバ機器20,23の検疫処理の対象とする状態検出、検疫処理の対象とする機器のセキュアゾーンから隔離ゾーンへの接続の切り替え、隔離ゾーンに接続(隔離)された機器に対する隔離機器修復装置34を介した修復等を制御する。また、本実施形態における検疫ネット管理装置32は、ネットワーク25に接続されたサーバ機器20,23からそれぞれのキュー(処理待ちのジョブ)に関するデータを取得する。検疫ネット管理装置32は、サーバ機器20,23のキューの状態をもとに、隔離ゾーンに接続(隔離)されたサーバ機器のジョブを他のサーバ機器に転送するための制御を行なう。
【0019】
隔離機器修復装置34は、隔離ゾーンに隔離された機器に対して、検疫ネット管理装置32からの指示に応じて検疫処理を実行し、セキュリティ上の異常を修復するための処理を実行する。隔離機器修復装置34は、検疫ネット管理装置32によって機器から検出された異常に応じた修復、例えば最新修正プログラム(パッチ)を適用する、ファイアウォールの検出用パターンファイルを最新にするといった対応をする。
【0020】
図2は、本実施形態における検疫ネットワーク16を説明するための図である。
検疫ネットワーク16は、検疫処理境界装置30と検疫ネット管理装置32によって、セキュアゾーン10と隔離ゾーン12とを構築する。なお、以下の説明では、サーバ機器20にセキュリティ上の脅威となる異常設定が検出され、検疫処理(修復)の対象となるものとする。以下、隔離対象サーバ機器20として説明する。
【0021】
検疫ネット管理装置32は、隔離対象サーバ機器20に異常が検出されたことにより、隔離対象サーバ機器20に対して検疫処理をするためにセキュアゾーン10から隔離ゾーン12へ接続を切り替えて、パーソナルコンピュータ14やサーバ機器23から隔離する。本実施形態の検疫ネットワーク16では、隔離対象サーバ機器20に対して検疫処理により修復をする際に、隔離対象サーバ機器20のキュー(処理待ちのジョブ)に対する処理のタイミングと修復するタイミングを調整する。ジョブの処理を優先する場合、隔離対象サーバ機器20のジョブは、セキュアゾーン10にあるサーバ機器群22から選択された何れかのサーバ機器23に転送され、転送先において実行される。その後、隔離機器修復装置34により隔離対象サーバ機器20に対する検疫処理(修復)が実行される。
【0022】
図3は、本実施形態のコンピュータシステム(検疫ネットワーク16)における各装置の機能構成を示すブロック図である。
図3に示すように、隔離対象サーバ機器20には、通常時ジョブ処理管理部40、ジョブ処理実行部41、緊急時ジョブ処理管理部42、緊急時ジョブ処理判定部43、及び修復実行処理部44の機能が設けられる。隔離対象サーバ機器20のプロセッサによりメモリに記録されたジョブ制御プログラムを実行することにより、通常時ジョブ処理管理部40、ジョブ処理実行部41、緊急時ジョブ処理管理部42、緊急時ジョブ処理判定部43が実現される。また、検疫プログラムを実行することで修復実行処理部44が実現される。
【0023】
通常時ジョブ処理管理部40は、通常時のパーソナルコンピュータ14から入力された処理要求に応じたジョブの処理を管理する。通常時ジョブ処理管理部40は、複数のパーソナルコンピュータ14からの処理要求をキューにより管理する。
【0024】
ジョブ処理実行部41は、通常時ジョブ処理管理部40の管理のもとで、パーソナルコンピュータ14から入力された処理要求に応じたジョブ(例えば、プリンタ機能による文書の印刷、スキャナ機能による文書のスキャン等)を実行する。
【0025】
緊急時ジョブ処理管理部42は、検疫ネット管理装置32により隔離対象サーバ機器20からセキュリティ上の異常が検出された場合に、緊急時ジョブ処理判定部43による処理判定に応じて、通常時ジョブ処理管理部40により管理されているジョブについて、検疫処理(修復)前にジョブを実行する、検疫処理(修復)後にジョブを実行する、あるいはジョブの実行を中止するかを制御する。
【0026】
緊急時ジョブ処理判定部43は、隔離対象サーバ機器20が隔離ゾーン12に隔離された場合に、通常時ジョブ処理管理部40により管理されたジョブの内容(例えば、処理データの機密度など)や検疫ネット管理装置32の転送判断処理部52による判断結果(例えば、ジョブ転送先機器の有無、ジョブ転送先の負荷状況)に応じて、通常時ジョブ処理管理部40により管理されたジョブに対する処理を判定する。すなわち検疫処理(修復)前にジョブを実行する、検疫処理(修復)後にジョブを実行する、あるいはジョブの実行を中止するかを判定する。
【0027】
修復実行処理部44は、通常時ジョブ処理管理部40により管理されたジョブに対する取り扱いが決定された後、隔離機器修復装置34からから指示される修復処理を実行する。
【0028】
また、検疫ネット管理装置32には、サービス中央制御管理部50、転送判断情報管理部51、転送判断処理部52、及び修復実行指示部53の機能が設けられる。
【0029】
サービス中央制御管理部50は、検疫処理の対象とする異常が検出された隔離対象サーバ機器20に対して、キュー(処理待ちのジョブ)に対する処理のタイミングと修復するタイミングを調整するための制御を行なう。サービス中央制御管理部50は、転送判断情報管理部51と転送判断処理部52により、隔離対象サーバ機器20のジョブ転送を制御し、修復実行指示部53により隔離対象サーバ機器20の修復を制御する。サービス中央制御管理部50は、ネットワーク25を介して接続された隔離対象サーバ機器20及びサーバ機器23(通常時ジョブ処理管理部)のそれぞれからキュー(処理待ちのジョブ)に関するデータを取得して、転送判断情報管理部51に提供する。キュー(処理待ちのジョブ)に関するデータには、処理待ちのジョブの処理内容やデータサイズが含まれる。
【0030】
転送判断情報管理部51は、サービス中央制御管理部50により隔離対象サーバ機器20及びサーバ機器23から取得されたキュー(処理待ちのジョブ)に関するデータを管理する。
【0031】
転送判断処理部52は、転送判断情報管理部51により管理されたデータをもとに、隔離対象サーバ機器20が管理するキューのジョブを他のサーバ機器23に転送するタイミングを判断し、隔離対象サーバ機器20の緊急時ジョブ処理判定部43を通じてジョブの転送処理を実行させる。
【0032】
修復実行指示部53は、サービス中央制御管理部50の制御のもとで、隔離機器修復装置34に対して隔離対象サーバ機器20の修復実行を指示する。
【0033】
また、サーバ機器23は、隔離対象サーバ機器20のジョブの転送先として検疫ネット管理装置32により選択されたもので、通常時ジョブ処理管理部60、ジョブ処理実行部61が設けられる。
なお、ジョブの転送通常時ジョブ処理管理部60とジョブ処理実行部61は、それぞれ隔離対象サーバ機器20の通常時ジョブ処理管理部40、ジョブ処理実行部41に相当し、基本的に同様の機能を有している。ただし、通常時ジョブ処理管理部60は、隔離対象サーバ機器20の通常時ジョブ処理管理部40からジョブが転送されると、他のパーソナルコンピュータ14等から入力された処理要求に応じたジョブと同様にキューにより管理して、ジョブ処理実行部61により処理させる。
【0034】
次に、本実施形態におけるコンピュータシステムの動作について説明する。
図4は、本実施形態における隔離対象サーバ機器20(MFP)のキュー(処理待ちのジョブ)に対する処理のタイミングと修復するタイミングを調整するためのMFP処理決定を示すフローチャートである。隔離対象サーバ機器20は、前述したようにMFPであり、ネットワーク25を介して接続された複数のパーソナルコンピュータ14(14−1,…,14−m)から、文書の印刷等の処理要求(ジョブ)が入力される。
【0035】
検疫ネット管理装置32は、ネットワーク25に接続された隔離対象サーバ機器20、サーバ機器23を監視し、セキュリティ上の異常が発生していないかチェックしている。ここで、検疫ネット管理装置32は、隔離対象サーバ機器20の異常を検出すると、検疫処理境界装置30及び検疫ネット管理装置32に、隔離対象サーバ機器20の修復指示を送信する(ステップB1)。
【0036】
また、検疫ネット管理装置32は、隔離対象サーバ機器20に対して、対象処理(ジョブ)が制御下にあるかをチェックするよう指示する(ステップB2)。緊急時ジョブ処理判定部43は、検疫ネット管理装置32からの指示に応じて、通常時ジョブ処理管理部40によりキューのジョブが制御されているかを判別する。
【0037】
ここで、制御不能であると判別された場合(ステップB3、No)、緊急時ジョブ処理判定部43は、隔離対象サーバ機器20を再起動するようMFP処理決定処理を中止する(ステップB4)。これにより、通常時ジョブ処理管理部40により管理されていたキューは全てフラッシュ(無効)される。すなわち、検疫ネット管理装置32により異常が検出され、制御不能となった状態においては、予測不能の障害発生を回避するため、ジョブの実行を断念して強制的に処理を終了する。
【0038】
一方、制御可能であると判別された場合(ステップB3、Yes)、緊急時ジョブ処理判定部43は、検疫ネット管理装置32に通知する。検疫ネット管理装置32は、検疫処理境界装置30に対して、隔離対象サーバ機器20を隔離ゾーン12に隔離するよう指示する。また、検疫ネット管理装置32は、隔離対象サーバ機器20(緊急時ジョブ処理判定部43)に対して、隔離対象サーバ機器20のジョブの転送先候補となるサーバ機器23に関するデータを送信する。
【0039】
検疫処理境界装置30は、検疫ネット管理装置32からの指示に応じて、隔離対象サーバ機器20を論理的なセキュアゾーン10から隔離ゾーン12に接続を切り替える。
【0040】
隔離対象サーバ機器20の緊急時ジョブ処理判定部43は、隔離ゾーン12に接続が切り替えられると、通常時ジョブ処理管理部40のキューにあるジョブが対象とするデータの機密度(重要度)をチェックして、予め決められた基準値より高いかを判定する(ステップB6)。
【0041】
例えば、隔離対象サーバ機器20のプリンタ機能によって文書を印刷するジョブの場合、印刷対象とする文書の機密度をチェックする。文書の機密度は、例えば文書中に文字列やすかしデータなどによって5段階で示されているものとする。あるいは、文書印刷の処理要求時に利用者が機密度(例えば5段階)を指定するようにしても良い。緊急時ジョブ処理判定部43は、例えば機密度が4以上であった場合に機密度が高いと判定する。
【0042】
ここで、ジョブの対象とするデータの機密度が高いと判定された場合(ステップB7、No)、緊急時ジョブ処理判定部43は、ジョブを他のサーバ機器23に転送できないものとしてMFP処理決定処理を中止する(ステップB4)。すなわち、隔離対象サーバ機器20にセキュリティ上の問題がある状態でジョブを他のサーバ機器23に転送した場合、このサーバ機器23において実行されたジョブが正常に実行されず、例えば機密度の高い文書が転送先で記録されたり、外部に出力されるといった不正な処理が実行されることを回避する。また、隔離対象サーバ機器20においても正常ではないため機密度が高い文書に対するジョブを実行しない。
【0043】
一方、ジョブの対象とするデータの機密度が低いと判定された場合(ステップB7、Yes)、緊急時ジョブ処理判定部43は、検疫ネット管理装置32から受信したジョブの転送先候補となるサーバ機器23に関するデータをもとに、転送先候補が存在するか判別する。すなわち、セキュアゾーン10に隔離対象サーバ機器20のジョブを代替して実行可能なサーバ機器23が存在しているかを判別する。ここで、隔離対象サーバ機器20と同一のサーバ機器23である必要はなく、ジョブを代替して実行可能であれば良い。
【0044】
ここで、ジョブの転送先候補が複数存在する場合には、緊急時ジョブ処理判定部43は、所定の条件に従って転送先とするサーバ機器23を選択する。例えば、隔離対象サーバ機器20に対して予め決められたサーバ機器23(設置場所が近いなど)や、複数のサーバ機器23に対して予め決められた順番(ローテーション)のサーバ機器23、あるいは負荷が少ない(キューのジョブが少ない)状態にあるサーバ機器23などを選択する。
【0045】
転送先候補が存在する場合には(ステップB9、Yes)、検疫ネット管理装置32の転送判断処理部52は、緊急時ジョブ処理判定部43により選択されたサーバ機器23を対象として転送可否判断処理を実行する(ステップB10)。転送可否判断処理では、通常時ジョブ処理管理部40によりキューで管理されているジョブを、サーバ機器23に転送して実行させるか、あるいはジョブの転送をしないでそのまま隔離対象サーバ機器20において実行させるかを判断する。ここでは、ジョブの処理が完了するまでに要する時間に基づいて判断する。
【0046】
例えば、転送判断処理部52は、対象とするジョブについて、図5(a)に示すように、隔離対象サーバ機器20において実行した場合に要する時間と、図5(b)に示すように、サーバ機器23に転送して実行した場合に要する時間とを比較する。
【0047】
図5(a)では、隔離対象サーバ機器20において実行した場合に要する時間として、例えば、対象とするジョブの前にあるキュー(他のジョブ)の処理に要する推定処理時間と、対象とするジョブ単体の実行に要する単体処理時間と、予め設定された許容時間パラメータ(パラメータk(単位:時間))とを加算して求める。ジョブ単体の実行に要する単体処理時間は、処理内容とデータサイズに基づいて算出される。許容時間パラメータは、ジョブを転送することで増大する処理時間に対する許容可能な時間が設定される。ここで、推定処理時間と単体処理時間の合計をT1、許容時間パラメータが示す時間をkとする。
【0048】
図5(b)では、サーバ機器23に転送して実行した場合に要する時間として、例えば、転送先のサーバ機器23で管理されている転送したジョブの前に処理待ちとなっているキュー(他のジョブ)の処理に要する推定処理時間と、隔離対象サーバ機器20からサーバ機器23へのジョブ転送に要する推定転送時間と、対象とするジョブ単体の実行に要する単体処理時間とを加算して求める。推定転送時間は、転送先としてサーバ機器23が選択された際にスループット情報を収集しておき、この情報をもとに算出することができる。ここで、推定処理時間と推定転送時間と単体処理時間の合計をT2とする。
【0049】
転送判断処理部52は、(T1+k)<T2である場合には、ジョブを転送しないで隔離対象サーバ機器20で実行するものと判断し、(T1+k)>=T2である場合には、ジョブを転送してサーバ機器23で実行するものと判断する。
【0050】
本来、隔離対象サーバ機器20に異常が発生しているために直ちに検疫処理(修復)に移行すべきであるため、許容時間を考慮した時間内で転送先でジョブを実行可能であればジョブを転送するものと判断する。
【0051】
転送判断処理部52は、ジョブを転送すると判断した場合(ステップB11、Yes)、緊急時ジョブ処理判定部43に通知する。緊急時ジョブ処理管理部42は、通常時ジョブ処理管理部40により管理されている対象とするジョブを、転送先として選択しているサーバ機器23(通常時ジョブ処理管理部60)に転送する(ステップB12)。
【0052】
サービス中央制御管理部50は、隔離対象サーバ機器20によりジョブの転送が終了した後、修復実行指示部53を通じて、隔離対象サーバ機器20に対する異常に応じた検疫処理(修復)を指示する。隔離機器修復装置34は、修復実行指示部53からの指示に応じて、隔離対象サーバ機器20に生じている異常に応じた修復、例えば最新修正プログラム(パッチ)を適用するなどの処理を修復実行処理部44により実行させる。修復実行処理部44は、隔離機器修復装置34の制御のもとで修復を実行する。
【0053】
一方、転送判断処理部52は、ジョブを転送しないと判断した場合(ステップB11、No)、処理続行判定処理を実行する(ステップB13)。処理続行判定処理では、通常時ジョブ処理管理部40によりキューで管理されているジョブを、修復前に処理するか、修復後に処理するか、あるいは処理を中止するかを、ジョブの処理にかかる予想時間とジョブに対して設定されている隔離処理時専用(緊急時)処理時間期待限度値(以下、期待限度値)及び処理続行フラグに基づいて判定する。期待限度値と処理続行フラグは、例えばジョブの処理対象とする処理データに含めるようにしても良いし、予め検疫ネット管理装置32の管理者が予め設定しておくようにしても良い。
【0054】
期待限度値は、ジョブ処理に要する時間の許容限度を示すものである。期待限度値は、処理要求時に利用者が指定しても良いし、通常時の処理時間期待値Tなどのデータを既に記録している場合には、この処理時間期待値Tに固定値を加算した値(T+600(sec)など)により代替させても良い。また、処理続行フラグは、ジョブの処理を続行すると期待限度値が示す時間を越える場合に、ジョブの処理を続行させるか、あるいは処理中止とするかを示す。
【0055】
例えば、通常時ジョブ処理管理部40には、図6に示すように、ジョブが管理されているものとする。すなわち、キューにはジョブA,B,C,D,E,F,Gが存在している。転送判断処理部52は、ジョブA,B,C,D,E,F,Gのそれぞれの単体処理時間ta,tb,tc,td,te,tf,tgをもとに、各ジョブA〜Gの処理に掛かる予想時間を算出する。
【0056】
図7(a)に示すように、ジョブEを対象とした場合、ジョブEを処理するまでに要する予想時間Tは、キューのジョブEまでの各ジョブの単体処理時間ta,tb,tc,td,teの合計となる。転送判断処理部52は、予想時間Tと、ジョブEに対して設定されている期待限度値Teとを比較する。
【0057】
その結果、T<Teである場合には、期待限度値Teが示す時間が経過する前にジョブの処理が完了すると予想されるため、修復前にジョブの処理を実行するものと判定する(ステップB14(Yes)、ステップB15、(ステップB16(Yes))。
【0058】
また、T>=Teであり、処理続行フラグがジョブの処理を続行を示す場合、修復後にジョブの処理を実行するものと判定する(ステップB14(Yes)、ステップB15、(ステップB16(No))。図7(b)では、ジョブEについての処理続行フラグが「○」である(ジョブの処理を続行を示す)ため、ジョブEについては修復後にジョブEを実行する。
【0059】
また、T>=Teであり、処理続行フラグがジョブの処理中止を示す場合、ジョブの処理を中止するものと判定する(ステップB14、No)。
【0060】
修復前にジョブの処理を実行するものと判定した場合(ステップB16、Yes)、緊急時ジョブ処理管理部42は、通常時ジョブ処理管理部40により該当するジョブをジョブ処理実行部41により実行させる(ステップB19)。ジョブの処理が完了すると、緊急時ジョブ処理判定部43から検疫ネット管理装置32に通知される。
【0061】
検疫ネット管理装置32(サービス中央制御管理部50)は、隔離対象サーバ機器20によりジョブの処理が終了した後、修復実行指示部53を通じて、隔離対象サーバ機器20に対する異常に応じた検疫処理(修復)を隔離機器修復装置34に指示する。隔離機器修復装置34は、修復実行指示部53からの指示に応じて、隔離対象サーバ機器20に生じている異常に応じた修復を修復実行処理部44により実行させる(ステップB20)。修復実行処理部44は、隔離機器修復装置34の制御のもとで修復を実行する。
【0062】
また、修復後にジョブの処理を実行するものと判定した場合(ステップB16、No)、緊急時ジョブ処理管理部42は、通常時ジョブ処理管理部40により該当するジョブを一時保存させる。ジョブは、信頼のおけるところ(セキュア)に保存されるものとする。例えば、TPM機構やセキュリティHDD等を用いることができる。
【0063】
検疫ネット管理装置32(サービス中央制御管理部50)は、隔離対象サーバ機器20によりジョブが保存されると、修復実行指示部53を通じて、隔離対象サーバ機器20に対する異常に応じた検疫処理(修復)を隔離機器修復装置34に指示する。隔離機器修復装置34は、修復実行指示部53からの指示に応じて、隔離対象サーバ機器20に生じている異常に応じた修復を修復実行処理部44により実行させる(ステップB17)。
【0064】
修復実行処理部44による修復が完了すると、通常時ジョブ処理管理部40により、一時保存したジョブを元の状態に戻した(正常化)後、このジョブの処理をジョブ処理実行部41により実行させる。
【0065】
このようにして、転送可否判断処理と処理続行判定処理の結果に応じて、隔離対象サーバ機器20のキュー(処理待ちのジョブ)に対する処理のタイミングと修復するタイミングを調整することで、セキュリティ上の異常を排除する対応を進めながら、許容できる範囲でジョブの処理を実行してサービス提供を継続することができる。
【0066】
なお、前述した説明では、転送可否判断処理、処理続行判定処理を検疫ネット管理装置32(転送判断処理部52)において実行するものとして説明しているが、これらの処理を隔離対象サーバ機器20(緊急時ジョブ処理判定部43)によって実行するものとしても良い。隔離対象サーバ機器20の緊急時ジョブ処理判定部43は、処理に必要な他のサーバ機器23のジョブに関するデータ等を検疫ネット管理装置32から取得して、前述と同様の処理を実行すれば良い。
【0067】
また、前述した説明では、サーバ機器20,23をMFPとして説明しており、ジョブの処理内容や処理対象とするデータサイズがジョブ毎に異なるため、前述した単体処理時間や期待限度値などがジョブ毎に異なっている。これに対して、ジョブの処理対象とするデータのサイズが均一で即応性が求められるコンピュータシステムでは、前述した処理を簡略化して実行することができる。例えば、POS(Point of Sales)システムでは、処理データが同一サイズであり、即応性が重視されるシステムである。以下、POSシステムを対象とした場合について説明する。
【0068】
図8は、本実施形態におけるPOSシステムを対象とした場合の隔離対象サーバ機器20のキューに対する処理のタイミングと修復するタイミングを調整するためのPOS処理決定を示すフローチャートである。例えば、隔離対象サーバ機器20は、店舗サーバであり、ネットワーク25を介して接続された複数のPOS端末(パーソナルコンピュータ14(14−1,…,14−m))から売り上げ情報などを含むPOSデータが入力される。
【0069】
図8に示すステップA1〜A5の処理は、図4に示すMFP処理決定処理のステップB1〜B5と同様にして実行される(詳細な説明を省略する)。POSシステムでは、データが均一であり重要度(機密度)にも違いがないため、図4のフローチャートにおける機密度に関する処理は省略できる。
【0070】
また、ステップA6〜A7,A10〜A12の処理は、図4に示すMFP処理決定処理のステップB8〜B12と同様にして実行される(詳細な説明を省略する)。ただし、POSシステムでは、ジョブのデータが均一(同セル化、同サイズ)であるため、転送可否判断処理における判断を簡略化することができる。すなわち、キューの順番に対して固定の閾値kを設定し、この閾値kと対象とするジョブのキューの順番とを単純に比較して判断する。
【0071】
例えば、通常時ジョブ処理管理部40には、図9に示すように、キューにはジョブA,B,C,D,E,F,Gが存在している。ここで、図9に示すように、閾値kが設定されているものとすると、この閾値kと対象とするジョブ(例えば、ジョブE)とを比較し、対象ジョブのキュー(先頭から j番目) j < k ならば隔離対象サーバ機器20においてジョブを処理し(ステップA11、No)、j >= k ならば(ステップA11、Yes)、他のPOSシステムへジョブを転送すると判定する。
【0072】
ステップA8,A9の処理は、図4に示すMFP処理決定処理のステップB17,B18と同様にして実行される(詳細な説明を省略する)。
【0073】
なお、POSシステムでは、即応性が重視されるため修復処理が完了した後にジョブの処理を続行することはしないものとして、転送先候補が存在しない場合(ステップA7、Yes)、及び転送可否判断処理によって転送不可と判断された場合には(ステップA11、No)、ジョブの処理を終了させるようにしても良い。
【0074】
このようにして、POSシステムのようなデータを扱うシステムでは、より簡略化した処理によって、セキュリティ上の異常を排除する対応を進めながら、許容できる範囲でジョブの処理を実行してサービス提供を継続することができる。
【0075】
また、本発明は上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組み合せてもよい。
【0076】
また、前述した実施の形態において記載した処理は、コンピュータに実行させることのできるプログラムとして、例えば磁気ディスク(フレキシブルディスク、ハードディスク等)、光ディスク(CD−ROM、DVD等)、半導体メモリなどの記録媒体に書き込んで各種装置に提供することができる。また、通信媒体により伝送して各種装置に提供することも可能である。コンピュータは、記録媒体に記録されたプログラムを読み込み、または通信媒体を介してプログラムを受信し、このプログラムによって動作が制御されることにより、上述した処理を実行する。
【符号の説明】
【0077】
10…セキュアゾーン、12…隔離ゾーン、20…隔離対象サーバ機器、23(23−1,23−2,…,23−n)…サーバ機器、30…検疫処理境界装置、32…検疫ネット管理装置、34…隔離機器修復装置、40…通常時ジョブ処理管理部、41…ジョブ処理実行部、42…緊急時ジョブ処理管理部、43…緊急時ジョブ処理判定部、44…修復実行処理部、50…サービス中央制御管理部、51…転送判断情報管理部、52…転送判断処理部、53…修復実行指示部、60…通常時ジョブ処理管理部、61…ジョブ処理実行部。
【特許請求の範囲】
【請求項1】
論理的な正常ネットワークと制限ネットワークとを設けて、前記制限ネットワークに接続したサーバ機器に対して検疫処理を実行する検疫ネットワークを有するコンピュータシステムであって、
検疫ネット管理装置は、
第1のサーバ機器と第2のサーバ機器におけるキューに関するデータを取得する取得手段と、
前記第1のサーバ機器に障害がある場合に、前記第1のサーバ機器のキューのジョブを前記第2のサーバ機器に転送するか否かを判断する転送可否判断手段と、
前記転送可否判断手段による判断結果に応じて、前記ジョブが前記第2のサーバ機器に転送された場合に、前記第1のサーバ機器に対する修復を実行させる修復実行指示手段とを有し、
前記第1のサーバ機器は、
前記転送可否判断手段により前記ジョブを前記第2のサーバ機器に転送すると判断された場合に、前記ジョブを前記第2のサーバ機器に転送する転送手段と、
前記転送手段による前記ジョブの転送後に、前記修復実行指示手段からの指示に応じて修復を実行する修復実行指示手段とを有したコンピュータシステム。
【請求項2】
前記転送可否判断手段は、
前記ジョブを前記第1のサーバ機器で実行した場合に要する第1時間を、前記ジョブの前にあるキューの推定処理時間、前記ジョブの実行に要する単体処理時間、及び予め設定された許容時間をもとに算出し、
前記第2のサーバ機器に前記ジョブを転送して実行する場合に要する第2時間を、前記第2のサーバ機器のキューの推定処理時間と、前記ジョブを転送するために要する推定転送時間と、前記単体処理時間をもとに算出し、
前記第1時間と前記第2時間の比較によって判断する請求項1記載のコンピュータシステム。
【請求項3】
前記検疫ネット管理装置は、前記転送可否判断手段により前記ジョブを前記第2のサーバ機器に転送しないと判断された場合に、前記ジョブを実行するまでに要する時間と、前記ジョブに対して予め設定された処理が完了するまでの期待限度値とに基づいて、前記ジョブを修復前に実行するか修復後に実行するかを判定する処理続行判定手段をさらに有する請求項2記載のコンピュータシステム。
【請求項4】
前記処理判定手段は、前記キューの順番に対して設定された閾値と、前記ジョブの前記キューの順番との比較結果に基づいて判断する請求項1記載のコンピュータシステム。
【請求項5】
前記検疫ネット管理装置は、前記ジョブの対象となるデータの機密度に基づいて、前記ジョブを前記第2のサーバ機器に転送するか否かを判定する機密度チェック手段をさらに有し、
前記転送可否判断手段は、前記機密度チェック手段により転送すると判断された場合に、前記ジョブを前記第2のサーバ機器に転送するか否かを判断する請求項1記載のコンピュータシステム。
【請求項6】
論理的な正常ネットワークと制限ネットワークとを設けて、前記制限ネットワークに接続したサーバ機器に対して検疫処理を実行する検疫ネットワークを有するコンピュータシステムにおけるジョブ制御方法であって、
検疫ネット管理装置は、
第1のサーバ機器と第2のサーバ機器におけるキューに関するデータを取得し、
前記第1のサーバ機器に障害がある場合に、前記第1のサーバ機器のキューのジョブを前記第2のサーバ機器に転送するか否かを判断し、
前記転送可否判断に応じて、前記ジョブが前記第2のサーバ機器に転送された場合に、前記第1のサーバ機器に対する修復を実行させ、
前記第1のサーバ機器は、
前記転送可否判断により前記ジョブを前記第2のサーバ機器に転送すると判断された場合に、前記ジョブを前記第2のサーバ機器に転送し、
前記ジョブの転送後に、修復を実行するジョブ制御方法。
【請求項1】
論理的な正常ネットワークと制限ネットワークとを設けて、前記制限ネットワークに接続したサーバ機器に対して検疫処理を実行する検疫ネットワークを有するコンピュータシステムであって、
検疫ネット管理装置は、
第1のサーバ機器と第2のサーバ機器におけるキューに関するデータを取得する取得手段と、
前記第1のサーバ機器に障害がある場合に、前記第1のサーバ機器のキューのジョブを前記第2のサーバ機器に転送するか否かを判断する転送可否判断手段と、
前記転送可否判断手段による判断結果に応じて、前記ジョブが前記第2のサーバ機器に転送された場合に、前記第1のサーバ機器に対する修復を実行させる修復実行指示手段とを有し、
前記第1のサーバ機器は、
前記転送可否判断手段により前記ジョブを前記第2のサーバ機器に転送すると判断された場合に、前記ジョブを前記第2のサーバ機器に転送する転送手段と、
前記転送手段による前記ジョブの転送後に、前記修復実行指示手段からの指示に応じて修復を実行する修復実行指示手段とを有したコンピュータシステム。
【請求項2】
前記転送可否判断手段は、
前記ジョブを前記第1のサーバ機器で実行した場合に要する第1時間を、前記ジョブの前にあるキューの推定処理時間、前記ジョブの実行に要する単体処理時間、及び予め設定された許容時間をもとに算出し、
前記第2のサーバ機器に前記ジョブを転送して実行する場合に要する第2時間を、前記第2のサーバ機器のキューの推定処理時間と、前記ジョブを転送するために要する推定転送時間と、前記単体処理時間をもとに算出し、
前記第1時間と前記第2時間の比較によって判断する請求項1記載のコンピュータシステム。
【請求項3】
前記検疫ネット管理装置は、前記転送可否判断手段により前記ジョブを前記第2のサーバ機器に転送しないと判断された場合に、前記ジョブを実行するまでに要する時間と、前記ジョブに対して予め設定された処理が完了するまでの期待限度値とに基づいて、前記ジョブを修復前に実行するか修復後に実行するかを判定する処理続行判定手段をさらに有する請求項2記載のコンピュータシステム。
【請求項4】
前記処理判定手段は、前記キューの順番に対して設定された閾値と、前記ジョブの前記キューの順番との比較結果に基づいて判断する請求項1記載のコンピュータシステム。
【請求項5】
前記検疫ネット管理装置は、前記ジョブの対象となるデータの機密度に基づいて、前記ジョブを前記第2のサーバ機器に転送するか否かを判定する機密度チェック手段をさらに有し、
前記転送可否判断手段は、前記機密度チェック手段により転送すると判断された場合に、前記ジョブを前記第2のサーバ機器に転送するか否かを判断する請求項1記載のコンピュータシステム。
【請求項6】
論理的な正常ネットワークと制限ネットワークとを設けて、前記制限ネットワークに接続したサーバ機器に対して検疫処理を実行する検疫ネットワークを有するコンピュータシステムにおけるジョブ制御方法であって、
検疫ネット管理装置は、
第1のサーバ機器と第2のサーバ機器におけるキューに関するデータを取得し、
前記第1のサーバ機器に障害がある場合に、前記第1のサーバ機器のキューのジョブを前記第2のサーバ機器に転送するか否かを判断し、
前記転送可否判断に応じて、前記ジョブが前記第2のサーバ機器に転送された場合に、前記第1のサーバ機器に対する修復を実行させ、
前記第1のサーバ機器は、
前記転送可否判断により前記ジョブを前記第2のサーバ機器に転送すると判断された場合に、前記ジョブを前記第2のサーバ機器に転送し、
前記ジョブの転送後に、修復を実行するジョブ制御方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2013−69075(P2013−69075A)
【公開日】平成25年4月18日(2013.4.18)
【国際特許分類】
【出願番号】特願2011−206497(P2011−206497)
【出願日】平成23年9月21日(2011.9.21)
【出願人】(000003562)東芝テック株式会社 (5,631)
【Fターム(参考)】
【公開日】平成25年4月18日(2013.4.18)
【国際特許分類】
【出願日】平成23年9月21日(2011.9.21)
【出願人】(000003562)東芝テック株式会社 (5,631)
【Fターム(参考)】
[ Back to top ]