コンテント保護装置
【課題】保護すべき電子コンテントのセキュリティを向上させる。
【解決手段】実施の1形態のユーザ端末12は、保護文書をファイルに保存すべき際、その保護文書とともに、OSにより管理されるファイルの属性である保存時属性を、そのファイルに格納するコンテント保存部32と、保護文書を格納したファイルである文書ファイルに対するアクセス要求が受け付けられたとき、OSにより管理される文書ファイルの属性であるアクセス時属性が、その文書ファイルに格納された保存時属性と合致することを条件として、その文書ファイルに対するアクセス要求を許可するアクセス制御部40とを備える。
【解決手段】実施の1形態のユーザ端末12は、保護文書をファイルに保存すべき際、その保護文書とともに、OSにより管理されるファイルの属性である保存時属性を、そのファイルに格納するコンテント保存部32と、保護文書を格納したファイルである文書ファイルに対するアクセス要求が受け付けられたとき、OSにより管理される文書ファイルの属性であるアクセス時属性が、その文書ファイルに格納された保存時属性と合致することを条件として、その文書ファイルに対するアクセス要求を許可するアクセス制御部40とを備える。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、データ処理技術に関し、特に、電子コンテントを保護する技術に関する。
【背景技術】
【0002】
情報漏洩が発生すると企業は大きな経済的損失を被ることがあり、情報セキュリティの重要性は年々高まっている。保護すべきコンテントを予め権限を付与されたユーザに対してのみ提供するよう、コンテントへのアクセスを要求するユーザを認証することも広く行われている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2008−226058号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
情報セキュリティを向上させるために、保護すべきコンテントそのものに、そのコンテントに対する操作の制限が設定されることがある。しかし、保護すべきコンテントを格納した原本のファイルがコピーされると、そのコンテントに対する操作をコピーファイルでも行うことができ、コンテントに設定された制限を超える操作が実質的に可能になってしまうと本発明者は考えた。
【0005】
本発明は、本発明者の上記課題認識に基づきなされたものであり、その主たる目的は、保護すべき電子コンテントのセキュリティを向上させるための技術を提供することである。
【課題を解決するための手段】
【0006】
上記課題を解決するために、本発明のある態様のコンテント保護装置は、電子コンテントをファイルに保存すべき際、その電子コンテントとともに、所定のファイル管理手段により管理されるファイルの属性である保存時属性を示すデータを、ファイルに格納するコンテント保存部と、電子コンテントを格納したファイルであるコンテント格納ファイルに対するアクセス要求が受け付けられたとき、ファイル管理手段により管理されるコンテント格納ファイルの属性であるアクセス時属性を示すデータが、コンテント格納ファイルに格納された保存時属性を示すデータと合致することを条件として、アクセス要求を許可するアクセス制御部と、を備える。
【0007】
なお、以上の構成要素の任意の組合せ、本発明の表現を装置、方法、システム、プログラム、プログラムを格納した記録媒体などの間で変換したものもまた、本発明の態様として有効である。
【発明の効果】
【0008】
本発明によれば、保護すべき電子コンテントのセキュリティを向上させることができる。
【図面の簡単な説明】
【0009】
【図1】実施の形態の情報処理システムの構成を示す図である。
【図2】図1のユーザ端末の機能構成を示すブロック図である。
【図3】ユーザ端末の動作を示すフローチャートである。
【図4】ユーザ端末の動作を示すフローチャートである。
【発明を実施するための形態】
【0010】
本発明の実施の形態を説明する前に、まず概要を説明する。
企業では、社外に秘密にすべき事項が記載された文書等、情報セキュリティ上保護されるべき文書(以下、「保護文書」とも呼ぶ)がイントラネットにより社内へ提供されることがある。保護文書の情報量が多い場合など、閲覧者は保護文書をローカルの端末に保存し、後で確認したい場合がある。この場合、保護文書のセキュリティを高めるため、閲覧の制限回数や印刷不可の設定等、保護文書に対する操作の制限がその保護文書を記録するファイルへ設定されることがある。
【0011】
例えば、保護文書に閲覧の制限回数が設定された場合、閲覧者の端末において保護文書を最初に格納したファイル(以下、「原本ファイル」とも呼ぶ)を、閲覧者が閲覧できる回数は制限回数までとなる。しかし、原本ファイルがコピーされた場合、コピーファイルについても同じ制限回数までは閲覧できてしまう。その結果、制限回数を超過した保護文書の閲覧が実質的に可能になり、情報セキュリティの観点から望ましくない。
【0012】
そこで、本実施の形態では、閲覧者の端末で原本ファイルがコピーされても、そのコピーファイルを開くことができないよう制限するコンテント保護技術を実装した情報処理端末を説明する。この技術によれば、保護文書に設定された操作の制限が、ファイルコピーにより実質的に無効化されることを防止して、企業の情報セキュリティを向上させることができる。
【0013】
図1は、実施の形態の情報処理システムの構成を示す。情報処理システム100は、コンテント配信サーバ10と、ユーザ端末12で総称されるユーザ端末12a、ユーザ端末12b、・・・とを備える。これらの各装置は、LAN/WAN/インターネット等を含む通信網14を介して接続される。
【0014】
コンテント配信サーバ10は、保護文書のデータをユーザ端末12へ提供する情報処理装置である。コンテント配信サーバ10はウェブサーバの機能を有してもよい。ユーザ端末12は、保護文書を閲覧するユーザにより操作されるPC端末である。ユーザ端末12にはウェブブラウザがインストールされており、ユーザはウェブブラウザを操作して、コンテント配信サーバ10から取得した保護文書をディスプレイに表示させる。
【0015】
図2は、図1のユーザ端末12の機能構成を示すブロック図である。本明細書のブロック図において示される各ブロックは、ハードウェア的には、コンピュータのCPUをはじめとする素子や機械装置で実現でき、ソフトウェア的にはコンピュータプログラム等によって実現されるが、ここでは、それらの連携によって実現される機能ブロックを描いている。したがって、これらの機能ブロックはハードウェア、ソフトウェアの組合せによっていろいろなかたちで実現できることは、当業者には理解されるところである。例えば、各機能ブロックは、コンピュータプログラムとして記録媒体に格納され、ユーザ端末12のハードディスクにインストールされ、ユーザ端末12のメインメモリに適宜読み出されてプロセッサにて実行されてもよい。
【0016】
図2には図示しないが、ユーザ端末12には、当該端末を効率よく利用するための機能および環境を提供して当該端末の全体を統括的に制御するオペレーティングシステム(以下、適宜「OS」とも呼ぶ)が搭載され、常時実行されている。図2の各機能ブロックは、OSが提供する機能を適宜利用することにより、機能ブロックについて記載する機能を実現する。OSは典型的にはソフトウェアにより実現されるが、ハードウェアにより実現されてもよいことはもちろんである。
【0017】
ユーザ端末12は、ファイル保持部20と、ファイル管理部22と、コンテント保護部24とを備える。ファイル保持部20は、保護文書を構成する一連のデータ列がファイル(以下、「文書ファイル」とも呼ぶ)として不揮発的に格納される記憶領域である。例えば、ハードディスクにより提供される記憶領域であってもよい。
【0018】
ファイル管理部22は、ファイル保持部20に格納された文書ファイルの属性データを保持し、外部からの要求に応じてその属性データを要求元へ提供する。この属性データには、文書ファイルの作成日時およびパス名が含まれる。パス名は、ルートディレクトリからのフルパス名(例えば「/ディレクトリ1/ディレクトリ2/ファイル名」)であることとする。また、本実施の形態のファイル管理部22は、OSのファイルシステム機能により実現されることとする。
【0019】
コンテント保護部24は、保護文書のセキュリティを維持しつつ、ユーザによる保護文書への適切なアクセスを実現させるための各種処理を実行する。コンテント保護部24は、操作検出部26と、コンテント取得部28と、コンテント出力部30と、コンテント保存部32と、アクセス制御部40とを含む。
【0020】
コンテント出力部30は、保護文書の表示指示を受け付けたとき、保護文書のデータを外部のディスプレイに送出して表示させる。また、保護文書の印刷指示を受け付けたとき、保護文書のデータを外部のプリンタに送出して印刷させる。
【0021】
操作検出部26は、キーボード等の入力装置を介して、保護文書や文書ファイルに対するユーザの各種指示を検出する。例えば、保護文書の取得指示を検出した場合、その指示をコンテント取得部28へ通知する。また、保護文書の保存指示を検出した場合、その指示をコンテント保存部32へ通知する。また、文書ファイルを開くことを求める指示(以下、「オープン指示」とも呼ぶ)を検出した場合、および、保護文書に対する操作指示を検出した場合、それぞれの指示をアクセス制御部40へ通知する。
【0022】
コンテント取得部28は、ある保護文書の取得指示を受け付けたとき、その保護文書のデータをコンテント配信サーバ10から取得する。そして、その保護文書のデータをコンテント出力部30へ送出してディスプレイに表示させる。またコンテント取得部28は、保護文書の操作を制限させるための制限情報をコンテント配信サーバ10から取得する。本実施の形態の保護文書には、保護文書の閲覧回数の制限および印刷不可の制限を示す制限情報が設定されていることとする。
【0023】
コンテント保存部32は、保護文書のデータを文書ファイルへ保存する。コンテント保存部32は、ファイル作成部34と、ファイル設定部36と、暗号化処理部38とを含む。
【0024】
ファイル作成部34は、保護文書の保存指示を受け付けたとき、その保護文書のデータを格納した文書ファイルを作成する。具体的には、その文書ファイルにおいて予め定められたコンテントデータ用の領域に対して、保護文書そのものの文書情報を記録する。また、保護文書の制限情報をコンテント取得部28を介して取得し、その文書ファイルにおいて予め定められたメタデータ用の領域に対して制限情報を記録する。
【0025】
ファイル設定部36は、ファイル作成部34により新規に作成された文書ファイルの属性をファイル管理部22から取得する。本実施の形態では、ファイルの作成日時およびパス名を取得する。ファイル設定部36は、その作成日時およびパス名を連結した文字列を公知のハッシュ関数、例えば「SHA−1」関数へ入力してハッシュ値を取得する。ファイル設定部36は、そのハッシュ値をメタデータ用の領域に記録する。この文書ファイルの属性は、保護文書が最初に保存された原本ファイルと、その原本ファイルがコピーされたコピーファイルとの間で異なる値になると想定される他の属性を含んでもよいが、ファイルの更新日時は含まないことが望ましい。
【0026】
暗号化処理部38は、文書ファイルに記録されたデータ全体を暗号化する。暗号化処理部38は、ユーザ端末12の属性のうち、そのユーザ端末12を他の情報処理装置と区別し、そのユーザ端末12を一意に特定可能な所定属性を秘密鍵として、暗号化処理を実行する。この所定属性は、IPアドレス、MACアドレス、OSのプロダクトID、ハードディスクのプロダクトID等の1以上の組み合わせでもよい。また、OSのログインユーザ名を組み合わせてもよく、これにより同一のユーザ端末12であっても、同一のログインユーザでなければ復号に失敗するため、保護文書のセキュリティを向上できる。
【0027】
アクセス制御部40は、文書ファイルおよび文書ファイルに格納された保護文書へのアクセス制御を実行する。アクセス制御部40は、復号処理部42と、ファイル検証部44と、操作許否決定部46とを含む。
【0028】
復号処理部42は、ファイル保持部20に保持された文書ファイルに対するオープン指示を受け付けたとき、指定された文書ファイルのデータをファイル保持部20から取得して復号する。その際、暗号化処理において使用したユーザ端末12の所定属性を秘密鍵として、復号処理を実行する。復号処理に失敗した場合は、オープン指示を拒否する。復号処理に失敗した場合とは、復号処理中においてエラーが発生した場合や、復号処理後のデータが有効なデータでなかった場合、例えば、有効なデータとして予め規定された形式でなかった場合を含む。
【0029】
ファイル検証部44は、開く対象の文書ファイルの作成日時およびパス名をファイル管理部22から取得してハッシュ関数へ入力し、ハッシュ値(以下、「動的ハッシュ値」とも呼ぶ)を取得する。またファイル検証部44は、開く対象の文書ファイルのメタデータ用領域に記録された属性ハッシュ値(以下、「静的ハッシュ値」とも呼ぶ)を取得する。動的ハッシュ値と静的ハッシュ値とが合致した場合、文書ファイルのオープン指示を操作許否決定部46へ転送する。動的ハッシュ値と静的ハッシュ値とが合致しない場合は、オープン指示を拒否する。
【0030】
操作許否決定部46は、文書ファイルおよびその保護文書に対する操作がユーザから指示されたとき、その文書ファイルに設定された制限情報を参照し、指示された操作が制限情報の範囲内である場合、その操作を許容する。例えば、制限情報として閲覧の許容回数が設定されている場合は、過去の閲覧回数がその許容回数未満であることを条件として、文書ファイルのオープン指示を許可し、その文書ファイルに記録された保護文書をコンテント出力部30へ送出して表示させる。それとともに、閲覧の実行回数を1つ増加させ、所定の記憶領域に格納する。また、印刷不可を示す制限情報が設定されている場合、保護文書に対する印刷指示が受け付けられると、その指示を拒否する。
【0031】
以上の構成による動作を以下説明する。
図3は、ユーザ端末12の動作を示すフローチャートである。同図は、保護文書保存時の動作を示している。操作検出部26において保護文書の取得指示が受け付けられると(S10のY)、コンテント取得部28は保護文書のデータを取得し、コンテント出力部30はその保護文書をディスプレイに表示させる(S12)。操作検出部26において保護文書の保存指示が受け付けられると(S14のY)、ファイル作成部34はその保護文書の文書情報および制限情報を記録した文書ファイルを作成し、ファイル保持部20に格納する(S16)。
【0032】
ファイル設定部36は、ファイル管理部22から取得した文書ファイルの属性のハッシュ値を、文書ファイルのメタデータ用領域に設定する(S18)。暗号化処理部38は、文書ファイルのデータを暗号化して、その文書ファイルを更新する(S20)。保護文書の保存指示が受け付けられなければ(S14のN)、S16からS20はスキップされて本図のフローを終了する。保護文書の取得指示が受け付けられなければ(S10のN)、以降のステップはスキップされて、本図のフローを終了する。
【0033】
図4は、ユーザ端末12の動作を示すフローチャートである。同図は、文書ファイルを開く際の動作を示している。操作検出部26において文書ファイルのオープン指示が受け付けられると(S30のY)、復号処理部42は、文書ファイルをファイル保持部20から取得し、その文書ファイルのデータを復号する。復号に成功した場合(S32のY)、ファイル検証部44は、ファイル管理部22から取得された属性に基づき動的ハッシュ値を取得し、その動的ハッシュ値と、文書ファイルに格納された静的ハッシュ値とを比較する。動的ハッシュ値と静的ハッシュ値とが一致した場合(S34のY)、操作許否決定部46は、保護文書の閲覧回数が制限の範囲内であるかを判別する。閲覧回数が制限の範囲内である場合(S36のY)、コンテント出力部30は、保護文書をディスプレイに表示させる(S38)。
【0034】
文書ファイルのオープン指示がない場合(S30のN)、復号に失敗した場合(S32のN)、動的ハッシュ値と静的ハッシュ値とが不一致の場合(S34のN)、閲覧回数が制限を超過した場合(S36のN)のいずれかであれば、それぞれS38のステップまでスキップされる。文書ファイルが開かれた後、保護文書への操作指示が受け付けられ(S40のY)、その操作の内容が制限の範囲内である場合(S42のY)、操作許否決定部46は、その操作を許可して実行させる(S44)。操作の内容が制限を超過する場合(S42のN)、S44はスキップされる。保護文書への操作指示が受け付けられなければ(S40のN)、S42およびS44はスキップされ、本図のフローを終了する。
【0035】
本実施の形態のユーザ端末12によれば、保護文書を最初に格納した原本ファイルに、その原本ファイルの属性を示すハッシュ値が静的に格納される。文書ファイルのオープン指示を受け付けた際には、その文書ファイルの属性を示すハッシュ値が動的に取得され、その文書ファイルに格納されたハッシュ値と比較される。原本ファイルをコピーしたコピーファイルの場合、動的ハッシュ値としてコピーファイルの属性に基づくハッシュ値が取得され、静的ハッシュ値として原本ファイルの属性に基づくハッシュ値が取得されるため不一致となる。したがって、コピーファイルのオープンが困難となり、保護文書のセキュリティを向上させることができる。言い換えれば、原本ファイルに設定された閲覧回数の制限等、各種操作の制限が、ファイルコピーにより実質的に無効化されてしまうことを防止できる。
【0036】
またユーザ端末12によれば、文書ファイルの属性としてファイル作成日時と、パス名とが用いられる。ファイル作成日時およびパス名は、一般的に、原本ファイルとコピーファイルとの間で異なるものであるため、コピーファイルのオープンを困難にすることができる。また、原本ファイルには静的ハッシュ値が格納され、動的ハッシュ値との比較に用いられる。静的ハッシュ値から元の属性値を求めることは困難であり、また、ユーザによる改ざんも困難であるため、保護文書のセキュリティを向上させることができる。
【0037】
さらにユーザ端末12によれば、ユーザ端末12を一意に特定する属性をキーとして文書ファイルが暗号化され、復号される。これにより、あるユーザ端末12で暗号化された文書ファイルを、他のユーザ端末12で復号することはできないため、参照可能な文書ファイルの拡散を抑制し、保護文書のセキュリティを向上させることができる。
【0038】
さらにまたユーザ端末12によれば、文書ファイルに記録された保護文書が閲覧される際、コンテント配信サーバ10等の外部装置と通信を必要としない。すなわちユーザ端末12は、スタンドアロン環境において保護文書のセキュリティを維持できる。また、ファイル管理部22はOSの機能を利用して実現され、また、ファイルコピーそのものを禁止することはないため、ユーザ端末12の動作環境を大きく制約することなく、保護文書のセキュリティを維持できる。
【0039】
以上、本発明を実施の形態をもとに説明した。この実施の形態は例示であり、それらの各構成要素や各処理プロセスの組合せにいろいろな変形例が可能なこと、またそうした変形例も本発明の範囲にあることは当業者に理解されるところである。
【0040】
上記実施の形態では、ファイル管理部22はOSにより提供される機能であるとした。変形例として、ファイル管理部22は、コンテント保護部24が含んでもよく、コンテント配信サーバ10等、ユーザ端末12の外部装置により提供される機能であってもよい。OSの中には、コピーファイルの作成日時として、そのコピー元である原本ファイルの作成日時を設定するものがある。このようなOSの場合は特に、OSとは別にファイルの属性を管理するファイル管理部22が設けられることが望ましい。
【0041】
この変形例におけるファイル管理部22は、原本ファイルがコピーされた際は、そのコピーファイルの作成日時としてコピー日時を設定することが望ましい。その他のファイルについては、OSのファイルシステムと同様に管理すればよい。コピーファイルのオープン指示が受け付けられた場合、ファイル検証部44は、ファイル作成日時としてこの変形例のファイル管理部22からコピー日時を取得し、コピー日時を反映した動的ハッシュ値を取得する。したがって、原本ファイルの作成日時を反映した静的ハッシュ値との不一致が検出され、コピーファイルのオープン指示を確実に拒否することができる。例えば、原本ファイルがコピーされ、その原本ファイルの削除後に、コピーファイル名が原本ファイル名にリネームされても、そのコピーファイルを開けないように制限できる。
【0042】
なお、ユーザ端末12は、OSの機能により提供されるファイル管理部と、OSとは異なる主体が提供するファイル管理部との両方を利用してもよい。すなわち、コンテント保護部24は、複数のファイル管理部のそれぞれから開く対象のファイルの属性を取得し、複数の動的ハッシュ値を取得してもよい。そして複数の動的ハッシュ値のいずれに対しても静的ハッシュ値が一致することを条件として、ファイルを開くことを許可してもよい。
【0043】
上述した実施の形態および変形例の任意の組み合わせもまた本発明の実施の形態として有用である。組み合わせによって生じる新たな実施の形態は、組み合わされる実施の形態および変形例それぞれの効果をあわせもつ。
【0044】
請求項に記載の各構成要件が果たすべき機能は、実施の形態および変形例において示された各構成要素の単体もしくはそれらの連携によって実現されることも当業者には理解されるところである。
【符号の説明】
【0045】
10 コンテント配信サーバ、 12 ユーザ端末、 20 ファイル保持部、 22 ファイル管理部、 24 コンテント保護部、 26 操作検出部、 28 コンテント取得部、 30 コンテント出力部、 32 コンテント保存部、 34 ファイル作成部、 36 ファイル設定部、 38 暗号化処理部、 40 アクセス制御部、 42 復号処理部、 44 ファイル検証部、 46 操作許否決定部、 100 情報処理システム。
【技術分野】
【0001】
この発明は、データ処理技術に関し、特に、電子コンテントを保護する技術に関する。
【背景技術】
【0002】
情報漏洩が発生すると企業は大きな経済的損失を被ることがあり、情報セキュリティの重要性は年々高まっている。保護すべきコンテントを予め権限を付与されたユーザに対してのみ提供するよう、コンテントへのアクセスを要求するユーザを認証することも広く行われている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2008−226058号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
情報セキュリティを向上させるために、保護すべきコンテントそのものに、そのコンテントに対する操作の制限が設定されることがある。しかし、保護すべきコンテントを格納した原本のファイルがコピーされると、そのコンテントに対する操作をコピーファイルでも行うことができ、コンテントに設定された制限を超える操作が実質的に可能になってしまうと本発明者は考えた。
【0005】
本発明は、本発明者の上記課題認識に基づきなされたものであり、その主たる目的は、保護すべき電子コンテントのセキュリティを向上させるための技術を提供することである。
【課題を解決するための手段】
【0006】
上記課題を解決するために、本発明のある態様のコンテント保護装置は、電子コンテントをファイルに保存すべき際、その電子コンテントとともに、所定のファイル管理手段により管理されるファイルの属性である保存時属性を示すデータを、ファイルに格納するコンテント保存部と、電子コンテントを格納したファイルであるコンテント格納ファイルに対するアクセス要求が受け付けられたとき、ファイル管理手段により管理されるコンテント格納ファイルの属性であるアクセス時属性を示すデータが、コンテント格納ファイルに格納された保存時属性を示すデータと合致することを条件として、アクセス要求を許可するアクセス制御部と、を備える。
【0007】
なお、以上の構成要素の任意の組合せ、本発明の表現を装置、方法、システム、プログラム、プログラムを格納した記録媒体などの間で変換したものもまた、本発明の態様として有効である。
【発明の効果】
【0008】
本発明によれば、保護すべき電子コンテントのセキュリティを向上させることができる。
【図面の簡単な説明】
【0009】
【図1】実施の形態の情報処理システムの構成を示す図である。
【図2】図1のユーザ端末の機能構成を示すブロック図である。
【図3】ユーザ端末の動作を示すフローチャートである。
【図4】ユーザ端末の動作を示すフローチャートである。
【発明を実施するための形態】
【0010】
本発明の実施の形態を説明する前に、まず概要を説明する。
企業では、社外に秘密にすべき事項が記載された文書等、情報セキュリティ上保護されるべき文書(以下、「保護文書」とも呼ぶ)がイントラネットにより社内へ提供されることがある。保護文書の情報量が多い場合など、閲覧者は保護文書をローカルの端末に保存し、後で確認したい場合がある。この場合、保護文書のセキュリティを高めるため、閲覧の制限回数や印刷不可の設定等、保護文書に対する操作の制限がその保護文書を記録するファイルへ設定されることがある。
【0011】
例えば、保護文書に閲覧の制限回数が設定された場合、閲覧者の端末において保護文書を最初に格納したファイル(以下、「原本ファイル」とも呼ぶ)を、閲覧者が閲覧できる回数は制限回数までとなる。しかし、原本ファイルがコピーされた場合、コピーファイルについても同じ制限回数までは閲覧できてしまう。その結果、制限回数を超過した保護文書の閲覧が実質的に可能になり、情報セキュリティの観点から望ましくない。
【0012】
そこで、本実施の形態では、閲覧者の端末で原本ファイルがコピーされても、そのコピーファイルを開くことができないよう制限するコンテント保護技術を実装した情報処理端末を説明する。この技術によれば、保護文書に設定された操作の制限が、ファイルコピーにより実質的に無効化されることを防止して、企業の情報セキュリティを向上させることができる。
【0013】
図1は、実施の形態の情報処理システムの構成を示す。情報処理システム100は、コンテント配信サーバ10と、ユーザ端末12で総称されるユーザ端末12a、ユーザ端末12b、・・・とを備える。これらの各装置は、LAN/WAN/インターネット等を含む通信網14を介して接続される。
【0014】
コンテント配信サーバ10は、保護文書のデータをユーザ端末12へ提供する情報処理装置である。コンテント配信サーバ10はウェブサーバの機能を有してもよい。ユーザ端末12は、保護文書を閲覧するユーザにより操作されるPC端末である。ユーザ端末12にはウェブブラウザがインストールされており、ユーザはウェブブラウザを操作して、コンテント配信サーバ10から取得した保護文書をディスプレイに表示させる。
【0015】
図2は、図1のユーザ端末12の機能構成を示すブロック図である。本明細書のブロック図において示される各ブロックは、ハードウェア的には、コンピュータのCPUをはじめとする素子や機械装置で実現でき、ソフトウェア的にはコンピュータプログラム等によって実現されるが、ここでは、それらの連携によって実現される機能ブロックを描いている。したがって、これらの機能ブロックはハードウェア、ソフトウェアの組合せによっていろいろなかたちで実現できることは、当業者には理解されるところである。例えば、各機能ブロックは、コンピュータプログラムとして記録媒体に格納され、ユーザ端末12のハードディスクにインストールされ、ユーザ端末12のメインメモリに適宜読み出されてプロセッサにて実行されてもよい。
【0016】
図2には図示しないが、ユーザ端末12には、当該端末を効率よく利用するための機能および環境を提供して当該端末の全体を統括的に制御するオペレーティングシステム(以下、適宜「OS」とも呼ぶ)が搭載され、常時実行されている。図2の各機能ブロックは、OSが提供する機能を適宜利用することにより、機能ブロックについて記載する機能を実現する。OSは典型的にはソフトウェアにより実現されるが、ハードウェアにより実現されてもよいことはもちろんである。
【0017】
ユーザ端末12は、ファイル保持部20と、ファイル管理部22と、コンテント保護部24とを備える。ファイル保持部20は、保護文書を構成する一連のデータ列がファイル(以下、「文書ファイル」とも呼ぶ)として不揮発的に格納される記憶領域である。例えば、ハードディスクにより提供される記憶領域であってもよい。
【0018】
ファイル管理部22は、ファイル保持部20に格納された文書ファイルの属性データを保持し、外部からの要求に応じてその属性データを要求元へ提供する。この属性データには、文書ファイルの作成日時およびパス名が含まれる。パス名は、ルートディレクトリからのフルパス名(例えば「/ディレクトリ1/ディレクトリ2/ファイル名」)であることとする。また、本実施の形態のファイル管理部22は、OSのファイルシステム機能により実現されることとする。
【0019】
コンテント保護部24は、保護文書のセキュリティを維持しつつ、ユーザによる保護文書への適切なアクセスを実現させるための各種処理を実行する。コンテント保護部24は、操作検出部26と、コンテント取得部28と、コンテント出力部30と、コンテント保存部32と、アクセス制御部40とを含む。
【0020】
コンテント出力部30は、保護文書の表示指示を受け付けたとき、保護文書のデータを外部のディスプレイに送出して表示させる。また、保護文書の印刷指示を受け付けたとき、保護文書のデータを外部のプリンタに送出して印刷させる。
【0021】
操作検出部26は、キーボード等の入力装置を介して、保護文書や文書ファイルに対するユーザの各種指示を検出する。例えば、保護文書の取得指示を検出した場合、その指示をコンテント取得部28へ通知する。また、保護文書の保存指示を検出した場合、その指示をコンテント保存部32へ通知する。また、文書ファイルを開くことを求める指示(以下、「オープン指示」とも呼ぶ)を検出した場合、および、保護文書に対する操作指示を検出した場合、それぞれの指示をアクセス制御部40へ通知する。
【0022】
コンテント取得部28は、ある保護文書の取得指示を受け付けたとき、その保護文書のデータをコンテント配信サーバ10から取得する。そして、その保護文書のデータをコンテント出力部30へ送出してディスプレイに表示させる。またコンテント取得部28は、保護文書の操作を制限させるための制限情報をコンテント配信サーバ10から取得する。本実施の形態の保護文書には、保護文書の閲覧回数の制限および印刷不可の制限を示す制限情報が設定されていることとする。
【0023】
コンテント保存部32は、保護文書のデータを文書ファイルへ保存する。コンテント保存部32は、ファイル作成部34と、ファイル設定部36と、暗号化処理部38とを含む。
【0024】
ファイル作成部34は、保護文書の保存指示を受け付けたとき、その保護文書のデータを格納した文書ファイルを作成する。具体的には、その文書ファイルにおいて予め定められたコンテントデータ用の領域に対して、保護文書そのものの文書情報を記録する。また、保護文書の制限情報をコンテント取得部28を介して取得し、その文書ファイルにおいて予め定められたメタデータ用の領域に対して制限情報を記録する。
【0025】
ファイル設定部36は、ファイル作成部34により新規に作成された文書ファイルの属性をファイル管理部22から取得する。本実施の形態では、ファイルの作成日時およびパス名を取得する。ファイル設定部36は、その作成日時およびパス名を連結した文字列を公知のハッシュ関数、例えば「SHA−1」関数へ入力してハッシュ値を取得する。ファイル設定部36は、そのハッシュ値をメタデータ用の領域に記録する。この文書ファイルの属性は、保護文書が最初に保存された原本ファイルと、その原本ファイルがコピーされたコピーファイルとの間で異なる値になると想定される他の属性を含んでもよいが、ファイルの更新日時は含まないことが望ましい。
【0026】
暗号化処理部38は、文書ファイルに記録されたデータ全体を暗号化する。暗号化処理部38は、ユーザ端末12の属性のうち、そのユーザ端末12を他の情報処理装置と区別し、そのユーザ端末12を一意に特定可能な所定属性を秘密鍵として、暗号化処理を実行する。この所定属性は、IPアドレス、MACアドレス、OSのプロダクトID、ハードディスクのプロダクトID等の1以上の組み合わせでもよい。また、OSのログインユーザ名を組み合わせてもよく、これにより同一のユーザ端末12であっても、同一のログインユーザでなければ復号に失敗するため、保護文書のセキュリティを向上できる。
【0027】
アクセス制御部40は、文書ファイルおよび文書ファイルに格納された保護文書へのアクセス制御を実行する。アクセス制御部40は、復号処理部42と、ファイル検証部44と、操作許否決定部46とを含む。
【0028】
復号処理部42は、ファイル保持部20に保持された文書ファイルに対するオープン指示を受け付けたとき、指定された文書ファイルのデータをファイル保持部20から取得して復号する。その際、暗号化処理において使用したユーザ端末12の所定属性を秘密鍵として、復号処理を実行する。復号処理に失敗した場合は、オープン指示を拒否する。復号処理に失敗した場合とは、復号処理中においてエラーが発生した場合や、復号処理後のデータが有効なデータでなかった場合、例えば、有効なデータとして予め規定された形式でなかった場合を含む。
【0029】
ファイル検証部44は、開く対象の文書ファイルの作成日時およびパス名をファイル管理部22から取得してハッシュ関数へ入力し、ハッシュ値(以下、「動的ハッシュ値」とも呼ぶ)を取得する。またファイル検証部44は、開く対象の文書ファイルのメタデータ用領域に記録された属性ハッシュ値(以下、「静的ハッシュ値」とも呼ぶ)を取得する。動的ハッシュ値と静的ハッシュ値とが合致した場合、文書ファイルのオープン指示を操作許否決定部46へ転送する。動的ハッシュ値と静的ハッシュ値とが合致しない場合は、オープン指示を拒否する。
【0030】
操作許否決定部46は、文書ファイルおよびその保護文書に対する操作がユーザから指示されたとき、その文書ファイルに設定された制限情報を参照し、指示された操作が制限情報の範囲内である場合、その操作を許容する。例えば、制限情報として閲覧の許容回数が設定されている場合は、過去の閲覧回数がその許容回数未満であることを条件として、文書ファイルのオープン指示を許可し、その文書ファイルに記録された保護文書をコンテント出力部30へ送出して表示させる。それとともに、閲覧の実行回数を1つ増加させ、所定の記憶領域に格納する。また、印刷不可を示す制限情報が設定されている場合、保護文書に対する印刷指示が受け付けられると、その指示を拒否する。
【0031】
以上の構成による動作を以下説明する。
図3は、ユーザ端末12の動作を示すフローチャートである。同図は、保護文書保存時の動作を示している。操作検出部26において保護文書の取得指示が受け付けられると(S10のY)、コンテント取得部28は保護文書のデータを取得し、コンテント出力部30はその保護文書をディスプレイに表示させる(S12)。操作検出部26において保護文書の保存指示が受け付けられると(S14のY)、ファイル作成部34はその保護文書の文書情報および制限情報を記録した文書ファイルを作成し、ファイル保持部20に格納する(S16)。
【0032】
ファイル設定部36は、ファイル管理部22から取得した文書ファイルの属性のハッシュ値を、文書ファイルのメタデータ用領域に設定する(S18)。暗号化処理部38は、文書ファイルのデータを暗号化して、その文書ファイルを更新する(S20)。保護文書の保存指示が受け付けられなければ(S14のN)、S16からS20はスキップされて本図のフローを終了する。保護文書の取得指示が受け付けられなければ(S10のN)、以降のステップはスキップされて、本図のフローを終了する。
【0033】
図4は、ユーザ端末12の動作を示すフローチャートである。同図は、文書ファイルを開く際の動作を示している。操作検出部26において文書ファイルのオープン指示が受け付けられると(S30のY)、復号処理部42は、文書ファイルをファイル保持部20から取得し、その文書ファイルのデータを復号する。復号に成功した場合(S32のY)、ファイル検証部44は、ファイル管理部22から取得された属性に基づき動的ハッシュ値を取得し、その動的ハッシュ値と、文書ファイルに格納された静的ハッシュ値とを比較する。動的ハッシュ値と静的ハッシュ値とが一致した場合(S34のY)、操作許否決定部46は、保護文書の閲覧回数が制限の範囲内であるかを判別する。閲覧回数が制限の範囲内である場合(S36のY)、コンテント出力部30は、保護文書をディスプレイに表示させる(S38)。
【0034】
文書ファイルのオープン指示がない場合(S30のN)、復号に失敗した場合(S32のN)、動的ハッシュ値と静的ハッシュ値とが不一致の場合(S34のN)、閲覧回数が制限を超過した場合(S36のN)のいずれかであれば、それぞれS38のステップまでスキップされる。文書ファイルが開かれた後、保護文書への操作指示が受け付けられ(S40のY)、その操作の内容が制限の範囲内である場合(S42のY)、操作許否決定部46は、その操作を許可して実行させる(S44)。操作の内容が制限を超過する場合(S42のN)、S44はスキップされる。保護文書への操作指示が受け付けられなければ(S40のN)、S42およびS44はスキップされ、本図のフローを終了する。
【0035】
本実施の形態のユーザ端末12によれば、保護文書を最初に格納した原本ファイルに、その原本ファイルの属性を示すハッシュ値が静的に格納される。文書ファイルのオープン指示を受け付けた際には、その文書ファイルの属性を示すハッシュ値が動的に取得され、その文書ファイルに格納されたハッシュ値と比較される。原本ファイルをコピーしたコピーファイルの場合、動的ハッシュ値としてコピーファイルの属性に基づくハッシュ値が取得され、静的ハッシュ値として原本ファイルの属性に基づくハッシュ値が取得されるため不一致となる。したがって、コピーファイルのオープンが困難となり、保護文書のセキュリティを向上させることができる。言い換えれば、原本ファイルに設定された閲覧回数の制限等、各種操作の制限が、ファイルコピーにより実質的に無効化されてしまうことを防止できる。
【0036】
またユーザ端末12によれば、文書ファイルの属性としてファイル作成日時と、パス名とが用いられる。ファイル作成日時およびパス名は、一般的に、原本ファイルとコピーファイルとの間で異なるものであるため、コピーファイルのオープンを困難にすることができる。また、原本ファイルには静的ハッシュ値が格納され、動的ハッシュ値との比較に用いられる。静的ハッシュ値から元の属性値を求めることは困難であり、また、ユーザによる改ざんも困難であるため、保護文書のセキュリティを向上させることができる。
【0037】
さらにユーザ端末12によれば、ユーザ端末12を一意に特定する属性をキーとして文書ファイルが暗号化され、復号される。これにより、あるユーザ端末12で暗号化された文書ファイルを、他のユーザ端末12で復号することはできないため、参照可能な文書ファイルの拡散を抑制し、保護文書のセキュリティを向上させることができる。
【0038】
さらにまたユーザ端末12によれば、文書ファイルに記録された保護文書が閲覧される際、コンテント配信サーバ10等の外部装置と通信を必要としない。すなわちユーザ端末12は、スタンドアロン環境において保護文書のセキュリティを維持できる。また、ファイル管理部22はOSの機能を利用して実現され、また、ファイルコピーそのものを禁止することはないため、ユーザ端末12の動作環境を大きく制約することなく、保護文書のセキュリティを維持できる。
【0039】
以上、本発明を実施の形態をもとに説明した。この実施の形態は例示であり、それらの各構成要素や各処理プロセスの組合せにいろいろな変形例が可能なこと、またそうした変形例も本発明の範囲にあることは当業者に理解されるところである。
【0040】
上記実施の形態では、ファイル管理部22はOSにより提供される機能であるとした。変形例として、ファイル管理部22は、コンテント保護部24が含んでもよく、コンテント配信サーバ10等、ユーザ端末12の外部装置により提供される機能であってもよい。OSの中には、コピーファイルの作成日時として、そのコピー元である原本ファイルの作成日時を設定するものがある。このようなOSの場合は特に、OSとは別にファイルの属性を管理するファイル管理部22が設けられることが望ましい。
【0041】
この変形例におけるファイル管理部22は、原本ファイルがコピーされた際は、そのコピーファイルの作成日時としてコピー日時を設定することが望ましい。その他のファイルについては、OSのファイルシステムと同様に管理すればよい。コピーファイルのオープン指示が受け付けられた場合、ファイル検証部44は、ファイル作成日時としてこの変形例のファイル管理部22からコピー日時を取得し、コピー日時を反映した動的ハッシュ値を取得する。したがって、原本ファイルの作成日時を反映した静的ハッシュ値との不一致が検出され、コピーファイルのオープン指示を確実に拒否することができる。例えば、原本ファイルがコピーされ、その原本ファイルの削除後に、コピーファイル名が原本ファイル名にリネームされても、そのコピーファイルを開けないように制限できる。
【0042】
なお、ユーザ端末12は、OSの機能により提供されるファイル管理部と、OSとは異なる主体が提供するファイル管理部との両方を利用してもよい。すなわち、コンテント保護部24は、複数のファイル管理部のそれぞれから開く対象のファイルの属性を取得し、複数の動的ハッシュ値を取得してもよい。そして複数の動的ハッシュ値のいずれに対しても静的ハッシュ値が一致することを条件として、ファイルを開くことを許可してもよい。
【0043】
上述した実施の形態および変形例の任意の組み合わせもまた本発明の実施の形態として有用である。組み合わせによって生じる新たな実施の形態は、組み合わされる実施の形態および変形例それぞれの効果をあわせもつ。
【0044】
請求項に記載の各構成要件が果たすべき機能は、実施の形態および変形例において示された各構成要素の単体もしくはそれらの連携によって実現されることも当業者には理解されるところである。
【符号の説明】
【0045】
10 コンテント配信サーバ、 12 ユーザ端末、 20 ファイル保持部、 22 ファイル管理部、 24 コンテント保護部、 26 操作検出部、 28 コンテント取得部、 30 コンテント出力部、 32 コンテント保存部、 34 ファイル作成部、 36 ファイル設定部、 38 暗号化処理部、 40 アクセス制御部、 42 復号処理部、 44 ファイル検証部、 46 操作許否決定部、 100 情報処理システム。
【特許請求の範囲】
【請求項1】
電子コンテントをファイルに保存すべき際、その電子コンテントとともに、所定のファイル管理手段により管理される前記ファイルの属性である保存時属性を示すデータを、前記ファイルに格納するコンテント保存部と、
前記電子コンテントを格納したファイルであるコンテント格納ファイルに対するアクセス要求が受け付けられたとき、前記ファイル管理手段により管理される前記コンテント格納ファイルの属性であるアクセス時属性を示すデータが、前記コンテント格納ファイルに格納された保存時属性を示すデータと合致することを条件として、前記アクセス要求を許可するアクセス制御部と、
を備えることを特徴とするコンテント保護装置。
【請求項2】
前記保存時属性およびアクセス時属性は、ファイルの作成日時とパス名との少なくとも1つを含むものであることを特徴とする請求項1に記載のコンテント保護装置。
【請求項3】
前記コンテント保存部は、前記保存時属性のハッシュ値を前記ファイルに設定し、
前記アクセス制御部は、前記アクセス時属性のハッシュ値を、前記コンテント格納ファイルに格納された保存時属性のハッシュ値と比較することを特徴とする請求項1または2に記載のコンテント保護装置。
【請求項4】
前記コンテント保存部は、前記電子コンテントに対する所定操作の制限を前記ファイルにさらに格納し、
前記アクセス制御部は、前記電子コンテントに対して要求された操作が前記制限の範囲内であることを条件として、その操作の実行を許可することを特徴とする請求項1から3のいずれかに記載のコンテント保護装置。
【請求項5】
前記コンテント保存部は、前記電子コンテントを保存する装置の属性のうち、その装置を一意に特定可能な所定属性をキーとして前記ファイルを暗号化し、
前記アクセス制御部は、前記コンテント格納ファイルに対してアクセスする装置の前記所定属性をキーとして、暗号化されたコンテント格納ファイルを復号することを特徴とする請求項1から4のいずれかに記載のコンテント保護装置。
【請求項6】
前記ファイル管理手段はオペレーティングシステムであり、
前記オペレーティングシステムとは別にファイルの属性を管理するファイル管理部をさらに備え、
前記コンテント保存部は、前記電子コンテントが最初に格納されたファイルを原本ファイルとし、その作成日時を前記保存時属性として前記原本ファイルに格納し、
前記ファイル管理部は、前記原本ファイルがコピーされた際、そのコピー日時をコピーファイルの作成日時として記録し、
前記アクセス制御部は、前記コピーファイルに対するアクセス要求が受け付けられたとき、前記ファイル管理部により記録された前記コピーファイルの作成日時を、前記コピーファイルに格納された前記原本ファイルの作成日時と比較することにより、前記アクセス要求を拒否することを特徴とする請求項1から5のいずれかに記載のコンテント保護装置。
【請求項7】
電子コンテントをファイルに保存すべき際、その電子コンテントとともに、所定のファイル管理手段により管理される前記ファイルの属性である保存時属性を示すデータを、前記ファイルに格納する機能と、
前記電子コンテントを格納したファイルであるコンテント格納ファイルに対するアクセス要求が受け付けられたとき、前記ファイル管理手段により管理される前記コンテント格納ファイルの属性であるアクセス時属性を示すデータが、前記コンテント格納ファイルに格納された保存時属性を示すデータと合致することを条件として、前記アクセス要求を許可する機能と、
をコンピュータに実行させるためのコンピュータプログラム。
【請求項1】
電子コンテントをファイルに保存すべき際、その電子コンテントとともに、所定のファイル管理手段により管理される前記ファイルの属性である保存時属性を示すデータを、前記ファイルに格納するコンテント保存部と、
前記電子コンテントを格納したファイルであるコンテント格納ファイルに対するアクセス要求が受け付けられたとき、前記ファイル管理手段により管理される前記コンテント格納ファイルの属性であるアクセス時属性を示すデータが、前記コンテント格納ファイルに格納された保存時属性を示すデータと合致することを条件として、前記アクセス要求を許可するアクセス制御部と、
を備えることを特徴とするコンテント保護装置。
【請求項2】
前記保存時属性およびアクセス時属性は、ファイルの作成日時とパス名との少なくとも1つを含むものであることを特徴とする請求項1に記載のコンテント保護装置。
【請求項3】
前記コンテント保存部は、前記保存時属性のハッシュ値を前記ファイルに設定し、
前記アクセス制御部は、前記アクセス時属性のハッシュ値を、前記コンテント格納ファイルに格納された保存時属性のハッシュ値と比較することを特徴とする請求項1または2に記載のコンテント保護装置。
【請求項4】
前記コンテント保存部は、前記電子コンテントに対する所定操作の制限を前記ファイルにさらに格納し、
前記アクセス制御部は、前記電子コンテントに対して要求された操作が前記制限の範囲内であることを条件として、その操作の実行を許可することを特徴とする請求項1から3のいずれかに記載のコンテント保護装置。
【請求項5】
前記コンテント保存部は、前記電子コンテントを保存する装置の属性のうち、その装置を一意に特定可能な所定属性をキーとして前記ファイルを暗号化し、
前記アクセス制御部は、前記コンテント格納ファイルに対してアクセスする装置の前記所定属性をキーとして、暗号化されたコンテント格納ファイルを復号することを特徴とする請求項1から4のいずれかに記載のコンテント保護装置。
【請求項6】
前記ファイル管理手段はオペレーティングシステムであり、
前記オペレーティングシステムとは別にファイルの属性を管理するファイル管理部をさらに備え、
前記コンテント保存部は、前記電子コンテントが最初に格納されたファイルを原本ファイルとし、その作成日時を前記保存時属性として前記原本ファイルに格納し、
前記ファイル管理部は、前記原本ファイルがコピーされた際、そのコピー日時をコピーファイルの作成日時として記録し、
前記アクセス制御部は、前記コピーファイルに対するアクセス要求が受け付けられたとき、前記ファイル管理部により記録された前記コピーファイルの作成日時を、前記コピーファイルに格納された前記原本ファイルの作成日時と比較することにより、前記アクセス要求を拒否することを特徴とする請求項1から5のいずれかに記載のコンテント保護装置。
【請求項7】
電子コンテントをファイルに保存すべき際、その電子コンテントとともに、所定のファイル管理手段により管理される前記ファイルの属性である保存時属性を示すデータを、前記ファイルに格納する機能と、
前記電子コンテントを格納したファイルであるコンテント格納ファイルに対するアクセス要求が受け付けられたとき、前記ファイル管理手段により管理される前記コンテント格納ファイルの属性であるアクセス時属性を示すデータが、前記コンテント格納ファイルに格納された保存時属性を示すデータと合致することを条件として、前記アクセス要求を許可する機能と、
をコンピュータに実行させるためのコンピュータプログラム。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2011−198255(P2011−198255A)
【公開日】平成23年10月6日(2011.10.6)
【国際特許分類】
【出願番号】特願2010−66486(P2010−66486)
【出願日】平成22年3月23日(2010.3.23)
【出願人】(000155469)株式会社野村総合研究所 (1,067)
【Fターム(参考)】
【公開日】平成23年10月6日(2011.10.6)
【国際特許分類】
【出願日】平成22年3月23日(2010.3.23)
【出願人】(000155469)株式会社野村総合研究所 (1,067)
【Fターム(参考)】
[ Back to top ]