セキュリティプログラム及びセキュリティシステム
【課題】 コンピュータ内のファイルが無権限者から閲覧されないようにする。
【解決手段】 USBメモリ12がコンピュータ26に接続された状態で記憶部17の識別コード22とUSBメモリ12の識別コード23とを照合して認証作業を行うステップと、コンピュータ26がUSBメモリ12と通信不可能の場合に保護対象ファイル20a、20c、20eをコンピュータの画面上で表示不可とするステップと、認証が成功の場合に保護対象ファイル20a、20c、20eを表示可能とするステップと、をコンピュータ26に実行させる。
【解決手段】 USBメモリ12がコンピュータ26に接続された状態で記憶部17の識別コード22とUSBメモリ12の識別コード23とを照合して認証作業を行うステップと、コンピュータ26がUSBメモリ12と通信不可能の場合に保護対象ファイル20a、20c、20eをコンピュータの画面上で表示不可とするステップと、認証が成功の場合に保護対象ファイル20a、20c、20eを表示可能とするステップと、をコンピュータ26に実行させる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、パソコン等のコンピュータに保存されたファイルを無権限者に閲覧されないようにするセキュリティプログラム及びセキュリティシステムに関するものである。
【背景技術】
【0002】
従来、パソコン等のコンピュータに無権限者がアクセスしてファイルを閲覧等することのないように、セキュリティ機能としてパスワード認証が採用されている(例えば、特許文献1参照)。このパスワード認証は、パソコンの起動時にユーザが自己のID及びパスワードを入力し、そのID及びパスワードが正規のものであると判定された場合にパソコンの使用を許可するものが一般的である。また、パソコンのハードディスクに保存された個々のフォルダ毎にパスワードが設定されるものも現れている。この場合、ユーザが該フォルダを開こうとすると、IDおよびパスワードを入力するように要求されることとなる。
【0003】
さらに最近では、パソコンへのログオン時にユーザが指紋入力装置に指を置いて指紋データをパソコンに入力し、これがパソコン内に予め保存された登録指紋データと一致すれば、ログオンが許可される生態認証技術も実用されている(例えば、特許文献2参照)。
【特許文献1】特開2003−150455号公報
【特許文献2】特開2005−85226号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、前記パスワード認証の場合、ユーザはパスワードを暗記したり紙に書きとめる等して管理しているが、他人にパスワードを盗み見られてしまうと、容易に不正アクセスを許してしまうという問題がある。さらに、フォルダ毎にパスワードが設定される場合には、該フォルダがクリックされるとパスワード入力ウィンドウがパソコン画面に現れるため、そのフォルダ内に重要なデータが存在することを他人に教えてしまう結果にもなる。
【0005】
また、生態認証の場合でも、第三者はログインのために生態認証が必要であることをパソコンの起動段階で容易に知ることができ、高度な専門知識を有する者であれば何らかの不正アクセスをして保護機能を破ってしまう可能性もある。
【0006】
本発明は、前記問題に鑑みてなされたもので、コンピュータ内のファイルが無権限者から閲覧等されないようにセキュリティ性を向上させることを目的としている。
【課題を解決するための手段】
【0007】
本発明は第1に、コンピュータが外部記録媒体と通信可能な状態で、コンピュータの記憶部に保存された識別コードと前記外部記録媒体に保存された識別コードとを照合して認証作業を行う第1ステップと、前記コンピュータが前記外部記憶媒体と通信不可能の場合あるいは前記認証が不成功の場合に、前記コンピュータの記憶部に保存された所定の保護対象ファイルを前記コンピュータの画面上に表示不可とする第2ステップと、前記認証が成功の場合に、前記保護対象ファイルを前記コンピュータの画面上に表示可能とする第3ステップと、を前記コンピュータに実行させることを特徴とするセキュリティプログラムを提供している。
【0008】
このようにすると、ユーザは正規の外部記録媒体をコンピュータに対して通信不可能な状態にしたり、前記認証を不成功の状態にするだけで、保護対象ファイルがコンピュータ画面上で表示不可となる。一方、外部記録媒体をコンピュータと通信可能な状態として認証を成功させるだけで、該保護対象ファイルが簡単に表示可能に戻される。即ち、外部記録媒体を鍵の役目として使用して簡単な操作を行うだけで、重要なファイルを無権限者から保護することが可能となる。また、重要なファイルが非表示となることで、保護されたファイルが存在すること自体を第三者に知られないので、セキュリティ性が飛躍的に向上する。なお、本願明細書においてファイルは、データファイルやアプリケーションファイル等の各種ファイルの他、該ファイルを格納したフォルダも含む概念であり、特定のデジタル情報であればよい。
【0009】
前記コンピュータが前記外部記録媒体と通信可能な状態になることをトリガーとして、前記認証作業を前記コンピュータに実行させてもよい。
【0010】
このようにすると、ユーザは外部記録媒体をコンピュータと通信可能状態にするだけでよく、認証に関する入力操作を行う必要がないので、操作性が非常に簡便となり使い勝手が良好となる。
【0011】
前記第2ステップは、前記保護対象ファイルが暗号化された暗号化ファイルを前記記憶部に作成し、かつ、前記保護対象ファイルを削除することで、前記保護対象ファイルを表示不可とするように前記コンピュータに実行させてもよい。
【0012】
このようにすると、外部記録媒体をコンピュータに対して通信不可能な状態にしたり、前記認証を不成功の状態にすることで、保護対象ファイルがコンピュータから削除されるので、不正に保護対象ファイルを閲覧することが不可能になる。また、作成した暗号化ファイルは暗号化されているので、第三者は保護対象ファイルを閲覧することはできない。さらに、暗号化ファイルはコンピュータ側に作成されて外部記録媒体には保存されないので、ユーザが外部記録媒体を紛失して他人がその外部記録媒体の中を閲覧しても、保護対象ファイルや暗号化ファイルが存在せず、セキュリティ性が向上する。
【0013】
前記保護対象ファイルが複数存在する場合、夫々の保護対象ファイルをマージして暗号化することによって前記暗号化ファイルを作成するように前記コンピュータに実行させてもよい。
【0014】
このようにすると、保護対象ファイルが複数存在しても暗号化ファイルは1つにまとめられるので、第三者が暗号化ファイルを見つけて改竄することは困難となり、セキュリティ性が向上する。
【0015】
前記認証作業が一定時間行われなかった場合、前記暗号化ファイルを前記記憶部から削除するように前記コンピュータに実行させてもよい。
【0016】
このようにすると、例えばコンピュータを盗難されてしまった場合でも、暗号化ファイル自体がコンピュータから自動削除されるので、セキュリティ性が更に向上する。
【0017】
前記第3ステップは、前記認証が成功の場合であると共に、ユーザが前記コンピュータに入力するパスワードと前記コンピュータの記憶部に予め保存されたパスワードとを照合して認証が成功した場合に、前記保護対象ファイルを前記コンピュータの画面上で表示可能とするように前記コンピュータに実行させてもよい。
【0018】
このようにすると、外部記録媒体をコンピュータと通信可能な状態として認証を成功させて保護対象ファイルを表示可能状態に戻す際には、パスワードによる認証も追加して行われるので、認証チェックが二重に行われ、セキュリティ性能を更に向上させることができる。
【0019】
前記コンピュータの記憶部に保存された複数のファイルのうち所定のファイルを保護対象ファイルに設定する第4ステップを前記コンピュータに実行させてもよい。
【0020】
このようにすると、ユーザが指定したファイルや、指定された種類のファイル(例えば、特定の拡張子をもつファイル)等を保護対象ファイルに設定することが可能となる。
【0021】
前記コンピュータの記憶部に保存された複数のファイルのうち一部に、前記保護対象ファイルへの設定が不可能なファイルを設けるように前記コンピュータに実行させてもよい。
【0022】
このようにすると、例えば、システムファイルのようにコンピュータ動作に不可欠なファイルが誤って表示不可に設定されることや、ユーザが意図しないファイルが表示不可にされてしまうこと等を防止することができる。
【0023】
前記コンピュータの記憶部に保存された状態で、前記第1ステップ、第2ステップおよび第3ステップを前記コンピュータに実行させる常駐プログラムと、
第2の外部記録媒体に保存された状態で、前記第4ステップを前記コンピュータに実行させる設定プログラムと、に分割して設けられてもよい。
【0024】
このようにすると、保護対象ファイルの設定作業は、設定プログラムが保存された第2の外部記録媒体をコンピュータから読取可能な状態でなければ行うことができないので、ユーザが第2の外部記録媒体を管理しておけば、他人が勝手に設定プログラムを起動して設定変更を行うことはできず、セキュリティ性が更に向上する。
【0025】
前記第2ステップは、前記暗号化ファイルをさらに複数のファイルに分割し、各分割ファイルをそれぞれ異なるフォルダに保存し、前記暗号化ファイルを削除するように、前記コンピュータに実行させもよい。
【0026】
このようにすると、暗号化ファイルは複数の分割ファイルへと分けられ、かつ、それら分割ファイルはそれぞれ別々のフォルダに分散保存された上で、暗号化ファイルは削除されるので、第三者は暗号化ファイルが存在すること自体を知ることができない。したがって、第三者は重要な保護対象ファイルが暗号化されて隠されているという事実自体を知りえないので、第三者には隠されたファイルを改竄しようという動機付けさえも発生させず、セキュリティ性が更に向上する。なお、本願明細書においてフォルダは、Windows(登録商標)やMac OSにおけるフォルダの他、UNIX(登録商標)等におけるディレクトリを含む概念である。
【0027】
前記第2ステップは、前記記憶部における前記各分割ファイルが格納された格納領域上の位置を特定する管理情報を該格納領域にファイルとしてバックアップ保存すると共に、前記各分割ファイルに関する管理情報を削除して前記各分割ファイルへのアクセスを不可とするように、前記コンピュータに実行させてもよい。
【0028】
このようにすると、分割ファイルの格納領域上の位置を特定する管理情報が削除されることで、分割ファイルの呼出処理が不可能となるので、第三者は分割ファイルの存在自体を知ることができず、セキュリティ性が更に向上する。
【0029】
前記第2ステップは、前記記憶部における前記暗号化ファイルが格納された格納領域上の位置を特定する管理情報を該格納領域にファイルとしてバックアップ保存すると共に、前記暗号化ファイルに関する管理情報を削除して前記暗号化ファイルへのアクセスを不可とするように、前記コンピュータに実行させてもよい。
【0030】
このようにすると、暗号化ファイルの格納領域上の位置を特定する管理情報が削除されることで、暗号化ファイルの呼出処理が不可能となるので、第三者は暗号化ファイルの存在自体を知ることができず、セキュリティ性が更に向上する。
【0031】
本発明は第2に、前記セキュリティプログラムが記憶部に保存されたコンピュータを備えていることを特徴とするセキュリティシステムを提供している。
【0032】
本発明は第3に、前記セキュリティプログラムがサーバの記憶部に保存され、該サーバに複数のクライアント端末が通信可能に接続されており、前記サーバは、前記保護対象ファイルを前記クライアント端末の画面上に表示可能とする時刻が登録されたタイム認証データベースを備えていることを特徴とするセキュリティシステムを提供している。
【0033】
このようにすると、正規のユーザがクライアント端末からサーバにアクセスする時間帯が限定されている場合に(例えば、出勤時間など)、サーバ側で保護対象ファイルをクライアント端末の画面上に表示可能とする時間帯を予め登録しておくことで、第三者が正規の外部記録媒体を入手して登録されてない時間帯にアクセスしても、保護対象ファイルが表示不可のままとなり、セキュリティ性が更に向上する。
【発明の効果】
【0034】
本発明によれば、ユーザは外部記録媒体を鍵のように利用するだけで、簡単に保護対象ファイルをコンピュータ画面上で非表示としたり表示可能に戻したりでき、また、保護されたファイルの存在自体も第三者に知られないので、セキュリティ性が飛躍的に向上する。
【発明を実施するための最良の形態】
【0035】
以下、本発明に係る実施形態を図面を参照して説明する。
【0036】
(第1実施形態)
図1は第1実施形態に係るセキュリティシステム10を示すブロック図である。セキュリティシステム10は、図1に示すように、コンピュータ26と、外部記録媒体であるUSB(Universal Serial Bus)メモリ12と、第2外部記録媒体であるCD−ROM13とを備えている。
【0037】
コンピュータ26は、OS(Operating System)としてWindows(登録商標)がインストールされたコンピュータ本体11と、コンピュータ本体11に接続されたキーボードやマウス等である入力装置14と、コンピュータ本体11に接続された液晶ディスプレイやCRT等である表示装置15とを備えている。
【0038】
コンピュータ本体11は、各種演算処理を行うCPU(Central Processing Unit)等の演算部16と、一時記憶用のメモリ29と、USBメモリ12をコンピュータ本体11に通信可能に接続するためのインターフェース機能を有する入出力ポートであるUSB入出力部18と、CD−ROM13内の情報をコンピュータ本体11から読取可能とするためのインターフェース機能を有するCD−ROMドライブであるCD入出力部19と、ハードディスク装置等からなる記憶部17とを備えている。
【0039】
記憶部17は、暗号化/復号化を行う常駐プログラム21と、ユーザ登録を行う設定プログラム24により登録された識別コード22と、設定プログラム24により登録された保護対象ファイルリスト25と、各種のデータファイルやアプリケーションファイル等の保存データであるファイル20a〜20fとを保存している。
【0040】
USBメモリ12は、USB入出力部18のコネクタに接続して使用する持ち歩き可能なフラッシュメモリであり、設定プログラム24により登録された識別コード23を保存している。USBメモリ12は、ハードディスク等をリムーバブルドライブとして認識するための仕様である「USB Mass Storage Class」に準拠しており、OS側が持っているMass Storage Class用のドライバをそのまま利用できるため、比較的新しいOSではドライバをインストールしなくてもUSBメモリ12を差し込むだけですぐにUSBメモリ12を自動認識して使用できる構成となっている。
【0041】
CD−ROM13は、ユーザ登録や保護対象ファイルの登録を行う設定プログラム24を保存している。なお、CD−ROM13に保存された設定プログラム24と、コンピュータ26の記憶部17に保存された常駐プログラム21とでセキュリティプログラムが構成されている。
【0042】
次に、セキュリティシステム10の動作について図2を参照しながら説明する。
【0043】
図2は、図1に示すセキュリティシステム10の動作シーケンスを表すチャート図である。まず、ユーザがコンピュータ26を起動すると、常駐プログラム21が自動的に起動する(ステップS1)。また、ユーザがCD−ROM13をCD入出力部19に入れた状態で、入力装置14を操作して設定プログラム24をCD−ROM13から起動すると(ステップS2)、図3に示すようなメイン画面30が表示装置15に画面表示されると共に、常駐プログラム21は一時停止状態に保持される(ステップS3)。
【0044】
メイン画面30は、ユーザの登録・編集・削除を行うためのユーザ管理ボタン31と、保護対象ファイルの登録・編集・削除を行うための暗号化管理ボタン32と、メイン画面30を閉じて設定プログラム24を終了する終了ボタン33とを備えている。
【0045】
次いで、ユーザはUSBメモリ12をコンピュータ本体11のUSB入出力部18に装着する(ステップS4)。そして、ユーザが入力装置14からメイン画面30のユーザ管理ボタン31をクリックすると、図4に示すようなユーザ管理画面40が表示される。
【0046】
ユーザ管理画面40は、プルダウンメニュー41と、ユーザ入力エリア42と、パスワード入力エリア43と、チェックボックス44と、追加ボタン45と、修正ボタン46と、削除ボタン47と、閉ボタン48とを備えている。
【0047】
プルダウンメニュー41は、現在接続されているUSBメモリ12から認証に用いる対象となるUSBメモリを選択する機能を有する。ユーザ入力エリア42は、ユーザの名前を入力する機能を有する。パスワード入力エリア43は、ユーザの名前に対応したパスワードを入力する機能を有する。チェックボックス44は、該ボックスをオンとした場合には、後述する暗号化ファイル27を復元する際にパスワード認証による二重チェックを行う機能を有する。追加ボタン45は、コンピュータ本体11の記憶部17とUSBメモリ12とに同一の識別コード22、23を記録してユーザ登録作業を行う機能を有する。修正ボタン46は、既に記憶部17とUSBメモリ12とに識別コード22、23が登録されているユーザに関する情報を編集する機能を有する。削除ボタン47は、既に記憶部17とUSBメモリ12とに識別コード22、23が登録されているユーザに関する情報を削除する機能を有する。閉ボタン48は、ユーザ管理画面40を閉じる機能を有する。
【0048】
ユーザは、ユーザ入力エリア42に任意の名前を入力すると共に、パスワード入力エリア43に任意のパスワードを入力し、追加ボタン45をクリックすることでユーザ登録を行うと(ステップS5)、演算部16によりコンピュータ本体11の記憶部17に識別コード22が登録されると共に、USBメモリ12に同一の識別コード23が登録される(ステップS6)。
【0049】
次いで、USBメモリ12がコンピュータ本体11のUSB入出力部18に接続されたままの状態、即ち、USBメモリ12の識別コード23と記憶部17の識別コード22との認証が成功した状態のままで、図3に示すメイン画面30の暗号化管理ボタン32をクリックすると、図5に示すような暗号化管理画面50が表示され、ユーザが保護対象ファイルの登録作業を行う(ステップS7)。
【0050】
暗号化管理画面50は、既存定義エリア51と、新規定義入力エリア52と、既存定義エリア51の左側に設けられたチェックボックス53と、新規定義入力エリア52の右側に設けられたファイル選択ボタン54と、選択設定ボタン55と、確定ボタン56と、キャンセルボタン57とを備えている。
【0051】
既存定義エリア51は、コンピュータ本体11の記憶部17に保存されたファイル20a〜20fのうち指定された保護対象ファイル20a、20c、20eを表示する機能を有する。新規定義入力エリア52は、新たに保護対象ファイルを指定するためのエリアである。チェックボックス53は、既存定義エリア51に表示されたファイル名を保護対象ファイルとして有効にするための機能を有する。ファイル選択ボタン54は、新規定義入力エリア52に新たに保護対象ファイルを追加設定するためにファイルあるいはフォルダを選択する画面を表示させる機能を有する。選択設定ボタン55は、図6に示す選択設定画面60を表示させる機能を有する。確定ボタン56は、暗号化管理画面50に表示された内容で設定を確定させて該画面50を閉じる機能を有する。キャンセルボタン57は、暗号化管理画面50を開く前の状態に設定を維持して該画面50を閉じる機能を有する。
【0052】
選択設定画面60は、図6に示すように、保護対象ファイルとして選択可能なフォルダを限定して指定する機能を有効にするチェックボックス61と、保護対象ファイルとして選択可能なフォルダとしてデスクトップを指定するチェックボックス62と、保護対象ファイルとして選択可能なフォルダとしてマイドキュメントを指定するチェックボックス63と、OSに関連するファイルを保護対象ファイルに指定できないようにする機能を有するチェックボックス64と、表示された内容で設定を確定させて画面60を閉じる機能を有するOKボタン65と、画面60を開く前の状態に設定を維持して該画面60を閉じるキャンセルボタン66とを備えている。即ち、コンピュータ本体11の記憶部17に保存された各ファイル20a〜20fのうち、保護対象ファイルへの設定が不可能なファイルを設けることを可能としている。
【0053】
ユーザは、暗号化管理画面50の既存定義エリア51のチェックボックス53をオンにして、保護対象ファイル20a、20c、20eの設定を行うと、コンピュータ本体11の記憶部17に保護対象ファイルリスト25としてファイル名が登録される。そして、ユーザが設定プログラム24を終了させると(ステップS8)、常駐プログラム21の一時停止が解除される(ステップS9)。
【0054】
次いで、ユーザがUSBメモリ12をコンピュータ本体11から離脱させると(ステップS10)、コンピュータ本体11のOSが該離脱を検知して常駐プログラム21に知らせる。ここで、図7はUSBメモリの装着/離脱時におけるコンピュータ本体11の記憶部17を表す図面である。
【0055】
USBメモリ12が離脱されるとUSBメモリ12の認証が不成功の状態となるので、常駐プログラム21は、図7に示すように、保護対象ファイルリスト25にファイル名が登録された保護対象ファイル20a、20c、20eをマージして暗号化した暗号化ファイル27を記憶部17に新規作成すると共に、元の保護対象ファイル20a、20c、20eを削除することで、暗号化処理を行う(ステップS11)。これにより、保護対象ファイル20a、20c、20eがコンピュータ26の表示装置15で非表示とされる。よって、第三者にコンピュータ26を操作されても保護対象ファイル20a、20c、20eを閲覧されることがない。この際、暗号化ファイルは、保護対象ファイル20a、20c、20eが存在するフォルダと異なるフォルダに作成されると好適である。
【0056】
なお、保護対象ファイル20a、20c、20eの削除の際には、記憶部17の管理情報部(インデックス)から保護対象ファイル20a、20c、20eを削除すると共に、保護対象ファイル20a、20c、20eの実体が保存された物理領域に変更を加える(例えば、ヌルを上書きする)ようにすると好適であるが、該管理情報部(インデックス)から保護対象ファイル20a、20c、20eを削除するだけもよい。
【0057】
次いで、ユーザがUSBメモリ12をコンピュータ本体11のUSB入出力部18に装着すると(ステップS12)、コンピュータ本体11のOSが該装着を検知して常駐プログラム21に知らせる。そうすると、常駐プログラム21は、USBメモリ12の識別コード23と記憶部17の識別コード22とを照合して認証する(ステップS13)。即ち、USBメモリ12がコンピュータ26に接続されることをトリガーとして認証作業が自動的に行われる。この認証が成功すると、図7に示すように、暗号化ファイル27が保護対象ファイル20a、20c、20eに復号化されると共に、暗号化ファイル27が削除される(ステップS14)。これにより、保護対象ファイル20a、20c、20eが通常通りコンピュータ26の表示装置15の画面上で表示可能となる。
【0058】
また、前記ステップS13の認証作業がユーザの設定した一定時間を経過しても行われなかった場合には、常駐プログラム21は暗号化ファイル25を記憶部17から削除するようコンピュータ26に実行させるようにして、コンピュータ26の盗難時のセキュリティ性も向上させている。
【0059】
次に、ユーザ管理画面40のチェックボックス44をオンにした場合について説明する。ユーザ管理画面40でチェックボックス44をオンにする設定としておくと、図8に示すように、コンピュータ本体11の記憶部17にパスワード28が登録される。前述したようにUSBメモリ12をコンピュータ本体11のUSB入出力部18に装着し(ステップS12)、USBメモリ12と記憶部17の識別コード22、23の認証が成功すると(ステップS13)、一般に用いられるようなパスワード認証画面が現れて、ユーザにパスワード入力を要求する。ユーザが記憶部17に登録されたパスワードと同一のパスワードを正しく入力すれば、暗号化ファイル27を保護対象ファイル20a、20c、20eに復号化する(ステップS14)。即ち、ユーザ管理画面40のチェックボックス44をオンとした場合には、暗号化ファイル27を復元する際にパスワード認証による二重チェックを行うことで、セキュリティ性を向上させている。
【0060】
以上に説明した本実施形態のセキュリティシステム10によれば、ユーザは自己のUSBメモリ12をコンピュータ本体11から離脱して認証不成功の状態にするだけで、ユーザ自身が指定した保護対象ファイル20a、20c、20eが削除されて第三者から閲覧されないように確実に防止できる。一方、USBメモリ12をコンピュータ本体11に装着して認証を成功させるだけで、暗号化ファイル27が復号化されて夫々の保護対象ファイル20a、20c、20eを簡単に復元することができる。
【0061】
また、本実施形態ではコンピュータ本体11の起動をセキュリティロックするのではなく、重要なファイルである保護対象ファイル20a、20c、20eを非表示とする方法を採っているので、重要なファイルが存在すること自体が第三者に気付かれず、セキュリティ性が飛躍的に向上する。さらに、暗号化ファイル27はコンピュータ本体11側に作成されてUSBメモリ12には保存されないので、ユーザがUSBメモリ12を紛失して他人がそのUSBメモリ12の中を閲覧しても、保護対象ファイルや20a、20c、20eや暗号化ファイル27が存在しないので更にセキュリティ性が向上する。
【0062】
なお、本実施形態では、常駐プログラム21はコンピュータ本体11に保存され、設定プログラム24はCD−ROM13に保存されているが、ASP方式やサーバクライアント方式のようにインターネットやLAN等のネットワーク経由でサーバのプログラムを利用する形態を用いてもよい。また、本実施形態は外部記録媒体としてUSBメモリ12を利用しているが、フレキシブルディスクや各種メモリカードやCD−ROM等のような他の記録メディアを用いてもよい。また、前述した認証作業は、その外部記録媒体とコンピュータとを無線通信で接続した状態で行ってもよい。
【0063】
(第2実施形態)
図9は第2実施形態に係るセキュリティシステムのフローチャートである。図10はフォルダの階層構造を示す図面である。(なお、以下の説明では第1実施形態と共通する部分について同一符号を用いて説明を省略している。)
図9に示すように、ユーザがUSBメモリ12をコンピュータ本体11から離脱させると(ステップS20)、USBメモリ12の認証が不成功の状態となるので、常駐プログラム21は、保護対象ファイルリスト25にファイル名が登録された保護対象ファイル20a、20c、20eをマージして暗号化した暗号化ファイル27を保護対象ファイル20a、20c、20eと異なるフォルダに新規作成すると共に、元の保護対象ファイル20a、20c、20eを削除することで、暗号化処理を行う(ステップS21)。
【0064】
次いで、その暗号化ファイルをさらに複数(例えば、3つ)のファイルに分割し、各分割ファイルをそれぞれ異なるフォルダF1,F2,F3(図10参照)に分散保存し、暗号化ファイルを削除する(ステップS22)。
【0065】
次に、ユーザがUSBメモリ12をコンピュータ本体11のUSB入出力部18に装着し(ステップS23)、認証が成功すると(ステップS24)、各分割ファイルが結合されて暗号化ファイルが復元される(ステップS25)。そして、その暗号化ファイルを復号化することで保護対象ファイル20a、20c、20eが通常通りコンピュータ26の表示装置15の画面上で表示可能となる(ステップS26)。なお、他の構成は第1実施形態と同様であるため説明を省略する。
【0066】
(第3実施形態)
図11は第3実施形態に係るセキュリティシステムのフローチャートである。図12は記憶部を説明するブロック図である。図11に示すように、ユーザがUSBメモリ12をコンピュータ本体11から離脱させると(ステップS30)、USBメモリ12の認証が不成功の状態となるので、常駐プログラム21は保護対象ファイル20a、20c、20eをマージして暗号化した暗号化ファイル27を保護対象ファイル20a、20c、20eと異なるフォルダに新規作成すると共に、元の保護対象ファイル20a、20c、20eを削除することで、暗号化処理を行う(ステップS31)。次いで、その暗号化ファイルをさらに複数のファイルに分割し、各分割ファイルをそれぞれ異なるフォルダに分散保存し、暗号化ファイルを削除する(ステップS32)。
【0067】
ここで、図12に示すように、ハードディスク装置のような記憶部17は、例えばFAT(ファイルアロケーションテーブル)等のファイル管理情報を有する管理情報部17aを用い、入力された情報の格納領域17b(物理領域)上の格納位置の指定等の格納・読出処理を管理するようにしている。FATによれば、格納される情報毎に情報番号が割り当てられ、この情報番号によってFATの参照値が決定されるので、情報番号により各情報の格納位置を特定できるようになっている。そこで、管理情報部17aに登録された各分割ファイルの管理情報を格納領域17bにファイルとしてバックアップ保存すると共に、各分割ファイルに関する管理情報を管理情報部17aから削除して各分割ファイルへのアクセスを不可とする(ステップS33)。
【0068】
次に、図11に示すように、ユーザがUSBメモリ12をコンピュータ本体11のUSB入出力部18に装着し(ステップS34)、認証が成功すると(ステップS35)、格納領域17bにバックアップ保存された管理情報ファイルに基づいて各分割ファイルの管理情報が管理情報部17aに再作成され、分割ファイルが復元される(ステップS36)。そして、各分割ファイルが結合されて暗号化ファイルが復元される(ステップS37)。そして、その暗号化ファイルが復号化されることで保護対象ファイル20a、20c、20eが通常通りコンピュータ26の表示装置15の画面上で表示可能となる(ステップS38)。なお、他の構成は第1実施形態と同様であるため説明を省略する。
【0069】
(第4実施形態)
図13は第4実施形態に係るセキュリティシステムのフローチャートである。図13に示すように、USBメモリ12が離脱されると(ステップS40)、保護対象ファイル20a、20c、20eをマージして暗号化した暗号化ファイル27が保護対象ファイル20a、20c、20eと異なるフォルダに作成されると共に、元の保護対象ファイル20a、20c、20eが削除されることで、暗号化処理が行われる(ステップS41)。次いで、暗号化ファイルの管理情報が格納領域17bにファイルとしてバックアップ保存されると共に、暗号化ファイルに関する管理情報が管理情報部17aから削除されて暗号化ファイルへのアクセスが不可となる(ステップS42)。
【0070】
次に、ユーザがUSBメモリ12を装着し(ステップS43)、認証が成功すると(ステップS44)、格納領域17bにバックアップ保存された管理情報ファイルに基づいて暗号化ファイルの管理情報が管理情報部17aに再作成され、暗号化ファイルが復元される(ステップS45)。そして、その暗号化ファイルが復号化されることで保護対象ファイル20a、20c、20eが画面表示可能となる(ステップS46)。なお、他の構成は第1実施形態と同様であるため説明を省略する。
【0071】
(第5実施形態)
図14は第5実施形態に係るセキュリティシステムのブロック図である。図14に示すように、本実施形態のセキュリティシステムは、サーバ70に対して複数のクライアント端末78〜80がネットワーク77を介して接続されている。サーバ70は、各種演算処理を行うCPU等の演算部71と、一時記憶用のメモリ75と、ネットワーク77に接続するインターフェース部76と、クライアント端末78〜80を利用する各ユーザのファイルや上述した常駐プログラムが保存される記憶部72と、各ユーザの保護対象ファイルリストや識別コードが登録されるユーザ管理データベース73と、保護対象ファイルをクライアント端末78〜80の画面上に表示可能とする時刻が登録されたタイム認証データベース74とを備えている。クライアント端末78〜80を利用するユーザは、自分が利用しうる時間帯(例えば、出勤時間)をサーバ70のタイム認証データベース74に予め登録しておく。
【0072】
図15は第5実施形態に係るセキュリティシステムのフローチャートである。図15に示すように、ユーザがUSBメモリ12を装着し(ステップS50)、識別コードの認証が成功すると(ステップS51)、サーバ70は、クライアント端末78から受信した識別コードを元にタイム認証データベース74を参照する。そして、現在のアクセス時刻がその識別コードのユーザの登録時間外であると判定されると(ステップS52)、サーバ70は識別コードが一致しても認証がNGであるとして、保護対象ファイルがクライアント端末78に表示されないままとする(ステップS55)。
【0073】
一方、サーバ70がタイム認証データベース74を参照し、現在のアクセス時刻がその識別コードのユーザの登録時間内であると判定されると(ステップS52)、認証がOKであるとして(ステップS53)、暗号化ファイルを復号化し保護対象ファイルを画面表示可能にする(ステップS54)
以上の構成とすれば、第三者が、登録された時間帯以外(例えば、夜中)に、不正に入手した正規のUSBメモリ12をクライアント端末78に装着してサーバ70へのアクセスを試みても、第三者は保護対象ファイルを閲覧することができず、サーバクライアント型システムでのセキュリティ性が更に向上する。
【産業上の利用可能性】
【0074】
以上のように、本発明に係るセキュリティプログラムおよびセキュリティシステムは、ユーザは外部記録媒体を鍵のように利用するだけで、保護対象ファイルの存在自体を第三者に知られないようにして隠すことができ、セキュリティ性が飛躍的に向上する優れた効果を有し、このようなセキュリティシステム等に適用するのに適している。
【図面の簡単な説明】
【0075】
【図1】本発明の第1実施形態に係るセキュリティシステムを示すブロック図である。
【図2】図1に示すセキュリティシステムの動作シーケンスを表すチャート図である。
【図3】メイン画面を表す図面である。
【図4】ユーザ管理画面を表す図面である。
【図5】暗号化管理画面を表す図面である。
【図6】選択設定画面を表す図面である。
【図7】USBメモリの装着/離脱時におけるコンピュータの記憶部を表す図面である。
【図8】パスワード認証機能の追加時のセキュリティシステムを示すブロック図である。
【図9】第2実施形態に係るセキュリティシステムのフローチャートである。
【図10】フォルダの階層構造を示す図面である。
【図11】第3実施形態に係るセキュリティシステムのフローチャートである。
【図12】記憶部を説明するブロック図である。
【図13】第4実施形態に係るセキュリティシステムのフローチャートである。
【図14】第5実施形態に係るセキュリティシステムのブロック図である。
【図15】第5実施形態に係るセキュリティシステムのフローチャートである。
【符号の説明】
【0076】
10 セキュリティシステム
11 コンピュータ本体
12 USBメモリ(外部記録媒体)
13 CD−ROM(第2外部記録媒体)
14 入力装置
15 表示装置
16 演算部
17 記憶部
18 USB入出力部
19 CD入出力部
20a、20c、20e 保護対象ファイル
21 常駐プログラム
22、23 識別コード
24 設定プログラム
25 保護対象ファイルリスト
26 コンピュータ
27 暗号化ファイル
28 パスワード
29 メモリ
【技術分野】
【0001】
本発明は、パソコン等のコンピュータに保存されたファイルを無権限者に閲覧されないようにするセキュリティプログラム及びセキュリティシステムに関するものである。
【背景技術】
【0002】
従来、パソコン等のコンピュータに無権限者がアクセスしてファイルを閲覧等することのないように、セキュリティ機能としてパスワード認証が採用されている(例えば、特許文献1参照)。このパスワード認証は、パソコンの起動時にユーザが自己のID及びパスワードを入力し、そのID及びパスワードが正規のものであると判定された場合にパソコンの使用を許可するものが一般的である。また、パソコンのハードディスクに保存された個々のフォルダ毎にパスワードが設定されるものも現れている。この場合、ユーザが該フォルダを開こうとすると、IDおよびパスワードを入力するように要求されることとなる。
【0003】
さらに最近では、パソコンへのログオン時にユーザが指紋入力装置に指を置いて指紋データをパソコンに入力し、これがパソコン内に予め保存された登録指紋データと一致すれば、ログオンが許可される生態認証技術も実用されている(例えば、特許文献2参照)。
【特許文献1】特開2003−150455号公報
【特許文献2】特開2005−85226号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、前記パスワード認証の場合、ユーザはパスワードを暗記したり紙に書きとめる等して管理しているが、他人にパスワードを盗み見られてしまうと、容易に不正アクセスを許してしまうという問題がある。さらに、フォルダ毎にパスワードが設定される場合には、該フォルダがクリックされるとパスワード入力ウィンドウがパソコン画面に現れるため、そのフォルダ内に重要なデータが存在することを他人に教えてしまう結果にもなる。
【0005】
また、生態認証の場合でも、第三者はログインのために生態認証が必要であることをパソコンの起動段階で容易に知ることができ、高度な専門知識を有する者であれば何らかの不正アクセスをして保護機能を破ってしまう可能性もある。
【0006】
本発明は、前記問題に鑑みてなされたもので、コンピュータ内のファイルが無権限者から閲覧等されないようにセキュリティ性を向上させることを目的としている。
【課題を解決するための手段】
【0007】
本発明は第1に、コンピュータが外部記録媒体と通信可能な状態で、コンピュータの記憶部に保存された識別コードと前記外部記録媒体に保存された識別コードとを照合して認証作業を行う第1ステップと、前記コンピュータが前記外部記憶媒体と通信不可能の場合あるいは前記認証が不成功の場合に、前記コンピュータの記憶部に保存された所定の保護対象ファイルを前記コンピュータの画面上に表示不可とする第2ステップと、前記認証が成功の場合に、前記保護対象ファイルを前記コンピュータの画面上に表示可能とする第3ステップと、を前記コンピュータに実行させることを特徴とするセキュリティプログラムを提供している。
【0008】
このようにすると、ユーザは正規の外部記録媒体をコンピュータに対して通信不可能な状態にしたり、前記認証を不成功の状態にするだけで、保護対象ファイルがコンピュータ画面上で表示不可となる。一方、外部記録媒体をコンピュータと通信可能な状態として認証を成功させるだけで、該保護対象ファイルが簡単に表示可能に戻される。即ち、外部記録媒体を鍵の役目として使用して簡単な操作を行うだけで、重要なファイルを無権限者から保護することが可能となる。また、重要なファイルが非表示となることで、保護されたファイルが存在すること自体を第三者に知られないので、セキュリティ性が飛躍的に向上する。なお、本願明細書においてファイルは、データファイルやアプリケーションファイル等の各種ファイルの他、該ファイルを格納したフォルダも含む概念であり、特定のデジタル情報であればよい。
【0009】
前記コンピュータが前記外部記録媒体と通信可能な状態になることをトリガーとして、前記認証作業を前記コンピュータに実行させてもよい。
【0010】
このようにすると、ユーザは外部記録媒体をコンピュータと通信可能状態にするだけでよく、認証に関する入力操作を行う必要がないので、操作性が非常に簡便となり使い勝手が良好となる。
【0011】
前記第2ステップは、前記保護対象ファイルが暗号化された暗号化ファイルを前記記憶部に作成し、かつ、前記保護対象ファイルを削除することで、前記保護対象ファイルを表示不可とするように前記コンピュータに実行させてもよい。
【0012】
このようにすると、外部記録媒体をコンピュータに対して通信不可能な状態にしたり、前記認証を不成功の状態にすることで、保護対象ファイルがコンピュータから削除されるので、不正に保護対象ファイルを閲覧することが不可能になる。また、作成した暗号化ファイルは暗号化されているので、第三者は保護対象ファイルを閲覧することはできない。さらに、暗号化ファイルはコンピュータ側に作成されて外部記録媒体には保存されないので、ユーザが外部記録媒体を紛失して他人がその外部記録媒体の中を閲覧しても、保護対象ファイルや暗号化ファイルが存在せず、セキュリティ性が向上する。
【0013】
前記保護対象ファイルが複数存在する場合、夫々の保護対象ファイルをマージして暗号化することによって前記暗号化ファイルを作成するように前記コンピュータに実行させてもよい。
【0014】
このようにすると、保護対象ファイルが複数存在しても暗号化ファイルは1つにまとめられるので、第三者が暗号化ファイルを見つけて改竄することは困難となり、セキュリティ性が向上する。
【0015】
前記認証作業が一定時間行われなかった場合、前記暗号化ファイルを前記記憶部から削除するように前記コンピュータに実行させてもよい。
【0016】
このようにすると、例えばコンピュータを盗難されてしまった場合でも、暗号化ファイル自体がコンピュータから自動削除されるので、セキュリティ性が更に向上する。
【0017】
前記第3ステップは、前記認証が成功の場合であると共に、ユーザが前記コンピュータに入力するパスワードと前記コンピュータの記憶部に予め保存されたパスワードとを照合して認証が成功した場合に、前記保護対象ファイルを前記コンピュータの画面上で表示可能とするように前記コンピュータに実行させてもよい。
【0018】
このようにすると、外部記録媒体をコンピュータと通信可能な状態として認証を成功させて保護対象ファイルを表示可能状態に戻す際には、パスワードによる認証も追加して行われるので、認証チェックが二重に行われ、セキュリティ性能を更に向上させることができる。
【0019】
前記コンピュータの記憶部に保存された複数のファイルのうち所定のファイルを保護対象ファイルに設定する第4ステップを前記コンピュータに実行させてもよい。
【0020】
このようにすると、ユーザが指定したファイルや、指定された種類のファイル(例えば、特定の拡張子をもつファイル)等を保護対象ファイルに設定することが可能となる。
【0021】
前記コンピュータの記憶部に保存された複数のファイルのうち一部に、前記保護対象ファイルへの設定が不可能なファイルを設けるように前記コンピュータに実行させてもよい。
【0022】
このようにすると、例えば、システムファイルのようにコンピュータ動作に不可欠なファイルが誤って表示不可に設定されることや、ユーザが意図しないファイルが表示不可にされてしまうこと等を防止することができる。
【0023】
前記コンピュータの記憶部に保存された状態で、前記第1ステップ、第2ステップおよび第3ステップを前記コンピュータに実行させる常駐プログラムと、
第2の外部記録媒体に保存された状態で、前記第4ステップを前記コンピュータに実行させる設定プログラムと、に分割して設けられてもよい。
【0024】
このようにすると、保護対象ファイルの設定作業は、設定プログラムが保存された第2の外部記録媒体をコンピュータから読取可能な状態でなければ行うことができないので、ユーザが第2の外部記録媒体を管理しておけば、他人が勝手に設定プログラムを起動して設定変更を行うことはできず、セキュリティ性が更に向上する。
【0025】
前記第2ステップは、前記暗号化ファイルをさらに複数のファイルに分割し、各分割ファイルをそれぞれ異なるフォルダに保存し、前記暗号化ファイルを削除するように、前記コンピュータに実行させもよい。
【0026】
このようにすると、暗号化ファイルは複数の分割ファイルへと分けられ、かつ、それら分割ファイルはそれぞれ別々のフォルダに分散保存された上で、暗号化ファイルは削除されるので、第三者は暗号化ファイルが存在すること自体を知ることができない。したがって、第三者は重要な保護対象ファイルが暗号化されて隠されているという事実自体を知りえないので、第三者には隠されたファイルを改竄しようという動機付けさえも発生させず、セキュリティ性が更に向上する。なお、本願明細書においてフォルダは、Windows(登録商標)やMac OSにおけるフォルダの他、UNIX(登録商標)等におけるディレクトリを含む概念である。
【0027】
前記第2ステップは、前記記憶部における前記各分割ファイルが格納された格納領域上の位置を特定する管理情報を該格納領域にファイルとしてバックアップ保存すると共に、前記各分割ファイルに関する管理情報を削除して前記各分割ファイルへのアクセスを不可とするように、前記コンピュータに実行させてもよい。
【0028】
このようにすると、分割ファイルの格納領域上の位置を特定する管理情報が削除されることで、分割ファイルの呼出処理が不可能となるので、第三者は分割ファイルの存在自体を知ることができず、セキュリティ性が更に向上する。
【0029】
前記第2ステップは、前記記憶部における前記暗号化ファイルが格納された格納領域上の位置を特定する管理情報を該格納領域にファイルとしてバックアップ保存すると共に、前記暗号化ファイルに関する管理情報を削除して前記暗号化ファイルへのアクセスを不可とするように、前記コンピュータに実行させてもよい。
【0030】
このようにすると、暗号化ファイルの格納領域上の位置を特定する管理情報が削除されることで、暗号化ファイルの呼出処理が不可能となるので、第三者は暗号化ファイルの存在自体を知ることができず、セキュリティ性が更に向上する。
【0031】
本発明は第2に、前記セキュリティプログラムが記憶部に保存されたコンピュータを備えていることを特徴とするセキュリティシステムを提供している。
【0032】
本発明は第3に、前記セキュリティプログラムがサーバの記憶部に保存され、該サーバに複数のクライアント端末が通信可能に接続されており、前記サーバは、前記保護対象ファイルを前記クライアント端末の画面上に表示可能とする時刻が登録されたタイム認証データベースを備えていることを特徴とするセキュリティシステムを提供している。
【0033】
このようにすると、正規のユーザがクライアント端末からサーバにアクセスする時間帯が限定されている場合に(例えば、出勤時間など)、サーバ側で保護対象ファイルをクライアント端末の画面上に表示可能とする時間帯を予め登録しておくことで、第三者が正規の外部記録媒体を入手して登録されてない時間帯にアクセスしても、保護対象ファイルが表示不可のままとなり、セキュリティ性が更に向上する。
【発明の効果】
【0034】
本発明によれば、ユーザは外部記録媒体を鍵のように利用するだけで、簡単に保護対象ファイルをコンピュータ画面上で非表示としたり表示可能に戻したりでき、また、保護されたファイルの存在自体も第三者に知られないので、セキュリティ性が飛躍的に向上する。
【発明を実施するための最良の形態】
【0035】
以下、本発明に係る実施形態を図面を参照して説明する。
【0036】
(第1実施形態)
図1は第1実施形態に係るセキュリティシステム10を示すブロック図である。セキュリティシステム10は、図1に示すように、コンピュータ26と、外部記録媒体であるUSB(Universal Serial Bus)メモリ12と、第2外部記録媒体であるCD−ROM13とを備えている。
【0037】
コンピュータ26は、OS(Operating System)としてWindows(登録商標)がインストールされたコンピュータ本体11と、コンピュータ本体11に接続されたキーボードやマウス等である入力装置14と、コンピュータ本体11に接続された液晶ディスプレイやCRT等である表示装置15とを備えている。
【0038】
コンピュータ本体11は、各種演算処理を行うCPU(Central Processing Unit)等の演算部16と、一時記憶用のメモリ29と、USBメモリ12をコンピュータ本体11に通信可能に接続するためのインターフェース機能を有する入出力ポートであるUSB入出力部18と、CD−ROM13内の情報をコンピュータ本体11から読取可能とするためのインターフェース機能を有するCD−ROMドライブであるCD入出力部19と、ハードディスク装置等からなる記憶部17とを備えている。
【0039】
記憶部17は、暗号化/復号化を行う常駐プログラム21と、ユーザ登録を行う設定プログラム24により登録された識別コード22と、設定プログラム24により登録された保護対象ファイルリスト25と、各種のデータファイルやアプリケーションファイル等の保存データであるファイル20a〜20fとを保存している。
【0040】
USBメモリ12は、USB入出力部18のコネクタに接続して使用する持ち歩き可能なフラッシュメモリであり、設定プログラム24により登録された識別コード23を保存している。USBメモリ12は、ハードディスク等をリムーバブルドライブとして認識するための仕様である「USB Mass Storage Class」に準拠しており、OS側が持っているMass Storage Class用のドライバをそのまま利用できるため、比較的新しいOSではドライバをインストールしなくてもUSBメモリ12を差し込むだけですぐにUSBメモリ12を自動認識して使用できる構成となっている。
【0041】
CD−ROM13は、ユーザ登録や保護対象ファイルの登録を行う設定プログラム24を保存している。なお、CD−ROM13に保存された設定プログラム24と、コンピュータ26の記憶部17に保存された常駐プログラム21とでセキュリティプログラムが構成されている。
【0042】
次に、セキュリティシステム10の動作について図2を参照しながら説明する。
【0043】
図2は、図1に示すセキュリティシステム10の動作シーケンスを表すチャート図である。まず、ユーザがコンピュータ26を起動すると、常駐プログラム21が自動的に起動する(ステップS1)。また、ユーザがCD−ROM13をCD入出力部19に入れた状態で、入力装置14を操作して設定プログラム24をCD−ROM13から起動すると(ステップS2)、図3に示すようなメイン画面30が表示装置15に画面表示されると共に、常駐プログラム21は一時停止状態に保持される(ステップS3)。
【0044】
メイン画面30は、ユーザの登録・編集・削除を行うためのユーザ管理ボタン31と、保護対象ファイルの登録・編集・削除を行うための暗号化管理ボタン32と、メイン画面30を閉じて設定プログラム24を終了する終了ボタン33とを備えている。
【0045】
次いで、ユーザはUSBメモリ12をコンピュータ本体11のUSB入出力部18に装着する(ステップS4)。そして、ユーザが入力装置14からメイン画面30のユーザ管理ボタン31をクリックすると、図4に示すようなユーザ管理画面40が表示される。
【0046】
ユーザ管理画面40は、プルダウンメニュー41と、ユーザ入力エリア42と、パスワード入力エリア43と、チェックボックス44と、追加ボタン45と、修正ボタン46と、削除ボタン47と、閉ボタン48とを備えている。
【0047】
プルダウンメニュー41は、現在接続されているUSBメモリ12から認証に用いる対象となるUSBメモリを選択する機能を有する。ユーザ入力エリア42は、ユーザの名前を入力する機能を有する。パスワード入力エリア43は、ユーザの名前に対応したパスワードを入力する機能を有する。チェックボックス44は、該ボックスをオンとした場合には、後述する暗号化ファイル27を復元する際にパスワード認証による二重チェックを行う機能を有する。追加ボタン45は、コンピュータ本体11の記憶部17とUSBメモリ12とに同一の識別コード22、23を記録してユーザ登録作業を行う機能を有する。修正ボタン46は、既に記憶部17とUSBメモリ12とに識別コード22、23が登録されているユーザに関する情報を編集する機能を有する。削除ボタン47は、既に記憶部17とUSBメモリ12とに識別コード22、23が登録されているユーザに関する情報を削除する機能を有する。閉ボタン48は、ユーザ管理画面40を閉じる機能を有する。
【0048】
ユーザは、ユーザ入力エリア42に任意の名前を入力すると共に、パスワード入力エリア43に任意のパスワードを入力し、追加ボタン45をクリックすることでユーザ登録を行うと(ステップS5)、演算部16によりコンピュータ本体11の記憶部17に識別コード22が登録されると共に、USBメモリ12に同一の識別コード23が登録される(ステップS6)。
【0049】
次いで、USBメモリ12がコンピュータ本体11のUSB入出力部18に接続されたままの状態、即ち、USBメモリ12の識別コード23と記憶部17の識別コード22との認証が成功した状態のままで、図3に示すメイン画面30の暗号化管理ボタン32をクリックすると、図5に示すような暗号化管理画面50が表示され、ユーザが保護対象ファイルの登録作業を行う(ステップS7)。
【0050】
暗号化管理画面50は、既存定義エリア51と、新規定義入力エリア52と、既存定義エリア51の左側に設けられたチェックボックス53と、新規定義入力エリア52の右側に設けられたファイル選択ボタン54と、選択設定ボタン55と、確定ボタン56と、キャンセルボタン57とを備えている。
【0051】
既存定義エリア51は、コンピュータ本体11の記憶部17に保存されたファイル20a〜20fのうち指定された保護対象ファイル20a、20c、20eを表示する機能を有する。新規定義入力エリア52は、新たに保護対象ファイルを指定するためのエリアである。チェックボックス53は、既存定義エリア51に表示されたファイル名を保護対象ファイルとして有効にするための機能を有する。ファイル選択ボタン54は、新規定義入力エリア52に新たに保護対象ファイルを追加設定するためにファイルあるいはフォルダを選択する画面を表示させる機能を有する。選択設定ボタン55は、図6に示す選択設定画面60を表示させる機能を有する。確定ボタン56は、暗号化管理画面50に表示された内容で設定を確定させて該画面50を閉じる機能を有する。キャンセルボタン57は、暗号化管理画面50を開く前の状態に設定を維持して該画面50を閉じる機能を有する。
【0052】
選択設定画面60は、図6に示すように、保護対象ファイルとして選択可能なフォルダを限定して指定する機能を有効にするチェックボックス61と、保護対象ファイルとして選択可能なフォルダとしてデスクトップを指定するチェックボックス62と、保護対象ファイルとして選択可能なフォルダとしてマイドキュメントを指定するチェックボックス63と、OSに関連するファイルを保護対象ファイルに指定できないようにする機能を有するチェックボックス64と、表示された内容で設定を確定させて画面60を閉じる機能を有するOKボタン65と、画面60を開く前の状態に設定を維持して該画面60を閉じるキャンセルボタン66とを備えている。即ち、コンピュータ本体11の記憶部17に保存された各ファイル20a〜20fのうち、保護対象ファイルへの設定が不可能なファイルを設けることを可能としている。
【0053】
ユーザは、暗号化管理画面50の既存定義エリア51のチェックボックス53をオンにして、保護対象ファイル20a、20c、20eの設定を行うと、コンピュータ本体11の記憶部17に保護対象ファイルリスト25としてファイル名が登録される。そして、ユーザが設定プログラム24を終了させると(ステップS8)、常駐プログラム21の一時停止が解除される(ステップS9)。
【0054】
次いで、ユーザがUSBメモリ12をコンピュータ本体11から離脱させると(ステップS10)、コンピュータ本体11のOSが該離脱を検知して常駐プログラム21に知らせる。ここで、図7はUSBメモリの装着/離脱時におけるコンピュータ本体11の記憶部17を表す図面である。
【0055】
USBメモリ12が離脱されるとUSBメモリ12の認証が不成功の状態となるので、常駐プログラム21は、図7に示すように、保護対象ファイルリスト25にファイル名が登録された保護対象ファイル20a、20c、20eをマージして暗号化した暗号化ファイル27を記憶部17に新規作成すると共に、元の保護対象ファイル20a、20c、20eを削除することで、暗号化処理を行う(ステップS11)。これにより、保護対象ファイル20a、20c、20eがコンピュータ26の表示装置15で非表示とされる。よって、第三者にコンピュータ26を操作されても保護対象ファイル20a、20c、20eを閲覧されることがない。この際、暗号化ファイルは、保護対象ファイル20a、20c、20eが存在するフォルダと異なるフォルダに作成されると好適である。
【0056】
なお、保護対象ファイル20a、20c、20eの削除の際には、記憶部17の管理情報部(インデックス)から保護対象ファイル20a、20c、20eを削除すると共に、保護対象ファイル20a、20c、20eの実体が保存された物理領域に変更を加える(例えば、ヌルを上書きする)ようにすると好適であるが、該管理情報部(インデックス)から保護対象ファイル20a、20c、20eを削除するだけもよい。
【0057】
次いで、ユーザがUSBメモリ12をコンピュータ本体11のUSB入出力部18に装着すると(ステップS12)、コンピュータ本体11のOSが該装着を検知して常駐プログラム21に知らせる。そうすると、常駐プログラム21は、USBメモリ12の識別コード23と記憶部17の識別コード22とを照合して認証する(ステップS13)。即ち、USBメモリ12がコンピュータ26に接続されることをトリガーとして認証作業が自動的に行われる。この認証が成功すると、図7に示すように、暗号化ファイル27が保護対象ファイル20a、20c、20eに復号化されると共に、暗号化ファイル27が削除される(ステップS14)。これにより、保護対象ファイル20a、20c、20eが通常通りコンピュータ26の表示装置15の画面上で表示可能となる。
【0058】
また、前記ステップS13の認証作業がユーザの設定した一定時間を経過しても行われなかった場合には、常駐プログラム21は暗号化ファイル25を記憶部17から削除するようコンピュータ26に実行させるようにして、コンピュータ26の盗難時のセキュリティ性も向上させている。
【0059】
次に、ユーザ管理画面40のチェックボックス44をオンにした場合について説明する。ユーザ管理画面40でチェックボックス44をオンにする設定としておくと、図8に示すように、コンピュータ本体11の記憶部17にパスワード28が登録される。前述したようにUSBメモリ12をコンピュータ本体11のUSB入出力部18に装着し(ステップS12)、USBメモリ12と記憶部17の識別コード22、23の認証が成功すると(ステップS13)、一般に用いられるようなパスワード認証画面が現れて、ユーザにパスワード入力を要求する。ユーザが記憶部17に登録されたパスワードと同一のパスワードを正しく入力すれば、暗号化ファイル27を保護対象ファイル20a、20c、20eに復号化する(ステップS14)。即ち、ユーザ管理画面40のチェックボックス44をオンとした場合には、暗号化ファイル27を復元する際にパスワード認証による二重チェックを行うことで、セキュリティ性を向上させている。
【0060】
以上に説明した本実施形態のセキュリティシステム10によれば、ユーザは自己のUSBメモリ12をコンピュータ本体11から離脱して認証不成功の状態にするだけで、ユーザ自身が指定した保護対象ファイル20a、20c、20eが削除されて第三者から閲覧されないように確実に防止できる。一方、USBメモリ12をコンピュータ本体11に装着して認証を成功させるだけで、暗号化ファイル27が復号化されて夫々の保護対象ファイル20a、20c、20eを簡単に復元することができる。
【0061】
また、本実施形態ではコンピュータ本体11の起動をセキュリティロックするのではなく、重要なファイルである保護対象ファイル20a、20c、20eを非表示とする方法を採っているので、重要なファイルが存在すること自体が第三者に気付かれず、セキュリティ性が飛躍的に向上する。さらに、暗号化ファイル27はコンピュータ本体11側に作成されてUSBメモリ12には保存されないので、ユーザがUSBメモリ12を紛失して他人がそのUSBメモリ12の中を閲覧しても、保護対象ファイルや20a、20c、20eや暗号化ファイル27が存在しないので更にセキュリティ性が向上する。
【0062】
なお、本実施形態では、常駐プログラム21はコンピュータ本体11に保存され、設定プログラム24はCD−ROM13に保存されているが、ASP方式やサーバクライアント方式のようにインターネットやLAN等のネットワーク経由でサーバのプログラムを利用する形態を用いてもよい。また、本実施形態は外部記録媒体としてUSBメモリ12を利用しているが、フレキシブルディスクや各種メモリカードやCD−ROM等のような他の記録メディアを用いてもよい。また、前述した認証作業は、その外部記録媒体とコンピュータとを無線通信で接続した状態で行ってもよい。
【0063】
(第2実施形態)
図9は第2実施形態に係るセキュリティシステムのフローチャートである。図10はフォルダの階層構造を示す図面である。(なお、以下の説明では第1実施形態と共通する部分について同一符号を用いて説明を省略している。)
図9に示すように、ユーザがUSBメモリ12をコンピュータ本体11から離脱させると(ステップS20)、USBメモリ12の認証が不成功の状態となるので、常駐プログラム21は、保護対象ファイルリスト25にファイル名が登録された保護対象ファイル20a、20c、20eをマージして暗号化した暗号化ファイル27を保護対象ファイル20a、20c、20eと異なるフォルダに新規作成すると共に、元の保護対象ファイル20a、20c、20eを削除することで、暗号化処理を行う(ステップS21)。
【0064】
次いで、その暗号化ファイルをさらに複数(例えば、3つ)のファイルに分割し、各分割ファイルをそれぞれ異なるフォルダF1,F2,F3(図10参照)に分散保存し、暗号化ファイルを削除する(ステップS22)。
【0065】
次に、ユーザがUSBメモリ12をコンピュータ本体11のUSB入出力部18に装着し(ステップS23)、認証が成功すると(ステップS24)、各分割ファイルが結合されて暗号化ファイルが復元される(ステップS25)。そして、その暗号化ファイルを復号化することで保護対象ファイル20a、20c、20eが通常通りコンピュータ26の表示装置15の画面上で表示可能となる(ステップS26)。なお、他の構成は第1実施形態と同様であるため説明を省略する。
【0066】
(第3実施形態)
図11は第3実施形態に係るセキュリティシステムのフローチャートである。図12は記憶部を説明するブロック図である。図11に示すように、ユーザがUSBメモリ12をコンピュータ本体11から離脱させると(ステップS30)、USBメモリ12の認証が不成功の状態となるので、常駐プログラム21は保護対象ファイル20a、20c、20eをマージして暗号化した暗号化ファイル27を保護対象ファイル20a、20c、20eと異なるフォルダに新規作成すると共に、元の保護対象ファイル20a、20c、20eを削除することで、暗号化処理を行う(ステップS31)。次いで、その暗号化ファイルをさらに複数のファイルに分割し、各分割ファイルをそれぞれ異なるフォルダに分散保存し、暗号化ファイルを削除する(ステップS32)。
【0067】
ここで、図12に示すように、ハードディスク装置のような記憶部17は、例えばFAT(ファイルアロケーションテーブル)等のファイル管理情報を有する管理情報部17aを用い、入力された情報の格納領域17b(物理領域)上の格納位置の指定等の格納・読出処理を管理するようにしている。FATによれば、格納される情報毎に情報番号が割り当てられ、この情報番号によってFATの参照値が決定されるので、情報番号により各情報の格納位置を特定できるようになっている。そこで、管理情報部17aに登録された各分割ファイルの管理情報を格納領域17bにファイルとしてバックアップ保存すると共に、各分割ファイルに関する管理情報を管理情報部17aから削除して各分割ファイルへのアクセスを不可とする(ステップS33)。
【0068】
次に、図11に示すように、ユーザがUSBメモリ12をコンピュータ本体11のUSB入出力部18に装着し(ステップS34)、認証が成功すると(ステップS35)、格納領域17bにバックアップ保存された管理情報ファイルに基づいて各分割ファイルの管理情報が管理情報部17aに再作成され、分割ファイルが復元される(ステップS36)。そして、各分割ファイルが結合されて暗号化ファイルが復元される(ステップS37)。そして、その暗号化ファイルが復号化されることで保護対象ファイル20a、20c、20eが通常通りコンピュータ26の表示装置15の画面上で表示可能となる(ステップS38)。なお、他の構成は第1実施形態と同様であるため説明を省略する。
【0069】
(第4実施形態)
図13は第4実施形態に係るセキュリティシステムのフローチャートである。図13に示すように、USBメモリ12が離脱されると(ステップS40)、保護対象ファイル20a、20c、20eをマージして暗号化した暗号化ファイル27が保護対象ファイル20a、20c、20eと異なるフォルダに作成されると共に、元の保護対象ファイル20a、20c、20eが削除されることで、暗号化処理が行われる(ステップS41)。次いで、暗号化ファイルの管理情報が格納領域17bにファイルとしてバックアップ保存されると共に、暗号化ファイルに関する管理情報が管理情報部17aから削除されて暗号化ファイルへのアクセスが不可となる(ステップS42)。
【0070】
次に、ユーザがUSBメモリ12を装着し(ステップS43)、認証が成功すると(ステップS44)、格納領域17bにバックアップ保存された管理情報ファイルに基づいて暗号化ファイルの管理情報が管理情報部17aに再作成され、暗号化ファイルが復元される(ステップS45)。そして、その暗号化ファイルが復号化されることで保護対象ファイル20a、20c、20eが画面表示可能となる(ステップS46)。なお、他の構成は第1実施形態と同様であるため説明を省略する。
【0071】
(第5実施形態)
図14は第5実施形態に係るセキュリティシステムのブロック図である。図14に示すように、本実施形態のセキュリティシステムは、サーバ70に対して複数のクライアント端末78〜80がネットワーク77を介して接続されている。サーバ70は、各種演算処理を行うCPU等の演算部71と、一時記憶用のメモリ75と、ネットワーク77に接続するインターフェース部76と、クライアント端末78〜80を利用する各ユーザのファイルや上述した常駐プログラムが保存される記憶部72と、各ユーザの保護対象ファイルリストや識別コードが登録されるユーザ管理データベース73と、保護対象ファイルをクライアント端末78〜80の画面上に表示可能とする時刻が登録されたタイム認証データベース74とを備えている。クライアント端末78〜80を利用するユーザは、自分が利用しうる時間帯(例えば、出勤時間)をサーバ70のタイム認証データベース74に予め登録しておく。
【0072】
図15は第5実施形態に係るセキュリティシステムのフローチャートである。図15に示すように、ユーザがUSBメモリ12を装着し(ステップS50)、識別コードの認証が成功すると(ステップS51)、サーバ70は、クライアント端末78から受信した識別コードを元にタイム認証データベース74を参照する。そして、現在のアクセス時刻がその識別コードのユーザの登録時間外であると判定されると(ステップS52)、サーバ70は識別コードが一致しても認証がNGであるとして、保護対象ファイルがクライアント端末78に表示されないままとする(ステップS55)。
【0073】
一方、サーバ70がタイム認証データベース74を参照し、現在のアクセス時刻がその識別コードのユーザの登録時間内であると判定されると(ステップS52)、認証がOKであるとして(ステップS53)、暗号化ファイルを復号化し保護対象ファイルを画面表示可能にする(ステップS54)
以上の構成とすれば、第三者が、登録された時間帯以外(例えば、夜中)に、不正に入手した正規のUSBメモリ12をクライアント端末78に装着してサーバ70へのアクセスを試みても、第三者は保護対象ファイルを閲覧することができず、サーバクライアント型システムでのセキュリティ性が更に向上する。
【産業上の利用可能性】
【0074】
以上のように、本発明に係るセキュリティプログラムおよびセキュリティシステムは、ユーザは外部記録媒体を鍵のように利用するだけで、保護対象ファイルの存在自体を第三者に知られないようにして隠すことができ、セキュリティ性が飛躍的に向上する優れた効果を有し、このようなセキュリティシステム等に適用するのに適している。
【図面の簡単な説明】
【0075】
【図1】本発明の第1実施形態に係るセキュリティシステムを示すブロック図である。
【図2】図1に示すセキュリティシステムの動作シーケンスを表すチャート図である。
【図3】メイン画面を表す図面である。
【図4】ユーザ管理画面を表す図面である。
【図5】暗号化管理画面を表す図面である。
【図6】選択設定画面を表す図面である。
【図7】USBメモリの装着/離脱時におけるコンピュータの記憶部を表す図面である。
【図8】パスワード認証機能の追加時のセキュリティシステムを示すブロック図である。
【図9】第2実施形態に係るセキュリティシステムのフローチャートである。
【図10】フォルダの階層構造を示す図面である。
【図11】第3実施形態に係るセキュリティシステムのフローチャートである。
【図12】記憶部を説明するブロック図である。
【図13】第4実施形態に係るセキュリティシステムのフローチャートである。
【図14】第5実施形態に係るセキュリティシステムのブロック図である。
【図15】第5実施形態に係るセキュリティシステムのフローチャートである。
【符号の説明】
【0076】
10 セキュリティシステム
11 コンピュータ本体
12 USBメモリ(外部記録媒体)
13 CD−ROM(第2外部記録媒体)
14 入力装置
15 表示装置
16 演算部
17 記憶部
18 USB入出力部
19 CD入出力部
20a、20c、20e 保護対象ファイル
21 常駐プログラム
22、23 識別コード
24 設定プログラム
25 保護対象ファイルリスト
26 コンピュータ
27 暗号化ファイル
28 パスワード
29 メモリ
【特許請求の範囲】
【請求項1】
コンピュータが外部記録媒体と通信可能な状態で、コンピュータの記憶部に保存された識別コードと前記外部記録媒体に保存された識別コードとを照合して認証作業を行う第1ステップと、
前記コンピュータが前記外部記憶媒体と通信不可能の場合あるいは前記認証が不成功の場合に、前記コンピュータの記憶部に保存された所定の保護対象ファイルを前記コンピュータの画面上に表示不可とする第2ステップと、
前記認証が成功の場合に、前記保護対象ファイルを前記コンピュータの画面上に表示可能とする第3ステップと、を前記コンピュータに実行させることを特徴とするセキュリティプログラム。
【請求項2】
前記コンピュータが前記外部記録媒体と通信可能な状態になることをトリガーとして、前記認証作業を前記コンピュータに実行させる請求項1に記載のセキュリティプログラム。
【請求項3】
前記第2ステップは、前記保護対象ファイルが暗号化された暗号化ファイルを前記記憶部に作成し、かつ、前記保護対象ファイルを削除することで、前記保護対象ファイルを表示不可とするように前記コンピュータに実行させる請求項1又は2に記載のセキュリティプログラム。
【請求項4】
前記保護対象ファイルが複数存在する場合、夫々の保護対象ファイルをマージして暗号化することによって前記暗号化ファイルを作成するように前記コンピュータに実行させる請求項3に記載のセキュリティプログラム。
【請求項5】
前記認証作業が一定時間行われなかった場合、前記暗号化ファイルを前記記憶部から削除するように前記コンピュータに実行させる請求項3又は4に記載のセキュリティプログラム。
【請求項6】
前記第2ステップは、前記暗号化ファイルをさらに複数のファイルに分割し、各分割ファイルをそれぞれ異なるフォルダに保存し、前記暗号化ファイルを削除するように、前記コンピュータに実行させる請求項3乃至5のいずれかに記載のセキュリティプログラム。
【請求項7】
前記第2ステップは、前記記憶部における前記各分割ファイルが格納された格納領域上の位置を特定する管理情報を該格納領域にファイルとしてバックアップ保存すると共に、前記各分割ファイルに関する管理情報を削除して前記各分割ファイルへのアクセスを不可とするように、前記コンピュータに実行させる請求項6に記載のセキュリティプログラム。
【請求項8】
前記第2ステップは、前記記憶部における前記暗号化ファイルが格納された格納領域上の位置を特定する管理情報を該格納領域にファイルとしてバックアップ保存すると共に、前記暗号化ファイルに関する管理情報を削除して前記暗号化ファイルへのアクセスを不可とするように、前記コンピュータに実行させる請求項3乃至5のいずれかに記載のセキュリティプログラム。
【請求項9】
請求項1乃至8のいずれかに記載のセキュリティプログラムが記憶部に保存されたコンピュータを備えていることを特徴とするセキュリティシステム。
【請求項10】
請求項1乃至8のいずれかに記載のセキュリティプログラムがサーバの記憶部に保存され、該サーバに複数のクライアント端末が通信可能に接続されており、
前記サーバは、保護対象ファイルを前記クライアント端末の画面上に表示可能とする時刻が登録されたタイム認証データベースを備えていることを特徴とするセキュリティシステム。
【請求項1】
コンピュータが外部記録媒体と通信可能な状態で、コンピュータの記憶部に保存された識別コードと前記外部記録媒体に保存された識別コードとを照合して認証作業を行う第1ステップと、
前記コンピュータが前記外部記憶媒体と通信不可能の場合あるいは前記認証が不成功の場合に、前記コンピュータの記憶部に保存された所定の保護対象ファイルを前記コンピュータの画面上に表示不可とする第2ステップと、
前記認証が成功の場合に、前記保護対象ファイルを前記コンピュータの画面上に表示可能とする第3ステップと、を前記コンピュータに実行させることを特徴とするセキュリティプログラム。
【請求項2】
前記コンピュータが前記外部記録媒体と通信可能な状態になることをトリガーとして、前記認証作業を前記コンピュータに実行させる請求項1に記載のセキュリティプログラム。
【請求項3】
前記第2ステップは、前記保護対象ファイルが暗号化された暗号化ファイルを前記記憶部に作成し、かつ、前記保護対象ファイルを削除することで、前記保護対象ファイルを表示不可とするように前記コンピュータに実行させる請求項1又は2に記載のセキュリティプログラム。
【請求項4】
前記保護対象ファイルが複数存在する場合、夫々の保護対象ファイルをマージして暗号化することによって前記暗号化ファイルを作成するように前記コンピュータに実行させる請求項3に記載のセキュリティプログラム。
【請求項5】
前記認証作業が一定時間行われなかった場合、前記暗号化ファイルを前記記憶部から削除するように前記コンピュータに実行させる請求項3又は4に記載のセキュリティプログラム。
【請求項6】
前記第2ステップは、前記暗号化ファイルをさらに複数のファイルに分割し、各分割ファイルをそれぞれ異なるフォルダに保存し、前記暗号化ファイルを削除するように、前記コンピュータに実行させる請求項3乃至5のいずれかに記載のセキュリティプログラム。
【請求項7】
前記第2ステップは、前記記憶部における前記各分割ファイルが格納された格納領域上の位置を特定する管理情報を該格納領域にファイルとしてバックアップ保存すると共に、前記各分割ファイルに関する管理情報を削除して前記各分割ファイルへのアクセスを不可とするように、前記コンピュータに実行させる請求項6に記載のセキュリティプログラム。
【請求項8】
前記第2ステップは、前記記憶部における前記暗号化ファイルが格納された格納領域上の位置を特定する管理情報を該格納領域にファイルとしてバックアップ保存すると共に、前記暗号化ファイルに関する管理情報を削除して前記暗号化ファイルへのアクセスを不可とするように、前記コンピュータに実行させる請求項3乃至5のいずれかに記載のセキュリティプログラム。
【請求項9】
請求項1乃至8のいずれかに記載のセキュリティプログラムが記憶部に保存されたコンピュータを備えていることを特徴とするセキュリティシステム。
【請求項10】
請求項1乃至8のいずれかに記載のセキュリティプログラムがサーバの記憶部に保存され、該サーバに複数のクライアント端末が通信可能に接続されており、
前記サーバは、保護対象ファイルを前記クライアント端末の画面上に表示可能とする時刻が登録されたタイム認証データベースを備えていることを特徴とするセキュリティシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【公開番号】特開2007−12022(P2007−12022A)
【公開日】平成19年1月18日(2007.1.18)
【国際特許分類】
【出願番号】特願2006−56461(P2006−56461)
【出願日】平成18年3月2日(2006.3.2)
【新規性喪失の例外の表示】特許法第30条第1項適用申請有り
【出願人】(505202419)株式会社アイティーシステム (2)
【Fターム(参考)】
【公開日】平成19年1月18日(2007.1.18)
【国際特許分類】
【出願日】平成18年3月2日(2006.3.2)
【新規性喪失の例外の表示】特許法第30条第1項適用申請有り
【出願人】(505202419)株式会社アイティーシステム (2)
【Fターム(参考)】
[ Back to top ]