セキュリティポリシー切替装置、セキュリティポリシー切替プログラム及びセキュリティポリシー管理システム
【課題】共通のポリシーで保護された複数の文書のうちの一部を異なるポリシーに切替可能にする。
【解決手段】ポリシーのID及び当該ポリシーの名称に、利用範囲、利用範囲毎に設定される有効期間及び許諾機能リストを含むポリシー設定情報が対応付けして登録されるセキュリティポリシーDB35と、文書ID、当該文書が従っているセキュリティポリシーのID、作成したユーザのID、文書の作成日時が対応付けして登録される文書情報DB36と、外部機器から送られてくる、切替対象となる文書のID、切り替えるポリシーのID、要求するユーザのIDを含む切替え要求に応じて、当該文書に付与するポリシーを切り替えるセキュリティポリシー切替部34と、を有する。
【解決手段】ポリシーのID及び当該ポリシーの名称に、利用範囲、利用範囲毎に設定される有効期間及び許諾機能リストを含むポリシー設定情報が対応付けして登録されるセキュリティポリシーDB35と、文書ID、当該文書が従っているセキュリティポリシーのID、作成したユーザのID、文書の作成日時が対応付けして登録される文書情報DB36と、外部機器から送られてくる、切替対象となる文書のID、切り替えるポリシーのID、要求するユーザのIDを含む切替え要求に応じて、当該文書に付与するポリシーを切り替えるセキュリティポリシー切替部34と、を有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、セキュリティポリシー切替装置、セキュリティポリシー切替プログラム及びセキュリティポリシー管理システムに関する。
【背景技術】
【0002】
現在、情報セキュリティに関する基本方針、すなわちセキュリティポリシー(以下、単に「ポリシー」とも言う)を策定し、そのセキュリティポリシーに従って電子文書等のデータを管理している企業が少なくない。このような企業では、例えばDRM(Document Rights Management)と呼ばれる技術を利用することによって、個々の電子文書に対して有効期間や印刷可/不可、あるいは編集可/不可などのアクセス制御を行うためのアクセス権をユーザ毎に付与することができる。また、DRMを利用することによって、サーバに共通ポリシーを予め作成しておき、複数の異なる電子文書を同一のポリシー(共通ポリシー)で保護するように設定することも可能である。このように、組織内で共通して用いるポリシーを定義しておくことで、その共通ポリシーを組織内の全ての文書に適用するという運用が可能となる。
【0003】
また、電子文書に限定せずに、紙文書と電子文書のポリシーを同一のポリシーで管理し、かつ、複数の文書に対して統一的なポリシールールを適用できるような技術が提案されている(例えば、特許文献1)。この従来技術では、一つのポリシー上で紙文書に関するものと電子文書に対するものを統合管理することが可能になる。
【0004】
【特許文献1】特開2005−38371号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら、従来においては、一つのポリシーで保護された複数の文書のうち特定の文書のみのポリシーを変更したいというような運用には対応できないという問題があった。
【0006】
本発明は、共通のポリシーで保護された複数の文書のうちの一部を異なるポリシーに切替可能にすることを目的とする。
【課題を解決するための手段】
【0007】
本発明に係るセキュリティポリシー切替装置は、ポリシーの設定内容と当該ポリシーを付与するユーザの識別情報とを含むポリシー設定情報に、当該ポリシーの識別情報を対応付けして記憶するポリシー情報記憶手段と、ポリシーの設定対象となるデータの識別情報に、当該データに付与するポリシーの識別情報を対応付けして記憶するデータ情報記憶手段と、ポリシーの切替え対象となるデータの識別情報及び切替えを指示するユーザの識別情報が指定された切替え要求に応じて、前記データ情報記憶手段に記憶されている当該データに付与されているポリシーの識別情報を、その他のポリシーの識別情報で更新することによって、当該データに付与するポリシーを切り替えるポリシー切替手段と、を有することを特徴とする。
【0008】
また、前記ポリシー切替手段は、当該データに付与されているポリシーに基づき許可された操作の一つにポリシーの切替えが含まれている場合のみ当該データに付与するポリシーの切替えを許可することを特徴とする。
【0009】
また、前記ポリシー切替手段は、更に切替えにより付与するポリシーの識別情報が切替え要求に指定されていた場合、その指定されたポリシーの識別情報によって、前記データ情報記憶手段に記憶されている当該データに付与するポリシーの識別情報を更新することを特徴とする。
【0010】
また、前記ポリシー切替手段は、切替え対象として指定されたポリシー識別情報に対応するポリシーに基づき許可される操作が、当該データに付与されているポリシーに基づき許可された操作より制限されている場合のみ当該データに付与するポリシーの切替えを許可することを特徴とする。
【0011】
また、前記ポリシー設定情報には、切替え要求に応じて切替え可能なポリシーの識別情報が含まれており、前記ポリシー切替手段は、更に切替えにより付与するポリシーの識別情報が切替え要求に指定されていなかった場合、前記ポリシー設定情報に含まれる前記切替え可能なポリシーの識別情報で前記データ情報記憶手段に記憶されている当該データに付与されているポリシーの識別情報を更新することを特徴とする。
【0012】
また、前記ポリシー設定情報には、切替え要求に応じて切替え可能なポリシーの識別情報が含まれており、前記ポリシー切替手段は、更に切替えにより付与するポリシーの識別情報が切替え要求に指定されており、かつ、当該指定されたポリシーの識別情報が、前記切替え可能なポリシー設定情報に含まれている場合、指定されたポリシーの識別情報で前記データ情報記憶手段に記憶されている当該データに付与されているポリシーの識別情報を更新することを特徴とする。
【0013】
本発明に係るセキュリティポリシー切替プログラムは、セキュリティポリシーサーバコンピュータを、ポリシーの設定内容と当該ポリシーを付与するユーザの識別情報とを含むポリシー設定情報に、当該ポリシーの識別情報を対応付けして記憶するポリシー情報記憶手段、ポリシーの設定対象となるデータの識別情報に、当該データに付与するポリシーの識別情報を対応付けして記憶するデータ情報記憶手段、ポリシーの切替え対象となるデータの識別情報及び切替えを指示するユーザの識別情報が指定された切替え要求に応じて、前記データ情報記憶手段に記憶されている当該データに付与されているポリシーの識別情報を、その他のポリシーの識別情報で更新することによって、当該データに付与するポリシーを切り替えるポリシー切替手段、として機能させる。
【0014】
本発明に係るセキュリティポリシー管理システムは、セキュリティポリシーサーバコンピュータと、セキュリティポリシーの設定に用いるクライアントコンピュータと、を有し、前記セキュリティポリシーサーバコンピュータは、ポリシーの設定内容と当該ポリシーを付与するユーザの識別情報とを含むポリシー設定情報に、当該ポリシーの識別情報を対応付けして記憶するポリシー情報記憶手段と、ポリシーの設定対象となるデータの識別情報に、当該データに付与するポリシーの識別情報を対応付けして記憶するデータ情報記憶手段と、ポリシーの切替え対象となるデータの識別情報及び切替えを指示するユーザの識別情報が指定された切替え要求に応じて、前記データ情報記憶手段に記憶されている当該データに付与されているポリシーの識別情報を、その他のポリシーの識別情報で更新することによって、当該データに付与するポリシーを切り替えるポリシー切替手段と、を有し、前記クライアントコンピュータは、ポリシーの切替え対象となるデータの識別情報及び切替えを指示するユーザの識別情報が指定された切替え要求を前記セキュリティポリシーサーバコンピュータに送信する手段を有することを特徴とする。
【発明の効果】
【0015】
請求項1記載の発明によれば、複数のデータに対して同一のポリシーが設定されている場合でも、その複数のデータの中からポリシーの切替え対象として指定されたデータのみのポリシーを、その他のポリシーに切り替えることができる。
【0016】
請求項2記載の発明によれば、切替えを指示したユーザがポリシーの切替え対象として指定したデータに対してポリシーの切替えの権限を有する場合にのみ、当該データに付与するポリシーの切替えを許可することができる。
【0017】
請求項3記載の発明によれば、ポリシーの切替え対象として指定されたデータに付与するポリシーを、ユーザにより指示されたポリシーに切り替えることができる。
【0018】
請求項4記載の発明によれば、ポリシーを切り替える際、設定ミスなどによって不要なアクセス権を付与したり、今まで付与していたアクセス権より広い範囲のアクセス権を付与するということを未然に防止することができる。
【0019】
請求項5記載の発明によれば、切替えにより付与するポリシーの識別情報が切替え要求に指定されていなくても、ポリシーの切替え対象として指定されたデータに付与するポリシーを、予め設定されているポリシーに切り替えることができる。
【0020】
請求項6記載の発明によれば、切替えにより付与するポリシーの識別情報が切替え要求に指定されていた場合に、予め設定されている切り替え対象のポリシーの識別情報と突合することにより、ポリシーの切替え対象として指定されたデータのポリシーを、ユーザにより指示されたポリシーに切り替えることができる。
【0021】
請求項7記載の発明によれば、セキュリティポリシーサーバコンピュータに、複数のデータに対して同一のポリシーが設定されている場合でも、その複数のデータの中からポリシーの切替え対象として指定されたデータのみのポリシーを、その他のポリシーに切り替えさせることができる。
【0022】
請求項8記載の発明によれば、複数のデータに対して同一のポリシーが設定されている場合でも、その複数のデータの中からポリシーの切替え対象として指定されたデータのみのポリシーを、その他のポリシーに切り替えることができる。
【発明を実施するための最良の形態】
【0023】
以下、図面に基づいて、本発明の好適な実施の形態について説明する。
【0024】
図1は、本発明に係るセキュリティポリシー管理システムの一実施の形態を示した全体構成図である。図1には、ユーザ認証サーバ23、セキュリティポリシーサーバ30、クライアントとなるパーソナルコンピュータ(PC)(以下、「クライアントPC」)50及び複合機40がネットワークの一形態であるLAN(Local Area Network)22に接続された構成が示されている。なお、図1には、クライアントPC50と複合機40をそれぞれ1台ずつ示したが、それぞれ複数台をLAN22に接続するよう構成してもよい。
【0025】
図1において、ユーザ認証サーバ23は、ユーザ認証を一元的に管理するサーバコンピュータである。クライアントPC50などの他の機器上では、ユーザを認証して、機器の利用ができるように制御されるが、その際、このユーザ認証サーバ23に問い合わせる。ユーザ認証サーバ23は、LDAP(Lightweight Directory Access Protocol)サーバ、あるいは、Windows(登録商標) Active Directoryなどのサーバでよい。
【0026】
セキュリティポリシーサーバ30は、ポリシー切替装置として動作しつつ、本システム上で扱われるセキュリティで保護された電子文書及び紙文書(以下、「保護文書」と総称)に対するアクセス権を管理する役割を持つ。
【0027】
クライアントPC50は、セキュリティポリシーサーバ30と通信して、保護されていない文書にセキュリティポリシーを付与することによって保護された電子文書(以下、「保護電子文書」ともいう)を作成する。また、クライアントPC50上では、保護電子文書をセキュリティポリシー上で許可された範囲で、閲覧、印刷、編集などの処理を行う文書アプリケーションが動作する。更に、既存の保護電子文書のポリシーの切替え機能を有している。
【0028】
複合機40は、複数の機能が搭載された画像処理装置の一形態である。本実施の形態における複合機40は、基本機能として、プリンタとコピーの機能を有している。本システムでは、これらの基本機能に加え、コンピュータを内蔵していることからクライアントPC50と同様にクライアントコンピュータとしても動作可能であり、セキュリティポリシーサーバ30と通信することで、ポリシー上許可された範囲で、保護電子文書の印刷、保護された紙文書(以下、「保護紙文書」ともいう)のコピー、スキャン等の機能を提供する。また、既存の保護紙文書のポリシーの切替え機能を有している。
【0029】
ここで、本実施の形態において取り扱う保護文書について説明する。本実施の形態では、前述したように、セキュリティポリシーが付与され、操作が制限される文書を保護文書と呼ぶことにしている。保護文書は、電子文書、紙文書の2種類ある。いずれの場合も、セキュリティポリシーサーバ30上では、特定のポリシーと対応付けられ、文書の識別情報(文書ID)が付与され管理される。
【0030】
図2は、本実施の形態におけるセキュリティポリシーサーバ30を形成するサーバコンピュータのハードウェア構成図である。本実施の形態におけるセキュリティポリシーサーバ30は、従前から存在する汎用的なハードウェア構成で実現できる。すなわち、コンピュータは、図2に示したようにCPU1、ROM2、RAM3、ハードディスクドライブ(HDD)4を接続したHDDコントローラ5、入力手段として設けられたマウス6とキーボード7、及び表示装置として設けられたディスプレイ8をそれぞれ接続する入出力コントローラ9、通信手段として設けられたネットワークコントローラ10を内部バス11に接続して構成される。
【0031】
なお、性能的に差異はあるかもしれないが、ユーザ認証サーバ23及びクライアントPC50もコンピュータで形成されることから、それぞれのハードウェア構成は、図2と同じように図示することができる。
【0032】
図3は、本実施の形態における複合機40のハードウェア構成図である。複合機40は、上記の通りコピー機能、スキャナ機能等各種機能を搭載した複合機であり、コンピュータを内蔵した装置である。図3において、CPU21は、ROM19に格納されたプログラムにしたがってスキャナ14やプリンタエンジン16等複合機40に搭載された各種機構の動作制御を行う。アドレスデータバス12は、CPU21の制御対象となる各種機構と接続してデータの通信を行う。操作パネル13は、ユーザからの指示の受け付け、情報の表示を行う。スキャナ14は、ユーザがセットした原稿を読み取り、電子データとしてHDD15等に蓄積する。HDD15は、スキャナ14を使用して読み取った電子文書などを格納する。親展ボックスもHDD15に設けられる。プリンタエンジン16は、CPU21で実行される制御プログラムからの指示に従い出力用紙上に画像を印字する。ネットワークインタフェース(I/F)17は、LAN22を接続し、複合機40が生成した電子データの送信、複合機40宛に送信されてきた電子メールの受信、またブラウザ経由による複合機40へのアクセスなどに利用される。RAM18は、プログラム実行時のワークメモリや電子データ送受信時の通信バッファとして利用される。ROM19は、複合機40の制御や電子データの暗号、電子データの送受信に関する各種プログラムが格納されている。各種プログラムが実行されることで後述する各構成要素が所定の処理機能を発揮する。外部メディアインタフェース(I/F)20は、USBメモリ、フラッシュメモリ等の外部メモリ機器とのインタフェースである。
【0033】
図4は、本実施の形態におけるセキュリティポリシーサーバ30のブロック構成図である。図4には、セキュリティポリシー登録部31、セキュリティポリシー一覧応答部32、セキュリティポリシー検索部33、セキュリティポリシー切替部34、セキュリティポリシーデータベース(DB)35及び文書情報データベース(DB)が示されている。セキュリティポリシー登録部31は、複合機40及びクライアントPC50(以下、「外部機器」と総称)から送られてくる登録要求に応じて、その登録要求に指定されている文書ID、ポリシーID、作成者ID及び作成日時の各項目データを文書情報データベース36に新規レコードとして追加する。なお、本実施の形態において、文書IDは、外部においても衝突しないように生成される。つまり、UUID(Universally Unique IDentifier)を使用しているので、データベース上に指定された文書IDのデータが存在するかどうかをチェックしなくてもよい。もちろん、チェックするようにしてもよい。
【0034】
本実施の形態において、セキュリティポリシー一覧応答というのは、外部機器が、文書にポリシーを付与する際、どのようなポリシーが付与可能なのかの一覧リストを問い合わせる機能である。セキュリティポリシー一覧応答部32は、この問合せに対してセキュリティポリシーデータベース35に登録されているポリシーデータを検索して、検索条件に合致するポリシーの一覧リストを作成して問合せ元に返す。なお、外部機器がセキュリティポリシーサーバ30にポリシーを問い合わせる際、ポリシーを付与しようとしているユーザIDを指定するようにしてもよい。この場合は、予め決められた登録可能ユーザリストに、そのユーザが含まれているかどうかをチェックしたり、あるいは、ポリシー毎にそのポリシーの登録を許されているユーザリストを設けて、それをチェックしたりするようにしてもよい。
【0035】
本実施の形態において、セキュリティポリシー検索というのは、外部機器が、ポリシーがすでに設定されている文書に関するセキュリティポリシーの情報を問い合わせる機能である。この際、外部機器は、問い合わせたい文書の文書ID及び問い合わせているユーザのユーザIDを指定して問い合わせることになるが、セキュリティポリシー検索部33は、この問合せに応じて該当するポリシーを問合せ元に返す。
【0036】
セキュリティポリシー切替部34は、外部機器からの切替え要求に応じて、当該文書に付与するポリシーを切り替える。切替要求には、ポリシーの切替え対象となる文書の文書ID、切替え対象となるポリシーのポリシーID及び切替えを指示するユーザのユーザIDが指定されている。
【0037】
セキュリティポリシーサーバ30は、セキュリティポリシー(誰にどういう権利を許可するのか)を管理するデータベースとしてセキュリティポリシーデータベース35を、文書情報(どの文書がどのセキュリティポリシーに割り当てられているのか、いつ誰が作成したのか、など)を管理するデータベースとして文書情報データベースを、それぞれ保持する。以下、図5,6を用いて各データベース35,36の詳細について説明する。
【0038】
図5は、本実施の形態におけるセキュリティポリシーデータベース35のデータ構成例を示した図である。セキュリティポリシーデータベース35には、ポリシーを識別するためのポリシーID及び当該ポリシーの名称に、利用範囲、利用範囲毎に設定される有効期間及び許諾機能リストを含むポリシー設定情報が対応付けして構成されたポリシー情報が登録される。利用範囲は、ユーザ認証サーバ23で管理されているユーザグループである。各ユーザグループは少なくとも1人のユーザから構成される。有効期間は、当該ポリシーが付与された文書の有効期間である。有効期間の記述形式は、図5に例示した生成からの経過日数に限らず、有効期間の終期(日時)等種々の方法で設定可能である。許諾機能リストとは、利用範囲に含まれる各ユーザに対して許可されている操作である。図5によると、例えばポリシーID“0001”の場合、ソフトウェア開発部に属していて、文書の作成者ではない人がこのポリシーが付与された保護文書にアクセスすると、その文書が作成されてから180日以内であれば、電子文書の閲覧・印刷、紙文書のコピー、及びポリシーの切替えが許可される、ということになる。なお、文書の作成日時は、文書情報データベース36の登録内容から特定できる。いったん文書が保護されると、電子文書、紙文書に関わらず、その形態が変化しても文書IDは引き継がれる。つまり、電子文書が編集・印刷されて保護紙文書が作成された場合、紙文書がコピー・スキャンされて保護電子文書が作成された場合でも、新たに作成された保護紙文書、保護電子文書には同じ文書IDが割り当てられる。これによって、操作によって生成された文書に対しても同じポリシーが適用される。
【0039】
図6は、本実施の形態における文書情報データベース36のデータ構成例を示した図である。本実施の形態では、ポリシーの設定対象となるデータとして文書を取り扱うことにしているので、データ情報記憶手段として文書情報データベース36を設けている。この文書情報データベース36には、文書の識別子である文書ID(この例の場合は、UUIDで表される)、当該文書が従っているセキュリティポリシーのポリシーID、作成したユーザのユーザID(作成者ID)、文書の操作日時、より正確には作成した文書にポリシーが付与された日時が対応付けして登録される。例えば、図6において3行目の文書(文書IDが“AED6”で始まるレコード)の場合、この文書は、ユーザID“fx25615”が割り当てられたユーザが2006年10月3日14時23分にポリシーID“0002”のポリシーを付与することによって作成されたものである。なお、このようなポリシー、文書情報のデータベースは既存技術で実現可能であり、文書毎にセキュリティポリシーが付与できるようなものであれば、図6に例示したデータ構成に限定されるものではない。
【0040】
セキュリティポリシーサーバ30における各構成要素31〜34は、セキュリティポリシーサーバ30に搭載されたコンピュータと、コンピュータに搭載されたCPU1で動作するプログラムとの協調動作により実現される。また、各データベース35,36は、コンピュータに搭載されたHDD4にて実現される。
【0041】
図7は、本実施の形態におけるクライアントPC50のブロック構成図である。一般のユーザが使用するクライアントPC50は、所定の文書処理アプリケーションが実行されることによって、電子文書の保護や、保護された電子文書に対してポリシー上で許可された権利の範囲内で編集や印刷等の動作を行う。クライアントPC50は、アプリケーションを実行するアプリケーション実行部51、保護されていない電子文書を記憶する非保護電子文書記憶部52及び保護されている電子文書を記憶する保護電子文書記憶部53を有している。アプリケーション実行部51は、セキュリティポリシーサーバ30と通信して、後述する構成要素を含む文書処理アプリケーションを実行することによって、保護されていない電子文書の保護、保護された電子文書の閲覧、編集、印刷等の機能を提供する。
【0042】
すなわち、保護電子文書生成部54は、保護されていない電子文書にポリシーを設定して保護電子文書を生成する。文書ID生成部55は、新たに生成される保護文書に対して割り当てる文書IDを生成する。文書編集部56は、ユーザ操作指示に従い各記憶部52,53から読み出された電子文書、あるいは外部から送られてきた電子文書に編集を施す。文書保持部57は、編集された電子文書を一時保持する。他の構成要素がRAM3にロードされたソフトウェアにより実現されるのに対し、文書保持部57は、RAM3にて実現される。文書表示部58は、閲覧、編集対象の電子文書をディスプレイ8に表示する。ユーザ認証部59は、クライアントPC50の利用開始時にユーザ認証処理を実施する。保護文書印刷部60は、保護文書の印刷を実行する。制御部61は、各構成要素全体の動作制御を行いながら文書処理アプリケーションが持つ機能を提供する。制御部61は、また各記憶部52,53に記憶された電子文書を読み込む文書読込部としても機能する。
【0043】
クライアントPC50における各構成要素54〜56,58〜61は、クライアントPC50を構成するPCと、PCに搭載されたCPU1で動作するプログラムとの協調動作により実現される。また、各記憶部52,53は、クライアントPC50に搭載されたHDD4にて実現される。
【0044】
図8は、本実施の形態における複合機40のブロック構成図である。複合機40は、保護された電子文書の印刷、保護された紙文書のコピー・スキャンを提供する。複合機40は、ユーザ認証部41、保護電子文書生成部42、画像保持部43、保護紙文書生成部44、文書IDエンコード部45、印刷部46、文書IDデコード部47及び制御部48を有している。ユーザ認証部41は、複合機40の利用開始時にユーザ認証処理を実施する。保護電子文書生成部42は、スキャンにより読み取られた保護紙文書にポリシーを設定して保護電子文書を生成する。画像保持部43は、生成された保護電子文書を一時保持する。他の構成要素がRAM3にロードされたソフトウェアにより実現されるのに対し、画像保持部43は、RAM3にて実現される。保護紙文書生成部44は、文書IDエンコード部45及び印刷部46と連携動作し、印刷部46により印刷される保護電子文書を保護電子文書から生成する。文書IDエンコード部45は、保護電子文書に含まれている文書IDデータを用紙上に印刷可能な画像データにエンコードする。印刷部46は、生成された保護紙文書を印刷する。文書IDデコード部47は、スキャナ14により読み取られた保護紙文書の読取画像データをデコードして文書IDを抽出する。制御部48は、各構成要素の動作制御を行いながらスキャナ14をはじめとするハードウェアと連携動作させ、複合機40が持つ文書ポリシーの切替えに関連する諸機能を提供する。
【0045】
複合機40における各構成要素41〜42,44〜48は、複合機40に搭載されたコンピュータと、コンピュータに搭載されたCPU21で動作するプログラムとの協調動作により実現される。また、画像保持部43は、RAM18にて実現される。
【0046】
また、本実施の形態で用いるプログラムは、通信手段により提供することはもちろん、CD−ROMやDVD−ROM等のコンピュータ読み取り可能な記録媒体に格納して提供することも可能である。通信手段や記録媒体から提供されたプログラムはコンピュータにインストールされ、コンピュータのCPUがインストールプログラムを順次実行することで各種処理が実現される。
【0047】
図9は、本実施の形態において用いる保護電子文書のデータ構成例を示した図である。保護電子文書は、保護電子文書であることを示すヘッダ(予め決められた長さのバイト列)と、文書ID、暗号化された電子文書本体からなる。本実施の形態では、保護電子文書は、全ての電子文書に共通な暗号鍵によって暗号化されることを前提としているが、これは一例でありDRM技術のように文書毎に鍵を変えるようにしてもよい。また、文書IDが他の文書の文書IDと入れ替えられたりすることを防ぐため、電子文書全体に電子署名を付与したり、あるいは、HMAC(Keyed−Hashing for Message Authentication Code)などの値を付与したりしてもよい。いずれにしても本システムにおいては、全ての保護文書が識別子で識別され、それがポリシーで管理されているという以上の制約はない。
【0048】
図10,11は、本実施の形態において用いる保護紙文書を用紙に印刷したときの例を示した模式図である。図10は、文書が印刷された用紙の上下(ヘッダとフッタ)部分に、文書IDをバーコードやQRコードなどで代表される特定のコードパターンで印刷する場合の例である。図11は、文書IDを、用紙などの印刷媒体24に文書全体の背景として透かし25により埋め込んだものである。いずれにしろ文書IDを後から読み取れるように何らかの方法で紙自体に印字したものであればよい。
【0049】
次に、本実施の形態における動作について、セキュリティポリシーサーバ30、クライアントPC50、そして複合機40の順に装置単位に説明する。
【0050】
1.セキュリティポリシーサーバ30の動作
【0051】
セキュリティポリシーサーバ30は、外部機器40,50に対して、セキュリティポリシーの登録、一覧、検索、切替えの4つの機能を提供する。以下それらの処理手順について説明する。
【0052】
1.1 セキュリティポリシー登録
【0053】
外部機器から文書ID、ポリシーID、作成者ID、作成日時のデータが指定された登録要求が送られてくることによってセキュリティポリシー登録部31が呼び出されると、セキュリティポリシー登録部31は、そのデータを文書情報データベース36に新規のレコードとして追加する。そして、登録処理の結果(TRUEまたはFALSE)を登録要求送信元へ返す。なお、作成日時は、登録要求を受け付けた日時、あるいはデータベース登録が完了した日時としてもよい。外部機器から送られてくるセキュリティポリシーの登録要求の例を図12に示す。
【0054】
1.2 セキュリティポリシー一覧応答
【0055】
セキュリティポリシー一覧応答というのは、前述したように、外部機器が文書にポリシーを付与する際、どのようなポリシーが付与可能なのかの一覧リストを問い合わせる機能である。
【0056】
外部機器からポリシー一覧取得要求が送られてくることによってセキュリティポリシー一覧応答部32が呼び出されると、セキュリティポリシー一覧応答部32は、セキュリティポリシーデータベース35に登録されているポリシーデータを検索し、ポリシーの一覧リストを生成して要求送信元へ返す。仮に一覧リストが生成できなかった場合は、その旨(FALSE)を返すようにしてもよい。
【0057】
なお、外部機器からセキュリティポリシーサーバ30へ問い合わせる際、ユーザは、問合せ条件としてポリシーを付与しようとしているユーザID等を指定して問い合わせることで、その問合せ条件に合致したレコードのみが一覧リストに含まれるように指示することができる。セキュリティポリシー一覧応答部32がポリシー一覧取得要求の送信元へ返す一覧リストの例を図13に示す。
【0058】
1.3 セキュリティポリシー検索
【0059】
セキュリティポリシー検索というのは、前述したように、外部機器が、ポリシーがすでに設定されている文書に関するセキュリティポリシーの情報を問い合わせる機能である。このセキュリティポリシー検索処理については、図14に示したフローチャートを用いて説明する。
【0060】
外部機器からの検索要求によりセキュリティポリシー検索部33が呼び出されると、セキュリティポリシー検索部33は、まず、検索要求に指定されている文書IDに基づき文書情報データベース36を検索する(ステップ101)。該当するレコードが取得できた場合(ステップ102でY)、そのレコードに含まれているポリシーIDのエントリーをセキュリティポリシーデータベース35から検索する(ステップ103)。該当するエントリーが取得できた場合(ステップ104でY)、そのエントリーの利用範囲を参照して検索要求に指定されているユーザIDのユーザが所属するユーザグループのみをフィルタリングして抽出する(ステップ105)。例えば、図5のポリシーID“0001”において、問い合わせたユーザが作成者でなく、ソフトウェア開発部に属している場合は、ソフトウェア開発部のみを抽出することになる。作成者かどうかは、指定された文書の作成者IDが、問い合わせたユーザIDと一致するかで判断する。もし、何も検索されなかった場合は、空(NULL)を返すことになる。
【0061】
ユーザが所属するユーザグループが抽出できた場合(ステップ106でY)、抽出できた各エントリーにつき有効期限のチェックを行う(ステップ107)。すなわち、抽出した各エントリーの利用範囲の項目に関して、文書IDのエントリーの作成日時から、それぞれ有効期間満了日を生成する。もし、有効期間満了日が現在時刻より前だったら、抽出したエントリーの中から当該エントリーを削除する。エントリーが残った場合において(ステップ108でY)、許可リストを作成する(ステップ109)。1つのエントリーのみが残ればそのエントリーをそのまま許可リストとする。複数のエントリーが残った場合、その残った利用範囲の項目の許諾リストをマージして許可リストを作成する。また、有効期間満了日時は最も長いものを選択する。
【0062】
以上のようにして作成した許可リストを検索結果として、検索要求送信元の外部機器に返す(ステップ110)。以上の処理の結果、検索要求送信元へ返すポリシー検索結果の例を図15に示す。なお、以上の処理において該当するレコード、エントリーが存在しなかった場合(ステップ102でN,ステップ104でN,ステップ106でN,ステップ108でN)、その旨を示すエラー情報を作成して(ステップ111)、検索要求送信元の外部機器に返す(ステップ112)。
【0063】
1.4 セキュリティポリシー切替え
【0064】
外部機器から文書ID、切替え対象のポリシーのID、切替え指示をするユーザのIDのデータが指定された切替え要求が送られてくると、セキュリティポリシー切替部34は、以下の切替処理を行う。このセキュリティポリシー切替処理については、図16に示したフローチャートを用いて説明する。なお、外部機器から送られてくるセキュリティポリシーの切替え要求の例を図17に示す。
【0065】
外部機器からの切替え要求によりセキュリティポリシー切替部34が呼び出されると、セキュリティポリシー切替部34は、まず、検索要求に指定されている文書IDに基づき文書情報データベース36を検索する(ステップ121)。該当するレコードが取得できた場合(ステップ122でY)、そのレコードに含まれているポリシーIDのエントリーをセキュリティポリシーデータベース35から検索する(ステップ123)。該当するエントリーが取得できた場合(ステップ124でY)、そのエントリーの利用範囲を参照して切替え要求に指定されているユーザIDのユーザが所属するユーザグループのみをフィルタリングして抽出する(ステップ125)。例えば、図5のポリシーID“0001”において、問い合わせたユーザが作成者でなく、ソフトウェア開発部に属している場合は、ソフトウェア開発部のみを抽出することになる。作成者かどうかは、指定された文書の作成者IDが、問い合わせたユーザIDと一致するかで判断する。もし、何も抽出できなかった場合は、失敗(FALSE)を返すことになる。
【0066】
ユーザが所属するユーザグループが抽出できた場合(ステップ126でY)、抽出できたエントリーにつきポリシー切替えの権限の有無のチェックを行う(ステップ127)。すなわち、抽出したエントリーの許諾機能リストの中にポリシー切替え権に相当する“ポリシーの切替え”が含まれているか否かをチェックする。もし、含まれない場合は、失敗(FALSE)を返すことになる。
【0067】
ポリシー切替え権を有していた場合(ステップ128でY)、セキュリティポリシー切替部34は、切替対象の文書に対して現在設定されているポリシー(以下、「切替え元ポリシー」ともいう)の権利範囲と、切替え対象のポリシーIDにより特定されるポリシー(以下、「切替え先ポリシー」ともいう)の権利範囲とを比較する(ステップ129)。この比較の結果、切替え元ポリシーの権利範囲が切替え先ポリシーの権利範囲より広ければ(ステップ130でY)、セキュリティポリシー切替部34は、文書情報データベース36に記憶されている当該文書のエントリーのポリシーIDを、切替え先ポリシーのポリシーIDで更新することによって、当該文書に付与するポリシーを切り替える(ステップ131)。もし、広がる場合は、失敗(FALSE)を返すことになる。
【0068】
ここで、権利範囲が広いというのは、次のことを意味する。すなわち、セキュリティポリシーデータベース35に登録される許諾機能リストには、利用範囲に設定されたユーザグループに属するユーザに対して許可した操作、具体的には電子文書の閲覧、印刷等が設定される。ここで、例えば、切替え元ポリシーには、「電子文書の印刷」権が設定されておらず、一方、切替え先ポリシーには、「電子文書の印刷」権が設定されている場合が「権利範囲が広い」に該当する。このような場合において、文書に付与するポリシーを切替え先ポリシーに切り替えてしまえば、今まで付与されていない権限(「電子文書の印刷」権)をユーザに新たに付与してしまうことになる。このように、今まで付与されていない権限を、ポリシーを切り替えることによってユーザに新たに付与してしまうことは、不当な権限を付与することになる可能性があるので、このようなケースを回避する必要がある。換言すると、切替え先ポリシーに基づき許可される操作が、切替え元ポリシーに基づき許可された操作より制限されている場合のみ当該保護文書に付与するポリシーを、切替え元ポリシーから切替え先ポリシーへ切り替えることを許可するようにする。従って、セキュリティポリシー切替部34は、切替え元ポリシーの権利範囲と、切替え先ポリシーの権利範囲とを比較して、アクセス権を必要以上にユーザに付与することを回避できるようにした。つまり、ポリシーの切替えにより文書を操作するユーザに付与するポリシーが現況と同じまたは制限される場合のみポリシーの切替えを許可するようにした。ここで、権利範囲の比較・判定は、以下のデータを対象とする。なお、本実施の形態においてアクセス権というのは、保護文書に対する操作の権限と同義である。
【0069】
まず、上記において例示したように、同じ利用範囲(ユーザグループ)に指定されている許諾機能リストに新規の権利が追加されることになるか否か、である。ポリシーの切替えにより付与する権限の数が減ったとしても、新たな権限が付与されることになる場合には、権利範囲が広くなる、ことに該当する。ただ、電子文書を編集する場合は、必ず「電子文書の閲覧」権が必要になる。このように、権限の中にも優先順位や上下関係、包含関係が成り立つ場合がある。このような場合は、各アクセス権の関係を予め定義しておき、切替え元ポリシーの権利範囲と切替え先ポリシーの権利範囲の広狭を判断する際には、その定義情報を参照すればよい。
【0070】
また、利用範囲として定義されているユーザグループに新規のユーザあるいはユーザグループが追加されているか否かである。今まで、権限付与されていないユーザに対してポリシーの切替えによって権限が新たに付与されることは不当だからである。このユーザグループに関しても許諾機能リストと同様に上下関係、包含関係が成り立つ場合があるので、前述した許諾機能リストの場合と同様に、ユーザ及びユーザが所属するグループの関係を予め定義しておき、権利範囲の広狭を判断する際に参照すればよい。
【0071】
更に、同じ利用範囲に指定されている有効期間が長いか否かである。有効期限が無条件に延長されるのは不当だからである。
【0072】
以上の処理の結果、ポリシーの切替えが正常に終了すると、その旨(TRUE)を処理結果として切替え要求送信元へ返す(ステップ132)。
【0073】
一方、以上の切替処理において切替ができない場合(ステップ122でN,ステップ124でN,ステップ126でN,ステップ128でN,ステップ130でN)、その旨(FALSE)を示すエラー情報を作成して(ステップ133)、検索要求送信元の外部機器に返す(ステップ134)。
【0074】
2.クライアントPC50の動作
【0075】
クライアントPC50は、所定の文書処理アプリケーションが実行されることによって、電子文書の保護や、保護された電子文書をポリシー上で許可された権利の範囲内での編集や印刷等の動作を行う。なお、保護されていない文書の印刷・編集などの処理に関しては従来の技術と同様であるので、説明を省略する。
【0076】
2.1 保護電子文書の生成
【0077】
この保護電子文書の生成処理については、図18に示したフローチャートを用いて説明する。
【0078】
クライアントPC50を使用しているユーザが、キーボード7等の入力手段を用いて保護されていない電子文書を指定した保護指示要求を入力すると、制御部61は、それを受け付ける(ステップ201)。そして、クライアントPC50にログインしたときに入力したユーザID及びパスワード、あるいは入力要求を別途したことに応じてユーザが入力したユーザID及びパスワードをユーザ認証部59に渡すと、ユーザ認証部59は、その入力された情報が正しいかどうかを外部のユーザ認証サーバ23に問い合わせて確認する(ステップ202)。ユーザ認証に成功すれば(ステップ203でY)、ユーザIDを保持する。失敗した場合は(ステップ203でN)、その旨をディスプレイ8に表示し(ステップ210)、処理を中断する。
【0079】
ユーザ認証成功後、制御部61は、保護されていない電子文書を文書保持部57に登録することで保持させた後、保護電子文書生成部54を呼び出す。保護電子文書生成部54は、ポリシー一覧取得要求をセキュリティポリシーサーバ30へ送信することによりセキュリティポリシーの一覧を取得する(ステップ204)。なお、送信したポリシー一覧取得要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.2 セキュリティポリシー一覧応答」において前述したとおりである。ポリシーの一覧リストが取得できると、制御部61は、取得したポリシーの一覧リストをユーザに理解可能な形式で表示させ(例えば、ポリシー名のドロップダウンによるリスト表示等)、ユーザに適用したいポリシーを選択させる。ポリシーが選択されると、制御部61は、それを受け付け(ステップ205)、続いて、保護電子文書生成部54は、文書ID生成部55に文書IDを生成させ(ステップ206)、その文書ID、ポリシーID、ユーザID(作成者ID)及び作成日時(現在時刻)の各パラメータを含む登録要求を生成し、セキュリティポリシーサーバ30へ送信することによって保護電子文書の登録指示を出す(ステップ207)。なお、送信した登録要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.1 セキュリティポリシー登録」において前述したとおりである。
【0080】
ここで、登録指示に応じてセキュリティポリシーサーバ30から返信されてきた処理結果により登録処理が成功した旨を認識すると(ステップ208でY)、制御部61は、保護されていない文書を予め決められた暗号鍵で暗号化し、付与された文書IDを関連付けして、保護電子文書として保護電子文書記憶部53に書込保存する(ステップ209)。
【0081】
なお、認証に失敗した場合(ステップ203でN)、登録処理に失敗した旨がセキュリティポリシーサーバ30から返信されてきた場合(ステップ208でN)、制御部61は、エラー情報をディスプレイ8に表示するなどしてユーザにその旨を知らせる(ステップ210)。
【0082】
2.2 保護電子文書の閲覧
【0083】
次に、保護電子文書の閲覧処理については、図19に示したフローチャートを用いて説明する。
【0084】
クライアントPC50を使用しているユーザにより、保護電子文書の閲覧のためにキーボード7等の入力手段を用いて保護電子文書を指定して文書処理アプリケーションが起動されることによって保護電子文書の閲覧が要求されると、制御部61は、その要求を受け付け(ステップ211)、保護電子文書生成処理と同様にユーザ認証部59にユーザ認証を実行させる(ステップ212)。ユーザ認証成功後(ステップ213でY)、制御部61は、指定された保護電子文書の文書IDを保護電子文書記憶部53から読み取り(ステップ214)、その文書ID及びユーザ認証に用いたユーザIDの各パラメータを含む検索要求を生成し、セキュリティポリシーサーバ30へ送信する(ステップ215)。なお、送信した検索要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.3 セキュリティポリシー検索」において前述したとおりである。
【0085】
ここで、検索要求に応じてセキュリティポリシーサーバ30から検索結果がない旨などのエラー情報が送られてくると(ステップ216でN)、制御部61は、「指定した文書に対するアクセス権がありません」などのエラーメッセージをディスプレイ8に表示して終了する(ステップ221)。一方、セキュリティポリシーサーバ30から検索結果として許可リストが送られてくると(ステップ216でY)、その許可リストを参照し、「電子文書の閲覧」が含まれているもののみにフィルタリングする(ステップ217)。図15の例の場合は、Operationタグ内に“View”が含まれているもののみを抽出する。また、許可リストが許諾機能リストをマージして作成されている場合には、“View”の有無を確認することになる。ここで、“View”が含まれていなければ(ステップ218でN)、当該ユーザには、指定された保護電子文書に対する閲覧権が付与されていないと判断して、「指定した文書の閲覧権はありません」というエラーをディスプレイ8に表示する(ステップ221)。
【0086】
“View”が含まれている場合(ステップ218でY)、制御部61は、続いてフィルタリングにより残った検索結果を参照して、有効期間が満了していないものがあるかどうかをチェックする。なお、セキュリティポリシーサーバ30側で有効期間の満了しているものは返さないようにしているので、この処理は、念のための処理である。有効期間満了前のものが無ければ(ステップ219でN)、「指定した文書の権利は有効期間を過ぎています」というエラーメッセージを表示して終了する(ステップ221)。
【0087】
有効期間満了前のものが存在すれば(ステップ219でY)、閲覧権があるものと判断されるので、制御部61は、予め決められた復号鍵で文書本体を復号し、その結果を文書IDと共に文書保持部57に一時格納し、文書表示部58を呼びだして、文書をディスプレイ8に表示させる(ステップ220)。
【0088】
2.3 保護電子文書の編集
【0089】
次に、保護電子文書の編集処理については、図20に示したフローチャートを用いて説明する。なお、編集の際には、既に文書が文書処理アプリケーションで開かれていることを仮定している。すなわち、閲覧の処理が行われて文書保持部57に文書がすでに読み込まれている状態から、以下に説明する編集処理が始まるものとする。
【0090】
クライアントPC50で保護電子文書を開いているユーザにより、保護電子文書の編集が要求されると、制御部61は、その要求を受け付ける(ステップ231)。そして、制御部61は、保護電子文書から文書IDを読み取り(ステップ232)、その文書ID及びユーザ認証に用いたユーザIDの各パラメータを含む検索要求を生成し、セキュリティポリシーサーバ30へ送信する(ステップ233)。なお、送信した検索要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.3 セキュリティポリシー検索」において前述したとおりである。
【0091】
ここで、検索要求に応じてセキュリティポリシーサーバ30から検索結果がない旨などのエラー情報が送られてくると(ステップ234でN)、制御部61は、「指定した文書に対するアクセス権がありません」などのエラーメッセージをディスプレイ8に表示して終了する(ステップ239)。一方、セキュリティポリシーサーバ30から検索結果として許可リストが送られてくると(ステップ234でY)、その許可リストを参照し、「電子文書の編集」が含まれているもののみにフィルタリングする(ステップ235)。図15の例の場合は、Operationタグ内に“Edit”が含まれているもののみを抽出する。また、許可リストが許諾機能リストをマージして作成されている場合には、“Edit”の有無を確認することになる。ここで、“Edit”が含まれていなければ(ステップ236でN)、当該ユーザには、指定された保護電子文書に対する編集権が付与されていないと判断して、「指定した文書の編集権はありません」というエラーをディスプレイ8に表示する(ステップ239)。
【0092】
“Edit”が含まれている場合(ステップ236でY)、制御部61は、続いてフィルタリングにより残った検索結果を参照して、有効期間が満了していないものがあるかどうかをチェックする。なお、セキュリティポリシーサーバ30側で有効期間の満了しているものは返さないようにしているので、この処理は、念のための処理である。有効期間満了前のものが無ければ(ステップ237でN)、「指定した文書の権利は有効期間を過ぎています」というエラーメッセージを表示して終了する(ステップ239)。
【0093】
有効期間満了前のものが存在すれば(ステップ237でY)、編集権があるものと判断されるので、制御部61は、文書編集部56を呼び出して、保護電子文書の編集をユーザに許可する(ステップ238)。
【0094】
なお、文書を開く(閲覧する)際に、セキュリティポリシーサーバ30に保護電子文書のポリシーを問い合わせたら、その結果をRAM3上に保持しておくようにしてもよい。こうすれば、ステップ233で許可リストを問い合わせる必要はなく、RAM3に保持しておいたポリシーを参照すればすむ。
【0095】
2.4 保護電子文書の印刷
【0096】
次に、保護電子文書の印刷処理については、図21に示したフローチャートを用いて説明する。なお、印刷の際には、編集の場合と同様に文書が文書アプリケーションによってすでに開かれていることを仮定している。すなわち、閲覧の処理が行われて文書保持部57に文書がすでに読み込まれている状態から、以下に説明する印刷処理が始まるものとする。
【0097】
クライアントPC50で保護電子文書を開いているユーザにより、保護電子文書の印刷が要求されると、制御部61は、その印刷要求を受け付け(ステップ241)、ユーザにより指定された保護電子文書の印刷指示を保護文書印刷部60に出す(ステップ242)。印刷指示を受けた保護文書印刷部60は、文書保持部57に保持されている保護電子文書を読み出して印刷イメージに変換し、文書ID、ユーザIDと共に、保護電子文書を、ユーザにより指定された複合機40に送信することで印刷を実行させる(ステップ243)。複合機40は、保護電子文書を受け付けることによって印刷を開始することになるが、この処理については、追って説明する。
【0098】
ところで、本実施の形態では、印刷処理の実行可否の権利確認を複合機40側にて行うようにしているので、文書処理アプリケーション側では権利確認処理を行う必要はない。しかし、このようにすると、文書データを複合機40に送ってからでないと、印刷権の有無が確認できないので、クライアントPC50から複合機40へのデータ通信が無駄になる場合が発生しうる。そこで、本実施の形態においては、文書データを送信する前に、送信文書の印刷権があるかどうかを確認するようにしてもよい。この印刷時においてクライアントPC50側において行う権利確認処理を図22に示したフローチャートを用いて説明する。なお、図21と同じ処理には同じステップ番号を付ける。
【0099】
クライアントPC50で保護電子文書を開いているユーザにより、保護電子文書の印刷が要求されると、制御部61は、その印刷要求を受け付ける(ステップ241)。そして、制御部61は、印刷対象の保護電子文書から文書IDを読み取り(ステップ244)、その文書ID及びユーザ認証に用いたユーザIDの各パラメータを含む検索要求を生成し、セキュリティポリシーサーバ30へ送信する(ステップ245)。なお、送信した検索要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.3 セキュリティポリシー検索」において前述したとおりである。
【0100】
ここで、検索要求に応じてセキュリティポリシーサーバ30から検索結果がない旨などのエラー情報が送られてくると(ステップ246でN)、制御部61は、「指定した文書に対する印刷権がありません」などのエラーメッセージをディスプレイ8に表示して終了する(ステップ250)。一方、セキュリティポリシーサーバ30から検索結果として許可リストが送られてくると(ステップ246でY)、その許可リストを参照し、「電子文書の印刷」が含まれているもののみにフィルタリングする(ステップ247)。図15の例の場合は、Operationタグ内に“Print”が含まれているもののみを抽出する。また、許可リストが許諾機能リストをマージして作成されている場合には、“Print”の有無を確認することになる。ここで、“Print”が含まれていなければ(ステップ248でN)、当該ユーザには、指定された保護電子文書に対する印刷権が付与されていないと判断して、「指定した文書の印刷権はありません」というエラーをディスプレイ8に表示する(ステップ250)。
【0101】
“Print”が含まれている場合(ステップ248でY)、制御部61は、続いてフィルタリングにより残った検索結果を参照して、有効期間が満了していないものがあるかどうかをチェックする。なお、セキュリティポリシーサーバ30側で有効期間の満了しているものは返さないようにしているので、この処理は、念のための処理である。有効期間満了前のものが無ければ(ステップ249でN)、「指定した文書の権利は有効期間を過ぎています」というエラーメッセージを表示して終了する(ステップ250)。
【0102】
有効期間満了前のものが存在すれば(ステップ249でY)、印刷権があるものと判断されるので、制御部61は、ユーザにより指定された保護電子文書の印刷指示を保護文書印刷部60に出す(ステップ242)。保護文書印刷部60は、この印刷指示に応じて文書保持部57に保持されている保護電子文書を読み出して印刷イメージに変換し、文書ID、ユーザIDと共に、保護電子文書を、ユーザにより指定された複合機40に送信することで印刷を実行させる(ステップ243)。
【0103】
2.5 保護電子文書の保存
【0104】
文書処理アプリケーションが開いている保護電子文書をファイルに保存(上書き、別名など)する際には、以下のような処理が行なわれる。この保護電子文書の保存処理については、図23に示したフローチャートを用いて説明する。
【0105】
まず、ユーザが文書処理アプリケーション上で所定の保存ボタンをクリック等により選択すると、制御部61は、そのユーザ操作に応じた保存要求を受け付ける(ステップ251)。そして、制御部61は、文書保持部57に保存されている電子文書に文書IDが付与されていたら、保護電子文書であると判断し、予め決められた暗号鍵で文書本体を暗号化し、そして文書IDを付与して、保護電子文書ファイルを保護電子文書記憶部53に保存する(ステップ252)。
【0106】
2.6 保護電子文書の切替え
【0107】
保護電子文書のポリシーの切替えは、保護電子文書ファイルを、文書処理アプリケーションが開いている状態で、アプリケーションの「保護文書のポリシー切替え」ボタンを選択することによって行われる。この保護電子文書のポリシー切替え処理については、図24に示したフローチャートを用いて説明する。
【0108】
まず、ユーザが文書処理アプリケーション上で所定の切替えボタンをクリック等により選択すると、制御部61は、そのユーザ操作に応じたポリシー切替え要求を受け付ける(ステップ261)。そして、制御部61は、ポリシー一覧取得要求をセキュリティポリシーサーバ30へ送信することによりセキュリティポリシーの一覧を取得する(ステップ262)。なお、送信したポリシー一覧取得要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.2 セキュリティポリシー一覧応答」において前述したとおりである。ポリシーの一覧リストが取得できると、制御部61は、取得したポリシーの一覧リストをユーザに理解可能な形式で表示させ、ユーザに適用したいポリシーを選択させる。ポリシーが選択されると、制御部61は、それを受け付け(ステップ263)、続いて、選択されたポリシーのポリシーID、切替え対象の文書ID及びユーザIDの各パラメータを含む切替え要求を生成し、セキュリティポリシーサーバ30へ送信することによって保護電子文書の切替え指示を出す(ステップ264)。なお、この切替え要求に応じて呼び出されたセキュリティポリシー切替部34が実施する切替処理については、「1.4 セキュリティポリシー切替え」において前述したとおりである。
【0109】
この切替え指示に応じてセキュリティポリシーサーバ30から処理結果としてポリシーの切替えが成功した旨(TRUE)が送られてくると(ステップ265でY)、クライアントPC50における切替処理は終了する。一方、切替えが失敗した旨(FALSE)が送られてくると(ステップ265でN)、その旨をディスプレイ8に表示し(ステップ266)、他のポリシーを選択させるためにステップ263に戻す。
【0110】
3.複合機40の動作
【0111】
複合機40は、保護された電子文書の印刷、保護された紙文書のコピー・スキャンを提供する。なお、ここでは、保護された紙文書以外の通常の紙文書のコピーやスキャンなどについては従来と同じ処理がなされるだけであるので、説明を省略している。
【0112】
3.1 保護電子文書の印刷
【0113】
この保護電子文書の印刷処理については、図25に示したフローチャートを用いて説明する。
【0114】
「2.4 保護電子文書の印刷」において説明したように、ユーザにより保護電子文書の印刷が要求されると、複合機40には、クライアントPC50から複合機40において印字可能な印刷イメージが文書ID及びユーザIDと共に送られる。制御部48は、印刷要求を受け付けると(ステップ301)、その印刷要求に含まれている文書ID及びユーザIDの各パラメータを含む検索要求を生成し、セキュリティポリシーサーバ30へ送信する(ステップ302)。なお、送信した検索要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.3 セキュリティポリシー検索」において前述したとおりである。
【0115】
ここで、検索要求に応じてセキュリティポリシーサーバ30から検索結果がない旨などのエラー情報が送られてくると(ステップ303でN)、制御部48は、「指定した文書に対する印刷権がありません」などのエラーメッセージを操作パネル13に表示したり、あるいはエラーログをHDD15に記録したりして処理を終了する(ステップ309)。一方、セキュリティポリシーサーバ30から検索結果として許可リストが送られてくると(ステップ303でY)、その許可リストを参照し、「電子文書の印刷」が含まれているもののみにフィルタリングする(ステップ304)。図15の例の場合は、Operationタグ内に“Print”が含まれているもののみを抽出する。また、許可リストが許諾機能リストをマージして作成されている場合には、“Print”の有無を確認することになる。ここで、“Print”が含まれていなければ(ステップ305でN)、当該ユーザには、指定された保護電子文書に対する印刷権が付与されていないと判断して、「指定した文書の印刷権はありません」というエラーを操作パネル13に表示したりする(ステップ309)。
【0116】
“Print”が含まれている場合(ステップ305でY)、制御部48は、続いてフィルタリングにより残った検索結果を参照して、有効期間が満了していないものがあるかどうかをチェックする。なお、セキュリティポリシーサーバ30側で有効期間の満了しているものは返さないようにしているので、この処理は、念のための処理である。有効期間満了前のものが無ければ(ステップ306でN)、「指定した文書の権利は有効期間を過ぎています」というエラーメッセージを表示して終了する(ステップ309)。
【0117】
有効期間満了前のものが存在すれば(ステップ306でY)、印刷権があるものと判断されるので、制御部48は、画像保持部43に印刷イメージと文書ID、ユーザIDを一時格納し、保護紙文書生成部44を呼び出す。保護紙文書生成部44は、画像保持部43を介して受け取った文書IDをバーコードなどのコードパターンの画像イメージに変換するように文書IDエンコード部45に指示する。そして、保護紙文書生成部44は、その文書IDの画像イメージを、印刷対象の保護電子文書の印刷イメージのヘッダ部及び/又はフッタ部に合成することによって印刷する合成画像を生成する(ステップ307)。そして、印刷部46は、生成された合成画像を印刷する(ステップ308)。このようにして保護電子文書が印刷されたときの用紙の模式図は、図10に示されている。もちろん、文書IDを透かしとして生成し、図11に例示したように印刷してもよい。
【0118】
3.2 保護紙文書のコピー
【0119】
この保護紙文書のコピー処理については、図26に示したフローチャートを用いて説明する。
【0120】
ユーザが複合機40のプラテン、あるいはADF(Auto Document Feeder)上に保護紙文書を置き、操作パネル13に表示された「保護文書のコピー」のボタンを押す。制御部48は、ユーザによる押下操作によりコピー指示を受け付けると(ステップ311)、制御部48は、操作パネル13にユーザ認証ダイアログを表示し、ユーザにユーザIDとパスワードの入力を求める。ユーザが入力すると、その入力されたユーザID及びパスワードをユーザ認証部41に渡す。そして、ユーザ認証部41は、その入力された情報が正しいかどうかを外部のユーザ認証サーバ23に問い合わせて確認する(ステップ312)。ユーザ認証に成功すれば(ステップ313でY)、ユーザIDを保持する。失敗した場合は(ステップ313でN)、その旨を操作パネル13に表示して(ステップ324)、処理を中断する。
【0121】
ユーザ認証成功後、制御部48は、保護紙文書をスキャンして画像を読み込み(ステップ314)、その画像イメージのヘッダおよびフッタ部の画像イメージを文書IDデコード部47にデコードさせることによって文書IDを取得する(ステップ315)。なお、文書IDが透かしにより保護紙文書に組み込まれている場合には、透かしをデコードすることになる。文書IDのデコードに失敗して取得できなかった場合は(ステップ316でN)、その旨を操作パネル13に表示し(ステップ324)、処理を中断する。
【0122】
文書IDのデコードに成功した場合(ステップ316でY)、制御部48は、そのデコードした文書ID及びユーザ認証に用いたユーザIDの各パラメータを含む検索要求を生成し、セキュリティポリシーサーバ30へ送信する(ステップ317)。なお、送信した検索要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.3 セキュリティポリシー検索」において前述したとおりである。
【0123】
ここで、検索要求に応じてセキュリティポリシーサーバ30から検索結果がない旨などのエラー情報が送られてくると(ステップ318でN)、制御部48は、「コピー権がありません」などのエラーメッセージを操作パネル13に表示して終了する(ステップ324)。一方、セキュリティポリシーサーバ30から検索結果として許可リストが送られてくると(ステップ318でY)、その許可リストを参照し、「紙文書のコピー」が含まれているもののみにフィルタリングする(ステップ319)。図15の例の場合は、Operationタグ内に“Copy”が含まれているもののみを抽出する。また、許可リストが許諾機能リストをマージして作成されている場合には、“Copy”の有無を確認することになる。ここで、“Copy”が含まれていなければ(ステップ320でN)、当該ユーザには、指定された保護電子文書に対するコピー権が付与されていないと判断して、「コピー権はありません」というエラーを操作パネル13に表示して終了する(ステップ324)。
【0124】
“Copy”が含まれている場合(ステップ320でY)、制御部48は、続いてフィルタリングにより残った検索結果を参照して、有効期間が満了していないものがあるかどうかをチェックする。なお、セキュリティポリシーサーバ30側で有効期間の満了しているものは返さないようにしているので、この処理は、念のための処理である。有効期間満了前のものが無ければ(ステップ321でN)、「権利は有効期間を過ぎています」というエラーメッセージを表示して終了する(ステップ324)。
【0125】
有効期間満了前のものが存在すれば(ステップ321でY)、コピー権があるものと判断されるので、制御部48は、画像保持部43に印刷イメージと文書ID、ユーザIDを一時格納し、保護紙文書生成部44を呼び出す。保護紙文書生成部44は、画像保持部43を介して受け取った文書IDをバーコードなどのコードパターンの画像イメージに変換するように文書IDエンコード部45に指示する。そして、保護紙文書生成部44は、その文書IDの画像を、印刷対象の保護電子文書の印刷画像のヘッダ部及び/又はフッタ部に合成することによって印刷する合成画像を生成する(ステップ322)。そして、印刷部46は、生成された合成画像を印刷する(ステップ323)。このようにして保護電子文書が印刷されたときの用紙の模式図は、図10に示されている。もちろん、コピー対象の保護紙文書に文書IDが透かしとして形成されている場合は、図11に例示したように文書IDを透かし25として印刷する。このようにして、保護紙文書がコピーされる。本実施の形態では、特に文書IDの読取画像をそのままコピー印刷するのではなく、いったんデコードし、そしてコピー印刷時に再度エンコードするようにしたので、紙文書に印刷した文書IDデータは劣化しない。
【0126】
3.3 保護紙文書のスキャン
【0127】
保護紙文書をスキャンすると、紙文書のイメージが電子化されることになるが、そのイメージを保護電子文書として生成する必要がある。保護紙文書のコピー処理においては、印刷媒体に印刷を行うことになるが、この保護電子文書のスキャン処理は、印刷媒体に印刷を行う代わりに電子データをいずれかの記憶手段に保存することになること以外は、基本的な処理内容は共通である。この保護電子文書のスキャン処理については、図27に示したフローチャートを用いて説明する。
【0128】
ユーザが複合機40のプラテン、あるいはADF上に保護紙文書を置き、操作パネル13に表示された「保護文書のスキャン」のボタンを押す。制御部48は、ユーザによる押下操作によりスキャン指示を受け付けると(ステップ331)、制御部48は、操作パネル13にユーザ認証ダイアログを表示し、ユーザにユーザIDとパスワードの入力を求める。ユーザが入力すると、その入力されたユーザID及びパスワードをユーザ認証部41に渡す。そして、ユーザ認証部41は、その入力された情報が正しいかどうかを外部のユーザ認証サーバ23に問い合わせて確認する(ステップ332)。ユーザ認証に成功すれば(ステップ333でY)、ユーザIDを保持する。失敗した場合は(ステップ333でN)、その旨を操作パネル13に表示して(ステップ344)、処理を中断する。
【0129】
ユーザ認証成功後、制御部48は、保護紙文書をスキャンして画像を読み込み(ステップ334)、その画像イメージのヘッダおよびフッタ部の画像イメージを文書IDデコード部47にデコードさせることによって文書IDを取得する(ステップ335)。なお、文書IDが透かしにより保護紙文書に組み込まれている場合には、透かしをデコードすることになる。文書IDのデコードに失敗して取得できなかった場合は(ステップ336でN)、その旨を操作パネル13に表示し(ステップ344)、処理を中断する。
【0130】
文書IDのデコードに成功した場合(ステップ336でY)、制御部48は、そのデコードした文書ID及びユーザ認証に用いたユーザIDの各パラメータを含む検索要求を生成し、セキュリティポリシーサーバ30へ送信する(ステップ337)。なお、送信した検索要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.3 セキュリティポリシー検索」において前述したとおりである。
【0131】
ここで、検索要求に応じてセキュリティポリシーサーバ30から検索結果がない旨などのエラー情報が送られてくると(ステップ338でN)、制御部48は、「スキャン権がありません」などのエラーメッセージを操作パネル13に表示して終了する(ステップ344)。一方、セキュリティポリシーサーバ30から検索結果として許可リストが送られてくると(ステップ338でY)、その許可リストを参照し、「紙文書のスキャン」が含まれているもののみにフィルタリングする(ステップ339)。図15の例には含まれていないが、Operationタグ内に“Scan”が含まれていれば、その含まれているもののみを抽出する。また、許可リストが許諾機能リストをマージして作成されている場合には、“Scan”の有無を確認することになる。ここで、“Scan”が含まれていなければ(ステップ340でN)、当該ユーザには、指定された保護電子文書に対するスキャン権が付与されていないと判断して、「スキャン権はありません」というエラーを操作パネル13に表示して終了する(ステップ344)。
【0132】
“Scan”が含まれている場合(ステップ340でY)、制御部48は、続いてフィルタリングにより残った検索結果を参照して、有効期間が満了していないものがあるかどうかをチェックする。なお、セキュリティポリシーサーバ30側で有効期間の満了しているものは返さないようにしているので、この処理は、念のための処理である。有効期間満了前のものが無ければ(ステップ341でN)、「権利は有効期間を過ぎています」というエラーメッセージを表示して終了する(ステップ344)。
【0133】
有効期間満了前のものが存在すれば(ステップ341でY)、スキャン権があるものと判断されるので、制御部48は、画像保持部43に読取画像と文書ID、ユーザIDを一時格納し、保護電子文書生成部42を呼び出す。保護電子文書生成部42は、画像保持部43を介して受け取った文書IDをバーコードなどのコードパターンの画像イメージに変換するように文書IDエンコード部45に指示する。また、保護電子文書生成部42は、保護紙文書の画像イメージから文書ID画像を削除した後、予め決められた暗号鍵で暗号化し、その暗号化した電子文書画像のヘッダ部及び/又はフッタ部に、エンコードされた文書IDを合成することによって保存対象の保護電子文書を生成する(ステップ342)。そして、複合機40のユーザがアクセス可能な場所、例えば当該ユーザの親展ボックスなどに格納する(ステップ343)。保護紙文書のスキャン処理においても、コピー処理と同様、文書IDの読取画像をそのまま保存対象とするのではなく、いったんデコードし、そして再度エンコードするようにしたので、紙文書に印刷した文書IDデータは劣化しない。
【0134】
なお、保護電子文書生成部42における詳細な処理は、基本的にクライアントPC50における保護電子文書生成部54の処理と同じである。このため、図8では、保護電子文書生成処理に関連する構成要素を省略している。
【0135】
3.4 保護紙文書のポリシー切替え
【0136】
複合機40を利用して行われるポリシーの切替処理については、図28に示したフローチャートを用いて説明する。
【0137】
ユーザが複合機40のプラテン、あるいはADF上に保護紙文書を置き、操作パネル13に表示された「保護文書のポリシー切替え」のボタンを押す。制御部61は、ユーザによる押下操作によりポリシー切替え指示を受け付けると(ステップ351)、制御部48は、操作パネル13にユーザ認証ダイアログを表示し、ユーザにユーザIDとパスワードの入力を求める。ユーザが入力すると、その入力されたユーザID及びパスワードをユーザ認証部41に渡す。そして、ユーザ認証部41は、その入力された情報が正しいかどうかを外部のユーザ認証サーバ23に問い合わせて確認する(ステップ352)。ユーザ認証に成功すれば(ステップ353でY)、ユーザIDを保持する。失敗した場合は(ステップ353でN)、その旨を操作パネル13に表示して(ステップ362)、処理を中断する。
【0138】
ユーザ認証成功後、制御部48は、保護紙文書をスキャンして画像を読み込み(ステップ354)、その画像イメージのヘッダおよびフッタ部の画像イメージを文書IDデコード部47にデコードさせることによって文書IDを取得する(ステップ355)。なお、文書IDが透かしにより保護紙文書に組み込まれている場合には、透かしをデコードすることになる。文書IDのデコードに失敗して取得できなかった場合は(ステップ356でN)、その旨を操作パネル13に表示し(ステップ362)、処理を中断する。
【0139】
文書IDのデコードに成功した場合(ステップ356でY)、制御部48は、ポリシー一覧取得要求をセキュリティポリシーサーバ30へ送信することによりセキュリティポリシーの一覧を取得する(ステップ357)。なお、送信したポリシー一覧取得要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.2 セキュリティポリシー一覧応答」において前述したとおりである。ポリシーの一覧リストが取得できると、制御部48は、取得したポリシーの一覧リストをユーザに理解可能な形式で表示させ、ユーザに適用したいポリシーを選択させる。ポリシーが選択されると、制御部48は、それを受け付け(ステップ358)、続いて、選択されたポリシーのポリシーID、切替え対象の文書ID及びユーザIDの各パラメータを含む切替え要求を生成し、セキュリティポリシーサーバ30へ送信することによって保護電子文書の切替え指示を出す(ステップ359)。なお、この切替え要求に応じて呼び出されたセキュリティポリシー切替部34が実施する切替処理については、「1.4 セキュリティポリシー切替え」において前述したとおりである。
【0140】
この切替え指示に応じてセキュリティポリシーサーバ30から処理結果としてポリシーの切替えが成功した旨(TRUE)が送られてくると(ステップ360でY)、複合機40における切替処理は終了する。一方、切替えが失敗した旨(FALSE)が送られてくると(ステップ360でN)、その旨を操作パネル13に表示し(ステップ361)、他のポリシーを選択させるためにステップ358に戻す。
【0141】
ところで、前述した実施の形態におけるセキュリティポリシー切替処理では、切替え先のポリシーを制限するために、切替え先のポリシーの権利内容と、切替え元、すなわち現在のポリシーの権利内容とを比較することで行ったが(図16のステップ129)、これは、以下のように実現してもよい。
【0142】
まず、切替え可能なポリシーに対する制限を、別途記述してもよい。つまり、切替え先のポリシーが満たしているべき条件を記述するようにする。例えば、電子文書の印刷権が存在しないこと、紙文書のコピー権が存在しないこと、ポリシーの切替え権が存在しないこと、のようにである。このような条件を利用範囲(グループ、ユーザ)と共に記述してもよい。
【0143】
あるいは、切替え可能なポリシーを直接指定できるようにしてもよい。この変形例におけるセキュリティポリシーデータベース35のデータ構成例を図29に示す。この場合、ポリシーの切替え権がある場合、その切替え権を有するという指定と共に切替え可能なポリシーのIDを指定する。このようにすれば、ユーザは、ポリシーの切替えを要求する際に、切替え先とするポリシーのIDを入力指定しなくても、切替え指示さえすればポリシーの切替えが可能になる。図29には、“ソフトウェア開発部内資料”の“作成者”は、ポリシーID“0003”のポリシーに切り替えることができる例が示されている。また、ポリシーに対する制限により切替え不能と判定されることがない。なお、切替え可能なポリシーのIDを1つのみ指定することに限定せずに、複数指定できるようにしてもよい。この場合は、複数指定されたポリシーの中からユーザにより選択させるようにすれば、ユーザは、ポリシーの切替えを要求する際に、切替え先とするポリシーのIDを入力指定しなくてもよく、また、ポリシーに対する制限により切替え不能と判定されることがない。この実施の形態によれば、予め切替え先のポリシーの内容を決めておき、そのポリシーにのみ切替えを許可するようにするので、切替え元と切替え先のポリシーの内容で制限する必要はなく、まったく独立な内容のポリシーに切り替えることも可能とする。また、切替え可能なポリシーIDを複数列挙しておき、ユーザがポリシーを切り替える際に切替え先を選択可能にしても良い。
【図面の簡単な説明】
【0144】
【図1】本発明に係るセキュリティポリシー管理システムの一実施の形態を示した全体構成図である。
【図2】本実施の形態におけるセキュリティポリシーサーバを形成するサーバコンピュータのハードウェア構成図である。
【図3】本実施の形態における複合機のハードウェア構成図である。
【図4】本実施の形態におけるセキュリティポリシーサーバのブロック構成図である。
【図5】本実施の形態におけるセキュリティポリシーデータベースのデータ構成例を示した図である。
【図6】本実施の形態における文書情報データベースのデータ構成例を示した図である。
【図7】本実施の形態におけるクライアントPCのブロック構成図である。
【図8】本実施の形態における複合機のブロック構成図である。
【図9】本実施の形態において用いる保護電子文書のデータ構成例を示した図である。
【図10】本実施の形態において用いる保護紙文書を用紙に印刷したときの例を示した模式図である。
【図11】本実施の形態において用いる保護紙文書を用紙に印刷したときの他の例を示した模式図である。
【図12】本実施の形態において外部機器から送られてくるセキュリティポリシーの登録要求の例を示した図である。
【図13】本実施の形態におけるセキュリティポリシーサーバが生成するポリシー一覧リストの例を示した図である。
【図14】本実施の形態におけるセキュリティポリシー検索処理を示したフローチャートである。
【図15】本実施の形態におけるセキュリティポリシー検索処理により得られた検索結果の例を示した図である。
【図16】本実施の形態におけるセキュリティポリシー切替処理を示したフローチャートである。
【図17】本実施の形態において外部機器から送られてくるセキュリティポリシーの切替え要求の例を示した図である。
【図18】本実施の形態のクライアントPCにおける保護電子文書の生成処理を示したフローチャートである。
【図19】本実施の形態のクライアントPCにおける保護電子文書の閲覧処理を示したフローチャートである。
【図20】本実施の形態のクライアントPCにおける保護電子文書の編集処理を示したフローチャートである。
【図21】本実施の形態のクライアントPCにおける保護電子文書の印刷処理を示したフローチャートである。
【図22】本実施の形態のクライアントPCにおいて権利確認を行う場合の保護電子文書の印刷処理を示したフローチャートである。
【図23】本実施の形態のクライアントPCにおける保護電子文書の保存処理を示したフローチャートである。
【図24】本実施の形態のクライアントPCにおける保護電子文書の切替処理を示したフローチャートである。
【図25】本実施の形態の複合機における保護電子文書の印刷処理を示したフローチャートである。
【図26】本実施の形態の複合機における保護紙文書のコピー処理を示したフローチャートである。
【図27】本実施の形態の複合機における保護紙文書のスキャン処理を示したフローチャートである。
【図28】本実施の形態の複合機における保護紙文書のポリシー切替処理を示したフローチャートである。
【図29】本実施の形態におけるセキュリティポリシーデータベースの他のデータ構成例を示した図である。
【符号の説明】
【0145】
1,21 CPU、2,19 ROM、3,18 RAM、4,15 ハードディスクドライブ(HDD)、5 HDDコントローラ、6 マウス、7 キーボード、8 ディスプレイ、9 入出力コントローラ、10 ネットワークコントローラ、11 内部バス、12 アドレスデータバス、13 操作パネル、14 スキャナ、16 プリンタエンジン、17 ネットワークインタフェース(I/F)、20 外部メディアインタフェース(I/F)、22 LAN、23 ユーザ認証サーバ、30 セキュリティポリシーサーバ、31 セキュリティポリシー登録部、32 セキュリティポリシー一覧応答部、33 セキュリティポリシー検索部、34 セキュリティポリシー切替部、35 セキュリティポリシーデータベース、36 文書情報データベース、40 複合機、41,59 ユーザ認証部、42,54 保護電子文書生成部、43 画像保持部、44 保護紙文書生成部、45 文書IDエンコード部、46 印刷部、47 文書IDデコード部、48,61 制御部、50 クライアントPC、51 アプリケーション実行部、52 非保護電子文書記憶部、53 保護電子文書記憶部、55 文書ID生成部、56 文書編集部、57 文書保持部、58 文書表示部、60 保護文書印刷部。
【技術分野】
【0001】
本発明は、セキュリティポリシー切替装置、セキュリティポリシー切替プログラム及びセキュリティポリシー管理システムに関する。
【背景技術】
【0002】
現在、情報セキュリティに関する基本方針、すなわちセキュリティポリシー(以下、単に「ポリシー」とも言う)を策定し、そのセキュリティポリシーに従って電子文書等のデータを管理している企業が少なくない。このような企業では、例えばDRM(Document Rights Management)と呼ばれる技術を利用することによって、個々の電子文書に対して有効期間や印刷可/不可、あるいは編集可/不可などのアクセス制御を行うためのアクセス権をユーザ毎に付与することができる。また、DRMを利用することによって、サーバに共通ポリシーを予め作成しておき、複数の異なる電子文書を同一のポリシー(共通ポリシー)で保護するように設定することも可能である。このように、組織内で共通して用いるポリシーを定義しておくことで、その共通ポリシーを組織内の全ての文書に適用するという運用が可能となる。
【0003】
また、電子文書に限定せずに、紙文書と電子文書のポリシーを同一のポリシーで管理し、かつ、複数の文書に対して統一的なポリシールールを適用できるような技術が提案されている(例えば、特許文献1)。この従来技術では、一つのポリシー上で紙文書に関するものと電子文書に対するものを統合管理することが可能になる。
【0004】
【特許文献1】特開2005−38371号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら、従来においては、一つのポリシーで保護された複数の文書のうち特定の文書のみのポリシーを変更したいというような運用には対応できないという問題があった。
【0006】
本発明は、共通のポリシーで保護された複数の文書のうちの一部を異なるポリシーに切替可能にすることを目的とする。
【課題を解決するための手段】
【0007】
本発明に係るセキュリティポリシー切替装置は、ポリシーの設定内容と当該ポリシーを付与するユーザの識別情報とを含むポリシー設定情報に、当該ポリシーの識別情報を対応付けして記憶するポリシー情報記憶手段と、ポリシーの設定対象となるデータの識別情報に、当該データに付与するポリシーの識別情報を対応付けして記憶するデータ情報記憶手段と、ポリシーの切替え対象となるデータの識別情報及び切替えを指示するユーザの識別情報が指定された切替え要求に応じて、前記データ情報記憶手段に記憶されている当該データに付与されているポリシーの識別情報を、その他のポリシーの識別情報で更新することによって、当該データに付与するポリシーを切り替えるポリシー切替手段と、を有することを特徴とする。
【0008】
また、前記ポリシー切替手段は、当該データに付与されているポリシーに基づき許可された操作の一つにポリシーの切替えが含まれている場合のみ当該データに付与するポリシーの切替えを許可することを特徴とする。
【0009】
また、前記ポリシー切替手段は、更に切替えにより付与するポリシーの識別情報が切替え要求に指定されていた場合、その指定されたポリシーの識別情報によって、前記データ情報記憶手段に記憶されている当該データに付与するポリシーの識別情報を更新することを特徴とする。
【0010】
また、前記ポリシー切替手段は、切替え対象として指定されたポリシー識別情報に対応するポリシーに基づき許可される操作が、当該データに付与されているポリシーに基づき許可された操作より制限されている場合のみ当該データに付与するポリシーの切替えを許可することを特徴とする。
【0011】
また、前記ポリシー設定情報には、切替え要求に応じて切替え可能なポリシーの識別情報が含まれており、前記ポリシー切替手段は、更に切替えにより付与するポリシーの識別情報が切替え要求に指定されていなかった場合、前記ポリシー設定情報に含まれる前記切替え可能なポリシーの識別情報で前記データ情報記憶手段に記憶されている当該データに付与されているポリシーの識別情報を更新することを特徴とする。
【0012】
また、前記ポリシー設定情報には、切替え要求に応じて切替え可能なポリシーの識別情報が含まれており、前記ポリシー切替手段は、更に切替えにより付与するポリシーの識別情報が切替え要求に指定されており、かつ、当該指定されたポリシーの識別情報が、前記切替え可能なポリシー設定情報に含まれている場合、指定されたポリシーの識別情報で前記データ情報記憶手段に記憶されている当該データに付与されているポリシーの識別情報を更新することを特徴とする。
【0013】
本発明に係るセキュリティポリシー切替プログラムは、セキュリティポリシーサーバコンピュータを、ポリシーの設定内容と当該ポリシーを付与するユーザの識別情報とを含むポリシー設定情報に、当該ポリシーの識別情報を対応付けして記憶するポリシー情報記憶手段、ポリシーの設定対象となるデータの識別情報に、当該データに付与するポリシーの識別情報を対応付けして記憶するデータ情報記憶手段、ポリシーの切替え対象となるデータの識別情報及び切替えを指示するユーザの識別情報が指定された切替え要求に応じて、前記データ情報記憶手段に記憶されている当該データに付与されているポリシーの識別情報を、その他のポリシーの識別情報で更新することによって、当該データに付与するポリシーを切り替えるポリシー切替手段、として機能させる。
【0014】
本発明に係るセキュリティポリシー管理システムは、セキュリティポリシーサーバコンピュータと、セキュリティポリシーの設定に用いるクライアントコンピュータと、を有し、前記セキュリティポリシーサーバコンピュータは、ポリシーの設定内容と当該ポリシーを付与するユーザの識別情報とを含むポリシー設定情報に、当該ポリシーの識別情報を対応付けして記憶するポリシー情報記憶手段と、ポリシーの設定対象となるデータの識別情報に、当該データに付与するポリシーの識別情報を対応付けして記憶するデータ情報記憶手段と、ポリシーの切替え対象となるデータの識別情報及び切替えを指示するユーザの識別情報が指定された切替え要求に応じて、前記データ情報記憶手段に記憶されている当該データに付与されているポリシーの識別情報を、その他のポリシーの識別情報で更新することによって、当該データに付与するポリシーを切り替えるポリシー切替手段と、を有し、前記クライアントコンピュータは、ポリシーの切替え対象となるデータの識別情報及び切替えを指示するユーザの識別情報が指定された切替え要求を前記セキュリティポリシーサーバコンピュータに送信する手段を有することを特徴とする。
【発明の効果】
【0015】
請求項1記載の発明によれば、複数のデータに対して同一のポリシーが設定されている場合でも、その複数のデータの中からポリシーの切替え対象として指定されたデータのみのポリシーを、その他のポリシーに切り替えることができる。
【0016】
請求項2記載の発明によれば、切替えを指示したユーザがポリシーの切替え対象として指定したデータに対してポリシーの切替えの権限を有する場合にのみ、当該データに付与するポリシーの切替えを許可することができる。
【0017】
請求項3記載の発明によれば、ポリシーの切替え対象として指定されたデータに付与するポリシーを、ユーザにより指示されたポリシーに切り替えることができる。
【0018】
請求項4記載の発明によれば、ポリシーを切り替える際、設定ミスなどによって不要なアクセス権を付与したり、今まで付与していたアクセス権より広い範囲のアクセス権を付与するということを未然に防止することができる。
【0019】
請求項5記載の発明によれば、切替えにより付与するポリシーの識別情報が切替え要求に指定されていなくても、ポリシーの切替え対象として指定されたデータに付与するポリシーを、予め設定されているポリシーに切り替えることができる。
【0020】
請求項6記載の発明によれば、切替えにより付与するポリシーの識別情報が切替え要求に指定されていた場合に、予め設定されている切り替え対象のポリシーの識別情報と突合することにより、ポリシーの切替え対象として指定されたデータのポリシーを、ユーザにより指示されたポリシーに切り替えることができる。
【0021】
請求項7記載の発明によれば、セキュリティポリシーサーバコンピュータに、複数のデータに対して同一のポリシーが設定されている場合でも、その複数のデータの中からポリシーの切替え対象として指定されたデータのみのポリシーを、その他のポリシーに切り替えさせることができる。
【0022】
請求項8記載の発明によれば、複数のデータに対して同一のポリシーが設定されている場合でも、その複数のデータの中からポリシーの切替え対象として指定されたデータのみのポリシーを、その他のポリシーに切り替えることができる。
【発明を実施するための最良の形態】
【0023】
以下、図面に基づいて、本発明の好適な実施の形態について説明する。
【0024】
図1は、本発明に係るセキュリティポリシー管理システムの一実施の形態を示した全体構成図である。図1には、ユーザ認証サーバ23、セキュリティポリシーサーバ30、クライアントとなるパーソナルコンピュータ(PC)(以下、「クライアントPC」)50及び複合機40がネットワークの一形態であるLAN(Local Area Network)22に接続された構成が示されている。なお、図1には、クライアントPC50と複合機40をそれぞれ1台ずつ示したが、それぞれ複数台をLAN22に接続するよう構成してもよい。
【0025】
図1において、ユーザ認証サーバ23は、ユーザ認証を一元的に管理するサーバコンピュータである。クライアントPC50などの他の機器上では、ユーザを認証して、機器の利用ができるように制御されるが、その際、このユーザ認証サーバ23に問い合わせる。ユーザ認証サーバ23は、LDAP(Lightweight Directory Access Protocol)サーバ、あるいは、Windows(登録商標) Active Directoryなどのサーバでよい。
【0026】
セキュリティポリシーサーバ30は、ポリシー切替装置として動作しつつ、本システム上で扱われるセキュリティで保護された電子文書及び紙文書(以下、「保護文書」と総称)に対するアクセス権を管理する役割を持つ。
【0027】
クライアントPC50は、セキュリティポリシーサーバ30と通信して、保護されていない文書にセキュリティポリシーを付与することによって保護された電子文書(以下、「保護電子文書」ともいう)を作成する。また、クライアントPC50上では、保護電子文書をセキュリティポリシー上で許可された範囲で、閲覧、印刷、編集などの処理を行う文書アプリケーションが動作する。更に、既存の保護電子文書のポリシーの切替え機能を有している。
【0028】
複合機40は、複数の機能が搭載された画像処理装置の一形態である。本実施の形態における複合機40は、基本機能として、プリンタとコピーの機能を有している。本システムでは、これらの基本機能に加え、コンピュータを内蔵していることからクライアントPC50と同様にクライアントコンピュータとしても動作可能であり、セキュリティポリシーサーバ30と通信することで、ポリシー上許可された範囲で、保護電子文書の印刷、保護された紙文書(以下、「保護紙文書」ともいう)のコピー、スキャン等の機能を提供する。また、既存の保護紙文書のポリシーの切替え機能を有している。
【0029】
ここで、本実施の形態において取り扱う保護文書について説明する。本実施の形態では、前述したように、セキュリティポリシーが付与され、操作が制限される文書を保護文書と呼ぶことにしている。保護文書は、電子文書、紙文書の2種類ある。いずれの場合も、セキュリティポリシーサーバ30上では、特定のポリシーと対応付けられ、文書の識別情報(文書ID)が付与され管理される。
【0030】
図2は、本実施の形態におけるセキュリティポリシーサーバ30を形成するサーバコンピュータのハードウェア構成図である。本実施の形態におけるセキュリティポリシーサーバ30は、従前から存在する汎用的なハードウェア構成で実現できる。すなわち、コンピュータは、図2に示したようにCPU1、ROM2、RAM3、ハードディスクドライブ(HDD)4を接続したHDDコントローラ5、入力手段として設けられたマウス6とキーボード7、及び表示装置として設けられたディスプレイ8をそれぞれ接続する入出力コントローラ9、通信手段として設けられたネットワークコントローラ10を内部バス11に接続して構成される。
【0031】
なお、性能的に差異はあるかもしれないが、ユーザ認証サーバ23及びクライアントPC50もコンピュータで形成されることから、それぞれのハードウェア構成は、図2と同じように図示することができる。
【0032】
図3は、本実施の形態における複合機40のハードウェア構成図である。複合機40は、上記の通りコピー機能、スキャナ機能等各種機能を搭載した複合機であり、コンピュータを内蔵した装置である。図3において、CPU21は、ROM19に格納されたプログラムにしたがってスキャナ14やプリンタエンジン16等複合機40に搭載された各種機構の動作制御を行う。アドレスデータバス12は、CPU21の制御対象となる各種機構と接続してデータの通信を行う。操作パネル13は、ユーザからの指示の受け付け、情報の表示を行う。スキャナ14は、ユーザがセットした原稿を読み取り、電子データとしてHDD15等に蓄積する。HDD15は、スキャナ14を使用して読み取った電子文書などを格納する。親展ボックスもHDD15に設けられる。プリンタエンジン16は、CPU21で実行される制御プログラムからの指示に従い出力用紙上に画像を印字する。ネットワークインタフェース(I/F)17は、LAN22を接続し、複合機40が生成した電子データの送信、複合機40宛に送信されてきた電子メールの受信、またブラウザ経由による複合機40へのアクセスなどに利用される。RAM18は、プログラム実行時のワークメモリや電子データ送受信時の通信バッファとして利用される。ROM19は、複合機40の制御や電子データの暗号、電子データの送受信に関する各種プログラムが格納されている。各種プログラムが実行されることで後述する各構成要素が所定の処理機能を発揮する。外部メディアインタフェース(I/F)20は、USBメモリ、フラッシュメモリ等の外部メモリ機器とのインタフェースである。
【0033】
図4は、本実施の形態におけるセキュリティポリシーサーバ30のブロック構成図である。図4には、セキュリティポリシー登録部31、セキュリティポリシー一覧応答部32、セキュリティポリシー検索部33、セキュリティポリシー切替部34、セキュリティポリシーデータベース(DB)35及び文書情報データベース(DB)が示されている。セキュリティポリシー登録部31は、複合機40及びクライアントPC50(以下、「外部機器」と総称)から送られてくる登録要求に応じて、その登録要求に指定されている文書ID、ポリシーID、作成者ID及び作成日時の各項目データを文書情報データベース36に新規レコードとして追加する。なお、本実施の形態において、文書IDは、外部においても衝突しないように生成される。つまり、UUID(Universally Unique IDentifier)を使用しているので、データベース上に指定された文書IDのデータが存在するかどうかをチェックしなくてもよい。もちろん、チェックするようにしてもよい。
【0034】
本実施の形態において、セキュリティポリシー一覧応答というのは、外部機器が、文書にポリシーを付与する際、どのようなポリシーが付与可能なのかの一覧リストを問い合わせる機能である。セキュリティポリシー一覧応答部32は、この問合せに対してセキュリティポリシーデータベース35に登録されているポリシーデータを検索して、検索条件に合致するポリシーの一覧リストを作成して問合せ元に返す。なお、外部機器がセキュリティポリシーサーバ30にポリシーを問い合わせる際、ポリシーを付与しようとしているユーザIDを指定するようにしてもよい。この場合は、予め決められた登録可能ユーザリストに、そのユーザが含まれているかどうかをチェックしたり、あるいは、ポリシー毎にそのポリシーの登録を許されているユーザリストを設けて、それをチェックしたりするようにしてもよい。
【0035】
本実施の形態において、セキュリティポリシー検索というのは、外部機器が、ポリシーがすでに設定されている文書に関するセキュリティポリシーの情報を問い合わせる機能である。この際、外部機器は、問い合わせたい文書の文書ID及び問い合わせているユーザのユーザIDを指定して問い合わせることになるが、セキュリティポリシー検索部33は、この問合せに応じて該当するポリシーを問合せ元に返す。
【0036】
セキュリティポリシー切替部34は、外部機器からの切替え要求に応じて、当該文書に付与するポリシーを切り替える。切替要求には、ポリシーの切替え対象となる文書の文書ID、切替え対象となるポリシーのポリシーID及び切替えを指示するユーザのユーザIDが指定されている。
【0037】
セキュリティポリシーサーバ30は、セキュリティポリシー(誰にどういう権利を許可するのか)を管理するデータベースとしてセキュリティポリシーデータベース35を、文書情報(どの文書がどのセキュリティポリシーに割り当てられているのか、いつ誰が作成したのか、など)を管理するデータベースとして文書情報データベースを、それぞれ保持する。以下、図5,6を用いて各データベース35,36の詳細について説明する。
【0038】
図5は、本実施の形態におけるセキュリティポリシーデータベース35のデータ構成例を示した図である。セキュリティポリシーデータベース35には、ポリシーを識別するためのポリシーID及び当該ポリシーの名称に、利用範囲、利用範囲毎に設定される有効期間及び許諾機能リストを含むポリシー設定情報が対応付けして構成されたポリシー情報が登録される。利用範囲は、ユーザ認証サーバ23で管理されているユーザグループである。各ユーザグループは少なくとも1人のユーザから構成される。有効期間は、当該ポリシーが付与された文書の有効期間である。有効期間の記述形式は、図5に例示した生成からの経過日数に限らず、有効期間の終期(日時)等種々の方法で設定可能である。許諾機能リストとは、利用範囲に含まれる各ユーザに対して許可されている操作である。図5によると、例えばポリシーID“0001”の場合、ソフトウェア開発部に属していて、文書の作成者ではない人がこのポリシーが付与された保護文書にアクセスすると、その文書が作成されてから180日以内であれば、電子文書の閲覧・印刷、紙文書のコピー、及びポリシーの切替えが許可される、ということになる。なお、文書の作成日時は、文書情報データベース36の登録内容から特定できる。いったん文書が保護されると、電子文書、紙文書に関わらず、その形態が変化しても文書IDは引き継がれる。つまり、電子文書が編集・印刷されて保護紙文書が作成された場合、紙文書がコピー・スキャンされて保護電子文書が作成された場合でも、新たに作成された保護紙文書、保護電子文書には同じ文書IDが割り当てられる。これによって、操作によって生成された文書に対しても同じポリシーが適用される。
【0039】
図6は、本実施の形態における文書情報データベース36のデータ構成例を示した図である。本実施の形態では、ポリシーの設定対象となるデータとして文書を取り扱うことにしているので、データ情報記憶手段として文書情報データベース36を設けている。この文書情報データベース36には、文書の識別子である文書ID(この例の場合は、UUIDで表される)、当該文書が従っているセキュリティポリシーのポリシーID、作成したユーザのユーザID(作成者ID)、文書の操作日時、より正確には作成した文書にポリシーが付与された日時が対応付けして登録される。例えば、図6において3行目の文書(文書IDが“AED6”で始まるレコード)の場合、この文書は、ユーザID“fx25615”が割り当てられたユーザが2006年10月3日14時23分にポリシーID“0002”のポリシーを付与することによって作成されたものである。なお、このようなポリシー、文書情報のデータベースは既存技術で実現可能であり、文書毎にセキュリティポリシーが付与できるようなものであれば、図6に例示したデータ構成に限定されるものではない。
【0040】
セキュリティポリシーサーバ30における各構成要素31〜34は、セキュリティポリシーサーバ30に搭載されたコンピュータと、コンピュータに搭載されたCPU1で動作するプログラムとの協調動作により実現される。また、各データベース35,36は、コンピュータに搭載されたHDD4にて実現される。
【0041】
図7は、本実施の形態におけるクライアントPC50のブロック構成図である。一般のユーザが使用するクライアントPC50は、所定の文書処理アプリケーションが実行されることによって、電子文書の保護や、保護された電子文書に対してポリシー上で許可された権利の範囲内で編集や印刷等の動作を行う。クライアントPC50は、アプリケーションを実行するアプリケーション実行部51、保護されていない電子文書を記憶する非保護電子文書記憶部52及び保護されている電子文書を記憶する保護電子文書記憶部53を有している。アプリケーション実行部51は、セキュリティポリシーサーバ30と通信して、後述する構成要素を含む文書処理アプリケーションを実行することによって、保護されていない電子文書の保護、保護された電子文書の閲覧、編集、印刷等の機能を提供する。
【0042】
すなわち、保護電子文書生成部54は、保護されていない電子文書にポリシーを設定して保護電子文書を生成する。文書ID生成部55は、新たに生成される保護文書に対して割り当てる文書IDを生成する。文書編集部56は、ユーザ操作指示に従い各記憶部52,53から読み出された電子文書、あるいは外部から送られてきた電子文書に編集を施す。文書保持部57は、編集された電子文書を一時保持する。他の構成要素がRAM3にロードされたソフトウェアにより実現されるのに対し、文書保持部57は、RAM3にて実現される。文書表示部58は、閲覧、編集対象の電子文書をディスプレイ8に表示する。ユーザ認証部59は、クライアントPC50の利用開始時にユーザ認証処理を実施する。保護文書印刷部60は、保護文書の印刷を実行する。制御部61は、各構成要素全体の動作制御を行いながら文書処理アプリケーションが持つ機能を提供する。制御部61は、また各記憶部52,53に記憶された電子文書を読み込む文書読込部としても機能する。
【0043】
クライアントPC50における各構成要素54〜56,58〜61は、クライアントPC50を構成するPCと、PCに搭載されたCPU1で動作するプログラムとの協調動作により実現される。また、各記憶部52,53は、クライアントPC50に搭載されたHDD4にて実現される。
【0044】
図8は、本実施の形態における複合機40のブロック構成図である。複合機40は、保護された電子文書の印刷、保護された紙文書のコピー・スキャンを提供する。複合機40は、ユーザ認証部41、保護電子文書生成部42、画像保持部43、保護紙文書生成部44、文書IDエンコード部45、印刷部46、文書IDデコード部47及び制御部48を有している。ユーザ認証部41は、複合機40の利用開始時にユーザ認証処理を実施する。保護電子文書生成部42は、スキャンにより読み取られた保護紙文書にポリシーを設定して保護電子文書を生成する。画像保持部43は、生成された保護電子文書を一時保持する。他の構成要素がRAM3にロードされたソフトウェアにより実現されるのに対し、画像保持部43は、RAM3にて実現される。保護紙文書生成部44は、文書IDエンコード部45及び印刷部46と連携動作し、印刷部46により印刷される保護電子文書を保護電子文書から生成する。文書IDエンコード部45は、保護電子文書に含まれている文書IDデータを用紙上に印刷可能な画像データにエンコードする。印刷部46は、生成された保護紙文書を印刷する。文書IDデコード部47は、スキャナ14により読み取られた保護紙文書の読取画像データをデコードして文書IDを抽出する。制御部48は、各構成要素の動作制御を行いながらスキャナ14をはじめとするハードウェアと連携動作させ、複合機40が持つ文書ポリシーの切替えに関連する諸機能を提供する。
【0045】
複合機40における各構成要素41〜42,44〜48は、複合機40に搭載されたコンピュータと、コンピュータに搭載されたCPU21で動作するプログラムとの協調動作により実現される。また、画像保持部43は、RAM18にて実現される。
【0046】
また、本実施の形態で用いるプログラムは、通信手段により提供することはもちろん、CD−ROMやDVD−ROM等のコンピュータ読み取り可能な記録媒体に格納して提供することも可能である。通信手段や記録媒体から提供されたプログラムはコンピュータにインストールされ、コンピュータのCPUがインストールプログラムを順次実行することで各種処理が実現される。
【0047】
図9は、本実施の形態において用いる保護電子文書のデータ構成例を示した図である。保護電子文書は、保護電子文書であることを示すヘッダ(予め決められた長さのバイト列)と、文書ID、暗号化された電子文書本体からなる。本実施の形態では、保護電子文書は、全ての電子文書に共通な暗号鍵によって暗号化されることを前提としているが、これは一例でありDRM技術のように文書毎に鍵を変えるようにしてもよい。また、文書IDが他の文書の文書IDと入れ替えられたりすることを防ぐため、電子文書全体に電子署名を付与したり、あるいは、HMAC(Keyed−Hashing for Message Authentication Code)などの値を付与したりしてもよい。いずれにしても本システムにおいては、全ての保護文書が識別子で識別され、それがポリシーで管理されているという以上の制約はない。
【0048】
図10,11は、本実施の形態において用いる保護紙文書を用紙に印刷したときの例を示した模式図である。図10は、文書が印刷された用紙の上下(ヘッダとフッタ)部分に、文書IDをバーコードやQRコードなどで代表される特定のコードパターンで印刷する場合の例である。図11は、文書IDを、用紙などの印刷媒体24に文書全体の背景として透かし25により埋め込んだものである。いずれにしろ文書IDを後から読み取れるように何らかの方法で紙自体に印字したものであればよい。
【0049】
次に、本実施の形態における動作について、セキュリティポリシーサーバ30、クライアントPC50、そして複合機40の順に装置単位に説明する。
【0050】
1.セキュリティポリシーサーバ30の動作
【0051】
セキュリティポリシーサーバ30は、外部機器40,50に対して、セキュリティポリシーの登録、一覧、検索、切替えの4つの機能を提供する。以下それらの処理手順について説明する。
【0052】
1.1 セキュリティポリシー登録
【0053】
外部機器から文書ID、ポリシーID、作成者ID、作成日時のデータが指定された登録要求が送られてくることによってセキュリティポリシー登録部31が呼び出されると、セキュリティポリシー登録部31は、そのデータを文書情報データベース36に新規のレコードとして追加する。そして、登録処理の結果(TRUEまたはFALSE)を登録要求送信元へ返す。なお、作成日時は、登録要求を受け付けた日時、あるいはデータベース登録が完了した日時としてもよい。外部機器から送られてくるセキュリティポリシーの登録要求の例を図12に示す。
【0054】
1.2 セキュリティポリシー一覧応答
【0055】
セキュリティポリシー一覧応答というのは、前述したように、外部機器が文書にポリシーを付与する際、どのようなポリシーが付与可能なのかの一覧リストを問い合わせる機能である。
【0056】
外部機器からポリシー一覧取得要求が送られてくることによってセキュリティポリシー一覧応答部32が呼び出されると、セキュリティポリシー一覧応答部32は、セキュリティポリシーデータベース35に登録されているポリシーデータを検索し、ポリシーの一覧リストを生成して要求送信元へ返す。仮に一覧リストが生成できなかった場合は、その旨(FALSE)を返すようにしてもよい。
【0057】
なお、外部機器からセキュリティポリシーサーバ30へ問い合わせる際、ユーザは、問合せ条件としてポリシーを付与しようとしているユーザID等を指定して問い合わせることで、その問合せ条件に合致したレコードのみが一覧リストに含まれるように指示することができる。セキュリティポリシー一覧応答部32がポリシー一覧取得要求の送信元へ返す一覧リストの例を図13に示す。
【0058】
1.3 セキュリティポリシー検索
【0059】
セキュリティポリシー検索というのは、前述したように、外部機器が、ポリシーがすでに設定されている文書に関するセキュリティポリシーの情報を問い合わせる機能である。このセキュリティポリシー検索処理については、図14に示したフローチャートを用いて説明する。
【0060】
外部機器からの検索要求によりセキュリティポリシー検索部33が呼び出されると、セキュリティポリシー検索部33は、まず、検索要求に指定されている文書IDに基づき文書情報データベース36を検索する(ステップ101)。該当するレコードが取得できた場合(ステップ102でY)、そのレコードに含まれているポリシーIDのエントリーをセキュリティポリシーデータベース35から検索する(ステップ103)。該当するエントリーが取得できた場合(ステップ104でY)、そのエントリーの利用範囲を参照して検索要求に指定されているユーザIDのユーザが所属するユーザグループのみをフィルタリングして抽出する(ステップ105)。例えば、図5のポリシーID“0001”において、問い合わせたユーザが作成者でなく、ソフトウェア開発部に属している場合は、ソフトウェア開発部のみを抽出することになる。作成者かどうかは、指定された文書の作成者IDが、問い合わせたユーザIDと一致するかで判断する。もし、何も検索されなかった場合は、空(NULL)を返すことになる。
【0061】
ユーザが所属するユーザグループが抽出できた場合(ステップ106でY)、抽出できた各エントリーにつき有効期限のチェックを行う(ステップ107)。すなわち、抽出した各エントリーの利用範囲の項目に関して、文書IDのエントリーの作成日時から、それぞれ有効期間満了日を生成する。もし、有効期間満了日が現在時刻より前だったら、抽出したエントリーの中から当該エントリーを削除する。エントリーが残った場合において(ステップ108でY)、許可リストを作成する(ステップ109)。1つのエントリーのみが残ればそのエントリーをそのまま許可リストとする。複数のエントリーが残った場合、その残った利用範囲の項目の許諾リストをマージして許可リストを作成する。また、有効期間満了日時は最も長いものを選択する。
【0062】
以上のようにして作成した許可リストを検索結果として、検索要求送信元の外部機器に返す(ステップ110)。以上の処理の結果、検索要求送信元へ返すポリシー検索結果の例を図15に示す。なお、以上の処理において該当するレコード、エントリーが存在しなかった場合(ステップ102でN,ステップ104でN,ステップ106でN,ステップ108でN)、その旨を示すエラー情報を作成して(ステップ111)、検索要求送信元の外部機器に返す(ステップ112)。
【0063】
1.4 セキュリティポリシー切替え
【0064】
外部機器から文書ID、切替え対象のポリシーのID、切替え指示をするユーザのIDのデータが指定された切替え要求が送られてくると、セキュリティポリシー切替部34は、以下の切替処理を行う。このセキュリティポリシー切替処理については、図16に示したフローチャートを用いて説明する。なお、外部機器から送られてくるセキュリティポリシーの切替え要求の例を図17に示す。
【0065】
外部機器からの切替え要求によりセキュリティポリシー切替部34が呼び出されると、セキュリティポリシー切替部34は、まず、検索要求に指定されている文書IDに基づき文書情報データベース36を検索する(ステップ121)。該当するレコードが取得できた場合(ステップ122でY)、そのレコードに含まれているポリシーIDのエントリーをセキュリティポリシーデータベース35から検索する(ステップ123)。該当するエントリーが取得できた場合(ステップ124でY)、そのエントリーの利用範囲を参照して切替え要求に指定されているユーザIDのユーザが所属するユーザグループのみをフィルタリングして抽出する(ステップ125)。例えば、図5のポリシーID“0001”において、問い合わせたユーザが作成者でなく、ソフトウェア開発部に属している場合は、ソフトウェア開発部のみを抽出することになる。作成者かどうかは、指定された文書の作成者IDが、問い合わせたユーザIDと一致するかで判断する。もし、何も抽出できなかった場合は、失敗(FALSE)を返すことになる。
【0066】
ユーザが所属するユーザグループが抽出できた場合(ステップ126でY)、抽出できたエントリーにつきポリシー切替えの権限の有無のチェックを行う(ステップ127)。すなわち、抽出したエントリーの許諾機能リストの中にポリシー切替え権に相当する“ポリシーの切替え”が含まれているか否かをチェックする。もし、含まれない場合は、失敗(FALSE)を返すことになる。
【0067】
ポリシー切替え権を有していた場合(ステップ128でY)、セキュリティポリシー切替部34は、切替対象の文書に対して現在設定されているポリシー(以下、「切替え元ポリシー」ともいう)の権利範囲と、切替え対象のポリシーIDにより特定されるポリシー(以下、「切替え先ポリシー」ともいう)の権利範囲とを比較する(ステップ129)。この比較の結果、切替え元ポリシーの権利範囲が切替え先ポリシーの権利範囲より広ければ(ステップ130でY)、セキュリティポリシー切替部34は、文書情報データベース36に記憶されている当該文書のエントリーのポリシーIDを、切替え先ポリシーのポリシーIDで更新することによって、当該文書に付与するポリシーを切り替える(ステップ131)。もし、広がる場合は、失敗(FALSE)を返すことになる。
【0068】
ここで、権利範囲が広いというのは、次のことを意味する。すなわち、セキュリティポリシーデータベース35に登録される許諾機能リストには、利用範囲に設定されたユーザグループに属するユーザに対して許可した操作、具体的には電子文書の閲覧、印刷等が設定される。ここで、例えば、切替え元ポリシーには、「電子文書の印刷」権が設定されておらず、一方、切替え先ポリシーには、「電子文書の印刷」権が設定されている場合が「権利範囲が広い」に該当する。このような場合において、文書に付与するポリシーを切替え先ポリシーに切り替えてしまえば、今まで付与されていない権限(「電子文書の印刷」権)をユーザに新たに付与してしまうことになる。このように、今まで付与されていない権限を、ポリシーを切り替えることによってユーザに新たに付与してしまうことは、不当な権限を付与することになる可能性があるので、このようなケースを回避する必要がある。換言すると、切替え先ポリシーに基づき許可される操作が、切替え元ポリシーに基づき許可された操作より制限されている場合のみ当該保護文書に付与するポリシーを、切替え元ポリシーから切替え先ポリシーへ切り替えることを許可するようにする。従って、セキュリティポリシー切替部34は、切替え元ポリシーの権利範囲と、切替え先ポリシーの権利範囲とを比較して、アクセス権を必要以上にユーザに付与することを回避できるようにした。つまり、ポリシーの切替えにより文書を操作するユーザに付与するポリシーが現況と同じまたは制限される場合のみポリシーの切替えを許可するようにした。ここで、権利範囲の比較・判定は、以下のデータを対象とする。なお、本実施の形態においてアクセス権というのは、保護文書に対する操作の権限と同義である。
【0069】
まず、上記において例示したように、同じ利用範囲(ユーザグループ)に指定されている許諾機能リストに新規の権利が追加されることになるか否か、である。ポリシーの切替えにより付与する権限の数が減ったとしても、新たな権限が付与されることになる場合には、権利範囲が広くなる、ことに該当する。ただ、電子文書を編集する場合は、必ず「電子文書の閲覧」権が必要になる。このように、権限の中にも優先順位や上下関係、包含関係が成り立つ場合がある。このような場合は、各アクセス権の関係を予め定義しておき、切替え元ポリシーの権利範囲と切替え先ポリシーの権利範囲の広狭を判断する際には、その定義情報を参照すればよい。
【0070】
また、利用範囲として定義されているユーザグループに新規のユーザあるいはユーザグループが追加されているか否かである。今まで、権限付与されていないユーザに対してポリシーの切替えによって権限が新たに付与されることは不当だからである。このユーザグループに関しても許諾機能リストと同様に上下関係、包含関係が成り立つ場合があるので、前述した許諾機能リストの場合と同様に、ユーザ及びユーザが所属するグループの関係を予め定義しておき、権利範囲の広狭を判断する際に参照すればよい。
【0071】
更に、同じ利用範囲に指定されている有効期間が長いか否かである。有効期限が無条件に延長されるのは不当だからである。
【0072】
以上の処理の結果、ポリシーの切替えが正常に終了すると、その旨(TRUE)を処理結果として切替え要求送信元へ返す(ステップ132)。
【0073】
一方、以上の切替処理において切替ができない場合(ステップ122でN,ステップ124でN,ステップ126でN,ステップ128でN,ステップ130でN)、その旨(FALSE)を示すエラー情報を作成して(ステップ133)、検索要求送信元の外部機器に返す(ステップ134)。
【0074】
2.クライアントPC50の動作
【0075】
クライアントPC50は、所定の文書処理アプリケーションが実行されることによって、電子文書の保護や、保護された電子文書をポリシー上で許可された権利の範囲内での編集や印刷等の動作を行う。なお、保護されていない文書の印刷・編集などの処理に関しては従来の技術と同様であるので、説明を省略する。
【0076】
2.1 保護電子文書の生成
【0077】
この保護電子文書の生成処理については、図18に示したフローチャートを用いて説明する。
【0078】
クライアントPC50を使用しているユーザが、キーボード7等の入力手段を用いて保護されていない電子文書を指定した保護指示要求を入力すると、制御部61は、それを受け付ける(ステップ201)。そして、クライアントPC50にログインしたときに入力したユーザID及びパスワード、あるいは入力要求を別途したことに応じてユーザが入力したユーザID及びパスワードをユーザ認証部59に渡すと、ユーザ認証部59は、その入力された情報が正しいかどうかを外部のユーザ認証サーバ23に問い合わせて確認する(ステップ202)。ユーザ認証に成功すれば(ステップ203でY)、ユーザIDを保持する。失敗した場合は(ステップ203でN)、その旨をディスプレイ8に表示し(ステップ210)、処理を中断する。
【0079】
ユーザ認証成功後、制御部61は、保護されていない電子文書を文書保持部57に登録することで保持させた後、保護電子文書生成部54を呼び出す。保護電子文書生成部54は、ポリシー一覧取得要求をセキュリティポリシーサーバ30へ送信することによりセキュリティポリシーの一覧を取得する(ステップ204)。なお、送信したポリシー一覧取得要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.2 セキュリティポリシー一覧応答」において前述したとおりである。ポリシーの一覧リストが取得できると、制御部61は、取得したポリシーの一覧リストをユーザに理解可能な形式で表示させ(例えば、ポリシー名のドロップダウンによるリスト表示等)、ユーザに適用したいポリシーを選択させる。ポリシーが選択されると、制御部61は、それを受け付け(ステップ205)、続いて、保護電子文書生成部54は、文書ID生成部55に文書IDを生成させ(ステップ206)、その文書ID、ポリシーID、ユーザID(作成者ID)及び作成日時(現在時刻)の各パラメータを含む登録要求を生成し、セキュリティポリシーサーバ30へ送信することによって保護電子文書の登録指示を出す(ステップ207)。なお、送信した登録要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.1 セキュリティポリシー登録」において前述したとおりである。
【0080】
ここで、登録指示に応じてセキュリティポリシーサーバ30から返信されてきた処理結果により登録処理が成功した旨を認識すると(ステップ208でY)、制御部61は、保護されていない文書を予め決められた暗号鍵で暗号化し、付与された文書IDを関連付けして、保護電子文書として保護電子文書記憶部53に書込保存する(ステップ209)。
【0081】
なお、認証に失敗した場合(ステップ203でN)、登録処理に失敗した旨がセキュリティポリシーサーバ30から返信されてきた場合(ステップ208でN)、制御部61は、エラー情報をディスプレイ8に表示するなどしてユーザにその旨を知らせる(ステップ210)。
【0082】
2.2 保護電子文書の閲覧
【0083】
次に、保護電子文書の閲覧処理については、図19に示したフローチャートを用いて説明する。
【0084】
クライアントPC50を使用しているユーザにより、保護電子文書の閲覧のためにキーボード7等の入力手段を用いて保護電子文書を指定して文書処理アプリケーションが起動されることによって保護電子文書の閲覧が要求されると、制御部61は、その要求を受け付け(ステップ211)、保護電子文書生成処理と同様にユーザ認証部59にユーザ認証を実行させる(ステップ212)。ユーザ認証成功後(ステップ213でY)、制御部61は、指定された保護電子文書の文書IDを保護電子文書記憶部53から読み取り(ステップ214)、その文書ID及びユーザ認証に用いたユーザIDの各パラメータを含む検索要求を生成し、セキュリティポリシーサーバ30へ送信する(ステップ215)。なお、送信した検索要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.3 セキュリティポリシー検索」において前述したとおりである。
【0085】
ここで、検索要求に応じてセキュリティポリシーサーバ30から検索結果がない旨などのエラー情報が送られてくると(ステップ216でN)、制御部61は、「指定した文書に対するアクセス権がありません」などのエラーメッセージをディスプレイ8に表示して終了する(ステップ221)。一方、セキュリティポリシーサーバ30から検索結果として許可リストが送られてくると(ステップ216でY)、その許可リストを参照し、「電子文書の閲覧」が含まれているもののみにフィルタリングする(ステップ217)。図15の例の場合は、Operationタグ内に“View”が含まれているもののみを抽出する。また、許可リストが許諾機能リストをマージして作成されている場合には、“View”の有無を確認することになる。ここで、“View”が含まれていなければ(ステップ218でN)、当該ユーザには、指定された保護電子文書に対する閲覧権が付与されていないと判断して、「指定した文書の閲覧権はありません」というエラーをディスプレイ8に表示する(ステップ221)。
【0086】
“View”が含まれている場合(ステップ218でY)、制御部61は、続いてフィルタリングにより残った検索結果を参照して、有効期間が満了していないものがあるかどうかをチェックする。なお、セキュリティポリシーサーバ30側で有効期間の満了しているものは返さないようにしているので、この処理は、念のための処理である。有効期間満了前のものが無ければ(ステップ219でN)、「指定した文書の権利は有効期間を過ぎています」というエラーメッセージを表示して終了する(ステップ221)。
【0087】
有効期間満了前のものが存在すれば(ステップ219でY)、閲覧権があるものと判断されるので、制御部61は、予め決められた復号鍵で文書本体を復号し、その結果を文書IDと共に文書保持部57に一時格納し、文書表示部58を呼びだして、文書をディスプレイ8に表示させる(ステップ220)。
【0088】
2.3 保護電子文書の編集
【0089】
次に、保護電子文書の編集処理については、図20に示したフローチャートを用いて説明する。なお、編集の際には、既に文書が文書処理アプリケーションで開かれていることを仮定している。すなわち、閲覧の処理が行われて文書保持部57に文書がすでに読み込まれている状態から、以下に説明する編集処理が始まるものとする。
【0090】
クライアントPC50で保護電子文書を開いているユーザにより、保護電子文書の編集が要求されると、制御部61は、その要求を受け付ける(ステップ231)。そして、制御部61は、保護電子文書から文書IDを読み取り(ステップ232)、その文書ID及びユーザ認証に用いたユーザIDの各パラメータを含む検索要求を生成し、セキュリティポリシーサーバ30へ送信する(ステップ233)。なお、送信した検索要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.3 セキュリティポリシー検索」において前述したとおりである。
【0091】
ここで、検索要求に応じてセキュリティポリシーサーバ30から検索結果がない旨などのエラー情報が送られてくると(ステップ234でN)、制御部61は、「指定した文書に対するアクセス権がありません」などのエラーメッセージをディスプレイ8に表示して終了する(ステップ239)。一方、セキュリティポリシーサーバ30から検索結果として許可リストが送られてくると(ステップ234でY)、その許可リストを参照し、「電子文書の編集」が含まれているもののみにフィルタリングする(ステップ235)。図15の例の場合は、Operationタグ内に“Edit”が含まれているもののみを抽出する。また、許可リストが許諾機能リストをマージして作成されている場合には、“Edit”の有無を確認することになる。ここで、“Edit”が含まれていなければ(ステップ236でN)、当該ユーザには、指定された保護電子文書に対する編集権が付与されていないと判断して、「指定した文書の編集権はありません」というエラーをディスプレイ8に表示する(ステップ239)。
【0092】
“Edit”が含まれている場合(ステップ236でY)、制御部61は、続いてフィルタリングにより残った検索結果を参照して、有効期間が満了していないものがあるかどうかをチェックする。なお、セキュリティポリシーサーバ30側で有効期間の満了しているものは返さないようにしているので、この処理は、念のための処理である。有効期間満了前のものが無ければ(ステップ237でN)、「指定した文書の権利は有効期間を過ぎています」というエラーメッセージを表示して終了する(ステップ239)。
【0093】
有効期間満了前のものが存在すれば(ステップ237でY)、編集権があるものと判断されるので、制御部61は、文書編集部56を呼び出して、保護電子文書の編集をユーザに許可する(ステップ238)。
【0094】
なお、文書を開く(閲覧する)際に、セキュリティポリシーサーバ30に保護電子文書のポリシーを問い合わせたら、その結果をRAM3上に保持しておくようにしてもよい。こうすれば、ステップ233で許可リストを問い合わせる必要はなく、RAM3に保持しておいたポリシーを参照すればすむ。
【0095】
2.4 保護電子文書の印刷
【0096】
次に、保護電子文書の印刷処理については、図21に示したフローチャートを用いて説明する。なお、印刷の際には、編集の場合と同様に文書が文書アプリケーションによってすでに開かれていることを仮定している。すなわち、閲覧の処理が行われて文書保持部57に文書がすでに読み込まれている状態から、以下に説明する印刷処理が始まるものとする。
【0097】
クライアントPC50で保護電子文書を開いているユーザにより、保護電子文書の印刷が要求されると、制御部61は、その印刷要求を受け付け(ステップ241)、ユーザにより指定された保護電子文書の印刷指示を保護文書印刷部60に出す(ステップ242)。印刷指示を受けた保護文書印刷部60は、文書保持部57に保持されている保護電子文書を読み出して印刷イメージに変換し、文書ID、ユーザIDと共に、保護電子文書を、ユーザにより指定された複合機40に送信することで印刷を実行させる(ステップ243)。複合機40は、保護電子文書を受け付けることによって印刷を開始することになるが、この処理については、追って説明する。
【0098】
ところで、本実施の形態では、印刷処理の実行可否の権利確認を複合機40側にて行うようにしているので、文書処理アプリケーション側では権利確認処理を行う必要はない。しかし、このようにすると、文書データを複合機40に送ってからでないと、印刷権の有無が確認できないので、クライアントPC50から複合機40へのデータ通信が無駄になる場合が発生しうる。そこで、本実施の形態においては、文書データを送信する前に、送信文書の印刷権があるかどうかを確認するようにしてもよい。この印刷時においてクライアントPC50側において行う権利確認処理を図22に示したフローチャートを用いて説明する。なお、図21と同じ処理には同じステップ番号を付ける。
【0099】
クライアントPC50で保護電子文書を開いているユーザにより、保護電子文書の印刷が要求されると、制御部61は、その印刷要求を受け付ける(ステップ241)。そして、制御部61は、印刷対象の保護電子文書から文書IDを読み取り(ステップ244)、その文書ID及びユーザ認証に用いたユーザIDの各パラメータを含む検索要求を生成し、セキュリティポリシーサーバ30へ送信する(ステップ245)。なお、送信した検索要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.3 セキュリティポリシー検索」において前述したとおりである。
【0100】
ここで、検索要求に応じてセキュリティポリシーサーバ30から検索結果がない旨などのエラー情報が送られてくると(ステップ246でN)、制御部61は、「指定した文書に対する印刷権がありません」などのエラーメッセージをディスプレイ8に表示して終了する(ステップ250)。一方、セキュリティポリシーサーバ30から検索結果として許可リストが送られてくると(ステップ246でY)、その許可リストを参照し、「電子文書の印刷」が含まれているもののみにフィルタリングする(ステップ247)。図15の例の場合は、Operationタグ内に“Print”が含まれているもののみを抽出する。また、許可リストが許諾機能リストをマージして作成されている場合には、“Print”の有無を確認することになる。ここで、“Print”が含まれていなければ(ステップ248でN)、当該ユーザには、指定された保護電子文書に対する印刷権が付与されていないと判断して、「指定した文書の印刷権はありません」というエラーをディスプレイ8に表示する(ステップ250)。
【0101】
“Print”が含まれている場合(ステップ248でY)、制御部61は、続いてフィルタリングにより残った検索結果を参照して、有効期間が満了していないものがあるかどうかをチェックする。なお、セキュリティポリシーサーバ30側で有効期間の満了しているものは返さないようにしているので、この処理は、念のための処理である。有効期間満了前のものが無ければ(ステップ249でN)、「指定した文書の権利は有効期間を過ぎています」というエラーメッセージを表示して終了する(ステップ250)。
【0102】
有効期間満了前のものが存在すれば(ステップ249でY)、印刷権があるものと判断されるので、制御部61は、ユーザにより指定された保護電子文書の印刷指示を保護文書印刷部60に出す(ステップ242)。保護文書印刷部60は、この印刷指示に応じて文書保持部57に保持されている保護電子文書を読み出して印刷イメージに変換し、文書ID、ユーザIDと共に、保護電子文書を、ユーザにより指定された複合機40に送信することで印刷を実行させる(ステップ243)。
【0103】
2.5 保護電子文書の保存
【0104】
文書処理アプリケーションが開いている保護電子文書をファイルに保存(上書き、別名など)する際には、以下のような処理が行なわれる。この保護電子文書の保存処理については、図23に示したフローチャートを用いて説明する。
【0105】
まず、ユーザが文書処理アプリケーション上で所定の保存ボタンをクリック等により選択すると、制御部61は、そのユーザ操作に応じた保存要求を受け付ける(ステップ251)。そして、制御部61は、文書保持部57に保存されている電子文書に文書IDが付与されていたら、保護電子文書であると判断し、予め決められた暗号鍵で文書本体を暗号化し、そして文書IDを付与して、保護電子文書ファイルを保護電子文書記憶部53に保存する(ステップ252)。
【0106】
2.6 保護電子文書の切替え
【0107】
保護電子文書のポリシーの切替えは、保護電子文書ファイルを、文書処理アプリケーションが開いている状態で、アプリケーションの「保護文書のポリシー切替え」ボタンを選択することによって行われる。この保護電子文書のポリシー切替え処理については、図24に示したフローチャートを用いて説明する。
【0108】
まず、ユーザが文書処理アプリケーション上で所定の切替えボタンをクリック等により選択すると、制御部61は、そのユーザ操作に応じたポリシー切替え要求を受け付ける(ステップ261)。そして、制御部61は、ポリシー一覧取得要求をセキュリティポリシーサーバ30へ送信することによりセキュリティポリシーの一覧を取得する(ステップ262)。なお、送信したポリシー一覧取得要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.2 セキュリティポリシー一覧応答」において前述したとおりである。ポリシーの一覧リストが取得できると、制御部61は、取得したポリシーの一覧リストをユーザに理解可能な形式で表示させ、ユーザに適用したいポリシーを選択させる。ポリシーが選択されると、制御部61は、それを受け付け(ステップ263)、続いて、選択されたポリシーのポリシーID、切替え対象の文書ID及びユーザIDの各パラメータを含む切替え要求を生成し、セキュリティポリシーサーバ30へ送信することによって保護電子文書の切替え指示を出す(ステップ264)。なお、この切替え要求に応じて呼び出されたセキュリティポリシー切替部34が実施する切替処理については、「1.4 セキュリティポリシー切替え」において前述したとおりである。
【0109】
この切替え指示に応じてセキュリティポリシーサーバ30から処理結果としてポリシーの切替えが成功した旨(TRUE)が送られてくると(ステップ265でY)、クライアントPC50における切替処理は終了する。一方、切替えが失敗した旨(FALSE)が送られてくると(ステップ265でN)、その旨をディスプレイ8に表示し(ステップ266)、他のポリシーを選択させるためにステップ263に戻す。
【0110】
3.複合機40の動作
【0111】
複合機40は、保護された電子文書の印刷、保護された紙文書のコピー・スキャンを提供する。なお、ここでは、保護された紙文書以外の通常の紙文書のコピーやスキャンなどについては従来と同じ処理がなされるだけであるので、説明を省略している。
【0112】
3.1 保護電子文書の印刷
【0113】
この保護電子文書の印刷処理については、図25に示したフローチャートを用いて説明する。
【0114】
「2.4 保護電子文書の印刷」において説明したように、ユーザにより保護電子文書の印刷が要求されると、複合機40には、クライアントPC50から複合機40において印字可能な印刷イメージが文書ID及びユーザIDと共に送られる。制御部48は、印刷要求を受け付けると(ステップ301)、その印刷要求に含まれている文書ID及びユーザIDの各パラメータを含む検索要求を生成し、セキュリティポリシーサーバ30へ送信する(ステップ302)。なお、送信した検索要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.3 セキュリティポリシー検索」において前述したとおりである。
【0115】
ここで、検索要求に応じてセキュリティポリシーサーバ30から検索結果がない旨などのエラー情報が送られてくると(ステップ303でN)、制御部48は、「指定した文書に対する印刷権がありません」などのエラーメッセージを操作パネル13に表示したり、あるいはエラーログをHDD15に記録したりして処理を終了する(ステップ309)。一方、セキュリティポリシーサーバ30から検索結果として許可リストが送られてくると(ステップ303でY)、その許可リストを参照し、「電子文書の印刷」が含まれているもののみにフィルタリングする(ステップ304)。図15の例の場合は、Operationタグ内に“Print”が含まれているもののみを抽出する。また、許可リストが許諾機能リストをマージして作成されている場合には、“Print”の有無を確認することになる。ここで、“Print”が含まれていなければ(ステップ305でN)、当該ユーザには、指定された保護電子文書に対する印刷権が付与されていないと判断して、「指定した文書の印刷権はありません」というエラーを操作パネル13に表示したりする(ステップ309)。
【0116】
“Print”が含まれている場合(ステップ305でY)、制御部48は、続いてフィルタリングにより残った検索結果を参照して、有効期間が満了していないものがあるかどうかをチェックする。なお、セキュリティポリシーサーバ30側で有効期間の満了しているものは返さないようにしているので、この処理は、念のための処理である。有効期間満了前のものが無ければ(ステップ306でN)、「指定した文書の権利は有効期間を過ぎています」というエラーメッセージを表示して終了する(ステップ309)。
【0117】
有効期間満了前のものが存在すれば(ステップ306でY)、印刷権があるものと判断されるので、制御部48は、画像保持部43に印刷イメージと文書ID、ユーザIDを一時格納し、保護紙文書生成部44を呼び出す。保護紙文書生成部44は、画像保持部43を介して受け取った文書IDをバーコードなどのコードパターンの画像イメージに変換するように文書IDエンコード部45に指示する。そして、保護紙文書生成部44は、その文書IDの画像イメージを、印刷対象の保護電子文書の印刷イメージのヘッダ部及び/又はフッタ部に合成することによって印刷する合成画像を生成する(ステップ307)。そして、印刷部46は、生成された合成画像を印刷する(ステップ308)。このようにして保護電子文書が印刷されたときの用紙の模式図は、図10に示されている。もちろん、文書IDを透かしとして生成し、図11に例示したように印刷してもよい。
【0118】
3.2 保護紙文書のコピー
【0119】
この保護紙文書のコピー処理については、図26に示したフローチャートを用いて説明する。
【0120】
ユーザが複合機40のプラテン、あるいはADF(Auto Document Feeder)上に保護紙文書を置き、操作パネル13に表示された「保護文書のコピー」のボタンを押す。制御部48は、ユーザによる押下操作によりコピー指示を受け付けると(ステップ311)、制御部48は、操作パネル13にユーザ認証ダイアログを表示し、ユーザにユーザIDとパスワードの入力を求める。ユーザが入力すると、その入力されたユーザID及びパスワードをユーザ認証部41に渡す。そして、ユーザ認証部41は、その入力された情報が正しいかどうかを外部のユーザ認証サーバ23に問い合わせて確認する(ステップ312)。ユーザ認証に成功すれば(ステップ313でY)、ユーザIDを保持する。失敗した場合は(ステップ313でN)、その旨を操作パネル13に表示して(ステップ324)、処理を中断する。
【0121】
ユーザ認証成功後、制御部48は、保護紙文書をスキャンして画像を読み込み(ステップ314)、その画像イメージのヘッダおよびフッタ部の画像イメージを文書IDデコード部47にデコードさせることによって文書IDを取得する(ステップ315)。なお、文書IDが透かしにより保護紙文書に組み込まれている場合には、透かしをデコードすることになる。文書IDのデコードに失敗して取得できなかった場合は(ステップ316でN)、その旨を操作パネル13に表示し(ステップ324)、処理を中断する。
【0122】
文書IDのデコードに成功した場合(ステップ316でY)、制御部48は、そのデコードした文書ID及びユーザ認証に用いたユーザIDの各パラメータを含む検索要求を生成し、セキュリティポリシーサーバ30へ送信する(ステップ317)。なお、送信した検索要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.3 セキュリティポリシー検索」において前述したとおりである。
【0123】
ここで、検索要求に応じてセキュリティポリシーサーバ30から検索結果がない旨などのエラー情報が送られてくると(ステップ318でN)、制御部48は、「コピー権がありません」などのエラーメッセージを操作パネル13に表示して終了する(ステップ324)。一方、セキュリティポリシーサーバ30から検索結果として許可リストが送られてくると(ステップ318でY)、その許可リストを参照し、「紙文書のコピー」が含まれているもののみにフィルタリングする(ステップ319)。図15の例の場合は、Operationタグ内に“Copy”が含まれているもののみを抽出する。また、許可リストが許諾機能リストをマージして作成されている場合には、“Copy”の有無を確認することになる。ここで、“Copy”が含まれていなければ(ステップ320でN)、当該ユーザには、指定された保護電子文書に対するコピー権が付与されていないと判断して、「コピー権はありません」というエラーを操作パネル13に表示して終了する(ステップ324)。
【0124】
“Copy”が含まれている場合(ステップ320でY)、制御部48は、続いてフィルタリングにより残った検索結果を参照して、有効期間が満了していないものがあるかどうかをチェックする。なお、セキュリティポリシーサーバ30側で有効期間の満了しているものは返さないようにしているので、この処理は、念のための処理である。有効期間満了前のものが無ければ(ステップ321でN)、「権利は有効期間を過ぎています」というエラーメッセージを表示して終了する(ステップ324)。
【0125】
有効期間満了前のものが存在すれば(ステップ321でY)、コピー権があるものと判断されるので、制御部48は、画像保持部43に印刷イメージと文書ID、ユーザIDを一時格納し、保護紙文書生成部44を呼び出す。保護紙文書生成部44は、画像保持部43を介して受け取った文書IDをバーコードなどのコードパターンの画像イメージに変換するように文書IDエンコード部45に指示する。そして、保護紙文書生成部44は、その文書IDの画像を、印刷対象の保護電子文書の印刷画像のヘッダ部及び/又はフッタ部に合成することによって印刷する合成画像を生成する(ステップ322)。そして、印刷部46は、生成された合成画像を印刷する(ステップ323)。このようにして保護電子文書が印刷されたときの用紙の模式図は、図10に示されている。もちろん、コピー対象の保護紙文書に文書IDが透かしとして形成されている場合は、図11に例示したように文書IDを透かし25として印刷する。このようにして、保護紙文書がコピーされる。本実施の形態では、特に文書IDの読取画像をそのままコピー印刷するのではなく、いったんデコードし、そしてコピー印刷時に再度エンコードするようにしたので、紙文書に印刷した文書IDデータは劣化しない。
【0126】
3.3 保護紙文書のスキャン
【0127】
保護紙文書をスキャンすると、紙文書のイメージが電子化されることになるが、そのイメージを保護電子文書として生成する必要がある。保護紙文書のコピー処理においては、印刷媒体に印刷を行うことになるが、この保護電子文書のスキャン処理は、印刷媒体に印刷を行う代わりに電子データをいずれかの記憶手段に保存することになること以外は、基本的な処理内容は共通である。この保護電子文書のスキャン処理については、図27に示したフローチャートを用いて説明する。
【0128】
ユーザが複合機40のプラテン、あるいはADF上に保護紙文書を置き、操作パネル13に表示された「保護文書のスキャン」のボタンを押す。制御部48は、ユーザによる押下操作によりスキャン指示を受け付けると(ステップ331)、制御部48は、操作パネル13にユーザ認証ダイアログを表示し、ユーザにユーザIDとパスワードの入力を求める。ユーザが入力すると、その入力されたユーザID及びパスワードをユーザ認証部41に渡す。そして、ユーザ認証部41は、その入力された情報が正しいかどうかを外部のユーザ認証サーバ23に問い合わせて確認する(ステップ332)。ユーザ認証に成功すれば(ステップ333でY)、ユーザIDを保持する。失敗した場合は(ステップ333でN)、その旨を操作パネル13に表示して(ステップ344)、処理を中断する。
【0129】
ユーザ認証成功後、制御部48は、保護紙文書をスキャンして画像を読み込み(ステップ334)、その画像イメージのヘッダおよびフッタ部の画像イメージを文書IDデコード部47にデコードさせることによって文書IDを取得する(ステップ335)。なお、文書IDが透かしにより保護紙文書に組み込まれている場合には、透かしをデコードすることになる。文書IDのデコードに失敗して取得できなかった場合は(ステップ336でN)、その旨を操作パネル13に表示し(ステップ344)、処理を中断する。
【0130】
文書IDのデコードに成功した場合(ステップ336でY)、制御部48は、そのデコードした文書ID及びユーザ認証に用いたユーザIDの各パラメータを含む検索要求を生成し、セキュリティポリシーサーバ30へ送信する(ステップ337)。なお、送信した検索要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.3 セキュリティポリシー検索」において前述したとおりである。
【0131】
ここで、検索要求に応じてセキュリティポリシーサーバ30から検索結果がない旨などのエラー情報が送られてくると(ステップ338でN)、制御部48は、「スキャン権がありません」などのエラーメッセージを操作パネル13に表示して終了する(ステップ344)。一方、セキュリティポリシーサーバ30から検索結果として許可リストが送られてくると(ステップ338でY)、その許可リストを参照し、「紙文書のスキャン」が含まれているもののみにフィルタリングする(ステップ339)。図15の例には含まれていないが、Operationタグ内に“Scan”が含まれていれば、その含まれているもののみを抽出する。また、許可リストが許諾機能リストをマージして作成されている場合には、“Scan”の有無を確認することになる。ここで、“Scan”が含まれていなければ(ステップ340でN)、当該ユーザには、指定された保護電子文書に対するスキャン権が付与されていないと判断して、「スキャン権はありません」というエラーを操作パネル13に表示して終了する(ステップ344)。
【0132】
“Scan”が含まれている場合(ステップ340でY)、制御部48は、続いてフィルタリングにより残った検索結果を参照して、有効期間が満了していないものがあるかどうかをチェックする。なお、セキュリティポリシーサーバ30側で有効期間の満了しているものは返さないようにしているので、この処理は、念のための処理である。有効期間満了前のものが無ければ(ステップ341でN)、「権利は有効期間を過ぎています」というエラーメッセージを表示して終了する(ステップ344)。
【0133】
有効期間満了前のものが存在すれば(ステップ341でY)、スキャン権があるものと判断されるので、制御部48は、画像保持部43に読取画像と文書ID、ユーザIDを一時格納し、保護電子文書生成部42を呼び出す。保護電子文書生成部42は、画像保持部43を介して受け取った文書IDをバーコードなどのコードパターンの画像イメージに変換するように文書IDエンコード部45に指示する。また、保護電子文書生成部42は、保護紙文書の画像イメージから文書ID画像を削除した後、予め決められた暗号鍵で暗号化し、その暗号化した電子文書画像のヘッダ部及び/又はフッタ部に、エンコードされた文書IDを合成することによって保存対象の保護電子文書を生成する(ステップ342)。そして、複合機40のユーザがアクセス可能な場所、例えば当該ユーザの親展ボックスなどに格納する(ステップ343)。保護紙文書のスキャン処理においても、コピー処理と同様、文書IDの読取画像をそのまま保存対象とするのではなく、いったんデコードし、そして再度エンコードするようにしたので、紙文書に印刷した文書IDデータは劣化しない。
【0134】
なお、保護電子文書生成部42における詳細な処理は、基本的にクライアントPC50における保護電子文書生成部54の処理と同じである。このため、図8では、保護電子文書生成処理に関連する構成要素を省略している。
【0135】
3.4 保護紙文書のポリシー切替え
【0136】
複合機40を利用して行われるポリシーの切替処理については、図28に示したフローチャートを用いて説明する。
【0137】
ユーザが複合機40のプラテン、あるいはADF上に保護紙文書を置き、操作パネル13に表示された「保護文書のポリシー切替え」のボタンを押す。制御部61は、ユーザによる押下操作によりポリシー切替え指示を受け付けると(ステップ351)、制御部48は、操作パネル13にユーザ認証ダイアログを表示し、ユーザにユーザIDとパスワードの入力を求める。ユーザが入力すると、その入力されたユーザID及びパスワードをユーザ認証部41に渡す。そして、ユーザ認証部41は、その入力された情報が正しいかどうかを外部のユーザ認証サーバ23に問い合わせて確認する(ステップ352)。ユーザ認証に成功すれば(ステップ353でY)、ユーザIDを保持する。失敗した場合は(ステップ353でN)、その旨を操作パネル13に表示して(ステップ362)、処理を中断する。
【0138】
ユーザ認証成功後、制御部48は、保護紙文書をスキャンして画像を読み込み(ステップ354)、その画像イメージのヘッダおよびフッタ部の画像イメージを文書IDデコード部47にデコードさせることによって文書IDを取得する(ステップ355)。なお、文書IDが透かしにより保護紙文書に組み込まれている場合には、透かしをデコードすることになる。文書IDのデコードに失敗して取得できなかった場合は(ステップ356でN)、その旨を操作パネル13に表示し(ステップ362)、処理を中断する。
【0139】
文書IDのデコードに成功した場合(ステップ356でY)、制御部48は、ポリシー一覧取得要求をセキュリティポリシーサーバ30へ送信することによりセキュリティポリシーの一覧を取得する(ステップ357)。なお、送信したポリシー一覧取得要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.2 セキュリティポリシー一覧応答」において前述したとおりである。ポリシーの一覧リストが取得できると、制御部48は、取得したポリシーの一覧リストをユーザに理解可能な形式で表示させ、ユーザに適用したいポリシーを選択させる。ポリシーが選択されると、制御部48は、それを受け付け(ステップ358)、続いて、選択されたポリシーのポリシーID、切替え対象の文書ID及びユーザIDの各パラメータを含む切替え要求を生成し、セキュリティポリシーサーバ30へ送信することによって保護電子文書の切替え指示を出す(ステップ359)。なお、この切替え要求に応じて呼び出されたセキュリティポリシー切替部34が実施する切替処理については、「1.4 セキュリティポリシー切替え」において前述したとおりである。
【0140】
この切替え指示に応じてセキュリティポリシーサーバ30から処理結果としてポリシーの切替えが成功した旨(TRUE)が送られてくると(ステップ360でY)、複合機40における切替処理は終了する。一方、切替えが失敗した旨(FALSE)が送られてくると(ステップ360でN)、その旨を操作パネル13に表示し(ステップ361)、他のポリシーを選択させるためにステップ358に戻す。
【0141】
ところで、前述した実施の形態におけるセキュリティポリシー切替処理では、切替え先のポリシーを制限するために、切替え先のポリシーの権利内容と、切替え元、すなわち現在のポリシーの権利内容とを比較することで行ったが(図16のステップ129)、これは、以下のように実現してもよい。
【0142】
まず、切替え可能なポリシーに対する制限を、別途記述してもよい。つまり、切替え先のポリシーが満たしているべき条件を記述するようにする。例えば、電子文書の印刷権が存在しないこと、紙文書のコピー権が存在しないこと、ポリシーの切替え権が存在しないこと、のようにである。このような条件を利用範囲(グループ、ユーザ)と共に記述してもよい。
【0143】
あるいは、切替え可能なポリシーを直接指定できるようにしてもよい。この変形例におけるセキュリティポリシーデータベース35のデータ構成例を図29に示す。この場合、ポリシーの切替え権がある場合、その切替え権を有するという指定と共に切替え可能なポリシーのIDを指定する。このようにすれば、ユーザは、ポリシーの切替えを要求する際に、切替え先とするポリシーのIDを入力指定しなくても、切替え指示さえすればポリシーの切替えが可能になる。図29には、“ソフトウェア開発部内資料”の“作成者”は、ポリシーID“0003”のポリシーに切り替えることができる例が示されている。また、ポリシーに対する制限により切替え不能と判定されることがない。なお、切替え可能なポリシーのIDを1つのみ指定することに限定せずに、複数指定できるようにしてもよい。この場合は、複数指定されたポリシーの中からユーザにより選択させるようにすれば、ユーザは、ポリシーの切替えを要求する際に、切替え先とするポリシーのIDを入力指定しなくてもよく、また、ポリシーに対する制限により切替え不能と判定されることがない。この実施の形態によれば、予め切替え先のポリシーの内容を決めておき、そのポリシーにのみ切替えを許可するようにするので、切替え元と切替え先のポリシーの内容で制限する必要はなく、まったく独立な内容のポリシーに切り替えることも可能とする。また、切替え可能なポリシーIDを複数列挙しておき、ユーザがポリシーを切り替える際に切替え先を選択可能にしても良い。
【図面の簡単な説明】
【0144】
【図1】本発明に係るセキュリティポリシー管理システムの一実施の形態を示した全体構成図である。
【図2】本実施の形態におけるセキュリティポリシーサーバを形成するサーバコンピュータのハードウェア構成図である。
【図3】本実施の形態における複合機のハードウェア構成図である。
【図4】本実施の形態におけるセキュリティポリシーサーバのブロック構成図である。
【図5】本実施の形態におけるセキュリティポリシーデータベースのデータ構成例を示した図である。
【図6】本実施の形態における文書情報データベースのデータ構成例を示した図である。
【図7】本実施の形態におけるクライアントPCのブロック構成図である。
【図8】本実施の形態における複合機のブロック構成図である。
【図9】本実施の形態において用いる保護電子文書のデータ構成例を示した図である。
【図10】本実施の形態において用いる保護紙文書を用紙に印刷したときの例を示した模式図である。
【図11】本実施の形態において用いる保護紙文書を用紙に印刷したときの他の例を示した模式図である。
【図12】本実施の形態において外部機器から送られてくるセキュリティポリシーの登録要求の例を示した図である。
【図13】本実施の形態におけるセキュリティポリシーサーバが生成するポリシー一覧リストの例を示した図である。
【図14】本実施の形態におけるセキュリティポリシー検索処理を示したフローチャートである。
【図15】本実施の形態におけるセキュリティポリシー検索処理により得られた検索結果の例を示した図である。
【図16】本実施の形態におけるセキュリティポリシー切替処理を示したフローチャートである。
【図17】本実施の形態において外部機器から送られてくるセキュリティポリシーの切替え要求の例を示した図である。
【図18】本実施の形態のクライアントPCにおける保護電子文書の生成処理を示したフローチャートである。
【図19】本実施の形態のクライアントPCにおける保護電子文書の閲覧処理を示したフローチャートである。
【図20】本実施の形態のクライアントPCにおける保護電子文書の編集処理を示したフローチャートである。
【図21】本実施の形態のクライアントPCにおける保護電子文書の印刷処理を示したフローチャートである。
【図22】本実施の形態のクライアントPCにおいて権利確認を行う場合の保護電子文書の印刷処理を示したフローチャートである。
【図23】本実施の形態のクライアントPCにおける保護電子文書の保存処理を示したフローチャートである。
【図24】本実施の形態のクライアントPCにおける保護電子文書の切替処理を示したフローチャートである。
【図25】本実施の形態の複合機における保護電子文書の印刷処理を示したフローチャートである。
【図26】本実施の形態の複合機における保護紙文書のコピー処理を示したフローチャートである。
【図27】本実施の形態の複合機における保護紙文書のスキャン処理を示したフローチャートである。
【図28】本実施の形態の複合機における保護紙文書のポリシー切替処理を示したフローチャートである。
【図29】本実施の形態におけるセキュリティポリシーデータベースの他のデータ構成例を示した図である。
【符号の説明】
【0145】
1,21 CPU、2,19 ROM、3,18 RAM、4,15 ハードディスクドライブ(HDD)、5 HDDコントローラ、6 マウス、7 キーボード、8 ディスプレイ、9 入出力コントローラ、10 ネットワークコントローラ、11 内部バス、12 アドレスデータバス、13 操作パネル、14 スキャナ、16 プリンタエンジン、17 ネットワークインタフェース(I/F)、20 外部メディアインタフェース(I/F)、22 LAN、23 ユーザ認証サーバ、30 セキュリティポリシーサーバ、31 セキュリティポリシー登録部、32 セキュリティポリシー一覧応答部、33 セキュリティポリシー検索部、34 セキュリティポリシー切替部、35 セキュリティポリシーデータベース、36 文書情報データベース、40 複合機、41,59 ユーザ認証部、42,54 保護電子文書生成部、43 画像保持部、44 保護紙文書生成部、45 文書IDエンコード部、46 印刷部、47 文書IDデコード部、48,61 制御部、50 クライアントPC、51 アプリケーション実行部、52 非保護電子文書記憶部、53 保護電子文書記憶部、55 文書ID生成部、56 文書編集部、57 文書保持部、58 文書表示部、60 保護文書印刷部。
【特許請求の範囲】
【請求項1】
ポリシーの設定内容と当該ポリシーを付与するユーザの識別情報とを含むポリシー設定情報に、当該ポリシーの識別情報を対応付けして記憶するポリシー情報記憶手段と、
ポリシーの設定対象となるデータの識別情報に、当該データに付与するポリシーの識別情報を対応付けして記憶するデータ情報記憶手段と、
ポリシーの切替え対象となるデータの識別情報及び切替えを指示するユーザの識別情報が指定された切替え要求に応じて、前記データ情報記憶手段に記憶されている当該データに付与されているポリシーの識別情報を、その他のポリシーの識別情報で更新することによって、当該データに付与するポリシーを切り替えるポリシー切替手段と、
を有することを特徴とするセキュリティポリシー切替装置。
【請求項2】
請求項1記載のセキュリティポリシー切替装置において、
前記ポリシー切替手段は、当該データに付与されているポリシーに基づき許可された操作の一つにポリシーの切替えが含まれている場合のみ当該データに付与するポリシーの切替えを許可することを特徴とするセキュリティポリシー切替装置。
【請求項3】
請求項1記載のセキュリティポリシー切替装置において、
前記ポリシー切替手段は、更に切替えにより付与するポリシーの識別情報が切替え要求に指定されていた場合、その指定されたポリシーの識別情報によって、前記データ情報記憶手段に記憶されている当該データに付与するポリシーの識別情報を更新することを特徴とするセキュリティポリシー切替装置。
【請求項4】
請求項3記載のセキュリティポリシー切替装置において、
前記ポリシー切替手段は、切替え対象として指定されたポリシー識別情報に対応するポリシーに基づき許可される操作が、当該データに付与されているポリシーに基づき許可された操作より制限されている場合のみ当該データに付与するポリシーの切替えを許可することを特徴とするセキュリティポリシー切替装置。
【請求項5】
請求項1記載のセキュリティポリシー切替装置において、
前記ポリシー設定情報には、切替え要求に応じて切替え可能なポリシーの識別情報が含まれており、
前記ポリシー切替手段は、更に切替えにより付与するポリシーの識別情報が切替え要求に指定されていなかった場合、前記ポリシー設定情報に含まれる前記切替え可能なポリシーの識別情報で前記データ情報記憶手段に記憶されている当該データに付与されているポリシーの識別情報を更新することを特徴とするセキュリティポリシー切替装置。
【請求項6】
請求項1記載のセキュリティポリシー切替装置において、
前記ポリシー設定情報には、切替え要求に応じて切替え可能なポリシーの識別情報が含まれており、
前記ポリシー切替手段は、更に切替えにより付与するポリシーの識別情報が切替え要求に指定されており、かつ、当該指定されたポリシーの識別情報が、前記切替え可能なポリシー設定情報に含まれている場合、指定されたポリシーの識別情報で前記データ情報記憶手段に記憶されている当該データに付与されているポリシーの識別情報を更新することを特徴とするセキュリティポリシー切替装置。
【請求項7】
セキュリティポリシーサーバコンピュータを、
ポリシーの設定内容と当該ポリシーを付与するユーザの識別情報とを含むポリシー設定情報に、当該ポリシーの識別情報を対応付けして記憶するポリシー情報記憶手段、
ポリシーの設定対象となるデータの識別情報に、当該データに付与するポリシーの識別情報を対応付けして記憶するデータ情報記憶手段、
ポリシーの切替え対象となるデータの識別情報及び切替えを指示するユーザの識別情報が指定された切替え要求に応じて、前記データ情報記憶手段に記憶されている当該データに付与されているポリシーの識別情報を、その他のポリシーの識別情報で更新することによって、当該データに付与するポリシーを切り替えるポリシー切替手段、
として機能させるセキュリティポリシー切替プログラム。
【請求項8】
セキュリティポリシーサーバコンピュータと、
セキュリティポリシーの設定に用いるクライアントコンピュータと、
を有し、
前記セキュリティポリシーサーバコンピュータは、
ポリシーの設定内容と当該ポリシーを付与するユーザの識別情報とを含むポリシー設定情報に、当該ポリシーの識別情報を対応付けして記憶するポリシー情報記憶手段と、
ポリシーの設定対象となるデータの識別情報に、当該データに付与するポリシーの識別情報を対応付けして記憶するデータ情報記憶手段と、
ポリシーの切替え対象となるデータの識別情報及び切替えを指示するユーザの識別情報が指定された切替え要求に応じて、前記データ情報記憶手段に記憶されている当該データに付与されているポリシーの識別情報を、その他のポリシーの識別情報で更新することによって、当該データに付与するポリシーを切り替えるポリシー切替手段と、
を有し、
前記クライアントコンピュータは、
ポリシーの切替え対象となるデータの識別情報及び切替えを指示するユーザの識別情報が指定された切替え要求を前記セキュリティポリシーサーバコンピュータに送信する手段を有することを特徴とするセキュリティポリシー管理システム。
【請求項1】
ポリシーの設定内容と当該ポリシーを付与するユーザの識別情報とを含むポリシー設定情報に、当該ポリシーの識別情報を対応付けして記憶するポリシー情報記憶手段と、
ポリシーの設定対象となるデータの識別情報に、当該データに付与するポリシーの識別情報を対応付けして記憶するデータ情報記憶手段と、
ポリシーの切替え対象となるデータの識別情報及び切替えを指示するユーザの識別情報が指定された切替え要求に応じて、前記データ情報記憶手段に記憶されている当該データに付与されているポリシーの識別情報を、その他のポリシーの識別情報で更新することによって、当該データに付与するポリシーを切り替えるポリシー切替手段と、
を有することを特徴とするセキュリティポリシー切替装置。
【請求項2】
請求項1記載のセキュリティポリシー切替装置において、
前記ポリシー切替手段は、当該データに付与されているポリシーに基づき許可された操作の一つにポリシーの切替えが含まれている場合のみ当該データに付与するポリシーの切替えを許可することを特徴とするセキュリティポリシー切替装置。
【請求項3】
請求項1記載のセキュリティポリシー切替装置において、
前記ポリシー切替手段は、更に切替えにより付与するポリシーの識別情報が切替え要求に指定されていた場合、その指定されたポリシーの識別情報によって、前記データ情報記憶手段に記憶されている当該データに付与するポリシーの識別情報を更新することを特徴とするセキュリティポリシー切替装置。
【請求項4】
請求項3記載のセキュリティポリシー切替装置において、
前記ポリシー切替手段は、切替え対象として指定されたポリシー識別情報に対応するポリシーに基づき許可される操作が、当該データに付与されているポリシーに基づき許可された操作より制限されている場合のみ当該データに付与するポリシーの切替えを許可することを特徴とするセキュリティポリシー切替装置。
【請求項5】
請求項1記載のセキュリティポリシー切替装置において、
前記ポリシー設定情報には、切替え要求に応じて切替え可能なポリシーの識別情報が含まれており、
前記ポリシー切替手段は、更に切替えにより付与するポリシーの識別情報が切替え要求に指定されていなかった場合、前記ポリシー設定情報に含まれる前記切替え可能なポリシーの識別情報で前記データ情報記憶手段に記憶されている当該データに付与されているポリシーの識別情報を更新することを特徴とするセキュリティポリシー切替装置。
【請求項6】
請求項1記載のセキュリティポリシー切替装置において、
前記ポリシー設定情報には、切替え要求に応じて切替え可能なポリシーの識別情報が含まれており、
前記ポリシー切替手段は、更に切替えにより付与するポリシーの識別情報が切替え要求に指定されており、かつ、当該指定されたポリシーの識別情報が、前記切替え可能なポリシー設定情報に含まれている場合、指定されたポリシーの識別情報で前記データ情報記憶手段に記憶されている当該データに付与されているポリシーの識別情報を更新することを特徴とするセキュリティポリシー切替装置。
【請求項7】
セキュリティポリシーサーバコンピュータを、
ポリシーの設定内容と当該ポリシーを付与するユーザの識別情報とを含むポリシー設定情報に、当該ポリシーの識別情報を対応付けして記憶するポリシー情報記憶手段、
ポリシーの設定対象となるデータの識別情報に、当該データに付与するポリシーの識別情報を対応付けして記憶するデータ情報記憶手段、
ポリシーの切替え対象となるデータの識別情報及び切替えを指示するユーザの識別情報が指定された切替え要求に応じて、前記データ情報記憶手段に記憶されている当該データに付与されているポリシーの識別情報を、その他のポリシーの識別情報で更新することによって、当該データに付与するポリシーを切り替えるポリシー切替手段、
として機能させるセキュリティポリシー切替プログラム。
【請求項8】
セキュリティポリシーサーバコンピュータと、
セキュリティポリシーの設定に用いるクライアントコンピュータと、
を有し、
前記セキュリティポリシーサーバコンピュータは、
ポリシーの設定内容と当該ポリシーを付与するユーザの識別情報とを含むポリシー設定情報に、当該ポリシーの識別情報を対応付けして記憶するポリシー情報記憶手段と、
ポリシーの設定対象となるデータの識別情報に、当該データに付与するポリシーの識別情報を対応付けして記憶するデータ情報記憶手段と、
ポリシーの切替え対象となるデータの識別情報及び切替えを指示するユーザの識別情報が指定された切替え要求に応じて、前記データ情報記憶手段に記憶されている当該データに付与されているポリシーの識別情報を、その他のポリシーの識別情報で更新することによって、当該データに付与するポリシーを切り替えるポリシー切替手段と、
を有し、
前記クライアントコンピュータは、
ポリシーの切替え対象となるデータの識別情報及び切替えを指示するユーザの識別情報が指定された切替え要求を前記セキュリティポリシーサーバコンピュータに送信する手段を有することを特徴とするセキュリティポリシー管理システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【公開番号】特開2009−157453(P2009−157453A)
【公開日】平成21年7月16日(2009.7.16)
【国際特許分類】
【出願番号】特願2007−332062(P2007−332062)
【出願日】平成19年12月25日(2007.12.25)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.QRコード
【出願人】(000005496)富士ゼロックス株式会社 (21,908)
【Fターム(参考)】
【公開日】平成21年7月16日(2009.7.16)
【国際特許分類】
【出願日】平成19年12月25日(2007.12.25)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.QRコード
【出願人】(000005496)富士ゼロックス株式会社 (21,908)
【Fターム(参考)】
[ Back to top ]