セキュリティポリシー管理装置、セキュリティポリシー管理システム及びセキュリティポリシー管理プログラム
【課題】派生により新たに生成されたデータに対して派生元となるデータと異なるセキュリティポリシーを付与可能にする。
【解決手段】ポリシーID及び当該ポリシーの名称に、オリジナル文書あるいは派生文書の別を示す対象文書毎に、利用範囲、更に利用範囲毎に設定される有効期間及び許諾機能リストを含むポリシー設定情報が対応付けして登録されるセキュリティポリシーDB35と、文書ID、当該文書の派生元となった文書の文書IDが設定される派生元文書ID、当該文書が従っているセキュリティポリシーのポリシーID、文書名、文書のメディアタイプ、操作したユーザのユーザID、文書が操作された日時、対象文書が生成された際に行われた操作、がそれぞれ対応付けして登録される文書情報DB36と、文書ID及びユーザIDを含む検索要求に応じて該当するポリシーに関するエントリーを検索要求元に返す。
【解決手段】ポリシーID及び当該ポリシーの名称に、オリジナル文書あるいは派生文書の別を示す対象文書毎に、利用範囲、更に利用範囲毎に設定される有効期間及び許諾機能リストを含むポリシー設定情報が対応付けして登録されるセキュリティポリシーDB35と、文書ID、当該文書の派生元となった文書の文書IDが設定される派生元文書ID、当該文書が従っているセキュリティポリシーのポリシーID、文書名、文書のメディアタイプ、操作したユーザのユーザID、文書が操作された日時、対象文書が生成された際に行われた操作、がそれぞれ対応付けして登録される文書情報DB36と、文書ID及びユーザIDを含む検索要求に応じて該当するポリシーに関するエントリーを検索要求元に返す。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、セキュリティポリシー管理装置、セキュリティポリシー管理システム及びセキュリティポリシー管理プログラムに関する。
【背景技術】
【0002】
現在、情報セキュリティに関する基本方針、すなわちセキュリティポリシー(以下、単に「ポリシー」とも言う)を策定し、そのセキュリティポリシーに従って電子文書や紙文書を管理している企業が少なくない。
【0003】
このようなポリシーが設定されている電子文書あるいは紙文書に対し、印刷やスキャンなどの操作が行われることに伴い別の紙文書あるいは電子文書が新規に生成される場合、新規に作成された文書に文書IDを新規に割り当てると共に、操作対象となった派生元の文書の文書IDを合わせて記録する。これにより、派生により新たに生成された文書(以下、「派生文書」)がどのように生成(派生)されたのかの履歴を辿ることのできる技術が提案されている(例えば、特許文献1)。なお、文書プロファイルには、その文書のセキュリティ情報(機密度など)も合わせて記録される。
【0004】
【特許文献1】特開2005−259108号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら、従来技術では、派生文書には、常に派生元の文書と同じセキュリティポリシーで保護されるため、派生文書のセキュリティを派生元の文書と異ならせるような柔軟な運用には対応できなかった。
【0006】
本発明は、派生により新たに生成されたデータに対して派生元となるデータと異なるセキュリティポリシーを付与可能にすることを目的とする。
【課題を解決するための手段】
【0007】
本発明に係るセキュリティポリシー管理装置は、ポリシーの設定対象となるデータがオリジナルデータか、既存データから派生して生成された派生データかの別を示すデータ種別情報毎にポリシーの設定内容が対応付けされたポリシー設定情報に、当該ポリシーの識別情報を対応付けして記憶するポリシー情報記憶手段と、ポリシーの設定対象となるデータの識別情報に、当該データと当該データに付与するポリシーの識別情報を対応付けて記憶すると共に、当該データが派生データの場合には派生データである旨を識別する情報を記憶するデータ情報記憶手段と、データの識別情報が指定された検索要求に応じて、前記データ情報記憶手段を参照することにより検索要求に識別情報が指定されたデータに対応付けられているポリシーの識別情報を特定すると共に、検索要求対象のデータがオリジナルデータ若しくは派生データのいずれかの種別であるかを特定し、その特定したポリシーの識別情報及び検索要求対象のデータの種別に基づき前記ポリシー情報記憶手段を検索することによって特定したポリシーの設定内容を検索要求元へ返す検索手段と、を有することを特徴とする。
【0008】
また、登録対象となるデータの識別情報及び当該データに対して付与するポリシーの識別情報を含むデータの登録要求を受け付けた場合、その登録要求に含まれているデータの識別情報とポリシーの識別情報を対応付けして前記データ情報記憶手段に登録する第1の登録手段と、登録対象となるデータの識別情報及び当該データの派生元となるデータの識別情報を含むデータの登録要求を受け付けた場合、その登録要求に含まれているデータの識別情報と派生元となるデータの識別情報を対応付けして前記データ情報記憶手段に登録する第2の登録手段と、を有することを特徴とする。
【0009】
また、前記ポリシー情報記憶手段に記憶されたポリシー設定情報には、前記ポリシーの設定内容、前記データ種別情報及び当該データ種別情報が派生データを示す場合には派生回数が対応付けして含まれており、前記検索手段は、検索要求に識別情報が指定されたデータが派生データであると特定した場合、更に前記データ情報記憶手段を参照することにより当該データが生成されるまでに行われた派生の回数を特定し、その特定したポリシーの識別情報、検索要求対象のデータの種別及び派生の回数に基づき前記ポリシー情報記憶手段を検索することによって特定したポリシーの設定内容を検索要求元へ返すことを特徴とする。
【0010】
本発明に係るセキュリティポリシー管理装置は、ポリシーの設定対象となるデータの識別情報と、当該データに付与されたポリシーの識別情報と、当該ポリシーが付与されたデータから派生して派生データが生成される場合に当該派生データに付与するポリシーの識別情報とポリシーの設定内容とを含むポリシー設定情報とを対応付けて記憶するデータ情報記憶手段と、データの識別情報が指定された検索要求に応じて、前記データ情報記憶手段を参照することにより検索要求対象のデータに対応付けられているポリシーの識別情報を特定し、その特定したポリシーの識別情報に基づき前記ポリシー情報記憶手段を検索することによって得たポリシーの設定内容を検索要求元へ返す検索手段と、を有することを特徴とする。
【0011】
また、前記検索手段は、前記特定したポリシーの識別情報に基づき前記ポリシー情報記憶手段を検索することによって得た派生時ポリシー識別情報を検索要求元へ返すことを特徴とする。
【0012】
また、前記ポリシー情報記憶手段に記憶されたポリシー設定情報には、ポリシーの設定により許可されたユーザ操作毎に、当該ユーザ操作によって生成される派生データに付与するポリシーの識別情報が対応付けして含まれていることを特徴とする。
【0013】
また、データの登録要求を受け付けた場合、その登録要求に含まれている登録対象となるデータの識別情報及びポリシーの識別情報、更に当該データの派生元データの識別情報が含まれていた場合にはその派生元データの識別情報、更にユーザ操作内容が含まれていた場合にはその操作内容、を対応付けして前記データ情報記憶手段に登録する登録手段を有することを特徴とする。
【0014】
本発明に係るセキュリティポリシー管理プログラムは、セキュリティポリシーサーバコンピュータを、ポリシーの設定対象となるデータがオリジナルデータか、既存データから派生して生成された派生データかの別を示すデータ種別情報毎にポリシーの設定内容が対応付けされたポリシー設定情報に、当該ポリシーの識別情報を対応付けして記憶するポリシー情報記憶手段、ポリシーの設定対象となるデータの識別情報に、当該データと当該データに付与するポリシーの識別情報を対応付けて記憶すると共に、当該データが派生データの場合には派生データである旨を識別する情報を記憶するデータ情報記憶手段、データの識別情報が指定された検索要求に応じて、前記データ情報記憶手段を参照することにより検索要求に識別情報が指定されたデータに対応付けられているポリシーの識別情報を特定すると共に、検索要求対象のデータがオリジナルデータ若しくは派生データのいずれかの種別であるかを特定し、その特定したポリシーの識別情報及び検索要求対象のデータの種別に基づき前記ポリシー情報記憶手段を検索することによって特定したポリシーの設定内容を検索要求元へ返す検索手段、として機能させる。
【0015】
本発明に係るセキュリティポリシー管理プログラムは、セキュリティポリシーサーバコンピュータを、ポリシーの設定対象となるデータの識別情報と、当該データに付与されたポリシーの識別情報と、当該ポリシーが付与されたデータから派生して派生データが生成される場合に当該派生データに付与するポリシーの識別情報とポリシーの設定内容とを含むポリシー設定情報とを対応付けて記憶するデータ情報記憶手段、データの識別情報が指定された検索要求に応じて、前記データ情報記憶手段を参照することにより検索要求対象のデータに対応付けられているポリシーの識別情報を特定し、その特定したポリシーの識別情報に基づき前記ポリシー情報記憶手段を検索することによって得たポリシーの設定内容を検索要求元へ返す検索手段、として機能させる。
【0016】
本発明に係るセキュリティポリシー管理システムは、セキュリティポリシーサーバコンピュータと、セキュリティポリシーの設定に用いるクライアントコンピュータと、を有し、前記セキュリティポリシーサーバコンピュータは、ポリシーの設定対象となるデータがオリジナルデータか、既存データから派生して生成された派生データかの別を示すデータ種別情報毎にポリシーの設定内容が対応付けされたポリシー設定情報に、当該ポリシーの識別情報を対応付けして記憶するポリシー情報記憶手段と、ポリシーの設定対象となるデータの識別情報に、当該データと当該データに付与するポリシーの識別情報を対応付けて記憶すると共に、当該データが派生データの場合には派生データである旨を識別する情報を記憶するデータ情報記憶手段と、データの識別情報が指定された検索要求に応じて、前記データ情報記憶手段を参照することにより検索要求に識別情報が指定されたデータに対応付けられているポリシーの識別情報を特定すると共に、検索要求対象のデータがオリジナルデータ若しくは派生データのいずれかの種別であるかを特定し、その特定したポリシーの識別情報及び検索要求対象のデータの種別に基づき前記ポリシー情報記憶手段を検索することによって特定したポリシーの設定内容を検索要求元へ返す検索手段と、を有し、前記クライアントコンピュータは、データの識別情報を含む検索要求を前記セキュリティポリシーサーバコンピュータに送信する手段を有することを特徴とする。
【0017】
本発明に係るセキュリティポリシー管理システムは、セキュリティポリシーサーバコンピュータと、セキュリティポリシーの設定に用いるクライアントコンピュータと、を有し、前記セキュリティポリシーサーバコンピュータは、ポリシーの設定対象となるデータの識別情報と、当該データに付与されたポリシーの識別情報と、当該ポリシーが付与されたデータから派生して派生データが生成される場合に当該派生データに付与するポリシーの識別情報とポリシーの設定内容とを含むポリシー設定情報とを対応付けて記憶するデータ情報記憶手段と、データの識別情報が指定された検索要求に応じて、前記データ情報記憶手段を参照することにより検索要求対象のデータに対応付けられているポリシーの識別情報を特定し、その特定したポリシーの識別情報に基づき前記ポリシー情報記憶手段を検索することによって得たポリシーの設定内容を検索要求元へ返す検索手段と、ポリシーの識別情報に、ポリシーの設定内容を含むポリシー設定情報を対応付けして記憶を有し、前記クライアントコンピュータは、データの識別情報を含む検索要求を前記セキュリティポリシーサーバコンピュータに送信する手段を有することを特徴とする。
【発明の効果】
【0018】
請求項1記載の発明によれば、検索要求元においてオリジナルデータから派生した派生データに対してオリジナルデータとは異なるポリシーを設定させることができる。
【0019】
請求項2記載の発明によれば、オリジナルデータと派生データとを区別してデータ管理することができる。
【0020】
請求項3記載の発明によれば、検索要求元において派生データに対しても、派生回数によって異なるポリシーを設定させることができる。
【0021】
請求項4記載の発明によれば、検索要求元において、オリジナルデータから派生した派生データに対してオリジナルデータとは異なるポリシーを設定させることができる。
【0022】
請求項5記載の発明によれば、データ情報記憶手段に記憶された派生元のデータの識別情報を参照することなく検索要求されたデータに付与されたポリシーの識別情報を特定することができる。
【0023】
請求項6記載の発明によれば、ユーザ操作に応じて生成される派生データに対して異なるポリシーを設定させることができる。
【0024】
請求項7記載の発明によれば、オリジナルデータと派生データ、更には派生データが生成されたユーザ操作によってデータを区別して管理することができる。
【0025】
請求項8記載の発明によれば、セキュリティポリシーサーバコンピュータに、検索要求元においてオリジナルデータから派生した派生データに対してオリジナルデータとは異なるポリシーを設定させることができる。
【0026】
請求項9記載の発明によれば、セキュリティポリシーサーバコンピュータに、検索要求元においてオリジナルデータから派生した派生データに対してオリジナルデータとは異なるポリシーを設定させることができる。
【0027】
請求項10記載の発明によれば、クライアントコンピュータにおいてオリジナルデータから派生により生成された派生データに対してオリジナルデータとは異なるポリシーを設定させることができる。
【0028】
請求項11記載の発明によれば、クライアントコンピュータにおいてオリジナルデータから派生により生成された派生データに対してオリジナルデータとは異なるポリシーを設定させることができる。
【発明を実施するための最良の形態】
【0029】
以下、図面に基づいて、本発明の好適な実施の形態について説明する。
【0030】
実施の形態1.
図1は、本発明に係るセキュリティポリシー管理システムの一実施の形態を示した全体構成図である。図1には、ユーザ認証サーバ23、セキュリティポリシーサーバ30、クライアントとなるパーソナルコンピュータ(PC)(以下、「クライアントPC」)50及び複合機40がネットワークの一形態であるLAN(Local Area Network)22に接続された構成が示されている。なお、図1には、クライアントPC50と複合機40をそれぞれ1台ずつ示したが、それぞれ複数台をLAN22に接続するよう構成してもよい。
【0031】
図1において、ユーザ認証サーバ23は、ユーザ認証を一元的に管理するサーバコンピュータである。クライアントPC50などの他の機器上では、ユーザを認証して、機器の利用ができるように制御されるが、その際、このユーザ認証サーバ23に問い合わせる。ユーザ認証サーバ23は、LDAP(Lightweight Directory Access Protocol)サーバ、あるいは、Windows(登録商標) Active Directoryなどのサーバでよい。
【0032】
セキュリティポリシーサーバ30は、ポリシー切替装置として動作しつつ、本システム上で扱われるセキュリティで保護された電子文書及び紙文書(以下、「保護文書」と総称)に対するアクセス権を管理する役割を持つ。更に、それらの保護文書がどのように生成されたのかという派生関係を管理する役割を持つ。
【0033】
クライアントPC50は、セキュリティポリシーサーバ30と通信して、保護されていない文書にセキュリティポリシーを付与することによって保護された電子文書(以下、「保護電子文書」ともいう)を作成する。また、クライアントPC50上では、保護電子文書をセキュリティポリシー上で許可された範囲で、閲覧、印刷、編集などの処理を行う文書アプリケーションが動作する。
【0034】
複合機40は、複数の機能が搭載された画像処理装置の一形態である。本実施の形態における複合機40は、基本機能として、プリンタとコピーの機能を有している。本システムでは、これらの基本機能に加え、コンピュータを内蔵していることからクライアントPC50と同様にクライアントコンピュータとしても動作可能であり、セキュリティポリシーサーバ30と通信することで、ポリシー上許可された範囲で、保護電子文書の印刷、保護された紙文書(以下、「保護紙文書」ともいう)のコピー、スキャン等の機能を提供する。
【0035】
ここで、本実施の形態において取り扱う保護文書について説明する。本実施の形態では、前述したように、セキュリティポリシーが付与され、操作が制限される文書を保護文書と呼ぶことにしている。保護文書は、電子文書、紙文書の2種類ある。いずれの場合も、セキュリティポリシーサーバ30上では、特定のポリシーと対応付けられ、文書の識別情報(文書ID)が付与され管理される。
【0036】
図2は、本実施の形態におけるセキュリティポリシーサーバ30を形成するサーバコンピュータのハードウェア構成図である。本実施の形態におけるセキュリティポリシーサーバ30は、従前から存在する汎用的なハードウェア構成で実現できる。すなわち、コンピュータは、図2に示したようにCPU1、ROM2、RAM3、ハードディスクドライブ(HDD)4を接続したHDDコントローラ5、入力手段として設けられたマウス6とキーボード7、及び表示装置として設けられたディスプレイ8をそれぞれ接続する入出力コントローラ9、通信手段として設けられたネットワークコントローラ10を内部バス11に接続して構成される
【0037】
なお、性能的に差異はあるかもしれないが、ユーザ認証サーバ23及びクライアントPC50もコンピュータで形成されることから、それぞれのハードウェア構成は、図2と同じように図示することができる。
【0038】
図3は、本実施の形態における複合機40のハードウェア構成図である。複合機40は、上記の通りコピー機能、スキャナ機能等各種機能を搭載した複合機であり、コンピュータを内蔵した装置である。図3において、CPU21は、ROM19に格納されたプログラムにしたがってスキャナ14やプリンタエンジン16等複合機40に搭載された各種機構の動作制御を行う。アドレスデータバス12は、CPU21の制御対象となる各種機構と接続してデータの通信を行う。操作パネル13は、ユーザからの指示の受け付け、情報の表示を行う。スキャナ14は、ユーザがセットした原稿を読み取り、電子データとしてHDD15等に蓄積する。HDD15は、スキャナ14を使用して読み取った電子文書などを格納する。親展ボックスもHDD15に設けられる。プリンタエンジン16は、CPU21で実行される制御プログラムからの指示に従い出力用紙上に画像を印字する。ネットワークインタフェース(I/F)17は、LAN22を接続し、複合機40が生成した電子データの送信、複合機40宛に送信されてきた電子メールの受信、またブラウザ経由による複合機40へのアクセスなどに利用される。RAM18は、プログラム実行時のワークメモリや電子データ送受信時の通信バッファとして利用される。ROM19は、複合機40の制御や電子データの暗号、電子データの送受信に関する各種プログラムが格納されている。各種プログラムが実行されることで後述する各構成要素が所定の処理機能を発揮する。外部メディアインタフェース(I/F)20は、USBメモリ、フラッシュメモリ等の外部メモリ機器とのインタフェースである。
【0039】
図4は、本実施の形態におけるセキュリティポリシーサーバ30のブロック構成図である。図4には、セキュリティポリシー登録部31、セキュリティポリシー一覧応答部32、セキュリティポリシー検索部33、セキュリティポリシーデータベース(DB)35及び文書情報データベース(DB)36が示されている。セキュリティポリシー登録部31は、複合機40及びクライアントPC50(以下、「外部機器」と総称)から送られてくる登録要求に応じて、その登録要求に指定されている文書ID、派生元文書ID、ポリシーID、ユーザID等を含むレコードを新規に生成し、文書情報データベース36に登録する第1及び第2の登録手段である。なお、本実施の形態において、文書IDは、外部においても衝突しないように生成される。つまり、UUID(Universally Unique IDentifier)を使用しているので、データベース上に指定された文書IDのデータが存在するかどうかをチェックしなくてもよい。もちろん、チェックするようにしてもよい。
【0040】
本実施の形態において、セキュリティポリシー一覧応答というのは、外部機器が、文書にポリシーを付与する際、どのようなポリシーが付与可能なのかの一覧リストを問い合わせる機能である。セキュリティポリシー一覧応答部32は、この問合せに対してセキュリティポリシーデータベース35に登録されているポリシーデータを検索して、検索条件に合致するポリシーの一覧リストを作成して問合せ元に返す。セキュリティポリシー一覧応答部32は、この問合せ(ポリシー一覧取得要求)に応じてポリシーの一覧リストを返す。なお、外部機器がセキュリティポリシーサーバ30にポリシーを問い合わせる際、ポリシーを付与しようとしているユーザIDを指定するようにしてもよい。この場合は、予め決められた登録可能ユーザリストに、そのユーザが含まれているかどうかをチェックしたり、あるいは、ポリシー毎にそのポリシーの登録を許されているユーザリストを設けて、それをチェックしたりするようにしてもよい。
【0041】
本実施の形態において、セキュリティポリシー検索というのは、外部機器が、ポリシーがすでに設定されている文書に関するセキュリティポリシーの情報を問い合わせる機能である。この際、外部機器は、問い合わせたい文書の文書ID及び問い合わせているユーザのユーザIDを指定して問い合わせることになるが、セキュリティポリシー検索部33は、この問合せ(検索要求)に応じて該当するポリシーを問合せ元に返す。
【0042】
セキュリティポリシー検索部33に含まれる対象文書判定部34は、問い合わせられた文書(対象文書)がオリジナル文書であるか、あるいは派生文書であるかを判定する。
【0043】
セキュリティポリシーサーバ30は、セキュリティポリシー(誰にどういう権利を許可するのか)を管理するデータベースとしてセキュリティポリシーデータベース35を、文書情報(どの文書がどのセキュリティポリシーに割り当てられているのか、いつ誰が作成したのか、など)を管理するデータベースとして文書情報データベースを、それぞれ保持する。以下、図5,6を用いて各データベース35,36の詳細について説明する。
【0044】
図5は、本実施の形態におけるセキュリティポリシーデータベース35のデータ構成例を示した図である。セキュリティポリシーデータベース35には、ポリシーを識別するためのポリシーID及び当該ポリシーの名称に、対象文書毎に設定したポリシー設定情報が対応付けして登録される。対象文書には、ポリシーの設定対象となる文書がオリジナル文書か、あるいはオリジナル文書から派生した派生文書かの別を示す種別情報が設定される。そして、対象文書毎に設定されるポリシー設定情報には、利用範囲、利用範囲毎に設定される有効期間及び許諾機能リストが含まれる。利用範囲は、当該ポリシーの適用者を特定する適用者情報であり、ユーザ認証サーバ23で管理されているユーザグループが設定される。各ユーザグループは少なくとも1人のユーザから構成される。有効期間は、当該ポリシーが付与された文書の有効期間である。有効期間の記述形式は、図5に例示した生成からの経過日数に限らず、有効期間の終期(日時)等種々の方法で設定可能である。許諾機能リストには、利用範囲に含まれる各ユーザに対して許可されている操作が設定される。図5によると、例えばポリシーID“0001”の場合、例えば、ソフトウェア開発部に属していて、文書の作成者ではない人がこのポリシーが付与された保護文書にアクセスすると、その文書が作成されてから180日以内であれば、電子文書の閲覧・印刷及び紙文書のコピーが許可される、ということになる。また、オリジナル文書がコピーされて紙文書が生成された場合、その紙文書はオリジナル文書から派生した派生文書となる。図5によると、派生文書に対してポリシーID“0001”のポリシーが適用される場合、許諾機能リストには、“−”と記述されているので(これは何も権利を有しないということを意味する)、作成者以外のユーザには、何ら権限が付与されていないため、ポリシーID“0001”のポリシーが付与された派生文書に対してコピーやスキャンをしようとしても何もできない、ということを意味する。
【0045】
図6は、本実施の形態における文書情報データベース36のデータ構成例を示した図である。本実施の形態では、ポリシーの設定対象となるデータとして文書を取り扱うことにしているので、データ情報記憶手段として文書情報データベース36を設けている。この文書情報データベース36には、文書の識別子である文書ID(この例の場合は、UUIDで表される)、当該文書の元となった(例えば、印刷元、コピー元など)文書の文書IDが設定される派生元文書ID、当該文書が従っているセキュリティポリシーのポリシーID、文書名、文書のメディアタイプ(紙あるいは電子)、操作したユーザのユーザID、操作した(ポリシーを付与した)日時、対象文書が生成された際に行われた操作、がそれぞれ対応付けして登録される。例えば、図6において3行目の文書(文書IDが“AED6”で始まるレコード)の場合、その文書の派生元の文書は、2行目の文書(文書IDが“4FB6”で始まるレコード)であり、ポリシーIDは、その派生元の文書のポリシーID“0002”である。なお、派生元の文書におけるレコードに派生元文書IDが更に設定されていた場合は、上記と同様、派生元文書をたどっていき、派生元文書IDが設定されてなくポリシーIDが設定されている文書のポリシーIDが、当該文書のポリシーIDとなる。
【0046】
3行目の文書のメディアタイプは紙である。つまり、図5によると、3行目の文書は、ユーザID“fx25615”が割り当てられたユーザが2006年10月3日14時23分に印刷した(派生元の文書を印刷して派生した)ことにより作成された紙文書であることがわかる。なお、このようなポリシー、文書情報のデータベースは既存技術で実現可能であり、文書毎にセキュリティポリシーが付与できるようなものであれば、図6に例示したデータ構成に限定されるものではない。
【0047】
セキュリティポリシーサーバ30における各構成要素31〜34は、セキュリティポリシーサーバ30に搭載されたコンピュータと、コンピュータに搭載されたCPU1で動作するプログラムとの協調動作により実現される。また、各データベース35,36は、コンピュータに搭載されたHDD4にて実現される。
【0048】
図7は、本実施の形態におけるクライアントPC50のブロック構成図である。一般のユーザが使用するクライアントPC50は、所定の文書処理アプリケーションが実行されることによって、電子文書の保護や、保護された電子文書をポリシー上で許可された権利の範囲内での編集や印刷等の動作を行う。クライアントPC50は、アプリケーションを実行するアプリケーション実行部51、保護されていない電子文書を記憶する非保護文書記憶部52及び保護されている電子文書を記憶する保護電子文書記憶部53を有している。アプリケーション実行部51は、セキュリティポリシーサーバ30と通信して、後述する構成要素を含む文書処理アプリケーションを実行することによって、保護されていない電子文書の保護、保護された電子文書の閲覧、編集、印刷等の機能を提供する。
【0049】
すなわち、保護電子文書生成部54は、保護されていない電子文書にポリシーを設定して保護電子文書を生成する。文書ID生成部55は、新たに生成される保護文書に対して割り当てる文書IDを生成する。文書編集部56は、ユーザ操作指示に従い各記憶部52,53から読み出された電子文書、あるいは外部から送られてきた電子文書に編集を施す。文書保持部57は、編集された電子文書を一時保持する。他の構成要素がRAM3にロードされたソフトウェアにより実現されるのに対し、文書保持部57は、RAM3にて実現される。文書表示部58は、閲覧、編集対象の電子文書をディスプレイ8に表示する。ユーザ認証部59は、クライアントPC50の利用開始時にユーザ認証処理を実施する。保護文書印刷部60は、保護文書の印刷を実行する。制御部61は、各構成要素全体の動作制御を行いながら文書処理アプリケーションが持つ機能を提供する。制御部61は、また各記憶部52,53に記憶された電子文書を読み込む文書読込部としても機能する。
【0050】
クライアントPC50における各構成要素54〜56,58〜61は、クライアントPC50を構成するPCと、PCに搭載されたCPU1で動作するプログラムとの協調動作により実現される。また、各記憶部52,53は、クライアントPC50に搭載されたHDD4にて実現される。
【0051】
図8は、本実施の形態における複合機40のブロック構成図である。複合機40は、保護された電子文書の印刷、保護された紙文書のコピー・スキャンを提供する。複合機40は、ユーザ認証部41、保護電子文書生成部42、画像保持部43、保護紙文書生成部44、文書IDエンコード部45、印刷部46、文書IDデコード部47、制御部48及び文書ID生成部49を有している。ユーザ認証部41は、複合機40の利用開始時にユーザ認証処理を実施する。保護電子文書生成部42は、スキャンにより読み取られた保護紙文書にポリシーを設定して保護電子文書を生成する。画像保持部43は、生成された保護電子文書を一時保持する。他の構成要素がRAM3にロードされたソフトウェアにより実現されるのに対し、画像保持部43は、RAM3にて実現される。保護紙文書生成部44は、文書IDエンコード部45及び印刷部46と連携動作し、印刷部46により印刷される保護紙文書を保護電子文書から生成する。文書IDエンコード部45は、保護電子文書に含まれている文書IDデータを用紙上に印刷可能な画像データにエンコードする。印刷部46は、生成された保護紙文書を印刷する。文書IDデコード部47は、スキャナ14により読み取られた保護紙文書の読取画像データをデコードして文書IDを抽出する。文書ID生成部49は、新たに生成される保護文書に対して割り当てる文書IDを生成する。制御部48は、各構成要素の動作制御を行いながらスキャナ14をはじめとするハードウェアと連携動作させ、詳細は後述するように複合機40において新たに生成される保護文書へのポリシーの付与等ポリシーに関連する諸機能を提供する。
【0052】
複合機40における各構成要素41〜42,44〜49は、複合機40に搭載されたコンピュータと、コンピュータに搭載されたCPU21で動作するプログラムとの協調動作により実現される。また、画像保持部43は、RAM18にて実現される。
【0053】
また、本実施の形態で用いるプログラムは、通信手段により提供することはもちろん、CD−ROMやDVD−ROM等のコンピュータ読み取り可能な記録媒体に格納して提供することも可能である。通信手段や記録媒体から提供されたプログラムはコンピュータにインストールされ、コンピュータのCPUがインストールプログラムを順次実行することで各種処理が実現される。
【0054】
図9は、本実施の形態において用いる保護電子文書のデータ構成例を示した図である。保護電子文書は、保護電子文書であることを示すヘッダ(予め決められた長さのバイト列)と、文書ID、暗号化された文書本体からなる。本実施の形態では、保護電子文書は、全ての電子文書に共通な暗号鍵によって暗号化されることを前提としているが、これは一例でありDRM技術のように文書毎に鍵を変えるようにしてもよい。また、文書IDが他の文書の文書IDと入れ替えられたりすることを防ぐため、電子文書全体に電子署名を付与したり、あるいは、HMAC(Keyed−Hashing for Message Authentication Code)などの値を付与したりしてもよい。いずれにしても本システムにおいては、全ての保護文書が識別子で識別され、それがポリシーで管理されているという以上の制約はない。
【0055】
図10,11は、本実施の形態において用いる保護紙文書を用紙に印刷したときの例を示した模式図である。図10は、文書が印刷された用紙の上下(ヘッダとフッタ)部分に、文書IDをバーコードやQRコードなどで代表される特定のコードパターンで印刷する場合の例である。図11は、文書IDを、用紙などの印刷媒体24に文書全体の背景として透かし25により埋め込んだものである。いずれにしろ文書IDを後から読み取れるように何らかの方法で紙自体に印字したものであればよい。
【0056】
次に、本実施の形態における動作について、セキュリティポリシーサーバ30、クライアントPC50、そして複合機40の順に装置単位に説明する。
【0057】
1.セキュリティポリシーサーバ30の動作
セキュリティポリシーサーバ30は、外部機器40,50に対して、セキュリティポリシーの登録、一覧応答、検索の3つの機能を提供する。以下それらの処理手順について説明する。
【0058】
1.1 セキュリティポリシー登録
外部機器から文書ID、派生元文書ID、ポリシーID、文書名、メディアタイプ、この文書の作成操作した者のユーザID、作成操作をした日時のデータのうち登録に必要なデータが指定された登録要求が送られてくることによってセキュリティポリシー登録部31が呼び出されると、セキュリティポリシー登録部31は、そのデータを文書情報データベース36に新規のレコードとして追加する。登録対象の文書が新規に作成されてポリシーが付与される場合、派生元となる文書は存在しないので、登録要求には、派生元文書IDが含まれない状態で送られてくる。一方、文書の操作結果として文書が派生により生成された場合、登録要求には、派生元文書IDが含まれるが、ポリシーIDは含まれない。文書の作成日時(操作日時)が指定されてこなかった場合、セキュリティポリシー登録部31が文書情報データベース36にデータ登録をするときの現在時刻を操作日時に設定してもよい。文書名は任意のパラメータであるため、登録要求に指定されなくてもよい。外部機器から送られてくるセキュリティポリシーの登録要求の例を図12に示す。
【0059】
1.2 セキュリティポリシー一覧応答
セキュリティポリシー一覧応答というのは、前述したように、外部機器が文書にポリシーを付与する際、どのようなポリシーが付与可能なのかの一覧リストを問い合わせる機能である。
【0060】
外部機器からポリシー一覧取得要求が送られてくることによってセキュリティポリシー一覧応答部32が呼び出されると、セキュリティポリシー一覧応答部32は、セキュリティポリシーデータベース35に登録されているポリシーデータが検索され、ポリシーの一覧リストを生成して要求送信元へ返す。仮に一覧リストが生成できなかった場合は、その旨(FALSE)を返すようにしてもよい。
【0061】
なお、外部機器からセキュリティポリシーサーバ30へ問い合わせる際、ユーザは、問合せ条件としてポリシーを付与しようとしているユーザID等を指定して問い合わせることで、その問合せ条件に合致したレコードのみが一覧リストに含まれるように指示することができる。セキュリティポリシー一覧応答部32がポリシー一覧取得要求の送信元へ返す一覧リストの例を図13に示す。
【0062】
1.3 セキュリティポリシー検索
セキュリティポリシー検索というのは、前述したように、外部機器が、ポリシーがすでに設定されている文書に関するセキュリティポリシーの情報を問い合わせる機能である。このセキュリティポリシー検索処理については、図14に示したフローチャートを用いて説明する。
【0063】
外部機器からの検索要求によりセキュリティポリシー検索部33が呼び出されると、セキュリティポリシー検索部33は、まず、検索要求に指定されている文書IDに基づき文書情報データベース36を検索する(ステップ101)。該当するレコードが取得できた場合(ステップ102でY)、そのレコードに含まれているポリシーIDのエントリーをセキュリティポリシーデータベース35から検索する(ステップ103)。ここで、取得したレコードにポリシーIDが設定されていない場合、ポリシーIDを取得できるまでレコードに含まれる派生元文書IDをたどっていく。このようにして、ポリシーIDが取得できると(ステップ104でY)、セキュリティポリシー検索部33に含まれる対象文書判定部34は、文書情報データベース36に登録されている当該文書IDのレコードを参照して、当該文書がオリジナル文書か派生文書かの種別を判定する(ステップ105)。これは、当該文書IDのレコードにポリシーIDが設定されていた場合はオリジナル文書、設定されていない場合は派生文書と判定できる。
【0064】
ステップ103においてセキュリティポリシーデータベース35に登録されている当該文書のポリシーのエントリーが特定できているので、セキュリティポリシー検索部33は、そのエントリーの利用範囲を参照して検索要求に指定されているユーザIDのユーザが所属するユーザグループのみをフィルタリングして抽出する(ステップ106)。このとき、セキュリティポリシー検索部33は、文書種別の判定結果に従い、セキュリティポリシーデータベース35において、オリジナル文書であればオリジナル文書のエントリーを、派生文書であれば派生文書のエントリーを、以降の処理で参照することになる。従って、例えば、検索対象の文書が派生文書である場合であって、図5のポリシーID“0001”において、問い合わせたユーザが作成者でなく、ソフトウェア開発部に属している場合は、派生文書におけるソフトウェア開発部のみを抽出することになる。作成者かどうかは、指定された文書の派生関係を辿ってオリジナル文書を特定し、そのオリジナル文書の文書IDのレコードの操作者IDが検索要求を送信したユーザのユーザIDと一致するかで判断する。なお、ソフトウェア開発部等ユーザがどのユーザグループに所属しているかは、ユーザグループと当該ユーザグループに属するユーザとの対応関係が定義されたユーザ情報データベース(図示せず)を参照することで特定するようにしてもよい。本実施の形態では、このように検索対象となった文書が派生文書であっても、オリジナル文書の作成者を作成者とみなす。もし、何も検索されなかった場合は、空(NULL)を返すことになる。
【0065】
ユーザが所属するユーザグループが抽出できた場合(ステップ107でY)、抽出できた各エントリーにつき有効期限のチェックを行う(ステップ108)。すなわち、抽出した各エントリーの利用範囲の項目に関して、文書IDのエントリーの作成日時から、それぞれ有効期間満了日を生成する。もし、有効期間満了日が現在時刻より前だったら、抽出したエントリーの中から当該エントリーを削除する。エントリーが残った場合において(ステップ109でY)、許可リストを作成する(ステップ110)。1つのエントリーのみが残ればそのエントリーをそのまま許可リストとする。複数のエントリーが残った場合、その残った利用範囲の項目の許諾リストをマージして許可リストを作成する。また、有効期間満了日時は最も長いものを選択する。
【0066】
以上のようにして作成した許可リストを検索結果として、検索要求送信元の外部機器に返す(ステップ111)。以上の処理の結果、検索要求送信元へ返すポリシー検索結果の例を図15に示す。なお、以上の処理において該当するレコード、エントリーが存在しなかった場合(ステップ102でN,ステップ104でN,ステップ107でN,ステップ109でN)、その旨を示すエラー情報を作成して(ステップ112)、検索要求送信元の外部機器に返す(ステップ113)。
【0067】
ところで、図5に示したセキュリティポリシーデータベース35のデータ構成例では、対象文書をオリジナル文書と派生文書の2種類で識別していた。従って、このようなデータ構成を採用すると、派生文書の作成禁止にも容易に対応可能である。また、派生によって生成された文書に対しては、アクセス権を制限したいという場合もある。例えば、人事関係の書類を電子文書で記入して、マネージャが収集するような場合、記入済みの電子文書はマネージャのみが閲覧可能であることがセキュリティ上は望ましい。つまり、オリジナルの電子文書のフォームはグループ全員が編集できるが、編集して保存した結果として生成される派生文書は、グループのマネージャのみが閲覧可能である、というような文書の運用が考えられる。このような場合にも容易に対応可能である。
【0068】
ただ、運用によっては、2回派生した場合(派生文書を派生元文書として更に派生文書を生成する場合)、3回派生した場合などと派生回数によって異なるポリシーを設定したい場合が考えられる。例えば、ある紙文書に対して、1世代だけのコピーは許可したいが、2世代目以降(つまり、コピーのコピー)は許可したくない、というような場合がある。図5に例示したように、対象文書をオリジナル文書と派生文書の2種類で識別するようにデータ構成した場合、派生文書であれば、派生文書の全てに一律の同じポリシーが適用されることになるため、派生回数によって異なるポリシーを設定したい場合に対応できない。従って、このような場合には、対象文書のサブパラメータとして派生回数を設け、文書の派生回数によって異なるポリシーが適用できるように構成してもよい。
【0069】
また、文書からの派生には、1つの文書から複数の文書が派生により生成される場合(1つの文書の複数枚のコピー)、あるいは1つの文書から連鎖的な派生により生成される場合(1つの文書のコピーのコピー)、が考えられるが、このような派生の種類によっても異なるポリシーが適用できるようにしてもよい。なお、派生の深さは、文書情報データベース36のポリシーIDが設定されたレコードにたどりつくまでの派生元文書IDのたどる回数を数えることで容易に求められる。
【0070】
2.クライアントPC50の動作
クライアントPC50は、所定の文書処理アプリケーションが実行されることによって、電子文書の保護や、保護された電子文書をポリシー上で許可された権利の範囲内での編集や印刷等の動作を行う。なお、保護されていない文書の印刷・編集などの処理に関しては従来の技術と同様であるので、説明を省略する。
【0071】
2.1 保護電子文書の生成
この保護電子文書の生成処理については、図16に示したフローチャートを用いて説明する。
【0072】
クライアントPC50を使用しているユーザが、キーボード7等の入力手段を用いて保護されていない電子文書を指定した保護指示要求を入力すると、制御部61は、それを受け付ける(ステップ201)。そして、クライアントPC50にログインしたときに入力したユーザID及びパスワード、あるいは入力要求を別途したことに応じてユーザが入力したユーザID及びパスワードをユーザ認証部59に渡すと、ユーザ認証部59は、その入力された情報が正しいかどうかを外部のユーザ認証サーバ23に問い合わせて確認する(ステップ202)。ユーザ認証に成功すれば(ステップ203でY)、ユーザIDを保持する。失敗した場合は(ステップ203でN)、その旨をディスプレイ8に表示し(ステップ210)、処理を中断する。
【0073】
ユーザ認証成功後、制御部61は、保護されていない電子文書を文書保持部57に登録することで保持させた後、保護電子文書生成部54を呼び出す。保護電子文書生成部54は、ポリシー一覧取得要求をセキュリティポリシーサーバ30へ送信することによりセキュリティポリシーの一覧を取得する(ステップ204)。なお、送信したポリシー一覧取得要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.2 セキュリティポリシー一覧応答」において前述したとおりである。ポリシーの一覧リストが取得できると、制御部61は、文書表示部58に、取得したポリシーの一覧リストをユーザに理解可能な形式で表示させ(例えば、ポリシー名のドロップダウンによるリスト表示等)、これによりユーザに適用したいポリシーを選択させる。ポリシーが選択されると、制御部61は、それを受け付ける(ステップ205)。続いて、保護電子文書生成部54は、文書ID生成部55に文書IDを生成させ(ステップ206)、その文書ID、ポリシーID、ユーザID(操作者ID)、メディアタイプ(ここでは“電子”)、作成日時(現在時刻)、操作(ここでは“作成”)の各パラメータを含む登録要求を生成し、セキュリティポリシーサーバ30へ送信することによって保護電子文書の登録指示を出す(ステップ207)。なお、送信した登録要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.1 セキュリティポリシー登録」において前述したとおりである。
【0074】
ここで、登録指示に応じてセキュリティポリシーサーバ30から返信されてきた処理結果により登録処理が成功した旨を認識すると(ステップ208でY)、制御部61は、保護されていない文書を予め決められた暗号鍵で暗号化し、付与された文書IDを関連付けして、保護電子文書として保護電子文書記憶部53に書込保存する(ステップ209)。
【0075】
なお、認証に失敗した場合(ステップ203でN)、登録処理に失敗した旨がセキュリティポリシーサーバ30から返信されてきた場合(ステップ208でN)、制御部61は、エラー情報をディスプレイ8に表示するなどしてユーザにその旨を知らせる(ステップ210)。
【0076】
2.2 保護電子文書の閲覧
次に、保護電子文書の閲覧処理については、図17に示したフローチャートを用いて説明する。
【0077】
クライアントPC50を使用しているユーザが、保護電子文書の閲覧のためにキーボード7等の入力手段を用いて保護電子文書を指定して文書処理アプリケーションを起動する。このユーザ操作に応じて保護電子文書の閲覧が要求されると、制御部61は、その要求を受け付け(ステップ211)、保護電子文書生成処理と同様にユーザ認証部59にユーザ認証を実行させる(ステップ212)。ユーザ認証成功後(ステップ212でY)、制御部61は、指定された保護電子文書の文書IDを保護電子文書記憶部53から読み取り(ステップ214)、その文書ID及びユーザ認証に用いたユーザIDの各パラメータを含む検索要求を生成し、セキュリティポリシーサーバ30へ送信する(ステップ215)。なお、送信した検索要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.3 セキュリティポリシー検索」において前述したとおりである。
【0078】
ここで、検索要求に応じてセキュリティポリシーサーバ30から検索結果がない旨などのエラー情報が送られてくると(ステップ216でN)、制御部61は、「指定した文書に対するアクセス権がありません」などのエラーメッセージをディスプレイ8に表示して終了する(ステップ221)。一方、セキュリティポリシーサーバ30から検索結果として許可リストが送られてくると(ステップ216でY)、その許可リストを参照し、「電子文書の閲覧」が含まれているもののみにフィルタリングする(ステップ217)。図15の例の場合は、Operationタグ内に“View”が含まれているもののみを抽出する。また、許可リストが許諾機能リストをマージして作成されている場合には、“View”の有無を確認することになる。ここで、“View”が含まれていなければ(ステップ218でN)、当該ユーザには、指定された保護電子文書に対する閲覧権が付与されていないと判断して、「指定した文書の閲覧権はありません」というエラーをディスプレイ8に表示する(ステップ221)。
【0079】
“View”が含まれている場合(ステップ218でY)、制御部61は、続いてフィルタリングにより残った検索結果を参照して、有効期間が満了していないものがあるかどうかをチェックする。なお、セキュリティポリシーサーバ30側で有効期間の満了しているものは返さないようにしているので、この処理は、念のための処理である。有効期間満了前のものが無ければ(ステップ219でN)、「指定した文書の権利は有効期間を過ぎています」というエラーメッセージを表示して終了する(ステップ221)。
【0080】
有効期間満了前のものが存在すれば(ステップ219でY)、閲覧権があるものと判断されるので、制御部61は、予め決められた復号鍵で文書本体を復号し、その結果を文書IDと共に文書保持部57に一時格納し、文書表示部58を呼びだして、文書をディスプレイ8に表示させる(ステップ220)。
【0081】
2.3 保護電子文書の編集
次に、保護電子文書の編集処理については、図18に示したフローチャートを用いて説明する。なお、編集の際には、既に文書が文書処理アプリケーションで開かれていることを仮定している。すなわち、閲覧の処理が行われて文書保持部57に文書がすでに読み込まれている状態から、以下に説明する編集処理が始まるものとする。
【0082】
クライアントPC50で保護電子文書を開いているユーザにより、保護電子文書の編集が要求されると、制御部61は、その要求を受け付ける(ステップ231)。そして、制御部61は、保護電子文書から文書IDを読み取り(ステップ232)、その文書ID及びユーザ認証に用いたユーザIDの各パラメータを含む検索要求を生成し、セキュリティポリシーサーバ30へ送信する(ステップ233)。なお、送信した検索要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.3 セキュリティポリシー検索」において前述したとおりである。
【0083】
ここで、検索要求に応じてセキュリティポリシーサーバ30から検索結果がない旨などのエラー情報が送られてくると(ステップ234でN)、制御部61は、「指定した文書に対するアクセス権がありません」などのエラーメッセージをディスプレイ8に表示して終了する(ステップ239)。一方、セキュリティポリシーサーバ30から検索結果として許可リストが送られてくると(ステップ234でY)、その許可リストを参照し、「電子文書の編集」が含まれているもののみにフィルタリングする(ステップ235)。図15の例の場合は、Operationタグ内に“Edit”が含まれているもののみを抽出する。また、許可リストが許諾機能リストをマージして作成されている場合には、“Edit”の有無を確認することになる。ここで、“Edit”が含まれていなければ(ステップ236でN)、当該ユーザには、指定された保護電子文書に対する編集権が付与されていないと判断して、「指定した文書の編集権はありません」というエラーをディスプレイ8に表示する(ステップ239)。
【0084】
“Edit”が含まれている場合(ステップ236でY)、制御部61は、続いてフィルタリングにより残った検索結果を参照して、有効期間が満了していないものがあるかどうかをチェックする。なお、セキュリティポリシーサーバ30側で有効期間の満了しているものは返さないようにしているので、この処理は、念のための処理である。有効期間満了前のものが無ければ(ステップ237でN)、「指定した文書の権利は有効期間を過ぎています」というエラーメッセージを表示して終了する(ステップ239)。
【0085】
有効期間満了前のものが存在すれば(ステップ237でY)、編集権があるものと判断されるので、制御部61は、文書編集部56を呼び出して、保護電子文書の編集をユーザに許可する(ステップ238)。
【0086】
なお、文書を開く(閲覧する)際に、セキュリティポリシーサーバ30に保護電子文書のポリシーを問い合わせたら、その結果をRAM3上に保持しておくようにしてもよい。こうすれば、ステップ233で許可リストを問い合わせる必要はなく、RAM3に保持しておいたポリシーを参照すればすむ。
【0087】
2.4 保護電子文書の印刷
次に、保護電子文書の印刷処理については、図19に示したフローチャートを用いて説明する。なお、印刷の際には、編集の場合と同様に文書が文書アプリケーションによってすでに開かれていることを仮定している。すなわち、閲覧の処理が行われて文書保持部57に文書がすでに読み込まれている状態から、以下に説明する印刷処理が始まるものとする。
【0088】
クライアントPC50で保護電子文書を開いているユーザにより、保護電子文書の印刷が要求されると、制御部61は、その印刷要求を受け付け(ステップ241)、ユーザにより指定された保護電子文書の印刷指示を保護文書印刷部60に出す(ステップ242)。印刷指示を受けた保護文書印刷部60は、文書保持部57に保持されている保護電子文書を読み出して印刷イメージに変換し、文書ID、ユーザIDと共に、保護電子文書を、ユーザにより指定された複合機40に送信することで印刷を実行させる(ステップ243)。複合機40は、保護電子文書を受け付けることによって印刷を開始することになるが、この処理については、追って説明する。
【0089】
ところで、本実施の形態では、印刷処理の実行可否の権利確認を複合機40側にて行うようにしているので、文書処理アプリケーション側では権利確認処理を行う必要はない。しかし、このようにすると、文書データを複合機40に送ってからでないと、印刷権の有無が確認できないので、クライアントPC50から複合機40へのデータ通信が無駄になる場合が発生しうる。そこで、本実施の形態においては、文書データを送信する前に、送信文書の印刷権があるかどうかを確認するようにしてもよい。この印刷時においてクライアントPC50側において行う権利確認処理を図20に示したフローチャートを用いて説明する。なお、図19と同じ処理には同じステップ番号を付ける。
【0090】
クライアントPC50で保護電子文書を開いているユーザにより、保護電子文書の印刷が要求されると、制御部61は、その印刷要求を受け付ける(ステップ241)。そして、制御部61は、印刷対象の保護電子文書から文書IDを読み取り(ステップ244)、その文書ID及びユーザ認証に用いたユーザIDの各パラメータを含む検索要求を生成し、セキュリティポリシーサーバ30へ送信する(ステップ245)。なお、送信した検索要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.3 セキュリティポリシー検索」において前述したとおりである。
【0091】
ここで、検索要求に応じてセキュリティポリシーサーバ30から検索結果がない旨などのエラー情報が送られてくると(ステップ246でN)、制御部61は、「指定した文書に対する印刷権がありません」などのエラーメッセージをディスプレイ8に表示して終了する(ステップ250)。一方、セキュリティポリシーサーバ30から検索結果として許可リストが送られてくると(ステップ246でY)、その許可リストを参照し、「電子文書の印刷」が含まれているもののみにフィルタリングする(ステップ247)。図15の例の場合は、Operationタグ内に“Print”が含まれているもののみを抽出する。また、許可リストが許諾機能リストをマージして作成されている場合には、“Print”の有無を確認することになる。ここで、“Print”が含まれていなければ(ステップ248でN)、当該ユーザには、指定された保護電子文書に対する印刷権が付与されていないと判断して、「指定した文書の印刷権はありません」というエラーをディスプレイ8に表示する(ステップ250)。
【0092】
“Print”が含まれている場合(ステップ248でY)、制御部61は、続いてフィルタリングにより残った検索結果を参照して、有効期間が満了していないものがあるかどうかをチェックする。なお、セキュリティポリシーサーバ30側で有効期間の満了しているものは返さないようにしているので、この処理は、念のための処理である。有効期間満了前のものが無ければ(ステップ249でN)、「指定した文書の権利は有効期間を過ぎています」というエラーメッセージを表示して終了する(ステップ250)。
【0093】
有効期間満了前のものが存在すれば(ステップ249でY)、印刷権があるものと判断されるので、制御部61は、ユーザにより指定された保護電子文書の印刷指示を保護文書印刷部60に出す(ステップ242)。保護文書印刷部60は、この印刷指示に応じて文書保持部57に保持されている保護電子文書を読み出して印刷イメージに変換し、文書ID、ユーザIDと共に、保護電子文書を、ユーザにより指定された複合機40に送信することで印刷を実行させる(ステップ243)。
【0094】
2.5 保護電子文書の保存
本実施の形態において文書処理アプリケーションが開いている保護電子文書をファイルに保存(上書き、別名など)する際、「一時保存」と「確定保存」という2種類の保存方法をユーザに提供している。
【0095】
「一時保存」は、派生処理を行わない保存方法である。つまり、文書の編集者が、編集を施した文書を、編集前の文書に対する派生文書として管理させずに、施した編集内容を保存したい場合に用いる。本実施の形態では、オリジナル文書及び派生文書に関する情報を、文書情報データベース36を用いることによって当該文書をシステムの管理対象とすることになるが、「一時保存」を選択すると、文書に対して編集した内容をシステムからの管理対象外とし、個人使用の状態のまま保存しておくことができる。従って、一時保存した文書に対するポリシーは、オリジナル文書のポリシーがそのまま引き継がれる。「一時保存」は、例えば、編集中でありまだ完成されていないフォームを内部に一時的に保存する場合などに用いられる。
【0096】
一方、「確定保存」は、編集が施された文書を派生文書として保存する方法である。つまり、保存された文書は、オリジナル文書ではなく、編集前の文書に対する派生文書となる。これにより、確定保存した文書に対するポリシーは、派生文書のポリシーが適用される。「確定保存」は、例えば、フォームが完成したことにより内容を確定させたいために保存する場合などに用いられる。
【0097】
なお、一時保存した文書は、文書処理アプリケーションを用いて開いた後、確定保存すれば、当該文書は、当該文書に関する情報は文書情報データベース36に登録されて、派生文書として管理される。
【0098】
最初に、保護電子文書の一時保存処理について、図21に示したフローチャートを用いて説明する。
【0099】
まず、ユーザが文書処理アプリケーション上で所定の一時保存ボタンをクリック等により選択すると、制御部61は、そのユーザ操作に応じた保存要求を受け付ける(ステップ251)。そして、制御部61は、文書保持部57に保存されている電子文書に文書IDが付与されていたら、保護電子文書であると判断し、予め決められた暗号鍵で文書本体を暗号化し、そして文書IDを付与して、保護電子文書ファイルを保護電子文書記憶部53に保存する(ステップ252)。
【0100】
続いて、保護電子文書の確定保存処理について、図22に示したフローチャートを用いて説明する。確定保存処理では、文書の保存の際に文書を派生させるので、文書ファイルを生成する時に文書IDを付け直してから文書情報データベース36に登録する必要がある。
【0101】
すなわち、ユーザが文書処理アプリケーション上で所定の一時保存ボタンをクリック等により選択すると、制御部61は、そのユーザ操作に応じた保存要求を受け付ける(ステップ261)。そして、制御部61は、文書保持部57に保存されている電子文書に文書IDが付与されていたら、保護電子文書であると判断し、文書ID生成部55に文書IDを生成させ(ステップ262)、元の文書ID(派生元文書ID)、新たに生成した文書ID、ユーザID(操作者ID)、メディアタイプ(ここでは“電子”)、作成日時(現在時刻)、操作(ここでは“編集”)の各パラメータを含む登録要求を生成し、セキュリティポリシーサーバ30へ送信することによって保護電子文書の登録指示を出す(ステップ263)。なお、送信した登録要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.1 セキュリティポリシー登録」において前述したとおりである。また、文書保持部57に保存されている電子文書の文書IDを新たに生成した文書IDで書き換えておく。
【0102】
ここで、登録指示に応じてセキュリティポリシーサーバ30から返信されてきた処理結果により登録処理が成功した旨を認識すると(ステップ264でY)、制御部61は、保護されていない文書を予め決められた暗号鍵で暗号化し、付与された文書IDを関連付けして、保護電子文書として保護電子文書記憶部53に書込保存する(ステップ265)。
【0103】
なお、登録処理に失敗した旨がセキュリティポリシーサーバ30から返信されてきた場合(ステップ264でN)、制御部61は、エラー情報をディスプレイ8に表示するなどしてユーザにその旨を知らせる(ステップ266)。
【0104】
ここで説明した保護電子文書の保存において、文書を保存する操作を、印刷やコピーなどの操作と同様に独立した権限として取り扱うようにしてもよい。この場合、文書処理アプリケーションは、保存処理を実施する前に、編集処理の場合と同様に権利の確認を行うことになる。
【0105】
3.複合機40の動作
複合機40は、保護された電子文書の印刷、保護された紙文書のコピー・スキャンを提供する。なお、ここでは、保護された紙文書以外の通常の紙文書のコピーやスキャンなどについては従来と同じ処理がなされるだけであるので、説明を省略している。
【0106】
3.1 保護電子文書の印刷
この保護電子文書の印刷処理については、図23に示したフローチャートを用いて説明する。
【0107】
「2.4 保護電子文書の印刷」において説明したように、ユーザにより保護電子文書の印刷が要求されると、複合機40には、クライアントPC50から複合機40において印字可能な印刷イメージが文書ID及びユーザIDと共に送られる。制御部48は、印刷要求を受け付けると(ステップ301)、その印刷要求に含まれている文書ID及びユーザIDの各パラメータを含む検索要求を生成し、セキュリティポリシーサーバ30へ送信する(ステップ302)。なお、送信した検索要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.3 セキュリティポリシー検索」において前述したとおりである。
【0108】
ここで、検索要求に応じてセキュリティポリシーサーバ30から検索結果がない旨などのエラー情報が送られてくると(ステップ303でN)、制御部48は、「指定した文書に対する印刷権がありません」などのエラーメッセージを操作パネル13に表示したり、あるいはエラーログをHDD15に記録したりして処理を終了する(ステップ309)。一方、セキュリティポリシーサーバ30から検索結果として許可リストが送られてくると(ステップ303でY)、その許可リストを参照し、「電子文書の印刷」が含まれているもののみにフィルタリングする(ステップ304)。図15の例の場合は、Operationタグ内に“Print”が含まれているもののみを抽出する。また、許可リストが許諾機能リストをマージして作成されている場合には、“Print”の有無を確認することになる。ここで、“Print”が含まれていなければ(ステップ305でN)、当該ユーザには、指定された保護電子文書に対する印刷権が付与されていないと判断して、「指定した文書の印刷権はありません」というエラーを操作パネル13に表示したりする(ステップ351)。
【0109】
“Print”が含まれている場合(ステップ305でY)、制御部48は、続いてフィルタリングにより残った検索結果を参照して、有効期間が満了していないものがあるかどうかをチェックする。なお、セキュリティポリシーサーバ30側で有効期間の満了しているものは返さないようにしているので、この処理は、念のための処理である。有効期間満了前のものが無ければ(ステップ306でN)、「指定した文書の権利は有効期間を過ぎています」というエラーメッセージを表示して終了する(ステップ351)。
【0110】
有効期間満了前のものが存在すれば(ステップ306でY)、印刷権があるものと判断されるので、制御部48は、画像保持部43に印刷イメージと文書ID、ユーザIDを一時格納し、保護紙文書生成部44を呼び出す。保護紙文書生成部44は、文書ID生成部49に文書IDを新たに生成させると、その生成した文書IDをバーコードなどのコードパターンの画像イメージに変換するように文書IDエンコード部45に指示する。そして、保護紙文書生成部44は、その文書IDの画像イメージを、印刷対象の保護電子文書の印刷イメージのヘッダ部及び/又はフッタ部に合成することによって印刷する合成画像を生成する(ステップ307)。そして、印刷部46は、生成された合成画像を印刷する(ステップ308)。このようにして保護電子文書が印刷されたときの用紙の模式図は、図10に示されている。もちろん、文書IDを透かしとして生成し、図11に例示したように印刷してもよい。
【0111】
続いて、制御部48は、元の文書ID(派生元文書ID)、新たに生成された文書ID、ユーザID(操作者ID)、メディアタイプ(ここでは“紙”)、作成日時(現在時刻)、操作(ここでは“印刷”)の各パラメータを含む登録要求を生成し、セキュリティポリシーサーバ30へ送信することによって保護電子文書の登録指示を出す(ステップ309)。なお、送信した登録要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.1 セキュリティポリシー登録」において前述したとおりである。
【0112】
ここで、登録指示に応じてセキュリティポリシーサーバ30から返信されてきた処理結果により登録処理が成功した旨を認識することによって(ステップ310でY)、処理の正常終了を確認する。一方、登録処理に失敗した旨がセキュリティポリシーサーバ30から返信されてきた場合(ステップ310でN)、制御部48は、エラー情報を操作パネル13に表示したり、エラーログをHDD15に記録したりして処理を終了する(ステップ351)。
【0113】
3.2 保護紙文書のコピー
この保護電子文書のコピー処理については、図24に示したフローチャートを用いて説明する。
【0114】
ユーザが複合機40のプラテン、あるいはADF(Auto Document Feeder)上に保護紙文書を置き、操作パネル13に表示された「保護文書のコピー」のボタンを押す。ユーザによる押下操作によりコピー指示を受け付けると(ステップ311)、制御部48は、操作パネル13にユーザ認証ダイアログを表示し、ユーザにユーザIDとパスワードの入力を求める。ユーザが入力すると、その入力されたユーザID及びパスワードをユーザ認証部41に渡す。そして、ユーザ認証部41は、その入力された情報が正しいかどうかを外部のユーザ認証サーバ23に問い合わせて確認する(ステップ312)。ユーザ認証に成功すれば(ステップ313でY)、ユーザIDを保持する。失敗した場合は(ステップ313でN)、その旨を操作パネル13に表示して(ステップ326)、処理を中断する。
【0115】
ユーザ認証成功後、制御部48は、保護紙文書をスキャンして画像を読み込み(ステップ314)、その画像イメージのヘッダおよびフッタ部の画像イメージを文書IDデコード部47にデコードさせることによって文書IDを取得する(ステップ315)。なお、文書IDが透かしにより保護紙文書に組み込まれている場合には、透かしをデコードすることになる。文書IDのデコードに失敗して取得できなかった場合は(ステップ316でN)、その旨を操作パネル13に表示し(ステップ326)、処理を中断する。
【0116】
文書IDのデコードに成功した場合(ステップ316でY)、制御部48は、そのデコードした文書ID及びユーザ認証に用いたユーザIDの各パラメータを含む検索要求を生成し、セキュリティポリシーサーバ30へ送信する(ステップ317)。なお、送信した検索要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.3 セキュリティポリシー検索」において前述したとおりである。
【0117】
ここで、検索要求に応じてセキュリティポリシーサーバ30から検索結果がない旨などのエラー情報が送られてくると(ステップ318でN)、制御部48は、「コピー権がありません」などのエラーメッセージを操作パネル13に表示して終了する(ステップ326)。一方、セキュリティポリシーサーバ30から検索結果として許可リストが送られてくると(ステップ318でY)、その許可リストを参照し、「紙文書のコピー」が含まれているもののみにフィルタリングする(ステップ319)。図15の例の場合は、Operationタグ内に“Copy”が含まれているもののみを抽出する。また、許可リストが許諾機能リストをマージして作成されている場合には、“Copy”の有無を確認することになる。ここで、“Copy”が含まれていなければ(ステップ320でN)、当該ユーザには、指定された保護電子文書に対するコピー権が付与されていないと判断して、「コピー権はありません」というエラーを操作パネル13に表示して終了する(ステップ326)。
【0118】
“Copy”が含まれている場合(ステップ320でY)、制御部48は、続いてフィルタリングにより残った検索結果を参照して、有効期間が満了していないものがあるかどうかをチェックする。なお、セキュリティポリシーサーバ30側で有効期間の満了しているものは返さないようにしているので、この処理は、念のための処理である。有効期間満了前のものが無ければ(ステップ321でN)、「権利は有効期間を過ぎています」というエラーメッセージを表示して終了する(ステップ326)。
【0119】
有効期間満了前のものが存在すれば(ステップ321でY)、コピー権があるものと判断されるので、制御部48は、画像保持部43に印刷イメージと文書ID、ユーザIDを一時格納し、保護紙文書生成部44を呼び出す。保護紙文書生成部44は、文書ID生成部49に文書IDを新たに生成させると、その生成した文書IDをバーコードなどのコードパターンの画像イメージに変換するように文書IDエンコード部45に指示する。そして、保護紙文書生成部44は、その文書IDの画像を、印刷対象の保護電子文書の印刷画像のヘッダ部及び/又はフッタ部に合成することによって印刷する合成画像を生成する(ステップ322)。そして、印刷部46は、生成された合成画像を印刷する(ステップ323)。このようにして保護電子文書が印刷されたときの用紙の模式図は、図10に示されている。もちろん、コピー対象の保護紙文書に文書IDが透かしとして形成されている場合は、図11に例示したように文書IDを透かし25として印刷する。このようにして、保護紙文書がコピーされる。本実施の形態では、特に文書IDの読取画像をそのままコピー印刷するのではなく、いったんデコードし、そしてコピー印刷時に再度エンコードするようにしたので、紙文書に印刷した文書IDデータは劣化しない。
【0120】
続いて、制御部48は、元の文書ID(派生元文書ID)、新たに生成された文書ID、ユーザID(操作者ID)、メディアタイプ(ここでは“紙”)、作成日時(現在時刻)、操作(ここでは“コピー”)の各パラメータを含む登録要求を生成し、セキュリティポリシーサーバ30へ送信することによって保護電子文書の登録指示を出す(ステップ324)。なお、送信した登録要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.1 セキュリティポリシー登録」において前述したとおりである。
【0121】
ここで、登録指示に応じてセキュリティポリシーサーバ30から返信されてきた処理結果により登録処理が成功した旨を認識することによって(ステップ325でY)、処理の正常終了を確認する。一方、登録処理に失敗した旨がセキュリティポリシーサーバ30から返信されてきた場合(ステップ325でN)、制御部48は、エラー情報を操作パネル13に表示したり、エラーログをHDD15に記録したりして処理を終了する(ステップ326)。
【0122】
3.3 保護紙文書のスキャン
保護紙文書をスキャンすると、紙文書のイメージが電子化されることになるが、スキャン処理では、そのイメージを保護電子文書として生成する必要がある。保護紙文書のコピー処理においては、印刷媒体に印刷を行うことになるが、この保護電子文書のスキャン処理は、印刷媒体に印刷を行う代わりに電子データをいずれかの記憶手段に保存することになること以外は、基本的な処理内容は共通である。この保護電子文書のスキャン処理については、図25に示したフローチャートを用いて説明する。
【0123】
ユーザが複合機40のプラテン、あるいはADF上に保護紙文書を置き、操作パネル13に表示された「保護文書のスキャン」のボタンを押す。ユーザによる押下操作によりスキャン指示を受け付けると(ステップ331)、制御部48は、操作パネル13にユーザ認証ダイアログを表示し、ユーザにユーザIDとパスワードの入力を求める。ユーザが入力すると、その入力されたユーザID及びパスワードをユーザ認証部41に渡す。そして、ユーザ認証部41は、その入力された情報が正しいかどうかを外部のユーザ認証サーバ23に問い合わせて確認する(ステップ332)。ユーザ認証に成功すれば(ステップ333でY)、ユーザIDを保持する。失敗した場合は(ステップ333でN)、その旨を操作パネル13に表示して(ステップ346)、処理を中断する。
【0124】
ユーザ認証成功後、制御部48は、保護紙文書をスキャンして画像を読み込み(ステップ334)、その画像イメージのヘッダおよびフッタ部の画像イメージを文書IDデコード部47にデコードさせることによって文書IDを取得する(ステップ335)。なお、文書IDが透かしにより保護紙文書に組み込まれている場合には、透かしをデコードすることになる。文書IDのデコードに失敗して取得できなかった場合は(ステップ336でN)、その旨を操作パネル13に表示し(ステップ346)、処理を中断する。
【0125】
文書IDのデコードに成功した場合(ステップ336でY)、制御部48は、そのデコードした文書ID及びユーザ認証に用いたユーザIDの各パラメータを含む検索要求を生成し、セキュリティポリシーサーバ30へ送信する(ステップ337)。なお、送信した検索要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.3 セキュリティポリシー検索」において前述したとおりである。
【0126】
ここで、検索要求に応じてセキュリティポリシーサーバ30から検索結果がない旨などのエラー情報が送られてくると(ステップ338でN)、制御部48は、「スキャン権がありません」などのエラーメッセージを操作パネル13に表示して終了する(ステップ346)。一方、セキュリティポリシーサーバ30から検索結果として許可リストが送られてくると(ステップ338でY)、その許可リストを参照し、「紙文書のスキャン」が含まれているもののみにフィルタリングする(ステップ339)。図15の例には含まれていないが、Operationタグ内に“Scan”が含まれていれば、その含まれているもののみを抽出する。また、許可リストが許諾機能リストをマージして作成されている場合には、“Scan”の有無を確認することになる。ここで、“Scan”が含まれていなければ(ステップ340でN)、当該ユーザには、指定された保護電子文書に対するスキャン権が付与されていないと判断して、「スキャン権はありません」というエラーを操作パネル13に表示して終了する(ステップ346)。
【0127】
“Scan”が含まれている場合(ステップ340でY)、制御部48は、続いてフィルタリングにより残った検索結果を参照して、有効期間が満了していないものがあるかどうかをチェックする。なお、セキュリティポリシーサーバ30側で有効期間の満了しているものは返さないようにしているので、この処理は、念のための処理である。有効期間満了前のものが無ければ(ステップ341でN)、「権利は有効期間を過ぎています」というエラーメッセージを表示して終了する(ステップ346)。
【0128】
有効期間満了前のものが存在すれば(ステップ341でY)、スキャン権があるものと判断されるので、制御部48は、画像保持部43に読取画像と文書ID、ユーザIDを一時格納し、保護電子文書生成部42を呼び出す。保護電子文書生成部42は、文書ID生成部49に文書IDを新たに生成させると、画像保持部43に格納した保護紙文書の画像イメージから文書ID画像を削除した後、予め決められた暗号鍵で暗号化し、その暗号化した電子文書画像のヘッダ部及び/又はフッタ部に、生成された文書IDを合成することによって保存対象の保護電子文書を生成する(ステップ342)。そして、複合機40のユーザがアクセス可能な場所、例えば当該ユーザの親展ボックスなどに格納する(ステップ343)。保護紙文書のスキャン処理においても、コピー処理と同様、文書IDの読取画像をそのまま保存対象とするのではなく、いったんデコードし、そして再度エンコードするようにしたので、紙文書に印刷した文書IDデータは劣化しない。なお、保護電子文書生成部42における詳細な処理は、基本的にクライアントPC50における保護電子文書生成部54の処理と同じである。このため、図8では、保護電子文書生成処理に関連する構成要素を省略している。
【0129】
続いて、制御部48は、元の文書ID(派生元文書ID)、新たに生成された文書ID、ユーザID(操作者ID)、メディアタイプ(ここでは“紙”)、作成日時(現在時刻)、操作(ここでは“スキャン”)の各パラメータを含む登録要求を生成し、セキュリティポリシーサーバ30へ送信することによって保護電子文書の登録指示を出す(ステップ344)。なお、送信した登録要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.1 セキュリティポリシー登録」において前述したとおりである。
【0130】
ここで、登録指示に応じてセキュリティポリシーサーバ30から返信されてきた処理結果により登録処理が成功した旨を認識することによって(ステップ345でY)、処理の正常終了を確認する。一方、登録処理に失敗した旨がセキュリティポリシーサーバ30から返信されてきた場合(ステップ345でN)、制御部48は、エラー情報を操作パネル13に表示したり、エラーログをHDD15に記録したりして処理を終了する(ステップ346)。
【0131】
実施の形態2.
実施の形態1においては、図5に示したセキュリティポリシーデータベース35のデータ構成を参照すれば明らかなように、派生した時に適用されるポリシーの定義を、1つのポリシーIDが割り振られる1つのポリシー定義の中にすべて(オリジナル文書用と派生文書用)記述するようにしていた。このようにポリシーを定義すると、セキュリティポリシーサーバ30におけるセキュリティポリシー検索部33は、指定された文書がオリジナル文書なのか派生文書なのか、また、派生文書なら何回派生したのか、更にはどのような操作によって派生したのか、ということなどを、文書情報データベース36を検索しながら認識した後、設定されたポリシーのうちどの部分の権利を適用するかを特定する必要があった。そこで、本実施の形態においては、ポリシーの定義における派生文書のポリシーは、オリジナル文書とは別のポリシーとして定義し、文書が派生により生成されるときに付与されるポリシーIDを指定する。
【0132】
このようにすると、クライアントPC50側では、文書が派生により生成されたときにクライアントPC50側で登録するポリシーのIDを、派生する毎に変える必要が生じてくるが、セキュリティポリシーサーバ30では、文書に適用するポリシーの検索時に、対象となる文書がオリジナル文書か派生文書かという文書種別、更に派生の回数、操作内容などを参照する必要がないので、ポリシー検索処理を単純に行うことができるようになる。
【0133】
図26は、本実施の形態におけるセキュリティポリシーサーバ30のブロック構成図である。実施の形態1とは、セキュリティポリシー検索部33の構成が異なる。すなわち、実施の形態1で行っていた対象文書がオリジナル文書か派生文書かという文書種別の判定が不要になるので、対象文書判定部が不要となる。但し、セキュリティポリシーデータベース35のデータ構成が実施の形態1と異なるので、セキュリティポリシー検索部33の処理内容は、一部異なってくる。
【0134】
図27は、本実施の形態におけるセキュリティポリシーデータベース35のデータ構成例を示した図である。実施の形態1で用いたデータ構成と比較すると、各ポリシーは、対象文書毎にポリシーは規定されないので「対象文書」のデータ項目はなくなっている。その代り、「派生時ポリシーID」いうデータ項目が追加されている。「派生時ポリシーID」には、文書が派生により生成された場合、その派生文書に指定すべきポリシーIDが設定される。図27に示した設定例によると、例えば、ポリシーID“0001”のポリシーが適用されたオリジナル文書あるいは派生文書を、ソフトウェア開発部に属するユーザがコピーすると、コピーにより新たに生成された紙文書には、ポリシーID“0002”のポリシーが適用されることになる。
【0135】
図28は、本実施の形態におけるセキュリティポリシーデータベース35の他のデータ構成例を示した図である。図28に例示したデータ構成のように、派生により生成される文書に付与するポリシーを、行われる操作毎に細かく指定できるようにしてもよい。
【0136】
図29は、本実施の形態における文書情報データベース36のデータ構成例を示した図である。実施の形態1と異なるのは、派生した文書に対してもポリシーIDが設定されていることである。従って、当該文書がオリジナル文書か派生文書かの別は、派生元文書IDにデータが設定されているか否かによって判断する。
【0137】
次に、本実施の形態における処理について説明するが、ここでは、実施の形態1と異なる処理についてのみ説明する。なお、以降の説明で用いるフローチャートにおいて、実施の形態1と同じ処理には、同じステップ番号を付ける。
【0138】
1.セキュリティポリシーサーバ30の動作
セキュリティポリシーサーバ30は、外部機器40,50に対して、セキュリティポリシーの登録、一覧応答、検索の3つの機能を提供するが、本実施の形態では、検索の機能のみが実施の形態1と異なる。
【0139】
1.1 セキュリティポリシー検索
本実施の形態におけるセキュリティポリシー検索処理については、図30に示したフローチャートを用いて説明する。
【0140】
外部機器からの検索要求によりセキュリティポリシー検索部33が呼び出されると、セキュリティポリシー検索部33は、まず、検索要求に指定されている文書IDに基づき文書情報データベース36を検索する(ステップ101)。該当するレコードが取得できた場合(ステップ102でY)、そのレコードに含まれているポリシーIDのエントリーをセキュリティポリシーデータベース35から検索する(ステップ103)。エントリーが取得できた場合(ステップ104でY)、セキュリティポリシー検索部33は、そのエントリーの利用範囲を参照して検索要求に指定されているユーザIDのユーザが所属するユーザグループのみをフィルタリングして抽出する(ステップ106)。例えば、図27のポリシーID“0001”において、問い合わせたユーザが作成者でなく、ソフトウェア開発部に属している場合は、派生文書におけるソフトウェア開発部のみを抽出することになる。作成者かどうかは、指定された文書の派生関係を辿ってオリジナル文書を特定し、そのオリジナル文書の文書IDのレコードの操作者IDが検索要求を送信したユーザのユーザIDと一致するかで判断する。本実施の形態では、このように検索対象となった文書が派生文書であっても、オリジナル文書の作成者を作成者とみなす。もし、何も検索されなかった場合は、空(NULL)を返すことになる。
【0141】
なお、ソフトウェア開発部等ユーザがどのユーザグループに所属しているかは、ユーザグループと当該ユーザグループに属するユーザとの対応関係が定義されたユーザ情報データベース(図示せず)を参照することで特定するようにしてもよい。また、本実施の形態におけるセキュリティポリシーデータベース35には、実施の形態1と同様に、当該ポリシーの適用者を特定する適用者情報として利用範囲が設定されるが、仮に利用範囲に項目を設定しない場合、つまり全ユーザ共通にポリシーを設定する場合は、ポリシーIDには、1エントリーのみが対応付けられることになるため、ステップ103においてエントリーを検索する必要がなくなる。
【0142】
ユーザが所属するユーザグループが抽出できた場合(ステップ107でY)、抽出できた各エントリーにつき有効期限のチェックを行う(ステップ108)。すなわち、抽出した各エントリーの利用範囲の項目に関して、文書IDのエントリーの作成日時から、それぞれ有効期間満了日を生成する。もし、有効期間満了日が現在時刻より前だったら、抽出したエントリーの中から当該エントリーを削除する。エントリーが残った場合において(ステップ109でY)、許可リストを作成する(ステップ110)。1つのエントリーのみが残ればそのエントリーをそのまま許可リストとする。複数のエントリーが残った場合、その残った利用範囲の項目の許諾リストをマージして許可リストを作成する。また、有効期間満了日時は最も長いものを選択する。
【0143】
以上のようにして作成した許可リストを検索結果として、検索要求送信元の外部機器に返す(ステップ111)。以上の処理において該当するレコード、エントリーが存在しなかった場合(ステップ102でN,ステップ104でN,ステップ107でN,ステップ109でN)、その旨を示すエラー情報を作成して(ステップ112)、検索要求送信元の外部機器に返す(ステップ113)。
【0144】
以上の処理の結果、検索要求送信元へ返すポリシー検索結果の例を図31に示す。図31と、対応する実施の形態1の図15とを比較すれば明らかなように、本実施の形態では、検索結果の中に派生時のポリシーID(図31では“0002”)が追加されている。
【0145】
また、本実施の形態において用いるセキュリティポリシーデータベース35が図28に示したように操作毎にポリシーが設定できるように構成されている場合のポリシー検索結果の例を図32に示す。
【0146】
2.クライアントPC50の動作
本実施の形態におけるクライアントPC50の構成は、実施の形態1と同じでよい。厳密には、保護電子文書生成部54の処理内容、具体的には文書が派生した場合に実施される処理が異なってくるのみである。クライアントPC50において、文書が派生するのは、電子文書の保存処理が実施されるときのみである。
【0147】
2.1 保護電子文書の保存
保護電子文書の保存処理においては、保存対象の文書ファイルが生成されたときに、その文書に対して文書IDを付け直し、その文書の関連する情報をセキュリティポリシーサーバ50に登録するが、その際、派生文書のポリシーに、セキュリティポリシーデータベース35に登録されている当該ポリシーに指定された派生時ポリシーIDを設定することである。本実施の形態における保存処理のフローチャートは、実施の形態1における保護電子文書の確定保存処理のフローチャート(図22)と同様に表すことができるので図22を流用する。
【0148】
ユーザが文書処理アプリケーション上で所定の保存ボタンをクリック等により選択すると、制御部61は、そのユーザ操作に応じた保存要求を受け付ける(ステップ261)。そして、制御部61は、文書保持部57に保存されている電子文書に文書IDが付与されていたら、保護電子文書であると判断し、文書ID生成部55に文書IDを生成させ(ステップ262)、元の文書ID(派生元文書ID)、新たに生成した文書ID、ユーザID(操作者ID)、メディアタイプ(ここでは“電子”)、作成日時(現在時刻)、操作(ここでは“編集”)に加えて派生時ポリシーIDの各パラメータを含む登録要求を生成し、セキュリティポリシーサーバ30へ送信することによって保護電子文書の登録指示を出す(ステップ263)。なお、送信した登録要求に応じてセキュリティポリシーサーバ30側において実行される処理については、実施の形態1の「1.1 セキュリティポリシー登録」において前述したとおりである。また、派生時ポリシーIDは、文書処理アプリケーションを用いて対象文書を開いたときに、ポリシー検索を行って得られた結果をRAM18上に保存しておき、その中で指定されているものを用いるようにしてもよい。また、文書保持部57に保存されている電子文書の文書IDを新たに生成した文書IDで書き換えておく。
【0149】
ここで、登録指示に応じてセキュリティポリシーサーバ30から返信されてきた処理結果により登録処理が成功した旨を認識すると(ステップ264でY)、制御部61は、保護されていない文書を予め決められた暗号鍵で暗号化し、付与された文書IDを関連付けして、保護電子文書として保護電子文書記憶部53に書込保存する(ステップ265)。
【0150】
なお、登録処理に失敗した旨がセキュリティポリシーサーバ30から返信されてきた場合(ステップ264でN)、制御部61は、エラー情報をディスプレイ8に表示するなどしてユーザにその旨を知らせる(ステップ266)。
【0151】
ここで説明した保護電子文書の保存において、文書を保存する操作を、印刷やコピーなどの操作と同様に独立した権限として取り扱うようにしてもよい。この場合、文書処理アプリケーションは、保存処理を実施する前に、編集処理の場合と同様に権利の確認を行うことになる。
【0152】
3.複合機40の動作
複合機40においては、保護文書に対する印刷、コピー、スキャンのいずれの処理でも派生文書の生成が行われる。実施の形態1と異なるのは、派生文書を登録する際、派生文書のポリシーに、セキュリティポリシーデータベース35に登録されている当該ポリシーに指定された派生時ポリシーIDを設定することである。
【0153】
3.1 保護電子文書の印刷
本実施の形態における印刷処理は、実施の形態1に示したフローチャート(図23)と同様に表すことができるので、このフローチャートを流用する。本実施の形態は、図23におけるステップ309の処理が異なるのみであり、これ以外の処理については説明を省略する。
【0154】
ステップ309において、制御部48は、元の文書ID(派生元文書ID)、新たに生成された文書ID、操作(ここでは“印刷”)に加えて派生時ポリシーIDの各パラメータを含む登録要求を生成し、セキュリティポリシーサーバ30へ送信することによって保護電子文書の登録指示を出す。なお、派生時ポリシーIDは、検索要求に応じてセキュリティポリシーサーバ30から送られてきた許可リストに含まれている。
【0155】
3.2 保護紙文書のコピー
本実施の形態におけるコピー処理は、実施の形態1に示したフローチャート(図24)と同様に表すことができるので、このフローチャートを流用する。本実施の形態は、図24におけるステップ324の処理が異なるのみであり、これ以外の処理については説明を省略する。
【0156】
ステップ324において、制御部48は、元の文書ID(派生元文書ID)、新たに生成された文書ID、ユーザID(操作者ID)、メディアタイプ(ここでは“紙”)、作成日時(現在時刻)、操作(ここでは“コピー”)に加えて派生時ポリシーIDの各パラメータを含む登録要求を生成し、セキュリティポリシーサーバ30へ送信することによって保護電子文書の登録指示を出す。なお、派生時ポリシーIDは、検索要求に応じてセキュリティポリシーサーバ30から送られてきた許可リストに含まれている。
【0157】
3.3 保護紙文書のスキャン
本実施の形態におけるスキャン処理は、実施の形態1に示したフローチャート(図25)と同様に表すことができるので、このフローチャートを流用する。本実施の形態は、図25におけるステップ344の処理が異なるのみであり、これ以外の処理については説明を省略する。
【0158】
ステップ344において、制御部48は、元の文書ID(派生元文書ID)、新たに生成された文書ID、ユーザID(操作者ID)、メディアタイプ(ここでは“紙”)、作成日時(現在時刻)、操作(ここでは“スキャン”)に加えて派生時ポリシーIDの各パラメータを含む登録要求を生成し、セキュリティポリシーサーバ30へ送信することによって保護電子文書の登録指示を出す。なお、派生時ポリシーIDは、検索要求に応じてセキュリティポリシーサーバ30から送られてきた許可リストに含まれている。
【図面の簡単な説明】
【0159】
【図1】本発明に係るポリシー管理システムの一実施の形態を示した全体構成図である。
【図2】実施の形態1におけるセキュリティポリシーサーバを形成するサーバコンピュータのハードウェア構成図である。
【図3】実施の形態1における複合機のハードウェア構成図である。
【図4】実施の形態1におけるセキュリティポリシーサーバのブロック構成図である。
【図5】実施の形態1におけるセキュリティポリシーデータベースのデータ構成例を示した図である。
【図6】実施の形態1における文書情報データベースのデータ構成例を示した図である。
【図7】実施の形態1におけるクライアントPCのブロック構成図である。
【図8】実施の形態1における複合機のブロック構成図である。
【図9】実施の形態1において用いる保護電子文書のデータ構成例を示した図である。
【図10】実施の形態1において用いる保護紙文書を用紙に印刷したときの例を示した模式図である。
【図11】実施の形態1において用いる保護紙文書を用紙に印刷したときの他の例を示した模式図である。
【図12】実施の形態1において外部機器から送られてくるセキュリティポリシーの登録要求の例を示した図である。
【図13】実施の形態1におけるセキュリティポリシーサーバが生成するポリシー一覧リストの例を示した図である。
【図14】実施の形態1におけるセキュリティポリシー検索処理を示したフローチャートである。
【図15】実施の形態1におけるセキュリティポリシー検索処理により得られた検索結果の例を示した図である。
【図16】実施の形態1のクライアントPCにおける保護電子文書の生成処理を示したフローチャートである。
【図17】実施の形態1のクライアントPCにおける保護電子文書の閲覧処理を示したフローチャートである。
【図18】実施の形態1のクライアントPCにおける保護電子文書の編集処理を示したフローチャートである。
【図19】実施の形態1のクライアントPCにおける保護電子文書の印刷処理を示したフローチャートである。
【図20】実施の形態1のクライアントPCにおいて権利確認を行う場合の保護電子文書の印刷処理を示したフローチャートである。
【図21】実施の形態1のクライアントPCにおける保護電子文書の一時保存処理を示したフローチャートである。
【図22】実施の形態1のクライアントPCにおける保護電子文書の確定保存処理を示したフローチャートである。
【図23】実施の形態1の複合機における保護電子文書の印刷処理を示したフローチャートである。
【図24】実施の形態1の複合機における保護紙文書のコピー処理を示したフローチャートである。
【図25】実施の形態1の複合機における保護紙文書のスキャン処理を示したフローチャートである。
【図26】実施の形態2におけるセキュリティポリシーサーバのブロック構成図である。
【図27】実施の形態2におけるセキュリティポリシーデータベースのデータ構成例を示した図である。
【図28】実施の形態2におけるセキュリティポリシーデータベースの他のデータ構成例を示した図である。
【図29】実施の形態2における文書情報データベースのデータ構成例を示した図である。
【図30】実施の形態2におけるセキュリティポリシー検索処理を示したフローチャートである。
【図31】実施の形態2において図27に示したセキュリティポリシーデータベースを利用した場合にセキュリティポリシー検索処理により得られた検索結果の例を示した図である。
【図32】実施の形態2において図28に示したセキュリティポリシーデータベースを利用した場合にセキュリティポリシー検索処理により得られた検索結果の例を示した図である。
【符号の説明】
【0160】
1,21 CPU、2,19 ROM、3,18 RAM、4,15 ハードディスクドライブ(HDD)、5 HDDコントローラ、6 マウス、7 キーボード、8 ディスプレイ、9 入出力コントローラ、10 ネットワークコントローラ、11 内部バス、12 アドレスデータバス、13 操作パネル、14 スキャナ、16 プリンタエンジン、17 ネットワークインタフェース(I/F)、20 外部メディアインタフェース(I/F)、22 LAN、23 ユーザ認証サーバ、30 セキュリティポリシーサーバ、31 セキュリティポリシー登録部、32 セキュリティポリシー一覧応答部、33 セキュリティポリシー検索部、34 対象文書判定部、35 セキュリティポリシーデータベース、36 文書情報データベース、40 複合機、41,59 ユーザ認証部、42,54 保護電子文書生成部、43 画像保持部、44 保護紙文書生成部、45 エンコード部、46 印刷部、47 デコード部、48,61 制御部、49,55 文書ID生成部、50 クライアントPC、51 アプリケーション実行部、52 非保護文書記憶部、53 保護電子文書記憶部、56 文書編集部、57 文書保持部、58 文書表示部、60 保護文書印刷部。
【技術分野】
【0001】
本発明は、セキュリティポリシー管理装置、セキュリティポリシー管理システム及びセキュリティポリシー管理プログラムに関する。
【背景技術】
【0002】
現在、情報セキュリティに関する基本方針、すなわちセキュリティポリシー(以下、単に「ポリシー」とも言う)を策定し、そのセキュリティポリシーに従って電子文書や紙文書を管理している企業が少なくない。
【0003】
このようなポリシーが設定されている電子文書あるいは紙文書に対し、印刷やスキャンなどの操作が行われることに伴い別の紙文書あるいは電子文書が新規に生成される場合、新規に作成された文書に文書IDを新規に割り当てると共に、操作対象となった派生元の文書の文書IDを合わせて記録する。これにより、派生により新たに生成された文書(以下、「派生文書」)がどのように生成(派生)されたのかの履歴を辿ることのできる技術が提案されている(例えば、特許文献1)。なお、文書プロファイルには、その文書のセキュリティ情報(機密度など)も合わせて記録される。
【0004】
【特許文献1】特開2005−259108号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら、従来技術では、派生文書には、常に派生元の文書と同じセキュリティポリシーで保護されるため、派生文書のセキュリティを派生元の文書と異ならせるような柔軟な運用には対応できなかった。
【0006】
本発明は、派生により新たに生成されたデータに対して派生元となるデータと異なるセキュリティポリシーを付与可能にすることを目的とする。
【課題を解決するための手段】
【0007】
本発明に係るセキュリティポリシー管理装置は、ポリシーの設定対象となるデータがオリジナルデータか、既存データから派生して生成された派生データかの別を示すデータ種別情報毎にポリシーの設定内容が対応付けされたポリシー設定情報に、当該ポリシーの識別情報を対応付けして記憶するポリシー情報記憶手段と、ポリシーの設定対象となるデータの識別情報に、当該データと当該データに付与するポリシーの識別情報を対応付けて記憶すると共に、当該データが派生データの場合には派生データである旨を識別する情報を記憶するデータ情報記憶手段と、データの識別情報が指定された検索要求に応じて、前記データ情報記憶手段を参照することにより検索要求に識別情報が指定されたデータに対応付けられているポリシーの識別情報を特定すると共に、検索要求対象のデータがオリジナルデータ若しくは派生データのいずれかの種別であるかを特定し、その特定したポリシーの識別情報及び検索要求対象のデータの種別に基づき前記ポリシー情報記憶手段を検索することによって特定したポリシーの設定内容を検索要求元へ返す検索手段と、を有することを特徴とする。
【0008】
また、登録対象となるデータの識別情報及び当該データに対して付与するポリシーの識別情報を含むデータの登録要求を受け付けた場合、その登録要求に含まれているデータの識別情報とポリシーの識別情報を対応付けして前記データ情報記憶手段に登録する第1の登録手段と、登録対象となるデータの識別情報及び当該データの派生元となるデータの識別情報を含むデータの登録要求を受け付けた場合、その登録要求に含まれているデータの識別情報と派生元となるデータの識別情報を対応付けして前記データ情報記憶手段に登録する第2の登録手段と、を有することを特徴とする。
【0009】
また、前記ポリシー情報記憶手段に記憶されたポリシー設定情報には、前記ポリシーの設定内容、前記データ種別情報及び当該データ種別情報が派生データを示す場合には派生回数が対応付けして含まれており、前記検索手段は、検索要求に識別情報が指定されたデータが派生データであると特定した場合、更に前記データ情報記憶手段を参照することにより当該データが生成されるまでに行われた派生の回数を特定し、その特定したポリシーの識別情報、検索要求対象のデータの種別及び派生の回数に基づき前記ポリシー情報記憶手段を検索することによって特定したポリシーの設定内容を検索要求元へ返すことを特徴とする。
【0010】
本発明に係るセキュリティポリシー管理装置は、ポリシーの設定対象となるデータの識別情報と、当該データに付与されたポリシーの識別情報と、当該ポリシーが付与されたデータから派生して派生データが生成される場合に当該派生データに付与するポリシーの識別情報とポリシーの設定内容とを含むポリシー設定情報とを対応付けて記憶するデータ情報記憶手段と、データの識別情報が指定された検索要求に応じて、前記データ情報記憶手段を参照することにより検索要求対象のデータに対応付けられているポリシーの識別情報を特定し、その特定したポリシーの識別情報に基づき前記ポリシー情報記憶手段を検索することによって得たポリシーの設定内容を検索要求元へ返す検索手段と、を有することを特徴とする。
【0011】
また、前記検索手段は、前記特定したポリシーの識別情報に基づき前記ポリシー情報記憶手段を検索することによって得た派生時ポリシー識別情報を検索要求元へ返すことを特徴とする。
【0012】
また、前記ポリシー情報記憶手段に記憶されたポリシー設定情報には、ポリシーの設定により許可されたユーザ操作毎に、当該ユーザ操作によって生成される派生データに付与するポリシーの識別情報が対応付けして含まれていることを特徴とする。
【0013】
また、データの登録要求を受け付けた場合、その登録要求に含まれている登録対象となるデータの識別情報及びポリシーの識別情報、更に当該データの派生元データの識別情報が含まれていた場合にはその派生元データの識別情報、更にユーザ操作内容が含まれていた場合にはその操作内容、を対応付けして前記データ情報記憶手段に登録する登録手段を有することを特徴とする。
【0014】
本発明に係るセキュリティポリシー管理プログラムは、セキュリティポリシーサーバコンピュータを、ポリシーの設定対象となるデータがオリジナルデータか、既存データから派生して生成された派生データかの別を示すデータ種別情報毎にポリシーの設定内容が対応付けされたポリシー設定情報に、当該ポリシーの識別情報を対応付けして記憶するポリシー情報記憶手段、ポリシーの設定対象となるデータの識別情報に、当該データと当該データに付与するポリシーの識別情報を対応付けて記憶すると共に、当該データが派生データの場合には派生データである旨を識別する情報を記憶するデータ情報記憶手段、データの識別情報が指定された検索要求に応じて、前記データ情報記憶手段を参照することにより検索要求に識別情報が指定されたデータに対応付けられているポリシーの識別情報を特定すると共に、検索要求対象のデータがオリジナルデータ若しくは派生データのいずれかの種別であるかを特定し、その特定したポリシーの識別情報及び検索要求対象のデータの種別に基づき前記ポリシー情報記憶手段を検索することによって特定したポリシーの設定内容を検索要求元へ返す検索手段、として機能させる。
【0015】
本発明に係るセキュリティポリシー管理プログラムは、セキュリティポリシーサーバコンピュータを、ポリシーの設定対象となるデータの識別情報と、当該データに付与されたポリシーの識別情報と、当該ポリシーが付与されたデータから派生して派生データが生成される場合に当該派生データに付与するポリシーの識別情報とポリシーの設定内容とを含むポリシー設定情報とを対応付けて記憶するデータ情報記憶手段、データの識別情報が指定された検索要求に応じて、前記データ情報記憶手段を参照することにより検索要求対象のデータに対応付けられているポリシーの識別情報を特定し、その特定したポリシーの識別情報に基づき前記ポリシー情報記憶手段を検索することによって得たポリシーの設定内容を検索要求元へ返す検索手段、として機能させる。
【0016】
本発明に係るセキュリティポリシー管理システムは、セキュリティポリシーサーバコンピュータと、セキュリティポリシーの設定に用いるクライアントコンピュータと、を有し、前記セキュリティポリシーサーバコンピュータは、ポリシーの設定対象となるデータがオリジナルデータか、既存データから派生して生成された派生データかの別を示すデータ種別情報毎にポリシーの設定内容が対応付けされたポリシー設定情報に、当該ポリシーの識別情報を対応付けして記憶するポリシー情報記憶手段と、ポリシーの設定対象となるデータの識別情報に、当該データと当該データに付与するポリシーの識別情報を対応付けて記憶すると共に、当該データが派生データの場合には派生データである旨を識別する情報を記憶するデータ情報記憶手段と、データの識別情報が指定された検索要求に応じて、前記データ情報記憶手段を参照することにより検索要求に識別情報が指定されたデータに対応付けられているポリシーの識別情報を特定すると共に、検索要求対象のデータがオリジナルデータ若しくは派生データのいずれかの種別であるかを特定し、その特定したポリシーの識別情報及び検索要求対象のデータの種別に基づき前記ポリシー情報記憶手段を検索することによって特定したポリシーの設定内容を検索要求元へ返す検索手段と、を有し、前記クライアントコンピュータは、データの識別情報を含む検索要求を前記セキュリティポリシーサーバコンピュータに送信する手段を有することを特徴とする。
【0017】
本発明に係るセキュリティポリシー管理システムは、セキュリティポリシーサーバコンピュータと、セキュリティポリシーの設定に用いるクライアントコンピュータと、を有し、前記セキュリティポリシーサーバコンピュータは、ポリシーの設定対象となるデータの識別情報と、当該データに付与されたポリシーの識別情報と、当該ポリシーが付与されたデータから派生して派生データが生成される場合に当該派生データに付与するポリシーの識別情報とポリシーの設定内容とを含むポリシー設定情報とを対応付けて記憶するデータ情報記憶手段と、データの識別情報が指定された検索要求に応じて、前記データ情報記憶手段を参照することにより検索要求対象のデータに対応付けられているポリシーの識別情報を特定し、その特定したポリシーの識別情報に基づき前記ポリシー情報記憶手段を検索することによって得たポリシーの設定内容を検索要求元へ返す検索手段と、ポリシーの識別情報に、ポリシーの設定内容を含むポリシー設定情報を対応付けして記憶を有し、前記クライアントコンピュータは、データの識別情報を含む検索要求を前記セキュリティポリシーサーバコンピュータに送信する手段を有することを特徴とする。
【発明の効果】
【0018】
請求項1記載の発明によれば、検索要求元においてオリジナルデータから派生した派生データに対してオリジナルデータとは異なるポリシーを設定させることができる。
【0019】
請求項2記載の発明によれば、オリジナルデータと派生データとを区別してデータ管理することができる。
【0020】
請求項3記載の発明によれば、検索要求元において派生データに対しても、派生回数によって異なるポリシーを設定させることができる。
【0021】
請求項4記載の発明によれば、検索要求元において、オリジナルデータから派生した派生データに対してオリジナルデータとは異なるポリシーを設定させることができる。
【0022】
請求項5記載の発明によれば、データ情報記憶手段に記憶された派生元のデータの識別情報を参照することなく検索要求されたデータに付与されたポリシーの識別情報を特定することができる。
【0023】
請求項6記載の発明によれば、ユーザ操作に応じて生成される派生データに対して異なるポリシーを設定させることができる。
【0024】
請求項7記載の発明によれば、オリジナルデータと派生データ、更には派生データが生成されたユーザ操作によってデータを区別して管理することができる。
【0025】
請求項8記載の発明によれば、セキュリティポリシーサーバコンピュータに、検索要求元においてオリジナルデータから派生した派生データに対してオリジナルデータとは異なるポリシーを設定させることができる。
【0026】
請求項9記載の発明によれば、セキュリティポリシーサーバコンピュータに、検索要求元においてオリジナルデータから派生した派生データに対してオリジナルデータとは異なるポリシーを設定させることができる。
【0027】
請求項10記載の発明によれば、クライアントコンピュータにおいてオリジナルデータから派生により生成された派生データに対してオリジナルデータとは異なるポリシーを設定させることができる。
【0028】
請求項11記載の発明によれば、クライアントコンピュータにおいてオリジナルデータから派生により生成された派生データに対してオリジナルデータとは異なるポリシーを設定させることができる。
【発明を実施するための最良の形態】
【0029】
以下、図面に基づいて、本発明の好適な実施の形態について説明する。
【0030】
実施の形態1.
図1は、本発明に係るセキュリティポリシー管理システムの一実施の形態を示した全体構成図である。図1には、ユーザ認証サーバ23、セキュリティポリシーサーバ30、クライアントとなるパーソナルコンピュータ(PC)(以下、「クライアントPC」)50及び複合機40がネットワークの一形態であるLAN(Local Area Network)22に接続された構成が示されている。なお、図1には、クライアントPC50と複合機40をそれぞれ1台ずつ示したが、それぞれ複数台をLAN22に接続するよう構成してもよい。
【0031】
図1において、ユーザ認証サーバ23は、ユーザ認証を一元的に管理するサーバコンピュータである。クライアントPC50などの他の機器上では、ユーザを認証して、機器の利用ができるように制御されるが、その際、このユーザ認証サーバ23に問い合わせる。ユーザ認証サーバ23は、LDAP(Lightweight Directory Access Protocol)サーバ、あるいは、Windows(登録商標) Active Directoryなどのサーバでよい。
【0032】
セキュリティポリシーサーバ30は、ポリシー切替装置として動作しつつ、本システム上で扱われるセキュリティで保護された電子文書及び紙文書(以下、「保護文書」と総称)に対するアクセス権を管理する役割を持つ。更に、それらの保護文書がどのように生成されたのかという派生関係を管理する役割を持つ。
【0033】
クライアントPC50は、セキュリティポリシーサーバ30と通信して、保護されていない文書にセキュリティポリシーを付与することによって保護された電子文書(以下、「保護電子文書」ともいう)を作成する。また、クライアントPC50上では、保護電子文書をセキュリティポリシー上で許可された範囲で、閲覧、印刷、編集などの処理を行う文書アプリケーションが動作する。
【0034】
複合機40は、複数の機能が搭載された画像処理装置の一形態である。本実施の形態における複合機40は、基本機能として、プリンタとコピーの機能を有している。本システムでは、これらの基本機能に加え、コンピュータを内蔵していることからクライアントPC50と同様にクライアントコンピュータとしても動作可能であり、セキュリティポリシーサーバ30と通信することで、ポリシー上許可された範囲で、保護電子文書の印刷、保護された紙文書(以下、「保護紙文書」ともいう)のコピー、スキャン等の機能を提供する。
【0035】
ここで、本実施の形態において取り扱う保護文書について説明する。本実施の形態では、前述したように、セキュリティポリシーが付与され、操作が制限される文書を保護文書と呼ぶことにしている。保護文書は、電子文書、紙文書の2種類ある。いずれの場合も、セキュリティポリシーサーバ30上では、特定のポリシーと対応付けられ、文書の識別情報(文書ID)が付与され管理される。
【0036】
図2は、本実施の形態におけるセキュリティポリシーサーバ30を形成するサーバコンピュータのハードウェア構成図である。本実施の形態におけるセキュリティポリシーサーバ30は、従前から存在する汎用的なハードウェア構成で実現できる。すなわち、コンピュータは、図2に示したようにCPU1、ROM2、RAM3、ハードディスクドライブ(HDD)4を接続したHDDコントローラ5、入力手段として設けられたマウス6とキーボード7、及び表示装置として設けられたディスプレイ8をそれぞれ接続する入出力コントローラ9、通信手段として設けられたネットワークコントローラ10を内部バス11に接続して構成される
【0037】
なお、性能的に差異はあるかもしれないが、ユーザ認証サーバ23及びクライアントPC50もコンピュータで形成されることから、それぞれのハードウェア構成は、図2と同じように図示することができる。
【0038】
図3は、本実施の形態における複合機40のハードウェア構成図である。複合機40は、上記の通りコピー機能、スキャナ機能等各種機能を搭載した複合機であり、コンピュータを内蔵した装置である。図3において、CPU21は、ROM19に格納されたプログラムにしたがってスキャナ14やプリンタエンジン16等複合機40に搭載された各種機構の動作制御を行う。アドレスデータバス12は、CPU21の制御対象となる各種機構と接続してデータの通信を行う。操作パネル13は、ユーザからの指示の受け付け、情報の表示を行う。スキャナ14は、ユーザがセットした原稿を読み取り、電子データとしてHDD15等に蓄積する。HDD15は、スキャナ14を使用して読み取った電子文書などを格納する。親展ボックスもHDD15に設けられる。プリンタエンジン16は、CPU21で実行される制御プログラムからの指示に従い出力用紙上に画像を印字する。ネットワークインタフェース(I/F)17は、LAN22を接続し、複合機40が生成した電子データの送信、複合機40宛に送信されてきた電子メールの受信、またブラウザ経由による複合機40へのアクセスなどに利用される。RAM18は、プログラム実行時のワークメモリや電子データ送受信時の通信バッファとして利用される。ROM19は、複合機40の制御や電子データの暗号、電子データの送受信に関する各種プログラムが格納されている。各種プログラムが実行されることで後述する各構成要素が所定の処理機能を発揮する。外部メディアインタフェース(I/F)20は、USBメモリ、フラッシュメモリ等の外部メモリ機器とのインタフェースである。
【0039】
図4は、本実施の形態におけるセキュリティポリシーサーバ30のブロック構成図である。図4には、セキュリティポリシー登録部31、セキュリティポリシー一覧応答部32、セキュリティポリシー検索部33、セキュリティポリシーデータベース(DB)35及び文書情報データベース(DB)36が示されている。セキュリティポリシー登録部31は、複合機40及びクライアントPC50(以下、「外部機器」と総称)から送られてくる登録要求に応じて、その登録要求に指定されている文書ID、派生元文書ID、ポリシーID、ユーザID等を含むレコードを新規に生成し、文書情報データベース36に登録する第1及び第2の登録手段である。なお、本実施の形態において、文書IDは、外部においても衝突しないように生成される。つまり、UUID(Universally Unique IDentifier)を使用しているので、データベース上に指定された文書IDのデータが存在するかどうかをチェックしなくてもよい。もちろん、チェックするようにしてもよい。
【0040】
本実施の形態において、セキュリティポリシー一覧応答というのは、外部機器が、文書にポリシーを付与する際、どのようなポリシーが付与可能なのかの一覧リストを問い合わせる機能である。セキュリティポリシー一覧応答部32は、この問合せに対してセキュリティポリシーデータベース35に登録されているポリシーデータを検索して、検索条件に合致するポリシーの一覧リストを作成して問合せ元に返す。セキュリティポリシー一覧応答部32は、この問合せ(ポリシー一覧取得要求)に応じてポリシーの一覧リストを返す。なお、外部機器がセキュリティポリシーサーバ30にポリシーを問い合わせる際、ポリシーを付与しようとしているユーザIDを指定するようにしてもよい。この場合は、予め決められた登録可能ユーザリストに、そのユーザが含まれているかどうかをチェックしたり、あるいは、ポリシー毎にそのポリシーの登録を許されているユーザリストを設けて、それをチェックしたりするようにしてもよい。
【0041】
本実施の形態において、セキュリティポリシー検索というのは、外部機器が、ポリシーがすでに設定されている文書に関するセキュリティポリシーの情報を問い合わせる機能である。この際、外部機器は、問い合わせたい文書の文書ID及び問い合わせているユーザのユーザIDを指定して問い合わせることになるが、セキュリティポリシー検索部33は、この問合せ(検索要求)に応じて該当するポリシーを問合せ元に返す。
【0042】
セキュリティポリシー検索部33に含まれる対象文書判定部34は、問い合わせられた文書(対象文書)がオリジナル文書であるか、あるいは派生文書であるかを判定する。
【0043】
セキュリティポリシーサーバ30は、セキュリティポリシー(誰にどういう権利を許可するのか)を管理するデータベースとしてセキュリティポリシーデータベース35を、文書情報(どの文書がどのセキュリティポリシーに割り当てられているのか、いつ誰が作成したのか、など)を管理するデータベースとして文書情報データベースを、それぞれ保持する。以下、図5,6を用いて各データベース35,36の詳細について説明する。
【0044】
図5は、本実施の形態におけるセキュリティポリシーデータベース35のデータ構成例を示した図である。セキュリティポリシーデータベース35には、ポリシーを識別するためのポリシーID及び当該ポリシーの名称に、対象文書毎に設定したポリシー設定情報が対応付けして登録される。対象文書には、ポリシーの設定対象となる文書がオリジナル文書か、あるいはオリジナル文書から派生した派生文書かの別を示す種別情報が設定される。そして、対象文書毎に設定されるポリシー設定情報には、利用範囲、利用範囲毎に設定される有効期間及び許諾機能リストが含まれる。利用範囲は、当該ポリシーの適用者を特定する適用者情報であり、ユーザ認証サーバ23で管理されているユーザグループが設定される。各ユーザグループは少なくとも1人のユーザから構成される。有効期間は、当該ポリシーが付与された文書の有効期間である。有効期間の記述形式は、図5に例示した生成からの経過日数に限らず、有効期間の終期(日時)等種々の方法で設定可能である。許諾機能リストには、利用範囲に含まれる各ユーザに対して許可されている操作が設定される。図5によると、例えばポリシーID“0001”の場合、例えば、ソフトウェア開発部に属していて、文書の作成者ではない人がこのポリシーが付与された保護文書にアクセスすると、その文書が作成されてから180日以内であれば、電子文書の閲覧・印刷及び紙文書のコピーが許可される、ということになる。また、オリジナル文書がコピーされて紙文書が生成された場合、その紙文書はオリジナル文書から派生した派生文書となる。図5によると、派生文書に対してポリシーID“0001”のポリシーが適用される場合、許諾機能リストには、“−”と記述されているので(これは何も権利を有しないということを意味する)、作成者以外のユーザには、何ら権限が付与されていないため、ポリシーID“0001”のポリシーが付与された派生文書に対してコピーやスキャンをしようとしても何もできない、ということを意味する。
【0045】
図6は、本実施の形態における文書情報データベース36のデータ構成例を示した図である。本実施の形態では、ポリシーの設定対象となるデータとして文書を取り扱うことにしているので、データ情報記憶手段として文書情報データベース36を設けている。この文書情報データベース36には、文書の識別子である文書ID(この例の場合は、UUIDで表される)、当該文書の元となった(例えば、印刷元、コピー元など)文書の文書IDが設定される派生元文書ID、当該文書が従っているセキュリティポリシーのポリシーID、文書名、文書のメディアタイプ(紙あるいは電子)、操作したユーザのユーザID、操作した(ポリシーを付与した)日時、対象文書が生成された際に行われた操作、がそれぞれ対応付けして登録される。例えば、図6において3行目の文書(文書IDが“AED6”で始まるレコード)の場合、その文書の派生元の文書は、2行目の文書(文書IDが“4FB6”で始まるレコード)であり、ポリシーIDは、その派生元の文書のポリシーID“0002”である。なお、派生元の文書におけるレコードに派生元文書IDが更に設定されていた場合は、上記と同様、派生元文書をたどっていき、派生元文書IDが設定されてなくポリシーIDが設定されている文書のポリシーIDが、当該文書のポリシーIDとなる。
【0046】
3行目の文書のメディアタイプは紙である。つまり、図5によると、3行目の文書は、ユーザID“fx25615”が割り当てられたユーザが2006年10月3日14時23分に印刷した(派生元の文書を印刷して派生した)ことにより作成された紙文書であることがわかる。なお、このようなポリシー、文書情報のデータベースは既存技術で実現可能であり、文書毎にセキュリティポリシーが付与できるようなものであれば、図6に例示したデータ構成に限定されるものではない。
【0047】
セキュリティポリシーサーバ30における各構成要素31〜34は、セキュリティポリシーサーバ30に搭載されたコンピュータと、コンピュータに搭載されたCPU1で動作するプログラムとの協調動作により実現される。また、各データベース35,36は、コンピュータに搭載されたHDD4にて実現される。
【0048】
図7は、本実施の形態におけるクライアントPC50のブロック構成図である。一般のユーザが使用するクライアントPC50は、所定の文書処理アプリケーションが実行されることによって、電子文書の保護や、保護された電子文書をポリシー上で許可された権利の範囲内での編集や印刷等の動作を行う。クライアントPC50は、アプリケーションを実行するアプリケーション実行部51、保護されていない電子文書を記憶する非保護文書記憶部52及び保護されている電子文書を記憶する保護電子文書記憶部53を有している。アプリケーション実行部51は、セキュリティポリシーサーバ30と通信して、後述する構成要素を含む文書処理アプリケーションを実行することによって、保護されていない電子文書の保護、保護された電子文書の閲覧、編集、印刷等の機能を提供する。
【0049】
すなわち、保護電子文書生成部54は、保護されていない電子文書にポリシーを設定して保護電子文書を生成する。文書ID生成部55は、新たに生成される保護文書に対して割り当てる文書IDを生成する。文書編集部56は、ユーザ操作指示に従い各記憶部52,53から読み出された電子文書、あるいは外部から送られてきた電子文書に編集を施す。文書保持部57は、編集された電子文書を一時保持する。他の構成要素がRAM3にロードされたソフトウェアにより実現されるのに対し、文書保持部57は、RAM3にて実現される。文書表示部58は、閲覧、編集対象の電子文書をディスプレイ8に表示する。ユーザ認証部59は、クライアントPC50の利用開始時にユーザ認証処理を実施する。保護文書印刷部60は、保護文書の印刷を実行する。制御部61は、各構成要素全体の動作制御を行いながら文書処理アプリケーションが持つ機能を提供する。制御部61は、また各記憶部52,53に記憶された電子文書を読み込む文書読込部としても機能する。
【0050】
クライアントPC50における各構成要素54〜56,58〜61は、クライアントPC50を構成するPCと、PCに搭載されたCPU1で動作するプログラムとの協調動作により実現される。また、各記憶部52,53は、クライアントPC50に搭載されたHDD4にて実現される。
【0051】
図8は、本実施の形態における複合機40のブロック構成図である。複合機40は、保護された電子文書の印刷、保護された紙文書のコピー・スキャンを提供する。複合機40は、ユーザ認証部41、保護電子文書生成部42、画像保持部43、保護紙文書生成部44、文書IDエンコード部45、印刷部46、文書IDデコード部47、制御部48及び文書ID生成部49を有している。ユーザ認証部41は、複合機40の利用開始時にユーザ認証処理を実施する。保護電子文書生成部42は、スキャンにより読み取られた保護紙文書にポリシーを設定して保護電子文書を生成する。画像保持部43は、生成された保護電子文書を一時保持する。他の構成要素がRAM3にロードされたソフトウェアにより実現されるのに対し、画像保持部43は、RAM3にて実現される。保護紙文書生成部44は、文書IDエンコード部45及び印刷部46と連携動作し、印刷部46により印刷される保護紙文書を保護電子文書から生成する。文書IDエンコード部45は、保護電子文書に含まれている文書IDデータを用紙上に印刷可能な画像データにエンコードする。印刷部46は、生成された保護紙文書を印刷する。文書IDデコード部47は、スキャナ14により読み取られた保護紙文書の読取画像データをデコードして文書IDを抽出する。文書ID生成部49は、新たに生成される保護文書に対して割り当てる文書IDを生成する。制御部48は、各構成要素の動作制御を行いながらスキャナ14をはじめとするハードウェアと連携動作させ、詳細は後述するように複合機40において新たに生成される保護文書へのポリシーの付与等ポリシーに関連する諸機能を提供する。
【0052】
複合機40における各構成要素41〜42,44〜49は、複合機40に搭載されたコンピュータと、コンピュータに搭載されたCPU21で動作するプログラムとの協調動作により実現される。また、画像保持部43は、RAM18にて実現される。
【0053】
また、本実施の形態で用いるプログラムは、通信手段により提供することはもちろん、CD−ROMやDVD−ROM等のコンピュータ読み取り可能な記録媒体に格納して提供することも可能である。通信手段や記録媒体から提供されたプログラムはコンピュータにインストールされ、コンピュータのCPUがインストールプログラムを順次実行することで各種処理が実現される。
【0054】
図9は、本実施の形態において用いる保護電子文書のデータ構成例を示した図である。保護電子文書は、保護電子文書であることを示すヘッダ(予め決められた長さのバイト列)と、文書ID、暗号化された文書本体からなる。本実施の形態では、保護電子文書は、全ての電子文書に共通な暗号鍵によって暗号化されることを前提としているが、これは一例でありDRM技術のように文書毎に鍵を変えるようにしてもよい。また、文書IDが他の文書の文書IDと入れ替えられたりすることを防ぐため、電子文書全体に電子署名を付与したり、あるいは、HMAC(Keyed−Hashing for Message Authentication Code)などの値を付与したりしてもよい。いずれにしても本システムにおいては、全ての保護文書が識別子で識別され、それがポリシーで管理されているという以上の制約はない。
【0055】
図10,11は、本実施の形態において用いる保護紙文書を用紙に印刷したときの例を示した模式図である。図10は、文書が印刷された用紙の上下(ヘッダとフッタ)部分に、文書IDをバーコードやQRコードなどで代表される特定のコードパターンで印刷する場合の例である。図11は、文書IDを、用紙などの印刷媒体24に文書全体の背景として透かし25により埋め込んだものである。いずれにしろ文書IDを後から読み取れるように何らかの方法で紙自体に印字したものであればよい。
【0056】
次に、本実施の形態における動作について、セキュリティポリシーサーバ30、クライアントPC50、そして複合機40の順に装置単位に説明する。
【0057】
1.セキュリティポリシーサーバ30の動作
セキュリティポリシーサーバ30は、外部機器40,50に対して、セキュリティポリシーの登録、一覧応答、検索の3つの機能を提供する。以下それらの処理手順について説明する。
【0058】
1.1 セキュリティポリシー登録
外部機器から文書ID、派生元文書ID、ポリシーID、文書名、メディアタイプ、この文書の作成操作した者のユーザID、作成操作をした日時のデータのうち登録に必要なデータが指定された登録要求が送られてくることによってセキュリティポリシー登録部31が呼び出されると、セキュリティポリシー登録部31は、そのデータを文書情報データベース36に新規のレコードとして追加する。登録対象の文書が新規に作成されてポリシーが付与される場合、派生元となる文書は存在しないので、登録要求には、派生元文書IDが含まれない状態で送られてくる。一方、文書の操作結果として文書が派生により生成された場合、登録要求には、派生元文書IDが含まれるが、ポリシーIDは含まれない。文書の作成日時(操作日時)が指定されてこなかった場合、セキュリティポリシー登録部31が文書情報データベース36にデータ登録をするときの現在時刻を操作日時に設定してもよい。文書名は任意のパラメータであるため、登録要求に指定されなくてもよい。外部機器から送られてくるセキュリティポリシーの登録要求の例を図12に示す。
【0059】
1.2 セキュリティポリシー一覧応答
セキュリティポリシー一覧応答というのは、前述したように、外部機器が文書にポリシーを付与する際、どのようなポリシーが付与可能なのかの一覧リストを問い合わせる機能である。
【0060】
外部機器からポリシー一覧取得要求が送られてくることによってセキュリティポリシー一覧応答部32が呼び出されると、セキュリティポリシー一覧応答部32は、セキュリティポリシーデータベース35に登録されているポリシーデータが検索され、ポリシーの一覧リストを生成して要求送信元へ返す。仮に一覧リストが生成できなかった場合は、その旨(FALSE)を返すようにしてもよい。
【0061】
なお、外部機器からセキュリティポリシーサーバ30へ問い合わせる際、ユーザは、問合せ条件としてポリシーを付与しようとしているユーザID等を指定して問い合わせることで、その問合せ条件に合致したレコードのみが一覧リストに含まれるように指示することができる。セキュリティポリシー一覧応答部32がポリシー一覧取得要求の送信元へ返す一覧リストの例を図13に示す。
【0062】
1.3 セキュリティポリシー検索
セキュリティポリシー検索というのは、前述したように、外部機器が、ポリシーがすでに設定されている文書に関するセキュリティポリシーの情報を問い合わせる機能である。このセキュリティポリシー検索処理については、図14に示したフローチャートを用いて説明する。
【0063】
外部機器からの検索要求によりセキュリティポリシー検索部33が呼び出されると、セキュリティポリシー検索部33は、まず、検索要求に指定されている文書IDに基づき文書情報データベース36を検索する(ステップ101)。該当するレコードが取得できた場合(ステップ102でY)、そのレコードに含まれているポリシーIDのエントリーをセキュリティポリシーデータベース35から検索する(ステップ103)。ここで、取得したレコードにポリシーIDが設定されていない場合、ポリシーIDを取得できるまでレコードに含まれる派生元文書IDをたどっていく。このようにして、ポリシーIDが取得できると(ステップ104でY)、セキュリティポリシー検索部33に含まれる対象文書判定部34は、文書情報データベース36に登録されている当該文書IDのレコードを参照して、当該文書がオリジナル文書か派生文書かの種別を判定する(ステップ105)。これは、当該文書IDのレコードにポリシーIDが設定されていた場合はオリジナル文書、設定されていない場合は派生文書と判定できる。
【0064】
ステップ103においてセキュリティポリシーデータベース35に登録されている当該文書のポリシーのエントリーが特定できているので、セキュリティポリシー検索部33は、そのエントリーの利用範囲を参照して検索要求に指定されているユーザIDのユーザが所属するユーザグループのみをフィルタリングして抽出する(ステップ106)。このとき、セキュリティポリシー検索部33は、文書種別の判定結果に従い、セキュリティポリシーデータベース35において、オリジナル文書であればオリジナル文書のエントリーを、派生文書であれば派生文書のエントリーを、以降の処理で参照することになる。従って、例えば、検索対象の文書が派生文書である場合であって、図5のポリシーID“0001”において、問い合わせたユーザが作成者でなく、ソフトウェア開発部に属している場合は、派生文書におけるソフトウェア開発部のみを抽出することになる。作成者かどうかは、指定された文書の派生関係を辿ってオリジナル文書を特定し、そのオリジナル文書の文書IDのレコードの操作者IDが検索要求を送信したユーザのユーザIDと一致するかで判断する。なお、ソフトウェア開発部等ユーザがどのユーザグループに所属しているかは、ユーザグループと当該ユーザグループに属するユーザとの対応関係が定義されたユーザ情報データベース(図示せず)を参照することで特定するようにしてもよい。本実施の形態では、このように検索対象となった文書が派生文書であっても、オリジナル文書の作成者を作成者とみなす。もし、何も検索されなかった場合は、空(NULL)を返すことになる。
【0065】
ユーザが所属するユーザグループが抽出できた場合(ステップ107でY)、抽出できた各エントリーにつき有効期限のチェックを行う(ステップ108)。すなわち、抽出した各エントリーの利用範囲の項目に関して、文書IDのエントリーの作成日時から、それぞれ有効期間満了日を生成する。もし、有効期間満了日が現在時刻より前だったら、抽出したエントリーの中から当該エントリーを削除する。エントリーが残った場合において(ステップ109でY)、許可リストを作成する(ステップ110)。1つのエントリーのみが残ればそのエントリーをそのまま許可リストとする。複数のエントリーが残った場合、その残った利用範囲の項目の許諾リストをマージして許可リストを作成する。また、有効期間満了日時は最も長いものを選択する。
【0066】
以上のようにして作成した許可リストを検索結果として、検索要求送信元の外部機器に返す(ステップ111)。以上の処理の結果、検索要求送信元へ返すポリシー検索結果の例を図15に示す。なお、以上の処理において該当するレコード、エントリーが存在しなかった場合(ステップ102でN,ステップ104でN,ステップ107でN,ステップ109でN)、その旨を示すエラー情報を作成して(ステップ112)、検索要求送信元の外部機器に返す(ステップ113)。
【0067】
ところで、図5に示したセキュリティポリシーデータベース35のデータ構成例では、対象文書をオリジナル文書と派生文書の2種類で識別していた。従って、このようなデータ構成を採用すると、派生文書の作成禁止にも容易に対応可能である。また、派生によって生成された文書に対しては、アクセス権を制限したいという場合もある。例えば、人事関係の書類を電子文書で記入して、マネージャが収集するような場合、記入済みの電子文書はマネージャのみが閲覧可能であることがセキュリティ上は望ましい。つまり、オリジナルの電子文書のフォームはグループ全員が編集できるが、編集して保存した結果として生成される派生文書は、グループのマネージャのみが閲覧可能である、というような文書の運用が考えられる。このような場合にも容易に対応可能である。
【0068】
ただ、運用によっては、2回派生した場合(派生文書を派生元文書として更に派生文書を生成する場合)、3回派生した場合などと派生回数によって異なるポリシーを設定したい場合が考えられる。例えば、ある紙文書に対して、1世代だけのコピーは許可したいが、2世代目以降(つまり、コピーのコピー)は許可したくない、というような場合がある。図5に例示したように、対象文書をオリジナル文書と派生文書の2種類で識別するようにデータ構成した場合、派生文書であれば、派生文書の全てに一律の同じポリシーが適用されることになるため、派生回数によって異なるポリシーを設定したい場合に対応できない。従って、このような場合には、対象文書のサブパラメータとして派生回数を設け、文書の派生回数によって異なるポリシーが適用できるように構成してもよい。
【0069】
また、文書からの派生には、1つの文書から複数の文書が派生により生成される場合(1つの文書の複数枚のコピー)、あるいは1つの文書から連鎖的な派生により生成される場合(1つの文書のコピーのコピー)、が考えられるが、このような派生の種類によっても異なるポリシーが適用できるようにしてもよい。なお、派生の深さは、文書情報データベース36のポリシーIDが設定されたレコードにたどりつくまでの派生元文書IDのたどる回数を数えることで容易に求められる。
【0070】
2.クライアントPC50の動作
クライアントPC50は、所定の文書処理アプリケーションが実行されることによって、電子文書の保護や、保護された電子文書をポリシー上で許可された権利の範囲内での編集や印刷等の動作を行う。なお、保護されていない文書の印刷・編集などの処理に関しては従来の技術と同様であるので、説明を省略する。
【0071】
2.1 保護電子文書の生成
この保護電子文書の生成処理については、図16に示したフローチャートを用いて説明する。
【0072】
クライアントPC50を使用しているユーザが、キーボード7等の入力手段を用いて保護されていない電子文書を指定した保護指示要求を入力すると、制御部61は、それを受け付ける(ステップ201)。そして、クライアントPC50にログインしたときに入力したユーザID及びパスワード、あるいは入力要求を別途したことに応じてユーザが入力したユーザID及びパスワードをユーザ認証部59に渡すと、ユーザ認証部59は、その入力された情報が正しいかどうかを外部のユーザ認証サーバ23に問い合わせて確認する(ステップ202)。ユーザ認証に成功すれば(ステップ203でY)、ユーザIDを保持する。失敗した場合は(ステップ203でN)、その旨をディスプレイ8に表示し(ステップ210)、処理を中断する。
【0073】
ユーザ認証成功後、制御部61は、保護されていない電子文書を文書保持部57に登録することで保持させた後、保護電子文書生成部54を呼び出す。保護電子文書生成部54は、ポリシー一覧取得要求をセキュリティポリシーサーバ30へ送信することによりセキュリティポリシーの一覧を取得する(ステップ204)。なお、送信したポリシー一覧取得要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.2 セキュリティポリシー一覧応答」において前述したとおりである。ポリシーの一覧リストが取得できると、制御部61は、文書表示部58に、取得したポリシーの一覧リストをユーザに理解可能な形式で表示させ(例えば、ポリシー名のドロップダウンによるリスト表示等)、これによりユーザに適用したいポリシーを選択させる。ポリシーが選択されると、制御部61は、それを受け付ける(ステップ205)。続いて、保護電子文書生成部54は、文書ID生成部55に文書IDを生成させ(ステップ206)、その文書ID、ポリシーID、ユーザID(操作者ID)、メディアタイプ(ここでは“電子”)、作成日時(現在時刻)、操作(ここでは“作成”)の各パラメータを含む登録要求を生成し、セキュリティポリシーサーバ30へ送信することによって保護電子文書の登録指示を出す(ステップ207)。なお、送信した登録要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.1 セキュリティポリシー登録」において前述したとおりである。
【0074】
ここで、登録指示に応じてセキュリティポリシーサーバ30から返信されてきた処理結果により登録処理が成功した旨を認識すると(ステップ208でY)、制御部61は、保護されていない文書を予め決められた暗号鍵で暗号化し、付与された文書IDを関連付けして、保護電子文書として保護電子文書記憶部53に書込保存する(ステップ209)。
【0075】
なお、認証に失敗した場合(ステップ203でN)、登録処理に失敗した旨がセキュリティポリシーサーバ30から返信されてきた場合(ステップ208でN)、制御部61は、エラー情報をディスプレイ8に表示するなどしてユーザにその旨を知らせる(ステップ210)。
【0076】
2.2 保護電子文書の閲覧
次に、保護電子文書の閲覧処理については、図17に示したフローチャートを用いて説明する。
【0077】
クライアントPC50を使用しているユーザが、保護電子文書の閲覧のためにキーボード7等の入力手段を用いて保護電子文書を指定して文書処理アプリケーションを起動する。このユーザ操作に応じて保護電子文書の閲覧が要求されると、制御部61は、その要求を受け付け(ステップ211)、保護電子文書生成処理と同様にユーザ認証部59にユーザ認証を実行させる(ステップ212)。ユーザ認証成功後(ステップ212でY)、制御部61は、指定された保護電子文書の文書IDを保護電子文書記憶部53から読み取り(ステップ214)、その文書ID及びユーザ認証に用いたユーザIDの各パラメータを含む検索要求を生成し、セキュリティポリシーサーバ30へ送信する(ステップ215)。なお、送信した検索要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.3 セキュリティポリシー検索」において前述したとおりである。
【0078】
ここで、検索要求に応じてセキュリティポリシーサーバ30から検索結果がない旨などのエラー情報が送られてくると(ステップ216でN)、制御部61は、「指定した文書に対するアクセス権がありません」などのエラーメッセージをディスプレイ8に表示して終了する(ステップ221)。一方、セキュリティポリシーサーバ30から検索結果として許可リストが送られてくると(ステップ216でY)、その許可リストを参照し、「電子文書の閲覧」が含まれているもののみにフィルタリングする(ステップ217)。図15の例の場合は、Operationタグ内に“View”が含まれているもののみを抽出する。また、許可リストが許諾機能リストをマージして作成されている場合には、“View”の有無を確認することになる。ここで、“View”が含まれていなければ(ステップ218でN)、当該ユーザには、指定された保護電子文書に対する閲覧権が付与されていないと判断して、「指定した文書の閲覧権はありません」というエラーをディスプレイ8に表示する(ステップ221)。
【0079】
“View”が含まれている場合(ステップ218でY)、制御部61は、続いてフィルタリングにより残った検索結果を参照して、有効期間が満了していないものがあるかどうかをチェックする。なお、セキュリティポリシーサーバ30側で有効期間の満了しているものは返さないようにしているので、この処理は、念のための処理である。有効期間満了前のものが無ければ(ステップ219でN)、「指定した文書の権利は有効期間を過ぎています」というエラーメッセージを表示して終了する(ステップ221)。
【0080】
有効期間満了前のものが存在すれば(ステップ219でY)、閲覧権があるものと判断されるので、制御部61は、予め決められた復号鍵で文書本体を復号し、その結果を文書IDと共に文書保持部57に一時格納し、文書表示部58を呼びだして、文書をディスプレイ8に表示させる(ステップ220)。
【0081】
2.3 保護電子文書の編集
次に、保護電子文書の編集処理については、図18に示したフローチャートを用いて説明する。なお、編集の際には、既に文書が文書処理アプリケーションで開かれていることを仮定している。すなわち、閲覧の処理が行われて文書保持部57に文書がすでに読み込まれている状態から、以下に説明する編集処理が始まるものとする。
【0082】
クライアントPC50で保護電子文書を開いているユーザにより、保護電子文書の編集が要求されると、制御部61は、その要求を受け付ける(ステップ231)。そして、制御部61は、保護電子文書から文書IDを読み取り(ステップ232)、その文書ID及びユーザ認証に用いたユーザIDの各パラメータを含む検索要求を生成し、セキュリティポリシーサーバ30へ送信する(ステップ233)。なお、送信した検索要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.3 セキュリティポリシー検索」において前述したとおりである。
【0083】
ここで、検索要求に応じてセキュリティポリシーサーバ30から検索結果がない旨などのエラー情報が送られてくると(ステップ234でN)、制御部61は、「指定した文書に対するアクセス権がありません」などのエラーメッセージをディスプレイ8に表示して終了する(ステップ239)。一方、セキュリティポリシーサーバ30から検索結果として許可リストが送られてくると(ステップ234でY)、その許可リストを参照し、「電子文書の編集」が含まれているもののみにフィルタリングする(ステップ235)。図15の例の場合は、Operationタグ内に“Edit”が含まれているもののみを抽出する。また、許可リストが許諾機能リストをマージして作成されている場合には、“Edit”の有無を確認することになる。ここで、“Edit”が含まれていなければ(ステップ236でN)、当該ユーザには、指定された保護電子文書に対する編集権が付与されていないと判断して、「指定した文書の編集権はありません」というエラーをディスプレイ8に表示する(ステップ239)。
【0084】
“Edit”が含まれている場合(ステップ236でY)、制御部61は、続いてフィルタリングにより残った検索結果を参照して、有効期間が満了していないものがあるかどうかをチェックする。なお、セキュリティポリシーサーバ30側で有効期間の満了しているものは返さないようにしているので、この処理は、念のための処理である。有効期間満了前のものが無ければ(ステップ237でN)、「指定した文書の権利は有効期間を過ぎています」というエラーメッセージを表示して終了する(ステップ239)。
【0085】
有効期間満了前のものが存在すれば(ステップ237でY)、編集権があるものと判断されるので、制御部61は、文書編集部56を呼び出して、保護電子文書の編集をユーザに許可する(ステップ238)。
【0086】
なお、文書を開く(閲覧する)際に、セキュリティポリシーサーバ30に保護電子文書のポリシーを問い合わせたら、その結果をRAM3上に保持しておくようにしてもよい。こうすれば、ステップ233で許可リストを問い合わせる必要はなく、RAM3に保持しておいたポリシーを参照すればすむ。
【0087】
2.4 保護電子文書の印刷
次に、保護電子文書の印刷処理については、図19に示したフローチャートを用いて説明する。なお、印刷の際には、編集の場合と同様に文書が文書アプリケーションによってすでに開かれていることを仮定している。すなわち、閲覧の処理が行われて文書保持部57に文書がすでに読み込まれている状態から、以下に説明する印刷処理が始まるものとする。
【0088】
クライアントPC50で保護電子文書を開いているユーザにより、保護電子文書の印刷が要求されると、制御部61は、その印刷要求を受け付け(ステップ241)、ユーザにより指定された保護電子文書の印刷指示を保護文書印刷部60に出す(ステップ242)。印刷指示を受けた保護文書印刷部60は、文書保持部57に保持されている保護電子文書を読み出して印刷イメージに変換し、文書ID、ユーザIDと共に、保護電子文書を、ユーザにより指定された複合機40に送信することで印刷を実行させる(ステップ243)。複合機40は、保護電子文書を受け付けることによって印刷を開始することになるが、この処理については、追って説明する。
【0089】
ところで、本実施の形態では、印刷処理の実行可否の権利確認を複合機40側にて行うようにしているので、文書処理アプリケーション側では権利確認処理を行う必要はない。しかし、このようにすると、文書データを複合機40に送ってからでないと、印刷権の有無が確認できないので、クライアントPC50から複合機40へのデータ通信が無駄になる場合が発生しうる。そこで、本実施の形態においては、文書データを送信する前に、送信文書の印刷権があるかどうかを確認するようにしてもよい。この印刷時においてクライアントPC50側において行う権利確認処理を図20に示したフローチャートを用いて説明する。なお、図19と同じ処理には同じステップ番号を付ける。
【0090】
クライアントPC50で保護電子文書を開いているユーザにより、保護電子文書の印刷が要求されると、制御部61は、その印刷要求を受け付ける(ステップ241)。そして、制御部61は、印刷対象の保護電子文書から文書IDを読み取り(ステップ244)、その文書ID及びユーザ認証に用いたユーザIDの各パラメータを含む検索要求を生成し、セキュリティポリシーサーバ30へ送信する(ステップ245)。なお、送信した検索要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.3 セキュリティポリシー検索」において前述したとおりである。
【0091】
ここで、検索要求に応じてセキュリティポリシーサーバ30から検索結果がない旨などのエラー情報が送られてくると(ステップ246でN)、制御部61は、「指定した文書に対する印刷権がありません」などのエラーメッセージをディスプレイ8に表示して終了する(ステップ250)。一方、セキュリティポリシーサーバ30から検索結果として許可リストが送られてくると(ステップ246でY)、その許可リストを参照し、「電子文書の印刷」が含まれているもののみにフィルタリングする(ステップ247)。図15の例の場合は、Operationタグ内に“Print”が含まれているもののみを抽出する。また、許可リストが許諾機能リストをマージして作成されている場合には、“Print”の有無を確認することになる。ここで、“Print”が含まれていなければ(ステップ248でN)、当該ユーザには、指定された保護電子文書に対する印刷権が付与されていないと判断して、「指定した文書の印刷権はありません」というエラーをディスプレイ8に表示する(ステップ250)。
【0092】
“Print”が含まれている場合(ステップ248でY)、制御部61は、続いてフィルタリングにより残った検索結果を参照して、有効期間が満了していないものがあるかどうかをチェックする。なお、セキュリティポリシーサーバ30側で有効期間の満了しているものは返さないようにしているので、この処理は、念のための処理である。有効期間満了前のものが無ければ(ステップ249でN)、「指定した文書の権利は有効期間を過ぎています」というエラーメッセージを表示して終了する(ステップ250)。
【0093】
有効期間満了前のものが存在すれば(ステップ249でY)、印刷権があるものと判断されるので、制御部61は、ユーザにより指定された保護電子文書の印刷指示を保護文書印刷部60に出す(ステップ242)。保護文書印刷部60は、この印刷指示に応じて文書保持部57に保持されている保護電子文書を読み出して印刷イメージに変換し、文書ID、ユーザIDと共に、保護電子文書を、ユーザにより指定された複合機40に送信することで印刷を実行させる(ステップ243)。
【0094】
2.5 保護電子文書の保存
本実施の形態において文書処理アプリケーションが開いている保護電子文書をファイルに保存(上書き、別名など)する際、「一時保存」と「確定保存」という2種類の保存方法をユーザに提供している。
【0095】
「一時保存」は、派生処理を行わない保存方法である。つまり、文書の編集者が、編集を施した文書を、編集前の文書に対する派生文書として管理させずに、施した編集内容を保存したい場合に用いる。本実施の形態では、オリジナル文書及び派生文書に関する情報を、文書情報データベース36を用いることによって当該文書をシステムの管理対象とすることになるが、「一時保存」を選択すると、文書に対して編集した内容をシステムからの管理対象外とし、個人使用の状態のまま保存しておくことができる。従って、一時保存した文書に対するポリシーは、オリジナル文書のポリシーがそのまま引き継がれる。「一時保存」は、例えば、編集中でありまだ完成されていないフォームを内部に一時的に保存する場合などに用いられる。
【0096】
一方、「確定保存」は、編集が施された文書を派生文書として保存する方法である。つまり、保存された文書は、オリジナル文書ではなく、編集前の文書に対する派生文書となる。これにより、確定保存した文書に対するポリシーは、派生文書のポリシーが適用される。「確定保存」は、例えば、フォームが完成したことにより内容を確定させたいために保存する場合などに用いられる。
【0097】
なお、一時保存した文書は、文書処理アプリケーションを用いて開いた後、確定保存すれば、当該文書は、当該文書に関する情報は文書情報データベース36に登録されて、派生文書として管理される。
【0098】
最初に、保護電子文書の一時保存処理について、図21に示したフローチャートを用いて説明する。
【0099】
まず、ユーザが文書処理アプリケーション上で所定の一時保存ボタンをクリック等により選択すると、制御部61は、そのユーザ操作に応じた保存要求を受け付ける(ステップ251)。そして、制御部61は、文書保持部57に保存されている電子文書に文書IDが付与されていたら、保護電子文書であると判断し、予め決められた暗号鍵で文書本体を暗号化し、そして文書IDを付与して、保護電子文書ファイルを保護電子文書記憶部53に保存する(ステップ252)。
【0100】
続いて、保護電子文書の確定保存処理について、図22に示したフローチャートを用いて説明する。確定保存処理では、文書の保存の際に文書を派生させるので、文書ファイルを生成する時に文書IDを付け直してから文書情報データベース36に登録する必要がある。
【0101】
すなわち、ユーザが文書処理アプリケーション上で所定の一時保存ボタンをクリック等により選択すると、制御部61は、そのユーザ操作に応じた保存要求を受け付ける(ステップ261)。そして、制御部61は、文書保持部57に保存されている電子文書に文書IDが付与されていたら、保護電子文書であると判断し、文書ID生成部55に文書IDを生成させ(ステップ262)、元の文書ID(派生元文書ID)、新たに生成した文書ID、ユーザID(操作者ID)、メディアタイプ(ここでは“電子”)、作成日時(現在時刻)、操作(ここでは“編集”)の各パラメータを含む登録要求を生成し、セキュリティポリシーサーバ30へ送信することによって保護電子文書の登録指示を出す(ステップ263)。なお、送信した登録要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.1 セキュリティポリシー登録」において前述したとおりである。また、文書保持部57に保存されている電子文書の文書IDを新たに生成した文書IDで書き換えておく。
【0102】
ここで、登録指示に応じてセキュリティポリシーサーバ30から返信されてきた処理結果により登録処理が成功した旨を認識すると(ステップ264でY)、制御部61は、保護されていない文書を予め決められた暗号鍵で暗号化し、付与された文書IDを関連付けして、保護電子文書として保護電子文書記憶部53に書込保存する(ステップ265)。
【0103】
なお、登録処理に失敗した旨がセキュリティポリシーサーバ30から返信されてきた場合(ステップ264でN)、制御部61は、エラー情報をディスプレイ8に表示するなどしてユーザにその旨を知らせる(ステップ266)。
【0104】
ここで説明した保護電子文書の保存において、文書を保存する操作を、印刷やコピーなどの操作と同様に独立した権限として取り扱うようにしてもよい。この場合、文書処理アプリケーションは、保存処理を実施する前に、編集処理の場合と同様に権利の確認を行うことになる。
【0105】
3.複合機40の動作
複合機40は、保護された電子文書の印刷、保護された紙文書のコピー・スキャンを提供する。なお、ここでは、保護された紙文書以外の通常の紙文書のコピーやスキャンなどについては従来と同じ処理がなされるだけであるので、説明を省略している。
【0106】
3.1 保護電子文書の印刷
この保護電子文書の印刷処理については、図23に示したフローチャートを用いて説明する。
【0107】
「2.4 保護電子文書の印刷」において説明したように、ユーザにより保護電子文書の印刷が要求されると、複合機40には、クライアントPC50から複合機40において印字可能な印刷イメージが文書ID及びユーザIDと共に送られる。制御部48は、印刷要求を受け付けると(ステップ301)、その印刷要求に含まれている文書ID及びユーザIDの各パラメータを含む検索要求を生成し、セキュリティポリシーサーバ30へ送信する(ステップ302)。なお、送信した検索要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.3 セキュリティポリシー検索」において前述したとおりである。
【0108】
ここで、検索要求に応じてセキュリティポリシーサーバ30から検索結果がない旨などのエラー情報が送られてくると(ステップ303でN)、制御部48は、「指定した文書に対する印刷権がありません」などのエラーメッセージを操作パネル13に表示したり、あるいはエラーログをHDD15に記録したりして処理を終了する(ステップ309)。一方、セキュリティポリシーサーバ30から検索結果として許可リストが送られてくると(ステップ303でY)、その許可リストを参照し、「電子文書の印刷」が含まれているもののみにフィルタリングする(ステップ304)。図15の例の場合は、Operationタグ内に“Print”が含まれているもののみを抽出する。また、許可リストが許諾機能リストをマージして作成されている場合には、“Print”の有無を確認することになる。ここで、“Print”が含まれていなければ(ステップ305でN)、当該ユーザには、指定された保護電子文書に対する印刷権が付与されていないと判断して、「指定した文書の印刷権はありません」というエラーを操作パネル13に表示したりする(ステップ351)。
【0109】
“Print”が含まれている場合(ステップ305でY)、制御部48は、続いてフィルタリングにより残った検索結果を参照して、有効期間が満了していないものがあるかどうかをチェックする。なお、セキュリティポリシーサーバ30側で有効期間の満了しているものは返さないようにしているので、この処理は、念のための処理である。有効期間満了前のものが無ければ(ステップ306でN)、「指定した文書の権利は有効期間を過ぎています」というエラーメッセージを表示して終了する(ステップ351)。
【0110】
有効期間満了前のものが存在すれば(ステップ306でY)、印刷権があるものと判断されるので、制御部48は、画像保持部43に印刷イメージと文書ID、ユーザIDを一時格納し、保護紙文書生成部44を呼び出す。保護紙文書生成部44は、文書ID生成部49に文書IDを新たに生成させると、その生成した文書IDをバーコードなどのコードパターンの画像イメージに変換するように文書IDエンコード部45に指示する。そして、保護紙文書生成部44は、その文書IDの画像イメージを、印刷対象の保護電子文書の印刷イメージのヘッダ部及び/又はフッタ部に合成することによって印刷する合成画像を生成する(ステップ307)。そして、印刷部46は、生成された合成画像を印刷する(ステップ308)。このようにして保護電子文書が印刷されたときの用紙の模式図は、図10に示されている。もちろん、文書IDを透かしとして生成し、図11に例示したように印刷してもよい。
【0111】
続いて、制御部48は、元の文書ID(派生元文書ID)、新たに生成された文書ID、ユーザID(操作者ID)、メディアタイプ(ここでは“紙”)、作成日時(現在時刻)、操作(ここでは“印刷”)の各パラメータを含む登録要求を生成し、セキュリティポリシーサーバ30へ送信することによって保護電子文書の登録指示を出す(ステップ309)。なお、送信した登録要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.1 セキュリティポリシー登録」において前述したとおりである。
【0112】
ここで、登録指示に応じてセキュリティポリシーサーバ30から返信されてきた処理結果により登録処理が成功した旨を認識することによって(ステップ310でY)、処理の正常終了を確認する。一方、登録処理に失敗した旨がセキュリティポリシーサーバ30から返信されてきた場合(ステップ310でN)、制御部48は、エラー情報を操作パネル13に表示したり、エラーログをHDD15に記録したりして処理を終了する(ステップ351)。
【0113】
3.2 保護紙文書のコピー
この保護電子文書のコピー処理については、図24に示したフローチャートを用いて説明する。
【0114】
ユーザが複合機40のプラテン、あるいはADF(Auto Document Feeder)上に保護紙文書を置き、操作パネル13に表示された「保護文書のコピー」のボタンを押す。ユーザによる押下操作によりコピー指示を受け付けると(ステップ311)、制御部48は、操作パネル13にユーザ認証ダイアログを表示し、ユーザにユーザIDとパスワードの入力を求める。ユーザが入力すると、その入力されたユーザID及びパスワードをユーザ認証部41に渡す。そして、ユーザ認証部41は、その入力された情報が正しいかどうかを外部のユーザ認証サーバ23に問い合わせて確認する(ステップ312)。ユーザ認証に成功すれば(ステップ313でY)、ユーザIDを保持する。失敗した場合は(ステップ313でN)、その旨を操作パネル13に表示して(ステップ326)、処理を中断する。
【0115】
ユーザ認証成功後、制御部48は、保護紙文書をスキャンして画像を読み込み(ステップ314)、その画像イメージのヘッダおよびフッタ部の画像イメージを文書IDデコード部47にデコードさせることによって文書IDを取得する(ステップ315)。なお、文書IDが透かしにより保護紙文書に組み込まれている場合には、透かしをデコードすることになる。文書IDのデコードに失敗して取得できなかった場合は(ステップ316でN)、その旨を操作パネル13に表示し(ステップ326)、処理を中断する。
【0116】
文書IDのデコードに成功した場合(ステップ316でY)、制御部48は、そのデコードした文書ID及びユーザ認証に用いたユーザIDの各パラメータを含む検索要求を生成し、セキュリティポリシーサーバ30へ送信する(ステップ317)。なお、送信した検索要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.3 セキュリティポリシー検索」において前述したとおりである。
【0117】
ここで、検索要求に応じてセキュリティポリシーサーバ30から検索結果がない旨などのエラー情報が送られてくると(ステップ318でN)、制御部48は、「コピー権がありません」などのエラーメッセージを操作パネル13に表示して終了する(ステップ326)。一方、セキュリティポリシーサーバ30から検索結果として許可リストが送られてくると(ステップ318でY)、その許可リストを参照し、「紙文書のコピー」が含まれているもののみにフィルタリングする(ステップ319)。図15の例の場合は、Operationタグ内に“Copy”が含まれているもののみを抽出する。また、許可リストが許諾機能リストをマージして作成されている場合には、“Copy”の有無を確認することになる。ここで、“Copy”が含まれていなければ(ステップ320でN)、当該ユーザには、指定された保護電子文書に対するコピー権が付与されていないと判断して、「コピー権はありません」というエラーを操作パネル13に表示して終了する(ステップ326)。
【0118】
“Copy”が含まれている場合(ステップ320でY)、制御部48は、続いてフィルタリングにより残った検索結果を参照して、有効期間が満了していないものがあるかどうかをチェックする。なお、セキュリティポリシーサーバ30側で有効期間の満了しているものは返さないようにしているので、この処理は、念のための処理である。有効期間満了前のものが無ければ(ステップ321でN)、「権利は有効期間を過ぎています」というエラーメッセージを表示して終了する(ステップ326)。
【0119】
有効期間満了前のものが存在すれば(ステップ321でY)、コピー権があるものと判断されるので、制御部48は、画像保持部43に印刷イメージと文書ID、ユーザIDを一時格納し、保護紙文書生成部44を呼び出す。保護紙文書生成部44は、文書ID生成部49に文書IDを新たに生成させると、その生成した文書IDをバーコードなどのコードパターンの画像イメージに変換するように文書IDエンコード部45に指示する。そして、保護紙文書生成部44は、その文書IDの画像を、印刷対象の保護電子文書の印刷画像のヘッダ部及び/又はフッタ部に合成することによって印刷する合成画像を生成する(ステップ322)。そして、印刷部46は、生成された合成画像を印刷する(ステップ323)。このようにして保護電子文書が印刷されたときの用紙の模式図は、図10に示されている。もちろん、コピー対象の保護紙文書に文書IDが透かしとして形成されている場合は、図11に例示したように文書IDを透かし25として印刷する。このようにして、保護紙文書がコピーされる。本実施の形態では、特に文書IDの読取画像をそのままコピー印刷するのではなく、いったんデコードし、そしてコピー印刷時に再度エンコードするようにしたので、紙文書に印刷した文書IDデータは劣化しない。
【0120】
続いて、制御部48は、元の文書ID(派生元文書ID)、新たに生成された文書ID、ユーザID(操作者ID)、メディアタイプ(ここでは“紙”)、作成日時(現在時刻)、操作(ここでは“コピー”)の各パラメータを含む登録要求を生成し、セキュリティポリシーサーバ30へ送信することによって保護電子文書の登録指示を出す(ステップ324)。なお、送信した登録要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.1 セキュリティポリシー登録」において前述したとおりである。
【0121】
ここで、登録指示に応じてセキュリティポリシーサーバ30から返信されてきた処理結果により登録処理が成功した旨を認識することによって(ステップ325でY)、処理の正常終了を確認する。一方、登録処理に失敗した旨がセキュリティポリシーサーバ30から返信されてきた場合(ステップ325でN)、制御部48は、エラー情報を操作パネル13に表示したり、エラーログをHDD15に記録したりして処理を終了する(ステップ326)。
【0122】
3.3 保護紙文書のスキャン
保護紙文書をスキャンすると、紙文書のイメージが電子化されることになるが、スキャン処理では、そのイメージを保護電子文書として生成する必要がある。保護紙文書のコピー処理においては、印刷媒体に印刷を行うことになるが、この保護電子文書のスキャン処理は、印刷媒体に印刷を行う代わりに電子データをいずれかの記憶手段に保存することになること以外は、基本的な処理内容は共通である。この保護電子文書のスキャン処理については、図25に示したフローチャートを用いて説明する。
【0123】
ユーザが複合機40のプラテン、あるいはADF上に保護紙文書を置き、操作パネル13に表示された「保護文書のスキャン」のボタンを押す。ユーザによる押下操作によりスキャン指示を受け付けると(ステップ331)、制御部48は、操作パネル13にユーザ認証ダイアログを表示し、ユーザにユーザIDとパスワードの入力を求める。ユーザが入力すると、その入力されたユーザID及びパスワードをユーザ認証部41に渡す。そして、ユーザ認証部41は、その入力された情報が正しいかどうかを外部のユーザ認証サーバ23に問い合わせて確認する(ステップ332)。ユーザ認証に成功すれば(ステップ333でY)、ユーザIDを保持する。失敗した場合は(ステップ333でN)、その旨を操作パネル13に表示して(ステップ346)、処理を中断する。
【0124】
ユーザ認証成功後、制御部48は、保護紙文書をスキャンして画像を読み込み(ステップ334)、その画像イメージのヘッダおよびフッタ部の画像イメージを文書IDデコード部47にデコードさせることによって文書IDを取得する(ステップ335)。なお、文書IDが透かしにより保護紙文書に組み込まれている場合には、透かしをデコードすることになる。文書IDのデコードに失敗して取得できなかった場合は(ステップ336でN)、その旨を操作パネル13に表示し(ステップ346)、処理を中断する。
【0125】
文書IDのデコードに成功した場合(ステップ336でY)、制御部48は、そのデコードした文書ID及びユーザ認証に用いたユーザIDの各パラメータを含む検索要求を生成し、セキュリティポリシーサーバ30へ送信する(ステップ337)。なお、送信した検索要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.3 セキュリティポリシー検索」において前述したとおりである。
【0126】
ここで、検索要求に応じてセキュリティポリシーサーバ30から検索結果がない旨などのエラー情報が送られてくると(ステップ338でN)、制御部48は、「スキャン権がありません」などのエラーメッセージを操作パネル13に表示して終了する(ステップ346)。一方、セキュリティポリシーサーバ30から検索結果として許可リストが送られてくると(ステップ338でY)、その許可リストを参照し、「紙文書のスキャン」が含まれているもののみにフィルタリングする(ステップ339)。図15の例には含まれていないが、Operationタグ内に“Scan”が含まれていれば、その含まれているもののみを抽出する。また、許可リストが許諾機能リストをマージして作成されている場合には、“Scan”の有無を確認することになる。ここで、“Scan”が含まれていなければ(ステップ340でN)、当該ユーザには、指定された保護電子文書に対するスキャン権が付与されていないと判断して、「スキャン権はありません」というエラーを操作パネル13に表示して終了する(ステップ346)。
【0127】
“Scan”が含まれている場合(ステップ340でY)、制御部48は、続いてフィルタリングにより残った検索結果を参照して、有効期間が満了していないものがあるかどうかをチェックする。なお、セキュリティポリシーサーバ30側で有効期間の満了しているものは返さないようにしているので、この処理は、念のための処理である。有効期間満了前のものが無ければ(ステップ341でN)、「権利は有効期間を過ぎています」というエラーメッセージを表示して終了する(ステップ346)。
【0128】
有効期間満了前のものが存在すれば(ステップ341でY)、スキャン権があるものと判断されるので、制御部48は、画像保持部43に読取画像と文書ID、ユーザIDを一時格納し、保護電子文書生成部42を呼び出す。保護電子文書生成部42は、文書ID生成部49に文書IDを新たに生成させると、画像保持部43に格納した保護紙文書の画像イメージから文書ID画像を削除した後、予め決められた暗号鍵で暗号化し、その暗号化した電子文書画像のヘッダ部及び/又はフッタ部に、生成された文書IDを合成することによって保存対象の保護電子文書を生成する(ステップ342)。そして、複合機40のユーザがアクセス可能な場所、例えば当該ユーザの親展ボックスなどに格納する(ステップ343)。保護紙文書のスキャン処理においても、コピー処理と同様、文書IDの読取画像をそのまま保存対象とするのではなく、いったんデコードし、そして再度エンコードするようにしたので、紙文書に印刷した文書IDデータは劣化しない。なお、保護電子文書生成部42における詳細な処理は、基本的にクライアントPC50における保護電子文書生成部54の処理と同じである。このため、図8では、保護電子文書生成処理に関連する構成要素を省略している。
【0129】
続いて、制御部48は、元の文書ID(派生元文書ID)、新たに生成された文書ID、ユーザID(操作者ID)、メディアタイプ(ここでは“紙”)、作成日時(現在時刻)、操作(ここでは“スキャン”)の各パラメータを含む登録要求を生成し、セキュリティポリシーサーバ30へ送信することによって保護電子文書の登録指示を出す(ステップ344)。なお、送信した登録要求に応じてセキュリティポリシーサーバ30側において実行される処理については、「1.1 セキュリティポリシー登録」において前述したとおりである。
【0130】
ここで、登録指示に応じてセキュリティポリシーサーバ30から返信されてきた処理結果により登録処理が成功した旨を認識することによって(ステップ345でY)、処理の正常終了を確認する。一方、登録処理に失敗した旨がセキュリティポリシーサーバ30から返信されてきた場合(ステップ345でN)、制御部48は、エラー情報を操作パネル13に表示したり、エラーログをHDD15に記録したりして処理を終了する(ステップ346)。
【0131】
実施の形態2.
実施の形態1においては、図5に示したセキュリティポリシーデータベース35のデータ構成を参照すれば明らかなように、派生した時に適用されるポリシーの定義を、1つのポリシーIDが割り振られる1つのポリシー定義の中にすべて(オリジナル文書用と派生文書用)記述するようにしていた。このようにポリシーを定義すると、セキュリティポリシーサーバ30におけるセキュリティポリシー検索部33は、指定された文書がオリジナル文書なのか派生文書なのか、また、派生文書なら何回派生したのか、更にはどのような操作によって派生したのか、ということなどを、文書情報データベース36を検索しながら認識した後、設定されたポリシーのうちどの部分の権利を適用するかを特定する必要があった。そこで、本実施の形態においては、ポリシーの定義における派生文書のポリシーは、オリジナル文書とは別のポリシーとして定義し、文書が派生により生成されるときに付与されるポリシーIDを指定する。
【0132】
このようにすると、クライアントPC50側では、文書が派生により生成されたときにクライアントPC50側で登録するポリシーのIDを、派生する毎に変える必要が生じてくるが、セキュリティポリシーサーバ30では、文書に適用するポリシーの検索時に、対象となる文書がオリジナル文書か派生文書かという文書種別、更に派生の回数、操作内容などを参照する必要がないので、ポリシー検索処理を単純に行うことができるようになる。
【0133】
図26は、本実施の形態におけるセキュリティポリシーサーバ30のブロック構成図である。実施の形態1とは、セキュリティポリシー検索部33の構成が異なる。すなわち、実施の形態1で行っていた対象文書がオリジナル文書か派生文書かという文書種別の判定が不要になるので、対象文書判定部が不要となる。但し、セキュリティポリシーデータベース35のデータ構成が実施の形態1と異なるので、セキュリティポリシー検索部33の処理内容は、一部異なってくる。
【0134】
図27は、本実施の形態におけるセキュリティポリシーデータベース35のデータ構成例を示した図である。実施の形態1で用いたデータ構成と比較すると、各ポリシーは、対象文書毎にポリシーは規定されないので「対象文書」のデータ項目はなくなっている。その代り、「派生時ポリシーID」いうデータ項目が追加されている。「派生時ポリシーID」には、文書が派生により生成された場合、その派生文書に指定すべきポリシーIDが設定される。図27に示した設定例によると、例えば、ポリシーID“0001”のポリシーが適用されたオリジナル文書あるいは派生文書を、ソフトウェア開発部に属するユーザがコピーすると、コピーにより新たに生成された紙文書には、ポリシーID“0002”のポリシーが適用されることになる。
【0135】
図28は、本実施の形態におけるセキュリティポリシーデータベース35の他のデータ構成例を示した図である。図28に例示したデータ構成のように、派生により生成される文書に付与するポリシーを、行われる操作毎に細かく指定できるようにしてもよい。
【0136】
図29は、本実施の形態における文書情報データベース36のデータ構成例を示した図である。実施の形態1と異なるのは、派生した文書に対してもポリシーIDが設定されていることである。従って、当該文書がオリジナル文書か派生文書かの別は、派生元文書IDにデータが設定されているか否かによって判断する。
【0137】
次に、本実施の形態における処理について説明するが、ここでは、実施の形態1と異なる処理についてのみ説明する。なお、以降の説明で用いるフローチャートにおいて、実施の形態1と同じ処理には、同じステップ番号を付ける。
【0138】
1.セキュリティポリシーサーバ30の動作
セキュリティポリシーサーバ30は、外部機器40,50に対して、セキュリティポリシーの登録、一覧応答、検索の3つの機能を提供するが、本実施の形態では、検索の機能のみが実施の形態1と異なる。
【0139】
1.1 セキュリティポリシー検索
本実施の形態におけるセキュリティポリシー検索処理については、図30に示したフローチャートを用いて説明する。
【0140】
外部機器からの検索要求によりセキュリティポリシー検索部33が呼び出されると、セキュリティポリシー検索部33は、まず、検索要求に指定されている文書IDに基づき文書情報データベース36を検索する(ステップ101)。該当するレコードが取得できた場合(ステップ102でY)、そのレコードに含まれているポリシーIDのエントリーをセキュリティポリシーデータベース35から検索する(ステップ103)。エントリーが取得できた場合(ステップ104でY)、セキュリティポリシー検索部33は、そのエントリーの利用範囲を参照して検索要求に指定されているユーザIDのユーザが所属するユーザグループのみをフィルタリングして抽出する(ステップ106)。例えば、図27のポリシーID“0001”において、問い合わせたユーザが作成者でなく、ソフトウェア開発部に属している場合は、派生文書におけるソフトウェア開発部のみを抽出することになる。作成者かどうかは、指定された文書の派生関係を辿ってオリジナル文書を特定し、そのオリジナル文書の文書IDのレコードの操作者IDが検索要求を送信したユーザのユーザIDと一致するかで判断する。本実施の形態では、このように検索対象となった文書が派生文書であっても、オリジナル文書の作成者を作成者とみなす。もし、何も検索されなかった場合は、空(NULL)を返すことになる。
【0141】
なお、ソフトウェア開発部等ユーザがどのユーザグループに所属しているかは、ユーザグループと当該ユーザグループに属するユーザとの対応関係が定義されたユーザ情報データベース(図示せず)を参照することで特定するようにしてもよい。また、本実施の形態におけるセキュリティポリシーデータベース35には、実施の形態1と同様に、当該ポリシーの適用者を特定する適用者情報として利用範囲が設定されるが、仮に利用範囲に項目を設定しない場合、つまり全ユーザ共通にポリシーを設定する場合は、ポリシーIDには、1エントリーのみが対応付けられることになるため、ステップ103においてエントリーを検索する必要がなくなる。
【0142】
ユーザが所属するユーザグループが抽出できた場合(ステップ107でY)、抽出できた各エントリーにつき有効期限のチェックを行う(ステップ108)。すなわち、抽出した各エントリーの利用範囲の項目に関して、文書IDのエントリーの作成日時から、それぞれ有効期間満了日を生成する。もし、有効期間満了日が現在時刻より前だったら、抽出したエントリーの中から当該エントリーを削除する。エントリーが残った場合において(ステップ109でY)、許可リストを作成する(ステップ110)。1つのエントリーのみが残ればそのエントリーをそのまま許可リストとする。複数のエントリーが残った場合、その残った利用範囲の項目の許諾リストをマージして許可リストを作成する。また、有効期間満了日時は最も長いものを選択する。
【0143】
以上のようにして作成した許可リストを検索結果として、検索要求送信元の外部機器に返す(ステップ111)。以上の処理において該当するレコード、エントリーが存在しなかった場合(ステップ102でN,ステップ104でN,ステップ107でN,ステップ109でN)、その旨を示すエラー情報を作成して(ステップ112)、検索要求送信元の外部機器に返す(ステップ113)。
【0144】
以上の処理の結果、検索要求送信元へ返すポリシー検索結果の例を図31に示す。図31と、対応する実施の形態1の図15とを比較すれば明らかなように、本実施の形態では、検索結果の中に派生時のポリシーID(図31では“0002”)が追加されている。
【0145】
また、本実施の形態において用いるセキュリティポリシーデータベース35が図28に示したように操作毎にポリシーが設定できるように構成されている場合のポリシー検索結果の例を図32に示す。
【0146】
2.クライアントPC50の動作
本実施の形態におけるクライアントPC50の構成は、実施の形態1と同じでよい。厳密には、保護電子文書生成部54の処理内容、具体的には文書が派生した場合に実施される処理が異なってくるのみである。クライアントPC50において、文書が派生するのは、電子文書の保存処理が実施されるときのみである。
【0147】
2.1 保護電子文書の保存
保護電子文書の保存処理においては、保存対象の文書ファイルが生成されたときに、その文書に対して文書IDを付け直し、その文書の関連する情報をセキュリティポリシーサーバ50に登録するが、その際、派生文書のポリシーに、セキュリティポリシーデータベース35に登録されている当該ポリシーに指定された派生時ポリシーIDを設定することである。本実施の形態における保存処理のフローチャートは、実施の形態1における保護電子文書の確定保存処理のフローチャート(図22)と同様に表すことができるので図22を流用する。
【0148】
ユーザが文書処理アプリケーション上で所定の保存ボタンをクリック等により選択すると、制御部61は、そのユーザ操作に応じた保存要求を受け付ける(ステップ261)。そして、制御部61は、文書保持部57に保存されている電子文書に文書IDが付与されていたら、保護電子文書であると判断し、文書ID生成部55に文書IDを生成させ(ステップ262)、元の文書ID(派生元文書ID)、新たに生成した文書ID、ユーザID(操作者ID)、メディアタイプ(ここでは“電子”)、作成日時(現在時刻)、操作(ここでは“編集”)に加えて派生時ポリシーIDの各パラメータを含む登録要求を生成し、セキュリティポリシーサーバ30へ送信することによって保護電子文書の登録指示を出す(ステップ263)。なお、送信した登録要求に応じてセキュリティポリシーサーバ30側において実行される処理については、実施の形態1の「1.1 セキュリティポリシー登録」において前述したとおりである。また、派生時ポリシーIDは、文書処理アプリケーションを用いて対象文書を開いたときに、ポリシー検索を行って得られた結果をRAM18上に保存しておき、その中で指定されているものを用いるようにしてもよい。また、文書保持部57に保存されている電子文書の文書IDを新たに生成した文書IDで書き換えておく。
【0149】
ここで、登録指示に応じてセキュリティポリシーサーバ30から返信されてきた処理結果により登録処理が成功した旨を認識すると(ステップ264でY)、制御部61は、保護されていない文書を予め決められた暗号鍵で暗号化し、付与された文書IDを関連付けして、保護電子文書として保護電子文書記憶部53に書込保存する(ステップ265)。
【0150】
なお、登録処理に失敗した旨がセキュリティポリシーサーバ30から返信されてきた場合(ステップ264でN)、制御部61は、エラー情報をディスプレイ8に表示するなどしてユーザにその旨を知らせる(ステップ266)。
【0151】
ここで説明した保護電子文書の保存において、文書を保存する操作を、印刷やコピーなどの操作と同様に独立した権限として取り扱うようにしてもよい。この場合、文書処理アプリケーションは、保存処理を実施する前に、編集処理の場合と同様に権利の確認を行うことになる。
【0152】
3.複合機40の動作
複合機40においては、保護文書に対する印刷、コピー、スキャンのいずれの処理でも派生文書の生成が行われる。実施の形態1と異なるのは、派生文書を登録する際、派生文書のポリシーに、セキュリティポリシーデータベース35に登録されている当該ポリシーに指定された派生時ポリシーIDを設定することである。
【0153】
3.1 保護電子文書の印刷
本実施の形態における印刷処理は、実施の形態1に示したフローチャート(図23)と同様に表すことができるので、このフローチャートを流用する。本実施の形態は、図23におけるステップ309の処理が異なるのみであり、これ以外の処理については説明を省略する。
【0154】
ステップ309において、制御部48は、元の文書ID(派生元文書ID)、新たに生成された文書ID、操作(ここでは“印刷”)に加えて派生時ポリシーIDの各パラメータを含む登録要求を生成し、セキュリティポリシーサーバ30へ送信することによって保護電子文書の登録指示を出す。なお、派生時ポリシーIDは、検索要求に応じてセキュリティポリシーサーバ30から送られてきた許可リストに含まれている。
【0155】
3.2 保護紙文書のコピー
本実施の形態におけるコピー処理は、実施の形態1に示したフローチャート(図24)と同様に表すことができるので、このフローチャートを流用する。本実施の形態は、図24におけるステップ324の処理が異なるのみであり、これ以外の処理については説明を省略する。
【0156】
ステップ324において、制御部48は、元の文書ID(派生元文書ID)、新たに生成された文書ID、ユーザID(操作者ID)、メディアタイプ(ここでは“紙”)、作成日時(現在時刻)、操作(ここでは“コピー”)に加えて派生時ポリシーIDの各パラメータを含む登録要求を生成し、セキュリティポリシーサーバ30へ送信することによって保護電子文書の登録指示を出す。なお、派生時ポリシーIDは、検索要求に応じてセキュリティポリシーサーバ30から送られてきた許可リストに含まれている。
【0157】
3.3 保護紙文書のスキャン
本実施の形態におけるスキャン処理は、実施の形態1に示したフローチャート(図25)と同様に表すことができるので、このフローチャートを流用する。本実施の形態は、図25におけるステップ344の処理が異なるのみであり、これ以外の処理については説明を省略する。
【0158】
ステップ344において、制御部48は、元の文書ID(派生元文書ID)、新たに生成された文書ID、ユーザID(操作者ID)、メディアタイプ(ここでは“紙”)、作成日時(現在時刻)、操作(ここでは“スキャン”)に加えて派生時ポリシーIDの各パラメータを含む登録要求を生成し、セキュリティポリシーサーバ30へ送信することによって保護電子文書の登録指示を出す。なお、派生時ポリシーIDは、検索要求に応じてセキュリティポリシーサーバ30から送られてきた許可リストに含まれている。
【図面の簡単な説明】
【0159】
【図1】本発明に係るポリシー管理システムの一実施の形態を示した全体構成図である。
【図2】実施の形態1におけるセキュリティポリシーサーバを形成するサーバコンピュータのハードウェア構成図である。
【図3】実施の形態1における複合機のハードウェア構成図である。
【図4】実施の形態1におけるセキュリティポリシーサーバのブロック構成図である。
【図5】実施の形態1におけるセキュリティポリシーデータベースのデータ構成例を示した図である。
【図6】実施の形態1における文書情報データベースのデータ構成例を示した図である。
【図7】実施の形態1におけるクライアントPCのブロック構成図である。
【図8】実施の形態1における複合機のブロック構成図である。
【図9】実施の形態1において用いる保護電子文書のデータ構成例を示した図である。
【図10】実施の形態1において用いる保護紙文書を用紙に印刷したときの例を示した模式図である。
【図11】実施の形態1において用いる保護紙文書を用紙に印刷したときの他の例を示した模式図である。
【図12】実施の形態1において外部機器から送られてくるセキュリティポリシーの登録要求の例を示した図である。
【図13】実施の形態1におけるセキュリティポリシーサーバが生成するポリシー一覧リストの例を示した図である。
【図14】実施の形態1におけるセキュリティポリシー検索処理を示したフローチャートである。
【図15】実施の形態1におけるセキュリティポリシー検索処理により得られた検索結果の例を示した図である。
【図16】実施の形態1のクライアントPCにおける保護電子文書の生成処理を示したフローチャートである。
【図17】実施の形態1のクライアントPCにおける保護電子文書の閲覧処理を示したフローチャートである。
【図18】実施の形態1のクライアントPCにおける保護電子文書の編集処理を示したフローチャートである。
【図19】実施の形態1のクライアントPCにおける保護電子文書の印刷処理を示したフローチャートである。
【図20】実施の形態1のクライアントPCにおいて権利確認を行う場合の保護電子文書の印刷処理を示したフローチャートである。
【図21】実施の形態1のクライアントPCにおける保護電子文書の一時保存処理を示したフローチャートである。
【図22】実施の形態1のクライアントPCにおける保護電子文書の確定保存処理を示したフローチャートである。
【図23】実施の形態1の複合機における保護電子文書の印刷処理を示したフローチャートである。
【図24】実施の形態1の複合機における保護紙文書のコピー処理を示したフローチャートである。
【図25】実施の形態1の複合機における保護紙文書のスキャン処理を示したフローチャートである。
【図26】実施の形態2におけるセキュリティポリシーサーバのブロック構成図である。
【図27】実施の形態2におけるセキュリティポリシーデータベースのデータ構成例を示した図である。
【図28】実施の形態2におけるセキュリティポリシーデータベースの他のデータ構成例を示した図である。
【図29】実施の形態2における文書情報データベースのデータ構成例を示した図である。
【図30】実施の形態2におけるセキュリティポリシー検索処理を示したフローチャートである。
【図31】実施の形態2において図27に示したセキュリティポリシーデータベースを利用した場合にセキュリティポリシー検索処理により得られた検索結果の例を示した図である。
【図32】実施の形態2において図28に示したセキュリティポリシーデータベースを利用した場合にセキュリティポリシー検索処理により得られた検索結果の例を示した図である。
【符号の説明】
【0160】
1,21 CPU、2,19 ROM、3,18 RAM、4,15 ハードディスクドライブ(HDD)、5 HDDコントローラ、6 マウス、7 キーボード、8 ディスプレイ、9 入出力コントローラ、10 ネットワークコントローラ、11 内部バス、12 アドレスデータバス、13 操作パネル、14 スキャナ、16 プリンタエンジン、17 ネットワークインタフェース(I/F)、20 外部メディアインタフェース(I/F)、22 LAN、23 ユーザ認証サーバ、30 セキュリティポリシーサーバ、31 セキュリティポリシー登録部、32 セキュリティポリシー一覧応答部、33 セキュリティポリシー検索部、34 対象文書判定部、35 セキュリティポリシーデータベース、36 文書情報データベース、40 複合機、41,59 ユーザ認証部、42,54 保護電子文書生成部、43 画像保持部、44 保護紙文書生成部、45 エンコード部、46 印刷部、47 デコード部、48,61 制御部、49,55 文書ID生成部、50 クライアントPC、51 アプリケーション実行部、52 非保護文書記憶部、53 保護電子文書記憶部、56 文書編集部、57 文書保持部、58 文書表示部、60 保護文書印刷部。
【特許請求の範囲】
【請求項1】
ポリシーの設定対象となるデータがオリジナルデータか、既存データから派生して生成された派生データかの別を示すデータ種別情報毎にポリシーの設定内容が対応付けされたポリシー設定情報に、当該ポリシーの識別情報を対応付けして記憶するポリシー情報記憶手段と、
ポリシーの設定対象となるデータの識別情報に、当該データと当該データに付与するポリシーの識別情報を対応付けて記憶すると共に、当該データが派生データの場合には派生データである旨を識別する情報を記憶するデータ情報記憶手段と、
データの識別情報が指定された検索要求に応じて、前記データ情報記憶手段を参照することにより検索要求に識別情報が指定されたデータに対応付けられているポリシーの識別情報を特定すると共に、検索要求対象のデータがオリジナルデータ若しくは派生データのいずれかの種別であるかを特定し、その特定したポリシーの識別情報及び検索要求対象のデータの種別に基づき前記ポリシー情報記憶手段を検索することによって特定したポリシーの設定内容を検索要求元へ返す検索手段と、
を有することを特徴とするセキュリティポリシー管理装置。
【請求項2】
請求項1記載のセキュリティポリシー管理装置において、
登録対象となるデータの識別情報及び当該データに対して付与するポリシーの識別情報を含むデータの登録要求を受け付けた場合、その登録要求に含まれているデータの識別情報とポリシーの識別情報を対応付けして前記データ情報記憶手段に登録する第1の登録手段と、
登録対象となるデータの識別情報及び当該データの派生元となるデータの識別情報を含むデータの登録要求を受け付けた場合、その登録要求に含まれているデータの識別情報と派生元となるデータの識別情報を対応付けして前記データ情報記憶手段に登録する第2の登録手段と、
を有することを特徴とするセキュリティポリシー管理装置。
【請求項3】
請求項1記載のセキュリティポリシー管理装置において、
前記ポリシー情報記憶手段に記憶されたポリシー設定情報には、前記ポリシーの設定内容、前記データ種別情報及び当該データ種別情報が派生データを示す場合には派生回数が対応付けして含まれており、
前記検索手段は、検索要求に識別情報が指定されたデータが派生データであると特定した場合、更に前記データ情報記憶手段を参照することにより当該データが生成されるまでに行われた派生の回数を特定し、その特定したポリシーの識別情報、検索要求対象のデータの種別及び派生の回数に基づき前記ポリシー情報記憶手段を検索することによって特定したポリシーの設定内容を検索要求元へ返すことを特徴とするセキュリティポリシー管理装置。
【請求項4】
ポリシーの設定対象となるデータの識別情報と、当該データに付与されたポリシーの識別情報と、当該ポリシーが付与されたデータから派生して派生データが生成される場合に当該派生データに付与するポリシーの識別情報とポリシーの設定内容とを含むポリシー設定情報とを対応付けて記憶するデータ情報記憶手段と、
データの識別情報が指定された検索要求に応じて、前記データ情報記憶手段を参照することにより検索要求対象のデータに対応付けられているポリシーの識別情報を特定し、その特定したポリシーの識別情報に基づき前記ポリシー情報記憶手段を検索することによって得たポリシーの設定内容を検索要求元へ返す検索手段と、
を有することを特徴とするセキュリティポリシー管理装置。
【請求項5】
請求項4記載のセキュリティポリシー管理装置において、
前記検索手段は、前記特定したポリシーの識別情報に基づき前記ポリシー情報記憶手段を検索することによって得た派生時ポリシー識別情報を検索要求元へ返すことを特徴とするセキュリティポリシー管理装置。
【請求項6】
請求項5記載のセキュリティポリシー管理装置において、
前記ポリシー情報記憶手段に記憶されたポリシー設定情報には、ポリシーの設定により許可されたユーザ操作毎に、当該ユーザ操作によって生成される派生データに付与するポリシーの識別情報が対応付けして含まれていることを特徴とするセキュリティポリシー管理装置。
【請求項7】
請求項4乃至6のいずれか1項に記載のセキュリティポリシー管理装置において、
データの登録要求を受け付けた場合、その登録要求に含まれている登録対象となるデータの識別情報及びポリシーの識別情報、更に当該データの派生元データの識別情報が含まれていた場合にはその派生元データの識別情報、更にユーザ操作内容が含まれていた場合にはその操作内容、を対応付けして前記データ情報記憶手段に登録する登録手段を有することを特徴とするセキュリティポリシー管理装置。
【請求項8】
セキュリティポリシーサーバコンピュータを、
ポリシーの設定対象となるデータがオリジナルデータか、既存データから派生して生成された派生データかの別を示すデータ種別情報毎にポリシーの設定内容が対応付けされたポリシー設定情報に、当該ポリシーの識別情報を対応付けして記憶するポリシー情報記憶手段、
ポリシーの設定対象となるデータの識別情報に、当該データと当該データに付与するポリシーの識別情報を対応付けて記憶すると共に、当該データが派生データの場合には派生データである旨を識別する情報を記憶するデータ情報記憶手段、
データの識別情報が指定された検索要求に応じて、前記データ情報記憶手段を参照することにより検索要求に識別情報が指定されたデータに対応付けられているポリシーの識別情報を特定すると共に、検索要求対象のデータがオリジナルデータ若しくは派生データのいずれかの種別であるかを特定し、その特定したポリシーの識別情報及び検索要求対象のデータの種別に基づき前記ポリシー情報記憶手段を検索することによって特定したポリシーの設定内容を検索要求元へ返す検索手段、
として機能させるセキュリティポリシー管理プログラム。
【請求項9】
セキュリティポリシーサーバコンピュータを、
ポリシーの設定対象となるデータの識別情報と、当該データに付与されたポリシーの識別情報と、当該ポリシーが付与されたデータから派生して派生データが生成される場合に当該派生データに付与するポリシーの識別情報とポリシーの設定内容とを含むポリシー設定情報とを対応付けて記憶するデータ情報記憶手段、
データの識別情報が指定された検索要求に応じて、前記データ情報記憶手段を参照することにより検索要求対象のデータに対応付けられているポリシーの識別情報を特定し、その特定したポリシーの識別情報に基づき前記ポリシー情報記憶手段を検索することによって得たポリシーの設定内容を検索要求元へ返す検索手段、
として機能させるセキュリティポリシー管理プログラム。
【請求項10】
セキュリティポリシーサーバコンピュータと、
セキュリティポリシーの設定に用いるクライアントコンピュータと、
を有し、
前記セキュリティポリシーサーバコンピュータは、
ポリシーの設定対象となるデータがオリジナルデータか、既存データから派生して生成された派生データかの別を示すデータ種別情報毎にポリシーの設定内容が対応付けされたポリシー設定情報に、当該ポリシーの識別情報を対応付けして記憶するポリシー情報記憶手段と、
ポリシーの設定対象となるデータの識別情報に、当該データと当該データに付与するポリシーの識別情報を対応付けて記憶すると共に、当該データが派生データの場合には派生データである旨を識別する情報を記憶するデータ情報記憶手段と、
データの識別情報が指定された検索要求に応じて、前記データ情報記憶手段を参照することにより検索要求に識別情報が指定されたデータに対応付けられているポリシーの識別情報を特定すると共に、検索要求対象のデータがオリジナルデータ若しくは派生データのいずれかの種別であるかを特定し、その特定したポリシーの識別情報及び検索要求対象のデータの種別に基づき前記ポリシー情報記憶手段を検索することによって特定したポリシーの設定内容を検索要求元へ返す検索手段と、
を有し、
前記クライアントコンピュータは、
データの識別情報を含む検索要求を前記セキュリティポリシーサーバコンピュータに送信する手段を有することを特徴とするセキュリティポリシー管理システム。
【請求項11】
セキュリティポリシーサーバコンピュータと、
セキュリティポリシーの設定に用いるクライアントコンピュータと、
を有し、
前記セキュリティポリシーサーバコンピュータは、
ポリシーの設定対象となるデータの識別情報と、当該データに付与されたポリシーの識別情報と、当該ポリシーが付与されたデータから派生して派生データが生成される場合に当該派生データに付与するポリシーの識別情報とポリシーの設定内容とを含むポリシー設定情報とを対応付けて記憶するデータ情報記憶手段と、
データの識別情報が指定された検索要求に応じて、前記データ情報記憶手段を参照することにより検索要求対象のデータに対応付けられているポリシーの識別情報を特定し、その特定したポリシーの識別情報に基づき前記ポリシー情報記憶手段を検索することによって得たポリシーの設定内容を検索要求元へ返す検索手段と、
を有し、
前記クライアントコンピュータは、
データの識別情報を含む検索要求を前記セキュリティポリシーサーバコンピュータに送信する手段を有することを特徴とするセキュリティポリシー管理システム。
【請求項1】
ポリシーの設定対象となるデータがオリジナルデータか、既存データから派生して生成された派生データかの別を示すデータ種別情報毎にポリシーの設定内容が対応付けされたポリシー設定情報に、当該ポリシーの識別情報を対応付けして記憶するポリシー情報記憶手段と、
ポリシーの設定対象となるデータの識別情報に、当該データと当該データに付与するポリシーの識別情報を対応付けて記憶すると共に、当該データが派生データの場合には派生データである旨を識別する情報を記憶するデータ情報記憶手段と、
データの識別情報が指定された検索要求に応じて、前記データ情報記憶手段を参照することにより検索要求に識別情報が指定されたデータに対応付けられているポリシーの識別情報を特定すると共に、検索要求対象のデータがオリジナルデータ若しくは派生データのいずれかの種別であるかを特定し、その特定したポリシーの識別情報及び検索要求対象のデータの種別に基づき前記ポリシー情報記憶手段を検索することによって特定したポリシーの設定内容を検索要求元へ返す検索手段と、
を有することを特徴とするセキュリティポリシー管理装置。
【請求項2】
請求項1記載のセキュリティポリシー管理装置において、
登録対象となるデータの識別情報及び当該データに対して付与するポリシーの識別情報を含むデータの登録要求を受け付けた場合、その登録要求に含まれているデータの識別情報とポリシーの識別情報を対応付けして前記データ情報記憶手段に登録する第1の登録手段と、
登録対象となるデータの識別情報及び当該データの派生元となるデータの識別情報を含むデータの登録要求を受け付けた場合、その登録要求に含まれているデータの識別情報と派生元となるデータの識別情報を対応付けして前記データ情報記憶手段に登録する第2の登録手段と、
を有することを特徴とするセキュリティポリシー管理装置。
【請求項3】
請求項1記載のセキュリティポリシー管理装置において、
前記ポリシー情報記憶手段に記憶されたポリシー設定情報には、前記ポリシーの設定内容、前記データ種別情報及び当該データ種別情報が派生データを示す場合には派生回数が対応付けして含まれており、
前記検索手段は、検索要求に識別情報が指定されたデータが派生データであると特定した場合、更に前記データ情報記憶手段を参照することにより当該データが生成されるまでに行われた派生の回数を特定し、その特定したポリシーの識別情報、検索要求対象のデータの種別及び派生の回数に基づき前記ポリシー情報記憶手段を検索することによって特定したポリシーの設定内容を検索要求元へ返すことを特徴とするセキュリティポリシー管理装置。
【請求項4】
ポリシーの設定対象となるデータの識別情報と、当該データに付与されたポリシーの識別情報と、当該ポリシーが付与されたデータから派生して派生データが生成される場合に当該派生データに付与するポリシーの識別情報とポリシーの設定内容とを含むポリシー設定情報とを対応付けて記憶するデータ情報記憶手段と、
データの識別情報が指定された検索要求に応じて、前記データ情報記憶手段を参照することにより検索要求対象のデータに対応付けられているポリシーの識別情報を特定し、その特定したポリシーの識別情報に基づき前記ポリシー情報記憶手段を検索することによって得たポリシーの設定内容を検索要求元へ返す検索手段と、
を有することを特徴とするセキュリティポリシー管理装置。
【請求項5】
請求項4記載のセキュリティポリシー管理装置において、
前記検索手段は、前記特定したポリシーの識別情報に基づき前記ポリシー情報記憶手段を検索することによって得た派生時ポリシー識別情報を検索要求元へ返すことを特徴とするセキュリティポリシー管理装置。
【請求項6】
請求項5記載のセキュリティポリシー管理装置において、
前記ポリシー情報記憶手段に記憶されたポリシー設定情報には、ポリシーの設定により許可されたユーザ操作毎に、当該ユーザ操作によって生成される派生データに付与するポリシーの識別情報が対応付けして含まれていることを特徴とするセキュリティポリシー管理装置。
【請求項7】
請求項4乃至6のいずれか1項に記載のセキュリティポリシー管理装置において、
データの登録要求を受け付けた場合、その登録要求に含まれている登録対象となるデータの識別情報及びポリシーの識別情報、更に当該データの派生元データの識別情報が含まれていた場合にはその派生元データの識別情報、更にユーザ操作内容が含まれていた場合にはその操作内容、を対応付けして前記データ情報記憶手段に登録する登録手段を有することを特徴とするセキュリティポリシー管理装置。
【請求項8】
セキュリティポリシーサーバコンピュータを、
ポリシーの設定対象となるデータがオリジナルデータか、既存データから派生して生成された派生データかの別を示すデータ種別情報毎にポリシーの設定内容が対応付けされたポリシー設定情報に、当該ポリシーの識別情報を対応付けして記憶するポリシー情報記憶手段、
ポリシーの設定対象となるデータの識別情報に、当該データと当該データに付与するポリシーの識別情報を対応付けて記憶すると共に、当該データが派生データの場合には派生データである旨を識別する情報を記憶するデータ情報記憶手段、
データの識別情報が指定された検索要求に応じて、前記データ情報記憶手段を参照することにより検索要求に識別情報が指定されたデータに対応付けられているポリシーの識別情報を特定すると共に、検索要求対象のデータがオリジナルデータ若しくは派生データのいずれかの種別であるかを特定し、その特定したポリシーの識別情報及び検索要求対象のデータの種別に基づき前記ポリシー情報記憶手段を検索することによって特定したポリシーの設定内容を検索要求元へ返す検索手段、
として機能させるセキュリティポリシー管理プログラム。
【請求項9】
セキュリティポリシーサーバコンピュータを、
ポリシーの設定対象となるデータの識別情報と、当該データに付与されたポリシーの識別情報と、当該ポリシーが付与されたデータから派生して派生データが生成される場合に当該派生データに付与するポリシーの識別情報とポリシーの設定内容とを含むポリシー設定情報とを対応付けて記憶するデータ情報記憶手段、
データの識別情報が指定された検索要求に応じて、前記データ情報記憶手段を参照することにより検索要求対象のデータに対応付けられているポリシーの識別情報を特定し、その特定したポリシーの識別情報に基づき前記ポリシー情報記憶手段を検索することによって得たポリシーの設定内容を検索要求元へ返す検索手段、
として機能させるセキュリティポリシー管理プログラム。
【請求項10】
セキュリティポリシーサーバコンピュータと、
セキュリティポリシーの設定に用いるクライアントコンピュータと、
を有し、
前記セキュリティポリシーサーバコンピュータは、
ポリシーの設定対象となるデータがオリジナルデータか、既存データから派生して生成された派生データかの別を示すデータ種別情報毎にポリシーの設定内容が対応付けされたポリシー設定情報に、当該ポリシーの識別情報を対応付けして記憶するポリシー情報記憶手段と、
ポリシーの設定対象となるデータの識別情報に、当該データと当該データに付与するポリシーの識別情報を対応付けて記憶すると共に、当該データが派生データの場合には派生データである旨を識別する情報を記憶するデータ情報記憶手段と、
データの識別情報が指定された検索要求に応じて、前記データ情報記憶手段を参照することにより検索要求に識別情報が指定されたデータに対応付けられているポリシーの識別情報を特定すると共に、検索要求対象のデータがオリジナルデータ若しくは派生データのいずれかの種別であるかを特定し、その特定したポリシーの識別情報及び検索要求対象のデータの種別に基づき前記ポリシー情報記憶手段を検索することによって特定したポリシーの設定内容を検索要求元へ返す検索手段と、
を有し、
前記クライアントコンピュータは、
データの識別情報を含む検索要求を前記セキュリティポリシーサーバコンピュータに送信する手段を有することを特徴とするセキュリティポリシー管理システム。
【請求項11】
セキュリティポリシーサーバコンピュータと、
セキュリティポリシーの設定に用いるクライアントコンピュータと、
を有し、
前記セキュリティポリシーサーバコンピュータは、
ポリシーの設定対象となるデータの識別情報と、当該データに付与されたポリシーの識別情報と、当該ポリシーが付与されたデータから派生して派生データが生成される場合に当該派生データに付与するポリシーの識別情報とポリシーの設定内容とを含むポリシー設定情報とを対応付けて記憶するデータ情報記憶手段と、
データの識別情報が指定された検索要求に応じて、前記データ情報記憶手段を参照することにより検索要求対象のデータに対応付けられているポリシーの識別情報を特定し、その特定したポリシーの識別情報に基づき前記ポリシー情報記憶手段を検索することによって得たポリシーの設定内容を検索要求元へ返す検索手段と、
を有し、
前記クライアントコンピュータは、
データの識別情報を含む検索要求を前記セキュリティポリシーサーバコンピュータに送信する手段を有することを特徴とするセキュリティポリシー管理システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【図31】
【図32】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【図31】
【図32】
【公開番号】特開2009−157432(P2009−157432A)
【公開日】平成21年7月16日(2009.7.16)
【国際特許分類】
【出願番号】特願2007−331813(P2007−331813)
【出願日】平成19年12月25日(2007.12.25)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.QRコード
【出願人】(000005496)富士ゼロックス株式会社 (21,908)
【Fターム(参考)】
【公開日】平成21年7月16日(2009.7.16)
【国際特許分類】
【出願日】平成19年12月25日(2007.12.25)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.QRコード
【出願人】(000005496)富士ゼロックス株式会社 (21,908)
【Fターム(参考)】
[ Back to top ]