デバイス利用制御方法、デバイス利用制御装置、デバイス利用制御システム、及びプログラム
【課題】未許可のデバイスに対してはマウントを禁止するという高いセキュリティレベルを維持しつつも、必要時にはユーザが未許可のデバイスを利用することが可能な、デバイス利用制御方法を得る。
【解決手段】デバイス利用制御方法は、コンピュータ3に接続して利用される外部接続デバイス30の利用制御を行うデバイス利用制御方法であって、外部接続デバイス30が未許可デバイスである場合には、当該デバイスのマウントを禁止するステップと、当該デバイスに対するデータの読み出し及び書き込みの少なくとも一方を制限した状態で当該デバイスのマウントを制限許可するステップとを選択的に切り替えて実行する。
【解決手段】デバイス利用制御方法は、コンピュータ3に接続して利用される外部接続デバイス30の利用制御を行うデバイス利用制御方法であって、外部接続デバイス30が未許可デバイスである場合には、当該デバイスのマウントを禁止するステップと、当該デバイスに対するデータの読み出し及び書き込みの少なくとも一方を制限した状態で当該デバイスのマウントを制限許可するステップとを選択的に切り替えて実行する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コンピュータに接続して利用されるデバイスの利用制御を行うデバイス利用制御方法、デバイス利用制御装置、デバイス利用制御システム、及びプログラムに関する。
【背景技術】
【0002】
下記特許文献1には、背景技術に係るアクセス保護システムが開示されている。当該システムにおいては、周辺デバイスがコンピュータに接続された時点で、周辺デバイスの識別情報が読み取られる。そして、読み取った識別情報に基づいて、周辺デバイスをコンピュータに接続できるか否かが決定される。許可されていない周辺デバイスに対してはコンピュータへの接続を禁止することにより、周辺デバイスの無許可接続からコンピュータを保護する。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】米国特許出願公開第2004/0098604号明細書
【発明の概要】
【発明が解決しようとする課題】
【0004】
上記特許文献1に開示されたアクセス保護システムによると、許可されていない外部接続デバイスに対してはコンピュータへのマウントを禁止する。マウントが許可されなければ、その外部接続デバイスはコンピュータによって利用可能なデバイスとしては認識されない。そのため、コンピュータのユーザは、当該外部接続デバイスに対するデータの読み出しや書き込み等の一切の操作を行うことができない。このように、許可されていない外部接続デバイスに対してはコンピュータへのマウント自体を禁止することによって、高いセキュリティ性を確保することができる。
【0005】
しかし、例えば企業で業務を遂行する上では、コンピュータに記憶されているデータを外部接続デバイスにコピーして持ち出す必要が生じる場合がある。かかる状況において許可済みの外部接続デバイスが手元に無い場合には、管理者に対して申請を行うことにより、未許可の外部接続デバイスの利用許可を受ける必要がある。申請の際には、当該外部接続デバイスの識別情報が必要となるが、ユーザや管理者が当該外部接続デバイスの識別情報を了知しているケースは極めて稀である。そのため、通常は、当該外部接続デバイスをコンピュータにマウントすることによって、記憶されている識別情報を当該外部接続デバイスから取得する必要がある。しかしながら、上記特許文献1に開示されたアクセス保護システムによると、未許可の外部接続デバイスに関してはコンピュータへのマウントが禁止されているため、当該外部接続デバイスから識別情報を取得することができない。つまり、ユーザや管理者が識別情報を了知していない限り、利用許可を受けるための申請自体を行うことができない。そのため、結果としてユーザは当該外部接続デバイスを利用できないこととなり、それによって業務が滞る事態が発生し得る。
【0006】
また、未許可の外部接続デバイスであってもマウントを許可する申請専用のコンピュータを用意し、申請時には管理者が当該コンピュータに外部接続デバイスを接続することによって、当該外部接続デバイスから識別情報を取得するという運用も考えられる。しかしながらこのような運用では、ユーザから未許可の外部接続デバイスが提出された場合に、識別情報を取得するための操作を、管理者が行う必要がある。従って、管理者の作業負担が増大するとともに、管理者が不在の場合には当該作業を行えないため、やはり業務が滞る事態が発生し得る。
【0007】
本発明はかかる事情に鑑みて成されたものであり、未許可のデバイスに対してはマウントを禁止するという高いセキュリティレベルを維持しつつも、必要時にはユーザが未許可のデバイスを利用することが可能な、デバイス利用制御方法、デバイス利用制御装置、デバイス利用制御システム、及びプログラムを得ることを目的とするものである。
【課題を解決するための手段】
【0008】
本発明の第1の態様に係るデバイス利用制御方法は、コンピュータに接続して利用されるデバイスの利用制御を行うデバイス利用制御方法であって、(A)前記コンピュータに前記デバイスが接続されると、当該デバイスに関する識別情報を当該デバイスから取得するステップと、(B)前記ステップ(A)で取得した前記識別情報に基づいて、前記デバイスが予め利用許可された許可デバイスであるか、利用許可されていない未許可デバイスであるかを判定するステップと、(C)前記ステップ(B)による判定の結果、前記デバイスが未許可デバイスである場合に、後記ステップ(D−1)と後記ステップ(D−2)とを選択的に切り替えて実行するステップと、(D−1)前記デバイスのマウントを禁止するステップ、(D−2)前記デバイスに対するデータの読み出し及び書き込みの少なくとも一方を制限した状態で前記デバイスのマウントを許可するステップ、を備えることを特徴とするものである。
【0009】
第1の態様に係るデバイス利用制御方法によれば、デバイスが未許可デバイスである場合には、ステップ(D−1)とステップ(D−2)とが選択的に切り替えて実行される。ステップ(D−1)においては、デバイスのマウントが禁止される。従って、ステップ(D−1)が選択されている場合には、許可されていないデバイスに対してコンピュータへのマウントを禁止することによって、高いセキュリティレベルを維持することができる。また、ステップ(D−2)においては、デバイスに対するデータの読み出し及び書き込みの少なくとも一方が制限された状態でデバイスのマウントが許可される。従って、ステップ(D−2)が選択されている場合には、マウントが許可された未許可デバイスから識別情報やデバイス情報を抽出して、許可デバイスとしての承認を受けるための利用申請を行うことにより、又は、承認を受けることなく未許可デバイスの利用を許可するが、当該デバイスの利用の事実を管理者等に申告するための利用申告を行うことにより、ユーザは当該デバイスを利用することができる。しかも、ステップ(D−2)において未許可デバイスのマウントを許可する場合であっても、利用申請や利用申告が完了して当該未許可デバイスに対するデータの読み出しや書き込みが可能になるまでは、当該デバイスに対するデータの読み出し及び書き込みの少なくとも一方(望ましくは双方)が制限されるため、セキュリティレベルは確保される。このように、ステップ(D−1)とステップ(D−2)とを選択的に切り替えることにより、未許可のデバイスに対してはマウントを禁止するという高いセキュリティレベルを維持しつつも、必要時にはユーザが未許可のデバイスを利用することが可能となる。
【0010】
本発明の第2の態様に係るデバイス利用制御方法は、第1の態様に係るデバイス利用制御方法において特に、前記ステップ(C)においては、前記ステップ(D−1)が選択され、所定の条件を満たした場合に前記ステップ(D−2)に切り替えられることを特徴とするものである。
【0011】
第2の態様に係るデバイス利用制御方法によれば、コンピュータを通常に使用する際にはステップ(D−1)が選択され、所定の条件を満たした場合にステップ(D−2)に切り替えられる。このように、通常時にはステップ(D−1)が選択されることにより、未許可のデバイスに対しては原則的にはマウントが禁止されるため、高いセキュリティレベルを維持することができる。
【0012】
本発明の第3の態様に係るデバイス利用制御方法は、第2の態様に係るデバイス利用制御方法において特に、前記所定の条件として、未許可デバイスの利用要求が前記コンピュータに入力された場合に、前記ステップ(D−2)に切り替えられることを特徴とするものである。
【0013】
第3の態様に係るデバイス利用制御方法によれば、未許可デバイスの利用要求がコンピュータに入力された場合に、ステップ(D−2)に切り替えられる。従って、未許可デバイスを利用する必要が生じた場合には、ユーザは、コンピュータにインストールされている専用のプログラムを起動する等して未許可デバイスの利用要求を入力することにより、未許可デバイスを利用することが可能となる。しかも、当該プログラムがインストールされていないコンピュータにおいては、未許可デバイスの利用要求を入力できないため、当該プログラムをインストールするコンピュータを制限することにより、高いセキュリティレベルを維持することができる。
【0014】
本発明の第4の態様に係るデバイス利用制御方法は、第1〜第3のいずれか一つの態様に係るデバイス利用制御方法において特に、(E)前記ステップ(D−2)において前記デバイスに対するデータの読み出し及び書き込みの少なくとも一方を制限した状態で前記デバイスのマウントを許可した場合に、所定時間の経過後に当該デバイスのマウントを禁止するステップをさらに備えることを特徴とするものである。
【0015】
第4の態様に係るデバイス利用制御方法によれば、ステップ(D−2)において未許可デバイスのマウントが許可された場合であっても、ステップ(E)において、所定時間の経過後に当該デバイスのマウントが禁止される。ここで「所定時間」とは、ユーザが未許可デバイスの利用申請等の作業を行うのに十分な時間であればよく、例えば5分乃至10分程度の時間に設定することができる。このように、未許可デバイスのマウントを永続的に許可するのではなく、所定時間の経過後に再びマウントを禁止することにより、高いセキュリティレベルを維持することが可能となる。
【0016】
本発明の第5の態様に係るデバイス利用制御方法は、第1〜第4のいずれか一つの態様に係るデバイス利用制御方法において特に、前記ステップ(D−2)は、(D−2−1)前記デバイスが未許可デバイスである場合に、当該デバイスに関するデバイス情報を当該デバイスから取得するステップと、(D−2−2)前記ステップ(D−2−1)で取得した前記デバイス情報に基づいて、利用を希望するデバイスをユーザに選択させるための選択メニューを作成し、当該選択メニューをユーザに提示するステップと、を有することを特徴とするものである。
【0017】
第5の態様に係るデバイス利用制御方法によれば、ステップ(D−2−1)では、デバイスが未許可デバイスである場合に、当該デバイスに関するデバイス情報が当該デバイスから取得される。そして、ステップ(D−2−2)では、ステップ(D−2−1)で取得したデバイス情報に基づいて、利用を希望するデバイスをユーザに選択させるための選択メニューが作成され、当該選択メニューがユーザに提示される。従って、ユーザは、提示された選択メニューからデバイスを選択するという簡易な操作によって、利用を希望するデバイスを特定することができる。また、複数の未許可デバイスがコンピュータに接続されている場合には、利用要求が入力された場合に全ての未許可デバイスのマウントをまとめて許可するのではなく、利用を希望するデバイスをユーザに選択させることにより、他の未許可デバイスに関してはマウントが許可されないため、高いセキュリティレベルを維持することができる。
【0018】
本発明の第6の態様に係るデバイス利用制御方法は、第1〜第5のいずれか一つの態様に係るデバイス利用制御方法において特に、(F)前記ステップ(D−2)において前記デバイスに対するデータの読み出し及び書き込みの少なくとも一方を制限した状態で前記デバイスのマウントを許可した場合に、当該デバイスに関して許可デバイスとしての承認を受けるための利用申請を前記コンピュータから所定のサーバ装置に通知するステップをさらに備えることを特徴とするものである。
【0019】
第6の態様に係るデバイス利用制御方法によれば、ステップ(F)では、ステップ(D−2)において未許可デバイスのマウントが許可された場合に、当該デバイスに関して許可デバイスとしての承認を受けるための利用申請が、コンピュータから所定のサーバ装置に通知される。従って、サーバ装置から管理者に対して利用申請を転送することによって、当該未許可デバイスに関して管理者による正式な承認を受けることが可能となる。
【0020】
本発明の第7の態様に係るデバイス利用制御方法は、第1〜第6のいずれか一つの態様に係るデバイス利用制御方法において特に、(G)前記ステップ(D−2)において前記デバイスに対するデータの読み出し及び書き込みの少なくとも一方を制限した状態で前記デバイスのマウントを許可した場合に、予め設定された条件に基づいて当該デバイスを許可デバイスとして承認するステップをさらに備えることを特徴とするものである。
【0021】
第7の態様に係るデバイス利用制御方法によれば、ステップ(G)では、ステップ(D−2)において未許可デバイスのマウントが許可された場合に、予め設定された条件に基づいて当該デバイスを許可デバイスとして承認する。従って、規定のセキュリティポリシ等に基づいて承認条件を予め設定しておくことにより、管理者による承認作業を経ることなく、未許可デバイスを許可デバイスとして自動で承認することができる。その結果、管理者の作業負担を軽減できるとともに、ユーザは当該未許可デバイスを即座に利用することが可能となる。
【0022】
本発明の第8の態様に係るデバイス利用制御方法は、第1〜第7のいずれか一つの態様に係るデバイス利用制御方法において特に、(H)前記ステップ(D−2)において前記デバイスに対するデータの読み出し及び書き込みの少なくとも一方を制限した状態で前記デバイスのマウントを許可した場合に、当該デバイス内に記憶されているファイルに関する情報を取得するステップをさらに備えることを特徴とするものである。
【0023】
第8の態様に係るデバイス利用制御方法によれば、ステップ(H)では、ステップ(D−2)において未許可デバイスのマウントが許可された場合に、当該デバイス内に記憶されているファイルに関する情報が取得される。従って、未許可デバイスのマウントを許可した場合に、当該デバイスによってどのようなファイルが持ち出されたかを、ファイル情報を取得することによって管理することができる。また、ユーザが未許可デバイスを紛失した場合等であっても、どのようなファイルが外部に流出する可能性があるかを、ファイル情報を取得することによって管理することができる。
【0024】
本発明の第9の態様に係るデバイス利用制御方法は、第8の態様に係るデバイス利用制御方法において特に、前記ステップ(H)においては、前記デバイスのマウントを許可したタイミング、前記コンピュータから前記デバイスにデータが書き込まれているタイミング、及び前記コンピュータから前記デバイスへのデータの書き込みが完了したタイミング、の少なくとも一つにおいて、当該デバイス内に記憶されているファイルに関する情報が取得されることを特徴とするものである。
【0025】
第9の態様に係るデバイス利用制御方法によれば、デバイスのマウントを許可したタイミングでデバイス内のファイル情報を取得することにより、コンピュータからファイルを持ち出す前にデバイス内にどのようなファイルが記憶されていたかを管理することができる。また、コンピュータからデバイスにデータが書き込まれているタイミング、又はコンピュータからデバイスへのデータの書き込みが完了したタイミングで、デバイス内のファイル情報を取得することにより、デバイスによってどのようなファイルが持ち出されたかを管理することができる。
【0026】
本発明の第10の態様に係るデバイス利用制御装置は、コンピュータに接続して利用されるデバイスの利用制御を行うデバイス利用制御装置であって、前記コンピュータに前記デバイスが接続されると、当該デバイスに関する識別情報を当該デバイスから取得する取得部と、前記取得部で取得した前記識別情報に基づいて、前記デバイスが予め利用許可された許可デバイスであるか、利用許可されていない未許可デバイスであるかを判定する判定部と、前記判定部による判定の結果に基づいて、前記デバイスの利用制御を行う制御部と、を備え、前記制御部は、前記デバイスが未許可デバイスである場合には、前記デバイスのマウントを禁止する第1の利用制御と、前記デバイスに対するデータの読み出し及び書き込みの少なくとも一方を制限した状態で前記デバイスのマウントを許可する第2の利用制御と、を選択的に切り替えて実行することを特徴とするものである。
【0027】
第10の態様に係るデバイス利用制御装置によれば、デバイスが未許可デバイスである場合には、制御部は、第1の利用制御において、デバイスのマウントを禁止する。従って、第1の利用制御が選択されている場合には、許可されていないデバイスに対してコンピュータへのマウントを禁止することによって、高いセキュリティレベルを維持することができる。また、デバイスが未許可デバイスである場合には、制御部は、第2の利用制御において、デバイスに対するデータの読み出し及び書き込みの少なくとも一方を制限した状態でデバイスのマウントを許可する。従って、第2の利用制御が選択されている場合には、マウントが許可された未許可デバイスから識別情報やデバイス情報を抽出して、許可デバイスとしての承認を受けるための利用申請を行うことにより、又は、承認を受けることなく未許可デバイスの利用を許可するが、当該デバイスの利用の事実を管理者等に申告するための利用申告を行うことにより、ユーザは当該デバイスを利用することができる。しかも、第2の利用制御において未許可デバイスのマウントを許可する場合であっても、利用申請や利用申告が完了して当該未許可デバイスに対するデータの読み出しや書き込みが可能になるまでは、当該デバイスに対するデータの読み出し及び書き込みの少なくとも一方(望ましくは双方)が制限されるため、セキュリティレベルは確保される。このように、第1の利用制御と第2の利用制御とを選択的に切り替えることにより、未許可のデバイスに対してはマウントを禁止するという高いセキュリティレベルを維持しつつも、必要時にはユーザが未許可のデバイスを利用することが可能となる。
【0028】
本発明の第11の態様に係るデバイス利用制御システムは、コンピュータに接続して利用されるデバイスの利用制御を行うデバイス利用制御システムであって、前記コンピュータと、前記コンピュータと通信可能なサーバ装置と、を備え、前記コンピュータは、前記コンピュータに前記デバイスが接続されると、当該デバイスに関する識別情報を当該デバイスから取得する取得部と、前記デバイスが予め利用許可された許可デバイスであるか、利用許可されていない未許可デバイスであるかを、前記取得部で取得した前記識別情報と、前記サーバ装置で管理されている許可デバイスの識別情報のリスト情報とを比較することにより判定する判定部と、前記判定部による判定の結果に基づいて、前記デバイスの利用制御を行う制御部と、を有し、前記制御部は、前記デバイスが未許可デバイスである場合には、前記デバイスのマウントを禁止する第1の利用制御と、前記デバイスに対するデータの読み出し及び書き込みの少なくとも一方を制限した状態で前記デバイスのマウントを許可する第2の利用制御と、を選択的に切り替えて実行することを特徴とするものである。
【0029】
第11の態様に係るデバイス利用制御システムによれば、デバイスが未許可デバイスである場合には、制御部は、第1の利用制御において、デバイスのマウントを禁止する。従って、第1の利用制御が選択されている場合には、許可されていないデバイスに対してコンピュータへのマウントを禁止することによって、高いセキュリティレベルを維持することができる。また、デバイスが未許可デバイスである場合には、制御部は、第2の利用制御において、デバイスに対するデータの読み出し及び書き込みの少なくとも一方を制限した状態でデバイスのマウントを許可する。従って、第2の利用制御が選択されている場合には、マウントが許可された未許可デバイスから識別情報やデバイス情報を抽出して、許可デバイスとしての承認を受けるための利用申請を行うことにより、又は、承認を受けることなく未許可デバイスの利用を許可するが、当該デバイスの利用の事実を管理者等に申告するための利用申告を行うことにより、ユーザは当該デバイスを利用することができる。しかも、第2の利用制御において未許可デバイスのマウントを許可する場合であっても、利用申請や利用申告が完了して当該未許可デバイスに対するデータの読み出しや書き込みが可能になるまでは、当該デバイスに対するデータの読み出し及び書き込みの少なくとも一方(望ましくは双方)が制限されるため、セキュリティレベルは確保される。このように、第1の利用制御と第2の利用制御とを選択的に切り替えることにより、未許可のデバイスに対してはマウントを禁止するという高いセキュリティレベルを維持しつつも、必要時にはユーザが未許可のデバイスを利用することが可能となる。
【0030】
本発明の第12の態様に係るプログラムは、コンピュータに接続して利用されるデバイスの利用制御を行うためのプログラムであって、前記コンピュータに、(A)前記コンピュータに前記デバイスが接続されると、当該デバイスに関する識別情報を当該デバイスから取得するステップと、(B)前記ステップ(A)で取得した前記識別情報に基づいて、前記デバイスが予め利用許可された許可デバイスであるか、利用許可されていない未許可デバイスであるかを判定するステップと、(C)前記ステップ(B)による判定の結果、前記デバイスが未許可デバイスである場合に、後記ステップ(D−1)と後記ステップ(D−2)とを選択的に切り替えて実行するステップと、(D−1)前記デバイスのマウントを禁止するステップ、(D−2)前記デバイスに対するデータの読み出し及び書き込みの少なくとも一方を制限した状態で前記デバイスのマウントを許可するステップ、を実行させるための、プログラムである。
【0031】
第12の態様に係るプログラムによれば、デバイスが未許可デバイスである場合には、ステップ(D−1)とステップ(D−2)とが選択的に切り替えて実行される。ステップ(D−1)においては、デバイスのマウントが禁止される。従って、ステップ(D−1)が選択されている場合には、許可されていないデバイスに対してコンピュータへのマウントを禁止することによって、高いセキュリティレベルを維持することができる。また、ステップ(D−2)においては、デバイスに対するデータの読み出し及び書き込みの少なくとも一方が制限された状態でデバイスのマウントが許可される。従って、ステップ(D−2)が選択されている場合には、マウントが許可された未許可デバイスから識別情報やデバイス情報を抽出して、許可デバイスとしての承認を受けるための利用申請を行うことにより、又は、承認を受けることなく未許可デバイスの利用を許可するが、当該デバイスの利用の事実を管理者等に申告するための利用申告を行うことにより、ユーザは当該デバイスを利用することができる。しかも、ステップ(D−2)において未許可デバイスのマウントを許可する場合であっても、利用申請や利用申告が完了して当該未許可デバイスに対するデータの読み出しや書き込みが可能になるまでは、当該デバイスに対するデータの読み出し及び書き込みの少なくとも一方(望ましくは双方)が制限されるため、セキュリティレベルは確保される。このように、ステップ(D−1)とステップ(D−2)とを選択的に切り替えることにより、未許可のデバイスに対してはマウントを禁止するという高いセキュリティレベルを維持しつつも、必要時にはユーザが未許可のデバイスを利用することが可能となる。
【発明の効果】
【0032】
本発明によれば、未許可のデバイスに対してはマウントを禁止するという高いセキュリティレベルを維持しつつも、必要時にはユーザが未許可のデバイスを利用することが可能となる。
【図面の簡単な説明】
【0033】
【図1】本発明の実施の形態に係るデバイス利用制御システムの全体構成を簡略化して示す図である。
【図2】コンピュータのハードウェア構成を示す図である。
【図3】プログラムを実行することによって処理部に実現される機能を示すブロック図である。
【図4】表示部に表示される案内画面の一例を示す図である。
【図5】利用管理画面が起動された場合に実行される処理の流れを簡略化して示す図である。
【図6】利用管理画面の一例を示す図である。
【図7】確認画面の一例を示す図である。
【図8】接続要求画面の一例を示す図である。
【図9】利用申請画面の一例を示す図である。
【図10】利用可否画面の一例を示す図である。
【図11】取外し許可画面の一例を示す図である。
【図12】利用管理画面が起動された場合に実行される処理の流れを簡略化して示す図である。
【発明を実施するための形態】
【0034】
以下、本発明の実施の形態について、図面を用いて詳細に説明する。なお、異なる図面において同一の符号を付した要素は、同一又は相応する要素を示すものとする。
【0035】
図1は、本発明の実施の形態に係るデバイス利用制御システム1の全体構成を簡略化して示す図である。デバイス利用制御システム1は、例えば企業内のコンピュータネットワークに適用される。図1の接続関係で示すように、デバイス利用制御システム1は、サーバ装置2と、ユーザが使用するコンピュータ3と、専用網やIP(Internet Protocol)網等の通信ネットワーク4と、管理者が使用するコンピュータ5とを備えて構成されている。サーバ装置2、コンピュータ3、及びコンピュータ5は、通信ネットワーク4を介して相互にデータ通信が可能である。
【0036】
図2は、コンピュータ3のハードウェア構成を示す図である。図2の接続関係で示すように、コンピュータ3は、CPU(Central Processing Unit)等の処理部11と、液晶ディスプレイ等の表示部12と、通信ネットワーク4を介してデータ通信を行うための通信部13と、半導体メモリやハードディスク等の記憶部14と、マウスやキーボード等の入力部15と、USB(Universal Serial Bus)メモリ等の外部接続デバイス30を接続するための外部インタフェース16とを備えて構成されている。記憶部14には、クライアントプログラムとしてのプログラム20が記憶されている。
【0037】
ユーザは、コンピュータ3に記憶されているデータを外部接続デバイス30にコピーしたい場合や、外部接続デバイス30に記憶されているデータをコンピュータ3にコピーしたい場合等に、外部接続デバイス30を外部インタフェース16に接続(挿入)する。本実施の形態に係るデバイス利用制御システム1では、セキュリティ上の観点から、ユーザが利用する外部接続デバイス30に関して事前に利用申請を受けることが義務付けられている。以下、本明細書では、利用申請に対する管理者の承認を受けたことによって利用が許可された外部接続デバイスを「許可デバイス」と称し、管理者の承認を受けていないことによって利用が許可されていない外部接続デバイスを「未許可デバイス」と称する。
【0038】
図3は、プログラム20を実行することによって処理部11に実現される機能を示すブロック図である。図3に示すように、処理部11は、識別情報取得部40、デバイス情報取得部41、ファイル情報取得部42、判定部43、制御部44、承認部45、及び通知部46を有する。換言すれば、プログラム20は、デバイス利用制御装置としてのコンピュータ3を、識別情報取得部40、デバイス情報取得部41、ファイル情報取得部42、判定部43、制御部44、承認部45、及び通知部46として機能させるためのプログラムである。
【0039】
図2,3を参照して、外部接続デバイス30が外部インタフェース16に接続されると、識別情報取得部40は、外部接続デバイス30の識別情報をデータD1として外部接続デバイス30から読み出す。識別情報は、外部接続デバイス毎の固有のシリアル番号等である。識別情報取得部40は、読み出したデータD1を判定部43に入力する。なお、識別情報には、後述のデバイス情報と同様に、メーカーIDやベンダーID等を含めてもよい。また、上記固有のシリアル番号自体がメーカーID等を一部に含む形態であってもよいし、上記固有のシリアル番号から一意にメーカー等を特定できるようになっていてもよい。
【0040】
記憶部14には、許可デバイスの識別情報の一覧を表すリスト情報が記憶されている。リスト情報は、例えば、利用申請に対する承認を行う度に管理者によって更新され、サーバ装置2によって管理されている。サーバ装置2は、例えば、リスト情報が更新される度に通信ネットワーク4を介してコンピュータ3に更新後のリスト情報を送信する。コンピュータ3は、受信したリスト情報を記憶部14に記憶する。判定部43は、記憶部14に記憶されているリスト情報をデータD2として読み出すことが可能である。
【0041】
判定部43は、識別情報取得部40から入力されたデータD1と、記憶部14から読み出したデータD2とを比較することにより、外部接続デバイス30の識別情報がリスト情報に含まれているか否かを判定する。外部接続デバイス30が許可デバイスである場合には、その識別情報はリスト情報に含まれており、一方、外部接続デバイス30が未許可デバイスである場合には、その識別情報はリスト情報に含まれていない。
【0042】
判定部43は、外部接続デバイス30の識別情報がリスト情報に含まれているか否かの判定の結果を、データD3として制御部44に入力する。制御部44は、入力されたデータD3に基づいて、コンピュータ3への外部接続デバイス30のマウントを制御する。ここで、「マウント」とは、単に物理的に接続されているだけでなく、操作可能に接続されることを意味する。具体的に、制御部44は、外部接続デバイス30が許可デバイスである場合には、外部接続デバイス30のマウントを許可し、一方、外部接続デバイス30が未許可デバイスである場合には、外部接続デバイス30のマウントを禁止する。そして、マウントの許可/禁止を制御するための制御信号D4を外部インタフェース16に入力する。なお、許可デバイスに対してマウントを許可する場合であっても、企業のセキュリティポリシ等に基づいて許可範囲に制限が設定されている場合(例えば、外部接続デバイスへのデータの書き込みのみが許可され、外部接続デバイスからのデータの読み出しは禁止されている場合)には、その制限の範囲内でマウントを許可する。また、未許可デバイスに対してマウントを禁止する場合であっても、当該デバイスが利用申請等を希望するデバイスであるか否かをユーザが確認できるようにするために、データの読み出しのみを許可してもよい。但し、データの読み出しを許可するのではなく、読み出し及び書き込みの双方を禁止した状態で、当該デバイスに記憶されているファイルのファイル名の一覧を抽出し、当該ファイル名の一覧をユーザに対して提示するようにしてもよい。ファイル名の一覧が提示されることにより、ユーザは、当該デバイスが利用申請等を希望するデバイスであるか否かを容易に確認することができる。
【0043】
また、制御部44は、外部接続デバイス30が未許可デバイスである場合には、当該デバイスは未許可であるため利用できない旨、及び、利用したい場合には所定の利用管理画面の起動を促す内容のメッセージを含む案内画面50を、データD5によって表示部12に表示してもよい。図4は、表示部12に表示される案内画面50の一例を示す図である。
【0044】
コンピュータ3のユーザは、未許可デバイスである外部接続デバイス30を利用したい場合には、案内画面50に従って利用管理画面を起動する。
【0045】
図5は、利用管理画面が起動された場合に実行される処理の流れを簡略化して示す図である。
【0046】
まずステップSP101においてユーザは、入力部15を操作することによって利用管理画面51を起動する。利用管理画面51の起動命令は、データD6として入力部15から制御部44に入力される。
【0047】
次にステップSP102において制御部44は、利用管理画面51の起動命令が入力されたことにより、データD5によって利用管理画面51を表示部12に表示する。図6は、利用管理画面51の一例を示す図である。本実施の形態に係るプログラム20では、未許可デバイスの利用の態様として、許可デバイスとしての承認を受けるための利用申請と、承認を受けることなく未許可デバイスの利用を許可するが、当該デバイスの利用の事実を管理者等に申告するための利用申告とが用意されている。利用管理画面51には、利用申請及び利用申告の各々の選択ボタンが表示されている。利用申告を行うことで、情報漏洩等の何らかの不正が発覚した場合に、利用申告で収集した情報を事後的な原因調査に用いることができる。
【0048】
次にステップSP103においてユーザは、入力部15を操作することによって、利用申請又は利用申告の選択ボタンを押下する。ここでは、利用申請が選択されたものとする。ユーザによる利用態様の選択結果は、データD6として入力部15から制御部44に入力される。
【0049】
次にステップSP104において制御部44は、利用態様の選択結果が入力されたことにより、データD5によって確認画面52を表示部12に表示する。図7は、確認画面52の一例を示す図である。確認画面52には、選択した利用態様で正しいか否かをユーザに確認するための選択ボタンが表示されている。図7に示した例では、利用態様の選択が正しい場合に押下される「はい」と表示された選択ボタンと、利用態様の選択が誤っている場合に押下される「戻る」と表示された選択ボタンとが表示されている。
【0050】
次にステップSP105においてユーザは、入力部15を操作することによって、「はい」又は「戻る」の選択ボタンを押下する。ここでは、「はい」と表示された選択ボタンが押下されたものとする。ユーザによる利用態様の確認結果は、データD6として入力部15から制御部44に入力される。なお、「戻る」と表示された選択ボタンが押下された場合には、利用管理画面51が表示部12に再表示される。
【0051】
次にステップSP106において制御部44は、利用態様の確認結果が入力されたことにより、データD5によって接続要求画面53を表示部12に表示する。図8は、接続要求画面53の一例を示す図である。接続要求画面53には、コンピュータへの外部接続デバイスの接続を促す内容のメッセージが表示されている。また、図8に示した例では、取り外しを許可するまでコンピュータから外部接続デバイスを取り外してはならないことを示す内容のメッセージが、接続要求画面53に併せて表示されている。
【0052】
また、ステップSP106において制御部44は、利用態様の確認結果が入力されたことにより、コンピュータ3への外部接続デバイス30のマウントを制限付きで許可し(以下「制限許可」と称す)、制限許可に対応する制御信号D4を外部インタフェース16に入力する。マウントが制限許可された状態では、外部接続デバイス30からの識別情報やデバイス情報の取得は許可されるが、外部接続デバイス30に対するデータの読み出し及び書き込みの少なくとも一方が禁止される。ここで、利用申請に必要な識別情報やデバイス情報を取得することが制限許可の目的であるため、セキュリティ上、読み出し及び書き込みの双方を禁止することが望ましい。
【0053】
次にステップSP107においてユーザは、利用したい外部接続デバイス30を外部インタフェース16に接続する。その後、入力部15を操作することによって、接続要求画面53に表示されている接続完了ボタンを押下する。接続完了ボタンが押下されることにより、接続完了通知がデータD6として入力部15から制御部44に入力される。
【0054】
次にステップSP108においてデバイス情報取得部41は、制御部44からの命令により、外部インタフェース16に接続されている外部接続デバイス30(複数のデバイスが接続されている場合は全てのデバイス)に関するデバイス情報を取得する。例えば、メーカーID、ベンダーID、及びシリアル番号が、デバイス情報として取得される。デバイス情報取得部41が取得したデバイス情報は、データD7として制御部44に入力される。
【0055】
また、ステップSP108において制御部44は、入力されたデバイス情報に基づいて利用申請画面54を作成し、作成した利用申請画面54をデータD5によって表示部12に表示する。図9は、利用申請画面54の一例を示す図である。利用申請画面54には、デバイス情報に基づいて特定した外部接続デバイス30に関する情報(メーカー名等)と、利用を希望する外部接続デバイス30をユーザに選択させる内容のメッセージ及びチェックボックス(選択メニュー)と、外部接続デバイス30の利用目的をユーザが記入するための記入欄と、入力完了ボタンとが表示されている。図9に示した例では、2個の外部接続デバイス30が外部インタフェース16に接続されており、そのうちの利用を希望する外部接続デバイス30をユーザに選択させる内容のメッセージ及びチェックボックスが、利用申請画面54に表示されている。なお、利用申請画面54には、申請者の氏名や所属部署名、申請日時、利用希望期間等を申請者に記入させるための他の表示項目を追加してもよい。また、当該デバイスが利用申請等を希望するデバイスであるか否かをユーザが容易に確認できるようにするために、当該デバイスに記憶されているファイルのファイル名の一覧を抽出し、当該ファイル名の一覧を利用申請画面54に含めてユーザに提示するようにしてもよい。さらに、利用申請画面54には、ユーザが外部接続デバイス30を接続してから、利用申請の作業を完了するまで(つまり後述の入力完了ボタンを押下するまで)の制限時間(以下「申請制限時間」と称す)を表示してもよい。申請制限時間は、例えば5分乃至10分程度の任意の時間に設定することができる。制御部44は、ステップSP107で外部接続デバイス30が接続された時点からの時間の経過を監視し、当該時点から申請制限時間が経過したタイミングで、事前の警告の後に外部接続デバイス30の制限許可を停止してマウントを禁止する。
【0056】
なお、利用管理画面51で利用申請の選択ボタンが押下された場合には、確認画面52の表示を省略して直ちに制限許可の状態に遷移してもよく、その後、接続要求画面53の表示も省略して利用申請画面54を表示するようにしてもよい。この場合、利用申請画面54を定期的に自動更新することで常に最新の情報が表示されるようにしておき、ユーザが利用申請を行う対象の外部接続デバイス30を接続することによって、利用申請画面54内で当該デバイスを選択可能なようにしてもよい。あるいは、利用申請画面54内に再表示ボタン(図示せず)を設けておき、ユーザが利用申請を行う対象の外部接続デバイス30を接続した後に再表示ボタンを押下することによって、利用申請画面54内で当該デバイスを選択可能なようにしてもよい。このように、何らかのユーザ操作を契機として制限許可の状態に遷移した後に、ユーザが接続したデバイスを利用申請画面54内で選択できるようになっていれば、どのような方法を用いても構わない。
【0057】
次にステップSP109においてユーザは、入力部15を操作することによって、利用を希望する外部接続デバイス30を選択するとともに、外部接続デバイス30の利用目的を記入し、その後、入力完了ボタンを押下する。入力完了ボタンが押下されることにより、利用申請画面54への入力内容がデータD6として入力部15から制御部44に入力される。
【0058】
次にステップSP110において制御部44は、利用申請画面54への入力内容を含む自動承認要求を、データD8として承認部45に入力する。
【0059】
記憶部14には、利用申請に対して承認を行うか否かを決定するための承認ルールが記憶されている。承認ルールは、例えば、企業のセキュリティポリシに従って作成され、サーバ装置2によって管理されている。例えば、製造メーカーが特定のメーカーであること、セキュリティ機能付きのデバイスであること、記憶容量が所定値以下であること等を、承認ルールとして設定することができる。サーバ装置2は、通信ネットワーク4を介してコンピュータ3に承認ルールを送信する。コンピュータ3は、受信した承認ルールを記憶部14に記憶する。承認部45は、記憶部14に記憶されている承認ルールをデータD9として読み出すことが可能である。
【0060】
承認部45は、制御部44から入力された自動承認要求と、記憶部14から読み出した承認ルールとに基づいて、外部接続デバイス30に関する利用申請が承認ルールに適合しているか否かを判定する。そして、その判定の結果を、データD10として制御部44に入力する。
【0061】
制御部44は、利用申請が承認ルールに適合している場合には、外部接続デバイス30のマウントを許可することにより、外部接続デバイス30に対するデータの読み出し及び書き込みを可能とする。但し、上記と同様に許可範囲に制限が設定されている場合には、その制限の範囲内でマウントを許可する。そして、マウントを許可するための制御信号D4を外部インタフェース16に入力する。一方、利用申請が承認ルールに適合していない場合には、外部接続デバイス30のマウントを禁止する。そして、マウントを禁止するための制御信号D4を外部インタフェース16に入力する。
【0062】
また、制御部44は、利用申請が承認ルールに適合しているか否かを示す利用可否画面55を、データD5によって表示部12に表示する。図10は、利用可否画面55の一例を示す図である。ここでは、利用申請が承認ルールに適合している場合の表示例を示している。図10に示した例において、利用可否画面55には、外部接続デバイス30を利用可能である旨を示すメッセージと、利用制限時間を示すメッセージと、利用終了後に利用終了ボタンを押下することを促す内容のメッセージとが表示されている。
【0063】
利用制限時間は、自動承認要求によって承認を受けた場合に自動で設定され、承認ルールによって任意の時間(例えば30分間)を設定することができる。但し、利用制限時間を設定しないことも可能である。制御部44は、外部接続デバイス30のマウントを許可した時点からの時間の経過を監視し、当該時点から利用制限時間が経過したタイミングで、事前の警告の後に外部接続デバイス30のマウントを禁止する。
【0064】
また、ステップSP110においてファイル情報取得部42は、制御部44から入力される取得命令D13に従い、外部接続デバイス30のマウントを許可した時点で外部接続デバイス30に記憶されている全てのファイルに関する情報(以下「ファイル情報」と称す)を、データD14として外部接続デバイス30から取得する。ファイル情報には、例えば、ファイル名、パス、更新日時、サイズ等が含まれる。データD14は、ファイル情報取得部42から通信部13に入力された後、通信部13から通信ネットワーク4を介してサーバ装置2に送信される。これにより、外部接続デバイス30のマウントを許可したタイミングでのファイル情報が、サーバ装置2によって管理される。
【0065】
また、ステップSP110において制御部44は、利用申請画面54への入力内容を含む正式承認要求を、データD11として通知部46に入力する。データD11は、通知部46から通信部13に入力された後、通信部13から通信ネットワーク4を介してサーバ装置2に送信される。
【0066】
次にステップSP111においてサーバ装置2は、受信したデータD11を、通信ネットワーク4を介して管理者のコンピュータ5に転送する。管理者は、データD11で表される正式承認要求に従って利用申請に対する承認の可否を決定し、その結果をサーバ装置2に返信する。サーバ装置2は、管理者によって利用申請が承認された場合には、その旨を示すデータD12を、通信ネットワーク4を介してコンピュータ3に送信する。データD12は、通信部13によって受信され、通信部13から通知部46を介して制御部44に入力される。上記の利用制限時間内にデータD12が入力された場合には、利用制限時間の制約が解除され、利用制限時間の経過後もマウントの許可状態が維持されることによって、ユーザは外部接続デバイス30を継続して利用することが可能となる。一方、管理者によって利用申請が承認されなかった場合や、承認されたが利用制限時間内にデータD12が制御部44に入力されなかった場合には、利用制限時間が経過したタイミングで、事前の警告の後に外部接続デバイス30のマウントが禁止される。なお、利用申請を承認しない旨のデータD12が利用制限時間内に制御部44に入力された場合には、利用制限時間の経過を待つことなく、事前の警告の後に外部接続デバイス30のマウントを直ちに禁止してもよい。
【0067】
上記の通りステップSP110において制御部44は、利用申請が承認ルールに適合している場合には、外部接続デバイス30のマウントを許可する。これにより、ステップSP112においてユーザは、外部接続デバイス30を利用して、データの読み出しや書き込み等の操作を行う。
【0068】
制御部44は、外部接続デバイス30の操作を逐次監視している。コンピュータ3から外部接続デバイス30にデータを書き込む操作が行われると、ステップSP113においてファイル情報取得部42は、制御部44から入力される取得命令D13に従い、外部接続デバイス30にデータが書き込まれている時点でのファイル情報を、データD14として外部接続デバイス30から取得する。データD14は、ファイル情報取得部42から通信部13に入力された後、通信部13から通信ネットワーク4を介してサーバ装置2に送信される。これにより、コンピュータ3から外部接続デバイス30にデータが書き込まれているタイミングでのファイル情報が、サーバ装置2によって管理される。
【0069】
外部接続デバイス30の利用が終了すると、次にステップSP114においてユーザは、入力部15を操作することによって、利用可否画面55に表示されている利用終了ボタンを押下する。利用終了ボタンが押下された旨の情報は、データD6として入力部15から制御部44に入力される。
【0070】
次にステップSP115においてファイル情報取得部42は、制御部44から入力される取得命令D13に従い、利用終了時点でのファイル情報を、データD14として外部接続デバイス30から取得する。データD14は、ファイル情報取得部42から通信部13に入力された後、通信部13から通信ネットワーク4を介してサーバ装置2に送信される。これにより、コンピュータ3から外部接続デバイス30へのデータの書き込みが完了したタイミングでのファイル情報が、サーバ装置2によって管理される。
【0071】
ファイル情報の取得が完了した後、制御部44は、データD5によって取外し許可画面56を表示部12に表示する。図11は、取外し許可画面56の一例を示す図である。取外し許可画面56には、コンピュータ3から外部接続デバイス30を取り外すことを許可する内容のメッセージが表示されている。
【0072】
次にステップSP116においてユーザは、コンピュータ3から外部接続デバイス30を取り外す。
【0073】
なお、以上の説明では、マウント許可時、利用中、及び利用終了後の三つのタイミングでファイル情報を取得する例について述べたが、必ずしも全てのタイミングでファイル情報の取得を実行する必要はなく、少なくとも一つのタイミングで実行すればよい。また、利用申請においては、ファイル情報の取得を省略してもよい。
【0074】
また、以上の説明では、正式承認に関するデータD12が利用制限時間内に入力されたことを条件として、外部接続デバイス30の継続的な利用が許可されたが、データD12の取得を省略して、利用申請が承認ルールに適合している場合に外部接続デバイス30の継続的な利用を許可してもよい。具体的には、承認部45は、制御部44から入力された自動承認要求(データD8)と、記憶部14から読み出した承認ルール(データD9)とに基づいて、外部接続デバイス30に関する利用申請が承認ルールに適合しているか否かを判定し、その判定の結果をデータD10として制御部44に入力する。制御部44は、利用申請が承認ルールに適合している場合には、利用制限時間を設定することなく外部接続デバイス30のマウントを継続的に許可し、一方、利用申請が承認ルールに適合していない場合には、外部接続デバイス30のマウントを禁止する。また、外部接続デバイス30のマウントを継続的に許可した場合には、その事実を報告するための許可報告を制御部44から通知部46に入力し、当該許可報告を通知部46から通信部13及び通信ネットワーク4を介してサーバ装置2に送信してもよい。
【0075】
また、以上の説明では、利用申請が承認ルールに適合しているか否かをコンピュータ3内の承認部45によって判定する例について述べたが、サーバ装置2によって判定を行ってもよい。具体的には、入力部15から制御部44に自動承認要求(データD8)が入力されると、制御部44は、当該自動承認要求を通知部46から通信部13及び通信ネットワーク4を介してサーバ装置2に送信する。サーバ装置2は、自らが管理している承認ルールに基づいて、受信した自動承認要求が承認ルールに適合しているか否かを判定する。サーバ装置2は、判定結果を通信ネットワーク4を介してコンピュータ3に送信する。判定結果は、通信部13によって受信され、通信部13から通知部46を介して制御部44に入力される。制御部44は、利用申請が承認ルールに適合している旨の判定結果が入力された場合には、利用制限時間を設定することなく外部接続デバイス30のマウントを継続的に許可し、一方、利用申請が承認ルールに適合していない旨の判定結果が入力された場合には、外部接続デバイス30のマウントを禁止する。なお、この例において、利用申請が承認ルールに適合しているか否かの判定を、サーバ装置2ではなく管理者が行ってもよい。サーバ装置2は、コンピュータ3から自動承認要求を受信すると、受信した自動承認要求を、通信ネットワーク4を介して管理者のコンピュータ5に転送する。管理者は、受信した自動承認要求に従って利用申請に対する承認の可否を決定し、その承認結果をサーバ装置2に返信する。サーバ装置2は、受信した承認結果を通信ネットワーク4を介してコンピュータ3に送信する。承認結果は、通信部13によって受信され、通信部13から通知部46を介して制御部44に入力される。制御部44は、利用を許可する旨の承認結果が入力された場合には、利用制限時間を設定することなく外部接続デバイス30のマウントを継続的に許可し、一方、利用を許可しない旨の承認結果が入力された場合には、外部接続デバイス30のマウントを禁止する。
【0076】
図12は、利用管理画面が起動された場合に実行される処理の流れを簡略化して示す図である。ここでは、利用申請ではなく利用申告が選択された場合の例を示している。以下、利用申請が選択された場合の例(図5)との相違点を中心に説明する。
【0077】
まずステップSP201においてユーザは、利用管理画面51を起動する。
【0078】
次にステップSP202において制御部44は、利用管理画面51を表示部12に表示する。
【0079】
次にステップSP203においてユーザは、利用管理画面51に表示されている利用申請又は利用申告の選択ボタンを押下する。ここでは、利用申告が選択されたものとする。
【0080】
次にステップSP204において制御部44は、確認画面52を表示部12に表示する。
【0081】
次にステップSP205においてユーザは、確認画面52に表示されている「はい」又は「戻る」の選択ボタンを押下する。ここでは、「はい」と表示された選択ボタンが押下されたものとする。
【0082】
次にステップSP206において制御部44は、接続要求画面53を表示部12に表示する。また、制御部44は、外部接続デバイス30のマウントを制限許可する。
【0083】
次にステップSP207においてユーザは、外部接続デバイス30を外部インタフェース16に接続した後、接続要求画面53に表示されている接続完了ボタンを押下する。
【0084】
次にステップSP208においてデバイス情報取得部41は、外部接続デバイス30に関するデバイス情報を取得する。また、制御部44は、デバイス情報に基づいて利用申告画面(図9に示した利用申請画面54と同じでよい)を作成して表示部12に表示する。
【0085】
次にステップSP209においてユーザは、利用申告画面において、利用を希望する外部接続デバイス30を選択するとともに、外部接続デバイス30の利用目的を記入し、その後、入力完了ボタンを押下する。利用申告画面の入力内容は、通信部13から通信ネットワーク4を介してサーバ装置2に送信される。
【0086】
次にステップSP210において制御部44は、外部接続デバイス30のマウントを許可することにより、コンピュータ3から外部接続デバイス30へのデータの書き込みを可能とする。利用申請とは異なり利用申告においては、管理者等の承認を受けることなく未許可デバイスの利用が許可される。そして、マウントを許可するための制御信号D4を外部インタフェース16に入力する。
【0087】
また、ステップSP210において制御部44は、外部接続デバイス30を利用できることを示す利用可能画面(図10に示した利用可否画面55と同じでよい)を、表示部12に表示する。利用申告においては、原則として利用制限時間(例えば30分間)が設定されており、図10に示した例と同様に、利用制限時間を示すメッセージが利用可能画面に表示されている。
【0088】
また、ステップSP210においてファイル情報取得部42は、外部接続デバイス30のマウントを許可した時点でのファイル情報を、外部接続デバイス30から取得する。取得したファイル情報は、通信部13から通信ネットワーク4を介してサーバ装置2に送信される。
【0089】
次にステップSP211においてユーザは、外部接続デバイス30を利用して、コンピュータ3から外部接続デバイス30へのデータの書き込み操作を行う。
【0090】
次にステップSP212においてファイル情報取得部42は、外部接続デバイス30にデータが書き込まれている時点でのファイル情報を、外部接続デバイス30から取得する。取得したファイル情報は、通信部13から通信ネットワーク4を介してサーバ装置2に送信される。
【0091】
外部接続デバイス30の利用が終了すると、次にステップSP213においてユーザは、利用可能画面に表示されている利用終了ボタンを押下する。
【0092】
次にステップSP214においてファイル情報取得部42は、利用終了時点でのファイル情報を外部接続デバイス30から取得する。取得したファイル情報は、通信部13から通信ネットワーク4を介してサーバ装置2に送信される。
【0093】
ファイル情報の取得が完了した後、制御部44は、取外し許可画面56を表示部12に表示する。
【0094】
次にステップSP215においてユーザは、コンピュータ3から外部接続デバイス30を取り外す。
【0095】
なお、以上の説明では、マウント許可時、利用中、及び利用終了後の三つのタイミングでファイル情報を取得する例について述べたが、必ずしも全てのタイミングでファイル情報の取得を実行する必要はなく、少なくとも一つのタイミングで実行すればよい。
【0096】
また、コンピュータ3が通信ネットワーク4に接続されていない場合には、利用申告画面の入力内容や外部接続デバイス30から取得したファイル情報を、コンピュータ3からサーバ装置2に送信することができない。そのため、制御部44がコンピュータ3と通信ネットワーク7との接続状態を監視し、コンピュータ3が通信ネットワーク4に接続されていない場合には、利用申告を受け付けないように制御してもよい。但し、コンピュータ3が通信ネットワーク4に接続されていない場合であっても、利用申告を受け付けてもよい。コンピュータ3が通信ネットワーク4に接続されていない場合には、利用申告画面の入力内容や外部接続デバイス30から取得したファイル情報は、コンピュータ3の記憶部14に保存される。そして、その後にコンピュータ3が通信ネットワーク4に接続された時点で、記憶部14に保存されている情報がコンピュータ3から通信ネットワーク4を介してサーバ装置2に送信される。
【0097】
このように本実施の形態に係るデバイス利用制御方法によれば、外部接続デバイス30が未許可デバイスである場合には、マウントが禁止される。従って、未許可デバイスに対してコンピュータ3へのマウントを禁止することによって、高いセキュリティレベルを維持することができる。また、ステップSP106,SP206においては、外部接続デバイス30に対するデータの読み出し及び書き込みの少なくとも一方(望ましくは双方)が制限された状態でマウントが制限許可される。従って、マウントが制限許可された外部接続デバイス30から識別情報やデバイス情報を抽出して利用申請又は利用申告を行うことにより、ユーザは外部接続デバイス30を利用することができる。しかも、外部接続デバイス30のマウントを制限許可する場合であっても、利用申請や利用申告が完了して外部接続デバイス30に対するデータの読み出しや書き込みが可能になるまでは、外部接続デバイス30に対するデータの読み出し及び書き込みの少なくとも一方(望ましくは双方)が制限されるため、セキュリティレベルは確保される。このように、未許可デバイスのマウントを禁止する処理と制限許可する処理とを選択的に切り替えることにより、未許可デバイスに対してはマウントを禁止するという高いセキュリティレベルを維持しつつも、必要時にはユーザが未許可デバイスを利用することが可能となる。
【0098】
また、本実施の形態に係るデバイス利用制御方法によれば、コンピュータ3を通常に使用する際には未許可デバイスのマウントを禁止する処理が選択され、所定の条件を満たした場合に制限許可する処理に切り替えられる。このように、通常時には未許可デバイスのマウントを禁止する処理が選択されることにより、未許可デバイスに対しては原則的にはマウントが禁止されるため、高いセキュリティレベルを維持することができる。
【0099】
また、本実施の形態に係るデバイス利用制御方法によれば、未許可デバイスの利用要求(利用申請又は利用申告)がコンピュータ3に入力された場合に、未許可デバイスのマウントを制限許可する処理に切り替えられる。従って、未許可デバイスを利用する必要が生じた場合には、ユーザは、コンピュータ3にインストールされているプログラム20を起動する等して未許可デバイスの利用要求を入力することにより、未許可デバイスを利用することが可能となる。しかも、プログラム20がインストールされていないコンピュータにおいては、未許可デバイスの利用要求を入力できないため、プログラム20をインストールするコンピュータを制限することにより、高いセキュリティレベルを維持することができる。
【0100】
また、本実施の形態に係るデバイス利用制御方法によれば、外部接続デバイス30のマウントを制限許可した場合であっても、所定の申請制限時間の経過後に外部接続デバイス30のマウントが禁止される。このように、未許可デバイスのマウントを永続的に許可するのではなく、所定時間の経過後に再びマウントを禁止することにより、高いセキュリティレベルを維持することが可能となる。
【0101】
また、本実施の形態に係るデバイス利用制御方法によれば、ステップSP108,SP208において、所定のデバイス情報が外部接続デバイス30から取得される。そして、取得したデバイス情報に基づいて、利用を希望するデバイスをユーザに選択させるための選択メニューを含む利用申請画面54又は利用申告画面が作成され、当該選択メニューがユーザに提示される。従って、ユーザは、提示された選択メニューからデバイスを選択するという簡易な操作によって、利用を希望する外部接続デバイスを特定することができる。また、複数の未許可デバイスがコンピュータ3に接続されている場合には、利用要求が入力された場合に全ての未許可デバイスのマウントをまとめて許可するのではなく、利用を希望するデバイスをユーザに選択させることにより、他の未許可デバイスに関してはマウントが許可されないため、高いセキュリティレベルを維持することができる。
【0102】
また、本実施の形態に係るデバイス利用制御方法によれば、ステップSP110では、外部接続デバイス30のマウントが制限許可された場合に、当該デバイスに関して許可デバイスとしての承認を受けるための正式承認要求が、コンピュータ3からサーバ装置2に通知される。従って、サーバ装置2から管理者のコンピュータ5に正式承認要求を転送することによって、未許可デバイスである外部接続デバイス30の利用申請に対して管理者による正式な承認を受けることが可能となる。
【0103】
また、本実施の形態に係るデバイス利用制御方法によれば、ステップSP110では、外部接続デバイス30のマウントが制限許可された場合に、予め設定された承認ルールに基づいて外部接続デバイス30を許可デバイスとして承認する。従って、規定のセキュリティポリシ等に基づいて承認条件を予め設定しておくことにより、管理者による承認作業を経ることなく、未許可デバイスを許可デバイスとして自動で承認することができる。その結果、管理者の作業負担を軽減できるとともに、ユーザは外部接続デバイス30を即座に利用することが可能となる。
【0104】
また、本実施の形態に係るデバイス利用制御方法によれば、ステップSP110,SP113,SP115,SP210,SP212,SP214では、外部接続デバイス30のマウントが制限許可された後に許可された場合に、外部接続デバイス30内に記憶されているファイルに関するファイル情報が取得される。従って、未許可デバイスのマウントを制限許可した後に許可した場合に、当該デバイスによってどのようなファイルが持ち出されたかを、ファイル情報を取得することによって管理することができる。また、ユーザが未許可デバイスを紛失した場合等であっても、どのようなファイルが外部に流出する可能性があるかを、ファイル情報を取得することによって管理することができる。
【0105】
また、本実施の形態に係るデバイス利用制御方法によれば、外部接続デバイス30のマウントを許可したタイミング(ステップSP110,SP210)でファイル情報を取得することにより、コンピュータ3からファイルを持ち出す前に外部接続デバイス30内にどのようなファイルが記憶されていたかを管理することができる。また、コンピュータ3から外部接続デバイス30にデータが書き込まれているタイミング(ステップSP113,SP212)、又はコンピュータ3から外部接続デバイス30へのデータの書き込みが完了したタイミング(ステップSP115,SP214)でファイル情報を取得することにより、外部接続デバイス30によってどのようなファイルが持ち出されたかを管理することができる。
【0106】
なお、今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記した意味ではなく、特許請求の範囲によって示され、特許請求の範囲と均等の意味及び範囲内での全ての変更が含まれることが意図される。
【符号の説明】
【0107】
1 デバイス利用制御システム
2 サーバ装置
3,5 コンピュータ
4 通信ネットワーク
20 プログラム
30 外部接続デバイス
40 識別情報取得部
41 デバイス情報取得部
42 ファイル情報取得部
43 判定部
44 制御部
45 承認部
46 通知部
【技術分野】
【0001】
本発明は、コンピュータに接続して利用されるデバイスの利用制御を行うデバイス利用制御方法、デバイス利用制御装置、デバイス利用制御システム、及びプログラムに関する。
【背景技術】
【0002】
下記特許文献1には、背景技術に係るアクセス保護システムが開示されている。当該システムにおいては、周辺デバイスがコンピュータに接続された時点で、周辺デバイスの識別情報が読み取られる。そして、読み取った識別情報に基づいて、周辺デバイスをコンピュータに接続できるか否かが決定される。許可されていない周辺デバイスに対してはコンピュータへの接続を禁止することにより、周辺デバイスの無許可接続からコンピュータを保護する。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】米国特許出願公開第2004/0098604号明細書
【発明の概要】
【発明が解決しようとする課題】
【0004】
上記特許文献1に開示されたアクセス保護システムによると、許可されていない外部接続デバイスに対してはコンピュータへのマウントを禁止する。マウントが許可されなければ、その外部接続デバイスはコンピュータによって利用可能なデバイスとしては認識されない。そのため、コンピュータのユーザは、当該外部接続デバイスに対するデータの読み出しや書き込み等の一切の操作を行うことができない。このように、許可されていない外部接続デバイスに対してはコンピュータへのマウント自体を禁止することによって、高いセキュリティ性を確保することができる。
【0005】
しかし、例えば企業で業務を遂行する上では、コンピュータに記憶されているデータを外部接続デバイスにコピーして持ち出す必要が生じる場合がある。かかる状況において許可済みの外部接続デバイスが手元に無い場合には、管理者に対して申請を行うことにより、未許可の外部接続デバイスの利用許可を受ける必要がある。申請の際には、当該外部接続デバイスの識別情報が必要となるが、ユーザや管理者が当該外部接続デバイスの識別情報を了知しているケースは極めて稀である。そのため、通常は、当該外部接続デバイスをコンピュータにマウントすることによって、記憶されている識別情報を当該外部接続デバイスから取得する必要がある。しかしながら、上記特許文献1に開示されたアクセス保護システムによると、未許可の外部接続デバイスに関してはコンピュータへのマウントが禁止されているため、当該外部接続デバイスから識別情報を取得することができない。つまり、ユーザや管理者が識別情報を了知していない限り、利用許可を受けるための申請自体を行うことができない。そのため、結果としてユーザは当該外部接続デバイスを利用できないこととなり、それによって業務が滞る事態が発生し得る。
【0006】
また、未許可の外部接続デバイスであってもマウントを許可する申請専用のコンピュータを用意し、申請時には管理者が当該コンピュータに外部接続デバイスを接続することによって、当該外部接続デバイスから識別情報を取得するという運用も考えられる。しかしながらこのような運用では、ユーザから未許可の外部接続デバイスが提出された場合に、識別情報を取得するための操作を、管理者が行う必要がある。従って、管理者の作業負担が増大するとともに、管理者が不在の場合には当該作業を行えないため、やはり業務が滞る事態が発生し得る。
【0007】
本発明はかかる事情に鑑みて成されたものであり、未許可のデバイスに対してはマウントを禁止するという高いセキュリティレベルを維持しつつも、必要時にはユーザが未許可のデバイスを利用することが可能な、デバイス利用制御方法、デバイス利用制御装置、デバイス利用制御システム、及びプログラムを得ることを目的とするものである。
【課題を解決するための手段】
【0008】
本発明の第1の態様に係るデバイス利用制御方法は、コンピュータに接続して利用されるデバイスの利用制御を行うデバイス利用制御方法であって、(A)前記コンピュータに前記デバイスが接続されると、当該デバイスに関する識別情報を当該デバイスから取得するステップと、(B)前記ステップ(A)で取得した前記識別情報に基づいて、前記デバイスが予め利用許可された許可デバイスであるか、利用許可されていない未許可デバイスであるかを判定するステップと、(C)前記ステップ(B)による判定の結果、前記デバイスが未許可デバイスである場合に、後記ステップ(D−1)と後記ステップ(D−2)とを選択的に切り替えて実行するステップと、(D−1)前記デバイスのマウントを禁止するステップ、(D−2)前記デバイスに対するデータの読み出し及び書き込みの少なくとも一方を制限した状態で前記デバイスのマウントを許可するステップ、を備えることを特徴とするものである。
【0009】
第1の態様に係るデバイス利用制御方法によれば、デバイスが未許可デバイスである場合には、ステップ(D−1)とステップ(D−2)とが選択的に切り替えて実行される。ステップ(D−1)においては、デバイスのマウントが禁止される。従って、ステップ(D−1)が選択されている場合には、許可されていないデバイスに対してコンピュータへのマウントを禁止することによって、高いセキュリティレベルを維持することができる。また、ステップ(D−2)においては、デバイスに対するデータの読み出し及び書き込みの少なくとも一方が制限された状態でデバイスのマウントが許可される。従って、ステップ(D−2)が選択されている場合には、マウントが許可された未許可デバイスから識別情報やデバイス情報を抽出して、許可デバイスとしての承認を受けるための利用申請を行うことにより、又は、承認を受けることなく未許可デバイスの利用を許可するが、当該デバイスの利用の事実を管理者等に申告するための利用申告を行うことにより、ユーザは当該デバイスを利用することができる。しかも、ステップ(D−2)において未許可デバイスのマウントを許可する場合であっても、利用申請や利用申告が完了して当該未許可デバイスに対するデータの読み出しや書き込みが可能になるまでは、当該デバイスに対するデータの読み出し及び書き込みの少なくとも一方(望ましくは双方)が制限されるため、セキュリティレベルは確保される。このように、ステップ(D−1)とステップ(D−2)とを選択的に切り替えることにより、未許可のデバイスに対してはマウントを禁止するという高いセキュリティレベルを維持しつつも、必要時にはユーザが未許可のデバイスを利用することが可能となる。
【0010】
本発明の第2の態様に係るデバイス利用制御方法は、第1の態様に係るデバイス利用制御方法において特に、前記ステップ(C)においては、前記ステップ(D−1)が選択され、所定の条件を満たした場合に前記ステップ(D−2)に切り替えられることを特徴とするものである。
【0011】
第2の態様に係るデバイス利用制御方法によれば、コンピュータを通常に使用する際にはステップ(D−1)が選択され、所定の条件を満たした場合にステップ(D−2)に切り替えられる。このように、通常時にはステップ(D−1)が選択されることにより、未許可のデバイスに対しては原則的にはマウントが禁止されるため、高いセキュリティレベルを維持することができる。
【0012】
本発明の第3の態様に係るデバイス利用制御方法は、第2の態様に係るデバイス利用制御方法において特に、前記所定の条件として、未許可デバイスの利用要求が前記コンピュータに入力された場合に、前記ステップ(D−2)に切り替えられることを特徴とするものである。
【0013】
第3の態様に係るデバイス利用制御方法によれば、未許可デバイスの利用要求がコンピュータに入力された場合に、ステップ(D−2)に切り替えられる。従って、未許可デバイスを利用する必要が生じた場合には、ユーザは、コンピュータにインストールされている専用のプログラムを起動する等して未許可デバイスの利用要求を入力することにより、未許可デバイスを利用することが可能となる。しかも、当該プログラムがインストールされていないコンピュータにおいては、未許可デバイスの利用要求を入力できないため、当該プログラムをインストールするコンピュータを制限することにより、高いセキュリティレベルを維持することができる。
【0014】
本発明の第4の態様に係るデバイス利用制御方法は、第1〜第3のいずれか一つの態様に係るデバイス利用制御方法において特に、(E)前記ステップ(D−2)において前記デバイスに対するデータの読み出し及び書き込みの少なくとも一方を制限した状態で前記デバイスのマウントを許可した場合に、所定時間の経過後に当該デバイスのマウントを禁止するステップをさらに備えることを特徴とするものである。
【0015】
第4の態様に係るデバイス利用制御方法によれば、ステップ(D−2)において未許可デバイスのマウントが許可された場合であっても、ステップ(E)において、所定時間の経過後に当該デバイスのマウントが禁止される。ここで「所定時間」とは、ユーザが未許可デバイスの利用申請等の作業を行うのに十分な時間であればよく、例えば5分乃至10分程度の時間に設定することができる。このように、未許可デバイスのマウントを永続的に許可するのではなく、所定時間の経過後に再びマウントを禁止することにより、高いセキュリティレベルを維持することが可能となる。
【0016】
本発明の第5の態様に係るデバイス利用制御方法は、第1〜第4のいずれか一つの態様に係るデバイス利用制御方法において特に、前記ステップ(D−2)は、(D−2−1)前記デバイスが未許可デバイスである場合に、当該デバイスに関するデバイス情報を当該デバイスから取得するステップと、(D−2−2)前記ステップ(D−2−1)で取得した前記デバイス情報に基づいて、利用を希望するデバイスをユーザに選択させるための選択メニューを作成し、当該選択メニューをユーザに提示するステップと、を有することを特徴とするものである。
【0017】
第5の態様に係るデバイス利用制御方法によれば、ステップ(D−2−1)では、デバイスが未許可デバイスである場合に、当該デバイスに関するデバイス情報が当該デバイスから取得される。そして、ステップ(D−2−2)では、ステップ(D−2−1)で取得したデバイス情報に基づいて、利用を希望するデバイスをユーザに選択させるための選択メニューが作成され、当該選択メニューがユーザに提示される。従って、ユーザは、提示された選択メニューからデバイスを選択するという簡易な操作によって、利用を希望するデバイスを特定することができる。また、複数の未許可デバイスがコンピュータに接続されている場合には、利用要求が入力された場合に全ての未許可デバイスのマウントをまとめて許可するのではなく、利用を希望するデバイスをユーザに選択させることにより、他の未許可デバイスに関してはマウントが許可されないため、高いセキュリティレベルを維持することができる。
【0018】
本発明の第6の態様に係るデバイス利用制御方法は、第1〜第5のいずれか一つの態様に係るデバイス利用制御方法において特に、(F)前記ステップ(D−2)において前記デバイスに対するデータの読み出し及び書き込みの少なくとも一方を制限した状態で前記デバイスのマウントを許可した場合に、当該デバイスに関して許可デバイスとしての承認を受けるための利用申請を前記コンピュータから所定のサーバ装置に通知するステップをさらに備えることを特徴とするものである。
【0019】
第6の態様に係るデバイス利用制御方法によれば、ステップ(F)では、ステップ(D−2)において未許可デバイスのマウントが許可された場合に、当該デバイスに関して許可デバイスとしての承認を受けるための利用申請が、コンピュータから所定のサーバ装置に通知される。従って、サーバ装置から管理者に対して利用申請を転送することによって、当該未許可デバイスに関して管理者による正式な承認を受けることが可能となる。
【0020】
本発明の第7の態様に係るデバイス利用制御方法は、第1〜第6のいずれか一つの態様に係るデバイス利用制御方法において特に、(G)前記ステップ(D−2)において前記デバイスに対するデータの読み出し及び書き込みの少なくとも一方を制限した状態で前記デバイスのマウントを許可した場合に、予め設定された条件に基づいて当該デバイスを許可デバイスとして承認するステップをさらに備えることを特徴とするものである。
【0021】
第7の態様に係るデバイス利用制御方法によれば、ステップ(G)では、ステップ(D−2)において未許可デバイスのマウントが許可された場合に、予め設定された条件に基づいて当該デバイスを許可デバイスとして承認する。従って、規定のセキュリティポリシ等に基づいて承認条件を予め設定しておくことにより、管理者による承認作業を経ることなく、未許可デバイスを許可デバイスとして自動で承認することができる。その結果、管理者の作業負担を軽減できるとともに、ユーザは当該未許可デバイスを即座に利用することが可能となる。
【0022】
本発明の第8の態様に係るデバイス利用制御方法は、第1〜第7のいずれか一つの態様に係るデバイス利用制御方法において特に、(H)前記ステップ(D−2)において前記デバイスに対するデータの読み出し及び書き込みの少なくとも一方を制限した状態で前記デバイスのマウントを許可した場合に、当該デバイス内に記憶されているファイルに関する情報を取得するステップをさらに備えることを特徴とするものである。
【0023】
第8の態様に係るデバイス利用制御方法によれば、ステップ(H)では、ステップ(D−2)において未許可デバイスのマウントが許可された場合に、当該デバイス内に記憶されているファイルに関する情報が取得される。従って、未許可デバイスのマウントを許可した場合に、当該デバイスによってどのようなファイルが持ち出されたかを、ファイル情報を取得することによって管理することができる。また、ユーザが未許可デバイスを紛失した場合等であっても、どのようなファイルが外部に流出する可能性があるかを、ファイル情報を取得することによって管理することができる。
【0024】
本発明の第9の態様に係るデバイス利用制御方法は、第8の態様に係るデバイス利用制御方法において特に、前記ステップ(H)においては、前記デバイスのマウントを許可したタイミング、前記コンピュータから前記デバイスにデータが書き込まれているタイミング、及び前記コンピュータから前記デバイスへのデータの書き込みが完了したタイミング、の少なくとも一つにおいて、当該デバイス内に記憶されているファイルに関する情報が取得されることを特徴とするものである。
【0025】
第9の態様に係るデバイス利用制御方法によれば、デバイスのマウントを許可したタイミングでデバイス内のファイル情報を取得することにより、コンピュータからファイルを持ち出す前にデバイス内にどのようなファイルが記憶されていたかを管理することができる。また、コンピュータからデバイスにデータが書き込まれているタイミング、又はコンピュータからデバイスへのデータの書き込みが完了したタイミングで、デバイス内のファイル情報を取得することにより、デバイスによってどのようなファイルが持ち出されたかを管理することができる。
【0026】
本発明の第10の態様に係るデバイス利用制御装置は、コンピュータに接続して利用されるデバイスの利用制御を行うデバイス利用制御装置であって、前記コンピュータに前記デバイスが接続されると、当該デバイスに関する識別情報を当該デバイスから取得する取得部と、前記取得部で取得した前記識別情報に基づいて、前記デバイスが予め利用許可された許可デバイスであるか、利用許可されていない未許可デバイスであるかを判定する判定部と、前記判定部による判定の結果に基づいて、前記デバイスの利用制御を行う制御部と、を備え、前記制御部は、前記デバイスが未許可デバイスである場合には、前記デバイスのマウントを禁止する第1の利用制御と、前記デバイスに対するデータの読み出し及び書き込みの少なくとも一方を制限した状態で前記デバイスのマウントを許可する第2の利用制御と、を選択的に切り替えて実行することを特徴とするものである。
【0027】
第10の態様に係るデバイス利用制御装置によれば、デバイスが未許可デバイスである場合には、制御部は、第1の利用制御において、デバイスのマウントを禁止する。従って、第1の利用制御が選択されている場合には、許可されていないデバイスに対してコンピュータへのマウントを禁止することによって、高いセキュリティレベルを維持することができる。また、デバイスが未許可デバイスである場合には、制御部は、第2の利用制御において、デバイスに対するデータの読み出し及び書き込みの少なくとも一方を制限した状態でデバイスのマウントを許可する。従って、第2の利用制御が選択されている場合には、マウントが許可された未許可デバイスから識別情報やデバイス情報を抽出して、許可デバイスとしての承認を受けるための利用申請を行うことにより、又は、承認を受けることなく未許可デバイスの利用を許可するが、当該デバイスの利用の事実を管理者等に申告するための利用申告を行うことにより、ユーザは当該デバイスを利用することができる。しかも、第2の利用制御において未許可デバイスのマウントを許可する場合であっても、利用申請や利用申告が完了して当該未許可デバイスに対するデータの読み出しや書き込みが可能になるまでは、当該デバイスに対するデータの読み出し及び書き込みの少なくとも一方(望ましくは双方)が制限されるため、セキュリティレベルは確保される。このように、第1の利用制御と第2の利用制御とを選択的に切り替えることにより、未許可のデバイスに対してはマウントを禁止するという高いセキュリティレベルを維持しつつも、必要時にはユーザが未許可のデバイスを利用することが可能となる。
【0028】
本発明の第11の態様に係るデバイス利用制御システムは、コンピュータに接続して利用されるデバイスの利用制御を行うデバイス利用制御システムであって、前記コンピュータと、前記コンピュータと通信可能なサーバ装置と、を備え、前記コンピュータは、前記コンピュータに前記デバイスが接続されると、当該デバイスに関する識別情報を当該デバイスから取得する取得部と、前記デバイスが予め利用許可された許可デバイスであるか、利用許可されていない未許可デバイスであるかを、前記取得部で取得した前記識別情報と、前記サーバ装置で管理されている許可デバイスの識別情報のリスト情報とを比較することにより判定する判定部と、前記判定部による判定の結果に基づいて、前記デバイスの利用制御を行う制御部と、を有し、前記制御部は、前記デバイスが未許可デバイスである場合には、前記デバイスのマウントを禁止する第1の利用制御と、前記デバイスに対するデータの読み出し及び書き込みの少なくとも一方を制限した状態で前記デバイスのマウントを許可する第2の利用制御と、を選択的に切り替えて実行することを特徴とするものである。
【0029】
第11の態様に係るデバイス利用制御システムによれば、デバイスが未許可デバイスである場合には、制御部は、第1の利用制御において、デバイスのマウントを禁止する。従って、第1の利用制御が選択されている場合には、許可されていないデバイスに対してコンピュータへのマウントを禁止することによって、高いセキュリティレベルを維持することができる。また、デバイスが未許可デバイスである場合には、制御部は、第2の利用制御において、デバイスに対するデータの読み出し及び書き込みの少なくとも一方を制限した状態でデバイスのマウントを許可する。従って、第2の利用制御が選択されている場合には、マウントが許可された未許可デバイスから識別情報やデバイス情報を抽出して、許可デバイスとしての承認を受けるための利用申請を行うことにより、又は、承認を受けることなく未許可デバイスの利用を許可するが、当該デバイスの利用の事実を管理者等に申告するための利用申告を行うことにより、ユーザは当該デバイスを利用することができる。しかも、第2の利用制御において未許可デバイスのマウントを許可する場合であっても、利用申請や利用申告が完了して当該未許可デバイスに対するデータの読み出しや書き込みが可能になるまでは、当該デバイスに対するデータの読み出し及び書き込みの少なくとも一方(望ましくは双方)が制限されるため、セキュリティレベルは確保される。このように、第1の利用制御と第2の利用制御とを選択的に切り替えることにより、未許可のデバイスに対してはマウントを禁止するという高いセキュリティレベルを維持しつつも、必要時にはユーザが未許可のデバイスを利用することが可能となる。
【0030】
本発明の第12の態様に係るプログラムは、コンピュータに接続して利用されるデバイスの利用制御を行うためのプログラムであって、前記コンピュータに、(A)前記コンピュータに前記デバイスが接続されると、当該デバイスに関する識別情報を当該デバイスから取得するステップと、(B)前記ステップ(A)で取得した前記識別情報に基づいて、前記デバイスが予め利用許可された許可デバイスであるか、利用許可されていない未許可デバイスであるかを判定するステップと、(C)前記ステップ(B)による判定の結果、前記デバイスが未許可デバイスである場合に、後記ステップ(D−1)と後記ステップ(D−2)とを選択的に切り替えて実行するステップと、(D−1)前記デバイスのマウントを禁止するステップ、(D−2)前記デバイスに対するデータの読み出し及び書き込みの少なくとも一方を制限した状態で前記デバイスのマウントを許可するステップ、を実行させるための、プログラムである。
【0031】
第12の態様に係るプログラムによれば、デバイスが未許可デバイスである場合には、ステップ(D−1)とステップ(D−2)とが選択的に切り替えて実行される。ステップ(D−1)においては、デバイスのマウントが禁止される。従って、ステップ(D−1)が選択されている場合には、許可されていないデバイスに対してコンピュータへのマウントを禁止することによって、高いセキュリティレベルを維持することができる。また、ステップ(D−2)においては、デバイスに対するデータの読み出し及び書き込みの少なくとも一方が制限された状態でデバイスのマウントが許可される。従って、ステップ(D−2)が選択されている場合には、マウントが許可された未許可デバイスから識別情報やデバイス情報を抽出して、許可デバイスとしての承認を受けるための利用申請を行うことにより、又は、承認を受けることなく未許可デバイスの利用を許可するが、当該デバイスの利用の事実を管理者等に申告するための利用申告を行うことにより、ユーザは当該デバイスを利用することができる。しかも、ステップ(D−2)において未許可デバイスのマウントを許可する場合であっても、利用申請や利用申告が完了して当該未許可デバイスに対するデータの読み出しや書き込みが可能になるまでは、当該デバイスに対するデータの読み出し及び書き込みの少なくとも一方(望ましくは双方)が制限されるため、セキュリティレベルは確保される。このように、ステップ(D−1)とステップ(D−2)とを選択的に切り替えることにより、未許可のデバイスに対してはマウントを禁止するという高いセキュリティレベルを維持しつつも、必要時にはユーザが未許可のデバイスを利用することが可能となる。
【発明の効果】
【0032】
本発明によれば、未許可のデバイスに対してはマウントを禁止するという高いセキュリティレベルを維持しつつも、必要時にはユーザが未許可のデバイスを利用することが可能となる。
【図面の簡単な説明】
【0033】
【図1】本発明の実施の形態に係るデバイス利用制御システムの全体構成を簡略化して示す図である。
【図2】コンピュータのハードウェア構成を示す図である。
【図3】プログラムを実行することによって処理部に実現される機能を示すブロック図である。
【図4】表示部に表示される案内画面の一例を示す図である。
【図5】利用管理画面が起動された場合に実行される処理の流れを簡略化して示す図である。
【図6】利用管理画面の一例を示す図である。
【図7】確認画面の一例を示す図である。
【図8】接続要求画面の一例を示す図である。
【図9】利用申請画面の一例を示す図である。
【図10】利用可否画面の一例を示す図である。
【図11】取外し許可画面の一例を示す図である。
【図12】利用管理画面が起動された場合に実行される処理の流れを簡略化して示す図である。
【発明を実施するための形態】
【0034】
以下、本発明の実施の形態について、図面を用いて詳細に説明する。なお、異なる図面において同一の符号を付した要素は、同一又は相応する要素を示すものとする。
【0035】
図1は、本発明の実施の形態に係るデバイス利用制御システム1の全体構成を簡略化して示す図である。デバイス利用制御システム1は、例えば企業内のコンピュータネットワークに適用される。図1の接続関係で示すように、デバイス利用制御システム1は、サーバ装置2と、ユーザが使用するコンピュータ3と、専用網やIP(Internet Protocol)網等の通信ネットワーク4と、管理者が使用するコンピュータ5とを備えて構成されている。サーバ装置2、コンピュータ3、及びコンピュータ5は、通信ネットワーク4を介して相互にデータ通信が可能である。
【0036】
図2は、コンピュータ3のハードウェア構成を示す図である。図2の接続関係で示すように、コンピュータ3は、CPU(Central Processing Unit)等の処理部11と、液晶ディスプレイ等の表示部12と、通信ネットワーク4を介してデータ通信を行うための通信部13と、半導体メモリやハードディスク等の記憶部14と、マウスやキーボード等の入力部15と、USB(Universal Serial Bus)メモリ等の外部接続デバイス30を接続するための外部インタフェース16とを備えて構成されている。記憶部14には、クライアントプログラムとしてのプログラム20が記憶されている。
【0037】
ユーザは、コンピュータ3に記憶されているデータを外部接続デバイス30にコピーしたい場合や、外部接続デバイス30に記憶されているデータをコンピュータ3にコピーしたい場合等に、外部接続デバイス30を外部インタフェース16に接続(挿入)する。本実施の形態に係るデバイス利用制御システム1では、セキュリティ上の観点から、ユーザが利用する外部接続デバイス30に関して事前に利用申請を受けることが義務付けられている。以下、本明細書では、利用申請に対する管理者の承認を受けたことによって利用が許可された外部接続デバイスを「許可デバイス」と称し、管理者の承認を受けていないことによって利用が許可されていない外部接続デバイスを「未許可デバイス」と称する。
【0038】
図3は、プログラム20を実行することによって処理部11に実現される機能を示すブロック図である。図3に示すように、処理部11は、識別情報取得部40、デバイス情報取得部41、ファイル情報取得部42、判定部43、制御部44、承認部45、及び通知部46を有する。換言すれば、プログラム20は、デバイス利用制御装置としてのコンピュータ3を、識別情報取得部40、デバイス情報取得部41、ファイル情報取得部42、判定部43、制御部44、承認部45、及び通知部46として機能させるためのプログラムである。
【0039】
図2,3を参照して、外部接続デバイス30が外部インタフェース16に接続されると、識別情報取得部40は、外部接続デバイス30の識別情報をデータD1として外部接続デバイス30から読み出す。識別情報は、外部接続デバイス毎の固有のシリアル番号等である。識別情報取得部40は、読み出したデータD1を判定部43に入力する。なお、識別情報には、後述のデバイス情報と同様に、メーカーIDやベンダーID等を含めてもよい。また、上記固有のシリアル番号自体がメーカーID等を一部に含む形態であってもよいし、上記固有のシリアル番号から一意にメーカー等を特定できるようになっていてもよい。
【0040】
記憶部14には、許可デバイスの識別情報の一覧を表すリスト情報が記憶されている。リスト情報は、例えば、利用申請に対する承認を行う度に管理者によって更新され、サーバ装置2によって管理されている。サーバ装置2は、例えば、リスト情報が更新される度に通信ネットワーク4を介してコンピュータ3に更新後のリスト情報を送信する。コンピュータ3は、受信したリスト情報を記憶部14に記憶する。判定部43は、記憶部14に記憶されているリスト情報をデータD2として読み出すことが可能である。
【0041】
判定部43は、識別情報取得部40から入力されたデータD1と、記憶部14から読み出したデータD2とを比較することにより、外部接続デバイス30の識別情報がリスト情報に含まれているか否かを判定する。外部接続デバイス30が許可デバイスである場合には、その識別情報はリスト情報に含まれており、一方、外部接続デバイス30が未許可デバイスである場合には、その識別情報はリスト情報に含まれていない。
【0042】
判定部43は、外部接続デバイス30の識別情報がリスト情報に含まれているか否かの判定の結果を、データD3として制御部44に入力する。制御部44は、入力されたデータD3に基づいて、コンピュータ3への外部接続デバイス30のマウントを制御する。ここで、「マウント」とは、単に物理的に接続されているだけでなく、操作可能に接続されることを意味する。具体的に、制御部44は、外部接続デバイス30が許可デバイスである場合には、外部接続デバイス30のマウントを許可し、一方、外部接続デバイス30が未許可デバイスである場合には、外部接続デバイス30のマウントを禁止する。そして、マウントの許可/禁止を制御するための制御信号D4を外部インタフェース16に入力する。なお、許可デバイスに対してマウントを許可する場合であっても、企業のセキュリティポリシ等に基づいて許可範囲に制限が設定されている場合(例えば、外部接続デバイスへのデータの書き込みのみが許可され、外部接続デバイスからのデータの読み出しは禁止されている場合)には、その制限の範囲内でマウントを許可する。また、未許可デバイスに対してマウントを禁止する場合であっても、当該デバイスが利用申請等を希望するデバイスであるか否かをユーザが確認できるようにするために、データの読み出しのみを許可してもよい。但し、データの読み出しを許可するのではなく、読み出し及び書き込みの双方を禁止した状態で、当該デバイスに記憶されているファイルのファイル名の一覧を抽出し、当該ファイル名の一覧をユーザに対して提示するようにしてもよい。ファイル名の一覧が提示されることにより、ユーザは、当該デバイスが利用申請等を希望するデバイスであるか否かを容易に確認することができる。
【0043】
また、制御部44は、外部接続デバイス30が未許可デバイスである場合には、当該デバイスは未許可であるため利用できない旨、及び、利用したい場合には所定の利用管理画面の起動を促す内容のメッセージを含む案内画面50を、データD5によって表示部12に表示してもよい。図4は、表示部12に表示される案内画面50の一例を示す図である。
【0044】
コンピュータ3のユーザは、未許可デバイスである外部接続デバイス30を利用したい場合には、案内画面50に従って利用管理画面を起動する。
【0045】
図5は、利用管理画面が起動された場合に実行される処理の流れを簡略化して示す図である。
【0046】
まずステップSP101においてユーザは、入力部15を操作することによって利用管理画面51を起動する。利用管理画面51の起動命令は、データD6として入力部15から制御部44に入力される。
【0047】
次にステップSP102において制御部44は、利用管理画面51の起動命令が入力されたことにより、データD5によって利用管理画面51を表示部12に表示する。図6は、利用管理画面51の一例を示す図である。本実施の形態に係るプログラム20では、未許可デバイスの利用の態様として、許可デバイスとしての承認を受けるための利用申請と、承認を受けることなく未許可デバイスの利用を許可するが、当該デバイスの利用の事実を管理者等に申告するための利用申告とが用意されている。利用管理画面51には、利用申請及び利用申告の各々の選択ボタンが表示されている。利用申告を行うことで、情報漏洩等の何らかの不正が発覚した場合に、利用申告で収集した情報を事後的な原因調査に用いることができる。
【0048】
次にステップSP103においてユーザは、入力部15を操作することによって、利用申請又は利用申告の選択ボタンを押下する。ここでは、利用申請が選択されたものとする。ユーザによる利用態様の選択結果は、データD6として入力部15から制御部44に入力される。
【0049】
次にステップSP104において制御部44は、利用態様の選択結果が入力されたことにより、データD5によって確認画面52を表示部12に表示する。図7は、確認画面52の一例を示す図である。確認画面52には、選択した利用態様で正しいか否かをユーザに確認するための選択ボタンが表示されている。図7に示した例では、利用態様の選択が正しい場合に押下される「はい」と表示された選択ボタンと、利用態様の選択が誤っている場合に押下される「戻る」と表示された選択ボタンとが表示されている。
【0050】
次にステップSP105においてユーザは、入力部15を操作することによって、「はい」又は「戻る」の選択ボタンを押下する。ここでは、「はい」と表示された選択ボタンが押下されたものとする。ユーザによる利用態様の確認結果は、データD6として入力部15から制御部44に入力される。なお、「戻る」と表示された選択ボタンが押下された場合には、利用管理画面51が表示部12に再表示される。
【0051】
次にステップSP106において制御部44は、利用態様の確認結果が入力されたことにより、データD5によって接続要求画面53を表示部12に表示する。図8は、接続要求画面53の一例を示す図である。接続要求画面53には、コンピュータへの外部接続デバイスの接続を促す内容のメッセージが表示されている。また、図8に示した例では、取り外しを許可するまでコンピュータから外部接続デバイスを取り外してはならないことを示す内容のメッセージが、接続要求画面53に併せて表示されている。
【0052】
また、ステップSP106において制御部44は、利用態様の確認結果が入力されたことにより、コンピュータ3への外部接続デバイス30のマウントを制限付きで許可し(以下「制限許可」と称す)、制限許可に対応する制御信号D4を外部インタフェース16に入力する。マウントが制限許可された状態では、外部接続デバイス30からの識別情報やデバイス情報の取得は許可されるが、外部接続デバイス30に対するデータの読み出し及び書き込みの少なくとも一方が禁止される。ここで、利用申請に必要な識別情報やデバイス情報を取得することが制限許可の目的であるため、セキュリティ上、読み出し及び書き込みの双方を禁止することが望ましい。
【0053】
次にステップSP107においてユーザは、利用したい外部接続デバイス30を外部インタフェース16に接続する。その後、入力部15を操作することによって、接続要求画面53に表示されている接続完了ボタンを押下する。接続完了ボタンが押下されることにより、接続完了通知がデータD6として入力部15から制御部44に入力される。
【0054】
次にステップSP108においてデバイス情報取得部41は、制御部44からの命令により、外部インタフェース16に接続されている外部接続デバイス30(複数のデバイスが接続されている場合は全てのデバイス)に関するデバイス情報を取得する。例えば、メーカーID、ベンダーID、及びシリアル番号が、デバイス情報として取得される。デバイス情報取得部41が取得したデバイス情報は、データD7として制御部44に入力される。
【0055】
また、ステップSP108において制御部44は、入力されたデバイス情報に基づいて利用申請画面54を作成し、作成した利用申請画面54をデータD5によって表示部12に表示する。図9は、利用申請画面54の一例を示す図である。利用申請画面54には、デバイス情報に基づいて特定した外部接続デバイス30に関する情報(メーカー名等)と、利用を希望する外部接続デバイス30をユーザに選択させる内容のメッセージ及びチェックボックス(選択メニュー)と、外部接続デバイス30の利用目的をユーザが記入するための記入欄と、入力完了ボタンとが表示されている。図9に示した例では、2個の外部接続デバイス30が外部インタフェース16に接続されており、そのうちの利用を希望する外部接続デバイス30をユーザに選択させる内容のメッセージ及びチェックボックスが、利用申請画面54に表示されている。なお、利用申請画面54には、申請者の氏名や所属部署名、申請日時、利用希望期間等を申請者に記入させるための他の表示項目を追加してもよい。また、当該デバイスが利用申請等を希望するデバイスであるか否かをユーザが容易に確認できるようにするために、当該デバイスに記憶されているファイルのファイル名の一覧を抽出し、当該ファイル名の一覧を利用申請画面54に含めてユーザに提示するようにしてもよい。さらに、利用申請画面54には、ユーザが外部接続デバイス30を接続してから、利用申請の作業を完了するまで(つまり後述の入力完了ボタンを押下するまで)の制限時間(以下「申請制限時間」と称す)を表示してもよい。申請制限時間は、例えば5分乃至10分程度の任意の時間に設定することができる。制御部44は、ステップSP107で外部接続デバイス30が接続された時点からの時間の経過を監視し、当該時点から申請制限時間が経過したタイミングで、事前の警告の後に外部接続デバイス30の制限許可を停止してマウントを禁止する。
【0056】
なお、利用管理画面51で利用申請の選択ボタンが押下された場合には、確認画面52の表示を省略して直ちに制限許可の状態に遷移してもよく、その後、接続要求画面53の表示も省略して利用申請画面54を表示するようにしてもよい。この場合、利用申請画面54を定期的に自動更新することで常に最新の情報が表示されるようにしておき、ユーザが利用申請を行う対象の外部接続デバイス30を接続することによって、利用申請画面54内で当該デバイスを選択可能なようにしてもよい。あるいは、利用申請画面54内に再表示ボタン(図示せず)を設けておき、ユーザが利用申請を行う対象の外部接続デバイス30を接続した後に再表示ボタンを押下することによって、利用申請画面54内で当該デバイスを選択可能なようにしてもよい。このように、何らかのユーザ操作を契機として制限許可の状態に遷移した後に、ユーザが接続したデバイスを利用申請画面54内で選択できるようになっていれば、どのような方法を用いても構わない。
【0057】
次にステップSP109においてユーザは、入力部15を操作することによって、利用を希望する外部接続デバイス30を選択するとともに、外部接続デバイス30の利用目的を記入し、その後、入力完了ボタンを押下する。入力完了ボタンが押下されることにより、利用申請画面54への入力内容がデータD6として入力部15から制御部44に入力される。
【0058】
次にステップSP110において制御部44は、利用申請画面54への入力内容を含む自動承認要求を、データD8として承認部45に入力する。
【0059】
記憶部14には、利用申請に対して承認を行うか否かを決定するための承認ルールが記憶されている。承認ルールは、例えば、企業のセキュリティポリシに従って作成され、サーバ装置2によって管理されている。例えば、製造メーカーが特定のメーカーであること、セキュリティ機能付きのデバイスであること、記憶容量が所定値以下であること等を、承認ルールとして設定することができる。サーバ装置2は、通信ネットワーク4を介してコンピュータ3に承認ルールを送信する。コンピュータ3は、受信した承認ルールを記憶部14に記憶する。承認部45は、記憶部14に記憶されている承認ルールをデータD9として読み出すことが可能である。
【0060】
承認部45は、制御部44から入力された自動承認要求と、記憶部14から読み出した承認ルールとに基づいて、外部接続デバイス30に関する利用申請が承認ルールに適合しているか否かを判定する。そして、その判定の結果を、データD10として制御部44に入力する。
【0061】
制御部44は、利用申請が承認ルールに適合している場合には、外部接続デバイス30のマウントを許可することにより、外部接続デバイス30に対するデータの読み出し及び書き込みを可能とする。但し、上記と同様に許可範囲に制限が設定されている場合には、その制限の範囲内でマウントを許可する。そして、マウントを許可するための制御信号D4を外部インタフェース16に入力する。一方、利用申請が承認ルールに適合していない場合には、外部接続デバイス30のマウントを禁止する。そして、マウントを禁止するための制御信号D4を外部インタフェース16に入力する。
【0062】
また、制御部44は、利用申請が承認ルールに適合しているか否かを示す利用可否画面55を、データD5によって表示部12に表示する。図10は、利用可否画面55の一例を示す図である。ここでは、利用申請が承認ルールに適合している場合の表示例を示している。図10に示した例において、利用可否画面55には、外部接続デバイス30を利用可能である旨を示すメッセージと、利用制限時間を示すメッセージと、利用終了後に利用終了ボタンを押下することを促す内容のメッセージとが表示されている。
【0063】
利用制限時間は、自動承認要求によって承認を受けた場合に自動で設定され、承認ルールによって任意の時間(例えば30分間)を設定することができる。但し、利用制限時間を設定しないことも可能である。制御部44は、外部接続デバイス30のマウントを許可した時点からの時間の経過を監視し、当該時点から利用制限時間が経過したタイミングで、事前の警告の後に外部接続デバイス30のマウントを禁止する。
【0064】
また、ステップSP110においてファイル情報取得部42は、制御部44から入力される取得命令D13に従い、外部接続デバイス30のマウントを許可した時点で外部接続デバイス30に記憶されている全てのファイルに関する情報(以下「ファイル情報」と称す)を、データD14として外部接続デバイス30から取得する。ファイル情報には、例えば、ファイル名、パス、更新日時、サイズ等が含まれる。データD14は、ファイル情報取得部42から通信部13に入力された後、通信部13から通信ネットワーク4を介してサーバ装置2に送信される。これにより、外部接続デバイス30のマウントを許可したタイミングでのファイル情報が、サーバ装置2によって管理される。
【0065】
また、ステップSP110において制御部44は、利用申請画面54への入力内容を含む正式承認要求を、データD11として通知部46に入力する。データD11は、通知部46から通信部13に入力された後、通信部13から通信ネットワーク4を介してサーバ装置2に送信される。
【0066】
次にステップSP111においてサーバ装置2は、受信したデータD11を、通信ネットワーク4を介して管理者のコンピュータ5に転送する。管理者は、データD11で表される正式承認要求に従って利用申請に対する承認の可否を決定し、その結果をサーバ装置2に返信する。サーバ装置2は、管理者によって利用申請が承認された場合には、その旨を示すデータD12を、通信ネットワーク4を介してコンピュータ3に送信する。データD12は、通信部13によって受信され、通信部13から通知部46を介して制御部44に入力される。上記の利用制限時間内にデータD12が入力された場合には、利用制限時間の制約が解除され、利用制限時間の経過後もマウントの許可状態が維持されることによって、ユーザは外部接続デバイス30を継続して利用することが可能となる。一方、管理者によって利用申請が承認されなかった場合や、承認されたが利用制限時間内にデータD12が制御部44に入力されなかった場合には、利用制限時間が経過したタイミングで、事前の警告の後に外部接続デバイス30のマウントが禁止される。なお、利用申請を承認しない旨のデータD12が利用制限時間内に制御部44に入力された場合には、利用制限時間の経過を待つことなく、事前の警告の後に外部接続デバイス30のマウントを直ちに禁止してもよい。
【0067】
上記の通りステップSP110において制御部44は、利用申請が承認ルールに適合している場合には、外部接続デバイス30のマウントを許可する。これにより、ステップSP112においてユーザは、外部接続デバイス30を利用して、データの読み出しや書き込み等の操作を行う。
【0068】
制御部44は、外部接続デバイス30の操作を逐次監視している。コンピュータ3から外部接続デバイス30にデータを書き込む操作が行われると、ステップSP113においてファイル情報取得部42は、制御部44から入力される取得命令D13に従い、外部接続デバイス30にデータが書き込まれている時点でのファイル情報を、データD14として外部接続デバイス30から取得する。データD14は、ファイル情報取得部42から通信部13に入力された後、通信部13から通信ネットワーク4を介してサーバ装置2に送信される。これにより、コンピュータ3から外部接続デバイス30にデータが書き込まれているタイミングでのファイル情報が、サーバ装置2によって管理される。
【0069】
外部接続デバイス30の利用が終了すると、次にステップSP114においてユーザは、入力部15を操作することによって、利用可否画面55に表示されている利用終了ボタンを押下する。利用終了ボタンが押下された旨の情報は、データD6として入力部15から制御部44に入力される。
【0070】
次にステップSP115においてファイル情報取得部42は、制御部44から入力される取得命令D13に従い、利用終了時点でのファイル情報を、データD14として外部接続デバイス30から取得する。データD14は、ファイル情報取得部42から通信部13に入力された後、通信部13から通信ネットワーク4を介してサーバ装置2に送信される。これにより、コンピュータ3から外部接続デバイス30へのデータの書き込みが完了したタイミングでのファイル情報が、サーバ装置2によって管理される。
【0071】
ファイル情報の取得が完了した後、制御部44は、データD5によって取外し許可画面56を表示部12に表示する。図11は、取外し許可画面56の一例を示す図である。取外し許可画面56には、コンピュータ3から外部接続デバイス30を取り外すことを許可する内容のメッセージが表示されている。
【0072】
次にステップSP116においてユーザは、コンピュータ3から外部接続デバイス30を取り外す。
【0073】
なお、以上の説明では、マウント許可時、利用中、及び利用終了後の三つのタイミングでファイル情報を取得する例について述べたが、必ずしも全てのタイミングでファイル情報の取得を実行する必要はなく、少なくとも一つのタイミングで実行すればよい。また、利用申請においては、ファイル情報の取得を省略してもよい。
【0074】
また、以上の説明では、正式承認に関するデータD12が利用制限時間内に入力されたことを条件として、外部接続デバイス30の継続的な利用が許可されたが、データD12の取得を省略して、利用申請が承認ルールに適合している場合に外部接続デバイス30の継続的な利用を許可してもよい。具体的には、承認部45は、制御部44から入力された自動承認要求(データD8)と、記憶部14から読み出した承認ルール(データD9)とに基づいて、外部接続デバイス30に関する利用申請が承認ルールに適合しているか否かを判定し、その判定の結果をデータD10として制御部44に入力する。制御部44は、利用申請が承認ルールに適合している場合には、利用制限時間を設定することなく外部接続デバイス30のマウントを継続的に許可し、一方、利用申請が承認ルールに適合していない場合には、外部接続デバイス30のマウントを禁止する。また、外部接続デバイス30のマウントを継続的に許可した場合には、その事実を報告するための許可報告を制御部44から通知部46に入力し、当該許可報告を通知部46から通信部13及び通信ネットワーク4を介してサーバ装置2に送信してもよい。
【0075】
また、以上の説明では、利用申請が承認ルールに適合しているか否かをコンピュータ3内の承認部45によって判定する例について述べたが、サーバ装置2によって判定を行ってもよい。具体的には、入力部15から制御部44に自動承認要求(データD8)が入力されると、制御部44は、当該自動承認要求を通知部46から通信部13及び通信ネットワーク4を介してサーバ装置2に送信する。サーバ装置2は、自らが管理している承認ルールに基づいて、受信した自動承認要求が承認ルールに適合しているか否かを判定する。サーバ装置2は、判定結果を通信ネットワーク4を介してコンピュータ3に送信する。判定結果は、通信部13によって受信され、通信部13から通知部46を介して制御部44に入力される。制御部44は、利用申請が承認ルールに適合している旨の判定結果が入力された場合には、利用制限時間を設定することなく外部接続デバイス30のマウントを継続的に許可し、一方、利用申請が承認ルールに適合していない旨の判定結果が入力された場合には、外部接続デバイス30のマウントを禁止する。なお、この例において、利用申請が承認ルールに適合しているか否かの判定を、サーバ装置2ではなく管理者が行ってもよい。サーバ装置2は、コンピュータ3から自動承認要求を受信すると、受信した自動承認要求を、通信ネットワーク4を介して管理者のコンピュータ5に転送する。管理者は、受信した自動承認要求に従って利用申請に対する承認の可否を決定し、その承認結果をサーバ装置2に返信する。サーバ装置2は、受信した承認結果を通信ネットワーク4を介してコンピュータ3に送信する。承認結果は、通信部13によって受信され、通信部13から通知部46を介して制御部44に入力される。制御部44は、利用を許可する旨の承認結果が入力された場合には、利用制限時間を設定することなく外部接続デバイス30のマウントを継続的に許可し、一方、利用を許可しない旨の承認結果が入力された場合には、外部接続デバイス30のマウントを禁止する。
【0076】
図12は、利用管理画面が起動された場合に実行される処理の流れを簡略化して示す図である。ここでは、利用申請ではなく利用申告が選択された場合の例を示している。以下、利用申請が選択された場合の例(図5)との相違点を中心に説明する。
【0077】
まずステップSP201においてユーザは、利用管理画面51を起動する。
【0078】
次にステップSP202において制御部44は、利用管理画面51を表示部12に表示する。
【0079】
次にステップSP203においてユーザは、利用管理画面51に表示されている利用申請又は利用申告の選択ボタンを押下する。ここでは、利用申告が選択されたものとする。
【0080】
次にステップSP204において制御部44は、確認画面52を表示部12に表示する。
【0081】
次にステップSP205においてユーザは、確認画面52に表示されている「はい」又は「戻る」の選択ボタンを押下する。ここでは、「はい」と表示された選択ボタンが押下されたものとする。
【0082】
次にステップSP206において制御部44は、接続要求画面53を表示部12に表示する。また、制御部44は、外部接続デバイス30のマウントを制限許可する。
【0083】
次にステップSP207においてユーザは、外部接続デバイス30を外部インタフェース16に接続した後、接続要求画面53に表示されている接続完了ボタンを押下する。
【0084】
次にステップSP208においてデバイス情報取得部41は、外部接続デバイス30に関するデバイス情報を取得する。また、制御部44は、デバイス情報に基づいて利用申告画面(図9に示した利用申請画面54と同じでよい)を作成して表示部12に表示する。
【0085】
次にステップSP209においてユーザは、利用申告画面において、利用を希望する外部接続デバイス30を選択するとともに、外部接続デバイス30の利用目的を記入し、その後、入力完了ボタンを押下する。利用申告画面の入力内容は、通信部13から通信ネットワーク4を介してサーバ装置2に送信される。
【0086】
次にステップSP210において制御部44は、外部接続デバイス30のマウントを許可することにより、コンピュータ3から外部接続デバイス30へのデータの書き込みを可能とする。利用申請とは異なり利用申告においては、管理者等の承認を受けることなく未許可デバイスの利用が許可される。そして、マウントを許可するための制御信号D4を外部インタフェース16に入力する。
【0087】
また、ステップSP210において制御部44は、外部接続デバイス30を利用できることを示す利用可能画面(図10に示した利用可否画面55と同じでよい)を、表示部12に表示する。利用申告においては、原則として利用制限時間(例えば30分間)が設定されており、図10に示した例と同様に、利用制限時間を示すメッセージが利用可能画面に表示されている。
【0088】
また、ステップSP210においてファイル情報取得部42は、外部接続デバイス30のマウントを許可した時点でのファイル情報を、外部接続デバイス30から取得する。取得したファイル情報は、通信部13から通信ネットワーク4を介してサーバ装置2に送信される。
【0089】
次にステップSP211においてユーザは、外部接続デバイス30を利用して、コンピュータ3から外部接続デバイス30へのデータの書き込み操作を行う。
【0090】
次にステップSP212においてファイル情報取得部42は、外部接続デバイス30にデータが書き込まれている時点でのファイル情報を、外部接続デバイス30から取得する。取得したファイル情報は、通信部13から通信ネットワーク4を介してサーバ装置2に送信される。
【0091】
外部接続デバイス30の利用が終了すると、次にステップSP213においてユーザは、利用可能画面に表示されている利用終了ボタンを押下する。
【0092】
次にステップSP214においてファイル情報取得部42は、利用終了時点でのファイル情報を外部接続デバイス30から取得する。取得したファイル情報は、通信部13から通信ネットワーク4を介してサーバ装置2に送信される。
【0093】
ファイル情報の取得が完了した後、制御部44は、取外し許可画面56を表示部12に表示する。
【0094】
次にステップSP215においてユーザは、コンピュータ3から外部接続デバイス30を取り外す。
【0095】
なお、以上の説明では、マウント許可時、利用中、及び利用終了後の三つのタイミングでファイル情報を取得する例について述べたが、必ずしも全てのタイミングでファイル情報の取得を実行する必要はなく、少なくとも一つのタイミングで実行すればよい。
【0096】
また、コンピュータ3が通信ネットワーク4に接続されていない場合には、利用申告画面の入力内容や外部接続デバイス30から取得したファイル情報を、コンピュータ3からサーバ装置2に送信することができない。そのため、制御部44がコンピュータ3と通信ネットワーク7との接続状態を監視し、コンピュータ3が通信ネットワーク4に接続されていない場合には、利用申告を受け付けないように制御してもよい。但し、コンピュータ3が通信ネットワーク4に接続されていない場合であっても、利用申告を受け付けてもよい。コンピュータ3が通信ネットワーク4に接続されていない場合には、利用申告画面の入力内容や外部接続デバイス30から取得したファイル情報は、コンピュータ3の記憶部14に保存される。そして、その後にコンピュータ3が通信ネットワーク4に接続された時点で、記憶部14に保存されている情報がコンピュータ3から通信ネットワーク4を介してサーバ装置2に送信される。
【0097】
このように本実施の形態に係るデバイス利用制御方法によれば、外部接続デバイス30が未許可デバイスである場合には、マウントが禁止される。従って、未許可デバイスに対してコンピュータ3へのマウントを禁止することによって、高いセキュリティレベルを維持することができる。また、ステップSP106,SP206においては、外部接続デバイス30に対するデータの読み出し及び書き込みの少なくとも一方(望ましくは双方)が制限された状態でマウントが制限許可される。従って、マウントが制限許可された外部接続デバイス30から識別情報やデバイス情報を抽出して利用申請又は利用申告を行うことにより、ユーザは外部接続デバイス30を利用することができる。しかも、外部接続デバイス30のマウントを制限許可する場合であっても、利用申請や利用申告が完了して外部接続デバイス30に対するデータの読み出しや書き込みが可能になるまでは、外部接続デバイス30に対するデータの読み出し及び書き込みの少なくとも一方(望ましくは双方)が制限されるため、セキュリティレベルは確保される。このように、未許可デバイスのマウントを禁止する処理と制限許可する処理とを選択的に切り替えることにより、未許可デバイスに対してはマウントを禁止するという高いセキュリティレベルを維持しつつも、必要時にはユーザが未許可デバイスを利用することが可能となる。
【0098】
また、本実施の形態に係るデバイス利用制御方法によれば、コンピュータ3を通常に使用する際には未許可デバイスのマウントを禁止する処理が選択され、所定の条件を満たした場合に制限許可する処理に切り替えられる。このように、通常時には未許可デバイスのマウントを禁止する処理が選択されることにより、未許可デバイスに対しては原則的にはマウントが禁止されるため、高いセキュリティレベルを維持することができる。
【0099】
また、本実施の形態に係るデバイス利用制御方法によれば、未許可デバイスの利用要求(利用申請又は利用申告)がコンピュータ3に入力された場合に、未許可デバイスのマウントを制限許可する処理に切り替えられる。従って、未許可デバイスを利用する必要が生じた場合には、ユーザは、コンピュータ3にインストールされているプログラム20を起動する等して未許可デバイスの利用要求を入力することにより、未許可デバイスを利用することが可能となる。しかも、プログラム20がインストールされていないコンピュータにおいては、未許可デバイスの利用要求を入力できないため、プログラム20をインストールするコンピュータを制限することにより、高いセキュリティレベルを維持することができる。
【0100】
また、本実施の形態に係るデバイス利用制御方法によれば、外部接続デバイス30のマウントを制限許可した場合であっても、所定の申請制限時間の経過後に外部接続デバイス30のマウントが禁止される。このように、未許可デバイスのマウントを永続的に許可するのではなく、所定時間の経過後に再びマウントを禁止することにより、高いセキュリティレベルを維持することが可能となる。
【0101】
また、本実施の形態に係るデバイス利用制御方法によれば、ステップSP108,SP208において、所定のデバイス情報が外部接続デバイス30から取得される。そして、取得したデバイス情報に基づいて、利用を希望するデバイスをユーザに選択させるための選択メニューを含む利用申請画面54又は利用申告画面が作成され、当該選択メニューがユーザに提示される。従って、ユーザは、提示された選択メニューからデバイスを選択するという簡易な操作によって、利用を希望する外部接続デバイスを特定することができる。また、複数の未許可デバイスがコンピュータ3に接続されている場合には、利用要求が入力された場合に全ての未許可デバイスのマウントをまとめて許可するのではなく、利用を希望するデバイスをユーザに選択させることにより、他の未許可デバイスに関してはマウントが許可されないため、高いセキュリティレベルを維持することができる。
【0102】
また、本実施の形態に係るデバイス利用制御方法によれば、ステップSP110では、外部接続デバイス30のマウントが制限許可された場合に、当該デバイスに関して許可デバイスとしての承認を受けるための正式承認要求が、コンピュータ3からサーバ装置2に通知される。従って、サーバ装置2から管理者のコンピュータ5に正式承認要求を転送することによって、未許可デバイスである外部接続デバイス30の利用申請に対して管理者による正式な承認を受けることが可能となる。
【0103】
また、本実施の形態に係るデバイス利用制御方法によれば、ステップSP110では、外部接続デバイス30のマウントが制限許可された場合に、予め設定された承認ルールに基づいて外部接続デバイス30を許可デバイスとして承認する。従って、規定のセキュリティポリシ等に基づいて承認条件を予め設定しておくことにより、管理者による承認作業を経ることなく、未許可デバイスを許可デバイスとして自動で承認することができる。その結果、管理者の作業負担を軽減できるとともに、ユーザは外部接続デバイス30を即座に利用することが可能となる。
【0104】
また、本実施の形態に係るデバイス利用制御方法によれば、ステップSP110,SP113,SP115,SP210,SP212,SP214では、外部接続デバイス30のマウントが制限許可された後に許可された場合に、外部接続デバイス30内に記憶されているファイルに関するファイル情報が取得される。従って、未許可デバイスのマウントを制限許可した後に許可した場合に、当該デバイスによってどのようなファイルが持ち出されたかを、ファイル情報を取得することによって管理することができる。また、ユーザが未許可デバイスを紛失した場合等であっても、どのようなファイルが外部に流出する可能性があるかを、ファイル情報を取得することによって管理することができる。
【0105】
また、本実施の形態に係るデバイス利用制御方法によれば、外部接続デバイス30のマウントを許可したタイミング(ステップSP110,SP210)でファイル情報を取得することにより、コンピュータ3からファイルを持ち出す前に外部接続デバイス30内にどのようなファイルが記憶されていたかを管理することができる。また、コンピュータ3から外部接続デバイス30にデータが書き込まれているタイミング(ステップSP113,SP212)、又はコンピュータ3から外部接続デバイス30へのデータの書き込みが完了したタイミング(ステップSP115,SP214)でファイル情報を取得することにより、外部接続デバイス30によってどのようなファイルが持ち出されたかを管理することができる。
【0106】
なお、今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記した意味ではなく、特許請求の範囲によって示され、特許請求の範囲と均等の意味及び範囲内での全ての変更が含まれることが意図される。
【符号の説明】
【0107】
1 デバイス利用制御システム
2 サーバ装置
3,5 コンピュータ
4 通信ネットワーク
20 プログラム
30 外部接続デバイス
40 識別情報取得部
41 デバイス情報取得部
42 ファイル情報取得部
43 判定部
44 制御部
45 承認部
46 通知部
【特許請求の範囲】
【請求項1】
コンピュータに接続して利用されるデバイスの利用制御を行うデバイス利用制御方法であって、
(A)前記コンピュータに前記デバイスが接続されると、当該デバイスに関する識別情報を当該デバイスから取得するステップと、
(B)前記ステップ(A)で取得した前記識別情報に基づいて、前記デバイスが予め利用許可された許可デバイスであるか、利用許可されていない未許可デバイスであるかを判定するステップと、
(C)前記ステップ(B)による判定の結果、前記デバイスが未許可デバイスである場合に、後記ステップ(D−1)と後記ステップ(D−2)とを選択的に切り替えて実行するステップと、
(D−1)前記デバイスのマウントを禁止するステップ
(D−2)前記デバイスに対するデータの読み出し及び書き込みの少なくとも一方を制限した状態で前記デバイスのマウントを許可するステップ
を備える、デバイス利用制御方法。
【請求項2】
前記ステップ(C)においては、前記ステップ(D−1)が選択され、所定の条件を満たした場合に前記ステップ(D−2)に切り替えられる、請求項1に記載のデバイス利用制御方法。
【請求項3】
前記所定の条件として、未許可デバイスの利用要求が前記コンピュータに入力された場合に、前記ステップ(D−2)に切り替えられる、請求項2に記載のデバイス利用制御方法。
【請求項4】
(E)前記ステップ(D−2)において前記デバイスに対するデータの読み出し及び書き込みの少なくとも一方を制限した状態で前記デバイスのマウントを許可した場合に、所定時間の経過後に当該デバイスのマウントを禁止するステップ
をさらに備える、請求項1〜3のいずれか一つに記載のデバイス利用制御方法。
【請求項5】
前記ステップ(D−2)は、
(D−2−1)前記デバイスが未許可デバイスである場合に、当該デバイスに関するデバイス情報を当該デバイスから取得するステップと、
(D−2−2)前記ステップ(D−2−1)で取得した前記デバイス情報に基づいて、利用を希望するデバイスをユーザに選択させるための選択メニューを作成し、当該選択メニューをユーザに提示するステップと、
を有する、請求項1〜4のいずれか一つに記載のデバイス利用制御方法。
【請求項6】
(F)前記ステップ(D−2)において前記デバイスに対するデータの読み出し及び書き込みの少なくとも一方を制限した状態で前記デバイスのマウントを許可した場合に、当該デバイスに関して許可デバイスとしての承認を受けるための利用申請を前記コンピュータから所定のサーバ装置に通知するステップ
をさらに備える、請求項1〜5のいずれか一つに記載のデバイス利用制御方法。
【請求項7】
(G)前記ステップ(D−2)において前記デバイスに対するデータの読み出し及び書き込みの少なくとも一方を制限した状態で前記デバイスのマウントを許可した場合に、予め設定された条件に基づいて当該デバイスを許可デバイスとして承認するステップ
をさらに備える、請求項1〜6のいずれか一つに記載のデバイス利用制御方法。
【請求項8】
(H)前記ステップ(D−2)において前記デバイスに対するデータの読み出し及び書き込みの少なくとも一方を制限した状態で前記デバイスのマウントを許可した場合に、当該デバイス内に記憶されているファイルに関する情報を取得するステップ
をさらに備える、請求項1〜7のいずれか一つに記載のデバイス利用制御方法。
【請求項9】
前記ステップ(H)においては、
前記デバイスのマウントを許可したタイミング、
前記コンピュータから前記デバイスにデータが書き込まれているタイミング、及び
前記コンピュータから前記デバイスへのデータの書き込みが完了したタイミング、
の少なくとも一つにおいて、当該デバイス内に記憶されているファイルに関する情報が取得される、請求項8に記載のデバイス利用制御方法。
【請求項10】
コンピュータに接続して利用されるデバイスの利用制御を行うデバイス利用制御装置であって、
前記コンピュータに前記デバイスが接続されると、当該デバイスに関する識別情報を当該デバイスから取得する取得部と、
前記取得部で取得した前記識別情報に基づいて、前記デバイスが予め利用許可された許可デバイスであるか、利用許可されていない未許可デバイスであるかを判定する判定部と、
前記判定部による判定の結果に基づいて、前記デバイスの利用制御を行う制御部と、
を備え、
前記制御部は、前記デバイスが未許可デバイスである場合には、前記デバイスのマウントを禁止する第1の利用制御と、前記デバイスに対するデータの読み出し及び書き込みの少なくとも一方を制限した状態で前記デバイスのマウントを許可する第2の利用制御と、を選択的に切り替えて実行する、デバイス利用制御装置。
【請求項11】
コンピュータに接続して利用されるデバイスの利用制御を行うデバイス利用制御システムであって、
前記コンピュータと、
前記コンピュータと通信可能なサーバ装置と、
を備え、
前記コンピュータは、
前記コンピュータに前記デバイスが接続されると、当該デバイスに関する識別情報を当該デバイスから取得する取得部と、
前記デバイスが予め利用許可された許可デバイスであるか、利用許可されていない未許可デバイスであるかを、前記取得部で取得した前記識別情報と、前記サーバ装置で管理されている許可デバイスの識別情報のリスト情報とを比較することにより判定する判定部と、
前記判定部による判定の結果に基づいて、前記デバイスの利用制御を行う制御部と、
を有し、
前記制御部は、前記デバイスが未許可デバイスである場合には、前記デバイスのマウントを禁止する第1の利用制御と、前記デバイスに対するデータの読み出し及び書き込みの少なくとも一方を制限した状態で前記デバイスのマウントを許可する第2の利用制御と、を選択的に切り替えて実行する、デバイス利用制御システム。
【請求項12】
コンピュータに接続して利用されるデバイスの利用制御を行うためのプログラムであって、
前記コンピュータに、
(A)前記コンピュータに前記デバイスが接続されると、当該デバイスに関する識別情報を当該デバイスから取得するステップと、
(B)前記ステップ(A)で取得した前記識別情報に基づいて、前記デバイスが予め利用許可された許可デバイスであるか、利用許可されていない未許可デバイスであるかを判定するステップと、
(C)前記ステップ(B)による判定の結果、前記デバイスが未許可デバイスである場合に、後記ステップ(D−1)と後記ステップ(D−2)とを選択的に切り替えて実行するステップと、
(D−1)前記デバイスのマウントを禁止するステップ
(D−2)前記デバイスに対するデータの読み出し及び書き込みの少なくとも一方を制限した状態で前記デバイスのマウントを許可するステップ
を実行させるための、プログラム。
【請求項1】
コンピュータに接続して利用されるデバイスの利用制御を行うデバイス利用制御方法であって、
(A)前記コンピュータに前記デバイスが接続されると、当該デバイスに関する識別情報を当該デバイスから取得するステップと、
(B)前記ステップ(A)で取得した前記識別情報に基づいて、前記デバイスが予め利用許可された許可デバイスであるか、利用許可されていない未許可デバイスであるかを判定するステップと、
(C)前記ステップ(B)による判定の結果、前記デバイスが未許可デバイスである場合に、後記ステップ(D−1)と後記ステップ(D−2)とを選択的に切り替えて実行するステップと、
(D−1)前記デバイスのマウントを禁止するステップ
(D−2)前記デバイスに対するデータの読み出し及び書き込みの少なくとも一方を制限した状態で前記デバイスのマウントを許可するステップ
を備える、デバイス利用制御方法。
【請求項2】
前記ステップ(C)においては、前記ステップ(D−1)が選択され、所定の条件を満たした場合に前記ステップ(D−2)に切り替えられる、請求項1に記載のデバイス利用制御方法。
【請求項3】
前記所定の条件として、未許可デバイスの利用要求が前記コンピュータに入力された場合に、前記ステップ(D−2)に切り替えられる、請求項2に記載のデバイス利用制御方法。
【請求項4】
(E)前記ステップ(D−2)において前記デバイスに対するデータの読み出し及び書き込みの少なくとも一方を制限した状態で前記デバイスのマウントを許可した場合に、所定時間の経過後に当該デバイスのマウントを禁止するステップ
をさらに備える、請求項1〜3のいずれか一つに記載のデバイス利用制御方法。
【請求項5】
前記ステップ(D−2)は、
(D−2−1)前記デバイスが未許可デバイスである場合に、当該デバイスに関するデバイス情報を当該デバイスから取得するステップと、
(D−2−2)前記ステップ(D−2−1)で取得した前記デバイス情報に基づいて、利用を希望するデバイスをユーザに選択させるための選択メニューを作成し、当該選択メニューをユーザに提示するステップと、
を有する、請求項1〜4のいずれか一つに記載のデバイス利用制御方法。
【請求項6】
(F)前記ステップ(D−2)において前記デバイスに対するデータの読み出し及び書き込みの少なくとも一方を制限した状態で前記デバイスのマウントを許可した場合に、当該デバイスに関して許可デバイスとしての承認を受けるための利用申請を前記コンピュータから所定のサーバ装置に通知するステップ
をさらに備える、請求項1〜5のいずれか一つに記載のデバイス利用制御方法。
【請求項7】
(G)前記ステップ(D−2)において前記デバイスに対するデータの読み出し及び書き込みの少なくとも一方を制限した状態で前記デバイスのマウントを許可した場合に、予め設定された条件に基づいて当該デバイスを許可デバイスとして承認するステップ
をさらに備える、請求項1〜6のいずれか一つに記載のデバイス利用制御方法。
【請求項8】
(H)前記ステップ(D−2)において前記デバイスに対するデータの読み出し及び書き込みの少なくとも一方を制限した状態で前記デバイスのマウントを許可した場合に、当該デバイス内に記憶されているファイルに関する情報を取得するステップ
をさらに備える、請求項1〜7のいずれか一つに記載のデバイス利用制御方法。
【請求項9】
前記ステップ(H)においては、
前記デバイスのマウントを許可したタイミング、
前記コンピュータから前記デバイスにデータが書き込まれているタイミング、及び
前記コンピュータから前記デバイスへのデータの書き込みが完了したタイミング、
の少なくとも一つにおいて、当該デバイス内に記憶されているファイルに関する情報が取得される、請求項8に記載のデバイス利用制御方法。
【請求項10】
コンピュータに接続して利用されるデバイスの利用制御を行うデバイス利用制御装置であって、
前記コンピュータに前記デバイスが接続されると、当該デバイスに関する識別情報を当該デバイスから取得する取得部と、
前記取得部で取得した前記識別情報に基づいて、前記デバイスが予め利用許可された許可デバイスであるか、利用許可されていない未許可デバイスであるかを判定する判定部と、
前記判定部による判定の結果に基づいて、前記デバイスの利用制御を行う制御部と、
を備え、
前記制御部は、前記デバイスが未許可デバイスである場合には、前記デバイスのマウントを禁止する第1の利用制御と、前記デバイスに対するデータの読み出し及び書き込みの少なくとも一方を制限した状態で前記デバイスのマウントを許可する第2の利用制御と、を選択的に切り替えて実行する、デバイス利用制御装置。
【請求項11】
コンピュータに接続して利用されるデバイスの利用制御を行うデバイス利用制御システムであって、
前記コンピュータと、
前記コンピュータと通信可能なサーバ装置と、
を備え、
前記コンピュータは、
前記コンピュータに前記デバイスが接続されると、当該デバイスに関する識別情報を当該デバイスから取得する取得部と、
前記デバイスが予め利用許可された許可デバイスであるか、利用許可されていない未許可デバイスであるかを、前記取得部で取得した前記識別情報と、前記サーバ装置で管理されている許可デバイスの識別情報のリスト情報とを比較することにより判定する判定部と、
前記判定部による判定の結果に基づいて、前記デバイスの利用制御を行う制御部と、
を有し、
前記制御部は、前記デバイスが未許可デバイスである場合には、前記デバイスのマウントを禁止する第1の利用制御と、前記デバイスに対するデータの読み出し及び書き込みの少なくとも一方を制限した状態で前記デバイスのマウントを許可する第2の利用制御と、を選択的に切り替えて実行する、デバイス利用制御システム。
【請求項12】
コンピュータに接続して利用されるデバイスの利用制御を行うためのプログラムであって、
前記コンピュータに、
(A)前記コンピュータに前記デバイスが接続されると、当該デバイスに関する識別情報を当該デバイスから取得するステップと、
(B)前記ステップ(A)で取得した前記識別情報に基づいて、前記デバイスが予め利用許可された許可デバイスであるか、利用許可されていない未許可デバイスであるかを判定するステップと、
(C)前記ステップ(B)による判定の結果、前記デバイスが未許可デバイスである場合に、後記ステップ(D−1)と後記ステップ(D−2)とを選択的に切り替えて実行するステップと、
(D−1)前記デバイスのマウントを禁止するステップ
(D−2)前記デバイスに対するデータの読み出し及び書き込みの少なくとも一方を制限した状態で前記デバイスのマウントを許可するステップ
を実行させるための、プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2012−146230(P2012−146230A)
【公開日】平成24年8月2日(2012.8.2)
【国際特許分類】
【出願番号】特願2011−5560(P2011−5560)
【出願日】平成23年1月14日(2011.1.14)
【出願人】(504126112)住友電工システムソリューション株式会社 (78)
【Fターム(参考)】
【公開日】平成24年8月2日(2012.8.2)
【国際特許分類】
【出願日】平成23年1月14日(2011.1.14)
【出願人】(504126112)住友電工システムソリューション株式会社 (78)
【Fターム(参考)】
[ Back to top ]