データ管理システム、端末コンピュータ、管理コンピュータ、データ管理方法及びそのプログラム
【課題】所定の権限でのみアクセス可能なデータを、所定の権限を有さない利用者によって、安全に収集させ、更新させることを可能とするデータ管理システム、端末コンピュータ、管理コンピュータ、データ管理方法及びそのプログラムを提供すること
【解決手段】本発明にかかるデータ管理システムは、アクセス制限データのアクセスが可能な所定の権限で動作し、アクセス制限データ53を取得して暗号化した暗号化情報7を生成するよう端末コンピュータ5を動作させるデータアクセスプログラム52と、利用者の権限で動作し、暗号化情報7を取得するよう端末コンピュータ5を動作させるユーザインタフェースプログラム51を有する端末コンピュータ5と、所定の権限で動作し、暗号化情報7を復号化して生成したアクセス制限データ53を管理コンピュータ6に格納するよう管理コンピュータ6を動作させるデータ回収プログラム61を有する管理コンピュータ6を含む。
【解決手段】本発明にかかるデータ管理システムは、アクセス制限データのアクセスが可能な所定の権限で動作し、アクセス制限データ53を取得して暗号化した暗号化情報7を生成するよう端末コンピュータ5を動作させるデータアクセスプログラム52と、利用者の権限で動作し、暗号化情報7を取得するよう端末コンピュータ5を動作させるユーザインタフェースプログラム51を有する端末コンピュータ5と、所定の権限で動作し、暗号化情報7を復号化して生成したアクセス制限データ53を管理コンピュータ6に格納するよう管理コンピュータ6を動作させるデータ回収プログラム61を有する管理コンピュータ6を含む。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、データ管理システム、端末コンピュータ、管理コンピュータ、データ管理方法及びそのプログラムに関し、特に、所定の権限でのアクセスが可能なデータを端末コンピュータから管理コンピュータに収集する技術に関する。
【背景技術】
【0002】
情報漏洩対策として、コンピュータ端末の利用状況を示すログを収集又は監査する企業や団体が増えている。
一方、コンピュータ端末に格納される、例えば、監査ログのようなセキュリティリスクの高いデータは、通常、オペレーティングシステムの機能であるファイルシステムのアクセスコントロールリスト(ACL:Access Control List)によって、管理者権限でないとアクセスできないように保護されている。
したがって、例えば、図9に示すように、データを抽出するプログラムによって、管理者権限でのみアクセスが許可されているデータを抽出する場合、管理者権限を有する管理者によって起動され、管理者権限で動作するプログラムでないとデータを取得することができない。
【0003】
よって、そのようなデータは、管理者権限を有する管理者が収集する必要があるが、オフラインで運用されているコンピュータ端末も、現実には数多く存在している。ネットワークに接続されているコンピュータ端末であれば、管理者がネットワークを経由して、データを収集することができるが、オフラインで運用されているコンピュータ端末から、データを収集するためには、定期的に管理者がコンピュータ端末の設置場所を訪れるか、コンピュータ端末の一般利用者にコンピュータ端末を定期的に主管部門に持参させる等の必要があり、膨大な運用コストがかかってしまう。
他方、コンピュータ端末の一般利用者に管理者権限を与えることにより、一般利用者に監査ログを収集させる方法も考えられるが、セキュリティレベルを著しく低下させてしまう。
【0004】
なお、特許文献1には、アクセス制限電子ファイルを、アクセス制限情報でアクセス権限を認められているユーザのみが復号可能であるように生成し、そのアクセス制限電子ファイルとオリジナル電子ファイルとを上記のアクセス制限情報に基づいて管理する技術が開示されている。これにより、アクセス制限情報でアクセス権限を認められていないユーザに対して、アクセス制限電子ファイルをたとえ入手したとしてもアクセスできないようにすることができると共に、そのアクセス権限の管理を、管理者がアクセス権限情報を作成するだけで自動的に行うことができるようにしている。
【0005】
また、特許文献2には、リクエストに対応する管理対象ファイルの情報をファイル情報管理データベースより抽出し、抽出された情報に基づいて、管理対象ファイルに対する処理を実行することにより、任意の情報の管理を効率よく実現することが可能となる技術が開示されている。また、特許文献2では、管理対象ファイルを利用する業務アプリケーションの実行に際し、管理対象ファイルの消去権限、バックアップ権限、および利用権限のいずれかの有無を判定するとともに、利用権限を有する判定がなされた場合、業務アプリケーションの処理対象となる管理対象ファイルをハードディスクより抽出している。
【0006】
さらに、特許文献3には、記録媒体に記録された情報を他のコンピュータに複製する場合、これを暗号化した上で複製することができ、記録媒体がコンピュータに接続されて認証に成功している場合にのみこの複製した情報の復号化を行うことができる技術が開示されている。これにより、あるコンピュータの情報が記録媒体に記録されて持ち出され、他のコンピュータに複製された場合でも、その複製された情報は、情報漏洩抑止記録媒体を所持しているものしか使用することができず、情報の漏えいを適切に抑止することを可能としている。
【0007】
さらにまた、特許文献4には、ファイル持出管理サーバがパッケージデータに基づいて生成された第1の改竄判定用情報と、端末装置がパッケージデータから生成した第2の改竄判定用情報とに基づいて端末装置が記憶するパッケージデータの正当性を判定し、パッケージデータが正当であると判定された場合に、端末装置にパッケージデータに含まれる暗号化された利用対象情報を復号する復号鍵を送信する技術が開示されている。これにより、パッケージデータが改竄されている場合には、端末装置に復号鍵を送信しないようにすることができ、改竄された場合に利用対象情報が不正利用されることを防ぐことを可能としている。
【0008】
また、特許文献5には、文書管理システムの端末からエクスポートされる文書が機密情報を含むと決定されるならば、その文書を許可するか、ブロックするか、その端末からエクスポートされる前にその文書を暗号化するかを決定することにより、機密文書を保護する技術が開示されている。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】特開2004−164604号公報
【特許文献2】特開2005−148920号公報
【特許文献3】特開2008−108232号公報
【特許文献4】特開2008−269544号公報
【特許文献5】特表2008−541273号公報
【発明の概要】
【発明が解決しようとする課題】
【0010】
背景技術として説明したように、オフラインで運用されているコンピュータ端末から、セキュリティリスクの高いデータ、つまり、所定の権限でのみアクセス可能なデータを、所定の権限を有さない利用者によって、その内容を晒すことなく安全に収集させ、さらには、収集したデータを更新させることを可能とする有効な方法がないという問題がある。
【0011】
また、特許文献1〜5は、いずれも上述した問題を解決するための具体的な仕組みを開示したものではない。つまり、特許文献1〜5には、いずれも所定の権限でのみアクセス可能なデータを所定の権限を有しない利用者によって、その内容を晒すことなく安全に収集させることを可能とするための具体的な仕組みを開示したものではない。
【0012】
本発明の目的は、上述した課題を解決するために、所定の権限でのみアクセス可能なデータを、所定の権限を有さない利用者によって、その内容を晒すことなく安全に収集させ、収集したデータを更新させることを可能とするデータ管理システム、端末コンピュータ、管理コンピュータ、データ管理方法及びそのプログラムを提供することにある。
【課題を解決するための手段】
【0013】
本発明の第1の態様にかかるデータ管理システムは、アクセス制限データを格納する端末コンピュータと、前記端末コンピュータから収集した前記アクセス制限データを格納する管理コンピュータを有する。前記端末コンピュータは、前記アクセス制限データへのアクセスが可能な所定の権限で動作し、前記端末コンピュータに格納されるアクセス制限データを取得して、取得したアクセス制限データを暗号化した暗号化情報を生成するとともに、前記管理コンピュータが前記アクセス制限データを格納した場合に生成され、当該アクセス制限データを特定するデータ特定情報に基づいて、前記端末コンピュータに格納される当該アクセス制限データを削除するよう前記端末コンピュータを動作させるデータアクセスプログラムと、前記所定の権限を有さない利用者によって起動され、前記利用者の権限で動作し、前記利用者からの要求に応じて、前記データアクセスプログラムから前記暗号化情報を取得するとともに、前記利用者からのデータ特定情報の入力に応じて、当該データ特定情報に基づいた前記アクセス制限データの削除を前記データアクセスプログラムに実行させるよう前記端末コンピュータを動作させるユーザインタフェースプログラムを有する。前記管理コンピュータは、前記所定の権限で動作し、前記暗号化情報の入力に応じて、当該暗号化情報を復号化して生成したアクセス制限データを前記管理コンピュータに格納するとともに、当該アクセス制限データを特定するデータ特定情報を生成するよう前記管理コンピュータを動作させるデータ回収プログラムを有する。
【0014】
本発明の第2の態様にかかる端末コンピュータは、管理コンピュータに収集されるアクセス制限データを格納する。前記アクセス制限データへのアクセスが可能な所定の権限で動作し、前記端末コンピュータに格納されるアクセス制限データを取得して、取得したアクセス制限データを暗号化した暗号化情報を生成するとともに、前記管理コンピュータが前記暗号化情報から復号したアクセス制限データを格納した場合に生成され、当該アクセス制限データを特定するデータ特定情報に基づいて、前記端末コンピュータに格納される当該アクセス制限データを削除するよう前記端末コンピュータを動作させるデータアクセスプログラムと、前記所定の権限を有さない利用者によって起動され、前記利用者の権限で動作し、前記利用者からの要求に応じて、前記データアクセスプログラムから前記暗号化情報を取得するとともに、前記利用者からのデータ特定情報の入力に応じて、当該データ特定情報に基づいた前記アクセス制限データの削除を前記データアクセスプログラムに実行させるよう前記端末コンピュータを動作させるユーザインタフェースプログラムを有する。
【0015】
本発明の第3の態様にかかる管理コンピュータは、アクセス制限データを格納する端末コンピュータから収集した前記アクセス制限データを格納する。前記アクセス制限データへのアクセスが可能な所定の権限で動作し、前記端末コンピュータに格納されていたアクセス制限データを暗号化して生成した暗号化情報の入力に応じて、前記暗号化情報を復号化して生成したアクセス制限データを前記管理コンピュータに格納するとともに、当該アクセス制限データを特定し、前記端末コンピュータからの当該アクセス制限データの削除に使用されるデータ特定情報を生成するよう前記管理コンピュータを動作させるデータ回収プログラムを有する。
【0016】
本発明の第4の態様にかかるデータ管理方法は、アクセス制限データを格納する端末コンピュータから管理コンピュータに前記アクセス制限データを収集するデータ管理方法である。前記アクセス制限データへのアクセスが可能な所定の権限で動作するデータアクセスプログラムが、前記端末コンピュータに格納されるアクセス制限データを取得して、取得したアクセス制限データを暗号化した暗号化情報を生成するよう前記端末コンピュータを動作させるステップと、前記所定の権限を有さない利用者によって起動され、前記利用者の権限で動作するユーザインタフェースプログラムが、前記利用者からの要求に応じて、前記データアクセスプログラムから前記暗号化情報を取得するよう前記端末コンピュータを動作させるステップと、前記所定の権限で動作するデータ回収プログラムが、前記暗号化情報の入力に応じて、前記暗号化情報を復号化して生成したアクセス制限データを前記管理コンピュータに格納するとともに、当該アクセス制限データを特定するデータ特定情報を生成するよう前記端末コンピュータを動作させるステップと、前記ユーザインタフェースプログラムが、前記利用者からのデータ特定情報の入力に応じて、前記データアクセスプログラムに当該データ特定情報に基づいて、前記端末コンピュータに格納される当該アクセス制限データの削除を実行させるよう前記端末コンピュータを動作させるステップを有する。
【0017】
本発明の第5の態様にかかるデータアクセスプログラムは、管理コンピュータに収集されるアクセス制限データを格納する端末コンピュータを制御するデータアクセスプログラムである。前記アクセス制限データへのアクセスが可能な所定の権限を有さない利用者によって起動され、前記利用者の権限で動作するユーザインタフェースプログラムからの要求に応じて、前記所定の権限で動作し、前記端末コンピュータに格納されるアクセス制限データを取得して、取得したアクセス制限データを暗号化して暗号化情報を生成するステップと、前記管理コンピュータが前記暗号化情報から復号したアクセス制限データを格納した場合に生成され、当該アクセス制限データを特定するデータ特定情報の前記ユーザインタフェースプログラムからの入力に応じて、前記所定の権限で動作し、当該データ特定情報に基づいて、前記端末コンピュータに格納されるアクセス制限データの削除を実行するステップを前記端末コンピュータに実行させる。
【0018】
本発明の第6の態様にかかるデータ回収プログラムは、アクセス制限データを格納する端末コンピュータから収集した前記アクセス制限データを格納する管理コンピュータを制御するデータ回収プログラムである。前記アクセス制限データへのアクセスが可能な所定の権限で動作し、前記端末コンピュータに格納されていたアクセス制限データを暗号化して生成した暗号化情報の入力に応じて、前記暗号化情報を復号化して生成したアクセス制限データを前記管理コンピュータに格納するとともに、当該アクセス制限データを特定し、前記端末コンピュータからの当該アクセス制限データの削除に使用されるデータ特定情報を生成するステップを前記管理コンピュータに実行させる。
【発明の効果】
【0019】
上述した本発明の各態様により、所定の権限でのみアクセス可能なデータを、所定の権限を有さない一般利用者によって、その内容を晒すことなく安全に収集させ、収集したデータを更新させることを可能とするデータ管理システム、端末コンピュータ、管理コンピュータ、データ管理方法及びそのプログラムを提供することができる。
【図面の簡単な説明】
【0020】
【図1】本発明の実施の形態にかかるデータ管理システムの概要を示す構成図である。
【図2】本発明の実施の形態にかかるデータ管理システムの構成図である。
【図3】本発明の実施の形態にかかる利用者端末及び管理者端末の構成例を示す図である。
【図4】本発明の実施の形態にかかる監査ログを示す図である。
【図5】本発明の実施の形態にかかるオフセットデータを示す図である。
【図6】本発明の実施の形態にかかるデータ管理システムの監査データの抽出処理を示すシーケンス図である。
【図7】本発明の実施の形態にかかるデータ管理システムの監査データの格納処理を示すシーケンス図である。
【図8】本発明の実施の形態にかかるデータ管理システムの監査データの削除処理を示すシーケンス図である。
【図9】背景技術にかかる利用者端末を説明するための図である。
【発明を実施するための形態】
【0021】
以下、図面を参照して本発明の実施の形態について説明する。
まず、図1を参照して、本発明の実施の形態にかかるデータ管理システムの概要について説明する。図1は、本発明の実施の形態にかかるデータ管理システムの概要を示す構成図である。
【0022】
データ管理システムは、端末コンピュータ5及び管理コンピュータ6を備える。
端末コンピュータ5は、ユーザインタフェースプログラム51、データアクセスプログラム52及びアクセス制限データ53を有する。
管理コンピュータ6は、データ回収プログラム61及びアクセス制限データ62を有する。
【0023】
ユーザインタフェースプログラム51は、所定の権限を有さない利用者によって起動され、利用者の権限で動作する。ユーザインタフェースプログラム51は、端末コンピュータ5に格納され、所定の権限でのアクセスが可能なアクセス制限データ53を取得するためのユーザインタフェースを利用者に提供する。
データアクセスプログラム52は、所定の権限で動作し、アクセス制限データ53にアクセスする機能を提供する。
データ回収プログラム61は、所定の権限で動作し、暗号化情報7に含まれるアクセス制限データ53を管理コンピュータ6に格納する。
アクセス制限データ53、62は、所定の権限でのアクセスが可能な領域に格納されたデータである。
【0024】
続いて、本発明の実施の形態にかかるデータ管理システムの処理の概要について説明する。
【0025】
まず、ユーザインタフェースプログラム51は、利用者からのアクセス制限データ531の抽出要求の入力に応じて、アクセス制限データ53の抽出要求をデータアクセスプログラム52に出力する。
データアクセスプログラム12は、ユーザインタフェースプログラム11から監査データの抽出要求の出力を受けると、端末コンピュータ5に格納されるアクセス制限データ53を取得して、取得したアクセス制限データ53を暗号化した暗号化情報7を生成する。さらに、データアクセスプログラム12は、生成した暗号化情報7をユーザインタフェースプログラム51に出力する。
そして、利用者は、ユーザインタフェースプログラム51から生成された暗号化情報7を取得し、取得した暗号化情報7を管理者に受け渡す。
【0026】
データ回収プログラム61は、管理者からの暗号化情報7の入力に応じて、暗号化情報7を復号化して生成したアクセス制限データ53を管理コンピュータ6に格納するとともに、このアクセス制限データ53を特定するデータ特定情報8を生成する。
そして、管理者は、データ回収プログラム61から生成されたデータ特定情報8を取得し、取得したデータ特定情報8を管理者に受け渡す。
【0027】
ユーザインタフェースプログラム51は、利用者からのデータ特定情報8の入力に応じて、入力されたデータ特定情報8をデータアクセスプログラム52に出力する。
データアクセスプログラム52は、データアクセスプログラム52からデータ特定情報8の入力を受けると、アクセス制限データ53を特定するデータ特定情報8に基づいて、端末コンピュータ5に格納されるアクセス制限データ53を削除する。
【0028】
続いて、図2を参照して、本発明の実施の形態にかかるデータ管理システムについて詳細に説明する。図2は、本発明の実施の形態にかかるデータ管理システムの構成図である。
【0029】
データ管理システムは、利用者端末1及び管理者端末2を備える。本実施の形態では、オフラインで運用されている利用者端末1の監査ログ131を、管理者が運用している管理者端末に収集する場合について例示する。
【0030】
利用者端末1は、ユーザインタフェースプログラム11、データアクセスプログラム12、記憶装置13を有する。利用者端末1は、一般利用者によって、オフラインで運用される。利用者端末1は、例えば、PC(Personal Computer)やサーバ等の情報処理装置である。利用者端末1は、端末コンピュータとして機能する。
管理者端末2は、データ回収プログラム21及び記憶装置22を有する。管理者端末2は、管理者権限を有する管理者によって使用される。管理者端末2は、例えば、PCやサーバ等の情報処理装置である。管理者端末2は、管理コンピュータとして機能する。
利用者端末1及び管理者端末2、例えば、図3に例示するように、プロセッサ91、メモリ92及びHDD(Hard Disk Drive)93を含む情報処理装置であり、プロセッサ91がHDD93からメモリ92に、各プログラム11、12、21をロードして実行する。
【0031】
ユーザインタフェースプログラム11は、一般利用者によって起動され、一般利用者の権限で動作するアプリケーションプログラムであり、監査ログ131に含まれる任意の範囲のデータを監査データとして抽出するためのユーザインタフェースを一般利用者に提供する。また、ユーザインタフェースプログラム11は、抽出した監査データが含まれる抽出ファイル3を生成する。
データアクセスプログラム12は、管理者権限で動作する常駐プログラムであり、監査ログ131にアクセスする機能を提供する。
【0032】
記憶装置13は、管理者権限でのみアクセス可能な領域に、監査ログ131、暗号鍵132及びオフセットデータ133を格納する。つまり、監査ログ131、暗号鍵132及びオフセットデータ133は、一般利用者の権限ではアクセス可能でない情報である。記憶装置13は、例えば、メモリやHDD等である。ここで、管理者権限でのみアクセス可能な領域とは、例えば、管理者権限でのみアクセス可能なディレクトリであるが、監査ログ131、暗号鍵132及びオフセットデータ133の各情報は、管理者権限でのみアクセスが可能であれば、これに限定されることはなく、各情報のそれぞれに直接、管理者権限でのみアクセス可能となるアクセス権限が設定されていてもよい。監査ログ131、暗号鍵132及びオフセットデータ133は、例えば、管理者権限でのみアクセス可能な1つ又は複数のファイルから構成される。
【0033】
監査ログ131は、例えば、Windows(登録商標)のセキュリティログのように、利用者端末1に対して行われた操作等を示し、セキュリティリスクの高いログである。監査ログ131は、図4に例示するように、事象が発生した時刻と、その事象とを含んだ情報である。なお、図4は、説明を単純化するため、監査ログ131に、同一時刻のデータが複数格納されていない場合を例示している。
【0034】
暗号鍵132は、データアクセスプログラム12が、監査ログ131に含まれる監査データを記憶装置13から取得した場合に、取得した監査データを暗号化するために使用する鍵データである。
【0035】
オフセットデータ133は、データアクセスプログラム12が監査ログ131から監査データを取得したときに生成され、記憶装置13に格納される。オフセットデータ133は、図5に例示するように、データアクセスプログラム12が監査ログ131に含まれるデータを抽出した操作を一意に識別するID値と、抽出したデータの範囲を含んだ情報である。本実施の形態では、オフセットデータ133は、監査ログ131から抽出したデータの範囲をその範囲の開始時刻と終了時刻によって示しているが、抽出したデータを特定することができれば、どのような情報であってもよい。よって、オフセットデータ133は、ID値によって、抽出したデータを特定することができる情報でもある。
【0036】
データ回収プログラム21は、管理者によって起動され、管理者権限で動作するアプリケーションプログラムであり、抽出ファイル3に含まれる監査データを監査ログ記憶装置22に格納する。また、データ回収プログラム21は、監査データを記憶装置22に格納したときに、回収完了証明ファイル4を生成する。
記憶装置22の管理者権限でのみアクセス可能な領域に、利用者端末1から収集した監査ログ221及び復号鍵222を格納する。記憶装置22は、例えば、メモリやHDD等である。監査ログ221及び復号鍵222は、例えば、管理者権限でのみアクセス可能な1つ又は複数のファイルから構成される。
監査ログ221は、利用者端末1から収集された監査データが含まれる。
復号鍵222は、暗号鍵132と対になる鍵データであり、利用者端末1において、暗号鍵132によって暗号化されたデータを復号するための鍵データである。
【0037】
続いて、図2、図6〜8を参照して、本発明の実施の形態にかかるデータ管理システムの処理について説明する。
まず、図2及び図6を参照して、本発明の実施の形態にかかるデータ管理システムの監査データの抽出処理について説明する。
【0038】
利用者端末1の監査データを抽出する場合、一般利用者は、利用者端末1においてユーザインタフェースプログラム11を起動し、監査データの抽出処理を実行する(ステップS300)。
ユーザインタフェースプログラム11は、一般利用者から監査データの抽出要求の入力に応じて、データアクセスプログラム12に監査データの抽出要求を出力する(ステップS301)。
【0039】
データアクセスプログラム12は、ユーザインタフェースプログラム11から監査データの抽出要求の出力を受けると、監査ログ131から監査データを取得する(ステップS302)。そして、データアクセスプログラム12は、取得した監査データを暗号鍵 132を使用して暗号化して(ステップS303)、暗号化した監査データをユーザインタフェースプログラム11に出力する。また、このときに、データアクセスプログラム12は、一意なID値を生成し(ステップS304)、生成したID値と、監査ログ131から抽出したデータの範囲とを関連付けた情報をオフセットデータ133として記憶装置13に格納する(ステップS305)。さらに、データアクセスプログラム12は、生成したID値をユーザインタフェースプログラム11に出力する。
【0040】
ユーザインタフェースプログラム11は、データアクセスプログラム12から出力されたID値と、暗号化された監査データを含んだ抽出ファイル3を生成する(ステップS306)。
そして、一般利用者は、ユーザインタフェースプログラム11から生成された抽出ファイル3を取得し、取得した抽出ファイル3を、例えば、USB(Universal Serial Bus)メモリやポータブルHDD(Hard Disk Drive)等の外部記憶媒体に格納して、この外部記憶媒体を管理者に受け渡す。
【0041】
続いて、図2及び図7を参照して、本発明の実施の形態にかかるデータ管理システムの監査データの格納処理について説明する。
【0042】
利用者端末1から収集した監査データを管理者端末2に格納する場合、管理者は、管理者端末2においてデータ回収プログラム 21を起動し、監査データの格納処理を実行する(ステップS400)。
データデータ回収プログラム21は、管理者から入力された抽出ファイル3を取得し(ステップS401)、取得した抽出ファイル3に含まれる監査データを復号鍵22を使用して復号する(ステップS402)。そして、復号した監査データを記憶装置22に格納する(ステップS403)。監査データの格納が完了すると、データデータ回収プログラム21は、抽出ファイル3に含まれるID値と、このID値から復号鍵22を使用して生成した電子署名データを含んだ回収完了証明ファイル4を生成する(ステップS404)。
【0043】
そして、管理者は、データデータ回収プログラム21から生成された回収完了証明ファイル4を取得し、取得した回収完了証明ファイル4を外部記憶媒体に格納して、この外部記憶媒体を一般利用者に受け渡す。
なお、一般利用者及び管理者間の抽出ファイル3もしくは回収完了証明ファイル4の受け渡しには、外部記憶媒体によって行われるもの他に、電子メール等のネットワークを介しての受け渡しも含まれる。
【0044】
続いて、図2及び図8を参照して、本発明の実施の形態にかかるデータ管理システムの監査データの削除処理について説明する。
【0045】
管理者端末2に収集した監査データを利用者端末1から削除する場合、一般利用者は、利用者端末1においてユーザインタフェースプログラム11を起動し、監査データの削除処理を実行する(ステップS500)。
ユーザインタフェースプログラム11は、一般利用者から入力された回収完了証明ファイル4を取得し(ステップS501)、取得した回収完了証明ファイル4とともに、データアクセスプログラム12に監査データの削除要求を出力する(ステップS502)。
【0046】
データアクセスプログラム12は、ユーザインタフェースプログラム11から監査データの削除要求の出力を受けると、出力された回収完了証明ファイル4に含まれるID値と、電子署名データとに基づいて検証を行う。そして、データアクセスプログラム12は、検証の結果に問題がなければ、このID値と、オフセットデータ133に含まれるID値とを比較し、一致するID値に関連付けられたデータの範囲をオフセットデータ133から検出する(ステップS503)。そして、データアクセスプログラム12は、検出した範囲のデータを監査ログ 131から削除する(ステップS504)。検証の結果に問題がある場合、もしくは、一致するID値が無い場合は、監査ログ131からのデータの削除は行われない。
【0047】
以上に説明したように、本発明の実施の形態では、利用者端末に格納されるセキュリティリスクの高いデータ、つまり、所定の権限でのみアクセス可能なデータにアクセスするプログラムと、ユーザインタフェースを提供するプログラムとを分離しているため、データの収集作業を、所定の権限を有さない一般利用者に行わせることが可能である。
また、本発明の実施の形態では、利用者端末から所定の権限でのみアクセス可能なデータを暗号化して抽出しており、一般利用者がその内容を参照、改ざん等することができず、抽出したデータの盗難、紛失があっても、第三者がその内容を参照することができないため、データの改ざん、漏洩等をすることなく安全にデータの収集が可能である。
【0048】
また、本発明の実施の形態では、利用者端末に格納される所定の権限でのみアクセス可能なデータの削除には、管理者端末により生成された回収完了証明ファイルを必要とするため、一般利用者が故意にデータを削除することもできず、安全に収集したデータの更新が可能である。
また、本発明の実施の形態では、暗号鍵を所定の権限でのみアクセス可能な領域に格納するようにしているため、一般利用者が鍵データを参照して悪用することもできない。
【0049】
さらに、本発明の実施の形態では、これらにより、所定の権限でのみアクセス可能なデータの抽出作業を、所定の権限を有さない一般利用者に所定の権限を付与することなく行わせ、管理者が利用者端末の設置所を訪れる等することなく、データの回収作業のみを行うという、低い運用コストであり、なおかつセキュリティレベルを保ったデータ収集が可能となる。
【0050】
なお、本発明は上述した実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。例えば、暗号化処理に関しては、暗号化方式やアルゴリズム等は、どのようなものであってもよい。
また、暗号化方式に関しては、セキュリティ強度の観点から、公開鍵暗号方式を使用することが理想的だが、事前に管理者が利用者端末に安全に暗号鍵を配布することが可能であれば、共通鍵暗号方式としてもよい。
【0051】
また、管理者端末のデータ回収プログラムをクライアントサーバ型のクライアントアプリケーションとして、収集したデータをリモートの情報処理装置において動作するサーバアプリケーションに送信して、この情報処理装置の備える任意の記憶装置に含まれるデータベースに格納するようにしてもよい。
また、データ回収プログラムを、利用者端末の形態と同様に、データにアクセスするプログラムと、ユーザインタフェースを提供するプログラムを分離することにより、データの回収処理においても、管理者権限を要求しないようにしてもよい。
【0052】
また、本実施の形態では、管理者権限でのみアクセス可能なデータを収集する場合について例示したが、任意のグループの権限でのみアクセス可能なデータを、そのグループに属さない利用者が収集する場合に適用するなど、管理者権限に限られることなく、所定の権限でのみアクセス可能なデータに対して適用することが可能である。
また、所定の権限でのみアクセス可能なデータは、本実施の形態において例示した監査ログに限定されることはなく、どのようなデータであってもよい。
【0053】
なお、ユーザインタフェースプログラム、データアクセスプログラム及びデータ回収プログラムは、様々な種類の記憶媒体に格納することが可能であり、通信媒体を介して伝達されることが可能である。ここで、記憶媒体には、例えば、フレキシブルディスク、ハードディスク、磁気ディスク、光磁気ディスク、CD−ROM(Compact Disc Read Only Memory)、DVD(Digital Versatile Disc)、BD(Blu-ray Disc)、ROM(Read Only Memory)カートリッジ、バッテリバックアップ付きRAM(Random Access Memory)、メモリカートリッジ、フラッシュメモリカートリッジ、不揮発性RAMカートリッジを含む。また、通信媒体には、電話回線の有線通信媒体、マイクロ波回線の無線通信媒体を含み、インターネットも含まれる。
【0054】
また、コンピュータが各プログラムを実行することにより、上述の実施の形態の機能が実現されるだけではなく、各プログラムの指示に基づき、コンピュータ上で稼動しているOS(Operating System)もしくはアプリケーションソフトと共同して上述の実施の形態の機能が実現される場合も、発明の実施の形態に含まれる。
さらに、各プログラムの処理の全てもしくは一部がコンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットにより行われて上述の実施の形態の機能が実現される場合も、発明の実施の形態に含まれる。
【符号の説明】
【0055】
1 利用者端末
2 管理者端末
3 抽出ファイル
4 収集完了証明ファイル
5 端末コンピュータ
6 管理コンピュータ
7 暗号化情報
8 データ特定情報
11、51 ユーザインタフェースプログラム
12、52 データアクセスプログラム
13、22 記憶装置
21、61 データ回収プログラム
53、62 アクセス制限データ
91 プロセッサ
92 メモリ
93 HDD
131、221 監査ログ
132 暗号鍵
133 オフセットデータ
222 復号鍵
【技術分野】
【0001】
本発明は、データ管理システム、端末コンピュータ、管理コンピュータ、データ管理方法及びそのプログラムに関し、特に、所定の権限でのアクセスが可能なデータを端末コンピュータから管理コンピュータに収集する技術に関する。
【背景技術】
【0002】
情報漏洩対策として、コンピュータ端末の利用状況を示すログを収集又は監査する企業や団体が増えている。
一方、コンピュータ端末に格納される、例えば、監査ログのようなセキュリティリスクの高いデータは、通常、オペレーティングシステムの機能であるファイルシステムのアクセスコントロールリスト(ACL:Access Control List)によって、管理者権限でないとアクセスできないように保護されている。
したがって、例えば、図9に示すように、データを抽出するプログラムによって、管理者権限でのみアクセスが許可されているデータを抽出する場合、管理者権限を有する管理者によって起動され、管理者権限で動作するプログラムでないとデータを取得することができない。
【0003】
よって、そのようなデータは、管理者権限を有する管理者が収集する必要があるが、オフラインで運用されているコンピュータ端末も、現実には数多く存在している。ネットワークに接続されているコンピュータ端末であれば、管理者がネットワークを経由して、データを収集することができるが、オフラインで運用されているコンピュータ端末から、データを収集するためには、定期的に管理者がコンピュータ端末の設置場所を訪れるか、コンピュータ端末の一般利用者にコンピュータ端末を定期的に主管部門に持参させる等の必要があり、膨大な運用コストがかかってしまう。
他方、コンピュータ端末の一般利用者に管理者権限を与えることにより、一般利用者に監査ログを収集させる方法も考えられるが、セキュリティレベルを著しく低下させてしまう。
【0004】
なお、特許文献1には、アクセス制限電子ファイルを、アクセス制限情報でアクセス権限を認められているユーザのみが復号可能であるように生成し、そのアクセス制限電子ファイルとオリジナル電子ファイルとを上記のアクセス制限情報に基づいて管理する技術が開示されている。これにより、アクセス制限情報でアクセス権限を認められていないユーザに対して、アクセス制限電子ファイルをたとえ入手したとしてもアクセスできないようにすることができると共に、そのアクセス権限の管理を、管理者がアクセス権限情報を作成するだけで自動的に行うことができるようにしている。
【0005】
また、特許文献2には、リクエストに対応する管理対象ファイルの情報をファイル情報管理データベースより抽出し、抽出された情報に基づいて、管理対象ファイルに対する処理を実行することにより、任意の情報の管理を効率よく実現することが可能となる技術が開示されている。また、特許文献2では、管理対象ファイルを利用する業務アプリケーションの実行に際し、管理対象ファイルの消去権限、バックアップ権限、および利用権限のいずれかの有無を判定するとともに、利用権限を有する判定がなされた場合、業務アプリケーションの処理対象となる管理対象ファイルをハードディスクより抽出している。
【0006】
さらに、特許文献3には、記録媒体に記録された情報を他のコンピュータに複製する場合、これを暗号化した上で複製することができ、記録媒体がコンピュータに接続されて認証に成功している場合にのみこの複製した情報の復号化を行うことができる技術が開示されている。これにより、あるコンピュータの情報が記録媒体に記録されて持ち出され、他のコンピュータに複製された場合でも、その複製された情報は、情報漏洩抑止記録媒体を所持しているものしか使用することができず、情報の漏えいを適切に抑止することを可能としている。
【0007】
さらにまた、特許文献4には、ファイル持出管理サーバがパッケージデータに基づいて生成された第1の改竄判定用情報と、端末装置がパッケージデータから生成した第2の改竄判定用情報とに基づいて端末装置が記憶するパッケージデータの正当性を判定し、パッケージデータが正当であると判定された場合に、端末装置にパッケージデータに含まれる暗号化された利用対象情報を復号する復号鍵を送信する技術が開示されている。これにより、パッケージデータが改竄されている場合には、端末装置に復号鍵を送信しないようにすることができ、改竄された場合に利用対象情報が不正利用されることを防ぐことを可能としている。
【0008】
また、特許文献5には、文書管理システムの端末からエクスポートされる文書が機密情報を含むと決定されるならば、その文書を許可するか、ブロックするか、その端末からエクスポートされる前にその文書を暗号化するかを決定することにより、機密文書を保護する技術が開示されている。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】特開2004−164604号公報
【特許文献2】特開2005−148920号公報
【特許文献3】特開2008−108232号公報
【特許文献4】特開2008−269544号公報
【特許文献5】特表2008−541273号公報
【発明の概要】
【発明が解決しようとする課題】
【0010】
背景技術として説明したように、オフラインで運用されているコンピュータ端末から、セキュリティリスクの高いデータ、つまり、所定の権限でのみアクセス可能なデータを、所定の権限を有さない利用者によって、その内容を晒すことなく安全に収集させ、さらには、収集したデータを更新させることを可能とする有効な方法がないという問題がある。
【0011】
また、特許文献1〜5は、いずれも上述した問題を解決するための具体的な仕組みを開示したものではない。つまり、特許文献1〜5には、いずれも所定の権限でのみアクセス可能なデータを所定の権限を有しない利用者によって、その内容を晒すことなく安全に収集させることを可能とするための具体的な仕組みを開示したものではない。
【0012】
本発明の目的は、上述した課題を解決するために、所定の権限でのみアクセス可能なデータを、所定の権限を有さない利用者によって、その内容を晒すことなく安全に収集させ、収集したデータを更新させることを可能とするデータ管理システム、端末コンピュータ、管理コンピュータ、データ管理方法及びそのプログラムを提供することにある。
【課題を解決するための手段】
【0013】
本発明の第1の態様にかかるデータ管理システムは、アクセス制限データを格納する端末コンピュータと、前記端末コンピュータから収集した前記アクセス制限データを格納する管理コンピュータを有する。前記端末コンピュータは、前記アクセス制限データへのアクセスが可能な所定の権限で動作し、前記端末コンピュータに格納されるアクセス制限データを取得して、取得したアクセス制限データを暗号化した暗号化情報を生成するとともに、前記管理コンピュータが前記アクセス制限データを格納した場合に生成され、当該アクセス制限データを特定するデータ特定情報に基づいて、前記端末コンピュータに格納される当該アクセス制限データを削除するよう前記端末コンピュータを動作させるデータアクセスプログラムと、前記所定の権限を有さない利用者によって起動され、前記利用者の権限で動作し、前記利用者からの要求に応じて、前記データアクセスプログラムから前記暗号化情報を取得するとともに、前記利用者からのデータ特定情報の入力に応じて、当該データ特定情報に基づいた前記アクセス制限データの削除を前記データアクセスプログラムに実行させるよう前記端末コンピュータを動作させるユーザインタフェースプログラムを有する。前記管理コンピュータは、前記所定の権限で動作し、前記暗号化情報の入力に応じて、当該暗号化情報を復号化して生成したアクセス制限データを前記管理コンピュータに格納するとともに、当該アクセス制限データを特定するデータ特定情報を生成するよう前記管理コンピュータを動作させるデータ回収プログラムを有する。
【0014】
本発明の第2の態様にかかる端末コンピュータは、管理コンピュータに収集されるアクセス制限データを格納する。前記アクセス制限データへのアクセスが可能な所定の権限で動作し、前記端末コンピュータに格納されるアクセス制限データを取得して、取得したアクセス制限データを暗号化した暗号化情報を生成するとともに、前記管理コンピュータが前記暗号化情報から復号したアクセス制限データを格納した場合に生成され、当該アクセス制限データを特定するデータ特定情報に基づいて、前記端末コンピュータに格納される当該アクセス制限データを削除するよう前記端末コンピュータを動作させるデータアクセスプログラムと、前記所定の権限を有さない利用者によって起動され、前記利用者の権限で動作し、前記利用者からの要求に応じて、前記データアクセスプログラムから前記暗号化情報を取得するとともに、前記利用者からのデータ特定情報の入力に応じて、当該データ特定情報に基づいた前記アクセス制限データの削除を前記データアクセスプログラムに実行させるよう前記端末コンピュータを動作させるユーザインタフェースプログラムを有する。
【0015】
本発明の第3の態様にかかる管理コンピュータは、アクセス制限データを格納する端末コンピュータから収集した前記アクセス制限データを格納する。前記アクセス制限データへのアクセスが可能な所定の権限で動作し、前記端末コンピュータに格納されていたアクセス制限データを暗号化して生成した暗号化情報の入力に応じて、前記暗号化情報を復号化して生成したアクセス制限データを前記管理コンピュータに格納するとともに、当該アクセス制限データを特定し、前記端末コンピュータからの当該アクセス制限データの削除に使用されるデータ特定情報を生成するよう前記管理コンピュータを動作させるデータ回収プログラムを有する。
【0016】
本発明の第4の態様にかかるデータ管理方法は、アクセス制限データを格納する端末コンピュータから管理コンピュータに前記アクセス制限データを収集するデータ管理方法である。前記アクセス制限データへのアクセスが可能な所定の権限で動作するデータアクセスプログラムが、前記端末コンピュータに格納されるアクセス制限データを取得して、取得したアクセス制限データを暗号化した暗号化情報を生成するよう前記端末コンピュータを動作させるステップと、前記所定の権限を有さない利用者によって起動され、前記利用者の権限で動作するユーザインタフェースプログラムが、前記利用者からの要求に応じて、前記データアクセスプログラムから前記暗号化情報を取得するよう前記端末コンピュータを動作させるステップと、前記所定の権限で動作するデータ回収プログラムが、前記暗号化情報の入力に応じて、前記暗号化情報を復号化して生成したアクセス制限データを前記管理コンピュータに格納するとともに、当該アクセス制限データを特定するデータ特定情報を生成するよう前記端末コンピュータを動作させるステップと、前記ユーザインタフェースプログラムが、前記利用者からのデータ特定情報の入力に応じて、前記データアクセスプログラムに当該データ特定情報に基づいて、前記端末コンピュータに格納される当該アクセス制限データの削除を実行させるよう前記端末コンピュータを動作させるステップを有する。
【0017】
本発明の第5の態様にかかるデータアクセスプログラムは、管理コンピュータに収集されるアクセス制限データを格納する端末コンピュータを制御するデータアクセスプログラムである。前記アクセス制限データへのアクセスが可能な所定の権限を有さない利用者によって起動され、前記利用者の権限で動作するユーザインタフェースプログラムからの要求に応じて、前記所定の権限で動作し、前記端末コンピュータに格納されるアクセス制限データを取得して、取得したアクセス制限データを暗号化して暗号化情報を生成するステップと、前記管理コンピュータが前記暗号化情報から復号したアクセス制限データを格納した場合に生成され、当該アクセス制限データを特定するデータ特定情報の前記ユーザインタフェースプログラムからの入力に応じて、前記所定の権限で動作し、当該データ特定情報に基づいて、前記端末コンピュータに格納されるアクセス制限データの削除を実行するステップを前記端末コンピュータに実行させる。
【0018】
本発明の第6の態様にかかるデータ回収プログラムは、アクセス制限データを格納する端末コンピュータから収集した前記アクセス制限データを格納する管理コンピュータを制御するデータ回収プログラムである。前記アクセス制限データへのアクセスが可能な所定の権限で動作し、前記端末コンピュータに格納されていたアクセス制限データを暗号化して生成した暗号化情報の入力に応じて、前記暗号化情報を復号化して生成したアクセス制限データを前記管理コンピュータに格納するとともに、当該アクセス制限データを特定し、前記端末コンピュータからの当該アクセス制限データの削除に使用されるデータ特定情報を生成するステップを前記管理コンピュータに実行させる。
【発明の効果】
【0019】
上述した本発明の各態様により、所定の権限でのみアクセス可能なデータを、所定の権限を有さない一般利用者によって、その内容を晒すことなく安全に収集させ、収集したデータを更新させることを可能とするデータ管理システム、端末コンピュータ、管理コンピュータ、データ管理方法及びそのプログラムを提供することができる。
【図面の簡単な説明】
【0020】
【図1】本発明の実施の形態にかかるデータ管理システムの概要を示す構成図である。
【図2】本発明の実施の形態にかかるデータ管理システムの構成図である。
【図3】本発明の実施の形態にかかる利用者端末及び管理者端末の構成例を示す図である。
【図4】本発明の実施の形態にかかる監査ログを示す図である。
【図5】本発明の実施の形態にかかるオフセットデータを示す図である。
【図6】本発明の実施の形態にかかるデータ管理システムの監査データの抽出処理を示すシーケンス図である。
【図7】本発明の実施の形態にかかるデータ管理システムの監査データの格納処理を示すシーケンス図である。
【図8】本発明の実施の形態にかかるデータ管理システムの監査データの削除処理を示すシーケンス図である。
【図9】背景技術にかかる利用者端末を説明するための図である。
【発明を実施するための形態】
【0021】
以下、図面を参照して本発明の実施の形態について説明する。
まず、図1を参照して、本発明の実施の形態にかかるデータ管理システムの概要について説明する。図1は、本発明の実施の形態にかかるデータ管理システムの概要を示す構成図である。
【0022】
データ管理システムは、端末コンピュータ5及び管理コンピュータ6を備える。
端末コンピュータ5は、ユーザインタフェースプログラム51、データアクセスプログラム52及びアクセス制限データ53を有する。
管理コンピュータ6は、データ回収プログラム61及びアクセス制限データ62を有する。
【0023】
ユーザインタフェースプログラム51は、所定の権限を有さない利用者によって起動され、利用者の権限で動作する。ユーザインタフェースプログラム51は、端末コンピュータ5に格納され、所定の権限でのアクセスが可能なアクセス制限データ53を取得するためのユーザインタフェースを利用者に提供する。
データアクセスプログラム52は、所定の権限で動作し、アクセス制限データ53にアクセスする機能を提供する。
データ回収プログラム61は、所定の権限で動作し、暗号化情報7に含まれるアクセス制限データ53を管理コンピュータ6に格納する。
アクセス制限データ53、62は、所定の権限でのアクセスが可能な領域に格納されたデータである。
【0024】
続いて、本発明の実施の形態にかかるデータ管理システムの処理の概要について説明する。
【0025】
まず、ユーザインタフェースプログラム51は、利用者からのアクセス制限データ531の抽出要求の入力に応じて、アクセス制限データ53の抽出要求をデータアクセスプログラム52に出力する。
データアクセスプログラム12は、ユーザインタフェースプログラム11から監査データの抽出要求の出力を受けると、端末コンピュータ5に格納されるアクセス制限データ53を取得して、取得したアクセス制限データ53を暗号化した暗号化情報7を生成する。さらに、データアクセスプログラム12は、生成した暗号化情報7をユーザインタフェースプログラム51に出力する。
そして、利用者は、ユーザインタフェースプログラム51から生成された暗号化情報7を取得し、取得した暗号化情報7を管理者に受け渡す。
【0026】
データ回収プログラム61は、管理者からの暗号化情報7の入力に応じて、暗号化情報7を復号化して生成したアクセス制限データ53を管理コンピュータ6に格納するとともに、このアクセス制限データ53を特定するデータ特定情報8を生成する。
そして、管理者は、データ回収プログラム61から生成されたデータ特定情報8を取得し、取得したデータ特定情報8を管理者に受け渡す。
【0027】
ユーザインタフェースプログラム51は、利用者からのデータ特定情報8の入力に応じて、入力されたデータ特定情報8をデータアクセスプログラム52に出力する。
データアクセスプログラム52は、データアクセスプログラム52からデータ特定情報8の入力を受けると、アクセス制限データ53を特定するデータ特定情報8に基づいて、端末コンピュータ5に格納されるアクセス制限データ53を削除する。
【0028】
続いて、図2を参照して、本発明の実施の形態にかかるデータ管理システムについて詳細に説明する。図2は、本発明の実施の形態にかかるデータ管理システムの構成図である。
【0029】
データ管理システムは、利用者端末1及び管理者端末2を備える。本実施の形態では、オフラインで運用されている利用者端末1の監査ログ131を、管理者が運用している管理者端末に収集する場合について例示する。
【0030】
利用者端末1は、ユーザインタフェースプログラム11、データアクセスプログラム12、記憶装置13を有する。利用者端末1は、一般利用者によって、オフラインで運用される。利用者端末1は、例えば、PC(Personal Computer)やサーバ等の情報処理装置である。利用者端末1は、端末コンピュータとして機能する。
管理者端末2は、データ回収プログラム21及び記憶装置22を有する。管理者端末2は、管理者権限を有する管理者によって使用される。管理者端末2は、例えば、PCやサーバ等の情報処理装置である。管理者端末2は、管理コンピュータとして機能する。
利用者端末1及び管理者端末2、例えば、図3に例示するように、プロセッサ91、メモリ92及びHDD(Hard Disk Drive)93を含む情報処理装置であり、プロセッサ91がHDD93からメモリ92に、各プログラム11、12、21をロードして実行する。
【0031】
ユーザインタフェースプログラム11は、一般利用者によって起動され、一般利用者の権限で動作するアプリケーションプログラムであり、監査ログ131に含まれる任意の範囲のデータを監査データとして抽出するためのユーザインタフェースを一般利用者に提供する。また、ユーザインタフェースプログラム11は、抽出した監査データが含まれる抽出ファイル3を生成する。
データアクセスプログラム12は、管理者権限で動作する常駐プログラムであり、監査ログ131にアクセスする機能を提供する。
【0032】
記憶装置13は、管理者権限でのみアクセス可能な領域に、監査ログ131、暗号鍵132及びオフセットデータ133を格納する。つまり、監査ログ131、暗号鍵132及びオフセットデータ133は、一般利用者の権限ではアクセス可能でない情報である。記憶装置13は、例えば、メモリやHDD等である。ここで、管理者権限でのみアクセス可能な領域とは、例えば、管理者権限でのみアクセス可能なディレクトリであるが、監査ログ131、暗号鍵132及びオフセットデータ133の各情報は、管理者権限でのみアクセスが可能であれば、これに限定されることはなく、各情報のそれぞれに直接、管理者権限でのみアクセス可能となるアクセス権限が設定されていてもよい。監査ログ131、暗号鍵132及びオフセットデータ133は、例えば、管理者権限でのみアクセス可能な1つ又は複数のファイルから構成される。
【0033】
監査ログ131は、例えば、Windows(登録商標)のセキュリティログのように、利用者端末1に対して行われた操作等を示し、セキュリティリスクの高いログである。監査ログ131は、図4に例示するように、事象が発生した時刻と、その事象とを含んだ情報である。なお、図4は、説明を単純化するため、監査ログ131に、同一時刻のデータが複数格納されていない場合を例示している。
【0034】
暗号鍵132は、データアクセスプログラム12が、監査ログ131に含まれる監査データを記憶装置13から取得した場合に、取得した監査データを暗号化するために使用する鍵データである。
【0035】
オフセットデータ133は、データアクセスプログラム12が監査ログ131から監査データを取得したときに生成され、記憶装置13に格納される。オフセットデータ133は、図5に例示するように、データアクセスプログラム12が監査ログ131に含まれるデータを抽出した操作を一意に識別するID値と、抽出したデータの範囲を含んだ情報である。本実施の形態では、オフセットデータ133は、監査ログ131から抽出したデータの範囲をその範囲の開始時刻と終了時刻によって示しているが、抽出したデータを特定することができれば、どのような情報であってもよい。よって、オフセットデータ133は、ID値によって、抽出したデータを特定することができる情報でもある。
【0036】
データ回収プログラム21は、管理者によって起動され、管理者権限で動作するアプリケーションプログラムであり、抽出ファイル3に含まれる監査データを監査ログ記憶装置22に格納する。また、データ回収プログラム21は、監査データを記憶装置22に格納したときに、回収完了証明ファイル4を生成する。
記憶装置22の管理者権限でのみアクセス可能な領域に、利用者端末1から収集した監査ログ221及び復号鍵222を格納する。記憶装置22は、例えば、メモリやHDD等である。監査ログ221及び復号鍵222は、例えば、管理者権限でのみアクセス可能な1つ又は複数のファイルから構成される。
監査ログ221は、利用者端末1から収集された監査データが含まれる。
復号鍵222は、暗号鍵132と対になる鍵データであり、利用者端末1において、暗号鍵132によって暗号化されたデータを復号するための鍵データである。
【0037】
続いて、図2、図6〜8を参照して、本発明の実施の形態にかかるデータ管理システムの処理について説明する。
まず、図2及び図6を参照して、本発明の実施の形態にかかるデータ管理システムの監査データの抽出処理について説明する。
【0038】
利用者端末1の監査データを抽出する場合、一般利用者は、利用者端末1においてユーザインタフェースプログラム11を起動し、監査データの抽出処理を実行する(ステップS300)。
ユーザインタフェースプログラム11は、一般利用者から監査データの抽出要求の入力に応じて、データアクセスプログラム12に監査データの抽出要求を出力する(ステップS301)。
【0039】
データアクセスプログラム12は、ユーザインタフェースプログラム11から監査データの抽出要求の出力を受けると、監査ログ131から監査データを取得する(ステップS302)。そして、データアクセスプログラム12は、取得した監査データを暗号鍵 132を使用して暗号化して(ステップS303)、暗号化した監査データをユーザインタフェースプログラム11に出力する。また、このときに、データアクセスプログラム12は、一意なID値を生成し(ステップS304)、生成したID値と、監査ログ131から抽出したデータの範囲とを関連付けた情報をオフセットデータ133として記憶装置13に格納する(ステップS305)。さらに、データアクセスプログラム12は、生成したID値をユーザインタフェースプログラム11に出力する。
【0040】
ユーザインタフェースプログラム11は、データアクセスプログラム12から出力されたID値と、暗号化された監査データを含んだ抽出ファイル3を生成する(ステップS306)。
そして、一般利用者は、ユーザインタフェースプログラム11から生成された抽出ファイル3を取得し、取得した抽出ファイル3を、例えば、USB(Universal Serial Bus)メモリやポータブルHDD(Hard Disk Drive)等の外部記憶媒体に格納して、この外部記憶媒体を管理者に受け渡す。
【0041】
続いて、図2及び図7を参照して、本発明の実施の形態にかかるデータ管理システムの監査データの格納処理について説明する。
【0042】
利用者端末1から収集した監査データを管理者端末2に格納する場合、管理者は、管理者端末2においてデータ回収プログラム 21を起動し、監査データの格納処理を実行する(ステップS400)。
データデータ回収プログラム21は、管理者から入力された抽出ファイル3を取得し(ステップS401)、取得した抽出ファイル3に含まれる監査データを復号鍵22を使用して復号する(ステップS402)。そして、復号した監査データを記憶装置22に格納する(ステップS403)。監査データの格納が完了すると、データデータ回収プログラム21は、抽出ファイル3に含まれるID値と、このID値から復号鍵22を使用して生成した電子署名データを含んだ回収完了証明ファイル4を生成する(ステップS404)。
【0043】
そして、管理者は、データデータ回収プログラム21から生成された回収完了証明ファイル4を取得し、取得した回収完了証明ファイル4を外部記憶媒体に格納して、この外部記憶媒体を一般利用者に受け渡す。
なお、一般利用者及び管理者間の抽出ファイル3もしくは回収完了証明ファイル4の受け渡しには、外部記憶媒体によって行われるもの他に、電子メール等のネットワークを介しての受け渡しも含まれる。
【0044】
続いて、図2及び図8を参照して、本発明の実施の形態にかかるデータ管理システムの監査データの削除処理について説明する。
【0045】
管理者端末2に収集した監査データを利用者端末1から削除する場合、一般利用者は、利用者端末1においてユーザインタフェースプログラム11を起動し、監査データの削除処理を実行する(ステップS500)。
ユーザインタフェースプログラム11は、一般利用者から入力された回収完了証明ファイル4を取得し(ステップS501)、取得した回収完了証明ファイル4とともに、データアクセスプログラム12に監査データの削除要求を出力する(ステップS502)。
【0046】
データアクセスプログラム12は、ユーザインタフェースプログラム11から監査データの削除要求の出力を受けると、出力された回収完了証明ファイル4に含まれるID値と、電子署名データとに基づいて検証を行う。そして、データアクセスプログラム12は、検証の結果に問題がなければ、このID値と、オフセットデータ133に含まれるID値とを比較し、一致するID値に関連付けられたデータの範囲をオフセットデータ133から検出する(ステップS503)。そして、データアクセスプログラム12は、検出した範囲のデータを監査ログ 131から削除する(ステップS504)。検証の結果に問題がある場合、もしくは、一致するID値が無い場合は、監査ログ131からのデータの削除は行われない。
【0047】
以上に説明したように、本発明の実施の形態では、利用者端末に格納されるセキュリティリスクの高いデータ、つまり、所定の権限でのみアクセス可能なデータにアクセスするプログラムと、ユーザインタフェースを提供するプログラムとを分離しているため、データの収集作業を、所定の権限を有さない一般利用者に行わせることが可能である。
また、本発明の実施の形態では、利用者端末から所定の権限でのみアクセス可能なデータを暗号化して抽出しており、一般利用者がその内容を参照、改ざん等することができず、抽出したデータの盗難、紛失があっても、第三者がその内容を参照することができないため、データの改ざん、漏洩等をすることなく安全にデータの収集が可能である。
【0048】
また、本発明の実施の形態では、利用者端末に格納される所定の権限でのみアクセス可能なデータの削除には、管理者端末により生成された回収完了証明ファイルを必要とするため、一般利用者が故意にデータを削除することもできず、安全に収集したデータの更新が可能である。
また、本発明の実施の形態では、暗号鍵を所定の権限でのみアクセス可能な領域に格納するようにしているため、一般利用者が鍵データを参照して悪用することもできない。
【0049】
さらに、本発明の実施の形態では、これらにより、所定の権限でのみアクセス可能なデータの抽出作業を、所定の権限を有さない一般利用者に所定の権限を付与することなく行わせ、管理者が利用者端末の設置所を訪れる等することなく、データの回収作業のみを行うという、低い運用コストであり、なおかつセキュリティレベルを保ったデータ収集が可能となる。
【0050】
なお、本発明は上述した実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。例えば、暗号化処理に関しては、暗号化方式やアルゴリズム等は、どのようなものであってもよい。
また、暗号化方式に関しては、セキュリティ強度の観点から、公開鍵暗号方式を使用することが理想的だが、事前に管理者が利用者端末に安全に暗号鍵を配布することが可能であれば、共通鍵暗号方式としてもよい。
【0051】
また、管理者端末のデータ回収プログラムをクライアントサーバ型のクライアントアプリケーションとして、収集したデータをリモートの情報処理装置において動作するサーバアプリケーションに送信して、この情報処理装置の備える任意の記憶装置に含まれるデータベースに格納するようにしてもよい。
また、データ回収プログラムを、利用者端末の形態と同様に、データにアクセスするプログラムと、ユーザインタフェースを提供するプログラムを分離することにより、データの回収処理においても、管理者権限を要求しないようにしてもよい。
【0052】
また、本実施の形態では、管理者権限でのみアクセス可能なデータを収集する場合について例示したが、任意のグループの権限でのみアクセス可能なデータを、そのグループに属さない利用者が収集する場合に適用するなど、管理者権限に限られることなく、所定の権限でのみアクセス可能なデータに対して適用することが可能である。
また、所定の権限でのみアクセス可能なデータは、本実施の形態において例示した監査ログに限定されることはなく、どのようなデータであってもよい。
【0053】
なお、ユーザインタフェースプログラム、データアクセスプログラム及びデータ回収プログラムは、様々な種類の記憶媒体に格納することが可能であり、通信媒体を介して伝達されることが可能である。ここで、記憶媒体には、例えば、フレキシブルディスク、ハードディスク、磁気ディスク、光磁気ディスク、CD−ROM(Compact Disc Read Only Memory)、DVD(Digital Versatile Disc)、BD(Blu-ray Disc)、ROM(Read Only Memory)カートリッジ、バッテリバックアップ付きRAM(Random Access Memory)、メモリカートリッジ、フラッシュメモリカートリッジ、不揮発性RAMカートリッジを含む。また、通信媒体には、電話回線の有線通信媒体、マイクロ波回線の無線通信媒体を含み、インターネットも含まれる。
【0054】
また、コンピュータが各プログラムを実行することにより、上述の実施の形態の機能が実現されるだけではなく、各プログラムの指示に基づき、コンピュータ上で稼動しているOS(Operating System)もしくはアプリケーションソフトと共同して上述の実施の形態の機能が実現される場合も、発明の実施の形態に含まれる。
さらに、各プログラムの処理の全てもしくは一部がコンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットにより行われて上述の実施の形態の機能が実現される場合も、発明の実施の形態に含まれる。
【符号の説明】
【0055】
1 利用者端末
2 管理者端末
3 抽出ファイル
4 収集完了証明ファイル
5 端末コンピュータ
6 管理コンピュータ
7 暗号化情報
8 データ特定情報
11、51 ユーザインタフェースプログラム
12、52 データアクセスプログラム
13、22 記憶装置
21、61 データ回収プログラム
53、62 アクセス制限データ
91 プロセッサ
92 メモリ
93 HDD
131、221 監査ログ
132 暗号鍵
133 オフセットデータ
222 復号鍵
【特許請求の範囲】
【請求項1】
アクセス制限データを格納する端末コンピュータと、前記端末コンピュータから収集した前記アクセス制限データを格納する管理コンピュータを備えたデータ管理システムであって、
前記端末コンピュータは、前記アクセス制限データへのアクセスが可能な所定の権限で動作し、前記端末コンピュータに格納されるアクセス制限データを取得して、取得したアクセス制限データを暗号化した暗号化情報を生成するとともに、前記管理コンピュータが前記アクセス制限データを格納した場合に生成され、当該アクセス制限データを特定するデータ特定情報に基づいて、前記端末コンピュータに格納される当該アクセス制限データを削除するよう前記端末コンピュータを動作させるデータアクセスプログラムと、
前記所定の権限を有さない利用者によって起動され、前記利用者の権限で動作し、前記利用者からの要求に応じて、前記データアクセスプログラムから前記暗号化情報を取得するとともに、前記利用者からのデータ特定情報の入力に応じて、当該データ特定情報に基づいた前記アクセス制限データの削除を前記データアクセスプログラムに実行させるよう前記端末コンピュータを動作させるユーザインタフェースプログラムを有し、
前記管理コンピュータは、前記所定の権限で動作し、前記暗号化情報の入力に応じて、当該暗号化情報を復号化して生成したアクセス制限データを前記管理コンピュータに格納するとともに、当該アクセス制限データを特定するデータ特定情報を生成するよう前記管理コンピュータを動作させるデータ回収プログラムを有するデータ管理システム。
【請求項2】
前記データ回収プログラムは、さらに前記データ特定情報に基づいて、電子署名データを生成するよう前記端末コンピュータを動作させ、
前記ユーザインタフェースプログラムは、さらに前記データ特定情報に加えて、前記電子署名データの入力を受けるよう前記端末コンピュータを動作させ、
前記データアクセスプログラムは、前記ユーザインタフェースプログラムが入力を受けたデータ特定情報及び電子署名データに基づいて検証を行うことにより、前記アクセス制限データの削除を実行するか否かを判断するよう前記管理コンピュータを動作させる請求項1に記載のデータ管理システム。
【請求項3】
前記端末コンピュータは、さらに前記所定の権限でのアクセスが可能な第1の鍵情報を格納し、
前記データアクセスプログラムは、前記第1の鍵情報を使用して、前記暗号化もしくは前記検証を行うよう前記端末コンピュータを動作させ、
前記管理コンピュータは、さらに前記所定の権限でのアクセスが可能な第2の鍵情報を格納し、
前記データ回収プログラムは、前記第2の鍵情報を使用して、前記復号化もしくは前記電子署名データの生成を行うよう前記管理コンピュータを動作させる請求項2に記載のデータ管理システム。
【請求項4】
前記データ回収プログラムは、さらに前記暗号化情報に加えて、前記データアクセスプログラムによって生成され、当該暗号化情報に暗号化されたアクセス制限データを特定するID値の入力を受け、当該ID値を含めた前記データ特定情報を生成するよう前記管理コンピュータを動作させ、
前記データアクセスプログラムは、前記所定の権限でのアクセスが可能であり、前記暗号化したアクセス制限データと前記ID値を関連付けた抽出データ情報を前記端末コンピュータに格納するとともに、前記データ特定情報に含まれるID値と、前記抽出データ情報のID値を比較することにより、前記削除するアクセス制限データを判断するよう前記端末コンピュータを動作させる請求項1乃至3のいずれかに記載のデータ管理システム。
【請求項5】
前記データアクセスプログラムは、常駐プログラムであり、
前記データ回収プログラムは、前記所定の権限を有する管理者によって起動されるプログラムである請求項1乃至4のいずれかに記載のデータ管理システム。
【請求項6】
前記アクセス制限データは、前記所定の権限でのみアクセス可能な1つ又は複数のファイルに含まれるデータである請求項1乃至5のいずれかに記載のデータ管理システム。
【請求項7】
前記端末コンピュータは、オフラインで運用されるコンピュータである請求項1乃至6のいずれかに記載のデータ管理システム。
【請求項8】
前記データ管理システムは、さらにデータベースコンピュータを備え、
前記データ回収プログラムは、前記アクセス制限データを前記データベースコンピュータに送信して格納するよう前記管理コンピュータを動作させる請求項1乃至7のいずれかに記載のデータ管理システム。
【請求項9】
管理コンピュータに収集されるアクセス制限データを格納する端末コンピュータであって、
前記アクセス制限データへのアクセスが可能な所定の権限で動作し、前記端末コンピュータに格納されるアクセス制限データを取得して、取得したアクセス制限データを暗号化した暗号化情報を生成するとともに、前記管理コンピュータが前記暗号化情報から復号したアクセス制限データを格納した場合に生成され、当該アクセス制限データを特定するデータ特定情報に基づいて、前記端末コンピュータに格納される当該アクセス制限データを削除するよう前記端末コンピュータを動作させるデータアクセスプログラムと、
前記所定の権限を有さない利用者によって起動され、前記利用者の権限で動作し、前記利用者からの要求に応じて、前記データアクセスプログラムから前記暗号化情報を取得するとともに、前記利用者からのデータ特定情報の入力に応じて、当該データ特定情報に基づいた前記アクセス制限データの削除を前記データアクセスプログラムに実行させるよう前記端末コンピュータを動作させるユーザインタフェースプログラムを有する端末コンピュータ。
【請求項10】
アクセス制限データを格納する端末コンピュータから収集した前記アクセス制限データを格納する管理コンピュータであって、
前記アクセス制限データへのアクセスが可能な所定の権限で動作し、前記端末コンピュータに格納されていたアクセス制限データを暗号化して生成した暗号化情報の入力に応じて、前記暗号化情報を復号化して生成したアクセス制限データを前記管理コンピュータに格納するとともに、当該アクセス制限データを特定し、前記端末コンピュータからの当該アクセス制限データの削除に使用されるデータ特定情報を生成するよう前記管理コンピュータを動作させるデータ回収プログラムを有する管理コンピュータ。
【請求項11】
アクセス制限データを格納する端末コンピュータから管理コンピュータに前記アクセス制限データを収集するデータ管理方法であって、
前記アクセス制限データへのアクセスが可能な所定の権限で動作するデータアクセスプログラムが、前記端末コンピュータに格納されるアクセス制限データを取得して、取得したアクセス制限データを暗号化した暗号化情報を生成するよう前記端末コンピュータを動作させるステップと、
前記所定の権限を有さない利用者によって起動され、前記利用者の権限で動作するユーザインタフェースプログラムが、前記利用者からの要求に応じて、前記データアクセスプログラムから前記暗号化情報を取得するよう前記端末コンピュータを動作させるステップと、
前記所定の権限で動作するデータ回収プログラムが、前記暗号化情報の入力に応じて、前記暗号化情報を復号化して生成したアクセス制限データを前記管理コンピュータに格納するとともに、当該アクセス制限データを特定するデータ特定情報を生成するよう前記端末コンピュータを動作させるステップと、
前記ユーザインタフェースプログラムが、前記利用者からのデータ特定情報の入力に応じて、前記データアクセスプログラムに当該データ特定情報に基づいて、前記端末コンピュータに格納される当該アクセス制限データの削除を実行させるよう前記端末コンピュータを動作させるステップを備えたデータ管理方法。
【請求項12】
管理コンピュータに収集されるアクセス制限データを格納する端末コンピュータを制御するデータアクセスプログラムであって、
前記アクセス制限データへのアクセスが可能な所定の権限を有さない利用者によって起動され、前記利用者の権限で動作するユーザインタフェースプログラムからの要求に応じて、前記所定の権限で動作し、前記端末コンピュータに格納されるアクセス制限データを取得して、取得したアクセス制限データを暗号化して暗号化情報を生成するステップと、
前記管理コンピュータが前記暗号化情報から復号したアクセス制限データを格納した場合に生成され、当該アクセス制限データを特定するデータ特定情報の前記ユーザインタフェースプログラムからの入力に応じて、前記所定の権限で動作し、当該データ特定情報に基づいて、前記端末コンピュータに格納されるアクセス制限データの削除を実行するステップを前記端末コンピュータに実行させるデータアクセスプログラム。
【請求項13】
アクセス制限データを格納する端末コンピュータから収集した前記アクセス制限データを格納する管理コンピュータを制御するデータ回収プログラムであって、
前記アクセス制限データへのアクセスが可能な所定の権限で動作し、前記端末コンピュータに格納されていたアクセス制限データを暗号化して生成した暗号化情報の入力に応じて、前記暗号化情報を復号化して生成したアクセス制限データを前記管理コンピュータに格納するとともに、当該アクセス制限データを特定し、前記端末コンピュータからの当該アクセス制限データの削除に使用されるデータ特定情報を生成するステップを前記管理コンピュータに実行させるデータ回収プログラム。
【請求項1】
アクセス制限データを格納する端末コンピュータと、前記端末コンピュータから収集した前記アクセス制限データを格納する管理コンピュータを備えたデータ管理システムであって、
前記端末コンピュータは、前記アクセス制限データへのアクセスが可能な所定の権限で動作し、前記端末コンピュータに格納されるアクセス制限データを取得して、取得したアクセス制限データを暗号化した暗号化情報を生成するとともに、前記管理コンピュータが前記アクセス制限データを格納した場合に生成され、当該アクセス制限データを特定するデータ特定情報に基づいて、前記端末コンピュータに格納される当該アクセス制限データを削除するよう前記端末コンピュータを動作させるデータアクセスプログラムと、
前記所定の権限を有さない利用者によって起動され、前記利用者の権限で動作し、前記利用者からの要求に応じて、前記データアクセスプログラムから前記暗号化情報を取得するとともに、前記利用者からのデータ特定情報の入力に応じて、当該データ特定情報に基づいた前記アクセス制限データの削除を前記データアクセスプログラムに実行させるよう前記端末コンピュータを動作させるユーザインタフェースプログラムを有し、
前記管理コンピュータは、前記所定の権限で動作し、前記暗号化情報の入力に応じて、当該暗号化情報を復号化して生成したアクセス制限データを前記管理コンピュータに格納するとともに、当該アクセス制限データを特定するデータ特定情報を生成するよう前記管理コンピュータを動作させるデータ回収プログラムを有するデータ管理システム。
【請求項2】
前記データ回収プログラムは、さらに前記データ特定情報に基づいて、電子署名データを生成するよう前記端末コンピュータを動作させ、
前記ユーザインタフェースプログラムは、さらに前記データ特定情報に加えて、前記電子署名データの入力を受けるよう前記端末コンピュータを動作させ、
前記データアクセスプログラムは、前記ユーザインタフェースプログラムが入力を受けたデータ特定情報及び電子署名データに基づいて検証を行うことにより、前記アクセス制限データの削除を実行するか否かを判断するよう前記管理コンピュータを動作させる請求項1に記載のデータ管理システム。
【請求項3】
前記端末コンピュータは、さらに前記所定の権限でのアクセスが可能な第1の鍵情報を格納し、
前記データアクセスプログラムは、前記第1の鍵情報を使用して、前記暗号化もしくは前記検証を行うよう前記端末コンピュータを動作させ、
前記管理コンピュータは、さらに前記所定の権限でのアクセスが可能な第2の鍵情報を格納し、
前記データ回収プログラムは、前記第2の鍵情報を使用して、前記復号化もしくは前記電子署名データの生成を行うよう前記管理コンピュータを動作させる請求項2に記載のデータ管理システム。
【請求項4】
前記データ回収プログラムは、さらに前記暗号化情報に加えて、前記データアクセスプログラムによって生成され、当該暗号化情報に暗号化されたアクセス制限データを特定するID値の入力を受け、当該ID値を含めた前記データ特定情報を生成するよう前記管理コンピュータを動作させ、
前記データアクセスプログラムは、前記所定の権限でのアクセスが可能であり、前記暗号化したアクセス制限データと前記ID値を関連付けた抽出データ情報を前記端末コンピュータに格納するとともに、前記データ特定情報に含まれるID値と、前記抽出データ情報のID値を比較することにより、前記削除するアクセス制限データを判断するよう前記端末コンピュータを動作させる請求項1乃至3のいずれかに記載のデータ管理システム。
【請求項5】
前記データアクセスプログラムは、常駐プログラムであり、
前記データ回収プログラムは、前記所定の権限を有する管理者によって起動されるプログラムである請求項1乃至4のいずれかに記載のデータ管理システム。
【請求項6】
前記アクセス制限データは、前記所定の権限でのみアクセス可能な1つ又は複数のファイルに含まれるデータである請求項1乃至5のいずれかに記載のデータ管理システム。
【請求項7】
前記端末コンピュータは、オフラインで運用されるコンピュータである請求項1乃至6のいずれかに記載のデータ管理システム。
【請求項8】
前記データ管理システムは、さらにデータベースコンピュータを備え、
前記データ回収プログラムは、前記アクセス制限データを前記データベースコンピュータに送信して格納するよう前記管理コンピュータを動作させる請求項1乃至7のいずれかに記載のデータ管理システム。
【請求項9】
管理コンピュータに収集されるアクセス制限データを格納する端末コンピュータであって、
前記アクセス制限データへのアクセスが可能な所定の権限で動作し、前記端末コンピュータに格納されるアクセス制限データを取得して、取得したアクセス制限データを暗号化した暗号化情報を生成するとともに、前記管理コンピュータが前記暗号化情報から復号したアクセス制限データを格納した場合に生成され、当該アクセス制限データを特定するデータ特定情報に基づいて、前記端末コンピュータに格納される当該アクセス制限データを削除するよう前記端末コンピュータを動作させるデータアクセスプログラムと、
前記所定の権限を有さない利用者によって起動され、前記利用者の権限で動作し、前記利用者からの要求に応じて、前記データアクセスプログラムから前記暗号化情報を取得するとともに、前記利用者からのデータ特定情報の入力に応じて、当該データ特定情報に基づいた前記アクセス制限データの削除を前記データアクセスプログラムに実行させるよう前記端末コンピュータを動作させるユーザインタフェースプログラムを有する端末コンピュータ。
【請求項10】
アクセス制限データを格納する端末コンピュータから収集した前記アクセス制限データを格納する管理コンピュータであって、
前記アクセス制限データへのアクセスが可能な所定の権限で動作し、前記端末コンピュータに格納されていたアクセス制限データを暗号化して生成した暗号化情報の入力に応じて、前記暗号化情報を復号化して生成したアクセス制限データを前記管理コンピュータに格納するとともに、当該アクセス制限データを特定し、前記端末コンピュータからの当該アクセス制限データの削除に使用されるデータ特定情報を生成するよう前記管理コンピュータを動作させるデータ回収プログラムを有する管理コンピュータ。
【請求項11】
アクセス制限データを格納する端末コンピュータから管理コンピュータに前記アクセス制限データを収集するデータ管理方法であって、
前記アクセス制限データへのアクセスが可能な所定の権限で動作するデータアクセスプログラムが、前記端末コンピュータに格納されるアクセス制限データを取得して、取得したアクセス制限データを暗号化した暗号化情報を生成するよう前記端末コンピュータを動作させるステップと、
前記所定の権限を有さない利用者によって起動され、前記利用者の権限で動作するユーザインタフェースプログラムが、前記利用者からの要求に応じて、前記データアクセスプログラムから前記暗号化情報を取得するよう前記端末コンピュータを動作させるステップと、
前記所定の権限で動作するデータ回収プログラムが、前記暗号化情報の入力に応じて、前記暗号化情報を復号化して生成したアクセス制限データを前記管理コンピュータに格納するとともに、当該アクセス制限データを特定するデータ特定情報を生成するよう前記端末コンピュータを動作させるステップと、
前記ユーザインタフェースプログラムが、前記利用者からのデータ特定情報の入力に応じて、前記データアクセスプログラムに当該データ特定情報に基づいて、前記端末コンピュータに格納される当該アクセス制限データの削除を実行させるよう前記端末コンピュータを動作させるステップを備えたデータ管理方法。
【請求項12】
管理コンピュータに収集されるアクセス制限データを格納する端末コンピュータを制御するデータアクセスプログラムであって、
前記アクセス制限データへのアクセスが可能な所定の権限を有さない利用者によって起動され、前記利用者の権限で動作するユーザインタフェースプログラムからの要求に応じて、前記所定の権限で動作し、前記端末コンピュータに格納されるアクセス制限データを取得して、取得したアクセス制限データを暗号化して暗号化情報を生成するステップと、
前記管理コンピュータが前記暗号化情報から復号したアクセス制限データを格納した場合に生成され、当該アクセス制限データを特定するデータ特定情報の前記ユーザインタフェースプログラムからの入力に応じて、前記所定の権限で動作し、当該データ特定情報に基づいて、前記端末コンピュータに格納されるアクセス制限データの削除を実行するステップを前記端末コンピュータに実行させるデータアクセスプログラム。
【請求項13】
アクセス制限データを格納する端末コンピュータから収集した前記アクセス制限データを格納する管理コンピュータを制御するデータ回収プログラムであって、
前記アクセス制限データへのアクセスが可能な所定の権限で動作し、前記端末コンピュータに格納されていたアクセス制限データを暗号化して生成した暗号化情報の入力に応じて、前記暗号化情報を復号化して生成したアクセス制限データを前記管理コンピュータに格納するとともに、当該アクセス制限データを特定し、前記端末コンピュータからの当該アクセス制限データの削除に使用されるデータ特定情報を生成するステップを前記管理コンピュータに実行させるデータ回収プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2010−244270(P2010−244270A)
【公開日】平成22年10月28日(2010.10.28)
【国際特許分類】
【出願番号】特願2009−91712(P2009−91712)
【出願日】平成21年4月6日(2009.4.6)
【出願人】(390001395)NECシステムテクノロジー株式会社 (438)
【Fターム(参考)】
【公開日】平成22年10月28日(2010.10.28)
【国際特許分類】
【出願日】平成21年4月6日(2009.4.6)
【出願人】(390001395)NECシステムテクノロジー株式会社 (438)
【Fターム(参考)】
[ Back to top ]