ドキュメントファイルのセキュリティ管理システム、セキュリティ管理装置、セキュリティ管理方法、及びプログラム
【課題】時系列でセキュリティポリシが変更されるドキュメントファイルを提供する。
【解決手段】セキュリティ管理DB331は、利用者が閲覧等するドキュメントファイルのセキュリティ管理を行うためのセキュリティ管理ファイルを格納する。セキュリティ管理ファイルには、ドキュメントファイルの閲覧権限者情報等の利用条件を定めたセキュリティポリシが複数記載されており、さらに、ドキュメントファイルに現時点で適用されるポリシとしてこの複数のポリシの中から選択されているポリシを示す有効ポリシ番号が記載されている。各ポリシにはポリシ発効日情報が記載されており、セキュリティ管理DB331から発効日取出部73により取り出されるポリシ発効日情報が、発効日比較部75でその日の日付と比較される。有効ポリシ番号書替部76は、セキュリティ管理ファイルに記載されている有効ポリシ番号を発効日に達したポリシの番号に書き替える。
【解決手段】セキュリティ管理DB331は、利用者が閲覧等するドキュメントファイルのセキュリティ管理を行うためのセキュリティ管理ファイルを格納する。セキュリティ管理ファイルには、ドキュメントファイルの閲覧権限者情報等の利用条件を定めたセキュリティポリシが複数記載されており、さらに、ドキュメントファイルに現時点で適用されるポリシとしてこの複数のポリシの中から選択されているポリシを示す有効ポリシ番号が記載されている。各ポリシにはポリシ発効日情報が記載されており、セキュリティ管理DB331から発効日取出部73により取り出されるポリシ発効日情報が、発効日比較部75でその日の日付と比較される。有効ポリシ番号書替部76は、セキュリティ管理ファイルに記載されている有効ポリシ番号を発効日に達したポリシの番号に書き替える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、電子ファイルの漏洩を防止するセキュリティ管理システムに関し、特に、配布される電子ファイルに閲覧権限等の条件を加えるセキュリティ管理システム等に関する。
【背景技術】
【0002】
近年、文書や画像等の情報(以下、ドキュメントという)を取り扱うオフィス等において、紙のドキュメントを作成して保存しておく代わりに、ドキュメントファイルとして情報記録媒体へ電子的に記録しておく手法が広く行われている。
【0003】
このドキュメントの電子化により、紙資源を用いることなくドキュメントを保存しておくことが可能となり、省資源化を実現することができる。
また、オフィス等に紙のドキュメントを格納するスペースを確保する必要がなくなり、省スペース化をも実現することができる。
【0004】
さらに、ドキュメントを電子化した場合、インターネットやイントラネット等の通信ネットワーク技術を利用することにより、同一のドキュメントを同時に多数人に配布したり、遠隔地にいる者に短時間でドキュメントを配布したりすることができ、業務の効率化を図ることができる。
【0005】
しかし、電子化したドキュメントを通信ネットワークを介して配布する場合、ドキュメントが漏洩し易くなるという問題が生ずる。そのため、機密性を要するドキュメントを取り扱うオフィス等においては、ドキュメントの漏洩を防止するための対策を講じる必要がある。
【0006】
ドキュメントの漏洩を防止することを目的とした技術としては、ドキュメントファイルを開く際にユーザ認証を求めて、正当なユーザだけがドキュメントの内容を参照できるようにする手法や、開いたドキュメントファイルを印刷しようとする際にユーザに印刷する権限があるか否かをチェックして権限があるユーザにのみ印刷させるものがある(例えば、特許文献1参照)。
【0007】
また、ドキュメントファイルを印刷した後の印刷物に対してもセキュリティを施し、ドキュメントの漏洩を防止するようにした発明もある(例えば、特許文献2,3参照)。
【特許文献1】特開2001−142874号公報
【特許文献2】特開2004−152261号公報
【特許文献3】特開2004−152262号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
上記各特許文献に開示されている発明においては、ドキュメントファイルに対して、閲覧、印刷等の処理条件等のセキュリティ方針を定めたセキュリティポリシ(security policy)(以下、ポリシという)を一旦設定した後は、その設定を簡単に変更することはできず、変更には手間がかかっていた。
【0009】
具体的には、ドキュメントファイルの作成者が、そのファイルに対して、特定の者にのみ閲覧を許可する旨のポリシを設定して配布した場合、その後にそのファイルを誰にでも閲覧可能にするためには、誰にでも閲覧可能にする旨のポリシに設定し直した同一のドキュメントファイルを再配布する等の作業が必要であり、手間がかかっていた。
【0010】
また、逆に、誰にでも閲覧可能であったドキュメントファイルを、一定期間経過後に特定の者しか閲覧できないようにする場合、一旦配布したドキュメントファイルは電子ファイルであり回収できないため、ファイル作成者単独では対処することはできない。ファイルのポリシがシステム上のセキュリティサーバ等で管理されている場合には、ファイル作成者は、システム管理者等に申請して、セキュリティサーバ上で該当するドキュメントファイルを無効扱いとしてもらい、その後新たなポリシに設定し直したドキュメントファイルを再配布する等の作業が必要となり、さらなる手間と時間がかかっていた。
【0011】
本発明は、上記実情に鑑みてなされたものであり、時系列でセキュリティポリシが変更されるドキュメントファイルを提供することができるドキュメントファイルのセキュリティ管理システム等を提供することを目的とする。
【課題を解決するための手段】
【0012】
上記目的を達成するため、この発明の第1の観点に係るドキュメントファイルのセキュリティ管理システムは、
ドキュメントファイルの利用者により使用される端末装置と、該ドキュメントファイルの利用権限所有者情報を記憶するサーバ装置と、が通信ネットワークを介して接続されるドキュメントファイルのセキュリティ管理システムであって、
前記端末装置は、
暗号化済みのドキュメントファイルである暗号化ファイルを記憶する暗号化ファイル記憶手段と、
前記利用者の識別情報である利用者情報を前記サーバ装置に送信する利用者情報送信手段と、を備え、
前記サーバ装置は、
前記暗号化ファイル記憶手段に記憶されている暗号化ファイルを復号化する鍵を記憶すると共に、該暗号化ファイルを復号化して利用することができる利用権限所有者を示す利用権限所有者情報と、該利用権限所有者情報が有効となる条件を示す有効条件情報と、を含むセキュリティポリシを複数記憶するセキュリティ情報記憶手段と、
前記セキュリティ情報記憶手段に記憶されているセキュリティポリシの有効条件情報に基づき、複数のセキュリティポリシの中から、現在有効となっているセキュリティポリシを選択する有効ポリシ選択手段と、
前記有効ポリシ選択手段により選択されたセキュリティポリシの識別情報である有効ポリシ識別情報を記憶する有効ポリシ識別情報記憶手段と、
前記利用者情報送信手段から利用者情報を受信したときに、前記有効ポリシ識別情報記憶手段に記憶されている有効ポリシ識別情報により特定されるセキュリティポリシの利用権限所有者情報に基づき、受信した利用者情報により特定される利用者が利用権限所有者であるか否かを判別する利用権限判別手段と、
前記利用権限判別手段により利用権限所有者であると判別されたときに、前記セキュリティ情報記憶手段に記憶されている鍵を前記端末装置に送信する鍵送信手段と、を備え、
前記端末装置は、さらに、
前記鍵送信手段から鍵を受信し、該鍵を用いて前記暗号化ファイル記憶手段に記憶されている暗号化ファイルを復号化し、ドキュメントファイルを作成するファイル復号化手段と、
利用者の操作に応じて、前記ファイル復号化手段により作成されたドキュメントファイルの利用が終了したか否かを判別する利用終了判別手段と、
前記ファイル復号化手段が復号化に用いた鍵と、前記利用終了判別手段により利用が終了したと判別されたドキュメントファイルと、を削除する削除手段と、
を備える。
【0013】
前記端末装置は、さらに、前記ファイル復号化手段により作成されたドキュメントファイルを表示する表示手段を備え、
前記端末装置の前記利用終了判別手段は、利用者の操作に応じて前記表示手段による前記復号化ファイルの表示が終了したときに、該ドキュメントファイルの利用が終了したと判別する、
ようにしてもよい。
【0014】
前記サーバ装置の前記セキュリティ情報記憶手段に記憶されているセキュリティポリシは、ドキュメントファイルの印刷を許可するか否かを示す印刷制御情報を含み、
前記サーバ装置の前記鍵送信手段は、前記利用権限判別手段により利用権限所有者であると判別されたときに、前記セキュリティ情報記憶手段に記憶されている鍵と、前記有効ポリシ識別情報記憶手段に記憶されている有効ポリシ識別情報により特定されるセキュリティポリシの印刷制御情報と、を前記端末装置に送信し、
前記端末装置は、さらに、前記鍵送信手段から受信した印刷制御情報に基づき、前記ファイル復号化手段により作成されたドキュメントファイルの印刷装置における印刷を制御する印刷制御手段を備える、
ようにしてもよい。
【0015】
また、この発明の第2の観点に係るドキュメントファイルのセキュリティ管理装置は、
暗号化済みのドキュメントファイルである暗号化ファイルを復号化する鍵を記憶すると共に、該暗号化ファイルを復号化して利用することができる利用権限所有者を示す利用権限所有者情報と、該利用権限所有者情報が有効となる条件を示す有効条件情報と、を含むセキュリティポリシを複数記憶するセキュリティ情報記憶手段と、
前記セキュリティ情報記憶手段に記憶されているセキュリティポリシの有効条件情報に基づき、複数のセキュリティポリシの中から、現在有効となっているセキュリティポリシを選択する有効ポリシ選択手段と、
前記有効ポリシ選択手段により選択されたセキュリティポリシの識別情報である有効ポリシ識別情報を記憶する有効ポリシ識別情報記憶手段と、
通信ネットワークを介して接続され前記暗号化ファイルを記憶する端末装置から、利用者の識別情報である利用者情報を受信したときに、前記有効ポリシ識別情報記憶手段に記憶されている有効ポリシ識別情報により特定されるセキュリティポリシの利用権限所有者情報に基づき、受信した利用者情報により特定される利用者が利用権限所有者であるか否かを判別する利用権限判別手段と、
前記利用権限判別手段により利用権限所有者であると判別されたときに、前記セキュリティ情報記憶手段に記憶されている鍵を前記端末装置に送信する鍵送信手段と、
を備える。
【0016】
前記有効条件情報は、利用権限所有者情報を発効する日を示す発効日情報を含み、
前記有効ポリシ選択手段は、
現在の日付を取得する日付取得手段と、
前記セキュリティ情報記憶手段から、複数のセキュリティポリシのそれぞれの発効日情報を読み出す発効日情報読出手段と、
前記発効日情報読出手段により読み出された発効日と、前記日付取得手段により取得された現在の日付と、が一致するか否かを判別する発効日判別手段と、
前記発効日判別手段により現在の日付と一致すると判別された発効日情報を含むセキュリティポリシを選択する発効ポリシ選択手段と、を有する、
ようにしてもよい。
【0017】
前記セキュリティ情報記憶手段に記憶されているすべてのセキュリティポリシの発効日情報について、少なくとも1日に1回、前記発効日判別手段による判別を行わせる定期実行手段と、
前記定期実行手段による制御により、前記発効ポリシ選択手段がセキュリティポリシを選択したときに、前記有効ポリシ識別情報記憶手段に記憶されている有効ポリシ識別情報を、該選択されたセキュリティポリシの識別情報に書き替える書替手段と、を備える、
ようにしてもよい。
【0018】
前記セキュリティ情報記憶手段に記憶されているセキュリティポリシの利用権限所有者情報は、グループを特定するグループ情報を含み、
前記利用権限判別手段は、
複数のグループ情報と、グループ情報毎に該グループに所属する人物を特定する所属人物情報と、記憶するグループ記憶手段と、
前記有効ポリシ識別情報記憶手段に記憶されている有効ポリシ識別情報により特定されるセキュリティポリシの利用権限所有者情報がグループ情報であるか否かを判別するグループ判別手段と、
前記グループ判別手段によりグループ情報であると判別されたときに、該グループの所属人物情報を前記グループ記憶手段から読み出す所属人物情報読出手段と、を有し、
前記所属人物情報読出手段が読み出した所属人物情報により特定される人物の中に、受信した利用者情報により特定される利用者が含まれているか否かを判別することにより、利用者が利用権限所有者であるか否かを判別する、
ようにしてもよい。
【0019】
また、この発明の第3の観点に係るドキュメントファイルのセキュリティ管理装置は、
ドキュメントファイルの利用条件を示す利用条件情報と、該利用条件情報を有効にする期間を示す有効期間情報と、を含むセキュリティポリシを複数記憶するセキュリティ情報記憶手段と、
現在の時間情報を取得する時間情報取得手段と、
前記セキュリティ情報記憶手段に記憶されているセキュリティポリシ毎に、該セキュリティポリシの有効期間情報が示す期間に、前記時間情報取得手段により取得された現在の時間情報が含まれているか否かを判別する有効期間判別手段と、
前記有効期間判別手段により現在の時間情報が含まれていると判別された有効期間情報を含むセキュリティポリシを、前記セキュリティ情報記憶手段に記憶されている複数のセキュリティポリシの中から選択する有効ポリシ選択手段と、
前記有効ポリシ選択手段により選択されたセキュリティポリシの識別情報を記憶する有効ポリシ識別情報記憶手段と、
通信ネットワークを介して接続される端末装置からドキュメントファイルの利用要求情報を受信したときに、前記有効ポリシ識別情報記憶手段に記憶されている識別情報により特定されるセキュリティポリシの利用条件情報を、前記ドキュメントファイルに適用する利用条件適用手段と、
を備える。
【0020】
また、この発明の第4の観点に係るドキュメントファイルのセキュリティ管理方法は、
暗号化済みのドキュメントファイルである暗号化ファイルを復号化する鍵を記憶すると共に、該暗号化ファイルを復号化して利用することができる利用権限所有者を示す利用権限所有者情報と、該利用権限所有者情報が有効となる条件を示す有効条件情報と、を含むセキュリティポリシを複数記憶する記憶部から、該複数のセキュリティポリシのそれぞれの有効条件情報を読み出す有効条件情報読出ステップと、
前記有効条件情報読出ステップで読み出した有効条件情報に基づき、前記記憶部に記憶されている複数のセキュリティポリシの中から、現在有効となっているセキュリティポリシを選択する有効ポリシ選択ステップと、
前記有効ポリシ選択ステップで選択されたセキュリティポリシの識別情報である有効ポリシ識別情報を前記記憶部に記録する有効ポリシ識別情報記録ステップと、
通信ネットワークを介して接続され前記暗号化ファイルを記憶する端末装置から、利用者の識別情報である利用者情報を受信したときに、前記有効ポリシ識別情報記録ステップで記録した有効ポリシ識別情報により特定されるセキュリティポリシの利用権限所有者情報に基づき、受信した利用者情報により特定される利用者が利用権限所有者であるか否かを判別する利用権限判別ステップと、
前記利用権限判別ステップで利用権限所有者であると判別されたときに、前記記憶部に記憶されている鍵を前記端末装置に送信する鍵送信ステップと、
を有する。
【0021】
また、この発明の第5の観点に係るプログラムは、
コンピュータを、
暗号化済みのドキュメントファイルである暗号化ファイルを復号化する鍵を記憶すると共に、該暗号化ファイルを復号化して利用することができる利用権限所有者を示す利用権限所有者情報と、該利用権限所有者情報が有効となる条件を示す有効条件情報と、を含むセキュリティポリシを複数記憶するセキュリティ情報記憶手段、
前記セキュリティ情報記憶手段に記憶されているセキュリティポリシの有効条件情報に基づき、複数のセキュリティポリシの中から、現在有効となっているセキュリティポリシを選択する有効ポリシ選択手段、
前記有効ポリシ選択手段により選択されたセキュリティポリシの識別情報である有効ポリシ識別情報を記憶する有効ポリシ識別情報記憶手段、
通信ネットワークを介して接続され前記暗号化ファイルを記憶する端末装置から、利用者の識別情報である利用者情報を受信したときに、前記有効ポリシ識別情報記憶手段に記憶されている有効ポリシ識別情報により特定されるセキュリティポリシの利用権限所有者情報に基づき、受信した利用者情報により特定される利用者が利用権限所有者であるか否かを判別する利用権限判別手段、
前記利用権限判別手段により利用権限所有者であると判別されたときに、前記セキュリティ情報記憶手段に記憶されている鍵を前記端末装置に送信する鍵送信手段、
として機能させる。
【発明の効果】
【0022】
本発明によれば、時系列でセキュリティポリシが変更されるドキュメントファイルを提供することができる。
【発明を実施するための最良の形態】
【0023】
以下、本発明の実施の形態を図面を参照して説明する。
図1は、本発明の第1の実施の形態に係るドキュメントファイルのセキュリティ管理システムの構成例を示すブロック図である。
本実施の形態に係るドキュメントファイルのセキュリティ管理システムは、図示するように、申請者用端末1と、申請サーバ2と、セキュリティサーバ3と、利用者用端末4と、を備えており、それぞれが通信ネットワーク5を介して互いに接続されている。
【0024】
申請者用端末1は、ドキュメントファイルをセキュリティ保護されたファイルに変換するセキュリティファイル変換サービスを受ける者が、そのセキュリティファイル変換サービスの申請に使用する端末である。ここで、セキュリティファイル変換サービスとは、具体的には、PDF(登録商標)ファイル等の電子化されたドキュメントファイルを暗号化等することによりセキュリティが施されたファイル(以下、セキュリティファイルという)に変換するサービスである。
【0025】
申請者用端末1は、申請者の操作に応じて申請に必要な情報が記載された申請文書を作成する。また、申請者用端末1は、申請サーバ2にアクセスして、変換前のドキュメントファイル(以下、オリジナルファイルという)や作成した申請文書等を申請サーバ2に送信し、申請サーバ2から、変換後のセキュリティファイル等を受信する。
【0026】
申請サーバ2は、セキュリティファイル変換サービスを提供するサーバである。申請サーバ2は、申請者用端末1からの申請の受付から、セキュリティファイル変換処理を行うセキュリティサーバ3との通信、変換後のセキュリティファイルの申請者用端末1及び利用者用端末4への送信までを行う。
【0027】
セキュリティサーバ3は、申請サーバ2からの要求に基づいてオリジナルファイルからセキュリティファイルを作成し、また、作成したセキュリティファイルに対するセキュリティ設定を定期的に管理し、さらに、利用者からのセキュリティファイルの利用要求に応じて、そのセキュリティファイルへのセキュリティ設定(つまり、セキュリティポリシ)に基づくセキュリティを適用するサーバである。
【0028】
セキュリティサーバ3で作成されたセキュリティファイルは、申請サーバ2を経由して、申請者用端末1及び利用者用端末4に送信される。
また、セキュリティサーバ3は、セキュリティ設定を管理するために、作成したセキュリティファイルごとに、利用権限者(利用権限所有者)や閲覧・印刷の処理条件等(利用条件情報)のセキュリティ方針(すなわち、セキュリティ設定)を定めたセキュリティポリシ(以下、ポリシという)を記憶する。
【0029】
利用者用端末4は、申請サーバ2から送信されたセキュリティファイルを閲覧等する利用者が使用する端末である。利用者用端末4は、例えば利用者がセキュリティファイルを閲覧するに際して、セキュリティサーバ3にアクセスし、利用要求を行う。
【0030】
この利用要求を受けたセキュリティサーバ3は、セキュリティファイルに対して、記憶しているポリシの適用を行う。具体的には、セキュリティサーバ3は、ポリシに基づいて、利用者のセキュリティファイルに対する閲覧権限の有無や、セキュリティファイルの閲覧時・印刷時の処理条件等を判断する。例えば、ポリシにおいて閲覧権限有りとされている利用者からの利用要求であれば、セキュリティサーバ3は、利用者用端末4にセキュリティファイルの利用に必要な情報を送信する。これにより、閲覧権限のある利用者は利用者用端末4においてセキュリティファイルを閲覧することができる。
通信ネットワーク5は、上記端末やサーバ等が収容される情報ネットワークである。
【0031】
次に、申請者用端末1、申請サーバ2、セキュリティサーバ3、及び利用者用端末4のそれぞれの構成を説明する。
図2は、申請者用端末1の構成例を示すブロック図である。
申請者用端末1は、図示するように、通信部11と、入力部12と、出力部13と、記憶部14と、入出力I/F部15と、制御部16と、を備え、各部はバス17を介して互いに接続されている。
【0032】
通信部11は、通信ネットワーク5を介して、申請サーバ2と通信を行うものであり、通信インタフェース等を備える。
入力部12は、端末に様々な情報を入力するために使用するものであり、キーボード、マウス等の入力装置を備える。例えば、入力部12には、セキュリティファイルへの変換の申請に必要な情報等が入力される。
【0033】
出力部13は、様々な情報を出力するものであり、ディスプレイ等の表示装置を備える。例えば、出力部13には、セキュリティファイルへの変換の申請文書の作成に際して、申請に必要な情報の入力画面等が表示される。
記憶部14は、様々な情報やプログラム等を記憶するものであり、ハードディスク等の補助記憶装置を備える。例えば、記憶部14には、セキュリティファイルへの変換対象となるオリジナルファイルが記憶されている。
【0034】
入出力I/F部15は、入出力機器6を接続するためのインタフェースであり、CD−ROMドライブ等の入力機器やプリンタ等の出力機器との間で情報のやりとりを行うために使用される。例えば、申請者用端末1は、記憶部14に記憶されるオリジナルファイルを、入出力I/F部15を介して、CD−ROMドライブ等の入出力機器から取り込むことができる。
なお、オリジナルファイルは、申請者が申請者用端末1を用いて作成してもよく、また、通信ネットワーク5に接続されている他の情報処理装置等から通信部11を介して取り込んでもよい。
【0035】
制御部16は、データの演算処理を行うと共に、バス17を介して通信部11、入力部12、出力部13、記憶部14、入出力I/F部15を制御するものであり、CPU(Central Processing Unit)161、ROM(Read Only Memory)162、RAM(Random Access Memory)163等を備える。制御部16における演算処理及び制御処理は、具体的には、CPU161が、RAM163を作業領域として使用して各種データを一時的に記憶させながら、ROM162に記憶されている制御プログラムを実行することにより行われる。
【0036】
例えば、制御部16が、ROM162や記憶部14に記憶されている制御プログラムに従って上記各部を制御することにより、セキュリティファイルへの変換の申請文書を作成する処理等が行われる。
【0037】
図3は、申請サーバ2の構成例を示すブロック図である。
申請サーバ2は、図示するように、通信部21と、記憶部22と、制御部23と、を備え、各部はバス24を介して互いに接続されている。
通信部21は、通信ネットワーク5を介して申請者用端末1、セキュリティサーバ3、利用者用端末4と通信を行うものであり、通信インタフェース等を備える。
【0038】
記憶部22は、様々な情報やプログラム等を記憶するものであり、ハードディスク等の補助記憶装置を備える。また、記憶部22は、セキュリティファイル変換サービスの提供に際して申請者用端末1から送信される申請文書データを格納する申請文書DB(データベース)221を備えている。
【0039】
制御部23は、データの演算処理を行うと共に、バス24を介して通信部21及び記憶部22を制御するものであり、CPU231、ROM232、RAM233等を備える。
例えば、制御部23が、ROM232や記憶部22に記憶されている制御プログラムに従って上記各部を制御することにより、セキュリティファイル変換サービスを提供する処理等が行われる。
【0040】
図4は、セキュリティサーバ3の構成例を示すブロック図である。
セキュリティサーバ3は、図示するように、通信部31と、計時部32と、記憶部33と、制御部34と、を備え、各部はバス35を介して互いに接続されている。
通信部31は、通信ネットワーク5を介して申請サーバ2や利用者用端末4と通信を行うものであり、通信インタフェース等を備える。
計時部32は、日付や時刻を刻むものであり、時計回路等を備える。
【0041】
記憶部33は、様々な情報やプログラム等を記憶するものであり、ハードディスク等の補助記憶装置を備える。
また、記憶部33は、セキュリティファイルに対するセキュリティの設定や適用の管理を行うための情報であるセキュリティ管理データを格納するセキュリティ管理DB(データベース)331を備えている。
【0042】
さらに、記憶部33は、セキュリティファイルに対して利用権限が与えられる可能性のある者の氏名等とその者の識別情報である利用権限者IDとを関連付けて記憶する利用権限者IDテーブル332を備えている。例えば、本実施の形態に係るセキュリティ管理システムを所定の会社内で利用する場合には、利用権限者IDテーブル332には、本システムを利用する可能性がある全社員の氏名とIDとが関連付けて記憶される。
【0043】
制御部34は、データの演算処理を行うと共に、バス35を介して通信部31、計時部32、記憶部33を制御するものであり、CPU341、ROM342、RAM343等を備える。
例えば、制御部34が、ROM342や記憶部33に記憶されている制御プログラムに従って上記各部を制御することにより、申請サーバ2からの要求に基づいてセキュリティファイルを作成する処理、作成したセキュリティファイルに対するセキュリティ設定を定期的に管理する処理、利用者からのセキュリティファイルの利用要求に応じてそのファイルにセキュリティ設定に基づくセキュリティを適用する処理等が行われる。
【0044】
図5は、利用者用端末4の構成例を示すブロック図である。
利用者用端末4は、図示するように、通信部41と、入力部42と、出力部43と、記憶部44と、入出力I/F部45と、制御部46と、を備え、各部はバス47を介して互いに接続されている。
【0045】
通信部41は、通信ネットワーク5を介して、申請サーバ2やセキュリティサーバ3と通信を行うものであり、通信インタフェース等を備える。
入力部42は、端末に様々な情報を入力するために使用するものであり、キーボード、マウス等の入力装置を備える。例えば、入力部42には、セキュリティファイルの利用要求に必要な情報等が入力される。
【0046】
出力部43は、様々な情報を出力するものであり、ディスプレイ等の表示装置を備える。例えば、出力部43には、利用者によるセキュリティファイルの閲覧に際して、セキュリティファイルのドキュメント内容等が表示される。
記憶部44は、様々な情報やプログラム等を記憶するものであり、ハードディスク等の補助記憶装置を備える。例えば、記憶部44には、申請サーバから送信されるセキュリティファイルが記憶される。
【0047】
入出力I/F部45は、入出力機器7を接続するためのインタフェースであり、CD−ROMドライブ等の入力機器やプリンタ等の出力機器との間で情報のやりとりを行うために使用される。例えば、ポリシにおいてセキュリティファイルの印刷が許可されている場合には、利用者は、入出力I/F部45に接続されるプリンタ等の出力機器を用いてセキュリティファイルを印刷することができる。
【0048】
制御部46は、データの演算処理を行うと共に、バス47を介して通信部41、入力部42、出力部43、記憶部44、入出力I/F部45を制御するものであり、CPU461、ROM462、RAM463等を備える。
例えば、制御部46が、ROM462や記憶部44に記憶されている制御プログラムに従って上記各部を制御することにより、セキュリティファイルの利用処理等が行われる。
【0049】
次に、申請者が、オリジナルファイルをセキュリティファイルへ変換するための変換申請を行ってから、変換されたセキュリティファイルを取得するまでの、本実施の形態に係るセキュリティ管理システムにおけるセキュリティファイル変換サービスの動作を説明する。
【0050】
図6は、本実施の形態に係るセキュリティ管理システムにおけるセキュリティファイル変換サービスの提供動作に関する機能構成例を示すブロック図である。
なお、図示する申請者用端末1、申請サーバ2、セキュリティサーバ3、利用者用端末4における各構成要素は、それぞれの制御部16,23,34,46が、それぞれのバスを介して接続されている各部を制御することにより、実現することができる。
また、既に説明した構成と同じ機能を有する部分については、同じ符号を付している。
【0051】
申請者用端末1の申請情報入力部51は、オリジナルファイルをセキュリティファイルへ変換するための変換申請に必要な情報の入力を受け付け、入力された情報を取得する。具体的には、申請情報入力部51は、出力部13である例えばディスプレイに、申請に必要な情報の入力欄を備えた申請文書の作成入力画面等を表示し、この入力画面を介して申請者により入力部12に入力される情報を取得する。
【0052】
ここで、申請情報入力部51が取得する情報を、申請者用端末1のディスプレイに表示される画面を参照して、説明する。
セキュリティファイルへの変換申請を行う申請者により、例えば、予めディスプレイに表示されているセキュリティファイル変換サービスを示すアイコンがクリック等されると、申請情報入力部51は、ディスプレイにセキュリティファイル変換サービスの初期画面を表示する。
【0053】
図7は、セキュリティファイル変換サービスの初期画面の例を示す図である。
この図において、「セキュリティファイル変換」ボタンは、オリジナルファイルをセキュリティファイルへ変換するための変換申請を開始するためのボタンである。「変換済み文書一覧」ボタンは、変換されたセキュリティファイルの一覧を表示するためのボタンである。「マニュアル」ボタンは、セキュリティファイル変換サービスに関する操作マニュアルを表示するためのボタンである。
【0054】
この初期画面において、「セキュリティファイル変換」ボタンがクリックされると、次に、申請情報入力部51は、申請文書の作成入力画面をディスプレイに表示する。
【0055】
図8は、申請文書作成入力画面の例を示す図である。
申請情報入力部51は、この入力画面を介した申請者による入力により、申請者自らが申請文書を識別するための整理番号と、申請者名と、申請者の識別情報である申請者IDと、セキュリティファイルへの変換対象であるオリジナルファイルの特定情報と、セキュリティファイルに適用するポリシと、を取得する。
ここで、オリジナルファイルの特定は、例えば、申請者用端末1の記憶部14におけるオリジナルファイルの格納場所であるパス名及びファイル名を指定すること等により行う。
【0056】
また、申請者は、この入力画面を用いて、複数のポリシを作成することができる。
申請者により入力画面の「ポリシ作成」ボタンがクリックされると、申請情報入力部51は、まず、1つのポリシを作成するためのポリシ作成入力画面をディスプレイに表示する。
【0057】
図9は、ポリシ作成入力画面の例を示す図である。
ポリシは、ポリシ番号と、ポリシ発効日と、閲覧権限者と、閲覧付加条件と、の情報を有する。
申請情報入力部51は、ポリシ作成入力画面の表示に際し、複数のポリシを識別するための識別情報であるポリシ番号を採番し、表示する。例えば、図8の申請文書作成入力画面において初めて「ポリシ作成」ボタンがクリックされた場合には、申請情報入力部51は、1つ目のポリシの作成であると判別し、図9のポリシ作成入力画面に「セキュリティポリシ1」と表示する。
【0058】
申請者は、このポリシ作成入力画面を用いて、「ポリシ発効日」と、「閲覧権限者」と、「閲覧付加条件」と、を入力する。
「ポリシ発効日」とは、ここで作成されるポリシがセキュリティファイルに設定されて有効となる日である。このように、複数作成されるそれぞれのポリシに対し発効日情報を設定しておくことにより、セキュリティファイルにポリシ発効日を境に異なるポリシを適用させることができる。
【0059】
「閲覧権限者」とは、セキュリティファイルを閲覧することができる者である。申請者は、セキュリティファイルに対して閲覧許可を与えたい者の氏名等をこの欄に入力する。なお、ここで入力する情報は、閲覧権限者を特定できる情報であればよく、漢字、アルファベット等による個人特定情報の他、例えば個人を識別するための識別記号等でもよい。
【0060】
「閲覧付加条件」とは、閲覧権限者によるセキュリティファイルの閲覧に際して、付加的に適用する条件である。つまり、この「閲覧付加条件」は閲覧権限者にセキュリティファイルの取り扱いの範囲を設定する条件のことであり、後述に示すように取り扱いの注意を喚起する条件や、取り扱いの制限を示す条件などが挙げられる。図9のポリシ作成入力画面においては、申請者は、予め用意された条件の中からポリシとして設定したい条件を選択する。
【0061】
例えば、閲覧オプションの「警告メッセージ表示」が有効に設定されると、利用者が利用者用端末4を用いてセキュリティファイルを閲覧する際に、利用者用端末4に「取り扱いに注意してください。」等の警告メッセージが表示される。
また、印刷を「許可する」が有効に設定されると、利用者用端末4においてセキュリティファイルを印刷することができる。一方で、「許可する」が無効に設定されると、利用者用端末4においてセキュリティファイルの印刷が禁止され、印刷の実行がなされないようにすることができる。
【0062】
また、印刷を許可する設定にした場合には、さらに、印刷オプションを設定することができる。例えば、印刷オプションの「警告メッセージ表示」が有効にされると、利用者用端末4においてセキュリティファイルが印刷される際に、「取り扱いに注意してください。」等の警告メッセージが表示される。
【0063】
「機密印刷」が有効にされると、プリントアウトに際し、利用者にプリンタへのPIN(Personal Identification Number)の入力が要求される。
「地紋印刷」が有効にされると、複写機で複写された場合に例えば利用者名及び印刷日時が浮き上がる地紋画像が、セキュリティファイルに重ね合わせて印刷される。
【0064】
「スタンプ印刷」が有効にされると、例えば「極秘」のマークがスタンプとしてセキュリティファイルに重ねて印刷される。
「警告印字」が有効にされると、セキュリティファイルが印刷される際に、例えば利用者名及び印刷日時が印字される。
なお、「閲覧付加条件」には、これら以外の条件をポリシとして設定するようにすることもできる。
【0065】
申請者は、ポリシ作成入力画面において、必要な情報を入力した後、「OK」ボタンをクリックする。これにより、申請情報入力部51は、ポリシ作成入力画面を用いて作成されたポリシを取得する。そして、申請情報入力部51は、再び図8の申請文書作成入力画面を表示し、その画面における「作成済みセキュリティポリシ」の欄に、作成されたポリシのポリシ番号を表示する。例えば、「セキュリティポリシ1」が作成された場合には、「作成済みセキュリティポリシ」の欄に「ポリシ1」と表示する。
【0066】
申請者が更に異なるポリシを作成する場合には、この申請文書作成入力画面において、再び「ポリシ作成」ボタンをクリックする。これにより、申請情報入力部51は、ポリシ番号を2とする「セキュリティポリシ2」のポリシ作成入力画面を表示する。ポリシ作成入力画面を用いた「セキュリティポリシ2」の作成が終了すると、申請情報入力部51は、申請文書作成入力画面の「作成済みセキュリティポリシ」欄に「ポリシ2」の表示を追加する。つまり、「ポリシ2」には「ポリシ1」のポリシ発効日以降に有効となるポリシ発効日を設定することが可能となる。すなわち、異なる発効日が設定された複数のポリシはポリシ発効日が古い順に時系列に並べられることとなる。
【0067】
このようにして、異なるポリシ発効日が設定された複数のポリシが作成されることにより、同一のセキュリティファイルに対して異なるポリシを時系列で設定することができる。
具体的には、例えば、1つのセキュリティファイルに対して、3つの「ポリシ1〜3」を作成し、「ポリシ1」のポリシ発効日を2005年6月1日に、「ポリシ2」のポリシ発効日を2005年7月1日に、「ポリシ3」のポリシ発効日を2005年8月1日に、それぞれ設定した場合には、同一のセキュリティファイルに対して、2005年6月中においては「ポリシ1」を、2005年7月中においては「ポリシ2」を、2005年8月以降は「ポリシ3」を、適用することができる。
【0068】
申請者は、セキュリティファイルの作成に必要な申請情報の入力を終えると、図8の申請文書作成入力画面の「OK」ボタンをクリックする。これにより、申請情報入力部51は、申請文書の作成に必要な情報を取得する。
【0069】
図6に戻り、申請文書作成部52は、申請情報入力部51に入力された情報に基づき申請文書を作成する。さらに、申請文書作成部52は、入力されたオリジナルファイルの特定情報により特定されるオリジナルファイルを申請文書に添付する。
申請文書送信部53は、申請文書作成部52により作成された、オリジナルファイルが添付された申請文書データを申請サーバ2に送信する。
【0070】
申請サーバ2の申請文書受信部54は、申請文書送信部53から、オリジナルファイルが添付された申請文書データを受信する。
申請文書格納部55は、申請文書受信部54が受信した申請文書データに、申請文書番号と申請端末特定情報とを追加して、申請文書ファイルとし、申請文書ファイルとオリジナルファイルとを関連付けて申請文書DB221に格納する。
【0071】
図10は、申請文書DB221に格納される申請文書ファイルのデータ構成例を示す図である。
図示するように、申請文書ファイルは、申請者用端末1の申請情報入力部51に入力された情報に加え、申請文書格納部55が取得する申請文書番号及び申請端末特定情報を有する。
【0072】
申請文書番号は、申請文書DB221に格納される複数の申請文書ファイルを識別するための情報である。申請文書格納部55は、申請文書受信部54から1つのドキュメントファイルに対応する1つの申請文書データを受け取るたびに、ユニークな申請文書番号を採番し、申請文書データに追加する。
また、申請端末特定情報は、申請元を特定するための情報である。申請文書格納部55は、例えば、IPアドレス等の申請者用端末1の通信ネットワーク5上のアドレスを申請端末特定情報として、申請文書送信部53と申請文書受信部54との間のデータ通信処理情報から取得する。
【0073】
図6に戻り、申請文書ファイル送信部56は、申請文書格納部55が申請文書DB221に格納した申請文書ファイルとオリジナルファイルとをセキュリティサーバ3に送信する。
セキュリティサーバ3の申請文書ファイル受信部57は、申請文書ファイル送信部56から、申請文書ファイルとオリジナルファイルとを受信する。
【0074】
セキュリティファイル変換部58は、申請文書ファイル受信部57が受信した申請文書ファイルとオリジナルファイルとに基づき、セキュリティファイルとセキュリティ管理データとを作成する。セキュリティファイル変換部58におけるセキュリティファイルの作成動作及びセキュリティ管理データの作成動作の詳細については後述する。
【0075】
セキュリティファイル送信部59は、セキュリティファイル変換部58が作成したセキュリティファイルに、申請文書ファイル内の申請文書番号を添付して、申請サーバ2に送信する。
セキュリティ管理データ格納部60は、セキュリティファイル変換部58が作成したセキュリティ管理データをセキュリティ管理DB331に格納する。
【0076】
ここで、セキュリティファイル変換部58におけるセキュリティファイルの作成動作及びセキュリティ管理データの作成動作について詳しく説明する。
図11は、セキュリティファイル変換部58の具体的構成例を示すブロック図である。
鍵生成部581は、暗号化アルゴリズムを用いてドキュメントファイルを暗号化及び復号化するための鍵をランダムに生成する。
ファイル暗号化部582は、申請文書ファイル受信部57が受信したオリジナルファイルを、鍵生成部581が生成した鍵を用いて暗号化し、暗号化ファイルを作成する。
【0077】
ファイルID生成部583は、ファイル暗号化部582が作成したファイルを識別するためのユニークなファイルIDを採番する。
セキュリティファイル作成部584は、ファイル暗号化部582が作成した暗号化ファイルに、ファイルID生成部583が生成したファイルIDを付加して、セキュリティファイルを作成する。セキュリティファイル作成部584は、作成したセキュリティファイルをセキュリティファイル送信部59に出力する。
【0078】
セキュリティ管理データ作成部585は、申請文書ファイル受信部57が受信した申請文書ファイルに基づき、セキュリティ管理DB331に格納するためのセキュリティ管理データを作成し、セキュリティ管理データ格納部60に出力する。セキュリティ管理データ格納部60は、セキュリティ管理データを、セキュリティファイル毎のセキュリティ管理ファイルとして、セキュリティ管理DB331に格納する。
【0079】
図12は、セキュリティ管理DB331に格納されるセキュリティ管理ファイルのデータ構成例を示す図である。
図示するように、セキュリティ管理ファイルは、ファイルID生成部583が生成したファイルIDと、鍵生成部581が生成した鍵と、後述する有効ポリシ番号と、申請文書ファイルに含まれている複数のポリシと、の情報を有する。
【0080】
ここで、有効ポリシ番号とは、セキュリティ管理ファイルに含まれている複数のポリシの中で、セキュリティファイルに対する設定が現在有効になっているポリシの番号である。
この有効ポリシ番号により、具体的には、例えば、利用者用端末4からセキュリティファイルの閲覧要求があった場合、そのセキュリティファイルのファイルIDを含むセキュリティ管理ファイルに含まれている複数のポリシのうち、有効ポリシ番号に設定されている番号のポリシが、セキュリティファイルに適用される。
なお、有効ポリシ番号の設定動作については、後述するセキュリティ設定管理動作において説明する。
【0081】
図6に戻り、申請サーバ2のセキュリティファイル転送部61は、セキュリティファイル送信部59から、申請文書番号が添付されたセキュリティファイルを受信する。そして、セキュリティファイル転送部61は、申請文書DB221を参照して、受信した申請文書番号の申請文書ファイルから申請端末特定情報を取り出し、申請端末特定情報により特定される申請者用端末1に、受信したセキュリティファイルを送信する。
【0082】
また、申請サーバ2は、セキュリティファイルを利用者用端末4に送信する。具体的には、例えば、申請サーバ2は、記憶部22に予め記憶されている利用者用端末4の通信ネットワーク5上のアドレス等の利用端末特定情報に基づいて、利用者用端末4にセキュリティファイルを送信する。
【0083】
申請者用端末1の申請セキュリティファイル取得部62は、セキュリティファイル転送部61からセキュリティファイルを受信し、受信したセキュリティファイルを、例えば、申請者用端末1の記憶部14に記憶させる。
また、利用者用端末4の利用セキュリティファイル取得部63は、セキュリティファイル転送部61からセキュリティファイルを受信し、受信したセキュリティファイルを、例えば、利用者用端末4の記憶部44に記憶させる。
【0084】
なお、利用者用端末4へのセキュリティファイルの送信は、申請サーバ2側で行わずに、セキュリティファイルを取得した申請者用端末1側で行うようにしてもよい。また、この場合、申請者が、取得したセキュリティファイルを、例えば電子メール等に添付して利用者に配布するようにしてもよい。さらに、申請サーバ2が申請者用端末1へセキュリティファイルを送信する代わりに、申請サーバ2側でセキュリティファイルを保存しておいても良い。この場合には、申請者は申請者用端末1を用いて利用者用端末4の利用者にセキュリティファイルが保存されている領域(例えば、パス名やURLなど)を連絡することでも対応が可能である。
【0085】
以上のようなセキュリティ管理システムの構成により、申請者は、セキュリティファイル変換サービスを受けて、適用されるポリシが時系列で変更されるセキュリティファイルを取得することができる。
【0086】
次に、上述したセキュリティファイル変換サービスによりセキュリティサーバ3のセキュリティ管理DB331に格納されたセキュリティ管理ファイルを用いて、セキュリティファイルに対するセキュリティ設定を定期的に管理する動作を説明する。
【0087】
図13は、本実施の形態に係るセキュリティ管理システムのセキュリティサーバ3におけるセキュリティ設定管理動作に関する機能構成例を示すブロック図である。
なお、図示する構成要素は、図4に示したセキュリティサーバ3の制御部34が、バス35を介して接続されている各部を制御することにより、実現することができる。また、既に説明した構成と同じ機能を有する部分については、同じ符号を付している。
【0088】
セキュリティ管理ファイル読出部71は、セキュリティ管理DB331に格納されている複数のセキュリティ管理ファイルの中から、1つのファイルIDで特定される1つのセキュリティ管理ファイルを読み出す。
ポリシ取出部72は、セキュリティ管理ファイル読出部71が読み出したセキュリティ管理ファイルに含まれている複数のポリシの中から、1つのポリシを取り出す。
【0089】
発効日取出部73は、ポリシ取出部72が取り出したポリシに含まれている情報の中から「ポリシ発効日」を取り出す。
日付取得部74は、現在の日付を取得する。日付取得部74には時計回路が内蔵されており、この時計回路を用いたカレンダー機能により現在の日付が取得される。日付取得部74は、図4に示した計時部32及び制御部34により実現される。
【0090】
発効日比較部75は、発効日取出部73が取り出した「ポリシ発効日」と、日付取得部74が取得した現在の日付と、を比較し、比較結果を出力する。具体的には、発効日比較部75は、比較の結果、「ポリシ発効日」が今日である場合には、一致情報を出力し、「ポリシ発効日」が今日でない場合には、不一致情報を出力する。
【0091】
有効ポリシ番号書替部76は、発効日比較部75から一致情報を受け取ると、セキュリティ管理ファイル読出部71が読み出したセキュリティ管理ファイルからファイルIDを取り出すと共に、ポリシ取出部72が取り出したポリシに含まれている情報の中から「ポリシ番号」を取り出す。そして、セキュリティ管理DB331にアクセスし、取り出したファイルIDで特定されるセキュリティ管理ファイル内の「有効ポリシ番号」を、取り出した「ポリシ番号」に書き替える。
【0092】
情報取出制御部77は、発効日比較部75において、セキュリティ管理DB331に記憶されているすべての「ポリシ発効日」と現在の日付との比較が行われるように、セキュリティ管理ファイル読出部71及びポリシ取出部72を制御する。
【0093】
具体的には、情報取出制御部77は、発効日比較部75により1つの「ポリシ発効日」に対する比較結果が出力されるたびに、ポリシ取出部72により1つのセキュリティ管理ファイルに含まれているすべてのポリシが取り出されたか否かを判別し、すべてのポリシが取り出されるまで、ポリシ取出部72を制御してポリシ取り出し動作を実行させる。ポリシ取出部72により取り出されたポリシは、順次、発効日取出部73により「ポリシ発効日」が取り出され、発効日比較部75により現在の日付と比較される。
【0094】
この制御により、1つのセキュリティ管理ファイルに含まれているすべてのポリシが取り出された場合には、情報取出制御部77は、次に、セキュリティ管理ファイル読出部71によりセキュリティ管理DB331に格納されているすべてのセキュリティ管理ファイルが読み出されたか否かを判別する。すべてのセキュリティ管理ファイルが読み出されていない場合には、情報取出制御部77は、セキュリティ管理ファイル読出部71を制御して、未だ読み出されていないセキュリティ管理ファイルを読み出させる。セキュリティ管理ファイル読出部71により読み出されたセキュリティ管理ファイルは、ポリシ取出部72に出力され、ポリシ取出部72において情報取出制御部77による上述した制御の下、ポリシ取り出し動作が行われる。
【0095】
このような情報取出制御部77の制御により、発効日比較部75において、セキュリティ管理DB331に記憶されているすべての「ポリシ発効日」と現在の日付との比較が行われる。
【0096】
以上のようなセキュリティサーバの構成を用いて、セキュリティファイルに対するセキュリティ設定の管理動作を、例えば1日に1回、定期的に行うことにより、1つのセキュリティファイルに関連付けられて記憶されている複数のポリシの発効日が毎日確認される。そして、この確認により、本日(今日)セキュリティファイルに適用されるポリシが有効ポリシとしてセキュリティファイルに設定されることにより、1つのセキュリティファイルに適用されるポリシを時系列で変更することができる。
【0097】
次に、利用者が利用者用端末4を用いてセキュリティファイルを利用する動作を説明する。
図14は、本実施の形態に係るセキュリティ管理システムにおけるセキュリティファイルの利用動作に関する機能構成例を示すブロック図である。
なお、図示するセキュリティサーバ3及び利用者用端末4における各構成要素は、それぞれの制御部34,46が、それぞれのバスを介して接続されている各部を制御することにより、実現することができる。
また、既に説明した構成と同じ機能を有する部分については、同じ符号を付している。
【0098】
ここでは、前述したセキュリティファイル変換サービスにより、セキュリティファイルが利用者用端末4の記憶部44に記憶されていることを前提に、利用者が、このセキュリティファイルの閲覧要求を利用者用端末4を用いて行う場合を例に説明する。
【0099】
利用者用端末4の閲覧ファイル指定部81は、利用者からセキュリティファイルの閲覧要求を受け付け、閲覧要求されたセキュリティファイルの指定情報をセキュリティファイル読出部82に出力する。具体的には、例えば、利用者用端末4の出力部43である例えばディスプレイに予め表示されている複数のセキュリティファイルのアイコンのうち、1つのアイコンがクリックされること等により、入力部42にセキュリティファイルを指定する入力がなされると、閲覧ファイル指定部81は、この入力を認識し、閲覧要求されたセキュリティファイルの指定情報をセキュリティファイル読出部82に出力する。この指定情報は、セキュリティファイルの所在を示す情報であり、例えば、パス名やファイル名、URL等が挙げられる。
【0100】
セキュリティファイル読出部82は、閲覧ファイル指定部81からのセキュリティファイルの指定情報により特定されるセキュリティファイルを、記憶部44から読み出す。
ファイルID取出部83は、セキュリティファイル読出部82が読み出したセキュリティファイルからファイルIDを取り出す。
【0101】
利用者ID取得部84は、セキュリティファイルの利用者の識別情報である利用者IDを取得する。具体的には、例えば、利用者ID取得部84は、ディスプレイに利用者ID入力画面を表示し、この入力画面を介して利用者により入力部42に入力される利用者IDを取得する。なお、利用者用端末4が特定の利用者の専用端末であって、利用者IDが利用者用端末4内に予め記憶されているような場合には、利用者ID取得部84は、利用者用端末4内に記憶されている利用者IDを読み出して取得してもよい。
【0102】
閲覧要求情報送信部85は、ファイルID取出部83が取り出したファイルIDと利用者ID取得部84が取得した利用者IDとをセキュリティサーバ3に送信する。
セキュリティサーバ3の閲覧要求情報受信部86は、閲覧要求情報送信部85からファイルIDと利用者IDとを受信する。
閲覧要求管理ファイル読出部87は、閲覧要求情報受信部86が受信したファイルIDを有するセキュリティ管理ファイルを、セキュリティ管理DB331から読み出す。
【0103】
有効ポリシ番号取出部88は、閲覧要求管理ファイル読出部87が読み出したセキュリティ管理ファイルから有効ポリシ番号を取り出す。
有効ポリシ取出部89は、閲覧要求管理ファイル読出部87が読み出したセキュリティ管理ファイルから、有効ポリシ番号取出部88が取り出した有効ポリシ番号により特定されるポリシを取り出す。
【0104】
なお、有効ポリシ番号取出部88が取り出す有効ポリシ番号は、上述したセキュリティ設定管理動作により、各ポリシに設定されている発効日情報が判断されて、発効日を迎えたポリシの番号が設定されるものである。そのため、セキュリティファイルに関連付けられているすべてのポリシの発効日前には、有効ポリシ番号は設定されていない。このような場合には、一律に、セキュリティファイルに閲覧権限者なしとするポリシを適用することにより、最初に発効日を迎えるポリシが設定されるまでの間のセキュリティファイルのセキュリティを保つことができる。
【0105】
閲覧権限者情報取出部90は、有効ポリシ取出部89が取り出した有効なポリシから、閲覧権限者情報を取り出す。具体的には、例えば、図12に示したセキュリティ管理ファイルの場合であれば、閲覧権限者情報取出部90は、閲覧権限者情報として閲覧権限者の氏名を取り出す。
【0106】
閲覧権限者ID変換部91は、閲覧権限者情報取出部90が取り出した閲覧権限者情報としての閲覧権限者の氏名を、利用権限者IDテーブル332を参照して、ID情報である閲覧権限者IDに変換する。
閲覧権限判別部92は、閲覧権限者ID変換部91により変換された閲覧権限者IDに、閲覧要求情報受信部86が受信した利用者IDが含まれているか否かを判別することにより、利用者に閲覧権限があるか否かを判別し、その結果情報を閲覧情報取得部93に出力する。
【0107】
閲覧情報取得部93は、閲覧権限判別部92から利用者に閲覧権限がある旨の情報が入力されると、閲覧要求管理ファイル読出部87が読み出したセキュリティ管理ファイルから、鍵を取り出し、さらに、有効ポリシ取出部89が取り出したポリシから、閲覧付加条件を取り出して、これらの情報を閲覧情報送信部94に出力する。
一方で、閲覧情報取得部93は、閲覧権限判別部92から利用者に閲覧権限がない旨の情報が入力されると、閲覧が許可されていないことを示す閲覧不許可情報を閲覧情報送信部94に出力する。
【0108】
閲覧情報送信部94は、閲覧情報取得部93が取得した情報を利用者用端末4に送信する。
利用者用端末4の閲覧情報受信部95は、閲覧情報送信部94から、鍵及び閲覧付加条件、又は、閲覧不許可情報を受信する。
暗号化ファイル取出部96は、セキュリティファイル読出部82が読み出したセキュリティファイルから暗号化ファイルを取り出す。
ファイル復号化部97は、暗号ファイル取出部96が取り出した暗号化ファイルを、閲覧情報受信部95が受信した鍵を用いて復号化し、閲覧可能なドキュメントファイルに戻す。
【0109】
ドキュメント表示部98は、ファイル復号化部97が復号化したドキュメントの内容を、閲覧情報受信部95が受信した閲覧付加条件に従い、ディスプレイに表示する。具体的には、閲覧付加条件として、閲覧オプションの「警告メッセージ表示」が設定されている場合には、ドキュメント表示部98は、ドキュメント内容の表示に伴い、ディスプレイに警告メッセージを表示する。
また、閲覧情報受信部95が閲覧不許可情報を受信した場合には、ドキュメント表示部98は、セキュリティファイルを閲覧できないことを利用者に報知するために、閲覧が許可されていない旨をディスプレイに表示する。
【0110】
印刷制御部99は、利用者からの印刷要求を受け付け、閲覧情報受信部95が受信した閲覧付加条件に従い、ドキュメント表示部98が表示したドキュメントの印刷を行う。具体的には、印刷制御部99は、閲覧付加条件として、印刷許可の設定がされている場合には、利用者からの印刷要求に応じて、表示されているドキュメントの印刷を行う。一方、印刷不許可の設定がされている場合には、利用者から印刷要求があっても、表示されているドキュメントの印刷を一切禁止する。
【0111】
また、印刷許可の設定と同時に印刷オプションが設定されている場合には、印刷制御部99は、ドキュメント内容を印刷するに際し、設定されている条件に従い、「警告メッセージ表示」、「機密印刷」、「地紋印刷」、「スタンプ印刷」、「警告印字」等の処理を行う。
【0112】
閲覧終了検出部100は、ドキュメント表示部98が表示したドキュメント内容の利用者による閲覧終了を検出する。具体的には、例えば、閲覧終了検出部100は、ディスプレイに表示されているドキュメント内容の表示ウィンドウが閉じられたことを検出することにより、閲覧終了を検出する。
閲覧終了処理部101は、閲覧終了検出部100が閲覧の終了を検出すると、ファイル復号化部97が復号化して作成したドキュメントファイルと、閲覧情報受信部95が受信した鍵と、を利用者用端末4から削除する。具体的には、閲覧終了処理部101は、閲覧が終了すると、利用者用端末4のRAM463や記憶部44等から、ドキュメントファイル及び鍵を削除する。
【0113】
以上のようなセキュリティ管理システムの構成により、利用者がセキュリティファイルを閲覧するたびに利用者用端末4はセキュリティサーバ3にアクセスし、閲覧権限等が記載されたポリシの確認を行う。そして、セキュリティサーバ3においては、前述したセキュリティ設定管理動作により、複数のポリシの中からその時点でセキュリティファイルに適用されるポリシの番号が選択されて、有効ポリシ番号として設定されている。そのため、以上の構成によれば、時系列でポリシが変更するセキュリティファイルを、利用者がドキュメントファイルを利用する時点において適用されているポリシに基づく利用形態で、利用者に利用させることができる。
【0114】
次に、本実施の形態に係るセキュリティ管理システムにおける処理手順を説明する。
なお、以下に説明する処理は、申請者用端末1、申請サーバ2、セキュリティサーバ3、利用者用端末4のそれぞれの制御部16,23,34,46が、それぞれの記憶部14,22,33,44やROM162,232,342,462に記憶されている制御プログラムに従って、それぞれのバスを介して接続されている各部を制御することにより、実現される。なお、制御部16,23,34,46による通信制御、入出力制御、メモリ制御等の通常のコンピュータによる処理と同一の処理については、理解を容易にするため、逐一言及することを避ける。
【0115】
まず、本実施の形態に係るセキュリティ管理システムにおけるセキュリティファイル変換処理の手順を説明する。
図15及び図16は、セキュリティファイル変換処理を示す手順説明図である。
申請者用端末1において、セキュリティファイルへの変換を要求する旨の情報が入力部12に入力されると、このセキュリティファイル変換処理が開始され、制御部16は、例えば図8に示した申請文書作成入力画面を出力部13である例えばディスプレイに表示する(図15のステップS11)。
【0116】
セキュリティファイルへの変換を要求する旨の情報の入力は、具体的には、例えば、ディスプレイに予め表示されているセキュリティファイル変換ボタンを申請者がクリックすること等により、行われる。
【0117】
制御部16は、申請文書作成入力画面を介して、整理番号、申請者名、申請者ID、オリジナルファイル特定情報等の入力部12への入力を受け付け、入力された情報を取得する(ステップS12)。
【0118】
次に、制御部16は、申請文書作成入力画面を介して、ポリシの入力を受け付け、入力されたポリシを取得する(ステップS13)。具体的には、例えば、図8の申請文書作成入力画面における「ポリシ作成」ボタンが申請者によりクリックされると、制御部16は、図9のポリシ作成入力画面をディスプレイに表示する。そして、このポリシ作成入力画面を介して、ポリシ発効日、閲覧権限者、閲覧付加条件等の入力部12への入力を受け付け、入力された情報にポリシ番号を追加し、ポリシとして取得する。
【0119】
次に、制御部16は、ポリシの入力が終了したか否かを判別する(ステップS14)。具体的には、例えば、図8の申請文書作成入力画面の「OK」ボタンが申請者によりクリックされると、制御部16は、ポリシの入力が終了したと判別する。
制御部16は、ポリシの入力が終了していないと判別した場合には(ステップS14;No)、ステップS13に戻り、更に別のポリシを取得する。この処理を繰り返すことにより、1つのドキュメントファイルに対応する1つの申請文書に、複数のポリシを入力しておくことができる。
【0120】
一方、制御部16は、ポリシの入力が終了したと判別した場合には(ステップS14;Yes)、取得した情報に基づき申請文書を作成し、この申請文書データに、オリジナルファイル特定情報により特定されるオリジナルファイルを添付して、申請サーバ2に送信する(ステップS15)。
【0121】
申請サーバ2において、制御部23は、申請者用端末1から申請文書データを受信すると、申請文書番号及び申請端末特定情報を取得し、これらを申請文書データに追加して申請文書ファイルとする。そして、同じく受信したオリジナルファイルと申請文書ファイルとを関連付けて申請文書DB221に格納し、格納した申請文書ファイル及びオリジナルファイルをセキュリティサーバ3に送信する(ステップS16)。
【0122】
セキュリティサーバ3において、制御部34は、申請サーバ2から申請文書データを受信すると、ドキュメントファイルを暗号化及び復号化するための鍵をランダムに生成する(ステップS17)。そして、制御部34は、生成した鍵を用いて、受信したオリジナルファイルを暗号化し、暗号化ファイルを作成する(ステップS18)。
【0123】
次に、制御部34は、暗号化ファイルを識別するためのファイルIDを生成する(ステップS19)。そして、制御部34は、暗号化ファイルにファイルIDを付加してセキュリティファイルを作成し、作成したセキュリティファイルに申請文書ファイル内の申請文書番号を添付して申請サーバ2に送信する(ステップS20)。
【0124】
続いて、制御部34は、生成したファイルIDと、暗号化ファイルの作成に用いた鍵と、受信した申請文書ファイル内の複数のポリシと、例えば初期値をヌルとする有効ポリシ番号と、を有するセキュリティ管理ファイルを作成する(ステップS21)。そして、制御部34は、作成したセキュリティ管理ファイルをセキュリティ管理DB331に格納する(ステップS22)。
このようにして、セキュリティ管理DB331には、このセキュリティファイル変換処理が行われるたびに、ファイルIDにより識別されるセキュリティ管理ファイルが格納される。
【0125】
申請サーバ2において、制御部23は、セキュリティサーバ3からセキュリティファイルを受信すると、セキュリティファイルに添付されている申請文書番号により特定される申請文書ファイルを申請文書DB221から読み出す。そして、読み出した申請文書ファイルから申請端末特定情報を取り出し、その申請端末特定情報により特定される申請者用端末1に、受信したセキュリティファイルを転送する(図16のステップS23)。
さらに、制御部23は、セキュリティサーバ3から受信したセキュリティファイルを利用者用端末4に転送する(ステップS24)。
【0126】
申請者用端末1において、制御部16は、申請サーバ2からセキュリティファイルを受信して取得する(ステップS25)。
さらに、利用者用端末4において、制御部46は、申請サーバ2からセキュリティファイルを受信して取得し(ステップS26)、このセキュリティファイル変換処理を終了する。
このセキュリティファイル変換処理により、申請者は、発効日情報に基づき複数のポリシが時系列で変更されるセキュリティファイルを取得し、利用者に配布することができる。
【0127】
次に、本実施の形態に係るセキュリティ管理システムにおけるセキュリティ設定管理処理の手順を説明する。
図17は、セキュリティ設定管理処理を示すフローチャートである。
なお、本実施の形態において、この処理は、1日に1回の間隔で定期的に、セキュリティサーバ3におけるバッチ処理として実行される。
【0128】
セキュリティサーバ3の制御部34は、例えば計時部32から日付が変わった旨の情報を取得すると、このセキュリティ設定管理処理を開始し、まず、現在の日付情報を取得する(ステップS31)。
次に、制御部34は、セキュリティ管理DB331に格納されている複数のセキュリティ管理ファイルの中から、1つのファイルIDで特定される1つのセキュリティ管理ファイルを読み出す(ステップS32)。
【0129】
続いて、制御部34は、読み出したセキュリティ管理ファイルに含まれている複数のポリシの中から、1つのポリシを取り出す(ステップS33)。
さらに、制御部34は、取り出したポリシに含まれている情報の中から「ポリシ発効日」情報を取り出す(ステップS34)。
そして、制御部34は、取り出した「ポリシ発効日」情報と、ステップS31で取得した現在の日付情報と、を比較することにより、ステップS33で取り出したポリシの発効日が今日であるか否かを判別する(ステップS35)。
【0130】
ポリシ発効日が今日である場合には(ステップS35;Yes)、制御部34は、ステップS32で読み出したセキュリティ管理ファイルからファイルIDを取り出す(ステップS36)。さらに、制御部34は、ステップS33で取り出したポリシに含まれている情報の中から「ポリシ番号」を取り出す(ステップS37)。そして、制御部34は、セキュリティ管理DB331にアクセスし、ステップS36で取り出したファイルIDにより特定されるセキュリティ管理ファイル内の「有効ポリシ番号」を、ステップS37で取り出した「ポリシ番号」に書き替える(ステップS38)。
一方、ポリシ発効日が今日でない場合には(ステップS35;No)、制御部34は、ステップS36〜S38をスキップする。
【0131】
次に、制御部34は、ステップS33において、ステップS32で読み出したセキュリティ管理ファイルに含まれているすべてのポリシが取り出されたか否かを判別する(ステップS39)。
すべてのポリシが取り出されていない場合には(ステップS39;No)、ステップS33に戻り、制御部34は、セキュリティ管理ファイルに含まれているすべてのポリシの発効日を確認するまで、ステップS33〜S38の処理を繰り返す。
【0132】
そして、セキュリティ管理ファイルに含まれているすべてのポリシの発効日の確認が終了すると(ステップS39;Yes)、制御部34は、ステップS32において、セキュリティ管理DB331に格納されているすべてのセキュリティ管理ファイルが読み出された否かを判別する(ステップS40)。
すべてのセキュリティ管理ファイルが読み出されていない場合には(ステップS40;No)、ステップS32に戻り、制御部34は、セキュリティ管理DB331に格納されているすべてのセキュリティ管理ファイルにおけるポリシ発効日の確認が終了するまで、ステップS32〜S39の処理を繰り返す。
【0133】
そして、セキュリティ管理DB331に格納されているすべてのセキュリティ管理ファイルにおけるポリシ発効日の確認が終了すると(ステップS40;Yes)、このセキュリティ設定管理処理を終了する。
【0134】
このセキュリティ設定管理処理により、セキュリティファイルに設定されるポリシを、ポリシ発効日情報に基づき、時系列に変更することができる。具体的には、前述したセキュリティファイル変換処理において申請者により入力された複数のポリシの中から、1つのポリシが、ポリシ発効日情報に基づいて選択され、有効ポリシとしてセキュリティファイルに設定される。
【0135】
次に、本実施の形態に係るセキュリティ管理システムにおけるセキュリティファイル利用処理の手順を説明する。
図18及び図19は、セキュリティファイル利用処理を示す手順説明図である。
ここでは、前述したセキュリティファイル変換処理により、利用者用端末4がセキュリティファイルを既に取得し、利用者用端末4の記憶部44にセキュリティファイルが記憶されているものとする。
【0136】
利用者用端末4において、例えば、利用者用端末4の出力部43である例えばディスプレイに予め表示されている複数のセキュリティファイルのアイコンのうち、1つのアイコンを、利用者がクリックすること等により、入力部42にセキュリティファイルを指定する情報が入力されると、このセキュリティファイル利用処理が開始され、制御部46は、入力部42からの入力に基づき、セキュリティファイルの指定情報を取得する(図18のステップS51)。
【0137】
次に、制御部46は、取得した指定情報により特定されるセキュリティファイルを、記憶部44から読み出す(ステップS52)。そして、制御部46は、読み出したセキュリティファイルからファイルIDを取り出す(ステップS53)。
【0138】
次に、制御部46は、セキュリティファイルの利用者の利用者IDを取得する(ステップS54)。そして、制御部46は、ファイルIDと利用者IDとをセキュリティサーバ3に送信する(ステップS55)。
【0139】
セキュリティサーバ3において、制御部34は、利用者用端末4から受信したファイルIDを有するセキュリティ管理ファイルを、セキュリティ管理DB331から読み出す(ステップS56)。そして、制御部34は、読み出したセキュリティ管理ファイルから有効ポリシ番号を取り出す(ステップS57)。
【0140】
次に、制御部34は、取り出した有効ポリシ番号により特定されるポリシを、ステップS56で読み出したセキュリティ管理ファイルから取り出す(ステップS58)。さらに、制御部34は、取り出したポリシから、閲覧権限者情報を取り出す(ステップS59)。そして、制御部34は、取り出した閲覧権限者情報を、利用権限者IDテーブル332を参照して、閲覧権限者IDに変換する(ステップS60)。
【0141】
次に、制御部34は、変換して得た利用権限者IDに、利用者用端末4から受信した利用者IDが含まれているか否かを判別することにより、利用者に閲覧権限があるか否かを判別する(ステップS61)。
【0142】
ここで、利用者に閲覧権限がない場合には(ステップS61;No)、制御部34は、利用者用端末4に閲覧不許可情報を送信する(ステップS62)。この場合、利用者用端末4において、制御部46は、セキュリティサーバ3から受信した閲覧不許可情報に基づいて、閲覧が許可されていない旨の情報をディスプレイに表示して(ステップS63)、このセキュリティファイル利用処理を終了する。このように、現在の有効ポリシに閲覧権限者として設定されていない利用者は、セキュリティファイルを閲覧することができない。
【0143】
一方、利用者に閲覧権限が有る場合には(ステップS61;Yes)、制御部34は、ステップS56で読み出したセキュリティ管理ファイルから鍵を取り出す(図19のステップS64)。さらに、制御部34は、ステップS58で取り出したポリシから閲覧付加条件を取り出す(ステップS65)。そして、制御部34は、取り出した鍵と閲覧付加条件とを利用者用端末4に送信する(ステップS66)。
【0144】
利用者用端末4において、制御部46は、セキュリティサーバ3から鍵及び閲覧付加条件を受信すると、ステップS52で読み出したセキュリティファイルから暗号化ファイルを取り出す(ステップS67)。そして、制御部46は、取り出した暗号化ファイルを、セキュリティサーバ3から受信した鍵を用いて復号化し、閲覧可能なドキュメントファイルに戻す(ステップS68)。
【0145】
次に、制御部46は、復号化したドキュメントの内容を、受信した閲覧付加条件に従い、ディスプレイに表示する。(ステップS69)。具体的には、閲覧付加条件として、閲覧オプションの「警告メッセージ表示」が設定されている場合には、制御部46は、ドキュメント内容の表示に伴い、ディスプレイに警告メッセージを表示する。
【0146】
また、利用者により入力部42に印刷要求が入力された場合には、制御部46は、受信した閲覧付加条件の印刷設定に従い、ドキュメント内容の印刷を制御する。具体的には、制御部46は、閲覧付加条件において印刷許可設定がされている場合には、印刷を許可し、印刷不許可設定がなされている場合には、印刷を禁止する。さらに、閲覧付加条件において印刷オプションが設定されている場合には、制御部46は、入出力I/F45に接続されるプリンタのプリンタドライバ等を制御することにより、印刷に際して、印刷オプションに沿った印刷を行う。
このようにして、現在の有効ポリシに閲覧権限者として設定されている利用者のみが、セキュリティファイルの閲覧、印刷等の利用をすることができる。
【0147】
次に、制御部46は、例えばドキュメント内容の表示ウィンドウが閉じられたことを検出すること等により、利用者によるセキュリティファイルの閲覧が終了したか否かを判別し(ステップS70)、セキュリティファイルの閲覧終了を待つ(ステップS70;No)。
閲覧が終了したと判別された場合には(ステップS70;Yes)、制御部46は、セキュリティサーバ3から受信した鍵と、ステップS68で復号化して作成したドキュメントファイルと、を記憶部44、RAM463等の利用者用端末4内の記憶装置から削除し(ステップS71)、このセキュリティファイル利用処理を終了する。
【0148】
このセキュリティファイル利用処理により、時系列でポリシが変更するドキュメントファイルを、利用者がドキュメントファイルを利用する時点において適用されているポリシに基づく利用形態で、利用者に利用させることができる。
【0149】
なお、上述したそれぞれの処理は一例であり、これに限定されるものではない。例えば、図17のステップS39では、1つのセキュリティ管理ファイルに含まれているすべてのポリシが取り出されたか否かを判別したが、ステップS35において発効日が今日のポリシが見つかった場合には、そのセキュリティ管理ファイルに含まれている以降のポリシの発効日情報は確認せずに、ステップS39からステップS40に進んでもよい。これにより、セキュリティサーバ3の処理負担を軽減することができる。
【0150】
また、ステップS35においてポリシ発効日が今日のポリシが見つかり、ステップS38において有効ポリシ番号が書き替えられた場合には、書き替え前の有効ポリシ番号を持つポリシをセキュリティ管理ファイルから削除してもよい。これにより、使用済みの不要なポリシがメモリから削除され、メモリ容量を節約することができるとともに、以降のセキュリティ設定管理処理において発効日を確認するポリシが減るため、セキュリティサーバ3の処理負担をも軽減することができる。
【0151】
以上説明したように、本実施の形態によれば、適用されるポリシがドキュメントファイルの所持者が意図するような時系列で変更されるセキュリティファイルを作成して、利用者に配布することができる。また、各ポリシに記載されている発効日情報を定期的に確認し、発効日に達したポリシを有効ポリシとして設定するため、セキュリティファイルに適用されるポリシを時系列で変更することができる。そして、利用者がセキュリティファイルを利用するに際して、利用時点で有効ポリシとして設定されているポリシを、そのセキュリティファイルに適用することができる。
【0152】
次に、本発明の第2の実施の形態について説明する。
上記第1の実施の形態のおいては、ポリシに記載する閲覧権限者情報として個人の氏名、ID等の個人特定情報を用いた。しかし、本発明はこれに限定されるものでなく、ポリシの閲覧権限者欄にグループ特定情報を記載することもできる。
【0153】
図20は、本発明の第2の実施の形態に係るセキュリティ管理システムにおけるセキュリティサーバ3の構成例を示すブロック図である。
図示するように、第2の実施の形態におけるセキュリティサーバ3は、記憶部33にグループ変換テーブル333を備えており、この点で、図4に示した第1の実施の形態におけるセキュリティサーバ3と異なる。なお、同一の部分には同一の符号を付して説明を省略する。
【0154】
グループ変換テーブル333には、複数のグループ名と、各グループに所属する人物の氏名とが関連付けられて記憶されている。
具体的には、例えば、本実施の形態に係るセキュリティ管理システムを会社内で使用する場合、グループ変換テーブル333は、人事部、経理部等の会社内でのグループ毎にそのグループに属する者の氏名を記憶する。
【0155】
ポリシの閲覧権限者欄にグループ名が記載されている場合、利用者がセキュリティファイルを利用するに際しての利用者権限の有無の判別において、セキュリティサーバ3の制御部34は、グループ変換テーブル333を参照して、ポリシに記載されているグループ名を、そのグループに所属する人物名に変換する。
次に、制御部34は、変換した人物名を、利用者権限IDテーブル332を参照して、ID情報に変換する。そして、制御部34は、変換した利用者権限IDの中に、利用者用端末4から受信した利用者IDが含まれているか否かを判別することにより、利用者権限の有無を判別する。
【0156】
また、ポリシの閲覧権限者欄に個人特定情報とグループ特定情報とを一緒に記載しておくこともできる。この場合には、例えば、制御部34は、閲覧権限者情報の中に、グループ変換テーブル333に記憶されているグループ名が存在するか否かを判別することにより、閲覧権限者情報の中のグループ特定情報を検出する。グループ特定情報が検出された場合には、制御部34は、そのグループ特定情報をグループ変換テーブル333を参照して個人特定情報に変換して、閲覧権限者情報をすべて個人特定情報にする。そして、制御部34は、個人特定情報を利用者権限IDテーブル332を参照してID情報に変換して、利用者権限の有無を判別する。
【0157】
本実施の形態によれば、グループ単位で一括してポリシを設定することができる。これにより、例えば、社内の人事に関するドキュメントファイルを、最初の一定期間は人事部に所属する者のみが閲覧することができ、一定期間経過後に社内のすべての者が閲覧することができるような、時系列にポリシが変更されるセキュリティファイルを容易に提供することができる。
また、本実施の形態においては、例えば人事異動等によりグループに所属する人物が変更された場合であっても、グループ変換テーブル333を変更するだけで、グループで指定される利用権限者を適切に判別することができる。
【0158】
なお、さらに、「*」、「?」等を用いたワイルドカード指定により、閲覧権限者を一括指定してもよい。例えば、ポリシの閲覧権限者欄が「*人事*」とされている場合、グループ変換テーブル333を参照して、「人事」という文言を含むグループに所属する人物名を取得することにより、「人事」という文言を含むグループに所属する人すべてに閲覧権限を与えることができる。
【0159】
以上、本発明の実施の形態を説明したが、本発明を実施するにあたっては、種々の形態による変形及び応用が可能であり、上記実施の形態に限られるものではない。
例えば、本発明のセキュリティ管理システムは、申請者用端末1や利用者用端末4を複数備え、通信ネットワーク5に接続する構成にしてもよい。また、セキュリティサーバ3に申請サーバ2の機能を持たせることにより、1つのサーバで本発明のセキュリティ管理システムを構成してもよい。
【0160】
また、上記実施の形態では、利用者によるセキュリティファイルの閲覧時に、閲覧権限者情報をID情報に変換して、利用者認証を行っているが、例えば、セキュリティファイル変換サービスにおけるセキュリティ管理ファイル作成時に、閲覧権限者情報をID情報に変換しておき、セキュリティ管理DB331に格納しておいてもよい。
【0161】
また、上記実施の形態では、ドキュメントファイルの暗号化と複合化に共通の鍵を使用しているが、例えば公開鍵暗号方式における鍵のように暗号化と復号化で異なる鍵を使用するようにしてもよい。この場合、図11の鍵生成部581は暗号鍵と復号鍵とを生成し、ファイル暗号化部582はオリジナルファイルを暗号鍵で暗号化し、セキュリティ管理データ作成部585はセキュリティ管理ファイルに復号鍵を含めるようにすればよい。
【0162】
また、上記実施の形態では、セキュリティファイルに適用されるポリシを時系列に変更するために、閲覧権限者情報等を含むポリシが有効となる条件を示す有効条件情報の例示として、各ポリシに発効日情報を設定しているが、ポリシを時系列に変更するための情報であればよい。例えば、各ポリシに、セキュリティファイルに対する適用開始日及び適用終了日を特定する適用期間を設定しても、ポリシを時系列に変更することができる。なお、このように適用期間を設定した場合には、図17のステップS35は、今日が適用期間内であるか否かの判断を行なうステップとなる。
【0163】
また、上記実施の形態では、「ポリシ発効日」を確認するセキュリティ設定管理処理を1日に1回の間隔で行っているが、より長い間隔で「ポリシ発効日」の確認を行う場合にも適用させることができる。
その場合には、図13の発効日比較部75は、「ポリシ発効日」と現在の日付とを比較し、「ポリシ発効日」が今日以前である場合には一致情報を、「ポリシ発効日」が今日より後の場合には不一致情報を、出力する。さらに、図17のステップS33において、ポリシ発効日の古い順にポリシを取り出し、ステップS35において、ポリシの発効日が今日以前であるか否かを判別する。この処理動作により、セキュリティ設定管理処理の終了時には、「有効ポリシ番号」は、今日以前のポリシ発効日を持つポリシの中で最も新しいポリシ発効日を持つポリシのポリシ番号になり、1日に1回より長い間隔で「ポリシ発効日」を確認する場合であっても、1つのセキュリティファイルに適用されるポリシを時系列で変更させることができる。
【0164】
また、上記実施の形態では、セキュリティファイルに適用されるポリシを日単位で変更しているが、例えば、時間単位で変更するようにしてもよい。この場合、前述したセキュリティ設定管理動作のバッチ処理を、1時間に1回や、1分に1回等の間隔で行うことにより、より細かな時系列単位でセキュリティファイルのポリシを変更することができる。具体的には、ポリシには「ポリシ発効日」の代わりに「ポリシ発効日時」を設定しておき、図13の日付取得部74において日時を取得し、発効日比較部75においてポリシ発効日時に達したか否かを判別させることにより、実現することができる。
このような日付や時間等の情報によりポリシが有効となる期間を示す有効期間情報は、有効条件情報の例示である。
また、上記実施の形態では、申請者や利用者の識別にID情報のみを用いて説明したが、例えば暗証番号等を併せて用いることにより、セキュリティをさらに高めることができる。
【0165】
また、上記実施の形態において、ポリシに記載される「閲覧権限者」は利用権限所有者の例示であり、閲覧権限者を特定するための氏名、識別番号等の閲覧権限者情報は、利用権限所有者情報の例示である。また、利用者ID取得部84が取得する利用者IDは、利用者情報の例示である。また、セキュリティ管理ファイルに記載される有効ポリシ番号は有効ポリシ識別情報の例示である。また、ポリシに記載される閲覧付加条件としての印刷許可・不許可の設定情報は、印刷制御情報の例示である。
また、グループ変換テーブル333に記憶されるグループ名は、グループ情報の例示であり、各グループに所属する人物の氏名は、所属人物情報の例示である。
また、ポリシに記載される「閲覧権限者」と「閲覧付加条件」は、利用条件情報の例示であり、閲覧要求情報送信部85が送信するファイルIDと利用者IDは、利用要求情報の例示である。
【0166】
なお、本発明のセキュリティ管理システムを構成する申請者用端末1、申請サーバ2、セキュリティサーバ3、及び利用者用端末4は、専用のハードウェアに限られるものではなく、それぞれ、通常のコンピュータによっても実現することができる。
例えば、上記実施の形態では、セキュリティ管理システムを構成する各端末及び各サーバのプログラムが、メモリ等に予め記憶されているものとして説明したが、上述した処理動作を実行させるためのプログラムを、フレキシブルディスク、CD−ROM(Compact Disk Read-Only Memory)、DVD(Digital Versatile Disk)、MO(Magneto-Optical disk)等のコンピュータ読み取り可能な記録媒体に格納して配布し、そのプログラムをコンピュータにインストールすることにより、上述の処理を実行する各端末及び各サーバを構成してもよい。
【0167】
また、プログラムをインターネット等の通信ネットワーク上の所定のサーバ装置が有するディスク装置等に格納しておき、例えば、搬送波に重畳させて、コンピュータにダウンロード等するようにしてもよい。さらに、通信ネットワークを介してプログラムを転送しながら起動実行することによっても、上述の処理を達成することができる。
また、上述の機能を、OS(Operating System)が分担又はOSとアプリケーションの協働により実現する場合等には、OS以外の部分のみを媒体に格納して配布してもよく、また、コンピュータにダウンロード等してもよい。
【図面の簡単な説明】
【0168】
【図1】本発明の第1の実施の形態に係るドキュメントファイルのセキュリティ管理システムの構成例を示すブロック図である。
【図2】図1の申請者用端末の構成例を示すブロック図である。
【図3】図1の申請サーバの構成例を示すブロック図である。
【図4】図1のセキュリティサーバの構成例を示すブロック図である。
【図5】図1の利用者用端末の構成例を示すブロック図である。
【図6】本発明の第1の実施の形態に係るセキュリティ管理システムにおけるセキュリティファイル変換サービスの提供動作に関する機能構成例を示すブロック図である。
【図7】セキュリティファイル変換サービスの初期画面の例を示す図である。
【図8】申請文書作成入力画面の例を示す図である。
【図9】ポリシ作成入力画面の例を示す図である。
【図10】申請文書ファイルのデータ構成例を示す図である。
【図11】図6のセキュリティファイル変換部の具体的構成例を示すブロック図である。
【図12】セキュリティ管理ファイルのデータ構成例を示す図である。
【図13】本発明の第1の実施の形態に係るセキュリティ管理システムのセキュリティサーバにおけるセキュリティ設定管理動作に関する機能構成例を示すブロック図である。
【図14】本発明の第1の実施の形態に係るセキュリティ管理システムにおけるセキュリティファイルの利用動作に関する機能構成例を示すブロック図である。
【図15】セキュリティファイル変換処理を示す手順説明図である。
【図16】セキュリティファイル変換処理を示す手順説明図である。
【図17】セキュリティ設定管理処理を示すフローチャートである。
【図18】セキュリティファイル利用処理を示す手順説明図である。
【図19】セキュリティファイル利用処理を示す手順説明図である。
【図20】本発明の第2の実施の形態に係るセキュリティ管理システムにおけるセキュリティサーバの構成例を示すブロック図である。
【符号の説明】
【0169】
1 申請者用端末
2 申請サーバ
3 セキュリティサーバ
4 利用者用端末
5 通信ネットワーク
6,7 入出力機器
11,21,31,41 通信部
12,42 入力部
13,43 出力部
14,22,33,44 記憶部
15,45 入出力I/F部
16,23,34,46 制御部
17,24,35,47 バス
32 計時部
51 申請情報入力部
52 申請文書作成部
53 申請文書送信部
54 申請文書受信部
55 申請文書格納部
56 申請文書ファイル送信部
57 申請文書ファイル受信部
58 セキュリティファイル変換部
59 セキュリティファイル送信部
60 セキュリティ管理データ格納部
61 セキュリティファイル転送部
62 申請セキュリティファイル取得部
63 利用セキュリティファイル取得部
71 セキュリティ管理ファイル読出部
72 ポリシ取出部
73 発効日取出部
74 日付取得部
75 発効日比較部
76 有効ポリシ番号書替部
77 情報取出制御部
81 閲覧ファイル指定部
82 セキュリティファイル読出部
83 ファイルID取出部
84 利用者ID取得部
85 閲覧要求情報送信部
86 閲覧要求情報受信部
87 閲覧要求管理ファイル読出部
88 有効ポリシ番号取出部
89 有効ポリシ取出部
90 閲覧権限者情報取出部
91 閲覧権限者ID変換部
92 閲覧権限判別部
93 閲覧情報取得部
94 閲覧情報送信部
95 閲覧情報受信部
96 暗号化ファイル取出部
97 ファイル復号化部
98 ドキュメント表示部
99 印刷制御部
100 閲覧終了検出部
101 閲覧終了処理部
161,231,341,461 CPU
162,232,342,462 ROM
163,233,343,463 RAM
221 申請文書DB
331 セキュリティ管理DB
332 利用権限者IDテーブル
333 グループ変換テーブル
581 鍵生成部
582 ファイル暗号化部
583 ファイルID生成部
584 セキュリティファイル作成部
585 セキュリティ管理データ作成部
【技術分野】
【0001】
本発明は、電子ファイルの漏洩を防止するセキュリティ管理システムに関し、特に、配布される電子ファイルに閲覧権限等の条件を加えるセキュリティ管理システム等に関する。
【背景技術】
【0002】
近年、文書や画像等の情報(以下、ドキュメントという)を取り扱うオフィス等において、紙のドキュメントを作成して保存しておく代わりに、ドキュメントファイルとして情報記録媒体へ電子的に記録しておく手法が広く行われている。
【0003】
このドキュメントの電子化により、紙資源を用いることなくドキュメントを保存しておくことが可能となり、省資源化を実現することができる。
また、オフィス等に紙のドキュメントを格納するスペースを確保する必要がなくなり、省スペース化をも実現することができる。
【0004】
さらに、ドキュメントを電子化した場合、インターネットやイントラネット等の通信ネットワーク技術を利用することにより、同一のドキュメントを同時に多数人に配布したり、遠隔地にいる者に短時間でドキュメントを配布したりすることができ、業務の効率化を図ることができる。
【0005】
しかし、電子化したドキュメントを通信ネットワークを介して配布する場合、ドキュメントが漏洩し易くなるという問題が生ずる。そのため、機密性を要するドキュメントを取り扱うオフィス等においては、ドキュメントの漏洩を防止するための対策を講じる必要がある。
【0006】
ドキュメントの漏洩を防止することを目的とした技術としては、ドキュメントファイルを開く際にユーザ認証を求めて、正当なユーザだけがドキュメントの内容を参照できるようにする手法や、開いたドキュメントファイルを印刷しようとする際にユーザに印刷する権限があるか否かをチェックして権限があるユーザにのみ印刷させるものがある(例えば、特許文献1参照)。
【0007】
また、ドキュメントファイルを印刷した後の印刷物に対してもセキュリティを施し、ドキュメントの漏洩を防止するようにした発明もある(例えば、特許文献2,3参照)。
【特許文献1】特開2001−142874号公報
【特許文献2】特開2004−152261号公報
【特許文献3】特開2004−152262号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
上記各特許文献に開示されている発明においては、ドキュメントファイルに対して、閲覧、印刷等の処理条件等のセキュリティ方針を定めたセキュリティポリシ(security policy)(以下、ポリシという)を一旦設定した後は、その設定を簡単に変更することはできず、変更には手間がかかっていた。
【0009】
具体的には、ドキュメントファイルの作成者が、そのファイルに対して、特定の者にのみ閲覧を許可する旨のポリシを設定して配布した場合、その後にそのファイルを誰にでも閲覧可能にするためには、誰にでも閲覧可能にする旨のポリシに設定し直した同一のドキュメントファイルを再配布する等の作業が必要であり、手間がかかっていた。
【0010】
また、逆に、誰にでも閲覧可能であったドキュメントファイルを、一定期間経過後に特定の者しか閲覧できないようにする場合、一旦配布したドキュメントファイルは電子ファイルであり回収できないため、ファイル作成者単独では対処することはできない。ファイルのポリシがシステム上のセキュリティサーバ等で管理されている場合には、ファイル作成者は、システム管理者等に申請して、セキュリティサーバ上で該当するドキュメントファイルを無効扱いとしてもらい、その後新たなポリシに設定し直したドキュメントファイルを再配布する等の作業が必要となり、さらなる手間と時間がかかっていた。
【0011】
本発明は、上記実情に鑑みてなされたものであり、時系列でセキュリティポリシが変更されるドキュメントファイルを提供することができるドキュメントファイルのセキュリティ管理システム等を提供することを目的とする。
【課題を解決するための手段】
【0012】
上記目的を達成するため、この発明の第1の観点に係るドキュメントファイルのセキュリティ管理システムは、
ドキュメントファイルの利用者により使用される端末装置と、該ドキュメントファイルの利用権限所有者情報を記憶するサーバ装置と、が通信ネットワークを介して接続されるドキュメントファイルのセキュリティ管理システムであって、
前記端末装置は、
暗号化済みのドキュメントファイルである暗号化ファイルを記憶する暗号化ファイル記憶手段と、
前記利用者の識別情報である利用者情報を前記サーバ装置に送信する利用者情報送信手段と、を備え、
前記サーバ装置は、
前記暗号化ファイル記憶手段に記憶されている暗号化ファイルを復号化する鍵を記憶すると共に、該暗号化ファイルを復号化して利用することができる利用権限所有者を示す利用権限所有者情報と、該利用権限所有者情報が有効となる条件を示す有効条件情報と、を含むセキュリティポリシを複数記憶するセキュリティ情報記憶手段と、
前記セキュリティ情報記憶手段に記憶されているセキュリティポリシの有効条件情報に基づき、複数のセキュリティポリシの中から、現在有効となっているセキュリティポリシを選択する有効ポリシ選択手段と、
前記有効ポリシ選択手段により選択されたセキュリティポリシの識別情報である有効ポリシ識別情報を記憶する有効ポリシ識別情報記憶手段と、
前記利用者情報送信手段から利用者情報を受信したときに、前記有効ポリシ識別情報記憶手段に記憶されている有効ポリシ識別情報により特定されるセキュリティポリシの利用権限所有者情報に基づき、受信した利用者情報により特定される利用者が利用権限所有者であるか否かを判別する利用権限判別手段と、
前記利用権限判別手段により利用権限所有者であると判別されたときに、前記セキュリティ情報記憶手段に記憶されている鍵を前記端末装置に送信する鍵送信手段と、を備え、
前記端末装置は、さらに、
前記鍵送信手段から鍵を受信し、該鍵を用いて前記暗号化ファイル記憶手段に記憶されている暗号化ファイルを復号化し、ドキュメントファイルを作成するファイル復号化手段と、
利用者の操作に応じて、前記ファイル復号化手段により作成されたドキュメントファイルの利用が終了したか否かを判別する利用終了判別手段と、
前記ファイル復号化手段が復号化に用いた鍵と、前記利用終了判別手段により利用が終了したと判別されたドキュメントファイルと、を削除する削除手段と、
を備える。
【0013】
前記端末装置は、さらに、前記ファイル復号化手段により作成されたドキュメントファイルを表示する表示手段を備え、
前記端末装置の前記利用終了判別手段は、利用者の操作に応じて前記表示手段による前記復号化ファイルの表示が終了したときに、該ドキュメントファイルの利用が終了したと判別する、
ようにしてもよい。
【0014】
前記サーバ装置の前記セキュリティ情報記憶手段に記憶されているセキュリティポリシは、ドキュメントファイルの印刷を許可するか否かを示す印刷制御情報を含み、
前記サーバ装置の前記鍵送信手段は、前記利用権限判別手段により利用権限所有者であると判別されたときに、前記セキュリティ情報記憶手段に記憶されている鍵と、前記有効ポリシ識別情報記憶手段に記憶されている有効ポリシ識別情報により特定されるセキュリティポリシの印刷制御情報と、を前記端末装置に送信し、
前記端末装置は、さらに、前記鍵送信手段から受信した印刷制御情報に基づき、前記ファイル復号化手段により作成されたドキュメントファイルの印刷装置における印刷を制御する印刷制御手段を備える、
ようにしてもよい。
【0015】
また、この発明の第2の観点に係るドキュメントファイルのセキュリティ管理装置は、
暗号化済みのドキュメントファイルである暗号化ファイルを復号化する鍵を記憶すると共に、該暗号化ファイルを復号化して利用することができる利用権限所有者を示す利用権限所有者情報と、該利用権限所有者情報が有効となる条件を示す有効条件情報と、を含むセキュリティポリシを複数記憶するセキュリティ情報記憶手段と、
前記セキュリティ情報記憶手段に記憶されているセキュリティポリシの有効条件情報に基づき、複数のセキュリティポリシの中から、現在有効となっているセキュリティポリシを選択する有効ポリシ選択手段と、
前記有効ポリシ選択手段により選択されたセキュリティポリシの識別情報である有効ポリシ識別情報を記憶する有効ポリシ識別情報記憶手段と、
通信ネットワークを介して接続され前記暗号化ファイルを記憶する端末装置から、利用者の識別情報である利用者情報を受信したときに、前記有効ポリシ識別情報記憶手段に記憶されている有効ポリシ識別情報により特定されるセキュリティポリシの利用権限所有者情報に基づき、受信した利用者情報により特定される利用者が利用権限所有者であるか否かを判別する利用権限判別手段と、
前記利用権限判別手段により利用権限所有者であると判別されたときに、前記セキュリティ情報記憶手段に記憶されている鍵を前記端末装置に送信する鍵送信手段と、
を備える。
【0016】
前記有効条件情報は、利用権限所有者情報を発効する日を示す発効日情報を含み、
前記有効ポリシ選択手段は、
現在の日付を取得する日付取得手段と、
前記セキュリティ情報記憶手段から、複数のセキュリティポリシのそれぞれの発効日情報を読み出す発効日情報読出手段と、
前記発効日情報読出手段により読み出された発効日と、前記日付取得手段により取得された現在の日付と、が一致するか否かを判別する発効日判別手段と、
前記発効日判別手段により現在の日付と一致すると判別された発効日情報を含むセキュリティポリシを選択する発効ポリシ選択手段と、を有する、
ようにしてもよい。
【0017】
前記セキュリティ情報記憶手段に記憶されているすべてのセキュリティポリシの発効日情報について、少なくとも1日に1回、前記発効日判別手段による判別を行わせる定期実行手段と、
前記定期実行手段による制御により、前記発効ポリシ選択手段がセキュリティポリシを選択したときに、前記有効ポリシ識別情報記憶手段に記憶されている有効ポリシ識別情報を、該選択されたセキュリティポリシの識別情報に書き替える書替手段と、を備える、
ようにしてもよい。
【0018】
前記セキュリティ情報記憶手段に記憶されているセキュリティポリシの利用権限所有者情報は、グループを特定するグループ情報を含み、
前記利用権限判別手段は、
複数のグループ情報と、グループ情報毎に該グループに所属する人物を特定する所属人物情報と、記憶するグループ記憶手段と、
前記有効ポリシ識別情報記憶手段に記憶されている有効ポリシ識別情報により特定されるセキュリティポリシの利用権限所有者情報がグループ情報であるか否かを判別するグループ判別手段と、
前記グループ判別手段によりグループ情報であると判別されたときに、該グループの所属人物情報を前記グループ記憶手段から読み出す所属人物情報読出手段と、を有し、
前記所属人物情報読出手段が読み出した所属人物情報により特定される人物の中に、受信した利用者情報により特定される利用者が含まれているか否かを判別することにより、利用者が利用権限所有者であるか否かを判別する、
ようにしてもよい。
【0019】
また、この発明の第3の観点に係るドキュメントファイルのセキュリティ管理装置は、
ドキュメントファイルの利用条件を示す利用条件情報と、該利用条件情報を有効にする期間を示す有効期間情報と、を含むセキュリティポリシを複数記憶するセキュリティ情報記憶手段と、
現在の時間情報を取得する時間情報取得手段と、
前記セキュリティ情報記憶手段に記憶されているセキュリティポリシ毎に、該セキュリティポリシの有効期間情報が示す期間に、前記時間情報取得手段により取得された現在の時間情報が含まれているか否かを判別する有効期間判別手段と、
前記有効期間判別手段により現在の時間情報が含まれていると判別された有効期間情報を含むセキュリティポリシを、前記セキュリティ情報記憶手段に記憶されている複数のセキュリティポリシの中から選択する有効ポリシ選択手段と、
前記有効ポリシ選択手段により選択されたセキュリティポリシの識別情報を記憶する有効ポリシ識別情報記憶手段と、
通信ネットワークを介して接続される端末装置からドキュメントファイルの利用要求情報を受信したときに、前記有効ポリシ識別情報記憶手段に記憶されている識別情報により特定されるセキュリティポリシの利用条件情報を、前記ドキュメントファイルに適用する利用条件適用手段と、
を備える。
【0020】
また、この発明の第4の観点に係るドキュメントファイルのセキュリティ管理方法は、
暗号化済みのドキュメントファイルである暗号化ファイルを復号化する鍵を記憶すると共に、該暗号化ファイルを復号化して利用することができる利用権限所有者を示す利用権限所有者情報と、該利用権限所有者情報が有効となる条件を示す有効条件情報と、を含むセキュリティポリシを複数記憶する記憶部から、該複数のセキュリティポリシのそれぞれの有効条件情報を読み出す有効条件情報読出ステップと、
前記有効条件情報読出ステップで読み出した有効条件情報に基づき、前記記憶部に記憶されている複数のセキュリティポリシの中から、現在有効となっているセキュリティポリシを選択する有効ポリシ選択ステップと、
前記有効ポリシ選択ステップで選択されたセキュリティポリシの識別情報である有効ポリシ識別情報を前記記憶部に記録する有効ポリシ識別情報記録ステップと、
通信ネットワークを介して接続され前記暗号化ファイルを記憶する端末装置から、利用者の識別情報である利用者情報を受信したときに、前記有効ポリシ識別情報記録ステップで記録した有効ポリシ識別情報により特定されるセキュリティポリシの利用権限所有者情報に基づき、受信した利用者情報により特定される利用者が利用権限所有者であるか否かを判別する利用権限判別ステップと、
前記利用権限判別ステップで利用権限所有者であると判別されたときに、前記記憶部に記憶されている鍵を前記端末装置に送信する鍵送信ステップと、
を有する。
【0021】
また、この発明の第5の観点に係るプログラムは、
コンピュータを、
暗号化済みのドキュメントファイルである暗号化ファイルを復号化する鍵を記憶すると共に、該暗号化ファイルを復号化して利用することができる利用権限所有者を示す利用権限所有者情報と、該利用権限所有者情報が有効となる条件を示す有効条件情報と、を含むセキュリティポリシを複数記憶するセキュリティ情報記憶手段、
前記セキュリティ情報記憶手段に記憶されているセキュリティポリシの有効条件情報に基づき、複数のセキュリティポリシの中から、現在有効となっているセキュリティポリシを選択する有効ポリシ選択手段、
前記有効ポリシ選択手段により選択されたセキュリティポリシの識別情報である有効ポリシ識別情報を記憶する有効ポリシ識別情報記憶手段、
通信ネットワークを介して接続され前記暗号化ファイルを記憶する端末装置から、利用者の識別情報である利用者情報を受信したときに、前記有効ポリシ識別情報記憶手段に記憶されている有効ポリシ識別情報により特定されるセキュリティポリシの利用権限所有者情報に基づき、受信した利用者情報により特定される利用者が利用権限所有者であるか否かを判別する利用権限判別手段、
前記利用権限判別手段により利用権限所有者であると判別されたときに、前記セキュリティ情報記憶手段に記憶されている鍵を前記端末装置に送信する鍵送信手段、
として機能させる。
【発明の効果】
【0022】
本発明によれば、時系列でセキュリティポリシが変更されるドキュメントファイルを提供することができる。
【発明を実施するための最良の形態】
【0023】
以下、本発明の実施の形態を図面を参照して説明する。
図1は、本発明の第1の実施の形態に係るドキュメントファイルのセキュリティ管理システムの構成例を示すブロック図である。
本実施の形態に係るドキュメントファイルのセキュリティ管理システムは、図示するように、申請者用端末1と、申請サーバ2と、セキュリティサーバ3と、利用者用端末4と、を備えており、それぞれが通信ネットワーク5を介して互いに接続されている。
【0024】
申請者用端末1は、ドキュメントファイルをセキュリティ保護されたファイルに変換するセキュリティファイル変換サービスを受ける者が、そのセキュリティファイル変換サービスの申請に使用する端末である。ここで、セキュリティファイル変換サービスとは、具体的には、PDF(登録商標)ファイル等の電子化されたドキュメントファイルを暗号化等することによりセキュリティが施されたファイル(以下、セキュリティファイルという)に変換するサービスである。
【0025】
申請者用端末1は、申請者の操作に応じて申請に必要な情報が記載された申請文書を作成する。また、申請者用端末1は、申請サーバ2にアクセスして、変換前のドキュメントファイル(以下、オリジナルファイルという)や作成した申請文書等を申請サーバ2に送信し、申請サーバ2から、変換後のセキュリティファイル等を受信する。
【0026】
申請サーバ2は、セキュリティファイル変換サービスを提供するサーバである。申請サーバ2は、申請者用端末1からの申請の受付から、セキュリティファイル変換処理を行うセキュリティサーバ3との通信、変換後のセキュリティファイルの申請者用端末1及び利用者用端末4への送信までを行う。
【0027】
セキュリティサーバ3は、申請サーバ2からの要求に基づいてオリジナルファイルからセキュリティファイルを作成し、また、作成したセキュリティファイルに対するセキュリティ設定を定期的に管理し、さらに、利用者からのセキュリティファイルの利用要求に応じて、そのセキュリティファイルへのセキュリティ設定(つまり、セキュリティポリシ)に基づくセキュリティを適用するサーバである。
【0028】
セキュリティサーバ3で作成されたセキュリティファイルは、申請サーバ2を経由して、申請者用端末1及び利用者用端末4に送信される。
また、セキュリティサーバ3は、セキュリティ設定を管理するために、作成したセキュリティファイルごとに、利用権限者(利用権限所有者)や閲覧・印刷の処理条件等(利用条件情報)のセキュリティ方針(すなわち、セキュリティ設定)を定めたセキュリティポリシ(以下、ポリシという)を記憶する。
【0029】
利用者用端末4は、申請サーバ2から送信されたセキュリティファイルを閲覧等する利用者が使用する端末である。利用者用端末4は、例えば利用者がセキュリティファイルを閲覧するに際して、セキュリティサーバ3にアクセスし、利用要求を行う。
【0030】
この利用要求を受けたセキュリティサーバ3は、セキュリティファイルに対して、記憶しているポリシの適用を行う。具体的には、セキュリティサーバ3は、ポリシに基づいて、利用者のセキュリティファイルに対する閲覧権限の有無や、セキュリティファイルの閲覧時・印刷時の処理条件等を判断する。例えば、ポリシにおいて閲覧権限有りとされている利用者からの利用要求であれば、セキュリティサーバ3は、利用者用端末4にセキュリティファイルの利用に必要な情報を送信する。これにより、閲覧権限のある利用者は利用者用端末4においてセキュリティファイルを閲覧することができる。
通信ネットワーク5は、上記端末やサーバ等が収容される情報ネットワークである。
【0031】
次に、申請者用端末1、申請サーバ2、セキュリティサーバ3、及び利用者用端末4のそれぞれの構成を説明する。
図2は、申請者用端末1の構成例を示すブロック図である。
申請者用端末1は、図示するように、通信部11と、入力部12と、出力部13と、記憶部14と、入出力I/F部15と、制御部16と、を備え、各部はバス17を介して互いに接続されている。
【0032】
通信部11は、通信ネットワーク5を介して、申請サーバ2と通信を行うものであり、通信インタフェース等を備える。
入力部12は、端末に様々な情報を入力するために使用するものであり、キーボード、マウス等の入力装置を備える。例えば、入力部12には、セキュリティファイルへの変換の申請に必要な情報等が入力される。
【0033】
出力部13は、様々な情報を出力するものであり、ディスプレイ等の表示装置を備える。例えば、出力部13には、セキュリティファイルへの変換の申請文書の作成に際して、申請に必要な情報の入力画面等が表示される。
記憶部14は、様々な情報やプログラム等を記憶するものであり、ハードディスク等の補助記憶装置を備える。例えば、記憶部14には、セキュリティファイルへの変換対象となるオリジナルファイルが記憶されている。
【0034】
入出力I/F部15は、入出力機器6を接続するためのインタフェースであり、CD−ROMドライブ等の入力機器やプリンタ等の出力機器との間で情報のやりとりを行うために使用される。例えば、申請者用端末1は、記憶部14に記憶されるオリジナルファイルを、入出力I/F部15を介して、CD−ROMドライブ等の入出力機器から取り込むことができる。
なお、オリジナルファイルは、申請者が申請者用端末1を用いて作成してもよく、また、通信ネットワーク5に接続されている他の情報処理装置等から通信部11を介して取り込んでもよい。
【0035】
制御部16は、データの演算処理を行うと共に、バス17を介して通信部11、入力部12、出力部13、記憶部14、入出力I/F部15を制御するものであり、CPU(Central Processing Unit)161、ROM(Read Only Memory)162、RAM(Random Access Memory)163等を備える。制御部16における演算処理及び制御処理は、具体的には、CPU161が、RAM163を作業領域として使用して各種データを一時的に記憶させながら、ROM162に記憶されている制御プログラムを実行することにより行われる。
【0036】
例えば、制御部16が、ROM162や記憶部14に記憶されている制御プログラムに従って上記各部を制御することにより、セキュリティファイルへの変換の申請文書を作成する処理等が行われる。
【0037】
図3は、申請サーバ2の構成例を示すブロック図である。
申請サーバ2は、図示するように、通信部21と、記憶部22と、制御部23と、を備え、各部はバス24を介して互いに接続されている。
通信部21は、通信ネットワーク5を介して申請者用端末1、セキュリティサーバ3、利用者用端末4と通信を行うものであり、通信インタフェース等を備える。
【0038】
記憶部22は、様々な情報やプログラム等を記憶するものであり、ハードディスク等の補助記憶装置を備える。また、記憶部22は、セキュリティファイル変換サービスの提供に際して申請者用端末1から送信される申請文書データを格納する申請文書DB(データベース)221を備えている。
【0039】
制御部23は、データの演算処理を行うと共に、バス24を介して通信部21及び記憶部22を制御するものであり、CPU231、ROM232、RAM233等を備える。
例えば、制御部23が、ROM232や記憶部22に記憶されている制御プログラムに従って上記各部を制御することにより、セキュリティファイル変換サービスを提供する処理等が行われる。
【0040】
図4は、セキュリティサーバ3の構成例を示すブロック図である。
セキュリティサーバ3は、図示するように、通信部31と、計時部32と、記憶部33と、制御部34と、を備え、各部はバス35を介して互いに接続されている。
通信部31は、通信ネットワーク5を介して申請サーバ2や利用者用端末4と通信を行うものであり、通信インタフェース等を備える。
計時部32は、日付や時刻を刻むものであり、時計回路等を備える。
【0041】
記憶部33は、様々な情報やプログラム等を記憶するものであり、ハードディスク等の補助記憶装置を備える。
また、記憶部33は、セキュリティファイルに対するセキュリティの設定や適用の管理を行うための情報であるセキュリティ管理データを格納するセキュリティ管理DB(データベース)331を備えている。
【0042】
さらに、記憶部33は、セキュリティファイルに対して利用権限が与えられる可能性のある者の氏名等とその者の識別情報である利用権限者IDとを関連付けて記憶する利用権限者IDテーブル332を備えている。例えば、本実施の形態に係るセキュリティ管理システムを所定の会社内で利用する場合には、利用権限者IDテーブル332には、本システムを利用する可能性がある全社員の氏名とIDとが関連付けて記憶される。
【0043】
制御部34は、データの演算処理を行うと共に、バス35を介して通信部31、計時部32、記憶部33を制御するものであり、CPU341、ROM342、RAM343等を備える。
例えば、制御部34が、ROM342や記憶部33に記憶されている制御プログラムに従って上記各部を制御することにより、申請サーバ2からの要求に基づいてセキュリティファイルを作成する処理、作成したセキュリティファイルに対するセキュリティ設定を定期的に管理する処理、利用者からのセキュリティファイルの利用要求に応じてそのファイルにセキュリティ設定に基づくセキュリティを適用する処理等が行われる。
【0044】
図5は、利用者用端末4の構成例を示すブロック図である。
利用者用端末4は、図示するように、通信部41と、入力部42と、出力部43と、記憶部44と、入出力I/F部45と、制御部46と、を備え、各部はバス47を介して互いに接続されている。
【0045】
通信部41は、通信ネットワーク5を介して、申請サーバ2やセキュリティサーバ3と通信を行うものであり、通信インタフェース等を備える。
入力部42は、端末に様々な情報を入力するために使用するものであり、キーボード、マウス等の入力装置を備える。例えば、入力部42には、セキュリティファイルの利用要求に必要な情報等が入力される。
【0046】
出力部43は、様々な情報を出力するものであり、ディスプレイ等の表示装置を備える。例えば、出力部43には、利用者によるセキュリティファイルの閲覧に際して、セキュリティファイルのドキュメント内容等が表示される。
記憶部44は、様々な情報やプログラム等を記憶するものであり、ハードディスク等の補助記憶装置を備える。例えば、記憶部44には、申請サーバから送信されるセキュリティファイルが記憶される。
【0047】
入出力I/F部45は、入出力機器7を接続するためのインタフェースであり、CD−ROMドライブ等の入力機器やプリンタ等の出力機器との間で情報のやりとりを行うために使用される。例えば、ポリシにおいてセキュリティファイルの印刷が許可されている場合には、利用者は、入出力I/F部45に接続されるプリンタ等の出力機器を用いてセキュリティファイルを印刷することができる。
【0048】
制御部46は、データの演算処理を行うと共に、バス47を介して通信部41、入力部42、出力部43、記憶部44、入出力I/F部45を制御するものであり、CPU461、ROM462、RAM463等を備える。
例えば、制御部46が、ROM462や記憶部44に記憶されている制御プログラムに従って上記各部を制御することにより、セキュリティファイルの利用処理等が行われる。
【0049】
次に、申請者が、オリジナルファイルをセキュリティファイルへ変換するための変換申請を行ってから、変換されたセキュリティファイルを取得するまでの、本実施の形態に係るセキュリティ管理システムにおけるセキュリティファイル変換サービスの動作を説明する。
【0050】
図6は、本実施の形態に係るセキュリティ管理システムにおけるセキュリティファイル変換サービスの提供動作に関する機能構成例を示すブロック図である。
なお、図示する申請者用端末1、申請サーバ2、セキュリティサーバ3、利用者用端末4における各構成要素は、それぞれの制御部16,23,34,46が、それぞれのバスを介して接続されている各部を制御することにより、実現することができる。
また、既に説明した構成と同じ機能を有する部分については、同じ符号を付している。
【0051】
申請者用端末1の申請情報入力部51は、オリジナルファイルをセキュリティファイルへ変換するための変換申請に必要な情報の入力を受け付け、入力された情報を取得する。具体的には、申請情報入力部51は、出力部13である例えばディスプレイに、申請に必要な情報の入力欄を備えた申請文書の作成入力画面等を表示し、この入力画面を介して申請者により入力部12に入力される情報を取得する。
【0052】
ここで、申請情報入力部51が取得する情報を、申請者用端末1のディスプレイに表示される画面を参照して、説明する。
セキュリティファイルへの変換申請を行う申請者により、例えば、予めディスプレイに表示されているセキュリティファイル変換サービスを示すアイコンがクリック等されると、申請情報入力部51は、ディスプレイにセキュリティファイル変換サービスの初期画面を表示する。
【0053】
図7は、セキュリティファイル変換サービスの初期画面の例を示す図である。
この図において、「セキュリティファイル変換」ボタンは、オリジナルファイルをセキュリティファイルへ変換するための変換申請を開始するためのボタンである。「変換済み文書一覧」ボタンは、変換されたセキュリティファイルの一覧を表示するためのボタンである。「マニュアル」ボタンは、セキュリティファイル変換サービスに関する操作マニュアルを表示するためのボタンである。
【0054】
この初期画面において、「セキュリティファイル変換」ボタンがクリックされると、次に、申請情報入力部51は、申請文書の作成入力画面をディスプレイに表示する。
【0055】
図8は、申請文書作成入力画面の例を示す図である。
申請情報入力部51は、この入力画面を介した申請者による入力により、申請者自らが申請文書を識別するための整理番号と、申請者名と、申請者の識別情報である申請者IDと、セキュリティファイルへの変換対象であるオリジナルファイルの特定情報と、セキュリティファイルに適用するポリシと、を取得する。
ここで、オリジナルファイルの特定は、例えば、申請者用端末1の記憶部14におけるオリジナルファイルの格納場所であるパス名及びファイル名を指定すること等により行う。
【0056】
また、申請者は、この入力画面を用いて、複数のポリシを作成することができる。
申請者により入力画面の「ポリシ作成」ボタンがクリックされると、申請情報入力部51は、まず、1つのポリシを作成するためのポリシ作成入力画面をディスプレイに表示する。
【0057】
図9は、ポリシ作成入力画面の例を示す図である。
ポリシは、ポリシ番号と、ポリシ発効日と、閲覧権限者と、閲覧付加条件と、の情報を有する。
申請情報入力部51は、ポリシ作成入力画面の表示に際し、複数のポリシを識別するための識別情報であるポリシ番号を採番し、表示する。例えば、図8の申請文書作成入力画面において初めて「ポリシ作成」ボタンがクリックされた場合には、申請情報入力部51は、1つ目のポリシの作成であると判別し、図9のポリシ作成入力画面に「セキュリティポリシ1」と表示する。
【0058】
申請者は、このポリシ作成入力画面を用いて、「ポリシ発効日」と、「閲覧権限者」と、「閲覧付加条件」と、を入力する。
「ポリシ発効日」とは、ここで作成されるポリシがセキュリティファイルに設定されて有効となる日である。このように、複数作成されるそれぞれのポリシに対し発効日情報を設定しておくことにより、セキュリティファイルにポリシ発効日を境に異なるポリシを適用させることができる。
【0059】
「閲覧権限者」とは、セキュリティファイルを閲覧することができる者である。申請者は、セキュリティファイルに対して閲覧許可を与えたい者の氏名等をこの欄に入力する。なお、ここで入力する情報は、閲覧権限者を特定できる情報であればよく、漢字、アルファベット等による個人特定情報の他、例えば個人を識別するための識別記号等でもよい。
【0060】
「閲覧付加条件」とは、閲覧権限者によるセキュリティファイルの閲覧に際して、付加的に適用する条件である。つまり、この「閲覧付加条件」は閲覧権限者にセキュリティファイルの取り扱いの範囲を設定する条件のことであり、後述に示すように取り扱いの注意を喚起する条件や、取り扱いの制限を示す条件などが挙げられる。図9のポリシ作成入力画面においては、申請者は、予め用意された条件の中からポリシとして設定したい条件を選択する。
【0061】
例えば、閲覧オプションの「警告メッセージ表示」が有効に設定されると、利用者が利用者用端末4を用いてセキュリティファイルを閲覧する際に、利用者用端末4に「取り扱いに注意してください。」等の警告メッセージが表示される。
また、印刷を「許可する」が有効に設定されると、利用者用端末4においてセキュリティファイルを印刷することができる。一方で、「許可する」が無効に設定されると、利用者用端末4においてセキュリティファイルの印刷が禁止され、印刷の実行がなされないようにすることができる。
【0062】
また、印刷を許可する設定にした場合には、さらに、印刷オプションを設定することができる。例えば、印刷オプションの「警告メッセージ表示」が有効にされると、利用者用端末4においてセキュリティファイルが印刷される際に、「取り扱いに注意してください。」等の警告メッセージが表示される。
【0063】
「機密印刷」が有効にされると、プリントアウトに際し、利用者にプリンタへのPIN(Personal Identification Number)の入力が要求される。
「地紋印刷」が有効にされると、複写機で複写された場合に例えば利用者名及び印刷日時が浮き上がる地紋画像が、セキュリティファイルに重ね合わせて印刷される。
【0064】
「スタンプ印刷」が有効にされると、例えば「極秘」のマークがスタンプとしてセキュリティファイルに重ねて印刷される。
「警告印字」が有効にされると、セキュリティファイルが印刷される際に、例えば利用者名及び印刷日時が印字される。
なお、「閲覧付加条件」には、これら以外の条件をポリシとして設定するようにすることもできる。
【0065】
申請者は、ポリシ作成入力画面において、必要な情報を入力した後、「OK」ボタンをクリックする。これにより、申請情報入力部51は、ポリシ作成入力画面を用いて作成されたポリシを取得する。そして、申請情報入力部51は、再び図8の申請文書作成入力画面を表示し、その画面における「作成済みセキュリティポリシ」の欄に、作成されたポリシのポリシ番号を表示する。例えば、「セキュリティポリシ1」が作成された場合には、「作成済みセキュリティポリシ」の欄に「ポリシ1」と表示する。
【0066】
申請者が更に異なるポリシを作成する場合には、この申請文書作成入力画面において、再び「ポリシ作成」ボタンをクリックする。これにより、申請情報入力部51は、ポリシ番号を2とする「セキュリティポリシ2」のポリシ作成入力画面を表示する。ポリシ作成入力画面を用いた「セキュリティポリシ2」の作成が終了すると、申請情報入力部51は、申請文書作成入力画面の「作成済みセキュリティポリシ」欄に「ポリシ2」の表示を追加する。つまり、「ポリシ2」には「ポリシ1」のポリシ発効日以降に有効となるポリシ発効日を設定することが可能となる。すなわち、異なる発効日が設定された複数のポリシはポリシ発効日が古い順に時系列に並べられることとなる。
【0067】
このようにして、異なるポリシ発効日が設定された複数のポリシが作成されることにより、同一のセキュリティファイルに対して異なるポリシを時系列で設定することができる。
具体的には、例えば、1つのセキュリティファイルに対して、3つの「ポリシ1〜3」を作成し、「ポリシ1」のポリシ発効日を2005年6月1日に、「ポリシ2」のポリシ発効日を2005年7月1日に、「ポリシ3」のポリシ発効日を2005年8月1日に、それぞれ設定した場合には、同一のセキュリティファイルに対して、2005年6月中においては「ポリシ1」を、2005年7月中においては「ポリシ2」を、2005年8月以降は「ポリシ3」を、適用することができる。
【0068】
申請者は、セキュリティファイルの作成に必要な申請情報の入力を終えると、図8の申請文書作成入力画面の「OK」ボタンをクリックする。これにより、申請情報入力部51は、申請文書の作成に必要な情報を取得する。
【0069】
図6に戻り、申請文書作成部52は、申請情報入力部51に入力された情報に基づき申請文書を作成する。さらに、申請文書作成部52は、入力されたオリジナルファイルの特定情報により特定されるオリジナルファイルを申請文書に添付する。
申請文書送信部53は、申請文書作成部52により作成された、オリジナルファイルが添付された申請文書データを申請サーバ2に送信する。
【0070】
申請サーバ2の申請文書受信部54は、申請文書送信部53から、オリジナルファイルが添付された申請文書データを受信する。
申請文書格納部55は、申請文書受信部54が受信した申請文書データに、申請文書番号と申請端末特定情報とを追加して、申請文書ファイルとし、申請文書ファイルとオリジナルファイルとを関連付けて申請文書DB221に格納する。
【0071】
図10は、申請文書DB221に格納される申請文書ファイルのデータ構成例を示す図である。
図示するように、申請文書ファイルは、申請者用端末1の申請情報入力部51に入力された情報に加え、申請文書格納部55が取得する申請文書番号及び申請端末特定情報を有する。
【0072】
申請文書番号は、申請文書DB221に格納される複数の申請文書ファイルを識別するための情報である。申請文書格納部55は、申請文書受信部54から1つのドキュメントファイルに対応する1つの申請文書データを受け取るたびに、ユニークな申請文書番号を採番し、申請文書データに追加する。
また、申請端末特定情報は、申請元を特定するための情報である。申請文書格納部55は、例えば、IPアドレス等の申請者用端末1の通信ネットワーク5上のアドレスを申請端末特定情報として、申請文書送信部53と申請文書受信部54との間のデータ通信処理情報から取得する。
【0073】
図6に戻り、申請文書ファイル送信部56は、申請文書格納部55が申請文書DB221に格納した申請文書ファイルとオリジナルファイルとをセキュリティサーバ3に送信する。
セキュリティサーバ3の申請文書ファイル受信部57は、申請文書ファイル送信部56から、申請文書ファイルとオリジナルファイルとを受信する。
【0074】
セキュリティファイル変換部58は、申請文書ファイル受信部57が受信した申請文書ファイルとオリジナルファイルとに基づき、セキュリティファイルとセキュリティ管理データとを作成する。セキュリティファイル変換部58におけるセキュリティファイルの作成動作及びセキュリティ管理データの作成動作の詳細については後述する。
【0075】
セキュリティファイル送信部59は、セキュリティファイル変換部58が作成したセキュリティファイルに、申請文書ファイル内の申請文書番号を添付して、申請サーバ2に送信する。
セキュリティ管理データ格納部60は、セキュリティファイル変換部58が作成したセキュリティ管理データをセキュリティ管理DB331に格納する。
【0076】
ここで、セキュリティファイル変換部58におけるセキュリティファイルの作成動作及びセキュリティ管理データの作成動作について詳しく説明する。
図11は、セキュリティファイル変換部58の具体的構成例を示すブロック図である。
鍵生成部581は、暗号化アルゴリズムを用いてドキュメントファイルを暗号化及び復号化するための鍵をランダムに生成する。
ファイル暗号化部582は、申請文書ファイル受信部57が受信したオリジナルファイルを、鍵生成部581が生成した鍵を用いて暗号化し、暗号化ファイルを作成する。
【0077】
ファイルID生成部583は、ファイル暗号化部582が作成したファイルを識別するためのユニークなファイルIDを採番する。
セキュリティファイル作成部584は、ファイル暗号化部582が作成した暗号化ファイルに、ファイルID生成部583が生成したファイルIDを付加して、セキュリティファイルを作成する。セキュリティファイル作成部584は、作成したセキュリティファイルをセキュリティファイル送信部59に出力する。
【0078】
セキュリティ管理データ作成部585は、申請文書ファイル受信部57が受信した申請文書ファイルに基づき、セキュリティ管理DB331に格納するためのセキュリティ管理データを作成し、セキュリティ管理データ格納部60に出力する。セキュリティ管理データ格納部60は、セキュリティ管理データを、セキュリティファイル毎のセキュリティ管理ファイルとして、セキュリティ管理DB331に格納する。
【0079】
図12は、セキュリティ管理DB331に格納されるセキュリティ管理ファイルのデータ構成例を示す図である。
図示するように、セキュリティ管理ファイルは、ファイルID生成部583が生成したファイルIDと、鍵生成部581が生成した鍵と、後述する有効ポリシ番号と、申請文書ファイルに含まれている複数のポリシと、の情報を有する。
【0080】
ここで、有効ポリシ番号とは、セキュリティ管理ファイルに含まれている複数のポリシの中で、セキュリティファイルに対する設定が現在有効になっているポリシの番号である。
この有効ポリシ番号により、具体的には、例えば、利用者用端末4からセキュリティファイルの閲覧要求があった場合、そのセキュリティファイルのファイルIDを含むセキュリティ管理ファイルに含まれている複数のポリシのうち、有効ポリシ番号に設定されている番号のポリシが、セキュリティファイルに適用される。
なお、有効ポリシ番号の設定動作については、後述するセキュリティ設定管理動作において説明する。
【0081】
図6に戻り、申請サーバ2のセキュリティファイル転送部61は、セキュリティファイル送信部59から、申請文書番号が添付されたセキュリティファイルを受信する。そして、セキュリティファイル転送部61は、申請文書DB221を参照して、受信した申請文書番号の申請文書ファイルから申請端末特定情報を取り出し、申請端末特定情報により特定される申請者用端末1に、受信したセキュリティファイルを送信する。
【0082】
また、申請サーバ2は、セキュリティファイルを利用者用端末4に送信する。具体的には、例えば、申請サーバ2は、記憶部22に予め記憶されている利用者用端末4の通信ネットワーク5上のアドレス等の利用端末特定情報に基づいて、利用者用端末4にセキュリティファイルを送信する。
【0083】
申請者用端末1の申請セキュリティファイル取得部62は、セキュリティファイル転送部61からセキュリティファイルを受信し、受信したセキュリティファイルを、例えば、申請者用端末1の記憶部14に記憶させる。
また、利用者用端末4の利用セキュリティファイル取得部63は、セキュリティファイル転送部61からセキュリティファイルを受信し、受信したセキュリティファイルを、例えば、利用者用端末4の記憶部44に記憶させる。
【0084】
なお、利用者用端末4へのセキュリティファイルの送信は、申請サーバ2側で行わずに、セキュリティファイルを取得した申請者用端末1側で行うようにしてもよい。また、この場合、申請者が、取得したセキュリティファイルを、例えば電子メール等に添付して利用者に配布するようにしてもよい。さらに、申請サーバ2が申請者用端末1へセキュリティファイルを送信する代わりに、申請サーバ2側でセキュリティファイルを保存しておいても良い。この場合には、申請者は申請者用端末1を用いて利用者用端末4の利用者にセキュリティファイルが保存されている領域(例えば、パス名やURLなど)を連絡することでも対応が可能である。
【0085】
以上のようなセキュリティ管理システムの構成により、申請者は、セキュリティファイル変換サービスを受けて、適用されるポリシが時系列で変更されるセキュリティファイルを取得することができる。
【0086】
次に、上述したセキュリティファイル変換サービスによりセキュリティサーバ3のセキュリティ管理DB331に格納されたセキュリティ管理ファイルを用いて、セキュリティファイルに対するセキュリティ設定を定期的に管理する動作を説明する。
【0087】
図13は、本実施の形態に係るセキュリティ管理システムのセキュリティサーバ3におけるセキュリティ設定管理動作に関する機能構成例を示すブロック図である。
なお、図示する構成要素は、図4に示したセキュリティサーバ3の制御部34が、バス35を介して接続されている各部を制御することにより、実現することができる。また、既に説明した構成と同じ機能を有する部分については、同じ符号を付している。
【0088】
セキュリティ管理ファイル読出部71は、セキュリティ管理DB331に格納されている複数のセキュリティ管理ファイルの中から、1つのファイルIDで特定される1つのセキュリティ管理ファイルを読み出す。
ポリシ取出部72は、セキュリティ管理ファイル読出部71が読み出したセキュリティ管理ファイルに含まれている複数のポリシの中から、1つのポリシを取り出す。
【0089】
発効日取出部73は、ポリシ取出部72が取り出したポリシに含まれている情報の中から「ポリシ発効日」を取り出す。
日付取得部74は、現在の日付を取得する。日付取得部74には時計回路が内蔵されており、この時計回路を用いたカレンダー機能により現在の日付が取得される。日付取得部74は、図4に示した計時部32及び制御部34により実現される。
【0090】
発効日比較部75は、発効日取出部73が取り出した「ポリシ発効日」と、日付取得部74が取得した現在の日付と、を比較し、比較結果を出力する。具体的には、発効日比較部75は、比較の結果、「ポリシ発効日」が今日である場合には、一致情報を出力し、「ポリシ発効日」が今日でない場合には、不一致情報を出力する。
【0091】
有効ポリシ番号書替部76は、発効日比較部75から一致情報を受け取ると、セキュリティ管理ファイル読出部71が読み出したセキュリティ管理ファイルからファイルIDを取り出すと共に、ポリシ取出部72が取り出したポリシに含まれている情報の中から「ポリシ番号」を取り出す。そして、セキュリティ管理DB331にアクセスし、取り出したファイルIDで特定されるセキュリティ管理ファイル内の「有効ポリシ番号」を、取り出した「ポリシ番号」に書き替える。
【0092】
情報取出制御部77は、発効日比較部75において、セキュリティ管理DB331に記憶されているすべての「ポリシ発効日」と現在の日付との比較が行われるように、セキュリティ管理ファイル読出部71及びポリシ取出部72を制御する。
【0093】
具体的には、情報取出制御部77は、発効日比較部75により1つの「ポリシ発効日」に対する比較結果が出力されるたびに、ポリシ取出部72により1つのセキュリティ管理ファイルに含まれているすべてのポリシが取り出されたか否かを判別し、すべてのポリシが取り出されるまで、ポリシ取出部72を制御してポリシ取り出し動作を実行させる。ポリシ取出部72により取り出されたポリシは、順次、発効日取出部73により「ポリシ発効日」が取り出され、発効日比較部75により現在の日付と比較される。
【0094】
この制御により、1つのセキュリティ管理ファイルに含まれているすべてのポリシが取り出された場合には、情報取出制御部77は、次に、セキュリティ管理ファイル読出部71によりセキュリティ管理DB331に格納されているすべてのセキュリティ管理ファイルが読み出されたか否かを判別する。すべてのセキュリティ管理ファイルが読み出されていない場合には、情報取出制御部77は、セキュリティ管理ファイル読出部71を制御して、未だ読み出されていないセキュリティ管理ファイルを読み出させる。セキュリティ管理ファイル読出部71により読み出されたセキュリティ管理ファイルは、ポリシ取出部72に出力され、ポリシ取出部72において情報取出制御部77による上述した制御の下、ポリシ取り出し動作が行われる。
【0095】
このような情報取出制御部77の制御により、発効日比較部75において、セキュリティ管理DB331に記憶されているすべての「ポリシ発効日」と現在の日付との比較が行われる。
【0096】
以上のようなセキュリティサーバの構成を用いて、セキュリティファイルに対するセキュリティ設定の管理動作を、例えば1日に1回、定期的に行うことにより、1つのセキュリティファイルに関連付けられて記憶されている複数のポリシの発効日が毎日確認される。そして、この確認により、本日(今日)セキュリティファイルに適用されるポリシが有効ポリシとしてセキュリティファイルに設定されることにより、1つのセキュリティファイルに適用されるポリシを時系列で変更することができる。
【0097】
次に、利用者が利用者用端末4を用いてセキュリティファイルを利用する動作を説明する。
図14は、本実施の形態に係るセキュリティ管理システムにおけるセキュリティファイルの利用動作に関する機能構成例を示すブロック図である。
なお、図示するセキュリティサーバ3及び利用者用端末4における各構成要素は、それぞれの制御部34,46が、それぞれのバスを介して接続されている各部を制御することにより、実現することができる。
また、既に説明した構成と同じ機能を有する部分については、同じ符号を付している。
【0098】
ここでは、前述したセキュリティファイル変換サービスにより、セキュリティファイルが利用者用端末4の記憶部44に記憶されていることを前提に、利用者が、このセキュリティファイルの閲覧要求を利用者用端末4を用いて行う場合を例に説明する。
【0099】
利用者用端末4の閲覧ファイル指定部81は、利用者からセキュリティファイルの閲覧要求を受け付け、閲覧要求されたセキュリティファイルの指定情報をセキュリティファイル読出部82に出力する。具体的には、例えば、利用者用端末4の出力部43である例えばディスプレイに予め表示されている複数のセキュリティファイルのアイコンのうち、1つのアイコンがクリックされること等により、入力部42にセキュリティファイルを指定する入力がなされると、閲覧ファイル指定部81は、この入力を認識し、閲覧要求されたセキュリティファイルの指定情報をセキュリティファイル読出部82に出力する。この指定情報は、セキュリティファイルの所在を示す情報であり、例えば、パス名やファイル名、URL等が挙げられる。
【0100】
セキュリティファイル読出部82は、閲覧ファイル指定部81からのセキュリティファイルの指定情報により特定されるセキュリティファイルを、記憶部44から読み出す。
ファイルID取出部83は、セキュリティファイル読出部82が読み出したセキュリティファイルからファイルIDを取り出す。
【0101】
利用者ID取得部84は、セキュリティファイルの利用者の識別情報である利用者IDを取得する。具体的には、例えば、利用者ID取得部84は、ディスプレイに利用者ID入力画面を表示し、この入力画面を介して利用者により入力部42に入力される利用者IDを取得する。なお、利用者用端末4が特定の利用者の専用端末であって、利用者IDが利用者用端末4内に予め記憶されているような場合には、利用者ID取得部84は、利用者用端末4内に記憶されている利用者IDを読み出して取得してもよい。
【0102】
閲覧要求情報送信部85は、ファイルID取出部83が取り出したファイルIDと利用者ID取得部84が取得した利用者IDとをセキュリティサーバ3に送信する。
セキュリティサーバ3の閲覧要求情報受信部86は、閲覧要求情報送信部85からファイルIDと利用者IDとを受信する。
閲覧要求管理ファイル読出部87は、閲覧要求情報受信部86が受信したファイルIDを有するセキュリティ管理ファイルを、セキュリティ管理DB331から読み出す。
【0103】
有効ポリシ番号取出部88は、閲覧要求管理ファイル読出部87が読み出したセキュリティ管理ファイルから有効ポリシ番号を取り出す。
有効ポリシ取出部89は、閲覧要求管理ファイル読出部87が読み出したセキュリティ管理ファイルから、有効ポリシ番号取出部88が取り出した有効ポリシ番号により特定されるポリシを取り出す。
【0104】
なお、有効ポリシ番号取出部88が取り出す有効ポリシ番号は、上述したセキュリティ設定管理動作により、各ポリシに設定されている発効日情報が判断されて、発効日を迎えたポリシの番号が設定されるものである。そのため、セキュリティファイルに関連付けられているすべてのポリシの発効日前には、有効ポリシ番号は設定されていない。このような場合には、一律に、セキュリティファイルに閲覧権限者なしとするポリシを適用することにより、最初に発効日を迎えるポリシが設定されるまでの間のセキュリティファイルのセキュリティを保つことができる。
【0105】
閲覧権限者情報取出部90は、有効ポリシ取出部89が取り出した有効なポリシから、閲覧権限者情報を取り出す。具体的には、例えば、図12に示したセキュリティ管理ファイルの場合であれば、閲覧権限者情報取出部90は、閲覧権限者情報として閲覧権限者の氏名を取り出す。
【0106】
閲覧権限者ID変換部91は、閲覧権限者情報取出部90が取り出した閲覧権限者情報としての閲覧権限者の氏名を、利用権限者IDテーブル332を参照して、ID情報である閲覧権限者IDに変換する。
閲覧権限判別部92は、閲覧権限者ID変換部91により変換された閲覧権限者IDに、閲覧要求情報受信部86が受信した利用者IDが含まれているか否かを判別することにより、利用者に閲覧権限があるか否かを判別し、その結果情報を閲覧情報取得部93に出力する。
【0107】
閲覧情報取得部93は、閲覧権限判別部92から利用者に閲覧権限がある旨の情報が入力されると、閲覧要求管理ファイル読出部87が読み出したセキュリティ管理ファイルから、鍵を取り出し、さらに、有効ポリシ取出部89が取り出したポリシから、閲覧付加条件を取り出して、これらの情報を閲覧情報送信部94に出力する。
一方で、閲覧情報取得部93は、閲覧権限判別部92から利用者に閲覧権限がない旨の情報が入力されると、閲覧が許可されていないことを示す閲覧不許可情報を閲覧情報送信部94に出力する。
【0108】
閲覧情報送信部94は、閲覧情報取得部93が取得した情報を利用者用端末4に送信する。
利用者用端末4の閲覧情報受信部95は、閲覧情報送信部94から、鍵及び閲覧付加条件、又は、閲覧不許可情報を受信する。
暗号化ファイル取出部96は、セキュリティファイル読出部82が読み出したセキュリティファイルから暗号化ファイルを取り出す。
ファイル復号化部97は、暗号ファイル取出部96が取り出した暗号化ファイルを、閲覧情報受信部95が受信した鍵を用いて復号化し、閲覧可能なドキュメントファイルに戻す。
【0109】
ドキュメント表示部98は、ファイル復号化部97が復号化したドキュメントの内容を、閲覧情報受信部95が受信した閲覧付加条件に従い、ディスプレイに表示する。具体的には、閲覧付加条件として、閲覧オプションの「警告メッセージ表示」が設定されている場合には、ドキュメント表示部98は、ドキュメント内容の表示に伴い、ディスプレイに警告メッセージを表示する。
また、閲覧情報受信部95が閲覧不許可情報を受信した場合には、ドキュメント表示部98は、セキュリティファイルを閲覧できないことを利用者に報知するために、閲覧が許可されていない旨をディスプレイに表示する。
【0110】
印刷制御部99は、利用者からの印刷要求を受け付け、閲覧情報受信部95が受信した閲覧付加条件に従い、ドキュメント表示部98が表示したドキュメントの印刷を行う。具体的には、印刷制御部99は、閲覧付加条件として、印刷許可の設定がされている場合には、利用者からの印刷要求に応じて、表示されているドキュメントの印刷を行う。一方、印刷不許可の設定がされている場合には、利用者から印刷要求があっても、表示されているドキュメントの印刷を一切禁止する。
【0111】
また、印刷許可の設定と同時に印刷オプションが設定されている場合には、印刷制御部99は、ドキュメント内容を印刷するに際し、設定されている条件に従い、「警告メッセージ表示」、「機密印刷」、「地紋印刷」、「スタンプ印刷」、「警告印字」等の処理を行う。
【0112】
閲覧終了検出部100は、ドキュメント表示部98が表示したドキュメント内容の利用者による閲覧終了を検出する。具体的には、例えば、閲覧終了検出部100は、ディスプレイに表示されているドキュメント内容の表示ウィンドウが閉じられたことを検出することにより、閲覧終了を検出する。
閲覧終了処理部101は、閲覧終了検出部100が閲覧の終了を検出すると、ファイル復号化部97が復号化して作成したドキュメントファイルと、閲覧情報受信部95が受信した鍵と、を利用者用端末4から削除する。具体的には、閲覧終了処理部101は、閲覧が終了すると、利用者用端末4のRAM463や記憶部44等から、ドキュメントファイル及び鍵を削除する。
【0113】
以上のようなセキュリティ管理システムの構成により、利用者がセキュリティファイルを閲覧するたびに利用者用端末4はセキュリティサーバ3にアクセスし、閲覧権限等が記載されたポリシの確認を行う。そして、セキュリティサーバ3においては、前述したセキュリティ設定管理動作により、複数のポリシの中からその時点でセキュリティファイルに適用されるポリシの番号が選択されて、有効ポリシ番号として設定されている。そのため、以上の構成によれば、時系列でポリシが変更するセキュリティファイルを、利用者がドキュメントファイルを利用する時点において適用されているポリシに基づく利用形態で、利用者に利用させることができる。
【0114】
次に、本実施の形態に係るセキュリティ管理システムにおける処理手順を説明する。
なお、以下に説明する処理は、申請者用端末1、申請サーバ2、セキュリティサーバ3、利用者用端末4のそれぞれの制御部16,23,34,46が、それぞれの記憶部14,22,33,44やROM162,232,342,462に記憶されている制御プログラムに従って、それぞれのバスを介して接続されている各部を制御することにより、実現される。なお、制御部16,23,34,46による通信制御、入出力制御、メモリ制御等の通常のコンピュータによる処理と同一の処理については、理解を容易にするため、逐一言及することを避ける。
【0115】
まず、本実施の形態に係るセキュリティ管理システムにおけるセキュリティファイル変換処理の手順を説明する。
図15及び図16は、セキュリティファイル変換処理を示す手順説明図である。
申請者用端末1において、セキュリティファイルへの変換を要求する旨の情報が入力部12に入力されると、このセキュリティファイル変換処理が開始され、制御部16は、例えば図8に示した申請文書作成入力画面を出力部13である例えばディスプレイに表示する(図15のステップS11)。
【0116】
セキュリティファイルへの変換を要求する旨の情報の入力は、具体的には、例えば、ディスプレイに予め表示されているセキュリティファイル変換ボタンを申請者がクリックすること等により、行われる。
【0117】
制御部16は、申請文書作成入力画面を介して、整理番号、申請者名、申請者ID、オリジナルファイル特定情報等の入力部12への入力を受け付け、入力された情報を取得する(ステップS12)。
【0118】
次に、制御部16は、申請文書作成入力画面を介して、ポリシの入力を受け付け、入力されたポリシを取得する(ステップS13)。具体的には、例えば、図8の申請文書作成入力画面における「ポリシ作成」ボタンが申請者によりクリックされると、制御部16は、図9のポリシ作成入力画面をディスプレイに表示する。そして、このポリシ作成入力画面を介して、ポリシ発効日、閲覧権限者、閲覧付加条件等の入力部12への入力を受け付け、入力された情報にポリシ番号を追加し、ポリシとして取得する。
【0119】
次に、制御部16は、ポリシの入力が終了したか否かを判別する(ステップS14)。具体的には、例えば、図8の申請文書作成入力画面の「OK」ボタンが申請者によりクリックされると、制御部16は、ポリシの入力が終了したと判別する。
制御部16は、ポリシの入力が終了していないと判別した場合には(ステップS14;No)、ステップS13に戻り、更に別のポリシを取得する。この処理を繰り返すことにより、1つのドキュメントファイルに対応する1つの申請文書に、複数のポリシを入力しておくことができる。
【0120】
一方、制御部16は、ポリシの入力が終了したと判別した場合には(ステップS14;Yes)、取得した情報に基づき申請文書を作成し、この申請文書データに、オリジナルファイル特定情報により特定されるオリジナルファイルを添付して、申請サーバ2に送信する(ステップS15)。
【0121】
申請サーバ2において、制御部23は、申請者用端末1から申請文書データを受信すると、申請文書番号及び申請端末特定情報を取得し、これらを申請文書データに追加して申請文書ファイルとする。そして、同じく受信したオリジナルファイルと申請文書ファイルとを関連付けて申請文書DB221に格納し、格納した申請文書ファイル及びオリジナルファイルをセキュリティサーバ3に送信する(ステップS16)。
【0122】
セキュリティサーバ3において、制御部34は、申請サーバ2から申請文書データを受信すると、ドキュメントファイルを暗号化及び復号化するための鍵をランダムに生成する(ステップS17)。そして、制御部34は、生成した鍵を用いて、受信したオリジナルファイルを暗号化し、暗号化ファイルを作成する(ステップS18)。
【0123】
次に、制御部34は、暗号化ファイルを識別するためのファイルIDを生成する(ステップS19)。そして、制御部34は、暗号化ファイルにファイルIDを付加してセキュリティファイルを作成し、作成したセキュリティファイルに申請文書ファイル内の申請文書番号を添付して申請サーバ2に送信する(ステップS20)。
【0124】
続いて、制御部34は、生成したファイルIDと、暗号化ファイルの作成に用いた鍵と、受信した申請文書ファイル内の複数のポリシと、例えば初期値をヌルとする有効ポリシ番号と、を有するセキュリティ管理ファイルを作成する(ステップS21)。そして、制御部34は、作成したセキュリティ管理ファイルをセキュリティ管理DB331に格納する(ステップS22)。
このようにして、セキュリティ管理DB331には、このセキュリティファイル変換処理が行われるたびに、ファイルIDにより識別されるセキュリティ管理ファイルが格納される。
【0125】
申請サーバ2において、制御部23は、セキュリティサーバ3からセキュリティファイルを受信すると、セキュリティファイルに添付されている申請文書番号により特定される申請文書ファイルを申請文書DB221から読み出す。そして、読み出した申請文書ファイルから申請端末特定情報を取り出し、その申請端末特定情報により特定される申請者用端末1に、受信したセキュリティファイルを転送する(図16のステップS23)。
さらに、制御部23は、セキュリティサーバ3から受信したセキュリティファイルを利用者用端末4に転送する(ステップS24)。
【0126】
申請者用端末1において、制御部16は、申請サーバ2からセキュリティファイルを受信して取得する(ステップS25)。
さらに、利用者用端末4において、制御部46は、申請サーバ2からセキュリティファイルを受信して取得し(ステップS26)、このセキュリティファイル変換処理を終了する。
このセキュリティファイル変換処理により、申請者は、発効日情報に基づき複数のポリシが時系列で変更されるセキュリティファイルを取得し、利用者に配布することができる。
【0127】
次に、本実施の形態に係るセキュリティ管理システムにおけるセキュリティ設定管理処理の手順を説明する。
図17は、セキュリティ設定管理処理を示すフローチャートである。
なお、本実施の形態において、この処理は、1日に1回の間隔で定期的に、セキュリティサーバ3におけるバッチ処理として実行される。
【0128】
セキュリティサーバ3の制御部34は、例えば計時部32から日付が変わった旨の情報を取得すると、このセキュリティ設定管理処理を開始し、まず、現在の日付情報を取得する(ステップS31)。
次に、制御部34は、セキュリティ管理DB331に格納されている複数のセキュリティ管理ファイルの中から、1つのファイルIDで特定される1つのセキュリティ管理ファイルを読み出す(ステップS32)。
【0129】
続いて、制御部34は、読み出したセキュリティ管理ファイルに含まれている複数のポリシの中から、1つのポリシを取り出す(ステップS33)。
さらに、制御部34は、取り出したポリシに含まれている情報の中から「ポリシ発効日」情報を取り出す(ステップS34)。
そして、制御部34は、取り出した「ポリシ発効日」情報と、ステップS31で取得した現在の日付情報と、を比較することにより、ステップS33で取り出したポリシの発効日が今日であるか否かを判別する(ステップS35)。
【0130】
ポリシ発効日が今日である場合には(ステップS35;Yes)、制御部34は、ステップS32で読み出したセキュリティ管理ファイルからファイルIDを取り出す(ステップS36)。さらに、制御部34は、ステップS33で取り出したポリシに含まれている情報の中から「ポリシ番号」を取り出す(ステップS37)。そして、制御部34は、セキュリティ管理DB331にアクセスし、ステップS36で取り出したファイルIDにより特定されるセキュリティ管理ファイル内の「有効ポリシ番号」を、ステップS37で取り出した「ポリシ番号」に書き替える(ステップS38)。
一方、ポリシ発効日が今日でない場合には(ステップS35;No)、制御部34は、ステップS36〜S38をスキップする。
【0131】
次に、制御部34は、ステップS33において、ステップS32で読み出したセキュリティ管理ファイルに含まれているすべてのポリシが取り出されたか否かを判別する(ステップS39)。
すべてのポリシが取り出されていない場合には(ステップS39;No)、ステップS33に戻り、制御部34は、セキュリティ管理ファイルに含まれているすべてのポリシの発効日を確認するまで、ステップS33〜S38の処理を繰り返す。
【0132】
そして、セキュリティ管理ファイルに含まれているすべてのポリシの発効日の確認が終了すると(ステップS39;Yes)、制御部34は、ステップS32において、セキュリティ管理DB331に格納されているすべてのセキュリティ管理ファイルが読み出された否かを判別する(ステップS40)。
すべてのセキュリティ管理ファイルが読み出されていない場合には(ステップS40;No)、ステップS32に戻り、制御部34は、セキュリティ管理DB331に格納されているすべてのセキュリティ管理ファイルにおけるポリシ発効日の確認が終了するまで、ステップS32〜S39の処理を繰り返す。
【0133】
そして、セキュリティ管理DB331に格納されているすべてのセキュリティ管理ファイルにおけるポリシ発効日の確認が終了すると(ステップS40;Yes)、このセキュリティ設定管理処理を終了する。
【0134】
このセキュリティ設定管理処理により、セキュリティファイルに設定されるポリシを、ポリシ発効日情報に基づき、時系列に変更することができる。具体的には、前述したセキュリティファイル変換処理において申請者により入力された複数のポリシの中から、1つのポリシが、ポリシ発効日情報に基づいて選択され、有効ポリシとしてセキュリティファイルに設定される。
【0135】
次に、本実施の形態に係るセキュリティ管理システムにおけるセキュリティファイル利用処理の手順を説明する。
図18及び図19は、セキュリティファイル利用処理を示す手順説明図である。
ここでは、前述したセキュリティファイル変換処理により、利用者用端末4がセキュリティファイルを既に取得し、利用者用端末4の記憶部44にセキュリティファイルが記憶されているものとする。
【0136】
利用者用端末4において、例えば、利用者用端末4の出力部43である例えばディスプレイに予め表示されている複数のセキュリティファイルのアイコンのうち、1つのアイコンを、利用者がクリックすること等により、入力部42にセキュリティファイルを指定する情報が入力されると、このセキュリティファイル利用処理が開始され、制御部46は、入力部42からの入力に基づき、セキュリティファイルの指定情報を取得する(図18のステップS51)。
【0137】
次に、制御部46は、取得した指定情報により特定されるセキュリティファイルを、記憶部44から読み出す(ステップS52)。そして、制御部46は、読み出したセキュリティファイルからファイルIDを取り出す(ステップS53)。
【0138】
次に、制御部46は、セキュリティファイルの利用者の利用者IDを取得する(ステップS54)。そして、制御部46は、ファイルIDと利用者IDとをセキュリティサーバ3に送信する(ステップS55)。
【0139】
セキュリティサーバ3において、制御部34は、利用者用端末4から受信したファイルIDを有するセキュリティ管理ファイルを、セキュリティ管理DB331から読み出す(ステップS56)。そして、制御部34は、読み出したセキュリティ管理ファイルから有効ポリシ番号を取り出す(ステップS57)。
【0140】
次に、制御部34は、取り出した有効ポリシ番号により特定されるポリシを、ステップS56で読み出したセキュリティ管理ファイルから取り出す(ステップS58)。さらに、制御部34は、取り出したポリシから、閲覧権限者情報を取り出す(ステップS59)。そして、制御部34は、取り出した閲覧権限者情報を、利用権限者IDテーブル332を参照して、閲覧権限者IDに変換する(ステップS60)。
【0141】
次に、制御部34は、変換して得た利用権限者IDに、利用者用端末4から受信した利用者IDが含まれているか否かを判別することにより、利用者に閲覧権限があるか否かを判別する(ステップS61)。
【0142】
ここで、利用者に閲覧権限がない場合には(ステップS61;No)、制御部34は、利用者用端末4に閲覧不許可情報を送信する(ステップS62)。この場合、利用者用端末4において、制御部46は、セキュリティサーバ3から受信した閲覧不許可情報に基づいて、閲覧が許可されていない旨の情報をディスプレイに表示して(ステップS63)、このセキュリティファイル利用処理を終了する。このように、現在の有効ポリシに閲覧権限者として設定されていない利用者は、セキュリティファイルを閲覧することができない。
【0143】
一方、利用者に閲覧権限が有る場合には(ステップS61;Yes)、制御部34は、ステップS56で読み出したセキュリティ管理ファイルから鍵を取り出す(図19のステップS64)。さらに、制御部34は、ステップS58で取り出したポリシから閲覧付加条件を取り出す(ステップS65)。そして、制御部34は、取り出した鍵と閲覧付加条件とを利用者用端末4に送信する(ステップS66)。
【0144】
利用者用端末4において、制御部46は、セキュリティサーバ3から鍵及び閲覧付加条件を受信すると、ステップS52で読み出したセキュリティファイルから暗号化ファイルを取り出す(ステップS67)。そして、制御部46は、取り出した暗号化ファイルを、セキュリティサーバ3から受信した鍵を用いて復号化し、閲覧可能なドキュメントファイルに戻す(ステップS68)。
【0145】
次に、制御部46は、復号化したドキュメントの内容を、受信した閲覧付加条件に従い、ディスプレイに表示する。(ステップS69)。具体的には、閲覧付加条件として、閲覧オプションの「警告メッセージ表示」が設定されている場合には、制御部46は、ドキュメント内容の表示に伴い、ディスプレイに警告メッセージを表示する。
【0146】
また、利用者により入力部42に印刷要求が入力された場合には、制御部46は、受信した閲覧付加条件の印刷設定に従い、ドキュメント内容の印刷を制御する。具体的には、制御部46は、閲覧付加条件において印刷許可設定がされている場合には、印刷を許可し、印刷不許可設定がなされている場合には、印刷を禁止する。さらに、閲覧付加条件において印刷オプションが設定されている場合には、制御部46は、入出力I/F45に接続されるプリンタのプリンタドライバ等を制御することにより、印刷に際して、印刷オプションに沿った印刷を行う。
このようにして、現在の有効ポリシに閲覧権限者として設定されている利用者のみが、セキュリティファイルの閲覧、印刷等の利用をすることができる。
【0147】
次に、制御部46は、例えばドキュメント内容の表示ウィンドウが閉じられたことを検出すること等により、利用者によるセキュリティファイルの閲覧が終了したか否かを判別し(ステップS70)、セキュリティファイルの閲覧終了を待つ(ステップS70;No)。
閲覧が終了したと判別された場合には(ステップS70;Yes)、制御部46は、セキュリティサーバ3から受信した鍵と、ステップS68で復号化して作成したドキュメントファイルと、を記憶部44、RAM463等の利用者用端末4内の記憶装置から削除し(ステップS71)、このセキュリティファイル利用処理を終了する。
【0148】
このセキュリティファイル利用処理により、時系列でポリシが変更するドキュメントファイルを、利用者がドキュメントファイルを利用する時点において適用されているポリシに基づく利用形態で、利用者に利用させることができる。
【0149】
なお、上述したそれぞれの処理は一例であり、これに限定されるものではない。例えば、図17のステップS39では、1つのセキュリティ管理ファイルに含まれているすべてのポリシが取り出されたか否かを判別したが、ステップS35において発効日が今日のポリシが見つかった場合には、そのセキュリティ管理ファイルに含まれている以降のポリシの発効日情報は確認せずに、ステップS39からステップS40に進んでもよい。これにより、セキュリティサーバ3の処理負担を軽減することができる。
【0150】
また、ステップS35においてポリシ発効日が今日のポリシが見つかり、ステップS38において有効ポリシ番号が書き替えられた場合には、書き替え前の有効ポリシ番号を持つポリシをセキュリティ管理ファイルから削除してもよい。これにより、使用済みの不要なポリシがメモリから削除され、メモリ容量を節約することができるとともに、以降のセキュリティ設定管理処理において発効日を確認するポリシが減るため、セキュリティサーバ3の処理負担をも軽減することができる。
【0151】
以上説明したように、本実施の形態によれば、適用されるポリシがドキュメントファイルの所持者が意図するような時系列で変更されるセキュリティファイルを作成して、利用者に配布することができる。また、各ポリシに記載されている発効日情報を定期的に確認し、発効日に達したポリシを有効ポリシとして設定するため、セキュリティファイルに適用されるポリシを時系列で変更することができる。そして、利用者がセキュリティファイルを利用するに際して、利用時点で有効ポリシとして設定されているポリシを、そのセキュリティファイルに適用することができる。
【0152】
次に、本発明の第2の実施の形態について説明する。
上記第1の実施の形態のおいては、ポリシに記載する閲覧権限者情報として個人の氏名、ID等の個人特定情報を用いた。しかし、本発明はこれに限定されるものでなく、ポリシの閲覧権限者欄にグループ特定情報を記載することもできる。
【0153】
図20は、本発明の第2の実施の形態に係るセキュリティ管理システムにおけるセキュリティサーバ3の構成例を示すブロック図である。
図示するように、第2の実施の形態におけるセキュリティサーバ3は、記憶部33にグループ変換テーブル333を備えており、この点で、図4に示した第1の実施の形態におけるセキュリティサーバ3と異なる。なお、同一の部分には同一の符号を付して説明を省略する。
【0154】
グループ変換テーブル333には、複数のグループ名と、各グループに所属する人物の氏名とが関連付けられて記憶されている。
具体的には、例えば、本実施の形態に係るセキュリティ管理システムを会社内で使用する場合、グループ変換テーブル333は、人事部、経理部等の会社内でのグループ毎にそのグループに属する者の氏名を記憶する。
【0155】
ポリシの閲覧権限者欄にグループ名が記載されている場合、利用者がセキュリティファイルを利用するに際しての利用者権限の有無の判別において、セキュリティサーバ3の制御部34は、グループ変換テーブル333を参照して、ポリシに記載されているグループ名を、そのグループに所属する人物名に変換する。
次に、制御部34は、変換した人物名を、利用者権限IDテーブル332を参照して、ID情報に変換する。そして、制御部34は、変換した利用者権限IDの中に、利用者用端末4から受信した利用者IDが含まれているか否かを判別することにより、利用者権限の有無を判別する。
【0156】
また、ポリシの閲覧権限者欄に個人特定情報とグループ特定情報とを一緒に記載しておくこともできる。この場合には、例えば、制御部34は、閲覧権限者情報の中に、グループ変換テーブル333に記憶されているグループ名が存在するか否かを判別することにより、閲覧権限者情報の中のグループ特定情報を検出する。グループ特定情報が検出された場合には、制御部34は、そのグループ特定情報をグループ変換テーブル333を参照して個人特定情報に変換して、閲覧権限者情報をすべて個人特定情報にする。そして、制御部34は、個人特定情報を利用者権限IDテーブル332を参照してID情報に変換して、利用者権限の有無を判別する。
【0157】
本実施の形態によれば、グループ単位で一括してポリシを設定することができる。これにより、例えば、社内の人事に関するドキュメントファイルを、最初の一定期間は人事部に所属する者のみが閲覧することができ、一定期間経過後に社内のすべての者が閲覧することができるような、時系列にポリシが変更されるセキュリティファイルを容易に提供することができる。
また、本実施の形態においては、例えば人事異動等によりグループに所属する人物が変更された場合であっても、グループ変換テーブル333を変更するだけで、グループで指定される利用権限者を適切に判別することができる。
【0158】
なお、さらに、「*」、「?」等を用いたワイルドカード指定により、閲覧権限者を一括指定してもよい。例えば、ポリシの閲覧権限者欄が「*人事*」とされている場合、グループ変換テーブル333を参照して、「人事」という文言を含むグループに所属する人物名を取得することにより、「人事」という文言を含むグループに所属する人すべてに閲覧権限を与えることができる。
【0159】
以上、本発明の実施の形態を説明したが、本発明を実施するにあたっては、種々の形態による変形及び応用が可能であり、上記実施の形態に限られるものではない。
例えば、本発明のセキュリティ管理システムは、申請者用端末1や利用者用端末4を複数備え、通信ネットワーク5に接続する構成にしてもよい。また、セキュリティサーバ3に申請サーバ2の機能を持たせることにより、1つのサーバで本発明のセキュリティ管理システムを構成してもよい。
【0160】
また、上記実施の形態では、利用者によるセキュリティファイルの閲覧時に、閲覧権限者情報をID情報に変換して、利用者認証を行っているが、例えば、セキュリティファイル変換サービスにおけるセキュリティ管理ファイル作成時に、閲覧権限者情報をID情報に変換しておき、セキュリティ管理DB331に格納しておいてもよい。
【0161】
また、上記実施の形態では、ドキュメントファイルの暗号化と複合化に共通の鍵を使用しているが、例えば公開鍵暗号方式における鍵のように暗号化と復号化で異なる鍵を使用するようにしてもよい。この場合、図11の鍵生成部581は暗号鍵と復号鍵とを生成し、ファイル暗号化部582はオリジナルファイルを暗号鍵で暗号化し、セキュリティ管理データ作成部585はセキュリティ管理ファイルに復号鍵を含めるようにすればよい。
【0162】
また、上記実施の形態では、セキュリティファイルに適用されるポリシを時系列に変更するために、閲覧権限者情報等を含むポリシが有効となる条件を示す有効条件情報の例示として、各ポリシに発効日情報を設定しているが、ポリシを時系列に変更するための情報であればよい。例えば、各ポリシに、セキュリティファイルに対する適用開始日及び適用終了日を特定する適用期間を設定しても、ポリシを時系列に変更することができる。なお、このように適用期間を設定した場合には、図17のステップS35は、今日が適用期間内であるか否かの判断を行なうステップとなる。
【0163】
また、上記実施の形態では、「ポリシ発効日」を確認するセキュリティ設定管理処理を1日に1回の間隔で行っているが、より長い間隔で「ポリシ発効日」の確認を行う場合にも適用させることができる。
その場合には、図13の発効日比較部75は、「ポリシ発効日」と現在の日付とを比較し、「ポリシ発効日」が今日以前である場合には一致情報を、「ポリシ発効日」が今日より後の場合には不一致情報を、出力する。さらに、図17のステップS33において、ポリシ発効日の古い順にポリシを取り出し、ステップS35において、ポリシの発効日が今日以前であるか否かを判別する。この処理動作により、セキュリティ設定管理処理の終了時には、「有効ポリシ番号」は、今日以前のポリシ発効日を持つポリシの中で最も新しいポリシ発効日を持つポリシのポリシ番号になり、1日に1回より長い間隔で「ポリシ発効日」を確認する場合であっても、1つのセキュリティファイルに適用されるポリシを時系列で変更させることができる。
【0164】
また、上記実施の形態では、セキュリティファイルに適用されるポリシを日単位で変更しているが、例えば、時間単位で変更するようにしてもよい。この場合、前述したセキュリティ設定管理動作のバッチ処理を、1時間に1回や、1分に1回等の間隔で行うことにより、より細かな時系列単位でセキュリティファイルのポリシを変更することができる。具体的には、ポリシには「ポリシ発効日」の代わりに「ポリシ発効日時」を設定しておき、図13の日付取得部74において日時を取得し、発効日比較部75においてポリシ発効日時に達したか否かを判別させることにより、実現することができる。
このような日付や時間等の情報によりポリシが有効となる期間を示す有効期間情報は、有効条件情報の例示である。
また、上記実施の形態では、申請者や利用者の識別にID情報のみを用いて説明したが、例えば暗証番号等を併せて用いることにより、セキュリティをさらに高めることができる。
【0165】
また、上記実施の形態において、ポリシに記載される「閲覧権限者」は利用権限所有者の例示であり、閲覧権限者を特定するための氏名、識別番号等の閲覧権限者情報は、利用権限所有者情報の例示である。また、利用者ID取得部84が取得する利用者IDは、利用者情報の例示である。また、セキュリティ管理ファイルに記載される有効ポリシ番号は有効ポリシ識別情報の例示である。また、ポリシに記載される閲覧付加条件としての印刷許可・不許可の設定情報は、印刷制御情報の例示である。
また、グループ変換テーブル333に記憶されるグループ名は、グループ情報の例示であり、各グループに所属する人物の氏名は、所属人物情報の例示である。
また、ポリシに記載される「閲覧権限者」と「閲覧付加条件」は、利用条件情報の例示であり、閲覧要求情報送信部85が送信するファイルIDと利用者IDは、利用要求情報の例示である。
【0166】
なお、本発明のセキュリティ管理システムを構成する申請者用端末1、申請サーバ2、セキュリティサーバ3、及び利用者用端末4は、専用のハードウェアに限られるものではなく、それぞれ、通常のコンピュータによっても実現することができる。
例えば、上記実施の形態では、セキュリティ管理システムを構成する各端末及び各サーバのプログラムが、メモリ等に予め記憶されているものとして説明したが、上述した処理動作を実行させるためのプログラムを、フレキシブルディスク、CD−ROM(Compact Disk Read-Only Memory)、DVD(Digital Versatile Disk)、MO(Magneto-Optical disk)等のコンピュータ読み取り可能な記録媒体に格納して配布し、そのプログラムをコンピュータにインストールすることにより、上述の処理を実行する各端末及び各サーバを構成してもよい。
【0167】
また、プログラムをインターネット等の通信ネットワーク上の所定のサーバ装置が有するディスク装置等に格納しておき、例えば、搬送波に重畳させて、コンピュータにダウンロード等するようにしてもよい。さらに、通信ネットワークを介してプログラムを転送しながら起動実行することによっても、上述の処理を達成することができる。
また、上述の機能を、OS(Operating System)が分担又はOSとアプリケーションの協働により実現する場合等には、OS以外の部分のみを媒体に格納して配布してもよく、また、コンピュータにダウンロード等してもよい。
【図面の簡単な説明】
【0168】
【図1】本発明の第1の実施の形態に係るドキュメントファイルのセキュリティ管理システムの構成例を示すブロック図である。
【図2】図1の申請者用端末の構成例を示すブロック図である。
【図3】図1の申請サーバの構成例を示すブロック図である。
【図4】図1のセキュリティサーバの構成例を示すブロック図である。
【図5】図1の利用者用端末の構成例を示すブロック図である。
【図6】本発明の第1の実施の形態に係るセキュリティ管理システムにおけるセキュリティファイル変換サービスの提供動作に関する機能構成例を示すブロック図である。
【図7】セキュリティファイル変換サービスの初期画面の例を示す図である。
【図8】申請文書作成入力画面の例を示す図である。
【図9】ポリシ作成入力画面の例を示す図である。
【図10】申請文書ファイルのデータ構成例を示す図である。
【図11】図6のセキュリティファイル変換部の具体的構成例を示すブロック図である。
【図12】セキュリティ管理ファイルのデータ構成例を示す図である。
【図13】本発明の第1の実施の形態に係るセキュリティ管理システムのセキュリティサーバにおけるセキュリティ設定管理動作に関する機能構成例を示すブロック図である。
【図14】本発明の第1の実施の形態に係るセキュリティ管理システムにおけるセキュリティファイルの利用動作に関する機能構成例を示すブロック図である。
【図15】セキュリティファイル変換処理を示す手順説明図である。
【図16】セキュリティファイル変換処理を示す手順説明図である。
【図17】セキュリティ設定管理処理を示すフローチャートである。
【図18】セキュリティファイル利用処理を示す手順説明図である。
【図19】セキュリティファイル利用処理を示す手順説明図である。
【図20】本発明の第2の実施の形態に係るセキュリティ管理システムにおけるセキュリティサーバの構成例を示すブロック図である。
【符号の説明】
【0169】
1 申請者用端末
2 申請サーバ
3 セキュリティサーバ
4 利用者用端末
5 通信ネットワーク
6,7 入出力機器
11,21,31,41 通信部
12,42 入力部
13,43 出力部
14,22,33,44 記憶部
15,45 入出力I/F部
16,23,34,46 制御部
17,24,35,47 バス
32 計時部
51 申請情報入力部
52 申請文書作成部
53 申請文書送信部
54 申請文書受信部
55 申請文書格納部
56 申請文書ファイル送信部
57 申請文書ファイル受信部
58 セキュリティファイル変換部
59 セキュリティファイル送信部
60 セキュリティ管理データ格納部
61 セキュリティファイル転送部
62 申請セキュリティファイル取得部
63 利用セキュリティファイル取得部
71 セキュリティ管理ファイル読出部
72 ポリシ取出部
73 発効日取出部
74 日付取得部
75 発効日比較部
76 有効ポリシ番号書替部
77 情報取出制御部
81 閲覧ファイル指定部
82 セキュリティファイル読出部
83 ファイルID取出部
84 利用者ID取得部
85 閲覧要求情報送信部
86 閲覧要求情報受信部
87 閲覧要求管理ファイル読出部
88 有効ポリシ番号取出部
89 有効ポリシ取出部
90 閲覧権限者情報取出部
91 閲覧権限者ID変換部
92 閲覧権限判別部
93 閲覧情報取得部
94 閲覧情報送信部
95 閲覧情報受信部
96 暗号化ファイル取出部
97 ファイル復号化部
98 ドキュメント表示部
99 印刷制御部
100 閲覧終了検出部
101 閲覧終了処理部
161,231,341,461 CPU
162,232,342,462 ROM
163,233,343,463 RAM
221 申請文書DB
331 セキュリティ管理DB
332 利用権限者IDテーブル
333 グループ変換テーブル
581 鍵生成部
582 ファイル暗号化部
583 ファイルID生成部
584 セキュリティファイル作成部
585 セキュリティ管理データ作成部
【特許請求の範囲】
【請求項1】
ドキュメントファイルの利用者により使用される端末装置と、該ドキュメントファイルの利用権限所有者情報を記憶するサーバ装置と、が通信ネットワークを介して接続されるドキュメントファイルのセキュリティ管理システムであって、
前記端末装置は、
暗号化済みのドキュメントファイルである暗号化ファイルを記憶する暗号化ファイル記憶手段と、
前記利用者の識別情報である利用者情報を前記サーバ装置に送信する利用者情報送信手段と、を備え、
前記サーバ装置は、
前記暗号化ファイル記憶手段に記憶されている暗号化ファイルを復号化する鍵を記憶すると共に、該暗号化ファイルを復号化して利用することができる利用権限所有者を示す利用権限所有者情報と、該利用権限所有者情報が有効となる条件を示す有効条件情報と、を含むセキュリティポリシを複数記憶するセキュリティ情報記憶手段と、
前記セキュリティ情報記憶手段に記憶されているセキュリティポリシの有効条件情報に基づき、複数のセキュリティポリシの中から、現在有効となっているセキュリティポリシを選択する有効ポリシ選択手段と、
前記有効ポリシ選択手段により選択されたセキュリティポリシの識別情報である有効ポリシ識別情報を記憶する有効ポリシ識別情報記憶手段と、
前記利用者情報送信手段から利用者情報を受信したときに、前記有効ポリシ識別情報記憶手段に記憶されている有効ポリシ識別情報により特定されるセキュリティポリシの利用権限所有者情報に基づき、受信した利用者情報により特定される利用者が利用権限所有者であるか否かを判別する利用権限判別手段と、
前記利用権限判別手段により利用権限所有者であると判別されたときに、前記セキュリティ情報記憶手段に記憶されている鍵を前記端末装置に送信する鍵送信手段と、を備え、
前記端末装置は、さらに、
前記鍵送信手段から鍵を受信し、該鍵を用いて前記暗号化ファイル記憶手段に記憶されている暗号化ファイルを復号化し、ドキュメントファイルを作成するファイル復号化手段と、
利用者の操作に応じて、前記ファイル復号化手段により作成されたドキュメントファイルの利用が終了したか否かを判別する利用終了判別手段と、
前記ファイル復号化手段が復号化に用いた鍵と、前記利用終了判別手段により利用が終了したと判別されたドキュメントファイルと、を削除する削除手段と、
を備えるドキュメントファイルのセキュリティ管理システム。
【請求項2】
前記端末装置は、さらに、前記ファイル復号化手段により作成されたドキュメントファイルを表示する表示手段を備え、
前記端末装置の前記利用終了判別手段は、利用者の操作に応じて前記表示手段による前記復号化ファイルの表示が終了したときに、該ドキュメントファイルの利用が終了したと判別する、
ことを特徴とする請求項1に記載のドキュメントファイルのセキュリティ管理システム。
【請求項3】
前記サーバ装置の前記セキュリティ情報記憶手段に記憶されているセキュリティポリシは、ドキュメントファイルの印刷を許可するか否かを示す印刷制御情報を含み、
前記サーバ装置の前記鍵送信手段は、前記利用権限判別手段により利用権限所有者であると判別されたときに、前記セキュリティ情報記憶手段に記憶されている鍵と、前記有効ポリシ識別情報記憶手段に記憶されている有効ポリシ識別情報により特定されるセキュリティポリシの印刷制御情報と、を前記端末装置に送信し、
前記端末装置は、さらに、前記鍵送信手段から受信した印刷制御情報に基づき、前記ファイル復号化手段により作成されたドキュメントファイルの印刷装置における印刷を制御する印刷制御手段を備える、
ことを特徴とする請求項1又は2に記載のドキュメントファイルのセキュリティ管理システム。
【請求項4】
暗号化済みのドキュメントファイルである暗号化ファイルを復号化する鍵を記憶すると共に、該暗号化ファイルを復号化して利用することができる利用権限所有者を示す利用権限所有者情報と、該利用権限所有者情報が有効となる条件を示す有効条件情報と、を含むセキュリティポリシを複数記憶するセキュリティ情報記憶手段と、
前記セキュリティ情報記憶手段に記憶されているセキュリティポリシの有効条件情報に基づき、複数のセキュリティポリシの中から、現在有効となっているセキュリティポリシを選択する有効ポリシ選択手段と、
前記有効ポリシ選択手段により選択されたセキュリティポリシの識別情報である有効ポリシ識別情報を記憶する有効ポリシ識別情報記憶手段と、
通信ネットワークを介して接続され前記暗号化ファイルを記憶する端末装置から、利用者の識別情報である利用者情報を受信したときに、前記有効ポリシ識別情報記憶手段に記憶されている有効ポリシ識別情報により特定されるセキュリティポリシの利用権限所有者情報に基づき、受信した利用者情報により特定される利用者が利用権限所有者であるか否かを判別する利用権限判別手段と、
前記利用権限判別手段により利用権限所有者であると判別されたときに、前記セキュリティ情報記憶手段に記憶されている鍵を前記端末装置に送信する鍵送信手段と、
を備えるドキュメントファイルのセキュリティ管理装置。
【請求項5】
前記有効条件情報は、利用権限所有者情報を発効する日を示す発効日情報を含み、
前記有効ポリシ選択手段は、
現在の日付を取得する日付取得手段と、
前記セキュリティ情報記憶手段から、複数のセキュリティポリシのそれぞれの発効日情報を読み出す発効日情報読出手段と、
前記発効日情報読出手段により読み出された発効日と、前記日付取得手段により取得された現在の日付と、が一致するか否かを判別する発効日判別手段と、
前記発効日判別手段により現在の日付と一致すると判別された発効日情報を含むセキュリティポリシを選択する発効ポリシ選択手段と、を有する、
ことを特徴とする請求項4に記載のドキュメントファイルのセキュリティ管理装置。
【請求項6】
前記セキュリティ情報記憶手段に記憶されているすべてのセキュリティポリシの発効日情報について、少なくとも1日に1回、前記発効日判別手段による判別を行わせる定期実行手段と、
前記定期実行手段による制御により、前記発効ポリシ選択手段がセキュリティポリシを選択したときに、前記有効ポリシ識別情報記憶手段に記憶されている有効ポリシ識別情報を、該選択されたセキュリティポリシの識別情報に書き替える書替手段と、を備える、
ことを特徴とする請求項5に記載のドキュメントファイルのセキュリティ管理装置。
【請求項7】
前記セキュリティ情報記憶手段に記憶されているセキュリティポリシの利用権限所有者情報は、グループを特定するグループ情報を含み、
前記利用権限判別手段は、
複数のグループ情報と、グループ情報毎に該グループに所属する人物を特定する所属人物情報と、記憶するグループ記憶手段と、
前記有効ポリシ識別情報記憶手段に記憶されている有効ポリシ識別情報により特定されるセキュリティポリシの利用権限所有者情報がグループ情報であるか否かを判別するグループ判別手段と、
前記グループ判別手段によりグループ情報であると判別されたときに、該グループの所属人物情報を前記グループ記憶手段から読み出す所属人物情報読出手段と、を有し、
前記所属人物情報読出手段が読み出した所属人物情報により特定される人物の中に、受信した利用者情報により特定される利用者が含まれているか否かを判別することにより、利用者が利用権限所有者であるか否かを判別する、
ことを特徴とする請求項4乃至6の何れか1項に記載のドキュメントファイルのセキュリティ管理装置。
【請求項8】
ドキュメントファイルの利用条件を示す利用条件情報と、該利用条件情報を有効にする期間を示す有効期間情報と、を含むセキュリティポリシを複数記憶するセキュリティ情報記憶手段と、
現在の時間情報を取得する時間情報取得手段と、
前記セキュリティ情報記憶手段に記憶されているセキュリティポリシ毎に、該セキュリティポリシの有効期間情報が示す期間に、前記時間情報取得手段により取得された現在の時間情報が含まれているか否かを判別する有効期間判別手段と、
前記有効期間判別手段により現在の時間情報が含まれていると判別された有効期間情報を含むセキュリティポリシを、前記セキュリティ情報記憶手段に記憶されている複数のセキュリティポリシの中から選択する有効ポリシ選択手段と、
前記有効ポリシ選択手段により選択されたセキュリティポリシの識別情報を記憶する有効ポリシ識別情報記憶手段と、
通信ネットワークを介して接続される端末装置からドキュメントファイルの利用要求情報を受信したときに、前記有効ポリシ識別情報記憶手段に記憶されている識別情報により特定されるセキュリティポリシの利用条件情報を、前記ドキュメントファイルに適用する利用条件適用手段と、
を備えるドキュメントファイルのセキュリティ管理装置。
【請求項9】
暗号化済みのドキュメントファイルである暗号化ファイルを復号化する鍵を記憶すると共に、該暗号化ファイルを復号化して利用することができる利用権限所有者を示す利用権限所有者情報と、該利用権限所有者情報が有効となる条件を示す有効条件情報と、を含むセキュリティポリシを複数記憶する記憶部から、該複数のセキュリティポリシのそれぞれの有効条件情報を読み出す有効条件情報読出ステップと、
前記有効条件情報読出ステップで読み出した有効条件情報に基づき、前記記憶部に記憶されている複数のセキュリティポリシの中から、現在有効となっているセキュリティポリシを選択する有効ポリシ選択ステップと、
前記有効ポリシ選択ステップで選択されたセキュリティポリシの識別情報である有効ポリシ識別情報を前記記憶部に記録する有効ポリシ識別情報記録ステップと、
通信ネットワークを介して接続され前記暗号化ファイルを記憶する端末装置から、利用者の識別情報である利用者情報を受信したときに、前記有効ポリシ識別情報記録ステップで記録した有効ポリシ識別情報により特定されるセキュリティポリシの利用権限所有者情報に基づき、受信した利用者情報により特定される利用者が利用権限所有者であるか否かを判別する利用権限判別ステップと、
前記利用権限判別ステップで利用権限所有者であると判別されたときに、前記記憶部に記憶されている鍵を前記端末装置に送信する鍵送信ステップと、
を有するドキュメントファイルのセキュリティ管理方法。
【請求項10】
コンピュータを、
暗号化済みのドキュメントファイルである暗号化ファイルを復号化する鍵を記憶すると共に、該暗号化ファイルを復号化して利用することができる利用権限所有者を示す利用権限所有者情報と、該利用権限所有者情報が有効となる条件を示す有効条件情報と、を含むセキュリティポリシを複数記憶するセキュリティ情報記憶手段、
前記セキュリティ情報記憶手段に記憶されているセキュリティポリシの有効条件情報に基づき、複数のセキュリティポリシの中から、現在有効となっているセキュリティポリシを選択する有効ポリシ選択手段、
前記有効ポリシ選択手段により選択されたセキュリティポリシの識別情報である有効ポリシ識別情報を記憶する有効ポリシ識別情報記憶手段、
通信ネットワークを介して接続され前記暗号化ファイルを記憶する端末装置から、利用者の識別情報である利用者情報を受信したときに、前記有効ポリシ識別情報記憶手段に記憶されている有効ポリシ識別情報により特定されるセキュリティポリシの利用権限所有者情報に基づき、受信した利用者情報により特定される利用者が利用権限所有者であるか否かを判別する利用権限判別手段、
前記利用権限判別手段により利用権限所有者であると判別されたときに、前記セキュリティ情報記憶手段に記憶されている鍵を前記端末装置に送信する鍵送信手段、
として機能させるプログラム。
【請求項1】
ドキュメントファイルの利用者により使用される端末装置と、該ドキュメントファイルの利用権限所有者情報を記憶するサーバ装置と、が通信ネットワークを介して接続されるドキュメントファイルのセキュリティ管理システムであって、
前記端末装置は、
暗号化済みのドキュメントファイルである暗号化ファイルを記憶する暗号化ファイル記憶手段と、
前記利用者の識別情報である利用者情報を前記サーバ装置に送信する利用者情報送信手段と、を備え、
前記サーバ装置は、
前記暗号化ファイル記憶手段に記憶されている暗号化ファイルを復号化する鍵を記憶すると共に、該暗号化ファイルを復号化して利用することができる利用権限所有者を示す利用権限所有者情報と、該利用権限所有者情報が有効となる条件を示す有効条件情報と、を含むセキュリティポリシを複数記憶するセキュリティ情報記憶手段と、
前記セキュリティ情報記憶手段に記憶されているセキュリティポリシの有効条件情報に基づき、複数のセキュリティポリシの中から、現在有効となっているセキュリティポリシを選択する有効ポリシ選択手段と、
前記有効ポリシ選択手段により選択されたセキュリティポリシの識別情報である有効ポリシ識別情報を記憶する有効ポリシ識別情報記憶手段と、
前記利用者情報送信手段から利用者情報を受信したときに、前記有効ポリシ識別情報記憶手段に記憶されている有効ポリシ識別情報により特定されるセキュリティポリシの利用権限所有者情報に基づき、受信した利用者情報により特定される利用者が利用権限所有者であるか否かを判別する利用権限判別手段と、
前記利用権限判別手段により利用権限所有者であると判別されたときに、前記セキュリティ情報記憶手段に記憶されている鍵を前記端末装置に送信する鍵送信手段と、を備え、
前記端末装置は、さらに、
前記鍵送信手段から鍵を受信し、該鍵を用いて前記暗号化ファイル記憶手段に記憶されている暗号化ファイルを復号化し、ドキュメントファイルを作成するファイル復号化手段と、
利用者の操作に応じて、前記ファイル復号化手段により作成されたドキュメントファイルの利用が終了したか否かを判別する利用終了判別手段と、
前記ファイル復号化手段が復号化に用いた鍵と、前記利用終了判別手段により利用が終了したと判別されたドキュメントファイルと、を削除する削除手段と、
を備えるドキュメントファイルのセキュリティ管理システム。
【請求項2】
前記端末装置は、さらに、前記ファイル復号化手段により作成されたドキュメントファイルを表示する表示手段を備え、
前記端末装置の前記利用終了判別手段は、利用者の操作に応じて前記表示手段による前記復号化ファイルの表示が終了したときに、該ドキュメントファイルの利用が終了したと判別する、
ことを特徴とする請求項1に記載のドキュメントファイルのセキュリティ管理システム。
【請求項3】
前記サーバ装置の前記セキュリティ情報記憶手段に記憶されているセキュリティポリシは、ドキュメントファイルの印刷を許可するか否かを示す印刷制御情報を含み、
前記サーバ装置の前記鍵送信手段は、前記利用権限判別手段により利用権限所有者であると判別されたときに、前記セキュリティ情報記憶手段に記憶されている鍵と、前記有効ポリシ識別情報記憶手段に記憶されている有効ポリシ識別情報により特定されるセキュリティポリシの印刷制御情報と、を前記端末装置に送信し、
前記端末装置は、さらに、前記鍵送信手段から受信した印刷制御情報に基づき、前記ファイル復号化手段により作成されたドキュメントファイルの印刷装置における印刷を制御する印刷制御手段を備える、
ことを特徴とする請求項1又は2に記載のドキュメントファイルのセキュリティ管理システム。
【請求項4】
暗号化済みのドキュメントファイルである暗号化ファイルを復号化する鍵を記憶すると共に、該暗号化ファイルを復号化して利用することができる利用権限所有者を示す利用権限所有者情報と、該利用権限所有者情報が有効となる条件を示す有効条件情報と、を含むセキュリティポリシを複数記憶するセキュリティ情報記憶手段と、
前記セキュリティ情報記憶手段に記憶されているセキュリティポリシの有効条件情報に基づき、複数のセキュリティポリシの中から、現在有効となっているセキュリティポリシを選択する有効ポリシ選択手段と、
前記有効ポリシ選択手段により選択されたセキュリティポリシの識別情報である有効ポリシ識別情報を記憶する有効ポリシ識別情報記憶手段と、
通信ネットワークを介して接続され前記暗号化ファイルを記憶する端末装置から、利用者の識別情報である利用者情報を受信したときに、前記有効ポリシ識別情報記憶手段に記憶されている有効ポリシ識別情報により特定されるセキュリティポリシの利用権限所有者情報に基づき、受信した利用者情報により特定される利用者が利用権限所有者であるか否かを判別する利用権限判別手段と、
前記利用権限判別手段により利用権限所有者であると判別されたときに、前記セキュリティ情報記憶手段に記憶されている鍵を前記端末装置に送信する鍵送信手段と、
を備えるドキュメントファイルのセキュリティ管理装置。
【請求項5】
前記有効条件情報は、利用権限所有者情報を発効する日を示す発効日情報を含み、
前記有効ポリシ選択手段は、
現在の日付を取得する日付取得手段と、
前記セキュリティ情報記憶手段から、複数のセキュリティポリシのそれぞれの発効日情報を読み出す発効日情報読出手段と、
前記発効日情報読出手段により読み出された発効日と、前記日付取得手段により取得された現在の日付と、が一致するか否かを判別する発効日判別手段と、
前記発効日判別手段により現在の日付と一致すると判別された発効日情報を含むセキュリティポリシを選択する発効ポリシ選択手段と、を有する、
ことを特徴とする請求項4に記載のドキュメントファイルのセキュリティ管理装置。
【請求項6】
前記セキュリティ情報記憶手段に記憶されているすべてのセキュリティポリシの発効日情報について、少なくとも1日に1回、前記発効日判別手段による判別を行わせる定期実行手段と、
前記定期実行手段による制御により、前記発効ポリシ選択手段がセキュリティポリシを選択したときに、前記有効ポリシ識別情報記憶手段に記憶されている有効ポリシ識別情報を、該選択されたセキュリティポリシの識別情報に書き替える書替手段と、を備える、
ことを特徴とする請求項5に記載のドキュメントファイルのセキュリティ管理装置。
【請求項7】
前記セキュリティ情報記憶手段に記憶されているセキュリティポリシの利用権限所有者情報は、グループを特定するグループ情報を含み、
前記利用権限判別手段は、
複数のグループ情報と、グループ情報毎に該グループに所属する人物を特定する所属人物情報と、記憶するグループ記憶手段と、
前記有効ポリシ識別情報記憶手段に記憶されている有効ポリシ識別情報により特定されるセキュリティポリシの利用権限所有者情報がグループ情報であるか否かを判別するグループ判別手段と、
前記グループ判別手段によりグループ情報であると判別されたときに、該グループの所属人物情報を前記グループ記憶手段から読み出す所属人物情報読出手段と、を有し、
前記所属人物情報読出手段が読み出した所属人物情報により特定される人物の中に、受信した利用者情報により特定される利用者が含まれているか否かを判別することにより、利用者が利用権限所有者であるか否かを判別する、
ことを特徴とする請求項4乃至6の何れか1項に記載のドキュメントファイルのセキュリティ管理装置。
【請求項8】
ドキュメントファイルの利用条件を示す利用条件情報と、該利用条件情報を有効にする期間を示す有効期間情報と、を含むセキュリティポリシを複数記憶するセキュリティ情報記憶手段と、
現在の時間情報を取得する時間情報取得手段と、
前記セキュリティ情報記憶手段に記憶されているセキュリティポリシ毎に、該セキュリティポリシの有効期間情報が示す期間に、前記時間情報取得手段により取得された現在の時間情報が含まれているか否かを判別する有効期間判別手段と、
前記有効期間判別手段により現在の時間情報が含まれていると判別された有効期間情報を含むセキュリティポリシを、前記セキュリティ情報記憶手段に記憶されている複数のセキュリティポリシの中から選択する有効ポリシ選択手段と、
前記有効ポリシ選択手段により選択されたセキュリティポリシの識別情報を記憶する有効ポリシ識別情報記憶手段と、
通信ネットワークを介して接続される端末装置からドキュメントファイルの利用要求情報を受信したときに、前記有効ポリシ識別情報記憶手段に記憶されている識別情報により特定されるセキュリティポリシの利用条件情報を、前記ドキュメントファイルに適用する利用条件適用手段と、
を備えるドキュメントファイルのセキュリティ管理装置。
【請求項9】
暗号化済みのドキュメントファイルである暗号化ファイルを復号化する鍵を記憶すると共に、該暗号化ファイルを復号化して利用することができる利用権限所有者を示す利用権限所有者情報と、該利用権限所有者情報が有効となる条件を示す有効条件情報と、を含むセキュリティポリシを複数記憶する記憶部から、該複数のセキュリティポリシのそれぞれの有効条件情報を読み出す有効条件情報読出ステップと、
前記有効条件情報読出ステップで読み出した有効条件情報に基づき、前記記憶部に記憶されている複数のセキュリティポリシの中から、現在有効となっているセキュリティポリシを選択する有効ポリシ選択ステップと、
前記有効ポリシ選択ステップで選択されたセキュリティポリシの識別情報である有効ポリシ識別情報を前記記憶部に記録する有効ポリシ識別情報記録ステップと、
通信ネットワークを介して接続され前記暗号化ファイルを記憶する端末装置から、利用者の識別情報である利用者情報を受信したときに、前記有効ポリシ識別情報記録ステップで記録した有効ポリシ識別情報により特定されるセキュリティポリシの利用権限所有者情報に基づき、受信した利用者情報により特定される利用者が利用権限所有者であるか否かを判別する利用権限判別ステップと、
前記利用権限判別ステップで利用権限所有者であると判別されたときに、前記記憶部に記憶されている鍵を前記端末装置に送信する鍵送信ステップと、
を有するドキュメントファイルのセキュリティ管理方法。
【請求項10】
コンピュータを、
暗号化済みのドキュメントファイルである暗号化ファイルを復号化する鍵を記憶すると共に、該暗号化ファイルを復号化して利用することができる利用権限所有者を示す利用権限所有者情報と、該利用権限所有者情報が有効となる条件を示す有効条件情報と、を含むセキュリティポリシを複数記憶するセキュリティ情報記憶手段、
前記セキュリティ情報記憶手段に記憶されているセキュリティポリシの有効条件情報に基づき、複数のセキュリティポリシの中から、現在有効となっているセキュリティポリシを選択する有効ポリシ選択手段、
前記有効ポリシ選択手段により選択されたセキュリティポリシの識別情報である有効ポリシ識別情報を記憶する有効ポリシ識別情報記憶手段、
通信ネットワークを介して接続され前記暗号化ファイルを記憶する端末装置から、利用者の識別情報である利用者情報を受信したときに、前記有効ポリシ識別情報記憶手段に記憶されている有効ポリシ識別情報により特定されるセキュリティポリシの利用権限所有者情報に基づき、受信した利用者情報により特定される利用者が利用権限所有者であるか否かを判別する利用権限判別手段、
前記利用権限判別手段により利用権限所有者であると判別されたときに、前記セキュリティ情報記憶手段に記憶されている鍵を前記端末装置に送信する鍵送信手段、
として機能させるプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【公開番号】特開2007−4616(P2007−4616A)
【公開日】平成19年1月11日(2007.1.11)
【国際特許分類】
【出願番号】特願2005−185516(P2005−185516)
【出願日】平成17年6月24日(2005.6.24)
【出願人】(000006747)株式会社リコー (37,907)
【Fターム(参考)】
【公開日】平成19年1月11日(2007.1.11)
【国際特許分類】
【出願日】平成17年6月24日(2005.6.24)
【出願人】(000006747)株式会社リコー (37,907)
【Fターム(参考)】
[ Back to top ]