ファイルアクセス制御方法
【課題】ユーザの場所による情報アクセス制御を確実に実施できるシステムを提供する。
【解決手段】ファイルへのアクセスポリシを管理するアクセスポリシ管理装置、アクセスポリシを実行するクライアント、を含んで構成されるシステムにおいて、クライアントは、イベント毎に、ポリシ準拠判定依頼メッセージをアクセスポリシ管理装置へ送信し、アクセスポリシ管理装置は、判定を依頼されたイベントが、予め定めたポリシに準拠しているのかどうかを判定して、ポリシ準拠判定応答メッセージをクライアントへ送信し、クライアントは、ポリシ準拠判定依頼メッセージの送信から予め定めた時間以内に、ポリシ準拠判定応答メッセージを受信した場合には、メッセージに従った動作を実施し、予め定めた時間内に、ポリシ準拠判定応答メッセージを受信できない場合は、予め定義されたデフォルトポリシが示すアクセス制御を実行する。
【解決手段】ファイルへのアクセスポリシを管理するアクセスポリシ管理装置、アクセスポリシを実行するクライアント、を含んで構成されるシステムにおいて、クライアントは、イベント毎に、ポリシ準拠判定依頼メッセージをアクセスポリシ管理装置へ送信し、アクセスポリシ管理装置は、判定を依頼されたイベントが、予め定めたポリシに準拠しているのかどうかを判定して、ポリシ準拠判定応答メッセージをクライアントへ送信し、クライアントは、ポリシ準拠判定依頼メッセージの送信から予め定めた時間以内に、ポリシ準拠判定応答メッセージを受信した場合には、メッセージに従った動作を実施し、予め定めた時間内に、ポリシ準拠判定応答メッセージを受信できない場合は、予め定義されたデフォルトポリシが示すアクセス制御を実行する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ファイルアクセス制御技術に関するものである。
【背景技術】
【0002】
企業や官公庁自治体などの組織では、情報の電子化が進展し、大量の電子ファイルが組織内に蓄積されている。また、いつでも、どこでも、これらの電子ファイルにアクセスできるような利便性の高い環境になっている。その一方で、内部者の不注意により、個人情報などの機密性の高いファイルが、インターネット上で漏洩するなど情報漏洩の問題が深刻化しており、その対策が急務となっている。
【0003】
従来は、ファイルの機密性に応じて、情報にアクセスできるユーザを制限してきたが、今後は、さらに、アクセスできるユーザであったとしても、不適切な時間帯や場所であれば、ファイルに対するアクセスを制限するような運用が求められてくる。特に、セキュリティ対策が及びにくい組織外からのファイルアクセスは制限されるべきである。
【0004】
場所によって、ファイルに対するアクセスを制限する方法として、GPS(Global Positioning System)や携帯電話の位置情報を利用し、ユーザの所在を特定し、ファイルアクセス制御する方法が考えられてきた。
【0005】
例えば、特許文献1に開示の技術は、ユーザの所在情報として、携帯電話網の基地局の位置情報を利用している。ここでは、ユーザ認証及びユーザのアクセス元の場所情報に基づいて、ファイルに対するアクセス制御を実現している。
【0006】
また、特許文献2に開示の技術は、入退室管理システムを使って、ユーザの所在居室を特定している。ここでは、所在居室に応じて、ファイルアクセスを許すかどうかを判定している。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2008−257412号公報
【特許文献2】特開2008−282182号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
上記の特許文献1及び特許文献2に開示の技術によれば、ユーザの場所に応じて、ファイルへのアクセス制御を実行するための判定を行うことが可能である。ところが、情報へのアクセス制御を確実に実施することができるとは限らない状況がありうる。
【0009】
例えば、携帯電話やGPSを使った位置特定方法は、携帯電話網の圏外やGPS信号が到達しない領域での信頼性に乏しく、場合によっては、許されない情報アクセスを許可してしまう可能性がある。
【0010】
また、上記の特許文献2は、ユーザの所在を判定し、アクセス制御の判定を行う装置とアクセス制御を実施する装置が、通信ネットワークが常時接続していることを前提としている。そのため、アクセス制御を実施する装置が、アクセス制御の判定を行う装置と通信できない場合、本来許されないアクセスが可能になってしまうという問題がある。
【課題を解決するための手段】
【0011】
本発明は、上記課題を解決する、つまり、ユーザの場所によるファイルアクセス制御を確実に実施できるファイルアクセス制御方法を提供する。
【0012】
より具体的には、本発明は、以下の特徴を備えるアクセス制御を実施することにより、上記の課題を解決する。すなわち、本発明は、入退室管理システム、ユーザの属性情報及びにファイルへのアクセスポリシを管理するファイルアクセスポリシ管理装置と、ファイルアクセスポリシを実行するクライアントシステムと、を含んで構成されるシステムにおいて、
クライアントシステムは、予め定義されたイベント毎に、ポリシに準拠しているのかどうかの判定を依頼するポリシ準拠判定依頼メッセージをファイルアクセスポリシ管理装置へ送信し、
ファイルアクセスポリシ管理装置は、ポリシ準拠判定依頼メッセージを受信すると、予め定義されたポリシ準拠判定ルールを参照し、判定を依頼されたイベントが、予め定めたポリシに準拠しているのかどうかを判定し、ポリシ準拠判定応答メッセージを作成し、クライアントシステムへ送信し、
クライアントシステムは、ポリシ準拠判定依頼メッセージの送信から予め定めた時間以内に、ポリシ準拠判定応答メッセージを受信した場合に、当該ポリシ準拠判定応答メッセージ内容に従った動作を実施し、ポリシ準拠判定依頼メッセージの送信から予め定めた時間内に、ポリシ準拠判定応答メッセージを受信できない場合は、予め定義されたデフォルトポリシが示すアクセス制御を実行することを特徴とする。
【0013】
なお、イベントとは、クライアントシステムを操作するユーザによるファイル操作の受付け、あるいは、ファイルアクセスポリシ管理装置からのポリシ実施命令メッセージの受付け、のいずれか一つ以上であってもよい。
【0014】
また、ポリシ準拠判定依頼メッセージには、クライアントシステムを操作するユーザを識別するユーザ識別情報、操作対象となるファイルの機密性、ファイル状態のいずれか一つ以上が含まれてもよい。
【0015】
また、ファイルアクセスポリシ管理装置は、ユーザの属性情報及びファイルの属性情報に基づいてファイルアクセス可否の判定を実施するものであってもよい。
【0016】
また、ユーザの属性情報は、ユーザの所属、職位、または、ユーザの現在の所在地のいずれか一つ以上を含み、ファイルの属性情報は、ファイルの機密性、ファイルの作成日時、または、ファイルの作成者のいずれか一つ以上を含んでもよい。
【0017】
また、クライアントシステムは、予め定めた時間内に、ポリシ準拠判定応答メッセージを受信できないと、ポリシ準拠判定依頼メッセージをメッセージ送信キューに追加し、予め定めた他の時間後に、ポリシ準拠判定応答メッセージを再送してもよい。
【0018】
また、アクセス制御とは、(1)ファイルのオープン、クローズ、実行のいずれか一つ以上のファイル操作制御であり、デフォルトポリシは、ファイルのクローズを含む、または、(2)ファイルを扱うアプリケーションが提供する機能の制御であり、デフォルトポリシは、ファイルのクローズを含む、または、(3)ファイルの暗号化、または復号化であり、デフォルトポリシは、ファイルの暗号化、または復号化に用いる鍵情報の破棄を含む、のいずれであってもよい。
【発明の効果】
【0019】
ファイルへのアクセス制御を、ユーザの所在場所に応じて実施するクライアントシステムに、不具合が発生した場合でも、情報漏えいの危険性を小さくすることができる。
【図面の簡単な説明】
【0020】
【図1】第1実施例に係わるファイルアクセス制御システムの機能構成を例示する図。
【図2】リモート管理サーバ装置、ファットクライアント装置、ファイルアクセスポリシ管理装置のハードウェア構成を例示する図。
【図3】シンクライアント装置のハードウェア構成を例示する図。
【図4】ファイルアクセスポリシのデータ構造を例示する図。
【図5】ユーザ属性情報のデータ構造を例示する図。
【図6】ポリシ準拠判定依頼メッセージのデータ構造を例示する図。
【図7】ポリシ準拠判定応答メッセージ、あるいは、ポリシ実施命令メッセージのデータ構造を例示する図。
【図8】ポリシ実施状態メッセージのデータ構造を例示する図。
【図9】ファイル操作状況のデータ構造を例示する図。
【図10】デフォルトポリシのデータ構造を例示する図。
【図11】リモート管理サーバ装置やファットクライアント装置におけるファイルアクセスポリシ動作処理フローを例示する図。
【図12】リモート管理サーバ装置やファットクライアント装置における通信メッセージ処理フローを例示する図。
【図13】ファイルアクセスポリシ管理装置におけるイベント処理フローを例示する図。
【図14】ファイルアクセスポリシ管理装置におけるクライアントシステムのイベント処理フローを例示する図。
【図15】第2実施例に係わるファイルアクセス制御システムのシステム構成を例示する図。
【発明を実施するための形態】
【0021】
以下、本発明を実施するための形態を図面に基づいて詳細に説明する。
【実施例1】
【0022】
図1は、実施例1として説明する情報アクセス制御システムの構成を示すものである。ファイルアクセス制御システムは、入退室管理システム130、ファイルアクセスポリシ管理装置140、少なくとも一つ以上のクライアントシステム100及び110、通信ネットワーク160を含んで構成される。
【0023】
入退室管理システム130は、居室へ入るためのドアやゲートの開閉を制御するシステムである。居室を出入りするユーザを認証し、ドアの開閉を実施する。ユーザ認証の方法としては、個人に貸与されたICカードに含まれる個人識別情報を利用する方法、個人の生体情報を利用する方法がある。
【0024】
また、入退室管理システム130は、居室毎のユーザ在室状況も管理している。ユーザが居室を出入りする毎に、時刻情報、ユーザ識別情報、ドア・ゲート出入りイベント情報、居室情報などが含まれるログを作成し、蓄積する。また、そのログを後述するファイルアクセスポリシ管理装置140へ送信する。
【0025】
ファイルアクセスポリシ管理装置140は、ポリシ管理部144を備える装置である。ポリシ管理部144は、ワープロファイル、プレゼンテーションファイル、表計算ファイル、などのファイルへのアクセスポリシをポリシ情報148として管理する。アクセスポリシとは、情報を利用するユーザの属性情報、及びファイルに関連付けられた属性情報に基づいた情報へのポリシ準拠判定ルールを示す。ポリシ管理部144は、例えば、RFC2251で規定されるLDAPを実装したディレクトリサーバで実現することができる。
【0026】
ユーザの属性情報とは、ユーザ個人を特定する識別情報、ユーザの職位、ユーザが所属する組織情報、ユーザの最新の所在場所(ユーザの所在居室)、等に関する情報である。ファイルに関連付けられた属性情報とは、ファイルの分類、ファイルの機密性、ファイルの作成日時、ファイルの作成者、等に関する情報である。
【0027】
ID情報管理部142は、ユーザの属性情報及びファイルの属性情報をID情報152として管理する。ユーザの属性情報の例としては、ユーザの所属部署の情報やユーザの所在情報がある。
【0028】
ユーザの属性情報は、ファイルアクセスポリシ管理装置140の管理者により、作成されたり、更新されたりする。また、入退室管理システム130から送信されるログに含まれた情報に基づいて更新されることもある。
【0029】
ファイルの属性情報は、ファイルの作成時に、ファイル作成者が手動で設定したもの、あるいは、予め決められたルールに従い、クライアントシステム100や110が設定したものである。ファイルの属性情報は、ID情報152に格納されるだけでなく、ファイルシステムの拡張領域やファイルの中に含まれてもよい。
【0030】
また、ファイルアクセスポリシ管理装置140に含まれるポリシ管理部144は、後述するクライアントシステムから送信されるメッセージを受信し、クライアントシステム内で操作されるファイル操作情報150を管理する。
【0031】
ファイルアクセスポリシ管理装置140は、さらにポリシ準拠判定部146を備える。ポリシ準拠判定部146は、ポリシ情報148、ファイル操作情報150、ID情報152を参照し、ファイルアクセスポリシに準拠しているかどうかを判定する。
【0032】
クライアントシステムは、ユーザ認証を実施後に、クライアントシステム操作者に対して、サービスを提供する。具体的には、ユーザの操作を受け付けて、ワープロファイル、表計算ファイル、プレゼンテーションファイル、などのファイル情報(ファイル124)の作成・編集・表示などのサービスを提供する。
【0033】
クライアントシステムには、以下の2つの形態がある。実施例1では、シンクライアントタイプに基づいて説明を行う。ファットクライアントタイプは、後述する実施例2にて説明する。
【0034】
(1)シンクライアントタイプ:シンクライアント装置100とリモートサーバ装置110を含んで構成される。
【0035】
(2)ファットクライアントタイプ:ファットクライアント装置を含んで構成される。
【0036】
シンクライアントタイプとは、シンクライアント装置100と呼ばれる装置とリモートサーバ装置110と呼ばれる装置が連携して動作する。
【0037】
シンクライアント装置100は、ユーザインタフェース専用の機能に特化している。シンクライアント装置100に含まれるリモートデスクトップクライアントプログラム102は、キーボードやマウス操作などの入力情報を受け取ると、その情報をリモートサーバ装置に送信する。リモートサーバ装置110の構成要素であるリモートデスクトップサーバプログラム118は、受け取った入力情報に基づき、アプリケーション112のサービス処理を実行し、実行結果となる画面情報をシンクライアント装置100に送信する。シンクライアント装置100は、受け取った画面情報に基づいて、ユーザに提示する画面を更新する。リモートデスクトップクライアントプログラム102は、繰り返し(例えば定期的に)リモートデスクトップサーバとの接続状態を確認する。接続できない状態であると、画面をブラックアウトする。
【0038】
シンクライアント装置100とリモートサーバ装置110は、設置場所に違いがある。リモートサーバ装置110は、組織内の専用のコンピュータルームに設置される。一方、シンクライアント装置は、組織内の一般居室に設置されるデスクトップ型のPCだけでなく、組織外に持出すことが可能なノートPCやスマートフォンなどのモバイル型の装置も対象とする。このように設置場所に対して考え方が違うため、シンクライアント装置100とリモートサーバ装置110の間の通信環境は、様々な形態がありうる。例えば、信頼性の高い有線LAN、屋外の通信エリアに制限のある無線通信、低速帯域かつ信頼性の低い衛星回線などが考えられる。
【0039】
リモートサーバ装置110のポリシ管理部114は、ファイルアクセスポリシ管理装置140と通信ネットワーク160を通じて連携を行う。ポリシ管理部114は、ファイルアクセスポリシ管理装置140に問い合わせる、あるいは、ファイルアクセスポリシ管理装置140からの通知により、ファイルへのアクセス可否を判定する。ポリシ実行部116は、判定結果を踏まえて、ファイルへのアクセスポリシを実施する。ポリシ管理部は、ファイル操作状態をファイル操作情報122として管理する。また、リモートデスクトップサーバプログラム118は、ファイルの属性をファイルアクセスポリシ管理装置140へ通知する。
【0040】
リモートサーバ装置110のポリシ管理部114は、予め設定されたポリシ情報120を管理する。ここには、ファイルアクセスポリシ管理装置140に対するファイルアクセス可否の問合せ回答が受信できない場合のアクセスポリシルールが格納される。
【0041】
図2は、ファイルアクセスポリシ管理装置140とリモートサーバ装置110のハードウェア構成例である。
【0042】
これらの装置は、中央演算装置(CPU)202、キーボードやマウスなどの入力装置210、ハードディスクなどの外部記憶装置206や、揮発性の半導体メモリ(RAM)204などの記憶装置、CRTディスプレイ、液晶ディスプレイ、プリンタなどの出力装置212、光磁気メディアなどの記憶媒体216を読み書きするための外部メディアインタフェース214、通信用の通信インタフェース208、がバスなどの内部通信線250で接続された構成を持つ汎用的なコンピュータ機器を用いて実現できる。もちろん、コンピュータ機器に限るわけではなく、ユーザに対する入力装置と出力装置、そして通信装置を備えた計算機であれば使用可能である。
【0043】
通信ネットワーク160は、公衆網、インターネット、ISDN、専用線、LANなどの有線網や移動通信用基地局や通信用人工衛星を利用した無線網などの通信ネットワークで実現できる。但し、入退室管理システム130、ファイルアクセスポリシ管理装置140、リモートサーバ装置110の間の通信では、信頼性の高い常時接続の通信ネットワークを用いるものとする。一方、組織外持ち出しが容易に可能なシンクライアント装置100とリモートサーバ装置110の間は、信頼性が低く接続が不安定な通信ネットワークも含むものとする。
【0044】
なお、各装置は、予め装置に設定された通信先相手となる他の装置アドレスを用いて、通信先と接続し、通信を行う。
【0045】
以上の各装置の各機能や各処理部や、以下に説明する処理内容は、それぞれのCPU202が外部記憶装置206に格納されたプログラムを実行することにより、具現化される。また、各プログラムは、予め各外部記憶装置206に格納されていても良いし、必要に応じて、当該装置が利用可能な、着脱可能な記憶媒体216や通信媒体である通信ネットワーク160または通信ネットワーク160上を伝搬する搬送波やデジタル信号を介して、他の装置から導入されても良い。
【0046】
図3は、シンクライアント装置100のハードウェア構成例である。
【0047】
シンクライアント装置100は、中央演算装置(CPU)302、キーボードやマウスなどの入力装置310、揮発性の半導体メモリ(RAM)304などの記憶装置、不揮発性の半導体メモリ(ROM)306、CRTディスプレイ、液晶ディスプレイ、プリンタなどの出力装置312、通信用の通信インタフェース208、がバスなどの内部通信線350で接続された構成を持つコンピュータ機器を用いて実現できる。通信ネットワーク160は、公衆網、インターネット、ISDN、専用線、LANなどの有線網や移動通信用基地局や通信用人工衛星を利用した無線網などの通信ネットワークで実現できる。
【0048】
なお、シンクライアント装置100は、予め装置に設定された通信先相手となるリモートサーバ装置110の装置アドレスを用いて、通信先と接続し、通信を行う。
【0049】
以下に説明するシンクライアント装置100の動作は、CPU302がROM306に格納されたプログラムを実行することにより、具現化される。
【0050】
図4は、ファイルアクセスポリシ管理装置140が管理するポリシ情報148、すなわち、ポリシ準拠判定ルールの一例である。データベースとして実現することができる。ファイル区分カラム402は、ファイルの属性の一つである機密性を示す情報が格納される。閲覧可能区域カラム404は、ファイル区分に該当するファイルを閲覧してもよい居室を示す場所識別情報が含まれる。この場所識別情報は、入退室管理システム130にて管理される。ポリシ準拠判定部146は、このポリシ情報148を参照することで、ファイルへのアクセス可否を判定することができる。
【0051】
図5は、ファイルアクセスポリシ管理装置140が管理するID情報152の一例である。ディレクトリサーバとして実現することができる。ノード識別情報502は、ディレクトリサーバ内で一意となるノードの番号である。このノードの配下にユーザ属性情報、あるいは、ファイルの属性情報が格納される。図5は、ユーザ属性情報の例を示す。
【0052】
ユーザ識別情報504は、組織内で固有なユーザ識別情報を表す。入退室管理システム130、ファイルポリシ管理装置140、シンクライアント装置100、リモートサーバ装置110は、ユーザ識別情報を共有し、ユーザ識別・ユーザ認証を実行する。ユーザ所属情報506とユーザ職位情報508は、ユーザが所属する組織部門と肩書きをそれぞれ示す。図4で示したポリシ情報148に、これらのユーザ所属情報506やユーザ役職情報508を加えることで、ファイル区分だけでなく、ユーザの属性情報も踏まえたファイルアクセスポリシにしてもよい。
【0053】
ユーザ所在情報510は、入退室管理システム130から得られたユーザの現在の所在場所を示す情報が格納される。このように、ファイルアクセス管理ポリシ管理装置は、ユーザの現在の所在を把握することができる。
【0054】
図6、図7、図8は、リモートサーバ装置110とファイルアクセスポリシ管理装置140の間で送受信される通信メッセージの例を示す。
【0055】
リモートサーバ装置110のポリシ管理部114は、イベント毎に、図6に示されるポリシ準拠判定依頼メッセージ600を作成し、そのメッセージをファイルアクセスポリシ管理装置140へ送信する。ポリシ準拠判定依頼メッセージ600には、メッセージの識別情報となるメッセージID602、リモートサーバ装置110及びシンクライアント装置100の操作者を示すユーザ識別情報604、前記の操作者が、実行しようとしているファイル操作に関わるファイル区分606及びファイル状態608が含まれている。ファイル区分606とは、ファイルの属性の一つである機密性を示す。ファイル状態とは、操作者が要求するファイル操作を示し、例えば、ファイルのオープン、ファイルのクローズ、ファイルの実行(例:プログラムファイルを実行する)などがある。
【0056】
図7は、ファイルアクセスポリシ管理装置140のポリシ準拠判定部146が作成するポリシ準拠判定応答メッセージ700の例である。ポリシ準拠判定応答メッセージ700には、リモートサーバ装置110が作成したポリシ準拠判定依頼メッセージ600に含まれるメッセージID、ポリシに合致しているかどうかの判定結果が含まれるポリシ準拠判定結果704、ポリシに合致していない場合の動作命令が格納される動作命令706が含まれている。ファイルアクセスポリシ管理装置140は、このメッセージを通知することで、ファイルアクセスポリシを徹底させることができる。
【0057】
また、ポリシ準拠判定応答メッセージ700のデータ構造は、ポリシ実施命令メッセージとしても使うことが出来る。ポリシ実施命令メッセージとは、ファイルアクセスポリシ管理装置140が、リモートサーバ装置110へ送信するポリシの実行を命令するメッセージである。
例えば、ファイルアクセスポリシ管理装置140が、ユーザの所在場所が変化したことを検知し、さらに、ポリシ違反であると判断した場合、このポリシ実施命令メッセージを使う。
【0058】
図8は、リモートサーバ装置110のポリシ実行部116が、ファイルアクセスポリシを実施し、その結果を、ファイルアクセスポリシ管理装置140へ通知するときに使用するポリシ実施状態メッセージ800の例である。ポリシ実施状態メッセージ800には、メッセージの識別情報を示すメッセージID802,ポリシの実行結果の状態を示すポリシ実施結果804が含まれる。このメッセージにより、ファイルアクセスポリシ管理装置140は、リモートサーバ装置110のファイル操作状態を把握することができる。
【0059】
図9は、リモートサーバ装置110のポリシ管理部114が管理するファイル操作情報122の例である。データベースとして実現することが可能である。マシン識別情報カラムは、リモートサーバ装置110の識別情報を格納する。ユーザ識別情報カラム904は、シンクライアント装置100を操作するユーザを識別する情報を格納する。ファイル区分カラム906、ファイルパスカラム908、ファイル状態910は、シンクライアント装置100を操作するユーザがアクセス中のファイルの状態を示す。1行目の例では、ファイル属性の一つである機密性が「秘」のファイルであり、かつ、ファイルの論理的な所在が、「c:\a.doc」であるファイルが、「オープン中(閲覧中)」であることを示している。
【0060】
これらのファイル状態を示す情報は、図8に示したポリシ実施状態メッセージ800のポリシ実施結果804に使われる。そのため、ファイルアクセスポリシ管理装置140は、複数のリモートサーバ装置のファイル操作情報150を一元的に把握できる。
【0061】
図10は、リモートサーバ装置110のポリシ管理部114が管理するポリシ情報120に含まれるデフォルトポリシの例である。データベースとして実現することができる。条件カラム1002は、デフォルトポリシの実行条件を示す。動作カラム1004は、前記の条件が満足した場合に実施する動作を示す。例では、ファイルアクセスポリシ管理装置140からポリシ準拠判定応答メッセージ700を一定時間内に受信しなかった場合の動作が記される。ここでは、一定時間として、5秒としており、5秒を過ぎると、ファイル属性として秘区分を持つファイルを閉じる動作を実行する(シンクライアント装置100においてはファイル破棄と同等と見なせる)。このように、フェイルセーフの考えに基づき、デフォルトポリシを実施することにより、ファイルアクセスポリシ管理装置140の明示的な許可がない限り、機密性の高い情報の表示は行われない。その結果、ファイルアクセスポリシを実施するクライアントシステムが、ファイルアクセス制御を実施する際に、不具合の発生時にも、情報漏えいの危険性を小さくすることが可能となる。
【0062】
なお、これらのデフォルトポリシは、予め、管理者によって、登録されたものである。ファイルアクセスポリシ管理装置140を操作する管理者が、新たなデフォルトポリシをポリシ情報148として登録したり、ポリシ情報148として登録済みのデフォルトポリシの内容を変更したりする。ファイルアクセスポリシ管理装置140は、リモートサーバ装置110に対して、これらのデフォルトポリシを通信ネットワーク160経由で配信する。
【0063】
図11及び図12は、リモートサーバ装置110内で実行されるファイルアクセスポリシ実施処理動作を示すフロー例である。
【0064】
リモートサーバ装置110が起動すると、ポリシ管理部114は、ステップ1104にて、ファイル操作の監視を開始する。ポリシ管理部114は、ステップ1106にて、イベントの発生有無を判定する。ここで、イベントとは、シンクライアント装置100を操作するユーザからのファイル操作受付け、または、ファイルアクセスポリシ管理装置140からのポリシ実施命令メッセージの受付け、の少なくともどれかである。イベント発生がなければ(ステップ1106でNo)、イベント発生まで待ち続ける。イベント発生時(ステップ1106でYes)は、イベント内容に従って以下の処理を実行する。
【0065】
(1)ユーザからのファイル操作受付
イベントが、ユーザからのファイル操作受付、例えば、ファイルの選択またはファイルのオープンだった場合、ポリシ管理部114及びポリシ実行部116が実行する、ステップ1108の実行内容は、図12の処理フローとなる。
【0066】
ポリシ管理部114は、図12のステップ1204にて、図6に示したポリシ準拠判定依頼メッセージ600を作成する。次に、ステップ1206にて、ポリシ準拠判定依頼メッセージ600をファイルアクセスポリシ管理装置140に送信する。さらに、ステップ1208にて、図7に示すポリシ準拠判定応答メッセージ700の受信を待つ。ステップ1206での送信から、予め、ポリシ情報120に含まれる図10に示すデフォルトポリシに定めた時間内に受信しない場合(ステップ1208でNo)は、ステップ1212にて、ポリシ実行部116は、当該デフォルトポリシを実行する。一方、予め定めた時間内に受信すれば(ステップ1208でYes)、ポリシ実行部116は、ステップ1210にて、受信したポリシ準拠判定応答メッセージ700に含まれる動作を実行する。その後、ステップ1214にて、図8に示すポリシ実施状態メッセージ800をファイルアクセスポリシ管理装置140に送信する。
【0067】
(2)ポリシ実施命令メッセージ受付
イベントが、ポリシ実施命令メッセージ受付であった場合は、ステップ1108にて、ポリシ管理部114は、メッセージに含まれるポリシ実施内容を確認し、ポリシ実行部116は、当該ポリシを実施する。その後、ポリシ管理部114は、その実施結果をファイルアクセスポリシ管理装置140に通知する。
【0068】
ポリシ管理部114は、ステップ1110にて、リモートサーバ装置110がシャットダウン状態を判定し、シャットダウンであれば(ステップ1112でYes)、ファイル操作監視を終了する。
【0069】
以上のように、リモートサーバ装置110は、フェイルセーフの考えに基づき、ファイルアクセスポリシ管理装置140の明示的な許可がない限り、機密性の高い情報の表示は行わない。その結果、ファイルアクセスポリシを実施するクライアントシステムが、ファイルアクセス制御を実施する際に、不具合の発生時にも、情報漏えいの危険性を小さくすることが可能となる。
【0070】
なお、ポリシ管理部114及びポリシ実行部116は、ファイルに関連付けられたアプリケーション112の拡張機能(プラグイン)の形で実装することができる。また、オペレーティングシステムと同等な権限を持つ特権プログラム(例えば、デバイスドライバ)として実現し、アプリケーション112及びファイル操作などを監視・制御する形で実装することもできる。
【0071】
また、図11と図12の処理フローにて、リモートサーバ装置110は、永続的なメッセージキューを用いて図6に示すポリシ準拠判定依頼600を送信してもよい。つまり、リモートサーバ装置110とファイルアクセスポリシ管理装置140の間で通信できない場合は、リモートサーバ装置110は、ポリシ準拠判定依頼メッセージ600をメッセージキューに蓄積し、接続可能な状態になったときに、再送するようにすることができる。このようにすることで、通信メッセージの作成処理の二度手間を削減することができる。
【0072】
図13は、ファイルアクセスポリシ管理装置140がイベントを処理する動作を示すフロー図である。ファイルアクセスポリシ管理装置140は、イベントの種類に応じて、以降に示す処理を実行する。
【0073】
ステップ1304にて、ファイルアクセスポリシ管理装置140に含まれたポリシ管理部144は、イベントの受信を判定する。ステップ1306にて、受信したイベントが、入退室管理システム130からのイベント、すなわち、ユーザが居室を出入りしたときに、入退室管理システム130が作成するログを含む場合(ステップ1306でYes)には、ID情報管理部142は、ステップ1308にて、ID情報152を更新する。
【0074】
次に、ステップ1310にて、ポリシ準拠判定部146は、ファイル操作情報150、更新されたID情報152、及びポリシ情報148を参照し、ポリシに準拠しているのかどうかを判定する。具体的には、ファイル操作情報150に含まれるユーザ識別情報904及びID情報152に含まれるユーザ識別情報504をキーとして、ユーザ識別情報、ユーザ所在情報510、ファイル区分906、ファイル状態910を抽出し、ポリシ情報148に含まれるファイル区分402及び閲覧可能区域404(ファイルのオープンを許可する場所)に違反していないかどうかを確認する。
【0075】
ステップ1312にて、ポリシ準拠判定部146は、ポリシ準拠違反があると判断する(ステップ1312でYes)と、ステップ1314にて、ポリシ管理部144は、ポリシ実施命令メッセージ700を作成し、該当するリモートサーバ装置110へ送信する。
【0076】
ファイルアクセスポリシ管理装置140に含まれるポリシ管理部144が、ステップ1306でNoと判断し、さらに、ステップ1316にて、受信イベントが、クライアントシステムのイベントであると判定する(ステップ1316でYes)と、ステップ1318にて、ポリシ管理部144及びポリシ準拠判定部146は、図14にて説明するクライアントシステムイベント処理を実行する。
【0077】
ファイルアクセスポリシ管理装置140に含まれるポリシ管理部144が、ステップ1316でNoと判断し、さらに、ステップ1320にて、受信イベントが管理者による管理イベントである、すなわち、管理者操作を受け付けたとする(ステップ1320でYes)と、操作内容に応じて、ポリシ管理部144及びID情報管理部142は、それぞれ、ポリシ情報148とID情報152を更新する。例えば、操作内容が、ファイル区分が「秘」であるファイルの閲覧可能区域の追加(例えば、A008という新たな区域を追加)であれば、ポリシ管理部144は、図4に示すポリシ情報におけるファイル区分カラム402が「秘」に対応する閲覧可能区域カラム404に当該追加情報を追記する。
【0078】
図14は、図13に示す、ファイルアクセスポリシ管理装置140におけるクライアントシステムイベント処理1318の詳細な動作フローを示す。
【0079】
ステップ1404にて、ポリシ管理部144は、リモートサーバ装置110から受信したイベントが、ポリシ準拠判定依頼メッセージを示すものであると判定すると(ステップ1404でYes)、ポリシ準拠判定部146は、ステップ1406にて、ポリシ準拠判定を実施する。具体的には、ポリシ準拠判定依頼メッセージに含まれるユーザ識別情報604及びID情報152に含まれるユーザ識別情報504をキーとして、ユーザ識別情報、ユーザ所在情報510、ファイル区分906、ファイル状態910を抽出し、ポリシ情報148に含まれるファイル区分402及び閲覧可能区域404(ファイルのオープンを許可する場所)に違反していないかどうかを確認する。
【0080】
次に、ステップ1408にて、ポリシ管理部144は、ポリシ準拠判定応答メッセージを作成し、該当するリモートサーバ装置110へ送信する。例えば、リモートサーバ装置110が、ファイルオープンを許可する場所には、存在していないと判断すると、ポリシ準拠判定結果704には、「ポリシ違反」との文字列が格納され、動作命令706には、「ファイルのクローズ」という文字列が格納される。なお、ポリシ準拠判定結果704及び動作命令706の定義は、管理者によって定義され、ポリシ情報148に格納されるものである。
【0081】
ポリシ管理部144が、ステップ1404にて、リモートサーバ装置110から受信したイベントが、ポリシ準拠判定依頼メッセージではないと判定し(ステップ1404でNo)、さらに、ステップ1410にて、リモートサーバ装置110から受信したイベントが、ポリシ実施状態メッセージであると判定すると(ステップ1410でYes)、ステップ1412にて、ポリシ管理部144は、ポリシ実施状態メッセージのポリシ実施結果804に含まれた情報をファイル操作情報150に追記する。
【実施例2】
【0082】
図15は、実施例2として説明する、ファットクライアントタイプを採用したクライアントシステムを使った場合のファイルアクセス制御システムの構成例である。
【0083】
実施例1で示したシンクライアント装置100及びリモートサーバ装置110の両者で提供していた機能が、ファットクライアント装置1500に実装されている。ファットクライアント装置1500は、図2に示されるハードウェア構成で実現可能である。また、以下に説明するファットクライアント装置1500の動作は、CPU202が外部記憶装置206に格納されたプログラムを実行することにより、具現化される。なお、ファットクライアント装置1500には、居室に設置されるデスクトップ型のPCだけでなく、可搬性のあるノートPCやPDAも含まれる。
【0084】
実施例2では、ファットクライアント装置1500にて作成される情報ファイルは、ファイルアクセスポリシ管理装置1520と連携し、暗号化される。具体的には、ファットクライアント装置1500のポリシ実行部1506は、ファイルアクセスポリシ管理装置1520の鍵管理部1522が管理する鍵情報1524を参照し、アクセス制御として、情報ファイルの暗号化を実行する。
【0085】
ファットクライアント装置1500が、ユーザからファイル操作の命令を受け付けると、図11及び図12にて説明したポリシ確認・実施処理を実行する。
【0086】
このとき、ファイルアクセスポリシ管理装置1520がファイルアクセスを許可した場合、図7に示すポリシ準拠判定応答メッセージ700の動作命令706の中には、ファイルを復号するための鍵情報が含まれる。次に、ファットクライアント装置1500のポリシ実行部は、受け取った鍵情報を用いて、アクセス制御として、暗号化されたファイルを復号化する。
【0087】
一方、ファットクライアント装置1500が、ステップ1208にて、ステップ1206での送信から予め定めた時間内に、図7に示すポリシ準拠判定応答メッセージ700を受信できない場合(ステップ1208でNo)、デフォルトポリシの実行を行う。なお、ファイルの復号化に用いた鍵情報をキャッシュとして保持していた場合は、その鍵情報の破棄も、デフォルトポリシに含める。
【0088】
以上のように、実施例1及び実施例2から示されるように、ファイルアクセスポリシ管理装置(140あるいは1520)の明示的な許可がない限り、機密性の高いファイルへのアクセスは禁止される。その結果、クライアントシステムが、ファイルアクセスポリシに従い、ユーザの場所に応じたファイルアクセス制御を実施する際に、ユーザの位置が特定できないなどの不具合の発生時にも、情報漏えいの危険性を非常に小さくすることが可能となる。
【0089】
上記各実施形態は、組織の内部統制強化や情報セキュリティマネジメントシステムの一環としての情報セキュリティ対策として組織内の業務システムに組み込むことが可能である。
【符号の説明】
【0090】
100:シンクライアント装置、102:リモートデスクトップクライアント、110:リモートサーバ装置、112:アプリケーション、114:ポリシ管理部、118:リモートデスクトップサーバ、120:ポリシ情報、122:ファイル操作情報、124:ファイル、130:入退室管理システム、140:ファイルアクセスポリシ管理装置、142:ID情報管理部、144:ポリシ管理部、146:ポリシ準拠判定部、148:ポリシ情報、150:ファイル操作情報、152:ID情報。
【技術分野】
【0001】
本発明は、ファイルアクセス制御技術に関するものである。
【背景技術】
【0002】
企業や官公庁自治体などの組織では、情報の電子化が進展し、大量の電子ファイルが組織内に蓄積されている。また、いつでも、どこでも、これらの電子ファイルにアクセスできるような利便性の高い環境になっている。その一方で、内部者の不注意により、個人情報などの機密性の高いファイルが、インターネット上で漏洩するなど情報漏洩の問題が深刻化しており、その対策が急務となっている。
【0003】
従来は、ファイルの機密性に応じて、情報にアクセスできるユーザを制限してきたが、今後は、さらに、アクセスできるユーザであったとしても、不適切な時間帯や場所であれば、ファイルに対するアクセスを制限するような運用が求められてくる。特に、セキュリティ対策が及びにくい組織外からのファイルアクセスは制限されるべきである。
【0004】
場所によって、ファイルに対するアクセスを制限する方法として、GPS(Global Positioning System)や携帯電話の位置情報を利用し、ユーザの所在を特定し、ファイルアクセス制御する方法が考えられてきた。
【0005】
例えば、特許文献1に開示の技術は、ユーザの所在情報として、携帯電話網の基地局の位置情報を利用している。ここでは、ユーザ認証及びユーザのアクセス元の場所情報に基づいて、ファイルに対するアクセス制御を実現している。
【0006】
また、特許文献2に開示の技術は、入退室管理システムを使って、ユーザの所在居室を特定している。ここでは、所在居室に応じて、ファイルアクセスを許すかどうかを判定している。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2008−257412号公報
【特許文献2】特開2008−282182号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
上記の特許文献1及び特許文献2に開示の技術によれば、ユーザの場所に応じて、ファイルへのアクセス制御を実行するための判定を行うことが可能である。ところが、情報へのアクセス制御を確実に実施することができるとは限らない状況がありうる。
【0009】
例えば、携帯電話やGPSを使った位置特定方法は、携帯電話網の圏外やGPS信号が到達しない領域での信頼性に乏しく、場合によっては、許されない情報アクセスを許可してしまう可能性がある。
【0010】
また、上記の特許文献2は、ユーザの所在を判定し、アクセス制御の判定を行う装置とアクセス制御を実施する装置が、通信ネットワークが常時接続していることを前提としている。そのため、アクセス制御を実施する装置が、アクセス制御の判定を行う装置と通信できない場合、本来許されないアクセスが可能になってしまうという問題がある。
【課題を解決するための手段】
【0011】
本発明は、上記課題を解決する、つまり、ユーザの場所によるファイルアクセス制御を確実に実施できるファイルアクセス制御方法を提供する。
【0012】
より具体的には、本発明は、以下の特徴を備えるアクセス制御を実施することにより、上記の課題を解決する。すなわち、本発明は、入退室管理システム、ユーザの属性情報及びにファイルへのアクセスポリシを管理するファイルアクセスポリシ管理装置と、ファイルアクセスポリシを実行するクライアントシステムと、を含んで構成されるシステムにおいて、
クライアントシステムは、予め定義されたイベント毎に、ポリシに準拠しているのかどうかの判定を依頼するポリシ準拠判定依頼メッセージをファイルアクセスポリシ管理装置へ送信し、
ファイルアクセスポリシ管理装置は、ポリシ準拠判定依頼メッセージを受信すると、予め定義されたポリシ準拠判定ルールを参照し、判定を依頼されたイベントが、予め定めたポリシに準拠しているのかどうかを判定し、ポリシ準拠判定応答メッセージを作成し、クライアントシステムへ送信し、
クライアントシステムは、ポリシ準拠判定依頼メッセージの送信から予め定めた時間以内に、ポリシ準拠判定応答メッセージを受信した場合に、当該ポリシ準拠判定応答メッセージ内容に従った動作を実施し、ポリシ準拠判定依頼メッセージの送信から予め定めた時間内に、ポリシ準拠判定応答メッセージを受信できない場合は、予め定義されたデフォルトポリシが示すアクセス制御を実行することを特徴とする。
【0013】
なお、イベントとは、クライアントシステムを操作するユーザによるファイル操作の受付け、あるいは、ファイルアクセスポリシ管理装置からのポリシ実施命令メッセージの受付け、のいずれか一つ以上であってもよい。
【0014】
また、ポリシ準拠判定依頼メッセージには、クライアントシステムを操作するユーザを識別するユーザ識別情報、操作対象となるファイルの機密性、ファイル状態のいずれか一つ以上が含まれてもよい。
【0015】
また、ファイルアクセスポリシ管理装置は、ユーザの属性情報及びファイルの属性情報に基づいてファイルアクセス可否の判定を実施するものであってもよい。
【0016】
また、ユーザの属性情報は、ユーザの所属、職位、または、ユーザの現在の所在地のいずれか一つ以上を含み、ファイルの属性情報は、ファイルの機密性、ファイルの作成日時、または、ファイルの作成者のいずれか一つ以上を含んでもよい。
【0017】
また、クライアントシステムは、予め定めた時間内に、ポリシ準拠判定応答メッセージを受信できないと、ポリシ準拠判定依頼メッセージをメッセージ送信キューに追加し、予め定めた他の時間後に、ポリシ準拠判定応答メッセージを再送してもよい。
【0018】
また、アクセス制御とは、(1)ファイルのオープン、クローズ、実行のいずれか一つ以上のファイル操作制御であり、デフォルトポリシは、ファイルのクローズを含む、または、(2)ファイルを扱うアプリケーションが提供する機能の制御であり、デフォルトポリシは、ファイルのクローズを含む、または、(3)ファイルの暗号化、または復号化であり、デフォルトポリシは、ファイルの暗号化、または復号化に用いる鍵情報の破棄を含む、のいずれであってもよい。
【発明の効果】
【0019】
ファイルへのアクセス制御を、ユーザの所在場所に応じて実施するクライアントシステムに、不具合が発生した場合でも、情報漏えいの危険性を小さくすることができる。
【図面の簡単な説明】
【0020】
【図1】第1実施例に係わるファイルアクセス制御システムの機能構成を例示する図。
【図2】リモート管理サーバ装置、ファットクライアント装置、ファイルアクセスポリシ管理装置のハードウェア構成を例示する図。
【図3】シンクライアント装置のハードウェア構成を例示する図。
【図4】ファイルアクセスポリシのデータ構造を例示する図。
【図5】ユーザ属性情報のデータ構造を例示する図。
【図6】ポリシ準拠判定依頼メッセージのデータ構造を例示する図。
【図7】ポリシ準拠判定応答メッセージ、あるいは、ポリシ実施命令メッセージのデータ構造を例示する図。
【図8】ポリシ実施状態メッセージのデータ構造を例示する図。
【図9】ファイル操作状況のデータ構造を例示する図。
【図10】デフォルトポリシのデータ構造を例示する図。
【図11】リモート管理サーバ装置やファットクライアント装置におけるファイルアクセスポリシ動作処理フローを例示する図。
【図12】リモート管理サーバ装置やファットクライアント装置における通信メッセージ処理フローを例示する図。
【図13】ファイルアクセスポリシ管理装置におけるイベント処理フローを例示する図。
【図14】ファイルアクセスポリシ管理装置におけるクライアントシステムのイベント処理フローを例示する図。
【図15】第2実施例に係わるファイルアクセス制御システムのシステム構成を例示する図。
【発明を実施するための形態】
【0021】
以下、本発明を実施するための形態を図面に基づいて詳細に説明する。
【実施例1】
【0022】
図1は、実施例1として説明する情報アクセス制御システムの構成を示すものである。ファイルアクセス制御システムは、入退室管理システム130、ファイルアクセスポリシ管理装置140、少なくとも一つ以上のクライアントシステム100及び110、通信ネットワーク160を含んで構成される。
【0023】
入退室管理システム130は、居室へ入るためのドアやゲートの開閉を制御するシステムである。居室を出入りするユーザを認証し、ドアの開閉を実施する。ユーザ認証の方法としては、個人に貸与されたICカードに含まれる個人識別情報を利用する方法、個人の生体情報を利用する方法がある。
【0024】
また、入退室管理システム130は、居室毎のユーザ在室状況も管理している。ユーザが居室を出入りする毎に、時刻情報、ユーザ識別情報、ドア・ゲート出入りイベント情報、居室情報などが含まれるログを作成し、蓄積する。また、そのログを後述するファイルアクセスポリシ管理装置140へ送信する。
【0025】
ファイルアクセスポリシ管理装置140は、ポリシ管理部144を備える装置である。ポリシ管理部144は、ワープロファイル、プレゼンテーションファイル、表計算ファイル、などのファイルへのアクセスポリシをポリシ情報148として管理する。アクセスポリシとは、情報を利用するユーザの属性情報、及びファイルに関連付けられた属性情報に基づいた情報へのポリシ準拠判定ルールを示す。ポリシ管理部144は、例えば、RFC2251で規定されるLDAPを実装したディレクトリサーバで実現することができる。
【0026】
ユーザの属性情報とは、ユーザ個人を特定する識別情報、ユーザの職位、ユーザが所属する組織情報、ユーザの最新の所在場所(ユーザの所在居室)、等に関する情報である。ファイルに関連付けられた属性情報とは、ファイルの分類、ファイルの機密性、ファイルの作成日時、ファイルの作成者、等に関する情報である。
【0027】
ID情報管理部142は、ユーザの属性情報及びファイルの属性情報をID情報152として管理する。ユーザの属性情報の例としては、ユーザの所属部署の情報やユーザの所在情報がある。
【0028】
ユーザの属性情報は、ファイルアクセスポリシ管理装置140の管理者により、作成されたり、更新されたりする。また、入退室管理システム130から送信されるログに含まれた情報に基づいて更新されることもある。
【0029】
ファイルの属性情報は、ファイルの作成時に、ファイル作成者が手動で設定したもの、あるいは、予め決められたルールに従い、クライアントシステム100や110が設定したものである。ファイルの属性情報は、ID情報152に格納されるだけでなく、ファイルシステムの拡張領域やファイルの中に含まれてもよい。
【0030】
また、ファイルアクセスポリシ管理装置140に含まれるポリシ管理部144は、後述するクライアントシステムから送信されるメッセージを受信し、クライアントシステム内で操作されるファイル操作情報150を管理する。
【0031】
ファイルアクセスポリシ管理装置140は、さらにポリシ準拠判定部146を備える。ポリシ準拠判定部146は、ポリシ情報148、ファイル操作情報150、ID情報152を参照し、ファイルアクセスポリシに準拠しているかどうかを判定する。
【0032】
クライアントシステムは、ユーザ認証を実施後に、クライアントシステム操作者に対して、サービスを提供する。具体的には、ユーザの操作を受け付けて、ワープロファイル、表計算ファイル、プレゼンテーションファイル、などのファイル情報(ファイル124)の作成・編集・表示などのサービスを提供する。
【0033】
クライアントシステムには、以下の2つの形態がある。実施例1では、シンクライアントタイプに基づいて説明を行う。ファットクライアントタイプは、後述する実施例2にて説明する。
【0034】
(1)シンクライアントタイプ:シンクライアント装置100とリモートサーバ装置110を含んで構成される。
【0035】
(2)ファットクライアントタイプ:ファットクライアント装置を含んで構成される。
【0036】
シンクライアントタイプとは、シンクライアント装置100と呼ばれる装置とリモートサーバ装置110と呼ばれる装置が連携して動作する。
【0037】
シンクライアント装置100は、ユーザインタフェース専用の機能に特化している。シンクライアント装置100に含まれるリモートデスクトップクライアントプログラム102は、キーボードやマウス操作などの入力情報を受け取ると、その情報をリモートサーバ装置に送信する。リモートサーバ装置110の構成要素であるリモートデスクトップサーバプログラム118は、受け取った入力情報に基づき、アプリケーション112のサービス処理を実行し、実行結果となる画面情報をシンクライアント装置100に送信する。シンクライアント装置100は、受け取った画面情報に基づいて、ユーザに提示する画面を更新する。リモートデスクトップクライアントプログラム102は、繰り返し(例えば定期的に)リモートデスクトップサーバとの接続状態を確認する。接続できない状態であると、画面をブラックアウトする。
【0038】
シンクライアント装置100とリモートサーバ装置110は、設置場所に違いがある。リモートサーバ装置110は、組織内の専用のコンピュータルームに設置される。一方、シンクライアント装置は、組織内の一般居室に設置されるデスクトップ型のPCだけでなく、組織外に持出すことが可能なノートPCやスマートフォンなどのモバイル型の装置も対象とする。このように設置場所に対して考え方が違うため、シンクライアント装置100とリモートサーバ装置110の間の通信環境は、様々な形態がありうる。例えば、信頼性の高い有線LAN、屋外の通信エリアに制限のある無線通信、低速帯域かつ信頼性の低い衛星回線などが考えられる。
【0039】
リモートサーバ装置110のポリシ管理部114は、ファイルアクセスポリシ管理装置140と通信ネットワーク160を通じて連携を行う。ポリシ管理部114は、ファイルアクセスポリシ管理装置140に問い合わせる、あるいは、ファイルアクセスポリシ管理装置140からの通知により、ファイルへのアクセス可否を判定する。ポリシ実行部116は、判定結果を踏まえて、ファイルへのアクセスポリシを実施する。ポリシ管理部は、ファイル操作状態をファイル操作情報122として管理する。また、リモートデスクトップサーバプログラム118は、ファイルの属性をファイルアクセスポリシ管理装置140へ通知する。
【0040】
リモートサーバ装置110のポリシ管理部114は、予め設定されたポリシ情報120を管理する。ここには、ファイルアクセスポリシ管理装置140に対するファイルアクセス可否の問合せ回答が受信できない場合のアクセスポリシルールが格納される。
【0041】
図2は、ファイルアクセスポリシ管理装置140とリモートサーバ装置110のハードウェア構成例である。
【0042】
これらの装置は、中央演算装置(CPU)202、キーボードやマウスなどの入力装置210、ハードディスクなどの外部記憶装置206や、揮発性の半導体メモリ(RAM)204などの記憶装置、CRTディスプレイ、液晶ディスプレイ、プリンタなどの出力装置212、光磁気メディアなどの記憶媒体216を読み書きするための外部メディアインタフェース214、通信用の通信インタフェース208、がバスなどの内部通信線250で接続された構成を持つ汎用的なコンピュータ機器を用いて実現できる。もちろん、コンピュータ機器に限るわけではなく、ユーザに対する入力装置と出力装置、そして通信装置を備えた計算機であれば使用可能である。
【0043】
通信ネットワーク160は、公衆網、インターネット、ISDN、専用線、LANなどの有線網や移動通信用基地局や通信用人工衛星を利用した無線網などの通信ネットワークで実現できる。但し、入退室管理システム130、ファイルアクセスポリシ管理装置140、リモートサーバ装置110の間の通信では、信頼性の高い常時接続の通信ネットワークを用いるものとする。一方、組織外持ち出しが容易に可能なシンクライアント装置100とリモートサーバ装置110の間は、信頼性が低く接続が不安定な通信ネットワークも含むものとする。
【0044】
なお、各装置は、予め装置に設定された通信先相手となる他の装置アドレスを用いて、通信先と接続し、通信を行う。
【0045】
以上の各装置の各機能や各処理部や、以下に説明する処理内容は、それぞれのCPU202が外部記憶装置206に格納されたプログラムを実行することにより、具現化される。また、各プログラムは、予め各外部記憶装置206に格納されていても良いし、必要に応じて、当該装置が利用可能な、着脱可能な記憶媒体216や通信媒体である通信ネットワーク160または通信ネットワーク160上を伝搬する搬送波やデジタル信号を介して、他の装置から導入されても良い。
【0046】
図3は、シンクライアント装置100のハードウェア構成例である。
【0047】
シンクライアント装置100は、中央演算装置(CPU)302、キーボードやマウスなどの入力装置310、揮発性の半導体メモリ(RAM)304などの記憶装置、不揮発性の半導体メモリ(ROM)306、CRTディスプレイ、液晶ディスプレイ、プリンタなどの出力装置312、通信用の通信インタフェース208、がバスなどの内部通信線350で接続された構成を持つコンピュータ機器を用いて実現できる。通信ネットワーク160は、公衆網、インターネット、ISDN、専用線、LANなどの有線網や移動通信用基地局や通信用人工衛星を利用した無線網などの通信ネットワークで実現できる。
【0048】
なお、シンクライアント装置100は、予め装置に設定された通信先相手となるリモートサーバ装置110の装置アドレスを用いて、通信先と接続し、通信を行う。
【0049】
以下に説明するシンクライアント装置100の動作は、CPU302がROM306に格納されたプログラムを実行することにより、具現化される。
【0050】
図4は、ファイルアクセスポリシ管理装置140が管理するポリシ情報148、すなわち、ポリシ準拠判定ルールの一例である。データベースとして実現することができる。ファイル区分カラム402は、ファイルの属性の一つである機密性を示す情報が格納される。閲覧可能区域カラム404は、ファイル区分に該当するファイルを閲覧してもよい居室を示す場所識別情報が含まれる。この場所識別情報は、入退室管理システム130にて管理される。ポリシ準拠判定部146は、このポリシ情報148を参照することで、ファイルへのアクセス可否を判定することができる。
【0051】
図5は、ファイルアクセスポリシ管理装置140が管理するID情報152の一例である。ディレクトリサーバとして実現することができる。ノード識別情報502は、ディレクトリサーバ内で一意となるノードの番号である。このノードの配下にユーザ属性情報、あるいは、ファイルの属性情報が格納される。図5は、ユーザ属性情報の例を示す。
【0052】
ユーザ識別情報504は、組織内で固有なユーザ識別情報を表す。入退室管理システム130、ファイルポリシ管理装置140、シンクライアント装置100、リモートサーバ装置110は、ユーザ識別情報を共有し、ユーザ識別・ユーザ認証を実行する。ユーザ所属情報506とユーザ職位情報508は、ユーザが所属する組織部門と肩書きをそれぞれ示す。図4で示したポリシ情報148に、これらのユーザ所属情報506やユーザ役職情報508を加えることで、ファイル区分だけでなく、ユーザの属性情報も踏まえたファイルアクセスポリシにしてもよい。
【0053】
ユーザ所在情報510は、入退室管理システム130から得られたユーザの現在の所在場所を示す情報が格納される。このように、ファイルアクセス管理ポリシ管理装置は、ユーザの現在の所在を把握することができる。
【0054】
図6、図7、図8は、リモートサーバ装置110とファイルアクセスポリシ管理装置140の間で送受信される通信メッセージの例を示す。
【0055】
リモートサーバ装置110のポリシ管理部114は、イベント毎に、図6に示されるポリシ準拠判定依頼メッセージ600を作成し、そのメッセージをファイルアクセスポリシ管理装置140へ送信する。ポリシ準拠判定依頼メッセージ600には、メッセージの識別情報となるメッセージID602、リモートサーバ装置110及びシンクライアント装置100の操作者を示すユーザ識別情報604、前記の操作者が、実行しようとしているファイル操作に関わるファイル区分606及びファイル状態608が含まれている。ファイル区分606とは、ファイルの属性の一つである機密性を示す。ファイル状態とは、操作者が要求するファイル操作を示し、例えば、ファイルのオープン、ファイルのクローズ、ファイルの実行(例:プログラムファイルを実行する)などがある。
【0056】
図7は、ファイルアクセスポリシ管理装置140のポリシ準拠判定部146が作成するポリシ準拠判定応答メッセージ700の例である。ポリシ準拠判定応答メッセージ700には、リモートサーバ装置110が作成したポリシ準拠判定依頼メッセージ600に含まれるメッセージID、ポリシに合致しているかどうかの判定結果が含まれるポリシ準拠判定結果704、ポリシに合致していない場合の動作命令が格納される動作命令706が含まれている。ファイルアクセスポリシ管理装置140は、このメッセージを通知することで、ファイルアクセスポリシを徹底させることができる。
【0057】
また、ポリシ準拠判定応答メッセージ700のデータ構造は、ポリシ実施命令メッセージとしても使うことが出来る。ポリシ実施命令メッセージとは、ファイルアクセスポリシ管理装置140が、リモートサーバ装置110へ送信するポリシの実行を命令するメッセージである。
例えば、ファイルアクセスポリシ管理装置140が、ユーザの所在場所が変化したことを検知し、さらに、ポリシ違反であると判断した場合、このポリシ実施命令メッセージを使う。
【0058】
図8は、リモートサーバ装置110のポリシ実行部116が、ファイルアクセスポリシを実施し、その結果を、ファイルアクセスポリシ管理装置140へ通知するときに使用するポリシ実施状態メッセージ800の例である。ポリシ実施状態メッセージ800には、メッセージの識別情報を示すメッセージID802,ポリシの実行結果の状態を示すポリシ実施結果804が含まれる。このメッセージにより、ファイルアクセスポリシ管理装置140は、リモートサーバ装置110のファイル操作状態を把握することができる。
【0059】
図9は、リモートサーバ装置110のポリシ管理部114が管理するファイル操作情報122の例である。データベースとして実現することが可能である。マシン識別情報カラムは、リモートサーバ装置110の識別情報を格納する。ユーザ識別情報カラム904は、シンクライアント装置100を操作するユーザを識別する情報を格納する。ファイル区分カラム906、ファイルパスカラム908、ファイル状態910は、シンクライアント装置100を操作するユーザがアクセス中のファイルの状態を示す。1行目の例では、ファイル属性の一つである機密性が「秘」のファイルであり、かつ、ファイルの論理的な所在が、「c:\a.doc」であるファイルが、「オープン中(閲覧中)」であることを示している。
【0060】
これらのファイル状態を示す情報は、図8に示したポリシ実施状態メッセージ800のポリシ実施結果804に使われる。そのため、ファイルアクセスポリシ管理装置140は、複数のリモートサーバ装置のファイル操作情報150を一元的に把握できる。
【0061】
図10は、リモートサーバ装置110のポリシ管理部114が管理するポリシ情報120に含まれるデフォルトポリシの例である。データベースとして実現することができる。条件カラム1002は、デフォルトポリシの実行条件を示す。動作カラム1004は、前記の条件が満足した場合に実施する動作を示す。例では、ファイルアクセスポリシ管理装置140からポリシ準拠判定応答メッセージ700を一定時間内に受信しなかった場合の動作が記される。ここでは、一定時間として、5秒としており、5秒を過ぎると、ファイル属性として秘区分を持つファイルを閉じる動作を実行する(シンクライアント装置100においてはファイル破棄と同等と見なせる)。このように、フェイルセーフの考えに基づき、デフォルトポリシを実施することにより、ファイルアクセスポリシ管理装置140の明示的な許可がない限り、機密性の高い情報の表示は行われない。その結果、ファイルアクセスポリシを実施するクライアントシステムが、ファイルアクセス制御を実施する際に、不具合の発生時にも、情報漏えいの危険性を小さくすることが可能となる。
【0062】
なお、これらのデフォルトポリシは、予め、管理者によって、登録されたものである。ファイルアクセスポリシ管理装置140を操作する管理者が、新たなデフォルトポリシをポリシ情報148として登録したり、ポリシ情報148として登録済みのデフォルトポリシの内容を変更したりする。ファイルアクセスポリシ管理装置140は、リモートサーバ装置110に対して、これらのデフォルトポリシを通信ネットワーク160経由で配信する。
【0063】
図11及び図12は、リモートサーバ装置110内で実行されるファイルアクセスポリシ実施処理動作を示すフロー例である。
【0064】
リモートサーバ装置110が起動すると、ポリシ管理部114は、ステップ1104にて、ファイル操作の監視を開始する。ポリシ管理部114は、ステップ1106にて、イベントの発生有無を判定する。ここで、イベントとは、シンクライアント装置100を操作するユーザからのファイル操作受付け、または、ファイルアクセスポリシ管理装置140からのポリシ実施命令メッセージの受付け、の少なくともどれかである。イベント発生がなければ(ステップ1106でNo)、イベント発生まで待ち続ける。イベント発生時(ステップ1106でYes)は、イベント内容に従って以下の処理を実行する。
【0065】
(1)ユーザからのファイル操作受付
イベントが、ユーザからのファイル操作受付、例えば、ファイルの選択またはファイルのオープンだった場合、ポリシ管理部114及びポリシ実行部116が実行する、ステップ1108の実行内容は、図12の処理フローとなる。
【0066】
ポリシ管理部114は、図12のステップ1204にて、図6に示したポリシ準拠判定依頼メッセージ600を作成する。次に、ステップ1206にて、ポリシ準拠判定依頼メッセージ600をファイルアクセスポリシ管理装置140に送信する。さらに、ステップ1208にて、図7に示すポリシ準拠判定応答メッセージ700の受信を待つ。ステップ1206での送信から、予め、ポリシ情報120に含まれる図10に示すデフォルトポリシに定めた時間内に受信しない場合(ステップ1208でNo)は、ステップ1212にて、ポリシ実行部116は、当該デフォルトポリシを実行する。一方、予め定めた時間内に受信すれば(ステップ1208でYes)、ポリシ実行部116は、ステップ1210にて、受信したポリシ準拠判定応答メッセージ700に含まれる動作を実行する。その後、ステップ1214にて、図8に示すポリシ実施状態メッセージ800をファイルアクセスポリシ管理装置140に送信する。
【0067】
(2)ポリシ実施命令メッセージ受付
イベントが、ポリシ実施命令メッセージ受付であった場合は、ステップ1108にて、ポリシ管理部114は、メッセージに含まれるポリシ実施内容を確認し、ポリシ実行部116は、当該ポリシを実施する。その後、ポリシ管理部114は、その実施結果をファイルアクセスポリシ管理装置140に通知する。
【0068】
ポリシ管理部114は、ステップ1110にて、リモートサーバ装置110がシャットダウン状態を判定し、シャットダウンであれば(ステップ1112でYes)、ファイル操作監視を終了する。
【0069】
以上のように、リモートサーバ装置110は、フェイルセーフの考えに基づき、ファイルアクセスポリシ管理装置140の明示的な許可がない限り、機密性の高い情報の表示は行わない。その結果、ファイルアクセスポリシを実施するクライアントシステムが、ファイルアクセス制御を実施する際に、不具合の発生時にも、情報漏えいの危険性を小さくすることが可能となる。
【0070】
なお、ポリシ管理部114及びポリシ実行部116は、ファイルに関連付けられたアプリケーション112の拡張機能(プラグイン)の形で実装することができる。また、オペレーティングシステムと同等な権限を持つ特権プログラム(例えば、デバイスドライバ)として実現し、アプリケーション112及びファイル操作などを監視・制御する形で実装することもできる。
【0071】
また、図11と図12の処理フローにて、リモートサーバ装置110は、永続的なメッセージキューを用いて図6に示すポリシ準拠判定依頼600を送信してもよい。つまり、リモートサーバ装置110とファイルアクセスポリシ管理装置140の間で通信できない場合は、リモートサーバ装置110は、ポリシ準拠判定依頼メッセージ600をメッセージキューに蓄積し、接続可能な状態になったときに、再送するようにすることができる。このようにすることで、通信メッセージの作成処理の二度手間を削減することができる。
【0072】
図13は、ファイルアクセスポリシ管理装置140がイベントを処理する動作を示すフロー図である。ファイルアクセスポリシ管理装置140は、イベントの種類に応じて、以降に示す処理を実行する。
【0073】
ステップ1304にて、ファイルアクセスポリシ管理装置140に含まれたポリシ管理部144は、イベントの受信を判定する。ステップ1306にて、受信したイベントが、入退室管理システム130からのイベント、すなわち、ユーザが居室を出入りしたときに、入退室管理システム130が作成するログを含む場合(ステップ1306でYes)には、ID情報管理部142は、ステップ1308にて、ID情報152を更新する。
【0074】
次に、ステップ1310にて、ポリシ準拠判定部146は、ファイル操作情報150、更新されたID情報152、及びポリシ情報148を参照し、ポリシに準拠しているのかどうかを判定する。具体的には、ファイル操作情報150に含まれるユーザ識別情報904及びID情報152に含まれるユーザ識別情報504をキーとして、ユーザ識別情報、ユーザ所在情報510、ファイル区分906、ファイル状態910を抽出し、ポリシ情報148に含まれるファイル区分402及び閲覧可能区域404(ファイルのオープンを許可する場所)に違反していないかどうかを確認する。
【0075】
ステップ1312にて、ポリシ準拠判定部146は、ポリシ準拠違反があると判断する(ステップ1312でYes)と、ステップ1314にて、ポリシ管理部144は、ポリシ実施命令メッセージ700を作成し、該当するリモートサーバ装置110へ送信する。
【0076】
ファイルアクセスポリシ管理装置140に含まれるポリシ管理部144が、ステップ1306でNoと判断し、さらに、ステップ1316にて、受信イベントが、クライアントシステムのイベントであると判定する(ステップ1316でYes)と、ステップ1318にて、ポリシ管理部144及びポリシ準拠判定部146は、図14にて説明するクライアントシステムイベント処理を実行する。
【0077】
ファイルアクセスポリシ管理装置140に含まれるポリシ管理部144が、ステップ1316でNoと判断し、さらに、ステップ1320にて、受信イベントが管理者による管理イベントである、すなわち、管理者操作を受け付けたとする(ステップ1320でYes)と、操作内容に応じて、ポリシ管理部144及びID情報管理部142は、それぞれ、ポリシ情報148とID情報152を更新する。例えば、操作内容が、ファイル区分が「秘」であるファイルの閲覧可能区域の追加(例えば、A008という新たな区域を追加)であれば、ポリシ管理部144は、図4に示すポリシ情報におけるファイル区分カラム402が「秘」に対応する閲覧可能区域カラム404に当該追加情報を追記する。
【0078】
図14は、図13に示す、ファイルアクセスポリシ管理装置140におけるクライアントシステムイベント処理1318の詳細な動作フローを示す。
【0079】
ステップ1404にて、ポリシ管理部144は、リモートサーバ装置110から受信したイベントが、ポリシ準拠判定依頼メッセージを示すものであると判定すると(ステップ1404でYes)、ポリシ準拠判定部146は、ステップ1406にて、ポリシ準拠判定を実施する。具体的には、ポリシ準拠判定依頼メッセージに含まれるユーザ識別情報604及びID情報152に含まれるユーザ識別情報504をキーとして、ユーザ識別情報、ユーザ所在情報510、ファイル区分906、ファイル状態910を抽出し、ポリシ情報148に含まれるファイル区分402及び閲覧可能区域404(ファイルのオープンを許可する場所)に違反していないかどうかを確認する。
【0080】
次に、ステップ1408にて、ポリシ管理部144は、ポリシ準拠判定応答メッセージを作成し、該当するリモートサーバ装置110へ送信する。例えば、リモートサーバ装置110が、ファイルオープンを許可する場所には、存在していないと判断すると、ポリシ準拠判定結果704には、「ポリシ違反」との文字列が格納され、動作命令706には、「ファイルのクローズ」という文字列が格納される。なお、ポリシ準拠判定結果704及び動作命令706の定義は、管理者によって定義され、ポリシ情報148に格納されるものである。
【0081】
ポリシ管理部144が、ステップ1404にて、リモートサーバ装置110から受信したイベントが、ポリシ準拠判定依頼メッセージではないと判定し(ステップ1404でNo)、さらに、ステップ1410にて、リモートサーバ装置110から受信したイベントが、ポリシ実施状態メッセージであると判定すると(ステップ1410でYes)、ステップ1412にて、ポリシ管理部144は、ポリシ実施状態メッセージのポリシ実施結果804に含まれた情報をファイル操作情報150に追記する。
【実施例2】
【0082】
図15は、実施例2として説明する、ファットクライアントタイプを採用したクライアントシステムを使った場合のファイルアクセス制御システムの構成例である。
【0083】
実施例1で示したシンクライアント装置100及びリモートサーバ装置110の両者で提供していた機能が、ファットクライアント装置1500に実装されている。ファットクライアント装置1500は、図2に示されるハードウェア構成で実現可能である。また、以下に説明するファットクライアント装置1500の動作は、CPU202が外部記憶装置206に格納されたプログラムを実行することにより、具現化される。なお、ファットクライアント装置1500には、居室に設置されるデスクトップ型のPCだけでなく、可搬性のあるノートPCやPDAも含まれる。
【0084】
実施例2では、ファットクライアント装置1500にて作成される情報ファイルは、ファイルアクセスポリシ管理装置1520と連携し、暗号化される。具体的には、ファットクライアント装置1500のポリシ実行部1506は、ファイルアクセスポリシ管理装置1520の鍵管理部1522が管理する鍵情報1524を参照し、アクセス制御として、情報ファイルの暗号化を実行する。
【0085】
ファットクライアント装置1500が、ユーザからファイル操作の命令を受け付けると、図11及び図12にて説明したポリシ確認・実施処理を実行する。
【0086】
このとき、ファイルアクセスポリシ管理装置1520がファイルアクセスを許可した場合、図7に示すポリシ準拠判定応答メッセージ700の動作命令706の中には、ファイルを復号するための鍵情報が含まれる。次に、ファットクライアント装置1500のポリシ実行部は、受け取った鍵情報を用いて、アクセス制御として、暗号化されたファイルを復号化する。
【0087】
一方、ファットクライアント装置1500が、ステップ1208にて、ステップ1206での送信から予め定めた時間内に、図7に示すポリシ準拠判定応答メッセージ700を受信できない場合(ステップ1208でNo)、デフォルトポリシの実行を行う。なお、ファイルの復号化に用いた鍵情報をキャッシュとして保持していた場合は、その鍵情報の破棄も、デフォルトポリシに含める。
【0088】
以上のように、実施例1及び実施例2から示されるように、ファイルアクセスポリシ管理装置(140あるいは1520)の明示的な許可がない限り、機密性の高いファイルへのアクセスは禁止される。その結果、クライアントシステムが、ファイルアクセスポリシに従い、ユーザの場所に応じたファイルアクセス制御を実施する際に、ユーザの位置が特定できないなどの不具合の発生時にも、情報漏えいの危険性を非常に小さくすることが可能となる。
【0089】
上記各実施形態は、組織の内部統制強化や情報セキュリティマネジメントシステムの一環としての情報セキュリティ対策として組織内の業務システムに組み込むことが可能である。
【符号の説明】
【0090】
100:シンクライアント装置、102:リモートデスクトップクライアント、110:リモートサーバ装置、112:アプリケーション、114:ポリシ管理部、118:リモートデスクトップサーバ、120:ポリシ情報、122:ファイル操作情報、124:ファイル、130:入退室管理システム、140:ファイルアクセスポリシ管理装置、142:ID情報管理部、144:ポリシ管理部、146:ポリシ準拠判定部、148:ポリシ情報、150:ファイル操作情報、152:ID情報。
【特許請求の範囲】
【請求項1】
入退室管理システム、ユーザの属性情報及びにファイルへのアクセスポリシを管理するファイルアクセスポリシ管理装置と、ファイルアクセスポリシを実行するクライアントシステムと、を含んで構成されるシステムにおいて、
前記クライアントシステムは、予め定義されたイベント毎に、ポリシに準拠しているのかどうかの判定を依頼するポリシ準拠判定依頼メッセージを前記ファイルアクセスポリシ管理装置へ送信し、
前記ファイルアクセスポリシ管理装置は、
前記ポリシ準拠判定依頼メッセージを受信すると、予め定義されたポリシ準拠判定ルールを参照し、判定を依頼された前記イベントが、予め定めたポリシに準拠しているのかどうかを判定し、
ポリシ準拠判定応答メッセージを作成し、前記クライアントシステムへ送信し、
前記クライアントシステムは、
ポリシ準拠判定依頼メッセージの送信から予め定めた時間以内に、前記ポリシ準拠判定応答メッセージを受信した場合に、当該ポリシ準拠判定応答メッセージ内容に従った動作を実施し、
ポリシ準拠判定依頼メッセージの送信から予め定めた時間内に、前記ポリシ準拠判定応答メッセージを受信できない場合は、予め定義されたデフォルトポリシが示すアクセス制御を実行する
ことを特徴とするファイルアクセス制御方法。
【請求項2】
請求項1に記載のファイルアクセス制御方法において、
前記イベントとは、前記クライアントシステムを操作するユーザによるファイル操作の受付け、あるいは、ファイルアクセスポリシ管理装置からのポリシ実施命令メッセージの受付け、のいずれか一つ以上である
ことを特徴とするファイルアクセス制御方法。
【請求項3】
請求項1または2に記載のファイルアクセス制御方法において、
前記ポリシ準拠判定依頼メッセージには、前記クライアントシステムを操作するユーザを識別するユーザ識別情報、操作対象となるファイルの機密性、ファイル状態のいずれか一つ以上が含まれる
ことを特徴とするファイルアクセス制御方法。
【請求項4】
請求項1ないし3いずれか一に記載のファイルアクセス制御方法において、
前記ファイルアクセスポリシ管理装置は、ユーザの属性情報及びファイルの属性情報に基づいてファイルアクセス可否の判定を実施する
ことを特徴とするファイルアクセス制御方法。
【請求項5】
請求項4に記載のファイルアクセス制御方法において、
前記ユーザの属性情報は、ユーザの所属、職位、または、ユーザの最新の所在地のいずれか一つ以上を含み、
前記ファイルの属性情報は、ファイルの機密性、ファイルの作成日時、または、ファイルの作成者のいずれか一つ以上を含む
ことを特徴とするファイルアクセス制御方法。
【請求項6】
請求項1ないし5いずれか一に記載のファイルアクセス制御方法において、
前記クライアントシステムは、
前記予め定めた時間内に、ポリシ準拠判定応答メッセージを受信できないと、ポリシ準拠判定依頼メッセージをメッセージ送信キューに追加し、
予め定めた他の時間後に、ポリシ準拠判定応答メッセージを再送する
ことを特徴とするファイルアクセス制御方法。
【請求項7】
請求項1ないし6いずれか一に記載のファイルアクセス制御方法において、
前記アクセス制御とは、ファイルのオープン、クローズ、実行のいずれか一つ以上のファイル操作の制御であり、
前記デフォルトポリシは、ファイルのクローズを含む
ことを特徴とするファイルアクセス制御方法。
【請求項8】
請求項1ないし6いずれか一に記載のファイルアクセス制御方法において、
前記アクセス制御とは、ファイルを扱うアプリケーションが提供する機能の制御であり、
前記デフォルトポリシは、ファイルのクローズを含む
ことを特徴とするファイルアクセス制御方法。
【請求項9】
請求項1ないし6いずれか一に記載のファイルアクセス制御方法において、
前記アクセス制御とは、ファイルの暗号化、または復号化であり、
前記デフォルトポリシは、ファイルの暗号化、または復号化に用いる鍵情報の破棄を含む
ことを特徴とするファイルアクセス制御方法。
【請求項1】
入退室管理システム、ユーザの属性情報及びにファイルへのアクセスポリシを管理するファイルアクセスポリシ管理装置と、ファイルアクセスポリシを実行するクライアントシステムと、を含んで構成されるシステムにおいて、
前記クライアントシステムは、予め定義されたイベント毎に、ポリシに準拠しているのかどうかの判定を依頼するポリシ準拠判定依頼メッセージを前記ファイルアクセスポリシ管理装置へ送信し、
前記ファイルアクセスポリシ管理装置は、
前記ポリシ準拠判定依頼メッセージを受信すると、予め定義されたポリシ準拠判定ルールを参照し、判定を依頼された前記イベントが、予め定めたポリシに準拠しているのかどうかを判定し、
ポリシ準拠判定応答メッセージを作成し、前記クライアントシステムへ送信し、
前記クライアントシステムは、
ポリシ準拠判定依頼メッセージの送信から予め定めた時間以内に、前記ポリシ準拠判定応答メッセージを受信した場合に、当該ポリシ準拠判定応答メッセージ内容に従った動作を実施し、
ポリシ準拠判定依頼メッセージの送信から予め定めた時間内に、前記ポリシ準拠判定応答メッセージを受信できない場合は、予め定義されたデフォルトポリシが示すアクセス制御を実行する
ことを特徴とするファイルアクセス制御方法。
【請求項2】
請求項1に記載のファイルアクセス制御方法において、
前記イベントとは、前記クライアントシステムを操作するユーザによるファイル操作の受付け、あるいは、ファイルアクセスポリシ管理装置からのポリシ実施命令メッセージの受付け、のいずれか一つ以上である
ことを特徴とするファイルアクセス制御方法。
【請求項3】
請求項1または2に記載のファイルアクセス制御方法において、
前記ポリシ準拠判定依頼メッセージには、前記クライアントシステムを操作するユーザを識別するユーザ識別情報、操作対象となるファイルの機密性、ファイル状態のいずれか一つ以上が含まれる
ことを特徴とするファイルアクセス制御方法。
【請求項4】
請求項1ないし3いずれか一に記載のファイルアクセス制御方法において、
前記ファイルアクセスポリシ管理装置は、ユーザの属性情報及びファイルの属性情報に基づいてファイルアクセス可否の判定を実施する
ことを特徴とするファイルアクセス制御方法。
【請求項5】
請求項4に記載のファイルアクセス制御方法において、
前記ユーザの属性情報は、ユーザの所属、職位、または、ユーザの最新の所在地のいずれか一つ以上を含み、
前記ファイルの属性情報は、ファイルの機密性、ファイルの作成日時、または、ファイルの作成者のいずれか一つ以上を含む
ことを特徴とするファイルアクセス制御方法。
【請求項6】
請求項1ないし5いずれか一に記載のファイルアクセス制御方法において、
前記クライアントシステムは、
前記予め定めた時間内に、ポリシ準拠判定応答メッセージを受信できないと、ポリシ準拠判定依頼メッセージをメッセージ送信キューに追加し、
予め定めた他の時間後に、ポリシ準拠判定応答メッセージを再送する
ことを特徴とするファイルアクセス制御方法。
【請求項7】
請求項1ないし6いずれか一に記載のファイルアクセス制御方法において、
前記アクセス制御とは、ファイルのオープン、クローズ、実行のいずれか一つ以上のファイル操作の制御であり、
前記デフォルトポリシは、ファイルのクローズを含む
ことを特徴とするファイルアクセス制御方法。
【請求項8】
請求項1ないし6いずれか一に記載のファイルアクセス制御方法において、
前記アクセス制御とは、ファイルを扱うアプリケーションが提供する機能の制御であり、
前記デフォルトポリシは、ファイルのクローズを含む
ことを特徴とするファイルアクセス制御方法。
【請求項9】
請求項1ないし6いずれか一に記載のファイルアクセス制御方法において、
前記アクセス制御とは、ファイルの暗号化、または復号化であり、
前記デフォルトポリシは、ファイルの暗号化、または復号化に用いる鍵情報の破棄を含む
ことを特徴とするファイルアクセス制御方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【公開番号】特開2010−271747(P2010−271747A)
【公開日】平成22年12月2日(2010.12.2)
【国際特許分類】
【出願番号】特願2009−120471(P2009−120471)
【出願日】平成21年5月19日(2009.5.19)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
【公開日】平成22年12月2日(2010.12.2)
【国際特許分類】
【出願日】平成21年5月19日(2009.5.19)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
[ Back to top ]