ファイルサーバ、プログラム、記録媒体及び管理サーバ
【課題】データファイルに係る情報漏洩のリスクを低減するとともに、データファイルの管理を可能ならしめるファイルサーバ、管理サーバ、並びにそれらのサーバと通信可能なコンピュータで使用可能なプログラム及び記録媒体を提供する。
【解決手段】暗号化されたデータファイル100を記憶する暗号化記憶領域101と、暗号化されていないデータファイル100を記憶する非暗号化記憶領域103と、データファイル100を暗号化記憶領域101に記憶するときに、データファイル100を暗号化する手段と、暗号化記憶領域101に記憶されているデータファイルを非暗号化記憶領域103にコピーするときに、データファイル100を復号する手段と、暗号化記憶領域101に記憶されているデータファイル100の操作履歴を記録する手段と、非暗号化記憶領域103に記憶されているデータファイルの操作履歴を記録する手段とを備えたファイルサーバ。
【解決手段】暗号化されたデータファイル100を記憶する暗号化記憶領域101と、暗号化されていないデータファイル100を記憶する非暗号化記憶領域103と、データファイル100を暗号化記憶領域101に記憶するときに、データファイル100を暗号化する手段と、暗号化記憶領域101に記憶されているデータファイルを非暗号化記憶領域103にコピーするときに、データファイル100を復号する手段と、暗号化記憶領域101に記憶されているデータファイル100の操作履歴を記録する手段と、非暗号化記憶領域103に記憶されているデータファイルの操作履歴を記録する手段とを備えたファイルサーバ。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、暗号化されたデータファイルを取り扱うファイルサーバ、プログラム、記録媒体及び管理サーバに関するものである。
【背景技術】
【0002】
従来より、機密性の高いデータファイルに関しては、当該データファイルの情報が漏洩しないように高い安全性が要求される。そのため、かかるデータファイルが不正アクセス等によって盗難されたとしても、その情報が解読できないように、暗号化してファイルサーバのハードディスクに保存することが一般的に行われている。
【0003】
このようなファイルサーバでは、ハードディスクに保存するデータファイルを全て暗号化するようになっている。すなわち、従来のファイルサーバのハードディスクは、暗号化したデータファイルのみを記憶する記憶領域だけを備えているということができる。
【0004】
暗号化されたデータファイルをユーザが編集・加工する場合には、そのデータファイルを一旦復号する必要があるが、従来のファイルサーバでは、復号したデータファイルを当該ファイルサーバ上に置いて編集・加工することはできなかった。
【0005】
そのため、暗号化されたデータファイルをファイルサーバからローカルのコンピュータ(PC)のハードディスクにコピーして復号し、そのPC中のアプリケーションによって編集・加工した後、当該データファイルを再度暗号化してファイルサーバに戻すことが一般的に行われている。
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、復号されたデータファイルがローカルのPCのハードディスクに保存されると、そのPCからの情報漏洩のリスクが非常に高くなる。また、ファイルサーバ側では、そのPCでの操作履歴を把握しているわけではないので、PCに保存されたデータファイルの管理ができず、情報漏洩後の調査も困難である。
【0007】
本発明は、このような実情に鑑みてなされたものであり、データファイルに係る情報漏洩のリスクを低減するとともに、データファイルの管理を可能ならしめるファイルサーバ、管理サーバ、並びにそれらのサーバと通信可能なコンピュータで使用可能なプログラム及び記録媒体を提供することを目的とする。
【課題を解決するための手段】
【0008】
上記目的を達成するために、第1に本発明は、暗号化されたデータファイルを記憶する暗号化記憶領域と、暗号化されていないデータファイルを記憶する非暗号化記憶領域と、データファイルを前記暗号化記憶領域に記憶するときに、前記データファイルを暗号化する手段と、前記暗号化記憶領域に記憶されているデータファイルを前記非暗号化記憶領域にコピーするときに、前記データファイルを復号する手段と、前記暗号化記憶領域に記憶されているデータファイルの操作履歴を記録する手段と、前記非暗号化記憶領域に記憶されているデータファイルの操作履歴を記録する手段とを備えたことを特徴とする単一からなるファイルサーバを提供する(請求項1)。
【0009】
上記発明(請求項1)によれば、暗号化されたデータファイルを非暗号化記憶領域に復号することができるため、復号されたデータファイルをローカルのPCのハードディスクに保存する必要がなく、情報漏洩のリスクを低減することができる。また、データファイルの操作履歴はファイルサーバに記録されるため、データファイルの管理を確実に行うことができ、万一情報漏洩があったとしても、その後の調査が容易である。
【0010】
上記発明(請求項1)に係るファイルサーバは、前記非暗号化記憶領域に記憶されているデータファイルを加工・編集する手段をさらに備えていてもよい(請求項2)。
【0011】
上記発明(請求項1,2)においては、前記非暗号化記憶領域に、特定のユーザだけがアクセス可能なフォルダを生成する手段をさらに備えており、前記暗号化記憶領域に記憶されているデータファイルは、復号された上で前記非暗号化記憶領域中の前記フォルダ内にコピーされるようにすることが好ましい(請求項3)。かかる発明(請求項3)によれば、ユーザ毎にデータファイルの管理をすることが可能である。
【0012】
上記発明(請求項3)に係るファイルサーバは、前記暗号化記憶領域に記憶されているデータファイルが前記非暗号化記憶領域中の前記フォルダ内にコピーされたときに、前記フォルダを操作履歴の監視対象として登録する手段をさらに備えたことが好ましい(請求項4)。
【0013】
上記発明(請求項4)に係るファイルサーバは、前記フォルダから前記データファイルが削除されたとき又は前記フォルダから前記データファイルが前記暗号化記憶領域に戻されたときに、前記フォルダを操作履歴の監視対象から外す手段をさらに備えたことが好ましい(請求項5)。
【0014】
上記発明(請求項1〜5)に係るファイルサーバは、前記暗号化記憶領域に記憶されているデータファイルが前記非暗号化記憶領域にコピーされたときに、管理者のコンピュータに対して通知を発する手段をさらに備えたことが好ましい(請求項6)。かかる発明(請求項6)によれば、管理者によってもデータファイルの監視を行うことができ、データファイルの監視をより高いレベルで行うことが可能となる。
【0015】
上記発明(請求項1〜6)に係るファイルサーバは、前記暗号化記憶領域に記憶されているデータファイルが前記非暗号化記憶領域にコピーされてからの滞在時間を計測する手段と、前記滞在時間が所定時間を超過したときに、管理者のコンピュータ及び/又は前記データファイルを操作したユーザのコンピュータに対して通知を発する手段とを備えたことが好ましい(請求項7)。
【0016】
また、上記発明(請求項1〜7)に係るファイルサーバは、前記非暗号化記憶領域にコピーされたデータファイルが、当該データファイルを操作したユーザがログアウトした後も前記非暗号化記憶領域に残存しているときに、管理者のコンピュータ及び/又は前記データファイルを操作したユーザのコンピュータに対して通知を発する手段をさらに備えたことが好ましい(請求項8)。
【0017】
また、上記発明(請求項1〜8)に係るファイルサーバは、前記非暗号化記憶領域にて加工・編集されたデータファイルが、前記暗号化記憶領域にコピーされたときに、前記データファイルを前記非暗号化記憶領域から削除する手段をさらに備えたことが好ましい(請求項9)。
【0018】
上記発明(請求項7〜9)によれば、復号されたデータファイルが非暗号化記憶領域に放置されることを防止することができ、情報漏洩を効果的に抑制することができる。
【0019】
上記発明(請求項1〜9)に係るファイルサーバは、前記暗号化記憶領域又は前記非暗号化記憶領域に記憶されたデータファイルを、当該ファイルサーバ以外のコンピュータにコピーすることを許可及び禁止する手段をさらに備えたことが好ましい(請求項10)。
【0020】
上記発明(請求項1〜9)に係るファイルサーバは、前記暗号化記憶領域に記憶されたデータファイルを、当該ファイルサーバ以外のコンピュータにコピーする要求がなされたときに、前記データファイルを復号して、コピー可能な状態とする手段をさらに備えていてもよい(請求項11)。ただし、この場合には、下記プログラム及び管理サーバと組み合わせることが好ましい。
【0021】
上記発明(請求項11)においては、前記復号したデータファイルを、一時的に生成した一時保存領域に記憶することが好ましい(請求項12)。かかる発明(請求項12)によれば、一時保存領域及びそこに記憶されたデータファイルは、必要がなくなれば(コピー要求先のコンピュータに送信された後は)消去されるため、復号したデータファイルが不正収集対象になる可能性が極めて低い。
【0022】
上記発明(請求項11,12)に係るファイルサーバは、前記暗号化記憶領域に記憶されたデータファイルが、当該ファイルサーバ以外のコンピュータにコピーされたときに、前記コピー先のコンピュータから暗号化を行った記録を受信する手段をさらに備えたことが好ましい(請求項13)。かかる発明(請求項13)によれば、データファイルが所定のコンピュータにコピーされたことをファイルサーバによって監視することができる。
【0023】
上記発明(請求項11〜13)に係るファイルサーバは、当該ファイルサーバとは別に存在する管理サーバから前記データファイルの開封記録を受信する手段をさらに備えたことが好ましい(請求項14)。かかる発明(請求項14)によれば、データファイルが所定のコンピュータで開封されたことを管理サーバ及びファイルサーバによって監視することができる。
【0024】
上記発明(請求項11,12)に係るファイルサーバは、前記暗号化記憶領域に記憶されたデータファイルが、当該ファイルサーバ以外のコンピュータにコピーされたときに、前記コピー先のコンピュータから暗号化を行った記録を受信する手段と、当該ファイルサーバとは別に存在する管理サーバから前記データファイルの開封記録を受信する手段と、前記暗号化を行った記録と前記開封記録とを照合し、その結果を管理者のコンピュータに対して通知する手段とを備えたことが好ましい(請求項15)。かかる発明(請求項15)によれば、データファイルのコピー先のコンピュータ又はそのユーザと、データファイルを開封したコンピュータ又はそのユーザとが一致するか否かを管理者が知ることができ、データファイルの監視をより高いレベルで行うことが可能となる。
【0025】
上記発明(請求項11〜15)に係るファイルサーバは、暗号化記憶領域に記憶されたデータファイルが、当該ファイルサーバ以外のコンピュータにコピーされたときに、前記データファイルに関する情報とともに、前記コピー先のコンピュータに関する情報及び/又は前記コピー先のコンピュータのユーザに関する情報を履歴として記録する手段をさらに備えたことが好ましい(請求項16)。
【0026】
第2に本発明は、前記ファイルサーバ(請求項11〜16)に対してデータファイルのコピーを要求する機能と、前記要求に係る前記データファイルを前記ファイルサーバから受信する機能と、前記受信したデータファイルを暗号化する機能と、前記データファイルを特定するファイル特定情報及び前記暗号化したデータファイルを復号する開封用キーを生成するためのキー生成情報を、前記ファイルサーバとは別に存在する管理サーバに対して送信する機能と、前記データファイルの暗号化を行った記録を前記ファイルサーバに対して送信する機能と、ユーザから前記暗号化されたデータファイルを開封する要求があったときに、前記ファイル特定情報を前記管理サーバに対して送信する機能と、前記管理サーバから前記開封用キーを受信して前記データファイルを復号する機能とをコンピュータに実現させることのできるプログラムを提供する(請求項17)。
【0027】
上記発明(請求項17)によれば、当該プログラムをインストールしてなるコンピュータにデータファイルを暗号化した上でコピーすることができるが、そのデータファイルを復号するには、管理サーバへのアクセスが必要となるため、当該データファイルの監視を確実に行うことができる。
【0028】
なお、管理サーバは、ファイルサーバとは別に設けられるものである。例えば、この管理サーバを、ファイルサーバを含むイントラネット外に置くことで、イントラネットの安全性を損なうことなく、イントラネット外から管理サーバにアクセスしてデータファイルを復号することが可能となる。
【0029】
上記発明(請求項17)に係るプログラムは、前記受信したデータファイルを暗号化するときに、パスワードを入力させる機能と、前記入力されたパスワードを記憶する機能と、ユーザから前記暗号化されたデータファイルを開封する要求があったときに、パスワードを入力させる機能と、前記入力されたパスワードが、前記記憶したパスワードと一致している場合に、前記データファイルの開封を許可する機能とをコンピュータに実現させるものであることが好ましい(請求項18)。かかる発明(請求項18)によれば、パスワードを知っているユーザだけが暗号化されたデータファイルを開封(復号)することができる。
【0030】
上記発明(請求項17,18)に係るプログラムは、前記ファイル特定情報及び前記キー生成情報とともに、ユーザを特定するユーザ情報もあわせて前記管理サーバに対して送信することが好ましい(請求項19)。かかる発明(請求項19)によれば、データファイルを暗号化したユーザ端末のユーザだけがデータファイルを開封(復号)することができる。
【0031】
第3に本発明は、前記プログラム(請求項17〜19)を記録したコンピュータ読取可能な記録媒体を提供する(請求項20)。「記録媒体」の種類としては、例えば、磁気媒体(ハードディスク、磁気ディスク、フレキシブルディスク、磁気テープ、磁気カード等)、光媒体(コンパクトディスク、DVD(Digital Versatile Disc)、レーザーディスク等の光ディスク)、光磁気媒体(MO(Magnet Optical)ディスク等の光磁気ディスク)や、あるいは各種半導体メモリ等があるが、特に限定されるものではない。
【0032】
第4に本発明は、前記プログラム(請求項17〜19)によって動作するコンピュータから送信された前記ファイル特定情報及び前記キー生成情報を受信する手段と、前記受信したファイル特定情報を記憶する手段と、前記受信したキー生成情報から、前記ファイル特定情報に係るデータファイルを復号するための開封用キーを生成する手段と、前記コンピュータから、開封要求に係るファイル特定情報を受信する手段と、前記受信した開封要求に係るファイル特定情報が前記記憶しているファイル特定情報と一致している場合に、前記生成した開封用キーを前記コンピュータに対して送信する手段とを備えたことを特徴とする管理サーバを提供する(請求項21)。
【0033】
上記発明(請求項21)によれば、上記コンピュータにデータファイルをコピーすることができるが、そのデータファイルを復号するには、管理サーバにアクセスして照合を行うことが必要となるため、当該データファイルの監視を確実に行うことができる。
【0034】
上記発明(請求項21)においては、前記ファイル特定情報及び前記キー生成情報とともに、前記ユーザ情報もあわせて受信して記憶し、前記コンピュータから、開封要求に係るファイル特定情報とともに、ユーザ情報を受信し、前記受信した開封要求に係るファイル特定情報及びユーザ情報が前記記憶しているファイル特定情報及びユーザ情報と一致している場合に、前記生成した開封用キーを前記コンピュータに対して送信することが好ましい(請求項22)。
【0035】
上記発明(請求項21,22)に係る管理サーバは、前記開封用キーを前記コンピュータに対して送信したら、当該データファイルを開封したことに関する開封情報を生成し、前記開封情報を前記ファイルサーバに送信する手段をさらに備えたことが好ましい(請求項23)。かかる発明(請求項23)によれば、所定のデータファイルが開封されたことをファイルサーバ側で管理することができ、データファイルの監視をより高いレベルで行うことが可能となる。
【発明の効果】
【0036】
本発明によれば、データファイルに係る情報漏洩のリスクを低減することができる。また、データファイルの管理を確実に行うことができ、万一情報漏洩があったとしても、その後の調査が容易である。
【発明を実施するための最良の形態】
【0037】
以下、本発明の実施形態を図面に基づいて説明する。
〔システム構成〕
本実施形態に係るシステム(セキュアシェアリングシステム)は、図1に示すように、イントラネットの中でLANによって接続されたファイルサーバ1、管理者端末2及び複数のユーザ端末3と、それらとインターネットを介して接続された管理サーバ4とから構成されている。なお、ユーザ端末3は、場合によってはイントラネットを介さずに、直接インターネットに接続される場合がある。
【0038】
図2に示すように、ファイルサーバ1は、主制御部11と、出力制御部12と、入力制御部13と、メインプログラムを格納する第1の記憶装置14と、ユーザ管理データベース15DBを構成する第2の記憶装置15と、暗号化記憶領域データファイル管理データベース16DBを構成する第3の記憶装置16と、非暗号化記憶領域データファイル管理データベース17DBを構成する第4の記憶装置17と、履歴データベース18DBを構成する第5の記憶装置18と、記録データベース19DBを構成する第6の記憶装置19と、データストレージ部10Sを構成する第7の記憶装置10とを備えている。
【0039】
主制御部11は、CPUおよび主記憶装置(メモリ)等から構成され、各装置の制御や、データの転送、種々の演算、データの一時的な格納等を行い、出力制御部12は、ファイルサーバ1の外部に出力するデータを制御し、入力制御部13は、ファイルサーバ1の外部から入力されるデータを制御する。第1〜第7の記憶装置14〜19,10は、それぞれハードディスク等の記憶装置(又はその中の一部のディスク)からなる。
【0040】
第1の記憶装置14に記憶されているメインプログラムには、例えば、アカウント・ワークフォルダ生成プログラム、ログイン・ログアウト認証プログラム、ワークフォルダ監視プログラム、データファイル暗号化・復号プログラム、ワークフォルダにおけるデータファイルの滞在時間を計測する計測プログラム、管理者端末2・ユーザ端末3・管理サーバ4と情報の送受信を行う送受信プログラム、データファイル外部送信プログラム、暗号化記録・開封記録照合プログラム等が含まれる(各プログラムの動作は、後述するフローチャートを参照)。
【0041】
ユーザ管理データベース15DBには、各ユーザの登録情報、例えばユーザID、ユーザの名前、パスワード、使用端末の識別情報(MACアドレス)、各種権限、ワークフォルダの有無等が記憶されている。
【0042】
暗号化記憶領域データファイル管理データベース16DBには、暗号化記憶領域101に記憶するデータファイルを管理する情報、例えば、データストレージ部10Sにおける暗号化記憶領域101のどこにどのデータファイルを記憶するか指示する情報等が記憶されている。同様に、非暗号化記憶領域データファイル管理データベース17DBには、非暗号化記憶領域103に記憶するデータファイルを管理する情報、例えば、データストレージ部10Sにおける非暗号化記憶領域103のどこにどのデータファイルを記憶するか指示する情報等が記憶されている。
【0043】
履歴データベース18DBには、データストレージ部10Sにおける暗号化記憶領域101に記憶されているデータファイルの操作履歴、非暗号化記憶領域103(ワークフォルダ104)に記憶されているデータファイルの操作履歴等が、データファイル特定情報、ワークフォルダの識別情報、操作を行ったユーザのユーザID、ユーザ端末3の識別情報(MACアドレス)等と関連付けて記録される。
【0044】
記録データベース19DBは、データファイルがユーザ端末3にて暗号化されたことを示す暗号化記録、データファイルがユーザ端末3にて開封されたことを示す開封記録等が、データファイル特定情報、ユーザID、MACアドレス等と関連付けて記憶される。
【0045】
データストレージ部10Sには、図3に示すように、暗号化記憶領域101と、非暗号化記憶領域103とがある。暗号化記憶領域101には、暗号化されたデータファイル100が記憶されている。
【0046】
各データファイル100には、ファイルサーバ1以外のコンピュータ(ユーザ端末3)へのコピーを許可するか、禁止するかの情報が関連付けられている。この情報は、データファイル100をデータストレージ部10Sに新規に登録するときに、当該データファイル100の管理者の要求に応じて付されるものである。
【0047】
非暗号化記憶領域103には、ユーザ登録情報に関連付けられてワークフォルダ104が設けられる。このワークフォルダ104には、暗号化記憶領域101にあったデータファイル100が復号されてコピーされる。
【0048】
また、データストレージ部10Sにおいては、一時保存領域102が一時的に(動的に)生成される。暗号化記憶領域101に記憶されているデータファイル100がユーザ端末3のハードディスクにコピーされるとき、その前に当該データファイル100は復号されて一時保存領域102にコピーされる。この一時保存領域102は、復号されたデータファイル100がコピー要求先のコンピュータに送信された後すぐに、データファイル100とともに消去される。したがって、復号したデータファイル100がファイルサーバ1中に残って不正収集対象になるという可能性は極めて低い。
【0049】
本実施形態における管理者端末2及びユーザ端末3は、ネットワークに接続可能な通常のパーソナルコンピュータである。管理者端末2及びユーザ端末3には、それぞれアプリケーションがインストールされている。
【0050】
管理者端末2におけるアプリケーションは、ファイルサーバ1・管理サーバ3と情報の送受信を行う送受信プログラム、ユーザの一覧表示やユーザの新規登録等を行うユーザ管理プログラム、アラート情報表示プログラム、データファイルの操作履歴等を表示する履歴表示プログラム等を含んで構成されている(各プログラムの動作は、後述するフローチャートを参照)。
【0051】
ユーザ端末3におけるアプリケーションは、ファイルサーバ1・管理サーバ3と情報の送受信を行う送受信プログラム、データファイル暗号化・復号プログラム、アラート情報表示プログラム等を含んで構成されている(各プログラムの動作は、後述するフローチャートを参照)。また、ユーザ端末3には、所望のデータファイルを取り扱う(表示、加工・編集等を行う)ためのアプリケーションがインストールされている。
【0052】
管理サーバ4は、図示しないが、ファイルサーバ1と同様の主制御部、出力制御部及び入力制御部と、メインプログラムを格納する第1の記憶装置と、データファイルの暗号化を管理する管理用情報を記憶する第2の記憶装置とを備えている。
【0053】
管理サーバ4のメインプログラムには、管理者端末2・ユーザ端末3・ファイルサーバ1と情報の送受信を行う送受信プログラム、管理用情報を管理する管理プログラム、開封要求情報・管理用情報照合プログラム、開封用キー生成プログラム、開封記録生成プログラム等が含まれる(各プログラムの動作は、後述するフローチャートを参照)。
【0054】
〔ユーザ新規登録に関するフロー〕
本セキュアシェアリングシステムにおけるユーザ新規登録に関するフローを、図4のフローチャートを参照して説明する。
【0055】
最初に、管理者端末2のアプリケーションにおいて、ユーザ登録情報、例えば、ユーザID、ユーザの名前、パスワード、各種権限(アクセスの可否等)が入力されると(ステップSA101)、管理者端末2は、その入力されたユーザ登録情報をファイルサーバ1に送信する。
【0056】
ファイルサーバ1は、ユーザ登録情報を受信して(ステップSF101)、ユーザ管理データベース15DBを参照する(ステップSF102)。そして、当該ユーザ登録情報に係るワークフォルダ104が有るか否か判断する(ステップSF103)。当該ユーザ登録情報に係るワークフォルダ104が無いと判断した場合(ステップSF103−No)には、当該ユーザのアカウントを生成し(ステップSF104)、ユーザ管理データベース15DBにユーザ登録情報を登録する。
【0057】
次いで、ファイルサーバ1は、データストレージ部10Sの非暗号化記憶領域103内に、当該ユーザ専用のワークフォルダを生成する(ステップSF105)。そして、ファイルサーバ1は、管理者端末2のアプリケーションの画面で新規ユーザ及び新規ワークフォルダが追加されたことを表示するためのユーザ表示情報を管理者端末2に対して送信する(ステップSF106)。
【0058】
管理者端末2は、上記ユーザ表示情報を受信し(ステップSA102)、アプリケーションの画面にて新規ユーザ及び新規ワークフォルダが追加されたことを表示する(ステップSA103)。
【0059】
ファイルサーバ1は、上記ステップSF103にて、当該ユーザ登録情報に係るワークフォルダ104が有ると判断した場合(ステップSF103−Yes)には、当該ユーザのワークフォルダが既にある旨を表示するアラート情報を管理者端末2に対して送信する(ステップSF107)。管理者端末2は、上記アラート情報を受信し(ステップSA104)、アプリケーションの画面にて当該ユーザのワークフォルダが既にある旨を表示する(ステップSA105)。
【0060】
〔データファイルのワークフォルダへのコピーに関するフロー〕
本セキュアシェアリングシステムにおけるデータファイル100のワークフォルダ104へのコピーに関するフローを、図5のフローチャートを参照して説明する。
【0061】
最初に、ユーザ端末3のアプリケーションのログイン画面において、ユーザID及びパスワードが入力されると、ユーザ端末3は、ユーザID、パスワード及びMACアドレス等を含むログイン情報をファイルサーバ1に送信する(ステップSU201)。
【0062】
ファイルサーバ1は、ログイン情報を受信し(ステップSF201)、ユーザ管理データベース15DBを参照して認証を行う(ステップSF202)。認証する場合には、ファイルサーバ1はログイン許可情報をユーザ端末3に送信する。ユーザ端末3は、そのログイン許可情報を受信し、ログインが許可される(ステップSU202)。
【0063】
次に、ユーザ端末3のアプリケーションにおいて、ファイルサーバ1の暗号化記憶領域101に記憶されている所定のデータファイルが選択され、そのデータファイルについてワークフォルダ104へのコピーが要求されると(ステップSU203)、ユーザ端末3は、その要求情報をファイルサーバ1に送信する。
【0064】
ファイルサーバ1は、要求情報を受信し(ステップSF203)、当該ユーザのワークフォルダ104を監視対象として登録する(ステップSF204)。これによって、ワークフォルダ監視プログラムが起動し、当該ワークフォルダにおける操作履歴を履歴データベース18DBに記憶する。
【0065】
ファイルサーバ1は、データストレージ部10Sの暗号化記憶領域101にアクセスし、コピー要求に係るデータファイル100を抽出する(ステップSF205)。そして、ファイルサーバ1は、抽出したデータファイル100を復号し(ステップSF206)、データストレージ部10Sの非暗号化記憶領域103に存在するワークフォルダ104に上記復号したデータファイル100をコピーする(ステップSF207)。
【0066】
そして、ファイルサーバ1は、当該ユーザのワークフォルダ104に所定のデータファイル100がコピーされたことのコピー情報を管理者端末2に送信する(ステップSF208)。管理者端末2は、そのコピー情報を受信して保存する(ステップSA201)。このコピー情報は、管理者端末2の履歴表示プログラムによって、アプリケーションの画面に表示させることが可能となっている。
【0067】
次いで、ファイルサーバ1は、データファイル100がワークフォルダ104にコピーされてからの滞在時間の計測を開始する(ステップSF209)。そして、その滞在時間が所定時間を超過したか否かを判断し(ステップSF210)、所定時間を超過した場合には(ステップSF210−Yes)、データファイルのワークフォルダ滞在時間が所定時間を超過した旨を表示するアラート情報を、ユーザ端末3及び管理者端末2に送信する(ステップSF211)。
【0068】
ユーザ端末3は、アラート情報を受信し(ステップSU204)、アプリケーションの画面にてデータファイルのワークフォルダ滞在時間が所定時間を超過した旨を表示する(ステップSU205)。同様に、管理者端末2は、アラート情報を受信し(ステップSA202)、アプリケーションの画面にて、当該ユーザについて所定のデータファイルのワークフォルダ滞在時間が所定時間を超過した旨を表示する(ステップSA203)。
【0069】
これにより、復号されたデータファイル100が誤ってワークフォルダ104中に放置されることを防止することができ、情報漏洩を効果的に抑制することができる。
【0070】
〔データファイルの加工・編集に関するフロー〕
本セキュアシェアリングシステムにおけるデータファイル100の加工・編集に関するフローを、図6のフローチャートを参照して説明する。
【0071】
ファイルサーバ1は、上記ステップSF207に続いて、ユーザ端末3が選択したデータファイル100であって、ワークフォルダ104に復号してコピーしたデータファイル100を、ユーザ端末3に送信する(ステップSF301)。
【0072】
ユーザ端末3は、データファイル100を受信して、一次メモリに記憶する(ステップSU301)。そして、ユーザ端末3は、データファイル100を取り扱うためのアプリケーションを立ち上げて、データファイル100の内容を画面に表示する(ステップSU302)。データファイル100は、ユーザ端末3の一次メモリ上にて、アプリケーションにより加工・編集される(ステップSU303)。
【0073】
なお、本実施形態では、データファイルを取り扱うためのアプリケーションはユーザ端末3が持っているが、ASPとしてファイルサーバ1がデータファイル加工・編集用のアプリケーションを持ち、ユーザ端末3がファイルサーバ1に対して加工・編集の指示を出すようにしてもよい。
【0074】
ユーザ端末3は、所定のタイミング(例えば保存要求)で、加工・編集後のデータファイル100をファイルサーバ1に送信する(ステップSU304)。ファイルサーバ1は、その加工・編集後のデータファイル100を受信し、ワークフォルダ104中のデータファイル100を更新する(ステップSF302)。このときファイルサーバ1は、当該データファイル100について当該ユーザ端末3で操作された操作履歴を履歴データベース18DBに記録する(ステップSF303)。
【0075】
上記ステップSU303〜ステップSU304及びステップSF302〜ステップSF303は、データファイル100の加工・編集が終了するまで繰り返される。
【0076】
データファイル100の加工・編集が終了し、ユーザ端末3にて加工・編集後のデータファイル100を暗号化記憶領域101に保存する保存要求がなされたら(ステップSU401)、その要求情報がファイルサーバ1に送信される。ファイルサーバ1は、当該要求情報を受信し(ステップSF401)、加工・編集後のデータファイル100を暗号化し(ステップSF402)、暗号化記憶領域101に保存する(ステップSF403)。それとともに、ファイルサーバ1はデータファイル100をワークフォルダ104から削除し(ステップSF404)、当該ワークフォルダ104を操作履歴の監視対象から外す(ステップSF405)。
【0077】
以上の処理動作においては、復号されたデータファイル100はユーザ端末3のハードディスクには保存されないため、ユーザ端末3からの情報漏洩のリスクは非常に低い。また、ファイルサーバ1は、データファイル100のユーザ端末3での操作履歴を記録しているので、データファイル100の管理を確実に行うことができ、万一情報漏洩が発生したとしても、その後の調査が容易である。
【0078】
〔ユーザ端末のファイルサーバからのログアウトに関するフロー〕
本セキュアシェアリングシステムにおけるユーザ端末3のファイルサーバ1からのログアウトに関するフローを、図7のフローチャートを参照して説明する。
【0079】
ユーザ端末3にてログアウトの要求がなされると(ステップSU501)、ユーザ端末3は、ユーザID及びMACアドレス等を含むログアウト情報をファイルサーバ1に送信する。ファイルサーバ1は、ログアウト情報を受信し(ステップSF501)、ログイン情報に含まれているユーザID及びMACアドレス等との照合を行う(ステップSF502)。ログアウト情報がログイン情報と一致する場合には、ファイルサーバ1はログアウト許可情報をユーザ端末3に送信する。ユーザ端末3は、そのログアウト許可情報を受信し、ログアウトする(ステップSU502)。
【0080】
次に、ファイルサーバ1は、ワークフォルダ104にデータファイル100が残存しているか否かを判断する(ステップSF503)。ワークフォルダ104にデータファイル100が残存していないと判断した場合には(ステップSF503−No)、ファイルサーバ1は動作を終了する。一方、ワークフォルダ104にデータファイル100が残存していると判断した場合には(ステップSF503−Yes)、ファイルサーバ1は、ワークフォルダにデータファイルが残っている旨を表示するアラート情報を、ユーザ端末3及び管理者端末2に送信する(ステップSF504)。
【0081】
ユーザ端末3は、アラート情報を受信し(ステップSU503)、アプリケーションの画面にてワークフォルダにデータファイルが残っている旨を表示する(ステップSU504)。同様に、管理者端末2は、アラート情報を受信し(ステップSA501)、アプリケーションの画面にて、当該ユーザについてワークフォルダに所定のデータファイルが残っている旨を表示する(ステップSA502)。
【0082】
これにより、復号されたデータファイル100が誤ってワークフォルダ104中に放置されることを防止することができ、情報漏洩を効果的に抑制することができる。
【0083】
〔データファイルのユーザ端末へのコピーに関するフロー〕
本セキュアシェアリングシステムにおけるデータファイル100のユーザ端末3へのコピーに関するフローを、図8のフローチャートを参照して説明する。
【0084】
最初に、ユーザ端末3のアプリケーションにおいて、ファイルサーバ1の暗号化記憶領域101に記憶されている所定のデータファイルが選択され、そのデータファイルについてユーザ端末3へのコピーが要求されると(ステップSU601)、ユーザ端末3は、その要求情報をファイルサーバ1に送信する。
【0085】
ファイルサーバ1は、要求情報を受信し(ステップSF601)、データストレージ部10Sの暗号化記憶領域101にアクセスして、コピー要求に係るデータファイル100を抽出する(ステップSF602)。そして、ファイルサーバ1は、データストレージ部10Sに動的に一時保存領域102を生成し(ステップSF603)、抽出したデータファイル100を復号して、生成した一時保存領域102にコピーし(ステップSF604)、次いで復号したデータファイル100をユーザ端末3に送信する(ステップSF605)。
【0086】
ただし、コピー要求に係るデータファイル100が、ファイルサーバ1以外のコンピュータへのコピーが禁止されているものの場合には、ファイルサーバ1は、復号したデータファイル100は送信せず、コピー禁止のアラート情報をユーザ端末3に送信する。ファイルサーバ1は、データファイル100の送信後、一時保存領域102をデータファイル100とともに直ぐに消去する(ステップSF606)。
【0087】
ユーザ端末3は、データファイル100を受信したら(ステップSU602)、アプリケーションによってパスワード入力画面を表示する。その画面から所定のパスワードが入力されたら、ユーザ端末3は、そのパスワードを保存した後(ステップSU603)、受信したデータファイル100を暗号化してハードディスクに保存する(ステップSU604)。そして、ユーザ端末3は、当該データファイル100が暗号化されたことを示す暗号化完了報告をファイルサーバ1に対して送信する(ステップSU605)。
【0088】
ファイルサーバ1は、暗号化完了報告を受信したら(ステップSF607)、当該データファイル100が暗号化されたことの情報を、当該ユーザのユーザID、MACアドレス等とともに、暗号化記録として記録データベース19DBに記憶し、その暗号化記録を管理者端末2に対して送信する(ステップSF608)。管理者端末2は、その暗号化記録を受信して保存する(ステップSA601)。
【0089】
次いでユーザ端末3は、データファイル100を特定するファイル特定情報、暗号化したデータファイル100を復号する開封用キーを生成するためのキー生成情報、当該ユーザのユーザID、ファイルサーバ1のID、MACアドレス等を含む管理用情報を生成し、管理サーバ4に対して送信する(ステップSU606)。管理サーバ4は、その管理用情報を受信し(ステップSS601)、第2の記憶装置に記憶する(ステップSS602)。
【0090】
〔ユーザ端末での開封に関するフロー〕
本セキュアシェアリングシステムにおけるデータファイル100のユーザ端末3での開封に関するフローを、図9のフローチャートを参照して説明する。
【0091】
上記ステップSU604で暗号化されたデータファイル100について、ユーザ端末3にて開封要求がなされたら(ステップSU701)、ユーザ端末3は、アプリケーションによってパスワード入力画面を表示する。その画面からパスワードが入力されたら(ステップSU702)、ユーザ端末3は、上記ステップSU603で保存したパスワードを参照して認証を行う(ステップSU703)。
【0092】
ステップSU703で認証できたら、ユーザ端末3は、データファイル100を特定するファイル特定情報、当該ユーザのユーザID、MACアドレス等を含む開封要求情報を生成し、管理サーバ4に対して送信する(ステップSU704)。管理サーバ4は、その開封要求情報を受信し(ステップSS701)、上記ステップSS602で記憶した管理用情報を読み出す(ステップSS702)。そして、管理サーバ4は、データファイル100を特定するファイル特定情報及び当該ユーザのユーザIDが管理用情報と開封要求情報とで一致しているか否かを判断する(ステップSS703)。
【0093】
管理サーバ4は、ファイル特定情報及びユーザIDが管理用情報と開封要求情報とで一致していないと判断した場合には(ステップSS703−No)、データファイルを開封できない旨を表示するアラート情報を、ユーザ端末3及び管理者端末2に送信する(ステップSS704)。
【0094】
ユーザ端末3は、アラート情報を受信し、アプリケーションの画面にてデータファイルを開封できない旨を表示する(ステップSU705)。同様に、管理者端末2は、アラート情報を受信し、アプリケーションの画面にて当該データファイルが開封できなかった旨を表示する(ステップSA701)。
【0095】
なお、ユーザ端末3が、イントラネット外で直接インターネットに接続して開封要求を行った場合には、管理用情報と開封要求情報とでMACアドレスが一致しないことになるが、この場合には、MACアドレスが一致しない旨のアラート情報を表示するだけで、ステップSS703〜ステップSS705に進めばよい。
【0096】
管理サーバ4は、ファイル特定情報及びユーザIDが管理用情報と開封要求情報とで一致していると判断した場合には(ステップSS703−Yes)、上記ステップSS602で記憶した管理用情報に含まれるキー生成情報を読み出し、開封用キーを生成してユーザ端末3に送信する(ステップSS705)。
【0097】
ユーザ端末3は、開封用キーを受信し(ステップSU706)、その開封用キーを使用して、上記ステップSU604で暗号化されたデータファイル100を復号する(ステップSU707)。これによって、データファイル100は、ユーザ端末3のハードディスク上で加工・編集することが可能となる。
【0098】
次に管理サーバ4は、当該データファイル100が開封されたことの情報を、当該ユーザのユーザID、MACアドレス等とともに開封記録として生成し、ファイルサーバ1に対して送信する(ステップSS706)。
【0099】
ファイルサーバ1は、開封記録を受信したら(ステップSF701)、上記ステップSF606で記憶した暗号化記録を読み出し(ステップSF702)、データファイル100を特定するファイル特定情報、当該ユーザのユーザID、MACアドレス等が開封記録と暗号化記録とで一致しているか照合する(ステップSF703)。
【0100】
管理サーバ4は、上記照合の結果を、管理者端末2に送信する(ステップSF704)。管理者端末2は、照合結果を受信して保存する(ステップSA702)。
【0101】
以上の処理動作においては、ユーザ端末3のハードディスクにデータファイル100が保存されるが、データファイル100を暗号化したユーザ端末3においてのみ、しかもパスワードを知っているユーザしか、暗号化されたデータファイル100を復号(開封)することができない。したがって、第三者によって当該ユーザ端末3以外のコンピュータでデータファイル100が開封される可能性は極めて低い。
【0102】
また、暗号化されたデータファイル100を開封するには管理サーバ4にアクセスして照合を行うことが必要となるため、当該データファイル100の監視を確実に行うことができる。さらに、ファイルサーバ1は、データファイル100が暗号化されたときの暗号化記録と、データファイル100が開封されたときの開封記録とを照合しているため、より高い安全性をもってデータファイル100を管理することができる。
【0103】
ここで、管理サーバ4は、ファイルサーバ1及びユーザ端末3が接続されているイントラネットの外に置かれているため、ユーザ端末3は、イントラネットを介さず、直接インターネットに接続してデータファイル100を開封することが可能である。なお、管理サーバ4をイントラネット内に置いて、ユーザ端末3のインターネット経由のアクセスを許可した場合には、イントラネットが外部から攻撃を受け易くなり、イントラネットの安全性が脆弱なものになってしまう。
【0104】
以上説明した実施形態は、本発明の理解を容易にするために記載されたものであって、本発明を限定するために記載されたものではない。したがって、上記実施形態に開示された各要素は、本発明の技術的範囲に属する全ての設計変更や均等物をも含む趣旨である。
【0105】
例えば、ユーザ端末3のハードディスクにデータファイル100をコピーする場合、そのデータファイル100を暗号化するのは、ユーザ端末3ではなく、ファイルサーバ1であってもよい。
【産業上の利用可能性】
【0106】
本発明は、機密性の高いデータファイル、例えば顧客リスト、給与データファイル、電子カルテ、その他の個人情報データファイル、経理・会計データファイル、契約書データファイル、出願・公開前特許明細書データファイル等の管理に有用である。
【図面の簡単な説明】
【0107】
【図1】本発明の一実施形態に係るセキュアシェアリングシステムの構成図である。
【図2】同実施形態におけるファイルサーバの構成図である。
【図3】同実施形態におけるファイルサーバのデータストレージ部の概念図である。
【図4】同実施形態に係るセキュアシェアリングシステムにおける各装置の処理動作を示すフローチャートである。
【図5】同実施形態に係るセキュアシェアリングシステムにおける各装置の処理動作を示すフローチャートである。
【図6】同実施形態に係るセキュアシェアリングシステムにおける各装置の処理動作を示すフローチャートである。
【図7】同実施形態に係るセキュアシェアリングシステムにおける各装置の処理動作を示すフローチャートである。
【図8】同実施形態に係るセキュアシェアリングシステムにおける各装置の処理動作を示すフローチャートである。
【図9】同実施形態に係るセキュアシェアリングシステムにおける各装置の処理動作を示すフローチャートである。
【符号の説明】
【0108】
1…ファイルサーバ
10S…データストレージ部
100…データファイル
101…暗号化記憶領域
102…一時保存領域
103…非暗号化記憶領域
104…ワークフォルダ
2…管理者端末
3…ユーザ端末
4…管理サーバ
【技術分野】
【0001】
本発明は、暗号化されたデータファイルを取り扱うファイルサーバ、プログラム、記録媒体及び管理サーバに関するものである。
【背景技術】
【0002】
従来より、機密性の高いデータファイルに関しては、当該データファイルの情報が漏洩しないように高い安全性が要求される。そのため、かかるデータファイルが不正アクセス等によって盗難されたとしても、その情報が解読できないように、暗号化してファイルサーバのハードディスクに保存することが一般的に行われている。
【0003】
このようなファイルサーバでは、ハードディスクに保存するデータファイルを全て暗号化するようになっている。すなわち、従来のファイルサーバのハードディスクは、暗号化したデータファイルのみを記憶する記憶領域だけを備えているということができる。
【0004】
暗号化されたデータファイルをユーザが編集・加工する場合には、そのデータファイルを一旦復号する必要があるが、従来のファイルサーバでは、復号したデータファイルを当該ファイルサーバ上に置いて編集・加工することはできなかった。
【0005】
そのため、暗号化されたデータファイルをファイルサーバからローカルのコンピュータ(PC)のハードディスクにコピーして復号し、そのPC中のアプリケーションによって編集・加工した後、当該データファイルを再度暗号化してファイルサーバに戻すことが一般的に行われている。
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、復号されたデータファイルがローカルのPCのハードディスクに保存されると、そのPCからの情報漏洩のリスクが非常に高くなる。また、ファイルサーバ側では、そのPCでの操作履歴を把握しているわけではないので、PCに保存されたデータファイルの管理ができず、情報漏洩後の調査も困難である。
【0007】
本発明は、このような実情に鑑みてなされたものであり、データファイルに係る情報漏洩のリスクを低減するとともに、データファイルの管理を可能ならしめるファイルサーバ、管理サーバ、並びにそれらのサーバと通信可能なコンピュータで使用可能なプログラム及び記録媒体を提供することを目的とする。
【課題を解決するための手段】
【0008】
上記目的を達成するために、第1に本発明は、暗号化されたデータファイルを記憶する暗号化記憶領域と、暗号化されていないデータファイルを記憶する非暗号化記憶領域と、データファイルを前記暗号化記憶領域に記憶するときに、前記データファイルを暗号化する手段と、前記暗号化記憶領域に記憶されているデータファイルを前記非暗号化記憶領域にコピーするときに、前記データファイルを復号する手段と、前記暗号化記憶領域に記憶されているデータファイルの操作履歴を記録する手段と、前記非暗号化記憶領域に記憶されているデータファイルの操作履歴を記録する手段とを備えたことを特徴とする単一からなるファイルサーバを提供する(請求項1)。
【0009】
上記発明(請求項1)によれば、暗号化されたデータファイルを非暗号化記憶領域に復号することができるため、復号されたデータファイルをローカルのPCのハードディスクに保存する必要がなく、情報漏洩のリスクを低減することができる。また、データファイルの操作履歴はファイルサーバに記録されるため、データファイルの管理を確実に行うことができ、万一情報漏洩があったとしても、その後の調査が容易である。
【0010】
上記発明(請求項1)に係るファイルサーバは、前記非暗号化記憶領域に記憶されているデータファイルを加工・編集する手段をさらに備えていてもよい(請求項2)。
【0011】
上記発明(請求項1,2)においては、前記非暗号化記憶領域に、特定のユーザだけがアクセス可能なフォルダを生成する手段をさらに備えており、前記暗号化記憶領域に記憶されているデータファイルは、復号された上で前記非暗号化記憶領域中の前記フォルダ内にコピーされるようにすることが好ましい(請求項3)。かかる発明(請求項3)によれば、ユーザ毎にデータファイルの管理をすることが可能である。
【0012】
上記発明(請求項3)に係るファイルサーバは、前記暗号化記憶領域に記憶されているデータファイルが前記非暗号化記憶領域中の前記フォルダ内にコピーされたときに、前記フォルダを操作履歴の監視対象として登録する手段をさらに備えたことが好ましい(請求項4)。
【0013】
上記発明(請求項4)に係るファイルサーバは、前記フォルダから前記データファイルが削除されたとき又は前記フォルダから前記データファイルが前記暗号化記憶領域に戻されたときに、前記フォルダを操作履歴の監視対象から外す手段をさらに備えたことが好ましい(請求項5)。
【0014】
上記発明(請求項1〜5)に係るファイルサーバは、前記暗号化記憶領域に記憶されているデータファイルが前記非暗号化記憶領域にコピーされたときに、管理者のコンピュータに対して通知を発する手段をさらに備えたことが好ましい(請求項6)。かかる発明(請求項6)によれば、管理者によってもデータファイルの監視を行うことができ、データファイルの監視をより高いレベルで行うことが可能となる。
【0015】
上記発明(請求項1〜6)に係るファイルサーバは、前記暗号化記憶領域に記憶されているデータファイルが前記非暗号化記憶領域にコピーされてからの滞在時間を計測する手段と、前記滞在時間が所定時間を超過したときに、管理者のコンピュータ及び/又は前記データファイルを操作したユーザのコンピュータに対して通知を発する手段とを備えたことが好ましい(請求項7)。
【0016】
また、上記発明(請求項1〜7)に係るファイルサーバは、前記非暗号化記憶領域にコピーされたデータファイルが、当該データファイルを操作したユーザがログアウトした後も前記非暗号化記憶領域に残存しているときに、管理者のコンピュータ及び/又は前記データファイルを操作したユーザのコンピュータに対して通知を発する手段をさらに備えたことが好ましい(請求項8)。
【0017】
また、上記発明(請求項1〜8)に係るファイルサーバは、前記非暗号化記憶領域にて加工・編集されたデータファイルが、前記暗号化記憶領域にコピーされたときに、前記データファイルを前記非暗号化記憶領域から削除する手段をさらに備えたことが好ましい(請求項9)。
【0018】
上記発明(請求項7〜9)によれば、復号されたデータファイルが非暗号化記憶領域に放置されることを防止することができ、情報漏洩を効果的に抑制することができる。
【0019】
上記発明(請求項1〜9)に係るファイルサーバは、前記暗号化記憶領域又は前記非暗号化記憶領域に記憶されたデータファイルを、当該ファイルサーバ以外のコンピュータにコピーすることを許可及び禁止する手段をさらに備えたことが好ましい(請求項10)。
【0020】
上記発明(請求項1〜9)に係るファイルサーバは、前記暗号化記憶領域に記憶されたデータファイルを、当該ファイルサーバ以外のコンピュータにコピーする要求がなされたときに、前記データファイルを復号して、コピー可能な状態とする手段をさらに備えていてもよい(請求項11)。ただし、この場合には、下記プログラム及び管理サーバと組み合わせることが好ましい。
【0021】
上記発明(請求項11)においては、前記復号したデータファイルを、一時的に生成した一時保存領域に記憶することが好ましい(請求項12)。かかる発明(請求項12)によれば、一時保存領域及びそこに記憶されたデータファイルは、必要がなくなれば(コピー要求先のコンピュータに送信された後は)消去されるため、復号したデータファイルが不正収集対象になる可能性が極めて低い。
【0022】
上記発明(請求項11,12)に係るファイルサーバは、前記暗号化記憶領域に記憶されたデータファイルが、当該ファイルサーバ以外のコンピュータにコピーされたときに、前記コピー先のコンピュータから暗号化を行った記録を受信する手段をさらに備えたことが好ましい(請求項13)。かかる発明(請求項13)によれば、データファイルが所定のコンピュータにコピーされたことをファイルサーバによって監視することができる。
【0023】
上記発明(請求項11〜13)に係るファイルサーバは、当該ファイルサーバとは別に存在する管理サーバから前記データファイルの開封記録を受信する手段をさらに備えたことが好ましい(請求項14)。かかる発明(請求項14)によれば、データファイルが所定のコンピュータで開封されたことを管理サーバ及びファイルサーバによって監視することができる。
【0024】
上記発明(請求項11,12)に係るファイルサーバは、前記暗号化記憶領域に記憶されたデータファイルが、当該ファイルサーバ以外のコンピュータにコピーされたときに、前記コピー先のコンピュータから暗号化を行った記録を受信する手段と、当該ファイルサーバとは別に存在する管理サーバから前記データファイルの開封記録を受信する手段と、前記暗号化を行った記録と前記開封記録とを照合し、その結果を管理者のコンピュータに対して通知する手段とを備えたことが好ましい(請求項15)。かかる発明(請求項15)によれば、データファイルのコピー先のコンピュータ又はそのユーザと、データファイルを開封したコンピュータ又はそのユーザとが一致するか否かを管理者が知ることができ、データファイルの監視をより高いレベルで行うことが可能となる。
【0025】
上記発明(請求項11〜15)に係るファイルサーバは、暗号化記憶領域に記憶されたデータファイルが、当該ファイルサーバ以外のコンピュータにコピーされたときに、前記データファイルに関する情報とともに、前記コピー先のコンピュータに関する情報及び/又は前記コピー先のコンピュータのユーザに関する情報を履歴として記録する手段をさらに備えたことが好ましい(請求項16)。
【0026】
第2に本発明は、前記ファイルサーバ(請求項11〜16)に対してデータファイルのコピーを要求する機能と、前記要求に係る前記データファイルを前記ファイルサーバから受信する機能と、前記受信したデータファイルを暗号化する機能と、前記データファイルを特定するファイル特定情報及び前記暗号化したデータファイルを復号する開封用キーを生成するためのキー生成情報を、前記ファイルサーバとは別に存在する管理サーバに対して送信する機能と、前記データファイルの暗号化を行った記録を前記ファイルサーバに対して送信する機能と、ユーザから前記暗号化されたデータファイルを開封する要求があったときに、前記ファイル特定情報を前記管理サーバに対して送信する機能と、前記管理サーバから前記開封用キーを受信して前記データファイルを復号する機能とをコンピュータに実現させることのできるプログラムを提供する(請求項17)。
【0027】
上記発明(請求項17)によれば、当該プログラムをインストールしてなるコンピュータにデータファイルを暗号化した上でコピーすることができるが、そのデータファイルを復号するには、管理サーバへのアクセスが必要となるため、当該データファイルの監視を確実に行うことができる。
【0028】
なお、管理サーバは、ファイルサーバとは別に設けられるものである。例えば、この管理サーバを、ファイルサーバを含むイントラネット外に置くことで、イントラネットの安全性を損なうことなく、イントラネット外から管理サーバにアクセスしてデータファイルを復号することが可能となる。
【0029】
上記発明(請求項17)に係るプログラムは、前記受信したデータファイルを暗号化するときに、パスワードを入力させる機能と、前記入力されたパスワードを記憶する機能と、ユーザから前記暗号化されたデータファイルを開封する要求があったときに、パスワードを入力させる機能と、前記入力されたパスワードが、前記記憶したパスワードと一致している場合に、前記データファイルの開封を許可する機能とをコンピュータに実現させるものであることが好ましい(請求項18)。かかる発明(請求項18)によれば、パスワードを知っているユーザだけが暗号化されたデータファイルを開封(復号)することができる。
【0030】
上記発明(請求項17,18)に係るプログラムは、前記ファイル特定情報及び前記キー生成情報とともに、ユーザを特定するユーザ情報もあわせて前記管理サーバに対して送信することが好ましい(請求項19)。かかる発明(請求項19)によれば、データファイルを暗号化したユーザ端末のユーザだけがデータファイルを開封(復号)することができる。
【0031】
第3に本発明は、前記プログラム(請求項17〜19)を記録したコンピュータ読取可能な記録媒体を提供する(請求項20)。「記録媒体」の種類としては、例えば、磁気媒体(ハードディスク、磁気ディスク、フレキシブルディスク、磁気テープ、磁気カード等)、光媒体(コンパクトディスク、DVD(Digital Versatile Disc)、レーザーディスク等の光ディスク)、光磁気媒体(MO(Magnet Optical)ディスク等の光磁気ディスク)や、あるいは各種半導体メモリ等があるが、特に限定されるものではない。
【0032】
第4に本発明は、前記プログラム(請求項17〜19)によって動作するコンピュータから送信された前記ファイル特定情報及び前記キー生成情報を受信する手段と、前記受信したファイル特定情報を記憶する手段と、前記受信したキー生成情報から、前記ファイル特定情報に係るデータファイルを復号するための開封用キーを生成する手段と、前記コンピュータから、開封要求に係るファイル特定情報を受信する手段と、前記受信した開封要求に係るファイル特定情報が前記記憶しているファイル特定情報と一致している場合に、前記生成した開封用キーを前記コンピュータに対して送信する手段とを備えたことを特徴とする管理サーバを提供する(請求項21)。
【0033】
上記発明(請求項21)によれば、上記コンピュータにデータファイルをコピーすることができるが、そのデータファイルを復号するには、管理サーバにアクセスして照合を行うことが必要となるため、当該データファイルの監視を確実に行うことができる。
【0034】
上記発明(請求項21)においては、前記ファイル特定情報及び前記キー生成情報とともに、前記ユーザ情報もあわせて受信して記憶し、前記コンピュータから、開封要求に係るファイル特定情報とともに、ユーザ情報を受信し、前記受信した開封要求に係るファイル特定情報及びユーザ情報が前記記憶しているファイル特定情報及びユーザ情報と一致している場合に、前記生成した開封用キーを前記コンピュータに対して送信することが好ましい(請求項22)。
【0035】
上記発明(請求項21,22)に係る管理サーバは、前記開封用キーを前記コンピュータに対して送信したら、当該データファイルを開封したことに関する開封情報を生成し、前記開封情報を前記ファイルサーバに送信する手段をさらに備えたことが好ましい(請求項23)。かかる発明(請求項23)によれば、所定のデータファイルが開封されたことをファイルサーバ側で管理することができ、データファイルの監視をより高いレベルで行うことが可能となる。
【発明の効果】
【0036】
本発明によれば、データファイルに係る情報漏洩のリスクを低減することができる。また、データファイルの管理を確実に行うことができ、万一情報漏洩があったとしても、その後の調査が容易である。
【発明を実施するための最良の形態】
【0037】
以下、本発明の実施形態を図面に基づいて説明する。
〔システム構成〕
本実施形態に係るシステム(セキュアシェアリングシステム)は、図1に示すように、イントラネットの中でLANによって接続されたファイルサーバ1、管理者端末2及び複数のユーザ端末3と、それらとインターネットを介して接続された管理サーバ4とから構成されている。なお、ユーザ端末3は、場合によってはイントラネットを介さずに、直接インターネットに接続される場合がある。
【0038】
図2に示すように、ファイルサーバ1は、主制御部11と、出力制御部12と、入力制御部13と、メインプログラムを格納する第1の記憶装置14と、ユーザ管理データベース15DBを構成する第2の記憶装置15と、暗号化記憶領域データファイル管理データベース16DBを構成する第3の記憶装置16と、非暗号化記憶領域データファイル管理データベース17DBを構成する第4の記憶装置17と、履歴データベース18DBを構成する第5の記憶装置18と、記録データベース19DBを構成する第6の記憶装置19と、データストレージ部10Sを構成する第7の記憶装置10とを備えている。
【0039】
主制御部11は、CPUおよび主記憶装置(メモリ)等から構成され、各装置の制御や、データの転送、種々の演算、データの一時的な格納等を行い、出力制御部12は、ファイルサーバ1の外部に出力するデータを制御し、入力制御部13は、ファイルサーバ1の外部から入力されるデータを制御する。第1〜第7の記憶装置14〜19,10は、それぞれハードディスク等の記憶装置(又はその中の一部のディスク)からなる。
【0040】
第1の記憶装置14に記憶されているメインプログラムには、例えば、アカウント・ワークフォルダ生成プログラム、ログイン・ログアウト認証プログラム、ワークフォルダ監視プログラム、データファイル暗号化・復号プログラム、ワークフォルダにおけるデータファイルの滞在時間を計測する計測プログラム、管理者端末2・ユーザ端末3・管理サーバ4と情報の送受信を行う送受信プログラム、データファイル外部送信プログラム、暗号化記録・開封記録照合プログラム等が含まれる(各プログラムの動作は、後述するフローチャートを参照)。
【0041】
ユーザ管理データベース15DBには、各ユーザの登録情報、例えばユーザID、ユーザの名前、パスワード、使用端末の識別情報(MACアドレス)、各種権限、ワークフォルダの有無等が記憶されている。
【0042】
暗号化記憶領域データファイル管理データベース16DBには、暗号化記憶領域101に記憶するデータファイルを管理する情報、例えば、データストレージ部10Sにおける暗号化記憶領域101のどこにどのデータファイルを記憶するか指示する情報等が記憶されている。同様に、非暗号化記憶領域データファイル管理データベース17DBには、非暗号化記憶領域103に記憶するデータファイルを管理する情報、例えば、データストレージ部10Sにおける非暗号化記憶領域103のどこにどのデータファイルを記憶するか指示する情報等が記憶されている。
【0043】
履歴データベース18DBには、データストレージ部10Sにおける暗号化記憶領域101に記憶されているデータファイルの操作履歴、非暗号化記憶領域103(ワークフォルダ104)に記憶されているデータファイルの操作履歴等が、データファイル特定情報、ワークフォルダの識別情報、操作を行ったユーザのユーザID、ユーザ端末3の識別情報(MACアドレス)等と関連付けて記録される。
【0044】
記録データベース19DBは、データファイルがユーザ端末3にて暗号化されたことを示す暗号化記録、データファイルがユーザ端末3にて開封されたことを示す開封記録等が、データファイル特定情報、ユーザID、MACアドレス等と関連付けて記憶される。
【0045】
データストレージ部10Sには、図3に示すように、暗号化記憶領域101と、非暗号化記憶領域103とがある。暗号化記憶領域101には、暗号化されたデータファイル100が記憶されている。
【0046】
各データファイル100には、ファイルサーバ1以外のコンピュータ(ユーザ端末3)へのコピーを許可するか、禁止するかの情報が関連付けられている。この情報は、データファイル100をデータストレージ部10Sに新規に登録するときに、当該データファイル100の管理者の要求に応じて付されるものである。
【0047】
非暗号化記憶領域103には、ユーザ登録情報に関連付けられてワークフォルダ104が設けられる。このワークフォルダ104には、暗号化記憶領域101にあったデータファイル100が復号されてコピーされる。
【0048】
また、データストレージ部10Sにおいては、一時保存領域102が一時的に(動的に)生成される。暗号化記憶領域101に記憶されているデータファイル100がユーザ端末3のハードディスクにコピーされるとき、その前に当該データファイル100は復号されて一時保存領域102にコピーされる。この一時保存領域102は、復号されたデータファイル100がコピー要求先のコンピュータに送信された後すぐに、データファイル100とともに消去される。したがって、復号したデータファイル100がファイルサーバ1中に残って不正収集対象になるという可能性は極めて低い。
【0049】
本実施形態における管理者端末2及びユーザ端末3は、ネットワークに接続可能な通常のパーソナルコンピュータである。管理者端末2及びユーザ端末3には、それぞれアプリケーションがインストールされている。
【0050】
管理者端末2におけるアプリケーションは、ファイルサーバ1・管理サーバ3と情報の送受信を行う送受信プログラム、ユーザの一覧表示やユーザの新規登録等を行うユーザ管理プログラム、アラート情報表示プログラム、データファイルの操作履歴等を表示する履歴表示プログラム等を含んで構成されている(各プログラムの動作は、後述するフローチャートを参照)。
【0051】
ユーザ端末3におけるアプリケーションは、ファイルサーバ1・管理サーバ3と情報の送受信を行う送受信プログラム、データファイル暗号化・復号プログラム、アラート情報表示プログラム等を含んで構成されている(各プログラムの動作は、後述するフローチャートを参照)。また、ユーザ端末3には、所望のデータファイルを取り扱う(表示、加工・編集等を行う)ためのアプリケーションがインストールされている。
【0052】
管理サーバ4は、図示しないが、ファイルサーバ1と同様の主制御部、出力制御部及び入力制御部と、メインプログラムを格納する第1の記憶装置と、データファイルの暗号化を管理する管理用情報を記憶する第2の記憶装置とを備えている。
【0053】
管理サーバ4のメインプログラムには、管理者端末2・ユーザ端末3・ファイルサーバ1と情報の送受信を行う送受信プログラム、管理用情報を管理する管理プログラム、開封要求情報・管理用情報照合プログラム、開封用キー生成プログラム、開封記録生成プログラム等が含まれる(各プログラムの動作は、後述するフローチャートを参照)。
【0054】
〔ユーザ新規登録に関するフロー〕
本セキュアシェアリングシステムにおけるユーザ新規登録に関するフローを、図4のフローチャートを参照して説明する。
【0055】
最初に、管理者端末2のアプリケーションにおいて、ユーザ登録情報、例えば、ユーザID、ユーザの名前、パスワード、各種権限(アクセスの可否等)が入力されると(ステップSA101)、管理者端末2は、その入力されたユーザ登録情報をファイルサーバ1に送信する。
【0056】
ファイルサーバ1は、ユーザ登録情報を受信して(ステップSF101)、ユーザ管理データベース15DBを参照する(ステップSF102)。そして、当該ユーザ登録情報に係るワークフォルダ104が有るか否か判断する(ステップSF103)。当該ユーザ登録情報に係るワークフォルダ104が無いと判断した場合(ステップSF103−No)には、当該ユーザのアカウントを生成し(ステップSF104)、ユーザ管理データベース15DBにユーザ登録情報を登録する。
【0057】
次いで、ファイルサーバ1は、データストレージ部10Sの非暗号化記憶領域103内に、当該ユーザ専用のワークフォルダを生成する(ステップSF105)。そして、ファイルサーバ1は、管理者端末2のアプリケーションの画面で新規ユーザ及び新規ワークフォルダが追加されたことを表示するためのユーザ表示情報を管理者端末2に対して送信する(ステップSF106)。
【0058】
管理者端末2は、上記ユーザ表示情報を受信し(ステップSA102)、アプリケーションの画面にて新規ユーザ及び新規ワークフォルダが追加されたことを表示する(ステップSA103)。
【0059】
ファイルサーバ1は、上記ステップSF103にて、当該ユーザ登録情報に係るワークフォルダ104が有ると判断した場合(ステップSF103−Yes)には、当該ユーザのワークフォルダが既にある旨を表示するアラート情報を管理者端末2に対して送信する(ステップSF107)。管理者端末2は、上記アラート情報を受信し(ステップSA104)、アプリケーションの画面にて当該ユーザのワークフォルダが既にある旨を表示する(ステップSA105)。
【0060】
〔データファイルのワークフォルダへのコピーに関するフロー〕
本セキュアシェアリングシステムにおけるデータファイル100のワークフォルダ104へのコピーに関するフローを、図5のフローチャートを参照して説明する。
【0061】
最初に、ユーザ端末3のアプリケーションのログイン画面において、ユーザID及びパスワードが入力されると、ユーザ端末3は、ユーザID、パスワード及びMACアドレス等を含むログイン情報をファイルサーバ1に送信する(ステップSU201)。
【0062】
ファイルサーバ1は、ログイン情報を受信し(ステップSF201)、ユーザ管理データベース15DBを参照して認証を行う(ステップSF202)。認証する場合には、ファイルサーバ1はログイン許可情報をユーザ端末3に送信する。ユーザ端末3は、そのログイン許可情報を受信し、ログインが許可される(ステップSU202)。
【0063】
次に、ユーザ端末3のアプリケーションにおいて、ファイルサーバ1の暗号化記憶領域101に記憶されている所定のデータファイルが選択され、そのデータファイルについてワークフォルダ104へのコピーが要求されると(ステップSU203)、ユーザ端末3は、その要求情報をファイルサーバ1に送信する。
【0064】
ファイルサーバ1は、要求情報を受信し(ステップSF203)、当該ユーザのワークフォルダ104を監視対象として登録する(ステップSF204)。これによって、ワークフォルダ監視プログラムが起動し、当該ワークフォルダにおける操作履歴を履歴データベース18DBに記憶する。
【0065】
ファイルサーバ1は、データストレージ部10Sの暗号化記憶領域101にアクセスし、コピー要求に係るデータファイル100を抽出する(ステップSF205)。そして、ファイルサーバ1は、抽出したデータファイル100を復号し(ステップSF206)、データストレージ部10Sの非暗号化記憶領域103に存在するワークフォルダ104に上記復号したデータファイル100をコピーする(ステップSF207)。
【0066】
そして、ファイルサーバ1は、当該ユーザのワークフォルダ104に所定のデータファイル100がコピーされたことのコピー情報を管理者端末2に送信する(ステップSF208)。管理者端末2は、そのコピー情報を受信して保存する(ステップSA201)。このコピー情報は、管理者端末2の履歴表示プログラムによって、アプリケーションの画面に表示させることが可能となっている。
【0067】
次いで、ファイルサーバ1は、データファイル100がワークフォルダ104にコピーされてからの滞在時間の計測を開始する(ステップSF209)。そして、その滞在時間が所定時間を超過したか否かを判断し(ステップSF210)、所定時間を超過した場合には(ステップSF210−Yes)、データファイルのワークフォルダ滞在時間が所定時間を超過した旨を表示するアラート情報を、ユーザ端末3及び管理者端末2に送信する(ステップSF211)。
【0068】
ユーザ端末3は、アラート情報を受信し(ステップSU204)、アプリケーションの画面にてデータファイルのワークフォルダ滞在時間が所定時間を超過した旨を表示する(ステップSU205)。同様に、管理者端末2は、アラート情報を受信し(ステップSA202)、アプリケーションの画面にて、当該ユーザについて所定のデータファイルのワークフォルダ滞在時間が所定時間を超過した旨を表示する(ステップSA203)。
【0069】
これにより、復号されたデータファイル100が誤ってワークフォルダ104中に放置されることを防止することができ、情報漏洩を効果的に抑制することができる。
【0070】
〔データファイルの加工・編集に関するフロー〕
本セキュアシェアリングシステムにおけるデータファイル100の加工・編集に関するフローを、図6のフローチャートを参照して説明する。
【0071】
ファイルサーバ1は、上記ステップSF207に続いて、ユーザ端末3が選択したデータファイル100であって、ワークフォルダ104に復号してコピーしたデータファイル100を、ユーザ端末3に送信する(ステップSF301)。
【0072】
ユーザ端末3は、データファイル100を受信して、一次メモリに記憶する(ステップSU301)。そして、ユーザ端末3は、データファイル100を取り扱うためのアプリケーションを立ち上げて、データファイル100の内容を画面に表示する(ステップSU302)。データファイル100は、ユーザ端末3の一次メモリ上にて、アプリケーションにより加工・編集される(ステップSU303)。
【0073】
なお、本実施形態では、データファイルを取り扱うためのアプリケーションはユーザ端末3が持っているが、ASPとしてファイルサーバ1がデータファイル加工・編集用のアプリケーションを持ち、ユーザ端末3がファイルサーバ1に対して加工・編集の指示を出すようにしてもよい。
【0074】
ユーザ端末3は、所定のタイミング(例えば保存要求)で、加工・編集後のデータファイル100をファイルサーバ1に送信する(ステップSU304)。ファイルサーバ1は、その加工・編集後のデータファイル100を受信し、ワークフォルダ104中のデータファイル100を更新する(ステップSF302)。このときファイルサーバ1は、当該データファイル100について当該ユーザ端末3で操作された操作履歴を履歴データベース18DBに記録する(ステップSF303)。
【0075】
上記ステップSU303〜ステップSU304及びステップSF302〜ステップSF303は、データファイル100の加工・編集が終了するまで繰り返される。
【0076】
データファイル100の加工・編集が終了し、ユーザ端末3にて加工・編集後のデータファイル100を暗号化記憶領域101に保存する保存要求がなされたら(ステップSU401)、その要求情報がファイルサーバ1に送信される。ファイルサーバ1は、当該要求情報を受信し(ステップSF401)、加工・編集後のデータファイル100を暗号化し(ステップSF402)、暗号化記憶領域101に保存する(ステップSF403)。それとともに、ファイルサーバ1はデータファイル100をワークフォルダ104から削除し(ステップSF404)、当該ワークフォルダ104を操作履歴の監視対象から外す(ステップSF405)。
【0077】
以上の処理動作においては、復号されたデータファイル100はユーザ端末3のハードディスクには保存されないため、ユーザ端末3からの情報漏洩のリスクは非常に低い。また、ファイルサーバ1は、データファイル100のユーザ端末3での操作履歴を記録しているので、データファイル100の管理を確実に行うことができ、万一情報漏洩が発生したとしても、その後の調査が容易である。
【0078】
〔ユーザ端末のファイルサーバからのログアウトに関するフロー〕
本セキュアシェアリングシステムにおけるユーザ端末3のファイルサーバ1からのログアウトに関するフローを、図7のフローチャートを参照して説明する。
【0079】
ユーザ端末3にてログアウトの要求がなされると(ステップSU501)、ユーザ端末3は、ユーザID及びMACアドレス等を含むログアウト情報をファイルサーバ1に送信する。ファイルサーバ1は、ログアウト情報を受信し(ステップSF501)、ログイン情報に含まれているユーザID及びMACアドレス等との照合を行う(ステップSF502)。ログアウト情報がログイン情報と一致する場合には、ファイルサーバ1はログアウト許可情報をユーザ端末3に送信する。ユーザ端末3は、そのログアウト許可情報を受信し、ログアウトする(ステップSU502)。
【0080】
次に、ファイルサーバ1は、ワークフォルダ104にデータファイル100が残存しているか否かを判断する(ステップSF503)。ワークフォルダ104にデータファイル100が残存していないと判断した場合には(ステップSF503−No)、ファイルサーバ1は動作を終了する。一方、ワークフォルダ104にデータファイル100が残存していると判断した場合には(ステップSF503−Yes)、ファイルサーバ1は、ワークフォルダにデータファイルが残っている旨を表示するアラート情報を、ユーザ端末3及び管理者端末2に送信する(ステップSF504)。
【0081】
ユーザ端末3は、アラート情報を受信し(ステップSU503)、アプリケーションの画面にてワークフォルダにデータファイルが残っている旨を表示する(ステップSU504)。同様に、管理者端末2は、アラート情報を受信し(ステップSA501)、アプリケーションの画面にて、当該ユーザについてワークフォルダに所定のデータファイルが残っている旨を表示する(ステップSA502)。
【0082】
これにより、復号されたデータファイル100が誤ってワークフォルダ104中に放置されることを防止することができ、情報漏洩を効果的に抑制することができる。
【0083】
〔データファイルのユーザ端末へのコピーに関するフロー〕
本セキュアシェアリングシステムにおけるデータファイル100のユーザ端末3へのコピーに関するフローを、図8のフローチャートを参照して説明する。
【0084】
最初に、ユーザ端末3のアプリケーションにおいて、ファイルサーバ1の暗号化記憶領域101に記憶されている所定のデータファイルが選択され、そのデータファイルについてユーザ端末3へのコピーが要求されると(ステップSU601)、ユーザ端末3は、その要求情報をファイルサーバ1に送信する。
【0085】
ファイルサーバ1は、要求情報を受信し(ステップSF601)、データストレージ部10Sの暗号化記憶領域101にアクセスして、コピー要求に係るデータファイル100を抽出する(ステップSF602)。そして、ファイルサーバ1は、データストレージ部10Sに動的に一時保存領域102を生成し(ステップSF603)、抽出したデータファイル100を復号して、生成した一時保存領域102にコピーし(ステップSF604)、次いで復号したデータファイル100をユーザ端末3に送信する(ステップSF605)。
【0086】
ただし、コピー要求に係るデータファイル100が、ファイルサーバ1以外のコンピュータへのコピーが禁止されているものの場合には、ファイルサーバ1は、復号したデータファイル100は送信せず、コピー禁止のアラート情報をユーザ端末3に送信する。ファイルサーバ1は、データファイル100の送信後、一時保存領域102をデータファイル100とともに直ぐに消去する(ステップSF606)。
【0087】
ユーザ端末3は、データファイル100を受信したら(ステップSU602)、アプリケーションによってパスワード入力画面を表示する。その画面から所定のパスワードが入力されたら、ユーザ端末3は、そのパスワードを保存した後(ステップSU603)、受信したデータファイル100を暗号化してハードディスクに保存する(ステップSU604)。そして、ユーザ端末3は、当該データファイル100が暗号化されたことを示す暗号化完了報告をファイルサーバ1に対して送信する(ステップSU605)。
【0088】
ファイルサーバ1は、暗号化完了報告を受信したら(ステップSF607)、当該データファイル100が暗号化されたことの情報を、当該ユーザのユーザID、MACアドレス等とともに、暗号化記録として記録データベース19DBに記憶し、その暗号化記録を管理者端末2に対して送信する(ステップSF608)。管理者端末2は、その暗号化記録を受信して保存する(ステップSA601)。
【0089】
次いでユーザ端末3は、データファイル100を特定するファイル特定情報、暗号化したデータファイル100を復号する開封用キーを生成するためのキー生成情報、当該ユーザのユーザID、ファイルサーバ1のID、MACアドレス等を含む管理用情報を生成し、管理サーバ4に対して送信する(ステップSU606)。管理サーバ4は、その管理用情報を受信し(ステップSS601)、第2の記憶装置に記憶する(ステップSS602)。
【0090】
〔ユーザ端末での開封に関するフロー〕
本セキュアシェアリングシステムにおけるデータファイル100のユーザ端末3での開封に関するフローを、図9のフローチャートを参照して説明する。
【0091】
上記ステップSU604で暗号化されたデータファイル100について、ユーザ端末3にて開封要求がなされたら(ステップSU701)、ユーザ端末3は、アプリケーションによってパスワード入力画面を表示する。その画面からパスワードが入力されたら(ステップSU702)、ユーザ端末3は、上記ステップSU603で保存したパスワードを参照して認証を行う(ステップSU703)。
【0092】
ステップSU703で認証できたら、ユーザ端末3は、データファイル100を特定するファイル特定情報、当該ユーザのユーザID、MACアドレス等を含む開封要求情報を生成し、管理サーバ4に対して送信する(ステップSU704)。管理サーバ4は、その開封要求情報を受信し(ステップSS701)、上記ステップSS602で記憶した管理用情報を読み出す(ステップSS702)。そして、管理サーバ4は、データファイル100を特定するファイル特定情報及び当該ユーザのユーザIDが管理用情報と開封要求情報とで一致しているか否かを判断する(ステップSS703)。
【0093】
管理サーバ4は、ファイル特定情報及びユーザIDが管理用情報と開封要求情報とで一致していないと判断した場合には(ステップSS703−No)、データファイルを開封できない旨を表示するアラート情報を、ユーザ端末3及び管理者端末2に送信する(ステップSS704)。
【0094】
ユーザ端末3は、アラート情報を受信し、アプリケーションの画面にてデータファイルを開封できない旨を表示する(ステップSU705)。同様に、管理者端末2は、アラート情報を受信し、アプリケーションの画面にて当該データファイルが開封できなかった旨を表示する(ステップSA701)。
【0095】
なお、ユーザ端末3が、イントラネット外で直接インターネットに接続して開封要求を行った場合には、管理用情報と開封要求情報とでMACアドレスが一致しないことになるが、この場合には、MACアドレスが一致しない旨のアラート情報を表示するだけで、ステップSS703〜ステップSS705に進めばよい。
【0096】
管理サーバ4は、ファイル特定情報及びユーザIDが管理用情報と開封要求情報とで一致していると判断した場合には(ステップSS703−Yes)、上記ステップSS602で記憶した管理用情報に含まれるキー生成情報を読み出し、開封用キーを生成してユーザ端末3に送信する(ステップSS705)。
【0097】
ユーザ端末3は、開封用キーを受信し(ステップSU706)、その開封用キーを使用して、上記ステップSU604で暗号化されたデータファイル100を復号する(ステップSU707)。これによって、データファイル100は、ユーザ端末3のハードディスク上で加工・編集することが可能となる。
【0098】
次に管理サーバ4は、当該データファイル100が開封されたことの情報を、当該ユーザのユーザID、MACアドレス等とともに開封記録として生成し、ファイルサーバ1に対して送信する(ステップSS706)。
【0099】
ファイルサーバ1は、開封記録を受信したら(ステップSF701)、上記ステップSF606で記憶した暗号化記録を読み出し(ステップSF702)、データファイル100を特定するファイル特定情報、当該ユーザのユーザID、MACアドレス等が開封記録と暗号化記録とで一致しているか照合する(ステップSF703)。
【0100】
管理サーバ4は、上記照合の結果を、管理者端末2に送信する(ステップSF704)。管理者端末2は、照合結果を受信して保存する(ステップSA702)。
【0101】
以上の処理動作においては、ユーザ端末3のハードディスクにデータファイル100が保存されるが、データファイル100を暗号化したユーザ端末3においてのみ、しかもパスワードを知っているユーザしか、暗号化されたデータファイル100を復号(開封)することができない。したがって、第三者によって当該ユーザ端末3以外のコンピュータでデータファイル100が開封される可能性は極めて低い。
【0102】
また、暗号化されたデータファイル100を開封するには管理サーバ4にアクセスして照合を行うことが必要となるため、当該データファイル100の監視を確実に行うことができる。さらに、ファイルサーバ1は、データファイル100が暗号化されたときの暗号化記録と、データファイル100が開封されたときの開封記録とを照合しているため、より高い安全性をもってデータファイル100を管理することができる。
【0103】
ここで、管理サーバ4は、ファイルサーバ1及びユーザ端末3が接続されているイントラネットの外に置かれているため、ユーザ端末3は、イントラネットを介さず、直接インターネットに接続してデータファイル100を開封することが可能である。なお、管理サーバ4をイントラネット内に置いて、ユーザ端末3のインターネット経由のアクセスを許可した場合には、イントラネットが外部から攻撃を受け易くなり、イントラネットの安全性が脆弱なものになってしまう。
【0104】
以上説明した実施形態は、本発明の理解を容易にするために記載されたものであって、本発明を限定するために記載されたものではない。したがって、上記実施形態に開示された各要素は、本発明の技術的範囲に属する全ての設計変更や均等物をも含む趣旨である。
【0105】
例えば、ユーザ端末3のハードディスクにデータファイル100をコピーする場合、そのデータファイル100を暗号化するのは、ユーザ端末3ではなく、ファイルサーバ1であってもよい。
【産業上の利用可能性】
【0106】
本発明は、機密性の高いデータファイル、例えば顧客リスト、給与データファイル、電子カルテ、その他の個人情報データファイル、経理・会計データファイル、契約書データファイル、出願・公開前特許明細書データファイル等の管理に有用である。
【図面の簡単な説明】
【0107】
【図1】本発明の一実施形態に係るセキュアシェアリングシステムの構成図である。
【図2】同実施形態におけるファイルサーバの構成図である。
【図3】同実施形態におけるファイルサーバのデータストレージ部の概念図である。
【図4】同実施形態に係るセキュアシェアリングシステムにおける各装置の処理動作を示すフローチャートである。
【図5】同実施形態に係るセキュアシェアリングシステムにおける各装置の処理動作を示すフローチャートである。
【図6】同実施形態に係るセキュアシェアリングシステムにおける各装置の処理動作を示すフローチャートである。
【図7】同実施形態に係るセキュアシェアリングシステムにおける各装置の処理動作を示すフローチャートである。
【図8】同実施形態に係るセキュアシェアリングシステムにおける各装置の処理動作を示すフローチャートである。
【図9】同実施形態に係るセキュアシェアリングシステムにおける各装置の処理動作を示すフローチャートである。
【符号の説明】
【0108】
1…ファイルサーバ
10S…データストレージ部
100…データファイル
101…暗号化記憶領域
102…一時保存領域
103…非暗号化記憶領域
104…ワークフォルダ
2…管理者端末
3…ユーザ端末
4…管理サーバ
【特許請求の範囲】
【請求項1】
暗号化されたデータファイルを記憶する暗号化記憶領域と、
暗号化されていないデータファイルを記憶する非暗号化記憶領域と、
データファイルを前記暗号化記憶領域に記憶するときに、前記データファイルを暗号化する手段と、
前記暗号化記憶領域に記憶されているデータファイルを前記非暗号化記憶領域にコピーするときに、前記データファイルを復号する手段と、
前記暗号化記憶領域に記憶されているデータファイルの操作履歴を記録する手段と、
前記非暗号化記憶領域に記憶されているデータファイルの操作履歴を記録する手段と
を備えたことを特徴とする単一からなるファイルサーバ。
【請求項2】
前記非暗号化記憶領域に記憶されているデータファイルを加工・編集する手段をさらに備えたことを特徴とする請求項1に記載のファイルサーバ。
【請求項3】
前記非暗号化記憶領域に、特定のユーザだけがアクセス可能なフォルダを生成する手段をさらに備えており、
前記暗号化記憶領域に記憶されているデータファイルは、復号された上で前記非暗号化記憶領域中の前記フォルダ内にコピーされる
ことを特徴とする請求項1又は2に記載のファイルサーバ。
【請求項4】
前記暗号化記憶領域に記憶されているデータファイルが前記非暗号化記憶領域中の前記フォルダ内にコピーされたときに、前記フォルダを操作履歴の監視対象として登録する手段をさらに備えたことを特徴とする請求項3に記載のファイルサーバ。
【請求項5】
前記フォルダから前記データファイルが削除されたとき又は前記フォルダから前記データファイルが前記暗号化記憶領域に戻されたときに、前記フォルダを操作履歴の監視対象から外す手段をさらに備えたことを特徴とする請求項4に記載のファイルサーバ。
【請求項6】
前記暗号化記憶領域に記憶されているデータファイルが前記非暗号化記憶領域にコピーされたときに、管理者のコンピュータに対して通知を発する手段をさらに備えたことを特徴とする請求項請1〜5のいずれかに記載のファイルサーバ。
【請求項7】
前記暗号化記憶領域に記憶されているデータファイルが前記非暗号化記憶領域にコピーされてからの滞在時間を計測する手段と、
前記滞在時間が所定時間を超過したときに、管理者のコンピュータ及び/又は前記データファイルを操作したユーザのコンピュータに対して通知を発する手段と
を備えたことを特徴とする請求項1〜6のいずれかに記載のファイルサーバ。
【請求項8】
前記非暗号化記憶領域にコピーされたデータファイルが、当該データファイルを操作したユーザがログアウトした後も前記非暗号化記憶領域に残存しているときに、管理者のコンピュータ及び/又は前記データファイルを操作したユーザのコンピュータに対して通知を発する手段をさらに備えたことを特徴とする請求項1〜7のいずれかに記載のファイルサーバ。
【請求項9】
前記非暗号化記憶領域にて加工・編集されたデータファイルが、前記暗号化記憶領域にコピーされたときに、前記データファイルを前記非暗号化記憶領域から削除する手段をさらに備えたことを特徴とする請求項1〜8のいずれかに記載のファイルサーバ。
【請求項10】
前記暗号化記憶領域又は前記非暗号化記憶領域に記憶されたデータファイルを、当該ファイルサーバ以外のコンピュータにコピーすることを許可及び禁止する手段をさらに備えたことを特徴とする請求項1〜9のいずれかに記載のファイルサーバ。
【請求項11】
前記暗号化記憶領域に記憶されたデータファイルを、当該ファイルサーバ以外のコンピュータにコピーする要求がなされたときに、前記データファイルを復号して、コピー可能な状態とする手段をさらに備えたことを特徴とする請求項1〜10のいずれかに記載のファイルサーバ。
【請求項12】
前記復号したデータファイルを、一時的に生成した一時保存領域に記憶することを特徴とする請求項11に記載のファイルサーバ。
【請求項13】
前記暗号化記憶領域に記憶されたデータファイルが、当該ファイルサーバ以外のコンピュータにコピーされたときに、前記コピー先のコンピュータから暗号化を行った記録を受信する手段をさらに備えたことを特徴とする請求項11又は12に記載のファイルサーバ。
【請求項14】
当該ファイルサーバとは別に存在する管理サーバから前記データファイルの開封記録を受信する手段をさらに備えたことを特徴とする請求項11〜13のいずれかに記載のファイルサーバ。
【請求項15】
前記暗号化記憶領域に記憶されたデータファイルが、当該ファイルサーバ以外のコンピュータにコピーされたときに、前記コピー先のコンピュータから暗号化を行った記録を受信する手段と、
当該ファイルサーバとは別に存在する管理サーバから前記データファイルの開封記録を受信する手段と、
前記暗号化を行った記録と前記開封記録とを照合し、その結果を管理者のコンピュータに対して通知する手段と
を備えたことを特徴とする請求項11又は12に記載のファイルサーバ。
【請求項16】
前記暗号化記憶領域に記憶されたデータファイルが、当該ファイルサーバ以外のコンピュータにコピーされたときに、前記データファイルに関する情報とともに、前記コピー先のコンピュータに関する情報及び/又は前記コピー先のコンピュータのユーザに関する情報を履歴として記録する手段をさらに備えたことを特徴とする請求項11〜15のいずれかに記載のファイルサーバ。
【請求項17】
請求項11〜16のいずれかに記載のファイルサーバに対してデータファイルのコピーを要求する機能と、
前記要求に係る前記データファイルを前記ファイルサーバから受信する機能と、
前記受信したデータファイルを暗号化する機能と、
前記データファイルを特定するファイル特定情報及び前記暗号化したデータファイルを復号する開封用キーを生成するためのキー生成情報を、前記ファイルサーバとは別に存在する管理サーバに対して送信する機能と、
前記データファイルの暗号化を行った記録を前記ファイルサーバに対して送信する機能と、
ユーザから前記暗号化されたデータファイルを開封する要求があったときに、前記ファイル特定情報を前記管理サーバに対して送信する機能と、
前記管理サーバから前記開封用キーを受信して前記データファイルを復号する機能と
をコンピュータに実現させることのできるプログラム。
【請求項18】
前記受信したデータファイルを暗号化するときに、パスワードを入力させる機能と、
前記入力されたパスワードを記憶する機能と、
ユーザから前記暗号化されたデータファイルを開封する要求があったときに、パスワードを入力させる機能と、
前記入力されたパスワードが、前記記憶したパスワードと一致している場合に、前記データファイルの開封を許可する機能と
をコンピュータに実現させることのできる請求項17に記載のプログラム。
【請求項19】
前記ファイル特定情報及び前記キー生成情報とともに、ユーザを特定するユーザ情報もあわせて前記管理サーバに対して送信することを特徴とする請求項17又は18に記載のプログラム。
【請求項20】
請求項17〜19のいずれかに記載のプログラムを記録したコンピュータ読取可能な記録媒体。
【請求項21】
請求項17〜19のいずれかに記載のプログラムによって動作するコンピュータから送信された前記ファイル特定情報及び前記キー生成情報を受信する手段と、
前記受信したファイル特定情報を記憶する手段と、
前記受信したキー生成情報から、前記ファイル特定情報に係るデータファイルを復号するための開封用キーを生成する手段と、
前記コンピュータから、開封要求に係るファイル特定情報を受信する手段と、
前記受信した開封要求に係るファイル特定情報が前記記憶しているファイル特定情報と一致している場合に、前記生成した開封用キーを前記コンピュータに対して送信する手段と
を備えたことを特徴とする管理サーバ。
【請求項22】
前記ファイル特定情報及び前記キー生成情報とともに、前記ユーザ情報もあわせて受信して記憶し、
前記コンピュータから、開封要求に係るファイル特定情報とともに、ユーザ情報を受信し、
前記受信した開封要求に係るファイル特定情報及びユーザ情報が前記記憶しているファイル特定情報及びユーザ情報と一致している場合に、前記生成した開封用キーを前記コンピュータに対して送信する
ことを特徴とする請求項21に記載の管理サーバ。
【請求項23】
前記開封用キーを前記コンピュータに対して送信したら、当該データファイルを開封したことに関する開封情報を生成し、前記開封情報を前記ファイルサーバに送信する手段をさらに備えたことを特徴とする請求項21又は22に記載の管理サーバ。
【請求項1】
暗号化されたデータファイルを記憶する暗号化記憶領域と、
暗号化されていないデータファイルを記憶する非暗号化記憶領域と、
データファイルを前記暗号化記憶領域に記憶するときに、前記データファイルを暗号化する手段と、
前記暗号化記憶領域に記憶されているデータファイルを前記非暗号化記憶領域にコピーするときに、前記データファイルを復号する手段と、
前記暗号化記憶領域に記憶されているデータファイルの操作履歴を記録する手段と、
前記非暗号化記憶領域に記憶されているデータファイルの操作履歴を記録する手段と
を備えたことを特徴とする単一からなるファイルサーバ。
【請求項2】
前記非暗号化記憶領域に記憶されているデータファイルを加工・編集する手段をさらに備えたことを特徴とする請求項1に記載のファイルサーバ。
【請求項3】
前記非暗号化記憶領域に、特定のユーザだけがアクセス可能なフォルダを生成する手段をさらに備えており、
前記暗号化記憶領域に記憶されているデータファイルは、復号された上で前記非暗号化記憶領域中の前記フォルダ内にコピーされる
ことを特徴とする請求項1又は2に記載のファイルサーバ。
【請求項4】
前記暗号化記憶領域に記憶されているデータファイルが前記非暗号化記憶領域中の前記フォルダ内にコピーされたときに、前記フォルダを操作履歴の監視対象として登録する手段をさらに備えたことを特徴とする請求項3に記載のファイルサーバ。
【請求項5】
前記フォルダから前記データファイルが削除されたとき又は前記フォルダから前記データファイルが前記暗号化記憶領域に戻されたときに、前記フォルダを操作履歴の監視対象から外す手段をさらに備えたことを特徴とする請求項4に記載のファイルサーバ。
【請求項6】
前記暗号化記憶領域に記憶されているデータファイルが前記非暗号化記憶領域にコピーされたときに、管理者のコンピュータに対して通知を発する手段をさらに備えたことを特徴とする請求項請1〜5のいずれかに記載のファイルサーバ。
【請求項7】
前記暗号化記憶領域に記憶されているデータファイルが前記非暗号化記憶領域にコピーされてからの滞在時間を計測する手段と、
前記滞在時間が所定時間を超過したときに、管理者のコンピュータ及び/又は前記データファイルを操作したユーザのコンピュータに対して通知を発する手段と
を備えたことを特徴とする請求項1〜6のいずれかに記載のファイルサーバ。
【請求項8】
前記非暗号化記憶領域にコピーされたデータファイルが、当該データファイルを操作したユーザがログアウトした後も前記非暗号化記憶領域に残存しているときに、管理者のコンピュータ及び/又は前記データファイルを操作したユーザのコンピュータに対して通知を発する手段をさらに備えたことを特徴とする請求項1〜7のいずれかに記載のファイルサーバ。
【請求項9】
前記非暗号化記憶領域にて加工・編集されたデータファイルが、前記暗号化記憶領域にコピーされたときに、前記データファイルを前記非暗号化記憶領域から削除する手段をさらに備えたことを特徴とする請求項1〜8のいずれかに記載のファイルサーバ。
【請求項10】
前記暗号化記憶領域又は前記非暗号化記憶領域に記憶されたデータファイルを、当該ファイルサーバ以外のコンピュータにコピーすることを許可及び禁止する手段をさらに備えたことを特徴とする請求項1〜9のいずれかに記載のファイルサーバ。
【請求項11】
前記暗号化記憶領域に記憶されたデータファイルを、当該ファイルサーバ以外のコンピュータにコピーする要求がなされたときに、前記データファイルを復号して、コピー可能な状態とする手段をさらに備えたことを特徴とする請求項1〜10のいずれかに記載のファイルサーバ。
【請求項12】
前記復号したデータファイルを、一時的に生成した一時保存領域に記憶することを特徴とする請求項11に記載のファイルサーバ。
【請求項13】
前記暗号化記憶領域に記憶されたデータファイルが、当該ファイルサーバ以外のコンピュータにコピーされたときに、前記コピー先のコンピュータから暗号化を行った記録を受信する手段をさらに備えたことを特徴とする請求項11又は12に記載のファイルサーバ。
【請求項14】
当該ファイルサーバとは別に存在する管理サーバから前記データファイルの開封記録を受信する手段をさらに備えたことを特徴とする請求項11〜13のいずれかに記載のファイルサーバ。
【請求項15】
前記暗号化記憶領域に記憶されたデータファイルが、当該ファイルサーバ以外のコンピュータにコピーされたときに、前記コピー先のコンピュータから暗号化を行った記録を受信する手段と、
当該ファイルサーバとは別に存在する管理サーバから前記データファイルの開封記録を受信する手段と、
前記暗号化を行った記録と前記開封記録とを照合し、その結果を管理者のコンピュータに対して通知する手段と
を備えたことを特徴とする請求項11又は12に記載のファイルサーバ。
【請求項16】
前記暗号化記憶領域に記憶されたデータファイルが、当該ファイルサーバ以外のコンピュータにコピーされたときに、前記データファイルに関する情報とともに、前記コピー先のコンピュータに関する情報及び/又は前記コピー先のコンピュータのユーザに関する情報を履歴として記録する手段をさらに備えたことを特徴とする請求項11〜15のいずれかに記載のファイルサーバ。
【請求項17】
請求項11〜16のいずれかに記載のファイルサーバに対してデータファイルのコピーを要求する機能と、
前記要求に係る前記データファイルを前記ファイルサーバから受信する機能と、
前記受信したデータファイルを暗号化する機能と、
前記データファイルを特定するファイル特定情報及び前記暗号化したデータファイルを復号する開封用キーを生成するためのキー生成情報を、前記ファイルサーバとは別に存在する管理サーバに対して送信する機能と、
前記データファイルの暗号化を行った記録を前記ファイルサーバに対して送信する機能と、
ユーザから前記暗号化されたデータファイルを開封する要求があったときに、前記ファイル特定情報を前記管理サーバに対して送信する機能と、
前記管理サーバから前記開封用キーを受信して前記データファイルを復号する機能と
をコンピュータに実現させることのできるプログラム。
【請求項18】
前記受信したデータファイルを暗号化するときに、パスワードを入力させる機能と、
前記入力されたパスワードを記憶する機能と、
ユーザから前記暗号化されたデータファイルを開封する要求があったときに、パスワードを入力させる機能と、
前記入力されたパスワードが、前記記憶したパスワードと一致している場合に、前記データファイルの開封を許可する機能と
をコンピュータに実現させることのできる請求項17に記載のプログラム。
【請求項19】
前記ファイル特定情報及び前記キー生成情報とともに、ユーザを特定するユーザ情報もあわせて前記管理サーバに対して送信することを特徴とする請求項17又は18に記載のプログラム。
【請求項20】
請求項17〜19のいずれかに記載のプログラムを記録したコンピュータ読取可能な記録媒体。
【請求項21】
請求項17〜19のいずれかに記載のプログラムによって動作するコンピュータから送信された前記ファイル特定情報及び前記キー生成情報を受信する手段と、
前記受信したファイル特定情報を記憶する手段と、
前記受信したキー生成情報から、前記ファイル特定情報に係るデータファイルを復号するための開封用キーを生成する手段と、
前記コンピュータから、開封要求に係るファイル特定情報を受信する手段と、
前記受信した開封要求に係るファイル特定情報が前記記憶しているファイル特定情報と一致している場合に、前記生成した開封用キーを前記コンピュータに対して送信する手段と
を備えたことを特徴とする管理サーバ。
【請求項22】
前記ファイル特定情報及び前記キー生成情報とともに、前記ユーザ情報もあわせて受信して記憶し、
前記コンピュータから、開封要求に係るファイル特定情報とともに、ユーザ情報を受信し、
前記受信した開封要求に係るファイル特定情報及びユーザ情報が前記記憶しているファイル特定情報及びユーザ情報と一致している場合に、前記生成した開封用キーを前記コンピュータに対して送信する
ことを特徴とする請求項21に記載の管理サーバ。
【請求項23】
前記開封用キーを前記コンピュータに対して送信したら、当該データファイルを開封したことに関する開封情報を生成し、前記開封情報を前記ファイルサーバに送信する手段をさらに備えたことを特徴とする請求項21又は22に記載の管理サーバ。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2008−129803(P2008−129803A)
【公開日】平成20年6月5日(2008.6.5)
【国際特許分類】
【出願番号】特願2006−313254(P2006−313254)
【出願日】平成18年11月20日(2006.11.20)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.レーザーディスク
【出願人】(506148648)株式会社シーナック (1)
【Fターム(参考)】
【公開日】平成20年6月5日(2008.6.5)
【国際特許分類】
【出願日】平成18年11月20日(2006.11.20)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.レーザーディスク
【出願人】(506148648)株式会社シーナック (1)
【Fターム(参考)】
[ Back to top ]