ファイルサーバへの接近統制システム
【課題】ファイルサーバへの接近統制システムを提供する。
【解決手段】本発明は、図面ファイル、イメージファイル、テキストファイル、動画ファイル及びミディファイルなどの各種の情報文書を多数の端末または多数のユーザーが共有できるようにするファイルサーバにおいて、前記端末またはユーザーが前記ファイルサーバに接近することを統制する接近統制システムにに関し、管理サーバと、前記管理サーバと通信を行うクライアント端末と、多数のクライアント端末が共有する文書を保存するファイルサーバと、からなるシステムにおいて、前記クライアント端末は、前記ファイルサーバへの接近を試みるユーザーを確認するファイルサーバ接続モジュールと、前記ファイルサーバ接続モジュールによる確認結果、前記ユーザーがファイルサーバへの接近権限を有している場合にファイルサーバに保存された文書を出力する保安探索ツール駆動モジュールと、を含み、前記管理サーバは、ユーザーが有する前記ファイルサーバへの接近可能有無及び接近可能な許容範囲に関する認可情報を保存する認可者情報DBと、前記ファイルサーバ接続モジュールから送られてきたユーザー情報を確認して前記認可者情報DBに保存された認可情報を検索するユーザー確認モジュールと、前記ユーザー確認モジュールから送られてきた認可情報を通じて前記ファイルサーバから当該ユーザーに対する許容範囲内にある文書を検索してこれを前記保安探索ツール駆動モジュールに送ることにより前記保安探索ツール駆動モジュールがクライアント端末を通じて表示する文書をユーザーによって制限する文書分類モジュールと、を含むものである。
【解決手段】本発明は、図面ファイル、イメージファイル、テキストファイル、動画ファイル及びミディファイルなどの各種の情報文書を多数の端末または多数のユーザーが共有できるようにするファイルサーバにおいて、前記端末またはユーザーが前記ファイルサーバに接近することを統制する接近統制システムにに関し、管理サーバと、前記管理サーバと通信を行うクライアント端末と、多数のクライアント端末が共有する文書を保存するファイルサーバと、からなるシステムにおいて、前記クライアント端末は、前記ファイルサーバへの接近を試みるユーザーを確認するファイルサーバ接続モジュールと、前記ファイルサーバ接続モジュールによる確認結果、前記ユーザーがファイルサーバへの接近権限を有している場合にファイルサーバに保存された文書を出力する保安探索ツール駆動モジュールと、を含み、前記管理サーバは、ユーザーが有する前記ファイルサーバへの接近可能有無及び接近可能な許容範囲に関する認可情報を保存する認可者情報DBと、前記ファイルサーバ接続モジュールから送られてきたユーザー情報を確認して前記認可者情報DBに保存された認可情報を検索するユーザー確認モジュールと、前記ユーザー確認モジュールから送られてきた認可情報を通じて前記ファイルサーバから当該ユーザーに対する許容範囲内にある文書を検索してこれを前記保安探索ツール駆動モジュールに送ることにより前記保安探索ツール駆動モジュールがクライアント端末を通じて表示する文書をユーザーによって制限する文書分類モジュールと、を含むものである。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、図面ファイル、イメージファイル、テキストファイル、動画ファイル及びミディファイルなどの各種の情報文書を多数の端末または多数のユーザーが共有できるようにするファイルサーバにおいて、前記端末またはユーザーが前記ファイルサーバに接近することを統制する接近統制システムに関する。
【背景技術】
【0002】
企業や官公署などにおいて活用する特定の図面ファイル、イメージファイル、テキストファイル、動画ファイル及びミディファイルなどの各種の情報文書(以下、「文書」と称する。)は、企業または官公署と関連する多数のユーザーが接近して活用できなければならないため、多数のクライアント端末がウェブまたはネットワーク方式により接続された環境において前記文書をファイルサーバに保存してこれを共有する。
【0003】
図1は、ウェブまたはネットワーク環境における管理サーバとファイルサーバ及び端末の通信様子を示すものであり、これを参照して説明する。
【0004】
多数のユーザーが互いに通信しながら情報を共有するようなシステムは、大きく、ウェブまたはネットワーク方式により互いに通信するクライアント端末30、30’、30”と、前記通信を管理しながらクライアント端末30、30’、30”と接続する管理サーバ10と、から構成される。
【0005】
前記管理サーバ10はクライアント端末30、30’、30”間の通信を制御し、保安を目的に外部との通信を統制し、必要な文書を保存しながらクライアント端末30、30’、30”の要求に応じて当該文書を提供することもできる。このような管理サーバ10は従来周知のシステムの一構成であるため、さらなる説明は省略する。
【0006】
一方、情報の量が増加し、且つ、これらの管理もまた重要視されるにつれて、情報に対する専門的な管理が求められるに至った。このため、前記管理サーバ10が有している従来の機能のうち、情報を保存して管理する作業は、ファイル共有サーバ20(以下、「ファイルサーバ」と称する。)が分担し、管理サーバ10はクライアント端末30、30’、30”間の通信制御及び保安に関する作業だけを行うことになった。
【0007】
ところが、前記ファイルサーバ20は、一般的に公開可能な情報の他に、公開できない重要な機密情報を文書として含むことができる。このため、機密情報の無断流出を防ぐために、機密情報が文書として保存されたファイルサーバには認可されたクライアント端末30、30’、30”だけを介してしか接近できないようにして、当該クライアント端末30、30’、30”においてしか前記文書に対する閲覧ができないようにしている。
【0008】
ここで、閲覧とは、文書を読み込んだり編集したり搬出する作業を総称するものである。
【0009】
しかしながら、この種の従来の保安方式は、接近が認可されたクライアント端末30、30’、30”を介する場合にはファイルサーバ20への接近が可能であり、接近後には保存された文書を流出する上で難点がない。また、流出された文書に関する正確な資料や根拠が残らず、流出された文書と関連するユーザーに対する追跡及びその追跡結果に対する信頼度が高くないという問題があった。要するに、従来のファイルサーバの保安方式は、前記ファイルサーバ20への接近が認可されたユーザーの良心と決定によって当該文書に対する保安有無が決定されるような構造のものであった。
【0010】
すなわち、管理サーバ10とファイルサーバ20及びクライアント端末30、30’、30”を含むネットワークの保安がユーザーの意思によって決定されるため、保安に対する信頼度が低くならざるを得なかった。
【0011】
一方、従来のファイルサーバの文書共有方式において、認可されたクライアント端末30、30’、30”を介するファイルサーバ20への接近時にも接近過程が煩雑であり、しかも、必要な文書の検索にも見慣れておらず、ファイルサーバを利用するに当たって相当の不便さがあった。
【発明の概要】
【発明が解決しようとする課題】
【0012】
そこで、本発明は上記の如き問題を解消するためになされたものであり、その目的は、多数のクライアント端末が共有するファイルサーバ内保存文書への接近及び活用が容易であり、しかも、その保安効率も高くて、共有文書に対するより安全で且つ円滑な利用を可能にするファイルサーバへの接近統制システムを提供するところにある。
【課題を解決するための手段】
【0013】
上記の技術的課題を達成するために、本発明は、管理サーバと、前記管理サーバと通信を行うクライアント端末と、多数のクライアント端末が共有する文書を保存するファイルサーバと、からなるシステムにおいて、前記クライアント端末は、前記ファイルサーバへの接近を試みるユーザーを確認するファイルサーバ接続モジュールと、前記ファイルサーバ接続モジュールによる確認結果、前記ユーザーがファイルサーバへの接近権限を有している場合にファイルサーバに保存された文書を出力する保安探索ツール駆動モジュールと、を含み、前記管理サーバは、ユーザーが有する前記ファイルサーバへの接近可能有無及び接近可能な許容範囲に関する認可情報を保存する認可者情報DBと、前記ファイルサーバ接続モジュールから送られてきたユーザー情報を確認して前記認可者情報DBに保存された認可情報を検索するユーザー確認モジュールと、前記ユーザー確認モジュールから送られてきた認可情報を通じて前記ファイルサーバから当該ユーザーに対する許容範囲内にある文書を検索してこれを前記保安探索ツール駆動モジュールに送ることにより前記保安探索ツール駆動モジュールがクライアント端末を通じて表示する文書をユーザーによって制限する文書分類モジュールと、を含むファイルサーバへの接近統制システムを提供する。
【発明の効果】
【0014】
本発明によれば、管理サーバとクライアント端末が互いに通信し、各種の文書を保存したファイルサーバが前記管理サーバ及びクライアント端末と通信しながら前記ファイルサーバに保存された文書を共有しているシステムにおいて、多数のクライアント端末を介するファイルサーバへの接近時に共有する文書に対する接近をユーザー別にその許容範囲に対して差別化して文書保安を細分化するという効果がある。
【0015】
また、ファイルサーバへの接近時に専用保安探索ツールを用いて必要な文書を読み込んだり検索することができて、ユーザーがまるでローカルエリアにおいて作業するような感じを受けることから、より安定的で且つ能率的な文書作業を行うことができるという効果がある。
【0016】
さらに、保安をすべき文書に情報ファイルをおいたり、これらを一つの文書DBに集めてユーザー別文書接近を制限及び管理することから、2以上のユーザーが同じ文書を同時に作業するとしても、当該文書に対する衝突や毀損の可能性が低くなり、より安全な文書作業を行うことができるという効果がある。
【図面の簡単な説明】
【0017】
【図1】ウェブまたはネットワーク環境下で管理サーバとファイルサーバ及び端末の通信様子を示す図。
【図2】図1の構成を本発明による接近統制システムによって具体的に示すブロック図。
【図3】本発明による接近統制システムを用いて文書に接近した後、これを閲覧する過程を順次に示すフローチャート。
【図4】本発明によるファイルサーバ保安探索ツールの選択メニューがWINDOWSTMのGUIに表示された様子を示すイメージ。
【図5】本発明によるファイルサーバ保安探索ツールの駆動様子を示すGUIイメージ。
【図6】本発明による接近統制システムの他の実施形態を示すブロック図。
【発明を実施するための形態】
【0018】
以下、添付図面に基づき、本発明を詳述する。
【0019】
図2は、図1の構成を本発明による接近統制システムによって具体的に示すブロック図であり、これを参照して説明する。
【0020】
本発明による接近統制システムは、管理サーバ10及びファイルサーバ20と、前記管理サーバ10及びファイルサーバ20と接続され、且つ、ウェブまたはネットワーク環境下で互いに通信する多数のクライアント端末30、30’、30”と、から構成された構造に設置/適用されて、ファイルサーバ20に接近するクライアント端末30、30’、30”を統制し、ファイルサーバ20に保存された文書に対する閲覧などを管理する。
【0021】
このために、前記管理サーバ10は、クライアント端末30、30’、30”のユーザーを確認するユーザー確認モジュール12と、ユーザーの情報を記録する認可者情報DB13及びユーザーによって差別的に公開される文書に対する検索及び分類作業を行う文書分類モジュール11と、を含む。
【0022】
一方、前記ファイルサーバ20は、文書を保管する文書DBと、前記文書DBを管理/検索する検索エンジン21と、を含む。このとき、前記文書DBは、必要に応じて、多数存在していてもよい。
【0023】
参考までに、前記文書DBは、ハードウェア的に多数のデータベースドライブを設けて第1文書DB22、第2文書DB23及び第3文書DB24などに分けられてもよく、一つの装置ドライブにおいてディスクの領域を分割して第1文書DB22、第2文書DB23及び第3文書DB24などに分けられてもよい。このとき、後者の場合には、仮想ディスクの概念を適用することができるが、その詳細は後述する。
【0024】
引き続き、前記クライアント端末30、30’、30”は、図示の如く、多数存在し、それぞれの端末は、本発明による接近統制システムの管理方式である保安探索ツールの動作を制御する保安探索ツール駆動モジュール31と、ファイルサーバ20への接続認許可有無を確認する手続き遂行装置であるファイルサーバ接続モジュール32と、を含む。
【0025】
本発明による接近統制システムの技術的思想の理解への一助となるために、ユーザーがクライアント端末30、30’、30”を用いてファイルサーバ20に接近した後、ファイルサーバ20に保存された文書を閲覧する過程を説明する。
【0026】
図3は、本発明による接近統制システムを用いて文書に接近した後、これを閲覧する過程を順次に示すフローチャートであるが、これを参照して説明する。
【0027】
S10;ファイルサーバ接近段階
ユーザーは、クライアント端末30、30’、30”を介してファイルサーバ20に接近する。このとき、クライアント端末30、30’、30”とファイルサーバ20はウェブにより通信をすることもでき、近距離移動通信網などの制限されたネットワークを介して通信することもできる。
【0028】
本発明による実施形態は、クライアント端末30、30’、30”、管理サーバ10及びファイルサーバ20間の通信が外部から接近し難い後者の通信網を利用するものとするが、本発明の技術的思想がこれに限定されることはない。
【0029】
ユーザーが任意クライアント端末30、30’、30”を介してファイルサーバ20に接近する方式は極めて様々である。しかしながら、本発明による接近統制システムにおいては、ファイルサーバ20に接近するためにWINDOWSTM探索機の構造を適用する。
【0030】
すなわち、図4(本発明によるファイルサーバ保安探索ツールの選択メニューがWINDOWSTMのGUIに表示された様子を示すイメージ)に示すように、本発明による接近統制システムの「ファイルサーバ保安探索ツール」が「WINDOWS探索機」に対応して搭載されることにより、クライアント端末30、30’、30”を利用するユーザーは、まるで自分のローカルPC(クライアント端末)から文書を検索して開くような感じで作業を行うことができる。
【0031】
加えて、本発明による保安探索ツールは、「WINDOWS探索機」のような方式の他にも、「Shell name extention」、「ActiveX」などのdllモジュールを用いても実現可能である。
【0032】
一方、ファイルサーバ20への接近がクライアント端末30、30’、30”の区分なしにいずれも許容されるわけではない。すなわち、あるクライアント端末30はファイルサーバ20に接近可能であり、あるクライアント端末30’、30”は接近自体が不可能になることもある。これは、接近可能な前記クライアント端末30に認証ファイルなどを含むファイルサーバ接続モジュール32を設けることにより可能になる。
【0033】
前記ファイルサーバ接続モジュール32が設けられたクライアント端末30の場合には、図4に示すように、「ファイルサーバ保安探索ツール(FILE SERVER SECURITY EXPLORER TOOL)」のメニューを視認することができ、そうでないクライアント端末30’、30”の場合には前記メニューを視認することができない。
【0034】
しかしながら、これは、「ファイルサーバ保安探索ツール」のメニューを視認可能にするかどうかに対する種々の実施形態の一つに過ぎないため、本発明の技術的思想がこれに限定されることはない。(「ファイルサーバ保安探索ツール」が視認されてもファイルサーバに接近できないクライアント端末30においては起動されないようにもできる。)
【0035】
S12;認可有無の確認段階
ユーザーが「ファイルサーバ保安探索ツール」のメニューを選択すると、前記ファイルサーバ接続モジュール32は管理サーバ10と通信して現在駆動するクライアント端末30、30’、30”の認証有無を確認する。
【0036】
この後、当該クライアント端末30が認証済み端末であると確認されれば、前記ファイルサーバ接続モジュール32はユーザーの認可有無を確認するためのID/PASSWORD入力ウィンドウを前記クライアント端末30に出力する。
【0037】
しかしながら、本発明はこれに限定されるものではない。すなわち、(1)クライアント端末30、30’、30”の認証有無の確認なしに直ちにユーザーの認可有無の確認のためのID/PASSWORD入力ウィンドウを出力して、前記入力ウィンドウを介して入力されるID/PASSWORDにより現ユーザーの認可有無を確認して保安探索ツールの活性化有無を決定することもでき、(2)ファイルサーバが接続したクライアント端末30、30’、30”の認可有無を確認して、認可されたクライアント端末30、30’、30”においてはユーザーの確認なしでも保安探索ツールを起動させるような方式により前記保安探索ツールの活性化有無を決定することもできる。
【0038】
後者の場合、未認可のクライアント端末30、30’、30”において保安探索ツールを起動すると、「接近が拒否されました。」などの文句が記載されたウィンドウが出力されて現ユーザーに保安探索ツールへの接近が不可能である旨を報知する。
【0039】
認証過程は極めて様々な実施形態により行われるが、ここではIDとPASSWORDを利用する方式の実施形態を通じてこの過程の技術的思想を説明する。もちろん、本発明による技術的思想は特許請求範囲から逸脱しない範囲内において種々に変形されて実施可能である。
【0040】
引き続き、ユーザーが自分のIDとPASSWORDを前記入力ウィンドウに入力すると、ファイルサーバ接続モジュール32はその確認情報ID/PASSWORDを管理サーバ10のユーザー確認モジュール12に送る。
【0041】
前記ユーザー確認モジュール12は前記確認情報と一致する情報を認可情報DB13から検索する。
【0042】
前記認可情報DB13は、ユーザーの前記確認情報をはじめとする各種の個人情報を含むことができ、ユーザー確認モジュール12は、前記確認情報を通じて、現在ファイルサーバ20への接続を試みるユーザーがファイルサーバ20に接続を許可された者であるかどうかを判断する。
【0043】
前記ユーザー確認モジュール12の確認結果、当該ユーザーが認可できなかったユーザーである場合にはファイルサーバ20への接近自体が拒否され、認可されたユーザーである場合には前記ユーザー確認モジュール12が前記保安探索ツール駆動モジュール31に駆動信号を発信する。要するに、前記保安探索ツール駆動モジュール31は本発明によるファイルサーバ保安探索ツールを活性化させて、図5(本発明によるファイルサーバ保安探索ツールの駆動様子を示すGUIを示すイメージ)に示すように、ユーザーが一般WINDOWS探索機を利用するようにしてファイルサーバに接近/検索することができる。
【0044】
開示の実施形態において、前記保安探索ツールを通じてファイルサーバ20に対するディレクトリーである「ネットワーク保安ドライブ」が確認され、前記「ネットワーク保安ドライブ」内には多数のファイルサーバ(FILE SEVER)A〜Cが形成される。前記ファイルサーバ(FILE SEVER)A〜Cは第1、第2及び第3文書DB22、23、24を示すものであり、ユーザーが誰かによって前記ファイルサーバA〜Cが全部または一部出力され、これにより、ユーザーは出力されているファイルサーバのみをクリックして当該第1、第2及び第3文書DB22、23、24に接近することができる。
【0045】
もちろん、前記ファイルサーバ20への接近を許可できなかったユーザーは、保安探索ツールを通じて「ネットワーク保安ドライブ」そのものを確認することができないため、ファイルサーバ20への接近自体が不可能になる。
【0046】
S14;許容範囲の確認段階
上述したように、本発明による接近統制システムは、たとえファイルサーバ20への接近を認可されたユーザーであるとしても、ユーザー別に閲覧可能な文書に対する差別をおくことができる。
【0047】
もちろん、ファイルサーバ20への接近に成功したユーザーに当該ファイルサーバ20にある全ての文書を表示し、ユーザーがこれらの文書のうち任意の一つを選択して閲覧を試みる場合、当該文書に対する閲覧可能有無を判断してこれを開いたり拒否するようにもできるが、本発明による実施形態においては、ファイルサーバ保安探索ツールに出力される文書を当初からユーザー別に区分して出力する。
【0048】
すなわち、任意のユーザーにとって、ファイルサーバ保安探索ツールに出力されている文書はいずれも閲覧可能にするのである。
【0049】
このために、本発明は、前記管理サーバ10に文書分類モジュール11をさらに含む。
【0050】
前記文書分類モジュール11は、前記ユーザー確認モジュール12におけるユーザー確認過程において認可情報DB13を検索して当該ユーザーの権限を確認し、この権限に見合う閲覧可能な文書をファイルサーバ20の検索エンジン21を用いて第1、第2及び第3文書DB22、23、24から検索して分類した後、前記保安探索ツール駆動モジュール31を動作させると共に、分類された文書情報をクライアント端末30に送る。
【0051】
上述した文書のユーザー別の分類を通じて多数のユーザーを一つのチームとする同一部署内においてもユーザー別に文書の閲覧許容範囲に差別をおくことができ、ファイルサーバ20内の文書保安を細かくするという効果がある。
【0052】
一方、ユーザーが閲覧可能な文書に対する許容範囲を確認し、当該許容範囲内において文書に接近及び閲覧できるようにするために、前記ファイルサーバ20の貯蔵装置は種々の実施形態により実現可能であり、以下、それぞれの実施形態を開示する。
【0053】
ファイルサーバ20には多数の第1、第2及び第3文書DB22、23、24が形成可能であり、前記第1、第2及び第3文書DB22、23、24は保安等級によって文書を分類して保存することができる。すなわち、前記文書分類モジュール11は当該ユーザーの許容範囲を確認した後、当該する文書DBだけを開放するものである。要するに、前記ユーザーのクライアント端末30には開放された文書DBの文書だけが保安探索ツールを介して公開される。
【0054】
加えて、文書別に保安等級に関するデータを記録した情報ファイルを生成して当該ユーザーに当該する文書だけを検索し、これを前記ユーザーのクライアント端末30に公開するようにもできる。
【0055】
しかしながら、本発明による統制システムにおいて、文書を閲覧権限のあるクライアント端末30、30’、30”にのみ公開するような方式は一実施形態に過ぎず、ユーザー及びクライアント端末30、30’、30”の区分なしに一旦全ての文書を公開し、その閲覧はユーザー及びクライアント端末30、30’、30”の許容範囲によって区分して行われるようにもできる。
【0056】
しかしながら、ファイルサーバ20に仮想ディスクの概念を適用することは本発明によるシステムの一構成であるファイルサーバ20をなすための一実施形態であり、仮想ディスクの概念を適用する方式の他にも、下記の形態がありうる。
【0057】
ファイルサーバ20は従来公知のファイルサーバと同じ構造をなし、前記ユーザー確認モジュール12を通じてクライアント端末30、30’、30”またはユーザーを確認した後、認可されたクライアント端末30、30’、30”またはユーザーにのみ前記ファイルサーバ20への接近を許容する。このため、認可・未認可の区分なしにファイルサーバ20を表わすドライブ表示を当該クライアント端末30、30’、30”に出力して、前記ドライブ表示を通じてファイルサーバ20の存在をユーザーが確認できるようにし、認可されたユーザーが前記ファイルサーバ20に接近を試みると、これを許容するのに対し、未認可のユーザーが前記ファイルサーバ20に接近を試みると「接近が拒否されました。」などの文句が記載されたウィンドウを出力して現ユーザーに保安探索ツールへの接近が不可能である旨を報知する。
【0058】
しかしながら、認可・未認可によってクライアント端末30、30’、30”を通じてのドライブ表示を異ならしめて、未認可のユーザーがファイルサーバ20の存在自体を知らないようにしてもよい。
【0059】
以下、本発明によるファイルサーバ20に仮想ディスクが適用された実施形態を説明する。
【0060】
前記仮想ディスクの概念は、本願出願人が以前に出願して権利を保有している「仮想ディスクを用いた応用プログラム別接近統制システムとその統制方法(登録番号:10−0596135)に詳細に記述されているため、仮想ディスクについての説明は省略し、これを本発明に適用するための説明は後述する。
【0061】
「仮想ディスクを用いた応用プログラム別接近統制システムとその統制方法(以下、「先行発明」と称する。)において定義する仮想ディスクは、ハードディスク(一般のローカルPCにおいてハードディスクは単純な貯蔵記録装置であると理解されるが、クライアントとネットワークまたはインターネットなどにより接続されたサーバにおいてはハードディスクがDBと命名されて理解可能である。このため、本発明においては、仮想ディスクの適用空間であるハードディスクが一般PCのハードディスクはもちろん、サーバ内DBまで意味することになる。ここで、前記DBはファイルサーバである。)に設けられて、仮想ディスクに接近するアプリケーションを認可されたアプリケーションモジュールと未認可のアプリケーションモジュールに区分し、その接近を制限する。本発明においては、ファイルサーバに仮想ディスクを設け、前記ファイルサーバに接近するクライアント端末またはユーザーの認可有無を確認してその接近を制限する。
【0062】
すなわち、前記保安探索ツール駆動モジュール31がユーザーを確認して保安探索ツールを駆動すると、確認されたユーザーの許容範囲内にある仮想ディスクドライブだけを保安探索ツール内に出力してユーザーが接近できるようにする。もちろん、当該ユーザーの接近許容範囲が当該仮想ディスクドライブを含んでいない場合、保安探索ツールは前記仮想ディスクドライブを出力しない。
【0063】
例を挙げて簡単に説明すると、前記先行発明において認可されたアプリケーションが作業のために仮想ディスク内にある保安ファイルを読み込む必要がある場合、読み込み(ウィンドウ体制の場合を例示する。)機能を起動して前記保安ファイルを見出す。これは認可されたアプリケーションによる読み込みであるため、前記保安ファイルは別途のドライブ(仮想ディスクがOSにおいては別途のドライブとして認識される。)内にあるファイルであり、容易に検索して読み込むことができる。しかしながら、未認可のアプリケーションである場合には、たとえ読み込み機能を行うとしても、当該ドライブが読み込み内に存在しないため、これを読み込むことができなくなる。すなわち、OSは仮想ディスクを別途のドライブではない一つのファイルとしてのみ認識するのである。
【0064】
このように、本発明によるファイルサーバへの接近統制システムにおいても、多数の仮想ディスクを設けてこれらをそれぞれ第1、第2及び第3文書DB22、23、24に分類し、接近を試みるユーザーの許容範囲を確認して当該ユーザーに許可された文書DBだけが保安探索ツールにおいて独立したドライブとして認識されるようにする。
【0065】
一方、ユーザーは文書DBに接近した後、文書DBに保存された文書を閲覧しながらこれを「名前を付けて保存」することができる。すなわち、前記文書を他の文書DBまたはファイルサーバ20ではないローカル領域である自分のクライアント端末30、30’、30”に保存することもできる。
【0066】
これもまた、前記仮想ディスクの機能を適用して制限することができる。すなわち、第1文書DB22から文書を読み込んで作業をしているユーザーは、第2文書DB23及び第3文書DB24に保存された文書を読み込む(当該ユーザーが第2及び第3文書に対する接近の許可された場合)ことはできるが、編集または保存はできないようにするのである。もちろん、前記ユーザーはローカル領域である自分のクライアント端末に保存された文書を読み込むことはできるが、これを編集または保存することはできない。
【0067】
このため、第1文書DB22の文書を閉じた後、前記第1文書DB22との接続を切断してはじめて、第2及び第3文書DB23、24から他の文書を読み込み、これを編集または保存することができる。
【0068】
S16;文書の閲覧段階
ユーザーは、ファイルサーバ保安探索ツールを介してファイルサーバに接近し、必要な文書を閲覧する。
【0069】
一旦、前記ファイルサーバ20への接近が許可されると、前記文書DBに保存された文書に対する当該ユーザーの閲覧は許可される。このとき、前記閲覧には、単に「閲覧」のみ可能なものと、「閲覧」と「編集」の両方が可能なものと、「閲覧」と「編集」及び「搬出」が可能なものなどがある。すなわち、同じ文書に対してもユーザーの許容範囲によってその使用方式が分類可能である。
【0070】
このために、各文書に対するユーザーの許容範囲もまた前記認可者情報DB13に記録され、前記ユーザーへの文書提供時に当該ユーザーの前記記録によって前記文書に情報ファイルを連動させて、ユーザーが自分の許容範囲によって文書を閲覧及び処理できるようにする。
【0071】
引き続き、ファイルサーバにある文書に多数のユーザーが同時に他のクライアント端末30、30’、30”を介して接近を試みる場合、本発明によるファイルサーバへの接近統制システムは、ユーザーの接近許可有無に対する確認と当該文書の暗復号化過程を文書単位ではなく、これら文書を保存している文書DB単位で行うため、多数のユーザーが一つの文書に接近するとしても、文書処理に対するユーザー間の衝突とこれによる文書破損の惹起及び暗復号化の遂行に起因する誤作動可能性を極力抑えてより安定したシステムを実現することができる。
【0072】
すなわち、本発明によるファイルサーバは、文書を暗号化しない一般ファイル形式で保存する代わりに、前記ファイルサーバへの接近過程だけを暗号化することにより、認可されたクライアント端末またはユーザーの接近の試みによりファイルサーバと認可されたクライアントとの間の接近遮断が解除されると、前記認可されたクライアント端末またはユーザーは必要とする文書を閲覧するために別途の手続きまたは過程を経ることなくまるで一般的に文書を閲覧するかのように接近/閲覧することができる。
【0073】
図6は、本発明による接近統制システムの他の実施形態を示すブロック図であり、これを参照して説明する。
【0074】
本発明による接近統制システムはファイルロガー40をさらに含む。
【0075】
前記ファイルロガー40はユーザーがファイルサーバ20に接近して文書を閲覧するときにその履歴を残して保管するものであり、どのユーザーがどのクライアント端末30、30’、30”を介していつファイルサーバに接近してどの文書DBにおいてどの文書を閲覧したかを記録する。
【0076】
また、当該文書の原本を保存するために文書DBに保存された文書がユーザーにより閲覧された後、編集などの過程を通じてその情報が新たに更新されると、更新前の原本文書は前記ファイルロガー40に保存される。
【0077】
前記ファイルロガー40内の記録は事後監査及び文書の流出時に流出経路を把握する情報となる。
【0078】
一方、本発明によるファイルサーバへの接近統制システムの他の実施形態によれば、ファイルサーバ20に保存された文書を起動するアプリケーションの認証有無を確認するアプリケーション認証モジュール33と、前記アプリケーション認証モジュール33と通信しながら現在接続中のクライアント端末30、30’、30”にインストールされたアプリケーションが認可済みのものであるかどうかを確認するアプリケーション確認モジュール14と、をさらに含む。
【0079】
例を挙げて説明すると、たとえ*.dwgファイル(文書)を起動可能なCADプログラム(アプリケーション)がインストールされたクライアント端末30、30’、30”が正常に当該ファイルサーバ20に接近して*.dwgファイルを閲覧することができるとしても、前記CADプログラムが認証を受けなかった場合には当該*.dwgファイルを開くことができなくなる。
【0080】
このために、ファイルサーバ20への接近を許可するアプリケーションに認証ファイルをインストールし、これに見合う認証確認ファイルは前記アプリケーション確認モジュール14にインストールして、任意のアプリケーション駆動時にファイルサーバ20への接近が許可されたアプリケーション認可を確認する。前記アプリケーション確認モジュール14の確認結果、当該アプリケーションがファイルサーバ20に接近可能であれば、前記保安探索ツール駆動モジュール31は正常に駆動してユーザーがファイルサーバ20から文書を検索できるようにする。
【0081】
ファイルサーバ20に保存された文書が文書DB単位ではない文書別に暗復号化がなされるとしても、認可されたクライアント端末30と認可されたユーザー及び認可されたアプリケーションが当該文書の起動を試みると、前記文書に対する暗復号化作業はユーザーによる別途の作業なしに行われて、たとえ当該文書に対する2以上のユーザーが同時に接近して起動を試みるとしても、各ユーザーに対する暗復号化により作業が互いに衝突する問題を解消することができる。
【技術分野】
【0001】
本発明は、図面ファイル、イメージファイル、テキストファイル、動画ファイル及びミディファイルなどの各種の情報文書を多数の端末または多数のユーザーが共有できるようにするファイルサーバにおいて、前記端末またはユーザーが前記ファイルサーバに接近することを統制する接近統制システムに関する。
【背景技術】
【0002】
企業や官公署などにおいて活用する特定の図面ファイル、イメージファイル、テキストファイル、動画ファイル及びミディファイルなどの各種の情報文書(以下、「文書」と称する。)は、企業または官公署と関連する多数のユーザーが接近して活用できなければならないため、多数のクライアント端末がウェブまたはネットワーク方式により接続された環境において前記文書をファイルサーバに保存してこれを共有する。
【0003】
図1は、ウェブまたはネットワーク環境における管理サーバとファイルサーバ及び端末の通信様子を示すものであり、これを参照して説明する。
【0004】
多数のユーザーが互いに通信しながら情報を共有するようなシステムは、大きく、ウェブまたはネットワーク方式により互いに通信するクライアント端末30、30’、30”と、前記通信を管理しながらクライアント端末30、30’、30”と接続する管理サーバ10と、から構成される。
【0005】
前記管理サーバ10はクライアント端末30、30’、30”間の通信を制御し、保安を目的に外部との通信を統制し、必要な文書を保存しながらクライアント端末30、30’、30”の要求に応じて当該文書を提供することもできる。このような管理サーバ10は従来周知のシステムの一構成であるため、さらなる説明は省略する。
【0006】
一方、情報の量が増加し、且つ、これらの管理もまた重要視されるにつれて、情報に対する専門的な管理が求められるに至った。このため、前記管理サーバ10が有している従来の機能のうち、情報を保存して管理する作業は、ファイル共有サーバ20(以下、「ファイルサーバ」と称する。)が分担し、管理サーバ10はクライアント端末30、30’、30”間の通信制御及び保安に関する作業だけを行うことになった。
【0007】
ところが、前記ファイルサーバ20は、一般的に公開可能な情報の他に、公開できない重要な機密情報を文書として含むことができる。このため、機密情報の無断流出を防ぐために、機密情報が文書として保存されたファイルサーバには認可されたクライアント端末30、30’、30”だけを介してしか接近できないようにして、当該クライアント端末30、30’、30”においてしか前記文書に対する閲覧ができないようにしている。
【0008】
ここで、閲覧とは、文書を読み込んだり編集したり搬出する作業を総称するものである。
【0009】
しかしながら、この種の従来の保安方式は、接近が認可されたクライアント端末30、30’、30”を介する場合にはファイルサーバ20への接近が可能であり、接近後には保存された文書を流出する上で難点がない。また、流出された文書に関する正確な資料や根拠が残らず、流出された文書と関連するユーザーに対する追跡及びその追跡結果に対する信頼度が高くないという問題があった。要するに、従来のファイルサーバの保安方式は、前記ファイルサーバ20への接近が認可されたユーザーの良心と決定によって当該文書に対する保安有無が決定されるような構造のものであった。
【0010】
すなわち、管理サーバ10とファイルサーバ20及びクライアント端末30、30’、30”を含むネットワークの保安がユーザーの意思によって決定されるため、保安に対する信頼度が低くならざるを得なかった。
【0011】
一方、従来のファイルサーバの文書共有方式において、認可されたクライアント端末30、30’、30”を介するファイルサーバ20への接近時にも接近過程が煩雑であり、しかも、必要な文書の検索にも見慣れておらず、ファイルサーバを利用するに当たって相当の不便さがあった。
【発明の概要】
【発明が解決しようとする課題】
【0012】
そこで、本発明は上記の如き問題を解消するためになされたものであり、その目的は、多数のクライアント端末が共有するファイルサーバ内保存文書への接近及び活用が容易であり、しかも、その保安効率も高くて、共有文書に対するより安全で且つ円滑な利用を可能にするファイルサーバへの接近統制システムを提供するところにある。
【課題を解決するための手段】
【0013】
上記の技術的課題を達成するために、本発明は、管理サーバと、前記管理サーバと通信を行うクライアント端末と、多数のクライアント端末が共有する文書を保存するファイルサーバと、からなるシステムにおいて、前記クライアント端末は、前記ファイルサーバへの接近を試みるユーザーを確認するファイルサーバ接続モジュールと、前記ファイルサーバ接続モジュールによる確認結果、前記ユーザーがファイルサーバへの接近権限を有している場合にファイルサーバに保存された文書を出力する保安探索ツール駆動モジュールと、を含み、前記管理サーバは、ユーザーが有する前記ファイルサーバへの接近可能有無及び接近可能な許容範囲に関する認可情報を保存する認可者情報DBと、前記ファイルサーバ接続モジュールから送られてきたユーザー情報を確認して前記認可者情報DBに保存された認可情報を検索するユーザー確認モジュールと、前記ユーザー確認モジュールから送られてきた認可情報を通じて前記ファイルサーバから当該ユーザーに対する許容範囲内にある文書を検索してこれを前記保安探索ツール駆動モジュールに送ることにより前記保安探索ツール駆動モジュールがクライアント端末を通じて表示する文書をユーザーによって制限する文書分類モジュールと、を含むファイルサーバへの接近統制システムを提供する。
【発明の効果】
【0014】
本発明によれば、管理サーバとクライアント端末が互いに通信し、各種の文書を保存したファイルサーバが前記管理サーバ及びクライアント端末と通信しながら前記ファイルサーバに保存された文書を共有しているシステムにおいて、多数のクライアント端末を介するファイルサーバへの接近時に共有する文書に対する接近をユーザー別にその許容範囲に対して差別化して文書保安を細分化するという効果がある。
【0015】
また、ファイルサーバへの接近時に専用保安探索ツールを用いて必要な文書を読み込んだり検索することができて、ユーザーがまるでローカルエリアにおいて作業するような感じを受けることから、より安定的で且つ能率的な文書作業を行うことができるという効果がある。
【0016】
さらに、保安をすべき文書に情報ファイルをおいたり、これらを一つの文書DBに集めてユーザー別文書接近を制限及び管理することから、2以上のユーザーが同じ文書を同時に作業するとしても、当該文書に対する衝突や毀損の可能性が低くなり、より安全な文書作業を行うことができるという効果がある。
【図面の簡単な説明】
【0017】
【図1】ウェブまたはネットワーク環境下で管理サーバとファイルサーバ及び端末の通信様子を示す図。
【図2】図1の構成を本発明による接近統制システムによって具体的に示すブロック図。
【図3】本発明による接近統制システムを用いて文書に接近した後、これを閲覧する過程を順次に示すフローチャート。
【図4】本発明によるファイルサーバ保安探索ツールの選択メニューがWINDOWSTMのGUIに表示された様子を示すイメージ。
【図5】本発明によるファイルサーバ保安探索ツールの駆動様子を示すGUIイメージ。
【図6】本発明による接近統制システムの他の実施形態を示すブロック図。
【発明を実施するための形態】
【0018】
以下、添付図面に基づき、本発明を詳述する。
【0019】
図2は、図1の構成を本発明による接近統制システムによって具体的に示すブロック図であり、これを参照して説明する。
【0020】
本発明による接近統制システムは、管理サーバ10及びファイルサーバ20と、前記管理サーバ10及びファイルサーバ20と接続され、且つ、ウェブまたはネットワーク環境下で互いに通信する多数のクライアント端末30、30’、30”と、から構成された構造に設置/適用されて、ファイルサーバ20に接近するクライアント端末30、30’、30”を統制し、ファイルサーバ20に保存された文書に対する閲覧などを管理する。
【0021】
このために、前記管理サーバ10は、クライアント端末30、30’、30”のユーザーを確認するユーザー確認モジュール12と、ユーザーの情報を記録する認可者情報DB13及びユーザーによって差別的に公開される文書に対する検索及び分類作業を行う文書分類モジュール11と、を含む。
【0022】
一方、前記ファイルサーバ20は、文書を保管する文書DBと、前記文書DBを管理/検索する検索エンジン21と、を含む。このとき、前記文書DBは、必要に応じて、多数存在していてもよい。
【0023】
参考までに、前記文書DBは、ハードウェア的に多数のデータベースドライブを設けて第1文書DB22、第2文書DB23及び第3文書DB24などに分けられてもよく、一つの装置ドライブにおいてディスクの領域を分割して第1文書DB22、第2文書DB23及び第3文書DB24などに分けられてもよい。このとき、後者の場合には、仮想ディスクの概念を適用することができるが、その詳細は後述する。
【0024】
引き続き、前記クライアント端末30、30’、30”は、図示の如く、多数存在し、それぞれの端末は、本発明による接近統制システムの管理方式である保安探索ツールの動作を制御する保安探索ツール駆動モジュール31と、ファイルサーバ20への接続認許可有無を確認する手続き遂行装置であるファイルサーバ接続モジュール32と、を含む。
【0025】
本発明による接近統制システムの技術的思想の理解への一助となるために、ユーザーがクライアント端末30、30’、30”を用いてファイルサーバ20に接近した後、ファイルサーバ20に保存された文書を閲覧する過程を説明する。
【0026】
図3は、本発明による接近統制システムを用いて文書に接近した後、これを閲覧する過程を順次に示すフローチャートであるが、これを参照して説明する。
【0027】
S10;ファイルサーバ接近段階
ユーザーは、クライアント端末30、30’、30”を介してファイルサーバ20に接近する。このとき、クライアント端末30、30’、30”とファイルサーバ20はウェブにより通信をすることもでき、近距離移動通信網などの制限されたネットワークを介して通信することもできる。
【0028】
本発明による実施形態は、クライアント端末30、30’、30”、管理サーバ10及びファイルサーバ20間の通信が外部から接近し難い後者の通信網を利用するものとするが、本発明の技術的思想がこれに限定されることはない。
【0029】
ユーザーが任意クライアント端末30、30’、30”を介してファイルサーバ20に接近する方式は極めて様々である。しかしながら、本発明による接近統制システムにおいては、ファイルサーバ20に接近するためにWINDOWSTM探索機の構造を適用する。
【0030】
すなわち、図4(本発明によるファイルサーバ保安探索ツールの選択メニューがWINDOWSTMのGUIに表示された様子を示すイメージ)に示すように、本発明による接近統制システムの「ファイルサーバ保安探索ツール」が「WINDOWS探索機」に対応して搭載されることにより、クライアント端末30、30’、30”を利用するユーザーは、まるで自分のローカルPC(クライアント端末)から文書を検索して開くような感じで作業を行うことができる。
【0031】
加えて、本発明による保安探索ツールは、「WINDOWS探索機」のような方式の他にも、「Shell name extention」、「ActiveX」などのdllモジュールを用いても実現可能である。
【0032】
一方、ファイルサーバ20への接近がクライアント端末30、30’、30”の区分なしにいずれも許容されるわけではない。すなわち、あるクライアント端末30はファイルサーバ20に接近可能であり、あるクライアント端末30’、30”は接近自体が不可能になることもある。これは、接近可能な前記クライアント端末30に認証ファイルなどを含むファイルサーバ接続モジュール32を設けることにより可能になる。
【0033】
前記ファイルサーバ接続モジュール32が設けられたクライアント端末30の場合には、図4に示すように、「ファイルサーバ保安探索ツール(FILE SERVER SECURITY EXPLORER TOOL)」のメニューを視認することができ、そうでないクライアント端末30’、30”の場合には前記メニューを視認することができない。
【0034】
しかしながら、これは、「ファイルサーバ保安探索ツール」のメニューを視認可能にするかどうかに対する種々の実施形態の一つに過ぎないため、本発明の技術的思想がこれに限定されることはない。(「ファイルサーバ保安探索ツール」が視認されてもファイルサーバに接近できないクライアント端末30においては起動されないようにもできる。)
【0035】
S12;認可有無の確認段階
ユーザーが「ファイルサーバ保安探索ツール」のメニューを選択すると、前記ファイルサーバ接続モジュール32は管理サーバ10と通信して現在駆動するクライアント端末30、30’、30”の認証有無を確認する。
【0036】
この後、当該クライアント端末30が認証済み端末であると確認されれば、前記ファイルサーバ接続モジュール32はユーザーの認可有無を確認するためのID/PASSWORD入力ウィンドウを前記クライアント端末30に出力する。
【0037】
しかしながら、本発明はこれに限定されるものではない。すなわち、(1)クライアント端末30、30’、30”の認証有無の確認なしに直ちにユーザーの認可有無の確認のためのID/PASSWORD入力ウィンドウを出力して、前記入力ウィンドウを介して入力されるID/PASSWORDにより現ユーザーの認可有無を確認して保安探索ツールの活性化有無を決定することもでき、(2)ファイルサーバが接続したクライアント端末30、30’、30”の認可有無を確認して、認可されたクライアント端末30、30’、30”においてはユーザーの確認なしでも保安探索ツールを起動させるような方式により前記保安探索ツールの活性化有無を決定することもできる。
【0038】
後者の場合、未認可のクライアント端末30、30’、30”において保安探索ツールを起動すると、「接近が拒否されました。」などの文句が記載されたウィンドウが出力されて現ユーザーに保安探索ツールへの接近が不可能である旨を報知する。
【0039】
認証過程は極めて様々な実施形態により行われるが、ここではIDとPASSWORDを利用する方式の実施形態を通じてこの過程の技術的思想を説明する。もちろん、本発明による技術的思想は特許請求範囲から逸脱しない範囲内において種々に変形されて実施可能である。
【0040】
引き続き、ユーザーが自分のIDとPASSWORDを前記入力ウィンドウに入力すると、ファイルサーバ接続モジュール32はその確認情報ID/PASSWORDを管理サーバ10のユーザー確認モジュール12に送る。
【0041】
前記ユーザー確認モジュール12は前記確認情報と一致する情報を認可情報DB13から検索する。
【0042】
前記認可情報DB13は、ユーザーの前記確認情報をはじめとする各種の個人情報を含むことができ、ユーザー確認モジュール12は、前記確認情報を通じて、現在ファイルサーバ20への接続を試みるユーザーがファイルサーバ20に接続を許可された者であるかどうかを判断する。
【0043】
前記ユーザー確認モジュール12の確認結果、当該ユーザーが認可できなかったユーザーである場合にはファイルサーバ20への接近自体が拒否され、認可されたユーザーである場合には前記ユーザー確認モジュール12が前記保安探索ツール駆動モジュール31に駆動信号を発信する。要するに、前記保安探索ツール駆動モジュール31は本発明によるファイルサーバ保安探索ツールを活性化させて、図5(本発明によるファイルサーバ保安探索ツールの駆動様子を示すGUIを示すイメージ)に示すように、ユーザーが一般WINDOWS探索機を利用するようにしてファイルサーバに接近/検索することができる。
【0044】
開示の実施形態において、前記保安探索ツールを通じてファイルサーバ20に対するディレクトリーである「ネットワーク保安ドライブ」が確認され、前記「ネットワーク保安ドライブ」内には多数のファイルサーバ(FILE SEVER)A〜Cが形成される。前記ファイルサーバ(FILE SEVER)A〜Cは第1、第2及び第3文書DB22、23、24を示すものであり、ユーザーが誰かによって前記ファイルサーバA〜Cが全部または一部出力され、これにより、ユーザーは出力されているファイルサーバのみをクリックして当該第1、第2及び第3文書DB22、23、24に接近することができる。
【0045】
もちろん、前記ファイルサーバ20への接近を許可できなかったユーザーは、保安探索ツールを通じて「ネットワーク保安ドライブ」そのものを確認することができないため、ファイルサーバ20への接近自体が不可能になる。
【0046】
S14;許容範囲の確認段階
上述したように、本発明による接近統制システムは、たとえファイルサーバ20への接近を認可されたユーザーであるとしても、ユーザー別に閲覧可能な文書に対する差別をおくことができる。
【0047】
もちろん、ファイルサーバ20への接近に成功したユーザーに当該ファイルサーバ20にある全ての文書を表示し、ユーザーがこれらの文書のうち任意の一つを選択して閲覧を試みる場合、当該文書に対する閲覧可能有無を判断してこれを開いたり拒否するようにもできるが、本発明による実施形態においては、ファイルサーバ保安探索ツールに出力される文書を当初からユーザー別に区分して出力する。
【0048】
すなわち、任意のユーザーにとって、ファイルサーバ保安探索ツールに出力されている文書はいずれも閲覧可能にするのである。
【0049】
このために、本発明は、前記管理サーバ10に文書分類モジュール11をさらに含む。
【0050】
前記文書分類モジュール11は、前記ユーザー確認モジュール12におけるユーザー確認過程において認可情報DB13を検索して当該ユーザーの権限を確認し、この権限に見合う閲覧可能な文書をファイルサーバ20の検索エンジン21を用いて第1、第2及び第3文書DB22、23、24から検索して分類した後、前記保安探索ツール駆動モジュール31を動作させると共に、分類された文書情報をクライアント端末30に送る。
【0051】
上述した文書のユーザー別の分類を通じて多数のユーザーを一つのチームとする同一部署内においてもユーザー別に文書の閲覧許容範囲に差別をおくことができ、ファイルサーバ20内の文書保安を細かくするという効果がある。
【0052】
一方、ユーザーが閲覧可能な文書に対する許容範囲を確認し、当該許容範囲内において文書に接近及び閲覧できるようにするために、前記ファイルサーバ20の貯蔵装置は種々の実施形態により実現可能であり、以下、それぞれの実施形態を開示する。
【0053】
ファイルサーバ20には多数の第1、第2及び第3文書DB22、23、24が形成可能であり、前記第1、第2及び第3文書DB22、23、24は保安等級によって文書を分類して保存することができる。すなわち、前記文書分類モジュール11は当該ユーザーの許容範囲を確認した後、当該する文書DBだけを開放するものである。要するに、前記ユーザーのクライアント端末30には開放された文書DBの文書だけが保安探索ツールを介して公開される。
【0054】
加えて、文書別に保安等級に関するデータを記録した情報ファイルを生成して当該ユーザーに当該する文書だけを検索し、これを前記ユーザーのクライアント端末30に公開するようにもできる。
【0055】
しかしながら、本発明による統制システムにおいて、文書を閲覧権限のあるクライアント端末30、30’、30”にのみ公開するような方式は一実施形態に過ぎず、ユーザー及びクライアント端末30、30’、30”の区分なしに一旦全ての文書を公開し、その閲覧はユーザー及びクライアント端末30、30’、30”の許容範囲によって区分して行われるようにもできる。
【0056】
しかしながら、ファイルサーバ20に仮想ディスクの概念を適用することは本発明によるシステムの一構成であるファイルサーバ20をなすための一実施形態であり、仮想ディスクの概念を適用する方式の他にも、下記の形態がありうる。
【0057】
ファイルサーバ20は従来公知のファイルサーバと同じ構造をなし、前記ユーザー確認モジュール12を通じてクライアント端末30、30’、30”またはユーザーを確認した後、認可されたクライアント端末30、30’、30”またはユーザーにのみ前記ファイルサーバ20への接近を許容する。このため、認可・未認可の区分なしにファイルサーバ20を表わすドライブ表示を当該クライアント端末30、30’、30”に出力して、前記ドライブ表示を通じてファイルサーバ20の存在をユーザーが確認できるようにし、認可されたユーザーが前記ファイルサーバ20に接近を試みると、これを許容するのに対し、未認可のユーザーが前記ファイルサーバ20に接近を試みると「接近が拒否されました。」などの文句が記載されたウィンドウを出力して現ユーザーに保安探索ツールへの接近が不可能である旨を報知する。
【0058】
しかしながら、認可・未認可によってクライアント端末30、30’、30”を通じてのドライブ表示を異ならしめて、未認可のユーザーがファイルサーバ20の存在自体を知らないようにしてもよい。
【0059】
以下、本発明によるファイルサーバ20に仮想ディスクが適用された実施形態を説明する。
【0060】
前記仮想ディスクの概念は、本願出願人が以前に出願して権利を保有している「仮想ディスクを用いた応用プログラム別接近統制システムとその統制方法(登録番号:10−0596135)に詳細に記述されているため、仮想ディスクについての説明は省略し、これを本発明に適用するための説明は後述する。
【0061】
「仮想ディスクを用いた応用プログラム別接近統制システムとその統制方法(以下、「先行発明」と称する。)において定義する仮想ディスクは、ハードディスク(一般のローカルPCにおいてハードディスクは単純な貯蔵記録装置であると理解されるが、クライアントとネットワークまたはインターネットなどにより接続されたサーバにおいてはハードディスクがDBと命名されて理解可能である。このため、本発明においては、仮想ディスクの適用空間であるハードディスクが一般PCのハードディスクはもちろん、サーバ内DBまで意味することになる。ここで、前記DBはファイルサーバである。)に設けられて、仮想ディスクに接近するアプリケーションを認可されたアプリケーションモジュールと未認可のアプリケーションモジュールに区分し、その接近を制限する。本発明においては、ファイルサーバに仮想ディスクを設け、前記ファイルサーバに接近するクライアント端末またはユーザーの認可有無を確認してその接近を制限する。
【0062】
すなわち、前記保安探索ツール駆動モジュール31がユーザーを確認して保安探索ツールを駆動すると、確認されたユーザーの許容範囲内にある仮想ディスクドライブだけを保安探索ツール内に出力してユーザーが接近できるようにする。もちろん、当該ユーザーの接近許容範囲が当該仮想ディスクドライブを含んでいない場合、保安探索ツールは前記仮想ディスクドライブを出力しない。
【0063】
例を挙げて簡単に説明すると、前記先行発明において認可されたアプリケーションが作業のために仮想ディスク内にある保安ファイルを読み込む必要がある場合、読み込み(ウィンドウ体制の場合を例示する。)機能を起動して前記保安ファイルを見出す。これは認可されたアプリケーションによる読み込みであるため、前記保安ファイルは別途のドライブ(仮想ディスクがOSにおいては別途のドライブとして認識される。)内にあるファイルであり、容易に検索して読み込むことができる。しかしながら、未認可のアプリケーションである場合には、たとえ読み込み機能を行うとしても、当該ドライブが読み込み内に存在しないため、これを読み込むことができなくなる。すなわち、OSは仮想ディスクを別途のドライブではない一つのファイルとしてのみ認識するのである。
【0064】
このように、本発明によるファイルサーバへの接近統制システムにおいても、多数の仮想ディスクを設けてこれらをそれぞれ第1、第2及び第3文書DB22、23、24に分類し、接近を試みるユーザーの許容範囲を確認して当該ユーザーに許可された文書DBだけが保安探索ツールにおいて独立したドライブとして認識されるようにする。
【0065】
一方、ユーザーは文書DBに接近した後、文書DBに保存された文書を閲覧しながらこれを「名前を付けて保存」することができる。すなわち、前記文書を他の文書DBまたはファイルサーバ20ではないローカル領域である自分のクライアント端末30、30’、30”に保存することもできる。
【0066】
これもまた、前記仮想ディスクの機能を適用して制限することができる。すなわち、第1文書DB22から文書を読み込んで作業をしているユーザーは、第2文書DB23及び第3文書DB24に保存された文書を読み込む(当該ユーザーが第2及び第3文書に対する接近の許可された場合)ことはできるが、編集または保存はできないようにするのである。もちろん、前記ユーザーはローカル領域である自分のクライアント端末に保存された文書を読み込むことはできるが、これを編集または保存することはできない。
【0067】
このため、第1文書DB22の文書を閉じた後、前記第1文書DB22との接続を切断してはじめて、第2及び第3文書DB23、24から他の文書を読み込み、これを編集または保存することができる。
【0068】
S16;文書の閲覧段階
ユーザーは、ファイルサーバ保安探索ツールを介してファイルサーバに接近し、必要な文書を閲覧する。
【0069】
一旦、前記ファイルサーバ20への接近が許可されると、前記文書DBに保存された文書に対する当該ユーザーの閲覧は許可される。このとき、前記閲覧には、単に「閲覧」のみ可能なものと、「閲覧」と「編集」の両方が可能なものと、「閲覧」と「編集」及び「搬出」が可能なものなどがある。すなわち、同じ文書に対してもユーザーの許容範囲によってその使用方式が分類可能である。
【0070】
このために、各文書に対するユーザーの許容範囲もまた前記認可者情報DB13に記録され、前記ユーザーへの文書提供時に当該ユーザーの前記記録によって前記文書に情報ファイルを連動させて、ユーザーが自分の許容範囲によって文書を閲覧及び処理できるようにする。
【0071】
引き続き、ファイルサーバにある文書に多数のユーザーが同時に他のクライアント端末30、30’、30”を介して接近を試みる場合、本発明によるファイルサーバへの接近統制システムは、ユーザーの接近許可有無に対する確認と当該文書の暗復号化過程を文書単位ではなく、これら文書を保存している文書DB単位で行うため、多数のユーザーが一つの文書に接近するとしても、文書処理に対するユーザー間の衝突とこれによる文書破損の惹起及び暗復号化の遂行に起因する誤作動可能性を極力抑えてより安定したシステムを実現することができる。
【0072】
すなわち、本発明によるファイルサーバは、文書を暗号化しない一般ファイル形式で保存する代わりに、前記ファイルサーバへの接近過程だけを暗号化することにより、認可されたクライアント端末またはユーザーの接近の試みによりファイルサーバと認可されたクライアントとの間の接近遮断が解除されると、前記認可されたクライアント端末またはユーザーは必要とする文書を閲覧するために別途の手続きまたは過程を経ることなくまるで一般的に文書を閲覧するかのように接近/閲覧することができる。
【0073】
図6は、本発明による接近統制システムの他の実施形態を示すブロック図であり、これを参照して説明する。
【0074】
本発明による接近統制システムはファイルロガー40をさらに含む。
【0075】
前記ファイルロガー40はユーザーがファイルサーバ20に接近して文書を閲覧するときにその履歴を残して保管するものであり、どのユーザーがどのクライアント端末30、30’、30”を介していつファイルサーバに接近してどの文書DBにおいてどの文書を閲覧したかを記録する。
【0076】
また、当該文書の原本を保存するために文書DBに保存された文書がユーザーにより閲覧された後、編集などの過程を通じてその情報が新たに更新されると、更新前の原本文書は前記ファイルロガー40に保存される。
【0077】
前記ファイルロガー40内の記録は事後監査及び文書の流出時に流出経路を把握する情報となる。
【0078】
一方、本発明によるファイルサーバへの接近統制システムの他の実施形態によれば、ファイルサーバ20に保存された文書を起動するアプリケーションの認証有無を確認するアプリケーション認証モジュール33と、前記アプリケーション認証モジュール33と通信しながら現在接続中のクライアント端末30、30’、30”にインストールされたアプリケーションが認可済みのものであるかどうかを確認するアプリケーション確認モジュール14と、をさらに含む。
【0079】
例を挙げて説明すると、たとえ*.dwgファイル(文書)を起動可能なCADプログラム(アプリケーション)がインストールされたクライアント端末30、30’、30”が正常に当該ファイルサーバ20に接近して*.dwgファイルを閲覧することができるとしても、前記CADプログラムが認証を受けなかった場合には当該*.dwgファイルを開くことができなくなる。
【0080】
このために、ファイルサーバ20への接近を許可するアプリケーションに認証ファイルをインストールし、これに見合う認証確認ファイルは前記アプリケーション確認モジュール14にインストールして、任意のアプリケーション駆動時にファイルサーバ20への接近が許可されたアプリケーション認可を確認する。前記アプリケーション確認モジュール14の確認結果、当該アプリケーションがファイルサーバ20に接近可能であれば、前記保安探索ツール駆動モジュール31は正常に駆動してユーザーがファイルサーバ20から文書を検索できるようにする。
【0081】
ファイルサーバ20に保存された文書が文書DB単位ではない文書別に暗復号化がなされるとしても、認可されたクライアント端末30と認可されたユーザー及び認可されたアプリケーションが当該文書の起動を試みると、前記文書に対する暗復号化作業はユーザーによる別途の作業なしに行われて、たとえ当該文書に対する2以上のユーザーが同時に接近して起動を試みるとしても、各ユーザーに対する暗復号化により作業が互いに衝突する問題を解消することができる。
【特許請求の範囲】
【請求項1】
管理サーバと、前記管理サーバと通信を行うクライアント端末と、多数のクライアント端末が共有する文書を保存するファイルサーバと、からなるシステムにおいて、前記クライアント端末は、前記ファイルサーバへの接近を試みるユーザーを確認するファイルサーバ接続モジュールと、前記ファイルサーバ接続モジュールによる確認結果、前記ユーザーがファイルサーバへの接近権限を有している場合にファイルサーバに保存された文書を出力する保安探索ツール駆動モジュールと、を含み、前記管理サーバは、ユーザーが有する前記ファイルサーバへの接近可能有無及び接近可能な許容範囲に関する認可情報を保存する認可者情報DBと、前記ファイルサーバ接続モジュールから送られてきたユーザー情報を確認して前記認可者情報DBに保存された認可情報を検索するユーザー確認モジュールと、前記ユーザー確認モジュールから送られてきた認可情報を通じて前記ファイルサーバから当該ユーザーに対する許容範囲内にある文書を検索してこれを前記保安探索ツール駆動モジュールに送ることにより前記保安探索ツール駆動モジュールがクライアント端末を通じて表示する文書をユーザーによって制限する文書分類モジュールと、を含むことを特徴とするファイルサーバへの接近統制システム。
【請求項2】
前記クライアント端末は起動アプリケーションに埋め込まれた認証ファイルを読み込むアプリケーション認証モジュールをさらに含み、
前記管理サーバは、前記アプリケーション認証モジュールから送られてきた前記認証ファイルを確認して前記保安探索ツール駆動モジュールの起動を制御するアプリケーション確認モジュールをさらに含むことを特徴とする請求項1に記載のファイルサーバへの接近統制システム。
【請求項3】
前記ファイルサーバに接近したクライアント端末またはユーザー情報と、接近したクライアント端末を通じて起動されたファイルサーバ内文書の閲覧履歴を保存するファイルロガーと、をさらに含むことを特徴とする請求項1または請求項2に記載のファイルサーバへの接近統制システム。
【請求項1】
管理サーバと、前記管理サーバと通信を行うクライアント端末と、多数のクライアント端末が共有する文書を保存するファイルサーバと、からなるシステムにおいて、前記クライアント端末は、前記ファイルサーバへの接近を試みるユーザーを確認するファイルサーバ接続モジュールと、前記ファイルサーバ接続モジュールによる確認結果、前記ユーザーがファイルサーバへの接近権限を有している場合にファイルサーバに保存された文書を出力する保安探索ツール駆動モジュールと、を含み、前記管理サーバは、ユーザーが有する前記ファイルサーバへの接近可能有無及び接近可能な許容範囲に関する認可情報を保存する認可者情報DBと、前記ファイルサーバ接続モジュールから送られてきたユーザー情報を確認して前記認可者情報DBに保存された認可情報を検索するユーザー確認モジュールと、前記ユーザー確認モジュールから送られてきた認可情報を通じて前記ファイルサーバから当該ユーザーに対する許容範囲内にある文書を検索してこれを前記保安探索ツール駆動モジュールに送ることにより前記保安探索ツール駆動モジュールがクライアント端末を通じて表示する文書をユーザーによって制限する文書分類モジュールと、を含むことを特徴とするファイルサーバへの接近統制システム。
【請求項2】
前記クライアント端末は起動アプリケーションに埋め込まれた認証ファイルを読み込むアプリケーション認証モジュールをさらに含み、
前記管理サーバは、前記アプリケーション認証モジュールから送られてきた前記認証ファイルを確認して前記保安探索ツール駆動モジュールの起動を制御するアプリケーション確認モジュールをさらに含むことを特徴とする請求項1に記載のファイルサーバへの接近統制システム。
【請求項3】
前記ファイルサーバに接近したクライアント端末またはユーザー情報と、接近したクライアント端末を通じて起動されたファイルサーバ内文書の閲覧履歴を保存するファイルロガーと、をさらに含むことを特徴とする請求項1または請求項2に記載のファイルサーバへの接近統制システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公表番号】特表2010−512596(P2010−512596A)
【公表日】平成22年4月22日(2010.4.22)
【国際特許分類】
【出願番号】特願2009−541224(P2009−541224)
【出願日】平成19年12月11日(2007.12.11)
【国際出願番号】PCT/KR2007/006450
【国際公開番号】WO2008/072884
【国際公開日】平成20年6月19日(2008.6.19)
【出願人】(507168306)ソフトキャンプ カンパニー リミテッド (4)
【Fターム(参考)】
【公表日】平成22年4月22日(2010.4.22)
【国際特許分類】
【出願日】平成19年12月11日(2007.12.11)
【国際出願番号】PCT/KR2007/006450
【国際公開番号】WO2008/072884
【国際公開日】平成20年6月19日(2008.6.19)
【出願人】(507168306)ソフトキャンプ カンパニー リミテッド (4)
【Fターム(参考)】
[ Back to top ]