ファイル格納制御システムと方法およびプログラム
【課題】権限のあるファイル作成者が、意図しないフォルダにファイルを保存し、これを参照する権限のない者に参照されてしまう等の不具合を防ぐファイル格納制御システムを提供する。
【解決手段】制約条件記憶処理部5aは、フォルダ毎に、当該フォルダに格納を許可するファイルの識別情報を1つの項目として含む格納制約条件情報をプロパティ記憶装置3に格納し、許可判別処理部5bは、ファイルのフォルダへの格納処理時に、プロパティ記憶装置3において記憶された格納制約条件情報としての格納プロパティ情報4を参照して、当該ファイルの当該フォルダへの格納が許可されているか否かを判別し、格納処理部5cは、許可判別処理部5bの判別結果に応じて、当該ファイルの当該フォルダへの格納処理を制御する。尚、格納制約条件情報として、ファイルの作成日(作成日)、ファイルの更新日(更新日)、コンピュータ装置の識別情報(端末名)の各項目を含む。
【解決手段】制約条件記憶処理部5aは、フォルダ毎に、当該フォルダに格納を許可するファイルの識別情報を1つの項目として含む格納制約条件情報をプロパティ記憶装置3に格納し、許可判別処理部5bは、ファイルのフォルダへの格納処理時に、プロパティ記憶装置3において記憶された格納制約条件情報としての格納プロパティ情報4を参照して、当該ファイルの当該フォルダへの格納が許可されているか否かを判別し、格納処理部5cは、許可判別処理部5bの判別結果に応じて、当該ファイルの当該フォルダへの格納処理を制御する。尚、格納制約条件情報として、ファイルの作成日(作成日)、ファイルの更新日(更新日)、コンピュータ装置の識別情報(端末名)の各項目を含む。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コンピュータ装置におけるファイルのアクセス制御技術に係り、特に、ファイルを記憶装置に格納する際のセキュリティ確保を高信頼に行うのに好適な技術に関するものである。
【背景技術】
【0002】
コンピュータ装置においては、アクセス権限を持っているユーザが、重要なファイルを作成、移動または複写した場合に、想定外のフォルダに誤って格納してしまうケースが可能性として存在する。
【0003】
ファイルのセキュリティを確保する技術には、暗号化処理技術がある。しかし、このようなファイルの暗号化技術の利用では、ファイルの誤配布は防止できない。また、暗号化技術では、ファイルの内容そのもののセキュリティは確保できているが、ファイルのタイトル(ファイル名)から内容を類推される恐れがある。
【0004】
ファイルの誤操作の例としては、例えば、「(1)給与明細のPDFファイルを従業員に配布するために、従業員各個人のみがアクセスできるフォルダに、配布する側が、誤って、他従業員の給与明細を格納し、個人情報が他者に渡る」というケース、あるいは、「(2)製造業の親会社が、仕入先別にフォルダを分け、設計図面、検査結果データ等をやり取りする場合、親会社側が誤って、他仕入先のデータを格納してしまい、機密情報が他社に渡る。」というケースがある。
【0005】
従来、このようなファイルの誤操作を回避してセキュリティを確保する技術として、非特許文献1〜3において記載されている「アクセス制御マトリックス」と「アクセス制御リスト」を利用する技術がある。
【0006】
アクセス制御マトリックスは、図5に示すように、ファイルに対するアクセスを制御する情報を「行」と「列」からなる表形式で管理するものであり、主体(subject:システムの中で能動的に振舞うもの、ユーザやユーザによって起動されたプロセスやトランザクションといったもの)を「行」のインデクスとし、対象(object:保護の対象、主体によるアクセスに対して能動的に振舞うもの、主体が同時に対象になることもある)を「列」のインデクスとする行列で、主体Sと対象Xで定まるエントリに、主体Sが対象Xに対して許されている操作を列挙した表である。
【0007】
エントリに記されていない操作は許されず、また、空のエントリは一切のアクセスが許されないことを示し、図5に示すアクセス制御マトリックスの例では、主体であるユーザAliceが、対象であるファイルAに対して許されているアクセスは、内容の読み出しと、内容の変更、および削除であり、さらに保護状態の変更も許されている。
【0008】
これに対して、ユーザBobは、ファイルAに対する読み出しが許されているが、既存データの変更は許されておらず、代わりに新たなデータの追加は許されている。
【0009】
また、ユーザChrisは、内容の読み出しは許されていないが、バックアップ業務はできるようになっている。また、ユーザAliceとユーザBobは、プログラムBの実行が許されているが、ユーザChrisは許されていない。
【0010】
サービスVは、ユーザAliceが起動、停止などの業務管理を担当しており、ユーザBobとユーザChrisは、それを利用することのみ許されている。また、プロセスPを停止できるのはユーザAliceだけである、などが表現されている。
【0011】
これに対して、アクセス制御リストは、対象ごとに定めた、その対象にアクセスする主体と、その主体に対して許すアクセスのリストであり、前述のアクセス制御マトリックスから、その対象に該当する「列」だけを取り出したものに相当する。
【0012】
その対象に対するアクセスを許されていない主体に関する情報は不要(なければアクセス不許可)なので、管理すべきデータ量を小さくすることができる。
【0013】
また、以下、図6に示すUNIX(登録商標)のファイルシステムの例で説明するように、ファイルのアクセス制御管理技術を、簡略化してさらにデータ量の小型化を図ることもできる。
【0014】
UNIX(登録商標)では、ファイルには所有者(owner)が対応付けられており、この所有者(owner)は、アクセス制御情報を更新することができる。また、ユーザグループという概念があり、アクセス制御に用いられる。
【0015】
図6の例では、「login」という名前のファイルの所有者が「root」であり、ユーザグループが「bin」であることを示している。左端の「−rwxr−xr−x」という文字列は、モードビットあるいはファイルパーミッションと呼ばれ、このファイルに対するアクセス制御情報を表している。
【0016】
例えば、この文字列「−rwxr−xr−x」の2文字目から4文字目までが、所有者(root)に許された操作を表しており、「r」はread、すなわち、読み出しが許されていることを表し、「w」はwrite、すなわち、書き込み・変更が可能であることを示している。さらに「x」は実行が許されていることを示している。
【0017】
文字列「−rwxr−xr−x」の続く5文字から7文字までの3文字が、ユーザグループ「bin」に属するユーザに対するアクセス制御情報を表しており、6文字目の「−」は「w」がないこと、すなわち、書き込み・変更ができないことを表している。
【0018】
また、文字列「−rwxr−xr−x」の最後の8文字目から10文字目までの3文字は、それ以外のユーザに対するアクセス制御情報を表しており、グループ「bin」に属するユーザに対するものと同じく、書き込み・変更が許されていないことがわかる。
【0019】
このように、従来技術では、アクセス権限設定により、「誰が」「どうする(追加・削除・上書き等)」を制約することができる。しかし、このような従来のアクセス権限設定技術では、アクセス権限を持っているユーザが、想定外のフォルダに誤って格納してしまうことは、防止できない。
【先行技術文献】
【非特許文献】
【0020】
【非特許文献1】土居範久、他著、「情報セキュリティ事典」、株式会社共立出版、2003年7月、p.346−348
【非特許文献2】Ross Anderson著、「情報セキュリティ技術大全」、株式会社 日経BP社、2002年9月9日、p.52−57
【非特許文献3】「経済産業省 特許庁 標準技術集 クライアント上の情報セキュリティ技術 アクセス制御マトリックス」、[online]、[平成23年1月07日検索]、インターネット<URL:http://www.jpo.go.jp/shiryou/s_sonota/hyoujun_gijutsu/info_sec_tech/c-2-1.html>
【発明の概要】
【発明が解決しようとする課題】
【0021】
解決しようとする問題点は、従来の技術では、アクセス権限設定により、「誰が」「どうする(追加・削除・上書き等)」を制約することができるが、アクセス権限を持っているユーザが、想定外のフォルダに誤って格納してしまうことを防止することができない点である。
【0022】
本発明の目的は、これら従来技術の課題を解決し、ファイルの作成者が、意図しないフォルダにファイルを保存し、これを参照する権限のない者に参照されてしまうといった誤操作を防ぐことで、ファイル単位のセキュリティ確保を可能とすることである。
【課題を解決するための手段】
【0023】
上記目的を達成するため、本発明では、ファイルを格納するフォルダに対して操作に関しての制約を設定する。すなわち、管理対象の各フォルダに対して、当該フォルダに格納許可するファイルの属性(名称等のキーワード)を定義した情報(プロパティ情報)を登録しておき、当該フォルダへのファイルの格納時には、定義内容をチェックし、当該ファイルの当該フォルダへの格納が許可されているか否かを判別し、許可されていれば、当該ファイルの当該フォルダへの格納を行う。このように、アクセス権限を持っているユーザ(「誰が」を制約済み)のファイル操作に対して、制約を行うことにより、誤操作を防止する。尚、制約条件としては、予め、プロパティ情報として設定し、その制約条件を満たさずにファイルをフォルダに保存しようとしたときには警告を出力する、もしくは、保存できない状態となるようにする。そのプロパティ情報としては、例えば、「いつ」を制約する情報、すなわち、ファイル作成もしくは更新日付について、絶対日付範囲、または、操作日からみて、相対日付範囲内にない時には、不許可とする情報、あるいは、「どこで」を制約する情報、すなわち、ファイル操作を行っているPC(パーソナルコンピュータ)等のコンピュータ端末装置の識別名が設定されていない時には、不許可とする情報、あるいは、「なにを」を制約する情報、すなわち、ファイル名称もしくはファイル識別子に、事前に決められたキー文字列が含まれていないときには、不許可とする情報等を用いる。
【発明の効果】
【0024】
本発明によれば、アクセス権限設定として、「誰が」「どうする(追加・削除・上書き)」のみの制約に限られず、「いつ」「どこで」「なにを」に関する制約をも確保することができ、権限のあるファイル作成者が、意図しないフォルダにファイルを保存し、これを参照する権限のない者に参照されてしまう等の不具合を防ぐことが可能となる。
【図面の簡単な説明】
【0025】
【図1】本発明のファイル格納制御システムに係る構成例を示すブロック図である。
【図2】図1における格納プロパティ情報の構成例を示す説明図である。
【図3】図1における格納プロパティ情報の具体例を示す説明図である。
【図4】図1におけるファイル格納制御システムの本発明に係る処理動作例を示すフローチャートである。
【図5】従来のファイル操作制御技術で用いるアクセス制御マトリックスの具体例を示す説明図である。
【図6】従来のファイル操作制御技術で用いるアクセス制御リストの具体例を示す説明図である。
【発明を実施するための形態】
【0026】
以下、図を用いて本発明を実施するための形態例を説明する。図1において、1はファイルをフォルダ(A,B)別に格納するファイル記憶装置、2はパーソナルコンピュータ等からなるコンピュータ装置(図中「PC」と記載)、3はユーザが作成した格納プロパティ情報4を格納するプロパティ記憶装置(図中「格納プロパティ情報」と記載)である。
【0027】
コンピュータ装置2は、CPU(Central Processing Unit)や主メモリ、表示装置、入力装置、外部記憶装置等を有するコンピュータ構成からなり、光ディスク駆動装置等を介してCD−ROM等の記憶媒体に記録されたプログラムやデータを外部記憶装置内にインストールした後、この外部記憶装置から主メモリに読み込みCPUで処理することにより、本発明に係るファイル格納制御方法に係る処理を実行する本発明のファイル格納制御システムとしてのファイル格納制御処理部5の機能を実装する。
【0028】
このファイル格納制御処理部5は、プログラムされたコンピュータ処理を実行する機能として、制約条件記憶処理部5aと許可判別処理部5bおよび格納処理部5cを有し、ファイルのフォルダへの格納を制御することで、従来のアクセス権限の設定である「誰が」「どうする(追加・削除・上書き)」のみの制約に限られず、「いつ」「どこで」「なにを」に関する制約をも確保することで、権限のあるファイル作成者が、意図しないフォルダにファイルを保存し、これを参照する権限のない者に参照されてしまう等の不具合を防ぐことができる。
【0029】
すなわち、制約条件記憶処理部5aでは、フォルダ毎に、当該フォルダに格納を許可するファイルの識別情報を1つの項目として含む格納制約条件情報をプロパティ記憶装置3に格納し、許可判別処理部5bでは、ファイルのフォルダへの格納処理時に、プロパティ記憶装置3において記憶された格納制約条件情報としての格納プロパティ情報4を参照して、当該ファイルの当該フォルダへの格納が許可されているか否かを判別し、格納処理部5cにおいては、許可判別処理部5bの判別結果に応じて、当該ファイルの当該フォルダへの格納処理を制御する。
【0030】
尚、格納制約条件情報としては、例えば、図2および図3に示すように、フォルダ名(A)に対応付けて、ファイルの識別情報(ファイル名)と共に、ファイルの作成日(作成日)、ファイルの更新日(更新日)、コンピュータ装置の識別情報(端末名)の各項目を含む。
【0031】
さらに、図2,図3に示すように、格納制約条件情報として、各項目(作成日、更新日、端末名、ファイル名)毎に、当該項目で不許可となる際に出力する通知情報としてエラー情報と警告情報を含み、格納処理部5cは、許可判別処理部5bが許可されていると判別すると、当該ファイルを当該フォルダに格納し、許可判別処理部5bが許可されていないと判別し、不許可とされた当該項目に対応付けられた通知情報がエラー情報であれば、当該エラー情報を出力して、当該ファイルの当該フォルダへの格納処理を停止し、許可判別処理部5bが許可されていないと判別し、不許可とされた当該項目に対応付けられた通知情報が警告情報であれば、当該警告情報を出力して、操作者から入力される許可もしくは不許可の指示に応じて当該ファイルの当該フォルダへの格納処理を実行もしくは停止する。
【0032】
以下、これらの図1〜図3および図4を用いて、このようなコンピュータ端末装置2による処理動作の説明を、より具体的に行う。
【0033】
図1において、コンピュータ端末装置2は、ファイル格納制御処理部5における制約条件記憶処理部5aにより、オンラインもしくは記憶メディアを介してユーザが作成した格納プロパティ情報4をプロパティ記憶装置3に格納する。
【0034】
そして、コンピュータ端末装置2において、ユーザ操作等に応じてファイルを作成して「Aフォルダ」に保存しようとすると、常駐もしくはイベントトリブンで起動されるタスクとしてのファイル格納制御処理部5における許可判別処理部5bにより、プロパティ記憶装置3にアクセスして、格納プロパティ情報4を読み込み、参照して、当該ファイルの当該フォルダへの格納の可否(許可、不許可)を判別する。
【0035】
許可判別処理部5bが許可するとの判別結果を出力すれば、格納処理部5cにより、当該ファイルを当該Aフォルダに格納する。
【0036】
格納プロパティ情報4としては、下記の格納制約条件情報が格納されているものとする。
【0037】
当該フォルダへの格納を許可するファイルの作成日もしくは更新日付、および、それぞれについての、絶対日付範囲、または、操作日からみた相対日付範囲。
【0038】
当該フォルダへの格納を許可する操作端末の識別情報(ファイル名)。
【0039】
当該ファイル記憶装置1(ファイルシステム)のディレクトリに対して格納するファイルのファイル名に含まれておくべきキー文字列。
【0040】
尚、格納プロパティ情報4は、予めGUI/CUIインターフェースもしくはCSV等のファイルを用い、ユーザで登録できる仕組みとする。
【0041】
このような格納プロパティ情報4は、図2に示す格納プロパティレコードの構成となっており、制約をかけるフォルダ(フォルダ名)に対してのみ、格納プロパティ情報にエントリする構成とする。
【0042】
制約をかける項目を「プロパティ名」として持ち、作成日、更新日の各項目(プロパティ)に関しては、相対日で判定するか、絶対日付で判定するかを識別するサブプロパティを設定する。
【0043】
また、項目「値」には、格納するファイルの名称・属性と対比する値ならびに条件式を設定する。条件式には、ワイルドカードを表す記号「*」や、論理和、論理積等の論理式、等号、不等号、括弧等の条件式を設定できるものとする。
【0044】
また、項目「アクション」では、制約条件にかかり、格納できないと判定された場合に、警告として取り扱うのか、エラーとして格納を拒否するのかを設定する。
【0045】
このような格納プロパティレコードの設定例を図3において示しており、この図3に示す設定例を用いて、本発明に係る処理動作を、図4を用いて説明する。
【0046】
ステップ401において、ファイル格納操作として、端末「PC001」から、「Aフォルダ」に対して、日付が「2010/07/02」である本日に作成、更新したファイル「第2設計部予算数値.TXT」、を格納する場合、図3に示すように、格納プロパティレコードに「Aフォルダ」がエントリされているため、制約判定の対象となる(ステップ402)。
【0047】
ファイル作成日は本日であり、図3に示す格納プロパティ情報との対比において、「操作日の−2日前<本日<操作日の1日後」であるため、格納時の制約を受けない(ステップ403)。
【0048】
さらに、ファイル更新日は「2010/07/02」であり、図3に示す格納プロパティ情報との対比において、「2010/07/02>=2010/07/01」であるため、格納時の制約を受けない(ステップ404)。
【0049】
また、操作端末の端末名は「PC001」であり、図3に示す格納プロパティ情報との対比において、前方「PC」部分が一致しているため、格納時の制約を受けない(ステップ405)。
【0050】
しかし、ファイル名称は「第2設計部予算数値.TXT」であり、図3に示す格納プロパティ情報との対比において、部分一致しなければならない「第1設計部」をファイル名にもっていないので、制約条件にかかる(ステップ406)。
【0051】
この場合、図3に示す格納プロパティ情報における項目「アクション」には、「警告」と設定されているので(ステップ407)、コンピュータ端末装置2の表示装置等に対して警告を出力する(ステップ408)。
【0052】
コンピュータ端末装置2の操作者が警告に対し、格納取消を指示した場合(ステップ409)、ファイルの格納はキャンセルされてファイル格納操作取り消しとなるが(ステップ411)、格納継続を指示した場合には(ステップ409)、判定結果に関わらず、当該ファイルをAフォルダに格納する(ステップ410)。
【0053】
以上、図1〜図4を用いて説明したように、本例では、ファイル個々に対して、予め、各フォルダへの格納を許可する条件として、「いつ」、「どこで」、「なにを」の視点から制約を設け、条件を満たすファイルのみを当該フォルダに格納できるように制御する。
【0054】
これにより、ファイル格納時におけるファイル単位のセキュリティ確保を図ることができ、権限のあるファイル作成者が、意図しないフォルダにファイルを保存し、これを参照する権限のない者に参照されてしまう等の不具合を防ぐことが可能となる。
【0055】
尚、本発明は、図1〜図4を用いて説明した例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能である。例えば、本例では、ファイル格納制御処理部5をコンピュータ端末装置2内に設けた構成としているが、ファイル格納制御処理部5をコンピュータ端末装置2以外のコンピュータ装置に設け、ネットワークを介して、複数のコンピュータ端末装置におけるフィアルのフォルダへの格納処理を制御する構成としても良い。
【0056】
また、本発明に係るファイル格納制御処理部5の機能を、オペレーティングシステムに内蔵もしくは、その外付けとして機能するファイルやフォルダを管理するツールに内蔵もしくはアドオンとして機能させる構成としても良い。
【0057】
あるいは、本発明に係るファイル格納制御処理部5の機能を、Webブラウザで操作可能なファイル管理システムに内蔵もしくはアドオンとして機能させる構成としても良い。
【0058】
また、図1においては、ファイル記憶装置1とプロパティ記憶装置3をそれぞれ個別の記憶装置としているが、ファイル格納制御処理部5をコンピュータ端末装置2内に設ける構成であれば、ファイル記憶装置1とプロパティ記憶装置3を同じ記憶装置で構成することでも良い。
【0059】
また、本例のコンピュータ構成に関しても、キーボードや光ディスクの駆動装置の無いコンピュータ構成としても良い。また、本例では、光ディスクを記録媒体として用いているが、FD(Flexible Disk)等を記録媒体として用いることでも良い。また、プログラムのインストールに関しても、通信装置を介してネットワーク経由でプログラムをダウンロードしてインストールすることでも良い。
【符号の説明】
【0060】
1:ファイル記憶装置、2:コンピュータ端末装置、3:プロパティ記憶装置、4:格納プロパティ情報、5:ファイル格納制御処理部、5a:制約条件記憶処理部、5b:許可判別処理部、5c:格納処理部。
【技術分野】
【0001】
本発明は、コンピュータ装置におけるファイルのアクセス制御技術に係り、特に、ファイルを記憶装置に格納する際のセキュリティ確保を高信頼に行うのに好適な技術に関するものである。
【背景技術】
【0002】
コンピュータ装置においては、アクセス権限を持っているユーザが、重要なファイルを作成、移動または複写した場合に、想定外のフォルダに誤って格納してしまうケースが可能性として存在する。
【0003】
ファイルのセキュリティを確保する技術には、暗号化処理技術がある。しかし、このようなファイルの暗号化技術の利用では、ファイルの誤配布は防止できない。また、暗号化技術では、ファイルの内容そのもののセキュリティは確保できているが、ファイルのタイトル(ファイル名)から内容を類推される恐れがある。
【0004】
ファイルの誤操作の例としては、例えば、「(1)給与明細のPDFファイルを従業員に配布するために、従業員各個人のみがアクセスできるフォルダに、配布する側が、誤って、他従業員の給与明細を格納し、個人情報が他者に渡る」というケース、あるいは、「(2)製造業の親会社が、仕入先別にフォルダを分け、設計図面、検査結果データ等をやり取りする場合、親会社側が誤って、他仕入先のデータを格納してしまい、機密情報が他社に渡る。」というケースがある。
【0005】
従来、このようなファイルの誤操作を回避してセキュリティを確保する技術として、非特許文献1〜3において記載されている「アクセス制御マトリックス」と「アクセス制御リスト」を利用する技術がある。
【0006】
アクセス制御マトリックスは、図5に示すように、ファイルに対するアクセスを制御する情報を「行」と「列」からなる表形式で管理するものであり、主体(subject:システムの中で能動的に振舞うもの、ユーザやユーザによって起動されたプロセスやトランザクションといったもの)を「行」のインデクスとし、対象(object:保護の対象、主体によるアクセスに対して能動的に振舞うもの、主体が同時に対象になることもある)を「列」のインデクスとする行列で、主体Sと対象Xで定まるエントリに、主体Sが対象Xに対して許されている操作を列挙した表である。
【0007】
エントリに記されていない操作は許されず、また、空のエントリは一切のアクセスが許されないことを示し、図5に示すアクセス制御マトリックスの例では、主体であるユーザAliceが、対象であるファイルAに対して許されているアクセスは、内容の読み出しと、内容の変更、および削除であり、さらに保護状態の変更も許されている。
【0008】
これに対して、ユーザBobは、ファイルAに対する読み出しが許されているが、既存データの変更は許されておらず、代わりに新たなデータの追加は許されている。
【0009】
また、ユーザChrisは、内容の読み出しは許されていないが、バックアップ業務はできるようになっている。また、ユーザAliceとユーザBobは、プログラムBの実行が許されているが、ユーザChrisは許されていない。
【0010】
サービスVは、ユーザAliceが起動、停止などの業務管理を担当しており、ユーザBobとユーザChrisは、それを利用することのみ許されている。また、プロセスPを停止できるのはユーザAliceだけである、などが表現されている。
【0011】
これに対して、アクセス制御リストは、対象ごとに定めた、その対象にアクセスする主体と、その主体に対して許すアクセスのリストであり、前述のアクセス制御マトリックスから、その対象に該当する「列」だけを取り出したものに相当する。
【0012】
その対象に対するアクセスを許されていない主体に関する情報は不要(なければアクセス不許可)なので、管理すべきデータ量を小さくすることができる。
【0013】
また、以下、図6に示すUNIX(登録商標)のファイルシステムの例で説明するように、ファイルのアクセス制御管理技術を、簡略化してさらにデータ量の小型化を図ることもできる。
【0014】
UNIX(登録商標)では、ファイルには所有者(owner)が対応付けられており、この所有者(owner)は、アクセス制御情報を更新することができる。また、ユーザグループという概念があり、アクセス制御に用いられる。
【0015】
図6の例では、「login」という名前のファイルの所有者が「root」であり、ユーザグループが「bin」であることを示している。左端の「−rwxr−xr−x」という文字列は、モードビットあるいはファイルパーミッションと呼ばれ、このファイルに対するアクセス制御情報を表している。
【0016】
例えば、この文字列「−rwxr−xr−x」の2文字目から4文字目までが、所有者(root)に許された操作を表しており、「r」はread、すなわち、読み出しが許されていることを表し、「w」はwrite、すなわち、書き込み・変更が可能であることを示している。さらに「x」は実行が許されていることを示している。
【0017】
文字列「−rwxr−xr−x」の続く5文字から7文字までの3文字が、ユーザグループ「bin」に属するユーザに対するアクセス制御情報を表しており、6文字目の「−」は「w」がないこと、すなわち、書き込み・変更ができないことを表している。
【0018】
また、文字列「−rwxr−xr−x」の最後の8文字目から10文字目までの3文字は、それ以外のユーザに対するアクセス制御情報を表しており、グループ「bin」に属するユーザに対するものと同じく、書き込み・変更が許されていないことがわかる。
【0019】
このように、従来技術では、アクセス権限設定により、「誰が」「どうする(追加・削除・上書き等)」を制約することができる。しかし、このような従来のアクセス権限設定技術では、アクセス権限を持っているユーザが、想定外のフォルダに誤って格納してしまうことは、防止できない。
【先行技術文献】
【非特許文献】
【0020】
【非特許文献1】土居範久、他著、「情報セキュリティ事典」、株式会社共立出版、2003年7月、p.346−348
【非特許文献2】Ross Anderson著、「情報セキュリティ技術大全」、株式会社 日経BP社、2002年9月9日、p.52−57
【非特許文献3】「経済産業省 特許庁 標準技術集 クライアント上の情報セキュリティ技術 アクセス制御マトリックス」、[online]、[平成23年1月07日検索]、インターネット<URL:http://www.jpo.go.jp/shiryou/s_sonota/hyoujun_gijutsu/info_sec_tech/c-2-1.html>
【発明の概要】
【発明が解決しようとする課題】
【0021】
解決しようとする問題点は、従来の技術では、アクセス権限設定により、「誰が」「どうする(追加・削除・上書き等)」を制約することができるが、アクセス権限を持っているユーザが、想定外のフォルダに誤って格納してしまうことを防止することができない点である。
【0022】
本発明の目的は、これら従来技術の課題を解決し、ファイルの作成者が、意図しないフォルダにファイルを保存し、これを参照する権限のない者に参照されてしまうといった誤操作を防ぐことで、ファイル単位のセキュリティ確保を可能とすることである。
【課題を解決するための手段】
【0023】
上記目的を達成するため、本発明では、ファイルを格納するフォルダに対して操作に関しての制約を設定する。すなわち、管理対象の各フォルダに対して、当該フォルダに格納許可するファイルの属性(名称等のキーワード)を定義した情報(プロパティ情報)を登録しておき、当該フォルダへのファイルの格納時には、定義内容をチェックし、当該ファイルの当該フォルダへの格納が許可されているか否かを判別し、許可されていれば、当該ファイルの当該フォルダへの格納を行う。このように、アクセス権限を持っているユーザ(「誰が」を制約済み)のファイル操作に対して、制約を行うことにより、誤操作を防止する。尚、制約条件としては、予め、プロパティ情報として設定し、その制約条件を満たさずにファイルをフォルダに保存しようとしたときには警告を出力する、もしくは、保存できない状態となるようにする。そのプロパティ情報としては、例えば、「いつ」を制約する情報、すなわち、ファイル作成もしくは更新日付について、絶対日付範囲、または、操作日からみて、相対日付範囲内にない時には、不許可とする情報、あるいは、「どこで」を制約する情報、すなわち、ファイル操作を行っているPC(パーソナルコンピュータ)等のコンピュータ端末装置の識別名が設定されていない時には、不許可とする情報、あるいは、「なにを」を制約する情報、すなわち、ファイル名称もしくはファイル識別子に、事前に決められたキー文字列が含まれていないときには、不許可とする情報等を用いる。
【発明の効果】
【0024】
本発明によれば、アクセス権限設定として、「誰が」「どうする(追加・削除・上書き)」のみの制約に限られず、「いつ」「どこで」「なにを」に関する制約をも確保することができ、権限のあるファイル作成者が、意図しないフォルダにファイルを保存し、これを参照する権限のない者に参照されてしまう等の不具合を防ぐことが可能となる。
【図面の簡単な説明】
【0025】
【図1】本発明のファイル格納制御システムに係る構成例を示すブロック図である。
【図2】図1における格納プロパティ情報の構成例を示す説明図である。
【図3】図1における格納プロパティ情報の具体例を示す説明図である。
【図4】図1におけるファイル格納制御システムの本発明に係る処理動作例を示すフローチャートである。
【図5】従来のファイル操作制御技術で用いるアクセス制御マトリックスの具体例を示す説明図である。
【図6】従来のファイル操作制御技術で用いるアクセス制御リストの具体例を示す説明図である。
【発明を実施するための形態】
【0026】
以下、図を用いて本発明を実施するための形態例を説明する。図1において、1はファイルをフォルダ(A,B)別に格納するファイル記憶装置、2はパーソナルコンピュータ等からなるコンピュータ装置(図中「PC」と記載)、3はユーザが作成した格納プロパティ情報4を格納するプロパティ記憶装置(図中「格納プロパティ情報」と記載)である。
【0027】
コンピュータ装置2は、CPU(Central Processing Unit)や主メモリ、表示装置、入力装置、外部記憶装置等を有するコンピュータ構成からなり、光ディスク駆動装置等を介してCD−ROM等の記憶媒体に記録されたプログラムやデータを外部記憶装置内にインストールした後、この外部記憶装置から主メモリに読み込みCPUで処理することにより、本発明に係るファイル格納制御方法に係る処理を実行する本発明のファイル格納制御システムとしてのファイル格納制御処理部5の機能を実装する。
【0028】
このファイル格納制御処理部5は、プログラムされたコンピュータ処理を実行する機能として、制約条件記憶処理部5aと許可判別処理部5bおよび格納処理部5cを有し、ファイルのフォルダへの格納を制御することで、従来のアクセス権限の設定である「誰が」「どうする(追加・削除・上書き)」のみの制約に限られず、「いつ」「どこで」「なにを」に関する制約をも確保することで、権限のあるファイル作成者が、意図しないフォルダにファイルを保存し、これを参照する権限のない者に参照されてしまう等の不具合を防ぐことができる。
【0029】
すなわち、制約条件記憶処理部5aでは、フォルダ毎に、当該フォルダに格納を許可するファイルの識別情報を1つの項目として含む格納制約条件情報をプロパティ記憶装置3に格納し、許可判別処理部5bでは、ファイルのフォルダへの格納処理時に、プロパティ記憶装置3において記憶された格納制約条件情報としての格納プロパティ情報4を参照して、当該ファイルの当該フォルダへの格納が許可されているか否かを判別し、格納処理部5cにおいては、許可判別処理部5bの判別結果に応じて、当該ファイルの当該フォルダへの格納処理を制御する。
【0030】
尚、格納制約条件情報としては、例えば、図2および図3に示すように、フォルダ名(A)に対応付けて、ファイルの識別情報(ファイル名)と共に、ファイルの作成日(作成日)、ファイルの更新日(更新日)、コンピュータ装置の識別情報(端末名)の各項目を含む。
【0031】
さらに、図2,図3に示すように、格納制約条件情報として、各項目(作成日、更新日、端末名、ファイル名)毎に、当該項目で不許可となる際に出力する通知情報としてエラー情報と警告情報を含み、格納処理部5cは、許可判別処理部5bが許可されていると判別すると、当該ファイルを当該フォルダに格納し、許可判別処理部5bが許可されていないと判別し、不許可とされた当該項目に対応付けられた通知情報がエラー情報であれば、当該エラー情報を出力して、当該ファイルの当該フォルダへの格納処理を停止し、許可判別処理部5bが許可されていないと判別し、不許可とされた当該項目に対応付けられた通知情報が警告情報であれば、当該警告情報を出力して、操作者から入力される許可もしくは不許可の指示に応じて当該ファイルの当該フォルダへの格納処理を実行もしくは停止する。
【0032】
以下、これらの図1〜図3および図4を用いて、このようなコンピュータ端末装置2による処理動作の説明を、より具体的に行う。
【0033】
図1において、コンピュータ端末装置2は、ファイル格納制御処理部5における制約条件記憶処理部5aにより、オンラインもしくは記憶メディアを介してユーザが作成した格納プロパティ情報4をプロパティ記憶装置3に格納する。
【0034】
そして、コンピュータ端末装置2において、ユーザ操作等に応じてファイルを作成して「Aフォルダ」に保存しようとすると、常駐もしくはイベントトリブンで起動されるタスクとしてのファイル格納制御処理部5における許可判別処理部5bにより、プロパティ記憶装置3にアクセスして、格納プロパティ情報4を読み込み、参照して、当該ファイルの当該フォルダへの格納の可否(許可、不許可)を判別する。
【0035】
許可判別処理部5bが許可するとの判別結果を出力すれば、格納処理部5cにより、当該ファイルを当該Aフォルダに格納する。
【0036】
格納プロパティ情報4としては、下記の格納制約条件情報が格納されているものとする。
【0037】
当該フォルダへの格納を許可するファイルの作成日もしくは更新日付、および、それぞれについての、絶対日付範囲、または、操作日からみた相対日付範囲。
【0038】
当該フォルダへの格納を許可する操作端末の識別情報(ファイル名)。
【0039】
当該ファイル記憶装置1(ファイルシステム)のディレクトリに対して格納するファイルのファイル名に含まれておくべきキー文字列。
【0040】
尚、格納プロパティ情報4は、予めGUI/CUIインターフェースもしくはCSV等のファイルを用い、ユーザで登録できる仕組みとする。
【0041】
このような格納プロパティ情報4は、図2に示す格納プロパティレコードの構成となっており、制約をかけるフォルダ(フォルダ名)に対してのみ、格納プロパティ情報にエントリする構成とする。
【0042】
制約をかける項目を「プロパティ名」として持ち、作成日、更新日の各項目(プロパティ)に関しては、相対日で判定するか、絶対日付で判定するかを識別するサブプロパティを設定する。
【0043】
また、項目「値」には、格納するファイルの名称・属性と対比する値ならびに条件式を設定する。条件式には、ワイルドカードを表す記号「*」や、論理和、論理積等の論理式、等号、不等号、括弧等の条件式を設定できるものとする。
【0044】
また、項目「アクション」では、制約条件にかかり、格納できないと判定された場合に、警告として取り扱うのか、エラーとして格納を拒否するのかを設定する。
【0045】
このような格納プロパティレコードの設定例を図3において示しており、この図3に示す設定例を用いて、本発明に係る処理動作を、図4を用いて説明する。
【0046】
ステップ401において、ファイル格納操作として、端末「PC001」から、「Aフォルダ」に対して、日付が「2010/07/02」である本日に作成、更新したファイル「第2設計部予算数値.TXT」、を格納する場合、図3に示すように、格納プロパティレコードに「Aフォルダ」がエントリされているため、制約判定の対象となる(ステップ402)。
【0047】
ファイル作成日は本日であり、図3に示す格納プロパティ情報との対比において、「操作日の−2日前<本日<操作日の1日後」であるため、格納時の制約を受けない(ステップ403)。
【0048】
さらに、ファイル更新日は「2010/07/02」であり、図3に示す格納プロパティ情報との対比において、「2010/07/02>=2010/07/01」であるため、格納時の制約を受けない(ステップ404)。
【0049】
また、操作端末の端末名は「PC001」であり、図3に示す格納プロパティ情報との対比において、前方「PC」部分が一致しているため、格納時の制約を受けない(ステップ405)。
【0050】
しかし、ファイル名称は「第2設計部予算数値.TXT」であり、図3に示す格納プロパティ情報との対比において、部分一致しなければならない「第1設計部」をファイル名にもっていないので、制約条件にかかる(ステップ406)。
【0051】
この場合、図3に示す格納プロパティ情報における項目「アクション」には、「警告」と設定されているので(ステップ407)、コンピュータ端末装置2の表示装置等に対して警告を出力する(ステップ408)。
【0052】
コンピュータ端末装置2の操作者が警告に対し、格納取消を指示した場合(ステップ409)、ファイルの格納はキャンセルされてファイル格納操作取り消しとなるが(ステップ411)、格納継続を指示した場合には(ステップ409)、判定結果に関わらず、当該ファイルをAフォルダに格納する(ステップ410)。
【0053】
以上、図1〜図4を用いて説明したように、本例では、ファイル個々に対して、予め、各フォルダへの格納を許可する条件として、「いつ」、「どこで」、「なにを」の視点から制約を設け、条件を満たすファイルのみを当該フォルダに格納できるように制御する。
【0054】
これにより、ファイル格納時におけるファイル単位のセキュリティ確保を図ることができ、権限のあるファイル作成者が、意図しないフォルダにファイルを保存し、これを参照する権限のない者に参照されてしまう等の不具合を防ぐことが可能となる。
【0055】
尚、本発明は、図1〜図4を用いて説明した例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能である。例えば、本例では、ファイル格納制御処理部5をコンピュータ端末装置2内に設けた構成としているが、ファイル格納制御処理部5をコンピュータ端末装置2以外のコンピュータ装置に設け、ネットワークを介して、複数のコンピュータ端末装置におけるフィアルのフォルダへの格納処理を制御する構成としても良い。
【0056】
また、本発明に係るファイル格納制御処理部5の機能を、オペレーティングシステムに内蔵もしくは、その外付けとして機能するファイルやフォルダを管理するツールに内蔵もしくはアドオンとして機能させる構成としても良い。
【0057】
あるいは、本発明に係るファイル格納制御処理部5の機能を、Webブラウザで操作可能なファイル管理システムに内蔵もしくはアドオンとして機能させる構成としても良い。
【0058】
また、図1においては、ファイル記憶装置1とプロパティ記憶装置3をそれぞれ個別の記憶装置としているが、ファイル格納制御処理部5をコンピュータ端末装置2内に設ける構成であれば、ファイル記憶装置1とプロパティ記憶装置3を同じ記憶装置で構成することでも良い。
【0059】
また、本例のコンピュータ構成に関しても、キーボードや光ディスクの駆動装置の無いコンピュータ構成としても良い。また、本例では、光ディスクを記録媒体として用いているが、FD(Flexible Disk)等を記録媒体として用いることでも良い。また、プログラムのインストールに関しても、通信装置を介してネットワーク経由でプログラムをダウンロードしてインストールすることでも良い。
【符号の説明】
【0060】
1:ファイル記憶装置、2:コンピュータ端末装置、3:プロパティ記憶装置、4:格納プロパティ情報、5:ファイル格納制御処理部、5a:制約条件記憶処理部、5b:許可判別処理部、5c:格納処理部。
【特許請求の範囲】
【請求項1】
プログラムされたコンピュータ処理により、ファイルのフォルダへの格納を制御するファイル格納制御システムであって、
フォルダ毎に、当該フォルダに格納を許可するファイルの識別情報を1つの項目として含む格納制約条件情報を記憶装置に格納する制約条件記憶処理手段と、
ファイルの上記フォルダへの格納処理時に、上記記憶装置に記憶された格納制約条件情報を参照して、当該ファイルの当該フォルダへの格納が許可されているか否かを判別する許可判別処理手段と、
該許可判別処理手段の判別結果に応じて、当該ファイルの当該フォルダへの格納処理を制御する格納処理手段と
を有することを特徴とするファイル格納制御システム。
【請求項2】
請求項1に記載のファイル格納制御システムであって、
上記格納制約条件情報は、上記ファイルの識別情報と共に、ファイルの作成日、ファイルの更新日、端末の識別情報の各項目を含む
ことを特徴とするファイル格納制御システム。
【請求項3】
請求項1もしくは請求項2のいずれかに記載のファイル格納制御システムであって、
上記格納制約条件情報は、各項目毎に、当該項目で不許可となる際に出力する通知情報としてエラー情報と警告情報を含み、
上記格納処理手段は、
上記許可判別処理手段が許可されていると判別すると、当該ファイルを当該フォルダに格納し、
上記許可判別処理手段が許可されていないと判別し、不許可とされた当該項目に対応付けられた通知情報がエラー情報であれば、当該エラー情報を出力して、当該ファイルの当該フォルダへの格納処理を停止し、
上記許可判別処理手段が許可されていないと判別し、不許可とされた当該項目に対応付けられた通知情報が警告情報であれば、当該警告情報を出力して、操作者から入力される許可もしくは不許可の指示に応じて当該ファイルの当該フォルダへの格納処理を実行もしくは停止する
ことを特徴とするファイル格納制御システム。
【請求項4】
コンピュータを、請求項1から請求項3のいずれかに記載のファイル格納制御システムにおける各手段として機能させるためのプログラム。
【請求項5】
コンピュータ装置により、ファイルのフォルダへの格納を制御するシステムのファイル格納制御方法であって、
プログラムされたコンピュータ処理を実行する手段として、制約条件記憶処理手段と許可判別処理手段および格納処理手段を有し、
上記制約条件記憶処理手段は、フォルダ毎に、当該フォルダに格納を許可するファイルの識別情報を1つの項目として含む格納制約条件情報を記憶装置に格納し、
上記許可判別処理手段は、ファイルの上記フォルダへの格納処理時に、上記記憶装置に記憶された格納制約条件情報を参照して、当該ファイルの当該フォルダへの格納が許可されているか否かを判別し、
上記格納処理手段は、
上記許可判別処理手段の判別結果に応じて、当該ファイルの当該フォルダへの格納処理を制御する
ことを特徴とするファイル格納制御方法。
【請求項6】
請求項5に記載のファイル格納制御方法であって、
上記格納制約条件情報は、上記ファイルの識別情報と共に、ファイルの作成日、ファイルの更新日、端末の識別情報の各項目を含むことを特徴とするファイル格納制御方法。
【請求項7】
請求項5もしくは請求項6のいずれかに記載のファイル格納制御方法であって、
上記格納制約条件情報は、各項目毎に、当該項目で不許可となる際に出力する通知情報としてエラー情報と警告情報を含み、
上記格納処理手段は、
上記許可判別処理手段が許可されていると判別すると、当該ファイルを当該フォルダに格納し、
上記許可判別処理手段が許可されていないと判別し、不許可とされた当該項目に対応付けられた通知情報がエラー情報であれば、当該エラー情報を出力して、当該ファイルの当該フォルダへの格納処理を停止し、
上記許可判別処理手段が許可されていないと判別し、不許可とされた当該項目に対応付けられた通知情報が警告情報であれば、当該警告情報を出力して、操作者から入力される許可もしくは不許可の指示に応じて当該ファイルの当該フォルダへの格納処理を実行もしくは停止する
ことを特徴とするファイル格納制御方法。
【請求項1】
プログラムされたコンピュータ処理により、ファイルのフォルダへの格納を制御するファイル格納制御システムであって、
フォルダ毎に、当該フォルダに格納を許可するファイルの識別情報を1つの項目として含む格納制約条件情報を記憶装置に格納する制約条件記憶処理手段と、
ファイルの上記フォルダへの格納処理時に、上記記憶装置に記憶された格納制約条件情報を参照して、当該ファイルの当該フォルダへの格納が許可されているか否かを判別する許可判別処理手段と、
該許可判別処理手段の判別結果に応じて、当該ファイルの当該フォルダへの格納処理を制御する格納処理手段と
を有することを特徴とするファイル格納制御システム。
【請求項2】
請求項1に記載のファイル格納制御システムであって、
上記格納制約条件情報は、上記ファイルの識別情報と共に、ファイルの作成日、ファイルの更新日、端末の識別情報の各項目を含む
ことを特徴とするファイル格納制御システム。
【請求項3】
請求項1もしくは請求項2のいずれかに記載のファイル格納制御システムであって、
上記格納制約条件情報は、各項目毎に、当該項目で不許可となる際に出力する通知情報としてエラー情報と警告情報を含み、
上記格納処理手段は、
上記許可判別処理手段が許可されていると判別すると、当該ファイルを当該フォルダに格納し、
上記許可判別処理手段が許可されていないと判別し、不許可とされた当該項目に対応付けられた通知情報がエラー情報であれば、当該エラー情報を出力して、当該ファイルの当該フォルダへの格納処理を停止し、
上記許可判別処理手段が許可されていないと判別し、不許可とされた当該項目に対応付けられた通知情報が警告情報であれば、当該警告情報を出力して、操作者から入力される許可もしくは不許可の指示に応じて当該ファイルの当該フォルダへの格納処理を実行もしくは停止する
ことを特徴とするファイル格納制御システム。
【請求項4】
コンピュータを、請求項1から請求項3のいずれかに記載のファイル格納制御システムにおける各手段として機能させるためのプログラム。
【請求項5】
コンピュータ装置により、ファイルのフォルダへの格納を制御するシステムのファイル格納制御方法であって、
プログラムされたコンピュータ処理を実行する手段として、制約条件記憶処理手段と許可判別処理手段および格納処理手段を有し、
上記制約条件記憶処理手段は、フォルダ毎に、当該フォルダに格納を許可するファイルの識別情報を1つの項目として含む格納制約条件情報を記憶装置に格納し、
上記許可判別処理手段は、ファイルの上記フォルダへの格納処理時に、上記記憶装置に記憶された格納制約条件情報を参照して、当該ファイルの当該フォルダへの格納が許可されているか否かを判別し、
上記格納処理手段は、
上記許可判別処理手段の判別結果に応じて、当該ファイルの当該フォルダへの格納処理を制御する
ことを特徴とするファイル格納制御方法。
【請求項6】
請求項5に記載のファイル格納制御方法であって、
上記格納制約条件情報は、上記ファイルの識別情報と共に、ファイルの作成日、ファイルの更新日、端末の識別情報の各項目を含むことを特徴とするファイル格納制御方法。
【請求項7】
請求項5もしくは請求項6のいずれかに記載のファイル格納制御方法であって、
上記格納制約条件情報は、各項目毎に、当該項目で不許可となる際に出力する通知情報としてエラー情報と警告情報を含み、
上記格納処理手段は、
上記許可判別処理手段が許可されていると判別すると、当該ファイルを当該フォルダに格納し、
上記許可判別処理手段が許可されていないと判別し、不許可とされた当該項目に対応付けられた通知情報がエラー情報であれば、当該エラー情報を出力して、当該ファイルの当該フォルダへの格納処理を停止し、
上記許可判別処理手段が許可されていないと判別し、不許可とされた当該項目に対応付けられた通知情報が警告情報であれば、当該警告情報を出力して、操作者から入力される許可もしくは不許可の指示に応じて当該ファイルの当該フォルダへの格納処理を実行もしくは停止する
ことを特徴とするファイル格納制御方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2012−146130(P2012−146130A)
【公開日】平成24年8月2日(2012.8.2)
【国際特許分類】
【出願番号】特願2011−3991(P2011−3991)
【出願日】平成23年1月12日(2011.1.12)
【出願人】(000233491)株式会社日立システムズ (394)
【Fターム(参考)】
【公開日】平成24年8月2日(2012.8.2)
【国際特許分類】
【出願日】平成23年1月12日(2011.1.12)
【出願人】(000233491)株式会社日立システムズ (394)
【Fターム(参考)】
[ Back to top ]