利用対象情報管理装置及び利用対象情報管理方法ならびにそのプログラム
【課題】持出されたデータの利用条件のリアルタイムな変更を、そのデータの利用時に即時に適用することができるとともに、持出されたデータの利用の管理責任の所在を迅速に特定することのできる利用対象情報管理装置を提供する。
【解決手段】持出しパッケージデータを生成し、組織内端末へ送信する。また持出しパッケージデータに格納された利用対象情報の利用時に、組織外端末より利用条件情報を受信し、その情報に基づく利用対象情報の利用可否の判定が利用可である場合に、組織外端末へ利用対象情報を復号する復号鍵を送信する。また、利用対象情報の利用中に利用情報を受信し、その情報が記憶する利用条件に合致しない場合には利用対象情報の利用を制限する。また、利用対象情報の管理者の秘密鍵と利用対象情報の利用者の公開鍵とを用いて2重暗号化した復号鍵を組織外端末へ送信する。
【解決手段】持出しパッケージデータを生成し、組織内端末へ送信する。また持出しパッケージデータに格納された利用対象情報の利用時に、組織外端末より利用条件情報を受信し、その情報に基づく利用対象情報の利用可否の判定が利用可である場合に、組織外端末へ利用対象情報を復号する復号鍵を送信する。また、利用対象情報の利用中に利用情報を受信し、その情報が記憶する利用条件に合致しない場合には利用対象情報の利用を制限する。また、利用対象情報の管理者の秘密鍵と利用対象情報の利用者の公開鍵とを用いて2重暗号化した復号鍵を組織外端末へ送信する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、利用者の属する組織に接続された組織内端末と、前記組織に属さない組織外端末とで利用される利用対象情報を管理する利用対象情報管理装置及び利用対象情報管理方法ならびにそのプログラムに関する。
【背景技術】
【0002】
従来、組織外部に持出されるファイルの改竄・漏洩の防止に関する技術や、利用条件に基づいてファイルの利用制限を行う技術が特許文献1〜特許文献4に公開されている。また秘密鍵や公開鍵等を用いてファイルを暗号化して他の装置へ送信する技術が特許文献5に公開されている。ここで、特許文献1は、利用者が既存アプリケーションで作成された機密情報ファイルを、組織外部に持出して追加編集作業を行うことができるが、一旦格納された機密情報はファイル内部に閉じ第三者に漏洩されることを防ぐことができる既存アプリケーションの機密情報ファイル保護システムに関する技術であるが、改竄防止とはことなる技術である。また特許文献2は、
【特許文献1】特開2006−139475号公報
【特許文献2】特開2004−302835号公報
【特許文献3】特開2007−4616号公報
【特許文献4】特開2007−18235号公報
【特許文献5】特開平9−305661号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
しかしながら、上述の技術では、ファイルなどのデータが組織外部に持出された後に、その持出されたデータの利用条件のリアルタイムな変更を、そのデータの利用時に即時に適用することができなかった。また持出されたデータの利用の管理責任の所在がどこにあるのかを明確にすることができなかった。さらにデータを持出す者を管理する管理責任者がその責任の否認を不可能とする承認処理を行うことができなかった。
【0004】
そこでこの発明は、持出されたデータの利用条件のリアルタイムな変更を、そのデータの利用時に即時に適用することができるとともに、持出されたデータの利用の管理責任の所在を迅速に特定することのでき、さらにデータを持出す者を管理する管理責任者がその責任の否認を不可能とする承認処理を行うことができる利用対象情報管理装置及び利用対象情報管理方法ならびにそのプログラムを提供することを目的としている。
【課題を解決するための手段】
【0005】
上記目的を達成するために、本発明は、利用者の属する組織に接続された組織内端末と、前記組織に属さない組織外端末とで利用される利用対象情報を管理する利用対象情報管理装置であって、暗号化された利用対象情報と利用時処理プログラムとによりデータ構成された持出しパッケージデータを前記組織内端末へ送信する持出しパッケージ送信手段と、前記持出しパッケージデータに格納された利用対象情報の利用時に、その持出しパッケージデータであって前記組織内端末から持出された持出しパッケージデータを記憶する前記組織外端末より、前記利用対象情報の利用環境を示す利用環境情報を受信する利用環境情報受信手段と、前記利用環境情報に基づく前記利用対象情報の利用可否の判定が利用可である場合には、前記組織外端末へ前記利用対象情報を復号する復号鍵を送信する利用可否判定手段と、を備えることを特徴とする利用対象情報管理装置である。
【0006】
また本発明は、利用者の属する組織に接続された組織内端末と、前記組織に属さない組織外端末とで利用される利用対象情報を管理する利用対象情報管理装置であって、暗号化された利用対象情報と利用時処理プログラムとによりデータ構成された持出しパッケージデータを前記組織内端末へ送信する持出しパッケージ送信手段と、前記持出しパッケージデータに格納された利用対象情報の利用開始時に、その持出しパッケージデータであって前記組織内端末から持出された持出しパッケージデータを記憶する前記組織外端末より、前記利用対象情報の利用条件を示す利用条件情報を受信する利用条件情報受信手段と、前記組織外端末より受信した利用条件情報に基づく前記利用対象情報の利用可否の判定が利用可である場合には、前記組織外端末へ前記利用対象情報を復号する復号鍵を送信する利用可否判定手段と、を備えることを特徴とする利用対象情報管理装置である。
【0007】
また本発明は、利用者の属する組織に接続された組織内端末と、前記組織に属さない組織外端末とで利用される利用対象情報を管理する利用対象情報管理装置であって、暗号化された利用対象情報と利用時処理プログラムとによりデータ構成された持出しパッケージデータを前記組織内端末へ送信する持出しパッケージ送信手段と、前記持出しパッケージデータに格納された利用対象情報に対する操作を示す操作情報を、前記組織内端末から持出された持出しパッケージデータを記憶する前記組織外端末より受信する操作情報受信手段と、前記操作情報と利用条件とを比較する前記利用対象情報の利用可否の判定において、前記操作情報が前記利用条件に合致しないと判定された場合には前記利用対象情報の利用を制限する利用可否判定手段と、を備えることを特徴とする利用対象情報管理装置である。
【0008】
また本発明は、上述の利用対象情報管理装置が、前記利用条件の変更を受け付けて変更処理を行う利用条件変更手段と、を備えることを特徴とする。
【0009】
また本発明は、上述の利用対象情報管理装置が、前記利用可否の判定時に、管理者の端末から送信される前記利用対象情報の利用可否のデータ入力を受け付ける利用可否受付手段と、当該利用可否受付手段が受け付けた情報に基づいて前記利用対象情報の利用可否を判定するリアルタイム利用可否判定手段と、を備えることを特徴とする。
【0010】
また本発明は、上述の利用対象情報管理装置が、前記利用可否判定手段は、前記利用対象情報の利用可否の判定が利用可である場合には、前記利用対象情報の管理者の秘密鍵を用いて前記復号鍵を暗号化し、さらに前記利用対象情報の利用者の公開鍵を用いて前記復号鍵を暗号化し、前記利用対象情報の管理者の公開鍵と前記利用対象情報の利用者の秘密鍵とを保持した前記組織外端末へ送信することを特徴とする。
【0011】
また本発明は、利用者の属する組織に接続された組織内端末と、前記組織に属さない組織外端末とで利用される利用対象情報を管理する利用対象情報管理装置の利用対象情報管理方法であって、前記利用対象情報管理装置の持出しパッケージ送信手段が、暗号化された利用対象情報と利用時処理プログラムとによりデータ構成された持出しパッケージデータを前記組織内端末へ送信し、前記利用対象情報管理装置の利用環境情報受信手段が、前記持出しパッケージデータに格納された利用対象情報の利用時に、その持出しパッケージデータであって前記組織内端末から持出された持出しパッケージデータを記憶する前記組織外端末より、前記利用対象情報の利用環境を示す利用環境情報を受信し、前記利用対象情報管理装置の利用可否判定手段が、前記利用環境情報に基づく前記利用対象情報の利用可否の判定が利用可である場合には、前記組織外端末へ前記利用対象情報を復号する復号鍵を送信することを特徴とする利用対象情報管理方法である。
【0012】
また本発明は、利用者の属する組織に接続された組織内端末と、前記組織に属さない組織外端末とで利用される利用対象情報を管理する利用対象情報管理装置のコンピュータに実行させるプログラムであって、暗号化された利用対象情報と利用時処理プログラムとによりデータ構成された持出しパッケージデータを前記組織内端末へ送信する持出しパッケージ送信処理と、前記持出しパッケージデータに格納された利用対象情報の利用時に、その持出しパッケージデータであって前記組織内端末から持出された持出しパッケージデータを記憶する前記組織外端末より、前記利用対象情報の利用環境を示す利用環境情報を受信する利用環境情報受信処理と、前記利用環境情報に基づく前記利用対象情報の利用可否の判定が利用可である場合には、前記組織外端末へ前記利用対象情報を復号する復号鍵を送信する利用可否判定処理と、をコンピュータに実行させるプログラムである。
【発明の効果】
【0013】
本発明によれば、管理者は自身の意思に基づいて、利用者が属する組織の外部で持出しデータが利用されている場合に、そのデータの利用制限をリアルタイムに行うことができる。また持出しデータが持ち出された時点におけるその持出しデータに対する利用条件の設定にとらわれず、持出された後にその情報の機密度が変化した場合にはそれに合わせて利用条件を変更することができるので、持出しデータに対するセキュリティを高めることができる。さらに、持出しデータの利用要求を受けた場合には、ファイル持出し管理サーバは持出しデータを復号するための鍵を管理者の秘密鍵でされに暗号化して利用者側の端末に送信するので、持出しデータを復号するための鍵がどの管理者の秘密鍵によって暗号化されたかを後々に確認すれば、持出しデータの利用を許可した管理者を特定することができる。これにより持出しデータが不正利用された際の管理責任の所在を、その持出しデータを復号するための鍵から明確にすることができる。
【0014】
また、本発明によれば、持出しパッケージデータを組織内端末に再度持ち込んだ際に、その持出しパッケージデータに格納された持ち出しデータをファイル持出し管理サーバ側で復号化し組織内端末へ返信するとともに、ファイル持出し管理サーバは組織内端末へ持出しパッケージデータの破棄を要求するので、組織内で持出しデータを利用する際には不要な持出しパッケージデータの破棄を自動的に行うことができ、また持出しデータを持出し前と同様の状況で利用することができる。
【発明を実施するための最良の形態】
【0015】
以下、本発明の一実施形態による利用対象情報管理システムを図面を参照して説明する。図1は同実施形態による利用対象情報管理システムの構成を示すブロック図である。この図において、符号1はファイル持出し管理サーバ(利用対象情報管理装置)である。また2は組織内端末である。また3は組織外端末である。また4は管理者端末である。ファイル持出し管理サーバ1は組織内LAN(Local Area Network)を介して組織内端末2と管理者端末4と接続されている。またファイル持出し管理サーバ1はインターネット等の外部ネットワークを介して組織外端末3と接続されている。ここで、組織内端末2は利用者の属する組織のネットワーク内に接続された端末であり、組織外端末3は利用者が属する組織のネットワーク以外のネットワークに接続された端末である。なお利用者の属する組織とは会社である場合や部署である場合、部署内のグループである場合など様々であるが、組織内・組織外は管理者が自由に設定することができるものとする。例えば会社内であっても利用者が通常利用する端末をその利用者の属する組織内の端末、その他の全ての端末を組織外の端末とするようにしてもよい。
【0016】
図2は利用対象情報管理システムに属する各装置の機能ブロック図である。
この図で示すように、ファイル持出し管理サーバ1には、他の端末と情報を送受信する通信装置101、サーバ内の各処理部を制御するCPU102、メインメモリ103、履歴管理部104、利用者認証部105、持出し承認,持出しパッケージ生成部106、ファイル持出し受付制御部107、ディスク装置108を備えている。なおディスク装置108にはユーザID−パスワード情報,利用条件情報,利用履歴情報,ユーザ秘密鍵・公開鍵情報が格納される。
【0017】
また組織内端末2は他の装置と情報を送受信する通信装置201、キーボードやマウスなどの情報入力装置202、CPU203、メインメモリ204、ディスプレイ205、メディア入出力装置206、ディスク装置207を備えている。なおディスク装置207には持出しパッケージデータや、利用者の秘密鍵などが記録されている。
【0018】
また組織外端末3は他の装置と情報を送受信する通信装置301、キーボードやマウスなどの情報入力装置302、CPU303、メインメモリ304、ディスプレイ305、メディア入力装置306、ディスク装置307を備えている。なおディスク装置307には持出しパッケージデータや利用者秘密鍵が格納される。
【0019】
また管理者端末4は、他の装置と情報を送受信する通信装置401、キーボードやマウスなどの情報入力装置402、CPU403、メインメモリ404、ディスプレイ405、ディスク装置406を備えている。
【0020】
次に、ファイル持出し管理サーバが記憶する情報について説明する。
図3はファイル持出し管理サーバが記憶するユーザID、パスワード情報のデータ例を示す図である。
図4はファイル持出し管理サーバが記憶する利用条件情報のデータ例を示す図である。
図5はファイル持出し管理サーバが記憶する利用履歴情報のデータ例を示す図である。
図6はファイル持出し管理サーバが記憶するユーザ秘密鍵、公開鍵情報のデータ例を示す図である。
ファイル持出し管理サーバ1のディスク装置108はユーザID、パスワード情報として、図3に示すように、ユーザID,アカウント名,パスワードを対応付けて記憶するとともに、さらにユーザの利用する端末のMACアドレス、メールアドレス、公開鍵情報を対応付けて記憶する。またファイル持出し管理サーバ1のディスク装置108は端末の利用環境を示す利用条件情報や操作情報として、図4で示すように、アクセス許可日時,アクセス種別・回数,MACアドレス,利用ネットワーク,利用アプリケーション,住所,電話番号などを対応付けて記憶する。
【0021】
またファイル持出し管理サーバ1のディスク装置108は利用履歴情報として、図5に示すように、利用日時、操作種別(閲覧など)、対象データ(持出しデータ)、ユーザID、MACアドレス、利用ネットワークなどの情報を対応付けて記憶する。またファイル持出し管理サーバ1のディスク装置108はユーザ秘密鍵、公開鍵情報として、図6に示すように、ユーザIDと秘密鍵、ユーザIDと公開鍵とを対応付けて記憶する。
【0022】
図7は利用対象情報管理システムにおける処理フローを示す第1の図である。
図8は利用対象情報管理システムにおける処理フローを示す第2の図である。
図9は利用対象情報管理システムにおける処理フローを示す第3の図である。
次に図7〜図9を用いて利用対象情報管理システムにおける処理フローを説明する。
まず、図7よりファイルを持出したいと希望するユーザは、組織内端末2に予め備えられているファイル持出しソフトを起動する(ステップS101)。そして持出しデータ(ドキュメントファイルなどの利用対象情報)の指定と持出条件を指定して(ステップS102)、持出し要求の指示を組織内端末2に入力することで、組織内端末2は持出要求情報と持出データとをファイル持出し管理サーバ1へ送信する(ステップS103)。するとファイル持出し管理サーバ1は持出要求情報と持出データとを管理者端末へ送信する(ステップS104)。管理者端末4においては、持出要求情報と持出データとを受信すると、その持出データの内容の確認を管理者より受けるために持出データの情報や持出要求を行っているユーザの情報(持出要求情報等に格納されている)を画面に表示する(ステップS105)。そして管理者が承認または否認の情報を管理者端末4に入力する。そして管理者端末4は判断結果(承認or否認)をファイル持出管理サーバ1へ通知する(ステップS106)。
【0023】
次にファイル持出し管理サーバ1は、判断結果の通知を受けるとその結果が承認OKかNG(否認)かを判断し(ステップS107)、NGであれば組織内端末2へ否認の情報を通知する。またOKであればファイル持出し管理サーバ1は、受信した持出しデータを共通鍵Aで暗号化して、持出情報を生成しその持出情報をディスク装置108に登録しておく(ステップS108)。またファイル持出し管理サーバ1は、暗号化した持出しデータと管理者の公開鍵等のデータへのアクセスの処理を端末上で処理するプログラムを含む持出しパッケージデータを生成し(ステップS109)、その持出しパッケージデータとともに持出し行為の承認の通知を示す承認通知情報を組織内端末2へ送信する(ステップS110)。
【0024】
そして、組織内端末2は持出しパッケージデータと承認通知情報を受信すると、承認された旨の情報を画面に表示する。するとユーザは組織内端末2を操作して持ち出しパッケージデータを持出し用メディア(CD−ROMやUSBメモリ)へ保存する(ステップS111)。これによりユーザは持出しパッケージデータを外部に持出すことができる。
【0025】
次に、持出しデータの組織外端末における利用時の処理について説明する。
図8より、ユーザはUSBメモリやCD−ROMなどに格納して持出した持出しパッケージデータ中の持出しデータを利用する際には、まず、組織外端末3に持出しパッケージデータをコピーし、持出しパッケージデータに格納されているプログラムを実行する。すると組織外端末3において持出しパッケージデータに格納されているプログラムが起動する(ステップS201)。以降の組織外端末3における処理はこのプログラムによるものである。そして、利用者は組織外端末3へユーザ認証情報(ユーザIDやアカウント名やパスワード)を入力する(ステップS202)。すると組織外端末3は認証情報(ユーザIDやアカウント名やパスワード)と利用環境情報(利用場所など)、利用要求を示す利用要求情報をセキュリティの高いSSL(Secure Socket Layer)通信などで送信する。ファイル持出し管理サーバ1は、認証情報、利用条件の情報としての利用環境情報、利用要求情報を受信するとそれらの情報を管理者端末4へ転送する(ステップS203)。
【0026】
次に管理者端末4では実際の利用時の利用環境を管理者がチェックしその承認を入力する。そして管理者端末は承認OKまたはNGのどちらを入力したかを判断し(ステップS204)、NGである場合には組織内端末2へその旨を通知する。また承認OKである場合には利用承認許可情報をファイル持出し管理サーバ1へ送信する(ステップS205)。ファイル持出し管理サーバ1は利用承認許可情報を受信すると、その利用承認許可情報によって、管理者が利用を承認したことを検出するための利用可否判定を行い、その後、共通鍵Aを管理者の秘密鍵で暗号化する(ステップS206)。そして、管理者の秘密鍵で暗号化した共通鍵Aを、更に利用者の公開鍵で暗号化し、組織外端末3へ送信する(ステップS207)。ここでステップS206における管理者の秘密鍵による共通鍵Aの暗号化(1回目の暗号化)は、管理者がこの共通鍵の組織外端末3への送信を許可したことを後に検出できるようにするための処理である。また管理者の秘密鍵によって暗号化された共通鍵Aをさらに利用者の公開鍵で暗号化する処理(2回目の暗号化)は、セキュリティを保つために行う通常の暗号化を意味している。
【0027】
次に組織外端末3は受信した共通鍵A(二重に暗号化された共通鍵A)を利用者の秘密鍵で復号化し、さらに管理者の公開鍵で復号化して共通鍵Aを取り出す(ステップS208)。そして利用者は共通鍵Aを利用して、持出しパッケージデータに格納されたプログラムが持出しデータを復号化する。これにより利用者が持出しデータを利用(閲覧、編集)する。ここで持出しパッケージデータに格納されているプログラムの処理として、利用者が閲覧、編集等した持出しデータに対する操作を監視して(ステップS209)、その監視した結果を示す利用情報をSSL通信で持出しファイル管理サーバ1へ送信する。ここで、利用情報のファイル持出し管理サーバ1への送信は、定期的、または利用者による持出しデータの利用(閲覧、編集、コピー、印刷など)を検出した際など、予め決められたタイミングで随時行われる。
【0028】
利用情報としては、図4で示した利用条件情報の中のアクセス種別,回数のように、閲覧の回数、編集の回数、コピー回数、印刷回数など(操作情報)である。そして持出しファイル管理サーバ1は、利用情報で示される情報を利用履歴としてディスク装置に登録するとともに、利用情報で示される利用条件が、ディスク装置で記憶している利用条件に一致するか否かのチェックを、利用情報を受信する度に行う(ステップS210)。そして利用条件に一致していなければ、持出しデータの利用を制限する情報を組織外端末3へ送信するようにしてもよい。また管理者端末4を操作する管理者が利用条件に一致するか否かのチェックを行いその利用可否をデータ入力し、そのデータ入力に基づく利用可否の判定を行った後、利用を制限する情報を組織外端末3へ送信するようにしてもよい。なお、管理者は管理者端末4を操作して、ファイル持出し管理サーバ1の利用要件を随時変更することができる。この時、管理者端末4はファイル持出し管理サーバ1へ変更内容を示す情報を格納した変更要求を送信し、ファイル持出し管理サーバ1がその変更要求に基づいて利用条件を変更する。または管理者のデータ破棄の指示に基づいて管理者端末4がデータ破棄要求を送信し、ファイル持出し管理サーバ1がその破棄要求を組織外端末3へ送信し、組織外端末3が持出しデータを破棄する処理を行うようにしてもよい。利用者が持出しファイルを利用している最中に、何らかの理由により利用を制限したい場合には、管理者はその制限を直ちに行うことができる。
【0029】
そして、利用者が組織外端末3に操作終了を指示すると、組織外端末3は上書き保存要求と持出しデータとをSSL通信により持出しファイル管理サーバ1へ送信する(ステップS211)。すると、ファイル持出し管理サーバ1は、共通鍵Bを用いて編集された持出しデータを暗号化し、上書き(編集の処理)の情報を履歴情報として登録する(ステップS212)。そして暗号化した持出しデータと管理者の公開鍵とを格納した持出しパッケージデータを生成し(ステップS213)、その持出しパッケージデータと持出し行為の承認を示す承認通知情報と組織外端末3へ送信する(ステップS214)。そして、組織外端末3は新たに受信した持出しパッケージデータを持出し用メディアに保存する(ステップS215)。なおステップS203の処理において、ファイル持出し管理サーバ1は、認証情報、利用環境情報、利用要求情報を受信すると、それらの情報を、複数の管理者端末4のうち、利用者が利用する持出しデータに応じた管理者端末4へ転送するようにしてもよい。
【0030】
上述の処理によれば、管理者は自身の意思に基づいて、利用者が属する組織の外部で持出しデータが利用されている場合に、そのデータの利用制限をリアルタイムに行うことができる。また持出しデータが持ち出された時点におけるその持出しデータに対する利用条件の設定にとらわれず、持出された後にその情報の機密度が変化した場合にはそれに合わせて利用条件を変更することができるので、持出しデータに対するセキュリティを高めることができる。さらに、持出しデータの利用要求を受けた場合には、ファイル持出し管理サーバ1は持出しデータを復号するための鍵を管理者の秘密鍵でされに暗号化して利用者側の端末に送信するので、持出しデータを復号するための鍵がどの管理者の秘密鍵によって暗号化されたかを後々に確認すれば、持出しデータの利用を許可した管理者を特定することができる。これにより持出しデータが不正利用された際の管理責任の所在を、その持出しデータを復号するために鍵から明確にすることができる。
【0031】
次に、持出しデータを組織内へ持ち帰った際の処理について説明する。
利用者は外部へ持出した持出しパッケージデータをUSBメモリ等の持出し用メディアから組織内端末2へ再度データ移動させたとする。組織内端末2においては持出しデータを持出しパッケージデータ内に格納しておく必要がないため、以下の処理を行う。図9より、まず利用者がファイル持出しソフトを起動する(ステップS301)。すると組織内端末2はファイル持出し管理サーバ1へアクセスする。そして組織内端末2はユーザ認証情報の入力を利用者から受け付けて、認証情報と利用要求情報をファイル持出し管理サーバ1へ送信する(ステップS302)。ファイル持出し管理サーバ1は受信した認証情報を用いて認証を行い、認証結果がOKかNGかを判定する(ステップS303)。そして、NGの場合にはその旨を組織内端末2へ送信する。また認証結果がOKである場合には、ファイル持出し管理サーバ1は認証結果OKを組織内端末2へ送信する。すると組織内端末2は持出しパッケージデータをファイル持出し管理サーバ1へ送信する(ステップS304)。そして、ファイル持出し管理サーバ1は持出しパッケージデータに格納されている持出しデータを共通鍵Bで復号化する(ステップS305)。またファイル持出し管理サーバ1は復号化した持出しデータと持出しパッケージデータの破棄要求とを組織内端末2へ返信する(ステップS306)。組織内端末2は、復号された持出しデータと持出しパッケージデータの破棄要求とを受信すると、その持出しデータをディスク装置209へ保存し(ステップS307)、持出しパッケージデータを破棄する(ステップS308)。そしてユーザの操作に基づいてファイル持出しソフトを終了させる。
【0032】
上述の持出しデータを組織内へ持ち帰った際の上記処理によれば、持出しパッケージデータを組織内端末に再度持ち込んだ際に、その持出しパッケージデータに格納された持ち出しデータをファイル持出し管理サーバ1側で復号化し組織内端末2へ返信するとともに、ファイル持出し管理サーバ1は組織内端末2へ持出しパッケージデータの破棄を要求するので、組織内で持出しデータを利用する際には不要な持出しパッケージデータの破棄を自動的に行うことができ、また持出しデータを持出し前と同様の状況で利用することができるようになる。
【0033】
なお、上述の各装置は内部に、コンピュータシステムを有している。そして、上述した処理の過程は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータが読み出して実行することによって、上記処理が行われる。ここでコンピュータ読み取り可能な記録媒体とは、磁気ディスク、光磁気ディスク、CD−ROM、DVD−ROM、半導体メモリ等をいう。また、このコンピュータプログラムを通信回線によってコンピュータに配信し、この配信を受けたコンピュータが当該プログラムを実行するようにしても良い。
【0034】
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【図面の簡単な説明】
【0035】
【図1】利用対象情報管理システムの構成を示すブロック図である。
【図2】利用対象情報管理システムに属する各装置の機能ブロック図である。
【図3】ユーザID、パスワード情報のデータ例を示す図である。
【図4】利用条件情報のデータ例を示す図である。
【図5】利用履歴情報のデータ例を示す図である。
【図6】ユーザ秘密鍵、公開鍵情報のデータ例を示す図である。
【図7】利用対象情報管理システムにおける処理フローを示す第1の図である。
【図8】利用対象情報管理システムにおける処理フローを示す第2の図である。
【図9】利用対象情報管理システムにおける処理フローを示す第3の図である。
【符号の説明】
【0036】
1・・・ファイル持出し管理サーバ
2・・・組織内端末
3・・・組織外端末
4・・・管理者端末
【技術分野】
【0001】
本発明は、利用者の属する組織に接続された組織内端末と、前記組織に属さない組織外端末とで利用される利用対象情報を管理する利用対象情報管理装置及び利用対象情報管理方法ならびにそのプログラムに関する。
【背景技術】
【0002】
従来、組織外部に持出されるファイルの改竄・漏洩の防止に関する技術や、利用条件に基づいてファイルの利用制限を行う技術が特許文献1〜特許文献4に公開されている。また秘密鍵や公開鍵等を用いてファイルを暗号化して他の装置へ送信する技術が特許文献5に公開されている。ここで、特許文献1は、利用者が既存アプリケーションで作成された機密情報ファイルを、組織外部に持出して追加編集作業を行うことができるが、一旦格納された機密情報はファイル内部に閉じ第三者に漏洩されることを防ぐことができる既存アプリケーションの機密情報ファイル保護システムに関する技術であるが、改竄防止とはことなる技術である。また特許文献2は、
【特許文献1】特開2006−139475号公報
【特許文献2】特開2004−302835号公報
【特許文献3】特開2007−4616号公報
【特許文献4】特開2007−18235号公報
【特許文献5】特開平9−305661号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
しかしながら、上述の技術では、ファイルなどのデータが組織外部に持出された後に、その持出されたデータの利用条件のリアルタイムな変更を、そのデータの利用時に即時に適用することができなかった。また持出されたデータの利用の管理責任の所在がどこにあるのかを明確にすることができなかった。さらにデータを持出す者を管理する管理責任者がその責任の否認を不可能とする承認処理を行うことができなかった。
【0004】
そこでこの発明は、持出されたデータの利用条件のリアルタイムな変更を、そのデータの利用時に即時に適用することができるとともに、持出されたデータの利用の管理責任の所在を迅速に特定することのでき、さらにデータを持出す者を管理する管理責任者がその責任の否認を不可能とする承認処理を行うことができる利用対象情報管理装置及び利用対象情報管理方法ならびにそのプログラムを提供することを目的としている。
【課題を解決するための手段】
【0005】
上記目的を達成するために、本発明は、利用者の属する組織に接続された組織内端末と、前記組織に属さない組織外端末とで利用される利用対象情報を管理する利用対象情報管理装置であって、暗号化された利用対象情報と利用時処理プログラムとによりデータ構成された持出しパッケージデータを前記組織内端末へ送信する持出しパッケージ送信手段と、前記持出しパッケージデータに格納された利用対象情報の利用時に、その持出しパッケージデータであって前記組織内端末から持出された持出しパッケージデータを記憶する前記組織外端末より、前記利用対象情報の利用環境を示す利用環境情報を受信する利用環境情報受信手段と、前記利用環境情報に基づく前記利用対象情報の利用可否の判定が利用可である場合には、前記組織外端末へ前記利用対象情報を復号する復号鍵を送信する利用可否判定手段と、を備えることを特徴とする利用対象情報管理装置である。
【0006】
また本発明は、利用者の属する組織に接続された組織内端末と、前記組織に属さない組織外端末とで利用される利用対象情報を管理する利用対象情報管理装置であって、暗号化された利用対象情報と利用時処理プログラムとによりデータ構成された持出しパッケージデータを前記組織内端末へ送信する持出しパッケージ送信手段と、前記持出しパッケージデータに格納された利用対象情報の利用開始時に、その持出しパッケージデータであって前記組織内端末から持出された持出しパッケージデータを記憶する前記組織外端末より、前記利用対象情報の利用条件を示す利用条件情報を受信する利用条件情報受信手段と、前記組織外端末より受信した利用条件情報に基づく前記利用対象情報の利用可否の判定が利用可である場合には、前記組織外端末へ前記利用対象情報を復号する復号鍵を送信する利用可否判定手段と、を備えることを特徴とする利用対象情報管理装置である。
【0007】
また本発明は、利用者の属する組織に接続された組織内端末と、前記組織に属さない組織外端末とで利用される利用対象情報を管理する利用対象情報管理装置であって、暗号化された利用対象情報と利用時処理プログラムとによりデータ構成された持出しパッケージデータを前記組織内端末へ送信する持出しパッケージ送信手段と、前記持出しパッケージデータに格納された利用対象情報に対する操作を示す操作情報を、前記組織内端末から持出された持出しパッケージデータを記憶する前記組織外端末より受信する操作情報受信手段と、前記操作情報と利用条件とを比較する前記利用対象情報の利用可否の判定において、前記操作情報が前記利用条件に合致しないと判定された場合には前記利用対象情報の利用を制限する利用可否判定手段と、を備えることを特徴とする利用対象情報管理装置である。
【0008】
また本発明は、上述の利用対象情報管理装置が、前記利用条件の変更を受け付けて変更処理を行う利用条件変更手段と、を備えることを特徴とする。
【0009】
また本発明は、上述の利用対象情報管理装置が、前記利用可否の判定時に、管理者の端末から送信される前記利用対象情報の利用可否のデータ入力を受け付ける利用可否受付手段と、当該利用可否受付手段が受け付けた情報に基づいて前記利用対象情報の利用可否を判定するリアルタイム利用可否判定手段と、を備えることを特徴とする。
【0010】
また本発明は、上述の利用対象情報管理装置が、前記利用可否判定手段は、前記利用対象情報の利用可否の判定が利用可である場合には、前記利用対象情報の管理者の秘密鍵を用いて前記復号鍵を暗号化し、さらに前記利用対象情報の利用者の公開鍵を用いて前記復号鍵を暗号化し、前記利用対象情報の管理者の公開鍵と前記利用対象情報の利用者の秘密鍵とを保持した前記組織外端末へ送信することを特徴とする。
【0011】
また本発明は、利用者の属する組織に接続された組織内端末と、前記組織に属さない組織外端末とで利用される利用対象情報を管理する利用対象情報管理装置の利用対象情報管理方法であって、前記利用対象情報管理装置の持出しパッケージ送信手段が、暗号化された利用対象情報と利用時処理プログラムとによりデータ構成された持出しパッケージデータを前記組織内端末へ送信し、前記利用対象情報管理装置の利用環境情報受信手段が、前記持出しパッケージデータに格納された利用対象情報の利用時に、その持出しパッケージデータであって前記組織内端末から持出された持出しパッケージデータを記憶する前記組織外端末より、前記利用対象情報の利用環境を示す利用環境情報を受信し、前記利用対象情報管理装置の利用可否判定手段が、前記利用環境情報に基づく前記利用対象情報の利用可否の判定が利用可である場合には、前記組織外端末へ前記利用対象情報を復号する復号鍵を送信することを特徴とする利用対象情報管理方法である。
【0012】
また本発明は、利用者の属する組織に接続された組織内端末と、前記組織に属さない組織外端末とで利用される利用対象情報を管理する利用対象情報管理装置のコンピュータに実行させるプログラムであって、暗号化された利用対象情報と利用時処理プログラムとによりデータ構成された持出しパッケージデータを前記組織内端末へ送信する持出しパッケージ送信処理と、前記持出しパッケージデータに格納された利用対象情報の利用時に、その持出しパッケージデータであって前記組織内端末から持出された持出しパッケージデータを記憶する前記組織外端末より、前記利用対象情報の利用環境を示す利用環境情報を受信する利用環境情報受信処理と、前記利用環境情報に基づく前記利用対象情報の利用可否の判定が利用可である場合には、前記組織外端末へ前記利用対象情報を復号する復号鍵を送信する利用可否判定処理と、をコンピュータに実行させるプログラムである。
【発明の効果】
【0013】
本発明によれば、管理者は自身の意思に基づいて、利用者が属する組織の外部で持出しデータが利用されている場合に、そのデータの利用制限をリアルタイムに行うことができる。また持出しデータが持ち出された時点におけるその持出しデータに対する利用条件の設定にとらわれず、持出された後にその情報の機密度が変化した場合にはそれに合わせて利用条件を変更することができるので、持出しデータに対するセキュリティを高めることができる。さらに、持出しデータの利用要求を受けた場合には、ファイル持出し管理サーバは持出しデータを復号するための鍵を管理者の秘密鍵でされに暗号化して利用者側の端末に送信するので、持出しデータを復号するための鍵がどの管理者の秘密鍵によって暗号化されたかを後々に確認すれば、持出しデータの利用を許可した管理者を特定することができる。これにより持出しデータが不正利用された際の管理責任の所在を、その持出しデータを復号するための鍵から明確にすることができる。
【0014】
また、本発明によれば、持出しパッケージデータを組織内端末に再度持ち込んだ際に、その持出しパッケージデータに格納された持ち出しデータをファイル持出し管理サーバ側で復号化し組織内端末へ返信するとともに、ファイル持出し管理サーバは組織内端末へ持出しパッケージデータの破棄を要求するので、組織内で持出しデータを利用する際には不要な持出しパッケージデータの破棄を自動的に行うことができ、また持出しデータを持出し前と同様の状況で利用することができる。
【発明を実施するための最良の形態】
【0015】
以下、本発明の一実施形態による利用対象情報管理システムを図面を参照して説明する。図1は同実施形態による利用対象情報管理システムの構成を示すブロック図である。この図において、符号1はファイル持出し管理サーバ(利用対象情報管理装置)である。また2は組織内端末である。また3は組織外端末である。また4は管理者端末である。ファイル持出し管理サーバ1は組織内LAN(Local Area Network)を介して組織内端末2と管理者端末4と接続されている。またファイル持出し管理サーバ1はインターネット等の外部ネットワークを介して組織外端末3と接続されている。ここで、組織内端末2は利用者の属する組織のネットワーク内に接続された端末であり、組織外端末3は利用者が属する組織のネットワーク以外のネットワークに接続された端末である。なお利用者の属する組織とは会社である場合や部署である場合、部署内のグループである場合など様々であるが、組織内・組織外は管理者が自由に設定することができるものとする。例えば会社内であっても利用者が通常利用する端末をその利用者の属する組織内の端末、その他の全ての端末を組織外の端末とするようにしてもよい。
【0016】
図2は利用対象情報管理システムに属する各装置の機能ブロック図である。
この図で示すように、ファイル持出し管理サーバ1には、他の端末と情報を送受信する通信装置101、サーバ内の各処理部を制御するCPU102、メインメモリ103、履歴管理部104、利用者認証部105、持出し承認,持出しパッケージ生成部106、ファイル持出し受付制御部107、ディスク装置108を備えている。なおディスク装置108にはユーザID−パスワード情報,利用条件情報,利用履歴情報,ユーザ秘密鍵・公開鍵情報が格納される。
【0017】
また組織内端末2は他の装置と情報を送受信する通信装置201、キーボードやマウスなどの情報入力装置202、CPU203、メインメモリ204、ディスプレイ205、メディア入出力装置206、ディスク装置207を備えている。なおディスク装置207には持出しパッケージデータや、利用者の秘密鍵などが記録されている。
【0018】
また組織外端末3は他の装置と情報を送受信する通信装置301、キーボードやマウスなどの情報入力装置302、CPU303、メインメモリ304、ディスプレイ305、メディア入力装置306、ディスク装置307を備えている。なおディスク装置307には持出しパッケージデータや利用者秘密鍵が格納される。
【0019】
また管理者端末4は、他の装置と情報を送受信する通信装置401、キーボードやマウスなどの情報入力装置402、CPU403、メインメモリ404、ディスプレイ405、ディスク装置406を備えている。
【0020】
次に、ファイル持出し管理サーバが記憶する情報について説明する。
図3はファイル持出し管理サーバが記憶するユーザID、パスワード情報のデータ例を示す図である。
図4はファイル持出し管理サーバが記憶する利用条件情報のデータ例を示す図である。
図5はファイル持出し管理サーバが記憶する利用履歴情報のデータ例を示す図である。
図6はファイル持出し管理サーバが記憶するユーザ秘密鍵、公開鍵情報のデータ例を示す図である。
ファイル持出し管理サーバ1のディスク装置108はユーザID、パスワード情報として、図3に示すように、ユーザID,アカウント名,パスワードを対応付けて記憶するとともに、さらにユーザの利用する端末のMACアドレス、メールアドレス、公開鍵情報を対応付けて記憶する。またファイル持出し管理サーバ1のディスク装置108は端末の利用環境を示す利用条件情報や操作情報として、図4で示すように、アクセス許可日時,アクセス種別・回数,MACアドレス,利用ネットワーク,利用アプリケーション,住所,電話番号などを対応付けて記憶する。
【0021】
またファイル持出し管理サーバ1のディスク装置108は利用履歴情報として、図5に示すように、利用日時、操作種別(閲覧など)、対象データ(持出しデータ)、ユーザID、MACアドレス、利用ネットワークなどの情報を対応付けて記憶する。またファイル持出し管理サーバ1のディスク装置108はユーザ秘密鍵、公開鍵情報として、図6に示すように、ユーザIDと秘密鍵、ユーザIDと公開鍵とを対応付けて記憶する。
【0022】
図7は利用対象情報管理システムにおける処理フローを示す第1の図である。
図8は利用対象情報管理システムにおける処理フローを示す第2の図である。
図9は利用対象情報管理システムにおける処理フローを示す第3の図である。
次に図7〜図9を用いて利用対象情報管理システムにおける処理フローを説明する。
まず、図7よりファイルを持出したいと希望するユーザは、組織内端末2に予め備えられているファイル持出しソフトを起動する(ステップS101)。そして持出しデータ(ドキュメントファイルなどの利用対象情報)の指定と持出条件を指定して(ステップS102)、持出し要求の指示を組織内端末2に入力することで、組織内端末2は持出要求情報と持出データとをファイル持出し管理サーバ1へ送信する(ステップS103)。するとファイル持出し管理サーバ1は持出要求情報と持出データとを管理者端末へ送信する(ステップS104)。管理者端末4においては、持出要求情報と持出データとを受信すると、その持出データの内容の確認を管理者より受けるために持出データの情報や持出要求を行っているユーザの情報(持出要求情報等に格納されている)を画面に表示する(ステップS105)。そして管理者が承認または否認の情報を管理者端末4に入力する。そして管理者端末4は判断結果(承認or否認)をファイル持出管理サーバ1へ通知する(ステップS106)。
【0023】
次にファイル持出し管理サーバ1は、判断結果の通知を受けるとその結果が承認OKかNG(否認)かを判断し(ステップS107)、NGであれば組織内端末2へ否認の情報を通知する。またOKであればファイル持出し管理サーバ1は、受信した持出しデータを共通鍵Aで暗号化して、持出情報を生成しその持出情報をディスク装置108に登録しておく(ステップS108)。またファイル持出し管理サーバ1は、暗号化した持出しデータと管理者の公開鍵等のデータへのアクセスの処理を端末上で処理するプログラムを含む持出しパッケージデータを生成し(ステップS109)、その持出しパッケージデータとともに持出し行為の承認の通知を示す承認通知情報を組織内端末2へ送信する(ステップS110)。
【0024】
そして、組織内端末2は持出しパッケージデータと承認通知情報を受信すると、承認された旨の情報を画面に表示する。するとユーザは組織内端末2を操作して持ち出しパッケージデータを持出し用メディア(CD−ROMやUSBメモリ)へ保存する(ステップS111)。これによりユーザは持出しパッケージデータを外部に持出すことができる。
【0025】
次に、持出しデータの組織外端末における利用時の処理について説明する。
図8より、ユーザはUSBメモリやCD−ROMなどに格納して持出した持出しパッケージデータ中の持出しデータを利用する際には、まず、組織外端末3に持出しパッケージデータをコピーし、持出しパッケージデータに格納されているプログラムを実行する。すると組織外端末3において持出しパッケージデータに格納されているプログラムが起動する(ステップS201)。以降の組織外端末3における処理はこのプログラムによるものである。そして、利用者は組織外端末3へユーザ認証情報(ユーザIDやアカウント名やパスワード)を入力する(ステップS202)。すると組織外端末3は認証情報(ユーザIDやアカウント名やパスワード)と利用環境情報(利用場所など)、利用要求を示す利用要求情報をセキュリティの高いSSL(Secure Socket Layer)通信などで送信する。ファイル持出し管理サーバ1は、認証情報、利用条件の情報としての利用環境情報、利用要求情報を受信するとそれらの情報を管理者端末4へ転送する(ステップS203)。
【0026】
次に管理者端末4では実際の利用時の利用環境を管理者がチェックしその承認を入力する。そして管理者端末は承認OKまたはNGのどちらを入力したかを判断し(ステップS204)、NGである場合には組織内端末2へその旨を通知する。また承認OKである場合には利用承認許可情報をファイル持出し管理サーバ1へ送信する(ステップS205)。ファイル持出し管理サーバ1は利用承認許可情報を受信すると、その利用承認許可情報によって、管理者が利用を承認したことを検出するための利用可否判定を行い、その後、共通鍵Aを管理者の秘密鍵で暗号化する(ステップS206)。そして、管理者の秘密鍵で暗号化した共通鍵Aを、更に利用者の公開鍵で暗号化し、組織外端末3へ送信する(ステップS207)。ここでステップS206における管理者の秘密鍵による共通鍵Aの暗号化(1回目の暗号化)は、管理者がこの共通鍵の組織外端末3への送信を許可したことを後に検出できるようにするための処理である。また管理者の秘密鍵によって暗号化された共通鍵Aをさらに利用者の公開鍵で暗号化する処理(2回目の暗号化)は、セキュリティを保つために行う通常の暗号化を意味している。
【0027】
次に組織外端末3は受信した共通鍵A(二重に暗号化された共通鍵A)を利用者の秘密鍵で復号化し、さらに管理者の公開鍵で復号化して共通鍵Aを取り出す(ステップS208)。そして利用者は共通鍵Aを利用して、持出しパッケージデータに格納されたプログラムが持出しデータを復号化する。これにより利用者が持出しデータを利用(閲覧、編集)する。ここで持出しパッケージデータに格納されているプログラムの処理として、利用者が閲覧、編集等した持出しデータに対する操作を監視して(ステップS209)、その監視した結果を示す利用情報をSSL通信で持出しファイル管理サーバ1へ送信する。ここで、利用情報のファイル持出し管理サーバ1への送信は、定期的、または利用者による持出しデータの利用(閲覧、編集、コピー、印刷など)を検出した際など、予め決められたタイミングで随時行われる。
【0028】
利用情報としては、図4で示した利用条件情報の中のアクセス種別,回数のように、閲覧の回数、編集の回数、コピー回数、印刷回数など(操作情報)である。そして持出しファイル管理サーバ1は、利用情報で示される情報を利用履歴としてディスク装置に登録するとともに、利用情報で示される利用条件が、ディスク装置で記憶している利用条件に一致するか否かのチェックを、利用情報を受信する度に行う(ステップS210)。そして利用条件に一致していなければ、持出しデータの利用を制限する情報を組織外端末3へ送信するようにしてもよい。また管理者端末4を操作する管理者が利用条件に一致するか否かのチェックを行いその利用可否をデータ入力し、そのデータ入力に基づく利用可否の判定を行った後、利用を制限する情報を組織外端末3へ送信するようにしてもよい。なお、管理者は管理者端末4を操作して、ファイル持出し管理サーバ1の利用要件を随時変更することができる。この時、管理者端末4はファイル持出し管理サーバ1へ変更内容を示す情報を格納した変更要求を送信し、ファイル持出し管理サーバ1がその変更要求に基づいて利用条件を変更する。または管理者のデータ破棄の指示に基づいて管理者端末4がデータ破棄要求を送信し、ファイル持出し管理サーバ1がその破棄要求を組織外端末3へ送信し、組織外端末3が持出しデータを破棄する処理を行うようにしてもよい。利用者が持出しファイルを利用している最中に、何らかの理由により利用を制限したい場合には、管理者はその制限を直ちに行うことができる。
【0029】
そして、利用者が組織外端末3に操作終了を指示すると、組織外端末3は上書き保存要求と持出しデータとをSSL通信により持出しファイル管理サーバ1へ送信する(ステップS211)。すると、ファイル持出し管理サーバ1は、共通鍵Bを用いて編集された持出しデータを暗号化し、上書き(編集の処理)の情報を履歴情報として登録する(ステップS212)。そして暗号化した持出しデータと管理者の公開鍵とを格納した持出しパッケージデータを生成し(ステップS213)、その持出しパッケージデータと持出し行為の承認を示す承認通知情報と組織外端末3へ送信する(ステップS214)。そして、組織外端末3は新たに受信した持出しパッケージデータを持出し用メディアに保存する(ステップS215)。なおステップS203の処理において、ファイル持出し管理サーバ1は、認証情報、利用環境情報、利用要求情報を受信すると、それらの情報を、複数の管理者端末4のうち、利用者が利用する持出しデータに応じた管理者端末4へ転送するようにしてもよい。
【0030】
上述の処理によれば、管理者は自身の意思に基づいて、利用者が属する組織の外部で持出しデータが利用されている場合に、そのデータの利用制限をリアルタイムに行うことができる。また持出しデータが持ち出された時点におけるその持出しデータに対する利用条件の設定にとらわれず、持出された後にその情報の機密度が変化した場合にはそれに合わせて利用条件を変更することができるので、持出しデータに対するセキュリティを高めることができる。さらに、持出しデータの利用要求を受けた場合には、ファイル持出し管理サーバ1は持出しデータを復号するための鍵を管理者の秘密鍵でされに暗号化して利用者側の端末に送信するので、持出しデータを復号するための鍵がどの管理者の秘密鍵によって暗号化されたかを後々に確認すれば、持出しデータの利用を許可した管理者を特定することができる。これにより持出しデータが不正利用された際の管理責任の所在を、その持出しデータを復号するために鍵から明確にすることができる。
【0031】
次に、持出しデータを組織内へ持ち帰った際の処理について説明する。
利用者は外部へ持出した持出しパッケージデータをUSBメモリ等の持出し用メディアから組織内端末2へ再度データ移動させたとする。組織内端末2においては持出しデータを持出しパッケージデータ内に格納しておく必要がないため、以下の処理を行う。図9より、まず利用者がファイル持出しソフトを起動する(ステップS301)。すると組織内端末2はファイル持出し管理サーバ1へアクセスする。そして組織内端末2はユーザ認証情報の入力を利用者から受け付けて、認証情報と利用要求情報をファイル持出し管理サーバ1へ送信する(ステップS302)。ファイル持出し管理サーバ1は受信した認証情報を用いて認証を行い、認証結果がOKかNGかを判定する(ステップS303)。そして、NGの場合にはその旨を組織内端末2へ送信する。また認証結果がOKである場合には、ファイル持出し管理サーバ1は認証結果OKを組織内端末2へ送信する。すると組織内端末2は持出しパッケージデータをファイル持出し管理サーバ1へ送信する(ステップS304)。そして、ファイル持出し管理サーバ1は持出しパッケージデータに格納されている持出しデータを共通鍵Bで復号化する(ステップS305)。またファイル持出し管理サーバ1は復号化した持出しデータと持出しパッケージデータの破棄要求とを組織内端末2へ返信する(ステップS306)。組織内端末2は、復号された持出しデータと持出しパッケージデータの破棄要求とを受信すると、その持出しデータをディスク装置209へ保存し(ステップS307)、持出しパッケージデータを破棄する(ステップS308)。そしてユーザの操作に基づいてファイル持出しソフトを終了させる。
【0032】
上述の持出しデータを組織内へ持ち帰った際の上記処理によれば、持出しパッケージデータを組織内端末に再度持ち込んだ際に、その持出しパッケージデータに格納された持ち出しデータをファイル持出し管理サーバ1側で復号化し組織内端末2へ返信するとともに、ファイル持出し管理サーバ1は組織内端末2へ持出しパッケージデータの破棄を要求するので、組織内で持出しデータを利用する際には不要な持出しパッケージデータの破棄を自動的に行うことができ、また持出しデータを持出し前と同様の状況で利用することができるようになる。
【0033】
なお、上述の各装置は内部に、コンピュータシステムを有している。そして、上述した処理の過程は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータが読み出して実行することによって、上記処理が行われる。ここでコンピュータ読み取り可能な記録媒体とは、磁気ディスク、光磁気ディスク、CD−ROM、DVD−ROM、半導体メモリ等をいう。また、このコンピュータプログラムを通信回線によってコンピュータに配信し、この配信を受けたコンピュータが当該プログラムを実行するようにしても良い。
【0034】
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【図面の簡単な説明】
【0035】
【図1】利用対象情報管理システムの構成を示すブロック図である。
【図2】利用対象情報管理システムに属する各装置の機能ブロック図である。
【図3】ユーザID、パスワード情報のデータ例を示す図である。
【図4】利用条件情報のデータ例を示す図である。
【図5】利用履歴情報のデータ例を示す図である。
【図6】ユーザ秘密鍵、公開鍵情報のデータ例を示す図である。
【図7】利用対象情報管理システムにおける処理フローを示す第1の図である。
【図8】利用対象情報管理システムにおける処理フローを示す第2の図である。
【図9】利用対象情報管理システムにおける処理フローを示す第3の図である。
【符号の説明】
【0036】
1・・・ファイル持出し管理サーバ
2・・・組織内端末
3・・・組織外端末
4・・・管理者端末
【特許請求の範囲】
【請求項1】
利用者の属する組織に接続された組織内端末と、前記組織に属さない組織外端末とで利用される利用対象情報を管理する利用対象情報管理装置であって、
暗号化された利用対象情報と利用時処理プログラムとによりデータ構成された持出しパッケージデータを前記組織内端末へ送信する持出しパッケージ送信手段と、
前記持出しパッケージデータに格納された利用対象情報の利用時に、その持出しパッケージデータであって前記組織内端末から持出された持出しパッケージデータを記憶する前記組織外端末より、前記利用対象情報の利用環境を示す利用環境情報を受信する利用環境情報受信手段と、
前記利用環境情報に基づく前記利用対象情報の利用可否の判定が利用可である場合には、前記組織外端末へ前記利用対象情報を復号する復号鍵を送信する利用可否判定手段と、
を備えることを特徴とする利用対象情報管理装置。
【請求項2】
利用者の属する組織に接続された組織内端末と、前記組織に属さない組織外端末とで利用される利用対象情報を管理する利用対象情報管理装置であって、
暗号化された利用対象情報と利用時処理プログラムとによりデータ構成された持出しパッケージデータを前記組織内端末へ送信する持出しパッケージ送信手段と、
前記持出しパッケージデータに格納された利用対象情報の利用開始時に、その持出しパッケージデータであって前記組織内端末から持出された持出しパッケージデータを記憶する前記組織外端末より、前記利用対象情報の利用条件を示す利用条件情報を受信する利用条件情報受信手段と、
前記組織外端末より受信した利用条件情報に基づく前記利用対象情報の利用可否の判定が利用可である場合には、前記組織外端末へ前記利用対象情報を復号する復号鍵を送信する利用可否判定手段と、
を備えることを特徴とする利用対象情報管理装置。
【請求項3】
利用者の属する組織に接続された組織内端末と、前記組織に属さない組織外端末とで利用される利用対象情報を管理する利用対象情報管理装置であって、
暗号化された利用対象情報と利用時処理プログラムとによりデータ構成された持出しパッケージデータを前記組織内端末へ送信する持出しパッケージ送信手段と、
前記持出しパッケージデータに格納された利用対象情報に対する操作を示す操作情報を、前記組織内端末から持出された持出しパッケージデータを記憶する前記組織外端末より受信する操作情報受信手段と、
前記組織外端末より受信した操作情報に基づく前記利用対象情報の利用可否の判定が利用可でない場合には、前記利用対象情報の利用を制限する利用可否判定手段と、
を備えることを特徴とする利用対象情報管理装置。
【請求項4】
前記利用条件の変更を受け付けて変更処理を行う利用条件変更手段と、
を備えることを特徴とする請求項1から請求項3の何れかに記載の利用対象情報管理装置。
【請求項5】
前記利用可否の判定時に、管理者の端末から送信される前記利用対象情報の利用可否のデータ入力を受け付ける利用可否受付手段と、
当該利用可否受付手段が受け付けた情報に基づいて前記利用対象情報の利用可否を判定するリアルタイム利用可否判定手段と、
を備えることを特徴とする請求項1から請求項4の何れかに記載の利用対象情報管理装置。
【請求項6】
前記利用可否判定手段は、前記利用対象情報の利用可否の判定が利用可である場合には、前記利用対象情報の管理者の秘密鍵を用いて前記復号鍵を暗号化し、さらに前記利用対象情報の利用者の公開鍵を用いて前記復号鍵を暗号化し、前記利用対象情報の管理者の公開鍵と前記利用対象情報の利用者の秘密鍵とを保持した前記組織外端末へ送信する
ことを特徴とする請求項1から請求項5の何れかに記載の利用対象情報管理装置。
【請求項7】
利用者の属する組織に接続された組織内端末と、前記組織に属さない組織外端末とで利用される利用対象情報を管理する利用対象情報管理装置の利用対象情報管理方法であって、
前記利用対象情報管理装置の持出しパッケージ送信手段が、暗号化された利用対象情報と利用時処理プログラムとによりデータ構成された持出しパッケージデータを前記組織内端末へ送信し、
前記利用対象情報管理装置の利用環境情報受信手段が、前記持出しパッケージデータに格納された利用対象情報の利用時に、その持出しパッケージデータであって前記組織内端末から持出された持出しパッケージデータを記憶する前記組織外端末より、前記利用対象情報の利用環境を示す利用環境情報を受信し、
前記利用対象情報管理装置の利用可否判定手段が、前記利用環境情報に基づく前記利用対象情報の利用可否の判定が利用可である場合には、前記組織外端末へ前記利用対象情報を復号する復号鍵を送信する
ことを特徴とする利用対象情報管理方法。
【請求項8】
利用者の属する組織に接続された組織内端末と、前記組織に属さない組織外端末とで利用される利用対象情報を管理する利用対象情報管理装置のコンピュータに実行させるプログラムであって、
暗号化された利用対象情報と利用時処理プログラムとによりデータ構成された持出しパッケージデータを前記組織内端末へ送信する持出しパッケージ送信処理と、
前記持出しパッケージデータに格納された利用対象情報の利用時に、その持出しパッケージデータであって前記組織内端末から持出された持出しパッケージデータを記憶する前記組織外端末より、前記利用対象情報の利用環境を示す利用環境情報を受信する利用環境情報受信処理と、
前記利用環境情報に基づく前記利用対象情報の利用可否の判定が利用可である場合には、前記組織外端末へ前記利用対象情報を復号する復号鍵を送信する利用可否判定処理と、
をコンピュータに実行させるプログラム。
【請求項1】
利用者の属する組織に接続された組織内端末と、前記組織に属さない組織外端末とで利用される利用対象情報を管理する利用対象情報管理装置であって、
暗号化された利用対象情報と利用時処理プログラムとによりデータ構成された持出しパッケージデータを前記組織内端末へ送信する持出しパッケージ送信手段と、
前記持出しパッケージデータに格納された利用対象情報の利用時に、その持出しパッケージデータであって前記組織内端末から持出された持出しパッケージデータを記憶する前記組織外端末より、前記利用対象情報の利用環境を示す利用環境情報を受信する利用環境情報受信手段と、
前記利用環境情報に基づく前記利用対象情報の利用可否の判定が利用可である場合には、前記組織外端末へ前記利用対象情報を復号する復号鍵を送信する利用可否判定手段と、
を備えることを特徴とする利用対象情報管理装置。
【請求項2】
利用者の属する組織に接続された組織内端末と、前記組織に属さない組織外端末とで利用される利用対象情報を管理する利用対象情報管理装置であって、
暗号化された利用対象情報と利用時処理プログラムとによりデータ構成された持出しパッケージデータを前記組織内端末へ送信する持出しパッケージ送信手段と、
前記持出しパッケージデータに格納された利用対象情報の利用開始時に、その持出しパッケージデータであって前記組織内端末から持出された持出しパッケージデータを記憶する前記組織外端末より、前記利用対象情報の利用条件を示す利用条件情報を受信する利用条件情報受信手段と、
前記組織外端末より受信した利用条件情報に基づく前記利用対象情報の利用可否の判定が利用可である場合には、前記組織外端末へ前記利用対象情報を復号する復号鍵を送信する利用可否判定手段と、
を備えることを特徴とする利用対象情報管理装置。
【請求項3】
利用者の属する組織に接続された組織内端末と、前記組織に属さない組織外端末とで利用される利用対象情報を管理する利用対象情報管理装置であって、
暗号化された利用対象情報と利用時処理プログラムとによりデータ構成された持出しパッケージデータを前記組織内端末へ送信する持出しパッケージ送信手段と、
前記持出しパッケージデータに格納された利用対象情報に対する操作を示す操作情報を、前記組織内端末から持出された持出しパッケージデータを記憶する前記組織外端末より受信する操作情報受信手段と、
前記組織外端末より受信した操作情報に基づく前記利用対象情報の利用可否の判定が利用可でない場合には、前記利用対象情報の利用を制限する利用可否判定手段と、
を備えることを特徴とする利用対象情報管理装置。
【請求項4】
前記利用条件の変更を受け付けて変更処理を行う利用条件変更手段と、
を備えることを特徴とする請求項1から請求項3の何れかに記載の利用対象情報管理装置。
【請求項5】
前記利用可否の判定時に、管理者の端末から送信される前記利用対象情報の利用可否のデータ入力を受け付ける利用可否受付手段と、
当該利用可否受付手段が受け付けた情報に基づいて前記利用対象情報の利用可否を判定するリアルタイム利用可否判定手段と、
を備えることを特徴とする請求項1から請求項4の何れかに記載の利用対象情報管理装置。
【請求項6】
前記利用可否判定手段は、前記利用対象情報の利用可否の判定が利用可である場合には、前記利用対象情報の管理者の秘密鍵を用いて前記復号鍵を暗号化し、さらに前記利用対象情報の利用者の公開鍵を用いて前記復号鍵を暗号化し、前記利用対象情報の管理者の公開鍵と前記利用対象情報の利用者の秘密鍵とを保持した前記組織外端末へ送信する
ことを特徴とする請求項1から請求項5の何れかに記載の利用対象情報管理装置。
【請求項7】
利用者の属する組織に接続された組織内端末と、前記組織に属さない組織外端末とで利用される利用対象情報を管理する利用対象情報管理装置の利用対象情報管理方法であって、
前記利用対象情報管理装置の持出しパッケージ送信手段が、暗号化された利用対象情報と利用時処理プログラムとによりデータ構成された持出しパッケージデータを前記組織内端末へ送信し、
前記利用対象情報管理装置の利用環境情報受信手段が、前記持出しパッケージデータに格納された利用対象情報の利用時に、その持出しパッケージデータであって前記組織内端末から持出された持出しパッケージデータを記憶する前記組織外端末より、前記利用対象情報の利用環境を示す利用環境情報を受信し、
前記利用対象情報管理装置の利用可否判定手段が、前記利用環境情報に基づく前記利用対象情報の利用可否の判定が利用可である場合には、前記組織外端末へ前記利用対象情報を復号する復号鍵を送信する
ことを特徴とする利用対象情報管理方法。
【請求項8】
利用者の属する組織に接続された組織内端末と、前記組織に属さない組織外端末とで利用される利用対象情報を管理する利用対象情報管理装置のコンピュータに実行させるプログラムであって、
暗号化された利用対象情報と利用時処理プログラムとによりデータ構成された持出しパッケージデータを前記組織内端末へ送信する持出しパッケージ送信処理と、
前記持出しパッケージデータに格納された利用対象情報の利用時に、その持出しパッケージデータであって前記組織内端末から持出された持出しパッケージデータを記憶する前記組織外端末より、前記利用対象情報の利用環境を示す利用環境情報を受信する利用環境情報受信処理と、
前記利用環境情報に基づく前記利用対象情報の利用可否の判定が利用可である場合には、前記組織外端末へ前記利用対象情報を復号する復号鍵を送信する利用可否判定処理と、
をコンピュータに実行させるプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2008−242959(P2008−242959A)
【公開日】平成20年10月9日(2008.10.9)
【国際特許分類】
【出願番号】特願2007−84572(P2007−84572)
【出願日】平成19年3月28日(2007.3.28)
【出願人】(399040405)東日本電信電話株式会社 (286)
【出願人】(504157024)国立大学法人東北大学 (2,297)
【出願人】(501175281)株式会社サイバー・ソリューションズ (7)
【Fターム(参考)】
【公開日】平成20年10月9日(2008.10.9)
【国際特許分類】
【出願日】平成19年3月28日(2007.3.28)
【出願人】(399040405)東日本電信電話株式会社 (286)
【出願人】(504157024)国立大学法人東北大学 (2,297)
【出願人】(501175281)株式会社サイバー・ソリューションズ (7)
【Fターム(参考)】
[ Back to top ]