利用対象情報管理装置及び利用対象情報管理方法ならびにそのプログラム
【課題】持ち出されたデータの不正利用の責任の所在を明確にすることのできる利用対象情報管理装置を提供する。
【解決手段】持出パッケージデータを生成し、その持出パッケージデータを用いて利用対象情報の利用前のハッシュ値を生成する。そして利用前のハッシュ値を記憶する。また持出パッケージデータの持出許可を利用者の組織内端末へ通知する。そして、利用対象情報に対する利用時のハッシュ値と、利用対象情報の利用要求とを、組織外端末より受信すると、利用前のハッシュ値と、利用時のハッシュ値との比較に応じて、利用対象情報の組織外端末における利用可否を判定し、利用可と判定した場合には、組織外端末へ利用対象情報を復号する復号鍵と利用許可を示す情報とを送信する。
【解決手段】持出パッケージデータを生成し、その持出パッケージデータを用いて利用対象情報の利用前のハッシュ値を生成する。そして利用前のハッシュ値を記憶する。また持出パッケージデータの持出許可を利用者の組織内端末へ通知する。そして、利用対象情報に対する利用時のハッシュ値と、利用対象情報の利用要求とを、組織外端末より受信すると、利用前のハッシュ値と、利用時のハッシュ値との比較に応じて、利用対象情報の組織外端末における利用可否を判定し、利用可と判定した場合には、組織外端末へ利用対象情報を復号する復号鍵と利用許可を示す情報とを送信する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、利用者の属する組織に接続された組織内端末と、前記組織に属さない組織外端末とで利用される利用対象情報を管理する利用対象情報管理装置及び利用対象情報管理方法ならびにそのプログラムに関する。
【背景技術】
【0002】
従来、外部に持ち出されるファイルの改竄等により不正にファイルが利用されることを防ぐ技術や、外部に持ち出されたファイルの第三者への漏洩を防ぐための技術が特許文献1〜特許文献3に開示されている。ここで、特許文献1の技術は、利用者が既存アプリケーションで作成された機密情報ファイルを、組織外部に持ち出して追加編集作業を行うことができるが、一旦格納された機密情報についてはファイル内部に閉じて第三者に漏洩することを防ぐ技術について開示されている。また、特許文献2の技術は、コンテンツの不正利用の効果的排除を可能とした技術について開示されている。また、特許文献3の技術は、暗号でプロテクトしたデータが不正に利用されることを防止する技術について開示されている。
【特許文献1】特開2006−139475号公報
【特許文献2】特開2003−51816号公報
【特許文献3】特開平11−39156号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
ところで、外部に持ち出されるデータは、その持ち出した利用者自身によって改竄されて利用される可能性もあり、さらに、その外部に持ち出されたデータの不正利用が誰の責任によるものかを明確にすることが求められている。すなわち、外部に持ち出されるデータは改竄されるという問題があり、また、改竄されたデータが誰によって改竄されたかを特定することができないという問題がある。
【0004】
本発明は、上記問題を解決すべくなされたもので、この発明は、外部に持ち出されたデータが改竄された場合に、当該データの不正利用を防止する利用対象情報管理装置及び利用対象情報管理方法ならびにそのプログラムを提供することを目的としている。
【0005】
また、本発明は、外部に持ち出されたデータが、そのデータを持ち出した利用者自身によって改竄されることを防ぐと共に、持ち出されたデータの不正利用の責任の所在を明確にすることのできる利用対象情報管理装置及び利用対象情報管理方法ならびにそのプログラムを提供することを目的としている。
【課題を解決するための手段】
【0006】
上記問題を解決するために、本発明は、端末装置に接続される利用対象情報管理装置であって、利用対象となる利用対象情報を暗号鍵により暗号化する暗号化手段と、前記暗号化手段により暗号化された前記利用対象情報と、前記暗号鍵に対応する復号鍵により前記暗号化された利用対象情報を復号して利用可能状態とする利用時処理プログラムと、からなる持出パッケージデータを生成する持出パッケージ生成手段と、前記持出パッケージデータから第1の改竄判定用情報を生成する改竄判定用情報生成手段と、持出パッケージデータを記憶する前記端末装置より、当該持出パッケージデータから生成された第2の改竄判定用情報を受信する改竄判定用情報受信手段と、前記第1の改竄判定用情報と前記第2の改竄判定用情報とに基づいて前記端末装置が記憶する持出パッケージデータの正当性を判定する正当性判定手段と、前記正当性判定手段において、前記持出パッケージデータが正当であると判定された場合に、前記端末装置に前記復号鍵を送信する復号鍵送信手段と、を備えることを特徴とする利用対象情報管理装置である。
【0007】
また、本発明は、上記に記載の利用対象情報管理装置において、前記正当性判定手段が、前記第1の改竄判定用情報と前記第2の改竄判定用情報とが一致するか否かに基づいて前記端末装置の記憶する持出パッケージデータの正当性を判定することを特徴とする。
【0008】
また、本発明は、上記に記載の発明において、前記第2の改竄判定用情報は、前記端末装置にて固有の改竄判定用情報暗号鍵(後述するユーザに予め割り当てられ、ユーザを特定可能な秘密鍵)によって暗号化されており、前記受信手段が受信する第2の改竄判定用情報に、前記改竄判定用情報暗号鍵に対応する改竄判定用情報復号鍵(後述するユーザに予め割り当てられ、ユーザを特定可能な公開鍵)を適用して復号できるか否かを判定し、復号できる場合に復号を行う改竄判定用情報復号手段を備え、前記正当性判定手段は、前記改竄判定用情報復号手段が前記第2の改竄判定用情報を復号できると判定した場合に、当該改竄判定用情報復号手段によって復号された前記第2の改竄判定用情報と、前記第1の改竄判定用情報とが一致するか否かを判定することを特徴とする。
【0009】
また、本発明は、上記に記載の発明において、前記持出パッケージデータを受信する持出パッケージデータ受信手段(後述するファイル持出受付制御部107)と、前記受信した持出パッケージデータの送信元の端末装置が予め定められる特定の端末装置であるとき、当該持出パッケージデータに含まれるデータを読み出し、当該読み出したデータを前記復号鍵により復号して、その復号した利用対象情報を前記送信元の端末装置に送信する利用対象情報送信手段(後述するファイル持出受付制御部107)と、を備えることを特徴とする。
【0010】
また、本発明は、上記に記載の発明において、前記暗号化手段が前記利用対象情報の暗号化に用いた暗号鍵に対応する復号鍵を、前記利用対象情報を示す情報に対応付けて記憶する復号鍵記憶手段(後述するディスク装置108)を備え、前記暗号化手段は、前記利用対象情報ごとに異なる暗号鍵を用いて暗号化を行い、または、前記利用対象情報が編集された場合には編集前の暗号鍵とは異なる暗号鍵を用いて暗号化を行い、暗号化の後に、当該用いた暗号鍵に対応する復号鍵を、前記利用対象情報を示す情報に対応付けて前記復号鍵記憶手段に記憶させ、前記復号鍵送信手段は、前記端末装置に前記復号鍵を送信する場合、前記利用対象情報に対応する復号鍵を前記復号鍵記憶手段から読み出して送信する
ことを特徴とする。
【0011】
また、本発明は、利用者の属する組織に接続された組織内端末と、前記組織に属さない組織外端末とで利用される利用対象情報を管理する利用対象情報管理装置であって、暗号化された利用対象情報と利用時処理プログラムとによりデータ構成された持出パッケージデータを用いて生成された利用前の改竄判定用情報を記憶する改竄判定用情報記憶手段と、前記持出パッケージデータの持出許可を前記利用者の組織内端末へ通知する持出許可通知手段と、前記持出パッケージデータを用いて生成された前記利用対象情報の利用時の改竄判定用情報を組織外端末より受信する利用要求受付手段と、前記利用前の改竄判定用情報と、前記利用時の改竄判定用情報との比較に応じて、前記利用対象情報の前記組織外端末における利用可否を判定する利用可否判定手段と、前記利用対象情報を利用可と判定した場合には、前記組織外端末へ前記利用対象情報を復号する復号鍵を送信する利用許可手段と、を備えることを特徴とする利用対象情報管理装置である。
【0012】
また、本発明は、上述の利用対象情報管理装置において、前記利用要求受付手段は、前記改竄判定用情報の代わりに、前記改竄判定用情報に対して前記利用者の暗号鍵を適用して暗号化された署名情報を受信し、前記署名情報に基づいて前記利用時の改竄判定用情報を取得する改竄判定用情報取得手段を備えることを特徴とする。
【0013】
また、本発明は、上述の利用対象情報管理装置において、前記持出パッケージデータを生成する持出パッケージ生成手段と、前記利用対象情報の利用終了の通知と暗号化された編集後の前記利用対象情報とを受ける利用終了通知受付手段と、を備え、前記持出パッケージ生成手段は、前記利用終了の通知を受けた場合には、前記持出パッケージデータの生成において用いた暗号化した暗号鍵とは異なる暗号鍵を用いて前記編集後の利用対象情報を暗号化し、当該暗号化された利用対象情報を格納する新たな持出パッケージデータを生成し、前記組織外端末へ送信することを特徴とする。
【0014】
また、本発明は、上述の利用対象情報管理装置において、前記組織内端末において前記持出パッケージデータに格納された利用対象情報が利用される場合に、前記組織内端末より前記持出パッケージデータを受信して、当該持出パッケージデータに格納されている前記利用対象情報を復号して前記組織内端末へ返信する利用対象情報復号返信手段と、を備えることを特徴とする。
【0015】
また、本発明は、端末装置に接続される利用対象情報管理装置の利用対象情報管理方法であって、利用対象となる利用対象情報を暗号鍵により暗号化するステップと、暗号化された前記利用対象情報と、前記暗号鍵に対応する復号鍵により前記暗号化された利用対象情報を復号して利用可能状態とする利用時処理プログラムと、からなる持出パッケージデータを生成するステップと、前記持出パッケージデータから第1の改竄判定用情報を生成するステップと、持出パッケージデータを記憶する前記端末装置より、当該持出パッケージデータから生成された第2の改竄判定用情報を受信するステップと、前記第1の改竄判定用情報と前記第2の改竄判定用情報とに基づいて前記端末装置が記憶する持出パッケージデータの正当性を判定するステップと、前記持出パッケージデータが正当であると判定された場合に、前記端末装置に前記復号鍵を送信するステップと、を含むことを特徴とする利用対象情報管理方法である。
【0016】
また、本発明は、利用者の属する組織に接続された組織内端末と、前記組織に属さない組織外端末とで利用される利用対象情報を管理する利用対象情報管理装置の利用対象情報管理方法であって、前記利用対象情報管理装置の改竄判定用情報記憶手段が、暗号化された利用対象情報と利用時処理プログラムとによりデータ構成された持出パッケージデータを用いて生成された利用前の改竄判定用情報を記憶し、前記利用対象情報管理装置の持出許可通知手段が、前記持出パッケージデータの持出許可を前記利用者の組織内端末へ通知し、前記利用対象情報管理装置の利用要求受付手段が、前記持出パッケージデータを用いて生成された前記利用対象情報の利用時の改竄判定用情報を組織外端末より受信し、前記利用対象情報管理装置の利用可否判定手段が、前記利用前の改竄判定用情報と、前記利用時の改竄判定用情報との比較に応じて、前記利用対象情報の前記組織外端末における利用可否を判定し、前記利用対象情報管理装置の利用許可手段が、前記利用対象情報を利用可と判定した場合には、前記組織外端末へ前記利用対象情報を復号する復号鍵を送信することを特徴とする利用対象情報管理方法である。
【0017】
また、本発明は、端末装置に接続される利用対象情報管理装置として用いられるコンピュータに、利用対象となる利用対象情報を暗号鍵により暗号化する手順、暗号化された前記利用対象情報と、前記暗号鍵に対応する復号鍵により前記暗号化された利用対象情報を復号して利用可能状態とする利用時処理プログラムと、からなる持出パッケージデータを生成する手順、前記持出パッケージデータから第1の改竄判定用情報を生成する手順、持出パッケージデータを記憶する前記端末装置より、当該持出パッケージデータから生成された第2の改竄判定用情報を受信する手順、前記第1の改竄判定用情報と前記第2の改竄判定用情報とに基づいて前記端末装置が記憶する持出パッケージデータの正当性を判定する手順、前記持出パッケージデータが正当であると判定された場合に、前記端末装置に前記復号鍵を送信する手順、を実行させるためのプログラムである。
【0018】
また、本発明は、利用者の属する組織に接続された組織内端末と、前記組織に属さない組織外端末とで利用される利用対象情報を管理する利用対象情報管理装置のコンピュータに実行させるプログラムであって、暗号化された利用対象情報と利用時処理プログラムとによりデータ構成された持出パッケージデータを用いて生成された利用前の改竄判定用情報を記憶する改竄判定用情報記憶処理と、前記持出パッケージデータの持出許可を前記利用者の組織内端末へ通知する持出許可通知処理と、前記持出パッケージデータを用いて生成された前記利用対象情報の利用時の改竄判定用情報を組織外端末より受信する利用要求受付処理と、前記利用前の改竄判定用情報と、前記利用時の改竄判定用情報との比較に応じて、前記利用対象情報の前記組織外端末における利用可否を判定する利用可否判定処理と、前記利用対象情報を利用可と判定した場合には、前記組織外端末へ前記利用対象情報を復号する復号鍵を送信する利用許可処理と、をコンピュータに実行させるプログラムである。
【発明の効果】
【0019】
本発明によれば、パッケージデータに基づいて生成された第1の改竄判定情報と、パッケージデータを記憶する端末装置より、当該パッケージデータから生成された第2の改竄判定用情報を受信し、第1の改竄判定用情報と第2の改竄判定用情報とに基づいて端末装置が記憶するパッケージデータの正当性を判定し、当該パッケージデータが正当であると判定された場合に、端末装置にパッケージデータに含まれる暗号化された利用対象情報を復号する復号鍵を送信する構成とした。
これにより、パッケージデータが改竄されている場合、すなわちパッケージデータに含まれる暗号化された利用対象情報、利用時処理プログラムの両方、あるいはいずれか一方が改竄されている場合には、端末装置に復号鍵を送信しないようにすることができ、改竄された場合に利用対象情報が不正利用されることを防ぐことが可能となる。
【0020】
本発明によれば、持出パッケージデータに基づいて予め生成した利用前の改竄判定情報と、組織外端末から送信される持出パッケージデータに基づいて生成された利用時の改竄判定情報とを比較に応じて、持ち出しパッケージデータに格納されている持出データの復号用の暗号鍵を組織外端末へ送信する構成とした。
これにより、持出パッケージデータが改竄されている場合、すなわち持出パッケージデータに含まれる暗号化された利用対象情報、利用時処理プログラムの両方、あるいはいずれか一方が改竄されている場合、端末装置に復号鍵を送信しないようにすることができ、組織外端末装置において利用対象情報が不正利用されることを防ぐことが可能となる。
【0021】
また、本発明によれば、利用者が外部に持出パッケージデータを持ち出して利用した場合には、再度持出パッケージデータが生成される。これにより利用者は持出パッケージデータを利用する度に、署名情報を生成することとなる。そして、利用対象情報管理装置側ではその署名情報の確認において利用者の公開鍵で復号してハッシュ値を取得して、そのハッシュ値と予め記憶しているハッシュ値とを比較して利用対象情報の改竄を判定することとなる。そのため、利用対象情報の利用の度に、復号に用いた公開鍵からその利用対象情報を利用した利用者を確認できることとなる。また、これにより、外部に持ち出された利用対象情報の不正利用の有無を、その利用対象情報の利用のたびに判定するので、その不正の責任が誰にあるのかを明確にすることができる。
【0022】
また、本発明によれば、持出パッケージデータを組織内端末に再度持ち込んだ際に、その持出パッケージデータの署名情報を用いて再度、当該持出パッケージデータが改竄されていないか否かを判定することとなるので、既に持ち出された利用対象情報を組織内で安全に利用することが可能となる。
【発明を実施するための最良の形態】
【0023】
以下、本発明の一実施形態による利用対象情報管理システムを図面を参照して説明する。図1は同実施形態による利用対象情報管理システムの構成を示すブロック図である。この図において、符号1はファイル持出管理サーバ(利用対象情報管理装置)である。また、2は組織内端末である。また、3は組織外端末である。また、4は管理者端末である。ファイル持出管理サーバ1は組織内LAN(Local Area Network)を介して組織内端末2と管理者端末4とが接続されている。また、ファイル持出管理サーバ1はインターネット等の外部ネットワークを介して組織外端末3と接続されている。ここで、組織内端末2は利用者の属する組織のネットワーク内に接続された端末であり、組織外端末3は利用者が属する組織のネットワーク以外のネットワークに接続された端末である。なお、利用者の属する組織とは会社である場合や部署である場合、部署内のグループである場合など様々であるが、組織内・組織外は管理者が自由に設定することができるものとする。例えば、会社内であっても利用者が通常利用する端末をその利用者の属する組織内の端末、その他の全ての端末を組織外の端末とするようにしてもよい。
【0024】
図2は利用対象情報管理システムにおける処理概要を示す図である。
この図が示すように、まずドキュメントファイル(以下、持出データともいう)などを外部に持ち出す利用者は、そのファイルの持出申請をファイル持出管理サーバ1へ送信する。そして、ファイル持出管理サーバ1では、ドキュメントファイルを共通鍵で暗号化して、そのドキュメントファイルを利用する際に端末が処理するためのプログラムを格納したアクセス制御ソフトにそのドキュメントファイルを格納する。これを持出パッケージデータとする。また、ファイル持出管理サーバ1は、持出パッケージデータを用いて利用前の改竄判定用情報を生成する。そして、持出パッケージデータは、利用者の端末に送信され、持出用メディア(CD-ROMなどの携帯型記録媒体)に格納され外部に持ち出される。また、持出用メディアに格納された持出パッケージデータは、組織外端末3にコピーされる。そして、その持出パッケージデータの利用時には、組織外端末3が、持出パッケージデータの改竄の有無の確認を行うために、持出パッケージデータを用いて利用時の改竄判定用情報を生成し、さらに、その情報を利用者の秘密鍵で暗号化した署名情報を生成して、ファイル持出管理サーバ1へ送信する。そして、ファイル持出管理サーバ1が、署名情報を復号化して利用時の改竄判定用情報を生成し、利用前の改竄判定用情報と利用時の改竄判定用情報とに基づいて改竄の有無を判定し、改竄がなければドキュメントファイルの復号鍵(共通鍵)を組織外端末3へ送信する。そして、組織外端末3では持出パッケージデータに格納されているドキュメントファイルを共通鍵で復号化して利用する。
【0025】
ここで、アクセス制御ソフトとは、例えば、前述したドキュメントファイルがワードプロセッサソフトウェアなどによって生成されたものである場合、ワードプロセッサソフトウェアなどにおいて公開されるAPI(Application Interface)を利用して、予めインストールされたワードプロセッサソフトウェアなどが起動されて動作する際に、ワードプロセッサソフトウェアなどの印刷機能を不可にしたり、編集機能を不可にしたりする制限などの指定を行うソフトウェアである。
なお、上記の機能制限の他の構成として、組織外端末3のMACアドレスやGPS(Global Positioning System)を通じて取得される組織外端末3の位置情報などの情報に基づいて上述した編集機能や印刷機能などの制限を行う構成の他、そもそもワードプロセッサソフトウェアなどを起動させないように制限を行う構成も含むものとする。
また、アクセス制御ソフトとして、印刷機能を不可にしたり、編集機能を不可にしたりする機能制限などの改良が加えられたワードプロセッサソフトウェアなど自体を含むように構成してもよい。
【0026】
図3は利用対象情報管理システムに属する各装置の機能ブロック図である。
この図で示すように、ファイル持出管理サーバ1には、他の端末と情報を送受信する通信装置101、サーバ内の各処理部を制御するCPU(central processing unit)102、メインメモリ103、履歴管理部104、利用者認証部105、持出承認−持出パッケージ生成部106、ファイル持出受付制御部107、ディスク装置108を備えている。なお、ディスク装置108には「ユーザID−パスワード情報」、「利用条件情報」、「利用履歴情報」、「ユーザ公開情報」が格納される。
【0027】
前述した、ファイル持出管理サーバ1の通信装置101は、組織内端末2や組織外端末3、及び管理者端末4との通信の送受信を行う。また、履歴管理部104は、図4に示す利用履歴情報を生成してディスク装置108に記録する処理を行う。また、利用者認証部105は、ディスク装置108の「ユーザID−パスワード情報」を参照して、組織内端末2や組織外端末3を用いてファイル持出管理サーバ1へアクセスする利用者の認証の処理を行う。また、持出承認−持出パッケージ生成部106は、持出パッケージデータの生成及び端末への持出許可に関する処理を行う。また、ファイル持出受付制御部107は、通信装置101で受信される持出パッケージデータに格納されている持出データに対する利用要求情報に応じた処理を行う。
【0028】
組織内端末2は他の装置と情報を送受信する通信装置201、キーボードやマウスなどの情報入力装置202、持出パッケージデータを作成する持出パッケージ作成制御ソフト部203、持出パッケージデータのハッシュ値の算出や署名情報を生成するデータハッシュ化−署名生成部204、ディスプレイ205、メディア入出力装置206、CPU207、メインメモリ208、ディスク装置209を備えている。なお、ディスク装置209には、「持出パッケージデータ」、利用者の「利用者秘密鍵」などが記録されている。
【0029】
前述した、組織内端末2の通信装置201は、ファイル持出管理サーバ1との間の情報の通信を行う。また、持出パッケージ作成制御ソフト部203は、ファイル持出管理サーバ1が持出パッケージデータを作成する際に、当該ファイル持出管理サーバ1と連携して処理を行い、また、組織内端末2内で持出パッケージデータが利用される際の制御を行う。データハッシュ化−署名生成部204は、持出パッケージデータのハッシュ値の生成と、そのハッシュ値を利用者の秘密鍵で暗号化して署名情報を生成する処理を行う。メディア入出力装置206は、USB(Universal Serial Bus)メモリなどの持出用メディア(記録媒体)からのデータの読み込み、または、その持出用メディア(記録媒体)へのデータの書き込みを行う。
【0030】
なお、前述した持出パッケージ作成制御ソフト部203、データハッシュ化−署名生成部204は、組織内端末2に予め記憶されているファイル持出ソフトが起動されることで生成される機能部である。
【0031】
組織外端末3は他の装置と情報を送受信する通信装置301、キーボードやマウスなどの情報入力装置302、持出パッケージ作成制御ソフト部303、データハッシュ化−署名生成部304、ディスプレイ305、メディア入出力装置306、CPU307、メインメモリ308、ディスク装置309を備えている。なお、ディスク装置309には持出パッケージデータや利用者秘密鍵が格納される。
【0032】
前述した、組織外端末3の通信装置301はファイル持出管理サーバ1との間の情報の通信を行う。また、持出パッケージ作成制御ソフト部303は、組織内端末3内で持出パッケージデータが利用される際の制御を行う。また、データハッシュ化−署名生成部304は、持出パッケージデータのハッシュ値の生成と、そのハッシュ値を利用者の秘密鍵で暗号化して署名情報を生成する処理を行う。メディア入出力装置306はUSBメモリなどの持出用メディア(記録媒体)からのデータの読み込み、または、その持出用メディア(記録媒体)へのデータの書き込みを行う。
なお、組織外端末3は、組織内のネットワークに接続された場合には組織内端末として動作することもできるため、組織内端末2と同様に、ファイル持出管理サーバ1が持出パッケージデータを作成する際に当該ファイル持出管理サーバ1と連携した処理を行うようにしてもよい。
【0033】
なお、前述した持出パッケージ作成制御ソフト部303、データハッシュ化−署名生成部304は、持出パッケージデータが起動されることで生成される機能部である。
【0034】
管理者端末4は、他の装置と情報を送受信する通信装置401、キーボードやマウスなどの情報入力装置402、CPU403、メインメモリ404、ディスプレイ405、ディスク装置406を備えている。
【0035】
次に、ファイル持出管理サーバが記憶する情報について説明する。
図4はファイル持出管理サーバが記憶する利用履歴情報のデータ例を示す図である。
利用履歴情報には、「利用日時」、「操作種別閲覧」、「対象データ」、「利用ユーザID」、「MACアドレス」、「利用ネットワーク」の項目があり、ファイル持出管理サーバ1のディスク装置108は、利用履歴情報として、図4に示すように、利用日時、操作種別(閲覧など)、対象データ(持出データ)、利用ユーザID、MACアドレス、利用ネットワークなどの情報を対応付けて記憶する。
【0036】
図5はファイル持出管理サーバが記憶するユーザ公開鍵情報のデータ例を示す図である。
ユーザ公開情報には、「ユーザID」、「公開鍵」の項目があり、ファイル持出管理サーバ1のディスク装置108は、ユーザ公開鍵情報として、図5に示すように、ユーザIDと公開鍵とを対応付けて記憶する。
【0037】
図6はファイル持出管理サーバが記憶するユーザID−パスワード情報のデータ例を示す図である。
ユーザID−パスワード情報には、「ユーザID」、「アカウント名」、「パスワード」、「MACアドレス」、「メールアドレス」、「公開鍵情報(公開場所)」の項目があり、ファイル持出管理サーバ1のディスク装置108は、ユーザID、パスワード情報として、図6に示すように、ユーザID、アカウント名、パスワードを対応付けて記憶するとともに、さらにユーザの利用する端末のMACアドレス、メールアドレス、公開鍵情報を対応付けて記憶する。
【0038】
例えば、組織内端末2のユーザ及び組織外端末3のユーザごとに、図6のそれぞれの項目に該当する情報が予め記憶されている。なお、「公開鍵情報(公開場所)」は、インターネット等で公開されるサーバのURI(Universal Resource Identifier)が設定され、当該URIに接続することで当該ユーザの公開鍵が取得可能とされる。
【0039】
図7はファイル持出管理サーバが記憶する利用条件情報のデータ例を示す図である。
利用条件情報には、「持出パッケージハッシュ情報」、「ハッシュ情報作成日時」、「利用ユーザID」、「アクセス許可日時」、「アクセス種別、回数」、「MACアドレス」、「利用ネットワーク」、「住所」、「電話番号」の項目があり、ファイル持出管理サーバ1のディスク装置108は、利用条件情報として、持出パッケージハッシュ情報、ハッシュ情報作成日時、利用者ID、アクセス許可日時、アクセス種別・回数、MACアドレス、利用ネットワーク、住所、電話番号などを対応付けて記憶する。
【0040】
図8は利用対象情報管理システムにおける処理フローを示す第1の図である。
図9は利用対象情報管理システムにおける処理フローを示す第2の図である。
図10は利用対象情報管理システムにおける処理フローを示す第3の図である。
次に図8〜図10を用いて利用対象情報管理システムにおける処理フローを説明する。
【0041】
(持出パッケージデータの準備段階)
まず、図8よりファイルを持ち出したいと希望するユーザは、組織内端末に予め備えられているファイル持出ソフトを起動する(ステップS101)。これにより、持出パッケージ作成制御ソフト部203、データハッシュ化−署名生成部204の機能が組織内端末2に構成される。
【0042】
そして、持出データ(例えば、ワードプロセッサソフトにより生成されるドキュメントファイルなどの利用対象情報)の指定と持出条件を指定して(ステップS102)、持出要求を組織内端末2に入力することで、組織内端末2は持出要求情報と持出データとをファイル持出管理サーバ1へ送信する(ステップS103)。するとファイル持出管理サーバ1は、持出要求情報と持出データとを管理者端末へ送信する(ステップS104)。管理者端末4においては、持出要求情報と持出データとを受信すると、その持出データの内容の確認を管理者より受けるために持出データの情報や持出要求を行っているユーザの情報(持出要求情報等に格納されている)を画面に表示する(ステップS105)。次に、管理者が承認または否認の情報を管理者端末4に入力する。そして、管理者端末4は判断結果(承認or否認)をファイル持出管理サーバ1へ通知する(ステップS106)。
【0043】
次に、ファイル持出管理サーバ1は、判断結果の通知を受けるとその結果が承認OKかNG(否認)かを判断し(ステップS107)、NGであれば組織内端末2へ否認の情報を通知する。また、OKであればファイル持出管理サーバ1は、受信した持出データを共通鍵Aで暗号化して、持出情報を生成しその持出情報をディスク装置108に登録しておく(ステップS108)。また、ファイル持出管理サーバ1は、暗号化した持出データを含む持出パッケージデータを生成し、その持出パッケージデータとともに署名要求を示す情報を組織内端末2へ送信する(ステップS109)。
なお、上述したように、持出パッケージデータとは持出データとその持出データを組織外部で利用するために組織外端末3で動作する利用時処理プログラム、すなわち前述したアクセス制御ソフト及び当該アクセス制御ソフトに含まれる組織外端末3で起動されることで持出パッケージ作成制御ソフト部303及びデータハッシュ化−署名生成部304の機能を構成するソフトウェアとが一体となったデータである。
また、ファイル持出管理サーバ1は、ハッシュ関数を用いて持出パッケージデータのハッシュ値Aを算出し、利用ユーザIDに対応付けてそのハッシュ値A(利用前の改竄判定用情報)を利用条件情報としてディスク装置108へ登録する(ステップS110)。この時ハッシュ情報(ハッシュ値)作成日時も共に登録する。
【0044】
次に、組織内端末2は持出パッケージデータと署名要求を受信すると、ハッシュ関数を用いて持出パッケージデータのハッシュ値Bを算出する。なお、この時利用するハッシュ関数は、ファイル持出管理サーバ1が用いたハッシュ関数と同一であるものとする。そして算出されたハッシュ値Bを利用者の秘密鍵で暗号化する(ステップS111)。この暗号化された情報を署名情報と呼ぶこととする。次に、組織内端末2は署名情報をファイル持出管理サーバ1へ送信する(ステップS112)。
【0045】
ファイル持出管理サーバ1では、署名情報を受信すると、利用者の公開鍵を利用して署名情報を復号化して、ハッシュ値Bを取得する(ステップS113)。そしてハッシュ値Aとハッシュ値Bとを比較して同一か否か、つまり、値が一致するかを判定する(ステップS114)。NG(一致しない場合)であれば、ファイル持出管理サーバ1は、NGの情報を組織内端末2へ通知する。また、OKであれば、持出データの組織外への持出行為を承認し、持出許可を示す情報を組織内端末2へ通知する(ステップS115)。
【0046】
組織内端末2では持出許可を示す情報を受信すると、その旨を画面に表示する。するとユーザは、組織内端末2を操作して持出パッケージデータを持出用メディア(CD−ROMやUSBメモリ)へ保存する(ステップS116)。そして、ユーザは最初のステップで起動したファイル持出ソフトを終了させる(ステップS117)。
【0047】
ここで、図8を用いて説明した各処理において、ステップS101、S102、S103、S116、S117に関連する組織内端末2の処理は、組織内端末2の持出パッケージ作成制御ソフト部203により行われる処理である。また、ステップS111、S112に関連する組織内端末2の処理は、組織内端末2のデータハッシュ化−署名生成部204により行われる処理である。また、ステップS104、S107〜S110、S113〜S115に関連するファイル持出管理サーバ1の各処理は、当該ファイル持出管理サーバ1の持出承認−持出パッケージ生成部106により行われる処理である。
【0048】
(持出パッケージデータの利用段階)
次に、持出データの組織外端末における利用時の処理について説明する。
図9より、ユーザはUSBメモリやCD−ROMなどの持出用メディアに格納して持ち出した持出パッケージデータ中の持出データを利用する際には、まず、組織外端末3にて、持出パッケージデータを起動して、ファイル持出管理サーバ1へアクセスする。このとき、組織外端末3では、持出パッケージ作成制御ソフト部303及びデータハッシュ化−署名生成部304の機能が構成される(ステップS201)。また、この時ユーザは組織外端末3へユーザ認証情報(ユーザIDやアカウント名やパスワード)を入力する(ステップS202)。すると組織外端末3は認証情報(ユーザIDやアカウント名やパスワード)と利用要求を示す情報をセキュリティの高いSSL(Secure Socket Layer)通信などで送信する。そして、ファイル持出管理サーバ1は、認証情報で示される情報の組み合わせがディスク装置108のユーザID−パスワード情報に格納されている組み合わせと一致するか否かによって認証し、認証結果がOKかNGかを判定する(ステップS203)。そして、NGであればその旨の情報を組織外端末3へ通知する。また、認証がOKであれば、持出パッケージデータ署名情報送信の要求をSSL通信により組織外端末3へ送信する(ステップS204)。
【0049】
次に、組織外端末3は、持出パッケージデータとハッシュ関数とを用いて、持出パッケージデータのハッシュ値C(利用時の改竄判定用情報)を生成する。なお、このハッシュ関数は、上述の処理においてファイル持出管理サーバ1が利用したハッシュ関数と同一であるものとする。そして、組織外端末3は、ハッシュ値Cを利用者の秘密鍵で暗号化する。このハッシュ値Cが暗号化された情報を署名情報とする。そして、組織外端末3は署名情報をSSL通信でファイル持出管理サーバ1へ送信する(ステップS205)。
【0050】
次に、ファイル持出管理サーバ1は、署名情報を利用者の公開鍵で復号してハッシュ値Cを取得する(ステップS206)。そして、ハッシュ値Aとハッシュ値Cとが同一か否かを判定する(ステップS207)。NGであれば組織外端末3へNGである旨を通知する。また、OKであれば起動許可と共通鍵AとをSSL通信により組織外端末3へ送信する(ステップS208)。次に、組織外端末3は、持出パッケージデータに格納されている持出データの起動許可を画面等に表示する。すると、利用者は共通鍵Aによる持出データの復号化を組織外端末3に指示し、組織外端末3が持出データを復号する(ステップS209)。これにより、利用者は組織外端末3を用いて外部での持出データの閲覧・編集を行うことができる。なお、持出データが利用されている間、組織外端末3は、その持出データの利用状況を確認し、その利用状況を示す利用情報をファイル持出管理サーバ1へ送信する。この利用情報には閲覧されたか、編集されたか、コピーされたか、印刷されたか等を示す情報である。ファイル持出管理サーバ1は利用情報を受信すると、その情報に基づいて利用履歴情報を登録する(ステップS210)。
【0051】
また、利用者が組織外端末3に操作終了を指示すると、組織外端末3は上書き保存要求と暗号化した持出データとをSSL通信によりファイル持出管理サーバ1へ送信する(ステップS211)。すると、ファイル持出管理サーバ1は、共通鍵Bを用いて編集された持出データを暗号化し、上書き(編集の処理)の情報を履歴情報として登録する(ステップS212)。そして、暗号化した持出データを格納した持出パッケージデータを生成し、その持出パッケージデータと署名要求とをSSL通信により組織外端末3へ送信する(ステップS213)。また、ファイル持出管理サーバ1は、持出パッケージデータとハッシュ関数とを用いてハッシュ値A’を生成し、利用条件情報としてディスク装置108に登録する(ステップS214)。つまり、ファイル持出管理サーバ1は、ディスク装置108で記憶しているハッシュ値Aを、新たなハッシュ値A’に更新している。
【0052】
なお、上述の処理においては、持出パッケージデータのハッシュ値を生成して、そのハッシュ値と記憶しているハッシュ値とを比較して持出パッケージデータの改竄を判定しているが、これに限らず、持出パッケージデータやそれに格納されている持出データのままで、予め記憶している持出パッケージデータや持出データと比較して改竄を判定するようにしてもよい。また、署名情報の生成において利用者の秘密鍵を用いているが、これに限らず、利用者と管理者の共通鍵を利用するようにしてもよい。更に、上述の処理以外に、持出データの操作終了後に組織外端末3が自らハッシュ値A’を生成し、当該ハッシュ値A’のみを、利用者の秘密鍵や事前に管理者と共有された共通鍵によって暗号化してファイル管理サーバ1に送信することで、ファイル持出管理サーバ1がディスク装置108で記憶しているハッシュ値Aを、受信した新たなハッシュ値A’に更新するようにしてもよい。この場合ステップS213以降の処理における持出パッケージデータの新たな生成、及び生成した持出パッケージデータに関連する処理は行われないこととなる。
【0053】
次に、組織外端末3においては持出パッケージデータと署名要求とを受信すると、持出パッケージデータとハッシュ関数とを用いてハッシュ値B’を生成し、その値を利用者の秘密鍵で暗号化する(ステップS215)。そして、この暗号化したデータを署名情報とする。そして、組織外端末3は署名情報をSSL通信によりファイル持出管理サーバ1へ送信する(ステップS216)。ファイル持出管理サーバ1では署名情報を受信すると、利用者の公開鍵で復号しハッシュ値B’を取得する(ステップS217)。そして、ハッシュ値A’とハッシュ値B’の値が同一か否かを判定し(ステップS218)、同一でない場合にはNGを組織外端末3へ通知する。また、同一である場合にはOKと判定し、持出行為を承認し、持出許可を組織外端末3へ通知する(ステップS219)。また、組織外端末3においては、利用者の指示によって持出パッケージデータを持出用メディアに保存する(ステップS220)。そして、利用者は、ステップS201で起動した持出パッケージデータを終了させる(ステップS221)。なお、持出データの利用終了時のステップS216〜ステップS218の処理は行わないようにしても良い。つまり、ハッシュ値A’の改竄判定用情報を更新して、その処理の後は持出行為を承認する処理へと移行するようにしても良い。
【0054】
ここで、図9を用いて説明した各処理において、ステップS201、S202、S209、S211、S220、S221に関連する処理は、組織外端末3の持出パッケージ作成制御ソフト部303により行われる処理である。また、ステップS205、S215、S216に関連する処理は、組織外端末3のデータハッシュ化−署名生成部304により行われる処理である。また、ステップS203に関連するファイル持出管理サーバ1の処理は、当該ファイル持出管理サーバ1の利用者認証部105により行われる処理である。また、ステップS204、S206〜S208、S212〜S214、S217〜219に関連するファイル持出管理サーバ1の各処理は、当該ファイル持出管理サーバ1のファイル持出受付制御部107により行われる処理である。また、ステップS210に関連するファイル持出管理サーバ1の処理は、履歴管理部104により行われる処理である。
【0055】
また、上述の処理によれば、利用者が外部に持出データを持ち出して利用した場合には、再度持出パッケージデータが生成される。これにより、利用者は持出パッケージデータを利用するたびに、署名情報を生成することとなる。そして、ファイル持出管理サーバ1側ではその署名情報の確認において利用者の公開鍵で復号してハッシュ値を取得して、そのハッシュ値と予め記憶しているハッシュ値とを比較して持出データの改竄を判定することとなるので、持出データの利用の度に、復号に用いた公開鍵からそのデータを利用する利用者を確認できることとなる。また、これにより、また外部に持ち出されたデータの不正利用の有無を、その持出データの利用のたびに判定するので、その不正の責任が誰にあるのかを明確にすることができる。
【0056】
(持出パッケージデータの組織内端末による再利用)
次に、持出データを組織内へ持ち帰った際の処理について説明する。
利用者は、外部へ持出した持出パッケージデータをUSBメモリ等の持出用メディアから組織内端末2へデータ移動させたとする。組織内端末2においては持出データを持出パッケージデータ内に格納しておく必要がないため、以下の処理を行う。図10より、まず利用者がファイル持出ソフトを起動する(ステップS301)。すると組織内端末2はファイル持出管理サーバ1へアクセスする。そして、組織内端末2はユーザ認証情報の入力を利用者から受け付けて、認証情報と利用要求情報をファイル持出管理サーバ1へ送信する(ステップS302)。ファイル持出管理サーバ1は受信した認証情報を用いて認証を行い、認証結果がOKかNGかを判定する(ステップS303)。そして、NGの場合にはその旨を組織内端末2へ送信する。また、認証結果がOKである場合には、ファイル持出管理サーバ1は持出パッケージデータの署名情報送信要求を組織内端末2へ送信する(ステップS304)。すると、組織内端末2は、持出パッケージデータとハッシュ関数とを用いてハッシュ値C’を生成する。このハッシュ関数についても上述のハッシュ値の算出に利用されたハッシュ関数と同一である。そして、組織内端末2はハッシュ値C’を利用者の秘密鍵で暗号化する。この暗号化されたハッシュ値C’を署名情報とする。そして、組織内端末2は署名情報をファイル持出管理サーバ1へ送信する(ステップS305)。
【0057】
次に、ファイル持出管理サーバ1は受信した署名情報を利用者の公開鍵で復号しハッシュ値C’を取得する(ステップS306)。そして、ハッシュ値C’とハッシュ値A’が同一か否かを判定する(ステップS307)。ハッシュ値C’とハッシュ値A’とが同一でなければ(NGの場合)、ファイル持出管理サーバ1は、組織内端末2へNGを通知する。また、ハッシュ値C’とハッシュ値A’とが同一である場合には(OKの場合)、そのOKを認証結果として組織内端末2へ通知する。すると組織内端末2は、持出パッケージデータをファイル持出管理サーバ1へ送信する(ステップS308)。するとファイル持出管理サーバ1は持出パッケージデータに格納されている持出データを共通鍵Bで復号化する(ステップS309)。そして、復号化した持出データを組織内端末2へ返信する(ステップS310)。組織内端末2は、復号された持出データを受信すると、その持出データをディスク装置209へ保存し(ステップS311)、持出パッケージデータを破棄する(ステップS312)。そしてユーザの操作に基づいてファイル持出ソフトを終了させる(ステップS313)。
【0058】
ここで、図10を用いて説明した各処理において、ステップS301、S302、S308、S311、S312、S313に関連する処理は、組織内端末2の持出パッケージ作成制御ソフト部203により行われる処理である。また、ステップS305に関連する処理は、組織内端末2のデータハッシュ化−署名生成部204により行われる処理である。また、ステップS303に関連するファイル持出管理サーバ1の処理は、当該ファイル持出管理サーバ1の利用者認証部105により行われる処理である。また、ステップS304〜S307、S309、S310に関連するファイル持出管理サーバ1の各処理は、当該ファイル持出管理サーバ1のファイル持出受付制御部107により行われているものとする。
【0059】
持出データを組織内へ持ち帰った際の上記処理によれば、持出パッケージデータを組織内端末に再度持ち込んだ際に、その持出パッケージデータの署名情報を用いて再度、当該持出パッケージデータが改竄されていないか否かを判定することとなるので、既に持ち出された持出データを組織内で安全に利用することが可能となる。
【0060】
なお、上記の実施形態の構成において、共通鍵A及び共通鍵Bは、異なる共通鍵としているが、これらの共通鍵は同じであってもよい。
また、ファイル持出管理サーバ1にて用いられる共通鍵、すなわち上述した共通鍵A、共通鍵Bが異なる場合には、予め複数の共通鍵がディスク装置108に記憶されており、持出承認−持出パッケージ生成部106が、持出データを暗号化する際に、ランダムに選択し、選択した共通鍵をディスク装置108のユーザID−パスワード情報に、ユーザIDに対応付けて記憶させるようにしてもよい。また、予め共通鍵を記憶させておくのではなく、利用する際に、ファイル持出管理サーバ1にて動的に共通鍵を生成するようにしてもよい。また、上記の実施形態では、持出データの暗号化にて、暗号鍵と復号鍵が同一の共通鍵を適用しているが、本発明は当該実施形態の構成には限られず、例えば、秘密鍵と公開鍵のような、暗号鍵と復号鍵が異なる組み合わせにて、持出パッケージデータを暗号鍵で暗号化し、ハッシュ値が一致して組織外端末3に鍵を送信する際に復号鍵を送信するようにしてもよい。
【0061】
また、上記の実施形態の構成においては、ファイル持出管理サーバ1が組織内端末2から持出要求情報を受信したことを契機に持出パッケージデータを生成して、組織内端末2へ送信し、当該持出パッケージデータが組織外端末3へ持ち出される実施形態について説明しているが、組織内端末2を含めないシステム構成としてもよい。
例えば、ファイル持出管理サーバ1がCD−ROMなどの記録媒体に格納された持出データを読み込んで、その持出データを格納した持出パッケージデータを生成し、当該持出パッケージデータのハッシュ値を生成して記憶しておき、持出パッケージデータを組織外端末3へ送信するようなシステムであってもよい。
【0062】
また、上記の実施形態では、組織内端末2にインストールされているファイル持出ソフトが実行されることにより、持出パッケージ作成制御ソフト部203及びデータハッシュ化−署名生成部204が構成される実施の形態について説明したが、組織内端末2にてファイル持出ソフトを用いずに構成する実施形態としてもよい。
例えば、ウェブブラウザ等により組織内端末2からファイル持出管理サーバ1に接続し、持出データを当該ウェブブラウザにてファイル持出管理ソフト1に送信して、ファイル持出管理ソフト1に持出パッケージデータを生成させ、当該持出パッケージデータを利用するようにしてもよい。
【0063】
また、上記の実施形態では、持出パッケージデータとは、持出データとアクセス制御ソフトが一体となったデータとし、アクセス制御ソフトには、持出パッケージ作成制御ソフト部303及びデータハッシュ化−署名生成部304の機能が含まれるとしているが、本発明は当該構成に限られず、アクセス制御ソフトに、持出パッケージ作成制御ソフト部303及びデータハッシュ化−署名生成部304の機能のうち図9のステップS201(起動)、S205(ハッシュ値の生成に係る処理の部分)、S209(共通鍵による復号)、S221(終了)の機能のみを備えさせるようにしてもよい。
【0064】
また、上記の実施形態では、データハッシュ化−署名生成部204は、ファイル持出ソフトに備えられ、データハッシュ化−署名生成部304は、持出パッケージデータに備えられるようにしているが、これらの機能部の内、署名情報に関する処理を行う機能(ステップS205(署名情報の生成に係る処理の部分)、S215(署名情報の生成に係る処理の部分)、S216)については、ファイル持出ソフトや持出パッケージデータに備えず、別途インストールされた署名ソフトウェアを用いて、署名情報を生成するようにしてもよい。
【0065】
また、上記の実施形態では、ディスク装置108の「ユーザID−パスワード情報」を参照して、ファイル持出管理サーバ1において認証が行われるように構成しているが、本発明は当該構成には限られず、例えば、組織外端末3から送信される電子証明書などにより認証を行なうようにしてもよい。
【0066】
本発明に記載の暗号化手段と持出パッケージ生成手段と改竄判定用情報生成手段とは、上述した持出承認−持出パッケージ生成部106に対応する。また、本発明に記載の改竄判定用情報受信手段と正当性判定手段と復号鍵送信手段とは、上述したファイル持出受付制御部107に対応する。また、本発明に記載の利用時処理プログラムは、上述したアクセス制御プログラムに対応する。
【0067】
また、本発明に記載の改竄判定用情報記憶手段は、上述したディスク装置108のユーザID−パスワード情報に対応する。また、本発明に記載の持出許可通知手段は、上述した持出承認−持出パッケージ生成部106に対応する。また、本発明に記載の利用要求受付手段と利用可否判定手段と利用許可手段とは、上述したファイル持出受付制御部107に対応する。また、本発明に記載の改竄判定用情報取得手段は、上述したファイル持出受付制御部107に対応する。また、本発明に記載の持出パッケージ生成手段は、上述した持出承認−持出パッケージ生成部106に対応する。また、本発明に記載の利用終了通知受付手段と利用対象情報復号送信手段は、上述したファイル持出受付制御部107に対応する。
【0068】
なお、上述の各装置は内部に、コンピュータシステムを有している。そして、上述した処理の過程は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータが読み出して実行することによって、上記処理が行われる。ここでコンピュータ読み取り可能な記録媒体とは、磁気ディスク、光磁気ディスク、CD−ROM、DVD−ROM、半導体メモリ等をいう。また、このコンピュータプログラムを通信回線によってコンピュータに配信し、この配信を受けたコンピュータが当該プログラムを実行するようにしても良い。
【0069】
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【図面の簡単な説明】
【0070】
【図1】利用対象情報管理システムの構成を示すブロック図である。
【図2】利用対象情報管理システムにおける処理概要を示す図である。
【図3】利用対象情報管理システムに属する各装置の機能ブロック図である。
【図4】利用履歴情報のデータ例を示す図である。
【図5】ユーザ公開鍵情報のデータ例を示す図である。
【図6】ユーザID−パスワード情報のデータ例を示す図である。
【図7】利用条件情報のデータ例を示す図である。
【図8】利用対象情報管理システムにおける処理フローを示す第1の図である。
【図9】利用対象情報管理システムにおける処理フローを示す第2の図である。
【図10】利用対象情報管理システムにおける処理フローを示す第3の図である。
【符号の説明】
【0071】
1・・・ファイル持出管理サーバ
2・・・組織内端末
3・・・組織外端末
4・・・管理者端末
【技術分野】
【0001】
本発明は、利用者の属する組織に接続された組織内端末と、前記組織に属さない組織外端末とで利用される利用対象情報を管理する利用対象情報管理装置及び利用対象情報管理方法ならびにそのプログラムに関する。
【背景技術】
【0002】
従来、外部に持ち出されるファイルの改竄等により不正にファイルが利用されることを防ぐ技術や、外部に持ち出されたファイルの第三者への漏洩を防ぐための技術が特許文献1〜特許文献3に開示されている。ここで、特許文献1の技術は、利用者が既存アプリケーションで作成された機密情報ファイルを、組織外部に持ち出して追加編集作業を行うことができるが、一旦格納された機密情報についてはファイル内部に閉じて第三者に漏洩することを防ぐ技術について開示されている。また、特許文献2の技術は、コンテンツの不正利用の効果的排除を可能とした技術について開示されている。また、特許文献3の技術は、暗号でプロテクトしたデータが不正に利用されることを防止する技術について開示されている。
【特許文献1】特開2006−139475号公報
【特許文献2】特開2003−51816号公報
【特許文献3】特開平11−39156号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
ところで、外部に持ち出されるデータは、その持ち出した利用者自身によって改竄されて利用される可能性もあり、さらに、その外部に持ち出されたデータの不正利用が誰の責任によるものかを明確にすることが求められている。すなわち、外部に持ち出されるデータは改竄されるという問題があり、また、改竄されたデータが誰によって改竄されたかを特定することができないという問題がある。
【0004】
本発明は、上記問題を解決すべくなされたもので、この発明は、外部に持ち出されたデータが改竄された場合に、当該データの不正利用を防止する利用対象情報管理装置及び利用対象情報管理方法ならびにそのプログラムを提供することを目的としている。
【0005】
また、本発明は、外部に持ち出されたデータが、そのデータを持ち出した利用者自身によって改竄されることを防ぐと共に、持ち出されたデータの不正利用の責任の所在を明確にすることのできる利用対象情報管理装置及び利用対象情報管理方法ならびにそのプログラムを提供することを目的としている。
【課題を解決するための手段】
【0006】
上記問題を解決するために、本発明は、端末装置に接続される利用対象情報管理装置であって、利用対象となる利用対象情報を暗号鍵により暗号化する暗号化手段と、前記暗号化手段により暗号化された前記利用対象情報と、前記暗号鍵に対応する復号鍵により前記暗号化された利用対象情報を復号して利用可能状態とする利用時処理プログラムと、からなる持出パッケージデータを生成する持出パッケージ生成手段と、前記持出パッケージデータから第1の改竄判定用情報を生成する改竄判定用情報生成手段と、持出パッケージデータを記憶する前記端末装置より、当該持出パッケージデータから生成された第2の改竄判定用情報を受信する改竄判定用情報受信手段と、前記第1の改竄判定用情報と前記第2の改竄判定用情報とに基づいて前記端末装置が記憶する持出パッケージデータの正当性を判定する正当性判定手段と、前記正当性判定手段において、前記持出パッケージデータが正当であると判定された場合に、前記端末装置に前記復号鍵を送信する復号鍵送信手段と、を備えることを特徴とする利用対象情報管理装置である。
【0007】
また、本発明は、上記に記載の利用対象情報管理装置において、前記正当性判定手段が、前記第1の改竄判定用情報と前記第2の改竄判定用情報とが一致するか否かに基づいて前記端末装置の記憶する持出パッケージデータの正当性を判定することを特徴とする。
【0008】
また、本発明は、上記に記載の発明において、前記第2の改竄判定用情報は、前記端末装置にて固有の改竄判定用情報暗号鍵(後述するユーザに予め割り当てられ、ユーザを特定可能な秘密鍵)によって暗号化されており、前記受信手段が受信する第2の改竄判定用情報に、前記改竄判定用情報暗号鍵に対応する改竄判定用情報復号鍵(後述するユーザに予め割り当てられ、ユーザを特定可能な公開鍵)を適用して復号できるか否かを判定し、復号できる場合に復号を行う改竄判定用情報復号手段を備え、前記正当性判定手段は、前記改竄判定用情報復号手段が前記第2の改竄判定用情報を復号できると判定した場合に、当該改竄判定用情報復号手段によって復号された前記第2の改竄判定用情報と、前記第1の改竄判定用情報とが一致するか否かを判定することを特徴とする。
【0009】
また、本発明は、上記に記載の発明において、前記持出パッケージデータを受信する持出パッケージデータ受信手段(後述するファイル持出受付制御部107)と、前記受信した持出パッケージデータの送信元の端末装置が予め定められる特定の端末装置であるとき、当該持出パッケージデータに含まれるデータを読み出し、当該読み出したデータを前記復号鍵により復号して、その復号した利用対象情報を前記送信元の端末装置に送信する利用対象情報送信手段(後述するファイル持出受付制御部107)と、を備えることを特徴とする。
【0010】
また、本発明は、上記に記載の発明において、前記暗号化手段が前記利用対象情報の暗号化に用いた暗号鍵に対応する復号鍵を、前記利用対象情報を示す情報に対応付けて記憶する復号鍵記憶手段(後述するディスク装置108)を備え、前記暗号化手段は、前記利用対象情報ごとに異なる暗号鍵を用いて暗号化を行い、または、前記利用対象情報が編集された場合には編集前の暗号鍵とは異なる暗号鍵を用いて暗号化を行い、暗号化の後に、当該用いた暗号鍵に対応する復号鍵を、前記利用対象情報を示す情報に対応付けて前記復号鍵記憶手段に記憶させ、前記復号鍵送信手段は、前記端末装置に前記復号鍵を送信する場合、前記利用対象情報に対応する復号鍵を前記復号鍵記憶手段から読み出して送信する
ことを特徴とする。
【0011】
また、本発明は、利用者の属する組織に接続された組織内端末と、前記組織に属さない組織外端末とで利用される利用対象情報を管理する利用対象情報管理装置であって、暗号化された利用対象情報と利用時処理プログラムとによりデータ構成された持出パッケージデータを用いて生成された利用前の改竄判定用情報を記憶する改竄判定用情報記憶手段と、前記持出パッケージデータの持出許可を前記利用者の組織内端末へ通知する持出許可通知手段と、前記持出パッケージデータを用いて生成された前記利用対象情報の利用時の改竄判定用情報を組織外端末より受信する利用要求受付手段と、前記利用前の改竄判定用情報と、前記利用時の改竄判定用情報との比較に応じて、前記利用対象情報の前記組織外端末における利用可否を判定する利用可否判定手段と、前記利用対象情報を利用可と判定した場合には、前記組織外端末へ前記利用対象情報を復号する復号鍵を送信する利用許可手段と、を備えることを特徴とする利用対象情報管理装置である。
【0012】
また、本発明は、上述の利用対象情報管理装置において、前記利用要求受付手段は、前記改竄判定用情報の代わりに、前記改竄判定用情報に対して前記利用者の暗号鍵を適用して暗号化された署名情報を受信し、前記署名情報に基づいて前記利用時の改竄判定用情報を取得する改竄判定用情報取得手段を備えることを特徴とする。
【0013】
また、本発明は、上述の利用対象情報管理装置において、前記持出パッケージデータを生成する持出パッケージ生成手段と、前記利用対象情報の利用終了の通知と暗号化された編集後の前記利用対象情報とを受ける利用終了通知受付手段と、を備え、前記持出パッケージ生成手段は、前記利用終了の通知を受けた場合には、前記持出パッケージデータの生成において用いた暗号化した暗号鍵とは異なる暗号鍵を用いて前記編集後の利用対象情報を暗号化し、当該暗号化された利用対象情報を格納する新たな持出パッケージデータを生成し、前記組織外端末へ送信することを特徴とする。
【0014】
また、本発明は、上述の利用対象情報管理装置において、前記組織内端末において前記持出パッケージデータに格納された利用対象情報が利用される場合に、前記組織内端末より前記持出パッケージデータを受信して、当該持出パッケージデータに格納されている前記利用対象情報を復号して前記組織内端末へ返信する利用対象情報復号返信手段と、を備えることを特徴とする。
【0015】
また、本発明は、端末装置に接続される利用対象情報管理装置の利用対象情報管理方法であって、利用対象となる利用対象情報を暗号鍵により暗号化するステップと、暗号化された前記利用対象情報と、前記暗号鍵に対応する復号鍵により前記暗号化された利用対象情報を復号して利用可能状態とする利用時処理プログラムと、からなる持出パッケージデータを生成するステップと、前記持出パッケージデータから第1の改竄判定用情報を生成するステップと、持出パッケージデータを記憶する前記端末装置より、当該持出パッケージデータから生成された第2の改竄判定用情報を受信するステップと、前記第1の改竄判定用情報と前記第2の改竄判定用情報とに基づいて前記端末装置が記憶する持出パッケージデータの正当性を判定するステップと、前記持出パッケージデータが正当であると判定された場合に、前記端末装置に前記復号鍵を送信するステップと、を含むことを特徴とする利用対象情報管理方法である。
【0016】
また、本発明は、利用者の属する組織に接続された組織内端末と、前記組織に属さない組織外端末とで利用される利用対象情報を管理する利用対象情報管理装置の利用対象情報管理方法であって、前記利用対象情報管理装置の改竄判定用情報記憶手段が、暗号化された利用対象情報と利用時処理プログラムとによりデータ構成された持出パッケージデータを用いて生成された利用前の改竄判定用情報を記憶し、前記利用対象情報管理装置の持出許可通知手段が、前記持出パッケージデータの持出許可を前記利用者の組織内端末へ通知し、前記利用対象情報管理装置の利用要求受付手段が、前記持出パッケージデータを用いて生成された前記利用対象情報の利用時の改竄判定用情報を組織外端末より受信し、前記利用対象情報管理装置の利用可否判定手段が、前記利用前の改竄判定用情報と、前記利用時の改竄判定用情報との比較に応じて、前記利用対象情報の前記組織外端末における利用可否を判定し、前記利用対象情報管理装置の利用許可手段が、前記利用対象情報を利用可と判定した場合には、前記組織外端末へ前記利用対象情報を復号する復号鍵を送信することを特徴とする利用対象情報管理方法である。
【0017】
また、本発明は、端末装置に接続される利用対象情報管理装置として用いられるコンピュータに、利用対象となる利用対象情報を暗号鍵により暗号化する手順、暗号化された前記利用対象情報と、前記暗号鍵に対応する復号鍵により前記暗号化された利用対象情報を復号して利用可能状態とする利用時処理プログラムと、からなる持出パッケージデータを生成する手順、前記持出パッケージデータから第1の改竄判定用情報を生成する手順、持出パッケージデータを記憶する前記端末装置より、当該持出パッケージデータから生成された第2の改竄判定用情報を受信する手順、前記第1の改竄判定用情報と前記第2の改竄判定用情報とに基づいて前記端末装置が記憶する持出パッケージデータの正当性を判定する手順、前記持出パッケージデータが正当であると判定された場合に、前記端末装置に前記復号鍵を送信する手順、を実行させるためのプログラムである。
【0018】
また、本発明は、利用者の属する組織に接続された組織内端末と、前記組織に属さない組織外端末とで利用される利用対象情報を管理する利用対象情報管理装置のコンピュータに実行させるプログラムであって、暗号化された利用対象情報と利用時処理プログラムとによりデータ構成された持出パッケージデータを用いて生成された利用前の改竄判定用情報を記憶する改竄判定用情報記憶処理と、前記持出パッケージデータの持出許可を前記利用者の組織内端末へ通知する持出許可通知処理と、前記持出パッケージデータを用いて生成された前記利用対象情報の利用時の改竄判定用情報を組織外端末より受信する利用要求受付処理と、前記利用前の改竄判定用情報と、前記利用時の改竄判定用情報との比較に応じて、前記利用対象情報の前記組織外端末における利用可否を判定する利用可否判定処理と、前記利用対象情報を利用可と判定した場合には、前記組織外端末へ前記利用対象情報を復号する復号鍵を送信する利用許可処理と、をコンピュータに実行させるプログラムである。
【発明の効果】
【0019】
本発明によれば、パッケージデータに基づいて生成された第1の改竄判定情報と、パッケージデータを記憶する端末装置より、当該パッケージデータから生成された第2の改竄判定用情報を受信し、第1の改竄判定用情報と第2の改竄判定用情報とに基づいて端末装置が記憶するパッケージデータの正当性を判定し、当該パッケージデータが正当であると判定された場合に、端末装置にパッケージデータに含まれる暗号化された利用対象情報を復号する復号鍵を送信する構成とした。
これにより、パッケージデータが改竄されている場合、すなわちパッケージデータに含まれる暗号化された利用対象情報、利用時処理プログラムの両方、あるいはいずれか一方が改竄されている場合には、端末装置に復号鍵を送信しないようにすることができ、改竄された場合に利用対象情報が不正利用されることを防ぐことが可能となる。
【0020】
本発明によれば、持出パッケージデータに基づいて予め生成した利用前の改竄判定情報と、組織外端末から送信される持出パッケージデータに基づいて生成された利用時の改竄判定情報とを比較に応じて、持ち出しパッケージデータに格納されている持出データの復号用の暗号鍵を組織外端末へ送信する構成とした。
これにより、持出パッケージデータが改竄されている場合、すなわち持出パッケージデータに含まれる暗号化された利用対象情報、利用時処理プログラムの両方、あるいはいずれか一方が改竄されている場合、端末装置に復号鍵を送信しないようにすることができ、組織外端末装置において利用対象情報が不正利用されることを防ぐことが可能となる。
【0021】
また、本発明によれば、利用者が外部に持出パッケージデータを持ち出して利用した場合には、再度持出パッケージデータが生成される。これにより利用者は持出パッケージデータを利用する度に、署名情報を生成することとなる。そして、利用対象情報管理装置側ではその署名情報の確認において利用者の公開鍵で復号してハッシュ値を取得して、そのハッシュ値と予め記憶しているハッシュ値とを比較して利用対象情報の改竄を判定することとなる。そのため、利用対象情報の利用の度に、復号に用いた公開鍵からその利用対象情報を利用した利用者を確認できることとなる。また、これにより、外部に持ち出された利用対象情報の不正利用の有無を、その利用対象情報の利用のたびに判定するので、その不正の責任が誰にあるのかを明確にすることができる。
【0022】
また、本発明によれば、持出パッケージデータを組織内端末に再度持ち込んだ際に、その持出パッケージデータの署名情報を用いて再度、当該持出パッケージデータが改竄されていないか否かを判定することとなるので、既に持ち出された利用対象情報を組織内で安全に利用することが可能となる。
【発明を実施するための最良の形態】
【0023】
以下、本発明の一実施形態による利用対象情報管理システムを図面を参照して説明する。図1は同実施形態による利用対象情報管理システムの構成を示すブロック図である。この図において、符号1はファイル持出管理サーバ(利用対象情報管理装置)である。また、2は組織内端末である。また、3は組織外端末である。また、4は管理者端末である。ファイル持出管理サーバ1は組織内LAN(Local Area Network)を介して組織内端末2と管理者端末4とが接続されている。また、ファイル持出管理サーバ1はインターネット等の外部ネットワークを介して組織外端末3と接続されている。ここで、組織内端末2は利用者の属する組織のネットワーク内に接続された端末であり、組織外端末3は利用者が属する組織のネットワーク以外のネットワークに接続された端末である。なお、利用者の属する組織とは会社である場合や部署である場合、部署内のグループである場合など様々であるが、組織内・組織外は管理者が自由に設定することができるものとする。例えば、会社内であっても利用者が通常利用する端末をその利用者の属する組織内の端末、その他の全ての端末を組織外の端末とするようにしてもよい。
【0024】
図2は利用対象情報管理システムにおける処理概要を示す図である。
この図が示すように、まずドキュメントファイル(以下、持出データともいう)などを外部に持ち出す利用者は、そのファイルの持出申請をファイル持出管理サーバ1へ送信する。そして、ファイル持出管理サーバ1では、ドキュメントファイルを共通鍵で暗号化して、そのドキュメントファイルを利用する際に端末が処理するためのプログラムを格納したアクセス制御ソフトにそのドキュメントファイルを格納する。これを持出パッケージデータとする。また、ファイル持出管理サーバ1は、持出パッケージデータを用いて利用前の改竄判定用情報を生成する。そして、持出パッケージデータは、利用者の端末に送信され、持出用メディア(CD-ROMなどの携帯型記録媒体)に格納され外部に持ち出される。また、持出用メディアに格納された持出パッケージデータは、組織外端末3にコピーされる。そして、その持出パッケージデータの利用時には、組織外端末3が、持出パッケージデータの改竄の有無の確認を行うために、持出パッケージデータを用いて利用時の改竄判定用情報を生成し、さらに、その情報を利用者の秘密鍵で暗号化した署名情報を生成して、ファイル持出管理サーバ1へ送信する。そして、ファイル持出管理サーバ1が、署名情報を復号化して利用時の改竄判定用情報を生成し、利用前の改竄判定用情報と利用時の改竄判定用情報とに基づいて改竄の有無を判定し、改竄がなければドキュメントファイルの復号鍵(共通鍵)を組織外端末3へ送信する。そして、組織外端末3では持出パッケージデータに格納されているドキュメントファイルを共通鍵で復号化して利用する。
【0025】
ここで、アクセス制御ソフトとは、例えば、前述したドキュメントファイルがワードプロセッサソフトウェアなどによって生成されたものである場合、ワードプロセッサソフトウェアなどにおいて公開されるAPI(Application Interface)を利用して、予めインストールされたワードプロセッサソフトウェアなどが起動されて動作する際に、ワードプロセッサソフトウェアなどの印刷機能を不可にしたり、編集機能を不可にしたりする制限などの指定を行うソフトウェアである。
なお、上記の機能制限の他の構成として、組織外端末3のMACアドレスやGPS(Global Positioning System)を通じて取得される組織外端末3の位置情報などの情報に基づいて上述した編集機能や印刷機能などの制限を行う構成の他、そもそもワードプロセッサソフトウェアなどを起動させないように制限を行う構成も含むものとする。
また、アクセス制御ソフトとして、印刷機能を不可にしたり、編集機能を不可にしたりする機能制限などの改良が加えられたワードプロセッサソフトウェアなど自体を含むように構成してもよい。
【0026】
図3は利用対象情報管理システムに属する各装置の機能ブロック図である。
この図で示すように、ファイル持出管理サーバ1には、他の端末と情報を送受信する通信装置101、サーバ内の各処理部を制御するCPU(central processing unit)102、メインメモリ103、履歴管理部104、利用者認証部105、持出承認−持出パッケージ生成部106、ファイル持出受付制御部107、ディスク装置108を備えている。なお、ディスク装置108には「ユーザID−パスワード情報」、「利用条件情報」、「利用履歴情報」、「ユーザ公開情報」が格納される。
【0027】
前述した、ファイル持出管理サーバ1の通信装置101は、組織内端末2や組織外端末3、及び管理者端末4との通信の送受信を行う。また、履歴管理部104は、図4に示す利用履歴情報を生成してディスク装置108に記録する処理を行う。また、利用者認証部105は、ディスク装置108の「ユーザID−パスワード情報」を参照して、組織内端末2や組織外端末3を用いてファイル持出管理サーバ1へアクセスする利用者の認証の処理を行う。また、持出承認−持出パッケージ生成部106は、持出パッケージデータの生成及び端末への持出許可に関する処理を行う。また、ファイル持出受付制御部107は、通信装置101で受信される持出パッケージデータに格納されている持出データに対する利用要求情報に応じた処理を行う。
【0028】
組織内端末2は他の装置と情報を送受信する通信装置201、キーボードやマウスなどの情報入力装置202、持出パッケージデータを作成する持出パッケージ作成制御ソフト部203、持出パッケージデータのハッシュ値の算出や署名情報を生成するデータハッシュ化−署名生成部204、ディスプレイ205、メディア入出力装置206、CPU207、メインメモリ208、ディスク装置209を備えている。なお、ディスク装置209には、「持出パッケージデータ」、利用者の「利用者秘密鍵」などが記録されている。
【0029】
前述した、組織内端末2の通信装置201は、ファイル持出管理サーバ1との間の情報の通信を行う。また、持出パッケージ作成制御ソフト部203は、ファイル持出管理サーバ1が持出パッケージデータを作成する際に、当該ファイル持出管理サーバ1と連携して処理を行い、また、組織内端末2内で持出パッケージデータが利用される際の制御を行う。データハッシュ化−署名生成部204は、持出パッケージデータのハッシュ値の生成と、そのハッシュ値を利用者の秘密鍵で暗号化して署名情報を生成する処理を行う。メディア入出力装置206は、USB(Universal Serial Bus)メモリなどの持出用メディア(記録媒体)からのデータの読み込み、または、その持出用メディア(記録媒体)へのデータの書き込みを行う。
【0030】
なお、前述した持出パッケージ作成制御ソフト部203、データハッシュ化−署名生成部204は、組織内端末2に予め記憶されているファイル持出ソフトが起動されることで生成される機能部である。
【0031】
組織外端末3は他の装置と情報を送受信する通信装置301、キーボードやマウスなどの情報入力装置302、持出パッケージ作成制御ソフト部303、データハッシュ化−署名生成部304、ディスプレイ305、メディア入出力装置306、CPU307、メインメモリ308、ディスク装置309を備えている。なお、ディスク装置309には持出パッケージデータや利用者秘密鍵が格納される。
【0032】
前述した、組織外端末3の通信装置301はファイル持出管理サーバ1との間の情報の通信を行う。また、持出パッケージ作成制御ソフト部303は、組織内端末3内で持出パッケージデータが利用される際の制御を行う。また、データハッシュ化−署名生成部304は、持出パッケージデータのハッシュ値の生成と、そのハッシュ値を利用者の秘密鍵で暗号化して署名情報を生成する処理を行う。メディア入出力装置306はUSBメモリなどの持出用メディア(記録媒体)からのデータの読み込み、または、その持出用メディア(記録媒体)へのデータの書き込みを行う。
なお、組織外端末3は、組織内のネットワークに接続された場合には組織内端末として動作することもできるため、組織内端末2と同様に、ファイル持出管理サーバ1が持出パッケージデータを作成する際に当該ファイル持出管理サーバ1と連携した処理を行うようにしてもよい。
【0033】
なお、前述した持出パッケージ作成制御ソフト部303、データハッシュ化−署名生成部304は、持出パッケージデータが起動されることで生成される機能部である。
【0034】
管理者端末4は、他の装置と情報を送受信する通信装置401、キーボードやマウスなどの情報入力装置402、CPU403、メインメモリ404、ディスプレイ405、ディスク装置406を備えている。
【0035】
次に、ファイル持出管理サーバが記憶する情報について説明する。
図4はファイル持出管理サーバが記憶する利用履歴情報のデータ例を示す図である。
利用履歴情報には、「利用日時」、「操作種別閲覧」、「対象データ」、「利用ユーザID」、「MACアドレス」、「利用ネットワーク」の項目があり、ファイル持出管理サーバ1のディスク装置108は、利用履歴情報として、図4に示すように、利用日時、操作種別(閲覧など)、対象データ(持出データ)、利用ユーザID、MACアドレス、利用ネットワークなどの情報を対応付けて記憶する。
【0036】
図5はファイル持出管理サーバが記憶するユーザ公開鍵情報のデータ例を示す図である。
ユーザ公開情報には、「ユーザID」、「公開鍵」の項目があり、ファイル持出管理サーバ1のディスク装置108は、ユーザ公開鍵情報として、図5に示すように、ユーザIDと公開鍵とを対応付けて記憶する。
【0037】
図6はファイル持出管理サーバが記憶するユーザID−パスワード情報のデータ例を示す図である。
ユーザID−パスワード情報には、「ユーザID」、「アカウント名」、「パスワード」、「MACアドレス」、「メールアドレス」、「公開鍵情報(公開場所)」の項目があり、ファイル持出管理サーバ1のディスク装置108は、ユーザID、パスワード情報として、図6に示すように、ユーザID、アカウント名、パスワードを対応付けて記憶するとともに、さらにユーザの利用する端末のMACアドレス、メールアドレス、公開鍵情報を対応付けて記憶する。
【0038】
例えば、組織内端末2のユーザ及び組織外端末3のユーザごとに、図6のそれぞれの項目に該当する情報が予め記憶されている。なお、「公開鍵情報(公開場所)」は、インターネット等で公開されるサーバのURI(Universal Resource Identifier)が設定され、当該URIに接続することで当該ユーザの公開鍵が取得可能とされる。
【0039】
図7はファイル持出管理サーバが記憶する利用条件情報のデータ例を示す図である。
利用条件情報には、「持出パッケージハッシュ情報」、「ハッシュ情報作成日時」、「利用ユーザID」、「アクセス許可日時」、「アクセス種別、回数」、「MACアドレス」、「利用ネットワーク」、「住所」、「電話番号」の項目があり、ファイル持出管理サーバ1のディスク装置108は、利用条件情報として、持出パッケージハッシュ情報、ハッシュ情報作成日時、利用者ID、アクセス許可日時、アクセス種別・回数、MACアドレス、利用ネットワーク、住所、電話番号などを対応付けて記憶する。
【0040】
図8は利用対象情報管理システムにおける処理フローを示す第1の図である。
図9は利用対象情報管理システムにおける処理フローを示す第2の図である。
図10は利用対象情報管理システムにおける処理フローを示す第3の図である。
次に図8〜図10を用いて利用対象情報管理システムにおける処理フローを説明する。
【0041】
(持出パッケージデータの準備段階)
まず、図8よりファイルを持ち出したいと希望するユーザは、組織内端末に予め備えられているファイル持出ソフトを起動する(ステップS101)。これにより、持出パッケージ作成制御ソフト部203、データハッシュ化−署名生成部204の機能が組織内端末2に構成される。
【0042】
そして、持出データ(例えば、ワードプロセッサソフトにより生成されるドキュメントファイルなどの利用対象情報)の指定と持出条件を指定して(ステップS102)、持出要求を組織内端末2に入力することで、組織内端末2は持出要求情報と持出データとをファイル持出管理サーバ1へ送信する(ステップS103)。するとファイル持出管理サーバ1は、持出要求情報と持出データとを管理者端末へ送信する(ステップS104)。管理者端末4においては、持出要求情報と持出データとを受信すると、その持出データの内容の確認を管理者より受けるために持出データの情報や持出要求を行っているユーザの情報(持出要求情報等に格納されている)を画面に表示する(ステップS105)。次に、管理者が承認または否認の情報を管理者端末4に入力する。そして、管理者端末4は判断結果(承認or否認)をファイル持出管理サーバ1へ通知する(ステップS106)。
【0043】
次に、ファイル持出管理サーバ1は、判断結果の通知を受けるとその結果が承認OKかNG(否認)かを判断し(ステップS107)、NGであれば組織内端末2へ否認の情報を通知する。また、OKであればファイル持出管理サーバ1は、受信した持出データを共通鍵Aで暗号化して、持出情報を生成しその持出情報をディスク装置108に登録しておく(ステップS108)。また、ファイル持出管理サーバ1は、暗号化した持出データを含む持出パッケージデータを生成し、その持出パッケージデータとともに署名要求を示す情報を組織内端末2へ送信する(ステップS109)。
なお、上述したように、持出パッケージデータとは持出データとその持出データを組織外部で利用するために組織外端末3で動作する利用時処理プログラム、すなわち前述したアクセス制御ソフト及び当該アクセス制御ソフトに含まれる組織外端末3で起動されることで持出パッケージ作成制御ソフト部303及びデータハッシュ化−署名生成部304の機能を構成するソフトウェアとが一体となったデータである。
また、ファイル持出管理サーバ1は、ハッシュ関数を用いて持出パッケージデータのハッシュ値Aを算出し、利用ユーザIDに対応付けてそのハッシュ値A(利用前の改竄判定用情報)を利用条件情報としてディスク装置108へ登録する(ステップS110)。この時ハッシュ情報(ハッシュ値)作成日時も共に登録する。
【0044】
次に、組織内端末2は持出パッケージデータと署名要求を受信すると、ハッシュ関数を用いて持出パッケージデータのハッシュ値Bを算出する。なお、この時利用するハッシュ関数は、ファイル持出管理サーバ1が用いたハッシュ関数と同一であるものとする。そして算出されたハッシュ値Bを利用者の秘密鍵で暗号化する(ステップS111)。この暗号化された情報を署名情報と呼ぶこととする。次に、組織内端末2は署名情報をファイル持出管理サーバ1へ送信する(ステップS112)。
【0045】
ファイル持出管理サーバ1では、署名情報を受信すると、利用者の公開鍵を利用して署名情報を復号化して、ハッシュ値Bを取得する(ステップS113)。そしてハッシュ値Aとハッシュ値Bとを比較して同一か否か、つまり、値が一致するかを判定する(ステップS114)。NG(一致しない場合)であれば、ファイル持出管理サーバ1は、NGの情報を組織内端末2へ通知する。また、OKであれば、持出データの組織外への持出行為を承認し、持出許可を示す情報を組織内端末2へ通知する(ステップS115)。
【0046】
組織内端末2では持出許可を示す情報を受信すると、その旨を画面に表示する。するとユーザは、組織内端末2を操作して持出パッケージデータを持出用メディア(CD−ROMやUSBメモリ)へ保存する(ステップS116)。そして、ユーザは最初のステップで起動したファイル持出ソフトを終了させる(ステップS117)。
【0047】
ここで、図8を用いて説明した各処理において、ステップS101、S102、S103、S116、S117に関連する組織内端末2の処理は、組織内端末2の持出パッケージ作成制御ソフト部203により行われる処理である。また、ステップS111、S112に関連する組織内端末2の処理は、組織内端末2のデータハッシュ化−署名生成部204により行われる処理である。また、ステップS104、S107〜S110、S113〜S115に関連するファイル持出管理サーバ1の各処理は、当該ファイル持出管理サーバ1の持出承認−持出パッケージ生成部106により行われる処理である。
【0048】
(持出パッケージデータの利用段階)
次に、持出データの組織外端末における利用時の処理について説明する。
図9より、ユーザはUSBメモリやCD−ROMなどの持出用メディアに格納して持ち出した持出パッケージデータ中の持出データを利用する際には、まず、組織外端末3にて、持出パッケージデータを起動して、ファイル持出管理サーバ1へアクセスする。このとき、組織外端末3では、持出パッケージ作成制御ソフト部303及びデータハッシュ化−署名生成部304の機能が構成される(ステップS201)。また、この時ユーザは組織外端末3へユーザ認証情報(ユーザIDやアカウント名やパスワード)を入力する(ステップS202)。すると組織外端末3は認証情報(ユーザIDやアカウント名やパスワード)と利用要求を示す情報をセキュリティの高いSSL(Secure Socket Layer)通信などで送信する。そして、ファイル持出管理サーバ1は、認証情報で示される情報の組み合わせがディスク装置108のユーザID−パスワード情報に格納されている組み合わせと一致するか否かによって認証し、認証結果がOKかNGかを判定する(ステップS203)。そして、NGであればその旨の情報を組織外端末3へ通知する。また、認証がOKであれば、持出パッケージデータ署名情報送信の要求をSSL通信により組織外端末3へ送信する(ステップS204)。
【0049】
次に、組織外端末3は、持出パッケージデータとハッシュ関数とを用いて、持出パッケージデータのハッシュ値C(利用時の改竄判定用情報)を生成する。なお、このハッシュ関数は、上述の処理においてファイル持出管理サーバ1が利用したハッシュ関数と同一であるものとする。そして、組織外端末3は、ハッシュ値Cを利用者の秘密鍵で暗号化する。このハッシュ値Cが暗号化された情報を署名情報とする。そして、組織外端末3は署名情報をSSL通信でファイル持出管理サーバ1へ送信する(ステップS205)。
【0050】
次に、ファイル持出管理サーバ1は、署名情報を利用者の公開鍵で復号してハッシュ値Cを取得する(ステップS206)。そして、ハッシュ値Aとハッシュ値Cとが同一か否かを判定する(ステップS207)。NGであれば組織外端末3へNGである旨を通知する。また、OKであれば起動許可と共通鍵AとをSSL通信により組織外端末3へ送信する(ステップS208)。次に、組織外端末3は、持出パッケージデータに格納されている持出データの起動許可を画面等に表示する。すると、利用者は共通鍵Aによる持出データの復号化を組織外端末3に指示し、組織外端末3が持出データを復号する(ステップS209)。これにより、利用者は組織外端末3を用いて外部での持出データの閲覧・編集を行うことができる。なお、持出データが利用されている間、組織外端末3は、その持出データの利用状況を確認し、その利用状況を示す利用情報をファイル持出管理サーバ1へ送信する。この利用情報には閲覧されたか、編集されたか、コピーされたか、印刷されたか等を示す情報である。ファイル持出管理サーバ1は利用情報を受信すると、その情報に基づいて利用履歴情報を登録する(ステップS210)。
【0051】
また、利用者が組織外端末3に操作終了を指示すると、組織外端末3は上書き保存要求と暗号化した持出データとをSSL通信によりファイル持出管理サーバ1へ送信する(ステップS211)。すると、ファイル持出管理サーバ1は、共通鍵Bを用いて編集された持出データを暗号化し、上書き(編集の処理)の情報を履歴情報として登録する(ステップS212)。そして、暗号化した持出データを格納した持出パッケージデータを生成し、その持出パッケージデータと署名要求とをSSL通信により組織外端末3へ送信する(ステップS213)。また、ファイル持出管理サーバ1は、持出パッケージデータとハッシュ関数とを用いてハッシュ値A’を生成し、利用条件情報としてディスク装置108に登録する(ステップS214)。つまり、ファイル持出管理サーバ1は、ディスク装置108で記憶しているハッシュ値Aを、新たなハッシュ値A’に更新している。
【0052】
なお、上述の処理においては、持出パッケージデータのハッシュ値を生成して、そのハッシュ値と記憶しているハッシュ値とを比較して持出パッケージデータの改竄を判定しているが、これに限らず、持出パッケージデータやそれに格納されている持出データのままで、予め記憶している持出パッケージデータや持出データと比較して改竄を判定するようにしてもよい。また、署名情報の生成において利用者の秘密鍵を用いているが、これに限らず、利用者と管理者の共通鍵を利用するようにしてもよい。更に、上述の処理以外に、持出データの操作終了後に組織外端末3が自らハッシュ値A’を生成し、当該ハッシュ値A’のみを、利用者の秘密鍵や事前に管理者と共有された共通鍵によって暗号化してファイル管理サーバ1に送信することで、ファイル持出管理サーバ1がディスク装置108で記憶しているハッシュ値Aを、受信した新たなハッシュ値A’に更新するようにしてもよい。この場合ステップS213以降の処理における持出パッケージデータの新たな生成、及び生成した持出パッケージデータに関連する処理は行われないこととなる。
【0053】
次に、組織外端末3においては持出パッケージデータと署名要求とを受信すると、持出パッケージデータとハッシュ関数とを用いてハッシュ値B’を生成し、その値を利用者の秘密鍵で暗号化する(ステップS215)。そして、この暗号化したデータを署名情報とする。そして、組織外端末3は署名情報をSSL通信によりファイル持出管理サーバ1へ送信する(ステップS216)。ファイル持出管理サーバ1では署名情報を受信すると、利用者の公開鍵で復号しハッシュ値B’を取得する(ステップS217)。そして、ハッシュ値A’とハッシュ値B’の値が同一か否かを判定し(ステップS218)、同一でない場合にはNGを組織外端末3へ通知する。また、同一である場合にはOKと判定し、持出行為を承認し、持出許可を組織外端末3へ通知する(ステップS219)。また、組織外端末3においては、利用者の指示によって持出パッケージデータを持出用メディアに保存する(ステップS220)。そして、利用者は、ステップS201で起動した持出パッケージデータを終了させる(ステップS221)。なお、持出データの利用終了時のステップS216〜ステップS218の処理は行わないようにしても良い。つまり、ハッシュ値A’の改竄判定用情報を更新して、その処理の後は持出行為を承認する処理へと移行するようにしても良い。
【0054】
ここで、図9を用いて説明した各処理において、ステップS201、S202、S209、S211、S220、S221に関連する処理は、組織外端末3の持出パッケージ作成制御ソフト部303により行われる処理である。また、ステップS205、S215、S216に関連する処理は、組織外端末3のデータハッシュ化−署名生成部304により行われる処理である。また、ステップS203に関連するファイル持出管理サーバ1の処理は、当該ファイル持出管理サーバ1の利用者認証部105により行われる処理である。また、ステップS204、S206〜S208、S212〜S214、S217〜219に関連するファイル持出管理サーバ1の各処理は、当該ファイル持出管理サーバ1のファイル持出受付制御部107により行われる処理である。また、ステップS210に関連するファイル持出管理サーバ1の処理は、履歴管理部104により行われる処理である。
【0055】
また、上述の処理によれば、利用者が外部に持出データを持ち出して利用した場合には、再度持出パッケージデータが生成される。これにより、利用者は持出パッケージデータを利用するたびに、署名情報を生成することとなる。そして、ファイル持出管理サーバ1側ではその署名情報の確認において利用者の公開鍵で復号してハッシュ値を取得して、そのハッシュ値と予め記憶しているハッシュ値とを比較して持出データの改竄を判定することとなるので、持出データの利用の度に、復号に用いた公開鍵からそのデータを利用する利用者を確認できることとなる。また、これにより、また外部に持ち出されたデータの不正利用の有無を、その持出データの利用のたびに判定するので、その不正の責任が誰にあるのかを明確にすることができる。
【0056】
(持出パッケージデータの組織内端末による再利用)
次に、持出データを組織内へ持ち帰った際の処理について説明する。
利用者は、外部へ持出した持出パッケージデータをUSBメモリ等の持出用メディアから組織内端末2へデータ移動させたとする。組織内端末2においては持出データを持出パッケージデータ内に格納しておく必要がないため、以下の処理を行う。図10より、まず利用者がファイル持出ソフトを起動する(ステップS301)。すると組織内端末2はファイル持出管理サーバ1へアクセスする。そして、組織内端末2はユーザ認証情報の入力を利用者から受け付けて、認証情報と利用要求情報をファイル持出管理サーバ1へ送信する(ステップS302)。ファイル持出管理サーバ1は受信した認証情報を用いて認証を行い、認証結果がOKかNGかを判定する(ステップS303)。そして、NGの場合にはその旨を組織内端末2へ送信する。また、認証結果がOKである場合には、ファイル持出管理サーバ1は持出パッケージデータの署名情報送信要求を組織内端末2へ送信する(ステップS304)。すると、組織内端末2は、持出パッケージデータとハッシュ関数とを用いてハッシュ値C’を生成する。このハッシュ関数についても上述のハッシュ値の算出に利用されたハッシュ関数と同一である。そして、組織内端末2はハッシュ値C’を利用者の秘密鍵で暗号化する。この暗号化されたハッシュ値C’を署名情報とする。そして、組織内端末2は署名情報をファイル持出管理サーバ1へ送信する(ステップS305)。
【0057】
次に、ファイル持出管理サーバ1は受信した署名情報を利用者の公開鍵で復号しハッシュ値C’を取得する(ステップS306)。そして、ハッシュ値C’とハッシュ値A’が同一か否かを判定する(ステップS307)。ハッシュ値C’とハッシュ値A’とが同一でなければ(NGの場合)、ファイル持出管理サーバ1は、組織内端末2へNGを通知する。また、ハッシュ値C’とハッシュ値A’とが同一である場合には(OKの場合)、そのOKを認証結果として組織内端末2へ通知する。すると組織内端末2は、持出パッケージデータをファイル持出管理サーバ1へ送信する(ステップS308)。するとファイル持出管理サーバ1は持出パッケージデータに格納されている持出データを共通鍵Bで復号化する(ステップS309)。そして、復号化した持出データを組織内端末2へ返信する(ステップS310)。組織内端末2は、復号された持出データを受信すると、その持出データをディスク装置209へ保存し(ステップS311)、持出パッケージデータを破棄する(ステップS312)。そしてユーザの操作に基づいてファイル持出ソフトを終了させる(ステップS313)。
【0058】
ここで、図10を用いて説明した各処理において、ステップS301、S302、S308、S311、S312、S313に関連する処理は、組織内端末2の持出パッケージ作成制御ソフト部203により行われる処理である。また、ステップS305に関連する処理は、組織内端末2のデータハッシュ化−署名生成部204により行われる処理である。また、ステップS303に関連するファイル持出管理サーバ1の処理は、当該ファイル持出管理サーバ1の利用者認証部105により行われる処理である。また、ステップS304〜S307、S309、S310に関連するファイル持出管理サーバ1の各処理は、当該ファイル持出管理サーバ1のファイル持出受付制御部107により行われているものとする。
【0059】
持出データを組織内へ持ち帰った際の上記処理によれば、持出パッケージデータを組織内端末に再度持ち込んだ際に、その持出パッケージデータの署名情報を用いて再度、当該持出パッケージデータが改竄されていないか否かを判定することとなるので、既に持ち出された持出データを組織内で安全に利用することが可能となる。
【0060】
なお、上記の実施形態の構成において、共通鍵A及び共通鍵Bは、異なる共通鍵としているが、これらの共通鍵は同じであってもよい。
また、ファイル持出管理サーバ1にて用いられる共通鍵、すなわち上述した共通鍵A、共通鍵Bが異なる場合には、予め複数の共通鍵がディスク装置108に記憶されており、持出承認−持出パッケージ生成部106が、持出データを暗号化する際に、ランダムに選択し、選択した共通鍵をディスク装置108のユーザID−パスワード情報に、ユーザIDに対応付けて記憶させるようにしてもよい。また、予め共通鍵を記憶させておくのではなく、利用する際に、ファイル持出管理サーバ1にて動的に共通鍵を生成するようにしてもよい。また、上記の実施形態では、持出データの暗号化にて、暗号鍵と復号鍵が同一の共通鍵を適用しているが、本発明は当該実施形態の構成には限られず、例えば、秘密鍵と公開鍵のような、暗号鍵と復号鍵が異なる組み合わせにて、持出パッケージデータを暗号鍵で暗号化し、ハッシュ値が一致して組織外端末3に鍵を送信する際に復号鍵を送信するようにしてもよい。
【0061】
また、上記の実施形態の構成においては、ファイル持出管理サーバ1が組織内端末2から持出要求情報を受信したことを契機に持出パッケージデータを生成して、組織内端末2へ送信し、当該持出パッケージデータが組織外端末3へ持ち出される実施形態について説明しているが、組織内端末2を含めないシステム構成としてもよい。
例えば、ファイル持出管理サーバ1がCD−ROMなどの記録媒体に格納された持出データを読み込んで、その持出データを格納した持出パッケージデータを生成し、当該持出パッケージデータのハッシュ値を生成して記憶しておき、持出パッケージデータを組織外端末3へ送信するようなシステムであってもよい。
【0062】
また、上記の実施形態では、組織内端末2にインストールされているファイル持出ソフトが実行されることにより、持出パッケージ作成制御ソフト部203及びデータハッシュ化−署名生成部204が構成される実施の形態について説明したが、組織内端末2にてファイル持出ソフトを用いずに構成する実施形態としてもよい。
例えば、ウェブブラウザ等により組織内端末2からファイル持出管理サーバ1に接続し、持出データを当該ウェブブラウザにてファイル持出管理ソフト1に送信して、ファイル持出管理ソフト1に持出パッケージデータを生成させ、当該持出パッケージデータを利用するようにしてもよい。
【0063】
また、上記の実施形態では、持出パッケージデータとは、持出データとアクセス制御ソフトが一体となったデータとし、アクセス制御ソフトには、持出パッケージ作成制御ソフト部303及びデータハッシュ化−署名生成部304の機能が含まれるとしているが、本発明は当該構成に限られず、アクセス制御ソフトに、持出パッケージ作成制御ソフト部303及びデータハッシュ化−署名生成部304の機能のうち図9のステップS201(起動)、S205(ハッシュ値の生成に係る処理の部分)、S209(共通鍵による復号)、S221(終了)の機能のみを備えさせるようにしてもよい。
【0064】
また、上記の実施形態では、データハッシュ化−署名生成部204は、ファイル持出ソフトに備えられ、データハッシュ化−署名生成部304は、持出パッケージデータに備えられるようにしているが、これらの機能部の内、署名情報に関する処理を行う機能(ステップS205(署名情報の生成に係る処理の部分)、S215(署名情報の生成に係る処理の部分)、S216)については、ファイル持出ソフトや持出パッケージデータに備えず、別途インストールされた署名ソフトウェアを用いて、署名情報を生成するようにしてもよい。
【0065】
また、上記の実施形態では、ディスク装置108の「ユーザID−パスワード情報」を参照して、ファイル持出管理サーバ1において認証が行われるように構成しているが、本発明は当該構成には限られず、例えば、組織外端末3から送信される電子証明書などにより認証を行なうようにしてもよい。
【0066】
本発明に記載の暗号化手段と持出パッケージ生成手段と改竄判定用情報生成手段とは、上述した持出承認−持出パッケージ生成部106に対応する。また、本発明に記載の改竄判定用情報受信手段と正当性判定手段と復号鍵送信手段とは、上述したファイル持出受付制御部107に対応する。また、本発明に記載の利用時処理プログラムは、上述したアクセス制御プログラムに対応する。
【0067】
また、本発明に記載の改竄判定用情報記憶手段は、上述したディスク装置108のユーザID−パスワード情報に対応する。また、本発明に記載の持出許可通知手段は、上述した持出承認−持出パッケージ生成部106に対応する。また、本発明に記載の利用要求受付手段と利用可否判定手段と利用許可手段とは、上述したファイル持出受付制御部107に対応する。また、本発明に記載の改竄判定用情報取得手段は、上述したファイル持出受付制御部107に対応する。また、本発明に記載の持出パッケージ生成手段は、上述した持出承認−持出パッケージ生成部106に対応する。また、本発明に記載の利用終了通知受付手段と利用対象情報復号送信手段は、上述したファイル持出受付制御部107に対応する。
【0068】
なお、上述の各装置は内部に、コンピュータシステムを有している。そして、上述した処理の過程は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータが読み出して実行することによって、上記処理が行われる。ここでコンピュータ読み取り可能な記録媒体とは、磁気ディスク、光磁気ディスク、CD−ROM、DVD−ROM、半導体メモリ等をいう。また、このコンピュータプログラムを通信回線によってコンピュータに配信し、この配信を受けたコンピュータが当該プログラムを実行するようにしても良い。
【0069】
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【図面の簡単な説明】
【0070】
【図1】利用対象情報管理システムの構成を示すブロック図である。
【図2】利用対象情報管理システムにおける処理概要を示す図である。
【図3】利用対象情報管理システムに属する各装置の機能ブロック図である。
【図4】利用履歴情報のデータ例を示す図である。
【図5】ユーザ公開鍵情報のデータ例を示す図である。
【図6】ユーザID−パスワード情報のデータ例を示す図である。
【図7】利用条件情報のデータ例を示す図である。
【図8】利用対象情報管理システムにおける処理フローを示す第1の図である。
【図9】利用対象情報管理システムにおける処理フローを示す第2の図である。
【図10】利用対象情報管理システムにおける処理フローを示す第3の図である。
【符号の説明】
【0071】
1・・・ファイル持出管理サーバ
2・・・組織内端末
3・・・組織外端末
4・・・管理者端末
【特許請求の範囲】
【請求項1】
端末装置に接続される利用対象情報管理装置であって、
利用対象となる利用対象情報を暗号鍵により暗号化する暗号化手段と、
前記暗号化手段により暗号化された前記利用対象情報と、前記暗号鍵に対応する復号鍵により前記暗号化された利用対象情報を復号して利用可能状態とする利用時処理プログラムと、からなる持出パッケージデータを生成する持出パッケージ生成手段と、
前記持出パッケージデータから第1の改竄判定用情報を生成する改竄判定用情報生成手段と、
持出パッケージデータを記憶する前記端末装置より、当該持出パッケージデータから生成された第2の改竄判定用情報を受信する改竄判定用情報受信手段と、
前記第1の改竄判定用情報と前記第2の改竄判定用情報とに基づいて前記端末装置が記憶する持出パッケージデータの正当性を判定する正当性判定手段と、
前記正当性判定手段において、前記持出パッケージデータが正当であると判定された場合に、前記端末装置に前記復号鍵を送信する復号鍵送信手段と、
を備えることを特徴とする利用対象情報管理装置。
【請求項2】
利用者の属する組織に接続された組織内端末と、前記組織に属さない組織外端末とで利用される利用対象情報を管理する利用対象情報管理装置であって、
暗号化された利用対象情報と利用時処理プログラムとによりデータ構成された持出パッケージデータを用いて生成された利用前の改竄判定用情報を記憶する改竄判定用情報記憶手段と、
前記持出パッケージデータの持出許可を前記利用者の組織内端末へ通知する持出許可通知手段と、
前記持出パッケージデータを用いて生成された前記利用対象情報の利用時の改竄判定用情報を組織外端末より受信する利用要求受付手段と、
前記利用前の改竄判定用情報と、前記利用時の改竄判定用情報との比較に応じて、前記利用対象情報の前記組織外端末における利用可否を判定する利用可否判定手段と、
前記利用対象情報を利用可と判定した場合には、前記組織外端末へ前記利用対象情報を復号する復号鍵を送信する利用許可手段と、
を備えることを特徴とする利用対象情報管理装置。
【請求項3】
前記利用要求受付手段は、前記改竄判定用情報の代わりに、前記改竄判定用情報に対して前記利用者の暗号鍵を適用して暗号化された署名情報を受信し、
前記署名情報に基づいて前記利用時の改竄判定用情報を取得する改竄判定用情報取得手段を備える
ことを特徴とする請求項2に記載の利用対象情報管理装置。
【請求項4】
前記持出パッケージデータを生成する持出パッケージ生成手段と、
前記利用対象情報の利用終了の通知と暗号化された編集後の前記利用対象情報とを受ける利用終了通知受付手段と、を備え、
前記持出パッケージ生成手段は、前記利用終了の通知を受けた場合には、前記持出パッケージデータの生成において用いた暗号化した暗号鍵とは異なる暗号鍵を用いて前記編集後の利用対象情報を暗号化し、当該暗号化された利用対象情報を格納する新たな持出パッケージデータを生成し、前記組織外端末へ送信する
ことを特徴とする請求項2または請求項3に記載の利用対象情報管理装置。
【請求項5】
前記組織内端末において前記持出パッケージデータに格納された利用対象情報が利用される場合に、前記組織内端末より前記持出パッケージデータを受信して、当該持出パッケージデータに格納されている前記利用対象情報を復号して前記組織内端末へ返信する利用対象情報復号返信手段と、
を備えることを特徴とする請求項2から請求項4に記載の利用対象情報管理装置。
【請求項6】
端末装置に接続される利用対象情報管理装置の利用対象情報管理方法であって、
利用対象となる利用対象情報を暗号鍵により暗号化するステップと、
暗号化された前記利用対象情報と、前記暗号鍵に対応する復号鍵により前記暗号化された利用対象情報を復号して利用可能状態とする利用時処理プログラムと、からなる持出パッケージデータを生成するステップと、
前記持出パッケージデータから第1の改竄判定用情報を生成するステップと、
持出パッケージデータを記憶する前記端末装置より、当該持出パッケージデータから生成された第2の改竄判定用情報を受信するステップと、
前記第1の改竄判定用情報と前記第2の改竄判定用情報とに基づいて前記端末装置が記憶する持出パッケージデータの正当性を判定するステップと、
前記持出パッケージデータが正当であると判定された場合に、前記端末装置に前記復号鍵を送信するステップと、
を含むことを特徴とする利用対象情報管理方法。
【請求項7】
利用者の属する組織に接続された組織内端末と、前記組織に属さない組織外端末とで利用される利用対象情報を管理する利用対象情報管理装置の利用対象情報管理方法であって、
前記利用対象情報管理装置の改竄判定用情報記憶手段が、暗号化された利用対象情報と利用時処理プログラムとによりデータ構成された持出パッケージデータを用いて生成された利用前の改竄判定用情報を記憶し、
前記利用対象情報管理装置の持出許可通知手段が、前記持出パッケージデータの持出許可を前記利用者の組織内端末へ通知し、
前記利用対象情報管理装置の利用要求受付手段が、前記持出パッケージデータを用いて生成された前記利用対象情報の利用時の改竄判定用情報を組織外端末より受信し、
前記利用対象情報管理装置の利用可否判定手段が、前記利用前の改竄判定用情報と、前記利用時の改竄判定用情報との比較に応じて、前記利用対象情報の前記組織外端末における利用可否を判定し、
前記利用対象情報管理装置の利用許可手段が、前記利用対象情報を利用可と判定した場合には、前記組織外端末へ前記利用対象情報を復号する復号鍵を送信する
ことを特徴とする利用対象情報管理方法。
【請求項8】
端末装置に接続される利用対象情報管理装置として用いられるコンピュータに、
利用対象となる利用対象情報を暗号鍵により暗号化する手順、
暗号化された前記利用対象情報と、前記暗号鍵に対応する復号鍵により前記暗号化された利用対象情報を復号して利用可能状態とする利用時処理プログラムと、からなる持出パッケージデータを生成する手順、
前記持出パッケージデータから第1の改竄判定用情報を生成する手順、
持出パッケージデータを記憶する前記端末装置より、当該持出パッケージデータから生成された第2の改竄判定用情報を受信する手順、
前記第1の改竄判定用情報と前記第2の改竄判定用情報とに基づいて前記端末装置が記憶する持出パッケージデータの正当性を判定する手順、
前記持出パッケージデータが正当であると判定された場合に、前記端末装置に前記復号鍵を送信する手順、
を実行させるためのプログラム。
【請求項9】
利用者の属する組織に接続された組織内端末と、前記組織に属さない組織外端末とで利用される利用対象情報を管理する利用対象情報管理装置のコンピュータに実行させるプログラムであって、
暗号化された利用対象情報と利用時処理プログラムとによりデータ構成された持出パッケージデータを用いて生成された利用前の改竄判定用情報を記憶する改竄判定用情報記憶処理と、
前記持出パッケージデータの持出許可を前記利用者の組織内端末へ通知する持出許可通知処理と、
前記持出パッケージデータを用いて生成された前記利用対象情報の利用時の改竄判定用情報を組織外端末より受信する利用要求受付処理と、
前記利用前の改竄判定用情報と、前記利用時の改竄判定用情報との比較に応じて、前記利用対象情報の前記組織外端末における利用可否を判定する利用可否判定処理と、
前記利用対象情報を利用可と判定した場合には、前記組織外端末へ前記利用対象情報を復号する復号鍵を送信する利用許可処理と、
をコンピュータに実行させるプログラム。
【請求項1】
端末装置に接続される利用対象情報管理装置であって、
利用対象となる利用対象情報を暗号鍵により暗号化する暗号化手段と、
前記暗号化手段により暗号化された前記利用対象情報と、前記暗号鍵に対応する復号鍵により前記暗号化された利用対象情報を復号して利用可能状態とする利用時処理プログラムと、からなる持出パッケージデータを生成する持出パッケージ生成手段と、
前記持出パッケージデータから第1の改竄判定用情報を生成する改竄判定用情報生成手段と、
持出パッケージデータを記憶する前記端末装置より、当該持出パッケージデータから生成された第2の改竄判定用情報を受信する改竄判定用情報受信手段と、
前記第1の改竄判定用情報と前記第2の改竄判定用情報とに基づいて前記端末装置が記憶する持出パッケージデータの正当性を判定する正当性判定手段と、
前記正当性判定手段において、前記持出パッケージデータが正当であると判定された場合に、前記端末装置に前記復号鍵を送信する復号鍵送信手段と、
を備えることを特徴とする利用対象情報管理装置。
【請求項2】
利用者の属する組織に接続された組織内端末と、前記組織に属さない組織外端末とで利用される利用対象情報を管理する利用対象情報管理装置であって、
暗号化された利用対象情報と利用時処理プログラムとによりデータ構成された持出パッケージデータを用いて生成された利用前の改竄判定用情報を記憶する改竄判定用情報記憶手段と、
前記持出パッケージデータの持出許可を前記利用者の組織内端末へ通知する持出許可通知手段と、
前記持出パッケージデータを用いて生成された前記利用対象情報の利用時の改竄判定用情報を組織外端末より受信する利用要求受付手段と、
前記利用前の改竄判定用情報と、前記利用時の改竄判定用情報との比較に応じて、前記利用対象情報の前記組織外端末における利用可否を判定する利用可否判定手段と、
前記利用対象情報を利用可と判定した場合には、前記組織外端末へ前記利用対象情報を復号する復号鍵を送信する利用許可手段と、
を備えることを特徴とする利用対象情報管理装置。
【請求項3】
前記利用要求受付手段は、前記改竄判定用情報の代わりに、前記改竄判定用情報に対して前記利用者の暗号鍵を適用して暗号化された署名情報を受信し、
前記署名情報に基づいて前記利用時の改竄判定用情報を取得する改竄判定用情報取得手段を備える
ことを特徴とする請求項2に記載の利用対象情報管理装置。
【請求項4】
前記持出パッケージデータを生成する持出パッケージ生成手段と、
前記利用対象情報の利用終了の通知と暗号化された編集後の前記利用対象情報とを受ける利用終了通知受付手段と、を備え、
前記持出パッケージ生成手段は、前記利用終了の通知を受けた場合には、前記持出パッケージデータの生成において用いた暗号化した暗号鍵とは異なる暗号鍵を用いて前記編集後の利用対象情報を暗号化し、当該暗号化された利用対象情報を格納する新たな持出パッケージデータを生成し、前記組織外端末へ送信する
ことを特徴とする請求項2または請求項3に記載の利用対象情報管理装置。
【請求項5】
前記組織内端末において前記持出パッケージデータに格納された利用対象情報が利用される場合に、前記組織内端末より前記持出パッケージデータを受信して、当該持出パッケージデータに格納されている前記利用対象情報を復号して前記組織内端末へ返信する利用対象情報復号返信手段と、
を備えることを特徴とする請求項2から請求項4に記載の利用対象情報管理装置。
【請求項6】
端末装置に接続される利用対象情報管理装置の利用対象情報管理方法であって、
利用対象となる利用対象情報を暗号鍵により暗号化するステップと、
暗号化された前記利用対象情報と、前記暗号鍵に対応する復号鍵により前記暗号化された利用対象情報を復号して利用可能状態とする利用時処理プログラムと、からなる持出パッケージデータを生成するステップと、
前記持出パッケージデータから第1の改竄判定用情報を生成するステップと、
持出パッケージデータを記憶する前記端末装置より、当該持出パッケージデータから生成された第2の改竄判定用情報を受信するステップと、
前記第1の改竄判定用情報と前記第2の改竄判定用情報とに基づいて前記端末装置が記憶する持出パッケージデータの正当性を判定するステップと、
前記持出パッケージデータが正当であると判定された場合に、前記端末装置に前記復号鍵を送信するステップと、
を含むことを特徴とする利用対象情報管理方法。
【請求項7】
利用者の属する組織に接続された組織内端末と、前記組織に属さない組織外端末とで利用される利用対象情報を管理する利用対象情報管理装置の利用対象情報管理方法であって、
前記利用対象情報管理装置の改竄判定用情報記憶手段が、暗号化された利用対象情報と利用時処理プログラムとによりデータ構成された持出パッケージデータを用いて生成された利用前の改竄判定用情報を記憶し、
前記利用対象情報管理装置の持出許可通知手段が、前記持出パッケージデータの持出許可を前記利用者の組織内端末へ通知し、
前記利用対象情報管理装置の利用要求受付手段が、前記持出パッケージデータを用いて生成された前記利用対象情報の利用時の改竄判定用情報を組織外端末より受信し、
前記利用対象情報管理装置の利用可否判定手段が、前記利用前の改竄判定用情報と、前記利用時の改竄判定用情報との比較に応じて、前記利用対象情報の前記組織外端末における利用可否を判定し、
前記利用対象情報管理装置の利用許可手段が、前記利用対象情報を利用可と判定した場合には、前記組織外端末へ前記利用対象情報を復号する復号鍵を送信する
ことを特徴とする利用対象情報管理方法。
【請求項8】
端末装置に接続される利用対象情報管理装置として用いられるコンピュータに、
利用対象となる利用対象情報を暗号鍵により暗号化する手順、
暗号化された前記利用対象情報と、前記暗号鍵に対応する復号鍵により前記暗号化された利用対象情報を復号して利用可能状態とする利用時処理プログラムと、からなる持出パッケージデータを生成する手順、
前記持出パッケージデータから第1の改竄判定用情報を生成する手順、
持出パッケージデータを記憶する前記端末装置より、当該持出パッケージデータから生成された第2の改竄判定用情報を受信する手順、
前記第1の改竄判定用情報と前記第2の改竄判定用情報とに基づいて前記端末装置が記憶する持出パッケージデータの正当性を判定する手順、
前記持出パッケージデータが正当であると判定された場合に、前記端末装置に前記復号鍵を送信する手順、
を実行させるためのプログラム。
【請求項9】
利用者の属する組織に接続された組織内端末と、前記組織に属さない組織外端末とで利用される利用対象情報を管理する利用対象情報管理装置のコンピュータに実行させるプログラムであって、
暗号化された利用対象情報と利用時処理プログラムとによりデータ構成された持出パッケージデータを用いて生成された利用前の改竄判定用情報を記憶する改竄判定用情報記憶処理と、
前記持出パッケージデータの持出許可を前記利用者の組織内端末へ通知する持出許可通知処理と、
前記持出パッケージデータを用いて生成された前記利用対象情報の利用時の改竄判定用情報を組織外端末より受信する利用要求受付処理と、
前記利用前の改竄判定用情報と、前記利用時の改竄判定用情報との比較に応じて、前記利用対象情報の前記組織外端末における利用可否を判定する利用可否判定処理と、
前記利用対象情報を利用可と判定した場合には、前記組織外端末へ前記利用対象情報を復号する復号鍵を送信する利用許可処理と、
をコンピュータに実行させるプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2008−269544(P2008−269544A)
【公開日】平成20年11月6日(2008.11.6)
【国際特許分類】
【出願番号】特願2007−165987(P2007−165987)
【出願日】平成19年6月25日(2007.6.25)
【出願人】(399040405)東日本電信電話株式会社 (286)
【出願人】(504157024)国立大学法人東北大学 (2,297)
【出願人】(501175281)株式会社サイバー・ソリューションズ (7)
【Fターム(参考)】
【公開日】平成20年11月6日(2008.11.6)
【国際特許分類】
【出願日】平成19年6月25日(2007.6.25)
【出願人】(399040405)東日本電信電話株式会社 (286)
【出願人】(504157024)国立大学法人東北大学 (2,297)
【出願人】(501175281)株式会社サイバー・ソリューションズ (7)
【Fターム(参考)】
[ Back to top ]