利用者端末における二次記憶装置の管理方法および利用者端末
【課題】 ファイルサーバに保存された重要なデータの拡散の防止が可能なシステムであって、かつ書き込み制御を施した二次記憶装置を備える端末を利用者端末として使用するシステムにおいて、前記二次記憶装置に書き込みが必要な場合、前記二次記憶装置の書き込みを許可しても、利用者における前記二次記憶装置への不適切な書き込みを禁止し、簡単で安全に前記利用者端末の管理を実現する方法を提供することである。
【解決手段】 書き込みの制御を施した不揮発性の二次記憶装置を備える利用者端末において、前記二次記憶装置にインストールされているOSやアプリケーションのアップデート等のシステム管理上で二次記憶装置に保存が必要な操作が発生した際、OSのログイン機能により、利用者にアカウントを与えない状態で前記二次記憶装置への必要な書き込み処理を行う。
【解決手段】 書き込みの制御を施した不揮発性の二次記憶装置を備える利用者端末において、前記二次記憶装置にインストールされているOSやアプリケーションのアップデート等のシステム管理上で二次記憶装置に保存が必要な操作が発生した際、OSのログイン機能により、利用者にアカウントを与えない状態で前記二次記憶装置への必要な書き込み処理を行う。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、書き込み制御を施した二次記憶装置を備える利用者端末において、利用者による二次記憶装置への不適切なアプリケーションの新規インストール、OSの設定変更、データの保存等を防ぎ、安全・簡単に利用者端末における二次記憶装置を管理する方法および利用者端末に関するものである。
【背景技術】
【0002】
ファイルサーバに保管されている重要データが、利用者端末から拡散するのを防ぐためのシステムとして、シンクライアントシステムが考案されている。
シンクライアントシステムは、端末内に不揮発性の二次記憶装置を装備しないPC(ディスクレスPC)を端末として使用するのが一般的であるが、書き込みを禁止した不揮発性の二次記憶装置を備えるPCをシンクライアント端末として使用するシステムも存在する。
本発明は、書き込みを禁止した不揮発性の二次記憶装置を備えるPCをシンクライアント端末として使用するシステムを対象とするものである。
【0003】
このようなシステムでは、利用者は重要データについては、ネットワークを介してファイルサーバより揮発性記憶媒体にダウンロードして使用する点では一般的なシンクライアントシステムと同様であるが、予め、端末内の不揮発性の二次記憶装置にOSやアプリケーションをインストールしておき、通常の運用では不揮発性の二次記憶装置への書き込みを禁止して使用する部分が異なる。
このシステムでは、システム管理上で不揮発性の二次記憶装置に書き込みが必要な場合が生じてくる。
例えば、不揮発性の二次記憶装置にインストールされているOSやアプリケーションのアップデートを行うこと等である。
従来では、アップデートの更新ファイル等、前記の二次記憶装置に書き込みの必要が生じた場合、二次記憶装置における書き込み禁止を解除して、PCを再起動し、端末からファイルサーバへのアクセスを禁止し、不正なデータをファイルサーバへ保存することを防止した上で、端末内の二次記憶装置に対してアップデート等の書き込みを完了させ、書き込み禁止にして再起動するという手段が採用されていた。
【0004】
このような関連技術として、下記の特許文献1のような技術が提案されている。
【特許文献1】特開2003−303104
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら、上記のように、アップデートの更新ファイル等、前記の二次記憶装置に書き込みの必要が生じた場合に、二次記憶装置における書き込み禁止を解除して、PCを再起動し、端末からファイルサーバへのアクセスを禁止し、不正なデータをファイルサーバへ保存することを防止した上で、端末内の二次記憶装置に対してアップデート等の書き込みを完了させ、書き込み禁止にして再起動するという手法を採用した場合、二次記憶装置への書き込みを許可した時点で、利用者が二次記憶装置への書き込みが自由に行えるという状態が生じる事を意味し、ファイルサーバへの不正な保存は禁止可能なものの、端末内の二次記憶装置に対して、利用者によるOSの設定変更、不正なアプリケーションのインストール、データの保存等を許してしまうという問題が生じる。
また、場合によっては、二次記憶装置における書き込み禁止が解除されている状態で、二次記憶装置にトロイの木馬等、悪意のツールをインストールすることにより、データ漏洩等の不正を許してしまうという問題が生じる。
【0006】
本発明は、ファイルサーバの重要データは端末内の揮発性記憶媒体にのみ保存を許可して重要データの拡散を防止するようにし、かつ、利用者端末内の不揮発性の二次記憶装置に記憶されたOSまたはアプリケーションのアップデート等の更新が必要となり、二次記憶装置への書き込み制御を許可した場合でも、利用者による、アプリケーションの新規インストール、OSの設定変更、データの保存等の二次記憶装置への不適切な書き込みを禁止し、簡単で安全に利用者端末の管理を実現する方法および利用者端末を提供することを目的とするである。
【課題を解決するための手段】
【0007】
上記課題を解決するために、本発明に係る利用者端末の管理方法は、不揮発性の二次記憶装置内のデータ更新のための操作が必要になった場合、前記二次記憶装置への書き込みを許可して再起動を行い、利用者端末にインストールされたOSのログイン機能により、利用者がOSへログインを行う前、またはログアウトを行った後に更新データの書き込み処理を行い、更新データの書き込み処理終了後に前記二次記憶装置の書き込みを禁止にして再起動を行うことを特徴とする。
ここで、ログインとは、OSにおけるアカウント(利用権限)を取得するための操作を指し、ログアウトは逆の操作を指す。
すなわち、本発明では、不揮発性の二次記憶装置への書き込みを行う場合、利用者にアカウントを与えないで、二次記憶装置への書き込み処理を行うことにより、利用者に不適切な書き込みをさせずに目的を達成する事が可能となる。ログイン機能はOSにより異なる場合があるが、現在のOSにおいて付属していることが一般的な機能であり、本発明では、ログイン機能または、それに代わる機能が付属したOSが利用者端末の二次記憶装置にインストールされている事が前提となる。
【0008】
また、前記二次記憶装置に書き込みが必要なファイル名を、予め管理サーバに登録しておき、利用者端末の揮発性メモリ内に、前記ファイル名のファイルが存在した場合のみ、該当ファイルを二次記憶装置に書き込みことを特徴とする。
【0009】
また、前記二次記憶装置への書き込み処理中は、利用者端末の操作が不能なことを通知するメッセージを表示することを特徴とする。
また、不揮発性の二次記憶装置内のデータ更新が必要になった場合に当該二次記憶装置を書き込み許可状態にして当該利用者端末を再起動し、当該二次記憶装置内のデータを更新する利用者端末であって、
前記二次記憶装置を書き込み許可状態にして当該利用者端末を再起動した後、利用者に対して利用権限を移行する前、または利用権限を解除した後に、二次記憶装置内のデータ更新のための書き込み処理を行い、更新データの書き込み処理終了後に前記二次記憶装置の書き込みを禁止にして再起動させるログオン制御手段を備えることを特徴とする。
【発明の効果】
【0010】
本発明のよれば、ファイルサーバの重要データは端末内の揮発性記憶媒体にのみ保存を許可して重要データの拡散を防止するようにし、かつ、利用者端末内の不揮発性の二次記憶装置に記憶されたOSまたはアプリケーションのアップデート等の更新が必要となり、二次記憶装置への書き込み制御を許可した場合でも、利用者による、アプリケーションの新規インストール、OSの設定変更、データの保存等の二次記憶装置への不適切な書き込みを禁止し、簡単で安全に利用者端末の管理を実現することができる。
【発明を実施するための最良の形態】
【0011】
以下、本発明の実施の形態を図面を参照して詳細に説明する。
図1は本発明を実施するシステム構成図である。なお、本発明の実施形態は、一般的に普及しているログイン機能を持ったOSをインストールしている利用者端末を想定しているが、これは発明の範囲を限定するものではなく、これと同等の機能を保持しているものであれば範囲を問わない。また、システム及び構成に関しても同様である。
図1に例示するシステムは、管理サーバ100、ファイルサーバ103、利用者端末106で構成されており、それぞれがネットワーク114で接続されている。
【0012】
管理サーバ100には、端末管理サービス101、及びコミットファイル102が格納されている。
端末管理サービス101は、ネットワーク114経由で各利用者端末106を管理・制御する機能を備える。また、インターネット上で公開されているOSやアプリケーションのアップデート情報を常時監視しておき、アップデートが生じた場合、利用者端末106の端末管理エージェント109(後述)にアップデートの要求を行う機能も備える。
コミットファイル102とは、コミット機能により使用されるファイルである。コミット機能とは、書き込みが制御されている二次記憶装置に書き込みを行う手段であって、シャットダウン時にメモリ上のデータを二次記憶装置に書き込む機能である。
本発明で、コミットを行うには、事前に管理者により、管理サーバ100上の前記コミットファイル102に、ファイル名等の書き込む対象を登録しておく必要がある。本発明においてコミット機能は、リアルアップデート(後述)時に、OSのアップデートの更新ファイル等を書き込みが制御された二次記憶装置113(後述)に適応する場合に使用される。
【0013】
ファイルサーバ103には一般データ104と重要データ105が格納されている。
重要データ105は、著作権保護対象のコンテンツや機密情報など、厳重に管理しなければならないデータであり、組織外部への持ち出しや各端末への拡散・紛失等を防がなければならないデータである。
一般データ104は重要データ105ではない、利用者が一般的に使用するデータである。
【0014】
利用者端末106には、不揮発性の二次記憶装置113が搭載されており、この二次記憶装置113にはOS107、アプリケーション108、端末管理エージェント109、アップデートモジュール111、ログオン制御モジュール112、書き込み制御モジュール110がインストールされている。
アプリケーション108は、一般データ104や重要データ105等を取り扱うために使用するものであり、OS107上で動作する任意のアプリケーション108である。
端末管理エージェント109は、OS107の起動時に自動的に起動されるものであり、管理サーバ100の端末管理サービス101と連動して利用者端末106を管理・制御するためのサービスである。
具体的な機能としては、アップデートモジュール111の制御、ログオン制御モジュール112の制御、書き込み制御モジュール110の制御、コミット機能の制御、ネットワーク上のサーバへのアクセス制御がある。
【0015】
書き込み制御モジュール110は、OS107やアプリケーション108の二次記憶装置113へのデータの書き込み及び、書き込みの禁止を実現するものである。OS107やアプリケーション108が二次記憶装置113にアクセスする場合、二次記憶装置113からの読み込みは通常通り行い、書き込みに関しては、書き込みデータを揮発性のメモリ中にキャッシュするだけで、実際の二次記憶装置113には書き込ませない機能を持つ。実際には、ファイルシステムへのIO処理をフックするフィルタドライバとRAMディスク技術の組み合わせによって、書き込みデータの揮発性メモリ中へのキャッシュと不揮発性の二次記憶装置113への書き込み禁止が実現可能である。
この書き込み制御モジュール110には、書き込み禁止モードと書き込み可能モードがあり、書き込み禁止モードでは上述の通り、二次記憶装置113への書き込み禁止機能が働き、書き込み可能モードでは、通常のPC(パーソナルコンピュータ)と同じく、二次記憶装置113への書き込みが可能となる。この2つのモードの切り替えは、端末管理エージェント109により行われ、起動時に適用される。したがって、モードを切り替えるには、設定変更後に再起動する必要がある。通常は、常に書き込み禁止モードで起動を行うが、二次記憶装置内113に記憶されているデータのアップデートなど、システム管理上で二次記憶装置113に書き込みが必要になった場合に書き込み許可モードで起動を行う。
【0016】
アップデートモジュール111は、OS107またはアプリケーション108のアップデート、アプリケーション108の新規インストール、OS107の設定変更等のシステム管理上で二次記憶装置113に書き込みが必要な操作が発生した場合に呼び出され、アップデート時における更新ファイルの保存等の二次記憶装置113への書き込みを安全に行う機能を持つ。
なお、アップデートモジュール111には、リアルタイムアップデートと通常アップデートの2種類が存在する。
通常アップデートは、二次記憶装置113を書き込み許可モードで再起動して、更新ファイル等を二次記憶装置113に適応、または書き込み、完了後に書き込み禁止モードにして再起動を行う。実際には、システム管理上で二次記憶装置113に書き込みが必要なデータの中でも、データサイズが比較的大きな、OS107のアップデート用の更新ファイルやサービスパックのインストール、アプリケーションの新規インストール等が対象となる。
リアルタイムアップデートは、揮発性のメモリ上に展開された更新ファイルを、利用者端末106のシャットダウン時に、コミット機能を使って、二次記憶装置113に適応、または書き込んでアップデートを完了する。この機能は、システム管理上で二次記憶装置113に書き込みが必要なデータの中でも、比較的小さなサイズのデータや、書き込みを行ってもOS107の再起動の必要ない、ウィルス駆除ソフトのパターンファイルの更新やファイル単位の書き込み等が対象となる。
これらの2つのアップデート方法により、無駄な再起動を行う必要が無くなり、運用性が向上し、簡単で安全にアップデートを行うことが可能となる。
【0017】
ログオン制御モジュール112は、通常アップデート時に、OS107を書き込み可能モードで再起動した場合、利用者のログインを禁止する機能を持つ。利用者によるログインを禁止することにより、利用者の不適切な操作を禁止する事が可能となる。また、ログオン制御モジュール112は利用者に操作制限を通知するため、強制的にディスプレイ上に使用制限メッセージを表示する機能も備えている。この機能により、利用者が不適切な動作を禁止されていることを明示する事が可能となる。
【0018】
以下、以上の構成に係る動作について説明する。
図2は、書き込み制御モジュール110の処理のフローチャートである。
最初、利用者端末106にあるアプリケーション108は二次記憶装置113へのアクセスを試みる。このとき、書き込み処理かどうかを判定する(s202)。
書き込み処理の場合は、書き込みデータを揮発性のメモリ中にキャッシュし、不揮発性の二次記憶装置113にはデータを書き込まない(s206)。
書き込み処理でない場合、処理は読み込み処理であるので、まず、読み込み対象データが揮発性のメモリ中にキャッシュされているかどうかをチェックする(s203)。キャッシュされている場合は、そのデータを読み込んで利用する(s205)。キャッシュされていない場合は、対応するファイルデータを二次記憶装置113から読み込んで利用する(s204)。
【0019】
図3は、シャットダウン時のコミットに関するフローチャートである。
コミットは、書き込み禁止モードで起動していた利用者端末106がシャットダウンする場合に行われる。最初に、端末管理エージェント109は管理サーバ100上のコミットファイル102を読み込む(s301)。コミットファイル上には、予め管理者により二次記憶装置113に書き込む必要があるファイル名が登録されている。実際には、ウィルス駆除ソフトのパターンファイル等である。
コミットファイル102上に存在するファイルのうち、揮発性のメモリ上に展開されているファイルが存在した場合、それらのファイルを二次記憶装置113に書き込み(s303)、コミットを完了する。
【0020】
図4は、OS107またはアプリケーション108のアップデートに関するフローチャートである。
通常、利用者端末106は書き込み禁止モードで起動され(s401)、利用者はログインを行う(s402)。この際、利用者は二次記憶装置113に対する書き込みができないこと以外は通常のPCと同じ操作が可能である。
ここで、前記の通り、本発明における端末管理サービス101は常時最新のアップデート情報を入手しておき、アップデートの必要が生じた場合、端末管理エージェント109にアップデートを開始する通知を送り、これにしたがって、端末管理エージェント109は利用者にアップデート開始の承認を要求する(s403)。
利用者はアップデート作業をすぐに開始するか、または、後に開始するかを選択する事が可能であるが、直ちにアップデートを開始することを承認した場合には、端末管理エージェント109によりアップデートモジュール111が呼ばれ、アップデートが開始される(s404)。
【0021】
利用者がアップデート開始を否認した場合は、利用者がログアウトを行うまで書き込み禁止モードで利用者端末106を使用する事が可能であるが、利用者がログアウした時点(s405)で、再度アップデート通知を行い、端末管理エージェント109は利用者にアップデート開始の承認を要求する(s406)。利用者によりアップデートが承認された場合、端末管理エージェント109はアップデートモジュール111を呼び出し、アップデートを開始する(s408)。利用者による承認が得られない場合は、アップデートの必要が無くなるまで定期的に利用者に承認を促す。
【0022】
図5は、アップデートモジュール111のフローチャートである。
図4のs403及びs407で利用者によりアップデートが承認され、アップデートモジュール111が呼び出された場合(s404及びs408)、初めに、リアルタイムアップデートと通常アップデートの判断を行う(s501)。
通常アップデートの場合は、端末管理エージェント109に通知を行い、書き込み制御モジュール110を呼び出し、OS107を書き込み許可モードで再起動する(s502)。再起動後はログオン制御モジュール112により、利用者のログインは禁止される。(s503)。利用者の操作を禁止している間に、バックグラウンドで、アップデートに必要な更新ファイルを管理サーバ100からダウンロードしてアップデートを行う(s504)。
アップデートが完了したら、アップデートモジュール111は、OS107を書き込み禁止モードで再起動(s506)、または、シャットダウン(s507)のいずれかを利用者に選択させて(s505)、いずれかを行う。
【0023】
s501でリアルタイムアップデートが選択された場合には、メモリ上でアップデートの更新ファイルの適応、書き込み処理を行う(s508)。アップデートを行った後も、利用者は書き込み禁止モードで利用者端末106を使用することが可能である。
通常、アップデートに使用された更新ファイルは、管理者により予め管理サーバ100のコミットファイル102に登録されており、シャットダウン時のコミットのフローチャート(図3)に示すように、利用者が利用者端末106のシャットダウンを行う場合に、端末管理エージェント109はコミットファイル102を読み込んで、コミットファイルに登録されているデータ、かつ揮発性のメモリ上に展開されているデータを二次記憶装置113に適応、及び書き込み、シャットダウンする。
【0024】
以上、この2つのアップデート方法により、無駄な再起動を行う必要が無くなり、安全で簡単にデータを管理することが可能となる。
なお、ここではアップデートについて述べたが、システム管理上で二次記憶装置113に書き込みが生じた場合、上記手順と同様の操作を行う事により、書き込みを行うことが可能であるが省略する。
以上のことより、二次記憶装置113にインストールされているOS107、アプリケーション108のアップデートを安全に完了し、かつ重要データの利用者端末への保存、設定変更等の二次記憶装置113への不正なアクセス、保存が不能となる。
【0025】
図6は通常アップデート時にログオン制御モジュールが呼ばれた場合のフローチャートである。
なお、ここでの例は、windows2000(マイクロソフト社の登録商標)環境下でディスプレイに表示される画像例を挙げている。
図5のフローチャートにおいて、通常アップデートが選択された後(s501)、書き込み可能モードで再起動され(s502)、図7に示すようなログイン誘導画面が表示される(s601)。
このログイン誘導画面は、書き込み可能モードであっても、OS起動後に共通に表示される画面である。
ここで、利用者がログインを行おうと、[Ctrl]+[Alt]+[Del]キーを押した場合(s602)、通常ならば、図8のログイン画面が表示されるが、ログオン制御モジュール112が呼ばれ、図9に示すようなログインの禁止を通知する画面を表示する(s603)と同時に、ログインをキャンセルする(s604)。
これらの操作により、利用者に明示的に操作が禁止されていることを通知しつつ、利用者の操作を禁止する事が可能となる。実際に、Windowsプラットフォームにおいて、これらを行うためには、GINA.dllと呼ばれるモジュールをカスタマイズしてインストールすることにより、実装が可能となる。
【図面の簡単な説明】
【0026】
【図1】本発明を適用したシステムの実施の形態を示すシステム構成図である。
【図2】書き込み制御モジュールの処理を示すフローチャートである。
【図3】シャットダウン時のコミットに関する処理を示すフローチャートである。
【図4】利用者端末のOS及びアプリケーションをアップデートに関する処理を示すフローチャートである。
【図5】アップデートモジュールが呼ばれた時の処理を示すフローチャートである。
【図6】シャットダウン時のログオン制御モジュールの処理を示すフローチャートである。
【図7】OS起動後に現れる画面の例を示す図である。
【図8】ログイン画面の例を示す図である。
【図9】[Control]+[Alt]+[Delete]キーを押したときに現れる画面の例を示す図である。
【符号の説明】
【0027】
100…管理サーバ、101…端末管理サービス管理サーバ、102…コミットファイル、103…ファイルサーバ、104…一般データ、105…重要データ、106…利用者端末、107…OS、108…アプリケーション、109…端末管理エージェント、110…書き込み制御モジュール、111…アップデートモジュール、112…ログオン制御モジュール、113…二次記憶装置、114…ネットワーク。
【技術分野】
【0001】
本発明は、書き込み制御を施した二次記憶装置を備える利用者端末において、利用者による二次記憶装置への不適切なアプリケーションの新規インストール、OSの設定変更、データの保存等を防ぎ、安全・簡単に利用者端末における二次記憶装置を管理する方法および利用者端末に関するものである。
【背景技術】
【0002】
ファイルサーバに保管されている重要データが、利用者端末から拡散するのを防ぐためのシステムとして、シンクライアントシステムが考案されている。
シンクライアントシステムは、端末内に不揮発性の二次記憶装置を装備しないPC(ディスクレスPC)を端末として使用するのが一般的であるが、書き込みを禁止した不揮発性の二次記憶装置を備えるPCをシンクライアント端末として使用するシステムも存在する。
本発明は、書き込みを禁止した不揮発性の二次記憶装置を備えるPCをシンクライアント端末として使用するシステムを対象とするものである。
【0003】
このようなシステムでは、利用者は重要データについては、ネットワークを介してファイルサーバより揮発性記憶媒体にダウンロードして使用する点では一般的なシンクライアントシステムと同様であるが、予め、端末内の不揮発性の二次記憶装置にOSやアプリケーションをインストールしておき、通常の運用では不揮発性の二次記憶装置への書き込みを禁止して使用する部分が異なる。
このシステムでは、システム管理上で不揮発性の二次記憶装置に書き込みが必要な場合が生じてくる。
例えば、不揮発性の二次記憶装置にインストールされているOSやアプリケーションのアップデートを行うこと等である。
従来では、アップデートの更新ファイル等、前記の二次記憶装置に書き込みの必要が生じた場合、二次記憶装置における書き込み禁止を解除して、PCを再起動し、端末からファイルサーバへのアクセスを禁止し、不正なデータをファイルサーバへ保存することを防止した上で、端末内の二次記憶装置に対してアップデート等の書き込みを完了させ、書き込み禁止にして再起動するという手段が採用されていた。
【0004】
このような関連技術として、下記の特許文献1のような技術が提案されている。
【特許文献1】特開2003−303104
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら、上記のように、アップデートの更新ファイル等、前記の二次記憶装置に書き込みの必要が生じた場合に、二次記憶装置における書き込み禁止を解除して、PCを再起動し、端末からファイルサーバへのアクセスを禁止し、不正なデータをファイルサーバへ保存することを防止した上で、端末内の二次記憶装置に対してアップデート等の書き込みを完了させ、書き込み禁止にして再起動するという手法を採用した場合、二次記憶装置への書き込みを許可した時点で、利用者が二次記憶装置への書き込みが自由に行えるという状態が生じる事を意味し、ファイルサーバへの不正な保存は禁止可能なものの、端末内の二次記憶装置に対して、利用者によるOSの設定変更、不正なアプリケーションのインストール、データの保存等を許してしまうという問題が生じる。
また、場合によっては、二次記憶装置における書き込み禁止が解除されている状態で、二次記憶装置にトロイの木馬等、悪意のツールをインストールすることにより、データ漏洩等の不正を許してしまうという問題が生じる。
【0006】
本発明は、ファイルサーバの重要データは端末内の揮発性記憶媒体にのみ保存を許可して重要データの拡散を防止するようにし、かつ、利用者端末内の不揮発性の二次記憶装置に記憶されたOSまたはアプリケーションのアップデート等の更新が必要となり、二次記憶装置への書き込み制御を許可した場合でも、利用者による、アプリケーションの新規インストール、OSの設定変更、データの保存等の二次記憶装置への不適切な書き込みを禁止し、簡単で安全に利用者端末の管理を実現する方法および利用者端末を提供することを目的とするである。
【課題を解決するための手段】
【0007】
上記課題を解決するために、本発明に係る利用者端末の管理方法は、不揮発性の二次記憶装置内のデータ更新のための操作が必要になった場合、前記二次記憶装置への書き込みを許可して再起動を行い、利用者端末にインストールされたOSのログイン機能により、利用者がOSへログインを行う前、またはログアウトを行った後に更新データの書き込み処理を行い、更新データの書き込み処理終了後に前記二次記憶装置の書き込みを禁止にして再起動を行うことを特徴とする。
ここで、ログインとは、OSにおけるアカウント(利用権限)を取得するための操作を指し、ログアウトは逆の操作を指す。
すなわち、本発明では、不揮発性の二次記憶装置への書き込みを行う場合、利用者にアカウントを与えないで、二次記憶装置への書き込み処理を行うことにより、利用者に不適切な書き込みをさせずに目的を達成する事が可能となる。ログイン機能はOSにより異なる場合があるが、現在のOSにおいて付属していることが一般的な機能であり、本発明では、ログイン機能または、それに代わる機能が付属したOSが利用者端末の二次記憶装置にインストールされている事が前提となる。
【0008】
また、前記二次記憶装置に書き込みが必要なファイル名を、予め管理サーバに登録しておき、利用者端末の揮発性メモリ内に、前記ファイル名のファイルが存在した場合のみ、該当ファイルを二次記憶装置に書き込みことを特徴とする。
【0009】
また、前記二次記憶装置への書き込み処理中は、利用者端末の操作が不能なことを通知するメッセージを表示することを特徴とする。
また、不揮発性の二次記憶装置内のデータ更新が必要になった場合に当該二次記憶装置を書き込み許可状態にして当該利用者端末を再起動し、当該二次記憶装置内のデータを更新する利用者端末であって、
前記二次記憶装置を書き込み許可状態にして当該利用者端末を再起動した後、利用者に対して利用権限を移行する前、または利用権限を解除した後に、二次記憶装置内のデータ更新のための書き込み処理を行い、更新データの書き込み処理終了後に前記二次記憶装置の書き込みを禁止にして再起動させるログオン制御手段を備えることを特徴とする。
【発明の効果】
【0010】
本発明のよれば、ファイルサーバの重要データは端末内の揮発性記憶媒体にのみ保存を許可して重要データの拡散を防止するようにし、かつ、利用者端末内の不揮発性の二次記憶装置に記憶されたOSまたはアプリケーションのアップデート等の更新が必要となり、二次記憶装置への書き込み制御を許可した場合でも、利用者による、アプリケーションの新規インストール、OSの設定変更、データの保存等の二次記憶装置への不適切な書き込みを禁止し、簡単で安全に利用者端末の管理を実現することができる。
【発明を実施するための最良の形態】
【0011】
以下、本発明の実施の形態を図面を参照して詳細に説明する。
図1は本発明を実施するシステム構成図である。なお、本発明の実施形態は、一般的に普及しているログイン機能を持ったOSをインストールしている利用者端末を想定しているが、これは発明の範囲を限定するものではなく、これと同等の機能を保持しているものであれば範囲を問わない。また、システム及び構成に関しても同様である。
図1に例示するシステムは、管理サーバ100、ファイルサーバ103、利用者端末106で構成されており、それぞれがネットワーク114で接続されている。
【0012】
管理サーバ100には、端末管理サービス101、及びコミットファイル102が格納されている。
端末管理サービス101は、ネットワーク114経由で各利用者端末106を管理・制御する機能を備える。また、インターネット上で公開されているOSやアプリケーションのアップデート情報を常時監視しておき、アップデートが生じた場合、利用者端末106の端末管理エージェント109(後述)にアップデートの要求を行う機能も備える。
コミットファイル102とは、コミット機能により使用されるファイルである。コミット機能とは、書き込みが制御されている二次記憶装置に書き込みを行う手段であって、シャットダウン時にメモリ上のデータを二次記憶装置に書き込む機能である。
本発明で、コミットを行うには、事前に管理者により、管理サーバ100上の前記コミットファイル102に、ファイル名等の書き込む対象を登録しておく必要がある。本発明においてコミット機能は、リアルアップデート(後述)時に、OSのアップデートの更新ファイル等を書き込みが制御された二次記憶装置113(後述)に適応する場合に使用される。
【0013】
ファイルサーバ103には一般データ104と重要データ105が格納されている。
重要データ105は、著作権保護対象のコンテンツや機密情報など、厳重に管理しなければならないデータであり、組織外部への持ち出しや各端末への拡散・紛失等を防がなければならないデータである。
一般データ104は重要データ105ではない、利用者が一般的に使用するデータである。
【0014】
利用者端末106には、不揮発性の二次記憶装置113が搭載されており、この二次記憶装置113にはOS107、アプリケーション108、端末管理エージェント109、アップデートモジュール111、ログオン制御モジュール112、書き込み制御モジュール110がインストールされている。
アプリケーション108は、一般データ104や重要データ105等を取り扱うために使用するものであり、OS107上で動作する任意のアプリケーション108である。
端末管理エージェント109は、OS107の起動時に自動的に起動されるものであり、管理サーバ100の端末管理サービス101と連動して利用者端末106を管理・制御するためのサービスである。
具体的な機能としては、アップデートモジュール111の制御、ログオン制御モジュール112の制御、書き込み制御モジュール110の制御、コミット機能の制御、ネットワーク上のサーバへのアクセス制御がある。
【0015】
書き込み制御モジュール110は、OS107やアプリケーション108の二次記憶装置113へのデータの書き込み及び、書き込みの禁止を実現するものである。OS107やアプリケーション108が二次記憶装置113にアクセスする場合、二次記憶装置113からの読み込みは通常通り行い、書き込みに関しては、書き込みデータを揮発性のメモリ中にキャッシュするだけで、実際の二次記憶装置113には書き込ませない機能を持つ。実際には、ファイルシステムへのIO処理をフックするフィルタドライバとRAMディスク技術の組み合わせによって、書き込みデータの揮発性メモリ中へのキャッシュと不揮発性の二次記憶装置113への書き込み禁止が実現可能である。
この書き込み制御モジュール110には、書き込み禁止モードと書き込み可能モードがあり、書き込み禁止モードでは上述の通り、二次記憶装置113への書き込み禁止機能が働き、書き込み可能モードでは、通常のPC(パーソナルコンピュータ)と同じく、二次記憶装置113への書き込みが可能となる。この2つのモードの切り替えは、端末管理エージェント109により行われ、起動時に適用される。したがって、モードを切り替えるには、設定変更後に再起動する必要がある。通常は、常に書き込み禁止モードで起動を行うが、二次記憶装置内113に記憶されているデータのアップデートなど、システム管理上で二次記憶装置113に書き込みが必要になった場合に書き込み許可モードで起動を行う。
【0016】
アップデートモジュール111は、OS107またはアプリケーション108のアップデート、アプリケーション108の新規インストール、OS107の設定変更等のシステム管理上で二次記憶装置113に書き込みが必要な操作が発生した場合に呼び出され、アップデート時における更新ファイルの保存等の二次記憶装置113への書き込みを安全に行う機能を持つ。
なお、アップデートモジュール111には、リアルタイムアップデートと通常アップデートの2種類が存在する。
通常アップデートは、二次記憶装置113を書き込み許可モードで再起動して、更新ファイル等を二次記憶装置113に適応、または書き込み、完了後に書き込み禁止モードにして再起動を行う。実際には、システム管理上で二次記憶装置113に書き込みが必要なデータの中でも、データサイズが比較的大きな、OS107のアップデート用の更新ファイルやサービスパックのインストール、アプリケーションの新規インストール等が対象となる。
リアルタイムアップデートは、揮発性のメモリ上に展開された更新ファイルを、利用者端末106のシャットダウン時に、コミット機能を使って、二次記憶装置113に適応、または書き込んでアップデートを完了する。この機能は、システム管理上で二次記憶装置113に書き込みが必要なデータの中でも、比較的小さなサイズのデータや、書き込みを行ってもOS107の再起動の必要ない、ウィルス駆除ソフトのパターンファイルの更新やファイル単位の書き込み等が対象となる。
これらの2つのアップデート方法により、無駄な再起動を行う必要が無くなり、運用性が向上し、簡単で安全にアップデートを行うことが可能となる。
【0017】
ログオン制御モジュール112は、通常アップデート時に、OS107を書き込み可能モードで再起動した場合、利用者のログインを禁止する機能を持つ。利用者によるログインを禁止することにより、利用者の不適切な操作を禁止する事が可能となる。また、ログオン制御モジュール112は利用者に操作制限を通知するため、強制的にディスプレイ上に使用制限メッセージを表示する機能も備えている。この機能により、利用者が不適切な動作を禁止されていることを明示する事が可能となる。
【0018】
以下、以上の構成に係る動作について説明する。
図2は、書き込み制御モジュール110の処理のフローチャートである。
最初、利用者端末106にあるアプリケーション108は二次記憶装置113へのアクセスを試みる。このとき、書き込み処理かどうかを判定する(s202)。
書き込み処理の場合は、書き込みデータを揮発性のメモリ中にキャッシュし、不揮発性の二次記憶装置113にはデータを書き込まない(s206)。
書き込み処理でない場合、処理は読み込み処理であるので、まず、読み込み対象データが揮発性のメモリ中にキャッシュされているかどうかをチェックする(s203)。キャッシュされている場合は、そのデータを読み込んで利用する(s205)。キャッシュされていない場合は、対応するファイルデータを二次記憶装置113から読み込んで利用する(s204)。
【0019】
図3は、シャットダウン時のコミットに関するフローチャートである。
コミットは、書き込み禁止モードで起動していた利用者端末106がシャットダウンする場合に行われる。最初に、端末管理エージェント109は管理サーバ100上のコミットファイル102を読み込む(s301)。コミットファイル上には、予め管理者により二次記憶装置113に書き込む必要があるファイル名が登録されている。実際には、ウィルス駆除ソフトのパターンファイル等である。
コミットファイル102上に存在するファイルのうち、揮発性のメモリ上に展開されているファイルが存在した場合、それらのファイルを二次記憶装置113に書き込み(s303)、コミットを完了する。
【0020】
図4は、OS107またはアプリケーション108のアップデートに関するフローチャートである。
通常、利用者端末106は書き込み禁止モードで起動され(s401)、利用者はログインを行う(s402)。この際、利用者は二次記憶装置113に対する書き込みができないこと以外は通常のPCと同じ操作が可能である。
ここで、前記の通り、本発明における端末管理サービス101は常時最新のアップデート情報を入手しておき、アップデートの必要が生じた場合、端末管理エージェント109にアップデートを開始する通知を送り、これにしたがって、端末管理エージェント109は利用者にアップデート開始の承認を要求する(s403)。
利用者はアップデート作業をすぐに開始するか、または、後に開始するかを選択する事が可能であるが、直ちにアップデートを開始することを承認した場合には、端末管理エージェント109によりアップデートモジュール111が呼ばれ、アップデートが開始される(s404)。
【0021】
利用者がアップデート開始を否認した場合は、利用者がログアウトを行うまで書き込み禁止モードで利用者端末106を使用する事が可能であるが、利用者がログアウした時点(s405)で、再度アップデート通知を行い、端末管理エージェント109は利用者にアップデート開始の承認を要求する(s406)。利用者によりアップデートが承認された場合、端末管理エージェント109はアップデートモジュール111を呼び出し、アップデートを開始する(s408)。利用者による承認が得られない場合は、アップデートの必要が無くなるまで定期的に利用者に承認を促す。
【0022】
図5は、アップデートモジュール111のフローチャートである。
図4のs403及びs407で利用者によりアップデートが承認され、アップデートモジュール111が呼び出された場合(s404及びs408)、初めに、リアルタイムアップデートと通常アップデートの判断を行う(s501)。
通常アップデートの場合は、端末管理エージェント109に通知を行い、書き込み制御モジュール110を呼び出し、OS107を書き込み許可モードで再起動する(s502)。再起動後はログオン制御モジュール112により、利用者のログインは禁止される。(s503)。利用者の操作を禁止している間に、バックグラウンドで、アップデートに必要な更新ファイルを管理サーバ100からダウンロードしてアップデートを行う(s504)。
アップデートが完了したら、アップデートモジュール111は、OS107を書き込み禁止モードで再起動(s506)、または、シャットダウン(s507)のいずれかを利用者に選択させて(s505)、いずれかを行う。
【0023】
s501でリアルタイムアップデートが選択された場合には、メモリ上でアップデートの更新ファイルの適応、書き込み処理を行う(s508)。アップデートを行った後も、利用者は書き込み禁止モードで利用者端末106を使用することが可能である。
通常、アップデートに使用された更新ファイルは、管理者により予め管理サーバ100のコミットファイル102に登録されており、シャットダウン時のコミットのフローチャート(図3)に示すように、利用者が利用者端末106のシャットダウンを行う場合に、端末管理エージェント109はコミットファイル102を読み込んで、コミットファイルに登録されているデータ、かつ揮発性のメモリ上に展開されているデータを二次記憶装置113に適応、及び書き込み、シャットダウンする。
【0024】
以上、この2つのアップデート方法により、無駄な再起動を行う必要が無くなり、安全で簡単にデータを管理することが可能となる。
なお、ここではアップデートについて述べたが、システム管理上で二次記憶装置113に書き込みが生じた場合、上記手順と同様の操作を行う事により、書き込みを行うことが可能であるが省略する。
以上のことより、二次記憶装置113にインストールされているOS107、アプリケーション108のアップデートを安全に完了し、かつ重要データの利用者端末への保存、設定変更等の二次記憶装置113への不正なアクセス、保存が不能となる。
【0025】
図6は通常アップデート時にログオン制御モジュールが呼ばれた場合のフローチャートである。
なお、ここでの例は、windows2000(マイクロソフト社の登録商標)環境下でディスプレイに表示される画像例を挙げている。
図5のフローチャートにおいて、通常アップデートが選択された後(s501)、書き込み可能モードで再起動され(s502)、図7に示すようなログイン誘導画面が表示される(s601)。
このログイン誘導画面は、書き込み可能モードであっても、OS起動後に共通に表示される画面である。
ここで、利用者がログインを行おうと、[Ctrl]+[Alt]+[Del]キーを押した場合(s602)、通常ならば、図8のログイン画面が表示されるが、ログオン制御モジュール112が呼ばれ、図9に示すようなログインの禁止を通知する画面を表示する(s603)と同時に、ログインをキャンセルする(s604)。
これらの操作により、利用者に明示的に操作が禁止されていることを通知しつつ、利用者の操作を禁止する事が可能となる。実際に、Windowsプラットフォームにおいて、これらを行うためには、GINA.dllと呼ばれるモジュールをカスタマイズしてインストールすることにより、実装が可能となる。
【図面の簡単な説明】
【0026】
【図1】本発明を適用したシステムの実施の形態を示すシステム構成図である。
【図2】書き込み制御モジュールの処理を示すフローチャートである。
【図3】シャットダウン時のコミットに関する処理を示すフローチャートである。
【図4】利用者端末のOS及びアプリケーションをアップデートに関する処理を示すフローチャートである。
【図5】アップデートモジュールが呼ばれた時の処理を示すフローチャートである。
【図6】シャットダウン時のログオン制御モジュールの処理を示すフローチャートである。
【図7】OS起動後に現れる画面の例を示す図である。
【図8】ログイン画面の例を示す図である。
【図9】[Control]+[Alt]+[Delete]キーを押したときに現れる画面の例を示す図である。
【符号の説明】
【0027】
100…管理サーバ、101…端末管理サービス管理サーバ、102…コミットファイル、103…ファイルサーバ、104…一般データ、105…重要データ、106…利用者端末、107…OS、108…アプリケーション、109…端末管理エージェント、110…書き込み制御モジュール、111…アップデートモジュール、112…ログオン制御モジュール、113…二次記憶装置、114…ネットワーク。
【特許請求の範囲】
【請求項1】
不揮発性の二次記憶装置を備え、当該二次記憶装置内のデータ更新のための操作が必要になった場合にのみ書き込み許可状態にして再起動を行い、当該二次記憶装置内のデータを更新する利用者端末における二次記憶装置のデータ管理方法であって、
前記二次記憶装置内のデータ更新のための操作が必要になった場合に、当該利用者端末にインストールされたOSのログイン機能により、利用者がOSへログインを行う前、またはログアウトを行った後に更新データの書き込み処理を行い、更新データの書き込み処理終了後に前記二次記憶装置の書き込みを禁止にして再起動を行うことを特徴とする利用者端末における二次記憶装置のデータ管理方法。
【請求項2】
前記二次記憶装置に書き込みが必要なファイル名を予め管理サーバに登録しておき、前記利用者端末の揮発性メモリ内に、前記ファイル名のファイルが存在した場合のみ、該当ファイルを二次記憶装置に書き込みことを特徴とする請求項1に記載の利用者端末における二次記憶装置のデータ管理方法。
【請求項3】
前記二次記憶装置への書き込み処理中は、当該利用者端末の操作が不能なことを通知するメッセージを表示することを特徴とする請求項1または2に記載の利用者端末における二次記憶装置のデータ管理方法。
【請求項4】
不揮発性の二次記憶装置内のデータ更新が必要になった場合に当該二次記憶装置を書き込み許可状態にして当該利用者端末を再起動し、当該二次記憶装置内のデータを更新する利用者端末であって、
前記二次記憶装置を書き込み許可状態にして当該利用者端末を再起動した後、利用者に対して利用権限を移行する前、または利用権限を解除した後に、二次記憶装置内のデータ更新のための書き込み処理を行い、更新データの書き込み処理終了後に前記二次記憶装置の書き込みを禁止にして再起動させるログオン制御手段を備えることを特徴とする利用者端末。
【請求項1】
不揮発性の二次記憶装置を備え、当該二次記憶装置内のデータ更新のための操作が必要になった場合にのみ書き込み許可状態にして再起動を行い、当該二次記憶装置内のデータを更新する利用者端末における二次記憶装置のデータ管理方法であって、
前記二次記憶装置内のデータ更新のための操作が必要になった場合に、当該利用者端末にインストールされたOSのログイン機能により、利用者がOSへログインを行う前、またはログアウトを行った後に更新データの書き込み処理を行い、更新データの書き込み処理終了後に前記二次記憶装置の書き込みを禁止にして再起動を行うことを特徴とする利用者端末における二次記憶装置のデータ管理方法。
【請求項2】
前記二次記憶装置に書き込みが必要なファイル名を予め管理サーバに登録しておき、前記利用者端末の揮発性メモリ内に、前記ファイル名のファイルが存在した場合のみ、該当ファイルを二次記憶装置に書き込みことを特徴とする請求項1に記載の利用者端末における二次記憶装置のデータ管理方法。
【請求項3】
前記二次記憶装置への書き込み処理中は、当該利用者端末の操作が不能なことを通知するメッセージを表示することを特徴とする請求項1または2に記載の利用者端末における二次記憶装置のデータ管理方法。
【請求項4】
不揮発性の二次記憶装置内のデータ更新が必要になった場合に当該二次記憶装置を書き込み許可状態にして当該利用者端末を再起動し、当該二次記憶装置内のデータを更新する利用者端末であって、
前記二次記憶装置を書き込み許可状態にして当該利用者端末を再起動した後、利用者に対して利用権限を移行する前、または利用権限を解除した後に、二次記憶装置内のデータ更新のための書き込み処理を行い、更新データの書き込み処理終了後に前記二次記憶装置の書き込みを禁止にして再起動させるログオン制御手段を備えることを特徴とする利用者端末。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2007−164652(P2007−164652A)
【公開日】平成19年6月28日(2007.6.28)
【国際特許分類】
【出願番号】特願2005−362747(P2005−362747)
【出願日】平成17年12月16日(2005.12.16)
【出願人】(000233055)日立ソフトウエアエンジニアリング株式会社 (1,610)
【Fターム(参考)】
【公開日】平成19年6月28日(2007.6.28)
【国際特許分類】
【出願日】平成17年12月16日(2005.12.16)
【出願人】(000233055)日立ソフトウエアエンジニアリング株式会社 (1,610)
【Fターム(参考)】
[ Back to top ]