外部メディア制御方法、システム及び装置
【課題】外部メディアによる電子ファイルの安易な持ち出しによる情報漏洩を防止する、外部メディア制御方法、システム及び装置を提供する。
【解決手段】本発明による外部メディア制御装置は、電子ファイルなどの情報のファイルを管理する管理サーバ1と、管理サーバ1の外部へ前記ファイルを持ち出すのに用いる外部メディア5とからなる。管理サーバ1は、利用者端末2から認証要求の情報を取得して本人認証し、利用者端末2から所定のファイルの持ち出し申請の情報を取得して該ファイルに対する承認結果の情報を管理し、管理サーバ1に接続された外部メディア5を相互認証し、相互認証が正当である場合に、外部メディア5から、外部メディア5へのファイルの書き込み制御を専用化している他の管理サーバを含む情報を状態情報として取得し、状態情報に応じて、外部メディア5内のファイルのアクセス制御を実行する。
【解決手段】本発明による外部メディア制御装置は、電子ファイルなどの情報のファイルを管理する管理サーバ1と、管理サーバ1の外部へ前記ファイルを持ち出すのに用いる外部メディア5とからなる。管理サーバ1は、利用者端末2から認証要求の情報を取得して本人認証し、利用者端末2から所定のファイルの持ち出し申請の情報を取得して該ファイルに対する承認結果の情報を管理し、管理サーバ1に接続された外部メディア5を相互認証し、相互認証が正当である場合に、外部メディア5から、外部メディア5へのファイルの書き込み制御を専用化している他の管理サーバを含む情報を状態情報として取得し、状態情報に応じて、外部メディア5内のファイルのアクセス制御を実行する。
【発明の詳細な説明】
【技術分野】
【0001】
組織における管理情報である電子ファイルの持ち出し時における、電子ファイルの持ち出しの制御、及び持ち出しに利用する外部メディアの制御に関する。
【背景技術】
【0002】
一般に、企業等において代表される組織間で、重要な電子ファイルを管理又は共有する上で、組織における内部不正が問題視されている。持ち出しを許可されてない電子ファイルを無断で持ち出すことによる情報漏洩が多くみられる。また、持ち出しを許可された電子ファイルを格納した外部メディアを紛失することによる情報漏洩もみられる。
【0003】
そこで、持ち出したファイルを紛失した際の対処法は、ファイル暗号化などの方法が考えられるが、市販の外部メディアは、持ち出しを許可されたファイルを格納した後に別のファイルを追加格納することが可能である。このような運用を行っている場合、どのファイルを持ち出したのかに関する証跡を確実に取得することが望まれる。また、外部メディアにアクセスできるのは特定の端末だけとする機器認証等によるアクセス制御がある場合、持ち出し先での利便性が損なわれることになる。
【0004】
従って、ストレージ領域を有する外部メディアにて、電子ファイルを持ち出す状況を考えた場合、以下の問題が挙げられる。
(1)組織的に許可されてないファイルを持ち出されることによる情報漏洩。
(2)外部メディアによるファイルを持ち出した際、外部メディア紛失時に、実際に紛失したファイル情報を特定できないことによる関係各所への説明責任を果たせず、対策を取れない。
(3)外部メディアヘのアクセス制御により、持ち出し先での利便性が損なわれる。
【0005】
従来から知られている、電子ファイルの持ち出しに関する技術には、以下のようなものがある。
【0006】
1.ログ収集及び監視技術
専用AP(Application)等を、ファイルを持ち出す端末にインストールし、外部メディアを用いて端末外ヘファイルが持ち出される状況を監視し、その振舞いをログとして収集及び記録することで、事後的な検出を可能とする技術がある。この技術によれば、ファイルを持ち出す可能性のある全端末を当該技術の支配下におく場合は、ログによる情報漏洩の証跡を確保することができ、事後的な追跡が可能である。
【0007】
2.PC(Personal Computer)から外部メディアによるファイル持ち出し操作を制御する技術
専用AP等がインストールされた端末からファイルを持ち出す時、所定の申請又は承認を経るか、又は持ち出しについて許可又は不許可とするようにアクセス制御されたファイルの情報をステータス情報として保持し、この情報に基づいて当該ファイルを外部メディアに出力制御する技術がある。この技術によれば、前述と同様に、当該技術の支配下にある端末からのファイル持ち出しについて、事後的追跡が可能となる。
【0008】
3.外部メディアを特定の機器でのみアクセスを許可する技術
ファイルが格納されている端末と、ファイルの持ち出しに使用する外部メディアとを相互に機器認証することによって、認証に失敗した端末と外部メディアとの間でファイルの入出力をできないように制御する技術が知られている(例えば、特許文献1参照)。
【0009】
4.外部メディアの引き抜き時、ストレージ領域へのアクセスを不許可にする技術
端末に接続されている外部メディアを引き抜いた時に、この引き抜き動作を検出し、外部メディア内のデータヘのアクセスを禁止制御する技術がある。この技術によれば、外部メディアが持ち出された事実、及びその際の認証が正しく行われたか否かの情報を保存しておくことができる。
【0010】
5.外部メディアからのファイル漏洩を防止する技術
外部メディア内部にファイル漏洩を防止するために、ファイル操作を制御するOS(Operating System)、APを組み込む技術がある。この技術によれば、ファイルを利用する際に使用する端末上に、ファイルのキャッシュやコピーを残さないようにすることができる。また、暗号化したファイルが解読されることを想定した上で、外部メディアからファイルの情報が漏洩するのを防止することができる。
【0011】
6.メディア内のファイルに対して有効期限やタイマ、カウンタ等によってアクセスを失効させる技術
メディア内のファイルアクセスをタイマやカウンタを用いて、有効期限・回数に基づいてファイルの利用を制御する技術が知られている(例えば、特許文献2参照)。この技術によれば、利用期限・回数を制御したいファイルヘのアクセスを管理し、有効期限・回数を過ぎたファイルヘのアクセスを不可能にすることで、不正使用を防止することができる。
【0012】
【特許文献1】特開2006−054008号公報
【特許文献2】特開2007−220122号公報
【発明の開示】
【発明が解決しようとする課題】
【0013】
従来技術においては、ストレージ領域を有する外部メディアを用いて、電子ファイル等のデータを持ち出し、或いは又、持ち出し先で当該メディアを紛失した場合、紛失した時点で、紛失したデータの情報、即ち当該メディアのストレージ領域内に格納されているデータの情報を、正確に把握することができない。
【0014】
例えば、「1.ログ収集及び監視技術」では、当該技術の支配下にない端末からのファイル持ち出しについて対応不可能である管理下である場合や、専用APをインストールできない環境の端末がある場合、更に、組織の支配下にない組織外の端末を利用してファイルをアクセスする場合など、十分な情報漏洩の防止を行うことができない。また、外部メディアヘのアクセスを制御することを考慮していない。
【0015】
また、「2.PCから外部メディアによるファイル持ち出し操作を制御する技術」では、当該技術の支配下にない端末からのファイル持ち出しについて、前述と同様の理由により、十分な情報漏洩の防止を行うことができない。例えば、当該技術支配下の端末から適切にファイルを外部メディアに出力した後で、当該技術支配下にない端末から当該外部メディアに任意のファイルを追加して格納することもでき、紛失時に実際に持ち出したファイル情報を特定することができない。
【0016】
更に、「3.外部メディアを特定の機器でのみアクセスを許可する技術」では、外部メディアに対して、機器認証をパスした1つ以上の端末から自由にファイルを格納したり、任意のファイルを追加的に格納したりすることができてしまい、外部メディア内のファイル情報の保全が困難である。また、外部メディアにファイルを格納した後で、当該ファイルにアクセスする時、使用する端末を事前に機器認証のための登録をしておく必要がある。組織外の未知の端末を使用して所定のファイルにアクセスすることを所望する場合は、この事前の登録は困難である。
【0017】
また、「4.外部メディアの引き抜き時、ストレージ領域へのアクセスを不許可にする技術」では、非常時の外部メディアの持ち出しにおける当該メディア内のデータアクセスを制御することができるが、持ち出し先での利便性や外部メディアを利用してファイルを持ち出すことに対して制御することができない。
【0018】
また、「5.外部メディアからのファイル漏洩を防止する技術」では、外部メディア内においてファイルを編集することができてしまう。また、ファイルアクセスに使用する端末のOS等の環境が、外部メディア内のOSやAPに依存することになり、利便性が損なわれる。更に、外部メディアを利用して、ファイルを持ち出すことに対して制御することができない。
【0019】
更に、「6.メディア内のファイルに対して有効期限やタイマ、カウンタ等によってアクセスを失効させる技術」では、ファイルの持ち出し承認、メディアヘのファイルの追加的な書き込みに対して制御することができない。
【0020】
このように、従来技術の問題を総括すると、以下のような課題がある。
(1)外部メディアのストレージ領域に対して、アクセス制御していないという課題がある。
(2)外部メディアヘのアクセス制御により、持ち出し先での特別な認証等が必要となるため、利便性が損なれるという課題がある。
(3)電子ファイルの持ち出しを考慮しなければ、適切な承認を経ずに当該メディアヘデータを出力できてしまうこと、外部メディアを用いてどのデータを持ち出したのかに関する証跡を、より確実に確保する必要があること、外部メディアの持ち帰り時のメディア及びメディア内のデータを検証する必要があることなどの課題がある。
【0021】
そこで、本発明の目的は、外部メディアによる電子ファイルの安易な持ち出しによる情報漏洩を防止する、外部メディア制御方法、システム及び装置を提供することにある。
【課題を解決するための手段】
【0022】
上記課題を解決するために、本発明は、管理サーバに格納されている組織の管理情報である電子ファイルについて、持ち出し許可された利用者が、許可されたファイルを、許可された外部メディアに格納する。当該ファイルを格納する外部メディアは、当該ファイルを保管している管理サーバに予め登録されているもののみを格納する。そして、当該外部メディアに予め登録された管理サーバのみが、当該外部メディアを制御し、当該電子ファイルを格納した当該メディアにおけるストレージ領域を、読込みのみ許可するように制御するとともに、当該ストレージ領域への書き込み、編集、削除等を含む他の制御を解除するか否かを管理し、ファイル持ち出しに関する情報を証跡として管理し、この証跡に記録されてないファイルについて、持ち出されてないことを保障するように管理する。また、管理サーバは、当該保障された外部メディアの持ち出し先では、特定の端末に依存することなく、且つネットワーク(NW)を介した認証を必要とすることなく、一般の端末にて読込みのみ可能とするように設定し、当該メディアの持ち帰り時に、外部メディア及び当該外部メディアが格納しているファイルが改ざんされていないことを検証する。
【0023】
即ち、本発明による外部メディア制御方法は、電子ファイルなどの情報のファイルを管理する管理サーバ、及び、前記管理サーバの外部へ前記ファイルを持ち出すのに用いる外部メディアとからなる外部メディア制御装置と、前記管理サーバに対して前記ファイルの持ち出し申請を行う利用者が利用する利用者端末と、該持ち出し申請に対して承認を行う承認者が利用する承認者端末とを備える外部メディア制御システムにおける、前記ファイルの持ち出し管理を行う前記外部メディア制御装置の外部メディア制御方法であって、前記管理サーバの処理手順は、前記利用者端末から認証要求の情報を取得し、前記管理サーバに予め格納した情報を用いて、本人認証するステップと、前記利用者端末から所定のファイルの持ち出し申請の情報を取得し、前記管理サーバに予め格納した情報を用いるか、又は前記承認者端末と通信して、該ファイルに対する承認者の承認の情報を取得し、該ファイルに対する承認結果の情報を前記管理サーバ内に設けられた所定の情報管理手段に記録して情報管理するステップと、前記管理サーバに接続された前記外部メディアを、前記管理サーバに予め格納した情報を用いて、相互認証するステップと、前記相互認証が正当である場合に、前記外部メディアから、当該外部メディアへのファイルの書き込み制御を専用化している他の管理サーバを含む情報を状態情報として取得するステップと、前記状態情報から、前記管理サーバによって前記状態情報における書き込み制御を専用化している状態であると判定した場合に、前記情報管理手段に記録された持ち出し承認された情報に基づいて、前記管理サーバ内の前記持ち出し承認済のファイルを前記外部メディアのストレージ領域に書込みを行う制御命令を送信するステップと、前記状態情報から、前記管理サーバによって前記状態情報における書き込み制御を専用化している状態であり、且つ前記ファイルが前記外部メディアによって持ち出された後の持ち帰りであることを示す状態であると判定した場合に、前記外部メディア内の当該ファイルの内容を検証するとともに、前記外部メディアから当該ファイルを削除する制御命令を送信するステップと、前記状態情報の取得後に、ファイル持ち出しに利用した外部メディアを特定する情報、及びファイルの持ち出し又は持ち帰りの情報を前記情報管理手段に記録して情報管理するステップとを含み、前記外部メディアの処理手順は、前記管理サーバとの接続時に、当該外部メディアに予め格納している情報を用いて、相互認証するステップと、当該外部メディアを専用化している登録済みの管理サーバの情報を格納するステップと、当該外部メディアへのファイルの書き込み制御を専用化する登録済みの管理サーバの情報を含む当該外部メディアにかけられている制御に関する情報を、当該外部メディア内の所定の格納領域に状態情報として格納するステップと、相互認証済の管理サーバから書き込み制御されたファイルを格納するステップと、当該外部メディアに接続された任意の端末との情報通信のアクセスを制御するステップと、前記管理サーバ装置からの制御命令に応じて、当該ファイルの読み書き又は削除を制御するステップとを含むことを特徴とする。
【0024】
また、本発明による外部メディア制御方法において、前記外部メディアの処理手順は、利用者によって前記管理サーバに直接入力された認証要求に基づいて、予め格納している情報を用いて利用者認証するステップを更に含み、前記管理サーバの処理手順は、当該ファイルの持ち出し又は持ち帰り処理の実行時に、該認証要求の緒果情報と情報管理手段に記録されている情報とを用いて、当該利用者が利用する前記外部メディアと当該ファイルの承認情報との対応関係を確認した上で、ファイルの持ち出し又は持ち帰りの処理の実行を制御するステップを更に含むことを特徴とする。
【0025】
また、本発明による外部メディア制御方法において、前記ファイルの申請及び承認は、前記管理サーバに予め格納されている情報として、少なくとも持ち出し要求ファイルと、持ち出し時に用いる外部メディアと、持ち出しを要求する利用者とを組合せた項目に基づいて行うことを特徴とする。
【0026】
また、本発明による外部メディア制御方法において、前記管理サーバの処理手順は、取得した状態情報から他の管理サーバ装置の制御下にないと判断した場合に、当該ファイルの読み書き又は削除を制御する制御命令を前記外部メディアに送信するステップと、当該外部メディアに制御をかけた管理サーバのみが、当該制御命令を解除できる解除命令を当該外部メディアに送信するステップとを含むことを特徴とする。
【0027】
また、本発明による外部メディア制御方法において、前記外部メディアが、或る端末に接続され、当該端末から前記外部メディア内に格納にされたファイルへのアクセス要求を受けた場合に、前記外部メディアの処理手順は、当該端末と当該外部メディアとの間で相互認証の処理を実行するステップと、該認証結果が正当である場合に、予め格納している端末の識別情報を用いて、当該端末が当該外部メディアに制御をかけることができる端末であるか否かを判定するステップと、当該外部メディアに制御をかけることができる端末であるとする判定結果である場合には、当該端末からの読み書き又は削除の制御命令を受け付け、当該外部メディアに制御をかけることができる端末ではないとする判定結果である場合には、当該端末からのアクセス要求について、当該ファイルの読み込みのみの制御命令を受け付けるようにアクセス制御するステップとを含むことを特徴とする。
【0028】
また、本発明による外部メディア制御方法において、前記管理サーバの処理手順は、当該ファイル持ち出し申請に対して、申請者、持ち出し許可ファイル、及び持ち出しに用いる外部メディアについての予め設定した条件に合致する申請内容である場合に、自動的に承認処理するステップを含むことを特徴とする。
【0029】
また、本発明による外部メディア制御方法において、当該ファイル持ち出し申請は、申請が可能な持ち出し許可ファイル、持ち出しに使用できる外部メディア、及び持ち出し可能な利用者についての組み合わせを対応付けた情報からの選択によってのみ申請されることを特徴とする。
【0030】
また、本発明による外部メディア制御方法において、前記管理サーバの処理手順は、前記外部メディアへのファイルの出力前に、ファイル持ち出し申請時、又はファイル持ち出し要求時のタイミングで当該ファイルを暗号化するのに用いるパスフレーズを設定するステップと、前記外部メディアへのファイルの出力時に、当該ファイルを前記パスフレーズによる自己解凍形式の暗号化処理を施すステップとを含むことを特徴とする。
【0031】
更に、本発明による外部メディア制御システムは、電子ファイルなどの情報のファイルを管理する管理サーバ、及び、前記管理サーバの外部へ前記ファイルを持ち出すのに用いる外部メディアとからなる外部メディア制御装置と、前記管理サーバに対して前記ファイルの持ち出し申請を行う利用者が利用する利用者端末と、該持ち出し申請に対して承認を行う承認者が利用する承認者端末とを備え、前記ファイルの持ち出し管理を行う外部メディア制御システムであって、前記管理サーバは、前記利用者端末から認証要求の情報を取得し、前記管理サーバに予め格納した情報を用いて、本人認証する手段と、前記利用者端末から所定のファイルの持ち出し申請の情報を取得し、前記管理サーバに予め格納した情報を用いるか、又は前記承認者端末と通信して、該ファイルに対する承認者の承認の情報を取得し、該ファイルに対する承認結果の情報を前記管理サーバ内に設けられた所定の情報管理手段に記録して情報管理する手段と、前記管理サーバに接続された前記外部メディアを、前記管理サーバに予め格納した情報を用いて、相互認証する手段と、前記相互認証が正当である場合に、前記外部メディアから、当該外部メディアへのファイルの書き込み制御を専用化している他の管理サーバを含む情報を状態情報として取得する手段と、前記状態情報から、前記管理サーバによって前記状態情報における書き込み制御を専用化している状態であると判定した場合に、前記情報管理手段に記録された持ち出し承認された情報に基づいて、前記管理サーバ内の前記持ち出し承認済のファイルを前記外部メディアのストレージ領域に書込みを行う制御命令を送信する手段と、前記状態情報から、前記管理サーバによって前記状態情報における書き込み制御を専用化している状態であり、且つ前記ファイルが前記外部メディアによって持ち出された後の持ち帰りであることを示す状態であると判定した場合に、前記外部メディア内の当該ファイルの内容を検証するとともに、前記外部メディアから当該ファイルを削除する制御命令を送信する手段と、前記状態情報の取得後に、ファイル持ち出しに利用した外部メディアを特定する情報、及びファイルの持ち出し又は持ち帰りの情報を前記情報管理手段に記録して情報管理する手段とを備え、前記外部メディアは、前記管理サーバとの接続時に、当該外部メディアに予め格納している情報を用いて、相互認証する手段と、当該外部メディアを専用化している登録済みの管理サーバの情報を格納する手段と、当該外部メディアへのファイルの書き込み制御を専用化する登録済みの管理サーバの情報を含む当該外部メディアにかけられている制御に関する情報を、当該外部メディア内の所定の格納領域に状態情報として格納する手段と、相互認証済の管理サーバから書き込み制御されたファイルを格納する手段と、当該外部メディアに接続された任意の端末との情報通信のアクセスを制御する手段と、前記管理サーバ装置からの制御命令に応じて、当該ファイルの読み書き又は削除を制御する手段とを備えることを特徴とする。
【0032】
更に、本発明による外部メディア制御装置は、電子ファイルなどの情報のファイルを管理する管理サーバ、及び、前記管理サーバの外部へ前記ファイルを持ち出すのに用いる外部メディアとからなる外部メディア制御装置と、前記管理サーバに対して前記ファイルの持ち出し申請を行う利用者が利用する利用者端末と、該持ち出し申請に対して承認を行う承認者が利用する承認者端末とを備える外部メディア制御システムにおける、前記ファイルの持ち出し管理を行う外部メディア制御装置であって、前記管理サーバは、前記利用者端末から認証要求の情報を取得し、前記管理サーバに予め格納した情報を用いて、本人認証する手段と、前記利用者端末から所定のファイルの持ち出し申請の情報を取得し、前記管理サーバに予め格納した情報を用いるか、又は前記承認者端末と通信して、該ファイルに対する承認者の承認の情報を取得し、該ファイルに対する承認結果の情報を前記管理サーバ内に設けられた所定の情報管理手段に記録して情報管理する手段と、前記管理サーバに接続された前記外部メディアを、前記管理サーバに予め格納した情報を用いて、相互認証する手段と、前記相互認証が正当である場合に、前記外部メディアから、当該外部メディアへのファイルの書き込み制御を専用化している他の管理サーバを含む情報を状態情報として取得する手段と、前記状態情報から、前記管理サーバによって前記状態情報における書き込み制御を専用化している状態であると判定した場合に、前記情報管理手段に記録された持ち出し承認された情報に基づいて、前記管理サーバ内の前記持ち出し承認済のファイルを前記外部メディアのストレージ領域に書込みを行う制御命令を送信する手段と、前記状態情報から、前記管理サーバによって前記状態情報における書き込み制御を専用化している状態であり、且つ前記ファイルが前記外部メディアによって持ち出された後の持ち帰りであることを示す状態であると判定した場合に、前記外部メディア内の当該ファイルの内容を検証するとともに、前記外部メディアから当該ファイルを削除する制御命令を送信する手段と、前記状態情報の取得後に、ファイル持ち出しに利用した外部メディアを特定する情報、及びファイルの持ち出し又は持ち帰りの情報を前記情報管理手段に記録して情報管理する手段とを備え、前記外部メディアは、前記管理サーバとの接続時に、当該外部メディアに予め格納している情報を用いて、相互認証する手段と、当該外部メディアを専用化している登録済みの管理サーバの情報を格納する手段と、当該外部メディアへのファイルの書き込み制御を専用化する登録済みの管理サーバの情報を含む当該外部メディアにかけられている制御に関する情報を、当該外部メディア内の所定の格納領域に状態情報として格納する手段と、相互認証済の管理サーバから書き込み制御されたファイルを格納する手段と、当該外部メディアに接続された任意の端末との情報通信のアクセスを制御する手段と、前記管理サーバ装置からの制御命令に応じて、当該ファイルの読み書き又は削除を制御する手段とを備えることを特徴とする。
【発明の効果】
【0033】
本発明によれば、外部メディアのストレージ領域に対して、アクセス制御する一方で、
利便性が損なれることなく、電子ファイルの持ち出し及び持ち帰りを管理することができる。即ち、外部メディアの持ち出しに関する証跡をより確実に確保することができ、且つ、外部メディアの持ち帰り時のメディア及びメディア内のデータを検証するため、利便性が損なれることがなくなる。これにより、より安全、且つ柔軟なファイル及び外部メディアの運用が可能となる。
【発明を実施するための最良の形態】
【0034】
まず、本発明による実施例1の外部メディア制御システムを説明する。
【0035】
[実施例1]
(システム構成)
図1は、本発明による実施例1の外部メディア制御システムの構成を示す図である。 実施例1の外部メディア制御システムは、外部メディアによる電子ファイルの安易な持ち出しでの情報漏洩等を防止するとともに、外部メディアへのファイルの安易なコピーを防止するのに好適なシステム例である。
【0036】
実施例1の外部メディア制御システムは、外部メディア制御装置として機能する管理サーバ1及び外部メディア5と、利用者端末2と、承認者端末3とから構成され、管理サーバ1は、利用者端末2及び承認者端末3のそれぞれとネットワーク(NW)4を介して通信可能に接続される。
【0037】
利用者端末2、承認者端末3及び管理サーバ1を接続するネットワークの例として、インターネットやイントラネット、無線回線や衛星回線や赤外線通信などがある。利用者端末2、承認者端末3及び管理サーバ1の間のインターフェースは、例えば、利用者端末2及び承認者端末3が、WEBブラウザを備え、管理サーバ1は、WEBサーバを立ち上げて、HTTPやHTTPSによる通信で実現することができる。
【0038】
まず、実施例1の外部メディア制御システムの説明において(他の実施例においても同様である)、利用者とは、ファイル持ち出しを申請し、実際に持ち出す者を云う。また、承認者とは、ファイルの持ち出しの承認判断(単に、許可とも称する)をする者を云う。また、利用者及び承認者を総括して、ユーザと称する。
【0039】
管理サーバ1は、組織の管理情報である電子ファイル(以下、単にファイルとも称する)を管理し、外部メディアを制御する管理サーバである。
【0040】
外部メディア5は、管理サーバ1内のファイルを持ち出す時に使用するストレージ領域付の外部メディアである。
【0041】
利用者端末2は、ファイルの持ち出しを申請する利用者が使用する端末である。利用者端末2の例として、PCやPDA、携帯電話などの様々な機器を利用することができる。
【0042】
承認者端末3は、ファイル持ち出しの申請に対して承認判断を行う承認者が使用する端末である。承認者端末3の例として、PCやPDA、携帯電話などの様々な機器を利用することができる。
【0043】
(管理サーバの構成)
管理サーバ1は、情報管理手段11と、メディア統制手段12と、情報格納手段13と、ユーザ統制手段14、情報通信手段15と、外部インターフェース手段16と、管理ファイル格納手段17とを備える。
【0044】
管理サーバ1は、利用者及び承認者のユーザ認証を行う機能と、持ち出すファイル、利用する外部メディア5、及び利用者の組み合わせに関する情報に基づいた申請及び承認処理を行うとともに、ファイルの持ち出しに利用する外部メディア5を認証する機能と、登録済であり、且つ他の管理サーバの制御下にない外部メディアにのみファイルを出力する機能と、持ち出し時に、利用者の本人認証確認をし、持ち出し又は持ち帰りの処理を制御する機能と、外部メディアの読み書きのロック又は解除を制御する機能(読み書き制御)と、ファイルの持ち出し又は持ち帰りに関する記録を保存する機能(証跡保全)と、外部メディアの持ち帰り時に改ざんを検証し、その記録を保存する機能とを有するように、各手段が構成される。管理サーバを実現する例として、アクセス制御や情報開示制御機能を有するDBMS(Database Management System)やファイルシステムなどが考えられる。
【0045】
情報管理手段11は、例えばDBMSを利用して、メディア統制手段及びユーザ統制手段から入力された情報を記録し、管理する。特に、持ち出し・持ち帰り記録情報(図3参照)は、ファイル持ち出しにおける、申請者、申請日時、持ち出し理由、持ち出しファイル情報、承認者、承認日時、持ち出し日時、持ち出し状態などに関する情報を記録し、管理するのに用いる。また、持ち出し・持ち帰り記録情報(図3参照)は、外部メディア5の持ち帰り時に外部メディア5や外部メディア5に格納しているファイルの改ざん検証した結果(改ざんの有無)や持ち帰り日時などの情報を記録し、管理するのに用いる。
【0046】
メディア統制手段12は、メディア識別手段121と、メディア制御手段122と、メディア検証手段123と、ファイルアクセス手段124とを有し、接続された外部メディアに対する処理を制御する。
【0047】
情報格納手段13は、例えばDBMS内のテーブルとして構成した、ファイル情報格納手段131と、メディア情報格納手段132と、サーバ情報格納手段133と、ユーザ情報格納手段134とを有する。
【0048】
ユーザ統制手段14は、例えばソフトウェアアプリケーションやICカードを制御する端末として構成することができ、申請・承認管理手段141と、ユーザ識別・認証手段142とを有する。ユーザ認証とは、パスワードなどの知識による認証、ICカードなどの所有物による認証、生体情報などの属性による認証などを含み、これらのうち少なくとも1つ以上の組み合わせによる認証とすることもできる。
【0049】
メディア識別・認証手段121は、ファイル持ち出しに利用する外部メディア5と当該管理サーバ1とを相互に識別し、認証するとともに、識別・認証に関する情報を情報管理手段11に出力する機能を有する。
【0050】
メディア制御手段122は、外部メディア5のファイル格納手段55への読込み又は書き込み(R/W)のロック又は解除を制御する機能を有する。また、メディア制御手段122は、当該管理サーバ1による外部メディア5ヘの制御の開始又は終了を制御する機能を有する。メディア制御手段122は、制御に関する情報を情報管理手段11に出力する機能を有する。
【0051】
メディア検証手段123は、外部メディア5及び外部メディア5のファイル格納手段55内のファイルについての改ざんの有無を検証する機能を有する。また、メディア検証手段123は、検証に関する情報を情報管理手段11に記録する機能を有する。
【0052】
ファイルアクセス手段124は、管理ファイル格納手段17に格納されているファイルを外部メディア5のファイル格納手段55に書き込みする機能を有する。また、ファイルアクセス手段124は、管理ファイル格納手段17に格納されているファイルを外部メディア5のファイル格納手段55から削除する機能を有する。また、ファイルアクセス手段124は、アクセスに関する情報を情報管理手段11に記録する機能を有する。
【0053】
情報格納手段13は、ユーザ統制手段14及びメディア統制手段12で利用する情報(図2参照)を、格納する機能を有する。
【0054】
ファイル情報格納手段131は、管理ファイル格納手段17に格納しているファイルに関する属性などの情報を格納する(図2(c)参照)。
【0055】
メディア情報格納手段132は、当該管理サーバ1からファイルの持ち出しに利用できる外部メディア5の固有の情報を格納する(図2参照(d))。
【0056】
サーバ情報格納手段は133は、外部メディア5と相互識別・認証するための管理サーバ固有の情報を格納する(図2参照(a))。
【0057】
ユーザ情報格納手段134は、ファイル持ち出しの申請又は承認をできる利用者及び承認者の認証に必要な識別情報(ID)やパスワード(PWD)、通知のための連絡先情報や所属や役職の属性などの情報を格納する(図2参照(b))。
【0058】
ユーザ統制手段14は、例えばソフトウェアアプリケーションやICカードを制御する端末として構成することができ、利用者端末2及び承認者端末3から受信した情報を処理する機能を有する。
【0059】
申請・承認管理手段141は、持ち出すファイル、利用する外部メディア5、利用者の組み合わせに関する情報に基づいた、申請及び承認処理を行うとともに、管理サーバ1内のファイル持ち出し申請及び承認の処理を管理する機能を有する。また、申請・承認管理手段141は、申請及び承認処理の情報を情報管理手段11に記録する機能を有する。
【0060】
ユーザ識別・認証手段142は、利用者及び承認者のユーザ認証を行う機能を有する。また、ユーザ識別・認証手段142は、識別・認証に関する情報を情報管理手段11に記録する機能を有する。
【0061】
情報通信手段15は、利用者端末2及び承認者端末3とインターネットを介して接続可能なWEB管理サーバを利用できる。
【0062】
管理ファイル格納手段17は、例えばWindows(登録商標)やLinuxなどのOSのファイルシステムやDBMSのオブジェクト格納機能を利用して、外部メディア5によって持ち出すファイル実体を格納する機能を有する。
【0063】
外部インターフェース手段16は、例えばUSBなどで、外部メディア5と接続し、外部メディア5と管理サーバ1との間の情報を通信する。
【0064】
(外部メディアの構成)
外部メディア5は、外部インターフェース手段51と、アクセス制御(AC:Access Control)実行手段52と、命令・演算手段53と、制御状態記憶手段54と、ファイル格納手段55と、識別情報格納手段56とを有する。
【0065】
外部メディア5は、当該外部メディアにファイルを出力する管理サーバを認証する機能(相互認証)を有し、当該外部メディアを登録済とした管理サーバ1のみによって外部メディア5のストレージ領域への読み書きのロック又は解除を制御され、且つ、ロックをかけた管理サーバ1のみによってロック状態を解除できるように制御される。管理サーバ1及び外部メディア5の相互認証では、チャレンジレスポンス形式などがあり、CamelliaやAESの共通鍵暗号方式や、SHA−1やSHA−2などの一方向性ハッシュ関数、又はRSAなどの公開鍵暗号方式を利用することができる。
【0066】
また、外部メディア5は、管理サーバ1との接続解除後は、外部メディア5内のストレージ領域へのファイルの書き込みは不可であり、外部メディア5とのI/Fに互換があり、当該ファイルのフォーマットを扱える任意の端末が、外部メディア5内のファイルを読み込むことができる(専用APや認証は、不要)。外部メディア5は、一般のPCなどで利用可能な規格が標準化されているUSBメモリやSDカード、外付けHDDなどを利用することができ、外部メディア5のストレージ領域を制御する中枢として、ソフトウェアアプリケーションや組込みOS,ICチップを利用することができるが、耐タンパ性を考慮すると、ICチップを利用するのが望ましい。
【0067】
外部インターフェース手段51は、例えばUSBなどで、管理サーバやその他の一般端末(利用者端末、承認者端末)と接続し、情報通信する機能を有する。
【0068】
アクセス制御(AC)実行手段52は、例えばICチップ及びその中で動作するプログラムで実現することができ、ファイル格納手段に対してRead only又はR/Wの状態制御、及びロック(書き込み不可)、解除の制御を実行する機能を有する。
【0069】
ファイル格納手段55は、例えばフラッシュメモリやHDDストレージ、又はICチップ上で実現することができ、持ち出しを許可されたファイル実体を格納する機能を有する。
【0070】
命令制御・計算手段53は、例えばICチップ及びその中で動作するプログラムで実現することができ、制御状態記憶手段54の確認、変更を行う機能を有する。また、命令制御・計算手段53は、AC実行手段52に命令をする機能を有する。また、命令制御・計算手段53は、相互認証の処理をする機能を有する。
【0071】
制御状態記憶手段54は、例えばフラッシュメモリやHDDストレージ、又はICチップが格納する領域などで実現することができ、現在当該メディアを制御している管理サーバ情報とその制御内容を記憶する機能を有する(図4(b)参照)。
【0072】
識別情報格納手段56は、例えばフラッシュメモリやHDDストレージ、又はICチップが格納する領域などで実現することができ、メディア情報格納手段561と、サーバ情報格納手段562とを有し、管理サーバ1との相互認証、R/Wのロック又は解除の制御を許可されている管理サーバ1を識別・認証するための情報を格納する機能を有する(図4(a)参照)。
【0073】
メディア情報格納手段561は、外部メディア5の固有の識別・認証情報を格納する。
【0074】
サーバ情報格納手段562は、外部メディア5にR/Wのロック又は解除の制御を実行できる管理サーバ1の識別・認証情報を格納する。
【0075】
(端末の構成)
利用者端末2及び承認者端末3は、同一の構成で実現することができ、それぞれ情報通信手段21,31と、情報入出力手段22,32とを備える。
【0076】
情報通信手段21,31は、管理サーバ1との間で情報を送受信する機能を有する。情報入出力手段21,31を有する端末としてディスプレイ及びキーボード、マウスを備えたPCを利用できる。
【0077】
情報入出力手段22,32は、利用者が認証や申請、承認などのための情報入力する機能及びそれらの結果の確認をするための情報出力する機能を有する。情報通信手段22,32としてインターネット回線に接続可能なWEBブラウザを利用することができる。
【0078】
実施例1の外部メディア制御システムは、利用者が組織の管理情報である電子ファイル等の情報が格納されている管理サーバ1から、外部メディア5を用いて当該電子ファイルを持ち出し可能に構成され、管理サーバ1に格納された持ち出し可能なファイルの持ち出し時は、外部メディア5からのみ利用可能にする。
【0079】
実施例1の外部メディア制御システムにおいて、管理サーバ1内に保存されているファイルを許可された利用者に、許可された外部メディア5で持ち出すことを適切な承認者が承認した時のみ、当該ファイルを管理サーバ1に接続されている外部メディア5に出力することができ、この時、管理サーバ1は、持ち出しに関する情報を記録保持することができる。
【0080】
また、実施例1の外部メディア制御システムにおいて、電子ファイルを格納した外部メディア5は、管理サーバ1との接続を解除した後は、管理サーバ1以外の如何なる装置も外部メディア6ヘの情報の書き込み、追記、変更、削除などの操作を行うこと不可能とし、読込みのみを可能とするように制御される。
【0081】
また、実施例1の外部メディア制御システムにおいて、外部メディア5を持ち帰った時、外部メディア5が管理サーバ1に接続されると、管理サーバ1は、外部メディア5自身、及び外部メディア5内に格納されているファイルの改ざん等の検証を行い、持ち出し先で不正な操作が行われたか否かを確認し、持ち帰り時の当該メディアに関する情報を記録保持し、又は外部メディア5にかけられた前述した操作制御の解除を制御する。
【0082】
(システム機能の説明)
図1を参照して、ファイルの持ち出しに関するシステム機能の説明をする。利用者端末2は、管理サーバ1ヘのアクセスを確立済みで、持ち出しファイルは管理サーバ1に格納済みで、本人認証情報及びメディア識別・認証情報は、管理サーバ1に登録済みであり、管理サーバ1の識別・認証情報は、外部メディア5に登録済みであるとする。
【0083】
(利用者認証)
1.利用者は、利用者端末2の情報入出力手段22を用いて本人認証のための認証情報を入力し、情報通信手段21にて管理サーバ1に送信する。
2.管理サーバ1のユーザ識別・認証手段142は、情報通信手段15を介して受信した当該認証情報と、情報格納手段13のユーザ情報格納手段134から抽出した認証情報とを利用して、本人認証の照合を行う。管理サーバ1は、当該認証が成功か否かの認証結果を、情報通信手段15を介して利用者端末2に送信する。
【0084】
(ファイル持ち出し申請)
1.利用者端末2は、情報通信手段21を介して受信した当該認証が成功した旨を表す情報に応じて、利用者の操作により情報入出力手段22を用いて入力したファイル持ち出し要求を、情報通信手段21を介して管理サーバ1に送信する。
2.管理サーバ1の申請・承認管理手段141は、情報通信手段15を介して受信したファイル持ち出し要求要求と、情報格納手段13のファイル情報格納手段131及びメディア情報格納手段132の情報とを用いて、ファイル持ち出し申請情報を生成し、情報通信手段15を介して利用者端末2に送信する。
3.利用者端末2は、情報通信手段21を介して受信したファイル持ち出し申請情報を情報入出力手段22に送出する。
4.利用者は、ファイル持ち出し申請情報の内容を確認し、持ち出したいファイル、又は持ち出しに利用する外部メディア5を選択指定することができ、利用者端末2は、情報入出力手段22により入力された、選択指定されたファイルの申請回答情報を生成し、情報通信手段21を介して管理サーバ1に送信する。
5.管理サーバ1の申請・承認管理手段141は、情報通信手段15を介して受信した当該申請回答情報と、情報格納手段13のユーザ情報格納手段134の情報とを用いて、ファイル持ち出し申請に対して承認権限を有する承認者を選択して、承認者に対する承認依頼情報を生成し、情報通信手段を介して、承認依頼情報を当該承認者の承認者端末3に送信する。
【0085】
(ファイル持ち出し承認)
1.承認者端末3は、承認者本人認証済み(利用者承認と同様に認証される)として、承認者端末3の情報通信手段31を介して受信した承認依頼情報を、情報入出力手段32によって出力する。これにより、承認者は、承認依頼情報を確認することができる。承認者端末3の情報入出力手段32は、承認者によって情報入出力手段32を介して入力された承認判断結果を表す承認結果情報を生成し、情報通信手段21を介して管理サーバ1に送信する。
【0086】
(持ち出し許可処理)
1.管理サーバ1の申請・承認管理手段141は、情報通信手段15を介して受信した承認結果情報を、情報管理手段11に登録する。
2.管理サーバ1の申請・承認管理手段141は、許可又は不許可を表す承認結果情報を、情報通信手段15を介して利用者端末2に送信する。
3.利用者端末2は、情報通信手段21を介して受信した承認結果情報を、情報入出力手段22により出力し、利用者は、承認結果情報の内容を確認することができる。
【0087】
(メディア接続)
利用者は、承認結果情報の内容が承認許可の場合に、予め管理サーバ1における情報格納手段13のメディア情報格納手段132に登録済みの外部メディア5を、外部メディア5の外部インターフェース手段51を介して管理サーバ1の外部インターフェース手段16に接続する。
【0088】
(相互認証)
管理サーバ1におけるメディア統制手段12のメディア識別・認証手段121、及び外部メディア5の命令・演算手段53は、管理サーバ1における情報格納手段13のメディア情報格納手段132と、サーバ情報格納手段133に格納されている情報と、外部メディア5における識別情報格納手段56のメディア情報格納手段561と、サーバ情報格納手段562に格納されている情報とを用いて、相互に認証情報を検証し、相互認証を行う。
【0089】
(メディア状態確認)
管理サーバ1のメディア制御手段122は、情報管理手段11から外部メディア5に関する情報を取得・確認する。
【0090】
(制御管理サーバ確認)
1.管理サーバ1のメディア制御手段122は、確認結果が持ち出し許可を示す情報であれば、外部メディア5を制御している管理サーバ情報を確認する要求(サーバ情報確認要求と称する)を外部メディア5に送信する。
2.サーバ情報確認要求を受信した外部メディア5の命令・演算手段53は、状態制御記憶手段54に格納している情報(図4(b)参照)を、管理サーバ1に送信する。
【0091】
(解除命令)
1.当該情報を受信した管理サーバ1のメディア制御手段は、当該外部メディア5を制御している他の管理サーバがない状態であることを確認した上で、外部メディア5のファイル格納手段55の利用制御(書き込み禁止の制御のかかった状態)を解除させる解除命令と、新たな制御を開始する開始命令とを、外部メディア5に送信する。
2.解除命令及び開始命令を受信した外部メディア5の命令・演纂手段53は、外部メディア5を制御する管理サーバの情報(以下、制御管理サーバ情報と称する)を管理サーバ1に変更し、管理サーバ1のみがファイルをファイル格納手段55に書き込めるように設定する。
【0092】
(ファイル出力)
1.管理サーバ1のファイルアクセス手段124は、管理ファイル格納手段17から、持ち出し許可されたファイルを取り出し、外部メディア5に送信する。
2.外部メディア5は、受信した当該ファイルをファイル格納手段55に格納する。
【0093】
(ロック命令)
1.管理サーバ1のメディア制御手段122は、外部メディア5のファイル格納手段55への書き込みを禁止するロック命令を外部メディア5に送信する。
2.当該命令を受信した外部メディア5の命令・演算手段53は、制御状態記憶手段54の設定を変更し、書き込み禁止の制御をする。
【0094】
(持ち出し情報記録)
管理サーバ1のメディア制御手段122は、ファイル持ち出しに関する情報を情報管理手段11に記録する。
【0095】
(メディア取り出し)
以上により、管理サーバ1から外部メディア5を接続解除し、取り出すことができる。また、外部メディア5は、他の機器に接続した場合、外部メディア5のAC実行手段52により、外部メディア5内のファイルを読込むことはできるが、外部メディア5内にファイルを書き込むことはできないように制御される。
【0096】
以下、実施例1の外部メディア制御システムにおいて、ファイル持ち出しの申請・承認処理を説明する。
【0097】
(ファイル持ち出しの申請・承認処理)
図5A及び図5Bのフロー図を参照して、ファイル持ち出しの申請・承認を説明する。図5A及び図5Bのステップ番号は対応させている。
【0098】
ステップS11で、利用者は、情報入出力手段22及び情報通信手段21を備えた利用者端末2を利用して、管理サーバ1にアクセスし、情報入出力手段22より本人認証情報である認証情報を入力し、情報通信手段21を介して送信する。管理サーバ1のユーザ統制手段のユーザ識別・認証手段142は、情報通信手段15を介して受信した当該利用者の認証情報と、ユーザ情報格納手段134に格納されている認証情報とを用いて、本人認証を行う。この時、認証は、ID/PWDなどによる知識による認証、トークンなどによる所有物による認証、指紋などの生体情報による属性による認証などがあり得る。また、管理サーバ1と利用者端末2の通信について、例えば、管理サーバ1ではWEB管理サーバが起動中で、利用者端末2ではWEBブラウザを利用して、該WEB管理サーバにアクセスする情報通信があり得る。例えば、図5Bを参照するに、ログイン認証のために、管理サーバ1は、利用者端末2に対して認証要求画面を提供し、認証要求画面に基づいてID(個人識別情報)/PWD(パスワード)の入力を要求し、入力されたID/PWDに基づいて認証する。
【0099】
ステップS12で、ユーザ統制手段14の申請・承認管理手段141は、当該認証結果が正当であれば(図示“yes”)、申請画面情報を作成し、情報通信手段15を介して当該申請画面情報を利用者端末2に送信する(ステップS14)。ユーザ統制手段14の申請・承認管理手段141は、認証結果が不成功であれば(ステップS12の図示“no”)、その旨を利用者端末2に送信する(ステップS13)。例えば、図5Bを参照するに、当該申請画面情報には、管理サーバ1の情報格納手段13が格納している電子ファイルに関する情報一覧(ファイル情報格納手段131から取得)と、当該利用者が持ち出しに用いることができる外部メディア5の装置情報一覧(メディア情報格納手段132から取得)などのファイル一覧が含まれている。このときのファイル一覧は、利用者の権限ごとに項目、内容を制御してもよい。情報格納手段13に格納される情報として、例えば図2にあげる情報がある。利用者端末2は、情報通信手段21を介して当該画面情報を受信し、情報入出力手段22にて表示出力し、利用者は、その内容を確認することができる。利用者は、当該画面情報より、持ち出したい1つ以上ファイル及び持ち出しに用いる外部メディアを特定し、情報入出力手段22を介して入力し、持ち出し許可申請を作成し、情報通信手段21を介して管理サーバ1に送信する。
【0100】
ステップS15で、管理サーバ1の申請・承認管理手段141は、情報通信手段15を介して受信した持ち出し許可申請と、ユーザ情報格納手段134から持ち出し許可申請に対応する承認者情報を取得し、適切な承認者を選択し、承認依頼要求を作成し、情報通信手段15を介して当該承認者の承認者端末3に送信する。この時、送信手法として、例えば、電子メールやRSSフィードなどがあり得る。また、承認者の選択は、申請している利用者の所属に対応する承認者を選択するか、又は業務内容に対応した承認者を選択する、などの手法があり得る。承認者端末3の情報通信手段31は、承認依頼要求を受信し、承認者は、その内容を確認することができる。承認者は、承認者端末3を操作して管理サーバ1にアクセスして本人認証を行い(ステップS11と同様)、承認依頼要求の承認画面を受信するようにする。承認者は、承認者端末3を操作して承認結果を情報入出力手段32を用いて入力し、情報通信手段31を介して管理サーバ1に送信する。本例では、承認者に承認判断を委ねるものとして説明しているが、予め管理サーバ1に格納されている電子ファイルに対して、持ち出してよい利用者、及び/又は、持ち出しに利用してよい外部メディア5の対応情報の条件を設定しておくことで、申請・承認管理手段142は、この条件に関する情報を格納している情報格納手段13から当該条件の情報と、利用者から得た申請情報とを用いて、自動的に承認判断の処理を行ってもよい。例えば、図5Bを参照するに、管理サーバ1は、承認者端末3に持ち出し依頼要求し、承認者認証を経て、承認者端末3から承認結果(例えば承認OK)の結果を得る。
【0101】
ステップS16で、管理サーバ1の申請・承認管理手段141は、承認結果が許可を示す旨の結果を受信すれば(図示“yes”)、情報通信手段15を介して受信した当該承認結果を情報管理手段11にて管理する。情報管理手段11に管理される情報として、例えば図3に示す情報がある。申請・承認管理手段141は、当該承認結果を情報通信手段15を介して、利用者端末2に送信する。利用者端末2は、情報通信手段21を介して当該承認結果を受信し、利用者は、その内容を確認することができる。
【0102】
以上より、利用者は、管理サーバ1を介して取得した承認者による承認結果が、持ち出したいファイルの承認結果が許可を示す情報であれば(ステップS16の図示“yes”)、承認された外部メディア5を管理サーバ1に接続し、承認されたファイルを持ち出すことができる(ステップS18)。一方、持ち出したいファイルの承認結果が不許可を示す情報であれば(ステップS16の図示“no”)、承認された外部メディア5を管理サーバ1に接続しても、承認されたファイルを持ち出すことができない(ステップS17)。例えば、図5Bを参照するに、管理サーバ1は、承認者端末3から得た承認結果(例えば承認OK)の結果に基づいて、当該利用者に対して、外部メディア5を用いた承認済のファイルの持ち出しを許可する。
【0103】
以下、実施例1の外部メディア制御システムにおいて、ファイル持ち出し処理を説明する。
【0104】
(ファイル持ち出し処理)
図6A及び図6Bのフロー図を参照して、ファイル持ち出し処理(正当なファイル持ち出し処理フローのみ)の説明をする。図6A及び図6Bのステップ番号は対応させている。
【0105】
ステップS21で、利用者は、持ち出しに承認された外部メディア5の外部インターフェース手段51を介して、管理サーバ1の外部インターフェース手段16に接続する。この時、外部インターフェース手段16,51としてUSB規格に基づいたインターフェースなどがあり、持ち出し先の端末である一般のデスクトップPCやノートPCなどでも容易に接続可能な規格のインターフェースが望ましい。また、管理サーバ1は、外部メディア5の接続時に、改めて当該接続する利用者に対して本人認証確認を行って、当該メディアで持ち出しを承認された利用者であること(持ち帰り時は、持ち出し中である利用者であること)を確認してもよい。当該認証に失敗した場合は、承認されたメディアを接続しても管理サーバ1から外部メディア5にファイル出力を行わない。当該認証に成功し、且つ、承認された外部メディア5を接続した場合のみ、管理サーバ1は、ファイルを外部メディア5に出力する。
【0106】
ステップS22で、外部インターフェース手段16,51が接続を検知した後、管理サーバ1は、メディア識別・認証手段121は、情報格納手段13のメディア情報格納手段132及びサーバ情報格納手段133が格納している情報を用いて、並びに、外部メディア5は、識別情報格納手段56のメディア情報格納手段561及びサーバ情報格納手段562に格納される情報を用いて、相互認証を行なう。尚、管理サーバ1における情報格納手段13のサーバ情報格納手段133及びメディア情報格納手段132に格納される情報には、例えば図2に示す情報がある。また、外部メディアの識別情報格納手段のサーバ情報格納手段、メディア情報格納手段情報として例えば図4に示す情報がある。相互認証の詳細は、図7を用いて後述する。
【0107】
次に、認証成功の場合(ステップS23の図示“yes”)、管理サーバ1のメディア制御手段122は、外部メディア5の状態を確認するため、情報管理手段11から外部メディア5の状態情報(例えば、当該外部メディア5へのファイルの書き込み制御を専用化している他の管理サーバを含む情報)を取得し、確認する(ステップS24)。続いて、ステップS26で、状態の確認結果に応じて処理は分岐する。本例は、ステップS42に進み、管理サーバ1のメディア制御手段122は、外部メディア5を制御している管理サーバ1を確認する要求を、外部メディア5に送信する例を説明する。
【0108】
当該状態情報の確認結果として、状態情報が「なし」の場合、これは、外部メディア5で管理サーバ1からファイルを持ち出すことを許可されていないことを示す(ステップS27に進む)。当該状態情報が「持ち出し中」の場合、ステップS31に進む。当該状態情報が「持ち出し許可」の場合、これは、管理サーバ1は外部メディア5にてファイルを持ち出すことを承認済みであり、まだ持ち出していないことを示す(ステップS42に進む)。
【0109】
尚、認証失敗の場合(ステップS23の図示“no”)、制御失敗となり、ファイルを当該メディアに格納できないよう制御される(ステップS25)。相互認証失敗の理由として、例えば、本実施例の外部メディア制御システムが管理する外部メディア5とは異なる外部メディアである場合や、本実施例の外部メディア制御システムが管理する外部メディア5を使用しているが、外部メディア5と管理サーバ1との間で相互に登録がなされていなかった場合などである。
【0110】
ステップS42で、管理サーバの確認要求を受信した外部メディア5の命令・演算手段53は、制御状態記憶手段54から、現在の外部メディア5に対してどの管理サーバが制御をかけているかに関する情報(以下、制御管理サーバ情報と称する)を取得し、管理サーバ1に送信する。制御状態記億手段54に記憶される情報として、例えば図4に示す情報がある。管理サーバ1は、制御している管理サーバ情報を受信したメディア制御手段122により、制御管理サーバ情報を確認する(ステップS43)。他の管理サーバが制御するものであるときは、制御失敗とし、その旨を外部メディア5に送信する(ステップS44)。また、当該管理サーバ1が制御中である場合には、改ざんされているかの検知処理することができる(ステップS45)。
【0111】
ステップS46では、メディア制御手段122は、制御管理サーバ情報を確認した結果、外部メディア5の状態が「持ち出し許可」であり、且つ当該制御管理サーバ情報が、「現在の外部メディア5を制御している管理サーバはなし」であることを示す情報である場合、管理サーバ1が外部メディア5を制御する開始命令を外部メディア5に送信する。
【0112】
続いて、当該開始命令を受信した外部メディア5の命令・演算手段53は、管理サーバ1が制御していることを示す情報を制御状態記憶手段54に記憶し、当該記憶の完了通知を管理サーバ1に送信する。この時、命令・演算手段53は、例えば、管理サーバ1が制御している情報を制御状態記憶手段54に記憶している状態の時に、異なる別の管理サーバによる制御開始命令を受信した場合、当該命令を受け付けず、エラー処理する。
【0113】
ステップS47で、当該完了通知を受信した管理サーバ1のメディア制御手段122は、管理サーバ1の管理ファイル格納手段17が格納しているファイルを外部メディア5のファイル格納手段55に書き込むため、ファイル格納手段55への書き込みを許可する解除命令を外部メディア5に送信する。当該解除命令を受信した外部メディア5の命令・演算手段53は、当該情報を制御状態記憶手段54に記憶し、当該記憶の完了通知を、管理サーバ1に送信する。この時、命令・演算手段53は、例えば、制御状態記憶手段54に管理サーバ1が制御している情報を記憶している状態の時に、異なる別の管理サーバによる制御開始命令を受信した場合、当該命令を受け付けず、エラー処理する。
【0114】
ステップS48で、当該完了通知を受信した管理サーバ1のメディア制御手段122は、当該通知をファイルアクセス手段124に送出する。ファイルアクセス手段124は、情報管理手段11から、外部メディア5にて持ち出しを許可されているファイルに関する情報を取得し、管理サーバ1の管理ファイル格納手段17が格納している承認されたファイルを、外部メディア5のファイル格納手段55に書き込むため、当該ファイルを外部メディア5に送信する。
【0115】
続いて、当該ファイルを受信した外部メディア5の命令・演算手段53は、AC実行手段52の制御を介して、当該ファイルをファイル格納手段55に格納する。外部メディア5の命令・演算手段53は、ファイル格納が完了した後、完了通知を管理サーバ1に送信する。このとき、制御状態記憶手段54から情報を取得した命令・演算手段53は、AC実行手段52に対して、管理サーバ1からファイル格納手段55へのファイル書き込みを許可するように制御する。また、管理サーバ1のファイルアクセス手段124は、ファイルを外部メディア5のファイル格納手段55に書き込む前に、当該ファイル格納手段55に対して、削除済みの情報をサルベージされないために、データを完全に消去する処理を行ってもよい。また、管理サーバ1は、外部メディア5に出力するファイルに対して、自己解凍形式のパスフレーズによる暗号化処理を施してもよい。このパスフレーズは、利用者が申請時に設定しておいてもよい。
【0116】
ステップS49で、完了通知を受信した管理サーバ1のメディア制御手段122は、外部メディア5のファイル格納手段55への書き込みを不許可にし、読込みのみ可能とするよう制御するため、ロック命令を外部メディア5に送信する。
【0117】
続いて、当該ロック命令を受信した外部メディア5の命令・演算手段53は、当該ロック命令の情報を制御状態記憶手段54に記憶し、当該記憶の完了通知を管理サーバ1に送信する。このとき、制御状態記憶手段54から情報を取得した命令・演算手段53は、AC実行手段52に対して、ファイル格納手段55へのファイル書き込みを不許可にするように制御する。
【0118】
ステップS50で、当該完了通知を受信したメディア制御手段122は、ファイル持ち出し処理に関する情報を情報管理手段17に送出し、情報管理手段17は、当該情報を管理する。
【0119】
ステップS51で、外部メディア5ヘファイルが格納され、ファイル格納手段55のストレージ領域全体に書き込み不可で読み込みのみ許可される制御が施された状態になり、管理サーバ1と外部メディア5の間の接続を解除し、持ち出すことができるようになる。
【0120】
(相互認証)
図7を用いて管理サーバと外部メディアの相互認証について説明する。尚、相互認証に、公開鍵暗号方式(K≠K’)や共通鍵暗号方式(K=K’)などを用いるのが好適である。
【0121】
ステップS22aで、管理サーバ1のメディア識別・認証手段121は、乱数R1を生成し、外部インターフェース手段16を介して外部メディア5に送信する。
【0122】
ステップS22bで、外部メディア5の命令・演算手段53は、外部インターフェース手段51を介して乱数R1を受信し、識別情報格納手段56のメディア情報格納手段561から暗号鍵K(M)を取得し、K(M)で乱数R1を暗号化したK(M)(R1)を生成し、外部メディア5のIDであるID(M)とともに管理サーバ1に送信する。
【0123】
ステップS22cで、K(M)(R1),ID(M)を受信したメディア識別・認証手段121は、メディア情報格納手段132からID(M)に対応する暗号鍵K’(M)を取得し、暗号鍵K’(M)にて、K(M)(R1)を復号し、R1’を取得し、R1とR1’を検証し、外部メディア5を認証する。メディア識別・認証手段121は、当該認証結果が正当であれば、即ちR1=R1’であれば、外部メディア5に乱数要求を送信する。
【0124】
ステップS22dで、乱数要求を受信した命令・演算手段53は、乱数R2を生成し、R2を管理サーバ1に送信する。
【0125】
ステップS22eで、R2を受信したメディア識別・認証手段121は、サーバ情報格納手段133から取得した暗号鍵K(S)でR2を暗号化し、K(S)(R2)を生成し、サーバ情報格納手段133から取得した管理サーバ1のIDであるID(S)とともに、外部メディア5に送信する。
【0126】
ステップS22fで、ID(S)及びK(S)(R2)を受信した命令・演算手段53は、サーバ情報格納手段133からID(S)に対応する暗号鍵K’(S)を取得し、K’(S)にてK(S)(R2)を復号し、R2’を取得する。R2とR2’を検証し、管理サーバ1を認証する。認証結果が正当であれば、つまりR2=R2’であれば、命令・演算手段53は、検証結果を外部メディア5に送信する。
【0127】
ステップS22gで、検証結果を受信した、メディア識別・認証手段121は、検証結果を確認し、認証成功を示す結果であれば、相互認証が成功したことになる。
【0128】
(持ち出し先での制御)
持ち出し処理により制御された外部メディア5を別の端末で利用する際の制御について、図8を参照して説明する。
【0129】
管理サーバ1(S)によってファイル(F)が外部メディア5(M)に格納されている場合における、管理サーバ1(S)とは異なる端末や、外部メディア5(M)に登録されていない別の管理サーバ(P)や、登録されている更に別の管理サーバ(T)による、外部メディア5(M)内のファイル(F)を格納しているファイル格納手段55へのアクセスについて説明する。
【0130】
(PがMと接続済みである場合)
別の管理サーバ(P)と外部メディア5(M)では相互認証が失敗する。外部メディア5(M)のAC実行手段52は、命令・演算手段53より、ファイル格納手段55へのアクセスは読込みのみ許可するモードに制御され、別の管理サーバ(P)から外部メディア5(M)のファイル格納手段へのアクセスは、ファイル書き込みは許可されないように制御される。
【0131】
(TがMと接続済みである場合)
外部メディア5(M)と更に別の管理サーバ(T)は、互いに登録済みであるため、相互認証は成功する。この場合、以下の手順で処理される。
(1)アクセス要求
更に別の管理サーバ(T)が外部メディア5(M)に対してファイル書き込みアクセスのための命令要求を送信する。
(2)アクセス要求通知
AC実行手段52は、当該命令要求を検知し、ファイル格納手段55にはアクセスさせず、当該命令要求を命令・演算手段53に送信する。
(3)状態取得
命令・演算手段53は、制御状態記憶手段54より、現在の外部メディア5(M)を制御している管理サーバ1(S)に関する情報(Sが制御中)を取得する。
(4)制御命令・演算
命令要求をしている更に別の管理サーバ(T)及び制御状態(Sが制御中)の情報を利用して、更に別の管理サーバ(T)がファイル書き込みの命令を実行できないと判定する。
(5)命令結果
命令・演算手段53は、判定結果をAC実行手段52に送信する。
(6)制御実行
AC実行手段52は、判定結果に基づいて、ファイル書き込みを許可しないモードで制御する。
(7)アクセス結果
外部メディア5(M)は、AC実行手段52の制御に基づいたアクセス結果を送信する。
【0132】
以下、実施例1の外部メディア制御システムにおいて、ファイル持ち帰り処理を説明する。
【0133】
(ファイル持ち帰り処理)
図6A及び図6Cのフロー図を参照して、ファイル持ち出し処理(正当なファイル持ち帰り処理フローのみ)の説明をする。図6A及び図6Cのステップ番号は対応させている。
【0134】
ステップS21〜ステップS26までは、前述の図6A及び図6Bのフロー図の説明と同様であり、その説明を省略するが、ステップS26における確認結果が、当該状態情報が「持ち出し中」であり、ステップS31に進む例を説明する。
【0135】
ステップS31で、管理サーバ1から状態の確認要求を受信した外部メディア5の命令・演算手段53は、制御状態記憶手段54から、現在の外部メディア5に対してどの管理サーバが制御をかけているかに関する情報(即ち、制御管理サーバ情報)を取得し、管理サーバ1に送信する。制御状態記憶手段54に記憶される情報として、例えば図4に示す情報がある。制御管理サーバ情報を受信したメディア制御手段122は、制御管理サーバ情報を確認する。
【0136】
ステップS32で、外部メディア5の状態が「持ち出し中」であり、且つ当該制御管理サーバ情報が、現在の外部メディア5を制御している管理サーバが管理サーバ1である情報である場合(ステップS32の“yes”)、持ち帰り処理を継続し、そうでなければ(ステップS32の“no”)、制御管理サーバ情報が改ざんされていると判断する(ステップS33)。管理サーバ1のメディア検証手段123は、外部メディア5のファイル格納手段55に格納されているファイル及び外部メディア5のその他の手段に対して、改ざんされてないかを検証する(ステップS34)。例えば、持ち出し前に取得しておいた外部メディア5内のファイル、データ、プログラムのハッシュ値と、現在のそれらのハッシュ値を用いて検証することが例としてあげられる。
【0137】
ステップS34における検証にて、外部メディア5が改ざんされていないことが確認できた場合(ステップS35の“yes”)、管理サーバ1のメディア制御手段122は、管理サーバ1が外部メディア5にかけているロック制御を解除する解除命令を、外部メディア5に送信する(ステップS37)。外部メディア5が改ざんされていると確認できた場合(ステップS35の“no”)、改ざんされているかの検知処理することができる(ステップS36)。当該解除命令を受信した外部メディア5の命令・演算手段53は、制御状態記憶手段54に、管理サーバ1がかけている制御の情報を更新し、当該情報を記憶させ、当該記憶の完了通知を、管理サーバ1に送信する。このとき、命令・演算手段53は、例えば、制御状態記憶手段54に管理サーバ1が制御している情報を記憶している状態の時に、異なる管理サーバによる制御解除命令を受信した場合、当該制御解除命令を受け付けず、エラー処理する。
【0138】
ステップS38で、当該完了通知を受信した管理サーバ1のメディア制御手段122は、外部メディア5のファイル格納手段55に格納されているファイルを削除するため、当該完了通知をファイルアクセス手段124に出力する。ファイルアクセス手段124は、当該ファイルの削除要求を外部メディア5に送信する。当該削除要求を受信した外部メディア5は、命令・演算手段53がAC実行手段52を制御して、ファイル格納手段55内のファイルを削除する。ファイル削除が完了したら、命令・演算手段53は、完了通知を管理サーバ1に送信する。このとき、制御状態記憶手段54から情報を取得した命令・演算手段53は、AC実行手段52に対して、当該管理サーバ1からファイル格納手段55へのファイル削除を許可するよう制御する。ファイルアクセス手段124は、当該ファイル格納手段55に対して、削除済みの情報をサルベージされないために、データを完全に消去する処理を行ってもよい。
【0139】
ステップS39で、当該完了通知を受信したメディア制御手段122は、情報管理手段11にファイル持ち帰り処理に関する情報を出力し、情報管理手段11は、当該情報を管理する。
【0140】
ステップS40で、当該完了通知を受信したメディア制御手段122は、外部メディア5ヘの制御を終了するため終了命令を、外部メディア5に送信する。当該終了命令を受信した外部メディア5の命令・演算手段53は、当該終了命令を反映させるため、制御状態記憶手段54に情報を更新・記憶させ(制御管理サーバなしとする)、当該記憶の完了通知を管理サーバ1に送信する。このとき、外部メディア5のAC実行手段53は、制御状態記憶手段54から情報を取得した命令・演算手段53が、AC実行手段52に対して、ファイル格納手段55へのファイル書き込みを不許可にするよう制御されている。
【0141】
ステップS40で、外部メディア5からファイルが削除され、情報格納手段11のストレージ領域全体に書き込み不可で読み込みのみ許可される制御が施された状態になり、管理サーバ1と外部メディア5の接続を解除し、持ち出すことができる(ストレージ領域内にはファイルは存在しない空の状態)。この状態のときに外部メディア5を紛失しても、ファイルが格納されていないことが情報管理手段11に記録されているため、ファイルの漏洩にはつながらない。
【0142】
尚、ステップS26における当該状態情報の確認結果として、状態情報が「なし」の場合、これは、ファイル持ち出しを承認されていない、即ち外部メディア5で管理サーバ1からファイルを持ち出すことを許可されていないことを示し、ステップS27に進む。
【0143】
ステップS28で、管理サーバ1から状態の確認要求を受信した外部メディア5の命令・演算手段53は、制御状態記憶手段54から、現在の外部メディア5に対してどの管理サーバが制御をかけているかに関する情報(即ち、制御管理サーバ情報)を取得し、管理サーバ1に送信する。制御管理サーバ情報を受信したメディア制御手段122は、制御管理サーバ情報を確認し、管理サーバ1が制御中とする情報であれば(ステップS28の“yes”)、制御管理サーバ情報が改ざんされていると判断し(ステップS30)、管理サーバ1が制御中でないとする情報であれば(ステップS28の“no”)、制御失敗と判断する(ステップS30)。
【0144】
以上により、実施例1の外部メディア制御システムによれば、組織などで管理が必要な電子ファイル等の情報が、本システムにおける管理サーバに格納されている場合、当該ファイル情報を持ち出す際に、申請又は承認を経ないと持ち出せないことで、勝手な持ち出しを防止することができる。更に、本システムにおける外部メディアを利用することで、組織が許可していない外部メディアを用いたファイルの持ち出しを防ぐことができる。また、本システムにおける外部メディアを用いてファイルを持ち出すことで、持ち出し先では、当該外部メディア内のファイルの読み込みのみだけが許可されているため、当該外部メディア内に新たにファイル等の情報を追加書き込みすること、当該外部メディア内のファイルヘの編集をすること、削除することなどができないように制御するため、仮に、持ち出し先で当該外部メディアを紛失したとしても、紛失した情報は、管理サーバ1に記録されているため、正しく把握することができ、その後の対応を適切に取ることができる。
【0145】
また、実施例1の外部メディア制御システムによれば、本システムにおける管理サーバより持ち出したファイル等の情報について、外部メディアにかけたロック制御は、制御をかけた管理サーバのみが解除制御をできるため、持ち出し時に外部メディアに格納したファイル情報(外部メディア内のストレージ領域)を持ち帰り時まで保全することができる。つまり、互いに登録されている管理サーバ及び部メディアであっても、当該外部メディアに対してロック制御をかけていない管理サーバは、解除制御することができないようにし、データ保全する。
【0146】
また、実施例1の外部メディア制御システムによれば、本システムにおける外部メディアが持ち出し先で改ざんされていないか検証することができ、外部メディアの持ち帰り時に、確かに管理サーバより持ち出したファイルしか持ち出していなかったことを確認することができ、その情報を本システムにおける管理サーバが管理することで、組織の管理情報の持ち出し管理を適切に行うことができる。
【0147】
次に、本発明による実施例2の外部メディア制御システムを説明する。
【0148】
[実施例2]
(システム構成)
図9は、本発明による実施例2の外部メディア制御システムにおける管理サーバの構成を示す図である。実施例2の外部メディア制御システムは、管理サーバ1と外部メディア5とを接続して、ファイル持ち出し処理及びファイル持ち帰り処理を行う際に、当該処理に先立って、利用者認証を行い、外部メディア5を利用している利用者が確かに管理サーバ1が許可した利用者であることを確認するのに好適なシステム例である。図9において、管理サーバ1以外の外部メディア5、利用者端末2、承認者端末3は、図1と同様であり図示を省略している。また、実施例2の外部メディア制御システムにおける管理サーバ1は、実施例1と同様な構成要素には同一の参照番号を付して説明しており、実施例2の管理サーバ1と比較して、情報入出力手段18及び持出し・持帰り制御手段143を更に備える点で相違する。図6は、申請・承認処理は、承認済みとし、ファイル持ち出し処理から説明する。ファイル持ち帰り処理時も実施例1と同様であるため、その説明は省略する。
【0149】
情報入出力手段18は、ファイルの持ち出し又は持ち帰り処理時に、外部メディア5を管理サーバ1に接続する利用者の本人認証情報を入力し、処理結果の情報を出力する。例えば、情報入出力手段18として、モニタとキーボード、マウス等がある。
【0150】
持出し・持帰り制御手段143は、持ち出し又は持ち帰り処理のための本人認証の結果と、情報管理手段11が管理している情報とを用いて、持ち出し又は持ち帰りに関する状態などの情報を確認し、持ち出し又は持ち帰り処理の可否を制御する。
【0151】
また、情報管理手段11は、認証状態を管理する(図3参照)。
【0152】
以下、実施例2の外部メディア制御システムにおいて、ファイルの持ち出し又は持ち帰り処理時の事前認証処理を説明する。図10に、実施例2の外部メディア制御システムにおけるファイルの持ち出し又は持ち帰り処理時の事前認証処理のフローを示す。
【0153】
(ファイルの持ち出し又は持ち帰り処理時の事前認証処理)
ステップS101で、利用者は、管理サーバ1の情報入出力手段18を利用して、認証情報及び持ち出し処理(又は持ち帰り処理)を特定する要求処理情報を入力する。管理サーバ1の情報入力手段18にて入力された情報を、ユーザ統制手段14のユーザ識別・認証手段142は、情報格納手段13のユーザ情報格納手段133が格納している認証情報を取り出し、本人認証の確認を行う。
【0154】
ステップS102で、認証結果が正当でなければ、持出し・持帰り制御手段143は、ファイル持ち出しを許可されていて、且つ持ち出し承認された外部メディア5を管理サーバ1に接続しても、持ち出し承認されたファイルを管理サーバ1の管理ファイル格納手段17から外部メディア5のファイル格納手段55に出力しない。
【0155】
持ち出し・持ち帰り制御手段143は、認証結果が正当であれば(ステップS102の“yes”)、当該認証結果と当該要求処理情報とを利用して、情報管理手段より当該利用者に対して既に承認されているファイル持ち出し(又は持ち帰り)に関する情報を取得し、状態を確認する(ステップS104)。認証結果が不一致であれば(ステップS102の“no”)、認証失敗とする(ステップS103)。
【0156】
ステップS105で、当該状態において、ファイル持ち出しを承認したがまだ持ち出していない状態である、持ち出し許可の状態(ファイルを持ち出し中でまだ持ち帰っていない状態である持ち出し中の状態)があれば(ステップS105の“yes”)、持出し・持帰り制御手段143は、メディア接続を要求する情報を生成し、当該情報を情報入出力手段18に出力する。当該状態において、ファイル持ち出しを承認したがまだ持ち出していない状態である、持ち出し許可の状態(ファイルを持ち出し中でまだ持ち帰っていない状態である持ち出し中の状態)でない場合(ステップS105の“no”)、ファイル持ち出し不許可とする(ステップS106)。
【0157】
ステップS107で、利用者は、当該情報を確認し、外部メディア5の外部インターフェース手段51を管理サーバ1の外部インターフェース手段16に接続する。
【0158】
ステップS108で、相互に接続された管理サーバと外部メディアの間で相互認証を行う。このとき、ステップS101の認証から相互認証までの時間に有効期限を設定し、当該期限を過ぎた時点で、管理サーバ1に外部メディア5を接続してもエラーとする処理を行ってもよい。
【0159】
認証結果が正当であれば(ステップS109の“yes”)、実施例1で説明したファイル持ち出し処理(又は持ち帰り処理)が実行される(ステップS111)。以降の処理は、実施例1のステップS46(又は、実施例1のステップS34)と同様である。持ち出し処理(又は持ち帰り処理)が完了したら、利用者は、管理サーバ1からログアウトする。認証結果が不一致であれば(ステップS109の“no”)、その後の処理を不許可とする(ステップS110)。
【0160】
実施例2の外部メディア制御システムによれば、外部メディア5と外部メディア5の利用者の対応を管理サーバで確認することで、即ちファイル持ち出し申請時だけではなく、ファイル持ち出し処理時にも、本人認証を強制することで、外部メディア5とそれを用いている利用者の対応に矛盾がないことを確認することができる。
【0161】
例えば、ある利用者Xによる持ち出し申請・承認が許可されたファイルに対して、異なる利用者Yが、利用者Xの所有する外部メディアを不正に取得し、利用者Yが当該外部メディアを用いて管理サーバ1から前記ファイルを持ち出すという不正行為を防止することができる。
【0162】
前述した実施例では、説明の便宜のために、各手段を個別の手段として説明したが、適宜組み合わせて、又は1つの制御手段で構成することができることは明らかである。例えば、管理サーバを複数の装置又はコンピュータで実現することができる。更に、前述した各実施例において、管理サーバ1として構成する1つ以上のコンピュータは、前述した各処理を実現させるために、中央演算処理装置(CPU)の制御によって実現でき、各情報格納手段を少なくとも1つ以上のメモリとして構成することができる。更に、管理サーバ1としてコンピュータを機能させるために、メモリの所定の領域にCPUで実行させるためのプログラムを格納することができる。また、前述した各処理を実現させるために必要とされるデータを、メモリに一時的、又は恒久的に格納することもできる。このようなメモリは、コンピュータ内部のROM、RAM又はハードディスクなどで構成させることができ、或いは又、外部記憶装置(例えば、外付けハードディスク)を用いて構成させることもできる。従って、本発明は、前述した実施例に限定されるものではなく、その主旨を逸脱しない範囲において種々変更可能である。
【産業上の利用可能性】
【0163】
本発明によれば、外部メディアのストレージ領域に対して、アクセス制御する一方で、
利便性が損なれることなく、電子ファイルの持ち出し及び持ち帰りを管理することができ、より安全、且つ柔軟なファイル及び外部メディアの運用が可能となるため、外部メディアを用いた用途に有用である。
【図面の簡単な説明】
【0164】
【図1】本発明による実施例1の外部メディア制御システムの構成を示す図である。
【図2】本発明による実施例1の外部メディア制御システムにおける管理サーバに格納された情報例を示す図である。
【図3】本発明による実施例1の外部メディア制御システムにおける管理サーバが管理する情報例を示す図である。
【図4】本発明による実施例1の外部メディア制御システムにおける管理サーバに格納された情報例を示す図である。
【図5A】本発明による実施例1の外部メディア制御システムにおけるファイル持ち出しの申請・承認処理を示すフロー図である。
【図5B】本発明による実施例1の外部メディア制御システムにおけるファイル持ち出しの申請・承認処理を示すフロー図である。
【図6A】実施例1の外部メディア制御システムにおけるファイル持ち出し及び持ち帰り処理を示すフロー図である。
【図6B】実施例1の外部メディア制御システムにおけるファイル持ち出し処理を示すフロー図である。
【図6C】実施例1の外部メディア制御システムにおけるファイル持ち帰り処理を示すフロー図である。
【図7】実施例1の外部メディア制御システムにおける管理サーバと外部メディアの相互認証を示すフロー図である。
【図8】実施例1の外部メディア制御システムにおける外部メディアの持ち出し先での制御を示す図である。
【図9】本発明による実施例2の外部メディア制御システムにおける管理サーバの構成を示す図である。
【図10】実施例2の外部メディア制御システムにおけるファイルの持ち出し又は持ち帰り処理時の事前認証処理を示すフロー図である。
【符号の説明】
【0165】
1 管理サーバ
2 利用者端末
3 承認者端末
5 外部メディア
11 情報管理手段
12 メディア統制手段
13 情報格納手段
14 ユーザ統制手段
15 情報統制手段
16 外部インターフェース手段
17 管理ファイル格納手段
18 情報入出力手段
21,31 情報通信手段
22,32 情報入出力手段
51 外部インターフェース手段
52 AC実行手段
53 命令・演算手段
54 制御状態記憶手段
55 ファイル格納手段
56 識別情報格納手段
121 ユーザ識別・認証手段
122 メディア制御手段
123 メディア検証手段
124 ファイルアクセス手段
131 ファイル情報格納手段
132 メディア情報格納手段
133 サーバ情報格納手段
134 ユーザ情報格納手段
141 申請・承認管理手段
142 ユーザ識別・認証手段
143 持出し・持帰り制御手段
561 メディア情報格納手段
562 サーバ情報格納手段
【技術分野】
【0001】
組織における管理情報である電子ファイルの持ち出し時における、電子ファイルの持ち出しの制御、及び持ち出しに利用する外部メディアの制御に関する。
【背景技術】
【0002】
一般に、企業等において代表される組織間で、重要な電子ファイルを管理又は共有する上で、組織における内部不正が問題視されている。持ち出しを許可されてない電子ファイルを無断で持ち出すことによる情報漏洩が多くみられる。また、持ち出しを許可された電子ファイルを格納した外部メディアを紛失することによる情報漏洩もみられる。
【0003】
そこで、持ち出したファイルを紛失した際の対処法は、ファイル暗号化などの方法が考えられるが、市販の外部メディアは、持ち出しを許可されたファイルを格納した後に別のファイルを追加格納することが可能である。このような運用を行っている場合、どのファイルを持ち出したのかに関する証跡を確実に取得することが望まれる。また、外部メディアにアクセスできるのは特定の端末だけとする機器認証等によるアクセス制御がある場合、持ち出し先での利便性が損なわれることになる。
【0004】
従って、ストレージ領域を有する外部メディアにて、電子ファイルを持ち出す状況を考えた場合、以下の問題が挙げられる。
(1)組織的に許可されてないファイルを持ち出されることによる情報漏洩。
(2)外部メディアによるファイルを持ち出した際、外部メディア紛失時に、実際に紛失したファイル情報を特定できないことによる関係各所への説明責任を果たせず、対策を取れない。
(3)外部メディアヘのアクセス制御により、持ち出し先での利便性が損なわれる。
【0005】
従来から知られている、電子ファイルの持ち出しに関する技術には、以下のようなものがある。
【0006】
1.ログ収集及び監視技術
専用AP(Application)等を、ファイルを持ち出す端末にインストールし、外部メディアを用いて端末外ヘファイルが持ち出される状況を監視し、その振舞いをログとして収集及び記録することで、事後的な検出を可能とする技術がある。この技術によれば、ファイルを持ち出す可能性のある全端末を当該技術の支配下におく場合は、ログによる情報漏洩の証跡を確保することができ、事後的な追跡が可能である。
【0007】
2.PC(Personal Computer)から外部メディアによるファイル持ち出し操作を制御する技術
専用AP等がインストールされた端末からファイルを持ち出す時、所定の申請又は承認を経るか、又は持ち出しについて許可又は不許可とするようにアクセス制御されたファイルの情報をステータス情報として保持し、この情報に基づいて当該ファイルを外部メディアに出力制御する技術がある。この技術によれば、前述と同様に、当該技術の支配下にある端末からのファイル持ち出しについて、事後的追跡が可能となる。
【0008】
3.外部メディアを特定の機器でのみアクセスを許可する技術
ファイルが格納されている端末と、ファイルの持ち出しに使用する外部メディアとを相互に機器認証することによって、認証に失敗した端末と外部メディアとの間でファイルの入出力をできないように制御する技術が知られている(例えば、特許文献1参照)。
【0009】
4.外部メディアの引き抜き時、ストレージ領域へのアクセスを不許可にする技術
端末に接続されている外部メディアを引き抜いた時に、この引き抜き動作を検出し、外部メディア内のデータヘのアクセスを禁止制御する技術がある。この技術によれば、外部メディアが持ち出された事実、及びその際の認証が正しく行われたか否かの情報を保存しておくことができる。
【0010】
5.外部メディアからのファイル漏洩を防止する技術
外部メディア内部にファイル漏洩を防止するために、ファイル操作を制御するOS(Operating System)、APを組み込む技術がある。この技術によれば、ファイルを利用する際に使用する端末上に、ファイルのキャッシュやコピーを残さないようにすることができる。また、暗号化したファイルが解読されることを想定した上で、外部メディアからファイルの情報が漏洩するのを防止することができる。
【0011】
6.メディア内のファイルに対して有効期限やタイマ、カウンタ等によってアクセスを失効させる技術
メディア内のファイルアクセスをタイマやカウンタを用いて、有効期限・回数に基づいてファイルの利用を制御する技術が知られている(例えば、特許文献2参照)。この技術によれば、利用期限・回数を制御したいファイルヘのアクセスを管理し、有効期限・回数を過ぎたファイルヘのアクセスを不可能にすることで、不正使用を防止することができる。
【0012】
【特許文献1】特開2006−054008号公報
【特許文献2】特開2007−220122号公報
【発明の開示】
【発明が解決しようとする課題】
【0013】
従来技術においては、ストレージ領域を有する外部メディアを用いて、電子ファイル等のデータを持ち出し、或いは又、持ち出し先で当該メディアを紛失した場合、紛失した時点で、紛失したデータの情報、即ち当該メディアのストレージ領域内に格納されているデータの情報を、正確に把握することができない。
【0014】
例えば、「1.ログ収集及び監視技術」では、当該技術の支配下にない端末からのファイル持ち出しについて対応不可能である管理下である場合や、専用APをインストールできない環境の端末がある場合、更に、組織の支配下にない組織外の端末を利用してファイルをアクセスする場合など、十分な情報漏洩の防止を行うことができない。また、外部メディアヘのアクセスを制御することを考慮していない。
【0015】
また、「2.PCから外部メディアによるファイル持ち出し操作を制御する技術」では、当該技術の支配下にない端末からのファイル持ち出しについて、前述と同様の理由により、十分な情報漏洩の防止を行うことができない。例えば、当該技術支配下の端末から適切にファイルを外部メディアに出力した後で、当該技術支配下にない端末から当該外部メディアに任意のファイルを追加して格納することもでき、紛失時に実際に持ち出したファイル情報を特定することができない。
【0016】
更に、「3.外部メディアを特定の機器でのみアクセスを許可する技術」では、外部メディアに対して、機器認証をパスした1つ以上の端末から自由にファイルを格納したり、任意のファイルを追加的に格納したりすることができてしまい、外部メディア内のファイル情報の保全が困難である。また、外部メディアにファイルを格納した後で、当該ファイルにアクセスする時、使用する端末を事前に機器認証のための登録をしておく必要がある。組織外の未知の端末を使用して所定のファイルにアクセスすることを所望する場合は、この事前の登録は困難である。
【0017】
また、「4.外部メディアの引き抜き時、ストレージ領域へのアクセスを不許可にする技術」では、非常時の外部メディアの持ち出しにおける当該メディア内のデータアクセスを制御することができるが、持ち出し先での利便性や外部メディアを利用してファイルを持ち出すことに対して制御することができない。
【0018】
また、「5.外部メディアからのファイル漏洩を防止する技術」では、外部メディア内においてファイルを編集することができてしまう。また、ファイルアクセスに使用する端末のOS等の環境が、外部メディア内のOSやAPに依存することになり、利便性が損なわれる。更に、外部メディアを利用して、ファイルを持ち出すことに対して制御することができない。
【0019】
更に、「6.メディア内のファイルに対して有効期限やタイマ、カウンタ等によってアクセスを失効させる技術」では、ファイルの持ち出し承認、メディアヘのファイルの追加的な書き込みに対して制御することができない。
【0020】
このように、従来技術の問題を総括すると、以下のような課題がある。
(1)外部メディアのストレージ領域に対して、アクセス制御していないという課題がある。
(2)外部メディアヘのアクセス制御により、持ち出し先での特別な認証等が必要となるため、利便性が損なれるという課題がある。
(3)電子ファイルの持ち出しを考慮しなければ、適切な承認を経ずに当該メディアヘデータを出力できてしまうこと、外部メディアを用いてどのデータを持ち出したのかに関する証跡を、より確実に確保する必要があること、外部メディアの持ち帰り時のメディア及びメディア内のデータを検証する必要があることなどの課題がある。
【0021】
そこで、本発明の目的は、外部メディアによる電子ファイルの安易な持ち出しによる情報漏洩を防止する、外部メディア制御方法、システム及び装置を提供することにある。
【課題を解決するための手段】
【0022】
上記課題を解決するために、本発明は、管理サーバに格納されている組織の管理情報である電子ファイルについて、持ち出し許可された利用者が、許可されたファイルを、許可された外部メディアに格納する。当該ファイルを格納する外部メディアは、当該ファイルを保管している管理サーバに予め登録されているもののみを格納する。そして、当該外部メディアに予め登録された管理サーバのみが、当該外部メディアを制御し、当該電子ファイルを格納した当該メディアにおけるストレージ領域を、読込みのみ許可するように制御するとともに、当該ストレージ領域への書き込み、編集、削除等を含む他の制御を解除するか否かを管理し、ファイル持ち出しに関する情報を証跡として管理し、この証跡に記録されてないファイルについて、持ち出されてないことを保障するように管理する。また、管理サーバは、当該保障された外部メディアの持ち出し先では、特定の端末に依存することなく、且つネットワーク(NW)を介した認証を必要とすることなく、一般の端末にて読込みのみ可能とするように設定し、当該メディアの持ち帰り時に、外部メディア及び当該外部メディアが格納しているファイルが改ざんされていないことを検証する。
【0023】
即ち、本発明による外部メディア制御方法は、電子ファイルなどの情報のファイルを管理する管理サーバ、及び、前記管理サーバの外部へ前記ファイルを持ち出すのに用いる外部メディアとからなる外部メディア制御装置と、前記管理サーバに対して前記ファイルの持ち出し申請を行う利用者が利用する利用者端末と、該持ち出し申請に対して承認を行う承認者が利用する承認者端末とを備える外部メディア制御システムにおける、前記ファイルの持ち出し管理を行う前記外部メディア制御装置の外部メディア制御方法であって、前記管理サーバの処理手順は、前記利用者端末から認証要求の情報を取得し、前記管理サーバに予め格納した情報を用いて、本人認証するステップと、前記利用者端末から所定のファイルの持ち出し申請の情報を取得し、前記管理サーバに予め格納した情報を用いるか、又は前記承認者端末と通信して、該ファイルに対する承認者の承認の情報を取得し、該ファイルに対する承認結果の情報を前記管理サーバ内に設けられた所定の情報管理手段に記録して情報管理するステップと、前記管理サーバに接続された前記外部メディアを、前記管理サーバに予め格納した情報を用いて、相互認証するステップと、前記相互認証が正当である場合に、前記外部メディアから、当該外部メディアへのファイルの書き込み制御を専用化している他の管理サーバを含む情報を状態情報として取得するステップと、前記状態情報から、前記管理サーバによって前記状態情報における書き込み制御を専用化している状態であると判定した場合に、前記情報管理手段に記録された持ち出し承認された情報に基づいて、前記管理サーバ内の前記持ち出し承認済のファイルを前記外部メディアのストレージ領域に書込みを行う制御命令を送信するステップと、前記状態情報から、前記管理サーバによって前記状態情報における書き込み制御を専用化している状態であり、且つ前記ファイルが前記外部メディアによって持ち出された後の持ち帰りであることを示す状態であると判定した場合に、前記外部メディア内の当該ファイルの内容を検証するとともに、前記外部メディアから当該ファイルを削除する制御命令を送信するステップと、前記状態情報の取得後に、ファイル持ち出しに利用した外部メディアを特定する情報、及びファイルの持ち出し又は持ち帰りの情報を前記情報管理手段に記録して情報管理するステップとを含み、前記外部メディアの処理手順は、前記管理サーバとの接続時に、当該外部メディアに予め格納している情報を用いて、相互認証するステップと、当該外部メディアを専用化している登録済みの管理サーバの情報を格納するステップと、当該外部メディアへのファイルの書き込み制御を専用化する登録済みの管理サーバの情報を含む当該外部メディアにかけられている制御に関する情報を、当該外部メディア内の所定の格納領域に状態情報として格納するステップと、相互認証済の管理サーバから書き込み制御されたファイルを格納するステップと、当該外部メディアに接続された任意の端末との情報通信のアクセスを制御するステップと、前記管理サーバ装置からの制御命令に応じて、当該ファイルの読み書き又は削除を制御するステップとを含むことを特徴とする。
【0024】
また、本発明による外部メディア制御方法において、前記外部メディアの処理手順は、利用者によって前記管理サーバに直接入力された認証要求に基づいて、予め格納している情報を用いて利用者認証するステップを更に含み、前記管理サーバの処理手順は、当該ファイルの持ち出し又は持ち帰り処理の実行時に、該認証要求の緒果情報と情報管理手段に記録されている情報とを用いて、当該利用者が利用する前記外部メディアと当該ファイルの承認情報との対応関係を確認した上で、ファイルの持ち出し又は持ち帰りの処理の実行を制御するステップを更に含むことを特徴とする。
【0025】
また、本発明による外部メディア制御方法において、前記ファイルの申請及び承認は、前記管理サーバに予め格納されている情報として、少なくとも持ち出し要求ファイルと、持ち出し時に用いる外部メディアと、持ち出しを要求する利用者とを組合せた項目に基づいて行うことを特徴とする。
【0026】
また、本発明による外部メディア制御方法において、前記管理サーバの処理手順は、取得した状態情報から他の管理サーバ装置の制御下にないと判断した場合に、当該ファイルの読み書き又は削除を制御する制御命令を前記外部メディアに送信するステップと、当該外部メディアに制御をかけた管理サーバのみが、当該制御命令を解除できる解除命令を当該外部メディアに送信するステップとを含むことを特徴とする。
【0027】
また、本発明による外部メディア制御方法において、前記外部メディアが、或る端末に接続され、当該端末から前記外部メディア内に格納にされたファイルへのアクセス要求を受けた場合に、前記外部メディアの処理手順は、当該端末と当該外部メディアとの間で相互認証の処理を実行するステップと、該認証結果が正当である場合に、予め格納している端末の識別情報を用いて、当該端末が当該外部メディアに制御をかけることができる端末であるか否かを判定するステップと、当該外部メディアに制御をかけることができる端末であるとする判定結果である場合には、当該端末からの読み書き又は削除の制御命令を受け付け、当該外部メディアに制御をかけることができる端末ではないとする判定結果である場合には、当該端末からのアクセス要求について、当該ファイルの読み込みのみの制御命令を受け付けるようにアクセス制御するステップとを含むことを特徴とする。
【0028】
また、本発明による外部メディア制御方法において、前記管理サーバの処理手順は、当該ファイル持ち出し申請に対して、申請者、持ち出し許可ファイル、及び持ち出しに用いる外部メディアについての予め設定した条件に合致する申請内容である場合に、自動的に承認処理するステップを含むことを特徴とする。
【0029】
また、本発明による外部メディア制御方法において、当該ファイル持ち出し申請は、申請が可能な持ち出し許可ファイル、持ち出しに使用できる外部メディア、及び持ち出し可能な利用者についての組み合わせを対応付けた情報からの選択によってのみ申請されることを特徴とする。
【0030】
また、本発明による外部メディア制御方法において、前記管理サーバの処理手順は、前記外部メディアへのファイルの出力前に、ファイル持ち出し申請時、又はファイル持ち出し要求時のタイミングで当該ファイルを暗号化するのに用いるパスフレーズを設定するステップと、前記外部メディアへのファイルの出力時に、当該ファイルを前記パスフレーズによる自己解凍形式の暗号化処理を施すステップとを含むことを特徴とする。
【0031】
更に、本発明による外部メディア制御システムは、電子ファイルなどの情報のファイルを管理する管理サーバ、及び、前記管理サーバの外部へ前記ファイルを持ち出すのに用いる外部メディアとからなる外部メディア制御装置と、前記管理サーバに対して前記ファイルの持ち出し申請を行う利用者が利用する利用者端末と、該持ち出し申請に対して承認を行う承認者が利用する承認者端末とを備え、前記ファイルの持ち出し管理を行う外部メディア制御システムであって、前記管理サーバは、前記利用者端末から認証要求の情報を取得し、前記管理サーバに予め格納した情報を用いて、本人認証する手段と、前記利用者端末から所定のファイルの持ち出し申請の情報を取得し、前記管理サーバに予め格納した情報を用いるか、又は前記承認者端末と通信して、該ファイルに対する承認者の承認の情報を取得し、該ファイルに対する承認結果の情報を前記管理サーバ内に設けられた所定の情報管理手段に記録して情報管理する手段と、前記管理サーバに接続された前記外部メディアを、前記管理サーバに予め格納した情報を用いて、相互認証する手段と、前記相互認証が正当である場合に、前記外部メディアから、当該外部メディアへのファイルの書き込み制御を専用化している他の管理サーバを含む情報を状態情報として取得する手段と、前記状態情報から、前記管理サーバによって前記状態情報における書き込み制御を専用化している状態であると判定した場合に、前記情報管理手段に記録された持ち出し承認された情報に基づいて、前記管理サーバ内の前記持ち出し承認済のファイルを前記外部メディアのストレージ領域に書込みを行う制御命令を送信する手段と、前記状態情報から、前記管理サーバによって前記状態情報における書き込み制御を専用化している状態であり、且つ前記ファイルが前記外部メディアによって持ち出された後の持ち帰りであることを示す状態であると判定した場合に、前記外部メディア内の当該ファイルの内容を検証するとともに、前記外部メディアから当該ファイルを削除する制御命令を送信する手段と、前記状態情報の取得後に、ファイル持ち出しに利用した外部メディアを特定する情報、及びファイルの持ち出し又は持ち帰りの情報を前記情報管理手段に記録して情報管理する手段とを備え、前記外部メディアは、前記管理サーバとの接続時に、当該外部メディアに予め格納している情報を用いて、相互認証する手段と、当該外部メディアを専用化している登録済みの管理サーバの情報を格納する手段と、当該外部メディアへのファイルの書き込み制御を専用化する登録済みの管理サーバの情報を含む当該外部メディアにかけられている制御に関する情報を、当該外部メディア内の所定の格納領域に状態情報として格納する手段と、相互認証済の管理サーバから書き込み制御されたファイルを格納する手段と、当該外部メディアに接続された任意の端末との情報通信のアクセスを制御する手段と、前記管理サーバ装置からの制御命令に応じて、当該ファイルの読み書き又は削除を制御する手段とを備えることを特徴とする。
【0032】
更に、本発明による外部メディア制御装置は、電子ファイルなどの情報のファイルを管理する管理サーバ、及び、前記管理サーバの外部へ前記ファイルを持ち出すのに用いる外部メディアとからなる外部メディア制御装置と、前記管理サーバに対して前記ファイルの持ち出し申請を行う利用者が利用する利用者端末と、該持ち出し申請に対して承認を行う承認者が利用する承認者端末とを備える外部メディア制御システムにおける、前記ファイルの持ち出し管理を行う外部メディア制御装置であって、前記管理サーバは、前記利用者端末から認証要求の情報を取得し、前記管理サーバに予め格納した情報を用いて、本人認証する手段と、前記利用者端末から所定のファイルの持ち出し申請の情報を取得し、前記管理サーバに予め格納した情報を用いるか、又は前記承認者端末と通信して、該ファイルに対する承認者の承認の情報を取得し、該ファイルに対する承認結果の情報を前記管理サーバ内に設けられた所定の情報管理手段に記録して情報管理する手段と、前記管理サーバに接続された前記外部メディアを、前記管理サーバに予め格納した情報を用いて、相互認証する手段と、前記相互認証が正当である場合に、前記外部メディアから、当該外部メディアへのファイルの書き込み制御を専用化している他の管理サーバを含む情報を状態情報として取得する手段と、前記状態情報から、前記管理サーバによって前記状態情報における書き込み制御を専用化している状態であると判定した場合に、前記情報管理手段に記録された持ち出し承認された情報に基づいて、前記管理サーバ内の前記持ち出し承認済のファイルを前記外部メディアのストレージ領域に書込みを行う制御命令を送信する手段と、前記状態情報から、前記管理サーバによって前記状態情報における書き込み制御を専用化している状態であり、且つ前記ファイルが前記外部メディアによって持ち出された後の持ち帰りであることを示す状態であると判定した場合に、前記外部メディア内の当該ファイルの内容を検証するとともに、前記外部メディアから当該ファイルを削除する制御命令を送信する手段と、前記状態情報の取得後に、ファイル持ち出しに利用した外部メディアを特定する情報、及びファイルの持ち出し又は持ち帰りの情報を前記情報管理手段に記録して情報管理する手段とを備え、前記外部メディアは、前記管理サーバとの接続時に、当該外部メディアに予め格納している情報を用いて、相互認証する手段と、当該外部メディアを専用化している登録済みの管理サーバの情報を格納する手段と、当該外部メディアへのファイルの書き込み制御を専用化する登録済みの管理サーバの情報を含む当該外部メディアにかけられている制御に関する情報を、当該外部メディア内の所定の格納領域に状態情報として格納する手段と、相互認証済の管理サーバから書き込み制御されたファイルを格納する手段と、当該外部メディアに接続された任意の端末との情報通信のアクセスを制御する手段と、前記管理サーバ装置からの制御命令に応じて、当該ファイルの読み書き又は削除を制御する手段とを備えることを特徴とする。
【発明の効果】
【0033】
本発明によれば、外部メディアのストレージ領域に対して、アクセス制御する一方で、
利便性が損なれることなく、電子ファイルの持ち出し及び持ち帰りを管理することができる。即ち、外部メディアの持ち出しに関する証跡をより確実に確保することができ、且つ、外部メディアの持ち帰り時のメディア及びメディア内のデータを検証するため、利便性が損なれることがなくなる。これにより、より安全、且つ柔軟なファイル及び外部メディアの運用が可能となる。
【発明を実施するための最良の形態】
【0034】
まず、本発明による実施例1の外部メディア制御システムを説明する。
【0035】
[実施例1]
(システム構成)
図1は、本発明による実施例1の外部メディア制御システムの構成を示す図である。 実施例1の外部メディア制御システムは、外部メディアによる電子ファイルの安易な持ち出しでの情報漏洩等を防止するとともに、外部メディアへのファイルの安易なコピーを防止するのに好適なシステム例である。
【0036】
実施例1の外部メディア制御システムは、外部メディア制御装置として機能する管理サーバ1及び外部メディア5と、利用者端末2と、承認者端末3とから構成され、管理サーバ1は、利用者端末2及び承認者端末3のそれぞれとネットワーク(NW)4を介して通信可能に接続される。
【0037】
利用者端末2、承認者端末3及び管理サーバ1を接続するネットワークの例として、インターネットやイントラネット、無線回線や衛星回線や赤外線通信などがある。利用者端末2、承認者端末3及び管理サーバ1の間のインターフェースは、例えば、利用者端末2及び承認者端末3が、WEBブラウザを備え、管理サーバ1は、WEBサーバを立ち上げて、HTTPやHTTPSによる通信で実現することができる。
【0038】
まず、実施例1の外部メディア制御システムの説明において(他の実施例においても同様である)、利用者とは、ファイル持ち出しを申請し、実際に持ち出す者を云う。また、承認者とは、ファイルの持ち出しの承認判断(単に、許可とも称する)をする者を云う。また、利用者及び承認者を総括して、ユーザと称する。
【0039】
管理サーバ1は、組織の管理情報である電子ファイル(以下、単にファイルとも称する)を管理し、外部メディアを制御する管理サーバである。
【0040】
外部メディア5は、管理サーバ1内のファイルを持ち出す時に使用するストレージ領域付の外部メディアである。
【0041】
利用者端末2は、ファイルの持ち出しを申請する利用者が使用する端末である。利用者端末2の例として、PCやPDA、携帯電話などの様々な機器を利用することができる。
【0042】
承認者端末3は、ファイル持ち出しの申請に対して承認判断を行う承認者が使用する端末である。承認者端末3の例として、PCやPDA、携帯電話などの様々な機器を利用することができる。
【0043】
(管理サーバの構成)
管理サーバ1は、情報管理手段11と、メディア統制手段12と、情報格納手段13と、ユーザ統制手段14、情報通信手段15と、外部インターフェース手段16と、管理ファイル格納手段17とを備える。
【0044】
管理サーバ1は、利用者及び承認者のユーザ認証を行う機能と、持ち出すファイル、利用する外部メディア5、及び利用者の組み合わせに関する情報に基づいた申請及び承認処理を行うとともに、ファイルの持ち出しに利用する外部メディア5を認証する機能と、登録済であり、且つ他の管理サーバの制御下にない外部メディアにのみファイルを出力する機能と、持ち出し時に、利用者の本人認証確認をし、持ち出し又は持ち帰りの処理を制御する機能と、外部メディアの読み書きのロック又は解除を制御する機能(読み書き制御)と、ファイルの持ち出し又は持ち帰りに関する記録を保存する機能(証跡保全)と、外部メディアの持ち帰り時に改ざんを検証し、その記録を保存する機能とを有するように、各手段が構成される。管理サーバを実現する例として、アクセス制御や情報開示制御機能を有するDBMS(Database Management System)やファイルシステムなどが考えられる。
【0045】
情報管理手段11は、例えばDBMSを利用して、メディア統制手段及びユーザ統制手段から入力された情報を記録し、管理する。特に、持ち出し・持ち帰り記録情報(図3参照)は、ファイル持ち出しにおける、申請者、申請日時、持ち出し理由、持ち出しファイル情報、承認者、承認日時、持ち出し日時、持ち出し状態などに関する情報を記録し、管理するのに用いる。また、持ち出し・持ち帰り記録情報(図3参照)は、外部メディア5の持ち帰り時に外部メディア5や外部メディア5に格納しているファイルの改ざん検証した結果(改ざんの有無)や持ち帰り日時などの情報を記録し、管理するのに用いる。
【0046】
メディア統制手段12は、メディア識別手段121と、メディア制御手段122と、メディア検証手段123と、ファイルアクセス手段124とを有し、接続された外部メディアに対する処理を制御する。
【0047】
情報格納手段13は、例えばDBMS内のテーブルとして構成した、ファイル情報格納手段131と、メディア情報格納手段132と、サーバ情報格納手段133と、ユーザ情報格納手段134とを有する。
【0048】
ユーザ統制手段14は、例えばソフトウェアアプリケーションやICカードを制御する端末として構成することができ、申請・承認管理手段141と、ユーザ識別・認証手段142とを有する。ユーザ認証とは、パスワードなどの知識による認証、ICカードなどの所有物による認証、生体情報などの属性による認証などを含み、これらのうち少なくとも1つ以上の組み合わせによる認証とすることもできる。
【0049】
メディア識別・認証手段121は、ファイル持ち出しに利用する外部メディア5と当該管理サーバ1とを相互に識別し、認証するとともに、識別・認証に関する情報を情報管理手段11に出力する機能を有する。
【0050】
メディア制御手段122は、外部メディア5のファイル格納手段55への読込み又は書き込み(R/W)のロック又は解除を制御する機能を有する。また、メディア制御手段122は、当該管理サーバ1による外部メディア5ヘの制御の開始又は終了を制御する機能を有する。メディア制御手段122は、制御に関する情報を情報管理手段11に出力する機能を有する。
【0051】
メディア検証手段123は、外部メディア5及び外部メディア5のファイル格納手段55内のファイルについての改ざんの有無を検証する機能を有する。また、メディア検証手段123は、検証に関する情報を情報管理手段11に記録する機能を有する。
【0052】
ファイルアクセス手段124は、管理ファイル格納手段17に格納されているファイルを外部メディア5のファイル格納手段55に書き込みする機能を有する。また、ファイルアクセス手段124は、管理ファイル格納手段17に格納されているファイルを外部メディア5のファイル格納手段55から削除する機能を有する。また、ファイルアクセス手段124は、アクセスに関する情報を情報管理手段11に記録する機能を有する。
【0053】
情報格納手段13は、ユーザ統制手段14及びメディア統制手段12で利用する情報(図2参照)を、格納する機能を有する。
【0054】
ファイル情報格納手段131は、管理ファイル格納手段17に格納しているファイルに関する属性などの情報を格納する(図2(c)参照)。
【0055】
メディア情報格納手段132は、当該管理サーバ1からファイルの持ち出しに利用できる外部メディア5の固有の情報を格納する(図2参照(d))。
【0056】
サーバ情報格納手段は133は、外部メディア5と相互識別・認証するための管理サーバ固有の情報を格納する(図2参照(a))。
【0057】
ユーザ情報格納手段134は、ファイル持ち出しの申請又は承認をできる利用者及び承認者の認証に必要な識別情報(ID)やパスワード(PWD)、通知のための連絡先情報や所属や役職の属性などの情報を格納する(図2参照(b))。
【0058】
ユーザ統制手段14は、例えばソフトウェアアプリケーションやICカードを制御する端末として構成することができ、利用者端末2及び承認者端末3から受信した情報を処理する機能を有する。
【0059】
申請・承認管理手段141は、持ち出すファイル、利用する外部メディア5、利用者の組み合わせに関する情報に基づいた、申請及び承認処理を行うとともに、管理サーバ1内のファイル持ち出し申請及び承認の処理を管理する機能を有する。また、申請・承認管理手段141は、申請及び承認処理の情報を情報管理手段11に記録する機能を有する。
【0060】
ユーザ識別・認証手段142は、利用者及び承認者のユーザ認証を行う機能を有する。また、ユーザ識別・認証手段142は、識別・認証に関する情報を情報管理手段11に記録する機能を有する。
【0061】
情報通信手段15は、利用者端末2及び承認者端末3とインターネットを介して接続可能なWEB管理サーバを利用できる。
【0062】
管理ファイル格納手段17は、例えばWindows(登録商標)やLinuxなどのOSのファイルシステムやDBMSのオブジェクト格納機能を利用して、外部メディア5によって持ち出すファイル実体を格納する機能を有する。
【0063】
外部インターフェース手段16は、例えばUSBなどで、外部メディア5と接続し、外部メディア5と管理サーバ1との間の情報を通信する。
【0064】
(外部メディアの構成)
外部メディア5は、外部インターフェース手段51と、アクセス制御(AC:Access Control)実行手段52と、命令・演算手段53と、制御状態記憶手段54と、ファイル格納手段55と、識別情報格納手段56とを有する。
【0065】
外部メディア5は、当該外部メディアにファイルを出力する管理サーバを認証する機能(相互認証)を有し、当該外部メディアを登録済とした管理サーバ1のみによって外部メディア5のストレージ領域への読み書きのロック又は解除を制御され、且つ、ロックをかけた管理サーバ1のみによってロック状態を解除できるように制御される。管理サーバ1及び外部メディア5の相互認証では、チャレンジレスポンス形式などがあり、CamelliaやAESの共通鍵暗号方式や、SHA−1やSHA−2などの一方向性ハッシュ関数、又はRSAなどの公開鍵暗号方式を利用することができる。
【0066】
また、外部メディア5は、管理サーバ1との接続解除後は、外部メディア5内のストレージ領域へのファイルの書き込みは不可であり、外部メディア5とのI/Fに互換があり、当該ファイルのフォーマットを扱える任意の端末が、外部メディア5内のファイルを読み込むことができる(専用APや認証は、不要)。外部メディア5は、一般のPCなどで利用可能な規格が標準化されているUSBメモリやSDカード、外付けHDDなどを利用することができ、外部メディア5のストレージ領域を制御する中枢として、ソフトウェアアプリケーションや組込みOS,ICチップを利用することができるが、耐タンパ性を考慮すると、ICチップを利用するのが望ましい。
【0067】
外部インターフェース手段51は、例えばUSBなどで、管理サーバやその他の一般端末(利用者端末、承認者端末)と接続し、情報通信する機能を有する。
【0068】
アクセス制御(AC)実行手段52は、例えばICチップ及びその中で動作するプログラムで実現することができ、ファイル格納手段に対してRead only又はR/Wの状態制御、及びロック(書き込み不可)、解除の制御を実行する機能を有する。
【0069】
ファイル格納手段55は、例えばフラッシュメモリやHDDストレージ、又はICチップ上で実現することができ、持ち出しを許可されたファイル実体を格納する機能を有する。
【0070】
命令制御・計算手段53は、例えばICチップ及びその中で動作するプログラムで実現することができ、制御状態記憶手段54の確認、変更を行う機能を有する。また、命令制御・計算手段53は、AC実行手段52に命令をする機能を有する。また、命令制御・計算手段53は、相互認証の処理をする機能を有する。
【0071】
制御状態記憶手段54は、例えばフラッシュメモリやHDDストレージ、又はICチップが格納する領域などで実現することができ、現在当該メディアを制御している管理サーバ情報とその制御内容を記憶する機能を有する(図4(b)参照)。
【0072】
識別情報格納手段56は、例えばフラッシュメモリやHDDストレージ、又はICチップが格納する領域などで実現することができ、メディア情報格納手段561と、サーバ情報格納手段562とを有し、管理サーバ1との相互認証、R/Wのロック又は解除の制御を許可されている管理サーバ1を識別・認証するための情報を格納する機能を有する(図4(a)参照)。
【0073】
メディア情報格納手段561は、外部メディア5の固有の識別・認証情報を格納する。
【0074】
サーバ情報格納手段562は、外部メディア5にR/Wのロック又は解除の制御を実行できる管理サーバ1の識別・認証情報を格納する。
【0075】
(端末の構成)
利用者端末2及び承認者端末3は、同一の構成で実現することができ、それぞれ情報通信手段21,31と、情報入出力手段22,32とを備える。
【0076】
情報通信手段21,31は、管理サーバ1との間で情報を送受信する機能を有する。情報入出力手段21,31を有する端末としてディスプレイ及びキーボード、マウスを備えたPCを利用できる。
【0077】
情報入出力手段22,32は、利用者が認証や申請、承認などのための情報入力する機能及びそれらの結果の確認をするための情報出力する機能を有する。情報通信手段22,32としてインターネット回線に接続可能なWEBブラウザを利用することができる。
【0078】
実施例1の外部メディア制御システムは、利用者が組織の管理情報である電子ファイル等の情報が格納されている管理サーバ1から、外部メディア5を用いて当該電子ファイルを持ち出し可能に構成され、管理サーバ1に格納された持ち出し可能なファイルの持ち出し時は、外部メディア5からのみ利用可能にする。
【0079】
実施例1の外部メディア制御システムにおいて、管理サーバ1内に保存されているファイルを許可された利用者に、許可された外部メディア5で持ち出すことを適切な承認者が承認した時のみ、当該ファイルを管理サーバ1に接続されている外部メディア5に出力することができ、この時、管理サーバ1は、持ち出しに関する情報を記録保持することができる。
【0080】
また、実施例1の外部メディア制御システムにおいて、電子ファイルを格納した外部メディア5は、管理サーバ1との接続を解除した後は、管理サーバ1以外の如何なる装置も外部メディア6ヘの情報の書き込み、追記、変更、削除などの操作を行うこと不可能とし、読込みのみを可能とするように制御される。
【0081】
また、実施例1の外部メディア制御システムにおいて、外部メディア5を持ち帰った時、外部メディア5が管理サーバ1に接続されると、管理サーバ1は、外部メディア5自身、及び外部メディア5内に格納されているファイルの改ざん等の検証を行い、持ち出し先で不正な操作が行われたか否かを確認し、持ち帰り時の当該メディアに関する情報を記録保持し、又は外部メディア5にかけられた前述した操作制御の解除を制御する。
【0082】
(システム機能の説明)
図1を参照して、ファイルの持ち出しに関するシステム機能の説明をする。利用者端末2は、管理サーバ1ヘのアクセスを確立済みで、持ち出しファイルは管理サーバ1に格納済みで、本人認証情報及びメディア識別・認証情報は、管理サーバ1に登録済みであり、管理サーバ1の識別・認証情報は、外部メディア5に登録済みであるとする。
【0083】
(利用者認証)
1.利用者は、利用者端末2の情報入出力手段22を用いて本人認証のための認証情報を入力し、情報通信手段21にて管理サーバ1に送信する。
2.管理サーバ1のユーザ識別・認証手段142は、情報通信手段15を介して受信した当該認証情報と、情報格納手段13のユーザ情報格納手段134から抽出した認証情報とを利用して、本人認証の照合を行う。管理サーバ1は、当該認証が成功か否かの認証結果を、情報通信手段15を介して利用者端末2に送信する。
【0084】
(ファイル持ち出し申請)
1.利用者端末2は、情報通信手段21を介して受信した当該認証が成功した旨を表す情報に応じて、利用者の操作により情報入出力手段22を用いて入力したファイル持ち出し要求を、情報通信手段21を介して管理サーバ1に送信する。
2.管理サーバ1の申請・承認管理手段141は、情報通信手段15を介して受信したファイル持ち出し要求要求と、情報格納手段13のファイル情報格納手段131及びメディア情報格納手段132の情報とを用いて、ファイル持ち出し申請情報を生成し、情報通信手段15を介して利用者端末2に送信する。
3.利用者端末2は、情報通信手段21を介して受信したファイル持ち出し申請情報を情報入出力手段22に送出する。
4.利用者は、ファイル持ち出し申請情報の内容を確認し、持ち出したいファイル、又は持ち出しに利用する外部メディア5を選択指定することができ、利用者端末2は、情報入出力手段22により入力された、選択指定されたファイルの申請回答情報を生成し、情報通信手段21を介して管理サーバ1に送信する。
5.管理サーバ1の申請・承認管理手段141は、情報通信手段15を介して受信した当該申請回答情報と、情報格納手段13のユーザ情報格納手段134の情報とを用いて、ファイル持ち出し申請に対して承認権限を有する承認者を選択して、承認者に対する承認依頼情報を生成し、情報通信手段を介して、承認依頼情報を当該承認者の承認者端末3に送信する。
【0085】
(ファイル持ち出し承認)
1.承認者端末3は、承認者本人認証済み(利用者承認と同様に認証される)として、承認者端末3の情報通信手段31を介して受信した承認依頼情報を、情報入出力手段32によって出力する。これにより、承認者は、承認依頼情報を確認することができる。承認者端末3の情報入出力手段32は、承認者によって情報入出力手段32を介して入力された承認判断結果を表す承認結果情報を生成し、情報通信手段21を介して管理サーバ1に送信する。
【0086】
(持ち出し許可処理)
1.管理サーバ1の申請・承認管理手段141は、情報通信手段15を介して受信した承認結果情報を、情報管理手段11に登録する。
2.管理サーバ1の申請・承認管理手段141は、許可又は不許可を表す承認結果情報を、情報通信手段15を介して利用者端末2に送信する。
3.利用者端末2は、情報通信手段21を介して受信した承認結果情報を、情報入出力手段22により出力し、利用者は、承認結果情報の内容を確認することができる。
【0087】
(メディア接続)
利用者は、承認結果情報の内容が承認許可の場合に、予め管理サーバ1における情報格納手段13のメディア情報格納手段132に登録済みの外部メディア5を、外部メディア5の外部インターフェース手段51を介して管理サーバ1の外部インターフェース手段16に接続する。
【0088】
(相互認証)
管理サーバ1におけるメディア統制手段12のメディア識別・認証手段121、及び外部メディア5の命令・演算手段53は、管理サーバ1における情報格納手段13のメディア情報格納手段132と、サーバ情報格納手段133に格納されている情報と、外部メディア5における識別情報格納手段56のメディア情報格納手段561と、サーバ情報格納手段562に格納されている情報とを用いて、相互に認証情報を検証し、相互認証を行う。
【0089】
(メディア状態確認)
管理サーバ1のメディア制御手段122は、情報管理手段11から外部メディア5に関する情報を取得・確認する。
【0090】
(制御管理サーバ確認)
1.管理サーバ1のメディア制御手段122は、確認結果が持ち出し許可を示す情報であれば、外部メディア5を制御している管理サーバ情報を確認する要求(サーバ情報確認要求と称する)を外部メディア5に送信する。
2.サーバ情報確認要求を受信した外部メディア5の命令・演算手段53は、状態制御記憶手段54に格納している情報(図4(b)参照)を、管理サーバ1に送信する。
【0091】
(解除命令)
1.当該情報を受信した管理サーバ1のメディア制御手段は、当該外部メディア5を制御している他の管理サーバがない状態であることを確認した上で、外部メディア5のファイル格納手段55の利用制御(書き込み禁止の制御のかかった状態)を解除させる解除命令と、新たな制御を開始する開始命令とを、外部メディア5に送信する。
2.解除命令及び開始命令を受信した外部メディア5の命令・演纂手段53は、外部メディア5を制御する管理サーバの情報(以下、制御管理サーバ情報と称する)を管理サーバ1に変更し、管理サーバ1のみがファイルをファイル格納手段55に書き込めるように設定する。
【0092】
(ファイル出力)
1.管理サーバ1のファイルアクセス手段124は、管理ファイル格納手段17から、持ち出し許可されたファイルを取り出し、外部メディア5に送信する。
2.外部メディア5は、受信した当該ファイルをファイル格納手段55に格納する。
【0093】
(ロック命令)
1.管理サーバ1のメディア制御手段122は、外部メディア5のファイル格納手段55への書き込みを禁止するロック命令を外部メディア5に送信する。
2.当該命令を受信した外部メディア5の命令・演算手段53は、制御状態記憶手段54の設定を変更し、書き込み禁止の制御をする。
【0094】
(持ち出し情報記録)
管理サーバ1のメディア制御手段122は、ファイル持ち出しに関する情報を情報管理手段11に記録する。
【0095】
(メディア取り出し)
以上により、管理サーバ1から外部メディア5を接続解除し、取り出すことができる。また、外部メディア5は、他の機器に接続した場合、外部メディア5のAC実行手段52により、外部メディア5内のファイルを読込むことはできるが、外部メディア5内にファイルを書き込むことはできないように制御される。
【0096】
以下、実施例1の外部メディア制御システムにおいて、ファイル持ち出しの申請・承認処理を説明する。
【0097】
(ファイル持ち出しの申請・承認処理)
図5A及び図5Bのフロー図を参照して、ファイル持ち出しの申請・承認を説明する。図5A及び図5Bのステップ番号は対応させている。
【0098】
ステップS11で、利用者は、情報入出力手段22及び情報通信手段21を備えた利用者端末2を利用して、管理サーバ1にアクセスし、情報入出力手段22より本人認証情報である認証情報を入力し、情報通信手段21を介して送信する。管理サーバ1のユーザ統制手段のユーザ識別・認証手段142は、情報通信手段15を介して受信した当該利用者の認証情報と、ユーザ情報格納手段134に格納されている認証情報とを用いて、本人認証を行う。この時、認証は、ID/PWDなどによる知識による認証、トークンなどによる所有物による認証、指紋などの生体情報による属性による認証などがあり得る。また、管理サーバ1と利用者端末2の通信について、例えば、管理サーバ1ではWEB管理サーバが起動中で、利用者端末2ではWEBブラウザを利用して、該WEB管理サーバにアクセスする情報通信があり得る。例えば、図5Bを参照するに、ログイン認証のために、管理サーバ1は、利用者端末2に対して認証要求画面を提供し、認証要求画面に基づいてID(個人識別情報)/PWD(パスワード)の入力を要求し、入力されたID/PWDに基づいて認証する。
【0099】
ステップS12で、ユーザ統制手段14の申請・承認管理手段141は、当該認証結果が正当であれば(図示“yes”)、申請画面情報を作成し、情報通信手段15を介して当該申請画面情報を利用者端末2に送信する(ステップS14)。ユーザ統制手段14の申請・承認管理手段141は、認証結果が不成功であれば(ステップS12の図示“no”)、その旨を利用者端末2に送信する(ステップS13)。例えば、図5Bを参照するに、当該申請画面情報には、管理サーバ1の情報格納手段13が格納している電子ファイルに関する情報一覧(ファイル情報格納手段131から取得)と、当該利用者が持ち出しに用いることができる外部メディア5の装置情報一覧(メディア情報格納手段132から取得)などのファイル一覧が含まれている。このときのファイル一覧は、利用者の権限ごとに項目、内容を制御してもよい。情報格納手段13に格納される情報として、例えば図2にあげる情報がある。利用者端末2は、情報通信手段21を介して当該画面情報を受信し、情報入出力手段22にて表示出力し、利用者は、その内容を確認することができる。利用者は、当該画面情報より、持ち出したい1つ以上ファイル及び持ち出しに用いる外部メディアを特定し、情報入出力手段22を介して入力し、持ち出し許可申請を作成し、情報通信手段21を介して管理サーバ1に送信する。
【0100】
ステップS15で、管理サーバ1の申請・承認管理手段141は、情報通信手段15を介して受信した持ち出し許可申請と、ユーザ情報格納手段134から持ち出し許可申請に対応する承認者情報を取得し、適切な承認者を選択し、承認依頼要求を作成し、情報通信手段15を介して当該承認者の承認者端末3に送信する。この時、送信手法として、例えば、電子メールやRSSフィードなどがあり得る。また、承認者の選択は、申請している利用者の所属に対応する承認者を選択するか、又は業務内容に対応した承認者を選択する、などの手法があり得る。承認者端末3の情報通信手段31は、承認依頼要求を受信し、承認者は、その内容を確認することができる。承認者は、承認者端末3を操作して管理サーバ1にアクセスして本人認証を行い(ステップS11と同様)、承認依頼要求の承認画面を受信するようにする。承認者は、承認者端末3を操作して承認結果を情報入出力手段32を用いて入力し、情報通信手段31を介して管理サーバ1に送信する。本例では、承認者に承認判断を委ねるものとして説明しているが、予め管理サーバ1に格納されている電子ファイルに対して、持ち出してよい利用者、及び/又は、持ち出しに利用してよい外部メディア5の対応情報の条件を設定しておくことで、申請・承認管理手段142は、この条件に関する情報を格納している情報格納手段13から当該条件の情報と、利用者から得た申請情報とを用いて、自動的に承認判断の処理を行ってもよい。例えば、図5Bを参照するに、管理サーバ1は、承認者端末3に持ち出し依頼要求し、承認者認証を経て、承認者端末3から承認結果(例えば承認OK)の結果を得る。
【0101】
ステップS16で、管理サーバ1の申請・承認管理手段141は、承認結果が許可を示す旨の結果を受信すれば(図示“yes”)、情報通信手段15を介して受信した当該承認結果を情報管理手段11にて管理する。情報管理手段11に管理される情報として、例えば図3に示す情報がある。申請・承認管理手段141は、当該承認結果を情報通信手段15を介して、利用者端末2に送信する。利用者端末2は、情報通信手段21を介して当該承認結果を受信し、利用者は、その内容を確認することができる。
【0102】
以上より、利用者は、管理サーバ1を介して取得した承認者による承認結果が、持ち出したいファイルの承認結果が許可を示す情報であれば(ステップS16の図示“yes”)、承認された外部メディア5を管理サーバ1に接続し、承認されたファイルを持ち出すことができる(ステップS18)。一方、持ち出したいファイルの承認結果が不許可を示す情報であれば(ステップS16の図示“no”)、承認された外部メディア5を管理サーバ1に接続しても、承認されたファイルを持ち出すことができない(ステップS17)。例えば、図5Bを参照するに、管理サーバ1は、承認者端末3から得た承認結果(例えば承認OK)の結果に基づいて、当該利用者に対して、外部メディア5を用いた承認済のファイルの持ち出しを許可する。
【0103】
以下、実施例1の外部メディア制御システムにおいて、ファイル持ち出し処理を説明する。
【0104】
(ファイル持ち出し処理)
図6A及び図6Bのフロー図を参照して、ファイル持ち出し処理(正当なファイル持ち出し処理フローのみ)の説明をする。図6A及び図6Bのステップ番号は対応させている。
【0105】
ステップS21で、利用者は、持ち出しに承認された外部メディア5の外部インターフェース手段51を介して、管理サーバ1の外部インターフェース手段16に接続する。この時、外部インターフェース手段16,51としてUSB規格に基づいたインターフェースなどがあり、持ち出し先の端末である一般のデスクトップPCやノートPCなどでも容易に接続可能な規格のインターフェースが望ましい。また、管理サーバ1は、外部メディア5の接続時に、改めて当該接続する利用者に対して本人認証確認を行って、当該メディアで持ち出しを承認された利用者であること(持ち帰り時は、持ち出し中である利用者であること)を確認してもよい。当該認証に失敗した場合は、承認されたメディアを接続しても管理サーバ1から外部メディア5にファイル出力を行わない。当該認証に成功し、且つ、承認された外部メディア5を接続した場合のみ、管理サーバ1は、ファイルを外部メディア5に出力する。
【0106】
ステップS22で、外部インターフェース手段16,51が接続を検知した後、管理サーバ1は、メディア識別・認証手段121は、情報格納手段13のメディア情報格納手段132及びサーバ情報格納手段133が格納している情報を用いて、並びに、外部メディア5は、識別情報格納手段56のメディア情報格納手段561及びサーバ情報格納手段562に格納される情報を用いて、相互認証を行なう。尚、管理サーバ1における情報格納手段13のサーバ情報格納手段133及びメディア情報格納手段132に格納される情報には、例えば図2に示す情報がある。また、外部メディアの識別情報格納手段のサーバ情報格納手段、メディア情報格納手段情報として例えば図4に示す情報がある。相互認証の詳細は、図7を用いて後述する。
【0107】
次に、認証成功の場合(ステップS23の図示“yes”)、管理サーバ1のメディア制御手段122は、外部メディア5の状態を確認するため、情報管理手段11から外部メディア5の状態情報(例えば、当該外部メディア5へのファイルの書き込み制御を専用化している他の管理サーバを含む情報)を取得し、確認する(ステップS24)。続いて、ステップS26で、状態の確認結果に応じて処理は分岐する。本例は、ステップS42に進み、管理サーバ1のメディア制御手段122は、外部メディア5を制御している管理サーバ1を確認する要求を、外部メディア5に送信する例を説明する。
【0108】
当該状態情報の確認結果として、状態情報が「なし」の場合、これは、外部メディア5で管理サーバ1からファイルを持ち出すことを許可されていないことを示す(ステップS27に進む)。当該状態情報が「持ち出し中」の場合、ステップS31に進む。当該状態情報が「持ち出し許可」の場合、これは、管理サーバ1は外部メディア5にてファイルを持ち出すことを承認済みであり、まだ持ち出していないことを示す(ステップS42に進む)。
【0109】
尚、認証失敗の場合(ステップS23の図示“no”)、制御失敗となり、ファイルを当該メディアに格納できないよう制御される(ステップS25)。相互認証失敗の理由として、例えば、本実施例の外部メディア制御システムが管理する外部メディア5とは異なる外部メディアである場合や、本実施例の外部メディア制御システムが管理する外部メディア5を使用しているが、外部メディア5と管理サーバ1との間で相互に登録がなされていなかった場合などである。
【0110】
ステップS42で、管理サーバの確認要求を受信した外部メディア5の命令・演算手段53は、制御状態記憶手段54から、現在の外部メディア5に対してどの管理サーバが制御をかけているかに関する情報(以下、制御管理サーバ情報と称する)を取得し、管理サーバ1に送信する。制御状態記億手段54に記憶される情報として、例えば図4に示す情報がある。管理サーバ1は、制御している管理サーバ情報を受信したメディア制御手段122により、制御管理サーバ情報を確認する(ステップS43)。他の管理サーバが制御するものであるときは、制御失敗とし、その旨を外部メディア5に送信する(ステップS44)。また、当該管理サーバ1が制御中である場合には、改ざんされているかの検知処理することができる(ステップS45)。
【0111】
ステップS46では、メディア制御手段122は、制御管理サーバ情報を確認した結果、外部メディア5の状態が「持ち出し許可」であり、且つ当該制御管理サーバ情報が、「現在の外部メディア5を制御している管理サーバはなし」であることを示す情報である場合、管理サーバ1が外部メディア5を制御する開始命令を外部メディア5に送信する。
【0112】
続いて、当該開始命令を受信した外部メディア5の命令・演算手段53は、管理サーバ1が制御していることを示す情報を制御状態記憶手段54に記憶し、当該記憶の完了通知を管理サーバ1に送信する。この時、命令・演算手段53は、例えば、管理サーバ1が制御している情報を制御状態記憶手段54に記憶している状態の時に、異なる別の管理サーバによる制御開始命令を受信した場合、当該命令を受け付けず、エラー処理する。
【0113】
ステップS47で、当該完了通知を受信した管理サーバ1のメディア制御手段122は、管理サーバ1の管理ファイル格納手段17が格納しているファイルを外部メディア5のファイル格納手段55に書き込むため、ファイル格納手段55への書き込みを許可する解除命令を外部メディア5に送信する。当該解除命令を受信した外部メディア5の命令・演算手段53は、当該情報を制御状態記憶手段54に記憶し、当該記憶の完了通知を、管理サーバ1に送信する。この時、命令・演算手段53は、例えば、制御状態記憶手段54に管理サーバ1が制御している情報を記憶している状態の時に、異なる別の管理サーバによる制御開始命令を受信した場合、当該命令を受け付けず、エラー処理する。
【0114】
ステップS48で、当該完了通知を受信した管理サーバ1のメディア制御手段122は、当該通知をファイルアクセス手段124に送出する。ファイルアクセス手段124は、情報管理手段11から、外部メディア5にて持ち出しを許可されているファイルに関する情報を取得し、管理サーバ1の管理ファイル格納手段17が格納している承認されたファイルを、外部メディア5のファイル格納手段55に書き込むため、当該ファイルを外部メディア5に送信する。
【0115】
続いて、当該ファイルを受信した外部メディア5の命令・演算手段53は、AC実行手段52の制御を介して、当該ファイルをファイル格納手段55に格納する。外部メディア5の命令・演算手段53は、ファイル格納が完了した後、完了通知を管理サーバ1に送信する。このとき、制御状態記憶手段54から情報を取得した命令・演算手段53は、AC実行手段52に対して、管理サーバ1からファイル格納手段55へのファイル書き込みを許可するように制御する。また、管理サーバ1のファイルアクセス手段124は、ファイルを外部メディア5のファイル格納手段55に書き込む前に、当該ファイル格納手段55に対して、削除済みの情報をサルベージされないために、データを完全に消去する処理を行ってもよい。また、管理サーバ1は、外部メディア5に出力するファイルに対して、自己解凍形式のパスフレーズによる暗号化処理を施してもよい。このパスフレーズは、利用者が申請時に設定しておいてもよい。
【0116】
ステップS49で、完了通知を受信した管理サーバ1のメディア制御手段122は、外部メディア5のファイル格納手段55への書き込みを不許可にし、読込みのみ可能とするよう制御するため、ロック命令を外部メディア5に送信する。
【0117】
続いて、当該ロック命令を受信した外部メディア5の命令・演算手段53は、当該ロック命令の情報を制御状態記憶手段54に記憶し、当該記憶の完了通知を管理サーバ1に送信する。このとき、制御状態記憶手段54から情報を取得した命令・演算手段53は、AC実行手段52に対して、ファイル格納手段55へのファイル書き込みを不許可にするように制御する。
【0118】
ステップS50で、当該完了通知を受信したメディア制御手段122は、ファイル持ち出し処理に関する情報を情報管理手段17に送出し、情報管理手段17は、当該情報を管理する。
【0119】
ステップS51で、外部メディア5ヘファイルが格納され、ファイル格納手段55のストレージ領域全体に書き込み不可で読み込みのみ許可される制御が施された状態になり、管理サーバ1と外部メディア5の間の接続を解除し、持ち出すことができるようになる。
【0120】
(相互認証)
図7を用いて管理サーバと外部メディアの相互認証について説明する。尚、相互認証に、公開鍵暗号方式(K≠K’)や共通鍵暗号方式(K=K’)などを用いるのが好適である。
【0121】
ステップS22aで、管理サーバ1のメディア識別・認証手段121は、乱数R1を生成し、外部インターフェース手段16を介して外部メディア5に送信する。
【0122】
ステップS22bで、外部メディア5の命令・演算手段53は、外部インターフェース手段51を介して乱数R1を受信し、識別情報格納手段56のメディア情報格納手段561から暗号鍵K(M)を取得し、K(M)で乱数R1を暗号化したK(M)(R1)を生成し、外部メディア5のIDであるID(M)とともに管理サーバ1に送信する。
【0123】
ステップS22cで、K(M)(R1),ID(M)を受信したメディア識別・認証手段121は、メディア情報格納手段132からID(M)に対応する暗号鍵K’(M)を取得し、暗号鍵K’(M)にて、K(M)(R1)を復号し、R1’を取得し、R1とR1’を検証し、外部メディア5を認証する。メディア識別・認証手段121は、当該認証結果が正当であれば、即ちR1=R1’であれば、外部メディア5に乱数要求を送信する。
【0124】
ステップS22dで、乱数要求を受信した命令・演算手段53は、乱数R2を生成し、R2を管理サーバ1に送信する。
【0125】
ステップS22eで、R2を受信したメディア識別・認証手段121は、サーバ情報格納手段133から取得した暗号鍵K(S)でR2を暗号化し、K(S)(R2)を生成し、サーバ情報格納手段133から取得した管理サーバ1のIDであるID(S)とともに、外部メディア5に送信する。
【0126】
ステップS22fで、ID(S)及びK(S)(R2)を受信した命令・演算手段53は、サーバ情報格納手段133からID(S)に対応する暗号鍵K’(S)を取得し、K’(S)にてK(S)(R2)を復号し、R2’を取得する。R2とR2’を検証し、管理サーバ1を認証する。認証結果が正当であれば、つまりR2=R2’であれば、命令・演算手段53は、検証結果を外部メディア5に送信する。
【0127】
ステップS22gで、検証結果を受信した、メディア識別・認証手段121は、検証結果を確認し、認証成功を示す結果であれば、相互認証が成功したことになる。
【0128】
(持ち出し先での制御)
持ち出し処理により制御された外部メディア5を別の端末で利用する際の制御について、図8を参照して説明する。
【0129】
管理サーバ1(S)によってファイル(F)が外部メディア5(M)に格納されている場合における、管理サーバ1(S)とは異なる端末や、外部メディア5(M)に登録されていない別の管理サーバ(P)や、登録されている更に別の管理サーバ(T)による、外部メディア5(M)内のファイル(F)を格納しているファイル格納手段55へのアクセスについて説明する。
【0130】
(PがMと接続済みである場合)
別の管理サーバ(P)と外部メディア5(M)では相互認証が失敗する。外部メディア5(M)のAC実行手段52は、命令・演算手段53より、ファイル格納手段55へのアクセスは読込みのみ許可するモードに制御され、別の管理サーバ(P)から外部メディア5(M)のファイル格納手段へのアクセスは、ファイル書き込みは許可されないように制御される。
【0131】
(TがMと接続済みである場合)
外部メディア5(M)と更に別の管理サーバ(T)は、互いに登録済みであるため、相互認証は成功する。この場合、以下の手順で処理される。
(1)アクセス要求
更に別の管理サーバ(T)が外部メディア5(M)に対してファイル書き込みアクセスのための命令要求を送信する。
(2)アクセス要求通知
AC実行手段52は、当該命令要求を検知し、ファイル格納手段55にはアクセスさせず、当該命令要求を命令・演算手段53に送信する。
(3)状態取得
命令・演算手段53は、制御状態記憶手段54より、現在の外部メディア5(M)を制御している管理サーバ1(S)に関する情報(Sが制御中)を取得する。
(4)制御命令・演算
命令要求をしている更に別の管理サーバ(T)及び制御状態(Sが制御中)の情報を利用して、更に別の管理サーバ(T)がファイル書き込みの命令を実行できないと判定する。
(5)命令結果
命令・演算手段53は、判定結果をAC実行手段52に送信する。
(6)制御実行
AC実行手段52は、判定結果に基づいて、ファイル書き込みを許可しないモードで制御する。
(7)アクセス結果
外部メディア5(M)は、AC実行手段52の制御に基づいたアクセス結果を送信する。
【0132】
以下、実施例1の外部メディア制御システムにおいて、ファイル持ち帰り処理を説明する。
【0133】
(ファイル持ち帰り処理)
図6A及び図6Cのフロー図を参照して、ファイル持ち出し処理(正当なファイル持ち帰り処理フローのみ)の説明をする。図6A及び図6Cのステップ番号は対応させている。
【0134】
ステップS21〜ステップS26までは、前述の図6A及び図6Bのフロー図の説明と同様であり、その説明を省略するが、ステップS26における確認結果が、当該状態情報が「持ち出し中」であり、ステップS31に進む例を説明する。
【0135】
ステップS31で、管理サーバ1から状態の確認要求を受信した外部メディア5の命令・演算手段53は、制御状態記憶手段54から、現在の外部メディア5に対してどの管理サーバが制御をかけているかに関する情報(即ち、制御管理サーバ情報)を取得し、管理サーバ1に送信する。制御状態記憶手段54に記憶される情報として、例えば図4に示す情報がある。制御管理サーバ情報を受信したメディア制御手段122は、制御管理サーバ情報を確認する。
【0136】
ステップS32で、外部メディア5の状態が「持ち出し中」であり、且つ当該制御管理サーバ情報が、現在の外部メディア5を制御している管理サーバが管理サーバ1である情報である場合(ステップS32の“yes”)、持ち帰り処理を継続し、そうでなければ(ステップS32の“no”)、制御管理サーバ情報が改ざんされていると判断する(ステップS33)。管理サーバ1のメディア検証手段123は、外部メディア5のファイル格納手段55に格納されているファイル及び外部メディア5のその他の手段に対して、改ざんされてないかを検証する(ステップS34)。例えば、持ち出し前に取得しておいた外部メディア5内のファイル、データ、プログラムのハッシュ値と、現在のそれらのハッシュ値を用いて検証することが例としてあげられる。
【0137】
ステップS34における検証にて、外部メディア5が改ざんされていないことが確認できた場合(ステップS35の“yes”)、管理サーバ1のメディア制御手段122は、管理サーバ1が外部メディア5にかけているロック制御を解除する解除命令を、外部メディア5に送信する(ステップS37)。外部メディア5が改ざんされていると確認できた場合(ステップS35の“no”)、改ざんされているかの検知処理することができる(ステップS36)。当該解除命令を受信した外部メディア5の命令・演算手段53は、制御状態記憶手段54に、管理サーバ1がかけている制御の情報を更新し、当該情報を記憶させ、当該記憶の完了通知を、管理サーバ1に送信する。このとき、命令・演算手段53は、例えば、制御状態記憶手段54に管理サーバ1が制御している情報を記憶している状態の時に、異なる管理サーバによる制御解除命令を受信した場合、当該制御解除命令を受け付けず、エラー処理する。
【0138】
ステップS38で、当該完了通知を受信した管理サーバ1のメディア制御手段122は、外部メディア5のファイル格納手段55に格納されているファイルを削除するため、当該完了通知をファイルアクセス手段124に出力する。ファイルアクセス手段124は、当該ファイルの削除要求を外部メディア5に送信する。当該削除要求を受信した外部メディア5は、命令・演算手段53がAC実行手段52を制御して、ファイル格納手段55内のファイルを削除する。ファイル削除が完了したら、命令・演算手段53は、完了通知を管理サーバ1に送信する。このとき、制御状態記憶手段54から情報を取得した命令・演算手段53は、AC実行手段52に対して、当該管理サーバ1からファイル格納手段55へのファイル削除を許可するよう制御する。ファイルアクセス手段124は、当該ファイル格納手段55に対して、削除済みの情報をサルベージされないために、データを完全に消去する処理を行ってもよい。
【0139】
ステップS39で、当該完了通知を受信したメディア制御手段122は、情報管理手段11にファイル持ち帰り処理に関する情報を出力し、情報管理手段11は、当該情報を管理する。
【0140】
ステップS40で、当該完了通知を受信したメディア制御手段122は、外部メディア5ヘの制御を終了するため終了命令を、外部メディア5に送信する。当該終了命令を受信した外部メディア5の命令・演算手段53は、当該終了命令を反映させるため、制御状態記憶手段54に情報を更新・記憶させ(制御管理サーバなしとする)、当該記憶の完了通知を管理サーバ1に送信する。このとき、外部メディア5のAC実行手段53は、制御状態記憶手段54から情報を取得した命令・演算手段53が、AC実行手段52に対して、ファイル格納手段55へのファイル書き込みを不許可にするよう制御されている。
【0141】
ステップS40で、外部メディア5からファイルが削除され、情報格納手段11のストレージ領域全体に書き込み不可で読み込みのみ許可される制御が施された状態になり、管理サーバ1と外部メディア5の接続を解除し、持ち出すことができる(ストレージ領域内にはファイルは存在しない空の状態)。この状態のときに外部メディア5を紛失しても、ファイルが格納されていないことが情報管理手段11に記録されているため、ファイルの漏洩にはつながらない。
【0142】
尚、ステップS26における当該状態情報の確認結果として、状態情報が「なし」の場合、これは、ファイル持ち出しを承認されていない、即ち外部メディア5で管理サーバ1からファイルを持ち出すことを許可されていないことを示し、ステップS27に進む。
【0143】
ステップS28で、管理サーバ1から状態の確認要求を受信した外部メディア5の命令・演算手段53は、制御状態記憶手段54から、現在の外部メディア5に対してどの管理サーバが制御をかけているかに関する情報(即ち、制御管理サーバ情報)を取得し、管理サーバ1に送信する。制御管理サーバ情報を受信したメディア制御手段122は、制御管理サーバ情報を確認し、管理サーバ1が制御中とする情報であれば(ステップS28の“yes”)、制御管理サーバ情報が改ざんされていると判断し(ステップS30)、管理サーバ1が制御中でないとする情報であれば(ステップS28の“no”)、制御失敗と判断する(ステップS30)。
【0144】
以上により、実施例1の外部メディア制御システムによれば、組織などで管理が必要な電子ファイル等の情報が、本システムにおける管理サーバに格納されている場合、当該ファイル情報を持ち出す際に、申請又は承認を経ないと持ち出せないことで、勝手な持ち出しを防止することができる。更に、本システムにおける外部メディアを利用することで、組織が許可していない外部メディアを用いたファイルの持ち出しを防ぐことができる。また、本システムにおける外部メディアを用いてファイルを持ち出すことで、持ち出し先では、当該外部メディア内のファイルの読み込みのみだけが許可されているため、当該外部メディア内に新たにファイル等の情報を追加書き込みすること、当該外部メディア内のファイルヘの編集をすること、削除することなどができないように制御するため、仮に、持ち出し先で当該外部メディアを紛失したとしても、紛失した情報は、管理サーバ1に記録されているため、正しく把握することができ、その後の対応を適切に取ることができる。
【0145】
また、実施例1の外部メディア制御システムによれば、本システムにおける管理サーバより持ち出したファイル等の情報について、外部メディアにかけたロック制御は、制御をかけた管理サーバのみが解除制御をできるため、持ち出し時に外部メディアに格納したファイル情報(外部メディア内のストレージ領域)を持ち帰り時まで保全することができる。つまり、互いに登録されている管理サーバ及び部メディアであっても、当該外部メディアに対してロック制御をかけていない管理サーバは、解除制御することができないようにし、データ保全する。
【0146】
また、実施例1の外部メディア制御システムによれば、本システムにおける外部メディアが持ち出し先で改ざんされていないか検証することができ、外部メディアの持ち帰り時に、確かに管理サーバより持ち出したファイルしか持ち出していなかったことを確認することができ、その情報を本システムにおける管理サーバが管理することで、組織の管理情報の持ち出し管理を適切に行うことができる。
【0147】
次に、本発明による実施例2の外部メディア制御システムを説明する。
【0148】
[実施例2]
(システム構成)
図9は、本発明による実施例2の外部メディア制御システムにおける管理サーバの構成を示す図である。実施例2の外部メディア制御システムは、管理サーバ1と外部メディア5とを接続して、ファイル持ち出し処理及びファイル持ち帰り処理を行う際に、当該処理に先立って、利用者認証を行い、外部メディア5を利用している利用者が確かに管理サーバ1が許可した利用者であることを確認するのに好適なシステム例である。図9において、管理サーバ1以外の外部メディア5、利用者端末2、承認者端末3は、図1と同様であり図示を省略している。また、実施例2の外部メディア制御システムにおける管理サーバ1は、実施例1と同様な構成要素には同一の参照番号を付して説明しており、実施例2の管理サーバ1と比較して、情報入出力手段18及び持出し・持帰り制御手段143を更に備える点で相違する。図6は、申請・承認処理は、承認済みとし、ファイル持ち出し処理から説明する。ファイル持ち帰り処理時も実施例1と同様であるため、その説明は省略する。
【0149】
情報入出力手段18は、ファイルの持ち出し又は持ち帰り処理時に、外部メディア5を管理サーバ1に接続する利用者の本人認証情報を入力し、処理結果の情報を出力する。例えば、情報入出力手段18として、モニタとキーボード、マウス等がある。
【0150】
持出し・持帰り制御手段143は、持ち出し又は持ち帰り処理のための本人認証の結果と、情報管理手段11が管理している情報とを用いて、持ち出し又は持ち帰りに関する状態などの情報を確認し、持ち出し又は持ち帰り処理の可否を制御する。
【0151】
また、情報管理手段11は、認証状態を管理する(図3参照)。
【0152】
以下、実施例2の外部メディア制御システムにおいて、ファイルの持ち出し又は持ち帰り処理時の事前認証処理を説明する。図10に、実施例2の外部メディア制御システムにおけるファイルの持ち出し又は持ち帰り処理時の事前認証処理のフローを示す。
【0153】
(ファイルの持ち出し又は持ち帰り処理時の事前認証処理)
ステップS101で、利用者は、管理サーバ1の情報入出力手段18を利用して、認証情報及び持ち出し処理(又は持ち帰り処理)を特定する要求処理情報を入力する。管理サーバ1の情報入力手段18にて入力された情報を、ユーザ統制手段14のユーザ識別・認証手段142は、情報格納手段13のユーザ情報格納手段133が格納している認証情報を取り出し、本人認証の確認を行う。
【0154】
ステップS102で、認証結果が正当でなければ、持出し・持帰り制御手段143は、ファイル持ち出しを許可されていて、且つ持ち出し承認された外部メディア5を管理サーバ1に接続しても、持ち出し承認されたファイルを管理サーバ1の管理ファイル格納手段17から外部メディア5のファイル格納手段55に出力しない。
【0155】
持ち出し・持ち帰り制御手段143は、認証結果が正当であれば(ステップS102の“yes”)、当該認証結果と当該要求処理情報とを利用して、情報管理手段より当該利用者に対して既に承認されているファイル持ち出し(又は持ち帰り)に関する情報を取得し、状態を確認する(ステップS104)。認証結果が不一致であれば(ステップS102の“no”)、認証失敗とする(ステップS103)。
【0156】
ステップS105で、当該状態において、ファイル持ち出しを承認したがまだ持ち出していない状態である、持ち出し許可の状態(ファイルを持ち出し中でまだ持ち帰っていない状態である持ち出し中の状態)があれば(ステップS105の“yes”)、持出し・持帰り制御手段143は、メディア接続を要求する情報を生成し、当該情報を情報入出力手段18に出力する。当該状態において、ファイル持ち出しを承認したがまだ持ち出していない状態である、持ち出し許可の状態(ファイルを持ち出し中でまだ持ち帰っていない状態である持ち出し中の状態)でない場合(ステップS105の“no”)、ファイル持ち出し不許可とする(ステップS106)。
【0157】
ステップS107で、利用者は、当該情報を確認し、外部メディア5の外部インターフェース手段51を管理サーバ1の外部インターフェース手段16に接続する。
【0158】
ステップS108で、相互に接続された管理サーバと外部メディアの間で相互認証を行う。このとき、ステップS101の認証から相互認証までの時間に有効期限を設定し、当該期限を過ぎた時点で、管理サーバ1に外部メディア5を接続してもエラーとする処理を行ってもよい。
【0159】
認証結果が正当であれば(ステップS109の“yes”)、実施例1で説明したファイル持ち出し処理(又は持ち帰り処理)が実行される(ステップS111)。以降の処理は、実施例1のステップS46(又は、実施例1のステップS34)と同様である。持ち出し処理(又は持ち帰り処理)が完了したら、利用者は、管理サーバ1からログアウトする。認証結果が不一致であれば(ステップS109の“no”)、その後の処理を不許可とする(ステップS110)。
【0160】
実施例2の外部メディア制御システムによれば、外部メディア5と外部メディア5の利用者の対応を管理サーバで確認することで、即ちファイル持ち出し申請時だけではなく、ファイル持ち出し処理時にも、本人認証を強制することで、外部メディア5とそれを用いている利用者の対応に矛盾がないことを確認することができる。
【0161】
例えば、ある利用者Xによる持ち出し申請・承認が許可されたファイルに対して、異なる利用者Yが、利用者Xの所有する外部メディアを不正に取得し、利用者Yが当該外部メディアを用いて管理サーバ1から前記ファイルを持ち出すという不正行為を防止することができる。
【0162】
前述した実施例では、説明の便宜のために、各手段を個別の手段として説明したが、適宜組み合わせて、又は1つの制御手段で構成することができることは明らかである。例えば、管理サーバを複数の装置又はコンピュータで実現することができる。更に、前述した各実施例において、管理サーバ1として構成する1つ以上のコンピュータは、前述した各処理を実現させるために、中央演算処理装置(CPU)の制御によって実現でき、各情報格納手段を少なくとも1つ以上のメモリとして構成することができる。更に、管理サーバ1としてコンピュータを機能させるために、メモリの所定の領域にCPUで実行させるためのプログラムを格納することができる。また、前述した各処理を実現させるために必要とされるデータを、メモリに一時的、又は恒久的に格納することもできる。このようなメモリは、コンピュータ内部のROM、RAM又はハードディスクなどで構成させることができ、或いは又、外部記憶装置(例えば、外付けハードディスク)を用いて構成させることもできる。従って、本発明は、前述した実施例に限定されるものではなく、その主旨を逸脱しない範囲において種々変更可能である。
【産業上の利用可能性】
【0163】
本発明によれば、外部メディアのストレージ領域に対して、アクセス制御する一方で、
利便性が損なれることなく、電子ファイルの持ち出し及び持ち帰りを管理することができ、より安全、且つ柔軟なファイル及び外部メディアの運用が可能となるため、外部メディアを用いた用途に有用である。
【図面の簡単な説明】
【0164】
【図1】本発明による実施例1の外部メディア制御システムの構成を示す図である。
【図2】本発明による実施例1の外部メディア制御システムにおける管理サーバに格納された情報例を示す図である。
【図3】本発明による実施例1の外部メディア制御システムにおける管理サーバが管理する情報例を示す図である。
【図4】本発明による実施例1の外部メディア制御システムにおける管理サーバに格納された情報例を示す図である。
【図5A】本発明による実施例1の外部メディア制御システムにおけるファイル持ち出しの申請・承認処理を示すフロー図である。
【図5B】本発明による実施例1の外部メディア制御システムにおけるファイル持ち出しの申請・承認処理を示すフロー図である。
【図6A】実施例1の外部メディア制御システムにおけるファイル持ち出し及び持ち帰り処理を示すフロー図である。
【図6B】実施例1の外部メディア制御システムにおけるファイル持ち出し処理を示すフロー図である。
【図6C】実施例1の外部メディア制御システムにおけるファイル持ち帰り処理を示すフロー図である。
【図7】実施例1の外部メディア制御システムにおける管理サーバと外部メディアの相互認証を示すフロー図である。
【図8】実施例1の外部メディア制御システムにおける外部メディアの持ち出し先での制御を示す図である。
【図9】本発明による実施例2の外部メディア制御システムにおける管理サーバの構成を示す図である。
【図10】実施例2の外部メディア制御システムにおけるファイルの持ち出し又は持ち帰り処理時の事前認証処理を示すフロー図である。
【符号の説明】
【0165】
1 管理サーバ
2 利用者端末
3 承認者端末
5 外部メディア
11 情報管理手段
12 メディア統制手段
13 情報格納手段
14 ユーザ統制手段
15 情報統制手段
16 外部インターフェース手段
17 管理ファイル格納手段
18 情報入出力手段
21,31 情報通信手段
22,32 情報入出力手段
51 外部インターフェース手段
52 AC実行手段
53 命令・演算手段
54 制御状態記憶手段
55 ファイル格納手段
56 識別情報格納手段
121 ユーザ識別・認証手段
122 メディア制御手段
123 メディア検証手段
124 ファイルアクセス手段
131 ファイル情報格納手段
132 メディア情報格納手段
133 サーバ情報格納手段
134 ユーザ情報格納手段
141 申請・承認管理手段
142 ユーザ識別・認証手段
143 持出し・持帰り制御手段
561 メディア情報格納手段
562 サーバ情報格納手段
【特許請求の範囲】
【請求項1】
電子ファイルなどの情報のファイルを管理する管理サーバ、及び、前記管理サーバの外部へ前記ファイルを持ち出すのに用いる外部メディアとからなる外部メディア制御装置と、前記管理サーバに対して前記ファイルの持ち出し申請を行う利用者が利用する利用者端末と、該持ち出し申請に対して承認を行う承認者が利用する承認者端末とを備える外部メディア制御システムにおける、前記ファイルの持ち出し管理を行う前記外部メディア制御装置の外部メディア制御方法であって、
前記管理サーバの処理手順は、
前記利用者端末から認証要求の情報を取得し、前記管理サーバに予め格納した情報を用いて、本人認証するステップと、
前記利用者端末から所定のファイルの持ち出し申請の情報を取得し、前記管理サーバに予め格納した情報を用いるか、又は前記承認者端末と通信して、該ファイルに対する承認者の承認の情報を取得し、該ファイルに対する承認結果の情報を前記管理サーバ内に設けられた所定の情報管理手段に記録して情報管理するステップと、
前記管理サーバに接続された前記外部メディアを、前記管理サーバに予め格納した情報を用いて、相互認証するステップと、
前記相互認証が正当である場合に、前記外部メディアから、当該外部メディアへのファイルの書き込み制御を専用化している他の管理サーバを含む情報を状態情報として取得するステップと、
前記状態情報から、前記管理サーバによって前記状態情報における書き込み制御を専用化している状態であると判定した場合に、前記情報管理手段に記録された持ち出し承認された情報に基づいて、前記管理サーバ内の前記持ち出し承認済のファイルを前記外部メディアのストレージ領域に書込みを行う制御命令を送信するステップと、
前記状態情報から、前記管理サーバによって前記状態情報における書き込み制御を専用化している状態であり、且つ前記ファイルが前記外部メディアによって持ち出された後の持ち帰りであることを示す状態であると判定した場合に、前記外部メディア内の当該ファイルの内容を検証するとともに、前記外部メディアから当該ファイルを削除する制御命令を送信するステップと、
前記状態情報の取得後に、ファイル持ち出しに利用した外部メディアを特定する情報、及びファイルの持ち出し又は持ち帰りの情報を前記情報管理手段に記録して情報管理するステップとを含み、
前記外部メディアの処理手順は、
前記管理サーバとの接続時に、当該外部メディアに予め格納している情報を用いて、相互認証するステップと、
当該外部メディアを専用化している登録済みの管理サーバの情報を格納するステップと、
当該外部メディアへのファイルの書き込み制御を専用化する登録済みの管理サーバの情報を含む当該外部メディアにかけられている制御に関する情報を、当該外部メディア内の所定の格納領域に状態情報として格納するステップと、
相互認証済の管理サーバから書き込み制御されたファイルを格納するステップと、
当該外部メディアに接続された任意の端末との情報通信のアクセスを制御するステップと、
前記管理サーバ装置からの制御命令に応じて、当該ファイルの読み書き又は削除を制御するステップとを含むことを特徴とする、外部メディア制御方法。
【請求項2】
前記外部メディアの処理手順は、
利用者によって前記管理サーバに直接入力された認証要求に基づいて、予め格納している情報を用いて利用者認証するステップを更に含み、
前記管理サーバの処理手順は、
当該ファイルの持ち出し又は持ち帰り処理の実行時に、該認証要求の緒果情報と情報管理手段に記録されている情報とを用いて、当該利用者が利用する前記外部メディアと当該ファイルの承認情報との対応関係を確認した上で、ファイルの持ち出し又は持ち帰りの処理の実行を制御するステップを更に含むことを特徴とする、請求項1に記載の外部メディア制御方法。
【請求項3】
前記ファイルの申請及び承認は、前記管理サーバに予め格納されている情報として、少なくとも持ち出し要求ファイルと、持ち出し時に用いる外部メディアと、持ち出しを要求する利用者とを組合せた項目に基づいて行うことを特徽とする、請求項1又は2に記載の外部メディア制御方法。
【請求項4】
前記管理サーバの処理手順は、
取得した状態情報から他の管理サーバ装置の制御下にないと判断した場合に、当該ファイルの読み書き又は削除を制御する制御命令を前記外部メディアに送信するステップと、
当該外部メディアに制御をかけた管理サーバのみが、当該制御命令を解除できる解除命令を当該外部メディアに送信するステップとを含むことを特徴とする、請求項1〜3のいずれか一項に記載の外部メディア制御方法。
【請求項5】
前記外部メディアが、或る端末に接続され、当該端末から前記外部メディア内に格納にされたファイルへのアクセス要求を受けた場合に、
前記外部メディアの処理手順は、
当該端末と当該外部メディアとの間で相互認証の処理を実行するステップと、
該認証結果が正当である場合に、予め格納している端末の識別情報を用いて、当該端末が当該外部メディアに制御をかけることができる端末であるか否かを判定するステップと、
当該外部メディアに制御をかけることができる端末であるとする判定結果である場合には、当該端末からの読み書き又は削除の制御命令を受け付け、当該外部メディアに制御をかけることができる端末ではないとする判定結果である場合には、当該端末からのアクセス要求について、当該ファイルの読み込みのみの制御命令を受け付けるようにアクセス制御するステップとを含むことを特徴とする、請求項1〜4のいずれか一項に記載の外部メディア制御方法。
【請求項6】
前記管理サーバの処理手順は、
当該ファイル持ち出し申請に対して、申請者、持ち出し許可ファイル、及び持ち出しに用いる外部メディアについての予め設定した条件に合致する申請内容である場合に、自動的に承認処理するステップを含むことを特徴とする、請求項1〜5のいずれか一項に記載の外部メディア制御方法。
【請求項7】
当該ファイル持ち出し申請は、申請が可能な持ち出し許可ファイル、持ち出しに使用できる外部メディア、及び持ち出し可能な利用者についての組み合わせを対応付けた情報からの選択によってのみ申請されることを特徴とする、請求項1〜6のいずれか一項に記載の外部メディア制御方法。
【請求項8】
前記管理サーバの処理手順は、
前記外部メディアへのファイルの出力前に、ファイル持ち出し申請時、又はファイル持ち出し要求時のタイミングで当該ファイルを暗号化するのに用いるパスフレーズを設定するステップと、前記外部メディアへのファイルの出力時に、当該ファイルを前記パスフレーズによる自己解凍形式の暗号化処理を施すステップとを含むことを特徴とする、請求項1〜7のいずれか一項に記載の外部メディア制御方法。
【請求項9】
電子ファイルなどの情報のファイルを管理する管理サーバ、及び、前記管理サーバの外部へ前記ファイルを持ち出すのに用いる外部メディアとからなる外部メディア制御装置と、前記管理サーバに対して前記ファイルの持ち出し申請を行う利用者が利用する利用者端末と、該持ち出し申請に対して承認を行う承認者が利用する承認者端末とを備え、前記ファイルの持ち出し管理を行う外部メディア制御システムであって、
前記管理サーバは、
前記利用者端末から認証要求の情報を取得し、前記管理サーバに予め格納した情報を用いて、本人認証する手段と、
前記利用者端末から所定のファイルの持ち出し申請の情報を取得し、前記管理サーバに予め格納した情報を用いるか、又は前記承認者端末と通信して、該ファイルに対する承認者の承認の情報を取得し、該ファイルに対する承認結果の情報を前記管理サーバ内に設けられた所定の情報管理手段に記録して情報管理する手段と、
前記管理サーバに接続された前記外部メディアを、前記管理サーバに予め格納した情報を用いて、相互認証する手段と、
前記相互認証が正当である場合に、前記外部メディアから、当該外部メディアへのファイルの書き込み制御を専用化している他の管理サーバを含む情報を状態情報として取得する手段と、
前記状態情報から、前記管理サーバによって前記状態情報における書き込み制御を専用化している状態であると判定した場合に、前記情報管理手段に記録された持ち出し承認された情報に基づいて、前記管理サーバ内の前記持ち出し承認済のファイルを前記外部メディアのストレージ領域に書込みを行う制御命令を送信する手段と、
前記状態情報から、前記管理サーバによって前記状態情報における書き込み制御を専用化している状態であり、且つ前記ファイルが前記外部メディアによって持ち出された後の持ち帰りであることを示す状態であると判定した場合に、前記外部メディア内の当該ファイルの内容を検証するとともに、前記外部メディアから当該ファイルを削除する制御命令を送信する手段と、
前記状態情報の取得後に、ファイル持ち出しに利用した外部メディアを特定する情報、及びファイルの持ち出し又は持ち帰りの情報を前記情報管理手段に記録して情報管理する手段とを備え、
前記外部メディアは、
前記管理サーバとの接続時に、当該外部メディアに予め格納している情報を用いて、相互認証する手段と、
当該外部メディアを専用化している登録済みの管理サーバの情報を格納する手段と、
当該外部メディアへのファイルの書き込み制御を専用化する登録済みの管理サーバの情報を含む当該外部メディアにかけられている制御に関する情報を、当該外部メディア内の所定の格納領域に状態情報として格納する手段と、
相互認証済の管理サーバから書き込み制御されたファイルを格納する手段と、
当該外部メディアに接続された任意の端末との情報通信のアクセスを制御する手段と、
前記管理サーバ装置からの制御命令に応じて、当該ファイルの読み書き又は削除を制御する手段とを備えることを特徴とする、外部メディア制御システム。
【請求項10】
電子ファイルなどの情報のファイルを管理する管理サーバ、及び、前記管理サーバの外部へ前記ファイルを持ち出すのに用いる外部メディアとからなる外部メディア制御装置と、前記管理サーバに対して前記ファイルの持ち出し申請を行う利用者が利用する利用者端末と、該持ち出し申請に対して承認を行う承認者が利用する承認者端末とを備える外部メディア制御システムにおける、前記ファイルの持ち出し管理を行う外部メディア制御装置であって、
前記管理サーバは、
前記利用者端末から認証要求の情報を取得し、前記管理サーバに予め格納した情報を用いて、本人認証する手段と、
前記利用者端末から所定のファイルの持ち出し申請の情報を取得し、前記管理サーバに予め格納した情報を用いるか、又は前記承認者端末と通信して、該ファイルに対する承認者の承認の情報を取得し、該ファイルに対する承認結果の情報を前記管理サーバ内に設けられた所定の情報管理手段に記録して情報管理する手段と、
前記管理サーバに接続された前記外部メディアを、前記管理サーバに予め格納した情報を用いて、相互認証する手段と、
前記相互認証が正当である場合に、前記外部メディアから、当該外部メディアへのファイルの書き込み制御を専用化している他の管理サーバを含む情報を状態情報として取得する手段と、
前記状態情報から、前記管理サーバによって前記状態情報における書き込み制御を専用化している状態であると判定した場合に、前記情報管理手段に記録された持ち出し承認された情報に基づいて、前記管理サーバ内の前記持ち出し承認済のファイルを前記外部メディアのストレージ領域に書込みを行う制御命令を送信する手段と、
前記状態情報から、前記管理サーバによって前記状態情報における書き込み制御を専用化している状態であり、且つ前記ファイルが前記外部メディアによって持ち出された後の持ち帰りであることを示す状態であると判定した場合に、前記外部メディア内の当該ファイルの内容を検証するとともに、前記外部メディアから当該ファイルを削除する制御命令を送信する手段と、
前記状態情報の取得後に、ファイル持ち出しに利用した外部メディアを特定する情報、及びファイルの持ち出し又は持ち帰りの情報を前記情報管理手段に記録して情報管理する手段とを備え、
前記外部メディアは、
前記管理サーバとの接続時に、当該外部メディアに予め格納している情報を用いて、相互認証する手段と、
当該外部メディアを専用化している登録済みの管理サーバの情報を格納する手段と、
当該外部メディアへのファイルの書き込み制御を専用化する登録済みの管理サーバの情報を含む当該外部メディアにかけられている制御に関する情報を、当該外部メディア内の所定の格納領域に状態情報として格納する手段と、
相互認証済の管理サーバから書き込み制御されたファイルを格納する手段と、
当該外部メディアに接続された任意の端末との情報通信のアクセスを制御する手段と、
前記管理サーバ装置からの制御命令に応じて、当該ファイルの読み書き又は削除を制御する手段とを備えることを特徴とする、外部メディア制御装置。
【請求項1】
電子ファイルなどの情報のファイルを管理する管理サーバ、及び、前記管理サーバの外部へ前記ファイルを持ち出すのに用いる外部メディアとからなる外部メディア制御装置と、前記管理サーバに対して前記ファイルの持ち出し申請を行う利用者が利用する利用者端末と、該持ち出し申請に対して承認を行う承認者が利用する承認者端末とを備える外部メディア制御システムにおける、前記ファイルの持ち出し管理を行う前記外部メディア制御装置の外部メディア制御方法であって、
前記管理サーバの処理手順は、
前記利用者端末から認証要求の情報を取得し、前記管理サーバに予め格納した情報を用いて、本人認証するステップと、
前記利用者端末から所定のファイルの持ち出し申請の情報を取得し、前記管理サーバに予め格納した情報を用いるか、又は前記承認者端末と通信して、該ファイルに対する承認者の承認の情報を取得し、該ファイルに対する承認結果の情報を前記管理サーバ内に設けられた所定の情報管理手段に記録して情報管理するステップと、
前記管理サーバに接続された前記外部メディアを、前記管理サーバに予め格納した情報を用いて、相互認証するステップと、
前記相互認証が正当である場合に、前記外部メディアから、当該外部メディアへのファイルの書き込み制御を専用化している他の管理サーバを含む情報を状態情報として取得するステップと、
前記状態情報から、前記管理サーバによって前記状態情報における書き込み制御を専用化している状態であると判定した場合に、前記情報管理手段に記録された持ち出し承認された情報に基づいて、前記管理サーバ内の前記持ち出し承認済のファイルを前記外部メディアのストレージ領域に書込みを行う制御命令を送信するステップと、
前記状態情報から、前記管理サーバによって前記状態情報における書き込み制御を専用化している状態であり、且つ前記ファイルが前記外部メディアによって持ち出された後の持ち帰りであることを示す状態であると判定した場合に、前記外部メディア内の当該ファイルの内容を検証するとともに、前記外部メディアから当該ファイルを削除する制御命令を送信するステップと、
前記状態情報の取得後に、ファイル持ち出しに利用した外部メディアを特定する情報、及びファイルの持ち出し又は持ち帰りの情報を前記情報管理手段に記録して情報管理するステップとを含み、
前記外部メディアの処理手順は、
前記管理サーバとの接続時に、当該外部メディアに予め格納している情報を用いて、相互認証するステップと、
当該外部メディアを専用化している登録済みの管理サーバの情報を格納するステップと、
当該外部メディアへのファイルの書き込み制御を専用化する登録済みの管理サーバの情報を含む当該外部メディアにかけられている制御に関する情報を、当該外部メディア内の所定の格納領域に状態情報として格納するステップと、
相互認証済の管理サーバから書き込み制御されたファイルを格納するステップと、
当該外部メディアに接続された任意の端末との情報通信のアクセスを制御するステップと、
前記管理サーバ装置からの制御命令に応じて、当該ファイルの読み書き又は削除を制御するステップとを含むことを特徴とする、外部メディア制御方法。
【請求項2】
前記外部メディアの処理手順は、
利用者によって前記管理サーバに直接入力された認証要求に基づいて、予め格納している情報を用いて利用者認証するステップを更に含み、
前記管理サーバの処理手順は、
当該ファイルの持ち出し又は持ち帰り処理の実行時に、該認証要求の緒果情報と情報管理手段に記録されている情報とを用いて、当該利用者が利用する前記外部メディアと当該ファイルの承認情報との対応関係を確認した上で、ファイルの持ち出し又は持ち帰りの処理の実行を制御するステップを更に含むことを特徴とする、請求項1に記載の外部メディア制御方法。
【請求項3】
前記ファイルの申請及び承認は、前記管理サーバに予め格納されている情報として、少なくとも持ち出し要求ファイルと、持ち出し時に用いる外部メディアと、持ち出しを要求する利用者とを組合せた項目に基づいて行うことを特徽とする、請求項1又は2に記載の外部メディア制御方法。
【請求項4】
前記管理サーバの処理手順は、
取得した状態情報から他の管理サーバ装置の制御下にないと判断した場合に、当該ファイルの読み書き又は削除を制御する制御命令を前記外部メディアに送信するステップと、
当該外部メディアに制御をかけた管理サーバのみが、当該制御命令を解除できる解除命令を当該外部メディアに送信するステップとを含むことを特徴とする、請求項1〜3のいずれか一項に記載の外部メディア制御方法。
【請求項5】
前記外部メディアが、或る端末に接続され、当該端末から前記外部メディア内に格納にされたファイルへのアクセス要求を受けた場合に、
前記外部メディアの処理手順は、
当該端末と当該外部メディアとの間で相互認証の処理を実行するステップと、
該認証結果が正当である場合に、予め格納している端末の識別情報を用いて、当該端末が当該外部メディアに制御をかけることができる端末であるか否かを判定するステップと、
当該外部メディアに制御をかけることができる端末であるとする判定結果である場合には、当該端末からの読み書き又は削除の制御命令を受け付け、当該外部メディアに制御をかけることができる端末ではないとする判定結果である場合には、当該端末からのアクセス要求について、当該ファイルの読み込みのみの制御命令を受け付けるようにアクセス制御するステップとを含むことを特徴とする、請求項1〜4のいずれか一項に記載の外部メディア制御方法。
【請求項6】
前記管理サーバの処理手順は、
当該ファイル持ち出し申請に対して、申請者、持ち出し許可ファイル、及び持ち出しに用いる外部メディアについての予め設定した条件に合致する申請内容である場合に、自動的に承認処理するステップを含むことを特徴とする、請求項1〜5のいずれか一項に記載の外部メディア制御方法。
【請求項7】
当該ファイル持ち出し申請は、申請が可能な持ち出し許可ファイル、持ち出しに使用できる外部メディア、及び持ち出し可能な利用者についての組み合わせを対応付けた情報からの選択によってのみ申請されることを特徴とする、請求項1〜6のいずれか一項に記載の外部メディア制御方法。
【請求項8】
前記管理サーバの処理手順は、
前記外部メディアへのファイルの出力前に、ファイル持ち出し申請時、又はファイル持ち出し要求時のタイミングで当該ファイルを暗号化するのに用いるパスフレーズを設定するステップと、前記外部メディアへのファイルの出力時に、当該ファイルを前記パスフレーズによる自己解凍形式の暗号化処理を施すステップとを含むことを特徴とする、請求項1〜7のいずれか一項に記載の外部メディア制御方法。
【請求項9】
電子ファイルなどの情報のファイルを管理する管理サーバ、及び、前記管理サーバの外部へ前記ファイルを持ち出すのに用いる外部メディアとからなる外部メディア制御装置と、前記管理サーバに対して前記ファイルの持ち出し申請を行う利用者が利用する利用者端末と、該持ち出し申請に対して承認を行う承認者が利用する承認者端末とを備え、前記ファイルの持ち出し管理を行う外部メディア制御システムであって、
前記管理サーバは、
前記利用者端末から認証要求の情報を取得し、前記管理サーバに予め格納した情報を用いて、本人認証する手段と、
前記利用者端末から所定のファイルの持ち出し申請の情報を取得し、前記管理サーバに予め格納した情報を用いるか、又は前記承認者端末と通信して、該ファイルに対する承認者の承認の情報を取得し、該ファイルに対する承認結果の情報を前記管理サーバ内に設けられた所定の情報管理手段に記録して情報管理する手段と、
前記管理サーバに接続された前記外部メディアを、前記管理サーバに予め格納した情報を用いて、相互認証する手段と、
前記相互認証が正当である場合に、前記外部メディアから、当該外部メディアへのファイルの書き込み制御を専用化している他の管理サーバを含む情報を状態情報として取得する手段と、
前記状態情報から、前記管理サーバによって前記状態情報における書き込み制御を専用化している状態であると判定した場合に、前記情報管理手段に記録された持ち出し承認された情報に基づいて、前記管理サーバ内の前記持ち出し承認済のファイルを前記外部メディアのストレージ領域に書込みを行う制御命令を送信する手段と、
前記状態情報から、前記管理サーバによって前記状態情報における書き込み制御を専用化している状態であり、且つ前記ファイルが前記外部メディアによって持ち出された後の持ち帰りであることを示す状態であると判定した場合に、前記外部メディア内の当該ファイルの内容を検証するとともに、前記外部メディアから当該ファイルを削除する制御命令を送信する手段と、
前記状態情報の取得後に、ファイル持ち出しに利用した外部メディアを特定する情報、及びファイルの持ち出し又は持ち帰りの情報を前記情報管理手段に記録して情報管理する手段とを備え、
前記外部メディアは、
前記管理サーバとの接続時に、当該外部メディアに予め格納している情報を用いて、相互認証する手段と、
当該外部メディアを専用化している登録済みの管理サーバの情報を格納する手段と、
当該外部メディアへのファイルの書き込み制御を専用化する登録済みの管理サーバの情報を含む当該外部メディアにかけられている制御に関する情報を、当該外部メディア内の所定の格納領域に状態情報として格納する手段と、
相互認証済の管理サーバから書き込み制御されたファイルを格納する手段と、
当該外部メディアに接続された任意の端末との情報通信のアクセスを制御する手段と、
前記管理サーバ装置からの制御命令に応じて、当該ファイルの読み書き又は削除を制御する手段とを備えることを特徴とする、外部メディア制御システム。
【請求項10】
電子ファイルなどの情報のファイルを管理する管理サーバ、及び、前記管理サーバの外部へ前記ファイルを持ち出すのに用いる外部メディアとからなる外部メディア制御装置と、前記管理サーバに対して前記ファイルの持ち出し申請を行う利用者が利用する利用者端末と、該持ち出し申請に対して承認を行う承認者が利用する承認者端末とを備える外部メディア制御システムにおける、前記ファイルの持ち出し管理を行う外部メディア制御装置であって、
前記管理サーバは、
前記利用者端末から認証要求の情報を取得し、前記管理サーバに予め格納した情報を用いて、本人認証する手段と、
前記利用者端末から所定のファイルの持ち出し申請の情報を取得し、前記管理サーバに予め格納した情報を用いるか、又は前記承認者端末と通信して、該ファイルに対する承認者の承認の情報を取得し、該ファイルに対する承認結果の情報を前記管理サーバ内に設けられた所定の情報管理手段に記録して情報管理する手段と、
前記管理サーバに接続された前記外部メディアを、前記管理サーバに予め格納した情報を用いて、相互認証する手段と、
前記相互認証が正当である場合に、前記外部メディアから、当該外部メディアへのファイルの書き込み制御を専用化している他の管理サーバを含む情報を状態情報として取得する手段と、
前記状態情報から、前記管理サーバによって前記状態情報における書き込み制御を専用化している状態であると判定した場合に、前記情報管理手段に記録された持ち出し承認された情報に基づいて、前記管理サーバ内の前記持ち出し承認済のファイルを前記外部メディアのストレージ領域に書込みを行う制御命令を送信する手段と、
前記状態情報から、前記管理サーバによって前記状態情報における書き込み制御を専用化している状態であり、且つ前記ファイルが前記外部メディアによって持ち出された後の持ち帰りであることを示す状態であると判定した場合に、前記外部メディア内の当該ファイルの内容を検証するとともに、前記外部メディアから当該ファイルを削除する制御命令を送信する手段と、
前記状態情報の取得後に、ファイル持ち出しに利用した外部メディアを特定する情報、及びファイルの持ち出し又は持ち帰りの情報を前記情報管理手段に記録して情報管理する手段とを備え、
前記外部メディアは、
前記管理サーバとの接続時に、当該外部メディアに予め格納している情報を用いて、相互認証する手段と、
当該外部メディアを専用化している登録済みの管理サーバの情報を格納する手段と、
当該外部メディアへのファイルの書き込み制御を専用化する登録済みの管理サーバの情報を含む当該外部メディアにかけられている制御に関する情報を、当該外部メディア内の所定の格納領域に状態情報として格納する手段と、
相互認証済の管理サーバから書き込み制御されたファイルを格納する手段と、
当該外部メディアに接続された任意の端末との情報通信のアクセスを制御する手段と、
前記管理サーバ装置からの制御命令に応じて、当該ファイルの読み書き又は削除を制御する手段とを備えることを特徴とする、外部メディア制御装置。
【図1】
【図2】
【図3】
【図4】
【図5A】
【図5B】
【図6A】
【図6B】
【図6C】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5A】
【図5B】
【図6A】
【図6B】
【図6C】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2009−258906(P2009−258906A)
【公開日】平成21年11月5日(2009.11.5)
【国際特許分類】
【出願番号】特願2008−105885(P2008−105885)
【出願日】平成20年4月15日(2008.4.15)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Linux
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成21年11月5日(2009.11.5)
【国際特許分類】
【出願日】平成20年4月15日(2008.4.15)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Linux
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]