外部記憶媒体管理システム
【課題】
USBメモリなどをその使用範囲を超えて使用できないようにする外部記憶媒体管理システムを提供することを目的とする。
【解決手段】
コンピュータ端末における外部記憶媒体へのファイルアクセスに関する操作ログ情報を検出する操作ログ情報検出部と、検出した操作ログ情報を用いて、ファイルアクセスの対象となったファイルを特定し、そのファイルに対応づけられた使用権限を示すファイル権限情報を取得し、取得したファイル権限情報に基づいて外部記憶媒体の使用範囲情報を決定する外部記憶媒体使用範囲決定部と、決定した使用範囲情報をコンピュータ端末の外部記憶媒体に設定させる外部記憶媒体使用範囲設定部と、を有する外部記憶媒体管理システムである。
USBメモリなどをその使用範囲を超えて使用できないようにする外部記憶媒体管理システムを提供することを目的とする。
【解決手段】
コンピュータ端末における外部記憶媒体へのファイルアクセスに関する操作ログ情報を検出する操作ログ情報検出部と、検出した操作ログ情報を用いて、ファイルアクセスの対象となったファイルを特定し、そのファイルに対応づけられた使用権限を示すファイル権限情報を取得し、取得したファイル権限情報に基づいて外部記憶媒体の使用範囲情報を決定する外部記憶媒体使用範囲決定部と、決定した使用範囲情報をコンピュータ端末の外部記憶媒体に設定させる外部記憶媒体使用範囲設定部と、を有する外部記憶媒体管理システムである。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、USBメモリ(可搬型半導体記憶装置)などの記憶媒体やコンピュータ端末などの使用範囲を、操作ログ情報を用いて判定することにより、当該記憶媒体やコンピュータ端末をその使用範囲を超えて使用できないようにする外部記憶媒体管理システムに関する。
【背景技術】
【0002】
企業などの組織では、組織から情報漏洩が起こらないように様々な対策を採っている。近年、情報管理の徹底が求められており、使用できるハードウェア資源が限定されていることが多い。特に、情報の持ち運びが可能な半導体メモリ(USBメモリなど)などの外部記憶媒体は利便性が非常に高い反面、紛失や盗難あるいは使用後、不要となったファイルの消し忘れなど不適切な運用が問題となっている。
【0003】
そこで下記特許文献1に記載のように、予め定められた不正行為をそもそも行えなくするようなシステムが存在する。つまり記憶媒体やコンピュータ端末のファイルコピーなどの操作を行えなくすることで、情報漏洩を防止するシステムである。また特許文献1以外にも、USBメモリなどの記憶媒体をソフトウェア的にあるいはハードウェア的に、一律に使用禁止とする方法を採用している場合もある。
【0004】
特許文献1の場合には、記憶媒体やコンピュータ端末などへのファイルコピー操作を不正行為として設定しておくことによって、そのような操作が一律に行えなくなり、情報漏洩を防止出来る。またUSBメモリなどの記憶媒体をソフトウェア的、ハードウェア的に使用禁止とする方法の場合にも、記憶媒体が使用できなくなるので、情報漏洩を防止出来る。
【0005】
しかしUSBメモリなどの記憶媒体は、気軽に情報を持ち運びして、その情報を別のコンピュータ端末で使用することができるので、利便性が高く、上述のように一律に使用禁止にしてしまうと、業務効率が低下する場合もある。
【0006】
例えば開発部門の場合、一人のユーザが、通常業務を行うコンピュータ端末と、実験環境用のコンピュータ端末とを使用しており、実験環境用のコンピュータ端末は通常業務のコンピュータ端末のネットワークからは切り離されていることが多い。そして、通常業務を行うコンピュータ端末から実験環境用のコンピュータ端末へファイルなどを移動させる場合には、事前にシステム管理を統括する部署に対して、USBメモリなどの記憶媒体の使用許可を申請しておき、許可されたUSBメモリを使用して、ファイルを移動させている。
【0007】
【特許文献1】特開2005−222216号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
以上のように、従来では、情報漏洩を重視するあまりに、USBメモリなどの記憶媒体を一律に使用禁止にしていたりする。そのため例外的に使用するためには、使用するUSBメモリを事前にシステム管理を統括する部署に対して申請しておかなければならず、極めて煩雑であった。
【0009】
そのため、従来のように、事前にシステム管理を統括する部署に対して申請などの煩雑な手続を行わずともUSBメモリなどの記憶媒体を使用できる一方、適切な範囲で記憶媒体からの情報漏洩を防止しうるセキュリティシステムが望まれている。すなわち、日常業務のしやすさと情報漏洩の防止という相反する課題を解決するシステムが望まれている。
【課題を解決するための手段】
【0010】
本発明者は上記問題点に鑑み、以下の発明を行った。
【0011】
第1の発明は、外部記憶媒体に使用範囲情報を設定する外部記憶媒体管理システムであって、前記外部記憶媒体管理システムは、前記外部記憶媒体を装着したコンピュータ端末の操作ログ情報を取得し、前記コンピュータ端末における前記外部記憶媒体へのファイルアクセスに関する操作ログ情報を検出する操作ログ情報検出部と、前記検出した操作ログ情報を用いて、ファイルアクセスの対象となったファイルを特定し、そのファイルに対応づけられた使用権限を示すファイル権限情報を取得し、取得したファイル権限情報に基づいて前記外部記憶媒体の使用範囲情報を決定する外部記憶媒体使用範囲決定部と、前記決定した使用範囲情報を前記コンピュータ端末の前記外部記憶媒体に設定させる外部記憶媒体使用範囲設定部と、を有する外部記憶媒体管理システムである。
【0012】
本発明のように構成することで、操作ログ情報から外部記憶媒体の使用範囲情報を自動的に判定し、それを外部記憶媒体に設定することが可能となる。これにより、従前のようにUSBメモリなどの外部記憶媒体を事前に申請しなくても、自動的に外部記憶媒体を適切な範囲で使用させることが可能となる。
【0013】
上述の発明のように使用範囲情報が設定された外部記憶媒体がコンピュータ端末に装着されると、本発明のように、その使用可否の判定を行うと良い。すなわち、前記外部記憶媒体を装着したコンピュータ端末は、前記外部記憶媒体の装着を判定すると、そのコンピュータ端末のユーザ識別情報と、前記外部記憶媒体に設定された前記使用範囲情報とを用いて、前記外部記憶媒体の使用制限の内容を判定する、外部記憶媒体管理システムのように構成することが出来る。
【0014】
本発明のプログラムをコンピュータ端末に読み込ませて実行することで、請求項1の外部記憶媒体管理システムを実現することが出来る。すなわち、少なくとも一台以上のコンピュータ端末を、外部記憶媒体を装着したコンピュータ端末の操作ログ情報を取得し、前記コンピュータ端末における前記外部記憶媒体へのファイルアクセスに関する操作ログ情報を検出する操作ログ情報検出部、前記検出した操作ログ情報を用いて、ファイルアクセスの対象となったファイルを特定し、そのファイルに対応づけられた使用権限を示すファイル権限情報を取得し、取得したファイル権限情報に基づいて前記外部記憶媒体の使用範囲情報を決定する外部記憶媒体使用範囲決定部、前記決定した使用範囲情報を前記コンピュータ端末の前記外部記憶媒体に設定させる外部記憶媒体使用範囲設定部、として機能させる外部記憶媒体管理プログラムのように構成することも出来る。
【0015】
第2の発明は、使用範囲情報を所定の記憶領域に記憶可能な外部記憶媒体であって、前記外部記憶媒体は、前記外部記憶媒体に記憶されたファイルのファイル権限情報に基づいて決定された使用範囲情報が、前記外部記憶媒体を装着した第1のコンピュータ端末により前記所定の記憶領域に書き込まれ、第2のコンピュータ端末に前記外部記憶媒体が装着されたことを判定した際に、前記書き込まれた使用範囲情報が前記第2のコンピュータ端末に読み出され、前記第2のコンピュータ端末のユーザのユーザ識別情報と前記使用範囲情報とを用いて、前記第2のコンピュータ端末において前記外部記憶媒体の使用制限の内容が判定される、外部記憶媒体である。
【0016】
本発明のように構成することで、外部記憶媒体の使用範囲情報が設定されている場合には、その外部記憶媒体がコンピュータ端末に装着される際に、設定された使用範囲情報に基づいて、外部記憶媒体の使用可否を判定することが出来る。
【0017】
また上述の発明を実施する際に、本発明のプログラムをコンピュータ端末に読み込ませて実行することで、上述の外部記憶媒体を実現することが出来る。すなわち、外部記憶媒体に記憶されたファイルのファイル権限情報に基づいて決定された使用範囲情報を記憶している前記外部記憶媒体の装着を判定したコンピュータ端末を、前記外部記憶媒体を前記コンピュータ端末に装着した際に、前記外部記憶媒体に記憶された使用範囲情報を前記コンピュータ端末に読み出し、前記コンピュータ端末のユーザのユーザ識別情報と前記使用範囲情報とを用いて、前記コンピュータ端末において前記外部記憶媒体の使用制限の内容を判定する手段、として機能させるセキュリティプログラムである。
【発明の効果】
【0018】
本発明の外部記憶媒体管理システムによって、USBメモリなどの外部記憶媒体にファイルが保存された場合に、その外部記憶媒体の使用範囲を、当該ファイルの権限情報に基づいて設定することが可能となる。そして、外部記憶媒体がコンピュータ端末に接続された場合に、そのユーザの使用範囲を判定することで、仮に外部記憶媒体を紛失したとしても、それを取得した第三者が自分のコンピュータ端末でそこに記録しているファイルを使用することはできず、一方で、社員が会社から貸与されているラップトップコンピュータに外部記憶媒体を介したコピーなどを行うことは可能となる。
【0019】
このように本発明の外部記憶媒体管理システムによれば、情報漏洩の防止と日常業務のしやすさとの両立を図ることが可能となる。
【発明を実施するための最良の形態】
【0020】
本発明の外部記憶媒体管理システム1の全体の概念図を図1に示す。また本発明の外部記憶媒体管理システム1のシステム構成の概念図を図2に示す。なお外部記憶媒体としては、USBメモリなどの半導体メモリなどの記憶媒体や、光ディスク、光磁気ディスク、磁気ディスクなどが含まれ、コンピュータ端末に接続し、データを記憶させる記憶媒体または記憶装置であれば如何なるものであっても良い。また、ラップトップコンピュータのようなコンピュータ端末、あるいはネットワーク接続ストレージ(Network Attached Storage)なども該当する。さらに携帯電話、PHS、PDA、スマートフォンのような装置であっても良い。
【0021】
本発明の外部記憶媒体管理システム1は、各クライアント端末3を管理する管理者が利用するコンピュータ端末またはサーバ(以下、「管理サーバ2」という)において、所定のプログラムが読み込まれ、処理されることにより実現される。管理サーバ2は、各クライアント端末3において、どのようなプログラムが実行されているのか、どのような操作が行われたのか、などを記録することが好ましい。そのため各クライアント端末3には、当該クライアント端末3において実行されているプログラム名、ファイル名などの情報を定期的に、または新たなプログラムやファイルが実行された場合または終了した場合などの所定のタイミングで、クライアント端末3から管理サーバ2にそのプログラム名やファイル名の情報を送信する機能を備えている。プログラム名やファイル名の情報を送信する機能は、クライアント端末3の演算装置20で実行しているプログラム名やファイル名を抽出したり、メモリ内のプログラム名やファイル名を抽出して送信すればよい。つまりいわゆる操作ログ情報をクライアント端末3から管理サーバ2に送信すればよい。なお本明細書においては、プログラム、ファイル、データなどを総称して「ファイル」と称する。
【0022】
管理サーバ2やクライアント端末3は、プログラムの演算処理を実行するCPUなどの演算装置20と、情報を記憶するRAMやハードディスクなどの記憶装置21と、演算装置20の処理結果や記憶装置21に記憶する情報をインターネットやLANなどのネットワークを介して送受信する通信装置24とを少なくとも有している。コンピュータ上で実現する各機能(各手段)は、その処理を実行する手段(プログラムやモジュールなど)が演算装置20に読み込まれることでその処理が実行される。各機能は、記憶装置21に記憶した情報をその処理において使用する場合には、該当する情報を当該記憶装置21から読み出し、読み出した情報を適宜、演算装置20における処理に用いる。当該コンピュータには、キーボードやマウスやテンキーなどの入力装置23、ディスプレイ(画面)などの表示装置22を有していても良い。図3に管理サーバ2のハードウェア構成の一例を模式的に示す。また、管理サーバ2は、複数のコンピュータ端末またはサーバに、その機能が分散配置されていても良い。
【0023】
本発明における各手段は、その機能が論理的に区別されているのみであって、物理上あるいは事実上は同一の領域を為していても良い。
【0024】
管理サーバ2は、操作ログ情報検出部4と操作ログ情報記憶部5と操作ログ情報抽出部6とファイル権限情報記憶部7とユーザ情報記憶部8と外部記憶媒体使用範囲決定部9と外部記憶媒体使用範囲設定部10とを有する。
【0025】
操作ログ情報検出部4は、各クライアント端末3から定期的にまたは所定のタイミングで、当該クライアント端末3における操作ログ情報を受け取り、その操作ログ情報が、外部記憶媒体へのファイルアクセスを示す操作であるかを監視する。受け取った操作ログ情報は、後述する操作ログ情報記憶部5に、その日時、どのユーザ、どのクライアント端末3における操作ログ情報であるかを識別する情報と共に、記憶させる。なお操作ログ情報としては、各クライアント端末3における操作内容を示す情報であればよく、例えば「ファイルコピー」、「ファイル書込み」、「ファイル選択」、「ファイル削除」、「ファイル別名保存」、「ドライブ追加」、「ドライブ削除」など、当該クライアント端末3のユーザの操作を示す情報が該当する。
【0026】
操作ログ情報は、例えば入力装置23などを用いてユーザにより操作された内容を示す情報、クライアント端末3において実行されるまたは実行された内容であって、ミドルウェアやOSなどにおいて処理されるアプリケーションやハードウェアなどに対する制御を示す情報がある。より具体的には、キー入力、ポインティングデバイスの操作(ボタン押下、移動など)、外部記憶媒体の着脱、外部機器(プリンタなど)との接続、ファイル操作(作成、削除、コピー、移動、ファイル名変更、ファイル読み込み、ファイル書込みなど)、フォルダ操作(作成、削除、コピー、移動、フォルダ名変更など)、アプリケーション操作(起動、終了など)、ドライブの追加・削除・検知、IPアドレス変更、コンピュータ名変更、記憶媒体の書き込み、印刷、クリップボードへのコピーなどを示す情報がある。なおこれらは一例であって限定されるものではない。
【0027】
なお、管理サーバ2が各クライアント端末3から操作ログ情報を受け取る際にはネットワークを介して受け取っても良いし、操作ログ情報がクライアント端末3においてDVDなどの記録媒体に記録され、その記録媒体が管理サーバ2に読み取られ、そこから操作ログ情報を読み込むことによって受け取っても良い。
【0028】
また操作ログ情報検出部4は、クライアント端末3から受け取った操作ログ情報に基づいて、当該操作ログ情報が、所定の操作であるかどうかを判定する。所定の操作とは、例えば、外部記憶媒体のファイルへのアクセスを示す操作などがある。例えば、操作ログ情報における操作内容が「ファイル書込み」であり、その保存場所が外部記憶媒体を示す場合には、ファイルが外部記憶媒体へ保存されたと判定できる。また、操作ログ情報における操作内容が「ファイル削除」であり、その保存場所が外部記憶媒体を示す場合には、ファイルが外部記憶媒体から削除されたと判定できる。あるいは、操作ログ情報における操作内容が「ファイル別名保存」であり、その保存場所が外部記憶媒体を示す場合には、外部記憶媒体へ保存されているファイルがファイル別名保存(ファイル名の変更)されたと判定できる。
【0029】
なお監視する対象となる、外部記憶媒体のファイルへのアクセス操作などの所定の操作としては予め操作内容などを定めておくことが好ましいが、必ずしも定めておかなくても良い。
【0030】
操作ログ情報記憶部5は、操作ログ情報検出部4で各クライアント端末3から受け取った操作ログ情報を記憶する。操作ログ情報には、クライアント端末3を識別する情報、ユーザを識別する情報(ログイン名など)、操作内容を示す情報、操作内容の操作対象となったファイル識別情報(ファイルやアプリケーションの名称)、当該ファイルやアプリケーションの所在位置を示す情報(保存場所などを示す情報)、日時または日時を数値化した情報などが含まれている。操作ログ情報は、これらのすべての項目を含んでいても良いし、一部でも良い。図6に操作ログ情報の一例を示す。
【0031】
なお操作ログ情報は、各クライアント端末3またはそのユーザ(ログイン名など)ごとに記憶することが好ましい。なお操作内容を示す情報を日時などに対応づける場合には、クライアント端末3で行っても良いし、操作ログ情報を管理サーバ2で受け取った際に行っても良いし、或いは操作ログ情報記憶部5で記憶した際に行っても良い。図7に操作ログ情報記憶部5の一例を示す。なお図7ではコンピュータ名(クライアント端末3名)ごとに操作ログ情報を記憶している場合を示している。
【0032】
操作ログ情報抽出部6は、操作ログ情報検出部4において外部記憶媒体へのファイルアクセスが行われたと判定すると、その操作ログ情報を抽出する。
【0033】
ファイル権限情報記憶部7は、各ファイルのファイル識別情報とそのファイルの使用権限を示すファイル権限情報とを記憶している。ファイル権限情報は、ファイルの使用が許可もしくは制限されるユーザを示す情報であり、ユーザ識別情報やユーザ属性情報、ユーザの権限レベルを示す情報などが含まれる。ファイル権限情報記憶部7の一例を図8に示す。ファイル権限情報記憶部7では、各ファイルの使用権限を、ユーザ識別情報とファイル識別情報とを対応づけることにより記憶していたり、ユーザの所属情報とファイル識別情報とを対応づけることにより記憶していたり、ユーザの権限を示す情報とファイル識別情報とを対応づけることにより記憶する、ように構成するなど、様々な方式により記憶させておくことが出来る。図8(a)では、ファイル名とそのファイルを使用可能な所属部署とを対応づけて記憶している場合であり、図8(b)では、ファイル名とそのファイルを使用可能なユーザ識別情報とを対応づけて記憶している場合であり、図8(c)では、ファイル名とそのファイルを使用可能なユーザの権限レベルとを対応づけて記憶している場合である。なお上述において、ファイル名の代わりに、ファイルの保存場所情報とファイル権限情報とを対応づけて記憶しても良い。またファイル名の代わりに、ファイル名に含まれるキーワードのリストとファイル権限情報とを対応づけて記憶させ、キーワードをファイル名に含むファイルの使用権限とするようにしても良い。
【0034】
ユーザ情報記憶部8は、ユーザ識別情報とユーザの属性情報とを対応づけて記憶している。ユーザの属性情報としては、ユーザの氏名などのほか、所属情報(所属部署、役職など)、権限レベルなどの情報がある。図9にユーザ情報記憶部8の一例を示す。
【0035】
外部記憶媒体使用範囲決定部9は、操作ログ情報抽出部6で抽出した操作ログ情報におけるファイル識別情報に基づいて、当該外部記憶媒体の使用範囲情報を決定する。つまり、抽出した操作ログ情報の内容が「ファイル書込み」であった場合には、操作ログ情報におけるファイル識別情報を抽出し、当該ファイル識別情報に対応づけられたファイル権限情報をファイル権限情報記憶部7から抽出し、その外部記憶媒体の使用範囲情報を決定する。
【0036】
例えば抽出した操作ログ情報の操作内容が「ファイル書込み」であると、そのファイル識別情報「AAAAAAA」を操作ログ情報から抽出する。そしてファイル識別情報「AAAAAAA」に基づいてファイル権限情報記憶部7を参照することにより、当該ファイルのファイル権限情報である使用部署「営業部○○課○G」と使用範囲「部外秘」とを抽出し、それらから外部記憶媒体の使用範囲情報を「営業部」として決定する。上述の場合はファイル権限情報としてファイルにアクセス可能なユーザの所属情報を用いた場合であるが、ほかにもファイル権限情報としてファイルにアクセス可能なユーザの識別情報、ファイルにアクセス可能なユーザの権限情報をファイル権限情報記憶部7から抽出し、それを外部記憶媒体の使用範囲情報として決定することも出来る。また、ファイルを外部記憶媒体に書き込んだユーザのユーザ識別情報をファイル権限情報として用い、そのユーザ識別情報を使用範囲情報として決定することも出来る。
【0037】
外部記憶媒体使用範囲設定部10は、外部記憶媒体使用範囲決定部9で決定した、当該外部記憶媒体の使用範囲情報を、当該外部記憶媒体のファイルにアクセスしたクライアント端末3に対して送信し、その使用範囲情報を当該外部記憶媒体に設定させる。
【0038】
例えば外部記憶媒体使用範囲決定部9で使用範囲情報として、上述の使用部署「営業部○○課○G」と使用範囲「部外秘」から使用部署「営業部」と決定した場合、「営業部」に所属しているユーザがアクセス可能となる。そして、外部記憶媒体使用範囲設定部10はそれらの制御指示を当該クライアント端末3に送信する。そしてこの使用範囲情報を含む制御指示を受け取ったクライアント端末3では、当該クライアント端末3に装着された外部記憶媒体に、使用範囲情報として、管理サーバ2から受け取った使用範囲情報を書き込み、設定する。これによって、外部記憶媒体に使用範囲情報が書き込まれることとなる。
【0039】
ここで外部記憶媒体に使用範囲情報が書き込まれることによって、次に外部記憶媒体がクライアント端末3に装着された場合、その使用範囲情報とクライアント端末3のユーザ(ログイン名など)のユーザ識別情報もしくはユーザの属性情報とを比較することで、当該外部記憶媒体が当該クライアント端末3で使用可能かを判定することが出来る。なお外部記憶媒体は、当該使用範囲情報を記憶する記憶領域を備えており、そこに使用範囲情報を記憶する。
【実施例1】
【0040】
次に本発明の外部記憶媒体管理システム1における処理プロセスの一例を図4及び図5のフローチャート、図2のシステム構成の概念図などを用いて説明する。なお以下の説明では外部記憶媒体としてUSBメモリの場合を説明するが、外部記憶媒体がコンピュータ端末などであっても同様に実現できる。またファイル識別情報としてファイル名である場合を説明する。
【0041】
まずUSBメモリに、USBメモリごとの使用範囲の情報(使用範囲情報)を事前に記憶させる処理を説明する。
【0042】
各クライアント端末3から管理サーバ2に、当該クライアント端末3の操作ログ情報が、定期的にまたは所定のタイミングで送信されている。操作ログ情報は操作ログ情報検出部4で受け取る(S100)。
【0043】
操作ログ情報検出部4で受け取った操作ログ情報は、操作ログ情報記憶部5に記憶させる。操作ログ情報には、当該クライアント端末3を識別する情報、日時の情報などが含まれていることが一般的ではあるが、含まれていない場合には、それらの情報をあわせて受け取ることによって、対応づけて操作ログ情報記憶部5に記憶させる。
【0044】
また操作ログ情報検出部4は、受け取った操作ログ情報に基づいて、USBメモリへのファイルアクセスの操作であるかを監視し(S110)、当該クライアント端末3において、USBメモリへのファイルアクセスの操作が行われたかを判定する(S120)。
【0045】
USBメモリへのファイルアクセスの操作が行われていないと判定した場合には、操作ログ情報検出部4は、そのまま次の操作ログ情報を受け取るのを待機する。また、USBメモリへのファイルアクセスの操作が行われたと判定した場合には、次の操作ログ情報を受け取るのを待機するとともに、操作ログ情報抽出部6が、当該操作ログ情報を抽出する。例えば、抽出した操作ログ情報が図10であったとする。
【0046】
例えば、操作ログ情報検出部4がクライアント端末3「ABC12345678」から受け取った操作ログ情報が図10の場合、その操作内容が「ファイル書込み」であり、その保存場所の情報が「外部記憶媒体」を示す情報であるので、USBメモリへのファイルアクセスの操作が行われたと判定し、操作ログ情報抽出部6がこの操作ログ情報を抽出することとなる。
【0047】
そして外部記憶媒体使用範囲決定部9は、抽出した操作ログ情報からファイル識別情報「AAAAAAA」を抽出し、抽出したファイル識別情報に基づいてファイル権限情報記憶部7を参照することで、そのファイルのファイル権限情報として使用部署「営業部○○課○G」と使用範囲「部外秘」を取得する(S130)。なおファイル権限情報記憶部7が図8(b)のときにはそのファイルのファイル権限情報として「○○○○、△△△△、□□□□、・・・」といった当該ファイルを使用可能なユーザのユーザ識別情報を取得し、ファイル権限情報記憶部7が図8(c)のときにはそのファイルのファイル権限情報として「権限レベル2」を取得する。
【0048】
以上のようにしてファイル「AAAAAAA」のファイル権限情報を用いて当該USBメモリの使用範囲情報を決定し(S140)、外部記憶媒体使用範囲設定部10が、当該クライアント端末3「ABC12345678」に対して、外部記憶媒体使用範囲決定部9で決定した当該USBメモリの使用範囲情報を、当該USBメモリに設定させる制御指示を送信する。
【0049】
この制御指示を受け取ったクライアント端末3「ABC12345678」は、制御指示におけるUSBメモリの使用範囲情報を、当該クライアント端末3「ABC12345678」に装着しているUSBメモリに書き込むことで、使用範囲情報をUSBメモリに設定する(S150)。
【0050】
例えば使用範囲情報が、使用部署「営業部」の場合には、それらをUSBメモリに書き込み、使用範囲情報が「○○○○、△△△△、□□□□、・・・」の場合にはそれらをUSBメモリに書き込み、使用範囲情報が「権限レベル2」の場合には、それらをUSBメモリに書き込む。なお使用範囲情報としては、使用部署、ユーザ識別情報、権限レベルなどの外部記憶媒体の使用範囲を示す情報が組み合わされて用いられても良い。
【0051】
以上のような処理を実行することで、USBメモリに使用範囲情報を設定することが可能となる。なお以上の処理の概略を模式的に示すのが図11である。
【0052】
次に、使用範囲情報が設定されたUSBメモリを新たにクライアント端末3に装着した場合を説明する。この場合の処理プロセスを図5に示す。なおここで装着されたクライアント端末3を「DEF12341234」とし、そのユーザのユーザ識別情報を「△△△△」とする。
【0053】
クライアント端末3「DEF12341234」はUSBメモリが装着されたことを検出すると(S200)、そのクライアント端末3「DEF12341234」にログインしているユーザのユーザ識別情報「△△△△」を取得する。そして取得したユーザ識別情報と、当該USBメモリに設定してある使用範囲情報とを比較することにより(S210)、当該USBメモリが使用可能かどうかを判定する(S220)。
【0054】
例えばクライアント端末3「DEF12341234」から取得したユーザ識別情報が「△△△△」であり、USBメモリの使用範囲情報が使用部署「営業部」であったとすると、当該クライアント端末3は、ユーザ識別情報「△△△△」に基づいて管理サーバ2のユーザ情報記憶部8を参照することで、当該ユーザの所属情報を取得する。そうするとユーザ識別情報「△△△△」のユーザは、「営業部○○課○G」の「グループ員」であるとの所属情報を取得できるので、USBメモリの使用部署「営業部」と比較すると、USBメモリは使用可能であると判定できる。
【0055】
またUSBメモリの使用範囲情報が「○○○○、△△△△、□□□□、・・・」であったとすると、当該クライアント端末3は、ユーザ識別情報「△△△△」と比較する。そうすると当該ユーザのユーザ識別情報が含まれていることから、USBメモリは使用可能であると判定できる。
【0056】
更にUSBメモリの使用範囲情報が「権限レベル2」であったとすると、当該クライアント端末3は、ユーザ識別情報「△△△△」に基づいて管理サーバ2のユーザ情報記憶部8を参照することで、当該ユーザの権限レベル情報「権限レベル2」を取得する。そうすると取得したユーザの権限レベル情報「権限レベル2」と、USBメモリの使用範囲情報「権限レベル2」とを比較すると、ユーザの権限レベル情報「権限レベル2」はUSBメモリの使用範囲情報以上なので、USBメモリは使用可能であると判定できる。
【0057】
このようにしてクライアント端末3でUSBメモリを使用可能と判定した場合、当該クライアント端末3は、当該USBメモリを使用許可とする(S230)。またクライアント端末3でUSBメモリを使用不可能と判定した場合、当該クライアント端末3は、当該USBメモリを使用不許可とし、所定の制御処理を実行する(S240)。
【0058】
なお使用不許可とした場合には、例えば当該USBメモリまたはUSBメモリに記憶しているファイルへのアクセスを拒否する、USBメモリのデバイスとしての認識を取り消す、USBメモリに記憶しているファイルを暗号化処理や削除処理する、ファイルの読み出し処理のみ可能とする、ファイルの書込み処理のみ可能とする、などの制御処理がある。
【0059】
なお以上のようなクライアント端末3におけるS210以降の処理については、それを実行するプログラムをUSBメモリに記憶しておき、USBメモリがクライアント端末3に装着された段階で、そのプログラムをクライアント端末3に読み込まれ実行することが好ましい。またこのプログラムを予めクライアント端末3に備えていても良いし、S150において、外部記憶媒体使用範囲設定部10が当該クライアント端末3に、使用範囲情報を送信する場合の制御指示と併せて送信し、クライアント端末3が、USBメモリに使用範囲情報と当該プログラムとを書き込んでも良い。
【実施例2】
【0060】
上述の実施例1では、ファイルがUSBメモリに保存された場合に、そのUSBメモリに当該ファイルのファイル権限情報を用いて使用範囲情報を決定し設定した場合を説明したが、本実施例では、ファイルをUSBメモリから削除した場合に、そのUSBメモリから当該ファイルに対応する使用範囲情報を削除設定する場合を説明する。
【0061】
各クライアント端末3から管理サーバ2に、当該クライアント端末3の操作ログ情報が、定期的にまたは所定のタイミングで送信されている。操作ログ情報は操作ログ情報検出部4で受け取る(S100)。
【0062】
操作ログ情報検出部4で受け取った操作ログ情報は、操作ログ情報記憶部5に記憶させる。操作ログ情報には、当該クライアント端末3を識別する情報、日時の情報などが含まれていることが一般的ではあるが、含まれていない場合には、それらの情報をあわせて受け取ることによって、対応づけて操作ログ情報記憶部5に記憶させる。
【0063】
また操作ログ情報検出部4は、受け取った操作ログ情報に基づいて、USBメモリへのファイルアクセスの操作であるかを監視し(S110)、当該クライアント端末3において、USBメモリへのファイルアクセスの操作が行われたかを判定する(S120)。
【0064】
USBメモリへのファイルアクセスの操作が行われていないと判定した場合には、操作ログ情報検出部4は、そのまま次の操作ログ情報を受け取るのを待機する。また、USBメモリへのファイルアクセスの操作が行われたと判定した場合には、次の操作ログ情報を受け取るのを待機するとともに、操作ログ情報抽出部6が、当該操作ログ情報を抽出する。例えば、抽出した操作ログ情報が図12であったとする。
【0065】
例えば、操作ログ情報検出部4がクライアント端末3「ABC12345678」から受け取った操作ログ情報が図12の場合、その操作内容が「ファイル削除」であり、その保存場所の情報が「外部記憶媒体」を示す情報であるので、USBメモリへのファイルアクセスの操作が行われたと判定し、操作ログ情報抽出部6がこの操作ログ情報を抽出することとなる。
【0066】
ファイル削除の操作が行われたことを判定すると、USBメモリからその使用範囲情報を削除すればよいので、外部記憶媒体使用範囲設定部10は、当該クライアント端末3「ABC12345678」に対して、USBメモリに設定してある、ファイル「AAAAAAA」のファイル権限情報を用いて決定し設定されていたUSBメモリの使用範囲情報の削除の制御指示を送信する。そしてその制御指示を受け取ったクライアント端末3では、当該USBメモリに設定されている(書き込まれている)使用範囲情報を削除する。
【0067】
このような処理によって、USBメモリからすべてのファイルが削除された場合には、USBメモリの使用範囲情報を削除することが可能となる。
【実施例3】
【0068】
次に複数のファイルがUSBメモリに記憶される場合の使用範囲情報の設定処理を説明する。なお本実施例では、すでにUSBメモリにファイル「AAAAAAA」が保存されており、そのUSBメモリには使用範囲情報として、「営業部」が設定されている場合を説明する。
【0069】
各クライアント端末3から管理サーバ2に、当該クライアント端末3の操作ログ情報が、定期的にまたは所定のタイミングで送信されている。操作ログ情報は操作ログ情報検出部4で受け取る(S100)。
【0070】
操作ログ情報検出部4で受け取った操作ログ情報は、操作ログ情報記憶部5に記憶させる。操作ログ情報には、当該クライアント端末3を識別する情報、日時の情報などが含まれていることが一般的ではあるが、含まれていない場合には、それらの情報をあわせて受け取ることによって、対応づけて操作ログ情報記憶部5に記憶させる。
【0071】
また操作ログ情報検出部4は、受け取った操作ログ情報に基づいて、USBメモリへのファイルアクセスの操作であるかを監視し(S110)、当該クライアント端末3において、USBメモリへのファイルアクセスの操作が行われたかを判定する(S120)。
【0072】
USBメモリへのファイルアクセスの操作が行われていないと判定した場合には、操作ログ情報検出部4は、そのまま次の操作ログ情報を受け取るのを待機する。また、USBメモリへのファイルアクセスの操作が行われたと判定した場合には、次の操作ログ情報を受け取るのを待機するとともに、操作ログ情報抽出部6が、当該操作ログ情報を抽出する。例えば、抽出した操作ログ情報が図13であったとする。
【0073】
例えば、操作ログ情報検出部4がクライアント端末3「ABC12345678」から受け取った操作ログ情報が図13の場合、その操作内容が「ファイル書込み」であり、その保存場所の情報が「外部記憶媒体」を示す情報であるので、USBメモリへのファイルアクセスの操作が行われたと判定し、操作ログ情報抽出部6がこの操作ログ情報を抽出することとなる。
【0074】
そして外部記憶媒体使用範囲決定部9は、抽出した操作ログ情報からファイル識別情報「BBBBBBB」を抽出し、抽出したファイル識別情報に基づいてファイル権限情報記憶部7を参照することで、そのファイルのファイル権限情報として使用部署「営業部○○課○G」と使用範囲「課外秘」を取得する(S130)。なおファイル権限情報記憶部7が図8(b)のときにはそのファイルのファイル権限情報として「●●●●、▲▲▲▲、■■■■、・・・」といった当該ファイルを使用可能なユーザのユーザ識別情報を取得し、ファイル権限情報記憶部7が図8(c)のときにはそのファイルのファイル権限情報として「権限レベル4」を取得する。
【0075】
管理サーバ2は、クライアント端末3から当該USBメモリにすでに設定されている使用範囲情報を取得する。ここでは、使用範囲情報として「営業部」が設定されているので、この情報を取得する。そして取得したファイルのファイル権限情報と、取得したUSBメモリにすでに設定されている使用範囲情報とを比較し、いずれか厳しい使用範囲情報を当該USBメモリの使用範囲情報として決定する。ここでは、すでに設定されている使用部署「営業部」よりも、ファイル識別情報「BBBBBBB」のファイル権限情報である使用部署「営業部○○課○○G」使用範囲「課外秘」に基づく使用範囲情報「営業部○○課」の方が厳しいので、「営業部○○課」を新たな使用範囲情報として設定する。
【0076】
またUSBメモリの使用範囲情報として「●●●●、▲▲▲▲、■■■■、・・・」といった当該ファイルを使用可能なユーザのユーザ識別情報が設定されている場合には、ファイルのファイル権限情報のユーザ識別情報と、すでに使用範囲情報としてUSBメモリに設定されているユーザのユーザ識別情報とを比較し、重複するユーザのユーザ識別情報のみを使用範囲情報として設定する。
【0077】
更に使用範囲情報として「権限レベル2」といった権限レベルが設定されている場合には、ファイルのファイル権限情報の権限レベルと、すでに使用範囲情報としてUSBメモリに設定されている権限レベルとを比較し、より高い権限レベルを使用範囲情報として設定する。
【0078】
なお厳しい使用範囲情報とは、上述のように、取得したファイルのファイル権限情報と、すでにUSBメモリに設定されている使用範囲情報とを比較し、そのうち、制限範囲が多い、使用範囲が少ない、使用範囲に含まれているユーザの人数が少ない、あるいは使用範囲の権限レベル(監視レベル)が高い、などの条件を充足した使用範囲情報である。例えば各ファイルのファイル権限情報についてAND条件を充足する使用範囲情報がある。
【0079】
以上のようにして当該USBメモリの使用範囲情報を決定し(S140)、外部記憶媒体使用範囲設定部10が、当該クライアント端末3「ABC12345678」に対して、外部記憶媒体使用範囲決定部9で決定した当該USBメモリの使用範囲情報を、当該USBメモリに設定させる制御指示を送信する。
【0080】
この制御指示を受け取ったクライアント端末3「ABC12345678」は、制御指示におけるUSBメモリの使用範囲情報を、当該クライアント端末3「ABC12345678」に装着しているUSBメモリに書き込むことで、使用範囲情報をUSBメモリに設定する(S150)。
【0081】
以上のような処理を実行することで、USBメモリに使用範囲情報を設定することが可能となる。なお以上の処理の概略を模式的に示すのが図14である。
【0082】
上述では、USBメモリに複数のファイルが保存された場合でも、予め使用範囲情報をUSBメモリに設定する場合を説明したが、ファイルへのアクセス時にUSBメモリの使用範囲情報を決定しても良い。
【0083】
すなわち図15に示すように、USBメモリに保存されているファイル毎に判定した使用範囲情報を当該USBメモリに記憶しておき、そのうちの最も厳しい使用範囲情報をUSBメモリの使用範囲情報として用いても良い。
【0084】
なお図15のように、USBメモリに保存されているファイル毎に判定した使用範囲情報を記憶している場合、予めUSBメモリの使用範囲情報を判定し設定しておくのではなく、当該USBメモリを装着したクライアント端末3から、USBメモリに保存したファイルへのアクセスを受け付けたときに、そのアクセスした操作を検出したタイミングでUSBメモリの使用範囲情報を決定し、図5のS210乃至S240の処理を実行するようにしても良い。
【0085】
このように構成することで、ファイル毎に判定した使用範囲情報に従って設定することが可能となる。
【実施例4】
【0086】
ファイルをUSBメモリから削除した場合に、新たにそのUSBメモリの使用範囲情報を設定する場合を説明する。なお本実施例においては、当該USBメモリにファイル「AAAAAAA」、「BBBBBBB」が保存されており、図15に示す使用範囲情報がUSBメモリに設定されているとする。
【0087】
各クライアント端末3から管理サーバ2に、当該クライアント端末3の操作ログ情報が、定期的にまたは所定のタイミングで送信されている。操作ログ情報は操作ログ情報検出部4で受け取る(S100)。
【0088】
操作ログ情報検出部4で受け取った操作ログ情報は、操作ログ情報記憶部5に記憶させる。操作ログ情報には、当該クライアント端末3を識別する情報、日時の情報などが含まれていることが一般的ではあるが、含まれていない場合には、それらの情報をあわせて受け取ることによって、対応づけて操作ログ情報記憶部5に記憶させる。
【0089】
また操作ログ情報検出部4は、受け取った操作ログ情報に基づいて、USBメモリへのファイルアクセスの操作であるかを監視し(S110)、当該クライアント端末3において、USBメモリへのファイルアクセスの操作が行われたかを判定する(S120)。
【0090】
USBメモリへのファイルアクセスの操作が行われていないと判定した場合には、操作ログ情報検出部4は、そのまま次の操作ログ情報を受け取るのを待機する。また、USBメモリへのファイルアクセスの操作が行われたと判定した場合には、次の操作ログ情報を受け取るのを待機するとともに、操作ログ情報抽出部6が、当該操作ログ情報を抽出する。例えば、抽出した操作ログ情報が図16であったとする。
【0091】
例えば、操作ログ情報検出部4がクライアント端末3「ABC12345678」から受け取った操作ログ情報が図16の場合、その操作内容が「ファイル削除」であり、その保存場所の情報が「外部記憶媒体」を示す情報であるので、USBメモリへのファイルアクセスの操作が行われたと判定し、操作ログ情報抽出部6がこの操作ログ情報を抽出することとなる。
【0092】
ファイル削除の操作が行われたことを判定すると、USBメモリからそのファイルの使用範囲情報のみを削除すればよいので、外部記憶媒体使用範囲設定部10は、当該クライアント端末3「ABC12345678」に対して、USBメモリに設定してある、ファイル「BBBBBBB」の使用範囲情報の削除の制御指示を送信する。そしてその制御指示を受け取ったクライアント端末3では、当該USBメモリに設定されている(書き込まれている)、ファイル「BBBBBBB」の使用範囲情報を削除する。削除後の使用範囲情報は図17のようになる。
【0093】
このような処理によって、ファイル「BBBBBBB」の使用範囲情報が削除されることとなる。
【0094】
なおファイルごとに使用範囲情報を設定している場合には、クライアント端末3「ABC12345678」では、当該USBメモリ内のファイルの削除後の使用範囲情報として、図17に示すような削除後にUSBメモリ内に残っているファイルの使用範囲情報から最も厳しい使用範囲情報を特定し、それを新たな使用範囲情報として設定し、更新する(USBメモリに書き込む)。上述の場合では、USBメモリの使用範囲情報として、削除前までは「営業部○○課」であったのが、削除後には「営業部」に変更されることとなる。
【0095】
以上のような処理を実行することで、USBメモリに保存しているファイルが削除された場合であっても、USBメモリの使用範囲情報を適切に更新することが出来る。
【実施例5】
【0096】
上述の実施例1乃至実施例4においては、ファイルのファイル権限情報やUSBメモリの使用範囲情報として使用部署と使用範囲、使用可能ユーザ、権限レベルといった場合を説明したが、それ以外にもファイル名とユーザとを対応づけておき、さらにそのユーザごとに可能な操作を使用範囲情報として設定しても良い。例えばユーザAについてはファイル読込操作のみ、ユーザBについてはファイル書込操作のみ、ユーザCについてはファイル読込/書込操作のみ、といったようにユーザごとに可能な操作の制限を行っても良い。なおユーザのみならず、部署や権限レベルによって可能な操作の制限を行うことももちろん可能である。
【0097】
また上述の実施例1乃至実施例4においては、USBメモリに複数のファイルが保存されている場合、USBメモリの使用範囲情報として、各ファイルのもっとも厳しいファイル権限情報を設定する場合を説明したが、もっとも緩い使用範囲情報や各ファイルのファイル権限情報についてOR条件を充足する使用範囲などを使用範囲情報として設定するようにしても良い。
【0098】
例えばファイルAのファイル権限情報として使用部署が「営業部」、使用範囲が「部外秘」、ファイルBのファイル権限情報として使用部署が「総務課」、使用範囲が「課外秘」であった場合、当該USBメモリの使用範囲情報として、「営業部または総務課」として設定することも出来る。
【0099】
あるいはファイルAのファイル権限情報としてユーザ「○○○○、△△△△、□□□□」であり、ファイルBのファイル権限情報としてユーザ「●●●●、▲▲▲▲、■■■■」であった場合、当該USBメモリの使用範囲情報として、ユーザ「○○○○、△△△△、□□□□、●●●●、▲▲▲▲、■■■■」のように設定することも出来る。
【0100】
さらにファイルAのファイル権限情報として権限レベル「2」、ファイルBのファイル権限情報として権限レベル「4」であった場合、当該USBメモリの使用範囲情報として権限レベル「2」を設定することが出来る。
【0101】
このように当該USBメモリに記憶されているファイルのファイル権限情報のうち、各ファイルのファイル権限情報のOR条件を採ったものを当該USBメモリの使用範囲情報として設定するように構成しても良い。
【実施例6】
【0102】
本発明の外部記憶媒体管理システム1の各機能は、クライアント端末3、管理サーバ2において適宜、分散配置していても良い。
【0103】
例えばクライアント端末3に操作ログ情報検出部4、外部記憶媒体使用範囲決定部9、外部記憶媒体使用範囲設定部10を備えることも出来る。
【0104】
なお分散配置のバリエーションには様々なパターンがあり、如何なる配置形態であっても良い。これらの場合、クライアント端末3、管理サーバ2における処理の際に、ほかのコンピュータ端末やサーバの機能を利用する場合にはその問い合わせを当該ほかのコンピュータ端末やサーバに対して行い、その結果を受け取ることで処理に用いる。そしてその処理結果を実行することとなる。
【産業上の利用可能性】
【0105】
上述の外部記憶媒体管理システム1によって、USBメモリなどの外部記憶媒体にファイルが保存された場合に、その外部記憶媒体の使用範囲を、当該ファイルの使用範囲などに基づいて設定することが可能となる。そして、外部記憶媒体がコンピュータ端末に接続された場合に、そのユーザなどが使用範囲であるかを判定することで、仮に外部記憶媒体を紛失したとしても、それを取得した第三者が自分のコンピュータ端末でそこに記録しているファイルを使用することはできず、一方で、社員が会社から貸与されているラップトップコンピュータに外部記憶媒体を介したコピーなどを行うことは可能となる。
【0106】
このように本発明の外部記憶媒体管理システム1によれば、情報漏洩の防止と日常業務のしやすさとの両立を図ることが可能となる。
【図面の簡単な説明】
【0107】
【図1】本発明の全体の概念図である。
【図2】本発明のシステム構成の一例を示す概念図である。
【図3】管理サーバのハードウェア構成の一例を示す概念図である。
【図4】本発明の処理プロセスの一例を示すフローチャートである。
【図5】本発明の処理プロセスの一例を示すフローチャートである。
【図6】操作ログ情報の一例である。
【図7】操作ログ情報記憶部の一例である。
【図8】ファイル権限情報記憶部の一例である。
【図9】ユーザ情報記憶部の一例である。
【図10】抽出した操作ログ情報の一例である。
【図11】USBメモリの使用範囲情報の設定処理を模式的に示す図である。
【図12】操作ログ情報のほかの一例である。
【図13】操作ログ情報のほかの一例である。
【図14】実施例3のUSBメモリの使用範囲情報の設定処理を模式的に示す図である。
【図15】USBメモリに保存しているファイル毎に使用範囲情報が保存されていることを示す図である。
【図16】操作ログ情報のほかの一例である。
【図17】USBメモリに保存しているファイルが削除された後の、ファイル毎の使用範囲情報を示す図である。
【符号の説明】
【0108】
1:外部記憶媒体管理システム
2:管理サーバ
3:クライアント端末
4:操作ログ情報検出部
5:操作ログ情報記憶部
6:操作ログ情報抽出部
7:ファイル権限情報記憶部
8:ユーザ情報記憶部
9:外部記憶媒体使用範囲決定部
10:外部記憶媒体使用範囲設定部
20:演算装置
21:記憶装置
22:表示装置
23:入力装置
24:通信装置
【技術分野】
【0001】
本発明は、USBメモリ(可搬型半導体記憶装置)などの記憶媒体やコンピュータ端末などの使用範囲を、操作ログ情報を用いて判定することにより、当該記憶媒体やコンピュータ端末をその使用範囲を超えて使用できないようにする外部記憶媒体管理システムに関する。
【背景技術】
【0002】
企業などの組織では、組織から情報漏洩が起こらないように様々な対策を採っている。近年、情報管理の徹底が求められており、使用できるハードウェア資源が限定されていることが多い。特に、情報の持ち運びが可能な半導体メモリ(USBメモリなど)などの外部記憶媒体は利便性が非常に高い反面、紛失や盗難あるいは使用後、不要となったファイルの消し忘れなど不適切な運用が問題となっている。
【0003】
そこで下記特許文献1に記載のように、予め定められた不正行為をそもそも行えなくするようなシステムが存在する。つまり記憶媒体やコンピュータ端末のファイルコピーなどの操作を行えなくすることで、情報漏洩を防止するシステムである。また特許文献1以外にも、USBメモリなどの記憶媒体をソフトウェア的にあるいはハードウェア的に、一律に使用禁止とする方法を採用している場合もある。
【0004】
特許文献1の場合には、記憶媒体やコンピュータ端末などへのファイルコピー操作を不正行為として設定しておくことによって、そのような操作が一律に行えなくなり、情報漏洩を防止出来る。またUSBメモリなどの記憶媒体をソフトウェア的、ハードウェア的に使用禁止とする方法の場合にも、記憶媒体が使用できなくなるので、情報漏洩を防止出来る。
【0005】
しかしUSBメモリなどの記憶媒体は、気軽に情報を持ち運びして、その情報を別のコンピュータ端末で使用することができるので、利便性が高く、上述のように一律に使用禁止にしてしまうと、業務効率が低下する場合もある。
【0006】
例えば開発部門の場合、一人のユーザが、通常業務を行うコンピュータ端末と、実験環境用のコンピュータ端末とを使用しており、実験環境用のコンピュータ端末は通常業務のコンピュータ端末のネットワークからは切り離されていることが多い。そして、通常業務を行うコンピュータ端末から実験環境用のコンピュータ端末へファイルなどを移動させる場合には、事前にシステム管理を統括する部署に対して、USBメモリなどの記憶媒体の使用許可を申請しておき、許可されたUSBメモリを使用して、ファイルを移動させている。
【0007】
【特許文献1】特開2005−222216号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
以上のように、従来では、情報漏洩を重視するあまりに、USBメモリなどの記憶媒体を一律に使用禁止にしていたりする。そのため例外的に使用するためには、使用するUSBメモリを事前にシステム管理を統括する部署に対して申請しておかなければならず、極めて煩雑であった。
【0009】
そのため、従来のように、事前にシステム管理を統括する部署に対して申請などの煩雑な手続を行わずともUSBメモリなどの記憶媒体を使用できる一方、適切な範囲で記憶媒体からの情報漏洩を防止しうるセキュリティシステムが望まれている。すなわち、日常業務のしやすさと情報漏洩の防止という相反する課題を解決するシステムが望まれている。
【課題を解決するための手段】
【0010】
本発明者は上記問題点に鑑み、以下の発明を行った。
【0011】
第1の発明は、外部記憶媒体に使用範囲情報を設定する外部記憶媒体管理システムであって、前記外部記憶媒体管理システムは、前記外部記憶媒体を装着したコンピュータ端末の操作ログ情報を取得し、前記コンピュータ端末における前記外部記憶媒体へのファイルアクセスに関する操作ログ情報を検出する操作ログ情報検出部と、前記検出した操作ログ情報を用いて、ファイルアクセスの対象となったファイルを特定し、そのファイルに対応づけられた使用権限を示すファイル権限情報を取得し、取得したファイル権限情報に基づいて前記外部記憶媒体の使用範囲情報を決定する外部記憶媒体使用範囲決定部と、前記決定した使用範囲情報を前記コンピュータ端末の前記外部記憶媒体に設定させる外部記憶媒体使用範囲設定部と、を有する外部記憶媒体管理システムである。
【0012】
本発明のように構成することで、操作ログ情報から外部記憶媒体の使用範囲情報を自動的に判定し、それを外部記憶媒体に設定することが可能となる。これにより、従前のようにUSBメモリなどの外部記憶媒体を事前に申請しなくても、自動的に外部記憶媒体を適切な範囲で使用させることが可能となる。
【0013】
上述の発明のように使用範囲情報が設定された外部記憶媒体がコンピュータ端末に装着されると、本発明のように、その使用可否の判定を行うと良い。すなわち、前記外部記憶媒体を装着したコンピュータ端末は、前記外部記憶媒体の装着を判定すると、そのコンピュータ端末のユーザ識別情報と、前記外部記憶媒体に設定された前記使用範囲情報とを用いて、前記外部記憶媒体の使用制限の内容を判定する、外部記憶媒体管理システムのように構成することが出来る。
【0014】
本発明のプログラムをコンピュータ端末に読み込ませて実行することで、請求項1の外部記憶媒体管理システムを実現することが出来る。すなわち、少なくとも一台以上のコンピュータ端末を、外部記憶媒体を装着したコンピュータ端末の操作ログ情報を取得し、前記コンピュータ端末における前記外部記憶媒体へのファイルアクセスに関する操作ログ情報を検出する操作ログ情報検出部、前記検出した操作ログ情報を用いて、ファイルアクセスの対象となったファイルを特定し、そのファイルに対応づけられた使用権限を示すファイル権限情報を取得し、取得したファイル権限情報に基づいて前記外部記憶媒体の使用範囲情報を決定する外部記憶媒体使用範囲決定部、前記決定した使用範囲情報を前記コンピュータ端末の前記外部記憶媒体に設定させる外部記憶媒体使用範囲設定部、として機能させる外部記憶媒体管理プログラムのように構成することも出来る。
【0015】
第2の発明は、使用範囲情報を所定の記憶領域に記憶可能な外部記憶媒体であって、前記外部記憶媒体は、前記外部記憶媒体に記憶されたファイルのファイル権限情報に基づいて決定された使用範囲情報が、前記外部記憶媒体を装着した第1のコンピュータ端末により前記所定の記憶領域に書き込まれ、第2のコンピュータ端末に前記外部記憶媒体が装着されたことを判定した際に、前記書き込まれた使用範囲情報が前記第2のコンピュータ端末に読み出され、前記第2のコンピュータ端末のユーザのユーザ識別情報と前記使用範囲情報とを用いて、前記第2のコンピュータ端末において前記外部記憶媒体の使用制限の内容が判定される、外部記憶媒体である。
【0016】
本発明のように構成することで、外部記憶媒体の使用範囲情報が設定されている場合には、その外部記憶媒体がコンピュータ端末に装着される際に、設定された使用範囲情報に基づいて、外部記憶媒体の使用可否を判定することが出来る。
【0017】
また上述の発明を実施する際に、本発明のプログラムをコンピュータ端末に読み込ませて実行することで、上述の外部記憶媒体を実現することが出来る。すなわち、外部記憶媒体に記憶されたファイルのファイル権限情報に基づいて決定された使用範囲情報を記憶している前記外部記憶媒体の装着を判定したコンピュータ端末を、前記外部記憶媒体を前記コンピュータ端末に装着した際に、前記外部記憶媒体に記憶された使用範囲情報を前記コンピュータ端末に読み出し、前記コンピュータ端末のユーザのユーザ識別情報と前記使用範囲情報とを用いて、前記コンピュータ端末において前記外部記憶媒体の使用制限の内容を判定する手段、として機能させるセキュリティプログラムである。
【発明の効果】
【0018】
本発明の外部記憶媒体管理システムによって、USBメモリなどの外部記憶媒体にファイルが保存された場合に、その外部記憶媒体の使用範囲を、当該ファイルの権限情報に基づいて設定することが可能となる。そして、外部記憶媒体がコンピュータ端末に接続された場合に、そのユーザの使用範囲を判定することで、仮に外部記憶媒体を紛失したとしても、それを取得した第三者が自分のコンピュータ端末でそこに記録しているファイルを使用することはできず、一方で、社員が会社から貸与されているラップトップコンピュータに外部記憶媒体を介したコピーなどを行うことは可能となる。
【0019】
このように本発明の外部記憶媒体管理システムによれば、情報漏洩の防止と日常業務のしやすさとの両立を図ることが可能となる。
【発明を実施するための最良の形態】
【0020】
本発明の外部記憶媒体管理システム1の全体の概念図を図1に示す。また本発明の外部記憶媒体管理システム1のシステム構成の概念図を図2に示す。なお外部記憶媒体としては、USBメモリなどの半導体メモリなどの記憶媒体や、光ディスク、光磁気ディスク、磁気ディスクなどが含まれ、コンピュータ端末に接続し、データを記憶させる記憶媒体または記憶装置であれば如何なるものであっても良い。また、ラップトップコンピュータのようなコンピュータ端末、あるいはネットワーク接続ストレージ(Network Attached Storage)なども該当する。さらに携帯電話、PHS、PDA、スマートフォンのような装置であっても良い。
【0021】
本発明の外部記憶媒体管理システム1は、各クライアント端末3を管理する管理者が利用するコンピュータ端末またはサーバ(以下、「管理サーバ2」という)において、所定のプログラムが読み込まれ、処理されることにより実現される。管理サーバ2は、各クライアント端末3において、どのようなプログラムが実行されているのか、どのような操作が行われたのか、などを記録することが好ましい。そのため各クライアント端末3には、当該クライアント端末3において実行されているプログラム名、ファイル名などの情報を定期的に、または新たなプログラムやファイルが実行された場合または終了した場合などの所定のタイミングで、クライアント端末3から管理サーバ2にそのプログラム名やファイル名の情報を送信する機能を備えている。プログラム名やファイル名の情報を送信する機能は、クライアント端末3の演算装置20で実行しているプログラム名やファイル名を抽出したり、メモリ内のプログラム名やファイル名を抽出して送信すればよい。つまりいわゆる操作ログ情報をクライアント端末3から管理サーバ2に送信すればよい。なお本明細書においては、プログラム、ファイル、データなどを総称して「ファイル」と称する。
【0022】
管理サーバ2やクライアント端末3は、プログラムの演算処理を実行するCPUなどの演算装置20と、情報を記憶するRAMやハードディスクなどの記憶装置21と、演算装置20の処理結果や記憶装置21に記憶する情報をインターネットやLANなどのネットワークを介して送受信する通信装置24とを少なくとも有している。コンピュータ上で実現する各機能(各手段)は、その処理を実行する手段(プログラムやモジュールなど)が演算装置20に読み込まれることでその処理が実行される。各機能は、記憶装置21に記憶した情報をその処理において使用する場合には、該当する情報を当該記憶装置21から読み出し、読み出した情報を適宜、演算装置20における処理に用いる。当該コンピュータには、キーボードやマウスやテンキーなどの入力装置23、ディスプレイ(画面)などの表示装置22を有していても良い。図3に管理サーバ2のハードウェア構成の一例を模式的に示す。また、管理サーバ2は、複数のコンピュータ端末またはサーバに、その機能が分散配置されていても良い。
【0023】
本発明における各手段は、その機能が論理的に区別されているのみであって、物理上あるいは事実上は同一の領域を為していても良い。
【0024】
管理サーバ2は、操作ログ情報検出部4と操作ログ情報記憶部5と操作ログ情報抽出部6とファイル権限情報記憶部7とユーザ情報記憶部8と外部記憶媒体使用範囲決定部9と外部記憶媒体使用範囲設定部10とを有する。
【0025】
操作ログ情報検出部4は、各クライアント端末3から定期的にまたは所定のタイミングで、当該クライアント端末3における操作ログ情報を受け取り、その操作ログ情報が、外部記憶媒体へのファイルアクセスを示す操作であるかを監視する。受け取った操作ログ情報は、後述する操作ログ情報記憶部5に、その日時、どのユーザ、どのクライアント端末3における操作ログ情報であるかを識別する情報と共に、記憶させる。なお操作ログ情報としては、各クライアント端末3における操作内容を示す情報であればよく、例えば「ファイルコピー」、「ファイル書込み」、「ファイル選択」、「ファイル削除」、「ファイル別名保存」、「ドライブ追加」、「ドライブ削除」など、当該クライアント端末3のユーザの操作を示す情報が該当する。
【0026】
操作ログ情報は、例えば入力装置23などを用いてユーザにより操作された内容を示す情報、クライアント端末3において実行されるまたは実行された内容であって、ミドルウェアやOSなどにおいて処理されるアプリケーションやハードウェアなどに対する制御を示す情報がある。より具体的には、キー入力、ポインティングデバイスの操作(ボタン押下、移動など)、外部記憶媒体の着脱、外部機器(プリンタなど)との接続、ファイル操作(作成、削除、コピー、移動、ファイル名変更、ファイル読み込み、ファイル書込みなど)、フォルダ操作(作成、削除、コピー、移動、フォルダ名変更など)、アプリケーション操作(起動、終了など)、ドライブの追加・削除・検知、IPアドレス変更、コンピュータ名変更、記憶媒体の書き込み、印刷、クリップボードへのコピーなどを示す情報がある。なおこれらは一例であって限定されるものではない。
【0027】
なお、管理サーバ2が各クライアント端末3から操作ログ情報を受け取る際にはネットワークを介して受け取っても良いし、操作ログ情報がクライアント端末3においてDVDなどの記録媒体に記録され、その記録媒体が管理サーバ2に読み取られ、そこから操作ログ情報を読み込むことによって受け取っても良い。
【0028】
また操作ログ情報検出部4は、クライアント端末3から受け取った操作ログ情報に基づいて、当該操作ログ情報が、所定の操作であるかどうかを判定する。所定の操作とは、例えば、外部記憶媒体のファイルへのアクセスを示す操作などがある。例えば、操作ログ情報における操作内容が「ファイル書込み」であり、その保存場所が外部記憶媒体を示す場合には、ファイルが外部記憶媒体へ保存されたと判定できる。また、操作ログ情報における操作内容が「ファイル削除」であり、その保存場所が外部記憶媒体を示す場合には、ファイルが外部記憶媒体から削除されたと判定できる。あるいは、操作ログ情報における操作内容が「ファイル別名保存」であり、その保存場所が外部記憶媒体を示す場合には、外部記憶媒体へ保存されているファイルがファイル別名保存(ファイル名の変更)されたと判定できる。
【0029】
なお監視する対象となる、外部記憶媒体のファイルへのアクセス操作などの所定の操作としては予め操作内容などを定めておくことが好ましいが、必ずしも定めておかなくても良い。
【0030】
操作ログ情報記憶部5は、操作ログ情報検出部4で各クライアント端末3から受け取った操作ログ情報を記憶する。操作ログ情報には、クライアント端末3を識別する情報、ユーザを識別する情報(ログイン名など)、操作内容を示す情報、操作内容の操作対象となったファイル識別情報(ファイルやアプリケーションの名称)、当該ファイルやアプリケーションの所在位置を示す情報(保存場所などを示す情報)、日時または日時を数値化した情報などが含まれている。操作ログ情報は、これらのすべての項目を含んでいても良いし、一部でも良い。図6に操作ログ情報の一例を示す。
【0031】
なお操作ログ情報は、各クライアント端末3またはそのユーザ(ログイン名など)ごとに記憶することが好ましい。なお操作内容を示す情報を日時などに対応づける場合には、クライアント端末3で行っても良いし、操作ログ情報を管理サーバ2で受け取った際に行っても良いし、或いは操作ログ情報記憶部5で記憶した際に行っても良い。図7に操作ログ情報記憶部5の一例を示す。なお図7ではコンピュータ名(クライアント端末3名)ごとに操作ログ情報を記憶している場合を示している。
【0032】
操作ログ情報抽出部6は、操作ログ情報検出部4において外部記憶媒体へのファイルアクセスが行われたと判定すると、その操作ログ情報を抽出する。
【0033】
ファイル権限情報記憶部7は、各ファイルのファイル識別情報とそのファイルの使用権限を示すファイル権限情報とを記憶している。ファイル権限情報は、ファイルの使用が許可もしくは制限されるユーザを示す情報であり、ユーザ識別情報やユーザ属性情報、ユーザの権限レベルを示す情報などが含まれる。ファイル権限情報記憶部7の一例を図8に示す。ファイル権限情報記憶部7では、各ファイルの使用権限を、ユーザ識別情報とファイル識別情報とを対応づけることにより記憶していたり、ユーザの所属情報とファイル識別情報とを対応づけることにより記憶していたり、ユーザの権限を示す情報とファイル識別情報とを対応づけることにより記憶する、ように構成するなど、様々な方式により記憶させておくことが出来る。図8(a)では、ファイル名とそのファイルを使用可能な所属部署とを対応づけて記憶している場合であり、図8(b)では、ファイル名とそのファイルを使用可能なユーザ識別情報とを対応づけて記憶している場合であり、図8(c)では、ファイル名とそのファイルを使用可能なユーザの権限レベルとを対応づけて記憶している場合である。なお上述において、ファイル名の代わりに、ファイルの保存場所情報とファイル権限情報とを対応づけて記憶しても良い。またファイル名の代わりに、ファイル名に含まれるキーワードのリストとファイル権限情報とを対応づけて記憶させ、キーワードをファイル名に含むファイルの使用権限とするようにしても良い。
【0034】
ユーザ情報記憶部8は、ユーザ識別情報とユーザの属性情報とを対応づけて記憶している。ユーザの属性情報としては、ユーザの氏名などのほか、所属情報(所属部署、役職など)、権限レベルなどの情報がある。図9にユーザ情報記憶部8の一例を示す。
【0035】
外部記憶媒体使用範囲決定部9は、操作ログ情報抽出部6で抽出した操作ログ情報におけるファイル識別情報に基づいて、当該外部記憶媒体の使用範囲情報を決定する。つまり、抽出した操作ログ情報の内容が「ファイル書込み」であった場合には、操作ログ情報におけるファイル識別情報を抽出し、当該ファイル識別情報に対応づけられたファイル権限情報をファイル権限情報記憶部7から抽出し、その外部記憶媒体の使用範囲情報を決定する。
【0036】
例えば抽出した操作ログ情報の操作内容が「ファイル書込み」であると、そのファイル識別情報「AAAAAAA」を操作ログ情報から抽出する。そしてファイル識別情報「AAAAAAA」に基づいてファイル権限情報記憶部7を参照することにより、当該ファイルのファイル権限情報である使用部署「営業部○○課○G」と使用範囲「部外秘」とを抽出し、それらから外部記憶媒体の使用範囲情報を「営業部」として決定する。上述の場合はファイル権限情報としてファイルにアクセス可能なユーザの所属情報を用いた場合であるが、ほかにもファイル権限情報としてファイルにアクセス可能なユーザの識別情報、ファイルにアクセス可能なユーザの権限情報をファイル権限情報記憶部7から抽出し、それを外部記憶媒体の使用範囲情報として決定することも出来る。また、ファイルを外部記憶媒体に書き込んだユーザのユーザ識別情報をファイル権限情報として用い、そのユーザ識別情報を使用範囲情報として決定することも出来る。
【0037】
外部記憶媒体使用範囲設定部10は、外部記憶媒体使用範囲決定部9で決定した、当該外部記憶媒体の使用範囲情報を、当該外部記憶媒体のファイルにアクセスしたクライアント端末3に対して送信し、その使用範囲情報を当該外部記憶媒体に設定させる。
【0038】
例えば外部記憶媒体使用範囲決定部9で使用範囲情報として、上述の使用部署「営業部○○課○G」と使用範囲「部外秘」から使用部署「営業部」と決定した場合、「営業部」に所属しているユーザがアクセス可能となる。そして、外部記憶媒体使用範囲設定部10はそれらの制御指示を当該クライアント端末3に送信する。そしてこの使用範囲情報を含む制御指示を受け取ったクライアント端末3では、当該クライアント端末3に装着された外部記憶媒体に、使用範囲情報として、管理サーバ2から受け取った使用範囲情報を書き込み、設定する。これによって、外部記憶媒体に使用範囲情報が書き込まれることとなる。
【0039】
ここで外部記憶媒体に使用範囲情報が書き込まれることによって、次に外部記憶媒体がクライアント端末3に装着された場合、その使用範囲情報とクライアント端末3のユーザ(ログイン名など)のユーザ識別情報もしくはユーザの属性情報とを比較することで、当該外部記憶媒体が当該クライアント端末3で使用可能かを判定することが出来る。なお外部記憶媒体は、当該使用範囲情報を記憶する記憶領域を備えており、そこに使用範囲情報を記憶する。
【実施例1】
【0040】
次に本発明の外部記憶媒体管理システム1における処理プロセスの一例を図4及び図5のフローチャート、図2のシステム構成の概念図などを用いて説明する。なお以下の説明では外部記憶媒体としてUSBメモリの場合を説明するが、外部記憶媒体がコンピュータ端末などであっても同様に実現できる。またファイル識別情報としてファイル名である場合を説明する。
【0041】
まずUSBメモリに、USBメモリごとの使用範囲の情報(使用範囲情報)を事前に記憶させる処理を説明する。
【0042】
各クライアント端末3から管理サーバ2に、当該クライアント端末3の操作ログ情報が、定期的にまたは所定のタイミングで送信されている。操作ログ情報は操作ログ情報検出部4で受け取る(S100)。
【0043】
操作ログ情報検出部4で受け取った操作ログ情報は、操作ログ情報記憶部5に記憶させる。操作ログ情報には、当該クライアント端末3を識別する情報、日時の情報などが含まれていることが一般的ではあるが、含まれていない場合には、それらの情報をあわせて受け取ることによって、対応づけて操作ログ情報記憶部5に記憶させる。
【0044】
また操作ログ情報検出部4は、受け取った操作ログ情報に基づいて、USBメモリへのファイルアクセスの操作であるかを監視し(S110)、当該クライアント端末3において、USBメモリへのファイルアクセスの操作が行われたかを判定する(S120)。
【0045】
USBメモリへのファイルアクセスの操作が行われていないと判定した場合には、操作ログ情報検出部4は、そのまま次の操作ログ情報を受け取るのを待機する。また、USBメモリへのファイルアクセスの操作が行われたと判定した場合には、次の操作ログ情報を受け取るのを待機するとともに、操作ログ情報抽出部6が、当該操作ログ情報を抽出する。例えば、抽出した操作ログ情報が図10であったとする。
【0046】
例えば、操作ログ情報検出部4がクライアント端末3「ABC12345678」から受け取った操作ログ情報が図10の場合、その操作内容が「ファイル書込み」であり、その保存場所の情報が「外部記憶媒体」を示す情報であるので、USBメモリへのファイルアクセスの操作が行われたと判定し、操作ログ情報抽出部6がこの操作ログ情報を抽出することとなる。
【0047】
そして外部記憶媒体使用範囲決定部9は、抽出した操作ログ情報からファイル識別情報「AAAAAAA」を抽出し、抽出したファイル識別情報に基づいてファイル権限情報記憶部7を参照することで、そのファイルのファイル権限情報として使用部署「営業部○○課○G」と使用範囲「部外秘」を取得する(S130)。なおファイル権限情報記憶部7が図8(b)のときにはそのファイルのファイル権限情報として「○○○○、△△△△、□□□□、・・・」といった当該ファイルを使用可能なユーザのユーザ識別情報を取得し、ファイル権限情報記憶部7が図8(c)のときにはそのファイルのファイル権限情報として「権限レベル2」を取得する。
【0048】
以上のようにしてファイル「AAAAAAA」のファイル権限情報を用いて当該USBメモリの使用範囲情報を決定し(S140)、外部記憶媒体使用範囲設定部10が、当該クライアント端末3「ABC12345678」に対して、外部記憶媒体使用範囲決定部9で決定した当該USBメモリの使用範囲情報を、当該USBメモリに設定させる制御指示を送信する。
【0049】
この制御指示を受け取ったクライアント端末3「ABC12345678」は、制御指示におけるUSBメモリの使用範囲情報を、当該クライアント端末3「ABC12345678」に装着しているUSBメモリに書き込むことで、使用範囲情報をUSBメモリに設定する(S150)。
【0050】
例えば使用範囲情報が、使用部署「営業部」の場合には、それらをUSBメモリに書き込み、使用範囲情報が「○○○○、△△△△、□□□□、・・・」の場合にはそれらをUSBメモリに書き込み、使用範囲情報が「権限レベル2」の場合には、それらをUSBメモリに書き込む。なお使用範囲情報としては、使用部署、ユーザ識別情報、権限レベルなどの外部記憶媒体の使用範囲を示す情報が組み合わされて用いられても良い。
【0051】
以上のような処理を実行することで、USBメモリに使用範囲情報を設定することが可能となる。なお以上の処理の概略を模式的に示すのが図11である。
【0052】
次に、使用範囲情報が設定されたUSBメモリを新たにクライアント端末3に装着した場合を説明する。この場合の処理プロセスを図5に示す。なおここで装着されたクライアント端末3を「DEF12341234」とし、そのユーザのユーザ識別情報を「△△△△」とする。
【0053】
クライアント端末3「DEF12341234」はUSBメモリが装着されたことを検出すると(S200)、そのクライアント端末3「DEF12341234」にログインしているユーザのユーザ識別情報「△△△△」を取得する。そして取得したユーザ識別情報と、当該USBメモリに設定してある使用範囲情報とを比較することにより(S210)、当該USBメモリが使用可能かどうかを判定する(S220)。
【0054】
例えばクライアント端末3「DEF12341234」から取得したユーザ識別情報が「△△△△」であり、USBメモリの使用範囲情報が使用部署「営業部」であったとすると、当該クライアント端末3は、ユーザ識別情報「△△△△」に基づいて管理サーバ2のユーザ情報記憶部8を参照することで、当該ユーザの所属情報を取得する。そうするとユーザ識別情報「△△△△」のユーザは、「営業部○○課○G」の「グループ員」であるとの所属情報を取得できるので、USBメモリの使用部署「営業部」と比較すると、USBメモリは使用可能であると判定できる。
【0055】
またUSBメモリの使用範囲情報が「○○○○、△△△△、□□□□、・・・」であったとすると、当該クライアント端末3は、ユーザ識別情報「△△△△」と比較する。そうすると当該ユーザのユーザ識別情報が含まれていることから、USBメモリは使用可能であると判定できる。
【0056】
更にUSBメモリの使用範囲情報が「権限レベル2」であったとすると、当該クライアント端末3は、ユーザ識別情報「△△△△」に基づいて管理サーバ2のユーザ情報記憶部8を参照することで、当該ユーザの権限レベル情報「権限レベル2」を取得する。そうすると取得したユーザの権限レベル情報「権限レベル2」と、USBメモリの使用範囲情報「権限レベル2」とを比較すると、ユーザの権限レベル情報「権限レベル2」はUSBメモリの使用範囲情報以上なので、USBメモリは使用可能であると判定できる。
【0057】
このようにしてクライアント端末3でUSBメモリを使用可能と判定した場合、当該クライアント端末3は、当該USBメモリを使用許可とする(S230)。またクライアント端末3でUSBメモリを使用不可能と判定した場合、当該クライアント端末3は、当該USBメモリを使用不許可とし、所定の制御処理を実行する(S240)。
【0058】
なお使用不許可とした場合には、例えば当該USBメモリまたはUSBメモリに記憶しているファイルへのアクセスを拒否する、USBメモリのデバイスとしての認識を取り消す、USBメモリに記憶しているファイルを暗号化処理や削除処理する、ファイルの読み出し処理のみ可能とする、ファイルの書込み処理のみ可能とする、などの制御処理がある。
【0059】
なお以上のようなクライアント端末3におけるS210以降の処理については、それを実行するプログラムをUSBメモリに記憶しておき、USBメモリがクライアント端末3に装着された段階で、そのプログラムをクライアント端末3に読み込まれ実行することが好ましい。またこのプログラムを予めクライアント端末3に備えていても良いし、S150において、外部記憶媒体使用範囲設定部10が当該クライアント端末3に、使用範囲情報を送信する場合の制御指示と併せて送信し、クライアント端末3が、USBメモリに使用範囲情報と当該プログラムとを書き込んでも良い。
【実施例2】
【0060】
上述の実施例1では、ファイルがUSBメモリに保存された場合に、そのUSBメモリに当該ファイルのファイル権限情報を用いて使用範囲情報を決定し設定した場合を説明したが、本実施例では、ファイルをUSBメモリから削除した場合に、そのUSBメモリから当該ファイルに対応する使用範囲情報を削除設定する場合を説明する。
【0061】
各クライアント端末3から管理サーバ2に、当該クライアント端末3の操作ログ情報が、定期的にまたは所定のタイミングで送信されている。操作ログ情報は操作ログ情報検出部4で受け取る(S100)。
【0062】
操作ログ情報検出部4で受け取った操作ログ情報は、操作ログ情報記憶部5に記憶させる。操作ログ情報には、当該クライアント端末3を識別する情報、日時の情報などが含まれていることが一般的ではあるが、含まれていない場合には、それらの情報をあわせて受け取ることによって、対応づけて操作ログ情報記憶部5に記憶させる。
【0063】
また操作ログ情報検出部4は、受け取った操作ログ情報に基づいて、USBメモリへのファイルアクセスの操作であるかを監視し(S110)、当該クライアント端末3において、USBメモリへのファイルアクセスの操作が行われたかを判定する(S120)。
【0064】
USBメモリへのファイルアクセスの操作が行われていないと判定した場合には、操作ログ情報検出部4は、そのまま次の操作ログ情報を受け取るのを待機する。また、USBメモリへのファイルアクセスの操作が行われたと判定した場合には、次の操作ログ情報を受け取るのを待機するとともに、操作ログ情報抽出部6が、当該操作ログ情報を抽出する。例えば、抽出した操作ログ情報が図12であったとする。
【0065】
例えば、操作ログ情報検出部4がクライアント端末3「ABC12345678」から受け取った操作ログ情報が図12の場合、その操作内容が「ファイル削除」であり、その保存場所の情報が「外部記憶媒体」を示す情報であるので、USBメモリへのファイルアクセスの操作が行われたと判定し、操作ログ情報抽出部6がこの操作ログ情報を抽出することとなる。
【0066】
ファイル削除の操作が行われたことを判定すると、USBメモリからその使用範囲情報を削除すればよいので、外部記憶媒体使用範囲設定部10は、当該クライアント端末3「ABC12345678」に対して、USBメモリに設定してある、ファイル「AAAAAAA」のファイル権限情報を用いて決定し設定されていたUSBメモリの使用範囲情報の削除の制御指示を送信する。そしてその制御指示を受け取ったクライアント端末3では、当該USBメモリに設定されている(書き込まれている)使用範囲情報を削除する。
【0067】
このような処理によって、USBメモリからすべてのファイルが削除された場合には、USBメモリの使用範囲情報を削除することが可能となる。
【実施例3】
【0068】
次に複数のファイルがUSBメモリに記憶される場合の使用範囲情報の設定処理を説明する。なお本実施例では、すでにUSBメモリにファイル「AAAAAAA」が保存されており、そのUSBメモリには使用範囲情報として、「営業部」が設定されている場合を説明する。
【0069】
各クライアント端末3から管理サーバ2に、当該クライアント端末3の操作ログ情報が、定期的にまたは所定のタイミングで送信されている。操作ログ情報は操作ログ情報検出部4で受け取る(S100)。
【0070】
操作ログ情報検出部4で受け取った操作ログ情報は、操作ログ情報記憶部5に記憶させる。操作ログ情報には、当該クライアント端末3を識別する情報、日時の情報などが含まれていることが一般的ではあるが、含まれていない場合には、それらの情報をあわせて受け取ることによって、対応づけて操作ログ情報記憶部5に記憶させる。
【0071】
また操作ログ情報検出部4は、受け取った操作ログ情報に基づいて、USBメモリへのファイルアクセスの操作であるかを監視し(S110)、当該クライアント端末3において、USBメモリへのファイルアクセスの操作が行われたかを判定する(S120)。
【0072】
USBメモリへのファイルアクセスの操作が行われていないと判定した場合には、操作ログ情報検出部4は、そのまま次の操作ログ情報を受け取るのを待機する。また、USBメモリへのファイルアクセスの操作が行われたと判定した場合には、次の操作ログ情報を受け取るのを待機するとともに、操作ログ情報抽出部6が、当該操作ログ情報を抽出する。例えば、抽出した操作ログ情報が図13であったとする。
【0073】
例えば、操作ログ情報検出部4がクライアント端末3「ABC12345678」から受け取った操作ログ情報が図13の場合、その操作内容が「ファイル書込み」であり、その保存場所の情報が「外部記憶媒体」を示す情報であるので、USBメモリへのファイルアクセスの操作が行われたと判定し、操作ログ情報抽出部6がこの操作ログ情報を抽出することとなる。
【0074】
そして外部記憶媒体使用範囲決定部9は、抽出した操作ログ情報からファイル識別情報「BBBBBBB」を抽出し、抽出したファイル識別情報に基づいてファイル権限情報記憶部7を参照することで、そのファイルのファイル権限情報として使用部署「営業部○○課○G」と使用範囲「課外秘」を取得する(S130)。なおファイル権限情報記憶部7が図8(b)のときにはそのファイルのファイル権限情報として「●●●●、▲▲▲▲、■■■■、・・・」といった当該ファイルを使用可能なユーザのユーザ識別情報を取得し、ファイル権限情報記憶部7が図8(c)のときにはそのファイルのファイル権限情報として「権限レベル4」を取得する。
【0075】
管理サーバ2は、クライアント端末3から当該USBメモリにすでに設定されている使用範囲情報を取得する。ここでは、使用範囲情報として「営業部」が設定されているので、この情報を取得する。そして取得したファイルのファイル権限情報と、取得したUSBメモリにすでに設定されている使用範囲情報とを比較し、いずれか厳しい使用範囲情報を当該USBメモリの使用範囲情報として決定する。ここでは、すでに設定されている使用部署「営業部」よりも、ファイル識別情報「BBBBBBB」のファイル権限情報である使用部署「営業部○○課○○G」使用範囲「課外秘」に基づく使用範囲情報「営業部○○課」の方が厳しいので、「営業部○○課」を新たな使用範囲情報として設定する。
【0076】
またUSBメモリの使用範囲情報として「●●●●、▲▲▲▲、■■■■、・・・」といった当該ファイルを使用可能なユーザのユーザ識別情報が設定されている場合には、ファイルのファイル権限情報のユーザ識別情報と、すでに使用範囲情報としてUSBメモリに設定されているユーザのユーザ識別情報とを比較し、重複するユーザのユーザ識別情報のみを使用範囲情報として設定する。
【0077】
更に使用範囲情報として「権限レベル2」といった権限レベルが設定されている場合には、ファイルのファイル権限情報の権限レベルと、すでに使用範囲情報としてUSBメモリに設定されている権限レベルとを比較し、より高い権限レベルを使用範囲情報として設定する。
【0078】
なお厳しい使用範囲情報とは、上述のように、取得したファイルのファイル権限情報と、すでにUSBメモリに設定されている使用範囲情報とを比較し、そのうち、制限範囲が多い、使用範囲が少ない、使用範囲に含まれているユーザの人数が少ない、あるいは使用範囲の権限レベル(監視レベル)が高い、などの条件を充足した使用範囲情報である。例えば各ファイルのファイル権限情報についてAND条件を充足する使用範囲情報がある。
【0079】
以上のようにして当該USBメモリの使用範囲情報を決定し(S140)、外部記憶媒体使用範囲設定部10が、当該クライアント端末3「ABC12345678」に対して、外部記憶媒体使用範囲決定部9で決定した当該USBメモリの使用範囲情報を、当該USBメモリに設定させる制御指示を送信する。
【0080】
この制御指示を受け取ったクライアント端末3「ABC12345678」は、制御指示におけるUSBメモリの使用範囲情報を、当該クライアント端末3「ABC12345678」に装着しているUSBメモリに書き込むことで、使用範囲情報をUSBメモリに設定する(S150)。
【0081】
以上のような処理を実行することで、USBメモリに使用範囲情報を設定することが可能となる。なお以上の処理の概略を模式的に示すのが図14である。
【0082】
上述では、USBメモリに複数のファイルが保存された場合でも、予め使用範囲情報をUSBメモリに設定する場合を説明したが、ファイルへのアクセス時にUSBメモリの使用範囲情報を決定しても良い。
【0083】
すなわち図15に示すように、USBメモリに保存されているファイル毎に判定した使用範囲情報を当該USBメモリに記憶しておき、そのうちの最も厳しい使用範囲情報をUSBメモリの使用範囲情報として用いても良い。
【0084】
なお図15のように、USBメモリに保存されているファイル毎に判定した使用範囲情報を記憶している場合、予めUSBメモリの使用範囲情報を判定し設定しておくのではなく、当該USBメモリを装着したクライアント端末3から、USBメモリに保存したファイルへのアクセスを受け付けたときに、そのアクセスした操作を検出したタイミングでUSBメモリの使用範囲情報を決定し、図5のS210乃至S240の処理を実行するようにしても良い。
【0085】
このように構成することで、ファイル毎に判定した使用範囲情報に従って設定することが可能となる。
【実施例4】
【0086】
ファイルをUSBメモリから削除した場合に、新たにそのUSBメモリの使用範囲情報を設定する場合を説明する。なお本実施例においては、当該USBメモリにファイル「AAAAAAA」、「BBBBBBB」が保存されており、図15に示す使用範囲情報がUSBメモリに設定されているとする。
【0087】
各クライアント端末3から管理サーバ2に、当該クライアント端末3の操作ログ情報が、定期的にまたは所定のタイミングで送信されている。操作ログ情報は操作ログ情報検出部4で受け取る(S100)。
【0088】
操作ログ情報検出部4で受け取った操作ログ情報は、操作ログ情報記憶部5に記憶させる。操作ログ情報には、当該クライアント端末3を識別する情報、日時の情報などが含まれていることが一般的ではあるが、含まれていない場合には、それらの情報をあわせて受け取ることによって、対応づけて操作ログ情報記憶部5に記憶させる。
【0089】
また操作ログ情報検出部4は、受け取った操作ログ情報に基づいて、USBメモリへのファイルアクセスの操作であるかを監視し(S110)、当該クライアント端末3において、USBメモリへのファイルアクセスの操作が行われたかを判定する(S120)。
【0090】
USBメモリへのファイルアクセスの操作が行われていないと判定した場合には、操作ログ情報検出部4は、そのまま次の操作ログ情報を受け取るのを待機する。また、USBメモリへのファイルアクセスの操作が行われたと判定した場合には、次の操作ログ情報を受け取るのを待機するとともに、操作ログ情報抽出部6が、当該操作ログ情報を抽出する。例えば、抽出した操作ログ情報が図16であったとする。
【0091】
例えば、操作ログ情報検出部4がクライアント端末3「ABC12345678」から受け取った操作ログ情報が図16の場合、その操作内容が「ファイル削除」であり、その保存場所の情報が「外部記憶媒体」を示す情報であるので、USBメモリへのファイルアクセスの操作が行われたと判定し、操作ログ情報抽出部6がこの操作ログ情報を抽出することとなる。
【0092】
ファイル削除の操作が行われたことを判定すると、USBメモリからそのファイルの使用範囲情報のみを削除すればよいので、外部記憶媒体使用範囲設定部10は、当該クライアント端末3「ABC12345678」に対して、USBメモリに設定してある、ファイル「BBBBBBB」の使用範囲情報の削除の制御指示を送信する。そしてその制御指示を受け取ったクライアント端末3では、当該USBメモリに設定されている(書き込まれている)、ファイル「BBBBBBB」の使用範囲情報を削除する。削除後の使用範囲情報は図17のようになる。
【0093】
このような処理によって、ファイル「BBBBBBB」の使用範囲情報が削除されることとなる。
【0094】
なおファイルごとに使用範囲情報を設定している場合には、クライアント端末3「ABC12345678」では、当該USBメモリ内のファイルの削除後の使用範囲情報として、図17に示すような削除後にUSBメモリ内に残っているファイルの使用範囲情報から最も厳しい使用範囲情報を特定し、それを新たな使用範囲情報として設定し、更新する(USBメモリに書き込む)。上述の場合では、USBメモリの使用範囲情報として、削除前までは「営業部○○課」であったのが、削除後には「営業部」に変更されることとなる。
【0095】
以上のような処理を実行することで、USBメモリに保存しているファイルが削除された場合であっても、USBメモリの使用範囲情報を適切に更新することが出来る。
【実施例5】
【0096】
上述の実施例1乃至実施例4においては、ファイルのファイル権限情報やUSBメモリの使用範囲情報として使用部署と使用範囲、使用可能ユーザ、権限レベルといった場合を説明したが、それ以外にもファイル名とユーザとを対応づけておき、さらにそのユーザごとに可能な操作を使用範囲情報として設定しても良い。例えばユーザAについてはファイル読込操作のみ、ユーザBについてはファイル書込操作のみ、ユーザCについてはファイル読込/書込操作のみ、といったようにユーザごとに可能な操作の制限を行っても良い。なおユーザのみならず、部署や権限レベルによって可能な操作の制限を行うことももちろん可能である。
【0097】
また上述の実施例1乃至実施例4においては、USBメモリに複数のファイルが保存されている場合、USBメモリの使用範囲情報として、各ファイルのもっとも厳しいファイル権限情報を設定する場合を説明したが、もっとも緩い使用範囲情報や各ファイルのファイル権限情報についてOR条件を充足する使用範囲などを使用範囲情報として設定するようにしても良い。
【0098】
例えばファイルAのファイル権限情報として使用部署が「営業部」、使用範囲が「部外秘」、ファイルBのファイル権限情報として使用部署が「総務課」、使用範囲が「課外秘」であった場合、当該USBメモリの使用範囲情報として、「営業部または総務課」として設定することも出来る。
【0099】
あるいはファイルAのファイル権限情報としてユーザ「○○○○、△△△△、□□□□」であり、ファイルBのファイル権限情報としてユーザ「●●●●、▲▲▲▲、■■■■」であった場合、当該USBメモリの使用範囲情報として、ユーザ「○○○○、△△△△、□□□□、●●●●、▲▲▲▲、■■■■」のように設定することも出来る。
【0100】
さらにファイルAのファイル権限情報として権限レベル「2」、ファイルBのファイル権限情報として権限レベル「4」であった場合、当該USBメモリの使用範囲情報として権限レベル「2」を設定することが出来る。
【0101】
このように当該USBメモリに記憶されているファイルのファイル権限情報のうち、各ファイルのファイル権限情報のOR条件を採ったものを当該USBメモリの使用範囲情報として設定するように構成しても良い。
【実施例6】
【0102】
本発明の外部記憶媒体管理システム1の各機能は、クライアント端末3、管理サーバ2において適宜、分散配置していても良い。
【0103】
例えばクライアント端末3に操作ログ情報検出部4、外部記憶媒体使用範囲決定部9、外部記憶媒体使用範囲設定部10を備えることも出来る。
【0104】
なお分散配置のバリエーションには様々なパターンがあり、如何なる配置形態であっても良い。これらの場合、クライアント端末3、管理サーバ2における処理の際に、ほかのコンピュータ端末やサーバの機能を利用する場合にはその問い合わせを当該ほかのコンピュータ端末やサーバに対して行い、その結果を受け取ることで処理に用いる。そしてその処理結果を実行することとなる。
【産業上の利用可能性】
【0105】
上述の外部記憶媒体管理システム1によって、USBメモリなどの外部記憶媒体にファイルが保存された場合に、その外部記憶媒体の使用範囲を、当該ファイルの使用範囲などに基づいて設定することが可能となる。そして、外部記憶媒体がコンピュータ端末に接続された場合に、そのユーザなどが使用範囲であるかを判定することで、仮に外部記憶媒体を紛失したとしても、それを取得した第三者が自分のコンピュータ端末でそこに記録しているファイルを使用することはできず、一方で、社員が会社から貸与されているラップトップコンピュータに外部記憶媒体を介したコピーなどを行うことは可能となる。
【0106】
このように本発明の外部記憶媒体管理システム1によれば、情報漏洩の防止と日常業務のしやすさとの両立を図ることが可能となる。
【図面の簡単な説明】
【0107】
【図1】本発明の全体の概念図である。
【図2】本発明のシステム構成の一例を示す概念図である。
【図3】管理サーバのハードウェア構成の一例を示す概念図である。
【図4】本発明の処理プロセスの一例を示すフローチャートである。
【図5】本発明の処理プロセスの一例を示すフローチャートである。
【図6】操作ログ情報の一例である。
【図7】操作ログ情報記憶部の一例である。
【図8】ファイル権限情報記憶部の一例である。
【図9】ユーザ情報記憶部の一例である。
【図10】抽出した操作ログ情報の一例である。
【図11】USBメモリの使用範囲情報の設定処理を模式的に示す図である。
【図12】操作ログ情報のほかの一例である。
【図13】操作ログ情報のほかの一例である。
【図14】実施例3のUSBメモリの使用範囲情報の設定処理を模式的に示す図である。
【図15】USBメモリに保存しているファイル毎に使用範囲情報が保存されていることを示す図である。
【図16】操作ログ情報のほかの一例である。
【図17】USBメモリに保存しているファイルが削除された後の、ファイル毎の使用範囲情報を示す図である。
【符号の説明】
【0108】
1:外部記憶媒体管理システム
2:管理サーバ
3:クライアント端末
4:操作ログ情報検出部
5:操作ログ情報記憶部
6:操作ログ情報抽出部
7:ファイル権限情報記憶部
8:ユーザ情報記憶部
9:外部記憶媒体使用範囲決定部
10:外部記憶媒体使用範囲設定部
20:演算装置
21:記憶装置
22:表示装置
23:入力装置
24:通信装置
【特許請求の範囲】
【請求項1】
外部記憶媒体に使用範囲情報を設定する外部記憶媒体管理システムであって、
前記外部記憶媒体管理システムは、
前記外部記憶媒体を装着したコンピュータ端末の操作ログ情報を取得し、前記コンピュータ端末における前記外部記憶媒体へのファイルアクセスに関する操作ログ情報を検出する操作ログ情報検出部と、
前記検出した操作ログ情報を用いて、ファイルアクセスの対象となったファイルを特定し、そのファイルに対応づけられた使用権限を示すファイル権限情報を取得し、取得したファイル権限情報に基づいて前記外部記憶媒体の使用範囲情報を決定する外部記憶媒体使用範囲決定部と、
前記決定した使用範囲情報を前記コンピュータ端末の前記外部記憶媒体に設定させる外部記憶媒体使用範囲設定部と、
を有することを特徴とする外部記憶媒体管理システム。
【請求項2】
前記外部記憶媒体を装着したコンピュータ端末は、
前記外部記憶媒体の装着を判定すると、そのコンピュータ端末のユーザ識別情報と、前記外部記憶媒体に設定された前記使用範囲情報とを用いて、前記外部記憶媒体の使用制限の内容を判定する、
ことを特徴とする請求項1に記載の外部記憶媒体管理システム。
【請求項3】
少なくとも一台以上のコンピュータ端末を、
外部記憶媒体を装着したコンピュータ端末の操作ログ情報を取得し、前記コンピュータ端末における前記外部記憶媒体へのファイルアクセスに関する操作ログ情報を検出する操作ログ情報検出部、
前記検出した操作ログ情報を用いて、ファイルアクセスの対象となったファイルを特定し、そのファイルに対応づけられた使用権限を示すファイル権限情報を取得し、取得したファイル権限情報に基づいて前記外部記憶媒体の使用範囲情報を決定する外部記憶媒体使用範囲決定部、
前記決定した使用範囲情報を前記コンピュータ端末の前記外部記憶媒体に設定させる外部記憶媒体使用範囲設定部、
として機能させることを特徴とする外部記憶媒体管理プログラム。
【請求項4】
使用範囲情報を所定の記憶領域に記憶可能な外部記憶媒体であって、
前記外部記憶媒体は、
前記外部記憶媒体に記憶されたファイルのファイル権限情報に基づいて決定された使用範囲情報が、前記外部記憶媒体を装着した第1のコンピュータ端末により前記所定の記憶領域に書き込まれ、
第2のコンピュータ端末に前記外部記憶媒体が装着されたことを判定した際に、前記書き込まれた使用範囲情報が前記第2のコンピュータ端末に読み出され、前記第2のコンピュータ端末のユーザのユーザ識別情報と前記使用範囲情報とを用いて、前記第2のコンピュータ端末において前記外部記憶媒体の使用制限の内容が判定される、
ことを特徴とする外部記憶媒体。
【請求項5】
外部記憶媒体に記憶されたファイルのファイル権限情報に基づいて決定された使用範囲情報を記憶している前記外部記憶媒体の装着を判定したコンピュータ端末を、
前記外部記憶媒体を前記コンピュータ端末に装着した際に、前記外部記憶媒体に記憶された使用範囲情報を前記コンピュータ端末に読み出し、前記コンピュータ端末のユーザのユーザ識別情報と前記使用範囲情報とを用いて、前記コンピュータ端末において前記外部記憶媒体の使用制限の内容を判定する手段、
として機能させることを特徴とするセキュリティプログラム。
【請求項1】
外部記憶媒体に使用範囲情報を設定する外部記憶媒体管理システムであって、
前記外部記憶媒体管理システムは、
前記外部記憶媒体を装着したコンピュータ端末の操作ログ情報を取得し、前記コンピュータ端末における前記外部記憶媒体へのファイルアクセスに関する操作ログ情報を検出する操作ログ情報検出部と、
前記検出した操作ログ情報を用いて、ファイルアクセスの対象となったファイルを特定し、そのファイルに対応づけられた使用権限を示すファイル権限情報を取得し、取得したファイル権限情報に基づいて前記外部記憶媒体の使用範囲情報を決定する外部記憶媒体使用範囲決定部と、
前記決定した使用範囲情報を前記コンピュータ端末の前記外部記憶媒体に設定させる外部記憶媒体使用範囲設定部と、
を有することを特徴とする外部記憶媒体管理システム。
【請求項2】
前記外部記憶媒体を装着したコンピュータ端末は、
前記外部記憶媒体の装着を判定すると、そのコンピュータ端末のユーザ識別情報と、前記外部記憶媒体に設定された前記使用範囲情報とを用いて、前記外部記憶媒体の使用制限の内容を判定する、
ことを特徴とする請求項1に記載の外部記憶媒体管理システム。
【請求項3】
少なくとも一台以上のコンピュータ端末を、
外部記憶媒体を装着したコンピュータ端末の操作ログ情報を取得し、前記コンピュータ端末における前記外部記憶媒体へのファイルアクセスに関する操作ログ情報を検出する操作ログ情報検出部、
前記検出した操作ログ情報を用いて、ファイルアクセスの対象となったファイルを特定し、そのファイルに対応づけられた使用権限を示すファイル権限情報を取得し、取得したファイル権限情報に基づいて前記外部記憶媒体の使用範囲情報を決定する外部記憶媒体使用範囲決定部、
前記決定した使用範囲情報を前記コンピュータ端末の前記外部記憶媒体に設定させる外部記憶媒体使用範囲設定部、
として機能させることを特徴とする外部記憶媒体管理プログラム。
【請求項4】
使用範囲情報を所定の記憶領域に記憶可能な外部記憶媒体であって、
前記外部記憶媒体は、
前記外部記憶媒体に記憶されたファイルのファイル権限情報に基づいて決定された使用範囲情報が、前記外部記憶媒体を装着した第1のコンピュータ端末により前記所定の記憶領域に書き込まれ、
第2のコンピュータ端末に前記外部記憶媒体が装着されたことを判定した際に、前記書き込まれた使用範囲情報が前記第2のコンピュータ端末に読み出され、前記第2のコンピュータ端末のユーザのユーザ識別情報と前記使用範囲情報とを用いて、前記第2のコンピュータ端末において前記外部記憶媒体の使用制限の内容が判定される、
ことを特徴とする外部記憶媒体。
【請求項5】
外部記憶媒体に記憶されたファイルのファイル権限情報に基づいて決定された使用範囲情報を記憶している前記外部記憶媒体の装着を判定したコンピュータ端末を、
前記外部記憶媒体を前記コンピュータ端末に装着した際に、前記外部記憶媒体に記憶された使用範囲情報を前記コンピュータ端末に読み出し、前記コンピュータ端末のユーザのユーザ識別情報と前記使用範囲情報とを用いて、前記コンピュータ端末において前記外部記憶媒体の使用制限の内容を判定する手段、
として機能させることを特徴とするセキュリティプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【公開番号】特開2010−20624(P2010−20624A)
【公開日】平成22年1月28日(2010.1.28)
【国際特許分類】
【出願番号】特願2008−181748(P2008−181748)
【出願日】平成20年7月11日(2008.7.11)
【出願人】(599108242)Sky株式会社 (257)
【Fターム(参考)】
【公開日】平成22年1月28日(2010.1.28)
【国際特許分類】
【出願日】平成20年7月11日(2008.7.11)
【出願人】(599108242)Sky株式会社 (257)
【Fターム(参考)】
[ Back to top ]