情報アクセス管理装置
【課題】データへアクセスする権限を、利用者と場所とに応じて委譲することができる情報アクセス管理装置を提供する。
【解決手段】情報アクセス管理装置8が、端末装置1から受信した利用者情報に基いて端末装置1の利用者のアクセス権限情報を出力する手段31、端末装置1の位置情報に基いて端末装置1のアクセス環境情報を出力する手段30、利用者の権限委譲に関する情報を記憶する権限委譲データ記憶手段21、アクセス権限情報とアクセス環境情報とを含みデータ記憶手段18に記憶した情報へアクセスする条件を記憶した記憶手段19、アクセス権限情報及びアクセス環境情報をこの条件と比較して端末装置1の利用者のアクセス権限を決定し、利用者が被委譲者であった場合、権限委譲データ記憶手段21の権限委譲データに基いて利用者のアクセス権限を変更し、条件に従いデータ記憶手段18の情報へのアクセスを制御する情報アクセス制御手段を備える。
【解決手段】情報アクセス管理装置8が、端末装置1から受信した利用者情報に基いて端末装置1の利用者のアクセス権限情報を出力する手段31、端末装置1の位置情報に基いて端末装置1のアクセス環境情報を出力する手段30、利用者の権限委譲に関する情報を記憶する権限委譲データ記憶手段21、アクセス権限情報とアクセス環境情報とを含みデータ記憶手段18に記憶した情報へアクセスする条件を記憶した記憶手段19、アクセス権限情報及びアクセス環境情報をこの条件と比較して端末装置1の利用者のアクセス権限を決定し、利用者が被委譲者であった場合、権限委譲データ記憶手段21の権限委譲データに基いて利用者のアクセス権限を変更し、条件に従いデータ記憶手段18の情報へのアクセスを制御する情報アクセス制御手段を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、例えば文書管理システム及び情報アクセス制御技術に用いて好適な情報アクセス管理装置に関する。
【背景技術】
【0002】
店舗やオフィス等の企業内では、正規従業員、一時従業員、パートタイム従業員やアルバイト、及び協力社外関係者の従業員が勤務しており、商品の価格や在庫状況等の経営データや、顧客や従業員の個人データは、企業内に設けられた端末装置を用いてさまざまな種別の従業員によって閲覧される。企業内の場所によって、取り扱い可能なデータの種別は異なる。例えば個人データは、企業内の決められた領域にある端末装置により閲覧されるべきものであり、このデータは、同じ企業内であっても、すべての従業員が出入り自由なスペースに設けられた端末装置により閲覧されるべきものではない。個人データなどにアクセス可能な広範な権限を有する従業員にとっても、そのデータを閲覧してよい場所と閲覧すべきでない場所とがある。すなわち、データへのアクセス権限は、従業員の種別と場所とによって異なり、場所によって取り扱い可能なデータの種類は異なるようにする必要がある。
【0003】
近年、不正を防止し、かつパートタイム従業員らに対して、それぞれのモチベーションを向上させるために、何らかの権限を与える管理手法が導入されている。例えば、出社する日時、勤務場所に応じて、顧客データへのアクセスなどの管理権限を限定的に付与することにより、正社員と同じ業務を実施してもらい、パートタイム従業員の活躍の場を広げようというのである。
【0004】
従来、不適切な場所からの管理文書へのアクセスの防止や、認証条件の簡便な設定を可能とする文書管理システムが提案されている(特許文献1参照)。特許文献1記載の文書管理システムは、GPSなどの位置情報取得の手段によって文書利用者の位置を測定し、その位置情報から利用者自身の場所を推測する。
【特許文献1】特開2006−195884号公報(図1)
【発明の開示】
【発明が解決しようとする課題】
【0005】
業務を効果的かつ効率よく実施するために、一時的にデータに対する権限を昇格させて取り扱わせることも行われる。遠隔会議などにより遠隔者が作成したデータに対して変更や修正をすることなどもある。この場合、重要なデータは閲覧のみであり編集はできないので業務効率が低下する。また、データヘアクセスする権限を有する者が、長期不在である場合はデータが必要になったときに、その権限を有する者以外の者がそのデータへまったくアクセスできなくなる。また、アクセス権限を委譲する場合も、委譲する先の利用者がいる場所についても考慮する必要がある。
【0006】
特許文献1に記載の文書管理システムは、アクセス権限が固定的に付与されており、場所ごとに利用者の権限を変更するものではないといえる。
【0007】
そこで、本発明は、上記の課題に鑑み、データへアクセスする権限を、利用者と場所とに応じて委譲することができる情報アクセス管理装置を提供すること目的とする。
【課題を解決するための手段】
【0008】
このような課題を解決するため、本発明の一態様によれば、情報を記憶するデータ記憶手段と、端末装置から利用者情報と、前記端末装置の位置情報と、利用者の権限が委譲される被委譲者情報を含む権限委譲データを受信する受信手段と、前記利用者情報に基いて前記端末装置の利用者のアクセス権限情報を出力する利用者調査手段と、前記位置情報に基いて前記端末装置のアクセス環境情報を出力するアクセス環境調査手段と、前記権限委譲データに基いて前記利用者の権限委譲に関する情報を記憶する権限委譲データ記憶手段と、少なくとも前記アクセス権限情報と前記アクセス環境情報とを含み前記データ記憶手段に記憶した情報へアクセスするための条件を記憶したセキュリティポリシ記憶手段と、前記アクセス権限情報と、前記アクセス環境情報とを、前記セキュリティポリシ記憶手段に記憶した前記条件と比較して前記端末装置の利用者のアクセス権限を決定し、前記利用者が前記権限委譲データ記憶手段に記憶された被委譲者であった場合には、権限委譲データ記憶手段に記憶された権限委譲データに基いて利用者のアクセス権限を変更し、前記条件に従って前記データ記憶手段に記憶した情報へのアクセスを制御する情報アクセス制御手段と、を備えたことを特徴とする情報アクセス管理装置が提供される。
【発明の効果】
【0009】
本発明によれば、データへアクセスする権限を、利用者と場所とに応じて委譲することができる。
【発明を実施するための最良の形態】
【0010】
以下、本発明の実施の形態に係る情報アクセス管理装置について、図1乃至図15を参照しながら説明する。尚、各図において同一箇所については同一の符号を付すとともに、重複した説明は省略する。
【0011】
(第1の実施形態)
図1は本発明の第1の実施形態に係る情報管理システムの構成図である。本実施形態に係る情報管理システムは管理するデータとして文書データを取扱い、利用者端末装置1と、この利用者端末装置1と同じ構成を有する利用者端末装置6と、これらの利用者端末装置1、6に接続されたネットワーク7と、このネットワーク7を介して利用者端末装置1、6との間で文書データの入出力のアクセス権限を制御する情報アクセス管理装置8と、を備えている。
【0012】
利用者端末装置1は、情報アクセス管理装置8との間で文書データの出力の要求やアクセス権限の委譲の要求に関するデータを送受信する情報処理端末2と、利用者端末装置1の操作者が正規の利用者であることを認識する利用者認識部3と、利用者端末装置1の存在する位置情報を無線により取得する位置センサ部4と、利用者端末装置1に固有な情報を鍵情報として耐タンパ性を有するメモリ領域に保持するとともに、利用者端末装置1が正規の端末で安全であることを管理する鍵管理部5とを搭載している。
【0013】
利用者認識部3には、ICカードないしは無線タグ等のセキュリティチップやRFモジュールが用いられており、セキュリティチップと利用者自身に付けられた無線タグとによって、利用者端末装置1及び利用者が対にされている。利用者が端末の近くにいる場合には、利用者認識部3から送信された利用者認識信号を、利用者自身に付けられた無線タグが受信すると、無線タグから返信信号が送信され、この返信信号を利用者認識部3が受信することにより、利用者が予め設定された正規な利用者かどうかを利用者認識部3は判断する。正規な利用者である場合は、その利用者はこの端末を操作することができ、利用者がこの端末から離れた場合には、利用者認識部3は、利用者自身に付けられた無線タグからの返信信号を受信することができなくなるため、端末に対するすべての操作がロックされ、端末の操作が使用不能にされる。利用者認識部3は利用者ID(利用者情報)を出力する利用者情報出力手段としても機能する。
【0014】
位置センサ部4は位置情報出力手段として機能する。位置センサ部4が取得する位置情報について述べると、利用者端末装置1は、図2に示すように、利用者が移動可能な範囲である端末ゾーン9内に設けられた位置センサアンテナ10、11、12、13から送信されるそれぞれの電波に含まれるゾーンIDを受信し、このゾーンIDを用いて利用者の位置を計測している。電波は、ゾーン信号発信器9aから発信された信号をゾーンIDとして含み、また、それぞれの位置センサアンテナ10〜13から、一定のゾーン14、15、16、17を保ちつつ送信されている。位置センサ部4は、いずれかの位置センサアンテナ10〜13から発信される電波を受信し、これらの電波に含まれるゾーンIDによって、利用者端末装置1の置かれているゾーンがどのゾーンであるのかを判断する。この例では、各ゾーンを示すIDが、位置センサアンテナ10〜13から利用者端末装置1へ送信される。なお、利用者端末装置1が利用者端末装置1、6を表す情報を送信し、利用者端末装置1、6の近くにある位置センサアンテナがこの情報を受信するようにして、利用者端末装置1、6の置かれているゾーンを判断するようにもできる。
【0015】
また、位置情報出力手段としては、利用者端末装置1にGPS(Global Positioning Systems)機能を搭載し、GPS衛星から受信した信号によって利用者端末装置1の位置情報を算出し出力するようにすることもできる。また、ネットワークにおけるIPアドレスを取得し出力する方法や、無線LANにおけるホットスポット(登録商標)情報を取得し出力する方法を採用しても良い。
【0016】
鍵管理部5の機能は、CPU(中央演算装置)、ROM、RAM、IC、LSI等によって実現される。そして、利用者端末装置1が正規の端末であることを証明する端末固有の鍵と、端末内のプログラムの管理値を記憶しており、要求に応じてこれらを出力する機能を持つ。
【0017】
これにより、利用者認識部3及び位置センサ部4は、ネットワーク7からデータの要求を受信した場合には、その要求された情報、例えば、利用者ID(利用者情報)、ゾーンID(位置情報)、固有鍵情報を情報アクセス管理装置8に送信する。利用者端末装置1、6が置かれているゾーン(位置)は、共有空間、安全空間、公共空間及び準安全空間のいずれかであることが情報アクセス管理装置8によって把握される。
【0018】
また、図1の情報アクセス管理装置8は、文書データ(情報)を記憶する文書データベース18(データ記憶手段)と、この文書データに対する利用者毎のアクセス権限(アクセス権限情報)及びゾーン毎のアクセス権限(アクセス環境情報)を含み、文書データへアクセスするための条件を記述したセキュリティポリシデータを記憶するポリシデータ保持部(セキュリティポリシ記憶手段)19と、利用者端末装置1から送信された利用者ID(利用者情報)とゾーンID(位置情報)とを含むアクセス要求を受信するアクセス受付部20と、複数の利用者の間で文書データに関する権限を委譲するための更新可能な権限委譲データを記憶する権限委譲データ記憶部21(権限委譲データ記憶手段)と、利用者端末装置1の利用者の権限を決定して文書アクセスの指示を出力するとともに、権限委譲データに沿って利用者端末装置1の利用者の文書データへのアクセス権限を変更するポリシ比較判定部22と、文書データベース18に保持された文書データへの入出力操作を制御する文書入出力部23と、端末、人及び場所の各要素に基づいて出力の許可を与えようとする文書データの種別や文書データの印刷又は保存などの文書データへの操作に関する権限を決定するための認証データを保持する認証データ保持部24と、CPU25、RAM26、入出力機器27及びROM28からなり情報アクセス管理装置8の全体をコントロールするデータ処理ユニット29と、を備える。アクセス受付部20、ポリシ比較判定部22は利用者端末装置6についての処理をも行う。
【0019】
これにより、アクセス受付部20においてネットワーク7とのインターフェース処理が行われ、情報アクセス管理装置8はこのアクセス受付部20を通じて利用者端末装置1、6と交信可能になっている。
【0020】
これらに加えて、情報アクセス管理装置8には、利用者端末装置1の位置を検査してこの利用者端末装置1のアクセス環境を表すZONE値(アクセス環境情報)を出力するアクセス環境調査部30(アクセス環境調査手段)と、利用者端末装置1、6から送信された利用者ID(利用者情報)を用いて利用者端末装置1、6の利用者が正規の利用者であるか否かを調べて利用者が正規であるかどうかを表すIDLV値(アクセス権限情報)を出力する利用者調査部31(利用者調査手段)と、アクセス要求のあった時間又は時刻を調べて文書データベース18へのアクセス時間又はアクセス時刻を表すTIME値を出力するアクセス時間調査部32と、アクセスしている利用者端末装置が安全か否かを調査してその利用者端末装置が安全かどうかを表すTERM値を出力するアクセス端末調査部33と、IDLV値、TERM値、TIME値、ZONE値といったデータからなり、アクセス制御の基にされるセキュア値を生成するアクセス権生成部34とが設けられている。
【0021】
このセキュア値は、情報アクセス管理装置8のアクセスをコントロールするためのデータでもある。セキュア値を表すデータは、例えば図3の符号35で表されるような構造を有し、IDLV値36、TERM値37、TIME値38、ZONE値39の各データからなる。これらのデータの詳細については、図4にIDLV値を、図5にTERM値を、図6にTIME値を、図7にZONE値をそれぞれ示す。
【0022】
図4のIDLV値(アクセス権限情報)については、複数のIDLV値に応じて権限レベルが記憶されている。権限レベルに応じてそれぞれ、文書データの情報種別、及び文書データへの操作の権限の可否データが記憶されている。自分が文書データのオーナーである場合には、その文書データの編集が可能になるように設定される。
【0023】
図5のTERM値(アクセス端末情報)によって、各端末装置は、正規の利用者が特定されて安全であると判断された正規端末装置や、複数の利用者に利用されうるが安全であると判断された正規端末装置等に分類されている。
【0024】
図6のTIME値(アクセス時間情報)によって、アクセスされた時刻が、予め計画されている時間もしくは時間帯内であるか、又は計画外の時間もしくは時間帯であるかが判断される。
【0025】
図7のZONE値(アクセス環境情報)については、空間の種別を店舗の例により説明する。複数のZONE値に対応してそれぞれの場所(アクセス環境)がアクセス環境記憶手段に定義されている。アクセス環境調査部30は、それぞれの場所にて利用者端末装置1、6が取得した位置情報に対応するZONE値4〜0のうちのいずれかのZONE値をアクセス環境記憶手段から読み出して、読み出したZONE値を出力する。
【0026】
なお、本実施の形態では、情報アクセス管理装置8が位置センサ部4によって取得された位置情報をそのままアクセス環境情報として出力しており、位置情報をアクセス環境情報として同じデータのまま出力しているが、位置情報と異なるデータをアクセス環境情報として出力しても良い。例えばGPS機能を利用した場合は、GPS衛星から受信した信号によって緯度経度からなる位置情報を利用者端末装置1又は6が出力し、また、アクセス環境記憶手段が緯度経度を含む複数の位置情報とこれらの位置情報に対応づけされたアクセス環境情報とを記憶し、アクセス環境調査部30がこの対応づけされたデータを読み出すことによって、緯度経度からなる位置情報に対応するアクセス環境情報「1〜4」を出力することもできる。
【0027】
ZONE値「4」に対応するアクセス環境としての安全空間は事務所であり、この事務所では、売り上げデータや、商品の単価、原価、粗利等の情報や、経理データ等が取り扱われており、顧客からの受注業務も行われている。安全空間は社内の特定の人物のみ立ち入りを許される場所である。ZONE値「3」に対応する準安全空間はバックヤードであり、バックヤードでは商品の加工や商品への値札の張り替え等の作業が行われる。この準安全空間への立ち入りを社内従業員は許されている。ZONE値「2」に対応する共有空間は、設計情報や商品価格を社外関係者に説明するための打ち合わせスペースや休憩所である。ZONE値「1」に対応する公共空間は不特定多数の人物がいるような売り場である。このように複数の位置情報に対応して複数のセキュリティレベルが記憶可能であるから、利用者のアクセス場所に基づいたセキュリティレベルを複数設定可能となる。
【0028】
IDLV値データは、利用者端末装置1又は6から送信された利用者IDをキーとして認証データ保持部24がアクセスされることにより得られる。TERM値データとTIME値データとは、アクセス時間調査部32とアクセス端末調査部33において調査されたそれぞれの値と比較されることにより得られる。従って、本実施形態に係る情報アクセス管理装置8は、IDLV値、TERM値、ZONE値の各データに基づいて、人、端末及び場所に応じた文書データへのアクセス権限を変更可能になっている。
【0029】
位置情報は、利用者端末装置1、6から送信されてくるものである。この位置情報を得る動作を図8のフローチャートに示す。つまり、利用者端末装置1は、情報アクセス管理装置8からの位置要求信号を受信すると(ステップA1)、Yesルートを通り、位置センサ部4を駆動して(ステップA2)、位置センサ部4が正常であるかどうかを判定する(ステップA3)。位置センサ部4が正常でない場合にはNoルートを通り、利用者端末装置1はゾーンIDを0に設定し(ステップA4)、位置センサ部4が正常である場合にはYesルートを通り、利用者端末装置1はゾーン信号を受信する(ステップA5)。利用者端末装置1は、そのゾーン信号の中に含まれるゾーンIDから、自身がどのような空間に存在しているかを判別して(ステップA6)、ゾーンIDに1〜4を設定する(ステップA7)。利用者端末装置1の位置センサ部4は、位置情報としてこのゾーンIDを情報アクセス管理装置8に送信する(ステップA8)。利用者端末装置6が位置情報を得る動作も図8のフローチャートの例と同じである。
【0030】
情報アクセス管理装置8は、利用者端末装置1、6から送信されたゾーンIDを受信すると、ゾーンID(位置情報)をもとにZONE値(アクセス環境情報)を取得しセキュア値を構成するデータの一つに設定する。
【0031】
また、認証データ保持部24は、図9に示すような構成の認証データを記憶している。この認証データは、エントリキーである利用者ID40、元々保有するアクセス権限のレベルを示す権限レベル41、通常利用者が利用する時間帯を示す利用許可時間帯42、利用者が利用登録した端末装置に固有な値を示す端末鍵43、誰かに対して権限を委譲する状態になっているか否かをフラグによって示す権限委譲有無44、及び権限を委譲するときの相手に与える権限を示す委譲レベル45からなる。利用者端末装置1又は6からの利用者IDをキーとして、権限レベル41、利用許可時間帯42、端末鍵43、権限委譲有無44及び委譲レベル45の各内容を表すデータが入出力される。
【0032】
認証データ保持部24は、利用者の文書データへのアクセス権限を決めており、例えば文書データの種別、印刷や保存などの操作を決めている。しかし、アクセスする端末の安全性や、環境の安全性は、考慮されていないので、これらは、本実施形態に係る情報アクセス管理装置8によってカバーされることになる。得られたIDLV値(アクセス権限情報)、TERM値(アクセス端末情報)、TIME値(アクセス時間情報)、ZONE値(アクセス環境情報)はアクセス権生成部34に加えられ、これらの値はセキュア値として取り扱われる。
【0033】
また、利用者が、委譲処理を要求するために、権限を委譲するためのコマンドを発行した場合には、アクセス権生成部34は、認証データ保持部24の権限委譲有無44に権限委譲フラグとして1を設定するとともに、認証データ保持部24へ委譲レベル45を入力する。また、権限の委譲処理が発生した場合には権限委譲データ記憶部21も更新される。
【0034】
権限委譲データ記憶部21に記憶されるデータは、図10に示すように、委譲者を示す委譲者ID46、委譲者の委譲レベルを示す委譲レベル47、権限の委譲先を示す被委譲者ID48(被委譲者情報)、被委譲者がどのようなアクセス環境にいる場合に委譲された権限を行使できるのかを決めるためのポリシデータテーブルのポリシ番号を示す要求ポリシ49、権限を委譲する日時を示す委譲日50、委譲時間51といった内容を含む。権限委譲データ記憶部21に対して利用者端末装置1、6からのアクセスがあった場合には、利用者IDをキーとして権限委譲データ記憶部21内を権限委譲データが検索され、検索された権限委譲データがポリシ比較判定部22に現れる。
【0035】
ポリシデータ保持部19は、セキュア値35(図3)の取り得る値に対して、文書データヘのアクセスや、データの印刷や保存などの操作の権限を定めたポリシデータを対応づけて記憶するものであり、このようなポリシは、ポリシデータ保持部19においてポリシデータテーブルとして予め作成されている。ポリシデータテーブルの一例を図11に示す。本実施形態に係る情報アクセス管理装置8は、300種類のポリシデータを記憶しており、これによって、最大300個のポリシを設定することが可能である。一例としてセキュア値がIDLV=4、TERM=3、ZONE=4、TIME=2を示す場合には、ポリシデータテーブルの中でポリシデータがポリシ比較判定部22によって探索されてポリシ番号1が得られる。このポリシ番号1が示すポリシは、利用者が安全な場所におり、特定された端末を利用していることを表すため、その利用者から文書データへのアクセスがあった場合には、その利用者に予め付与された権限の全てが利用され得る。なお、権限委譲が無い限り、利用者に与えられた本来の権限を越えることはない。
【0036】
ポリシ比較判定部22は、アクセス権生成部34にて得られたセキュア値とポリシデータ保持部19からのデータとを比較して、利用者の権限を決定し、文書入出力部23に対してポリシにあった文書アクセスを行うことの指示を与える。また、権限委譲データ記憶部21の権限委譲データも考慮される。この権限委譲データの示す内容が、利用者が権限を委譲されており、かつ委譲者の指定するポリシに沿った端末環境を構築しているものである場合、アクセス権限の昇格などが行われる。
【0037】
文書入出力部23は、アクセス権限のある文書データの要求に対して文書データベース18から文書データを取り出す。その他にも、文書入出力部23は、ポリシデータ保持部19のセキュリティポリシデータに準拠した印刷や保存などの文書データへの操作を制限するような、文書データの加工を行う機能をも有する。印刷制限や保存制限は、文書データのプロパティを設定することにより実現でき、これらの制限の設定は最近の電子文書フォーマット(アドビ社のアクロバット(登録商標)形式等)のファイルを閲覧するソフトウェアには既に用意されている機能である。最終的に得られた文書データは、アクセス受付部20を通してアクセス元の利用者端末装置1又は6に送られることにより処理が完了する。
【0038】
アクセス権生成部34、ポリシ比較判定部22及び文書入出力部23は、アクセス権限と、アクセス環境とを、ポリシデータ保持部19に記憶された条件としてのセキュリティポリシと比較して利用者端末装置1、6の利用者のアクセス権限を決定し、利用者が権限委譲データ記憶部21に記憶された被委譲者であった場合には、権限委譲データ記憶部21に記憶された権限委譲データに基いて利用者のアクセス権限を変更し、この条件に従って文書データベース18に記憶された情報へのアクセスを制御する情報アクセス制御手段として機能する。
【0039】
このような構成の情報アクセス管理装置8における文書データへのアクセスについての詳細を説明する。
【0040】
図12に、利用者端末装置1を利用した通常アクセスのシーケンスを示す。利用者端末装置1は、情報アクセス管理装置8に対してデータ要求を送信すると(ステップB1)、情報アクセス管理装置8は、利用者確認要求を利用者端末装置1に対して送信する(ステップB2)。
【0041】
利用者端末装置1が情報アクセス管理装置8に対して利用者認識部3からの利用者ID(利用者情報)を送信すると(ステップB3)、情報アクセス管理装置8の利用者調査部31は、認証データ保持部24に記憶した認証データを参照し、この利用者IDの有無を判定する(ステップB4)。この利用者IDのエントリキーが認証データにある場合には、情報アクセス管理装置8は、利用者調査部31からの権限レベル値41(IDLV値)をアクセス権生成部34に送信する(ステップB5)。情報アクセス管理装置8はアクセス時刻が認証データで許可された時間帯内であるか否かを判定し(ステップB6)、アクセス時刻が許可時間帯内である場合には、TIME値をアクセス権生成部34に送信する(ステップB7)。そして情報アクセス管理装置8は端末確認要求を利用者端末装置1に対して送信する(ステップB8)。
【0042】
利用者端末装置1が情報アクセス管理装置8に対して鍵管理モジュール値を送信すると(ステップB9)、情報アクセス管理装置8は、認証データを参照し、この鍵管理モジュール値についての端末鍵(端末鍵証明書)の有無を判定する(ステップB10)。端末鍵が認証データにある場合には、情報アクセス管理装置8はTERM値をアクセス権生成部34に送信し(ステップB11)、位置情報要求を利用者端末装置1に対して送信する(ステップB12)。
【0043】
利用者端末装置1が情報アクセス管理装置8に対して、位置センサ部4から出力されたゾーンID(位置情報)を送信すると(ステップB13)、情報アクセス管理装置8のアクセス環境調査部30は、受信したゾーンIDについてのZONE値(アクセス環境情報)をアクセス権生成部34に送信する(ステップB14)。
【0044】
アクセス権生成部34は、利用者調査部31によって出力されたIDLV値(アクセス権限情報)、アクセス環境調査部30によって出力されたZONE値(アクセス環境情報)、TIME値(アクセス時間情報)、及びTERM値(アクセス端末情報)から、セキュア値を設定する。
【0045】
さらに、アクセス権生成部34は、ポリシ比較判定部22に対して、セキュア値を送信し(ステップB15)、ポリシ比較判定部22は、ポリシとして設定された値ないしはポリシデータであるポリシ設定値をポリシデータ保持部19から読み出して、セキュア値とポリシデータとを比較し利用者の権限を判定する(ステップB16)。すなわち、IDLV値(アクセス権限情報)と、ZONE値(アクセス環境情報)とに一致するセキュリティポリシデータをポリシデータ保持部19に記憶しているか否かをポリシ比較判定部22は判定する。同じIDLV値であっても、ZONE値によってポリシデータは異なる。ポリシ比較判定部22は、文書入出力部23に対してファイル入出力制御を送信する(ステップB17)。このように、利用者、端末、場所及び時間のそれぞれが、ポリシと比較され、データの出力が制御される。
【0046】
文書入出力部23は、文書データベース18に保持された文書データを参照し、この文書データをポリシに併せて加工し(ステップB18)、この加工された文書データを利用者端末装置1に対して送信する(ステップB19)。
【0047】
具体例について述べると、経理部門に属する利用者は、経理データを、ZONE値「4」の安全空間ゾーンの経理部署に設けられた端末を用いれば閲覧、編集、保存、印刷の全操作をすることができるが、同じ利用者でも、同じデータを、ZONE値「3」の準安全空間ゾーンに設けられた端末を用いると、閲覧しかすることができず、ZONE値「2」の共有空間ゾーンの売り場に設けられた端末を用いると閲覧もできないようにすることができる。換言すれば、複数のアクセス環境に応じて許可する閲覧、編集、保存、印刷等のアクセス操作を段階的に設定しておくことで、本来全ての操作に対してアクセス権限を備えた利用者であっても、情報セキュリティ上のレベルが低いアクセス環境によっては閲覧操作のみが許可され、レベルが中間のアクセス環境によっては閲覧操作と印刷操作が許可され、レベルが高いアクセス環境によっては全ての操作が許可されるように、アクセス環境の情報セキュリティ上のレベルに応じてアクセス操作が段階的に制限されるように、文書データないしは情報の管理を行うことが可能になる。経理データへのアクセス権限は、変更可能である。すなわち、本発明の情報管理システムは、権限を委譲することができる。また、経理データへのアクセスは、経理部門に属する者以外の者に対して許可されていない。従って、利用者からの文書の出力要求に対して、必ずしも要求通りのデータが得られるとは限らないといえる。
【0048】
次に、権限を委譲しようとする者(権限の委譲者)が、利用者端末装置1を用いて、利用者端末装置6の利用者である権限を委譲される者(被委譲者)に対して権限を委譲する場合の処理について詳述する。図13は本実施形態に係る情報管理システムの権限委譲時におけるデータアクセス方法を説明するためのシーケンスを示す図である。
【0049】
利用者端末装置1が、権限委譲要求を情報アクセス管理装置8に対して送信すると(ステップC1)、情報アクセス管理装置8は、アクセス時刻、利用者ID、端末状況及び場所等についての判定処理を行い(ステップC2)、セキュア値を算出するためのアクセス環境の各値を調査する(ステップC3)。
【0050】
アクセス権生成部34は、セキュア値を生成し、このセキュア値をポリシ比較判定部22に対して送信し(ステップC4)、ポリシ比較判定部22は、ポリシ設定値を読み出して、これらのセキュア値とポリシデータとを比較して利用者の権限を判定する(ステップC5)。この判定では、ポリシ比較判定部22は、利用者端末装置6の利用者である被委譲者への権限の委譲が、セキュリティポリシに適合しているか否かを判定し(ステップC6)、この権限の委譲がセキュリティポリシに適合している場合には、アクセス受付部20を介して利用者端末装置1に対して、委譲許可通知を送信する(ステップC7)。
【0051】
委譲許可通知を受信した利用者端末装置1は、利用者に対して、委譲レベル、被委譲者ID(被委譲者情報)、要求ポリシ、委譲日、委譲時間などの権限委譲データの入力を許容し、入力された権限委譲データを利用者IDとともに情報アクセス管理装置8に対して送信する(ステップC8)。情報アクセス管理装置8は、受信した利用者IDと権限委譲データに基づいて、権限委譲データ記憶部21(権限委譲データ記憶手段)に記憶した権限委譲データを更新する(ステップC9)。利用者IDは委譲者IDとして記憶される。そして処理完了通知を利用者端末装置1に対して送信する(ステップC10)。
【0052】
権限委譲処理が完了した状態において、利用者端末装置6の利用者である権限の被委譲者が、情報アクセス管理装置8に対してデータ要求を送信すると(ステップC11)、情報アクセス管理装置8は、認証データの参照により、環境についての判定処理を行なう(ステップC12)。ここで、情報アクセス管理装置8は、権限委譲データ記憶部21の被委譲者ID48を調査し、被委譲者である利用者端末装置6の利用者IDがあった場合には、権限委譲があったと判断し、ポリシ比較判定部22へも通知される。情報アクセス管理装置8は、アクセス環境の各値を調査し(ステップC13)、アクセス権生成部34は、セキュア値を生成しこのセキュア値をポリシ比較判定部22に送信する(ステップC14)。ポリシ比較判定部22は、ポリシ設定値の読み出しにより、利用者の権限を判定し(ステップC15)、委譲データの読み出しにより、権限委譲処理の続行について判定を行なう(ステップC16)。ポリシ比較判定部22は、権限委譲データ記憶部21の要求ポリシ49に記憶された要求ポリシに基づいて権限を委譲すると判定すると、アクセス権限を権限委譲データ記憶部21の委譲レベル47に記憶された委譲レベルに変更するとともに、文書入出力部23に対してファイル入出力制御を送信する(ステップC17)。文書入出力部23は、文書データベース18の文書データを参照し、この文書データをポリシに併せて加工し(ステップC18)、この加工された文書データを利用者端末装置6に対して送信する(ステップC19)。このように、権限の委譲者は利用者端末装置1を用いて、利用者端末装置6を利用する被委譲者に対して権限を委譲することができる。従って、本発明の情報管理システムは、所望のデータへのアクセス権限を、場所と人とに応じて移譲することができるといえる。
【0053】
このようにして、本発明によれば、利用者及び端末装置の安全性と周囲環境の安全性とが考慮された文書情報へのアクセス制御を、利用者に意識させずに自動的に実施することが可能になる。また、権限の委譲を安全にかつ効果的に行うことができる。権限が与えられた利用者は、セキュリティポリシにしたがった場所でのみ権限を行使することができるので、その利用者の不注意による情報の漏えいが防止される。
【0054】
また、本発明によれば、アクセス権を有する者であってもゾーンによっては文書へのアクセスが禁止されるため、利用者がアクセスする場所に応じてアクセスを禁止し、あるいはアクセスを制限することができる。従って、店舗など、不特定多数の人が存在する場所など、場所に応じたセキュリティの管理が行えるようになる。
【0055】
(第2の実施形態)
情報アクセス管理装置8が人及び場所に応じて利用者端末装置1又は6に対して文書アクセスを許可した場合でも、社内従業員が、協力関係にある会社の従業員と商品について打ち合わせることがある。この場合は、社内従業員は、その商品についての全情報のうちの原価情報を協力会社の従業員に対して閲覧させることができるが、その商品の取り扱い手数料の情報をその従業員に対して閲覧させることはできない。本発明の第2の実施形態に係る情報アクセス管理装置は、例えば打ち合わせの場所において、データシートに記載される複数のデータ項目のうちの一部のデータ項目をマスクするようにしている。
【0056】
以下に、本発明の第2の実施形態に係る情報管理システムを図14を用いて説明する。
【0057】
図14は本発明の第2の実施形態に係る情報管理システムの構成図である。本実施形態に係る情報管理システムは、利用者端末装置1、6と、利用者端末装置1、6のそれぞれと接続されたネットワーク7と、これらの利用者端末装置1、6及びネットワーク7に接続された情報アクセス管理装置52とを備えている。図14に示すもののうちの上述した符号と同じ符号を有するものは第1の実施形態において説明したものと同じである。また、利用者端末装置1、6についての位置計測の方法も第1の実施形態でのそれらの位置計測の方法と同じである。
【0058】
本実施形態に係る情報アクセス管理装置52には、文書入出力部23から出力される文書データの内容を検査して、セキュリティに反している内容を含む文書に対してマスク処理を行うマスク処理部53が設けられており、このマスク処理された文書がアクセス受付部20に入力される。
【0059】
また、本実施形態に係る情報アクセス管理装置52も、データ処理ユニット29によって全体をコントロールされて、ネットワーク7とのインターフェース処理を行うアクセス受付部20を通じて利用者端末装置1、6と交信可能にされている。これにより、情報アクセス管理装置52においては、アクセス環境調査部30が利用者端末装置1、6の位置を検査してZONE値を出力し、利用者調査部31は利用者端末装置1、6から送信された利用者ID(利用者情報)を用いて利用者が正規利用者であるかを調べてIDLV値を出力し、アクセス時間調査部32はアクセス要求のあった時刻を調べてTIME値を出力し、アクセス端末調査部33はアクセスしている端末が安全か否かを調査してTERM値を出力し、アクセス権生成部34はIDLV値、TERM値、TIME値、ZONE値等、アクセス制御の基になるセキュア値を生成する。本実施形態に係る情報アクセス管理装置52によるセキュア値の生成方法も第1の実施形態におけるその方法と同じである。
【0060】
本実施の形態でも、アクセス権生成部34、ポリシ比較判定部22及び文書入出力部23によって情報アクセス制御手段の機能が実現する。情報アクセス管理装置52は、位置情報と異なるデータをアクセス環境情報として出力しても良い。利用者端末装置1や6がGPS機能を利用した場合は、GPS衛星から受信した信号によって緯度経度からなる位置情報を利用者端末装置1又は6が出力し、アクセス環境調査部30が、緯度経度からなる位置情報に対応するアクセス環境情報「1〜4」を出力することができる。
【0061】
また、認証データ保持部24に記憶されるデータも第1の実施形態の例と同じである。すなわち、認証データは、利用者ID、元々保有するアクセス権限のレベルを示す権限レベル、通常の利用者が利用する時間帯を示す利用許可時間帯、利用者が利用の登録をした端末装置に固有な値を示す端末鍵、誰かに対して権限を委譲する状態になっているか否かを示す権限委譲有無、権限を委譲するときの相手に与える権限を示す委譲レベルからできている。利用者端末装置1又は6からの利用者IDをキーとして、権限レベル、利用許可時間帯、端末鍵、権限委譲有無及び委譲レベルの各内容を表すデータが入出力される。
【0062】
認証データ保持部24においても利用者の文書情報へのアクセス権限が決められており、文書の種別、印刷や保存などの操作が決められているが、アクセスする端末の安全性や、環境の安全性については考慮されていないので、やはり、本実施形態に係る情報管理システムはこれらをカバーすることになる。得られたIDLV値(アクセス権限情報)、TERM値(アクセス端末情報)、TIME値(アクセス時間情報)、ZONE値(アクセス環境情報)はアクセス権生成部34に加えられ、これらの値はセキュア値として取り扱われる。
【0063】
また、利用者が権限を委譲するためのコマンドを発行した場合には、アクセス権生成部34は、認証データ保持部24に権限委譲フラグをたてるとともに委譲レベルを入力する。また、権限委譲処理が発生した場合には権限委譲データ記憶部21の権限委譲データも更新される。権限委譲データ記憶部21に対して利用者端末装置1、6からのアクセスがあった場合には、利用者IDをキーとして権限委譲データ記憶部21内を権限委譲データが検索され、検索された権限委譲データがポリシ比較判定部22に現れる。
【0064】
ポリシデータ保持部19に記憶されたポリシデータにより、セキュア値の取り得る値に対して、文書データヘのアクセスや、データの印刷や保存などの操作の権限が定められ、本実施形態においても最大300ポリシを設定することが可能である。セキュア値がIDLV=4、TERM=3、ZONE=4、TIME=2を示すときには、安全な場所で、特定された端末を利用していると判断されるので、その利用者の権限の全てが利用できるようにされている。本実施形態に係る情報管理システムにおいても、権限委譲が無い限り、利用者本来の権限を越えることはないようにされている。情報アクセス管理装置52も、ポリシデータ保持部19に予めポリシデータテーブルとして作成されたポリシデータにしたがう。
【0065】
ポリシ比較判定部22は、アクセス権生成部34にて得られたセキュア値と、ポリシデータ保持部19から読み出されたデータとを比較して利用者の権限を決定し、文書入出力部23にポリシにあった文書アクセスを行うことの指示を与える。また、情報アクセス管理装置52は、権限委譲データ記憶部21をも考慮している。利用者が権限を委譲されており、かつ委譲者の指定するポリシに沿った端末環境が構築されている場合には、アクセス権限の昇格などが行われる。文書入出力部23はアクセス権限のある文書の要求に対して文書データベース18から文書データを取り出すが、その他にも、ポリシデータ保持部19のセキュリティポリシデータに準拠した印刷や保存などの文書操作を制限するような文書データの加工を行う機能を有する。文書データはマスク処理部53に送られる。
【0066】
このマスク処理部53は、文書データ自身の内容を検査する。文書が適切に管理され、アクセス権限が正しく付与されている場合は問題は無いが、利用者が誤って機密文書のアクセス権限レベルを低く付した場合、あるいはアクセス権限レベルを付し忘れた場合には、内容に対する権限の無い利用者に対してデータが提供されてしまう恐れがある。この為、マスク処理部53は、文書データの中身をスキャンして、問題のあるキーワードが記載されていないかどうかを検査する。キーワードとしては例えばNGワードが用いられる。マスク処理部53は、文書データに含まれる文章の文節毎にNGワードの有無を検出する。
【0067】
マスク処理部53は、問題があった文書が存在する場合には、「機密情報の為該当箇所を削除」などのメッセージが利用者端末装置1、6に表示されるような処理や、問題のある部分のデータを塗りつぶすあるいは削除するなどの方法によって、文書データの該当部分に対して情報が漏えいしないようなマスクを掛けるようにする働きを行う。従って、マスク処理部53は、情報アクセス制御手段によりアクセスを制御される情報のうち、情報をアクセスするためのセキュリティポリシと異なる内容を含む情報に対してマスク処理を行う。これにより、権限の設定ミスや管理ミスなどによって情報漏えいが発生することを防止することができる。マスク処理を行う具体例としては、例えば文書データ作成時にテキスト形式の文字データのうち、あらかじめマスクすべきマスク範囲箇所を指定しておき、マスク処理が必要な場合にマスク範囲箇所のデータを削除、又は別の文字データに変更することでマスク処理を行うことが考えられる。
【0068】
最終的にマスク処理部53により得られた文書データは、アクセス受付部20を通してアクセス元の利用者端末装置1、6に送られることにより処理が完了する。
【0069】
このようにして、本実施形態に係る情報アクセス管理装置52によれば、文書データベース18の文書を出力する要求が生じた場合に、利用者、端末の安全性、アクセス時刻、アクセス環境をセキュリティポリシと比較するため、文書の出力が安全に行われる。また、情報漏えいが防止され、文書を効率よく閲覧するためのアクセス権限の委譲を安全かつ容易に実施することが実現されるようになる。
【0070】
また、本実施形態に係る情報アクセス管理装置52によれば、やはり、データへのアクセス制御を、利用者及び複数の場所に応じて管理することができる。
【0071】
(第3の実施形態)
第1の実施形態及び第2の実施形態においては、文書データが情報アクセス管理装置8(又は52)の内部のデータベースに保持されていたが、第3の実施形態では文書データを情報アクセス管理装置8又は52の外部の記憶装置に保持し、この記憶装置への利用者端末装置1、6からのアクセス要求を制御するようにもできる。
【0072】
本発明の第3の実施形態に係る情報管理システムは、図15に示すように、利用者端末装置1、6と、利用者端末装置1、6のそれぞれと接続された第1ネットワーク54と、この第1ネットワーク54に接続され利用者端末装置1及び6と通信可能な情報アクセス管理装置55と、この情報アクセス管理装置55に接続されたもう一つの第2ネットワーク56と、この第2ネットワーク56に接続され情報アクセス管理装置55との間でデータの入出力が可能な文書サーバ57とを備えている。
【0073】
情報アクセス管理装置55は、第1ネットワーク54に接続され利用者端末装置1、6との間でデータを送受信する第1データ送受信部58と、第1ネットワーク54に接続された利用者端末装置1、6から第2ネットワーク56に接続された文書サーバ57へのアクセスを切り替え制御するアクセススイッチ(アクセススイッチ手段)59と、このアクセススイッチ59及び第2ネットワーク56に接続され文書サーバ57とデータの入出力が可能な第2データ送受信部60とを備えている。文書サーバ57は、文書データを保持するデータ記憶手段でもある。本実施の形態では、アクセス権生成部34、ポリシ比較判定部22及びアクセススイッチ59が協働することにより、情報アクセス制御手段の機能が実現する。情報アクセス制御手段は、IDLV値(アクセス権限情報)と、ZONE値(アクセス環境情報)とを、アクセス条件であるセキュリティポリシと比較して、文書サーバ57が安全に利用されると判断した場合には利用者端末装置1、6からのアクセス要求を文書サーバ57へ伝えるように、利用者端末装置1、6から文書サーバ57へのアクセスを切り替え制御する。これら以外のもので図15に示すもののうちの上述した符号と同じ符号を有するものは第1の実施形態において説明したものと同じである。また、利用者端末装置1、6についての位置計測の方法も、第1の実施形態及び第2の実施形態でのそれらの位置計測の方法と同じである。
【0074】
情報アクセス管理装置55は、データ処理ユニット29によって全体をコントロールされており、利用者のアクセス権限、端末の安全性、利用環境の安全性、アクセス要求時刻、権限の委譲によるアクセス権限の変化などを総合的に判断し、セキュリティポリシに沿った内容でアクセススイッチ59を制御する。利用者端末装置1、6からの文書サーバ57へのアクセス要求が通過する順番は、第1ネットワーク54、第1データ送受信部58、アクセススイッチ59、第2データ送受信部60、第2ネットワーク56、文書サーバ57である。
【0075】
情報アクセス管理装置55では、第1データ送受信部58にて受信されたデータをアクセス受付部20が受け取ってこのデータを検査する。アクセス受付部20に接続されたアクセス環境調査部30は利用者端末装置1、6の位置を検査してZONE値を出力し、利用者調査部31は利用者端末装置1、6から送信された利用者IDを用いて利用者が正規の利用者であるかを調べてIDLV値を出力し、アクセス時間調査部32はアクセス要求のあった時刻を調べてTIME値を出力し、アクセス端末調査部33はアクセスしている端末が安全か否かを調査してTERM値を出力し、そしてアクセス権生成部34はIDLV値、TERM値、TIME値、ZONE値らアクセス制御の基になるセキュア値を生成する。セキュア値を生成する方法は第1の実施形態でのセキュア値の生成方法と同様である。
【0076】
また、認証データ保持部24の記憶する認証データは、利用者ID、元々保有するアクセス権限のレベルを示す権限レベル、通常利用者が利用する時間帯を示す利用許可時間帯、利用者が利用登録した端末装置固有の値を示す端末鍵、誰かに権限を委譲する状態になっているか否かを示す権限委譲有無、権限を委譲するときの相手に与える権限を示す委譲レベルからなる。利用者端末装置1又は6からの利用者IDをキーとして、権限レベル、利用許可時間帯、端末鍵、権限委譲有無及び委譲レベルの各内容を表すデータが入出力される。
【0077】
認証データ保持部24においても利用者の文書情報へのアクセス権限が決められており、文書の種別、印刷や保存などの操作が決められているが、アクセスする端末の安全性や、環境の安全性については考慮されていないので、これらは本実施形態に係る情報アクセス管理装置55によってカバーされる。得られたIDLV値(アクセス権限情報)、TERM値(アクセス端末情報)、TIME値(アクセス時間情報)、ZONE値(アクセス環境情報)はアクセス権生成部34に加えられ、これらの値はセキュア値として取り扱われる。
【0078】
また、利用者が権限を委譲するためのコマンドを発行した場合には、アクセス権生成部34は認証データ保持部24に権限委譲フラグをたてるとともに委譲レベルを入力する。また、権限委譲処理が発生した場合には、アクセス権生成部34によって権限委譲データ記憶部21の権限委譲データも更新される。権限委譲データ記憶部21に対して利用者端末装置1、6からのアクセスがあった場合には、利用者IDをキーとして権限委譲データ記憶部21内を権限委譲データが検索され、検索された権限委譲データがポリシ比較判定部22に現れる。
【0079】
本実施形態に係る情報アクセス管理装置55も、セキュア値の取り得る値に対して文書データヘのアクセス権限を定めた300種類のポリシデータによって最大300ポリシを設定することが可能である。セキュア値がIDLV=4、TERM=、ZONE=4、TIME=2を示すときには、利用者が安全な場所で、特定された端末を利用していると判断されるので、その利用者の権限の全てが利用できるようにされる。なお、権限委譲が無い限り、利用者本来の権限を越えることはない。このようなポリシはポリシデータ保持部19にポリシデータテーブルとして予め作成される。
【0080】
ポリシ比較判定部22は、アクセス権生成部34にて得られたセキュア値とポリシデータ保持部19等のデータとを比較して、利用者の権限を決定して文書サーバ57へのアクセスの可否に関するデータをアクセススイッチ59に伝える。
【0081】
アクセススイッチ59は文書サーバ57へのアクセスについての許可や遮断を行う。また、アクセス権の詳細は文書サーバ57にも与えられ、これにより、文書サーバ57における細かなアクセス制御を行うことも可能である。
【0082】
また、第2ネットワーク56に接続される機器は、文書サーバ57のみならず、各種のネットワーク機器でもよい。これらに対する利用者端末装置1、6のアクセス制御を情報アクセス管理装置55が行うことも可能である。
【0083】
これにより、利用者のアクセス権限、端末の安全性、利用環境の安全性、アクセス要求時刻、権限の委譲によるアクセス権限の変化などを総合的に判断し、セキュリティポリシにそった内容で第2ネットワーク56に接続されたネットワーク機器などを利用することができ、不注意による情報漏えいなどをなくすことができる。
【0084】
このように、本実施形態に係る情報アクセス管理装置55によれば、第1ネットワーク54から、第2ネットワーク56に接続された文書サーバ57へのアクセス要求があると、利用者、端末の安全性、アクセス時間、アクセス環境がセキュリティポリシと比較され、文書サーバ57が安全に利用されると判断された場合には、アクセススイッチ59の動作により、第1ネットワーク54からのアクセス要求が第2ネットワーク56に伝えられて文書サーバ57へのアクセスが行われる。
【0085】
また、本実施形態に係る情報アクセス管理装置55によれば、データへのアクセス制御を、利用者及び複数の場所に応じて管理することができる。
【0086】
なお、本発明は上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。
【0087】
また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせてもよい。例えば、第2の実施形態で説明したマスク処理部53を、第3の実施形態に係る情報アクセス管理装置55に設けて構成することもできる。
【0088】
また、本実施の形態では装置内部に発明を実施する機能が予め記録されている場合で説明をしたが、これに限らず同様の機能をネットワークから装置にダウンロードしても良いし、同様の機能を記録媒体に記憶させたものを装置にインストールしてもよい。記録媒体としては、CD−ROM等プログラムを記憶でき、かつ装置が読み取り可能な記録媒体であれば、その形態は何れの形態であっても良い。またこのように予めインストールやダウンロードにより得る機能は装置内部のOS(オペレーティング・システム)等と協働してその機能を実現させるものであってもよい。
【図面の簡単な説明】
【0089】
【図1】本発明の第1の実施形態に係る情報管理システムの構成図である。
【図2】本発明の第1の実施形態に係る端末装置のアクセス位置の計測方法を説明するための図である。
【図3】本発明の第1の実施形態に係る情報アクセス管理装置のセキュア値の一例を示す図である。
【図4】セキュア値(IDLV値)の詳細を示す図である。
【図5】セキュア値(TERM値)の詳細を示す図である。
【図6】セキュア値(TIME値)の詳細を示す図である。
【図7】セキュア値(ZONE値)の詳細を示す図である。
【図8】位置情報の出力方法を説明するためのフローチャートである。
【図9】認証データテーブルの一例を示す図である。
【図10】権限委譲データテーブルの一例を示す図である。
【図11】本発明の第1の実施形態に係るセキュリティポリシ記憶手段に記憶されるポリシデータテーブルの一例を示す図である。
【図12】本発明の第1の実施形態に係る端末装置から情報アクセス管理装置への通常時におけるデータアクセス方法を説明するためのシーケンスを示す図である。
【図13】本発明の第1の実施形態に係る情報アクセス管理装置の権限委譲時におけるデータアクセス方法を説明するためのシーケンスを示す図である。
【図14】本発明の第2の実施形態に係る情報管理システムの構成図である。
【図15】本発明の第3の実施形態に係る情報管理システムの構成図である。
【符号の説明】
【0090】
1,6…利用者端末装置(端末装置)、2…情報処理端末、3…利用者認識部、4…位置センサ部、5…鍵管理部、7…ネットワーク、8,52,55…情報アクセス管理装置、9…端末ゾーン、9a…ゾーン信号発信器、10〜13…位置センサアンテナ、14〜17…ゾーン、18…文書データベース(データ記憶手段)、19…ポリシデータ保持部(セキュリティポリシ記憶手段)、20…アクセス受付部(受信手段)、21…権限委譲データ記憶部(権限委譲データ記憶手段)、22…ポリシ比較判定部(情報アクセス制御手段)、23…文書入出力部(情報アクセス制御手段)、24…認識データ保持部、25…CPU、26…RAM、27…入出力機器、28…ROM、29…データ処理ユニット、30…アクセス環境調査部(アクセス環境調査手段)、31…利用者調査部(利用者調査手段)、32…アクセス時間調査部、33…アクセス端末調査部、34…アクセス権生成部(情報アクセス制御手段)、35〜39…セキュア値、40…利用者ID(利用者情報)、41…権限レベル、42…利用許可時間帯、43…端末鍵、44…権限委譲有無、45,47…委譲レベル、46…委譲者ID、48…被委譲者ID(被委譲者情報)、49…要求ポリシ、50…委譲日、51…委譲時間、53…マスク処理部、54…第1ネットワーク、56…第2ネットワーク、57…文書サーバ、58…第1データ送受信部、59…アクセススイッチ、60…第2データ送受信部。
【技術分野】
【0001】
本発明は、例えば文書管理システム及び情報アクセス制御技術に用いて好適な情報アクセス管理装置に関する。
【背景技術】
【0002】
店舗やオフィス等の企業内では、正規従業員、一時従業員、パートタイム従業員やアルバイト、及び協力社外関係者の従業員が勤務しており、商品の価格や在庫状況等の経営データや、顧客や従業員の個人データは、企業内に設けられた端末装置を用いてさまざまな種別の従業員によって閲覧される。企業内の場所によって、取り扱い可能なデータの種別は異なる。例えば個人データは、企業内の決められた領域にある端末装置により閲覧されるべきものであり、このデータは、同じ企業内であっても、すべての従業員が出入り自由なスペースに設けられた端末装置により閲覧されるべきものではない。個人データなどにアクセス可能な広範な権限を有する従業員にとっても、そのデータを閲覧してよい場所と閲覧すべきでない場所とがある。すなわち、データへのアクセス権限は、従業員の種別と場所とによって異なり、場所によって取り扱い可能なデータの種類は異なるようにする必要がある。
【0003】
近年、不正を防止し、かつパートタイム従業員らに対して、それぞれのモチベーションを向上させるために、何らかの権限を与える管理手法が導入されている。例えば、出社する日時、勤務場所に応じて、顧客データへのアクセスなどの管理権限を限定的に付与することにより、正社員と同じ業務を実施してもらい、パートタイム従業員の活躍の場を広げようというのである。
【0004】
従来、不適切な場所からの管理文書へのアクセスの防止や、認証条件の簡便な設定を可能とする文書管理システムが提案されている(特許文献1参照)。特許文献1記載の文書管理システムは、GPSなどの位置情報取得の手段によって文書利用者の位置を測定し、その位置情報から利用者自身の場所を推測する。
【特許文献1】特開2006−195884号公報(図1)
【発明の開示】
【発明が解決しようとする課題】
【0005】
業務を効果的かつ効率よく実施するために、一時的にデータに対する権限を昇格させて取り扱わせることも行われる。遠隔会議などにより遠隔者が作成したデータに対して変更や修正をすることなどもある。この場合、重要なデータは閲覧のみであり編集はできないので業務効率が低下する。また、データヘアクセスする権限を有する者が、長期不在である場合はデータが必要になったときに、その権限を有する者以外の者がそのデータへまったくアクセスできなくなる。また、アクセス権限を委譲する場合も、委譲する先の利用者がいる場所についても考慮する必要がある。
【0006】
特許文献1に記載の文書管理システムは、アクセス権限が固定的に付与されており、場所ごとに利用者の権限を変更するものではないといえる。
【0007】
そこで、本発明は、上記の課題に鑑み、データへアクセスする権限を、利用者と場所とに応じて委譲することができる情報アクセス管理装置を提供すること目的とする。
【課題を解決するための手段】
【0008】
このような課題を解決するため、本発明の一態様によれば、情報を記憶するデータ記憶手段と、端末装置から利用者情報と、前記端末装置の位置情報と、利用者の権限が委譲される被委譲者情報を含む権限委譲データを受信する受信手段と、前記利用者情報に基いて前記端末装置の利用者のアクセス権限情報を出力する利用者調査手段と、前記位置情報に基いて前記端末装置のアクセス環境情報を出力するアクセス環境調査手段と、前記権限委譲データに基いて前記利用者の権限委譲に関する情報を記憶する権限委譲データ記憶手段と、少なくとも前記アクセス権限情報と前記アクセス環境情報とを含み前記データ記憶手段に記憶した情報へアクセスするための条件を記憶したセキュリティポリシ記憶手段と、前記アクセス権限情報と、前記アクセス環境情報とを、前記セキュリティポリシ記憶手段に記憶した前記条件と比較して前記端末装置の利用者のアクセス権限を決定し、前記利用者が前記権限委譲データ記憶手段に記憶された被委譲者であった場合には、権限委譲データ記憶手段に記憶された権限委譲データに基いて利用者のアクセス権限を変更し、前記条件に従って前記データ記憶手段に記憶した情報へのアクセスを制御する情報アクセス制御手段と、を備えたことを特徴とする情報アクセス管理装置が提供される。
【発明の効果】
【0009】
本発明によれば、データへアクセスする権限を、利用者と場所とに応じて委譲することができる。
【発明を実施するための最良の形態】
【0010】
以下、本発明の実施の形態に係る情報アクセス管理装置について、図1乃至図15を参照しながら説明する。尚、各図において同一箇所については同一の符号を付すとともに、重複した説明は省略する。
【0011】
(第1の実施形態)
図1は本発明の第1の実施形態に係る情報管理システムの構成図である。本実施形態に係る情報管理システムは管理するデータとして文書データを取扱い、利用者端末装置1と、この利用者端末装置1と同じ構成を有する利用者端末装置6と、これらの利用者端末装置1、6に接続されたネットワーク7と、このネットワーク7を介して利用者端末装置1、6との間で文書データの入出力のアクセス権限を制御する情報アクセス管理装置8と、を備えている。
【0012】
利用者端末装置1は、情報アクセス管理装置8との間で文書データの出力の要求やアクセス権限の委譲の要求に関するデータを送受信する情報処理端末2と、利用者端末装置1の操作者が正規の利用者であることを認識する利用者認識部3と、利用者端末装置1の存在する位置情報を無線により取得する位置センサ部4と、利用者端末装置1に固有な情報を鍵情報として耐タンパ性を有するメモリ領域に保持するとともに、利用者端末装置1が正規の端末で安全であることを管理する鍵管理部5とを搭載している。
【0013】
利用者認識部3には、ICカードないしは無線タグ等のセキュリティチップやRFモジュールが用いられており、セキュリティチップと利用者自身に付けられた無線タグとによって、利用者端末装置1及び利用者が対にされている。利用者が端末の近くにいる場合には、利用者認識部3から送信された利用者認識信号を、利用者自身に付けられた無線タグが受信すると、無線タグから返信信号が送信され、この返信信号を利用者認識部3が受信することにより、利用者が予め設定された正規な利用者かどうかを利用者認識部3は判断する。正規な利用者である場合は、その利用者はこの端末を操作することができ、利用者がこの端末から離れた場合には、利用者認識部3は、利用者自身に付けられた無線タグからの返信信号を受信することができなくなるため、端末に対するすべての操作がロックされ、端末の操作が使用不能にされる。利用者認識部3は利用者ID(利用者情報)を出力する利用者情報出力手段としても機能する。
【0014】
位置センサ部4は位置情報出力手段として機能する。位置センサ部4が取得する位置情報について述べると、利用者端末装置1は、図2に示すように、利用者が移動可能な範囲である端末ゾーン9内に設けられた位置センサアンテナ10、11、12、13から送信されるそれぞれの電波に含まれるゾーンIDを受信し、このゾーンIDを用いて利用者の位置を計測している。電波は、ゾーン信号発信器9aから発信された信号をゾーンIDとして含み、また、それぞれの位置センサアンテナ10〜13から、一定のゾーン14、15、16、17を保ちつつ送信されている。位置センサ部4は、いずれかの位置センサアンテナ10〜13から発信される電波を受信し、これらの電波に含まれるゾーンIDによって、利用者端末装置1の置かれているゾーンがどのゾーンであるのかを判断する。この例では、各ゾーンを示すIDが、位置センサアンテナ10〜13から利用者端末装置1へ送信される。なお、利用者端末装置1が利用者端末装置1、6を表す情報を送信し、利用者端末装置1、6の近くにある位置センサアンテナがこの情報を受信するようにして、利用者端末装置1、6の置かれているゾーンを判断するようにもできる。
【0015】
また、位置情報出力手段としては、利用者端末装置1にGPS(Global Positioning Systems)機能を搭載し、GPS衛星から受信した信号によって利用者端末装置1の位置情報を算出し出力するようにすることもできる。また、ネットワークにおけるIPアドレスを取得し出力する方法や、無線LANにおけるホットスポット(登録商標)情報を取得し出力する方法を採用しても良い。
【0016】
鍵管理部5の機能は、CPU(中央演算装置)、ROM、RAM、IC、LSI等によって実現される。そして、利用者端末装置1が正規の端末であることを証明する端末固有の鍵と、端末内のプログラムの管理値を記憶しており、要求に応じてこれらを出力する機能を持つ。
【0017】
これにより、利用者認識部3及び位置センサ部4は、ネットワーク7からデータの要求を受信した場合には、その要求された情報、例えば、利用者ID(利用者情報)、ゾーンID(位置情報)、固有鍵情報を情報アクセス管理装置8に送信する。利用者端末装置1、6が置かれているゾーン(位置)は、共有空間、安全空間、公共空間及び準安全空間のいずれかであることが情報アクセス管理装置8によって把握される。
【0018】
また、図1の情報アクセス管理装置8は、文書データ(情報)を記憶する文書データベース18(データ記憶手段)と、この文書データに対する利用者毎のアクセス権限(アクセス権限情報)及びゾーン毎のアクセス権限(アクセス環境情報)を含み、文書データへアクセスするための条件を記述したセキュリティポリシデータを記憶するポリシデータ保持部(セキュリティポリシ記憶手段)19と、利用者端末装置1から送信された利用者ID(利用者情報)とゾーンID(位置情報)とを含むアクセス要求を受信するアクセス受付部20と、複数の利用者の間で文書データに関する権限を委譲するための更新可能な権限委譲データを記憶する権限委譲データ記憶部21(権限委譲データ記憶手段)と、利用者端末装置1の利用者の権限を決定して文書アクセスの指示を出力するとともに、権限委譲データに沿って利用者端末装置1の利用者の文書データへのアクセス権限を変更するポリシ比較判定部22と、文書データベース18に保持された文書データへの入出力操作を制御する文書入出力部23と、端末、人及び場所の各要素に基づいて出力の許可を与えようとする文書データの種別や文書データの印刷又は保存などの文書データへの操作に関する権限を決定するための認証データを保持する認証データ保持部24と、CPU25、RAM26、入出力機器27及びROM28からなり情報アクセス管理装置8の全体をコントロールするデータ処理ユニット29と、を備える。アクセス受付部20、ポリシ比較判定部22は利用者端末装置6についての処理をも行う。
【0019】
これにより、アクセス受付部20においてネットワーク7とのインターフェース処理が行われ、情報アクセス管理装置8はこのアクセス受付部20を通じて利用者端末装置1、6と交信可能になっている。
【0020】
これらに加えて、情報アクセス管理装置8には、利用者端末装置1の位置を検査してこの利用者端末装置1のアクセス環境を表すZONE値(アクセス環境情報)を出力するアクセス環境調査部30(アクセス環境調査手段)と、利用者端末装置1、6から送信された利用者ID(利用者情報)を用いて利用者端末装置1、6の利用者が正規の利用者であるか否かを調べて利用者が正規であるかどうかを表すIDLV値(アクセス権限情報)を出力する利用者調査部31(利用者調査手段)と、アクセス要求のあった時間又は時刻を調べて文書データベース18へのアクセス時間又はアクセス時刻を表すTIME値を出力するアクセス時間調査部32と、アクセスしている利用者端末装置が安全か否かを調査してその利用者端末装置が安全かどうかを表すTERM値を出力するアクセス端末調査部33と、IDLV値、TERM値、TIME値、ZONE値といったデータからなり、アクセス制御の基にされるセキュア値を生成するアクセス権生成部34とが設けられている。
【0021】
このセキュア値は、情報アクセス管理装置8のアクセスをコントロールするためのデータでもある。セキュア値を表すデータは、例えば図3の符号35で表されるような構造を有し、IDLV値36、TERM値37、TIME値38、ZONE値39の各データからなる。これらのデータの詳細については、図4にIDLV値を、図5にTERM値を、図6にTIME値を、図7にZONE値をそれぞれ示す。
【0022】
図4のIDLV値(アクセス権限情報)については、複数のIDLV値に応じて権限レベルが記憶されている。権限レベルに応じてそれぞれ、文書データの情報種別、及び文書データへの操作の権限の可否データが記憶されている。自分が文書データのオーナーである場合には、その文書データの編集が可能になるように設定される。
【0023】
図5のTERM値(アクセス端末情報)によって、各端末装置は、正規の利用者が特定されて安全であると判断された正規端末装置や、複数の利用者に利用されうるが安全であると判断された正規端末装置等に分類されている。
【0024】
図6のTIME値(アクセス時間情報)によって、アクセスされた時刻が、予め計画されている時間もしくは時間帯内であるか、又は計画外の時間もしくは時間帯であるかが判断される。
【0025】
図7のZONE値(アクセス環境情報)については、空間の種別を店舗の例により説明する。複数のZONE値に対応してそれぞれの場所(アクセス環境)がアクセス環境記憶手段に定義されている。アクセス環境調査部30は、それぞれの場所にて利用者端末装置1、6が取得した位置情報に対応するZONE値4〜0のうちのいずれかのZONE値をアクセス環境記憶手段から読み出して、読み出したZONE値を出力する。
【0026】
なお、本実施の形態では、情報アクセス管理装置8が位置センサ部4によって取得された位置情報をそのままアクセス環境情報として出力しており、位置情報をアクセス環境情報として同じデータのまま出力しているが、位置情報と異なるデータをアクセス環境情報として出力しても良い。例えばGPS機能を利用した場合は、GPS衛星から受信した信号によって緯度経度からなる位置情報を利用者端末装置1又は6が出力し、また、アクセス環境記憶手段が緯度経度を含む複数の位置情報とこれらの位置情報に対応づけされたアクセス環境情報とを記憶し、アクセス環境調査部30がこの対応づけされたデータを読み出すことによって、緯度経度からなる位置情報に対応するアクセス環境情報「1〜4」を出力することもできる。
【0027】
ZONE値「4」に対応するアクセス環境としての安全空間は事務所であり、この事務所では、売り上げデータや、商品の単価、原価、粗利等の情報や、経理データ等が取り扱われており、顧客からの受注業務も行われている。安全空間は社内の特定の人物のみ立ち入りを許される場所である。ZONE値「3」に対応する準安全空間はバックヤードであり、バックヤードでは商品の加工や商品への値札の張り替え等の作業が行われる。この準安全空間への立ち入りを社内従業員は許されている。ZONE値「2」に対応する共有空間は、設計情報や商品価格を社外関係者に説明するための打ち合わせスペースや休憩所である。ZONE値「1」に対応する公共空間は不特定多数の人物がいるような売り場である。このように複数の位置情報に対応して複数のセキュリティレベルが記憶可能であるから、利用者のアクセス場所に基づいたセキュリティレベルを複数設定可能となる。
【0028】
IDLV値データは、利用者端末装置1又は6から送信された利用者IDをキーとして認証データ保持部24がアクセスされることにより得られる。TERM値データとTIME値データとは、アクセス時間調査部32とアクセス端末調査部33において調査されたそれぞれの値と比較されることにより得られる。従って、本実施形態に係る情報アクセス管理装置8は、IDLV値、TERM値、ZONE値の各データに基づいて、人、端末及び場所に応じた文書データへのアクセス権限を変更可能になっている。
【0029】
位置情報は、利用者端末装置1、6から送信されてくるものである。この位置情報を得る動作を図8のフローチャートに示す。つまり、利用者端末装置1は、情報アクセス管理装置8からの位置要求信号を受信すると(ステップA1)、Yesルートを通り、位置センサ部4を駆動して(ステップA2)、位置センサ部4が正常であるかどうかを判定する(ステップA3)。位置センサ部4が正常でない場合にはNoルートを通り、利用者端末装置1はゾーンIDを0に設定し(ステップA4)、位置センサ部4が正常である場合にはYesルートを通り、利用者端末装置1はゾーン信号を受信する(ステップA5)。利用者端末装置1は、そのゾーン信号の中に含まれるゾーンIDから、自身がどのような空間に存在しているかを判別して(ステップA6)、ゾーンIDに1〜4を設定する(ステップA7)。利用者端末装置1の位置センサ部4は、位置情報としてこのゾーンIDを情報アクセス管理装置8に送信する(ステップA8)。利用者端末装置6が位置情報を得る動作も図8のフローチャートの例と同じである。
【0030】
情報アクセス管理装置8は、利用者端末装置1、6から送信されたゾーンIDを受信すると、ゾーンID(位置情報)をもとにZONE値(アクセス環境情報)を取得しセキュア値を構成するデータの一つに設定する。
【0031】
また、認証データ保持部24は、図9に示すような構成の認証データを記憶している。この認証データは、エントリキーである利用者ID40、元々保有するアクセス権限のレベルを示す権限レベル41、通常利用者が利用する時間帯を示す利用許可時間帯42、利用者が利用登録した端末装置に固有な値を示す端末鍵43、誰かに対して権限を委譲する状態になっているか否かをフラグによって示す権限委譲有無44、及び権限を委譲するときの相手に与える権限を示す委譲レベル45からなる。利用者端末装置1又は6からの利用者IDをキーとして、権限レベル41、利用許可時間帯42、端末鍵43、権限委譲有無44及び委譲レベル45の各内容を表すデータが入出力される。
【0032】
認証データ保持部24は、利用者の文書データへのアクセス権限を決めており、例えば文書データの種別、印刷や保存などの操作を決めている。しかし、アクセスする端末の安全性や、環境の安全性は、考慮されていないので、これらは、本実施形態に係る情報アクセス管理装置8によってカバーされることになる。得られたIDLV値(アクセス権限情報)、TERM値(アクセス端末情報)、TIME値(アクセス時間情報)、ZONE値(アクセス環境情報)はアクセス権生成部34に加えられ、これらの値はセキュア値として取り扱われる。
【0033】
また、利用者が、委譲処理を要求するために、権限を委譲するためのコマンドを発行した場合には、アクセス権生成部34は、認証データ保持部24の権限委譲有無44に権限委譲フラグとして1を設定するとともに、認証データ保持部24へ委譲レベル45を入力する。また、権限の委譲処理が発生した場合には権限委譲データ記憶部21も更新される。
【0034】
権限委譲データ記憶部21に記憶されるデータは、図10に示すように、委譲者を示す委譲者ID46、委譲者の委譲レベルを示す委譲レベル47、権限の委譲先を示す被委譲者ID48(被委譲者情報)、被委譲者がどのようなアクセス環境にいる場合に委譲された権限を行使できるのかを決めるためのポリシデータテーブルのポリシ番号を示す要求ポリシ49、権限を委譲する日時を示す委譲日50、委譲時間51といった内容を含む。権限委譲データ記憶部21に対して利用者端末装置1、6からのアクセスがあった場合には、利用者IDをキーとして権限委譲データ記憶部21内を権限委譲データが検索され、検索された権限委譲データがポリシ比較判定部22に現れる。
【0035】
ポリシデータ保持部19は、セキュア値35(図3)の取り得る値に対して、文書データヘのアクセスや、データの印刷や保存などの操作の権限を定めたポリシデータを対応づけて記憶するものであり、このようなポリシは、ポリシデータ保持部19においてポリシデータテーブルとして予め作成されている。ポリシデータテーブルの一例を図11に示す。本実施形態に係る情報アクセス管理装置8は、300種類のポリシデータを記憶しており、これによって、最大300個のポリシを設定することが可能である。一例としてセキュア値がIDLV=4、TERM=3、ZONE=4、TIME=2を示す場合には、ポリシデータテーブルの中でポリシデータがポリシ比較判定部22によって探索されてポリシ番号1が得られる。このポリシ番号1が示すポリシは、利用者が安全な場所におり、特定された端末を利用していることを表すため、その利用者から文書データへのアクセスがあった場合には、その利用者に予め付与された権限の全てが利用され得る。なお、権限委譲が無い限り、利用者に与えられた本来の権限を越えることはない。
【0036】
ポリシ比較判定部22は、アクセス権生成部34にて得られたセキュア値とポリシデータ保持部19からのデータとを比較して、利用者の権限を決定し、文書入出力部23に対してポリシにあった文書アクセスを行うことの指示を与える。また、権限委譲データ記憶部21の権限委譲データも考慮される。この権限委譲データの示す内容が、利用者が権限を委譲されており、かつ委譲者の指定するポリシに沿った端末環境を構築しているものである場合、アクセス権限の昇格などが行われる。
【0037】
文書入出力部23は、アクセス権限のある文書データの要求に対して文書データベース18から文書データを取り出す。その他にも、文書入出力部23は、ポリシデータ保持部19のセキュリティポリシデータに準拠した印刷や保存などの文書データへの操作を制限するような、文書データの加工を行う機能をも有する。印刷制限や保存制限は、文書データのプロパティを設定することにより実現でき、これらの制限の設定は最近の電子文書フォーマット(アドビ社のアクロバット(登録商標)形式等)のファイルを閲覧するソフトウェアには既に用意されている機能である。最終的に得られた文書データは、アクセス受付部20を通してアクセス元の利用者端末装置1又は6に送られることにより処理が完了する。
【0038】
アクセス権生成部34、ポリシ比較判定部22及び文書入出力部23は、アクセス権限と、アクセス環境とを、ポリシデータ保持部19に記憶された条件としてのセキュリティポリシと比較して利用者端末装置1、6の利用者のアクセス権限を決定し、利用者が権限委譲データ記憶部21に記憶された被委譲者であった場合には、権限委譲データ記憶部21に記憶された権限委譲データに基いて利用者のアクセス権限を変更し、この条件に従って文書データベース18に記憶された情報へのアクセスを制御する情報アクセス制御手段として機能する。
【0039】
このような構成の情報アクセス管理装置8における文書データへのアクセスについての詳細を説明する。
【0040】
図12に、利用者端末装置1を利用した通常アクセスのシーケンスを示す。利用者端末装置1は、情報アクセス管理装置8に対してデータ要求を送信すると(ステップB1)、情報アクセス管理装置8は、利用者確認要求を利用者端末装置1に対して送信する(ステップB2)。
【0041】
利用者端末装置1が情報アクセス管理装置8に対して利用者認識部3からの利用者ID(利用者情報)を送信すると(ステップB3)、情報アクセス管理装置8の利用者調査部31は、認証データ保持部24に記憶した認証データを参照し、この利用者IDの有無を判定する(ステップB4)。この利用者IDのエントリキーが認証データにある場合には、情報アクセス管理装置8は、利用者調査部31からの権限レベル値41(IDLV値)をアクセス権生成部34に送信する(ステップB5)。情報アクセス管理装置8はアクセス時刻が認証データで許可された時間帯内であるか否かを判定し(ステップB6)、アクセス時刻が許可時間帯内である場合には、TIME値をアクセス権生成部34に送信する(ステップB7)。そして情報アクセス管理装置8は端末確認要求を利用者端末装置1に対して送信する(ステップB8)。
【0042】
利用者端末装置1が情報アクセス管理装置8に対して鍵管理モジュール値を送信すると(ステップB9)、情報アクセス管理装置8は、認証データを参照し、この鍵管理モジュール値についての端末鍵(端末鍵証明書)の有無を判定する(ステップB10)。端末鍵が認証データにある場合には、情報アクセス管理装置8はTERM値をアクセス権生成部34に送信し(ステップB11)、位置情報要求を利用者端末装置1に対して送信する(ステップB12)。
【0043】
利用者端末装置1が情報アクセス管理装置8に対して、位置センサ部4から出力されたゾーンID(位置情報)を送信すると(ステップB13)、情報アクセス管理装置8のアクセス環境調査部30は、受信したゾーンIDについてのZONE値(アクセス環境情報)をアクセス権生成部34に送信する(ステップB14)。
【0044】
アクセス権生成部34は、利用者調査部31によって出力されたIDLV値(アクセス権限情報)、アクセス環境調査部30によって出力されたZONE値(アクセス環境情報)、TIME値(アクセス時間情報)、及びTERM値(アクセス端末情報)から、セキュア値を設定する。
【0045】
さらに、アクセス権生成部34は、ポリシ比較判定部22に対して、セキュア値を送信し(ステップB15)、ポリシ比較判定部22は、ポリシとして設定された値ないしはポリシデータであるポリシ設定値をポリシデータ保持部19から読み出して、セキュア値とポリシデータとを比較し利用者の権限を判定する(ステップB16)。すなわち、IDLV値(アクセス権限情報)と、ZONE値(アクセス環境情報)とに一致するセキュリティポリシデータをポリシデータ保持部19に記憶しているか否かをポリシ比較判定部22は判定する。同じIDLV値であっても、ZONE値によってポリシデータは異なる。ポリシ比較判定部22は、文書入出力部23に対してファイル入出力制御を送信する(ステップB17)。このように、利用者、端末、場所及び時間のそれぞれが、ポリシと比較され、データの出力が制御される。
【0046】
文書入出力部23は、文書データベース18に保持された文書データを参照し、この文書データをポリシに併せて加工し(ステップB18)、この加工された文書データを利用者端末装置1に対して送信する(ステップB19)。
【0047】
具体例について述べると、経理部門に属する利用者は、経理データを、ZONE値「4」の安全空間ゾーンの経理部署に設けられた端末を用いれば閲覧、編集、保存、印刷の全操作をすることができるが、同じ利用者でも、同じデータを、ZONE値「3」の準安全空間ゾーンに設けられた端末を用いると、閲覧しかすることができず、ZONE値「2」の共有空間ゾーンの売り場に設けられた端末を用いると閲覧もできないようにすることができる。換言すれば、複数のアクセス環境に応じて許可する閲覧、編集、保存、印刷等のアクセス操作を段階的に設定しておくことで、本来全ての操作に対してアクセス権限を備えた利用者であっても、情報セキュリティ上のレベルが低いアクセス環境によっては閲覧操作のみが許可され、レベルが中間のアクセス環境によっては閲覧操作と印刷操作が許可され、レベルが高いアクセス環境によっては全ての操作が許可されるように、アクセス環境の情報セキュリティ上のレベルに応じてアクセス操作が段階的に制限されるように、文書データないしは情報の管理を行うことが可能になる。経理データへのアクセス権限は、変更可能である。すなわち、本発明の情報管理システムは、権限を委譲することができる。また、経理データへのアクセスは、経理部門に属する者以外の者に対して許可されていない。従って、利用者からの文書の出力要求に対して、必ずしも要求通りのデータが得られるとは限らないといえる。
【0048】
次に、権限を委譲しようとする者(権限の委譲者)が、利用者端末装置1を用いて、利用者端末装置6の利用者である権限を委譲される者(被委譲者)に対して権限を委譲する場合の処理について詳述する。図13は本実施形態に係る情報管理システムの権限委譲時におけるデータアクセス方法を説明するためのシーケンスを示す図である。
【0049】
利用者端末装置1が、権限委譲要求を情報アクセス管理装置8に対して送信すると(ステップC1)、情報アクセス管理装置8は、アクセス時刻、利用者ID、端末状況及び場所等についての判定処理を行い(ステップC2)、セキュア値を算出するためのアクセス環境の各値を調査する(ステップC3)。
【0050】
アクセス権生成部34は、セキュア値を生成し、このセキュア値をポリシ比較判定部22に対して送信し(ステップC4)、ポリシ比較判定部22は、ポリシ設定値を読み出して、これらのセキュア値とポリシデータとを比較して利用者の権限を判定する(ステップC5)。この判定では、ポリシ比較判定部22は、利用者端末装置6の利用者である被委譲者への権限の委譲が、セキュリティポリシに適合しているか否かを判定し(ステップC6)、この権限の委譲がセキュリティポリシに適合している場合には、アクセス受付部20を介して利用者端末装置1に対して、委譲許可通知を送信する(ステップC7)。
【0051】
委譲許可通知を受信した利用者端末装置1は、利用者に対して、委譲レベル、被委譲者ID(被委譲者情報)、要求ポリシ、委譲日、委譲時間などの権限委譲データの入力を許容し、入力された権限委譲データを利用者IDとともに情報アクセス管理装置8に対して送信する(ステップC8)。情報アクセス管理装置8は、受信した利用者IDと権限委譲データに基づいて、権限委譲データ記憶部21(権限委譲データ記憶手段)に記憶した権限委譲データを更新する(ステップC9)。利用者IDは委譲者IDとして記憶される。そして処理完了通知を利用者端末装置1に対して送信する(ステップC10)。
【0052】
権限委譲処理が完了した状態において、利用者端末装置6の利用者である権限の被委譲者が、情報アクセス管理装置8に対してデータ要求を送信すると(ステップC11)、情報アクセス管理装置8は、認証データの参照により、環境についての判定処理を行なう(ステップC12)。ここで、情報アクセス管理装置8は、権限委譲データ記憶部21の被委譲者ID48を調査し、被委譲者である利用者端末装置6の利用者IDがあった場合には、権限委譲があったと判断し、ポリシ比較判定部22へも通知される。情報アクセス管理装置8は、アクセス環境の各値を調査し(ステップC13)、アクセス権生成部34は、セキュア値を生成しこのセキュア値をポリシ比較判定部22に送信する(ステップC14)。ポリシ比較判定部22は、ポリシ設定値の読み出しにより、利用者の権限を判定し(ステップC15)、委譲データの読み出しにより、権限委譲処理の続行について判定を行なう(ステップC16)。ポリシ比較判定部22は、権限委譲データ記憶部21の要求ポリシ49に記憶された要求ポリシに基づいて権限を委譲すると判定すると、アクセス権限を権限委譲データ記憶部21の委譲レベル47に記憶された委譲レベルに変更するとともに、文書入出力部23に対してファイル入出力制御を送信する(ステップC17)。文書入出力部23は、文書データベース18の文書データを参照し、この文書データをポリシに併せて加工し(ステップC18)、この加工された文書データを利用者端末装置6に対して送信する(ステップC19)。このように、権限の委譲者は利用者端末装置1を用いて、利用者端末装置6を利用する被委譲者に対して権限を委譲することができる。従って、本発明の情報管理システムは、所望のデータへのアクセス権限を、場所と人とに応じて移譲することができるといえる。
【0053】
このようにして、本発明によれば、利用者及び端末装置の安全性と周囲環境の安全性とが考慮された文書情報へのアクセス制御を、利用者に意識させずに自動的に実施することが可能になる。また、権限の委譲を安全にかつ効果的に行うことができる。権限が与えられた利用者は、セキュリティポリシにしたがった場所でのみ権限を行使することができるので、その利用者の不注意による情報の漏えいが防止される。
【0054】
また、本発明によれば、アクセス権を有する者であってもゾーンによっては文書へのアクセスが禁止されるため、利用者がアクセスする場所に応じてアクセスを禁止し、あるいはアクセスを制限することができる。従って、店舗など、不特定多数の人が存在する場所など、場所に応じたセキュリティの管理が行えるようになる。
【0055】
(第2の実施形態)
情報アクセス管理装置8が人及び場所に応じて利用者端末装置1又は6に対して文書アクセスを許可した場合でも、社内従業員が、協力関係にある会社の従業員と商品について打ち合わせることがある。この場合は、社内従業員は、その商品についての全情報のうちの原価情報を協力会社の従業員に対して閲覧させることができるが、その商品の取り扱い手数料の情報をその従業員に対して閲覧させることはできない。本発明の第2の実施形態に係る情報アクセス管理装置は、例えば打ち合わせの場所において、データシートに記載される複数のデータ項目のうちの一部のデータ項目をマスクするようにしている。
【0056】
以下に、本発明の第2の実施形態に係る情報管理システムを図14を用いて説明する。
【0057】
図14は本発明の第2の実施形態に係る情報管理システムの構成図である。本実施形態に係る情報管理システムは、利用者端末装置1、6と、利用者端末装置1、6のそれぞれと接続されたネットワーク7と、これらの利用者端末装置1、6及びネットワーク7に接続された情報アクセス管理装置52とを備えている。図14に示すもののうちの上述した符号と同じ符号を有するものは第1の実施形態において説明したものと同じである。また、利用者端末装置1、6についての位置計測の方法も第1の実施形態でのそれらの位置計測の方法と同じである。
【0058】
本実施形態に係る情報アクセス管理装置52には、文書入出力部23から出力される文書データの内容を検査して、セキュリティに反している内容を含む文書に対してマスク処理を行うマスク処理部53が設けられており、このマスク処理された文書がアクセス受付部20に入力される。
【0059】
また、本実施形態に係る情報アクセス管理装置52も、データ処理ユニット29によって全体をコントロールされて、ネットワーク7とのインターフェース処理を行うアクセス受付部20を通じて利用者端末装置1、6と交信可能にされている。これにより、情報アクセス管理装置52においては、アクセス環境調査部30が利用者端末装置1、6の位置を検査してZONE値を出力し、利用者調査部31は利用者端末装置1、6から送信された利用者ID(利用者情報)を用いて利用者が正規利用者であるかを調べてIDLV値を出力し、アクセス時間調査部32はアクセス要求のあった時刻を調べてTIME値を出力し、アクセス端末調査部33はアクセスしている端末が安全か否かを調査してTERM値を出力し、アクセス権生成部34はIDLV値、TERM値、TIME値、ZONE値等、アクセス制御の基になるセキュア値を生成する。本実施形態に係る情報アクセス管理装置52によるセキュア値の生成方法も第1の実施形態におけるその方法と同じである。
【0060】
本実施の形態でも、アクセス権生成部34、ポリシ比較判定部22及び文書入出力部23によって情報アクセス制御手段の機能が実現する。情報アクセス管理装置52は、位置情報と異なるデータをアクセス環境情報として出力しても良い。利用者端末装置1や6がGPS機能を利用した場合は、GPS衛星から受信した信号によって緯度経度からなる位置情報を利用者端末装置1又は6が出力し、アクセス環境調査部30が、緯度経度からなる位置情報に対応するアクセス環境情報「1〜4」を出力することができる。
【0061】
また、認証データ保持部24に記憶されるデータも第1の実施形態の例と同じである。すなわち、認証データは、利用者ID、元々保有するアクセス権限のレベルを示す権限レベル、通常の利用者が利用する時間帯を示す利用許可時間帯、利用者が利用の登録をした端末装置に固有な値を示す端末鍵、誰かに対して権限を委譲する状態になっているか否かを示す権限委譲有無、権限を委譲するときの相手に与える権限を示す委譲レベルからできている。利用者端末装置1又は6からの利用者IDをキーとして、権限レベル、利用許可時間帯、端末鍵、権限委譲有無及び委譲レベルの各内容を表すデータが入出力される。
【0062】
認証データ保持部24においても利用者の文書情報へのアクセス権限が決められており、文書の種別、印刷や保存などの操作が決められているが、アクセスする端末の安全性や、環境の安全性については考慮されていないので、やはり、本実施形態に係る情報管理システムはこれらをカバーすることになる。得られたIDLV値(アクセス権限情報)、TERM値(アクセス端末情報)、TIME値(アクセス時間情報)、ZONE値(アクセス環境情報)はアクセス権生成部34に加えられ、これらの値はセキュア値として取り扱われる。
【0063】
また、利用者が権限を委譲するためのコマンドを発行した場合には、アクセス権生成部34は、認証データ保持部24に権限委譲フラグをたてるとともに委譲レベルを入力する。また、権限委譲処理が発生した場合には権限委譲データ記憶部21の権限委譲データも更新される。権限委譲データ記憶部21に対して利用者端末装置1、6からのアクセスがあった場合には、利用者IDをキーとして権限委譲データ記憶部21内を権限委譲データが検索され、検索された権限委譲データがポリシ比較判定部22に現れる。
【0064】
ポリシデータ保持部19に記憶されたポリシデータにより、セキュア値の取り得る値に対して、文書データヘのアクセスや、データの印刷や保存などの操作の権限が定められ、本実施形態においても最大300ポリシを設定することが可能である。セキュア値がIDLV=4、TERM=3、ZONE=4、TIME=2を示すときには、安全な場所で、特定された端末を利用していると判断されるので、その利用者の権限の全てが利用できるようにされている。本実施形態に係る情報管理システムにおいても、権限委譲が無い限り、利用者本来の権限を越えることはないようにされている。情報アクセス管理装置52も、ポリシデータ保持部19に予めポリシデータテーブルとして作成されたポリシデータにしたがう。
【0065】
ポリシ比較判定部22は、アクセス権生成部34にて得られたセキュア値と、ポリシデータ保持部19から読み出されたデータとを比較して利用者の権限を決定し、文書入出力部23にポリシにあった文書アクセスを行うことの指示を与える。また、情報アクセス管理装置52は、権限委譲データ記憶部21をも考慮している。利用者が権限を委譲されており、かつ委譲者の指定するポリシに沿った端末環境が構築されている場合には、アクセス権限の昇格などが行われる。文書入出力部23はアクセス権限のある文書の要求に対して文書データベース18から文書データを取り出すが、その他にも、ポリシデータ保持部19のセキュリティポリシデータに準拠した印刷や保存などの文書操作を制限するような文書データの加工を行う機能を有する。文書データはマスク処理部53に送られる。
【0066】
このマスク処理部53は、文書データ自身の内容を検査する。文書が適切に管理され、アクセス権限が正しく付与されている場合は問題は無いが、利用者が誤って機密文書のアクセス権限レベルを低く付した場合、あるいはアクセス権限レベルを付し忘れた場合には、内容に対する権限の無い利用者に対してデータが提供されてしまう恐れがある。この為、マスク処理部53は、文書データの中身をスキャンして、問題のあるキーワードが記載されていないかどうかを検査する。キーワードとしては例えばNGワードが用いられる。マスク処理部53は、文書データに含まれる文章の文節毎にNGワードの有無を検出する。
【0067】
マスク処理部53は、問題があった文書が存在する場合には、「機密情報の為該当箇所を削除」などのメッセージが利用者端末装置1、6に表示されるような処理や、問題のある部分のデータを塗りつぶすあるいは削除するなどの方法によって、文書データの該当部分に対して情報が漏えいしないようなマスクを掛けるようにする働きを行う。従って、マスク処理部53は、情報アクセス制御手段によりアクセスを制御される情報のうち、情報をアクセスするためのセキュリティポリシと異なる内容を含む情報に対してマスク処理を行う。これにより、権限の設定ミスや管理ミスなどによって情報漏えいが発生することを防止することができる。マスク処理を行う具体例としては、例えば文書データ作成時にテキスト形式の文字データのうち、あらかじめマスクすべきマスク範囲箇所を指定しておき、マスク処理が必要な場合にマスク範囲箇所のデータを削除、又は別の文字データに変更することでマスク処理を行うことが考えられる。
【0068】
最終的にマスク処理部53により得られた文書データは、アクセス受付部20を通してアクセス元の利用者端末装置1、6に送られることにより処理が完了する。
【0069】
このようにして、本実施形態に係る情報アクセス管理装置52によれば、文書データベース18の文書を出力する要求が生じた場合に、利用者、端末の安全性、アクセス時刻、アクセス環境をセキュリティポリシと比較するため、文書の出力が安全に行われる。また、情報漏えいが防止され、文書を効率よく閲覧するためのアクセス権限の委譲を安全かつ容易に実施することが実現されるようになる。
【0070】
また、本実施形態に係る情報アクセス管理装置52によれば、やはり、データへのアクセス制御を、利用者及び複数の場所に応じて管理することができる。
【0071】
(第3の実施形態)
第1の実施形態及び第2の実施形態においては、文書データが情報アクセス管理装置8(又は52)の内部のデータベースに保持されていたが、第3の実施形態では文書データを情報アクセス管理装置8又は52の外部の記憶装置に保持し、この記憶装置への利用者端末装置1、6からのアクセス要求を制御するようにもできる。
【0072】
本発明の第3の実施形態に係る情報管理システムは、図15に示すように、利用者端末装置1、6と、利用者端末装置1、6のそれぞれと接続された第1ネットワーク54と、この第1ネットワーク54に接続され利用者端末装置1及び6と通信可能な情報アクセス管理装置55と、この情報アクセス管理装置55に接続されたもう一つの第2ネットワーク56と、この第2ネットワーク56に接続され情報アクセス管理装置55との間でデータの入出力が可能な文書サーバ57とを備えている。
【0073】
情報アクセス管理装置55は、第1ネットワーク54に接続され利用者端末装置1、6との間でデータを送受信する第1データ送受信部58と、第1ネットワーク54に接続された利用者端末装置1、6から第2ネットワーク56に接続された文書サーバ57へのアクセスを切り替え制御するアクセススイッチ(アクセススイッチ手段)59と、このアクセススイッチ59及び第2ネットワーク56に接続され文書サーバ57とデータの入出力が可能な第2データ送受信部60とを備えている。文書サーバ57は、文書データを保持するデータ記憶手段でもある。本実施の形態では、アクセス権生成部34、ポリシ比較判定部22及びアクセススイッチ59が協働することにより、情報アクセス制御手段の機能が実現する。情報アクセス制御手段は、IDLV値(アクセス権限情報)と、ZONE値(アクセス環境情報)とを、アクセス条件であるセキュリティポリシと比較して、文書サーバ57が安全に利用されると判断した場合には利用者端末装置1、6からのアクセス要求を文書サーバ57へ伝えるように、利用者端末装置1、6から文書サーバ57へのアクセスを切り替え制御する。これら以外のもので図15に示すもののうちの上述した符号と同じ符号を有するものは第1の実施形態において説明したものと同じである。また、利用者端末装置1、6についての位置計測の方法も、第1の実施形態及び第2の実施形態でのそれらの位置計測の方法と同じである。
【0074】
情報アクセス管理装置55は、データ処理ユニット29によって全体をコントロールされており、利用者のアクセス権限、端末の安全性、利用環境の安全性、アクセス要求時刻、権限の委譲によるアクセス権限の変化などを総合的に判断し、セキュリティポリシに沿った内容でアクセススイッチ59を制御する。利用者端末装置1、6からの文書サーバ57へのアクセス要求が通過する順番は、第1ネットワーク54、第1データ送受信部58、アクセススイッチ59、第2データ送受信部60、第2ネットワーク56、文書サーバ57である。
【0075】
情報アクセス管理装置55では、第1データ送受信部58にて受信されたデータをアクセス受付部20が受け取ってこのデータを検査する。アクセス受付部20に接続されたアクセス環境調査部30は利用者端末装置1、6の位置を検査してZONE値を出力し、利用者調査部31は利用者端末装置1、6から送信された利用者IDを用いて利用者が正規の利用者であるかを調べてIDLV値を出力し、アクセス時間調査部32はアクセス要求のあった時刻を調べてTIME値を出力し、アクセス端末調査部33はアクセスしている端末が安全か否かを調査してTERM値を出力し、そしてアクセス権生成部34はIDLV値、TERM値、TIME値、ZONE値らアクセス制御の基になるセキュア値を生成する。セキュア値を生成する方法は第1の実施形態でのセキュア値の生成方法と同様である。
【0076】
また、認証データ保持部24の記憶する認証データは、利用者ID、元々保有するアクセス権限のレベルを示す権限レベル、通常利用者が利用する時間帯を示す利用許可時間帯、利用者が利用登録した端末装置固有の値を示す端末鍵、誰かに権限を委譲する状態になっているか否かを示す権限委譲有無、権限を委譲するときの相手に与える権限を示す委譲レベルからなる。利用者端末装置1又は6からの利用者IDをキーとして、権限レベル、利用許可時間帯、端末鍵、権限委譲有無及び委譲レベルの各内容を表すデータが入出力される。
【0077】
認証データ保持部24においても利用者の文書情報へのアクセス権限が決められており、文書の種別、印刷や保存などの操作が決められているが、アクセスする端末の安全性や、環境の安全性については考慮されていないので、これらは本実施形態に係る情報アクセス管理装置55によってカバーされる。得られたIDLV値(アクセス権限情報)、TERM値(アクセス端末情報)、TIME値(アクセス時間情報)、ZONE値(アクセス環境情報)はアクセス権生成部34に加えられ、これらの値はセキュア値として取り扱われる。
【0078】
また、利用者が権限を委譲するためのコマンドを発行した場合には、アクセス権生成部34は認証データ保持部24に権限委譲フラグをたてるとともに委譲レベルを入力する。また、権限委譲処理が発生した場合には、アクセス権生成部34によって権限委譲データ記憶部21の権限委譲データも更新される。権限委譲データ記憶部21に対して利用者端末装置1、6からのアクセスがあった場合には、利用者IDをキーとして権限委譲データ記憶部21内を権限委譲データが検索され、検索された権限委譲データがポリシ比較判定部22に現れる。
【0079】
本実施形態に係る情報アクセス管理装置55も、セキュア値の取り得る値に対して文書データヘのアクセス権限を定めた300種類のポリシデータによって最大300ポリシを設定することが可能である。セキュア値がIDLV=4、TERM=、ZONE=4、TIME=2を示すときには、利用者が安全な場所で、特定された端末を利用していると判断されるので、その利用者の権限の全てが利用できるようにされる。なお、権限委譲が無い限り、利用者本来の権限を越えることはない。このようなポリシはポリシデータ保持部19にポリシデータテーブルとして予め作成される。
【0080】
ポリシ比較判定部22は、アクセス権生成部34にて得られたセキュア値とポリシデータ保持部19等のデータとを比較して、利用者の権限を決定して文書サーバ57へのアクセスの可否に関するデータをアクセススイッチ59に伝える。
【0081】
アクセススイッチ59は文書サーバ57へのアクセスについての許可や遮断を行う。また、アクセス権の詳細は文書サーバ57にも与えられ、これにより、文書サーバ57における細かなアクセス制御を行うことも可能である。
【0082】
また、第2ネットワーク56に接続される機器は、文書サーバ57のみならず、各種のネットワーク機器でもよい。これらに対する利用者端末装置1、6のアクセス制御を情報アクセス管理装置55が行うことも可能である。
【0083】
これにより、利用者のアクセス権限、端末の安全性、利用環境の安全性、アクセス要求時刻、権限の委譲によるアクセス権限の変化などを総合的に判断し、セキュリティポリシにそった内容で第2ネットワーク56に接続されたネットワーク機器などを利用することができ、不注意による情報漏えいなどをなくすことができる。
【0084】
このように、本実施形態に係る情報アクセス管理装置55によれば、第1ネットワーク54から、第2ネットワーク56に接続された文書サーバ57へのアクセス要求があると、利用者、端末の安全性、アクセス時間、アクセス環境がセキュリティポリシと比較され、文書サーバ57が安全に利用されると判断された場合には、アクセススイッチ59の動作により、第1ネットワーク54からのアクセス要求が第2ネットワーク56に伝えられて文書サーバ57へのアクセスが行われる。
【0085】
また、本実施形態に係る情報アクセス管理装置55によれば、データへのアクセス制御を、利用者及び複数の場所に応じて管理することができる。
【0086】
なお、本発明は上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。
【0087】
また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせてもよい。例えば、第2の実施形態で説明したマスク処理部53を、第3の実施形態に係る情報アクセス管理装置55に設けて構成することもできる。
【0088】
また、本実施の形態では装置内部に発明を実施する機能が予め記録されている場合で説明をしたが、これに限らず同様の機能をネットワークから装置にダウンロードしても良いし、同様の機能を記録媒体に記憶させたものを装置にインストールしてもよい。記録媒体としては、CD−ROM等プログラムを記憶でき、かつ装置が読み取り可能な記録媒体であれば、その形態は何れの形態であっても良い。またこのように予めインストールやダウンロードにより得る機能は装置内部のOS(オペレーティング・システム)等と協働してその機能を実現させるものであってもよい。
【図面の簡単な説明】
【0089】
【図1】本発明の第1の実施形態に係る情報管理システムの構成図である。
【図2】本発明の第1の実施形態に係る端末装置のアクセス位置の計測方法を説明するための図である。
【図3】本発明の第1の実施形態に係る情報アクセス管理装置のセキュア値の一例を示す図である。
【図4】セキュア値(IDLV値)の詳細を示す図である。
【図5】セキュア値(TERM値)の詳細を示す図である。
【図6】セキュア値(TIME値)の詳細を示す図である。
【図7】セキュア値(ZONE値)の詳細を示す図である。
【図8】位置情報の出力方法を説明するためのフローチャートである。
【図9】認証データテーブルの一例を示す図である。
【図10】権限委譲データテーブルの一例を示す図である。
【図11】本発明の第1の実施形態に係るセキュリティポリシ記憶手段に記憶されるポリシデータテーブルの一例を示す図である。
【図12】本発明の第1の実施形態に係る端末装置から情報アクセス管理装置への通常時におけるデータアクセス方法を説明するためのシーケンスを示す図である。
【図13】本発明の第1の実施形態に係る情報アクセス管理装置の権限委譲時におけるデータアクセス方法を説明するためのシーケンスを示す図である。
【図14】本発明の第2の実施形態に係る情報管理システムの構成図である。
【図15】本発明の第3の実施形態に係る情報管理システムの構成図である。
【符号の説明】
【0090】
1,6…利用者端末装置(端末装置)、2…情報処理端末、3…利用者認識部、4…位置センサ部、5…鍵管理部、7…ネットワーク、8,52,55…情報アクセス管理装置、9…端末ゾーン、9a…ゾーン信号発信器、10〜13…位置センサアンテナ、14〜17…ゾーン、18…文書データベース(データ記憶手段)、19…ポリシデータ保持部(セキュリティポリシ記憶手段)、20…アクセス受付部(受信手段)、21…権限委譲データ記憶部(権限委譲データ記憶手段)、22…ポリシ比較判定部(情報アクセス制御手段)、23…文書入出力部(情報アクセス制御手段)、24…認識データ保持部、25…CPU、26…RAM、27…入出力機器、28…ROM、29…データ処理ユニット、30…アクセス環境調査部(アクセス環境調査手段)、31…利用者調査部(利用者調査手段)、32…アクセス時間調査部、33…アクセス端末調査部、34…アクセス権生成部(情報アクセス制御手段)、35〜39…セキュア値、40…利用者ID(利用者情報)、41…権限レベル、42…利用許可時間帯、43…端末鍵、44…権限委譲有無、45,47…委譲レベル、46…委譲者ID、48…被委譲者ID(被委譲者情報)、49…要求ポリシ、50…委譲日、51…委譲時間、53…マスク処理部、54…第1ネットワーク、56…第2ネットワーク、57…文書サーバ、58…第1データ送受信部、59…アクセススイッチ、60…第2データ送受信部。
【特許請求の範囲】
【請求項1】
情報を記憶するデータ記憶手段と、
端末装置から利用者情報と、前記端末装置の位置情報と、利用者の権限が委譲される被委譲者情報を含む権限委譲データを受信する受信手段と、
前記利用者情報に基いて前記端末装置の利用者のアクセス権限情報を出力する利用者調査手段と、
前記位置情報に基いて前記端末装置のアクセス環境情報を出力するアクセス環境調査手段と、
前記権限委譲データに基いて前記利用者の権限委譲に関する情報を記憶する権限委譲データ記憶手段と、
少なくとも前記アクセス権限情報と前記アクセス環境情報とを含み前記データ記憶手段に記憶した情報へアクセスするための条件を記憶したセキュリティポリシ記憶手段と、
前記アクセス権限情報と、前記アクセス環境情報とを、前記セキュリティポリシ記憶手段に記憶した前記条件と比較して前記端末装置の利用者のアクセス権限を決定し、
前記利用者が前記権限委譲データ記憶手段に記憶された被委譲者であった場合には、権限委譲データ記憶手段に記憶された権限委譲データに基いて利用者のアクセス権限を変更し、
前記条件に従って前記データ記憶手段に記憶した情報へのアクセスを制御する情報アクセス制御手段と、を備えたことを特徴とする情報アクセス管理装置。
【請求項2】
前記権限委譲データには被委譲者に委譲される委譲レベルが含まれ、前記権限委譲データ記憶手段に記憶された委譲レベルに基づいて利用者のアクセス権限が変更されることを特徴とする請求項1記載の情報アクセス管理装置。
【請求項3】
前記権限委譲データには被委譲者に要求される要求ポリシが含まれ、前記権限委譲データ記憶手段に記憶された要求ポリシに基づいて利用者の前記データ記憶手段に記憶した情報へアクセスするための条件が決定されることを特徴とする請求項1又は請求項2に記載の情報アクセス管理装置。
【請求項1】
情報を記憶するデータ記憶手段と、
端末装置から利用者情報と、前記端末装置の位置情報と、利用者の権限が委譲される被委譲者情報を含む権限委譲データを受信する受信手段と、
前記利用者情報に基いて前記端末装置の利用者のアクセス権限情報を出力する利用者調査手段と、
前記位置情報に基いて前記端末装置のアクセス環境情報を出力するアクセス環境調査手段と、
前記権限委譲データに基いて前記利用者の権限委譲に関する情報を記憶する権限委譲データ記憶手段と、
少なくとも前記アクセス権限情報と前記アクセス環境情報とを含み前記データ記憶手段に記憶した情報へアクセスするための条件を記憶したセキュリティポリシ記憶手段と、
前記アクセス権限情報と、前記アクセス環境情報とを、前記セキュリティポリシ記憶手段に記憶した前記条件と比較して前記端末装置の利用者のアクセス権限を決定し、
前記利用者が前記権限委譲データ記憶手段に記憶された被委譲者であった場合には、権限委譲データ記憶手段に記憶された権限委譲データに基いて利用者のアクセス権限を変更し、
前記条件に従って前記データ記憶手段に記憶した情報へのアクセスを制御する情報アクセス制御手段と、を備えたことを特徴とする情報アクセス管理装置。
【請求項2】
前記権限委譲データには被委譲者に委譲される委譲レベルが含まれ、前記権限委譲データ記憶手段に記憶された委譲レベルに基づいて利用者のアクセス権限が変更されることを特徴とする請求項1記載の情報アクセス管理装置。
【請求項3】
前記権限委譲データには被委譲者に要求される要求ポリシが含まれ、前記権限委譲データ記憶手段に記憶された要求ポリシに基づいて利用者の前記データ記憶手段に記憶した情報へアクセスするための条件が決定されることを特徴とする請求項1又は請求項2に記載の情報アクセス管理装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【公開番号】特開2008−305253(P2008−305253A)
【公開日】平成20年12月18日(2008.12.18)
【国際特許分類】
【出願番号】特願2007−153023(P2007−153023)
【出願日】平成19年6月8日(2007.6.8)
【出願人】(000003562)東芝テック株式会社 (5,631)
【Fターム(参考)】
【公開日】平成20年12月18日(2008.12.18)
【国際特許分類】
【出願日】平成19年6月8日(2007.6.8)
【出願人】(000003562)東芝テック株式会社 (5,631)
【Fターム(参考)】
[ Back to top ]