情報セキュリティシステム、そのサーバ、プログラム
【課題】特に可搬型情報処理端末を使用する場合において、重要情報の情報漏洩の可能性を極めて低くできる。
【解決手段】利用者PC端末10には、通常、重要情報ファイルは格納されていないか、又は暗号化されて格納されている。RFID通知部12は、定期的に、RFIDリーダ11によって当該端末10自体や利用者や現在位置に備えられるRFIDタグのRFIDコードを読み取らせて、これをサーバ20に送信する。これを受信したサーバ20は、その利用資格判定部23が利用条件記憶部21を参照して、端末10に係る現在の利用資格を判定する。ファイル利用制御部13は、利用者が重要情報ファイルをオープンしようとした場合、サーバに要求を送り、許可判定部24は、上記利用資格とファイル・レベル記憶部22の記憶内容とに基づいて、オープン許可するか否かを判定し、許可する場合には、上記重要情報ファイルを端末10にダウンロードするか、又はその復号鍵を返信する。
【解決手段】利用者PC端末10には、通常、重要情報ファイルは格納されていないか、又は暗号化されて格納されている。RFID通知部12は、定期的に、RFIDリーダ11によって当該端末10自体や利用者や現在位置に備えられるRFIDタグのRFIDコードを読み取らせて、これをサーバ20に送信する。これを受信したサーバ20は、その利用資格判定部23が利用条件記憶部21を参照して、端末10に係る現在の利用資格を判定する。ファイル利用制御部13は、利用者が重要情報ファイルをオープンしようとした場合、サーバに要求を送り、許可判定部24は、上記利用資格とファイル・レベル記憶部22の記憶内容とに基づいて、オープン許可するか否かを判定し、許可する場合には、上記重要情報ファイルを端末10にダウンロードするか、又はその復号鍵を返信する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理装置の存在場所情報も用いる情報漏洩防止方法に関する。
【背景技術】
【0002】
従来より、例えば、特許文献1、特許文献2に記載の技術が存在する。
特許文献1には、GPS(全地球測位システム)等により情報処理装置の位置情報を取得し、情報処理装置内に記憶してある位置情報との比較等により位置変化があるか否かを判定し、変化している場合には、情報処理装置の強制停止する(又はパスワードの入力を求める等の規制を行う)技術が開示されている。これにより、情報処理装置自体の盗難、又は情報処理装置内に記憶されている情報の盗難を防止することができる。
【0003】
また、特許文献2には、認証システムの不完全性の補完を目的として、利用者、取引種別等に応じた最適な認証方法の組み合わせ(例えばパスワードと時間と声紋)による本人認証を行う技術が開示されている。また、特許文献2には、顧客端末として携帯電話を用いる場合に、GPSや基地局情報によって顧客端末の位置情報を特定することにより、予め指定した位置においてのみ取引が可能となる認証方法が開示されている。
【特許文献1】特開2001−290553号公報
【特許文献2】特開2004−240645号公報
【特許文献3】特開2002−157040号公報
【特許文献4】特開平11−332631号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
ところで、近年、例えば企業の重要情報等の漏洩が問題になっている。特に、近年、ノードパソコン等のような持ち運び可能な情報処理端末(可搬型情報処理端末というものとする)を各社員が所持して利用するケースも増えてきている。例えば営業マン等が、営業先にノートパソコン等の携帯可能な情報処理装置を持参して商品説明、プレゼンテーション等を行う場合がある。この様な場合、通常、予めノートパソコン等の装置内に、商品説明、プレゼンテーション用のデータ(場合によっては重要情報等)を記憶して、客先にノートパソコン等を持参することになる。
【0005】
この為、例えば客先に向かう途中でノートパソコンを紛失・盗難等することにより、重要情報の漏洩の可能性がある。指紋認証等で持ち主以外はノートパソコンを使用できなくする場合でも、ハードディスクを取り出されて情報を読み出されてしまう可能性がある。
更に、情報漏洩は、盗難・紛失等による場合に限らない。社員の不注意な行動によっても情報漏洩する可能性がある。例えば、営業マンが、営業先に向かう途中(電車の中、喫茶店等)で、例えば最終確認等の為に、データを表示させることがあり、近くに居る第3者に、データの内容を見られてしまう可能性がある。あるいは、社員が、悪意を持って、重要情報等を盗み出そうしたり、閲覧しようとする可能性もある。
【0006】
更に、ノートパソコンを社内で使用する場合でも、例えば部内秘の情報のように、他の部署の社員に見られてはいけない情報もある。
上記問題に対して、重要情報へのアクセスを厳しく制限すると、今度は、業務に支障が出る可能性がある。
【0007】
上記特許文献1では、情報処理装置の利用場所を固定し、他の場所では利用できなくしている為、他の場所での使用を前提としている上記問題には対応できない。
上記特許文献2では、利用場所は固定ではなく、更に現在位置も考慮しているが、上記問題を解決するものではない。すなわち、重要情報等へのアクセスを厳しく制限することなく、重要情報等の漏洩を防止できるものではない。
【0008】
更に、GPSを用いる場合、建物内では衛星からの電波を受信し難い為、位置計測が困難となる。また、基地局情報を用いる場合でも、予め指定された基地局と通信可能な位置であれば何処でもよいことになり、例えば社内の特定の場所(例えば会議室のみ、上司の席のみ等)を指定したい場合には対応できない。
【0009】
本発明の課題は、特に可搬型情報処理端末を使用する場合において、重要情報の情報漏洩の可能性を極めて低くできる情報セキュリティシステム、そのプログラム等を提供することである。
【課題を解決するための手段】
【0010】
本発明の情報セキュリティシステムは、各可搬型情報処理装置は、該可搬型情報処理装置の識別情報、利用者の識別情報、場所の識別情報のうち検出可能な識別情報を検出してサーバに通知する識別情報検出・通知手段と、任意のファイルの利用を指示されたとき、該ファイルがセキュリティ対象ファイルである場合には、前記サーバに問い合わせ、該問い合わせに対する応答に応じて該指示されたファイルの利用を制御するファイル利用制御手段とを有し、前記サーバは、予め前記3種類の識別情報の特定の組み合わせ毎に対応付けて利用資格を記憶する第1の記憶手段と、予め各ファイル毎のレベルを記憶する第2の記憶手段と、前記通知された各識別情報が前記第1の記憶手段に記憶されている特定の組み合わせに該当する場合に、前記通知元の可搬型情報処理装置に対して該特定の組み合わせに対応する前記利用資格を与える利用資格判定手段と、前記問い合わせがあったとき、前記指示されたファイルのレベルを前記第2の記憶手段を参照して求め、該問い合わせ元の可搬型情報処理装置に与えられている前記利用資格と該レベルを比較することで、前記指示されたファイルの利用を許可するか否かを判定して前記ファイル利用制御手段に応答する利用許可判定手段とを有するように構成する。
【0011】
上記情報セキュリティシステムでは、各可搬型情報処理装置毎に、現在の利用状況(利用者、場所)を検出してサーバに通知することで、セキュリティ対象ファイルの利用資格があるか否かを判定している。セキュリティ対象ファイルの利用資格がない可搬型情報処理装置において、利用者等がセキュリティ対象ファイルを参照しようとしても、許可されない。例えば、利用者自体は、その可搬型情報処理装置の正当な所有者であったとしても、現在の利用場所が、前記第1の記憶手段に記憶されている特定の場所(利用者の席、会議室、特定の客先等)以外の場所であれば、セキュリティ対象ファイルは参照できないことになる。
【0012】
また、例えば、前記第1の記憶手段には更に所定の利用条件が記憶されており、前記利用資格判定手段は、前記通知された各識別情報が前記第1の記憶手段に記憶されている特定の組み合わせに該当する場合であっても、該利用条件を満たしていない場合には、前記利用資格を与えないようにしてもよい。すなわち、セキュリティ対象ファイルの利用資格があるか否かの判定基準は、上記3種類の識別情報の特定の組み合わせに限らず、更に、日時等の何等かの利用条件を加えてもよい。あるいは、セキュリティ対象ファイルの利用資格が得られた場合に、全てのセキュリティ対象ファイルを参照可能とするのではなく、予め登録される特定のセキュリティ対象ファイルのみを参照可能としてもよい。
【発明の効果】
【0013】
本発明の情報セキュリティシステム、そのプログラム等によれば、特に可搬型情報処理端末を使用する場合において、重要情報の情報漏洩の可能性を極めて低くできる。
【発明を実施するための最良の形態】
【0014】
以下、図面を参照して、本発明の実施の形態について説明する。
尚、以下の実施の形態の説明では、端末10に関して、通常の利用環境を「企業内」とし、一時的な利用環境を「企業外」としており、また利用者は社員であるものとして説明するが、これは一例であり、この例に限らない。
【0015】
図1は、本例の情報セキュリティシステム全体のシステム構成図である。
まず、本手法では、ノートパソコン等の可搬型情報処理装置の識別情報、利用者の識別情報、場所の識別情報を検出する為に、例えば、RFID(Radio Frequency Identification)技術を利用する。よく知られているように、RFIDは、微小な無線チップにより人やモノを識別・管理する仕組みを提供するものである。一般的に、数cm程度の大きさのタグ(RFIDタグ)にデータを記憶し、電波や電磁波で読み取り器(RFIDリーダ11)と交信させる。近年ではアンテナ側からの非接触電力伝送技術により、電池を持たない半永久的に利用可能なRFIDタグも登場している。RFIDタグは、ラベル型、カード型、コイン型、スティック型など様々な形状があり、用途に応じて選択する。また、通信距離は数mm(ミリメートル)程度のものから数m(メートル)のものがあり、これも用途に応じて使い分けられる。本手法では、数cm(センチメートル)〜数m(メートル)程度の通信距離が必要となる。
【0016】
利用者PC端末10は、例えば任意の会社の各社員に与えられている情報処理装置であって、特にノートパソコン等の携帯可能な情報処理装置である。各社員は、自己の利用者PC端末10を用いて業務を遂行する。通常、業務に必要なファイルを自分で作成したり、サーバ20から共有ファイルを取得したり、他の利用者PC端末10から必要なファイルを取得したりして、これらファイルを自己の利用者PC端末10に格納し、必要に応じて参照・修正等を行うことになる。
【0017】
しかし、本手法では、重要な情報が格納されたファイル(重要情報ファイル;セキュリティ対象ファイル)は、たとえ自分が作成した個人的なファイルであっても、その都度、サーバ20の許可を得なければ参照等が行えないようにしている。これによって、社員の不注意や悪意の行動による重要情報の漏洩を防ぐことができる。サーバ20が許可する条件は、後に詳細に説明するが、まず第1に利用者PC端末10の現在の利用状況(利用者、場所)が条件としてあり、この利用状況を検出する為に、各利用者PC端末10には、RFIDリーダ11が備えられている。
【0018】
そして、利用者PC端末10には、予め、RFIDタグ(装置RFIDタグと呼ぶ)が取り付けられている。これは、例えば、シールによる貼り付けや、筐体への埋め込み等によって取り付ける。また、各社員にも、予め、RFIDタグ(利用者RFIDタグと呼ぶ)が取り付けられている(服やネクタイ等に取り付けてある。あるいは社員証等に内蔵されている)。
【0019】
更に、予め、利用者PC端末10の使用が想定される様々な場所に、RFIDタグ(場所RFIDタグと呼ぶ)が取り付けられている。取り付け場所は、一例としては、社内における各社員の席、会議室、応接室や、他の場所にある工場、研究所、支店等であり、また自社内に限らず更に各顧客の会社内等にも、場所RFIDタグは取り付けられている。取り付ける所は、机、床、天井、柱、壁等である。
【0020】
また、上記利用者PC端末10には、ネットワーク1を介してサーバ20にアクセスする為の通信機能が備えられている。社内でアクセスする場合にはLAN等に接続すればよいが、社外(顧客先)でアクセスすることも想定されているので、例えば、携帯電話機能や無線LANへの通信機能も備えることが望ましい。この場合には、例えば、インターネット等のネットワークを介してサーバ20にアクセスすることになる。つまり、ネットワーク1は、LANやインターネットや携帯電話網等である。
【0021】
また、利用者PC端末10は、RFID通知部12、ファイル利用制御部13を備える。
RFID通知部12は、例えば定期的に/利用者の操作に応じて、上記RFIDリーダ11によって上記3種類のRFIDタグのデータ(RFIDコード)を読み取らせて、これをサーバ20に送信する。これに対して、サーバ20から、当該端末10に利用資格(後述するセキュリティレベル)が与えられる(通知されてくる)ので、これを記憶する。
【0022】
ファイル利用制御部13は、利用者による任意のファイルの操作(オープン、保存等)に応じて、このファイルがセキュリティ対象ファイル(例えば重要情報ファイル)であれば、サーバ20にオープン要求/保存要求等を通知する。そして、この要求に対してサーバ20の許可が得られなければ、上記セキュリティ対象ファイルのオープン/保存等を行わない。尚、保存とは、例えばFD(フレキシブルディスク、CD−R等の可搬型記録媒体にファイルを保存する行為を意味する。尚、セキュリティ対象ファイル以外のファイル(一般情報ファイル)であれば、サーバ20の許可を得なくても、自由にオープン等できる。
【0023】
一方、サーバ20は、利用条件記憶部21、ファイル・レベル記憶部22、利用資格判定部23、及び許可判定部24を有する。
利用条件記憶部21は、例えば後述するポリシーテーブル60を記憶するものであり、特に上記3種類のRFIDタグ・データの特定の組み合わせに対応付けて、利用資格を格納してある。更に利用期間/時間やファイル名等の条件も加えて、利用資格を登録するものであってもよい。
【0024】
利用資格判定部23は、上記利用者PC端末10のRFID通知部12から上記RFIDコードが送られてくると、上記利用条件記憶部21を参照して、当該利用者PC端末10の現在の利用資格を判定する。
【0025】
ファイル・レベル記憶部22には、各ファイル毎に、そのセキュリティレベルが格納されている。当然、重要度が高いファイルほど、セキュリティレベルは高くなるが、以下の説明では、簡単にする為に、セキュリティレベルは、0(一般情報ファイル)と1(重要情報ファイル(=セキュリティ対象ファイル))のみとしている。勿論、この例に限らない。
【0026】
許可判定部24は、上記セキュリティ対象ファイルのオープン要求等を受信すると、ファイル・レベル記憶部22を参照して、オープン要求対象のファイルのセキュリティレベルを取得し、上記現在の利用資格と比較して、このファイルのオープンを許可するか否かを判定する。但し、本手法では、許可する場合に利用者PC端末10に許可通知を送信するようなものではない。例えば、基本的に、利用者PC端末10にはセキュリティ対象ファイルは一切格納されておらず、許可したときのみ、その都度、利用者PC端末10に、当該許可されたセキュリティ対象ファイルをダウンロードする。あるいは、別の方法としては、利用者PC端末10にはセキュリティ対象ファイルは格納されているが、全て暗号化されており、許可した場合のみ復号キーを与えるようにする。
【0027】
許可の条件として上記3種類のRFIDコードを用いることにより、例えば、たとえ所有者本人が自己の利用者PC端末10を使用する場合でも、上記特定の場所(場所RFIDタグが取り付けられている場所)以外では、重要情報の取得・閲覧等が行えなくなる。また、上記特定の場所であっても、その利用者PC端末10の使用が認められていない者が、上記重要情報の閲覧等を行おうとしても、利用者RFIDタグを用いたサーバ20の判定処理により、閲覧できないことになる。この様にして、第3者が重要情報を盗み見する危険性を回避することができる。詳しくは後述する。
【0028】
尚、図1の構成は、更に詳細な構成例としては、サーバ20はルータやファイアウォールを介してネットワーク1に接続しており、またサーバ20は、単一のサーバに限らず、例えば後述する図6〜図8の処理を行う認証サーバ、各種ファイルを格納するファイルサーバ、時刻認証サーバ等から成る構成であってもよい。また、RFIDリーダ11は、利用者PC端末10に内蔵されていてもよいし、外付けであってもよい(USB接続等)。
【0029】
図2〜図4に、利用者PC端末10の処理フローチャート図を示す。
まず、図2において、利用者PC端末10は、電源ON後に直ちにタイマを起動し(ステップS11)、その後、タイムアップ→再起動→タイムアップ→再起動・・・を繰り返す。そして、タイムアップする毎に(例えば10分毎)に、タイマ割り込みによって(ステップS14)、ステップS14〜S18の処理を実行する。それ以外にも、常時、装置の状態監視を行っており(ステップS12)、主に利用者の操作に応じた監視事象が発生する毎に(ステップS13,YES)、この発生した監視事象に応じた処理を実行する。図示の例では、監視事象として、利用者による任意のファイルのオープン操作、このファイルの内容の更新操作、このファイルのクローズ操作、シャットダウン操作等がある。
【0030】
まず、タイマ割り込みによる処理について説明する。タイマ割り込みが発生すると(ステップS14,YES)、まず、上記RFIDリーダ11によって上記各種RFIDタグのデータ(RFIDコード)を読み取らせる。尚、以下、上記装置RFIDタグ、利用者RFIDタグ、場所RFIDタグから読み取ったRFIDコードを、それぞれ、装置RFIDコード、利用者RFIDコード、場所RFIDコードと呼ぶものとする。
【0031】
上記RFIDリーダ11は、上記3種類のRFIDコード全てを読み取るとは限らない。そのときの状況によって、1種類だけかも知れないし、2種類だけかもしれない。何れの場合であっても、読み取り可能な全てのRFIDコードを読み取り、これを、記憶したRFIDコードと比較する(ステップS15)。
【0032】
そして、比較の結果、両者が完全一致する場合には(ステップS16,NO)、使用状況に変化は無いことになるので、そのままステップS12に戻る。一方、比較の結果、読み取ったRFIDコードと、記憶してあるRFIDコ−ドとが不一致の場合(ステップS16,YES)、利用状況が変化したことになるので、読み取ったRFIDコードを新たに記憶すると共に(ステップS17)、これをサーバ20に送信する(ステップS18)。
【0033】
尚、使用状況が変化するとは、例えば利用者が変わった場合や使用場所が変わった場合である。すなわち、例えば、最初は利用者PC端末10の所有者本人が自席で利用者PC端末10を操作していたが、席を外したときに上記処理が行われたならば、利用者RFIDコードが読み取れなくなるので、ステップS16の比較結果は不一致となる。あるいは、所有者本人が利用者PC端末10を持って自席から上司の席等に移動した場合には、場所RFIDコードが変わることになるので、比較結果は不一致となる。また、電源ON直後には、RFIDコードは全く記憶されていないので、この場合にも、比較結果は不一致となる。
【0034】
この様にして、定期的に、利用者PC端末10の使用状況(利用者や場所)をチェックし、使用状況が変わったならばサーバ20に通知し、サーバ20は、場合によっては上記利用資格(端末10に与えられるセキュリティレベル)を変更する。
【0035】
次に、上記利用者の操作に応じた各種監視事象が発生した場合の処理について説明する。
まず、利用者が任意のファイルのオープン操作を行った場合には(ステップS19,YES)、まず、当該指定されたファイルがセキュリティ対象ファイルであるか否かを判定する(ステップS20)。セキュリティ対象ファイルとは、例えばその内容に社外秘の情報や重要な情報が含まれるファイル(重要情報ファイル)等である。判定方法は様々であってよく、一例としては、セキュリティ対象ファイルには、そのファイル名にセキュリティ対象であることを示すデータが含まれる(例えば、ファイル名に必ず“重要”の文字が含まれる)ようにしておくか、その文章中に「社外秘」、「重要」等の文字が含まれるようにしておく。あるいは、予め各ファイルのセキュリティレベルをサーバ20の管理者等が決定しておき、不図示のファイル名−セキュリティレベル対応テーブル等を、予め利用者PC端末10に格納しておくようにしてもよい。
【0036】
指定されたファイルがセキュリティ対象ファイルではない場合(ステップS20,NO)、すなわち一般情報ファイルである場合には、指定されたファイルをオープンする(ステップS21)。一方、指定されたファイルがセキュリティ対象ファイルである場合(ステップS20,YES)、更にこのファイルが暗号化ファイルである場合には(ステップS22,YES)、このファイルに関するハッシュ値を生成し、このハッシュと共にオープン要求をサーバ20へ送信する(ステップS23,S24)。これは、もし、例えば悪意のある利用者が、セキュリティ対象のファイルのファイル名を、セキュリティレベルの低いファイル名に変更していた場合、オープン要求が許可されてしまう可能性があるので、サーバ20側でハッシュ値を用いた確認処理を行うことで、これを防止する為である。
【0037】
一方、セキュリティ対象ファイルは一切、利用者PC端末10に格納させずに、サーバ20側に格納させて、オープン要求がある毎に(そして許可されたら)セキュリティ対象ファイルを利用者PC端末10にダウンロードさせる方式の場合には(ステップS22,NO)、単に上記指定されたファイルのオープン要求を送信する(ステップS24)。
【0038】
尚、上記オープン要求送信の際には、更に、各種RFIDタグの読み取りを行い、読み取ったRFIDコードもサーバ20に送信する。
セキュリティ対象ファイルの場合、上記オープン要求に対してサーバ20側が後述する処理によって許可を出した場合のみ、利用者はファイルの内容を参照することができる。
【0039】
上記オープン要求が許可されて、ファイルがオープンされた後、利用者がこのファイルの内容の変更、削除、追加等の何らかの修正作業を行うと、これを検知して(ステップS25、YES)、処理中レベルを“更新”に変更する(ステップS26)。
【0040】
利用者が、上記オープンしたファイルをクローズする指示を出した場合(ステップS27,YES)、処理中レベルが“更新”となっているか否かをチェックし(ステップS28)、もし“更新”となっているならば(ステップS28,YES)、すなわちオープンしたファイルに何らかの変更が行われている場合には、変更後のファイルの内容をサーバ20に送信してチェックを依頼する(ステップS29)。そして、処理中レベルを“チェック中”にして(ステップS30)、ステップS12に戻る。
【0041】
あるいは、利用者が、任意のファイルをFD(フレキシブルディスク)やCD−R等にコピーする(保存する)指示を出した場合には(ステップS70,YES)、処理中レベルに関係なく、ステップS29の処理に移行する。すなわち、当該保存対象のファイルの内容をサーバ20に送信してチェックを依頼する(ステップS29)。そして、処理中レベルを“チェック中”にして(ステップS30)、ステップS12に戻る。
【0042】
一方、処理中レベルが“更新”となっていないならば(ステップS28,NO)、そのままファイルをクローズする(ステップS31)。そして、このファイルがセキュリティ対象ファイルであった場合には、このファイルを消去する。暗号化ファイルの場合は、復号化したファイルのみ消去するのであり、元の暗号化ファイルはそのまま残しておく。同じファイルを再び参照したい場合には、再度、オープン要求を送信して許可を得る必要がある。
【0043】
また、そのとき、もし、シャットダウン処理中であったならば(ステップS32,YES)、ステップS34の処理に移り、もし他にもオープン中のファイルがあったならば(ステップS34,YES)、ステップS28に移り、このファイルについても同様にして上記クローズ要求時の処理を実行する。
【0044】
利用者がシャットダウンを指示した場合(ステップS33,YES)、もしオープン中のファイルがあるならば(ステップS34,YES)、上記と同様、ステップS28に移り、このファイルについて上記クローズ要求時の処理を実行する。
【0045】
次に、上記ステップS18,S24、S29の何れかの処理に応じてサーバ20側から応答があった場合の処理について説明する。
すなわち、上記サーバ20からの応答を受信すると(ステップS41,YES)、応答種類を判別し(ステップS42)、応答種類に応じた処理を実行する。図示の例では、応答種類は、「起動拒絶」、「起動許可」、「オープン許可」、「オープン拒否」、「クローズ指示」、「データチェック結果」、及び「レベル変更」の7種類である。
【0046】
まず、「起動拒絶」/「起動許可」について説明する。ここで、本例の利用者PC端末10は、電源ONしても直ちに起動するのではなく、まず上記ステップS14〜S18の処理により、読み取ったRFIDコードをサーバ20に送信する。そして、サーバ20から「起動許可」が通知された場合のみ、起動処理を実行する。
【0047】
これより、サーバ20からの応答が「起動拒絶」であった場合には(ステップS43,YES)、例えばディスプレイに「起動拒否」を表示する等して、起動が拒否されたことを利用者に通知して(ステップS44)、起動処理を中止する(ステップS45)。一方、サーバ20からの応答が「起動許可」であった場合には(ステップS46,YES)、起動処理を実行する(ステップS47)。尚、後述する例では、サーバ20側に登録済みの端末10であれば起動許可されるが、更に利用者が、利用者PC端末10の所有者であるか、又は所有者以外であっても予め使用を許可されている者(例えば上司、同僚等)である場合にのみ、起動が許可され、それ以外の人間が使用しようとしても、起動自体が拒絶されるようにしてもよい。
【0048】
次に、上記ステップS24のオープン要求に対する応答は、「オープン許可」又は「オープン拒否」となる。応答が「オープン許可」の場合であって(ステップS48,YES)、指定されたセキュリティ対象ファイルが暗号化ファイルである場合には、応答にその復号キーが含まれているので(ステップS49,YES)、この復号キーを用いて暗号化ファイルのデータ復号化を実行し(ステップS50)、この復号化したファイルをオープンする(ステップS51)。一方、セキュリティ対象ファイルをサーバ20側に格納しておく形態では、「オープン許可」と共にこのファイルがダウンロードされるので(ステップS49,NO)、ダウンロードしたファイルをオープンする(ステップS51)。
更に、上記何れの形態の場合でも、上記「オープン許可」と共に当該許可されたファイルのセキュリティレベルが通知されてくるので、これを例えば図5(b)に示す使用中ファイル・テーブル40に記憶する(ステップS52)。
【0049】
一方、応答種類が「オープン拒否」であった場合には(ステップS53,YES)、利用者PC端末10のディスプレイにオープン拒否を表示する等して(ステップS54)、ファイルオープンは行わない。
【0050】
上記ステップS29又は後述するステップS67のデータ内容チェック依頼に対するサーバ20からの応答は、後述するステップS170による「クローズ指示」又はステップS171による「データチェック結果」となる。尚、後述するように、上記データ内容チェック依頼に応じたサーバ20側のデータ内容チェック処理は、変更されたファイルの内容をチェックすることで、このファイルのセキュリティレベルを設定し直す処理であり、「データチェック結果」は基本的には新たに設定されたセキュリティレベルである。但し、特にステップS67に関する処理の場合、場合によっては強制的に「クローズ指示」がくる場合がある。詳しくは後述する。
【0051】
応答種類が「クローズ指示」であった場合には(ステップS55,YES)、この応答に暗号キーが添付されている場合にはクローズ対象ファイルの暗号化を行い(ステップS56,YES、ステップS57)、そうでなければ(ステップS56,NO)、当該クローズ対象ファイルへのショートカットを作成する(ステップS57)。そして、クローズ対象のファイルをクローズする。更に、クローズしたファイルを消去する。暗号化ファイルの場合、これを復号化したファイルは消去されるが、暗号化ファイル自体は消去されない(ステップS59)。尚、このとき、シャットダウン処理中であれば(ステップS60,YES)、ステップS34の処理へ移行する。
【0052】
応答種類が上記チェック依頼に対する「データチェック結果」であった場合には(ステップS61,YES)、ステップS27のクローズ要求によるチェック依頼に対する応答である場合には(ステップS62,YES)、ステップS56に移り、上記ファイルクローズ処理を行う。
【0053】
一方、ステップS67のチェック依頼に対する応答である場合には(ステップS62,NO)、処理中レベルがステップS68によって「チェック中」になっているので、これを「更新」に戻す(ステップS63)。これは、例えば、元々、端末10にセキュリティレベル1が与えられており、任意のセキュリティレベル‘1’のファイルをオープンしてこれを修正中に、端末10のセキュリティレベルが0に変更された為、ステップS64,S65,S66の判定がYESとなり、データチェック依頼をサーバ20に送信したが、データチェック処理の結果、当該ファイルのセキュリティレベルが‘0’に変更された為、強制的にファイルをクローズさせることなく、修正作業の続行を許可する場合等が想定される。
【0054】
また、ステップS18によるサーバ20へのRFID送信に対して、サーバ20側で、セキュリティレベルの変更があると判定した場合には、サーバ20から、後述するステップS129によって、レベル変更として変更後のセキュリティレベルが通知されるので、これを受信すると(ステップS64,YES)、この変更後のセキュリティレベルでは“許可外”となってしまうファイルで有り且つ現在オープン中のファイルがあるか否かを判定する(ステップS65)。
例えば、最初は、正当な利用者が正当な場所で(自席、会議室、特定の客先等)で使用していた為にセキュリティレベルが‘1’に設定され、重要情報ファイルであってもオープン可能でありオープンしていたが、途中で場所を変えたり、正当な利用者が席を外したりした場合には、上記レベル変更としてセキュリティレベル‘0’が通知される場合がある。
よって、この場合には、重要情報ファイルは全て“許可外”となり、もしオープン中の重要情報ファイルがあった場合には、クローズさせる必要がある。但し、もしこの重要情報ファイルに関してデータチェック依頼中である場合には、サーバ20からデータチェック結果が返信されるまで待ち、ステップS61、S59の処理によって当該ファイルをクローズする。
【0055】
上述したことより、セキュリティレベルの変更によって“許可外”となってしまうファイルであって現在オープン中のファイル(チェック依頼中のファイルは除く)が存在する場合には(ステップS65,YES)、このファイルについて何も修正作業が行われていないならば(ステップS66,NO)、直ちに当該ファイルをクローズする(ステップS69)。一方、このファイルについて何らかの修正作業が行われているならば、上記の通り、セキュリティレベルは“更新”となっているので(ステップS66,YES)、上記ステップS29,S30と同様の処理を行う(ステップS67,68)。
【0056】
図5(a)に、上記RFIDリーダ11が有するメモリに格納されるテーブル30(読み取ったRFIDを格納するテーブル)の一例を示す。図示のテーブル30において、RFIDコード31、32,33には、それぞれ、上記各種RFIDタグから読み取った各種RFIDコード(装置RFIDコード、利用者RFIDコード、場所RFIDコード)が格納される。上記ステップS15の処理では、新たに読み取ったRFIDコードとテーブル30に格納されたRFIDコードとを比較することになる。
【0057】
図5(b)に、使用中ファイル・テーブル40の一例を示す。図示のテーブル40は、ファイル名41とセキュリティレベル42とから成る。ファイル名41には、現在、この端末1でオープンしているファイルのファイル名が格納され、セキュリティレベル42には、そのセキュリティレベルが格納される。上記の通り、例えば、セキュリティレベル42が‘0’ならば、そのファイルは一般文書ファイルであり、セキュリティレベルが‘1’ならば、そのファイルは重要文書ファイルであることを意味する。また、特に図示しないが、端末1に与えられる現在のセキュリティレベルも別途格納されている。これより、上記ステップS65の処理では、上記端末1のセキュリティレベルを、各セキュリティレベル42と比較することで、許可外となるファイルを判定する。
【0058】
図6〜図8に、サーバ20の処理フローチャート図を示す。
まず、図6において、サーバ20は、電源ON後、監視タイマを起動し(ステップS101)、その後、タイムアップ→再起動→タイムアップ→再起動・・・を繰り返す。そして、タイムアップする毎に(例えば10分毎)に、タイマ割り込みによって(ステップS104,YES)、ステップS105以降の処理を実行する。それ以外にも、常時、装置の状態監視を行っており(ステップS102)、主に利用者PC端末10からの上記各種依頼に応じた処理を実行する。
【0059】
ここでは、まず、利用者PC端末10から上記ステップS18の処理によりRFIDコードが送られてきた場合の処理について説明する。この場合には、ステップS103がYES(監視事象発生)、ステップS104がNO(タイムアップ以外の事象)、ステップS108がYES(監視事象はRFID通知)となり、ステップS109以降の処理に移ることになる。
【0060】
まず、受信した(利用者PC端末10が送信してきた)RFIDコードを用いてスタックテーブル50を検索する(ステップS109)。
図9(a)に、スタックテーブル50の一例を示す。図示の例では、スタックテーブル50は、RFIDコード(PC)51、RFIDコード(人)52、RFIDコード(位置)53、セキュリティレベル54、利用期間55、利用時間56、及びファイル名57の各フィールドから成る。スタックテーブル50には、現在使用中の(電源OFFされていない)利用者PC端末10に関するポリシー情報が格納される。
【0061】
まず、受信した装置RFIDコードを用いてスタックテーブル50を検索して(ステップS109)、RFIDコード(PC)51が一致するレコードが存在するか否かを判定する(ステップS110)。もし、受信した装置RFIDコードが未だスタックテーブル50に登録されていないならば(ステップS110,NO)、利用者PC端末10の電源ON直後のステップS18の処理によってRFIDコードが送られてきたものである可能性がある(すなわち、新規接続である)ので、この場合にはスタックテーブル50への新規登録を行う必要がある。但し、装置RFIDコードが送られてこない可能性もあるし、受信した装置RFIDが未登録のものである可能性もある。
【0062】
よって、受信した装置RFIDコードを用いてポリシーテーブル60を検索して(ステップS111)、受信した装置RFIDコードが登録されているか否かを判定する(ステップS112)。勿論、装置RFIDコードが送られてこなかった場合には、ステップS111の判定はNOとなる。
【0063】
図9(b)に、ポリシーテーブル60の一例を示す。
図示のポリシーテーブル60は、装置61、利用者62、及び利用位置63の3種類のRFIDコード61a,62a,63aの特定の組み合わせ各々に対応付けて、ポリシー64が格納される。ポリシー64として、例えば、セキュリティレベル64a、利用期間64b、利用時間64c、及びファイル名64dの各項目がある。
【0064】
すなわち、予め、各装置61毎に、特定の利用者と利用位置が登録される。これは、図示の通り、各装置61毎に、複数パターン登録されてもよい。図示の例において、例えば、コード‘0304’の装置に関して、利用者が“Aさん”で利用場所が“Aさんの席”、利用者が“Bさん(Aさんの上司)”で利用場所が“Bさんの席”、利用者が“Bさん”で利用場所が“Aさんの席”の3パターンが登録されている。そして、各パターン毎に、重要情報ファイル参照の許可条件であるポリシー64が登録されているが、ポリシーによる条件以前に、まず、利用者と利用場所が上記3パターンの何れかに該当しなければ、重要情報ファイルの参照等が行えない(あるいは、装置61を使用できない(起動が拒絶される))ことになる。
【0065】
上記ステップS111,S112では、受信した装置RFIDコードを用いて装置61のRFIDコード61aを検索して、一致するものがあるか否かを判定する。もし、該当するものが無いならば、あるいはそもそも装置RFIDコードが送られてこないならば(ステップS112,NO)、未登録の装置からのアクセスがあったことになるので、そのアクセスログを記録し(ステップS113)、アクセス元の装置に対して起動拒否応答を送信する(ステップS114)。この場合、上記ステップS43の判定がYESとなることになる。
【0066】
一方、受信した装置RFIDコードがポリシーテーブル60に登録済みのものであるならば(ステップS112,YES)、アクセス元の装置に対して起動許可応答を送信する(ステップS115)。この場合、上記ステップS46の判定がYESとなる。そして、受信した装置RFIDコードを一時的に記憶する(ステップS116)。
【0067】
続いて、更に、ポリシーテーブル60を参照して、上記該当したRFIDコード61aに対応付けられている利用者62のRFIDコード62aを全て取得し(ステップS117)、その中に受信した利用者RFIDコードと一致するものがあるか否かを判定する(ステップS118)。例えば図9(b)に示す例では、RFIDコード61aが‘0304’の端末10に関しては、利用者が「Aさん」又は「Bさん」である場合のみ、ステップS118の判定はYESとなる。当然、端末10が利用者RFIDが読み取れなかった場合は、利用者RFIDは送られてこないので、ステップS118の判定はNOとなる。
【0068】
もし、ステップS118の判定がYESならば、受信した利用者RFIDコードを、上記ステップS116で一時的に記憶した装置RFIDコードに対応付けて記憶する(ステップS119)。続いて、更にポリシーテーブル60を参照して、上記受信した装置RFIDコード及び利用者RFIDコードに該当するレコードの利用位置63のRFID63aを全て取得し(ステップS120)、その中に受信した場所RFIDコードと一致するものがあるか否かを判定する(ステップS121)。
【0069】
例えば、上記RFIDコード61aが‘0304’の端末10を「Bさん」が使用した場合、自席又はAさんの席で使用している場合のみ、ステップS121の判定がYESとなる。当然、端末10が場所RFIDコードを読み取れなかった場合は、場所RFIDコードは送られてこないので、ステップS121の判定はNOとなる。
【0070】
また、図9(b)に示すポリシーテーブル60には、図示のAdditionalテーブル70が含まれる。Additionalテーブル70には、主に社外で重要情報ファイルを参照したい場合に、所有者等が予め申請し、申請が許可された場合に、その申請内容(許可条件)が登録される。許可条件は、客先等の特定の場所(この場所に予め設けられている場所RFIDコード)、その訪問日時(利用期間、利用日時)、及び特定のファイルである。
【0071】
図示の例では、例えば装置61のRFIDコード61aが‘0301’の端末10は、通常、鎌田SS(その所有者が居る部署)でのみ重要情報ファイルの参照が許可されるが、所有者又は正当な利用者が事前に申請を行うことで、一時的にではあるが、他の場所でも許可される。但し、重要情報ファイル全てを参照できるのではない。図示の例では、所有者等が予め「顧客先A社2階」で2005年10月28日の10時〜12時におけるファイル名“ABC.XLS”のファイルの参照許可を申請しており(この日時/時間帯に顧客先A社に出張してその2階でファイル“ABC.XLS”を用いたプレゼンテーションを行う予定がある為)、申請許可された為、この申請内容が図示の通りAdditionalテーブル70に登録されている。
【0072】
ステップS121の判定がYESの場合、受信した場所RFIDコードを、上記ステップS116で一時的に記憶した装置RFIDコードに対応付けて記憶する(ステップS122)。
【0073】
そして、この場合は、装置、利用者、場所の3種類のRFIDコード全てを端末10が読み取ってこれらを送信してきて且つこの3種類のRFIDコードの組み合わせがポリシーテーブル60に登録されていたことになるので、最低限の条件は満たすことになるが、本例では、これだけで直ちにセキュリティレベル64aに格納されたレベル(利用資格)を得ることが出来るわけではなく、ポリシー64に格納された利用期間64bと利用時間64cの条件も満たす必要がある。
【0074】
これより、続いて、ポリシーテーブル60の該当レコードのポリシー64を取得して(ステップS123)、その利用期間64bと利用時間64cとを現在日時と比較し(ステップS124)、現在年月日が利用期間64b内で且つ現在時刻が利用時間64c内であるか否かを判定する(ステップS125)。もし、ステップS125の判定がYESであれば、取得したポリシー64(セキュリティレベル64a、利用期間64b、利用時間64c、ファイル名64d)を、上記ステップS116で一時的に記憶した装置RFIDに対応付けて記憶する(ステップS126)。
【0075】
尚、ファイル名64dにおいて「*.*」とは、全てのファイルを意味する。よって、ファイル名64dが「*.*」の場合において、例えば、ステップS125の判定がYESで且つセキュリティレベル64aが‘1’の場合には、セキュリティレベル1のファイル(重要情報ファイル)は全てオープン可能となる。一方、これと同じ状況であっても、ファイル名64dに特定のファイル名(図示の例では「ABC.XLS」が格納されている場合には、このファイルのみオープン可能であり、他の重要情報ファイルはオープンできない。勿論、一般ファイル(セキュリティレベル0)は、参照条件を課せられることなく、常に参照可能である。
【0076】
尚、図示の例では、セキュリティレベルが0と1の2種類しかなく、一般情報ファイルと重要情報ファイルの区別しかないが、この例に限らない。例えば、セキュリティレベルが0〜2まであり、0は一般情報ファイル、1は重要情報ファイル、2は最重要情報ファイル等としてもよい(この場合、重要情報ファイルと最重要情報ファイルの両方がセキュリティ対象ファイルとして扱われる)。そして、最重要情報ファイルは、社外では(たとえ客先でも)参照できないようにしてもよい。あるいは、最重要情報ファイルは、Aさんは全く参照できないが、上司のBさんはポリシーテーブルの条件を満たせば、参照できないようにしてもよい。
【0077】
そして、スタックテーブル50において、そのRFIDコード51が上記ステップS116で一時的に記憶した装置RFIDと一致するレコードが存在するか否かを確認し(ステップS127)、もし存在しないならば(ステップS127,NO)、当該一時的に記憶した装置RFID及び上記の通りこの装置RFIDに対応付けて記憶した全データを、スタックテーブル50に追加格納する(ステップS136)。端末10の電源ON直後のRFID通知であった場合には、当然、ステップS127の判定はNOとなる。
【0078】
一方、ステップS127の判定がYESならば、該当レコードの記憶内容を更新し(ステップS12)、“レベル変更”としてそのセキュリティレベル54を端末10に通知する。但し、“レベル変更”といっても、必ずしもセキュリティレベルが変更されるわけではない。
【0079】
上記ステップS125の判定がNOの場合、ステップS126とは異なり、セキュリティレベルが強制的に‘0’に設定されて記憶されることになる(ステップS134,S135)。これは、ステップS118又はステップS121の判定がNOであった場合も同様である。すなわち、装置、利用者、使用場所、日時の全てが、予め登録されている条件を満たさない限り、重要情報ファイルの参照は許可されない。
【0080】
尚、ステップS118の判定がNOになったら、該当する利用位置RFIDコード63aがポリシーテーブル60に記憶されていれば(ステップS132でYES)、これを装置RFIDコードに対応付けて記憶する(ステップS133)。該当するものが無ければ、当然、記憶しない。また、ステップS110の判定がYESの場合、すなわち端末10の電源ON直後の処理によって既に少なくともその装置RFIDはスタックテーブル50に記憶されている場合には(つまり、端末10側のタイマによる定期的なRFID送信を受信した場合には)、ステップS111〜S116の処理を行う必要はないので、ステップS117に移行する。
【0081】
上記の通り、本例では、装置、利用者、場所の条件が全て揃っていても、重要情報ファイルを参照可能な時間帯には制限がある(但し、この例に限らず、例えば時間帯による制限は無くすようにしてもよいし、別の条件に置き換えるか、別の条件を追加してもよい)。よって、最初は、参照を許可されたが、その後、時間が経過して、許可される時間帯を過ぎてしまう場合がある。よって、定期的にチェックする必要がある。その為に、上記の通り、端末10から定期的にRFIDコードが送信されてくるが、サーバ20側でも定期的にチェックを行うようにしてもよい。すなわち、監視タイマがタイムアップする毎に(ステップS104,YES)、スタックテーブル50の利用期間55と利用時間56を参照して現在日時と比較して、現在日時が“利用期間64b内且つ利用時間64c内”となっていないレコードがある場合には(ステップS105と、ステップS106でYES)、この該当レコードの各RFIDコード51,52,53を取得して、これらを用いてポリシーテーブル60を検索する(ステップS107)。そして、上記ステップS117へ移行する。つまり、この場合には、端末10からRFIDが通知されているわけではないので、ステップS117、S120、S131の処理は、上記各RFIDコード51,52,53を用いて行うことになる。
【0082】
次に、上記ステップS24のオープン要求を受信した場合(ステップS141,YES)の処理について説明する。尚、オープン要求には、要求対象のファイル名と、読み取ったRFIDコードも含まれている。また、要求対象が暗号化ファイルの場合は、ステップS23で生成したハッシュ値も送られてくる。
【0083】
まず、上記要求対象のファイル名を用いてファイル名テーブル70を検索して、該当するレコードのセキュリティレベル73を取得する(ステップS142)。続いて、受信した装置RFIDコードを用いてスタックテーブル50を検索して、該当するレコードのセキュリティレベル64を取得する(ステップS143,S144)。そして、ステップS142とS144で取得したセキュリティレベルを比較して、許可セキュリティレベルであるか否かを判定する(ステップS145)。すなわち、端末10に現在与えられているセキュリティレベル(利用資格)が、要求対象のファイルのセキュリティレベルと一致するか又は上位である場合には、ステップS145の判定はYESとなる。上位とは、例えばファイルのセキュリティレベルが‘1’であるのに対して、端末10のセキュリティレベルが‘2’である場合等である。
【0084】
ステップS145の判定がYESの場合、更に、スタックテーブル50における該当レコードの利用期間64bと利用時間64cを取得して現在日時と比較し、現在日時が利用期間内且つ利用時間内であれば(ステップS146,YES)、ステップS147に移行し、許可ファイルか否かを判定する(ステップS147)。尚、ステップS147の判定は、ファイル名57を参照して、オープン要求されたファイルのファイル名と一致するものがあるか否かを判定するものである(尚、ファイル名57が「*.*」である場合には、常に“一致”と判定される)。
【0085】
上記ステップS145,S146,S147の条件の1つでも満たさなければ、要求ファイルの参照は許可されず、端末10に対してオープン拒否を送信する(ステップS154)。
【0086】
ステップS147の判定がYESであれば、基本的には、要求ファイルの参照を許可することになるが、もし要求ファイルが暗号化ファイルであれば(ステップS148,YES)、図9(c)に示すファイル名テーブル70からそのハッシュ値74を取得して、上記受信したハッシュ値と一致しない場合にも(ステップS149,NO)、端末10に対してオープン拒否を送信する(ステップS154)。当然、ハッシュ値が一致すれば(ステップS149,YES)、復号キーを取得して(ステップS150)、この復号キーと共にオープン許可を端末10に送信する(ステップS152)。ステップS147の判定がYESであって、要求ファイルが暗号化ファイルではない場合には(ステップS148,NO)、要求ファイルのファイルデータを取得して(ステップS151)、このファイルデータと共にオープン許可を端末10に送信する(ステップS152)。
【0087】
最後に、スタックテーブル50の該当レコードを更新する(ステップS153)。
次に、上記クローズ要求又はレベル変更に伴うステップS29又はS67によるデータ内容チェック依頼を受信した場合(ステップS161,YES)の処理について説明する。この場合は、上記チェック依頼と共に読み取ったRFIDが送信されてくる。
【0088】
この場合は、まず、セキュリティ辞書DBを参照して、依頼されたファイルのセキュリティレベルを決定する(ステップS162)。この処理は既存技術であり、セキュリティ辞書DBの具体例も特に示さないが、セキュリティ辞書DBにはセキュリティレベルを決定する為の様々なルールが格納されている。例えば、「文書中に“重要”又は“社外秘”の文字があれば、セキュリティレベルは1」等というルールが記載されている。これにより、例えば図9においてABC.XLSはセキュリティレベル1であるが、端末10側の利用者の編集作業によって重要情報が削除された結果、セキュリティレベルが0に変更されることもあり得る。勿論、その逆に、セキュリティレベル0であったファイルがセキュリティレベル1に変更されるケースもあり得る。
【0089】
図10は、セキュリティ辞書DBを用いたセキュリティレベル判定方法の一例を示す図である。
図示の例では、例えば、「社外秘」、「関係者外秘」、「機密情報」等のキーワードと、これに対応するセキュリティレベルとがセキュリティ辞書DBに記憶されており、セキュリティレベル判定処理部(不図示)は、処理対象ファイルを検索してこのファイル中にこれらキーワードが含まれているか否かを判定し、含まれている場合には、この処理対象ファイルのセキュリティレベルを‘1’とする。あるいは、処理対象ファイルに、個人情報(氏名、住所、メールアドレス、従業員ID等)、会社情報(社内、住所、担当者名、決算情報等)等の特定の情報が、所定数以上(例えば5つ以上)含まれている場合にも、この処理対象ファイルのセキュリティレベルを‘1’とする。この場合、各個人情報、会社情報等、形式(例えば5回以上)、対応するセキュリティレベルが、予めセキュリティ辞書DBに格納されており、上記セキュリティレベル判定処理部(不図示)は、これを参照して、セキュリティレベルの判定を行う。
【0090】
上記決定したこのセキュリティレベルが‘0’(セキュリティ不要)であれば(ステップS163,NO)、データチェック結果として当該決定したセキュリティレベルを端末10に返信する(ステップS171)。また、セキュリティレベルが‘0’以外(本例では‘1’として説明する(但し、この例に限らない))の場合でも(ステップS163,YES)、依頼元の端末10が持つセキュリティレベルが‘1’であり(ステップS164,YES)且つ現在日時が利用期間55内且つ利用時間56内であれば(ステップS165,YES)、データチェック結果として当該決定したセキュリティレベルを端末10に返信する(ステップS171)。すなわち、これらの場合には、ステップS170のファイルクローズ指示は行わない(強制的にファイルをクローズさせる処理は行わない)。
【0091】
一方、決定したセキュリティレベルが‘1’(重要情報ファイル)の場合であって(ステップS163,YES)、上記ステップS164、S165の何れかでも判定がNOとなった場合には、ファイル名テーブル70における当該ファイルのセキュリティレベル73を上記決定したレベルへ変更し(もし、ファイル名が変更された為に登録されていない場合には、新規登録を行い)(ステップS169)、依頼元の端末10にファイルクローズ指示を出し(ステップS170)、当該ファイルをクローズさせる。但し、その際、当該ファイルが暗号化対象である場合には(ステップS166,YES)、暗号キーを生成して、この暗号キーを用いて当該ファイルのデータを暗号化し、ハッシュ値を生成する処理も行ったうえで(ステップS167,S168)、上記ステップS169,170の処理を実行する。この場合には、ステップS169において、生成したハッシュ値もファイル名テーブル70に格納する。更に、この場合には、上記ステップS170において依頼元の端末10に対して上記生成した暗号キーを送信する。
【0092】
尚、上記ステップS70の保存処理に対応するデータ内容チェック依頼を受信した場合には、保存対象ファイルのセキュリティレベルが‘0’以外である場合において(ステップS163,YES)、ステップS164,S165の判定が両方ともYESの場合であっても、ステップS173の判定(“保存か?”)がYESとなることから、ステップS166に移行し、保存対象ファイルの暗号化処理等を実行することになる。そして、この場合には、ステップS174の判定(ステップS165と同じ)は当然YESとなるので、ステップS171に移行し、データチェック結果を返信する。一方、ステップS174の判定がNOであれば、クローズ指示を返信することになる。
【0093】
尚、上記ステップS70の保存処理に対応する処理は、上述した一例に限らない。例えば、単純に、保存対象ファイルのセキュリティレベルが‘0’であれば、依頼元の端末10に対して保存許可を通知してCD−R等へのコピーを実行させ、保存対象ファイルのセキュリティレベルが‘0’以外であれば、依頼元の端末10に対して保存不許可を通知して、CD−R等へのコピーは一切禁止するようにしてもよい。
【0094】
上記ポリシーテーブル60の各レコードの新規登録/変更の為の申請は、例えば各端末10の所有者や管理者が、社内のパソコン等を用いて、例えば社内ネットワークを介してサーバ20にアクセスして、行うことができる。この申請を要求方法は、「通常利用申請」と「持出申請」の2種類ある。「通常利用申請」は、例えば端末10の社内での使用に限る申請である。「持出申請」は、端末10の社外での使用に限る申請である。
「通常利用申請」を要求すると、例えば図11(a)に示す通常利用申請画面80が表示される。申請者は、この画面上で、使用を希望する端末10の装置名、利用者名(通常は所有者自身の名前)、利用位置、更に自分以外で端末10の使用を許可する者(上司、同僚等)の名前を入力する。尚、その際、図12(a)〜(c)に示すテーブル100、110、120を参照して、氏名や利用位置名を一覧表示して、任意の氏名、利用位置名を選択させるようにしてもよい。その際、通常利用申請においては、社内において場所RFIDを配置してある各場所が利用位置名一覧として表示され、社外において場所RFIDを配置してある場所の名前は表示されない。
【0095】
また、テーブル100、110、120には、図示の通り、氏名や利用位置名に対応するRFIDコードが格納されているので、申請許可された場合には、これらRFIDコードを取得して、ポリシーテーブル60のRFIDコード61a、62a,63aに格納することになる。尚、申請許可するか否かの判定方法は、特に言及しない。
【0096】
一方、社外(例えば客先)に端末10を持ち出して使用したい場合には「持出申請」を要求することになる。
「持出申請」を要求した場合には、図11(b)に示す持出申請画面90が表示される。この場合は、上記通常利用とは異なり、持ち出しを行う端末10の装置名と持ち出しを行う者本人の名前(利用者名)を入力する。そして、例えば、社外において場所RFIDを配置してある各場所が利用位置名一覧として表示され、任意の利用位置名を選択させる。更に、対象ファイルのファイル名を入力させる。対象ファイルとは、例えば客先に行って説明等をする為に必要なファイルであり、予め分かっているはずなので、これを入力させる。更に、客先に行く予定日や説明等を行う時間帯も、予め大体分かっているはずなので、図示の利用期間、利用時間として入力させる。
【0097】
申請内容は、例えば上司のパソコン等に送られて、上司のチェックを受けて、許可するか否かが決定されるようにしてもよい。許可されたなら、例えばテーブル100、110、120を参照して、利用者名や利用位置名に対応するRFIDコードが取得され、これらが申請内容と共にポリシーテーブル60に新規登録されることになる。この様に上司等のチェックを受けることで、申請者が本来必要の無いファイルを外出先で参照しようとしても、申請が許可されないので、出来ないことになる。尚、社内とは狭義の意味での社内であり、例えば本社に勤務する者は、本社ビル内のみが社内であり、支店や研究所等は社外として扱う。あるいは、本社ビル内の特定のエリア(利用者の部署がある場所や会議室)のみを社内として扱っても良い。要するに、情報漏洩の危険性が高い場所か低い場所かによって決定するべきことである。
【0098】
図13は、上記利用者PC端末10又はサーバ20(コンピュータ)のハードウェア構成の一例を示す図である。
同図に示すコンピュータ200は、CPU201、メモリ202、入力装置203、出力装置204、外部記憶装置205、媒体駆動装置206等を有し、これらがバス208に接続された構成となっている。また、更に、ネットワーク接続装置207を有する構成であってもよい。同図に示す構成は一例であり、これに限るものではない。
【0099】
CPU201は、当該コンピュータ200全体を制御する中央処理装置である。
メモリ202は、プログラム実行、データ更新等の際に、外部記憶装置205(あるいは可搬型記録媒体209)に記憶されているプログラムあるいはデータを一時的に格納するRAM等のメモリである。CPU201は、メモリ202に読み出したプログラム/データを用いて、上述してある各種処理を実行する。コンピュータ200が例えば利用者PC端末10である場合には、図2〜図4の処理を実行する。コンピュータ200が例えばサーバ20である場合には、図6〜図8の処理を実行する。
【0100】
外部記憶装置205は、例えば磁気ディスク装置、光ディスク装置、光磁気ディスク装置等であり、上記各種機能を実現させる為のプログラム/データ等が格納されている。コンピュータ200が例えば利用者PC端末10である場合には、上記図2〜図4の処理をCPU201に実行させる為のプログラムや、図5に示すデータが記憶されている。コンピュータ200が例えばサーバ20である場合には、上記図6〜図8の処理をCPU201に実行させる為のプログラムや、図9、図12に示すデータが記憶されている。尚、これらプログラム/データは、可搬型記録媒体209に記憶されていてもよい。
【0101】
媒体駆動装置206は、可搬型記録媒体209に記憶されているプログラム/データ等を読み出す。可搬型記録媒体209は、例えば、FD(フレキシブルディスク)、CD−ROM、その他、DVD、光磁気ディスク等である。
【0102】
ネットワーク接続装置207は、ネットワークに接続して、外部の情報処理装置とプログラム/データ等の送受信を可能にする構成である。
尚、入力装置203は例えばキーボート、マウス等、出力装置204は例えばディスプレイ等である。
【0103】
図14は、上記プログラム等を記録した記録媒体、ダウンロードの一例を示す図である。
図示のように、上記各種機能を実現するプログラム/データが記憶されている可搬型記録媒体209から情報処理装置200側に読み出して、メモリ202に格納し実行するものであってもよいし、また、上記プログラム/データは、ネットワーク接続装置207により接続しているネットワーク210(インターネット等)を介して、外部のサーバ20220の記憶部221に記憶されているプログラム/データをダウンロードするものであってもよい。
【0104】
また、本発明は、装置/方法に限らず、上記プログラム/データを格納した記録媒体(可搬型記録媒体209等)自体として構成することもできるし、上記プログラム自体として構成することもできる。
【0105】
(付記1) 各可搬型情報処理装置は、
該可搬型情報処理装置の識別情報、利用者の識別情報、場所の識別情報のうち検出可能な識別情報を検出してサーバに通知する識別情報検出・通知手段と、
任意のファイルの利用を指示されたとき、該ファイルがセキュリティ対象ファイルである場合には、前記サーバに問い合わせ、該問い合わせに対する応答に応じて該指示されたファイルの利用を制御するファイル利用制御手段とを有し、
前記サーバは、
予め前記3種類の識別情報の特定の組み合わせ毎に対応付けて利用資格を記憶する第1の記憶手段と、
予め各ファイル毎のレベルを記憶する第2の記憶手段と、
前記通知された各識別情報が前記第1の記憶手段に記憶されている特定の組み合わせに該当する場合に、前記通知元の可搬型情報処理装置に対して該特定の組み合わせに対応する前記利用資格を与える利用資格判定手段と、
前記問い合わせがあったとき、前記指示されたファイルのレベルを前記第2の記憶手段を参照して求め、該問い合わせ元の可搬型情報処理装置に与えられている前記利用資格と該レベルを比較することで、前記指示されたファイルの利用を許可するか否かを判定して前記ファイル利用制御手段に応答する利用許可判定手段とを有する、
ことを特徴とする情報セキュリティシステム。
【0106】
(付記2) 前記第1の記憶手段には更に所定の利用条件が記憶されており、
前記利用資格判定手段は、前記通知された各識別情報が前記第1の記憶手段に記憶されている特定の組み合わせに該当する場合であっても、該利用条件を満たしていない場合には、前記利用資格を与えないことを特徴とする付記1記載の情報セキュリティシステム。
【0107】
(付記3) 前記利用条件は、期間又は時間帯であり、
前記利用資格判定手段は、現在の日時に基づいて、該利用条件を満たしているか否かを判定することを特徴とする付記2記載の情報セキュリティシステム。
【0108】
(付記4) 前記第1の記憶手段には更に特定のファイル名が記憶されており、
前記利用許可判定手段は、前記指示されたファイルのファイル名が該特定のファイル名と一致しない場合には、前記指示されたファイルの利用を許可しないことを特徴とする付記1〜3の何れかに記載の情報セキュリティシステム。
【0109】
(付記5) 前記セキュリティ対象ファイルは、前記可搬型情報処理装置に暗号化ファイルとして格納されており、
前記利用許可判定手段は、利用を許可すると判定したファイルの復号キーを前記可搬型情報処理装置に送信することを特徴とする付記1〜4の何れかに記載の情報セキュリティシステム。
【0110】
(付記6) 前記セキュリティ対象ファイルは、前記可搬型情報処理装置には記憶されておらず、
前記利用許可判定手段は、利用を許可すると判定した場合、該利用許可したファイルを前記可搬型情報処理装置にダウンロードすることを特徴とする付記1〜4の何れかに記載の情報セキュリティシステム。
【0111】
(付記7) 前記サーバは前記各暗号化ファイルのハッシュ値を記憶しており、
前記可搬型情報処理装置のファイル利用制御手段は、前記問い合わせの際に、前記指定されたファイルが暗号化ファイルである場合には、該暗号化ファイルのハッシュ値を前記サーバに送信し、
前記サーバの利用許可判定手段は、受信したハッシュ値が前記記憶してあるハッシュ値と一致しない場合には、前記利用資格に係わらず、前記指示されたファイルの利用を許可しないことを特徴とする付記5記載の情報セキュリティシステム。
【0112】
(付記8) 前記サーバの利用許可判定手段は、定期的に前記識別情報検出・通知手段から通知される前記識別情報に基づいて前記利用資格を判定して、利用資格が変わった場合には該新たな利用資格を前記可搬型情報処理装置に通知し、
前記可搬型情報処理装置のファイル利用制御手段は、利用中のファイルのなかで該新たな利用資格では利用許可されないファイルがある場合には、該ファイルの利用を中止させることを特徴とする付記1記載の情報セキュリティシステム。
【0113】
(付記9) 前記第1の記憶手段には、通常は前記セキュリティ対象ファイルの利用が許可されない外部の場所に関しても、予め登録許可された場合には、一時的に使用許可させる為に、該外部の場所の識別情報を含む前記3種類の識別情報の組み合わせと該組み合わせに対応する利用資格を記憶することを特徴とする付記1記載の情報セキュリティシステム。
【0114】
(付記10) 前記識別情報検出・通知手段が検出する各種識別情報は、前記可搬型情報処理装置、利用者、場所にそれぞれ取り付けられているRFIDタグから読み出したRFIDコードであることを特徴とする付記1〜9の何れかに記載の情報セキュリティシステム。
【0115】
(付記11) 予め可搬型情報処理装置の識別情報、利用者の識別情報、場所の識別情報の3種類の識別情報の特定の組み合わせ毎に対応付けて利用資格を記憶する第1の記憶手段と、
予め各ファイル毎のレベルを記憶する第2の記憶手段と、
任意の前記可搬型情報処理装置から前記識別情報が通知されると、該通知された各識別情報が前記第1の記憶手段に記憶されている特定の組み合わせに該当する場合に、前記通知元の可搬型情報処理装置に対して該特定の組み合わせに対応する前記利用資格を与える利用資格判定手段と、
任意の前記可搬型情報処理装置から任意のセキュリティ対象ファイルの利用要求があると、該要求されたセキュリティ対象ファイルのレベルを前記第2の記憶手段を参照して求め、該要求元の可搬型情報処理装置に与えられている前記利用資格と該レベルを比較することで、前記要求されたセキュリティ対象ファイルの利用を許可するか否かを判定する利用許可判定手段と、
を有することを特徴とするサーバ。
【0116】
(付記12) コンピュータに、
予め可搬型情報処理装置の識別情報、利用者の識別情報、場所の識別情報の3種類の識別情報の特定の組み合わせ毎に対応付けて利用資格を記憶する第1の記憶機能と、
予め各ファイル毎のレベルを記憶する第2の記憶機能と、
任意の前記可搬型情報処理装置から前記識別情報が通知されると、該通知された各識別情報が前記第1の記憶機能に記憶されている特定の組み合わせに該当する場合に、前記通知元の可搬型情報処理装置に対して該特定の組み合わせに対応する前記利用資格を与える機能と、
任意の前記可搬型情報処理装置から任意のセキュリティ対象ファイルの利用要求があると、該要求されたセキュリティ対象ファイルのレベルを前記第2の記憶機能を参照して求め、該要求元の可搬型情報処理装置に与えられている前記利用資格と該レベルを比較することで、前記要求されたセキュリティ対象ファイルの利用を許可するか否かを判定する機能と、
を実現させる為のプログラム。
【図面の簡単な説明】
【0117】
【図1】本例の情報セキュリティシステム全体のシステム構成図である。
【図2】利用者PC端末の処理フローチャート図(その1)である。
【図3】利用者PC端末の処理フローチャート図(その2)である。
【図4】利用者PC端末の処理フローチャート図(その3)である。
【図5】(a)、(b)は利用者PC端末側に格納されるテーブルの一例である。
【図6】サーバ20の処理フローチャート図(その1)である。
【図7】サーバ20の処理フローチャート図(その2)である。
【図8】サーバ20の処理フローチャート図(その3)である。
【図9】(a)〜(c)はサーバ20側に格納されるテーブルの一例(その1)である。
【図10】セキュリティ辞書DBを用いたセキュリティレベル判定方法の一例を示す図である。
【図11】(a),(b)は申請画面の一例である。
【図12】(a)〜(c)はサーバ20側に格納されるテーブルの一例(その2)である。
【図13】コンピュータのハードウェア構成図である。
【図14】記録媒体、ダウンロードの一例を示す図である。
【符号の説明】
【0118】
1 ネットワーク
10 利用者PC端末
11 RFIDリーダ
12 RFID通知部
13 ファイル利用制御部
20 サーバ
21 利用条件記憶部
22 ファイル・レベル記憶部
23 利用資格判定部
24 許可判定部
30 テーブル
31,32,33 RFIDコード
40 使用中ファイル・テーブル
41 ファイル名
42 セキュリティレベル
50 スタックテーブル
51 RFIDコード(PC)
52 RFIDコード(人)
53 RFIDコード(位置)
54 セキュリティレベル
55 利用期間
56 利用時間
57 ファイル名
60 ポリシーテーブル
61 装置
61a RFIDコード
61b 利用者
62 利用者
62a RFIDコード
62b 氏名
63 利用位置
63a RFIDコード
63b 場所名
64 ポリシー
64a セキュリティレベル
64b 利用期間
64c 利用時間
64d ファイル名
70 ファイル名テーブル
71 装置RFID
72 ファイル名
73 セキュリティレベル
74 ハッシュ値
80 通常利用申請画面
90 持出申請画面
100,110,120 テーブル
200 コンピュータ
201 CPU
202 メモリ
203 入力装置
204 出力装置
205 外部記憶装置
206 媒体駆動装置
207 ネットワーク接続装置
208 バス
209 可搬型記録媒体
210 ネットワーク
220 外部のサーバ
221 記憶部
【技術分野】
【0001】
本発明は、情報処理装置の存在場所情報も用いる情報漏洩防止方法に関する。
【背景技術】
【0002】
従来より、例えば、特許文献1、特許文献2に記載の技術が存在する。
特許文献1には、GPS(全地球測位システム)等により情報処理装置の位置情報を取得し、情報処理装置内に記憶してある位置情報との比較等により位置変化があるか否かを判定し、変化している場合には、情報処理装置の強制停止する(又はパスワードの入力を求める等の規制を行う)技術が開示されている。これにより、情報処理装置自体の盗難、又は情報処理装置内に記憶されている情報の盗難を防止することができる。
【0003】
また、特許文献2には、認証システムの不完全性の補完を目的として、利用者、取引種別等に応じた最適な認証方法の組み合わせ(例えばパスワードと時間と声紋)による本人認証を行う技術が開示されている。また、特許文献2には、顧客端末として携帯電話を用いる場合に、GPSや基地局情報によって顧客端末の位置情報を特定することにより、予め指定した位置においてのみ取引が可能となる認証方法が開示されている。
【特許文献1】特開2001−290553号公報
【特許文献2】特開2004−240645号公報
【特許文献3】特開2002−157040号公報
【特許文献4】特開平11−332631号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
ところで、近年、例えば企業の重要情報等の漏洩が問題になっている。特に、近年、ノードパソコン等のような持ち運び可能な情報処理端末(可搬型情報処理端末というものとする)を各社員が所持して利用するケースも増えてきている。例えば営業マン等が、営業先にノートパソコン等の携帯可能な情報処理装置を持参して商品説明、プレゼンテーション等を行う場合がある。この様な場合、通常、予めノートパソコン等の装置内に、商品説明、プレゼンテーション用のデータ(場合によっては重要情報等)を記憶して、客先にノートパソコン等を持参することになる。
【0005】
この為、例えば客先に向かう途中でノートパソコンを紛失・盗難等することにより、重要情報の漏洩の可能性がある。指紋認証等で持ち主以外はノートパソコンを使用できなくする場合でも、ハードディスクを取り出されて情報を読み出されてしまう可能性がある。
更に、情報漏洩は、盗難・紛失等による場合に限らない。社員の不注意な行動によっても情報漏洩する可能性がある。例えば、営業マンが、営業先に向かう途中(電車の中、喫茶店等)で、例えば最終確認等の為に、データを表示させることがあり、近くに居る第3者に、データの内容を見られてしまう可能性がある。あるいは、社員が、悪意を持って、重要情報等を盗み出そうしたり、閲覧しようとする可能性もある。
【0006】
更に、ノートパソコンを社内で使用する場合でも、例えば部内秘の情報のように、他の部署の社員に見られてはいけない情報もある。
上記問題に対して、重要情報へのアクセスを厳しく制限すると、今度は、業務に支障が出る可能性がある。
【0007】
上記特許文献1では、情報処理装置の利用場所を固定し、他の場所では利用できなくしている為、他の場所での使用を前提としている上記問題には対応できない。
上記特許文献2では、利用場所は固定ではなく、更に現在位置も考慮しているが、上記問題を解決するものではない。すなわち、重要情報等へのアクセスを厳しく制限することなく、重要情報等の漏洩を防止できるものではない。
【0008】
更に、GPSを用いる場合、建物内では衛星からの電波を受信し難い為、位置計測が困難となる。また、基地局情報を用いる場合でも、予め指定された基地局と通信可能な位置であれば何処でもよいことになり、例えば社内の特定の場所(例えば会議室のみ、上司の席のみ等)を指定したい場合には対応できない。
【0009】
本発明の課題は、特に可搬型情報処理端末を使用する場合において、重要情報の情報漏洩の可能性を極めて低くできる情報セキュリティシステム、そのプログラム等を提供することである。
【課題を解決するための手段】
【0010】
本発明の情報セキュリティシステムは、各可搬型情報処理装置は、該可搬型情報処理装置の識別情報、利用者の識別情報、場所の識別情報のうち検出可能な識別情報を検出してサーバに通知する識別情報検出・通知手段と、任意のファイルの利用を指示されたとき、該ファイルがセキュリティ対象ファイルである場合には、前記サーバに問い合わせ、該問い合わせに対する応答に応じて該指示されたファイルの利用を制御するファイル利用制御手段とを有し、前記サーバは、予め前記3種類の識別情報の特定の組み合わせ毎に対応付けて利用資格を記憶する第1の記憶手段と、予め各ファイル毎のレベルを記憶する第2の記憶手段と、前記通知された各識別情報が前記第1の記憶手段に記憶されている特定の組み合わせに該当する場合に、前記通知元の可搬型情報処理装置に対して該特定の組み合わせに対応する前記利用資格を与える利用資格判定手段と、前記問い合わせがあったとき、前記指示されたファイルのレベルを前記第2の記憶手段を参照して求め、該問い合わせ元の可搬型情報処理装置に与えられている前記利用資格と該レベルを比較することで、前記指示されたファイルの利用を許可するか否かを判定して前記ファイル利用制御手段に応答する利用許可判定手段とを有するように構成する。
【0011】
上記情報セキュリティシステムでは、各可搬型情報処理装置毎に、現在の利用状況(利用者、場所)を検出してサーバに通知することで、セキュリティ対象ファイルの利用資格があるか否かを判定している。セキュリティ対象ファイルの利用資格がない可搬型情報処理装置において、利用者等がセキュリティ対象ファイルを参照しようとしても、許可されない。例えば、利用者自体は、その可搬型情報処理装置の正当な所有者であったとしても、現在の利用場所が、前記第1の記憶手段に記憶されている特定の場所(利用者の席、会議室、特定の客先等)以外の場所であれば、セキュリティ対象ファイルは参照できないことになる。
【0012】
また、例えば、前記第1の記憶手段には更に所定の利用条件が記憶されており、前記利用資格判定手段は、前記通知された各識別情報が前記第1の記憶手段に記憶されている特定の組み合わせに該当する場合であっても、該利用条件を満たしていない場合には、前記利用資格を与えないようにしてもよい。すなわち、セキュリティ対象ファイルの利用資格があるか否かの判定基準は、上記3種類の識別情報の特定の組み合わせに限らず、更に、日時等の何等かの利用条件を加えてもよい。あるいは、セキュリティ対象ファイルの利用資格が得られた場合に、全てのセキュリティ対象ファイルを参照可能とするのではなく、予め登録される特定のセキュリティ対象ファイルのみを参照可能としてもよい。
【発明の効果】
【0013】
本発明の情報セキュリティシステム、そのプログラム等によれば、特に可搬型情報処理端末を使用する場合において、重要情報の情報漏洩の可能性を極めて低くできる。
【発明を実施するための最良の形態】
【0014】
以下、図面を参照して、本発明の実施の形態について説明する。
尚、以下の実施の形態の説明では、端末10に関して、通常の利用環境を「企業内」とし、一時的な利用環境を「企業外」としており、また利用者は社員であるものとして説明するが、これは一例であり、この例に限らない。
【0015】
図1は、本例の情報セキュリティシステム全体のシステム構成図である。
まず、本手法では、ノートパソコン等の可搬型情報処理装置の識別情報、利用者の識別情報、場所の識別情報を検出する為に、例えば、RFID(Radio Frequency Identification)技術を利用する。よく知られているように、RFIDは、微小な無線チップにより人やモノを識別・管理する仕組みを提供するものである。一般的に、数cm程度の大きさのタグ(RFIDタグ)にデータを記憶し、電波や電磁波で読み取り器(RFIDリーダ11)と交信させる。近年ではアンテナ側からの非接触電力伝送技術により、電池を持たない半永久的に利用可能なRFIDタグも登場している。RFIDタグは、ラベル型、カード型、コイン型、スティック型など様々な形状があり、用途に応じて選択する。また、通信距離は数mm(ミリメートル)程度のものから数m(メートル)のものがあり、これも用途に応じて使い分けられる。本手法では、数cm(センチメートル)〜数m(メートル)程度の通信距離が必要となる。
【0016】
利用者PC端末10は、例えば任意の会社の各社員に与えられている情報処理装置であって、特にノートパソコン等の携帯可能な情報処理装置である。各社員は、自己の利用者PC端末10を用いて業務を遂行する。通常、業務に必要なファイルを自分で作成したり、サーバ20から共有ファイルを取得したり、他の利用者PC端末10から必要なファイルを取得したりして、これらファイルを自己の利用者PC端末10に格納し、必要に応じて参照・修正等を行うことになる。
【0017】
しかし、本手法では、重要な情報が格納されたファイル(重要情報ファイル;セキュリティ対象ファイル)は、たとえ自分が作成した個人的なファイルであっても、その都度、サーバ20の許可を得なければ参照等が行えないようにしている。これによって、社員の不注意や悪意の行動による重要情報の漏洩を防ぐことができる。サーバ20が許可する条件は、後に詳細に説明するが、まず第1に利用者PC端末10の現在の利用状況(利用者、場所)が条件としてあり、この利用状況を検出する為に、各利用者PC端末10には、RFIDリーダ11が備えられている。
【0018】
そして、利用者PC端末10には、予め、RFIDタグ(装置RFIDタグと呼ぶ)が取り付けられている。これは、例えば、シールによる貼り付けや、筐体への埋め込み等によって取り付ける。また、各社員にも、予め、RFIDタグ(利用者RFIDタグと呼ぶ)が取り付けられている(服やネクタイ等に取り付けてある。あるいは社員証等に内蔵されている)。
【0019】
更に、予め、利用者PC端末10の使用が想定される様々な場所に、RFIDタグ(場所RFIDタグと呼ぶ)が取り付けられている。取り付け場所は、一例としては、社内における各社員の席、会議室、応接室や、他の場所にある工場、研究所、支店等であり、また自社内に限らず更に各顧客の会社内等にも、場所RFIDタグは取り付けられている。取り付ける所は、机、床、天井、柱、壁等である。
【0020】
また、上記利用者PC端末10には、ネットワーク1を介してサーバ20にアクセスする為の通信機能が備えられている。社内でアクセスする場合にはLAN等に接続すればよいが、社外(顧客先)でアクセスすることも想定されているので、例えば、携帯電話機能や無線LANへの通信機能も備えることが望ましい。この場合には、例えば、インターネット等のネットワークを介してサーバ20にアクセスすることになる。つまり、ネットワーク1は、LANやインターネットや携帯電話網等である。
【0021】
また、利用者PC端末10は、RFID通知部12、ファイル利用制御部13を備える。
RFID通知部12は、例えば定期的に/利用者の操作に応じて、上記RFIDリーダ11によって上記3種類のRFIDタグのデータ(RFIDコード)を読み取らせて、これをサーバ20に送信する。これに対して、サーバ20から、当該端末10に利用資格(後述するセキュリティレベル)が与えられる(通知されてくる)ので、これを記憶する。
【0022】
ファイル利用制御部13は、利用者による任意のファイルの操作(オープン、保存等)に応じて、このファイルがセキュリティ対象ファイル(例えば重要情報ファイル)であれば、サーバ20にオープン要求/保存要求等を通知する。そして、この要求に対してサーバ20の許可が得られなければ、上記セキュリティ対象ファイルのオープン/保存等を行わない。尚、保存とは、例えばFD(フレキシブルディスク、CD−R等の可搬型記録媒体にファイルを保存する行為を意味する。尚、セキュリティ対象ファイル以外のファイル(一般情報ファイル)であれば、サーバ20の許可を得なくても、自由にオープン等できる。
【0023】
一方、サーバ20は、利用条件記憶部21、ファイル・レベル記憶部22、利用資格判定部23、及び許可判定部24を有する。
利用条件記憶部21は、例えば後述するポリシーテーブル60を記憶するものであり、特に上記3種類のRFIDタグ・データの特定の組み合わせに対応付けて、利用資格を格納してある。更に利用期間/時間やファイル名等の条件も加えて、利用資格を登録するものであってもよい。
【0024】
利用資格判定部23は、上記利用者PC端末10のRFID通知部12から上記RFIDコードが送られてくると、上記利用条件記憶部21を参照して、当該利用者PC端末10の現在の利用資格を判定する。
【0025】
ファイル・レベル記憶部22には、各ファイル毎に、そのセキュリティレベルが格納されている。当然、重要度が高いファイルほど、セキュリティレベルは高くなるが、以下の説明では、簡単にする為に、セキュリティレベルは、0(一般情報ファイル)と1(重要情報ファイル(=セキュリティ対象ファイル))のみとしている。勿論、この例に限らない。
【0026】
許可判定部24は、上記セキュリティ対象ファイルのオープン要求等を受信すると、ファイル・レベル記憶部22を参照して、オープン要求対象のファイルのセキュリティレベルを取得し、上記現在の利用資格と比較して、このファイルのオープンを許可するか否かを判定する。但し、本手法では、許可する場合に利用者PC端末10に許可通知を送信するようなものではない。例えば、基本的に、利用者PC端末10にはセキュリティ対象ファイルは一切格納されておらず、許可したときのみ、その都度、利用者PC端末10に、当該許可されたセキュリティ対象ファイルをダウンロードする。あるいは、別の方法としては、利用者PC端末10にはセキュリティ対象ファイルは格納されているが、全て暗号化されており、許可した場合のみ復号キーを与えるようにする。
【0027】
許可の条件として上記3種類のRFIDコードを用いることにより、例えば、たとえ所有者本人が自己の利用者PC端末10を使用する場合でも、上記特定の場所(場所RFIDタグが取り付けられている場所)以外では、重要情報の取得・閲覧等が行えなくなる。また、上記特定の場所であっても、その利用者PC端末10の使用が認められていない者が、上記重要情報の閲覧等を行おうとしても、利用者RFIDタグを用いたサーバ20の判定処理により、閲覧できないことになる。この様にして、第3者が重要情報を盗み見する危険性を回避することができる。詳しくは後述する。
【0028】
尚、図1の構成は、更に詳細な構成例としては、サーバ20はルータやファイアウォールを介してネットワーク1に接続しており、またサーバ20は、単一のサーバに限らず、例えば後述する図6〜図8の処理を行う認証サーバ、各種ファイルを格納するファイルサーバ、時刻認証サーバ等から成る構成であってもよい。また、RFIDリーダ11は、利用者PC端末10に内蔵されていてもよいし、外付けであってもよい(USB接続等)。
【0029】
図2〜図4に、利用者PC端末10の処理フローチャート図を示す。
まず、図2において、利用者PC端末10は、電源ON後に直ちにタイマを起動し(ステップS11)、その後、タイムアップ→再起動→タイムアップ→再起動・・・を繰り返す。そして、タイムアップする毎に(例えば10分毎)に、タイマ割り込みによって(ステップS14)、ステップS14〜S18の処理を実行する。それ以外にも、常時、装置の状態監視を行っており(ステップS12)、主に利用者の操作に応じた監視事象が発生する毎に(ステップS13,YES)、この発生した監視事象に応じた処理を実行する。図示の例では、監視事象として、利用者による任意のファイルのオープン操作、このファイルの内容の更新操作、このファイルのクローズ操作、シャットダウン操作等がある。
【0030】
まず、タイマ割り込みによる処理について説明する。タイマ割り込みが発生すると(ステップS14,YES)、まず、上記RFIDリーダ11によって上記各種RFIDタグのデータ(RFIDコード)を読み取らせる。尚、以下、上記装置RFIDタグ、利用者RFIDタグ、場所RFIDタグから読み取ったRFIDコードを、それぞれ、装置RFIDコード、利用者RFIDコード、場所RFIDコードと呼ぶものとする。
【0031】
上記RFIDリーダ11は、上記3種類のRFIDコード全てを読み取るとは限らない。そのときの状況によって、1種類だけかも知れないし、2種類だけかもしれない。何れの場合であっても、読み取り可能な全てのRFIDコードを読み取り、これを、記憶したRFIDコードと比較する(ステップS15)。
【0032】
そして、比較の結果、両者が完全一致する場合には(ステップS16,NO)、使用状況に変化は無いことになるので、そのままステップS12に戻る。一方、比較の結果、読み取ったRFIDコードと、記憶してあるRFIDコ−ドとが不一致の場合(ステップS16,YES)、利用状況が変化したことになるので、読み取ったRFIDコードを新たに記憶すると共に(ステップS17)、これをサーバ20に送信する(ステップS18)。
【0033】
尚、使用状況が変化するとは、例えば利用者が変わった場合や使用場所が変わった場合である。すなわち、例えば、最初は利用者PC端末10の所有者本人が自席で利用者PC端末10を操作していたが、席を外したときに上記処理が行われたならば、利用者RFIDコードが読み取れなくなるので、ステップS16の比較結果は不一致となる。あるいは、所有者本人が利用者PC端末10を持って自席から上司の席等に移動した場合には、場所RFIDコードが変わることになるので、比較結果は不一致となる。また、電源ON直後には、RFIDコードは全く記憶されていないので、この場合にも、比較結果は不一致となる。
【0034】
この様にして、定期的に、利用者PC端末10の使用状況(利用者や場所)をチェックし、使用状況が変わったならばサーバ20に通知し、サーバ20は、場合によっては上記利用資格(端末10に与えられるセキュリティレベル)を変更する。
【0035】
次に、上記利用者の操作に応じた各種監視事象が発生した場合の処理について説明する。
まず、利用者が任意のファイルのオープン操作を行った場合には(ステップS19,YES)、まず、当該指定されたファイルがセキュリティ対象ファイルであるか否かを判定する(ステップS20)。セキュリティ対象ファイルとは、例えばその内容に社外秘の情報や重要な情報が含まれるファイル(重要情報ファイル)等である。判定方法は様々であってよく、一例としては、セキュリティ対象ファイルには、そのファイル名にセキュリティ対象であることを示すデータが含まれる(例えば、ファイル名に必ず“重要”の文字が含まれる)ようにしておくか、その文章中に「社外秘」、「重要」等の文字が含まれるようにしておく。あるいは、予め各ファイルのセキュリティレベルをサーバ20の管理者等が決定しておき、不図示のファイル名−セキュリティレベル対応テーブル等を、予め利用者PC端末10に格納しておくようにしてもよい。
【0036】
指定されたファイルがセキュリティ対象ファイルではない場合(ステップS20,NO)、すなわち一般情報ファイルである場合には、指定されたファイルをオープンする(ステップS21)。一方、指定されたファイルがセキュリティ対象ファイルである場合(ステップS20,YES)、更にこのファイルが暗号化ファイルである場合には(ステップS22,YES)、このファイルに関するハッシュ値を生成し、このハッシュと共にオープン要求をサーバ20へ送信する(ステップS23,S24)。これは、もし、例えば悪意のある利用者が、セキュリティ対象のファイルのファイル名を、セキュリティレベルの低いファイル名に変更していた場合、オープン要求が許可されてしまう可能性があるので、サーバ20側でハッシュ値を用いた確認処理を行うことで、これを防止する為である。
【0037】
一方、セキュリティ対象ファイルは一切、利用者PC端末10に格納させずに、サーバ20側に格納させて、オープン要求がある毎に(そして許可されたら)セキュリティ対象ファイルを利用者PC端末10にダウンロードさせる方式の場合には(ステップS22,NO)、単に上記指定されたファイルのオープン要求を送信する(ステップS24)。
【0038】
尚、上記オープン要求送信の際には、更に、各種RFIDタグの読み取りを行い、読み取ったRFIDコードもサーバ20に送信する。
セキュリティ対象ファイルの場合、上記オープン要求に対してサーバ20側が後述する処理によって許可を出した場合のみ、利用者はファイルの内容を参照することができる。
【0039】
上記オープン要求が許可されて、ファイルがオープンされた後、利用者がこのファイルの内容の変更、削除、追加等の何らかの修正作業を行うと、これを検知して(ステップS25、YES)、処理中レベルを“更新”に変更する(ステップS26)。
【0040】
利用者が、上記オープンしたファイルをクローズする指示を出した場合(ステップS27,YES)、処理中レベルが“更新”となっているか否かをチェックし(ステップS28)、もし“更新”となっているならば(ステップS28,YES)、すなわちオープンしたファイルに何らかの変更が行われている場合には、変更後のファイルの内容をサーバ20に送信してチェックを依頼する(ステップS29)。そして、処理中レベルを“チェック中”にして(ステップS30)、ステップS12に戻る。
【0041】
あるいは、利用者が、任意のファイルをFD(フレキシブルディスク)やCD−R等にコピーする(保存する)指示を出した場合には(ステップS70,YES)、処理中レベルに関係なく、ステップS29の処理に移行する。すなわち、当該保存対象のファイルの内容をサーバ20に送信してチェックを依頼する(ステップS29)。そして、処理中レベルを“チェック中”にして(ステップS30)、ステップS12に戻る。
【0042】
一方、処理中レベルが“更新”となっていないならば(ステップS28,NO)、そのままファイルをクローズする(ステップS31)。そして、このファイルがセキュリティ対象ファイルであった場合には、このファイルを消去する。暗号化ファイルの場合は、復号化したファイルのみ消去するのであり、元の暗号化ファイルはそのまま残しておく。同じファイルを再び参照したい場合には、再度、オープン要求を送信して許可を得る必要がある。
【0043】
また、そのとき、もし、シャットダウン処理中であったならば(ステップS32,YES)、ステップS34の処理に移り、もし他にもオープン中のファイルがあったならば(ステップS34,YES)、ステップS28に移り、このファイルについても同様にして上記クローズ要求時の処理を実行する。
【0044】
利用者がシャットダウンを指示した場合(ステップS33,YES)、もしオープン中のファイルがあるならば(ステップS34,YES)、上記と同様、ステップS28に移り、このファイルについて上記クローズ要求時の処理を実行する。
【0045】
次に、上記ステップS18,S24、S29の何れかの処理に応じてサーバ20側から応答があった場合の処理について説明する。
すなわち、上記サーバ20からの応答を受信すると(ステップS41,YES)、応答種類を判別し(ステップS42)、応答種類に応じた処理を実行する。図示の例では、応答種類は、「起動拒絶」、「起動許可」、「オープン許可」、「オープン拒否」、「クローズ指示」、「データチェック結果」、及び「レベル変更」の7種類である。
【0046】
まず、「起動拒絶」/「起動許可」について説明する。ここで、本例の利用者PC端末10は、電源ONしても直ちに起動するのではなく、まず上記ステップS14〜S18の処理により、読み取ったRFIDコードをサーバ20に送信する。そして、サーバ20から「起動許可」が通知された場合のみ、起動処理を実行する。
【0047】
これより、サーバ20からの応答が「起動拒絶」であった場合には(ステップS43,YES)、例えばディスプレイに「起動拒否」を表示する等して、起動が拒否されたことを利用者に通知して(ステップS44)、起動処理を中止する(ステップS45)。一方、サーバ20からの応答が「起動許可」であった場合には(ステップS46,YES)、起動処理を実行する(ステップS47)。尚、後述する例では、サーバ20側に登録済みの端末10であれば起動許可されるが、更に利用者が、利用者PC端末10の所有者であるか、又は所有者以外であっても予め使用を許可されている者(例えば上司、同僚等)である場合にのみ、起動が許可され、それ以外の人間が使用しようとしても、起動自体が拒絶されるようにしてもよい。
【0048】
次に、上記ステップS24のオープン要求に対する応答は、「オープン許可」又は「オープン拒否」となる。応答が「オープン許可」の場合であって(ステップS48,YES)、指定されたセキュリティ対象ファイルが暗号化ファイルである場合には、応答にその復号キーが含まれているので(ステップS49,YES)、この復号キーを用いて暗号化ファイルのデータ復号化を実行し(ステップS50)、この復号化したファイルをオープンする(ステップS51)。一方、セキュリティ対象ファイルをサーバ20側に格納しておく形態では、「オープン許可」と共にこのファイルがダウンロードされるので(ステップS49,NO)、ダウンロードしたファイルをオープンする(ステップS51)。
更に、上記何れの形態の場合でも、上記「オープン許可」と共に当該許可されたファイルのセキュリティレベルが通知されてくるので、これを例えば図5(b)に示す使用中ファイル・テーブル40に記憶する(ステップS52)。
【0049】
一方、応答種類が「オープン拒否」であった場合には(ステップS53,YES)、利用者PC端末10のディスプレイにオープン拒否を表示する等して(ステップS54)、ファイルオープンは行わない。
【0050】
上記ステップS29又は後述するステップS67のデータ内容チェック依頼に対するサーバ20からの応答は、後述するステップS170による「クローズ指示」又はステップS171による「データチェック結果」となる。尚、後述するように、上記データ内容チェック依頼に応じたサーバ20側のデータ内容チェック処理は、変更されたファイルの内容をチェックすることで、このファイルのセキュリティレベルを設定し直す処理であり、「データチェック結果」は基本的には新たに設定されたセキュリティレベルである。但し、特にステップS67に関する処理の場合、場合によっては強制的に「クローズ指示」がくる場合がある。詳しくは後述する。
【0051】
応答種類が「クローズ指示」であった場合には(ステップS55,YES)、この応答に暗号キーが添付されている場合にはクローズ対象ファイルの暗号化を行い(ステップS56,YES、ステップS57)、そうでなければ(ステップS56,NO)、当該クローズ対象ファイルへのショートカットを作成する(ステップS57)。そして、クローズ対象のファイルをクローズする。更に、クローズしたファイルを消去する。暗号化ファイルの場合、これを復号化したファイルは消去されるが、暗号化ファイル自体は消去されない(ステップS59)。尚、このとき、シャットダウン処理中であれば(ステップS60,YES)、ステップS34の処理へ移行する。
【0052】
応答種類が上記チェック依頼に対する「データチェック結果」であった場合には(ステップS61,YES)、ステップS27のクローズ要求によるチェック依頼に対する応答である場合には(ステップS62,YES)、ステップS56に移り、上記ファイルクローズ処理を行う。
【0053】
一方、ステップS67のチェック依頼に対する応答である場合には(ステップS62,NO)、処理中レベルがステップS68によって「チェック中」になっているので、これを「更新」に戻す(ステップS63)。これは、例えば、元々、端末10にセキュリティレベル1が与えられており、任意のセキュリティレベル‘1’のファイルをオープンしてこれを修正中に、端末10のセキュリティレベルが0に変更された為、ステップS64,S65,S66の判定がYESとなり、データチェック依頼をサーバ20に送信したが、データチェック処理の結果、当該ファイルのセキュリティレベルが‘0’に変更された為、強制的にファイルをクローズさせることなく、修正作業の続行を許可する場合等が想定される。
【0054】
また、ステップS18によるサーバ20へのRFID送信に対して、サーバ20側で、セキュリティレベルの変更があると判定した場合には、サーバ20から、後述するステップS129によって、レベル変更として変更後のセキュリティレベルが通知されるので、これを受信すると(ステップS64,YES)、この変更後のセキュリティレベルでは“許可外”となってしまうファイルで有り且つ現在オープン中のファイルがあるか否かを判定する(ステップS65)。
例えば、最初は、正当な利用者が正当な場所で(自席、会議室、特定の客先等)で使用していた為にセキュリティレベルが‘1’に設定され、重要情報ファイルであってもオープン可能でありオープンしていたが、途中で場所を変えたり、正当な利用者が席を外したりした場合には、上記レベル変更としてセキュリティレベル‘0’が通知される場合がある。
よって、この場合には、重要情報ファイルは全て“許可外”となり、もしオープン中の重要情報ファイルがあった場合には、クローズさせる必要がある。但し、もしこの重要情報ファイルに関してデータチェック依頼中である場合には、サーバ20からデータチェック結果が返信されるまで待ち、ステップS61、S59の処理によって当該ファイルをクローズする。
【0055】
上述したことより、セキュリティレベルの変更によって“許可外”となってしまうファイルであって現在オープン中のファイル(チェック依頼中のファイルは除く)が存在する場合には(ステップS65,YES)、このファイルについて何も修正作業が行われていないならば(ステップS66,NO)、直ちに当該ファイルをクローズする(ステップS69)。一方、このファイルについて何らかの修正作業が行われているならば、上記の通り、セキュリティレベルは“更新”となっているので(ステップS66,YES)、上記ステップS29,S30と同様の処理を行う(ステップS67,68)。
【0056】
図5(a)に、上記RFIDリーダ11が有するメモリに格納されるテーブル30(読み取ったRFIDを格納するテーブル)の一例を示す。図示のテーブル30において、RFIDコード31、32,33には、それぞれ、上記各種RFIDタグから読み取った各種RFIDコード(装置RFIDコード、利用者RFIDコード、場所RFIDコード)が格納される。上記ステップS15の処理では、新たに読み取ったRFIDコードとテーブル30に格納されたRFIDコードとを比較することになる。
【0057】
図5(b)に、使用中ファイル・テーブル40の一例を示す。図示のテーブル40は、ファイル名41とセキュリティレベル42とから成る。ファイル名41には、現在、この端末1でオープンしているファイルのファイル名が格納され、セキュリティレベル42には、そのセキュリティレベルが格納される。上記の通り、例えば、セキュリティレベル42が‘0’ならば、そのファイルは一般文書ファイルであり、セキュリティレベルが‘1’ならば、そのファイルは重要文書ファイルであることを意味する。また、特に図示しないが、端末1に与えられる現在のセキュリティレベルも別途格納されている。これより、上記ステップS65の処理では、上記端末1のセキュリティレベルを、各セキュリティレベル42と比較することで、許可外となるファイルを判定する。
【0058】
図6〜図8に、サーバ20の処理フローチャート図を示す。
まず、図6において、サーバ20は、電源ON後、監視タイマを起動し(ステップS101)、その後、タイムアップ→再起動→タイムアップ→再起動・・・を繰り返す。そして、タイムアップする毎に(例えば10分毎)に、タイマ割り込みによって(ステップS104,YES)、ステップS105以降の処理を実行する。それ以外にも、常時、装置の状態監視を行っており(ステップS102)、主に利用者PC端末10からの上記各種依頼に応じた処理を実行する。
【0059】
ここでは、まず、利用者PC端末10から上記ステップS18の処理によりRFIDコードが送られてきた場合の処理について説明する。この場合には、ステップS103がYES(監視事象発生)、ステップS104がNO(タイムアップ以外の事象)、ステップS108がYES(監視事象はRFID通知)となり、ステップS109以降の処理に移ることになる。
【0060】
まず、受信した(利用者PC端末10が送信してきた)RFIDコードを用いてスタックテーブル50を検索する(ステップS109)。
図9(a)に、スタックテーブル50の一例を示す。図示の例では、スタックテーブル50は、RFIDコード(PC)51、RFIDコード(人)52、RFIDコード(位置)53、セキュリティレベル54、利用期間55、利用時間56、及びファイル名57の各フィールドから成る。スタックテーブル50には、現在使用中の(電源OFFされていない)利用者PC端末10に関するポリシー情報が格納される。
【0061】
まず、受信した装置RFIDコードを用いてスタックテーブル50を検索して(ステップS109)、RFIDコード(PC)51が一致するレコードが存在するか否かを判定する(ステップS110)。もし、受信した装置RFIDコードが未だスタックテーブル50に登録されていないならば(ステップS110,NO)、利用者PC端末10の電源ON直後のステップS18の処理によってRFIDコードが送られてきたものである可能性がある(すなわち、新規接続である)ので、この場合にはスタックテーブル50への新規登録を行う必要がある。但し、装置RFIDコードが送られてこない可能性もあるし、受信した装置RFIDが未登録のものである可能性もある。
【0062】
よって、受信した装置RFIDコードを用いてポリシーテーブル60を検索して(ステップS111)、受信した装置RFIDコードが登録されているか否かを判定する(ステップS112)。勿論、装置RFIDコードが送られてこなかった場合には、ステップS111の判定はNOとなる。
【0063】
図9(b)に、ポリシーテーブル60の一例を示す。
図示のポリシーテーブル60は、装置61、利用者62、及び利用位置63の3種類のRFIDコード61a,62a,63aの特定の組み合わせ各々に対応付けて、ポリシー64が格納される。ポリシー64として、例えば、セキュリティレベル64a、利用期間64b、利用時間64c、及びファイル名64dの各項目がある。
【0064】
すなわち、予め、各装置61毎に、特定の利用者と利用位置が登録される。これは、図示の通り、各装置61毎に、複数パターン登録されてもよい。図示の例において、例えば、コード‘0304’の装置に関して、利用者が“Aさん”で利用場所が“Aさんの席”、利用者が“Bさん(Aさんの上司)”で利用場所が“Bさんの席”、利用者が“Bさん”で利用場所が“Aさんの席”の3パターンが登録されている。そして、各パターン毎に、重要情報ファイル参照の許可条件であるポリシー64が登録されているが、ポリシーによる条件以前に、まず、利用者と利用場所が上記3パターンの何れかに該当しなければ、重要情報ファイルの参照等が行えない(あるいは、装置61を使用できない(起動が拒絶される))ことになる。
【0065】
上記ステップS111,S112では、受信した装置RFIDコードを用いて装置61のRFIDコード61aを検索して、一致するものがあるか否かを判定する。もし、該当するものが無いならば、あるいはそもそも装置RFIDコードが送られてこないならば(ステップS112,NO)、未登録の装置からのアクセスがあったことになるので、そのアクセスログを記録し(ステップS113)、アクセス元の装置に対して起動拒否応答を送信する(ステップS114)。この場合、上記ステップS43の判定がYESとなることになる。
【0066】
一方、受信した装置RFIDコードがポリシーテーブル60に登録済みのものであるならば(ステップS112,YES)、アクセス元の装置に対して起動許可応答を送信する(ステップS115)。この場合、上記ステップS46の判定がYESとなる。そして、受信した装置RFIDコードを一時的に記憶する(ステップS116)。
【0067】
続いて、更に、ポリシーテーブル60を参照して、上記該当したRFIDコード61aに対応付けられている利用者62のRFIDコード62aを全て取得し(ステップS117)、その中に受信した利用者RFIDコードと一致するものがあるか否かを判定する(ステップS118)。例えば図9(b)に示す例では、RFIDコード61aが‘0304’の端末10に関しては、利用者が「Aさん」又は「Bさん」である場合のみ、ステップS118の判定はYESとなる。当然、端末10が利用者RFIDが読み取れなかった場合は、利用者RFIDは送られてこないので、ステップS118の判定はNOとなる。
【0068】
もし、ステップS118の判定がYESならば、受信した利用者RFIDコードを、上記ステップS116で一時的に記憶した装置RFIDコードに対応付けて記憶する(ステップS119)。続いて、更にポリシーテーブル60を参照して、上記受信した装置RFIDコード及び利用者RFIDコードに該当するレコードの利用位置63のRFID63aを全て取得し(ステップS120)、その中に受信した場所RFIDコードと一致するものがあるか否かを判定する(ステップS121)。
【0069】
例えば、上記RFIDコード61aが‘0304’の端末10を「Bさん」が使用した場合、自席又はAさんの席で使用している場合のみ、ステップS121の判定がYESとなる。当然、端末10が場所RFIDコードを読み取れなかった場合は、場所RFIDコードは送られてこないので、ステップS121の判定はNOとなる。
【0070】
また、図9(b)に示すポリシーテーブル60には、図示のAdditionalテーブル70が含まれる。Additionalテーブル70には、主に社外で重要情報ファイルを参照したい場合に、所有者等が予め申請し、申請が許可された場合に、その申請内容(許可条件)が登録される。許可条件は、客先等の特定の場所(この場所に予め設けられている場所RFIDコード)、その訪問日時(利用期間、利用日時)、及び特定のファイルである。
【0071】
図示の例では、例えば装置61のRFIDコード61aが‘0301’の端末10は、通常、鎌田SS(その所有者が居る部署)でのみ重要情報ファイルの参照が許可されるが、所有者又は正当な利用者が事前に申請を行うことで、一時的にではあるが、他の場所でも許可される。但し、重要情報ファイル全てを参照できるのではない。図示の例では、所有者等が予め「顧客先A社2階」で2005年10月28日の10時〜12時におけるファイル名“ABC.XLS”のファイルの参照許可を申請しており(この日時/時間帯に顧客先A社に出張してその2階でファイル“ABC.XLS”を用いたプレゼンテーションを行う予定がある為)、申請許可された為、この申請内容が図示の通りAdditionalテーブル70に登録されている。
【0072】
ステップS121の判定がYESの場合、受信した場所RFIDコードを、上記ステップS116で一時的に記憶した装置RFIDコードに対応付けて記憶する(ステップS122)。
【0073】
そして、この場合は、装置、利用者、場所の3種類のRFIDコード全てを端末10が読み取ってこれらを送信してきて且つこの3種類のRFIDコードの組み合わせがポリシーテーブル60に登録されていたことになるので、最低限の条件は満たすことになるが、本例では、これだけで直ちにセキュリティレベル64aに格納されたレベル(利用資格)を得ることが出来るわけではなく、ポリシー64に格納された利用期間64bと利用時間64cの条件も満たす必要がある。
【0074】
これより、続いて、ポリシーテーブル60の該当レコードのポリシー64を取得して(ステップS123)、その利用期間64bと利用時間64cとを現在日時と比較し(ステップS124)、現在年月日が利用期間64b内で且つ現在時刻が利用時間64c内であるか否かを判定する(ステップS125)。もし、ステップS125の判定がYESであれば、取得したポリシー64(セキュリティレベル64a、利用期間64b、利用時間64c、ファイル名64d)を、上記ステップS116で一時的に記憶した装置RFIDに対応付けて記憶する(ステップS126)。
【0075】
尚、ファイル名64dにおいて「*.*」とは、全てのファイルを意味する。よって、ファイル名64dが「*.*」の場合において、例えば、ステップS125の判定がYESで且つセキュリティレベル64aが‘1’の場合には、セキュリティレベル1のファイル(重要情報ファイル)は全てオープン可能となる。一方、これと同じ状況であっても、ファイル名64dに特定のファイル名(図示の例では「ABC.XLS」が格納されている場合には、このファイルのみオープン可能であり、他の重要情報ファイルはオープンできない。勿論、一般ファイル(セキュリティレベル0)は、参照条件を課せられることなく、常に参照可能である。
【0076】
尚、図示の例では、セキュリティレベルが0と1の2種類しかなく、一般情報ファイルと重要情報ファイルの区別しかないが、この例に限らない。例えば、セキュリティレベルが0〜2まであり、0は一般情報ファイル、1は重要情報ファイル、2は最重要情報ファイル等としてもよい(この場合、重要情報ファイルと最重要情報ファイルの両方がセキュリティ対象ファイルとして扱われる)。そして、最重要情報ファイルは、社外では(たとえ客先でも)参照できないようにしてもよい。あるいは、最重要情報ファイルは、Aさんは全く参照できないが、上司のBさんはポリシーテーブルの条件を満たせば、参照できないようにしてもよい。
【0077】
そして、スタックテーブル50において、そのRFIDコード51が上記ステップS116で一時的に記憶した装置RFIDと一致するレコードが存在するか否かを確認し(ステップS127)、もし存在しないならば(ステップS127,NO)、当該一時的に記憶した装置RFID及び上記の通りこの装置RFIDに対応付けて記憶した全データを、スタックテーブル50に追加格納する(ステップS136)。端末10の電源ON直後のRFID通知であった場合には、当然、ステップS127の判定はNOとなる。
【0078】
一方、ステップS127の判定がYESならば、該当レコードの記憶内容を更新し(ステップS12)、“レベル変更”としてそのセキュリティレベル54を端末10に通知する。但し、“レベル変更”といっても、必ずしもセキュリティレベルが変更されるわけではない。
【0079】
上記ステップS125の判定がNOの場合、ステップS126とは異なり、セキュリティレベルが強制的に‘0’に設定されて記憶されることになる(ステップS134,S135)。これは、ステップS118又はステップS121の判定がNOであった場合も同様である。すなわち、装置、利用者、使用場所、日時の全てが、予め登録されている条件を満たさない限り、重要情報ファイルの参照は許可されない。
【0080】
尚、ステップS118の判定がNOになったら、該当する利用位置RFIDコード63aがポリシーテーブル60に記憶されていれば(ステップS132でYES)、これを装置RFIDコードに対応付けて記憶する(ステップS133)。該当するものが無ければ、当然、記憶しない。また、ステップS110の判定がYESの場合、すなわち端末10の電源ON直後の処理によって既に少なくともその装置RFIDはスタックテーブル50に記憶されている場合には(つまり、端末10側のタイマによる定期的なRFID送信を受信した場合には)、ステップS111〜S116の処理を行う必要はないので、ステップS117に移行する。
【0081】
上記の通り、本例では、装置、利用者、場所の条件が全て揃っていても、重要情報ファイルを参照可能な時間帯には制限がある(但し、この例に限らず、例えば時間帯による制限は無くすようにしてもよいし、別の条件に置き換えるか、別の条件を追加してもよい)。よって、最初は、参照を許可されたが、その後、時間が経過して、許可される時間帯を過ぎてしまう場合がある。よって、定期的にチェックする必要がある。その為に、上記の通り、端末10から定期的にRFIDコードが送信されてくるが、サーバ20側でも定期的にチェックを行うようにしてもよい。すなわち、監視タイマがタイムアップする毎に(ステップS104,YES)、スタックテーブル50の利用期間55と利用時間56を参照して現在日時と比較して、現在日時が“利用期間64b内且つ利用時間64c内”となっていないレコードがある場合には(ステップS105と、ステップS106でYES)、この該当レコードの各RFIDコード51,52,53を取得して、これらを用いてポリシーテーブル60を検索する(ステップS107)。そして、上記ステップS117へ移行する。つまり、この場合には、端末10からRFIDが通知されているわけではないので、ステップS117、S120、S131の処理は、上記各RFIDコード51,52,53を用いて行うことになる。
【0082】
次に、上記ステップS24のオープン要求を受信した場合(ステップS141,YES)の処理について説明する。尚、オープン要求には、要求対象のファイル名と、読み取ったRFIDコードも含まれている。また、要求対象が暗号化ファイルの場合は、ステップS23で生成したハッシュ値も送られてくる。
【0083】
まず、上記要求対象のファイル名を用いてファイル名テーブル70を検索して、該当するレコードのセキュリティレベル73を取得する(ステップS142)。続いて、受信した装置RFIDコードを用いてスタックテーブル50を検索して、該当するレコードのセキュリティレベル64を取得する(ステップS143,S144)。そして、ステップS142とS144で取得したセキュリティレベルを比較して、許可セキュリティレベルであるか否かを判定する(ステップS145)。すなわち、端末10に現在与えられているセキュリティレベル(利用資格)が、要求対象のファイルのセキュリティレベルと一致するか又は上位である場合には、ステップS145の判定はYESとなる。上位とは、例えばファイルのセキュリティレベルが‘1’であるのに対して、端末10のセキュリティレベルが‘2’である場合等である。
【0084】
ステップS145の判定がYESの場合、更に、スタックテーブル50における該当レコードの利用期間64bと利用時間64cを取得して現在日時と比較し、現在日時が利用期間内且つ利用時間内であれば(ステップS146,YES)、ステップS147に移行し、許可ファイルか否かを判定する(ステップS147)。尚、ステップS147の判定は、ファイル名57を参照して、オープン要求されたファイルのファイル名と一致するものがあるか否かを判定するものである(尚、ファイル名57が「*.*」である場合には、常に“一致”と判定される)。
【0085】
上記ステップS145,S146,S147の条件の1つでも満たさなければ、要求ファイルの参照は許可されず、端末10に対してオープン拒否を送信する(ステップS154)。
【0086】
ステップS147の判定がYESであれば、基本的には、要求ファイルの参照を許可することになるが、もし要求ファイルが暗号化ファイルであれば(ステップS148,YES)、図9(c)に示すファイル名テーブル70からそのハッシュ値74を取得して、上記受信したハッシュ値と一致しない場合にも(ステップS149,NO)、端末10に対してオープン拒否を送信する(ステップS154)。当然、ハッシュ値が一致すれば(ステップS149,YES)、復号キーを取得して(ステップS150)、この復号キーと共にオープン許可を端末10に送信する(ステップS152)。ステップS147の判定がYESであって、要求ファイルが暗号化ファイルではない場合には(ステップS148,NO)、要求ファイルのファイルデータを取得して(ステップS151)、このファイルデータと共にオープン許可を端末10に送信する(ステップS152)。
【0087】
最後に、スタックテーブル50の該当レコードを更新する(ステップS153)。
次に、上記クローズ要求又はレベル変更に伴うステップS29又はS67によるデータ内容チェック依頼を受信した場合(ステップS161,YES)の処理について説明する。この場合は、上記チェック依頼と共に読み取ったRFIDが送信されてくる。
【0088】
この場合は、まず、セキュリティ辞書DBを参照して、依頼されたファイルのセキュリティレベルを決定する(ステップS162)。この処理は既存技術であり、セキュリティ辞書DBの具体例も特に示さないが、セキュリティ辞書DBにはセキュリティレベルを決定する為の様々なルールが格納されている。例えば、「文書中に“重要”又は“社外秘”の文字があれば、セキュリティレベルは1」等というルールが記載されている。これにより、例えば図9においてABC.XLSはセキュリティレベル1であるが、端末10側の利用者の編集作業によって重要情報が削除された結果、セキュリティレベルが0に変更されることもあり得る。勿論、その逆に、セキュリティレベル0であったファイルがセキュリティレベル1に変更されるケースもあり得る。
【0089】
図10は、セキュリティ辞書DBを用いたセキュリティレベル判定方法の一例を示す図である。
図示の例では、例えば、「社外秘」、「関係者外秘」、「機密情報」等のキーワードと、これに対応するセキュリティレベルとがセキュリティ辞書DBに記憶されており、セキュリティレベル判定処理部(不図示)は、処理対象ファイルを検索してこのファイル中にこれらキーワードが含まれているか否かを判定し、含まれている場合には、この処理対象ファイルのセキュリティレベルを‘1’とする。あるいは、処理対象ファイルに、個人情報(氏名、住所、メールアドレス、従業員ID等)、会社情報(社内、住所、担当者名、決算情報等)等の特定の情報が、所定数以上(例えば5つ以上)含まれている場合にも、この処理対象ファイルのセキュリティレベルを‘1’とする。この場合、各個人情報、会社情報等、形式(例えば5回以上)、対応するセキュリティレベルが、予めセキュリティ辞書DBに格納されており、上記セキュリティレベル判定処理部(不図示)は、これを参照して、セキュリティレベルの判定を行う。
【0090】
上記決定したこのセキュリティレベルが‘0’(セキュリティ不要)であれば(ステップS163,NO)、データチェック結果として当該決定したセキュリティレベルを端末10に返信する(ステップS171)。また、セキュリティレベルが‘0’以外(本例では‘1’として説明する(但し、この例に限らない))の場合でも(ステップS163,YES)、依頼元の端末10が持つセキュリティレベルが‘1’であり(ステップS164,YES)且つ現在日時が利用期間55内且つ利用時間56内であれば(ステップS165,YES)、データチェック結果として当該決定したセキュリティレベルを端末10に返信する(ステップS171)。すなわち、これらの場合には、ステップS170のファイルクローズ指示は行わない(強制的にファイルをクローズさせる処理は行わない)。
【0091】
一方、決定したセキュリティレベルが‘1’(重要情報ファイル)の場合であって(ステップS163,YES)、上記ステップS164、S165の何れかでも判定がNOとなった場合には、ファイル名テーブル70における当該ファイルのセキュリティレベル73を上記決定したレベルへ変更し(もし、ファイル名が変更された為に登録されていない場合には、新規登録を行い)(ステップS169)、依頼元の端末10にファイルクローズ指示を出し(ステップS170)、当該ファイルをクローズさせる。但し、その際、当該ファイルが暗号化対象である場合には(ステップS166,YES)、暗号キーを生成して、この暗号キーを用いて当該ファイルのデータを暗号化し、ハッシュ値を生成する処理も行ったうえで(ステップS167,S168)、上記ステップS169,170の処理を実行する。この場合には、ステップS169において、生成したハッシュ値もファイル名テーブル70に格納する。更に、この場合には、上記ステップS170において依頼元の端末10に対して上記生成した暗号キーを送信する。
【0092】
尚、上記ステップS70の保存処理に対応するデータ内容チェック依頼を受信した場合には、保存対象ファイルのセキュリティレベルが‘0’以外である場合において(ステップS163,YES)、ステップS164,S165の判定が両方ともYESの場合であっても、ステップS173の判定(“保存か?”)がYESとなることから、ステップS166に移行し、保存対象ファイルの暗号化処理等を実行することになる。そして、この場合には、ステップS174の判定(ステップS165と同じ)は当然YESとなるので、ステップS171に移行し、データチェック結果を返信する。一方、ステップS174の判定がNOであれば、クローズ指示を返信することになる。
【0093】
尚、上記ステップS70の保存処理に対応する処理は、上述した一例に限らない。例えば、単純に、保存対象ファイルのセキュリティレベルが‘0’であれば、依頼元の端末10に対して保存許可を通知してCD−R等へのコピーを実行させ、保存対象ファイルのセキュリティレベルが‘0’以外であれば、依頼元の端末10に対して保存不許可を通知して、CD−R等へのコピーは一切禁止するようにしてもよい。
【0094】
上記ポリシーテーブル60の各レコードの新規登録/変更の為の申請は、例えば各端末10の所有者や管理者が、社内のパソコン等を用いて、例えば社内ネットワークを介してサーバ20にアクセスして、行うことができる。この申請を要求方法は、「通常利用申請」と「持出申請」の2種類ある。「通常利用申請」は、例えば端末10の社内での使用に限る申請である。「持出申請」は、端末10の社外での使用に限る申請である。
「通常利用申請」を要求すると、例えば図11(a)に示す通常利用申請画面80が表示される。申請者は、この画面上で、使用を希望する端末10の装置名、利用者名(通常は所有者自身の名前)、利用位置、更に自分以外で端末10の使用を許可する者(上司、同僚等)の名前を入力する。尚、その際、図12(a)〜(c)に示すテーブル100、110、120を参照して、氏名や利用位置名を一覧表示して、任意の氏名、利用位置名を選択させるようにしてもよい。その際、通常利用申請においては、社内において場所RFIDを配置してある各場所が利用位置名一覧として表示され、社外において場所RFIDを配置してある場所の名前は表示されない。
【0095】
また、テーブル100、110、120には、図示の通り、氏名や利用位置名に対応するRFIDコードが格納されているので、申請許可された場合には、これらRFIDコードを取得して、ポリシーテーブル60のRFIDコード61a、62a,63aに格納することになる。尚、申請許可するか否かの判定方法は、特に言及しない。
【0096】
一方、社外(例えば客先)に端末10を持ち出して使用したい場合には「持出申請」を要求することになる。
「持出申請」を要求した場合には、図11(b)に示す持出申請画面90が表示される。この場合は、上記通常利用とは異なり、持ち出しを行う端末10の装置名と持ち出しを行う者本人の名前(利用者名)を入力する。そして、例えば、社外において場所RFIDを配置してある各場所が利用位置名一覧として表示され、任意の利用位置名を選択させる。更に、対象ファイルのファイル名を入力させる。対象ファイルとは、例えば客先に行って説明等をする為に必要なファイルであり、予め分かっているはずなので、これを入力させる。更に、客先に行く予定日や説明等を行う時間帯も、予め大体分かっているはずなので、図示の利用期間、利用時間として入力させる。
【0097】
申請内容は、例えば上司のパソコン等に送られて、上司のチェックを受けて、許可するか否かが決定されるようにしてもよい。許可されたなら、例えばテーブル100、110、120を参照して、利用者名や利用位置名に対応するRFIDコードが取得され、これらが申請内容と共にポリシーテーブル60に新規登録されることになる。この様に上司等のチェックを受けることで、申請者が本来必要の無いファイルを外出先で参照しようとしても、申請が許可されないので、出来ないことになる。尚、社内とは狭義の意味での社内であり、例えば本社に勤務する者は、本社ビル内のみが社内であり、支店や研究所等は社外として扱う。あるいは、本社ビル内の特定のエリア(利用者の部署がある場所や会議室)のみを社内として扱っても良い。要するに、情報漏洩の危険性が高い場所か低い場所かによって決定するべきことである。
【0098】
図13は、上記利用者PC端末10又はサーバ20(コンピュータ)のハードウェア構成の一例を示す図である。
同図に示すコンピュータ200は、CPU201、メモリ202、入力装置203、出力装置204、外部記憶装置205、媒体駆動装置206等を有し、これらがバス208に接続された構成となっている。また、更に、ネットワーク接続装置207を有する構成であってもよい。同図に示す構成は一例であり、これに限るものではない。
【0099】
CPU201は、当該コンピュータ200全体を制御する中央処理装置である。
メモリ202は、プログラム実行、データ更新等の際に、外部記憶装置205(あるいは可搬型記録媒体209)に記憶されているプログラムあるいはデータを一時的に格納するRAM等のメモリである。CPU201は、メモリ202に読み出したプログラム/データを用いて、上述してある各種処理を実行する。コンピュータ200が例えば利用者PC端末10である場合には、図2〜図4の処理を実行する。コンピュータ200が例えばサーバ20である場合には、図6〜図8の処理を実行する。
【0100】
外部記憶装置205は、例えば磁気ディスク装置、光ディスク装置、光磁気ディスク装置等であり、上記各種機能を実現させる為のプログラム/データ等が格納されている。コンピュータ200が例えば利用者PC端末10である場合には、上記図2〜図4の処理をCPU201に実行させる為のプログラムや、図5に示すデータが記憶されている。コンピュータ200が例えばサーバ20である場合には、上記図6〜図8の処理をCPU201に実行させる為のプログラムや、図9、図12に示すデータが記憶されている。尚、これらプログラム/データは、可搬型記録媒体209に記憶されていてもよい。
【0101】
媒体駆動装置206は、可搬型記録媒体209に記憶されているプログラム/データ等を読み出す。可搬型記録媒体209は、例えば、FD(フレキシブルディスク)、CD−ROM、その他、DVD、光磁気ディスク等である。
【0102】
ネットワーク接続装置207は、ネットワークに接続して、外部の情報処理装置とプログラム/データ等の送受信を可能にする構成である。
尚、入力装置203は例えばキーボート、マウス等、出力装置204は例えばディスプレイ等である。
【0103】
図14は、上記プログラム等を記録した記録媒体、ダウンロードの一例を示す図である。
図示のように、上記各種機能を実現するプログラム/データが記憶されている可搬型記録媒体209から情報処理装置200側に読み出して、メモリ202に格納し実行するものであってもよいし、また、上記プログラム/データは、ネットワーク接続装置207により接続しているネットワーク210(インターネット等)を介して、外部のサーバ20220の記憶部221に記憶されているプログラム/データをダウンロードするものであってもよい。
【0104】
また、本発明は、装置/方法に限らず、上記プログラム/データを格納した記録媒体(可搬型記録媒体209等)自体として構成することもできるし、上記プログラム自体として構成することもできる。
【0105】
(付記1) 各可搬型情報処理装置は、
該可搬型情報処理装置の識別情報、利用者の識別情報、場所の識別情報のうち検出可能な識別情報を検出してサーバに通知する識別情報検出・通知手段と、
任意のファイルの利用を指示されたとき、該ファイルがセキュリティ対象ファイルである場合には、前記サーバに問い合わせ、該問い合わせに対する応答に応じて該指示されたファイルの利用を制御するファイル利用制御手段とを有し、
前記サーバは、
予め前記3種類の識別情報の特定の組み合わせ毎に対応付けて利用資格を記憶する第1の記憶手段と、
予め各ファイル毎のレベルを記憶する第2の記憶手段と、
前記通知された各識別情報が前記第1の記憶手段に記憶されている特定の組み合わせに該当する場合に、前記通知元の可搬型情報処理装置に対して該特定の組み合わせに対応する前記利用資格を与える利用資格判定手段と、
前記問い合わせがあったとき、前記指示されたファイルのレベルを前記第2の記憶手段を参照して求め、該問い合わせ元の可搬型情報処理装置に与えられている前記利用資格と該レベルを比較することで、前記指示されたファイルの利用を許可するか否かを判定して前記ファイル利用制御手段に応答する利用許可判定手段とを有する、
ことを特徴とする情報セキュリティシステム。
【0106】
(付記2) 前記第1の記憶手段には更に所定の利用条件が記憶されており、
前記利用資格判定手段は、前記通知された各識別情報が前記第1の記憶手段に記憶されている特定の組み合わせに該当する場合であっても、該利用条件を満たしていない場合には、前記利用資格を与えないことを特徴とする付記1記載の情報セキュリティシステム。
【0107】
(付記3) 前記利用条件は、期間又は時間帯であり、
前記利用資格判定手段は、現在の日時に基づいて、該利用条件を満たしているか否かを判定することを特徴とする付記2記載の情報セキュリティシステム。
【0108】
(付記4) 前記第1の記憶手段には更に特定のファイル名が記憶されており、
前記利用許可判定手段は、前記指示されたファイルのファイル名が該特定のファイル名と一致しない場合には、前記指示されたファイルの利用を許可しないことを特徴とする付記1〜3の何れかに記載の情報セキュリティシステム。
【0109】
(付記5) 前記セキュリティ対象ファイルは、前記可搬型情報処理装置に暗号化ファイルとして格納されており、
前記利用許可判定手段は、利用を許可すると判定したファイルの復号キーを前記可搬型情報処理装置に送信することを特徴とする付記1〜4の何れかに記載の情報セキュリティシステム。
【0110】
(付記6) 前記セキュリティ対象ファイルは、前記可搬型情報処理装置には記憶されておらず、
前記利用許可判定手段は、利用を許可すると判定した場合、該利用許可したファイルを前記可搬型情報処理装置にダウンロードすることを特徴とする付記1〜4の何れかに記載の情報セキュリティシステム。
【0111】
(付記7) 前記サーバは前記各暗号化ファイルのハッシュ値を記憶しており、
前記可搬型情報処理装置のファイル利用制御手段は、前記問い合わせの際に、前記指定されたファイルが暗号化ファイルである場合には、該暗号化ファイルのハッシュ値を前記サーバに送信し、
前記サーバの利用許可判定手段は、受信したハッシュ値が前記記憶してあるハッシュ値と一致しない場合には、前記利用資格に係わらず、前記指示されたファイルの利用を許可しないことを特徴とする付記5記載の情報セキュリティシステム。
【0112】
(付記8) 前記サーバの利用許可判定手段は、定期的に前記識別情報検出・通知手段から通知される前記識別情報に基づいて前記利用資格を判定して、利用資格が変わった場合には該新たな利用資格を前記可搬型情報処理装置に通知し、
前記可搬型情報処理装置のファイル利用制御手段は、利用中のファイルのなかで該新たな利用資格では利用許可されないファイルがある場合には、該ファイルの利用を中止させることを特徴とする付記1記載の情報セキュリティシステム。
【0113】
(付記9) 前記第1の記憶手段には、通常は前記セキュリティ対象ファイルの利用が許可されない外部の場所に関しても、予め登録許可された場合には、一時的に使用許可させる為に、該外部の場所の識別情報を含む前記3種類の識別情報の組み合わせと該組み合わせに対応する利用資格を記憶することを特徴とする付記1記載の情報セキュリティシステム。
【0114】
(付記10) 前記識別情報検出・通知手段が検出する各種識別情報は、前記可搬型情報処理装置、利用者、場所にそれぞれ取り付けられているRFIDタグから読み出したRFIDコードであることを特徴とする付記1〜9の何れかに記載の情報セキュリティシステム。
【0115】
(付記11) 予め可搬型情報処理装置の識別情報、利用者の識別情報、場所の識別情報の3種類の識別情報の特定の組み合わせ毎に対応付けて利用資格を記憶する第1の記憶手段と、
予め各ファイル毎のレベルを記憶する第2の記憶手段と、
任意の前記可搬型情報処理装置から前記識別情報が通知されると、該通知された各識別情報が前記第1の記憶手段に記憶されている特定の組み合わせに該当する場合に、前記通知元の可搬型情報処理装置に対して該特定の組み合わせに対応する前記利用資格を与える利用資格判定手段と、
任意の前記可搬型情報処理装置から任意のセキュリティ対象ファイルの利用要求があると、該要求されたセキュリティ対象ファイルのレベルを前記第2の記憶手段を参照して求め、該要求元の可搬型情報処理装置に与えられている前記利用資格と該レベルを比較することで、前記要求されたセキュリティ対象ファイルの利用を許可するか否かを判定する利用許可判定手段と、
を有することを特徴とするサーバ。
【0116】
(付記12) コンピュータに、
予め可搬型情報処理装置の識別情報、利用者の識別情報、場所の識別情報の3種類の識別情報の特定の組み合わせ毎に対応付けて利用資格を記憶する第1の記憶機能と、
予め各ファイル毎のレベルを記憶する第2の記憶機能と、
任意の前記可搬型情報処理装置から前記識別情報が通知されると、該通知された各識別情報が前記第1の記憶機能に記憶されている特定の組み合わせに該当する場合に、前記通知元の可搬型情報処理装置に対して該特定の組み合わせに対応する前記利用資格を与える機能と、
任意の前記可搬型情報処理装置から任意のセキュリティ対象ファイルの利用要求があると、該要求されたセキュリティ対象ファイルのレベルを前記第2の記憶機能を参照して求め、該要求元の可搬型情報処理装置に与えられている前記利用資格と該レベルを比較することで、前記要求されたセキュリティ対象ファイルの利用を許可するか否かを判定する機能と、
を実現させる為のプログラム。
【図面の簡単な説明】
【0117】
【図1】本例の情報セキュリティシステム全体のシステム構成図である。
【図2】利用者PC端末の処理フローチャート図(その1)である。
【図3】利用者PC端末の処理フローチャート図(その2)である。
【図4】利用者PC端末の処理フローチャート図(その3)である。
【図5】(a)、(b)は利用者PC端末側に格納されるテーブルの一例である。
【図6】サーバ20の処理フローチャート図(その1)である。
【図7】サーバ20の処理フローチャート図(その2)である。
【図8】サーバ20の処理フローチャート図(その3)である。
【図9】(a)〜(c)はサーバ20側に格納されるテーブルの一例(その1)である。
【図10】セキュリティ辞書DBを用いたセキュリティレベル判定方法の一例を示す図である。
【図11】(a),(b)は申請画面の一例である。
【図12】(a)〜(c)はサーバ20側に格納されるテーブルの一例(その2)である。
【図13】コンピュータのハードウェア構成図である。
【図14】記録媒体、ダウンロードの一例を示す図である。
【符号の説明】
【0118】
1 ネットワーク
10 利用者PC端末
11 RFIDリーダ
12 RFID通知部
13 ファイル利用制御部
20 サーバ
21 利用条件記憶部
22 ファイル・レベル記憶部
23 利用資格判定部
24 許可判定部
30 テーブル
31,32,33 RFIDコード
40 使用中ファイル・テーブル
41 ファイル名
42 セキュリティレベル
50 スタックテーブル
51 RFIDコード(PC)
52 RFIDコード(人)
53 RFIDコード(位置)
54 セキュリティレベル
55 利用期間
56 利用時間
57 ファイル名
60 ポリシーテーブル
61 装置
61a RFIDコード
61b 利用者
62 利用者
62a RFIDコード
62b 氏名
63 利用位置
63a RFIDコード
63b 場所名
64 ポリシー
64a セキュリティレベル
64b 利用期間
64c 利用時間
64d ファイル名
70 ファイル名テーブル
71 装置RFID
72 ファイル名
73 セキュリティレベル
74 ハッシュ値
80 通常利用申請画面
90 持出申請画面
100,110,120 テーブル
200 コンピュータ
201 CPU
202 メモリ
203 入力装置
204 出力装置
205 外部記憶装置
206 媒体駆動装置
207 ネットワーク接続装置
208 バス
209 可搬型記録媒体
210 ネットワーク
220 外部のサーバ
221 記憶部
【特許請求の範囲】
【請求項1】
各可搬型情報処理装置は、
該可搬型情報処理装置の識別情報、利用者の識別情報、場所の識別情報のうち検出可能な識別情報を検出してサーバに通知する識別情報検出・通知手段と、
任意のファイルの利用を指示されたとき、該ファイルがセキュリティ対象ファイルである場合には、前記サーバに問い合わせ、該問い合わせに対する応答に応じて該指示されたファイルの利用を制御するファイル利用制御手段とを有し、
前記サーバは、
予め前記3種類の識別情報の特定の組み合わせ毎に対応付けて利用資格を記憶する第1の記憶手段と、
予め各ファイル毎のレベルを記憶する第2の記憶手段と、
前記通知された各識別情報が前記第1の記憶手段に記憶されている特定の組み合わせに該当する場合に、前記通知元の可搬型情報処理装置に対して該特定の組み合わせに対応する前記利用資格を与える利用資格判定手段と、
前記問い合わせがあったとき、前記指示されたファイルのレベルを前記第2の記憶手段を参照して求め、該問い合わせ元の可搬型情報処理装置に与えられている前記利用資格と該レベルを比較することで、前記指示されたファイルの利用を許可するか否かを判定して前記ファイル利用制御手段に応答する利用許可判定手段とを有する、
ことを特徴とする情報セキュリティシステム。
【請求項2】
前記第1の記憶手段には更に所定の利用条件が記憶されており、
前記利用資格判定手段は、前記通知された各識別情報が前記第1の記憶手段に記憶されている特定の組み合わせに該当する場合であっても、該利用条件を満たしていない場合には、前記利用資格を与えないことを特徴とする請求項1記載の情報セキュリティシステム。
【請求項3】
前記第1の記憶手段には、通常は前記セキュリティ対象ファイルの利用が許可されない外部の場所に関しても、予め登録許可された場合には、一時的に使用許可させる為に、該外部の場所の識別情報を含む前記3種類の識別情報の組み合わせと該組み合わせに対応する利用資格を記憶することを特徴とする請求項1記載の情報セキュリティシステム。
【請求項4】
予め可搬型情報処理装置の識別情報、利用者の識別情報、場所の識別情報の3種類の識別情報の特定の組み合わせ毎に対応付けて利用資格を記憶する第1の記憶手段と、
予め各ファイル毎のレベルを記憶する第2の記憶手段と、
任意の前記可搬型情報処理装置から前記識別情報が通知されると、該通知された各識別情報が前記第1の記憶手段に記憶されている特定の組み合わせに該当する場合に、前記通知元の可搬型情報処理装置に対して該特定の組み合わせに対応する前記利用資格を与える利用資格判定手段と、
任意の前記可搬型情報処理装置から任意のセキュリティ対象ファイルの利用要求があると、該要求されたセキュリティ対象ファイルのレベルを前記第2の記憶手段を参照して求め、該要求元の可搬型情報処理装置に与えられている前記利用資格と該レベルを比較することで、前記要求されたセキュリティ対象ファイルの利用を許可するか否かを判定する利用許可判定手段と、
を有することを特徴とするサーバ。
【請求項5】
コンピュータに、
予め可搬型情報処理装置の識別情報、利用者の識別情報、場所の識別情報の3種類の識別情報の特定の組み合わせ毎に対応付けて利用資格を記憶する第1の記憶機能と、
予め各ファイル毎のレベルを記憶する第2の記憶機能と、
任意の前記可搬型情報処理装置から前記識別情報が通知されると、該通知された各識別情報が前記第1の記憶機能に記憶されている特定の組み合わせに該当する場合に、前記通知元の可搬型情報処理装置に対して該特定の組み合わせに対応する前記利用資格を与える機能と、
任意の前記可搬型情報処理装置から任意のセキュリティ対象ファイルの利用要求があると、該要求されたセキュリティ対象ファイルのレベルを前記第2の記憶機能を参照して求め、該要求元の可搬型情報処理装置に与えられている前記利用資格と該レベルを比較することで、前記要求されたセキュリティ対象ファイルの利用を許可するか否かを判定する機能と、
を実現させる為のプログラム。
【請求項1】
各可搬型情報処理装置は、
該可搬型情報処理装置の識別情報、利用者の識別情報、場所の識別情報のうち検出可能な識別情報を検出してサーバに通知する識別情報検出・通知手段と、
任意のファイルの利用を指示されたとき、該ファイルがセキュリティ対象ファイルである場合には、前記サーバに問い合わせ、該問い合わせに対する応答に応じて該指示されたファイルの利用を制御するファイル利用制御手段とを有し、
前記サーバは、
予め前記3種類の識別情報の特定の組み合わせ毎に対応付けて利用資格を記憶する第1の記憶手段と、
予め各ファイル毎のレベルを記憶する第2の記憶手段と、
前記通知された各識別情報が前記第1の記憶手段に記憶されている特定の組み合わせに該当する場合に、前記通知元の可搬型情報処理装置に対して該特定の組み合わせに対応する前記利用資格を与える利用資格判定手段と、
前記問い合わせがあったとき、前記指示されたファイルのレベルを前記第2の記憶手段を参照して求め、該問い合わせ元の可搬型情報処理装置に与えられている前記利用資格と該レベルを比較することで、前記指示されたファイルの利用を許可するか否かを判定して前記ファイル利用制御手段に応答する利用許可判定手段とを有する、
ことを特徴とする情報セキュリティシステム。
【請求項2】
前記第1の記憶手段には更に所定の利用条件が記憶されており、
前記利用資格判定手段は、前記通知された各識別情報が前記第1の記憶手段に記憶されている特定の組み合わせに該当する場合であっても、該利用条件を満たしていない場合には、前記利用資格を与えないことを特徴とする請求項1記載の情報セキュリティシステム。
【請求項3】
前記第1の記憶手段には、通常は前記セキュリティ対象ファイルの利用が許可されない外部の場所に関しても、予め登録許可された場合には、一時的に使用許可させる為に、該外部の場所の識別情報を含む前記3種類の識別情報の組み合わせと該組み合わせに対応する利用資格を記憶することを特徴とする請求項1記載の情報セキュリティシステム。
【請求項4】
予め可搬型情報処理装置の識別情報、利用者の識別情報、場所の識別情報の3種類の識別情報の特定の組み合わせ毎に対応付けて利用資格を記憶する第1の記憶手段と、
予め各ファイル毎のレベルを記憶する第2の記憶手段と、
任意の前記可搬型情報処理装置から前記識別情報が通知されると、該通知された各識別情報が前記第1の記憶手段に記憶されている特定の組み合わせに該当する場合に、前記通知元の可搬型情報処理装置に対して該特定の組み合わせに対応する前記利用資格を与える利用資格判定手段と、
任意の前記可搬型情報処理装置から任意のセキュリティ対象ファイルの利用要求があると、該要求されたセキュリティ対象ファイルのレベルを前記第2の記憶手段を参照して求め、該要求元の可搬型情報処理装置に与えられている前記利用資格と該レベルを比較することで、前記要求されたセキュリティ対象ファイルの利用を許可するか否かを判定する利用許可判定手段と、
を有することを特徴とするサーバ。
【請求項5】
コンピュータに、
予め可搬型情報処理装置の識別情報、利用者の識別情報、場所の識別情報の3種類の識別情報の特定の組み合わせ毎に対応付けて利用資格を記憶する第1の記憶機能と、
予め各ファイル毎のレベルを記憶する第2の記憶機能と、
任意の前記可搬型情報処理装置から前記識別情報が通知されると、該通知された各識別情報が前記第1の記憶機能に記憶されている特定の組み合わせに該当する場合に、前記通知元の可搬型情報処理装置に対して該特定の組み合わせに対応する前記利用資格を与える機能と、
任意の前記可搬型情報処理装置から任意のセキュリティ対象ファイルの利用要求があると、該要求されたセキュリティ対象ファイルのレベルを前記第2の記憶機能を参照して求め、該要求元の可搬型情報処理装置に与えられている前記利用資格と該レベルを比較することで、前記要求されたセキュリティ対象ファイルの利用を許可するか否かを判定する機能と、
を実現させる為のプログラム。
【図1】
【図2】
【図3】
【図4】
【図6】
【図7】
【図8】
【図10】
【図11】
【図13】
【図14】
【図5】
【図9】
【図12】
【図2】
【図3】
【図4】
【図6】
【図7】
【図8】
【図10】
【図11】
【図13】
【図14】
【図5】
【図9】
【図12】
【公開番号】特開2007−233441(P2007−233441A)
【公開日】平成19年9月13日(2007.9.13)
【国際特許分類】
【出願番号】特願2006−50680(P2006−50680)
【出願日】平成18年2月27日(2006.2.27)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
【公開日】平成19年9月13日(2007.9.13)
【国際特許分類】
【出願日】平成18年2月27日(2006.2.27)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
[ Back to top ]