情報処理装置、情報処理方法及びプログラム
【課題】利便性を低減させずに情報漏洩を防ぐことが可能な仕組みを提供することを目的とする。
【解決手段】ネットワークとの接続が可能な情報処理装置であって、ネットワークの接続形態を検出する検出手段と、ネットワークの接続形態とファイルへのアクセス制限とが対応付けられたアクセス制限情報が記憶された記憶装置より、検出手段で検出されたネットワーク接続形態に対応するアクセス制限を特定し、特定したアクセス制限に従い、ファイルへのアクセスを制限するアクセス制限手段と、を有することによって課題を解決する。
【解決手段】ネットワークとの接続が可能な情報処理装置であって、ネットワークの接続形態を検出する検出手段と、ネットワークの接続形態とファイルへのアクセス制限とが対応付けられたアクセス制限情報が記憶された記憶装置より、検出手段で検出されたネットワーク接続形態に対応するアクセス制限を特定し、特定したアクセス制限に従い、ファイルへのアクセスを制限するアクセス制限手段と、を有することによって課題を解決する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理装置、情報処理方法及びプログラムに関する。
【背景技術】
【0002】
近年、機密情報を格納した情報処理装置からの情報漏洩が増加しており、その対策として外部への情報処理装置の持ち出し禁止や、外部のネットワークへの接続を禁止するといった対策がとられている。しかし、業務形態によっては、情報処理装置を外部に持ち出すことが必要となったり、ネットワークに接続しなければならなかったりする場合も多く、一律な対策では業務効率の低下等不都合も生じている。
そこで、情報処理装置の外部への持ち出しを許容しながら情報漏洩の危険性を低減させる方法として、情報処理装置の使用エリアによって情報操作を制限する方法が特許文献1で開示されている。
また、特許文献2には、クライアント端末から管理サーバに対してファイルアクセス要求があった場合に、管理サーバが当該ファイルの利用レベルをクライアント端末に送信することで、クライアント端末におけるファイルの機密性を保つ方法が開示されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2003−288275号公報
【特許文献2】特開2009−265854号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、ネットワークを介した情報漏洩については、特許文献1に記載のシステムのように情報処理装置の場所によって操作制御を行う方法では対処することが難しい。
また、特許文献2に記載のシステムにおいては、機密ファイルにアクセスするたびに管理サーバと通信する必要があり、管理サーバが利用不可能な場合には機密ファイルを利用することができなくなる。
【0005】
本発明はこのような問題点に鑑みなされたもので、利便性を低減させずに情報漏洩を防ぐことが可能な仕組みを提供することを目的とする。
【課題を解決するための手段】
【0006】
そこで、本発明は、ネットワークとの接続が可能な情報処理装置であって、ネットワークの接続形態を検出する検出手段と、ネットワークの接続形態とファイルへのアクセス制限とが対応付けられたアクセス制限情報が記憶された記憶装置より、前記検出手段で検出されたネットワーク接続形態に対応するアクセス制限を特定し、特定したアクセス制限に従い、ファイルへのアクセスを制限するアクセス制限手段と、を有することを特徴とする。
【発明の効果】
【0007】
本発明によれば、利便性を低減させずに情報漏洩を防ぐことが可能な仕組みを提供することができる。
【図面の簡単な説明】
【0008】
【図1】ファイルアクセス制限システムのシステム構成の一例を示す図である。
【図2】情報処理端末のハードウェア構成の一例を示す図である。
【図3】図1で示したファイルサーバ及び情報処理端末の機能の一例を示す図である。
【図4】情報処理端末で行われるファイルアクセス制限処理の一例を示すフローチャートである。
【図5】アクセス制限情報の一例を示す図である。
【図6】ファイル書き込み終了時の処理の一例を示すフローチャートである。
【図7】アクセス制限対象ファイルの一例を示す図である。
【図8】情報処理端末がファイルサーバからファイルを取得する場合の処理の一例を示すフローチャートである。
【図9】アクセス制限情報の同期処理の一例を示すフローチャートである。
【図10】ネットワーク定義情報の同期処理の一例を示すフローチャートである。
【図11】ネットワーク定義情報の一例を示す図である。
【図12】アクセス制限情報の同期処理の一例を示すフローチャートである。
【図13】アクセス制限情報の一例を示す図である。
【図14】アクセス制限ルールの一例を示す図である。
【図15】情報処理端末からファイルサーバにファイルが送信(アップロード)される際のファイルサーバにおける処理の一例を示すフローチャートである。
【図16】ファイルサーバの管理者がアクセス制限ルールを変更する際の処理の一例を示すフローチャートである。
【図17】情報処理端末に格納されているアクセス制限対象外ファイルの検査処理の一例を示すフローチャートである。
【発明を実施するための形態】
【0009】
以下、本発明の実施形態について図面に基づいて説明する。
【0010】
<実施形態1>
図1は、ファイルアクセス制限システムのシステム構成の一例を示す図である。
尚、図1のネットワーク103上に接続される各種端末の構成は一例であり、用途や目的に応じて様々な構成例がある。
101は、LDAP(Lightweight Directory Access Protocol)サーバである。このLDAPサーバ101は、企業ネットワークを利用する組織や個人のディレクトリ情報を管理するディレクトリサービスを提供するものである。尚、本実施形態に適用可能なディレクトリサービスはLDAPに限られるものではなく、例えばActive Directory等他のものであってもよい。
102は、ファイルサーバである。このファイルサーバ102は、業務で用いる機密ファイル及び機密でないファイルの保存機能及び、LDAPサーバ101を用いた利用者認証機能を有している。
104は、情報処理装置の一例である情報処理端末である。この情報処理端末104は、専用のプログラムによってファイルサーバ102とファイルの送受信及び、ネットワークの接続形態検出及び、制限対象ファイルのアクセス制限を行う。
105は、組織外のネットワーク接続であり、別拠点の企業ネットワーク、情報処理端末の所有者の個人ネットワーク、公衆ネットワーク等あらゆるネットワークが該当する。
【0011】
図2は、情報処理端末104のハードウェア構成の一例を示す図である。
201は、CPUで、RAM202やROM203に格納されるプログラムやデータを用いて情報処理端末104全体の制御及び後述する情報処理端末の各処理の実行を行う。
202は、RAMで、HDD204や記憶媒体ドライブ206からロードされたプログラムやデータ、ネットワークI/Fを介して受信したデータを一時的に記憶するための領域と、CPUが各種の処理を実行する際に使用する作業領域を備える。
203は、ROMで、情報処理端末104の設定データやブートプログラム等を格納する。
204は、HDDで、オペレーティングシステムや、情報処理端末104が行う後述の各処理をCPU201に実行させるためのプログラムやデータが保存されている。プログラムやデータの一部又は全部はCPU201の指示に従ってRAM202にロードされ、これを用いてCPU201が処理を行うことで、情報処理端末104は後述する処理を実行する。
つまり、情報処理端末104のCPU201がプログラムに基づき処理を実行することによって、後述する情報処理端末104の機能やフローチャートに係る処理が実現される。同様に、ファイルサーバのCPUがファイルサーバのHDD等に記憶されたプログラムに基づき処理を実行することによって、後述するファイルサーバの機能やフローチャートに係る処理が実現される。
205は、ネットワークI/Fで、情報処理端末104を社内LAN及び、その他のネットワークに接続させるためのものであり、このネットワークI/F205を介して情報処理端末104は外部機器と通信を行う。
【0012】
206は、外部記憶ドライブで、CD−ROM、CD−R/RW、DVD−ROM、DVD−R/RW、DVD−RAM等の記憶媒体に記録されたプログラムやデータを読み出し、RAM202に出力するものである。この読み出し動作はCPU201によって制御される。
207は、キーボードで、各種の指示をCPU201に対して入力する。
208は、マウス等のポインティングデバイスで、各種の指示をCPU201に対して入力する。
209は、ビデオI/Fで、ディスプレイ装置210に表示すべき画像を信号としてディスプレイ装置210に供給するためのI/Fとして機能するものである。
210は、ディスプレイ装置で、CRTや液晶等により構成されており、CPU201による処理結果を画面や文字により表示するものである。
211は、周辺機器I/Fで、USBポートやIEEE1394ポート等で構成されており、この周辺機器I/F211を介して周辺機器と接続することが可能である。周辺機器との接続形態は有線/無線を問わない。
212は、上述の各部を繋ぐバスである。
【0013】
図3は、図1で示したファイルサーバ102及び情報処理端末104の機能の一例を示す図である。
301は、ファイルサーバ上で稼動するアクセス制限管理サービスであり、ネットワーク定義情報管理部302、アクセス制限ルール管理部303、通信制御部304の機能を提供するものである。
302は、ネットワーク定義情報管理部で、管理者が想定するネットワークの接続形態の追加・変更・削除の管理を行う機能を提供する。
303は、アクセス制限ルール管理部で、管理者がアクセス制限の対象とするファイル及びディレクトリ、制限対象となる操作、制限対象のユーザを定義するための機能を提供する。
304は、通信制御部で、情報処理端末104と各種情報のやり取りを制御する。
312は、情報処理端末104上で稼動するアクセス制限エージェントであり、通信制御部313、後処理部314、アクセス制限部315の機能を提供するものである。
313は、通信制御部で、ファイルサーバ102と各種情報のやり取りを制御する。
314は、後処理部で、ファイルの書き込み処理後の処理を制御する。
315は、アクセス制限部で、アクセス制限データベース317に格納されている制限情報に基づいて、ファイルのアクセス制限を行う機能を提供する。
【0014】
次に図4を用いて、情報処理端末104で行われるファイルアクセス制限処理について説明する。
まず、アクセス制限部315は、ユーザからのファイルへのアクセス要求を検知する(ステップS401)。
次に、アクセス制限部315は、ステップS401でアクセス要求をしたユーザに対して、ファイルへのアクセス権がOS上で与えられているかどうかを判断する(ステップS402)。アクセス制限部315は、アクセス権が与えられていなければ(ステップS402のNo)、アクセスを拒否する(ステップS408)。
アクセス制限部315は、アクセス権が与えられていれば(ステップS402のYes)、次にファイルのアクセス制限情報がアクセス制限情報319(図5)にあるかどうかを判断する(ステップS403)。
アクセス制限部315は、アクセス制限情報が無い場合(ステップS403のNo)、ファイルはアクセス制限を行う対象ではないと判断し、ユーザによるアクセスを許可する(ステップS409)。
アクセス制限部315は、アクセス制限情報がある場合(ステップS403のYes)、ステップS404において、アクセス制限情報を取得する(アクセス制限情報取得)。
次に、アクセス制限部315は、現在のネットワーク接続形態(例えば、社内LANであるのか公衆LANであるのか等)を検出する(ステップS405)。ネットワーク接続形態の検出方法としては、例えば、アクセス制限部315は、OSに付属されたネットワーク構成ツール(Windows(登録商標)であればipconfig、LINUX(登録商標)であればifconfig)等を用いて検出する。
【0015】
アクセス制限部315は、ステップS405で検出したネットワーク接続形態がアクセス制限情報(図5)に定義されているかどうかを判断する(ステップS406)。
アクセス制限部315は、定義されていない場合(ステップS406のNo)、ファイルサーバ102の管理者が想定しない不明なネットワークのため、情報漏洩リスクが非常に高いと判断し、アクセスを拒否する(ステップS408)。尚、ステップS406において不明なネットワークが検出された場合には、不明なネットワークに対するアクセス制限を定義しておいて、アクセスの可否を判断するように構成してもよい。
アクセス制限部315は、アクセス制限情報(図5)に定義されている場合(ステップS406のYes)、アクセス対象のファイル対して行う操作についてアクセス権が与えられているかどうかを判断する(ステップS407)。ここでいう操作とは、読み込みや書き込み等のことである。
アクセス制限部315は、操作に対してアクセス権が与えられていない場合(ステップS407のNo)、アクセスを拒否する(ステップS408)。例えば、図5の例では、公衆LANに接続された状態で、ハッシュ値が「a38497d0c00937ef8b8945a34ce52edd」のファイルに対してはアクセス禁止の設定となっているため、アクセスが拒否される。
アクセス制限部315は、操作に対してアクセス権が与えられている場合(ステップS407のYes)、操作へアクセス許可を与え(ステップS409)、本フローチャートを終了する。
【0016】
次に、ファイル書き込み終了時の処理について、図6を用いて説明する。
まず、後処理部314は、対象のファイルがアクセス制限対象ファイル(図7)に含まれるかどうかを判断する(ステップS501)。
後処理部314は、アクセス制限対象ファイルテーブルに含まれない場合(ステップS501のNo)、本フローチャートを終了する。
後処理部314は、アクセス制限対象ファイルテーブルに含まれる場合(ステップS501のYes)、書き込み操作の種類を判断する(ステップS502)。
後処理部314は、書き込み操作が移動又はリネームの場合(ステップS502の移動・リネーム)、アクセス制限対象ファイルテーブルの該当するファイル名を変更後のファイル名に変更して(ステップS503)、処理を終了する。即ち、単にリネームの場合には、ファイル名の更新のみをすることで、ファイルに対するアクセス制限にかかる情報は変更せずに制限情報を保持することが可能となる。
後処理部314は、書き込み操作が書き込み、即ちファイルの上書きである場合(ステップS502の書き込み(上書き))、書き込み後のファイルのハッシュ値を計算する(ステップS504)。
【0017】
次に、後処理部314は、書き込み前のファイルに該当するアクセス制限対象ファイルテーブルのエントリからハッシュ値を取得する。そして、後処理部314は、ハッシュ値に対応するアクセス制限情報テーブルのエントリのIDを派生元IDとした、新たなアクセス制限情報をアクセス制限情報テーブルに追加する(ステップS505)。即ち、後処理部314は、ファイルの上書き(更新)がされた場合は、元のファイル(更新前のファイル)についての情報は残しつつ、新たなファイル(更新後のファイル)に対する制限情報を新たに生成し更新前ファイルと対応付けて追加する。
後処理部314は、対象のファイル(更新後のファイル)のアクセス制限対象ファイルテーブルのハッシュ値をステップS504で計算したハッシュ値に更新し(ステップS506)、処理を終了する。
後処理部314は、書き込み操作がコピーの場合(ステップS502のコピー)、コピー先のファイル情報をアクセス制限対象ファイルテーブルに追加し(ステップS507)、処理を終了する。
【0018】
次に、情報処理端末104がファイルサーバ102からファイルを取得する場合の処理について、図8を用いて説明する。
まず、クライアントである情報処理端末104は、ファイルサーバ102に対し、資格情報(ユーザ名、パスワードといったサーバへのログインに必要なユーザ識別情報と、ユーザが正規のユーザであることを証明するための情報)を送信する(ステップS601)。
ファイルサーバ102は、情報処理端末104から送信された資格情報を、LDAPサーバ101を用いて照合し(ステップS609)、ログインの可否を情報処理端末104に送信する(不図示)。ファイルサーバ102は、ステップS609の結果、送信された資格情報が無効であれば(ステップS610のNo)処理を終了する。
情報処理端末104は、ファイルサーバからのログイン可否を受信し、ログインに失敗していれば(ステップS602のNo)処理を終了する。
情報処理端末104は、ログインに成功すれば(ステップS602のYes)、情報処理端末104のアクセス制限情報の同期処理を実行する(ステップS603)。
アクセス制限情報の同期処理(ステップS603)は、図9で示すように、ネットワーク定義情報の同期(ステップS701)、アクセス制限情報の同期(ステップS702)の順に行われる。
【0019】
ネットワーク定義情報の同期について図10を用いて説明する。
まず、情報処理端末104は、ネットワーク定義情報318(図11)から全てのエントリを取得し、それぞれのエントリに対して処理を進める(ステップS801)。
ステップS802では、情報処理端末104は、エントリの接続形態名がサーバ側のネットワーク定義情報306(図11)に存在するかどうかを判断する。
情報処理端末104は、サーバ側に存在する場合(ステップS802のYes)、サーバ側の内容でエントリを更新する(ステップS803)。
情報処理端末104は、サーバ側に存在しない場合(ステップS802のNo)、サーバ側でエントリが削除されたと判断し、情報処理端末側のエントリを削除する(ステップS804)。
以上の処理を取得した各エントリ全てに対して行い、全てに対して処理が終了すると、ステップS805に処理を進める。
ステップS805では、サーバ側のネットワーク定義情報に新たに加わったエントリを情報処理端末側のネットワーク定義情報に追加する。
以上のステップS803、804、805の処理により、情報処理端末側のネットワーク定義情報とサーバ側のネットワーク定義情報が一致する。
【0020】
ネットワーク定義情報の同期処理が終了すると、図12のフローチャートで示すアクセス制限情報の同期処理へ移行する。
ステップS901では情報処理端末104は、アクセス制限情報319(図5)から全てのエントリを取得し、それぞれのエントリに対して処理を進める。
ステップS902では、情報処理端末104は、エントリと同一のハッシュ値を持つアクセス制限情報がサーバ側に存在するかどうかを判断する。
情報処理端末104は、サーバ側にステップS901で取得したエントリと同一のハッシュ値を持つアクセス制限情報が存在する場合(ステップS902のYes)は、ステップS903に処理を進める。情報処理端末104は、サーバ側にステップS901で取得したエントリと同一のハッシュ値を持つアクセス制限情報が存在しない場合(ステップS902のNo)は、ステップS908に処理を進める。
ステップS903では、情報処理端末104は、サーバ側のアクセス制限情報のエントリを取得し、ステップS904に処理を進める。
ステップS904では、情報処理端末104は、情報処理端末側のアクセス制限情報のエントリに派生元IDが設定されているかどうかを判定する。
情報処理端末104は、派生元IDが設定されている場合(ステップS904のYes)、即ち現在処理をしているエントリが更新後のファイルについてのエントリであり、ファイルについての情報がサーバ側にも存在する場合は、派生元を辿る必要がなくなる(ステップS908〜ステップS912の処理を実行する必要が無くなる)ので、派生元IDを削除する(ステップS905)。
ステップS906では、情報処理端末104は、ステップS903で取得したサーバ側のエントリと現在処理をしている情報処理端末側のエントリとの間で差異があるか否かを判断する。
情報処理端末104は、変更があったと判断した場合(ステップS906のYes)、情報処理端末側のエントリを更新し、サーバ側の情報と一致させる(ステップS907)。
【0021】
情報処理端末104は、サーバ側にステップS901で取得したエントリと同一のハッシュ値を持つアクセス制限情報が存在しない場合、ステップS908において、情報処理端末側のエントリに派生元IDが設定されているかどうかを判断する。
情報処理端末104は、派生元IDが設定されていない場合(ステップS908のNo)、即ち、更新されていないファイルであるにもかかわらずサーバからファイルに関するエントリが無い場合、エントリのアクセス制限情報はサーバ側から削除されたと判断し、情報処理端末側からも削除する(ステップS912)。
情報処理端末104は、派生元IDが設定されている場合(ステップS908のYes)、即ち、サーバ側に更新後のファイルについての情報がない場合、一時変数に派生元IDに対応する情報処理端末側のアクセス制限情報のエントリを格納する(ステップS909)。
ステップS910では、情報処理端末104は、ステップS909で一時変数に格納されたエントリのハッシュ値を持つアクセス制限情報がサーバ側に存在するかどうかを判断する。即ち、更新前のファイルについての情報がサーバにあるか否かを判断する。
情報処理端末104は、該当するアクセス制限情報がサーバ側に存在しない場合(ステップS910のNo)、ステップS908に戻り、派生元IDが設定されているかどうかを判定する。即ち、更にその更新前のファイルについて派生元をたどっていき調べる。
情報処理端末104は、該当するアクセス制限情報がサーバ側に存在する場合(ステップS910のYes)、該エントリ(更新前のファイルについての情報)をサーバから取得しステップS906へ処理を進める(ステップS911)。即ち、情報処理端末104は、更新前のアクセス制限情報を適用することとなる。
情報処理端末104は、以上の処理をステップS901で取得したアクセス制限情報のエントリ全てに対して行う。
尚、図10と図12とで示したフローチャート内でサーバから各種情報を取得する処理は図8のステップS611で示したものである。
【0022】
以下、図8のフローチャートの説明に戻る。
ステップS604では、情報処理端末104は、ファイルサーバ102に対してファイルの取得要求を送信する。
ファイルサーバ102は、情報処理端末104からのファイル取得要求を受信し(ステップS612)、ファイルの取得可否を判断し(ステップS613)、結果を情報処理端末104に送信する(不図示)。尚、ステップS613におけるファイル取得可否の判断は、ファイルの作成者やサーバ、部門の管理者等がファイルに対して設定したアクセス制限ルールに従って判断される。例えば、ファイルに対して「一般者によるファイル取得は禁止」とのアクセス制限ルールが設定されていた場合は、ログインユーザが一般者であればファイルの取得に失敗(ステップS613:NO)することとなる。
ファイルの取得が不可能な場合(ステップS613のNo)、ファイルサーバ102は、処理を終了する。
ファイルの取得が可能であった場合(ステップS613のYes)、ファイルサーバ102は、要求されたファイルと、ファイルに対応するアクセス制限アクセス制限情報を情報処理端末104に送信し(ステップS604)処理を終了する。
情報処理端末104は、ファイル取得可否の結果を受信し(不図示)、その可否を判断する(ステップS605)。
ファイルの取得が不可であった場合(ステップS605のNo)、情報処理端末104は、処理を終了する。
ファイルの取得が可能であった場合(ステップS605のYes)、情報処理端末104は、ファイルと制限情報をファイルサーバ102から受信する(ステップS606)。
【0023】
次に、情報処理端末104は、受信したファイルをHDD204に保存し(ステップS607)、受信した制限情報を更新して(ステップS608)処理を終了する。
ステップS608における更新処理は、ステップS606で取得したファイルについての制限情報を更新する処理である。ステップS603における更新処理は、クライアントが所持するアクセス制限アクセス制限対象ファイル全ての制限情報の更新処理である。
尚、情報処理端末104は、図8、図12でアクセス制限アクセス制限情報を取得する際には、ファイルサーバに送信した資格情報のユーザに対するアクセス制限アクセス制限情報のみを取得する。
例えば、ログインしたユーザが一般者で、取得するファイルが図13の「D:¥経理¥原価.xls」である場合、対応するアクセス制限IDは1,2,3,4であるが、図14のアクセス制限ルールでは一般者に対応するルールのIDは2,3,4であるため、ファイルサーバが送信するアクセス制限アクセス制限情報はIDが2,3,4のエントリとなる。
【0024】
次に図15を用いて、情報処理端末104からファイルサーバ102にファイルが送信(アップロード)される際のファイルサーバ102における処理を説明する。
まず、通信制御部304は、情報処理端末104からファイルを受信する(ステップS1001)。
ステップS1002では、通信制御部304は、受信したファイルのハッシュ値を計算する。
次に、通信制御部304は、受信したファイルに対応するアクセス制限アクセス制限情報がサーバに存在するかどうかを判断する(ステップS1003)。
通信制御部304は、アクセス制限アクセス制限情報が存在する場合(ステップS1003のYes)、処理をステップS1004に進める。
通信制御部304は、アクセス制限アクセス制限情報が存在しない場合(ステップS1004のNo)、処理をステップS1005に進める。
ステップS1004では、通信制御部304は、既存のアクセス制限アクセス制限情報のハッシュ値をステップS1002で計算したハッシュ値で更新しステップS1007へ処理を進める。
ステップS1005では、通信制御部304は、保存しようとするファイルがアクセス制限ルールに該当するかどうかを判断する。
通信制御部304は、アクセス制限ルールに該当する場合(ステップS1005のYes)、新規にアクセス制限アクセス制限情報を作成し追加する(ステップS1006)。そして、通信制御部304は、ステップS1007へ処理を進める。
通信制御部304は、アクセス制限ルールに該当しない場合(ステップS1005のNo)、ステップS1007へ処理を進める。
ステップS1007では、通信制御部304は、ファイルサーバ102のHDDに受信したファイルを保存し、本フローチャートの処理を終了する。
この処理により、ファイルサーバ102にアップロードされたファイルに対して、適切なアクセス制限アクセス制限を行う事が可能となる。
【0025】
次に、ファイルサーバ102の管理者がアクセス制限ルール307を変更する際の処理について、図16を用いて説明する。
まず、アクセス制限ルール管理部303は、管理者からのアクセス制限ルール変更処理を受け付ける(ステップS1101)。
アクセス制限ルール管理部303は、管理者の変更作業終了後、アクセス制限ルールを更新する(ステップS1102)。
次にアクセス制限ルール管理部303は、追加・変更されたアクセス制限ルールを取得する(ステップS1103)。
アクセス制限ルール管理部303は、取得したアクセス制限ルールに対してステップS1105からステップS1110までの処理を繰り返す(ステップS1104)。
該アクセス制限ルールの対象ファイルや対象ディレクトリ以下のファイルに対してステップS1106からステップS1110までの処理を繰り返す(ステップS1105)。
ステップS1106では、アクセス制限ルール管理部303は、ファイルに対するアクセス制限アクセス制限情報がアクセス制限アクセス制限情報テーブルに存在するかどうかを判断する。
【0026】
アクセス制限ルール管理部303は、存在する場合(ステップS1106のYes、即ち、ルールの更新となる場合)、処理をステップS1107に進める。アクセス制限ルール管理部303は、存在しない場合(ステップS1106のNo、今まで適用されるルールが無かったファイルについて今回新たに適用されるルールが作成された場合)、処理をステップS1109に進める。
ステップS1107では、アクセス制限ルール管理部303は、ルールのIDがアクセス制限アクセス制限情報に存在するかどうかを判断する。
アクセス制限ルール管理部303は、存在しない場合(ステップS1107のNo)、ルールのIDをアクセス制限アクセス制限情報に追加する(ステップS1108)。
ステップS1109では、アクセス制限ルール管理部303は、ファイルのハッシュ値を計算する。
次に、ステップS1110では、アクセス制限ルール管理部303は、ステップS1109で計算したハッシュ値を用いて、新規にアクセス制限アクセス制限情報を作成する。
アクセス制限ルール管理部303は、以上の処理をステップS1105で取得したファイル及びステップS1104で取得したルール全てに対して実行する。
以上の処理により、アクセス制限ルールが変更や追加された場合にも、変更・追加された新たなルールをファイルに適用することが可能となる。
【0027】
次に、情報処理端末104に格納されているアクセス制限対象外ファイルの検査処理について図17を用いて説明する。
まず、制限対象外ファイル検査部316は、アクセス制限アクセス制限対象になっていないファイルを取得し、それぞれのファイルに対してステップS1202からステップS1208までの処理を行う。
ステップS1202では、制限対象外ファイル検査部316は、ファイルのハッシュ値を計算する。
次に、制限対象外ファイル検査部316は、ステップS1202で計算したハッシュ値を持つアクセス制限アクセス制限情報が情報処理端末104のアクセス制限アクセス制限情報に存在するかどうかを判断する(ステップS1203)。
制限対象外ファイル検査部316は、存在する場合(ステップS1203のYes)、ステップS1208に処理を進める。
制限対象外ファイル検査部316は、存在しない場合(ステップS1203のNo)、ステップS1204に処理を進める。
ステップS1204では、制限対象外ファイル検査部316は、ファイルサーバ102へステップS1202で計算したハッシュ値を持つアクセス制限アクセス制限情報が存在するかどうかを問い合わせる。
【0028】
ステップS1205では、制限対象外ファイル検査部316は、サーバにアクセス制限アクセス制限情報が存在するかどうかを判断する。
制限対象外ファイル検査部316は、存在しない場合(ステップS1205のNo)、ファイルはアクセス制限の対象となっていないと判断し、次のファイルに対しての処理を開始する
制限対象外ファイル検査部316は、存在する場合(ステップS1205のYes)、サーバから該当するアクセス制限アクセス制限情報を取得する(ステップS1206)。
次に、制限対象外ファイル検査部316は、取得したアクセス制限情報を情報処理端末104のアクセス制限情報319に反映させる(ステップS1207)。
ステップS1208では、制限対象外ファイル検査部316は、ファイルの情報をアクセス制限アクセス制限対象ファイルに追加する(アクセス制限対象化)。
以上の処理を、制限対象外ファイル検査部316は、アクセス対象になっていないファイル全てに対して行う。
この処理はアクセス制限エージェント312を利用しないでファイルサーバ102の制限対象ファイル309を取得する等、アクセス制限を行うべきファイルがアクセス制限の対象外になっているために、不適切なアクセス権が与えられることを防止するために行う。
尚、本実施形態では情報処理端末内の全てのファイルを検査するようにしているが、特定のディレクトリ(ユーザのホームディレクトリ等)以下のファイルのみを検査するように構成してもよい。
この構成により、情報処理端末の利用場所を限定することなく、管理者が指定した信頼できるネットワーク接続のみにおいて、ファイルに適切なアクセス権を付与することができる。
また、アクセス権の判定を行う際にアクセス制限管理サービスへのアクセスを必要としないので、サービスが障害で利用できない場合やネットワークがサービスへ到達不能な場合であっても適切なアクセス制限を行うことができる。
【0029】
<その他の実施形態>
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(又はCPUやMPU等)がプログラムを読み出して実行する処理である。
【0030】
以上、上述した各実施形態によれば、利便性を低減させずに情報漏洩を防ぐことが可能な仕組みを提供することができる。
【0031】
以上、本発明の好ましい実施形態について詳述したが、本発明は係る特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
【符号の説明】
【0032】
102 ファイルサーバ
104 情報処理端末
【技術分野】
【0001】
本発明は、情報処理装置、情報処理方法及びプログラムに関する。
【背景技術】
【0002】
近年、機密情報を格納した情報処理装置からの情報漏洩が増加しており、その対策として外部への情報処理装置の持ち出し禁止や、外部のネットワークへの接続を禁止するといった対策がとられている。しかし、業務形態によっては、情報処理装置を外部に持ち出すことが必要となったり、ネットワークに接続しなければならなかったりする場合も多く、一律な対策では業務効率の低下等不都合も生じている。
そこで、情報処理装置の外部への持ち出しを許容しながら情報漏洩の危険性を低減させる方法として、情報処理装置の使用エリアによって情報操作を制限する方法が特許文献1で開示されている。
また、特許文献2には、クライアント端末から管理サーバに対してファイルアクセス要求があった場合に、管理サーバが当該ファイルの利用レベルをクライアント端末に送信することで、クライアント端末におけるファイルの機密性を保つ方法が開示されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2003−288275号公報
【特許文献2】特開2009−265854号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、ネットワークを介した情報漏洩については、特許文献1に記載のシステムのように情報処理装置の場所によって操作制御を行う方法では対処することが難しい。
また、特許文献2に記載のシステムにおいては、機密ファイルにアクセスするたびに管理サーバと通信する必要があり、管理サーバが利用不可能な場合には機密ファイルを利用することができなくなる。
【0005】
本発明はこのような問題点に鑑みなされたもので、利便性を低減させずに情報漏洩を防ぐことが可能な仕組みを提供することを目的とする。
【課題を解決するための手段】
【0006】
そこで、本発明は、ネットワークとの接続が可能な情報処理装置であって、ネットワークの接続形態を検出する検出手段と、ネットワークの接続形態とファイルへのアクセス制限とが対応付けられたアクセス制限情報が記憶された記憶装置より、前記検出手段で検出されたネットワーク接続形態に対応するアクセス制限を特定し、特定したアクセス制限に従い、ファイルへのアクセスを制限するアクセス制限手段と、を有することを特徴とする。
【発明の効果】
【0007】
本発明によれば、利便性を低減させずに情報漏洩を防ぐことが可能な仕組みを提供することができる。
【図面の簡単な説明】
【0008】
【図1】ファイルアクセス制限システムのシステム構成の一例を示す図である。
【図2】情報処理端末のハードウェア構成の一例を示す図である。
【図3】図1で示したファイルサーバ及び情報処理端末の機能の一例を示す図である。
【図4】情報処理端末で行われるファイルアクセス制限処理の一例を示すフローチャートである。
【図5】アクセス制限情報の一例を示す図である。
【図6】ファイル書き込み終了時の処理の一例を示すフローチャートである。
【図7】アクセス制限対象ファイルの一例を示す図である。
【図8】情報処理端末がファイルサーバからファイルを取得する場合の処理の一例を示すフローチャートである。
【図9】アクセス制限情報の同期処理の一例を示すフローチャートである。
【図10】ネットワーク定義情報の同期処理の一例を示すフローチャートである。
【図11】ネットワーク定義情報の一例を示す図である。
【図12】アクセス制限情報の同期処理の一例を示すフローチャートである。
【図13】アクセス制限情報の一例を示す図である。
【図14】アクセス制限ルールの一例を示す図である。
【図15】情報処理端末からファイルサーバにファイルが送信(アップロード)される際のファイルサーバにおける処理の一例を示すフローチャートである。
【図16】ファイルサーバの管理者がアクセス制限ルールを変更する際の処理の一例を示すフローチャートである。
【図17】情報処理端末に格納されているアクセス制限対象外ファイルの検査処理の一例を示すフローチャートである。
【発明を実施するための形態】
【0009】
以下、本発明の実施形態について図面に基づいて説明する。
【0010】
<実施形態1>
図1は、ファイルアクセス制限システムのシステム構成の一例を示す図である。
尚、図1のネットワーク103上に接続される各種端末の構成は一例であり、用途や目的に応じて様々な構成例がある。
101は、LDAP(Lightweight Directory Access Protocol)サーバである。このLDAPサーバ101は、企業ネットワークを利用する組織や個人のディレクトリ情報を管理するディレクトリサービスを提供するものである。尚、本実施形態に適用可能なディレクトリサービスはLDAPに限られるものではなく、例えばActive Directory等他のものであってもよい。
102は、ファイルサーバである。このファイルサーバ102は、業務で用いる機密ファイル及び機密でないファイルの保存機能及び、LDAPサーバ101を用いた利用者認証機能を有している。
104は、情報処理装置の一例である情報処理端末である。この情報処理端末104は、専用のプログラムによってファイルサーバ102とファイルの送受信及び、ネットワークの接続形態検出及び、制限対象ファイルのアクセス制限を行う。
105は、組織外のネットワーク接続であり、別拠点の企業ネットワーク、情報処理端末の所有者の個人ネットワーク、公衆ネットワーク等あらゆるネットワークが該当する。
【0011】
図2は、情報処理端末104のハードウェア構成の一例を示す図である。
201は、CPUで、RAM202やROM203に格納されるプログラムやデータを用いて情報処理端末104全体の制御及び後述する情報処理端末の各処理の実行を行う。
202は、RAMで、HDD204や記憶媒体ドライブ206からロードされたプログラムやデータ、ネットワークI/Fを介して受信したデータを一時的に記憶するための領域と、CPUが各種の処理を実行する際に使用する作業領域を備える。
203は、ROMで、情報処理端末104の設定データやブートプログラム等を格納する。
204は、HDDで、オペレーティングシステムや、情報処理端末104が行う後述の各処理をCPU201に実行させるためのプログラムやデータが保存されている。プログラムやデータの一部又は全部はCPU201の指示に従ってRAM202にロードされ、これを用いてCPU201が処理を行うことで、情報処理端末104は後述する処理を実行する。
つまり、情報処理端末104のCPU201がプログラムに基づき処理を実行することによって、後述する情報処理端末104の機能やフローチャートに係る処理が実現される。同様に、ファイルサーバのCPUがファイルサーバのHDD等に記憶されたプログラムに基づき処理を実行することによって、後述するファイルサーバの機能やフローチャートに係る処理が実現される。
205は、ネットワークI/Fで、情報処理端末104を社内LAN及び、その他のネットワークに接続させるためのものであり、このネットワークI/F205を介して情報処理端末104は外部機器と通信を行う。
【0012】
206は、外部記憶ドライブで、CD−ROM、CD−R/RW、DVD−ROM、DVD−R/RW、DVD−RAM等の記憶媒体に記録されたプログラムやデータを読み出し、RAM202に出力するものである。この読み出し動作はCPU201によって制御される。
207は、キーボードで、各種の指示をCPU201に対して入力する。
208は、マウス等のポインティングデバイスで、各種の指示をCPU201に対して入力する。
209は、ビデオI/Fで、ディスプレイ装置210に表示すべき画像を信号としてディスプレイ装置210に供給するためのI/Fとして機能するものである。
210は、ディスプレイ装置で、CRTや液晶等により構成されており、CPU201による処理結果を画面や文字により表示するものである。
211は、周辺機器I/Fで、USBポートやIEEE1394ポート等で構成されており、この周辺機器I/F211を介して周辺機器と接続することが可能である。周辺機器との接続形態は有線/無線を問わない。
212は、上述の各部を繋ぐバスである。
【0013】
図3は、図1で示したファイルサーバ102及び情報処理端末104の機能の一例を示す図である。
301は、ファイルサーバ上で稼動するアクセス制限管理サービスであり、ネットワーク定義情報管理部302、アクセス制限ルール管理部303、通信制御部304の機能を提供するものである。
302は、ネットワーク定義情報管理部で、管理者が想定するネットワークの接続形態の追加・変更・削除の管理を行う機能を提供する。
303は、アクセス制限ルール管理部で、管理者がアクセス制限の対象とするファイル及びディレクトリ、制限対象となる操作、制限対象のユーザを定義するための機能を提供する。
304は、通信制御部で、情報処理端末104と各種情報のやり取りを制御する。
312は、情報処理端末104上で稼動するアクセス制限エージェントであり、通信制御部313、後処理部314、アクセス制限部315の機能を提供するものである。
313は、通信制御部で、ファイルサーバ102と各種情報のやり取りを制御する。
314は、後処理部で、ファイルの書き込み処理後の処理を制御する。
315は、アクセス制限部で、アクセス制限データベース317に格納されている制限情報に基づいて、ファイルのアクセス制限を行う機能を提供する。
【0014】
次に図4を用いて、情報処理端末104で行われるファイルアクセス制限処理について説明する。
まず、アクセス制限部315は、ユーザからのファイルへのアクセス要求を検知する(ステップS401)。
次に、アクセス制限部315は、ステップS401でアクセス要求をしたユーザに対して、ファイルへのアクセス権がOS上で与えられているかどうかを判断する(ステップS402)。アクセス制限部315は、アクセス権が与えられていなければ(ステップS402のNo)、アクセスを拒否する(ステップS408)。
アクセス制限部315は、アクセス権が与えられていれば(ステップS402のYes)、次にファイルのアクセス制限情報がアクセス制限情報319(図5)にあるかどうかを判断する(ステップS403)。
アクセス制限部315は、アクセス制限情報が無い場合(ステップS403のNo)、ファイルはアクセス制限を行う対象ではないと判断し、ユーザによるアクセスを許可する(ステップS409)。
アクセス制限部315は、アクセス制限情報がある場合(ステップS403のYes)、ステップS404において、アクセス制限情報を取得する(アクセス制限情報取得)。
次に、アクセス制限部315は、現在のネットワーク接続形態(例えば、社内LANであるのか公衆LANであるのか等)を検出する(ステップS405)。ネットワーク接続形態の検出方法としては、例えば、アクセス制限部315は、OSに付属されたネットワーク構成ツール(Windows(登録商標)であればipconfig、LINUX(登録商標)であればifconfig)等を用いて検出する。
【0015】
アクセス制限部315は、ステップS405で検出したネットワーク接続形態がアクセス制限情報(図5)に定義されているかどうかを判断する(ステップS406)。
アクセス制限部315は、定義されていない場合(ステップS406のNo)、ファイルサーバ102の管理者が想定しない不明なネットワークのため、情報漏洩リスクが非常に高いと判断し、アクセスを拒否する(ステップS408)。尚、ステップS406において不明なネットワークが検出された場合には、不明なネットワークに対するアクセス制限を定義しておいて、アクセスの可否を判断するように構成してもよい。
アクセス制限部315は、アクセス制限情報(図5)に定義されている場合(ステップS406のYes)、アクセス対象のファイル対して行う操作についてアクセス権が与えられているかどうかを判断する(ステップS407)。ここでいう操作とは、読み込みや書き込み等のことである。
アクセス制限部315は、操作に対してアクセス権が与えられていない場合(ステップS407のNo)、アクセスを拒否する(ステップS408)。例えば、図5の例では、公衆LANに接続された状態で、ハッシュ値が「a38497d0c00937ef8b8945a34ce52edd」のファイルに対してはアクセス禁止の設定となっているため、アクセスが拒否される。
アクセス制限部315は、操作に対してアクセス権が与えられている場合(ステップS407のYes)、操作へアクセス許可を与え(ステップS409)、本フローチャートを終了する。
【0016】
次に、ファイル書き込み終了時の処理について、図6を用いて説明する。
まず、後処理部314は、対象のファイルがアクセス制限対象ファイル(図7)に含まれるかどうかを判断する(ステップS501)。
後処理部314は、アクセス制限対象ファイルテーブルに含まれない場合(ステップS501のNo)、本フローチャートを終了する。
後処理部314は、アクセス制限対象ファイルテーブルに含まれる場合(ステップS501のYes)、書き込み操作の種類を判断する(ステップS502)。
後処理部314は、書き込み操作が移動又はリネームの場合(ステップS502の移動・リネーム)、アクセス制限対象ファイルテーブルの該当するファイル名を変更後のファイル名に変更して(ステップS503)、処理を終了する。即ち、単にリネームの場合には、ファイル名の更新のみをすることで、ファイルに対するアクセス制限にかかる情報は変更せずに制限情報を保持することが可能となる。
後処理部314は、書き込み操作が書き込み、即ちファイルの上書きである場合(ステップS502の書き込み(上書き))、書き込み後のファイルのハッシュ値を計算する(ステップS504)。
【0017】
次に、後処理部314は、書き込み前のファイルに該当するアクセス制限対象ファイルテーブルのエントリからハッシュ値を取得する。そして、後処理部314は、ハッシュ値に対応するアクセス制限情報テーブルのエントリのIDを派生元IDとした、新たなアクセス制限情報をアクセス制限情報テーブルに追加する(ステップS505)。即ち、後処理部314は、ファイルの上書き(更新)がされた場合は、元のファイル(更新前のファイル)についての情報は残しつつ、新たなファイル(更新後のファイル)に対する制限情報を新たに生成し更新前ファイルと対応付けて追加する。
後処理部314は、対象のファイル(更新後のファイル)のアクセス制限対象ファイルテーブルのハッシュ値をステップS504で計算したハッシュ値に更新し(ステップS506)、処理を終了する。
後処理部314は、書き込み操作がコピーの場合(ステップS502のコピー)、コピー先のファイル情報をアクセス制限対象ファイルテーブルに追加し(ステップS507)、処理を終了する。
【0018】
次に、情報処理端末104がファイルサーバ102からファイルを取得する場合の処理について、図8を用いて説明する。
まず、クライアントである情報処理端末104は、ファイルサーバ102に対し、資格情報(ユーザ名、パスワードといったサーバへのログインに必要なユーザ識別情報と、ユーザが正規のユーザであることを証明するための情報)を送信する(ステップS601)。
ファイルサーバ102は、情報処理端末104から送信された資格情報を、LDAPサーバ101を用いて照合し(ステップS609)、ログインの可否を情報処理端末104に送信する(不図示)。ファイルサーバ102は、ステップS609の結果、送信された資格情報が無効であれば(ステップS610のNo)処理を終了する。
情報処理端末104は、ファイルサーバからのログイン可否を受信し、ログインに失敗していれば(ステップS602のNo)処理を終了する。
情報処理端末104は、ログインに成功すれば(ステップS602のYes)、情報処理端末104のアクセス制限情報の同期処理を実行する(ステップS603)。
アクセス制限情報の同期処理(ステップS603)は、図9で示すように、ネットワーク定義情報の同期(ステップS701)、アクセス制限情報の同期(ステップS702)の順に行われる。
【0019】
ネットワーク定義情報の同期について図10を用いて説明する。
まず、情報処理端末104は、ネットワーク定義情報318(図11)から全てのエントリを取得し、それぞれのエントリに対して処理を進める(ステップS801)。
ステップS802では、情報処理端末104は、エントリの接続形態名がサーバ側のネットワーク定義情報306(図11)に存在するかどうかを判断する。
情報処理端末104は、サーバ側に存在する場合(ステップS802のYes)、サーバ側の内容でエントリを更新する(ステップS803)。
情報処理端末104は、サーバ側に存在しない場合(ステップS802のNo)、サーバ側でエントリが削除されたと判断し、情報処理端末側のエントリを削除する(ステップS804)。
以上の処理を取得した各エントリ全てに対して行い、全てに対して処理が終了すると、ステップS805に処理を進める。
ステップS805では、サーバ側のネットワーク定義情報に新たに加わったエントリを情報処理端末側のネットワーク定義情報に追加する。
以上のステップS803、804、805の処理により、情報処理端末側のネットワーク定義情報とサーバ側のネットワーク定義情報が一致する。
【0020】
ネットワーク定義情報の同期処理が終了すると、図12のフローチャートで示すアクセス制限情報の同期処理へ移行する。
ステップS901では情報処理端末104は、アクセス制限情報319(図5)から全てのエントリを取得し、それぞれのエントリに対して処理を進める。
ステップS902では、情報処理端末104は、エントリと同一のハッシュ値を持つアクセス制限情報がサーバ側に存在するかどうかを判断する。
情報処理端末104は、サーバ側にステップS901で取得したエントリと同一のハッシュ値を持つアクセス制限情報が存在する場合(ステップS902のYes)は、ステップS903に処理を進める。情報処理端末104は、サーバ側にステップS901で取得したエントリと同一のハッシュ値を持つアクセス制限情報が存在しない場合(ステップS902のNo)は、ステップS908に処理を進める。
ステップS903では、情報処理端末104は、サーバ側のアクセス制限情報のエントリを取得し、ステップS904に処理を進める。
ステップS904では、情報処理端末104は、情報処理端末側のアクセス制限情報のエントリに派生元IDが設定されているかどうかを判定する。
情報処理端末104は、派生元IDが設定されている場合(ステップS904のYes)、即ち現在処理をしているエントリが更新後のファイルについてのエントリであり、ファイルについての情報がサーバ側にも存在する場合は、派生元を辿る必要がなくなる(ステップS908〜ステップS912の処理を実行する必要が無くなる)ので、派生元IDを削除する(ステップS905)。
ステップS906では、情報処理端末104は、ステップS903で取得したサーバ側のエントリと現在処理をしている情報処理端末側のエントリとの間で差異があるか否かを判断する。
情報処理端末104は、変更があったと判断した場合(ステップS906のYes)、情報処理端末側のエントリを更新し、サーバ側の情報と一致させる(ステップS907)。
【0021】
情報処理端末104は、サーバ側にステップS901で取得したエントリと同一のハッシュ値を持つアクセス制限情報が存在しない場合、ステップS908において、情報処理端末側のエントリに派生元IDが設定されているかどうかを判断する。
情報処理端末104は、派生元IDが設定されていない場合(ステップS908のNo)、即ち、更新されていないファイルであるにもかかわらずサーバからファイルに関するエントリが無い場合、エントリのアクセス制限情報はサーバ側から削除されたと判断し、情報処理端末側からも削除する(ステップS912)。
情報処理端末104は、派生元IDが設定されている場合(ステップS908のYes)、即ち、サーバ側に更新後のファイルについての情報がない場合、一時変数に派生元IDに対応する情報処理端末側のアクセス制限情報のエントリを格納する(ステップS909)。
ステップS910では、情報処理端末104は、ステップS909で一時変数に格納されたエントリのハッシュ値を持つアクセス制限情報がサーバ側に存在するかどうかを判断する。即ち、更新前のファイルについての情報がサーバにあるか否かを判断する。
情報処理端末104は、該当するアクセス制限情報がサーバ側に存在しない場合(ステップS910のNo)、ステップS908に戻り、派生元IDが設定されているかどうかを判定する。即ち、更にその更新前のファイルについて派生元をたどっていき調べる。
情報処理端末104は、該当するアクセス制限情報がサーバ側に存在する場合(ステップS910のYes)、該エントリ(更新前のファイルについての情報)をサーバから取得しステップS906へ処理を進める(ステップS911)。即ち、情報処理端末104は、更新前のアクセス制限情報を適用することとなる。
情報処理端末104は、以上の処理をステップS901で取得したアクセス制限情報のエントリ全てに対して行う。
尚、図10と図12とで示したフローチャート内でサーバから各種情報を取得する処理は図8のステップS611で示したものである。
【0022】
以下、図8のフローチャートの説明に戻る。
ステップS604では、情報処理端末104は、ファイルサーバ102に対してファイルの取得要求を送信する。
ファイルサーバ102は、情報処理端末104からのファイル取得要求を受信し(ステップS612)、ファイルの取得可否を判断し(ステップS613)、結果を情報処理端末104に送信する(不図示)。尚、ステップS613におけるファイル取得可否の判断は、ファイルの作成者やサーバ、部門の管理者等がファイルに対して設定したアクセス制限ルールに従って判断される。例えば、ファイルに対して「一般者によるファイル取得は禁止」とのアクセス制限ルールが設定されていた場合は、ログインユーザが一般者であればファイルの取得に失敗(ステップS613:NO)することとなる。
ファイルの取得が不可能な場合(ステップS613のNo)、ファイルサーバ102は、処理を終了する。
ファイルの取得が可能であった場合(ステップS613のYes)、ファイルサーバ102は、要求されたファイルと、ファイルに対応するアクセス制限アクセス制限情報を情報処理端末104に送信し(ステップS604)処理を終了する。
情報処理端末104は、ファイル取得可否の結果を受信し(不図示)、その可否を判断する(ステップS605)。
ファイルの取得が不可であった場合(ステップS605のNo)、情報処理端末104は、処理を終了する。
ファイルの取得が可能であった場合(ステップS605のYes)、情報処理端末104は、ファイルと制限情報をファイルサーバ102から受信する(ステップS606)。
【0023】
次に、情報処理端末104は、受信したファイルをHDD204に保存し(ステップS607)、受信した制限情報を更新して(ステップS608)処理を終了する。
ステップS608における更新処理は、ステップS606で取得したファイルについての制限情報を更新する処理である。ステップS603における更新処理は、クライアントが所持するアクセス制限アクセス制限対象ファイル全ての制限情報の更新処理である。
尚、情報処理端末104は、図8、図12でアクセス制限アクセス制限情報を取得する際には、ファイルサーバに送信した資格情報のユーザに対するアクセス制限アクセス制限情報のみを取得する。
例えば、ログインしたユーザが一般者で、取得するファイルが図13の「D:¥経理¥原価.xls」である場合、対応するアクセス制限IDは1,2,3,4であるが、図14のアクセス制限ルールでは一般者に対応するルールのIDは2,3,4であるため、ファイルサーバが送信するアクセス制限アクセス制限情報はIDが2,3,4のエントリとなる。
【0024】
次に図15を用いて、情報処理端末104からファイルサーバ102にファイルが送信(アップロード)される際のファイルサーバ102における処理を説明する。
まず、通信制御部304は、情報処理端末104からファイルを受信する(ステップS1001)。
ステップS1002では、通信制御部304は、受信したファイルのハッシュ値を計算する。
次に、通信制御部304は、受信したファイルに対応するアクセス制限アクセス制限情報がサーバに存在するかどうかを判断する(ステップS1003)。
通信制御部304は、アクセス制限アクセス制限情報が存在する場合(ステップS1003のYes)、処理をステップS1004に進める。
通信制御部304は、アクセス制限アクセス制限情報が存在しない場合(ステップS1004のNo)、処理をステップS1005に進める。
ステップS1004では、通信制御部304は、既存のアクセス制限アクセス制限情報のハッシュ値をステップS1002で計算したハッシュ値で更新しステップS1007へ処理を進める。
ステップS1005では、通信制御部304は、保存しようとするファイルがアクセス制限ルールに該当するかどうかを判断する。
通信制御部304は、アクセス制限ルールに該当する場合(ステップS1005のYes)、新規にアクセス制限アクセス制限情報を作成し追加する(ステップS1006)。そして、通信制御部304は、ステップS1007へ処理を進める。
通信制御部304は、アクセス制限ルールに該当しない場合(ステップS1005のNo)、ステップS1007へ処理を進める。
ステップS1007では、通信制御部304は、ファイルサーバ102のHDDに受信したファイルを保存し、本フローチャートの処理を終了する。
この処理により、ファイルサーバ102にアップロードされたファイルに対して、適切なアクセス制限アクセス制限を行う事が可能となる。
【0025】
次に、ファイルサーバ102の管理者がアクセス制限ルール307を変更する際の処理について、図16を用いて説明する。
まず、アクセス制限ルール管理部303は、管理者からのアクセス制限ルール変更処理を受け付ける(ステップS1101)。
アクセス制限ルール管理部303は、管理者の変更作業終了後、アクセス制限ルールを更新する(ステップS1102)。
次にアクセス制限ルール管理部303は、追加・変更されたアクセス制限ルールを取得する(ステップS1103)。
アクセス制限ルール管理部303は、取得したアクセス制限ルールに対してステップS1105からステップS1110までの処理を繰り返す(ステップS1104)。
該アクセス制限ルールの対象ファイルや対象ディレクトリ以下のファイルに対してステップS1106からステップS1110までの処理を繰り返す(ステップS1105)。
ステップS1106では、アクセス制限ルール管理部303は、ファイルに対するアクセス制限アクセス制限情報がアクセス制限アクセス制限情報テーブルに存在するかどうかを判断する。
【0026】
アクセス制限ルール管理部303は、存在する場合(ステップS1106のYes、即ち、ルールの更新となる場合)、処理をステップS1107に進める。アクセス制限ルール管理部303は、存在しない場合(ステップS1106のNo、今まで適用されるルールが無かったファイルについて今回新たに適用されるルールが作成された場合)、処理をステップS1109に進める。
ステップS1107では、アクセス制限ルール管理部303は、ルールのIDがアクセス制限アクセス制限情報に存在するかどうかを判断する。
アクセス制限ルール管理部303は、存在しない場合(ステップS1107のNo)、ルールのIDをアクセス制限アクセス制限情報に追加する(ステップS1108)。
ステップS1109では、アクセス制限ルール管理部303は、ファイルのハッシュ値を計算する。
次に、ステップS1110では、アクセス制限ルール管理部303は、ステップS1109で計算したハッシュ値を用いて、新規にアクセス制限アクセス制限情報を作成する。
アクセス制限ルール管理部303は、以上の処理をステップS1105で取得したファイル及びステップS1104で取得したルール全てに対して実行する。
以上の処理により、アクセス制限ルールが変更や追加された場合にも、変更・追加された新たなルールをファイルに適用することが可能となる。
【0027】
次に、情報処理端末104に格納されているアクセス制限対象外ファイルの検査処理について図17を用いて説明する。
まず、制限対象外ファイル検査部316は、アクセス制限アクセス制限対象になっていないファイルを取得し、それぞれのファイルに対してステップS1202からステップS1208までの処理を行う。
ステップS1202では、制限対象外ファイル検査部316は、ファイルのハッシュ値を計算する。
次に、制限対象外ファイル検査部316は、ステップS1202で計算したハッシュ値を持つアクセス制限アクセス制限情報が情報処理端末104のアクセス制限アクセス制限情報に存在するかどうかを判断する(ステップS1203)。
制限対象外ファイル検査部316は、存在する場合(ステップS1203のYes)、ステップS1208に処理を進める。
制限対象外ファイル検査部316は、存在しない場合(ステップS1203のNo)、ステップS1204に処理を進める。
ステップS1204では、制限対象外ファイル検査部316は、ファイルサーバ102へステップS1202で計算したハッシュ値を持つアクセス制限アクセス制限情報が存在するかどうかを問い合わせる。
【0028】
ステップS1205では、制限対象外ファイル検査部316は、サーバにアクセス制限アクセス制限情報が存在するかどうかを判断する。
制限対象外ファイル検査部316は、存在しない場合(ステップS1205のNo)、ファイルはアクセス制限の対象となっていないと判断し、次のファイルに対しての処理を開始する
制限対象外ファイル検査部316は、存在する場合(ステップS1205のYes)、サーバから該当するアクセス制限アクセス制限情報を取得する(ステップS1206)。
次に、制限対象外ファイル検査部316は、取得したアクセス制限情報を情報処理端末104のアクセス制限情報319に反映させる(ステップS1207)。
ステップS1208では、制限対象外ファイル検査部316は、ファイルの情報をアクセス制限アクセス制限対象ファイルに追加する(アクセス制限対象化)。
以上の処理を、制限対象外ファイル検査部316は、アクセス対象になっていないファイル全てに対して行う。
この処理はアクセス制限エージェント312を利用しないでファイルサーバ102の制限対象ファイル309を取得する等、アクセス制限を行うべきファイルがアクセス制限の対象外になっているために、不適切なアクセス権が与えられることを防止するために行う。
尚、本実施形態では情報処理端末内の全てのファイルを検査するようにしているが、特定のディレクトリ(ユーザのホームディレクトリ等)以下のファイルのみを検査するように構成してもよい。
この構成により、情報処理端末の利用場所を限定することなく、管理者が指定した信頼できるネットワーク接続のみにおいて、ファイルに適切なアクセス権を付与することができる。
また、アクセス権の判定を行う際にアクセス制限管理サービスへのアクセスを必要としないので、サービスが障害で利用できない場合やネットワークがサービスへ到達不能な場合であっても適切なアクセス制限を行うことができる。
【0029】
<その他の実施形態>
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(又はCPUやMPU等)がプログラムを読み出して実行する処理である。
【0030】
以上、上述した各実施形態によれば、利便性を低減させずに情報漏洩を防ぐことが可能な仕組みを提供することができる。
【0031】
以上、本発明の好ましい実施形態について詳述したが、本発明は係る特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
【符号の説明】
【0032】
102 ファイルサーバ
104 情報処理端末
【特許請求の範囲】
【請求項1】
ネットワークとの接続が可能な情報処理装置であって、
ネットワークの接続形態を検出する検出手段と、
ネットワークの接続形態とファイルへのアクセス制限とが対応付けられたアクセス制限情報が記憶された記憶装置より、前記検出手段で検出されたネットワーク接続形態に対応するアクセス制限を特定し、特定したアクセス制限に従い、ファイルへのアクセスを制限するアクセス制限手段と、
を有することを特徴とする情報処理装置。
【請求項2】
アクセス制限情報を記憶したファイルサーバからアクセス制限情報を取得するアクセス制限情報取得手段と、
前記アクセス制限情報取得手段で取得されたアクセス制限情報と、前記記憶装置に記憶されているアクセス制限情報のうち、前記アクセス制限情報取得手段で取得されたアクセス制限情報に対応するアクセス制限情報と、を同期させる同期手段と、
を更に有することを特徴とする請求項1に記載の情報処理装置。
【請求項3】
ファイルが更新された場合に、更新前のファイルのアクセス制限情報を、更新後のファイルに対して適用する適用手段を更に有することを特徴とする請求項1又は2に記載の情報処理装置。
【請求項4】
アクセス制限対象となっていないファイルに対応するアクセス制限情報が存在する場合、前記ファイルをアクセス制限対象とするアクセス制限対象化手段を更に有することを特徴とする請求項1乃至3の何れか1項に記載の情報処理装置。
【請求項5】
ネットワークとの接続が可能な情報処理装置が実行する情報処理方法であって、
ネットワークの接続形態を検出する検出ステップと、
ネットワークの接続形態とファイルへのアクセス制限とが対応付けられたアクセス制限情報が記憶された記憶装置より、前記検出ステップで検出されたネットワーク接続形態に対応するアクセス制限を特定し、特定したアクセス制限に従い、ファイルへのアクセスを制限するアクセス制限ステップと、
を含むことを特徴とする情報処理方法。
【請求項6】
コンピュータに、
ネットワークの接続形態を検出する検出ステップと、
ネットワークの接続形態とファイルへのアクセス制限とが対応付けられたアクセス制限情報が記憶された記憶装置より、前記検出ステップで検出されたネットワーク接続形態に対応するアクセス制限を特定し、特定したアクセス制限に従い、ファイルへのアクセスを制限するアクセス制限ステップと、
を実行させるプログラム。
【請求項1】
ネットワークとの接続が可能な情報処理装置であって、
ネットワークの接続形態を検出する検出手段と、
ネットワークの接続形態とファイルへのアクセス制限とが対応付けられたアクセス制限情報が記憶された記憶装置より、前記検出手段で検出されたネットワーク接続形態に対応するアクセス制限を特定し、特定したアクセス制限に従い、ファイルへのアクセスを制限するアクセス制限手段と、
を有することを特徴とする情報処理装置。
【請求項2】
アクセス制限情報を記憶したファイルサーバからアクセス制限情報を取得するアクセス制限情報取得手段と、
前記アクセス制限情報取得手段で取得されたアクセス制限情報と、前記記憶装置に記憶されているアクセス制限情報のうち、前記アクセス制限情報取得手段で取得されたアクセス制限情報に対応するアクセス制限情報と、を同期させる同期手段と、
を更に有することを特徴とする請求項1に記載の情報処理装置。
【請求項3】
ファイルが更新された場合に、更新前のファイルのアクセス制限情報を、更新後のファイルに対して適用する適用手段を更に有することを特徴とする請求項1又は2に記載の情報処理装置。
【請求項4】
アクセス制限対象となっていないファイルに対応するアクセス制限情報が存在する場合、前記ファイルをアクセス制限対象とするアクセス制限対象化手段を更に有することを特徴とする請求項1乃至3の何れか1項に記載の情報処理装置。
【請求項5】
ネットワークとの接続が可能な情報処理装置が実行する情報処理方法であって、
ネットワークの接続形態を検出する検出ステップと、
ネットワークの接続形態とファイルへのアクセス制限とが対応付けられたアクセス制限情報が記憶された記憶装置より、前記検出ステップで検出されたネットワーク接続形態に対応するアクセス制限を特定し、特定したアクセス制限に従い、ファイルへのアクセスを制限するアクセス制限ステップと、
を含むことを特徴とする情報処理方法。
【請求項6】
コンピュータに、
ネットワークの接続形態を検出する検出ステップと、
ネットワークの接続形態とファイルへのアクセス制限とが対応付けられたアクセス制限情報が記憶された記憶装置より、前記検出ステップで検出されたネットワーク接続形態に対応するアクセス制限を特定し、特定したアクセス制限に従い、ファイルへのアクセスを制限するアクセス制限ステップと、
を実行させるプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【公開番号】特開2012−118877(P2012−118877A)
【公開日】平成24年6月21日(2012.6.21)
【国際特許分類】
【出願番号】特願2010−269573(P2010−269573)
【出願日】平成22年12月2日(2010.12.2)
【出願人】(592135203)キヤノンITソリューションズ株式会社 (528)
【Fターム(参考)】
【公開日】平成24年6月21日(2012.6.21)
【国際特許分類】
【出願日】平成22年12月2日(2010.12.2)
【出願人】(592135203)キヤノンITソリューションズ株式会社 (528)
【Fターム(参考)】
[ Back to top ]