情報漏えい防止システム及び情報漏えい防止方法
【課題】重要なファイルが端末に保存されたときに、その端末の利用者や端末自体が空間の外部に出られないようにして、情報漏えい防止性能を向上させる。
【解決手段】端末4が、ファイルサーバ3からのファイル31が端末側記憶手段41に記憶されたときに、固有情報10及びダウンロードされたファイルのファイル識別情報32を含むダウンロード情報をゲート制御部5に送信するダウンロード情報送信手段42を備え、ゲート制御部5が、ダウンロード情報に係るファイル31の重要度に応じて通過適正又は通過不適の判断結果を出力する適否判断手段500と、判断結果を固有情報と関連付けて記憶する判断結果記憶手段510と、判断結果記憶手段510の読み取られた固有情報10に対応する判断結果が通過不適のときにゲート2に阻止動作させるゲート動作制御手段520とを備える。
【解決手段】端末4が、ファイルサーバ3からのファイル31が端末側記憶手段41に記憶されたときに、固有情報10及びダウンロードされたファイルのファイル識別情報32を含むダウンロード情報をゲート制御部5に送信するダウンロード情報送信手段42を備え、ゲート制御部5が、ダウンロード情報に係るファイル31の重要度に応じて通過適正又は通過不適の判断結果を出力する適否判断手段500と、判断結果を固有情報と関連付けて記憶する判断結果記憶手段510と、判断結果記憶手段510の読み取られた固有情報10に対応する判断結果が通過不適のときにゲート2に阻止動作させるゲート動作制御手段520とを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、例えば、ファイルサーバに書き込まれた重要度の高い機密情報などのファイルの情報漏えいを防ぐ情報漏えい防止システム及び情報漏えい防止方法に関する。
【背景技術】
【0002】
一般に、電子データ化されたファイルは、文書管理サーバなど、いわゆるファイルサーバに格納されている。
従来、このようなファイルサーバに格納されたファイルの情報漏えいを防止する情報漏えい防止システムとしては、例えば、特許文献1に記載された技術が知られている。
この特許文献1の技術は、各利用者に対し、読み出し可や書き込み可などのアクセス権の設定により、そのアクセスを制御して行うものである。そして、各権限が与えられた利用者のみが、端末を用いてファイルサーバへアクセスしファイルサーバのファイルを閲覧したり、書き込みしたりできるようにしている。
【0003】
ところで、このような情報漏えい防止は、ファイルを閲覧するときに、一時的に端末にファイルがダウンロードされる。そして、ファイルの種類やそれを表示するアプリケーションによっては、端末上にファイルが保存される可能性もある。
ファイルが端末に保存された状態で、例えば、端末自体の盗難などが生じると、端末に保存されたファイルの情報が外部に漏えいするおそれがあった。
【0004】
従来、この種の問題の解決のための情報漏えい防止技術としては、特許文献2及び3に記載のものが知られている。
この特許文献2及び3には、端末のある機密セクションの出入口に、出入口を通過する人を許容又は阻止するゲートを設け、このゲートでIDカードなどにより認証を行い、機密セクションへは不適正な利用者の侵入を防止する技術の記載がある。
また、特許文献3には、機密セクションの内側に、重要度に応じた別の機密セクションを設け、重要度に応じた機密セクション以外の機密セクションではファイルサーバのファイルにアクセスできないようにする技術が記載されている。
【0005】
【特許文献1】特開平02−216561号公報
【特許文献2】特開平11−259712号公報
【特許文献3】特開2006−163715号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、このような上記の情報漏えい対策の技術は、閲覧可能なアクセス権を保有するとともに機密セクションの出入も可能である利用者が、悪意や作業ミスによりファイルの情報が漏えいしてしまうおそれがあった。
詳しくは、適正な利用者が、重要度の高いファイルの閲覧をして、ファイルが端末に一時的であっても保存された状態で、端末自体を持って機密セクションの外部に出るときに、適正な利用者であり、ゲートが利用者を阻止できないので、機密セクションの外部に端末を持ち出すことができてしまう。そのため、機密セクションの外部は、端末の紛失及び盗難が生じる可能性が機密セクションの内部よりも大きいので、端末の紛失及び盗難されると、情報漏えいしてしまうおそれがある。
【0007】
また、この場合、端末の紛失及び盗難がなくても、端末がノートパソコンのように機密セクションの内外に持ち運びができるもので、適正な利用者が、例えば、端末を自宅からインターネットなどに機密セクションの外部のネットワーク環境を介して接続してしまうと、機密セクションの外部はセキュリティが十分でない場合があるので、ファイルの情報漏えいが生じるおそれもあった。
【0008】
本発明は、以上のような従来の技術が有する問題を解決するために提案されたものであり、重要なファイルが端末に保存されたときに、その端末の利用者や端末自体が空間の外部に出られないようにして、情報漏えい防止性能を向上させた情報漏えい防止システム及び情報漏えい防止方法の提供を目的とする。
【課題を解決するための手段】
【0009】
上記目的を達成するため、本発明の情報漏えい防止システムは、ファイルが記憶されるファイル記憶手段を有したファイルサーバを備え、前記ファイル記憶手段に記憶されたファイルの漏えいを防止する情報漏えい防止システムであって、固有情報が記憶される固有情報記憶媒体と、空間の出入口に設けられ該出入口を前記固有情報記憶媒体とともに通過しようとする人に対し通過の許容動作又は阻止動作をするゲートと、前記空間の内側から前記ファイル記憶手段のファイルをダウンロード可能な端末と、前記固有情報記憶媒体の固有情報を読み取り該固有情報に基づいて前記ゲートの動作を制御するゲート制御部と、を備え、前記端末が、前記ファイルサーバからダウンロードしたファイルを記憶可能な端末側記憶手段と、前記端末側記憶手段に前記ファイルサーバからのファイルが記憶されたときに、前記固有情報及び前記ダウンロードされたファイルのファイル識別情報を含むダウンロード情報を前記ゲート制御部に送信するダウンロード情報送信手段と、を備え、前記ゲート制御部が、前記ダウンロード情報を受信したときに、該ダウンロード情報に係るファイルの重要度に応じて通過適正又は通過不適の判断結果を出力する適否判断手段と、前記適否判断手段の判断結果を、前記固有情報と関連付けて記憶する判断結果記憶手段と、前記固有情報の読み取られた時、該固有情報に対応する前記判断結果記憶手段の判断結果が通過不適のときに前記ゲートに阻止動作させるゲート動作制御手段と、を備えている。
【0010】
この情報漏えい防止システムにおいては、人が、所定の空間に入ってファイルサーバのファイル記憶手段に記憶されているファイルをダウンロードすると、端末の端末側記憶手段にファイルが記憶される。人は、このファイルを、例えば、画面に表示して閲覧する。
ここで、空間は、例えば、機密セクションなどとも言われ、ビルなどの建物、建物の居室などの場所である。この空間は、出入口以外からの出入が通常できない場所である。
この際、ダウンロード情報送信手段が、端末側記憶手段にファイルが記憶されたときに、ダウンロード情報を作成し、ゲート制御部に送る。
ゲート制御部がダウンロード情報を受信すると、適否判断手段は、ファイルの重要度に応じて通過不適の判断をする。次に、この判断結果は、判断結果記憶手段にダウンロード情報に係る固有情報と関連付けられて記憶される。
【0011】
この状態で人が、出入口を通過して空間から出ようとすると、まず、固有情報記憶媒体の固有情報が読み取られる。ゲート動作制御手段は、判断結果記憶手段に記憶された読み取られた固有情報に対応する判断結果を参照して、判断結果が通過不適のときに、ゲートに阻止動作をさせる。
そのため、重要度の高いファイルがダウンロードされて端末側記憶手段にファイルが記憶されている状態において、ゲート制御手段によって、ゲートに阻止動作を行わせることができる。
【0012】
また、端末側記憶手段に重要度の高いファイルが記憶されている状態では、ダウンロード操作をした人やファイルが記憶された端末を持った人などが、ゲートで阻止されるので、部屋の外部に端末が持ち出されてしまうような、情報が漏えいの危険性が低減される。
これにより、情報漏えい防止システムは、端末側記憶手段に記憶されたファイルが漏えいする事態を防止でき、情報漏えい防止性能を向上させることができる。
そして、人には、例えば、端末側記憶手段のファイルを削除し、判断結果記憶手段の判断結果を書き換えるなどしてから空間の外部に退出させるようにする。
これにより、情報漏えい防止性能を向上できる。
【0013】
また、前記端末が、前記端末側記憶手段に記憶された前記ファイルサーバからのファイルの削除があったときに、前記ダウンロードされたファイルの削除情報を前記ゲート制御部に送信する削除情報送信手段を備え、前記ゲート制御部が、前記削除情報を受信したときに該削除情報に対応する前記判断結果記憶手段に記憶された判断結果を通過適正にする判断結果更新手段と、を備えることが好ましい。
【0014】
このような構成からなる情報漏えい防止システムは、例えば、人の操作により、端末の端末側記憶手段からファイルを削除すると、削除情報送信手段が削除情報を送信する。削除情報を受信すると、判断結果更新手段は、判断結果記憶手段に記憶された判断結果を通過不適から通過適正に更新する。
この場合、人が出入口を通過しようとすると、判断結果が通過適正なので、ゲートが許容動作をする。そのため、人が出入口を通過できる。
これにより、端末から重要度の高いファイルが削除すると、特別な操作をすることなく、人の空間から退出を可能にできる。
【0015】
また、人が端末を持ち出した後、空間の外部で端末の紛失や盗難されても、端末側記憶手段には、重要度の高いファイルが保存されていないので、情報漏えいする事態を防止でき、情報漏えい防止性能を向上できる。
また、空間の外部において、端末を、セキュリティが十分でない、例えば、インターネットなどのネットワークにつないでも、端末側記憶手段には、重要度の高いファイルが保存されていないので、情報漏えいすることを防止できる。
【0016】
また、前記ゲート制御部が、前記ファイルサーバに接続されるファイル識別情報管理サーバと、前記端末及び前記ファイル識別情報管理サーバに接続される状態管理サーバと、前記状態管理サーバに接続される入退管理サーバとを備え、前記ファイル識別情報管理サーバが、前記適否判断手段を備え前期状態管理サーバが、前記ダウンロード情報を受信したときに前記ファイル識別情報管理サーバの適否判断手段に前記ゲートの通過の適否を問い合わせる判断問合せ手段と、前記判断結果記憶手段と、前記判断結果更新手段とを備え、前記入退管理サーバが、前記固有情報が読み取られたときに前記状態管理サーバの判断結果記憶手段に判断結果を問い合わせる判断結果問合せ手段と、前記ゲート動作制御手段とを備えることが好ましい。
【0017】
ゲート制御部が、ファイル識別情報管理サーバと、状態管理サーバと、入退管理サーバとからなるので、特に、複数階あるビルであって、上位の階の居室に端末が設置される場合のように、空間の出入口と、端末のある位置が離れているときに、既存のネットワークを用いることができ、設置コストを低減できる。
【0018】
また、前記適否判断手段が、前記ファイルサーバに記憶されたファイルにファイル識別情報を付与するファイル識別情報管理手段と、前記ファイル識別情報が前記ファイル識別情報に対応するファイルの重要度と関連付けられて記憶されるファイル管理情報記憶手段とを備えることが好ましい。
このような構成の情報漏えい防止システムは、適否判断手段が、ファイル識別情報管理手段と、ファイル管理情報記憶手段とを備えるので、適否判断手段の適否判断は、ファイル管理情報記憶手段に記憶されたファイルの重要度を参照するだけで、容易に導き出すことができる。
【0019】
また、前記固有情報記憶媒体が、IDカードからなり、前記端末が、前記固有情報の入力によりファイルサーバと通信可能となる認証手段を備え、前記ダウンロード情報送信手段が、認証時に入力された固有情報を含むダウンロード情報を送信することが好ましい。
また、固有情報記憶媒体が、IDカードからなり、ダウンロード情報送信手段が、認証時に入力された固有情報を含むダウンロード情報を送信するので、端末の端末側記憶手段にファイルが記憶された状態で、空間内に端末を残して人が空間の外部に出ようとしても、この人が出入口の通過を阻止される。
そのため、例えば、人に、端末側記憶手段のファイルの削除を促すことができる。
これにより、空間から退出したあとに、悪意のある他の人が、端末内に残ったデータを取り出されてしまう事態も防止できる。
【0020】
また、前記固有情報記憶媒体が、前記端末に付帯させられるICタグからなり、前記端末が、前記固有情報が予め記憶される固有情報記憶手段を備え、前記ダウンロード情報送信手段が、前記固有情報記憶手段の固有情報を含むダウンロード情報を送信することが好ましい。
【0021】
このような構成の情報漏えい防止システムによれば、ゲート動作制御手段と、ICタグの固有情報が読み取られたときに、ゲートに阻止動作させる。
そのため、ICタグが端末に付設されているので、重要度の高いファイルがダウンロードされて、端末側記憶手段にファイルが記憶されている状態では、端末が社屋の外部に持ち出そうとするすべての人の通過を阻止できる。
これにより、ファイルを閲覧した人以外のものが、端末を持ち出すときであっても、これを阻止できるので、情報漏えい防止性能を向上させることができる。
【0022】
上記目的を達成するため、本発明の情報漏えい防止方法は、ファイルサーバのファイル記憶手段に記憶されたファイルの漏えいを防止する情報漏えい防止方法であって、空間内で前記ファイル記憶手段に記憶されたファイルを端末の端末側記憶手段に記憶させたときに、固有情報記憶媒体の固有情報及び前記ダウンロードされたファイルのファイル識別情報を含むダウンロード情報を送信し、前記ダウンロード情報を受信して、該ダウンロード情報に係るファイルの重要度に応じて前記空間の出入口の通過不適の判断結果を出力し、当該判断結果を判断結果記憶手段に記憶し、通過不適の判断結果に対応する固有情報を記憶した前記固有情報記憶媒体をもつ人が出入口を通過するときに、該人の通過を阻止する構成としている。
【0023】
このような構成からなる情報漏えい防止方法によれば、重要度の高いファイルをダウンロードし、端末側記憶手段が、これを記憶している状態では、人の出入口の通過が阻止される。
また、端末にファイルをダウンロードした人が、出入口の通過を阻止されるので、端末側記憶手段に重要度の高いファイルが記憶されている端末が、部屋の外部に持ち出される事態などが防止される。
【0024】
これにより、情報漏えい防止システムは、端末側記憶手段に記憶されたファイルが漏えいする事態を防止でき、情報漏えい防止性能を向上させることができる。
そして、人には、例えば、端末側記憶手段のファイルを削除し、判断結果記憶手段の判断結果を書き換えるなどしてから空間の外部に退出させるようにする。
これにより、情報漏えい防止性能を向上できる。
【0025】
また、前記端末側記憶手段から前記ファイルの削除があったときに、前記判断結果記憶手段に記憶された通過不適の判断結果を通過適正に更新することが好ましい。
これにより、端末から重要度の高いファイルが削除すると、人の空間から退出を可能にできる。
また、人が端末を持ち出した後、空間の外部で端末の紛失や盗難されても、端末側記憶手段には、重要度の高いファイルが保存されていないので、情報漏えいする事態を防止でき、情報漏えい防止性能を向上できる。
また、空間の外部において、端末を、セキュリティが十分でない、例えば、インターネットなどのネットワークにつないでも、端末側記憶手段には、重要度の高いファイルが保存されていないので、情報漏えいすることを防止できる。
【発明の効果】
【0026】
以上のように、本発明の情報漏えい防止システム及び情報漏えい防止方法によれば、ファイルが記憶されている状態を端末のダウンロード情報送信手段で検知し、このファイルの重要度が高いときに適否判断手段が通過不適を判断し、通過不適判断結果のときにゲート制御手段がゲートに阻止動作を行わせることができる。
そのため、端末側記憶手段に重要度の高いファイルが記憶されている状態では、ダウンロード操作をした人が、ゲートで阻止されるので、部屋の外部への端末の持ち出しなど、情報漏えいの危険性が低減される。
これにより、情報漏えい防止システムは、端末側記憶手段に記憶されたファイルが漏えいする事態を防止でき、情報漏えい防止性能を向上させることができる。
【発明を実施するための最良の形態】
【0027】
以下、本発明に係る情報漏えい防止システム及び情報漏えい防止方法の好ましい実施形態について、説明する。なお、本発明の実施形態にかかる情報漏えい防止方法は、情報漏えい防止システムを用いて実現されている。
【0028】
[第一実施形態]
図1及び図2に示すように、本発明の第一実施形態の情報漏えい防止システムS1は、例えば、企業などに設置されている。
この情報漏えい防止システムS1は、ファイル31が記憶されるファイル記憶手段30を有したファイルサーバ3と、固有情報が記憶される固有情報記憶媒体と、空間の出入口25に設けられ出入口25を固有情報記憶媒体とともに通過しようとする人に対し、通過の許容動作又は阻止動作をするゲート2と、空間の内側からファイル記憶手段30のファイル31をダウンロード可能な端末4と、固有情報記憶媒体の固有情報を読み取り、固有情報に基づいてゲート2に許容動作又は阻止動作を行なわせるゲート制御部5と、を備えてなる。
そして、ファイル記憶手段30に記憶されたファイル31の漏えいを防止している。
【0029】
ファイルサーバ3は、例えば、LAN(ローカルエリアネットワーク)などのネットワーク90に接続され、このネットワーク90を介して端末4と接続可能になっている。
また、ファイルサーバ3は、空間(7)の内部に設けられている。空間(7)は、例えば、会社の社屋、社屋内の部屋などからなり、出入口25以外からの出入りは通常できなくなっている。本実施形態では、空間は、会社の社屋7である。
さらに、ファイルサーバ3は、サーバの管理者以外のものの持ち出しができないように、強固に施錠されたファイルサーバ設置室(図示せず)に設置されている。
【0030】
また、ファイルサーバ3のファイル記憶手段30に記憶される各ファイル31は、ファイルサーバ3に接続された端末4から閲覧、書き込みなどの操作がなされる。また、ファイル31には、一意性が保障されたファイルID32(ファイル識別情報)が付与されている。
【0031】
ファイル記憶手段30には、重要度の高いファイル31が格納されている。重要度の高いファイル31は、機密情報などが記録された電子ファイル31である。
また、各ファイル31には、アクセス権が設定されている。アクセス権は、例えば、端末4にログインするユーザUごとに、閲覧可、不可、及び、書き込み可、不可などの項目のそれぞれの設定がなされている。
このアクセス権は、サーバの管理者などがファイルサーバ3を操作することにより、ユーザUの権限に従った管理がなされる。
【0032】
固有情報記憶媒体は、非接触ICカード、磁気テープが付帯させられる磁気テープカードなどで実現されている。本実施形態では、固有情報記憶媒体は、非接触ICカードからなる、社員用のIDカード1であり、記憶される固有情報は、ユーザID10である。
【0033】
ゲート2は、出入口25を開閉する扉を備えている。そして、ゲート2は、人の通過を許容するときに扉を開く許容動作と、人の通過を阻止するときに扉を閉じる阻止動作のいずれかを行っている。
【0034】
また、端末4は、ユーザUにより使用されるときに、ユーザUのIDカード1に書き込まれた固有情報の入力及び、入力されたユーザID10が正しいか否かを判断し、正しいときに端末4を使用できるようにする認証手段44が備えられている。
認証手段44は、ユーザID10とともに入力されたパスワードを、ネットワーク90上に設けられたドメインサーバ(図示せず)に問合せて、入力されたユーザID10がネットワーク90にアクセスできるか否かにより認証を行うことが好ましい。
本実施形態の端末4は、ノートパソコンであり、ユーザUが社屋7の内外に持ち運びできるようになっている。また、この端末4には、例えば、マイクロソフトコーポレーション製、Windows(登録商標)のような、GUIタイプのオペレーティングシステムを備える汎用のパーソナルコンピュータを用いている。このような端末4は、ファイルサーバ3の文書ファイル31を参照するとき、ファイル31が自動的に端末4にダウンロードされて、端末4の画面に表示される。
【0035】
また、端末4は、ファイルサーバ3からダウンロードしたファイル31を記憶可能な端末側記憶手段41と、端末側記憶手段41にファイルサーバ3からのファイル31が記憶されたときに、固有情報記憶媒体(IDカード1)の固有情報(ユーザID10)及びダウンロードされたファイル31にかかるファイルID32を含むダウンロード情報をゲート制御部5に送信するダウンロード情報送信手段42と、端末側記憶手段41に記憶されたファイルサーバ3からのファイル31の削除があったときに、固有情報(ユーザID10)を含む削除情報をゲート制御部5に送信する削除情報送信手段43を備えてなる。
端末4は、ネットワーク9を介してファイルサーバ3及びゲート制御部5に接続可能である。
【0036】
端末側記憶手段41は、例えば、ハードディスクドライブなどの記憶装置の記憶容量の一部分で構成され、一時的に保存される部分からなる。
ダウンロード情報送信手段42は、ネットワーク9を介して、ファイルサーバ3からファイル31のダウンロードが完了したあとに、このファイル31に係るダウンロード情報を送信している。
ダウンロード情報は、認証手段44での認証のときに入力されたユーザID10と、ファイルID32とを含んでなる。
削除情報は、認証手段44での認証のときに入力されたユーザID10を含んでなる。
なお、本実施形態においては、削除情報送信手段43は、端末側記憶手段41に記憶されたファイルサーバ3からのファイル31が全て削除されたときに削除情報を送信している。
【0037】
具体的には、ダウンロード情報送信手段42及び削除情報送信手段43は、端末4で実行されるクライアントエージェント45(ソフトウェア)で実現されている。
ダウンロード情報送信手段42は、端末4に重要ファイル31がダウンロードされたことを検知する機能を備えている。この検知があると、ファイル31に付与されたファイルID32、ユーザUに割り当てられたIDカード1のユーザID10を含むダウンロード情報を送信する。
また、削除情報送信手段43は、端末側記憶手段41から重要度の高いファイル31が削除されたときに、このファイルの削除があったことを検知する機能を備えている。この検知があると、ユーザUに割り当てられたIDカード1のユーザID10を含む削除情報を送信する。
また、ダウンロード情報送信手段42及び削除情報送信手段43は、後述の状態管理サーバ51にダウンロード情報及び削除情報を送信している。
なお、望ましくは、ダウンロード情報送信手段42は、端末側記憶手段41から復旧できないように情報が完全に削除された状態を検知する。
【0038】
ゲート制御部5は、ファイル識別情報管理サーバ51、状態管理サーバ51、及び、入退管理サーバ52からなる。
また、ゲート制御部5は、ゲート2に付設され、カード内のID情報を読み取る読取手段20を備えている。読取手段20は、既存のものでもよい。本実施形態では、読取手段20は、例えば、電磁界や電波を用いて、IDカード1のユーザID10を読み取る。
【0039】
ファイル識別情報管理サーバ51は、少なくともネットワーク91を介し、ファイルサーバ3及び状態管理サーバ51と通信可能に接続されている。
また、ファイル識別情報管理サーバ51は、ダウンロード情報を受信したときに、ダウンロード情報に係るファイル31の重要度に応じて通過不適の判断結果を出力する適否判断手段500を備えている。
適否判断手段500は、ファイルサーバ3に記憶されたファイル31にファイルID32を付与するファイル識別情報管理手段501と、ファイルID32がそのファイルID32に対応するファイル31の重要度と関連付けられて記憶されるファイル管理情報記憶手段502とを備えている。
【0040】
ファイル識別情報管理手段501は、ファイルID32を管理する機能を有し、ファイルサーバ3のファイル記憶手段30にファイル31が新規に書き込まれたときに、ファイルID32を付与するなどの機能を備えている。
【0041】
また、ファイル管理情報記憶手段502には、例えば、図3に示すように、ファイルID32と、ファイル31の重要度とからなるデータテーブルであって、ファイルID32とファイル31の重要度が関連付けられてなるファイル管理情報データベース505が保存されている。
そして、適否判断手段500は、ファイル管理情報記憶手段502のデータベース505を参照し、ダウンロード情報のファイルID32から、このファイルID32が付与されたファイル31の重要度を導き出す。そして、ファイル31の重要度が、所定の値よりも高いときに、出入口25の通過不適の判断をする。また、ファイル31の重要度が、所定の値よりも低いときは通過適正の判断をする。本実施形態では、重要度が1以上であるときに、通過不適の判断をする。
【0042】
状態管理サーバ51は、ネットワーク92を介しファイル識別情報管理サーバ51に通信可能に接続されている。また、状態管理サーバ51は、ネットワーク93を介して端末4と通信可能に接続されており、端末4からダウンロード情報及び削除情報を受信可能になっている。
【0043】
また、状態管理サーバ51は、ダウンロード情報を受信したときにファイル識別情報管理サーバ51の適否判断手段500にゲート2の通過の適否を問い合わせる判断問合せ手段512と、適否判断手段500の判断結果を記憶する判断結果記憶手段510と、削除情報を受信したときに削除情報に対応する判断結果記憶手段510に記憶された判断結果を通過適正にする判断結果更新手段511とを備えている。
【0044】
判断問合せ手段512は、このダウンロード情報のファイルID32を含むデータを、ファイル識別情報管理サーバ51の適否判断手段500に問い合わせて、判断結果を受信している。
判断問合せ手段512が受信した判断結果は、判断結果記憶手段510に記憶させられる。
判断結果記憶手段510は、具体的には、状態管理データベース515を記憶している。状態管理データベース515は、例えば、図4に示すように、ユーザUがゲート2を通ることができるかどうかを管理するテーブルであって、ユーザUのユーザID10と、ユーザID10ごとの出入口25の通過に係る判断結果とが関連付けられて判断結果記憶手段510に記憶されている。
判断結果更新手段511は、端末4からの削除情報を受信すると、削除情報にかかるユーザID10に対応する判断結果記憶手段510に記憶された状態管理データベース515の判断結果を、通過不適から通過適正に更新する。
なお、本実施形態では、ダウンロードされた重要度の高いファイル31が、全て削除されたときに削除情報を送信している。
【0045】
入退管理サーバ52は、ネットワーク94を介し、ファイル識別情報管理サーバ51に接続されている。
また、入退管理サーバ52は、IDカード1のユーザID10が読み取られたときに状態管理サーバ51の判断結果記憶手段510に判断結果を問い合わせる判断結果問合せ手段521と、適否判断手段500の通過不適の判断結果に対応するユーザID10が記憶されるIDカード1が読み取られたときに、ゲート2に阻止動作させるゲート動作制御手段520を備えている。
【0046】
入退管理サーバ52は、読取手段20でIDカード1のユーザID10が読み取られると、判断結果問合せ手段521が、状態管理サーバ51に判断結果を問い合わせる。そして、問合せの返信が状態管理サーバ51からあると、ゲート動作制御手段520は、IDカード1のユーザID10に対応する判断結果から、ゲート2に許容動作又は阻止動作を行わせている。
【0047】
次に、以上のような構成からなる本実施形態の情報漏えい防止システムS1の動作(作用)を、図5に示すチャートにしたがって説明する。なお、ここでは、仮に、ユーザID=U0006のユーザUが、ファイルID=F0002のファイルをダウンロードする場合を説明する。
【0048】
図1及び図2に示すように、ユーザUは、社屋7に入り、端末4をネットワーク90に接続し、この端末4にログインする(C1−1)。この際、ユーザUは、IDカード1のユーザID10やパスワードを端末4に入力する。端末4の認証手段44は、入力されたユーザID10などが正しいときにログインを認証する。そして、認証手段44は、クライアントエージェント45に、ユーザID10を送る(C1−2)。
【0049】
次に、ユーザUが端末4を操作し、ファイルサーバ3のファイル記憶手段30に記憶されている、例えば、ファイルID32が、F0002のファイル31を参照する操作を行う(C1−3)。端末4は、ユーザUの操作があると、ファイルサーバ3のファイル記憶手段30のファイル31をダウンロードしようとする(C1−4)。
この際、ファイルサーバ3は、ユーザUのIDカード1のユーザID10毎に設定された権限から、ファイル記憶手段30のファイル31のアクセスが可能かどうかを判断し、アクセス可能の判断をするときに、ダウンロードを開始する(C1−5)。
ダウンロードが終了すると、端末側記憶手段41に、ファイル31のコピーデータが記憶され、端末4の表示部の画面に表示される(C1−6)。そして、ユーザUは、画面に表示されたファイル31を閲覧する。
【0050】
この際、クライアントエージェント45のダウンロード情報送信手段42が、ダウンロードがなされて、端末側記憶手段41にファイル31のコピーデータがあることを検知する(C1−7)。
ダウンロード情報送信手段42は、検知したファイル31のファイルID32と、現在の端末4にログインしているユーザUのユーザID10から、ダウンロード情報(ユーザID:U0006,ファイルID:F0002)を作成し、これを状態管理サーバ51に送信する(C1−8)。
【0051】
ダウンロード情報を状態管理サーバ51が受信すると、状態管理サーバ51の判断問合せ手段512が、ファイル識別情報管理サーバ51に、適否判断を問い合わせる(C1−9)。
ファイル識別情報管理サーバ51は、問い合わせがあると、適否判断手段500は、ファイル管理情報記憶手段502のファイル管理情報データベース505(図3)を参照し、問合せのあったファイルID32の重要度を導き出す。この際、ファイルID32は、F0002であり、重要度が2で1よりも大きいことから、適否判断手段500は、通過不適の判断をする(C1−10)。
【0052】
適否判断手段500による判断結果は、ファイル識別情報管理サーバ51により、状態管理サーバ51に送られる。状態管理サーバ51が判断結果を受信すると、判断問合せ手段512が、状態管理データベース515(図5)のIDカード1のユーザID10に対応する判断結果に、通過不適を書き込んで、判断結果を記憶させる(C1−12)。
【0053】
この状態でユーザUが、端末4からログアウトし(C1−13)、社屋7から退出するためにゲート2に設けられた読取手段20にIDカード1をかざすと(C1−14)、これのユーザID10を読取手段20が読み取る(S−15)。
読取手段20のユーザID10の読み取りがあると(C1−16)、入退管理サーバ52の判断結果問合せ手段521が、状態管理サーバ51の判断結果記憶手段510に、読取手段20で読み取られたユーザID10に対応する判断結果を問い合わせる(C1−17)。
【0054】
状態管理サーバ51は、判断結果問合せ手段521からの問合せがあると、判断結果記憶手段510に記憶された状態管理データベース515(図5(a))を検索し、読み取られたユーザID10に対応する判断結果を入退管理サーバ52に返信する(C1−19)。
そして、入退管理サーバ52が判断結果を受信すると、ゲート動作制御手段520が判断結果を参照する。この際、ユーザID10(ユーザID=U0006)であり、判断結果が通過不適であるので、ゲート2に阻止動作をさせる(C1−20)。
ゲート2は、阻止動作させられると、扉が閉になる(C1−21)。そのため、ユーザUは、ゲート2に出入口25の通過を阻止されて、社屋7から退出ができないこととなる(C1−22)。
【0055】
次に、この状態で、ユーザUが部屋から退出するときには、ユーザUは以下のような操作を行う。
ユーザUは、再び、上記と同様に端末4にログインし(C1−23)、ファイル31の削除操作をする(C1−24)。ファイル31の削除操作がなされると、端末4は、端末側記憶手段41からファイル31のコピーデータを削除する(C1−25)。
このようにすると、クライアントエージェント45の削除情報送信手段43は、端末側記憶手段41からファイル31のコピーデータが削除されたことを検知する(C1−26)。
削除情報送信手段43は、端末4にログインしているユーザUのユーザID10(ユーザID=0006)を含む削除情報を、状態管理サーバ51に送信する(C1−27)。
【0056】
状態管理サーバ51が削除情報を受信すると、判断結果更新手段511は、判断結果記憶手段510に記憶された状態管理データベース515のユーザID10(ユーザID=0006)に対応する判断結果を通過適正に更新する(C1−28,図5(b))。
この状態でユーザUが、端末4からログアウトし(C1−29)、社屋7から退出するためにゲート2に設けられた読取手段20にIDカード1をかざすと(C1−30)、これのユーザID10(ユーザID=U0006)を読取手段20が読み取る(S−31)。
【0057】
読取手段20のユーザID10の読み取りがあると(C1−32)、入退管理サーバ52の判断結果問合せ手段521が、状態管理サーバ51に、読取手段20で読み取られたユーザID10に対応する判断結果を問い合わせる(C1−33)。
状態管理サーバ51は、判断結果問合せ手段521からの問合せがあると、判断結果記憶手段510に記憶された状態管理データベース515(図5(b))を検索し、読み取られたユーザID10に対応する判断結果を入退管理サーバ52に返信する(C1−34)。
【0058】
そして、入退管理サーバ52が、判断結果を受信すると、ゲート動作制御手段520を参照する。この際、ユーザID10(ユーザID=U0006)の判断結果は、通過適正であるので、ゲート2に許容動作をさせる(C1−35)。そのため、ゲート2は、扉が開になる(C1−36)。これにより、ユーザUは、ゲート2により出入口25の通過が許容されて、社屋7から退出できる(C1−37)。
【0059】
以上説明したように、本実施形態に係る情報漏えい防止システムS1によれば、端末4にダウンロード情報送信手段42を備え、ゲート制御部5に、適否判断手段500と、ゲート動作制御手段520と、を備えたので、重要度の高いファイル31がダウンロードされて端末側記憶手段41に記憶されている状態で、ユーザUが社屋7の出入口25を通過しようとすると、ゲート2制御手段がゲート2に阻止動作を行わせて、ユーザUの通過を阻止することができる。
【0060】
これにより、ユーザUが、端末側記憶手段41に重要度の高いファイル31が記憶されている状態で端末4であるノートパソコンを社屋7の外部へ持ち出されてしまう事態を防止できる。
また、ユーザUが、情報漏えいの可能性を認識していないようなときにも有効である。例えば、ユーザUが、ファイルサーバ3のファイル31の閲覧のために、一時的に、端末4にダウンロードされているような場合は、情報漏えいの可能性を認識しにくい。このような場合でも、ゲート2が阻止動作を行なうことで、ファイル31が端末側記憶手段41に記憶されていることを喚起できる。
これにより、ユーザUが日常的にファイル31の重要性を認識でき、また、ユーザUが日常的に情報漏えいの危機管理を行うことができるようになり、ユーザUの危機管理意識を向上できる。
また、ファイル31が端末4にダウンロードされた状態では、ゲート2で阻止されるので、社外への端末4の持ち出しをしにくくできる。そのため、情報漏えい防止性能を向上させることができる。
【0061】
また、端末側記憶手段41からファイル31が削除されると、判断結果更新手段511が、判断結果記憶手段510の判断結果を通過適正に更新する。
そのため、端末4から重要度の高いファイル31が削除されれば、社屋7から退出できる。
また、ユーザUが端末4を持ち出した後、社屋7の外部で端末4の紛失や盗難されても、端末側記憶手段41には、重要度の高いファイル31が保存されていないので、情報漏えいを防止でき、情報漏えい防止性能を向上できる。
【0062】
また、社屋7の外部であって、端末4をセキュリティが十分でない、インターネットなどのネットワーク(図示せず)につないでも、端末側記憶手段41には、重要度の高いファイル31が保存されていないので、情報漏えいすることを防止できる。
また、ユーザUの削除操作があるときまで、端末側記憶手段41にダウンロードされたファイル31を記憶させることもできる。この場合、閲覧のたびに、逐一ファイルサーバ3からダウンロードしなくてもよくなり、ネットワーク9のトラフィックを緩和できる。
【0063】
また、適否判断手段500が、ファイル識別情報管理手段501と、ファイル管理情報記憶手段502とを備えるので、適否判断手段500の適否判断は、ファイル管理情報記憶手段502に記憶されたファイル31の重要度を参照するだけで、容易に導き出すことができる。
ゲート制御部5が、ファイル識別情報管理サーバ51と、状態管理サーバ51と、入退管理サーバ52とからなるので、既存のネットワーク9を用いることもでき、情報漏えい防止システムの設置を容易に行うことができる。
【0064】
また、固有情報記憶媒体が、IDカード1からなり、ダウンロード情報送信手段42が、認証時に入力された固有情報を含むダウンロード情報を送信するので、端末4の端末側記憶手段41にファイル31が記憶された状態で、社屋7内に端末4を残して、ユーザUが社屋7の外部に出ようとしても、このユーザUが社屋7の外部にでる事態を防止できる。
そのため、例えば、ユーザUが空間から退出したあとに、正しいユーザでないものにより端末4内に残ったデータを取り出されてしまう事態も防止できる。
【0065】
[第二実施形態]
次に、本発明に係る第二実施形態の情報漏えい防止システムについて説明する。
図6及び図7には、本実施形態の情報漏えい防止システムS2を示している。
この情報漏えい防止システムS1は、第一実施形態の情報漏えい防止システムS1とは、IDカード1のユーザID10でユーザUの入退出制御する代わりに、クライアントの機器ID10aで機器の持ち出しを制御する点で異なる。
【0066】
詳しくは、端末4aが、固有情報が予め記憶される固有情報記憶手段を備えている。固有情報記憶手段に記憶される固有情報は、例えば、端末4aの製造番号などの機器ID10aが固有情報として記憶されている。
また、固有情報記憶媒体は、端末4aに付帯させられるICタグ1aからなる。ICタグ1aは、RFIDなどで構成されている。
また、読取手段20が、ICタグ1aの機器ID10aを読み取る構成としてある。
また、ゲート2は、扉の変わりに、警報装置(図示せず)が設けられており、ゲート動作制御手段520により阻止動作がなされるときに、警報装置がブザー音声を発する。
また、状態管理サーバ51の判断結果記憶手段510に記憶される状態管理データベース515は、状態管理データベース515は、例えば、図8に示すように、端末4aがゲート2を通過できるかどうかを管理するテーブルであって、固有情報である機器ID10aと、機器ID10aごとの出入口25の通過に係る判断結果とが関連付けられて判断結果記憶手段510に記憶されている。
従って、その他の構成部分は、第一実施形態と同様となっており、同様の構成部分については、図6及び図7中で第一実施形態と同一符号を付し、詳細な説明は省略する。
【0067】
次に、以上のような構成からなる本実施形態の情報漏えい防止システムS2の動作(作用)を、図9に示すチャートにしたがって説明する。
【0068】
図6及び図7に示すように、ユーザUは、社屋7に入り、端末4aをネットワーク9に接続し、この端末4aにログインする(C2−1)。
次に、ユーザUが端末4aを操作し、ファイルサーバ3のファイル記憶手段30に記憶されている、例えば、ファイルID32が、F0002のファイル31を参照する操作を行う(C2−3)。
端末4aは、ユーザUの操作があると、上記と同様にして、ファイルサーバ3のファイル記憶手段30のファイル31をダウンロードする(C2−4,C2−5,C2−6)。
そして、ユーザUは、画面に表示されたファイル31を閲覧する。
【0069】
また、クライアントエージェント45のダウンロード情報送信手段42が、ダウンロードを検知し(C2−7)、ダウンロード情報送信手段42は、検知したファイル31のファイルID32と現在の端末4aの機器ID10a(機器ID=D0006)を、固有情報記憶手段から読み出して、ダウンロード情報を作成し、これを状態管理サーバ51に送信する(C2−8)。
【0070】
ダウンロード情報を状態管理サーバ51が受信すると、状態管理サーバ51の判断問合せ手段512が、ファイル識別情報管理サーバ51に、適否判断を問い合わせる(C2−9)。
ファイル識別情報管理サーバ51は、問い合わせがあると、適否判断手段500は、ファイル管理情報記憶手段502のファイル管理情報データベース505を参照し(図3)、問合せのあったファイルID32の重要度を導き出す。この際、ファイルID32は、F0002であり、重要度が2で1よりも大きいことから、適否判断手段500は、通過不適の判断をする(C2−10)。
【0071】
適否判断手段500による判断結果は、ファイル識別情報管理サーバ51により、状態管理サーバ51に送られる。状態管理サーバ51の判断問合せ手段512が判断結果を受信すると、状態管理サーバ51の判断問合せ手段512が、状態管理データベース515の機器ID10a(機器ID=D0006)に対応する判断結果に、通過不適を書き込んで、判断結果を記憶させる(C2−12,図8(a))。
【0072】
この状態でユーザUが、端末4aからログアウトし、社屋7から退出するために出入口25を通過しようとする。この際、ゲート2に設けられた読取手段20が、ICタグ1aの機器ID10aを読み取る(C2−15)。
読取手段20の機器ID10aの読み取りがあると(C2−16)、入退管理サーバ52の判断結果問合せ手段521が、状態管理サーバ51に、読取手段20で読み取られた機器ID10aに対応する判断結果を問い合わせる(C2−17)。
【0073】
状態管理サーバ51は、判断結果問合せ手段521からの問合せがあると、状態管理データベース515を検索し、読み取られた機器ID10aに対応する判断結果を入退管理サーバ52に返信する(C2−19)
そして、入退管理サーバ52が判断結果を受信すると、ゲート動作制御手段520がこの判断結果を参照する。この際、機器ID10a(機器ID=D0006)の判断結果は、通過不適であるので、ゲート2に阻止動作をさせる(C2−20,図8(a))。
ゲート2は、阻止動作させられると、扉が閉になる(C2−21)。そのため、ユーザUは、ゲート2に出入口25の通過を阻止されて、社屋7から退出ができないこととなる(C2−22)。
【0074】
次に、この状態で、ユーザUが部屋から退出するときには、ユーザUは以下のような操作を行う。
ユーザUは、上記と同様に端末4aにログインし(C2−23)、ファイル31の削除操作がされ(C2−24)、端末側記憶手段41からファイル31のコピーデータを削除する(C2−25)。
この際、クライアントエージェント45の削除情報送信手段43は、端末側記憶手段41からファイル31のコピーデータが削除されたことを検知し(C2−26)、端末4aの固有情報記憶手段に記憶された固有情報を含む削除情報を、状態管理サーバ51に送信する(C2−27)。
【0075】
状態管理サーバ51が削除情報を受信すると、判断結果更新手段511は、状態管理データベース515の機器ID10a(機器ID=D0006)に対応する判断結果を通過適正に更新する(C2−28,図8(b))。
この状態でユーザUが、端末4aからログアウトし(C2−29)、社屋7から退出するために出入口25を通過しようとすると(C2−30)、読取手段20がICタグ1aの機器ID10aを読み取る(S−31)。
【0076】
読取手段20の機器ID10aの読み取りがあると(C2−32)、入退管理サーバ52の判断結果問合せ手段521が、状態管理サーバ51の判断結果記憶手段510に、読取手段20で読み取られた機器ID10aに対応する判断結果を問い合わせる(C2−33)。
状態管理サーバ51は、判断結果問合せ手段521からの問合せがあると、判断結果記憶手段510に記憶された状態管理データベース515(図8(b))を検索し、読み取られた機器ID10aに対応する判断結果を入退管理サーバ52に返信する(C2−34)。
【0077】
そして、入退管理サーバ52が判断結果を受信すると、ゲート動作制御手段520がこの判断結果を参照する。この際、機器ID10a(機器ID=D0006)の判断結果は、通過適正であるので、ゲート2に許容動作をさせる(C2−35)。
ゲート2は、許容動作させられると、扉が開になる(C2−36)。そのため、ユーザUは、ゲート2に出入口25の通過を許容されて、社屋7から退出できる(C2−37)。
【0078】
以上説明したように、本実施形態に係る情報漏えい防止システムS2によれば、ゲート動作制御手段520が、ICタグ1aの機器ID10aが読み取られたときに、ゲート2に阻止動作させられる。そのため、ICタグ1aが端末4aに付設されているので、重要度の高いファイル31がダウンロードされて、端末側記憶手段41にファイル31が記憶されている状態では、端末4aが社屋7の外部に持ち出そうとするすべての人の通過を阻止できる。
これにより、ファイル31を閲覧したユーザU以外のものが、端末4aを持ち出すときであっても、これを阻止できるので、情報漏えい防止性能を向上させることができる
【0079】
[第三実施形態]
次に、本発明に係る第三実施形態の情報漏えい防止システムについて説明する。
図10には、本実施形態の情報漏えい防止システムS3を示している。
本実施形態の情報漏えい防止システムS1は、社屋7の内部に、別のゲート2aが出入口25aに設けられる部屋7aが設けられている。
また、上記実施形態のネットワーク90〜94は、互いに接続されてなるネットワーク9で構成されている。本実施形態では、ネットワーク9は、その構造が、バス型になっている。
部屋7aの入室及び退室時には、ゲート2の読取手段20でIDカード1を読み取るようにする。そして、例えば、重要度が3のファイル31は、部屋7aの内部の端末4でしか閲覧できないようにする。
また、入退管理サーバ52は、特定の権限を持つものしか部屋7aに入室できないように制限する。
【0080】
また、状態管理サーバ51の判断結果記憶手段510は、例えば、図11に示す判断結果データベース515bを記憶している。判断結果データベース515bは、ゲート2と、ゲート2aの判断結果を個別に記憶している。
ゲート動作制御手段は、ゲート2又はゲート2aにおいて、読取手段20の読み取りがあったときに、それぞれの判断結果を参照して、ゲート2,2aの阻止動作又は許容動作を行わせている。
なお、符号8は、ファイルサーバの設置室である。
従って、その他の構成部分は、第一実施形態と同様となっており、同様の構成部分については、図9中で第一実施形態と同一符号を付し、詳細な説明は省略する。
【0081】
この構成からなる情報漏えい防止システムS1は、部屋7aの中でしか、重要度の高いファイル31を閲覧できないようにしたので、情報漏えい防止性能を向上することができる。
【0082】
以上、本発明の情報漏えい防止システム及び情報漏えい防止方法について、好ましい実施形態を示して説明したが、本発明に係る装置は、上述した実施形態にのみ限定されるものではなく、本発明の範囲で種々の変更実施が可能であることは言うまでもない。
例えば、第一及び第二の実施形態の情報漏えい防止システムを組み合わせて、ゲートに設けた読取手段が、IDカードとICタグの両方を読み取るようにしてよい。この場合、情報漏えい防止システムは、ユーザIDと機器IDの両方で、ユーザが出入口を通過できるか否かをチェックできるので、より一層情報漏えい防止性能が向上する。
【0083】
ゲートの阻止動作及び許容動作は、ゲートに設けた扉又は警報装置により行ったが、これに限定されるものでなく、例えば、ゲートの近くにいる係員に、イヤホンやランプなどにより、出入口を通過する人に阻止するよう促す装置などであってもよい。
また、IDカードは、例えば、固有情報などが書き込まれた磁気テープを備えたものであってもよい。
また、判断結果更新手段による、判断結果データベースの更新は、固有情報に対応する判断結果を、通過不適から通過適正にして行ったが、これに限定されるものでなく、固有情報に対応する判断結果(いわゆる、エントリ)を判断結果データベース上から削除するようにしてよい。この場合、ゲート動作制御手段は、エントリが無いときに判断結果が適正であると認識する。
【産業上の利用可能性】
【0084】
本発明は、例えば、企業や行政官庁などで働く複数の特定の人に対して、サーバで管理されたファイルを端末(クライアント)で閲覧させるためのサーバクライアントシステムであって、特に、サーバが、顧客情報などが書き込まれているような部外者に秘匿しなければならないファイルを管理しているサーバクライアントシステムに、好適に利用することができる。
【図面の簡単な説明】
【0085】
【図1】本発明の第一実施形態に係る情報漏えい防止システムを示す機能ブロック図である。
【図2】本発明の第一実施形態に係る情報漏えい防止システムを示す概要図である。
【図3】本発明の第一実施形態に係る情報漏えい防止システムのファイル管理情報データベースを示す図である。
【図4】本発明の第一実施形態に係る情報漏えい防止システムの判断結果データベースを示す図である。
【図5】本発明の第一実施形態に係る情報漏えい防止システムの作用を示すチャート図である。
【図6】本発明の第二実施形態に係る情報漏えい防止システムを示す機能ブロック図である。
【図7】本発明の第二実施形態に係る情報漏えい防止システムを示す概要図である。
【図8】本発明の第二実施形態に係る情報漏えい防止システムの判断結果データベースを示す図である。
【図9】本発明の第一実施形態に係る情報漏えい防止システムの作用を示すチャート図である。
【図10】本発明の第三実施形態に係る情報漏えい防止システムを示す概要図である。
【図11】本発明の第三実施形態に係る情報漏えい防止システムの判断結果データベースを示す図である。
【符号の説明】
【0086】
S1,S2,S3 情報漏えい防止システム
1 IDカード(固有情報記憶媒体)
1a ICタグ(固有情報記憶媒体)
2 入退ゲート
20,21 読取手段
25,25a 出入口
3 ファイルサーバ
30 ファイル記憶手段
31 ファイル
32 ファイルID(ファイル識別情報)
4 端末
41 端末側記憶手段
42 ダウンロード情報送信手段
43 削除情報送信手段
44 認証手段
45 クライアントエージェント
5 ゲート制御部
50 ファイル識別情報管理サーバ
500 適否判断手段
501 ファイル識別情報管理手段
502 ファイル管理情報記憶手段
505 ファイル管理情報データベース
51 状態管理サーバ
510 判断結果記憶手段
511 判断結果更新手段
512 判断問合せ手段
515,515a,515b 判断結果データベース
52 入退管理サーバ
520 ゲート動作制御手段
521 判断結果問合せ手段
7 社屋(空間)
7a 部屋(空間)
9,90〜94 ネットワーク
【技術分野】
【0001】
本発明は、例えば、ファイルサーバに書き込まれた重要度の高い機密情報などのファイルの情報漏えいを防ぐ情報漏えい防止システム及び情報漏えい防止方法に関する。
【背景技術】
【0002】
一般に、電子データ化されたファイルは、文書管理サーバなど、いわゆるファイルサーバに格納されている。
従来、このようなファイルサーバに格納されたファイルの情報漏えいを防止する情報漏えい防止システムとしては、例えば、特許文献1に記載された技術が知られている。
この特許文献1の技術は、各利用者に対し、読み出し可や書き込み可などのアクセス権の設定により、そのアクセスを制御して行うものである。そして、各権限が与えられた利用者のみが、端末を用いてファイルサーバへアクセスしファイルサーバのファイルを閲覧したり、書き込みしたりできるようにしている。
【0003】
ところで、このような情報漏えい防止は、ファイルを閲覧するときに、一時的に端末にファイルがダウンロードされる。そして、ファイルの種類やそれを表示するアプリケーションによっては、端末上にファイルが保存される可能性もある。
ファイルが端末に保存された状態で、例えば、端末自体の盗難などが生じると、端末に保存されたファイルの情報が外部に漏えいするおそれがあった。
【0004】
従来、この種の問題の解決のための情報漏えい防止技術としては、特許文献2及び3に記載のものが知られている。
この特許文献2及び3には、端末のある機密セクションの出入口に、出入口を通過する人を許容又は阻止するゲートを設け、このゲートでIDカードなどにより認証を行い、機密セクションへは不適正な利用者の侵入を防止する技術の記載がある。
また、特許文献3には、機密セクションの内側に、重要度に応じた別の機密セクションを設け、重要度に応じた機密セクション以外の機密セクションではファイルサーバのファイルにアクセスできないようにする技術が記載されている。
【0005】
【特許文献1】特開平02−216561号公報
【特許文献2】特開平11−259712号公報
【特許文献3】特開2006−163715号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、このような上記の情報漏えい対策の技術は、閲覧可能なアクセス権を保有するとともに機密セクションの出入も可能である利用者が、悪意や作業ミスによりファイルの情報が漏えいしてしまうおそれがあった。
詳しくは、適正な利用者が、重要度の高いファイルの閲覧をして、ファイルが端末に一時的であっても保存された状態で、端末自体を持って機密セクションの外部に出るときに、適正な利用者であり、ゲートが利用者を阻止できないので、機密セクションの外部に端末を持ち出すことができてしまう。そのため、機密セクションの外部は、端末の紛失及び盗難が生じる可能性が機密セクションの内部よりも大きいので、端末の紛失及び盗難されると、情報漏えいしてしまうおそれがある。
【0007】
また、この場合、端末の紛失及び盗難がなくても、端末がノートパソコンのように機密セクションの内外に持ち運びができるもので、適正な利用者が、例えば、端末を自宅からインターネットなどに機密セクションの外部のネットワーク環境を介して接続してしまうと、機密セクションの外部はセキュリティが十分でない場合があるので、ファイルの情報漏えいが生じるおそれもあった。
【0008】
本発明は、以上のような従来の技術が有する問題を解決するために提案されたものであり、重要なファイルが端末に保存されたときに、その端末の利用者や端末自体が空間の外部に出られないようにして、情報漏えい防止性能を向上させた情報漏えい防止システム及び情報漏えい防止方法の提供を目的とする。
【課題を解決するための手段】
【0009】
上記目的を達成するため、本発明の情報漏えい防止システムは、ファイルが記憶されるファイル記憶手段を有したファイルサーバを備え、前記ファイル記憶手段に記憶されたファイルの漏えいを防止する情報漏えい防止システムであって、固有情報が記憶される固有情報記憶媒体と、空間の出入口に設けられ該出入口を前記固有情報記憶媒体とともに通過しようとする人に対し通過の許容動作又は阻止動作をするゲートと、前記空間の内側から前記ファイル記憶手段のファイルをダウンロード可能な端末と、前記固有情報記憶媒体の固有情報を読み取り該固有情報に基づいて前記ゲートの動作を制御するゲート制御部と、を備え、前記端末が、前記ファイルサーバからダウンロードしたファイルを記憶可能な端末側記憶手段と、前記端末側記憶手段に前記ファイルサーバからのファイルが記憶されたときに、前記固有情報及び前記ダウンロードされたファイルのファイル識別情報を含むダウンロード情報を前記ゲート制御部に送信するダウンロード情報送信手段と、を備え、前記ゲート制御部が、前記ダウンロード情報を受信したときに、該ダウンロード情報に係るファイルの重要度に応じて通過適正又は通過不適の判断結果を出力する適否判断手段と、前記適否判断手段の判断結果を、前記固有情報と関連付けて記憶する判断結果記憶手段と、前記固有情報の読み取られた時、該固有情報に対応する前記判断結果記憶手段の判断結果が通過不適のときに前記ゲートに阻止動作させるゲート動作制御手段と、を備えている。
【0010】
この情報漏えい防止システムにおいては、人が、所定の空間に入ってファイルサーバのファイル記憶手段に記憶されているファイルをダウンロードすると、端末の端末側記憶手段にファイルが記憶される。人は、このファイルを、例えば、画面に表示して閲覧する。
ここで、空間は、例えば、機密セクションなどとも言われ、ビルなどの建物、建物の居室などの場所である。この空間は、出入口以外からの出入が通常できない場所である。
この際、ダウンロード情報送信手段が、端末側記憶手段にファイルが記憶されたときに、ダウンロード情報を作成し、ゲート制御部に送る。
ゲート制御部がダウンロード情報を受信すると、適否判断手段は、ファイルの重要度に応じて通過不適の判断をする。次に、この判断結果は、判断結果記憶手段にダウンロード情報に係る固有情報と関連付けられて記憶される。
【0011】
この状態で人が、出入口を通過して空間から出ようとすると、まず、固有情報記憶媒体の固有情報が読み取られる。ゲート動作制御手段は、判断結果記憶手段に記憶された読み取られた固有情報に対応する判断結果を参照して、判断結果が通過不適のときに、ゲートに阻止動作をさせる。
そのため、重要度の高いファイルがダウンロードされて端末側記憶手段にファイルが記憶されている状態において、ゲート制御手段によって、ゲートに阻止動作を行わせることができる。
【0012】
また、端末側記憶手段に重要度の高いファイルが記憶されている状態では、ダウンロード操作をした人やファイルが記憶された端末を持った人などが、ゲートで阻止されるので、部屋の外部に端末が持ち出されてしまうような、情報が漏えいの危険性が低減される。
これにより、情報漏えい防止システムは、端末側記憶手段に記憶されたファイルが漏えいする事態を防止でき、情報漏えい防止性能を向上させることができる。
そして、人には、例えば、端末側記憶手段のファイルを削除し、判断結果記憶手段の判断結果を書き換えるなどしてから空間の外部に退出させるようにする。
これにより、情報漏えい防止性能を向上できる。
【0013】
また、前記端末が、前記端末側記憶手段に記憶された前記ファイルサーバからのファイルの削除があったときに、前記ダウンロードされたファイルの削除情報を前記ゲート制御部に送信する削除情報送信手段を備え、前記ゲート制御部が、前記削除情報を受信したときに該削除情報に対応する前記判断結果記憶手段に記憶された判断結果を通過適正にする判断結果更新手段と、を備えることが好ましい。
【0014】
このような構成からなる情報漏えい防止システムは、例えば、人の操作により、端末の端末側記憶手段からファイルを削除すると、削除情報送信手段が削除情報を送信する。削除情報を受信すると、判断結果更新手段は、判断結果記憶手段に記憶された判断結果を通過不適から通過適正に更新する。
この場合、人が出入口を通過しようとすると、判断結果が通過適正なので、ゲートが許容動作をする。そのため、人が出入口を通過できる。
これにより、端末から重要度の高いファイルが削除すると、特別な操作をすることなく、人の空間から退出を可能にできる。
【0015】
また、人が端末を持ち出した後、空間の外部で端末の紛失や盗難されても、端末側記憶手段には、重要度の高いファイルが保存されていないので、情報漏えいする事態を防止でき、情報漏えい防止性能を向上できる。
また、空間の外部において、端末を、セキュリティが十分でない、例えば、インターネットなどのネットワークにつないでも、端末側記憶手段には、重要度の高いファイルが保存されていないので、情報漏えいすることを防止できる。
【0016】
また、前記ゲート制御部が、前記ファイルサーバに接続されるファイル識別情報管理サーバと、前記端末及び前記ファイル識別情報管理サーバに接続される状態管理サーバと、前記状態管理サーバに接続される入退管理サーバとを備え、前記ファイル識別情報管理サーバが、前記適否判断手段を備え前期状態管理サーバが、前記ダウンロード情報を受信したときに前記ファイル識別情報管理サーバの適否判断手段に前記ゲートの通過の適否を問い合わせる判断問合せ手段と、前記判断結果記憶手段と、前記判断結果更新手段とを備え、前記入退管理サーバが、前記固有情報が読み取られたときに前記状態管理サーバの判断結果記憶手段に判断結果を問い合わせる判断結果問合せ手段と、前記ゲート動作制御手段とを備えることが好ましい。
【0017】
ゲート制御部が、ファイル識別情報管理サーバと、状態管理サーバと、入退管理サーバとからなるので、特に、複数階あるビルであって、上位の階の居室に端末が設置される場合のように、空間の出入口と、端末のある位置が離れているときに、既存のネットワークを用いることができ、設置コストを低減できる。
【0018】
また、前記適否判断手段が、前記ファイルサーバに記憶されたファイルにファイル識別情報を付与するファイル識別情報管理手段と、前記ファイル識別情報が前記ファイル識別情報に対応するファイルの重要度と関連付けられて記憶されるファイル管理情報記憶手段とを備えることが好ましい。
このような構成の情報漏えい防止システムは、適否判断手段が、ファイル識別情報管理手段と、ファイル管理情報記憶手段とを備えるので、適否判断手段の適否判断は、ファイル管理情報記憶手段に記憶されたファイルの重要度を参照するだけで、容易に導き出すことができる。
【0019】
また、前記固有情報記憶媒体が、IDカードからなり、前記端末が、前記固有情報の入力によりファイルサーバと通信可能となる認証手段を備え、前記ダウンロード情報送信手段が、認証時に入力された固有情報を含むダウンロード情報を送信することが好ましい。
また、固有情報記憶媒体が、IDカードからなり、ダウンロード情報送信手段が、認証時に入力された固有情報を含むダウンロード情報を送信するので、端末の端末側記憶手段にファイルが記憶された状態で、空間内に端末を残して人が空間の外部に出ようとしても、この人が出入口の通過を阻止される。
そのため、例えば、人に、端末側記憶手段のファイルの削除を促すことができる。
これにより、空間から退出したあとに、悪意のある他の人が、端末内に残ったデータを取り出されてしまう事態も防止できる。
【0020】
また、前記固有情報記憶媒体が、前記端末に付帯させられるICタグからなり、前記端末が、前記固有情報が予め記憶される固有情報記憶手段を備え、前記ダウンロード情報送信手段が、前記固有情報記憶手段の固有情報を含むダウンロード情報を送信することが好ましい。
【0021】
このような構成の情報漏えい防止システムによれば、ゲート動作制御手段と、ICタグの固有情報が読み取られたときに、ゲートに阻止動作させる。
そのため、ICタグが端末に付設されているので、重要度の高いファイルがダウンロードされて、端末側記憶手段にファイルが記憶されている状態では、端末が社屋の外部に持ち出そうとするすべての人の通過を阻止できる。
これにより、ファイルを閲覧した人以外のものが、端末を持ち出すときであっても、これを阻止できるので、情報漏えい防止性能を向上させることができる。
【0022】
上記目的を達成するため、本発明の情報漏えい防止方法は、ファイルサーバのファイル記憶手段に記憶されたファイルの漏えいを防止する情報漏えい防止方法であって、空間内で前記ファイル記憶手段に記憶されたファイルを端末の端末側記憶手段に記憶させたときに、固有情報記憶媒体の固有情報及び前記ダウンロードされたファイルのファイル識別情報を含むダウンロード情報を送信し、前記ダウンロード情報を受信して、該ダウンロード情報に係るファイルの重要度に応じて前記空間の出入口の通過不適の判断結果を出力し、当該判断結果を判断結果記憶手段に記憶し、通過不適の判断結果に対応する固有情報を記憶した前記固有情報記憶媒体をもつ人が出入口を通過するときに、該人の通過を阻止する構成としている。
【0023】
このような構成からなる情報漏えい防止方法によれば、重要度の高いファイルをダウンロードし、端末側記憶手段が、これを記憶している状態では、人の出入口の通過が阻止される。
また、端末にファイルをダウンロードした人が、出入口の通過を阻止されるので、端末側記憶手段に重要度の高いファイルが記憶されている端末が、部屋の外部に持ち出される事態などが防止される。
【0024】
これにより、情報漏えい防止システムは、端末側記憶手段に記憶されたファイルが漏えいする事態を防止でき、情報漏えい防止性能を向上させることができる。
そして、人には、例えば、端末側記憶手段のファイルを削除し、判断結果記憶手段の判断結果を書き換えるなどしてから空間の外部に退出させるようにする。
これにより、情報漏えい防止性能を向上できる。
【0025】
また、前記端末側記憶手段から前記ファイルの削除があったときに、前記判断結果記憶手段に記憶された通過不適の判断結果を通過適正に更新することが好ましい。
これにより、端末から重要度の高いファイルが削除すると、人の空間から退出を可能にできる。
また、人が端末を持ち出した後、空間の外部で端末の紛失や盗難されても、端末側記憶手段には、重要度の高いファイルが保存されていないので、情報漏えいする事態を防止でき、情報漏えい防止性能を向上できる。
また、空間の外部において、端末を、セキュリティが十分でない、例えば、インターネットなどのネットワークにつないでも、端末側記憶手段には、重要度の高いファイルが保存されていないので、情報漏えいすることを防止できる。
【発明の効果】
【0026】
以上のように、本発明の情報漏えい防止システム及び情報漏えい防止方法によれば、ファイルが記憶されている状態を端末のダウンロード情報送信手段で検知し、このファイルの重要度が高いときに適否判断手段が通過不適を判断し、通過不適判断結果のときにゲート制御手段がゲートに阻止動作を行わせることができる。
そのため、端末側記憶手段に重要度の高いファイルが記憶されている状態では、ダウンロード操作をした人が、ゲートで阻止されるので、部屋の外部への端末の持ち出しなど、情報漏えいの危険性が低減される。
これにより、情報漏えい防止システムは、端末側記憶手段に記憶されたファイルが漏えいする事態を防止でき、情報漏えい防止性能を向上させることができる。
【発明を実施するための最良の形態】
【0027】
以下、本発明に係る情報漏えい防止システム及び情報漏えい防止方法の好ましい実施形態について、説明する。なお、本発明の実施形態にかかる情報漏えい防止方法は、情報漏えい防止システムを用いて実現されている。
【0028】
[第一実施形態]
図1及び図2に示すように、本発明の第一実施形態の情報漏えい防止システムS1は、例えば、企業などに設置されている。
この情報漏えい防止システムS1は、ファイル31が記憶されるファイル記憶手段30を有したファイルサーバ3と、固有情報が記憶される固有情報記憶媒体と、空間の出入口25に設けられ出入口25を固有情報記憶媒体とともに通過しようとする人に対し、通過の許容動作又は阻止動作をするゲート2と、空間の内側からファイル記憶手段30のファイル31をダウンロード可能な端末4と、固有情報記憶媒体の固有情報を読み取り、固有情報に基づいてゲート2に許容動作又は阻止動作を行なわせるゲート制御部5と、を備えてなる。
そして、ファイル記憶手段30に記憶されたファイル31の漏えいを防止している。
【0029】
ファイルサーバ3は、例えば、LAN(ローカルエリアネットワーク)などのネットワーク90に接続され、このネットワーク90を介して端末4と接続可能になっている。
また、ファイルサーバ3は、空間(7)の内部に設けられている。空間(7)は、例えば、会社の社屋、社屋内の部屋などからなり、出入口25以外からの出入りは通常できなくなっている。本実施形態では、空間は、会社の社屋7である。
さらに、ファイルサーバ3は、サーバの管理者以外のものの持ち出しができないように、強固に施錠されたファイルサーバ設置室(図示せず)に設置されている。
【0030】
また、ファイルサーバ3のファイル記憶手段30に記憶される各ファイル31は、ファイルサーバ3に接続された端末4から閲覧、書き込みなどの操作がなされる。また、ファイル31には、一意性が保障されたファイルID32(ファイル識別情報)が付与されている。
【0031】
ファイル記憶手段30には、重要度の高いファイル31が格納されている。重要度の高いファイル31は、機密情報などが記録された電子ファイル31である。
また、各ファイル31には、アクセス権が設定されている。アクセス権は、例えば、端末4にログインするユーザUごとに、閲覧可、不可、及び、書き込み可、不可などの項目のそれぞれの設定がなされている。
このアクセス権は、サーバの管理者などがファイルサーバ3を操作することにより、ユーザUの権限に従った管理がなされる。
【0032】
固有情報記憶媒体は、非接触ICカード、磁気テープが付帯させられる磁気テープカードなどで実現されている。本実施形態では、固有情報記憶媒体は、非接触ICカードからなる、社員用のIDカード1であり、記憶される固有情報は、ユーザID10である。
【0033】
ゲート2は、出入口25を開閉する扉を備えている。そして、ゲート2は、人の通過を許容するときに扉を開く許容動作と、人の通過を阻止するときに扉を閉じる阻止動作のいずれかを行っている。
【0034】
また、端末4は、ユーザUにより使用されるときに、ユーザUのIDカード1に書き込まれた固有情報の入力及び、入力されたユーザID10が正しいか否かを判断し、正しいときに端末4を使用できるようにする認証手段44が備えられている。
認証手段44は、ユーザID10とともに入力されたパスワードを、ネットワーク90上に設けられたドメインサーバ(図示せず)に問合せて、入力されたユーザID10がネットワーク90にアクセスできるか否かにより認証を行うことが好ましい。
本実施形態の端末4は、ノートパソコンであり、ユーザUが社屋7の内外に持ち運びできるようになっている。また、この端末4には、例えば、マイクロソフトコーポレーション製、Windows(登録商標)のような、GUIタイプのオペレーティングシステムを備える汎用のパーソナルコンピュータを用いている。このような端末4は、ファイルサーバ3の文書ファイル31を参照するとき、ファイル31が自動的に端末4にダウンロードされて、端末4の画面に表示される。
【0035】
また、端末4は、ファイルサーバ3からダウンロードしたファイル31を記憶可能な端末側記憶手段41と、端末側記憶手段41にファイルサーバ3からのファイル31が記憶されたときに、固有情報記憶媒体(IDカード1)の固有情報(ユーザID10)及びダウンロードされたファイル31にかかるファイルID32を含むダウンロード情報をゲート制御部5に送信するダウンロード情報送信手段42と、端末側記憶手段41に記憶されたファイルサーバ3からのファイル31の削除があったときに、固有情報(ユーザID10)を含む削除情報をゲート制御部5に送信する削除情報送信手段43を備えてなる。
端末4は、ネットワーク9を介してファイルサーバ3及びゲート制御部5に接続可能である。
【0036】
端末側記憶手段41は、例えば、ハードディスクドライブなどの記憶装置の記憶容量の一部分で構成され、一時的に保存される部分からなる。
ダウンロード情報送信手段42は、ネットワーク9を介して、ファイルサーバ3からファイル31のダウンロードが完了したあとに、このファイル31に係るダウンロード情報を送信している。
ダウンロード情報は、認証手段44での認証のときに入力されたユーザID10と、ファイルID32とを含んでなる。
削除情報は、認証手段44での認証のときに入力されたユーザID10を含んでなる。
なお、本実施形態においては、削除情報送信手段43は、端末側記憶手段41に記憶されたファイルサーバ3からのファイル31が全て削除されたときに削除情報を送信している。
【0037】
具体的には、ダウンロード情報送信手段42及び削除情報送信手段43は、端末4で実行されるクライアントエージェント45(ソフトウェア)で実現されている。
ダウンロード情報送信手段42は、端末4に重要ファイル31がダウンロードされたことを検知する機能を備えている。この検知があると、ファイル31に付与されたファイルID32、ユーザUに割り当てられたIDカード1のユーザID10を含むダウンロード情報を送信する。
また、削除情報送信手段43は、端末側記憶手段41から重要度の高いファイル31が削除されたときに、このファイルの削除があったことを検知する機能を備えている。この検知があると、ユーザUに割り当てられたIDカード1のユーザID10を含む削除情報を送信する。
また、ダウンロード情報送信手段42及び削除情報送信手段43は、後述の状態管理サーバ51にダウンロード情報及び削除情報を送信している。
なお、望ましくは、ダウンロード情報送信手段42は、端末側記憶手段41から復旧できないように情報が完全に削除された状態を検知する。
【0038】
ゲート制御部5は、ファイル識別情報管理サーバ51、状態管理サーバ51、及び、入退管理サーバ52からなる。
また、ゲート制御部5は、ゲート2に付設され、カード内のID情報を読み取る読取手段20を備えている。読取手段20は、既存のものでもよい。本実施形態では、読取手段20は、例えば、電磁界や電波を用いて、IDカード1のユーザID10を読み取る。
【0039】
ファイル識別情報管理サーバ51は、少なくともネットワーク91を介し、ファイルサーバ3及び状態管理サーバ51と通信可能に接続されている。
また、ファイル識別情報管理サーバ51は、ダウンロード情報を受信したときに、ダウンロード情報に係るファイル31の重要度に応じて通過不適の判断結果を出力する適否判断手段500を備えている。
適否判断手段500は、ファイルサーバ3に記憶されたファイル31にファイルID32を付与するファイル識別情報管理手段501と、ファイルID32がそのファイルID32に対応するファイル31の重要度と関連付けられて記憶されるファイル管理情報記憶手段502とを備えている。
【0040】
ファイル識別情報管理手段501は、ファイルID32を管理する機能を有し、ファイルサーバ3のファイル記憶手段30にファイル31が新規に書き込まれたときに、ファイルID32を付与するなどの機能を備えている。
【0041】
また、ファイル管理情報記憶手段502には、例えば、図3に示すように、ファイルID32と、ファイル31の重要度とからなるデータテーブルであって、ファイルID32とファイル31の重要度が関連付けられてなるファイル管理情報データベース505が保存されている。
そして、適否判断手段500は、ファイル管理情報記憶手段502のデータベース505を参照し、ダウンロード情報のファイルID32から、このファイルID32が付与されたファイル31の重要度を導き出す。そして、ファイル31の重要度が、所定の値よりも高いときに、出入口25の通過不適の判断をする。また、ファイル31の重要度が、所定の値よりも低いときは通過適正の判断をする。本実施形態では、重要度が1以上であるときに、通過不適の判断をする。
【0042】
状態管理サーバ51は、ネットワーク92を介しファイル識別情報管理サーバ51に通信可能に接続されている。また、状態管理サーバ51は、ネットワーク93を介して端末4と通信可能に接続されており、端末4からダウンロード情報及び削除情報を受信可能になっている。
【0043】
また、状態管理サーバ51は、ダウンロード情報を受信したときにファイル識別情報管理サーバ51の適否判断手段500にゲート2の通過の適否を問い合わせる判断問合せ手段512と、適否判断手段500の判断結果を記憶する判断結果記憶手段510と、削除情報を受信したときに削除情報に対応する判断結果記憶手段510に記憶された判断結果を通過適正にする判断結果更新手段511とを備えている。
【0044】
判断問合せ手段512は、このダウンロード情報のファイルID32を含むデータを、ファイル識別情報管理サーバ51の適否判断手段500に問い合わせて、判断結果を受信している。
判断問合せ手段512が受信した判断結果は、判断結果記憶手段510に記憶させられる。
判断結果記憶手段510は、具体的には、状態管理データベース515を記憶している。状態管理データベース515は、例えば、図4に示すように、ユーザUがゲート2を通ることができるかどうかを管理するテーブルであって、ユーザUのユーザID10と、ユーザID10ごとの出入口25の通過に係る判断結果とが関連付けられて判断結果記憶手段510に記憶されている。
判断結果更新手段511は、端末4からの削除情報を受信すると、削除情報にかかるユーザID10に対応する判断結果記憶手段510に記憶された状態管理データベース515の判断結果を、通過不適から通過適正に更新する。
なお、本実施形態では、ダウンロードされた重要度の高いファイル31が、全て削除されたときに削除情報を送信している。
【0045】
入退管理サーバ52は、ネットワーク94を介し、ファイル識別情報管理サーバ51に接続されている。
また、入退管理サーバ52は、IDカード1のユーザID10が読み取られたときに状態管理サーバ51の判断結果記憶手段510に判断結果を問い合わせる判断結果問合せ手段521と、適否判断手段500の通過不適の判断結果に対応するユーザID10が記憶されるIDカード1が読み取られたときに、ゲート2に阻止動作させるゲート動作制御手段520を備えている。
【0046】
入退管理サーバ52は、読取手段20でIDカード1のユーザID10が読み取られると、判断結果問合せ手段521が、状態管理サーバ51に判断結果を問い合わせる。そして、問合せの返信が状態管理サーバ51からあると、ゲート動作制御手段520は、IDカード1のユーザID10に対応する判断結果から、ゲート2に許容動作又は阻止動作を行わせている。
【0047】
次に、以上のような構成からなる本実施形態の情報漏えい防止システムS1の動作(作用)を、図5に示すチャートにしたがって説明する。なお、ここでは、仮に、ユーザID=U0006のユーザUが、ファイルID=F0002のファイルをダウンロードする場合を説明する。
【0048】
図1及び図2に示すように、ユーザUは、社屋7に入り、端末4をネットワーク90に接続し、この端末4にログインする(C1−1)。この際、ユーザUは、IDカード1のユーザID10やパスワードを端末4に入力する。端末4の認証手段44は、入力されたユーザID10などが正しいときにログインを認証する。そして、認証手段44は、クライアントエージェント45に、ユーザID10を送る(C1−2)。
【0049】
次に、ユーザUが端末4を操作し、ファイルサーバ3のファイル記憶手段30に記憶されている、例えば、ファイルID32が、F0002のファイル31を参照する操作を行う(C1−3)。端末4は、ユーザUの操作があると、ファイルサーバ3のファイル記憶手段30のファイル31をダウンロードしようとする(C1−4)。
この際、ファイルサーバ3は、ユーザUのIDカード1のユーザID10毎に設定された権限から、ファイル記憶手段30のファイル31のアクセスが可能かどうかを判断し、アクセス可能の判断をするときに、ダウンロードを開始する(C1−5)。
ダウンロードが終了すると、端末側記憶手段41に、ファイル31のコピーデータが記憶され、端末4の表示部の画面に表示される(C1−6)。そして、ユーザUは、画面に表示されたファイル31を閲覧する。
【0050】
この際、クライアントエージェント45のダウンロード情報送信手段42が、ダウンロードがなされて、端末側記憶手段41にファイル31のコピーデータがあることを検知する(C1−7)。
ダウンロード情報送信手段42は、検知したファイル31のファイルID32と、現在の端末4にログインしているユーザUのユーザID10から、ダウンロード情報(ユーザID:U0006,ファイルID:F0002)を作成し、これを状態管理サーバ51に送信する(C1−8)。
【0051】
ダウンロード情報を状態管理サーバ51が受信すると、状態管理サーバ51の判断問合せ手段512が、ファイル識別情報管理サーバ51に、適否判断を問い合わせる(C1−9)。
ファイル識別情報管理サーバ51は、問い合わせがあると、適否判断手段500は、ファイル管理情報記憶手段502のファイル管理情報データベース505(図3)を参照し、問合せのあったファイルID32の重要度を導き出す。この際、ファイルID32は、F0002であり、重要度が2で1よりも大きいことから、適否判断手段500は、通過不適の判断をする(C1−10)。
【0052】
適否判断手段500による判断結果は、ファイル識別情報管理サーバ51により、状態管理サーバ51に送られる。状態管理サーバ51が判断結果を受信すると、判断問合せ手段512が、状態管理データベース515(図5)のIDカード1のユーザID10に対応する判断結果に、通過不適を書き込んで、判断結果を記憶させる(C1−12)。
【0053】
この状態でユーザUが、端末4からログアウトし(C1−13)、社屋7から退出するためにゲート2に設けられた読取手段20にIDカード1をかざすと(C1−14)、これのユーザID10を読取手段20が読み取る(S−15)。
読取手段20のユーザID10の読み取りがあると(C1−16)、入退管理サーバ52の判断結果問合せ手段521が、状態管理サーバ51の判断結果記憶手段510に、読取手段20で読み取られたユーザID10に対応する判断結果を問い合わせる(C1−17)。
【0054】
状態管理サーバ51は、判断結果問合せ手段521からの問合せがあると、判断結果記憶手段510に記憶された状態管理データベース515(図5(a))を検索し、読み取られたユーザID10に対応する判断結果を入退管理サーバ52に返信する(C1−19)。
そして、入退管理サーバ52が判断結果を受信すると、ゲート動作制御手段520が判断結果を参照する。この際、ユーザID10(ユーザID=U0006)であり、判断結果が通過不適であるので、ゲート2に阻止動作をさせる(C1−20)。
ゲート2は、阻止動作させられると、扉が閉になる(C1−21)。そのため、ユーザUは、ゲート2に出入口25の通過を阻止されて、社屋7から退出ができないこととなる(C1−22)。
【0055】
次に、この状態で、ユーザUが部屋から退出するときには、ユーザUは以下のような操作を行う。
ユーザUは、再び、上記と同様に端末4にログインし(C1−23)、ファイル31の削除操作をする(C1−24)。ファイル31の削除操作がなされると、端末4は、端末側記憶手段41からファイル31のコピーデータを削除する(C1−25)。
このようにすると、クライアントエージェント45の削除情報送信手段43は、端末側記憶手段41からファイル31のコピーデータが削除されたことを検知する(C1−26)。
削除情報送信手段43は、端末4にログインしているユーザUのユーザID10(ユーザID=0006)を含む削除情報を、状態管理サーバ51に送信する(C1−27)。
【0056】
状態管理サーバ51が削除情報を受信すると、判断結果更新手段511は、判断結果記憶手段510に記憶された状態管理データベース515のユーザID10(ユーザID=0006)に対応する判断結果を通過適正に更新する(C1−28,図5(b))。
この状態でユーザUが、端末4からログアウトし(C1−29)、社屋7から退出するためにゲート2に設けられた読取手段20にIDカード1をかざすと(C1−30)、これのユーザID10(ユーザID=U0006)を読取手段20が読み取る(S−31)。
【0057】
読取手段20のユーザID10の読み取りがあると(C1−32)、入退管理サーバ52の判断結果問合せ手段521が、状態管理サーバ51に、読取手段20で読み取られたユーザID10に対応する判断結果を問い合わせる(C1−33)。
状態管理サーバ51は、判断結果問合せ手段521からの問合せがあると、判断結果記憶手段510に記憶された状態管理データベース515(図5(b))を検索し、読み取られたユーザID10に対応する判断結果を入退管理サーバ52に返信する(C1−34)。
【0058】
そして、入退管理サーバ52が、判断結果を受信すると、ゲート動作制御手段520を参照する。この際、ユーザID10(ユーザID=U0006)の判断結果は、通過適正であるので、ゲート2に許容動作をさせる(C1−35)。そのため、ゲート2は、扉が開になる(C1−36)。これにより、ユーザUは、ゲート2により出入口25の通過が許容されて、社屋7から退出できる(C1−37)。
【0059】
以上説明したように、本実施形態に係る情報漏えい防止システムS1によれば、端末4にダウンロード情報送信手段42を備え、ゲート制御部5に、適否判断手段500と、ゲート動作制御手段520と、を備えたので、重要度の高いファイル31がダウンロードされて端末側記憶手段41に記憶されている状態で、ユーザUが社屋7の出入口25を通過しようとすると、ゲート2制御手段がゲート2に阻止動作を行わせて、ユーザUの通過を阻止することができる。
【0060】
これにより、ユーザUが、端末側記憶手段41に重要度の高いファイル31が記憶されている状態で端末4であるノートパソコンを社屋7の外部へ持ち出されてしまう事態を防止できる。
また、ユーザUが、情報漏えいの可能性を認識していないようなときにも有効である。例えば、ユーザUが、ファイルサーバ3のファイル31の閲覧のために、一時的に、端末4にダウンロードされているような場合は、情報漏えいの可能性を認識しにくい。このような場合でも、ゲート2が阻止動作を行なうことで、ファイル31が端末側記憶手段41に記憶されていることを喚起できる。
これにより、ユーザUが日常的にファイル31の重要性を認識でき、また、ユーザUが日常的に情報漏えいの危機管理を行うことができるようになり、ユーザUの危機管理意識を向上できる。
また、ファイル31が端末4にダウンロードされた状態では、ゲート2で阻止されるので、社外への端末4の持ち出しをしにくくできる。そのため、情報漏えい防止性能を向上させることができる。
【0061】
また、端末側記憶手段41からファイル31が削除されると、判断結果更新手段511が、判断結果記憶手段510の判断結果を通過適正に更新する。
そのため、端末4から重要度の高いファイル31が削除されれば、社屋7から退出できる。
また、ユーザUが端末4を持ち出した後、社屋7の外部で端末4の紛失や盗難されても、端末側記憶手段41には、重要度の高いファイル31が保存されていないので、情報漏えいを防止でき、情報漏えい防止性能を向上できる。
【0062】
また、社屋7の外部であって、端末4をセキュリティが十分でない、インターネットなどのネットワーク(図示せず)につないでも、端末側記憶手段41には、重要度の高いファイル31が保存されていないので、情報漏えいすることを防止できる。
また、ユーザUの削除操作があるときまで、端末側記憶手段41にダウンロードされたファイル31を記憶させることもできる。この場合、閲覧のたびに、逐一ファイルサーバ3からダウンロードしなくてもよくなり、ネットワーク9のトラフィックを緩和できる。
【0063】
また、適否判断手段500が、ファイル識別情報管理手段501と、ファイル管理情報記憶手段502とを備えるので、適否判断手段500の適否判断は、ファイル管理情報記憶手段502に記憶されたファイル31の重要度を参照するだけで、容易に導き出すことができる。
ゲート制御部5が、ファイル識別情報管理サーバ51と、状態管理サーバ51と、入退管理サーバ52とからなるので、既存のネットワーク9を用いることもでき、情報漏えい防止システムの設置を容易に行うことができる。
【0064】
また、固有情報記憶媒体が、IDカード1からなり、ダウンロード情報送信手段42が、認証時に入力された固有情報を含むダウンロード情報を送信するので、端末4の端末側記憶手段41にファイル31が記憶された状態で、社屋7内に端末4を残して、ユーザUが社屋7の外部に出ようとしても、このユーザUが社屋7の外部にでる事態を防止できる。
そのため、例えば、ユーザUが空間から退出したあとに、正しいユーザでないものにより端末4内に残ったデータを取り出されてしまう事態も防止できる。
【0065】
[第二実施形態]
次に、本発明に係る第二実施形態の情報漏えい防止システムについて説明する。
図6及び図7には、本実施形態の情報漏えい防止システムS2を示している。
この情報漏えい防止システムS1は、第一実施形態の情報漏えい防止システムS1とは、IDカード1のユーザID10でユーザUの入退出制御する代わりに、クライアントの機器ID10aで機器の持ち出しを制御する点で異なる。
【0066】
詳しくは、端末4aが、固有情報が予め記憶される固有情報記憶手段を備えている。固有情報記憶手段に記憶される固有情報は、例えば、端末4aの製造番号などの機器ID10aが固有情報として記憶されている。
また、固有情報記憶媒体は、端末4aに付帯させられるICタグ1aからなる。ICタグ1aは、RFIDなどで構成されている。
また、読取手段20が、ICタグ1aの機器ID10aを読み取る構成としてある。
また、ゲート2は、扉の変わりに、警報装置(図示せず)が設けられており、ゲート動作制御手段520により阻止動作がなされるときに、警報装置がブザー音声を発する。
また、状態管理サーバ51の判断結果記憶手段510に記憶される状態管理データベース515は、状態管理データベース515は、例えば、図8に示すように、端末4aがゲート2を通過できるかどうかを管理するテーブルであって、固有情報である機器ID10aと、機器ID10aごとの出入口25の通過に係る判断結果とが関連付けられて判断結果記憶手段510に記憶されている。
従って、その他の構成部分は、第一実施形態と同様となっており、同様の構成部分については、図6及び図7中で第一実施形態と同一符号を付し、詳細な説明は省略する。
【0067】
次に、以上のような構成からなる本実施形態の情報漏えい防止システムS2の動作(作用)を、図9に示すチャートにしたがって説明する。
【0068】
図6及び図7に示すように、ユーザUは、社屋7に入り、端末4aをネットワーク9に接続し、この端末4aにログインする(C2−1)。
次に、ユーザUが端末4aを操作し、ファイルサーバ3のファイル記憶手段30に記憶されている、例えば、ファイルID32が、F0002のファイル31を参照する操作を行う(C2−3)。
端末4aは、ユーザUの操作があると、上記と同様にして、ファイルサーバ3のファイル記憶手段30のファイル31をダウンロードする(C2−4,C2−5,C2−6)。
そして、ユーザUは、画面に表示されたファイル31を閲覧する。
【0069】
また、クライアントエージェント45のダウンロード情報送信手段42が、ダウンロードを検知し(C2−7)、ダウンロード情報送信手段42は、検知したファイル31のファイルID32と現在の端末4aの機器ID10a(機器ID=D0006)を、固有情報記憶手段から読み出して、ダウンロード情報を作成し、これを状態管理サーバ51に送信する(C2−8)。
【0070】
ダウンロード情報を状態管理サーバ51が受信すると、状態管理サーバ51の判断問合せ手段512が、ファイル識別情報管理サーバ51に、適否判断を問い合わせる(C2−9)。
ファイル識別情報管理サーバ51は、問い合わせがあると、適否判断手段500は、ファイル管理情報記憶手段502のファイル管理情報データベース505を参照し(図3)、問合せのあったファイルID32の重要度を導き出す。この際、ファイルID32は、F0002であり、重要度が2で1よりも大きいことから、適否判断手段500は、通過不適の判断をする(C2−10)。
【0071】
適否判断手段500による判断結果は、ファイル識別情報管理サーバ51により、状態管理サーバ51に送られる。状態管理サーバ51の判断問合せ手段512が判断結果を受信すると、状態管理サーバ51の判断問合せ手段512が、状態管理データベース515の機器ID10a(機器ID=D0006)に対応する判断結果に、通過不適を書き込んで、判断結果を記憶させる(C2−12,図8(a))。
【0072】
この状態でユーザUが、端末4aからログアウトし、社屋7から退出するために出入口25を通過しようとする。この際、ゲート2に設けられた読取手段20が、ICタグ1aの機器ID10aを読み取る(C2−15)。
読取手段20の機器ID10aの読み取りがあると(C2−16)、入退管理サーバ52の判断結果問合せ手段521が、状態管理サーバ51に、読取手段20で読み取られた機器ID10aに対応する判断結果を問い合わせる(C2−17)。
【0073】
状態管理サーバ51は、判断結果問合せ手段521からの問合せがあると、状態管理データベース515を検索し、読み取られた機器ID10aに対応する判断結果を入退管理サーバ52に返信する(C2−19)
そして、入退管理サーバ52が判断結果を受信すると、ゲート動作制御手段520がこの判断結果を参照する。この際、機器ID10a(機器ID=D0006)の判断結果は、通過不適であるので、ゲート2に阻止動作をさせる(C2−20,図8(a))。
ゲート2は、阻止動作させられると、扉が閉になる(C2−21)。そのため、ユーザUは、ゲート2に出入口25の通過を阻止されて、社屋7から退出ができないこととなる(C2−22)。
【0074】
次に、この状態で、ユーザUが部屋から退出するときには、ユーザUは以下のような操作を行う。
ユーザUは、上記と同様に端末4aにログインし(C2−23)、ファイル31の削除操作がされ(C2−24)、端末側記憶手段41からファイル31のコピーデータを削除する(C2−25)。
この際、クライアントエージェント45の削除情報送信手段43は、端末側記憶手段41からファイル31のコピーデータが削除されたことを検知し(C2−26)、端末4aの固有情報記憶手段に記憶された固有情報を含む削除情報を、状態管理サーバ51に送信する(C2−27)。
【0075】
状態管理サーバ51が削除情報を受信すると、判断結果更新手段511は、状態管理データベース515の機器ID10a(機器ID=D0006)に対応する判断結果を通過適正に更新する(C2−28,図8(b))。
この状態でユーザUが、端末4aからログアウトし(C2−29)、社屋7から退出するために出入口25を通過しようとすると(C2−30)、読取手段20がICタグ1aの機器ID10aを読み取る(S−31)。
【0076】
読取手段20の機器ID10aの読み取りがあると(C2−32)、入退管理サーバ52の判断結果問合せ手段521が、状態管理サーバ51の判断結果記憶手段510に、読取手段20で読み取られた機器ID10aに対応する判断結果を問い合わせる(C2−33)。
状態管理サーバ51は、判断結果問合せ手段521からの問合せがあると、判断結果記憶手段510に記憶された状態管理データベース515(図8(b))を検索し、読み取られた機器ID10aに対応する判断結果を入退管理サーバ52に返信する(C2−34)。
【0077】
そして、入退管理サーバ52が判断結果を受信すると、ゲート動作制御手段520がこの判断結果を参照する。この際、機器ID10a(機器ID=D0006)の判断結果は、通過適正であるので、ゲート2に許容動作をさせる(C2−35)。
ゲート2は、許容動作させられると、扉が開になる(C2−36)。そのため、ユーザUは、ゲート2に出入口25の通過を許容されて、社屋7から退出できる(C2−37)。
【0078】
以上説明したように、本実施形態に係る情報漏えい防止システムS2によれば、ゲート動作制御手段520が、ICタグ1aの機器ID10aが読み取られたときに、ゲート2に阻止動作させられる。そのため、ICタグ1aが端末4aに付設されているので、重要度の高いファイル31がダウンロードされて、端末側記憶手段41にファイル31が記憶されている状態では、端末4aが社屋7の外部に持ち出そうとするすべての人の通過を阻止できる。
これにより、ファイル31を閲覧したユーザU以外のものが、端末4aを持ち出すときであっても、これを阻止できるので、情報漏えい防止性能を向上させることができる
【0079】
[第三実施形態]
次に、本発明に係る第三実施形態の情報漏えい防止システムについて説明する。
図10には、本実施形態の情報漏えい防止システムS3を示している。
本実施形態の情報漏えい防止システムS1は、社屋7の内部に、別のゲート2aが出入口25aに設けられる部屋7aが設けられている。
また、上記実施形態のネットワーク90〜94は、互いに接続されてなるネットワーク9で構成されている。本実施形態では、ネットワーク9は、その構造が、バス型になっている。
部屋7aの入室及び退室時には、ゲート2の読取手段20でIDカード1を読み取るようにする。そして、例えば、重要度が3のファイル31は、部屋7aの内部の端末4でしか閲覧できないようにする。
また、入退管理サーバ52は、特定の権限を持つものしか部屋7aに入室できないように制限する。
【0080】
また、状態管理サーバ51の判断結果記憶手段510は、例えば、図11に示す判断結果データベース515bを記憶している。判断結果データベース515bは、ゲート2と、ゲート2aの判断結果を個別に記憶している。
ゲート動作制御手段は、ゲート2又はゲート2aにおいて、読取手段20の読み取りがあったときに、それぞれの判断結果を参照して、ゲート2,2aの阻止動作又は許容動作を行わせている。
なお、符号8は、ファイルサーバの設置室である。
従って、その他の構成部分は、第一実施形態と同様となっており、同様の構成部分については、図9中で第一実施形態と同一符号を付し、詳細な説明は省略する。
【0081】
この構成からなる情報漏えい防止システムS1は、部屋7aの中でしか、重要度の高いファイル31を閲覧できないようにしたので、情報漏えい防止性能を向上することができる。
【0082】
以上、本発明の情報漏えい防止システム及び情報漏えい防止方法について、好ましい実施形態を示して説明したが、本発明に係る装置は、上述した実施形態にのみ限定されるものではなく、本発明の範囲で種々の変更実施が可能であることは言うまでもない。
例えば、第一及び第二の実施形態の情報漏えい防止システムを組み合わせて、ゲートに設けた読取手段が、IDカードとICタグの両方を読み取るようにしてよい。この場合、情報漏えい防止システムは、ユーザIDと機器IDの両方で、ユーザが出入口を通過できるか否かをチェックできるので、より一層情報漏えい防止性能が向上する。
【0083】
ゲートの阻止動作及び許容動作は、ゲートに設けた扉又は警報装置により行ったが、これに限定されるものでなく、例えば、ゲートの近くにいる係員に、イヤホンやランプなどにより、出入口を通過する人に阻止するよう促す装置などであってもよい。
また、IDカードは、例えば、固有情報などが書き込まれた磁気テープを備えたものであってもよい。
また、判断結果更新手段による、判断結果データベースの更新は、固有情報に対応する判断結果を、通過不適から通過適正にして行ったが、これに限定されるものでなく、固有情報に対応する判断結果(いわゆる、エントリ)を判断結果データベース上から削除するようにしてよい。この場合、ゲート動作制御手段は、エントリが無いときに判断結果が適正であると認識する。
【産業上の利用可能性】
【0084】
本発明は、例えば、企業や行政官庁などで働く複数の特定の人に対して、サーバで管理されたファイルを端末(クライアント)で閲覧させるためのサーバクライアントシステムであって、特に、サーバが、顧客情報などが書き込まれているような部外者に秘匿しなければならないファイルを管理しているサーバクライアントシステムに、好適に利用することができる。
【図面の簡単な説明】
【0085】
【図1】本発明の第一実施形態に係る情報漏えい防止システムを示す機能ブロック図である。
【図2】本発明の第一実施形態に係る情報漏えい防止システムを示す概要図である。
【図3】本発明の第一実施形態に係る情報漏えい防止システムのファイル管理情報データベースを示す図である。
【図4】本発明の第一実施形態に係る情報漏えい防止システムの判断結果データベースを示す図である。
【図5】本発明の第一実施形態に係る情報漏えい防止システムの作用を示すチャート図である。
【図6】本発明の第二実施形態に係る情報漏えい防止システムを示す機能ブロック図である。
【図7】本発明の第二実施形態に係る情報漏えい防止システムを示す概要図である。
【図8】本発明の第二実施形態に係る情報漏えい防止システムの判断結果データベースを示す図である。
【図9】本発明の第一実施形態に係る情報漏えい防止システムの作用を示すチャート図である。
【図10】本発明の第三実施形態に係る情報漏えい防止システムを示す概要図である。
【図11】本発明の第三実施形態に係る情報漏えい防止システムの判断結果データベースを示す図である。
【符号の説明】
【0086】
S1,S2,S3 情報漏えい防止システム
1 IDカード(固有情報記憶媒体)
1a ICタグ(固有情報記憶媒体)
2 入退ゲート
20,21 読取手段
25,25a 出入口
3 ファイルサーバ
30 ファイル記憶手段
31 ファイル
32 ファイルID(ファイル識別情報)
4 端末
41 端末側記憶手段
42 ダウンロード情報送信手段
43 削除情報送信手段
44 認証手段
45 クライアントエージェント
5 ゲート制御部
50 ファイル識別情報管理サーバ
500 適否判断手段
501 ファイル識別情報管理手段
502 ファイル管理情報記憶手段
505 ファイル管理情報データベース
51 状態管理サーバ
510 判断結果記憶手段
511 判断結果更新手段
512 判断問合せ手段
515,515a,515b 判断結果データベース
52 入退管理サーバ
520 ゲート動作制御手段
521 判断結果問合せ手段
7 社屋(空間)
7a 部屋(空間)
9,90〜94 ネットワーク
【特許請求の範囲】
【請求項1】
ファイルが記憶されるファイル記憶手段を有したファイルサーバを備え、前記ファイル記憶手段に記憶されたファイルの漏えいを防止する情報漏えい防止システムであって、
所定の固有情報が記憶される固有情報記憶媒体と、空間の出入口に設けられ該出入口を前記固有情報記憶媒体とともに通過しようとする人に対し通過の許容動作又は阻止動作をするゲートと、前記空間の内側から前記ファイル記憶手段のファイルをダウンロード可能な端末と、前記固有情報記憶媒体の固有情報を読み取り該固有情報に基づいて前記ゲートの動作を制御するゲート制御部と、を備え、
前記端末が、
前記ファイルサーバからダウンロードしたファイルを記憶可能な端末側記憶手段と、
前記端末側記憶手段に前記ファイルサーバからのファイルが記憶されたときに、前記固有情報及び前記ダウンロードされたファイルのファイル識別情報を含むダウンロード情報を前記ゲート制御部に送信するダウンロード情報送信手段と、を備え、
前記ゲート制御部が、
前記ダウンロード情報を受信したときに、該ダウンロード情報に係るファイルの重要度に応じて通過適正又は通過不適の判断結果を出力する適否判断手段と、
前記適否判断手段の判断結果を、前記固有情報と関連付けて記憶する判断結果記憶手段と、
前記固有情報が読み取られたとき、該固有情報に対応する前記判断結果記憶手段の判断結果が通過不適のときに前記ゲートに阻止動作させるゲート動作制御手段と、を備えることを特徴とする情報漏えい防止システム。
【請求項2】
前記端末が、前記端末側記憶手段に記憶された前記ファイルサーバからのファイルの削除があったときに、前記ダウンロードされたファイルの削除情報を前記ゲート制御部に送信する削除情報送信手段を備え、
前記ゲート制御部が、前記削除情報を受信したときに該削除情報に対応する前記判断結果記憶手段に記憶された判断結果を通過適正にする判断結果更新手段と、を備えることを特徴とする請求項1記載の情報漏えい防止システム。
【請求項3】
前記ゲート制御部が、前記ファイルサーバに接続されるファイル識別情報管理サーバと、前記端末及び前記ファイル識別情報管理サーバに接続される状態管理サーバと、前記状態管理サーバに接続される入退管理サーバとを備え、
前記ファイル識別情報管理サーバが、前記適否判断手段を備え、
前期状態管理サーバが、前記ダウンロード情報を受信したときに前記ファイル識別情報管理サーバの適否判断手段に前記ゲートの通過の適否を問い合わせる判断問合せ手段と、前記判断結果記憶手段と、前記判断結果更新手段とを備え、
前記入退管理サーバが、前記固有情報が読み取られたときに前記状態管理サーバの判断結果記憶手段に判断結果を問い合わせる判断結果問合せ手段と、前記ゲート動作制御手段とを備えることを特徴とする請求項2記載の情報漏えい防止システム。
【請求項4】
前記適否判断手段が、前記ファイルサーバに記憶されたファイルにファイル識別情報を付与するファイル識別情報管理手段と、前記ファイル識別情報が前記ファイル識別情報に対応するファイルの重要度と関連付けられて記憶されるファイル管理情報記憶手段とを備えることを特徴とする請求項3記載の情報漏えい防止システム。
【請求項5】
前記固有情報記憶媒体が、IDカードからなり、
前記端末が、前記固有情報の入力によりファイルサーバと通信可能となる認証手段を備え、前記ダウンロード情報送信手段が、認証時に入力された固有情報を含むダウンロード情報を送信することを特徴とする請求項1〜4のいずれか一項に記載の情報漏えい防止システム。
【請求項6】
前記固有情報記憶媒体が、前記端末に付帯させられるICタグからなり、
前記端末が、前記固有情報が予め記憶される固有情報記憶手段を備え、
前記ダウンロード情報送信手段が、前記固有情報記憶手段の固有情報を含むダウンロード情報を送信することを特徴とする請求項1〜4のいずれか一項に記載の情報漏えい防止システム。
【請求項7】
ファイルサーバのファイル記憶手段に記憶されたファイルの漏えいを防止する情報漏えい防止方法であって、
空間内で前記ファイル記憶手段に記憶されたファイルを端末の端末側記憶手段に記憶させたときに、固有情報記憶媒体の固有情報及び前記ダウンロードされたファイルのファイル識別情報を含むダウンロード情報を送信し、
前記ダウンロード情報を受信して、該ダウンロード情報に係るファイルの重要度に応じて前記空間の出入口の通過不適の判断結果を出力し、
当該判断結果を判断結果記憶手段に記憶し、
通過不適の判断結果に対応する固有情報を記憶した前記固有情報記憶媒体をもつ人が出入口を通過するときに、該人の通過を阻止することを特徴とする情報漏えい防止方法。
【請求項8】
前記端末側記憶手段から前記ファイルの削除があったときに、前記判断結果記憶手段に記憶された通過不適の判断結果を通過適正に更新することを特徴とする請求項7記載の情報漏えい防止方法。
【請求項1】
ファイルが記憶されるファイル記憶手段を有したファイルサーバを備え、前記ファイル記憶手段に記憶されたファイルの漏えいを防止する情報漏えい防止システムであって、
所定の固有情報が記憶される固有情報記憶媒体と、空間の出入口に設けられ該出入口を前記固有情報記憶媒体とともに通過しようとする人に対し通過の許容動作又は阻止動作をするゲートと、前記空間の内側から前記ファイル記憶手段のファイルをダウンロード可能な端末と、前記固有情報記憶媒体の固有情報を読み取り該固有情報に基づいて前記ゲートの動作を制御するゲート制御部と、を備え、
前記端末が、
前記ファイルサーバからダウンロードしたファイルを記憶可能な端末側記憶手段と、
前記端末側記憶手段に前記ファイルサーバからのファイルが記憶されたときに、前記固有情報及び前記ダウンロードされたファイルのファイル識別情報を含むダウンロード情報を前記ゲート制御部に送信するダウンロード情報送信手段と、を備え、
前記ゲート制御部が、
前記ダウンロード情報を受信したときに、該ダウンロード情報に係るファイルの重要度に応じて通過適正又は通過不適の判断結果を出力する適否判断手段と、
前記適否判断手段の判断結果を、前記固有情報と関連付けて記憶する判断結果記憶手段と、
前記固有情報が読み取られたとき、該固有情報に対応する前記判断結果記憶手段の判断結果が通過不適のときに前記ゲートに阻止動作させるゲート動作制御手段と、を備えることを特徴とする情報漏えい防止システム。
【請求項2】
前記端末が、前記端末側記憶手段に記憶された前記ファイルサーバからのファイルの削除があったときに、前記ダウンロードされたファイルの削除情報を前記ゲート制御部に送信する削除情報送信手段を備え、
前記ゲート制御部が、前記削除情報を受信したときに該削除情報に対応する前記判断結果記憶手段に記憶された判断結果を通過適正にする判断結果更新手段と、を備えることを特徴とする請求項1記載の情報漏えい防止システム。
【請求項3】
前記ゲート制御部が、前記ファイルサーバに接続されるファイル識別情報管理サーバと、前記端末及び前記ファイル識別情報管理サーバに接続される状態管理サーバと、前記状態管理サーバに接続される入退管理サーバとを備え、
前記ファイル識別情報管理サーバが、前記適否判断手段を備え、
前期状態管理サーバが、前記ダウンロード情報を受信したときに前記ファイル識別情報管理サーバの適否判断手段に前記ゲートの通過の適否を問い合わせる判断問合せ手段と、前記判断結果記憶手段と、前記判断結果更新手段とを備え、
前記入退管理サーバが、前記固有情報が読み取られたときに前記状態管理サーバの判断結果記憶手段に判断結果を問い合わせる判断結果問合せ手段と、前記ゲート動作制御手段とを備えることを特徴とする請求項2記載の情報漏えい防止システム。
【請求項4】
前記適否判断手段が、前記ファイルサーバに記憶されたファイルにファイル識別情報を付与するファイル識別情報管理手段と、前記ファイル識別情報が前記ファイル識別情報に対応するファイルの重要度と関連付けられて記憶されるファイル管理情報記憶手段とを備えることを特徴とする請求項3記載の情報漏えい防止システム。
【請求項5】
前記固有情報記憶媒体が、IDカードからなり、
前記端末が、前記固有情報の入力によりファイルサーバと通信可能となる認証手段を備え、前記ダウンロード情報送信手段が、認証時に入力された固有情報を含むダウンロード情報を送信することを特徴とする請求項1〜4のいずれか一項に記載の情報漏えい防止システム。
【請求項6】
前記固有情報記憶媒体が、前記端末に付帯させられるICタグからなり、
前記端末が、前記固有情報が予め記憶される固有情報記憶手段を備え、
前記ダウンロード情報送信手段が、前記固有情報記憶手段の固有情報を含むダウンロード情報を送信することを特徴とする請求項1〜4のいずれか一項に記載の情報漏えい防止システム。
【請求項7】
ファイルサーバのファイル記憶手段に記憶されたファイルの漏えいを防止する情報漏えい防止方法であって、
空間内で前記ファイル記憶手段に記憶されたファイルを端末の端末側記憶手段に記憶させたときに、固有情報記憶媒体の固有情報及び前記ダウンロードされたファイルのファイル識別情報を含むダウンロード情報を送信し、
前記ダウンロード情報を受信して、該ダウンロード情報に係るファイルの重要度に応じて前記空間の出入口の通過不適の判断結果を出力し、
当該判断結果を判断結果記憶手段に記憶し、
通過不適の判断結果に対応する固有情報を記憶した前記固有情報記憶媒体をもつ人が出入口を通過するときに、該人の通過を阻止することを特徴とする情報漏えい防止方法。
【請求項8】
前記端末側記憶手段から前記ファイルの削除があったときに、前記判断結果記憶手段に記憶された通過不適の判断結果を通過適正に更新することを特徴とする請求項7記載の情報漏えい防止方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公開番号】特開2008−250726(P2008−250726A)
【公開日】平成20年10月16日(2008.10.16)
【国際特許分類】
【出願番号】特願2007−91707(P2007−91707)
【出願日】平成19年3月30日(2007.3.30)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成20年10月16日(2008.10.16)
【国際特許分類】
【出願日】平成19年3月30日(2007.3.30)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]