携帯端末用暗号化ファイル管理システムとその方法と、それらの装置とそのプログラム
【課題】暗号化ファイルのファイル管理の安全性を確保しながら使い勝手を良くする。
【解決手段】ネットワークに接続され、ユーザの操作によりユーザ認証を要求して保存している暗号化ファイルを復号化する携帯端末は、状況計測部と、ユーザ認証情報要求部と、記録部と、暗号化ファイル管理部とを備える。状況計測部は、携帯端末の状況を計測して状況情報を出力する。ユーザ認証情報要求部は、状況情報に応じたユーザ認証情報をユーザに要求する。記録部は、暗号化されたファイルを保存する。暗号化ファイル管理部は、ユーザ認証情報と状況情報と、認証サーバから入力される承認結果を入力として、状況情報に見合ったユーザ認証情報の場合で、且つ、ユーザ認証情報が上記認証サーバで承認された場合に、上記暗号化されたファイルの復号化を行う。
【解決手段】ネットワークに接続され、ユーザの操作によりユーザ認証を要求して保存している暗号化ファイルを復号化する携帯端末は、状況計測部と、ユーザ認証情報要求部と、記録部と、暗号化ファイル管理部とを備える。状況計測部は、携帯端末の状況を計測して状況情報を出力する。ユーザ認証情報要求部は、状況情報に応じたユーザ認証情報をユーザに要求する。記録部は、暗号化されたファイルを保存する。暗号化ファイル管理部は、ユーザ認証情報と状況情報と、認証サーバから入力される承認結果を入力として、状況情報に見合ったユーザ認証情報の場合で、且つ、ユーザ認証情報が上記認証サーバで承認された場合に、上記暗号化されたファイルの復号化を行う。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、携帯端末のファイル管理機能において、特に暗号化された機密情報ファイルを管理する携帯端末用暗号化ファイル管理システムとその方法と、それらの装置とそのプログラムに関する。
【背景技術】
【0002】
ノートPC(Personal Computer)やPDA(Personal Digital Assistants)が普及し、場所を問わずにコンピュータが使用できるモバイルコンピューティングが可能になって来た。これらの携帯端末が不特定の場所で使用されるようになった結果、機密情報の管理上、従来には無かった問題が発生するようになって来ている。例えば、公衆の場所で機密情報の覗き見を許してしまうことがある。又は、携帯端末を紛失、若しくは盗難されることで例えば顧客情報等の機密情報が漏洩してしまうことが社会問題化している。
【0003】
不特定な場所でのコンピュータの使用を制限することで機密情報(以降、「機密ファイル」とも称する。)の漏洩を防止する考えとして、例えば特許文献1に開示されたものが知られている。図9に特許文献1のモバイル端末管理システム90のシステム構成を示して簡単に説明する。モバイル端末管理システム90は、モバイル端末103と、管理用計算機104と、GPS衛星901とで構成される。モバイル端末103と管理用計算機104は、公衆ネットワークと組織内ネットワークを介して接続されている。
【0004】
モバイル端末103内の機密ファイルを使用する際には、管理用計算機104によるモバイル端末103の位置情報による認証を必要とする。モバイル端末103の位置情報は、モバイル端末103に設けられた図示しないGPS位置測定機能が、GPS衛星901からの測位電波を受信して、モバイル端末103の位置する場所の緯度と経度を計算して求められる。管理用計算機104が、その位置情報に応じて機密ファイルの使用許可を与えるものである。したがって、機密ファイルを使用できる場所を、例えば関連する事業所や使用者(ユーザ)の自宅等の限定された範囲に制限することができる。その結果、公衆の場所での機密情報の覗き見を防ぐことができる。また、モバイル端末103の紛失や盗難があった場合でも、特定の場所以外での機密ファイルの悪用を防ぐことができる。
【特許文献1】特開2003−256287号公報(図9)
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかし、従来の方法では、機密ファイルを使用できる場所が限定されてしまうので、柔軟性に乏しく使い勝手が悪かった。GPS位置測定機能のみを用いた従来例では、屋内においてGPS衛星からの測位電波を受信できるのが、窓際に限られてしまうので特に使い難かった。RFID(Radio Frequency Identification)を併用する方法も考えられるが、RFIDの電波が存在する範囲でしか使えない欠点は、GPS位置測定機能と同様である。
【0006】
また、上記した従来方法では、最初から機密情報の略取を目的とした携帯端末の盗難に対応することができない課題がある。機密情報の略取を目的とする者は、機密ファイルが記録された記録装置(ハードディスクドライブ等)を携帯端末から取り出し、機密ファイルを解読してしまう。つまり、携帯端末が盗難された場合は、携帯端末内に機密ファイルを残して置くこと自体が問題である。このように、位置情報によって機密ファイルの使用制限を行うだけの方法では、機密情報の管理として不十分であった。
【0007】
機密情報が漏洩した場合の損失は非常に大きく、場合によっては企業の存続にも関わる事態に発展することもある。したがって、管理をより厳しくした機密ファイルのファイル管理方法が求められている。一方、機密情報の管理を単純に厳しくしただけでは使い勝手の悪いものになってしまう恐れがある。携帯端末の置かれた状況に応じて求められる機密情報に関する安全保障の水準(以降、「セキュリティ強度」と称する。)も変化するので、そのセキュリティ強度の変化に対応できるファイル管理方法が求められている。
【0008】
この発明は、このような点に鑑みてなされたものであり、携帯端末の置かれた状況に応じて十分な安全性を確保しながら使い勝手の良い携帯端末用暗号化ファイル管理システムとその方法と、それらの装置とそのプログラムを提供することを目的とする。
【課題を解決するための手段】
【0009】
この発明の携帯端末用暗号化ファイル管理システムは、ネットワークに接続され、ユーザの操作によりユーザ認証を要求して保存している暗号化ファイルを復号化する携帯端末と、ユーザ認証を行う認証サーバと、から成る。携帯端末が、状況計測部と、ユーザ認証情報要求部と、記録部と、暗号化ファイル管理部とを備える。状況計測部は、携帯端末の状況を計測して状況情報を出力する。ユーザ認証情報要求部は、状況情報に応じたユーザ認証情報をユーザに要求する。記録部は、暗号化されたファイルを保存する。暗号化ファイル管理部は、ユーザ認証情報と状況情報と、認証サーバから入力される承認結果を入力として、状況情報に見合ったユーザ認証情報の場合で、且つ、ユーザ認証情報が上記認証サーバで承認された場合に、上記暗号化されたファイルの復号化を行う。
【発明の効果】
【0010】
この発明の携帯端末用暗号化ファイル管理システムは、状況計測部が携帯端末の置かれた状況を計測して状況情報を出力する。その状況情報に応じてユーザ認証情報要求部がユーザ認証情報をユーザに要求する。そして、暗号化ファイル管理部が状況情報に見合ったユーザ認証情報の場合に暗号化ファイルの復号化を行う。したがって、携帯端末の置かれた状況の変化を検知してその状況に見合ったセキュリティ強度で暗号化ファイルを管理することができるので安全性が高い。また、携帯端末の状況に応じたユーザ認証情報をユーザに要求するので、柔軟性を持った使い勝手の良い携帯端末用暗号化ファイル管理システムを提供することができる。
【発明を実施するための最良の形態】
【0011】
以下、この発明の実施の形態を図面を参照して説明する。複数の図面中同一のものには同じ参照符号を付し、説明は繰り返さない。
【実施例1】
【0012】
図1にこの発明の一例である携帯端末用暗号化ファイル管理システム10のシステム構成を示す。携帯端末用暗号化ファイル管理システム10は、認証サーバ12と、携帯端末16とが、ネットワーク(以降、「NW」と称する。)14を介して接続されている。認証サーバ12はユーザを認証する。携帯端末16は、ユーザの操作により認証サーバ12に認証を要求する。
【0013】
認証サーバ12は、通信インターフェース部121と、ユーザ認証部122と、制御部124を備える。携帯端末16は、通信インターフェース161と、暗号化ファイル管理部162と、記録部163と、ユーザ認証情報要求部164と、状況計測部165を備える。図2に認証サーバ12と携帯端末16の動作シーケンスを示す。携帯端末16の状況計測部165が、携帯端末16の置かれた状況を計測して状況情報を出力する(ステップS165)。状況情報としては、例えば上記した従来例と同じようにGPS位置測定機能による携帯端末が置かれた場所の緯度経度情報の他に、加速度情報や、RFIDの利用等(詳しくは後述する)が考えられる。ユーザ認証情報要求部164は、状況情報に応じたユーザ認証情報をユーザに要求して、図示しないキーボード等から例えばOTP(One Time Password)や、指紋センサや網膜センサによる生体認識情報等のユーザ認証情報を入手する(ステップS164)。暗号化ファイル管理部162は、入手したユーザ認証情報を、通信インターフェース部161を介してNW14の先に接続された認証サーバ12に送信して認証要求する(ステップS30)。認証サーバ12のユーザ認証部122は、認証サーバ12の通信インターフェース部121を介して入手したユーザ認証情報を認証し、認証結果を携帯端末16に送信する(ステップS31)。携帯端末16の暗号化ファイル管理部162は、認証サーバ12からの認証結果と、ユーザ認証情報要求部164からのユーザ認証情報と、状況計測部165からの状況情報を入力として、ユーザ認証情報が状況情報に見合った場合で、且つ、認証結果が承認された場合に、記録部163に記録されている暗号化ファイル163aを復号化して編集可能にする(ステップS162)。
【0014】
携帯端末16と認証サーバ12は、例えばROM、RAM、CPU等で構成されるコンピュータに所定のプログラムが読み込まれて、CPUがそのプログラムを実行することで実現されるものである。それぞれの制御部166,124が、それぞれのプログラムにしたがって各部の動作を、上記した過程で制御する。その結果、携帯端末16の置かれた状況に応じて十分な安全性を確保しながら、使い勝手の良い携帯端末用暗号化ファイル管理システムを実現することができる。
【0015】
次に暗号化ファイル管理部162と、ユーザ認証情報要求部164と、状況計測部165のより具体的な構成例を示して動作をより詳しく説明する。携帯端末16と認証サーバ12の動作フローを図3と図4に示す。図1に示す様に、暗号化ファイル管理部162は、状況認証情報判断部1621と、暗号鍵一時記録部1623を備えた認証サーバ連携部1622と、ファイル管理部1624と、暗号化部1625と、復号化部1626とで構成される。
【0016】
状況計測部165は、例えばGPS位置測定機能を持ち、GPS衛星からの測位電波を受信して携帯端末16の位置情報を状況情報として暗号化ファイル管理部162に出力する(ステップS1651、図3参照)。状況情報は、暗号化ファイル管理部162を介してユーザ認証情報要求部164に入力される。ユーザ認証情報要求部164の状況判断部1641は、状況情報から携帯端末16の置かれている状況を判断する(ステップS1641a)。状況情報から緊急事態(詳しくは後述する)と判断(ステップS1641bのY)すると、この例では、暗号化ファイル163aを使用できないようにファイルロック、又はファイルを消去する(ステップS1624)。状況判断部1641が、状況情報からセキュリティ強度を上げる事態と判断する(ステップS1641c)と、ユーザ情報要求部1642は、その状況に見合ったユーザ認証情報をユーザに要求する(ステップS1642a)。セキュリティ強度を上げずに済む状況としては、例えば社内で携帯端末16を使用する場合が考えられる。この場合は例えばユーザIDとパスワードのみでユーザ認証を行う。
【0017】
セキュリティ強度を上げる事態とは、例えば、携帯端末が社外で使用されている状況が考えられる。その場合は、通常のユーザIDとパスワードの他に上長の許可を得ていることを表わす識別コードを要求する。携帯端末16を操作するユーザは、その要求に対してユーザIDとパスワードと識別コードをキーボード等の入力手段を用いてユーザ認証情報要求部164に入力する(ステップS1642b)。ユーザ認証情報要求部164に入力されたユーザ認証情報は、暗号化ファイル管理部162に入力される。暗号化ファイル管理部162の状況認証情報判断部1621は、ユーザ認証情報が状況計測部165から入力される状況情報に見合ったものかを判断する(ステップS1621)。ユーザ認証情報が状況情報に見合ったものであった場合、状況認証情報判断部1621は、認証サーバ連携部1622に認証サーバ12に対するユーザ認証情報の送信を指示する。状況認証情報判断部1621は、その指示に従い認証サーバ12に認証要求をする(ステップS1622a)。ユーザ認証情報が状況情報に見合わない場合は、この例では上記した緊急事態の場合(ステップS1641bのY)と同じようにファイル管理部1624が、暗号化ファイル163aを使用できないようにファイルロック、又はファイルを消去する(ステップS1624)。
【0018】
認証サーバ12のユーザ認証部122は、携帯端末16からのユーザ認証情報を受信する(ステップS1221、図4参照)。そしてユーザ認証情報を認証する(ステップS1222)。ユーザ認証部122は、ユーザ認証情報が正当でありユーザを承認できる場合(ステップS1223のY)は、承認された結果を表わす認証結果と、暗号化ファイル163aを復号化する共通鍵を、携帯端末16に送信する(ステップS1225)。ユーザを否認する場合(ステップS1223N)は、否認された結果を表わす認証結果のみを携帯端末16に送信する(ステップS1224)。
【0019】
携帯端末16の認証サーバ連携部1622は、認証サーバ12の認証結果を受信する(ステップS1622b)。認証サーバ連携部1622は、認証結果が承認された場合、共通鍵を暗号鍵一時記録部1623に記録すると共にファイル管理部1624に暗号化ファイル163aの復号化を指示する。復号化部1626は、暗号鍵一時記録部1623から共通鍵を読み出して暗号化ファイル163aを復号化する(ステップS1626)。認証結果が否認の場合は、上記した緊急事態の場合と同様にファイル管理部1624が、暗号化ファイル163aを使用できないようにファイルロック、又はファイルを消去する(ステップS1624)。図3の動作フローでは省略しているが、暗号化部1625は、復号化された後に編集されたファイルを、再び暗号化して記録部163に記録する。
【0020】
ここで緊急事態について図5に示す状況計測部165を用いて説明する。緊急事態とは、例えば携帯端末16が盗難に遭い、暗号化ファイル163aが略取されることが想定される事態である。想定される状況情報としては、例えば過大な加速度が携帯端末16に加わった場合や、ハードディスクドライブ(以降、「HDD」と称する。)を取り外す目的で携帯端末16の筺体が開けられた場合等が考えられる。もちろん、上記したGPS位置測定機能でも、測定された場所がある特定の場所の場合に緊急事態と判断するようにしても良い。しかし、GPS位置測定機能の位置情報だけで緊急事態を判断するのは、誤判断の可能性が高く危険である。よって、図5に示すような他の方式の状況計測部165を用いることで、緊急事態の判断の精度を上げる方法が考えられる。
【0021】
図5(a)に示す状況計測部165は、加速度検出部50とAD変換部51とで構成される。加速度検出部50は、例えば圧電素子等で形成された加速度センサを備え、加速度センサに加わる加速度に比例した電圧値を生成する。AD変換部51は、加速度検出部50が生成する電圧値をディジタル値に変換して状況情報とする。
【0022】
携帯端末は、液晶パネルやHDD等の衝撃に対して弱い部品から構成されるため、丁重に扱われるのが一般的である。しかし、携帯端末が盗難に会った場合は、乱雑に扱われ携帯端末に通常は加わらないような過大な加速度が加わる状況が想定できる。図5(a)に示す状況計測部165は、その過大な加速度を検出するものである。
【0023】
図5(b)に示す状況計測部165´は、筺体オープン検知スイッチ52と抵抗53とで構成される。筺体オープン検知スイッチ52の一端は携帯端末の正電源に接続され、その他端には抵抗53の一端が接続され、さらに抵抗53の他端が携帯端末の負電源に接続されている。筺体オープン検知スイッチ52の他端と抵抗53の一端との接続点が状況情報の出力端子とされている。携帯端末の筺体は、通常は分解されることがない。筺体が分解されない状態では、筺体オープン検知スイッチ52は閉じた状態にあり、携帯端末の正電源から負電源に向けて電流が流れるので、抵抗53の一端である状況情報は正電源の電圧値となる。悪意の第三者が携帯端末の筺体を分解した場合には、筺体オープン検知スイッチ52が開状態となり、状況情報は負電源の電圧値に変化する。この状態情報の変化を暗号化ファイル管理部162の状況認証情報判断部1621が検出した場合、ファイル管理部1624はただちに暗号化ファイル163aを消去する。と同時に暗号鍵一時記録部1623に共通鍵が記録されていれば、共通鍵も消去する。このようにすることで暗号化ファイル163aが第三者に渡ってしまうことを防止することができる。
【0024】
なお、筺体オープン検知スイッチ52が開状態になった場合は、その情報のみで緊急事態と判断して良いと思われる。一方、加速度検出の場合は、誤って携帯端末を落とすなどして過大な加速度を携帯端末に与えてしまう場合も容易に想定されるので、単独での使用は危険である。
【0025】
そこで、図6に示すように複数の状況計測部を併用する方法が考えられる。図6に示す状況計測部60は、GPS位置測定機能61と、加速度検出機能62と、筺体オープン検知スイッチ63と、RFID64と、紛失防止用センサ65とを備える。GPS位置測定機能61は上記したそれと同じものである。加速度検出機能部62も図5(a)で説明済みの状況計測部165と同じものである。筺体オープン検知スイッチ63も図5(b)で説明済みの状況計測部165´と同じものである。RFID64は、例えば電波方式のアクティブタグの利用が考えられ、特定の会議室等の限定された位置情報を得るものである。紛失防止用センサ65は、例えば、携帯端末とユーザ間を微弱電波の無線で接続し、電界強度が一定値以上あるか否かで携帯端末とユーザとの物理的な距離の大きさを測定するものである。このようにGPS位置測定機能61〜紛失防止用センサ65は、それぞれが状況計測部を構成するものである。これらの各状況計測部の出力する状況情報を、暗号化ファイル管理部162及びユーザ認証情報要求部164が並列に処理をして状況判断することで、状況判断の精度を向上させることができる。例えば、紛失防止用センサ65の状況情報が、携帯端末とユーザとの距離が離れている状態を表わしている時に、加速度検出機能部62が過大な加速度を検出した場合、緊急事態と判定するなどの対応が考えられる。このように複数の状況計測部を組み合わせて用いることで、状況判断の精度を向上させる効果が期待できる。
【0026】
以上述べたように携帯端末用暗号化ファイル管理システム10によれば、携帯端末16を社内で使用する場合は、例えば通常のユーザIDとパスワードのみでユーザ認証を行う。携帯端末16を社外で使用する場合は、例えば上長の許可を得ていることを表わす識別コードとユーザIDとパスワードでユーザ認証を行う。このように、状況で変化するセキュリティ強度の大きさに応じて暗号化ファイルを管理することができる。更に緊急事態の場合は、暗号化ファイルをロック又は消去するので、第三者による機密情報の悪用を完全に防止することが可能である。なお、状況情報に見合ったユーザ認証情報が得られない場合も、緊急事態と同様に暗号化ファイルをロック又は消去する例で説明を行ったが、その場合は、なりすましが難しい例えば生体情報等のユーザ認証情報を再度ユーザに求めるようにしても良い。
【実施例2】
【0027】
この発明の携帯端末用暗号化ファイル管理システムの実施例2として、認証サーバ12側に認証状況データ記録部125を備えた構成を説明する。実施例2は、認証サーバ12側でも携帯端末の状況情報の判定を行うようにしたものである。認証状況データ記録部125を図1に破線で示す。携帯端末16側の構成と動作は基本的には実施例1と同じであるが、認証要求時にユーザ認証情報に加えて状況情報を、認証サーバ12に送信する点が異なる。実施例2の認証サーバ12の動作フローを図7に示して説明する。
【0028】
ステップS1223のユーザ認証までの動作フローは、状況情報の受信(ステップS1226)が加わった点のみが異なるだけで実施例1と同じである。認証サーバ12のユーザ認証部122は、携帯端末16から送信された状況情報を元に、認証状況データ記録部125を参照して状況認証を行う(ステップS1227)。携帯端末の状況が認証される(ステップS1228のY)と、ユーザ認証部122は、ユーザ認証と状況認証の結果が承認されたことを表わす認証結果と共通鍵を携帯端末に送信する(ステップS1224)。携帯端末の状況が否認される(ステップS1228のN)と、否認結果を携帯端末16に送信する(ステップS1225)。
【0029】
このように認証サーバ12側でも携帯端末16の状況を判断するようにすると、携帯端末用暗号化ファイル管理システムをより使い易くすることができる。例えば、上記した例のようにユーザが社外で携帯端末16を使用する場合に、急な外出や出張で事前に上長の使用許可を得られない場合も考えられる。そのような場合には、実施例1に示した携帯端末16側だけで状況情報を判断する方法では、社外で携帯端末を使用することができない。実施例2の構成であれば、外出後でも携帯端末を使用可能にすることが可能である。つまり、電子メールや電話等で外出先から上長に使用許可を願い出て、NW14に接続された上長のPCから認証サーバ12の認証状況データ記録部124に使用許可情報を書き込んでもらえば良い。このように認証サーバ12に認証状況データ記録部125を設け、認証サーバ12側でも携帯端末の状況の認証を行うようにすることで、携帯端末用暗号化ファイル管理システムの使い勝手をより良くすることが可能になる。
【0030】
また、認証サーバ12側が主導権を持ってより積極的に携帯端末の暗号化ファイルの管理を行うことも可能になる。例えば、盗まれた携帯端末16から認証サーバ12に認証要求があった場合、事前に認証状況データ記録部125に盗難された携帯端末である情報を書き込んで置くことで、直ちに携帯端末16の暗号化ファイル163aを消去するように携帯端末16を制御することも可能である。
【実施例3】
【0031】
この発明の携帯端末用暗号化ファイル管理システムの実施例3として、携帯端末16に状況情報だけを記録する状況データ記録部166を設けた構成例を示す。実施例1と2の説明は、状況計測部165が携帯端末を使用する時だけ動作する前提で行った。例えば、携帯端末16を使用する場所の緯度経度情報を、GPS位置測定機能でその都度測定していた。それらの状況情報の履歴が必要な場合は、例えば制御部166を形成するRAM、又は、暗号化ファイル163aが記録された記録部163(HDD)に記録することになる。
【0032】
状況情報の履歴は重要な情報であるため、悪意の第三者による改竄を容易にできないようにする必要がある。しかし、通常のPCのRAMやHDDに記録したのでは、第三者に容易に発見されて改竄されてしまう恐れがある。状況情報の情報量は、暗号化ファイル163a等と比較すると小さな情報量なので、容量の小さなフラッシュメモリー(flash memory)に独立させて記録することで、第三者からの発見を難しくすることができる。また、状況データ記録部166を耐タンパ性能を持ったチップで構成することで、更に第三者による状況情報の改竄を困難にすることができる。耐タンパ性とは、物理的かつ論理的に内部の情報を読み取られることに対する耐性のことである。
【0033】
状況情報の履歴の改竄を容易にできないようにすることで、状況情報の履歴を状況情報として積極的に利用することが考えられる。例えば、携帯端末の緯度経度情報の履歴が、出張計画と合っているかは、有効な状況情報の判断基準になる。また、状況計測部165と状況データ記録部166を、ユーザが携帯端末を使用しない時に動作させることでより有効な状況情報を得ることができる。例えば、上記した加速度検出機能による状態計測部は、携帯端末16を未使用時にも連続して計測可能にすることで、携帯端末16がどのように扱われたかについてのより正確な情報を得ることが可能になる。
【0034】
このように携帯端末に状況データ記録部166を設けることで、悪意の第三者による改竄を容易にできないようにすると共に、状況情報の履歴を有効に利用できるようにする効果が得られる。
【0035】
なお、上記した出張計画と携帯端末の位置情報の履歴との整合を見て携帯端末の状況情報を判断する方式を、例えば状態遷移方式とすると、他に危険度点数方式やルール方式が考えられる。危険度点数方式とは、図6で説明した複数の状況計測部を併用する場合において、各状況計測部の出力する状況情報のそれぞれに点数を付けて、その点数の合計で携帯端末の状況を判断する方式である。例えば、筺体オープンスイッチ63が開放された場合は100点、また、ユーザが携帯端末16から離れている状況を40点、その状況において過大な加速度が携帯端末16に加わった場合を60点としてその合計が100点になったら緊急事態とする方式である。ルール方式は、上記した例のように社外で携帯端末を使用する場合は上長の許可を必要とするといったように、その状況に応じた規則を予め決めておくものである。なお、これらの方式を組み合わせて使って携帯端末の状況を判断しても良い。
【0036】
また、緊急事態を判断する方法として状況計測部165が、ハードウェアで状態を検出する例のみを示して説明を行ったが、ユーザ認証情報をソフトウェアで処理して緊急事態を判断する方法もある。例えば、ユーザ認証の基本情報であるユーザIDを複数回間違える場合や、存在しないユーザIDで何度も認証要求されることは通常は考えられない。このような異常な状況を、ソフトウェアで検出して緊急事態と判断しても良い。また、携帯端末16を接続しているネットワークの種類をPSID等で分類して、携帯端末16の位置をソフトウェアで論理的に求める状況計測部も考えられる。その状況計測部を、論理的な位置検出部66として図6に破線で示す。
【0037】
以上述べたように、この発明の携帯端末用暗号化ファイル管理システムは、携帯端末の置かれた状況の変化を検出して、その状況変化に見合ったセキュリティ強度でファイル管理を行う考えである。この発明の技術思想に基づく携帯端末用暗号化ファイル管理システムとその方法と、それらの装置は上述の実施形態に限定されるものではなく、この発明の趣旨を逸脱しない範囲で適宜変更が可能である。例えば、携帯端末16はノートPCを想定した例で説明を行ったが、暗号化ファイル管理部162と記録部163のみの機能を、例えばUSBポートに直接挿入されるUSBメモリの形状で構成しても良い。その場合は、ユーザ認証情報要求部164と、状況計測部165と、制御部166の各機能は、そのUSBメモリ形状をしたこの発明の携帯端末が挿入される例えばノートPC側のものを使用する。このように、携帯端末の形態も一台のノートPCに限定されない。
【0038】
また、上記した実施例は、携帯端末16と認証サーバ12とがオンラインの場合を説明したが、携帯端末16をオフラインで用いることも当然できる。その場合の携帯端末16の動作フローを図8に示す。オンラインの動作フローの図3とは、認証サーバ12とのやり取りの部分ステップS1622a〜ステップS1622cが無いことが異なるだけである。このように携帯端末をオフラインで使用しても、携帯端末の置かれた状況に応じて十分な安全性を確保しながら暗号化ファイルの復号化を行うことが可能である。
【0039】
なお、上記した方法及び装置において説明した処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されるとしてもよい。
【0040】
また、上記装置における処理手段をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、各装置における処理手段がコンピュータ上で実現される。
【0041】
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。具体的には、例えば、磁気記録装置として、ハードディスク装置、フレキシブルディスク、磁気テープ等を、光ディスクとして、DVD(Digital Versatile Disc)、DVD-RAM(Random Access Memory)、CD-ROM(Compact Disc Read Only Memory)、CD-R(Recordable)/RW(ReWritable)等を、光磁気記録媒体として、MO(Magneto Optical disc)等を、半導体メモリとしてフラッシュメモリー等を用いることができる。
【0042】
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記録装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
【0043】
また、各手段は、コンピュータ上で所定のプログラムを実行させることにより構成することにしてもよいし、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。
【図面の簡単な説明】
【0044】
【図1】この発明の携帯端末用暗号化ファイル管理システム10のシステム構成を示す図。
【図2】携帯端末用暗号化ファイル管理システム10における認証サーバ12と携帯端末16の動作シーケンスを示す図。
【図3】携帯端末16の動作フローを示す図。
【図4】認証サーバ12の動作フローを示す図。
【図5】状況計測部165の一例を示す図であり、(a)は加速度検出部、(b)は筺体オープンスイッチで構成される状況計測部を示す。
【図6】複数の状況計測部を併用する方法を示す図。
【図7】実施例2の認証サーバの動作フローを示す図。
【図8】携帯端末16がオフラインで動作する場合の動作フローを示す図。
【図9】特許文献1に開示されたモバイル端末管理システムのシステム構成を示す図。
【技術分野】
【0001】
この発明は、携帯端末のファイル管理機能において、特に暗号化された機密情報ファイルを管理する携帯端末用暗号化ファイル管理システムとその方法と、それらの装置とそのプログラムに関する。
【背景技術】
【0002】
ノートPC(Personal Computer)やPDA(Personal Digital Assistants)が普及し、場所を問わずにコンピュータが使用できるモバイルコンピューティングが可能になって来た。これらの携帯端末が不特定の場所で使用されるようになった結果、機密情報の管理上、従来には無かった問題が発生するようになって来ている。例えば、公衆の場所で機密情報の覗き見を許してしまうことがある。又は、携帯端末を紛失、若しくは盗難されることで例えば顧客情報等の機密情報が漏洩してしまうことが社会問題化している。
【0003】
不特定な場所でのコンピュータの使用を制限することで機密情報(以降、「機密ファイル」とも称する。)の漏洩を防止する考えとして、例えば特許文献1に開示されたものが知られている。図9に特許文献1のモバイル端末管理システム90のシステム構成を示して簡単に説明する。モバイル端末管理システム90は、モバイル端末103と、管理用計算機104と、GPS衛星901とで構成される。モバイル端末103と管理用計算機104は、公衆ネットワークと組織内ネットワークを介して接続されている。
【0004】
モバイル端末103内の機密ファイルを使用する際には、管理用計算機104によるモバイル端末103の位置情報による認証を必要とする。モバイル端末103の位置情報は、モバイル端末103に設けられた図示しないGPS位置測定機能が、GPS衛星901からの測位電波を受信して、モバイル端末103の位置する場所の緯度と経度を計算して求められる。管理用計算機104が、その位置情報に応じて機密ファイルの使用許可を与えるものである。したがって、機密ファイルを使用できる場所を、例えば関連する事業所や使用者(ユーザ)の自宅等の限定された範囲に制限することができる。その結果、公衆の場所での機密情報の覗き見を防ぐことができる。また、モバイル端末103の紛失や盗難があった場合でも、特定の場所以外での機密ファイルの悪用を防ぐことができる。
【特許文献1】特開2003−256287号公報(図9)
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかし、従来の方法では、機密ファイルを使用できる場所が限定されてしまうので、柔軟性に乏しく使い勝手が悪かった。GPS位置測定機能のみを用いた従来例では、屋内においてGPS衛星からの測位電波を受信できるのが、窓際に限られてしまうので特に使い難かった。RFID(Radio Frequency Identification)を併用する方法も考えられるが、RFIDの電波が存在する範囲でしか使えない欠点は、GPS位置測定機能と同様である。
【0006】
また、上記した従来方法では、最初から機密情報の略取を目的とした携帯端末の盗難に対応することができない課題がある。機密情報の略取を目的とする者は、機密ファイルが記録された記録装置(ハードディスクドライブ等)を携帯端末から取り出し、機密ファイルを解読してしまう。つまり、携帯端末が盗難された場合は、携帯端末内に機密ファイルを残して置くこと自体が問題である。このように、位置情報によって機密ファイルの使用制限を行うだけの方法では、機密情報の管理として不十分であった。
【0007】
機密情報が漏洩した場合の損失は非常に大きく、場合によっては企業の存続にも関わる事態に発展することもある。したがって、管理をより厳しくした機密ファイルのファイル管理方法が求められている。一方、機密情報の管理を単純に厳しくしただけでは使い勝手の悪いものになってしまう恐れがある。携帯端末の置かれた状況に応じて求められる機密情報に関する安全保障の水準(以降、「セキュリティ強度」と称する。)も変化するので、そのセキュリティ強度の変化に対応できるファイル管理方法が求められている。
【0008】
この発明は、このような点に鑑みてなされたものであり、携帯端末の置かれた状況に応じて十分な安全性を確保しながら使い勝手の良い携帯端末用暗号化ファイル管理システムとその方法と、それらの装置とそのプログラムを提供することを目的とする。
【課題を解決するための手段】
【0009】
この発明の携帯端末用暗号化ファイル管理システムは、ネットワークに接続され、ユーザの操作によりユーザ認証を要求して保存している暗号化ファイルを復号化する携帯端末と、ユーザ認証を行う認証サーバと、から成る。携帯端末が、状況計測部と、ユーザ認証情報要求部と、記録部と、暗号化ファイル管理部とを備える。状況計測部は、携帯端末の状況を計測して状況情報を出力する。ユーザ認証情報要求部は、状況情報に応じたユーザ認証情報をユーザに要求する。記録部は、暗号化されたファイルを保存する。暗号化ファイル管理部は、ユーザ認証情報と状況情報と、認証サーバから入力される承認結果を入力として、状況情報に見合ったユーザ認証情報の場合で、且つ、ユーザ認証情報が上記認証サーバで承認された場合に、上記暗号化されたファイルの復号化を行う。
【発明の効果】
【0010】
この発明の携帯端末用暗号化ファイル管理システムは、状況計測部が携帯端末の置かれた状況を計測して状況情報を出力する。その状況情報に応じてユーザ認証情報要求部がユーザ認証情報をユーザに要求する。そして、暗号化ファイル管理部が状況情報に見合ったユーザ認証情報の場合に暗号化ファイルの復号化を行う。したがって、携帯端末の置かれた状況の変化を検知してその状況に見合ったセキュリティ強度で暗号化ファイルを管理することができるので安全性が高い。また、携帯端末の状況に応じたユーザ認証情報をユーザに要求するので、柔軟性を持った使い勝手の良い携帯端末用暗号化ファイル管理システムを提供することができる。
【発明を実施するための最良の形態】
【0011】
以下、この発明の実施の形態を図面を参照して説明する。複数の図面中同一のものには同じ参照符号を付し、説明は繰り返さない。
【実施例1】
【0012】
図1にこの発明の一例である携帯端末用暗号化ファイル管理システム10のシステム構成を示す。携帯端末用暗号化ファイル管理システム10は、認証サーバ12と、携帯端末16とが、ネットワーク(以降、「NW」と称する。)14を介して接続されている。認証サーバ12はユーザを認証する。携帯端末16は、ユーザの操作により認証サーバ12に認証を要求する。
【0013】
認証サーバ12は、通信インターフェース部121と、ユーザ認証部122と、制御部124を備える。携帯端末16は、通信インターフェース161と、暗号化ファイル管理部162と、記録部163と、ユーザ認証情報要求部164と、状況計測部165を備える。図2に認証サーバ12と携帯端末16の動作シーケンスを示す。携帯端末16の状況計測部165が、携帯端末16の置かれた状況を計測して状況情報を出力する(ステップS165)。状況情報としては、例えば上記した従来例と同じようにGPS位置測定機能による携帯端末が置かれた場所の緯度経度情報の他に、加速度情報や、RFIDの利用等(詳しくは後述する)が考えられる。ユーザ認証情報要求部164は、状況情報に応じたユーザ認証情報をユーザに要求して、図示しないキーボード等から例えばOTP(One Time Password)や、指紋センサや網膜センサによる生体認識情報等のユーザ認証情報を入手する(ステップS164)。暗号化ファイル管理部162は、入手したユーザ認証情報を、通信インターフェース部161を介してNW14の先に接続された認証サーバ12に送信して認証要求する(ステップS30)。認証サーバ12のユーザ認証部122は、認証サーバ12の通信インターフェース部121を介して入手したユーザ認証情報を認証し、認証結果を携帯端末16に送信する(ステップS31)。携帯端末16の暗号化ファイル管理部162は、認証サーバ12からの認証結果と、ユーザ認証情報要求部164からのユーザ認証情報と、状況計測部165からの状況情報を入力として、ユーザ認証情報が状況情報に見合った場合で、且つ、認証結果が承認された場合に、記録部163に記録されている暗号化ファイル163aを復号化して編集可能にする(ステップS162)。
【0014】
携帯端末16と認証サーバ12は、例えばROM、RAM、CPU等で構成されるコンピュータに所定のプログラムが読み込まれて、CPUがそのプログラムを実行することで実現されるものである。それぞれの制御部166,124が、それぞれのプログラムにしたがって各部の動作を、上記した過程で制御する。その結果、携帯端末16の置かれた状況に応じて十分な安全性を確保しながら、使い勝手の良い携帯端末用暗号化ファイル管理システムを実現することができる。
【0015】
次に暗号化ファイル管理部162と、ユーザ認証情報要求部164と、状況計測部165のより具体的な構成例を示して動作をより詳しく説明する。携帯端末16と認証サーバ12の動作フローを図3と図4に示す。図1に示す様に、暗号化ファイル管理部162は、状況認証情報判断部1621と、暗号鍵一時記録部1623を備えた認証サーバ連携部1622と、ファイル管理部1624と、暗号化部1625と、復号化部1626とで構成される。
【0016】
状況計測部165は、例えばGPS位置測定機能を持ち、GPS衛星からの測位電波を受信して携帯端末16の位置情報を状況情報として暗号化ファイル管理部162に出力する(ステップS1651、図3参照)。状況情報は、暗号化ファイル管理部162を介してユーザ認証情報要求部164に入力される。ユーザ認証情報要求部164の状況判断部1641は、状況情報から携帯端末16の置かれている状況を判断する(ステップS1641a)。状況情報から緊急事態(詳しくは後述する)と判断(ステップS1641bのY)すると、この例では、暗号化ファイル163aを使用できないようにファイルロック、又はファイルを消去する(ステップS1624)。状況判断部1641が、状況情報からセキュリティ強度を上げる事態と判断する(ステップS1641c)と、ユーザ情報要求部1642は、その状況に見合ったユーザ認証情報をユーザに要求する(ステップS1642a)。セキュリティ強度を上げずに済む状況としては、例えば社内で携帯端末16を使用する場合が考えられる。この場合は例えばユーザIDとパスワードのみでユーザ認証を行う。
【0017】
セキュリティ強度を上げる事態とは、例えば、携帯端末が社外で使用されている状況が考えられる。その場合は、通常のユーザIDとパスワードの他に上長の許可を得ていることを表わす識別コードを要求する。携帯端末16を操作するユーザは、その要求に対してユーザIDとパスワードと識別コードをキーボード等の入力手段を用いてユーザ認証情報要求部164に入力する(ステップS1642b)。ユーザ認証情報要求部164に入力されたユーザ認証情報は、暗号化ファイル管理部162に入力される。暗号化ファイル管理部162の状況認証情報判断部1621は、ユーザ認証情報が状況計測部165から入力される状況情報に見合ったものかを判断する(ステップS1621)。ユーザ認証情報が状況情報に見合ったものであった場合、状況認証情報判断部1621は、認証サーバ連携部1622に認証サーバ12に対するユーザ認証情報の送信を指示する。状況認証情報判断部1621は、その指示に従い認証サーバ12に認証要求をする(ステップS1622a)。ユーザ認証情報が状況情報に見合わない場合は、この例では上記した緊急事態の場合(ステップS1641bのY)と同じようにファイル管理部1624が、暗号化ファイル163aを使用できないようにファイルロック、又はファイルを消去する(ステップS1624)。
【0018】
認証サーバ12のユーザ認証部122は、携帯端末16からのユーザ認証情報を受信する(ステップS1221、図4参照)。そしてユーザ認証情報を認証する(ステップS1222)。ユーザ認証部122は、ユーザ認証情報が正当でありユーザを承認できる場合(ステップS1223のY)は、承認された結果を表わす認証結果と、暗号化ファイル163aを復号化する共通鍵を、携帯端末16に送信する(ステップS1225)。ユーザを否認する場合(ステップS1223N)は、否認された結果を表わす認証結果のみを携帯端末16に送信する(ステップS1224)。
【0019】
携帯端末16の認証サーバ連携部1622は、認証サーバ12の認証結果を受信する(ステップS1622b)。認証サーバ連携部1622は、認証結果が承認された場合、共通鍵を暗号鍵一時記録部1623に記録すると共にファイル管理部1624に暗号化ファイル163aの復号化を指示する。復号化部1626は、暗号鍵一時記録部1623から共通鍵を読み出して暗号化ファイル163aを復号化する(ステップS1626)。認証結果が否認の場合は、上記した緊急事態の場合と同様にファイル管理部1624が、暗号化ファイル163aを使用できないようにファイルロック、又はファイルを消去する(ステップS1624)。図3の動作フローでは省略しているが、暗号化部1625は、復号化された後に編集されたファイルを、再び暗号化して記録部163に記録する。
【0020】
ここで緊急事態について図5に示す状況計測部165を用いて説明する。緊急事態とは、例えば携帯端末16が盗難に遭い、暗号化ファイル163aが略取されることが想定される事態である。想定される状況情報としては、例えば過大な加速度が携帯端末16に加わった場合や、ハードディスクドライブ(以降、「HDD」と称する。)を取り外す目的で携帯端末16の筺体が開けられた場合等が考えられる。もちろん、上記したGPS位置測定機能でも、測定された場所がある特定の場所の場合に緊急事態と判断するようにしても良い。しかし、GPS位置測定機能の位置情報だけで緊急事態を判断するのは、誤判断の可能性が高く危険である。よって、図5に示すような他の方式の状況計測部165を用いることで、緊急事態の判断の精度を上げる方法が考えられる。
【0021】
図5(a)に示す状況計測部165は、加速度検出部50とAD変換部51とで構成される。加速度検出部50は、例えば圧電素子等で形成された加速度センサを備え、加速度センサに加わる加速度に比例した電圧値を生成する。AD変換部51は、加速度検出部50が生成する電圧値をディジタル値に変換して状況情報とする。
【0022】
携帯端末は、液晶パネルやHDD等の衝撃に対して弱い部品から構成されるため、丁重に扱われるのが一般的である。しかし、携帯端末が盗難に会った場合は、乱雑に扱われ携帯端末に通常は加わらないような過大な加速度が加わる状況が想定できる。図5(a)に示す状況計測部165は、その過大な加速度を検出するものである。
【0023】
図5(b)に示す状況計測部165´は、筺体オープン検知スイッチ52と抵抗53とで構成される。筺体オープン検知スイッチ52の一端は携帯端末の正電源に接続され、その他端には抵抗53の一端が接続され、さらに抵抗53の他端が携帯端末の負電源に接続されている。筺体オープン検知スイッチ52の他端と抵抗53の一端との接続点が状況情報の出力端子とされている。携帯端末の筺体は、通常は分解されることがない。筺体が分解されない状態では、筺体オープン検知スイッチ52は閉じた状態にあり、携帯端末の正電源から負電源に向けて電流が流れるので、抵抗53の一端である状況情報は正電源の電圧値となる。悪意の第三者が携帯端末の筺体を分解した場合には、筺体オープン検知スイッチ52が開状態となり、状況情報は負電源の電圧値に変化する。この状態情報の変化を暗号化ファイル管理部162の状況認証情報判断部1621が検出した場合、ファイル管理部1624はただちに暗号化ファイル163aを消去する。と同時に暗号鍵一時記録部1623に共通鍵が記録されていれば、共通鍵も消去する。このようにすることで暗号化ファイル163aが第三者に渡ってしまうことを防止することができる。
【0024】
なお、筺体オープン検知スイッチ52が開状態になった場合は、その情報のみで緊急事態と判断して良いと思われる。一方、加速度検出の場合は、誤って携帯端末を落とすなどして過大な加速度を携帯端末に与えてしまう場合も容易に想定されるので、単独での使用は危険である。
【0025】
そこで、図6に示すように複数の状況計測部を併用する方法が考えられる。図6に示す状況計測部60は、GPS位置測定機能61と、加速度検出機能62と、筺体オープン検知スイッチ63と、RFID64と、紛失防止用センサ65とを備える。GPS位置測定機能61は上記したそれと同じものである。加速度検出機能部62も図5(a)で説明済みの状況計測部165と同じものである。筺体オープン検知スイッチ63も図5(b)で説明済みの状況計測部165´と同じものである。RFID64は、例えば電波方式のアクティブタグの利用が考えられ、特定の会議室等の限定された位置情報を得るものである。紛失防止用センサ65は、例えば、携帯端末とユーザ間を微弱電波の無線で接続し、電界強度が一定値以上あるか否かで携帯端末とユーザとの物理的な距離の大きさを測定するものである。このようにGPS位置測定機能61〜紛失防止用センサ65は、それぞれが状況計測部を構成するものである。これらの各状況計測部の出力する状況情報を、暗号化ファイル管理部162及びユーザ認証情報要求部164が並列に処理をして状況判断することで、状況判断の精度を向上させることができる。例えば、紛失防止用センサ65の状況情報が、携帯端末とユーザとの距離が離れている状態を表わしている時に、加速度検出機能部62が過大な加速度を検出した場合、緊急事態と判定するなどの対応が考えられる。このように複数の状況計測部を組み合わせて用いることで、状況判断の精度を向上させる効果が期待できる。
【0026】
以上述べたように携帯端末用暗号化ファイル管理システム10によれば、携帯端末16を社内で使用する場合は、例えば通常のユーザIDとパスワードのみでユーザ認証を行う。携帯端末16を社外で使用する場合は、例えば上長の許可を得ていることを表わす識別コードとユーザIDとパスワードでユーザ認証を行う。このように、状況で変化するセキュリティ強度の大きさに応じて暗号化ファイルを管理することができる。更に緊急事態の場合は、暗号化ファイルをロック又は消去するので、第三者による機密情報の悪用を完全に防止することが可能である。なお、状況情報に見合ったユーザ認証情報が得られない場合も、緊急事態と同様に暗号化ファイルをロック又は消去する例で説明を行ったが、その場合は、なりすましが難しい例えば生体情報等のユーザ認証情報を再度ユーザに求めるようにしても良い。
【実施例2】
【0027】
この発明の携帯端末用暗号化ファイル管理システムの実施例2として、認証サーバ12側に認証状況データ記録部125を備えた構成を説明する。実施例2は、認証サーバ12側でも携帯端末の状況情報の判定を行うようにしたものである。認証状況データ記録部125を図1に破線で示す。携帯端末16側の構成と動作は基本的には実施例1と同じであるが、認証要求時にユーザ認証情報に加えて状況情報を、認証サーバ12に送信する点が異なる。実施例2の認証サーバ12の動作フローを図7に示して説明する。
【0028】
ステップS1223のユーザ認証までの動作フローは、状況情報の受信(ステップS1226)が加わった点のみが異なるだけで実施例1と同じである。認証サーバ12のユーザ認証部122は、携帯端末16から送信された状況情報を元に、認証状況データ記録部125を参照して状況認証を行う(ステップS1227)。携帯端末の状況が認証される(ステップS1228のY)と、ユーザ認証部122は、ユーザ認証と状況認証の結果が承認されたことを表わす認証結果と共通鍵を携帯端末に送信する(ステップS1224)。携帯端末の状況が否認される(ステップS1228のN)と、否認結果を携帯端末16に送信する(ステップS1225)。
【0029】
このように認証サーバ12側でも携帯端末16の状況を判断するようにすると、携帯端末用暗号化ファイル管理システムをより使い易くすることができる。例えば、上記した例のようにユーザが社外で携帯端末16を使用する場合に、急な外出や出張で事前に上長の使用許可を得られない場合も考えられる。そのような場合には、実施例1に示した携帯端末16側だけで状況情報を判断する方法では、社外で携帯端末を使用することができない。実施例2の構成であれば、外出後でも携帯端末を使用可能にすることが可能である。つまり、電子メールや電話等で外出先から上長に使用許可を願い出て、NW14に接続された上長のPCから認証サーバ12の認証状況データ記録部124に使用許可情報を書き込んでもらえば良い。このように認証サーバ12に認証状況データ記録部125を設け、認証サーバ12側でも携帯端末の状況の認証を行うようにすることで、携帯端末用暗号化ファイル管理システムの使い勝手をより良くすることが可能になる。
【0030】
また、認証サーバ12側が主導権を持ってより積極的に携帯端末の暗号化ファイルの管理を行うことも可能になる。例えば、盗まれた携帯端末16から認証サーバ12に認証要求があった場合、事前に認証状況データ記録部125に盗難された携帯端末である情報を書き込んで置くことで、直ちに携帯端末16の暗号化ファイル163aを消去するように携帯端末16を制御することも可能である。
【実施例3】
【0031】
この発明の携帯端末用暗号化ファイル管理システムの実施例3として、携帯端末16に状況情報だけを記録する状況データ記録部166を設けた構成例を示す。実施例1と2の説明は、状況計測部165が携帯端末を使用する時だけ動作する前提で行った。例えば、携帯端末16を使用する場所の緯度経度情報を、GPS位置測定機能でその都度測定していた。それらの状況情報の履歴が必要な場合は、例えば制御部166を形成するRAM、又は、暗号化ファイル163aが記録された記録部163(HDD)に記録することになる。
【0032】
状況情報の履歴は重要な情報であるため、悪意の第三者による改竄を容易にできないようにする必要がある。しかし、通常のPCのRAMやHDDに記録したのでは、第三者に容易に発見されて改竄されてしまう恐れがある。状況情報の情報量は、暗号化ファイル163a等と比較すると小さな情報量なので、容量の小さなフラッシュメモリー(flash memory)に独立させて記録することで、第三者からの発見を難しくすることができる。また、状況データ記録部166を耐タンパ性能を持ったチップで構成することで、更に第三者による状況情報の改竄を困難にすることができる。耐タンパ性とは、物理的かつ論理的に内部の情報を読み取られることに対する耐性のことである。
【0033】
状況情報の履歴の改竄を容易にできないようにすることで、状況情報の履歴を状況情報として積極的に利用することが考えられる。例えば、携帯端末の緯度経度情報の履歴が、出張計画と合っているかは、有効な状況情報の判断基準になる。また、状況計測部165と状況データ記録部166を、ユーザが携帯端末を使用しない時に動作させることでより有効な状況情報を得ることができる。例えば、上記した加速度検出機能による状態計測部は、携帯端末16を未使用時にも連続して計測可能にすることで、携帯端末16がどのように扱われたかについてのより正確な情報を得ることが可能になる。
【0034】
このように携帯端末に状況データ記録部166を設けることで、悪意の第三者による改竄を容易にできないようにすると共に、状況情報の履歴を有効に利用できるようにする効果が得られる。
【0035】
なお、上記した出張計画と携帯端末の位置情報の履歴との整合を見て携帯端末の状況情報を判断する方式を、例えば状態遷移方式とすると、他に危険度点数方式やルール方式が考えられる。危険度点数方式とは、図6で説明した複数の状況計測部を併用する場合において、各状況計測部の出力する状況情報のそれぞれに点数を付けて、その点数の合計で携帯端末の状況を判断する方式である。例えば、筺体オープンスイッチ63が開放された場合は100点、また、ユーザが携帯端末16から離れている状況を40点、その状況において過大な加速度が携帯端末16に加わった場合を60点としてその合計が100点になったら緊急事態とする方式である。ルール方式は、上記した例のように社外で携帯端末を使用する場合は上長の許可を必要とするといったように、その状況に応じた規則を予め決めておくものである。なお、これらの方式を組み合わせて使って携帯端末の状況を判断しても良い。
【0036】
また、緊急事態を判断する方法として状況計測部165が、ハードウェアで状態を検出する例のみを示して説明を行ったが、ユーザ認証情報をソフトウェアで処理して緊急事態を判断する方法もある。例えば、ユーザ認証の基本情報であるユーザIDを複数回間違える場合や、存在しないユーザIDで何度も認証要求されることは通常は考えられない。このような異常な状況を、ソフトウェアで検出して緊急事態と判断しても良い。また、携帯端末16を接続しているネットワークの種類をPSID等で分類して、携帯端末16の位置をソフトウェアで論理的に求める状況計測部も考えられる。その状況計測部を、論理的な位置検出部66として図6に破線で示す。
【0037】
以上述べたように、この発明の携帯端末用暗号化ファイル管理システムは、携帯端末の置かれた状況の変化を検出して、その状況変化に見合ったセキュリティ強度でファイル管理を行う考えである。この発明の技術思想に基づく携帯端末用暗号化ファイル管理システムとその方法と、それらの装置は上述の実施形態に限定されるものではなく、この発明の趣旨を逸脱しない範囲で適宜変更が可能である。例えば、携帯端末16はノートPCを想定した例で説明を行ったが、暗号化ファイル管理部162と記録部163のみの機能を、例えばUSBポートに直接挿入されるUSBメモリの形状で構成しても良い。その場合は、ユーザ認証情報要求部164と、状況計測部165と、制御部166の各機能は、そのUSBメモリ形状をしたこの発明の携帯端末が挿入される例えばノートPC側のものを使用する。このように、携帯端末の形態も一台のノートPCに限定されない。
【0038】
また、上記した実施例は、携帯端末16と認証サーバ12とがオンラインの場合を説明したが、携帯端末16をオフラインで用いることも当然できる。その場合の携帯端末16の動作フローを図8に示す。オンラインの動作フローの図3とは、認証サーバ12とのやり取りの部分ステップS1622a〜ステップS1622cが無いことが異なるだけである。このように携帯端末をオフラインで使用しても、携帯端末の置かれた状況に応じて十分な安全性を確保しながら暗号化ファイルの復号化を行うことが可能である。
【0039】
なお、上記した方法及び装置において説明した処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されるとしてもよい。
【0040】
また、上記装置における処理手段をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、各装置における処理手段がコンピュータ上で実現される。
【0041】
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。具体的には、例えば、磁気記録装置として、ハードディスク装置、フレキシブルディスク、磁気テープ等を、光ディスクとして、DVD(Digital Versatile Disc)、DVD-RAM(Random Access Memory)、CD-ROM(Compact Disc Read Only Memory)、CD-R(Recordable)/RW(ReWritable)等を、光磁気記録媒体として、MO(Magneto Optical disc)等を、半導体メモリとしてフラッシュメモリー等を用いることができる。
【0042】
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記録装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
【0043】
また、各手段は、コンピュータ上で所定のプログラムを実行させることにより構成することにしてもよいし、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。
【図面の簡単な説明】
【0044】
【図1】この発明の携帯端末用暗号化ファイル管理システム10のシステム構成を示す図。
【図2】携帯端末用暗号化ファイル管理システム10における認証サーバ12と携帯端末16の動作シーケンスを示す図。
【図3】携帯端末16の動作フローを示す図。
【図4】認証サーバ12の動作フローを示す図。
【図5】状況計測部165の一例を示す図であり、(a)は加速度検出部、(b)は筺体オープンスイッチで構成される状況計測部を示す。
【図6】複数の状況計測部を併用する方法を示す図。
【図7】実施例2の認証サーバの動作フローを示す図。
【図8】携帯端末16がオフラインで動作する場合の動作フローを示す図。
【図9】特許文献1に開示されたモバイル端末管理システムのシステム構成を示す図。
【特許請求の範囲】
【請求項1】
ネットワークに接続され、ユーザの操作によりユーザ認証を要求し、保存している暗号化ファイルを復号化する携帯端末と、
上記ユーザ認証を行う認証サーバと、
から成る携帯端末用暗号化ファイル管理システムにおいて、
上記携帯端末が、
上記携帯端末の状況を計測して状況情報を出力する状況計測部と、
上記状況情報に応じたユーザ認証情報を上記ユーザに要求するユーザ認証情報要求部と、
暗号化されたファイルを保存する記録部と、
上記ユーザ認証情報と上記状況情報と、上記認証サーバから入力される認証結果を入力として、上記状況情報に見合った上記ユーザ認証情報の場合で、且つ、上記認証結果が承認された場合に、上記暗号化されたファイルの復号化を行う暗号化ファイル管理部と、
を備えた携帯端末用暗号化ファイル管理システム。
【請求項2】
請求項1に記載の携帯端末用暗号化ファイル管理システムにおいて、
上記認証サーバは、認証状況データ記録部を備え、
上記暗号化ファイル管理部は、上記状況情報と上記ユーザ認証情報とを上記認証サーバに送信して認証要求し、
上記認証サーバは、上記認証要求に対して上記認証状況データ記録部を参照してユーザを認証することを特徴とする携帯端末用暗号化ファイル管理システム。
【請求項3】
請求項1又は2に記載の携帯端末用暗号化ファイル管理システムにおいて、
上記携帯端末は、状況データ記録部を更に備え、
上記状況計測部は、上記携帯端末の未使用時にも動作して上記携帯端末の状況を計測し、上記状況データ記録部に上記計測結果を記録することを特徴とする携帯端末用暗号化ファイル管理システム。
【請求項4】
認証サーバが、携帯端末から送信されるユーザ認証情報を認証する認証過程を含み、
上記携帯端末が、
上記携帯端末の状況を計測して状況情報を出力する状況計測過程と、
上記状況情報に応じたユーザ認証情報を上記ユーザに要求するユーザ認証情報要求過程と、
上記ユーザ認証情報と上記状況情報を入力として、上記状況情報に見合った上記ユーザ認証情報の場合で、且つ、上記認証過程の結果が承認された場合に、上記暗号化されたファイルの復号化を行う暗号化ファイル管理過程と、
を含むことを特徴とする携帯端末用暗号化ファイル管理方法。
【請求項5】
請求項4に記載の携帯端末用暗号化ファイル管理方法において、
上記認証過程は、上記状況情報と上記ユーザ認証情報とを入力とし、認証状況データ記録部を参照してユーザを認証する過程であることを特徴とする携帯端末用暗号化ファイル管理方法。
【請求項6】
請求項4又は5に記載の携帯端末用暗号化ファイル管理方法において、
上記状況計測過程は、上記携帯端末が未使用時にも行われて上記携帯端末の状況を計測し、上記状況データ記録部に上記計測結果を記録する過程であることを特徴とする携帯端末用暗号化ファイル管理方法。
【請求項7】
ネットワークに接続されている時は、認証サーバにユーザ認証を要求し、ネットワークに未接続の時は、携帯端末単体でユーザを認証する携帯端末装置であって、
上記携帯端末の状況を計測して状況情報を出力する状況計測部と、
上記状況情報に応じたユーザ認証情報を要求してユーザを認証するユーザ認証部と、
暗号化されたファイルを保存する記録部と、
上記ユーザ認証情報と上記状況情報とを入力として、上記状況情報に見合った上記ユーザ認証情報の場合に、上記暗号化されたファイルの復号化を行う暗号化ファイル管理部と、
を備えた携帯端末装置。
【請求項8】
請求項7に記載の携帯端末装置において、
上記状況計測部が計測した結果を記録する状況データ記録部を更に備えたことを特徴とする携帯端末装置。
【請求項9】
ネットワークに接続されたユーザを認証する認証サーバ装置であって、
認証サーバ装置は、認証状況データ記録部を備え、認証要求に対して上記認証状況データ記録部を参照してユーザを認証することを特徴とする認証サーバ装置。
【請求項10】
請求項7乃至9の何れかに記載した各装置としてコンピュータを機能させるための装置プログラム。
【請求項1】
ネットワークに接続され、ユーザの操作によりユーザ認証を要求し、保存している暗号化ファイルを復号化する携帯端末と、
上記ユーザ認証を行う認証サーバと、
から成る携帯端末用暗号化ファイル管理システムにおいて、
上記携帯端末が、
上記携帯端末の状況を計測して状況情報を出力する状況計測部と、
上記状況情報に応じたユーザ認証情報を上記ユーザに要求するユーザ認証情報要求部と、
暗号化されたファイルを保存する記録部と、
上記ユーザ認証情報と上記状況情報と、上記認証サーバから入力される認証結果を入力として、上記状況情報に見合った上記ユーザ認証情報の場合で、且つ、上記認証結果が承認された場合に、上記暗号化されたファイルの復号化を行う暗号化ファイル管理部と、
を備えた携帯端末用暗号化ファイル管理システム。
【請求項2】
請求項1に記載の携帯端末用暗号化ファイル管理システムにおいて、
上記認証サーバは、認証状況データ記録部を備え、
上記暗号化ファイル管理部は、上記状況情報と上記ユーザ認証情報とを上記認証サーバに送信して認証要求し、
上記認証サーバは、上記認証要求に対して上記認証状況データ記録部を参照してユーザを認証することを特徴とする携帯端末用暗号化ファイル管理システム。
【請求項3】
請求項1又は2に記載の携帯端末用暗号化ファイル管理システムにおいて、
上記携帯端末は、状況データ記録部を更に備え、
上記状況計測部は、上記携帯端末の未使用時にも動作して上記携帯端末の状況を計測し、上記状況データ記録部に上記計測結果を記録することを特徴とする携帯端末用暗号化ファイル管理システム。
【請求項4】
認証サーバが、携帯端末から送信されるユーザ認証情報を認証する認証過程を含み、
上記携帯端末が、
上記携帯端末の状況を計測して状況情報を出力する状況計測過程と、
上記状況情報に応じたユーザ認証情報を上記ユーザに要求するユーザ認証情報要求過程と、
上記ユーザ認証情報と上記状況情報を入力として、上記状況情報に見合った上記ユーザ認証情報の場合で、且つ、上記認証過程の結果が承認された場合に、上記暗号化されたファイルの復号化を行う暗号化ファイル管理過程と、
を含むことを特徴とする携帯端末用暗号化ファイル管理方法。
【請求項5】
請求項4に記載の携帯端末用暗号化ファイル管理方法において、
上記認証過程は、上記状況情報と上記ユーザ認証情報とを入力とし、認証状況データ記録部を参照してユーザを認証する過程であることを特徴とする携帯端末用暗号化ファイル管理方法。
【請求項6】
請求項4又は5に記載の携帯端末用暗号化ファイル管理方法において、
上記状況計測過程は、上記携帯端末が未使用時にも行われて上記携帯端末の状況を計測し、上記状況データ記録部に上記計測結果を記録する過程であることを特徴とする携帯端末用暗号化ファイル管理方法。
【請求項7】
ネットワークに接続されている時は、認証サーバにユーザ認証を要求し、ネットワークに未接続の時は、携帯端末単体でユーザを認証する携帯端末装置であって、
上記携帯端末の状況を計測して状況情報を出力する状況計測部と、
上記状況情報に応じたユーザ認証情報を要求してユーザを認証するユーザ認証部と、
暗号化されたファイルを保存する記録部と、
上記ユーザ認証情報と上記状況情報とを入力として、上記状況情報に見合った上記ユーザ認証情報の場合に、上記暗号化されたファイルの復号化を行う暗号化ファイル管理部と、
を備えた携帯端末装置。
【請求項8】
請求項7に記載の携帯端末装置において、
上記状況計測部が計測した結果を記録する状況データ記録部を更に備えたことを特徴とする携帯端末装置。
【請求項9】
ネットワークに接続されたユーザを認証する認証サーバ装置であって、
認証サーバ装置は、認証状況データ記録部を備え、認証要求に対して上記認証状況データ記録部を参照してユーザを認証することを特徴とする認証サーバ装置。
【請求項10】
請求項7乃至9の何れかに記載した各装置としてコンピュータを機能させるための装置プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2009−244955(P2009−244955A)
【公開日】平成21年10月22日(2009.10.22)
【国際特許分類】
【出願番号】特願2008−87679(P2008−87679)
【出願日】平成20年3月28日(2008.3.28)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成21年10月22日(2009.10.22)
【国際特許分類】
【出願日】平成20年3月28日(2008.3.28)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]