文書アクセス制御システム
【課題】ユーザによる明示的なアクションがなされていない文書ファイルにつき、オフライン状態でも与えられた権限に基づいてアクセスできるようにする。
【解決手段】セキュリティポリシーに応じてクライアントでの文書ファイルへのアクセスの可否を決定する文書アクセス制御システムであって、クライアントにおけるポリシー判定情報のキャッシュタイミングを決定するキャッシュタイミング決定手段と、キャッシュタイミング決定手段からの通知に応じてキャッシュ対象の文書ファイルに関するポリシー判定情報をサーバから取得するポリシー判定情報取得手段と、取得したポリシー判定情報を文書ファイルと関連付けて保管するポリシー判定情報保管手段と、オフライン時にユーザから文書ファイルへのアクセス要求があった場合に、保管されたポリシー判定情報に基づいて当該文書ファイルへのアクセスを制御するファイル利用制御手段とを備える。
【解決手段】セキュリティポリシーに応じてクライアントでの文書ファイルへのアクセスの可否を決定する文書アクセス制御システムであって、クライアントにおけるポリシー判定情報のキャッシュタイミングを決定するキャッシュタイミング決定手段と、キャッシュタイミング決定手段からの通知に応じてキャッシュ対象の文書ファイルに関するポリシー判定情報をサーバから取得するポリシー判定情報取得手段と、取得したポリシー判定情報を文書ファイルと関連付けて保管するポリシー判定情報保管手段と、オフライン時にユーザから文書ファイルへのアクセス要求があった場合に、保管されたポリシー判定情報に基づいて当該文書ファイルへのアクセスを制御するファイル利用制御手段とを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、オフライン環境においても使用できる文書アクセス制御システムに関する。
【背景技術】
【0002】
文書アクセス(閲覧、編集、印刷等)の可否および要件を定めたセキュリティポリシーをあらかじめサーバに設定しておき、暗号化された文書ファイルにクライアント側でアクセスしようとした際に、クライアントの文書利用アプリケーションがその可否や要件をサーバに問い合わせ、アクセス可能である場合には復号する鍵をサーバから受け取って文書ファイルにアクセスするというアクセス制御方法が提案されている(例えば、特許文献1〜3参照。)。
【0003】
ところで、これらの方式は、一貫したセキュリティポリシーを広い範囲で確実に適用させることが可能である反面、サーバとアクセスできないオフライン環境においてはその文書ファイルについてのセキュリティポリシーによるアクセス権判定情報および復号鍵をサーバから得ることができず、文書ファイルを全く利用できないという問題があった。
【0004】
この問題を解決し、オフライン環境でもセキュリティポリシーに従った文書アクセスを実現するために、クライアント側に必要な情報を持たせ、その情報に基づいてオフライン時のアクセスを制御する仕組みも提案されている(例えば、特許文献4、5参照。)。
【0005】
しかしながら、いずれの方法においても、オフラインアクセスに必要な情報は、文書ファイルを開いたことをトリガとしてサーバに要求されている。つまり、オンライン時に最低一度はその文書ファイルを開かないと必要な情報がクライアント側にキャッシュされることはない。この場合、一度も開いたことのない文書ファイルをオフライン環境で初めて開く必要が生じたときには対応できないという問題が生じる。
【0006】
また、オフライン状況下でのアクセスの可否を判定するための情報をどのタイミングでクライアントに保持しておくかという点について、特許文献4では詳しい記述がない。そもそもこの特許文献4では、保護対象の文書ファイルの中に復号鍵が含まれていて、それを取り出せるかどうかでアクセス制限を実現しているが、本発明の対象とする文書アクセス制御システムでは復号鍵は文書ファイルの中に含まれておらず、文書保護の方法が根本的に異なる。
【0007】
特許文献5も上述の特許文献4と同様、保護対象の文書ファイルの中に復号鍵が含まれていて、それを取り出せるかどうかでアクセス制限を実現しているため、文書保護の方法が根本的に異なる。
【0008】
一方、通常はオンライン環境において使用されることを前提としているデータをオフライン環境でも利用できるようにする技術として、例えばクライアントPC(Personal Computer)上で動作するWebブラウザが一度アクセスしたページのコンテンツをローカルにキャッシュする機能、自動Webサーバ巡回ソフトにより、登録されているWebページの内容を定期的にキャッシュする機能、あるいはファイルサーバ上のファイルをオフラインになった場合でも使用できるようにするファイルキャッシュ機能、さらにはネットワーク上のDB(Data Base)の内容をローカルにもコピーするレプリケーション機能等が知られている。
【0009】
しかしながら、これらの技術は単にオンラインでアクセスできる「コンテンツ」そのものをローカルにコピーしているだけであり、基本的にはオンライン時とオフライン時とで同じ動作をさせることを目的としているため、コンテンツのアクセス制御を行う(さらにはオンライン時とオフライン時とで挙動を変える)というようなことはしていない。
【特許文献1】米国特許第6339825号明細書 Authentica Inc.“Method of encrypting information for remote access while maintaining access control”
【特許文献2】米国特許第6289450号明細書 Authentica Inc.“Information security architecture for encrypting documents for remote access while maintaining access control”
【特許文献3】特開2004−152261号公報 リコー(金井、斉藤、谷内田)「ドキュメント印刷プログラム、ドキュメント保護プログラムおよびドキュメント保護システム」
【特許文献4】特開2003−228520号公報 パーヴェイシヴセキュリティーシステムズ「保護電子デ−タにオフラインでアクセスする方法及び装置」
【特許文献5】特開2005−141746号公報 アドビシステムズ「文書制御システムにおけるオフラインアクセス」
【発明の開示】
【発明が解決しようとする課題】
【0010】
本発明は上記の従来技術に存在する問題点を踏まえ、以下に挙げる課題を解決するためになされたものである。
(1)ユーザによる明示的なアクション(例えば一度開く等)がなされていない文書ファイルについても、サーバダウン等による突然のオフライン状態に陥った場合にも与えられた権限に基づいてアクセスできるようにすること。
(2)オンライン時とオフライン時のセキュリティレベルを変えられる(例えばオンライン時には閲覧も印刷も許可されるが、オフライン時には閲覧しか許可しない、等)ようにすること。
(3)クライアントに保持されたキャッシュ情報を改ざんすることによる不正アクセスを防ぐこと。
【課題を解決するための手段】
【0011】
上記の課題を解決するため、本発明にあっては、請求項1に記載されるように、サーバにセットされたセキュリティポリシーに応じて、クライアントでの文書ファイルへのアクセスの可否を決定する文書アクセス制御システムであって、上記クライアントにおけるポリシー判定情報のキャッシュタイミングを決定するキャッシュタイミング決定手段と、上記キャッシュタイミング決定手段からの通知に応じてキャッシュ対象の文書ファイルに関するポリシー判定情報を上記サーバから取得するポリシー判定情報取得手段と、取得したポリシー判定情報を文書ファイルと関連付けて保管するポリシー判定情報保管手段と、オフライン時にユーザから文書ファイルへのアクセス要求があった場合に、上記ポリシー判定情報保管手段に保管されたポリシー判定情報に基づいて当該文書ファイルへのアクセスを制御するファイル利用制御手段とを備える文書アクセス制御システムを要旨としている。これにより、クライアント内にキャッシュされているポリシー判定情報を参照することで、サーバに直接ポリシー判定を要求できない場合であってもポリシーに従ったアクセス制御を実施することができる。
【0012】
また、請求項2に記載されるように、請求項1に記載の文書アクセス制御システムにおいて、上記キャッシュタイミング決定手段は、上記クライアントにおけるキャッシュ対象の文書ファイルの生成を監視し、上記ポリシー判定情報取得手段は、生成された文書ファイルに関するポリシー判定情報をサーバから取得するようにすることができる。これにより、ユーザが対象となる文書ファイルを指定しなくても自動でポリシー判定情報がクライアントに保管される。
【0013】
また、請求項3に記載されるように、請求項1に記載の文書アクセス制御システムにおいて、上記キャッシュタイミング決定手段は、上記クライアントにおけるキャッシュ対象の文書ファイルのポリシー判定情報を定期的に更新することを指示し、上記ポリシー判定情報取得手段は、キャッシュ対象の文書ファイルに関するポリシー判定情報を上記サーバから取得するようにすることができる。これにより、ユーザがいちいちキャッシュ処理を指示しなくてもポリシー判定情報が最新状態に更新される。
【0014】
また、請求項4に記載されるように、請求項1に記載の文書アクセス制御システムにおいて、上記キャッシュタイミング決定手段は、上記クライアントにおけるキャッシュ対象の文書ファイルのユーザによる明示的な指定を受け取り、上記ポリシー判定情報取得手段は、指定されたキャッシュ対象の文書ファイルに関するポリシー判定情報を上記サーバから取得するようにすることができる。これにより、ユーザがいちいち文書ファイルを開くことなくポリシー判定情報が最新状態に更新される。
【0015】
また、請求項5に記載されるように、請求項4に記載の文書アクセス制御システムにおいて、文書ファイルの明示的な指定は、個々のファイルを指定する代わりにフォルダを指定することによって、その下にあるキャッシュ対象の文書ファイルすべてを指定するようにすることができる。これにより、ユーザが文書ファイルを一つひとつ指定しなくてもフォルダを一つ指定するだけでまとめて指定したことになる。
【0016】
また、請求項6に記載されるように、請求項1に記載の文書アクセス制御システムにおいて、上記ポリシー判定情報取得手段は、ユーザによってアクセスされたキャッシュ対象の文書ファイルに関するポリシー判定情報を上記サーバから取得するようにすることができる。これにより、ユーザが対象文書ファイルを開いたときにポリシー判定情報が最新状態に更新される。
【0017】
また、請求項7に記載されるように、請求項1乃至6のいずれか一項に記載の文書アクセス制御システムにおいて、上記サーバと通信できる状態か否かを判別するネットワーク状態判定手段をさらに備え、上記サーバと通信できる状態時には上記サーバに問い合わせて得られるポリシー判定情報に従い、上記サーバと通信できない状態時には上記ポリシー判定情報保管手段にあらかじめ保管されているポリシー判定情報に従って、文書へのアクセス可否および要件を決定するようにすることができる。これにより、オンライン時とオフライン時で問い合わせ先を切り替えることで、オンライン時にはサーバ提供の最新状態のポリシー判定情報に従うことができる。
【0018】
また、請求項8に記載されるように、請求項1乃至7のいずれか一項に記載の文書アクセス制御システムにおいて、各ポリシー判定情報は、対象となる文書の識別情報と、アクセスしようとするユーザの識別情報と、アクセス種別と、アクセスの可否および要件とを少なくとも含むものとすることができる。具体的には、Resource,Subject,Action,OK/NG,(Obligation)の組み合わせで一つの判定情報とすることで、細かなアクセス制御ルールに対応できる。
【0019】
また、請求項9に記載されるように、請求項1乃至8のいずれか一項に記載の文書アクセス制御システムにおいて、各ポリシー判定情報の中に、さらにその文書をオフラインで利用できる有効期間および有効回数のいずれかあるいは両方の条件が含まれ、指定された有効期間あるいは有効回数の制限に応じて、その文書に対するアクセスの可否を決定するようにすることができる。これにより、有効期間・有効回数の制限が可能となる。
【0020】
また、請求項10に記載されるように、請求項1乃至9のいずれか一項に記載の文書アクセス制御システムにおいて、アクセス制御の対象となる文書ファイルは、あらかじめ文書ファイル固有の暗号鍵で暗号化され、各ポリシー判定情報の中に、文書ファイル固有の復号に必要な情報が含まれているものとすることができる。これにより、ある文書ファイルから仮に暗号鍵が漏洩したとしても、影響は少なくて済む。
【0021】
また、請求項11に記載されるように、請求項1乃至10のいずれか一項に記載の文書アクセス制御システムにおいて、上記ポリシー判定情報は、暗号化された状態でクライアントに保管されるものとすることができる。これにより、ポリシー判定情報(有効期間や有効回数も含む)を書き換えることによる不正アクセスを防ぐことができる。
【0022】
また、請求項12に記載されるように、請求項11に記載の文書アクセス制御システムにおいて、上記ポリシー判定情報を暗号化する暗号鍵として、上記ポリシー判定情報保管手段が秘密に保持している情報とユーザ固有の情報とを組み合わせて生成される暗号鍵を使用するようにすることができる。これにより、オフライン時にユーザパスワードを知らない他のユーザが不正に文書にアクセス(文書を復号)することを防止できる。
【0023】
また、請求項13に記載されるように、請求項1乃至12のいずれか一項に記載の文書アクセス制御システムにおいて、オフライン時にポリシー判定情報に基づいて実施された文書へのアクセスを記録するログ管理手段をさらに備えるようにすることができる。これにより、ログによる不正抑止効果を期待できる。
【0024】
また、請求項14に記載されるように、請求項13に記載の文書アクセス制御システムにおいて、記録される各イベントについてその発生時刻も記録しておき、次にイベントが発生した際に時刻を比較し、後のイベント発生時刻が直前のイベント発生時刻よりも前であった場合にアクセスを拒否するようにすることができる。これにより、クライアントの時計修正による不正を減らすことができる。
【0025】
また、請求項15に記載されるように、請求項13または14のいずれか一項に記載の文書アクセス制御システムにおいて、ログ情報は、上記ログ管理手段あるいはポリシー判定情報保管手段が秘密に保持している情報を暗号鍵として暗号化された状態で保管されるものとすることができる。これにより、ログ(特にイベント発生時刻)の書き換えによる不正アクセスを防ぐことができる。
【0026】
また、請求項16に記載されるように、請求項13乃至15のいずれか一項に記載の文書アクセス制御システムにおいて、オフライン時に記録されたログ情報を、次にオンライン時になった際に上記サーバへ転送するようにすることができる。これにより、オフライン時に文書がどのように利用されていたかをサーバ側の文書管理者が把握することができる。
【0027】
また、請求項17に記載されるように、情報処理装置として構成することができる。
【0028】
また、請求項18に記載されるように、文書アクセス制御プログラムとして構成することができる。
【0029】
また、請求項19に記載されるように、文書アクセス制御方法として構成することができる。
【発明の効果】
【0030】
本発明の文書アクセス制御システムにあっては、ユーザによる明示的なアクションがなされていない文書ファイルについてオフライン状態でも与えられた権限に基づいてアクセスでき、オンライン時とオフライン時のセキュリティレベルを変えられ、不正アクセスを防ぐことができる。
【発明を実施するための最良の形態】
【0031】
以下、本発明の好適な実施形態につき説明する。
【0032】
<システム構成>
図1は本発明の一実施形態にかかる文書アクセス制御システムの構成例を示す図である。図1において、文書アクセス制御システムは、セキュリティポリシーを管理するセキュリティポリシーサーバ1がネットワーク2上に配置され、クライアント3はネットワーク2と接続することでオンライン状態になるとともに、ネットワーク2から外されることでオフラインとなる。なお、ネットワーク2は有線ネットワークに限らず、無線ネットワークでもよい。また、クライアント3としては、PC、PDA(Personal Digital Assistant)、携帯電話等が想定される。
【0033】
図2はセキュリティポリシーサーバ1の内部構成例を示す図である。図2において、セキュリティポリシーサーバ1は、セキュリティポリシーを管理するポリシー管理部11と、ネットワーク2を介したクライアント3からの要求に応じ、ポリシー管理部11のセキュリティポリシーに基づいてポリシー判定情報を生成してクライアント3に通知するポリシー判定部12と、ネットワーク通信を行うネットワーク通信部13とを備えている。
【0034】
図3はクライアント3の内部構成例を示す図である。図3において、クライアント3は、アプリケーション31と、ネットワーク状態判定部32と、ネットワーク通信部33と、キャッシュタイミング決定部34と、ポリシー判定情報取得部35と、ポリシー判定情報保管部36と、ログ管理部37と、ユーザ暗号鍵生成部38とを備えている。各部の機能は次のようになる。
【0035】
アプリケーション31:暗号化された文書ファイルにユーザがアクセス(閲覧、印刷、編集等)する際のインタフェースとなる。アプリケーション31は、例えばAdobe Acrobat(登録商標)のPlug-inとして構成される。アプリケーション31は、ユーザからのファイルアクセス指示を受けると、セキュリティポリシーサーバ1にアクセスするためのユーザIDとパスワードの入力を要求する。また、ネットワーク状態判定部32にオンラインかオフラインかを問い合わせ、オンラインの場合はネットワーク通信部33を通じてセキュリティポリシーサーバ1のポリシー判定部12にユーザIDとパスワードを送信し、該当ユーザの該当文書ファイルに対する該当アクセスのポリシー判定情報を問い合わせる。続いてポリシー判定情報取得部35に対して該当する対象文書ファイルについてのポリシー判定情報をキャッシュするよう要求する。オフラインの場合はユーザIDとパスワードをポリシー判定情報取得部35に送信の上でポリシー判定情報を要求し、その内容に応じてアクセス制御を実施する。
【0036】
ネットワーク状態判定部32:ネットワーク通信部33を通じ、クライアント3がセキュリティポリシーサーバ1と通信できる状態(オンライン)か通信できない状態(オフライン)かを判定する。
【0037】
ネットワーク通信部33:セキュリティポリシーサーバ1との通信を受け持つ。
【0038】
キャッシュタイミング決定部34:オンライン時、ポリシー判定情報取得部35に情報の作成・更新をするよう通知する。具体的には、クライアント3上での対象文書ファイルの生成(外からのコピーも含む)を監視する「ファイル監視機能」(アンチウィルスソフトでのファイル監視技術が使用できる)、設定された時間間隔で更新を指示する「時間測定機能」(一般的なタイマー機能で実現できる)、明示的に対象ファイルを指定するための「ファイル指定機能」(Windows(登録商標)のエクスプローラで右クリックにより出てくるメニューで指定できる)から構成されるとよい。もちろんすべてを必ず備えなければならないということではない。
【0039】
ポリシー判定情報取得部35:オンライン時、アプリケーション31あるいはキャッシュタイミング決定部34からの指示に応じ、セキュリティポリシーサーバ1のポリシー判定部12に対象文書ファイルに関するポリシー判定情報を要求し、得られた結果をポリシー判定情報保管部36に渡す。オフライン時は、アプリケーション31からの要求に応じ、該当するポリシー判定情報をポリシー判定情報保管部36へ要求し、有効期間と有効回数をチェックした上で問題がなければそのポリシー判定情報をアプリケーション31に渡す。有効期間および有効回数は、オフライン状態を意図的に継続することによる不正利用(セキュリティポリシーサーバ1による判定が不可に変更された後も継続して利用する等)の恐れを低減させるのに効果がある。またこの時、ログ管理部37へ監査ログの記録を依頼する。さらに、オフライン後にオンラインになった際には、ログ管理部37へオフライン状態の間に蓄積された監査ログを要求し、得られた監査ログをネットワーク通信部33を通じてセキュリティポリシーサーバ1へ送信する。
【0040】
ポリシー判定情報保管部36:ポリシー判定情報取得部35がセキュリティポリシーサーバ1から取得したポリシー判定情報を保管する。ポリシー判定情報に有効回数が設定されている場合には、そのポリシー判定情報が使われるたびに有効回数を1ずつ減らすようにする。このポリシー判定情報は、セキュアメモリやTPM(Trusted Platform Module)等の安全なハードウェアに保管されている「システム暗号鍵」と、ユーザから入力されたパスワードとから、ユーザ暗号鍵生成部38において「ユーザ暗号鍵」を生成し、このユーザ暗号鍵により暗号化して保存するとよい。ただし、暗号化して保存することやシステム暗号鍵を安全なハードウェアに保管することは必須ではない。
【0041】
ログ管理部37:ポリシー判定情報取得部35からの依頼により、オフライン時に実施された対象文書ファイルへのアクセスイベントを監査ログとして記録する。このイベントには時刻が含まれ、毎回イベントのたびに現在時刻と直近のイベントの時刻とを比較する。もし前後関係に矛盾がある場合は時刻の修正による不正アクセスの恐れがあるのでエラーを返すとよい。また、この監査ログは、セキュアメモリやTPM等の安全なハードウェアに保管されている「システム暗号鍵」で暗号化して保存するとよい。ただし、時刻チェックおよび暗号化して保存することやシステム暗号鍵を安全なハードウェアに保管することは必須ではない。
【0042】
ユーザ暗号鍵生成部38:システム暗号鍵とパスワードとからユーザ暗号鍵を生成する。
【0043】
図4は暗号化された文書ファイルの構造例を示す図であり、アクセス制御の対象となる文書ファイルは、あらかじめ文書ファイル固有の暗号鍵で暗号化された暗号化文書データと、文書IDとを含んでいる。なお、文書ファイル固有の復号に必要な情報(復号鍵)は、セキュリティポリシーサーバ1において文書IDと対応付けて管理されており、要求に応じて生成されるポリシー判定情報の中に含まれている。暗号化された文書ファイルは、例えば暗号化されたPDF(Portable Document Format)ファイルとして形成される。
【0044】
図5はセキュリティポリシーサーバ1で管理されるセキュリティポリシーの構造例を示す図であり、XML(eXtensible Markup Language)で記述した場合の具体的な構造の例を示している。図5において、ポリシーのタグ<DocumentSecurityPolicy>をトップに、ユーザ種類(Subjectの種類)のタグ<DspUser>、文書種類(Objectの種類)の タグ<DspDoc>、アクセス(Accessの種類)のタグ<DspAccess>、要件(許可時に付加する責務)のタグ<DspObligation>が含まれている。
【0045】
なお、セキュリティポリシーの管理者は、オフラインで使っていい文書と使ってほしくない文書があると考えることがあり得るので、セキュリティポリシー内に「オフライン使用の可否」を指定できるようにするとよい。また、オフライン使用可の場合であっても、有効期間および有効回数を制限するようにポリシーを記述できるとなおよい。図5では、要件のタグ<DspObligation>と並列にオフラインのタグ<OfflineAuthorization>を設け、有効期間のタグ<ValidPeriod>と有効回数のタグ<ValidCount>を含めている。
【0046】
図6はクライアント3からの要求に応じてセキュリティポリシーサーバ1で生成されて返送されるポリシー判定情報の例を示す図である。ポリシー判定情報は、Subject(セキュリティポリシーサーバ1のユーザ)とResource(ドキュメントやデバイスのID)とAccess(処理内容)の組み合わせを一単位とし、これにアクセスの可否(OKまたはNG)、Obligation(条件・責務)、有効期間(開始日時と終了日時)、有効回数、文書復号鍵が含められている。なお、アクセスNGの場合は、Subject,Resource,Accessおよびアクセスの可否以外の項目は不要である。
【0047】
図7はオフライン時にクライアント3において蓄積され次のオンライン時にセキュリティポリシーサーバ1へアップロードされる監査ログ(オフラインアクセスログ)の例を示す図であり、Subject、Resource、Access、アクセス時刻、アクセス場所(クライアント3のIPアドレス等)、アクセスの成否(成功または失敗)、失敗の理由(有効回数オーバー等)の項目を含んでいる。
【0048】
<処理の概要>
本発明では、従来はオンライン状態でしか動かなかった文書アクセス制御システムをオフライン状態でも使えるようにしている。すなわち、本発明での基本的な処理としては、文書ファイルへのアクセスのために必要となるポリシー判定情報をオンラインの間にクライアント3上でキャッシュしておき、オフライン時にはそのキャッシュ情報を参照することにより行う。なお、キャッシュとは、ポリシー判定情報取得部35によってセキュリティポリシーサーバ1からポリシー判定情報を取得し、それをポリシー判定情報保管部36によって保管する一連の処理を指す。
【0049】
通常、文書アクセス制御システムでは、文書ファイルに対する不正なアクセスを防止するために予め文書ファイルを暗号化しておき、正当なアクセス時に復号鍵をサーバから得るしくみをとっているが、そのようなケースの拡張として、本発明ではクライアント3にキャッシュするポリシー判定情報にその復号鍵を含んでいる。
【0050】
また、従来の文書アクセス制御システムでは、不正な使用の検出を目的として、文書ファイルへのアクセスイベントについての監査ログをクライアントからの通知に基づいてサーバが保存している。当然オフライン時にはそのようなログをサーバにアップロードすることはできないので、本発明ではオフライン状態の間のアクセスイベントをクライアント3側に保存しておき、オンライン状態に転じてセキュリティポリシーサーバ1とアクセスできるようになったら保存していた監査ログをセキュリティポリシーサーバ1へまとめてアップロードする方式を取る。
【0051】
<オンライン時における対象文書ファイルへのアクセス処理>
図8はオンライン時における対象文書ファイルへのアクセス処理の例を示すシーケンス図である。
【0052】
図8において、ユーザがクライアント3において対象文書ファイルにアクセス(閲覧、編集、印刷等)しようとすると、アプリケーション31はユーザに対してセキュリティポリシーサーバ1におけるユーザIDとパスワードの入力を求め、その入力を受け付ける(ステップS101)。
【0053】
アプリケーション31はネットワーク状態判定部32にネットワーク状態の判定を要求し(ステップS102)、オンラインである旨の返答が得られると(ステップS103)、セキュリティポリシーサーバ1に対してユーザIDとパスワードを伴ってユーザ認証を要求する(ステップS104)。ここで、正しいIDとパスワードであれば、セキュリティポリシーサーバ1で正しくユーザ認証が行われ(ステップS105)、ユーザ認証が正常に行われた旨が返送される(ステップS106)。
【0054】
次いで、アプリケーション31は対象文書ファイルに埋め込まれた文書IDを抽出し、ユーザID、文書ID、アクセス種別を伴うポリシー判定情報要求をセキュリティポリシーサーバ1に行う(ステップS107)。セキュリティポリシーサーバ1はセキュリティポリシーを検索して情報の取得を行い(ステップS108)、ポリシー判定情報(そのアクセス種別に対する可否、許可の場合は追加の責務、文書の復号鍵も含む)を返送する(ステップS109)。
【0055】
アプリケーション31は受け取ったポリシー判定情報に基づいて対象文書ファイルへのアクセスを実施する(ステップS110)。
【0056】
また、セキュリティポリシーサーバ1では認証およびポリシー判定情報の生成につき監査ログの記録を行うとともに(ステップS111)、アプリケーション31からは文書アクセスの実施状況をセキュリティポリシーサーバ1に通知し(ステップS112)、セキュリティポリシーサーバ1はそのイベントを監査ログに記録する(ステップS113)。
【0057】
<オンライン時におけるポリシー判定情報のキャッシュ処理>
クライアント3は、上記のアクセス処理とは別に、所定のタイミングでポリシー判定情報のキャッシュ処理を行う。このキャッシュ処理は、該当ユーザに対し、クライアント3に存在するすべて(あるいは特定の)対象文書ファイルについて、全種類のアクセス種別のポリシー判定情報をクライアント3の記憶領域(例えばHDD(Hard Disk Drive))に保存することを指す。
【0058】
上記の「所定のタイミング」とキャッシュ対象は、ポリシー判定情報の十分な鮮度を保つために、例えば次のタイミングで行うとよい。なお、この5つのタイミングでのキャッシュ処理はすべてにおいて行うのが好ましいが、どれか特定の1以上のタイミングだけでも構わないし、他のタイミングで行っても構わない。
(1)クライアント3に対象文書ファイルが生成された時(外からコピーされてきたときも含む)、その生成された対象文書ファイルについて。
(2)一定の時間間隔ですべての対象文書ファイルについて。
(3)ユーザが明示的に全キャッシュ更新を指示した時、すべての対象文書ファイルについて。
(4)ユーザが明示的にある特定の文書ファイルのキャッシュ更新を指示した時、その特定の対象文書ファイルについて(この場合、個々のファイルを指定する代わりにフォルダを指定することによって、その下にあるキャッシュ対象の文書ファイルすべてを指定するようにすることもできる。)。
(5)ユーザが対象文書ファイルにアクセスした時、その対象文書ファイルについて。
【0059】
キャッシュされるポリシー判定情報の内容は、オンライン時にサーバから返ってくる内容と全く同じものでもよいが、オフライン向けに制限を強化した内容にするのが好ましい。例えば、印刷時のユーザ名追加という責務をオフライン時にのみ課したり、オフライン使用の有効期間や有効回数を設けたり、等が考えられる。
【0060】
キャッシュでセキュリティポリシーサーバ1へポリシー判定情報を問い合わせる際、セキュリティポリシーサーバ1に対して該当するユーザIDとパスワードを提示する必要がある。ユーザが対象文書ファイルにアクセスした時や明示的に対象文書ファイルを指定した時にはユーザに入力を求めても構わないが、生成された際のキャッシュ処理や一定時間間隔でのキャッシュの場合はユーザからの入力は期待できない。そこで、クライアント3に必要なユーザIDとパスワードを予め設定しておくとよい。この時、クライアント3のそれぞれのログインユーザしかアクセスできない場所に保管すると他ユーザによる不正利用を防止できてなおよい。
【0061】
図9はオンライン時におけるポリシー判定情報のキャッシュ処理の例を示すシーケンス図である。
【0062】
図9において、キャッシュタイミング決定部34が所定のタイミングでトリガを発し(ステップS201)、ポリシー判定情報取得部35に対してキャッシュ依頼を行った場合(ステップS202)、あるいは、アプリケーション31において文書ファイルへのユーザアクセスがあり(ステップS203)、ポリシー判定情報取得部35に対してキャッシュ依頼を行った場合(ステップS204)、キャッシュ処理を開始する。
【0063】
ポリシー判定情報取得部35は、ユーザIDとパスワードを取り出し(ユーザのアクションと無関係にキャッシュ処理を開始する場合はクライアント3内からユーザIDとパスワードを取り出す。ユーザのアクションに基づく場合はユーザから入力を求めてもよい。)(ステップS205)、セキュリティポリシーサーバ1に対してユーザ認証を要求する(ステップS206)。セキュリティポリシーサーバ1は認証を行い(ステップS207)、正常に認証できた場合はその旨を返答する(ステップS208)。
【0064】
次いで、ポリシー判定情報取得部35はセキュリティポリシーサーバ1に対してポリシー判定情報を要求し(ステップS209)、セキュリティポリシーサーバ1は情報収集を行い(ステップS210)、ポリシー判定情報を返答する(ステップS211)。
【0065】
ポリシー判定情報取得部35は、ポリシー判定情報保管部36にポリシー判定情報の保管依頼を行い(ステップS212)、ポリシー判定情報保管部36はユーザ鍵の生成、暗号化、保管を順次行い(ステップS213〜S215)、完了の旨を返答する(ステップS216)。
【0066】
<オフライン時における対象文書ファイルへのアクセス処理>
クライアント3がネットワーク2から切り離された状態、あるいはセキュリティポリシーサーバ1がダウンしている状態では、クライアント3のアプリケーション31はセキュリティポリシーサーバ1にポリシー判定情報を問い合わせることができない。そこで、そのような場合には、オンライン時にクライアント3の記憶領域に保管したキャッシュ情報を参照すればよい。これによってオンライン時と同様にセキュリティポリシーに従った適切なアクセス制御を実施することが可能となる。なお、クライアント3に対象文書ファイルが生成されてから一度もオンライン状態になっていないといった原因等により、その文書ファイルについてのポリシー判定情報がキャッシュされていない場合には、アクセス可否の判断ができないので、従来どおりその対象文書ファイルへのアクセスは許可されないものとする。
【0067】
また、クライアント3のアプリケーション31は、オンライン時にセキュリティポリシーサーバ1へ通知していた監査イベントを、代わりにクライアント3の記憶領域に一時的に保存しておく。この一時保存の監査ログは次回オンライン状態になった際にクライアント3からセキュリティポリシーサーバ1へ一括して送信するとよい。監査ログを記録し、後にセキュリティポリシーサーバ1に送信することで、不正抑止効果が期待できる。
【0068】
クライアント3に保管されるポリシー判定情報および監査ログを意図的に修正することで、本来許されないはずの不正なアクセスが可能となったり、不正が発覚しないように証拠を隠滅することが可能となったりする恐れがある。これに対抗するために、ポリシー判定情報および監査ログは、クライアント3に保管されたシステム暗号鍵とユーザのパスワードを合わせて生成(例えば両者をつなげてハッシュ関数にかける等)したユーザ暗号鍵で暗号化された状態で保管されるのが好ましい。このとき、システム暗号鍵はクライアント3上に、ユーザに分からない状態で保管する必要がある。例えば、権限のあるアプリケーションしかアクセスできないセキュアメモリやTPMといった安全性の高いハードウェアモジュールに保管する。あるいは、多少安全性は落ちるが、ポリシー判定情報および監査ログを管理するアプリケーション31にスクランブルをかけた上で組み込んでもよい。このようにポリシー判定情報を暗号化して保存しておくことにより、仮に該当ユーザ以外の攻撃者が暗号化された状態のポリシー判定情報を改ざんしようとしても、攻撃者はシステム暗号鍵やユーザのパスワードを知りえないので、改ざん後に正しくポリシー判定情報を復号できず、システムはアクセスを拒否することになる。また、該当ユーザが自分の権限を不正に拡張しようとした際も、ユーザにはシステム暗号鍵が分からないので同様に不正な改ざんは不可能となる。
【0069】
図10はオフライン時における対象文書ファイルへのアクセス処理の例を示すシーケンス図である。
【0070】
図10において、ユーザがクライアント3において対象文書ファイルにアクセス(閲覧、編集、印刷等)しようとすると、アプリケーション31はユーザに対してセキュリティポリシーサーバ1におけるユーザIDとパスワードの入力を求め、その入力を受け付ける(ステップS301)。
【0071】
アプリケーション31はネットワーク状態判定部32にネットワーク状態の判定を要求し(ステップS302)、オフラインである旨の返答が得られると(ステップS303)、ポリシー判定情報取得部35に対してユーザID、パスワード、文書ID、アクセス種別を伴うポリシー判定情報要求を行う(ステップS304)。
【0072】
ポリシー判定情報取得部35はポリシー判定情報保管部36に対して該当するポリシー判定情報の要求を行い(ステップS305)、ポリシー判定情報保管部36は情報検索、ユーザ鍵生成、復号を順次行い(ステップS306〜S308)、ポリシー判定情報を返答する(ステップS309)。
【0073】
また、ポリシー判定情報取得部35はログ管理部37に対してイベント記録を要求し(ステップS310)、ログ管理部37はログ復号、ログチェック、ログ追加、ログ暗号化を順次行い(ステップS311〜S314)、完了した旨を返答する(ステップS315)。
【0074】
これを受け、ポリシー判定情報取得部35はアプリケーション31にポリシー判定情報を送り(ステップS316)、アプリケーション31は受け取ったポリシー判定情報に基づいて対象文書ファイルへのアクセスを実施する(ステップS317)。
【0075】
また、アプリケーション31は文書アクセスの実施状況をログ管理部37に通知し(ステップS318)、ログ管理部37はそのイベントにつき、ログ復号、ログチェック、ログ追加、ログ暗号化を順次行って監査ログに記録する(ステップS319)。
【0076】
以上、本発明の好適な実施の形態により本発明を説明した。ここでは特定の具体例を示して本発明を説明したが、特許請求の範囲に定義された本発明の広範な趣旨および範囲から逸脱することなく、これら具体例に様々な修正および変更を加えることができることは明らかである。すなわち、具体例の詳細および添付の図面により本発明が限定されるものと解釈してはならない。
【図面の簡単な説明】
【0077】
【図1】本発明の一実施形態にかかる文書アクセス制御システムの構成例を示す図である。
【図2】セキュリティポリシーサーバの内部構成例を示す図である。
【図3】クライアントの内部構成例を示す図である。
【図4】暗号化された文書ファイルの構造例を示す図である。
【図5】セキュリティポリシーの構造例を示す図である。
【図6】ポリシー判定情報の例を示す図である。
【図7】監査ログの例を示す図である。
【図8】オンライン時における対象文書ファイルへのアクセス処理の例を示すシーケンス図である。
【図9】オンライン時におけるポリシー判定情報のキャッシュ処理の例を示すシーケンス図である。
【図10】オフライン時における対象文書ファイルへのアクセス処理の例を示すシーケンス図である。
【符号の説明】
【0078】
1 セキュリティポリシーサーバ
11 ポリシー管理部
12 ポリシー判定部
13 ネットワーク通信部
2 ネットワーク
3 クライアント
31 アプリケーション
32 ネットワーク状態判定部
33 ネットワーク通信部
34 キャッシュタイミング決定部
35 ポリシー判定情報取得部
36 ポリシー判定情報保管部
37 ログ管理部
38 ユーザ暗号鍵生成部
【技術分野】
【0001】
本発明は、オフライン環境においても使用できる文書アクセス制御システムに関する。
【背景技術】
【0002】
文書アクセス(閲覧、編集、印刷等)の可否および要件を定めたセキュリティポリシーをあらかじめサーバに設定しておき、暗号化された文書ファイルにクライアント側でアクセスしようとした際に、クライアントの文書利用アプリケーションがその可否や要件をサーバに問い合わせ、アクセス可能である場合には復号する鍵をサーバから受け取って文書ファイルにアクセスするというアクセス制御方法が提案されている(例えば、特許文献1〜3参照。)。
【0003】
ところで、これらの方式は、一貫したセキュリティポリシーを広い範囲で確実に適用させることが可能である反面、サーバとアクセスできないオフライン環境においてはその文書ファイルについてのセキュリティポリシーによるアクセス権判定情報および復号鍵をサーバから得ることができず、文書ファイルを全く利用できないという問題があった。
【0004】
この問題を解決し、オフライン環境でもセキュリティポリシーに従った文書アクセスを実現するために、クライアント側に必要な情報を持たせ、その情報に基づいてオフライン時のアクセスを制御する仕組みも提案されている(例えば、特許文献4、5参照。)。
【0005】
しかしながら、いずれの方法においても、オフラインアクセスに必要な情報は、文書ファイルを開いたことをトリガとしてサーバに要求されている。つまり、オンライン時に最低一度はその文書ファイルを開かないと必要な情報がクライアント側にキャッシュされることはない。この場合、一度も開いたことのない文書ファイルをオフライン環境で初めて開く必要が生じたときには対応できないという問題が生じる。
【0006】
また、オフライン状況下でのアクセスの可否を判定するための情報をどのタイミングでクライアントに保持しておくかという点について、特許文献4では詳しい記述がない。そもそもこの特許文献4では、保護対象の文書ファイルの中に復号鍵が含まれていて、それを取り出せるかどうかでアクセス制限を実現しているが、本発明の対象とする文書アクセス制御システムでは復号鍵は文書ファイルの中に含まれておらず、文書保護の方法が根本的に異なる。
【0007】
特許文献5も上述の特許文献4と同様、保護対象の文書ファイルの中に復号鍵が含まれていて、それを取り出せるかどうかでアクセス制限を実現しているため、文書保護の方法が根本的に異なる。
【0008】
一方、通常はオンライン環境において使用されることを前提としているデータをオフライン環境でも利用できるようにする技術として、例えばクライアントPC(Personal Computer)上で動作するWebブラウザが一度アクセスしたページのコンテンツをローカルにキャッシュする機能、自動Webサーバ巡回ソフトにより、登録されているWebページの内容を定期的にキャッシュする機能、あるいはファイルサーバ上のファイルをオフラインになった場合でも使用できるようにするファイルキャッシュ機能、さらにはネットワーク上のDB(Data Base)の内容をローカルにもコピーするレプリケーション機能等が知られている。
【0009】
しかしながら、これらの技術は単にオンラインでアクセスできる「コンテンツ」そのものをローカルにコピーしているだけであり、基本的にはオンライン時とオフライン時とで同じ動作をさせることを目的としているため、コンテンツのアクセス制御を行う(さらにはオンライン時とオフライン時とで挙動を変える)というようなことはしていない。
【特許文献1】米国特許第6339825号明細書 Authentica Inc.“Method of encrypting information for remote access while maintaining access control”
【特許文献2】米国特許第6289450号明細書 Authentica Inc.“Information security architecture for encrypting documents for remote access while maintaining access control”
【特許文献3】特開2004−152261号公報 リコー(金井、斉藤、谷内田)「ドキュメント印刷プログラム、ドキュメント保護プログラムおよびドキュメント保護システム」
【特許文献4】特開2003−228520号公報 パーヴェイシヴセキュリティーシステムズ「保護電子デ−タにオフラインでアクセスする方法及び装置」
【特許文献5】特開2005−141746号公報 アドビシステムズ「文書制御システムにおけるオフラインアクセス」
【発明の開示】
【発明が解決しようとする課題】
【0010】
本発明は上記の従来技術に存在する問題点を踏まえ、以下に挙げる課題を解決するためになされたものである。
(1)ユーザによる明示的なアクション(例えば一度開く等)がなされていない文書ファイルについても、サーバダウン等による突然のオフライン状態に陥った場合にも与えられた権限に基づいてアクセスできるようにすること。
(2)オンライン時とオフライン時のセキュリティレベルを変えられる(例えばオンライン時には閲覧も印刷も許可されるが、オフライン時には閲覧しか許可しない、等)ようにすること。
(3)クライアントに保持されたキャッシュ情報を改ざんすることによる不正アクセスを防ぐこと。
【課題を解決するための手段】
【0011】
上記の課題を解決するため、本発明にあっては、請求項1に記載されるように、サーバにセットされたセキュリティポリシーに応じて、クライアントでの文書ファイルへのアクセスの可否を決定する文書アクセス制御システムであって、上記クライアントにおけるポリシー判定情報のキャッシュタイミングを決定するキャッシュタイミング決定手段と、上記キャッシュタイミング決定手段からの通知に応じてキャッシュ対象の文書ファイルに関するポリシー判定情報を上記サーバから取得するポリシー判定情報取得手段と、取得したポリシー判定情報を文書ファイルと関連付けて保管するポリシー判定情報保管手段と、オフライン時にユーザから文書ファイルへのアクセス要求があった場合に、上記ポリシー判定情報保管手段に保管されたポリシー判定情報に基づいて当該文書ファイルへのアクセスを制御するファイル利用制御手段とを備える文書アクセス制御システムを要旨としている。これにより、クライアント内にキャッシュされているポリシー判定情報を参照することで、サーバに直接ポリシー判定を要求できない場合であってもポリシーに従ったアクセス制御を実施することができる。
【0012】
また、請求項2に記載されるように、請求項1に記載の文書アクセス制御システムにおいて、上記キャッシュタイミング決定手段は、上記クライアントにおけるキャッシュ対象の文書ファイルの生成を監視し、上記ポリシー判定情報取得手段は、生成された文書ファイルに関するポリシー判定情報をサーバから取得するようにすることができる。これにより、ユーザが対象となる文書ファイルを指定しなくても自動でポリシー判定情報がクライアントに保管される。
【0013】
また、請求項3に記載されるように、請求項1に記載の文書アクセス制御システムにおいて、上記キャッシュタイミング決定手段は、上記クライアントにおけるキャッシュ対象の文書ファイルのポリシー判定情報を定期的に更新することを指示し、上記ポリシー判定情報取得手段は、キャッシュ対象の文書ファイルに関するポリシー判定情報を上記サーバから取得するようにすることができる。これにより、ユーザがいちいちキャッシュ処理を指示しなくてもポリシー判定情報が最新状態に更新される。
【0014】
また、請求項4に記載されるように、請求項1に記載の文書アクセス制御システムにおいて、上記キャッシュタイミング決定手段は、上記クライアントにおけるキャッシュ対象の文書ファイルのユーザによる明示的な指定を受け取り、上記ポリシー判定情報取得手段は、指定されたキャッシュ対象の文書ファイルに関するポリシー判定情報を上記サーバから取得するようにすることができる。これにより、ユーザがいちいち文書ファイルを開くことなくポリシー判定情報が最新状態に更新される。
【0015】
また、請求項5に記載されるように、請求項4に記載の文書アクセス制御システムにおいて、文書ファイルの明示的な指定は、個々のファイルを指定する代わりにフォルダを指定することによって、その下にあるキャッシュ対象の文書ファイルすべてを指定するようにすることができる。これにより、ユーザが文書ファイルを一つひとつ指定しなくてもフォルダを一つ指定するだけでまとめて指定したことになる。
【0016】
また、請求項6に記載されるように、請求項1に記載の文書アクセス制御システムにおいて、上記ポリシー判定情報取得手段は、ユーザによってアクセスされたキャッシュ対象の文書ファイルに関するポリシー判定情報を上記サーバから取得するようにすることができる。これにより、ユーザが対象文書ファイルを開いたときにポリシー判定情報が最新状態に更新される。
【0017】
また、請求項7に記載されるように、請求項1乃至6のいずれか一項に記載の文書アクセス制御システムにおいて、上記サーバと通信できる状態か否かを判別するネットワーク状態判定手段をさらに備え、上記サーバと通信できる状態時には上記サーバに問い合わせて得られるポリシー判定情報に従い、上記サーバと通信できない状態時には上記ポリシー判定情報保管手段にあらかじめ保管されているポリシー判定情報に従って、文書へのアクセス可否および要件を決定するようにすることができる。これにより、オンライン時とオフライン時で問い合わせ先を切り替えることで、オンライン時にはサーバ提供の最新状態のポリシー判定情報に従うことができる。
【0018】
また、請求項8に記載されるように、請求項1乃至7のいずれか一項に記載の文書アクセス制御システムにおいて、各ポリシー判定情報は、対象となる文書の識別情報と、アクセスしようとするユーザの識別情報と、アクセス種別と、アクセスの可否および要件とを少なくとも含むものとすることができる。具体的には、Resource,Subject,Action,OK/NG,(Obligation)の組み合わせで一つの判定情報とすることで、細かなアクセス制御ルールに対応できる。
【0019】
また、請求項9に記載されるように、請求項1乃至8のいずれか一項に記載の文書アクセス制御システムにおいて、各ポリシー判定情報の中に、さらにその文書をオフラインで利用できる有効期間および有効回数のいずれかあるいは両方の条件が含まれ、指定された有効期間あるいは有効回数の制限に応じて、その文書に対するアクセスの可否を決定するようにすることができる。これにより、有効期間・有効回数の制限が可能となる。
【0020】
また、請求項10に記載されるように、請求項1乃至9のいずれか一項に記載の文書アクセス制御システムにおいて、アクセス制御の対象となる文書ファイルは、あらかじめ文書ファイル固有の暗号鍵で暗号化され、各ポリシー判定情報の中に、文書ファイル固有の復号に必要な情報が含まれているものとすることができる。これにより、ある文書ファイルから仮に暗号鍵が漏洩したとしても、影響は少なくて済む。
【0021】
また、請求項11に記載されるように、請求項1乃至10のいずれか一項に記載の文書アクセス制御システムにおいて、上記ポリシー判定情報は、暗号化された状態でクライアントに保管されるものとすることができる。これにより、ポリシー判定情報(有効期間や有効回数も含む)を書き換えることによる不正アクセスを防ぐことができる。
【0022】
また、請求項12に記載されるように、請求項11に記載の文書アクセス制御システムにおいて、上記ポリシー判定情報を暗号化する暗号鍵として、上記ポリシー判定情報保管手段が秘密に保持している情報とユーザ固有の情報とを組み合わせて生成される暗号鍵を使用するようにすることができる。これにより、オフライン時にユーザパスワードを知らない他のユーザが不正に文書にアクセス(文書を復号)することを防止できる。
【0023】
また、請求項13に記載されるように、請求項1乃至12のいずれか一項に記載の文書アクセス制御システムにおいて、オフライン時にポリシー判定情報に基づいて実施された文書へのアクセスを記録するログ管理手段をさらに備えるようにすることができる。これにより、ログによる不正抑止効果を期待できる。
【0024】
また、請求項14に記載されるように、請求項13に記載の文書アクセス制御システムにおいて、記録される各イベントについてその発生時刻も記録しておき、次にイベントが発生した際に時刻を比較し、後のイベント発生時刻が直前のイベント発生時刻よりも前であった場合にアクセスを拒否するようにすることができる。これにより、クライアントの時計修正による不正を減らすことができる。
【0025】
また、請求項15に記載されるように、請求項13または14のいずれか一項に記載の文書アクセス制御システムにおいて、ログ情報は、上記ログ管理手段あるいはポリシー判定情報保管手段が秘密に保持している情報を暗号鍵として暗号化された状態で保管されるものとすることができる。これにより、ログ(特にイベント発生時刻)の書き換えによる不正アクセスを防ぐことができる。
【0026】
また、請求項16に記載されるように、請求項13乃至15のいずれか一項に記載の文書アクセス制御システムにおいて、オフライン時に記録されたログ情報を、次にオンライン時になった際に上記サーバへ転送するようにすることができる。これにより、オフライン時に文書がどのように利用されていたかをサーバ側の文書管理者が把握することができる。
【0027】
また、請求項17に記載されるように、情報処理装置として構成することができる。
【0028】
また、請求項18に記載されるように、文書アクセス制御プログラムとして構成することができる。
【0029】
また、請求項19に記載されるように、文書アクセス制御方法として構成することができる。
【発明の効果】
【0030】
本発明の文書アクセス制御システムにあっては、ユーザによる明示的なアクションがなされていない文書ファイルについてオフライン状態でも与えられた権限に基づいてアクセスでき、オンライン時とオフライン時のセキュリティレベルを変えられ、不正アクセスを防ぐことができる。
【発明を実施するための最良の形態】
【0031】
以下、本発明の好適な実施形態につき説明する。
【0032】
<システム構成>
図1は本発明の一実施形態にかかる文書アクセス制御システムの構成例を示す図である。図1において、文書アクセス制御システムは、セキュリティポリシーを管理するセキュリティポリシーサーバ1がネットワーク2上に配置され、クライアント3はネットワーク2と接続することでオンライン状態になるとともに、ネットワーク2から外されることでオフラインとなる。なお、ネットワーク2は有線ネットワークに限らず、無線ネットワークでもよい。また、クライアント3としては、PC、PDA(Personal Digital Assistant)、携帯電話等が想定される。
【0033】
図2はセキュリティポリシーサーバ1の内部構成例を示す図である。図2において、セキュリティポリシーサーバ1は、セキュリティポリシーを管理するポリシー管理部11と、ネットワーク2を介したクライアント3からの要求に応じ、ポリシー管理部11のセキュリティポリシーに基づいてポリシー判定情報を生成してクライアント3に通知するポリシー判定部12と、ネットワーク通信を行うネットワーク通信部13とを備えている。
【0034】
図3はクライアント3の内部構成例を示す図である。図3において、クライアント3は、アプリケーション31と、ネットワーク状態判定部32と、ネットワーク通信部33と、キャッシュタイミング決定部34と、ポリシー判定情報取得部35と、ポリシー判定情報保管部36と、ログ管理部37と、ユーザ暗号鍵生成部38とを備えている。各部の機能は次のようになる。
【0035】
アプリケーション31:暗号化された文書ファイルにユーザがアクセス(閲覧、印刷、編集等)する際のインタフェースとなる。アプリケーション31は、例えばAdobe Acrobat(登録商標)のPlug-inとして構成される。アプリケーション31は、ユーザからのファイルアクセス指示を受けると、セキュリティポリシーサーバ1にアクセスするためのユーザIDとパスワードの入力を要求する。また、ネットワーク状態判定部32にオンラインかオフラインかを問い合わせ、オンラインの場合はネットワーク通信部33を通じてセキュリティポリシーサーバ1のポリシー判定部12にユーザIDとパスワードを送信し、該当ユーザの該当文書ファイルに対する該当アクセスのポリシー判定情報を問い合わせる。続いてポリシー判定情報取得部35に対して該当する対象文書ファイルについてのポリシー判定情報をキャッシュするよう要求する。オフラインの場合はユーザIDとパスワードをポリシー判定情報取得部35に送信の上でポリシー判定情報を要求し、その内容に応じてアクセス制御を実施する。
【0036】
ネットワーク状態判定部32:ネットワーク通信部33を通じ、クライアント3がセキュリティポリシーサーバ1と通信できる状態(オンライン)か通信できない状態(オフライン)かを判定する。
【0037】
ネットワーク通信部33:セキュリティポリシーサーバ1との通信を受け持つ。
【0038】
キャッシュタイミング決定部34:オンライン時、ポリシー判定情報取得部35に情報の作成・更新をするよう通知する。具体的には、クライアント3上での対象文書ファイルの生成(外からのコピーも含む)を監視する「ファイル監視機能」(アンチウィルスソフトでのファイル監視技術が使用できる)、設定された時間間隔で更新を指示する「時間測定機能」(一般的なタイマー機能で実現できる)、明示的に対象ファイルを指定するための「ファイル指定機能」(Windows(登録商標)のエクスプローラで右クリックにより出てくるメニューで指定できる)から構成されるとよい。もちろんすべてを必ず備えなければならないということではない。
【0039】
ポリシー判定情報取得部35:オンライン時、アプリケーション31あるいはキャッシュタイミング決定部34からの指示に応じ、セキュリティポリシーサーバ1のポリシー判定部12に対象文書ファイルに関するポリシー判定情報を要求し、得られた結果をポリシー判定情報保管部36に渡す。オフライン時は、アプリケーション31からの要求に応じ、該当するポリシー判定情報をポリシー判定情報保管部36へ要求し、有効期間と有効回数をチェックした上で問題がなければそのポリシー判定情報をアプリケーション31に渡す。有効期間および有効回数は、オフライン状態を意図的に継続することによる不正利用(セキュリティポリシーサーバ1による判定が不可に変更された後も継続して利用する等)の恐れを低減させるのに効果がある。またこの時、ログ管理部37へ監査ログの記録を依頼する。さらに、オフライン後にオンラインになった際には、ログ管理部37へオフライン状態の間に蓄積された監査ログを要求し、得られた監査ログをネットワーク通信部33を通じてセキュリティポリシーサーバ1へ送信する。
【0040】
ポリシー判定情報保管部36:ポリシー判定情報取得部35がセキュリティポリシーサーバ1から取得したポリシー判定情報を保管する。ポリシー判定情報に有効回数が設定されている場合には、そのポリシー判定情報が使われるたびに有効回数を1ずつ減らすようにする。このポリシー判定情報は、セキュアメモリやTPM(Trusted Platform Module)等の安全なハードウェアに保管されている「システム暗号鍵」と、ユーザから入力されたパスワードとから、ユーザ暗号鍵生成部38において「ユーザ暗号鍵」を生成し、このユーザ暗号鍵により暗号化して保存するとよい。ただし、暗号化して保存することやシステム暗号鍵を安全なハードウェアに保管することは必須ではない。
【0041】
ログ管理部37:ポリシー判定情報取得部35からの依頼により、オフライン時に実施された対象文書ファイルへのアクセスイベントを監査ログとして記録する。このイベントには時刻が含まれ、毎回イベントのたびに現在時刻と直近のイベントの時刻とを比較する。もし前後関係に矛盾がある場合は時刻の修正による不正アクセスの恐れがあるのでエラーを返すとよい。また、この監査ログは、セキュアメモリやTPM等の安全なハードウェアに保管されている「システム暗号鍵」で暗号化して保存するとよい。ただし、時刻チェックおよび暗号化して保存することやシステム暗号鍵を安全なハードウェアに保管することは必須ではない。
【0042】
ユーザ暗号鍵生成部38:システム暗号鍵とパスワードとからユーザ暗号鍵を生成する。
【0043】
図4は暗号化された文書ファイルの構造例を示す図であり、アクセス制御の対象となる文書ファイルは、あらかじめ文書ファイル固有の暗号鍵で暗号化された暗号化文書データと、文書IDとを含んでいる。なお、文書ファイル固有の復号に必要な情報(復号鍵)は、セキュリティポリシーサーバ1において文書IDと対応付けて管理されており、要求に応じて生成されるポリシー判定情報の中に含まれている。暗号化された文書ファイルは、例えば暗号化されたPDF(Portable Document Format)ファイルとして形成される。
【0044】
図5はセキュリティポリシーサーバ1で管理されるセキュリティポリシーの構造例を示す図であり、XML(eXtensible Markup Language)で記述した場合の具体的な構造の例を示している。図5において、ポリシーのタグ<DocumentSecurityPolicy>をトップに、ユーザ種類(Subjectの種類)のタグ<DspUser>、文書種類(Objectの種類)の タグ<DspDoc>、アクセス(Accessの種類)のタグ<DspAccess>、要件(許可時に付加する責務)のタグ<DspObligation>が含まれている。
【0045】
なお、セキュリティポリシーの管理者は、オフラインで使っていい文書と使ってほしくない文書があると考えることがあり得るので、セキュリティポリシー内に「オフライン使用の可否」を指定できるようにするとよい。また、オフライン使用可の場合であっても、有効期間および有効回数を制限するようにポリシーを記述できるとなおよい。図5では、要件のタグ<DspObligation>と並列にオフラインのタグ<OfflineAuthorization>を設け、有効期間のタグ<ValidPeriod>と有効回数のタグ<ValidCount>を含めている。
【0046】
図6はクライアント3からの要求に応じてセキュリティポリシーサーバ1で生成されて返送されるポリシー判定情報の例を示す図である。ポリシー判定情報は、Subject(セキュリティポリシーサーバ1のユーザ)とResource(ドキュメントやデバイスのID)とAccess(処理内容)の組み合わせを一単位とし、これにアクセスの可否(OKまたはNG)、Obligation(条件・責務)、有効期間(開始日時と終了日時)、有効回数、文書復号鍵が含められている。なお、アクセスNGの場合は、Subject,Resource,Accessおよびアクセスの可否以外の項目は不要である。
【0047】
図7はオフライン時にクライアント3において蓄積され次のオンライン時にセキュリティポリシーサーバ1へアップロードされる監査ログ(オフラインアクセスログ)の例を示す図であり、Subject、Resource、Access、アクセス時刻、アクセス場所(クライアント3のIPアドレス等)、アクセスの成否(成功または失敗)、失敗の理由(有効回数オーバー等)の項目を含んでいる。
【0048】
<処理の概要>
本発明では、従来はオンライン状態でしか動かなかった文書アクセス制御システムをオフライン状態でも使えるようにしている。すなわち、本発明での基本的な処理としては、文書ファイルへのアクセスのために必要となるポリシー判定情報をオンラインの間にクライアント3上でキャッシュしておき、オフライン時にはそのキャッシュ情報を参照することにより行う。なお、キャッシュとは、ポリシー判定情報取得部35によってセキュリティポリシーサーバ1からポリシー判定情報を取得し、それをポリシー判定情報保管部36によって保管する一連の処理を指す。
【0049】
通常、文書アクセス制御システムでは、文書ファイルに対する不正なアクセスを防止するために予め文書ファイルを暗号化しておき、正当なアクセス時に復号鍵をサーバから得るしくみをとっているが、そのようなケースの拡張として、本発明ではクライアント3にキャッシュするポリシー判定情報にその復号鍵を含んでいる。
【0050】
また、従来の文書アクセス制御システムでは、不正な使用の検出を目的として、文書ファイルへのアクセスイベントについての監査ログをクライアントからの通知に基づいてサーバが保存している。当然オフライン時にはそのようなログをサーバにアップロードすることはできないので、本発明ではオフライン状態の間のアクセスイベントをクライアント3側に保存しておき、オンライン状態に転じてセキュリティポリシーサーバ1とアクセスできるようになったら保存していた監査ログをセキュリティポリシーサーバ1へまとめてアップロードする方式を取る。
【0051】
<オンライン時における対象文書ファイルへのアクセス処理>
図8はオンライン時における対象文書ファイルへのアクセス処理の例を示すシーケンス図である。
【0052】
図8において、ユーザがクライアント3において対象文書ファイルにアクセス(閲覧、編集、印刷等)しようとすると、アプリケーション31はユーザに対してセキュリティポリシーサーバ1におけるユーザIDとパスワードの入力を求め、その入力を受け付ける(ステップS101)。
【0053】
アプリケーション31はネットワーク状態判定部32にネットワーク状態の判定を要求し(ステップS102)、オンラインである旨の返答が得られると(ステップS103)、セキュリティポリシーサーバ1に対してユーザIDとパスワードを伴ってユーザ認証を要求する(ステップS104)。ここで、正しいIDとパスワードであれば、セキュリティポリシーサーバ1で正しくユーザ認証が行われ(ステップS105)、ユーザ認証が正常に行われた旨が返送される(ステップS106)。
【0054】
次いで、アプリケーション31は対象文書ファイルに埋め込まれた文書IDを抽出し、ユーザID、文書ID、アクセス種別を伴うポリシー判定情報要求をセキュリティポリシーサーバ1に行う(ステップS107)。セキュリティポリシーサーバ1はセキュリティポリシーを検索して情報の取得を行い(ステップS108)、ポリシー判定情報(そのアクセス種別に対する可否、許可の場合は追加の責務、文書の復号鍵も含む)を返送する(ステップS109)。
【0055】
アプリケーション31は受け取ったポリシー判定情報に基づいて対象文書ファイルへのアクセスを実施する(ステップS110)。
【0056】
また、セキュリティポリシーサーバ1では認証およびポリシー判定情報の生成につき監査ログの記録を行うとともに(ステップS111)、アプリケーション31からは文書アクセスの実施状況をセキュリティポリシーサーバ1に通知し(ステップS112)、セキュリティポリシーサーバ1はそのイベントを監査ログに記録する(ステップS113)。
【0057】
<オンライン時におけるポリシー判定情報のキャッシュ処理>
クライアント3は、上記のアクセス処理とは別に、所定のタイミングでポリシー判定情報のキャッシュ処理を行う。このキャッシュ処理は、該当ユーザに対し、クライアント3に存在するすべて(あるいは特定の)対象文書ファイルについて、全種類のアクセス種別のポリシー判定情報をクライアント3の記憶領域(例えばHDD(Hard Disk Drive))に保存することを指す。
【0058】
上記の「所定のタイミング」とキャッシュ対象は、ポリシー判定情報の十分な鮮度を保つために、例えば次のタイミングで行うとよい。なお、この5つのタイミングでのキャッシュ処理はすべてにおいて行うのが好ましいが、どれか特定の1以上のタイミングだけでも構わないし、他のタイミングで行っても構わない。
(1)クライアント3に対象文書ファイルが生成された時(外からコピーされてきたときも含む)、その生成された対象文書ファイルについて。
(2)一定の時間間隔ですべての対象文書ファイルについて。
(3)ユーザが明示的に全キャッシュ更新を指示した時、すべての対象文書ファイルについて。
(4)ユーザが明示的にある特定の文書ファイルのキャッシュ更新を指示した時、その特定の対象文書ファイルについて(この場合、個々のファイルを指定する代わりにフォルダを指定することによって、その下にあるキャッシュ対象の文書ファイルすべてを指定するようにすることもできる。)。
(5)ユーザが対象文書ファイルにアクセスした時、その対象文書ファイルについて。
【0059】
キャッシュされるポリシー判定情報の内容は、オンライン時にサーバから返ってくる内容と全く同じものでもよいが、オフライン向けに制限を強化した内容にするのが好ましい。例えば、印刷時のユーザ名追加という責務をオフライン時にのみ課したり、オフライン使用の有効期間や有効回数を設けたり、等が考えられる。
【0060】
キャッシュでセキュリティポリシーサーバ1へポリシー判定情報を問い合わせる際、セキュリティポリシーサーバ1に対して該当するユーザIDとパスワードを提示する必要がある。ユーザが対象文書ファイルにアクセスした時や明示的に対象文書ファイルを指定した時にはユーザに入力を求めても構わないが、生成された際のキャッシュ処理や一定時間間隔でのキャッシュの場合はユーザからの入力は期待できない。そこで、クライアント3に必要なユーザIDとパスワードを予め設定しておくとよい。この時、クライアント3のそれぞれのログインユーザしかアクセスできない場所に保管すると他ユーザによる不正利用を防止できてなおよい。
【0061】
図9はオンライン時におけるポリシー判定情報のキャッシュ処理の例を示すシーケンス図である。
【0062】
図9において、キャッシュタイミング決定部34が所定のタイミングでトリガを発し(ステップS201)、ポリシー判定情報取得部35に対してキャッシュ依頼を行った場合(ステップS202)、あるいは、アプリケーション31において文書ファイルへのユーザアクセスがあり(ステップS203)、ポリシー判定情報取得部35に対してキャッシュ依頼を行った場合(ステップS204)、キャッシュ処理を開始する。
【0063】
ポリシー判定情報取得部35は、ユーザIDとパスワードを取り出し(ユーザのアクションと無関係にキャッシュ処理を開始する場合はクライアント3内からユーザIDとパスワードを取り出す。ユーザのアクションに基づく場合はユーザから入力を求めてもよい。)(ステップS205)、セキュリティポリシーサーバ1に対してユーザ認証を要求する(ステップS206)。セキュリティポリシーサーバ1は認証を行い(ステップS207)、正常に認証できた場合はその旨を返答する(ステップS208)。
【0064】
次いで、ポリシー判定情報取得部35はセキュリティポリシーサーバ1に対してポリシー判定情報を要求し(ステップS209)、セキュリティポリシーサーバ1は情報収集を行い(ステップS210)、ポリシー判定情報を返答する(ステップS211)。
【0065】
ポリシー判定情報取得部35は、ポリシー判定情報保管部36にポリシー判定情報の保管依頼を行い(ステップS212)、ポリシー判定情報保管部36はユーザ鍵の生成、暗号化、保管を順次行い(ステップS213〜S215)、完了の旨を返答する(ステップS216)。
【0066】
<オフライン時における対象文書ファイルへのアクセス処理>
クライアント3がネットワーク2から切り離された状態、あるいはセキュリティポリシーサーバ1がダウンしている状態では、クライアント3のアプリケーション31はセキュリティポリシーサーバ1にポリシー判定情報を問い合わせることができない。そこで、そのような場合には、オンライン時にクライアント3の記憶領域に保管したキャッシュ情報を参照すればよい。これによってオンライン時と同様にセキュリティポリシーに従った適切なアクセス制御を実施することが可能となる。なお、クライアント3に対象文書ファイルが生成されてから一度もオンライン状態になっていないといった原因等により、その文書ファイルについてのポリシー判定情報がキャッシュされていない場合には、アクセス可否の判断ができないので、従来どおりその対象文書ファイルへのアクセスは許可されないものとする。
【0067】
また、クライアント3のアプリケーション31は、オンライン時にセキュリティポリシーサーバ1へ通知していた監査イベントを、代わりにクライアント3の記憶領域に一時的に保存しておく。この一時保存の監査ログは次回オンライン状態になった際にクライアント3からセキュリティポリシーサーバ1へ一括して送信するとよい。監査ログを記録し、後にセキュリティポリシーサーバ1に送信することで、不正抑止効果が期待できる。
【0068】
クライアント3に保管されるポリシー判定情報および監査ログを意図的に修正することで、本来許されないはずの不正なアクセスが可能となったり、不正が発覚しないように証拠を隠滅することが可能となったりする恐れがある。これに対抗するために、ポリシー判定情報および監査ログは、クライアント3に保管されたシステム暗号鍵とユーザのパスワードを合わせて生成(例えば両者をつなげてハッシュ関数にかける等)したユーザ暗号鍵で暗号化された状態で保管されるのが好ましい。このとき、システム暗号鍵はクライアント3上に、ユーザに分からない状態で保管する必要がある。例えば、権限のあるアプリケーションしかアクセスできないセキュアメモリやTPMといった安全性の高いハードウェアモジュールに保管する。あるいは、多少安全性は落ちるが、ポリシー判定情報および監査ログを管理するアプリケーション31にスクランブルをかけた上で組み込んでもよい。このようにポリシー判定情報を暗号化して保存しておくことにより、仮に該当ユーザ以外の攻撃者が暗号化された状態のポリシー判定情報を改ざんしようとしても、攻撃者はシステム暗号鍵やユーザのパスワードを知りえないので、改ざん後に正しくポリシー判定情報を復号できず、システムはアクセスを拒否することになる。また、該当ユーザが自分の権限を不正に拡張しようとした際も、ユーザにはシステム暗号鍵が分からないので同様に不正な改ざんは不可能となる。
【0069】
図10はオフライン時における対象文書ファイルへのアクセス処理の例を示すシーケンス図である。
【0070】
図10において、ユーザがクライアント3において対象文書ファイルにアクセス(閲覧、編集、印刷等)しようとすると、アプリケーション31はユーザに対してセキュリティポリシーサーバ1におけるユーザIDとパスワードの入力を求め、その入力を受け付ける(ステップS301)。
【0071】
アプリケーション31はネットワーク状態判定部32にネットワーク状態の判定を要求し(ステップS302)、オフラインである旨の返答が得られると(ステップS303)、ポリシー判定情報取得部35に対してユーザID、パスワード、文書ID、アクセス種別を伴うポリシー判定情報要求を行う(ステップS304)。
【0072】
ポリシー判定情報取得部35はポリシー判定情報保管部36に対して該当するポリシー判定情報の要求を行い(ステップS305)、ポリシー判定情報保管部36は情報検索、ユーザ鍵生成、復号を順次行い(ステップS306〜S308)、ポリシー判定情報を返答する(ステップS309)。
【0073】
また、ポリシー判定情報取得部35はログ管理部37に対してイベント記録を要求し(ステップS310)、ログ管理部37はログ復号、ログチェック、ログ追加、ログ暗号化を順次行い(ステップS311〜S314)、完了した旨を返答する(ステップS315)。
【0074】
これを受け、ポリシー判定情報取得部35はアプリケーション31にポリシー判定情報を送り(ステップS316)、アプリケーション31は受け取ったポリシー判定情報に基づいて対象文書ファイルへのアクセスを実施する(ステップS317)。
【0075】
また、アプリケーション31は文書アクセスの実施状況をログ管理部37に通知し(ステップS318)、ログ管理部37はそのイベントにつき、ログ復号、ログチェック、ログ追加、ログ暗号化を順次行って監査ログに記録する(ステップS319)。
【0076】
以上、本発明の好適な実施の形態により本発明を説明した。ここでは特定の具体例を示して本発明を説明したが、特許請求の範囲に定義された本発明の広範な趣旨および範囲から逸脱することなく、これら具体例に様々な修正および変更を加えることができることは明らかである。すなわち、具体例の詳細および添付の図面により本発明が限定されるものと解釈してはならない。
【図面の簡単な説明】
【0077】
【図1】本発明の一実施形態にかかる文書アクセス制御システムの構成例を示す図である。
【図2】セキュリティポリシーサーバの内部構成例を示す図である。
【図3】クライアントの内部構成例を示す図である。
【図4】暗号化された文書ファイルの構造例を示す図である。
【図5】セキュリティポリシーの構造例を示す図である。
【図6】ポリシー判定情報の例を示す図である。
【図7】監査ログの例を示す図である。
【図8】オンライン時における対象文書ファイルへのアクセス処理の例を示すシーケンス図である。
【図9】オンライン時におけるポリシー判定情報のキャッシュ処理の例を示すシーケンス図である。
【図10】オフライン時における対象文書ファイルへのアクセス処理の例を示すシーケンス図である。
【符号の説明】
【0078】
1 セキュリティポリシーサーバ
11 ポリシー管理部
12 ポリシー判定部
13 ネットワーク通信部
2 ネットワーク
3 クライアント
31 アプリケーション
32 ネットワーク状態判定部
33 ネットワーク通信部
34 キャッシュタイミング決定部
35 ポリシー判定情報取得部
36 ポリシー判定情報保管部
37 ログ管理部
38 ユーザ暗号鍵生成部
【特許請求の範囲】
【請求項1】
サーバにセットされたセキュリティポリシーに応じて、クライアントでの文書ファイルへのアクセスの可否を決定する文書アクセス制御システムであって、
上記クライアントにおけるポリシー判定情報のキャッシュタイミングを決定するキャッシュタイミング決定手段と、
上記キャッシュタイミング決定手段からの通知に応じてキャッシュ対象の文書ファイルに関するポリシー判定情報を上記サーバから取得するポリシー判定情報取得手段と、
取得したポリシー判定情報を文書ファイルと関連付けて保管するポリシー判定情報保管手段と、
オフライン時にユーザから文書ファイルへのアクセス要求があった場合に、上記ポリシー判定情報保管手段に保管されたポリシー判定情報に基づいて当該文書ファイルへのアクセスを制御するファイル利用制御手段とを備えたことを特徴とする文書アクセス制御システム。
【請求項2】
請求項1に記載の文書アクセス制御システムにおいて、
上記キャッシュタイミング決定手段は、上記クライアントにおけるキャッシュ対象の文書ファイルの生成を監視し、
上記ポリシー判定情報取得手段は、生成された文書ファイルに関するポリシー判定情報をサーバから取得することを特徴とする文書アクセス制御システム。
【請求項3】
請求項1に記載の文書アクセス制御システムにおいて、
上記キャッシュタイミング決定手段は、上記クライアントにおけるキャッシュ対象の文書ファイルのポリシー判定情報を定期的に更新することを指示し、
上記ポリシー判定情報取得手段は、キャッシュ対象の文書ファイルに関するポリシー判定情報を上記サーバから取得することを特徴とする文書アクセス制御システム。
【請求項4】
請求項1に記載の文書アクセス制御システムにおいて、
上記キャッシュタイミング決定手段は、上記クライアントにおけるキャッシュ対象の文書ファイルのユーザによる明示的な指定を受け取り、
上記ポリシー判定情報取得手段は、指定されたキャッシュ対象の文書ファイルに関するポリシー判定情報を上記サーバから取得することを特徴とする文書アクセス制御システム。
【請求項5】
請求項4に記載の文書アクセス制御システムにおいて、
文書ファイルの明示的な指定は、個々のファイルを指定する代わりにフォルダを指定することによって、その下にあるキャッシュ対象の文書ファイルすべてを指定することを特徴とする文書アクセス制御システム。
【請求項6】
請求項1に記載の文書アクセス制御システムにおいて、
上記ポリシー判定情報取得手段は、ユーザによってアクセスされたキャッシュ対象の文書ファイルに関するポリシー判定情報を上記サーバから取得することを特徴とする文書アクセス制御システム。
【請求項7】
請求項1乃至6のいずれか一項に記載の文書アクセス制御システムにおいて、
上記サーバと通信できる状態か否かを判別するネットワーク状態判定手段をさらに備え、
上記サーバと通信できる状態時には上記サーバに問い合わせて得られるポリシー判定情報に従い、上記サーバと通信できない状態時には上記ポリシー判定情報保管手段にあらかじめ保管されているポリシー判定情報に従って、文書へのアクセス可否および要件を決定することを特徴とする文書アクセス制御システム。
【請求項8】
請求項1乃至7のいずれか一項に記載の文書アクセス制御システムにおいて、
各ポリシー判定情報は、対象となる文書の識別情報と、アクセスしようとするユーザの識別情報と、アクセス種別と、アクセスの可否および要件とを少なくとも含むことを特徴とする文書アクセス制御システム。
【請求項9】
請求項1乃至8のいずれか一項に記載の文書アクセス制御システムにおいて、
各ポリシー判定情報の中に、さらにその文書をオフラインで利用できる有効期間および有効回数のいずれかあるいは両方の条件が含まれ、指定された有効期間あるいは有効回数の制限に応じて、その文書に対するアクセスの可否を決定することを特徴とする文書アクセス制御システム。
【請求項10】
請求項1乃至9のいずれか一項に記載の文書アクセス制御システムにおいて、
アクセス制御の対象となる文書ファイルは、あらかじめ文書ファイル固有の暗号鍵で暗号化され、
各ポリシー判定情報の中に、文書ファイル固有の復号に必要な情報が含まれていることを特徴とする文書アクセス制御システム。
【請求項11】
請求項1乃至10のいずれか一項に記載の文書アクセス制御システムにおいて、
上記ポリシー判定情報は、暗号化された状態でクライアントに保管されることを特徴とする文書アクセス制御システム。
【請求項12】
請求項11に記載の文書アクセス制御システムにおいて、
上記ポリシー判定情報を暗号化する暗号鍵として、上記ポリシー判定情報保管手段が秘密に保持している情報とユーザ固有の情報とを組み合わせて生成される暗号鍵を使用することを特徴とする文書アクセス制御システム。
【請求項13】
請求項1乃至12のいずれか一項に記載の文書アクセス制御システムにおいて、
オフライン時にポリシー判定情報に基づいて実施された文書へのアクセスを記録するログ管理手段をさらに備えたことを特徴とする文書アクセス制御システム。
【請求項14】
請求項13に記載の文書アクセス制御システムにおいて、
記録される各イベントについてその発生時刻も記録しておき、次にイベントが発生した際に時刻を比較し、後のイベント発生時刻が直前のイベント発生時刻よりも前であった場合にアクセスを拒否することを特徴とする文書アクセス制御システム。
【請求項15】
請求項13または14のいずれか一項に記載の文書アクセス制御システムにおいて、
ログ情報は、上記ログ管理手段あるいはポリシー判定情報保管手段が秘密に保持している情報を暗号鍵として暗号化された状態で保管されることを特徴とする文書アクセス制御システム。
【請求項16】
請求項13乃至15のいずれか一項に記載の文書アクセス制御システムにおいて、
オフライン時に記録されたログ情報を、次にオンライン時になった際に上記サーバへ転送することを特徴とする文書アクセス制御システム。
【請求項17】
サーバにセットされたセキュリティポリシーに応じて、クライアント側での文書ファイルへのアクセスの可否を決定する機能を有する情報処理装置であって、
上記クライアントにおけるポリシー判定情報のキャッシュタイミングを決定するキャッシュタイミング決定手段と、
上記キャッシュタイミング決定手段からの通知に応じてキャッシュ対象の文書ファイルに関するポリシー判定情報を上記サーバから取得するポリシー判定情報取得手段と、
取得したポリシー判定情報を文書ファイルと関連付けて保管するポリシー判定情報保管手段と、
オフライン時にユーザから文書ファイルへのアクセス要求があった場合に、上記ポリシー判定情報保管手段に保管されたポリシー判定情報に基づいて当該文書ファイルへのアクセスを制御するファイル利用制御手段とを備えたことを特徴とする情報処理装置。
【請求項18】
サーバにセットされたセキュリティポリシーに応じて、クライアント側での文書ファイルへのアクセスの可否を決定する機能を有するプログラムであって、
コンピュータを、
上記クライアントにおけるポリシー判定情報のキャッシュタイミングを決定するキャッシュタイミング決定手段と、
上記キャッシュタイミング決定手段からの通知に応じてキャッシュ対象の文書ファイルに関するポリシー判定情報を上記サーバから取得するポリシー判定情報取得手段と、
取得したポリシー判定情報を文書ファイルと関連付けて保管するポリシー判定情報保管手段と、
オフライン時にユーザから文書ファイルへのアクセス要求があった場合に、上記ポリシー判定情報保管手段に保管されたポリシー判定情報に基づいて当該文書ファイルへのアクセスを制御するファイル利用制御手段として機能させることを特徴とする文書アクセス制御プログラム。
【請求項19】
サーバにセットされたセキュリティポリシーに応じて、クライアントでの文書ファイルへのアクセスの可否を決定する文書アクセス制御方法であって、
上記クライアントにおけるポリシー判定情報のキャッシュタイミングを決定するキャッシュタイミング決定工程と、
上記キャッシュタイミング決定工程で発生する通知に応じてキャッシュ対象の文書ファイルに関するポリシー判定情報を上記サーバから取得するポリシー判定情報取得工程と、
取得したポリシー判定情報を文書ファイルと関連付けて保管するポリシー判定情報保管工程と、
オフライン時にユーザから文書ファイルへのアクセス要求があった場合に、保管されたポリシー判定情報に基づいて当該文書ファイルへのアクセスを制御するファイル利用制御工程とを備えたことを特徴とする文書アクセス制御方法。
【請求項1】
サーバにセットされたセキュリティポリシーに応じて、クライアントでの文書ファイルへのアクセスの可否を決定する文書アクセス制御システムであって、
上記クライアントにおけるポリシー判定情報のキャッシュタイミングを決定するキャッシュタイミング決定手段と、
上記キャッシュタイミング決定手段からの通知に応じてキャッシュ対象の文書ファイルに関するポリシー判定情報を上記サーバから取得するポリシー判定情報取得手段と、
取得したポリシー判定情報を文書ファイルと関連付けて保管するポリシー判定情報保管手段と、
オフライン時にユーザから文書ファイルへのアクセス要求があった場合に、上記ポリシー判定情報保管手段に保管されたポリシー判定情報に基づいて当該文書ファイルへのアクセスを制御するファイル利用制御手段とを備えたことを特徴とする文書アクセス制御システム。
【請求項2】
請求項1に記載の文書アクセス制御システムにおいて、
上記キャッシュタイミング決定手段は、上記クライアントにおけるキャッシュ対象の文書ファイルの生成を監視し、
上記ポリシー判定情報取得手段は、生成された文書ファイルに関するポリシー判定情報をサーバから取得することを特徴とする文書アクセス制御システム。
【請求項3】
請求項1に記載の文書アクセス制御システムにおいて、
上記キャッシュタイミング決定手段は、上記クライアントにおけるキャッシュ対象の文書ファイルのポリシー判定情報を定期的に更新することを指示し、
上記ポリシー判定情報取得手段は、キャッシュ対象の文書ファイルに関するポリシー判定情報を上記サーバから取得することを特徴とする文書アクセス制御システム。
【請求項4】
請求項1に記載の文書アクセス制御システムにおいて、
上記キャッシュタイミング決定手段は、上記クライアントにおけるキャッシュ対象の文書ファイルのユーザによる明示的な指定を受け取り、
上記ポリシー判定情報取得手段は、指定されたキャッシュ対象の文書ファイルに関するポリシー判定情報を上記サーバから取得することを特徴とする文書アクセス制御システム。
【請求項5】
請求項4に記載の文書アクセス制御システムにおいて、
文書ファイルの明示的な指定は、個々のファイルを指定する代わりにフォルダを指定することによって、その下にあるキャッシュ対象の文書ファイルすべてを指定することを特徴とする文書アクセス制御システム。
【請求項6】
請求項1に記載の文書アクセス制御システムにおいて、
上記ポリシー判定情報取得手段は、ユーザによってアクセスされたキャッシュ対象の文書ファイルに関するポリシー判定情報を上記サーバから取得することを特徴とする文書アクセス制御システム。
【請求項7】
請求項1乃至6のいずれか一項に記載の文書アクセス制御システムにおいて、
上記サーバと通信できる状態か否かを判別するネットワーク状態判定手段をさらに備え、
上記サーバと通信できる状態時には上記サーバに問い合わせて得られるポリシー判定情報に従い、上記サーバと通信できない状態時には上記ポリシー判定情報保管手段にあらかじめ保管されているポリシー判定情報に従って、文書へのアクセス可否および要件を決定することを特徴とする文書アクセス制御システム。
【請求項8】
請求項1乃至7のいずれか一項に記載の文書アクセス制御システムにおいて、
各ポリシー判定情報は、対象となる文書の識別情報と、アクセスしようとするユーザの識別情報と、アクセス種別と、アクセスの可否および要件とを少なくとも含むことを特徴とする文書アクセス制御システム。
【請求項9】
請求項1乃至8のいずれか一項に記載の文書アクセス制御システムにおいて、
各ポリシー判定情報の中に、さらにその文書をオフラインで利用できる有効期間および有効回数のいずれかあるいは両方の条件が含まれ、指定された有効期間あるいは有効回数の制限に応じて、その文書に対するアクセスの可否を決定することを特徴とする文書アクセス制御システム。
【請求項10】
請求項1乃至9のいずれか一項に記載の文書アクセス制御システムにおいて、
アクセス制御の対象となる文書ファイルは、あらかじめ文書ファイル固有の暗号鍵で暗号化され、
各ポリシー判定情報の中に、文書ファイル固有の復号に必要な情報が含まれていることを特徴とする文書アクセス制御システム。
【請求項11】
請求項1乃至10のいずれか一項に記載の文書アクセス制御システムにおいて、
上記ポリシー判定情報は、暗号化された状態でクライアントに保管されることを特徴とする文書アクセス制御システム。
【請求項12】
請求項11に記載の文書アクセス制御システムにおいて、
上記ポリシー判定情報を暗号化する暗号鍵として、上記ポリシー判定情報保管手段が秘密に保持している情報とユーザ固有の情報とを組み合わせて生成される暗号鍵を使用することを特徴とする文書アクセス制御システム。
【請求項13】
請求項1乃至12のいずれか一項に記載の文書アクセス制御システムにおいて、
オフライン時にポリシー判定情報に基づいて実施された文書へのアクセスを記録するログ管理手段をさらに備えたことを特徴とする文書アクセス制御システム。
【請求項14】
請求項13に記載の文書アクセス制御システムにおいて、
記録される各イベントについてその発生時刻も記録しておき、次にイベントが発生した際に時刻を比較し、後のイベント発生時刻が直前のイベント発生時刻よりも前であった場合にアクセスを拒否することを特徴とする文書アクセス制御システム。
【請求項15】
請求項13または14のいずれか一項に記載の文書アクセス制御システムにおいて、
ログ情報は、上記ログ管理手段あるいはポリシー判定情報保管手段が秘密に保持している情報を暗号鍵として暗号化された状態で保管されることを特徴とする文書アクセス制御システム。
【請求項16】
請求項13乃至15のいずれか一項に記載の文書アクセス制御システムにおいて、
オフライン時に記録されたログ情報を、次にオンライン時になった際に上記サーバへ転送することを特徴とする文書アクセス制御システム。
【請求項17】
サーバにセットされたセキュリティポリシーに応じて、クライアント側での文書ファイルへのアクセスの可否を決定する機能を有する情報処理装置であって、
上記クライアントにおけるポリシー判定情報のキャッシュタイミングを決定するキャッシュタイミング決定手段と、
上記キャッシュタイミング決定手段からの通知に応じてキャッシュ対象の文書ファイルに関するポリシー判定情報を上記サーバから取得するポリシー判定情報取得手段と、
取得したポリシー判定情報を文書ファイルと関連付けて保管するポリシー判定情報保管手段と、
オフライン時にユーザから文書ファイルへのアクセス要求があった場合に、上記ポリシー判定情報保管手段に保管されたポリシー判定情報に基づいて当該文書ファイルへのアクセスを制御するファイル利用制御手段とを備えたことを特徴とする情報処理装置。
【請求項18】
サーバにセットされたセキュリティポリシーに応じて、クライアント側での文書ファイルへのアクセスの可否を決定する機能を有するプログラムであって、
コンピュータを、
上記クライアントにおけるポリシー判定情報のキャッシュタイミングを決定するキャッシュタイミング決定手段と、
上記キャッシュタイミング決定手段からの通知に応じてキャッシュ対象の文書ファイルに関するポリシー判定情報を上記サーバから取得するポリシー判定情報取得手段と、
取得したポリシー判定情報を文書ファイルと関連付けて保管するポリシー判定情報保管手段と、
オフライン時にユーザから文書ファイルへのアクセス要求があった場合に、上記ポリシー判定情報保管手段に保管されたポリシー判定情報に基づいて当該文書ファイルへのアクセスを制御するファイル利用制御手段として機能させることを特徴とする文書アクセス制御プログラム。
【請求項19】
サーバにセットされたセキュリティポリシーに応じて、クライアントでの文書ファイルへのアクセスの可否を決定する文書アクセス制御方法であって、
上記クライアントにおけるポリシー判定情報のキャッシュタイミングを決定するキャッシュタイミング決定工程と、
上記キャッシュタイミング決定工程で発生する通知に応じてキャッシュ対象の文書ファイルに関するポリシー判定情報を上記サーバから取得するポリシー判定情報取得工程と、
取得したポリシー判定情報を文書ファイルと関連付けて保管するポリシー判定情報保管工程と、
オフライン時にユーザから文書ファイルへのアクセス要求があった場合に、保管されたポリシー判定情報に基づいて当該文書ファイルへのアクセスを制御するファイル利用制御工程とを備えたことを特徴とする文書アクセス制御方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2007−207171(P2007−207171A)
【公開日】平成19年8月16日(2007.8.16)
【国際特許分類】
【出願番号】特願2006−28495(P2006−28495)
【出願日】平成18年2月6日(2006.2.6)
【出願人】(000006747)株式会社リコー (37,907)
【Fターム(参考)】
【公開日】平成19年8月16日(2007.8.16)
【国際特許分類】
【出願日】平成18年2月6日(2006.2.6)
【出願人】(000006747)株式会社リコー (37,907)
【Fターム(参考)】
[ Back to top ]