説明

秘密分散によるデータ管理システム

【課題】秘密分散によるデータ管理システムに係わり、企業等のグループのユーザ間で扱われる文書ファイルを秘密分散により安全に保管・伝送できる技術を提供する。
【解決手段】企業等のグループを対象としてサービスを提供するASPサーバ10を有する。ASPサーバ10は、グループのユーザの端末20での文書ファイルに対してユーザにより選択したラベルの情報を付与する処理を管理するラベリング管理部11と、ユーザの端末20のファイルを断片化(秘密分散)処理し、また利用時には復元処理するサービスを提供する秘密分散管理部15と、上記復元時に復元の適切性をチェックするチェック部16とを備える。またラベル情報に対して公開範囲情報をグループ単位で関連付ける手段を有する。復元要求のアクセスに対し、チェック部16は、アクセス元が公開範囲に含まれるか否かを判定する。否の場合は復元を実行しない。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、企業や個人等が扱う文書ファイル等のデータ(情報資産)の安全な保管や伝送などを実現するためのデータ管理システムの技術に関し、特に、秘密分散技術を用いたデータ管理システムに係わり、企業等の重要なデータの保護、情報漏洩対策などを実現するための技術に関する。
【背景技術】
【0002】
企業等の情報漏洩対策などを実現するための有効な技術として、秘密分散技術を用いたデータ管理システムがある。企業等のユーザ(社員等)の端末に存在する一般的なデータ(文書ファイル)を対象とし、対象データ(元データ)を複数の断片(分割データ)に分割して保管や伝送を行う機能を有する。断片の形成は、ビット単位でのデータの並び替え等によりなされ、個々の断片は秘密化された状態となる。即ち、紙のシュレッダーの技術と同様に情報を分断するものであるが、さらに各断片は、元情報の一部を判読することもできず第三者にとって無意味な情報・非重要情報の状態となる。複数の断片(セット)は、復元のために必要な情報(「復元用情報」)と共に、複数の場所に保存される。特に、複数の断片(セット)を、ネットワーク上で複数のデータセンタのサーバ等に分散して保管や伝送を行うことにより、セキュリティを高めることができる。断片から文書ファイル(元データ)を復元する際には、複数の断片(セット)を集めて復元用情報に従った復元処理(データの並べ直し等)により復元ができ、ユーザにより閲覧等が可能になる。特に、元データに例えば個人情報等の重要な情報が含まれていたとしても、各断片は秘密化状態であり分散管理されるため、第三者により各断片単体からは重要情報を読み取ることはできず、元データの復元もできない。
【0003】
企業等のユーザは、上記データ管理システム(断片化・復元の機能)を利用することで、あまり意識する必要無く、文書ファイルを秘密化状態で安全に扱うことができる。例えば、社員が自身の端末で重要データ(社内で扱う非公開情報など)を安全に操作することができる。例えばファイル保存時には外部ネットワーク上に断片の状態で安全に保管され、ファイルの閲覧・編集時には自動的に復元がされる。また企業間(ユーザ間)で重要データを一方から他方へ安全な状態で提供すること(ネットワーク上の保管・伝送や、媒体に格納して郵送・手渡し等)ができる。
【0004】
上記秘密分散技術によるデータ管理システムに係わる前提技術として、特許第4039810号(特許文献1)(電子情報の安全確保方法)がある。特許文献1では、GFI電子割符(登録商標)技術について記載されている。
【0005】
また、前提技術として、文書ファイルに対してユーザによりラベル情報を付与するラベリング管理システム(ラベリング管理機能)がある(非特許文献1)。ユーザが端末のアプリケーション等で作成した文書ファイル等のデータ自体に対し、当該ユーザ自身により、当該文書の重要度などの性質に応じたラベル情報を選択付与する。プログラムにより当該データに対してラベル情報の付与処理が行われる。ラベルは例えば「極秘」「社内限」「関係者限」といったものである。これにより、企業等のグループ単位におけるデータ(情報資産)の識別・整理のレベルを高め、情報流出防止等のセキュリティのレベルを高めることができる。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特許第4039810号
【非特許文献】
【0007】
【非特許文献1】NRIセキュアテクノロジーズ株式会社、“SecureCube/Labeling”、<URL:http://www.nri-secure.co.jp/service/cube/labeling.html>
【発明の概要】
【発明が解決しようとする課題】
【0008】
従来の秘密分散によるデータ管理システムに係わり、企業等の情報処理システム(ユーザの端末)で、前述のように断片化・復元の機能を利用することで、文書ファイルの安全な保管や伝送などが概ね実現できるが、ユーザの操作ミスや、第三者による不正利用などによる情報流出リスク等は存在する。例えば秘密分散による文書ファイル(断片)の提供・送付先を誤った場合や、提供ファイル(断片)自体を誤った場合などには、当該文書ファイルに関係の無い企業等のユーザによる復元など、不適切な復元(取得・利用)の発生の可能性がある。特に、重要データを含む文書ファイルの場合には、情報漏洩に関する影響が非常に大きい。
【0009】
上記を鑑み、本発明の主な目的は、秘密分散によるデータ管理システムに係わり、企業等のグループのユーザ間で扱われる文書ファイルを秘密分散により安全に保管・伝送でき、秘密分散によるファイル(断片)の提供・送付先を誤った場合などにおいても、当該ファイルの不適切な復元(取得・利用)を防止することができる技術を提供することである。即ちこれにより、例えば企業等の情報流出リスクを下げ、情報漏洩等を防止することができる技術を提供することである。
【課題を解決するための手段】
【0010】
前記目的を達成するために、本発明の代表的な実施の形態は、秘密分散を用いたデータ管理システムに係わり、企業等のグループの情報処理システム(ユーザの端末)で扱うデータ(文書ファイル)を対象とした断片化及び復元の機能・サービス(以下「秘密分散サービス」等と称する)を提供するものであり、以下に示す構成を有することを特徴とする。
【0011】
例えば、本秘密分散によるデータ管理システムは、複数のユーザの端末を含むグループの情報処理システムを対象としてサービスを提供するサーバ装置を含むサービス事業者システムを有する。前記サーバ装置は、前記グループのユーザの端末に対して、対象の文書ファイルを秘密分散技術により断片化する機能と、当該断片から文書ファイルを復元する機能と、を含む秘密分散サービス処理を提供する秘密分散管理部を有する。前記グループのユーザの端末は、前記サーバ装置の秘密分散管理部にアクセスして前記秘密分散サービス処理を受ける秘密分散処理部を有する。前記サーバ装置は、前記秘密分散サービス処理における前記復元の際に、復元の可否をチェックして不適切な復元を防止する処理を行うチェック部を備える。前記サーバ装置は、ユーザにより設定可能な管理情報として、グループ単位ごとに、ID、ドメイン情報またはIPアドレス情報を含む、グループ情報を有する。前記サーバ装置は、ユーザにより設定可能な管理情報として、前記グループのユーザの端末での文書ファイルに対して、公開範囲の情報をグループ単位で関連付ける、公開範囲情報を有する。
【0012】
前記文書ファイルの断片を持つ前記グループの情報処理システムは、当該断片から文書ファイルを復元する際、前記サーバ装置へアクセスして、アクセス元の情報と、当該断片または文書ファイルの情報と、を含む要求の情報を送信し、前記サーバ装置のチェック部は、前記管理情報に基づき、前記要求の情報における前記アクセス元のグループのIDまたはドメインまたはIPアドレスが、当該文書ファイルに関連付けられる公開範囲に含まれるか否かを判定し、前記サーバ装置の秘密分散管理部は、上記判定の結果に応じて、上記否の場合は、当該文書ファイルの復元処理を実行せず、上記含まれる場合は、当該復元処理を実行して、復元した文書ファイルを前記アクセス元のグループの情報処理システムが取得する。
【0013】
また例えば、前記サーバ装置は、前記グループの各ユーザの端末に対して当該グループで利用するラベルの情報を管理するサービスを提供するラベリング管理部を有し、前記グループのユーザの端末は、前記サーバ装置のラベリング管理部にアクセスし、前記ラベルの情報を利用するための処理を行うラベリング処理部を有する。前記グループのユーザの端末は、前記サーバ装置の公開範囲情報に対して、前記ラベルと前記公開範囲との関連付けを設定する機能を有する。前記グループのユーザの端末では、前記ラベリング処理部により、前記文書ファイルに、前記ユーザにより選択されるラベルの情報を付与する。前記文書ファイルに付与されるラベルの情報は、前記断片化による断片にも付与される。
【0014】
前記文書ファイルの断片を持つ前記グループの情報処理システムは、当該断片から文書ファイルを復元する際、前記サーバ装置へアクセスして、当該断片に付与されているラベルの情報を含む前記要求の情報を送信し、前記サーバ装置のチェック部は、前記管理情報に基づき、前記要求の情報における前記アクセス元のグループのIDまたはドメインまたはIPアドレスが、当該文書ファイルのラベルに関連付けられる公開範囲に含まれるか否かを判定する。
【発明の効果】
【0015】
本発明の代表的な実施の形態によれば、秘密分散によるデータ管理システムに係わり、企業等のグループのユーザ間で扱われる文書ファイルを秘密分散により安全に保管・伝送でき、秘密分散によるファイル(断片)の提供・送付先を誤った場合などにおいても、当該ファイルの不適切な復元(取得・利用)を防止することができる。即ちこれにより、例えば企業等の情報流出リスクを下げ、情報漏洩等を防止することができる。
【0016】
特に、従来技術ではできなかった、文書ファイル自体の性質と、提供先の企業等のグループ/ユーザ(復元者)との関連性に応じた復元のチェック・制御を実現できる。
【図面の簡単な説明】
【0017】
【図1】本発明の一実施の形態のシステム(秘密分散によるデータ管理システム)にに関する全体の構成を示す図である。
【図2】本システムの各部の構成例などを示す図である。
【図3】本システムのラベリング管理機能(及び公開範囲付与機能)に関する構成例、及びファイル提供側でのラベリング処理などを示す図である。
【図4】本システムのファイル提供側での断片化処理に関する構成例を示す図である。
【図5】本システムのファイル受け取り側での復元処理に関する構成例を示す図である。
【図6】本システムでの断片化処理の詳細例を示す図である。
【図7】本システムでのラベリング時の画面例を示す図である。
【図8】本システムでの設定及びラベリング時の画面例を示す図である。
【発明を実施するための形態】
【0018】
以下、本発明の実施の形態(秘密分散によるデータ管理システム)を図面(図1〜図8)に基づいて詳細に説明する。なお説明上の記号として適宜、G:グループ、U:ユーザ、K:管理者、C:端末、F:ファイル(文書)、T:テンプレート、L:ラベル、d:断片、H:公開範囲、等とする。
【0019】
[概要]
本実施の形態のシステムは、構成要素として、(1)ラベリング管理機能、(2)秘密分散サービス(断片化・復元の機能)、(3)復元時チェック機能、(4)公開範囲Hを設定/付与する機能、等を有する。またASPサーバ10側で断片化・復元の主要処理を行う形態(端末20側は簡易処理)である。
【0020】
本システムでは、(1)企業等のグループのユーザによりデータ(文書ファイル)にラベル情報を付与するラベリングの管理を行うラベリング管理機能と、(2)企業等のグループのユーザのデータ(文書ファイル)を対象とした断片化(秘密分散)及び復元の機能(秘密分散サービス)と、を組み合わせたサービスを、各企業等のグループの情報処理システム(複数のユーザの端末)に対して提供する。
【0021】
そして本システムでは、(2)秘密分散サービスに係わり、(3)グループのユーザが断片からファイルを復元(取得・利用)する際のチェック機能を設け、不適切な復元を防止する。特に、(4)公開範囲Hを設定/付与する機能を利用して、付与ラベル情報により表される文書ファイル自体の重要度などの性質と、文書ファイルの提供先のグループとの関連性に応じた復元時のチェック・制御を実現する。文書ファイル毎に相応しい公開範囲H内からの復元を可能とする。
【0022】
(4)公開範囲Hを設定/付与する機能は、文書ファイルないしその付与ラベル情報に対して公開範囲H情報を企業等のグループ単位で関連付けることを可能とする手段・機能であり、この方式として、(a)方式:ASPサーバ10への設定機能、(b)方式:個別のユーザ端末20での付与機能(図2、公開範囲付与部40)、等を有し、いずれも利用可能である。公開範囲Hとは、当該文書ファイルに関する関係者、即ち閲覧・共有・公開等の範囲(対象)とするグループ(複数のユーザを含む)単位を示す。(4)の機能により、文書ファイル自体に公開範囲H情報を持たせる(関連付ける)ことができる。そして(3)の復元時チェックの際は、当該ファイルの提供先(復元要求のアクセス元)と、当該ファイルのラベルに関連付けられる公開範囲Hとを参照・比較して、復元の適切性を判定する。チェック結果に基づき復元の実行、許可等を制御する。
【0023】
[システム]
図1において、本システムの全体構成例を示している。ネットワーク(インターネット等)90上、サービスの対象となる複数の各々の企業などのグループ単位の情報処理システム(複数のユーザの端末20を含む)、それらに対してサービスを提供するサービス部(サービス事業者システム)100、及び複数のデータセンタ30等が接続される構成である。
【0024】
サービス部100は、サーバシステム等により構成され、ASPサーバ10、及びデータベース等による管理情報50等を有する。ASPサーバ10(ASP:アプリケーション・サービス・プロバイダ)は、ラベリング管理部11、秘密分散管理部15、チェック部16(復元時チェック部)、管理情報50等を有する。ASPサーバ10は、各処理機能(11等)を有するサーバ装置(群)で構成され、管理情報50を処理しつつ、端末20等からのアクセス(要求)に対してサービス処理を行う。なおASPサーバ10を含むサービス部100は、多数のアクセスも処理可能なように、必要に応じてサーバ多重化や負荷分散等の機能を備える。
【0025】
本システムでは、ASPサーバ10により各グループ(ユーザの端末20)に対して提供するサービス・機能として、(1)ラベリング管理機能と、(2)秘密分散サービスと、を有する。特に(2)秘密分散サービスに係わる機能として、(3)復元時チェック機能を有する。
【0026】
(1)第1のサービスとして、各グループのユーザの文書ファイルに対するラベル付与(ラベリング)の統合管理のサービス(ラベリング管理機能)を提供する。各グループ単位での統一的なルール等によるラベリング管理を実現する。サービス部100で管理するので、各グループの情報処理システムでは専用サーバ設置等は不要である。本機能は、端末10側のラベリング処理部21(図2)と、ASPサーバ10のラベリング管理部11とで、連携的に通信処理を行うことにより実現される。
【0027】
(2)第2のサービスとして、各グループのユーザの端末20で秘密分散による文書ファイルの安全な保管や伝送を実現する秘密分散サービスを提供する。本機能は、端末20の秘密分散処理部25(図2)と、ASPサーバ10の秘密分散管理部15とで、連携的に通信処理を行うことにより実現される。
【0028】
(3)復元時チェック機能は、(2)秘密分散サービスを利用してグループのユーザが秘密分散によるファイル(断片)を復元する際に、復元の適切性をチェックし、不適切な復元を防止する機能である。本機能は、ASPサーバ10の秘密分散管理部15と連携するチェック部16の処理により実現される。チェック処理では、当該ファイルのラベルに対して関連付けられる公開範囲H(グループ単位)の情報と、復元要求のアクセス元の情報との比較により判定する。例えば公開範囲Hに該当しないグループ(ユーザ)による復元(取得・利用)を不許可にする。
【0029】
図1で、クライアント側の情報処理システムにおいて、企業A,B,C,……といった各グループ単位G(GA,GB,GC,……)は、それぞれ複数のユーザUの端末C(20)を含んで成る。本例では、企業単位の場合を示しているが、公的な組織などの他のグループ単位も可能である。例えば企業A(グループGA)は、複数(n)のユーザU(UA1〜UAn)の端末C(CA1〜CAn)を含んで成る。また例えば各社の情報処理システムは、各端末20等が接続される社内LANを有する。また例えば、企業Aと企業Bは、所定の業務・プロジェクト等に関するコワーク(協働)関係を持つとし、これら企業(グループ)間でも特定のグループ単位を設定可能となっている。
【0030】
ユーザU(UA1等)は、社員やシステム管理者やグループ代表者等を含む。各ユーザUは、PCやモバイル機器などの情報処理装置である端末20(CA1等)を使用する。各端末20は、例えばPCの場合、社内LAN等でネットワーク90に接続される。また例えばモバイル機器の場合、無線通信網等を含むネットワーク90に接続される。そして各端末20はネットワーク90を介してASPサーバ10にアクセスし通信可能である。
【0031】
データセンタ30は、サーバシステム等により構成され、秘密分散サーバ31(KS)を備える。秘密分散サーバ31(KS)は、ASPサーバ10の秘密分散管理部15の部分と同様の機能を持ち、ASPサーバ10の秘密分散管理部15との間での連携的な処理に基づき、秘密分散によるデータ(断片d)を保管する機能を有する。
【0032】
[処理部]
図2において、本システム(図1)の各処理部などの構成例を示している。なお簡単のため各ユーザの端末20は同様の処理部(21等)を備える構成とする。
【0033】
端末20は、ラベリング処理部21、秘密分散処理部25、Webブラウザ28、文書作成アプリケーション26、メールクライアント27、公開範囲付与部40等を備える。ユーザの端末20では、文書ファイルFの断片化(c1)により得られる1つの断片d(duとする)を保持する。
【0034】
Webブラウザ28は、ラベリング管理機能、秘密分散サービス、等に関するグラフィカルユーザインタフェースを提供する。文書作成アプリケーション26は、ユーザにより文書ファイルF等を作成・編集等が可能なアプリケーションであり、例えばワープロ、表計算、プレゼンテーション等のソフトウェアである。文書作成アプリケーション26等でラベルL付き文書ファイルFを開くと、文書ページ内にラベルが出力される。メールクライアント27は、ユーザにより、断片dファイル等を添付したメールを作成して提供先のグループのユーザへ送付する場合などに使用される。
【0035】
ASPサーバ10の秘密分散管理部15は、サービス情報85を管理・処理し、秘密分散サービス処理(断片化処理機能、復元処理機能を含む)を、グループのユーザの端末20(秘密分散処理部25)に対して提供する。また秘密分散管理部15は、秘密分散サービスにおける基本的なユーザ認証処理機能(後述)を含む。また秘密分散管理部15は、ユーザ認証処理を含む秘密分散サービス処理のログ情報をデータベース等に記録する。
【0036】
端末20の秘密分散処理部25は、ASPサーバ10の秘密分散管理部15に対してアクセスし、秘密分散サービスの要求(b1)−応答(b2)等の処理を行う。秘密分散処理部25は、クライアントプログラム等により実現され、ラベリング処理部21、Webブラウザ28等と連携する。端末20では、秘密分散処理部25を利用して、対象ファイルF(元データD)を断片化する操作・処理(c1)と、逆に、断片化されたデータ(断片d)からファイルF(D)を復元する操作・処理(c2)とが可能である。
【0037】
復元時チェック部16は、秘密分散管理部15による秘密分散サービスのうちの一部の機能を構成し、サービス利用契約及び設定等に基づき利用可能とする。チェック部16は、公開範囲情報80(ラベルL情報と公開範囲H情報との関連付け)の管理・処理に基づき、秘密分散管理部15での復元処理の際にチェック処理を行う。
【0038】
また図3では、主にラベリング管理機能に関する構成例を示している。ASPサーバ10のラベリング管理部11は、設定部11−1、更新部11−2、等を備え、端末20のラベリング処理部21は、設定部21−1、更新部21−2、等を備える。ラベリング処理部21は、各部(28,26,40等)と連携動作する。
【0039】
ラベリング管理機能(11,21)は、グループのユーザの端末20でユーザによりファイルFにラベルLを付与するラベリング機能と、グループの管理者K等により端末20からASPサーバ10(管理情報50)に対してグループG(グループ情報60)やテンプレートT(テンプレート情報70)等に関する設定を行う設定機能と、を含む。
【0040】
例えば各グループでは、複数のユーザUのうち、上記設定操作が許可される特定のユーザである管理者K(KA等)及びその端末20を有する。例えばグループ情報60で、ユーザのID、種別・権限(一般/管理者等)、及びパスワード等のユーザ情報を管理する。設定機能の利用の際(端末20からASPサーバ10へのアクセスの際)、上記ユーザ情報を用いたユーザ認証処理などを行うことで、管理者K等の特定のユーザのみに設定操作を許可するように制御することができる。
【0041】
ラベリング処理部21は、実装例としては、文書作成アプリケーション26等にプラグインとして組み込まれる。端末20では、ラベリング処理部21と文書作成アプリケーション26との処理の連携に基づき、ラベリング処理が行われる。文書ファイルFに付与されるラベルLの情報は、例えば当該文書作成アプリケーション26の管理する属性情報(プロパティ情報)内に記述される。
【0042】
設定部11−1,21−1は、グループGで適用するテンプレートT(ラベルLの定義情報を含む)等を設定することができる設定機能を実現する。設定機能により、グループ情報60、テンプレート情報70、公開範囲情報80等を設定可能とする。管理者K等は、端末20のWebブラウザ28の画面等での操作に基づき、端末20(設定部21−1)からASPサーバ10(設定部11−1)へアクセスし、グループG及びテンプレートT等の作成・変更・削除などの設定操作を行うことができる(図3のa1)。
【0043】
更新部11−2,21−2は、グループGのユーザUの端末20での文書ファイルFへのラベリングのために適用するテンプレートT等を自動的に取得・更新等することができる更新機能を実現する。ラベリング等の際、端末20(更新部21−2)により、ASPサーバ10(更新部11−2)から、最新のテンプレート情報70等を自動的に取得し、更新適用することができる(図3のa2)。
【0044】
なお本実施の形態では、上記ラベリング管理機能に関する設定機能は、各サービス(秘密分散サービス及びチェック機能を含む)に関する設定も可能とする。例えば、復元時チェック機能に係わる公開範囲情報80の設定なども可能とする((a)方式)。勿論、各サービス・機能の設定機能を別個に設けてもよい。
【0045】
[管理情報]
管理情報50(図1〜図3等)の構成例として、グループ情報60、テンプレート情報70、公開範囲情報80、サービス情報85等を有する。ラベリング管理部11は、管理情報51(60,70等)を管理・処理する。秘密分散管理部15は、管理情報55(サービス情報85等)を管理・処理する。チェック部16は、管理情報56(60,80等)を管理・処理する。なおグループ情報60は各管理情報(51,55,56)で共通の基本的な管理情報とするが、分けて管理してもよい。
【0046】
グループ情報60は、サービスを提供する対象となる複数の各企業等のグループG単位に関する管理情報(グループ構成情報)である。例えば、グループID(企業IDなど)やグループ名称(企業名称など)、ドメイン情報やIPアドレス情報などの通信情報、ユーザIDや端末ID等のユーザ情報、等を管理する。また例えばコワーク企業間の仕事用など、複数の企業(グループG)またはその各ユーザUを含んで成る、任意のグループG単位を設定することができる。また、グループGとテンプレートT(当該グループGで利用する1つ以上のテンプレートTの情報)との対応付け等を管理する(テンプレート情報70で管理してもよい)。
【0047】
図3のグループ情報60の例では、各企業A,B等に対応する各グループGのID(GA,GB)、対応するIPアドレス(IA1,IB1等)等を設定している。グループIDは、適宜、企業ID,部署ID等とすることができる。ID(識別情報)の値は、クライアント(端末20)側及びASPサーバ10側で適宜設定可能であり対応付けて管理される。企業IDは、説明上は簡単にA,B等で表す。また、ネットワーク90上のドメイン(“○○○.co.jp”等)とIPアドレス等の情報がグループID等と共に関連付けて管理される。よってチェック等の際にはグループ情報60に基づき、該当グループG(ID等)が判別できる。また企業(全ユーザ)単位だけでなく、企業のうちの特定のユーザの集まりからなる任意のグループの設定もできる。また例えば、複数企業(グループ)にわたるユーザのグループの設定もできる。例えばグループGXは、企業A(GA),企業B(GB)から成る。グループGXは、例えば企業Aのユーザ(UA1等)と企業Bのユーザ(UB1等)とにおける特定のプロジェクト(X)用に設定される。グループの構成メンバーは、設定に応じて、各企業内の全ユーザ、または特定ユーザ(UA1,UB1等)となる。また、グループGとテンプレートTとの対応付けの例として、企業A(GA)で適用する(利用可能とする)テンプレートTA,TXを設定している。
【0048】
テンプレート情報70は、テンプレートT毎に、各種のラベルLの定義情報などを含む。例えばグループの管理者(K)等により、予め端末20(設定機能)の設定画面で、ASPサーバ10に対し、グループG単位での統一的なルール等に基づくラベルLの定義情報などを作成・編集等できる。テンプレート情報70では、テンプレートTのIDや名称、ラベルLのIDや名称、ラベルL毎の区分情報やルール説明情報などが設定可能である(後述、図8等)。本実施の形態では、テンプレート情報70内に公開範囲情報80を含めて設定・管理している。
【0049】
図3の例で、テンプレートTAは、企業Aの自社用のテンプレートであり、該当企業A内のユーザのみ利用可能となる。また例えばテンプレートTXは、企業間のグループGX用のテンプレートであり、該当グループGX内の各企業(A,B)内のユーザが利用可能となる。また1グループで複数テンプレートの設定も可能である。その場合、当該グループのユーザは、複数テンプレートから選択したものを利用(適用)できる。例えば企業Aのユーザは、設定済みのテンプレートTA,TXから選択利用可能となる。
【0050】
公開範囲情報80は、ラベルLに対して公開範囲Hをグループ単位で関連付ける情報を管理する。例えばグループの管理者(K)等により、予め端末20(設定機能)の設定画面で、ASPサーバ10に対し、ラベルL(ラベルID)と公開範囲H(グループID等)との関連付けを企業ID等の選択・指定により設定可能である((a)方式)。また特にグループ情報60で設定済みの特定のユーザの集まりからなるグループ単位で公開範囲Hを設定することも可能である。
【0051】
図3の例で、グループGA用のテンプレートTAは、例えばラベルLA等の定義情報を含む。また例えばグループGX用のテンプレートTXは、例えばラベルLX等の定義情報を含む。ラベルLA(例「社内限」)は、関連付けられる公開範囲HAとして、自社A(GA)内とする。ラベルLX(例「関係者限」)は、関連付けられる公開範囲HXとして、グループGX{GA,GB}内とする。ユーザは、仕事等に応じて適用テンプレート(例えばTA,TX)及びそのラベル(例えばLA,LX)を選択利用ができる。
【0052】
サービス情報85は、秘密分散管理部15による秘密分散サービス処理に関する管理情報であり、サービスを利用(要求)するグループG、ユーザU/端末20の情報(グループID,ユーザID、IPアドレス等)、対象ファイルFの情報(ファイルID等)、対応するセット(断片d、復元用情報Rなど)の情報(断片dデータファイルID等)、対応するラベルLの情報(ラベルID等)、保管場所の情報(秘密分散サーバ31のアドレス等)、などを関連付けて管理する。
【0053】
[サービス利用(設定)]
本システムのサービス利用や設定に係わる作業の例は以下である。予め、企業(例えば企業A)の管理者(例えば図3のKA)等は、サービス部100に対して、各サービスに関するサービス利用契約を結び、サービス部100の管理者、または設定対象グループ(GA)の管理者(KA)等により、ASPサーバ10の管理情報50に対して、設定対象グループ(GA)に関する基本的なグループ情報60(企業、ユーザ、ドメイン・IPアドレス等)を設定する。またグループ(GA)の設定に基づき、当該グループの管理者(KA)等により、当該グループで適用するルール等に基づくテンプレート情報70(例えばTA,TX)を設定する(a1)。また併せて公開範囲情報80を設定してもよい((a)方式)。端末20から設定機能により適宜設定変更等も可能である。また例えば企業A,B間(グループGX)で利用するテンプレートTX(ラベルLX)の設定については、いずれかのグループ(例えばGA)のユーザにより設定して、他のグループ(例えばGB)のユーザに対して連絡する。各ユーザは端末20の更新機能を用いることで、最新のテンプレート情報を追加・更新することができる。
【0054】
設定されたグループ(GA)内の各ユーザの端末20では、各処理部(21等)を実現するプログラム等をインストール・設定する。各ユーザの端末20のラベリング処理部21は、ASPサーバ10から、上記設定済みのテンプレート情報70等を取得して保存する(a2)。またグループ(GA)のユーザの端末20の秘密分散処理部25からASPサーバ10の秘密分散管理部15(グループ情報60)に対して、管理者(KA)または個別ユーザにより、秘密分散サービスの利用のためのアカウント情報(ユーザ情報)などを登録する。
【0055】
復元時チェック機能の利用に関しては、設定機能を用いて、グループ(GA)の管理者(KA)等により、ASPサーバ10(グループ情報60、公開範囲情報80等)に対して必要な情報を設定する。例えば復元時チェックの実施対象のグループ(例えばGX)や、ラベルL(例えばLX)と公開範囲H(例えばGX)との関連付け等を設定する。
【0056】
[事例]
図2で、復元時チェックに関する事例も示している。文書ファイルF(対応する断片du)に関して、提供元が企業A(グループGA)のユーザUA1(IPアドレス:IA1)、提供先が企業B(グループGB)のユーザUB1(IPアドレス:IB1)の場合とする。文書ファイルFは、例えばコワーク企業A,B間での特定のプロジェクト(X)用の文書ファイルF1(図3)であり、作成者がユーザUA1、付与ラベルがLX(図3)とする。201は、提供元(A)から提供先(B)へ、正しくファイルF1の断片duを提供した場合である。202は、提供元(A)から、上記正しいファイルF1の断片duを、誤った提供先(F1の非関係者)である企業C(グループGC)のユーザUC1(IPアドレス:IC1)へ送付等してしまった場合である(ユーザUC1による断片duの不正利用の場合でも同様)。
【0057】
203は、上記正しい提供先(B)の端末20からASPサーバ10へ、ファイルF1の断片du(201)に関する復元処理に先行した公開範囲のチェック要求アクセスの場合であり、当該アクセス元(GB)が当該ファイルF1(LX)対応の公開範囲H(HX)のグループGXに含まれるためチェック結果がOKとなる場合である。204は、上記誤った提供先(C)の端末20からASPサーバ10へ、ファイルF1の断片du(202)に関する復元処理に先行した公開範囲のチェック要求のアクセスの場合であり、当該アクセス元(GC)が当該ファイルF1(LX)対応の公開範囲H(HX)のグループGXに含まれないためチェック結果がNGとなる場合である。
【0058】
また例えば、提供元(A)から、正しい提供先(B)へ、誤ったファイルF、例えば企業C向けの文書ファイルF2(付与ラベルLY,公開範囲HY{GA,GC})の断片duを送付等してしまった場合、当該アクセス元(GB)が当該ファイルF2(LY)対応の公開範囲HY{GA,GC}に含まれないためチェック結果がNGとなる。
【0059】
[公開範囲(H)の方式]
公開範囲Hの関連付け(設定・付与等)に関する(a),(b)の方式について補足説明する。チェック機能を実現するがためにユーザ操作性などが複雑にならないようにする仕組みを有する。
【0060】
(a)方式では、予め、管理者K等により、端末20の設定機能を用いてASPサーバ10にアクセスし、公開範囲情報80に、ラベルL(ラベルID等)と公開範囲H(グループG単位)との関連付けを設定することができる。(a)方式の場合、設定以後、個別のユーザ端末20でのラベリングによる付与ラベルLに応じて、自動的に公開範囲Hが関連付け(決定)されることになる。ASPサーバ10でのチェック処理の際は、公開範囲情報80に基づき、復元しようとするファイルの属性情報等(ラベルID等)に関連付けられる公開範囲Hがわかるので、判定ができる。(a)方式を用いることで、グループの各ユーザは、サービス(チェック機能)の利用に係る設定操作等の手間が少なくて済み、ユーザ操作性・利便性が維持できる。
【0061】
(b)方式では、グループの個別のユーザの端末20で、ラベリング時などに、公開範囲付与部40を用いて、ユーザにより個別の文書ファイルFまたはその付与ラベルLに対して、公開範囲H情報をグループG単位等で指定して付与することができる。例えば特定企業向けの文書ファイルFのラベリング時、テンプレートTのラベルLの属性に基づいた上で、詳細な公開範囲Hとなる企業等(特定の関係者のユーザによるグループ等)を指定することができる。(b)方式では、個別のファイル提供毎に詳細な制御が可能となる。
【0062】
上記(b)の機能は、上記(a)の設定とは別に行う形態としてもよいし、併用する形態としてもよい(本実施の形態では併用)。(b)のみの利用の場合、既存のラベル(テンプレート情報70)の定義では公開範囲Hの企業(グループ)等が具体的に設定されていなくとも、個別のラベリング時などに、付与ラベルに対し詳細な公開範囲H(ファイル提供先の企業等)を指定することができる。併用の場合、(a)による既存のラベル(テンプレート情報70)及び公開範囲情報80の定義に基づいた上で、更に、個別のラベリング時などに、付与ラベルに対し詳細な公開範囲(ファイル提供先の企業等)を指定することができる。なお併用の場合、ユーザ端末20で個別に付与できる公開範囲H情報は、基本的な設定情報での定義から外れない範囲内となるように制御する。例えば「社内限」のラベルに対して他社を公開範囲Hとして付与できないようにする等。
【0063】
[処理例]
図3〜図5を用いて、本システムでの一連の処理シーケンス例を説明する(Sは処理ステップ等を表す)。図3は、ファイル提供側でのラベリング処理等を示し、図4は、同じファイル提供側での断片化処理等を示し、図5は、ファイル受け取り・復元側での復元処理・チェック処理等を示す。なおASPサーバ10側で断片化・復元の主要処理(S4,S10)を行う形態(端末20側は契機となる指示操作等の簡易処理)の場合である。
【0064】
S0(設定):
前述の通り、端末20とASPサーバ10との間での処理などに基づき、管理情報50に対し必要な情報の設定等が行われる。例えば、図1のコワーク関係の企業A,Bの各グループ(GA,GB)において、企業A(GA)のユーザUA1をファイルF1の提供元(作成や断片化を行う側)とし、企業B(GB)のユーザUB1をファイルF1の提供先(受け取りや復元を行う側)とした場合を用いて説明する。またファイルF1は、上記企業A,B間(対応グループGX)での特定のプロジェクト(X)用の文書とする。当該プロジェクト(X)の関係者(担当者)のユーザは例えばUA1,UB1とする。ファイルF1の付与ラベルLは、例えばテンプレートTXに基づき、企業間(社内・社外)にわたる関係者に限定して当該文書を閲覧等させるためのラベルLX(「関係者限」)とする(後述、図7の704)。また(a)方式の場合、ラベルLXに対応の公開範囲HXとしてグループGX{GA,GB}が設定される(グループGXの全ユーザもしくは特定のユーザUA1,UB1)。
【0065】
S1(ラベリング):
図3において、企業AのユーザUA1の端末20(文書作成アプリケーション26、ラベリング処理部21等)では、ユーザUA1による文書ファイルF(F1)の作成・保存等の時に、自動的(強制的)に、ユーザUA1によるラベリング操作手順を介在させる。端末20のラベリング処理部21とASPサーバ10のラベリング管理部11との間での処理(要求−応答等)に基づき、ラベリング画面(後述、図7等)を自動的に表示し、適用テンプレートT(例えばTX)等の情報に基づき、ユーザUA1により選択されるラベルL(例えばLX)の情報を、当該文書ファイルF(F1)に対して付与する処理を行う。例えばファイルF1の属性情報内に、付与ラベルLXのラベルID(LX)等の情報が記述される。例えばプロパティ名とその値を用いてラベルIDの値が記述される。
【0066】
S2(公開範囲付与):
また前記S1のラベリングの際などに、併せて、公開範囲付与部40の処理機能((b)方式)を用いて、ユーザUA1により当該文書ファイルF1(ラベルLX)に対して、当該文書の関係者情報に相当する公開範囲H情報を企業ID等で指定して付与することができる。例えばユーザUA1は、ラベリング画面(後述、図8等)で、当該文書の提供先の企業B(GB)の企業ID、ないし提供先と自分を含んで成る特定のグループGX等を選択・指定して、公開範囲HXを付与する。公開範囲付与部40は、付与する公開範囲H(HX)情報を、例えば、ファイルF1の属性情報内に、前記付与ラベルL情報(ラベルID等)と関連付けて記述する。例えばプロパティ名とその値を用いて公開範囲H(企業ID等)の値が記述される。なおASPサーバ10に公開範囲情報80が設定済みの場合((a)方式)、本処理(S2)は省略可能である。
【0067】
S3(断片化):
図4において、端末20(秘密分散処理部25)とASPサーバ10(秘密分散管理部15)との間での処理に基づき、ユーザUA1により選択される対象ファイルF(ラベルLX付きの文書ファイルF1)を断片化処理する(b1,b2)。例えば、端末20(ファイルシステム、Webブラウザ28等)の画面で、ユーザUA1により対象ファイルF1を選択して断片化を指示する。この断片化の契機は、例えばフォルダ連動型(後述)の場合、特定のフォルダ内に対象ファイルFをドロップ操作した時とすることができる。あるいは、別の契機として、例えばラベル連動型(後述)の場合、対象ファイルFに特定の種類のラベルLが付与された時とすることができる。
【0068】
上記契機に従い自動的に断片化が実行される。端末20(秘密分散処理部25)からASPサーバ10(秘密分散管理部15)へ、断片化の要求を送信する(b1)。この要求の情報(b1)は、例えば、対象ファイルF1のデータ及び情報(ファイルID等)、及び付与ラベルLXの情報(ラベルID等)、等を含む。前記S2での付与情報(H)がある場合は一緒に送信される。ASPサーバ10(秘密分散管理部15)は、要求の情報(b1)につき、管理情報50(サービス情報85)や当該アクセスのログ情報などを記録する。例えばグループGA(ユーザUA1)からの対象ファイルF1(付与ラベルLX)の断片化の要求を示す情報を記録する。前記S2での付与情報(H)がある場合はその情報も記録される。
【0069】
S4(断片化処理):
ASPサーバ10の秘密分散管理部15は、要求の情報(b1)に対し、断片化処理(S4)を行い、アクセス元へ応答を返す(b2)。この断片化処理(S4)は、対象ファイルF(元データD)から複数の断片d(復元用情報Rを含む)データのセットを形成する処理を含む(後述、図6)。なお各断片dには元のファイルF(F1)の付与ラベルL(LX)がそのまま継承して付与される。応答の情報(b2)としては、例えば、形成した複数の断片d(セット)のうちの1つの断片d(例えばd0)を、当該要求元のユーザUA1の端末20で持たせる断片duとして送信する。ユーザUA1の端末20は、応答(b1)により、上記断片duを保持する。
【0070】
S5(分散保管):
ASPサーバ10の秘密分散管理部15は、断片化処理(S4)に伴い、複数の保管先(保管場所)のデータセンタ30の秘密分散サーバ31(KS)との間での処理により、セットの断片dの分散保管処理を行う。例えば、対象ファイルFの複数の断片dのセット(例えばd0〜d3)のうち、ユーザUA1が持つ1つの断片du(例えばd0)以外の、複数の各断片d(d1〜d3)を、それぞれネットワーク90上の分散した別の秘密分散サーバ31(KS1〜KS3)に送信して保管させる。
【0071】
なおASPサーバ10の秘密分散管理部15の部分では、秘密分散サーバ31と同様に、セットの一部の断片dデータを保管するようにしてもよい。
【0072】
秘密分散管理部15は、上記処理(S4,S5)に伴い、サービス情報85及びログ情報を記録する。例えば、グループID,ユーザ/端末ID,ファイルID,複数の断片dデータファイルのID、ラベルID(+公開範囲H情報)、保管場所情報(秘密分散サーバ31のアドレス情報等)、等を格納する。
【0073】
S6(断片提供):
図5において、ファイルF1の提供(断片化)側のグループGAのユーザUA1(端末20)から、ファイルF1の受け取り(復元)側のグループGBのユーザUB1(端末20)へ、ファイルF1の断片du(d0)を提供する。提供の手段は各種可能であり、例えば、メールクライアント27を用いてネットワーク90上での電子メール(断片duデータを添付)等での伝送や、ディスクやUSBメモリ等の媒体へ断片duデータを格納して郵送や手渡しする等の手段によって提供する。あるいは、ASPサーバ10経由で提供してもよい。例えば提供元(A)からASPサーバ10(秘密分散サービス)へ断片dを預け、提供先(B)へ情報を通知し、提供先(B)からASPサーバ10(秘密分散サービス)へアクセスして断片dを受け取る(復元する)、といった形態でもよい。
【0074】
S7(復元要求):
グループGBのユーザUB1の端末20では、ファイルF1の断片du(d0)に対し、復元操作を実行する。例えば端末20の画面(ファイルシステム、Webブラウザ28等)で、復元対象の断片duデータファイルを指定・選択等する。簡単には例えば断片duのクリック操作により、自動的に復元を実行する。
【0075】
上記契機で、ユーザUB1の端末20の秘密分散処理部25により、ASPサーバ10の秘密分散管理部15へアクセスして復元を要求する(S7)。この要求の情報は、(1)アクセス元の情報としてIPアドレス情報(例えばIB1)、(2)対象ファイルF(F1)の断片duのデータ及びID等の情報、及び付与ラベルL(LX)のID等の情報を含む。
【0076】
S8(チェック処理):
ASPサーバ10の秘密分散管理部15は、復元の要求(S7)につき、サービス情報85の参照に基づき、チェック部16との間でのチェック処理(S8)を介在させる。例えば秘密分散管理部15からチェック部16へのチェック要求(S8−1)、チェック部16から秘密分散管理部15への結果応答(S8−2)、等の処理である。チェック要求(S8−1)は、S7の情報に基づき、問い合わせ情報として、例えば(1)アクセス元(復元要求)の情報(IPアドレス、ないし対応グループID等)、(2)対象ファイルFのラベルL情報(ラベルID)、等を含む。(2)の情報は、前記(b)方式によって公開範囲H情報が付与されている場合はその情報を含む。結果応答(S8−2)は、例えばOK/NGの情報を含む。
【0077】
チェック部16は、チェック処理として、管理情報56(グループ情報60、公開範囲情報80等)の参照に基づいて、(1)アクセス元の情報(IPアドレス等)と、(2)ラベルLに関連付けられる公開範囲H情報(グループID等)と、を比較して、アクセス元が公開範囲Hに含まれるか否か等によって、当該復元実行に関するOK/NGを判定する。判定例としては、アクセス元のIPアドレス(IB1)に対応するグループID(GB)が、対象ファイルF1の付与ラベルLXのラベルID(LX)に関連付けれらる公開範囲HXのグループGX{GA,GB}に含まれるため、結果がOKとなる。
【0078】
S9(断片収集):
秘密分散管理部15は、上記チェック結果(S8−2)がOKの場合は下記の復元処理(S10)を実行し、NGの場合は実行しない。秘密分散管理部15は、上記結果がOKの場合、復元処理(S10)のために、サービス情報85に基づき、対象ファイルFの複数の断片dの保管場所である秘密分散サーバ31(例えば図4のKS1〜KS3)へアクセスし、復元に必要な複数の断片d(復元用情報Rを含む)を収集する。例えば図4の断片dのセット(d1〜d3,及びdu(d0))を取得する。
【0079】
S10(復元処理):
そして、ASPサーバ10(秘密分散管理部15)は、集めた断片d(ラベルL付き)のセット(復元用情報Rを含む)を用いて、ユーザUB1の端末20(秘密分散処理部25)との間での処理に基づき、復元処理(S10)を行うことにより、復元されたファイルF(元データD)を得る。
【0080】
S11(復元応答):
上記チェック結果(S8−2)がOKの場合、ASPサーバ10の秘密分散管理部15は、復元したファイルF1のデータを、アクセス元のユーザUB1の端末20へ送信する。これにより、当該ユーザUB1は、ファイルF1(ラベルLX付き)を取得・閲覧等することができる。
【0081】
また、上記チェック結果(S8−2)がNGの場合、秘密分散管理部15は、対象ファイルF1に関する復元処理(S10)は実行せず、例えばアクセス元のユーザUB1の端末20へ上記NGの旨の情報を応答する。これにより不適切な復元によるファイル取得・利用が防止される。
【0082】
なお更に、提供元のグループGAのユーザUA1の端末20へ、上記チェック・復元の結果等の情報(上記OKであった旨の情報や上記NGであった旨の情報)を電子メール等で通知してもよい。
【0083】
なお上記シーケンス例は断片化の主体(A)と復元の主体(B)が異なる場合であるが、同じ主体の場合でも同様の処理によりチェック機能が働く。
【0084】
[秘密分散サービス(断片化処理)]
図6は、本システム(秘密分散サービス)での断片化処理(前記S4)の詳細例を示す。本処理例は、ラベルL情報を扱うこと以外は、公知技術(前記特許文献1等)に従ったものである。
【0085】
ラベルL付きのファイルF(元データD)、例えばラベルLX付きのファイルF1を対象とする。601はファイルFの属性情報の格納領域(ヘッダ等)であり、内部にラベルL情報などが記述される。
【0086】
(1)要素分割: まず、ラベルLを除くデータDは、ビット単位でランダムなデータに分割される。ここでの分割データを要素Eとする。要素Eの数(分割数)をmとする。複数の要素E{E1〜Em}を得る。例えばm=6の場合を示す。分割数mは目的のレベル等に応じて可変である。
【0087】
また各要素Eのデータは、元のファイルF内における位置や長さ等の情報が付帯される。付帯の仕方は、要素E毎、またはブロックB毎、または復元用情報R内に一括で記述等である。
【0088】
(2)順序並び替え: 複数の要素Eは、順序がランダムに並び替え(配列、シャッフル)される。
【0089】
(3)ブロック形成: 複数の要素Eから、組み合わせ・選択等により、複数のブロックBを形成(抽出)する。ブロックBの数(形成数)をnとする。複数のブロックB{B1〜Bn}を得る。例えばn=3の場合を示す。各ブロックBは、元データDと同じようなビットの並びが無いようにする。1つのブロックBからは、元データDを部分的にでも復元することはできない。ブロックBが断片dに対応付けられる。
【0090】
また各ブロックBのデータは、当該ブロックBの形成の仕方の情報などが付帯される。付帯の仕方は、ブロックB毎、または復元用情報R内に一括で記述等である。例えばブロックB1(断片d0)のヘッダ610は、ブロックB1を構成する要素E(例えばE4,E1)の情報(更には各要素Eの分割等に関する詳細情報)を含む。また、要素EやブロックBのヘッダ等には、適宜、ファイルFのID、ブロックBのID、要素EのID、復元用情報R、等に関する情報を格納してもよい。
【0091】
また、上記(1)〜(3)のような断片化の方法を、復元用情報Rとして記述・生成する。即ち復元用情報Rは、上記要素分割、順序並び替え、ブロック形成等の仕方に関する情報を含む。復元用情報Rは、例えば、要素E毎やブロックB毎に属性情報のヘッダ等内に記述されてもよい。また複数の要素Eの属性情報を対応ブロックBの属性情報として一括で記述してもよいし、複数のブロックBの属性情報を対応セット(ファイルF)の属性情報(復元用情報R)として一括で記述してもよい。
【0092】
上記ブロックBを、断片d(分割データ)とする。元のファイルFに対応した複数(n)の断片dのセットが得られる。各断片dは、属性情報の格納領域(ヘッダ等)に、ラベルL情報を付帯する。本例では、全断片dにおいて、ヘッダ(610〜612)に、元のファイルFに対応した同一の付与ラベルL情報(ラベルID等)を継承して付帯する。
【0093】
また、断片化の方式に応じるが、各断片dは、属性情報の格納領域(ヘッダ等)に、復元用情報Rを付帯する。本例では、全断片d(d0〜d2)において、ヘッダ(610〜612)に、同じ復元用情報Rを含ませる。即ちどの断片dの復元用情報Rを参照しても復元処理が可能である。復元用情報Rは、他の方式では、1つの独立の断片dとして構成されてもよい(602)。この場合は、その復元用情報Rの断片dが無い場合は復元処理が不可能となる。
【0094】
またセットのうち一部の断片d(例えばd0)を、対象ファイルFのユーザ(作成者、所有者等)の端末20で持たせる断片duとして管理する。あるいは、復元用情報R等の管理情報を記述した特定のデータファイルを構成して、ASPサーバ10及び当該ユーザの端末20に持たせる。
【0095】
また、各ブロックBや復元用情報Rなどの断片dは、保管や伝送に応じた単位として適宜パッケージ化される。パッケージは、例えばヘッダ等に、ユーザ(提供元、提供先など)、ファイルF、アドレス、等の管理情報が格納されてもよい。またパッケージは、暗号化処理等が施されてもよい。そして、各断片d(パッケージ)は、例えばネットワーク90上の複数の保管場所(秘密分散サーバ31等)に分散して保管される。
【0096】
なお複数のブロックB(断片d)の状態で、秘密化状態であるため、基本的な安全性のレベルが確保されている。保管や伝送の場所や手段などは、目的のレベル等に応じて選択できる。例えば複数の断片dの保管場所を物理的・地理的に分散することでレベルが上がる。また例えば2種類以上の手段を組み合わせて用いることでレベルが上がる。
【0097】
ファイルFの復元処理(S10)の時には、複数の断片dのセット(復元用情報Rを含む)を集め、復元用情報Rに従って、上記断片化時の逆の流れの処理を行うことで、元のファイルFの復元が可能である。即ち、各断片d(ブロックB)を要素Eに分離し、正しい順序に並べ直し(再配列)、元のファイルF(元データD)のビットの並びに戻すように統合する。
【0098】
また本例では、断片化の方式として、複数の断片dのデータは、RAID5等と同様に冗長性を持つように形成し、一部の断片dが欠損したとしても、情報流出も無く復元可能とする。例えばユーザの端末20で持つ一部の断片duを無くしたとしても問題が無い。冗長性を持つ分割データの構成の仕方としては、元データからパリティデータを生成し、元データと共に分散して分割データ(断片d)を構成する。上記冗長性を活かし、保管場所として例えばSLAの低いデータセンタ30(安価なHaaS,PaaSの提供者)等であっても断片dを預かることができる。即ち低コストでサービスを実現できる。また、上記冗長性を活かし、本秘密分散サービス(即時復元可能)によるファイルのバックアップ機能や、データセンタ30の地域分散による簡易なBCPの実現などが可能である。分散保管の場合、例えば災害により一部のデータセンタ30が倒壊したとしても復元可能である。
【0099】
別の断片化処理の方式としては、複数の断片dのデータを、冗長性を持たないように形成し、全断片dが揃わないと復元不可能とすることもできる。上記例に限らず、断片化−復元の方式は公知技術に従って各種可能である。
【0100】
[秘密分散サービスの構成例]
本秘密分散サービスの構成例として詳しくは以下のタイプを有する。対象ファイルFは一般的な文書ファイルとする。
【0101】
(1)フォルダ連動型: ユーザは自身の端末20(ファイルシステム等)において、設定に基づき、特定のフォルダ(「セキュアフォルダ」)に対して対象ファイルFをドラッグ&ドロップ操作(移動や保存操作等)する。すると自動的に、当該ファイルF(付与ラベルLの有無に関わらない)を対象として、本秘密分散サービス処理によって、断片化処理(S3,S4)が行われる(分散保管(S5)を含む)。当該ユーザの端末20では、断片duデータファイルが得られる。断片duは、当該ファイルFの操作用アイコンとして機能する。上記対象ファイルFは、付与ラベルLがある場合は、断片化及び復元後においても継承される。同様に、上記特定のフォルダで断片duがクリック(選択実行)操作または開く操作、あるいは他の通常のフォルダへ移動操作等がされる。すると自動的に、当該断片duを対象として前記復元処理が行われる。
【0102】
(2)ラベル連動型: ユーザは自身の端末20(文書作成アプリケーション26、ラベリング処理部21等)で、ファイルFの作成・保存時などに当該ファイルFに対してラベルLを選択付与操作する(ラベリング処理)。すると自動的に、当該ラベルL付きファイルFを対象として、上記同様に本秘密分散サービス処理によって、断片化処理が行われる。
【0103】
また、上記(1),(2)の組み合わせとして、設定に基づき、セキュアフォルダにドロップされた通常の文書ファイルF(ラベルLが付与されていない状態)を対象として、自動的に所定の種類のラベルLを付与処理すると共に断片化処理を実行するように制御することもできる。
【0104】
ユーザは、上記のようなサービスを利用することで、あまり意識する必要無く重要データ等を安全に取り扱うことができ、情報漏洩等が防止できる。ユーザが端末20でファイルFを閲覧・編集等している時のみ通常の状態となり、保存や伝送の時は本サービスにより自動的に非重要情報の状態になる。
【0105】
[ユーザ認証]
秘密分散サービスの構成例として、秘密分散管理部15では、基本的なユーザ認証処理機能を持つ。ユーザの端末20(秘密分散処理部25)からのアクセスに対し、秘密分散管理部15では、グループ情報60内に含まれるユーザ情報(アカウント情報など)に基づき、例えばユーザID+パスワード等によるユーザ認証処理(ログイン処理)を行う。これを通過する正式なグループのユーザに対して秘密分散サービス(断片化や復元の機能)を提供し、関係無い第三者等によるサービス利用を不許可に制御する。
【0106】
断片dからファイルFを復元する要求の際(S7等)には、上記ユーザ認証の通過の上で、前記チェック処理(S8等)が行われる。チェックの際、秘密分散サービスでの上記正式なグループのユーザが対象ファイルFの断片duを持ち、かつ、当該ファイルF(ラベルL)対応の公開範囲H(グループG)内での復元要求である場合に、復元実行が許可(OK)されることになる。従来技術とは異なり、秘密分散サービス内で、企業単位等のグループ単位(ドメイン・IPアドレス、グループID等の単位)で、グループ(ユーザ)によるファイル復元をチェック・制御が可能である。ユーザ認証を通過する正式なユーザは、特別な操作を要せず、断片duデータファイルを開く(クリック)等の簡単な操作のみで復元ができる。
【0107】
なお例えば、ユーザ認証を通過し秘密分散サービスを利用する正式なグループのユーザであって、かつ、当該グループ(公開範囲)のうち対象ファイルに関して直接の関係者ではないユーザ(例えば特定のプロジェクト(X)の担当者ではないユーザ)が、当該ファイルの復元を要求する場合が考えられる(例えば公開範囲HがグループGX(全ユーザ)で設定されている場合)。この場合、復元時のチェックでは、アクセス元が公開範囲H(GX)に含まれることによりOKの結果となる。サービス部100にはこれら復元時のログ情報が記録されるので、仮に当該ユーザによる復元に問題があるとしても、後で確認や検証を行うことができる。
【0108】
また例えば、ファイル提供側のグループのユーザが、誤った提供先への送付などに気が付いた場合、すぐに、自分の端末20のフォルダから当該ファイルの断片duデータファイルを削除操作すれば、それに応じて、対応する断片dのセットの削除がASPサーバ10側により行われる。よって不適切な復元を防止できる。なお上記ユーザは当該ファイルが必要な場合は上記削除操作の前に別途当該ファイルを保存しておく。
【0109】
[ラベリング画面]
図7は、グループのユーザの端末20でのラベリング時(S1)等に自動的に表示するラベリング画面の例を示す。本例は、ラベリングの際、グループ(例えばGA)のユーザの端末20で、複数の利用可能なテンプレート(例えばTA,TX等)がある場合に、それらの中からユーザにより選択して適用する場合である。適用テンプレートの項目(700)で、利用可能な1つ以上のテンプレートの情報(名称等)を表示し、ユーザにより当該文書ファイルに対して適用するテンプレートを選択する。利用可能なテンプレートが1つの場合は自動的に決定される。
【0110】
ラベルの項目(710)では、上記適用テンプレート(例「自社テンプレート」(TA))の情報に基づき、付与ラベルの選択のための、利用可能な1つ以上のラベルの情報を表示し、ユーザにより選択操作させる。ユーザは、表示情報(区分、ルールなど)の参照に基づき、付与対象の文書ファイルの重要度などに応じたラベルを選択する。例えば左の「ラベル」の項目から選択し、OKボタンを押すことで、当該ラベルを付与することができる。
【0111】
本例では、5種類のラベルL(701〜705)を示している。各種のラベルの定義に係わり、「ラベル」、「機密情報区分」、「社内外区分」、「ルール」等の項目を有する。「ラベル」の項目は、ラベルの出力(表示、印刷等)上のデザイン(イメージ)を示す。文字は、701は「極秘」、702は「社内限」、703,704は「関係者限」、705は無しである。
【0112】
「機密情報区分」の項目は、本例では、“極秘”、“社内限”、“関係者限”(1)、“関係者限”(2)、“公開情報”、等を有する。この項目は、対象データの機密性に関する区分の情報である。「社内外区分」の項目は、本例では2種類、“社内向け文書”、“社外向け文書”を有する。この項目は、グループ単位の内外の区分を示す。「社内向け文書」の意味は、当該ラベル付き文書ファイルが、特定の社内向けであることを示す。また、「社外向け文書」の意味は、当該ラベル付き文書ファイルが、特定の社内に加えて特定の社外向けであることを示す。
【0113】
「ルール」の項目は、ラベル毎に、その利用に関する、グループ内で統一のルール等の説明や、付与対象文書ファイルの重要度などの性質、公開範囲などに関する説明文を記載する。例えば、「社内限」のラベル(702)では、ルールとして、当社内の社員等に限定して当該ラベル付き文書を閲覧等させることを示す。言い換えればその範囲の者以外には当該文書を閲覧等させないことを示す。例えば、「関係者限」(1)のラベル(703)では、当社内の特定グループに属する担当者等(関係者)に限定して当該ラベル付き文書を閲覧等させることを示す。例えば、「関係者限」(2)のラベル(704)では、社内・社外にわたる特定グループに属する担当者等(関係者)に限定して当該ラベル付き文書を閲覧等させることを示す。
【0114】
[テンプレート設定画面]
図8は、管理者(K)等のユーザの端末20で設定機能を用いた場合に表示する画面例としてテンプレート設定画面の例を示す。設定の際、管理者(K)等の端末20(設定機能)からASPサーバ10へアクセスし、当該グループのユーザに関するログイン処理を行ってユーザ認証の成功後、管理情報50に基づいて、設定画面を端末20に表示する。
【0115】
本例では、テンプレート情報の項目(800)、区分の選択の項目(810)、ラベル情報の表示・設定の項目(820)、公開範囲詳細の設定の項目(830)等を有する。テンプレート情報の項目(800)では、設定対象のテンプレートのIDや名称などを表示する。区分の項目(810)では、ユーザによりラベルに関する区分(前記ラベルの定義情報の区分に基づく)を選択可能とする。例えば「社内」「社内&特定社外」「公開」といった区分を表示する。
【0116】
ラベル情報の項目(820)では、対象テンプレートの全ラベルの情報、あるいは、区分の項目(810)でユーザにより選択された区分に対応した種類のラベルの情報を表示する。810で例えば「社内」が選択されると、「社内外区分」が「社内向け文書」のラベル情報のみ表示される。例えば「社内&特定社外」が選択されると、「社内外区分」が「社外向け文書」のラベル情報のみ表示される。本項目では、例えば図7(710)と同様に、ラベル毎に、ラベル、区分(機密情報区分、社内外区分)、ルール、公開範囲、表示順、その他の項目を表示し、ユーザにより各ラベルの定義情報を設定できる。特に「公開範囲」の項目では、前述の公開範囲H情報を確認及び設定することができる。例えば本項目で「設定」が選択されると、当該ラベルLに関連付ける公開範囲Hを、特定のグループ単位(企業単位等)でユーザにより指定して設定できる。例えば、特定のプロジェクト(X)用のテンプレートTXの設定で、公開範囲HXとして、相手の企業B(GB)を指定してグループGX{GA,GB}を設定できる。
【0117】
更に、公開範囲詳細の設定の項目(830)では、ラベルLに関連付ける公開範囲Hの詳細(本例では企業単位)をユーザにより任意に指定して設定可能である。テンプレートではラベル毎に区分やルール等が概略的に定義されるが、公開範囲Hの項目では、ユーザにより特定のグループ(企業)を公開範囲H(特定社外)として指定することできる。例えば、企業名や企業IDをユーザにより入力して指定する。また企業名や企業ID等で検索可能とする。また、企業リスト情報の項目で、選択指定可能とする主な企業の情報(企業a,b,c,……)を一覧表示し、公開範囲(特定社外)の項目で、ユーザが選択した企業の情報(例「企業a,b」)を表示する。ユーザにより、追加ボタンで追加(指定)でき、削除ボタンで削除(指定取り止め)できる。他の形式として、チェックボックスを表示してユーザにより指定企業にチェックを入れるようにしてもよい。
【0118】
上記リスト等で表示する主な企業の情報は、例えばASPサーバ10で登録済みの企業の情報である。この登録は、例えば予め本サービス事業者が、上場企業などを登録しておく。また、上記リストに表示されない企業についても、クライアント側(ユーザ)から登録することが可能である。その場合、例えば企業登録ボタンを押して、ASPサーバ10と連携した登録処理によって、表示画面で登録したい企業の情報を登録する(グループ情報60)。あるいはサービス部100に登録を要請して登録を行わせてもよい。
【0119】
「OK」ボタンにより、本画面で編集したテンプレートの情報を端末10に保存すると共にASPサーバ10(管理情報50)へアップロードして登録(設定更新)することができる。ASPサーバ10へ登録されたテンプレートは、当該グループの各ユーザのテンプレートとして反映される。
【0120】
また、ラベリング画面でも、図7の例に限らず、図8の例と同様の情報(810,820,830)を表示して、ユーザにより選択等を可能としてもよい。例えば、前記公開範囲Hの付与に係る(b)方式で、公開範囲付与部40の処理機能として、図8(820,830)のような公開範囲Hの設定に関する情報を表示してもよい。
【0121】
[効果等]
以上説明したように、本実施の形態のシステムによれば、各グループのユーザ間で扱われる文書ファイルF等を秘密分散(秘密分散サービス)により安全に保管・伝送でき、ファイルF(断片d)の提供先を誤った場合などにおいても、復元時のチェック機能により、ユーザの操作ミス(提供先や提供ファイルの間違い等)や第三者の不正利用などを原因とする当該ファイルFの不適切な復元(取得・閲覧等)を防止できる。即ちこれにより、例えば企業等の情報流出リスクを下げ、情報漏洩等を防止することができる。特に、文書ファイルF自体の性質(ラベルL,公開範囲H)に応じた復元の制御ができる。
【0122】
特に、ファイル利用時のユーザ操作性・利便性を損わずに、所定レベル以上の安全性を実現できる。また、ファイル(断片)の提供の手段に依らずに、チェック機能による効果が得られる。
【0123】
また本チェック機能では、範囲のチェックは、IPアドレスやグループID等の単位で行われ、個人ユーザ単位ではない。そのため、チェック用のユーザ認証処理などは不要であり、ユーザ利便性などを損なわずにチェックの効果が得られる。前述のように秘密分散サービスでの基本的なユーザ認証処理機能は別にあるが、これは同サービスのアカウントを持つ本人の確認であり、一方、本チェック機能は、ファイル利用が許可されているユーザ(グループ)であることの確認(チェック)であり、両者は異なる。本チェック機能では、この確認(チェック)を、追加的な操作を要求することなく実現できる効果が得られる。
【0124】
[他の実施の形態]
前記ASPサーバ10にて各機能・サービスを1つに統合して提供する構成としたが、別のサーバに分けて構成してもよい。例えば、ラベリング管理機能用のサーバ、秘密分散サービス用のサーバなどを分けて、必要時にサーバ間で連携処理してもよい。
【0125】
ASPサーバ10の秘密分散管理部15で対象ファイルFに関する断片化処理(S4)や復元処理(S10)を行う形態に限らず、ユーザの端末20(秘密分散処理部25)で必要なデータ(断片dのセット等)を取得すること等により、同様に対象ファイルFに関する断片化処理(S4)や復元処理(S10)を行い、ASPサーバ10では復元時チェック部(16)による範囲チェックを行う形態としてもよい。
【0126】
また復元時、ASPサーバ10側からチェック処理に必要な管理情報50(テーブル又はそのうち一部の情報)を取得して端末20側でチェック処理を行う形態としてもよい。
【0127】
また、ラベリング管理機能を備えないシステム形態としてもよい。即ち、文書ファイルFにはラベルL情報が付与されず、ASPサーバ10で提供するサービスは、秘密分散サービスを中心とする。代わりに、ユーザにより文書ファイルF自体に対して公開範囲H情報を付与することができる機能を設ける。例えば前述の端末20の公開範囲付与部40を用いて実現する。例えば文書ファイルFの属性情報内に、ユーザにより指定された企業ID等による公開範囲H情報を記述する。そしてASPサーバ10への要求の情報の中に、上記公開範囲H情報を含ませるようにし、チェック処理を行わせる。
【0128】
以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能であることは言うまでもない。
【産業上の利用可能性】
【0129】
本発明は、企業の情報処理システムや、ネットワーク上のデータ管理サービスなどに利用可能である。
【符号の説明】
【0130】
10…ASPサーバ、11…ラベリング管理部、11−1…設定部、11−2…更新部、15…秘密分散管理部、16…チェック部(復元時チェック部)、20…端末、21…ラベリング処理部、21−1…設定部、21−2…更新部、25…秘密分散処理部、26…文書作成アプリケーション、27…メールクライアント、28…Webブラウザ、30…データセンタ、31…秘密分散サーバ、40…公開範囲付与部、50,55,56…管理情報、60…グループ情報、70…テンプレート情報、80…公開範囲情報、85…サービス情報、90…ネットワーク、100…サービス部(サービス事業者システム)。

【特許請求の範囲】
【請求項1】
複数のユーザの端末を含むグループの情報処理システムを対象としてサービスを提供するサーバ装置を含むサービス事業者システムを有し、
前記サーバ装置は、前記グループのユーザの端末に対して、対象の文書ファイルを秘密分散技術により断片化する機能と、当該断片から文書ファイルを復元する機能と、を含む秘密分散サービス処理を提供する秘密分散管理部を有し、
前記グループのユーザの端末は、前記サーバ装置の秘密分散管理部にアクセスして前記秘密分散サービス処理を受ける秘密分散処理部を有し、
前記サーバ装置は、前記秘密分散サービス処理における前記復元の際に、復元の可否をチェックして不適切な復元を防止する処理を行うチェック部を備え、
前記サーバ装置は、ユーザにより設定可能な管理情報として、グループ単位ごとに、ID、ドメイン情報またはIPアドレス情報を含む、グループ情報を有し、
前記サーバ装置は、ユーザにより設定可能な管理情報として、前記グループのユーザの端末での文書ファイルに対して、公開範囲の情報をグループ単位で関連付ける、公開範囲情報を有し、
前記文書ファイルの断片を持つ前記グループの情報処理システムは、当該断片から文書ファイルを復元する際、前記サーバ装置へアクセスして、アクセス元の情報と、当該断片または文書ファイルの情報と、を含む要求の情報を送信し、
前記サーバ装置のチェック部は、前記管理情報に基づき、前記要求の情報における前記アクセス元のグループのIDまたはドメインまたはIPアドレスが、当該文書ファイルに関連付けられる公開範囲に含まれるか否かを判定し、
前記サーバ装置の秘密分散管理部は、上記判定の結果に応じて、上記否の場合は、当該文書ファイルの復元処理を実行せず、上記含まれる場合は、当該復元処理を実行して、復元した文書ファイルを前記アクセス元のグループの情報処理システムが取得すること、を特徴とする秘密分散によるデータ管理システム。
【請求項2】
複数のユーザの端末を含むグループの情報処理システムを対象としてサービスを提供するサーバ装置を含むサービス事業者システムを有し、
前記サーバ装置は、前記グループのユーザの端末に対して、対象の文書ファイルを秘密分散技術により断片化する機能と、当該断片から文書ファイルを復元する機能と、を含む秘密分散サービス処理を提供する秘密分散管理部を有し、
前記グループのユーザの端末は、前記サーバ装置の秘密分散管理部にアクセスして前記秘密分散サービス処理を受ける秘密分散処理部を有し、
前記サーバ装置は、前記秘密分散サービス処理における前記復元の際に、復元の可否をチェックして不適切な復元を防止する処理を行うチェック部を備え、
前記サーバ装置は、ユーザにより設定可能な管理情報として、グループ単位ごとに、ID、ドメイン情報またはIPアドレス情報を含む、グループ情報を有し、
前記グループのユーザの端末は、文書ファイルに対して、公開範囲の情報をグループ単位で関連付ける処理を行う公開範囲付与部を有し、
前記文書ファイルの断片を持つ前記グループの情報処理システムは、当該断片から文書ファイルを復元する際、前記サーバ装置へアクセスして、アクセス元の情報と、当該断片または文書ファイルの情報と、当該文書ファイルに関連付けられる公開範囲の情報と、を含む要求の情報を送信し、
前記サーバ装置のチェック部は、前記管理情報に基づき、前記要求の情報における前記アクセス元のグループのIDまたはドメインまたはIPアドレスが、当該文書ファイルに関連付けられる公開範囲に含まれるか否かを判定し、
前記サーバ装置の秘密分散管理部は、上記判定の結果に応じて、上記否の場合は、当該文書ファイルの復元処理を実行せず、上記含まれる場合は、当該復元処理を実行して、復元した文書ファイルを前記アクセス元のグループの情報処理システムが取得すること、を特徴とする秘密分散によるデータ管理システム。
【請求項3】
請求項1記載の秘密分散によるデータ管理システムにおいて、
前記サーバ装置は、前記グループの各ユーザの端末に対して当該グループで利用するラベルの情報を管理するサービスを提供するラベリング管理部を有し、
前記グループのユーザの端末は、前記サーバ装置のラベリング管理部にアクセスし、前記ラベルの情報を利用するための処理を行うラベリング処理部を有し、
前記グループのユーザの端末は、前記サーバ装置の公開範囲情報に対して、前記ラベルと前記公開範囲との関連付けを設定する機能を有し、
前記グループのユーザの端末では、前記ラベリング処理部により、前記文書ファイルに、前記ユーザにより選択されるラベルの情報を付与し、
前記文書ファイルに付与されるラベルの情報は、前記断片化による断片にも付与され、
前記文書ファイルの断片を持つ前記グループの情報処理システムは、当該断片から文書ファイルを復元する際、前記サーバ装置へアクセスして、当該断片に付与されているラベルの情報を含む前記要求の情報を送信し、
前記サーバ装置のチェック部は、前記管理情報に基づき、前記要求の情報における前記アクセス元のグループのIDまたはドメインまたはIPアドレスが、当該文書ファイルのラベルに関連付けられる公開範囲に含まれるか否かを判定すること、を特徴とする秘密分散によるデータ管理システム。
【請求項4】
請求項2記載の秘密分散によるデータ管理システムにおいて、
前記サーバ装置は、前記グループの各ユーザの端末に対して当該グループで利用するラベルの情報を管理するサービスを提供するラベリング管理部を有し、
前記グループのユーザの端末は、前記サーバ装置のラベリング管理部にアクセスし、前記ラベルの情報を利用するための処理を行うラベリング処理部を有し、
前記グループのユーザの端末では、前記ラベリング処理部により、前記文書ファイルに、前記ユーザにより選択されるラベルの情報を付与し、
前記グループのユーザの端末では、前記公開範囲付与部により、前記文書ファイルに付与されるラベルの情報に対して当該ユーザにより指定されるグループ単位で前記公開範囲の情報を付与する処理を行い、
前記文書ファイルに付与されるラベル及び公開範囲の情報は、前記断片化による断片にも付与され、
前記文書ファイルの断片を持つ前記グループの情報処理システムは、当該断片から文書ファイルを復元する際、前記サーバ装置へアクセスして、当該断片に付与されているラベル及び公開範囲の情報を含む前記要求の情報を送信し、
前記サーバ装置のチェック部は、前記管理情報に基づき、前記要求の情報における前記アクセス元のグループのIDまたはドメインまたはIPアドレスが、当該文書ファイルのラベルに関連付けられる公開範囲に含まれるか否かを判定すること、を特徴とする秘密分散によるデータ管理システム。
【請求項5】
請求項1〜4のいずれか一項に記載の秘密分散によるデータ管理システムにおいて、
前記グループのユーザの端末の秘密分散処理部は、前記文書ファイルを断片化する際に、断片化の要求を前記サーバ装置の秘密分散管理部へ送信し、
前記サーバ装置の秘密分散管理部は、前記断片化の要求に対し、前記断片化の機能の処理により、前記文書ファイルから復元用情報を含む複数の断片のセットを形成し、そのうち、複数の断片を、ネットワーク上の複数の秘密分散サーバに分散して保管し、一部の断片を、前記グループのユーザの端末に保持し、
前記グループのユーザの端末の秘密分散処理部は、前記一部の断片から文書ファイルを復元する際に、復元の要求を前記サーバ装置の秘密分散管理部へ送信し、
前記サーバ装置の秘密分散管理部は、前記復元の要求に対し、前記チェック部の処理結果に応じて、前記復元の機能の処理により、前記複数の秘密分散サーバから前記複数の断片を収集して前記セットから前記文書ファイルを復元し、復元した文書ファイルを前記グループのユーザの端末へ送信すること、を特徴とする秘密分散によるデータ管理システム。
【請求項6】
請求項1〜4のいずれか一項に記載の秘密分散によるデータ管理システムにおいて、
前記グループのユーザの端末の秘密分散処理部は、前記断片化の機能の処理により、前記文書ファイルから復元用情報を含む複数の断片のセットを形成し、そのうち、複数の断片を、ネットワーク上の複数の秘密分散サーバに分散して保管し、一部の断片を、前記グループのユーザの端末に保持し、
前記グループのユーザの端末の秘密分散処理部は、前記一部の断片から文書ファイルを復元する際に、前記サーバ装置へアクセスして、当該断片に付与されているラベル及び公開範囲の情報を含む前記要求の情報を送信し、
前記サーバ装置の前記チェック部は、前記要求の情報について、前記公開範囲に関する判定を行い、その処理結果を前記グループのユーザの端末へ送信し、
前記グループのユーザの端末は、上記処理結果に応じて、前記復元の機能の処理により、前記複数の秘密分散サーバから前記複数の断片を収集して前記セットから前記文書ファイルを復元すること、を特徴とする秘密分散によるデータ管理システム。
【請求項7】
請求項1〜5のいずれか一項に記載の秘密分散によるデータ管理システムにおいて、
第1のグループの第1のユーザの端末は、第1の文書ファイルを対象として、前記秘密分散サービス処理による前記断片化の機能により、第1の断片を取得して保持し、
前記第1のグループの第1のユーザの端末を提供元とし、第2のグループの第2のユーザの端末を提供先として、前記第1の断片を任意の手段により提供し、
前記第2のグループの第2のユーザの端末は、前記第1の断片から、前記秘密分散サービス処理による前記復元の機能により、前記チェック部の処理結果に応じて、前記第1の文書ファイルを取得すること、を特徴とする秘密分散によるデータ管理システム。
【請求項8】
請求項5に記載の秘密分散によるデータ管理システムにおいて、
前記グループのユーザの端末の秘密分散処理部と、前記サーバ装置の秘密分散管理部との間での前記秘密分散サービス処理に基づき、前記ユーザの端末で特定のフォルダに前記文書ファイルが移動または保存操作がされると、自動的に当該文書ファイルを対象として前記断片化を実行して断片を保持し、また、前記特定のフォルダで前記断片が選択実行または開く操作、あるいは他のフォルダへの移動操作がされると、自動的に前記復元を実行して文書ファイルを取得すること、を特徴とする秘密分散によるデータ管理システム。
【請求項9】
請求項6に記載の秘密分散によるデータ管理システムにおいて、
前記グループのユーザの端末の秘密分散処理部による前記秘密分散サービス処理に基づき、前記ユーザの端末で特定のフォルダに前記文書ファイルが移動または保存操作がされると、自動的に当該文書ファイルを対象として前記断片化を実行して断片を保持し、また、前記特定のフォルダで前記断片が選択実行または開く操作、あるいは他のフォルダへの移動操作がされると、自動的に前記復元を実行して文書ファイルを取得すること、を特徴とする秘密分散によるデータ管理システム。
【請求項10】
請求項3または4に記載の秘密分散によるデータ管理システムにおいて、
前記グループのユーザの端末のラベリング処理部と、前記サーバ装置のラベリング管理部との間での前記ラベルの付与の処理に基づき、前記ユーザの端末で前記文書ファイルに特定のラベルが付与操作、または当該ラベルが付与された文書ファイルの保存操作がされると、自動的に当該文書ファイルを対象として前記断片化を実行して断片を保持すること、を特徴とする秘密分散によるデータ管理システム。
【請求項11】
請求項3または4に記載の秘密分散によるデータ管理システムにおいて、
前記グループのユーザの端末から、前記サーバ装置の管理情報に対して、前記グループで利用可能とするための前記ラベルの定義情報を含むテンプレートの情報を設定する処理を行う機能と、
前記グループのユーザの端末が、前記サーバ装置から、前記テンプレートの情報を取得する機能と、を有し、
前記グループのユーザの端末の前記ラベリング処理部は、適用する前記テンプレートの情報に基づき、画面の表示情報の中からユーザにより選択された種類の前記ラベルの情報を前記文書ファイルに対して付与する処理を行うこと、を特徴とする秘密分散によるデータ管理システム。
【請求項12】
請求項3または4に記載の秘密分散によるデータ管理システムにおいて、
前記グループのユーザの端末から、前記サーバ装置の管理情報に対して、前記グループの情報を設定する処理を行う機能を備え、
前記グループの情報として、前記グループ単位として、複数のユーザの端末を含む企業の情報処理システムの単位、前記企業のうちの任意の複数のユーザの集まりの単位、複数の企業のグループにわたる企業間のグループの単位、及び、複数の企業のグループにわたる任意の複数のユーザの集まりからなる単位、のいずれも設定可能であること、を特徴とする秘密分散によるデータ管理システム。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate

【図5】
image rotate

【図6】
image rotate

【図7】
image rotate

【図8】
image rotate


【公開番号】特開2011−248711(P2011−248711A)
【公開日】平成23年12月8日(2011.12.8)
【国際特許分類】
【出願番号】特願2010−122491(P2010−122491)
【出願日】平成22年5月28日(2010.5.28)
【出願人】(000155469)株式会社野村総合研究所 (1,067)
【Fターム(参考)】