記憶媒体、サーバ装置、情報セキュリティシステム
【課題】ネットワークを利用した機密データの送受信や、メモリカードの持ち出しといった情報漏洩の恐れが高い状況下であっても、信頼性の高い情報漏洩防止対策を提供する。
【解決手段】データサーバ10とメモリカード40の間で、ネットワーク100を介し、パーソナルコンピュータ30の持出し管理アプリケーション32を用いて所定の機密区分に属する機密データのやり取りが可能である。データサーバ10及びメモリカード40において、機密データと機密区分を特定した機密属性データが互いに関連付けられた状態で記憶される。また、機密データへのアクセス履歴に関するアクセスログが、ログ管理サーバ20及びメモリカード40各々に記憶される。
【解決手段】データサーバ10とメモリカード40の間で、ネットワーク100を介し、パーソナルコンピュータ30の持出し管理アプリケーション32を用いて所定の機密区分に属する機密データのやり取りが可能である。データサーバ10及びメモリカード40において、機密データと機密区分を特定した機密属性データが互いに関連付けられた状態で記憶される。また、機密データへのアクセス履歴に関するアクセスログが、ログ管理サーバ20及びメモリカード40各々に記憶される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、記憶媒体に関し、特に機密情報の流出防止等に有用な記憶媒体に関する。また、本発明は当該記憶媒体とともに使用されるサーバ装置、当該記憶媒体を活用した情報セキュリティシステムに関する。
【背景技術】
【0002】
不揮発性の半導体メモリを記憶媒体として具備する半導体メモリカード(以下、「メモリカード」と言う)等の如き記憶媒体は、DVDなどのディスク状記憶媒体に比べて、記憶容量は小さいが、大きな機構部を必要とせず、小型で取り扱いが容易で、耐振性にも優れているため、携帯用に好適な記憶媒体として、最近、その利用範囲が拡大している。
【0003】
一方、情報技術の発達、インターネットをはじめとするネットワークシステムの普及、上述した簡便な記憶媒体の普及の一方で、各企業、団体等の内部の機密情報の流出・漏洩が社会問題となっており、そのような問題に対する対策が要求されている。
【0004】
このような要求を受け、メモリカードを始めとする記憶媒体の分野において、様々な技術が提案されている。例えば、下記特許文献1には、不揮発性メモリ内に、認証に成功した外部機器のみがアクセスできる認証領域と、外部機器のいずれもがアクセスできる非認証領域とを設けたメモリカードが記載されている。このメモリカードを用いて、暗号化したデータを非認証領域に格納し、それを復号する復号鍵を認証領域に格納することにより、データを守ることが可能になる。
【0005】
また、下記特許文献2においては、情報処理端末に着脱可能な半導体メモリカードに、通常領域に加え、情報処理端末から直接アクセスすることができないセキュア領域と、情報処理端末から直接アクセスすることができない耐タンパー性(tamper resistance)のメモリとを設け、該セキュア領域へのアクセスが、耐タンパー性のメモリへのアクセスを管理するセキュア制御部を介してのみ可能であるように構成している。このセキュア領域には外部機器が直接アクセスできないため、より高いセキュリティレベルを確保することが可能となる。
【特許文献1】特開2001−14441号公報
【特許文献2】特開2004−199138号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかし、近年機密情報の流出・漏洩に対し、更に高いレベルの防衛策が要求されている。特に上述したようなこれまでの技術においては、記憶媒体が盗難や紛失にあった場合の情報漏洩、機密情報を持ち出した者自身による不正利用等に対しては十分な対策が施されていない。
【0007】
本発明は、より高い情報漏洩防止機能を備えた記憶媒体、当該記憶媒体とともに使用されるネットワーク上のサーバ装置、当該記憶媒体を活用した情報セキュリティシステムを提供することを目的とする。
【課題を解決するための手段】
【0008】
本発明は、所定の機密区分を有する本体データを蓄積したサーバと情報処理端末を介して前記本体データのやり取りにおいて、前記機密区分を特定する機密属性データと前記本体データを関連付けて記憶可能な可搬型記憶媒体を提供するものである。
【0009】
上述の構成においては、可搬型記憶媒体においても機密区分と本体データが関連付けられて記憶、保存される。従って、ユーザによる不正利用や、媒体の紛失に伴うデータの流出などに対する防衛対策が容易となり、より高い情報漏洩防止機能が提供され得る。
【0010】
また、可搬型記憶媒体には前記アクセス制限を制御するアプリケーションプログラムを格納した半導体チップを設けることができる。
【0011】
また、前記アクセス制限としては、前記本体データの印刷禁止及び複製禁止を含む。
【0012】
また、前記可搬型記憶媒体に一般記憶領域とセキュア記憶領域を設け、前記一般記憶領域は、前記情報処理端末から直接読み書きすることができる記憶領域より構成され、前記セキュア領域は、前記半導体チップに格納されたアプリケーションのアクセス制御の下で前記情報処理端末から読み書きすることができる記憶領域より構成され、前記機密属性データと前記本体データが互いに関連付けられて前記セキュア記録領域に前記アプリケーションのアクセス制御の下で保持されるように構成することもできる。この場合、前記可搬型記憶媒体は前記一般記憶領域内に、前記本体データのアプリケーションプログラムを保持し、当該アプリケーションプログラムにより定められた認証要求を満たすことにより、前記情報処理端末上において当該アプリケーションプログラムが使用可能となるような構成にすることもできる。このような構成下ではアプリケーションプログラムが情報処理端末内に置かれないため、アプリケーションプログラムの改ざんのような不正行為に対しても信頼性の高い保護機能が得られる。
【0013】
また、可搬型記憶媒体には、前記本体データへのアクセス履歴に関するアクセスログを記憶するアクセスログ記憶領域をさらに設けることもできる。記憶されたアクセスログをチェックすることにより、不正利用の速やかな発見、情報流出後の流出元の発見が容易となる。
【0014】
当該可搬型記憶媒体の一例としては、情報処理端末に着脱可能なメモリカードがある。
【0015】
さらに本発明は、所定の機密区分を有する本体データと前記機密区分を特定する機密属性データと前記本体データを関連付けて記憶した記憶媒体と、情報処理端末を介してデータのやり取りが可能であり、前記本体データと前記機密属性データとを互いに関連付けて蓄積し、前記本体データへのアクセス履歴に関するアクセスログを記憶するサーバ装置を提供する。
【0016】
さらに本発明は、所定の機密区分を有する本体データを蓄積したサーバと情報処理端末を介して前記本体データのやり取りが可能で、前記機密区分を特定する機密属性データと前記本体データを関連付けて記憶可能な可搬型記憶媒体と、前記記憶媒体と、情報処理端末を介してデータのやり取りが可能であり、前記本体データと前記機密属性データとを互いに関連付けて蓄積し、前記本体データへのアクセス履歴に関するアクセスログを記憶するサーバ装置とを備えた情報セキュリティシステムを提供する。また、本体データへのアクセス履歴に関するアクセスログが、前記サーバ及び前記可搬型記憶媒体各々に記憶されるようにしてもよい。
【発明の効果】
【0017】
本発明によれば、ネットワークを利用した機密データの送受信や、メモリカードの持ち出しといった、情報漏洩の恐れが高い状況下であっても、信頼性の高い情報漏洩防止対策が提供され得る。
【発明を実施するための最良の形態】
【0018】
以下、本発明の内容について図面を用いて詳細に説明する。
【0019】
図1は、本発明が適用される情報セキュリティシステムの全体構成図である。本実施形態において、情報セキュリティシステムは、インターネット、社内LAN等の如きネットワーク100上に配置されたデータサーバ10及びログ管理サーバ20、パーソナルコンピュータ(情報処理端末)30、そしてパーソナルコンピュータ30に着脱可能なメモリカード(可搬型記憶媒体)40から構築される。
【0020】
データサーバ10は、文書データ、画像データ、音声データ等種々の形式のデータを蓄積しており、パーソナルコンピュータ30のような端末から要求を受けてネットワーク100を経由してデータを端末に供給する。データサーバ10は、何らアクセス制限のない、何人も制限なくアクセス可能な通常のデータファイルのみならず、特定の許可された者のみが中身を見ることのできる機密情報に関するデータファイルを蓄積した情報フォルダ12を備えている。
【0021】
情報フォルダ12には、例えば図2の例では、「文書1.ppt」、「文書2.ppt」、「文書3.ppt」の文書ファイルが保持されている。そして、おのおの文書ファイルには「機密区分:5」、「機密区分:1」、「機密区分:8」という、各々のファイルの重要度、要求される防護レベル(セキュアレベル)に応じた機密区分が与えられている。すなわち、機密区分を表現するデータと、本来の情報である文書データに対応する文書ファイルが関連付けられて、情報フォルダ12に保持されている。
【0022】
本明細書の「本体データ」とは、表現したい本来の情報のデータであり、文書データ、画像データ、音声データ、これらの組み合わせ等種々のものを含みその種類は限定されない。また、本明細書の「機密属性データ」とは、上述の機密区分を表現するデータであり、本体データが所定のアクセス制限を付与される機密データである場合に、本体データに付与されるものである。
【0023】
図3は、各ファイルに与えられる機密区分のリストの例を示す。本実施形態では、最高のセキュアレベルに対応する機密区分には「レベル10」が与えられ、当該ファイルの印刷、複製が禁止され、かつ閲覧にも特別の認証(ユーザのIDカードによる認証等)が要求される。一方、最低のセキュアレベル「レベル1」では、当該ファイルの印刷、複製は何ら制限なく可能であり、特別の認証も要求されない。もちろん、機密区分の数や、禁止許可事項の種類や数は特に限定されない。例えば、機密区分を「厳秘」、「秘」、「社内情報」、「通常」の4つのレベルで構成することができる。
【0024】
ログ管理サーバ20は、データサーバ10の所定フォルダの所定のファイルの使用履歴に対応したアクセスログを蓄積するサーバである。ログ管理サーバ20はデータサーバ10と連動し、データサーバ10のファイルへのアクセス状況を刻々記録する。このような記録が可能でさえあれば、ログ管理サーバ20はデータサーバ10と別体に構成しても、一体に構成してもよい。本明細書において「サーバ」、「サーバ装置」とは、本体データを蓄積するデータサーバ10とアクセスログを蓄積するログ管理サーバ20の各々単体又はこれらの組み合わせをいう。
【0025】
ログ管理サーバ20はデータサーバ10の各ファイルの持出し及び返却情報を記録した持出しリスト22を備えている。本実施形態では、持出しリスト22は図4に示すように、各文書(ファイル)の文書名(ファイル名)と、各文書の機密区分、持出し者、持出し者のID番号(社員証ID等)、持出し日、返却日、各文書のアクセスログへのリンク情報(以下、「リンク」という)が与えられている。そして、本例では、図2で示した情報フォルダ12内の「文書1.ppt」、「文書2.ppt」、「文書3.ppt」各々の情報が掲載されている。文書2は未だ返却されていないので返却日が記載されていない。
【0026】
そして、各文書ごとにアクセスログが記録されているが、本実施形態では、各文書のアクセスログへのリンクである「文書1のログ」、「文書2のログ」、「文書3のログ」の部分(下線部分)をクリックすることにより、各文書のアクセスログへの閲覧が可能となっている。例えば、図4の「文書1ログ」をクリックすることにより、ユーザは図5に示した文書1のアクセスログを閲覧することができる。なお、リンクはクリック可能なものに限定されない。
【0027】
パーソナルコンピュータ30は持出し管理アプリケーション32を搭載している。パーソナルコンピュータ30は、ネットワーク100を介してデータサーバ10と接続可能であり(図1の実線A)、また、メモリカード40が、パーソナルコンピュータ30に着脱可能に構成されている(図1の実線B)。ただし、メモリカード40は、パーソナルコンピュータ30に着脱可能でなくても、互いにデータの送受が可能であればよい。例えば、パーソナルコンピュータ30に取り付けられ、接触式または非接触式のメモリカードリーダ/ライタを使用することができる。
【0028】
パーソナルコンピュータ30が、ネットワーク100及びメモリカード40に接続されると、上述した文書ファイル等のデータが、ネットワーク100及びメモリカード40の間で交換可能となる。ここで、パーソナルコンピュータ30の持出し管理可能アプリケーション32は、ネットワーク100及びメモリカード40間のデータのやり取りを制御するのであるが、所定の機密区分を有するデータについては、そのアクセスが制限される。
【0029】
実際に文書ファイル等の本体データを操作するのは、MS−WORD(登録商標)の如きワードプロセッサソフトや、PowerPoint(登録商標)の如きプレゼンテーション用グラフィックスソフト等、一般のPCソフトである。ここでの持出し管理アプリケーション32は、このような一般PCソフトとOS(オペレーティングシステム)の間に入り、一般PCソフトの機能を制限する役割を果たすものである。例えば持出し管理アプリケーション32は以下のような機能を有するものを含むが、これらには限定されない。
【0030】
・サーバとカードアプリケーションの間の通信仲介及びデータ交換
・サーバ上又はメモリカードのセキュア記憶領域(後述)上のファイルのコピー、複製、移動等のファイル操作及び機能に対する制限
・一般PCソフトの「印刷」、「編集」、「保存」等の機能に対する制限
・一般PCソフト上での操作履歴の記録
【0031】
例えば、パーソナルコンピュータ30のハードディスク等他の媒体への複製や印刷が特定の機密データについては禁止される。従って、図1の点線Cように、実際のデータに対する編集、新規複製ファイル等のやり取りは、データサーバ10とメモリカード40の間でのみ行なわれることとなる。この点については後述する。
【0032】
図6は、メモリカード40の内部ブロック図を示す。また、メモリカード40とパーソナルコンピュータ30の持出し管理アプリケーション32とのデータのやり取りが概念的に示されている。メモリカードは不揮発性の半導体メモリを具備するいわゆる半導体メモリカードである。
【0033】
メモリカード40は、制御部41と、半導体チップであるICチップ42と、不揮発性メモリ領域43と、を備える。制御部41は、所定の演算処理装置より構成され、メモリカード40の全体制御を行なうとともに、パーソナルコンピュータ30の持出し管理アプリケーション32とのデータのやり取りも制御する。
【0034】
ICチップ42は、持出し管理アプリケーション32からのアクセス要求が、認証要求であったり、後述するセキュア記憶領域45へのアクセス要求であったりする場合、認証処理を行なったり、セキュア記憶領域45へのアクセスのため、カードアプリケーション44を起動する。
【0035】
ICチップ42には、「無線タグ」、「RFID(Radio Frequency Identification)」、「電子荷札」等と呼ばれる一般的な接触式又は非接触式のICチップを採用することができる。しかしながら本発明ではその詳細な構成は限定されない。一般的に、ICチップ42は、外部の制御部41等から情報を送受信する送受信制御部、読み書き制御部、メモリ及び電源部等が半導体集積回路化されて、チップ上に形成され、構成されている。
【0036】
不揮発性メモリ領域43は、書き換え可能で、電源がオフとなってもデータを記憶する記憶領域であり、セキュア記憶領域45と一般記憶領域46を備える。通常の(機密保持の必要のない)データは、一般記憶領域46に記憶される。一方、先述したような機密属性データ付きのデータ(文書ファイル等)は、セキュア記憶領域45に保持される。また、セキュア記憶領域45は、当該データの図5に示したアクセスログを記憶するログ記憶領域47を有している。従って、セキュア記憶領域には、文書ファイル等の機密データ(本体データ)とともに、それに関連付けられた機密属性データおよびアクセスログが記憶される。
【0037】
そして、制御部41は、持出し管理アプリケーション32からのアクセス要求が、セキュア記憶領域45へのアクセス要求である場合、カードアプリケーション44を起動する。カードアプリケーション44は、セキュア記憶領域45に記憶された機密データを読み出し又は削除したり、新規作成の文書ファイル等を機密データとしてセキュア記憶領域45に書き込んだりするために使用されるアプリケーションである。持出し管理アプリケーション32からのアクセス要求が、機密保持の必要のない通常データへのアクセス、すなわち一般記憶領域46へのアクセス要求である場合、制御部41が直接一般記憶領域46にアクセスする。従って、カードアプリケーション44は起動されず、パーソナルコンピュータ30の一般PCソフト及び持出し管理アプリケーション32は、セキュア記憶領域45の存在自体を認識することができない。
【0038】
本実施形態では、記憶媒体の例として、パーソナルコンピュータ30に着脱可能で、機構部のない可搬型記憶媒体としてのメモリカードを挙げたが、「記憶媒体」という意味ではとくにカード形式の半導体メモリには限定されない。形状的、構造的には、ハードディスクや、ディスク状記録媒体、その他のものも含まれ得る。
【0039】
次に図7の動作シーケンス図を用いて、本実施形態の情報セキュリティシステムの動作の一例を説明する。本例では、機密データを自らのパーソナルコンピュータで編集し、編集したデータを返却する場合の例を説明する。
【0040】
まず、パーソナルコンピュータ30及びメモリカード40のユーザが、パーソナルコンピュータ30上の持ち出し管理アプリケーション32を起動する。さらに、ネットワーク100を介してデータサーバ10と、パーソナルコンピュータ30の持出し管理アプリケーション32の間で、相互認証が実行される(1)。続いて、持出し管理アプリケーション32とメモリカード40の間で相互認証が実行される(2)。(1)及(2)の認証が成功すると、持出し管理アプリケーション32を経由した、データサーバ10とメモリカード40間の相互認証が実行され、両者間でのセキュア通信が確立される(3)。(1)から(3)の認証及びセキュア通信の確立方法については特に限定されず、既存の方法を使用することができる。
【0041】
例えば、(1)および(2)の認証には電子証明書を使用する認証、(3)の認証にはチャレンジ・レスポンス型の相互認証を用いることができる。チャレンジ・レスポンス型の相互認証は、相手機器の正当性を検証するためにチャレンジデータを相手機器に送り、それに対して相手機器において自己の正当性を証明する処理が施されて生成されたレスポンスデータを相手機器から受け取り、それらチャレンジデータとレスポンスデータとを比較することで相手機器を認証することができるか否かを判断するという認証ステップを、双方の機器が相互に行う。例えば、特許3389186号に示されている、チャレンジ・レスポンス型の相互認証の方法を使用する。
【0042】
続いて、ユーザによる持出し管理アプリケーション32上における所定のドラッグ・アンド・ドロップ等の操作により、データサーバ10の情報フォルダ12からメモリカード40へ機密データ(本体データ)及び当該機密データに関連付けられた機密属性データがダウンロードされ、メモリカード40に保存される(4)。機密データをダウンロードすることにより、機密属性データも同時にダウンロードされ、メモリカード40のカードアプリケーション44の制御により、セキュア記憶領域45にこれらのデータが書き込まれる。また、アクセスログも同時に、ログ記憶領域47に書き込まれる。
【0043】
また、(4)の操作を反映した操作履歴が、図5に示したログ管理サーバ20のアクセスログとして登録される(5)。
【0044】
そして、ユーザが所定のファイル(機密データ)をメモリカード40から読み出す操作を行うと、まず、持出し管理アプリケーション32が、(4)にてメモリカード40のセキュア記憶領域45に記憶された機密属性データを読み込む(6)。この機密属性データは、その機密区分に応じて図3に示したような機密データに対する操作を制限する。例えば、図3の例で読み出した機密属性データの機密区分が「9」の場合、当該機密属性データに対応する機密データに対する印刷、複製は禁止される。本例では、当該機密データに対する関係においては、持出し管理アプリケーション32が、上述した一般PCソフトの機能を制限することにより、機密データに対する操作が制限される。(7)。
【0045】
持ち出し管理アプリケーション32の機能制限の後、先に読み出された機密属性データの機密データ自体がメモリカード40のセキュア記憶領域45から読み込まれる(8)。読み込まれた機密データに対し、ユーザが、持出し管理アプリケーション32により機能制限((7)の工程)がなされた一般PCソフトを介した所定の操作を施すことにより、読み出された機密データの編集(書き換え)が行われ(編集は制限されていない)、その後メモリカード40に編集された機密データが記憶される(9)。また、セキュア記憶領域45のログ記憶領域47に、(8)、(9)の使用履歴に相当するアクセスログが登録される(10)。
【0046】
続いて、ユーザは、編集された機密データをデータサーバ10に返却する。前述(3)と同様、データサーバ10とメモリカード40の相互認証が行われ、セキュア通信が確立される(11)。
【0047】
ユーザによる持出し管理アプリケーション32上における所定のドラッグ・アンド・ドロップ等の操作により、メモリカード40からデータサーバ10へ編集された機密データ及び当該機密データに関連付けられた機密属性データが送られ、データサーバ10の情報フォルダ12に保存される(12)。
【0048】
そして、(12)の返却操作を反映した操作履歴が、図5に示したログ管理サーバ20の持出しリスト22とリンクしたアクセスログとして登録される(13)。以上説明したステップを踏まえ、編集された機密データ及び機密データのアクセスログがデータサーバ10、ログ管理サーバ20に登録される。ただし、(12)の返却処理の前に、(11)の認証の時点で、メモリカード40のログ記憶領域47に蓄積されたアクセスログが、自動的にログ管理サーバ20に送られるような構成を採るようにしてもよい。このような構成においては、オフラインの状態でログ記憶領域47に蓄積されたアクセスログを、オンラインの状態となった時点で確実にログ管理サーバ20に登録することができる。
【0049】
図8、図9は、パーソナルコンピュータ30のディスプレイ上における具体的な操作例を示す。尚、本例においては、機密区分として「厳秘」、「秘」、「社内情報」、「通常」の4つが与えられている。図8は、メモリカード40へのアクセスにおけるパーソナルコンピュータ30の操作を示している。
【0050】
図8(a)に示すように、ユーザがメモリカード40をパーソナルコンピュータ30に装着すると、まず、パーソナルコンピュータ30がメモリカード40の一般記憶領域46の存在を認識し、図8(b)に示すように持出し管理アプリケーション32の表示(アイコン)を含む一般記憶領域の表示画面を起動する。メモリカード内のセキュア記憶領域にアクセスする場合には、このアイコンをクリックする。すると、ICチップ42のカードアプリケーション44が起動し、パーソナルコンピュータ30とカードアプリケーション44の通信が開始し、パスワード認証の要求画面が表示される(図8(c))。
【0051】
そして、ユーザが予め決定されているパスワードを入力すると、図8(d)に示すように、機密区分に応じて記憶されたファイルが表示される(セキュア記憶領域の表示)。本例では各ファイルのアイコンに、各々の機密区分が重ねて表示されている。
【0052】
表示されたアイコンのうち、「秘」と「社内」の機密区分が付与されたアイコンは、いわゆる機密データであり、これらのデータにアクセスするにはさらに別の認証を必要とする。この例では図8(e)に示すように社員証ICカードの認証が要求される。認証が成功すると、初めてこれらのファイルが開く(図8(f))。
なお、社員証ICカードは、他のICカードなどに代えても可能である。
【0053】
図9は、データサーバ10、メモリカード40間でのデータの取り出し、返却の際におけるパーソナルコンピュータ30の操作を示している。データサーバ10の所定の(図1では情報フォルダ12)ファイルの画面が図9(a)に示されており、図9(b)のメモリカード40の画面との間でドラッグ・アンド・ドロップの操作を行うことにより、ファイルを移動させることができる。
【0054】
本例では、機密区分として「厳秘」を有する機密データは、データサーバ10からメモリカード40に移動させることはできないこととなっている(1)。機密区分として「秘」を有する機密データは、ドラッグ・アンド・ドロップ(D&D)によりネットワーク10からメモリカード40に移動させることはできるが(2)、アクセスは制限される(3)。通常のデータの移動は自由である(4)。
【0055】
データサーバ10へのデータの返却は、逆のドラッグ・アンド・ドロップ操作を行うことにより達成される(5)。返却は、データをメモリカード40条からデータサーバ10へ移動させ、メモリカード40上からデータを消去するものである。返却データの機密区分は、データサーバ10の返却先のフォルダ(固有の機密区分を備える)によって決められる。このとき、対象データが元々保持する機密区分が参照され、当該機密区分より低いランクの機密区分のフォルダには返却、保存することはできない。いずれのフォルダにも返却可能である場合、メモリカード40にデータを記憶することにより、ユーザがデータの機密区分を自由に操作することが可能となってしまう。このような不正につながりかねない操作を防止するため、返却先フォルダは制限されている。
【0056】
また、データサーバ10からパーソナルコンピュータ30内のハードディスク(図9(c))へのデータのコピーは、情報流出防止のため一切禁止される(6)。このような制限は、図7の(7)に示した、持出し管理アプリケーション32による一般PCソフトに対する機能制限が行われることにより達成される。もちろん、ハードディスク内のデータをデータサーバ10にコピーすることは自由である(7)。
【0057】
上述したように本発明は、所定の機密区分を有する文書ファイル等の本体データを蓄積したデータサーバ10を含むサーバと、パーソナルコンピュータ30の如き情報処理端末を介して、文書ファイル等の如き本体データのやり取りが可能なメモリカードの如き記憶媒体を提供する。この記憶媒体は、機密区分を特定する機密属性データと本体データを関連付けて記憶することができる。
【0058】
従って、記憶媒体においても機密区分と本体データが関連付けられて記憶、保存される。従って、ユーザによる不正な印刷、複製を含む不正利用を容易に防止することができる。また、媒体の紛失に伴うデータの流出などに対する防衛対策も容易となり、より高い情報漏洩防止機能が提供され得る。
【0059】
また、記憶媒体には、本体データへのアクセス履歴に関するアクセスログを記憶するアクセスログ記憶領域が設けられる。このアクセスログ記憶領域には、印刷、複製等のアクセスログが記憶される。従って、記憶されたアクセスログをチェックすることにより、情報流出前の不正利用の速やかな発見、情報流出後であっても流出元の速やかな発見が容易となる。
【0060】
更に本発明は、本体データを蓄積した記憶媒体と、情報処理端末を介してデータのやり取りが可能なデータサーバ10及びログ管理サーバ20を含むサーバを提供する。このサーバは、本体データと機密属性データとを互いに関連付けて蓄積し、かつ本体データへのアクセス履歴に関するアクセスログをも記憶する。
【0061】
このサーバは、文書ファイル等の本体データへの印刷、複製等のアクセスログが記憶することができる。従って、記憶されたアクセスログをチェックすることにより、情報流出前の不正利用の速やかな発見、情報流出後であっても流出元の速やかな発見が容易となる。
【0062】
更に本発明は、サーバと、ネットワーク及び情報処理端末を介してサーバとデータのやり取りが可能な記憶媒体より構築される情報セキュリティシステムを提供する。この情報セキュリティシステムにおいては、サーバ及び記憶媒体の間で、本体データと該本体データの所定の機密区分を特定する機密属性データとが互いに関連付けられた状態で、サーバ及び記憶媒体各々に記憶される。
【0063】
機密区分と本体データが常に関連付けられて記憶、保存されるため、ユーザによる不正な印刷、複製を含む不正利用を容易に防止することができる。また、媒体の紛失に伴うデータの流出などに対する防衛対策も容易となり、より高い情報漏洩防止機能が提供され得る。
【0064】
尚、持出し管理アプリケーション32は、元々パーソナルコンピュータ30にインストールされているものを使用してもよいが、図8(a)に示すように、メモリカード40に記憶させておいたものを呼び出し、パーソナルコンピュータ30のOS上で起動させてもよい。この場合、持出し管理アプリケーション32をメモリカード40の一般記憶領域46に予め記憶させるとともに、その呼び出しの際には、所定の認証要求が持出し管理アプリケーション32から発行されるようにしておくことが望ましい(図8(c)と同じ構成)。このような構成にすることにより、持出し管理アプリケーション32の認証要求に対し正しい認証がなされた場合のみ、持出し管理アプリケーション32がパーソナルコンピュータ30上において使用可能となる。このような構成下ではアプリケーションプログラムが情報処理端末内に置かれないため、アプリケーションプログラムの改ざんのような不正行為に対しても信頼性の高い保護機能が得られる。また、持出し管理アプリケーション32に対するアクセスログをログ管理サーバ20、ログ記憶領域47に記憶させてもよい。
【0065】
例えば、パーソナルコンピュータ30が、メモリカード40に対し、所定の認証情報(認証鍵)とともに持出し管理アプリケーション32を発行するよう要求し、パーソナルコンピュータ30が受信した持出し管理アプリケーション32を起動すると、持出し管理アプリケーション32とメモリカード40との間で認証情報を用いて持出し管理アプリケーション32の認証処理を行うような構成にすることができる。このようなアプリケーションの認証技術については、例えば特開2005−71328号公報に開示されているような方法を使用することができる。
【0066】
以上、本発明の各種実施形態を説明したが、本発明は前記実施形態において示された事項に限定されず、明細書の記載、並びに周知の技術に基づいて、当業者がその変更・応用することも本発明の予定するところであり、保護を求める範囲に含まれる。
【産業上の利用可能性】
【0067】
本発明によれば、信頼性の高い情報漏洩防止対策が達成され、高い情報漏洩防止機能を備えた記憶媒体、データサーバ、情報セキュリティシステムが提供される。
【図面の簡単な説明】
【0068】
【図1】本発明の情報セキュリティシステムの全体構成図
【図2】データサーバの情報フォルダの例を示す図
【図3】機密区分の例を示す図
【図4】ログ管理サーバの持出しリストの例を示す図
【図5】アクセスログの例を示す図
【図6】メモリカードの内部ブロック図
【図7】情報セキュリティシステムの動作シーケンス図
【図8】パーソナルコンピュータ上でのメモリカード内へのアクセス手順の具体例
【図9】パーソナルコンピュータ上でのデータサーバとメモリカードの間でのデータ移動手順の具体例を示す図
【符号の説明】
【0069】
10 データサーバ
12 情報フォルダ
20 ログ管理サーバ
22 持出しリスト
30 パーソナルコンピュータ
32 持出し管理アプリケーション
40 メモリカード
41 制御部
42 ICチップ
43 不揮発性メモリ領域
44 カードアプリケーション
45 セキュア記憶領域
46 一般記憶領域
47 ログ記憶領域
100 ネットワーク
【技術分野】
【0001】
本発明は、記憶媒体に関し、特に機密情報の流出防止等に有用な記憶媒体に関する。また、本発明は当該記憶媒体とともに使用されるサーバ装置、当該記憶媒体を活用した情報セキュリティシステムに関する。
【背景技術】
【0002】
不揮発性の半導体メモリを記憶媒体として具備する半導体メモリカード(以下、「メモリカード」と言う)等の如き記憶媒体は、DVDなどのディスク状記憶媒体に比べて、記憶容量は小さいが、大きな機構部を必要とせず、小型で取り扱いが容易で、耐振性にも優れているため、携帯用に好適な記憶媒体として、最近、その利用範囲が拡大している。
【0003】
一方、情報技術の発達、インターネットをはじめとするネットワークシステムの普及、上述した簡便な記憶媒体の普及の一方で、各企業、団体等の内部の機密情報の流出・漏洩が社会問題となっており、そのような問題に対する対策が要求されている。
【0004】
このような要求を受け、メモリカードを始めとする記憶媒体の分野において、様々な技術が提案されている。例えば、下記特許文献1には、不揮発性メモリ内に、認証に成功した外部機器のみがアクセスできる認証領域と、外部機器のいずれもがアクセスできる非認証領域とを設けたメモリカードが記載されている。このメモリカードを用いて、暗号化したデータを非認証領域に格納し、それを復号する復号鍵を認証領域に格納することにより、データを守ることが可能になる。
【0005】
また、下記特許文献2においては、情報処理端末に着脱可能な半導体メモリカードに、通常領域に加え、情報処理端末から直接アクセスすることができないセキュア領域と、情報処理端末から直接アクセスすることができない耐タンパー性(tamper resistance)のメモリとを設け、該セキュア領域へのアクセスが、耐タンパー性のメモリへのアクセスを管理するセキュア制御部を介してのみ可能であるように構成している。このセキュア領域には外部機器が直接アクセスできないため、より高いセキュリティレベルを確保することが可能となる。
【特許文献1】特開2001−14441号公報
【特許文献2】特開2004−199138号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかし、近年機密情報の流出・漏洩に対し、更に高いレベルの防衛策が要求されている。特に上述したようなこれまでの技術においては、記憶媒体が盗難や紛失にあった場合の情報漏洩、機密情報を持ち出した者自身による不正利用等に対しては十分な対策が施されていない。
【0007】
本発明は、より高い情報漏洩防止機能を備えた記憶媒体、当該記憶媒体とともに使用されるネットワーク上のサーバ装置、当該記憶媒体を活用した情報セキュリティシステムを提供することを目的とする。
【課題を解決するための手段】
【0008】
本発明は、所定の機密区分を有する本体データを蓄積したサーバと情報処理端末を介して前記本体データのやり取りにおいて、前記機密区分を特定する機密属性データと前記本体データを関連付けて記憶可能な可搬型記憶媒体を提供するものである。
【0009】
上述の構成においては、可搬型記憶媒体においても機密区分と本体データが関連付けられて記憶、保存される。従って、ユーザによる不正利用や、媒体の紛失に伴うデータの流出などに対する防衛対策が容易となり、より高い情報漏洩防止機能が提供され得る。
【0010】
また、可搬型記憶媒体には前記アクセス制限を制御するアプリケーションプログラムを格納した半導体チップを設けることができる。
【0011】
また、前記アクセス制限としては、前記本体データの印刷禁止及び複製禁止を含む。
【0012】
また、前記可搬型記憶媒体に一般記憶領域とセキュア記憶領域を設け、前記一般記憶領域は、前記情報処理端末から直接読み書きすることができる記憶領域より構成され、前記セキュア領域は、前記半導体チップに格納されたアプリケーションのアクセス制御の下で前記情報処理端末から読み書きすることができる記憶領域より構成され、前記機密属性データと前記本体データが互いに関連付けられて前記セキュア記録領域に前記アプリケーションのアクセス制御の下で保持されるように構成することもできる。この場合、前記可搬型記憶媒体は前記一般記憶領域内に、前記本体データのアプリケーションプログラムを保持し、当該アプリケーションプログラムにより定められた認証要求を満たすことにより、前記情報処理端末上において当該アプリケーションプログラムが使用可能となるような構成にすることもできる。このような構成下ではアプリケーションプログラムが情報処理端末内に置かれないため、アプリケーションプログラムの改ざんのような不正行為に対しても信頼性の高い保護機能が得られる。
【0013】
また、可搬型記憶媒体には、前記本体データへのアクセス履歴に関するアクセスログを記憶するアクセスログ記憶領域をさらに設けることもできる。記憶されたアクセスログをチェックすることにより、不正利用の速やかな発見、情報流出後の流出元の発見が容易となる。
【0014】
当該可搬型記憶媒体の一例としては、情報処理端末に着脱可能なメモリカードがある。
【0015】
さらに本発明は、所定の機密区分を有する本体データと前記機密区分を特定する機密属性データと前記本体データを関連付けて記憶した記憶媒体と、情報処理端末を介してデータのやり取りが可能であり、前記本体データと前記機密属性データとを互いに関連付けて蓄積し、前記本体データへのアクセス履歴に関するアクセスログを記憶するサーバ装置を提供する。
【0016】
さらに本発明は、所定の機密区分を有する本体データを蓄積したサーバと情報処理端末を介して前記本体データのやり取りが可能で、前記機密区分を特定する機密属性データと前記本体データを関連付けて記憶可能な可搬型記憶媒体と、前記記憶媒体と、情報処理端末を介してデータのやり取りが可能であり、前記本体データと前記機密属性データとを互いに関連付けて蓄積し、前記本体データへのアクセス履歴に関するアクセスログを記憶するサーバ装置とを備えた情報セキュリティシステムを提供する。また、本体データへのアクセス履歴に関するアクセスログが、前記サーバ及び前記可搬型記憶媒体各々に記憶されるようにしてもよい。
【発明の効果】
【0017】
本発明によれば、ネットワークを利用した機密データの送受信や、メモリカードの持ち出しといった、情報漏洩の恐れが高い状況下であっても、信頼性の高い情報漏洩防止対策が提供され得る。
【発明を実施するための最良の形態】
【0018】
以下、本発明の内容について図面を用いて詳細に説明する。
【0019】
図1は、本発明が適用される情報セキュリティシステムの全体構成図である。本実施形態において、情報セキュリティシステムは、インターネット、社内LAN等の如きネットワーク100上に配置されたデータサーバ10及びログ管理サーバ20、パーソナルコンピュータ(情報処理端末)30、そしてパーソナルコンピュータ30に着脱可能なメモリカード(可搬型記憶媒体)40から構築される。
【0020】
データサーバ10は、文書データ、画像データ、音声データ等種々の形式のデータを蓄積しており、パーソナルコンピュータ30のような端末から要求を受けてネットワーク100を経由してデータを端末に供給する。データサーバ10は、何らアクセス制限のない、何人も制限なくアクセス可能な通常のデータファイルのみならず、特定の許可された者のみが中身を見ることのできる機密情報に関するデータファイルを蓄積した情報フォルダ12を備えている。
【0021】
情報フォルダ12には、例えば図2の例では、「文書1.ppt」、「文書2.ppt」、「文書3.ppt」の文書ファイルが保持されている。そして、おのおの文書ファイルには「機密区分:5」、「機密区分:1」、「機密区分:8」という、各々のファイルの重要度、要求される防護レベル(セキュアレベル)に応じた機密区分が与えられている。すなわち、機密区分を表現するデータと、本来の情報である文書データに対応する文書ファイルが関連付けられて、情報フォルダ12に保持されている。
【0022】
本明細書の「本体データ」とは、表現したい本来の情報のデータであり、文書データ、画像データ、音声データ、これらの組み合わせ等種々のものを含みその種類は限定されない。また、本明細書の「機密属性データ」とは、上述の機密区分を表現するデータであり、本体データが所定のアクセス制限を付与される機密データである場合に、本体データに付与されるものである。
【0023】
図3は、各ファイルに与えられる機密区分のリストの例を示す。本実施形態では、最高のセキュアレベルに対応する機密区分には「レベル10」が与えられ、当該ファイルの印刷、複製が禁止され、かつ閲覧にも特別の認証(ユーザのIDカードによる認証等)が要求される。一方、最低のセキュアレベル「レベル1」では、当該ファイルの印刷、複製は何ら制限なく可能であり、特別の認証も要求されない。もちろん、機密区分の数や、禁止許可事項の種類や数は特に限定されない。例えば、機密区分を「厳秘」、「秘」、「社内情報」、「通常」の4つのレベルで構成することができる。
【0024】
ログ管理サーバ20は、データサーバ10の所定フォルダの所定のファイルの使用履歴に対応したアクセスログを蓄積するサーバである。ログ管理サーバ20はデータサーバ10と連動し、データサーバ10のファイルへのアクセス状況を刻々記録する。このような記録が可能でさえあれば、ログ管理サーバ20はデータサーバ10と別体に構成しても、一体に構成してもよい。本明細書において「サーバ」、「サーバ装置」とは、本体データを蓄積するデータサーバ10とアクセスログを蓄積するログ管理サーバ20の各々単体又はこれらの組み合わせをいう。
【0025】
ログ管理サーバ20はデータサーバ10の各ファイルの持出し及び返却情報を記録した持出しリスト22を備えている。本実施形態では、持出しリスト22は図4に示すように、各文書(ファイル)の文書名(ファイル名)と、各文書の機密区分、持出し者、持出し者のID番号(社員証ID等)、持出し日、返却日、各文書のアクセスログへのリンク情報(以下、「リンク」という)が与えられている。そして、本例では、図2で示した情報フォルダ12内の「文書1.ppt」、「文書2.ppt」、「文書3.ppt」各々の情報が掲載されている。文書2は未だ返却されていないので返却日が記載されていない。
【0026】
そして、各文書ごとにアクセスログが記録されているが、本実施形態では、各文書のアクセスログへのリンクである「文書1のログ」、「文書2のログ」、「文書3のログ」の部分(下線部分)をクリックすることにより、各文書のアクセスログへの閲覧が可能となっている。例えば、図4の「文書1ログ」をクリックすることにより、ユーザは図5に示した文書1のアクセスログを閲覧することができる。なお、リンクはクリック可能なものに限定されない。
【0027】
パーソナルコンピュータ30は持出し管理アプリケーション32を搭載している。パーソナルコンピュータ30は、ネットワーク100を介してデータサーバ10と接続可能であり(図1の実線A)、また、メモリカード40が、パーソナルコンピュータ30に着脱可能に構成されている(図1の実線B)。ただし、メモリカード40は、パーソナルコンピュータ30に着脱可能でなくても、互いにデータの送受が可能であればよい。例えば、パーソナルコンピュータ30に取り付けられ、接触式または非接触式のメモリカードリーダ/ライタを使用することができる。
【0028】
パーソナルコンピュータ30が、ネットワーク100及びメモリカード40に接続されると、上述した文書ファイル等のデータが、ネットワーク100及びメモリカード40の間で交換可能となる。ここで、パーソナルコンピュータ30の持出し管理可能アプリケーション32は、ネットワーク100及びメモリカード40間のデータのやり取りを制御するのであるが、所定の機密区分を有するデータについては、そのアクセスが制限される。
【0029】
実際に文書ファイル等の本体データを操作するのは、MS−WORD(登録商標)の如きワードプロセッサソフトや、PowerPoint(登録商標)の如きプレゼンテーション用グラフィックスソフト等、一般のPCソフトである。ここでの持出し管理アプリケーション32は、このような一般PCソフトとOS(オペレーティングシステム)の間に入り、一般PCソフトの機能を制限する役割を果たすものである。例えば持出し管理アプリケーション32は以下のような機能を有するものを含むが、これらには限定されない。
【0030】
・サーバとカードアプリケーションの間の通信仲介及びデータ交換
・サーバ上又はメモリカードのセキュア記憶領域(後述)上のファイルのコピー、複製、移動等のファイル操作及び機能に対する制限
・一般PCソフトの「印刷」、「編集」、「保存」等の機能に対する制限
・一般PCソフト上での操作履歴の記録
【0031】
例えば、パーソナルコンピュータ30のハードディスク等他の媒体への複製や印刷が特定の機密データについては禁止される。従って、図1の点線Cように、実際のデータに対する編集、新規複製ファイル等のやり取りは、データサーバ10とメモリカード40の間でのみ行なわれることとなる。この点については後述する。
【0032】
図6は、メモリカード40の内部ブロック図を示す。また、メモリカード40とパーソナルコンピュータ30の持出し管理アプリケーション32とのデータのやり取りが概念的に示されている。メモリカードは不揮発性の半導体メモリを具備するいわゆる半導体メモリカードである。
【0033】
メモリカード40は、制御部41と、半導体チップであるICチップ42と、不揮発性メモリ領域43と、を備える。制御部41は、所定の演算処理装置より構成され、メモリカード40の全体制御を行なうとともに、パーソナルコンピュータ30の持出し管理アプリケーション32とのデータのやり取りも制御する。
【0034】
ICチップ42は、持出し管理アプリケーション32からのアクセス要求が、認証要求であったり、後述するセキュア記憶領域45へのアクセス要求であったりする場合、認証処理を行なったり、セキュア記憶領域45へのアクセスのため、カードアプリケーション44を起動する。
【0035】
ICチップ42には、「無線タグ」、「RFID(Radio Frequency Identification)」、「電子荷札」等と呼ばれる一般的な接触式又は非接触式のICチップを採用することができる。しかしながら本発明ではその詳細な構成は限定されない。一般的に、ICチップ42は、外部の制御部41等から情報を送受信する送受信制御部、読み書き制御部、メモリ及び電源部等が半導体集積回路化されて、チップ上に形成され、構成されている。
【0036】
不揮発性メモリ領域43は、書き換え可能で、電源がオフとなってもデータを記憶する記憶領域であり、セキュア記憶領域45と一般記憶領域46を備える。通常の(機密保持の必要のない)データは、一般記憶領域46に記憶される。一方、先述したような機密属性データ付きのデータ(文書ファイル等)は、セキュア記憶領域45に保持される。また、セキュア記憶領域45は、当該データの図5に示したアクセスログを記憶するログ記憶領域47を有している。従って、セキュア記憶領域には、文書ファイル等の機密データ(本体データ)とともに、それに関連付けられた機密属性データおよびアクセスログが記憶される。
【0037】
そして、制御部41は、持出し管理アプリケーション32からのアクセス要求が、セキュア記憶領域45へのアクセス要求である場合、カードアプリケーション44を起動する。カードアプリケーション44は、セキュア記憶領域45に記憶された機密データを読み出し又は削除したり、新規作成の文書ファイル等を機密データとしてセキュア記憶領域45に書き込んだりするために使用されるアプリケーションである。持出し管理アプリケーション32からのアクセス要求が、機密保持の必要のない通常データへのアクセス、すなわち一般記憶領域46へのアクセス要求である場合、制御部41が直接一般記憶領域46にアクセスする。従って、カードアプリケーション44は起動されず、パーソナルコンピュータ30の一般PCソフト及び持出し管理アプリケーション32は、セキュア記憶領域45の存在自体を認識することができない。
【0038】
本実施形態では、記憶媒体の例として、パーソナルコンピュータ30に着脱可能で、機構部のない可搬型記憶媒体としてのメモリカードを挙げたが、「記憶媒体」という意味ではとくにカード形式の半導体メモリには限定されない。形状的、構造的には、ハードディスクや、ディスク状記録媒体、その他のものも含まれ得る。
【0039】
次に図7の動作シーケンス図を用いて、本実施形態の情報セキュリティシステムの動作の一例を説明する。本例では、機密データを自らのパーソナルコンピュータで編集し、編集したデータを返却する場合の例を説明する。
【0040】
まず、パーソナルコンピュータ30及びメモリカード40のユーザが、パーソナルコンピュータ30上の持ち出し管理アプリケーション32を起動する。さらに、ネットワーク100を介してデータサーバ10と、パーソナルコンピュータ30の持出し管理アプリケーション32の間で、相互認証が実行される(1)。続いて、持出し管理アプリケーション32とメモリカード40の間で相互認証が実行される(2)。(1)及(2)の認証が成功すると、持出し管理アプリケーション32を経由した、データサーバ10とメモリカード40間の相互認証が実行され、両者間でのセキュア通信が確立される(3)。(1)から(3)の認証及びセキュア通信の確立方法については特に限定されず、既存の方法を使用することができる。
【0041】
例えば、(1)および(2)の認証には電子証明書を使用する認証、(3)の認証にはチャレンジ・レスポンス型の相互認証を用いることができる。チャレンジ・レスポンス型の相互認証は、相手機器の正当性を検証するためにチャレンジデータを相手機器に送り、それに対して相手機器において自己の正当性を証明する処理が施されて生成されたレスポンスデータを相手機器から受け取り、それらチャレンジデータとレスポンスデータとを比較することで相手機器を認証することができるか否かを判断するという認証ステップを、双方の機器が相互に行う。例えば、特許3389186号に示されている、チャレンジ・レスポンス型の相互認証の方法を使用する。
【0042】
続いて、ユーザによる持出し管理アプリケーション32上における所定のドラッグ・アンド・ドロップ等の操作により、データサーバ10の情報フォルダ12からメモリカード40へ機密データ(本体データ)及び当該機密データに関連付けられた機密属性データがダウンロードされ、メモリカード40に保存される(4)。機密データをダウンロードすることにより、機密属性データも同時にダウンロードされ、メモリカード40のカードアプリケーション44の制御により、セキュア記憶領域45にこれらのデータが書き込まれる。また、アクセスログも同時に、ログ記憶領域47に書き込まれる。
【0043】
また、(4)の操作を反映した操作履歴が、図5に示したログ管理サーバ20のアクセスログとして登録される(5)。
【0044】
そして、ユーザが所定のファイル(機密データ)をメモリカード40から読み出す操作を行うと、まず、持出し管理アプリケーション32が、(4)にてメモリカード40のセキュア記憶領域45に記憶された機密属性データを読み込む(6)。この機密属性データは、その機密区分に応じて図3に示したような機密データに対する操作を制限する。例えば、図3の例で読み出した機密属性データの機密区分が「9」の場合、当該機密属性データに対応する機密データに対する印刷、複製は禁止される。本例では、当該機密データに対する関係においては、持出し管理アプリケーション32が、上述した一般PCソフトの機能を制限することにより、機密データに対する操作が制限される。(7)。
【0045】
持ち出し管理アプリケーション32の機能制限の後、先に読み出された機密属性データの機密データ自体がメモリカード40のセキュア記憶領域45から読み込まれる(8)。読み込まれた機密データに対し、ユーザが、持出し管理アプリケーション32により機能制限((7)の工程)がなされた一般PCソフトを介した所定の操作を施すことにより、読み出された機密データの編集(書き換え)が行われ(編集は制限されていない)、その後メモリカード40に編集された機密データが記憶される(9)。また、セキュア記憶領域45のログ記憶領域47に、(8)、(9)の使用履歴に相当するアクセスログが登録される(10)。
【0046】
続いて、ユーザは、編集された機密データをデータサーバ10に返却する。前述(3)と同様、データサーバ10とメモリカード40の相互認証が行われ、セキュア通信が確立される(11)。
【0047】
ユーザによる持出し管理アプリケーション32上における所定のドラッグ・アンド・ドロップ等の操作により、メモリカード40からデータサーバ10へ編集された機密データ及び当該機密データに関連付けられた機密属性データが送られ、データサーバ10の情報フォルダ12に保存される(12)。
【0048】
そして、(12)の返却操作を反映した操作履歴が、図5に示したログ管理サーバ20の持出しリスト22とリンクしたアクセスログとして登録される(13)。以上説明したステップを踏まえ、編集された機密データ及び機密データのアクセスログがデータサーバ10、ログ管理サーバ20に登録される。ただし、(12)の返却処理の前に、(11)の認証の時点で、メモリカード40のログ記憶領域47に蓄積されたアクセスログが、自動的にログ管理サーバ20に送られるような構成を採るようにしてもよい。このような構成においては、オフラインの状態でログ記憶領域47に蓄積されたアクセスログを、オンラインの状態となった時点で確実にログ管理サーバ20に登録することができる。
【0049】
図8、図9は、パーソナルコンピュータ30のディスプレイ上における具体的な操作例を示す。尚、本例においては、機密区分として「厳秘」、「秘」、「社内情報」、「通常」の4つが与えられている。図8は、メモリカード40へのアクセスにおけるパーソナルコンピュータ30の操作を示している。
【0050】
図8(a)に示すように、ユーザがメモリカード40をパーソナルコンピュータ30に装着すると、まず、パーソナルコンピュータ30がメモリカード40の一般記憶領域46の存在を認識し、図8(b)に示すように持出し管理アプリケーション32の表示(アイコン)を含む一般記憶領域の表示画面を起動する。メモリカード内のセキュア記憶領域にアクセスする場合には、このアイコンをクリックする。すると、ICチップ42のカードアプリケーション44が起動し、パーソナルコンピュータ30とカードアプリケーション44の通信が開始し、パスワード認証の要求画面が表示される(図8(c))。
【0051】
そして、ユーザが予め決定されているパスワードを入力すると、図8(d)に示すように、機密区分に応じて記憶されたファイルが表示される(セキュア記憶領域の表示)。本例では各ファイルのアイコンに、各々の機密区分が重ねて表示されている。
【0052】
表示されたアイコンのうち、「秘」と「社内」の機密区分が付与されたアイコンは、いわゆる機密データであり、これらのデータにアクセスするにはさらに別の認証を必要とする。この例では図8(e)に示すように社員証ICカードの認証が要求される。認証が成功すると、初めてこれらのファイルが開く(図8(f))。
なお、社員証ICカードは、他のICカードなどに代えても可能である。
【0053】
図9は、データサーバ10、メモリカード40間でのデータの取り出し、返却の際におけるパーソナルコンピュータ30の操作を示している。データサーバ10の所定の(図1では情報フォルダ12)ファイルの画面が図9(a)に示されており、図9(b)のメモリカード40の画面との間でドラッグ・アンド・ドロップの操作を行うことにより、ファイルを移動させることができる。
【0054】
本例では、機密区分として「厳秘」を有する機密データは、データサーバ10からメモリカード40に移動させることはできないこととなっている(1)。機密区分として「秘」を有する機密データは、ドラッグ・アンド・ドロップ(D&D)によりネットワーク10からメモリカード40に移動させることはできるが(2)、アクセスは制限される(3)。通常のデータの移動は自由である(4)。
【0055】
データサーバ10へのデータの返却は、逆のドラッグ・アンド・ドロップ操作を行うことにより達成される(5)。返却は、データをメモリカード40条からデータサーバ10へ移動させ、メモリカード40上からデータを消去するものである。返却データの機密区分は、データサーバ10の返却先のフォルダ(固有の機密区分を備える)によって決められる。このとき、対象データが元々保持する機密区分が参照され、当該機密区分より低いランクの機密区分のフォルダには返却、保存することはできない。いずれのフォルダにも返却可能である場合、メモリカード40にデータを記憶することにより、ユーザがデータの機密区分を自由に操作することが可能となってしまう。このような不正につながりかねない操作を防止するため、返却先フォルダは制限されている。
【0056】
また、データサーバ10からパーソナルコンピュータ30内のハードディスク(図9(c))へのデータのコピーは、情報流出防止のため一切禁止される(6)。このような制限は、図7の(7)に示した、持出し管理アプリケーション32による一般PCソフトに対する機能制限が行われることにより達成される。もちろん、ハードディスク内のデータをデータサーバ10にコピーすることは自由である(7)。
【0057】
上述したように本発明は、所定の機密区分を有する文書ファイル等の本体データを蓄積したデータサーバ10を含むサーバと、パーソナルコンピュータ30の如き情報処理端末を介して、文書ファイル等の如き本体データのやり取りが可能なメモリカードの如き記憶媒体を提供する。この記憶媒体は、機密区分を特定する機密属性データと本体データを関連付けて記憶することができる。
【0058】
従って、記憶媒体においても機密区分と本体データが関連付けられて記憶、保存される。従って、ユーザによる不正な印刷、複製を含む不正利用を容易に防止することができる。また、媒体の紛失に伴うデータの流出などに対する防衛対策も容易となり、より高い情報漏洩防止機能が提供され得る。
【0059】
また、記憶媒体には、本体データへのアクセス履歴に関するアクセスログを記憶するアクセスログ記憶領域が設けられる。このアクセスログ記憶領域には、印刷、複製等のアクセスログが記憶される。従って、記憶されたアクセスログをチェックすることにより、情報流出前の不正利用の速やかな発見、情報流出後であっても流出元の速やかな発見が容易となる。
【0060】
更に本発明は、本体データを蓄積した記憶媒体と、情報処理端末を介してデータのやり取りが可能なデータサーバ10及びログ管理サーバ20を含むサーバを提供する。このサーバは、本体データと機密属性データとを互いに関連付けて蓄積し、かつ本体データへのアクセス履歴に関するアクセスログをも記憶する。
【0061】
このサーバは、文書ファイル等の本体データへの印刷、複製等のアクセスログが記憶することができる。従って、記憶されたアクセスログをチェックすることにより、情報流出前の不正利用の速やかな発見、情報流出後であっても流出元の速やかな発見が容易となる。
【0062】
更に本発明は、サーバと、ネットワーク及び情報処理端末を介してサーバとデータのやり取りが可能な記憶媒体より構築される情報セキュリティシステムを提供する。この情報セキュリティシステムにおいては、サーバ及び記憶媒体の間で、本体データと該本体データの所定の機密区分を特定する機密属性データとが互いに関連付けられた状態で、サーバ及び記憶媒体各々に記憶される。
【0063】
機密区分と本体データが常に関連付けられて記憶、保存されるため、ユーザによる不正な印刷、複製を含む不正利用を容易に防止することができる。また、媒体の紛失に伴うデータの流出などに対する防衛対策も容易となり、より高い情報漏洩防止機能が提供され得る。
【0064】
尚、持出し管理アプリケーション32は、元々パーソナルコンピュータ30にインストールされているものを使用してもよいが、図8(a)に示すように、メモリカード40に記憶させておいたものを呼び出し、パーソナルコンピュータ30のOS上で起動させてもよい。この場合、持出し管理アプリケーション32をメモリカード40の一般記憶領域46に予め記憶させるとともに、その呼び出しの際には、所定の認証要求が持出し管理アプリケーション32から発行されるようにしておくことが望ましい(図8(c)と同じ構成)。このような構成にすることにより、持出し管理アプリケーション32の認証要求に対し正しい認証がなされた場合のみ、持出し管理アプリケーション32がパーソナルコンピュータ30上において使用可能となる。このような構成下ではアプリケーションプログラムが情報処理端末内に置かれないため、アプリケーションプログラムの改ざんのような不正行為に対しても信頼性の高い保護機能が得られる。また、持出し管理アプリケーション32に対するアクセスログをログ管理サーバ20、ログ記憶領域47に記憶させてもよい。
【0065】
例えば、パーソナルコンピュータ30が、メモリカード40に対し、所定の認証情報(認証鍵)とともに持出し管理アプリケーション32を発行するよう要求し、パーソナルコンピュータ30が受信した持出し管理アプリケーション32を起動すると、持出し管理アプリケーション32とメモリカード40との間で認証情報を用いて持出し管理アプリケーション32の認証処理を行うような構成にすることができる。このようなアプリケーションの認証技術については、例えば特開2005−71328号公報に開示されているような方法を使用することができる。
【0066】
以上、本発明の各種実施形態を説明したが、本発明は前記実施形態において示された事項に限定されず、明細書の記載、並びに周知の技術に基づいて、当業者がその変更・応用することも本発明の予定するところであり、保護を求める範囲に含まれる。
【産業上の利用可能性】
【0067】
本発明によれば、信頼性の高い情報漏洩防止対策が達成され、高い情報漏洩防止機能を備えた記憶媒体、データサーバ、情報セキュリティシステムが提供される。
【図面の簡単な説明】
【0068】
【図1】本発明の情報セキュリティシステムの全体構成図
【図2】データサーバの情報フォルダの例を示す図
【図3】機密区分の例を示す図
【図4】ログ管理サーバの持出しリストの例を示す図
【図5】アクセスログの例を示す図
【図6】メモリカードの内部ブロック図
【図7】情報セキュリティシステムの動作シーケンス図
【図8】パーソナルコンピュータ上でのメモリカード内へのアクセス手順の具体例
【図9】パーソナルコンピュータ上でのデータサーバとメモリカードの間でのデータ移動手順の具体例を示す図
【符号の説明】
【0069】
10 データサーバ
12 情報フォルダ
20 ログ管理サーバ
22 持出しリスト
30 パーソナルコンピュータ
32 持出し管理アプリケーション
40 メモリカード
41 制御部
42 ICチップ
43 不揮発性メモリ領域
44 カードアプリケーション
45 セキュア記憶領域
46 一般記憶領域
47 ログ記憶領域
100 ネットワーク
【特許請求の範囲】
【請求項1】
所定の機密区分を有する本体データを蓄積したサーバと情報処理端末を介して前記本体データのやり取りが可能で、
前記機密区分を特定する機密属性データと前記本体データを関連付けて記憶可能な可搬型記憶媒体。
【請求項2】
請求項1記載の可搬型記憶媒体であって、
前記機密区分に応じて前記本体データに対するアクセス制限を行う可搬型記憶媒体。
【請求項3】
請求項2記載の可搬型記憶媒体であって、
前記アクセス制限を制御するアプリケーションを格納した半導体チップを備える可搬型記憶媒体。
【請求項4】
請求項2または3記載の可搬型記憶媒体であって、
前記アクセス制限が前記本体データの印刷禁止及び複製禁止を含む可搬型記憶媒体。
【請求項5】
請求項3記載の可搬型記憶媒体であって、
前記可搬型記憶媒体は一般記憶領域とセキュア記憶領域を備え、
前記一般記憶領域は、前記情報処理端末から直接読み書きすることができる記憶領域より構成され、
前記セキュア領域は、前記半導体チップに格納されたアプリケーションのアクセス制御の下で前記情報処理端末から読み書きすることができる記憶領域より構成され、
前記機密属性データと前記本体データが互いに関連付けられて前記セキュア記録領域に前記アプリケーションのアクセス制御の下で保持される可搬型記憶媒体。
【請求項6】
請求項5記載の可搬型記憶媒体であって、
前記可搬型記憶媒体は前記一般記憶領域内に、前記本体データのアプリケーションプログラムを保持し、
当該アプリケーションプログラムにより定められた認証要求を満たすことにより、前記情報処理端末上において当該アプリケーションプログラムが使用可能となる可搬型記憶媒体。
【請求項7】
請求項1ないし6のいずれか1項記載の可搬型記憶媒体であって、
前記本体データへのアクセス履歴に関するアクセスログを記憶するアクセスログ記憶領域を備える、可搬型記憶媒体。
【請求項8】
請求項1ないし7のいずれか1項記載の可搬型記憶媒体であって、
当該可搬型記憶媒体は前記情報処理端末に着脱可能なメモリカードより構成される可搬型記憶媒体。
【請求項9】
所定の機密区分を有する本体データと前記機密区分を特定する機密属性データと前記本体データを関連付けて記憶した記憶媒体と、情報処理端末を介してデータのやり取りが可能であり、
前記本体データと前記機密属性データとを互いに関連付けて蓄積し、前記本体データへのアクセス履歴に関するアクセスログを記憶するサーバ装置。
【請求項10】
所定の機密区分を有する本体データを蓄積したサーバと情報処理端末を介して前記本体データのやり取りが可能で、前記機密区分を特定する機密属性データと前記本体データを関連付けて記憶可能な可搬型記憶媒体と、
前記記憶媒体と、情報処理端末を介してデータのやり取りが可能であり、前記本体データと前記機密属性データとを互いに関連付けて蓄積し、前記本体データへのアクセス履歴に関するアクセスログを記憶するサーバ装置とを備えた、
情報セキュリティシステム。
【請求項11】
請求項10記載の情報セキュリティシステムであって、
本体データへのアクセス履歴に関するアクセスログが、前記サーバ及び前記可搬型記憶媒体各々に記憶される情報セキュリティシステム。
【請求項1】
所定の機密区分を有する本体データを蓄積したサーバと情報処理端末を介して前記本体データのやり取りが可能で、
前記機密区分を特定する機密属性データと前記本体データを関連付けて記憶可能な可搬型記憶媒体。
【請求項2】
請求項1記載の可搬型記憶媒体であって、
前記機密区分に応じて前記本体データに対するアクセス制限を行う可搬型記憶媒体。
【請求項3】
請求項2記載の可搬型記憶媒体であって、
前記アクセス制限を制御するアプリケーションを格納した半導体チップを備える可搬型記憶媒体。
【請求項4】
請求項2または3記載の可搬型記憶媒体であって、
前記アクセス制限が前記本体データの印刷禁止及び複製禁止を含む可搬型記憶媒体。
【請求項5】
請求項3記載の可搬型記憶媒体であって、
前記可搬型記憶媒体は一般記憶領域とセキュア記憶領域を備え、
前記一般記憶領域は、前記情報処理端末から直接読み書きすることができる記憶領域より構成され、
前記セキュア領域は、前記半導体チップに格納されたアプリケーションのアクセス制御の下で前記情報処理端末から読み書きすることができる記憶領域より構成され、
前記機密属性データと前記本体データが互いに関連付けられて前記セキュア記録領域に前記アプリケーションのアクセス制御の下で保持される可搬型記憶媒体。
【請求項6】
請求項5記載の可搬型記憶媒体であって、
前記可搬型記憶媒体は前記一般記憶領域内に、前記本体データのアプリケーションプログラムを保持し、
当該アプリケーションプログラムにより定められた認証要求を満たすことにより、前記情報処理端末上において当該アプリケーションプログラムが使用可能となる可搬型記憶媒体。
【請求項7】
請求項1ないし6のいずれか1項記載の可搬型記憶媒体であって、
前記本体データへのアクセス履歴に関するアクセスログを記憶するアクセスログ記憶領域を備える、可搬型記憶媒体。
【請求項8】
請求項1ないし7のいずれか1項記載の可搬型記憶媒体であって、
当該可搬型記憶媒体は前記情報処理端末に着脱可能なメモリカードより構成される可搬型記憶媒体。
【請求項9】
所定の機密区分を有する本体データと前記機密区分を特定する機密属性データと前記本体データを関連付けて記憶した記憶媒体と、情報処理端末を介してデータのやり取りが可能であり、
前記本体データと前記機密属性データとを互いに関連付けて蓄積し、前記本体データへのアクセス履歴に関するアクセスログを記憶するサーバ装置。
【請求項10】
所定の機密区分を有する本体データを蓄積したサーバと情報処理端末を介して前記本体データのやり取りが可能で、前記機密区分を特定する機密属性データと前記本体データを関連付けて記憶可能な可搬型記憶媒体と、
前記記憶媒体と、情報処理端末を介してデータのやり取りが可能であり、前記本体データと前記機密属性データとを互いに関連付けて蓄積し、前記本体データへのアクセス履歴に関するアクセスログを記憶するサーバ装置とを備えた、
情報セキュリティシステム。
【請求項11】
請求項10記載の情報セキュリティシステムであって、
本体データへのアクセス履歴に関するアクセスログが、前記サーバ及び前記可搬型記憶媒体各々に記憶される情報セキュリティシステム。
【図6】
【図1】
【図2】
【図3】
【図4】
【図5】
【図7】
【図8】
【図9】
【図1】
【図2】
【図3】
【図4】
【図5】
【図7】
【図8】
【図9】
【公開番号】特開2006−343887(P2006−343887A)
【公開日】平成18年12月21日(2006.12.21)
【国際特許分類】
【出願番号】特願2005−167590(P2005−167590)
【出願日】平成17年6月7日(2005.6.7)
【出願人】(000005821)松下電器産業株式会社 (73,050)
【Fターム(参考)】
【公開日】平成18年12月21日(2006.12.21)
【国際特許分類】
【出願日】平成17年6月7日(2005.6.7)
【出願人】(000005821)松下電器産業株式会社 (73,050)
【Fターム(参考)】
[ Back to top ]