JP2006228139A - Security management system - Google Patents
Security management system Download PDFInfo
- Publication number
- JP2006228139A JP2006228139A JP2005044473A JP2005044473A JP2006228139A JP 2006228139 A JP2006228139 A JP 2006228139A JP 2005044473 A JP2005044473 A JP 2005044473A JP 2005044473 A JP2005044473 A JP 2005044473A JP 2006228139 A JP2006228139 A JP 2006228139A
- Authority
- JP
- Japan
- Prior art keywords
- file
- environmental condition
- condition information
- access
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
この発明は、セキュリティ管理システムに関し、特に、可搬記憶媒体もしくは携帯端末装置にファイルがコピーされて持ち出される場合を想定したセキュリティ管理システムに関する。 The present invention relates to a security management system, and more particularly to a security management system that assumes a case where a file is copied to a portable storage medium or a portable terminal device and taken out.
従来の不正使用防止方法においては、システムのハードディスクに記載されたデータに対するユーザのアクセスを可能とするためのパスワードをシステムの記憶手段に記憶させておき、ユーザが入力したパスワードと記憶手段に記憶されているパスワードとが一致した場合にのみハードディスクのデータへのアクセスを許可するようにしている(例えば、特許文献1参照。)。 In the conventional method for preventing unauthorized use, a password for enabling the user to access data written on the hard disk of the system is stored in the storage means of the system and stored in the storage means and the password entered by the user. The access to the data on the hard disk is permitted only when the current password matches (see, for example, Patent Document 1).
このような方法をとることにより、万一、ハードディスクが盗難等により他のシステムに組み込まれても、データを読み出すことができないようにしている。 By adopting such a method, the data cannot be read even if the hard disk is incorporated into another system due to theft or the like.
従来の不正使用防止方法においては、パスワードを知り得た場合には、他のシステムの記憶手段に当該パスワードを記憶させてしまえば、データをアクセスすることが可能になってしまい、結果的に情報漏洩が発生してしまうという問題点があった。 In the conventional method of preventing unauthorized use, if the password is known, it is possible to access the data if the password is stored in the storage means of another system. There was a problem that leakage occurred.
また、パスワードを知っているユーザがハードディスクにアクセスして、フレキシブルディスク(以下、FDとする。)等の可搬記憶媒体にファイルをコピーして持ち出した場合には、他の場所でのアクセスが可能となってしまい、結果的に情報漏洩が発生してしまうという問題点があった。 In addition, when a user who knows the password accesses the hard disk and copies the file to a portable storage medium such as a flexible disk (hereinafter referred to as FD), the user can access it at another location. As a result, there is a problem that information leakage occurs.
この発明は、意図しないファイルの移動・コピーが行われた場合にも、元々保存されていた場所と異なる場所でのアクセスができないようにすることにより、情報漏洩を防止することが可能なセキュリティ管理システムを得ることを目的としている。 The present invention is a security management capable of preventing information leakage by preventing access at a location different from the originally stored location even when an unintended file is moved or copied. The goal is to obtain a system.
この発明は、セキュリティ管理対象のファイルに、前記ファイルが使用できる環境条件を示す環境条件情報を付加する環境条件情報付加手段と、前記ファイルを、付加された前記環境条件情報とともに、暗号化する第1の暗号化手段と、前記第1の暗号化手段により暗号化された前記ファイルを、予め設定されている所定の管理対象データ領域に保存する保存手段と、前記ファイルを開くための指令の入力を検出するアクセス検出手段と、前記ファイルを、付加されている前記環境条件情報とともに、復号する復号手段と、復号された前記環境条件情報と、現在の前記ファイルの環境条件とを比較する比較手段と、前記比較手段による比較の結果、前記環境条件情報と前記現在の環境条件が一致した場合にのみ、前記ファイルへのアクセスを許可して前記ファイルを開くアクセス許可手段とを備えたことを特徴とするセキュリティ管理システムである。 According to the present invention, environmental condition information adding means for adding environmental condition information indicating an environmental condition in which the file can be used to a security management target file, and the file is encrypted together with the added environmental condition information. 1 encryption means, storage means for saving the file encrypted by the first encryption means in a predetermined management target data area, and input of a command for opening the file Access detecting means for detecting the file, decoding means for decoding the file together with the environmental condition information added thereto, comparing means for comparing the decoded environmental condition information and the current environmental condition of the file As a result of comparison by the comparison means, access to the file is performed only when the environmental condition information matches the current environmental condition. A security management system which is characterized in that a permission means for opening the file variable.
この発明は、セキュリティ管理対象のファイルに、前記ファイルが使用できる環境条件を示す環境条件情報を付加する環境条件情報付加手段と、前記ファイルを、付加された前記環境条件情報とともに、暗号化する第1の暗号化手段と、前記第1の暗号化手段により暗号化された前記ファイルを、予め設定されている所定の管理対象データ領域に保存する保存手段と、前記ファイルを開くための指令の入力を検出するアクセス検出手段と、前記ファイルを、付加されている前記環境条件情報とともに、復号する復号手段と、復号された前記環境条件情報と、現在の前記ファイルの環境条件とを比較する比較手段と、前記比較手段による比較の結果、前記環境条件情報と前記現在の環境条件が一致した場合にのみ、前記ファイルへのアクセスを許可して前記ファイルを開くアクセス許可手段とを備えたことを特徴とするセキュリティ管理システムであるので、現在のファイルの環境条件と予め登録されている環境条件情報とが完全に一致しない場合にはファイルを開かないようにしたため、意図しないファイルの移動・コピーが行われた場合にも、元々保存されていた場所と異なる場所でのアクセスができないようにすることにより、情報漏洩を防止することができる。 According to the present invention, environmental condition information adding means for adding environmental condition information indicating an environmental condition in which the file can be used to a security management target file, and the file is encrypted together with the added environmental condition information. 1 encryption means, storage means for saving the file encrypted by the first encryption means in a predetermined management target data area, and input of a command for opening the file Access detecting means for detecting the file, decoding means for decoding the file together with the environmental condition information added thereto, comparing means for comparing the decoded environmental condition information and the current environmental condition of the file As a result of comparison by the comparison means, access to the file is performed only when the environmental condition information matches the current environmental condition. Since the security management system is characterized by comprising an access permission means for opening the file, when the environmental condition of the current file does not completely match the environmental condition information registered in advance Since the file is not opened, even if an unintended file is moved or copied, information leakage can be prevented by preventing access to a location different from the location where it was originally saved. it can.
実施の形態1.
この発明に係るセキュリティ管理システムは、情報漏洩防止の対象物そのもの(ファイルなど)に、保存されているロケーションおよび周辺環境についての情報を付与する。それにより、意図しない対象物の移動・コピーが行われた場合に、元々保存されていた場所と異なる環境では、対象物自体にロックが掛かり開くことが出来なくなり、対象物そのものを持ち出された場合においても、内容の閲覧等が不可能となる構成を有している。
The security management system according to the present invention assigns information about the stored location and the surrounding environment to the information leakage prevention target object itself (such as a file). As a result, when an object is moved or copied unintentionally, the object itself is locked and cannot be opened in an environment different from the place where it was originally stored, and the object itself is taken out. However, the contents cannot be browsed.
図1は、この発明の実施の形態1に係るセキュリティ管理システムの構成を示した構成図である。図1に示すように、セキュリティ管理対象のファイルが保存される管理対象サーバ1は、ネットワーク2を介して、複数の端末3および4に接続されている。また、携帯端末等の他のコンピュータ5がネットワーク2に接続される場合もある。管理対象サーバ1にはファイル作成手段10が設けられている。ファイル作成手段10は、ファイル作成者が使用している端末3からネットワーク2を介して入力される指令およびデータに基づいてファイル21を作成するものである。また、第2の暗号化手段11が設けられており、ファイル作成手段10により作成されたファイル21を暗号化する。また、環境条件情報付加手段12が設けられており、第2の暗号化手段11により暗号化されたセキュリティ管理対象のファイル21に、ファイル21が使用できる環境条件を示す環境条件情報22を付加する。また、第1の暗号化手段13が設けられており、環境条件情報22が付加されたファイル21を、付加された環境条件情報22とともに暗号化して暗号化ファイル20を作成する。また、保存手段14が設けられており、第1の暗号化手段13により暗号化された暗号化ファイル20を、管理対象サーバ1内に設けられた記憶装置15内の予め設定されている所定の管理対象データ領域に保存する。
環境条件情報22は、後述する情報で構成されているが、端末3または、管理対象サーバ1に接続された入力装置(図示せず)から入力された情報に基づき、構成される。ファイル21の作成を指令される端末に関する情報は、作成を指令されたときに、同時に特定情報を送信するように構成してもよい。
FIG. 1 is a configuration diagram showing a configuration of a security management system according to
The
さらに、管理対象サーバ1内には、アクセス検出手段16が設けられている。アクセス検出手段16は、ネットワーク2を介して、端末2または4あるいは他のコンピュータ5から、管理対象データ領域に保存されているセキュリティ管理対象のファイル21を開くための指令が入力されたことを検出する。また、復号手段17が設けられており、第1の暗号化手段13により暗号化されたファイル21を付加情報の環境条件情報22とともに復号する。また、比較手段18が設けられており、復号された環境条件情報22と、現在のファイル21の環境条件とを比較する。また、アクセス許可手段19が設けられており、比較手段18による比較の結果、環境条件情報22と現在の環境条件が一致した場合にのみ、ファイル21へのアクセスを許可して、第2の暗号化手段によって暗号化されているファイル21を復号して開く。
Furthermore, access detection means 16 is provided in the
なお、図1において、端末4は、ファイル21へのアクセス権限を有していないユーザ(第三者)が使用している端末である。また、他のコンピュータ5内には、管理対象データ領域に保存されているファイル20がネットワーク2を介して第三者によってコピーまたは移動されたファイル20が記憶されている。同様に、フレキシブルディスク等の可搬記憶媒体30内には、管理対象データ領域に保存されているファイル20が第三者によってコピーまたは移動されたファイル20が記憶されている。
In FIG. 1, the
次に、動作について説明する。まず、はじめに、この発明に係るセキュリティ管理システムを管理対象サーバ1に構築するための動作について説明する。セキュリティ管理システムを構築するためには、管理対象サーバ1に、図1で示した手段10〜19の動作を実行するためのソフトウエア(以下、セキュリティ管理プログラムとする。)を搭載する。次に、管理対象サーバ1内に設けられている記憶装置15内の所定の領域を、管理対象データ領域に設定する。これにより、この発明のセキュリティ管理システムは管理対象サーバ1に構築される。
Next, the operation will be described. First, an operation for constructing the security management system according to the present invention in the
次に、図2を参照しながら、この発明のセキュリティ管理システムにおけるファイル作成動作について説明する。まずはじめに、ステップS1で、ファイル作成者がユーザ認証を行って端末3にログインする。ログイン時のユーザ認証は、ユーザ名とパスワードとを入力することにより行ってもよいが、セキュリティ性を向上させるために、指紋などの生体認証情報を用いて行うようにしてもよい。次に、ファイル作成者は、ファイルを作成するためのワープロソフトウエアまたは表作成ソフトウエア等のファイル作成ソフトウエアを起動して、作成するファイルがセキュリティ管理対象ファイルか否かを端末3に入力する。入力方法としては、例えば、図3に示すように、自動的にウインドウが開いて、「作成するファイルはセキュリティ管理対象ですか」等のメッセージが表示され、ファイル作成者が当該メッセージに促されて、「はい」ボタンまたは「いいえ」ボタンをクリックする。「はい」ボタンをクリックした場合には、セキュリティ管理プログラムが起動され、一方、「いいえ」ボタンをクリックした場合には、通常のファイル作成動作を行う。以下では、セキュリティ管理プログラムが起動した場合を説明する。次に、ステップS2で、ファイル作成者が端末3を操作して必要なデータおよび指示を入力することにより、ファイル作成手段10がセキュリティ管理対象のファイル21を作成する。次に、ステップS3で、ファイル作成者が、「ファイル保存」の操作を入力すると(「名前を付けて保存」のメニュー項目を選択してクリックすると)、作成したファイル21を第2の暗号化手段11が暗号化する。当該暗号化は、ファイル作成者がユーザIDと暗号用パスワードを入力したときに行えるようにしてもよい。あるいは、暗号鍵が格納されているICカードをファイル作成者が保有していて、ICカードの情報をファイル作成者が端末3のリーダにより読み込ませたときにのみ行えるような構成にしておいてもよい。次に、ステップS4で、ファイル21に対して、その外側に、環境条件情報22を付加して、セキュリティ管理プログラム専用のファイル形式でファイル20を生成する。
Next, a file creation operation in the security management system of the present invention will be described with reference to FIG. First, in step S1, the file creator performs user authentication and logs in to the terminal 3. User authentication at the time of login may be performed by inputting a user name and a password, but may be performed using biometric authentication information such as a fingerprint in order to improve security. Next, the file creator activates file creation software such as word processing software or table creation software for creating the file, and inputs to the terminal 3 whether or not the file to be created is a security management target file. . As an input method, for example, as shown in FIG. 3, a window automatically opens and a message such as “Is the file to be created a security management target” is displayed, and the file creator is prompted by the message. Click the “Yes” or “No” button. When the “Yes” button is clicked, the security management program is started, while when the “No” button is clicked, a normal file creation operation is performed. Hereinafter, a case where the security management program is started will be described. Next, in step S2, the file creator operates the terminal 3 to input necessary data and instructions, so that the file creation means 10 creates the
環境条件情報22には以下のものが含まれている。
(1)ファイル21のネットワーク2上の本来の所在情報
(1a)管理対象サーバ1のIPアドレス
(1b)管理対象サーバ1のコンピュータ名
(1c)ファイル21が保存されるボリュームおよびディレクトリ名
(1d)必要に応じて、使用が許可されている端末の情報
(2)ファイル21の本来の所属とアクセス権限
(2a)ファイル21が所属する部署名のID番号
(2b)ファイル21に対するアクセス権限(使用を許可されたユーザID)
なお、アクセス権限は、複数付加することができる。すなわち、使用を許可されたユーザが複数人いる場合には、それらのすべてのユーザのユーザIDを付加することができる。また、ファイル21の使用が許可される環境が上記以外にある場合には、その情報も付加することができる。例えば、管理対象サーバ1上だけでなく、他のコンピュータ5にコピーまたは移動してファイル20を使用することが許可されている場合には、当該コンピュータ5を特定できる情報も付加しておく。
また、(1d)に記載した、使用が許可されている端末の情報としては、端末のIPアドレス、プロトコル番号、PORI番号等が考えられ、それらの情報のいずれか1つまたは、組み合わせで構成することができる。上述の、(1a)〜(1c)は管理対象サーバ1で予め記憶している情報であるが、(1d)、(2a)〜(2b)は端末3からファイル作成指示(ステップS2)と同時に、送信される情報である。また、全ての情報を端末3から送信されるように構成してもよいし、端末3に特定して、環境条件情報を決める場合には、管理対象サーバ1で予め記憶しているように構成してもよい。
The
(1) Original location information of
A plurality of access authorities can be added. That is, when there are a plurality of users who are permitted to use, the user IDs of all these users can be added. In addition, when there is an environment other than the above in which the use of the
In addition, as the information of the terminal permitted to use described in (1d), the IP address, protocol number, PORI number, etc. of the terminal can be considered, and it is configured by any one or a combination of these information. be able to. The above (1a) to (1c) are information stored in advance in the managed
次に、ステップS5で、環境条件情報22を含むファイル20全体を第1の暗号化手段13により暗号化する。次に、ステップS6で、記憶装置15内に予め設定されている管理対象データ領域に暗号化ファイル20が保存される。このときに、特有の拡張子(例えば、“○○.x”)がファイル名の後ろに付加される。以後、この拡張子により、ファイル20が管理すべきファイルか否かの判別が行われるため、この拡張子を、ファイル20の識別子と呼ぶこととする。これで、当該ファイル20は、セキュリティ管理対象ファイルとなり、環境条件情報22と一致する環境条件においてのみ使用可能なファイルとなる。このように、ファイル作成者は、ファイル作成前に図3に示すウインドウで管理すべきファイルであることを指定しておけば、ファイル作成後に、単に通常時と同様に「ファイル保存」操作を行うことにより、自動的に、作成したファイル21が暗号化され環境条件情報22が付加され、再度暗号化された上で、記憶装置15内の管理対象データ領域に保存される。そのため、ファイル保存の際に管理対象データ領域を「保存先」として指定する必要もなく、自動的に、そこに保存されるので、不注意によるミスを防止でき、安全である。
Next, in step S5, the
次に、図4を参照しながら、ファイル20をアクセスする操作について説明する。第三者が使用している端末4において、ファイル20を開く操作が行われると、ステップS10において、アクセス検出手段16が、ファイル20の識別子(ファイルの拡張子)により、当該操作があったことを検知して、セキュリティ管理プログラムが起動される。次に、ステップS11において、第1の暗号化手段によって暗号化されているファイル20が復号できるか否かを判定する。復号できない場合には、ステップS17に進み、ファイルへのアクセスが許可できない旨のメッセージ(「このファイルへはアクセスできません。」)を端末4の画面に表示して、処理を終了する。一方、復号できると判定された場合には、ステップS12において、ファイル20を復号する。次に、ステップS13において、復号されたファイル20の環境条件情報22のうちのファイル21の所在情報(管理対象サーバ1のIPアドレスおよびコンピュータ名、管理対象データ領域のボリューム名およびディレクトリ名、等)と現在のファイル20の所在とを比較する。この場合には、ファイル20は本来の所在にあるので、比較結果はOKとなる。次に、ステップS14において、復号されたファイル20の環境条件情報のうちのアクセス権限情報(ファイル21の所属とアクセス権限、等)と現在のアクセス権(端末4の使用者の所属とファイル21へのアクセス権限の有無)とを比較する。この場合は、アクセスを許可されていない第三者からのアクセスであるため、所属または/およびアクセス権限が一致しないので、比較結果はNGとなる。そのため、ステップS17に進み、上記のメッセージが表示されて処理が終了される。
Next, an operation for accessing the
図4において、アクセス権限を有しているユーザが端末3からアクセスした場合を説明する。ステップS10〜S13までの処理は上記の場合と同じである。ステップS14において、復号されたファイル20の環境条件情報のうちのアクセス権限情報(ファイル20の所属とアクセス権限、等)と現在のアクセス権(端末3の使用者の所属とファイル20へのアクセス権限の有無)とを比較する。この場合は、アクセスを許可されている使用者からのアクセスであるため、所属およびアクセス権限が一致するので、比較結果はOKとなる。そのため、ステップS15に進み、第2の暗号化手段11により暗号化されたファイル21が復号され、ステップS16において、ファイル21が開かれる。
In FIG. 4, a case where a user having access authority accesses from the terminal 3 will be described. The processing from step S10 to step S13 is the same as that described above. In step S14, access authority information (the affiliation and access authority of the
次に、他のコンピュータ5によるアクセスの場合について図4を用いて説明する。ここで、他のコンピュータ5には、ファイル20がコピーまたは移動されて格納されている。まずはじめに、第三者によるアクセスの場合について説明する。この場合には、ステップS11で、ファイル20の復号ができない場合には、ステップS17に進み、処理が終了する。また、復号ができた場合にも、ステップS13において、現在のファイル20の所在が管理対象サーバ1の記憶装置15の管理対象データ領域でないため、所在条件情報22の所在情報と一致しないので、本来の所在にないことがネットワーク情報からセキュリティ管理プログラムの比較手段18によって認知され、比較結果はNGとなり、ステップS17に進み、処理が終了する。
Next, the case of access by another
一方、他のコンピュータ5におけるアクセスが予め許可されていて、環境条件情報22に他のコンピュータ5を特定する情報が含まれていた場合には、ステップS13およびS14の比較の結果、所在およびアクセス権限が環境条件情報22と一致すれば、ステップS15でファイル21が復号されて、ステップS16でファイル21が開かれる。なお、この場合の所在条件は、他のコンピュータ5が予め登録されている場所で所定のネットワークに接続された場合のみとしてもよく、その場合には、同じ使用者による想定外の使用(例えば、自宅でのアクセス)等を禁止することができる。
On the other hand, when access in the
次に、図4において、可搬記憶媒体30にファイル20が移動またはコピーされている場合について説明する。この場合には、ステップS11で、ファイル20の復号ができない場合には、ステップS17に進み、処理が終了する。また、復号ができた場合にも、ステップS13において、現在のファイル20の所在が管理対象サーバ1の記憶装置15の管理対象データ領域でないため、所在条件情報22の所在情報と一致しないので、本来の所在にないことがネットワーク情報からセキュリティ管理プログラムの比較手段18によって認知され、比較結果はNGとなり、ステップS17に進み、処理が終了する。
Next, a case where the
以上のように、本実施の形態においては、ファイル21を作成したときに、アクセスを許可する環境条件情報22(所在情報とアクセス権限)をファイル21に付加して、ファイル20とし、それを暗号化して、所定の管理対象サーバ1の記憶装置15の管理対象データ領域に保存する。ファイル21にアクセスしたい場合には、現在のファイルの所在情報と使用者のアクセス権限との両方が環境条件情報22と一致した場合にのみ、アクセス可能としたので、第三者が端末4からアクセスしようとしたり、あるいは、他のコンピュータ5や可搬記憶媒体30にファイル20をコピーまたは移動させてアクセスしようとしたりしても、現在のファイルの所在情報と使用者のアクセス権限との少なくともいずれか一方が環境条件情報22と一致しないので、ファイル21を開くことはできない。従って、ファイルの意図しない移動・コピーが行われた場合にも、元々保存されていた場所と異なる場所でのアクセスができないようにすることが可能になり、情報漏洩を防止することができる。また、ファイル20を持ち出しても、登録された環境以外ではファイル20を開くことができないので、ファイル20の持ち出し自体が意味のないことであることを各使用者に徹底させ、持ち出し意欲をなくすように促進することができる。さらに、ファイル21およびファイル20を暗号化して、アクセス権限を有している使用者しか復号できないようにしたので、さらにセキュリティが向上する。
また、環境条件情報22に含まれる項目を前述したが、それらの項目はいずれかの組み合わせで構成してもよい。
As described above, in the present embodiment, when the
Moreover, although the item contained in the
実施の形態2.
上記の実施の形態1においては、環境条件情報22の本来のファイルの所在情報として、管理対象サーバ1のIPアドレスを用いる例について説明した。本実施の形態においては、セキュリティ性をさらに向上させるために、所在情報として、アクセスを許可された端末にパケットを送信するルータのIPアドレスを指定する。図5は、本実施の形態における構成図である。図5において、アクセスを許可された端末31は、ルータ32と近接しているとする。そのとき、端末31から作成を指令したファイルに関する環境条件情報22には、ルータ32のIPアドレスを登録する。なお、ルータ32のIPアドレスは、端末31の「デフォルトゲートウェイ」として登録されているので、「デフォルトゲートウェイ」のIPアドレスを取得することにより、端末31からファイル作成指示と一緒に、送信するように構成することができる。
また、ルータ34と近接している携帯端末33からのアクセルを許可するときは、携帯端末33から「デフォルトゲートウェイ」のIPアドレス情報を取得して、端末33からファイル作成指示と一緒に、送信する。
上述の許可されている端末に近接ルータのIPアドレスは、許可されている端末に関する情報として、管理対象サーバ1に予め記憶しておいてもよい。
さらに、管理対象サーバ1に近接したルータのIPアドレスを、環境条件情報22に含めることも可能であり、これにより、システム上に複数個の管理対象サーバ1が存在しても該当の管理対象サーバ1を特定する情報となる。
In the first embodiment, the example in which the IP address of the
When permitting an accelerator from the
The IP address of the neighboring router for the above-described permitted terminal may be stored in advance in the managed
Further, the IP address of the router adjacent to the managed
実施の形態3.
本実施の形態においては、管理対象サーバ1と端末との間のデータの送信時間(の平均値)を、環境条件情報22の所在情報とする例について説明する。本実施の形態においては、管理対象サーバ1と端末との間のデータの送信時間を予め測定しておき、当該送信時間の測定結果から、所定のしきい値を設けて、所定のしきい値よりも送信時間がかかる場合には、想定しない端末からのアクセスであると判定して、アクセス不許可とするようにする。
Embodiment 3 FIG.
In the present embodiment, an example will be described in which the transmission time (average value) of data between the managed
以上のように、本実施の形態においては、データの送信時間を登録しておいて、所定のしきい値よりも送信時間が長い場合には、ファイル20にアクセスできないようにしたので、他の端末からのなりすまし操作を防止することができる。
As described above, in the present embodiment, the data transmission time is registered, and when the transmission time is longer than a predetermined threshold, the
実施の形態4.
本実施の形態においては、環境条件情報22として、アクセス可能な期間あるいは時間帯を予め登録するようにする。これにより、アクセス可能な期間以外ではファイルへのアクセスは不許可となる。例えば、アクセス可能な期間を平日とすると、休日におけるファイル20へのアクセスは不正行為の可能性もあるため、不許可とすれば、セキュリティ性が向上する。また、アクセス可能な時間帯以外のアクセスは、例えば、業務時間外でのアクセスは、不正行為の可能性もあるため、不許可とすれば、セキュリティ性が向上する。
また、端末3の使用時間の特性(例えば、正当なユーザは平日の8時〜17時までしか使用しない)がわかっているときは、端末3から作成が指令されるファイルの環境条件情報22には、一定の使用許可時間帯を登録するように構成してもよい。
In the present embodiment, an accessible period or time zone is registered in advance as the
When the usage time characteristics of the terminal 3 (for example, a legitimate user uses only from 8:00 to 17:00 on weekdays) are known, the
また、ログインしている使用者の人数の閾値を環境条件情報22として登録しておき、同じ部署に所属している使用者が、所定の人数以上、自分の端末にログインしているときだけアクセス可能にしてもよい。
Also, the threshold value of the number of logged-in users is registered as
なお、上記の実施の形態1〜4においては、単に、暗号化として説明したが、当該暗号に用いる方式としては、共通鍵方式でも、公開鍵方式でも、あるいは、他の方式でも、いずれのものでもよく、使用状態や使用環境等に合わせて適宜設定するようにしてもよい。
In
1 管理対象サーバ、2 ネットワーク、3 端末(ファイル作成者)、4 端末4(第三者)、5 他のコンピュータ、10 ファイル作成手段、11 第2の暗号化手段、12 環境条件情報付加手段、13 第1の暗号化手段、14 保存手段、15 記憶手段、16 アクセス検出手段、17 復号手段、18 比較手段、19 アクセス許可手段、20,21 ファイル、22 環境条件情報、30 可搬記憶媒体。 1 server to be managed, 2 network, 3 terminal (file creator), 4 terminal 4 (third party), 5 other computer, 10 file creating means, 11 second encryption means, 12 environmental condition information adding means, 13 First encryption means, 14 storage means, 15 storage means, 16 access detection means, 17 decryption means, 18 comparison means, 19 access permission means, 20, 21 file, 22 environmental condition information, 30 portable storage medium.
Claims (3)
前記ファイルを、付加された前記環境条件情報とともに、暗号化する第1の暗号化手段と、
前記第1の暗号化手段により暗号化された前記ファイルを、予め設定されている所定の管理対象データ領域に保存する保存手段と、
前記ファイルを開くための指令の入力を検出するアクセス検出手段と、
前記ファイルを、付加されている前記環境条件情報とともに、復号する復号手段と、
復号された前記環境条件情報と、現在の前記ファイルの環境条件とを比較する比較手段と、
前記比較手段による比較の結果、前記環境条件情報と前記現在の環境条件が一致した場合にのみ、前記ファイルへのアクセスを許可して前記ファイルを開くアクセス許可手段と
を備えたことを特徴とするセキュリティ管理システム。 Environmental condition information adding means for adding environmental condition information indicating an environmental condition that the file can be used to a security management target file;
First encryption means for encrypting the file together with the added environmental condition information;
Storage means for storing the file encrypted by the first encryption means in a predetermined management target data area;
Access detecting means for detecting an input of a command for opening the file;
Decryption means for decrypting the file together with the attached environmental condition information;
A comparing means for comparing the decrypted environmental condition information with the current environmental condition of the file;
Access permitting means for permitting access to the file and opening the file only when the environmental condition information matches the current environmental condition as a result of the comparison by the comparing means. Security management system.
前記環境条件情報付加手段は、前記第2の暗号化手段により暗号化された前記ファイルに前記環境条件情報を付加するとともに、
前記アクセス許可手段は、アクセスを許可した場合に、前記第2の暗号化手段による暗号を復号してファイルを開く
ことを特徴とする請求項1または2に記載のセキュリティ管理システム。 Further comprising second encryption means for encrypting the file created by the file creation means;
The environmental condition information adding means adds the environmental condition information to the file encrypted by the second encryption means,
3. The security management system according to claim 1, wherein, when access is permitted, the access permission unit decrypts the cipher by the second encryption unit and opens the file. 4.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005044473A JP2006228139A (en) | 2005-02-21 | 2005-02-21 | Security management system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005044473A JP2006228139A (en) | 2005-02-21 | 2005-02-21 | Security management system |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006228139A true JP2006228139A (en) | 2006-08-31 |
Family
ID=36989444
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005044473A Pending JP2006228139A (en) | 2005-02-21 | 2005-02-21 | Security management system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006228139A (en) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010086298A (en) * | 2008-09-30 | 2010-04-15 | Mizuho Information & Research Institute Inc | File delivery/reception system and method |
JP2012027599A (en) * | 2010-07-21 | 2012-02-09 | Nippon Business Engineering:Kk | Safety assurance system of file attached to electronic mail |
JP2012169778A (en) * | 2011-02-10 | 2012-09-06 | Fujitsu Broad Solution & Consulting Inc | Encryption processing program, encryption processor, and encryption processing method |
JP2013125414A (en) * | 2011-12-14 | 2013-06-24 | Secom Co Ltd | Data management system and server device |
JP2015092370A (en) * | 2014-12-11 | 2015-05-14 | 株式会社日本ビジネスエンジニアリング | Security system of attached file in electronic mail |
JP2016106330A (en) * | 2016-03-09 | 2016-06-16 | 株式会社日本ビジネスエンジニアリング | Safety securing system of attached file in electronic mail |
JP6464544B1 (en) * | 2018-06-05 | 2019-02-06 | デジタルア−ツ株式会社 | Information processing apparatus, information processing method, information processing program, and information processing system |
JP2019153881A (en) * | 2018-03-01 | 2019-09-12 | Sky株式会社 | File encryption system and file encryption program |
-
2005
- 2005-02-21 JP JP2005044473A patent/JP2006228139A/en active Pending
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010086298A (en) * | 2008-09-30 | 2010-04-15 | Mizuho Information & Research Institute Inc | File delivery/reception system and method |
JP4699503B2 (en) * | 2008-09-30 | 2011-06-15 | みずほ情報総研株式会社 | File delivery system and file delivery method |
JP2012027599A (en) * | 2010-07-21 | 2012-02-09 | Nippon Business Engineering:Kk | Safety assurance system of file attached to electronic mail |
JP2012169778A (en) * | 2011-02-10 | 2012-09-06 | Fujitsu Broad Solution & Consulting Inc | Encryption processing program, encryption processor, and encryption processing method |
JP2013125414A (en) * | 2011-12-14 | 2013-06-24 | Secom Co Ltd | Data management system and server device |
JP2015092370A (en) * | 2014-12-11 | 2015-05-14 | 株式会社日本ビジネスエンジニアリング | Security system of attached file in electronic mail |
JP2016106330A (en) * | 2016-03-09 | 2016-06-16 | 株式会社日本ビジネスエンジニアリング | Safety securing system of attached file in electronic mail |
JP2019153881A (en) * | 2018-03-01 | 2019-09-12 | Sky株式会社 | File encryption system and file encryption program |
JP7143088B2 (en) | 2018-03-01 | 2022-09-28 | Sky株式会社 | File encryption system and file encryption program |
JP6464544B1 (en) * | 2018-06-05 | 2019-02-06 | デジタルア−ツ株式会社 | Information processing apparatus, information processing method, information processing program, and information processing system |
JP2019212061A (en) * | 2018-06-05 | 2019-12-12 | デジタルア−ツ株式会社 | Information processing device, information processing method, information processing program and information processing system |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104662870B (en) | Data safety management system | |
KR101522445B1 (en) | Client computer for protecting confidential file, server computer therefor, method therefor, and computer program | |
US8949929B2 (en) | Method and apparatus for providing a secure virtual environment on a mobile device | |
USRE44364E1 (en) | Method of encrypting information for remote access while maintaining access control | |
JP4507623B2 (en) | Network connection system | |
Ye et al. | Security analysis of Internet-of-Things: A case study of august smart lock | |
US6990582B2 (en) | Authentication method in an agent system | |
JP2011507414A (en) | System and method for protecting data safety | |
JP2006228139A (en) | Security management system | |
CN105610671A (en) | Terminal data protection method and device | |
US20180053018A1 (en) | Methods and systems for facilitating secured access to storage devices | |
JP2010154419A (en) | Electronic file transmission method | |
KR100954841B1 (en) | Method and Apparatus of managing unity data on mobile device and Recording medium using this | |
JP2008537191A (en) | Digital information storage system, digital information security system, digital information storage and provision method | |
JP4084971B2 (en) | Data protection apparatus, data protection method and program used in electronic data exchange system | |
JP2009015766A (en) | User terminal, access management system, access management method, and program | |
JP5857862B2 (en) | Information processing apparatus and program | |
JP2007299053A (en) | Access control method and access control program | |
JP2008026925A (en) | File management program | |
KR101485968B1 (en) | Method for accessing to encoded files | |
WO2006058220A2 (en) | Protecting content objects with rights management information | |
JP2005309846A (en) | Database protection system | |
JP2006146744A (en) | Removable medium information management method and system | |
JP4119416B2 (en) | Document management system, document management server, document reproduction terminal, document management method, document reproduction method, document management program, and document reproduction program | |
JP2006190050A (en) | Multitask execution system and multitask execution method |