JP2003173284A - 送信制御可能なネットワークシステム - Google Patents

送信制御可能なネットワークシステム

Info

Publication number
JP2003173284A
JP2003173284A JP2001370824A JP2001370824A JP2003173284A JP 2003173284 A JP2003173284 A JP 2003173284A JP 2001370824 A JP2001370824 A JP 2001370824A JP 2001370824 A JP2001370824 A JP 2001370824A JP 2003173284 A JP2003173284 A JP 2003173284A
Authority
JP
Japan
Prior art keywords
data
transmission
file
information
network system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2001370824A
Other languages
English (en)
Other versions
JP4051924B2 (ja
Inventor
Shinji Ito
信治 伊藤
Kunihiko Miyazaki
邦彦 宮崎
Isao Echizen
功 越前
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2001370824A priority Critical patent/JP4051924B2/ja
Priority to US10/074,239 priority patent/US7047407B2/en
Priority to EP02003597A priority patent/EP1318645A3/en
Publication of JP2003173284A publication Critical patent/JP2003173284A/ja
Application granted granted Critical
Publication of JP4051924B2 publication Critical patent/JP4051924B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/214Monitoring or handling of messages using selective forwarding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks

Abstract

(57)【要約】 【課題】送信者の不注意による機密ファイルの漏洩を防
止すると同時に、任意のファイルフォーマットに対して
対応可能なネットワークシステムを提供する。 【解決手段】クライアント端末101内のファイル10
7に機密レベル(機密、非機密)を表すラベルを付け、
クライアント端末101はラベル付きファイル107を
外部へ送信する。ゲートウェイサーバ118上の送信管
理プログラム119がファイル107のラベルのチェッ
クを行い、機密レベルが非機密の場合に組織外ネットワ
ーク121へファイル107を送信する。また、ラベル
管理プログラム109がクライアント端末101内のラ
ベル付きファイル107の管理を行う。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は組織などで扱う機密
情報が外部に漏洩することを防止するための技術に関す
る。
【0002】
【従来の技術】企業などで扱う電子データには多くの社
外秘情報が含まれる。これらの電子データには、意図的
に文書内に「社外秘」と書き込むことによって閲覧者に
その電子データが社外秘であることを伝える。外部に漏
らさないように意識させることによって、社外秘データ
が外部に漏れることを防止している。しかしながら、と
きには社外秘データを不注意または意図的にメールで外
部に送信してしまう可能性がある。これらの問題に対し
て、サーバ側でメールの内容をキーワード検索すること
により、社外秘情報と思われるあらかじめ設定したキー
ワード(例:社外秘)が含まれていないかどうかのチェ
ックを行うことにより、そのキーワードが含まれていな
い場合には、そのまま送信を行い、含まれている場合に
は送信を停止する。
【0003】また、企業内においても幹部しか参照する
ことができない機密情報といったものが存在する。この
機密情報が権限のない社員に参照されないように、強制
アクセス制御機能を付加することにより、そのような機
密情報が一般社員に参照されないように情報フロー制御
を行うことが可能である。
【0004】強制アクセス制御については、文献[TCSE
C]:「Department of Defense Trusted Computer System
Evaluation Criteria」アメリカ国防総省標準(DOD 520
0.28-STD)に詳しい。また、従来、ネットワーク環境に
おけるマルチレベルセキュリティを実現するための技術
として、米国特許5,940,591がある。また、データを暗
号化して送信することにより、機密情報の第3者への漏
洩を防止する方法が、特開平8-204701号公報に開示され
ている。
【0005】
【発明が解決しようとする課題】キーワード検索に基づ
く情報漏洩を防止するシステムの場合、特定のデータフ
ォーマットに対して有効であるが、未対応のデータフォ
ーマットや文書情報が含まれない画像ファイルなどに対
しては有効ではない。
【0006】また、強制アクセス制御機能を備える計算
機の場合、その計算機内では十分な情報フロー制御を行
うことは可能であるが、別の計算機にデータが移動した
場合には、移動先の計算機のシステムに依存する為、デ
ータの機密レベルを保証することが困難となる。また、
強制アクセス制御機能を備える計算機は特殊用途向けに
利用されることが多く、汎用のアプリケーションを利用
できないため、一般の企業や組織には普及しずらい。
【0007】また、上記米国特許5,940,591号では、
(1)ユーザ単位のアクセス制御は提供されているもの
のファイル単位のアクセス制御は行えない、(2)送信
のたびにSMへの問い合わせが必要になり負荷が高い、な
どの課題がある。
【0008】また、データを暗号化して送信する場合、
データを暗号化するのは社員の端末側であり、社員がど
のデータが社外秘情報であるということを知っている必
要がある。その為、不注意に社外秘データを暗号化せず
に送信してしまう恐れがある。
【0009】
【課題を解決するための手段】本発明は、データの送信
者の不注意により組織内の機密情報が外部へ送信される
のを防止する技術を提供する。本発明は、上記技術を任
意のデータフォーマットに対して適用可能なシステムを
提供する。本発明は、また、組織内でのデータの移動に
おいてもデータの機密レベル(機密、非機密)を維持す
るとともに、それを任意のデータフォーマットに対して
適用可能な技術を提供する。
【0010】具体的には、情報本体(データ本体)に、情
報本体の属性を表す付加情報を付加し、付加情報を用い
て、情報本体の送受信を制御する。より具体的には、各
データ本体(情報本体)に、属性を表すラベル(付加情
報)をデータ本体に付加し、組織内ではラベル付きのデ
ータを扱うようにする。属性としては、例えば機密レベ
ル(社外秘、一般など)がある。外部へデータを送信す
る場合には、ゲートウェイサーバ上の送信管理プログラ
ムがこのラベルをチェックし、外部へ送信してよいかど
うかを決定し、外部へ送信可能であれば、データに付加
されているラベルを取り除いて、データ本体を外部へ送
信する。また、ゲートウェイサーバは外部からデータ本
体を受信した場合には、データ本体にラベルを取りつ
け、組織内のデータの送信先にデータを送信する。
【0011】また、ユーザが利用する端末においては、
データ本体に直接ラベルを付加するのではなく、各デー
タの機密レベル情報を別のファイルに書き込んでも良
い。クライアント端末からデータ本体を送信する時に上
記ファイルを参照し、データ本体の機密レベルを表すラ
ベルを付加し、ラベル付きのデータを送信すればよい。
また、ラベルに署名をつけることによって、ラベルを不
正に改ざんされる恐れを防止することができ、さらに、
誰が機密レベルを設定したかを保証することが可能とな
る。
【0012】また、本発明は、アプリケーションプログ
ラムとデバイスドライバのバグ、さらにはユーザの操作
ミスによるラベルの不正な変更や破壊を防止する技術を
提供する。具体的には複数OS制御技術を用いて、2つの
OSを動作させ、一方のOSをユーザが利用可能とし、もう
一方のOSはラベル管理専用として用いる。
【0013】本発明によれば、上記米国特許と比較し
て、(1)アクセス制御リストによりデータ単位のアク
セス制御が可能である、(2)アクセス制御リストは各
ユーザ端末内にあるため毎回の問い合わせは不要、とい
った特徴を備える。
【0014】
【発明の実施形態】(第1の実施例)本発明の第1の実
施形態を説明する。本実施例では、ファイルに格納され
たデータの先頭には機密レベルを表すラベルが付いてお
り、このラベル情報を利用して、情報フロー制御を行
う。機密レベルの内容やレベル数は、システムごとに自
由に設定できるが、以下では「社外秘」「一般」の2段
階の場合について説明する。なお、このラベルはファイ
ルによって、ラベルを付けたり付けなかったりしても良
い。例えば、システムファイル、ドライバファイルには
ラベルを付けずに、アプリケーションのデータファイル
にラベルを付ける。ラベルが付いていないファイルの取
り扱いは、システムのポリシーとしてあらかじめ決めて
おく。本実施例において、ラベルが付いていないファイ
ルは、クライアント端末側では「一般」のデータとして
扱うものとする。
【0015】図1は本実施例のシステムの構成例であ
る。1つ以上のクライアント端末101とゲートウェイ
サーバ118と鍵管理サーバ114が組織内ネットワー
ク117に繋がっており、さらに、ゲートウェイサーバ
118は組織外ネットワーク121に繋がっている。ク
ライアント端末101には、CPU113、メモリ10
2、磁気ディスク106、ネットワークI/F112、外
部記憶装置122がある。メモリ102上には、ラベル
管理プログラム109、ファイルシステムドライバ10
4、ディスクドライバ105、プロトコルドライバ11
0、ネットワークアダプタドライバ111、アプリケー
ションプログラム103、機密レベル変更プログラム1
08がロードされている。上記各プログラムは、OS(Ope
rating System)の管理のもとで動作する。
【0016】磁気ディスク106内には複数のファイル
107が格納されている。外部記憶装置122は、取り
外し可能な記憶媒体(以下、リムーバブルメディアとい
う)123内のファイル124からデータを読み取った
り、書き込んだりする装置である。外部記憶装置として
は、例えば、フロッピー(登録商標)ディスクドライブ
やCD-ROM装置などがある。ゲートウェイサーバ118に
は、送信管理プログラム119と受信管理プログラム1
20が動作している。鍵管理サーバ114には、鍵情報
116があり、さらに鍵管理プログラム115が動作し
ている。クライアント端末101はラベル付きファイル
をネットワーク上に送信し、ゲートウェイサーバ118
は当該ラベル付きファイルのラベルのチェックを行い、
外部に当該ラベル付きファイルを送信してよいかどうか
を決定する。
【0017】各実施例における各プログラムは、磁気デ
ィスク106や、リムーバブルメディアや、組織内、組
織外ネットワークに接続された他のサーバから、メモリ
102に導入されても良い。
【0018】図2は、本実施例におけるラベルのフォー
マットを例示している。ラベルはファイル107の先頭
にあり、32ビット(4バイト)の情報をもつ。32ビ
ットうちの最初の2ビットがラベルのフォーマットのバ
ージョン情報201を表し、次の3ビットがファイル1
07の機密レベル202を表し、次の3ビットがファイ
ル107の機密レベルを設定した設定者レベル203を
表し、残りの24ビットがファイル107の機密レベル
を設定した設定者ID204を表す。機密レベル202
は、「一般」「社外秘」などであり、設定者レベル20
3は、例えば「社員」「係長」「課長」「部長」などで
ある。なお、ラベルは機密レベル202の数や組織の規
模、さらにその他の情報を付加したい場合など、組織に
よって異なるフォーマット、サイズにしても良い。その
他の情報としては、例えば、ラベルの有効期限やファイ
ル107の作成者情報、アクセス制御情報(読み取り専
用など)がある。機密レベル202を用いるのではな
く、その他の様々な情報を用いたアクセス制御を行って
もよい。
【0019】ラベル管理プログラム109は、ファイル
107のラベルの管理を行い、アプリケーションプログ
ラム103がファイル107にアクセスする場合にはラ
ベルを取り外し、ラベル以外のデータ(データ本体)をア
プリケーションプログラム103に渡す。また、アプリ
ケーションプログラム103がファイル107をネット
ワークI/F112を介して組織内ネットワーク117上
に送信する場合には、ラベル管理プログラム109はラ
ベルが付いた状態で送信を行う。
【0020】図3は、本実施例における磁気ディスク1
06上にあるファイル107のオープンの処理フロー図
である。ファイルのオープンとは、ファイル内のデータ
の読み取り、またはファイル内へのデータの書き込みな
どの操作を可能にするための前処理である。ステップ3
01では、アプリケーションプログラム103がファイ
ル107のオープン要求をOSのI/Oマネージャを通じて
ラベル管理プログラム109に出す。ステップ302で
は、ラベル管理プログラム109はアプリケーションプ
ログラム103のプロセスIDをI/Oマネージャを通じて
取得する。プロセスとは、OSが管理するプログラムの実
行単位であり、プロセスIDはプロセスの識別子である。
【0021】ステップ303では、ラベル管理プログラ
ム109は当該ファイル107の機密レベル202をチ
ェックする。当該ファイル107にラベルが付いていな
い場合には、当該ファイル107は「一般」であると判
断する。ラベルが付いていない例としては、システムフ
ァイル、ドライバファイルなどがある。ステップ304
では、ラベル管理プログラム109はプロセスIDからア
プリケーションプログラム103の機密レベルをチェッ
クする。ラベル管理プログラム109は、図4に示すプ
ロセス管理リスト400を参照することにより、アプリ
ケーションプログラム103の機密レベルを調べる。ア
プリケーションプログラム103がファイル107をオ
ープンしていない時点でのアプリケーションプログラム
103の機密レベルは未設定となっている。
【0022】アプリケーションプログラムの機密レベル
(実行中のプロセスの機密レベル)の必要性は次の通
り。アプリケーションプログラム103そのものは、様
々な機密レベルのファイルを扱うことができる。機密フ
ァイルと非機密ファイルを同時に扱っている場合、機密
情報が非機密ファイルの中に書き込まれてしまうことが
あり得る(例えば、カット&ペーストなど)。本実施例
においては、プロセスの機密レベルを利用することによ
り、このような危険を防止する。
【0023】図4はプロセス管理リスト400を表して
いる。1列目にプロセスID401、2列目に当該プロセ
ス機密レベル402(アプリケーションプログラムの機
密レベル)、3列目にオープンしているファイル名40
3、4列目に当該ファイル107の機密レベル404が
示されている。プロセス管理リスト400は、ラベル管
理プログラム109のロード時にラベル管理プログラム
109が作成し、初期化を行う。また、ラベル管理リス
ト400の更新もラベル管理プログラム109が行う。
【0024】続いて、ステップ305では、ラベル管理
プログラム109はアプリケーションプログラム103
の機密レベル402が設定済みであるかどうかチェック
し、設定済みである場合にはステップ311へ進み、未
設定の場合にはステップ306へ進む。ステップ306
では、ラベル管理プログラム109はアプリケーション
プログラム103のプロセスIDをプロセス管理リスト4
00に追加する。ステップ307では、ラベル管理プロ
グラム109はアプリケーションプログラム103のプ
ロセス機密レベル402を当該ファイル107の機密レ
ベル202に設定する。ステップ308では、ラベル管
理プログラム109はプロセス管理リスト400に当該
ファイル107のファイル名403と機密レベル202
を追加する。ステップ309では、ラベル管理プログラ
ム109は当該ファイル107のオープン要求をファイ
ルシステムドライバ104に送信する。ステップ310
でファイルオープン成功となる。
【0025】ステップ311では、ラベル管理プログラ
ム109はアプリケーションプログラム103の機密レ
ベル402が当該ファイル107の機密レベル202と
一致しているかどうかをチェックする。一致している場
合にはステップ308へ進み、一致していない場合には
ステップ312へ進む。ステップ312では、ラベル管
理プログラム109は当該ファイル107を本当にオー
プンするかどうかを利用者に選択させる為のメッセージ
を表示する。ステップ313では、利用者がファイル1
07をオープンするかどうかの選択を行い、利用者がフ
ァイル107をオープンする、を選択した場合にはステ
ップ314へ進み、利用者がファイル107をオープン
しない、を選択した場合にはステップ315へ進む。
【0026】ステップ314では、ラベル管理プログラ
ム109はアプリケーションプログラム103の機密レ
ベル402が当該ファイル107の機密レベル202よ
り高いかどうかのチェックを行い、アプリケーションプ
ログラムの機密レベル402の方が高い場合にはステッ
プ308へ進み、低い場合にはステップ307へ進む。
ステップ315では、ラベル管理プログラム109は当
該ファイル107のオープンエラーメッセージをアプリ
ケーションプログラム103に送信する。ステップ31
6でファイルオープン失敗となる。
【0027】本実施例は、ユーザの指定次第でアプリケ
ーションプログラム103が必ずファイル107をオー
プンすることが可能なように構成しているが、図3のス
テップ311において、アプリケーションプログラム1
03の機密レベル402がファイル107の機密レベル
202と一致していない場合には、ステップ315に進
み、ファイルオープン要求を強制的に拒否するように構
成しても良い。
【0028】また、ファイルの新規作成時には、当該フ
ァイルの機密レベル202を利用者が選択する形式をと
る。標準設定では、アプリケーションプログラム103
の機密レベル402と等しくなるようにし、アプリケー
ションプログラム103の機密レベル402が「未設
定」の場合には、最上位の「社外秘」が選ばれるように
することが望ましい。
【0029】図5は、本実施例におけるファイル107
からデータを読み取る場合の処理フロー図である。ここ
では例としてアプリケーションプログラム103がファ
イル107の先頭からのアドレスであるバイトオフセッ
ト0xAB00を読み取る場合について記述する。0xは16進数
を示す。ステップ501では、アプリケーションプログ
ラム103がファイル107のバイトオフセット0xAB00
からデータを読み取る要求を出す。ステップ502で
は、ラベル管理プログラム109がバイトオフセット0x
AB00を実際のバイトオフセット0xAB04に変換する。本実
施例のファイル107はファイル107の先頭に4バイ
ト(32ビット)の情報(ラベル)が付いているが、ア
プリケーションプログラム103はラベルがあることを
知らないため、アプリケーションプログラム103が読
み取りを要求するバイトオフセットを調整する必要があ
る。そのため、本実施例ではアプリケーションプログラ
ム103が要求するバイトオフセットにラベル情報のバ
イト長である4バイトを追加した値が実際のバイトオフ
セットとなる。ステップ503では、ファイルシステム
ドライバ104は実際のバイトオフセット0xAB04を磁気
ディスク106上の相対位置に変換する。ステップ50
4では、ディスクドライバ105は磁気ディスク106
の相対位置を物理的な位置に変換してデータをメモリ1
02に読み込む。
【0030】図6は、本実施例におけるファイル107
へデータを書き込む場合の処理フロー図である。ここで
は例としてアプリケーションプログラム103がファイ
ルの特定のバイトオフセット0xAB00に書き込む場合につ
いて記述する。ステップ601では、アプリケーション
プログラム103がファイル107のバイトオフセット
0xAB00にデータを書き込む要求を出す。ステップ602
では、ラベル管理プログラム109はアプリケーション
プログラム103の機密レベル402と当該ファイル1
07の機密レベル202をチェックする。ステップ60
3では、ラベル管理プログラム109はアプリケーショ
ンプログラム103と当該ファイル107の機密レベル
が一致しているかどうかをチェックし、一致している場
合にはステップ605へ進み、一致していない場合には
ステップ604へ進む。
【0031】ステップ605では、ラベル管理プログラ
ム109がバイトオフセット0xAB00を実際のバイトオフ
セット0xAB04に変換する。上述したアプリケーションプ
ログラム103がファイル107のデータを読み込む場
合と同様、アプリケーションプログラム103が要求す
るバイトオフセットに4バイト追加した値が実際のバイ
トオフセットとなる。ステップ606では、ファイルシ
ステムドライバ104は実際のバイトオフセット0xAB04
を磁気ディスク106上の相対位置に変換する。ステッ
プ607では、ディスクドライバ105は磁気ディスク
106の相対位置を物理的な位置に変換してデータを磁
気ディスク106に転送する。
【0032】ステップ604では、ラベル管理プログラ
ム109は当該ファイル107の機密レベル202をア
プリケーションプログラム103の機密レベル402に
変更し、さらに、設定者レベル203、設定者ID204
についても変更し、ステップ605へ進む。本実施例で
は、ステップ604で強制的にアプリケーションプログ
ラム103の機密レベル402にファイル107の機密
レベル202を変更したが、利用者がファイル107の
機密レベル202を選択できるようにメッセージを表示
しても良い。
【0033】本実施例のクライアント端末101には、
外部記憶装置122があり、リムーバブルメディア12
3を用いてデータを別の端末に移動することができる。
そのため、リムーバブルメディアを介して外部へ情報が
漏洩するおそれがあるため、リムーバブルメディア12
3内のデータを外部の不正アクセスから保護する必要が
ある。
【0034】図7は、本実施例におけるリムーバブルメ
ディア123へのファイル107の書き込みの処理フロ
ー図である。ここでは、アプリケーションプログラム1
03が新規にファイル124を作成し、作成したファイ
ル124にファイル107のデータをコピーする場合を
説明する。ファイル124の機密レベルは、アプリケー
ションプログラム103が、ファイル124にデータを
書き込む際に設定する。
【0035】ステップ701では、アプリケーションプ
ログラム103がリムーバブルメディア123内のファ
イル124にファイル107のデータを書き込む要求を
出す。ステップ702では、ラベル管理プログラム10
9はファイル107の機密レベル202をチェックす
る。ステップ703では、当該ファイル107の機密レ
ベル202が「社外秘」であるかどうかを確認し、機密
レベル202が「一般」の場合にはステップ704へ進
み、「社外秘」の場合にはステップ706へ進む。
【0036】機密レベル202が「一般」の場合、ステ
ップ704において、ラベル管理プログラム109はリ
ムーバブルメディア123内のファイル124へ当該フ
ァイル107のラベル以外のデータを書き込む要求を出
す。ステップ705では、ファイルシステムドライバ1
04が書き込み要求を受け取り、ディスクドライバ10
5がリムーバブルメディア123へ当該ファイル107
のデータを転送する。
【0037】機密レベル202が「社外秘」の場合、ス
テップ706においては、ラベル管理プログラム109
は暗号化鍵と復号化鍵を生成する。暗号化鍵と復号化鍵
は同一であっても良い。ステップ707では、ラベル管
理プログラム109は復号化鍵を鍵管理サーバ114に
登録し、識別子(例えば、ID番号)を鍵管理サーバ114
から受け取る。ステップ708では、ラベル管理プログ
ラム109は当該ファイル107を、暗号化鍵を用いて
暗号化し、暗号化ファイルを作成する。暗号化ファイル
はID番号と暗号化データとから成る。ID番号はラベル管
理プログラム109が暗号化ファイルの作成時に付加す
る。ステップ709では、ラベル管理プログラム109
はリムーバブルメディア123内のファイル124へ暗
号化ファイルのデータを書き込む要求を出し、ステップ
705へ進む。
【0038】また、既存のファイル124のデータを更
新する場合で、データが暗号化されている場合には、ラ
ベル管理プログラム109は、ファイル124に含まれ
ているID番号を鍵管理サーバ114に送信し、鍵管理サ
ーバ114から暗号化鍵を受信する。ラベル管理プログ
ラム109は受信した暗号化鍵を用いてデータを暗号化
し、ファイル124に暗号化データを書き込む。
【0039】図8はリムーバブルメディア123内のフ
ァイル124からデータを読み取る場合の処理フロー図
である。ステップ801では、アプリケーションプログ
ラム103が、ラベル管理プログラム109に対して、
リムーバブルメディア123内のファイル124からデ
ータを読み取る要求を出す。ステップ802では、ラベ
ル管理プログラム109は、ファイルシステムドライバ
104に対して、リムーバブルメディア123内の当該
ファイル124からデータを読み取る要求を出す。ステ
ップ803では、ファイルシステムドライバ104が読
み取り要求を受け取り、ディスクドライバ105がリム
ーバブルメディア123内の当該ファイル124からデ
ータを読み込む。ステップ804では、ラベル管理プロ
グラム109は、読み出されたデータを受け取り、当該
データが暗号化されているかをチェックする。ステップ
805では、当該データが暗号化されていない場合には
ステップ806へ進み、暗号化されている場合にはステ
ップ807へ進む。
【0040】ステップ806では、ラベル管理プログラ
ム109はアプリケーションプログラム103にデータ
を渡す。ステップ807では、ラベル管理プログラム1
09は当該ファイル124のID番号を読み取る。ステッ
プ808では、ラベル管理プログラム109は当該ファ
イル124のID番号を鍵管理サーバ114に送信し、当
該ファイル124の復号化鍵を受け取る。ステップ80
9では、ラベル管理プログラム109は暗号化されてい
るデータを、復号化鍵を用いて復号化し、ステップ80
6へと進む。ステップ808でのクライアント端末10
1と鍵管理サーバ114間の通信はデータを暗号化して
も良い。
【0041】リムーバブルメディア123上のファイル
124のデータを磁気ディスク106のファイル107
へコピーまたは移動する場合で、当該ファイル124に
ラベルが付いていない場合は、ラベル管理プログラム1
09は当該ファイル124に「一般」のラベルを付け
て、磁気ディスク106に保存する。
【0042】図9はアプリケーションプログラム103
がファイルをネットワーク117上へ送信する際の処理
フロー図である。ステップ901では、アプリケーショ
ンプログラム103がファイルを伴った当該ファイルの
送信要求を出す。ステップ902では、ラベル管理プロ
グラム109は当該ファイル107の機密レベル202
を取得し、ラベル付きファイルの送信要求に変換する。
アプリケーションプログラム103は、送信対象データ
として、ラベル無しのファイルデータを出力する為、ラ
ベル管理プログラム109がラベル付きファイルに変換
する。ステップ903では、プロトコルドライバ110
がラベル付きファイルをパケットに分割し、パケットヘ
ッダを作成する。ステップ904では、ネットワークア
ダプタドライバ111はLANコントローラを経由して外
部へ当該ファイル107を送信する。
【0043】次に、機密レベル変更プログラム108に
ついて説明する。機密レベル変更プログラム108は、
ファイル107の機密レベル202を変更するためのプ
ログラムである。図10は「社外秘」であるファイル1
07を「一般」に変更する場合の処理フロー図である。
ステップ1001では、機密レベル変更プログラム10
8がファイル107の機密レベル202を「社外秘」か
ら「一般」に変更する要求を出す。ステップ1002で
は、ラベル管理プログラム109はファイル107のラ
ベルを読み込み、設定者ID204を取得する。ステップ
1003では、ステップ1002で取得した設定者ID2
04と機密レベル202の変更者IDが一致しているかど
うかを判定する。一致している場合には、ステップ10
04へ進み、一致していなければステップ1005へ進
む。
【0044】ステップ1004では、ラベル管理プログ
ラム109は当該ファイル107の機密レベル202を
「一般」に変更し、設定者ID204、設定者レベル20
3も同時に変更する。ステップ1005では、機密レベ
ル202の変更者が機密レベル202を変更できる権限
を持っているかどうかを判定する。権限を持っていれば
ステップ1004へ進み、持っていなければステップ1
006へ進む。ステップ1006では、ラベル管理プロ
グラム109はエラーメッセージを機密レベル変更プロ
グラム108に渡す。
【0045】ステップ1005において、機密レベル2
02を変更できる権限とは、強制的に機密レベル202
を変更できる権限のことである。この権限は、機密レベ
ル202を変更しようとする者のレベルがファイル10
7の設定者レベル203よりも高い場合に変更可能であ
るように設定することも可能である。また、機密レベル
202を変更できるレベルを与えられていても、すべて
のファイル107の機密レベル202を無条件に変更す
ることは許さず、設定者ID204によって変更できる場
合と変更できない場合を設定することも可能である。ま
た機密レベル202を変更できる権限のポリシーを組織
毎に分けて設定しても良い。ここでは、機密レベル20
2を「社外秘」から「一般」に変更する場合について記
述したが、機密レベル202が3以上の場合においても
同様の手法により機密レベル202を下げることが可能
である。
【0046】機密レベル変更プログラム108は、ま
た、「一般」ファイル107を「社外秘」ファイル10
7に機密レベル202を上げる操作を行うことが可能で
ある。機密レベル202を上げることによって、情報が
漏れることはないという考えに従えば、機密レベル20
2を上げる操作は誰でも無条件に行うことが可能である
ように設定しても良い。
【0047】送信管理プログラム119は、クライアン
ト端末101が組織外ネットワーク121に送信しよう
とするファイル107のラベルをチェックし、当該ファ
イル107を送信してよいかどうかを決定する。図11
はラベルのチェックの処理フロー図である。ステップ1
201では、ゲートウェイサーバ118は組織内のクラ
イアント端末101から組織外ネットワーク121へ送
信しようとするファイル107を受信する。ステップ1
202では、送信管理プログラム119は当該ファイル
107のラベルが付いているかどうかを判定する。ステ
ップ1203では、ラベルが付いていればステップ12
04へ進み、付いていなければステップ1209へ進
む。
【0048】ステップ1204では、送信管理プログラ
ム119は当該ファイル107の機密レベル202をチ
ェックする。ステップ1205では、当該ファイル10
7の機密レベル202が「一般」であればステップ12
06へ進み、「一般」でなければステップ1211へ進
む。ステップ1206では、送信管理プログラム119
は当該ファイル107のラベルを取り外す。ステップ1
207では、送信管理プログラム119は当該ファイル
107を外部に送信する。ステップ1208でファイル
送信成功となる。
【0049】ステップ1209では、送信管理プログラ
ム119は当該ファイル107が不正データであると判
断し、エラーメッセージを送信元端末と、システム管理
者が使用する装置に送る。ステップ1210でファイル
送信失敗となる。ステップ1211では、送信管理プロ
グラム119は当該ファイル107の機密レベル202
が「社外秘」であるというメッセージを送信元端末に送
る。ステップ1212でファイル送信失敗となる。
【0050】ステップ1206において、ラベルを取り
外す理由は、ラベルが解釈できるのは本実施例のシステ
ムが導入されている他のシステムや端末に限られるから
というポリシーに従うためである。したがって、本実施
例においては、外部へファイルを送信する場合にはラベ
ルを取り外すようにしているが、他のポリシーに従え
ば、これに限定されるものではない。
【0051】また、本実施例では、組織外に送信される
データについては、ゲートウェイサーバ118上で組織
外ネットワーク121に送信してよいかどうか判定され
た後、ラベルの取り外しをおこなわれるため、組織外ネ
ットワーク121においても、透過的に利用可能であ
る。
【0052】また、ゲートウェイサーバ118上に送信
先許可リストを設けることにより、この送信先許可リス
トに記載された送信先へファイル107を送信する場合
には、機密レベル202が「社外秘」の場合でも外部に
ファイル107を送信しても良い。この場合、送信管理
プログラム119はファイル107を暗号化し、ラベル
を取り外さずに送信する。さらに、送信管理プログラム
119は送信元、送信先、送信ファイルをログに記録し
ておく。暗号鍵は、リムーバブルメディアへのファイル
107の書き込みの場合と同様に鍵管理サーバ114に
登録する。この場合の送信するファイル107はID番号
と暗号化データを持つ。
【0053】次に、ゲートウェイサーバ118が組織外
ネットワーク121からファイル107を受信した場合
の処理について説明する。まず、ゲートウェイサーバ1
18は組織外ネットワーク121からクライアント端末
101へ向けて送信してきたファイル107を受信す
る。次に、受信管理プログラム120は当該ファイル1
07に「一般」のラベルを取りつける。また、設定者ID
204はゲートウェイサーバ118のIDとし、設定者レ
ベル203は最低レベルに設定する。その後、受信管理
プログラム120はクライアント端末101へ当該ファ
イル107を送信する。
【0054】また、受信管理プログラム120はラベル
付きのファイル107を受信する機能を備えていても良
い。この場合、受信管理プログラム120はラベルが付
いていることを確認したあと、当該ファイル107をク
ライアント端末101に送信する。
【0055】組織内ネットワーク117内の端末間(ク
ライアント端末101間、クライアント端末101とゲ
ートウェイサーバ118間など)は互いに認証を行って
もよい。端末(101、118、114)間の認証は、
各端末がそれぞれ通信を許可している端末のMAC(Media
Access Control)アドレス(またはIPアドレス)のリス
ト(通信許可リスト)を持ち、各端末はこの通信許可リ
ストを参照して認証を行う。各端末は、互いの通信許可
リストに通信相手のMACアドレス(またはIPアドレス)
があった場合に限り、端末間の通信が可能となるように
制御すればよい。また、端末間の認証を各端末が行うの
ではなく認証サーバを設けることにより、この認証サー
バが端末間の通信の許可を決定してもよい。この場合、
各端末は認証サーバを経由して別の端末と通信を行う。
また、端末間の認証は、公開鍵暗号方式を用いても良
い。
【0056】さらに、認証サーバは、クライアント端末
101が組織内または組織外の相手と送受信する全ファ
イルについて、そのラベルのチェックを行ってもよい。
企業内においては社員の役職、または部署によってアク
セス可能なファイル107とそうでないファイル107
が存在するが、このような場合においても認証サーバが
ラベルのチェックを行うことにより、情報フロー制御を
行うことが可能である。
【0057】(第2の実施例)本発明の第2の実施形態
を説明する。第1の実施例では、ファイル107の機密
レベル202を表すラベルをファイル107に付けてい
たが、本実施例ではクライアント端末101内のファイ
ル107にはラベルを付けずに、クライアント端末10
1内に設定する機密レベル制御リスト1400を用いて
情報フロー制御を行い、ファイル107をクライアント
端末101外に出す場合にラベルを付ける。ファイル1
07をクライアント端末101外に出す場合のラベルの
フォーマットは第1の実施形態と同様である。
【0058】図12は、本実施例の機密レベル制御リス
ト1400を表している。1列目にファイル名140
1、2列目に当該ファイル107の機密レベル140
2、3列目に当該ファイル107の設定者レベル140
3、4列目に当該ファイル107の設定者ID1404が
格納されている。
【0059】本実施例におけるアプリケーションプログ
ラム103による磁気ディスク106内のファイル10
7へのアクセスについて説明する。第1の実施形態と異
なり、本実施例のファイル107にはラベルが付加され
ていないので、アプリケーションプログラム103が要
求するバイトオフセットに処理を施す必要はない。ファ
イル107の読み取りに関しては、ラベル管理プログラ
ム109はアプリケーションプログラム103が要求す
るバイトオフセットをそのままファイルシステムドライ
バ104に渡す。
【0060】一方、ファイル107への書き込みに関し
ては、バイトオフセットの処理を除けば図6と同様の処
理を行う。つまり、アプリケーションプログラム103
によるファイル107への書き込み要求に対して、ラベ
ル管理プログラム109がアプリケーションプログラム
103の機密レベル402と当該ファイル107の機密
レベル202が一致しているかどうかのチェックを行
い、一致していない場合には当該ファイル107の機密
レベル202を強制的にアプリケーションプログラム1
03の機密レベル402に設定し、一致している場合に
はファイル107への書き込み要求をファイルシステム
ドライバ104に送信する。
【0061】図13は、本実施例におけるリムーバブル
メディア123のファイル107へのデータ書き込みの
処理フロー図である。ステップ1501では、アプリケ
ーションプログラム103がリムーバブルメディア12
3内のファイル124にへファイル107のデータを書
き込む要求を出す。ステップ1502では、ラベル管理
プログラム109はファイル107の機密レベル202
をチェックする。ステップ1503では、機密レベル2
02が「社外秘」であるかどうかを確認し、機密レベル
202が「一般」の場合にはステップ1504へ進み、
「社外秘」の場合にはステップ1506へ進む。
【0062】機密レベル202が「一般」の場合ステッ
プ1504では、ラベル管理プログラム109は当該フ
ァイル107のリムーバブルメディア123内のファイ
ル124へ当該ファイル107のデータを書き込む要求
を出す。ステップ1505では、ファイルシステムドラ
イバ104が書き込み要求を受け取り、ディスクドライ
バ105がリムーバブルメディア123へ当該107の
データを転送する。
【0063】機密レベル202が「社外秘」の場合、ス
テップ1506において、ラベル管理プログラム109
は当該ファイル107のラベル付きファイルを作成す
る。ステップ1507では、ラベル管理プログラム10
9は暗号化鍵を生成する。ステップ1508では、ラベ
ル管理プログラム109は暗号化鍵を鍵管理サーバ11
4に登録し、ID番号をサーバから受け取る。ステップ1
509では、ラベル管理プログラム109は当該ファイ
ル107のラベル付きファイルを、暗号化鍵を用いて暗
号化し、暗号化ファイルを作成する。暗号化ファイルは
ID番号と暗号化データとから成る。ID番号はラベル管理
プログラム109が暗号化ファイルの作成時に付加す
る。ステップ1510では、ラベル管理プログラム10
9は当該ラベル付きファイルをリムーバブルメディア1
23内のファイル124へ暗号化ファイルのデータを書
き込む要求を出し、ステップ1505へ進む。
【0064】本実施例におけるリムーバブルメディア1
23内にあるファイル124のデータの読み取りは、第
1の実施例と同様であり、図8に従う。また、リムーバ
ブルメディア123上のファイル123の磁気ディスク
106へのコピーまたは移動では、ラベル管理プログラ
ム109は機密レベル制御リスト1400に当該ファイ
ル124のファイル名1401、機密レベル1402、
設定者レベル1403、設定者ID1404を追加し、当
該ファイル124を磁気ディスク106に保存する。
【0065】次に本実施例におけるクライアント端末1
01でのファイル送信の処理について図9を用いて説明
する。ステップ901では、アプリケーションプログラ
ム103がファイル107の送信要求を出す。本実施例
においては、ステップ902に進む前に、ラベル管理プ
ログラム109は当該ファイル107の機密レベル20
2を取得し、ラベル付きファイルを作成する処理ステッ
プを追加している。続く処理は第一の実施例と同様であ
り、ステップ902へ進み、ラベル管理プログラム10
9が当該ファイル107の送信要求を、当該ラベル付き
ファイル107の送信要求に変換する。ステップ903
では、プロトコルドライバ110はパケットに分割し、
パケットヘッダを作成する。ステップ904では、ネッ
トワークアダプタドライバ111はLANコントローラを
経由して外部へファイル107を送信する。
【0066】ファイル107の削除要求が発生した場合
には、ラベル管理プログラム109は当該ファイル10
7の削除要求をファイルシステムドライバ104に送信
し、ファイルシステムドライバ104から当該ファイル
107の削除が成功したというメッセージを受け取った
あとで、ラベル管理プログラム109は機密レベル制御
リスト1400から当該ファイル107の行を削除す
る。
【0067】他のクライアント端末101、またはゲー
トウェイサーバ118からファイル107を受信した場
合、ラベル管理プログラム109がファイル107の先
頭に付いているラベルをチェックし、機密レベル制御リ
スト1400にファイル107のラベル情報の登録を行
う。その後、ラベル管理プログラム109はアプリケー
ションプログラム103に当該ファイル107を渡す。
【0068】ファイル107の機密レベル202の変更
は、ラベル管理プログラム109が機密レベル変更プロ
グラム108から当該ファイル107の機密レベル20
2変更要求を受け取り、機密レベル制御リスト1400
を変更することにより行う。具体的には機密レベル制御
リスト1400を用いる点を除き、図10の処理フロー
に従う。
【0069】第1の実施例または第2の実施例によれ
ば、ファイル107に機密レベル202を設定し、ネッ
トワークにおける情報フロー制御を行うことが可能とな
る。
【0070】(第3の実施例)次に、ラベルの完全性を
保証でき、ラベルの不正な改ざんを防止することが可能
な、第3の実施形態を説明する。
【0071】本実施例によれば、第3者がラベルを不正
に変更することにより、ラベルを実際に変更したのが誰
であるかということを隠すという、更なる不正を防止す
ることが可能になる。つまり、第3者Aが不正にラベル
を改ざんし、例えば、「社外秘」レベルのファイル10
7を「一般」に変更し、さらに設定者IDを他人BのIDに
設定することにより、Bが機密レベルを変更したことに
する、といった不正を防止することが可能である。すな
わち、万一、「社外秘」レベルのファイル107が社外
に漏洩しても、覚えのないBが責任を追及される、とい
ったことを防止できる。
【0072】図14は、本実施例で用いるラベル付きフ
ァイル107の構造を表す図である。ラベル付きファイ
ル107は、先頭にラベル1701があり、続いてデー
タハッシュ値1702、ラベル用署名1703、ファイ
ルデータ1704、リンク用署名1705からなる。
【0073】データハッシュ値1702は、機密レベル
202の設定者自身がファイル107を作成、または訂
正、または機密レベル202を変更した時点でのファイ
ルデータのハッシュ値である。ラベル用署名1703は
ラベル1701とデータハッシュ値1702とに対する
機密レベル202の設定者によるディジタル署名であ
る。リンク用署名1705はラベル1701とファイル
データ1704とに対するファイルデータ1704の作
成者または変更者によるディジタル署名である。
【0074】ラベル用署名1703によってラベル17
01の完全性を保証し、リンク用署名1705によって
ファイルデータ1704の完全性と、ファイルデータ1
704とラベル1701とのリンクの完全性を保証す
る。ラベル用署名1703とリンク用署名1705を用
いることは、万一、情報漏洩が起きた場合に責任の所在
を調査する上で有効になるとともに、証拠が残るという
意味で不正な情報漏洩を抑止する効果がある。なお、署
名生成のための秘密鍵は利用者毎に異なる鍵を持ってい
ることが望ましい。
【0075】なお、本実施例は第1の実施例の拡張とし
て用いてもよく、その場合にはこのファイル構造をクラ
イアント端末101内外で用いる。また、第2の実施例
の拡張として用いる場合には、このファイル構造をクラ
イアント端末101外で用いて、クライアント端末10
1内では、機密レベル制御リスト1400にデータハッ
シュ値1702、ラベル用署名1703、リンク用署名
1705の列を追加することによりラベル情報の完全性
を保証する。
【0076】以下では、本実施例では第2の実施例を拡
張した場合について説明する。図15は、本実施例での
ファイル107へのデータ(ファイルデータ1704)
の書き込みの処理フロー図である。ステップ1801で
は、アプリケーションプログラム103がファイル10
7へデータ(ファイルデータ1704)の書き込み要求
を出す。ステップ1802では、ラベル管理プログラム
109はアプリケーションプログラム103の機密レベ
ル402と当該ファイル107の機密レベル202が一
致しているかをプロセス管理リスト400と機密レベル
制御リスト1400を参照してチェックする。ステップ
1803では、アプリケーションプログラム103と当
該ファイル107の機密レベル202が一致している場
合にはステップ1806へ進み、一致していない場合に
はステップ1804へ進む。
【0077】ステップ1804では、ラベル管理プログ
ラム109は当該ファイル107の機密レベル202を
アプリケーションプログラム103の機密レベル402
に変更し、さらに、設定者レベル203、設定者ID20
4についても変更する。ステップ1805では、ラベル
管理プログラム109はデータハッシュ値1702、ラ
ベル用署名1703、リンク用署名1705を、新たに
求め、ステップ1808へ進む。ここで、データハッシ
ュ値1702は変更後のファイルデータ1704のハッ
シュ値であり、ラベル用署名1703とリンク用署名1
705はファイル107への書き込み要求者の署名であ
る。
【0078】ステップ1806では、ラベル管理プログ
ラム109は当該ファイル107の機密レベル202設
定者とファイル107への書き込み要求者が一致してい
るかどうかをチェックし、一致している場合にはステッ
プ1805へ進み、一致していない場合にはステップ1
807へ進む。ステップ1807では、ラベル管理プロ
グラム109はリンク用署名1705を新たに求める。
ここでリンク用署名1705はファイル107への書き
込み要求者の署名である。ステップ1808では、ラベ
ル管理プログラム109はファイルシステムドライバ1
04に対して当該ファイル107へ、上記データハッシ
ュ値1702、ラベル用署名1703、リンク用署名1
705のうち新たに求めたものと、ファイルデータ17
04の書き込み要求を出す。ステップ1809では、フ
ァイルシステムドライバは当該ファイルへ書き込むデー
タをディスクドライバに送信し、ディスクドライバは磁
気ディスクに上記データを書き込む。
【0079】本実施例におけるクライアント端末101
での上記ラベル付きファイル107の送信処理について
説明する。まず、ラベル管理プログラム109がアプリ
ケーションプログラム103からファイル送信要求を受
け取る。次に、ラベル管理プログラム109はアプリケ
ーションプログラム103からのファイル送信要求を当
該ラベル付きファイル107の送信要求に変換する。具
体的には、クライアント端末101から送信されるファ
イル構造は図14に示す構造と同じである。
【0080】図16は、本実施例でのクライアント端末
101におけるファイル受信の処理フロー図である。ス
テップ1901では、ラベル管理プログラム109はラ
ベル付きファイル107を受信する。ステップ1902
では、ラベル管理プログラム109はラベル付きファイ
ル107のラベル1701をチェックする。ここでは、
ラベル管理プログラム109はラベル用署名1703か
らラベル1701の正当性を検証し、リンク用署名17
05からファイルデータ1704の完全性と、ファイル
データ1704とラベル1701とのリンクの正当性を
チェックする。ステップ1903では、ステップ190
2でのチェックの結果、ラベル1701、ファイルデー
タ1704、ファイルデータ1704とラベル1701
とのリンクが正しい場合にはステップ1904へ進み、
正しくない場合にはステップ1906へ進む。
【0081】ステップ1904では、ラベル管理プログ
ラム109は当該ラベル付きファイル107のラベル情
報を機密レベル制御リスト1400に追加する。ステッ
プ1905では、ラベル管理プログラム109は当該ラ
ベル付きファイル107をアプリケーションプログラム
103に渡す。
【0082】ステップ1906では、ラベル管理プログ
ラム109は当該ラベル付きファイル107のラベル情
報を管理者に送信する。ステップ1907では、ラベル
管理プログラム109はエラーメッセージをアプリケー
ションプログラム103に送る。
【0083】次に、本実施例における「社外秘」である
ラベル付きファイル107を「一般」に変更する場合の
処理について図10を参考に用いて説明する。。ステッ
プ1001では、機密レベル変更プログラム108がラ
ベル付きファイル107の機密レベル202を「社外
秘」から「一般」に変更する要求を出す。ステップ10
02では、ラベル管理プログラム109は、本実施例に
おいては機密レベル制御リスト1400から当該ラベル
付きファイル107の設定者ID204を取得する。ステ
ップ1003では、ステップ1002で取得した設定者
ID204と機密レベル202の変更者IDが一致している
かどうかを判定する。一致している場合には、ステップ
1004へ進み、一致していなければステップ1005
へ進む。
【0084】ステップ1004では、ラベル管理プログ
ラム109はラベル付きファイル107の機密レベル2
02を「一般」に変更し、設定者ID204、設定者レベ
ル203も同時に変更する。本実施例においては、ラベ
ル管理プログラム109は、さらに、ラベル用署名17
03、リンク用署名1705を新たに求める処理を行
う。
【0085】ステップ1005以降の処理は第一の実施
例と同様であり、ステップ1005において、機密レベ
ル202の変更者が機密レベル202を変更できる権限
を持っているかどうかを判定する。権限を持っていれば
ステップ1004へ進み、持っていなければステップ1
006へ進む。ステップ1006では、ラベル管理プロ
グラム109はエラーメッセージを機密レベル変更プロ
グラム108に渡す。
【0086】上記実施例では、機密レベル202を「社
外秘」から「一般」に変更する場合について記述した
が、機密レベル202が3レベル以上の場合においても
同様の手法により機密レベル202を下げることが可能
である。
【0087】図17は、本実施例におけるゲートウェイ
サーバ118でのラベル1701のチェックの処理フロ
ー図である。ステップ2101では、組織内のクライア
ント端末101から外部へ送信するファイル107を受
信する。ステップ2102では、送信管理プログラム1
19は当該ファイル107のラベル1701の有無をチ
ェックする。ステップ2103では、ラベル1701が
付いていればステップ2104へ進み、付いていなけれ
ばステップ2111へ進む。
【0088】ステップ2104では、送信管理プログラ
ム119は当該ラベル付きファイル107の機密レベル
202をチェックする。ステップ2105では、機密レ
ベル202が「一般」であればステップ2106へ進
み、「一般」でなければステップ2113へ進む。
【0089】ステップ2106では、送信管理プログラ
ム119はラベル1701の完全性のチェックを行う。
ここでは、送信管理プログラム119はラベル用署名1
703からラベル1701の正当性を検証し、リンク用
署名1705からファイルデータ1704の完全性と、
ファイルデータ1704とラベル1701とのリンクの
正当性をチェックする。ステップ2107では、ステッ
プ2106でのチェックの結果、リンクが正しい場合に
はステップ2108へ進み、正しくない場合にはステッ
プ2115へ進む。
【0090】ステップ2108では、送信管理プログラ
ム119は当該ラベル付きファイル107からラベル1
701、データハッシュ値1702、ラベル用署名17
03、リンク用署名1705を取り外す。ステップ21
09では、送信管理プログラム119は当該ファイル1
07を外部に送信する。ステップ2110でファイル送
信成功となる。
【0091】ステップ2111では、送信管理プログラ
ム119は当該ファイル107が不正データであると判
断し、エラーメッセージを送信元端末に送る。ステップ
2112でファイル送信失敗となる。
【0092】ステップ2113では、送信管理プログラ
ム119は当該ラベル付きファイル107の機密レベル
202が「一般」ではないというメッセージを送信元端
末に送る。ステップ2114でファイル送信失敗とな
る。
【0093】ステップ2115では、送信管理プログラ
ム119は当該ラベル付きファイル107のラベルが不
正であるというメッセージを送信元端末に送る。ステッ
プ2116でファイル送信失敗となる。
【0094】また、送信管理プログラム119は、ファ
イルの送信元情報と送信先情報と送信ファイル(ラベル
1701、データハッシュ値1702、ラベル用署名1
703、リンク用署名1705の付いたファイル)の内
容全てをログに記憶しておいても良い。
【0095】本実施例において、ゲートウェイサーバ1
18が、組織外ネットワーク121からクライアント端
末101へ向けて送信されてきたファイル107を受信
した場合は、受信管理プログラム120がファイル10
7に「一般」のラベルを取りつけ、クライアント端末1
01へファイル107を送信する。ここで、ラベルの設
定者ID204はゲートウェイサーバ118のIDとし、設
定者レベル203は最低レベルに設定する。また、ラベ
ル用署名1703とリンク用署名1705はゲートウェ
イサーバ118による署名にする。また、受信管理プロ
グラム120は、ファイル107の送信元情報と送信先
情報と受信ファイルの内容全てをログに記憶しておいて
も良い。
【0096】(第4の実施例)本発明の第4の実施形態
を説明する。汎用の計算機上にはさまざまなアプリケー
ションプログラム103が動作しており、さらに、さま
ざまなデバイスが接続されており、そのデバイスを操作
する為のデバイスドライバが動作している。その為、上
記各実施例を汎用の計算機上で実現する場合、アプリケ
ーションプログラム103とデバイスドライバのバグ、
さらにはユーザの操作ミスによってラベル情報(機密レ
ベル制御リスト1400)、ラベル管理プログラム10
9、プロセス管理リスト400が変更、削除される脅威
がある。本実施例によれば、そのような脅威を防止する
ことが可能である。図18は本実施例によるクライアン
ト端末101の構成例であり、図1のクライアント端末
101に置き換え、上記各実施例に適用することによ
り、上記効果を得ることができる。
【0097】クライアント端末101内には2つのOSが
動作しており、第1のOSが管理するメモリ領域2201
と第2のOSが管理するメモリ領域2202があり、さら
にこれら2つのOSを制御する複数OS制御プログラム22
04が動作している。複数OS制御技術に関しては、たと
えば、特開平11−149385号公報に開示されてい
る。
【0098】また、第1のOSが管理するメモリ領域22
01内には、アプリケーションプログラム103、機密
レベル変更プログラム108、I/Oフックプログラム2
203、ファイルシステムドライバ104、ディスクド
ライバ105、プロトコルドライバ110、ネットワー
クアダプタドライバ111がロードされており、また、
第1のOSは磁気ディスク106、ネットワークI/F11
2を管理しており、磁気ディスク106内にはファイル
107が格納されている。
【0099】第2のOSが管理するメモリ領域2202内
には、ラベル管理プログラム109、プロセス管理リス
ト400があり、また、第2のOSは磁気ディスク220
5を管理しており、磁気ディスク2205内には機密レ
ベル制御リスト1400が格納されている。
【0100】I/Oフックプログラム2203はアプリケ
ーションプログラム103または機密レベル変更プログ
ラム108からのファイル107へのアクセス要求また
はファイル107の送受信要求をフックする。さらに、
I/Oフックプログラム2203はラベル管理プログラム
109に処理を依頼する機能とラベル管理プログラム1
09の処理結果を受け取りファイルシステムドライバ1
04またはプロトコルドライバ110に処理結果を渡す
機能を持っている。具体的にはI/Oフックプログラム2
203は複数OS制御プログラム2204のOS間通信機能
を利用してラベル管理プログラム109に処理を依頼す
る。OS間通信機能に関しては、たとえば、特開平11−
85546号公報に開示されている。
【0101】本実施例によれば、保護対象(ラベル管理
プログラム109、プロセス管理リスト400、機密レ
ベル制御リスト1400)を第2のOSが管理することに
より、第1のOS上で動作しているアプリケーションプロ
グラム103、デバイスドライバのバグまたはユーザの
操作ミスによる変更から保護することが可能となる。
【0102】(その他)上記各実施例によれば、単に組
織内の機密情報の漏洩を防止できるだけでなく、組織外
ネットワーク121経由での不正侵入による機密情報の
漏洩も防止することも可能になる。不正侵入者がゲート
ウェイサーバ118を経由してクライアント端末101
内の機密ファイルを持ち出そうとした場合、ゲートウェ
イサーバ118の送信管理プログラム119は、当該機
密ファイルのラベルをチェックする。機密レベルが「社
外秘」の場合、送信管理プログラム119は外部への送
信を拒否する為、機密ファイルの漏洩を防止することが
可能である。
【0103】また、信頼できない(Untrusted)プログ
ラム(例:メールに添付されてくるプログラム)に対し
ては、ラベル管理プログラム109が「Untrusted」と
いうラベルを取りつけ、アクセスできるファイルに制限
を加えるように構成することも可能である。具体的には
システムファイルやカーネルの設定情報ファイルに「Tr
usted」のラベルを付け、「Untrusted」のプログラムが
「Trusted」のファイルへアクセスした場合に、ラベル
管理プログラム109がアクセス制限を加えるように構
成すればよい。この機能は、たとえば、ファイルオープ
ン時にラベル管理プログラム109がプログラムとファ
イルのラベルをそれぞれチェックすることにより実現可
能になる。このような機能を用いれば、コンピュータウ
ィルスによるシステムへの影響を最小限に抑えることが
可能である。
【0104】また、専用の通信プロトコルを用いて、ク
ライアント端末101とゲートウェイサーバ118間の
通信を行ってもよい。これにより、例えば、各パケット
のヘッダ領域にラベルを付加し、ゲートウェイサーバ1
18の送信管理プログラム119はこのパケットのヘッ
ダ領域のラベルをチェックすることによりデータの送信
の可否を決定することが可能となる。専用の通信プロト
コルを用いた場合はは、データを組織外ネットワーク1
21へ送信する場合には、送信管理プログラム119は
ラベルを取り除き、汎用の通信プロトコル(TCP/I
Pなど)のパケットに変換するように構成すればよい。
【0105】また、電子メールの添付ファイルにラベル
付きのファイル107を添付して送信し、ゲートウェイ
サーバ121では、メールの添付ファイルのラベルをチ
ェックすることにより、電子メールによって機密ファイ
ルが社外に漏洩することを防止することが可能である。
なお、メール本文に関しては、キーワード検索によって
ポリシーに反するキーワードが含まれていないかどうか
をチェックすることにより、漏洩防止が可能になる。
【0106】また、クライアント端末101毎に機密レ
ベルを設定し、さらにクライアント端末101間と、ク
ライアント端末101と各サーバ間に中間サーバを設
け、中間サーバに情報漏洩防止機能を持たせても良い。
この場合、クライアント端末101上のファイル107
にはラベルを付けなくてもよい。
【0107】この例において、中間サーバは各クライア
ント端末101の機密レベルを管理し、クライアント端
末101が送信したファイル107を別のクライアント
端末101あるいは他の部署あるいはグループに送信し
てよいかどうかを決定する。中間サーバはクライアント
端末101に直接ファイル107を送信する場合にはラ
ベルを取りつけず、他の部署あるいはグループの中間サ
ーバに送信する場合にはラベルを取りつける。中間サー
バは別の中間サーバから受信したファイル107のラベ
ルをチェックし、クライアント端末101に送信する場
合にはラベルを取り外してファイル107を送信する。
なお、中間サーバは部署単位あるいはグループ単位に設
けても良い。
【0108】このようにすることにより、各クライアン
ト端末107にはラベル管理プログラム109を組み込
む必要がなくなり、情報漏洩防止機能を導入する為の手
間を軽減できる。
【0109】
【発明の効果】機密ファイルの漏洩を防止することが、
任意のファイルフォーマットに対して対応可能なシステ
ムを提供できる。
【0110】
【符号の説明】
101:クライアント端末、102:メモリ、103:
アプリケーションプログラム、104:ファイルシステ
ムドライバ、105:ディスクドライバ、106:磁気
ディスク、107:ファイル、108:機密レベル変更
プログラム、109:ラベル管理プログラム、110:
プロトコルドライバ、111:ネットワークアダプタド
ライバ、112:ネットワークI/F、113:CPU、
114:鍵管理サーバ、115:鍵管理プログラム、1
16:鍵情報、117:組織内ネットワーク、118:
ゲートウェイサーバ、119:送信管理プログラム、1
20:受信管理プログラム、121:組織外ネットワー
ク、122:外部記憶装置、123:リムーバブルメデ
ィア、124:ファイル、201:バージョン情報、2
02:機密レベル、203:設定者レベル、204:設
定者ID、400:プロセス管理リスト、401:プロ
セスID、402:プロセス機密レベル、403:ファ
イル名、404:ファイルの機密レベル、1400:機
密レベル制御リスト、1401:ファイル名、140
2:機密レベル、1403:設定者レベル、1404:
設定者ID、1701:ラベル、1702:データハッ
シュ値、1703:ラベル用署名、1704:ファイル
データ、1705:リンク用署名、2201:第1のO
Sが管理するメモリ領域、2202:第2のOSが管理
するメモリ領域、2203:I/Oフックプログラム、2
204:複数OS制御プログラム、2205:磁気ディ
スク。
【0111】
【図面の簡単な説明】
【図1】本発明によるネットワークシステムの全体を表
す図である。
【図2】ラベルのフォーマットを表す図である。
【図3】ファイルオープンの処理フロー図である。
【図4】プロセス管理リストを表す図である。
【図5】ファイルの読み取りの処理フロー図である。
【図6】ファイルへの書き込みの処理フロー図である。
【図7】リムーバブルメディアへのファイルの書き込み
の処理フロー図である。
【図8】リムーバブルメディアからのファイルの読み取
りの処理フロー図である。
【図9】ファイルのネットワーク上への送信の処理フロ
ー図である。
【図10】機密レベルの変更の処理フロー図である。
【図11】ゲートウェイサーバでのラベルのチェックの
処理フロー図である。
【図12】機密レベル制御リストのフォーマットを表す
図である。
【図13】第2の実施例におけるリムーバブルメディア
へのファイルの書き込みの処理フロー図である。
【図14】第3の実施例におけるラベル付きファイルの
構造を表す図である。
【図15】第3の実施例におけるファイルへの書き込み
の処理フロー図である。
【図16】クライアント端末におけるファイル受信の処
理フロー図である。
【図17】第3の実施例におけるゲートウェイサーバで
のラベルのチェックの処理フロー図である。
【図18】2つのOSを利用した本発明によるネットワ
ークシステムのクライアント端末の構成図である。
フロントページの続き (72)発明者 越前 功 神奈川県川崎市麻生区王禅寺1099番地 株 式会社日立製作所システム開発研究所内 Fターム(参考) 5B017 AA03 BA07 BB00 CA07 CA16 5B082 EA07 5J104 AA12 PA14

Claims (17)

    【特許請求の範囲】
  1. 【請求項1】組織内ネットワークに接続され、データを
    送受信する手段を備える送受信端末と、前記送受信端末
    と前記組織内ネットワークとの間で送受信されるデータ
    を中継する手段を備える中継装置とを備えるネットワー
    クシステムであって、 前記データは情報本体と前記情報本体に関連した付加情
    報からなり、 前記中継装置は前記付加情報を用いて送受信端末からの
    データの送信を制御する手段と、前記組織内ネットワー
    ク外へ送信可能な前記データから前記付加情報を取り除
    く手段を備える送信制御可能なネットワークシステム。
  2. 【請求項2】請求項1記載の送信制御可能なネットワー
    クシステムであって、 前記付加情報は前記情報本体の属性を表す情報を有し、 前記中継装置は前記属性に応じた送信ポリシーを保持す
    る手段と、 前記送信ポリシーに従って前記送受信端末が送信したデ
    ータの送信の可否を決定する手段とを備える送信制御可
    能なネットワークシステム。
  3. 【請求項3】請求項1または請求項2記載の送信制御可
    能なネットワークシステムであって、 前記属性は機密レベルである送信制御可能なネットワー
    クシステム。
  4. 【請求項4】請求項3記載の送信制御可能なネットワー
    クシステムであって、 さらに、前記付加情報は前記機密レベルの設定者情報
    と、前記設定者の階級情報を有する、送信制御可能なネ
    ットワークシステム。
  5. 【請求項5】請求項3または請求項4に記載の送信制御
    可能なネットワークシステムであって、 前記送受信端末は前記付加情報を用いた前記情報本体へ
    のアクセス制御手段と、 前記データの内、情報本体を、当該送受信端末で動作す
    るアプリケーションプログラムに渡す手段とを備える、
    送信制御可能なネットワークシステム。
  6. 【請求項6】請求項4記載の送信制御可能なネットワー
    クシステムであって、 さらに、前記付加情報を変更する手段を備える、送信制
    御可能なネットワークシステム。
  7. 【請求項7】請求項5または請求項6記載の送信制御可
    能なネットワークシステムであって、 前記アクセス制御手段は、前記アプリケーションプログ
    ラムに機密レベルを設定する手段と、前記アプリケーシ
    ョンプログラムのデータアクセス要求に対して、前記ア
    プリケーションプログラムの機密レベルとデータ本体の
    機密レベルを比較することによって、前記アプリケーシ
    ョンプログラムの前記データへのアクセスの可否を決定
    する手段を備え、 前記アプリケーションプログラムに機密レベルを設定す
    る手段は、の機密レベルは、当該アプリケーションプロ
    グラムが前記データの処理を開始する時に当該データ本
    体の機密レベルに応じて、前記アプリケーションプログ
    ラムに機密レベルを決定することを特徴とする、送信制
    御可能なネットワークシステム。
  8. 【請求項8】請求項1記載の送信制御可能なネットワー
    クシステムであって、前記中継装置は、 前記送受信端末が送信を許可されている、前記組織内ネ
    ットワーク外の送信先の送信許可リストと、 前記送受信端末が送信しようとするデータを暗号化する
    手段と、 前記送受信端末が送信しようとするデータを受信する手
    段と、前記送信許可リストを参照して、前記データの送
    信の可否を決定する手段と、許可された場合に前記デー
    タを暗号化する手段と、前記暗号化データを、前記組織
    内ネットワーク外へ送信する手段を備える送信制御可能
    なネットワークシステム。
  9. 【請求項9】請求項1記載の送信制御可能なネットワー
    クシステムであって、前記中継装置は、 前記組織内ネットワーク外から前記送受信端末へ向けて
    送信されてきた情報本体を受信する手段と、 前記情報本体に付加情報を取りつけ、前記データを生成
    する手段と、 前記データを前記送受信端末に送信することを特徴とす
    る、送信制御可能なネットワークシステム。
  10. 【請求項10】請求項1記載の送信制御可能なネットワ
    ークシステムであって、前記送受信端末は、 各情報本体に付加すべき付加情報を記録した付加情報リ
    ストと、前記付加情報をデータの送信時とリムーバブル
    メディアへの書き込み時に前記情報本体に付加し、デー
    タを生成する手段を備える送信制御可能なネットワーク
    システム。
  11. 【請求項11】請求項1記載の送信制御可能なネットワ
    ークシステムであって、 前記付加情報は前記情報本体の機密レベルを表す情報
    と、前記情報本体の特徴値と、前記機密レベルを表す情
    報と前記特徴値に対する第1のディジタル署名と、前記
    機密レベルを表す情報と前記情報本体に対する第2のデ
    ィジタル署名とから成る送信制御可能なネットワークシ
    ステム。
  12. 【請求項12】請求項1記載の送信制御可能なネットワ
    ークシステムであって、 前記送受信端末は、第1のOSと第2のOSと前記第1
    のOSと第2のOSを制御する複数OS制御プログラム
    とを備え、 前記第1のOSは前記情報本体を扱うアプリケーション
    プログラムを管理し、 前記第2のOSは前記付加情報を用いた前記情報本体へ
    のアクセス制御手段と、前記付加情報を変更する手段と
    を管理する送信制御可能なネットワークシステム。
  13. 【請求項13】第1の記憶装置とリムーバブルメディア
    を読み書きする第2の記憶装置と、前記第1、第2の記
    憶装置へのアクセス手段と、各情報本体に付加すべき付
    加情報のリストである付加情報リストを備える情報処理
    装置と、暗号化鍵を管理する鍵管理装置を有する送信制
    御可能なネットワークシステムであって、 前記アクセス手段は、前記第1の記憶装置内の情報本体
    を前記第2の記憶装置へ記録する記録手段を備え、 前記記録手段は、前記付加情報リストに記録されている
    前記情報本体の付加情報を参照して前記データの暗号化
    の可否を決定する手段と、暗号化可能な場合に暗号化鍵
    を生成する手段と、前記暗号化鍵を用いて前記データを
    暗号化する手段と、前記鍵管理装置に前記暗号化鍵を登
    録する手段と、前記鍵管理装置から登録した前記暗号化
    鍵の識別子を受信する手段と、前記情報本体に前記付加
    情報を付加しデータを生成する手段と、前記データを前
    記暗号化鍵を用いて暗号化したデータと前記識別番号を
    第2の記憶装置へ記録する手段とを備える、送信制御可
    能なネットワークシステム。
  14. 【請求項14】第1の記憶装置とリムーバブルメディア
    対応の第2の記憶装置と、前記第1、第2の記憶装置へ
    のアクセス手段と各情報本体に付加すべき付加情報のリ
    ストである付加情報リストを備える情報処理装置と、暗
    号化鍵を管理する鍵管理装置を有する送信制御可能なネ
    ットワークシステムであって、 前記アクセス手段は、第2の記憶装置内のデータを第1
    の記憶装置へ記録する記録手段を備え、 前記データは識別子と暗号化データを有し、 前記暗号化データは付加情報部を有し、 前記記録手段は、前記識別子を前記鍵管理装置に送信
    し、対応する前記暗号化データの暗号化鍵を受信する手
    段と、 前記暗号化データを前記暗号化鍵を用いて復号化する手
    段と、前記付加情報を前記付加情報リストに追加する手
    段とを備え、 前記鍵管理装置は、前記記録手段から前記識別子を受信
    し、対応する前記暗号化データの暗号化鍵を前記記録手
    段に送信する手段を備える送信制御可能なネットワーク
    システム。
  15. 【請求項15】第1の記憶装置とリムーバブルメディア
    を読み書きする第2の記憶装置と、前記第1、第2の記
    憶装置へのアクセス手段を備える情報処理装置と、暗号
    化鍵を管理する鍵管理装置を有する送信制御可能なネッ
    トワークシステムであって、 前記アクセス手段は、前記第1の記憶装置内のデータを
    前記第2の記憶装置へ記録する記録手段を備え、 前記データは情報本体と前記情報本体に関連した付加情
    報とからなり、 前記記録手段は前記付加情報に基づき前記データの暗号
    化の可否を決定する手段と、暗号化鍵を生成する手段
    と、前記暗号化鍵を用いて前記データを暗号化する手段
    と、前記鍵管理装置に前記暗号化鍵を登録する手段と、
    前記鍵管理装置から登録した前記暗号化鍵の識別子を受
    信する手段と、前記暗号化したデータと前記識別子とを
    第2の記憶装置へ記録する手段と、を備え、 前記鍵管理装置は、前記記録手段から前記暗号化鍵を受
    信し、対応する前記識別子を前記記録手段に送信する手
    段を備える送信制御可能なネットワークシステム。
  16. 【請求項16】第1の記憶装置とリムーバブルメディア
    を読み書きする第2の記憶装置と、前記第1、第2の記
    憶装置へのアクセス手段を備える情報処理装置と、暗号
    化鍵を管理する鍵管理装置を有する送信制御可能なネッ
    トワークシステムであって、 前記アクセス手段は、前記第2の記憶装置内のデータを
    前記第1の記憶装置へ記録する記録手段を備え、 前記データは識別子と暗号化データを有し、 前記記録手段は前記識別子を前記鍵管理装置に送信し、
    前記暗号化データの暗号化鍵を受信する手段と、前記暗
    号化データを前記暗号化鍵を用いて復号化する手段を備
    え、 前記鍵管理装置は、前記記録手段から前記識別子を受信
    し、対応する前記暗号化データの暗号化鍵を前記記録手
    段に送信する手段を備える送信制御可能なネットワーク
    システム。
  17. 【請求項17】請求項4記載の送信制御可能なネットワ
    ークシステムであって、 前記送受信端末は、前記付加情報の変更手段を有し、 前記変更手段は、前記付加情報のデータの機密レベルと
    前記機密レベルの設定者情報と前記設定者の階級情報
    と、前記データの付加情報を変更しようとする者の変更
    者情報と前記変更者の階級情報とを参照し、前記データ
    の機密レベルの変更の可否を決定する送信制御可能なネ
    ットワークシステム。
JP2001370824A 2001-12-05 2001-12-05 送信制御可能なネットワークシステム Expired - Fee Related JP4051924B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2001370824A JP4051924B2 (ja) 2001-12-05 2001-12-05 送信制御可能なネットワークシステム
US10/074,239 US7047407B2 (en) 2001-12-05 2002-02-14 Network system enabling transmission control
EP02003597A EP1318645A3 (en) 2001-12-05 2002-02-15 Network system enabling transmission control

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001370824A JP4051924B2 (ja) 2001-12-05 2001-12-05 送信制御可能なネットワークシステム

Publications (2)

Publication Number Publication Date
JP2003173284A true JP2003173284A (ja) 2003-06-20
JP4051924B2 JP4051924B2 (ja) 2008-02-27

Family

ID=19179986

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001370824A Expired - Fee Related JP4051924B2 (ja) 2001-12-05 2001-12-05 送信制御可能なネットワークシステム

Country Status (3)

Country Link
US (1) US7047407B2 (ja)
EP (1) EP1318645A3 (ja)
JP (1) JP4051924B2 (ja)

Cited By (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005031834A (ja) * 2003-07-09 2005-02-03 Hitachi Ltd データ配置に制限を設けるデータ処理方法、記憶領域制御方法、および、データ処理システム。
JP2005128996A (ja) * 2003-09-30 2005-05-19 Dainippon Printing Co Ltd 情報処理装置、情報処理システム及びプログラム
JP2005209181A (ja) * 2003-12-25 2005-08-04 Sorun Corp ファイル管理システム及び管理方法
JP2005316952A (ja) * 2004-04-02 2005-11-10 Ricoh Co Ltd 情報処理装置、資源管理装置、属性変更許否判定方法、属性変更許否判定プログラム及び記録媒体
JP2006048193A (ja) * 2004-08-02 2006-02-16 Meta Protocol Kk ネットワークシステム及びその文書管理方法
JP2006072664A (ja) * 2004-09-01 2006-03-16 Nec Corp ファイル管理システム、およびファイル管理プログラム
WO2007001075A1 (ja) * 2005-06-29 2007-01-04 N-Crypt, Inc. 暗号化処理装置、暗号化方法、復号化処理装置、復号化方法、及びデータ構造
JP2007025809A (ja) * 2005-07-12 2007-02-01 Hitachi Software Eng Co Ltd 外部記憶媒体へのデータ保存・読み出し方法
JP2008117315A (ja) * 2006-11-07 2008-05-22 Fuji Xerox Co Ltd 画像処理システム、管理サーバ、およびプログラム
JP2008123308A (ja) * 2006-11-14 2008-05-29 Fuji Xerox Co Ltd 文書処理システム、文書処理装置、メールサーバー及びプログラム
JP2008287609A (ja) * 2007-05-21 2008-11-27 Oki Electric Ind Co Ltd メール管理システム
JP2009169895A (ja) * 2008-01-21 2009-07-30 Hitachi Ltd 情報流出検知方法、情報流出検知装置、情報流出検知システム
JP2009211205A (ja) * 2008-02-29 2009-09-17 Fujitsu Frontech Ltd 制御装置及びイメージデータの表示方法
JP2009245443A (ja) * 2003-09-30 2009-10-22 Dainippon Printing Co Ltd 情報処理装置、情報処理システム及びプログラム
WO2009147855A1 (ja) * 2008-06-03 2009-12-10 株式会社 日立製作所 ファイル管理システム
US7725931B2 (en) 2005-09-28 2010-05-25 Fujitsu Limited Communications system with security checking functions for file transfer operation
WO2011086787A1 (ja) * 2010-01-13 2011-07-21 日本電気株式会社 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム
WO2011089788A1 (ja) * 2010-01-19 2011-07-28 日本電気株式会社 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム
WO2011162079A1 (ja) * 2010-06-25 2011-12-29 日本電気株式会社 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム
JP2013521587A (ja) * 2010-03-05 2013-06-10 マイクロソフト コーポレーション ゾーンを使用した情報保護
JP2017207943A (ja) * 2016-05-19 2017-11-24 株式会社日立製作所 ファイル管理システム及び方法
US9838349B2 (en) 2010-03-08 2017-12-05 Microsoft Technology Licensing, Llc Zone classification of electronic mail messages
WO2021059564A1 (ja) * 2019-09-25 2021-04-01 株式会社日立製作所 計算機システム、データ制御方法及び記憶媒体

Families Citing this family (49)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003104954A2 (en) * 2002-06-06 2003-12-18 Green Border Technologies Methods and systems for implementing a secure application execution environment using derived user accounts for internet content
US7519984B2 (en) * 2002-06-27 2009-04-14 International Business Machines Corporation Method and apparatus for handling files containing confidential or sensitive information
TWI258696B (en) * 2004-05-04 2006-07-21 Intervideo Digital Technology Computer system capable of rendering encrypted multimedia and method thereof
JP4168991B2 (ja) * 2004-08-10 2008-10-22 ブラザー工業株式会社 印刷制御装置、印刷システム、プログラム及び印刷制御方法
US8776206B1 (en) * 2004-10-18 2014-07-08 Gtb Technologies, Inc. Method, a system, and an apparatus for content security in computer networks
US7783896B2 (en) * 2005-09-06 2010-08-24 Research In Motion Limited System and method for management of plaintext data in a mobile data processing device
FR2898445B1 (fr) * 2006-03-08 2008-11-14 Airbus France Sas Procede et dispositif de detection de tentatives d'intrusion sur une liaison de communication entre un aeronef et une station sol.
FR2900008B1 (fr) * 2006-04-18 2008-05-30 Airbus France Sas Procede et dispositif de communication sur une liaison de communication entre un aeronef et une station sol
US8028908B2 (en) 2006-05-01 2011-10-04 Patrick Shomo Systems and methods for the secure control of data within heterogeneous systems and networks
US8020213B2 (en) * 2006-08-01 2011-09-13 International Business Machines Corporation Access control method and a system for privacy protection
TWI325113B (en) * 2006-10-13 2010-05-21 Data security device and the method thereof
US8250360B2 (en) * 2006-11-29 2012-08-21 The Boeing Company Content based routing with high assurance MLS
US8590002B1 (en) * 2006-11-29 2013-11-19 Mcafee Inc. System, method and computer program product for maintaining a confidentiality of data on a network
FR2914805A1 (fr) * 2007-04-03 2008-10-10 Thales Sa Architecture d'un reseau local ouvert support de services audio entre usagers ip appartenant a des domaines cloisonnes
US8621008B2 (en) 2007-04-26 2013-12-31 Mcafee, Inc. System, method and computer program product for performing an action based on an aspect of an electronic mail message thread
US8752207B2 (en) * 2007-05-18 2014-06-10 Secure Keys Pty Limited Security token and system and method for generating and decoding the security token
US8024788B2 (en) * 2007-05-31 2011-09-20 The Boeing Company Method and apparatus for reliable, high speed data transfers in a high assurance multiple level secure environment
JP5211557B2 (ja) * 2007-06-15 2013-06-12 富士通株式会社 Web会議支援プログラム、該プログラムを記録した記録媒体、Web会議支援装置、およびWeb会議支援方法
US8199965B1 (en) 2007-08-17 2012-06-12 Mcafee, Inc. System, method, and computer program product for preventing image-related data loss
US20130276061A1 (en) 2007-09-05 2013-10-17 Gopi Krishna Chebiyyam System, method, and computer program product for preventing access to data with respect to a data access attempt associated with a remote data sharing session
US20090070466A1 (en) * 2007-09-06 2009-03-12 Secureaxis Software, Llc System and Method for Securely Managing Data in a Client-Server Application Environment
US8446607B2 (en) * 2007-10-01 2013-05-21 Mcafee, Inc. Method and system for policy based monitoring and blocking of printing activities on local and network printers
US7941399B2 (en) 2007-11-09 2011-05-10 Microsoft Corporation Collaborative authoring
US8825758B2 (en) * 2007-12-14 2014-09-02 Microsoft Corporation Collaborative authoring modes
US8301588B2 (en) 2008-03-07 2012-10-30 Microsoft Corporation Data storage for file updates
US8893285B2 (en) 2008-03-14 2014-11-18 Mcafee, Inc. Securing data using integrated host-based data loss agent with encryption detection
US7529932B1 (en) * 2008-03-31 2009-05-05 International Business Machines Corporation Removable medium and system and method for writing data to same
US8352870B2 (en) 2008-04-28 2013-01-08 Microsoft Corporation Conflict resolution
US8825594B2 (en) * 2008-05-08 2014-09-02 Microsoft Corporation Caching infrastructure
US8429753B2 (en) * 2008-05-08 2013-04-23 Microsoft Corporation Controlling access to documents using file locks
US8132004B2 (en) 2008-06-12 2012-03-06 The Boeing Company Multiple independent levels of security containing multi-level security interface
US8417666B2 (en) * 2008-06-25 2013-04-09 Microsoft Corporation Structured coauthoring
US9077684B1 (en) 2008-08-06 2015-07-07 Mcafee, Inc. System, method, and computer program product for determining whether an electronic mail message is compliant with an etiquette policy
US20100131836A1 (en) * 2008-11-24 2010-05-27 Microsoft Corporation User-authored notes on shared documents
US8346768B2 (en) * 2009-04-30 2013-01-01 Microsoft Corporation Fast merge support for legacy documents
KR20110011797A (ko) 2009-07-29 2011-02-09 엘지전자 주식회사 이메일 보안 설정 방법 및 장치
US8458718B2 (en) 2009-08-27 2013-06-04 The Boeing Company Statically partitioning into fixed and independent systems with fixed processing core
US8479260B2 (en) * 2009-12-21 2013-07-02 The Boeing Company Multi-level security controls system
US8665312B2 (en) * 2010-12-06 2014-03-04 Ricoh Company, Ltd. Apparatus, system, and method of managing data transmission, and transmission management program
US8990560B2 (en) * 2011-06-17 2015-03-24 The Boeing Company Multiple independent levels of security (MILS) host to multilevel secure (MLS) offload communications unit
US9465508B1 (en) * 2012-06-13 2016-10-11 Rockwell Collins, Inc. High assurance classification disambiguation of user input on tactical display systems
CN102984125B (zh) * 2012-10-31 2016-01-13 蓝盾信息安全技术股份有限公司 一种移动数据隔离的系统及方法
US9712541B1 (en) 2013-08-19 2017-07-18 The Boeing Company Host-to-host communication in a multilevel secure network
US10038596B2 (en) * 2014-09-23 2018-07-31 Vmware, Inc. Host profiles in a storage area network (SAN) architecture
JP6395540B2 (ja) * 2014-09-25 2018-09-26 株式会社東芝 連携システム、プログラム
US9716692B2 (en) * 2015-01-01 2017-07-25 Bank Of America Corporation Technology-agnostic application for high confidence exchange of data between an enterprise and third parties
US20170149828A1 (en) * 2015-11-24 2017-05-25 International Business Machines Corporation Trust level modifier
CN108133148B (zh) * 2017-12-22 2019-05-21 北京明朝万达科技股份有限公司 数据安全检查方法及系统
US10555159B1 (en) * 2019-03-13 2020-02-04 Whelen Engineering Company, Inc. System and method for operating stealth mode of emergency vehicle

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5577209A (en) * 1991-07-11 1996-11-19 Itt Corporation Apparatus and method for providing multi-level security for communication among computers and terminals on a network
US5680452A (en) * 1993-10-18 1997-10-21 Tecsec Inc. Distributed cryptographic object method
JPH08204701A (ja) 1995-01-26 1996-08-09 Nippon Telegr & Teleph Corp <Ntt> 電子メール暗号通信システム及び暗号通信方法
US5802320A (en) 1995-05-18 1998-09-01 Sun Microsystems, Inc. System for packet filtering of data packets at a computer network interface
JP3831990B2 (ja) 1996-10-04 2006-10-11 株式会社日立製作所 通信データ監査方法および装置
US6772419B1 (en) * 1997-09-12 2004-08-03 Hitachi, Ltd. Multi OS configuration system having an interrupt process program executes independently of operation of the multi OS
JP3546678B2 (ja) 1997-09-12 2004-07-28 株式会社日立製作所 マルチos構成方法
JPH1185546A (ja) 1997-09-12 1999-03-30 Hitachi Ltd 異種os上プロセス間通信方法
US6304973B1 (en) 1998-08-06 2001-10-16 Cryptek Secure Communications, Llc Multi-level security network system
US6317435B1 (en) * 1999-03-08 2001-11-13 Qualcomm Incorporated Method and apparatus for maximizing the use of available capacity in a communication system

Cited By (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005031834A (ja) * 2003-07-09 2005-02-03 Hitachi Ltd データ配置に制限を設けるデータ処理方法、記憶領域制御方法、および、データ処理システム。
JP4537022B2 (ja) * 2003-07-09 2010-09-01 株式会社日立製作所 データ配置に制限を設けるデータ処理方法、記憶領域制御方法、および、データ処理システム。
JP2005128996A (ja) * 2003-09-30 2005-05-19 Dainippon Printing Co Ltd 情報処理装置、情報処理システム及びプログラム
JP2009245443A (ja) * 2003-09-30 2009-10-22 Dainippon Printing Co Ltd 情報処理装置、情報処理システム及びプログラム
US8918633B2 (en) 2003-09-30 2014-12-23 Dai Nippon Printing Co., Ltd. Information processing device, information processing system, and program
JP2005209181A (ja) * 2003-12-25 2005-08-04 Sorun Corp ファイル管理システム及び管理方法
JP2005316952A (ja) * 2004-04-02 2005-11-10 Ricoh Co Ltd 情報処理装置、資源管理装置、属性変更許否判定方法、属性変更許否判定プログラム及び記録媒体
JP4676779B2 (ja) * 2004-04-02 2011-04-27 株式会社リコー 情報処理装置、資源管理装置、属性変更許否判定方法、属性変更許否判定プログラム及び記録媒体
JP2006048193A (ja) * 2004-08-02 2006-02-16 Meta Protocol Kk ネットワークシステム及びその文書管理方法
JP2006072664A (ja) * 2004-09-01 2006-03-16 Nec Corp ファイル管理システム、およびファイル管理プログラム
JP4539240B2 (ja) * 2004-09-01 2010-09-08 日本電気株式会社 ファイル管理システム、およびファイル管理サーバ
JP2007013506A (ja) * 2005-06-29 2007-01-18 N-Crypt Inc 暗号化処理装置、暗号化方法、復号化処理装置、復号化方法、及びデータ構造
WO2007001075A1 (ja) * 2005-06-29 2007-01-04 N-Crypt, Inc. 暗号化処理装置、暗号化方法、復号化処理装置、復号化方法、及びデータ構造
JP2007025809A (ja) * 2005-07-12 2007-02-01 Hitachi Software Eng Co Ltd 外部記憶媒体へのデータ保存・読み出し方法
JP4671340B2 (ja) * 2005-07-12 2011-04-13 株式会社日立ソリューションズ 外部記憶媒体へのデータ保存・読み出し方法
US7725931B2 (en) 2005-09-28 2010-05-25 Fujitsu Limited Communications system with security checking functions for file transfer operation
JP2008117315A (ja) * 2006-11-07 2008-05-22 Fuji Xerox Co Ltd 画像処理システム、管理サーバ、およびプログラム
JP2008123308A (ja) * 2006-11-14 2008-05-29 Fuji Xerox Co Ltd 文書処理システム、文書処理装置、メールサーバー及びプログラム
JP2008287609A (ja) * 2007-05-21 2008-11-27 Oki Electric Ind Co Ltd メール管理システム
JP2009169895A (ja) * 2008-01-21 2009-07-30 Hitachi Ltd 情報流出検知方法、情報流出検知装置、情報流出検知システム
JP2009211205A (ja) * 2008-02-29 2009-09-17 Fujitsu Frontech Ltd 制御装置及びイメージデータの表示方法
WO2009147855A1 (ja) * 2008-06-03 2009-12-10 株式会社 日立製作所 ファイル管理システム
US8677508B2 (en) 2010-01-13 2014-03-18 Nec Corporation Confidential information leakage prevention system, confidential information leakage prevention method and confidential information leakage prevention program
WO2011086787A1 (ja) * 2010-01-13 2011-07-21 日本電気株式会社 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム
JP5704517B2 (ja) * 2010-01-13 2015-04-22 日本電気株式会社 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム
JPWO2011086787A1 (ja) * 2010-01-13 2013-05-16 日本電気株式会社 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム
CN102713926B (zh) * 2010-01-19 2016-05-11 日本电气株式会社 机密信息泄露防止系统及方法
WO2011089788A1 (ja) * 2010-01-19 2011-07-28 日本電気株式会社 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム
JPWO2011089788A1 (ja) * 2010-01-19 2013-05-20 日本電気株式会社 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム
CN102713926A (zh) * 2010-01-19 2012-10-03 日本电气株式会社 机密信息泄露防止系统、机密信息泄露防止方法及机密信息泄露防止程序
JP5704518B2 (ja) * 2010-01-19 2015-04-22 日本電気株式会社 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム
JP2013521587A (ja) * 2010-03-05 2013-06-10 マイクロソフト コーポレーション ゾーンを使用した情報保護
US9838349B2 (en) 2010-03-08 2017-12-05 Microsoft Technology Licensing, Llc Zone classification of electronic mail messages
WO2011162079A1 (ja) * 2010-06-25 2011-12-29 日本電気株式会社 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム
US9076011B2 (en) 2010-06-25 2015-07-07 Nec Corporation Secret information leakage prevention system, secret information leakage prevention method and secret information leakage prevention program
JP2017207943A (ja) * 2016-05-19 2017-11-24 株式会社日立製作所 ファイル管理システム及び方法
WO2021059564A1 (ja) * 2019-09-25 2021-04-01 株式会社日立製作所 計算機システム、データ制御方法及び記憶媒体
CN113141777A (zh) * 2019-09-25 2021-07-20 株式会社日立制作所 计算机系统、数据控制方法及存储介质
JPWO2021059564A1 (ja) * 2019-09-25 2021-10-07 株式会社日立製作所 計算機システム、データ制御方法及び記憶媒体
JP7138230B2 (ja) 2019-09-25 2022-09-15 株式会社日立製作所 計算機システム、データ制御方法及び記憶媒体

Also Published As

Publication number Publication date
US20030105979A1 (en) 2003-06-05
JP4051924B2 (ja) 2008-02-27
EP1318645A3 (en) 2005-04-20
US7047407B2 (en) 2006-05-16
EP1318645A2 (en) 2003-06-11

Similar Documents

Publication Publication Date Title
JP4051924B2 (ja) 送信制御可能なネットワークシステム
JP5270694B2 (ja) 機密ファイルを保護するためのクライアント・コンピュータ、及びそのサーバ・コンピュータ、並びにその方法及びコンピュータ・プログラム
US9461819B2 (en) Information sharing system, computer, project managing server, and information sharing method used in them
CN109923548A (zh) 通过监管进程访问加密数据实现数据保护的方法、系统及计算机程序产品
US20030154381A1 (en) Managing file access via a designated place
JP2003228519A (ja) デジタル資産にパーベイシブ・セキュリティを提供する方法及びアーキテクチャ
RU2463721C2 (ru) Способ отправки электронного файла
RU2412480C2 (ru) Система и способ установления того, что сервер и корреспондент имеют согласованную защищенную почту
JP2003228520A (ja) 保護電子データにオフラインでアクセスする方法及び装置
JP2002318719A (ja) 高信頼計算機システム
JP2007241513A (ja) 機器監視装置
KR20100039359A (ko) 파일 시스템 레벨에서 명확하게 인지되는 데이터 변환을 위한 시스템 및 방법
JP2002540540A (ja) ファイルの保全性を保証するサーバコンピュータ
US7673134B2 (en) Backup restore in a corporate infrastructure
JP4775980B2 (ja) ウェブ・サービスにおける秘密データ通信
KR100440037B1 (ko) 문서보안 시스템
US8707034B1 (en) Method and system for using remote headers to secure electronic files
JP2004070674A (ja) 電子データ交換システムにおけるデータ保護装置及びデータ保護方法並びにそれに用いるプログラム
JPH09251426A (ja) ファイル暗号化システム及びその制御方法ならびに暗号ファイル受信システム及びその制御方法
TWI807041B (zh) 訊息處理裝置、訊息處理方法、訊息處理程式、以及訊息處理系統
US20050097347A1 (en) Printer security key management
US7886147B2 (en) Method, apparatus and computer readable medium for secure conversion of confidential files
US20220092193A1 (en) Encrypted file control
JP2005020105A (ja) 通信ユニット、情報通信システムおよび情報通信方法
JP2014017826A (ja) 電子ファイル送信方法

Legal Events

Date Code Title Description
RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20060419

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070727

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070904

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071018

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20071113

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20071126

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101214

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101214

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101214

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111214

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111214

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121214

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131214

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees