JP2005055999A - アクセス権管理装置、アクセス権管理方法、及びそのプログラム - Google Patents
アクセス権管理装置、アクセス権管理方法、及びそのプログラム Download PDFInfo
- Publication number
- JP2005055999A JP2005055999A JP2003206479A JP2003206479A JP2005055999A JP 2005055999 A JP2005055999 A JP 2005055999A JP 2003206479 A JP2003206479 A JP 2003206479A JP 2003206479 A JP2003206479 A JP 2003206479A JP 2005055999 A JP2005055999 A JP 2005055999A
- Authority
- JP
- Japan
- Prior art keywords
- access
- identification information
- confidential
- confidential part
- document file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
- Document Processing Apparatus (AREA)
Abstract
【課題】機密部分に対するアクセス制限をより有効なものにするアクセス権管理装置を提供する。
【解決手段】アクセス管理サーバ2は、複数の機密範囲が指定された文書ファイルを受信すると、これらの機密部分を秘匿化して閲覧端末6に配信する。アクセス管理サーバ2は、これらの機密部分に対するアクセス許容回数を、機密部分および閲覧端末6の端末識別情報に対応付けて管理し、閲覧端末6から機密部分に対するアクセス要求を受信すると、アクセス許容回数に応じてアクセス可能化データを閲覧端末6に返信する。これにより、各機密部分の機密度に応じたアクセス回数制限が可能になる。
【選択図】 図4
【解決手段】アクセス管理サーバ2は、複数の機密範囲が指定された文書ファイルを受信すると、これらの機密部分を秘匿化して閲覧端末6に配信する。アクセス管理サーバ2は、これらの機密部分に対するアクセス許容回数を、機密部分および閲覧端末6の端末識別情報に対応付けて管理し、閲覧端末6から機密部分に対するアクセス要求を受信すると、アクセス許容回数に応じてアクセス可能化データを閲覧端末6に返信する。これにより、各機密部分の機密度に応じたアクセス回数制限が可能になる。
【選択図】 図4
Description
【0001】
【発明の属する技術分野】
本発明は、文書ファイルの一部に対するアクセス権を管理するアクセス権管理装置、アクセス権管理方法、およびそのプログラムに関する。
【0002】
【従来の技術】
文書ファイルの機密管理方法として、文書ファイルの一部(機密部分)に対してアクセス権を設定し、アクセス権が付与されていない閲覧者に対しては、このアクセス権が設定された機密部分の閲覧を禁止する方法がある。例えば、アクセス権が付与されていない機密部分をマスク表示する方法や、アクセス権が付与されていない機密部分を表示せず空白にする方法などがある。
しかしながら、これらの方法により機密部分に対するアクセスを制限したとしても、アクセスが許可された者が、機密部分の閲覧を頻繁に繰り返していると、この機密部分の内容が他者に漏洩する場合もある。
【0003】
【発明が解決しようとする課題】
本発明は、上述した背景からなされたものであり、機密部分に対するアクセス制限をより有効なものにするアクセス権管理装置、アクセス権管理方法、およびそのプログラムを提供することを目的とする。
【0004】
【課題を解決するための手段】
[アクセス権管理装置]
上記目的を達成するために、本発明にかかるアクセス権管理装置は、少なくとも1つの機密部分にアクセス制限が施された文書ファイルのアクセス権管理装置であって、機密部分に対するアクセス許容回数を、それぞれの機密部分に対応付けて記憶する回数記憶手段と、前記文書ファイルの機密部分に対するアクセス要求を受け付ける要求受付手段と、前記回数記憶手段に記憶される機密部分毎のアクセス許容回数に基づいて、アクセス要求に対応する機密部分のアクセスを許可するか否かを決定する決定手段と、前記決定手段によりアクセスを許可する旨が決定された場合に、この機密部分のアクセスを可能にするアクセス可能化データを送信する送信手段と、前記決定手段によりアクセスを許可する旨が決定された場合に、前記回数記憶手段により記憶されるアクセス許容回数を更新する更新手段とを有する。
【0005】
好適には、前記回数記憶手段は、前記アクセス許容回数を、機密部分、および、この機密部分に対してアクセスを要求する要求者の識別情報に対応付けて記憶し、前記要求受付手段は、前記アクセス要求と、要求者の識別情報とを受け付け、前記決定手段は、前記回数記憶手段により記憶されるアクセス許容回数と、前記要求受付手段により受け付けられた要求者の識別情報とに基づいて、この機密部分に対するアクセスを許可するか否かを決定する。
好適には、前記要求者の識別情報は、この要求者が利用する端末の端末識別情報であり、前記回数記憶手段は、前記アクセス許容回数を、機密部分および端末識別情報に対応付けて記憶し、前記要求受付手段は、前記アクセス要求と、端末識別情報とを受け付け、前記決定手段は、前記回数記憶手段により記憶されるアクセス許容回数と、前記要求受付手段により受け付けられた端末識別情報とに基づいて、この機密部分に対するアクセスを許可するか否かを決定する。
好適には、前記更新手段によりアクセス許容回数が更新されてアクセス不可能になった場合に、警告情報を出力する警告手段をさらに有する。
【0006】
また、本発明にかかるアクセス権管理装置は、少なくとも1つの機密部分にアクセス制限が施された文書ファイルのアクセス権管理装置であって、文書ファイルに対するアクセス許容回数を、この文書ファイルに対応付けて記憶する回数記憶手段と、前記文書ファイルの機密部分に対するアクセス要求を受け付ける要求受付手段と、前記回数記憶手段に記憶される文書ファイル毎のアクセス許容回数に基づいて、アクセス要求に対応する機密部分のアクセスを許可するか否かを決定する決定手段と、前記決定手段によりアクセスを許可する旨が決定された場合に、この機密部分のアクセスを可能にするアクセス可能化データを送信する送信手段と、前記決定手段により機密部分のアクセスを許可する旨が決定された場合に、前記回数記憶手段により記憶される文書ファイル毎のアクセス許容回数を更新する更新手段とを有する。
【0007】
また、本発明にかかるアクセス権管理装置は、少なくとも1つの機密部分にアクセス制限が施された文書ファイルのアクセス権管理装置であって、前記文書ファイルの機密部分に対するアクセス要求を受け付ける要求受付手段と、このアクセス要求を行う端末の端末識別情報を取得する識別情報取得手段と、前記識別情報取得手段により取得された端末識別情報に基づいて、アクセス要求に対応する機密部分のアクセスを許可するか否かを決定する決定手段と、前記決定手段によりアクセスを許可する旨が決定された場合に、この機密部分のアクセスを可能にするアクセス可能化データを送信する送信手段とを有する。
【0008】
好適には、前記識別情報取得手段は、固定端末であるか携帯端末であるかを示す前記端末識別情報を取得し、前記決定手段は、前記識別情報取得手段により取得された端末識別情報が携帯端末であることを示す場合に、アクセス要求に対応する機密部分のアクセスを禁止する旨を決定する。
好適には、前記識別情報取得手段により取得された端末識別情報に基づいて、アクセス要求を行った端末の属性を判定する属性判定手段と、前記属性判定手段により判定された端末の属性を、アクセス権の設定者に通知する通知手段とをさらに有する。
好適には、前記識別情報取得手段は、アクセス要求を行う要求者の識別情報をさらに取得し、前記決定手段は、前記識別情報取得手段により取得された要求者の識別情報および端末の識別情報に基づいて、アクセスを許可するか否かを決定する。
【0009】
[アクセス権管理方法]
また、本発明にかかるアクセス権管理方法は、少なくとも1つの機密部分にアクセス制限が施された文書ファイルのアクセス権管理方法であって、機密部分に対するアクセス許容回数を、それぞれの機密部分に対応付けて記憶し、前記文書ファイルの機密部分に対するアクセス要求を受け付け、記憶されている機密部分毎のアクセス許容回数に基づいて、アクセス要求に対応する機密部分のアクセスを許可するか否かを決定し、アクセスを許可する旨が決定された場合に、この機密部分のアクセスを可能にするアクセス可能化データを送信し、アクセスを許可する旨が決定された場合に、記憶されているアクセス許容回数を更新する。
【0010】
[プログラム]
また、本発明にかかるプログラムは、コンピュータを含み、少なくとも1つの機密部分にアクセス制限が施された文書ファイルのアクセス権を管理するアクセス権管理装置において、前記文書ファイルの機密部分に対するアクセス要求を受け付けるステップと、それぞれの機密部分に対応付けて記憶されているアクセス許容回数に基づいて、アクセス要求に対応する機密部分のアクセスを許可するか否かを決定するステップと、アクセスを許可する旨が決定された場合に、この機密部分のアクセスを可能にするアクセス可能化データを送信するステップと、アクセスを許可する旨が決定された場合に、記憶されているアクセス許容回数を更新するステップとを前記アクセス権管理装置のコンピュータに実行させる。
【0011】
【発明の実施の形態】
次に、本発明の実施形態を説明する。
図1は、文書配信システム1全体の構成を示す図である。
図1に示すように、文書配信システム1は、文書ファイルの配信を要求する配信端末4、文書ファイルにアクセス権を設定して配信するアクセス管理サーバ2(アクセス権管理装置)、アクセス権が設定された文書ファイルを受信する閲覧端末6、および、これらを互いに接続させる通信網10から構成される。
【0012】
配信端末4および閲覧端末6は、例えば、ユーザの自宅や会社内に設置された汎用のコンピュータ端末であり、文書ファイルの作成および表示を行う。
アクセス管理サーバ2は、配信端末4から受信した文書ファイルに、配信端末4からの指示に応じてアクセス権を設定し、文書ファイルの少なくとも一部を秘匿化して、閲覧端末6に送信する。
【0013】
図2は、本発明にかかるアクセス権管理方法が適応されるアクセス管理サーバ2のハードウェア構成を例示する図である。
図2に示すように、アクセス管理サーバ2は、CPU202およびメモリ204などを含む制御装置20、通信装置22、プリンタ23、HDD・CD装置などの記録装置24、および、LCD表示装置あるいはCRT表示装置およびマウス・キーボード・タッチパネルなどを含むユーザインターフェース装置(UI装置)26から構成される。
本実施形態におけるアクセス管理サーバ2は、機密部分に対してアクセス権が設定された文書ファイルを配信し、文書ファイルの利用者(要求者)の要求に応じて機密部分に対するアクセスを可能にする。その際に、アクセス管理サーバ2は、文書ファイルに含まれる機密部分毎にアクセス許容回数を管理し、利用者に対するアクセス許可に応じて、アクセス許容回数を減算(更新)する。
ここで、機密部分とは、文書ファイルの一部であって、アクセスが制限される部分のことである。機密部分は、例えば、テキスト単位、画像単位、ページ単位、またはオブジェクト単位で設定される。また、アクセスとは、閲覧、印刷、複製、または転送等であるが、以下、閲覧を具体例として説明する。
【0014】
[アクセス管理プログラム]
図3は、制御装置20(図2)により実行され、本発明にかかるアクセス権管理方法を実現するアクセス管理プログラム5の構成を示す図である。
図3に示すように、アクセス管理プログラム5は、機密部分設定部510、許容回数設定部515、秘匿化部520、配信部525、回数データベース(回数DB)530、解除ファイルデータベース(解除ファイルDB)540、要求受付部550、決定部555、送信部560、更新部565、および警告部570を有する。
アクセス管理プログラム5は、例えば記録媒体240(図2)またはネットワークを介して制御装置20に供給され、メモリ204にロードされて実行される。
【0015】
アクセス管理プログラム5において、機密部分設定部510は、通信装置22(図2)を介して、配信端末4から文書ファイルおよびアクセス権設定情報を受信し、アクセス権を設定する範囲(機密部分)を設定する。なお、アクセス権設定情報には、機密部分の範囲を指定する情報、閲覧が許可される閲覧端末の識別情報(例えば、MACアドレス)、および、各機密部分に対する閲覧端末毎のアクセス許容回数などが含まれている。なお、閲覧端末の識別情報は、IPアドレスまたはメールアドレスなどの他の固有情報であってもよい。
機密部分設定部510は、アクセス権設定情報に応じて、文書ファイル内に機密部分の範囲を複数設定し、アクセス権設定情報と共に許容回数設定部515に対して出力する。
【0016】
許容回数設定部515は、機密部分設定部510から入力されたアクセス権設定情報に基づいて、各機密部分に対するアクセス許容回数を、文書ファイルの識別情報(文書ID)、機密部分の識別情報(機密部分ID)および閲覧端末の識別情報に対応付けて回数DB530に書き込む。
許容回数設定部515は、アクセス許容回数を回数DB530に書き込むと、機密部分の範囲が設定された文書ファイルと、アクセス権設定情報とを秘匿化部520に対して出力する。
【0017】
秘匿化部520は、許容回数設定部515から入力された文書ファイルに対して、機密部分に設定された範囲を秘匿化し、機密部分が秘匿化された文書ファイルを配信部525に対して出力し、機密部分を可視化するためのデータ(アクセス可能化データ)を解除ファイルとして解除ファイルDB540に対して出力する。
本例では、秘匿化部520は、機密部分を黒色でベタ塗りすることにより秘匿化し、この機密部分の内容を示すデータ(以下、解除ファイル)を解除ファイルDB540に対して出力する。なお、秘匿化の方法は、黒塗りの他に、暗号化または2次元コード化などでもよく、この場合には、復号化キーなどが解除ファイルとなる。
【0018】
配信部525は、配信端末4(図1)の指定に従い、通信装置22(図2)を介して秘匿化部520から入力された文書ファイル(秘匿化済み)を配信する。回数DB530は、許容回数設定部515により書き込まれたアクセス許容回数、MACアドレス、文書IDおよび機密部分IDを記憶する。
解除ファイルDB540は、秘匿化部520から入力された解除ファイルを記憶する。
【0019】
要求受付部550(要求受付手段、識別情報取得手段)は、通信装置22(図2)を介して、閲覧端末6(図1)からアクセス要求と、この閲覧端末6のMACアドレスとを受信し、決定部555に対して出力する。アクセス要求には、閲覧(アクセス)を要求する文書ファイルの文書IDおよび機密部分IDが含まれる。要求受付部550は、閲覧端末6の利用者を識別する利用者の識別情報(ユーザIDまたはパスワードなど)をさらに取得してもよい。
【0020】
決定部555は、要求受付部550からアクセス要求が入力されると、文書ID、機密部分IDおよびMACアドレスに対応するアクセス許容回数を回数DB530内で検索する。そして、決定部555は、検索で発見されたアクセス許容回数に応じて、機密部分に対するアクセスの可否を決定し、決定結果を送信部560および更新部565に対して出力する。
本例では、決定部555は、閲覧端末6のMACアドレスに対応するアクセス許容回数が0以下である場合、または、アクセス許容回数が発見されない場合に、この機密部分に対するアクセスを禁止し、発見されたアクセス許容回数が1以上である場合に、この機密部分に対するアクセスを許可する。
なお、決定部555は、閲覧端末6のMACアドレス(端末識別情報)と、この閲覧端末6の利用者の識別情報(例えば、パスワードなど)とを用いて閲覧端末6を認証し、このMACアドレスに対応したアクセス許容回数だけ機密部分に対するアクセスを許可してもよい。
【0021】
送信部560は、決定部555からアクセスを許可する旨が入力されると、この機密部分に対応する解除ファイルを解除ファイルDB540から読み出し、通信装置22(図2)を介して閲覧端末6(図1)に送信する。
【0022】
更新部565は、決定部555からアクセスを許可する旨が入力されると、この機密部分および閲覧端末6に対応するアクセス許容回数を減算し、回数DB530に上書きする。
【0023】
警告部570は、回数DB530内のアクセス許容回数を既定期間毎に確認し、アクセス許容回数が「0」になっている場合に、アクセス許容回数が0になった旨、および、このアクセス要求を行った閲覧端末のMACアドレスを配信装置4に送信する。
また、警告部570は、回数DB530内でアクセス許容回数が発見されなかった場合に、異常アクセスがあった旨、および、このアクセス要求を行った閲覧端末のMACアドレスを配信端末4に送信する。なお、警告部570は、閲覧端末のMACアドレスの代わりに、このMACアドレスに対応する端末名または機種名(端末の属性情報)を配信端末4に送信してもよい。
【0024】
図4は、回数DB530(図3)により記憶されるデータを例示する図である。
図4に例示するように、回数DB530は、機密部分毎のアクセス許容回数を、文書ID、機密部分ID、および閲覧端末の識別情報(MACアドレス)に対応付けて記憶する。
例えば、これらのMACアドレスは、固定端末のMACアドレスと、移動体端末(携帯端末)のMACアドレスとに大別される。固定端末のMACアドレスは、移動体端末のMACアドレスに比べて、より多いアクセス許容回数が対応付けられる。移動体端末のMACアドレスは、アクセス許容回数「0」が対応付けられてもよい。これにより、機密部分に対するアクセスを一定の空間(会社内など)に限定することが可能になる。
このように、アクセス管理プログラム5は、機密部分毎にアクセス許容回数を管理することにより、きめの細かいアクセス権設定を可能にする。
【0025】
図5は、秘匿化処理が施される前の文書ファイル600を例示する図である。また、図6は、秘匿化部515により秘匿化処理が施された文書ファイル700を例示する図である。
図5に例示するように、文書ファイル600は、テキストデータ、表602、およびグラフ604を含む。この表602およびグラフ604は、機密部分に設定されている。
図6に例示するように、文書ファイル700は、図5に例示した文書ファイル600の機密部分を秘匿化した文書ファイルである。文書ファイル700は、テキストデータに加えて、黒塗りされた表702およびグラフ704を含む。
このように、アクセス管理プログラム5は、機密部分を秘匿化して閲覧端末6(図1)に配信する。
【0026】
[全体動作]
次に、アクセス管理サーバ2の動作を説明する。
図7は、文書ファイル配信時におけるアクセス管理サーバ2(アクセス管理プログラム5)の動作(S10)を示すフローチャートである。
図7に示すように、ステップ110(S110)において、アクセス管理サーバ2は、配信端末4(図1)から文書ファイル配信の要求を受け付けると、アクセス管理プログラム5を起動させる。
ステップ120(S120)において、アクセス管理プログラム5(図3)の機密部分設定部510は、配信端末4から文書ファイルおよびアクセス権設定情報を受信する。
ステップ130(S130)において、機密部分設定部510は、受信されたアクセス権設定情報に応じて、文書ファイル内に複数の機密部分を設定し、許容回数設定部515に対して出力する。
【0027】
ステップ140(S140)において、許容回数設定部515は、機密部分設定部510から入力されたアクセス権設定情報に応じて、各機密部分に対するアクセス許容回数を設定し、設定されたアクセス許容回数、この文書ファイルの文書ID、機密部分IDおよび閲覧端末6のMACアドレスを回数DB530に書き込む。
また、許容回数設定部515は、機密部分が設定された文書ファイルを秘匿化部520に対して出力する。
ステップ150(S150)において、秘匿化部520は、許容回数設定部515から入力された文書ファイルの機密部分を秘匿化し、秘匿化された文書ファイルを配信部525に対して出力し、秘匿化された機密部分を復元する解除ファイルを文書IDおよび機密部分IDに対応付けて解除ファイルDB540に格納する。
【0028】
ステップ160(S160)において、配信部525は、秘匿化部520から入力された文書ファイル(秘匿化済み)を、通信装置22(図2)を介して配信端末6に送信する。
【0029】
このように、アクセス管理サーバ2は、文書ファイルの機密部分を秘匿化してこの文書ファイルの利用者に配信し、この秘匿化された機密部分を閲覧可能にする解除ファイルを生成し、利用者からのアクセス要求に備えて解除ファイルDB540に格納する。
【0030】
図8は、アクセス要求受信時におけるアクセス管理サーバ2(アクセス管理プログラム5)の動作(S20)を示すフローチャートである。
図8に示すように、ステップ210(S210)において、アクセス管理サーバ2(図3)の要求受付部550は、閲覧端末6(図1)からアクセス要求と、この閲覧端末のMACアドレスとを受信し、決定部555に対して出力する。アクセス要求には、閲覧を要求する機密部分に対応する文書IDおよび機密部分IDが含まれている。
【0031】
ステップ220(S220)において、決定部555は、要求受付部550から入力された文書ID、機密部分IDおよびMACアドレスに対応するアクセス許容回数を回数DB530内で検索する。
ステップ230(S230)において、決定部555は、文書ID、機密部分IDおよびMACアドレスに対応するアクセス許容回数が発見され、発見されたアクセス許容回数が1以上である場合に、機密部分に対するアクセスを許可する旨を決定し、この文書ID、機密部分IDおよびMACアドレスを送信部560および更新部565に対して出力する。また、決定部555は、文書ID、機密部分IDおよびMACアドレスに対応するアクセス許容回数が発見されない場合、または、発見されたアクセス許容回数が0以下である場合に、機密部分に対するアクセスを禁止する旨を決定する。
アクセス管理プログラム5は、アクセスが許可された場合に、S240の処理に移行し、これ以外の場合に、S280の処理に移行する。
【0032】
ステップ240(S240)において、送信部555は、決定部555から文書IDおよび機密部分IDが入力されると(すなわち、アクセス許可が決定された場合)、文書IDおよび機密部分IDに対応する解除ファイルを解除ファイルDB540から読み出し、閲覧端末6に送信する。
【0033】
ステップ250(S250)において、更新部565は、決定部555から文書ID、機密部分IDおよびMACアドレスが入力されると、回数DB530内の、文書ID、機密部分IDおよびMACアドレスに対応するアクセス許容回数を選択し、このアクセス許容回数から1を減ずる。
【0034】
ステップ260(S260)において、警告部570は、回数DB530を参照して、アクセス許容回数が「0」になっているか否かを判定する。アクセス管理プログラム5は、アクセス許容回数が「0」になっている場合に、S270の処理に移行し、これ以外の場合に、アクセス要求受信時の処理を終了する。
【0035】
ステップ270(S270)において、警告部570は、「0」になったアクセス許容回数に対応するMACアドレスを特定し、このMACアドレスを有する閲覧端末6および配信端末4に対して、機密部分に対するアクセス許容回数が0になった旨を送信する。
【0036】
ステップ280(S280)において、警告部570は、アクセス要求を送信した閲覧端末6のMACアドレスと、異常アクセスがあった旨とを配信装置4に対して送信する。
【0037】
このように、アクセス管理サーバ2は、機密部分に対するアクセス要求に応じて、機密部分を可視化する解除ファイルを送信する。その際に、アクセス管理サーバ2は、機密部分毎に設定されたアクセス許容回数を管理することにより、文書ファイルの機密部分毎にアクセス回数を制限することができる。また、アクセス管理サーバ2は、異常アクセスの発見を容易にすることができる。
【0038】
図9は、図1に示した文書配信システム1のアクセス管理動作(S30)を示すシーケンス図である。
図9に示すように、ステップ300(S300)において、閲覧端末6は、アクセス管理サーバ2から機密部分が秘匿化された文書ファイルを受信する。利用者がこの文書ファイルの閲覧操作を行うと、閲覧端末6は、機密部分が黒塗りされた文書ファイルを表示する。
ステップ310(S310)において、利用者は、黒塗りされた機密部分を選択して、この機密部分に対するアクセス要求操作を行う。
閲覧端末6は、利用者のアクセス要求操作に応じて、文書IDおよび機密部分IDをアクセス要求情報としてアクセス管理サーバ2に送信する。
なお、アクセス要求情報のヘッダ部分には、この閲覧端末6のMACアドレスが含まれている。
【0039】
ステップ210〜240(S210〜S240)において、アクセス管理サーバ2は、アクセス要求情報を受信すると、このアクセス要求情報に基づいて機密部分に対するアクセスを許可するか否かを決定し、アクセスを許可する場合に、機密部分の解除ファイルを閲覧端末6に対して送信する。
ステップ250(S250)において、アクセス管理サーバ2は、アクセスを許可すると、アクセス許容回数を更新する。
【0040】
ステップ320(S320)において、閲覧端末6は、アクセス管理サーバ2から解除ファイルを受信する。
ステップ330(S330)において、閲覧端末6は、受信した解除ファイルを用いて、文書ファイルの機密部分を可視化して表示する。
【0041】
以上説明したように、本実施形態におけるアクセス管理サーバ2は、文書ファイルに含まれる機密部分毎にアクセス許容回数を管理することにより、各機密部分の機密度に応じたアクセス回数の制限を可能にする。これにより、アクセス管理サーバ2は、権限保有者による機密部分の頻繁なアクセスにより、この機密部分の内容が権限を有しない者にまで漏洩することを防止する。また、アクセス管理サーバ2は、このように機密部分毎にアクセス許容回数を設定することにより、アクセスの権限を有する者に、それぞれの機密部分の機密度を認識させることができ、不用意な機密部分の開示を防止することができる。
【0042】
[変形例]
なお、上記実施形態では、アクセス権管理サーバ2は、機密部分を秘匿化した文書ファイルを閲覧端末6に配信し、要求に応じて解除ファイルを閲覧端末6に送信して、閲覧端末6上で機密部分を可読化させた。しかしながら、機密部分の秘匿化および可読化の方法は、これに限定されるものではなく、例えば、アクセス権管理サーバ2が、閲覧端末6からの要求に応じて、この閲覧端末6毎にそれぞれの機密部分を可読化または秘匿化して、閲覧端末6に送信してもよい。すなわち、アクセス権管理サーバ2は、閲覧端末6毎に文書ファイルの機密部分を可読化および秘匿化して配信してもよいし、上記実施形態のように、一律に全機密部分を秘匿化した文書ファイルを閲覧端末6に配信し、それぞれの閲覧端末6に解除ファイルを送信して機密部分を可読化させてもよい。
【0043】
また、上記実施形態において、閲覧端末6が、配信された文書ファイルを解除ファイルに基づいて機密部分を可読化した後で、この文書ファイルを他の閲覧端末6に転送することが問題となる。
この場合には、アクセス権管理サーバ2は、アクセス権として、文書ファイルの転送についても規定しておき、閲覧端末6毎に文書ファイルの転送を許可または禁止する転送可能化データを生成し、文書ファイルに添付して閲覧端末6に配信する。転送を禁止する転送可能化データは、例えば、閲覧端末6のビューワソフトなどの協働して、文書ファイルの転送操作を検知し、文書ファイルのデータを変換して文字化けさせる。
【0044】
【発明の効果】
以上説明したように、本発明にかかるアクセス権管理装置によれば、機密部分に対するアクセス制限をより有効なものにすることができる。
【図面の簡単な説明】
【図1】文書配信システム1全体の構成を示す図である。
【図2】本発明にかかるアクセス権管理方法が適応されるアクセス管理サーバ2のハードウェア構成を例示する図である。
【図3】制御装置20(図2)により実行され、本発明にかかるアクセス権管理方法を実現するアクセス管理プログラム5の構成を示す図である。
【図4】回数DB530(図3)が記憶するデータを例示する図である。
【図5】秘匿化処理が施される前の文書ファイル600を例示する図である。
【図6】秘匿化部515により秘匿化処理が施された文書ファイル700を例示する図である。
【図7】文書ファイル配信時におけるアクセス管理サーバ2(アクセス管理プログラム5)の動作(S10)を示すフローチャートである。
【図8】アクセス要求受信時におけるアクセス管理サーバ2(アクセス管理プログラム5)の動作(S20)を示すフローチャートである。
【図9】図1に示した文書配信システム1のアクセス管理動作(S30)を示すシーケンス図である。
【符号の説明】
1・・・文書配信システム
2・・・アクセス管理サーバ
5・・・アクセス管理プログラム
510・・・機密部分設定部
515・・・許容回数設定部
520・・・秘匿化部
525・・・配信部
530・・・回数データベース
540・・・解除ファイルデータベース
550・・・要求受付部
555・・・決定部
560・・・送信部
565・・・更新部
570・・・警告部
4・・・配信端末
6・・・閲覧端末
【発明の属する技術分野】
本発明は、文書ファイルの一部に対するアクセス権を管理するアクセス権管理装置、アクセス権管理方法、およびそのプログラムに関する。
【0002】
【従来の技術】
文書ファイルの機密管理方法として、文書ファイルの一部(機密部分)に対してアクセス権を設定し、アクセス権が付与されていない閲覧者に対しては、このアクセス権が設定された機密部分の閲覧を禁止する方法がある。例えば、アクセス権が付与されていない機密部分をマスク表示する方法や、アクセス権が付与されていない機密部分を表示せず空白にする方法などがある。
しかしながら、これらの方法により機密部分に対するアクセスを制限したとしても、アクセスが許可された者が、機密部分の閲覧を頻繁に繰り返していると、この機密部分の内容が他者に漏洩する場合もある。
【0003】
【発明が解決しようとする課題】
本発明は、上述した背景からなされたものであり、機密部分に対するアクセス制限をより有効なものにするアクセス権管理装置、アクセス権管理方法、およびそのプログラムを提供することを目的とする。
【0004】
【課題を解決するための手段】
[アクセス権管理装置]
上記目的を達成するために、本発明にかかるアクセス権管理装置は、少なくとも1つの機密部分にアクセス制限が施された文書ファイルのアクセス権管理装置であって、機密部分に対するアクセス許容回数を、それぞれの機密部分に対応付けて記憶する回数記憶手段と、前記文書ファイルの機密部分に対するアクセス要求を受け付ける要求受付手段と、前記回数記憶手段に記憶される機密部分毎のアクセス許容回数に基づいて、アクセス要求に対応する機密部分のアクセスを許可するか否かを決定する決定手段と、前記決定手段によりアクセスを許可する旨が決定された場合に、この機密部分のアクセスを可能にするアクセス可能化データを送信する送信手段と、前記決定手段によりアクセスを許可する旨が決定された場合に、前記回数記憶手段により記憶されるアクセス許容回数を更新する更新手段とを有する。
【0005】
好適には、前記回数記憶手段は、前記アクセス許容回数を、機密部分、および、この機密部分に対してアクセスを要求する要求者の識別情報に対応付けて記憶し、前記要求受付手段は、前記アクセス要求と、要求者の識別情報とを受け付け、前記決定手段は、前記回数記憶手段により記憶されるアクセス許容回数と、前記要求受付手段により受け付けられた要求者の識別情報とに基づいて、この機密部分に対するアクセスを許可するか否かを決定する。
好適には、前記要求者の識別情報は、この要求者が利用する端末の端末識別情報であり、前記回数記憶手段は、前記アクセス許容回数を、機密部分および端末識別情報に対応付けて記憶し、前記要求受付手段は、前記アクセス要求と、端末識別情報とを受け付け、前記決定手段は、前記回数記憶手段により記憶されるアクセス許容回数と、前記要求受付手段により受け付けられた端末識別情報とに基づいて、この機密部分に対するアクセスを許可するか否かを決定する。
好適には、前記更新手段によりアクセス許容回数が更新されてアクセス不可能になった場合に、警告情報を出力する警告手段をさらに有する。
【0006】
また、本発明にかかるアクセス権管理装置は、少なくとも1つの機密部分にアクセス制限が施された文書ファイルのアクセス権管理装置であって、文書ファイルに対するアクセス許容回数を、この文書ファイルに対応付けて記憶する回数記憶手段と、前記文書ファイルの機密部分に対するアクセス要求を受け付ける要求受付手段と、前記回数記憶手段に記憶される文書ファイル毎のアクセス許容回数に基づいて、アクセス要求に対応する機密部分のアクセスを許可するか否かを決定する決定手段と、前記決定手段によりアクセスを許可する旨が決定された場合に、この機密部分のアクセスを可能にするアクセス可能化データを送信する送信手段と、前記決定手段により機密部分のアクセスを許可する旨が決定された場合に、前記回数記憶手段により記憶される文書ファイル毎のアクセス許容回数を更新する更新手段とを有する。
【0007】
また、本発明にかかるアクセス権管理装置は、少なくとも1つの機密部分にアクセス制限が施された文書ファイルのアクセス権管理装置であって、前記文書ファイルの機密部分に対するアクセス要求を受け付ける要求受付手段と、このアクセス要求を行う端末の端末識別情報を取得する識別情報取得手段と、前記識別情報取得手段により取得された端末識別情報に基づいて、アクセス要求に対応する機密部分のアクセスを許可するか否かを決定する決定手段と、前記決定手段によりアクセスを許可する旨が決定された場合に、この機密部分のアクセスを可能にするアクセス可能化データを送信する送信手段とを有する。
【0008】
好適には、前記識別情報取得手段は、固定端末であるか携帯端末であるかを示す前記端末識別情報を取得し、前記決定手段は、前記識別情報取得手段により取得された端末識別情報が携帯端末であることを示す場合に、アクセス要求に対応する機密部分のアクセスを禁止する旨を決定する。
好適には、前記識別情報取得手段により取得された端末識別情報に基づいて、アクセス要求を行った端末の属性を判定する属性判定手段と、前記属性判定手段により判定された端末の属性を、アクセス権の設定者に通知する通知手段とをさらに有する。
好適には、前記識別情報取得手段は、アクセス要求を行う要求者の識別情報をさらに取得し、前記決定手段は、前記識別情報取得手段により取得された要求者の識別情報および端末の識別情報に基づいて、アクセスを許可するか否かを決定する。
【0009】
[アクセス権管理方法]
また、本発明にかかるアクセス権管理方法は、少なくとも1つの機密部分にアクセス制限が施された文書ファイルのアクセス権管理方法であって、機密部分に対するアクセス許容回数を、それぞれの機密部分に対応付けて記憶し、前記文書ファイルの機密部分に対するアクセス要求を受け付け、記憶されている機密部分毎のアクセス許容回数に基づいて、アクセス要求に対応する機密部分のアクセスを許可するか否かを決定し、アクセスを許可する旨が決定された場合に、この機密部分のアクセスを可能にするアクセス可能化データを送信し、アクセスを許可する旨が決定された場合に、記憶されているアクセス許容回数を更新する。
【0010】
[プログラム]
また、本発明にかかるプログラムは、コンピュータを含み、少なくとも1つの機密部分にアクセス制限が施された文書ファイルのアクセス権を管理するアクセス権管理装置において、前記文書ファイルの機密部分に対するアクセス要求を受け付けるステップと、それぞれの機密部分に対応付けて記憶されているアクセス許容回数に基づいて、アクセス要求に対応する機密部分のアクセスを許可するか否かを決定するステップと、アクセスを許可する旨が決定された場合に、この機密部分のアクセスを可能にするアクセス可能化データを送信するステップと、アクセスを許可する旨が決定された場合に、記憶されているアクセス許容回数を更新するステップとを前記アクセス権管理装置のコンピュータに実行させる。
【0011】
【発明の実施の形態】
次に、本発明の実施形態を説明する。
図1は、文書配信システム1全体の構成を示す図である。
図1に示すように、文書配信システム1は、文書ファイルの配信を要求する配信端末4、文書ファイルにアクセス権を設定して配信するアクセス管理サーバ2(アクセス権管理装置)、アクセス権が設定された文書ファイルを受信する閲覧端末6、および、これらを互いに接続させる通信網10から構成される。
【0012】
配信端末4および閲覧端末6は、例えば、ユーザの自宅や会社内に設置された汎用のコンピュータ端末であり、文書ファイルの作成および表示を行う。
アクセス管理サーバ2は、配信端末4から受信した文書ファイルに、配信端末4からの指示に応じてアクセス権を設定し、文書ファイルの少なくとも一部を秘匿化して、閲覧端末6に送信する。
【0013】
図2は、本発明にかかるアクセス権管理方法が適応されるアクセス管理サーバ2のハードウェア構成を例示する図である。
図2に示すように、アクセス管理サーバ2は、CPU202およびメモリ204などを含む制御装置20、通信装置22、プリンタ23、HDD・CD装置などの記録装置24、および、LCD表示装置あるいはCRT表示装置およびマウス・キーボード・タッチパネルなどを含むユーザインターフェース装置(UI装置)26から構成される。
本実施形態におけるアクセス管理サーバ2は、機密部分に対してアクセス権が設定された文書ファイルを配信し、文書ファイルの利用者(要求者)の要求に応じて機密部分に対するアクセスを可能にする。その際に、アクセス管理サーバ2は、文書ファイルに含まれる機密部分毎にアクセス許容回数を管理し、利用者に対するアクセス許可に応じて、アクセス許容回数を減算(更新)する。
ここで、機密部分とは、文書ファイルの一部であって、アクセスが制限される部分のことである。機密部分は、例えば、テキスト単位、画像単位、ページ単位、またはオブジェクト単位で設定される。また、アクセスとは、閲覧、印刷、複製、または転送等であるが、以下、閲覧を具体例として説明する。
【0014】
[アクセス管理プログラム]
図3は、制御装置20(図2)により実行され、本発明にかかるアクセス権管理方法を実現するアクセス管理プログラム5の構成を示す図である。
図3に示すように、アクセス管理プログラム5は、機密部分設定部510、許容回数設定部515、秘匿化部520、配信部525、回数データベース(回数DB)530、解除ファイルデータベース(解除ファイルDB)540、要求受付部550、決定部555、送信部560、更新部565、および警告部570を有する。
アクセス管理プログラム5は、例えば記録媒体240(図2)またはネットワークを介して制御装置20に供給され、メモリ204にロードされて実行される。
【0015】
アクセス管理プログラム5において、機密部分設定部510は、通信装置22(図2)を介して、配信端末4から文書ファイルおよびアクセス権設定情報を受信し、アクセス権を設定する範囲(機密部分)を設定する。なお、アクセス権設定情報には、機密部分の範囲を指定する情報、閲覧が許可される閲覧端末の識別情報(例えば、MACアドレス)、および、各機密部分に対する閲覧端末毎のアクセス許容回数などが含まれている。なお、閲覧端末の識別情報は、IPアドレスまたはメールアドレスなどの他の固有情報であってもよい。
機密部分設定部510は、アクセス権設定情報に応じて、文書ファイル内に機密部分の範囲を複数設定し、アクセス権設定情報と共に許容回数設定部515に対して出力する。
【0016】
許容回数設定部515は、機密部分設定部510から入力されたアクセス権設定情報に基づいて、各機密部分に対するアクセス許容回数を、文書ファイルの識別情報(文書ID)、機密部分の識別情報(機密部分ID)および閲覧端末の識別情報に対応付けて回数DB530に書き込む。
許容回数設定部515は、アクセス許容回数を回数DB530に書き込むと、機密部分の範囲が設定された文書ファイルと、アクセス権設定情報とを秘匿化部520に対して出力する。
【0017】
秘匿化部520は、許容回数設定部515から入力された文書ファイルに対して、機密部分に設定された範囲を秘匿化し、機密部分が秘匿化された文書ファイルを配信部525に対して出力し、機密部分を可視化するためのデータ(アクセス可能化データ)を解除ファイルとして解除ファイルDB540に対して出力する。
本例では、秘匿化部520は、機密部分を黒色でベタ塗りすることにより秘匿化し、この機密部分の内容を示すデータ(以下、解除ファイル)を解除ファイルDB540に対して出力する。なお、秘匿化の方法は、黒塗りの他に、暗号化または2次元コード化などでもよく、この場合には、復号化キーなどが解除ファイルとなる。
【0018】
配信部525は、配信端末4(図1)の指定に従い、通信装置22(図2)を介して秘匿化部520から入力された文書ファイル(秘匿化済み)を配信する。回数DB530は、許容回数設定部515により書き込まれたアクセス許容回数、MACアドレス、文書IDおよび機密部分IDを記憶する。
解除ファイルDB540は、秘匿化部520から入力された解除ファイルを記憶する。
【0019】
要求受付部550(要求受付手段、識別情報取得手段)は、通信装置22(図2)を介して、閲覧端末6(図1)からアクセス要求と、この閲覧端末6のMACアドレスとを受信し、決定部555に対して出力する。アクセス要求には、閲覧(アクセス)を要求する文書ファイルの文書IDおよび機密部分IDが含まれる。要求受付部550は、閲覧端末6の利用者を識別する利用者の識別情報(ユーザIDまたはパスワードなど)をさらに取得してもよい。
【0020】
決定部555は、要求受付部550からアクセス要求が入力されると、文書ID、機密部分IDおよびMACアドレスに対応するアクセス許容回数を回数DB530内で検索する。そして、決定部555は、検索で発見されたアクセス許容回数に応じて、機密部分に対するアクセスの可否を決定し、決定結果を送信部560および更新部565に対して出力する。
本例では、決定部555は、閲覧端末6のMACアドレスに対応するアクセス許容回数が0以下である場合、または、アクセス許容回数が発見されない場合に、この機密部分に対するアクセスを禁止し、発見されたアクセス許容回数が1以上である場合に、この機密部分に対するアクセスを許可する。
なお、決定部555は、閲覧端末6のMACアドレス(端末識別情報)と、この閲覧端末6の利用者の識別情報(例えば、パスワードなど)とを用いて閲覧端末6を認証し、このMACアドレスに対応したアクセス許容回数だけ機密部分に対するアクセスを許可してもよい。
【0021】
送信部560は、決定部555からアクセスを許可する旨が入力されると、この機密部分に対応する解除ファイルを解除ファイルDB540から読み出し、通信装置22(図2)を介して閲覧端末6(図1)に送信する。
【0022】
更新部565は、決定部555からアクセスを許可する旨が入力されると、この機密部分および閲覧端末6に対応するアクセス許容回数を減算し、回数DB530に上書きする。
【0023】
警告部570は、回数DB530内のアクセス許容回数を既定期間毎に確認し、アクセス許容回数が「0」になっている場合に、アクセス許容回数が0になった旨、および、このアクセス要求を行った閲覧端末のMACアドレスを配信装置4に送信する。
また、警告部570は、回数DB530内でアクセス許容回数が発見されなかった場合に、異常アクセスがあった旨、および、このアクセス要求を行った閲覧端末のMACアドレスを配信端末4に送信する。なお、警告部570は、閲覧端末のMACアドレスの代わりに、このMACアドレスに対応する端末名または機種名(端末の属性情報)を配信端末4に送信してもよい。
【0024】
図4は、回数DB530(図3)により記憶されるデータを例示する図である。
図4に例示するように、回数DB530は、機密部分毎のアクセス許容回数を、文書ID、機密部分ID、および閲覧端末の識別情報(MACアドレス)に対応付けて記憶する。
例えば、これらのMACアドレスは、固定端末のMACアドレスと、移動体端末(携帯端末)のMACアドレスとに大別される。固定端末のMACアドレスは、移動体端末のMACアドレスに比べて、より多いアクセス許容回数が対応付けられる。移動体端末のMACアドレスは、アクセス許容回数「0」が対応付けられてもよい。これにより、機密部分に対するアクセスを一定の空間(会社内など)に限定することが可能になる。
このように、アクセス管理プログラム5は、機密部分毎にアクセス許容回数を管理することにより、きめの細かいアクセス権設定を可能にする。
【0025】
図5は、秘匿化処理が施される前の文書ファイル600を例示する図である。また、図6は、秘匿化部515により秘匿化処理が施された文書ファイル700を例示する図である。
図5に例示するように、文書ファイル600は、テキストデータ、表602、およびグラフ604を含む。この表602およびグラフ604は、機密部分に設定されている。
図6に例示するように、文書ファイル700は、図5に例示した文書ファイル600の機密部分を秘匿化した文書ファイルである。文書ファイル700は、テキストデータに加えて、黒塗りされた表702およびグラフ704を含む。
このように、アクセス管理プログラム5は、機密部分を秘匿化して閲覧端末6(図1)に配信する。
【0026】
[全体動作]
次に、アクセス管理サーバ2の動作を説明する。
図7は、文書ファイル配信時におけるアクセス管理サーバ2(アクセス管理プログラム5)の動作(S10)を示すフローチャートである。
図7に示すように、ステップ110(S110)において、アクセス管理サーバ2は、配信端末4(図1)から文書ファイル配信の要求を受け付けると、アクセス管理プログラム5を起動させる。
ステップ120(S120)において、アクセス管理プログラム5(図3)の機密部分設定部510は、配信端末4から文書ファイルおよびアクセス権設定情報を受信する。
ステップ130(S130)において、機密部分設定部510は、受信されたアクセス権設定情報に応じて、文書ファイル内に複数の機密部分を設定し、許容回数設定部515に対して出力する。
【0027】
ステップ140(S140)において、許容回数設定部515は、機密部分設定部510から入力されたアクセス権設定情報に応じて、各機密部分に対するアクセス許容回数を設定し、設定されたアクセス許容回数、この文書ファイルの文書ID、機密部分IDおよび閲覧端末6のMACアドレスを回数DB530に書き込む。
また、許容回数設定部515は、機密部分が設定された文書ファイルを秘匿化部520に対して出力する。
ステップ150(S150)において、秘匿化部520は、許容回数設定部515から入力された文書ファイルの機密部分を秘匿化し、秘匿化された文書ファイルを配信部525に対して出力し、秘匿化された機密部分を復元する解除ファイルを文書IDおよび機密部分IDに対応付けて解除ファイルDB540に格納する。
【0028】
ステップ160(S160)において、配信部525は、秘匿化部520から入力された文書ファイル(秘匿化済み)を、通信装置22(図2)を介して配信端末6に送信する。
【0029】
このように、アクセス管理サーバ2は、文書ファイルの機密部分を秘匿化してこの文書ファイルの利用者に配信し、この秘匿化された機密部分を閲覧可能にする解除ファイルを生成し、利用者からのアクセス要求に備えて解除ファイルDB540に格納する。
【0030】
図8は、アクセス要求受信時におけるアクセス管理サーバ2(アクセス管理プログラム5)の動作(S20)を示すフローチャートである。
図8に示すように、ステップ210(S210)において、アクセス管理サーバ2(図3)の要求受付部550は、閲覧端末6(図1)からアクセス要求と、この閲覧端末のMACアドレスとを受信し、決定部555に対して出力する。アクセス要求には、閲覧を要求する機密部分に対応する文書IDおよび機密部分IDが含まれている。
【0031】
ステップ220(S220)において、決定部555は、要求受付部550から入力された文書ID、機密部分IDおよびMACアドレスに対応するアクセス許容回数を回数DB530内で検索する。
ステップ230(S230)において、決定部555は、文書ID、機密部分IDおよびMACアドレスに対応するアクセス許容回数が発見され、発見されたアクセス許容回数が1以上である場合に、機密部分に対するアクセスを許可する旨を決定し、この文書ID、機密部分IDおよびMACアドレスを送信部560および更新部565に対して出力する。また、決定部555は、文書ID、機密部分IDおよびMACアドレスに対応するアクセス許容回数が発見されない場合、または、発見されたアクセス許容回数が0以下である場合に、機密部分に対するアクセスを禁止する旨を決定する。
アクセス管理プログラム5は、アクセスが許可された場合に、S240の処理に移行し、これ以外の場合に、S280の処理に移行する。
【0032】
ステップ240(S240)において、送信部555は、決定部555から文書IDおよび機密部分IDが入力されると(すなわち、アクセス許可が決定された場合)、文書IDおよび機密部分IDに対応する解除ファイルを解除ファイルDB540から読み出し、閲覧端末6に送信する。
【0033】
ステップ250(S250)において、更新部565は、決定部555から文書ID、機密部分IDおよびMACアドレスが入力されると、回数DB530内の、文書ID、機密部分IDおよびMACアドレスに対応するアクセス許容回数を選択し、このアクセス許容回数から1を減ずる。
【0034】
ステップ260(S260)において、警告部570は、回数DB530を参照して、アクセス許容回数が「0」になっているか否かを判定する。アクセス管理プログラム5は、アクセス許容回数が「0」になっている場合に、S270の処理に移行し、これ以外の場合に、アクセス要求受信時の処理を終了する。
【0035】
ステップ270(S270)において、警告部570は、「0」になったアクセス許容回数に対応するMACアドレスを特定し、このMACアドレスを有する閲覧端末6および配信端末4に対して、機密部分に対するアクセス許容回数が0になった旨を送信する。
【0036】
ステップ280(S280)において、警告部570は、アクセス要求を送信した閲覧端末6のMACアドレスと、異常アクセスがあった旨とを配信装置4に対して送信する。
【0037】
このように、アクセス管理サーバ2は、機密部分に対するアクセス要求に応じて、機密部分を可視化する解除ファイルを送信する。その際に、アクセス管理サーバ2は、機密部分毎に設定されたアクセス許容回数を管理することにより、文書ファイルの機密部分毎にアクセス回数を制限することができる。また、アクセス管理サーバ2は、異常アクセスの発見を容易にすることができる。
【0038】
図9は、図1に示した文書配信システム1のアクセス管理動作(S30)を示すシーケンス図である。
図9に示すように、ステップ300(S300)において、閲覧端末6は、アクセス管理サーバ2から機密部分が秘匿化された文書ファイルを受信する。利用者がこの文書ファイルの閲覧操作を行うと、閲覧端末6は、機密部分が黒塗りされた文書ファイルを表示する。
ステップ310(S310)において、利用者は、黒塗りされた機密部分を選択して、この機密部分に対するアクセス要求操作を行う。
閲覧端末6は、利用者のアクセス要求操作に応じて、文書IDおよび機密部分IDをアクセス要求情報としてアクセス管理サーバ2に送信する。
なお、アクセス要求情報のヘッダ部分には、この閲覧端末6のMACアドレスが含まれている。
【0039】
ステップ210〜240(S210〜S240)において、アクセス管理サーバ2は、アクセス要求情報を受信すると、このアクセス要求情報に基づいて機密部分に対するアクセスを許可するか否かを決定し、アクセスを許可する場合に、機密部分の解除ファイルを閲覧端末6に対して送信する。
ステップ250(S250)において、アクセス管理サーバ2は、アクセスを許可すると、アクセス許容回数を更新する。
【0040】
ステップ320(S320)において、閲覧端末6は、アクセス管理サーバ2から解除ファイルを受信する。
ステップ330(S330)において、閲覧端末6は、受信した解除ファイルを用いて、文書ファイルの機密部分を可視化して表示する。
【0041】
以上説明したように、本実施形態におけるアクセス管理サーバ2は、文書ファイルに含まれる機密部分毎にアクセス許容回数を管理することにより、各機密部分の機密度に応じたアクセス回数の制限を可能にする。これにより、アクセス管理サーバ2は、権限保有者による機密部分の頻繁なアクセスにより、この機密部分の内容が権限を有しない者にまで漏洩することを防止する。また、アクセス管理サーバ2は、このように機密部分毎にアクセス許容回数を設定することにより、アクセスの権限を有する者に、それぞれの機密部分の機密度を認識させることができ、不用意な機密部分の開示を防止することができる。
【0042】
[変形例]
なお、上記実施形態では、アクセス権管理サーバ2は、機密部分を秘匿化した文書ファイルを閲覧端末6に配信し、要求に応じて解除ファイルを閲覧端末6に送信して、閲覧端末6上で機密部分を可読化させた。しかしながら、機密部分の秘匿化および可読化の方法は、これに限定されるものではなく、例えば、アクセス権管理サーバ2が、閲覧端末6からの要求に応じて、この閲覧端末6毎にそれぞれの機密部分を可読化または秘匿化して、閲覧端末6に送信してもよい。すなわち、アクセス権管理サーバ2は、閲覧端末6毎に文書ファイルの機密部分を可読化および秘匿化して配信してもよいし、上記実施形態のように、一律に全機密部分を秘匿化した文書ファイルを閲覧端末6に配信し、それぞれの閲覧端末6に解除ファイルを送信して機密部分を可読化させてもよい。
【0043】
また、上記実施形態において、閲覧端末6が、配信された文書ファイルを解除ファイルに基づいて機密部分を可読化した後で、この文書ファイルを他の閲覧端末6に転送することが問題となる。
この場合には、アクセス権管理サーバ2は、アクセス権として、文書ファイルの転送についても規定しておき、閲覧端末6毎に文書ファイルの転送を許可または禁止する転送可能化データを生成し、文書ファイルに添付して閲覧端末6に配信する。転送を禁止する転送可能化データは、例えば、閲覧端末6のビューワソフトなどの協働して、文書ファイルの転送操作を検知し、文書ファイルのデータを変換して文字化けさせる。
【0044】
【発明の効果】
以上説明したように、本発明にかかるアクセス権管理装置によれば、機密部分に対するアクセス制限をより有効なものにすることができる。
【図面の簡単な説明】
【図1】文書配信システム1全体の構成を示す図である。
【図2】本発明にかかるアクセス権管理方法が適応されるアクセス管理サーバ2のハードウェア構成を例示する図である。
【図3】制御装置20(図2)により実行され、本発明にかかるアクセス権管理方法を実現するアクセス管理プログラム5の構成を示す図である。
【図4】回数DB530(図3)が記憶するデータを例示する図である。
【図5】秘匿化処理が施される前の文書ファイル600を例示する図である。
【図6】秘匿化部515により秘匿化処理が施された文書ファイル700を例示する図である。
【図7】文書ファイル配信時におけるアクセス管理サーバ2(アクセス管理プログラム5)の動作(S10)を示すフローチャートである。
【図8】アクセス要求受信時におけるアクセス管理サーバ2(アクセス管理プログラム5)の動作(S20)を示すフローチャートである。
【図9】図1に示した文書配信システム1のアクセス管理動作(S30)を示すシーケンス図である。
【符号の説明】
1・・・文書配信システム
2・・・アクセス管理サーバ
5・・・アクセス管理プログラム
510・・・機密部分設定部
515・・・許容回数設定部
520・・・秘匿化部
525・・・配信部
530・・・回数データベース
540・・・解除ファイルデータベース
550・・・要求受付部
555・・・決定部
560・・・送信部
565・・・更新部
570・・・警告部
4・・・配信端末
6・・・閲覧端末
Claims (11)
- 少なくとも1つの機密部分にアクセス制限が施された文書ファイルのアクセス権管理装置であって、
機密部分に対するアクセス許容回数を、それぞれの機密部分に対応付けて記憶する回数記憶手段と、
前記文書ファイルの機密部分に対するアクセス要求を受け付ける要求受付手段と、
前記回数記憶手段に記憶される機密部分毎のアクセス許容回数に基づいて、アクセス要求に対応する機密部分のアクセスを許可するか否かを決定する決定手段と、
前記決定手段によりアクセスを許可する旨が決定された場合に、この機密部分のアクセスを可能にするアクセス可能化データを送信する送信手段と、
前記決定手段によりアクセスを許可する旨が決定された場合に、前記回数記憶手段により記憶されるアクセス許容回数を更新する更新手段と
を有するアクセス権管理装置。 - 前記回数記憶手段は、前記アクセス許容回数を、機密部分、および、この機密部分に対してアクセスを要求する要求者の識別情報に対応付けて記憶し、
前記要求受付手段は、前記アクセス要求と、要求者の識別情報とを受け付け、
前記決定手段は、前記回数記憶手段により記憶されるアクセス許容回数と、前記要求受付手段により受け付けられた要求者の識別情報とに基づいて、この機密部分に対するアクセスを許可するか否かを決定する
請求項1に記載のアクセス権管理装置。 - 前記要求者の識別情報は、この要求者が利用する端末の端末識別情報であり、前記回数記憶手段は、前記アクセス許容回数を、機密部分および端末識別情報に対応付けて記憶し、
前記要求受付手段は、前記アクセス要求と、端末識別情報とを受け付け、
前記決定手段は、前記回数記憶手段により記憶されるアクセス許容回数と、前記要求受付手段により受け付けられた端末識別情報とに基づいて、この機密部分に対するアクセスを許可するか否かを決定する
請求項2に記載のアクセス権管理装置。 - 前記更新手段によりアクセス許容回数が更新されてアクセス不可能になった場合に、警告情報を出力する警告手段
をさらに有する請求項1〜3のいずれかに記載のアクセス権管理装置。 - 少なくとも1つの機密部分にアクセス制限が施された文書ファイルのアクセス権管理装置であって、
文書ファイルに対するアクセス許容回数を、この文書ファイルに対応付けて記憶する回数記憶手段と、
前記文書ファイルの機密部分に対するアクセス要求を受け付ける要求受付手段と、
前記回数記憶手段に記憶される文書ファイル毎のアクセス許容回数に基づいて、アクセス要求に対応する機密部分のアクセスを許可するか否かを決定する決定手段と、
前記決定手段によりアクセスを許可する旨が決定された場合に、この機密部分のアクセスを可能にするアクセス可能化データを送信する送信手段と、
前記決定手段により機密部分のアクセスを許可する旨が決定された場合に、前記回数記憶手段により記憶される文書ファイル毎のアクセス許容回数を更新する更新手段と
を有するアクセス権管理装置。 - 少なくとも1つの機密部分にアクセス制限が施された文書ファイルのアクセス権管理装置であって、
前記文書ファイルの機密部分に対するアクセス要求を受け付ける要求受付手段と、
このアクセス要求を行う端末の端末識別情報を取得する識別情報取得手段と、
前記識別情報取得手段により取得された端末識別情報に基づいて、アクセス要求に対応する機密部分のアクセスを許可するか否かを決定する決定手段と、
前記決定手段によりアクセスを許可する旨が決定された場合に、この機密部分のアクセスを可能にするアクセス可能化データを送信する送信手段と
を有するアクセス権管理装置。 - 前記識別情報取得手段は、固定端末であるか携帯端末であるかを示す前記端末識別情報を取得し、
前記決定手段は、前記識別情報取得手段により取得された端末識別情報が携帯端末であることを示す場合に、アクセス要求に対応する機密部分のアクセスを禁止する旨を決定する
請求項6に記載のアクセス権管理装置。 - 前記識別情報取得手段により取得された端末識別情報に基づいて、アクセス要求を行った端末の属性を判定する属性判定手段と、
前記属性判定手段により判定された端末の属性を、アクセス権の設定者に通知する通知手段と
をさらに有する請求項6または7に記載のアクセス権管理装置。 - 前記識別情報取得手段は、アクセス要求を行う要求者の識別情報をさらに取得し、
前記決定手段は、前記識別情報取得手段により取得された要求者の識別情報および端末の識別情報に基づいて、アクセスを許可するか否かを決定する
請求項6〜8のいずれかに記載のアクセス権管理装置。 - 少なくとも1つの機密部分にアクセス制限が施された文書ファイルのアクセス権管理方法であって、
機密部分に対するアクセス許容回数を、それぞれの機密部分に対応付けて記憶し、
前記文書ファイルの機密部分に対するアクセス要求を受け付け、
記憶されている機密部分毎のアクセス許容回数に基づいて、アクセス要求に対応する機密部分のアクセスを許可するか否かを決定し、
アクセスを許可する旨が決定された場合に、この機密部分のアクセスを可能にするアクセス可能化データを送信し、
アクセスを許可する旨が決定された場合に、記憶されているアクセス許容回数を更新する
アクセス権管理方法。 - コンピュータを含み、少なくとも1つの機密部分にアクセス制限が施された文書ファイルのアクセス権を管理するアクセス権管理装置において、
前記文書ファイルの機密部分に対するアクセス要求を受け付けるステップと、
それぞれの機密部分に対応付けて記憶されているアクセス許容回数に基づいて、アクセス要求に対応する機密部分のアクセスを許可するか否かを決定するステップと、
アクセスを許可する旨が決定された場合に、この機密部分のアクセスを可能にするアクセス可能化データを送信するステップと、
アクセスを許可する旨が決定された場合に、記憶されているアクセス許容回数を更新するステップと
を前記アクセス権管理装置のコンピュータに実行させるプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003206479A JP2005055999A (ja) | 2003-08-07 | 2003-08-07 | アクセス権管理装置、アクセス権管理方法、及びそのプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003206479A JP2005055999A (ja) | 2003-08-07 | 2003-08-07 | アクセス権管理装置、アクセス権管理方法、及びそのプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2005055999A true JP2005055999A (ja) | 2005-03-03 |
Family
ID=34363327
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003206479A Pending JP2005055999A (ja) | 2003-08-07 | 2003-08-07 | アクセス権管理装置、アクセス権管理方法、及びそのプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2005055999A (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008077530A (ja) * | 2006-09-25 | 2008-04-03 | Fuji Xerox Co Ltd | 文書操作認証装置、文書操作装置、画像形成装置、文書操作認証システム、及びプログラム |
| JP2010140428A (ja) * | 2008-12-15 | 2010-06-24 | Nippon Hoso Kyokai <Nhk> | コンテンツ制作サーバ及びコンテンツ制作プログラム |
| JP2010204750A (ja) * | 2009-02-27 | 2010-09-16 | Science Park Corp | ディジタルコンテンツ管理用電子計算機、そのためのプログラム、プログラムの記録媒体、及び、ディジタルコンテンツ管理システム。 |
| WO2013109000A1 (ko) * | 2012-01-17 | 2013-07-25 | 주식회사 파수닷컴 | 위험도를 고려한 보안문서 관리 장치 및 방법 |
| JP2014075128A (ja) * | 2012-10-02 | 2014-04-24 | Boeing Co | パノラマ的な視覚化文書アクセス制御 |
| JP2017219997A (ja) * | 2016-06-07 | 2017-12-14 | 富士ゼロックス株式会社 | 情報処理システム、情報処理装置及びプログラム |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001051960A (ja) * | 1999-08-10 | 2001-02-23 | Hitachi Ltd | 部分的公開可能なコンテンツ作成方法、部分的公開可能なコンテンツ配信方法、および、記録媒体 |
| JP2002024095A (ja) * | 2000-07-06 | 2002-01-25 | Hitachi Ltd | コンテンツ処理方法、コンテンツ再生装置、コンテンツ配信装置および記憶媒体 |
| JP2003114822A (ja) * | 2001-10-05 | 2003-04-18 | Minolta Co Ltd | ファイル管理プログラムおよびファイル管理方法 |
| JP2003132056A (ja) * | 2001-10-23 | 2003-05-09 | Fuji Xerox Co Ltd | 公開文書作成支援装置 |
-
2003
- 2003-08-07 JP JP2003206479A patent/JP2005055999A/ja active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001051960A (ja) * | 1999-08-10 | 2001-02-23 | Hitachi Ltd | 部分的公開可能なコンテンツ作成方法、部分的公開可能なコンテンツ配信方法、および、記録媒体 |
| JP2002024095A (ja) * | 2000-07-06 | 2002-01-25 | Hitachi Ltd | コンテンツ処理方法、コンテンツ再生装置、コンテンツ配信装置および記憶媒体 |
| JP2003114822A (ja) * | 2001-10-05 | 2003-04-18 | Minolta Co Ltd | ファイル管理プログラムおよびファイル管理方法 |
| JP2003132056A (ja) * | 2001-10-23 | 2003-05-09 | Fuji Xerox Co Ltd | 公開文書作成支援装置 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008077530A (ja) * | 2006-09-25 | 2008-04-03 | Fuji Xerox Co Ltd | 文書操作認証装置、文書操作装置、画像形成装置、文書操作認証システム、及びプログラム |
| JP4518056B2 (ja) * | 2006-09-25 | 2010-08-04 | 富士ゼロックス株式会社 | 文書操作認証装置、及びプログラム |
| US8191156B2 (en) | 2006-09-25 | 2012-05-29 | Fuji Xerox Co., Ltd. | Documents manipulation authentication apparatus, document manipulation apparatus, image formation apparatus, document manipulation authentication system, computer readable medium and computer data signal |
| JP2010140428A (ja) * | 2008-12-15 | 2010-06-24 | Nippon Hoso Kyokai <Nhk> | コンテンツ制作サーバ及びコンテンツ制作プログラム |
| JP2010204750A (ja) * | 2009-02-27 | 2010-09-16 | Science Park Corp | ディジタルコンテンツ管理用電子計算機、そのためのプログラム、プログラムの記録媒体、及び、ディジタルコンテンツ管理システム。 |
| WO2013109000A1 (ko) * | 2012-01-17 | 2013-07-25 | 주식회사 파수닷컴 | 위험도를 고려한 보안문서 관리 장치 및 방법 |
| JP2014075128A (ja) * | 2012-10-02 | 2014-04-24 | Boeing Co | パノラマ的な視覚化文書アクセス制御 |
| US10824680B2 (en) | 2012-10-02 | 2020-11-03 | The Boeing Company | Panoptic visualization document access control |
| JP2017219997A (ja) * | 2016-06-07 | 2017-12-14 | 富士ゼロックス株式会社 | 情報処理システム、情報処理装置及びプログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8079089B2 (en) | Information usage control system and information usage control device | |
| US8732848B2 (en) | File-distribution apparatus and recording medium having file-distribution authorization program recorded therein | |
| US9990474B2 (en) | Access control for selected document contents using document layers and access key sequence | |
| JP6575547B2 (ja) | ドキュメント管理システム | |
| US10133875B2 (en) | Digital rights management system implementing version control | |
| JP2007233818A (ja) | 電子フォーム、並びに電子文書生成装置、プログラム及び方法 | |
| US8065743B2 (en) | Content use management system, content-providing system, content-using device and computer readable medium | |
| JP2018156411A (ja) | ドキュメント管理システム及び管理装置 | |
| US8675222B2 (en) | Information distribution system, information display apparatus, information management method, and computer readable medium | |
| JP2014182791A (ja) | 著作権管理システムのためのユーザーセントリック方法およびアダプター | |
| JP5353298B2 (ja) | アクセス認証システム、情報処理装置、アクセス認証方法、プログラム及び記録媒体 | |
| US9355226B2 (en) | Digital rights management system implemented on a scanner | |
| JP6536609B2 (ja) | 管理装置及びドキュメント管理システム | |
| JP2018156410A (ja) | 情報処理装置及びプログラム | |
| JP2007299053A (ja) | アクセス制御方法およびアクセス制御プログラム | |
| JP2005158022A (ja) | ファイルのセキュリティー管理システムおよび認証サーバ、クライアント装置ならびにプログラムおよび記録媒体 | |
| JP5388228B2 (ja) | 閲覧端末制限システム、閲覧端末制限サーバ、端末、閲覧端末制限方法、プログラム | |
| US20080127332A1 (en) | Information processing system, electronic authorization information issuing device, electronic information utilizing device, right issuing device, recording medium storing electronic authorization information issuing program, electronic information utilizing program and right issuing program, and information processing method | |
| JP2005055999A (ja) | アクセス権管理装置、アクセス権管理方法、及びそのプログラム | |
| US7966460B2 (en) | Information usage control system, information usage control device and method, and computer readable medium | |
| JP2001306528A (ja) | コンテンツ配信方法およびシステムとコンテンツ配信プログラムを記録した記録媒体 | |
| US10846414B2 (en) | Information processing system, information processing method, and non-transitory computer readable medium | |
| CN115098879A (zh) | 一种通过邮箱安全分享文件的方法及系统 | |
| JP2005025553A (ja) | データファイル配信装置、アクセス管理装置、データファイル配信方法、およびそのプログラム | |
| JP6604367B2 (ja) | 処理装置及び情報処理装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060724 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20091006 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091020 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091209 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091209 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100812 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101005 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110217 |