JP2006154987A - 記憶媒体のアクセス制御方式 - Google Patents
記憶媒体のアクセス制御方式 Download PDFInfo
- Publication number
- JP2006154987A JP2006154987A JP2004341378A JP2004341378A JP2006154987A JP 2006154987 A JP2006154987 A JP 2006154987A JP 2004341378 A JP2004341378 A JP 2004341378A JP 2004341378 A JP2004341378 A JP 2004341378A JP 2006154987 A JP2006154987 A JP 2006154987A
- Authority
- JP
- Japan
- Prior art keywords
- storage medium
- access
- access control
- security management
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【課題】 コンピュータに接続して使用する記憶媒体のセキュリティ管理担当者が、管理対象記憶媒体へのアクセス履歴の監視、および管理対象記憶媒体へのアクセス制御をリアルタイムで実施できること。
【解決手段】 記憶媒体のセキュリティ管理担当者は、管理対象とする記憶媒体へのアクセス可否を判定するのに必要な情報をセキュリティ管理サーバに登録し、ユーザが記憶媒体へアクセスする場合には、記憶媒体に記録されたアクセス制御プログラムを起動し、ネットワーク経由でセキュリティ管理サーバよりアクセス認証を受けることを必須とし、正しく認証された場合のみ記憶媒体へのアクセスを可能とする。またセキュリティ管理サーバはアクセス認証の結果を記録する。
【選択図】 図1
【解決手段】 記憶媒体のセキュリティ管理担当者は、管理対象とする記憶媒体へのアクセス可否を判定するのに必要な情報をセキュリティ管理サーバに登録し、ユーザが記憶媒体へアクセスする場合には、記憶媒体に記録されたアクセス制御プログラムを起動し、ネットワーク経由でセキュリティ管理サーバよりアクセス認証を受けることを必須とし、正しく認証された場合のみ記憶媒体へのアクセスを可能とする。またセキュリティ管理サーバはアクセス認証の結果を記録する。
【選択図】 図1
Description
本発明は、記憶媒体に記録されたデータへのアクセスを制御する方式に関し、管理者が記憶媒体へのアクセスを監視し、不正ユーザによるアクセスを防止するアクセス制御方式に関する。
コンピュータに接続し、データを格納することを目的とした記憶媒体において、記録されたデータがデータ記録者の意図しない不正ユーザにより利用されることを防止する方法として、オフラインの認証を行い、認証が成功した場合のみ記録されたデータにアクセスを許可する方式がある(例えば特許文献1参照。)。
従来技術によるアクセス制御方式では、記憶媒体および記憶媒体にアクセスするための認証情報が盗難により不正ユーザの手に渡った場合、不正ユーザが正当ユーザになりすまして記憶媒体に格納されたデータにアクセスすることを防ぐことはできない。また、記憶媒体へのアクセス権を有した不正ユーザが記憶媒体にアクセスした場合、アクセスした事実を不正ユーザ以外の人が確認することはできない。
本発明は、上記のような記憶媒体に格納されたデータの不正利用を防止するために、記憶媒体を使用するユーザの操作負担を増やすことなく、管理者による記憶媒体へのアクセス履歴参照およびアクセス制御がリアルタイムで可能となることを目的とする。
上記課題を解決するために、本発明は、アクセス制御を行おうとする記憶媒体上のアクセス制御対象データと、ユーザによるアクセス制御対象データへのアクセスを制御する記憶媒体に格納されたアクセス制御プログラムと、アクセス可否判定を行うセキュリティ管理サーバ上に格納されたアクセス可否判定プログラムと、記憶媒体へのアクセス可否を判定するための情報を登録しておくセキュリティ情報管理データベースから成り、以下の処理を行う。
ユーザは、管理者の管理する記憶媒体上のアクセス制御対象データにアクセスしようとする場合、記憶媒体の所定領域に格納されたアクセス制御プログラムを起動する。アクセス制御対象データを格納する領域は記憶媒体を接続するコンピュータのオペレーティングシステムが認識しない独自のファイルシステムにフォーマットされており、この時点ではユーザはアクセス制御対象データを格納する領域を認識できない。
アクセス制御プログラムは、ユーザに対して認証情報の入力を要求する。認証情報とはユーザ一意に識別するための情報である。
アクセス制御プログラムは、アクセス対象の記憶媒体を一意に特定する記憶媒体固有IDを記憶媒体から取得する。
アクセス制御プログラムは、認証情報と記憶媒体固有IDをセキュリティ管理サーバに送信し、アクセス可否判定を依頼する。
セキュリティ管理サーバ上に格納されたアクセス可否判定プログラムは、記憶媒体上のアクセス制御プログラムからのアクセス可否判定依頼を受信し、受信した認証情報と記憶媒体固有IDを、セキュリティ管理サーバ上のセキュリティ情報管理データベースに格納されたデータと比較し、アクセスの可否を判定する。
アクセス可否判定プログラムは、アクセス可否判定依頼元のアクセス制御プログラムにアクセス判定結果を送信し、セキュリティ管理サーバ上にアクセス可否判定の結果を記録する。
アクセス制御プログラムは、受信したアクセス判定結果が‘アクセス可’であれば記憶媒体を接続するコンピュータのオペレーティングシステムに対してアクセス制御対象データを認識可能な状態にする。受信したアクセス判定結果が‘アクセス不可’の場合、ユーザに対してアクセス制御対象データへのアクセスが不可であることを通知する。
本発明によれば、記憶媒体のセキュリティ管理担当者はさまざま場所で使用される可能性のある複数の記憶媒体のアクセス履歴を一元的に把握することができ、必要に応じてアクセス制限を実施することが可能となるため、記憶媒体の強固なセキュリティ管理が可能となる。
以下、本発明の実施形態を詳細に説明する。
図1は、本発明実施の一形態におけるシステム全体の構成を表した図である。
管理者はアクセス管理を行おうとする対象の記憶媒体を、図1の記憶媒体400の状態に設定する。記憶媒体400には公開領域410と非公開領域420とがあり、公開領域410はコンピュータ300上のオペレーティングシステム310が認識可能なファイルシステムにフォーマットされており、ユーザは記憶媒体400を接続したコンピュータ300上のオペレーティングシステム310を通じて公開領域410にアクセス可能である。非公開領域420はコンピュータ300上のオペレーティングシステム310が認識しない独自のファイルシステムにフォーマットされており、公開領域410に格納されたアクセス制御プログラム411に内蔵される非公開領域アクセスドライバ412はオペレーティングシステム310に対して上記の独自ファイルシステムを認識可能なファイルシステム(例えばNTFS等)として認識させる機能を有する。非公開領域420のファイルシステムを非更改領域アクセスドライバ以外の手段によってオペレーティングシステム310に認識させることはできない。
管理者は記憶媒体400の非公開領域420に、記憶媒体を一意に識別する記憶媒体固有ID422を設定する。
管理者は記憶媒体固有ID422が設定された記憶媒体400に対するアクセス可否判定のための情報をセキュリティ情報管理データベース220に設定する。セキュリティ情報管理データベース220は図2に示すデータ構造となっており、記憶媒体固有ID221、ユーザID222、パスワード223、有効有無224の項目からなる。セキュリティ情報管理データベース220のレコードは記憶媒体固有ID221とユーザID222を指定することで一意に特定される。
次に本実施形態におけるアクセス制御プログラム411およびアクセス可否判定プログラム210の処理手順を表した図3、図4に沿って処理の流れを説明する。
ユーザはコンピュータ300に記憶媒体400を接続し、記憶媒体400に格納されたアクセス制御対象データ430にアクセスする場合、コンピュータ300より記憶媒体400の公開領域410に格納されたアクセス制御プログラム411を起動する。
アクセス制御プログラム411はコンピュータ300を通じてユーザに対してユーザID、パスワードの入力を要求する(501)。
アクセス制御プログラム411はユーザが入力したユーザID311、パスワード312を取得する(502)。
アクセス制御プログラム411は記憶媒体固有ID420を取得する(503)。
アクセス制御プログラム411は記憶媒体固有ID420、ユーザID311、パスワード312の3情報を付加情報としてネットワーク100経由でセキュリティ管理サーバ200上のアクセス可否判定プログラム210を起動する(504)。
アクセス可否判定プログラム210は起動時の付加情報である記憶媒体固有ID210とユーザID311をキーとしてセキュリティ情報管理データベース220を検索する(601)。
該当データが存在するか判定し(602)、該当データが存在する場合、該当データのパスワードが起動時の付加情報であるパスワード312と一致するか比較する(603)。パスワードが一致した場合、該当データの有効有無が‘有効’であるか比較する(604)。有効有無が‘有効’の場合、アクセス可否判定プログラムは記憶媒体400に対して‘アクセス可’の判定とし、起動元アクセス制御プログラム411に‘アクセス可’の判定結果を通知する(605)。上記以外の場合、アクセス可否判定プログラム210は ‘アクセス不可’の判定とし、起動元アクセス制御プログラム411に‘アクセス不可’の判定結果を通知する(605)。
アクセス可否判定プログラム210はアクセス可否判定の結果をアクセスログ230に記録する(607)。アクセスログ230には図3に記載しているようにアクセス可否判定結果233の他、アクセス可否判定に使用したユーザID232、アクセス時刻231、アクセス可否判定結果詳細情報234が記録される。
アクセス制御プログラム411は受信したアクセス可否判定結果が‘アクセス可’の場合、記憶媒体固有ID422に対する非公開領域アクセスドライバ412を起動する。
非公開領域アクセスドライバ412が起動された状態(508)では、コンピュータ300上のオペレーティングシステム310は非公開領域420を認識可能であり、ユーザはアクセス制御対象データ421にアクセス可能となる。
受信したアクセス可否判定結果が‘アクセス不可’の場合、アクセス制御プログラム410はユーザに対してアクセス制御対象データ421へのアクセスができないことを通知する(507)。
ユーザがアクセス制御対象データ421にアクセス可能な状態にて、ユーザが記憶媒体400をコンピュータ300から取り外した場合や、アクセス制御プログラム411のプロセスが強制終了された場合(509)には、非公開領域アクセスドライバは停止し(510)、アクセス制御対象データ421はオペレーティングシステム310が認識できない状況となり、ユーザによるアクセス制御対象データ421へのアクセスはできなくなる。
記憶媒体および記憶媒体へアクセスするためのユーザID、パスワードが盗難により不正ユーザの手に渡った等の理由により、管理者の判断で記憶媒体へのアクセスを制限する場合、管理者はセキュリティ情報管理データベースの盗難された記憶媒体の記憶媒体固有IDと等しいレコードの有効有無224を‘無効’に設定することにより、記憶媒体へのアクセスを制御することができる。
記憶媒体へのアクセス履歴はアクセスログ230を参照することにより、どの記憶媒体に対してどのユーザIDを使用してアクセスしたかを確認できる。
100…ネットワーク、200…セキュリティ管理サーバ、210…アクセス可否判定プログラム、220…セキュリティ情報管理データベース、230…アクセスログ、300…コンピュータ、310…オペレーティングシステム、400…記憶媒体、410…公開領域、411…アクセス制御プログラム、412…非公開領域アクセスドライバ、420…非公開領域、421…アクセス制御対象データ、422…記憶媒体固有ID。
Claims (2)
- ユーザがコンピュータに記憶媒体を接続し、記憶媒体上のアクセス制御対象データにアクセスする際に、ユーザに対して認証情報の入力を要求し、正しく認証が行われたユーザに対して記憶媒体へのアクセスを許可するアクセス制御方式において、記憶媒体に格納されたアクセス制御プログラムによってのみアクセス制御対象データにアクセスすることが可能であり、アクセス制御プログラムはアクセス制御対象データへのアクセス可否判定を、記憶媒体を接続したコンピュータがネットワーク接続可能なセキュリティ管理サーバに依頼し、セキュリティ管理サーバよりアクセス許可の通知を受信することでアクセス制御対象データにアクセスを可能とすることを特徴とする記憶媒体のアクセス制御方式。
- 請求項1において、セキュリティ管理サーバはアクセス制御対象の記憶媒体に関するアクセス可否判定に必要な情報を格納し、セキュリティ管理サーバ上のアクセス可否判定プログラムはアクセス制御プログラムからのアクセス可否判定依頼に応じて、アクセス可否判定に必要な情報を検索してアクセス可否判定を行いアクセス制御プログラムへ判定結果を通知し、セキュリティ管理サーバ上に判定結果を記録することを特徴とする記憶媒体のアクセス制御方式。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004341378A JP2006154987A (ja) | 2004-11-26 | 2004-11-26 | 記憶媒体のアクセス制御方式 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004341378A JP2006154987A (ja) | 2004-11-26 | 2004-11-26 | 記憶媒体のアクセス制御方式 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006154987A true JP2006154987A (ja) | 2006-06-15 |
Family
ID=36633253
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004341378A Pending JP2006154987A (ja) | 2004-11-26 | 2004-11-26 | 記憶媒体のアクセス制御方式 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006154987A (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008114375A1 (ja) * | 2007-03-19 | 2008-09-25 | Fujitsu Limited | シンクライアント端末装置、その運用プログラム、及び方法、並びにシンクライアントシステム |
| JP2009193495A (ja) * | 2008-02-18 | 2009-08-27 | Hitachi Software Eng Co Ltd | データ持出し制御システム |
| JP2009205385A (ja) * | 2008-02-27 | 2009-09-10 | Fujitsu Ltd | 外部記憶装置,情報管理方法及び情報管理プログラム |
| JP2012155472A (ja) * | 2011-01-25 | 2012-08-16 | Fujitsu Ten Ltd | 動作情報管理装置、動作情報管理方法及び動作情報管理プログラム |
-
2004
- 2004-11-26 JP JP2004341378A patent/JP2006154987A/ja active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008114375A1 (ja) * | 2007-03-19 | 2008-09-25 | Fujitsu Limited | シンクライアント端末装置、その運用プログラム、及び方法、並びにシンクライアントシステム |
| JP4850949B2 (ja) * | 2007-03-19 | 2012-01-11 | 富士通株式会社 | シンクライアント端末装置、その運用プログラム、及び方法、並びにシンクライアントシステム |
| US8281038B2 (en) | 2007-03-19 | 2012-10-02 | Fujitsu Limited | Thin client terminal, operation program and method thereof, and thin client system |
| JP2009193495A (ja) * | 2008-02-18 | 2009-08-27 | Hitachi Software Eng Co Ltd | データ持出し制御システム |
| JP2009205385A (ja) * | 2008-02-27 | 2009-09-10 | Fujitsu Ltd | 外部記憶装置,情報管理方法及び情報管理プログラム |
| JP2012155472A (ja) * | 2011-01-25 | 2012-08-16 | Fujitsu Ten Ltd | 動作情報管理装置、動作情報管理方法及び動作情報管理プログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7487366B2 (en) | Data protection program and data protection method | |
| JP5270694B2 (ja) | 機密ファイルを保護するためのクライアント・コンピュータ、及びそのサーバ・コンピュータ、並びにその方法及びコンピュータ・プログラム | |
| US8166067B2 (en) | Method and apparatus for providing access to files based on user identity | |
| JP5098487B2 (ja) | 認証情報処理装置及びプログラム | |
| US8997185B2 (en) | Encryption sentinel system and method | |
| US9246887B1 (en) | Method and apparatus for securing confidential data for a user in a computer | |
| US20130247222A1 (en) | Systems and Methods for Preventing Access to Stored Electronic Data | |
| US20060059569A1 (en) | Application and device user verification from an operating system-based authentication service | |
| US8683569B1 (en) | Application access control system | |
| US20080052526A1 (en) | System and Method for Enrolling Users in a Pre-Boot Authentication Feature | |
| CN1985260A (zh) | 使用外部设备的计算机控制方法及计算机控制系统 | |
| KR20080071528A (ko) | 저장 장치 데이터 암호화와 데이터 액세스를 위한 방법 및시스템 | |
| CN101371490A (zh) | 用于实现上下文相关的文件安全的方法和装置 | |
| US20020120845A1 (en) | Method of providing enhanced security in a remotely managed computer system | |
| TW200949603A (en) | System and method for providing a system management command | |
| JP5013931B2 (ja) | コンピューターログインをコントロールする装置およびその方法 | |
| WO2006001153A1 (ja) | ファイル管理プログラム | |
| US8850563B2 (en) | Portable computer accounts | |
| JPH10260939A (ja) | コンピュータネットワークのクライアントマシン認証方法,クライアントマシン,ホストマシン及びコンピュータシステム | |
| JPH11305867A (ja) | なりすまし防止機能付きicカードシステム | |
| JP2008243172A (ja) | アクセス権限制御システム | |
| US20070055478A1 (en) | System and method for active data protection in a computer system in response to a request to access to a resource of the computer system | |
| JP2006154987A (ja) | 記憶媒体のアクセス制御方式 | |
| JP4683856B2 (ja) | 認証プログラムおよび認証サーバ | |
| JP2006146744A (ja) | リムーバブルメディア情報管理方法及びシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20060425 |