JP2008234140A - ファイルアクセス先制御装置、その方法及びそのプログラム - Google Patents

ファイルアクセス先制御装置、その方法及びそのプログラム Download PDF

Info

Publication number
JP2008234140A
JP2008234140A JP2007070619A JP2007070619A JP2008234140A JP 2008234140 A JP2008234140 A JP 2008234140A JP 2007070619 A JP2007070619 A JP 2007070619A JP 2007070619 A JP2007070619 A JP 2007070619A JP 2008234140 A JP2008234140 A JP 2008234140A
Authority
JP
Japan
Prior art keywords
file
storage device
side storage
program
access destination
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007070619A
Other languages
English (en)
Other versions
JP4806751B2 (ja
Inventor
Takahisa Shirakawa
貴久 白川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Embedded Products Ltd
Original Assignee
NEC Embedded Products Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Embedded Products Ltd filed Critical NEC Embedded Products Ltd
Priority to JP2007070619A priority Critical patent/JP4806751B2/ja
Priority to PCT/JP2008/050491 priority patent/WO2008114522A1/ja
Priority to US12/531,897 priority patent/US8489634B2/en
Publication of JP2008234140A publication Critical patent/JP2008234140A/ja
Application granted granted Critical
Publication of JP4806751B2 publication Critical patent/JP4806751B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6281Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2105Dual mode as a secondary aspect

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

【課題】機密保持する必要があるファイルのみをサーバに保存し、機密保持する必要がないファイルをクライアントに保存することを可能とするファイルアクセス先制御装置を提供する。
【解決手段】ホワイトリストに掲載されているプログラムによるファイルのアクセス先をクライアント側記憶装置とする手段と、リダイレクトリストに掲載されているプログラムによるファイルのアクセス先をサーバ側記憶装置とする手段と、前記ホワイトリストにも前記リダイレクトリストにも掲載されていないプログラムによるファイルの書込みを禁止する手段と、前記ホワイトリストにも前記リダイレクトリストにも掲載されていないプログラムによるファイルの読出し先をクライアント側記憶装置とする手段と、を備える。
【選択図】図20

Description

本発明は、ファイルのアクセス先をクライアント又はサーバの何れかとするファイルアクセス先制御装置、その方法及びそのプログラムに関し、特に、シンクライアント(Thin Client)で用いられるファイルアクセス先制御装置、その方法及びそのプログラムに関する。
近年、企業で利用するコンピュータによる機密情報の漏洩が問題となっている。例えば、企業内のデータをハードディスクドライブに記録したノート型パーソナルコンピュータを、従業員が社外に持ち出し、過失により、社外に置き忘れてしまった場合、そのノート型パーソナルコンピュータから企業内のデータが漏洩してしまう場合がある。また、犯意のある従業員などが、企業内のデータをファイルサーバや企業内にあるコンピュータのハードディスクドライブから、USBメモリやCD−Rなどにコピーして、外部に持ち出し、外部の者に漏洩する場合がある。
このようなコンピュータを介した企業内機密情報の漏洩を防止するために、出願人は、シンクライアントシステム(Thin Client Systen)を提供してきた。例えば、ネットブート型シンクライアントシステム、画面転送型シンクライアントシステム及び仮想PC型シンクライアントシステムが、出願人が提供してきたシンクライアントシステムとして挙げられる(例えば、非特許文献1乃至3参照)。
「シンクライアントシステム」、[平成19年2月26日検索]、インターネット <URL: http://www.express.nec.co.jp/products/thinclient.html> 「MATEシンクライアントVersaProシンクライアント(ネットブート型)」、[平成19年2月26日検索]、インターネット <URL: http://www.express.nec.co.jp/products/tc/index.html> 「VersaProシンクライアントUS50」、[平成19年2月26日検索]、インターネット <URL: http://www.express.nec.co.jp/products/tc2/index.html>
しかし、上述した何れの型のシンクライアントシステムにおいても、アプリケーションのデータを含むファイルのアクセス先は、サーバとなる。すなわち、どのようなアプリケーションであっても、クライアントのハードディスクドライブなどにファイルを書き込んだり、クライアントのハードディスクドライブなどからファイルを読み出したりすることができない。そうすると、機密保持をする必要がないファイルであっても、クライアントのハードディスクなどに保存することができないこととなり不便である。
また、上述した何れの型のシンクライアントシステムにおいても、スタンドアロンでクライアントを利用することができなかった。スタンドアロンで利用するには通常のパソコンしかなく、上述の情報漏洩を防ぐためデータファイルをサーバに置くルールで運用したとしても、ユーザが意識して操作をする必要があるため、全てのデータがサーバ上にあることを保証できないという課題が生ずる。
そこで、本発明は、機密保持する必要があるファイルをサーバに保存し、機密保持する必要がないファイルをクライアントに保存することを可能とするファイルアクセス先制御装置、その方法及びそのプログラムを提供することを目的とする。
本発明の第1の観点によれば、プログラムによりファイルのアクセス先がクライアント側記憶装置とされているファイルの実際のアクセス先をクライアント側記憶装置又はサーバ側記憶装置の何れかとするファイルアクセス先制御装置において、ホワイトリストに掲載されているプログラムによるファイルのアクセス先をクライアント側記憶装置とする手段と、前記ホワイトリストに掲載されていないプログラムによるファイルのアクセス先をサーバ側記憶装置とする手段と、を備えることを特徴とするファイルアクセス先制御装置が提供される。
本発明の第2の観点によれば、プログラムによりファイルのアクセス先がクライアント側記憶装置とされているファイルの実際のアクセス先をクライアント側記憶装置又はサーバ側記憶装置の何れかとするファイルアクセス先制御装置において、リダイレクトリストに掲載されているプログラムによるファイルのアクセス先をサーバ側記憶装置とする手段と、前記リダイレクトリストに掲載されていないプログラムによるファイルのアクセス先をクライアント側記憶装置とする手段と、を備えることを特徴とするファイルアクセス先制御装置が提供される。
本発明の第3の観点によれば、プログラムによりファイルのアクセス先がクライアント側記憶装置とされているファイルの実際のアクセス先をクライアント側記憶装置又はサーバ側記憶装置の何れかとするファイルアクセス先制御装置において、ホワイトリストに掲載されているプログラムによるファイルのアクセス先をクライアント側記憶装置とする手段と、リダイレクトリストに掲載されているプログラムによるファイルのアクセス先をサーバ側記憶装置とする手段と、前記ホワイトリストにも前記リダイレクトリストにも掲載されていないプログラムによるファイルの書込みを禁止する手段と、を備えることを特徴とするファイルアクセス先制御装置が提供される。
本発明の第1乃至第3の観点によるファイルアクセス先制御装置において、前記プログラムとは、当該プログラムが親プログラムであれば、当該プログラムであり、当該プログラムが子プログラムであれば、当該プログラムの親プログラムであるようにしてもよい。
本発明の第4の観点によれば、プログラムによりファイルのアクセス先がクライアント側記憶装置とされているファイルの実際のアクセス先をクライアント側記憶装置又はサーバ側記憶装置の何れかとするファイルアクセス先制御装置において、ホワイトリストに掲載されている属性を有するファイルのアクセス先をクライアント側記憶装置とする手段と、前記ホワイトリストに掲載されていない属性を有するファイルのアクセス先をサーバ側記憶装置とする手段と、を備えることを特徴とするファイルアクセス先制御装置が提供される。
本発明の第5の観点によれば、プログラムによりファイルのアクセス先がクライアント側記憶装置とされているファイルの実際のアクセス先をクライアント側記憶装置又はサーバ側記憶装置の何れかとするファイルアクセス先制御装置において、リダイレクトリストに掲載されている属性を有するファイルのアクセス先をサーバ側記憶装置とする手段と、前記リダイレクトリストに掲載されていない属性を有するファイルのアクセス先をクライアント側記憶装置とする手段と、を備えることを特徴とするファイルアクセス先制御装置が提供される。
本発明の第6の観点によれば、プログラムによりファイルのアクセス先がクライアント側記憶装置とされているファイルの実際のアクセス先をクライアント側記憶装置又はサーバ側記憶装置の何れかとするファイルアクセス先制御装置において、ホワイトリストに掲載されている属性を有するファイルのアクセス先をクライアント側記憶装置とする手段と、リダイレクトリストに掲載されている属性を有するファイルのアクセス先をサーバ側記憶装置とする手段と、前記ホワイトリストにも前記リダイレクトリストにも掲載されていない属性を有するファイルの書込みを禁止する手段と、を備えることを特徴とするファイルアクセス先制御装置が提供される。
本発明の第1乃至第6の観点によるファイルアクセス先制御装置において、前記クライアントは、キャッシュメモリを備え、アクセス先を前記サーバ側記憶装置とする場合、前記キャッシュメモリを介して前記サーバ側記憶装置にアクセスする手段を更に備えるようにしてもよい。
本発明の第1乃至第6の観点によるファイルアクセス先制御装置において、前記キャッシュメモリは揮発性メモリであるようにしてもよい。
本発明によれば、機密保持する必要があるファイルのみをサーバに保存し、機密保持する必要がないファイルをクライアントに保存することが可能となる。
以下、図面を参照して本発明を実施するための最良の形態について詳細に説明する。
[実施形態1]
実施形態1では、ホワイトリストを利用し、ホワイトリストにプログラム名が記述されているプログラムによるファイルのアクセス先をクライアント側記憶装置としたり、ホワイトリストに属性が記述されているプログラムによるファイルのアクセス先をクライアント側記憶装置とし、その他のファイルのアクセス先をサーバ側記憶装置とする。
ここで属性とは、ファイルの拡張子、ファイルの作成日時、ファイルのドキュメントタイプ、ファイルの作成者、ファイル作成者の属する会社名、ファイルのサイズ、ファイルの暗号化設定の有無、リードオンリーなどのアクセス情報若しくはファイルの隠しファイル属性又はこれらの組合せなどのことである。
図1は、本発明の実施形態1によるファイルアクセス先制御装置を含むシステムの構成を示す図である。
図1を参照するとこのシステムは、クライアント101とサーバ141とを含む。図1では、図の簡略化のために、クライアント101は1台のみしか記載されていないが、一般には、1台のサーバに複数のクライアント101が接続されている。
クライアント101及びサーバ141は、CPU、メインメモリを有するコンピュータであり、図1において、クライアント101の各部(第1のプログラム103−1〜第Nのプログラム103−N、ファイルアクセス先制御部105及びクライアント側記憶装置111)は、CPU及びメインメモリを利用して動作するプログラムである。同様に、サーバ141のサーバ側ファイルアクセス制御部143も、CPU及びメインメモリを利用して動作するプログラムである。
第1のプログラム103−1〜第Nのプログラム103−Nは、例えば、ワードプロセッサ、表計算プログラム、プレゼンテーションプログラム、データベース管理プログラム、メーラ、Webブラウザ、ファイラなどの単独で動作することができるプログラムであるが、あるプログラムが他のプログラムを子プロセスとして起動することが可能である。
また、これらのプログラムに対し本構成をとるために改変を加える必要はなく、既存のプログラムを利用することができる。
ファイルアクセス先制御部105は、第1のプログラム103−1〜第Nのプログラム103−Nが読み書きするファイルのアクセス先を制御する。この制御方法については後述する。
クライアント側ファイルアクセス制御部111は、アクセス先がクライアント側記憶装置121となっているファイルの読み書きを制御する。
サーバ側ファイルアクセス制御部143は、アクセス先がサーバ側記憶装置161となっているファイルの読み書きを制御する。
ホワイトリスト保持部107は、クライアント側記憶装置121に設けられており、ファイルアクセス先制御部105が、ファイルのアクセス先を制御するために、ファイルアクセス先制御部105により読み出される。従って、ファイルアクセス先制御部105から読み出されることが可能な限り、ホワイトリスト保持部107はどこにあってもよい。ユーザによるホワイトリスト保持部107の書き換えを防止するためには、むしろ、サーバ側記憶装置161にホワイトリスト保持部107が設けられていた方がよい。ホワイトリストの例を図2に示す。
マップリスト117は、クライアント側記憶装置121に書き込まれる代わりに、サーバ側記憶装置161に書き込まれたファイルについて、クライアント側記憶装置121に書き込まれていたならば、そこにあるであるはずのファイルのフルパス(Full Path)とファイル名との組と、実際のサーバ側記憶装置161でのフルパスとファイル名との組との対応関係を保持する。マップリスト117の例を図3に示す。
次に、ファイルアクセス先制御部105のファイルを書き込む場合の動作の第1の例を図4を参照して説明する。
まず、クライアント側記憶装置121にファイルを書き込もうとしている当該プログラムがメインプログラムであるか否かを調べる(ステップS201)。当該プログラムがメインプログラムでない場合には(ステップS201でNO)、呼出し元を辿って、メインプログラムを探す(ステップS203)。
次に、メインプログラムがホワイトリスト保持部107にあるホワイトリストに含まれているか否かを調べる(ステップS205)。
メインプログラムがホワイトリストに含まれている場合には(ステップS205でYES)、クライアント側ファイルアクセス制御部111を介して、クライアント側記憶装置121にファイルを書き込む(ステップS207)。
他方、メインプログラムがホワイトリストに含まれていない場合には(ステップS205でNO)、サーバ側ファイルアクセス制御部143を介して、サーバ側記憶装置161にファイルを書き込む(ステップS209)。次に、マップリストに、仮にクライアント側記憶装置121に書き込まれていたとした場合のファイルのフルパスとファイル名との組と、実際に書き込まれたファイルのフルパスとファイル名との組をマップリストに追加する(ステップS211)。
なお、メインプログラムが他のプログラムを子プロセスとして起動する場合に、メインプログラムがホワイトリストに含まれているか否かの属性を子プログラムに引き渡すことにより、ステップS201、S203を省略することができる。
次に、ファイルアクセス先制御部105のファイルを読み出す場合の動作の第1の例を図5を参照して説明する。
まず、ファイルを読み出そうとしている当該プログラムがメインプログラムであるか否かを調べる(ステップS221)。当該プログラムがメインプログラムでない場合には(ステップS221でNO)、呼出し元を辿って、メインプログラムを探す(ステップS223)。
次に、メインプログラムがホワイトリスト保持部107にあるホワイトリストに含まれているか否かを調べる(ステップS225)。
メインプログラムがホワイトリストに含まれている場合には(ステップS225でYES)、クライアント側ファイルアクセス制御部111を介して、クライアント側記憶装置121からファイルを読み出す(ステップS227)。
他方、メインプログラムがホワイトリストに含まれていない場合には(ステップS225でNO)、マップリストに保持されている、仮にクライアント側記憶装置121に書き込まれていたとした場合のファイルのフルパスとファイル名との組と、実際に書き込まれたファイルのフルパスとファイル名との組との対応関係を基に、読み出し先を探す(ステップS229)。探せた場合には(ステップS230でYES)、サーバ側ファイルアクセス制御部143を介して、サーバ側記憶装置161からファイルを読み出す(ステップS231)。探せない場合には(ステップS230でNO)、クライアント側ファイルアクセス制御部111を介して、クライアント側記憶装置121からファイルを読み出す(ステップS227)。
なお、メインプログラムが他のプログラムを子プロセスとして起動する場合に、メインプログラムがホワイトリストに含まれているか否かの属性を子プログラムに引き渡すことにより、ステップS221、S223を省略することができる。
次に、ファイルアクセス先制御部105のファイルを書き込む場合の動作の第2の例を図6を参照して説明する。
まず、書き込もうとしているファイルの属性がホワイトリストに含まれているか否かを調べる(ステップS241)。
書き込もうとしているファイルの属性がホワイトリストに含まれている場合には(ステップS241でYES)、クライアント側ファイルアクセス制御部111を介して、クライアント側記憶装置121にファイルを書き込む(ステップS243)。
他方、書き込もうとしているファイルの属性がホワイトリストに含まれていない場合には(ステップS241でNO)、サーバ側ファイルアクセス制御部143を介して、サーバ側記憶装置161にファイルを書き込む(ステップS245)。次に、マップリストに、仮にクライアント側記憶装置121に書き込まれていたとした場合のファイルのフルパスとファイル名の組と、実際に書き込まれたファイルのフルパスとファイル名との組をマップリストに追加する(ステップS247)。
次に、ファイルアクセス先制御部105のファイルを読み出す場合の動作の第2の例を図7を参照して説明する。
まず、読み出そうとしているファイルの属性がホワイトリストに含まれているか否かを調べる(ステップS261)。
読み出そうとしているファイルの属性がホワイトリストに含まれている場合には(ステップS261でYES)、クライアント側ファイルアクセス制御部111を介して、クライアント側記憶装置121からファイルを読み出す(ステップS263)。
他方、読み出そうとしているファイルの属性がホワイトリストに含まれていない場合には(ステップS261でNO)、マップリストに保持されている、仮にクライアント側記憶装置121に書き込まれていたとした場合のファイルのフルパスとファイル名との組と、実際に書き込まれたファイルのフルパスとファイル名との組との対応関係を基に、読み出し先を探す(ステップS265)。探せた場合には(ステップS266でYES)、サーバ側ファイルアクセス制御部143を介して、サーバ側記憶装置161からファイルを読み出す(ステップS267)。探せない場合には(ステップS266でNO)、クライアント側ファイルアクセス制御部111を介して、クライアント側記憶装置121からファイルを読み出す(ステップS263)。
実施形態1によれば、例えば、Windows(登録商標)アップデートプログラムをホワイトリストに含めることにより、円滑にWindows(登録商標)アップデートを実行することが可能となる。
また、実施形態1によれば、ワードプロセッサ・プログラムをホワイトリストから除外することにより、文書ファイルがクライアント側記憶装置に書き込まれることを防止することができる。
[実施形態2]
実施形態2では、リダイレクトリストを利用し、リダイレクトリストにプログラム名が記述されているプログラムによるファイルのアクセス先をサーバ側記憶装置としたり、リダイレクトリストに属性が記述されているプログラムによるファイルのアクセス先をサーバ側記憶装置とし、その他のファイルのアクセス先をクライアント側記憶装置とする。
図8は、本発明の実施形態2によるファイルアクセス先制御装置を含むシステムの構成を示す図である。
実施形態2が実施形態1と構成上異なるのは、ホワイトリスト保持部107の代わりにリダイレクトリスト保持部109が備わることである。
リダイレクトリスト保持部109は、クライアント側記憶装置121に設けられており、ファイルアクセス先制御部105が、ファイルのアクセス先を制御するために、ファイルアクセス先制御部105により読み出される。従って、ファイルアクセス先制御部105から読み出されることが可能な限り、リダイレクトリスト保持部109はどこにあってもよい。ユーザによるリダイレクトリスト保持部109の書き換えを防止するためには、むしろ、サーバ側記憶装置161にリダイレクトリスト保持部109が設けられていた方がよい。リダイレクトリストの例を図2に示す。
次に、ファイルアクセス先制御部105のファイルを書き込む場合の動作の第1の例を図9を参照して説明する。
まず、クライアント側記憶装置121にファイルを書き込もうとしている当該プログラムがメインプログラムであるか否かを調べる(ステップS281)。当該プログラムがメインプログラムでない場合には(ステップS281でNO)、呼出し元を辿って、メインプログラムを探す(ステップS283)。
次に、メインプログラムがリダイレクトリスト保持部109にあるリダイレクトリストに含まれているか否かを調べる(ステップS285)。
メインプログラムがリダイレクトリストに含まれている場合には(ステップS285でYES)、サーバ側ファイルアクセス制御部143を介して、サーバ側記憶装置161にファイルを書き込む(ステップS287)。次に、マップリストに、仮にクライアント側記憶装置121に書き込まれていたとした場合のファイルのフルパスとファイル名との組と、実際に書き込まれたファイルのフルパスとファイル名との組をマップリストに追加する(ステップS289)。
他方、メインプログラムがリダイレクトリストに含まれていない場合には(ステップS285でNO)、クライアント側ファイルアクセス制御部111を介して、クライアント側記憶装置121にファイルを書き込む(ステップS291)。
なお、メインプログラムが他のプログラムを子プロセスとして起動する場合に、メインプログラムがホワイトリストに含まれているか否かの属性を子プログラムに引き渡すことにより、ステップS281、S283を省略することができる。
次に、ファイルアクセス先制御部105のファイルを読み出す場合の動作の第1の例を図10を参照して説明する。
まず、ファイルを読み出そうとしている当該プログラムがメインプログラムであるか否かを調べる(ステップS301)。当該プログラムがメインプログラムでない場合には(ステップS301でNO)、呼出し元を辿って、メインプログラムを探す(ステップS303)。
次に、メインプログラムがリダイレクトリスト保持部109にあるリダイレクトリストに含まれているか否かを調べる(ステップS305)。
メインプログラムがリダイレクトリストに含まれている場合には(ステップS305でYES)、マップリストに保持されている、仮にクライアント側記憶装置121に書き込まれていたとした場合のファイルのフルパスとファイル名との組と、実際に書き込まれたファイルのフルパスとファイル名との組との対応関係を基に、読み出し先を探す(ステップS307)。探せた場合には(ステップS308でYES)、サーバ側ファイルアクセス制御部143を介して、サーバ側記憶装置161からファイルを読み出す(ステップS309)。探せない場合には(ステップS308でNO)、クライアント側ファイルアクセス制御部111を介して、クライアント側記憶装置121からファイルを読み出す(ステップS311)。
他方、メインプログラムがリダイレクトリストに含まれていない場合には(ステップS305でNO)、クライアント側ファイルアクセス制御部111を介して、クライアント側記憶装置121からファイルを読み出す(ステップS311)。
なお、メインプログラムが他のプログラムを子プロセスとして起動する場合に、メインプログラムがホワイトリストに含まれているか否かの属性を子プログラムに引き渡すことにより、ステップS301、S303を省略することができる。
次に、ファイルアクセス先制御部105のファイルを書き込む場合の動作の第2の例を図11を参照して説明する。
まず、書き込もうとしているファイルの属性がリダイレクトリストに含まれているか否かを調べる(ステップS321)。
書き込もうとしているファイルの属性がリダイレクトリストに含まれている場合には(ステップS321でYES)、サーバ側ファイルアクセス制御部143を介して、サーバ側記憶装置161にファイルを書き込む(ステップS323)。次に、マップリストに、仮にクライアント側記憶装置121に書き込まれていたとした場合のファイルのフルパスとファイル名の組と、実際に書き込まれたファイルのフルパスとファイル名との組をマップリストに追加する(ステップS325)。
他方、書き込もうとしているファイルの属性がリダイレクトリストに含まれていない場合には(ステップS321でNO)、クライアント側ファイルアクセス制御部111を介して、クライアント側記憶装置121にファイルを書き込む(ステップS327)。
次に、ファイルアクセス先制御部105のファイルを書き込む場合の動作の第2の例を図12を参照して説明する。
まず、読み出そうとしているファイルの属性がリダイレクトリストに含まれているか否かを調べる(ステップS341)。
読み出そうとしているファイルの属性がリダイレクトリストに含まれている場合には(ステップS341でYES)、マップリストに保持されている、仮にクライアント側記憶装置121に書き込まれていたとした場合のファイルのフルパスとファイル名との組と、実際に書き込まれたファイルのフルパスとファイル名との組との対応関係を基に、読み出し先を探す(ステップS343)。探せた場合には(ステップS344でYES)、サーバ側ファイルアクセス制御部143を介して、サーバ側記憶装置161からファイルを読み出す(ステップS345)。探せない場合には(ステップS230でNO)、クライアント側ファイルアクセス制御部111を介して、クライアント側記憶装置121からファイルを読み出す(ステップS347)。
他方、読み出そうとしているファイルの属性がリダイレクトリストに含まれていない場合には(ステップS341でNO)、クライアント側ファイルアクセス制御部111を介して、クライアント側記憶装置121からファイルを読み出す(ステップS347)。
実施形態1によれば、例えば、Windows(登録商標)アップデートプログラムをリダイレクトリストから除外しておくことにより、円滑にWindows(登録商標)アップデートを実行することが可能となる。
また、実施形態1によれば、ワードプロセッサ・プログラムをホワイトリストに含めておくことにより、文書ファイルがクライアント側記憶装置に書き込まれることを防止することができる。
[実施形態3]
実施形態3では、ホワイトリスト及びリダイレクトリストを利用する。ホワイトリストにプログラム名が記述されているプログラムによるファイルのアクセス先をクライアント側記憶装置としたり、ホワイトリストに属性が記述されているプログラムによるファイルのアクセス先をクライアント側記憶装置とする。リダイレクトリストにプログラム名が記述されているプログラムによるファイルのアクセス先をサーバ側記憶装置としたり、リダイレクトリストに属性が記述されているプログラムによるファイルのアクセス先をサーバ側記憶装置とする。ホワイトリストにもリダイレクトリストにもプログラム名が記述されていないプログラムによるファイルの書き込みを禁止し、ホワイトリストにもリダイレクトリストにもプログラム名が記述されてないプログラムによるファイルの読み出し先をクライアント側記憶装置とする。
図13は、本発明の実施形態1によるファイルアクセス先制御装置を含むシステムの構成を示す図である。
実施形態3が実施形態1や実施形態2と構成上異なるのは、ホワイトリスト保持部107及びリダイレクトリスト保持部109の双方が備わることである。
次に、ファイルアクセス先制御部105のファイルを書き込む場合の動作の第1の例を図14を参照して説明する。
まず、クライアント側記憶装置121にファイルを書き込もうとしている当該プログラムがメインプログラムであるか否かを調べる(ステップS361)。当該プログラムがメインプログラムでない場合には(ステップS361でNO)、呼出し元を辿って、メインプログラムを探す(ステップS363)。
次に、メインプログラムがホワイトリスト保持部107にあるホワイトリストに含まれているか否かを調べる(ステップS365)。
メインプログラムがホワイトリストに含まれている場合には(ステップS365でYES)、クライアント側ファイルアクセス制御部111を介して、クライアント側記憶装置121にファイルを書き込む(ステップS367)。
他方、メインプログラムがホワイトリストに含まれていない場合には(ステップS365でNO)、メインプログラムがリダイレクトリストに含まれているか否かを調べる(ステップS369)。
メインプログラムがリダイレクトリストに含まれている場合には(ステップS369でYES)、サーバ側ファイルアクセス制御部143を介して、サーバ側記憶装置161にファイルを書き込む(ステップS371)。次に、マップリストに、仮にクライアント側記憶装置121に書き込まれていたとした場合のファイルのフルパスとファイル名との組と、実際に書き込まれたファイルのフルパスとファイル名との組をマップリストに追加する(ステップS373)。
メインプログラムがリダイレクトリストに含まれていない場合には(ステップS369でNO)、何もせずに処理を終了する。当該プログラムに書き込みに失敗したことをエラーコードとして通知してもよい。
なお、メインプログラムが他のプログラムを子プロセスとして起動する場合に、メインプログラムがホワイトリストに含まれているか否かの属性を子プログラムに引き渡すことにより、ステップS361、S363を省略することができる。
次に、ファイルアクセス先制御部105のファイルを読み出す場合の動作の第1の例を図15を参照して説明する。
まず、ファイルを読み出そうとしている当該プログラムがメインプログラムであるか否かを調べる(ステップS381)。当該プログラムがメインプログラムでない場合には(ステップS381でNO)、呼出し元を辿って、メインプログラムを探す(ステップS383)。
次に、メインプログラムがホワイトリスト保持部107にあるホワイトリストに含まれているか否かを調べる(ステップS385)。
メインプログラムがホワイトリストに含まれている場合には(ステップS385でYES)、クライアント側ファイルアクセス制御部111を介して、クライアント側記憶装置121からファイルを読み出す(ステップS387)。
他方、メインプログラムがホワイトリストに含まれていない場合には(ステップS225でNO)、メインプログラムがリダイレクトリストに含まれているか否かを調べる(ステップS389)。
メインプログラムがリダイレクトリストに含まれている場合には(ステップS389でYES)、マップリストに保持されている、仮にクライアント側記憶装置121に書き込まれていたとした場合のファイルのフルパスとファイル名との組と、実際に書き込まれたファイルのフルパスとファイル名との組との対応関係を基に、読み出し先を探す(ステップS391)。次に、サーバ側ファイルアクセス制御部143を介して、サーバ側記憶装置161からファイルを読み出す(ステップS393)。
メインプログラムがリダイレクトリストに含まれていない場合には(ステップS389でNO)、クライアント側ファイルアクセス制御部111を介して、クライアント側記憶装置121からファイルを読み出す(ステップS387)。
なお、メインプログラムが他のプログラムを子プロセスとして起動する場合に、メインプログラムがホワイトリストに含まれているか否かの属性を子プログラムに引き渡すことにより、ステップS381、S383を省略することができる。
次に、ファイルアクセス先制御部105のファイルを書き込む場合の動作の第2の例を図16を参照して説明する。
まず、書き込もうとしているファイルの属性がホワイトリストに含まれているか否かを調べる(ステップS401)。
書き込もうとしているファイルの属性がホワイトリストに含まれている場合には(ステップS401でYES)、クライアント側ファイルアクセス制御部111を介して、クライアント側記憶装置121にファイルを書き込む(ステップS403)。
他方、書き込もうとしているファイルの属性がホワイトリストに含まれていない場合には(ステップS401でNO)、書き込もうとしているファイルの属性がリダイレクトリストに含まれているか否かを調べる(ステップS405)。
書き込もうとしているファイルの属性がリダイレクトリストに含まれている場合には(ステップS405でYES)、サーバ側ファイルアクセス制御部143を介して、サーバ側記憶装置161にファイルを書き込む(ステップS407)。次に、マップリストに、仮にクライアント側記憶装置121に書き込まれていたとした場合のファイルのフルパスとファイル名の組と、実際に書き込まれたファイルのフルパスとファイル名との組をマップリストに追加する(ステップS409)。
他方、書き込もうとしているファイルの属性がリダイレクトリストに含まれていない場合には(ステップS405でNO)、何もせずに処理を終了する。
次に、ファイルアクセス先制御部105のファイルを読み出す場合の動作の第2の例を図17を参照して説明する。
まず、読み出そうとしているファイルの属性がホワイトリストに含まれているか否かを調べる(ステップS421)。
読み出そうとしているファイルの属性がホワイトリストに含まれている場合には(ステップS421でYES)、クライアント側ファイルアクセス制御部111を介して、クライアント側記憶装置121からファイルを読み出す(ステップS423)。
他方、読み出そうとしているファイルの属性がホワイトリストに含まれていない場合には(ステップS261でNO)、読み出そうとしているファイルの属性がリダイレクトリストに含まれているか否かを調べる(ステップS425)。
読み出そうとしているファイルの属性がリダイレクトリストに含まれている場合には(ステップS425でYES)、マップリストに保持されている、仮にクライアント側記憶装置121に書き込まれていたとした場合のファイルのフルパスとファイル名との組と、実際に書き込まれたファイルのフルパスとファイル名との組との対応関係を基に、読み出し先を探す(ステップS427)。探せた場合には(ステップS428でYES)、サーバ側ファイルアクセス制御部143を介して、サーバ側記憶装置161からファイルを読み出す(ステップS429)。探せない場合には(ステップS428でNO)、クライアント側ファイルアクセス制御部111を介して、クライアント側記憶装置121からファイルを読み出す(ステップS423)。 他方、読み出そうとしているファイルの属性がリダイレクトリストに含まれていない場合には(ステップS425でNO)、クライアント側ファイルアクセス制御部111を介して、クライアント側記憶装置121からファイルを読み出す(ステップS423)。
実施形態3によれば、ホワイトリストにもリダイレクトリストにも含まれていないプログラムによって、ファイルが書き込まれることを防ぐことができるので、例えば、未知のファイル名のウィルスプログラムにより、ウィルスのデータが書き込まれることを防止することができる。
[実施形態4]
実施形態4は、実施形態1を変形した形態である。実施形態4の構成を示す図18と実施形態1の構成を示す図1とを比較すると明らかなように、実施形態4が実施形態1と異なる点は、キャッシュメモリ113とキャッシュメモリ制御部115が追加されている点である。
キャッシュメモリ113は、サーバ側ファイルアクセス制御部143とファイルアクセス先制御部105との間に介在する。キャッシュメモリ制御部115は、従来からあるアルゴリズム(例えば、ダイレクトマップ方式、セットアソシアティブ方式、フルアソシアティブ方式、ランドロビン方式、URL方式、ランダム方式、ライトスルー方式、ライトバック方式、スヌープ方式、ディレクトリ方式など)によりキャッシュメモリを制御する。
キャッシュメモリ113として、DRAMなどの揮発性メモリを利用することにより、サーバ側記憶装置161に書き込んだファイルのコピーが、クライアント101の電源を切った後に残存することを防止することができる。
キャッシュメモリ113を設けることにより、ファイルへのアクセススピードの高速化、ネットワーク上のトラフィック量の増加の抑制、オフライン状態(クライアントがサーバと接続されていない状態)でのプログラムの開始可能化といった効果が得られる。
[実施形態5]
実施形態5は、実施形態2にキャッシュメモリ113とキャッシュメモリ制御部115とを追加した形態である。この構成を図19に示す。キャッシュメモリの制御方式、キャッシュメモリを設けることによる効果は実施形態4のものと同様である。
[実施形態6]
実施形態6は、実施形態3にキャッシュメモリ113とキャッシュメモリ制御部115とを追加した形態である。この構成を図20に示す。キャッシュメモリの制御方式、キャッシュメモリを設けることによる効果は実施形態4のものと同様である。
なお、上記の実施形態では、当該プログラムが親プログラムであるか否かを判断し、当該プログラムが親プログラムでない場合には、親プログラムを探し、その親プログラムがホワイトリストやリダイレクトリストに含まれているかを判断するようにした。この代わりに、最初に親プログラムがホワイトリストやリダイレクトリストに含まれているかどうかを判断し、親プログラムが子プログラムを起動するときにその属性を承継させるようにしてもよい。
また、アクセスコントロールをすることにより、あるユーザのクライアントからサーバ側記憶装置161に書き込まれたファイルを他のユーザのクライアントからアクセスできないようにすることができる。
また、ファイルをユーザ別に暗号化することにより、あるユーザのクライアントからサーバ側記憶装置161に書き込まれたファイルを他のユーザのクライアントからアクセスできないようにすることができる。
また、上記の実施形態では、プログラムが希望するファイルのアクセス先がクライアント側記憶装置である場合についての説明をした。プログラムが希望するファイルのアクセス先がサーバである場合には、その希望通り、アクセス先はサーバとなる。
本発明によれば、暴露ウィルスのような不正なプログラムが機密ファイルを読み出すことができないようにできる。それは、機密の記憶装置上のファイルに対して、ホワイトリストに記載されているプログラムや、リダイレクトリストに記載されていないプログラムからサーバ側記憶装置にあるファイルを読み出すことができないからである。
本発明の実施形態1によるファイルアクセス先制御装置を含むシステムの構成を示す図である。 本発明の実施形態によるホワイトリスト及びリダイレクトリストの例を示す図である。 本発明の実施形態によるマップリストの例を示す図である。 本発明の実施形態1によるファイルアクセス先制御装置のファイルの書込みの時における第1の動作を示すフローチャートである。 本発明の実施形態1によるファイルアクセス先制御装置のファイルの読出しの時における第1の動作を示すフローチャートである。 本発明の実施形態1によるファイルアクセス先制御装置のファイルの書込みの時における第2の動作を示すフローチャートである。 本発明の実施形態1によるファイルアクセス先制御装置のファイルの読出しの時における第2の動作を示すフローチャートである。 本発明の実施形態2によるファイルアクセス先制御装置を含むシステムの構成を示す図である。 本発明の実施形態2によるファイルアクセス先制御装置のファイルの書込みの時における第1の動作を示すフローチャートである。 本発明の実施形態2によるファイルアクセス先制御装置のファイルの読出しの時における第1の動作を示すフローチャートである。 本発明の実施形態2によるファイルアクセス先制御装置のファイルの書込みの時における第2の動作を示すフローチャートである。 本発明の実施形態2によるファイルアクセス先制御装置のファイルの読出しの時における第2の動作を示すフローチャートである。 本発明の実施形態3によるファイルアクセス先制御装置を含むシステムの構成を示す図である。 本発明の実施形態3によるファイルアクセス先制御装置のファイルの書込みの時における第1の動作を示すフローチャートである。 本発明の実施形態3によるファイルアクセス先制御装置のファイルの読出しの時における第1の動作を示すフローチャートである。 本発明の実施形態3によるファイルアクセス先制御装置のファイルの書込みの時における第2の動作を示すフローチャートである。 本発明の実施形態3によるファイルアクセス先制御装置のファイルの読出しの時における第2の動作を示すフローチャートである。 本発明の実施形態4によるファイルアクセス先制御装置を含むシステムの構成を示す図である。 本発明の実施形態5によるファイルアクセス先制御装置を含むシステムの構成を示す図である。 本発明の実施形態6によるファイルアクセス先制御装置を含むシステムの構成を示す図である。
符号の説明
101 クライアント
103−1〜103−N 第1のプログラム〜第Nのプログラム
105 ファイルアクセス先制御部
107 ホワイトリスト保持部
109 リダイレクトリスト保持部
111 クライアント側ファイルアクセス制御部
113 キャッシュメモリ
115 キャッシュメモリ制御部
117 マップリスト
121 クライアント側記憶装置
141 サーバ
143 サーバ側ファイルアクセス制御部
161 サーバ側記憶装置

Claims (18)

  1. プログラムによりファイルのアクセス先がクライアント側記憶装置とされているファイルの実際のアクセス先をクライアント側記憶装置又はサーバ側記憶装置の何れかとするファイルアクセス先制御装置において、
    ホワイトリストに掲載されているプログラムによるファイルのアクセス先をクライアント側記憶装置とする手段と、
    前記ホワイトリストに掲載されていないプログラムによるファイルの書き込み先をサーバ側記憶装置とする手段と、
    前記ホワイトリストに掲載されていないプログラムによるファイルの優先的な読み出し先をサーバ側記憶装置とし、優先的でない読み出し先をクライアント側記憶装置とする手段と、
    を備えることを特徴とするファイルアクセス先制御装置。
  2. プログラムによりファイルのアクセス先がクライアント側記憶装置とされているファイルの実際のアクセス先をクライアント側記憶装置又はサーバ側記憶装置の何れかとするファイルアクセス先制御装置において、
    リダイレクトリストに掲載されているプログラムによるファイルの書き込み先をサーバ側記憶装置とする手段と、
    前記リダイレクトリストに掲載されているプログラムによるファイルの優先的な読み出し先をサーバ側記憶装置とし、優先的でない読み出し先をクライアント側記憶装置とする手段と、
    前記リダイレクトリストに掲載されていないプログラムによるファイルのアクセス先をクライアント側記憶装置とする手段と、
    を備えることを特徴とするファイルアクセス先制御装置。
  3. プログラムによりファイルのアクセス先がクライアント側記憶装置とされているファイルの実際のアクセス先をクライアント側記憶装置又はサーバ側記憶装置の何れかとするファイルアクセス先制御装置において、
    ホワイトリストに掲載されているプログラムによるファイルのアクセス先をクライアント側記憶装置とする手段と、
    リダイレクトリストに掲載されているプログラムによるファイルの書き込み先をサーバ側記憶装置とする手段と、
    前記リダイレクトリストに掲載されているプログラムによるファイルの優先的な読み出し先をサーバ側記憶装置とし、優先的でない読み出し先をクライアント側記憶装置とする手段と、
    前記ホワイトリストにも前記リダイレクトリストにも掲載されていないプログラムによるファイルの書込みを禁止する手段と、
    を備えることを特徴とするファイルアクセス先制御装置。
  4. 請求項1乃至3の何れか1項に記載のファイルアクセス先制御装置において、
    前記プログラムとは、当該プログラムが親プログラムであれば、当該プログラムであり、当該プログラムが子プログラムであれば、当該プログラムの親プログラムであることを特徴とするファイルアクセス先制御装置。
  5. 請求項1又は3に記載のファイルアクセス先制御装置において、
    或るプログラムが他のプログラムを子プロセスとして起動する場合、前記或るプログラムは、該或るプログラムがホワイトリストに掲載されているか否かに関する情報を子プログラムに承継させ、当該ファイルアクセス先制御装置はこの承継された情報に基づいて子プログラムによるファイルアクセスについて動作することを特徴とするファイルアクセス先制御装置。
  6. 請求項2又は3に記載のファイルアクセス先制御装置において、
    或るプログラムが他のプログラムを子プロセスとして起動する場合、前記或るプログラムは、該或るプログラムがリダイレクトリストに掲載されているか否かに関する情報を子プログラムに承継させ、当該ファイルアクセス先制御装置はこの承継された情報に基づいて子プログラムによるファイルアクセスについて動作することを特徴とするファイルアクセス先制御装置。
  7. プログラムによりファイルのアクセス先がクライアント側記憶装置とされているファイルの実際のアクセス先をクライアント側記憶装置又はサーバ側記憶装置の何れかとするファイルアクセス先制御装置において、
    ホワイトリストに掲載されている属性を有するファイルのアクセス先をクライアント側記憶装置とする手段と、
    前記ホワイトリストに掲載されていない属性を有するファイルの書き込み先をサーバ側記憶装置とする手段と、
    前記ホワイトリストに掲載されていない属性を有するファイルの優先的な読み出し先をサーバ側記憶装置とし、優先的でない読み出し先をクライアント側記憶装置とする手段と、
    を備えることを特徴とするファイルアクセス先制御装置。
  8. プログラムによりファイルのアクセス先がクライアント側記憶装置とされているファイルの実際のアクセス先をクライアント側記憶装置又はサーバ側記憶装置の何れかとするファイルアクセス先制御装置において、
    リダイレクトリストに掲載されている属性を有するファイルの書き込み先をサーバ側記憶装置とする手段と、
    前記リダイレクトリストに掲載されている属性を有するファイルの優先的な読み出し先をサーバ側記憶装置とし、優先的でない読み出し先をクライアント側記憶装置とする手段と、
    前記リダイレクトリストに掲載されていない属性を有するファイルのアクセス先をクライアント側記憶装置とする手段と、
    を備えることを特徴とするファイルアクセス先制御装置。
  9. プログラムによりファイルのアクセス先がクライアント側記憶装置とされているファイルの実際のアクセス先をクライアント側記憶装置又はサーバ側記憶装置の何れかとするファイルアクセス先制御装置において、
    ホワイトリストに掲載されている属性を有するファイルのアクセス先をクライアント側記憶装置とする手段と、
    リダイレクトリストに掲載されている属性を有するファイルの書き込み先をサーバ側記憶装置とする手段と、
    前記リダイレクトリストに掲載されているプログラムによるファイルの優先的な読み出し先をサーバ側記憶装置とし、優先的でない読み出し先をクライアント側記憶装置とする手段と、
    前記ホワイトリストにも前記リダイレクトリストにも掲載されていない属性を有するファイルの書込みを禁止する手段と、
    を備えることを特徴とするファイルアクセス先制御装置。
  10. 請求項1乃至9の何れか1項に記載のファイルアクセス先制御装置において、
    前記クライアントは、キャッシュメモリを備え、アクセス先を前記サーバ側記憶装置とする場合、前記キャッシュメモリを介して前記サーバ側記憶装置にアクセスする手段を更に備えることを特徴とするファイルアクセス先制御装置。
  11. 請求項10に記載のファイルアクセス先制御装置において、前記キャッシュメモリは揮発性メモリであることを特徴とするファイルアクセス先制御装置。
  12. プログラムによりファイルのアクセス先がクライアント側記憶装置とされているファイルの実際のアクセス先をクライアント側記憶装置又はサーバ側記憶装置の何れかとするファイルアクセス先制御方法において、
    ホワイトリストに掲載されているプログラムによるファイルのアクセス先をクライアント側記憶装置とするステップと、
    前記ホワイトリストに掲載されていないプログラムによるファイルの書き込み先をサーバ側記憶装置とするステップと、
    前記ホワイトリストに掲載されていないプログラムによるファイルの優先的な読み出し先をサーバ側記憶装置とし、優先的でない読み出し先をクライアント側記憶装置とするステップと、
    を備えることを特徴とするファイルアクセス先制御方法。
  13. プログラムによりファイルのアクセス先がクライアント側記憶装置とされているファイルの実際のアクセス先をクライアント側記憶装置又はサーバ側記憶装置の何れかとするファイルアクセス先制御方法において、
    リダイレクトリストに掲載されているプログラムによるファイルの書き込み先をサーバ側記憶装置とするステップと、
    前記リダイレクトリストに掲載されているプログラムによるファイルの優先的な読み出し先をサーバ側記憶装置とし、優先的でない読み出し先をクライアント側記憶装置とするステップと、
    前記リダイレクトリストに掲載されていないプログラムによるファイルのアクセス先をクライアント側記憶装置とするステップと、
    を備えることを特徴とするファイルアクセス先制御方法。
  14. プログラムによりファイルのアクセス先がクライアント側記憶装置とされているファイルの実際のアクセス先をクライアント側記憶装置又はサーバ側記憶装置の何れかとするファイルアクセス先制御方法において、
    ホワイトリストに掲載されているプログラムによるファイルのアクセス先をクライアント側記憶装置とするステップと、
    リダイレクトリストに掲載されているプログラムによるファイルの書き込み先をサーバ側記憶装置とするステップと、
    前記リダイレクトリストに掲載されているプログラムによるファイルの優先的な読み出し先をサーバ側記憶装置とし、優先的でない読み出し先をクライアント側記憶装置とするステップと、
    前記ホワイトリストにも前記リダイレクトリストにも掲載されていないプログラムによるファイルの書込みを禁止するステップと、
    を備えることを特徴とするファイルアクセス先制御方法。
  15. プログラムによりファイルのアクセス先がクライアント側記憶装置とされているファイルの実際のアクセス先をクライアント側記憶装置又はサーバ側記憶装置の何れかとするファイルアクセス先制御方法において、
    ホワイトリストに掲載されている属性を有するファイルのアクセス先をクライアント側記憶装置とするステップと、
    前記ホワイトリストに掲載されていない属性を有するファイルの書き込み先をサーバ側記憶装置とするステップと、
    前記ホワイトリストに掲載されていない属性を有するファイルの優先的な読み出し先をサーバ側記憶装置とし、優先的でない読み出し先をクライアント側記憶装置とするステップと、
    を備えることを特徴とするファイルアクセス先制御方法。
  16. プログラムによりファイルのアクセス先がクライアント側記憶装置とされているファイルの実際のアクセス先をクライアント側記憶装置又はサーバ側記憶装置の何れかとするファイルアクセス先制御方法において、
    リダイレクトリストに掲載されている属性を有するファイルの書き込み先をサーバ側記憶装置とするステップと、
    前記リダイレクトリストに掲載されている属性を有するファイルの優先的な読み出し先をサーバ側記憶装置とし、優先的でない読み出し先をクライアント側記憶装置とするステップと、
    前記リダイレクトリストに掲載されていない属性を有するファイルのアクセス先をクライアント側記憶装置とするステップと、
    を備えることを特徴とするファイルアクセス先制御方法。
  17. プログラムによりファイルのアクセス先がクライアント側記憶装置とされているファイルの実際のアクセス先をクライアント側記憶装置又はサーバ側記憶装置の何れかとするファイルアクセス先制御方法において、
    ホワイトリストに掲載されている属性を有するファイルのアクセス先をクライアント側記憶装置とするステップと、
    リダイレクトリストに掲載されている属性を有するファイルの書き込み先をサーバ側記憶装置とするステップと、
    前記リダイレクトリストに掲載されているプログラムによるファイルの優先的な読み出し先をサーバ側記憶装置とし、優先的でない読み出し先をクライアント側記憶装置とするステップと、
    前記ホワイトリストにも前記リダイレクトリストにも掲載されていない属性を有するファイルの書込みを禁止するステップと、
    を備えることを特徴とするファイルアクセス先制御方法。
  18. コンピュータを請求項1乃至11の何れか1項に記載のファイルアクセス先制御装置として機能させるためのファイルアクセス先制御プログラム。
JP2007070619A 2007-03-19 2007-03-19 ファイルアクセス先制御装置、その方法及びそのプログラム Expired - Fee Related JP4806751B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2007070619A JP4806751B2 (ja) 2007-03-19 2007-03-19 ファイルアクセス先制御装置、その方法及びそのプログラム
PCT/JP2008/050491 WO2008114522A1 (ja) 2007-03-19 2008-01-17 ファイルアクセス先制御装置、その方法及びそのコンピュータプログラムプロダクツ
US12/531,897 US8489634B2 (en) 2007-03-19 2008-01-17 File access destination control device and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007070619A JP4806751B2 (ja) 2007-03-19 2007-03-19 ファイルアクセス先制御装置、その方法及びそのプログラム

Publications (2)

Publication Number Publication Date
JP2008234140A true JP2008234140A (ja) 2008-10-02
JP4806751B2 JP4806751B2 (ja) 2011-11-02

Family

ID=39765640

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007070619A Expired - Fee Related JP4806751B2 (ja) 2007-03-19 2007-03-19 ファイルアクセス先制御装置、その方法及びそのプログラム

Country Status (3)

Country Link
US (1) US8489634B2 (ja)
JP (1) JP4806751B2 (ja)
WO (1) WO2008114522A1 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011043974A (ja) * 2009-08-20 2011-03-03 Nec Personal Products Co Ltd 情報処理装置、情報処理システム、および装置のプログラム
JP2011053975A (ja) * 2009-09-02 2011-03-17 Hitachi Solutions Ltd 利用者端末装置及び利用者端末装置の制御方法
JP6310125B1 (ja) * 2017-08-17 2018-04-11 九州電力株式会社 データ保護システム、データ保護方法及びプログラム

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8359300B1 (en) * 2007-04-03 2013-01-22 Google Inc. System and method for displaying both localized search results and internet search results
US8510411B2 (en) * 2010-05-06 2013-08-13 Desvio, Inc. Method and system for monitoring and redirecting HTTP requests away from unintended web sites
JP6254414B2 (ja) * 2012-10-09 2017-12-27 キヤノン電子株式会社 情報処理装置、情報処理システムおよび情報処理方法
JP6253333B2 (ja) * 2012-10-09 2017-12-27 キヤノン電子株式会社 情報処理装置、情報処理システムおよび情報処理方法
JP2015029191A (ja) * 2013-07-30 2015-02-12 キヤノン株式会社 画像形成装置、画像形成装置の制御方法、及びプログラム
US9659182B1 (en) * 2014-04-30 2017-05-23 Symantec Corporation Systems and methods for protecting data files
US20190089595A1 (en) * 2017-09-18 2019-03-21 Cyber 2.0 (2015) LTD Automatic security configuration

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001337864A (ja) * 2000-03-22 2001-12-07 Hitachi Ltd アクセス制御システム
JP2004110457A (ja) * 2002-09-19 2004-04-08 Mitsubishi Electric Information Systems Corp データベース管理装置、データベース管理方法およびデータベース管理プログラム
JP2007034686A (ja) * 2005-07-27 2007-02-08 Fuji Xerox Co Ltd シンクライアントシステム

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7526800B2 (en) * 2003-02-28 2009-04-28 Novell, Inc. Administration of protection of data accessible by a mobile device
US20040267746A1 (en) * 2003-06-26 2004-12-30 Cezary Marcjan User interface for controlling access to computer objects
US7395394B2 (en) * 2006-02-03 2008-07-01 Hewlett-Packard Development Company, L.P. Computer operating system with selective restriction of memory write operations

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001337864A (ja) * 2000-03-22 2001-12-07 Hitachi Ltd アクセス制御システム
JP2004110457A (ja) * 2002-09-19 2004-04-08 Mitsubishi Electric Information Systems Corp データベース管理装置、データベース管理方法およびデータベース管理プログラム
JP2007034686A (ja) * 2005-07-27 2007-02-08 Fuji Xerox Co Ltd シンクライアントシステム

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011043974A (ja) * 2009-08-20 2011-03-03 Nec Personal Products Co Ltd 情報処理装置、情報処理システム、および装置のプログラム
JP2011053975A (ja) * 2009-09-02 2011-03-17 Hitachi Solutions Ltd 利用者端末装置及び利用者端末装置の制御方法
JP6310125B1 (ja) * 2017-08-17 2018-04-11 九州電力株式会社 データ保護システム、データ保護方法及びプログラム
WO2019035393A1 (ja) * 2017-08-17 2019-02-21 九州電力株式会社 データ保護システム、データ保護方法及び記録媒体
JP2019036168A (ja) * 2017-08-17 2019-03-07 九州電力株式会社 データ保護システム、データ保護方法及びプログラム
US11468184B2 (en) 2017-08-17 2022-10-11 Kyushu Electric Power Co., Inc. Data protection system, data protection method, and recording medium

Also Published As

Publication number Publication date
WO2008114522A1 (ja) 2008-09-25
JP4806751B2 (ja) 2011-11-02
US8489634B2 (en) 2013-07-16
US20100114959A1 (en) 2010-05-06

Similar Documents

Publication Publication Date Title
JP4806751B2 (ja) ファイルアクセス先制御装置、その方法及びそのプログラム
US11704384B2 (en) Secure document sharing
JP5059318B2 (ja) ネットワーク文書へのユーザアクセスを制限するためのシステムおよび方法
JP4876734B2 (ja) 文書利用管理システム及び方法、文書管理サーバ及びそのプログラム
CN109983431B (zh) 用于存储设备中的列表检索的系统和方法
US7890716B2 (en) Method of managing time-based differential snapshot
US20130227047A1 (en) Methods for managing content stored in cloud-based storages
US8108359B1 (en) Methods and systems for tag-based object management
US20090100109A1 (en) Automatic determination of item replication and associated replication processes
CN107315972B (zh) 一种大数据非结构化文件动态脱敏方法及系统
US8341733B2 (en) Creating secured file views in a software partition
US7421480B2 (en) Personal computing environment using mozilla
US8521768B2 (en) Data storage and management system
JP2005276158A (ja) ストレージシステム、計算機システムまたは記憶領域の属性設定方法
JP2007310481A (ja) 文書管理方法、そのプログラム及び記録媒体、並びに文書共有サーバ及び文書共有システム
Fuguang Research on campus network cloud storage open platform based on cloud computing and big data technology
CN101350034A (zh) 一种移动存储设备及文件访问的方法
JP2008257340A (ja) 情報処理装置、情報処理方法、記憶媒体及びプログラム
JP4429229B2 (ja) ディレクトリ情報提供方法、ディレクトリ情報提供装置、ディレクトリ情報提供システム、及びプログラム
US20080270566A1 (en) System and method of hosting or publishing of content
JP2007072581A (ja) ポリシ集合生成装置とその制御方法
Rajasekar et al. irods: A distributed data management cyberinfrastructure for observatories
US20210326416A1 (en) Security Enabled False Desktop Computing Environment
JP2007148739A (ja) ファイル管理システム及びそのプログラム
JP4908367B2 (ja) 情報処理装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090813

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20090813

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20100906

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20100906

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110706

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20110706

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110715

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140826

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4806751

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140826

Year of fee payment: 3

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140826

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees