JP2009199195A - 計算機システム及び端末 - Google Patents

計算機システム及び端末 Download PDF

Info

Publication number
JP2009199195A
JP2009199195A JP2008038140A JP2008038140A JP2009199195A JP 2009199195 A JP2009199195 A JP 2009199195A JP 2008038140 A JP2008038140 A JP 2008038140A JP 2008038140 A JP2008038140 A JP 2008038140A JP 2009199195 A JP2009199195 A JP 2009199195A
Authority
JP
Japan
Prior art keywords
terminal
data
management server
storage device
computer system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008038140A
Other languages
English (en)
Other versions
JP5020857B2 (ja
JP2009199195A5 (ja
Inventor
Masaru Nomura
賢 野村
Hiroshi Mine
博史 峯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2008038140A priority Critical patent/JP5020857B2/ja
Priority to US12/100,563 priority patent/US8051490B2/en
Publication of JP2009199195A publication Critical patent/JP2009199195A/ja
Publication of JP2009199195A5 publication Critical patent/JP2009199195A5/ja
Application granted granted Critical
Publication of JP5020857B2 publication Critical patent/JP5020857B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2111Location-sensitive, e.g. geographical location, GPS
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2135Metering
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2137Time limited access, e.g. to a computer or data

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】データ又は端末の場所などに応じて方式を変更可能な情報漏洩防止技術を提案する。
【解決手段】データを格納するストレージ装置、データを利用する端末、ストレージ装置及び端末に接続される管理サーバ、及び、端末の位置を特定するための位置情報取得部を含む計算機システムであって、端末は、データの複製を格納する揮発性記憶部及び不揮発性記憶部を含み、端末がデータを利用する場合には、位置情報取得部によって、端末の位置を特定し、特定された端末の位置を含む端末情報を管理サーバに送信し、データの利用要求を管理サーバに送信し、管理サーバは、送信された端末情報に基づいて、データの利用を許可するか否かを判定し、データの利用を許可する場合には、データの利用条件を含む許可情報を端末に送信し、端末は、送信された利用条件に基づいて、揮発性記憶部及び不揮発性記憶部の少なくとも一方を選択し、データの複製を格納する。
【選択図】図1

Description

本発明は、情報漏洩を防止する技術に関する。
データを保存する媒体の大容量化及び個人情報保護法の施行などによって、情報漏洩が企業に与える影響が大きくなっている。特に、携帯可能な外部記憶装置又はモバイルPCなど移動体端末の盗難紛失による情報漏洩は、一度に流出するデータ量が多くなるため大きな課題となっており、盗難及び紛失に対処する技術が提案されている。
例えば、特許文献1には、管理サーバを利用して端末の情報を遠隔から削除する技術が開示されている。
特開2004−32073号公報
特許文献1に開示された技術では、管理サーバから送信された削除命令を遠隔にある端末内のデータ削除アプリケーションが受信し、データ削除を実行することによって、情報漏洩を防止することが可能となる。
しかしながら、特許文献1に開示された従来技術では、端末内のデータの重要度又は端末の場所などに応じてデータ削除の方式など情報漏洩防止方式を変更することができない。したがって、重要度の低いデータについては利便性を優先し、重要度の高いデータについては安全性を優先するといった柔軟に情報漏洩防止方式を適用することができないといった課題がある。
本発明では、データの重要度などに応じてデータ削除方式など情報漏洩防止方式を変更することを可能とする情報漏洩防止技術を提案する。
本発明の代表的な一形態では、データを格納するストレージ装置、前記データを利用する端末、前記ストレージ装置及び前記端末に接続される管理サーバ、及び、前記端末の位置を特定するための位置情報取得部を含む計算機システムであって、前記ストレージ装置は、前記管理サーバに接続される第1インタフェース、前記第1インタフェースに接続される第1プロセッサ、前記第1プロセッサに接続される第1メモリ、及び、前記データを格納する第1記憶部を備え、前記端末は、前記管理サーバに接続される第2インタフェース、前記第2インタフェースに接続される第2プロセッサ、及び、前記データの複製を格納する第2記憶部を備え、前記第2記憶部は、揮発性記憶部及び不揮発性記憶部を含み、前記管理サーバは、前記ストレージ装置及び前記端末に接続される第3インタフェース、前記第3インタフェースに接続される第3プロセッサ、及び、前記第3プロセッサに接続される第3メモリを備え、前記端末は、前記データを利用する場合には、前記位置情報取得部によって、前記端末の位置を特定し、前記特定された端末の位置を含む端末情報を前記管理サーバに送信し、前記データの利用要求を前記管理サーバに送信し、前記管理サーバは、前記端末情報に基づいて、前記データの利用を許可するか否かを判定し、前記データの利用を許可する場合には、前記データの利用条件を含む許可情報を前記端末に送信し、前記端末は、前記利用条件に基づいて、前記揮発性記憶部及び前記不揮発性記憶部の少なくとも一方を選択し、前記データの複製を格納する。
本発明の一形態によれば、端末の場所又はデータの重要度などに応じた情報漏洩対策を適用することができる。
図1は、本発明の実施の形態の計算機システム1のシステム構成例を示す図である。
本発明の実施の形態の計算機システム1は、端末100、管理サーバ200、ストレージ装置300及び位置情報発信源400を含む。端末100、管理サーバ200、ストレージ装置300及び位置情報発信源400は、ネットワーク500を介して互いに接続される。ただし、位置情報発信源400及び端末100は必ずしもネットワーク500を介して接続しなくてもよい。例えば、位置情報発信源400がGPS衛星であって、GPS衛星から電波を受信して端末100が位置を特定する場合などである。
また、管理サーバ200及びストレージ装置300は、図1には明示していないが、物理的に隔離されたサーバルームに設置される。そして、管理サーバ200及びストレージ装置300と端末100との間にはアクセス認証を行うファイアウォール又は中継サーバなどが存在してもよい。
端末100は、記憶装置141、メモリ142、CPU143、入力装置144、出力装置145、位置情報受信部146、通信インタフェース147及び電源148を備える。
CPU143は、メモリ142に記憶されたプログラムに記述されている手続きに従って、所定の処理を実行する。例えば、記憶装置141、メモリ142、入力装置144、出力装置145、位置情報受信部146及び/又は通信インタフェース147に対してデータを入出力する。
メモリ142は、CPU143によって実行されるプログラム又は所定の処理を実行するために必要なデータを記憶する。メモリ142は、揮発性のメモリである。したがって、メモリ142に記憶された内容は、端末100の電源148が切断されるとすべて失われる。そのため、メモリ142に記憶されるプログラムは、端末起動直後の初期状態では、記憶装置141などのメモリ142以外の不揮発性の記憶領域に格納され、実行時にメモリ142に配置される。
入力装置144は、ユーザからの入力を受け付ける。出力装置145は、CPU143による処理結果などを表示する。位置情報受信部146は、位置情報発信源400からの情報を受信する。端末100は、位置情報受信部146で受信した情報に基づいて、端末100の位置を特定する。通信インタフェース147は、ネットワーク500に接続する。電源148は、端末100のCPU143、メモリ142などの各構成に電力を供給する。電源148は、ACPIなどの規格に基づいて制御される。
メモリ142は、ユーザOS領域101及び管理OS領域102の2つの領域を含む。ユーザOS領域101は、端末100のユーザが操作可能な記憶領域である。管理OS領域102は、端末100のユーザが内容を参照できないように耐タンパ性を有する記憶領域である。なお、ユーザOS領域101から管理OS領域102に何らかの通知が必要な場合には、ユーザOS領域101上で実行されるエージェントプログラム116が処理を仲介する。
管理OS領域102には、位置情報取得プログラム110、データ削除プログラム111、許可証管理プログラム112、暗号復号プログラム113、データ同期プログラム114、データ差分管理プログラム115、及び、キャッシュ情報が記憶される。キャッシュ情報には、データ配置情報キャッシュ120、データキャッシュ121及び暗号復号鍵キャッシュ122が含まれる。
キャッシュ情報は、記憶装置141に格納されたデータ配置情報130、データ131及び暗号復号鍵132が一時的にメモリ142上に読み出された情報である。キャッシュ情報がメモリ142に記憶されている場合には、記憶装置141に格納されたデータにアクセスする代わりにキャッシュ情報に対してデータを読み書きする。
記憶装置141は、前述したように、不揮発性の記憶装置である。例えば、ハードディスクなどの磁気記憶装置である。記憶装置141には、データ配置情報130、データ131及び暗号復号鍵132が格納される。図には記載されてないが、ユーザOS領域101で実行されるOSプログラム、管理OS領域102で実行される管理OSプログラム、又は、前述したデータ削除プログラム111などのプログラムを格納してもよい。特に、情報漏洩対策が必要な情報はデータ131として格納される。
本発明の実施の形態では、ユーザOS領域101上のプログラムによって実行される処理は、記憶装置141に直接入出力できないように構成されている。したがって、管理OS領域102上のプログラムが記憶装置141に対する入出力を仲介する必要がある。ユーザOS領域101上で実行されたプログラムによって記憶装置141に情報を出力する場合には、暗号復号プログラム113を実行し、暗号復号鍵132に基づいて暗号化し、データ131として記録する。一方、記憶装置141から情報を読み出す場合には、データ131の該当箇所を読み出し、暗号復号鍵132を用いて情報を復号する。ただし、キャッシュ情報が存在する場合には、記憶装置141に対して入出力せずに、当該キャッシュ情報から情報を読み出す。
位置情報取得プログラム110は、位置情報受信部146又は通信インタフェース147を介して受信可能な端末の位置情報を取得する。
データ削除プログラム111は、許可証管理プログラム112によって取得される許可証610で定義される許可条件と合致しない場合には、データ配置情報130、データ131、暗号復号鍵132及びそれらのキャッシュ情報を許可証610によって定義されるデータ管理方式615に基づいて削除する。したがって、端末100が管理サーバ200と接続されていないオフライン状態でも許可証610に記述された条件と端末の状態が合致しなくなればデータを削除することができる。なお、許可証610については、図4にて後述する。
許可証管理プログラム112は、管理サーバ200から許可証610を取得する。許可証610を取得する手順については図9にて後述する。
暗号復号プログラム113は、データ131(又はデータキャッシュ121)を暗号化して記憶装置141(又はメモリ142)に格納する。また、データ131(又はデータキャッシュ121)を読み出す場合には、読み出されたデータを復号する。
データ同期プログラム114は、記憶装置141に格納されるデータ131(又はデータキャッシュ121)及びデータ配置情報130(又はデータ配置情報キャッシュ120)をストレージ装置300に転送して同期(内容を一致)させる。逆に、データ131を削除した場合などには、ストレージ装置300から記憶装置141にデータ131を転送して同期させる。データの同期は、ネットワーク500に接続されていれば、端末100で実行される処理に関わらず、周期的に実行される。同期手順については、図11にて後述する。
また、端末100がストレージ装置300に格納されたデータと同期させるために、ストレージ装置300にデータ131を送信する場合に、必ずしもデータ131を復号してから送信する必要はない。ストレージ装置300にも暗号復号プログラム313が備えられているため、あらかじめ管理サーバ200から暗号復号鍵をストレージ装置300に送信しておくことにより、ストレージ装置300はデータ131をいつでも復号して参照することができる。したがって、同期処理は端末100上の暗号復号鍵132が破棄されている状態でも実行することができる。すなわち、盗難の兆候があった場合には、直ちに暗号復号鍵132を破棄することによってデータ131が情報漏洩しない安全な状態にするとともに、データ131に同期が完了していない部分が残っていても情報損失しないようにストレージ装置300へのデータ転送を継続することができる。なお、盗難の兆候は、例えば、誤ったパスワードが複数回入力された場合などが考えられる。
データ差分管理プログラム115は、同期が完了していない領域(未同期データ)を管理する。特に、端末100がネットワーク500に接続されていない場合には、ストレージ装置300と同期させることができないため、ユーザOS領域101上のプログラムによってデータ131が更新されるたびに、更新箇所をチェックし、ネットワーク500に再び接続した際に、データ同期プログラム114にデータ転送が必要な領域を通知する。
管理サーバ200は、メモリ242、CPU243、入力装置244、出力装置245、通信インタフェース246及び記憶装置(図示せず)を備える。CPU243は、メモリ242に記憶されたプログラムに記述されている手続きに従って、メモリ242、入力装置244、出力装置245又は通信インタフェース246に対してデータを入出力する。
メモリ242は、許可証発行プログラム210、許可証発行履歴管理プログラム211及び端末管理プログラム212を記憶する。許可証発行プログラム210、許可証発行履歴管理プログラム211及び端末管理プログラム212は、図示していない記憶装置に格納され、必要に応じてメモリ242上に配置される。
許可証発行プログラム210は、端末100から送信された利用申請600に基づいて、利用申請600を許可するか又は却下するかを判定し、許可証610を送信する。利用申請600を許可するか又は却下するかは、許可基準テーブル620に基づいて判定される。許可基準テーブル620については、図5にて後述する。なお、許可証610については、図4にて後述する。また、許可証610を発行する手順については、図10にて後述する。
許可証発行履歴管理プログラム211は、許可証610の発行履歴を管理する。許可証610の発行履歴は、許可証発行履歴テーブル650に記録される。許可証発行履歴テーブル650については、図6にて後述する。
端末管理プログラム212は、端末100の記憶装置141の同期先となるストレージ装置300の記憶装置341の対応関係を管理する。端末100の記憶装置141とストレージ装置300の記憶装置341との対応関係は、端末管理テーブル670に記録される。端末管理テーブル670については、図7にて後述する。
ストレージ装置300は、メモリ342、CPU343、通信インタフェース346及び複数の記憶装置341を備える。CPU343は、メモリ342に記憶されたプログラムに記述されている手続きに従って、記憶装置341、メモリ342又は通信インタフェース346にデータを入出力する。
メモリ342は、データ重要度確認プログラム311、鍵更新プログラム312及び暗号復号プログラム313を記憶する。
データ重要度確認プログラム311は、記憶装置341に格納されたデータの重要度を判定する。具体的には、あらかじめ設定された重要文書に特有のパターンを検索して該当するパターンが検出された場合に重要と判定する。重要文書に特有のパターンには、例えば、特定の記述(例えば、「重要」「社外秘」など)が含まれている文書、又は、特定のフォーマット(例えば、機密文書用フォーマットなど)に従って記述されている文書などがある。
鍵更新プログラム312は、暗号復号鍵を定期的に新しい鍵に交換する。鍵を更新する手順については、図13にて後述する。
次に、暗号復号プログラム313は、端末100の暗号復号プログラムと同様に、データを暗号化及び復号化する。
なお、データ重要度確認プログラム311、鍵更新プログラム312及び暗号復号プログラム313を搭載しない一般的なストレージ装置をこれらのプログラムを含むサーバ装置とともに設置し、当該サーバ装置によってこれらのプログラムを実行するようにしてもよい。
位置情報発信源400には、端末100の位置を特定するための情報を発信するものであればよく、さまざまな形態が考えられる。例えば、GPS衛星など電波の発信源でもよいし、社内イントラネットワークに設置された社内証明書を発行するサーバ装置でもよい。また、得られる位置情報は単に社内又は社外の何れかを識別するだけの情報であってもよいし、地球上の緯度経度情報のような正確な現在地情報であってもよい。
ここで、前述したように、許可証610に定義される許可条件を端末の状態が満たさない場合には、オフライン状態であってもデータ削除プログラム111を実行することによってデータを削除し、情報漏洩を防ぐことができる。具体的には、現在時刻が許可証610に含まれるデータの有効期限を超過している場合には、データ削除プログラム111を実行し、強制的にデータを削除して情報漏洩を防止してもよい。さらに、社内でのみデータの利用が認められる重要データが社外に持ち出された場合に、データ削除プログラム111を実行し、強制的にデータを削除して情報漏洩を防止してもよい。
しかし、データの削除を実行する前に電源が切断された場合、特に、端末100を分解して直接記憶装置を抜き取られるような場合には、データ削除プログラムを実行させることができないため、情報漏洩を防ぐことができないおそれがある。
本発明の実施の形態の端末100では、端末100が物理的に分解された場合においても情報漏洩を防ぐことができる。以下、図2を参照しながら情報漏洩を防ぐ手段について説明する。
図2は、本発明の実施の形態の端末100の構成を示す図である。
図2に示す端末100は、記憶装置141にデータ配置情報130、データ131及び暗号復号鍵132が含まれない点で図1に示す端末100と相違する。
端末100は、管理サーバ200によって発行された許可証610に指定されたデータ管理方式615にしたがって記憶装置141及びメモリ142にデータを格納した後、データ削除プログラム111を実行し、記憶装置141に格納されたデータなどを削除する。ただし、データ131のサイズが大きくメモリ上にすべてキャッシュできない場合には、キャッシュできなかった分については記憶装置141に残す。
記憶装置141に格納されている情報が削除されている状態であっても、端末100の電源を切断せずにサスペンド状態などメモリ142に通電している状態を維持することによって、端末100を利用することが可能である。サスペンド状態とは、作業状態をメモリ142に保存し、実行中のデバイス及びプログラムを一時的に停止させている状態である。サスペンド状態から復帰すると、直ちに処理を再開することができる。
一方、図2に示す状態で端末100が分解されると、メモリ142への電源供給が途絶え、メモリ142上の情報はすべて失われるため、あらかじめデータ削除されている記憶装置141のみが残る。データ131をすべてメモリにキャッシュできなかった場合には、暗号化されたデータ131の断片が残るが、これらの断片が記憶装置141上のどこに相当するのか示すデータ配置情報130が失われているため、データ131を元の状態に復元することはできない。
また、記憶装置141から暗号復号鍵132のみを削除した場合には、メモリ142上に暗号復号鍵キャッシュ122が記憶されている間は端末100を利用することが可能となる。しかし、端末100を分解しようとすると、メモリ142への電源供給が失われた時点で鍵が喪失し、記憶装置141上からは鍵が削除されているため、データの読み出しができない状態となり、情報漏洩に対する安全性が高まる。さらに、端末100が発見された場合には、鍵を再取得するだけでデータを復帰させることができる。
一方、データ131が記憶装置141から削除されている場合には、情報漏洩に対する安全性がより高いが、ストレージ装置300からデータをすべて再取得しなければならず、簡単には復帰できない。このように、情報漏洩に対して安全性を高めるほど利便性が低くなる傾向があるため、端末100に格納されたデータの重要度、端末100の場所などに応じて適切な情報漏洩対策を実施することによって、柔軟に対応することができる。
なお、一般的な記憶装置のキャッシュは、記憶装置よりアクセス速度の速いメモリにデータを読み込んでおき、高速アクセスを実現する既存技術である。通常、キャッシュの内容は万が一装置の電源が切れると失われてしまうため、たとえメモリ上の最新の情報が失われても少し前のバージョンの情報が残るように記憶装置には最後に書き込んだ内容を残しておく。一方、本発明では、あえてデータが失われるように記憶装置上に情報を残さない点で、一般的な記憶装置のキャッシュとは異なる。
図3は、本発明の実施の形態の端末100から管理サーバ200に送信される利用申請600の一例を示す図である。
利用申請600は、端末ID601、パスワード602、希望利用期間603、希望利用エリア604、希望データ管理方式605、現在エリア606及び未同期データ量607を含む。
端末ID601及びパスワード602は、端末100を識別するための情報である。希望利用期間603、希望利用エリア604及び希望データ管理方式605は、端末100の利用条件を格納する。現在エリア606及び未同期データ量607は、現在の端末の状態を示す。
希望利用期間603は、ストレージ装置300から取得するデータを利用する期間である。希望利用エリア604は、取得されたデータを利用する場所である。例えば、社内でデータを取得した後、社外で使用する場合には、「社外」とする。希望データ管理方式605は、端末100でデータを保持する形式である。例えば、記憶装置141にデータが保持されるようにしてもよいし、メモリ142のみに保持されるようにしてもよい。希望利用期間603などの希望項目については省略することで許可可能な最長期間を申請することも可能である。
現在エリア606は、端末100が存在する場所である。未同期データ量607は、すでにデータの利用が許可された後で、利用期間を延長するために利用申請を送信する場合などに、ストレージ装置300に反映されていないデータ量である。
利用申請600は、データの利用を開始する場合に端末100から管理サーバ200に送信される。また、利用期間を延長する場合にも送信される。このとき、端末100では、利用期間が終了する旨を終了前にユーザに通知してもよい。通知を受けたユーザは、端末100をネットワークに接続し、利用申請(延長申請)を管理サーバ200に送信することができる。
図4は、本発明の実施の形態の管理サーバ200から端末100に送信される許可証610の一例を示す図である。
許可証610は、端末100から管理サーバ200に送信される利用申請600に対する応答である。許可証610は、審査結果611、暗号復号鍵132、有効期限613、有効エリア614、データ管理方式615、ストレージ装置アドレス616、及び、記憶装置番号617を含む。
審査結果611は、利用申請600の審査結果である。審査結果611の値が「許可」以外の場合には、他の項目に値は設定されずに省略される。「許可」以外の場合とは、例えば、希望利用期間が許可範囲外だった場合などの「却下」、強制的にデータ削除の実行を指示する「データ削除」などがある。また、審査結果611にその他の値を設定することによって端末100に指示を送信してもよい。
暗号復号鍵132は、データを暗号化又は復号化するための鍵である。有効期限613は、暗号復号鍵132の有効期限である。有効エリア614は、暗号復号鍵132を使用することができる範囲である。暗号復号鍵132は、暗号用の鍵と復号用の鍵のペアであっても暗号にも復号にも用いることのできる1つの鍵であってもよい。暗号復号鍵132は、有効期限613及び有効エリア614の少なくとも一方を満たさない状況になった場合に破棄しなければならない。また、暗号用と復号用で鍵が別の場合には、少なくとも復号用の鍵を破棄しなければならない。
データ管理方式615は、端末100で要求されたデータを保持する方式である。データ管理方式615は、端末100のデータ配置情報130、データ131及び暗号復号鍵132のそれぞれについて、記憶装置141上にデータを残すか残さないか指定する。その他にも端末100内でのデータの扱い方について指定してもよい。
ストレージ装置アドレス616及び記憶装置番号617は、データを同期する相手先の特定する情報である。
図5は、本発明の実施の形態の管理サーバ200が利用申請600に対して許可又は却下するための基準を定義する許可基準テーブル620の一例を示す図である。
許可基準テーブル620は、端末状況621に応じた許可基準622及びデータ削除など特別な指示をするための応答623を定義する。また、許可基準テーブル620は、端末ID601ごとに異なるテーブルを作成してもよい。許可基準テーブル620は、管理サーバ200に格納される。
端末状況621は、端末100の状況を示す情報である。端末状況621は、現在エリア606、未同期データ量607及びデータ重要度625を含む。
現在エリア606は、端末100が現在存在している場所(エリア)である。未同期データ量607は、端末100において更新されたデータのうち、ストレージ装置300の記憶装置341に反映されていないデータ量である。データ重要度625は、ストレージ装置300のデータ重要度確認プログラム311によって取得されるデータの重要度である。
さらに図5に示した許可基準テーブル620の各定義(630〜636)を参照しながら具体的に説明する。
定義630は、端末100が社内にあり、最重要データを保持している場合を示している。このとき、当該データは、許可可能エリア628の値が「社内」であるため、社内以外での利用は許可されない。さらに、許可可能期間627の値が10秒であるため、10秒ごとに利用申請600を送信し、許可証610を更新しなければならず、オフラインでは利用できないことを示している。
定義631は、最重要データを保持している端末が社外にある場合を示している。許可基準622の各項目は、「すべて拒否」となっており、さらに、応答623の値から強制的にデータを削除するように指示することを示している。すなわち、定義631は、社外に持ち出しが禁止されている最重要データが社外に存在する場合を示しており、このような場合には、データを強制的に削除することによって情報漏洩を防ぐことを示している。
定義632は、重要データを保持している端末が社内にある場合を示している。この場合には、6時間以内であれば記憶装置141にデータを残さない方式で社外に持ち出すことが可能であることを示している。適用例としては、新製品の営業資料のように、重要データではあるが、社外で使用する必要がある場合などが想定される。出張の前に社内で端末100に製品データを格納し、出張先で当該データを利用する場合が想定される。
また、定義633及び定義634は、重要度が「普通」であるデータを格納した社内にある端末について、未同期データ量が1メガバイト未満の場合には自由に社外に持ち出せるが、1メガバイト以上の場合には12時間以内に制限されることを示している。
さらに、定義635及び定義636は、重要度が「普通」であるデータを格納した社外にある端末は、未同期データがなければ暗号復号鍵132を記憶装置141に残さない方式で利用期間を2時間延長できるが、未同期データが残っている場合には利用期間を延長できないことを示している。すなわち、端末100に格納されたデータをストレージ装置300に格納されたデータと同期させるように促すことができる。定義635及び定義636は、社外での作業をさらに延長する場合が想定される。
このように許可基準テーブル620を定義することによって、国内又は海外の法制度の違いに応じてセキュリティ基準を変えるなど、端末の場所又は状態に応じた適切な情報漏洩対策を実施することができる。例えば、端末100の位置をGPSによって特定する場合には、海外であっても現在エリア606の特定が可能であり、この場合には、現在エリアに「社内(海外)」として許可基準テーブル620にレコードを追加すればよい。
図6は、本発明の実施の形態の許可証発行履歴テーブル650の一例を示す図である。
許可証発行履歴テーブル650は、許可証発行履歴管理プログラム211によって管理され、管理サーバ200に格納される。許可証発行履歴テーブル650は、端末100の状況651及びアクセスを許可した内容である許可証内容652を含む。
端末100の状況651は、管理サーバ200が端末100から利用申請600を受信した場合にデータが記録される。許可証内容652は、受信した利用申請600に対して利用を許可した場合にデータが記録される。
端末100の状況651は、利用申請600を受信した時刻である審査日時653、端末ID601、現在エリア606、データ重要度625及び未同期データ量607を含む。許可証内容652は、許可可能期間627、許可可能エリア628及び許可可能データ管理方式629を含む。また、図には記載されていないが、審査結果611及び発行した暗号復号鍵132などの許可証内容652に該当するものはすべて記録される。さらに、上述した以外のパラメータを記録してもよい。
許可証発行履歴テーブル650を管理することによって、特定の時点における端末100がアクセス可能なデータを把握することができる。具体的には、端末100の場所、及び、削除による情報損失量、すなわち、端末100にのみ存在する情報(未同期のデータ)の量がどのくらいになるのか、といった情報を確認することができる。
したがって、端末100を紛失した場合に、直前に発行した許可証の内容によって、端末100の紛失時点又は現時点でデータを読み出すことが可能であるか否かを推測することが可能となり、情報漏洩の危険度などを把握することができる。また、遠隔から端末100に格納されたデータの削除を実行しようとする場合に、端末100の状態に応じてデータ削除を実行することができる。
許可証発行履歴管理プログラム211は、CPU243に実行されることによって、許可証発行履歴テーブル650に格納されたデータを表示させることができる。例えば、出力装置245にデータを表示する。さらに、入力装置244から端末100若しくは日時などを指定することによって、特定の端末100若しくは特定の日時に発行された許可証610を参照することも可能である。さらに、データ重要度が最重要のデータが社外に持ち出された場合などの異常状態が検出され、強制データ削除などが実行された場合には、管理サーバ200から管理者あてに異常を知らせるメールを送信することも可能である。また、出力装置245から異常が発生した旨のメッセージを表示してもよい。
図7は、本発明の実施の形態の端末管理テーブル670の一例を示す図である。
端末管理テーブル670は、端末管理プログラム212によって管理され、管理サーバ200に格納される。端末管理テーブル670は、端末ID601、パスワード602、ストレージ装置アドレス616、記憶装置番号617、暗号復号鍵132、記憶装置341の容量672、及び、記憶装置341の状態673を含む。
端末ID601及びパスワード602は、端末100を特定する。ストレージ装置アドレス616及び記憶装置番号617は、同期先の記憶領域を特定する情報であり、端末100との対応関係を保持する。
暗号復号鍵132は、ストレージ装置300には直接送信され、端末100には許可証610に埋め込まれて送信される。ストレージ装置300では、送信された暗号復号鍵132を用いて、暗号復号プログラム313を実行することによってデータを復号することができる。記憶装置341の容量672及び記憶装置341の状態673は、同期対象の記憶領域に関連する情報である。
さらに、具体的に説明すると、定義674の例では、当該端末100及び記憶装置341は利用されていないことを示している。
また、定義675及び定義676の例では、安全性を高めるために暗号復号鍵を更新しており、さらに、記憶装置容量を20ギガバイトに増量した新しい記憶装置341に切り替える準備をしていることを示している。定義675は現在利用中の記憶装置341に対応する情報で、定義676は新たに準備されている記憶装置341に対応する情報である。準備が完了すると、新しい記憶装置341に同期先を切り替え、端末100に新しい記憶装置341の内容を転送することによって暗号復号鍵の変更は完了する。このとき、定義675を削除してもよい。
図8は、本発明の実施の形態の暗号復号鍵を更新する場合に端末100から管理サーバに送信される暗号復号鍵更新要求の一例を示す図である。
暗号復号鍵更新要求690は、端末を識別する端末ID601及びパスワード602と、鍵更新の対象となる同期先ストレージ装置を特定するためのストレージ装置アドレス616及び記憶装置番号617を含む。
端末100のユーザがエージェントプログラム116に鍵更新要求を入力すると、データ同期プログラム114を実行することによって、管理サーバ200に暗号復号鍵更新要求690が送信される。管理サーバ200は、暗号復号鍵更新要求690を受信すると、端末管理プログラム212を実行することによって、ストレージ装置300に鍵の更新を指示する。ストレージ装置300は、暗号復号鍵の更新指示を受け付けると、鍵更新プログラム312を実行し、暗号復号鍵を更新する。暗号復号鍵を更新する処理の詳細な手順については、図13にて後述する。
また、暗号復号鍵の更新は、前述したように端末100の利用者が指示する以外に、あらかじめ定められた時間ごとに実行されるようにしてもよい。しかし、暗号復号鍵を更新すると、端末100の記憶装置141に暗号化されて格納されているデータ131をすべて更新しなければならないため、多くの処理時間を必要とする。したがって、例えば、社外にデータを持ち出し、数時間以上の時間(例えば、1日)経過した場合に暗号復号鍵の更新を実行するようにする。具体的な暗号復号鍵を更新するタイミングは、端末100からの利用申請時であってもよいし、管理サーバ200でデータの利用を許可してからの経過時間を管理し、所定の時間経過後に端末100に指示するようにしてもよい。
図9は、本発明の実施の形態の端末100が利用申請600を送信し、許可証610を受信するまでの手順を示すフローチャートである。
端末100は、ユーザから利用申請600の送信を指示された場合、又は、既存の許可証610の有効期限613の終了が間近になった場合などの契機で本処理を実行する。既存の許可証610の有効期限613は、許可証管理プログラム112によって管理される。例えば、既存の許可証610の有効期限613が間近になった場合には、ユーザに警告メッセージを表示する。
端末100のCPU143は、管理サーバ200に利用申請600を送信するために、エージェントプログラム116を介して、許可証管理プログラム112を実行する。
端末100のCPU143は、位置情報取得プログラム110を実行し、端末100の現在の位置情報を取得する(ステップ701)。さらに、データ差分管理プログラム115を実行し、現在の未同期データ量607を取得する(ステップ702)。
端末100のCPU143は、図3に示した利用申請600を作成し、管理サーバ200に送信する(ステップ703)。なお、ステップ701及びステップ702の処理で取得された情報以外に利用申請600に設定される項目は、ユーザが利用申請600を送信する際に指定した情報を設定してもよいし、既存の許可証610の情報を引き継いでもよい。
管理サーバ200は、端末100からの利用申請600を受信すると、受信した利用申請600に設定された項目の値に基づいて、端末100にデータの利用を許可するか否かを判定する。判定が終了すると、管理サーバ200は、許可証610を端末100に送信する。判定処理の手順については、図10にて後述する。
端末100のCPU143は、管理サーバ200からの応答(許可証610)を受信すると(ステップ704)、審査結果611に設定された値に基づいて処理を実行する。
端末100のCPU143は、審査結果611に「データ削除」が設定されている場合には(ステップ705の結果が「Yes」)、端末100の記憶装置141に格納されたデータを削除する(ステップ709)。
また、端末100のCPU143は、審査結果611に「却下」が設定されている場合には(ステップ706の結果が「Yes」)、エージェントプログラム116を介してユーザに却下された旨を通知する(ステップ707)。
端末100のCPU143は、審査結果611に「許可」が設定されている場合には(ステップ706の結果が「No」)、古い許可証610を破棄して新しい許可証610に更新する(ステップ708)。
図10は、本発明の実施の形態の管理サーバ200が利用申請600を受信してから許可証610を送信するまで処理の手順を示すフローチャートである。
管理サーバ200のCPU243は、管理サーバ200の起動時に許可証発行プログラム210を実行し、本処理を開始する。
管理サーバ200のCPU243は、端末100から利用申請600を受信すると(ステップ751)、まず、利用申請600に含まれる端末ID601及びパスワード602が正しいか否かを判定する(ステップ752)。具体的には、端末管理プログラム212を実行し、端末管理テーブル670と照合する。端末ID601及びパスワード602の値が正しくない場合には(ステップ752の結果が「No」)、許可証610の審査結果611の値を「却下」に設定する(ステップ762)。
管理サーバ200のCPU243は、端末ID601及びパスワード602の値が正しい場合には(ステップ752の結果が「Yes」)、ストレージ装置300から端末100の同期先の記憶装置341に格納されたデータのデータ重要度625を取得する(ステップ753)。データのデータ重要度625は、ストレージ装置300がデータ重要度確認プログラム311を実行することによって取得される。
管理サーバ200のCPU243は、次に、許可基準テーブル620を参照し、端末100の現在エリア606、データ重要度625、及び、未同期データ量626に対応する許可基準622を取得する(ステップ754)。
管理サーバ200のCPU243は、強制データ削除などの特別な応答623が必要か否かを判定する(ステップ755)。強制データ削除などの特別な応答623が必要な場合には(ステップ755の結果が「Yes」)、許可証610の審査結果611に「データ削除」を設定して応答する(ステップ760)。強制データ削除が実行される条件は、例えば、データ重要度が最重要のデータが格納された端末100が社外に持ち出された場合である(図5の定義631)
一方、管理サーバ200のCPU243は、強制データ削除などの特別な応答623が必要でない場合には(ステップ755の結果が「No」)、利用申請600に指定された希望利用期間603が許可範囲内、すなわち、許可基準テーブル620の許可可能期間627の範囲内にあるか否かを判定する(ステップ756)。希望利用期間603が許可範囲内にない場合には(ステップ756の結果が「No」)、許可証610の審査結果611に「却下」を設定して応答する(ステップ760)。
さらに、管理サーバ200のCPU243は、希望利用期間603が許可範囲内にある場合には(ステップ756の結果が「Yes」)、利用申請600に指定された希望利用エリア604が許可範囲内、すなわち、許可基準テーブル620の許可可能エリア628の範囲内にあるか否かを判定する(ステップ757)。希望利用エリア604が許可範囲内にない場合には(ステップ757の結果が「No」)、許可証610の審査結果611に「却下」を設定して応答する(ステップ760)。
さらに、管理サーバ200のCPU243は、希望利用エリア604が許可範囲内にある場合には(ステップ757の結果が「Yes」)、利用申請600に指定された希望データ管理方式605が許可範囲内、すなわち、許可基準テーブル620の許可可能データ管理方式629の範囲内にあるか否かを判定する(ステップ758)。希望データ管理方式605が許可範囲内にない場合には(ステップ758の結果が「No」)、許可証610の審査結果611に「却下」を設定して応答する(ステップ760)。
管理サーバ200のCPU243は、希望データ管理方式605が許可範囲内にある場合には(ステップ758の結果が「Yes」)、許可証610の審査結果611に「許可」を設定し、許可証610を作成し(ステップ759)、発行する(ステップ761)。
管理サーバ200のCPU243は、管理サーバ200が停止処理を実行しようとしていなければ(ステップ763の結果が「No」)、許可証発行履歴テーブル650に許可証発行履歴を記録し(ステップ765)、次の利用申請600の受信を受け付ける(ステップ751)。
図11は、本発明の実施の形態の端末100とストレージ装置300との同期処理の手順を示すフローチャートである。
端末100のCPU143は、端末100が起動されると、データ同期プログラム114を実行し、あらかじめ決められた周期で本処理を実行する。
端末100のCPU143は、まず、データ差分管理プログラム115を実行し、未同期データの有無を検査し、差分情報を取得する(ステップ801)。未同期データとは、端末100のデータ131(又はデータキャッシュ121)の内容と、ストレージ装置300内の記憶装置341に格納されたデータとの差分である。
端末100のCPU143は、ステップ801の処理で取得された差分情報に基づいて、差分が存在するか否かを判定する(ステップ802)。差分が存在しない場合には(ステップ802の結果が「No」)、本処理を終了する。
端末100のCPU143は、差分が存在する場合には(ステップ802の結果が「Yes」)、当該差分データをストレージ装置300に転送する(ステップ803)。
端末100のCPU143は、差分データの転送完了後、データ差分管理プログラム115を実行し、差分情報を更新する(ステップ804)。具体的には、未同期データを同期済みとする。
端末100のCPU143は、差分が存在しなくなるまでステップ801からステップ804までの処理を実行する。
図12は、本発明の実施の形態の端末100におけるリストア処理の手順を示すフローチャートである。
リストア処理は、ストレージ装置300の記憶装置341から端末100の記憶装置141にデータ配置情報130及びデータ131を転送する処理である。
端末100のCPU143は、まず、エージェントプログラム116を経由して管理サーバ200又はユーザからリストア指示を受け付ける(ステップ831)。端末100のCPU143は、エージェントプログラム116によって、ユーザOS領域101上のプログラムをすべて停止させる(ステップ832)。
端末100のCPU143は、ユーザOS領域101上で実行されていたプログラムの停止を確認する(ステップ833)。ユーザOS領域101上で実行されていたプログラムが停止されると(ステップ833の結果が「Yes」)、ストレージ装置300の記憶装置341からデータを取得し、端末100の記憶装置141の内容を同期(一致)させる(ステップ834)。
端末100のCPU143は、ストレージ装置300の記憶装置341と、端末100の記憶装置141との同期が完了すると、ユーザOS領域101上のプログラムを再起動する(ステップ835)。
図13は、本発明の実施の形態の管理サーバ200の端末管理プログラム212による暗号復号鍵更新処理の手順を示すフローチャートである。
管理サーバ200のCPU243は、端末100などから送信される暗号復号鍵更新要求690を受信すると、ストレージ装置300内の未使用の記憶装置341を端末管理テーブル670から検索し、検索された記憶装置341を確保する(ステップ851)。さらに、新しい暗号復号鍵を生成する(ステップ852)。
管理サーバ200のCPU243は、暗号復号鍵更新要求690で指定された記憶装置341に格納されたデータを、ステップ822の処理で生成された新しい鍵によって再暗号化し、ステップ851の処理で新たに確保された記憶装置341に格納するように、ストレージ装置300に指示する(ステップ853)。ストレージ装置300は、暗号復号鍵の更新指示を受信すると、鍵更新プログラム312を実行し、指示された処理を実行する。
管理サーバ200のCPU243は、すべてのデータを再暗号化するまで処理を繰り返し(ステップ854)、完了後、端末管理テーブル670を更新する(ステップ855)。具体的には、端末管理テーブル670は、新たに暗号化されたデータが格納された記憶装置341に対応するレコードの記憶装置状態673が「使用中」に、古い記憶装置341に対応するレコードの記憶装置状態673が「未使用」に更新される。そして、管理サーバ200のCPU243は、端末100にリストアを開始するように指示し、本処理を終了する。
本発明の実施の形態によれば、端末100の場所及びデータの重要度などに応じて情報漏洩対策方式を変更することができる。すなわち、管理サーバ200は、端末100から利用申請600を受信すると、端末100の場所及びデータの重要度などに基づいて、データ削除方式など情報漏洩防止方式を決定し、端末100に許可証610を送信する。端末100は、管理サーバ200から許可証610で指定された情報漏洩対策を実行する。さらに、端末100においてデータの重要度を判定する必要がなく、また、データの重要度を示すパラメータを保持する必要がないため、(A)盗難の対象となる端末100に内部のデータの重要度を示す情報を保持するのは好ましくないこと、(B)端末100が復号鍵を破棄している間はデータの重要度を確認できないこと、といった課題を解消することができる。
本発明の実施の形態によれば、端末100がオフライン状態の場合又は端末100が分解された場合においてもデータを削除又は読み出しできない状態にすることができる。具体的には、許可証610で指定された時間以上にオフライン状態が継続すると、再度利用申請を管理サーバ200に送信し、許可されるまでデータを読み出すことができない。また、データ管理方式をメモリ142にのみデータを保持するようにすれば、電源が切断されると同時にデータは消去されるようにすることができる。
本発明の実施の形態によれば、遠隔からデータ削除を実行しようとする場合に、許可証発行履歴テーブル650を参照することによって端末100の状態を把握することができるため、端末100の状態に応じて最適な方式で削除を実行できる。
本発明の実施の形態によれば、端末データの削除方式に応じて最適な端末状態の復旧ができる。例えば、暗号復号鍵をメモリ142のみに格納し、記憶装置141上に格納しなければ、暗号復号鍵を再取得するのみで端末100の状態を復帰させることができる。一般に、情報漏洩に対して安全性を高めるほど不便になる傾向があるため、端末100の場所若しくはデータの重要度などに基づいて適切な情報漏洩対策を実施することによって、端末100の利便性を高めるという効果も期待できる。
本発明の実施の形態の計算機システムのシステム構成例を示す図である。 本発明の実施の形態の端末の構成を示す図である。 本発明の実施の形態の端末から管理サーバに送信される利用申請の一例を示す図である。 本発明の実施の形態の管理サーバから端末に送信される許可証の一例を示す図である。 本発明の実施の形態の管理サーバが利用申請に対して許可又は却下するための基準を定義する許可基準テーブルの一例を示す図である。 本発明の実施の形態の許可証発行履歴テーブルの一例を示す図である。 本発明の実施の形態の端末管理テーブルの一例を示す図である。 本発明の実施の形態の暗号復号鍵を更新する場合に端末から管理サーバに送信される暗号復号鍵更新要求の一例を示す図である。 本発明の実施の形態の端末が利用申請を送信し、許可証を受信するまでの手順を示すフローチャートである。 本発明の実施の形態の管理サーバが利用申請を受信してから許可証を送信するまで処理の手順を示すフローチャートである。 本発明の実施の形態の端末とストレージ装置との同期処理の手順を示すフローチャートである。 本発明の実施の形態の端末におけるリストア処理の手順を示すフローチャートである。 本発明の実施の形態の管理サーバの端末管理プログラムによる暗号復号鍵更新処理の手順を示すフローチャートである。
符号の説明
1 計算機システム
100 端末
200 管理サーバ
300 ストレージ装置
400 位置情報発信源
500 ネットワーク
141、341 記憶装置
142、242、342 メモリ
143、243、343 CPU
144、244 入力装置
145、245 出力装置
146 位置情報受信部
147、246、346 通信インタフェース
148 電源
101 ユーザOS領域
102 管理OS領域
110 位置情報取得プログラム
111 データ削除プログラム
112 許可証管理プログラム
113、313 暗号復号プログラム
114 データ同期プログラム
115 データ差分管理プログラム
120 データ配置情報キャッシュ
121 データキャッシュ
122 暗号復号鍵キャッシュ
130 データ配置情報
131 データ
132 暗号復号鍵
210 許可証発行プログラム
211 許可証発行履歴管理プログラム
212 端末管理プログラム
311 データ重要度確認プログラム
312 鍵更新プログラム

Claims (18)

  1. データを格納するストレージ装置、前記データを利用する端末、前記ストレージ装置及び前記端末に接続される管理サーバ、及び、前記端末の位置を特定するための位置情報取得部を含む計算機システムであって、
    前記ストレージ装置は、前記管理サーバに接続される第1インタフェース、前記第1インタフェースに接続される第1プロセッサ、前記第1プロセッサに接続される第1メモリ、及び、前記データを格納する第1記憶部を備え、
    前記端末は、前記管理サーバに接続される第2インタフェース、前記第2インタフェースに接続される第2プロセッサ、及び、前記データの複製を格納する第2記憶部を備え、
    前記第2記憶部は、揮発性記憶部及び不揮発性記憶部を含み、
    前記管理サーバは、前記ストレージ装置及び前記端末に接続される第3インタフェース、前記第3インタフェースに接続される第3プロセッサ、及び、前記第3プロセッサに接続される第3メモリを備え、
    前記端末は、
    前記データを利用する場合には、前記位置情報取得部によって、前記端末の位置を特定し、
    前記特定された端末の位置を含む端末情報を前記管理サーバに送信し、
    前記データの利用要求を前記管理サーバに送信し、
    前記管理サーバは、
    前記端末情報に基づいて、前記データの利用を許可するか否かを判定し、
    前記データの利用を許可する場合には、前記データの利用条件を含む許可情報を前記端末に送信し、
    前記端末は、前記利用条件に基づいて、前記揮発性記憶部及び前記不揮発性記憶部の少なくとも一方を選択し、前記データの複製を格納することを特徴とする計算機システム。
  2. 前記管理サーバは、
    前記データの利用要求を受信すると、前記データの重要度を前記ストレージ装置から取得し、
    前記重要度に基づいて、前記データの利用を許可するか否かを判定することを特徴とする請求項1に記載の計算機システム。
  3. 前記ストレージ装置は、前記端末で利用されるデータを暗号化して送信し、
    前記許可情報には、前記暗号化されたデータを復号するための復号鍵が含まれ、
    前記端末は、前記要求されたデータの利用条件に基づいて、前記揮発性記憶部及び前記不揮発性記憶部の少なくとも一方を選択し、前記復号鍵を格納することを特徴とする請求項1に記載の計算機システム。
  4. 前記端末は、前記復号鍵を前記揮発性記憶部にのみ格納することを特徴とする請求項3に記載の計算機システム。
  5. 前記端末は、前記データの複製を前記揮発性記憶部にのみ格納することを特徴とする請求項1に記載の計算機システム。
  6. 前記端末は、前記ストレージ装置に格納されたデータと、前記端末に格納された前記データの複製を周期的に同期させることを特徴とする請求項1に記載の計算機システム。
  7. 前記端末は、前記端末の状態が前記利用条件を満たさなくなった場合には、前記データの複製を削除することを特徴とする請求項1に記載の計算機システム。
  8. 前記管理サーバは、前記利用要求に含まれる前記端末情報が所定の削除条件を満たす場合には、前記データの複製を削除する指示を前記端末に送信することを特徴とする請求項1に記載の計算機システム。
  9. データを格納するストレージ装置及び前記ストレージ装置に接続される管理サーバを含む計算機システムにおいて、前記データの複製を格納する端末であって、
    前記計算機システムは、前記端末の位置を特定するための位置情報取得部を含み、
    前記管理サーバに接続されるインタフェース、前記インタフェースに接続されるプロセッサ、及び、前記データの複製を格納する記憶部を備え、
    前記記憶部は、揮発性記憶部及び不揮発性記憶部を含み、
    前記データを利用する場合には、前記位置情報取得部によって、前記端末の位置を特定し、
    前記特定された端末の位置を含む端末情報を前記管理サーバに送信し、
    前記データの利用要求を前記管理サーバに送信し、
    前記端末情報に基づいて許可された前記データの利用条件を含む許可情報を前記管理サーバから受信した場合には、前記利用条件に基づいて、前記揮発性記憶部及び前記不揮発性記憶部の少なくとも一方を選択し、前記データの複製を格納することを特徴とする端末。
  10. 前記ストレージ装置は、前記端末から要求されたデータを暗号化して送信し、
    前記許可情報には、前記暗号化されたデータを復号するための復号鍵が含まれ、
    前記端末は、前記要求されたデータの利用条件に基づいて、前記揮発性記憶部及び前記不揮発性記憶部の少なくとも一方を選択し、前記復号鍵を格納することを特徴とする請求項8に記載の端末。
  11. 前記端末は、前記復号鍵を前記揮発性記憶部にのみ格納することを特徴とする請求項10に記載の端末。
  12. 前記端末は、前記データの複製を前記揮発性記憶部にのみ格納することを特徴とする請求項9に記載の端末。
  13. 前記端末は、前記ストレージ装置に格納されたデータと、前記端末に格納された前記データの複製を周期的に同期することを特徴とする請求項9に記載の端末。
  14. 前記端末は、前記端末の状態が前記利用条件を満たさなくなった場合には、前記データの複製を削除することを特徴とする請求項9に記載の端末。
  15. データを格納するストレージ装置及び前記ストレージ装置に接続される管理サーバを含む計算機システムであって、
    前記計算機システムは、前記データを利用する端末によって接続され、
    前記ストレージ装置は、前記管理サーバに接続される第1インタフェース、前記第1インタフェースに接続される第1プロセッサ、前記第1プロセッサに接続される第1メモリ、及び、前記データを格納する第1記憶部を備え、
    前記管理サーバは、前記ストレージ装置及び前記端末に接続される第2インタフェース、前記第2インタフェースに接続される第2プロセッサ、及び、前記第2プロセッサに接続される第2メモリを備え、
    前記管理サーバは、
    前記端末の位置を含む端末情報及び前記データの利用要求を前記端末から受信すると、前記端末情報に基づいて、前記データの利用を許可するか否かを判定し、
    前記データの利用を許可する場合には、前記データの利用条件を含む許可情報を前記端末に送信することを特徴とする計算機システム。
  16. 前記管理サーバは、前記データの利用要求を前記端末から受信すると、前記データの重要度を前記ストレージ装置に要求し、
    前記ストレージ装置は、前記要求されたデータの重要度を算出して、前記管理サーバに送信し、
    前記管理サーバは、前記重要度に基づいて、前記データの利用を許可するか否かを判定することを特徴とする請求項15に記載の計算機システム。
  17. 前記ストレージ装置は、前記端末で利用されるデータを暗号化して送信し、
    前記管理サーバは、前記暗号化されたデータを復号するための復号鍵を前記許可情報とともに前記端末に送信することを特徴とする請求項15に記載の計算機システム。
  18. 前記管理サーバは、前記利用要求に含まれる前記端末情報が所定の削除条件を満たす場合には、前記データの複製を削除する指示を前記端末に送信することを特徴とする請求項15に記載の計算機システム。
JP2008038140A 2008-02-20 2008-02-20 計算機システム及び端末 Expired - Fee Related JP5020857B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2008038140A JP5020857B2 (ja) 2008-02-20 2008-02-20 計算機システム及び端末
US12/100,563 US8051490B2 (en) 2008-02-20 2008-04-10 Computer system for judging whether to permit use of data based on location of terminal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008038140A JP5020857B2 (ja) 2008-02-20 2008-02-20 計算機システム及び端末

Publications (3)

Publication Number Publication Date
JP2009199195A true JP2009199195A (ja) 2009-09-03
JP2009199195A5 JP2009199195A5 (ja) 2010-09-24
JP5020857B2 JP5020857B2 (ja) 2012-09-05

Family

ID=40956236

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008038140A Expired - Fee Related JP5020857B2 (ja) 2008-02-20 2008-02-20 計算機システム及び端末

Country Status (2)

Country Link
US (1) US8051490B2 (ja)
JP (1) JP5020857B2 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011113241A (ja) * 2009-11-26 2011-06-09 Sharp Corp 情報機器、画像処理装置、情報機器と通信可能な情報処理装置およびそれらを含む情報処理システム
JP2013047890A (ja) * 2011-08-29 2013-03-07 Nippon Telegr & Teleph Corp <Ntt> ライセンス生成装置
JP2013251812A (ja) * 2012-06-01 2013-12-12 Ricoh Co Ltd コミュニケーションシステム、通話管理サーバ、位置情報サーバ及びコミュニケーション端末
JP2014067073A (ja) * 2012-09-24 2014-04-17 Oki Electric Ind Co Ltd サーバ、ユーザ端末、およびプログラム
JP2016532956A (ja) * 2013-07-30 2016-10-20 ドロップボックス, インコーポレイテッド リンク解除されたデバイスにおける未同期コンテンツ・アイテムの管理技術

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100055882A (ko) * 2008-11-18 2010-05-27 삼성전자주식회사 컨텐츠 제어 장치 및 컨텐츠 제어 방법
US8433296B2 (en) 2009-05-01 2013-04-30 Ryan Hardin Exclusive delivery of content within geographic areas
US8544103B2 (en) 2010-05-04 2013-09-24 Intertrust Technologies Corporation Policy determined accuracy of transmitted information
JP5214796B2 (ja) * 2011-11-17 2013-06-19 株式会社東芝 電子機器、電子機器の制御方法、電子機器の制御プログラム
JP2013149008A (ja) * 2012-01-18 2013-08-01 Sony Corp 電子機器とデータ転送制御方法およびプログラム
US10560439B2 (en) * 2014-03-27 2020-02-11 Arris Enterprises, Inc. System and method for device authorization and remediation
CN105227524B (zh) 2014-06-12 2018-10-12 阿里巴巴集团控股有限公司 一种信息保密方法及相关装置
CN105989280A (zh) * 2015-02-10 2016-10-05 富泰华工业(深圳)有限公司 应用程序权限管理系统、管理装置及方法
US10581617B2 (en) 2015-12-23 2020-03-03 Mcafee, Llc Method and apparatus for hardware based file/document expiry timer enforcement
CN106095617A (zh) * 2016-06-01 2016-11-09 广东欧珀移动通信有限公司 一种文件备份方法及文件备份装置
US11171786B1 (en) * 2019-03-21 2021-11-09 Cisco Technology, Inc. Chained trusted platform modules (TPMs) as a secure bus for pre-placement of device capabilities

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003032484A (ja) * 2001-07-17 2003-01-31 Sharp Corp 画像処理装置
JP2005157476A (ja) * 2003-11-20 2005-06-16 Canon Inc データ記憶装置、データ処理装置、情報処理システム及びデータ記憶方法
WO2005064484A1 (ja) * 2003-12-25 2005-07-14 Mitsubishi Denki Kabushiki Kaisha デジタルコンテンツ利用権管理システム
JP2006072808A (ja) * 2004-09-03 2006-03-16 Japan Telecom Co Ltd 電子ファイルのアクセス制御システム及びアクセス制御方法

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7080402B2 (en) * 2001-03-12 2006-07-18 International Business Machines Corporation Access to applications of an electronic processing device solely based on geographic location
JP2003152698A (ja) * 2001-11-15 2003-05-23 Nippon Hoso Kyokai <Nhk> コンテンツ利用制御送信方法、コンテンツ利用制御受信方法およびコンテンツ利用制御送信装置、コンテンツ利用制御受信装置ならびにコンテンツ利用制御送信プログラム、コンテンツ利用制御受信プログラム
US7591020B2 (en) * 2002-01-18 2009-09-15 Palm, Inc. Location based security modification system and method
JP2004032073A (ja) 2002-06-21 2004-01-29 Canon Inc 通信装置、情報操作システム、通信装置の制御方法、情報操作システムの情報操作方法、及び制御プログラム
US20040006541A1 (en) * 2002-07-08 2004-01-08 International Business Corporation Method and system for purchasing broadcast content
KR100516504B1 (ko) * 2003-09-30 2005-09-26 (주)잉카엔트웍스 네트워크를 통하여 개인 휴대 단말기와 데이터 동기화를수행하기 위한 방법 및 그 시스템
US7523316B2 (en) * 2003-12-08 2009-04-21 International Business Machines Corporation Method and system for managing the display of sensitive content in non-trusted environments
US20050204038A1 (en) * 2004-03-11 2005-09-15 Alexander Medvinsky Method and system for distributing data within a network
EP1735943A4 (en) * 2004-04-14 2010-10-06 Digital River Inc LICENSING SYSTEM BASED ON A GEOGRAPHICAL LOCATION
US8086536B2 (en) * 2004-09-16 2011-12-27 Microsoft Corporation Location based licensing
US20100071070A1 (en) * 2005-01-07 2010-03-18 Amandeep Jawa Managing Sharing of Media Content From a Server Computer to One or More of a Plurality of Client Computers Across the Computer Network
US7490763B2 (en) * 2005-08-04 2009-02-17 International Business Machines Corporation Method to disable use of selected applications based on proximity or user identification
US7584201B2 (en) * 2005-08-10 2009-09-01 Qwest Communications International, Inc Management of mobile-device data
US20070300058A1 (en) * 2006-06-21 2007-12-27 Nokia Corporation Credential Provisioning For Mobile Devices
US7849511B2 (en) * 2007-02-16 2010-12-07 Eric Clark Richardson Determining authorized use of a software application
US7912451B2 (en) * 2007-02-26 2011-03-22 Sony Ericsson Mobile Communications Ab Limiting use of electronic equipment features based on location
US8185959B2 (en) * 2008-02-26 2012-05-22 International Business Machines Corporation Digital rights management of captured content based on capture associated locations

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003032484A (ja) * 2001-07-17 2003-01-31 Sharp Corp 画像処理装置
JP2005157476A (ja) * 2003-11-20 2005-06-16 Canon Inc データ記憶装置、データ処理装置、情報処理システム及びデータ記憶方法
WO2005064484A1 (ja) * 2003-12-25 2005-07-14 Mitsubishi Denki Kabushiki Kaisha デジタルコンテンツ利用権管理システム
JP2006072808A (ja) * 2004-09-03 2006-03-16 Japan Telecom Co Ltd 電子ファイルのアクセス制御システム及びアクセス制御方法

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011113241A (ja) * 2009-11-26 2011-06-09 Sharp Corp 情報機器、画像処理装置、情報機器と通信可能な情報処理装置およびそれらを含む情報処理システム
JP2013047890A (ja) * 2011-08-29 2013-03-07 Nippon Telegr & Teleph Corp <Ntt> ライセンス生成装置
JP2013251812A (ja) * 2012-06-01 2013-12-12 Ricoh Co Ltd コミュニケーションシステム、通話管理サーバ、位置情報サーバ及びコミュニケーション端末
JP2014067073A (ja) * 2012-09-24 2014-04-17 Oki Electric Ind Co Ltd サーバ、ユーザ端末、およびプログラム
JP2016532956A (ja) * 2013-07-30 2016-10-20 ドロップボックス, インコーポレイテッド リンク解除されたデバイスにおける未同期コンテンツ・アイテムの管理技術

Also Published As

Publication number Publication date
US8051490B2 (en) 2011-11-01
JP5020857B2 (ja) 2012-09-05
US20090210700A1 (en) 2009-08-20

Similar Documents

Publication Publication Date Title
JP5020857B2 (ja) 計算機システム及び端末
KR101852725B1 (ko) 컴퓨터 프로그램, 비밀관리방법 및 시스템
JP4787055B2 (ja) 情報分割記録機能を持つ情報処理装置
US20180253564A1 (en) System and Method for Preventing Access to Data on a Compromised Remote Device
JP4990089B2 (ja) 格納データ暗号化機能内蔵ストレージ装置の暗号鍵をバックアップ及びリストアする計算機システム
JP5735995B2 (ja) 被追跡装置のプライバシー管理
US20100153716A1 (en) System and method of managing files and mobile terminal device
JP2022040957A (ja) 暗号鍵管理システムおよび暗号鍵管理方法
CN109842506B (zh) 密钥管理系统容灾处理方法、装置、系统和存储介质
WO2009056570A1 (en) Method and apparatus for restoring encrypted files to an encrypting file system based on deprecated keystores
CN100495364C (zh) 系统分页文件的加密
US9910998B2 (en) Deleting information to maintain security level
CN110727940A (zh) 一种电子设备密码管理方法、装置、设备及存储介质
JP5795554B2 (ja) 差分暗号化によるファイル同期システム、その方法およびプログラム
JP4773298B2 (ja) 情報漏洩防止プログラムおよび情報処理装置
JP2005198336A (ja) 情報管理システム及び情報管理方法
JP2006172351A (ja) リムーバブルメディア利用によるコンテンツの使用期限管理方法及びシステム
JP2010231650A (ja) 端末装置、データ提供システム、データ提供方法及びコンピュータプログラム
JP2005051614A (ja) 情報管理システム、キー配信サーバ、情報管理方法、及びプログラム
US11231988B1 (en) Systems and methods for secure deletion of information on self correcting secure computer systems
JP5247596B2 (ja) シンクライアント管理方法及びシステム、並びにシンクライアント管理用プログラム
JP2006164096A (ja) 暗号化データアクセス制御方法
JP2019175071A (ja) ファイル管理方法、システム、端末およびプログラム
WO2023119554A1 (ja) 制御方法、情報処理装置および制御プログラム
JP6648461B2 (ja) 情報処理装置およびプログラム

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100809

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100809

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120228

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120306

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120309

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120425

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120515

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120613

R150 Certificate of patent or registration of utility model

Ref document number: 5020857

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150622

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees