JP2010020624A - External storage medium management system - Google Patents
External storage medium management system Download PDFInfo
- Publication number
- JP2010020624A JP2010020624A JP2008181748A JP2008181748A JP2010020624A JP 2010020624 A JP2010020624 A JP 2010020624A JP 2008181748 A JP2008181748 A JP 2008181748A JP 2008181748 A JP2008181748 A JP 2008181748A JP 2010020624 A JP2010020624 A JP 2010020624A
- Authority
- JP
- Japan
- Prior art keywords
- storage medium
- information
- external storage
- file
- operation log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 claims abstract description 32
- 230000006870 function Effects 0.000 claims description 11
- 230000015654 memory Effects 0.000 abstract description 134
- 238000012545 processing Methods 0.000 description 22
- 238000000034 method Methods 0.000 description 16
- 238000000605 extraction Methods 0.000 description 13
- 238000012217 deletion Methods 0.000 description 12
- 230000037430 deletion Effects 0.000 description 12
- 239000000284 extract Substances 0.000 description 11
- 238000010586 diagram Methods 0.000 description 7
- LWCVWGNRFYSORH-UHFFFAOYSA-N BBBBBBB Chemical compound BBBBBBB LWCVWGNRFYSORH-UHFFFAOYSA-N 0.000 description 6
- 230000002265 prevention Effects 0.000 description 3
- 239000004065 semiconductor Substances 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
- Debugging And Monitoring (AREA)
Abstract
Description
本発明は、USBメモリ(可搬型半導体記憶装置)などの記憶媒体やコンピュータ端末などの使用範囲を、操作ログ情報を用いて判定することにより、当該記憶媒体やコンピュータ端末をその使用範囲を超えて使用できないようにする外部記憶媒体管理システムに関する。
The present invention determines the usage range of a storage medium such as a USB memory (portable semiconductor storage device) and a computer terminal using the operation log information, and thus exceeds the usage range of the storage medium and the computer terminal. The present invention relates to an external storage medium management system that prevents use.
企業などの組織では、組織から情報漏洩が起こらないように様々な対策を採っている。近年、情報管理の徹底が求められており、使用できるハードウェア資源が限定されていることが多い。特に、情報の持ち運びが可能な半導体メモリ(USBメモリなど)などの外部記憶媒体は利便性が非常に高い反面、紛失や盗難あるいは使用後、不要となったファイルの消し忘れなど不適切な運用が問題となっている。 Organizations such as companies take various measures to prevent information leakage from the organization. In recent years, thorough information management has been demanded, and usable hardware resources are often limited. In particular, external storage media such as semiconductor memory (USB memory, etc.) that can carry information are very convenient, but they are inappropriately used such as lost or stolen or forgetting to delete files that are no longer needed after use. It is a problem.
そこで下記特許文献1に記載のように、予め定められた不正行為をそもそも行えなくするようなシステムが存在する。つまり記憶媒体やコンピュータ端末のファイルコピーなどの操作を行えなくすることで、情報漏洩を防止するシステムである。また特許文献1以外にも、USBメモリなどの記憶媒体をソフトウェア的にあるいはハードウェア的に、一律に使用禁止とする方法を採用している場合もある。
Therefore, as described in
特許文献1の場合には、記憶媒体やコンピュータ端末などへのファイルコピー操作を不正行為として設定しておくことによって、そのような操作が一律に行えなくなり、情報漏洩を防止出来る。またUSBメモリなどの記憶媒体をソフトウェア的、ハードウェア的に使用禁止とする方法の場合にも、記憶媒体が使用できなくなるので、情報漏洩を防止出来る。
In the case of
しかしUSBメモリなどの記憶媒体は、気軽に情報を持ち運びして、その情報を別のコンピュータ端末で使用することができるので、利便性が高く、上述のように一律に使用禁止にしてしまうと、業務効率が低下する場合もある。 However, a storage medium such as a USB memory can easily carry information and use the information on another computer terminal. Therefore, it is highly convenient, and if it is uniformly prohibited as described above, Business efficiency may be reduced.
例えば開発部門の場合、一人のユーザが、通常業務を行うコンピュータ端末と、実験環境用のコンピュータ端末とを使用しており、実験環境用のコンピュータ端末は通常業務のコンピュータ端末のネットワークからは切り離されていることが多い。そして、通常業務を行うコンピュータ端末から実験環境用のコンピュータ端末へファイルなどを移動させる場合には、事前にシステム管理を統括する部署に対して、USBメモリなどの記憶媒体の使用許可を申請しておき、許可されたUSBメモリを使用して、ファイルを移動させている。 For example, in the case of the development department, a single user uses a computer terminal that performs normal business and a computer terminal for experimental environment, and the computer terminal for experimental environment is separated from the network of computer terminals for normal business. There are many. If you want to move files from a computer terminal that performs normal work to a computer terminal for an experimental environment, apply for permission to use a storage medium such as a USB memory to the department that oversees system management in advance. A file is moved using an authorized USB memory.
以上のように、従来では、情報漏洩を重視するあまりに、USBメモリなどの記憶媒体を一律に使用禁止にしていたりする。そのため例外的に使用するためには、使用するUSBメモリを事前にシステム管理を統括する部署に対して申請しておかなければならず、極めて煩雑であった。 As described above, conventionally, a storage medium such as a USB memory is forbidden to use uniformly because importance is placed on information leakage. Therefore, in order to use it exceptionally, the USB memory to be used must be applied to the department in charge of system management beforehand, which is extremely complicated.
そのため、従来のように、事前にシステム管理を統括する部署に対して申請などの煩雑な手続を行わずともUSBメモリなどの記憶媒体を使用できる一方、適切な範囲で記憶媒体からの情報漏洩を防止しうるセキュリティシステムが望まれている。すなわち、日常業務のしやすさと情報漏洩の防止という相反する課題を解決するシステムが望まれている。 Therefore, as in the past, storage media such as USB memory can be used without requiring complicated procedures such as application to the department that oversees system management in advance. A security system that can be prevented is desired. That is, a system that solves the conflicting problems of ease of daily work and prevention of information leakage is desired.
本発明者は上記問題点に鑑み、以下の発明を行った。 In view of the above problems, the present inventor has made the following invention.
第1の発明は、外部記憶媒体に使用範囲情報を設定する外部記憶媒体管理システムであって、前記外部記憶媒体管理システムは、前記外部記憶媒体を装着したコンピュータ端末の操作ログ情報を取得し、前記コンピュータ端末における前記外部記憶媒体へのファイルアクセスに関する操作ログ情報を検出する操作ログ情報検出部と、前記検出した操作ログ情報を用いて、ファイルアクセスの対象となったファイルを特定し、そのファイルに対応づけられた使用権限を示すファイル権限情報を取得し、取得したファイル権限情報に基づいて前記外部記憶媒体の使用範囲情報を決定する外部記憶媒体使用範囲決定部と、前記決定した使用範囲情報を前記コンピュータ端末の前記外部記憶媒体に設定させる外部記憶媒体使用範囲設定部と、を有する外部記憶媒体管理システムである。 A first invention is an external storage medium management system that sets usage range information in an external storage medium, wherein the external storage medium management system acquires operation log information of a computer terminal in which the external storage medium is mounted, An operation log information detection unit for detecting operation log information related to file access to the external storage medium in the computer terminal, and using the detected operation log information, a file that is a target of file access is specified, and the file An external storage medium usage range determination unit that acquires file authority information indicating usage authority associated with the external storage medium and determines the usage range information of the external storage medium based on the acquired file authority information; and the determined usage range information An external storage medium use range setting unit that sets the external storage medium of the computer terminal Parts is a storage medium management system.
本発明のように構成することで、操作ログ情報から外部記憶媒体の使用範囲情報を自動的に判定し、それを外部記憶媒体に設定することが可能となる。これにより、従前のようにUSBメモリなどの外部記憶媒体を事前に申請しなくても、自動的に外部記憶媒体を適切な範囲で使用させることが可能となる。 With the configuration according to the present invention, it is possible to automatically determine the use range information of the external storage medium from the operation log information and set it to the external storage medium. As a result, the external storage medium can be automatically used in an appropriate range without applying for an external storage medium such as a USB memory in advance.
上述の発明のように使用範囲情報が設定された外部記憶媒体がコンピュータ端末に装着されると、本発明のように、その使用可否の判定を行うと良い。すなわち、前記外部記憶媒体を装着したコンピュータ端末は、前記外部記憶媒体の装着を判定すると、そのコンピュータ端末のユーザ識別情報と、前記外部記憶媒体に設定された前記使用範囲情報とを用いて、前記外部記憶媒体の使用制限の内容を判定する、外部記憶媒体管理システムのように構成することが出来る。 When an external storage medium in which use range information is set as in the above-described invention is loaded in a computer terminal, it is preferable to determine whether or not the use is possible as in the present invention. That is, when the computer terminal having the external storage medium attached determines that the external storage medium has been attached, the computer terminal user identification information and the use range information set in the external storage medium are used. It can be configured as an external storage medium management system that determines the content of usage restrictions on the external storage medium.
本発明のプログラムをコンピュータ端末に読み込ませて実行することで、請求項1の外部記憶媒体管理システムを実現することが出来る。すなわち、少なくとも一台以上のコンピュータ端末を、外部記憶媒体を装着したコンピュータ端末の操作ログ情報を取得し、前記コンピュータ端末における前記外部記憶媒体へのファイルアクセスに関する操作ログ情報を検出する操作ログ情報検出部、前記検出した操作ログ情報を用いて、ファイルアクセスの対象となったファイルを特定し、そのファイルに対応づけられた使用権限を示すファイル権限情報を取得し、取得したファイル権限情報に基づいて前記外部記憶媒体の使用範囲情報を決定する外部記憶媒体使用範囲決定部、前記決定した使用範囲情報を前記コンピュータ端末の前記外部記憶媒体に設定させる外部記憶媒体使用範囲設定部、として機能させる外部記憶媒体管理プログラムのように構成することも出来る。
The external storage medium management system according to
第2の発明は、使用範囲情報を所定の記憶領域に記憶可能な外部記憶媒体であって、前記外部記憶媒体は、前記外部記憶媒体に記憶されたファイルのファイル権限情報に基づいて決定された使用範囲情報が、前記外部記憶媒体を装着した第1のコンピュータ端末により前記所定の記憶領域に書き込まれ、第2のコンピュータ端末に前記外部記憶媒体が装着されたことを判定した際に、前記書き込まれた使用範囲情報が前記第2のコンピュータ端末に読み出され、前記第2のコンピュータ端末のユーザのユーザ識別情報と前記使用範囲情報とを用いて、前記第2のコンピュータ端末において前記外部記憶媒体の使用制限の内容が判定される、外部記憶媒体である。 A second invention is an external storage medium capable of storing use range information in a predetermined storage area, and the external storage medium is determined based on file authority information of a file stored in the external storage medium The use range information is written to the predetermined storage area by the first computer terminal with the external storage medium attached, and the write is performed when it is determined that the external storage medium is attached to the second computer terminal. The used range information is read by the second computer terminal, and the external storage medium is used in the second computer terminal by using the user identification information of the user of the second computer terminal and the use range information. This is an external storage medium for which the content of usage restrictions is determined.
本発明のように構成することで、外部記憶媒体の使用範囲情報が設定されている場合には、その外部記憶媒体がコンピュータ端末に装着される際に、設定された使用範囲情報に基づいて、外部記憶媒体の使用可否を判定することが出来る。 By configuring as in the present invention, when the usage range information of the external storage medium is set, when the external storage medium is attached to the computer terminal, based on the set usage range information, Whether or not the external storage medium can be used can be determined.
また上述の発明を実施する際に、本発明のプログラムをコンピュータ端末に読み込ませて実行することで、上述の外部記憶媒体を実現することが出来る。すなわち、外部記憶媒体に記憶されたファイルのファイル権限情報に基づいて決定された使用範囲情報を記憶している前記外部記憶媒体の装着を判定したコンピュータ端末を、前記外部記憶媒体を前記コンピュータ端末に装着した際に、前記外部記憶媒体に記憶された使用範囲情報を前記コンピュータ端末に読み出し、前記コンピュータ端末のユーザのユーザ識別情報と前記使用範囲情報とを用いて、前記コンピュータ端末において前記外部記憶媒体の使用制限の内容を判定する手段、として機能させるセキュリティプログラムである。 Further, when the above-described invention is carried out, the above-mentioned external storage medium can be realized by causing the computer terminal to read and execute the program of the present invention. That is, the computer terminal that determines the mounting of the external storage medium storing the usage range information determined based on the file authority information of the file stored in the external storage medium is used as the computer terminal. When attached, the use range information stored in the external storage medium is read out to the computer terminal, and the user identification information of the user of the computer terminal and the use range information are used in the external storage medium in the computer terminal. It is a security program that functions as a means for determining the contents of the usage restrictions.
本発明の外部記憶媒体管理システムによって、USBメモリなどの外部記憶媒体にファイルが保存された場合に、その外部記憶媒体の使用範囲を、当該ファイルの権限情報に基づいて設定することが可能となる。そして、外部記憶媒体がコンピュータ端末に接続された場合に、そのユーザの使用範囲を判定することで、仮に外部記憶媒体を紛失したとしても、それを取得した第三者が自分のコンピュータ端末でそこに記録しているファイルを使用することはできず、一方で、社員が会社から貸与されているラップトップコンピュータに外部記憶媒体を介したコピーなどを行うことは可能となる。 When a file is stored in an external storage medium such as a USB memory by the external storage medium management system of the present invention, it is possible to set the usage range of the external storage medium based on the authority information of the file. . Then, when the external storage medium is connected to the computer terminal, even if the external storage medium is lost by determining the user's range of use, the third party who acquired the external storage medium can do so at his / her computer terminal. On the other hand, it is possible for an employee to make a copy via an external storage medium to a laptop computer lent by the company.
このように本発明の外部記憶媒体管理システムによれば、情報漏洩の防止と日常業務のしやすさとの両立を図ることが可能となる。
Thus, according to the external storage medium management system of the present invention, it is possible to achieve both prevention of information leakage and ease of daily work.
本発明の外部記憶媒体管理システム1の全体の概念図を図1に示す。また本発明の外部記憶媒体管理システム1のシステム構成の概念図を図2に示す。なお外部記憶媒体としては、USBメモリなどの半導体メモリなどの記憶媒体や、光ディスク、光磁気ディスク、磁気ディスクなどが含まれ、コンピュータ端末に接続し、データを記憶させる記憶媒体または記憶装置であれば如何なるものであっても良い。また、ラップトップコンピュータのようなコンピュータ端末、あるいはネットワーク接続ストレージ(Network Attached Storage)なども該当する。さらに携帯電話、PHS、PDA、スマートフォンのような装置であっても良い。
A conceptual diagram of the entire external storage
本発明の外部記憶媒体管理システム1は、各クライアント端末3を管理する管理者が利用するコンピュータ端末またはサーバ(以下、「管理サーバ2」という)において、所定のプログラムが読み込まれ、処理されることにより実現される。管理サーバ2は、各クライアント端末3において、どのようなプログラムが実行されているのか、どのような操作が行われたのか、などを記録することが好ましい。そのため各クライアント端末3には、当該クライアント端末3において実行されているプログラム名、ファイル名などの情報を定期的に、または新たなプログラムやファイルが実行された場合または終了した場合などの所定のタイミングで、クライアント端末3から管理サーバ2にそのプログラム名やファイル名の情報を送信する機能を備えている。プログラム名やファイル名の情報を送信する機能は、クライアント端末3の演算装置20で実行しているプログラム名やファイル名を抽出したり、メモリ内のプログラム名やファイル名を抽出して送信すればよい。つまりいわゆる操作ログ情報をクライアント端末3から管理サーバ2に送信すればよい。なお本明細書においては、プログラム、ファイル、データなどを総称して「ファイル」と称する。
In the external storage
管理サーバ2やクライアント端末3は、プログラムの演算処理を実行するCPUなどの演算装置20と、情報を記憶するRAMやハードディスクなどの記憶装置21と、演算装置20の処理結果や記憶装置21に記憶する情報をインターネットやLANなどのネットワークを介して送受信する通信装置24とを少なくとも有している。コンピュータ上で実現する各機能(各手段)は、その処理を実行する手段(プログラムやモジュールなど)が演算装置20に読み込まれることでその処理が実行される。各機能は、記憶装置21に記憶した情報をその処理において使用する場合には、該当する情報を当該記憶装置21から読み出し、読み出した情報を適宜、演算装置20における処理に用いる。当該コンピュータには、キーボードやマウスやテンキーなどの入力装置23、ディスプレイ(画面)などの表示装置22を有していても良い。図3に管理サーバ2のハードウェア構成の一例を模式的に示す。また、管理サーバ2は、複数のコンピュータ端末またはサーバに、その機能が分散配置されていても良い。
The
本発明における各手段は、その機能が論理的に区別されているのみであって、物理上あるいは事実上は同一の領域を為していても良い。 Each means in the present invention is only logically distinguished in function, and may be physically or practically the same area.
管理サーバ2は、操作ログ情報検出部4と操作ログ情報記憶部5と操作ログ情報抽出部6とファイル権限情報記憶部7とユーザ情報記憶部8と外部記憶媒体使用範囲決定部9と外部記憶媒体使用範囲設定部10とを有する。
The
操作ログ情報検出部4は、各クライアント端末3から定期的にまたは所定のタイミングで、当該クライアント端末3における操作ログ情報を受け取り、その操作ログ情報が、外部記憶媒体へのファイルアクセスを示す操作であるかを監視する。受け取った操作ログ情報は、後述する操作ログ情報記憶部5に、その日時、どのユーザ、どのクライアント端末3における操作ログ情報であるかを識別する情報と共に、記憶させる。なお操作ログ情報としては、各クライアント端末3における操作内容を示す情報であればよく、例えば「ファイルコピー」、「ファイル書込み」、「ファイル選択」、「ファイル削除」、「ファイル別名保存」、「ドライブ追加」、「ドライブ削除」など、当該クライアント端末3のユーザの操作を示す情報が該当する。
The operation log
操作ログ情報は、例えば入力装置23などを用いてユーザにより操作された内容を示す情報、クライアント端末3において実行されるまたは実行された内容であって、ミドルウェアやOSなどにおいて処理されるアプリケーションやハードウェアなどに対する制御を示す情報がある。より具体的には、キー入力、ポインティングデバイスの操作(ボタン押下、移動など)、外部記憶媒体の着脱、外部機器(プリンタなど)との接続、ファイル操作(作成、削除、コピー、移動、ファイル名変更、ファイル読み込み、ファイル書込みなど)、フォルダ操作(作成、削除、コピー、移動、フォルダ名変更など)、アプリケーション操作(起動、終了など)、ドライブの追加・削除・検知、IPアドレス変更、コンピュータ名変更、記憶媒体の書き込み、印刷、クリップボードへのコピーなどを示す情報がある。なおこれらは一例であって限定されるものではない。
The operation log information is, for example, information indicating contents operated by the user using the
なお、管理サーバ2が各クライアント端末3から操作ログ情報を受け取る際にはネットワークを介して受け取っても良いし、操作ログ情報がクライアント端末3においてDVDなどの記録媒体に記録され、その記録媒体が管理サーバ2に読み取られ、そこから操作ログ情報を読み込むことによって受け取っても良い。
When the
また操作ログ情報検出部4は、クライアント端末3から受け取った操作ログ情報に基づいて、当該操作ログ情報が、所定の操作であるかどうかを判定する。所定の操作とは、例えば、外部記憶媒体のファイルへのアクセスを示す操作などがある。例えば、操作ログ情報における操作内容が「ファイル書込み」であり、その保存場所が外部記憶媒体を示す場合には、ファイルが外部記憶媒体へ保存されたと判定できる。また、操作ログ情報における操作内容が「ファイル削除」であり、その保存場所が外部記憶媒体を示す場合には、ファイルが外部記憶媒体から削除されたと判定できる。あるいは、操作ログ情報における操作内容が「ファイル別名保存」であり、その保存場所が外部記憶媒体を示す場合には、外部記憶媒体へ保存されているファイルがファイル別名保存(ファイル名の変更)されたと判定できる。
The operation log
なお監視する対象となる、外部記憶媒体のファイルへのアクセス操作などの所定の操作としては予め操作内容などを定めておくことが好ましいが、必ずしも定めておかなくても良い。 It should be noted that, as a predetermined operation such as an access operation to a file on the external storage medium to be monitored, it is preferable to determine the operation content in advance, but it is not always necessary.
操作ログ情報記憶部5は、操作ログ情報検出部4で各クライアント端末3から受け取った操作ログ情報を記憶する。操作ログ情報には、クライアント端末3を識別する情報、ユーザを識別する情報(ログイン名など)、操作内容を示す情報、操作内容の操作対象となったファイル識別情報(ファイルやアプリケーションの名称)、当該ファイルやアプリケーションの所在位置を示す情報(保存場所などを示す情報)、日時または日時を数値化した情報などが含まれている。操作ログ情報は、これらのすべての項目を含んでいても良いし、一部でも良い。図6に操作ログ情報の一例を示す。
The operation log
なお操作ログ情報は、各クライアント端末3またはそのユーザ(ログイン名など)ごとに記憶することが好ましい。なお操作内容を示す情報を日時などに対応づける場合には、クライアント端末3で行っても良いし、操作ログ情報を管理サーバ2で受け取った際に行っても良いし、或いは操作ログ情報記憶部5で記憶した際に行っても良い。図7に操作ログ情報記憶部5の一例を示す。なお図7ではコンピュータ名(クライアント端末3名)ごとに操作ログ情報を記憶している場合を示している。
The operation log information is preferably stored for each
操作ログ情報抽出部6は、操作ログ情報検出部4において外部記憶媒体へのファイルアクセスが行われたと判定すると、その操作ログ情報を抽出する。
When the operation log information extraction unit 6 determines that the file access to the external storage medium has been performed in the operation log
ファイル権限情報記憶部7は、各ファイルのファイル識別情報とそのファイルの使用権限を示すファイル権限情報とを記憶している。ファイル権限情報は、ファイルの使用が許可もしくは制限されるユーザを示す情報であり、ユーザ識別情報やユーザ属性情報、ユーザの権限レベルを示す情報などが含まれる。ファイル権限情報記憶部7の一例を図8に示す。ファイル権限情報記憶部7では、各ファイルの使用権限を、ユーザ識別情報とファイル識別情報とを対応づけることにより記憶していたり、ユーザの所属情報とファイル識別情報とを対応づけることにより記憶していたり、ユーザの権限を示す情報とファイル識別情報とを対応づけることにより記憶する、ように構成するなど、様々な方式により記憶させておくことが出来る。図8(a)では、ファイル名とそのファイルを使用可能な所属部署とを対応づけて記憶している場合であり、図8(b)では、ファイル名とそのファイルを使用可能なユーザ識別情報とを対応づけて記憶している場合であり、図8(c)では、ファイル名とそのファイルを使用可能なユーザの権限レベルとを対応づけて記憶している場合である。なお上述において、ファイル名の代わりに、ファイルの保存場所情報とファイル権限情報とを対応づけて記憶しても良い。またファイル名の代わりに、ファイル名に含まれるキーワードのリストとファイル権限情報とを対応づけて記憶させ、キーワードをファイル名に含むファイルの使用権限とするようにしても良い。 The file authority information storage unit 7 stores file identification information of each file and file authority information indicating use authority of the file. The file authority information is information indicating a user who is permitted or restricted to use the file, and includes user identification information, user attribute information, information indicating a user authority level, and the like. An example of the file authority information storage unit 7 is shown in FIG. The file authority information storage unit 7 stores the authority to use each file by associating user identification information with file identification information, or by associating user affiliation information with file identification information. Or can be stored by various methods, such as storing information by associating information indicating user authority with file identification information. FIG. 8A shows a case where the file name and the department to which the file can be used are stored in association with each other. In FIG. 8B, the file name and user identification information that can use the file are shown. Are stored in association with each other. In FIG. 8C, the file name and the authority level of the user who can use the file are stored in association with each other. In the above description, file storage location information and file authority information may be stored in association with each other instead of the file name. Further, instead of the file name, a list of keywords included in the file name and file authority information may be stored in association with each other, and the use authority of the file including the keyword in the file name may be used.
ユーザ情報記憶部8は、ユーザ識別情報とユーザの属性情報とを対応づけて記憶している。ユーザの属性情報としては、ユーザの氏名などのほか、所属情報(所属部署、役職など)、権限レベルなどの情報がある。図9にユーザ情報記憶部8の一例を示す。
The user
外部記憶媒体使用範囲決定部9は、操作ログ情報抽出部6で抽出した操作ログ情報におけるファイル識別情報に基づいて、当該外部記憶媒体の使用範囲情報を決定する。つまり、抽出した操作ログ情報の内容が「ファイル書込み」であった場合には、操作ログ情報におけるファイル識別情報を抽出し、当該ファイル識別情報に対応づけられたファイル権限情報をファイル権限情報記憶部7から抽出し、その外部記憶媒体の使用範囲情報を決定する。 The external storage medium use range determination unit 9 determines use range information of the external storage medium based on the file identification information in the operation log information extracted by the operation log information extraction unit 6. That is, when the extracted operation log information is “file write”, the file identification information in the operation log information is extracted, and the file authority information associated with the file identification information is extracted from the file authority information storage unit. 7 to determine the use range information of the external storage medium.
例えば抽出した操作ログ情報の操作内容が「ファイル書込み」であると、そのファイル識別情報「AAAAAAA」を操作ログ情報から抽出する。そしてファイル識別情報「AAAAAAA」に基づいてファイル権限情報記憶部7を参照することにより、当該ファイルのファイル権限情報である使用部署「営業部○○課○G」と使用範囲「部外秘」とを抽出し、それらから外部記憶媒体の使用範囲情報を「営業部」として決定する。上述の場合はファイル権限情報としてファイルにアクセス可能なユーザの所属情報を用いた場合であるが、ほかにもファイル権限情報としてファイルにアクセス可能なユーザの識別情報、ファイルにアクセス可能なユーザの権限情報をファイル権限情報記憶部7から抽出し、それを外部記憶媒体の使用範囲情報として決定することも出来る。また、ファイルを外部記憶媒体に書き込んだユーザのユーザ識別情報をファイル権限情報として用い、そのユーザ識別情報を使用範囲情報として決定することも出来る。 For example, if the operation content of the extracted operation log information is “file write”, the file identification information “AAAAAAA” is extracted from the operation log information. Then, by referring to the file authority information storage unit 7 based on the file identification information “AAAAAAA”, the use department “sales department XX section ○ G” and the use range “confidential” which are the file authority information of the file. And the usage range information of the external storage medium is determined as “sales department”. In the above case, the affiliation information of the user who can access the file is used as the file authority information, but the identification information of the user who can access the file and the authority of the user who can access the file are also used as the file authority information. Information can also be extracted from the file authority information storage unit 7 and determined as use range information of the external storage medium. In addition, user identification information of a user who has written a file to an external storage medium can be used as file authority information, and the user identification information can be determined as usage range information.
外部記憶媒体使用範囲設定部10は、外部記憶媒体使用範囲決定部9で決定した、当該外部記憶媒体の使用範囲情報を、当該外部記憶媒体のファイルにアクセスしたクライアント端末3に対して送信し、その使用範囲情報を当該外部記憶媒体に設定させる。
The external storage medium use
例えば外部記憶媒体使用範囲決定部9で使用範囲情報として、上述の使用部署「営業部○○課○G」と使用範囲「部外秘」から使用部署「営業部」と決定した場合、「営業部」に所属しているユーザがアクセス可能となる。そして、外部記憶媒体使用範囲設定部10はそれらの制御指示を当該クライアント端末3に送信する。そしてこの使用範囲情報を含む制御指示を受け取ったクライアント端末3では、当該クライアント端末3に装着された外部記憶媒体に、使用範囲情報として、管理サーバ2から受け取った使用範囲情報を書き込み、設定する。これによって、外部記憶媒体に使用範囲情報が書き込まれることとなる。
For example, when the external storage medium use range determination unit 9 determines the use department “sales department” from the above-mentioned use department “sales department XX section ○ G” and the use scope “confidential” as the use range information, Users who belong to “Department” can be accessed. Then, the external storage medium usage
ここで外部記憶媒体に使用範囲情報が書き込まれることによって、次に外部記憶媒体がクライアント端末3に装着された場合、その使用範囲情報とクライアント端末3のユーザ(ログイン名など)のユーザ識別情報もしくはユーザの属性情報とを比較することで、当該外部記憶媒体が当該クライアント端末3で使用可能かを判定することが出来る。なお外部記憶媒体は、当該使用範囲情報を記憶する記憶領域を備えており、そこに使用範囲情報を記憶する。
Here, when the use range information is written in the external storage medium, when the external storage medium is next attached to the
次に本発明の外部記憶媒体管理システム1における処理プロセスの一例を図4及び図5のフローチャート、図2のシステム構成の概念図などを用いて説明する。なお以下の説明では外部記憶媒体としてUSBメモリの場合を説明するが、外部記憶媒体がコンピュータ端末などであっても同様に実現できる。またファイル識別情報としてファイル名である場合を説明する。
Next, an example of a processing process in the external storage
まずUSBメモリに、USBメモリごとの使用範囲の情報(使用範囲情報)を事前に記憶させる処理を説明する。 First, a process for preliminarily storing the usage range information (usage range information) for each USB memory in the USB memory will be described.
各クライアント端末3から管理サーバ2に、当該クライアント端末3の操作ログ情報が、定期的にまたは所定のタイミングで送信されている。操作ログ情報は操作ログ情報検出部4で受け取る(S100)。
The operation log information of the
操作ログ情報検出部4で受け取った操作ログ情報は、操作ログ情報記憶部5に記憶させる。操作ログ情報には、当該クライアント端末3を識別する情報、日時の情報などが含まれていることが一般的ではあるが、含まれていない場合には、それらの情報をあわせて受け取ることによって、対応づけて操作ログ情報記憶部5に記憶させる。
The operation log information received by the operation log
また操作ログ情報検出部4は、受け取った操作ログ情報に基づいて、USBメモリへのファイルアクセスの操作であるかを監視し(S110)、当該クライアント端末3において、USBメモリへのファイルアクセスの操作が行われたかを判定する(S120)。
Further, the operation log
USBメモリへのファイルアクセスの操作が行われていないと判定した場合には、操作ログ情報検出部4は、そのまま次の操作ログ情報を受け取るのを待機する。また、USBメモリへのファイルアクセスの操作が行われたと判定した場合には、次の操作ログ情報を受け取るのを待機するとともに、操作ログ情報抽出部6が、当該操作ログ情報を抽出する。例えば、抽出した操作ログ情報が図10であったとする。
When it is determined that the file access operation to the USB memory is not performed, the operation log
例えば、操作ログ情報検出部4がクライアント端末3「ABC12345678」から受け取った操作ログ情報が図10の場合、その操作内容が「ファイル書込み」であり、その保存場所の情報が「外部記憶媒体」を示す情報であるので、USBメモリへのファイルアクセスの操作が行われたと判定し、操作ログ情報抽出部6がこの操作ログ情報を抽出することとなる。
For example, when the operation log information received by the operation log
そして外部記憶媒体使用範囲決定部9は、抽出した操作ログ情報からファイル識別情報「AAAAAAA」を抽出し、抽出したファイル識別情報に基づいてファイル権限情報記憶部7を参照することで、そのファイルのファイル権限情報として使用部署「営業部○○課○G」と使用範囲「部外秘」を取得する(S130)。なおファイル権限情報記憶部7が図8(b)のときにはそのファイルのファイル権限情報として「○○○○、△△△△、□□□□、・・・」といった当該ファイルを使用可能なユーザのユーザ識別情報を取得し、ファイル権限情報記憶部7が図8(c)のときにはそのファイルのファイル権限情報として「権限レベル2」を取得する。
Then, the external storage medium usage range determination unit 9 extracts the file identification information “AAAAAAA” from the extracted operation log information, and refers to the file authority information storage unit 7 based on the extracted file identification information, so that the file Use department “sales department XX section ◯ G” and use range “confidential” are acquired as file authority information (S130). When the file authority information storage unit 7 is as shown in FIG. 8B, a user who can use the file such as “XXXXX, △△△△, □□□□,...” As file authority information of the file. And when the file authority information storage unit 7 is as shown in FIG. 8C, “
以上のようにしてファイル「AAAAAAA」のファイル権限情報を用いて当該USBメモリの使用範囲情報を決定し(S140)、外部記憶媒体使用範囲設定部10が、当該クライアント端末3「ABC12345678」に対して、外部記憶媒体使用範囲決定部9で決定した当該USBメモリの使用範囲情報を、当該USBメモリに設定させる制御指示を送信する。
As described above, the use range information of the USB memory is determined using the file authority information of the file “AAAAAAA” (S140), and the external storage medium use
この制御指示を受け取ったクライアント端末3「ABC12345678」は、制御指示におけるUSBメモリの使用範囲情報を、当該クライアント端末3「ABC12345678」に装着しているUSBメモリに書き込むことで、使用範囲情報をUSBメモリに設定する(S150)。
Upon receiving this control instruction, the
例えば使用範囲情報が、使用部署「営業部」の場合には、それらをUSBメモリに書き込み、使用範囲情報が「○○○○、△△△△、□□□□、・・・」の場合にはそれらをUSBメモリに書き込み、使用範囲情報が「権限レベル2」の場合には、それらをUSBメモリに書き込む。なお使用範囲情報としては、使用部署、ユーザ識別情報、権限レベルなどの外部記憶媒体の使用範囲を示す情報が組み合わされて用いられても良い。
For example, if the usage range information is the sales department “Sales Department”, write them to the USB memory, and the usage range information is “XXXXX, △△△△, □□□□, ...” Are written in the USB memory, and when the usage range information is “
以上のような処理を実行することで、USBメモリに使用範囲情報を設定することが可能となる。なお以上の処理の概略を模式的に示すのが図11である。 By executing the processing as described above, it is possible to set the use range information in the USB memory. FIG. 11 schematically shows the outline of the above processing.
次に、使用範囲情報が設定されたUSBメモリを新たにクライアント端末3に装着した場合を説明する。この場合の処理プロセスを図5に示す。なおここで装着されたクライアント端末3を「DEF12341234」とし、そのユーザのユーザ識別情報を「△△△△」とする。
Next, a case where a USB memory in which usage range information is set is newly attached to the
クライアント端末3「DEF12341234」はUSBメモリが装着されたことを検出すると(S200)、そのクライアント端末3「DEF12341234」にログインしているユーザのユーザ識別情報「△△△△」を取得する。そして取得したユーザ識別情報と、当該USBメモリに設定してある使用範囲情報とを比較することにより(S210)、当該USBメモリが使用可能かどうかを判定する(S220)。
When the
例えばクライアント端末3「DEF12341234」から取得したユーザ識別情報が「△△△△」であり、USBメモリの使用範囲情報が使用部署「営業部」であったとすると、当該クライアント端末3は、ユーザ識別情報「△△△△」に基づいて管理サーバ2のユーザ情報記憶部8を参照することで、当該ユーザの所属情報を取得する。そうするとユーザ識別情報「△△△△」のユーザは、「営業部○○課○G」の「グループ員」であるとの所属情報を取得できるので、USBメモリの使用部署「営業部」と比較すると、USBメモリは使用可能であると判定できる。
For example, if the user identification information acquired from the
またUSBメモリの使用範囲情報が「○○○○、△△△△、□□□□、・・・」であったとすると、当該クライアント端末3は、ユーザ識別情報「△△△△」と比較する。そうすると当該ユーザのユーザ識別情報が含まれていることから、USBメモリは使用可能であると判定できる。
If the USB memory usage range information is “XXXXX, △△△△, □□□□,...”, The
更にUSBメモリの使用範囲情報が「権限レベル2」であったとすると、当該クライアント端末3は、ユーザ識別情報「△△△△」に基づいて管理サーバ2のユーザ情報記憶部8を参照することで、当該ユーザの権限レベル情報「権限レベル2」を取得する。そうすると取得したユーザの権限レベル情報「権限レベル2」と、USBメモリの使用範囲情報「権限レベル2」とを比較すると、ユーザの権限レベル情報「権限レベル2」はUSBメモリの使用範囲情報以上なので、USBメモリは使用可能であると判定できる。
Further, if the usage range information of the USB memory is “
このようにしてクライアント端末3でUSBメモリを使用可能と判定した場合、当該クライアント端末3は、当該USBメモリを使用許可とする(S230)。またクライアント端末3でUSBメモリを使用不可能と判定した場合、当該クライアント端末3は、当該USBメモリを使用不許可とし、所定の制御処理を実行する(S240)。
When it is determined that the USB memory can be used in the
なお使用不許可とした場合には、例えば当該USBメモリまたはUSBメモリに記憶しているファイルへのアクセスを拒否する、USBメモリのデバイスとしての認識を取り消す、USBメモリに記憶しているファイルを暗号化処理や削除処理する、ファイルの読み出し処理のみ可能とする、ファイルの書込み処理のみ可能とする、などの制御処理がある。 If the use is not permitted, for example, access to the USB memory or a file stored in the USB memory is denied, recognition of the USB memory as a device is canceled, or a file stored in the USB memory is encrypted. There are control processes such as enabling or deleting a file, enabling only a file reading process, and enabling only a file writing process.
なお以上のようなクライアント端末3におけるS210以降の処理については、それを実行するプログラムをUSBメモリに記憶しておき、USBメモリがクライアント端末3に装着された段階で、そのプログラムをクライアント端末3に読み込まれ実行することが好ましい。またこのプログラムを予めクライアント端末3に備えていても良いし、S150において、外部記憶媒体使用範囲設定部10が当該クライアント端末3に、使用範囲情報を送信する場合の制御指示と併せて送信し、クライアント端末3が、USBメモリに使用範囲情報と当該プログラムとを書き込んでも良い。
As for the processing after S210 in the
上述の実施例1では、ファイルがUSBメモリに保存された場合に、そのUSBメモリに当該ファイルのファイル権限情報を用いて使用範囲情報を決定し設定した場合を説明したが、本実施例では、ファイルをUSBメモリから削除した場合に、そのUSBメモリから当該ファイルに対応する使用範囲情報を削除設定する場合を説明する。 In the above-described first embodiment, when the file is stored in the USB memory, the use range information is determined and set in the USB memory using the file authority information of the file. However, in the present embodiment, A case will be described in which when the file is deleted from the USB memory, the use range information corresponding to the file is deleted from the USB memory.
各クライアント端末3から管理サーバ2に、当該クライアント端末3の操作ログ情報が、定期的にまたは所定のタイミングで送信されている。操作ログ情報は操作ログ情報検出部4で受け取る(S100)。
The operation log information of the
操作ログ情報検出部4で受け取った操作ログ情報は、操作ログ情報記憶部5に記憶させる。操作ログ情報には、当該クライアント端末3を識別する情報、日時の情報などが含まれていることが一般的ではあるが、含まれていない場合には、それらの情報をあわせて受け取ることによって、対応づけて操作ログ情報記憶部5に記憶させる。
The operation log information received by the operation log
また操作ログ情報検出部4は、受け取った操作ログ情報に基づいて、USBメモリへのファイルアクセスの操作であるかを監視し(S110)、当該クライアント端末3において、USBメモリへのファイルアクセスの操作が行われたかを判定する(S120)。
Further, the operation log
USBメモリへのファイルアクセスの操作が行われていないと判定した場合には、操作ログ情報検出部4は、そのまま次の操作ログ情報を受け取るのを待機する。また、USBメモリへのファイルアクセスの操作が行われたと判定した場合には、次の操作ログ情報を受け取るのを待機するとともに、操作ログ情報抽出部6が、当該操作ログ情報を抽出する。例えば、抽出した操作ログ情報が図12であったとする。
When it is determined that the file access operation to the USB memory is not performed, the operation log
例えば、操作ログ情報検出部4がクライアント端末3「ABC12345678」から受け取った操作ログ情報が図12の場合、その操作内容が「ファイル削除」であり、その保存場所の情報が「外部記憶媒体」を示す情報であるので、USBメモリへのファイルアクセスの操作が行われたと判定し、操作ログ情報抽出部6がこの操作ログ情報を抽出することとなる。
For example, when the operation log information received by the operation log
ファイル削除の操作が行われたことを判定すると、USBメモリからその使用範囲情報を削除すればよいので、外部記憶媒体使用範囲設定部10は、当該クライアント端末3「ABC12345678」に対して、USBメモリに設定してある、ファイル「AAAAAAA」のファイル権限情報を用いて決定し設定されていたUSBメモリの使用範囲情報の削除の制御指示を送信する。そしてその制御指示を受け取ったクライアント端末3では、当該USBメモリに設定されている(書き込まれている)使用範囲情報を削除する。
If it is determined that the file deletion operation has been performed, the usage range information may be deleted from the USB memory. Therefore, the external storage medium usage
このような処理によって、USBメモリからすべてのファイルが削除された場合には、USBメモリの使用範囲情報を削除することが可能となる。 By such processing, when all files are deleted from the USB memory, it is possible to delete the usage range information of the USB memory.
次に複数のファイルがUSBメモリに記憶される場合の使用範囲情報の設定処理を説明する。なお本実施例では、すでにUSBメモリにファイル「AAAAAAA」が保存されており、そのUSBメモリには使用範囲情報として、「営業部」が設定されている場合を説明する。 Next, use range information setting processing when a plurality of files are stored in the USB memory will be described. In this embodiment, the case where the file “AAAAAAA” is already stored in the USB memory and “sales department” is set as the usage range information in the USB memory will be described.
各クライアント端末3から管理サーバ2に、当該クライアント端末3の操作ログ情報が、定期的にまたは所定のタイミングで送信されている。操作ログ情報は操作ログ情報検出部4で受け取る(S100)。
The operation log information of the
操作ログ情報検出部4で受け取った操作ログ情報は、操作ログ情報記憶部5に記憶させる。操作ログ情報には、当該クライアント端末3を識別する情報、日時の情報などが含まれていることが一般的ではあるが、含まれていない場合には、それらの情報をあわせて受け取ることによって、対応づけて操作ログ情報記憶部5に記憶させる。
The operation log information received by the operation log
また操作ログ情報検出部4は、受け取った操作ログ情報に基づいて、USBメモリへのファイルアクセスの操作であるかを監視し(S110)、当該クライアント端末3において、USBメモリへのファイルアクセスの操作が行われたかを判定する(S120)。
Further, the operation log
USBメモリへのファイルアクセスの操作が行われていないと判定した場合には、操作ログ情報検出部4は、そのまま次の操作ログ情報を受け取るのを待機する。また、USBメモリへのファイルアクセスの操作が行われたと判定した場合には、次の操作ログ情報を受け取るのを待機するとともに、操作ログ情報抽出部6が、当該操作ログ情報を抽出する。例えば、抽出した操作ログ情報が図13であったとする。
When it is determined that the file access operation to the USB memory is not performed, the operation log
例えば、操作ログ情報検出部4がクライアント端末3「ABC12345678」から受け取った操作ログ情報が図13の場合、その操作内容が「ファイル書込み」であり、その保存場所の情報が「外部記憶媒体」を示す情報であるので、USBメモリへのファイルアクセスの操作が行われたと判定し、操作ログ情報抽出部6がこの操作ログ情報を抽出することとなる。
For example, when the operation log information received from the
そして外部記憶媒体使用範囲決定部9は、抽出した操作ログ情報からファイル識別情報「BBBBBBB」を抽出し、抽出したファイル識別情報に基づいてファイル権限情報記憶部7を参照することで、そのファイルのファイル権限情報として使用部署「営業部○○課○G」と使用範囲「課外秘」を取得する(S130)。なおファイル権限情報記憶部7が図8(b)のときにはそのファイルのファイル権限情報として「●●●●、▲▲▲▲、■■■■、・・・」といった当該ファイルを使用可能なユーザのユーザ識別情報を取得し、ファイル権限情報記憶部7が図8(c)のときにはそのファイルのファイル権限情報として「権限レベル4」を取得する。
Then, the external storage medium usage range determination unit 9 extracts the file identification information “BBBBBBB” from the extracted operation log information, and refers to the file authority information storage unit 7 based on the extracted file identification information. Use department “sales department XX section ◯ G” and use range “extra secret” are acquired as file authority information (S130). When the file authority information storage unit 7 is shown in FIG. 8B, the user who can use the file such as “●●●●, ▲▲▲▲, ■■■■,... And when the file authority information storage unit 7 is as shown in FIG. 8C, “
管理サーバ2は、クライアント端末3から当該USBメモリにすでに設定されている使用範囲情報を取得する。ここでは、使用範囲情報として「営業部」が設定されているので、この情報を取得する。そして取得したファイルのファイル権限情報と、取得したUSBメモリにすでに設定されている使用範囲情報とを比較し、いずれか厳しい使用範囲情報を当該USBメモリの使用範囲情報として決定する。ここでは、すでに設定されている使用部署「営業部」よりも、ファイル識別情報「BBBBBBB」のファイル権限情報である使用部署「営業部○○課○○G」使用範囲「課外秘」に基づく使用範囲情報「営業部○○課」の方が厳しいので、「営業部○○課」を新たな使用範囲情報として設定する。
The
またUSBメモリの使用範囲情報として「●●●●、▲▲▲▲、■■■■、・・・」といった当該ファイルを使用可能なユーザのユーザ識別情報が設定されている場合には、ファイルのファイル権限情報のユーザ識別情報と、すでに使用範囲情報としてUSBメモリに設定されているユーザのユーザ識別情報とを比較し、重複するユーザのユーザ識別情報のみを使用範囲情報として設定する。 In addition, if user identification information of a user who can use the file such as “●●●●, ▲▲▲▲, ■■■■,... The user identification information of the file authority information is compared with the user identification information of the user already set in the USB memory as the usage range information, and only the user identification information of the overlapping user is set as the usage range information.
更に使用範囲情報として「権限レベル2」といった権限レベルが設定されている場合には、ファイルのファイル権限情報の権限レベルと、すでに使用範囲情報としてUSBメモリに設定されている権限レベルとを比較し、より高い権限レベルを使用範囲情報として設定する。
Further, when the authority level such as “
なお厳しい使用範囲情報とは、上述のように、取得したファイルのファイル権限情報と、すでにUSBメモリに設定されている使用範囲情報とを比較し、そのうち、制限範囲が多い、使用範囲が少ない、使用範囲に含まれているユーザの人数が少ない、あるいは使用範囲の権限レベル(監視レベル)が高い、などの条件を充足した使用範囲情報である。例えば各ファイルのファイル権限情報についてAND条件を充足する使用範囲情報がある。 As described above, the strict usage range information is a comparison between the file authority information of the acquired file and the usage range information already set in the USB memory. Of these, the restriction range is large, the usage range is small, This is usage range information that satisfies conditions such as a small number of users included in the usage range or a high authority level (monitoring level) of the usage range. For example, there is usage range information that satisfies the AND condition for the file authority information of each file.
以上のようにして当該USBメモリの使用範囲情報を決定し(S140)、外部記憶媒体使用範囲設定部10が、当該クライアント端末3「ABC12345678」に対して、外部記憶媒体使用範囲決定部9で決定した当該USBメモリの使用範囲情報を、当該USBメモリに設定させる制御指示を送信する。
As described above, the USB memory use range information is determined (S140), and the external storage medium use
この制御指示を受け取ったクライアント端末3「ABC12345678」は、制御指示におけるUSBメモリの使用範囲情報を、当該クライアント端末3「ABC12345678」に装着しているUSBメモリに書き込むことで、使用範囲情報をUSBメモリに設定する(S150)。
Upon receiving this control instruction, the
以上のような処理を実行することで、USBメモリに使用範囲情報を設定することが可能となる。なお以上の処理の概略を模式的に示すのが図14である。 By executing the processing as described above, it is possible to set the use range information in the USB memory. FIG. 14 schematically shows the outline of the above processing.
上述では、USBメモリに複数のファイルが保存された場合でも、予め使用範囲情報をUSBメモリに設定する場合を説明したが、ファイルへのアクセス時にUSBメモリの使用範囲情報を決定しても良い。 In the above description, even when a plurality of files are stored in the USB memory, the use range information is set in the USB memory in advance. However, the use range information of the USB memory may be determined when the file is accessed.
すなわち図15に示すように、USBメモリに保存されているファイル毎に判定した使用範囲情報を当該USBメモリに記憶しておき、そのうちの最も厳しい使用範囲情報をUSBメモリの使用範囲情報として用いても良い。 That is, as shown in FIG. 15, the use range information determined for each file stored in the USB memory is stored in the USB memory, and the strictest use range information is used as the use range information of the USB memory. Also good.
なお図15のように、USBメモリに保存されているファイル毎に判定した使用範囲情報を記憶している場合、予めUSBメモリの使用範囲情報を判定し設定しておくのではなく、当該USBメモリを装着したクライアント端末3から、USBメモリに保存したファイルへのアクセスを受け付けたときに、そのアクセスした操作を検出したタイミングでUSBメモリの使用範囲情報を決定し、図5のS210乃至S240の処理を実行するようにしても良い。
As shown in FIG. 15, when the usage range information determined for each file stored in the USB memory is stored, the usage range information of the USB memory is not determined and set in advance. When the access to the file stored in the USB memory is received from the
このように構成することで、ファイル毎に判定した使用範囲情報に従って設定することが可能となる。 With this configuration, it is possible to set according to the usage range information determined for each file.
ファイルをUSBメモリから削除した場合に、新たにそのUSBメモリの使用範囲情報を設定する場合を説明する。なお本実施例においては、当該USBメモリにファイル「AAAAAAA」、「BBBBBBB」が保存されており、図15に示す使用範囲情報がUSBメモリに設定されているとする。 A case will be described in which, when a file is deleted from a USB memory, usage range information of the USB memory is newly set. In this embodiment, it is assumed that the files “AAAAAAA” and “BBBBBBB” are stored in the USB memory, and the use range information shown in FIG. 15 is set in the USB memory.
各クライアント端末3から管理サーバ2に、当該クライアント端末3の操作ログ情報が、定期的にまたは所定のタイミングで送信されている。操作ログ情報は操作ログ情報検出部4で受け取る(S100)。
The operation log information of the
操作ログ情報検出部4で受け取った操作ログ情報は、操作ログ情報記憶部5に記憶させる。操作ログ情報には、当該クライアント端末3を識別する情報、日時の情報などが含まれていることが一般的ではあるが、含まれていない場合には、それらの情報をあわせて受け取ることによって、対応づけて操作ログ情報記憶部5に記憶させる。
The operation log information received by the operation log
また操作ログ情報検出部4は、受け取った操作ログ情報に基づいて、USBメモリへのファイルアクセスの操作であるかを監視し(S110)、当該クライアント端末3において、USBメモリへのファイルアクセスの操作が行われたかを判定する(S120)。
Further, the operation log
USBメモリへのファイルアクセスの操作が行われていないと判定した場合には、操作ログ情報検出部4は、そのまま次の操作ログ情報を受け取るのを待機する。また、USBメモリへのファイルアクセスの操作が行われたと判定した場合には、次の操作ログ情報を受け取るのを待機するとともに、操作ログ情報抽出部6が、当該操作ログ情報を抽出する。例えば、抽出した操作ログ情報が図16であったとする。
When it is determined that the file access operation to the USB memory is not performed, the operation log
例えば、操作ログ情報検出部4がクライアント端末3「ABC12345678」から受け取った操作ログ情報が図16の場合、その操作内容が「ファイル削除」であり、その保存場所の情報が「外部記憶媒体」を示す情報であるので、USBメモリへのファイルアクセスの操作が行われたと判定し、操作ログ情報抽出部6がこの操作ログ情報を抽出することとなる。
For example, when the operation log information received from the
ファイル削除の操作が行われたことを判定すると、USBメモリからそのファイルの使用範囲情報のみを削除すればよいので、外部記憶媒体使用範囲設定部10は、当該クライアント端末3「ABC12345678」に対して、USBメモリに設定してある、ファイル「BBBBBBB」の使用範囲情報の削除の制御指示を送信する。そしてその制御指示を受け取ったクライアント端末3では、当該USBメモリに設定されている(書き込まれている)、ファイル「BBBBBBB」の使用範囲情報を削除する。削除後の使用範囲情報は図17のようになる。
When it is determined that the file deletion operation has been performed, only the usage range information of the file needs to be deleted from the USB memory, so the external storage medium usage
このような処理によって、ファイル「BBBBBBB」の使用範囲情報が削除されることとなる。 Through such processing, the usage range information of the file “BBBBBBB” is deleted.
なおファイルごとに使用範囲情報を設定している場合には、クライアント端末3「ABC12345678」では、当該USBメモリ内のファイルの削除後の使用範囲情報として、図17に示すような削除後にUSBメモリ内に残っているファイルの使用範囲情報から最も厳しい使用範囲情報を特定し、それを新たな使用範囲情報として設定し、更新する(USBメモリに書き込む)。上述の場合では、USBメモリの使用範囲情報として、削除前までは「営業部○○課」であったのが、削除後には「営業部」に変更されることとなる。
When the usage range information is set for each file, the
以上のような処理を実行することで、USBメモリに保存しているファイルが削除された場合であっても、USBメモリの使用範囲情報を適切に更新することが出来る。 By executing the processing as described above, even if the file stored in the USB memory is deleted, the usage range information of the USB memory can be updated appropriately.
上述の実施例1乃至実施例4においては、ファイルのファイル権限情報やUSBメモリの使用範囲情報として使用部署と使用範囲、使用可能ユーザ、権限レベルといった場合を説明したが、それ以外にもファイル名とユーザとを対応づけておき、さらにそのユーザごとに可能な操作を使用範囲情報として設定しても良い。例えばユーザAについてはファイル読込操作のみ、ユーザBについてはファイル書込操作のみ、ユーザCについてはファイル読込/書込操作のみ、といったようにユーザごとに可能な操作の制限を行っても良い。なおユーザのみならず、部署や権限レベルによって可能な操作の制限を行うことももちろん可能である。 In the first to fourth embodiments, the file authority information of the file and the use range information of the USB memory have been described such as the use department and use range, the usable user, and the authority level. And a user may be associated with each other, and an operation that can be performed for each user may be set as use range information. For example, for user A, only file read operation, for user B only file write operation, for user C, only file read / write operation may be restricted for each user. Of course, it is possible to limit the operations that can be performed not only by the user but also by the department and authority level.
また上述の実施例1乃至実施例4においては、USBメモリに複数のファイルが保存されている場合、USBメモリの使用範囲情報として、各ファイルのもっとも厳しいファイル権限情報を設定する場合を説明したが、もっとも緩い使用範囲情報や各ファイルのファイル権限情報についてOR条件を充足する使用範囲などを使用範囲情報として設定するようにしても良い。 In the first to fourth embodiments described above, when a plurality of files are stored in the USB memory, the case where the strictest file authority information of each file is set as the usage range information of the USB memory has been described. Alternatively, the use range information that satisfies the OR condition for the loosest use range information or the file authority information of each file may be set as the use range information.
例えばファイルAのファイル権限情報として使用部署が「営業部」、使用範囲が「部外秘」、ファイルBのファイル権限情報として使用部署が「総務課」、使用範囲が「課外秘」であった場合、当該USBメモリの使用範囲情報として、「営業部または総務課」として設定することも出来る。 For example, as the file authority information of file A, the department used is “sales department”, the usage range is “secret”, the file authority information of file B is “general affairs department”, and the usage scope is “extra secret”. In this case, as the usage range information of the USB memory, “sales department or general affairs section” can be set.
あるいはファイルAのファイル権限情報としてユーザ「○○○○、△△△△、□□□□」であり、ファイルBのファイル権限情報としてユーザ「●●●●、▲▲▲▲、■■■■」であった場合、当該USBメモリの使用範囲情報として、ユーザ「○○○○、△△△△、□□□□、●●●●、▲▲▲▲、■■■■」のように設定することも出来る。 Alternatively, the file authority information of the file A is the user “XXXXX, △△△△, □□□□”, and the file authority information of the file B is the user “●●●●, ▲▲▲▲, ■■■ ””, The usage range information of the USB memory is the user “XXXXX, △△△△, □□□□, ●●●●, ▲▲▲▲, ■■■■” Can also be set.
さらにファイルAのファイル権限情報として権限レベル「2」、ファイルBのファイル権限情報として権限レベル「4」であった場合、当該USBメモリの使用範囲情報として権限レベル「2」を設定することが出来る。 Further, when the authority level “2” is set as the file authority information of the file A and the authority level “4” is set as the file authority information of the file B, the authority level “2” can be set as the use range information of the USB memory. .
このように当該USBメモリに記憶されているファイルのファイル権限情報のうち、各ファイルのファイル権限情報のOR条件を採ったものを当該USBメモリの使用範囲情報として設定するように構成しても良い。 As described above, among the file authority information of the files stored in the USB memory, information using the OR condition of the file authority information of each file may be set as the usage range information of the USB memory. .
本発明の外部記憶媒体管理システム1の各機能は、クライアント端末3、管理サーバ2において適宜、分散配置していても良い。
Each function of the external storage
例えばクライアント端末3に操作ログ情報検出部4、外部記憶媒体使用範囲決定部9、外部記憶媒体使用範囲設定部10を備えることも出来る。
For example, the operation log
なお分散配置のバリエーションには様々なパターンがあり、如何なる配置形態であっても良い。これらの場合、クライアント端末3、管理サーバ2における処理の際に、ほかのコンピュータ端末やサーバの機能を利用する場合にはその問い合わせを当該ほかのコンピュータ端末やサーバに対して行い、その結果を受け取ることで処理に用いる。そしてその処理結果を実行することとなる。
Note that there are various patterns of variations in the distributed arrangement, and any arrangement form may be used. In these cases, when using the functions of another computer terminal or server during processing in the
上述の外部記憶媒体管理システム1によって、USBメモリなどの外部記憶媒体にファイルが保存された場合に、その外部記憶媒体の使用範囲を、当該ファイルの使用範囲などに基づいて設定することが可能となる。そして、外部記憶媒体がコンピュータ端末に接続された場合に、そのユーザなどが使用範囲であるかを判定することで、仮に外部記憶媒体を紛失したとしても、それを取得した第三者が自分のコンピュータ端末でそこに記録しているファイルを使用することはできず、一方で、社員が会社から貸与されているラップトップコンピュータに外部記憶媒体を介したコピーなどを行うことは可能となる。
When a file is stored in an external storage medium such as a USB memory by the external storage
このように本発明の外部記憶媒体管理システム1によれば、情報漏洩の防止と日常業務のしやすさとの両立を図ることが可能となる。
Thus, according to the external storage
1:外部記憶媒体管理システム
2:管理サーバ
3:クライアント端末
4:操作ログ情報検出部
5:操作ログ情報記憶部
6:操作ログ情報抽出部
7:ファイル権限情報記憶部
8:ユーザ情報記憶部
9:外部記憶媒体使用範囲決定部
10:外部記憶媒体使用範囲設定部
20:演算装置
21:記憶装置
22:表示装置
23:入力装置
24:通信装置
1: External storage medium management system 2: Management server 3: Client terminal 4: Operation log information detection unit 5: Operation log information storage unit 6: Operation log information extraction unit 7: File authority information storage unit 8: User information storage unit 9 : External storage medium use range determining unit 10: External storage medium use range setting unit 20: Computing device 21: Storage device 22: Display device 23: Input device 24: Communication device
Claims (5)
前記外部記憶媒体管理システムは、
前記外部記憶媒体を装着したコンピュータ端末の操作ログ情報を取得し、前記コンピュータ端末における前記外部記憶媒体へのファイルアクセスに関する操作ログ情報を検出する操作ログ情報検出部と、
前記検出した操作ログ情報を用いて、ファイルアクセスの対象となったファイルを特定し、そのファイルに対応づけられた使用権限を示すファイル権限情報を取得し、取得したファイル権限情報に基づいて前記外部記憶媒体の使用範囲情報を決定する外部記憶媒体使用範囲決定部と、
前記決定した使用範囲情報を前記コンピュータ端末の前記外部記憶媒体に設定させる外部記憶媒体使用範囲設定部と、
を有することを特徴とする外部記憶媒体管理システム。 An external storage medium management system for setting usage range information in an external storage medium,
The external storage medium management system includes:
An operation log information detection unit that acquires operation log information of a computer terminal equipped with the external storage medium and detects operation log information related to file access to the external storage medium in the computer terminal;
The detected operation log information is used to identify the file that is the target of file access, to acquire file authority information indicating the usage authority associated with the file, and based on the acquired file authority information, the external An external storage medium usage range determination unit for determining storage medium usage range information;
An external storage medium use range setting unit for setting the determined use range information in the external storage medium of the computer terminal;
An external storage medium management system comprising:
前記外部記憶媒体の装着を判定すると、そのコンピュータ端末のユーザ識別情報と、前記外部記憶媒体に設定された前記使用範囲情報とを用いて、前記外部記憶媒体の使用制限の内容を判定する、
ことを特徴とする請求項1に記載の外部記憶媒体管理システム。 The computer terminal equipped with the external storage medium is
When determining the mounting of the external storage medium, the user identification information of the computer terminal and the usage range information set in the external storage medium are used to determine the content of usage restrictions on the external storage medium.
The external storage medium management system according to claim 1.
外部記憶媒体を装着したコンピュータ端末の操作ログ情報を取得し、前記コンピュータ端末における前記外部記憶媒体へのファイルアクセスに関する操作ログ情報を検出する操作ログ情報検出部、
前記検出した操作ログ情報を用いて、ファイルアクセスの対象となったファイルを特定し、そのファイルに対応づけられた使用権限を示すファイル権限情報を取得し、取得したファイル権限情報に基づいて前記外部記憶媒体の使用範囲情報を決定する外部記憶媒体使用範囲決定部、
前記決定した使用範囲情報を前記コンピュータ端末の前記外部記憶媒体に設定させる外部記憶媒体使用範囲設定部、
として機能させることを特徴とする外部記憶媒体管理プログラム。 At least one computer terminal
An operation log information detection unit that acquires operation log information of a computer terminal equipped with an external storage medium and detects operation log information related to file access to the external storage medium in the computer terminal;
The detected operation log information is used to identify the file that is the target of file access, to acquire file authority information indicating the usage authority associated with the file, and based on the acquired file authority information, the external An external storage medium usage range determination unit for determining storage medium usage range information;
An external storage medium use range setting unit for setting the determined use range information in the external storage medium of the computer terminal;
An external storage medium management program that functions as a storage medium.
前記外部記憶媒体は、
前記外部記憶媒体に記憶されたファイルのファイル権限情報に基づいて決定された使用範囲情報が、前記外部記憶媒体を装着した第1のコンピュータ端末により前記所定の記憶領域に書き込まれ、
第2のコンピュータ端末に前記外部記憶媒体が装着されたことを判定した際に、前記書き込まれた使用範囲情報が前記第2のコンピュータ端末に読み出され、前記第2のコンピュータ端末のユーザのユーザ識別情報と前記使用範囲情報とを用いて、前記第2のコンピュータ端末において前記外部記憶媒体の使用制限の内容が判定される、
ことを特徴とする外部記憶媒体。 An external storage medium capable of storing use range information in a predetermined storage area,
The external storage medium is
Usage range information determined based on file authority information of a file stored in the external storage medium is written to the predetermined storage area by a first computer terminal on which the external storage medium is mounted,
When it is determined that the external storage medium is attached to the second computer terminal, the written usage range information is read to the second computer terminal, and the user of the user of the second computer terminal Using the identification information and the usage range information, the content of usage restrictions on the external storage medium is determined in the second computer terminal.
An external storage medium characterized by the above.
前記外部記憶媒体を前記コンピュータ端末に装着した際に、前記外部記憶媒体に記憶された使用範囲情報を前記コンピュータ端末に読み出し、前記コンピュータ端末のユーザのユーザ識別情報と前記使用範囲情報とを用いて、前記コンピュータ端末において前記外部記憶媒体の使用制限の内容を判定する手段、
として機能させることを特徴とするセキュリティプログラム。 A computer terminal that determines the mounting of the external storage medium storing use range information determined based on file authority information of a file stored in the external storage medium,
When the external storage medium is attached to the computer terminal, the use range information stored in the external storage medium is read to the computer terminal, and the user identification information of the user of the computer terminal and the use range information are used. Means for determining the contents of usage restrictions on the external storage medium in the computer terminal;
Security program characterized by functioning as
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008181748A JP4928505B2 (en) | 2008-07-11 | 2008-07-11 | External storage medium management system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008181748A JP4928505B2 (en) | 2008-07-11 | 2008-07-11 | External storage medium management system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010020624A true JP2010020624A (en) | 2010-01-28 |
JP4928505B2 JP4928505B2 (en) | 2012-05-09 |
Family
ID=41705436
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008181748A Active JP4928505B2 (en) | 2008-07-11 | 2008-07-11 | External storage medium management system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4928505B2 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013084115A (en) * | 2011-10-07 | 2013-05-09 | Fujitsu Ltd | Determination program and determination device |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004054473A (en) * | 2002-07-18 | 2004-02-19 | Renesas Technology Corp | Memory card, information apparatus and information distribution method |
JP2006244302A (en) * | 2005-03-04 | 2006-09-14 | Canon Inc | Document management system, document processing device, document processing control method, and program |
JP2009026228A (en) * | 2007-07-23 | 2009-02-05 | Sky Kk | Data security control system |
-
2008
- 2008-07-11 JP JP2008181748A patent/JP4928505B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004054473A (en) * | 2002-07-18 | 2004-02-19 | Renesas Technology Corp | Memory card, information apparatus and information distribution method |
JP2006244302A (en) * | 2005-03-04 | 2006-09-14 | Canon Inc | Document management system, document processing device, document processing control method, and program |
JP2009026228A (en) * | 2007-07-23 | 2009-02-05 | Sky Kk | Data security control system |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013084115A (en) * | 2011-10-07 | 2013-05-09 | Fujitsu Ltd | Determination program and determination device |
Also Published As
Publication number | Publication date |
---|---|
JP4928505B2 (en) | 2012-05-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9219752B2 (en) | Data leak prevention systems and methods | |
US10404708B2 (en) | System for secure file access | |
US8499152B1 (en) | Data positioning and alerting system | |
US7793110B2 (en) | Posture-based data protection | |
US8898802B2 (en) | Electronic computer data management method, program, and recording medium | |
US7673324B2 (en) | Method and system for tracking an operating performed on an information asset with metadata associated therewith | |
US8844059B1 (en) | Method and apparatus for preventing data loss through screen capture | |
US20110239306A1 (en) | Data leak protection application | |
JP2010026662A (en) | Information leakage prevention system | |
US9418232B1 (en) | Providing data loss prevention for copying data to unauthorized media | |
JP4850159B2 (en) | External device management system | |
JP4044126B1 (en) | Information leakage prevention device, information leakage prevention program, information leakage prevention recording medium, and information leakage prevention system | |
JPWO2006103752A1 (en) | How to control document copying | |
JP2007310822A (en) | Information processing system and information control program | |
JP4830576B2 (en) | Information processing apparatus, data management method, program | |
KR101233810B1 (en) | Apparatus and method of managing system resources of computer and processes | |
JP4138854B1 (en) | External device management system | |
JP4928505B2 (en) | External storage medium management system | |
JP4896656B2 (en) | Security management system | |
JP2006277645A (en) | Illicit use prevention system and illicit use recording system for computer | |
JP2009151499A (en) | Information processing system, information processor, its control method, and program | |
JP4087434B1 (en) | Data security control system | |
JP2011198256A (en) | Content protection device | |
JP4928507B2 (en) | File management system | |
JP2010049365A (en) | File management system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100915 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120130 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120207 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120210 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150217 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4928505 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150217 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |