JP2011039953A - 仮想シンクライアント化装置、仮想シンクライアント化システム、仮想シンクライアント化プログラム、及び仮想シンクライアント化方法 - Google Patents
仮想シンクライアント化装置、仮想シンクライアント化システム、仮想シンクライアント化プログラム、及び仮想シンクライアント化方法 Download PDFInfo
- Publication number
- JP2011039953A JP2011039953A JP2009188887A JP2009188887A JP2011039953A JP 2011039953 A JP2011039953 A JP 2011039953A JP 2009188887 A JP2009188887 A JP 2009188887A JP 2009188887 A JP2009188887 A JP 2009188887A JP 2011039953 A JP2011039953 A JP 2011039953A
- Authority
- JP
- Japan
- Prior art keywords
- api
- access
- access destination
- execution means
- api execution
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
【解決手段】 AP(アプリケーションプログラム)と、API(APインタフェース)と、周辺機器を備えた装置であって、APによりAPIの呼び出し処理が行われたときに、APIがファイルアクセスを行うものである場合、当該呼び出し処理をフックするフック手段と、フック処理が行われると、APIによるアクセス先が、アクセス不許可にする対象のアクセス先であるか否かを判定するアクセス先判定手段とを備え、フック手段は、API実行手段によるアクセス先が、アクセス不許可にする対象のアクセス先でない場合にのみAPI実行手段の呼び出し処理を許可し、アクセス不許可にする対象のアクセス先である場合に、AP実行手段へエラーを出力する仮想シンクライアント化装置とする。
【選択図】 図1
Description
このシンクライアント装置には、表示や入力など最低限の機能のみを持った専用のコンピュータが用いられ、アプリケーションソフトなどの資源をサーバ側で一元管理することによって、情報システムの運用コストや管理コストの低減化が図られている。
このため、シンクライアント装置は、情報漏洩防止の有効な手段としても注目されている。
まず、特許文献1に記載のシンクライアント技術では、クライアント装置に仮想ハードウェアを設け、この仮想ハードウェア上で、サーバ装置から送信されたイメージデータに含まれるOSプログラムを実行し、このOS上で、サーバ装置から送信されたイメージデータに含まれるアプリケーションプログラムを実行して、各種処理を行わせている。そして、処理終了後に、クライアント装置に記憶されているイメージデータを削除することにより、シンクライアントシステムを実現している。
これによって、クライアント装置の外部出力手段の出力可否状態を自動的に移行し、外部出力手段の機能が制限された状態においてのみクライアント装置に管理対象データ等に関する情報処理を実行可能とされている。
元来、シンクライアント技術は、サーバ装置でアプリケーションソフトやファイルなどに関する処理が行われ、シンクライアント装置側で表示や入力などが行われるものとなっている。このため、オフライン状態のコンピュータをシンクライアント化するという考え方は、これまで見られなかった。
ところが、オフライン状態であっても、一定の場合には、情報漏洩防止の観点からコンピュータをあたかもシンクライアント装置のような状態とすることが望ましい場合がある。
また、フィルタードライバー機能をオペレーティングシステムに設定して、重要ファイルへのアクセス等を制限することもできる。しかし、このようなオペレーティングシステムへの設定のためには、特別なユーザ権限が必要であり、また設定した後にオペレーティングシステムを再起動しなければ、その機能を働かせることができない。
このような、通常は一般的なリッチコンピュータとして使用されているコンピュータを、場合によって仮想的にシンクライアント化するという概念は、これまでは存在していなかった。
なお、以下の実施形態に示す本発明の仮想シンクライアント化装置は、本発明の仮想シンクライアント化プログラムに制御されたコンピュータを用いて実現することができる。コンピュータのCPUは、仮想シンクライアント化プログラムにもとづいてコンピュータの各構成要素に指令を送り、仮想シンクライアント化装置の動作に必要となる所定の処理、例えば、APIフック処理、呼び出し先判定処理、呼び出し先変更処理、暗号化処理等を行わせる。このように、本発明の仮想シンクライアント化装置における各処理,動作は、プログラムとコンピュータとが協働した具体的手段により実現できるものである。
また、プログラムを格納する記録媒体は、例えば半導体メモリ,磁気ディスク,光ディスク、その他任意のコンピュータで読取り可能な任意の記録手段により構成できる。
まず、本発明の第一実施形態の構成について、図1及び図2を参照して説明する。図1は、本実施形態の仮想シンクライアント化装置の構成を示すブロック図において、アクセス許可時の処理の流れを、図2は、アクセス不許可時の処理の流れを示す図である。
PC10は、AP(アプリケーションプログラム)11、API(アプリケーションプログラムインタフェース)12、ファイルシステム13、ハードディスク14、APIフック手段15、及びアクセス先判定手段16を備えている。
ハードディスク14は、PC10におけるデータの記憶手段である。なお、本実施形態では、API12のアクセス先をハードディスク14としているが、これに限定されるものではなく、DVDドライブなどの補助記憶装置、プリンターなどの出力装置等、その他の周辺機器とすることもできる。
まず、第一のフック方法として、OS提供型のAPIフックを用いる方法がある。この方法では、ウインドウズ(登録商標)などのOSに組み込まれているフック手段を利用して、API12の呼び出しをフックする。
しかしながら、この方法では、フックしたくない処理までフックされる場合があるため、目的のもののみを的確にフックする必要がある場合は、次の第二のフック方法を使用する。
第二のフック方法は、DLLインジェクションによって、所定のAPI12の呼び出しをフックする。この方法では、メモリ上におけるAPIを呼び出しているコードを書き換えることで、当該APIに代えて他の処理の実行を可能にしている。
このようなフックの対象とするAPI12としては、例えば次のようなものを挙げることができる。
<印刷> OPenPrinterA OpenPrinterW StartDocPrinterA StartDocPrinterW EndPagePrinter EndDocPrinter
<ファイルのネットワークへの送信>NTCreateFile NTOpenFile NTCloseFile InternetConnectA InternetConnectW InternetOpenUrlA InternetOpenUrlW
<起動できるソフトウェアの制限> NTOpenFile
<レジストリーアクセス> NtOpenKey NtCreateKey
<ファイル共有> NtShareAdd NTShareDel
判定の結果、API12のアクセス先が当該所定のファイル等でない場合、PC10の仮想シンクライアント化は行わないため、図1に示すように、APIフック手段15は、AP11が実行させようとしていたAPI12を呼び出して、当該API12によるファイルアクセス処理を実行させる。このとき、APIフック手段15は、API12から実行結果を受け取って、API12によるファイルアクセス処理が正常に行われた場合は、API12による処理が正常に行われたことを示す情報をAP11に出力する。一方、API12によるファイルアクセス処理が正常に行われなかった場合は、エラー情報をAP11に出力する。
これにより、ユーザやAP11側から見ると、ログインや再起動を行うことなく、またファイルのアクセス権限を設定することなく、重要文書などの所定のファイルに対するアクセスを行うことができなくなり、PC10を疑似的にシンクライアント化することが可能となる。
まず、AP11が、ファイルアクセスを行う各種API12の呼び出し処理を行うと(ステップ10)、そのAPI12による処理が実行される前に、呼び出し処理をAPIフック手段15がフックする(ステップ11)。
このとき、APIフック手段15は、AP11からAPI12の呼び出し要求情報を取得する。呼び出し要求情報には、呼び出す対象のAPI12を特定するための情報と、アクセスするファイルアクセス先情報が含まれている。
次に、APIフック手段15は、呼び出し先判定手段16に制御を渡す。
このアクセス先の判定処理は、「呼び出されるAPI12のアクセス先」を上記「API12の呼び出し要求情報」から取得し、これが、上述したように、呼び出し先判定手段16等において予め記憶されている「アクセス不許可にする対象として特定された所定のファイル等」に含まれているか否かを判定することにより行うことができる。
すなわち、この仮想シンクライアント化方法によれば、所定のAPIをフックするとともに、そのファイルのアクセス先を判定することで、ハードディスク14へのファイルの読み込みや書き込み、印刷装置への出力、ネットワークへの送信等を、その処理毎に禁止することができ、PC10を擬似的なシンクライアント状態にすることが可能となっている。
一方、API12によるファイルアクセス処理が正常に行われなかった場合は、エラーをAP11に返却する(ステップ17のNO)。
これによって起動しているコンピュータへのログインや再起動を必要とすることなく、重要ファイルなどについてのハードディスクや周辺機器等へのアクセス等を制限することが可能であり、本実施形態の仮想シンクライアント化は、コンピュータを簡易的にシンクライアント状態にするものであるといえる。
次に、本発明の第二実施形態の構成について、図4を参照して説明する。同図は、本実施形態の仮想シンクライアント化装置の構成を示すブロック図において、アクセス不許可時の処理の流れを示す図である。
本実施形態の仮想シンクライアント化装置は、第一実施形態における構成に加え、アクセス先変更手段17、及び暗号化手段18を備えている。
これによって、AP11から呼び出されたAPI12に、付け替えられたファイルへアクセスさせる。このとき、付け替えられたファイルの格納先を、ユーザが目に触れにくい場所にすることで、AP11に認識させることなく、またハードディスクに保存していないように見せつつ、ハードディスク内に一時的に保存する。
このとき、暗号化手段18により暗号化されたファイルは、APIフック手段15からAPI12に送られ、ファイルシステム13を経由してハードディスク14に記憶される。
このような復号化処理を行うため、暗号化手段18による暗号化に際して、ファイルの先頭などに当該ファイルを暗号化したことを識別する情報を付加しておくことが好ましい。このようにすれば、呼び出し先判定手段16は、API12からファイルを入力するときに、そのファイルを復号化すべきかどうかを自動的に判断することができる。
まず、AP11によるAPI12の呼び出し処理からアクセス不許可対象のアクセス先か否かの判定処理(ステップ30〜ステップ33)、及びAPIフック手段15によるAPI12の呼び出し処理からAPI12による処理が正常に行われたことを示す情報をAP11へ返却する処理(ステップ40〜ステップ43)までの動作は、第一実施形態における動作(ステップ10〜ステップ13、ステップ15〜ステップ18)と同様である。ただし、本実施形態では、AP11によりあるファイルに対する書き込み処理を行うAPI12が呼び出される場合を想定している。
また、暗号化手段18は、AP11により書き込みが行われたファイルを、APIフック手段15を介して入力し、当該ファイルを暗号化する(ステップ36)。
暗号化ファイルの格納処理が正常に行われると(ステップ42のYES)、APIフック手段15は、AP11にAPI12による処理が正常に行われたことを示す情報をAP11に返却する(ステップ43)。
また、暗号化ファイルの格納処理が正常に行われなかった場合(ステップ42のNO)、APIフック手段15からAP11に対し、API12による処理が正常に行われなかったことを示すエラーをAP11に返却する(ステップ39)。
次に、本発明の第三実施形態の構成について、図6を参照して説明する。同図は、本実施形態の仮想シンクライアント化装置の構成を示すブロック図である。
本実施形態の仮想シンクライアント化装置は、第二実施形態における構成に加え、消去手段19を備えている。
第二実施形態においても、API12によってハードディスク14に格納されたファイルは、AP11が認識する保存先とは別個のアドレスに存在するとともに、暗号化されたものであるため、情報漏洩を生じるものではない。しかし、この暗号化ファイルを所定のタイミングで消去すれば、情報漏洩防止効果は一層向上し得る。そこで、本実施形態では、消去手段19により、ハードディスク14における暗号化ファイルを消去している。
消去対象のファイルとしては、全ての暗号化ファイルとするほか、特定の名称のものや、暗号化手段18から入力した特定のファイルのみを対象とすることができる。暗号化ファイルであるか否かは、暗号化手段18がファイルの暗号化を行う際に、暗号化されているかどうかの識別情報を当該ファイルに持たせることで判定できる。
消去タイミングとしては、例えば暗号化ファイルのクローズ時、AP11によるアプリケーションの終了時、ブラウザの終了時、PC10にUSBメモリ20が接続されている場合におけるその切り離し時などとすることができる。
次に、本発明の第四実施形態の構成について、図7を参照して説明する。同図は、本実施形態の仮想シンクライアント化装置の構成を示すブロック図である。
本実施形態の仮想シンクライアント化装置は、第一実施形態における構成に加え、仮想シンクライアント化プログラム10aを備えている。
本実施形態は、PC10に予めインストールされた仮想シンクライアント化プログラム10aを起動して、PC10にAPIフック手段15とアクセス先判定手段16を生成する点で第一実施形態と異なっている。その他の点は第一実施形態と同様である。
次に、本発明の第五実施形態の構成について、図8及び図9を参照して説明する。図8は、本実施形態の仮想シンクライアント化システムの構成を示すブロック図において、アクセス許可時の処理の流れを、図9は、アクセス不許可時の処理の流れを示す図である。
本実施形態の仮想シンクライアント化システムは、PC10と、これに着脱可能なUSBメモリ20とを有しており、USBメモリ20によりPC10の仮想シンクライアント化を行っている点で第一実施形態と異なっている。その他の点については第一実施形態と同様である。また、当該仮想シンクライアント化システムにおいて行われる仮想シンクライアント化方法は、図3のフローチャートと同様の手順で行うことができる。
本実施形態では、USBメモリ20にPC10を仮想シンクライアント化するための構成を備え、USBメモリ20をPC10に接続することで、重要ファイルへのアクセスが行われようとした場合など、一定条件下でPC10を擬似的にシンクライアント化することができる。
PC10は、図8に示すように、AP11、API12、ファイルシステム13、及びハードディスク14を備えている。これらは第一実施形態におけるものと同様のものを用いることができる。
USBメモリ20は、図8に示すように、APIフック手段21、及びアクセス先判定手段22を備えている。これらは、それぞれ第一実施形態のPC10におけるAPIフック手段15、アクセス先判定手段16と同様の機能を備えている。
そして、APIフック手段21は、アクセス先判定手段22により、API12のアクセス先が仮想シンクライアント状態下においてアクセス不許可にする対象として予め特定された所定のファイル等であるか否かを判定させる。
また、判定の結果、API12のアクセス先が当該所定のファイル等である場合、APIフック手段21は、図9に示すように、AP11にエラーを返却する。
次に、本発明の第六実施形態の構成について、図10を参照して説明する。同図は、本実施形態の仮想シンクライアント化システムの構成を示すブロック図において、アクセス許可時の処理の流れを示すものである。
本実施形態の仮想シンクライアント化システムは、AP11がAPI12によって、USBメモリ20の記憶手段23におけるファイルにアクセスする場合は、PC10を仮想シンクライアント化することなく、当該アクセスを許可する点で第五実施形態と異なる。その他の点については、第五実施形態と同様である。また、当該仮想シンクライアント化システムにおいて行われる仮想シンクライアント化方法は、図3のフローチャートと同様の手順で行うことができる。
このとき、API12は、ファイルシステム13を経由して、USBメモリ20の記憶手段23へのアクセスを行う。なお、API12によりファイルシステム13を介することなく、記憶手段23にアクセスさせることもできる。
次に、本発明の第七実施形態の構成について、図11を参照して説明する。同図は、本実施形態の仮想シンクライアント化システムの構成を示すブロック図において、アクセス不許可時の処理の流れを示すものである。
本実施形態は、第二実施形態と同様のAP11からAPI12の呼び出しが行われた場合に、仮想シンクライアント化を実現するためのバリエーションのシステムである。すなわち、AP11の種類によっては、単にファイルへのアクセスを不許可とし、API12の呼び出し処理に対してAP11へエラーを返すだけでは正常に動作しないものが存在する。
すなわち、AP11がアクセスしようとしているハードディスク14内のファイルが既に存在している場合は、そのファイル全体を記憶手段23にコピーし、API12にこのコピーに対するアクセスを行わせることで、あたかもAP11がハードディスク14内の当該ファイルにアクセスしているようにみせかけている。AP11がハードディスク14内の当該ファイルに書き込みを行おうとした場合、ハードディスク14内の当該ファイルに書き込みが行われるのではなく、アクセス先変更が行われ、API12により記憶手段23のファイルに書き込みが行われる。なお、書き込みを開始する前に、当該ファイルがハードディスク14に存在する場合は、そのファイルの内容を記憶手段23にコピーした後に、ファイルへの書き込みが行われるが、当該ファイルがハードディスク14に存在しない場合は、即座に記憶手段23への書き込みが行われる。その他の点については、第六実施形態と同様のものとすることができる。
そして、判定の結果、アクセス先がアクセス不許可にする対象である特定のファイル等であって、当該ファイルがハードディスク14に格納されている場合、アクセス先変更手段24は、API12−3を呼び出して、API12−3によりファイルシステム13を介してハードディスク14に格納されている当該ファイルをUSBメモリ20における記憶手段23に複製する。
これによって、PC10を擬似的にシンクライアント化している。
同図において、ハードディスクにおけるアクセス先ファイルをUSBメモリに複製する動作(ステップ55)以外の動作は、第二実施形態で説明した図5における動作と同様のものとすることができる。ただし、本実施形態は、APIのフック処理、アクセス先判定処理、アクセス先変更処理が、それぞれUSBメモリ20におけるAPIフック手段21、アクセス先判定手段22、及びアクセス先変更手段24によって行われる点で第二実施形態と異なっている。
例えば、アクセス先変更手段24は、APIフック手段21からAPI12−2の書き込み先として、「c:\TEST」という名前を入力すると、PC10のハードディスク14を検索して当該ファイルを取得し、これを複製して、USBメモリ20の記憶手段23に、「d:\TEST.TEMP」といったファイル名に変更して記憶させる。
さらに、本実施形態では、APIフック手段15は、AP11が呼び出そうとしていたAPI12−2そのものではなく、これとは別個のAPI12を呼び出して、当該API12により記憶手段23に複製されたファイルへの書き込み処理を行っている。
次に、本発明の第八実施形態の構成について、図13を参照して説明する。同図は、本実施形態の仮想シンクライアント化システムの構成を示すブロック図である。
本実施形態の仮想シンクライアント化システムは、第二実施形態の仮想シンクライアント化装置と同様の処理を、USBメモリ20により実現する点で第二実施形態と異なる。その他の点については、第二実施形態と同様であり、本実施形態の仮想シンクライアント化方法も第二実施形態と同様のものとすることができる。
このようにすれば、AP11に対してはAPI12による処理が正常に行われたことを通知し、一方でユーザにとってはファイルへの書き込みが行えていないように認識される。これにより、特別なAP11を使用する場合におけるPC10の仮想シンクライアント化を実現している。
次に、本発明の第九実施形態の構成について、図14を参照して説明する。同図は、本実施形態の仮想シンクライアント化システムの構成を示すブロック図である。
本実施形態の仮想シンクライアント化システムは、第三実施形態の仮想シンクライアント化装置と同様の処理を、USBメモリ20により実現する点で第三実施形態と異なる。その他の点については、第三実施形態と同様であり、本実施形態の仮想シンクライアント化方法も第三実施形態と同様のものとすることができる。
これによって、情報漏洩防止効果をより向上させることが可能となっている。
次に、本発明の第十実施形態の構成について、図15を参照して説明する。同図は、本実施形態の仮想シンクライアント化システムの構成を示すブロック図である。
本実施形態の仮想シンクライアント化システムは、USBメモリ20に仮想シンクライアントプログラム27を保有させ、USBメモリ20をPC10に接続した際にこれを実行して、第五実施形態と同様の機能を備えたAPIフック手段21とアクセス先判定手段22をUSBメモリ20に生成する構成としている。その他の点については、第五実施形態と同様であり、本実施形態の仮想シンクライアント化方法も第五実施形態と同様のものとすることができる。
また、仮想シンクライアントプログラム27の実行により、第六実施形態〜第九実施形態のいずれかのUSBメモリ20と同様の構成を生成させ、それぞれの実施形態と同様の機能を実現することも可能である。
次に、本発明の第十一実施形態の構成について、図16を参照して説明する。同図は、本実施形態の仮想シンクライアント化システムの構成を示すブロック図である。
本実施形態の仮想シンクライアント化システムは、USBメモリ20に仮想シンクライアントプログラム27を保有させ、USBメモリ20をPC10に接続した際にこれを実行して、第一実施形態と同様の機能を備えたAPIフック手段15とアクセス先判定手段16をPC10内に生成する構成としている。その他の点については、第一実施形態と同様であり、本実施形態の仮想シンクライアント化方法も第一実施形態と同様のものとすることができる。
また、仮想シンクライアントプログラム27の実行により、第二実施形態から第四実施形態のPC10と同様の構成を生成させ、それぞれの実施形態と同様の機能を実現することも可能である。
例えば、APIフック手段15がAP11によるAPI12の呼び出しをフックした後に、このAPI12ではなく、他のAP1を呼び出す構成としたり、暗号化ファイルをハードディスク14に作成するのではなく、PC10におけるメモリやRAMディスク上に作成したりするなど適宜変更することが可能である。メモリやRAMディスク上のファイルは、電源を切ったりリセットしたりするとファイルが消えてしまうため、PCの使用者が、作業が終わったときに電源を切ってそのPCを持ち歩けば、万が一そのPCを紛失しても情報が漏洩する危険性を軽減することが可能となる。
11 AP(アプリケーションプログラム)
12 API(アプリケーションプログラムインタフェース)
13 ファイルシステム
14 ハードディスク
15 APIフック手段
16 アクセス先判定手段
17 アクセス先変更手段
18 暗号化手段
19 消去手段
10a 仮想シンクライアント化プログラム
20 USBメモリ
21 APIフック手段
22 アクセス先判定手段
23 記憶手段
24 アクセス先変更手段
25 暗号化手段
26 消去手段
27 仮想シンクライアント化プログラム
Claims (14)
- 所定のアプリケーションプログラムを実行するAP実行手段と、所定のアプリケーションプログラムインタフェースを実行するAPI実行手段と、周辺機器とを備えた仮想シンクライアント化装置であって、
前記AP実行手段により、前記API実行手段の呼び出し処理が行われると、前記API実行手段がファイルアクセスを行うものである場合、前記API実行手段による処理が行われる前に、他の処理を実行させるためのフック処理を行うAPIフック手段と、
前記フック処理が行われると、前記API実行手段によるアクセス先が、アクセス不許可にする対象のアクセス先であるか否かを判定するアクセス先判定手段と、を備え、
前記APIフック手段は、前記API実行手段によるアクセス先が、アクセス不許可にする対象のアクセス先でない場合にのみAPI実行手段の呼び出し処理を許可し、アクセス不許可にする対象のアクセス先である場合に、前記AP実行手段へエラーを出力する
ことを特徴とする仮想シンクライアント化装置。 - 前記API実行手段によるアクセス先が、アクセス不許可にする対象のアクセス先である場合に、前記アクセス先を前記アクセス先とは異なるアクセス先に書き換えるアクセス先変更手段と、
前記API実行手段がファイルの書き込み処理を行うものである場合、当該ファイルを前記APIフック手段から入力して暗号化する暗号化手段を備え、
前記APIフック手段が前記API実行手段を呼び出して、当該API実行手段により、前記暗号化されたファイルを前記異なるアクセス先に格納させるとともに、前記AP実行手段に対して前記API実行手段による処理が正常に行われたことを示す情報を出力する
ことを特徴とする請求項1記載の仮想シンクライアント化装置。 - 所定のアプリケーションプログラムを実行するAP実行手段と、所定のアプリケーションプログラムインタフェースを実行するAPI実行手段と、周辺機器とを備えたコンピュータと、このコンピュータに着脱可能な記憶装置を有する仮想シンクライアント化システムであって、
前記着脱可能な記憶装置が、
前記AP実行手段により、前記API実行手段の呼び出し処理が行われると、前記API実行手段がファイルアクセスを行うものである場合、前記API実行手段による処理が行われる前に、他の処理を実行させるためのフック処理を行うAPIフック手段と、
前記フック処理が行われると、前記API実行手段によるアクセス先が、アクセス不許可にする対象のアクセス先であるか否かを判定するアクセス先判定手段と、を備え、
前記APIフック手段は、前記API実行手段によるアクセス先が、アクセス不許可にする対象のアクセス先でない場合にのみAPI実行手段の呼び出し処理を許可し、アクセス不許可にする対象のアクセス先である場合に、前記AP実行手段へエラーを出力する
ことを特徴とする仮想シンクライアント化システム。 - 前記着脱可能な記憶装置が、
前記API実行手段によるアクセス先が、アクセス不許可にする対象のアクセス先である場合に、前記アクセス先を前記アクセス先とは異なるアクセス先に書き換えるアクセス先変更手段と、
前記API実行手段がファイルの書き込み処理を行うものである場合、当該ファイルを前記APIフック手段から入力して暗号化する暗号化手段を備え、
前記APIフック手段が前記API実行手段を呼び出して、当該API実行手段により、前記暗号化されたファイルを前記異なるアクセス先に格納させるとともに、前記AP実行手段に対して前記API実行手段による処理が正常に行われたことを示す情報を出力する
ことを特徴とする請求項3記載の仮想シンクライアント化システム。 - 前記アクセス先判定手段は、前記API実行手段によるアクセス先が、前記着脱可能な記憶装置における記憶領域に存在する場合、当該アクセス先を、アクセス不許可にする対象のアクセス先でないと判定し、
前記APIフック手段が前記API実行手段を呼び出して、当該API実行手段により、前記着脱可能な記憶装置における前記アクセス先にアクセスさせる
ことを特徴とする請求項3又は4記載の仮想シンクライアント化システム。 - 前記着脱可能な記憶装置が、
前記API実行手段によるアクセス先が、アクセス不許可にする対象のアクセス先である場合に、前記アクセス先を前記アクセス先とは異なるアクセス先に書き換えるアクセス先変更手段を備え、
前記アクセス先判定手段は、前記API実行手段によるアクセス先が、アクセス不許可にする対象のアクセス先である場合であって、かつ、前記API実行手段がファイルの書き込み処理を行うものである場合、当該書き込み処理対象のファイルを前記周辺機器から前記着脱可能な記憶装置に複製し、
前記APIフック手段がAPI実行手段を呼び出して、当該API実行手段により、前記複製されたファイルへの書き込み処理を行わせる
ことを特徴とする請求項3記載の仮想シンクライアント化システム。 - 所定のアプリケーションプログラムを実行するAP実行手段と、所定のアプリケーションプログラムインタフェースを実行するAPI実行手段と、周辺機器とを備えたコンピュータを仮想シンクライアント化するための仮想シンクライアント化プログラムであって、
前記コンピュータを、
前記AP実行手段により、前記API実行手段の呼び出し処理が行われると、前記API実行手段がファイルアクセスを行うものである場合、前記API実行手段による処理が行われる前に、他の処理を実行させるためのフック処理を行うAPIフック手段、及び、
前記フック処理が行われると、前記API実行手段によるアクセス先が、アクセス不許可にする対象のアクセス先であるか否かを判定するアクセス先判定手段として機能させ、
前記APIフック手段に、前記API実行手段によるアクセス先が、アクセス不許可にする対象のアクセス先でない場合にのみAPI実行手段の呼び出し処理を許可させ、アクセス不許可にする対象のアクセス先である場合に、前記AP実行手段へエラーを出力させる
ことを特徴とする仮想シンクライアント化プログラム。 - 前記コンピュータを、
前記API実行手段によるアクセス先が、アクセス不許可にする対象のアクセス先である場合に、前記アクセス先を前記アクセス先とは異なるアクセス先に書き換えるアクセス先変更手段、及び、
前記API実行手段がファイルの書き込み処理を行うものである場合、当該ファイルを前記APIフック手段から入力して暗号化する暗号化手段として機能させ、
前記APIフック手段に前記API実行手段を呼び出させて、当該API実行手段により、前記暗号化されたファイルを前記異なるアクセス先に格納させるとともに、前記AP実行手段へ前記API実行手段による処理が正常に行われたことを示す情報を出力させる
ことを特徴とする請求項7記載の仮想シンクライアント化プログラム。 - 所定のアプリケーションプログラムを実行するAP実行手段と、所定のアプリケーションプログラムインタフェースを実行するAPI実行手段と、周辺機器とを備えたコンピュータに着脱可能な記憶装置により前記コンピュータを仮想シンクライアント化するための仮想シンクライアント化プログラムであって、
前記着脱可能な記憶装置を、
前記AP実行手段により、前記API実行手段の呼び出し処理が行われると、前記API実行手段がファイルアクセスを行うものである場合、前記API実行手段による処理が行われる前に、他の処理を実行させるためのフック処理を行うAPIフック手段、及び、
前記フック処理が行われると、前記API実行手段によるアクセス先が、アクセス不許可にする対象のアクセス先であるか否かを判定するアクセス先判定手段として機能させ、
前記APIフック手段に、前記API実行手段によるアクセス先が、アクセス不許可にする対象のアクセス先でない場合にのみAPI実行手段の呼び出し処理を許可させ、アクセス不許可にする対象のアクセス先である場合に、前記AP実行手段へエラーを出力させる
ことを特徴とする仮想シンクライアント化プログラム。 - 前記着脱可能な記憶装置を、
前記API実行手段によるアクセス先が、アクセス不許可にする対象のアクセス先である場合に、前記アクセス先を前記アクセス先とは異なるアクセス先に書き換えるアクセス先変更手段、及び、
前記API実行手段がファイルの書き込み処理を行うものである場合、当該ファイルを前記APIフック手段から入力して暗号化する暗号化手段として機能させ、
前記APIフック手段に前記API実行手段を呼び出させて、当該API実行手段により、前記暗号化されたファイルを前記異なるアクセス先に格納させるとともに、前記AP実行手段へ前記API実行手段による処理が正常に行われたことを示す情報を出力させる
ことを特徴とする請求項9記載の仮想シンクライアント化プログラム。 - 前記アクセス先判定手段に、前記API実行手段によるアクセス先が、前記着脱可能な記憶装置における記憶領域に存在する場合、当該アクセス先を、アクセス不許可にする対象のアクセス先でないと判定させ、
前記APIフック手段に前記API実行手段を呼び出させて、当該API実行手段により、前記着脱可能な記憶装置における前記アクセス先にアクセスさせる
ことを特徴とする請求項9又は10記載の仮想シンクライアント化プログラム。 - 前記着脱可能な記憶装置を、
前記API実行手段によるアクセス先が、アクセス不許可にする対象のアクセス先である場合に、前記アクセス先を前記アクセス先とは異なるアクセス先に書き換えるアクセス先変更手段として機能させ、
前記アクセス先判定手段に、前記API実行手段によるアクセス先が、アクセス不許可にする対象のアクセス先である場合であって、かつ、前記API実行手段がファイルの書き込み処理を行うものである場合、当該書き込み処理対象のファイルを前記周辺機器から前記着脱可能な記憶装置に複製させ、
前記APIフック手段にAPI実行手段を呼び出させて、当該API実行手段により、前記複製されたファイルへの書き込み処理を行わせる
ことを特徴とする請求項9記載の仮想シンクライアント化プログラム。 - 所定のアプリケーションプログラムを実行するAP実行手段と、所定のアプリケーションプログラムインタフェースを実行するAPI実行手段と、周辺機器とを備えたコンピュータを仮想シンクライアント化するための方法であって、
前記コンピュータにおけるAPIフック手段が、前記AP実行手段により、前記API実行手段の呼び出し処理が行われると、前記API実行手段がファイルアクセスを行うものである場合、前記API実行手段による処理が行われる前に、他の処理を実行させるためのフック処理を行い、
前記コンピュータにおけるアクセス先判定手段が、前記フック処理が行われると、前記API実行手段によるアクセス先が、アクセス不許可にする対象のアクセス先であるか否かを判定し、
前記APIフック手段は、前記API実行手段によるアクセス先が、アクセス不許可にする対象のアクセス先でない場合にのみAPI実行手段の呼び出し処理を許可し、アクセス不許可にする対象のアクセス先である場合に、前記AP実行手段へエラーを出力する
ことを特徴とする仮想シンクライアント化方法。 - 所定のアプリケーションプログラムを実行するAP実行手段と、所定のアプリケーションプログラムインタフェースを実行するAPI実行手段と、周辺機器とを備えたコンピュータをこのコンピュータに着脱可能な記憶装置により仮想シンクライアント化するための方法であって、
前記AP実行手段により、前記API実行手段の呼び出し処理が行われると、前記API実行手段がファイルアクセスを行うものである場合、前記着脱可能な記憶装置におけるAPIフック手段が、前記API実行手段による処理が行われる前に、他の処理を実行させるためのフック処理を行い、
前記フック処理が行われると、前記着脱可能な記憶装置におけるアクセス先判定手段が、前記API実行手段によるアクセス先が、アクセス不許可にする対象のアクセス先であるか否かを判定し、
前記APIフック手段は、前記API実行手段によるアクセス先が、アクセス不許可にする対象のアクセス先でない場合にのみAPI実行手段の呼び出し処理を許可し、アクセス不許可にする対象のアクセス先である場合に、前記AP実行手段へエラーを出力する
ことを特徴とする仮想シンクライアント化方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009188887A JP4538838B1 (ja) | 2009-08-18 | 2009-08-18 | 仮想シンクライアント化装置、仮想シンクライアント化システム、仮想シンクライアント化プログラム、及び仮想シンクライアント化方法 |
PCT/JP2010/004141 WO2011021340A1 (ja) | 2009-08-18 | 2010-06-22 | 仮想シンクライアント化装置、仮想シンクライアント化システム、仮想シンクライアント化プログラム、及び仮想シンクライアント化方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009188887A JP4538838B1 (ja) | 2009-08-18 | 2009-08-18 | 仮想シンクライアント化装置、仮想シンクライアント化システム、仮想シンクライアント化プログラム、及び仮想シンクライアント化方法 |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010132614A Division JP2011040044A (ja) | 2010-06-10 | 2010-06-10 | 仮想シンクライアント化装置、仮想シンクライアント化システム、仮想シンクライアント化プログラム、及び仮想シンクライアント化方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP4538838B1 JP4538838B1 (ja) | 2010-09-08 |
JP2011039953A true JP2011039953A (ja) | 2011-02-24 |
Family
ID=42824750
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009188887A Active JP4538838B1 (ja) | 2009-08-18 | 2009-08-18 | 仮想シンクライアント化装置、仮想シンクライアント化システム、仮想シンクライアント化プログラム、及び仮想シンクライアント化方法 |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP4538838B1 (ja) |
WO (1) | WO2011021340A1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10417179B2 (en) | 2016-06-10 | 2019-09-17 | Gaeasoft Co., Ltd. | Method for managing files and apparatus using the same |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5673045B2 (ja) * | 2010-12-03 | 2015-02-18 | 株式会社リコー | 組み込み機器、暗号化・復号方法、プログラム |
JP5083786B1 (ja) * | 2012-02-08 | 2012-11-28 | Eugrid株式会社 | 情報処理端末、情報処理管理プログラム |
JP6192617B2 (ja) * | 2014-08-04 | 2017-09-06 | 京セラドキュメントソリューションズ株式会社 | 情報処理装置、転送制御方法 |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10260903A (ja) * | 1997-03-19 | 1998-09-29 | Hitachi Ltd | グループ暗号方法、及びファイル暗号システム |
JP2002288030A (ja) * | 2001-03-27 | 2002-10-04 | Hitachi Software Eng Co Ltd | データ持ち出し禁止用プログラム |
JP2004005084A (ja) * | 2002-05-31 | 2004-01-08 | Nec Corp | データ管理装置及びデータ管理プログラム |
JP2005286402A (ja) * | 2004-03-26 | 2005-10-13 | It Service:Kk | 暗号鍵管理サーバ、暗号鍵管理プログラム、暗号鍵取得端末、暗号鍵取得プログラム、暗号鍵管理システム及び暗号鍵管理方法 |
JP2006251856A (ja) * | 2005-03-08 | 2006-09-21 | Internatl Business Mach Corp <Ibm> | ファイルの使用を制限する方法、情報処理装置、プログラム |
JP2007065846A (ja) * | 2005-08-30 | 2007-03-15 | Internatl Business Mach Corp <Ibm> | アプリケーションプログラムの制御方法およびその装置 |
JP2008059501A (ja) * | 2006-09-04 | 2008-03-13 | Hitachi Software Eng Co Ltd | 2次記憶装置への書込み制御方法及び情報処理装置 |
JP2008134820A (ja) * | 2006-11-28 | 2008-06-12 | Fuji Xerox Co Ltd | 印刷制限処理プログラムおよび情報処理装置 |
JP2008134821A (ja) * | 2006-11-28 | 2008-06-12 | Fuji Xerox Co Ltd | 電子ファイル処理プログラムおよび情報処理装置 |
JP2008293525A (ja) * | 2008-07-22 | 2008-12-04 | Hitachi Software Eng Co Ltd | データ処理制御方法、情報処理装置、及びデータ処理制御システム |
JP2009059008A (ja) * | 2007-08-30 | 2009-03-19 | Sgi Japan Ltd | ファイル管理システム |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003044297A (ja) * | 2000-11-20 | 2003-02-14 | Humming Heads Inc | コンピュータリソースの制御を行なう情報処理方法および装置、情報処理システム及びその制御方法並びに記憶媒体、プログラム |
-
2009
- 2009-08-18 JP JP2009188887A patent/JP4538838B1/ja active Active
-
2010
- 2010-06-22 WO PCT/JP2010/004141 patent/WO2011021340A1/ja active Application Filing
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10260903A (ja) * | 1997-03-19 | 1998-09-29 | Hitachi Ltd | グループ暗号方法、及びファイル暗号システム |
JP2002288030A (ja) * | 2001-03-27 | 2002-10-04 | Hitachi Software Eng Co Ltd | データ持ち出し禁止用プログラム |
JP2004005084A (ja) * | 2002-05-31 | 2004-01-08 | Nec Corp | データ管理装置及びデータ管理プログラム |
JP2005286402A (ja) * | 2004-03-26 | 2005-10-13 | It Service:Kk | 暗号鍵管理サーバ、暗号鍵管理プログラム、暗号鍵取得端末、暗号鍵取得プログラム、暗号鍵管理システム及び暗号鍵管理方法 |
JP2006251856A (ja) * | 2005-03-08 | 2006-09-21 | Internatl Business Mach Corp <Ibm> | ファイルの使用を制限する方法、情報処理装置、プログラム |
JP2007065846A (ja) * | 2005-08-30 | 2007-03-15 | Internatl Business Mach Corp <Ibm> | アプリケーションプログラムの制御方法およびその装置 |
JP2008059501A (ja) * | 2006-09-04 | 2008-03-13 | Hitachi Software Eng Co Ltd | 2次記憶装置への書込み制御方法及び情報処理装置 |
JP2008134820A (ja) * | 2006-11-28 | 2008-06-12 | Fuji Xerox Co Ltd | 印刷制限処理プログラムおよび情報処理装置 |
JP2008134821A (ja) * | 2006-11-28 | 2008-06-12 | Fuji Xerox Co Ltd | 電子ファイル処理プログラムおよび情報処理装置 |
JP2009059008A (ja) * | 2007-08-30 | 2009-03-19 | Sgi Japan Ltd | ファイル管理システム |
JP2008293525A (ja) * | 2008-07-22 | 2008-12-04 | Hitachi Software Eng Co Ltd | データ処理制御方法、情報処理装置、及びデータ処理制御システム |
Non-Patent Citations (4)
Title |
---|
久保田 浩: "お手軽ツールからDLPまで 今どきの情報漏えい対策", 日経NETWORK, vol. 第100号, JPN6010001440, 28 July 2008 (2008-07-28), JP, pages 64 - 69, ISSN: 0001618029 * |
藤田 圭祐: "不正プログラムの起動制御機能を持つDFシステムの提案", コンピュータセキュリティシンポジウム2007 論文集, vol. 2007, no. 10, JPN6010001437, 31 October 2007 (2007-10-31), JP, pages 501 - 506, ISSN: 0001618027 * |
青柳 慶光: "機密ファイル持出し防止システムの検討", コンピュータセキュリティシンポジウム2002, vol. 第2002巻第16号, JPN6009052266, 30 October 2002 (2002-10-30), JP, pages 59 - 64, ISSN: 0001618026 * |
高橋 健太郎: "コンプライアンスの武器に進化 ハードル跳び越す検疫ネットワーク", 日経コミュニケーション, vol. 第515号, JPN6010001439, 1 August 2008 (2008-08-01), JP, pages 39, ISSN: 0001618028 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10417179B2 (en) | 2016-06-10 | 2019-09-17 | Gaeasoft Co., Ltd. | Method for managing files and apparatus using the same |
Also Published As
Publication number | Publication date |
---|---|
WO2011021340A1 (ja) | 2011-02-24 |
JP4538838B1 (ja) | 2010-09-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101705550B1 (ko) | 보안 저장 영역에 대한 응용 프로그램의 접근 제어 방법 및 장치 | |
US8799898B2 (en) | Methods and apparatus for binding applications to a cloud computing environment | |
US8955150B2 (en) | Apparatus and method for managing digital rights using virtualization technique | |
CN104715209B (zh) | 一种外发文档加密保护方法 | |
JP7146812B2 (ja) | 独立した復元領域を有する補助記憶装置およびこれを適用した機器 | |
JP2009032130A (ja) | 情報処理装置及び方法、コンピュータ読み取り可能な記録媒体、並びに、外部記憶媒体 | |
JP2004234053A (ja) | コンピュータシステム、コンピュータ装置、記憶装置のデータ保護方法、およびプログラム | |
KR100766863B1 (ko) | 이동식저장장치를 이용한 소프트웨어 설치 시스템 및 그방법 | |
WO2012094969A1 (zh) | 一种数据保护方法和装置 | |
JP4516598B2 (ja) | 文書のコピーを制御する方法 | |
JP4538838B1 (ja) | 仮想シンクライアント化装置、仮想シンクライアント化システム、仮想シンクライアント化プログラム、及び仮想シンクライアント化方法 | |
JP6270780B2 (ja) | データ管理装置、データ管理方法、及びデータ管理プログラム | |
JP4707748B2 (ja) | 外部記憶デバイス、外部記憶デバイスに記憶されたデータを処理するための方法、プログラムおよび情報処理装置 | |
JP2020520037A (ja) | 孤立したユーザーコンピューティング部を有するコンピュータ | |
JP2011040044A (ja) | 仮想シンクライアント化装置、仮想シンクライアント化システム、仮想シンクライアント化プログラム、及び仮想シンクライアント化方法 | |
US8688863B2 (en) | Information processing apparatus for conducting security processing and security processing method | |
KR101233810B1 (ko) | 컴퓨터의 시스템자원 및 프로세스의 보호 및 격리장치와 그방법 | |
JP6957311B2 (ja) | 情報漏洩防止装置、及び情報漏洩防止プログラム | |
JP2009169868A (ja) | 記憶領域アクセス装置及び記憶領域のアクセス方法 | |
JPH0934799A (ja) | データプロテクト方法 | |
JP2008059388A (ja) | 情報処理装置および情報処理装置に適用されるハードディスクのデータ消去方法 | |
JP5081280B2 (ja) | 可搬記憶媒体 | |
JP2011039716A (ja) | 情報記憶媒体、情報システム | |
JP6559984B2 (ja) | デジタル証拠作成装置、デジタル証拠作成システム、及び、デジタル証拠作成プログラム | |
KR101434794B1 (ko) | 프로그램 해킹 방어 방법 및 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20100603 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100611 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20100603 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4538838 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130702 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130702 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20160702 Year of fee payment: 6 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |