JP2018041487A - 接続デバイスでの強制暗号化 - Google Patents

接続デバイスでの強制暗号化 Download PDF

Info

Publication number
JP2018041487A
JP2018041487A JP2017203625A JP2017203625A JP2018041487A JP 2018041487 A JP2018041487 A JP 2018041487A JP 2017203625 A JP2017203625 A JP 2017203625A JP 2017203625 A JP2017203625 A JP 2017203625A JP 2018041487 A JP2018041487 A JP 2018041487A
Authority
JP
Japan
Prior art keywords
computing device
personal computing
disk encryption
storage device
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017203625A
Other languages
English (en)
Other versions
JP6637940B2 (ja
Inventor
ショーン バーン,
Byrne Sean
ショーン バーン,
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dropbox Inc
Original Assignee
Dropbox Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dropbox Inc filed Critical Dropbox Inc
Publication of JP2018041487A publication Critical patent/JP2018041487A/ja
Application granted granted Critical
Publication of JP6637940B2 publication Critical patent/JP6637940B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1408Protection against unauthorised use of memory or access to memory by using cryptography
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/88Detecting or preventing theft or loss
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0457Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply dynamic encryption, e.g. stream encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/10Providing a specific technical effect
    • G06F2212/1052Security improvement

Abstract

【課題】パーソナルコンピューティングデバイスで格納される同期化コンテンツの暗号化を強制する。【解決手段】1以上のコンピューティングデバイスは、パーソナルコンピューティングデバイスのストレージデバイスの少なくとも一部に格納されるデータがディスク暗号化によって保護されるかどうかの指標を受信する。指標に基づき、ストレージデバイスの一部がディスク暗号化によって保護されないとの判定に応じて、ストレージデバイスの一部に格納される1以上の同期化コンテンツアイテムのコピーを1以上のサーバコンピューティングデバイスで格納される1以上の同期化コンテンツアイテムの他のコピーで同期化するための同期化データについて、ディスク暗号化を有効にするようにユーザを強制するために、パーソナルコンピューティングデバイス上でディスク暗号化が有効にされるまでパーソナルコンピューティングデバイスへの送信を保留する。【選択図】なし

Description

本開示の実施形態は、一般的にはコンピューティングデバイスに関連し、より詳細には、複数のコンピューティングデバイスにわたって同期化されるデジタルコンテンツの暗号化を強制的に行うことに関連する。
歴史的には、企業や組織では、一般的に同一のローカルエリアネットワークに接続されるワークステーションコンピュータからのみアクセス可能であったバックオフィスのネットワークファイルサーバに、機密コンピュータデータを格納している。それらの利用環境で機密の企業データの紛失や盗難を防ぐことは、機密データがほとんど企業サーバや企業ネットワークの境界から出ることがないため、比較的容易であった。
今日、無線インターネット接続、仮想プライベート・ネットワーク(VPN)、及び比較的安価なスマートフォン、タブレットコンピュータ及びラップトップコンピュータなどのモバイルコンピューティングデバイスや携帯型コンピューティングデバイスが広範囲で利用可能になったことに伴い、ますます機密の企業データが企業サーバや企業ネットワークの比較的安全な範囲の外部に格納されている。例えば、セールスマネージャが自身のラップトップコンピュータに顧客の個人識別情報を格納する可能性もあり、或いは、エンジニアが自身のモバイル電話に計画中の製品の設計仕様書を格納する可能性もある
ますます多くの機密データの携帯コンピューティングデバイスへの格納と同時に、そのようなデバイスの偶発紛失及び盗難の可能性が上昇傾向にある。ある概算によれば、全企業データの漏洩の1/3の量がラップトップなどの紛失又は盗難の可能性のある携帯型コンピューティングデバイスに格納されていたという結果がでている。
紛失する又は盗難される企業データの漏洩を防ぐ一つの可能性のある解決手法は、いくつかのパーソナルコンピューティングデバイスによってサポートされるディスク暗号化機能を使用することである。フルディスク暗号化(FDE)又は全体ディスク暗号化と称されるディスク暗号化は、通常、おそらく1以上のブート部分を除いた、ハードドライブに格納されたデバイスのオペレーティングシステム、アプリケーション及びデータを含むデバイスのハードドライブ全体を暗号化することによって機密データを保護する。通常、デバイスが起動すると、ユーザは、オペレーティングシステムを正常に起動及び実行することを可能にすべく、暗号化キーの入力を促される。例えば、暗号化キーはパスワード又はピンコードであってもよい。データがハードディスクから読み出されると、暗号化されてメインメモリに格納される(例えば、ランダムアクセスメモリ(RAM))。ハードディスクへ書き込まれるデータはまた、オンザフライで暗号化されながら格納される。暗号化キーへアクセスすることなく、ハードドライブに格納されたデータを盗むためにアクセスすることは不可能である。
残念なことに、多くのパーソナルコンピューティングデバイスのディスク暗号化機能は、オプションであり、通常、ユーザによる手動での起動が必要となる。企業及び組織は、企業データを格納するデバイスのディスク暗号化機能を起動する従業員を必要とするポリシーを採用することができる。しかしながら、上記ポリシーでのコンプライアンスは、制限されてもよい。例えば、何人かの従業員は、ディスク暗号化におけるそれらのデバイスをどのように設定するかを知らなくてもよく、或いは、それらのデバイスを設定するために時間をとることを望まなくてもよい。会社のIT管理者が従業員のデバイスがディスク暗号化を使用するように手動で設定することができる。しかしながら、知識のある従業員又は状況を知らない従業員がディスク暗号化を突然起動するかもしれない。さらに、大きな組織又は企業では、全ての従業員のデバイスのディスク暗号化を手動で設定するIT部門に責任を負わすことは現実的でないかもしれない。これらの結果として、従業員のデバイスに格納された機密の企業データの安全を確保するディスク暗号化の使用が、現在、制限されたり、或いは、散発的なものとなっている。
したがって、それらのパーソナルコンピューティングデバイス上で格納される機密データを暗号化すべくユーザを強制するために、より効果的でより信頼のあるデバイス及び方法のニーズがある。そのようなデバイス及び方法は、それらのパーソナルコンピューティングデバイスに格納された機密データを暗号化すべくユーザを強制するために、従来のデバイス及び方法を補完するか又は交換してもよい。
ここで説明した上記アプローチは、さらに追及しうるアプローチであって、既に着想され、追及されたアプローチではない。したがって、特に示唆しない限り、ここで説明した任意のアプローチが、ここに組み込まれることにより単に先行技術として認識されることが想定されるべきではない。
パーソナルコンピューティングデバイスに格納される機密データを暗号化するようにユーザを強制することに関連する上記問題及び他の問題は、本開示のデバイス及び方法によって低減されるか又は解消される。
一実施形態によれば、本方法は、1以上のコンピューティングデバイスによって実行される。 本方法は、ストレージデバイスを有するパーソナルコンピューティングデバイスから、ストレージデバイスの少なくとも一部がディスク暗号化によって保護されるかどうかの指標を受信することを含む。 ストレージデバイスの一部は、1以上の同期化コンテンツアイテムのコピーを格納する。本方法は、さらに、上記指標に基づき、ストレージデバイスの一部がディスク暗号化によって保護されるかどうかを判定することを含む。ストレージデバイスの一部がディスク暗号化によって保護されない場合、その後、ストレージデバイスの一部に格納される1以上の同期化コンテンツアイテムを、1以上のサーバコンピューティングデバイスに格納される1以上の同期化コンテンツで同期化するための同期化データがパーソナルコンピューティングデバイスから保留される。ストレージデバイスの一部がディスク暗号化によって保護されない場合、その後、条件を満たしていないパーソナルコンピューティングデバイスへ同期化データを送信する他の条件がないと仮定すれば、同期化データはパーソナルコンピューティングデバイスへ送信されなくてもよい。
他の実施形態において、ストレージデバイスの一部がディスク暗号化によって保護されない場合、その後、ストレージデバイスの少なくとも一部に対するディスク暗号化を有効する方法を、パーソナルコンピューティングデバイスのユーザへ指示するためのデータをが、パーソナルコンピューティングデバイスへ送信される。
さらに他の実施形態において、本方法は、さらに、パーソナルコンピューティングデバイスからの同期化データを保留した後、パーソナルコンピューティングデバイスから、ストレージデバイスの一部がディスク暗号化によって保護されるかどうかの他の指標を受信する工程を含む。他の指標を受信することに応じて、他の指標に基づき、ストレージデバイスの一部がディスク暗号化によって保護されるかどうかが判定される。他の指標に基づき、ストレージデバイスの一部がディスク暗号化によって保護されない場合、その後、ストレージデバイスの一部に格納される1以上の同期化コンテンツアイテムを、1以上のサーバコンピューティングデバイスに格納される1以上の同期化コンテンツで同期化するための同期化データがパーソナルコンピューティングデバイスへ送信される。
さらに他の実施形態において、ストレージデバイスの一部がディスク暗号化によって保護されない場合、その後、ストレージデバイスの一部に格納される、ストレージデバイスから削除すべき1つ以上のコンテンツアイテムを識別するデータがパーソナルコンピューティングデバイスへ送信される。
さらに他の実施形態において、本方法は、さらに、パーソナルコンピューティングデバイスから指標を受信する前に、パーソナルコンピューティングデバイスに関連付けられるディスク暗号化ポリシーを設定するための設定データを受信する工程を含む。設定データは、ストレージデバイスの一部に格納される1以上の同期化コンテンツアイテムを、1以上のサーバコンピューティングデバイスに格納される1以上の同期化コンテンツで同期化するための同期化データを受信するために、ストレージデバイスの少なくとも一部のディスク暗号化が求められることを示す。
さらに他の実施形態において、ディスク暗号化ポリシーは、データベースにおいて、パーソナルコンピューティングデバイスのレコード、パーソナルコンピューティングデバイスのユーザのアカウントレコード、又は、1つのアカウントがパーソナルコンピューティングデバイスのユーザに属するグループアカウントのレコードに関連付けられる。
さらに他の実施形態において、保留同期化データは、ストレージデバイスの一部に格納される1以上の同期化コンテンツアイテムと1以上のサーバコンピューティングデバイスに格納される1以上の同期化コンテンツアイテムとの間での最新の成功した同期化からの1以上のサーバコンピューティングデバイスに格納される1以上の同期化コンテンツアイテムへの変化に関連する。
さらに他の実施形態において、本方法は、さらに、管理者がパーソナルコンピューティングデバイスに適用可能なディスク暗号化ポリシーを設定することを許容するユーザインタフェースを提供する工程を含む。
さらに他の実施形態において、ユーザインタフェースは、設定されたディスク暗号化ポリシーを、管理者が、パーソナルコンピューティングデバイス、パーソナルコンピューティングデバイスのユーザ、又は、パーソナルコンピューティングデバイスのユーザがメンバーであるユーザグループへ適用することを許容する。
上記他の実施形態では、上記指標は、パーソナルコンピューティングデバイス上でインストールされる同期化クライアントアプリケーションから受信される。
したがって、それらのパーソナルコンピューティングデバイス上で格納される同期化機密データを暗号化すべくユーザを強制するための、より効果的でより信頼のあるデバイス及び方法が提供される。そのようなデバイス及び方法は、それらのパーソナルコンピューティングデバイスに格納された機密データを暗号化すべくユーザを強制するための、従来のデバイス及び方法を補完するか又は交換してもよい。
本発明の前述の実施形態だけでなく追加の実施形態の理解をより良いものとするため、各図を通じて対応する部分に同様の参照番号を付す添付の図面と合わせて、以下に詳細な実施形態の説明を記載する。
図1は、本発明の実施形態が動作し得る利用環境を示す図である。 図2乃至図5は、可能性のあるユーザインタフェースのワイヤフレーム・モックアップを示す図である。 図6は、本発明の実施形態が実装されうるコンピュータシステムを示すブロック図である。
以下では、添付の図面に示される例示に従って実施形態を詳細に説明する。以下の詳細な説明において、本発明の完全な理解を提供するために具体的詳細が説明される。しかしながら、それらの具体的詳細なしで本発明が実行されうることが当業者には明らかであろう。他の例では、実施形態の態様が無駄に不明瞭とならないように、既知の方法、手順、コンポーネント、回路、及びネットワークについての詳細な説明は省略する。
概要
本発明の実施形態は、それらのパーソナルコンピューティングデバイスに格納される同期化コンテンツを暗号化するようにユーザを強制するデバイス及び方法に関連する。より詳細には、本発明の実施形態は、パーソナルコンピューティングデバイスに格納される同期化コンテンツを更新するためにパーソナルコンピューティングデバイスへデータを送信する前に、パーソナルコンピューティングデバイスでディスク暗号化の起動を求めることに関連する。ディスク暗号化を求めることによって、更新された同期化コンテンツは、暗号化フォーマットでパーソナルコンピューティングデバイスに格納される。当該暗号化フォーマットは、パーソナルコンピューティングデバイスが紛失又は盗難された場合に、データ漏洩に対する、より大きな保護を提供する。
一態様において、本発明は、ディスク暗号化がパーソナルコンピューティングデバイスにおいて現在有効であるかどうかを判定するためのデバイス及び方法に関連する。そのような判定は、ディスク暗号化が現在有効である、又は、現在有効でないパーソナルコンピューティングデバイスからの指標を受信することを含む。例えば、当該指標は、パーソナルコンピューティングデバイスから送信されるネットワークメッセージで受信されてもよい。
本発明の他の形態は、パーソナルコンピューティングデバイスに格納された同期化コンテンツを更新するために、パーソナルコンピューティングデバイスへデータを送信するかどうか、或いは、パーソナルコンピューティングデバイスからの同期化更新を保留するかどうかを決定するデバイス及び方法に関連する。そのような決定は、パーソナルコンピューティングデバイスにおいてディスク暗号化が現在有効であるかどうかに基づいてもよい。特に、いくつかの実施形態において、ディスク暗号化がパーソナルコンピューティングデバイスにおいて現在有効であれば、その後、同期化更新(情報)がパーソナルコンピューティングデバイスへ送信される。しかしながら、ディスク暗号化がパーソナルコンピューティングデバイスにおいて現在有効でなければ、その後、同期化更新は、パーソナルコンピューティングデバイスから保留される(即ち、パーソナルコンピューティングデバイスへ送信されない。)。パーソナルコンピューティングデバイスからの同期化更新を保留することによって、パーソナルコンピューティングデバイスのユーザは、同期化更新を受信できるようにユーザがディスク暗号化を有効にすることを強制することによって、ディスク暗号化が有効となるまで、同期化コンテンツへの更新を受信しない。いくつかの実施形態において、ディスク暗号化が現在有効でない場合に、パーソナルコンピューティングデバイスに格納される同期化コンテンツを更新するためのデータを送信する代わりに、パーソナルコンピューティングデバイスにおいてディスク暗号化をどのように有効化するかを、パーソナルコンピューティングデバイスのユーザに指示するデータが送信される。
本発明のさらに他の実施形態は、ユーザのグループに対してディスク暗号化ポリシーを選択的に設定するための、管理者ユーザへのユーザインタフェースを提供することに関連する。例えば、ユーザのグループは、同一の会社における全ての従業員であってもよく、或いは、企業又は会社内における同一の部若しくは課に属する全ての従業員であってもよい。ディスク暗号化のポリシーは、ユーザグループの中から何れのパーソナルコンピューティングデバイスに対して、同期化更新を受信するためにディスク暗号化を有効にさせることを求めるかを特定することができる。ユーザインタフェースを通じて、管理者はディスク暗号化ポリシーを以下のように設定することができる。
●選択したパーソナルコンピューティングデバイスが同期化更新を受信できる前に、パーソナルコンピューティングデバイスにおけるディスク暗号化が有効にされなければならないようなデバイスごとを基準とした設定、
●パーソナルコンピューティングデバイスが同期化更新を受信できる前に、同期化コンテンツを格納する選択したユーザの各パーソナルコンピューティングデバイスがディスク暗号化を有効にさせることを求めるようなユーザごとを基準とした設定、或いは、
●パーソナルコンピューティングデバイスが同期化更新を受信できる前に、同期化コンテンツを格納するグループの各ユーザのそれぞれのパーソナルコンピューティングデバイスがディスク暗号化を有効にさせることを求めるようなグループごとを基準とした設定である。
本発明の他の実施形態は、ユーザ自身のパーソナルコンピューティングデバイスに対してディスク暗号化ポリシーを選択的に設定するための、当該ユーザへのユーザインタフェースを提供することに関連する。
本発明における前述の及び他の実施形態、目的、態様、特徴、及び利点が以下の説明からより明らかになるであろう。
動作環境の例示
図1において、本発明の実施形態が同期化コンテンツの暗号化を強制するように動作できる利用環境100は、1以上の第1のコンューティングデバイス(”パーソナルコンピューティングデバイス”)102a、102b及び102c(概して102)と、1以上の第3のコンピューティングデバイス(ここでは、”ストレージプレーンサーバ”としてまとめて参照する)106及び1以上の第4のコンピューティングデバイス(ここでは”制御プレーンサーバ”としてまとめて参照する)108を含む1以上の第2のコンピューティングデバイス(ここでは、”コンテンツ管理サーバ”としてまとめて参照する)104と、を備える。
以下の説明では、コンテンツ管理サーバ104は、ストレージプレーンサーバ106及び制御プレーンサーバ108として通常参照される。さらに、ストレージプレーンサーバ106及び制御プレーンサーバ108がコンテンツ管理サーバ104のコンピューティングデバイスにおける別個のサブセットとして図1に示されるものの、ストレージプレーンサーバ106の1以上のコンピューティングデバイスが制御プレーンサーバ108の1以上のコンピューティングデバイスと同一のコンピューティングデバイスであってもよいことが理解されるべきである。実際、ストレージプレーンサーバ106及び制御プレーンサーバ108を含むコンテンツ管理サーバ104は単一のコンピューティングデバイスで実装されてもよい。このように、図1のコンピューティングデバイスの別個のサブセットは、物理的なものよりもむしろ機能的なコンテンツ管理サーバ104の論理的な区別として見なされるべきである。しかしながら、ストレージプレーンサーバ106は、制御プレーンサーバ108から物理的に区分されうる。例えば、ストレージプレーンサーバ106は、制御プレーンサーバ108からは別個のデータセンター又は他のホスト設備に収容されてもよい。
パーソナルコンピューティングデバイス102及びコンテンツ管理サーバ104は、通信チャネル112を用いてネットワーク110と通信を行うことができる。いくつかの実施形態において、ネットワーク110はインターネットを包含する。しかし、ネットワーク110はインターネットを包含する必要はない。例えば、ネットワーク110は、企業イントラネット、オフィスネットワーク、又はホームネットワークなどの、ローカルエリアネットワーク(LAN)のみを包含してもよい。
通信チャネル112は、有線(例えば、ツイストペア、同軸ケーブル、ITU−T G.hn、光ファイバーなど)であってもよく、或いは、無線(例えば、マイクロ波、衛星、電波、赤外線等)であってもよい。異なるパーソナルコンピューティングデバイス102は、異なるタイプの通信チャネル112又は同一のタイプの通信チャネル112をネットワーク110へ接続するために使用してもよい。例えば、パーソナルコンピューティングデバイス102aは、有線のイーサネット(登録商標)を介してネットワーク110へ接続してもよく、一方でパーソナルコンピューティングデバイス102b及び102cは、IEEE801.11bベースの無線ネットワークを介してネットワーク110へ接続してもよい。同様に、パーソナルコンピューティングデバイス102及びコンテンツ管理サーバ104は、ネットワーク110へ接続するために、異なるタイプの通信チャネル112の又は同一タイプの通信チャネル112を使用してもよい。ネットワーク110がインターネットを包含するいくつかの実施形態において、コンテンツ管理サーバ104が、比較的高帯域の通信チャネル112をネットワーク110へ提供する1以上のデータセンター設備に収容され、パーソナルコンピューティングデバイス102は、比較的低帯域の通信チャネル112を用いてネットワーク110に接続する。
ネットワーク110を介したパーソナルコンピューティングデバイス102とコンテンツ管理サーバ104との間の通信は、様々な異なるネットワーク通信プロトコル(例えば、TCP/IP、UDP、HTTP、HTTPS)の1つ以上に従って発生することができる。いくつかの実施形態において、パーソナルコンピューティングデバイス102及びコンテンツ管理サーバ104は、互いの通信がネットワーク110を介する場合において一部又は全ての通信を暗号化する。例えば、そのような通信は、TSL、SSL又は他のネットワーキングレイヤの暗号化スキームを用いて暗号化される。
パーソナルコンピューティングデバイス102のそれぞれは、アクセスネットワーク110及びコンテンツ管理システム104へ使用される仮想的な任意のコンピューティングデバイスであってもよい。パーソナルコンピューティングデバイス102は、固定されたもの(例えば、ワークステーション、デスクトップ、キオスクコンピュータ、サーバコンピュータ)であってもよく、携帯のもの(ラップトップコンピュータ、モバイルフォン、スマートフォン、タブレットコンピュータ)であってもよい。パーソナルコンピューティングデバイス102は、オペレーティングシステム(例えば、WINDOWS(登録商標) NT-based, WINDOWS MOBILE, FREEBSD, LINUX(登録商標), MAX OS X, NETBSD, OPENBSD, DRAGON FLY BSD, ANDROID(登録商標), IOS)で構成されてもよい。さらに、パーソナルコンピューティングデバイス102は、ソフトウェアベース又はハードウェアベースのディスク暗号化機能で構成されてもよい。しかし、いくつかのパーソナルコンピューティングデバイス102は、ディスク暗号化機能を有さず、他のものが行う構成としてもよい。このように、全てのパーソナルコンピューティングデバイス102がディスク暗号化機能を有することは本発明の要件ではない。
3台のパーソナルコンピューティングデバイス102が利用環境100に示される一方で、他の実施形態において、3台以下のパーソナルコンピューティングデバイス102が利用環境100に存在するものであってもよい。さらに、パーソナルコンピューティングデバイス102は、異なるユーザによって使用されてもよく、複数のパーソナルコンピューティングデバイス102が同一のユーザによって使用されてもよい。
ディスク暗号化
通常、コンピューティングデバイス上で有効にされると、ディスク暗号化は、コンピューティングデバイスの大容量記憶装置(例えば、ハードディスク、半導体ドライブ、SDカード、フラッシュドライブ、又は他の不揮発性のコンピュータストレージディスク、ドライブ、カード若しくはデバイス)に格納されたデータを、対称鍵アルゴリズムを用いて暗号論的に暗号化する。コンピューティングデバイスのディスク暗号化機能は、複数のコンピューティングデバイスの大容量記憶装置(例えば、ハードディスク、半導体ドライブ、SDカード、ユニバーサル・シリアル・バス(USB)デバイスの2以上)を包含してもよい。このように、本実施形態では、単一でのストレージデバイスとして参照する一方で、単数形”a storage device”及び”the storage device”は、同様に複数形も含むことを意図している。
通常、ストレージデバイスに格納される全てのデータは、おそらくコンピューティングデバイスを起動するためのソフトウェアおよびデータを格納する当該ストレージデバイスのごく一部を除いて暗号化される。例えば、ストレージデバイスのマスタブート・レコードは、暗号化されなくてもよい。
通常、コンピューティングデバイスを起動すると、外部の暗号化鍵(例えば、ユーザネーム/パスワードの組み合わせ、ピンコード、バイオメトリックなど)が、プレオペレーティングシステムの起動認証プロセスの一部として入力され、その後、ストレージデバイスに格納されたデータを復号し、格納されたオペレーティングシステムをロードするために使用される。オペレーティングシステムの実行中に、ストレージデバイスに書かれるデータは、ストレージデバイスに書かれ際に暗号化され、ストレージデバイスから読まれるデータはストレージデバイスから読まれる際に復号される。このように、ストレージデバイスに格納される際に、全てのそのようなデータは、コンピューティングデバイスの電源が切断された場合であってもディスク暗号化が有効な限り、常に、暗号化される。
ディスク暗号化はファイル暗号化(”コンテンツ暗号化”とも称される。)とは区別されるものの、ファイル暗号化と連動して使用されてもよい。ファイル暗号化に関し、ファイルシステムの1以上の個別のファイル又はフォルダが暗号化用にユーザによって選択されてもよい。一方、ディスク暗号化により、格納されるファイルシステムのメタデータを含む、ディスク全体、パーティション又はボリュームが暗号化される。例えば、ユーザは、機密ファイルが格納されるディスクの特定のパーティションにおけるディスク暗号化を有効にしてもよい。ユーザは追加的に機密ファイルのファイル暗号化を有効にしてもよい。これは、機密ファイルの2つのレベルの暗号化をもたらす。一のレベルにおいて、機密ファイルは、ディスクの特定のパーティションに格納される場合に、ディスク暗号化によって暗号化される。他のレベルにおいて、機密ファイルのコンテンツがファイル暗号化によって暗号化される。通常、ディスク暗号化及びファイル暗号化は、別個の暗号化鍵を使用する。このように、機密ファイルの例では、1つの暗号化鍵が、機密ファイルが格納された特定のパーティションを暗号化/復号するためにディスク暗号化に使用されてもよく、他の暗号化鍵が、機密ファイルのコンテンツを暗号化/復号するためにファイル暗号化によって使用されてもよい。
例示の動作
本発明の一実施形態が利用環境でどのように動作するかを示すように、ユーザは自身のパーソナルコンピューティングデバイス102aにコンテンツ同期化ソフトウェア(ここでは“同期クライアント”として参照する)をインストールする。同期クライアントはパーソナルコンピューティングデバイス102aのストレージデバイスに格納される1以上の同期化コンテンツアイテムのコピーを、ストレージプレーンサーバ106に格納された1以上の同期化コンテンツアイテムのコピーで周期的に同期化するように設定される。ここで、周期的とは、定期的な間隔と、パーソナルコンピューティングデバイス102a若しくはストレージプレーンサーバ106に格納されたコンテンツアイテム又はコンテンツアイテムのコピーへの1つの若しくは複数の変化との少なくとも1つを意味する。明瞭な実施例を提供するために、パーソナルコンピューティングデバイス102aのストレージデバイスに格納される1以上の同期化コンテンツアイテムのセットは、ここでは“クライアントセット”として参照され、ストレージプレーンサーバ106に格納される1以上の同期化コンテンツアイテムのセットは“サーバセット”として参照される。他のパーソナルコンピューティングデバイス102(例えば、102b及び102cのいずれか一方)は、同一のサーバセットと同期化された他のクライアントセットを格納してもよい。
例えば、パーソナルコンピューティングデバイス102a及び102bは、第1のユーザによって使用されてもよく、パーソナルコンピューティングデバイス102cは第2のユーザによって使用されてもよい。パーソナルコンピューティングデバイス102a、102b、及び102cはそれぞれ、第1のユーザ及び第2のユーザが協力して作動し、ストレージプレーンサーバ106に格納される対応するサーバセットを通じて互いに同期化する同期化コンテンツアイテムのセットをそれぞれが表すクライアントセットを格納する。
登録要求
パーソナルコンピューティングデバイス102aでのインストール後、同期化クライアントは、制御プレーンサーバ108に対して、コンテンツ管理サーバ104にデバイス102aを登録する登録要求を行う。登録要求は、デバイス識別情報(又は、単にデバイス識別子)、例えば、コンテンツ管理サーバ104が登録目的でデバイス102aを追跡するために使用する英数字文字列を含んでもよい。登録要求はまた、ユーザアカウント識別情報(即ち、“アカウント識別子”)、例えば、デバイス102aのユーザによって保持されるコンテンツ管理システム104でユーザアカウントを直接的に又は間接的に識別する電子メールアドレス又は英数字文字列を含んでもよい。機密保護の目的で、アカウント識別子及びデバイス識別子の少なくとも一方は、セキュリティ又は認証トークンの一部として、登録要求に符号化されるか、及び暗号化されるかの少なくとも一方が行われてもよい。
ディスク暗号化情報
登録要求は、ディスク暗号化情報を含んでもよい。ディスク暗号化情報は、クライアントセットが格納されるストレージデバイスの一部がディスク暗号化によって現在保護されているかどうかを示してもよい(即ち、ディスク暗号化は少なくとも一部に対して現在有効にされているかどうか)。クライアントセットが格納されるストレージデバイスの一部は、ストレージデバイスのパーティション若しくはボリューム、又は、ストレージデバイス全体に対応する。しかし、クライアントセットは、一部のストレージ領域の全部を消費しなくてもよい。例えば、ディスク暗号化情報は、ストレージデバイスの全て(いくつかの起動部分を保護する)がディスク暗号化によって保護されることを示してもよいが、クライアントセットがストレージデバイスのストレージ領域全体のごく一部のみに格納されてもよい。
ディスク暗号化情報は、クライアントセットが設定されるストレージデバイスの一部が様々な異なる方法のディスク暗号化によって保護されるかどうかを示してもよい。例えば、ディスク暗号化情報は、ストレージデバイスの一部がディスク暗号化によって保護されることを1つの値(例えば、1又はTRUE)で示し、ストレージデバイスの一部がディスク暗号化によって保護されないことを他の異なる値(例えば、0又はFALSE)で示すバイナリ値、又はブール値を含んでもよい。代替的に、ディスク暗号化情報は、クライアントセットがディスク暗号化によって保護されるかどうかを制御プレーンサーバ108が判定できる、ローディスク暗号化情報及びクライアントセット情報を含んでもよい。例えば、ローディスク暗号化情報は、ディスク暗号化によって保護されるストレージデバイスのパーティション又はボリュームと、クライアントセットが格納されるストレージデバイスのパーティション又はボリュームとを特定してもよい。
いくつかの実施形態において、ディスク暗号化情報は、デバイス102aがディスク暗号化可能であるかどうかを示す。そのような情報は、ディスク暗号化ポリシーを設定するために使用されてもよい。例えば、そのような情報は、パーソナルコンピューティングデバイスがディスク暗号化を有効にすることを求めるべきであることを選択するためのユーザインタフェースでユーザに提示されてもよい。ディスク暗号化情報が、デバイス102aがディスク暗号化可能であることを示すことができ、かつ、クライアントセットが格納されるストレージデバイスの一部が暗号化によって現在保護されていないことを示すことができることに注意されるべきである。例えば、デバイス102aのディスク暗号化が現在有効でなくてもよい。
同期化クライアントは、ディスク暗号化情報、又は、デバイス102aの基本的なオペレーティングシステムのアプリケーションプログラマブルインタフェース(API)を用いてディスク暗号化情報が取り出される情報を含んでもよい。通常、当該情報を取得するために使用される特定のAPIは、異なるオペレーティングシステム間では変わるものである。例えば、ANDROIDのオペレーティングシステムは、IOSのオペレーティングシステムと比較して、当該情報を取得するための異なるAPIを提供してもよい。
登録状態
登録要求を受信することに応じて、制御プレーンサーバ108は、デバイス102aが部分的な登録状態で又は全体的な登録状態で登録されるべきかどうかを判定するために、登録要求のディスク暗号化情報を使用することができる。部分的な登録状態では、コンテンツ管理サーバ104は、デバイス102aからのサーバセットへの更新を保留する(即ち、送信しない)。しかしながら、デバイス102aは、部分的な登録状態のコンテンツ管理サーバ104からの他のデータやサービスを受信してもよい。全体的な登録状態では、デバイス102aは、コンテンツ管理サーバ104からのサーバセットへの更新(情報)を受信してもよい。部分的に登録されたデバイス102と、全体的に登録されたデバイス102とは、コンテンツ管理サーバ104によって提供されるユーザインタフェースなどで示されてもよい。
ディスク暗号化ポリシー
デバイス102aが部分的に又は全体的に登録されるべきかの判定は、ディスク暗号化ポリシーに基づくことができる。上記ポリシーは、グループアカウント、個別アカウント又は個別デバイスに関連付けられてもよい。例えば、ポリシーの関連付けは、制御プレーンサーバ108へアクセス可能なデータベース部分に格納されてもよい。
グループアカウントと関連付けられると、上記ポリシーは、グループの全てのアカウントの全体的に登録される全てのデバイスがディスク暗号化を有効にするように求められることを特定してもよい。したがって、登録要求がグループに属するアカウントに対して受信されると、制御プレーンサーバ108は、登録要求のディスク暗号化情報及びグループアカウントと関連付けられたディスク暗号化ポリシーに基づき、要求を送信するデバイス102aが部分的に登録されるべきであるか、又は、全体的に登録されるべきであるかどうかを判定する。例えば、ディスク暗号化ポリシーがディスク暗号化を有効にすべきことを求め、ディスク暗号化が有効でないことを登録要求のディスク暗号情報が示す場合、制御プレーンサーバ108は、部分的な登録としてデバイス102aを登録する。
個別のアカウントと関連付けられる場合、ディスク暗号化ポリシーは、全ての登録されたアカウントのデバイスがディスク暗号化を有効にすることを求められることを特定してもよい。例えば、ユーザが2台のデバイス102a及び102bを登録する場合、ユーザのアカウントに関連付けられるディスク暗号化ポリシーは、ディスク暗号化を有効にすることをユーザの全てのデバイス102に対して求めてもよい。例えば、部分的に又は全体的にデバイス102a及び102bを登録した後に、ユーザが新たなデバイス102cを登録しようとする場合、ユーザのアカウントに関連付けられるディスク暗号化ポリシーは、新たなデバイス102cについてもディスク暗号化を有効にすることを求めるであろう。
個々のデバイス102に関連付けられる場合、ディスク暗号化ポリシーは、個々のデバイス102がディスク暗号化を有効にすることを求められることを特定してもよい。例えば、ディスク暗号化を求めるディスク暗号化ポリシーは、固定のデバイス102(例えば、ワークステーション及びデスクトップコンピュータ)よりも紛失又は盗難の可能性のある携帯デバイス102(例えば、セルフォン、スマートフォン、タブレット、ラップトップ)に関連付けられてもよい。
同期化データの保留
いくつかの実施形態によれば、パーソナルコンピューティングデバイス102aのユーザは、最新の更新(情報)でクライアントセットをサーバセットへ更新するための同期化データを保留することによってクライアントセットが格納されるパーソナルコンピューティングデバイス102aのストレージデバイスの少なくとも一部に対してディス暗号化を有効にすることを強制される。保留された同期化データは、同期化クライアントによってクライアントセットの同期化コンテンツアイテムをサーバセットのコンテンツアイテムで同期化するために使用される、任意のコンテンツアイテムデータ又は同期化メタデータであってもよい。例えば、制御プレーンサーバ108は、同期化クライアントによってクライアントセットのコンテンツアイテム(又はその一部)がサーバセットに対して古いものとなっているかどうかを判定するために使用される同期化データを保留してもよい(即ち、送信されない)。他の実施例として、制御プレーンサーバ104は、クライアントセットによってクライアントセットのコンテンツアイテムを更新するためコンテンツアイテムデータをストレージプレーンサーバ106からダウンロードするかどうかを判定するために使用される同期化データを保留してもよい(即ち、送信されない)。いくつかの実施形態において、そのような保留された同期化データは、サーバセットのコンテンツアイテムの1つのブロック若しくは複数のブロック、又は複数のコンテンツアイテムを識別する。いくつかの実施形態において、コンテンツアイテムブロックは、4メガバイトのサイズまでとしてもよい。
適用可能ディスク暗号化ポリシーへの変更
パーソナルコンピューティングデバイス102へ適用可能なディスク暗号化ポリシーは、時間とともに変更してもよい。例えば、デバイス102aが制御プレーンサーバ108に登録すると、デバイス102aに適用可能なディスク暗号化ポリシーは、登録のタイミングではディスク暗号化を求めなくてもよい。しかしながら、管理者は、その後にデバイス102aに対してディスク暗号化を求めるために、適用可能なディスク暗号化ポリシーを突然に変更してもよい。
いくつかの実施形態において、制御プレーンサーバ108は、デバイス102a上の同期化クライアントが制御プレーンサーバ108との同期化を開始するたびに、デバイス102aに適用可能なディスク暗号化ポリシーを確認する。上述したように、そのような同期化は、サーバセットと同期化されるクライアントセットを維持する目的で同期化クライアントによって周期的に開始されてもよい。制御プレーンサーバ108は、その後ディスク暗号化ポリシーの現在の設定に従って同期化データを保留する。本方法で、デバイス102aが制御プレーンサーバ108に登録された後に利用可能なディスク暗号化ポリシーがディスク暗号化を求めるように変更されると、ユーザは、適用可能なディスク暗号化ポリシーが変更された後に行われたサーバセットへの変更に関連する同期化データを保留することによってデバイス102aでディスク暗号化を有効にすることを強制されうる。
保護されないコンテンツアイテムの削除
いくつかの実施形態において、ディスク暗号化ポリシーがディスク暗号化を有効にすることを求め、ディスク暗号化がデバイス102a上で現在有効にされていない場合に、デバイス102aに適用可能なディスク暗号化ポリシーは、デバイス102aからのクライアントセットの選択したコンテンツアイテムを削除するために、管理者によって設定されもよい。デバイス102aからのそのような“保護されない”コンテンツアイテムを削除することによって、保護されないコンテンツアイテムがディスク暗号化ポリシーに対して暗号化されないデバイス102aに格納されない。
いくつかの実施形態において、制御プレーンサーバ108は、デバイス102aの現在のディスク暗号化の設定がディスク暗号化ポリシーに違反しているかどうかを判定した後に、デバイス102aからのクライアントセットの選択したコンテンツアイテムを削除するように同期化クライアントへ指示してもよい。例えば、制御プレーンサーバ108は、登録要求に応じて、又は、同期化を開始する同期化クライアントに応じて、クライアントセットからコンテンツアイテムを削除するように同期化クライアントに指示してもよい。制御プレーンサーバ108はまた、長期間のネットワーク接続を介して同期化クライアントへ削除コマンドを通知してもよい。例えば、制御プレーンサーバ108は、Hyper Text Transfer Protocol (HTTP) のロングポーリング技術を用いて削除コマンドを通知してもよい。
クライアントセットからの選択したコンテンツアイテムの削除が一時的なものであってもよいことに注意されるべきである。例えば、デバイス102aが突然にディスク暗号化を有効にするように設定された場合、その後、削除されるコンテンツアイテムは、サーバセットとの次の同期化の際にデバイス102aに戻されてもよい。また、クライアントセットからのコンテンツアイテムを削除することは、サーバセットから対応するコンテンツアイテムを削除しなくてもよい。
ディスク暗号化の有効化
いくつかの実施形態において、デバイス102aに適用可能なディスク暗号化ポリシーがディスク暗号化を求め、かつ、デバイス102aがディスク暗号化を有効にしていない場合、デバイス102aからの同期化データを保留することに加えて、制御プレーンサーバ108は、デバイス102aのユーザにデバイス102a上のディスク暗号化を有効にするように指示することに関連する情報を送信する。制御プレーンサーバ108によって送信されるそのような指示情報は、ユーザに提示されるべきディスク暗号化を有効にすることを指示する指標、又はそれらの実際の指示であってもよい。当該指示情報は、その後に情報に従って動作するデバイス102a上の同期化クライアントによって受信されてもよい。例えば、同期化クライアントは、デバイス102aにインストールされたウェブブラウザを起動して、デバイス102a上でディスク暗号化を有効にするための情報を提示するウェブページを提示させることができる。
図2は、ユーザにディスク暗号化の有効化方法を指示するための、デバイス102aのユーザに提示される表示可能なウェブページウィンドウ201のワイヤフレーム・モックアップである。ウィンドウ201は、同期化データが適用可能なディスク暗号化ポリシーに従ってデバイス102aから保留されるべきであるかどうかを制御プレーンサーバ108が判定した後に制御プレーンサーバ108からの指示情報の受信に応じて表示されてもよい。ウィンドウ201は、ディスク暗号化がデバイス102a上で有効にされていないために、デバイス102aに格納されるクライアントセットとストレージプレーンサーバ106に格納されるサーバセットとの間の同期化が完了できないことをユーザに説明するテキストメッセージ202を含む。ウィンドウ201はまた、起動されると、デバイス102a上でディスク暗号化を有効にするためのユーザへの詳細な指示を提供するリンク203を含む。例えば、リンク203は、起動されると、詳細な指示を有する他のウェブページを提示することができる。
いくつかのデバイス102に関し、ユーザにとってディスク暗号化が自動的に有効にされるようにしてもよい。例えば、デバイス102a上のオペレーティングシステムは、デバイス102a上でディスク暗号化を有効にすることに関連する又は有効にするために呼び出されるアプリケーションプログラマブルインタフェース(API)を提供してもよい。それらのデバイス102に関して、制御プレーンサーバ108からの指示情報を受信することに応じて表示されるウェブページウィンドウは、ユーザがディスク暗号化を自動的に起動できるリンクを提供してもよい。そのようなウィンドウのワイヤフレームのモックアップの例示を図3に示す。ここで、ウィンドウ301は、図2のウィンドウ201に示される同一のテキストメッセージ202を含むが、起動されると手動でディスク暗号化を有効にする方法をユーザへさらに詳細な指示を提供するリンクの代わりに、リンク303が提供される。起動されると、リンク303は、デバイス102a上でディスク暗号化を自動的に有効にする。例えば、リンク303の起動は、同期化クライアント又はデバイス102にインストールされた他のソフトウェアプログラムに、デバイス102a上でディスク暗号化を有効にするためのオペレーティングシステムAPIを呼び出させる。リンク303がディスク暗号化をユーザにとって自動で有効にする場合であっても、所定のユーザとのインタラクションでは、ディスク暗号化にデバイス102aを設定することを求めてもよい。例えば、ユーザは、有効化処理中に暗号化カギのパスワードを入力するように促されてもよい。
ディスク暗号化ポリシーの設定
いくつかの実施形態において、コンテンツ管理サーバ104は、グループユーザに適用可能なディスク暗号化ポリシーを選択的に設定することを管理者ユーザに許容するウェブベースのユーザインタフェースを提供する。管理者ユーザに対しては、例えば企業又は組織の代表として、グループユーザに対するディスク暗号化ポリシーを管理する責任を負わせてもよい。グループユーザは、企業又は組織のメンバー又は従業員であってもよい。上述したように、ユーザインタフェースを通じて、管理者はディスク暗号化ポリシーを以下のように設定できる。
●デバイスごとを基礎に、
●ユーザごとを基礎に、又は、
●グループごとを基礎に設定できる。
図4は、デバイスごとを基礎とした、又は、ユーザごとを基礎としたデバイス暗号化ポリシーを設定するための可能なウェブベースのユーザインタフェースのワイヤフレームのモックアップである。ここで、ユーザインタフェース401は、他のユーザが管理するグループユーザのメンバー(ジェーン)に詳細な情報を提供する。ユーザインタフェース401は、ジェーンがコンテンツ管理サーバ104に(部分的又は全体的のいずれかで)登録したデバイス102をリストアップする。
図4には示されないものの、ユーザインタフェース401は、各登録デバイスが部分的に又は全体的に登録されるかどうかを示すこともできる。例えば、登録状態アイコン、テキスト、又は他の登録状態指標を、現在のデバイス状態を示すように示すデバイスに対応する行(列)において、ユーザインタフェース401上で表示することができる。
ユーザインタフェース401は、デバイスから受信した最新の指標に基づき、ジェーンの登録デバイス上でディスク暗号化が現在有効にされているかどうかを示す。本実施例において、ディスク暗号化は、ジェーンのラップトップについて現在有効にされているものの、ジェーンのタブレットについては有効にされていない。
ユーザインタフェース401はまた、ディスク暗号化を選択的に求める多数のチェックボックス402を提供する。特に、管理者は、チェックボックス402a及び402bの1つ又は両方を選択することによってデバイスごとを基礎としてディスク暗号化を選択的に求めることができる。具体的には、チェックボックス402aを選択することはジェーンのラップトップでのディスク暗号化を求め、チェックボックス402bを選択することはジェーンのタブレットでのディスク暗号化を求めることになる。代替的に、管理者は、チェックボックス402cを選択することによってまだ登録されていないデバイスを含む全てのジェーンのデバイスに対して、ユーザごとを基礎としてディスク暗号化を求めることができる。
図5は、グループごとを基礎としたディスク暗号化ポリシーを設定するための可能なウェブベースのユーザインタフェースのワイヤフレームのモックアップである。ここで、ユーザインタフェース501は、2つのラジオボタン502a及び502bを提示する。管理者は、ディスク暗号化ポリシーを管理するグループ名“Vanicure Enterprises”の現在及び将来のメンバーに対してディスク暗号化を求めるためにラジオボタン502aを選択することができる。代替的に、管理者は、ディスク暗号化が不要であれば、ラジオボタン502bを選択することができる。
いくつかの実施形態において、コンテンツ管理サーバ104は、ユーザがユーザ自身のパーソナルコンピューティングデバイスに適用可能なディスク暗号化ポリシーを選択的に設定することを許容するウェブベースのユーザインタフェースを提供する。図4の管理者ユーザインタフェースと同様に、ユーザインタフェースは、コンテンツ管理サーバ104にまだ登録されていないユーザのデバイスを含む全てのユーザのデバイスに対してディスク暗号化を求めることをユーザに許容することができる。代替的に、ユーザインタフェースは、ユーザが選択した1以上のユーザのデバイスでディスク暗号化を求めることを許容することができる。当該ユーザインタフェースを提供することによって、ユーザは、それらのデバイス上でディスク暗号化を有効にするリマインダを効果的に設定することができる。具体的には、ディスク暗号化を求めるようにユーザが設定したデバイスからの同期化データ保留することによって、デバイスが同期化データを受信していないことに気付いたうえで又は気づかされたうえで、ユーザは、そのようなデバイス上でディスク暗号化を有効にすることをリマインドされる。
実装した機構の例示
図6は、本発明の実施形態が実装されるコンピュータシステム600を示すブロック図である。コンピュータシステム600は、情報を通信するバス602又はその他の通信機構と、情報を処理するための、バス602に結合されたハードウェアプロセッサ(CPU)604とを備える。バス602は、コンピュータシステム600の多くのコンポーネントを通信可能に接続する、全てのシステムバス、周辺バス、及びチップセットバスを選択的に表す。ハードウェアプロセッサ604は、異なる実装において、1以上の一般用途のマイクロプロセッサ又はマルチコアプロセッサであってもよい。
コンピュータシステム600はまた、情報やプロセッサ604によって実行される指示を格納するためにバス602に結合された、ランダムアクセスメモリ(RAM)又は他の動的ストレージデバイスなどのメモリ606を含んでもよい。メモリ606はまた、プロセッサ604によって実行されるべき指示の実行中に一時変数又は他の中間情報を格納するために使用されてもよい。プロセッサ604へアクセス可能な一時的でない記憶媒体に格納される場合、そのような指示は、コンピュータシステム600を指示に特定される動作を実行するようにカスタマイズされた特定用途の機械へ変換する。
コンピュータシステム600はさらに、静的情報及びプロセッサ604への指示を格納するためにバス602に結合された読み取り専用メモリ(ROM)608又は他の静的ストレージデバイスを含む。
半導体ドライブ、磁性ディスク又は光学ディスクドライブなどのストレージデバイス610が提供され、情報及び指示を格納するためにバス602へ結合される。
コンピュータシステム600は、バス602を介して、情報をコンピュータユーザに表示するための液晶ディスプレイ(LCD)などのディスプレイ612へ結合されうる。
1以上の物理入力デバイス614、例えば英数字キーボード又は他のキーボード若しくは他のキーパッドが情報やコマンドの選択をプロセッサ604へ通知するためにバス602に結合されうる。入力デバイス614の他の可能なタイプは、プロセッサ604へ方向情報やコマンドの選択を通知し、ディスプレイ612上でのカーソルの移動を制御するためのマウス、トラックボール、カーソル方向キーなどのカーソル制御である。当該入力デバイスは、通常、デバイスが平面上の位置を特定することを許容する第1軸(例えば、x)と第2軸(例えば、y)の二軸の2つの自由度を有する。さらに他の可能なタイプの入力デバイス614は、プロセッサ604へ方向情報及び他の情報やコマンドの選択を通知するための、タッチスクリーンディスプレイを形成するようにディスプレイ612に載せられるものなどのタッチ感知式の面である。タッチ感知式の面は、通常、触覚及び触知の少なくとも一方の接触に基づく、ユーザからの入力を受け付ける1つのセンサ又は複数のセンサの組を有する。
1以上の出力デバイス616、例えば、ヘッドフォン及びオーディオスピーカの少なくとも一方が、コンピュータユーザへオーディオ情報を出力するためにバス602に結合される。
ネットワークインタフェース618は、ローカルネットワーク622へのネットワークリンク620を確立する2つの方法のデータ通信を提供する。ネットワークリンク620は、有線(例えば、イーサネット有線リンク)又は無線(例えば、セルラー無線リンク又はWiFi無線リンク)であってもよい。ローカルエリアネットワーク622は、インーネット624、ローカルネットワーク622及び1以上の他のデータネットワークの少なくとも1つにリンク付けされた1つ以上の他のコンピューティングデバイス626と通信するための、ローカルエリアネットワーク(LAN)、広域ネットワーク(WAN)、インターネット624、又は1以上の他のデータネットワークに通信可能に接続された他のネットワークであってもよい。
コンピュータシステム600は、ネットワーク622及び626の少なくとも一方、ネットワークリンク620、及びネットワークインタフェース618を通じて、プログラムコードを含む、メッセージを送信し、データを受信することができる。例えば、サーバ626は、インターネット624、ローカルエリアネットワーク622、及びネットワークインタフェース618を通じて、アプリケーションプログラムに対して要求されるコードを送信するかもしれない。受信コードは、受信した際にプロセッサ604によって実行されてもよく、及び、後の実行のためにストレージデバイス610又は他の不揮発性のストレージに格納されてもよく、或いは、そのいずれもが行われてもよい。
コンピュータシステム600は、カスタマイズされた配線論理、1つ以上の特定用途向け集積回路(ASIC)若しくはフィールドプログラマブルアレイ(FPGA)、ファームウェア、及び、コンピュータシステム600と協働してコンピュータシステム600を特定用途向けの機械とさせる又はプログラムするプログラム論理の少なくとも1つを用いて、ここで説明される技術を実行することができる。
一実施形態によれば、ここでの技術は、メインメモリ606に含まれる1つ以上の指示の1つ以上のシーケンスを実行するプロセッサ604に応じて、コンピュータシステム600によって実行される。そのような指示は、ストレージデバイス610などの他のストレージ媒体からメモリ606へと読み込まれてもよい。メインメモリ606に含まれる指示のシーケンスの実行は、プロセッサ604にここで説明する処理ステップを実行させる。
代替の実施形態において、配線回路は、ソフトウェア命令の代わりに、又は、連結して使用されてもよい。
用語及び用語集の利用
本発明の本明細書及び添付の特許請求の範囲で使用される用語は、特定の実施形態を説明するか、又は、クレームする目的のみであり、本発明を限定することを意図したものではない。
本発明の明細書及び添付の特許請求の範囲に使用されるように、用語“第1の”及び“第2の”などは、種々の要素を説明するためにここで使用され、それらの要素はそれらの用語によって限定されるべきではない。それらの用語は、他の要素から区別するためにのみ使用される。例えば、本発明の範囲から逸脱することなく、第1のデバイスは、第2のデバイスと称されてもよく、同様に、第2のデバイスは第1のデバイスと称されてもよい。第1のデバイスおよび第2のデバイスは両方ともデバイスであるが、同一のデバイスでなくてもよい。
本発明の明細書及び添付の特許請求の範囲で使用されるように、単数形“a”、“an”及び“the”は、別途明確に言及しない限り、同様に複数形を含むことも意図されている。
本明細書で使用される用語“and/or(〜及び〜少なくとも1つ)”は、1以上の関連する記載の項目の可能な全ての組み合わせを参照し、かつ、包含することも理解されるであろう。
用語“含む”、“含んでいる”、“備える”、及び“備えている”の少なくとも1つは、本明細書及び添付の特許請求の範囲で使用される場合、記載した特徴、整数、ステップ、動作、要素、及びコンポーネントの少なくとも1つの存在を特定するものの、1つ以上の他の特徴、整数、ステップ、動作、要素、コンポーネント及びそれらのグループの少なくとも1つを除外するわけではないこともさらに理解されるであろう。
本明細書及び添付の特許請求の範囲に使用されるように、用語“if(であれば)”は、文脈に従って、“when(のとき、の場合)”、“upon(の際に)”、“判定に応じて”又は“検出に応じて”を意味するように解釈されてもよい。同様に、フレーズ“判定した場合”又は“(記載した条件又はイベントが)検出された場合”は、“判定した際に”、“判定に応じて”、“(記載した条件又はイベント)を検出した際に”又は“(記載した条件又はイベント)を検出することに応じて”を意味するように解釈されてもよい。
ここで使用される用語“コンテンツアイテム”は、コンピュータデータの任意の論理的な集合として一般的に参照する。コンテンツアイテムのデータは、ドキュメントタイプ(例えば、MICROSOFT WORD, PDF, MICROSOFT EXCELなど)、画像タイプ(例えば、JPEG, TIFF, GIF, PNGなど)、オーディオタイプ(例えば、ACC, MPEG-3など)、動画タイプ(例えば、MPEG-2など)、アーカイブタイプ(例えば、ZIPなど)、又は任意の他のタイプのコンピュータデータを含む種々の異なるデジタルコンテンツタイプの形式であってもよい。
ここで使用される用語“非一時的な媒体”は、機械を特定の様式で動作させるデータ及び命令の少なくとも1つを格納する任意の媒体として参照される。そのような非一時的な媒体は、不揮発性の媒体及び揮発性の媒体の少なくとも1つを備えてもよい。不揮発性の媒体は、例えば、ストレージデバイス610などの半導体デバイス、光学デバイス、および磁性ディスクを含む。揮発性媒体はメモリ606などの動的メモリを含む。非一時的な媒体の一般的な形式は、例えば、フロッピー(登録商標)ディスク、フレキシブルディスク、ハードディスク、半導体ドライバ、磁性テープ、CD-ROM、フラッシュドライバ、任意の他の電気的、磁性的若しくは光学的データストレージ媒体や、RAM、PROM、EPROM、FLASH-EPROM、NVRAM、又は任意の他のメモリチップ若しくはカートリッジを含む。非一時的な媒体は、送信媒体とは区別されるものの、当該送信媒体と連結して使用されてもよい。送信媒体は、非一時的媒体間で情報を転送することに使用されてもよい。例えば、送信媒体は、バス602を備える有線を含む同軸ケーブル、銅線、及び光ファイバーを含む。送信媒体はまた、音波又は光波の形式をとることもできる。
本明細書において、用語“ソフトウェア”及び“プログラム”は、1以上のプロセッサによって実行されうる、例えばプロセッサ604メモリに格納されたファームウェア、アプリケーション、及び命令のセットの少なくとも1つ、例えば、メモリ606及びストレージデバイス610の少なくとも1つを含む。いくつかの実施形態において、複数のソフトウェアの態様は、個別のソフトウェアの態様を維持する一方でより大きなプログラムのサブ部分として実装されてもよい。幾つかの実施形態において、複数のソフトウェアの態様は、個別のプログラムとして実装されてもよい。最後に、ここで説明されるソフトウェアの態様をともに実行する任意の組み合わせの個別のプログラムは、本開示の範囲内である。いくつかの実施形態において、1以上のコンピューティングデバイスを作動するためにインストールされる場合、ソフトウェアプログラムは、当該ソフトウェアプログラムの動作を実行する1以上の特定の機械実装を定義する。ソフトウェアプログラム(プログラム、ソフトウェアプリケーション(又は単にアプリケーション)、スクリプト又はコード)は、コンパイラ型言語若しくはインタープリタ型言語、宣誓型言語若しくは手続き型言語を含む任意の形式のプログラミング言語で書かれてもよく、スタンドアロンプログラムの形式、又はモジュール、コンポーネント、サブルーチン、オブジェクト若しくはコンピューティング環境で使用されるのに適した他のユニットの形式を含む任意の形式で展開されてもよい。コンピュータプログラムは、ファイルシステムのファイルに対応することができる。プログラムは、問い合わせのプログラムで使用される単一のファイル又は複数のまたまったファイル(例えば、1以上のモジュール、サブプログラム、又はコードの一部を格納する複数のファイル)において、他のプログラム又はデータ(例えば、マークアップ言語のドキュメントに格納される1以上のスクリプト)を保持するファイルの一部として格納されうる。コンピュータプログラムは、1つの場所、又は分散した複数の場所にわたって配置され、通信ネットワークによって相互に接続される、1つのコンピュータ又は複数のコンピュータ上で実行するために展開されうる。
拡張及び代替例
前述した明細書において、本発明の実施形態について、実装間で異なる多数の特定の詳細について説明した。明細書及び図面は、従って、限定的な意味というよりはむしろ例示とみなされるものである。本発明の範囲の唯一かつ排他的な指標、及び、本発明の範囲とするべき出願人の意図は、本出願、継続の発明や一部を含むその継続出願、及びその分割出願から生まれる、その後の手続補正書を含む特定の形式での、特許請求の範囲のセットの文字通りの範囲及び同等の範囲となる。
一の代替の実施形態において、コンテンツアイテムの同期化データを保留することによってそれらのパーソナルコンピューティングデバイス上でディスク暗号化を有効にするようにユーザを強制する代わりに、コンテンツアイテムの同期化データを保留することによって、それらのパーソナルコンピューティングデバイス上のアンチウィルスソフトウェア、ピンコード認証、パスワード認証、及びネットワークファイアウォールソフトウェアの少なくとも1つを有効にするようにユーザを強制してもよい。

Claims (16)

  1. データネットワークを介して、ストレージデバイスを備えるパーソナルコンピューティングデバイスへ動作可能に接続された1以上のサーバコンピューティングデバイスによって実行されるコンピュータに実装される方法であって、
    前記1以上のサーバコンピューティングデバイスのうちの1つのサーバコンピューティングデバイスが、前記ストレージデバイスを備える前記パーソナルコンピューティングデバイスから、前記ストレージデバイスの少なくとも一部がディスク暗号化によって保護されるかどうかの指標を、前記データネットワークを介して受信する工程と、
    前記1以上のサーバコンピューティングデバイスのうちの1つのサーバコンピューティングデバイスが、前記指標に基づき、同期化データが前記パーソナルコンピューティングデバイスから保留されるべきであるかどうかを判定する工程であって、前記同期化データが前記ストレージデバイスの前記一部に格納される1以上のコンテンツアイテムを前記1以上のサーバコンピューティングデバイスに格納される1以上のコンテンツアイテムで同期化するためのデータである、判定する前記工程と、
    前記1以上のサーバコンピューティングデバイスのうちの1つのサーバコンピューティングデバイスが、前記ストレージデバイスの前記一部がディスク暗号化によって保護されない場合、前記パーソナルコンピューティングデバイスへ前記データネットワークを介して前記同期化データを送信しない工程と、
    前記1以上のサーバコンピューティングデバイスのうちの1つのサーバコンピューティングデバイスが、前記ストレージデバイスがディスク暗号化によって保護される場合、前記データネットワークを介して前記同期化データを前記パーソナルコンピューティングデバイスへ送信する工程と、を含むことを特徴とする方法。
  2. 前記ストレージデバイスの前記一部がディスク暗号化によって保護されない場合、その後、ディスク暗号化を有効にする方法を前記パーソナルコンピューティングデバイスのユーザに指示するためのデータを前記パーソナルコンピューティングデバイスへ送信する工程をさらに含むことを特徴とする請求項1に記載の方法。
  3. 前記ストレージデバイスの前記一部がディスク暗号化によって保護されない場合、その後、前記ストレージデバイスの少なくとも前記一部に対するディスク暗号化を自動的に有効するために、前記パーソナルコンピューティングデバイスへコマンドを送信する工程をさらに含むことを特徴とする請求項1に記載の方法。
  4. 前記ストレージデバイスの前記一部がディスク暗号化によって保護されない場合、前記ストレージデバイスの前記一部に格納される、前記ストレージデバイスから削除すべき1つ以上のコンテンツアイテムを識別するデータを前記パーソナルコンピューティングデバイスへ送信する工程をさらに含むことを特徴とする請求項1に記載の方法。
  5. ディスク暗号化ポリシーを設定するための設定データであって、前記ストレージデバイスの前記一部に格納されるコンテンツアイテムを同期化するための同期化データを受信するために、前記ストレージデバイスの少なくとも前記一部のディスク暗号化が求められることを示す前記設定データを受信する工程と、
    a)前記パーソナルコンピューティングデバイスのレコードと、b)前記パーソナルコンピューティングデバイスのユーザのアカウントレコードと、c)1つのアカウントが前記パーソナルコンピューティングデバイスのユーザに属するグループアカウントのレコードと、の少なくとも1つに関連付けられてデータベースに前記ディスク暗号化ポリシーを格納する工程とをさらに含むことを特徴とする請求項1に記載の方法。
  6. a)前記パーソナルコンピューティングデバイスと、b)前記パーソナルコンピューティングデバイスのユーザと、c)前記パーソナルコンピューティングデバイスのユーザがメンバーであるユーザグループと、の少なくとも1つに、管理者がディスク暗号化ポリシーを適用するユーザインタフェースを提供する工程をさらに含むことを特徴とする請求項1に記載の方法。
  7. 前記指標は、前記パーソナルコンピューティングデバイス上でインストールされる同期化クライアントアプリケーションから受信されることを特徴とする請求項1に記載の方法。
  8. 1以上のコンピューティングデバイスによって実行されると、請求項1乃至7の何れか1項に記載の方法を1以上のコンピューティングデバイスに実行させる命令を格納した1以上のコンピュータで読取可能な記憶媒体。
  9. システムであって、
    ストレージデバイスを含むパーソナルコンピューティングデバイスへデータネットワークを介して動作可能に接続される1以上のサーバコンピューティングデバイスと、
    前記1以上のサーバコンピューティングデバイスのうちの1つのサーバコンピューティングデバイスにおける、前記ストレージデバイスを備える前記パーソナルコンピューティングデバイスから、前記ストレージデバイスの少なくとも一部がディスク暗号化によって保護されるかどうかの指標を、前記データネットワークを介して受信する手段と、
    前記1以上のサーバコンピューティングデバイスのうちの1つのサーバコンピューティングデバイスにおける、前記指標に基づき、同期化データが前記パーソナルコンピューティングデバイスから保留されるべきであるかどうかを判定する手段であって、前記同期化データが前記ストレージデバイスの前記一部に格納される1以上のコンテンツアイテムを前記1以上のサーバコンピューティングデバイスに格納される1以上のコンテンツアイテムで同期化するためのデータである、判定する前記手段と、
    前記1以上のサーバコンピューティングデバイスのうちの1つのサーバコンピューティングデバイスにおける、前記ストレージデバイスの前記一部がディスク暗号化によって保護されない場合、前記パーソナルコンピューティングデバイスへ前記データネットワークを介して前記同期化データを送信しない手段と、
    前記1以上のサーバコンピューティングデバイスのうちの1つのサーバコンピューティングデバイスにおける、前記ストレージデバイスがディスク暗号化によって保護される場合、前記データネットワークを介して前記同期化データを前記パーソナルコンピューティングデバイスへ送信する手段と、を備えることを特徴とするシステム。
  10. 前記ストレージデバイスの前記一部がディスク暗号化によって保護されない場合、ディスク暗号化を有効にする方法を前記パーソナルコンピューティングデバイスのユーザに指示するためのデータを前記パーソナルコンピューティングデバイスへ送信する手段をさらに備えることを特徴とする請求項9に記載のシステム。
  11. 前記ストレージデバイスの前記一部がディスク暗号化によって保護されない場合、前記ストレージデバイスの少なくとも前記一部に対するディスク暗号化を自動的に有効するために、前記パーソナルコンピューティングデバイスへコマンドを送信する手段をさらに備えることを特徴とする請求項9に記載のシステム。
  12. 前記ストレージデバイスの前記一部がディスク暗号化によって保護されない場合、前記ストレージデバイスの前記一部に格納される、前記ストレージデバイスから削除すべき1つ以上のコンテンツアイテムを識別するデータを前記パーソナルコンピューティングデバイスへ送信する手段をさらに備えることを特徴とする請求項9に記載のシステム。
  13. ディスク暗号化ポリシーを設定するための設定データであって、前記ストレージデバイスの前記一部に格納されるコンテンツアイテムを同期化するための同期化データを受信するために、前記ストレージデバイスの少なくとも前記一部のディスク暗号化が求められることを示す前記設定データを受信する手段と、
    a)前記パーソナルコンピューティングデバイスのレコードと、b)前記パーソナルコンピューティングデバイスのユーザのアカウントレコードと、c)1つのアカウントが前記パーソナルコンピューティングデバイスのユーザに属するグループアカウントのレコードと、の少なくとも1つに関連付けられてデータベースに前記ディスク暗号化ポリシーを格納する手段とをさらに備えることを特徴とする請求項9に記載のシステム。
  14. a)前記パーソナルコンピューティングデバイスと、b)前記パーソナルコンピューティングデバイスのユーザと、c)前記パーソナルコンピューティングデバイスのユーザがメンバーであるユーザグループと、の少なくとも1つに、管理者がディスク暗号化ポリシーを適用するユーザインタフェースを提供する手段をさらに備えることを特徴とする請求項9に記載のシステム。
  15. 前記指標は、前記パーソナルコンピューティングデバイス上でインストールされる同期化クライアントアプリケーションから受信されることを特徴とする請求項9に記載のシステム。
  16. コンテンツアイテム管理サーバシステムであって、
    ストレージデバイスを含むパーソナルコンピューティングデバイスへデータネットワークを介して動作可能に接続される制御プレーンサーバと、
    パーソナルコンピューティングデバイスへ前記データネットワークを介して動作可能に接続されるストレージプレーンサーバと、を備え、
    前記制御プレーンサーバは、前記パーソナルコンピューティングデバイスから、前記ストレージデバイスの少なくとも一部がディスク暗号化によって保護されるかどうかの指標を、前記データネットワークを介して受信するように構成され、
    前記制御プレーンサーバは、さらに、前記指標に基づき、同期化データが前記パーソナルコンピューティングデバイスから保留されるべきであるかどうかを判定するように構成され、前記同期化データは、前記ストレージデバイスの前記一部に格納される1以上のコンテンツアイテムを前記1以上のストレージプレーンサーバに格納される1以上のコンテンツアイテムで同期化するためのデータであり、
    前記制御プレーンサーバは、前記ストレージデバイスの前記一部がディスク暗号化によって保護されない場合、前記パーソナルコンピューティングデバイスへ前記データネットワークを介して前記同期化データを送信しないように構成され、
    前記制御プレーンサーバは、前記ストレージデバイスの前記一部がディスク暗号化によって保護される場合、前記パーソナルコンピューティングデバイスへ前記データネットワークを介して前記同期化データを送信するように構成される、ことを特徴とするコンテンツアイテム管理サーバ。
JP2017203625A 2013-08-01 2017-10-20 接続デバイスでの強制暗号化 Active JP6637940B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US13/957,003 2013-08-01
US13/957,003 US9141811B2 (en) 2013-08-01 2013-08-01 Coerced encryption on connected devices

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2016531616A Division JP6232136B2 (ja) 2013-08-01 2014-06-30 接続デバイスでの強制暗号化

Publications (2)

Publication Number Publication Date
JP2018041487A true JP2018041487A (ja) 2018-03-15
JP6637940B2 JP6637940B2 (ja) 2020-01-29

Family

ID=51230193

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2016531616A Active JP6232136B2 (ja) 2013-08-01 2014-06-30 接続デバイスでの強制暗号化
JP2017203625A Active JP6637940B2 (ja) 2013-08-01 2017-10-20 接続デバイスでの強制暗号化

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2016531616A Active JP6232136B2 (ja) 2013-08-01 2014-06-30 接続デバイスでの強制暗号化

Country Status (5)

Country Link
US (3) US9141811B2 (ja)
EP (2) EP3606012B1 (ja)
JP (2) JP6232136B2 (ja)
AU (1) AU2014296756B2 (ja)
WO (1) WO2015017065A1 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103793035A (zh) * 2012-10-30 2014-05-14 鸿富锦精密工业(深圳)有限公司 硬盘控制电路
US9141811B2 (en) 2013-08-01 2015-09-22 Dropbox, Inc. Coerced encryption on connected devices
WO2015079196A1 (en) * 2013-11-27 2015-06-04 British Telecommunications Public Limited Company Controlled storage device access
KR102263880B1 (ko) * 2014-06-19 2021-06-11 삼성전자주식회사 호스트 컨트롤러 및 시스템-온-칩
US10333778B2 (en) 2015-03-25 2019-06-25 Airwatch, Llc Multiuser device staging
US10862747B2 (en) * 2015-03-25 2020-12-08 Airwatch Llc Single user device staging
US10389693B2 (en) * 2016-08-23 2019-08-20 Hewlett Packard Enterprise Development Lp Keys for encrypted disk partitions
US11537724B2 (en) * 2019-03-26 2022-12-27 International Business Machines Corporation Generating data migration plan for in-place encryption of data

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005535969A (ja) * 2002-08-09 2005-11-24 ビスト コーポレーション 侵害された遠隔装置上のデータへのアクセスを防止するシステムおよび方法
JP2012069141A (ja) * 2005-10-11 2012-04-05 Apple Inc コンテンツ配信システムにおける複数のコンテンツのピースを伴うメディア・ストレージ構造の使用

Family Cites Families (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101015319B1 (ko) * 2002-09-05 2011-02-16 파나소닉 주식회사 그룹형성 관리시스템, 그룹관리 디바이스 및 기록매체
JP3904534B2 (ja) * 2003-05-30 2007-04-11 京セラコミュニケーションシステム株式会社 端末状態監視システムおよびその方法
US7647256B2 (en) 2004-01-29 2010-01-12 Novell, Inc. Techniques for establishing and managing a distributed credential store
US20070195959A1 (en) 2006-02-21 2007-08-23 Microsoft Corporation Synchronizing encrypted data without content decryption
US8416954B1 (en) 2008-09-30 2013-04-09 Emc Corporation Systems and methods for accessing storage or network based replicas of encrypted volumes with no additional key management
US8160494B2 (en) * 2007-01-17 2012-04-17 Research In Motion Limited Methods and apparatus for use in switching user account data and operations between two different mobile communication devices
JP5056153B2 (ja) * 2007-05-16 2012-10-24 コニカミノルタホールディングス株式会社 ファイル情報の管理方法及び情報処理装置
US20090049236A1 (en) * 2007-08-15 2009-02-19 Hitachi, Ltd. System and method for data protection management for network storage
US9299385B2 (en) * 2007-08-17 2016-03-29 International Business Machines Corporation Efficient elimination of access to data on a writable storage media
JP2009163542A (ja) * 2008-01-08 2009-07-23 Hitachi Ltd 論理ボリュームに関する設定を制御する制御装置
JP5130073B2 (ja) * 2008-02-08 2013-01-30 株式会社オービックビジネスコンサルタント 情報処理システム、サーバ装置、ユーザ管理装置、情報処理方法、およびプログラム
JP5076955B2 (ja) * 2008-02-20 2012-11-21 日本電気株式会社 通信システム、通信装置、通信方法
US8893285B2 (en) * 2008-03-14 2014-11-18 Mcafee, Inc. Securing data using integrated host-based data loss agent with encryption detection
JP4468468B2 (ja) * 2008-06-30 2010-05-26 株式会社東芝 コンテンツ記録装置、及びコンテンツ記録方法
US8387109B2 (en) * 2008-10-23 2013-02-26 Microsoft Corporation Access control state determination based on security policy and secondary access control state
EP2352094B1 (en) 2008-11-26 2014-06-18 Panasonic Corporation Information updating device and integrated circuit thereof, information updating method, and recording device and integrated circuit thereof
US20110173700A1 (en) * 2010-01-12 2011-07-14 Kabushiki Kaisha Toshiba Image forming apparatus, setting method of image forming apparatus and security setting apparatus
US8707457B2 (en) * 2010-05-09 2014-04-22 Citrix Systems, Inc. Methods and systems for forcing an application to store data in a secure storage location
JP2012029076A (ja) * 2010-07-23 2012-02-09 Canon It Solutions Inc 画像形成システム、画像形成装置、制御方法、プログラム、及び記録媒体
US20120185933A1 (en) * 2011-01-14 2012-07-19 Belk Andrew T User account for system protection or recovery
US8560845B2 (en) * 2011-01-14 2013-10-15 Apple Inc. System and method for tamper-resistant booting
KR101597250B1 (ko) * 2011-07-20 2016-02-25 네이버 주식회사 메모 데이터의 동기화를 위한 메모 동기화 시스템, 모바일 시스템 및 메모 동기화 방법
US9424439B2 (en) 2011-09-12 2016-08-23 Microsoft Technology Licensing, Llc Secure data synchronization
US8320558B1 (en) 2011-12-29 2012-11-27 Google Inc. Encryption of synchronization information
US20140053229A1 (en) * 2012-08-15 2014-02-20 Appsense Limited Systems and Methods for Policy Propagation and Enforcement
US9015858B2 (en) * 2012-11-30 2015-04-21 nCrypted Cloud LLC Graphical user interface for seamless secure private collaboration
US9305172B2 (en) * 2013-03-15 2016-04-05 Mcafee, Inc. Multi-ring encryption approach to securing a payload using hardware modules
RU2618684C2 (ru) * 2013-04-26 2017-05-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ автоматического развертывания системы шифрования для пользователей, ранее работавших на ПК
US9141811B2 (en) 2013-08-01 2015-09-22 Dropbox, Inc. Coerced encryption on connected devices

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005535969A (ja) * 2002-08-09 2005-11-24 ビスト コーポレーション 侵害された遠隔装置上のデータへのアクセスを防止するシステムおよび方法
JP2012069141A (ja) * 2005-10-11 2012-04-05 Apple Inc コンテンツ配信システムにおける複数のコンテンツのピースを伴うメディア・ストレージ構造の使用

Also Published As

Publication number Publication date
AU2014296756A1 (en) 2016-02-18
WO2015017065A1 (en) 2015-02-05
US9654454B2 (en) 2017-05-16
US20170244675A1 (en) 2017-08-24
EP3014856B1 (en) 2019-09-18
JP6637940B2 (ja) 2020-01-29
JP2016532955A (ja) 2016-10-20
EP3606012A1 (en) 2020-02-05
US9141811B2 (en) 2015-09-22
US20150040235A1 (en) 2015-02-05
AU2014296756B2 (en) 2017-06-15
EP3014856A1 (en) 2016-05-04
EP3606012B1 (en) 2022-03-09
JP6232136B2 (ja) 2017-11-15
WO2015017065A4 (en) 2016-02-18
US10104044B2 (en) 2018-10-16
US20150358299A1 (en) 2015-12-10

Similar Documents

Publication Publication Date Title
JP6637940B2 (ja) 接続デバイスでの強制暗号化
US11916911B2 (en) Gateway enrollment for Internet of Things device management
US9960912B2 (en) Key management for a rack server system
US10887307B1 (en) Systems and methods for identifying users
CN112913213A (zh) 用于为经由客户机应用的嵌入式浏览器访问的网络应用呈现附加内容的系统和方法
US10045174B1 (en) Managed device migration and configuration
US11893405B2 (en) Workspace resiliency with multi-feed status resource caching
US10318272B1 (en) Systems and methods for managing application updates
US11588681B2 (en) Migration of managed devices to utilize management platform features
US10645073B1 (en) Systems and methods for authenticating applications installed on computing devices
US11196714B2 (en) Systems and methods for encrypted browser cache
US9607176B2 (en) Secure copy and paste of mobile app data
US10192056B1 (en) Systems and methods for authenticating whole disk encryption systems
US9569205B1 (en) Systems and methods for remotely configuring applications
US10826924B1 (en) Computer security and methods of use thereof
US10826978B1 (en) Systems and methods for server load control
US11671422B1 (en) Systems and methods for securing authentication procedures
US11671495B2 (en) Information processing system, information processing method and recording medium recording information processing program for presenting specific information to a user terminal
US10966096B1 (en) Systems and methods for system recovery from a system user interface process malfunction

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171117

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171117

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190118

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190326

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190826

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191126

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20191209

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20191223

R150 Certificate of patent or registration of utility model

Ref document number: 6637940

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250