JP4539240B2 - ファイル管理システム、およびファイル管理サーバ - Google Patents

ファイル管理システム、およびファイル管理サーバ Download PDF

Info

Publication number
JP4539240B2
JP4539240B2 JP2004254839A JP2004254839A JP4539240B2 JP 4539240 B2 JP4539240 B2 JP 4539240B2 JP 2004254839 A JP2004254839 A JP 2004254839A JP 2004254839 A JP2004254839 A JP 2004254839A JP 4539240 B2 JP4539240 B2 JP 4539240B2
Authority
JP
Japan
Prior art keywords
file
information
file management
client terminal
stored
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004254839A
Other languages
English (en)
Other versions
JP2006072664A (ja
Inventor
信浩 市田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2004254839A priority Critical patent/JP4539240B2/ja
Publication of JP2006072664A publication Critical patent/JP2006072664A/ja
Application granted granted Critical
Publication of JP4539240B2 publication Critical patent/JP4539240B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Description

本発明は、機密情報の漏洩を防ぐファイル管理システム、およびファイル管理サーバに関する。
近年、企業等の外部への情報の漏洩の防止に関して、関心が高まっている。従来の一般的なOS(Operating System)が実装しているファイルシステムでは、コンピュータが内蔵している記憶手段が記憶しているファイルのコピーや、参照、持ち出しを容易に行うことができる。このため、一度企業等の外部に持ち出されたファイルは、コピーや、参照等を容易に行うことができるため、情報の漏洩を防止することは非常に難しい。
そのため、最近では、企業等は、ファイルごとに暗号化したり、パスワードによってファイルを保護したりする等の対応を行っているが、そのような対応を行うには、使用者の操作や知識が必要となり、暗号キーの管理、パスワードの管理などが必要になる。また、企業等の内部の通常の業務で使用する場合でも、使用者は、暗号解読操作や、パスワードの入力などをファイルを使用するたびに行う必要があり不便である。
そこで、クライアントシステムにはキャッシュデータとして暗号化されたデータを記憶し、クライアントシステムのユーザがデータを必要とするときにサーバシステムから復号のためのキーを入手して暗号化データの復号を行うシステムが提案されている(例えば、特許文献1参照。)。
また、サーバ側がアクセス要求側の要求に応じて暗号化キーを発行し、アクセス要求側は、暗号化キーを用いて、サーバのデータベースに登録されているデータを復号して参照するシステムが提案されている(例えば、特許文献2参照。)。
特開平11−212874号公報 (段落0029〜0058、図1) 特開2003−271438号公報 (段落0019〜0079、図1)
特許文献1に記載されているシステムでは、クライアントシステムにおいて記憶されるデータを暗号化されたデータとし、復号のためのキーを管理するサーバシステムは、クライアントシステムを認証できたときに復号のためのキーをクライアントシステムに配布することによって、クライアントシステムにおけるデータの秘匿性を高めている。しかし、クライアントシステムが第三者に渡って、かつ、第三者が認証のためのパスワードを知った場合には、第三者は容易に暗号化されたデータの復号に成功してしまう。
そこで、本発明は、機密情報のファイルの情報(データ)の第三者への漏洩を確実に防止し、ファイルの情報の秘匿性をより高めることができるファイル管理システム、およびファイル管理サーバを提供することを目的とする。
本発明によるファイル管理システムは、通信ネットワーク内に存在するクライアント端末と通信可能であって、クライアント端末が有するファイル記憶手段に記憶されるファイルのファイル名、クライアント端末名、クライアント端末における当該ファイルの格納場所を示す情報、および当該ファイルの各操作の許可者を含む情報であるファイル管理情報を記憶するためのファイル管理情報記憶手段を有するファイル管理サーバを備えたファイル管理システムであって、ファイル管理サーバは、クライアント端末の使用者を認証する認証情報を登録する認証情報登録手段と、クライアント端末がファイル属性を機密にした暗号化されたファイルを作成してファイル記憶手段に格納した場合に、ファイルを示す情報とファイルを復号するための暗号解読キーとを、ファイル管理情報としてファイル管理情報記憶手段に記憶させるファイル情報登録手段と、クライアント端末がファイルの操作を開始するときにクライアント端末の使用者を認証するとともに、ファイルの操作中に定期的にクライアント端末の使用者を認証する認証手段とを含み、クライアント端末は、ファイルの操作中に、ファイル管理サーバに当該ファイルを示す情報を定期的に送信する送信手段を含み、認証手段は、クライアント端末がファイルの操作を開始するときに認証が成功した場合に、暗号解読キーをクライアント端末に送信し、認証手段は、ファイルの操作中に、ファイル管理情報記憶手段に記憶されているファイル管理情報のうち、送信手段が送信したファイルを示す情報によって示されるファイルのファイル管理情報に含まれる当該ファイルの各操作の許可者によってファイルの操作が行われているか否かをクライアント端末から受信した操作の内容を示す情報および認証情報にもとづいて判定することにより定期的にクライアント端末の使用者を認証し、認証に失敗した場合には、クライアント端末のファイルの操作を禁止する処理を実行し、ファイル情報登録手段は、クライアント端末がファイルの操作として暗号化されたファイルの複写を行った場合に、複写後の暗号化されたファイルの管理情報として複写元のファイルの暗号解読キーと同じ暗号解読キーをファイル管理情報記憶手段に記憶させ、クライアント端末がファイルの操作として暗号化されたファイルの移動を行った場合に、ファイル管理情報記憶手段に記憶されているファイル管理情報を更新することを特徴とする。
通信ネットワークは、ネットワーク外からアクセスすることができない閉じたネットワークであってもよい。
認証情報登録手段は、クライアント端末の使用者に許可したファイル操作の内容を示す情報を、ファイル管理情報としてファイル管理情報記憶手段に記憶させてもよく、認証手段は、ファイル管理情報にもとづいて、ファイル操作の内容に応じてファイル操作を許可するか否かを判定してもよい。そのような構成によれば、クライアント端末の使用者に応じて、許容するファイルの操作を設定することができる。
認証手段は、クライアント端末がファイルの操作としてファイルの参照または更新を行っているときに、当該操作を許可するか否かを判定してもよい。そのような構成によれば、ファイルの参照または更新を行っているときに認証を行うので、ファイルを他のコンピュータで参照または更新しようとしても認証手段から暗号解読キーを受信することができず、ファイルを他のコンピュータで参照または更新することを防ぐことができる。
認証手段は、暗号化ファイルの操作中に認証に失敗した場合には、クライアント端末のファイルの操作を禁止する処理を実行してもよい。
クライアント端末におけるファイル記憶手段は、少なくともファイル属性を示す情報を含むクライアント側ファイル管理情報を記憶してもよく、クライアント端末は、定期的に、ファイル管理情報記憶手段が記憶しているファイル管理情報の内容とクライアント側ファイル管理情報の内容とを整合させる処理を実行するファイル管理情報整合手段を含んでもよい。そのような構成によれば、クライアント端末が有するファイル記憶手段が記憶しているクライアント側ファイル管理情報と、ファイル管理サーバが有するファイル管理情報記憶手段が記憶しているファイル管理情報との内容を整合させることができる。
複数のファイル管理サーバを備えてもよく、クライアント端末におけるファイル記憶手段に格納されたファイルに関するファイル管理情報は、いずれか1つのファイル管理サーバにおけるファイル管理情報記憶手段に記憶されてもよい。そのような構成によれば、ファイル管理情報を複数のファイル管理情報記憶手段に分散して記憶させることができるため、ファイル管理サーバおよびファイル管理情報記憶手段の負荷を分散させることができる。
本発明によるファイル管理サーバは、通信ネットワーク内に存在するクライアント端末と通信可能であって、クライアント端末が有するファイル記憶手段に記憶されるファイルのファイル名、クライアント端末名、クライアント端末における当該ファイルの格納場所を示す情報、および当該ファイルの各操作の許可者を含む情報であるファイル管理情報を記憶するためのファイル管理情報記憶手段を有するファイル管理サーバであって、クライアント端末の使用者を認証する認証情報を登録する認証情報登録手段と、クライアント端末がファイル属性を機密にした暗号化されたファイルを作成してファイル記憶手段に格納した場合に、ファイルを示す情報とファイルを復号するための暗号解読キーとを、ファイル管理情報としてファイル管理情報記憶手段に記憶させるファイル情報登録手段と、クライアント端末がファイルの操作を開始するときにクライアント端末の使用者を認証するとともに、ファイルの操作中に定期的にクライアント端末の使用者を認証する認証手段とを含み、認証手段は、クライアント端末がファイルの操作を開始するときに認証が成功した場合に、暗号解読キーをクライアント端末に送信し、認証手段は、ファイルの操作中に、ファイル管理情報記憶手段に記憶されているファイル管理情報のうち、当該ファイルを示す情報を定期的に送信するクライアント端末の送信手段が送信したファイルを示す情報によって示されるファイルのファイル管理情報に含まれる当該ファイルの各操作の許可者によってファイルの操作が行われているか否かをクライアント端末から受信した操作の内容を示す情報および認証情報にもとづいて判定することにより定期的にクライアント端末の使用者を認証し、認証に失敗した場合には、クライアント端末のファイルの操作を禁止する処理を実行し、ファイル情報登録手段は、クライアント端末がファイルの操作として暗号化されたファイルの複写を行った場合に、複写後の暗号化されたファイルの管理情報として複写元のファイルの暗号解読キーと同じ暗号解読キーをファイル管理情報記憶手段に記憶させ、クライアント端末がファイルの操作として暗号化されたファイルの移動を行った場合に、ファイル管理情報記憶手段に記憶されているファイル管理情報を更新することを特徴とする。
認証情報登録手段は、クライアント端末の使用者に許可したファイル操作の内容を示す情報を、ファイル管理情報としてファイル管理情報記憶手段に記憶させてもよく、認証手段は、ファイル管理情報にもとづいて、ファイル操作の内容に応じてファイル操作を許可するか否かを判定してもよい。そのような構成によれば、クライアント端末の使用者に応じて、許容するファイルの操作を設定することができる。
認証手段は、クライアント端末がファイルの操作としてファイルの参照または更新を行っているときに、当該操作を許可するか否かを判定してもよい。そのような構成によれば、ファイルの参照または更新を行っているときに認証を行うので、ファイルを他のコンピュータで参照または更新しようとしても認証手段から暗号解読キーを受信することができず、ファイルを他のコンピュータで参照または更新することを防ぐことができる。
認証手段は、暗号化ファイルの操作中に認証に失敗した場合には、クライアント端末のファイルの操作を禁止する処理を実行してもよい。
本発明によれば、クライアントコンピュータにおいて、データの漏洩を防止し、データの秘匿性を確保することができる。
実施の形態1.
本発明の第1の実施の形態について、図面を参照して説明する。図1は、本発明の第1の実施の形態の一構成例を示すブロック図である。
本発明の第1の実施の形態は、例えば企業内の機密情報を含む機密情報ファイル501を記憶する記憶手段(ファイル記憶手段)201と接続されたクライアントコンピュータ101、機密情報のファイル502を記憶する記憶手段202と接続されたクライアントコンピュータ102、機密情報のファイル503を記憶する記憶手段203と接続されたクライアントコンピュータ103、機密情報の各ファイルの情報を記憶する記憶手段(ファイル管理情報記憶手段)200と接続され、クライアントコンピュータ101とクライアントコンピュータ102とクライアントコンピュータ103とに機密情報の各ファイルの操作を許可するファイル管理サーバ100、およびファイル管理サーバ100とクライアントコンピュータ101とクライアントコンピュータ102とクライアントコンピュータ103とを接続する通信ネットワーク300を含む。
なお、記憶手段201が記憶するファイルは、機密情報のファイル501に限定されるものではなく、記憶手段201は、複数の機密情報のファイルや、通常の情報のファイルを記憶可能である。同様に、記憶手段202および記憶手段203も、複数の機密情報のファイルや、通常の情報のファイルを記憶可能である。クライアントコンピュータ101,102,103には、OSとして例えばUNIX(登録商標)やWindows(登録商標)が実装されている。また、クライアントコンピュータ101,102,103には、例えばUNIXやWindowsの元で動作するソフトウェアであるファイルシステムが搭載されている。以下の説明において、クライアントコンピュータ101,102,103におけるファイルの管理に関わる動作は、具体的には、ファイルシステムにもとづいて動作するCPUの動作である。さらに、以下に説明する動作を実現するためのファイルシステムを、例えばUNIXやWindowsにおける標準的なファイルシステムに組み込むことができる。なお、ファイル管理サーバ100にも、ファイルシステムが実装されている。以下に説明するファイル管理サーバ100の動作は、ファイル管理サーバ100に実装されているファイルシステムで実現される。
記憶手段201,202,203は、対応するクライアントコンピュータ101,102,103に接続されているが、クライアントコンピュータ101,102,103に内蔵されていてもよい。記憶手段201,202,203がクライアントコンピュータ101,102,103に接続されている場合には、クライアントコンピュータおよび記憶手段が、記憶手段を有するクライアント端末を構成する。また、記憶手段200はファイル管理サーバ100に接続されているが、ファイル管理サーバ100に内蔵されていてもよい。記憶手段200がファイル管理サーバ100に内蔵されている場合には、記憶手段200およびファイル管理サーバ100が、ファイル管理情報記憶手段を有するファイル管理サーバを構成する。
なお、ファイル管理情報整合手段は、各クライアントコンピュータのCPUによって実現される。また、認証情報登録手段、ファイル情報登録手段、および認証手段は、ファイル管理サーバ100のCPUによって実現される。
記憶手段201は、記憶している各ファイルのファイル名や、作成日時、ファイル格納場所、ファイル属性等の情報を含むファイル情報を記憶する管理領域を有する。ファイル属性として、読み取り可能や書き込み可能などの一般的属性の他に、機密情報である旨を示す属性もある。ファイル属性として機密情報である旨を示す属性が設定された場合に、その属性に対応するファイルは機密情報のファイルとなる。同様に、記憶手段202および記憶手段203も、管理領域を有する。また、記憶手段201は、クライアントコンピュータ101や使用者を識別する情報であるユーザ認証情報を記憶している。ユーザ認証情報とは、例えば、クライアントコンピュータ101のMACアドレスや、ユーザID、パスワード等である。同様に、記憶手段202および記憶手段203も、クライアントコンピュータ102またはクライアントコンピュータ103や使用者を識別する情報であるユーザ認証情報をそれぞれ記憶している。
ファイル管理サーバ100がアクセス可能な記憶手段200は、記憶手段201、記憶手段202、および記憶手段203が記憶している機密情報のファイルについてのファイル情報と、暗号化された機密情報のファイルを復号するキーである暗号解読キーと、各クライアントコンピュータを識別する情報であるユーザ認証情報とを対応づけて記憶している。ファイル管理情報は、機密情報の各ファイルのファイル名(クライアントコンピュータ名およびクライアントコンピュータにおけるファイルの格納場所を示す情報を含む。)、ファイルの所有者名、ファイルの作成日時や更新日時、ファイルの各操作の許可者、ファイルの操作の有効期限、ファイル属性、ファイルのアクセスログ、ファイル管理情報の更新履歴等を含む情報である。なお、記憶手段200において、暗号解読キーは、ファイル管理情報に含まれていてもよい。また、クライアント側の記憶手段201,202,203もファイル管理情報を記憶する。クライアント側のファイル管理情報は、少なくとも、ファイル属性を含む。ファイル管理サーバ100が機密情報のファイルのファイル属性の変更を許可する場合には、クライアントコンピュータにおけるファイルシステムが、クライアント側のファイル管理情報を変更する。
図2は、記憶手段200に記憶されるファイル管理情報の一例を示す説明図である。図2に示す例では、それぞれのファイルのファイル管理情報は、ファイル名、ファイルの所有者、ファイル属性、ファイルの作成日時および更新日時、ファイルに対する各アクセスの種類(例えば、参照、更新、コピー、属性変更、削除)のそれぞれについての許可された者、ファイルに対する各アクセスの種類の有効期限、暗号解読キー、アクセスログ、およびファイル管理更新履歴を含む。
クライアントコンピュータ101,102,103は、使用者の操作に従って、記憶手段201、記憶手段202または記憶手段203が記憶しているファイルの内容の表示等の操作を行う。また、クライアントコンピュータ101,102,103は、機密情報のファイルの操作を開始するときに、各記憶手段が記憶しているユーザ認証情報、機密情報のファイルを示す情報(ファイルを特定するための情報、ファイル名など)および操作の内容を示す情報とを、通信ネットワーク300を介してファイル管理サーバ100に送信する。
ファイル管理サーバ100は、各クライアントコンピュータから受信した機密情報のファイルを示す情報に対応するファイル管理情報が含む各操作の許可者が、各クライアントコンピュータから受信した操作の内容を示す情報およびユーザ認証情報と合致しているか否かのユーザ認証処理を行い、機密情報のファイルの操作を許可するか否か、すなわち各クライアントコンピュータのユーザが機密情報のファイルに対するアクセス権限を有しているか否かを判定する。ファイル管理サーバ100は、機密情報のファイルの操作を許可すると判定した場合には、記憶手段200が記憶している暗号解読キーを各クライアントコンピュータに通信ネットワーク300を介して送信する。
さらに、クライアントコンピュータ101,102,103は、機密情報のファイル(具体的には、復号されたファイル)をアクセスしているときに、所定のタイミングで、各記憶手段が記憶しているユーザ認証情報を通信ネットワーク300を介してファイル管理サーバ100に送信する。所定のタイミングとは、機密情報のファイルを操作中における、例えば、1分間隔等である。ファイル管理サーバ100の負担を軽くするために、クライアントコンピュータ101,102,103は、ユーザ認証情報に加えて、機密情報のファイルを示す情報(ファイルを特定するための情報、ファイル名など)と、操作の内容を示す情報とを、ファイル管理サーバ100に送信することが好ましい。ファイル管理サーバ100は、各クライアントコンピュータから受信した情報にもとづいて、各クライアントコンピュータのユーザが機密情報のファイルに対するアクセス権限を有しているか否か確認し、アクセス権限を有していないと判定した場合には、ファイル管理サーバ100は、機密情報のファイルを操作しているクライアントコンピュータのファイルシステムに対してファイルの操作を禁止する指示を送信する。クライアントコンピュータのファイルシステム(具体的には、ファイルシステムのソフトウェアに従って動作するCPU)は、アクセスを禁止する指示を受信すると、ファイルの操作をできない状態に制御する。
なお、通信ネットワーク300は、例えば、LAN(Local Area Network)等を含む閉じたネットワークであるイントラネットである。閉じたネットワークとは、ネットワークの外部からネットワーク内部に存在する機器等をアクセスできないようなネットワークを意味する。
ファイル管理サーバ100は、コンピュータに、クライアントコンピュータまたはクライアントコンピュータの使用者を認証する認証情報を登録させる認証情報登録処理と、クライアントコンピュータがファイル属性を機密にした暗号化されたファイルを作成してクライアントコンピュータに接続された記憶手段に格納した場合に、ファイルを示す情報とファイルを復号するための暗号解読キーとを、ファイル管理情報としてファイル管理サーバに接続された記憶手段に記憶させるファイル情報登録処理と、クライアントコンピュータがファイルの操作を開始するときにクライアントコンピュータまたはクライアントコンピュータの使用者を認証させるとともに、ファイルの操作中に定期的にクライアントコンピュータまたはクライアントコンピュータの使用者を認証させる認証処理とを実行させ、認証処理で、クライアントコンピュータがファイルの操作を開始するときに認証が成功した場合に、暗号解読キーをクライアントコンピュータに送信させ、認証処理で、ファイルの操作中に、当該ファイルを示す情報を定期的に送信するクライアントコンピュータの送信手段が送信したファイルを示す情報にもとづいて、定期的にクライアントコンピュータまたはクライアントコンピュータの使用者を認証し、認証に失敗した場合には、クライアントコンピュータのファイルの操作を禁止することを特徴とするファイル管理プログラムを搭載している。
なお、認証情報登録処理で、クライアントコンピュータまたはクライアントコンピュータの使用者に許可したファイル操作の内容を示す情報を、ファイル管理情報としてファイル管理サーバに接続された記憶手段に記憶させてもよく、認証処理で、ファイル管理情報にもとづいて、ファイル操作の内容に応じてファイル操作を許可するか否かを判定させてもよい。
次に、本発明の第1の実施の形態の動作について、図面を参照して説明する。
クライアントコンピュータ101は、使用者の操作に従って、予めクライアントコンピュータ101のMACアドレスや、ユーザID、パスワード等のユーザ認証情報を通信ネットワーク300を介してファイル管理サーバ100に送信する。ファイル管理サーバ100は、受信したユーザ認証情報を記憶手段200に記憶させることによって、ユーザ登録を行う。また、例えば、ファイル管理サーバ100は、ファイル管理サーバ100の管理者の操作に従って、クライアントコンピュータ101の使用者が機密情報のファイルの作成を許可される者であるか否かの情報を記憶手段200に記憶させる。
まず、使用者が、クライアントコンピュータ101を操作して、機密情報のファイル501を作成する際の動作について説明する。図3は、本発明の第1の実施の形態において、機密情報のファイル501を作成する際の動作を説明するフローチャートである。使用者が、機密情報のファイル501を作成しようとするときに、クライアントコンピュータ101のファイルシステムは、使用者の操作に従って、ファイル管理サーバ100に接続し(ステップS101)、ユーザ認証情報と、機密情報のファイル501の作成を行うことを示す情報とを通信ネットワーク300を介してファイル管理サーバ100に送信する。ファイル管理サーバ100は、ユーザ認証情報と、機密情報のファイル501の作成を行うことを示す情報とを受信すると、記憶手段200が記憶しているユーザ認証情報と、クライアントコンピュータ101の使用者に許可する操作を示す情報とを比較し、クライアントコンピュータ101の使用者に、機密情報のファイル501の作成を許可するか否かを決定する(ステップS102)。
具体的には、ファイル管理サーバ100が受信したユーザ認証情報と、記憶手段200が記憶しているユーザ認証情報とが合致し、ファイル管理サーバ100が受信した機密情報のファイル501の作成を行うことを示す情報と、記憶手段200が記憶しているクライアントコンピュータ101の使用者に許可する操作を示す情報とを比較して、記憶手段200が記憶しているクライアントコンピュータ101の使用者に許可する操作を示す情報が、機密情報のファイルの作成を行うことを含んでいれば、クライアントコンピュータ101の使用者に、機密情報のファイル501の作成を許可する。そして、ファイル管理サーバ100は、機密情報のファイル501の作成を許可することを示す情報を、通信ネットワーク300を介してクライアントコンピュータ101に送信する。
また、ファイル管理サーバ100が受信したユーザ認証情報と、記憶手段200が記憶しているユーザ認証情報とが合致しなかったり、ファイル管理サーバ100が受信した機密情報のファイル501の作成を行うことを示す情報と、記憶手段200が記憶しているクライアントコンピュータ101の使用者に許可する操作を示す情報とを比較して、記憶手段200が記憶しているクライアントコンピュータ101の使用者に許可する操作を示す情報が、機密情報のファイルの作成を行うことを含んでいなかったりした場合、クライアントコンピュータ101の使用者に、機密情報のファイル501の作成を許可しない。そして、ファイル管理サーバ100は、機密情報のファイル501の作成を許可しないことを示す情報を、通信ネットワーク300を介してクライアントコンピュータ101に送信する。クライアントコンピュータ101におけるファイルシステムは、受信した機密情報のファイル501の作成を許可しないことを示す情報を表示手段(図示せず)に表示させる(ステップS103)。
クライアントコンピュータ101におけるファイルシステムは、機密情報のファイル501の作成を許可することを示す情報を受信すると、使用者の操作に従って、暗号化した機密情報のファイル501を作成する(ステップS104)。クライアントコンピュータ101は、作成した機密情報のファイル501を記憶手段201に記憶させ、記憶手段201の管理領域に、作成したファイルが機密情報である旨を示すファイル属性を設定する。
クライアントコンピュータ101におけるファイルシステムは、作成した機密情報のファイル501のファイル情報と、暗号化した機密情報のファイル501を復号する暗号解読キーとを、通信ネットワーク300を介してファイル管理サーバ100に送信する(ステップS105)。ファイル管理サーバ100は、受信したファイル情報と暗号解読キーとを対応づけて記憶手段200に記憶させる。
また、ファイル管理サーバ100は、ファイル情報と暗号解読キーとを対応づけて記憶手段200に記憶させると、ファイル情報と暗号解読キーとの登録に成功したことを示す情報を、通信ネットワーク300を介してクライアントコンピュータ101に送信する(ステップS106)。クライアントコンピュータ101におけるファイルシステムは、受信したファイル情報と暗号解読キーとの登録に成功したことを示す情報を表示手段に表示させる。
なお、ファイル管理サーバ100は、記憶手段100が磁気ディスクで実現されている場合にディスク書込エラーが発生したときなど、ファイル情報と暗号解読キーとの登録に失敗した場合には、ファイル情報と暗号解読キーとの登録に失敗したことを示す情報を、通信ネットワーク300を介してクライアントコンピュータ101に送信する。クライアントコンピュータ101におけるファイルシステムは、受信したファイル情報と暗号解読キーとの登録に失敗したことを示す情報を表示手段に表示させる。そして、クライアントコンピュータ101におけるファイルシステムは、記憶手段201が記憶している機密情報のファイル501を削除する(ステップS107)。
なお、クライアントコンピュータ101におけるファイルシステムは、使用者の操作に従って、機密情報であること以外のファイル属性(読み取り専用、書き換え可能、実行形式ファイルなど)や各アクセスを許可する者を示す情報をファイル管理サーバ100に送信する。ファイル管理サーバ100は、それらの情報をファイル管理情報として記憶手段200に記憶させる(図2参照)。一般に、機密情報のファイルの作成者は、そのファイルに対する全ての種類のアクセスが可能であるように、アクセスを許可する者に自身も含めるが、自身のアクセスを制限するようにしてもよい。また、ここでは、クライアントコンピュータ101の動作について説明したが、クライアントコンピュータ102,103も同様に動作する。
次に、クライアントコンピュータ101〜103の使用者が、クライアントコンピュータ101〜103を操作して、機密情報のファイル501を参照する際の動作について説明する。図4は、本発明の第1の実施の形態において、機密情報のファイル501を参照する際の動作を説明するフローチャートである。ここでは、クライアントコンピュータ101の動作を例にする。
クライアントコンピュータ101におけるファイルシステムは、使用者の操作に従って、ファイル管理サーバ100に接続し(ステップS201)、ユーザ認証情報と、機密情報のファイル501の参照を行うことを示す情報と、参照する機密情報のファイル501を示す情報とを通信ネットワーク300を介してファイル管理サーバ100に送信する。ファイル管理サーバ100は、それらの情報と受信すると、受信した情報と、記憶手段200が記憶しているユーザ認証情報、および機密情報のファイル501のファイル管理情報が含むファイルの参照の許可者の情報とを比較し、クライアントコンピュータ101の使用者に、機密情報のファイル501の参照を許可するか否かを決定する(ステップS202)。
具体的には、ファイル管理サーバ100は、受信したユーザ認証情報と記憶手段200が記憶しているユーザ認証情報とが合致し、かつ、受信したユーザ認証情報が示す使用者が、機密情報のファイル501のファイル管理情報が示すファイルの参照の許可者に含まれていれば、機密情報のファイル501の参照を許可する。そして、ファイル管理サーバ100は、機密情報のファイル501の参照を許可することを示す情報と、機密情報のファイル501の暗号解読キーとを、通信ネットワーク300を介してクライアントコンピュータ101に送信する(ステップS203)。
また、ファイル管理サーバ100が受信したユーザ認証情報と、記憶手段200が記憶しているユーザ認証情報とが合致しなかったり、使用者が、ファイルの参照の許可者に含まれていなかったりした場合には、機密情報のファイル501の参照を許可しない(ステップS204)。そして、ファイル管理サーバ100は、機密情報のファイル501の参照を許可しないことを示す情報を、通信ネットワーク300を介してクライアントコンピュータ101に送信する。
また、クライアントコンピュータ101が、例えば、通信ネットワーク300やファイル管理サーバ100等の障害によって、機密情報のファイル501の参照を許可することを示す情報や暗号解読キーを受信することができなかった場合(ステップS205)、クライアントコンピュータ101におけるファイルシステムは、機密情報のファイル501を参照することができないことを示す情報を表示手段に表示させる(ステップS206)。
クライアントコンピュータ101におけるファイルシステムは、通信ネットワーク300を介してファイル管理サーバ100から機密情報のファイル501の参照を許可することを示す情報と、暗号解読キーとを受信すると、暗号解読キーをメモリ(図示せず)に記憶させる。クライアントコンピュータ101におけるファイルシステムは、メモリが記憶している暗号解読キーを用いて、記憶手段201が記憶している機密情報のファイル501を復号し、機密情報のファイル501の内容を表示手段に表示させたり、復号したファイルをアプリケーションプログラムに引き渡したりする(ステップS207)。すなわち、使用者が、機密情報のファイル501を参照できる状態にする。
クライアントコンピュータ101におけるファイルシステムは、機密情報のファイル501を参照できる状態にしてから、所定の時間(例えば、1分間)が経過すると(ステップS208)、ファイル管理サーバ100に接続し(ステップS209)、ユーザ認証情報と、機密情報のファイル501の参照を行うことを示す情報(機密情報のファイル501の参照を行っていることを示す情報)と、参照されている機密情報のファイル501を示す情報とを通信ネットワーク300を介してファイル管理サーバ100に送信する。
ファイル管理サーバ100は、それら情報を受信すると、受信した情報と、記憶手段200記憶しているユーザ認証情報、および機密情報のファイル501のファイル管理情報が含むファイルの参照の許可者の情報とを比較し、クライアントコンピュータ101の使用者に、機密情報のファイル501の参照を許可するか否かを決定する(ステップS210)。
具体的には、ファイル管理サーバ100は、受信したユーザ認証情報と記憶手段200が記憶しているユーザ認証情報とが合致し、かつ、受信したユーザ認証情報が示す使用者が、機密情報のファイル501のファイル管理情報が示すファイルの参照の許可者に含まれていれば、機密情報のファイル501の参照の継続を許可する。そして、ファイル管理サーバ100は、機密情報のファイル501の参照を許可することを示す情報(機密情報のファイル501の参照の継続を許可する情報)を、通信ネットワーク300を介してクライアントコンピュータ101に送信する。
また、ファイル管理サーバ100が受信したユーザ認証情報と、記憶手段200が記憶しているユーザ認証情報とが合致しなかったり、使用者が、ファイルの参照の許可者に含まれていなかったりした場合には、機密情報のファイル501の参照をの継続を許可しない(ステップS211)。そして、ファイル管理サーバ100は、機密情報のファイル501の参照を許可しないことを示す情報を、通信ネットワーク300を介してクライアントコンピュータ101に送信する。
クライアントコンピュータ101におけるファイルシステムは、機密情報のファイル501の参照を許可しないことを示す情報を受信したり、通信ネットワーク300との接続が切断されたりして機密情報のファイル501の参照を許可することを示す情報を所定の時間以上受信しなかったりすると、機密情報のファイル501の内容を参照することを禁止し、メモリが記憶している暗号解読キーを削除する。すると、クライアントコンピュータ101の使用者は、機密情報のファイル501の内容を参照することができなくなる。なお、機密情報のファイル501の内容を参照することを禁止するために、ファイルシステムは、表示手段に表示されているファイルの内容を消去したり、アプリケーションプログラムからのファイルへの参照をできないようにしたりする。
次に、クライアントコンピュータ101〜103の使用者が、クライアントコンピュータ101〜103を操作して、機密情報のファイル501の内容を更新する際の動作について説明する。図5は、本発明の第1の実施の形態において、機密情報のファイル501の内容を更新する際の動作を説明するフローチャートである。ここでは、クライアントコンピュータ101の動作を例にする。
クライアントコンピュータ101におけるファイルシステムは、使用者の操作に従って、ファイル管理サーバ100に接続し(ステップS301)、ユーザ認証情報と、機密情報のファイル501の内容の更新を行うことを示す情報と、内容を更新する機密情報のファイル501を示す情報とを通信ネットワーク300を介してファイル管理サーバ100に送信する。ファイル管理サーバ100は、それらの情報を受信すると、受信した情報と、記憶手段200が記憶しているユーザ認証情報、および機密情報のファイル501のファイル管理情報が含むファイルの内容の更新の許可者の情報とを比較し、クライアントコンピュータ101の使用者に、機密情報のファイル501の内容の更新を許可するか否かを決定する(ステップS302)。
具体的には、ファイル管理サーバ100は、受信したユーザ認証情報と記憶手段200が記憶しているユーザ認証情報とが合致し、かつ、受信したユーザ認証情報が示す使用者が、機密情報のファイル501のファイル管理情報が示すファイルの更新の許可者に含まれていれば、機密情報のファイル501の更新を許可する。そして、ファイル管理サーバ100は、機密情報のファイル501の内容の更新を許可することを示す情報と、機密情報のファイル501の暗号解読キーとを、通信ネットワーク300を介してクライアントコンピュータ101に送信する(ステップS303)。
また、ファイル管理サーバ100が受信したユーザ認証情報と、記憶手段200が記憶しているユーザ認証情報とが合致しなかったり、使用者が、ファイルの更新の許可者に含まれていなかったりした場合には、機密情報のファイル501の内容の更新を許可しない(ステップS304)。そして、ファイル管理サーバ100は、機密情報のファイル501の内容の更新を許可しないことを示す情報を、通信ネットワーク300を介してクライアントコンピュータ101に送信する。
また、クライアントコンピュータ101が、例えば、通信ネットワーク300やファイル管理サーバ100等の障害によって、機密情報のファイル501の参照を許可することを示す情報や暗号解読キーを受信することができなかった場合(ステップS305)、クライアントコンピュータ101におけるファイルシステムは、機密情報のファイル501の内容を更新することができないことを示す情報を表示手段に表示させる(ステップS306)。
クライアントコンピュータ101は、通信ネットワーク300を介してファイル管理サーバ100から機密情報のファイル501の内容の更新を許可することを示す情報と、暗号解読キーとを受信すると、暗号解読キーをメモリに記憶させる。クライアントコンピュータ101におけるファイルシステムは、メモリが記憶している暗号解読キーを用いて、記憶手段201が記憶している機密情報のファイル501を復号し、機密情報のファイル501の内容を表示手段に表示させる。例えばクライアントコンピュータ101におけるアプリケーションプログラム(具体的には、アプリケーションプログラムに従って動作するCPU)は、使用者の操作に従って、機密情報のファイル501の内容を更新する(ステップS307)。
クライアントコンピュータ101は、機密情報のファイル501の内容の更新が開始されてから、所定の時間(例えば、1分間)が経過すると(ステップS308)、ファイル管理サーバ100に接続し(ステップS309)、ユーザ認証情報と、機密情報のファイル501の内容の更新を行うことを示す情報(機密情報のファイル501の内容の更新を行っていることを示す情報)と、内容が更新されている機密情報のファイル501を示す情報とを通信ネットワーク300を介してファイル管理サーバ100に送信する。
ファイル管理サーバ100は、それら情報を受信すると、受信した情報と、記憶手段200が記憶しているユーザ認証情報、および機密情報のファイル501のファイル管理情報が含むファイルの内容の更新の許可者の情報とを比較し、クライアントコンピュータ101の使用者に、機密情報のファイル501の内容の更新を継続して許可するか否かを決定する(ステップS310)。
具体的には、ファイル管理サーバ100は、受信したユーザ認証情報と記憶手段200が記憶しているユーザ認証情報とが合致し、かつ、受信したユーザ認証情報が示す使用者が、機密情報のファイル501のファイル管理情報が示すファイルの更新の許可者に含まれていれば、クライアントコンピュータ101の使用者に、機密情報のファイル501の内容の更新の継続を許可する。そして、ファイル管理サーバ100は、機密情報のファイル501の内容の更新を許可することを示す情報を、通信ネットワーク300を介してクライアントコンピュータ101に送信する。また、ファイル管理サーバ100は、記憶手段200がファイル管理領域に記憶しているファイルの変更の履歴であるファイル管理更新履歴に、機密情報のファイル501の内容を更新したことを記憶させてもよい。
また、ファイル管理サーバ100が受信したユーザ認証情報と、記憶手段200が記憶しているユーザ認証情報とが合致しなかったり、使用者が、ファイルの更新の許可者に含まれていなかったりした場合には、クライアントコンピュータ101の使用者に、機密情報のファイル501の内容の更新の継続を許可しない(ステップS311)。そして、ファイル管理サーバ100は、機密情報のファイル501の内容の更新を許可しないことを示す情報を、通信ネットワーク300を介してクライアントコンピュータ101に送信する。
クライアントコンピュータ101におけるファイルシステムは、機密情報のファイル501の内容の更新を許可しないことを示す情報を受信したり、通信ネットワーク300との接続が切断されたりして機密情報のファイル501の内容の更新を許可することを示す情報を所定の時間以上受信しなかったりすると、機密情報のファイル501の内容を更新することを禁止し、メモリが記憶している暗号解読キーを削除する。すると、クライアントコンピュータ101の使用者は、機密情報のファイル501の内容を参照して、更新することができなくなる。なお、機密情報のファイル501の内容を更新することを禁止するために、ファイルシステムは、表示手段に表示されているファイルの内容を消去したり、アプリケーションプログラムからのファイルへの参照をできないようにしたりする。
次に、クライアントコンピュータ101〜103の使用者が、クライアントコンピュータ101〜103を操作して、機密情報のファイル501をコピーする際の動作について説明する。図6は、本発明の第1の実施の形態において、機密情報のファイル501をコピーする際の動作を説明するフローチャートである。ここでは、クライアントコンピュータ101の動作を例にする。
クライアントコンピュータ101におけるファイルシステムは、使用者の操作に従って、ファイル管理サーバ100に接続し(ステップS401)、ユーザ認証情報と、機密情報のファイル501のコピーを行うことを示す情報と、コピーする機密情報のファイル501を示す情報とを通信ネットワーク300を介してファイル管理サーバ100に送信する。ファイル管理サーバ100は、それらの情報を受信すると、受信した情報と、記憶手段200が記憶しているユーザ認証情報、および機密情報のファイル501のファイル管理情報が含むファイルのコピーの許可者の情報とを比較し、クライアントコンピュータ101の使用者に、機密情報のファイル501のコピーを許可するか否かを決定する(ステップS402)。
具体的には、ファイル管理サーバ100は、受信したユーザ認証情報と記憶手段200が記憶しているユーザ認証情報とが合致し、かつ、受信したユーザ認証情報が示す使用者が、機密情報のファイル501のファイル管理情報が示すファイルのコピーの許可者に含まれていれば、機密情報のファイル501のコピーを許可する。そして、ファイル管理サーバ100は、機密情報のファイル501のコピーを許可することを示す情報と、機密情報のファイル501の暗号解読キーとを、通信ネットワーク300を介してクライアントコンピュータ101に送信する(ステップS403)。
また、ファイル管理サーバ100が受信したユーザ認証情報と、記憶手段200が記憶しているユーザ認証情報とが合致しなかったり、使用者が、ファイルのコピーの許可者に含まれていなかったりした場合には、機密情報のファイル501のコピーを許可しない(ステップS404)。そして、ファイル管理サーバ100は、機密情報のファイル501のコピーを許可しないことを示す情報を、通信ネットワーク300を介してクライアントコンピュータ101に送信する。
また、クライアントコンピュータ101が、例えば、通信ネットワーク300やファイル管理サーバ100等の障害によって、機密情報のファイル501のコピーを許可することを示す情報や暗号解読キーを受信することができなかった場合(ステップS405)、クライアントコンピュータ101におけるファイルシステムは、機密情報のファイル501をコピーすることができないことを示す情報を表示手段に表示させる(ステップS406)。
クライアントコンピュータ101におけるファイルシステムは、通信ネットワーク300を介してファイル管理サーバ100から機密情報のファイル501のコピーを許可することを示す情報と、暗号解読キーとを受信すると、暗号解読キーをメモリに記憶させる。クライアントコンピュータ101におけるファイルシステムは、メモリが記憶している暗号解読キーを用いて、記憶手段201が記憶している機密情報のファイル501を復号し、表示手段に、参照コピーを行うのか、譲渡コピーを行うのかを使用者に選択させる画面を表示させる。参照コピーとは、コピーしたファイルの更新を行うことができないようにファイルを作成することをいう。また、譲渡コピーとは、コピーしたファイルの所有者を変更して、コピーしたファイルの更新を行うことができるようにファイルを作成することをいう。
使用者が、参照コピーを選択すると(ステップS407)、クライアントコンピュータ101は、機密情報のファイル501をコピーしたファイルを生成して(ステップS408)、記憶手段201に記憶させ、通信ネットワーク300を介してファイル管理サーバ100に、暗号解読キーと、参照コピーであることを示すファイル属性である参照属性を含むファイル情報とを送信する(ステップS409)。
使用者が、譲渡コピーを選択すると(ステップS407)、クライアントコンピュータ101におけるファイルシステムは、機密情報のファイル501をコピーしたファイルを生成して(ステップS410)、記憶手段201に記憶させ、通信ネットワーク300を介してファイル管理サーバ100に、暗号解読キーと、譲渡コピーであることを示すファイル属性である譲渡属性を含むファイル情報とを送信する(ステップS411)。
ファイル管理サーバ100は、ファイル情報と暗号解読キーとを受信すると(ステップS412)、それらの情報を記憶手段200にファイル管理情報として記憶させる。そして、登録に成功したことを示す情報をクライアントコンピュータ101に送信する(ステップS413)。ファイル管理サーバ100は、記憶手段200がファイル管理領域に記憶しているファイル管理更新履歴に、機密情報のファイル501をコピーしたことを記憶させてもよい。ファイル管理サーバ100は、ファイル情報等を記憶させたことを示す情報を、通信ネットワーク300を介してクライアントコンピュータ101に送信する。すると、クライアントコンピュータ101におけるファイルシステムは、コピーが完了したことを使用者に通知する。
なお、クライアントコンピュータ101におけるファイルシステムは、ファイル情報等の登録に失敗すると、登録に失敗したことを示す情報を通信ネットワーク300を介してクライアントコンピュータ101に送信する。クライアントコンピュータ101におけるファイルシステムは、登録に失敗したことを示す情報を受信すると、生成したファイルを記憶手段201から削除する(ステップS414)。そして、クライアントコンピュータ101におけるファイルシステムは、コピーに失敗したことを表示手段に表示させて使用者に通知する。
このように、クライアントコンピュータ101におけるファイルシステムは、機密情報のファイル501をコピーするとともに、暗号解読キーと、参照属性または譲渡属性を含むファイル情報とをファイル管理サーバ100に送信し、ファイル管理サーバ100が、コピーしたファイルのファイル情報と暗号解読キーとを記憶手段200に記憶させるため、クライアントコンピュータ101がコピーしたファイルの参照や更新を行う際には、上述した、機密情報のファイル501を参照したり更新したりする場合と同様の動作を行うことになる。従って、ファイル管理サーバ100に接続することができない環境では、クライアントコンピュータ101がコピーしたファイルを参照したり更新したりすることができず、秘匿性を保つことができる。
次に、クライアントコンピュータ101〜103の使用者が、クライアントコンピュータ101〜103を操作して、機密情報のファイル501を移動する際の動作について説明する。ここでは、クライアントコンピュータ101の動作を例にする。図7は、本発明の第1の実施の形態において、機密情報のファイル501を移動する際の動作を説明するフローチャートである。ここで、機密情報のファイル501を移動するとは、記憶手段201が記憶している機密情報のファイル501を削除して記憶手段201内の別の領域に記憶させたり、機密情報のファイル501を記憶手段201から削除して他の記憶手段202,203に記憶させたりすることをいう。なお、ここでは、記憶手段201が記憶している機密情報のファイル501を削除して記憶手段201内の別の領域に記憶させる場合を例に説明する。
クライアントコンピュータ101におけるファイルシステムは、使用者の操作に従って、ファイル管理サーバ100に接続し(ステップS501)、ユーザ認証情報と、機密情報のファイル501の移動を行うことを示す情報と、移動する機密情報のファイル501を示す情報とを通信ネットワーク300を介してファイル管理サーバ100に送信する。ファイル管理サーバ100は、それらの情報を受信すると、受信した情報と、記憶手段200が記憶しているユーザ認証情報、および機密情報のファイル501のファイル管理情報が含むファイルの移動の許可者の情報とを比較し、クライアントコンピュータ101の使用者に、機密情報のファイル501の移動を許可するか否かを決定する(ステップS502)。
具体的には、ファイル管理サーバ100は、受信したユーザ認証情報と記憶手段200が記憶しているユーザ認証情報とが合致し、かつ、受信したユーザ認証情報が示す使用者が、機密情報のファイル501のファイル管理情報が示すファイルの移動の許可者に含まれていれば、クライアントコンピュータ101の使用者に、機密情報のファイル501の移動を許可する。そして、ファイル管理サーバ100は、機密情報のファイル501の移動を許可することを示す情報を、通信ネットワーク300を介してクライアントコンピュータ101に送信する(ステップS503)。このとき、ファイル管理サーバ100は、機密情報のファイル501の暗号解読キーを、通信ネットワーク300を介してクライアントコンピュータ101に送信してもよい。
また、ファイル管理サーバ100が受信したユーザ認証情報と、記憶手段200が記憶しているユーザ認証情報とが合致しなかったり、使用者が、ファイルの移動の許可者に含まれていなかったりした場合には、クライアントコンピュータ101の使用者に、機密情報のファイル501の移動を許可しない(ステップS504)。そして、ファイル管理サーバ100は、機密情報のファイル501の移動を許可しないことを示す情報を、通信ネットワーク300を介してクライアントコンピュータ101に送信する。
また、クライアントコンピュータ101がは、例えば、通信ネットワーク300やファイル管理サーバ100等の障害によって、機密情報のファイル501の移動を許可することを示す情報を受信することができなかったりした場合(ステップS505)、機密情報のファイル501を移動することができないことを示す情報を表示手段に表示させる(ステップS506)。
クライアントコンピュータ101におけるファイルシステムは、通信ネットワーク300を介してファイル管理サーバ100から機密情報のファイル501の移動を許可することを示す情報を、メモリに記憶させる。また、暗号解読キーを受信した場合は、暗号解読キーをメモリに記憶させる。そして、クライアントコンピュータ101におけるファイルシステムは、メモリが記憶している暗号解読キーを用いて、記憶手段201が記憶している機密情報のファイル501を復号してもよい。
クライアントコンピュータ101は、通信ネットワーク300を介してファイル管理サーバ100から機密情報のファイル501の移動を許可することを示す情報を受信すると、使用者の操作に従って機密情報のファイル501を移動させる(ステップS507)。具体的には、クライアントコンピュータ101は、機密情報のファイル501を記憶手段201の別の記憶領域に記憶させ、元の機密情報のファイル501を記憶手段201から削除する。
クライアントコンピュータ101は、機密情報のファイル501を記憶手段201の別の記憶領域に記憶させると、機密情報のファイル501を移動させたことを示す情報と、機密情報のファイル501を記憶させた記憶領域を示す情報を含むファイル情報とを、通信ネットワーク300を介してファイル管理サーバ100に送信する(ステップS508)。ファイル管理サーバ100は、機密情報のファイル501を移動させたことを示す情報と、機密情報のファイル501の移動先の記憶領域(格納場所)を示す情報を含むファイル情報とを受信すると、記憶手段200が記憶している機密情報のファイル501のファイル管理情報を、機密情報のファイル501を記憶させた記憶領域を示す情報を含むファイル情報にもとづいて更新する。また、ファイル管理サーバ100は、記憶手段200がファイル管理領域に記憶しているファイル管理更新履歴に、機密情報のファイル501を移動したことを記憶させてもよい。
なお、ファイル管理サーバ100は、ファイル管理情報の更新に失敗したりすると、ファイル管理情報の更新ができなかったことを示す情報を通信ネットワーク300を介してクライアントコンピュータ101に送信する(ステップS509)。クライアントコンピュータ101におけるファイルシステムは、ファイル管理情報の更新ができなかったことを示す情報を受信すると、移動したファイルを元の記憶領域に記憶させ、移動先の記憶領域から機密情報のファイル501を削除する(ステップS511)。そして、クライアントコンピュータ101におけるファイルシステムは、移動に失敗したことを表示手段に表示させて使用者に通知する。
ファイル管理サーバ100は、ファイル管理情報の更新に成功すると、ファイル管理情報を更新したことを示す情報を通信ネットワーク300を介してクライアントコンピュータ101に送信し、クライアントコンピュータ101におけるファイルシステムは、ファイル管理情報を更新したことを示す情報を受信すると、ファイル管理サーバ100がファイル管理情報を更新したことを表示手段に表示させ、移動が完了したことを使用者に通知する(ステップS510)。
このように、クライアントコンピュータ101におけるファイルシステムは、機密情報のファイル501を移動するとともに、機密情報のファイル501を移動させたことを示す情報と、機密情報のファイル501の移動先の記憶領域を示す情報を含むファイル情報とをファイル管理サーバ100に送信し、ファイル管理サーバ100が、機密情報のファイル501を記憶させた記憶領域を示す情報を含むファイル情報にもとづいて、記憶手段200にファイル管理情報を更新して記憶させるため、クライアントコンピュータ101が、移動したファイルの参照や更新を行う際には、上述した、機密情報のファイル501を参照したり更新したりする場合と同様の動作を行うことになる。従って、ファイル管理サーバ100に接続することができない環境では、クライアントコンピュータ101は、移動したファイルを参照したり更新したりすることができず、秘匿性を保つことができる。
次に、クライアントコンピュータ101の使用者が、クライアントコンピュータ101を操作して、自身が作成した機密情報のファイル501の属性を機密情報から通常の情報に変更する際の動作について説明する。図8は、本発明の第1の実施の形態において、機密情報のファイル501の属性を機密情報から通常の情報に変更する際の動作を説明するフローチャートである。
クライアントコンピュータ101におけるファイルシステムは、使用者の操作に従って、ファイル管理サーバ100に接続し(ステップS601)、ユーザ認証情報と、機密情報のファイル501の属性の変更を行うことを示す情報と、属性を変更する機密情報のファイル501を示す情報とを通信ネットワーク300を介してファイル管理サーバ100に送信する。ファイル管理サーバ100は、それらの情報を受信すると、受信した情報と、記憶手段200が記憶しているユーザ認証情報、および機密情報のファイル501のファイル管理情報が含むファイルの属性の変更の許可者の情報とを比較し、クライアントコンピュータ101の使用者に、機密情報のファイル501の属性の変更を許可するか否かを決定する(ステップS602)。
具体的には、ファイル管理サーバ100は、受信したユーザ認証情報と記憶手段200が記憶しているユーザ認証情報とが合致し、かつ、受信したユーザ認証情報が示す使用者が、機密情報のファイル501のファイル管理情報が示すファイルの属性の変更の許可者に含まれていれば、機密情報のファイル501の属性の変更を許可する。そして、ファイル管理サーバ100は、機密情報のファイル501の属性の変更を許可することを示す情報を、通信ネットワーク300を介してクライアントコンピュータ101に送信する(ステップS603)。
また、ファイル管理サーバ100が受信したユーザ認証情報と、記憶手段200が記憶しているユーザ認証情報とが合致しなかったり、使用者が、ファイルの属性の変更の許可者に含まれていなかったりした場合には、クライアントコンピュータ101の使用者に、機密情報のファイル501の属性の変更を許可しない(ステップS604)。そして、ファイル管理サーバ100は、機密情報のファイル501の属性の変更を許可しないことを示す情報を、通信ネットワーク300を介してクライアントコンピュータ101に送信する。
また、クライアントコンピュータ101は、例えば、通信ネットワーク300やファイル管理サーバ100等の障害によって、機密情報のファイル501の属性の変更を許可することを示す情報を受信することができなかったりした場合(ステップS605)、機密情報のファイル501の属性を変更することができないことを示す情報を表示手段に表示させる(ステップS606)。
クライアントコンピュータ101におけるファイルシステムは、通信ネットワーク300を介してファイル管理サーバ100から機密情報のファイル501の属性の変更を許可することを示す情報を、メモリに記憶させる。
クライアントコンピュータ101におけるファイルシステムは、通信ネットワーク300を介してファイル管理サーバ100から機密情報のファイル501の属性の変更を許可することを示す情報を受信すると、使用者の操作に従って機密情報のファイル501の属性を変更する(ステップS607)。具体的には、クライアントコンピュータ101は、使用者の操作に従って、記憶手段201のファイル管理領域において機密情報のファイル501が機密情報のファイルのファイル属性(機密情報である旨を示す属性)を解除する。
クライアントコンピュータ101におけるファイルシステムは、ファイル501のファイル属性を変更すると、ファイル501の変更後のファイル属性を示す情報を、通信ネットワーク300を介してファイル管理サーバ100に送信する(ステップS608)。ファイル管理サーバ100は、変更後のファイル属性を示す情報を受信すると、記憶手段200が記憶している機密情報のファイル501のファイル管理情報を、ファイル501の新たな属性を示す情報にもとづいて更新する(ステップS609)。また、ファイル管理サーバ100は、記憶手段200がファイル管理領域に記憶しているファイル管理更新履歴に、ファイル501の属性を変更したことを記憶させる。なお、ファイル管理サーバ100は、記憶手段200がファイル管理領域に記憶しているファイル501のファイル管理情報を削除する。
なお、ファイル管理サーバ100は、ファイル管理情報の更新に失敗したりすると、ファイル管理情報を更新することができなかったことを示す情報を通信ネットワーク300を介してクライアントコンピュータ101に送信する(ステップS609)。クライアントコンピュータ101におけるファイルシステムは、ファイル管理情報を更新することができなかったことを示す情報を受信すると、変更した属性を元の属性に戻して記憶手段201のファイル管理領域に記憶させる(ステップS611)。そして、クライアントコンピュータ101におけるファイルシステムは、属性の変更に失敗したことを表示手段に表示させて使用者に通知する。
ファイル管理サーバ100は、ファイル管理情報の更新に成功すると、ファイル管理情報を更新したことを示す情報を通信ネットワーク300を介してクライアントコンピュータ101に送信し、クライアントコンピュータ101におけるファイルシステムは、ファイル管理情報を更新したことを示す情報を受信すると、ファイル管理サーバ100が、ファイル管理情報を更新したことを表示手段に表示させ、属性の変更が完了したことを使用者に通知する(ステップS610)。
このように、機密情報として管理する必要がなくなったファイルや、機密情報の属性のファイルを企業等の外部に提供する場合、機密情報のファイルの所有者である使用者が、機密情報の属性を変更することで、一般のOSのファイルシステムで通常のファイルとして扱うことが可能になり、ファイルの参照や、更新、コピー、移動等を行うことができるようになる。なお、通常のファイルを機密情報の属性のファイルに変更することも可能である。通常のファイルを機密情報の属性のファイルに変更する場合、機密情報のファイルの作成時と同様に、クライアントコンピュータ101は、通常のファイルを暗号化して記憶手段201に記憶させ、暗号解読キーをファイル管理サーバ100に送信し、ファイル管理サーバ100は、暗号解読キーを記憶手段200に記憶させる。また、ここでは、ファイルの所有者である使用者が、機密情報の属性を変更する場合について説明したが、ファイルの所有者でない使用者が、機密情報の属性を変更することもできる。
次に、クライアントコンピュータ101の使用者が、クライアントコンピュータ101を操作して、機密情報のファイル501を削除する際の動作について説明する。図9は、本発明の第1の実施の形態において、機密情報のファイル501を削除する際の動作を説明するフローチャートである。
クライアントコンピュータ101は、使用者の操作に従って、ファイル管理サーバ100に接続し(ステップS701)、ユーザ認証情報と、機密情報のファイル501の削除を行うことを示す情報と、削除する機密情報のファイル501を示す情報とを通信ネットワーク300を介してファイル管理サーバ100に送信する。ファイル管理サーバ100は、それらの情報を受信すると、受信した情報と、記憶手段200が記憶しているユーザ認証情報、および機密情報のファイル501のファイル管理情報が含むファイルの削除の許可者の情報とを比較し、クライアントコンピュータ101の使用者に、機密情報のファイル501の削除を許可するか否かを決定する(ステップS702)。
具体的には、ファイル管理サーバ100は、受信したユーザ認証情報と記憶手段200が記憶しているユーザ認証情報とが合致し、かつ、受信したユーザ認証情報が示す使用者が、機密情報のファイル501のファイル管理情報が示すファイルの削除の許可者に含まれていれば、クライアントコンピュータ101の使用者に、機密情報のファイル501の削除を許可する。
なお、ファイル管理サーバ100が受信したユーザ認証情報と、記憶手段200が記憶しているユーザ認証情報とが合致しなかったり、使用者が、ファイルの削除の許可者に含まれていなかったりした場合には、クライアントコンピュータ101の使用者に、機密情報のファイル501の削除を許可しない(ステップS703)。そして、ファイル管理サーバ100は、機密情報のファイル501の削除を許可しないことを示す情報を、通信ネットワーク300を介してクライアントコンピュータ101に送信する。
ファイル管理サーバ100は、機密情報のファイル501の削除を許可する際に、記憶手段200が記憶しているファイル管理更新履歴に機密情報のファイル501を削除することを記憶させ、ファイル管理更新履歴を除いて機密情報のファイル501のファイル管理情報を削除する(ステップS704)。ファイル管理サーバ100は、機密情報のファイル501の削除を許可することを示す情報を、通信ネットワーク300を介してクライアントコンピュータ101に送信する(ステップS705)。
クライアントコンピュータ101におけるファイルシステムは、通信ネットワーク300を介してファイル管理サーバ100から機密情報のファイル501の削除を許可することを示す情報を受信すると(ステップS706)、使用者の操作に従って機密情報のファイル501を削除する(ステップS708)。そして、クライアントコンピュータ101におけるファイルシステムは、記憶手段201のファイル管理領域において機密情報のファイル501が機密情報である旨のファイル属性を解除する。
そして、クライアントコンピュータ101におけるファイルシステムは、機密情報のファイル501を削除すると、機密情報のファイル501を削除したことを示す情報を、表示手段に表示させる。
なお、ファイル管理サーバ100は、機密情報のファイル501のファイル管理情報を削除することができなかった場合、機密情報のファイル501を削除することができないことを示す情報を、通信ネットワーク300を介してクライアントコンピュータ101に送信する。クライアントコンピュータ101におけるファイルシステムは、受信した機密情報のファイル501を削除することができないことを示す情報を表示手段に表示させる(ステップS707)。
なお、ステップS703およびステップS707の判定の結果、機密情報のファイル501を削除することができない場合であっても、クライアントコンピュータ101は、使用者の操作に従って、クライアントコンピュータ101が搭載しているOSのファイルシステムを用いて、機密情報のファイル501を強制的に削除してもよい。その場合、記憶手段200が記憶しているファイル管理情報と、記憶手段201が記憶しているファイルとが合致しなくなってしまう。そのため、例えば、1日に1回等の予め決められた間隔で、記憶手段200が記憶しているファイル管理情報と記憶手段201が記憶しているファイルとの整合を確認させる処理を行うことが好ましい。
次に、使用者が、クライアントコンピュータ101を操作して、記憶手段200が記憶しているファイル管理情報と、記憶手段201,202,203が記憶しているファイル管理情報との整合を確認させる際の動作について説明する。図10は、本発明の第1の実施の形態において、記憶手段200が記憶しているファイル管理情報と、記憶手段201が記憶している内容との整合を確認させる際の動作を説明するフローチャートである。
クライアントコンピュータ101におけるファイルシステムは、使用者の操作に従って、ファイル管理サーバ100に接続し(ステップS801)、ユーザ認証情報と、ファイル管理情報の整合の確認を行うことを示す情報とを通信ネットワーク300を介してファイル管理サーバ100に送信する。ファイル管理サーバ100は、それらの情報を受信すると、受信した情報と、記憶手段200が記憶しているユーザ認証情報とを比較し、ファイル管理情報の整合の確認を許可するか否かを決定する(ステップS802)。
具体的には、ファイル管理サーバ100は、受信したユーザ認証情報と、記憶手段200が記憶しているユーザ認証情報とが合致した場合には、ファイル管理情報の整合の確認を許可する。そして、ファイル管理サーバ100は、ファイル管理情報の整合の確認を許可することを示す情報を、通信ネットワーク300を介してクライアントコンピュータ101に送信する(ステップS803)。
クライアントコンピュータ101におけるファイルシステムは、通信ネットワーク300を介してファイル管理サーバ100からファイル管理情報の整合の確認を許可することを示す情報を、メモリに記憶させる。
また、ファイル管理サーバ100が受信したユーザ認証情報と、記憶手段200が記憶しているユーザ認証情報とが合致しなかった場合、クライアントコンピュータ101の使用者に、ファイル管理情報の整合の確認を許可しない(ステップS804)。そして、ファイル管理サーバ100は、ファイル管理情報の整合の確認を許可しないことを示す情報を、通信ネットワーク300を介してクライアントコンピュータ101に送信する。
ファイル管理サーバ100は、通信ネットワーク300を介してクライアントコンピュータ101にファイル管理情報の整合の確認を許可することを示す情報を送信すると、記憶手段200が記憶しているファイル管理情報のうち、記憶手段201が記憶している機密情報のファイルに関するファイル管理情報を、クライアントコンピュータ101に送信する。
クライアントコンピュータ101におけるファイルシステムは、ファイル管理サーバ100からファイル管理情報を受信すると、記憶手段201が記憶している機密情報のファイルのファイル管理情報と、受信したファイル管理情報とが合致するか否かの整合を確認する(ステップS805)。
クライアントコンピュータ101におけるファイルシステムは、記憶手段201が記憶している機密情報のファイルのファイル管理情報と、受信したファイル管理情報とが合致すると(ステップS806)、ファイル管理情報の整合の確認が終了したことを示す情報を表示手段に表示させる(ステップS807)。
クライアントコンピュータ101におけるファイルシステムは、記憶手段201が記憶している機密情報のファイルのファイル管理情報と、受信したファイル管理情報とが合致しない場合、記憶手段201が記憶している機密情報のファイルのファイル管理情報と、ファイル管理情報の修復依頼を示す情報とを、通信ネットワーク300を介してファイル管理サーバ100に送信する(ステップS808)。
ファイル管理サーバ100は、ファイル管理情報の修復依頼を示す情報を受信すると、クライアントコンピュータ101から受信した機密情報のファイルのファイル管理情報に従って、記憶手段200が記憶しているファイル管理情報を変更する(ステップS809)。なお、ファイル管理サーバ100は、クライアントコンピュータ101の使用者が、変更するべきファイル管理情報のファイルの所有者であったり、変更するべきファイル管理情報のファイルの属性の変更の許可者であった場合にのみ記憶手段200が記憶しているファイル管理情報を、記憶手段201が記憶している機密情報のファイルの内容を示す情報にもとづいて変更してもよい。
次に、機密情報のファイル501を、ファイル管理サーバ100に接続することができない環境のクライアントコンピュータで、参照、更新、コピー、移動を行う場合について説明する。
機密情報のファイル501を、ファイル管理サーバ100に接続することができない環境のクライアントコンピュータで、参照、更新、コピー、移動を行う場合、ファイル管理サーバ100に接続することができない環境のクライアントコンピュータが接続可能なファイル管理サーバを新たに設け、クライアントコンピュータとファイル管理サーバとのそれぞれに、予め前述したファイル管理プログラムをインストールしておく。そして、ファイル管理サーバ100に接続することができない環境において、参照、更新、コピー、移動を許可する機密情報のファイル501のみを、このファイル管理サーバに登録しておく。すると、ファイル管理サーバ100に接続することができない環境のクライアントコンピュータにおいても認証および暗号解読キーの入手を行うことが可能となり、ファイル管理サーバ100に接続することができない環境のクライアントコンピュータでも許可されたファイルのみ参照、更新、コピー、移動が可能となる。なお、こうした場合でも、機密情報のファイル501の操作の際には、クライアントコンピュータはファイル管理サーバに接続することが必要となるため、特定のユーザのみにユーザ認証を行うことや、ユーザのアクセスログを管理することにより不正アクセスによる情報漏洩を防ぐことができる。また、ファイル管理サーバ100に接続することができない環境では、ファイル属性の変更、コピー等の一部の機能を制限または禁止してもよく、これにより不正使用を防止することが可能となる。
実施の形態2.
本発明の第2の実施の形態について、図面を参照して説明する。図11は、本発明の第2の実施の形態の一構成例を示すブロック図である。
本発明の第2の実施の形態の構成は、ファイル管理サーバ104と、ファイル管理サーバ104に接続している記憶手段204とを含む点が第1の実施の形態と異なる。その他の点は第1の実施の形態の構成と同様なため、クライアントコンピュータ等には図1と同じ符号を付し、説明を省略する。
記憶手段201、記憶手段202、および記憶手段203は、各記憶手段が記憶している機密情報のファイルのファイル管理情報を、記憶手段200および記憶手段204のどちらが記憶しているのかを示す情報を記憶している。
各クライアントコンピュータは、使用者の指示に従って各記憶手段が記憶している機密情報のファイルを操作する場合、機密情報のファイルのファイル管理情報を記憶手段200および記憶手段204のどちらが記憶しているのかを示す情報にもとづいて、記憶手段200または記憶手段204が記憶している機密情報のファイルのファイル管理情報を読み出し、読み出した機密情報のファイルのファイル管理情報にもとづいて機密情報のファイルの操作を行う。具体的には、例えば、記憶手段201が、記憶手段201が記憶している機密情報のファイル501のファイル管理情報を記憶手段200が記憶していることを示す情報を記憶している場合、クライアントコンピュータ101は、使用者の指示に従って機密情報のファイル501の操作(作成、参照、更新、コピー、移動等)を行うとき、ファイル管理サーバ100に接続する。そして、ファイル管理サーバ100が、記憶手段100が記憶している機密情報のファイル501のファイル管理情報を読み出してクライアントコンピュータ101と情報を送受信する。クライアントコンピュータ101とファイル管理サーバ100との情報の送受信の際の動作は、第1の実施の形態における動作と同様なため説明を省略する。
ファイル管理サーバ100および記憶手段200と、ファイル管理サーバ104および記憶手段204とは、例えば、企業内のそれぞれの部門ごとに設置されてもよい。また、各クライアントコンピュータと各記憶手段とは、例えば、企業内のそれぞれの部門に設置されてもよい。そして、例えば、記憶手段200は、A部門に設置されている記憶手段が記憶している機密情報のファイルのファイル管理情報を記憶し、記憶手段204は、B部門に設置されている記憶手段が記憶している機密情報のファイルのファイル管理情報を記憶している。
以上、述べたように、この実施の形態によれば、ファイル管理サーバが複数設置されており、各部門ごとに機密情報のファイルのファイル管理情報の管理を行う構成にしたため、クライアントコンピュータが機密情報のファイルの作成、参照、更新、コピー、移動などの際に接続するファイル管理サーバの接続負荷を分散させることができる。そのため、各クライアントコンピュータのファイル操作時の応答速度を改善することができる。
なお、各ファイル管理サーバが、接続している記憶手段がファイル管理情報を記憶している機密情報のファイルを示す情報を、互いに送受信してもよい。具体的には、記憶手段200が機密情報のファイル501のファイル管理情報を記憶しており、記憶手段204が機密情報のファイル502のファイル管理情報を記憶している場合、ファイル管理サーバ100は、記憶手段200が機密情報のファイル501のファイル管理情報を記憶していることを示す情報をファイル管理サーバ204に送信し、ファイル管理サーバ204は、記憶手段204が機密情報のファイル502のファイル管理情報を記憶していることを示す情報をファイル管理サーバ100に送信する。そして、クライアントコンピュータ101が、記憶手段101が記憶している機密情報のファイル501の操作の際に、ファイル管理サーバ204に接続すると、ファイル管理サーバ204は、記憶手段200が機密情報のファイル501のファイル管理情報を記憶していることを示す情報にもとづいて、クライアントコンピュータ101が送信した情報をファイル管理サーバ100に送信し、ファイル管理サーバ100が送信した情報をクライアントコンピュータ101に送信する。すると、クライアントコンピュータの使用者は、機密情報のファイルの操作の際に接続するファイル管理サーバを意識することなく、機密情報のファイルを操作することができる。そのため、従来の一般的なOSのファイルシステムと同じ操作環境で機密情報のファイルを操作することが可能となり、利便性が向上する。
企業等の電子化されたデータの持ち出しや、コピーを防止するシステムに適用することができる。また、機密情報が格納されたノートPC、大容量記録メディア等を企業等の外部に持ち出し、輸送等を行った際に盗難、紛失が発生した場合に機密情報が外部に流出することを防止するシステムにも適用することができる。また、ファイル管理プログラムをコンピュータにインストールして使用するだけでなく、ICカード、LSIチップ、携帯電話機、PDAなどの情報機器、情報端末に適用して使用することも可能である。
本発明の第1の実施の形態の一構成例を示すブロック図である。 サーバ側において記憶されるファイル管理情報の一例を示す説明図である。 本発明の第1の実施の形態において、機密情報のファイルを作成する際の動作を説明するフローチャートである。 本発明の第1の実施の形態において、機密情報のファイルを参照する際の動作を説明するフローチャートである。 本発明の第1の実施の形態において、機密情報のファイルの内容を更新する際の動作を説明するフローチャートである。 本発明の第1の実施の形態において、機密情報のファイルをコピーする際の動作を説明するフローチャートである。 本発明の第1の実施の形態において、機密情報のファイルを移動する際の動作を説明するフローチャートである。 本発明の第1の実施の形態において、機密情報のファイルの属性を機密情報から通常の情報に変更する際の動作を説明するフローチャートである。 本発明の第1の実施の形態において、機密情報のファイルを削除する際の動作を説明するフローチャートである。 本発明の第1の実施の形態において、ファイル管理情報と、記憶手段が記憶している内容との整合を確認させる際の動作を説明するフローチャートである。 本発明の第2の実施の形態の一構成例を示すブロック図である。
符号の説明
100、104 ファイル管理サーバ
101、102、103 クライアントコンピュータ
200、201、202、203、204 記憶手段
501、502、503 ファイル

Claims (9)

  1. 通信ネットワーク内に存在するクライアント端末と通信可能であって、クライアント端末が有するファイル記憶手段に記憶されるファイルのファイル名、クライアント端末名、クライアント端末における当該ファイルの格納場所を示す情報、および当該ファイルの各操作の許可者を含む情報であるファイル管理情報を記憶するためのファイル管理情報記憶手段を有するファイル管理サーバを備えたファイル管理システムにおいて、
    前記ファイル管理サーバは、
    記クライアント端末の使用者を認証する認証情報を登録する認証情報登録手段と、
    前記クライアント端末がファイル属性を機密にした暗号化されたファイルを作成して前記ファイル記憶手段に格納した場合に、前記ファイルを示す情報と前記ファイルを復号するための暗号解読キーとを、前記ファイル管理情報として前記ファイル管理情報記憶手段に記憶させるファイル情報登録手段と、
    前記クライアント端末が前記ファイルの操作を開始するときに前記クライアント端末の使用者を認証するとともに、前記ファイルの操作中に定期的に前記クライアント端末の使用者を認証する認証手段とを含み、
    前記クライアント端末は、前記ファイルの操作中に、前記ファイル管理サーバに当該ファイルを示す情報を定期的に送信する送信手段を含み、
    前記認証手段は、前記クライアント端末が前記ファイルの操作を開始するときに認証が成功した場合に、前記暗号解読キーを前記クライアント端末に送信し、
    前記認証手段は、前記ファイルの操作中に、前記ファイル管理情報記憶手段に記憶されているファイル管理情報のうち、前記送信手段が送信した前記ファイルを示す情報によって示されるファイルのファイル管理情報に含まれる当該ファイルの各操作の許可者によってファイルの操作が行われているか否かを前記クライアント端末から受信した操作の内容を示す情報および認証情報にもとづいて判定することにより定期的に前記クライアント端末の使用者を認証し、前記認証に失敗した場合には、前記クライアント端末の前記ファイルの操作を禁止する処理を実行し、
    前記ファイル情報登録手段は、前記クライアント端末がファイルの操作として暗号化されたファイルの複写を行った場合に、複写後の暗号化されたファイルの管理情報として複写元のファイルの暗号解読キーと同じ暗号解読キーを前記ファイル管理情報記憶手段に記憶させ、前記クライアント端末がファイルの操作として暗号化されたファイルの移動を行った場合に、前記ファイル管理情報記憶手段に記憶されているファイル管理情報を更新する
    ことを特徴とするファイル管理システム。
  2. 通信ネットワークは、ネットワーク外からアクセスすることができない閉じたネットワークである
    請求項1記載のファイル管理システム。
  3. 認証情報登録手段は、クライアント端末の使用者に許可したファイル操作の内容を示す情報を、ファイル管理情報としてファイル管理情報記憶手段に記憶させ、
    認証手段は、前記ファイル管理情報にもとづいて、ファイル操作の内容に応じて前記ファイル操作を許可するか否かを判定する
    請求項1または請求項2記載のファイル管理システム。
  4. 認証手段は、クライアント端末がファイルの操作としてファイルの参照または更新を行っているときに、当該操作を許可するか否かを判定する
    請求項3記載のファイル管理システム。
  5. クライアント端末におけるファイル記憶手段は、少なくともファイル属性を示す情報を含むクライアント側ファイル管理情報を記憶し、
    前記クライアント端末は、定期的に、ファイル管理情報記憶手段が記憶しているファイル管理情報の内容と前記クライアント側ファイル管理情報の内容とを整合させる処理を実行するファイル管理情報整合手段を含む
    請求項1から請求項のうちのいずれか1項に記載のファイル管理システム。
  6. 複数のファイル管理サーバを備え、
    クライアント端末におけるファイル記憶手段に格納されたファイルに関するファイル管理情報は、いずれか1つのファイル管理サーバにおけるファイル管理情報記憶手段に記憶される
    請求項1から請求項のうちのいずれか1項に記載のファイル管理システム
  7. 通信ネットワーク内に存在するクライアント端末と通信可能であって、クライアント端末が有するファイル記憶手段に記憶されるファイルのファイル名、クライアント端末名、クライアント端末における当該ファイルの格納場所を示す情報、および当該ファイルの各操作の許可者を含む情報であるファイル管理情報を記憶するためのファイル管理情報記憶手段を有するファイル管理サーバにおいて、
    記クライアント端末の使用者を認証する認証情報を登録する認証情報登録手段と、
    前記クライアント端末がファイル属性を機密にした暗号化されたファイルを作成して前記ファイル記憶手段に格納した場合に、前記ファイルを示す情報と前記ファイルを復号するための暗号解読キーとを、前記ファイル管理情報として前記ファイル管理情報記憶手段に記憶させるファイル情報登録手段と、
    前記クライアント端末が前記ファイルの操作を開始するときに前記クライアント端末の使用者を認証するとともに、前記ファイルの操作中に定期的に前記クライアント端末の使用者を認証する認証手段とを含み、
    前記認証手段は、前記クライアント端末が前記ファイルの操作を開始するときに認証が成功した場合に、前記暗号解読キーを前記クライアント端末に送信し、
    前記認証手段は、前記ファイルの操作中に、前記ファイル管理情報記憶手段に記憶されているファイル管理情報のうち、前記ファイルを示す情報を定期的に送信する前記クライアント端末の送信手段が送信した前記ファイルを示す情報によって示されるファイルのファイル管理情報に含まれる当該ファイルの各操作の許可者によってファイルの操作が行われているか否かを前記クライアント端末から受信した操作の内容を示す情報および認証情報にもとづいて判定することにより定期的に前記クライアント端末の使用者を認証し、前記認証に失敗した場合には、前記クライアント端末の前記ファイルの操作を禁止する処理を実行し、
    前記ファイル情報登録手段は、前記クライアント端末がファイルの操作として暗号化されたファイルの複写を行った場合に、複写後の暗号化されたファイルの管理情報として複写元のファイルの暗号解読キーと同じ暗号解読キーを前記ファイル管理情報記憶手段に記憶させ、前記クライアント端末がファイルの操作として暗号化されたファイルの移動を行った場合に、前記ファイル管理情報記憶手段に記憶されているファイル管理情報を更新する
    ことを特徴とするファイル管理サーバ。
  8. 認証情報登録手段は、クライアント端末の使用者に許可したファイル操作の内容を示す情報を、ファイル管理情報としてファイル管理情報記憶手段に記憶させ、
    認証手段は、前記ファイル管理情報にもとづいて、ファイル操作の内容に応じて前記ファイル操作を許可するか否かを判定する
    請求項記載のファイル管理サーバ。
  9. 認証手段は、クライアント端末がファイルの操作としてファイルの参照または更新を行っているときに、当該操作を許可するか否かを判定する
    請求項または請求項記載のファイル管理サーバ。
JP2004254839A 2004-09-01 2004-09-01 ファイル管理システム、およびファイル管理サーバ Expired - Fee Related JP4539240B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004254839A JP4539240B2 (ja) 2004-09-01 2004-09-01 ファイル管理システム、およびファイル管理サーバ

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004254839A JP4539240B2 (ja) 2004-09-01 2004-09-01 ファイル管理システム、およびファイル管理サーバ

Publications (2)

Publication Number Publication Date
JP2006072664A JP2006072664A (ja) 2006-03-16
JP4539240B2 true JP4539240B2 (ja) 2010-09-08

Family

ID=36153234

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004254839A Expired - Fee Related JP4539240B2 (ja) 2004-09-01 2004-09-01 ファイル管理システム、およびファイル管理サーバ

Country Status (1)

Country Link
JP (1) JP4539240B2 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5090835B2 (ja) * 2007-09-11 2012-12-05 株式会社リコー 情報処理装置及び認証制御プログラム
JP2010092288A (ja) * 2008-10-08 2010-04-22 Mitsubishi Electric Corp ファイル管理方法、管理端末、情報処理端末、ファイル管理システム、ファイル管理プログラム
JP5485452B1 (ja) * 2012-08-02 2014-05-07 エヌ・ティ・ティ・コミュニケーションズ株式会社 鍵管理システム、鍵管理方法、ユーザ端末、鍵生成管理装置、及びプログラム
JP6241085B2 (ja) * 2013-06-11 2017-12-06 株式会社リコー データ管理システム、操作管理プログラム、データ管理方法及びデータ管理装置
FR3008366B1 (fr) * 2013-07-12 2017-09-01 Valeo Securite Habitacle Procede de securisation d'une commande a appliquer a un vehicule automobile

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002288161A (ja) * 2001-03-26 2002-10-04 Ricoh Co Ltd 文書管理システム
JP2003173284A (ja) * 2001-12-05 2003-06-20 Hitachi Ltd 送信制御可能なネットワークシステム
JP2003273860A (ja) * 2002-03-19 2003-09-26 Ricoh Co Ltd 暗号化文書閲覧方法、暗号化文書閲覧システム、暗号化文書閲覧プログラム、暗号化文書閲覧プログラムを格納する記憶媒体、暗号化文書閲覧システムに用いられる管理装置、暗号化文書のデータ構造、暗号化文書のデータ構造生成装置、及び暗号化文書のデータ構造生成プログラム
JP2004046307A (ja) * 2002-07-09 2004-02-12 Fujitsu Ltd データ保護プログラムおよびデータ保護方法
JP2004164604A (ja) * 2002-10-11 2004-06-10 Ricoh Co Ltd 電子ファイル管理装置及びプログラム並びにファイルアクセス制御方法
WO2004053666A1 (ja) * 2002-12-11 2004-06-24 Interlex Inc. ソフトウェア実行制御システム及びソフトウェアの実行制御プログラム

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2703957B2 (ja) * 1988-11-30 1998-01-26 株式会社東芝 携帯可能媒体への記録装置及び記録方法
JPH04268937A (ja) * 1991-02-25 1992-09-24 Toshiba Corp 機密情報処理システム
JPH09179768A (ja) * 1995-12-21 1997-07-11 Olympus Optical Co Ltd ファイル暗号化システム及びファイル復号化システム
JPH11265317A (ja) * 1998-03-16 1999-09-28 Nippon Telegr & Teleph Corp <Ntt> 著作権保護システム

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002288161A (ja) * 2001-03-26 2002-10-04 Ricoh Co Ltd 文書管理システム
JP2003173284A (ja) * 2001-12-05 2003-06-20 Hitachi Ltd 送信制御可能なネットワークシステム
JP2003273860A (ja) * 2002-03-19 2003-09-26 Ricoh Co Ltd 暗号化文書閲覧方法、暗号化文書閲覧システム、暗号化文書閲覧プログラム、暗号化文書閲覧プログラムを格納する記憶媒体、暗号化文書閲覧システムに用いられる管理装置、暗号化文書のデータ構造、暗号化文書のデータ構造生成装置、及び暗号化文書のデータ構造生成プログラム
JP2004046307A (ja) * 2002-07-09 2004-02-12 Fujitsu Ltd データ保護プログラムおよびデータ保護方法
JP2004164604A (ja) * 2002-10-11 2004-06-10 Ricoh Co Ltd 電子ファイル管理装置及びプログラム並びにファイルアクセス制御方法
WO2004053666A1 (ja) * 2002-12-11 2004-06-24 Interlex Inc. ソフトウェア実行制御システム及びソフトウェアの実行制御プログラム

Also Published As

Publication number Publication date
JP2006072664A (ja) 2006-03-16

Similar Documents

Publication Publication Date Title
JP5270694B2 (ja) 機密ファイルを保護するためのクライアント・コンピュータ、及びそのサーバ・コンピュータ、並びにその方法及びコンピュータ・プログラム
JP4586913B2 (ja) 文書管理システム、文書利用管理装置、及びプログラム
US8863305B2 (en) File-access control apparatus and program
EP1696359A2 (en) Portable information terminal and data protecting method
EP1684163A2 (en) Information processing apparatus, information storing device, system for extending functions of information processing apparatus, method for extending functions of information processing apparatus, method for deleting functions thereof and program for extending functions of information processing apparatus and program for deleting functions thereof
JP4735331B2 (ja) 仮想マシンを利用した情報処理装置および情報処理システム、並びに、アクセス制御方法
US7099478B2 (en) Apparatus for and method of controlling propagation of decryption keys
JP3735300B2 (ja) アクセス制限可能な情報記録再生システム及びそのアクセス制限方法
JP2005209181A (ja) ファイル管理システム及び管理方法
JP4246112B2 (ja) ファイルのセキュリティー管理システムおよび認証サーバ、クライアント装置ならびにプログラムおよび記録媒体
WO2020066493A1 (ja) 情報処理システム、情報処理方法及び情報処理プログラム
JP2004070674A (ja) 電子データ交換システムにおけるデータ保護装置及びデータ保護方法並びにそれに用いるプログラム
JP2009015766A (ja) ユーザ端末、アクセス管理システム、アクセス管理方法、およびプログラム
JP4539240B2 (ja) ファイル管理システム、およびファイル管理サーバ
JP2009116726A (ja) 情報管理システム、携帯端末、サーバ装置、情報処理装置、情報処理方法およびプログラム
JP2006172351A (ja) リムーバブルメディア利用によるコンテンツの使用期限管理方法及びシステム
JP2005284506A (ja) ダウンロードシステム及びダウンロードシステムを構成する機器、管理局、リムーバブルメディア
JP2005165900A (ja) 情報漏洩防止装置
JP2009093670A (ja) ファイルのセキュリティー管理システムおよび認証サーバ、クライアント装置ならびにプログラムおよび記録媒体
JP4119416B2 (ja) 文書管理システム、文書管理サーバ、文書再生端末、文書管理方法、文書再生方法、文書管理プログラム、及び文書再生プログラム
US8368923B2 (en) Image forming apparatus and image forming system
JP4813768B2 (ja) リソース管理装置、リソース管理プログラム、及び記録媒体
JP3863891B2 (ja) 記憶装置及びデータ管理システム及びデータ無効化方法及びデータ無効化プログラム
JP6819734B2 (ja) 情報処理装置及び利用端末
JP2010186380A (ja) 情報管理システム

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090115

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090127

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090327

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091124

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100115

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100601

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100614

R150 Certificate of patent or registration of utility model

Ref document number: 4539240

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130702

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees