実施の形態1.
本発明の第1の実施の形態について、図面を参照して説明する。図1は、本発明の第1の実施の形態の一構成例を示すブロック図である。
本発明の第1の実施の形態は、例えば企業内の機密情報を含む機密情報ファイル501を記憶する記憶手段(ファイル記憶手段)201と接続されたクライアントコンピュータ101、機密情報のファイル502を記憶する記憶手段202と接続されたクライアントコンピュータ102、機密情報のファイル503を記憶する記憶手段203と接続されたクライアントコンピュータ103、機密情報の各ファイルの情報を記憶する記憶手段(ファイル管理情報記憶手段)200と接続され、クライアントコンピュータ101とクライアントコンピュータ102とクライアントコンピュータ103とに機密情報の各ファイルの操作を許可するファイル管理サーバ100、およびファイル管理サーバ100とクライアントコンピュータ101とクライアントコンピュータ102とクライアントコンピュータ103とを接続する通信ネットワーク300を含む。
なお、記憶手段201が記憶するファイルは、機密情報のファイル501に限定されるものではなく、記憶手段201は、複数の機密情報のファイルや、通常の情報のファイルを記憶可能である。同様に、記憶手段202および記憶手段203も、複数の機密情報のファイルや、通常の情報のファイルを記憶可能である。クライアントコンピュータ101,102,103には、OSとして例えばUNIX(登録商標)やWindows(登録商標)が実装されている。また、クライアントコンピュータ101,102,103には、例えばUNIXやWindowsの元で動作するソフトウェアであるファイルシステムが搭載されている。以下の説明において、クライアントコンピュータ101,102,103におけるファイルの管理に関わる動作は、具体的には、ファイルシステムにもとづいて動作するCPUの動作である。さらに、以下に説明する動作を実現するためのファイルシステムを、例えばUNIXやWindowsにおける標準的なファイルシステムに組み込むことができる。なお、ファイル管理サーバ100にも、ファイルシステムが実装されている。以下に説明するファイル管理サーバ100の動作は、ファイル管理サーバ100に実装されているファイルシステムで実現される。
記憶手段201,202,203は、対応するクライアントコンピュータ101,102,103に接続されているが、クライアントコンピュータ101,102,103に内蔵されていてもよい。記憶手段201,202,203がクライアントコンピュータ101,102,103に接続されている場合には、クライアントコンピュータおよび記憶手段が、記憶手段を有するクライアント端末を構成する。また、記憶手段200はファイル管理サーバ100に接続されているが、ファイル管理サーバ100に内蔵されていてもよい。記憶手段200がファイル管理サーバ100に内蔵されている場合には、記憶手段200およびファイル管理サーバ100が、ファイル管理情報記憶手段を有するファイル管理サーバを構成する。
なお、ファイル管理情報整合手段は、各クライアントコンピュータのCPUによって実現される。また、認証情報登録手段、ファイル情報登録手段、および認証手段は、ファイル管理サーバ100のCPUによって実現される。
記憶手段201は、記憶している各ファイルのファイル名や、作成日時、ファイル格納場所、ファイル属性等の情報を含むファイル情報を記憶する管理領域を有する。ファイル属性として、読み取り可能や書き込み可能などの一般的属性の他に、機密情報である旨を示す属性もある。ファイル属性として機密情報である旨を示す属性が設定された場合に、その属性に対応するファイルは機密情報のファイルとなる。同様に、記憶手段202および記憶手段203も、管理領域を有する。また、記憶手段201は、クライアントコンピュータ101や使用者を識別する情報であるユーザ認証情報を記憶している。ユーザ認証情報とは、例えば、クライアントコンピュータ101のMACアドレスや、ユーザID、パスワード等である。同様に、記憶手段202および記憶手段203も、クライアントコンピュータ102またはクライアントコンピュータ103や使用者を識別する情報であるユーザ認証情報をそれぞれ記憶している。
ファイル管理サーバ100がアクセス可能な記憶手段200は、記憶手段201、記憶手段202、および記憶手段203が記憶している機密情報のファイルについてのファイル情報と、暗号化された機密情報のファイルを復号するキーである暗号解読キーと、各クライアントコンピュータを識別する情報であるユーザ認証情報とを対応づけて記憶している。ファイル管理情報は、機密情報の各ファイルのファイル名(クライアントコンピュータ名およびクライアントコンピュータにおけるファイルの格納場所を示す情報を含む。)、ファイルの所有者名、ファイルの作成日時や更新日時、ファイルの各操作の許可者、ファイルの操作の有効期限、ファイル属性、ファイルのアクセスログ、ファイル管理情報の更新履歴等を含む情報である。なお、記憶手段200において、暗号解読キーは、ファイル管理情報に含まれていてもよい。また、クライアント側の記憶手段201,202,203もファイル管理情報を記憶する。クライアント側のファイル管理情報は、少なくとも、ファイル属性を含む。ファイル管理サーバ100が機密情報のファイルのファイル属性の変更を許可する場合には、クライアントコンピュータにおけるファイルシステムが、クライアント側のファイル管理情報を変更する。
図2は、記憶手段200に記憶されるファイル管理情報の一例を示す説明図である。図2に示す例では、それぞれのファイルのファイル管理情報は、ファイル名、ファイルの所有者、ファイル属性、ファイルの作成日時および更新日時、ファイルに対する各アクセスの種類(例えば、参照、更新、コピー、属性変更、削除)のそれぞれについての許可された者、ファイルに対する各アクセスの種類の有効期限、暗号解読キー、アクセスログ、およびファイル管理更新履歴を含む。
クライアントコンピュータ101,102,103は、使用者の操作に従って、記憶手段201、記憶手段202または記憶手段203が記憶しているファイルの内容の表示等の操作を行う。また、クライアントコンピュータ101,102,103は、機密情報のファイルの操作を開始するときに、各記憶手段が記憶しているユーザ認証情報、機密情報のファイルを示す情報(ファイルを特定するための情報、ファイル名など)および操作の内容を示す情報とを、通信ネットワーク300を介してファイル管理サーバ100に送信する。
ファイル管理サーバ100は、各クライアントコンピュータから受信した機密情報のファイルを示す情報に対応するファイル管理情報が含む各操作の許可者が、各クライアントコンピュータから受信した操作の内容を示す情報およびユーザ認証情報と合致しているか否かのユーザ認証処理を行い、機密情報のファイルの操作を許可するか否か、すなわち各クライアントコンピュータのユーザが機密情報のファイルに対するアクセス権限を有しているか否かを判定する。ファイル管理サーバ100は、機密情報のファイルの操作を許可すると判定した場合には、記憶手段200が記憶している暗号解読キーを各クライアントコンピュータに通信ネットワーク300を介して送信する。
さらに、クライアントコンピュータ101,102,103は、機密情報のファイル(具体的には、復号されたファイル)をアクセスしているときに、所定のタイミングで、各記憶手段が記憶しているユーザ認証情報を通信ネットワーク300を介してファイル管理サーバ100に送信する。所定のタイミングとは、機密情報のファイルを操作中における、例えば、1分間隔等である。ファイル管理サーバ100の負担を軽くするために、クライアントコンピュータ101,102,103は、ユーザ認証情報に加えて、機密情報のファイルを示す情報(ファイルを特定するための情報、ファイル名など)と、操作の内容を示す情報とを、ファイル管理サーバ100に送信することが好ましい。ファイル管理サーバ100は、各クライアントコンピュータから受信した情報にもとづいて、各クライアントコンピュータのユーザが機密情報のファイルに対するアクセス権限を有しているか否か確認し、アクセス権限を有していないと判定した場合には、ファイル管理サーバ100は、機密情報のファイルを操作しているクライアントコンピュータのファイルシステムに対してファイルの操作を禁止する指示を送信する。クライアントコンピュータのファイルシステム(具体的には、ファイルシステムのソフトウェアに従って動作するCPU)は、アクセスを禁止する指示を受信すると、ファイルの操作をできない状態に制御する。
なお、通信ネットワーク300は、例えば、LAN(Local Area Network)等を含む閉じたネットワークであるイントラネットである。閉じたネットワークとは、ネットワークの外部からネットワーク内部に存在する機器等をアクセスできないようなネットワークを意味する。
ファイル管理サーバ100は、コンピュータに、クライアントコンピュータまたはクライアントコンピュータの使用者を認証する認証情報を登録させる認証情報登録処理と、クライアントコンピュータがファイル属性を機密にした暗号化されたファイルを作成してクライアントコンピュータに接続された記憶手段に格納した場合に、ファイルを示す情報とファイルを復号するための暗号解読キーとを、ファイル管理情報としてファイル管理サーバに接続された記憶手段に記憶させるファイル情報登録処理と、クライアントコンピュータがファイルの操作を開始するときにクライアントコンピュータまたはクライアントコンピュータの使用者を認証させるとともに、ファイルの操作中に定期的にクライアントコンピュータまたはクライアントコンピュータの使用者を認証させる認証処理とを実行させ、認証処理で、クライアントコンピュータがファイルの操作を開始するときに認証が成功した場合に、暗号解読キーをクライアントコンピュータに送信させ、認証処理で、ファイルの操作中に、当該ファイルを示す情報を定期的に送信するクライアントコンピュータの送信手段が送信したファイルを示す情報にもとづいて、定期的にクライアントコンピュータまたはクライアントコンピュータの使用者を認証し、認証に失敗した場合には、クライアントコンピュータのファイルの操作を禁止することを特徴とするファイル管理プログラムを搭載している。
なお、認証情報登録処理で、クライアントコンピュータまたはクライアントコンピュータの使用者に許可したファイル操作の内容を示す情報を、ファイル管理情報としてファイル管理サーバに接続された記憶手段に記憶させてもよく、認証処理で、ファイル管理情報にもとづいて、ファイル操作の内容に応じてファイル操作を許可するか否かを判定させてもよい。
次に、本発明の第1の実施の形態の動作について、図面を参照して説明する。
クライアントコンピュータ101は、使用者の操作に従って、予めクライアントコンピュータ101のMACアドレスや、ユーザID、パスワード等のユーザ認証情報を通信ネットワーク300を介してファイル管理サーバ100に送信する。ファイル管理サーバ100は、受信したユーザ認証情報を記憶手段200に記憶させることによって、ユーザ登録を行う。また、例えば、ファイル管理サーバ100は、ファイル管理サーバ100の管理者の操作に従って、クライアントコンピュータ101の使用者が機密情報のファイルの作成を許可される者であるか否かの情報を記憶手段200に記憶させる。
まず、使用者が、クライアントコンピュータ101を操作して、機密情報のファイル501を作成する際の動作について説明する。図3は、本発明の第1の実施の形態において、機密情報のファイル501を作成する際の動作を説明するフローチャートである。使用者が、機密情報のファイル501を作成しようとするときに、クライアントコンピュータ101のファイルシステムは、使用者の操作に従って、ファイル管理サーバ100に接続し(ステップS101)、ユーザ認証情報と、機密情報のファイル501の作成を行うことを示す情報とを通信ネットワーク300を介してファイル管理サーバ100に送信する。ファイル管理サーバ100は、ユーザ認証情報と、機密情報のファイル501の作成を行うことを示す情報とを受信すると、記憶手段200が記憶しているユーザ認証情報と、クライアントコンピュータ101の使用者に許可する操作を示す情報とを比較し、クライアントコンピュータ101の使用者に、機密情報のファイル501の作成を許可するか否かを決定する(ステップS102)。
具体的には、ファイル管理サーバ100が受信したユーザ認証情報と、記憶手段200が記憶しているユーザ認証情報とが合致し、ファイル管理サーバ100が受信した機密情報のファイル501の作成を行うことを示す情報と、記憶手段200が記憶しているクライアントコンピュータ101の使用者に許可する操作を示す情報とを比較して、記憶手段200が記憶しているクライアントコンピュータ101の使用者に許可する操作を示す情報が、機密情報のファイルの作成を行うことを含んでいれば、クライアントコンピュータ101の使用者に、機密情報のファイル501の作成を許可する。そして、ファイル管理サーバ100は、機密情報のファイル501の作成を許可することを示す情報を、通信ネットワーク300を介してクライアントコンピュータ101に送信する。
また、ファイル管理サーバ100が受信したユーザ認証情報と、記憶手段200が記憶しているユーザ認証情報とが合致しなかったり、ファイル管理サーバ100が受信した機密情報のファイル501の作成を行うことを示す情報と、記憶手段200が記憶しているクライアントコンピュータ101の使用者に許可する操作を示す情報とを比較して、記憶手段200が記憶しているクライアントコンピュータ101の使用者に許可する操作を示す情報が、機密情報のファイルの作成を行うことを含んでいなかったりした場合、クライアントコンピュータ101の使用者に、機密情報のファイル501の作成を許可しない。そして、ファイル管理サーバ100は、機密情報のファイル501の作成を許可しないことを示す情報を、通信ネットワーク300を介してクライアントコンピュータ101に送信する。クライアントコンピュータ101におけるファイルシステムは、受信した機密情報のファイル501の作成を許可しないことを示す情報を表示手段(図示せず)に表示させる(ステップS103)。
クライアントコンピュータ101におけるファイルシステムは、機密情報のファイル501の作成を許可することを示す情報を受信すると、使用者の操作に従って、暗号化した機密情報のファイル501を作成する(ステップS104)。クライアントコンピュータ101は、作成した機密情報のファイル501を記憶手段201に記憶させ、記憶手段201の管理領域に、作成したファイルが機密情報である旨を示すファイル属性を設定する。
クライアントコンピュータ101におけるファイルシステムは、作成した機密情報のファイル501のファイル情報と、暗号化した機密情報のファイル501を復号する暗号解読キーとを、通信ネットワーク300を介してファイル管理サーバ100に送信する(ステップS105)。ファイル管理サーバ100は、受信したファイル情報と暗号解読キーとを対応づけて記憶手段200に記憶させる。
また、ファイル管理サーバ100は、ファイル情報と暗号解読キーとを対応づけて記憶手段200に記憶させると、ファイル情報と暗号解読キーとの登録に成功したことを示す情報を、通信ネットワーク300を介してクライアントコンピュータ101に送信する(ステップS106)。クライアントコンピュータ101におけるファイルシステムは、受信したファイル情報と暗号解読キーとの登録に成功したことを示す情報を表示手段に表示させる。
なお、ファイル管理サーバ100は、記憶手段100が磁気ディスクで実現されている場合にディスク書込エラーが発生したときなど、ファイル情報と暗号解読キーとの登録に失敗した場合には、ファイル情報と暗号解読キーとの登録に失敗したことを示す情報を、通信ネットワーク300を介してクライアントコンピュータ101に送信する。クライアントコンピュータ101におけるファイルシステムは、受信したファイル情報と暗号解読キーとの登録に失敗したことを示す情報を表示手段に表示させる。そして、クライアントコンピュータ101におけるファイルシステムは、記憶手段201が記憶している機密情報のファイル501を削除する(ステップS107)。
なお、クライアントコンピュータ101におけるファイルシステムは、使用者の操作に従って、機密情報であること以外のファイル属性(読み取り専用、書き換え可能、実行形式ファイルなど)や各アクセスを許可する者を示す情報をファイル管理サーバ100に送信する。ファイル管理サーバ100は、それらの情報をファイル管理情報として記憶手段200に記憶させる(図2参照)。一般に、機密情報のファイルの作成者は、そのファイルに対する全ての種類のアクセスが可能であるように、アクセスを許可する者に自身も含めるが、自身のアクセスを制限するようにしてもよい。また、ここでは、クライアントコンピュータ101の動作について説明したが、クライアントコンピュータ102,103も同様に動作する。
次に、クライアントコンピュータ101〜103の使用者が、クライアントコンピュータ101〜103を操作して、機密情報のファイル501を参照する際の動作について説明する。図4は、本発明の第1の実施の形態において、機密情報のファイル501を参照する際の動作を説明するフローチャートである。ここでは、クライアントコンピュータ101の動作を例にする。
クライアントコンピュータ101におけるファイルシステムは、使用者の操作に従って、ファイル管理サーバ100に接続し(ステップS201)、ユーザ認証情報と、機密情報のファイル501の参照を行うことを示す情報と、参照する機密情報のファイル501を示す情報とを通信ネットワーク300を介してファイル管理サーバ100に送信する。ファイル管理サーバ100は、それらの情報と受信すると、受信した情報と、記憶手段200が記憶しているユーザ認証情報、および機密情報のファイル501のファイル管理情報が含むファイルの参照の許可者の情報とを比較し、クライアントコンピュータ101の使用者に、機密情報のファイル501の参照を許可するか否かを決定する(ステップS202)。
具体的には、ファイル管理サーバ100は、受信したユーザ認証情報と記憶手段200が記憶しているユーザ認証情報とが合致し、かつ、受信したユーザ認証情報が示す使用者が、機密情報のファイル501のファイル管理情報が示すファイルの参照の許可者に含まれていれば、機密情報のファイル501の参照を許可する。そして、ファイル管理サーバ100は、機密情報のファイル501の参照を許可することを示す情報と、機密情報のファイル501の暗号解読キーとを、通信ネットワーク300を介してクライアントコンピュータ101に送信する(ステップS203)。
また、ファイル管理サーバ100が受信したユーザ認証情報と、記憶手段200が記憶しているユーザ認証情報とが合致しなかったり、使用者が、ファイルの参照の許可者に含まれていなかったりした場合には、機密情報のファイル501の参照を許可しない(ステップS204)。そして、ファイル管理サーバ100は、機密情報のファイル501の参照を許可しないことを示す情報を、通信ネットワーク300を介してクライアントコンピュータ101に送信する。
また、クライアントコンピュータ101が、例えば、通信ネットワーク300やファイル管理サーバ100等の障害によって、機密情報のファイル501の参照を許可することを示す情報や暗号解読キーを受信することができなかった場合(ステップS205)、クライアントコンピュータ101におけるファイルシステムは、機密情報のファイル501を参照することができないことを示す情報を表示手段に表示させる(ステップS206)。
クライアントコンピュータ101におけるファイルシステムは、通信ネットワーク300を介してファイル管理サーバ100から機密情報のファイル501の参照を許可することを示す情報と、暗号解読キーとを受信すると、暗号解読キーをメモリ(図示せず)に記憶させる。クライアントコンピュータ101におけるファイルシステムは、メモリが記憶している暗号解読キーを用いて、記憶手段201が記憶している機密情報のファイル501を復号し、機密情報のファイル501の内容を表示手段に表示させたり、復号したファイルをアプリケーションプログラムに引き渡したりする(ステップS207)。すなわち、使用者が、機密情報のファイル501を参照できる状態にする。
クライアントコンピュータ101におけるファイルシステムは、機密情報のファイル501を参照できる状態にしてから、所定の時間(例えば、1分間)が経過すると(ステップS208)、ファイル管理サーバ100に接続し(ステップS209)、ユーザ認証情報と、機密情報のファイル501の参照を行うことを示す情報(機密情報のファイル501の参照を行っていることを示す情報)と、参照されている機密情報のファイル501を示す情報とを通信ネットワーク300を介してファイル管理サーバ100に送信する。
ファイル管理サーバ100は、それら情報を受信すると、受信した情報と、記憶手段200記憶しているユーザ認証情報、および機密情報のファイル501のファイル管理情報が含むファイルの参照の許可者の情報とを比較し、クライアントコンピュータ101の使用者に、機密情報のファイル501の参照を許可するか否かを決定する(ステップS210)。
具体的には、ファイル管理サーバ100は、受信したユーザ認証情報と記憶手段200が記憶しているユーザ認証情報とが合致し、かつ、受信したユーザ認証情報が示す使用者が、機密情報のファイル501のファイル管理情報が示すファイルの参照の許可者に含まれていれば、機密情報のファイル501の参照の継続を許可する。そして、ファイル管理サーバ100は、機密情報のファイル501の参照を許可することを示す情報(機密情報のファイル501の参照の継続を許可する情報)を、通信ネットワーク300を介してクライアントコンピュータ101に送信する。
また、ファイル管理サーバ100が受信したユーザ認証情報と、記憶手段200が記憶しているユーザ認証情報とが合致しなかったり、使用者が、ファイルの参照の許可者に含まれていなかったりした場合には、機密情報のファイル501の参照をの継続を許可しない(ステップS211)。そして、ファイル管理サーバ100は、機密情報のファイル501の参照を許可しないことを示す情報を、通信ネットワーク300を介してクライアントコンピュータ101に送信する。
クライアントコンピュータ101におけるファイルシステムは、機密情報のファイル501の参照を許可しないことを示す情報を受信したり、通信ネットワーク300との接続が切断されたりして機密情報のファイル501の参照を許可することを示す情報を所定の時間以上受信しなかったりすると、機密情報のファイル501の内容を参照することを禁止し、メモリが記憶している暗号解読キーを削除する。すると、クライアントコンピュータ101の使用者は、機密情報のファイル501の内容を参照することができなくなる。なお、機密情報のファイル501の内容を参照することを禁止するために、ファイルシステムは、表示手段に表示されているファイルの内容を消去したり、アプリケーションプログラムからのファイルへの参照をできないようにしたりする。
次に、クライアントコンピュータ101〜103の使用者が、クライアントコンピュータ101〜103を操作して、機密情報のファイル501の内容を更新する際の動作について説明する。図5は、本発明の第1の実施の形態において、機密情報のファイル501の内容を更新する際の動作を説明するフローチャートである。ここでは、クライアントコンピュータ101の動作を例にする。
クライアントコンピュータ101におけるファイルシステムは、使用者の操作に従って、ファイル管理サーバ100に接続し(ステップS301)、ユーザ認証情報と、機密情報のファイル501の内容の更新を行うことを示す情報と、内容を更新する機密情報のファイル501を示す情報とを通信ネットワーク300を介してファイル管理サーバ100に送信する。ファイル管理サーバ100は、それらの情報を受信すると、受信した情報と、記憶手段200が記憶しているユーザ認証情報、および機密情報のファイル501のファイル管理情報が含むファイルの内容の更新の許可者の情報とを比較し、クライアントコンピュータ101の使用者に、機密情報のファイル501の内容の更新を許可するか否かを決定する(ステップS302)。
具体的には、ファイル管理サーバ100は、受信したユーザ認証情報と記憶手段200が記憶しているユーザ認証情報とが合致し、かつ、受信したユーザ認証情報が示す使用者が、機密情報のファイル501のファイル管理情報が示すファイルの更新の許可者に含まれていれば、機密情報のファイル501の更新を許可する。そして、ファイル管理サーバ100は、機密情報のファイル501の内容の更新を許可することを示す情報と、機密情報のファイル501の暗号解読キーとを、通信ネットワーク300を介してクライアントコンピュータ101に送信する(ステップS303)。
また、ファイル管理サーバ100が受信したユーザ認証情報と、記憶手段200が記憶しているユーザ認証情報とが合致しなかったり、使用者が、ファイルの更新の許可者に含まれていなかったりした場合には、機密情報のファイル501の内容の更新を許可しない(ステップS304)。そして、ファイル管理サーバ100は、機密情報のファイル501の内容の更新を許可しないことを示す情報を、通信ネットワーク300を介してクライアントコンピュータ101に送信する。
また、クライアントコンピュータ101が、例えば、通信ネットワーク300やファイル管理サーバ100等の障害によって、機密情報のファイル501の参照を許可することを示す情報や暗号解読キーを受信することができなかった場合(ステップS305)、クライアントコンピュータ101におけるファイルシステムは、機密情報のファイル501の内容を更新することができないことを示す情報を表示手段に表示させる(ステップS306)。
クライアントコンピュータ101は、通信ネットワーク300を介してファイル管理サーバ100から機密情報のファイル501の内容の更新を許可することを示す情報と、暗号解読キーとを受信すると、暗号解読キーをメモリに記憶させる。クライアントコンピュータ101におけるファイルシステムは、メモリが記憶している暗号解読キーを用いて、記憶手段201が記憶している機密情報のファイル501を復号し、機密情報のファイル501の内容を表示手段に表示させる。例えばクライアントコンピュータ101におけるアプリケーションプログラム(具体的には、アプリケーションプログラムに従って動作するCPU)は、使用者の操作に従って、機密情報のファイル501の内容を更新する(ステップS307)。
クライアントコンピュータ101は、機密情報のファイル501の内容の更新が開始されてから、所定の時間(例えば、1分間)が経過すると(ステップS308)、ファイル管理サーバ100に接続し(ステップS309)、ユーザ認証情報と、機密情報のファイル501の内容の更新を行うことを示す情報(機密情報のファイル501の内容の更新を行っていることを示す情報)と、内容が更新されている機密情報のファイル501を示す情報とを通信ネットワーク300を介してファイル管理サーバ100に送信する。
ファイル管理サーバ100は、それら情報を受信すると、受信した情報と、記憶手段200が記憶しているユーザ認証情報、および機密情報のファイル501のファイル管理情報が含むファイルの内容の更新の許可者の情報とを比較し、クライアントコンピュータ101の使用者に、機密情報のファイル501の内容の更新を継続して許可するか否かを決定する(ステップS310)。
具体的には、ファイル管理サーバ100は、受信したユーザ認証情報と記憶手段200が記憶しているユーザ認証情報とが合致し、かつ、受信したユーザ認証情報が示す使用者が、機密情報のファイル501のファイル管理情報が示すファイルの更新の許可者に含まれていれば、クライアントコンピュータ101の使用者に、機密情報のファイル501の内容の更新の継続を許可する。そして、ファイル管理サーバ100は、機密情報のファイル501の内容の更新を許可することを示す情報を、通信ネットワーク300を介してクライアントコンピュータ101に送信する。また、ファイル管理サーバ100は、記憶手段200がファイル管理領域に記憶しているファイルの変更の履歴であるファイル管理更新履歴に、機密情報のファイル501の内容を更新したことを記憶させてもよい。
また、ファイル管理サーバ100が受信したユーザ認証情報と、記憶手段200が記憶しているユーザ認証情報とが合致しなかったり、使用者が、ファイルの更新の許可者に含まれていなかったりした場合には、クライアントコンピュータ101の使用者に、機密情報のファイル501の内容の更新の継続を許可しない(ステップS311)。そして、ファイル管理サーバ100は、機密情報のファイル501の内容の更新を許可しないことを示す情報を、通信ネットワーク300を介してクライアントコンピュータ101に送信する。
クライアントコンピュータ101におけるファイルシステムは、機密情報のファイル501の内容の更新を許可しないことを示す情報を受信したり、通信ネットワーク300との接続が切断されたりして機密情報のファイル501の内容の更新を許可することを示す情報を所定の時間以上受信しなかったりすると、機密情報のファイル501の内容を更新することを禁止し、メモリが記憶している暗号解読キーを削除する。すると、クライアントコンピュータ101の使用者は、機密情報のファイル501の内容を参照して、更新することができなくなる。なお、機密情報のファイル501の内容を更新することを禁止するために、ファイルシステムは、表示手段に表示されているファイルの内容を消去したり、アプリケーションプログラムからのファイルへの参照をできないようにしたりする。
次に、クライアントコンピュータ101〜103の使用者が、クライアントコンピュータ101〜103を操作して、機密情報のファイル501をコピーする際の動作について説明する。図6は、本発明の第1の実施の形態において、機密情報のファイル501をコピーする際の動作を説明するフローチャートである。ここでは、クライアントコンピュータ101の動作を例にする。
クライアントコンピュータ101におけるファイルシステムは、使用者の操作に従って、ファイル管理サーバ100に接続し(ステップS401)、ユーザ認証情報と、機密情報のファイル501のコピーを行うことを示す情報と、コピーする機密情報のファイル501を示す情報とを通信ネットワーク300を介してファイル管理サーバ100に送信する。ファイル管理サーバ100は、それらの情報を受信すると、受信した情報と、記憶手段200が記憶しているユーザ認証情報、および機密情報のファイル501のファイル管理情報が含むファイルのコピーの許可者の情報とを比較し、クライアントコンピュータ101の使用者に、機密情報のファイル501のコピーを許可するか否かを決定する(ステップS402)。
具体的には、ファイル管理サーバ100は、受信したユーザ認証情報と記憶手段200が記憶しているユーザ認証情報とが合致し、かつ、受信したユーザ認証情報が示す使用者が、機密情報のファイル501のファイル管理情報が示すファイルのコピーの許可者に含まれていれば、機密情報のファイル501のコピーを許可する。そして、ファイル管理サーバ100は、機密情報のファイル501のコピーを許可することを示す情報と、機密情報のファイル501の暗号解読キーとを、通信ネットワーク300を介してクライアントコンピュータ101に送信する(ステップS403)。
また、ファイル管理サーバ100が受信したユーザ認証情報と、記憶手段200が記憶しているユーザ認証情報とが合致しなかったり、使用者が、ファイルのコピーの許可者に含まれていなかったりした場合には、機密情報のファイル501のコピーを許可しない(ステップS404)。そして、ファイル管理サーバ100は、機密情報のファイル501のコピーを許可しないことを示す情報を、通信ネットワーク300を介してクライアントコンピュータ101に送信する。
また、クライアントコンピュータ101が、例えば、通信ネットワーク300やファイル管理サーバ100等の障害によって、機密情報のファイル501のコピーを許可することを示す情報や暗号解読キーを受信することができなかった場合(ステップS405)、クライアントコンピュータ101におけるファイルシステムは、機密情報のファイル501をコピーすることができないことを示す情報を表示手段に表示させる(ステップS406)。
クライアントコンピュータ101におけるファイルシステムは、通信ネットワーク300を介してファイル管理サーバ100から機密情報のファイル501のコピーを許可することを示す情報と、暗号解読キーとを受信すると、暗号解読キーをメモリに記憶させる。クライアントコンピュータ101におけるファイルシステムは、メモリが記憶している暗号解読キーを用いて、記憶手段201が記憶している機密情報のファイル501を復号し、表示手段に、参照コピーを行うのか、譲渡コピーを行うのかを使用者に選択させる画面を表示させる。参照コピーとは、コピーしたファイルの更新を行うことができないようにファイルを作成することをいう。また、譲渡コピーとは、コピーしたファイルの所有者を変更して、コピーしたファイルの更新を行うことができるようにファイルを作成することをいう。
使用者が、参照コピーを選択すると(ステップS407)、クライアントコンピュータ101は、機密情報のファイル501をコピーしたファイルを生成して(ステップS408)、記憶手段201に記憶させ、通信ネットワーク300を介してファイル管理サーバ100に、暗号解読キーと、参照コピーであることを示すファイル属性である参照属性を含むファイル情報とを送信する(ステップS409)。
使用者が、譲渡コピーを選択すると(ステップS407)、クライアントコンピュータ101におけるファイルシステムは、機密情報のファイル501をコピーしたファイルを生成して(ステップS410)、記憶手段201に記憶させ、通信ネットワーク300を介してファイル管理サーバ100に、暗号解読キーと、譲渡コピーであることを示すファイル属性である譲渡属性を含むファイル情報とを送信する(ステップS411)。
ファイル管理サーバ100は、ファイル情報と暗号解読キーとを受信すると(ステップS412)、それらの情報を記憶手段200にファイル管理情報として記憶させる。そして、登録に成功したことを示す情報をクライアントコンピュータ101に送信する(ステップS413)。ファイル管理サーバ100は、記憶手段200がファイル管理領域に記憶しているファイル管理更新履歴に、機密情報のファイル501をコピーしたことを記憶させてもよい。ファイル管理サーバ100は、ファイル情報等を記憶させたことを示す情報を、通信ネットワーク300を介してクライアントコンピュータ101に送信する。すると、クライアントコンピュータ101におけるファイルシステムは、コピーが完了したことを使用者に通知する。
なお、クライアントコンピュータ101におけるファイルシステムは、ファイル情報等の登録に失敗すると、登録に失敗したことを示す情報を通信ネットワーク300を介してクライアントコンピュータ101に送信する。クライアントコンピュータ101におけるファイルシステムは、登録に失敗したことを示す情報を受信すると、生成したファイルを記憶手段201から削除する(ステップS414)。そして、クライアントコンピュータ101におけるファイルシステムは、コピーに失敗したことを表示手段に表示させて使用者に通知する。
このように、クライアントコンピュータ101におけるファイルシステムは、機密情報のファイル501をコピーするとともに、暗号解読キーと、参照属性または譲渡属性を含むファイル情報とをファイル管理サーバ100に送信し、ファイル管理サーバ100が、コピーしたファイルのファイル情報と暗号解読キーとを記憶手段200に記憶させるため、クライアントコンピュータ101がコピーしたファイルの参照や更新を行う際には、上述した、機密情報のファイル501を参照したり更新したりする場合と同様の動作を行うことになる。従って、ファイル管理サーバ100に接続することができない環境では、クライアントコンピュータ101がコピーしたファイルを参照したり更新したりすることができず、秘匿性を保つことができる。
次に、クライアントコンピュータ101〜103の使用者が、クライアントコンピュータ101〜103を操作して、機密情報のファイル501を移動する際の動作について説明する。ここでは、クライアントコンピュータ101の動作を例にする。図7は、本発明の第1の実施の形態において、機密情報のファイル501を移動する際の動作を説明するフローチャートである。ここで、機密情報のファイル501を移動するとは、記憶手段201が記憶している機密情報のファイル501を削除して記憶手段201内の別の領域に記憶させたり、機密情報のファイル501を記憶手段201から削除して他の記憶手段202,203に記憶させたりすることをいう。なお、ここでは、記憶手段201が記憶している機密情報のファイル501を削除して記憶手段201内の別の領域に記憶させる場合を例に説明する。
クライアントコンピュータ101におけるファイルシステムは、使用者の操作に従って、ファイル管理サーバ100に接続し(ステップS501)、ユーザ認証情報と、機密情報のファイル501の移動を行うことを示す情報と、移動する機密情報のファイル501を示す情報とを通信ネットワーク300を介してファイル管理サーバ100に送信する。ファイル管理サーバ100は、それらの情報を受信すると、受信した情報と、記憶手段200が記憶しているユーザ認証情報、および機密情報のファイル501のファイル管理情報が含むファイルの移動の許可者の情報とを比較し、クライアントコンピュータ101の使用者に、機密情報のファイル501の移動を許可するか否かを決定する(ステップS502)。
具体的には、ファイル管理サーバ100は、受信したユーザ認証情報と記憶手段200が記憶しているユーザ認証情報とが合致し、かつ、受信したユーザ認証情報が示す使用者が、機密情報のファイル501のファイル管理情報が示すファイルの移動の許可者に含まれていれば、クライアントコンピュータ101の使用者に、機密情報のファイル501の移動を許可する。そして、ファイル管理サーバ100は、機密情報のファイル501の移動を許可することを示す情報を、通信ネットワーク300を介してクライアントコンピュータ101に送信する(ステップS503)。このとき、ファイル管理サーバ100は、機密情報のファイル501の暗号解読キーを、通信ネットワーク300を介してクライアントコンピュータ101に送信してもよい。
また、ファイル管理サーバ100が受信したユーザ認証情報と、記憶手段200が記憶しているユーザ認証情報とが合致しなかったり、使用者が、ファイルの移動の許可者に含まれていなかったりした場合には、クライアントコンピュータ101の使用者に、機密情報のファイル501の移動を許可しない(ステップS504)。そして、ファイル管理サーバ100は、機密情報のファイル501の移動を許可しないことを示す情報を、通信ネットワーク300を介してクライアントコンピュータ101に送信する。
また、クライアントコンピュータ101がは、例えば、通信ネットワーク300やファイル管理サーバ100等の障害によって、機密情報のファイル501の移動を許可することを示す情報を受信することができなかったりした場合(ステップS505)、機密情報のファイル501を移動することができないことを示す情報を表示手段に表示させる(ステップS506)。
クライアントコンピュータ101におけるファイルシステムは、通信ネットワーク300を介してファイル管理サーバ100から機密情報のファイル501の移動を許可することを示す情報を、メモリに記憶させる。また、暗号解読キーを受信した場合は、暗号解読キーをメモリに記憶させる。そして、クライアントコンピュータ101におけるファイルシステムは、メモリが記憶している暗号解読キーを用いて、記憶手段201が記憶している機密情報のファイル501を復号してもよい。
クライアントコンピュータ101は、通信ネットワーク300を介してファイル管理サーバ100から機密情報のファイル501の移動を許可することを示す情報を受信すると、使用者の操作に従って機密情報のファイル501を移動させる(ステップS507)。具体的には、クライアントコンピュータ101は、機密情報のファイル501を記憶手段201の別の記憶領域に記憶させ、元の機密情報のファイル501を記憶手段201から削除する。
クライアントコンピュータ101は、機密情報のファイル501を記憶手段201の別の記憶領域に記憶させると、機密情報のファイル501を移動させたことを示す情報と、機密情報のファイル501を記憶させた記憶領域を示す情報を含むファイル情報とを、通信ネットワーク300を介してファイル管理サーバ100に送信する(ステップS508)。ファイル管理サーバ100は、機密情報のファイル501を移動させたことを示す情報と、機密情報のファイル501の移動先の記憶領域(格納場所)を示す情報を含むファイル情報とを受信すると、記憶手段200が記憶している機密情報のファイル501のファイル管理情報を、機密情報のファイル501を記憶させた記憶領域を示す情報を含むファイル情報にもとづいて更新する。また、ファイル管理サーバ100は、記憶手段200がファイル管理領域に記憶しているファイル管理更新履歴に、機密情報のファイル501を移動したことを記憶させてもよい。
なお、ファイル管理サーバ100は、ファイル管理情報の更新に失敗したりすると、ファイル管理情報の更新ができなかったことを示す情報を通信ネットワーク300を介してクライアントコンピュータ101に送信する(ステップS509)。クライアントコンピュータ101におけるファイルシステムは、ファイル管理情報の更新ができなかったことを示す情報を受信すると、移動したファイルを元の記憶領域に記憶させ、移動先の記憶領域から機密情報のファイル501を削除する(ステップS511)。そして、クライアントコンピュータ101におけるファイルシステムは、移動に失敗したことを表示手段に表示させて使用者に通知する。
ファイル管理サーバ100は、ファイル管理情報の更新に成功すると、ファイル管理情報を更新したことを示す情報を通信ネットワーク300を介してクライアントコンピュータ101に送信し、クライアントコンピュータ101におけるファイルシステムは、ファイル管理情報を更新したことを示す情報を受信すると、ファイル管理サーバ100がファイル管理情報を更新したことを表示手段に表示させ、移動が完了したことを使用者に通知する(ステップS510)。
このように、クライアントコンピュータ101におけるファイルシステムは、機密情報のファイル501を移動するとともに、機密情報のファイル501を移動させたことを示す情報と、機密情報のファイル501の移動先の記憶領域を示す情報を含むファイル情報とをファイル管理サーバ100に送信し、ファイル管理サーバ100が、機密情報のファイル501を記憶させた記憶領域を示す情報を含むファイル情報にもとづいて、記憶手段200にファイル管理情報を更新して記憶させるため、クライアントコンピュータ101が、移動したファイルの参照や更新を行う際には、上述した、機密情報のファイル501を参照したり更新したりする場合と同様の動作を行うことになる。従って、ファイル管理サーバ100に接続することができない環境では、クライアントコンピュータ101は、移動したファイルを参照したり更新したりすることができず、秘匿性を保つことができる。
次に、クライアントコンピュータ101の使用者が、クライアントコンピュータ101を操作して、自身が作成した機密情報のファイル501の属性を機密情報から通常の情報に変更する際の動作について説明する。図8は、本発明の第1の実施の形態において、機密情報のファイル501の属性を機密情報から通常の情報に変更する際の動作を説明するフローチャートである。
クライアントコンピュータ101におけるファイルシステムは、使用者の操作に従って、ファイル管理サーバ100に接続し(ステップS601)、ユーザ認証情報と、機密情報のファイル501の属性の変更を行うことを示す情報と、属性を変更する機密情報のファイル501を示す情報とを通信ネットワーク300を介してファイル管理サーバ100に送信する。ファイル管理サーバ100は、それらの情報を受信すると、受信した情報と、記憶手段200が記憶しているユーザ認証情報、および機密情報のファイル501のファイル管理情報が含むファイルの属性の変更の許可者の情報とを比較し、クライアントコンピュータ101の使用者に、機密情報のファイル501の属性の変更を許可するか否かを決定する(ステップS602)。
具体的には、ファイル管理サーバ100は、受信したユーザ認証情報と記憶手段200が記憶しているユーザ認証情報とが合致し、かつ、受信したユーザ認証情報が示す使用者が、機密情報のファイル501のファイル管理情報が示すファイルの属性の変更の許可者に含まれていれば、機密情報のファイル501の属性の変更を許可する。そして、ファイル管理サーバ100は、機密情報のファイル501の属性の変更を許可することを示す情報を、通信ネットワーク300を介してクライアントコンピュータ101に送信する(ステップS603)。
また、ファイル管理サーバ100が受信したユーザ認証情報と、記憶手段200が記憶しているユーザ認証情報とが合致しなかったり、使用者が、ファイルの属性の変更の許可者に含まれていなかったりした場合には、クライアントコンピュータ101の使用者に、機密情報のファイル501の属性の変更を許可しない(ステップS604)。そして、ファイル管理サーバ100は、機密情報のファイル501の属性の変更を許可しないことを示す情報を、通信ネットワーク300を介してクライアントコンピュータ101に送信する。
また、クライアントコンピュータ101は、例えば、通信ネットワーク300やファイル管理サーバ100等の障害によって、機密情報のファイル501の属性の変更を許可することを示す情報を受信することができなかったりした場合(ステップS605)、機密情報のファイル501の属性を変更することができないことを示す情報を表示手段に表示させる(ステップS606)。
クライアントコンピュータ101におけるファイルシステムは、通信ネットワーク300を介してファイル管理サーバ100から機密情報のファイル501の属性の変更を許可することを示す情報を、メモリに記憶させる。
クライアントコンピュータ101におけるファイルシステムは、通信ネットワーク300を介してファイル管理サーバ100から機密情報のファイル501の属性の変更を許可することを示す情報を受信すると、使用者の操作に従って機密情報のファイル501の属性を変更する(ステップS607)。具体的には、クライアントコンピュータ101は、使用者の操作に従って、記憶手段201のファイル管理領域において機密情報のファイル501が機密情報のファイルのファイル属性(機密情報である旨を示す属性)を解除する。
クライアントコンピュータ101におけるファイルシステムは、ファイル501のファイル属性を変更すると、ファイル501の変更後のファイル属性を示す情報を、通信ネットワーク300を介してファイル管理サーバ100に送信する(ステップS608)。ファイル管理サーバ100は、変更後のファイル属性を示す情報を受信すると、記憶手段200が記憶している機密情報のファイル501のファイル管理情報を、ファイル501の新たな属性を示す情報にもとづいて更新する(ステップS609)。また、ファイル管理サーバ100は、記憶手段200がファイル管理領域に記憶しているファイル管理更新履歴に、ファイル501の属性を変更したことを記憶させる。なお、ファイル管理サーバ100は、記憶手段200がファイル管理領域に記憶しているファイル501のファイル管理情報を削除する。
なお、ファイル管理サーバ100は、ファイル管理情報の更新に失敗したりすると、ファイル管理情報を更新することができなかったことを示す情報を通信ネットワーク300を介してクライアントコンピュータ101に送信する(ステップS609)。クライアントコンピュータ101におけるファイルシステムは、ファイル管理情報を更新することができなかったことを示す情報を受信すると、変更した属性を元の属性に戻して記憶手段201のファイル管理領域に記憶させる(ステップS611)。そして、クライアントコンピュータ101におけるファイルシステムは、属性の変更に失敗したことを表示手段に表示させて使用者に通知する。
ファイル管理サーバ100は、ファイル管理情報の更新に成功すると、ファイル管理情報を更新したことを示す情報を通信ネットワーク300を介してクライアントコンピュータ101に送信し、クライアントコンピュータ101におけるファイルシステムは、ファイル管理情報を更新したことを示す情報を受信すると、ファイル管理サーバ100が、ファイル管理情報を更新したことを表示手段に表示させ、属性の変更が完了したことを使用者に通知する(ステップS610)。
このように、機密情報として管理する必要がなくなったファイルや、機密情報の属性のファイルを企業等の外部に提供する場合、機密情報のファイルの所有者である使用者が、機密情報の属性を変更することで、一般のOSのファイルシステムで通常のファイルとして扱うことが可能になり、ファイルの参照や、更新、コピー、移動等を行うことができるようになる。なお、通常のファイルを機密情報の属性のファイルに変更することも可能である。通常のファイルを機密情報の属性のファイルに変更する場合、機密情報のファイルの作成時と同様に、クライアントコンピュータ101は、通常のファイルを暗号化して記憶手段201に記憶させ、暗号解読キーをファイル管理サーバ100に送信し、ファイル管理サーバ100は、暗号解読キーを記憶手段200に記憶させる。また、ここでは、ファイルの所有者である使用者が、機密情報の属性を変更する場合について説明したが、ファイルの所有者でない使用者が、機密情報の属性を変更することもできる。
次に、クライアントコンピュータ101の使用者が、クライアントコンピュータ101を操作して、機密情報のファイル501を削除する際の動作について説明する。図9は、本発明の第1の実施の形態において、機密情報のファイル501を削除する際の動作を説明するフローチャートである。
クライアントコンピュータ101は、使用者の操作に従って、ファイル管理サーバ100に接続し(ステップS701)、ユーザ認証情報と、機密情報のファイル501の削除を行うことを示す情報と、削除する機密情報のファイル501を示す情報とを通信ネットワーク300を介してファイル管理サーバ100に送信する。ファイル管理サーバ100は、それらの情報を受信すると、受信した情報と、記憶手段200が記憶しているユーザ認証情報、および機密情報のファイル501のファイル管理情報が含むファイルの削除の許可者の情報とを比較し、クライアントコンピュータ101の使用者に、機密情報のファイル501の削除を許可するか否かを決定する(ステップS702)。
具体的には、ファイル管理サーバ100は、受信したユーザ認証情報と記憶手段200が記憶しているユーザ認証情報とが合致し、かつ、受信したユーザ認証情報が示す使用者が、機密情報のファイル501のファイル管理情報が示すファイルの削除の許可者に含まれていれば、クライアントコンピュータ101の使用者に、機密情報のファイル501の削除を許可する。
なお、ファイル管理サーバ100が受信したユーザ認証情報と、記憶手段200が記憶しているユーザ認証情報とが合致しなかったり、使用者が、ファイルの削除の許可者に含まれていなかったりした場合には、クライアントコンピュータ101の使用者に、機密情報のファイル501の削除を許可しない(ステップS703)。そして、ファイル管理サーバ100は、機密情報のファイル501の削除を許可しないことを示す情報を、通信ネットワーク300を介してクライアントコンピュータ101に送信する。
ファイル管理サーバ100は、機密情報のファイル501の削除を許可する際に、記憶手段200が記憶しているファイル管理更新履歴に機密情報のファイル501を削除することを記憶させ、ファイル管理更新履歴を除いて機密情報のファイル501のファイル管理情報を削除する(ステップS704)。ファイル管理サーバ100は、機密情報のファイル501の削除を許可することを示す情報を、通信ネットワーク300を介してクライアントコンピュータ101に送信する(ステップS705)。
クライアントコンピュータ101におけるファイルシステムは、通信ネットワーク300を介してファイル管理サーバ100から機密情報のファイル501の削除を許可することを示す情報を受信すると(ステップS706)、使用者の操作に従って機密情報のファイル501を削除する(ステップS708)。そして、クライアントコンピュータ101におけるファイルシステムは、記憶手段201のファイル管理領域において機密情報のファイル501が機密情報である旨のファイル属性を解除する。
そして、クライアントコンピュータ101におけるファイルシステムは、機密情報のファイル501を削除すると、機密情報のファイル501を削除したことを示す情報を、表示手段に表示させる。
なお、ファイル管理サーバ100は、機密情報のファイル501のファイル管理情報を削除することができなかった場合、機密情報のファイル501を削除することができないことを示す情報を、通信ネットワーク300を介してクライアントコンピュータ101に送信する。クライアントコンピュータ101におけるファイルシステムは、受信した機密情報のファイル501を削除することができないことを示す情報を表示手段に表示させる(ステップS707)。
なお、ステップS703およびステップS707の判定の結果、機密情報のファイル501を削除することができない場合であっても、クライアントコンピュータ101は、使用者の操作に従って、クライアントコンピュータ101が搭載しているOSのファイルシステムを用いて、機密情報のファイル501を強制的に削除してもよい。その場合、記憶手段200が記憶しているファイル管理情報と、記憶手段201が記憶しているファイルとが合致しなくなってしまう。そのため、例えば、1日に1回等の予め決められた間隔で、記憶手段200が記憶しているファイル管理情報と記憶手段201が記憶しているファイルとの整合を確認させる処理を行うことが好ましい。
次に、使用者が、クライアントコンピュータ101を操作して、記憶手段200が記憶しているファイル管理情報と、記憶手段201,202,203が記憶しているファイル管理情報との整合を確認させる際の動作について説明する。図10は、本発明の第1の実施の形態において、記憶手段200が記憶しているファイル管理情報と、記憶手段201が記憶している内容との整合を確認させる際の動作を説明するフローチャートである。
クライアントコンピュータ101におけるファイルシステムは、使用者の操作に従って、ファイル管理サーバ100に接続し(ステップS801)、ユーザ認証情報と、ファイル管理情報の整合の確認を行うことを示す情報とを通信ネットワーク300を介してファイル管理サーバ100に送信する。ファイル管理サーバ100は、それらの情報を受信すると、受信した情報と、記憶手段200が記憶しているユーザ認証情報とを比較し、ファイル管理情報の整合の確認を許可するか否かを決定する(ステップS802)。
具体的には、ファイル管理サーバ100は、受信したユーザ認証情報と、記憶手段200が記憶しているユーザ認証情報とが合致した場合には、ファイル管理情報の整合の確認を許可する。そして、ファイル管理サーバ100は、ファイル管理情報の整合の確認を許可することを示す情報を、通信ネットワーク300を介してクライアントコンピュータ101に送信する(ステップS803)。
クライアントコンピュータ101におけるファイルシステムは、通信ネットワーク300を介してファイル管理サーバ100からファイル管理情報の整合の確認を許可することを示す情報を、メモリに記憶させる。
また、ファイル管理サーバ100が受信したユーザ認証情報と、記憶手段200が記憶しているユーザ認証情報とが合致しなかった場合、クライアントコンピュータ101の使用者に、ファイル管理情報の整合の確認を許可しない(ステップS804)。そして、ファイル管理サーバ100は、ファイル管理情報の整合の確認を許可しないことを示す情報を、通信ネットワーク300を介してクライアントコンピュータ101に送信する。
ファイル管理サーバ100は、通信ネットワーク300を介してクライアントコンピュータ101にファイル管理情報の整合の確認を許可することを示す情報を送信すると、記憶手段200が記憶しているファイル管理情報のうち、記憶手段201が記憶している機密情報のファイルに関するファイル管理情報を、クライアントコンピュータ101に送信する。
クライアントコンピュータ101におけるファイルシステムは、ファイル管理サーバ100からファイル管理情報を受信すると、記憶手段201が記憶している機密情報のファイルのファイル管理情報と、受信したファイル管理情報とが合致するか否かの整合を確認する(ステップS805)。
クライアントコンピュータ101におけるファイルシステムは、記憶手段201が記憶している機密情報のファイルのファイル管理情報と、受信したファイル管理情報とが合致すると(ステップS806)、ファイル管理情報の整合の確認が終了したことを示す情報を表示手段に表示させる(ステップS807)。
クライアントコンピュータ101におけるファイルシステムは、記憶手段201が記憶している機密情報のファイルのファイル管理情報と、受信したファイル管理情報とが合致しない場合、記憶手段201が記憶している機密情報のファイルのファイル管理情報と、ファイル管理情報の修復依頼を示す情報とを、通信ネットワーク300を介してファイル管理サーバ100に送信する(ステップS808)。
ファイル管理サーバ100は、ファイル管理情報の修復依頼を示す情報を受信すると、クライアントコンピュータ101から受信した機密情報のファイルのファイル管理情報に従って、記憶手段200が記憶しているファイル管理情報を変更する(ステップS809)。なお、ファイル管理サーバ100は、クライアントコンピュータ101の使用者が、変更するべきファイル管理情報のファイルの所有者であったり、変更するべきファイル管理情報のファイルの属性の変更の許可者であった場合にのみ記憶手段200が記憶しているファイル管理情報を、記憶手段201が記憶している機密情報のファイルの内容を示す情報にもとづいて変更してもよい。
次に、機密情報のファイル501を、ファイル管理サーバ100に接続することができない環境のクライアントコンピュータで、参照、更新、コピー、移動を行う場合について説明する。
機密情報のファイル501を、ファイル管理サーバ100に接続することができない環境のクライアントコンピュータで、参照、更新、コピー、移動を行う場合、ファイル管理サーバ100に接続することができない環境のクライアントコンピュータが接続可能なファイル管理サーバを新たに設け、クライアントコンピュータとファイル管理サーバとのそれぞれに、予め前述したファイル管理プログラムをインストールしておく。そして、ファイル管理サーバ100に接続することができない環境において、参照、更新、コピー、移動を許可する機密情報のファイル501のみを、このファイル管理サーバに登録しておく。すると、ファイル管理サーバ100に接続することができない環境のクライアントコンピュータにおいても認証および暗号解読キーの入手を行うことが可能となり、ファイル管理サーバ100に接続することができない環境のクライアントコンピュータでも許可されたファイルのみ参照、更新、コピー、移動が可能となる。なお、こうした場合でも、機密情報のファイル501の操作の際には、クライアントコンピュータはファイル管理サーバに接続することが必要となるため、特定のユーザのみにユーザ認証を行うことや、ユーザのアクセスログを管理することにより不正アクセスによる情報漏洩を防ぐことができる。また、ファイル管理サーバ100に接続することができない環境では、ファイル属性の変更、コピー等の一部の機能を制限または禁止してもよく、これにより不正使用を防止することが可能となる。
実施の形態2.
本発明の第2の実施の形態について、図面を参照して説明する。図11は、本発明の第2の実施の形態の一構成例を示すブロック図である。
本発明の第2の実施の形態の構成は、ファイル管理サーバ104と、ファイル管理サーバ104に接続している記憶手段204とを含む点が第1の実施の形態と異なる。その他の点は第1の実施の形態の構成と同様なため、クライアントコンピュータ等には図1と同じ符号を付し、説明を省略する。
記憶手段201、記憶手段202、および記憶手段203は、各記憶手段が記憶している機密情報のファイルのファイル管理情報を、記憶手段200および記憶手段204のどちらが記憶しているのかを示す情報を記憶している。
各クライアントコンピュータは、使用者の指示に従って各記憶手段が記憶している機密情報のファイルを操作する場合、機密情報のファイルのファイル管理情報を記憶手段200および記憶手段204のどちらが記憶しているのかを示す情報にもとづいて、記憶手段200または記憶手段204が記憶している機密情報のファイルのファイル管理情報を読み出し、読み出した機密情報のファイルのファイル管理情報にもとづいて機密情報のファイルの操作を行う。具体的には、例えば、記憶手段201が、記憶手段201が記憶している機密情報のファイル501のファイル管理情報を記憶手段200が記憶していることを示す情報を記憶している場合、クライアントコンピュータ101は、使用者の指示に従って機密情報のファイル501の操作(作成、参照、更新、コピー、移動等)を行うとき、ファイル管理サーバ100に接続する。そして、ファイル管理サーバ100が、記憶手段100が記憶している機密情報のファイル501のファイル管理情報を読み出してクライアントコンピュータ101と情報を送受信する。クライアントコンピュータ101とファイル管理サーバ100との情報の送受信の際の動作は、第1の実施の形態における動作と同様なため説明を省略する。
ファイル管理サーバ100および記憶手段200と、ファイル管理サーバ104および記憶手段204とは、例えば、企業内のそれぞれの部門ごとに設置されてもよい。また、各クライアントコンピュータと各記憶手段とは、例えば、企業内のそれぞれの部門に設置されてもよい。そして、例えば、記憶手段200は、A部門に設置されている記憶手段が記憶している機密情報のファイルのファイル管理情報を記憶し、記憶手段204は、B部門に設置されている記憶手段が記憶している機密情報のファイルのファイル管理情報を記憶している。
以上、述べたように、この実施の形態によれば、ファイル管理サーバが複数設置されており、各部門ごとに機密情報のファイルのファイル管理情報の管理を行う構成にしたため、クライアントコンピュータが機密情報のファイルの作成、参照、更新、コピー、移動などの際に接続するファイル管理サーバの接続負荷を分散させることができる。そのため、各クライアントコンピュータのファイル操作時の応答速度を改善することができる。
なお、各ファイル管理サーバが、接続している記憶手段がファイル管理情報を記憶している機密情報のファイルを示す情報を、互いに送受信してもよい。具体的には、記憶手段200が機密情報のファイル501のファイル管理情報を記憶しており、記憶手段204が機密情報のファイル502のファイル管理情報を記憶している場合、ファイル管理サーバ100は、記憶手段200が機密情報のファイル501のファイル管理情報を記憶していることを示す情報をファイル管理サーバ204に送信し、ファイル管理サーバ204は、記憶手段204が機密情報のファイル502のファイル管理情報を記憶していることを示す情報をファイル管理サーバ100に送信する。そして、クライアントコンピュータ101が、記憶手段101が記憶している機密情報のファイル501の操作の際に、ファイル管理サーバ204に接続すると、ファイル管理サーバ204は、記憶手段200が機密情報のファイル501のファイル管理情報を記憶していることを示す情報にもとづいて、クライアントコンピュータ101が送信した情報をファイル管理サーバ100に送信し、ファイル管理サーバ100が送信した情報をクライアントコンピュータ101に送信する。すると、クライアントコンピュータの使用者は、機密情報のファイルの操作の際に接続するファイル管理サーバを意識することなく、機密情報のファイルを操作することができる。そのため、従来の一般的なOSのファイルシステムと同じ操作環境で機密情報のファイルを操作することが可能となり、利便性が向上する。