JP4838631B2 - 文書アクセス管理プログラム、文書アクセス管理装置および文書アクセス管理方法 - Google Patents

文書アクセス管理プログラム、文書アクセス管理装置および文書アクセス管理方法 Download PDF

Info

Publication number
JP4838631B2
JP4838631B2 JP2006137961A JP2006137961A JP4838631B2 JP 4838631 B2 JP4838631 B2 JP 4838631B2 JP 2006137961 A JP2006137961 A JP 2006137961A JP 2006137961 A JP2006137961 A JP 2006137961A JP 4838631 B2 JP4838631 B2 JP 4838631B2
Authority
JP
Japan
Prior art keywords
access
policy
log
document
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006137961A
Other languages
English (en)
Other versions
JP2007310579A (ja
Inventor
敏達 野田
壮一 岡田
孝司 吉岡
正彦 武仲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2006137961A priority Critical patent/JP4838631B2/ja
Priority to US11/543,313 priority patent/US7966644B2/en
Publication of JP2007310579A publication Critical patent/JP2007310579A/ja
Application granted granted Critical
Publication of JP4838631B2 publication Critical patent/JP4838631B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution
    • H04L2209/608Watermarking

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Description

本発明はユーザに配布されたファイルの閲覧状況を管理する文書アクセス管理プログラム、文書アクセス管理装置および文書アクセス管理方法に関し、特にファイルに対するアクセスログを収集する文書アクセス管理プログラム、文書アクセス管理装置および文書アクセス管理方法に関する。
コンピュータ上の文書は、ネットワークを介して容易に複数のユーザに閲覧させることができる。たとえば、文書作成者が作成した文書をファイルサーバに格納し、他のユーザがファイルサーバにアクセスすることでその文書を閲覧できる。
ファイルサーバで文書を管理する場合、その文書を閲覧可能なユーザを制限することも可能である。その際、文書へのアクセスの履歴をファイルサーバで保存する技術もある(たとえば、特許文献1参照)。
このように、ファイルサーバで文書を管理しておけば、その文書に対する不正アクセスの検出が容易となる。ただし、このようなシステムでは、ファイルサーバにネットワークで接続可能な環境でしか、その文書を閲覧することができない。また、文書を閲覧する際には、その文書がクライアントに送信されるため、送信された文書に対してその後どのようなアクセスが行われたのかを管理することができない。
そこで、所定の文書閲覧機能を有するクライアントでしか閲覧できない文書を生成し、その文書を配布することが考えられている。その場合、電子メールに文書を添付して、メールサーバ経由で任意のユーザに文書を配布できる。
図32は、従来のファイル管理システムの例を示す図である。文書の作成者は、クライアント910を用いて文書941を作成し、ネットワークを介して作成した文書を配布する。その際、作成者は、クライアント910を用いて文書アクセス管理サーバ920にアクセスし、文書941へのアクセスポリシ942を設定する。なお、アクセスポリシ942は、作成者がクライアント910を操作して文書アクセス管理サーバ920にアクセスすることで、任意に変更可能である。
アクセスポリシ942は、文書941に対するアクセス条件を示す情報である。たとえば、アクセスポリシ942には、文書941を閲覧可能なユーザのリストなどが設定される。
文書アクセス管理サーバ920は、配布された文書941へのアクセス状況を管理する。たとえば、文書941を閲覧しようとする閲覧者のクライアント930に対して、アクセスポリシ942を送信する。クライアント930では、閲覧者の操作入力により文書941の閲覧要求があると、アクセスポリシ942を参照して閲覧の可否を判定する。そして、閲覧可能と判断した場合にのみ、クライアント930は、文書941の内容を画面に表示する。
この際、クライアント930は、文書941に対するアクセスの内容を示すアクセスログ943を生成する。たとえば、文書941が閲覧された場合には、閲覧時刻や閲覧したユーザ名などがアクセスログ943に設定される。そして、クライアント930は、生成したアクセスログ943を文書アクセス管理サーバ920に送信する。なお、クライアント930から文書アクセス管理サーバ920にアクセスログ943を送信するタイミングは、たとえば、アクセスログ943生成後、最初にネットワークを介して文書アクセス管理サーバ920に接続できたときである。
文書アクセス管理サーバ920では、アクセスログ943をアクセスログDB921に格納する。このようにして、アクセスログDB921には、文書941に対して行われたアクセスに関するアクセスログが蓄積される。同様に、文書941に対する他のユーザによるアクセスや、他の文書に対するアクセスに関するアクセスログがアクセスログDB921に格納される。アクセスログには、文書941へのアクセス日時やアクセスしたユーザのユーザ名に加え、アクセスポリシと照らし合わせてそのアクセスが正当か否かの情報が含まれる。
特開2002−175300号公報
しかし、従来のようにアクセスログのみを記録していたのでは、不正アクセスの存在は認識できるが、そのアクセスが不正であると判断した理由までは不明である。一般に、アクセスポリシは、システム運用中に変更可能であるため、現在のアクセスポリシとアクセスログとを照らし合わせてみても、不正アクセスと判断された理由を正確に知ることはできない。
また、アクセスポリシが運用中に変更されると、閲覧するべきユーザのうち誰が既に閲覧しているのか、誰がまだ閲覧していないか、最終的に閲覧しなかったのかを把握するのが困難となる。
本発明はこのような点に鑑みてなされたものであり、アクセスポリシが変更された場合であっても、文書へのアクセスログに基づくアクセス状況をアクセスポリシに基づいて正確に判断することができる文書アクセス管理プログラム、文書アクセス管理装置および文書アクセス管理方法を提供することを目的とする。
本発明では上記課題を解決するために、図1に示すような文書アクセス管理プログラムが提供される。本発明に係る文書アクセス管理プログラムは、文書に対するアクセス状況を管理するために、図1に示す機能をコンピュータに実行させることができる。
アクセスポリシ記憶手段1aは、文書5に対するアクセスの許可条件が定義されたアクセスポリシを記憶する。ポリシログ記憶手段1bは、アクセスポリシの設定操作の内容を示すポリシログを記憶する。アクセスログ記憶手段1cは、文書5に対するアクセスの内容を示すアクセスログを記憶する。アクセスポリシ管理手段1dは、第1のクライアント2からアクセスポリシの設定要求を受け付け、設定要求に応じてアクセスポリシ記憶手段1aに対するアクセスポリシの新規設定または記憶されているアクセスポリシの内容変更を行う。ポリシログ取得手段1eは、アクセスポリシ管理手段1dによってアクセスポリシの新規設定または内容変更が行われると、新規設定された内容または変更後の内容をポリシログ記憶手段1bに格納する。アクセスポリシ送信手段1fは、第2のクライアント3から文書5に関するアクセスポリシ取得要求が入力されると、アクセスポリシ記憶手段1aから文書5に関するアクセスポリシを取得し、取得したアクセスポリシを第2のクライアント3に対して送信する。アクセスログ取得手段1gは、第2のクライアント3から文書5に関するアクセスログを取得し、アクセスログ記憶手段1cに格納する。ログ検索手段1hは、第3のクライアント4から検索条件を受け取ると、検索条件に合致するポリシログをポリシログ記憶手段1bから取得し、検索条件に合致するアクセスログをアクセスログ記憶手段1cから取得し、取得したポリシログとアクセスログとを第3のクライアント4に送信する。
このような文書アクセス管理プログラムをコンピュータに実行させると、次の処理が実行される。第1のクライアント2からアクセスポリシの設定要求が入力されると、アクセスポリシ管理手段1dにより、アクセスポリシ記憶手段1aに対するアクセスポリシの新規設定または記憶されているアクセスポリシの内容変更が行われる。すると、ポリシログ取得手段1eにより、新規設定された内容または変更後の内容がポリシログ記憶手段1bに格納される。また、第2のクライアント3から文書5に関するアクセスポリシ取得要求が入力されると、アクセスポリシ送信手段1fにより、アクセスポリシ記憶手段1aから文書5に関するアクセスポリシが取得され、取得したアクセスポリシが第2のクライアント3に対して送信される。その後、アクセスログ取得手段1gにより、第2のクライアント3から文書5に関するアクセスログが取得され、アクセスログ記憶手段1cに格納される。そして、第3のクライアント4から検索条件が入力されると、ログ検索手段1hにより、検索条件に合致するポリシログがポリシログ記憶手段1bから取得され、検索条件に合致するアクセスログがアクセスログ記憶手段1cから取得され、取得されたポリシログとアクセスログとが第3のクライアント4に送信される。
また、本発明では上記課題を解決するために、文書に対するアクセス状況を管理するための文書アクセス管理装置において、文書に対するアクセスの許可条件が定義されたアクセスポリシを記憶するアクセスポリシ記憶手段と、前記アクセスポリシの設定操作の内容を示すポリシログを記憶するポリシログ記憶手段と、前記文書に対するアクセスの内容を示すアクセスログを記憶するアクセスログ記憶手段と、第1のクライアントからアクセスポリシの設定要求を受け付け、前記設定要求に応じて前記アクセスポリシ記憶手段に対する前記アクセスポリシの新規設定または記憶されている前記アクセスポリシの内容変更を行うアクセスポリシ管理手段と、前記アクセスポリシ管理手段によって前記アクセスポリシの新規設定または内容変更が行われると、新規設定された内容または変更後の内容を前記ポリシログ記憶手段に格納するポリシログ取得手段と、第2のクライアントから前記文書に関するアクセスポリシ取得要求が入力されると、前記アクセスポリシ記憶手段から前記文書に関する前記アクセスポリシを取得し、取得した前記アクセスポリシを前記第2のクライアントに対して送信するアクセスポリシ送信手段と、前記第2のクライアントから前記文書に関する前記アクセスログを取得し、前記アクセスログ記憶手段に格納するアクセスログ取得手段と、第3のクライアントから検索条件を受け取ると、前記検索条件に合致する前記ポリシログを前記ポリシログ記憶手段から取得し、前記検索条件に合致する前記アクセスログを前記アクセスログ記憶手段から取得し、取得した前記ポリシログと前記アクセスログとを前記第3のクライアントに送信するログ検索手段と、を有することを特徴とする文書アクセス管理装置が提供される。
さらに、本発明では上記課題を解決するために、文書に対するアクセス状況を管理するための文書アクセス管理方法において、アクセスポリシ管理手段が、第1のクライアントからアクセスポリシの設定要求を受け付け、前記設定要求に応じて、文書に対するアクセスの許可条件が定義されたアクセスポリシを記憶するアクセスポリシ記憶手段に対する前記アクセスポリシの新規設定または記憶されている前記アクセスポリシの内容変更を行い、ポリシログ取得手段が、前記アクセスポリシ管理手段によって前記アクセスポリシの新規設定または内容変更が行われると、新規設定された内容または変更後の内容をポリシログ記憶手段に格納し、アクセスポリシ送信手段が、第2のクライアントから前記文書に関するアクセスポリシ取得要求が入力されると、前記アクセスポリシ記憶手段から前記文書に関する前記アクセスポリシを取得し、取得した前記アクセスポリシを前記第2のクライアントに対して送信し、アクセスログ取得手段が、前記第2のクライアントから前記文書に関する前記アクセスログを取得し、アクセスログ記憶手段に格納し、ログ検索手段が、第3のクライアントから検索条件を受け取ると、前記検索条件に合致する前記ポリシログを前記ポリシログ記憶手段から取得し、前記検索条件に合致する前記アクセスログを前記アクセスログ記憶手段から取得し、取得した前記ポリシログと前記アクセスログとを前記第3のクライアントに送信する、ことを特徴とする文書アクセス管理方法が提供される。
本発明では、アクセスログの取得に加えアクセスポリシの新規設定や内容変更時の内容を示すポリシログを取得し、検索条件に合致するアクセスログとポリシログとを送信するようにしたため、運用中にアクセスポリシが変更された場合であっても、アクセスログに示されるアクセス拒否の理由を正確に判断することが可能となる。
以下、本発明の実施の形態を図面を参照して説明する。
図1は、本実施の形態の概略を示す図である。図1に示すように、文書アクセス管理装置1には、第1のクライアント2、第2のクライアント3および第3のクライアント4が接続されている。第1のクライアント2から第2のクライアント3へは文書5が配布される。第2のクライアント3は、文書5の閲覧などのアクセス機能に加え、文書5に対するアクセスログの取得機能を備えている。第2のクライアント3が取得したアクセスログは、所定のタイミング(たとえば、文書5へアクセスした直後や文書アクセス管理装置1との間で通信が可能となったとき)で文書アクセス管理装置1に送信される。
文書アクセス管理装置1は、文書5へのアクセス状況を管理するために、アクセスポリシ記憶手段1a、ポリシログ記憶手段1b、アクセスログ記憶手段1c、アクセスポリシ管理手段1d、ポリシログ取得手段1e、アクセスポリシ送信手段1f、アクセスログ取得手段1gおよびログ検索手段1hを有する。
アクセスポリシ記憶手段1aは、文書5に対するアクセスの許可条件が定義されたアクセスポリシを記憶する。たとえば、アクセスポリシには、文書5を閲覧可能なユーザや、文書5を閲覧可能なクライアントなどが定義されている。
ポリシログ記憶手段1bは、アクセスポリシの設定操作の内容を示すポリシログを記憶する。ポリシログには、たとえば、変更前後のアクセスポリシの内容が含まれる。
アクセスログ記憶手段1cは、文書5に対するアクセスの内容を示すアクセスログを記憶する。アクセスログには、たとえば、アクセス日時やアクセス対象の文書名に加え、不正なアクセスか否かなどの情報が含まれる。
アクセスポリシ管理手段1dは、第1のクライアント2からアクセスポリシの設定要求を受け付け、設定要求に応じてアクセスポリシ記憶手段1aに対するアクセスポリシの新規設定または記憶されているアクセスポリシの内容変更を行う。なお、アクセスポリシ管理手段1dは、アクセスログの改竄などの不正を検出した際に、そのアクセスログの送信元に関連するアクセスポリシの内容を自動変更し、アクセスログの送信元のクライアントから文書5へのアクセスを禁止させることもできる。
ポリシログ取得手段1eは、アクセスポリシ管理手段1dによってアクセスポリシの新規設定または内容変更が行われると、新規設定された内容または変更後の内容をポリシログ記憶手段1bに格納する。ポリシログ取得手段1eが取得するポリシログには、アクセスポリシの設定要求に応じて行われたアクセスポリシの操作内容を示すポリシログと、不正検出などによりアクセスポリシ管理手段1dが自動で実行したアクセスポリシの操作内容を示すポリシログとが含まれる。
アクセスポリシ送信手段1fは、第2のクライアント3から文書5に関するアクセスポリシ取得要求が入力されると、アクセスポリシ記憶手段1aから文書5に関するアクセスポリシを取得し、取得したアクセスポリシを第2のクライアント3に対して送信する。これによって、第2のクライアント3では、アクセスポリシにおいて許可された文書5へのアクセスのみが実行される。その際、第2のクライアント3では、アクセス状況を示すアクセスログが生成される。なお、第2のクライアント3に対して、アクセスポリシで許可されていないアクセスを要求する操作入力が行われた場合には、不正アクセスがあったことを示すアクセスログが生成される。
アクセスログ取得手段1gは、第2のクライアント3から文書5に関するアクセスログを取得し、アクセスログ記憶手段1cに格納する。なお、アクセスログ取得手段1gは、アクセスログを取得する際に、そのアクセスログに対して改竄などの不正が行われていないことを確認する。たとえば、第2のクライアント3において、アクセスログを送信する際に、そのアクセスログに署名を付加する。アクセスログ取得手段1gは、署名の正当性を確認することで、アクセスログに対する不正操作の有無を判断する。
ログ検索手段1hは、第3のクライアント4から検索条件を受け取ると、検索条件に合致するポリシログをポリシログ記憶手段1bから取得し、検索条件に合致するアクセスログをアクセスログ記憶手段1cから取得し、取得したポリシログとアクセスログとを第3のクライアント4に送信する。
このような文書アクセス管理装置1によれば、第1のクライアント2からアクセスポリシの設定要求が入力されると、アクセスポリシ管理手段1dにより、設定要求に応じてアクセスポリシ記憶手段1aに対するアクセスポリシの新規設定または記憶されているアクセスポリシの内容変更が行われる。すると、ポリシログ取得手段1eにより、新規設定された内容または変更後の内容がポリシログ記憶手段1bに格納される。また、第2のクライアント3から文書5に関するアクセスポリシ取得要求が入力されると、アクセスポリシ送信手段1fにより、アクセスポリシ記憶手段1aから文書5に関するアクセスポリシが取得され、取得したアクセスポリシが第2のクライアント3に対して送信される。その後、アクセスログ取得手段1gにより、第2のクライアント3から文書5に関するアクセスログが取得され、アクセスログ記憶手段1cに格納される。そして、第3のクライアント4から検索キーを含むログ取得要求が入力されると、ログ検索手段1hにより、検索条件に合致するポリシログがポリシログ記憶手段1bから取得され、検索条件に合致するアクセスログがアクセスログ記憶手段1cから取得され、取得されたポリシログとアクセスログとが第3のクライアント4に送信される。
このように、アクセスポリシの設定や変更が行われた際に、その操作の内容をポリシログとして格納しておき、ログ取得要求に応じて、アクセスログとポリシログとを検索して検索結果を応答するようにした。その結果、アクセスログだけでは不明であった事項を、明確に判断できるようになる。
たとえば、あるユーザに対して文書5の閲覧が許可されていたが、アクセスポリシの変更により閲覧が不許可になる場合がある。このような場合、アクセスログだけを参照すると、過去に文書5を閲覧したことのあるユーザによる文書5の閲覧処理が、ある時期を境に不正と判断されていることしか分からない。そこで、ポリシログを参照すれば、アクセスログの変更が原因で文書5の閲覧ができなくなったことが判断できる。
次に、本実施の形態の詳細を説明する。
[第1の実施の形態]
図2は、本実施の形態のシステム構成例を示す図である。本実施の形態では、文書アクセス管理サーバ100に対して、ネットワーク10を介して複数のクライアント200,クライアント300,・・・が接続されている。
文書アクセス管理サーバ100は、クライアント200,クライアント300,・・・間で受け渡される文書に対するアクセス状況を管理する。クライアント200,クライアント300,・・・は、ユーザの操作入力に応答して、文書の作成、配布、閲覧(表示)などを行う。
たとえば、クライアント200で文書が作成され、その文書がクライアント300に配布される。配布された文書がクライアント300で閲覧されると、閲覧時のアクセスログがクライアント300で取得される。そして、クライアント300で取得されたアクセスログが、ネットワーク10を介して文書アクセス管理サーバ100で収集される。
以下に、このようなシステムを実現するための各コンピュータのハードウェア構成について説明する。
図3は、本実施の形態に用いる文書アクセス管理サーバのハードウェア構成例を示す図である。文書アクセス管理サーバ100は、CPU(Central Processing Unit)101によって装置全体が制御されている。CPU101には、バス107を介してRAM(Random Access Memory)102、ハードディスクドライブ(HDD:Hard Disk Drive)103、グラフィック処理装置104、入力インタフェース105、および通信インタフェース106が接続されている。
RAM102には、CPU101に実行させるOS(Operating System)のプログラムやアプリケーションプログラムの少なくとも一部が一時的に格納される。また、RAM102には、CPU101による処理に必要な各種データが格納される。HDD103には、OSやアプリケーションプログラムが格納される。
グラフィック処理装置104には、モニタ11が接続されている。グラフィック処理装置104は、CPU101からの命令に従って、画像をモニタ11の画面に表示させる。入力インタフェース105には、キーボード12とマウス13とが接続されている。入力インタフェース105は、キーボード12やマウス13から送られてくる信号を、バス107を介してCPU101に送信する。
通信インタフェース106は、ネットワーク10に接続されている。通信インタフェース106は、ネットワーク10を介して、他のコンピュータとの間でデータの送受信を行う。
図4は、本実施の形態に用いるクライアントのハードウェア構成例を示す図である。クライアント200は、CPU201によって装置全体が制御されている。CPU201には、バス208を介してRAM202、ハードディスクドライブ(HDD)203、グラフィック処理装置204、入力インタフェース205、通信インタフェース206およびTPM(Trusted Platform Module)が接続されている。
RAM202には、CPU201に実行させるOSのプログラムやアプリケーションプログラムの少なくとも一部が一時的に格納される。また、RAM202には、CPU201による処理に必要な各種データが格納される。HDD203には、OSやアプリケーションプログラムが格納される。
グラフィック処理装置204には、モニタ21が接続されている。グラフィック処理装置204は、CPU201からの命令に従って、画像をモニタ21の画面に表示させる。入力インタフェース205には、キーボード22とマウス23とが接続されている。入力インタフェース205は、キーボード22やマウス23から送られてくる信号を、バス208を介してCPU201に送信する。
通信インタフェース206は、ネットワーク10に接続されている。通信インタフェース206は、ネットワーク10を介して、他のコンピュータとの間でデータの送受信を行う。
TPM207は、TCG(Trusted Computing Group)で定義されたソフトウェアの信頼性確保機能を有する半導体チップである。TPM207は、たとえば、以下の機能を有している。
・ソフトウェアの改竄を発見するために、ソフトウェアなどのハッシュ値を保存する機能。
・正当なTPMが使用されていることを保障するための、TPM内に格納する秘密鍵の生成、保持機能。
・暗号鍵を安全に保管するための、保護された記憶機能。
・暗号処理を安全・正確に行うための公開鍵暗号演算、乱数発生、ハッシュ演算機能。
TPM207は、これらの機能を用いて、暗号化された文書の鍵の生成やアクセスログの署名の生成などを行う。
以上のようなハードウェア構成によって、本実施の形態の処理機能を実現することができる。なお、図4にはクライアント200のハードウェアを示しているが、他のクライアント300,・・・も同様のハードウェア構成で実現することができる。
図5は、本システムの処理の概略を示す図である。文書を作成したユーザ(作成者)は、クライアント200を用いて文書31を作成し、ネットワークを介して作成した文書を配布する。文書31は、クライアント200において暗号化されており、文書を閲覧するユーザ(閲覧者)が使用するクライアント300のTPMに保存されている鍵を用いることで復号できる。なお、文書31は、たとえば、電子メールの添付ファイルとして配布することができる。
文書31を配布する際、作成者は、クライアント200を用いて文書アクセス管理サーバ100にアクセスし、文書31へのアクセスポリシ32を設定する。アクセスポリシ32は、文書31に対するアクセス条件を示す情報である。たとえば、アクセスポリシ32には、文書31を閲覧可能なユーザのリストなどが設定される。
文書アクセス管理サーバ100では、アクセスポリシ32が設定されると、その設定内容を、ポリシログ記憶部140に保存する。また、文書アクセス管理サーバ100は、アクセスポリシ32が変更された際にも、変更内容をポリシログ記憶部140に保存する。
閲覧者が、クライアント300に対して文書31の閲覧要求を入力すると、クライアント300から文書アクセス管理サーバ100へ、アクセスポリシ32の取得要求が出される。文書アクセス管理サーバ100は、その取得要求に応じてアクセスポリシ32をクライアント300に送信する。
クライアント300では、アクセスポリシ32に基づいて、閲覧者に閲覧が許可されていることを確認する。閲覧が許可されていれば、クライアント300は文書31を復号し、内容を画面に表示する。
この際、クライアント300は、文書31に対するアクセスの内容を示すアクセスログ33を生成する。たとえば、閲覧時刻や閲覧したユーザ名などがアクセスログ33に設定される。そして、クライアント300は、生成したアクセスログ33に項番34と署名35とを付して文書アクセス管理サーバ100に送信する。項番34は、アクセスログを送信する度に値がカウントアップされる通し番号である。署名35は、アクセスログ33と項番34とから生成されたハッシュ値をTPM内の秘密鍵で暗号化したものである。なお、クライアント300から文書アクセス管理サーバ100にアクセスログ33を送信するタイミングは、たとえば、アクセスログ33生成後、最初にネットワークを介して文書アクセス管理サーバ100に接続できたときである。
文書アクセス管理サーバ100では、取得したアクセスログ33の正当性を項番34と署名35とに基づいて判断する。そして、アクセスログ33が正当であれば、文書アクセス管理サーバ100は取得したアクセスログ33をアクセスログ記憶部130に格納する。
このようにして、ポリシログ記憶部140にはアクセスポリシの設定履歴が蓄積され、アクセスログ記憶部130にはアクセスログが蓄積される。そして、文書31の作成者がクライアント200を操作して、アクセスログ記憶部130とポリシログ記憶部140とに対する検索を行うことで、文書31に対する他のユーザのアクセス状況を知ることができる。
以下、このような処理を実現するために文書アクセス管理サーバ100と各クライアント200,300,・・・とが有すべき機能について説明する。
図6は、第1の実施の形態の機能ブロック図である。クライアント200は、文書編集部210、文書暗号化部220、文書配布部230、アクセスポリシ設定部240、およびアクセスログ検索要求部250を有する。
文書編集部210は、他のユーザに配布する文書31の作成機能を有する。たとえば、文書編集部210は、ワードプロセッサである。
文書暗号化部220は、文書編集部210で作成された文書を暗号化する。暗号化は、文書31の配布先のクライアント300内のTPMに格納された鍵で復号できるような暗号鍵(たとえば、クライアント300内の秘密鍵に対応する公開鍵)を用いて行われる。
文書配布部230は、文書暗号化部220で暗号化された文書31をネットワーク10経由でクライアント300に配布する。たとえば、文書配布部230は、電子メールの添付ファイルとしてクライアント300に文書を送信する。
アクセスポリシ設定部240は、ユーザからの操作入力に応答して、文書31に対するアクセスポリシ32を生成する。そして、アクセスポリシ設定部240は、生成したアクセスポリシ32の内容を、文書アクセス管理サーバ100に送信する。また、アクセスポリシ設定部240は、ユーザからのアクセスポリシ変更の操作入力に応答し、アクセスポリシ32の変更要求を文書アクセス管理サーバ100に送信する。
アクセスログ検索要求部250は、ユーザからのアクセスログの検索を示す操作入力に応答し、文書アクセス管理サーバ100に対して検索要求を送信する。そして、アクセスログ検索要求部250は、文書アクセス管理サーバ100から検索結果を受け取り、検索結果を画面に表示する。
クライアント300は、文書取得部311、文書記憶部312、文書閲覧部313、アクセス許否判定部314、文書復号部315、アクセスログ生成部316、アクセスログ記憶部317、項番記憶部318、ハッシュ値記憶部319、署名生成部320、およびアクセスログ送信部321を有している。
文書取得部311は、クライアント200から配布された文書31をネットワーク10経由で取得する。たとえば、文書31が電子メールの添付ファイルとして配布されていれば、図示していないメールサーバ経由で文書31を取得することができる。文書取得部311は、取得した文書31を文書記憶部312に格納する。
文書記憶部312は、文書31を記憶するための記憶装置である。たとえば、HDDの一部の記憶領域が文書記憶部312として使用される。
文書閲覧部313は、クライアント300を使用する閲覧者からの操作入力に応答して、文書31の内容を表示する。具体的には、文書閲覧部313は、操作入力で指定された文書31のアクセス許否判定をアクセス許否判定部314に依頼する。アクセス許否判定部314でアクセスが許可された場合、文書閲覧部313は、復号された文書31を文書復号部315から取得する。そして、文書閲覧部313は、取得した文書31の内容を画面に表示する。
アクセス許否判定部314は、文書閲覧部313からの依頼に応じて、文書31へのアクセスの許否を判定する。具体的には、アクセス許否判定部314は、アクセス許否判定の依頼を受けると、文書アクセス管理サーバ100に対してアクセスポリシ取得要求を送信する。アクセスポリシ取得要求に応じ文書アクセス管理サーバ100からアクセスポリシ32が返されると、アクセス許否判定部314は、アクセスポリシ32の内容と、クライアント300を使用しているユーザやクライアント300に関する情報およびアクセス日時とを比較し、アクセスの許否を判定する。ユーザに関する情報は、たとえば、クライアント300にユーザがログインしたときのアカウント情報から取得することができる。アクセス許否判定部314は、アクセスポリシ32におけるアクセスを許可する条件にクライアント300のユーザの情報などが合致していればアクセスを許可する。一方、ユーザがアクセスポリシ32の許可条件に合致しなければ、アクセス許否判定部314はアクセスを拒否する。
なお、アクセスポリシ32は、予め文書アクセス管理サーバ100から取得しておくこともできる。たとえば、アクセス許否判定部314は、所定のタイミングで、文書アクセス管理サーバ100から、クライアント300が対象クライアントとして設定されている全てのアクセスポリシを取得する。そして、アクセス許否判定部314は、取得したアクセスポリシをHDDなどに保存しておく。この場合、アクセス許否判定の依頼を受けたアクセス許否判定部314は、予め取得しておいたアクセスポリシを参照して、アクセスの許否を判定する。これにより、クライアント300が文書アクセス管理サーバ100と通信できない環境下でも、文書31の閲覧が可能となる。
なお、アクセスポリシの内容は、文書アクセス管理サーバ100内で変更される可能性がある。そこで、クライアント300に予め取得しておいたアクセスポリシには、有効期間が設定される(たとえば、取得してから24時間のみ、そのアクセスポリシを有効とする)。この場合、アクセス許否判定部314は、有効期間内のアクセスポリシを保持していれば、そのアクセスポリシを参照してアクセスの許否を判定する。保持しているアクセスポリシの有効期間が過ぎていれば、アクセス許否判定部314は、現在のアクセスポリシを文書アクセス管理サーバ100から取得する。取得できなければ、文書31へのアクセスは拒否される。これにより、変更前のアクセスポリシに基づいて長期間アクセス許否判定が行われることを回避できる。
文書復号部315は、アクセス許否判定部314によってアクセスが許可された場合に、文書31を文書記憶部312から取得して、その文書31を復号する。復号する際の鍵は、TPM内から取得される。そして、文書復号部315は、復号した文書31を文書閲覧部313に渡す。
アクセスログ生成部316は、アクセス許否判定部314による判定結果を取得し、文書31に対するアクセス操作の内容を示すアクセスログを生成する。アクセスログには、アクセス日時やアクセスしたユーザなどの情報が設定される。そして、アクセスログ生成部316は、生成したアクセスログをアクセスログ記憶部317に格納する。
アクセスログ記憶部317は、アクセスログを記憶する記憶装置である。たとえば、HDD内の記憶領域の一部がアクセスログ記憶部317として使用される。なお、アクセスログ記憶部317には、文書アクセス管理サーバ100へ送信するまでの間、複数のアクセスログが記憶される。そして、文書アクセス管理サーバ100に送信されたアクセスログは、署名生成部320によってアクセスログ記憶部317から削除される。
項番記憶部318は、最新の項番を記憶する記憶装置である。本実施の形態では、TPM内の記憶領域の一部が項番記憶部318として使用される。
ハッシュ値記憶部319は、最新に生成されたハッシュ値を記憶する記憶装置である。本実施の形態では、TPM内の記憶領域の一部がハッシュ値記憶部319として使用される。
署名生成部320は、文書アクセス管理サーバ100との通信が可能であることを確認すると、アクセスログ記憶部317に蓄積されているアクセスログに対する署名を生成する。具体的には、署名生成部320は、アクセスログ記憶部317に最初のアクセスログが格納されると、そのアクセスログから所定のアルゴリズムによりハッシュ値を生成する。生成したハッシュ値は、ハッシュ値記憶部319に格納される。また、署名生成部320は、アクセスログ記憶部317に2つめ以降のアクセスログが格納されると、ハッシュ値記憶部319内のハッシュ値を格納されたアクセスログに付加し、所定のアルゴリズムで新たなハッシュ値を生成する。そして、署名生成部320は、新たに生成したハッシュ値によって、ハッシュ値記憶部319内のハッシュ値を更新する。
アクセスログに応じたハッシュ値を生成したら、署名生成部320は、文書アクセス管理サーバ100との通信の可否を判断する。通信が可能であれば、署名生成部320は、ハッシュ値記憶部319に格納されているハッシュ値に対して項番記憶部318に格納されている項番を付加し、それらのデータから所定のアルゴリズムによってハッシュ値を生成する。次に、署名生成部320は、TPM内に予め格納されている鍵を用いて、生成したハッシュ値を暗号化する。そして、署名生成部320は、暗号化処理によって生成された暗号データを署名として、アクセスログ記憶部317内の全てのアクセスログ、署名、および項番の組をアクセスログ送信部321に渡す。
アクセスログ送信部321は、署名生成部320から受け取った項番と署名付きのアクセスログを文書アクセス管理サーバ100へ送信する。
文書アクセス管理サーバ100は、アクセスポリシ記憶部110、項番記憶部120、アクセスログ記憶部130、ポリシログ記憶部140、アクセスポリシ管理部151、ポリシログ取得部152、アクセスポリシ送信部153、アクセスログ取得部154、ログ検索部155および閲覧指示通知部156を有する。
アクセスポリシ記憶部110は、文書31に対するアクセスポリシを記憶する記憶装置である。たとえば、HDD103の記憶領域の一部がアクセスポリシ記憶部110として使用される。
項番記憶部120は、クライアント毎にアクセスログに対して付与される最新の項番を記憶する記憶装置である。たとえば、HDD103の記憶領域の一部が項番記憶部120として使用される。
アクセスログ記憶部130は、文書毎のアクセスログを記憶する記憶装置である。たとえば、HDD103の記憶領域の一部がアクセスログ記憶部130として使用される。
ポリシログ記憶部140は、アクセスポリシの設定・変更内容を示すポリシログを記憶する記憶装置である。たとえば、HDD103の記憶領域の一部がポリシログ記憶部140として使用される。
アクセスポリシ管理部151は、クライアント200から文書31に対する新たなアクセスポリシ32が送られると、そのアクセスポリシ32をアクセスポリシ記憶部110に設定する。また、アクセスポリシ管理部151は、クライアント200からアクセスポリシ32の変更要求を受け取ると、その変更要求に従ってアクセスポリシ記憶部110に記憶されたアクセスポリシ32の内容を変更する。さらに、アクセスポリシ管理部151は、アクセスログ記憶部130の内容を参照し、文書31に対するアクセスログに基づいて文書31への不正アクセスを検出する。そして、不正アクセスが所定の条件を満たした場合、アクセスポリシ管理部151は、不正アクセスを行ったクライアントまたは不正アクセス操作をしたユーザが様々な文書にアクセスする際のアクセス条件を厳しくするように、アクセスポリシ記憶部110内のアクセスポリシを自動変更する。
ポリシログ取得部152は、アクセスポリシ管理部151によるアクセスポリシ記憶部110に対する処理を検出し、その処理内容を示すポリシログを生成する。そして、ポリシログ取得部152は、生成したポリシログをポリシログ記憶部140に格納する。
アクセスポリシ送信部153は、クライアント300からアクセスポリシ取得要求を受け取ると、そのアクセスポリシ取得要求で示される文書31に関するアクセスポリシをアクセスポリシ記憶部110から取得する。そして、アクセスポリシ送信部153は、取得したアクセスポリシをクライアント300に対して送信する。
アクセスログ取得部154は、クライアント300と通信が可能となったとき、項番と署名とを付加したアクセスログをクライアント300から取得する。アクセスログ取得部154は、文書31に関するアクセスログ33を取得した際には、項番記憶部120からクライアント300に対応する項番を取得する。
さらに、アクセスログ取得部154は、項番記憶部120から取得した項番を用いて、取得したアクセスログ33に付与された項番と署名とを検証する。具体的には、アクセスログ取得部154は、まず、アクセスログ33に付与された項番と、項番記憶部120から取得した項番が同一であることを確認する。次に、アクセスログ取得部154は、署名を所定の鍵で復号しハッシュ値を取得する。さらに、アクセスログ取得部154は、クライアント300から送られたアクセスログ33と項番記憶部120から取得した項番とから、所定のアルゴリズムでハッシュ値を生成する。この際のハッシュ値の生成アルゴリズムは、クライアント300の署名生成部320におけるハッシュ値の生成アルゴリズムと同様である。
なお、アクセスログ取得部154は、複数のアクセスログが同時に送られてきた場合、日時の情報が最も古いアクセスログに基づいてハッシュ値を計算する。その後、アクセスログ取得部154は、日時の情報が古い順にアクセスログを選択し、直前に生成されたハッシュ値を選択したアクセスログに付加し、それらのデータからハッシュ値を計算する。最後のアクセスログからハッシュ値が計算されたら、そのハッシュ値に項番記憶部120内の項番を付加し、それらのデータからハッシュ値を計算する。項番に基づいて計算されたハッシュ値が照合用のハッシュ値となる。
そして、アクセスログ取得部154は、照合用に算出したハッシュ値と署名を復号することで取得したハッシュ値とを比較し、一致していれば署名を認証する。署名が認証されたということは、アクセスログに付加されていた項番の連続性(アクセスログの抜けがないこと)も保証されている。署名の認証処理後、アクセスログ取得部154は、項番記憶部120に記憶されている文書31に対応する項番に1を加算し、クライアント300から取得したアクセスログ33をアクセスログ記憶部130に格納する。
ログ検索部155は、クライアント200からの検索要求に応じて、アクセスログ記憶部130からアクセスログの検索を行うと共に、ポリシログ記憶部140からポリシログの検索を行う。そして、ログ検索部155は、検出したアクセスログとポリシログとをクライアント200に送信する。
閲覧指示通知部156は、ログ検索部155を介して、閲覧が許可されていながら未閲覧のユーザの情報を取得する。そして、閲覧指示通知部156は、未閲覧のユーザに対して閲覧指示を通知する。また、閲覧指示通知部156は、未閲覧ユーザリストを、文書作成者に対して通知する。閲覧指示や未閲覧ユーザリストは、たとえば電子メールによって通知することができる。
次に、アクセスポリシ記憶部110、項番記憶部120、アクセスログ記憶部130、およびポリシログ記憶部140に格納されるデータの構造について説明する。
図7は、アクセスポリシ記憶部のデータ構造例を示す図である。アクセスポリシ記憶部110には、複数のアクセスポリシ111,112,113,・・・が格納されている。各アクセスポリシ111,112,113,・・・には、対象文書の作成者、対象ユーザ、対象PC、対象文書、閲覧許可回数、閲覧許可期間、印刷許可部数、印刷許可期間、印刷時に透かしを挿入するか否か、未読時に対象ユーザへの通知時期、未読時に文書作成者への通知時期の各欄が設けられている。
対象文書の作成者の欄には、管理対象となる文書の作成者のユーザ名が設定される。対象ユーザの欄には、管理対象となる文書へのアクセスを許可するユーザのユーザ名が設定される。対象PCの欄には、管理対象となるクライアントを一意に識別するための名称が設定される。対象文書の欄には、管理対象となる文書を一意に識別するための名称が設定される。閲覧許可回数の欄には、ユーザに対して閲覧を許可する回数が設定される。閲覧許可期間の欄には、ユーザに対して閲覧を許可する期間が設定される。印刷許可部数の欄には、ユーザが印刷を許可できる最大部数が設定される。印刷許可期間の欄には、印刷を許可する期間が設定される。印刷時に透かしを挿入するか否かの欄は、印刷時に電子透かし(画像解析を行うことが任意の情報に変換可能な画像を印刷すること)を入れるか否かを設定する。未読時に対象ユーザへの通知時期の欄には、対象ユーザが所定の日時まで文書を閲覧しなかった場合に対象ユーザに対して閲覧を促すこととしたときの、当該所定の時期が設定される(通知を行わない場合、その旨が設定される)。未読時に文書作成者への通知期間の欄には、対象ユーザが所定の時期までに文書を閲覧しなかった未読ユーザの存在を文書作成者に対して通知することとした場合の、当該所定の時期が設定される(通知を行わない場合、その旨が設定される)。
図8は、項番記憶部のデータ構造例を示す図である。項番記憶部120には、アクセス元クライアントと項番との欄が設けられている。アクセス元クライアントの欄には、対象文書に対してアクセスを行ったクライアントの名称が設定される。項番の欄には、対応するクライアントから次に送信されるアクセスログに付与されるべき項番が設定される。
図9は、アクセスログ記憶部のデータ構造例を示す図である。アクセスログ記憶部130には、日時、ファイル名、ユーザ、アクセス元クライアント、行為の欄が設けられている。アクセスログ記憶部130内の横方向に並べられたデータ同士が互いに関連づけられ、アクセスログのレコードを構成している。
日時の欄には、管理対象の文書に対してアクセスが行われた日時が設定される。ファイル名の欄には、アクセスされた文書のファイル名が設定される。ユーザの欄には、アクセスを行ったユーザのユーザ名が設定される。アクセス元クライアントの欄には、文書に対するアクセスを行ったクライアントの名称が設定される。
行為の欄には、アクセスの内容が設定される。たとえば、閲覧のアクセスであれば、行為の欄に「閲覧」と設定される。なお、アクセスがクライアントで拒否された場合、行為の欄のアクセス内容の後に「不正」と設定される。
図10は、ポリシログ記憶部のデータ構造例を示す図である。ポリシログ記憶部140には、複数のポリシログ141,142,143,・・・が登録されている。各ポリシログ141,142,143,・・・には、変更者、変更日時、対象項目、変更項目、変更前の値、および変更後の値の欄が設けられている。変更者の欄には、アクセスポリシを設定・変更した主体が設定される。設定・変更の主体としては、文書作成者、アクセスポリシ管理部151が有り得る。文書作成者による設定・変更の場合、変更者の欄に文書作成者のユーザ名が設定される。アクセスポリシ管理部151による自動変更(不正操作による自動変更など)の場合、変更者の欄に自動変更と設定される。
変更日時の欄には、アクセスポリシが変更された日時が設定される。対象ユーザの欄には、変更されたアクセスポリシの対象ユーザのユーザ名が設定される。対象PCの欄には、変更されたアクセスポリシの対象クライアントの名称が設定される。対象文書の欄には、管理対象の文書の名称が設定される。
さらに、ポリシログ141,142,143,・・・には、アクセスポリシへの設定項目(閲覧許可回数、閲覧許可期間、印刷許可部数、印刷許可期間、印刷時に透かしを挿入するか否か、未読時に対象ユーザへの通知時期、未読時に文書作成者への通知時期)に関して、変更前の値と変更後の値とが設定される。
図10に示すポリシログ141は、図7に示したアクセスポリシ111の初期設定時の状態を示している。そのため、設定項目のうち変更前の値は全て空欄である。たとえば、既に設定されているポリシログの内容が、不正発見などの理由でアクセスポリシの内容が自動変更された場合、変更前の値と変更後の値とがポリシログとして保存される。
図11は、アクセスポリシ自動変更時のポリシログの例を示す図である。図11には、図7に示したアクセスポリシ111が、不正発見を理由に閲覧禁止に変更された場合に採取されるポリシログ149を示している。
ポリシログ149では、変更者の欄に「自動変更(不正発見)」と設定されている。また、閲覧許可回数が、変更前は「無限回」であったのが、変更後は「閲覧禁止」となっている。さらに、閲覧許可期間が、変更前は所定の期間が設定されていたが、変更後は空欄となっている。
このような構成のシステムにおいて、文書31に対するアクセスログ33と、文書31のアクセスポリシ32の設定・変更に関するポリシログとを、文書アクセス管理サーバ100で取得することができる。そして、文書31の作成者は、アクセスログ33とポリシログとの検索を行うことで、不正なアクセスが発生した時点でのアクセスポリシを確認することができ、不正と判断された正確な理由を知ることができる。
以下に、上記のような構成のシステムで行われる処理を説明する。
図12は、ポリシログ取得処理を示す概念図である。ポリシログの取得は、たとえば、文書の作成者がクライアント200を用いて、アクセスポリシの設定や変更を文書アクセス管理サーバ100に対して指示したときに行われる。
また、閲覧者がクライアント300を用いて文書31に対する不正アクセスを行った場合にも、クライアント300から文書アクセス管理サーバ100に送られるアクセスログ33に基づいてアクセスポリシが自動更新され、同時にポリシログが取得される。
さらに、文書アクセス管理サーバ100では、アクセスポリシにおいて文書の閲覧可能期間や印刷可能期間が経過したときには、その旨をポリシログとして取得する。具体的には、アクセスポリシ管理部151が定期的にアクセスポリシ記憶部110内の各アクセスポリシに関して閲覧可能期間や印刷可能期間が経過したか否かを判断する。そして、閲覧可能期間や印刷可能期間の経過したアクセスポリシがある場合、該当するアクセスポリシの内容を閲覧付加または印刷付加に変更する。アクセスポリシ管理部151によってアクセスポリシの内容が変更されると、アクセスログ記憶部130によってその変更内容がポリシログとしてポリシログ記憶部140に格納される。
図13は、ポリシログ取得処理を示すフローチャートである。以下、図13に示す処理をステップ番号に沿って説明する。
[ステップS11]ポリシログ取得部152は、アクセスポリシ管理部151がアクセスポリシ記憶部110に対してアクセスポリシの設定・変更を行ったか否かを判断する。アクセスポリシの設定・変更が行われた場合、処理がステップS12に進められる。アクセスポリシの設定・変更が行われなければ、ステップS11の処理が繰り返される。
[ステップS12]ポリシログ取得部152は、アクセスポリシ管理部151がアクセスポリシ記憶部110による設定・変更の対象となったアクセスポリシの設定・変更前後の内容からポリシログを生成する。具体的には、アクセスポリシの新規設定が行われた場合、ポリシログ取得部152は、設定されたアクセスポリシの内容を含むポリシログを生成する。また、アクセスポリシの変更が行われた場合、ポリシログ取得部152は、変更前のアクセスポリシの内容と、変更後のアクセスポリシの内容とを含むポリシログを生成する。
[ステップS13]ポリシログ取得部152は、生成したポリシログをポリシログ記憶部140に格納する。
このようにして、アクセスポリシ32が設定・変更される毎に、ポリシログが取得される。その後、クライアント300において文書31に対してアクセスが行われると、文書アクセス管理サーバ100は、クライアント300からアクセスログ33を取得する。
図14は、アクセスログ取得処理の概略を示す図である。クライアント300を使用する閲覧者が文書31の閲覧を要求する操作入力を行うと、文書アクセス管理サーバ100からアクセスポリシ32がクライアント300に送信される。具体的には、クライアント300を操作している閲覧者のユーザ名、クライアント300の名称(クライアント名)、および閲覧対象の文書31のファイル名を含むアクセスポリシ取得要求がクライアント300から文書アクセス管理サーバ100に送信される。すると、文書アクセス管理サーバ100では、アクセスポリシ取得要求で示されるユーザ名、クライアント名、およびファイル名が、それぞれ対象ユーザ、対象PC、対象文書の欄に設定されたアクセスポリシをアクセスポリシ記憶部110から検索する。そして、文書アクセス管理サーバ100は、検出されたアクセスポリシ32をクライアント300へ送信する。
クライアント300では、アクセスポリシ32に基づいてアクセスの許否が判定され、アクセスが許可された場合、TPM内に格納された鍵315aを用いて文書31が復号される。そして、復号された文書が、クライアント300のモニタの画面に表示される。
すると、クライアント300において、アクセスログ33が生成さされる。そのとき、クライアント300と文書アクセス管理サーバ100が通信可能であれば、TPMに格納されている項番318aとアクセスログ33とからハッシュ値319aが計算される。ハッシュ値319aはTPM内に格納される。さらに、ハッシュ値319aがTPM内に格納されていた秘密鍵で暗号化され、署名35が生成される。
そして、項番34と署名35とが付与されたアクセスログ33が、クライアント300から文書アクセス管理サーバ100に送信される。文書アクセス管理サーバ100では、項番記憶部120に格納されているクライアント300に対応する項番を用いて、署名35を認証する。署名35が正しければ、アクセスログ33がアクセスログ記憶部130に格納される。
図15は、クライアントにおけるアクセスログの送信処理を示す図である。以下、図15に示す処理をステップ番号に沿って説明する。
[ステップS21]文書閲覧部313が、閲覧者からの文書31の閲覧を示す操作入力を受け付ける。
[ステップS22]文書閲覧部313は、文書31へのアクセス処理を行う。具体的には、文書閲覧部313は、アクセス許否判定部314にアクセス許否判定を依頼する。すると、アクセス許否判定部314が文書アクセス管理サーバ100から文書31に関するアクセスポリシ32を取得し、取得したアクセスポリシ32において閲覧者によるアクセスが許可されている否かを判断する。許可されていなければ、アクセス許否判定部314は、アクセス許否の判定結果を文書閲覧部313に伝える。すると、文書閲覧部313は、文書31へのアクセスをエラー終了する。
アクセスポリシ32においてアクセスが許可されていれば、アクセス許否判定部314は、文書復号部315へ文書31へのアクセスが許可されていることを伝える。すると、文書復号部315が文書31を復号し、復号した内容を文書閲覧部313に渡す。文書閲覧部313では、文書復号部315が復号した文書31の内容を画面に表示する。
[ステップS23]文書31へのアクセス処理が行われると、アクセスログ生成部316がアクセスログ33を生成する。生成されたアクセスログは、アクセスログ記憶部317に追加格納される。
さらに、署名生成部320が、アクセスログ記憶部317に格納されているアクセスログのハッシュ値を生成する。具体的には、署名生成部320は、ハッシュ値記憶部319内にハッシュ値が格納されてない場合には、新たに生成されたアクセスログ33のみからハッシュ値を生成する。また、署名生成部320は、ハッシュ値記憶部319内にハッシュ値が格納されている場合には、そのハッシュ値と新たに生成されたアクセスログ33とを合わせたデータからハッシュ値を生成する。最後に、署名生成部320は、生成したハッシュ値によってハッシュ値記憶部319内のハッシュ値を更新する。
[ステップS24]署名生成部320は、文書アクセス管理サーバ100と通信可能か否かを判断する。たとえば、文書アクセス管理サーバ100に対して、ネットワーク上の接続を確認するコマンド(pingなど)を送信することで、文書アクセス管理サーバ100と通信可能か否かを判断できる。通信が可能であれば、処理がステップS25に進められる。通信ができなければ、処理がステップS21に進められる。
[ステップS25]署名生成部320は、ハッシュ値記憶部319に格納されているハッシュ値に項番を加えて、それらのデータからハッシュ値を生成する。
[ステップS26]署名生成部320は、ハッシュ値記憶部319に格納されているハッシュ値をTPM内に保持している秘密鍵で暗号化し、生成された暗号データを署名35とする。
[ステップS27]アクセスログ送信部321は、アクセスログ記憶部317に格納されているアクセスログ33に項番34と署名35とを付与し、文書アクセス管理サーバ100に送信する。このとき、署名生成部320は、アクセスログが文書アクセス管理サーバ100に送られたことを確認後、アクセスログ記憶部317内に格納されていたアクセスログを消去する。
[ステップS28]署名生成部320は、ハッシュ値記憶部319内のハッシュ値をクリアし、項番記憶部318内の項番に1を加算する。その後、処理がステップS21に進められる。
図16は、文書アクセス管理サーバのアクセスログ取得処理の手順を示すフローである。以下、図16に示す処理をステップ番号に沿って説明する。
[ステップS31]アクセスログ取得部154は、クライアント300との通信が可能か否かを判断する。クライアント300との通信が可能であれば、処理がステップS32に進められる。クライアント300との通信が不可能であれば、アクセスログ取得部154は、ステップS31の処理が繰り返され、通信可能となるのを待つ。
[ステップS32]アクセスログ取得部154は、項番34と署名35とが付与されたアクセスログ33をクライアント300から取得する。
[ステップS33]アクセスログ取得部154は、クライアント300から項番34、と署名35とが付与されたアクセスログ33を正しく取得できたか否かを判断する。取得できなかった場合、処理がステップS38に進められる。取得できた場合、処理がステップS34に進められる。
[ステップS34]アクセスログ取得部154は、項番34および署名35を検証する。具体的には、アクセスログ取得部154は、アクセスログ33に付与されていた項番34と、項番記憶部120に格納されている項番(クライアント300との組に対応付けられて登録されている項番)とを比較する。一致していれば、項番34に抜けが無いことが確認される。さらに、アクセスログ取得部154は、取得した署名35を予め用意されている復号鍵で復号し、ハッシュ値との組を得る。
また、アクセスログ取得部154は、項番記憶部120に格納されている項番とアクセスログ33とからハッシュ値を生成する。このとき、1つの項番34と共に複数のアクセスログ33が同時に送られてきた場合、アクセスログ取得部154は、日時情報に基づいて最も古いアクセスログから順にアクセスログを選択する。そして、アクセスログ取得部154は、最初に選択したアクセスログからハッシュ値を生成する。そして、アクセスログ取得部154は、生成したハッシュ値を次に選択したアクセスログに付加して、ハッシュ値を生成する。最後のアクセスログ(最新のアクセスログ)に応じたハッシュ値が生成されると、アクセスログ取得部154は、生成したハッシュ値に対して項番記憶部120に格納されていた項番を付加して、ハッシュ値を生成する。
そして、アクセスログ取得部154は、生成したアクセスログ33と項番記憶部120内の項番とから生成したハッシュ値と、署名35に含まれていたハッシュ値と比較する。ハッシュ値が同一であれば、アクセスログ取得部154は、署名35が正当であると判断する。
[ステップS35]アクセスログ取得部154は、項番34が一致しており署名35が正当であれば、検証結果に問題なしと判断し、処理をステップS36に進める。一方、アクセスログ取得部154は、項番34が不一致であるか署名35が正当で無い場合、検証結果に問題有りと判断し、処理がステップS38に進められる。
[ステップS36]アクセスログ取得部154は、取得したアクセスログ33をアクセスログ記憶部130に追加格納する。
[ステップS37]アクセスログ取得部154は、項番記憶部120に格納されている項番に1を加える。その後、処理がステップS31に進められる。
[ステップS38]アクセスログ取得部154は、不正があったことを示す情報を付加して、取得したアクセスログ33をアクセスログ記憶部130に追加格納する。
[ステップS39]アクセスポリシ管理部151は、アクセスログ33のアクセス元クライアントの欄に設定されているクライアント名を対象クライアントとするアクセスポリシに対して、閲覧を不許可とするように設定の変更を行う(たとえば、閲覧許可回数の欄に閲覧禁止と設定する)。また、不正が行われたアクセスログのユーザ(閲覧のアクセスであれば閲覧者)を対象ユーザとするアクセスポリシに対して、閲覧を不許可とするように設定の変更を行うこともできる。その後、処理がステップS31に進められる。
このようにアクセスログ33が正しく取得できない場合、該当ユーザにおける文書31への不正アクセス行為があった可能性があると判断され、そのユーザに対して閲覧を不許可とするようにアクセスポリシが自動変更される。
また、過去のアクセスによってアクセスログ記憶部130に蓄積されているアクセスログがある場合、既にハッシュ値記憶部319に格納されているハッシュ値を用いて、新たなアクセスログ33のハッシュ値を計算する。これにより、アクセスログ記憶部130がTPM外の記憶装置内に設けられていても、アクセスログの改竄を防止できる。すなわち、ハッシュ値記憶部319はTPM内に設けられハッシュ値はTPMで保護されている。そのため、アクセスログが改竄された場合、ハッシュ値記憶部319内のハッシュ値との間に不整合が生じ、クライアント300で不正が行われたことを文書アクセス管理サーバ100側で認識できる。
次に、文書アクセス管理サーバ100に蓄積されたアクセスログとポリシログとを、文書31の作成者が検索する場合の処理について説明する。
図17は、ログ検索手順の概略を示す図である。文書31の作成者がログを検索する場合、作成者は、クライアント200に対して検索指示の操作入力を行う。すると、クライアント200から文書アクセス管理サーバ100へ検索条件41が送信される。文書アクセス管理サーバ100では、検索条件41に応答して、アクセスログ記憶部130とポリシログ記憶部140とに対する検索を行う。そして、文書アクセス管理サーバ100は、検索結果をまとめてログ情報42を生成し、クライアント200に送信する。
図18は、ログ検索処理の手順を示すシーケンス図である。以下、図18に示す処理をステップ番号に沿って説明する。
[ステップS41]クライアント200のアクセスログ検索要求部250は、文書作成者からユーザ名とパスワードとの入力を受け付ける。
[ステップS42]クライアント200のアクセスログ検索要求部250は、入力されたユーザ名とパスワードとを文書アクセス管理サーバ100に送信する。
[ステップS43]文書アクセス管理サーバ100のログ検索部155は、クライアント200から送信されたユーザ名とパスワードとによりユーザ認証を行う。
[ステップS44]文書アクセス管理サーバ100のログ検索部155は、ユーザ認証の結果をクライアント200に応答する。ここでは、正しくユーザ認証が行われたものとする。
[ステップS45]クライアント200のアクセスログ検索要求部250は、正しくユーザ認証がされると、文書作成者からのログの検索条件の入力を受け付ける。検索条件としては、対象ユーザ、対象クライアント、文書のファイル名、行為(閲覧、印刷など)、期間などが指定できる。
[ステップS46]クライアント200のアクセスログ検索要求部250は、入力された検索条件を文書アクセス管理サーバ100に送信する。
[ステップS47]文書アクセス管理サーバ100のログ検索部155は、クライアント200から送られた検索条件を取得する。
[ステップS48]文書アクセス管理サーバ100のログ検索部155は、検索条件に適合するアクセスログを、アクセスログ記憶部130から検索する。
[ステップS49]文書アクセス管理サーバ100のログ検索部155は、検索条件に適合するポリシログを、ポリシログ記憶部140から検索する。
[ステップS50]文書アクセス管理サーバ100のログ検索部155は、検索によって検出されたログに基づいて、権限行使の有無をチェックする。たとえば、閲覧権が付与されたユーザ(閲覧が許可されているユーザ)が閲覧を行ったか、あるいは印刷権が付与されたユーザ(印刷が許可されているユーザ)印刷を行ったかをチェックする。
[ステップS51]文書アクセス管理サーバ100のログ検索部155は、権限のチェック結果を付与したログ情報をクライアント200に送信する。
[ステップS52]クライアント200のアクセスログ検索要求部250は、ログ情報を画面に表示する。
[ステップS53]クライアント200のアクセスログ検索要求部250は、文書作成者からの表示条件入力を受け付ける。表示条件(たとえば、時間軸などによるソート条件)が入力されると、その条件に合致するように表示内容を変更し、処理がステップS52に進められる。
以下、検索条件に応じた検索結果の表示例を図19〜図27に示す。
図19は、ファイルAに注目したときの検索結果を示す図である。これは、検索条件として「ファイルA」を指定した場合に表示される検索結果である。図19の例では、ユーザAとユーザBとによる閲覧を示すアクセスログが表示されている。また、アクセス権設定やアクセス禁止へのアクセスポリシ変更に関するポリシログが表示されている。この図19の検索結果を参照すれば、アクセス権を有するユーザのうち、ユーザAとユーザCはファイルAを閲覧しているが、ユーザBが閲覧していないことが分かる。
図20は、ファイルBに注目したときの検索結果を示す図である。これは、検索条件として「ファイルB」を指定した場合に表示される検索結果である。図20の例では、ユーザBとユーザAとによる閲覧を示すアクセスログが表示されているとともに、ユーザBによる不正な閲覧が行われたことが示されている。また、ポリシログとして、アクセス権設定に加え、ユーザBの閲覧期限が完了したことが表示されている。そのため、図20の検索結果を参照すれば、ユーザBは閲覧期限を過ぎてからも、ファイルBを閲覧しようとしたことが分かる。
図21は、ファイルCに注目したときの検索結果を示す図である。これは、検索条件として「ファイルC」を指定した場合に表示される検索結果である。図21の例では、ユーザBによる閲覧とユーザCによる不正な閲覧を示すアクセスログが表示されている。そこで、ポリシログを参照すると、ユーザCが閲覧操作を行う前に、ユーザCが閲覧に使用したPC−Cによるアクセスが禁止されていることが分かる。
図22は、ユーザAに注目したときの検索結果を示す図である。これは、検索条件として「ユーザA」を指定した場合に表示される検索結果である。図22の例では、ユーザAに対してファイルAやファイルBの閲覧が許可されており、ユーザAは両方のファイルを閲覧済みであることが分かる。
なお、PC−Cからのアクセス禁止を示すポリシログは、ユーザに関する情報を有していないが、図22の例では検索結果に含められている。すなわち、ユーザ名を指定した検索条件が入力された際には、ユーザに関する情報を含まないポリシログもログ情報に含めることで、ユーザAが使用する可能性があるクライアントに関するポリシログも表示させることができる。
図23は、ユーザBに注目したときの検索結果を示す図である。これは、検索条件として「ユーザB」を指定した場合に表示される検索結果である。図23の例では、ユーザBに対してファイルA、ファイルBおよびファイルCの閲覧が許可されており、ユーザBはファイルBとファイルCとを閲覧済みであり、ファイルAが未読であることが分かる。また、ユーザBは閲覧期限完了後にファイルBの閲覧操作を行っていることが分かる。
図24は、ユーザCに注目したときの検索結果を示す図である。これは、検索条件として「ユーザC」を指定した場合に表示される検索結果である。図24の例では、ユーザCに対してファイルAとファイルCとの閲覧が許可されており、ユーザCはファイルAを閲覧済みであり、ファイルCが未読であることが分かる。また、ユーザCは、ファイルCの閲覧操作をしたが、アクセスが禁止されたクライアント(PC−C)で閲覧操作を行ったために、閲覧に失敗していることが分かる。
図25は、PC−Aに注目したときの検索結果を示す図である。これは、検索条件として「PC−A」を指定した場合に表示される検索結果である。図25の例では、PC−Aを用いたファイルAとファイルBとの閲覧が許可されており、ユーザAがPC−Aを用いてファイルAとファイルBとを閲覧済みであることが分かる。
図26は、PC−Bに注目したときの検索結果を示す図である。これは、検索条件として「PC−B」を指定した場合に表示される検索結果である。図26の例では、PC−Bを用いたファイルA、ファイルB、ファイルCの閲覧が許可されていたが、ファイルBに関しては閲覧期限が完了していることがかわる。また、閲覧期限が完了してから、ユーザBがPC−Bを用いてファイルBの閲覧操作を行っていることが分かる。
図27は、PC−Cに注目したときの検索結果を示す図である。これは、検索条件として「PC−C」を指定した場合に表示される検索結果である。図27の例では、PC−Cを用いたファイルAとファイルCとの閲覧が許可されていたが、その後、PC−Cを用いたアクセスが禁止されていることが分かる。また、ユーザCは、PC−Cによるアクセスが禁止された後にPC−Cを用いてファイルCの閲覧操作を行っていることが分かる。
このように、アクセスログとポリシログとから検索条件に合致する情報を取得して表示することで、閲覧可能なユーザのうちの未閲覧のユーザを容易に見つけ出すことができる。なお、未閲覧のユーザに対しては、文書アクセス管理サーバ100から閲覧の指示を通知することもできる。
図28は、未閲覧ユーザへの閲覧指示処理を示すフローチャートである。以下、図28に示す処理をステップ番号に沿って説明する。
[ステップS61]閲覧指示通知部156は、所定のタイミング(たとえば、毎日の決まった時刻)で、ログ検索部155に対して所定の文書に関する未閲覧ユーザチェック要求を出力する。未閲覧ユーザチェック要求を受けたログ検索部155は、未閲覧ユーザチェック要求で指定されている文書の文書名を検索キーとして、アクセスログ記憶部130とポリシログ記憶部140とを検索する。そして、ログ検索部155は、指定された文書に関するアクセスログとポリシログとを取得する。
[ステップS62]ログ検索部155は、未閲覧ユーザをチェックする。具体的には、ログ検索部155は、取得したポリシログに基づいて、指定された文書に対する閲覧が許可されているユーザを判断する。さらに、ログ検索部155は、取得したアクセスログに基づいて、閲覧が許可されたユーザのうち、未閲覧のユーザを判断する。そして、ログ検索部155は、未閲覧のユーザのユーザ名を閲覧指示通知部156に渡す。
[ステップS63]閲覧指示通知部156は、未閲覧のユーザ宛に閲覧指示を通知する。
[ステップS64]閲覧指示通知部156は、文書の作成者宛に、未閲覧ユーザのリストを通知する。
このようにして、未閲覧のユーザに対して閲覧指示を自動的に出すことができる。
[第2の実施の形態]
第2の実施の形態は、前回のハッシュ値を用いてアクセスログの連続性を保証するものである。第1の実施の形態では、項番によってアクセスログの連続性を保証していた。すなわち、項番を用いれば、項番が連続であることを確認することでアクセスログの抜けや重複が無いことを保証できる。第2の実施の形態では、クライアントにおいて、前回送信したハッシュ値を保存しておき、そのハッシュ値に新たに送信するアクセスログを加えて新たなハッシュ値を生成する。このように、ハッシュ値を連鎖的に生成することで、文書アクセス管理サーバが受信したアクセスログに抜けがあれば、ハッシュ値の不整合が生じることとなる。その結果、文書アクセス管理サーバにおいて、アクセスログの抜けの検出が可能となる。換言すれば、アクセスログの連続性を保証することができる。
図29は、第2の実施の形態の機能ブロック図である。第2の実施の形態を実現するための機能は、一部を除き第1の実施の形態と同様である。そこで、図29において、図6に示した第1の実施の形態の要素と同様の機能の要素には図6に示した要素と同じ符号を付し、説明を省略する。
図29に示すように、第2の実施の形態において第1の実施の形態と異なる機能を有するのは、クライアント300aと文書アクセス管理サーバ100aとである。
クライアント300aでは、署名生成部320aの処理機能が第1の実施の形態と異なると共に、第1の実施の形態における項番記憶部318が不要となっている。署名生成部320aは、アクセスログを送信した際に生成したハッシュ値をハッシュ値記憶部319に格納しておき、その後、アクセスログが生成されると、アクセスログにハッシュ値記憶部319内のハッシュ値を付加した値を用いて、新たなハッシュ値を生成する。
文書アクセス管理サーバ100aでは、アクセスログ取得部154aの処理機能が第1の実施の形態と異なると共に、項番記憶部120に代えてハッシュ値記憶部160が設けられている。ハッシュ値記憶部160は、アクセスログ取得部154aがアクセスログを取得した際に算出したハッシュ値を記憶する記憶装置である。たとえば、HDD103の記憶領域の一部がハッシュ値記憶部160として使用される。アクセスログ取得部154aは、アクセスログを取得した際に、ハッシュ値記憶部160に格納されているハッシュ値を用いて、取得したアクセスログに応じたハッシュ値を生成する。
以下、クライアント300aから文書アクセス管理サーバ100aへアクセスログを送信する際の処理を、詳細に説明する。
図30は、前回のハッシュ値を用いて連続性を保証するアクセスログ送信処理を示す図である。以下、図30に示す処理をステップ番号に沿って説明する。
[ステップS71]文書閲覧部313が、閲覧者からの文書31の閲覧を示す操作入力を受け付ける。
[ステップS72]文書閲覧部313は、文書31へのアクセス処理を行う。具体的には、図15に示したステップS22の処理と同様である。
[ステップS73]文書31へのアクセス処理が行われると、アクセスログ生成部316がアクセスログ33を生成する。生成されたアクセスログは、アクセスログ記憶部317に追加格納される。すると、署名生成部320aが、アクセスログ記憶部317に格納されているアクセスログのハッシュ値を生成する。この際、ハッシュ値記憶部319内にすでにハッシュ値が格納されていれば、そのハッシュ値を格納されたアクセスログに付加し、それらのデータからハッシュ値を生成する。そして、署名生成部320aは、生成したハッシュ値によってハッシュ値記憶部319内のハッシュ値を更新する。
[ステップS74]署名生成部320aは、文書アクセス管理サーバ100と通信可能か否かを判断する。通信が可能であれば、処理がステップS75に進められる。通信ができなければ、処理がステップS71に進められる。
[ステップS75]署名生成部320aは、ハッシュ値記憶部319に格納されているハッシュ値をTPM内に保持している秘密鍵で暗号化し、生成された暗号データを署名とする。
[ステップS76]アクセスログ送信部321は、アクセスログ記憶部317に格納されているアクセスログ33に署名を付与し、文書アクセス管理サーバ100に送信する。このとき、署名生成部320aは、アクセスログが文書アクセス管理サーバ100に送られたことを確認後、アクセスログ記憶部317内に格納されていたアクセスログを消去する。なお、ハッシュ記憶部319内のハッシュ値は、消去されずにそのまま保存される。その後、処理がステップS71に進められる。
図31は、前回のハッシュ値を用いて連続性を保証する文書アクセス管理サーバのアクセスログ取得処理の手順を示すフローである。以下、図31に示す処理をステップ番号に沿って説明する。
[ステップS81]アクセスログ取得部154aは、クライアント300との通信が可能か否かを判断する。クライアント300との通信が可能であれば、処理がステップS82に進められる。クライアント300との通信が不可能であれば、アクセスログ取得部154aは、ステップS81の処理が繰り返され、通信可能となるのを待つ。
[ステップS82]アクセスログ取得部154aは、署名35が付与されたアクセスログ33をクライアント300から取得する。
[ステップS83]アクセスログ取得部154aは、クライアント300から署名35が付与されたアクセスログ33を正しく取得できたか否かを判断する。取得できなかった場合、処理がステップS88に進められる。取得できた場合、処理がステップS84に進められる。
[ステップS84]アクセスログ取得部154aは、署名35を検証する。具体的には、アクセスログ取得部154aは、取得した署名35を予め用意されている復号鍵で復号し、ハッシュ値との組を得る。
また、アクセスログ取得部154aは、ハッシュ値記憶部160に格納されているハッシュ値とアクセスログ33とからハッシュ値を生成する。このとき、複数のアクセスログ33が同時に送られてきた場合、アクセスログ取得部154aは、日時情報に基づいて最も古いアクセスログから順にアクセスログを選択する。次に、アクセスログ取得部154aは、最初に選択したアクセスログに対して、ハッシュ値記憶部160に格納されているハッシュ値を付加して、ハッシュ値を生成する。さらに、アクセスログ取得部154aは、生成したハッシュ値を次に選択したアクセスログに付加して、ハッシュ値を生成する。
そして、アクセスログ取得部154aは、最後に選択したアクセスログから生成したハッシュ値と署名35に含まれていたハッシュ値と比較する。ハッシュ値が同一であれば、アクセスログ取得部154aは、署名35が正当であると判断する。
[ステップS85]アクセスログ取得部154aは、署名35が正当であれば、検証結果に問題なしと判断し、処理をステップS86に進める。一方、アクセスログ取得部154aは、署名35が正当で無い場合、検証結果に問題有りと判断し、処理がステップS88に進められる。
[ステップS86]アクセスログ取得部154aは、取得したアクセスログ33をアクセスログ記憶部130に追加格納する。
[ステップS87]アクセスログ取得部154aは、ステップS84で最後に生成されたハッシュ値をハッシュ値記憶部160に格納する。その後、処理がステップS81に進められる。
[ステップS88]アクセスログ取得部154aは、不正があったことを示す情報を付加して、取得したアクセスログ33をアクセスログ記憶部130に追加格納する。
[ステップS89]アクセスポリシ管理部151は、不正があったアクセスログ33に関連するクライアントやユーザにより閲覧を不許可とするように、アクセスポリシの設定変更を行う(たとえば、閲覧許可回数の欄に閲覧禁止と設定する)。その後、処理がステップS81に進められる。
このようにして、前回のアクセスログ送信時のハッシュ値から連鎖的に次のアクセスログのハッシュ値を計算することで、アクセスログの連続性を保証することが可能となる。
[その他の応用例]
上記の処理機能は、コンピュータによって実現することができる。その場合、文書アクセス管理サーバ100,100aやクライアント200,300,300aが有すべき機能の処理内容を記述したプログラムが提供される。そのプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリなどがある。磁気記録装置には、ハードディスク装置(HDD)、フレキシブルディスク(FD)、磁気テープなどがある。光ディスクには、DVD(Digital Versatile Disc)、DVD−RAM(Random Access Memory)、CD−ROM(Compact Disc Read Only Memory)、CD−R(Recordable)/RW(ReWritable)などがある。光磁気記録媒体には、MO(Magneto-Optical disk)などがある。
プログラムを流通させる場合には、たとえば、そのプログラムが記録されたDVD、CD−ROMなどの可搬型記録媒体が販売される。また、プログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することもできる。
プログラムを実行するコンピュータは、たとえば、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、自己の記憶装置に格納する。そして、コンピュータは、自己の記憶装置からプログラムを読み取り、プログラムに従った処理を実行する。なお、コンピュータは、可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することもできる。また、コンピュータは、サーバコンピュータからプログラムが転送される毎に、逐次、受け取ったプログラムに従った処理を実行することもできる。
なお、本発明は、上述の実施の形態にのみ限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々の変更を加えることができる。
以上説明した実施の形態の主な技術的特徴は、以下の付記の通りである。
(付記1) 文書に対するアクセス状況を管理するための文書アクセス管理プログラムにおいて、
コンピュータを、
文書に対するアクセスの許可条件が定義されたアクセスポリシを記憶するアクセスポリシ記憶手段、
前記アクセスポリシの設定操作の内容を示すポリシログを記憶するポリシログ記憶手段、
前記文書に対するアクセスの内容を示すアクセスログを記憶するアクセスログ記憶手段、
第1のクライアントからアクセスポリシの設定要求を受け付け、前記設定要求に応じて前記アクセスポリシ記憶手段に対する前記アクセスポリシの新規設定または記憶されている前記アクセスポリシの内容変更を行うアクセスポリシ管理手段、
前記アクセスポリシ管理手段によって前記アクセスポリシの新規設定または内容変更が行われると、新規設定された内容または変更後の内容を前記ポリシログ記憶手段に格納するポリシログ取得手段、
第2のクライアントから前記文書に関するアクセスポリシ取得要求が入力されると、前記アクセスポリシ記憶手段から前記文書に関する前記アクセスポリシを取得し、取得した前記アクセスポリシを前記第2のクライアントに対して送信するアクセスポリシ送信手段、
前記第2のクライアントから前記文書に関する前記アクセスログを取得し、前記アクセスログ記憶手段に格納するアクセスログ取得手段、
第3のクライアントから検索条件を受け取ると、前記検索条件に合致する前記ポリシログを前記ポリシログ記憶手段から取得し、前記検索条件に合致する前記アクセスログを前記アクセスログ記憶手段から取得し、取得した前記ポリシログと前記アクセスログとを前記第3のクライアントに送信するログ検索手段、
として機能させることを特徴とする文書アクセス管理プログラム。
(付記2) 前記アクセスログ取得手段は、前記第2のクライアントから署名付きの前記アクセスログを取得し、前記署名が正しいか否かを判断することで前記アクセスログの正当性を判断することを特徴とする付記1記載の文書アクセス管理プログラム。
(付記3) 前記アクセスポリシ管理手段は、前記アクセスログ取得手段において前記アクセスログが正当でないと判断された場合、前記第2のクライアントを用いた前記文書へのアクセスを禁止するように、前記アクセスポリシの内容を変更することを特徴とする付記2記載の文書アクセス管理プログラム。
(付記4) 前記コンピュータを、さらに、
前記第2のクライアントから前記アクセスログが送信された回数を示す項番を記憶する項番記憶手段として機能させ、
前記アクセスログ取得手段は、前記第2のクライアントから取得した前記アクセスログに前記項番記憶手段に記憶されている項番を付加して得られたデータのハッシュ値を生成すると共に暗号化された前記署名を所定の鍵で復号し、生成した前記ハッシュ値と復号されたデータが一致する場合には、前記署名が正当であると判断することを特徴とする付記2記載の文書アクセス管理プログラム。
(付記5) 前記コンピュータを、さらに、
前回のアクセスログ取得時に生成されたハッシュ値を記憶するハッシュ値記憶手段として機能させ、
前記アクセスログ取得手段は、前記第2のクライアントから取得した前記アクセスログに前記ハッシュ値記憶手段に記憶されているハッシュ値を付加して得られたデータのハッシュ値を生成すると共に暗号化された前記署名を所定の鍵で復号し、生成した前記ハッシュ値と復号されたデータが一致する場合には、前記署名が正当であると判断することを特徴とする付記2記載の文書アクセス管理プログラム。
(付記6) 前記ログ検索手段は、定期的に前記アクセスポリシ記憶手段に格納されている前記アクセスポリシを参照し、前記アクセスポリシにおいて前記文書の閲覧が許可されているユーザのユーザ名を抽出し、前記ポリシログ記憶手段に格納されている前記アクセスログを参照し、前記文書の閲覧が許可されているユーザのうち、未閲覧のユーザのユーザ名を判断することを特徴とする付記1記載の文書アクセス管理プログラム。
(付記7) 前記コンピュータを、さらに、
前記ログ検索手段から前記文書を未閲覧のユーザのユーザ名を取得し、該当するユーザに対して前記文書の閲覧を促すメッセージを送信する閲覧指示通知手段として機能させることを特徴とする付記6記載の文書アクセス管理プログラム。
(付記8) 前記コンピュータを、さらに、
前記ログ検索手段から前記文書を未閲覧のユーザのユーザ名を取得し、未閲覧のユーザのリストを前記文書を作成した作成者に送信する未閲覧者リスト送信手段として機能させることを特徴とする付記6記載の文書アクセス管理プログラム。
(付記9) 前記ログ検索手段は、取得した前記ポリシログと前記アクセスログとをそれぞれに付加されている日時の情報に基づいて時系列に並べて、前記第3のクライアントに送信することを特徴とする付記1記載の文書アクセス管理プログラム。
(付記10) 文書に対するアクセス状況を管理するための文書アクセス管理装置において、
文書に対するアクセスの許可条件が定義されたアクセスポリシを記憶するアクセスポリシ記憶手段と、
前記アクセスポリシの設定操作の内容を示すポリシログを記憶するポリシログ記憶手段と、
前記文書に対するアクセスの内容を示すアクセスログを記憶するアクセスログ記憶手段と、
第1のクライアントからアクセスポリシの設定要求を受け付け、前記設定要求に応じて前記アクセスポリシ記憶手段に対する前記アクセスポリシの新規設定または記憶されている前記アクセスポリシの内容変更を行うアクセスポリシ管理手段と、
前記アクセスポリシ管理手段によって前記アクセスポリシの新規設定または内容変更が行われると、新規設定された内容または変更後の内容を前記ポリシログ記憶手段に格納するポリシログ取得手段と、
第2のクライアントから前記文書に関するアクセスポリシ取得要求が入力されると、前記アクセスポリシ記憶手段から前記文書に関する前記アクセスポリシを取得し、取得した前記アクセスポリシを前記第2のクライアントに対して送信するアクセスポリシ送信手段と、
前記第2のクライアントから前記文書に関する前記アクセスログを取得し、前記アクセスログ記憶手段に格納するアクセスログ取得手段と、
第3のクライアントから検索条件を受け取ると、前記検索条件に合致する前記ポリシログを前記ポリシログ記憶手段から取得し、前記検索条件に合致する前記アクセスログを前記アクセスログ記憶手段から取得し、取得した前記ポリシログと前記アクセスログとを前記第3のクライアントに送信するログ検索手段と、
を有することを特徴とする文書アクセス管理装置。
(付記11) 文書に対するアクセス状況を管理するための文書アクセス管理方法において、
アクセスポリシ管理手段が、第1のクライアントからアクセスポリシの設定要求を受け付け、前記設定要求に応じて、文書に対するアクセスの許可条件が定義されたアクセスポリシを記憶するアクセスポリシ記憶手段に対する前記アクセスポリシの新規設定または記憶されている前記アクセスポリシの内容変更を行い、
ポリシログ取得手段が、前記アクセスポリシ管理手段によって前記アクセスポリシの新規設定または内容変更が行われると、新規設定された内容または変更後の内容をポリシログ記憶手段に格納し、
アクセスポリシ送信手段が、第2のクライアントから前記文書に関するアクセスポリシ取得要求が入力されると、前記アクセスポリシ記憶手段から前記文書に関する前記アクセスポリシを取得し、取得した前記アクセスポリシを前記第2のクライアントに対して送信し、
アクセスログ取得手段が、前記第2のクライアントから前記文書に関する前記アクセスログを取得し、アクセスログ記憶手段に格納し、
ログ検索手段が、第3のクライアントから検索条件を受け取ると、前記検索条件に合致する前記ポリシログを前記ポリシログ記憶手段から取得し、前記検索条件に合致する前記アクセスログを前記アクセスログ記憶手段から取得し、取得した前記ポリシログと前記アクセスログとを前記第3のクライアントに送信する、
ことを特徴とする文書アクセス管理方法。
本実施の形態の概略を示す図である。 本実施の形態のシステム構成例を示す図である。 本実施の形態に用いる文書アクセス管理サーバのハードウェア構成例を示す図である。 本実施の形態に用いるクライアントのハードウェア構成例を示す図である。 本システムの処理の概略を示す図である。 第1の実施の形態の機能ブロック図である。 アクセスポリシ記憶部のデータ構造例を示す図である。 項番記憶部のデータ構造例を示す図である。 アクセスログ記憶部のデータ構造例を示す図である。 ポリシログ記憶部のデータ構造例を示す図である。 アクセスポリシ自動変更時のポリシログの例を示す図である。 ポリシログ取得処理を示す概念図である。 ポリシログ取得処理を示すフローチャートである。 アクセスログ取得処理の概略を示す図である。 クライアントにおけるアクセスログの送信処理を示す図である。 文書アクセス管理サーバのアクセスログ取得処理の手順を示すフローである。 ログ検索手順の概略を示す図である。 ログ検索処理の手順を示すシーケンス図である。 ファイルAに注目したときの検索結果を示す図である。 ファイルBに注目したときの検索結果を示す図である。 ファイルCに注目したときの検索結果を示す図である。 ユーザAに注目したときの検索結果を示す図である。 ユーザBに注目したときの検索結果を示す図である。 ユーザCに注目したときの検索結果を示す図である。 PC−Aに注目したときの検索結果を示す図である。 PC−Bに注目したときの検索結果を示す図である。 PC−Cに注目したときの検索結果を示す図である。 未閲覧ユーザへの閲覧指示処理を示すフローチャートである。 第2の実施の形態の機能ブロック図である。 前回のハッシュ値を用いて連続性を保証するアクセスログ送信処理を示す図である。 前回のハッシュ値を用いて連続性を保証する文書アクセス管理サーバのアクセスログ取得処理の手順を示すフローである。 従来のファイル管理システムの例を示す図である。
符号の説明
1 文書アクセス管理装置
1a アクセスポリシ記憶手段
1b ポリシログ記憶手段
1c アクセスログ記憶手段
1d アクセスポリシ管理手段
1e ポリシログ取得手段
1f アクセスポリシ送信手段
1g アクセスログ取得手段
1h ログ検索手段
2 第1のクライアント
3 第2のクライアント
4 第3のクライアント
5 文書

Claims (10)

  1. 文書に対するアクセス状況を管理するための文書アクセス管理プログラムにおいて、
    コンピュータを、
    前記文書に対するアクセスの許可条件が定義されたアクセスポリシを記憶するアクセスポリシ記憶手段、
    前記アクセスポリシの設定操作の内容を示すポリシログを記憶するポリシログ記憶手段、
    前記文書に対するアクセスの内容を示すアクセスログを記憶するアクセスログ記憶手段、
    第1のクライアントからアクセスポリシの設定要求を受け付け、前記設定要求に応じて前記アクセスポリシ記憶手段に対する前記アクセスポリシの新規設定または記憶されている前記アクセスポリシの内容変更を行うアクセスポリシ管理手段、
    前記アクセスポリシ管理手段によって前記アクセスポリシの新規設定または内容変更が行われると、新規設定された内容または変更後の内容を前記ポリシログ記憶手段に格納するポリシログ取得手段、
    第2のクライアントから前記文書に関するアクセスポリシ取得要求が入力されると、前記アクセスポリシ記憶手段から前記文書に関する前記アクセスポリシを取得し、取得した前記アクセスポリシを前記第2のクライアントに対して送信するアクセスポリシ送信手段、
    前記第2のクライアントから前記文書に関するアクセスログを取得し、前記アクセスログ記憶手段に格納するアクセスログ取得手段、
    第3のクライアントから検索条件を受け取ると、前記検索条件に合致する前記ポリシログを前記ポリシログ記憶手段から取得し、前記検索条件に合致する前記アクセスログを前記アクセスログ記憶手段から取得し、取得した前記ポリシログと前記アクセスログとを前記第3のクライアントに送信するログ検索手段、
    として機能させることを特徴とする文書アクセス管理プログラム。
  2. 前記アクセスログ取得手段は、前記第2のクライアントから署名付きの前記アクセスログを取得し、前記署名が正しいか否かを判断することで前記アクセスログの正当性を判断することを特徴とする請求項1記載の文書アクセス管理プログラム。
  3. 前記アクセスポリシ管理手段は、前記アクセスログ取得手段において前記アクセスログが正当でないと判断された場合、前記第2のクライアントを用いた前記文書へのアクセスを禁止するように、前記アクセスポリシの内容を変更することを特徴とする請求項2記載の文書アクセス管理プログラム。
  4. 前記コンピュータを、さらに、
    前記第2のクライアントから前記アクセスログが送信された回数を示す項番を記憶する項番記憶手段として機能させ、
    前記アクセスログ取得手段は、前記第2のクライアントから取得した前記アクセスログに前記項番記憶手段に記憶されている項番を付加して得られたデータのハッシュ値を生成すると共に暗号化された前記署名を所定の鍵で復号し、生成した前記ハッシュ値と復号されたデータが一致する場合には、前記署名が正当であると判断することを特徴とする請求項2または3のいずれかに記載の文書アクセス管理プログラム。
  5. 前記コンピュータを、さらに、
    前回のアクセスログ取得時に生成されたハッシュ値を記憶するハッシュ値記憶手段として機能させ、
    前記アクセスログ取得手段は、前記第2のクライアントから取得した前記アクセスログに前記ハッシュ値記憶手段に記憶されているハッシュ値を付加して得られたデータのハッシュ値を生成すると共に暗号化された前記署名を所定の鍵で復号し、生成した前記ハッシュ値と復号されたデータが一致する場合には、前記署名が正当であると判断することを特徴とする請求項2または3のいずれかに記載の文書アクセス管理プログラム。
  6. 前記ログ検索手段は、定期的に前記アクセスポリシ記憶手段に格納されている前記アクセスポリシを参照し、前記アクセスポリシにおいて前記文書の閲覧が許可されているユーザのユーザ名を抽出し、前記ポリシログ記憶手段に格納されている前記アクセスログを参照し、前記文書の閲覧が許可されているユーザのうち、未閲覧のユーザのユーザ名を判断することを特徴とする請求項1乃至5のいずれかに記載の文書アクセス管理プログラム。
  7. 前記コンピュータを、さらに、
    前記ログ検索手段から前記文書を未閲覧のユーザのユーザ名を取得し、該当するユーザに対して前記文書の閲覧を促すメッセージを送信する閲覧指示通知手段として機能させることを特徴とする請求項6記載の文書アクセス管理プログラム。
  8. 前記コンピュータを、さらに、
    前記ログ検索手段から前記文書を未閲覧のユーザのユーザ名を取得し、未閲覧のユーザのリストを前記文書を作成した作成者に送信する未閲覧者リスト送信手段として機能させることを特徴とする請求項6または7のいずれかに記載の文書アクセス管理プログラム。
  9. 文書に対するアクセス状況を管理するための文書アクセス管理装置において、
    前記文書に対するアクセスの許可条件が定義されたアクセスポリシを記憶するアクセスポリシ記憶手段と、
    前記アクセスポリシの設定操作の内容を示すポリシログを記憶するポリシログ記憶手段と、
    前記文書に対するアクセスの内容を示すアクセスログを記憶するアクセスログ記憶手段と、
    第1のクライアントからアクセスポリシの設定要求を受け付け、前記設定要求に応じて前記アクセスポリシ記憶手段に対する前記アクセスポリシの新規設定または記憶されている前記アクセスポリシの内容変更を行うアクセスポリシ管理手段と、
    前記アクセスポリシ管理手段によって前記アクセスポリシの新規設定または内容変更が行われると、新規設定された内容または変更後の内容を前記ポリシログ記憶手段に格納するポリシログ取得手段と、
    第2のクライアントから前記文書に関するアクセスポリシ取得要求が入力されると、前記アクセスポリシ記憶手段から前記文書に関する前記アクセスポリシを取得し、取得した前記アクセスポリシを前記第2のクライアントに対して送信するアクセスポリシ送信手段と、
    前記第2のクライアントから前記文書に関するアクセスログを取得し、前記アクセスログ記憶手段に格納するアクセスログ取得手段と、
    第3のクライアントから検索条件を受け取ると、前記検索条件に合致する前記ポリシログを前記ポリシログ記憶手段から取得し、前記検索条件に合致する前記アクセスログを前記アクセスログ記憶手段から取得し、取得した前記ポリシログと前記アクセスログとを前記第3のクライアントに送信するログ検索手段と、
    を有することを特徴とする文書アクセス管理装置。
  10. 文書に対するアクセス状況を管理するための文書アクセス管理方法において、
    アクセスポリシ管理手段が、第1のクライアントからアクセスポリシの設定要求を受け付け、前記設定要求に応じて、前記文書に対するアクセスの許可条件が定義されたアクセスポリシを記憶するアクセスポリシ記憶手段に対する前記アクセスポリシの新規設定または記憶されている前記アクセスポリシの内容変更を行い、
    ポリシログ取得手段が、前記アクセスポリシ管理手段によって前記アクセスポリシの新規設定または内容変更が行われると、新規設定された内容または変更後の内容をポリシログ記憶手段に格納し、
    アクセスポリシ送信手段が、第2のクライアントから前記文書に関するアクセスポリシ取得要求が入力されると、前記アクセスポリシ記憶手段から前記文書に関する前記アクセスポリシを取得し、取得した前記アクセスポリシを前記第2のクライアントに対して送信し、
    アクセスログ取得手段が、前記第2のクライアントから前記文書に関するアクセスログを取得し、アクセスログ記憶手段に格納し、
    ログ検索手段が、第3のクライアントから検索条件を受け取ると、前記検索条件に合致する前記ポリシログを前記ポリシログ記憶手段から取得し、前記検索条件に合致する前記アクセスログを前記アクセスログ記憶手段から取得し、取得した前記ポリシログと前記アクセスログとを前記第3のクライアントに送信する、
    ことを特徴とする文書アクセス管理方法。
JP2006137961A 2006-05-17 2006-05-17 文書アクセス管理プログラム、文書アクセス管理装置および文書アクセス管理方法 Expired - Fee Related JP4838631B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2006137961A JP4838631B2 (ja) 2006-05-17 2006-05-17 文書アクセス管理プログラム、文書アクセス管理装置および文書アクセス管理方法
US11/543,313 US7966644B2 (en) 2006-05-17 2006-10-05 Method, apparatus, and computer program for managing access to documents

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006137961A JP4838631B2 (ja) 2006-05-17 2006-05-17 文書アクセス管理プログラム、文書アクセス管理装置および文書アクセス管理方法

Publications (2)

Publication Number Publication Date
JP2007310579A JP2007310579A (ja) 2007-11-29
JP4838631B2 true JP4838631B2 (ja) 2011-12-14

Family

ID=38777728

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006137961A Expired - Fee Related JP4838631B2 (ja) 2006-05-17 2006-05-17 文書アクセス管理プログラム、文書アクセス管理装置および文書アクセス管理方法

Country Status (2)

Country Link
US (1) US7966644B2 (ja)
JP (1) JP4838631B2 (ja)

Families Citing this family (73)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8910241B2 (en) 2002-04-25 2014-12-09 Citrix Systems, Inc. Computer security system
US8095960B2 (en) * 2005-11-21 2012-01-10 Novell, Inc. Secure synchronization and sharing of secrets
US9407662B2 (en) * 2005-12-29 2016-08-02 Nextlabs, Inc. Analyzing activity data of an information management system
US8201216B2 (en) * 2006-09-11 2012-06-12 Interdigital Technology Corporation Techniques for database structure and management
FR2908252B1 (fr) * 2006-11-02 2008-12-26 Alcatel Sa Procede de partage interactif temps reel de donnees multimedia serveur et reseau de communication interactif temps reel
US9514117B2 (en) * 2007-02-28 2016-12-06 Docusign, Inc. System and method for document tagging templates
US8655961B2 (en) 2007-07-18 2014-02-18 Docusign, Inc. Systems and methods for distributed electronic signature documents
US8949706B2 (en) 2007-07-18 2015-02-03 Docusign, Inc. Systems and methods for distributed electronic signature documents
US8516539B2 (en) * 2007-11-09 2013-08-20 Citrix Systems, Inc System and method for inferring access policies from access event records
US8990910B2 (en) 2007-11-13 2015-03-24 Citrix Systems, Inc. System and method using globally unique identities
JP4645644B2 (ja) 2007-12-25 2011-03-09 富士ゼロックス株式会社 セキュリティポリシー管理装置、セキュリティポリシー管理システム及びセキュリティポリシー管理プログラム
JP2009163570A (ja) * 2008-01-08 2009-07-23 Nec Corp 文書管理システム、情報処理装置、文書管理方法およびプログラム
JP5072632B2 (ja) * 2008-02-07 2012-11-14 キヤノン株式会社 アクセス権管理システム
US20090222879A1 (en) * 2008-03-03 2009-09-03 Microsoft Corporation Super policy in information protection systems
US9240945B2 (en) 2008-03-19 2016-01-19 Citrix Systems, Inc. Access, priority and bandwidth management based on application identity
US8943575B2 (en) * 2008-04-30 2015-01-27 Citrix Systems, Inc. Method and system for policy simulation
US8108777B2 (en) * 2008-08-11 2012-01-31 Microsoft Corporation Sections of a presentation having user-definable properties
US8990573B2 (en) 2008-11-10 2015-03-24 Citrix Systems, Inc. System and method for using variable security tag location in network communications
JP5293151B2 (ja) * 2008-12-19 2013-09-18 富士ゼロックス株式会社 コンテンツ保護装置及びコンテンツ保護プログラム
JP5316015B2 (ja) * 2009-01-20 2013-10-16 富士ゼロックス株式会社 情報処理装置及びプログラム
US20100313276A1 (en) * 2009-06-05 2010-12-09 Microsoft Corporation Web-Based Client for Creating and Accessing Protected Content
CN101626378B (zh) * 2009-08-14 2012-10-17 成都市华为赛门铁克科技有限公司 权限信息管理方法、装置及系统
US8601573B2 (en) * 2009-09-17 2013-12-03 International Business Machines Corporation Facial recognition for document and application data access control
JP2011203964A (ja) * 2010-03-25 2011-10-13 Canon Inc 文書管理システム及び方法
JP4898934B2 (ja) * 2010-03-29 2012-03-21 株式会社Ubic フォレンジックシステム及びフォレンジック方法並びにフォレンジックプログラム
WO2011127440A2 (en) * 2010-04-08 2011-10-13 University Of Washington Through Its Center For Commercialization Systems and methods for file access auditing
US9251131B2 (en) 2010-05-04 2016-02-02 Docusign, Inc. Systems and methods for distributed electronic signature documents including version control
AU2011265177C1 (en) 2010-06-11 2016-02-25 Docusign, Inc. Web-based electronically signed documents
US20110321117A1 (en) * 2010-06-23 2011-12-29 Itt Manufacturing Enterprises, Inc. Policy Creation Using Dynamic Access Controls
JP2012027650A (ja) * 2010-07-22 2012-02-09 Nec Corp コンテンツ管理装置およびコンテンツ管理方法
US8918835B2 (en) * 2010-12-16 2014-12-23 Futurewei Technologies, Inc. Method and apparatus to create and manage virtual private groups in a content oriented network
JP5708197B2 (ja) * 2011-04-21 2015-04-30 富士ゼロックス株式会社 情報処理装置およびプログラム
US9268758B2 (en) 2011-07-14 2016-02-23 Docusign, Inc. Method for associating third party content with online document signing
WO2013010172A2 (en) 2011-07-14 2013-01-17 Docusign, Inc. Online signature identity and verification in community
US9824198B2 (en) 2011-07-14 2017-11-21 Docusign, Inc. System and method for identity and reputation score based on transaction history
EP2748721B1 (en) 2011-08-25 2022-10-05 DocuSign, Inc. Mobile solution for signing and retaining third-party documents
US10511732B2 (en) 2011-08-25 2019-12-17 Docusign, Inc. Mobile solution for importing and signing third-party electronic signature documents
JP5812769B2 (ja) * 2011-08-31 2015-11-17 キヤノン株式会社 文書管理システム、文書管理方法、プログラム
US8347349B1 (en) 2011-10-28 2013-01-01 Google Inc. Configuring browser policy settings on client computing devices
US8701157B1 (en) * 2011-10-28 2014-04-15 Google Inc. Configuring policy settings on client computing devices
US8681350B2 (en) * 2012-02-29 2014-03-25 Canon Kabushiki Kaisha Systems and methods for enterprise sharing of a printing device
US9230130B2 (en) 2012-03-22 2016-01-05 Docusign, Inc. System and method for rules-based control of custody of electronic signature transactions
US9588835B2 (en) * 2012-04-04 2017-03-07 Varonis Systems, Inc. Enterprise level data element review systems and methodologies
CN104683482A (zh) * 2012-06-29 2015-06-03 北京奇虎科技有限公司 稍后阅读客户端实现系统、方法及稍后阅读客户端
US20140164052A1 (en) * 2012-12-12 2014-06-12 Hartford Fire Insurance Company System and Method for Managing and Displaying Company Policy Data
JP6063321B2 (ja) * 2013-03-27 2017-01-18 株式会社富士通エフサス サーバ装置およびハッシュ値処理方法
US9729327B2 (en) * 2013-10-29 2017-08-08 International Business Machines Corporation Computer-based optimization of digital signature generation for records based on eventual selection criteria for products and services
US9645708B2 (en) 2014-02-28 2017-05-09 Konica Minolta Laboratory U.S.A., Inc. User interface method for modifying a selection list of items to add or remove items while indicating original selection
JP2014130634A (ja) * 2014-03-13 2014-07-10 Casio Comput Co Ltd データ管理装置及びプログラム
US9471119B2 (en) * 2014-05-13 2016-10-18 International Business Machines Corporation Detection of deleted records in a secure record management environment
US20160048700A1 (en) * 2014-08-14 2016-02-18 Nagravision S.A. Securing personal information
US10114810B2 (en) * 2014-12-01 2018-10-30 Workiva Inc. Methods and a computing device for maintaining comments and graphical annotations for a document
KR102059688B1 (ko) * 2015-01-13 2019-12-27 한국전자통신연구원 사이버 블랙박스 시스템 및 그 방법
US10079833B2 (en) * 2015-03-30 2018-09-18 Konica Minolta Laboratory U.S.A., Inc. Digital rights management system with confirmation notification to document publisher during document protection and distribution
JP5952466B2 (ja) * 2015-06-17 2016-07-13 株式会社野村総合研究所 業務情報防護装置および業務情報防護方法、並びにプログラム
CN106649312B (zh) * 2015-10-29 2019-10-29 北京北方华创微电子装备有限公司 日志文件的分析方法和系统
CN105450513B (zh) * 2015-12-31 2019-02-26 华为技术有限公司 归档邮件附件的方法和云存储服务器
JP6895722B2 (ja) * 2016-07-19 2021-06-30 キヤノンメディカルシステムズ株式会社 病院情報システム
US11405201B2 (en) * 2016-11-10 2022-08-02 Brickell Cryptology Llc Secure transfer of protected application storage keys with change of trusted computing base
AU2016429414B2 (en) * 2016-11-10 2020-07-09 Brickell Cryptology Llc Balancing public and personal security needs
US11398906B2 (en) * 2016-11-10 2022-07-26 Brickell Cryptology Llc Confirming receipt of audit records for audited use of a cryptographic key
US10855465B2 (en) * 2016-11-10 2020-12-01 Ernest Brickell Audited use of a cryptographic key
US10652245B2 (en) 2017-05-04 2020-05-12 Ernest Brickell External accessibility for network devices
US10630483B2 (en) * 2017-10-23 2020-04-21 Legitipix, LLC Anonymous image/video digital signature insertion and authentication
JP6782219B2 (ja) * 2017-11-29 2020-11-11 株式会社日立製作所 データ活用支援装置、データ活用支援システム、及びデータ活用支援方法
KR101920613B1 (ko) * 2018-06-01 2018-11-21 주식회사 시큐브 보안정책 및 감사로그 양방향 조회, 대조, 추적 시스템 및 그 방법
JP7000997B2 (ja) * 2018-06-05 2022-01-19 日本電信電話株式会社 検索装置、検索方法及び検索プログラム
JPWO2020050105A1 (ja) * 2018-09-03 2021-08-26 日本電気株式会社 ファイル閲覧システム、ファイル閲覧方法及び記憶媒体
EP3683712B1 (en) * 2019-01-16 2021-10-20 Siemens Aktiengesellschaft Protecting integrity of log data
JP7436429B2 (ja) * 2021-06-30 2024-02-21 弁護士ドットコム株式会社 プログラム、情報処理装置、方法
JP2023006091A (ja) * 2021-06-30 2023-01-18 弁護士ドットコム株式会社 プログラム、情報処理装置、方法
US11843606B2 (en) * 2022-03-30 2023-12-12 Extrahop Networks, Inc. Detecting abnormal data access based on data similarity
CN117034355B (zh) * 2023-10-08 2024-01-16 江西省工业和信息化研究院 一种多源工业信息的数据管理方法及系统

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002175300A (ja) 2000-12-07 2002-06-21 Xnet Corp 文書管理システム及びその管理システムのためのプログラム
JP2003016057A (ja) * 2001-07-03 2003-01-17 Planet Computer:Kk 電子文書配信システム
JP2003143126A (ja) * 2001-11-05 2003-05-16 Telecommunication Advancement Organization Of Japan セキュリティ保持方法及びその実施システム並びにその処理プロセス
US7814043B2 (en) * 2001-11-26 2010-10-12 Fujitsu Limited Content information analyzing method and apparatus
JP4664572B2 (ja) * 2001-11-27 2011-04-06 富士通株式会社 文書配布方法および文書管理方法
JP4152099B2 (ja) * 2001-12-11 2008-09-17 株式会社リコー アクセス制御履歴保証方法
AU2003245574A1 (en) * 2002-06-21 2004-01-06 Probix, Inc. Method and system for protecting digital objects distributed over a network using an electronic mail interface
JP4400059B2 (ja) * 2002-10-17 2010-01-20 株式会社日立製作所 ポリシー設定支援ツール
JP2004139292A (ja) * 2002-10-17 2004-05-13 Hitachi Ltd アクセス制御のポリシー診断システム
JP4465952B2 (ja) * 2002-10-28 2010-05-26 富士ゼロックス株式会社 文書管理システムおよび方法
US7412433B2 (en) * 2002-11-19 2008-08-12 International Business Machines Corporation Hierarchical storage management using dynamic tables of contents and sets of tables of contents
US7100047B2 (en) * 2003-01-23 2006-08-29 Verdasys, Inc. Adaptive transparent encryption
JP2004295464A (ja) * 2003-03-27 2004-10-21 Hitachi Ltd 計算機システム
JP2006107305A (ja) * 2004-10-08 2006-04-20 Hitachi Ltd データ記憶装置
US7555769B1 (en) * 2004-12-16 2009-06-30 Adobe Systems Incorporated Security policy user interface
US20060236369A1 (en) * 2005-03-24 2006-10-19 Covington Michael J Method, apparatus and system for enforcing access control policies using contextual attributes
US7636736B1 (en) * 2005-09-21 2009-12-22 Symantec Operating Corporation Method and apparatus for creating and using a policy-based access/change log
US9407662B2 (en) * 2005-12-29 2016-08-02 Nextlabs, Inc. Analyzing activity data of an information management system
WO2007120360A2 (en) * 2005-12-29 2007-10-25 Blue Jungle Information management system
US20070266421A1 (en) * 2006-05-12 2007-11-15 Redcannon, Inc. System, method and computer program product for centrally managing policies assignable to a plurality of portable end-point security devices over a network
US20080155641A1 (en) * 2006-12-20 2008-06-26 International Business Machines Corporation Method and system managing a database system using a policy framework

Also Published As

Publication number Publication date
US20070271592A1 (en) 2007-11-22
JP2007310579A (ja) 2007-11-29
US7966644B2 (en) 2011-06-21

Similar Documents

Publication Publication Date Title
JP4838631B2 (ja) 文書アクセス管理プログラム、文書アクセス管理装置および文書アクセス管理方法
JP4742682B2 (ja) コンテンツ保護装置及びコンテンツ保護解除装置
JP4973032B2 (ja) アクセス権限管理プログラム、アクセス権限管理装置およびアクセス権限管理方法
US7487366B2 (en) Data protection program and data protection method
RU2500075C2 (ru) Создание и проверка достоверности документов, защищенных криптографически
US20120317414A1 (en) Method and system for securing documents on a remote shared storage resource
US20070219917A1 (en) Digital License Sharing System and Method
WO2017156160A1 (en) Management of workflows
JP3955906B1 (ja) ソフトウエア管理システムおよびソフトウエア管理プログラム
JP2008060745A (ja) 情報処理システムおよび情報処理プログラム
JP2002041347A (ja) 情報提供システムおよび装置
US20050060544A1 (en) System and method for digital content management and controlling copyright protection
JP4584196B2 (ja) 情報処理システム、情報処理方法、およびプログラム
WO2020085226A1 (ja) 制御方法、コンテンツ管理システム、プログラム、及び、データ構造
JP3809495B1 (ja) ソフトウエア管理システム
JP2015158873A (ja) 管理システム、管理方法、およびプログラム
JP2007188307A (ja) データファイル監視装置
JP6464544B1 (ja) 情報処理装置、情報処理方法、情報処理プログラム、及び情報処理システム
JP3840580B1 (ja) ソフトウエア管理システムおよびソフトウエア管理プログラム
JP2021140299A (ja) データマッチングシステム、情報処理装置およびデータマッチング方法
KR101544750B1 (ko) 더미 인증키를 이용한 클라우드 시스템의 보안 장치 및 방법
Van Beek Comparison of enterprise digital rights management systems
WO2023119554A1 (ja) 制御方法、情報処理装置および制御プログラム
JP6562370B1 (ja) 情報処理装置、情報処理方法、情報処理プログラム、及び情報処理システム
US20240143805A1 (en) Document protection mechanism

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090108

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110530

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110607

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110808

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110927

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110930

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141007

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees