JP5424325B2 - Security management device, security management method and program - Google Patents

Security management device, security management method and program Download PDF

Info

Publication number
JP5424325B2
JP5424325B2 JP2009226268A JP2009226268A JP5424325B2 JP 5424325 B2 JP5424325 B2 JP 5424325B2 JP 2009226268 A JP2009226268 A JP 2009226268A JP 2009226268 A JP2009226268 A JP 2009226268A JP 5424325 B2 JP5424325 B2 JP 5424325B2
Authority
JP
Japan
Prior art keywords
information
time
file
security management
extracted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009226268A
Other languages
Japanese (ja)
Other versions
JP2011076317A (en
Inventor
伸 三国
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Casio Mobile Communications Ltd
Original Assignee
NEC Casio Mobile Communications Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Casio Mobile Communications Ltd filed Critical NEC Casio Mobile Communications Ltd
Priority to JP2009226268A priority Critical patent/JP5424325B2/en
Publication of JP2011076317A publication Critical patent/JP2011076317A/en
Application granted granted Critical
Publication of JP5424325B2 publication Critical patent/JP5424325B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本発明は、記憶装置に記憶された情報のセキュリティを管理するセキュリティ管理装置、セキュリティ管理方法及びプログラムに関する。   The present invention relates to a security management device, a security management method, and a program for managing security of information stored in a storage device.

情報を蓄積する情報家電では、バックアップ管理やセキュリティ管理など、蓄積する情報の管理が課題の1つとなっている(例えば、特許文献1、2参照)。   For information appliances that store information, management of stored information such as backup management and security management is one of the issues (see, for example, Patent Documents 1 and 2).

一方、記録されてから長時間が経過した古い映像情報を圧縮することで、空き容量を確保する映像記録装置が開示されている(例えば、特許文献3参照)。同様に、パーソナルコンピュータ(PC)の記憶装置(例えばハードディスク)においても、しばらくアクセスされていない古いファイルに対する対策が必要となっている。   On the other hand, a video recording apparatus that secures a free space by compressing old video information that has been recorded for a long time has been disclosed (for example, see Patent Document 3). Similarly, in a storage device (for example, a hard disk) of a personal computer (PC), it is necessary to take measures against an old file that has not been accessed for a while.

特表2004−504645号公報JP-T-2004-504645 特開2008−123049号公報JP 2008-123049 A 特開2007−235225号公報JP 2007-235225 A

PCでは、しばらくアクセスされていない古いファイルの内容や存在は、忘れさられてしまうことが多い。このような状態では、ファイルが外部に流出しても気づかないことが多くなり、どのようなファイルが流出したのかを突き止めるのが困難になる。しかしながら、このようなファイルの中には、機密にすべきファイルが含まれている場合もある。したがって、ハードディスクの盗難や不正アクセスに対する古いファイルのセキュリティ管理を充実させる必要がある。   In a PC, the contents and existence of old files that have not been accessed for a while are often forgotten. In such a state, even if a file leaks to the outside, it is often not noticed, and it becomes difficult to determine what kind of file has leaked. However, such files may contain files that should be kept secret. Therefore, it is necessary to enhance security management of old files against hard disk theft and unauthorized access.

PCでは、記憶されるファイルが莫大な数に上るため、機密にすべき古いファイルを検索し見つけ出すのも困難である。   Since the PC stores a huge number of files, it is difficult to search for and find old files that should be kept secret.

本発明は、上記事情に鑑みてなされたものであり、記憶装置に記憶された古い情報のセキュリティを効率的に管理することができるセキュリティ管理装置、セキュリティ管理方法及びプログラムを提供することを目的とする。   The present invention has been made in view of the above circumstances, and an object thereof is to provide a security management device, a security management method, and a program capable of efficiently managing the security of old information stored in a storage device. To do.

上記目的を達成するため、本発明の第1の観点に係るセキュリティ管理装置は、
記憶装置に記憶された情報の中から、アクセスが行われた最終アクセス日時が、所定の時点より以前である情報を抽出する抽出部と、
前記抽出部により抽出された情報の利用が制限されるように、前記情報の内容を変更する変更部と、
を備え
前記抽出部は、
アクセスが行われた最終アクセス日時が、第1の時点より以前である情報を、候補として抽出し、
抽出された候補の中から、アクセスが行われた最終アクセス日時が、第2の時点より以前である情報を、変更対象として抽出するIn order to achieve the above object, a security management device according to the first aspect of the present invention provides:
An extraction unit for extracting information whose last access date and time when access was performed is earlier than a predetermined time from the information stored in the storage device;
A changing unit that changes the content of the information so that use of the information extracted by the extracting unit is restricted;
Equipped with a,
The extraction unit includes:
Information that the last access date and time when access was performed is earlier than the first time point is extracted as a candidate,
Among the extracted candidates, information whose last access date and time when access was performed is earlier than the second time point is extracted as a change target .

この場合、前記抽出部は、
前記記憶装置に記憶された情報を処理する情報処理装置のCPUが空き状態にあるときに、前記CPUを用いて、アクセスが行われた最終アクセス日時が、所定の時点より以前である情報を抽出する、
こととしてもよい。 In this case, the extraction unit
When the CPU of the information processing apparatus that processes the information stored in the storage device is in an empty state, the CPU extracts information whose last access date and time when access was performed is earlier than a predetermined time To
It is good as well.

また、前記変更部は、
前記記憶装置に記憶された情報を処理する情報処理装置のCPUが空き状態にあるときに、前記CPUを用いて、前記抽出部により抽出された情報の内容を変更する、
こととしてもよい。 In addition, the changing unit
When the CPU of the information processing apparatus that processes the information stored in the storage device is in an empty state, the content of the information extracted by the extraction unit is changed using the CPU.
It is good as well.

また、前記記録装置に記憶された情報は、分類して管理され、
前記抽出部は、
分類毎にアクセスが行われた最終アクセス日時が、所定の時点より以前である情報が含まれている分類を抽出し、
前記変更部は、
抽出された分類に含まれる情報のうち、最終アクセス日時が所定の時点より以前であるすべての情報の内容を変更する、
こととしてもよい。 The information stored in the recording device is classified and managed,
The extraction unit includes:
Extract the classification that contains the information that the last access date and time accessed for each classification is earlier than the predetermined time,
The changing unit is
Of the information included in the extracted classification, change the content of all the information whose last access date and time is earlier than the predetermined time,
It is good as well.

また、前記変更部により、利用が制限されるように変更された情報に対するアクセスが行われたときに、その利用の制限を解除する解除部をさらに備える、
こととしてもよい。 In addition, when access is made to the information changed so that the use is restricted by the change unit, the change unit further includes a release unit that releases the use restriction.
It is good as well.

また、前記変更部は、
前記情報を暗号化することとしてもよい。 In addition, the changing unit
The information may be encrypted.

また、前記変更部は、
利用時に認証が必要となるように、前記情報の内容を変更する、
こととしてもよい。 In addition, the changing unit
Change the content of the information so that authentication is required when using it.
It is good as well.

本発明の第2の観点に係るセキュリティ管理方法は、
記憶装置に記憶された情報の中から、アクセスが行われた最終アクセス日時が、所定の時点より以前である情報を抽出する抽出工程と、
前記抽出工程において抽出された情報の利用が制限されるように、前記情報の内容を変更する変更工程と、
を含み、
前記抽出工程では、
アクセスが行われた最終アクセス日時が、第1の時点より以前である情報を、候補として抽出し、
抽出された候補の中から、アクセスが行われた最終アクセス日時が、第2の時点より以前である情報を、変更対象として抽出するThe security management method according to the second aspect of the present invention is:
An extraction step of extracting information from the information stored in the storage device that the last access date and time of access is earlier than a predetermined time point;
A change step of changing the content of the information so that use of the information extracted in the extraction step is limited;
Only including,
In the extraction step,
Information that the last access date and time when access was performed is earlier than the first time point is extracted as a candidate,
Among the extracted candidates, information whose last access date and time when access was performed is earlier than the second time point is extracted as a change target .

本発明の第3の観点に係るプログラムは、
記憶装置に記憶された情報の中から、アクセスが行われた最終アクセス日時が、所定の時点より以前である情報を抽出する抽出手順と、
前記抽出手順で抽出された情報の利用が制限されるように、前記情報の内容を変更する変更手順と、
をコンピュータに実行させ
前記抽出手順では、
アクセスが行われた最終アクセス日時が、第1の時点より以前である情報を、候補として抽出し、
抽出された候補の中から、アクセスが行われた最終アクセス日時が、第2の時点より以前である情報を、変更対象として抽出するThe program according to the third aspect of the present invention is:
An extraction procedure for extracting, from the information stored in the storage device, information whose last access date and time when access was performed is earlier than a predetermined time point;
A change procedure for changing the content of the information so that use of the information extracted in the extraction procedure is limited;
To the computer ,
In the extraction procedure,
Information that the last access date and time when access was performed is earlier than the first time point is extracted as a candidate,
Among the extracted candidates, information whose last access date and time when access was performed is earlier than the second time point is extracted as a change target .

本発明によれば、所定の期間アクセスされていない古い情報を、暗号化する。このため、古い情報のセキュリティレベルを向上させることができる。また、古い情報だけを暗号化するので、効率的なセキュリティ管理が可能となる。   According to the present invention, old information that has not been accessed for a predetermined period is encrypted. For this reason, the security level of old information can be improved. In addition, since only old information is encrypted, efficient security management is possible.

本発明の一実施形態に係るコンピュータの構成を示すブロック図である。It is a block diagram which shows the structure of the computer concerning one Embodiment of this invention. 図1のファイル記憶部のハードウエア構成の一例である。It is an example of the hardware constitutions of the file storage part of FIG. 図1のファイル記憶部のフォルダ構成の一例である。It is an example of the folder structure of the file storage part of FIG. ファイルのフォーマットの一例を示す図である。It is a figure which shows an example of the format of a file. 候補リストのフォーマットの一例を示す図である。It is a figure which shows an example of a format of a candidate list. 初回起動処理のフローチャートである。It is a flowchart of a first time starting process. リスト生成処理のフローチャートである。It is a flowchart of a list generation process. フォルダ調査処理のフローチャートである。It is a flowchart of a folder investigation process. PC起動処理のフローチャートである。It is a flowchart of PC starting processing. 自動暗号化処理のフローチャートである。It is a flowchart of an automatic encryption process. ファイルオープン処理のフローチャートである。It is a flowchart of a file open process. 図12(A)、図12(B)は、候補リストの登録例を示す図である。12A and 12B are diagrams illustrating registration examples of candidate lists.

次に、本発明の一実施形態について、図面を参照して詳細に説明する。本実施形態に係るセキュリティ管理装置は、セキュリティ管理の管理対象となっているコンピュータに実装されている。   Next, an embodiment of the present invention will be described in detail with reference to the drawings. The security management apparatus according to the present embodiment is mounted on a computer that is a management target of security management.

図1に示すように、本実施形態に係るセキュリティの管理対象となるコンピュータ100は、操作部1と、表示部2と、時計部3と、ファイル記憶部4と、主制御部5と、を備える。   As shown in FIG. 1, a computer 100 that is a security management target according to the present embodiment includes an operation unit 1, a display unit 2, a clock unit 3, a file storage unit 4, and a main control unit 5. Prepare.

操作部1は、キーボードや、マウス等のポインティングデバイスを備えている。操作部1は、それらの操作による入力を受け付け、主制御部5に出力する。   The operation unit 1 includes a keyboard and a pointing device such as a mouse. The operation unit 1 receives inputs from those operations and outputs them to the main control unit 5.

表示部2は、表示画面を有するディスプレイである。表示部2は、GUI(Graphical User Interface)により構成されたグラフィックにより、情報を表示する。   The display unit 2 is a display having a display screen. The display unit 2 displays information using graphics configured by a GUI (Graphical User Interface).

時計部3は、タイマを有する。時計部3は、このタイマにより、現在時刻を取得可能である。   The clock unit 3 has a timer. The clock unit 3 can acquire the current time using this timer.

ファイル記憶部4は、ハードディスク等からなる記憶装置である。ファイル記憶部4には、各種ファイルが格納されている。図1では、ファイル記憶部4に記憶されるファイルが、ファイル群10と、セキュリティ管理タスク11と、他タスク群12と、候補リスト13と、に大別されている。   The file storage unit 4 is a storage device composed of a hard disk or the like. Various files are stored in the file storage unit 4. In FIG. 1, the files stored in the file storage unit 4 are roughly divided into a file group 10, a security management task 11, another task group 12, and a candidate list 13.

ファイル群10は、本実施形態において、セキュリティ管理の対象となるファイルをまとめたものである。   The file group 10 is a collection of files that are targets of security management in this embodiment.

セキュリティ管理タスク11は、本実施形態に係るファイル群10のセキュリティ管理処理を行うために用意されたタスクプログラムのファイルである。セキュリティ管理タスク11のファイルには、初回起動処理及び自動暗号化処理の処理手順が格納されている。初回起動処理には、リスト生成処理やフォルダ調査処理などのサブルーチンも含まれている。自動暗号化処理が、ファイルの暗号化処理を行う。さらに、セキュリティ管理タスク11には、閾値(候補閾値、処理閾値)などが定義されている。初回起動処理、自動暗号化処理、候補閾値、処理閾値の詳細については後述する。   The security management task 11 is a task program file prepared for performing security management processing of the file group 10 according to the present embodiment. The file of the security management task 11 stores the procedure for the initial activation process and the automatic encryption process. The initial activation process includes subroutines such as a list generation process and a folder investigation process. Automatic encryption processing performs file encryption processing. Furthermore, threshold values (candidate threshold values, processing threshold values) and the like are defined in the security management task 11. Details of the initial activation process, automatic encryption process, candidate threshold, and process threshold will be described later.

他タスク群12は、セキュリティ管理タスク11以外のタスクの処理手順やそのタスクで用いられる各種データをまとめたものである。この他タスク群12の中には、PCの電源が投入された時に実行されるPC起動処理や、ファイル記憶部4に記憶されたファイルをオープンするファイルオープン処理等が含まれている。PC起動処理や、ファイルオープン処理の詳細についても後述する。   The other task group 12 is a collection of processing procedures for tasks other than the security management task 11 and various data used in the tasks. The other task group 12 includes a PC activation process executed when the PC is turned on, a file open process for opening a file stored in the file storage unit 4, and the like. Details of the PC activation process and the file open process will be described later.

候補リスト13は、セキュリティ管理タスク11により用いられるリストである。候補リスト13には、暗号化対象の候補となったフォルダがリストアップされる。   The candidate list 13 is a list used by the security management task 11. The candidate list 13 lists folders that are candidates for encryption.

ファイル記憶部4のハードウエア構成は任意である。例えば、図2に示すように、ファイル記憶部4を、ハードディスク装置などの記憶装置30、31の2台で構成することができる。図2に示す例では、記憶装置30は、仮想ドライブのCドライブとして設定されており、記憶装置31は、仮装ドライブのDドライブとして設定されている。本発明は、図2に示すハードウエア構成には限定されない。   The hardware configuration of the file storage unit 4 is arbitrary. For example, as shown in FIG. 2, the file storage unit 4 can be composed of two storage devices 30, 31 such as a hard disk device. In the example shown in FIG. 2, the storage device 30 is set as the C drive of the virtual drive, and the storage device 31 is set as the D drive of the temporary drive. The present invention is not limited to the hardware configuration shown in FIG.

また、図3に示すように、ファイル記憶部4に記憶される各種ファイルは、フォルダに納められている。各フォルダには、複数のファイルを格納可能である。1つのフォルダには、平均で約10ファイル前後が格納される。例えば、FolderAには、「file1」、「file2」が格納されている。フォルダは、階層構造とすることができる。例えば、FolderBの下には、FolderCが収納されている。このFolderCには、「file3」、「file4」が格納されている。   As shown in FIG. 3, various files stored in the file storage unit 4 are stored in folders. Each folder can store a plurality of files. In one folder, about 10 files are stored on average. For example, “file1” and “file2” are stored in Folder A. Folders can have a hierarchical structure. For example, Folder C is stored under Folder B. In FolderC, “file3” and “file4” are stored.

主制御部5は、CPU及びメモリ(いずれも不図示)を有する。CPUがメモリに格納されたプログラムを実行することにより、諸機能を実現する。このCPUは、マルチタスクのオペレーティングシステム(OS)を実行する能力を有するCPUである。   The main control unit 5 includes a CPU and a memory (both not shown). Various functions are realized by the CPU executing the program stored in the memory. This CPU is a CPU having the ability to execute a multitasking operating system (OS).

ファイル記憶部4に記憶されるファイルには、プログラムファイルやデータファイルが含まれている。   Files stored in the file storage unit 4 include program files and data files.

プログラムファイルに記述された各種プログラムは、主制御部5のメモリに読み込まれ、操作部1の操作入力に従って、CPUによって実行される。セキュリティ管理タスク11、他タスク群12は、このプログラムファイルに相当する。   Various programs described in the program file are read into the memory of the main control unit 5 and executed by the CPU according to the operation input of the operation unit 1. The security management task 11 and other task group 12 correspond to this program file.

データファイルに記述された各種データは、CPUによるプログラムの実行により、必要に応じて主制御部5のメモリに読み込まれ、必要に応じて値が更新される。候補リスト13は、このデータファイルに相当する。プログラムの実行結果は、表示部2に表示される。このプログラムの実行中、必要に応じて、現在時刻が時計部3より取得される。   Various data described in the data file is read into the memory of the main control unit 5 as necessary by execution of a program by the CPU, and values are updated as necessary. The candidate list 13 corresponds to this data file. The execution result of the program is displayed on the display unit 2. During execution of this program, the current time is acquired from the clock unit 3 as necessary.

なお、ファイル群10には、プログラムファイルも、データファイルも含まれる。   The file group 10 includes a program file and a data file.

図1に戻り、主制御部5は、ファイルシステム20と、タスク管理部21と、ビジー検知部22と、セキュリティ管理部23と、を備える。   Returning to FIG. 1, the main control unit 5 includes a file system 20, a task management unit 21, a busy detection unit 22, and a security management unit 23.

ファイルシステム20は、ファイル記憶部4に記憶されたファイルを管理する。ファイルシステム20の管理により、ファイル記憶部4における仮想ドライブ(図2参照)が実現され、ファイル記憶部4における階層的なフォルダ構造(図3参照)が実現されている。   The file system 20 manages the files stored in the file storage unit 4. By managing the file system 20, a virtual drive (see FIG. 2) in the file storage unit 4 is realized, and a hierarchical folder structure (see FIG. 3) in the file storage unit 4 is realized.

タスク管理部21は、CPUによって実行されるタスク(プログラム)の起動・終了を管理する。例えば、セキュリティ管理タスク11及び他タスク群12のタスクプログラムが、タスク管理部21の管理の下で、起動され、終了する。   The task management unit 21 manages activation and termination of tasks (programs) executed by the CPU. For example, the task programs of the security management task 11 and the other task group 12 are started and ended under the management of the task management unit 21.

ビジー検知部22は、現時点において、主制御部5のCPUの処理能力に余りがあるかどうかを検知する。この検知結果を参照すれば、CPUのタスク実行の空き状態を検出することができる。   The busy detection unit 22 detects whether there is a surplus in the CPU processing capacity of the main control unit 5 at the present time. By referring to the detection result, it is possible to detect the idle state of the task execution of the CPU.

ファイルシステム20、タスク管理部21及びビジー検知部22は、現在流通するOS(例えば、Windows(登録商標)など)に標準で搭載されているのが一般的である。   The file system 20, the task management unit 21, and the busy detection unit 22 are generally installed as standard on currently distributed OSs (for example, Windows (registered trademark)).

セキュリティ管理部23は、ファイル群10のセキュリティを管理する。セキュリティ管理部23の機能は、ファイル記憶部4のセキュリティ管理タスク11が、メモリに読み込まれ、CPUによって実行されることにより実現される。   The security management unit 23 manages the security of the file group 10. The function of the security management unit 23 is realized by the security management task 11 of the file storage unit 4 being read into the memory and executed by the CPU.

各ファイルには、プログラムファイル、データファイルを問わず、そのコンテンツに加え、管理情報が記憶されている。図4に示すように、例えば、DドライブのFolderCに格納された「file4」にも、管理情報とファイルコンテンツとが登録されている。   Each file stores management information in addition to its contents regardless of whether it is a program file or a data file. As shown in FIG. 4, for example, management information and file content are also registered in “file 4” stored in Folder C of the D drive.

管理情報には、例えば、ファイル名(11bytes)、ファイル属性(1bytes)、ファイル作成日時(4bytes)、ファイルアクセス日時(4bytes)、ファイル記録クラスタ(4bytes)、ファイルサイズ(4bytes)等が含まれている。図4に示すそれぞれのデータのサイズは、あくまで一例であり、変更してもよい。   The management information includes, for example, a file name (11 bytes), a file attribute (1 bytes), a file creation date and time (4 bytes), a file access date and time (4 bytes), a file recording cluster (4 bytes), a file size (4 bytes), and the like. Yes. The size of each data shown in FIG. 4 is merely an example and may be changed.

このように、管理情報には、ファイルのフォーマットがどのようなフォーマットであっても、ファイルに関する日時が必ず記録されており、その日時の中には、そのファイルがアクセスされた最近の日時である最終アクセス日時が含まれている。最終アクセス日時として記録される時刻は、そのファイルがアクセスされたとき(すなわちファイルオープンされる時)に、時計部3によって取得された時刻である。   As described above, the management information always records the date and time related to the file regardless of the format of the file, and the date and time includes the most recent date and time when the file was accessed. The last access date / time is included. The time recorded as the last access date and time is the time acquired by the clock unit 3 when the file is accessed (that is, when the file is opened).

セキュリティ管理部23は、ファイルの管理情報に含まれる最終アクセス日時を用いて、各ファイルのセキュリティを管理する。セキュリティ管理部23の機能は、主制御部5のCPUが、ファイル記憶部4に記憶されたセキュリティ管理タスク11等を実行することにより実現される。   The security management unit 23 manages the security of each file using the last access date and time included in the file management information. The function of the security management unit 23 is realized by the CPU of the main control unit 5 executing the security management task 11 and the like stored in the file storage unit 4.

より具体的には、セキュリティ管理部23は、抽出部25と、変更部26と、を備える。抽出部25は、ファイル記憶部4に記憶されたファイル群10の各ファイルの中から、アクセスが行われた最終アクセス日時が所定の時点より前であるファイルを抽出する。変更部26は、抽出されたファイルを、暗号化する。   More specifically, the security management unit 23 includes an extraction unit 25 and a change unit 26. The extraction unit 25 extracts, from the files in the file group 10 stored in the file storage unit 4, a file whose access date and time of last access is before a predetermined time. The changing unit 26 encrypts the extracted file.

ところで、抽出部25は、ビジー検知部22によって、CPUが空き状態にあると検知されている期間で、アクセスが行われた最終アクセス日時が、所定の時点より前であるファイルを抽出する。   By the way, the extraction unit 25 extracts a file whose access date and time of the last access is before a predetermined point in a period in which the busy detection unit 22 detects that the CPU is free.

また、変更部26は、ビジー検知部22によって、CPUが空き状態にあると検知されている期間で、抽出されたファイルを暗号化する。   In addition, the changing unit 26 encrypts the extracted file in a period during which the busy detection unit 22 detects that the CPU is free.

また、抽出部25は、フォルダ単位で、アクセスが行われた最終アクセス日時が、所定の時点より前のファイルを抽出する。より具体的には、抽出部25は、フォルダ内に、アクセスが行われた最終アクセス日時が所定の時点より前のファイルが1つでもあれば、そのフォルダを候補リスト13に追加し、候補リスト13に、そのフォルダ内のファイルの最終アクセス日時のうちの最古のアクセス日時、すなわち最古アクセス日時を登録する。   In addition, the extraction unit 25 extracts, for each folder, a file whose access date and time of last access is earlier than a predetermined time. More specifically, the extraction unit 25 adds the folder to the candidate list 13 if there is at least one file in the folder whose last access date and time before access is a predetermined point in time. 13, the oldest access date / time of the last access date / time of the file in the folder, that is, the oldest access date / time is registered.

アクセス頻度の高いファイルが収納されているフォルダは、他にもアクセス頻度が高いファイルを有する傾向があり、アクセスされていないファイルが収納されているフォルダは、今後もアクセスされないという傾向がある。そこで、セキュリティ管理部23は、最古アクセス日時が所定の時点よりも前であるフォルダを検索し、最終アクセス日時が所定の時点より前であるフォルダ内のファイルについては、すべて暗号化する。   A folder in which a frequently accessed file is stored tends to have other frequently accessed files, and a folder in which a file that is not accessed is stored tends not to be accessed in the future. Therefore, the security management unit 23 searches for a folder whose earliest access date and time is before a predetermined time, and encrypts all files in the folder whose last access date and time is before the predetermined time.

さらに、抽出部25は、2段階で、ファイルの抽出を行う。より具体的には、まず、第1段階として、抽出部25は、ファイルの最終アクセス日時が、候補閾値に基づく時点、すなわち候補限界日付(第1の時点)よりも前である場合に、そのファイルが属するフォルダを候補リスト13に登録する。候補閾値とは、暗号化されるファイルの候補を作成するための閾値である。   Furthermore, the extraction unit 25 performs file extraction in two stages. More specifically, as the first stage, the extraction unit 25 first determines that the last access date and time of the file is earlier than the time point based on the candidate threshold, that is, the candidate limit date (first time point). The folder to which the file belongs is registered in the candidate list 13. The candidate threshold value is a threshold value for creating a file candidate to be encrypted.

候補リスト13には、図5に示すように、最古アクセス日時(4bytes)と、フォルダパス名長(4bytes)と、フォルダ名(可変長)とが登録される。   As shown in FIG. 5, the oldest access date (4 bytes), the folder path name length (4 bytes), and the folder name (variable length) are registered in the candidate list 13.

続いて、第2段階として、抽出部25は、候補リスト13に登録されたフォルダのうち、最古アクセス日時が処理閾値に基づく時点、処理限界日付(第2の時点)よりも前であるフォルダを調査し、最終アクセス日時が、処理限界日付(第2の時点)よりも前であるファイルがある場合に、そのファイルをすべて暗号化する。すなわち、処理閾値とは、暗号化処理を実際に行うか否かを判断するための閾値である。   Subsequently, as the second stage, the extraction unit 25, among the folders registered in the candidate list 13, has a time when the oldest access date / time is based on the processing threshold and is before the processing limit date (second time). If there is a file whose last access date is before the processing limit date (second time point), all the files are encrypted. That is, the processing threshold is a threshold for determining whether or not to actually perform the encryption process.

さらに、セキュリティ管理部23は、解除部27を備える。解除部27は、変更部26によって暗号化されたファイルがアクセスされ、そのファイルのファイルオープン処理が実行されたときに、そのファイルを復号化する。   Further, the security management unit 23 includes a release unit 27. The canceling unit 27 decrypts the file when the file encrypted by the changing unit 26 is accessed and the file open process of the file is executed.

次に、本実施形態に係るコンピュータ100の動作について、図6乃至図11のフローチャートを、主に参照して説明する。   Next, the operation of the computer 100 according to the present embodiment will be described with reference mainly to the flowcharts of FIGS.

まず、コンピュータ100では、本実施形態に係るセキュリティ管理機能を有効にしたり、無効にしたりすることができる。セキュリティ管理機能を有効にすると、主制御部5は、図6に示すセキュリティ管理タスク11の初回起動処理を実行する。   First, in the computer 100, the security management function according to the present embodiment can be enabled or disabled. When the security management function is validated, the main control unit 5 executes the initial activation process of the security management task 11 shown in FIG.

この初回起動処理では、図6に示すように、まず、リスト生成処理のサブルーチンを実行する(ステップS1)。   In this initial activation process, as shown in FIG. 6, first, a list generation process subroutine is executed (step S1).

リスト生成処理では、図7に示すように、抽出部25は、候補限界日付を算出する(ステップS10)。ここで、抽出部25は、時計部3から現在の日付を取得し、そこから候補閾値(例えば2年)を減算することにより、候補限界日付を算出する。   In the list generation process, as illustrated in FIG. 7, the extraction unit 25 calculates candidate limit dates (step S10). Here, the extraction unit 25 obtains the current date from the clock unit 3, and calculates a candidate limit date by subtracting a candidate threshold value (for example, two years) therefrom.

続いて、抽出部25は、ドライブのルートフォルダを処理対象に設定する(ステップS11)。続いて、抽出部25は、フォルダ調査処理のサブルーチンを実行する(ステップS12)。   Subsequently, the extraction unit 25 sets the root folder of the drive as a processing target (step S11). Subsequently, the extraction unit 25 executes a subroutine for folder investigation processing (step S12).

フォルダ調査処理では、図8に示すように、抽出部25は、ハードディスク全体を探索し、ファイル又はフォルダを探索する(ステップS20)。続いて、抽出部25は、未探索のファイル又はフォルダが探索されたか否かを判定する(ステップS21)。   In the folder investigation process, as shown in FIG. 8, the extraction unit 25 searches the entire hard disk and searches for a file or a folder (step S20). Subsequently, the extraction unit 25 determines whether an unsearched file or folder has been searched (step S21).

未探索のファイル又はフォルダが探索された場合(ステップS21;Yes)、抽出部25は、探索されたのがフォルダであるか否かを判定する(ステップS22)。   When an unsearched file or folder is searched (step S21; Yes), the extraction unit 25 determines whether or not the searched file is a folder (step S22).

探索されたのがフォルダでない場合(ステップS22;No)、抽出部25は、探索されたファイルの最終アクセス日時を取得する(ステップS23)。続いて、抽出部25は、最終アクセス日時が、候補限界日付より前であるか否かを判定する(ステップS24)。   If the searched file is not a folder (step S22; No), the extraction unit 25 acquires the last access date and time of the searched file (step S23). Subsequently, the extraction unit 25 determines whether or not the last access date is before the candidate limit date (step S24).

最終アクセス日時が、候補限界日付より前である場合(ステップS24;Yes)、抽出部25は、日付順に、候補リスト13を更新する(ステップS25)。これにより、例えば、図12(A)に示すように、最終アクセス日時が2000年4月22日であるファイルが格納されたFolderAの最古アクセス日時(最も古い最終アクセス日時)と、フォルダパス名長と、フォルダ名とが登録される。その後、ステップS20に戻る。   When the last access date and time is before the candidate limit date (step S24; Yes), the extraction unit 25 updates the candidate list 13 in order of date (step S25). Thus, for example, as shown in FIG. 12A, the oldest access date and time (oldest last access date and time) of Folder A in which the file whose last access date and time is April 22, 2000 is stored, and the folder path name The length and folder name are registered. Then, it returns to step S20.

このように、設定されたフォルダ内に、未探索のファイル又はフォルダが探索され(ステップS21;Yes)、探索されたのがフォルダでなく(ステップS22;No)、最終アクセス日時が候補限界日付よりも前である場合(ステップS24;Yes)、候補リスト13に、そのファイルが属するフォルダの情報が登録されていく。   In this way, an unsearched file or folder is searched for in the set folder (step S21; Yes), the searched is not a folder (step S22; No), and the last access date is from the candidate limit date. If it is before (step S24; Yes), information on the folder to which the file belongs is registered in the candidate list 13.

この繰り返し中、探索されたのがフォルダであった場合(ステップS22;Yes)、抽出部25は、フォルダ調査処理を再帰的に行う(ステップS26)。例えば、FolderE内を探索中にFolderEの下のFolderFが探索されると、抽出部25は、FolderFについてフォルダ調査処理のサブルーチンを実行する(ステップS26)。   During the repetition, if the searched folder is a folder (step S22; Yes), the extraction unit 25 recursively performs a folder investigation process (step S26). For example, when FolderF under FolderE is searched during the search in FolderE, the extraction unit 25 executes a folder investigation processing subroutine for FolderF (step S26).

このフォルダ調査処理において、設定されたフォルダ内に、未探索のファイル又はフォルダが探索され(ステップS21;Yes)、探索されたのがフォルダでなく(ステップS22;No)、最終アクセス日時が候補限界日付よりも前である場合(ステップS24;Yes)、候補リスト13に、そのファイルが属するフォルダの情報が登録されていく。   In this folder investigation process, an unsearched file or folder is searched in the set folder (step S21; Yes), and the searched folder is not a folder (step S22; No), and the last access date is the candidate limit. If it is before the date (step S24; Yes), information on the folder to which the file belongs is registered in the candidate list 13.

例えば、図12(B)に示すように、最終アクセス日時が1999年11月25日であるファイルが格納されたFolderEの下のFolderFが登録される。ここで、FolderFの最終アクセス日時(1999年11月25日)は、すでに登録されたFolderAの最終アクセス日時(2000年4月22日)よりも前であるので、FolderFの方が、FolderAよりも前に挿入される。すなわち、候補リスト13では、各候補が、日付が古い順にソートされている。   For example, as shown in FIG. 12B, FolderF under FolderE in which a file whose last access date is November 25, 1999 is stored. Here, since the last access date / time of FolderF (November 25, 1999) is earlier than the last access date / time of FolderA that has already been registered (April 22, 2000), FolderF is better than FolderA. Inserted before. That is, in the candidate list 13, the candidates are sorted in the order of date from the oldest.

フォルダ調査処理の終了後、抽出部25は、ステップS20に戻る。   After the folder survey process ends, the extraction unit 25 returns to step S20.

ファイル記憶部4内における全てのファイルの探索が終了すると(ステップS21;No)、抽出部25は、フォルダ調査処理のサブルーチンを終了する。フォルダ調査処理を終了すると、図7に戻り、抽出部25は、リスト生成処理のサブルーチンを終了する。   When the search of all the files in the file storage unit 4 is completed (step S21; No), the extraction unit 25 ends the folder investigation processing subroutine. When the folder survey process is completed, the process returns to FIG. 7, and the extraction unit 25 ends the list generation process subroutine.

図6に戻り、抽出部25は、次回のPCの起動と同時にセキュリティ管理タスク11が起動するようにその起動設定を行う(ステップS2)。その後、抽出部25は、初回起動処理を終了する。   Returning to FIG. 6, the extraction unit 25 performs activation setting so that the security management task 11 is activated simultaneously with the next activation of the PC (step S <b> 2). Thereafter, the extraction unit 25 ends the initial activation process.

次に、PCが起動された時に実行されるPC起動処理について説明する。このPC起動処理は、PCの電源が投入された直後などに実行される。図9に示すように、主制御部5のCPUは、セキュリティ管理タスク11の起動設定がなされているか否かを判定する(ステップS30)。セキュリティ管理タスク11の起動設定がなされていれば(ステップS30;Yes)、主制御部5のCPUは、低い優先度で、セキュリティ管理タスク11を起動する(ステップS31)。   Next, a PC activation process executed when the PC is activated will be described. This PC activation process is executed immediately after the PC is turned on. As shown in FIG. 9, the CPU of the main control unit 5 determines whether or not the security management task 11 is activated (step S30). If the activation setting of the security management task 11 is set (step S30; Yes), the CPU of the main control unit 5 activates the security management task 11 with a low priority (step S31).

この優先度は、タスクがCPUの実行権に関する優先度である。低い優先度で起動されるということは、優先度の高い他のタスクがCPUの実行権を有している場合には、そのタスクは、CPUを用いて動作することができない。優先度の低いタスクは、自身の優先度よりも高いタスクが、CPUの実行権を有しない場合にのみ、CPUを用いて動作することができる。   This priority is a priority related to the execution right of the CPU by the task. Starting with a low priority means that if another task with a high priority has the right to execute the CPU, the task cannot operate using the CPU. A task having a lower priority can operate using the CPU only when a task having a higher priority than the task does not have the right to execute the CPU.

続いて、CPUは、他のタスクの起動処理を行う(ステップS32)。これら他のタスクについても、それぞれの優先度が設定される。その後、主制御部5は、通常動作へ移行する。   Subsequently, the CPU performs another task activation process (step S32). The priorities of these other tasks are also set. Thereafter, the main control unit 5 shifts to normal operation.

主制御部5の通常動作中、ビジー検知部22によって、CPUの空き状態が検知される。優先度の高いタスクを実行しているときには、ビジー検知部22は、CPUがビジー状態にあることを検知し出力する。CPUが、最も優先度が低いバックグラウンドタスクを実行しているときに、CPUが空き状態にあることが検知される。現在CPUが空き状態である場合に、図10に示すセキュリティ管理タスク11の自動暗号化処理が実行される。   During normal operation of the main control unit 5, the busy detection unit 22 detects the CPU free state. When a task with high priority is being executed, the busy detector 22 detects and outputs that the CPU is busy. When the CPU is executing a background task with the lowest priority, it is detected that the CPU is in an empty state. When the CPU is currently empty, the automatic encryption process of the security management task 11 shown in FIG. 10 is executed.

図10に示すように、まず、抽出部25は、処理限界日付を算出する(ステップS40)。ここで、抽出部25は、時計部3から現在の日付を取得し、そこから処理閾値(例えば3年)を減算することにより、処理限界日付を算出する。   As shown in FIG. 10, first, the extraction unit 25 calculates a processing limit date (step S40). Here, the extraction unit 25 obtains the current date from the clock unit 3, and calculates a processing limit date by subtracting a processing threshold (for example, 3 years) therefrom.

なお、本実施形態では、候補限界日付を現在から2年前、処理限界日付を現在から3年前としたので、1年をかけて、リストアップされたフォルダの暗号化が行われることになる。   In the present embodiment, the candidate limit date is 2 years before the current date and the processing limit date is 3 years before the current date. Therefore, the listed folders are encrypted over 1 year. .

続いて、抽出部25は、候補リスト13を開く(ステップS41)。さらに、抽出部25は、候補リスト13の先頭候補を読み出す(ステップS42)。例えば、図12(B)に示される例では、最古アクセス日時が1999年11月25日であるFolderFが、先頭候補として読み出される。   Subsequently, the extraction unit 25 opens the candidate list 13 (step S41). Further, the extraction unit 25 reads the top candidate of the candidate list 13 (step S42). For example, in the example shown in FIG. 12B, FolderF whose earliest access date and time is November 25, 1999 is read as a leading candidate.

続いて、抽出部25は、先頭候補の日付が0であるか否かを判定する(ステップS43)。日付が0であるということは、後述するように、すでに対応するフォルダの暗号化が処理済であることを意味する。日付が0でない場合(ステップS43;No)、抽出部25は、最古アクセス日時が、処理限界日付よりも前であるか否かを判定する(ステップS44)。   Subsequently, the extraction unit 25 determines whether or not the date of the leading candidate is 0 (step S43). The fact that the date is 0 means that the encryption of the corresponding folder has already been processed, as will be described later. When the date is not 0 (step S43; No), the extraction unit 25 determines whether or not the oldest access date and time is before the processing limit date (step S44).

最古アクセス日時が、処理限界日付よりも前である場合(ステップS44;Yes)、変更部26は、そのフォルダに含まれるファイルのうち、最終アクセス日時が処理限界日付よりも前である全てのファイルを暗号化する(ステップS45)。その後、抽出部25は、候補リスト13の先頭候補の日付に0をセットする(ステップS46)。   When the earliest access date / time is before the processing limit date (step S44; Yes), the changing unit 26 selects all the files included in the folder whose final access date / time is before the processing limit date. The file is encrypted (step S45). Thereafter, the extraction unit 25 sets 0 to the date of the first candidate in the candidate list 13 (step S46).

次に、抽出部25は、現在の候補のフィルダパス名長だけデータの読み取り位置をスキップして、次の候補を読み出す(ステップS47)。続いて、抽出部25は、すべての候補が読み出され、候補リスト13が終了したか否かを判定する(ステップS48)。   Next, the extraction unit 25 skips the data reading position by the length of the current candidate filter path name and reads the next candidate (step S47). Subsequently, the extraction unit 25 determines whether all candidates have been read and the candidate list 13 has been completed (step S48).

まだ読み出されていない候補があり、候補リスト13が終了していない場合(ステップS48;No)、抽出部25は、ステップS43に戻る。その後、候補リスト13に登録された候補について日付が0でない限り(ステップS43;No)、最古アクセス日時が、処理限界日付よりも前であれば(ステップS44;Yes)、変更部26は、そのフォルダに含まれるファイルのうち、最終アクセス日時が処理限界日付よりも前である全てのファイルを暗号化し(ステップS45)、その候補の日付を0に設定する(ステップS46)。抽出部25及び変更部26は、このような処理を繰り返す。   If there is a candidate that has not yet been read and the candidate list 13 has not ended (step S48; No), the extraction unit 25 returns to step S43. Thereafter, as long as the date of the candidate registered in the candidate list 13 is not 0 (step S43; No), if the earliest access date is before the processing limit date (step S44; Yes), the changing unit 26 Of the files included in the folder, all files whose last access date is before the processing limit date are encrypted (step S45), and the candidate date is set to 0 (step S46). The extraction unit 25 and the change unit 26 repeat such processing.

その繰り返しで、最古アクセス日時が、処理限界日付よりも前でなかった場合(ステップS44;No)、又は、すべての候補が読み出され、候補リスト13が終了した場合(ステップS48;Yes)、抽出部25は、処理を終了する。   When the oldest access date / time is not earlier than the processing limit date (No at Step S44), or when all candidates are read out and the candidate list 13 is completed (Step S48; Yes). The extraction unit 25 ends the process.

また、対象となっている候補の日付が0である場合(ステップS43;Yes)、抽出部25は、候補リスト13の最後の候補まで探索したか否かを判定する(ステップS49)。候補リスト13が終了していなければ(ステップS49;No)、抽出部25は、次の候補を読み出す(ステップS47)。一方、すべての候補が読み出され、候補リスト13が終了した場合(ステップS49;Yes)、抽出部25は、リスト生成処理のサブルーチン(図7参照)を実行して(ステップS50)、処理を終了する。   If the date of the target candidate is 0 (step S43; Yes), the extraction unit 25 determines whether or not the last candidate in the candidate list 13 has been searched (step S49). If the candidate list 13 has not ended (step S49; No), the extraction unit 25 reads the next candidate (step S47). On the other hand, when all candidates have been read and the candidate list 13 has been completed (step S49; Yes), the extraction unit 25 executes a list generation processing subroutine (see FIG. 7) (step S50) to execute the processing. finish.

なお、このリスト生成処理のサブルーチンを実行する際には、リスト生成処理のサブルーチンを前回実行した時から日にちが経過している。したがって、最終アクセス日時が候補限界日付よりも前であるファイルが新たに検出される可能性がある。そこで、この時点で、リスト生成処理のサブルーチンを実行するのである(ステップS50)。   Note that, when this list generation processing subroutine is executed, the date has passed since the previous execution of the list generation processing subroutine. Therefore, there is a possibility that a file whose last access date is earlier than the candidate limit date is newly detected. Therefore, at this point, a list generation processing subroutine is executed (step S50).

このリスト生成処理のサブルーチンで、最終アクセス日時が候補限界日付よりも前であるファイルが新たに検出されると、そのファイルが属するフォルダが、候補リスト13に日付順に新たに作成される。   When a file whose last access date is earlier than the candidate limit date is newly detected in this list generation processing subroutine, a folder to which the file belongs is newly created in the candidate list 13 in order of date.

候補リスト13への候補の新たな作成により、続く1年間、最適化された暗号化処理が行われる。   By newly creating a candidate in the candidate list 13, an optimized encryption process is performed for the next year.

本実施形態では、このようにして、最終アクセス日時が、候補限界日付よりも前であるファイルが属するフォルダ内のファイルのうち、最終アクセス日時が、処理限界日付よりも前であるファイルが暗号化される。しかしながら、その後、そのフォルダ内の暗号化されたファイルがアクセスされると、そのファイルは、復号鍵を用いて、復号化(解除)される。図11には、そのファイルの暗号化の解除を行うファイルオープン処理が示されている。   In this embodiment, among the files in the folder to which the file whose last access date is earlier than the candidate limit date belongs, the file whose last access date is before the processing limit date is encrypted. Is done. However, after that, when the encrypted file in the folder is accessed, the file is decrypted (released) using the decryption key. FIG. 11 shows a file open process for canceling the encryption of the file.

ファイルにアクセスすると、このファイルオープン処理が実行される。図11に示すように、まず、CPUは、オープンするファイルが暗号化された暗号化ファイルであるか否かを判定する(ステップS60)。暗号化ファイルであると判定された場合(ステップS60;Yes)、解除部27は、復号鍵を用いてファイルオープンするファイルを復号化する(ステップS61)。暗号化ファイルであると判定されなかった場合(ステップS60;No)、CPUは、通常処理へ移行する。   When the file is accessed, this file open process is executed. As shown in FIG. 11, first, the CPU determines whether or not the file to be opened is an encrypted file that has been encrypted (step S60). If it is determined that the file is an encrypted file (step S60; Yes), the release unit 27 decrypts the file to be opened using the decryption key (step S61). If it is not determined that the file is an encrypted file (step S60; No), the CPU proceeds to normal processing.

データの復号化(ステップS61)を行った後、解除部27は、セキュリティ管理部23により、自動的に暗号化された自動暗号化ファイルであるか否かを判定する(ステップS62)。自動暗号化ファイルであると判定された場合(ステップS62;Yes)、解除部27は、復号化された復号データでオープンしたファイルの内容を更新する(ステップS63)。これにより、ファイルの最終アクセス日時も更新され、そのファイルは、セキュリティ管理部23による暗号化の対象から除外される。ファイルの内容を更新した後、CPUは、通常処理へ移行する。   After the data is decrypted (step S61), the release unit 27 determines whether the security management unit 23 is an automatically encrypted file that has been automatically encrypted (step S62). When it is determined that the file is an automatically encrypted file (step S62; Yes), the release unit 27 updates the contents of the opened file with the decrypted decrypted data (step S63). Thereby, the last access date and time of the file is also updated, and the file is excluded from the objects to be encrypted by the security management unit 23. After updating the contents of the file, the CPU proceeds to normal processing.

一方、自動暗号化ファイルでなかった場合(ステップS62;No)、CPUは、通常処理へ移行する。   On the other hand, if the file is not an automatically encrypted file (step S62; No), the CPU proceeds to normal processing.

以上詳細に説明したように、本実施形態によれば、所定の期間アクセスされていない古いファイルについては、すべて暗号化する。このため、アクセスされていない古いファイルが流出しても、第三者がその内容を解読することができなくなるので、ファイル記憶部4に記憶されたアクセスされていない古いファイルのセキュリティを自動的に確保することができる。   As described above in detail, according to the present embodiment, all old files that have not been accessed for a predetermined period are encrypted. For this reason, even if an old file that has not been accessed is leaked, the contents cannot be decrypted by a third party. Therefore, the security of the old file that has not been accessed stored in the file storage unit 4 is automatically set. Can be secured.

本実施形態では、候補リスト13を作成することで日々の暗号化ファイルの検索を最小化している。これにより、処理時間を短縮することができるようになるため、CPUの負担を軽減することができる。   In the present embodiment, the search for the encrypted file every day is minimized by creating the candidate list 13. As a result, the processing time can be shortened, so that the burden on the CPU can be reduced.

ところで、ファイルシステムの代表例として、例えば、Windows(登録商標)のNTFS(NT File System)がある。NTFSには、機密情報が含まれるファイルやフォルダ等を暗号化し、パスワードが認証された場合に、ファイルを復号化して利用可能とするような機能、すなわち機密情報を管理する機能がサポートされている。古い機密情報については、この機能を用いてすべて暗号化することができる。   By the way, as a typical example of a file system, for example, there is NTFS (NT File System) of Windows (registered trademark). NTFS supports a function that encrypts a file or folder containing confidential information and decrypts the file when the password is authenticated, that is, a function that manages confidential information. . All old confidential information can be encrypted using this function.

しかしながら、上述したファイルシステムによって提供される機密情報の管理機能は、処理が重くて日常の処理の効率が落ちる、ハードウエアの故障等で復旧に支障がある等の理由で敬遠され、必ずしも広くは利用されていないのが実情である。   However, the confidential information management function provided by the file system described above is refrained from reasons such as heavy processing and inefficiency in daily processing, and troubles in recovery due to hardware failure, etc. The fact is that it is not used.

また、Windows(登録商標)のNTFSによる暗号化は、共通鍵を用いる動作であり、比較的動作の軽いものであるが、それでも1バイトのデータに対して何度も演算と配置移動を行うため、暗号化するとファイルアクセス自体の処理が重くなってしまうという欠点がある。   In addition, encryption using Windows (registered trademark) NTFS is an operation using a common key and is relatively light in operation, but it still performs computation and arrangement movement on 1-byte data many times. When encrypted, there is a disadvantage that processing of file access itself becomes heavy.

さらに、鍵ファイルの作成は、通常のGUI(Graphical User Interface)からは行うことができないため、非常に面倒であって実施していないユーザが多い。そのため、何か事故が起きた時に、すぐにアクセスしたい日常使用しているファイルがあってもそれを使うことができず、業務に支障をきたすおそれがある。   Furthermore, since the key file cannot be created from a normal GUI (Graphical User Interface), there are many users who are very troublesome and not implemented. For this reason, when an accident occurs, even if there is a file that is used everyday that you want to access immediately, you cannot use it, and there is a risk that it will hinder your work.

そこで、本実施形態では、CPUが空き状態にあるときに、セキュリティ管理タスク11が実行され、アクセスされていない古いファイルが暗号化される。これにより、他のタスクの実行が妨げられるのを防止することができる。この結果、ユーザが処理を重く感じたり、不便を感じたりすることがなくなる。   Therefore, in this embodiment, when the CPU is in an empty state, the security management task 11 is executed, and an old file that has not been accessed is encrypted. Thereby, it is possible to prevent the execution of other tasks from being hindered. As a result, the user does not feel heavy processing or inconvenience.

このように、本実施形態では、ファイルの暗号化処理は、ハードディスクへ無駄にアクセスしないように実施のタイミングが最適化されており、ウイルス対策ソフトの全検索のように、ファイルを常時スキャンしているわけではない。これにより、ハードディスクの動作音で、ユーザに不快感を与えたりするようなこともない。   As described above, in this embodiment, the file encryption processing is optimized so that the hard disk is not wastedly accessed, and the file is always scanned as in the case of all the anti-virus software search. I don't mean. This prevents the user from feeling uncomfortable with the operating sound of the hard disk.

また、本実施形態では、フォルダ単位で、ファイルの暗号化の候補管理を行う。候補フォルダをリストで持つことにより、全てのファイルを再検索するよりも、CPUの処理負担を軽減することができる。また、候補リスト13の容量を低減することもできる。   In the present embodiment, file encryption candidate management is performed in units of folders. By having candidate folders in the list, it is possible to reduce the processing load on the CPU, rather than re-searching all the files. In addition, the capacity of the candidate list 13 can be reduced.

また、本実施形態によれば、まず、最終アクセス日時が候補限界日付(第1の日付)よりも前のファイルが属するフォルダを候補リスト13にリストアップする。そして、候補リスト13にリストアップされたフォルダの最終アクセス日時が、処理限界日付(第2の日付)よりも前であったフォルダに属するファイルを暗号化する。このようにすれば、一定期間アクセスされていない古いファイルの抽出及び暗号化処理を、より簡潔にすることができるため、CPUの処理負担を軽減することができる。   Further, according to the present embodiment, first, folders to which a file whose last access date is earlier than the candidate limit date (first date) belong are listed in the candidate list 13. Then, the file belonging to the folder whose last access date and time of the folder listed in the candidate list 13 is earlier than the processing limit date (second date) is encrypted. In this way, the extraction and encryption processing of old files that have not been accessed for a certain period of time can be simplified, and the processing burden on the CPU can be reduced.

また、本実施形態では、暗号化処理済のフォルダについては、候補リスト13の日付に0をセットし、順次日付が0にセットされていくことで暗号化処理の進捗を管理し、リストの検索を効率化している。   In the present embodiment, for the encrypted folder, the date of the candidate list 13 is set to 0, and the date is sequentially set to 0 to manage the progress of the encryption process and search the list. Is streamlining.

また、本実施形態によれば、セキュリティ管理部23により、自動的に暗号化されたファイルがアクセスされた場合には、そのファイルを復号化する。このようにすれば、そのファイルを利用する際のCPUの処理負担を軽減することができる。この結果、処理が重くなったり、操作が面倒になったりするのを防止することができる。   Also, according to the present embodiment, when an automatically encrypted file is accessed by the security management unit 23, the file is decrypted. In this way, the processing load on the CPU when using the file can be reduced. As a result, it is possible to prevent the processing from becoming heavy and the operation from becoming troublesome.

なお、自動的に暗号化されたファイルと、ユーザが任意に暗号化したファイルとを区別するために、ファイルの管理情報に、例えば、暗号化属性を示す特別な識別子を設けるようにしてもよい。   In order to distinguish between the automatically encrypted file and the file arbitrarily encrypted by the user, for example, a special identifier indicating an encryption attribute may be provided in the file management information. .

また、本実施形態では、一定期間アクセスされていない古いファイルを暗号化した。このようにすれば、そのファイルが流出しても、第三者のファイルの利用を制限することができるので、アクセスされていない古いファイルのセキュリティを確保することができる。   In this embodiment, an old file that has not been accessed for a certain period is encrypted. In this way, even if the file is leaked, the use of a third party file can be restricted, so that the security of an old file that has not been accessed can be ensured.

このように、本実施形態では、ファイルを暗号化したが、利用時に認証が必要となるように、ファイルを変更するようにしてもよい。このようにしても、そのファイルが流出しても、第三者のファイルの利用を制限することができるので、アクセスされていない古いファイルのセキュリティを確保することができる。   As described above, in this embodiment, the file is encrypted, but the file may be changed so that authentication is required at the time of use. Even in this case, even if the file is leaked, the use of the third party file can be restricted, so that the security of the old file that has not been accessed can be ensured.

なお、上記実施形態では、フォルダ調査処理では、PC内の多数のファイルが検索されるが、ハードディスク内のファイルの物理的位置が既知である場合には、ハードディスクのヘッドのシークタイムが最短となるように、アクセスされたファイルの近傍に配置されたファイルやフォルダを次の検索対象とするようにしてもよい。このようにすれば、動作速度を速め、PCにかける負担を軽減することができる。   In the above embodiment, in the folder investigation process, a large number of files in the PC are searched. If the physical location of the file in the hard disk is known, the seek time of the hard disk head is minimized. As described above, a file or folder arranged in the vicinity of the accessed file may be set as the next search target. In this way, the operating speed can be increased and the burden on the PC can be reduced.

なお、上記実施形態では、ファイルやフォルダを暗号化の対象としたが、本発明はこれには限られない。アドレス帳のメールアドレス等の個人情報やメールアドレスの分類情報等、あらゆる情報を暗号化の対象としてもよいのは勿論である。   In the above embodiment, the file or folder is the object of encryption, but the present invention is not limited to this. It goes without saying that any information such as personal information such as e-mail addresses in the address book and e-mail address classification information may be subject to encryption.

なお、上記各実施形態において、コンピュータ100で実行されるプログラムは、フレキシブルディスク、CD−ROM(Compact Disk Read-Only Memory)、DVD(Digital Versatile Disk)、MO(Magneto-Optical Disk)等のコンピュータ読み取り可能な記録媒体に格納して配布し、そのプログラムをインストールすることにより、上述の処理を実行するシステムを構成することとしてもよい。   In each of the above embodiments, the program executed by the computer 100 is a computer read such as a flexible disk, a CD-ROM (Compact Disk Read-Only Memory), a DVD (Digital Versatile Disk), and an MO (Magneto-Optical Disk). A system that executes the above-described processing may be configured by storing the program in a possible recording medium, distributing the program, and installing the program.

また、プログラムをインターネット等の通信ネットワーク上の所定のサーバ装置が有するディスク装置等に格納しておき、例えば、搬送波に重畳させて、ダウンロード等するようにしても良い。   Further, the program may be stored in a disk device or the like of a predetermined server device on a communication network such as the Internet, and may be downloaded, for example, superimposed on a carrier wave.

また、上述の機能を、OS(Operating System)が分担して実現する場合又はOSとアプリケーションとの協働により実現する場合等には、OS以外の部分のみを媒体に格納して配布してもよく、また、ダウンロード等しても良い。   In addition, when the above functions are realized by sharing an OS (Operating System), or when the functions are realized by cooperation between the OS and an application, only the part other than the OS may be stored in a medium and distributed. You may also download it.

本発明は、情報処理装置に蓄積される情報のセキュリティ管理に好適である。   The present invention is suitable for security management of information stored in an information processing apparatus.

1…操作部、2…表示部、3…時計部、4…ファイル記憶部、5…主制御部、10…ファイル群、11…セキュリティ管理タスク、12…他タスク群、13…候補リスト、20…ファイルシステム、21…タスク管理部、22…ビジー検知部、23…セキュリティ管理部、25…抽出部、26…変更部、27…解除部、30、31…記憶装置、100…コンピュータ   DESCRIPTION OF SYMBOLS 1 ... Operation part, 2 ... Display part, 3 ... Clock part, 4 ... File storage part, 5 ... Main control part, 10 ... File group, 11 ... Security management task, 12 ... Other task group, 13 ... Candidate list, 20 DESCRIPTION OF SYMBOLS ... File system, 21 ... Task management part, 22 ... Busy detection part, 23 ... Security management part, 25 ... Extraction part, 26 ... Change part, 27 ... Release part, 30, 31 ... Storage device, 100 ... Computer

Claims (10)

記憶装置に記憶された情報の中から、アクセスが行われた最終アクセス日時が、所定の時点より以前である情報を抽出する抽出部と、
前記抽出部により抽出された情報の利用が制限されるように、前記情報の内容を変更する変更部と、
を備え
前記抽出部は、
アクセスが行われた最終アクセス日時が、第1の時点より以前である情報を、候補として抽出し、
抽出された候補の中から、アクセスが行われた最終アクセス日時が、第2の時点より以前である情報を、変更対象として抽出する、
キュリティ管理装置。 An extraction unit for extracting information whose last access date and time when access was performed is earlier than a predetermined time from the information stored in the storage device;
A changing unit that changes the content of the information so that use of the information extracted by the extracting unit is restricted;
Equipped with a,
The extraction unit includes:
Information that the last access date and time when access was performed is earlier than the first time point is extracted as a candidate,
From among the extracted candidates, information whose last access date and time when access was performed is earlier than the second time point is extracted as a change target.
Security management device. 前記抽出部は、
前記記憶装置に記憶された情報を処理する情報処理装置のCPUが空き状態にあるときに、前記CPUを用いて、アクセスが行われた最終アクセス日時が、所定の時点より以前である情報を抽出する、
ことを特徴とする請求項1に記載のセキュリティ管理装置。 The extraction unit includes:
When the CPU of the information processing apparatus that processes the information stored in the storage device is in an empty state, the CPU extracts information whose last access date and time when access was performed is earlier than a predetermined time To
The security management device according to claim 1. 前記変更部は、
前記記憶装置に記憶された情報を処理する情報処理装置のCPUが空き状態にあるときに、前記CPUを用いて、前記抽出部により抽出された情報の内容を変更する、
ことを特徴とする請求項1又は2に記載のセキュリティ管理装置。 The changing unit is
When the CPU of the information processing apparatus that processes the information stored in the storage device is in an empty state, the content of the information extracted by the extraction unit is changed using the CPU.
The security management device according to claim 1, wherein the security management device is a security management device. 前記記装置に記憶された情報は、分類して管理され、
前記抽出部は、
分類毎にアクセスが行われた最終アクセス日時が、所定の時点より以前である情報が含まれている分類を抽出し、
前記変更部は、
抽出された分類に含まれる情報のうち、最終アクセス日時が所定の時点より以前であるすべての情報の内容を変更する、
ことを特徴とする請求項1乃至3のいずれか一項に記載のセキュリティ管理装置。 The Symbol device information stored in is managed by classifying,
The extraction unit includes:
Extract the classification that contains the information that the last access date and time accessed for each classification is earlier than the predetermined time,
The changing unit is
Of the information included in the extracted classification, change the content of all the information whose last access date and time is earlier than the predetermined time,
The security management device according to claim 1, wherein the security management device is a security management device. 前記変更部により、利用が制限されるように変更された情報に対するアクセスが行われたときに、その利用の制限を解除する解除部をさらに備える、
ことを特徴とする請求項1乃至のいずれか一項に記載のセキュリティ管理装置。 When the change unit accesses the information changed so that the use is restricted, the change unit further includes a release unit that releases the use restriction.
The security management device according to any one of claims 1 to 4 , wherein 前記変更部は、
前記情報を暗号化する、
ことを特徴とする請求項1乃至のいずれか一項に記載のセキュリティ管理装置。 The changing unit is
Encrypting the information;
The security management device according to any one of claims 1 to 5 , wherein 前記変更部は、
利用時に認証が必要となるように、前記情報の内容を変更する、
ことを特徴とする請求項1乃至のいずれか一項に記載のセキュリティ管理装置。 The changing unit is
Change the content of the information so that authentication is required when using it.
The security management apparatus according to any one of claims 1 to 6 , wherein 前記抽出部は、The extraction unit includes:
アクセスが行われた最終アクセス日時が、第1の時点より以前であるファイルを、フォルダ単位で候補として抽出し、Files with the last access date and time of access before the first time are extracted as candidates in folder units,
抽出された候補の中から、アクセスが行われた最終アクセス日時が、第2の時点より以前であるファイルを、フォルダ単位で変更対象として抽出する、From the extracted candidates, a file whose access date and time last accessed is before the second time point is extracted as a change target in units of folders.
ことを特徴とする請求項1乃至7のいずれか一項に記載のセキュリティ管理装置。8. The security management apparatus according to claim 1, wherein 記憶装置に記憶された情報の中から、アクセスが行われた最終アクセス日時が、所定の時点より以前である情報を抽出する抽出工程と、
前記抽出工程において抽出された情報の利用が制限されるように、前記情報の内容を変更する変更工程と、
を含み、
前記抽出工程では、
アクセスが行われた最終アクセス日時が、第1の時点より以前である情報を、候補として抽出し、
抽出された候補の中から、アクセスが行われた最終アクセス日時が、第2の時点より以前である情報を、変更対象として抽出する、
キュリティ管理方法。 An extraction step of extracting information from the information stored in the storage device that the last access date and time of access is earlier than a predetermined time point;
A change step of changing the content of the information so that use of the information extracted in the extraction step is limited;
Only including,
In the extraction step,
Information that the last access date and time when access was performed is earlier than the first time point is extracted as a candidate,
From among the extracted candidates, information whose last access date and time when access was performed is earlier than the second time point is extracted as a change target.
Security management method. 記憶装置に記憶された情報の中から、アクセスが行われた最終アクセス日時が、所定の時点より以前である情報を抽出する抽出手順と、
前記抽出手順で抽出された情報の利用が制限されるように、前記情報の内容を変更する変更手順と、
をコンピュータに実行させ
前記抽出手順では、
アクセスが行われた最終アクセス日時が、第1の時点より以前である情報を、候補として抽出し、
抽出された候補の中から、アクセスが行われた最終アクセス日時が、第2の時点より以前である情報を、変更対象として抽出する、
ログラム。 An extraction procedure for extracting, from the information stored in the storage device, information whose last access date and time when access was performed is earlier than a predetermined time point;
A change procedure for changing the content of the information so that use of the information extracted in the extraction procedure is limited;
To the computer ,
In the extraction procedure,
Information that the last access date and time when access was performed is earlier than the first time point is extracted as a candidate,
From among the extracted candidates, information whose last access date and time when access was performed is earlier than the second time point is extracted as a change target.
Program.
JP2009226268A 2009-09-30 2009-09-30 Security management device, security management method and program Expired - Fee Related JP5424325B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009226268A JP5424325B2 (en) 2009-09-30 2009-09-30 Security management device, security management method and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009226268A JP5424325B2 (en) 2009-09-30 2009-09-30 Security management device, security management method and program

Publications (2)

Publication Number Publication Date
JP2011076317A JP2011076317A (en) 2011-04-14
JP5424325B2 true JP5424325B2 (en) 2014-02-26

Family

ID=44020241

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009226268A Expired - Fee Related JP5424325B2 (en) 2009-09-30 2009-09-30 Security management device, security management method and program

Country Status (1)

Country Link
JP (1) JP5424325B2 (en)

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10283267A (en) * 1997-04-07 1998-10-23 Kokusai Electric Co Ltd Data management device
JPH1124974A (en) * 1997-07-08 1999-01-29 Canon Inc File managing device/method
JP2003216461A (en) * 2002-01-21 2003-07-31 Fujitsu Ltd Application managing method, program and recording medium
JP2006113788A (en) * 2004-10-14 2006-04-27 Konica Minolta Photo Imaging Inc Imaging device and program for imaging device
JP4985312B2 (en) * 2007-10-24 2012-07-25 セイコーエプソン株式会社 Data management apparatus, data management system, and program
JP4972074B2 (en) * 2007-12-05 2012-07-11 Sky株式会社 File management system

Also Published As

Publication number Publication date
JP2011076317A (en) 2011-04-14

Similar Documents

Publication Publication Date Title
Carvey The Windows Registry as a forensic resource
US8392706B2 (en) Method and system for searching for, and collecting, electronically-stored information
EP1012691B1 (en) Encrypting file system and method
US9807135B1 (en) Methods and computing systems for sharing cloud files using a social network
US8667273B1 (en) Intelligent file encryption and secure backup system
US8549278B2 (en) Rights management services-based file encryption system and method
US20030191938A1 (en) Computer security system and method
US8880903B2 (en) Removable drive with data encryption
KR20080002838A (en) Local thumbnail cache
US20140358868A1 (en) Life cycle management of metadata
JP2001051987A (en) System and method for managing electronic document
EP3000033A1 (en) Bundling file permissions for sharing files
JP2011138446A (en) File encryption system which easily operable of encrypted independent file group on dedicated operation screen
US20130024698A1 (en) Digital content management system, device, program and method
CN111382126A (en) System and method for deleting files and hindering file recovery
JP4807289B2 (en) Information processing apparatus, file processing method, and program
JP2011133991A (en) Confidential data protection system, confidential data protection method, and confidential data protection program
JP5424325B2 (en) Security management device, security management method and program
KR100834990B1 (en) Security system operatable on the portable storage device by usb interface
JP4731928B2 (en) Data management apparatus, data management system, data processing apparatus, data management method, program, and storage medium
JP4972074B2 (en) File management system
KR100331056B1 (en) Method for implementing a cyber safe
JP2007012022A (en) Security program and security system
KR101041367B1 (en) Method and apparatus of accessing file or directory in file system
Mare Windows forensics and security

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120808

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130813

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130814

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131011

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20131029

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131121

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees