JP5457427B2 - Storage device, terminal device and computer program - Google Patents
Storage device, terminal device and computer program Download PDFInfo
- Publication number
- JP5457427B2 JP5457427B2 JP2011278713A JP2011278713A JP5457427B2 JP 5457427 B2 JP5457427 B2 JP 5457427B2 JP 2011278713 A JP2011278713 A JP 2011278713A JP 2011278713 A JP2011278713 A JP 2011278713A JP 5457427 B2 JP5457427 B2 JP 5457427B2
- Authority
- JP
- Japan
- Prior art keywords
- storage area
- terminal device
- information
- storage
- program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003860 storage Methods 0.000 title claims description 753
- 238000004590 computer program Methods 0.000 title claims description 20
- 238000000034 method Methods 0.000 claims description 268
- 230000008569 process Effects 0.000 claims description 229
- 230000002265 prevention Effects 0.000 claims description 104
- 230000006870 function Effects 0.000 claims description 97
- 230000015654 memory Effects 0.000 claims description 62
- 238000005192 partition Methods 0.000 claims description 23
- 238000004891 communication Methods 0.000 claims description 20
- 230000004913 activation Effects 0.000 claims description 15
- 230000003213 activating effect Effects 0.000 claims description 7
- 238000012423 maintenance Methods 0.000 claims 1
- 230000010365 information processing Effects 0.000 description 64
- 238000007726 management method Methods 0.000 description 45
- 230000008859 change Effects 0.000 description 37
- 238000012544 monitoring process Methods 0.000 description 35
- 238000010586 diagram Methods 0.000 description 26
- 238000012545 processing Methods 0.000 description 20
- 238000009434 installation Methods 0.000 description 12
- 230000005540 biological transmission Effects 0.000 description 8
- 230000007246 mechanism Effects 0.000 description 8
- 230000004044 response Effects 0.000 description 6
- 238000006243 chemical reaction Methods 0.000 description 4
- 238000012217 deletion Methods 0.000 description 4
- 230000037430 deletion Effects 0.000 description 4
- 241000700605 Viruses Species 0.000 description 3
- 239000008186 active pharmaceutical agent Substances 0.000 description 3
- 230000000295 complement effect Effects 0.000 description 3
- 238000012790 confirmation Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 238000013507 mapping Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000000354 decomposition reaction Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 238000005520 cutting process Methods 0.000 description 1
- 230000006837 decompression Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000005012 migration Effects 0.000 description 1
- 238000013508 migration Methods 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000007639 printing Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
Images
Description
本発明は、記憶装置、情報処理装置、端末装置およびコンピュータプログラムに係り、とりわけ情報漏洩等を抑制するためのセキュリティ技術に関する。 The present invention relates to a storage device, an information processing device, a terminal device, and a computer program, and more particularly to a security technique for suppressing information leakage and the like.
情報化社会である今日、業務形態としてパーソナルコンピュータに代表される情報端末装置(以下端末装置)を用いることが多くなっている。官公庁、企業、公共施設を始めとした組織では、保有する情報がデジタルデータで扱われる。デジタル化された業務用書類は、複製や頒布が極めて容易である。それゆえ、データの機密性、完全性、可用性を確保するための情報セキュリティ技術へのニーズが高まっている。 In today's information society, information terminal devices represented by personal computers (hereinafter referred to as terminal devices) are increasingly used as business forms. Organizations such as government offices, companies, and public facilities use digital data for information they hold. Digitized business documents are extremely easy to duplicate and distribute. Therefore, there is a growing need for information security technology for ensuring the confidentiality, integrity, and availability of data.
一方、端末装置の汎用性の高い外部記憶装置として、持ち運びが可能な様々なリムーバブルディスクが普及している。とりわけ、USBコネクタを一体化した小型で着脱可能なUSBストレージデバイスは、近年、目覚しく普及している。使用形態も様々で、例えば、業務作業に必要な情報を予めUSBストレージデバイスに記憶して持ち出し、外出先の端末装置に接続して作業を行うことも可能である。 On the other hand, various removable disks that are portable are widely used as external storage devices with high versatility for terminal devices. In particular, a small and detachable USB storage device integrated with a USB connector has been remarkably popular in recent years. For example, it is also possible to store information necessary for business work in advance in a USB storage device, take it out, and connect to a terminal device outside the office to perform work.
しかし、USBストレージデバイスは便利である反面、セキュリティに関して脆弱であった。例えば、悪意ある者がUSBストレージデバイスに記憶されている機密情報を、故意に第3者の端末装置へ移動したり、複製したりすることが挙げられる。 However, while USB storage devices are convenient, they are vulnerable to security. For example, a malicious person may intentionally move or copy confidential information stored in a USB storage device to a third party terminal device.
従来、このような情報漏洩を防止する技術が提案されている。特許文献1によれば、個人認証機能により認証された特定使用者だけが、保護・秘匿すべき秘匿領域にあるデータを保存・消去することができ、特定使用者の情報を保護できるUSBストレージデバイスが提案されている。
Conventionally, techniques for preventing such information leakage have been proposed. According to
また、USBストレージデバイスの読取技術として、特許文献2によれば、記憶装置内部の記憶領域のうち、1つをCD−ROMデバイスとして、もう1つをリムーバブルディスク領域としてPCに認識させて読取る方法が提案されている。
Also, as a reading technique of a USB storage device, according to
しかし、特許文献1に記載されている漏洩防止方法では、USBストレージデバイスに記憶されている機密情報を外部の端末装置で閲覧した後、記憶させたままで消去を忘れてしまうということがあり、その結果その端末装置から情報漏洩が発生する。
However, in the leakage prevention method described in
また、その他の課題として、特許文献2に記載されたUSBの読取方法では、同時に2つのドライブをPCに認識させることが前提となっている。そのため、ドライブレターが枯渇しやすくなったり、PCが備えるドライブに割り当てられるドライブレターがユーザの意図したものと異なってしまったりするなど、PCのドライブ環境に大きな影響を与えかねない。
As another problem, in the USB reading method described in
そこで、本発明は、記憶装置の記憶領域内部の機密情報が、外部の端末装置等から漏洩することを防止する記憶装置等を提供することを目的とする。
なお、他の課題については明細書の全体を通して理解できよう。
Therefore, an object of the present invention is to provide a storage device or the like that prevents confidential information inside the storage area of the storage device from leaking from an external terminal device or the like.
Other issues can be understood throughout the specification.
第1の観点によれば、
汎用インターフェースを介して情報処理装置と接続される記憶装置において、
第1の情報を格納する第1の記憶領域と、
編集可能な第2の情報を格納する読み出し書き込み可能な第2の記憶領域とを有し、
第1の情報は、
第2の情報が漏洩することを防止する情報漏洩防止プログラムと、
第2の情報の格納が許容される格納先を特定するデータとのうち少なくとも一方と
を含むことを特徴とする記憶装置が提供される。
According to the first aspect,
In a storage device connected to an information processing device via a general-purpose interface,
A first storage area for storing first information;
A second writable storage area for storing editable second information,
The first information is
An information leakage prevention program for preventing the second information from leaking;
There is provided a storage device including at least one of data specifying a storage destination where storage of the second information is permitted.
第2の観点によれば、
第1の情報は、情報処理装置に記憶装置が接続されたときに情報漏洩防止プログラムを情報処理装置において起動させるための起動ファイルをさらに含むことを特徴とする記憶装置が提供される。
According to the second aspect,
The first information further includes a startup file for starting an information leakage prevention program in the information processing apparatus when the storage apparatus is connected to the information processing apparatus.
第3の観点によれば、
情報漏洩防止プログラムは、情報処理装置をサーバと接続し、サーバから受信した情報によって第1の情報を更新する更新手段として情報処理装置を機能させることを特徴とする記憶装置が提供される。
According to the third aspect,
An information leakage prevention program is provided with a storage device that connects an information processing device to a server and causes the information processing device to function as an update unit that updates first information with information received from the server.
第4の観点によれば、
第1の情報は、前記第2の情報をアクセスする対象者を特定するデータを含むことを特徴とする記憶装置が提供される。
According to the fourth aspect,
The storage device is provided in which the first information includes data for specifying a target person who accesses the second information.
第5の観点によれば、
情報漏洩防止プログラムは、情報処理装置が第2の情報を閲覧することを許可するとともに、情報処理装置へ第2の情報を格納することを禁止するコンピュータプログラムであることを特徴とする記憶装置が提供される。
According to the fifth aspect,
An information leakage prevention program is a computer program that allows an information processing device to browse second information and prohibits the storage of the second information in the information processing device. Provided.
第6の観点によれば、
情報漏洩防止プログラムは、情報処理装置が第2の情報を編集し、編集した第2の情報を第2の記憶領域に格納することを許可するコンピュータプログラムであることを特徴とする記憶装置が提供される。
According to the sixth aspect,
The information leakage prevention program is a computer program that allows the information processing apparatus to edit the second information and store the edited second information in the second storage area. Is done.
第7の観点によれば、
情報処理装置から記憶装置が取り外されたことを検出する取り外し検出手段と、
記憶装置が情報処理装置から取り外されたことが検出されると、第1の情報および第2の情報を情報処理装置からクリアないしアンインストールする手段として、
情報処理装置を機能させることを特徴とする記憶装置が提供される。
According to the seventh aspect,
Removal detecting means for detecting that the storage device has been removed from the information processing device;
When it is detected that the storage device has been removed from the information processing device, the first information and the second information are cleared or uninstalled from the information processing device.
Provided is a storage device that functions an information processing device.
第8の観点によれば、
情報漏洩防止プログラムは、
第2の情報の格納先が第1の情報によって特定されている場合、情報処理装置が第2の情報を第2の記憶領域に加えて特定されている格納先にも格納することを許可することを特徴とする記憶装置が提供される。
According to the eighth aspect,
Information leakage prevention program
When the storage location of the second information is specified by the first information, the information processing apparatus is allowed to store the second information in the storage location specified in addition to the second storage area. A storage device is provided.
第9の観点によれば、
情報漏洩防止プログラムは、ネットワークに接続された情報処理装置が第2の情報をネットワーク上に配信することを許可することを特徴とする記憶装置が提供される。
According to the ninth aspect,
An information leakage prevention program is provided with a storage device that allows an information processing device connected to a network to distribute second information over the network.
第10の観点によれば、
情報漏洩防止プログラムは、情報処理装置のプログラム動作を監視及び制御する手段として情報処理装置を機能させることで、情報処理装置へ第2の情報を格納することを禁止することを特徴とする記憶装置が提供される。
According to the tenth aspect
The information leakage prevention program prohibits storing the second information in the information processing apparatus by causing the information processing apparatus to function as means for monitoring and controlling the program operation of the information processing apparatus. Is provided.
第11の観点によれば、
情報処理装置のプログラム動作を監視及び制御する手段は、カーネルモードにて動作することを特徴とする記憶装置が提供される。
According to the eleventh aspect,
Means for monitoring and controlling the program operation of the information processing apparatus operates in the kernel mode, and a storage device is provided.
第12の観点によれば、
情報漏洩防止プログラムは、情報処理装置のレジストリを監視し、レジストリの変更があった場合、レジストリにおいて変更された情報を変更前の情報に戻す手段として情報処理装置を機能させることを特徴とする記憶装置が提供される。
According to the twelfth aspect,
The information leakage prevention program monitors the registry of the information processing apparatus, and when the registry is changed, the information leakage prevention program causes the information processing apparatus to function as means for returning the information changed in the registry to the information before the change. An apparatus is provided.
第13の観点によれば、
変更前の情報に戻す手段は、第2の情報を電子メールにより送信すること、または第2の情報を壁紙として使用すること禁止する手段であることを特徴とする記憶装置が提供される。
According to the thirteenth aspect,
A storage device is provided in which the means for returning to the information before the change is means for prohibiting sending the second information by e-mail or using the second information as wallpaper.
第14の観点によれば、
情報漏洩防止プログラムは、情報処理装置に情報を格納するデバイスと、情報処理装置から情報を送信するデバイスを無効化する手段として情報処理装置を機能させることを特徴とする記憶装置が提供される。
According to the fourteenth aspect
The information leakage prevention program is provided with a storage device that causes the information processing device to function as a device that invalidates the device that stores information in the information processing device and the device that transmits information from the information processing device.
第15の観点によれば、
デバイスを無効化する手段は、フレキシブルドライブディスクへの情報の書き込み、またはネットワークへの情報のアップロードを禁止する手段であることを特徴とする記憶装置が提供される。
According to the fifteenth aspect,
A storage device is provided in which the means for invalidating the device is means for prohibiting writing of information to the flexible drive disk or uploading of information to the network.
第16の観点によれば、
情報漏洩防止プログラムは、第2の情報を情報処理装置へ格納することに導く操作を禁止する手段として情報処理装置を機能させることを特徴とする記憶装置が提供される。
According to the sixteenth aspect,
The information leakage prevention program is provided with a storage device that causes the information processing device to function as a means for prohibiting an operation that leads to storing the second information in the information processing device.
第17の観点によれば、
操作を禁止する手段は、ダイアログ表示、ドラックアンドドロップ、クリップボードの利用のいずれか一つ、または複数の組み合わせを禁止する手段であることを特徴とする請求項16記載の記憶装置が提供される。
According to the seventeenth aspect
17. The storage device according to
第18の観点によれば、
着脱可能な記憶装置を汎用インターフェースに接続可能な情報処理装置において、
記憶装置は、
第1の情報を格納する第1の記憶領域と、
編集可能な第2の情報を格納する読み出し書き込み可能な第2の記憶領域とを有し、
第1の情報は、第2の情報の漏洩防止のために取扱いを制御する情報を備え、
情報処理装置は、第1の情報を第1の記憶領域から読み出して実行する
ことを特徴とする情報処理装置が提供される。
According to the 18th aspect,
In an information processing apparatus that can connect a removable storage device to a general-purpose interface,
The storage device
A first storage area for storing first information;
A second writable storage area for storing editable second information,
The first information includes information for controlling handling for preventing leakage of the second information,
An information processing apparatus is provided that reads and executes first information from a first storage area.
第19の観点によれば、
情報処理装置において、
第1の情報を格納する読み出し専用の第1の記憶領域と、
編集可能な第2の情報を格納する読み出し書き込み可能な第2の記憶領域とを有し、
第1の情報は、第2の情報の格納先の特定を制御する情報であることを特徴とする情報処理装置が提供される。
第20の観点によれば、
第1の情報は、第2の情報が漏洩することを防止する情報漏洩防止プログラムを含むことを特徴とする情報処理装置が提供される。
According to the nineteenth aspect
In an information processing device,
A read-only first storage area for storing first information;
A second writable storage area for storing editable second information,
An information processing apparatus is provided in which the first information is information for controlling specification of a storage destination of the second information.
According to the 20th aspect,
An information processing apparatus characterized in that the first information includes an information leakage prevention program for preventing the second information from leaking.
第21の観点によれば、
汎用インターフェースを介して情報処理装置と接続される記憶装置の第1の記憶領域から第1の情報を読み出す第1のステップと、
記憶装置の第2の記憶領域に記憶された編集可能な第2の情報の情報処理装置における取扱いを第1の情報により制御することで、第2の情報の漏洩を防止する第2のステップと
を情報処理装置に実行させるコンピュータプログラムであって、
第1の情報は、
第2の情報の格納が許容される格納先を含むことを特徴とするコンピュータプログラムが提供される。
According to the twenty-first aspect,
A first step of reading first information from a first storage area of a storage device connected to the information processing device via a general-purpose interface;
A second step for preventing leakage of the second information by controlling the handling of the editable second information stored in the second storage area of the storage device by the first information by the first information; A computer program for causing an information processing apparatus to execute
The first information is
A computer program is provided that includes a storage location where the second information is allowed to be stored.
本発明の第22の観点によれば、
端末装置が備える汎用インターフェースに対して着脱可能な記憶装置であって、
端末装置によって択一的に認識される第1の記憶領域および第2の記憶領域と、
第1の記憶領域に記憶され、端末装置に認識される記憶領域を第1の記憶領域から第2の記憶領域へと切り替えるための切り替えプログラムと、
第1の記憶領域に記憶され、端末装置に記憶装置が接続されたときに切り替えプログラムを端末装置において起動させるための起動ファイルと、
を備え、
端末装置は、記憶装置が接続されると、第1の記憶領域から起動ファイルを読み出して実行することで切り替えプログラムを起動し、端末装置に認識される記憶領域を第1の記憶領域から第2の記憶領域へと切り替える切り替え手段として機能することを特徴とする記憶装置が提供される。
According to a twenty-second aspect of the present invention,
A storage device detachable from a general-purpose interface provided in a terminal device,
A first storage area and a second storage area that are alternatively recognized by the terminal device;
A switching program for switching the storage area stored in the first storage area and recognized by the terminal device from the first storage area to the second storage area;
An activation file stored in the first storage area and for activating the switching program in the terminal device when the storage device is connected to the terminal device;
With
When the storage device is connected, the terminal device reads the startup file from the first storage area and executes it to start the switching program, and the storage area recognized by the terminal device is changed from the first storage area to the second storage area. A storage device is provided that functions as switching means for switching to the storage area.
本発明の第23の観点によれば、
第1の記憶領域は、読み出しのみ可能な記憶領域であり、第2の記憶領域は、読み出しおよび書き込みとも可能な記憶領域であることを特徴とする記憶装置が提供される。
According to a twenty-third aspect of the present invention,
A storage device is provided in which the first storage area is a storage area that can be read only, and the second storage area is a storage area that can be read and written.
本発明の第24の観点によれば、
起動ファイルは、autorun.infファイルであることを特徴とする記憶装置が提供される。
According to a twenty-fourth aspect of the present invention,
The startup file is autorun. A storage device is provided that is an inf file.
本発明の第25の観点によれば、
第1の記憶領域および第2の記憶領域はそれぞれ異なるパーティションであり、
切り替えプログラムは、第1の記憶領域であるパーティションを不可視状態に切り替えた後、第2の記憶領域であるパーティションを可視状態に切り替えることを特徴とする記憶装置が提供される。
According to a twenty-fifth aspect of the present invention,
The first storage area and the second storage area are different partitions,
A switching program is provided that switches a partition that is a first storage area to an invisible state and then switches a partition that is a second storage area to a visible state.
本発明の第26の観点によれば、
切り替えプログラムにしたがって端末装置が発行する切り替え命令を受信することで、端末装置に認識される記憶領域を第1の記憶領域から第2の記憶領域へと切り替える第1のコントローラを備えることを特徴とする記憶装置が提供される。
According to a twenty-sixth aspect of the present invention,
A first controller that switches a storage area recognized by the terminal apparatus from a first storage area to a second storage area by receiving a switching command issued by the terminal apparatus according to the switching program; A storage device is provided.
本発明の第27の観点によれば、
第1のコントローラは、切り替え命令を受信すると、第1の記憶領域の論理ユニット番号と第2の記憶領域の論理ユニット番号を変更することを特徴とする記憶装置が提供される。
According to a twenty-seventh aspect of the present invention,
When the first controller receives the switching command, a storage device is provided that changes the logical unit number of the first storage area and the logical unit number of the second storage area.
本発明の第28の観点によれば、
切り替えプログラムは、端末装置に認識される記憶領域を第1の記憶領域から第2の記憶領域へと切り替えたとしても記憶装置に割り当てられるドライブレターを維持する維持手段として端末装置を機能させることを特徴とする記憶装置が提供される。
According to a twenty-eighth aspect of the present invention,
The switching program causes the terminal device to function as a maintaining unit that maintains the drive letter assigned to the storage device even if the storage region recognized by the terminal device is switched from the first storage region to the second storage region. A storage device is provided.
本発明の第29の観点によれば、
切り替えプログラムは、第1の記憶領域に記憶されている情報漏洩防止プログラムを端末装置にインストールしてから、端末装置に認識される記憶領域を第1の記憶領域から第2の記憶領域へと切り替えることを特徴とする記憶装置が提供される。
According to a twenty-ninth aspect of the present invention,
The switching program installs the information leakage prevention program stored in the first storage area in the terminal device, and then switches the storage area recognized by the terminal device from the first storage area to the second storage area. A storage device is provided.
本発明の第30の観点によれば、
情報漏洩防止プログラムは、
記憶装置が端末装置から取り外されたことを検出する取り外し検出手段と、
記憶装置が端末装置から取り外されたことが検出されると、記憶装置から端末装置へとインストールされたプログラムおよびファイルをアンインストールする手段として、端末装置を機能させることを特徴とする記憶装置が提供される。
According to a thirtieth aspect of the present invention,
Information leakage prevention program
Removal detecting means for detecting that the storage device is removed from the terminal device;
Provided is a storage device characterized in that when it is detected that the storage device has been removed from the terminal device, the terminal device functions as means for uninstalling programs and files installed from the storage device to the terminal device. Is done.
本発明の第31の観点によれば、
端末装置において実行されるプロセスのうち、第2の記憶領域に対するアクセスを許可されたプロセスの識別情報を登録したホワイトリストを記憶した第3の記憶領域をさらに含み、
情報漏洩防止プログラムは、
端末装置において実行されているプロセスの識別情報が、ホワイトリストに登録されている識別情報と一致するか否かに応じて、第2の記憶領域に対するアクセスを制限するアクセス制限手段として、端末装置を機能させることを特徴とする記憶装置が提供される。
According to a thirty-first aspect of the present invention,
A third storage area storing a white list in which identification information of processes permitted to access the second storage area among processes executed in the terminal device is stored;
Information leakage prevention program
As an access restriction means for restricting access to the second storage area according to whether or not the identification information of the process executed in the terminal device matches the identification information registered in the white list, the terminal device is A storage device is provided that is functional.
本発明の第32の観点によれば、
第3の記憶領域には、端末装置において実行されるプロセスのうち、アクセス対象の如何にかかわらず、動作をキャンセルされるプロセスの識別情報を登録したブラックリストを記憶しており、
情報漏洩防止プログラムは、
端末装置において実行されているプロセスの識別情報が、ブラックリストに登録されている識別情報と一致すると、プロセスによる動作をキャンセルするキャンセル手段として、端末装置を機能させることを特徴とする記憶装置が提供される。
According to a thirty-second aspect of the present invention,
The third storage area stores a black list in which identification information of processes to be canceled regardless of the access target among processes executed in the terminal device is registered.
Information leakage prevention program
Provided by a storage device that causes a terminal device to function as canceling means for canceling an operation by a process when the identification information of a process executed in the terminal device matches the identification information registered in the black list Is done.
本発明の第33の観点によれば、
アクセス制限手段は、
端末装置において実行されているプロセスの識別情報が、ブラックリストおよびホワイトリストのいずれにも登録されていない場合、このプロセスが記憶装置の記憶領域にアクセスすることを限定することを特徴とする記憶装置が提供される。
According to a thirty-third aspect of the present invention,
Access restriction means
A storage device characterized by limiting access to a storage area of a storage device when the identification information of the process being executed in the terminal device is not registered in either the black list or the white list Is provided.
本発明の第34の観点によれば、
記憶装置に予め記憶されている認証情報と、端末装置または記憶装置に設けられた入力手段から入力された認証情報とを用いて認証処理を実行する認証手段をさらに含み、認証処理が成功すると、切り替えプログラムが、端末装置に認識される記憶領域を第1の記憶領域から第2の記憶領域へと切り替えることを特徴とする記憶装置が提供される。
According to a thirty-fourth aspect of the present invention,
Further including authentication means for executing authentication processing using authentication information stored in advance in the storage device and authentication information input from an input means provided in the terminal device or the storage device, and when the authentication processing is successful, There is provided a storage device characterized in that the switching program switches the storage area recognized by the terminal device from the first storage area to the second storage area.
本発明の第35の観点によれば、
記憶装置に予め記憶されている認証情報と、端末装置または記憶装置に設けられた入力手段から入力された認証情報とを用いて認証処理を実行する認証手段をさらに含み、認証処理が成功すると、情報漏洩防止プログラムは、記憶装置に対するアクセスの制限を解除する解除手段として端末装置を機能させることを特徴とする記憶装置が提供される。
According to a thirty-fifth aspect of the present invention,
Further including authentication means for executing authentication processing using authentication information stored in advance in the storage device and authentication information input from an input means provided in the terminal device or the storage device, and when the authentication processing is successful, The information leakage prevention program provides a storage device characterized by causing a terminal device to function as release means for releasing the restriction on access to the storage device.
本発明の第36の観点によれば、
切り替えプログラムは、記憶装置に認証情報が予め記憶されていなければ、認証情報の初期登録を実行する登録手段として端末装置を機能させることを特徴とする記憶装置が提供される。
According to a thirty-sixth aspect of the present invention,
If the authentication information is not stored in the storage device in advance, the switching program provides a storage device that causes the terminal device to function as registration means for performing initial registration of the authentication information.
本発明の第37の観点によれば、
認証情報は、端末装置に付与されているMACアドレス、型式番号、製造番号およびIPアドレスのうち1つまたは複数を含む端末装置登録情報であることを特徴とする記憶装置が提供される。
According to a thirty-seventh aspect of the present invention,
A storage device is provided in which the authentication information is terminal device registration information including one or more of a MAC address, a model number, a manufacturing number, and an IP address assigned to the terminal device.
本発明の第38の観点によれば、
認証情報は、ユーザを特定するための識別子、パスワード、暗証番号、バイオメトリクス情報のうち1つまたは複数を含むユーザ登録情報であることを特徴とする記憶装置が提供される。
According to a thirty-eighth aspect of the present invention,
A storage device is provided, wherein the authentication information is user registration information including one or more of an identifier for identifying a user, a password, a personal identification number, and biometric information.
本発明の第39の観点によれば、
端末装置が備える汎用インターフェースに対して着脱可能な記憶装置の制御方法であって、
記憶装置は、
端末装置によって択一的に認識される第1の記憶領域および第2の記憶領域と、
第1の記憶領域に記憶され、端末装置に認識される記憶領域を第1の記憶領域から第2の記憶領域へと切り替えるための切り替えプログラムと、
第1の記憶領域に記憶され、端末装置に記憶装置が接続されたときに切り替えプログラムを端末装置において起動させるための起動ファイルと、
を備え、
端末装置が記憶装置に接続されると、第1の記憶領域から起動ファイルを読み出して実行するステップと、
起動ファイルにしたがって切り替えプログラムを実行するステップと、
切り替えプログラムにしたがって端末装置に認識される記憶領域を第1の記憶領域から第2の記憶領域へと切り替えるステップと
を含むことを特徴とする制御方法が提供される。
According to a thirty-ninth aspect of the present invention,
A method for controlling a storage device detachable from a general-purpose interface provided in a terminal device,
The storage device
A first storage area and a second storage area that are alternatively recognized by the terminal device;
A switching program for switching the storage area stored in the first storage area and recognized by the terminal device from the first storage area to the second storage area;
An activation file stored in the first storage area and for activating the switching program in the terminal device when the storage device is connected to the terminal device;
With
When the terminal device is connected to the storage device, the step of reading and executing the startup file from the first storage area;
Executing the switching program according to the startup file;
And a step of switching the storage area recognized by the terminal device from the first storage area to the second storage area in accordance with the switching program.
本発明の第40の観点によれば、
端末装置が備える汎用インターフェースに対して着脱可能であり、端末装置によって択一的に認識される第1の記憶領域および第2の記憶領域とを備えた記憶装置において、端末装置に接続されたときにコンピュータプログラムを端末装置において起動させるための起動ファイルとともに第1の記憶領域に記憶されたコンピュータプログラムであって、記憶装置が端末装置に接続されたことで第1の記憶領域から読み出された起動ファイルにしたがってコンピュータプログラムが端末装置によって起動されると、端末装置に認識される記憶領域を第1の記憶領域から第2の記憶領域へと切り替える切り替え手段として端末装置を機能させることを特徴とするコンピュータプログラムが提供される。
According to a forty aspect of the present invention,
When connected to a terminal device in a storage device that is detachable from a general-purpose interface provided in the terminal device and includes a first storage area and a second storage area that are alternatively recognized by the terminal device A computer program stored in the first storage area together with an activation file for starting the computer program in the terminal device, and read from the first storage area when the storage device is connected to the terminal device When the computer program is activated by the terminal device according to the activation file, the terminal device functions as switching means for switching the storage area recognized by the terminal apparatus from the first storage area to the second storage area. A computer program is provided.
本発明の第41の観点によれば、
切り替え手段は、第1の記憶領域に記憶されている情報漏洩防止プログラムを端末装置にインストールしてから、端末装置に認識される記憶領域を第1の記憶領域から第2の記憶領域へと切り替えることを特徴とするコンピュータプログラムが提供される。
According to a forty-first aspect of the present invention,
The switching means installs the information leakage prevention program stored in the first storage area in the terminal device, and then switches the storage area recognized by the terminal device from the first storage area to the second storage area. A computer program is provided.
本発明の第42の観点によれば、
情報漏洩防止プログラムは、
記憶装置が端末装置から取り外されたことを検出する取り外し検出手段と、
記憶装置が端末装置から取り外されたことが検出されると、記憶装置から端末装置へとインストールされたプログラムおよびファイルをアンインストールする手段として、端末装置を機能させることを特徴とする観点22に記載のコンピュータプログラムが提供される。
According to a forty-second aspect of the present invention,
Information leakage prevention program
Removal detecting means for detecting that the storage device is removed from the terminal device;
According to
本発明の第43の観点によれば、
着脱可能な記憶装置を汎用インターフェースに接続する端末装置であって、
記憶装置は、
端末装置によって択一的に認識される第1の記憶領域および第2の記憶領域と、
第1の記憶領域に記憶され、端末装置に認識される記憶領域を第1の記憶領域から第2の記憶領域へと切り替えるための切り替えプログラムと、
第1の記憶領域に記憶され、端末装置に記憶装置が接続されたときに切り替えプログラムを端末装置において起動させるための起動ファイルと、
を備え、
端末装置は、
記憶装置が接続されると、第1の記憶領域から起動ファイルを読み出し、起動ファイルにしたがって切り替えプログラムを実行する手段と、
切り替えプログラムにしたがって端末装置から認識可能な記憶領域を第1の記憶領域から第2の記憶領域へと切り替える切り替え手段と
を含むことを特徴とする端末装置が提供される。
According to a 43rd aspect of the present invention,
A terminal device for connecting a removable storage device to a general-purpose interface,
The storage device
A first storage area and a second storage area that are alternatively recognized by the terminal device;
A switching program for switching the storage area stored in the first storage area and recognized by the terminal device from the first storage area to the second storage area;
An activation file stored in the first storage area and for activating the switching program in the terminal device when the storage device is connected to the terminal device;
With
The terminal device
Means for reading a startup file from the first storage area and executing a switching program according to the startup file when the storage device is connected;
There is provided a terminal device comprising switching means for switching a storage area recognizable from the terminal device from the first storage area to the second storage area in accordance with the switching program.
第44の観点によれば、
情報漏洩防止プログラムは、ホワイトリストに登録されているファイル操作プログラムまたはメーラープログラムによるファイルの漏洩を防止するためにレジストリを一時的に変更するレジストリ変更手段として、端末装置を機能させることを特徴とする記憶装置が提供される。
According to a forty-fourth aspect,
The information leakage prevention program causes a terminal device to function as registry changing means for temporarily changing a registry in order to prevent leakage of a file by a file operation program or a mailer program registered in a white list. A storage device is provided.
第45の観点によれば、
情報漏洩防止プログラムは、ホワイトリストに登録されているファイル操作プログラムによるファイルの漏洩を防止するために通信装置から外部へ送信されるファイルが情報漏洩対象ファイルであるか否かを監視し、情報漏洩対象ファイルが送信対象として指定されると、その送信を禁止する送信禁止手段として、端末装置を機能させることを特徴とする記憶装置が提供される。
According to a 45th aspect,
The information leakage prevention program monitors whether or not a file transmitted from a communication device to the outside is a file subject to information leakage in order to prevent file leakage by a file operation program registered in the white list. When a target file is designated as a transmission target, a storage device is provided that causes a terminal device to function as a transmission prohibition unit that prohibits the transmission of the target file.
第46の観点によれば、
情報漏洩防止プログラムは、フレキシブルディスクドライブに書き込まれるファイルが情報漏洩対象ファイルであるか否かを監視し、情報漏洩対象ファイルが書き込み対象として指定されると、その書き込みを禁止する書き込み禁止手段として、端末装置を機能させることを特徴とする記憶装置が提供される。
According to a forty-sixth aspect,
The information leakage prevention program monitors whether or not the file written to the flexible disk drive is an information leakage target file, and when the information leakage target file is designated as a writing target, as a write prohibiting means for prohibiting the writing, There is provided a storage device characterized by functioning a terminal device.
第47の観点によれば、
情報漏洩防止プログラムは、情報漏洩対象ファイルまたはその一部を端末装置のメモリ上で複製するためのダイアログの表示が指定されると、当該ダイアログの表示を禁止するダイアログ禁止手段として、端末装置を機能させることを特徴とする記憶装置が提供される。
According to the 47th aspect,
The information leakage prevention program functions the terminal device as a dialog prohibiting means for prohibiting the display of the dialog when the display of the dialog for copying the information leakage target file or a part thereof in the memory of the terminal device is designated. A storage device is provided.
第48の観点によれば、
情報漏洩防止プログラムは、情報漏洩対象ファイルまたはその一部についての複数のウインドウ間でのドラックアンドドロップを監視し、ドラックアンドドロップが指定されると、その実行を禁止するドラックアンドドロップ禁止手段として、端末装置を機能させることを特徴とする記憶装置が提供される。
According to the 48th aspect,
The information leakage prevention program monitors the drag and drop between a plurality of windows for the information leakage target file or a part thereof, and when drag and drop is designated, as a drag and drop prohibition means for prohibiting the execution thereof, There is provided a storage device characterized by functioning a terminal device.
第49の観点によれば、
情報漏洩防止プログラムは、クリップボードの使用を独占することで、情報漏洩対象ファイルまたはその一部を該クリップボードへコピーすることを防止するクリップボード独占手段として、端末装置を機能させることを特徴とする記憶装置が提供される。
According to the 49th aspect,
An information leakage prevention program causes a terminal device to function as a clipboard exclusive means for preventing copying of an information leakage target file or a part thereof to the clipboard by monopolizing use of the clipboard Is provided.
第50の観点によれば、
汎用インターフェースを介して情報処理装置と接続される記憶装置において、
第1の情報を格納する第1の記憶領域と、
編集可能な第2の情報を格納する読み出し書き込み可能な第2の記憶領域とを有し、
第1の情報は、
第2の情報の漏洩を防止するために第2の情報の取扱いを制御する情報漏洩防止プログラムと、
前情報漏洩防止プログラムを情報処理装置において起動させるための起動ファイルと
を含むことを特徴とする記憶装置が提供される。
According to the 50th aspect,
In a storage device connected to an information processing device via a general-purpose interface,
A first storage area for storing first information;
A second writable storage area for storing editable second information,
The first information is
An information leakage prevention program for controlling the handling of the second information in order to prevent the leakage of the second information;
There is provided a storage device including a startup file for starting a previous information leakage prevention program in an information processing device.
第51の観点によれば、
情報漏洩防止プログラムは、
情報処理装置が所定のサーバと接続可能か否かを判定する接続判定手段と、
情報処理装置が所定のサーバと接続可能であれば、所定のサーバから受信した第1の情報を第2の情報に適用し、情報処理装置が所定のサーバと接続可能でなければ、第1の記憶領域に記憶されている第1の情報を第2の情報に適用する情報切り替え手段
として情報処理装置を機能させることを特徴とする記憶装置が提供される。
According to the 51st aspect,
Information leakage prevention program
Connection determination means for determining whether or not the information processing apparatus can connect to a predetermined server;
If the information processing apparatus can be connected to the predetermined server, the first information received from the predetermined server is applied to the second information. If the information processing apparatus is not connectable to the predetermined server, the first information There is provided a storage device characterized by causing an information processing device to function as information switching means for applying first information stored in a storage area to second information.
第52の観点によれば、
情報漏洩防止プログラムは、
単一の個人が記憶装置を使用するのどうかを判定する使用者判定手段と、
単一の個人が記憶装置を使用するのであれば、第1の記憶領域に記憶されている第1の情報を第2の情報に適用し、単一の個人が記憶装置を使用するのでなければ、所定のサーバから受信した第1の情報を第2の情報に適用する情報切り替え手段
として情報処理装置を機能させることを特徴とする記憶装置が提供される。
According to the 52nd aspect,
Information leakage prevention program
User determination means for determining whether a single individual uses the storage device;
If a single individual uses the storage device, the first information stored in the first storage area is applied to the second information, unless the single individual uses the storage device. There is provided a storage device characterized by causing an information processing device to function as information switching means for applying first information received from a predetermined server to second information.
第53の観点によれば、
情報漏洩防止プログラムは、
予め定められた単一の情報処理装置が記憶装置を使用するのか、予め定められた複数の情報処理装置が記憶装置を使用するのかを判定する判定手段と、
単一の情報処理装置が記憶装置を使用するのであれば、第1の記憶領域に記憶されている第1の情報を第2の情報に適用し、複数の情報処理装置が記憶装置を使用するのであれば、所定のサーバから受信した第1の情報を第2の情報に適用する情報切り替え手段
として情報処理装置を機能させることを特徴とする記憶装置が提供される。
According to the 53rd aspect,
Information leakage prevention program
Determining means for determining whether a predetermined single information processing device uses a storage device or a plurality of predetermined information processing devices use a storage device;
If a single information processing device uses a storage device, the first information stored in the first storage area is applied to the second information, and a plurality of information processing devices use the storage device. In this case, a storage device is provided in which the information processing apparatus functions as information switching means for applying the first information received from a predetermined server to the second information.
第54の観点によれば、
第1の情報は、
第2の情報を第2の記憶領域から読み出して不揮発性記憶手段へ格納することができる複数の情報処理装置の識別情報と、
複数の情報処理装置のそれぞれが第2の情報を第2の記憶領域から読み出して不揮発性記憶手段へ格納することができる時間帯を示す時間帯情報と
を含み、
情報漏洩防止プログラムは、
記憶装置が接続されている情報処理装置の識別情報に対応した時間帯情報に基づいて、情報処理装置による第2の情報の取扱いを制限することを特徴とする記憶装置が提供される。
According to the 54th aspect,
The first information is
Identification information of a plurality of information processing devices capable of reading the second information from the second storage area and storing the second information in the nonvolatile storage means;
Each of the plurality of information processing devices includes time zone information indicating a time zone in which the second information can be read from the second storage area and stored in the nonvolatile storage means,
Information leakage prevention program
A storage device is provided that restricts the handling of the second information by the information processing device based on time zone information corresponding to the identification information of the information processing device to which the storage device is connected.
第55の観点によれば、
第1の情報は、
複数のユーザのそれぞれに対応した第2の情報の取扱いを規定したユーザ設定を含むことを特徴とする記憶装置が提供される。
According to the 55th aspect,
The first information is
There is provided a storage device including user settings that define handling of second information corresponding to each of a plurality of users.
第56の観点によれば、
第1の情報は、
それぞれ一人以上のユーザからなるユーザグループごとに、第2の情報の取扱いを規定したユーザ設定を含むことを特徴とする記憶装置が提供される。
According to a 56th aspect,
The first information is
A storage device is provided that includes a user setting that defines the handling of the second information for each user group of one or more users.
第1、第18ないし第21、及び第50の観点によれば、汎用インターフェースを介して記憶装置が接続可能な情報処理装置から、記憶装置にある重要な情報が漏洩することを防止できる。 According to the first, eighteenth to twenty-first and fifty-first aspects, it is possible to prevent leakage of important information in the storage device from the information processing device to which the storage device can be connected via the general-purpose interface.
第2の観点によれば、情報漏洩防止プログラムを起動するためのユーザの負担を軽減することができる。 According to the second aspect, the burden on the user for starting the information leakage prevention program can be reduced.
第3の観点によれば、情報の漏洩防止に必要となる情報を最新の情報に維持しやすくなる。情報の漏洩防止に必要となる情報をサーバから遠隔的に更新できるため、記憶装置のセキュリティに関する管理に柔軟性をもたらすことができる。 According to the 3rd viewpoint, it becomes easy to maintain the information required for information leakage prevention in the newest information. Since information necessary for preventing information leakage can be updated remotely from the server, it is possible to provide flexibility in managing the security of the storage device.
第4の観点によれば、更に対象者以外に漏洩することを防止できる。 According to the 4th viewpoint, it can prevent leaking other than an object person further.
第5の観点によれば、情報処理装置において第2の情報を閲覧可能にしつつ、ハードディスクなどの不揮発性の記憶装置への格納を禁止することができる。 According to the fifth aspect, it is possible to prohibit storage in a non-volatile storage device such as a hard disk while allowing the information processing device to browse the second information.
第6の観点によれば、情報処理装置において編集された第2の情報を第2の記憶領域に格納することが可能となる。これにより、情報漏洩を抑制しつつ、第2の情報を様々な情報処理装置を用いて更新することが可能となる。 According to the sixth aspect, the second information edited in the information processing apparatus can be stored in the second storage area. Thereby, it is possible to update the second information using various information processing devices while suppressing information leakage.
第7の観点によれば、情報処理装置から記憶装置が取り外されると、第1の情報および第2の情報を情報処理装置からアンインストールすることで、情報漏洩を抑制できる。 According to the seventh aspect, when the storage device is removed from the information processing apparatus, information leakage can be suppressed by uninstalling the first information and the second information from the information processing apparatus.
第8の観点によれば、第2の情報の格納先が特定されている場合、第2の情報を第2の記憶領域以外を格納先とすることができる。例外的に、第2の情報の格納先が特定されていれば、その格納先への情報の格納を許容することで、使用者の利便性が確保されよう。 According to the eighth aspect, when the storage destination of the second information is specified, the second information can be set as a storage destination other than the second storage area. Exceptionally, if the storage location of the second information is specified, the convenience of the user will be secured by allowing the storage of the information in the storage location.
第9の観点によれば、情報処理装置を通じて第2の情報をネットワーク上に配信することを可能にできる。 According to the ninth aspect, it is possible to distribute the second information on the network through the information processing apparatus.
第10の観点によれば、第2の情報が情報処理装置内に格納されることを禁止できUSBメモリのデータを残したまま放置するのを防止できる。 According to the tenth aspect, the second information can be prohibited from being stored in the information processing apparatus, and can be prevented from leaving the data in the USB memory remaining.
第11の観点によれば、情報処理装置のプログラム動作を監視、制御を行う手段がカーネルモードにて動作するため、情報漏洩をコンピュータ上効率良く防止できる。 According to the eleventh aspect, since the means for monitoring and controlling the program operation of the information processing apparatus operates in the kernel mode, information leakage can be efficiently prevented on the computer.
第12の観点によれば、レジストリの変更があった場合、レジストリを変更前の情報に戻すことで、情報漏洩やレジストリの改ざんを抑制できる。 According to the twelfth aspect, when there is a registry change, information leakage and registry alteration can be suppressed by returning the registry to the information before the change.
第13の観点によれば、第2の情報が、メール送信されたり壁紙として使用されたりして情報漏洩することを抑制できる。 According to the thirteenth aspect, it is possible to suppress the second information from being leaked by being transmitted by e-mail or being used as wallpaper.
第14ないし第15の観点によれば、情報漏洩を引き起こす可能性のあるデバイスを予め無効化することで、情報漏洩を抑制できる。 According to the fourteenth to fifteenth aspects, information leakage can be suppressed by disabling a device that may cause information leakage in advance.
第16ないし第17の観点によれば、ダイアログ表示、ドラックアンドドロップ、クリップボードなど、第2の情報の全部又はその一部の情報漏洩を招く動作を抑制することができる。 According to the sixteenth to seventeenth aspects, operations that cause information leakage of all or part of the second information, such as dialog display, drag and drop, and a clipboard, can be suppressed.
第19、20の観点によれば、複数のユーザが情報処理装置を利用する場合他人のデータファイルを誤って漏洩するのを防止できる。 According to the nineteenth and twentieth aspects, when a plurality of users use the information processing apparatus, it is possible to prevent the other person's data file from being leaked by mistake.
本発明の第22、第39、第40および第43の観点によれば、記憶装置を端末装置に接続すると、自動的に、記憶領域が切り替えられるため、ユーザの負担が軽くなるだろう。すなわち、第1の記憶領域および第2の記憶領域は、端末装置によって択一的に認識されるため、端末装置への影響も軽減しよう。 According to the twenty-second, thirty-ninth, forty-first and forty-third aspects of the present invention, when the storage device is connected to the terminal device, the storage area is automatically switched, so that the burden on the user will be reduced. That is, since the first storage area and the second storage area are alternatively recognized by the terminal device, the influence on the terminal device will be reduced.
第23の観点によれば、第1の記憶領域を読み出しのみ可能とし、第2の記憶領域を読み出しおよび書き込みとも可能とすることで、情報漏洩の防止が期待できる。一般に、機密情報等は、読み出しおよび書き込みとも可能な第2の記憶領域に記憶される、そゆれえ、切り替えプログラムがインストールされなければ、機密情報等が記憶された第2の記憶領域が端末装置によって認識されないからである。 According to the twenty-third aspect, it is possible to prevent information leakage by making the first storage area only readable and allowing the second storage area to be read and written. Generally, confidential information and the like are stored in a second storage area that can be read and written. If the switching program is not installed, the second storage area in which confidential information or the like is stored is a terminal device. It is because it is not recognized by.
第24の観点によれば、広く普及したautorun.infファイルが利用されるため、簡単で精度良く、かつ低コストで記憶装置を提供できる。 According to the twenty-fourth aspect, widely used autorun. Since the inf file is used, a storage device can be provided easily, accurately, and at low cost.
第25の観点によれば、複数の記憶領域がパーティションによって実現されるため、記憶装置が備えるメモリなどのハードウエアに依存することなく、本願発明を実現できる。また、第2の記憶領域についてはサイズを変更したり、パーティションを分割したりすることも容易となる利点もある。 According to the twenty-fifth aspect, since the plurality of storage areas are realized by partitions, the present invention can be realized without depending on hardware such as a memory included in the storage device. Further, there is an advantage that the second storage area can be easily changed in size or divided into partitions.
第26の観点によれば、第1および第2の記憶領域が物理的に異なるメモリ上に確保されるため、第2の記憶領域を除き見ることを抑制しやすくなる。パーティション技術により複数の記憶領域を確保すると、パーティションを可視状態にすることで、複数の記憶領域が同時に端末装置に認識されてしまう。よって、物理的にメモリを切り替える構成を採用すれば、複数の記憶領域を同時に認識させることは極めて困難となる。 According to the twenty-sixth aspect, since the first and second storage areas are secured on physically different memories, it is easy to suppress viewing except for the second storage area. When a plurality of storage areas are secured by the partition technology, the plurality of storage areas are simultaneously recognized by the terminal device by making the partition visible. Therefore, if a configuration in which the memory is physically switched is adopted, it is extremely difficult to recognize a plurality of storage areas at the same time.
第27の観点によれば、論理ユニット番号を変更するだけで、比較的簡単に、記憶領域の切り替えを実現できる。 According to the twenty-seventh aspect, the storage area can be switched relatively easily by simply changing the logical unit number.
第28の観点によれば、ドライブレターが維持されるようになるため、ユーザは、記憶領域が変更されたことを気にしなくて済む。また、ドライブレターが枯渇しにくくなる。 According to the twenty-eighth aspect, since the drive letter is maintained, the user does not have to worry about the storage area being changed. In addition, the drive letter is less likely to be exhausted.
第29および第41の観点によれば、情報漏洩防止プログラムが端末装置にインストールされてから第2の記憶領域が認識可能となるため、第2の記憶領域に関する情報漏洩を抑制しやすくなる。すなわち、情報漏洩防止プログラムがインストールされなければ、第2の記憶領域が認識可能とならないからである。 According to the twenty-ninth and forty-first aspects, since the second storage area can be recognized after the information leakage prevention program is installed in the terminal device, it is easy to suppress information leakage related to the second storage area. That is, if the information leakage prevention program is not installed, the second storage area cannot be recognized.
第30および第42の観点によれば、記憶装置が端末装置から外されたときは、関連するプログラムやファイルがすべて削除されるため、情報の漏洩が抑制される。 According to the thirtieth and forty-second aspects, when the storage device is removed from the terminal device, since all related programs and files are deleted, information leakage is suppressed.
第31の観点によれば、ホワイトリストに登録されていないプロセスが第2の記憶領域にアクセスすることを制限できるため、意図しないプロセスによって情報が漏洩する事態を抑制できる。 According to the thirty-first aspect, since a process not registered in the white list can be restricted from accessing the second storage area, a situation in which information is leaked by an unintended process can be suppressed.
第32の観点によれば、ブラックリストに登録されているプロセスはアクセスを禁止されるため、悪質なウイルス等から記憶装置や端末装置を保護しやすくなる。 According to the thirty-second aspect, since the process registered in the black list is prohibited from accessing, it becomes easy to protect the storage device and the terminal device from malicious viruses and the like.
第33の観点によれば、ホワイトリストにもブラックリストにも登録されていないプロセスが第2の記憶領域にアクセスすることを限定できるため、ユーザが意図的に許可したプロセス以外のアクセスを制限できる。 According to the thirty-third aspect, since it is possible to limit the process not registered in the white list or the black list from accessing the second storage area, it is possible to limit access other than the process that is intentionally permitted by the user. .
第34の観点によれば、認証が成功しなければ、第2の記憶領域へのアクセスが許可されないため、情報漏洩の可能性をさらに低減できる。 According to the thirty-fourth aspect, since the access to the second storage area is not permitted unless the authentication is successful, the possibility of information leakage can be further reduced.
第35の観点によれば、認証が成功しなければ、第2の記憶領域へのアクセスの制限が解除されないため、情報漏洩の可能性をさらに低減できる。 According to the thirty-fifth aspect, if the authentication is not successful, the restriction on access to the second storage area is not lifted, so that the possibility of information leakage can be further reduced.
第36の観点によれば、認証情報が何も登録されていないときは認証情報を初期登録することが可能となる。 According to the thirty-sixth aspect, authentication information can be initially registered when no authentication information is registered.
第37および38の観点によれば、端末装置やユーザの固有情報が使用されるため、認証処理のセキュリティを高めることが期待される。 According to the thirty-seventh and thirty-eighth aspects, since the unique information of the terminal device and the user is used, it is expected to improve the security of the authentication process.
第44の観点によれば、ホワイトリストに登録せざるを得ないファイル操作プログラムによるファイルの漏洩についても防止できるようになる。 According to the forty-fourth aspect, file leakage caused by a file operation program that must be registered in the white list can be prevented.
第45の観点によれば、ホワイトリストに登録せざるを得ないファイル操作プログラムによる通信装置を介したファイルの漏洩についても防止できるようになる。 According to the forty-fifth aspect, file leakage via a communication device by a file operation program that must be registered in the white list can be prevented.
第46の観点によれば、特殊な状況下で発生しうるフレキシブルディスクドライブを通じたファイルの漏洩を防止できる。 According to the forty-sixth aspect, file leakage through a flexible disk drive that may occur under special circumstances can be prevented.
第47の観点によれば、所定のダイアログの表示を禁止することで、情報漏洩対象ファイルまたはその一部が端末装置のメモリ上での複製を防止できる。 According to the forty-seventh aspect, by prohibiting the display of a predetermined dialog, the information leakage target file or a part thereof can be prevented from being copied on the memory of the terminal device.
第48の観点によれば、情報漏洩対象ファイルまたはその一部についての複数のウインドウ間でのドラックアンドドロップによる情報漏洩を防止できる。 According to the forty-eighth aspect, information leakage due to drag and drop between a plurality of windows of an information leakage target file or a part thereof can be prevented.
第49の観点によれば、クリップボードの使用を独占することで、情報漏洩対象ファイルまたはその一部をクリップボードへコピーすることを防止できるようになる。 According to the forty-ninth aspect, by monopolizing the use of the clipboard, it is possible to prevent the information leakage target file or a part thereof from being copied to the clipboard.
第51の観点によれば、サーバと接続可能であればサーバに保持されている情報にしたがって情報漏洩を防止でき、サーバと接続可能でなければ記憶装置に情報にしたがって情報漏洩を防止できる。例えば、サーバと接続できないような環境では、より厳格なアクセス制限を適用することが可能となる。 According to the fifty-first aspect, information leakage can be prevented according to information held in the server if it can be connected to the server, and information leakage can be prevented according to the information in the storage device if it is not connectable to the server. For example, in an environment where connection to a server is not possible, it is possible to apply stricter access restrictions.
第52及び第53の観点によれば、単一の個人が使用するのか、複数の個人からなるグループが使用するのかに応じて、セキュリティレベルを変更することが可能となる。 According to the 52nd and 53rd aspects, the security level can be changed depending on whether a single individual uses or a group of a plurality of individuals uses.
第54の観点によれば、記憶装置が情報処理装置に接続されている時間帯に応じてセキュリティレベルを変更することが可能となる。 According to the 54th aspect, it is possible to change the security level according to the time zone in which the storage device is connected to the information processing device.
第55の観点によれば、複数のユーザが記憶装置を使用する場合に、ユーザごとにセキュリティレベルを変更することが可能となる。
第56の観点によれば、ユーザグループごとに、セキュリティレベルを変更することが可能となる。
According to the fifty-fifth aspect, when a plurality of users use a storage device, the security level can be changed for each user.
According to the 56th viewpoint, it becomes possible to change a security level for every user group.
以下に本発明の一実施形態を示す。以下で説明される個別の実施形態は、本発明の上位概念、中位概念および下位概念など種々の概念を理解するために役立つであろう。また、本発明の技術的範囲は、特許請求の範囲によって確定されるのであって、以下の個別の実施形態によって限定されるわけではない。 An embodiment of the present invention is shown below. The individual embodiments described below will help to understand various concepts, such as the superordinate concept, intermediate concept and subordinate concept of the present invention. Further, the technical scope of the present invention is determined by the scope of the claims, and is not limited by the following individual embodiments.
図1は、本発明に係る記憶装置の実施形態であるUSBストレージデバイスとそれに接続される端末装置とを示す概略構成図である。ここでは、汎用インターフェースであるUSBインターフェースにメモリを一体化したUSBストレージデバイスについて説明するが、本発明は、メモリ以外の記憶媒体を採用するUSBストレージデバイスに適用できる。また、端末装置とのインターフェースもUSBインターフェースに限定されることはなく、IEEE1394、ワイヤレスUSBなどであってもよい。 FIG. 1 is a schematic configuration diagram showing a USB storage device which is an embodiment of a storage device according to the present invention and a terminal device connected thereto. Although a USB storage device in which a memory is integrated with a USB interface that is a general-purpose interface will be described here, the present invention can be applied to a USB storage device that employs a storage medium other than a memory. Further, the interface with the terminal device is not limited to the USB interface, and may be IEEE 1394, wireless USB, or the like.
USBストレージデバイス10は、端末装置が備える汎用インターフェースに対して着脱可能な記憶装置の一例であり、コントローラ12、USBインターフェース13、発光ダイオード(LED)14、フラッシュメモリ15、指紋認証デバイス11を備えている。
The
コントローラ12は、メモリ制御部12−1、メモリ情報記憶部12−2、USBインターフェース制御部12−3、および、LED制御部12−4を備える。メモリ制御部12−1は、USBインターフェース13を介して受信した命令に従って、フラッシュメモリ15に対してデータの読み出し、書き込みおよび削除を実行する。メモリ情報記憶部12−2は、フラッシュメモリ15に確保された複数の記憶領域に関する情報(例:パーティションのサイズ、ドライブレターなど)を記憶する。USBインターフェース制御部12−3は、後述するUSBインターフェース13の各部を制御する。LED制御部12−4は、後述するLED14の発光を制御する。
The
USBインターフェース13は、USBバス31を介して、パーソナルコンピュータなどの端末装置20と通信を行う。USBインターフェース13は、パケット送受信部13−1、シリアルパラレル変換部13−2、パケット生成分解部13−3、および、USBバスパワー制御部13−4とを備える。パケット送受信部13−1は、図示しないUSBコネクタと接続され、USB規格に基づいたパケットを送受信する。シリアルパラレル変換部13−2は、シリアルデータとパラレルデータとを相互に変換する。パケット生成分解部13−3は、端末装置と通信を行うためのパケットの生成およびパケットを分解してデータの取り出しを行う。USBバスパワー制御部13−4は、端末装置から供給される電力の管理およびUSBストレージデバイス10の各部への電力の配分を行う。
The
LED14は、フラッシュメモリ15に対してファイルの読み出し、書き込み、削除が実行されている際に点灯する発光体である。フラッシュメモリ15に対してファイルの読み出し、書き込みおよび削除が実行中であることを利用者に示す。
The
フラッシュメモリ15は、記憶保持動作が不要な半導体メモリであり、ファイルや情報を記憶することができる。記憶したデータは、メモリ制御部12−1によって読み出し、書き込み、削除をすることもできる。フラッシュメモリ15は、記憶保持動作が必要な他の記憶素子に置換されてもよい。
The
指紋認証デバイス11は、指紋を読み取ることで使用者認証を行うデバイスである。指紋認証デバイス11は、他のバイオメトリクスを実行する認証デバイスに置換されてもよい。この指紋認証デバイス11についてはいわゆるオプションであって、指紋認証を使用者認証に含めない場合には不要である。一方で、指紋認証デバイス11がUSBストレージデバイス10に搭載されているからといって使用者認証が指紋認証に限定される必要もない。すなわち、指紋認証デバイス11は認証機能を無効とされてもよいし、無効に加えて、他の認証方法が採用されてもよい。例えば、端末装置に付与されているMACアドレス、型式番号、製造番号およびIPアドレスのうち1つまたは複数を含む端末装置登録情報を予めフラッシュメモリ15に記憶しておき、端末装置20から受信した情報と比較することで、認証を実行してもよい。また、ユーザを特定するための識別子、パスワード、暗証番号、バイオメトリクス情報のうち1つまたは複数を含むユーザ登録情報を予めフラッシュメモリ15に記憶しておき、端末装置20から受信した情報と比較することで、認証を実行してもよい。なお、一般的な指紋認証デバイスには、内部で認証を済ませ端末装置側へ認証結果を送信するものと、指紋データを端末装置側に送信して端末装置側で認証を行うものとがある。本発明では、どちらが採用されてもよい。
The
端末装置20は、USBストレージデバイス10の接続先であり、例えば、パーソナルコンピュータである。端末装置20は、例えば、CPU21、ROM22、RAM23、ディスクコントローラ24、ハードディスクドライブ(HDD)25、CD/DVDドライブ26、モニタ27、ポインティングデバイス28、USBインターフェース29、システムバス30を備えている。
The
CPU21は、ROM22やHDD25に記憶されているコンピュータプログラムに基づいて各部を制御するプロセッサである。RAM(Random Access Memory)23は、ワークエリアとして機能する。ROM(Read Only Memory)22は、不揮発性の記憶素子であり、ファームウエアなどを記憶する。ディスクコントローラ24は、HDD25、CD/DVDドライブ26に対する読み書きを制御する。HDD25には、オペレーティングシステム、アプリケーションプログラムなどが記憶されている。なお、USBストレージデバイス10から転送される、記憶領域の切り替えプログラムや情報漏洩防止プログラムなどもHDD25に格納される。CPU21と各部は、システムバス30を介して命令やデータの送受信を実行する。
The
USBインターフェース29は、USBバス31を介してUSBストレージデバイス10内部のUSBインターフェース13と接続する。すなわち、USBバス31を介して端末装置20とUSBストレージデバイス10とが双方向にデータの送受信を行う。
The
以降の説明では、端末装置20がパーソナルコンピュータであることを前提にしているが、端末装置20が一般的なパーソナルコンピュータと同等以上、若しくはそれに準ずる演算処理能力を有する機器であるならばその種類、機種は限定されるものではない。例えば、ネットワークを介さない情報処理装置であってもよい。
In the following description, it is assumed that the
[実施例1]
図2は、実施例1に係るフラッシュメモリ15に確保された記憶領域および当該記憶領域へ記憶されているデータ、ソフトウエア、インストーラの一例を示した図である。とりわけ、実施例1では、端末装置20によって択一的に認識される第1の記憶領域16および第2の記憶領域17とがUSBストレージデバイス10に確保される。このように複数の記憶領域を確保する方法はいくつか存在する。
[Example 1]
FIG. 2 is a diagram illustrating an example of a storage area secured in the
例えば、単一のデバイスであるフラッシュメモリ15を、ソフトウエア上で二つの領域(第1の記憶領域16、第2の記憶領域17)に分割する方法がある。なお、読み出しのみ可能な領域を第1の記憶領域16とし、読み出し、書き込みが可能な領域を第2の記憶領域17をとする。
For example, there is a method of dividing the
領域を分割する2つ目の方法は、複数のフラッシュメモリを必要に応じてソフトウエア上で分割して二つの記憶領域を確保する方法である。例えば、4つのフラッシュメモリ素子がある場合、1つめフラッシュメモリ素子を第1の記憶領域16とし、残りの3つのフラッシュメモリ素子を第2の記憶領域17に割り当ててもよい。
The second method of dividing the area is a method of securing two storage areas by dividing a plurality of flash memories on software as necessary. For example, when there are four flash memory elements, the first flash memory element may be assigned to the
なお、端末装置20のCPU21(オペレーティングシステム:OS)から複数の領域を選択的に認識する方法としては、LUN(論理ユニット番号)を使用する方法がある。LUNは、1つのターゲットでありながら、複数のアクセス可能な論理装置を有するデバイスにおいて、各論理装置を識別するために付与されるアドレス(広義)のことである。OS(およびそのドライバ、以下同様)は、1つのLUNを割り振った論理ドライブを、ドライブレターを付与した1つの物理ドライブとして認識する。単一のデバイスへ複数のLUNを割り振ればその割り振られたLUNの数だけ物理ドライブを作成できる。
As a method for selectively recognizing a plurality of areas from the CPU 21 (operating system: OS) of the
本発明においては、複数のアクセス可能な論理装置(第1の記憶領域、第2の記憶領域、(秘匿領域))にそれぞれLUNを割り当てることで、一つのターゲットであるUSBストレージデバイスを複数の論理ドライブ(物理ドライブ)を有するデバイスとしてOSに認識できるようにしている。 In the present invention, a LUN is assigned to each of a plurality of accessible logical devices (first storage area, second storage area, and (secret area)), so that one target USB storage device is assigned to a plurality of logical devices. The OS can be recognized as a device having a drive (physical drive).
複数の記憶領域のうち、第1の記憶領域16は、USBストレージデバイス10が端末装置20に接続された際にデフォルトで認識される記憶領域であり、その内部にはソフトウエア部16−1aと、自動インストーラ16−2が記憶されている。
Among the plurality of storage areas, the
ソフトウエア部16−1aは、1つ以上のアプリケーションプログラム、その設定ファイルなど、複数のコンピュータプログラムおよびその他のファイルを含む。アプリケーションプログラムには、少なくとも、端末装置20が認識する記憶領域を切り替える記憶領域変更プログラムが含まれる。すなわち、記憶領域変更プログラムは、第1の記憶領域16に記憶され、端末装置20に認識される記憶領域を第1の記憶領域16から第2の記憶領域17へと切り替えるコンピュータプログラムである。
The software unit 16-1a includes a plurality of computer programs and other files such as one or more application programs and setting files thereof. The application program includes at least a storage area changing program for switching a storage area recognized by the
自動インストーラ16−2は、ソフトウエア部16−1aを端末装置20へインストール(格納)するインストーラプログラム(例:autorun.infやsetup.exe)である。これらソフトウエア部16−1aと自動インストーラ16−2は連動してインストール動作が行えるものであればよい。すなわち、ソフトウエアの記憶形式は特に本発明にとって重要ではなく、自動インストーラ16−2もソフトウエア部16−1aを端末装置20へインストールできるのであれば形式を問わない。
The automatic installer 16-2 is an installer program (for example, autorun.inf or setup.exe) that installs (stores) the software unit 16-1a in the
例えば、ソフトウエア部16−1aが書庫形式等で圧縮された1つのファイルである場合、autorun.infなどの起動ファイルにしたがってCPU21が自動インストーラ16−2を起動する。autorun.infなどの起動ファイルは、第1の記憶領域17に記憶され、端末装置20に記憶装置(USBストレージデバイス10)が接続されたときに切り替えプログラムを端末装置20において起動させるためのソフトウエアである。
For example, when the software unit 16-1a is a single file compressed in an archive format or the like, autorun. The
起動した自動インストーラ16−2は、圧縮されたソフトウエア部16−1aを解凍し、HDD25のディレクトリへ展開する。一方、ソフトウエア部16−1aが無圧縮で記憶されているのであれば、起動した自動インストーラ16−2は、ソフトウエア部16−1aをそのまま端末装置20のHDD25にコピーする。
The activated automatic installer 16-2 decompresses the compressed software section 16-1a and expands it to a directory on the
一方、ソフトウエア部16−1aは自己解凍形式の実行ファイルであってもよい。この場合、autorun.infなどの起動ファイルを除き、自動インストーラ16−2を不要にできる利点がある。以下の実施例では、ソフトウエア部16−1aのインストールに自動インストーラ16−2が必要であるということを前提に話を進める。 On the other hand, the software unit 16-1a may be a self-extracting executable file. In this case, autorun. There is an advantage that the automatic installer 16-2 can be made unnecessary except for a startup file such as inf. In the following embodiment, the description will proceed on the assumption that the automatic installer 16-2 is necessary for installing the software section 16-1a.
第2の記憶領域17は、使用者が接続した端末装置20を操作し使用するデータ(例:文書ファイル、画像ファイル、プログラムファイル等)である、ユーザ使用ファイル17−1が格納されている。
The
HDD内記憶領域25−1は、端末装置20が備えるHDD25に確保された記憶領域である。ソフトウエア部25−2aは、第1の記憶領域16内にあるソフトウエア部16−1aが、HDD内記憶領域25−1へインストールされたものである。ソフトウエア部25−2aは、プログラム実行部25−4aを含む。プログラム実行部25−4aは、例えば、記憶領域変更プログラム、USBストレージデバイス10が外された際のソフトウエアの一部または全部を削除する自動アンインストールプログラム、および、ソフトウエア部25−2aに含まれるアプリケーションプラグラムの動作確認等を行うチェックプログラムなどである。チェックプログラムが必要な理由は次の通りである。本実施例では、USBストレージデバイス10に記憶されているアプリケーションプログラムのインストールをオートランで自動的に行うため、インストール失敗時に手動で再インストールすることが困難である。そこで、正常にインストールできているかどうかをチェックするチェックプログラムが必要となる。正常にインストールできていないときは、チェックプログラムは、自動インストーラ16−2を再度起動する。
The HDD storage area 25-1 is a storage area secured in the
図3は、実施例に係る領域変更処理の一例を示したフローチャートである。領域変更処理は、端末装置20にUSBストレージデバイス10が接続されると開始される。
FIG. 3 is a flowchart illustrating an example of the area changing process according to the embodiment. The area change process is started when the
ステップS301で、端末装置20のOS(CPU21)は、USBバス31を介して接続されたUSBストレージデバイス10のコントローラ12と通信を開始する。ここでまずOSは、USBストレージデバイス10を制御するためのデバイスドライバが有するデバイス情報取得コマンドによって、USBストレージデバイス10のデバイス情報を取得する。例えば、OSからの指令はデバイスドライバを介してSCSIコマンド等に変換されてUSBコントローラによって行われる。USBストレージデバイス10のコントローラ12は、USBインターフェース13を介してこのコマンドを受け取り、コントローラ12が記憶しているデバイス情報を返答する。
In step S <b> 301, the OS (CPU 21) of the
このデバイス情報取得コマンドは、例えば、Get_Descriptorコマンド(USB標準デバイスに含まれるUSB規格のコマンド)に代表されるコマンドである。USBストレージデバイス10から端末装置20へ送信されるデバイス情報は、例えば、接続されたUSB機器(USBストレージデバイス10)のディスクリプタである。ディスクリプタは、図示されないUSBストレージデバイス10の管理領域に格納されている。以降はUSB規格コマンドおよびSCSIコマンドを中心に話を進めるが、もちろんATAPIなど、サブクラスとして定義かつ使用可能なものであれば何でもよい。また、サブクラス毎に途中に公知の一つ以上のコマンド変換手段を介してコマンドの送受信を行ってもよい。
This device information acquisition command is, for example, a command represented by a Get_Descriptor command (a USB standard command included in a USB standard device). The device information transmitted from the
ステップS302で、OS(CPU21)は、SET Addressコマンドに代表されるアドレス設定コマンド(USBストレージデバイス10のアドレスを問い合せるコマンド)をUSBストレージデバイス10に送信し、USBストレージデバイス10からアドレス設定を受信する。以降で、OSは、受信したアドレス設定にしたがってフレームを送信する。
In step S <b> 302, the OS (CPU 21) transmits an address setting command represented by the SET Address command (a command for querying the address of the USB storage device 10) to the
ステップS303で、OS(CPU21)は、「Get Max Logical Unit Number API」コマンドに代表される論理ドライブ数取得コマンドにて、論理ユニット番号(LUN)の値をUSBストレージデバイス10から取得する。デフォルトで、USBストレージデバイス10のコントローラ12は、第1の記憶領域16の論理ユニット(LUN)の値が1であることを示す情報を返信する。
In step S <b> 303, the OS (CPU 21) acquires the value of the logical unit number (LUN) from the
ステップS304で、OS(CPU21)は、Inquiryコマンド(これはSCSIのコマンド)に代表されるフォーマット情報取得コマンドを用いて第1の記憶領域16のフォーマット情報を得る。USBストレージデバイス10のコントローラ12は、フォーマット情報としてCD−ROMであることを示すISO 9660を返信する。OSは、受信したフォーマット情報(例:ISO 9660)により、第1の記憶領域16がCD−ROMドライブであることを認識する。
In step S304, the OS (CPU 21) obtains the format information of the
図4は、実施例に係る端末装置が取得した記憶領域の管理情報の一例を示す図である。図4によれば、第1の記憶領域のLUNが0であり、フォーマットがISO9660であり、OSから認識可能であり、クラスがマスストレージであり、サブクラスがSCSIであることが示されている。 FIG. 4 is a diagram illustrating an example of storage area management information acquired by the terminal device according to the embodiment. FIG. 4 shows that the LUN of the first storage area is 0, the format is ISO9660, recognizable from the OS, the class is mass storage, and the subclass is SCSI.
図4によれば、第2の記憶領域17にはLUNが設定されていないため、ドライブとしてOS側から認識されないようになっている。
According to FIG. 4, since the LUN is not set in the
ステップS305で、OS(CPU21)は、ドライブとして認識した第1の記憶領域16から自動インストーラ16−2を起動し、起動した自動インストーラ16−2にしたがってソフトウエア部16−1aをHDD25の記憶領域25−1へインストールする。例えば、CPU21は、OSにしたがってautorun.infを読み出してそこに記述されている自動インストーラを起動する。ここでは自動インストールの例としてオートランインストールを用いたが、他の自動インストール技術を用いてもかまわない。
In step S305, the OS (CPU 21) activates the automatic installer 16-2 from the
なお、この際にインストールされるファイルは、ソフトウエア部16−1aの一部だけでもよい。プログラムやソフトウエアがすべてインストールされない一つの例としては、期間限定配布のプログラムをソフトウエア部16−1aに記憶させておいて、インストールの際に接続先PCの日時をチェックして配布期間内であればインストールを続行、期間外であれば当該プログラムに関してはインストールを行わない、といった例が考えられる。 Note that the file installed at this time may be only a part of the software unit 16-1a. As an example in which all programs and software are not installed, a limited-time distribution program is stored in the software section 16-1a, and the date and time of the connection destination PC is checked at the time of installation. For example, the installation can be continued if there is, and the program is not installed if it is out of the period.
ステップS306で、OS(CPU21)は、起動した自動インストーラ16−2にしたがって、ソフトウエア部25−2aに含まれる記憶領域変更プログラム(プログラム実行部25−4a)を起動する。 In step S306, the OS (CPU 21) activates the storage area changing program (program execution unit 25-4a) included in the software unit 25-2a in accordance with the activated automatic installer 16-2.
ステップS307で、記憶領域変更プログラム(CPU21)は、記憶領域の切り替えを開始する。例えば、CPU21は、第1の記憶領域と第2の記憶領域の認識フラグ(認識可/不可)を書き換えるための認識フラグ書換命令をUSBストレージデバイス10へ送信する。USBストレージデバイス10のコントローラ12は、認識フラグ書換命令を受信すると、第1の記憶領域16の認識フラグを認識不可に書き換え、第2の記憶領域17の認識フラグを認識可に書き換える。さらに、コントローラ12は、第1の記憶領域16のLUNを「0」から「null」に書き換えた後、第2の記憶領域17のLUNを「null」から「0」へ書き換える。これによって、第1の記憶領域16が開放され、第2の記憶領域17が端末装置20のOSから認識されるようになる。
In step S307, the storage area change program (CPU 21) starts switching of storage areas. For example, the
図5は、実施例に係る端末装置が取得した記憶領域の管理情報の一例を示す図である。図5によれば、第2の記憶領域の認識フラグが「可」に変更され、LUNも「0」に割り当てられている。反対に、第1の記憶領域の認識フラグが「不可」に変更され、LUNも「null」に割り当てられている。 FIG. 5 is a diagram illustrating an example of storage area management information acquired by the terminal device according to the embodiment. According to FIG. 5, the recognition flag of the second storage area is changed to “permitted”, and the LUN is also assigned to “0”. Conversely, the recognition flag of the first storage area is changed to “impossible”, and the LUN is also assigned to “null”.
ステップS308で、記憶領域変更プログラム(CPU21)は、第1の記憶領域16のドライブレターと第2の記憶領域17とのドライブレターとを同一にするか否かを判定する。同一にするか否かは、予め設定ファイルなどに記憶されているものとする。例えば、OS(CPU21)が管理しているLUNの一覧に、同一のドライブレターとするか否かの設定項目を設け、その設定項目を予めユーザの希望に応じて設定する。
In step S308, the storage area changing program (CPU 21) determines whether or not the drive letters in the
同一のドライブレターにする場合は、ステップS309に進み、異なるドライブレターにする場合は、ステップS310に進む。 If the drive letters are the same, the process proceeds to step S309. If different drive letters are used, the process proceeds to step S310.
ステップS309で、記憶領域変更プログラム(CPU21)は、ドライブレターの同一化処理を実行する。例えば、MS−DOSのコマンドである「Subst」コマンドを記述したバッチファイルでドライブレターを固定する。このバッチファイルもUSBストレージデバイス10に予め記憶されているものとする。一方で、記憶領域変更プログラム(CPU21)がダイアログをモニタ27に表示し、同一のドライブレターを記憶するか否かをユーザに問い合せ、その問い合せ結果に基づいて同一化処理を実行してもよい。また、記憶領域変更プログラム(CPU21)は、割り当てるドライブレターをユーザに問い合せ、キーボードなどの入力装置から入力されたドライブレターを第2の記憶領域17に割り当ててもよい。この場合、ユーザは、第1の記憶領域16に割り当てられていたドライブレターを入力してもよい。
In step S309, the storage area changing program (CPU 21) executes drive letter identification processing. For example, a drive letter is fixed by a batch file in which a “Subst” command that is an MS-DOS command is described. It is assumed that this batch file is also stored in the
ステップS310で、記憶領域変更プログラム(CPU21)は、第1の記憶領域16の認識を開放する。例えば、CPU21も、OS側に記憶されている第1の記憶領域16のLUNを「0」から「null」に書き換える。これにより、OSは、第1の記憶領域16の認識ができなくなる。
In step S310, the storage area changing program (CPU 21) releases the recognition of the
ステップS311で、記憶領域変更プログラム(CPU21)は、第2の記憶領域17の認識処理を開始する。例えば、CPU21は、第2の記憶領域17のLUNを「null」から「0」へ書き換える。これにより、OSは、第2の記憶領域16を認識できるようになる。
In step S <b> 311, the storage area change program (CPU 21) starts recognition processing for the
図5によれば、OSは、第2の記憶領域17をFATでフォーマットされたリムーバブルディスクドライブであると認識する。このリムーバブルディスク領域にはユーザ使用ファイル17−1が含まれている。
According to FIG. 5, the OS recognizes the
ここでが、CD−ROM領域として認識されるフォーマット情報としてISO9660をあげ、リムーバブルディスク領域として認識されるフォーマット情報としてFATを挙げたが、もちろんこれらは一例にすぎない。 Here, ISO9660 is given as the format information recognized as the CD-ROM area, and FAT is given as the format information recognized as the removable disk area. Of course, these are merely examples.
本実施例では、LUNおよび認識フラグを書き換えることで記憶領域の切り替えを実行しているが、USBストレージデバイス10の内部にある管理情報を直接的または間接的に用いて第1の記憶領域16の認識を開放して第2の記憶領域17を認識させてもよい。例えば、USBデバイスの解放コマンドを第1の記憶領域16へ適用し、その直後に初期化コマンドを第2の記憶領域17へ適用すれば、記憶領域を切り替えることができる。
In this embodiment, the storage area is switched by rewriting the LUN and the recognition flag. However, the management information in the
また、管理情報を予め二つ用意しておいて、最初にUSBストレージデバイス10が端末装置20に接続されたときは一つ目の管理情報が使用され、自動インストールにおいて二つ目の管理情報に変更されてもよい。なお、LUNの値、最初に読み込まれる管理情報は毎回リセットされるものとする。これは、OSが取得した第一の記憶領域16および第二の記憶領域17に関する情報が、このUSBストレージデバイス10が端末装置20から外されたときにアンインストールされ、その後の再接続の際にOSが再びUSBストレージデバイス10の情報を取得するからである。
In addition, two pieces of management information are prepared in advance, and when the
以上説明したように、本実施例によれば、端末装置20において擬似的にCD−ROMドライブとリムーバブルディスク等が入れ替わる形となる。つまり、USBストレージデバイス含まれるCD−ROM領域とリムーバブル領域は同時に認識されることはない。また、CD−ROM領域とリムーバブル領域のドライブレターが同一であれば、一つの追加されたドライブがCD−ROM領域からリムーバブル領域に入れ替わったように、ユーザには擬似的に認識させることができる。
As described above, according to the present embodiment, the
図6は、実施例に係る端末装置によって認識された第1の記憶領域の一例を示す図である。図7は、実施例に係る端末装置によって認識された第2の記憶領域の一例を示す図である。両者を比較すると、実際の記憶領域が切り替わっているにもかかわらず、ドライブレターが一致していることがわかる。記憶領域が切り替わっていることは、記憶されているファイルの内容が異なっているため、理解できよう。 FIG. 6 is a diagram illustrating an example of the first storage area recognized by the terminal device according to the embodiment. FIG. 7 is a diagram illustrating an example of the second storage area recognized by the terminal device according to the embodiment. Comparing the two, it can be seen that the drive letters match even though the actual storage area is switched. It can be understood that the storage areas are switched because the contents of the stored files are different.
図8は、実施例に係るUSBストレージデバイス10が端末装置20から外されたときに実行されるアンインストール処理の一例を示すフローチャートである。ここでは、上述した自動インストーラが常駐しており、自動インストーラがアンインストール処理を実行するものとする。
FIG. 8 is a flowchart illustrating an example of the uninstall process executed when the
ステップS801で、自動インストーラ(CPU21)は、USBストレージデバイス10が端末装置20から外されたか否かを監視する。外されたことを検出すると、ステップS802へ進む。このように、CPU21は、記憶装置が端末装置から取り外されたことを検出する取り外し検出手段の一例である。
In step S <b> 801, the automatic installer (CPU 21) monitors whether the
ステップS802で、CPU21は、USBストレージデバイス10が備えるフラッシュメモリ15の記憶領域に記憶されているファイルを使用しているアプリケーションプログラムが動作中でないかどうかをチェックする。動作中のアプリケーションプログラムが残っていればステップS803に進み、動作中のアプリケーションプログラムが残っていなければステップS804に進む。
In step S <b> 802, the
ステップS803で、CPU21は、動作中のアプリケーションプログラムをすべて終了させる。この際に、CPU21は、自動終了を示すダイアログ等をモニタ27に表示してもよい。例えば、「記憶装置が引き抜かれました、このアプリを強制終了します」というダイアログが表示される。
In step S803, the
ステップS804で、CPU21は、USBストレージデバイス10の記憶領域のファイルを操作するアクティブなウインドウが残っているか否かをチェックする。アクティブなウインドウが残っていればステップS805に進み、アクティブなウインドウが残っていなければステップS806に進む。
In step S804, the
ステップS805で、CPU21は、ウインドウ操作を自動終了(ウインドウをクローズ)する。このの際にも、ウインドウをクローズすることを示すダイアログがモニタ27に表示されてもよい。
In step S805, the
ステップS806で、CPU21は、USBストレージデバイス10から端末装置20へインストールさされたプログラムやファイルをアンインストール(削除)する。アンインストールは、自動インストーラが備える削除機能が利用されてもよい。また、USBストレージデバイス10から端末装置20へコピーされたファイルもCPU21が自動的に削除する。なお、RAM23に記憶されている第2の記憶領域17からのファイルデータは編集されてRAM23に記憶し直しがなされる。そしてユーザによりUSBストレージデバイス10への記憶を指示するとこの編集済みのデータがUSBストレージデバイス10の領域2に記憶され上書きもしくは新たに格納される。USBストレージデバイス10を外すとRAM23のデータはクリアされる。また、RAM23のデータによる文書や画像は編集前・編集後、モニタ27により閲覧ができる。後述するがUSBストレージデバイス10により端末装置20が対象ホストとして登録されたものでない場合は、RAM23のデータによる文書や画像は閲覧ができてもHDD25には格納保存されないし、メールでネットワークへ送信することもできない。従ってUSBストレージデバイス10を端末から外すと端末にも他のところにも何も残らないので、USBストレージデバイス10のデータが複製や漏洩がされることはない。
In step S <b> 806, the
例えば、必要なプログラムやファイルがすべて「Soft−a」というディレクトリに収められており、自動インストール作業がディレクトリ「Soft−a」を丸ごとコピーしたものであったとする。例えば E:¥Soft−a ⇒ C:¥Program Files¥Soft−a。この場合、CPU21は、このディレクトリ(C:¥Program Files¥Soft−a)を削除する。これは自動解凍書庫(例えば Soft−b.exe を解凍してディレクトリSoft−bが生成され、C:¥Program Files¥Soft−bへコピーされる等)の場合でも同様である。
For example, it is assumed that all necessary programs and files are stored in a directory “Soft-a” and the automatic installation work is a copy of the entire directory “Soft-a”. For example, E: \ Soft-a => C: \ Program Files \ Soft-a. In this case, the
なお、一部のファイルやプログラムについては削除やアンインストールの対象から除外してもよい。例えば、USBストレージデバイス10が動画ファイルに代表されるマルチメディアファイルの配布に用いられ、第1の記憶領域16に専用プレーヤー(ソフトウエア)を、第2の記憶領域17に動画ファイルをインストールさせておくものと仮定する。さらに、後日、専用プレーヤー対応の動画をwebで配信するサービスを提供する場合、専用プレーヤーをアンインストールせずに残しておくという運用例が考えられる。
Some files and programs may be excluded from being deleted or uninstalled. For example, the
本実施形態において、第1の記憶領域に記憶させておくソフトウエアは端末装置20に自動インストールして実行できるものであれば何でもよい。例えば、動画ファイルを端末装置20で視聴するための再生ソフトおよび動画ファイルの再生に必要なコーデックセットをUSBストレージデバイス10に記憶しておき、これらを自動インストールする。また、第2の記憶領域には、例えば、映画のダイジェスト動画やゲームのトレーラー動画を記憶させておいて、使用者に視聴させる、といった運用も考えられる。これらは一例にすぎず、本発明は、アプリケーションが何であるかに依存することはない。
In this embodiment, the software stored in the first storage area may be anything that can be automatically installed and executed in the
以上説明したように、端末装置20は、USBストレージデバイス10が接続されると、第1の記憶領域16から起動ファイルを読み出して実行することで切り替えプログラムを起動し、端末装置に認識される記憶領域を第1の記憶領域から第2の記憶領域17へと切り替える切り替え手段として機能する。また、CPU21は、記憶装置が端末装置から取り外されたことが検出されると、記憶装置から端末装置へとインストールされたプログラムおよびファイルをアンインストールする手段の一例である。
As described above, when the
[実施例2]
上述した実施例では、認識可能な記憶領域を切り替えるために、LUNの変更と認識フラグの変更とを用いたが、いずれか一方のみでもよい。
[Example 2]
In the embodiment described above, the LUN change and the recognition flag change are used to switch the recognizable storage area, but only one of them may be used.
まず、USBストレージデバイス10におけるLUNの管理方法について説明する。LUNはUSBストレージデバイス10の内部にあるコントローラ12の中にテーブルとして管理されている。
First, a LUN management method in the
図9は、実施例に係るLUNの管理情報(管理テーブル)の一例を示す図である。この例では、3つの記憶領域A、B、CがUSBストレージデバイス10に設けられているものとする。図9からわかるように、LUNは記憶領域ごとに割り振られている。また、管理テーブルには、各記憶領域のフォーマット、クラス、サブクラスなどの項目が含まれている。なお、管理テーブルを記憶する、コントローラ12の内部記憶領域をメモリ情報記憶部12−2と呼ぶことにする。上述したように、端末装置20のOS(CPU21)も、この管理テーブルの内容を取得して、ドライブを定義する。
FIG. 9 is a diagram illustrating an example of LUN management information (management table) according to the embodiment. In this example, it is assumed that three storage areas A, B, and C are provided in the
まず、USBストレージデバイス10が端末装置20に接続されると、LUNに関連付けられる情報として「論理アドレス」がOSから割り振られる。ここでいう「論理アドレス」、「物理アドレス」は、仮想記憶空間における、論理上の記憶領域のアドレスと物理上の記憶領域のアドレスとをそれぞれ指す。通常、論理アドレスと物理アドレスとの対応付けが行われることによってはじめてUSBストレージデバイス10はファイルの読み書きができるようになる。
First, when the
「論理アドレス」は、USBストレージデバイス10のトータルの記憶容量に合わせて予め指定された構成単位でもって一定数割り当てられる。この論理アドレスの割り当てと同時に、「論理アドレス」と記憶装置内の物理的な記憶領域にある「物理アドレス」との対応付けとが行われる。この対応付けはコントローラ12が備えるメモリ制御部12−1が管理テーブルを使用して実行する。なお、LUNが割り当てられていないときにも対応付けは行われる。
A certain number of “logical addresses” are assigned in a configuration unit designated in advance in accordance with the total storage capacity of the
LUNを書き換えることで、認識される記憶領域を切り替える方法を以下で説明する。 A method for switching the recognized storage area by rewriting the LUN will be described below.
なお、図10は、LUNを書き換える前の管理テーブル(初期値)を示す図である。つまり、USBストレージデバイス10が端末装置20へ接続される度に管理テーブルは初期値へと初期化される。これによって、毎回、USBストレージデバイス10が端末装置20へ接続されると最初に初期値の管理テーブルが呼び出されることになる。図10によれば、第1の記憶領域16のLUNに0が設定されており、第2の記憶領域17のLUNにnull(NUL)が設定されているため、第1の記憶領域16のみが認識されることになる。
FIG. 10 is a diagram showing a management table (initial value) before rewriting the LUN. That is, each time the
図11は、LUNを書き換えた後の管理テーブルを示す図である。上述した記憶領域の変更が実行されると、第1の記憶領域16のLUNは0⇒NULLに変更され、第2の記憶領域17のLUNはNULL⇒0に変更される。この場合、第1の記憶領域のLUNが無くなるため、第一の記憶領域はOSからドライブとして扱われず、OSから認識されなくなる。
FIG. 11 is a diagram illustrating the management table after rewriting the LUN. When the storage area change described above is executed, the LUN of the
次に、第2の記憶領域17の接続を擬似認識させるための信号をコントローラ12がUSBインターフェース13を介してOS(端末装置20)へ送信する。OS(CPU21)は、第1の記憶領域16を認識したときと同様に、第2の記憶領域17に関しても一連のコマンドを送信し、情報を取得する。これらのコマンドには、例えば、次のコマンドが含まれる。
Next, the
○ デバイス情報取得コマンド「Get_Descriptorコマンド」
○ アドレス設定コマンド 「SET Addressコマンド」
○ 論理ドライブ数取得コマンド 「Get Max Logical Unit Number APIコマンド」(認識フラグ書き換えに拠る時は不要)
○ フォーマット情報取得コマンド「Inquiryコマンド」
これらの一連のコマンドによってOSはUSBストレージデバイス10から管理テーブルにより管理されている情報を取得てきる。もちろん使用環境に応じて記憶領域をOS側がドライブとして認識する際に必要となるコマンドがあればそれを同時に使用してもよい。
○ Device information acquisition command "Get_Descriptor command"
○ Address setting command “SET Address command”
○ Logical drive number acquisition command “Get Max Logical Unit Number API command” (not required when recognizing the recognition flag)
○ Format information acquisition command “Inquiry command”
With these series of commands, the OS acquires information managed by the management table from the
OS(CPU21)は、上記のコマンドに対する返信をUSBストレージデバイス10から受信することで、第2の記憶領域17をドライブとして認識する。
The OS (CPU 21) recognizes the
次に、認識フラグを用いた記憶領域の切り替え方法について説明する。認識フラグは、USBストレージデバイス10の論理ドライブをOSにドライブとして認識させるか否かを示すフラグである。
Next, a storage area switching method using the recognition flag will be described. The recognition flag is a flag indicating whether or not the OS recognizes the logical drive of the
図12は、実施例に係る管理テーブル(初期値)の一例を示す図である。図12によれば、2つの記憶領域にはLUNがそれぞれ割り当てられているものの、記憶領域Aの認識フラグが「可」であり、記憶領域Bの認識フラグが「不可」である。よって、コントローラ12は、論理的な第一の記憶領域のアドレスと物理的な第一の記憶領域Aのアドレスとを対応させる(アドレスマッピング)。
FIG. 12 is a diagram illustrating an example of a management table (initial value) according to the embodiment. According to FIG. 12, although the LUNs are assigned to the two storage areas, the recognition flag of the storage area A is “permitted” and the recognition flag of the storage area B is “impossible”. Therefore, the
図13は、実施例に係る管理テーブル(書き換え後)の一例を示す図である。図12と比較すると、図13では認識フラグが書き換えられている。すなわち、記憶領域Aの認識フラグが「不可」であり、記憶領域Bの認識フラグが「可」である。この場合、コントローラ12は、アドレスマッピングを変更し、論理的な第一の記憶領域のアドレスと物理的な第2の記憶領域Bのアドレスとを対応させる。このように、認識フラグだけを用いても認識可能な記憶領域を変更することができる。
FIG. 13 is a diagram illustrating an example of a management table (after rewriting) according to the embodiment. Compared to FIG. 12, the recognition flag is rewritten in FIG. That is, the recognition flag of the storage area A is “impossible” and the recognition flag of the storage area B is “possible”. In this case, the
このようにコントローラ12は、切り替えプログラムにしたがって端末装置20が発行する切り替え命令(例:コマンド)を受信することで、端末装置に認識される記憶領域を第1の記憶領域から第2の記憶領域へと切り替える第1のコントローラとして機能する。また、コントローラ12は、切り替え命令を受信すると、第1の記憶領域に対応するメモリと第2の記憶領域に対応するメモリとのアドレスマッピングを入れ替えるコントローラの一例でもある。
As described above, the
なお、フィルタドライバ(特開2007−272430号公報)を用いても認識可能な記憶領域を変更することができる。コントローラ12に対するSCSIコマンドの返答を制御することで、フィルタドライバは、OSからの各種コマンドに対して、管理テーブル(図10〜図13)の管理情報に基づいて返答を順次行う。フィルタドライバも、USBストレージデバイス10から端末装置20へインストールされる記憶領域変更プログラムの一例である。
Note that the recognizable storage area can be changed using a filter driver (Japanese Patent Laid-Open No. 2007-272430). By controlling the SCSI command response to the
また、第1の記憶領域16および第2の記憶領域17をそれぞれ異なるパーティションにより確保し、記憶領域変更プログラムが、第1の記憶領域であるパーティションを不可視状態に切り替えた後、第2の記憶領域であるパーティションを可視状態に切り替えてもよい。このように、パーティションの可視/不可視を変更することでも、認識可能な記憶領域を切り替えることができる。
In addition, the
[実施例3]
本実施例では、第1の記憶領域16に記憶されているセキュリティソフトウエアを端末装置20にインストールしてから、端末装置に認識される記憶領域を第1の記憶領域から第2の記憶領域へと切り替える方法について説明する。セキュリティソフトウエアとしては、例えば、情報漏洩防止プログラムがあり、記憶領域変更プログラムを含む。
[Example 3]
In the present embodiment, after the security software stored in the
なお、本発明では、端末装置20に第1の記憶領域を認識させた後に、セキュリティソフトウエアを端末装置20にインストールし、第2の記憶領域へと切り替える方法について説明しているが、これに限定されない。
In the present invention, a method for installing the security software in the
例えば、第1の記憶領域、及び第2の記憶領域ともに端末装置20に認識させてから、セキュリティソフトウエアを端末装置20にインストールすることも可能である。これにより、第1の記憶領域、及び第2の記憶領域を端末装置20に認識させる方法に係わらず、後述するセキュリティソフトウエアの様々な処理を実行可能とする。
For example, it is possible to install the security software in the
図14は、実施例に係る記憶装置の記憶内容と端末装置の記憶内容との一例を示す図である。既に説明した箇所には同一の参照符号を付すことで、説明を簡潔にする。 FIG. 14 is a diagram illustrating an example of the storage content of the storage device and the storage content of the terminal device according to the embodiment. The parts already described will be given the same reference numerals to simplify the description.
本実施例では、フラッシュメモリ15をソフトウエア上で制御することにより第1の記憶領域16、第2の記憶領域17、第3の記憶領域18の三つの記憶領域に分割している。これらの記憶領域の分割方法は既に説明した通りである。
In the present embodiment, the
第1の記憶領域16は、USBストレージデバイス10が端末装置20に接続された際に自動的に読み込まれるセキュリティソフトウエア部16−1bと自動インストーラ16−2を記憶している。セキュリティソフトウエア部16−1bは、上述したソフトウエア部16−1aの具体例である。
The
セキュリティソフトウエア部16−1bは、情報漏洩防止手段を実現するために必要となるファイルをすべて備えたソフトウエアである。自動インストーラ16−2は、セキュリティソフトウエア部16−1bをインストールするためのソフトウエアである。 The security software section 16-1b is software including all files necessary for realizing information leakage prevention means. The automatic installer 16-2 is software for installing the security software section 16-1b.
セキュリティソフトウエア部16−1bと自動インストーラ16−2との組み合わせ、後述の動作を行えるものであればどんな組み合わせでもよい。また、インストール方式も本発明の実施に支障をきたすものでなければどのような方式が採用されてもよい。例えば、セキュリティソフトウエア部16−1bが書庫形式等で圧縮されていて、自動インストーラ16−2がセキュリティソフトウエア部16−1bを解凍しながらディレクトリへ展開してもよい。一方、セキュリティソフトウエア部16−1bが既にディレクトリに展開されている状態であれば、そのディレクトリをそのまま端末装置20の記憶領域25−1にコピーするといったインストール方式でもよい。
Any combination of the security software unit 16-1b and the automatic installer 16-2 may be used as long as it can perform the operations described below. Any installation method may be adopted as long as it does not hinder the implementation of the present invention. For example, the security software unit 16-1b may be compressed in an archive format or the like, and the automatic installer 16-2 may decompress the security software unit 16-1b into a directory. On the other hand, if the security software section 16-1b is already expanded in a directory, an installation method in which the directory is directly copied to the storage area 25-1 of the
一方、セキュリティソフトウエア部16−1bが自己解凍形式のファイルであれば、自動インストーラ16−2を省略できよう。以下の実施例では、セキュリティソフトウエア部16−1bのインストールに自動インストーラ16−2が採用されるものとする。なお、端末装置20にインストールしたファイルのアンインストールについても、本発明の目的を達成できるかぎり、どのようなアンインストール方式が採用されてもよい。
On the other hand, if the security software section 16-1b is a self-extracting file, the automatic installer 16-2 may be omitted. In the following embodiment, it is assumed that the automatic installer 16-2 is employed for installing the security software section 16-1b. As for the uninstallation of the file installed in the
第2の記憶領域17には、情報漏洩防止の対象となるユーザ使用ファイル17−1が格納されている。
The
第3の記憶領域18は、コントローラ12からデータを読み書きできるものの、端末装置20からは読み書きも認識もできない秘匿領域である。第3の記憶領域18には、ホストPC登録情報18−1、ユーザ登録情報18−2、ホワイトリスト18−3およびブラックリスト18−4が格納されている。なお、これに限定されず、上述した登録情報およびリストは、単数または複数の組み合わせを第3の記憶領域18に格納することも可能である。
The
なお、以下では、第3の記憶領域18の全体が秘匿領域であるという設定の下で話を進める。しかし、この秘匿領域は端末装置20から独立した第3の記憶領域18に限定されるものではない。例えば、第1の記憶領域16、第2の記憶領域17の一部に設けられたディレクトリを第3の記憶領域18としてもよい。この場合、このディレクトリは暗号化されており、コントローラ12が復号できるものとする。これにより、端末装置20は、第3の記憶領域18であるディレクトリの存在を知ることができても、そこに記憶されている情報を取得することができない。
In the following, the discussion proceeds under the setting that the entire
ホストPC登録情報18−1は、例えば、端末装置20が予め登録されているホストPCであるか否かを判断するための認証情報(端末装置登録情報)を含んでいる。認証情報は、例えば、端末装置20のMACアドレス、型式番号、製造番号、IPアドレス、管理番号のうちいずれか1つまたは複数である。管理番号は、例えば、組織が独自に端末装置20、またはその端末装置の使用管理者を識別するためのデータを指す。必ずしも番号でなくてもよく、何らかの識別情報であれば十分であるが、ここでは、便宜上、管理番号と呼ぶことにする。管理番号を用いた実施例として、例えば、端末装置20の管理番号を、端末装置20およびUSBストレージデバイス10とも記憶しておき、両者を接続する際に双方の管理番号を比較することで、端末装置20が正当なものか否かを認証できる。管理番号は、組織内で配布および管理されている外部デバイス(例:USBトークン)へ予め記憶されている組織内管理番号であってもよい。
The host PC registration information 18-1 includes, for example, authentication information (terminal device registration information) for determining whether or not the
ユーザ登録情報18−2は、登録された使用者(ユーザ)であるかどうかを認証するための認証情報である。ユーザ登録情報18−2は、例えば、使用者が入力する暗証番号、パスワード、バイオメトリクスの情報などである。これらの情報は平文のまま記憶されていてもよいし、暗号化されていてもよい。また、ユーザ登録情報18−2は、複数の使用者の認証情報を含んでいてもよい。この場合、USBストレージデバイス10を複数のユーザ間で共用することが可能となる。
The user registration information 18-2 is authentication information for authenticating whether or not the user is a registered user (user). The user registration information 18-2 is, for example, a personal identification number, a password, biometric information, or the like input by the user. These pieces of information may be stored in plain text or may be encrypted. Further, the user registration information 18-2 may include a plurality of user authentication information. In this case, the
ホワイトリスト18−3は、例えば、端末装置20において実行されるプロセス(例:アプリケーション)のうち、第2の記憶領域17に対するアクセスを許可されたプロセスの識別情報を登録したリストである。また、ホワイトリスト18−3は、例えば、USBストレージデバイス10の接続中に動作が許可されるプロセスの一覧であってもよい。セキュリティソフトウエア部16−1bは、端末装置20において実行されているプロセスの識別情報が、ホワイトリストに登録されている識別情報と一致するか否かに応じて、第2の記憶領域17に対するアクセスを制限するアクセス制限手段として、CPU21を機能させる。
The white list 18-3 is, for example, a list in which identification information of processes permitted to access the
ブラックリスト18−4は、例えば、端末装置20において実行されるプロセスのうち、アクセス対象の如何にかかわらず、アクセスを禁止されるプロセスの識別情報を登録したリストである。なお、ブラックリスト18−4は、一切動作が許可されないプロセスの一覧であってもよい。セキュリティソフトウエア部16−1bは、例えば、端末装置において実行されているプロセスの識別情報が、ブラックリストに登録されている識別情報と一致すると、プロセスによるアクセスを禁止するアクセス禁止手段として、CPU21を機能させる。
The black list 18-4 is, for example, a list in which identification information of processes prohibited from being accessed regardless of the access target among the processes executed in the
HDD内記憶領域25−1は、端末装置20に備えられたHDD25の中の記憶領域である。セキュリティソフトウエア部25−2は、第1の記憶領域16に記憶されているセキュリティソフトウエア部16−1がインストールされたものである。認証実行部25−3は、セキュリティソフトウエア部25−2の要素の一つで、端末装置や使用者の認証を行う。制御プログラム25−4bは、情報漏洩防止機能や、使用者に応じたユーザ使用ファイルの選択および表示を実行するプログラムである。
The HDD storage area 25-1 is a storage area in the
図15は、実施例3に係る記憶領域の切り替え方法の一例を示したフローチャートである。ここでは、USBストレージデバイス10を端末装置20に接続し、使用者がUSBストレージデバイス10の第2の記憶領域に記憶されているファイルを操作できるようになるまでの手順の詳細について説明する。なお、実施例1や2と共通する事項については既に説明したので、説明を簡潔にする。
FIG. 15 is a flowchart illustrating an example of a storage area switching method according to the third embodiment. Here, details of a procedure until the user can operate the file stored in the second storage area of the
ステップS1501で、USBストレージデバイス10が端末装置20に接続される。これにより、端末装置20のUSBインターフェース29とUSBストレージデバイス10のUSBインターフェース13との間でUSB規格に従った接続処理が実行される。USBレベルでの接続が確立されると、ステップS1502へ進む。
In step S1501, the
ステップS1502で、端末装置20のOS(CPU21)は、読み出しのみが可能なCD−ROM領域としてUSBストレージデバイス10の第1の記憶領域16を認識する。なお、この時点で第2の記憶領域17はCPU21によって認識されてはいない。また、第3の記憶領域18は秘匿領域であるため、CPU21によって認識されない。CPU21は、autorun.infなどの起動ファイルにしたがって自動インストーラ16−2を起動する。CPU21は、起動した自動インストーラ16−2にしたがって、第1の記憶領域16に記憶されているセキュリティソフトウエア部16−1bを端末装置20へインストールする。
In step S1502, the OS (CPU 21) of the
ステップS1503で、CPU21は、端末装置20にインストールされたセキュリティソフトウエア部16−1bの一部である制御プログラム25−4b(領域変更プログラム)を起動する。
In step S1503, the
ステップS1504で、CPU21は、領域変更プログラムにしたがって、第3の記憶領域18にユーザ登録情報18−2が記憶されているか否かを判定する。第3の記憶領域18は秘匿領域であるため、CPU21や領域変更プログラムは第3の記憶領域18を直接的に認識することができない。そこで、領域変更プログラムがコントローラ12に対して所定の問い合せコマンドを送信する。USBストレージデバイス10のコントローラ12は、受信した問い合せコマンドにしたがって、第3の記憶領域18にアクセスし、ユーザ登録情報18−2が記憶されているか否かを確認する。コントローラ12は、この確認結果をレスポンスとして端末装置20へ返信する。CPU21は、このレスポンスの内容を解析することで、第3の記憶領域18にユーザ登録情報18−2が記憶されているか否かを判定する。ユーザ登録情報が存在する場合には、ステップS1505に進む。
In step S1504, the
ステップS1505で、CPU21は、領域変更プログラムにしたがって、認証実行部25−3(認証プログラム)を起動し、使用者認証を実行する。例えば、ポインティングデバイス28やキーボード等の入力装置から入力されたパスワードや暗証番号などの認証情報をCPU21がコントローラ12へ転送し、コントローラ12が受信した認証情報をユーザ登録情報18−2と比較する。あるいは、USBストレージデバイス10に設けられた指紋認証デバイス11が読み取った指紋情報を、コントローラ12が、ユーザ登録情報18−2の一部である指紋情報と比較する。なお、セキュリティ強度は低下するが、コントローラ12が、ユーザ登録情報18−2を端末装置20へ送信し、認証実行部25−3が、受信したユーザ登録情報18−2と入力された認証情報とを比較してもよい。指紋認証では、指紋認証デバイス11が読み取った指紋情報も端末装置へ転送されることになる。
In step S1505, the
なお、パスワードや暗証番号は秘匿性向上のための制限、例えば文字数制限等が設けられてもよいし、照合、比較される認証情報が暗号アルゴリズム等により暗号化されていてもよい。認証に使用される認証情報は、例えば、ユーザを特定するための識別子、パスワード、暗証番号、バイオメトリクス情報のうち1つまたは複数を含む使用者登録情報であってもよい。 It should be noted that passwords and passwords may be provided with restrictions for improving confidentiality, such as character number restrictions, and authentication information to be verified and compared may be encrypted using an encryption algorithm or the like. The authentication information used for authentication may be, for example, user registration information including one or more of an identifier for specifying a user, a password, a personal identification number, and biometric information.
CPU21は、使用者認証に成功したか否かを判定する。成功したのであれば、ステップS1511に進む。一方、失敗したのであれば、ステップS1506に進む。なお、CPU21、コントローラ12および認証実行部25−3は、記憶装置に予め記憶されている認証情報と、端末装置または記憶装置に設けられた入力手段から入力された認証情報とを用いて認証処理を実行する認証手段の一例である。
The
ステップS1506で、CPU21は、使用者認証に失敗した回数が規定回数以内か否かを判定する。規定回数以内であれば、ステップS1505に戻り、再度、使用者認証が実行される。この規定回数はパスワードの制限や指紋認証デバイス11の他人受入率や本人拒否率に基づいて設定されてもよい。なお、失敗回数が規定回数を超えると、ステップS1507に進む。
In step S1506, the
ステップS1507で、CPU21は、強制終了を実行する。例えば、CPU21は、インストールされたプログラムやファイルをアンインストールする。この際に、CPU21は、USBストレージデバイス10の接続を解除したり、第1の記憶領域16(認識されている場合は第2の記憶領域17および第3の記憶領域18)を認識されない状態へ移行させたりする。認識可能状態から認識不可能状態への変更方法は実施例1で説明した通りである。もちろん、CPU21は、第2の記憶領域17からHDD25へコピーされた漏洩防止の対象となる情報もHDD25から消去する。さらに、CPU21は、HDD25に記憶されていた漏洩防止の対象となる情報が第2の記憶領域17に記憶されているときは、その情報も削除することが望ましい。
In step S1507, the
ところで、ステップS1504でユーザ登録データを確認できなかった場合、ステップS1508に進む。 If the user registration data cannot be confirmed in step S1504, the process proceeds to step S1508.
ステップS1508で、CPU21は、領域変更プログラムにしたがって、新規登録を行うかどうかの問い合わせをモニタ27に表示する。CPU21は、端末装置20の入力装置から入力された情報に基づいて、使用者が新規登録を希望しているか否かを判定する。新規登録を行う場合、ステップS1509に進む。
In step S1508, the
ステップS1509で、CPU21は、初期登録(新規登録)を実行する。新規登録とは、次回以降の認証時に使用されるユーザ登録情報18−2を第3の記憶領域18へ書き込む動作である。なお、端末装置20からは第3の記憶領域に直接書き込めないため、所定のコマンドをコントローラ12に発行して、コントローラ12が第3の記憶領域18へユーザ登録情報18−2を記憶する。新規登録が完了すると、ステップS1511に進む。このように、CPU21、コントローラ12および関与するプログラムなどは、記憶装置に認証情報が予め記憶されていなければ認証情報の初期登録を実行する登録手段の一例である。
In step S1509, the
なお、新規登録を行わない場合はステップ1510に進む。ステップS1510で、CPU21は、強制終了を実行する。強制終了処理は、ステップS1507について説明した通りである。これにより、端末装置20へインストールされたプログラムはアンインストールされ、USBストレージデバイス10は自動的に、認識されない状態となる。
If new registration is not performed, the process proceeds to step 1510. In step S1510, the
ステップS1511で、CPU21は、認証実行部25−3を用いて、端末装置20がホストPC登録情報18−1により予め指定されたホストPCであるかどうかを判定する。CPU21は、ホストPC登録情報18−1を直接的には読み出せないため、使用者認証と同様の方法で認証情報の取得または転送を実行する。認証情報は、例えば、端末装置に付与されているMACアドレス、型式番号、製造番号およびIPアドレスのうち1つまたは複数を含む端末装置登録情報である。接続先の端末装置20がホストPCでなければ、ステップS1512に進む。
In step S1511, the
ステップS1512で、CPU21は、セキュリティソフトウエア部25−2に含まれる制御プログラム25−4bの一機能である利用制限機能を起動する。この利用制限機能は、第3の記憶領域18に記憶されているホワイトリスト18−3やブラックリスト18−4を用いてファイルへのアクセスを制御したり、ファイルの移動や複製を防止したりする機能である。これらの機能の詳細については後述する。
In step S1512, the
一方、端末装置20がホストPCであると判断された場合は、ステップS1512をスキップして、ステップS1513に進む。そのため、利用制限機能は適用されない。使用者は、端末装置20とUSBストレージデバイス10との間で自由にユーザ使用ファイル17−1を使用することができる。
On the other hand, if it is determined that the
すなわち、予め指定された情報(ホストPC登録情報)によって、ユーザ使用ファイル17−1を、端末装置20に保存することも可能であり、端末装置20を介してネットワーク配信することも可能である。
That is, the user use file 17-1 can be stored in the
ステップS1513で、CPU21は、領域変更プログラムに従い、端末装置20により認識可能な記憶領域を第1の記憶領域16から第2の記憶領域17に切り替える。すなわち、第1の記憶領域16が端末装置20上で認識されなくなると同時に第2の記憶領域17が認識されることになる。
In step S1513, the
なお、現在認識されている記憶領域に応じてLED14の発光色を切り替えてもよい。例えば、LED制御部12−4は、第1の記憶領域16が認識されているときは赤色LEDを点灯させ、第2の記憶領域17が認識されているときは緑色のLEDを点灯させる。これにより、使用者は、USBストレージデバイス10の記憶領域のうちどの記憶領域が端末装置20によって認識されているかを視覚的に認識できるようになる。これは、記憶領域が切り替えられてもドライブレターが同一の維持されるケースで特に有用であろう。
Note that the emission color of the
ステップS1514で、CPU21は、第2の記憶領域17に記憶されているファイルを端末装置20の操作によって操作できるような待機状態に移行する。なお、利用制限機能が適用されている場合は、第2の記憶領域17に対して利用制限が課される。また、使用者認証が適正の場合、制御プログラム25−3によって、使用者に応じたユーザ使用ファイル17−1のみを、端末装置20上に画面表示させてもよい。これにより、他の使用者のユーザ使用ファイルへのアクセスが禁止されるため、機密情報の保護や情報漏洩を防止しながら、複数の使用者が同一のUSBストレージデバイス10を利用することができる。
In step S <b> 1514, the
このように実施例3によれば、領域変更プログラムは、第1の記憶領域16に記憶されている情報漏洩防止プログラムを端末装置20にインストールしてから、端末装置20に認識される記憶領域を第1の記憶領域16から第2の記憶領域17へと切り替えることができる。
As described above, according to the third embodiment, the area change program installs the information leakage prevention program stored in the
なお、第3の記憶領域18は秘匿領域である。そのため、情報漏洩プログラムが端末装置20を通じて秘匿領域に記憶されている情報を読み出すための読み出し命令を送信すると、コントローラ12は、秘匿領域から情報を読み出して、端末装置に対して情報を送信する。これにより、認証情報や極めて重要な情報を保護することが可能となる。
The
また、実施例3によれば、記憶装置に予め記憶されている認証情報と、端末装置または記憶装置に設けられた入力手段から入力された認証情報とを用いて認証処理を実行する認証手段を提供できる。すなわち、認証処理が成功すると、切り替えプログラムが、端末装置に認識される記憶領域を第1の記憶領域から第2の記憶領域へと切り替える。よって、認証処理に成功しない限り、第2の記憶領域17からユーザ使用ファイル17−1が端末装置20へ読み出されることは抑制できる。これは、認証処理が成功すると、情報漏洩防止プログラムは、記憶装置に対するアクセスの制限を解除する解除手段としてCPU21を機能させる事を意味しよう。
Further, according to the third embodiment, the authentication unit that executes the authentication process using the authentication information stored in advance in the storage device and the authentication information input from the input unit provided in the terminal device or the storage device. Can be provided. That is, when the authentication process is successful, the switching program switches the storage area recognized by the terminal device from the first storage area to the second storage area. Therefore, unless the authentication process is successful, reading of the user use file 17-1 from the
なお、実施例3においても、USBストレージデバイス10が端末装置20から外されたときは、図8を用いて説明したアンインストール処理が制御プログラム25−4bによって実行される。
Also in the third embodiment, when the
図16は、ホワイトリストの一例を示す図である。ホワイトリスト18−3には、第2の記憶領域17に記憶されているファイルへのアクセスを許可されるプロセスの識別情報(例:名称)が登録されている。このホワイトリスト18−3に記録されているプロセスは、予め汎用性、安全性の高いアプリケーションに関するプロセスをデフォルトで含んでいる。ネットワークの管理者等が、安全若しくは有用であると判断したプロセスの名称がホワイトリスト18−3に追加されてもよい。
FIG. 16 is a diagram illustrating an example of a white list. In the white list 18-3, identification information (for example, name) of a process permitted to access a file stored in the
図17は、ブラックリストの一例を示す図である。ブラックリスト18−4は、利用制限機能がアクティブのときには、一切動作が許可されないプロセスの名称を登録したリストである。こちらもホワイトリスト18−3と同様に、ウイルスやワーム等に含まれる危険性高いプロセスや情報漏洩に関するプロセスがデフォルトで含まれている。管理者が有害と判断したプロセスや使用者が無用であると判断したプロセスをブラックリストに追加してもよい。 FIG. 17 is a diagram illustrating an example of a black list. The black list 18-4 is a list in which names of processes whose operations are not permitted at all when the use restriction function is active are registered. Similarly to the white list 18-3, here, processes with high risk included in viruses and worms and processes related to information leakage are included by default. Processes judged to be harmful by the administrator or processes judged to be useless by the user may be added to the black list.
情報漏洩防止プログラムとして機能する制御プログラム25−4bの利用制限機能は、プロセスが発生する度にホワイトリスト18−3とブラックリスト18−4を読み出し、プロセスの動作を制御する。 The use restriction function of the control program 25-4b functioning as an information leakage prevention program reads the white list 18-3 and the black list 18-4 each time a process occurs, and controls the operation of the process.
図18は、利用制限機能の動作の一例を示したフローチャートである。 FIG. 18 is a flowchart illustrating an example of the operation of the use restriction function.
ステップS1801で、CPU21は、起動している情報漏洩防止プログラムにしたがって、発生したプロセスがブラックリスト18−4に登録されているかを判定する。ブラックリスト18−4が第3の記憶領域18に記憶されている場合は、CPU21が直接的に読み取れない。そこで、認証処理と同様に、CPU21は、発生したプロセスの名称をコントローラ12に転送し、コントローラ12が、この名称とブラックリスト18−4とを比較し、比較結果をCPU21に返送する。あるいは、ブラックリスト18−4をコントローラ12がCPU21に転送し、CPU21が、比較処理を実行してもよい。ブラックリスト18−4に登録されたプロセスであれば、ステップS1802に進む。
In step S1801, the
ステップS1802で、CPU21は、そのプロセスの動作そのものをキャンセルする。これにより、既知のウイルスやワームによる予期せぬ動作をストップさせることができる。また、印刷またはそれに関連するプロセス、ネットワーク接続に関連するプロセス、画面を画像として取り込むプロセス(プリントスクリーン等)も動作を禁止される。このように、CPU21はプロセスによるアクセスを禁止するアクセス禁止手段やプロセスの動作をキャンセルするキャンセル手段として機能することになる。
In step S1802, the
発生したプロセスの名称がブラックリスト18−4に登録されていない場合、ステップS1803に進む。 If the name of the generated process is not registered in the black list 18-4, the process proceeds to step S1803.
ステップS1803で、CPU21は、発生したプロセスの名称がホワイトリスト18−3に登録されているかどうかを判定する。この判定処理もブラックリストに関する判定処理と同様の処理となる。ホワイトリスト18−3に登録されているプロセスである場合、ステップS1804に進む。
In step S1803, the
ステップS1804で、CPU21は、そのプロセスによる第2の記憶領域17からのファイルの移動や複製を防止する。このように、情報漏洩防止プログラムは、端末装置20において実行されているプロセスの識別情報がホワイトリストに登録されている識別情報と一致するか否かに応じて、第2の記憶領域17に対するアクセスを制限するアクセス制限手段として、端末装置20を機能させる。
In step S1804, the
一方、ブラックリスト18−4にもホワイトリスト18−3にも登録されていないプロセスであれば、ステップS1805に進む。 On the other hand, if the process is not registered in the black list 18-4 or the white list 18-3, the process advances to step S1805.
ステップS1805で、CPU21は、そのプロセスのアクセス先を解析し、アクセス先がフラッシュメモリ15内の記憶領域であれば、そのプロセスの動作をキャンセルすべく当該プロセス終了させる。これにより、ホワイトリスト18−3に登録されていない未知のアプリケーションによるフラッシュメモリ15へのアクセスをストップさせることができる。つまり、ホワイトリスト18−3に登録されていないプロセスはフラッシュメモリ15内の記憶領域にアクセスすることができない。このように、ブラックリストおよびホワイトリストのいずれにも登録されていない場合、このプロセスが記憶装置の記憶領域にアクセスすることが限定されることになる。
In step S 1805, the
なお、ファイル移動複製防止処理(S1804)は、例えば、フラッシュメモリ15内の記憶領域に記憶されているファイル自身もしくはその一部(クリップボード等)に関する「切り取り」や「コピー」後の「貼り付け」を禁止したり、当該ファイルを操作するアプリケーション中にある「名前をつけて保存」を禁止したり、または、ドラッグ&ドロップ等によるファイルの移動に関する処理を制限する処理である。また、フラッシュメモリ15内部の記憶領域または当該記憶領域に属するディレクトリがアクティブなウインドウとして表示されていた場合、ファイル移動複製防止機能は、ウインドウ内部からのドラッグ&ドロップ、アプリケーション間におけるクリップボードの移動、一部のダイアログ表示、他の着脱可能なリムーバブルディスクへの書き込みなど、フラッシュメモリ15内部の記憶領域内にあるファイルについて一切の移動や複製を禁止してもよい。
The file migration / duplication prevention process (S1804) is performed by, for example, “cutting” or “pasting” after “copying” the file itself or a part thereof (clipboard or the like) stored in the storage area in the
一方でファイルの編集や処理がフラッシュメモリ15内部の記憶領域内部に留まるなど、記憶領域内部からのデータの移動が実質的に発生しないプロセスは、ホワイトリスト18−3によってその動作が許可される。具体的には、ファイルの上書き保存や編集、記憶領域内部にあるファイル間の情報のやり取り、ドライブが異なるファイル間の情報のやり取りなど、USBストレージデバイス10内で実行される処理は制限無く実行されることになる。
On the other hand, a process in which data movement from the storage area does not substantially occur, such as file editing and processing staying in the storage area inside the
上述したホワイトリストやブラックリストへのプロセス名の追加や更新の手法はいくつか考えられる。例えば、端末装置20が、USBストレージデバイス10に記憶されているホワイトリストやブラックリストを直接編集する手法が考えられる。また、サーバからクライアント(端末装置20)が受信した最新のホワイトリストやブラックリストを、USBバスを介してコントローラ12が受信し、それを第3の記憶領域に書き込むといった手法も考えられる。後者は、リモート更新と呼べるであろう。
There are several methods for adding and updating process names to the whitelist and blacklist described above. For example, a method in which the
[実施例4]
以下では、上述した利用制限機能、すなわち、USBストレージデバイス10を利用した、情報の持ち出し防止機能について説明する。
[Example 4]
Hereinafter, the above-described use restriction function, that is, the information take-out prevention function using the
持ち出し防止機能とは以下5つの機能の総称である。 The carry-out prevention function is a general term for the following five functions.
(1) 予め指定されたディレクトリ内に存在するファイルとファイル内部のデータをその指定ディレクトリの外へ保存する(端末装置20の電源が落ちても記憶されている)ことを禁止する機能。なお、ディレクトリは、PCの記憶装置に確保されたディレクトリ、USBメモリに確保されたディレクトリなど、PCからアクセス可能な任意のディレクトリである。
(1) A function for prohibiting files existing in a directory designated in advance and data in the file from being stored outside the designated directory (stored even when the
(2) (1)の機能を実現しつつ、予め指定されているディレクトリ内に存在するファイルとファイル内部のデータの閲覧については許可する機能。 (2) A function that permits browsing of files existing in a directory designated in advance and data in the file while realizing the function of (1).
(3) 予め指定されているディレクトリ内に存在するファイルとファイル内部のデータの編集を許可しつつ、そのディレクトリ内部(Subディレクトリも含む)にだけ保存する機能。 (3) A function of permitting editing of files existing in a directory designated in advance and data inside the file, and saving only within the directory (including the Sub directory).
(4) 予め指定されていない任意のディレクトリに存在するファイルとファイル内部のデータの閲覧・編集・保存を制限しない機能。 (4) A function that does not restrict browsing / editing / saving of files existing in arbitrary directories not specified in advance and data in the files.
(5) 何らかの識別子(例:MACアドレス)により、HostPCという特別なPCを設置し、そのHostPC内では(1)ないし(3)による制限が一切かからないようにする機能。これにより、予め指定されているディレクトリ内のファイルとファイル内のデータであっても、通常どおり、他のディレクトリへ保存できるようになる。 (5) A function of setting a special PC called HostPC by some identifier (eg, MAC address) so that the restrictions of (1) to (3) are not applied at all in the HostPC. As a result, even files and data in a directory designated in advance can be stored in another directory as usual.
実施例4では、(1)〜(5)の機能を実現するために、以下で説明する5種類の制御機構を設ける。これらの制御機構について以下で説明していく。なお、上述した機能は、第1の制御機構(ファイルシステムフィルタドライバ)によってほぼ実現できる。第1の制御機構の基本的な部分は、実施例3で説明した通りである。 In the fourth embodiment, in order to realize the functions (1) to (5), five types of control mechanisms described below are provided. These control mechanisms will be described below. Note that the above-described functions can be substantially realized by the first control mechanism (file system filter driver). The basic part of the first control mechanism is as described in the third embodiment.
ただし、第1の制御機構のみではいくつかの漏れが生じうる。そこで、その漏れを補完するために第2ないし第5の制御機構が追加されている。 However, some leaks may occur with only the first control mechanism. Therefore, second to fifth control mechanisms are added to compensate for the leakage.
なお、指定ディレクトリ内のファイルおよびファイル内データの持ち出し防止方法として、例えば、以下の2種類が考えられる。 Note that, for example, the following two types can be considered as methods for preventing the file in the specified directory and the data in the file from being taken out.
(a). ファイル単位での移動および複製の防止
(b). メモリに展開されているファイル内のデータの移動および複製の防止
[情報漏洩防止機能]
以下に実施例4における情報漏洩防止機能について説明する。情報漏洩防止機能はファイルシステムフィルタドライバである「カーネル部」と、そのカーネル部を補う「ユーザ部」とに分かれる。ファイルシステムフィルタドライバについて軽く触れる
[ファイルシステムフィルタドライバ(FSFiD)]
FSFiDは、ファイルシステムが行おうとすることの前後に割り込み、ログを取得したり、改ざんしたりすることができるコンピュータプログラムであり、USBストレージデバイス10から端末装置20へインストールされる。FSFiDは、先述の通りカーネルモードで動作する。
(A). Prevention of movement and duplication in units of files (b). Prevention of movement and duplication of data in files in memory [Information leakage prevention function]
The information leakage prevention function in the fourth embodiment will be described below. The information leakage prevention function is divided into a “kernel part” that is a file system filter driver and a “user part” that supplements the kernel part. Touch lightly about the file system filter driver [File system filter driver (FSFiD)]
The FSFiD is a computer program that can interrupt and acquire a log before or after a file system is about to perform, and is installed in the
以降は情報漏洩防止機能を、このファイルシステムフィルタドライバであるカーネル部と、それ以外の部分であるユーザ部とに分けて説明する。カーネル部は、フィルタマネージャ(FltMgr)が存在しないと動作しない。FltMgrは、例えば、公知の機能である(http://www.microsoft.com/japan/whdc/driver/filterdrv/default.mspx参照のこと)。 Hereinafter, the information leakage prevention function will be described separately for the kernel part which is the file system filter driver and the user part which is the other part. The kernel unit does not operate unless the filter manager (FltMgr) exists. FltMgr is, for example, a known function (see http://www.microsoft.com/japan/whdc/driver/filterdrv/default.mspx).
また、ユーザ部は後述するカーネル部が行う機能の補助並びに情報漏洩防止機能における補完機能を有する。以下に以降の説明に用いる主な語句について列挙し、説明する。なお以下に列挙した語句以外に必要な語句に関しては適宜列挙する。 In addition, the user unit has a function assisting function performed by a kernel unit, which will be described later, and a complementary function in an information leakage prevention function. The main words and phrases used in the following explanation are listed and explained below. Necessary words other than those listed below are listed as appropriate.
* プロセス識別子 プロセスを予め想定した手法に基づき、識別する識別子であり、プロセスが特定できればその形式は問わない。例としてはプロセスのID,ハッシュ値、プロセスの作者名、会社名等が挙げられる。 * Process identifier An identifier that identifies a process based on a method that assumes the process in advance. Any process can be specified as long as the process can be identified. Examples include process ID, hash value, process author name, company name, and the like.
* ファイル識別子は、ファイルを予め想定した手法に基づき、識別する識別子であり、ファイルが特定できればその形式は問わない。例としてはファイル名、ID,ハッシュ値、プロセスの作者名、会社名、属性、拡張子等が挙げられる。 * The file identifier is an identifier for identifying a file based on a method assumed in advance, and the format is not limited as long as the file can be specified. Examples include file names, IDs, hash values, process author names, company names, attributes, extensions, and the like.
* プロセス判定部は、プロセスが後述のブラックリスト、ホワイトリストのいずれかに属するかを判定する機能を有する。ブラックリスト及びホワイトリストには、各プロセスを識別するためのプロセス識別子が登録されている。 * The process determination unit has a function of determining whether a process belongs to a black list or a white list described later. A process identifier for identifying each process is registered in the black list and the white list.
* 監視リスト 監視対象となるプロセスのプロセス識別子を登録したリストである。監視リストは、例えば、カーネル内のヒープ領域に保存される。なお、実際に起動されているプロセスのうち、上述のブラックリストまたはホワイトリストに登録されているプロセスが検出されると、検出されたプロセスのプロセス識別子がこの監視リストに登録される。 * Monitoring list This is a list in which process identifiers of processes to be monitored are registered. The monitoring list is stored in a heap area in the kernel, for example. When a process registered in the above-described black list or white list is detected among the processes that are actually activated, the process identifier of the detected process is registered in the monitoring list.
* 監視ファイルリスト 監視対象となるファイル識別子のリストである。監視ファイルリストは、例えば、カーネル内のヒープ領域に保存される。 * Monitored file list A list of file identifiers to be monitored. The monitoring file list is stored, for example, in a heap area in the kernel.
* パス識別子は、ファイルやプロセスに含まれる監視対象であるか否かのフラグを示す。監視対象であるか否かはそのディレクトリのフルパスで判断される。パス識別子は、例えば、カーネル内のヒープ領域に保存される。 * The path identifier indicates a flag indicating whether or not the monitoring target is included in the file or process. Whether it is a monitoring target or not is determined by the full path of the directory. The path identifier is stored in a heap area in the kernel, for example.
* ブラックリストは、主に使用が許されないプロセスを示すプロセス識別子を保持するリストである。 * The black list is a list that holds process identifiers indicating processes that are mainly not allowed to be used.
* ホワイトリストは、主に使用が許可されているプロセスを示すプロセス識別子を保持するリストである。 * The white list is a list that holds process identifiers indicating processes that are mainly permitted to be used.
* IOマネージャは、すべてのファイルIOをつかさどるオブジェクトであり、ドライバ間の対話を受け持つものである。 * The IO manager is an object that controls all file IOs, and is responsible for interaction between drivers.
* プロセスマネージャは、プロセスのマウント・アンマウントを制御するマネージャである。 * The process manager is a manager that controls the mounting and unmounting of processes.
図19は、カーネル部が処理するイベントの一例を示す図である。図19によれば、各イベントのイベント名、イベントの通知元、イベントの発生タイミング、イベントに対する処理の内容が記載されている。 FIG. 19 is a diagram illustrating an example of an event processed by the kernel unit. According to FIG. 19, the event name of each event, the event notification source, the occurrence timing of the event, and the contents of the processing for the event are described.
各イベントの概略についてここで説明する図19において、
イベント1「初期化」とは、ファイル操作の監視を行うために必要となる変数を初期化(変数に初期値を代入すること)する。
In FIG. 19 where the outline of each event is explained here,
イベント2「監視対象設定」とは、監視対象、つまりはファイル情報漏洩防止機能の適用対象となるドライブ、ディレクトリを指定する動作を表す。本発明においては主として第二の記憶領域17がそれへ該当する。しかし、これに限定されず任意のドライブ、ディレクトリを監視対象とすることも可能である。
The
イベント3「ファイル操作開始通信の処理前」とは、一切のファイル操作開始に処理する「ファイル操作開始通信」をIOマネージャが処理する前に割り込み、操作する内容のことを示す。すなわち、このイベント3は、全てのファイル操作の基点となる処理をOSのファイルシステムが実行する前に、本実施例に係る情報漏洩防止プログラムが必要な操作を行うタイミングを示している。
イベント4「ファイル操作開始通信の処理後」とは、一切のファイル操作開始に処理する「ファイル操作開始通信」をIOマネージャが処理する前に割り込み、操作する内容のことを示す。この時イベント3で与えた情報(属性)等を用いて処理を行う。すなわち、イベント4は、全てのファイル操作ログの基点となる処理をOSのファイルシステムが行った後に、本実施例に係る情報漏洩防止プログラムが必要な操作を行うタイミングを示している。
イベント5 「プロセスの起動」とは、プロセスの起動時に割り込んで行う処理である。
イベント6 「プロセスの終了」とは、プロセスの終了時に割り込んで行う処理である。なお、イベント1,2は前記のユーザ部、イベント3,4はOSのフィルタマネージャ、イベント5,6はOSのプロセスマネージャによって通知される。すなわち、プロセスマネージャは、情報漏洩防止プログラムのカーネル部へイベントを通知する。
図20はイベント1の初期化並びにイベント2の監視対象設定を示す。まずユーザ部がカーネル部のロードを行う(ステップS2001)。そしてカーネル部はこのロードを受けて、カーネル部が有するホワイトリストとブラックリストの初期化の他、監視を行う為の初期化を行う(ステップS2002)。ここで、初期化とは、プログラム開始時に必ず行うプログラム内で用いるスタックやヒープにアサインする変数の初期化(初期値の代入)のことである。カーネル部は、初期化が終わるとユーザ部に初期化が完了したことを通知する(ステップS2003)。
カーネル部は、監視対象となる指定ドライブとディレクトリをユーザ部により通知される(ステップS2004)。カーネル部は、監視対象となる指定ドライブとディレクトリをヒープ領域の変数に登録する(ステップS2005)。その後、カーネル部は一連の準備が整ったことをユーザ部へと通知する(ステップS2006)。
FIG. 20
The kernel unit is notified of the designated drive and directory to be monitored by the user unit (step S2004). The kernel unit registers the designated drive and directory to be monitored in the heap area variable (step S2005). Thereafter, the kernel unit notifies the user unit that a series of preparations have been completed (step S2006).
図21は、図19に示したイベント3の動作を示したフローチャートである。イベント3は、ファイル操作開始通信が発行されたときのイベントである。ファイル操作開始通信は、何らかのファイル操作が行われようとしていることを示す。ファイル操作開始通信が発行されることとファイル操作が行われることは同値である。つまり、イベント3は、ファイル操作の起点となるイベントである。すべてのファイル操作の起点であるファイル操作開始通信がIOマネージャによって処理される前に、フィルタマネージャは、操作の内容分析し、必要な情報を記録しておく。
FIG. 21 is a flowchart showing the operation of
ステップS2101で、カーネル部は、発生したプロセス識別子とブラックリストに登録されているプロセス識別子とを比較する。一致すれば、ステップS2102に進み、カーネル部は、ブラックリストに登録されているプロセスであることを示すBlack属性情報をヒープ内の変数に付加する。ステップS2101で、不一致であれば、ステップS2103に進む。 In step S2101, the kernel unit compares the generated process identifier with the process identifier registered in the black list. If they match, the process proceeds to step S2102, and the kernel unit adds Black attribute information indicating that the process is registered in the black list to a variable in the heap. If they do not match in step S2101, the process proceeds to step S2103.
ステップS2103で、カーネル部は、発生したプロセスの識別子とホワイトリストに登録されているプロセス識別子とを比較する。一致すれば、ステップS2104に進み、カーネル部は、「ホワイト」のフラグをヒープ内の変数につける。ステップS2103で、不一致であれば、ステップS2105に進む。ちなみにこの段階で「ホワイト」の属性情報が確定したわけではないことをお断りしておく。 In step S2103, the kernel unit compares the generated process identifier with the process identifier registered in the white list. If they match, the process proceeds to step S2104, and the kernel unit adds a “white” flag to the variable in the heap. If they do not match in step S2103, the process proceeds to step S2105. By the way, it should be noted that the attribute information of “white” is not fixed at this stage.
ステップS2105で、カーネル部は、ヒープ内の変数であるパス識別子をチェックし、操作の対象のディレクトリが監視対象かどうかを判断し、監視対象であることがわかればステップS2106に進む。 In step S2105, the kernel unit checks the path identifier, which is a variable in the heap, determines whether the operation target directory is a monitoring target, and proceeds to step S2106 if it is determined that the operation target directory is a monitoring target.
ステップS2106で、カーネル部は、ステップ2204でヒープ内の変数に
付加された「ホワイト」フラグの有無を判定する。フラグが無ければ、S2107で、ホワイトリストに登録されていないプロセスであることを示すNot White属性をヒープ内の変数に付加する一方、フラグがあれば、ステップS2108で、カーネル部は、監視リスト監視リスト内のプロセス識別子と、現在のプロセス識別子とを比較する。両者が一致すれば、ステップS2109に進む。
In
ステップS2109で、カーネル部は、監視ファイルリスト内のファイル識別子と現在のファイル識別子とを比較する。両者が一致しなければ、ステップS2110に進み、カーネル部は、監視ファイルリストに現在のファイル識別子を新規に追加する。この場合は何の属性情報もヒープ内の変数には付加されない(ステップS2113)。 In step S2109, the kernel unit compares the file identifier in the monitoring file list with the current file identifier. If the two do not match, the process advances to step S2110, and the kernel unit newly adds the current file identifier to the monitoring file list. In this case, no attribute information is added to the variable in the heap (step S2113).
一方、S2108で、監視リスト内のプロセス識別子と、現在のプロセス識別子とが一致しなければ、ステップS2111に進む。ステップS2111で、カーネル部は、監視リストに現在のプロセス識別子を追加する。なお、この場合も最終的に何の属性情報もヒープ内の変数には付加されない。 On the other hand, if the process identifier in the monitoring list does not match the current process identifier in S2108, the process proceeds to step S2111. In step S2111, the kernel unit adds the current process identifier to the monitoring list. In this case, no attribute information is finally added to the variable in the heap.
ところで、ステップS2105で、操作対象が監視対象でなければ、ステップS2112に進む。ステップS2112ではステップS2108と同様の照合が行われる。すなわち、カーネル部は、監視リスト内のプロセス識別子と、現在のプロセス識別子とを比較する。両者が一致しなければ、ステップS2113で何の属性情報もヒープ内の変数には付加されない。 In step S2105, if the operation target is not a monitoring target, the process proceeds to step S2112. In step S2112, collation similar to that in step S2108 is performed. That is, the kernel unit compares the process identifier in the monitoring list with the current process identifier. If they do not match, no attribute information is added to the variables in the heap in step S2113.
一方、ステップS2112でプロセス識別子の照合が一致した場合にはステップS2114に進み、先のステップS2109同様監視ファイルリスト内のファイル識別子と合致するかどうかをチェックする。合致していなければステップS2113に進み、何の属性情報も付加されない。 On the other hand, if the process identifiers match in step S2112, the process advances to step S2114 to check whether or not the file identifiers in the monitoring file list match, as in the previous step S2109. If not, the process proceeds to step S2113, and no attribute information is added.
ここでファイル識別子の合致が確認されればステップS2115へ進み「Is white」属性情報がヒープ内の変数に付加される。 If the match of the file identifier is confirmed here, the process proceeds to step S2115, and the “Is white” attribute information is added to the variable in the heap.
以上のようにして、各プロセスはイベント2にてIs White、Not White、Black、none(何の属性も付与されていないこと)が判明する。
As described above, each process determines Is White, Not White, Black, and none (no attributes are assigned) at
なお、none(何の属性も付与されていないこと)の場合、例えば、監視対象とされたユーザ使用ファイル17−1を編集し、編集したデータを第2の記憶領域17に保存することである。
In the case of none (no attribute is given), for example, the user use file 17-1 to be monitored is edited and the edited data is stored in the
図22は、図19に示した4番目のイベントの動作を示したフローチャートである。ステップS2201で、カーネル部は、属性情報がIs Whiteであるか否かを判定する。IsWhiteでなければ、ステップS2202に進み、カーネル部は、ファイル操作開始通信をキャンセルする。 FIG. 22 is a flowchart showing the operation of the fourth event shown in FIG. In step S2201, the kernel unit determines whether the attribute information is Is White. If it is not IsWhite, the process proceeds to step S2202, and the kernel unit cancels the file operation start communication.
一方、IsWhiteであれば、ステップS2203に進む。ステップS2203で、カーネル部は、操作内容をチェックする。この時、操作内容が「ファイルの新規作成」であれば、ステップS2204に進み、カーネル部は、新規作成されたファイルの強制削除を実行する。 On the other hand, if it is IsWhite, the process proceeds to step S2203. In step S2203, the kernel unit checks the operation content. At this time, if the operation content is “new file creation”, the process advances to step S2204, and the kernel unit forcibly deletes the newly created file.
一方で、既存ファイルへの上書き、若しくは書き換えであれば、ステップS2205で、カーネル部は、ファイル操作開始通信をキャンセルする。また、ステップS2204の終了後もステップS2205へ移動し、ファイル操作開始通信はキャンセルされる。 On the other hand, if the existing file is overwritten or rewritten, in step S2205, the kernel unit cancels the file operation start communication. Also, after step S2204 ends, the process moves to step S2205, and the file operation start communication is cancelled.
また、ステップS2203におけるチェックで先述の3つの動作でなければここでは何の処理も行われない(S2206)。 If the check in step S2203 is not the above-described three operations, no processing is performed here (S2206).
すなわち、例えば、ファイルの新規作成や、ファイルの保存は禁止されるが、端末装置20におけるRAM23上でのファイルの編集は可能である。
That is, for example, new file creation and file saving are prohibited, but file editing on the
図23a、図23bは、図19に示したイベント5およびイベント6の動作を示したフローチャートである。イベント5では、起動するプロセスのプロセス識別子をホワイトリストかブラックリストに登録されているプロセス識別子と照合し、いずれかのリストに登録されているプロセス識別子であれば、そのプロセス識別子を監視リストに追加する。動するプロセスのプロセス識別子がどちらのリストにも該当しない場合は何もしない。6番目のイベントでは、終了するプロセスのプロセス識別子をから削除する。
23a and 23b are flowcharts showing the operations of
図23aはイベント5のプロセス起動時の動作を示す。ステップS2301で、プロセスマネージャは、プロセスの開始をカーネル部に通知する。ここでカーネル部は一時的にプロセスの開始に割り込んで当該プロセスをストップさせている。ステップS2302で、カーネル部は、プロセス識別子を取得する。ステップS2303で、カーネル部は、プロセス判定部を用いて取得したプロセスがホワイトリスト、ブラックリストのいずれかに属しているかを判定する。ここでホワイトリストに属すると判定されればステップS2304で、カーネル部は、対象となる識別子をWhiteListに登録する。一方、プロセス判定部により当該プロセスがブラックリストに属するものと判定されればステップS2305へ進み、当該プロセスのプロセス識別子がブラックリストへ追加される。
FIG. 23 a shows an operation at the time of process activation of
また、いずれにも属しない時は直接ステップS2306へ進み、プロセスマネージャへプロセスの開始を再開させる、これはステップS2304でのホワイトリストへの追加、並びにステップS2305でのブラックリストの追加後も同様である。 If it does not belong to any of the above, the process directly proceeds to step S2306, and the process manager is restarted to start the process. This is the same after the addition to the white list in step S2304 and the addition of the black list in step S2305. is there.
図23bは、プロセス終了時の動作を示す。カーネル部はプロセスマネージャからプロセス終了通知を受信する。この時はプロセス起動時同様にプロセス終了を途中でストップさせる(ステップS2307)。次いでステップS2308へ進み、カーネル部は終了する当該プロセスのプロセス識別子を取得する。そしてステップS2309へ進み、ホワイトリストから該当するプロセス識別子があるかどうかをチェックする、そしてあれば当該プロセス識別子を削除する(ステップ2310)。 FIG. 23b shows the operation at the end of the process. The kernel unit receives a process end notification from the process manager. At this time, the process termination is stopped halfway in the same manner as when the process is started (step S2307). In step S2308, the kernel unit acquires the process identifier of the process to be terminated. In step S2309, it is checked whether there is a corresponding process identifier from the white list, and if there is, the process identifier is deleted (step 2310).
同様にステップS2311ではブラックリスト内のプロセス識別子と当該プロセス識別子を照合して、合致すればステップS2312へ進み、ブラックリスト内の当該識別子を削除する。 Similarly, in step S2311, the process identifier in the black list is compared with the process identifier. If they match, the process proceeds to step S2312, and the identifier in the black list is deleted.
そしてまた、いずれにも属しない時は直接ステップS2313へ進み、プロセスマネージャへプロセスの終了を再開させる、これはステップS2310でのホワイトリスト内からの削除、並びにステップS2312でのブラックリスト内からの削除後も同様である。 If it does not belong to any of the above, the process directly proceeds to step S2313, and the process manager is allowed to resume the process. This is the deletion from the white list in step S2310, and the deletion from the black list in step S2312. The same applies to the rest.
以上、カーネル部が行う情報漏洩防止機能について説明をしてきた、以降は主としてカーネル部による情報漏洩防止機能にて防ぐことが困難、若しくは運用上の負荷の軽減を考慮し、ユーザーモードで動作する内容について記す。 The information leakage prevention function performed by the kernel part has been described above. The contents that operate in the user mode, considering that it is difficult to prevent with the information leakage prevention function by the kernel part, or that reduces the operational load. I will write about.
ユーザ部による制御を行う、理由としてはホワイトリストに登録されているプロセスの中の情報漏洩に関係する項目、OSの仕様によってカーネル部では制御できない項目等である。 The reason for performing control by the user part is an item related to information leakage in the process registered in the white list, an item that cannot be controlled by the kernel part according to the specification of the OS, and the like.
以降の項目にてユーザ部で制御する代表例並びに制御方法について説明する。なお、ユーザ部の制御は主として各OSに沿った信号、情報、レジストリ、標準のAPI、等に代表される各種パラメータ、関数、それらの変換手段等、それらを含むプログラム又はファイル等を用いて行われる。 In the following items, representative examples and control methods controlled by the user unit will be described. The control of the user part is mainly performed using various parameters and functions represented by signals, information, registries, standard APIs, etc. according to each OS, conversion means thereof, programs or files including them. Is called.
図24は、実施例4に係るユーザ部での制御内容の代表例及び制御理由を示す表である。 FIG. 24 is a table illustrating a representative example of control contents and a control reason in the user unit according to the fourth embodiment.
以下に各項目について詳細に説明する。 Each item will be described in detail below.
[レジストリ変更防止手段]
レジストリ変更防止手段は特定のレジストリの変更を監視して、レジストリ変更があった場合、すぐに当該レジストリを変更前の状態に戻す手段である。また、監視が解除されると、レジストリを監視状態の前の状態に戻す。
[Registry change prevention means]
The registry change prevention means is a means for monitoring a change in a specific registry and, if there is a registry change, immediately returning the registry to the state before the change. When the monitoring is canceled, the registry is returned to the state before the monitoring state.
図24中「レジストリ変更防止手段の代表例」には3つの制御内容の代表例が示されている。1つ目の制御内容は、Explorerのコンテキストメニューにある「送る」という項目を防止することである。Explorerはホワイトリストに登録される、極めて汎用性のあるプロセスである。それゆえ、Explorerによって作成されたファイルをメールに添付することを、カーネル部は防ぐことができない。その補完機能としてレジストリ変更防止手段が、とりわけ、「送る」という項目の有効化を防止する。 In FIG. 24, “representative examples of registry change prevention means” show representative examples of three control contents. The first control content is to prevent the item “send” in the explorer context menu. Explorer is a whitelisted and highly versatile process. Therefore, the kernel unit cannot prevent the file created by the Explorer from being attached to the mail. As a complementary function, the registry change prevention means prevents, in particular, the activation of the item “send”.
2つ目の制御内容は、壁紙の変更を防止することである。漏洩防止対象のファイルが画像ファイルであれば、一般に、壁紙として使用できる。上述したように画紙を制御するExplorerは、ホワイトリストに登録される。よって、カーネル部が壁紙への使用を禁止できない。それゆえ、カーネル部を補助する当手段が、漏洩防止対象ファイルの壁紙へ使用を禁止する。 The second control content is to prevent the wallpaper from being changed. If the file subject to leakage prevention is an image file, it can generally be used as wallpaper. As described above, the Explorer that controls the drawing paper is registered in the white list. Therefore, the kernel part cannot prohibit the use of wallpaper. Therefore, this means for assisting the kernel part prohibits the use of the leakage prevention target file as wallpaper.
3つ目の制御内容は、規定のメーラの登録を削除することである。これは、上記同様ホワイトリストに登録されているメーラが任意のファイルを送信することを、カーネル部は防ぐことができないからである。 The third control content is to delete the registration of the specified mailer. This is because the kernel unit cannot prevent any mailer registered in the white list from transmitting an arbitrary file as described above.
このように、情報漏洩防止プログラムは、ホワイトリストに登録されているファイル操作プログラムまたはメーラープログラムによるファイルの漏洩を防止するためにレジストリの変更を監視、並びに防止させるレジストリ変更防止手段として、端末装置を機能させる。 As described above, the information leakage prevention program monitors the registry change to prevent the leakage of the file by the file operation program or the mailer program registered in the white list, and the terminal device is used as a registry change prevention means for preventing the change. Make it work.
[デバイス無効化手段]
デバイス無効化手段は、デバイスを無効化、あるいは有効化を禁止する手段である。デバイス無効化手段は、特定のデバイスが新しく)追加されても、デバイス変更信号を感知したタイミングで、このデバイスを無効化する。一方、デバイス制御機構は、監視が解除されると、禁止されていたデバイスを監視前の状態に戻す。
[Device invalidation means]
The device invalidation means is means for invalidating or prohibiting the device. The device invalidation means invalidates a device when a device change signal is sensed even if a specific device is newly added. On the other hand, when the monitoring is canceled, the device control mechanism returns the prohibited device to the state before monitoring.
図25中の「デバイス無効化手段代表例」は、実施例4に係るデバイスにおける制御デバイスと制御理由とを示す図である。なお、デバイス無効化手段は、例えばユーザがWindows(登録商標)のデバイスマネージャというUI上でドライブを無効にする操作と同等のことを実現する機能である。 “Representative example of device invalidation means” in FIG. 25 is a diagram illustrating a control device and a control reason in the device according to the fourth embodiment. The device invalidation unit is a function that realizes, for example, the same operation as the operation of invalidating a drive on a UI called a Windows (registered trademark) device manager.
図25によれば、制御デバイスはFDD(フレキシブルドライブディスク)とNIC(ネットワーク通信カード)である。FDDのディスクをOSが認識していない間、カーネル部をAttachすることができない。よって、手順によってはファイルを1個だけ持ち出すことが出来てしまう可能性がある。それゆえ、制御デバイスはFDDを監視することで、ファイルの移動を禁止する。 According to FIG. 25, the control devices are FDD (flexible drive disk) and NIC (network communication card). While the OS does not recognize the FDD disk, the kernel unit cannot be attached. Therefore, depending on the procedure, there is a possibility that only one file can be taken out. Therefore, the control device prohibits the movement of the file by monitoring the FDD.
NICを監視する理由は、Explorerがホワイトリストに登録されているため、監視対象内のファイルをアップロードされてしまうことをカーネル部が防止できないからである。よって、デバイス無効化手段は、NICからアップロードされるファイルが漏洩防止対象ファイルであれば、アップロードを禁止する。 The reason for monitoring the NIC is that because the Explorer is registered in the white list, the kernel unit cannot prevent the file within the monitoring target from being uploaded. Therefore, the device invalidation unit prohibits uploading if the file uploaded from the NIC is a leakage prevention target file.
このように実施例4によれば、フレキシブルディスクドライブに書き込まれるファイルが情報漏洩対象ファイルであるか否かを監視し、情報漏洩対象ファイルが書き込み対象として指定されると、その書き込みを禁止する書き込み禁止手段として、端末装置を機能させる。 As described above, according to the fourth embodiment, it is monitored whether or not a file to be written to the flexible disk drive is an information leakage target file. When the information leakage target file is designated as a writing target, the writing that prohibits the writing is performed. The terminal device is caused to function as prohibition means.
また、情報漏洩防止プログラムは、ホワイトリストに登録されているファイル操作プログラムによるファイルの漏洩を防止するために通信装置から外部へ送信されるファイルが情報漏洩対象ファイルであるか否かを監視し、情報漏洩対象ファイルが送信対象として指定されると、その送信を禁止する送信禁止手段として、端末装置を機能させる。 In addition, the information leakage prevention program monitors whether or not a file transmitted from the communication device to the outside in order to prevent the leakage of the file by the file operation program registered in the white list is an information leakage target file, When the information leakage target file is designated as a transmission target, the terminal device is caused to function as a transmission prohibition unit that prohibits the transmission.
[グローバルフック手段]
グローバルフック手段は、各種メッセージの処理を制限する機能である。監視が解除されると、この制御も解除される。
[Global hook means]
The global hook means is a function that restricts processing of various messages. When monitoring is released, this control is also released.
図24中の「グローバルフック手段の代表例」には、実施例4に係るグローバルフック手段における制御内容の代表例及びその制御理由が示されている。1つ目は、予め指定されているダイアログを表示させないようにする機能である。具体的にはキャプションやウィンドウクラスが登録内容と一致した場合、グローバルフック手段は、そのダイアログを止める。これは、例えば「名前をつけて保存」「名前を変更して保存」「オブジェクトの挿入」に代表される、ファイルシステムに関与しないメモリ上の操作はカーネル部で制御できないためである。それゆえ、グローバルフック手段は、このような操作に関するダイアログをストップさせる、若しくは無効化する。 “Representative example of global hook means” in FIG. 24 shows a representative example of control contents in the global hook means according to the fourth embodiment and the reason for the control. The first is a function that prevents a previously designated dialog from being displayed. Specifically, when the caption or window class matches the registered content, the global hook means stops the dialog. This is because, for example, operations on the memory not related to the file system, such as “save with name”, “save with name change”, and “insert object” cannot be controlled by the kernel unit. Therefore, the global hook means stops or invalidates the dialog regarding such an operation.
2つ目は、マウスに代表されるポインティングデバイス等によるウインドウをまたぐDrag&Dropを禁止する機能である。これはファイル内のデータをポインティングデバイス等がDrag&Dropで持ち出すことをカーネル部が防ぐことができないためである。 The second is a function for prohibiting Drag & Drop across windows by a pointing device represented by a mouse. This is because the kernel unit cannot prevent the data in the file from being taken out by the pointing device or the like using Drag & Drop.
例えばマウスの場合、ウインドウ中で複数のファイルを選択しドラッグしようとする際にはマウス上のボタンを押したままカーゾルを移動させる操作する必要がある。このボタンを押した際の座標をグローバルフック手段が捕らえており、ボタンが離された際にボタンを押した際の座標と違えばその動作を無効化する等によって実施される。 For example, in the case of a mouse, when a plurality of files are selected and dragged in a window, it is necessary to move the cursor while holding down the button on the mouse. The global hook means captures the coordinates when the button is pressed. If the coordinates are different from the coordinates when the button is pressed when the button is released, the operation is performed by invalidating the operation.
このように実施例4によれば、情報漏洩防止プログラムは、情報漏洩対象ファイルまたはその一部を端末装置のメモリ上で複製するためのダイアログの表示が指定されると、当該ダイアログの表示を禁止するダイアログ禁止手段として、端末装置を機能させる。 As described above, according to the fourth embodiment, the information leakage prevention program prohibits the display of the dialog when the display of the dialog for copying the information leakage target file or a part thereof on the memory of the terminal device is designated. The terminal device is caused to function as dialog prohibiting means.
また、情報漏洩防止プログラムは、情報漏洩対象ファイルまたはその一部についての複数のウインドウ間でのドラックアンドドロップを監視し、ドラックアンドドロップが指定されると、その実行を禁止するドラックアンドドロップ禁止手段として、端末装置を機能させる。 The information leakage prevention program monitors the drag and drop between a plurality of windows for the information leakage target file or a part thereof, and when the drag and drop is designated, the drag and drop prohibiting means prohibits the execution. The terminal device is caused to function.
[クリップボード利用防止手段]
クリップボード利用防止手段は、文字通りクリップボードの利用を防止する為の手段である。これは監視対象となっているファイルがクリップボード中の一時記憶を経て漏洩してしまうことを防ぐ為の機能である。
[Clipboard use prevention means]
The clipboard use prevention means is a means for preventing literal use of the clipboard. This is a function for preventing the monitored file from leaking through the temporary storage in the clipboard.
図24中の「クリップボード利用防止手段の代表例」には本手段による2つの例が記載されている。これらは共にクリップボード利用防止手段がクリップボードを独占してしまうことにより、他のプロセスがクリップボードを一切利用できなくすることで実施される。これはカーネル部がクリップボードによるファイル内のデータの持ち出しを制御できないためである。監視が解除されると、クリップボード制御機構も解除される。 Two examples of this means are described in “Representative examples of clipboard use prevention means” in FIG. Both of these are implemented by making the clipboard use prevention means monopolize the clipboard, thereby preventing other processes from using the clipboard at all. This is because the kernel part cannot control the export of data in the file by the clipboard. When monitoring is released, the clipboard control mechanism is also released.
このように実施例4によれば、情報漏洩防止プログラムは、クリップボードの使用を独占することで、情報漏洩対象ファイルまたはその一部を該クリップボードへコピーすることを防止するクリップボード独占手段として、端末装置を機能させる。 As described above, according to the fourth embodiment, the information leakage prevention program monopolizes the use of the clipboard, and as a clipboard exclusive means for preventing the information leakage target file or a part thereof from being copied to the clipboard, the terminal device To work.
以上でユーザ部による情報漏洩防止の制御についての説明を終了する。 This is the end of the description of the information leakage prevention control by the user unit.
以上でもって実施例4における情報漏洩防止手段の詳細について説明をしてきたが、本発明におけるカーネル部の制御とユーザ部の制御の形態は互いに補完関係にある。よって今後技術の進展やOSの仕様変更によってカーネル部での制御とユーザ部での制御が入れ替わる可能性等が考えられるが、それらの制御も以上の手段に準ずる範囲であれば本発明の範疇に含まれることは明らかであろう。 Although the details of the information leakage prevention means in the fourth embodiment have been described above, the control mode of the kernel unit and the control mode of the user unit in the present invention are complementary to each other. Therefore, there is a possibility that the control in the kernel part and the control in the user part will be interchanged due to the advancement of technology or the OS specification change. However, these controls are within the scope of the present invention as long as they are in accordance with the above means. It will be clear that it is included.
なお、実施例3や実施例4に記載の情報漏洩防止プログラムは、USBストレージデバイス10から分離されて単独で使用されてもよい。例えば、
(1)第2の記憶領域17と第3の記憶領域18はそのままで、第1の記憶領域16の代わりに、HDD25におけるフォルダやディレクトリに、上記第1の領域に相当するものを設け、そこに実施例と同様な情報漏洩防止プログラムを予め格納して、USBストレージデバイス10の第2領域17のデータファイルの漏洩防止を上記実施例と同様に行うことも可能である。
(2)第1の記憶記憶領域16、第2の記憶領域17の代わりに、HDD25における任意のフォルダやディレクトリに、上記記憶領域1,2に相当するものを設け、そこに実施例と同様な情報漏洩防止プログラムとデータファイルを格納して、そのデータファイルの漏洩防止のために同様のプログラム制御が適用されてもよい。これにより端末を複数のユーザが利用する場合他人のデータファイルを誤って漏洩するのを防止できる。
The information leakage prevention program described in the third and fourth embodiments may be used separately from the
(1) The
(2) Instead of the
さらに、上記(1)(2)の場合、サーバからクライアント(端末装置20)のHDD25に、情報漏洩防止プログラムを格納することも可能である。
Furthermore, in the case of (1) and (2) above, it is also possible to store the information leakage prevention program from the server to the
また、サーバから、最新の情報漏洩プログラムをクライアント(端末装置20)が受信し、USBストレージ10、またはHDD25の第一の記憶領域16に、追加や更新するということも可能である。
It is also possible for the client (terminal device 20) to receive the latest information leakage program from the server and add or update it to the
[実施例5]
実施例5では、上述した実施例の変形例について説明する。具体的には、ホストPCからアクセス可能なネットワーク(通常はイントラネット)上にサーバを配置し、サーバからUSBストレージデバイスに記憶されている情報を更新する。USBストレージデバイスに記憶されている情報を更新できるようにすることで、ユーザごとにセキュリティ設定を変更するなど、セキュリティ設定に柔軟性をもたらすことができる。
[Example 5]
In the fifth embodiment, a modification of the above-described embodiment will be described. Specifically, a server is arranged on a network (usually an intranet) accessible from the host PC, and information stored in the USB storage device is updated from the server. By making it possible to update the information stored in the USB storage device, it is possible to provide flexibility in security settings such as changing the security settings for each user.
この柔軟性によって、USBストレージデバイスに対してグループ管理を適用できる。グループ管理とは、複数のユーザによりグループを構成し、そのグループに属するユーザに対しては共通のセキュリティ設定を適用することである。また、グループは複数のPCによって構成されても良い。この場合、グループに属するPCのすべてをホストPCとすることが可能となる。 With this flexibility, group management can be applied to USB storage devices. Group management is to configure a group by a plurality of users and apply common security settings to users belonging to the group. The group may be composed of a plurality of PCs. In this case, all the PCs belonging to the group can be set as the host PC.
ところで、情報漏洩防止機能を有していない一般のUSBメモリであれば、あるPCから他のPCへと自由にデータを運ぶことが可能となる。しかし、上述の情報漏洩防止機能を適用されたUSBストレージデバイスでは、任意のデータをあるPCから他のPCへと運ぶことは制限される。すなわち、セキュリティ設定が厳格である場合、USBストレージデバイスを使用可能なホストPCが1台に限定されてしまうこともある。このような課題についても、グループ管理を導入することで解決できる。すなわち、特定のグループに所属する複数のPCをホストPCとして、USBストレージデバイスに登録できるようにする。これにより、特定のグループ内ではUSBストレージデバイスを一般のUSBメモリのように使用することが可能となる。もちろん、未登録のPCにUSBストレージデバイスを装着したときは、上述した情報漏洩防止機能が作動するため、データの移動等は制限される。 By the way, a general USB memory that does not have an information leakage prevention function can freely carry data from one PC to another. However, in a USB storage device to which the information leakage prevention function described above is applied, carrying arbitrary data from one PC to another PC is limited. That is, when the security setting is strict, the host PC that can use the USB storage device may be limited to one. Such problems can also be solved by introducing group management. That is, a plurality of PCs belonging to a specific group can be registered in the USB storage device as host PCs. As a result, the USB storage device can be used like a general USB memory in a specific group. Of course, when the USB storage device is attached to an unregistered PC, the above-described information leakage prevention function operates, so that data movement or the like is limited.
図25は、実施形態に係るグループ管理の一例を示したシーケンス図である。ここでは、説明を簡潔にするために、サーバ装置及びクライアント装置のハードウエア構成は、端末装置20と同等であるものとする。
FIG. 25 is a sequence diagram illustrating an example of group management according to the embodiment. Here, in order to simplify the description, it is assumed that the hardware configurations of the server device and the client device are equivalent to those of the
ステップS2501で、サーバ装置のCPU21は、デバイスIDとユーザIDとの関連付けを実行する。ここで、デバイスIDは、ホストPCとなる端末装置20を識別するためのPC固有値及びUSBストレージデバイスを識別するためのUSBメモリ固有値を示す。なお、PC固有値は、上述したホストPC登録情報18−1に相当する。
In step S2501, the
図26は、サーバ装置のHDD25に記憶されるUSBメモリ固有値テーブルを示した図である。USBメモリ固有値テーブル2601は、USBメモリの固有値とグループIDとを関連付けるテーブルである。なお、図中の*はテーブルのプライマリキーを意味している。グループIDは、各グループIDを識別するための識別情報である。サーバ装置のCPU21は、キーボードやポインティングデバイス28を通じて入力されたUSBメモリの固有値とグループIDとを関連付けて、USBメモリ固有値テーブル2601に登録する。
FIG. 26 is a diagram showing a USB memory eigenvalue table stored in the
図27は、サーバ装置のHDD25に記憶されるPC固有値テーブルを示した図である。PC固有値テーブル2701は、ホストPCの固有値とグループIDとを関連付けるテーブルである。サーバ装置のCPU21は、キーボードやポインティングデバイス28を通じて入力されたPC固有値とグループIDとを関連付けて、PC固有値テーブル2701に登録する。
FIG. 27 is a diagram showing a PC eigenvalue table stored in the
なお、各PCについて、ホストPCとして動作可能な時間帯(開始日時及び終了日時)もPC固有値テーブル2701に登録されてもよい。この場合、第1の情報(ホストPC登録情報)は、第2の情報(ユーザ使用ファイル17−1)を第2の記憶領域17から読み出して不揮発性記憶手段(端末装置20のHDD25)へ格納することができる複数の情報処理装置の識別情報(PC固有値)と、複数の情報処理装置のそれぞれが第2の情報を第2の記憶領域17から読み出して不揮発性記憶手段へ格納することができる時間帯を示す時間帯情報とを含むことになる。さらに、情報漏洩防止プログラムであるセキュリティソフトウエアは、記憶装置10が接続されている端末装置20の識別情報(PC固有値)に対応した時間帯情報に基づいて、第2の情報の取扱いを制限することになる。
For each PC, the time zone (start date / time and end date / time) operable as the host PC may also be registered in the PC unique value table 2701. In this case, as the first information (host PC registration information), the second information (user use file 17-1) is read from the
なお、第1の情報(ホストPC登録情報18−1)は、複数のユーザのそれぞれに対応した第2の情報の取扱いを規定したユーザ設定(図29に示す各種セキュリティレベル)を含む。 The first information (host PC registration information 18-1) includes user settings (various security levels shown in FIG. 29) that define the handling of the second information corresponding to each of a plurality of users.
また、第1の情報(ホストPC登録情報18−1)は、それぞれ一人以上のユーザからなるユーザグループごとに、第2の情報の取扱いを規定したユーザ設定(グループごとの各種セキュリティレベル)を含む。 The first information (host PC registration information 18-1) includes user settings (various security levels for each group) that define the handling of the second information for each user group composed of one or more users. .
ステップS2502で、サーバ装置のCPU21は、キーボードやポインティングデバイス28を通じて入力された情報に従って、各グループごとのセキュリティを設定する。
In step S2502, the
図28は、サーバ装置のHDD25に記憶されるユーザテーブルを示した図である。ユーザテーブル2801は、ユーザIDと、グループIDと、優先レベルとを関係付けるテーブルである。ユーザIDは、各ユーザを識別するための識別情報である。優先レベルは、例えば、個人向けのセキュリティ機能を優先して適用するか、グループ向けのセキュリティ機能を優先して適用するかを示す情報である。
FIG. 28 is a diagram showing a user table stored in the
サーバ装置のCPU21は、キーボードやポインティングデバイス28を通じて入力された情報に従って、ユーザIDと、グループIDと、優先レベルとを対応付けてユーザテーブル2801に登録する。
The
図29は、サーバ装置のHDD25に記憶されるグループテーブルを示した図である。グループテーブル2901は、グループIDと、セキュリティレベルとを関連付けるテーブルである。セキュリティレベルは、各種セキュリティ機能の有効/無効を示す情報である。セキュリティレベルの一例を以下に列挙する。
FIG. 29 is a diagram showing a group table stored in the
初期化のON/OFF
クリップボード使用禁止のON/OFF
ドラッグ&ドロップ使用禁止のON/OFF
特定ダイアログボックスの使用禁止(名前を付けてファイルを保存等)のON/OFF
印刷禁止のON/OFF
ネットワーク切断のON/OFF
ホワイトリスト及びブラックリスト更新のON/OFF
なお、初期化とは、例えば、ユーザ使用ファイル17−1の削除することや、ホストPC登録情報情報18−1、ユーザ登録情報18−2、ホワイトリスト18−3及びブラックリスト18−4の更新することを意味する。ただし、サーバに接続されていない端末装置20でUSBストレージデバイス(記憶装置10)が使用される場合、ホワイトリスト18−3及びブラックリスト18−4の削除は実行しないものとする。
Initialization ON / OFF
ON / OFF of clipboard use prohibition
ON / OFF prohibition of drag and drop use
ON / OFF prohibition of use of specific dialog box (save file with name, etc.)
Print prohibition ON / OFF
Network disconnection ON / OFF
ON / OFF of white list and black list update
The initialization includes, for example, deleting the user use file 17-1, updating the host PC registration information information 18-1, user registration information 18-2, white list 18-3, and black list 18-4. It means to do. However, when the USB storage device (storage device 10) is used in the
サーバ装置のCPU21は、キーボードやポインティングデバイス28を通じて入力された情報に従って、グループIDと、各種セキュリティレベルとを対応付けてグループテーブル2901に登録する。
The
ステップS2503で、サーバ装置のCPU21は、所定のタイミングで、クライアントへ設定情報を送信する。所定のタイミングは、例えば、端末装置20において起動したセキュリティソフトウエア25−2から送信された設定情報の要求をサーバ装置が受信したタイミングである。サーバ装置のCPU21は、設定情報の要求に含まれているユーザIDから上述のテーブルに基づいてグループIDを特定し、グループIDに対応するPC固有値、優先レベル及び各種セキュリティレベルを決定する。サーバ装置のCPU21は、決定したPC固有値と、優先レベルと、セキュリティレベルと、最新のホワイトリスト及びブラックリストとを設定情報に搭載する。なお、設定情報に、最新バージョンのセキュリティソフトウエアが含まれていてもよい。この場合、第1の記憶領域に記憶されているセキュリティソフトウエア16−1bが最新バージョンに更新されることになる。
In step S2503, the
ステップS2504で、クライアントである端末装置20のCPU21は、設定情報を受信し、記憶装置10のセキュリティ設定を変更する。端末装置20のCPU21は、設定情報に含まれていたPC固有値を、コントローラ12を通じてホストPC登録情報18−1に書き込む。同様に、CPU21は、受信した優先レベルとセキュリティレベルも第3の記憶領域18に書き込む。さらに、CPU21は、受信したワイトリスト及びブラックリストも第3の記憶領域18に書き込む。
In step S2504, the
なお、初期化がONに設定されている場合、ステップS2505で、サーバ装置のCPU21は、初期化処理要求を端末装置20へ送信する。ステップS2506で、CPU21は、初期化処理を実行する。なお、端末装置20のCPU21は、キーボード等の入力装置から入力されたパスワードと記憶装置10に記憶されているユーザ登録情報18−2に含まれているパスワードとが一致しているか否かを判定してもよい。そして、CPU21は、両者が一致している場合にのみ、初期化処理を実行する。
If initialization is set to ON, the
図30は、ホストPC登録情報18−1を適用する端末装置20の動作の一例を示したフローチャートである。ステップS3001で、CPU21は、第3の記憶領域18に記憶されている優先レベルを、コントローラ12を介して読み出し、優先レベルが個人に設定されているか、グループに設定されているかを判定する否かを判定する。この判定処理は、単一の個人が記憶装置10を使用するのか、複数の個人が記憶装置10を使用するのかを判定する処理である。また、この判定処理は、単一の端末装置20が記憶装置10を使用するのか、複数の端末装置20が記憶装置10を使用するのかを判定する処理である。
優先レベルが個人に設定されていなければ(グループに設定されていれば)、ステップS3002に進む。
FIG. 30 is a flowchart showing an example of the operation of the
If the priority level is not set to an individual (if set to a group), the process proceeds to step S3002.
ステップS3002で、CPU21は、予め登録されている所定のサーバと通信可能か否かを判定する。所定のサーバのURLまたはアドレスの情報は予めセキュリティソフトウエア16−1bが備えている。サーバと通信可能であれば、ステップS3003に進む。
In step S3002, the
ステップS3003で、CPU12は、サーバから受信した設定情報に含まれていたPC固有値を、記憶装置10に記憶されているホストPC登録情報18−1の代わりに、セキュリティソフトウエア16−1bに適用する。
In step S3003, the
一方、ステップS3001で、優先レベルが個人に設定されていると判定された場合、または、ステップS3002で、所定のサーバと通信できないと判定された場合、ステップS3004に進む。 On the other hand, if it is determined in step S3001 that the priority level is set to an individual, or if it is determined in step S3002 that communication with a predetermined server is not possible, the process proceeds to step S3004.
ステップS3004で、CPU21は、記憶装置10に記憶されているホストPC登録情報18−1をセキュリティソフトウエア16−1bに適用する。
In step S3004, the
このように、情報漏洩防止プログラムであるセキュリティソフトウエアは、情端末装置20が所定のサーバと接続可能か否かを判定する接続判定手段(S3002)と、端末装置20が所定のサーバと接続可能であれば、所定のサーバから受信した第1の情報を第2の情報に適用し(S3003)、端末装置20が所定のサーバと接続可能でなければ、第1の記憶領域に記憶されている第1の情報を第2の情報に適用する(S3004)情報切り替え手段として端末装置20を機能させる。
As described above, the security software, which is an information leakage prevention program, can determine whether or not the
また、セキュリティソフトウエアは、単一の個人が記憶装置10を使用するのどうかを判定する使用者判定手段(S3001)と、単一の個人が記憶装置10を使用するのであれば、第1の記憶領域に記憶されている第1の情報を第2の情報に適用し(S3004)、単一の個人が記憶装置10を使用するのでなければ、所定のサーバから受信した第1の情報を第2の情報に適用する(S3003)情報切り替え手段として端末装置20を機能させる。
In addition, the security software includes a user determination unit (S3001) for determining whether or not a single individual uses the
同様に、セキュリティソフトウエアは、予め定められた単一の端末装置20が記憶装置10を使用するのか、予め定められた複数の端末装置20が記憶装置10を使用するのかを判定する判定手段(S3001)と、単一の端末装置20が記憶装置10を使用するのであれば、第1の記憶領域に記憶されている第1の情報を第2の情報に適用し(S3004)、複数の端末装置20が記憶装置10を使用するのであれば、所定のサーバから受信した第1の情報を第2の情報に適用する(S3003)情報切り替え手段として情報処理装置を機能させる。
Similarly, the security software determines whether a predetermined single
図31は、ホストPC登録情報18−1の登録を示したシーケンス図である。ステップS3101で、クライアントである端末装置20のCPU21は、記憶装置10内に予めアドレスが登録されている所定のサーバへ応答確認要求を送信する。これは、端末装置20がサーバと接続されているか否かを確認するためである。
FIG. 31 is a sequence diagram showing registration of the host PC registration information 18-1. In step S <b> 3101, the
ステップS3102で、サーバ装置のCPU21は、応答確認要求を受信すると、所定のサーバである旨の情報を端末装置20へ送信する。また、サーバ装置のCPU21は、HDD25に記憶しているホストPC登録情報(例えば、PC固有値等)も一緒に端末装置20へ送信してもよい。
In step S <b> 3102, upon receiving the response confirmation request, the
ステップS3103で、端末装置20のCPU21は、サーバから送信された所定のサーバである旨の情報と、記憶装置10内に予め登録されている所定のサーバに関する情報が一致しているか否かを判定する。両者が一致していなければ、CPU21は、受信した情報を破棄する。一方、両者が一致している場合、ステップS3104に進む。
In step S <b> 3103, the
ステップS3104で、CPU21は、サーバから送信されたホストPC登録情報をホストPC登録情報18−1へ登録する。
In step S3104, the
図32は、ホストPC登録情報18−1の登録を行うまでの変形例を示したシーケンス図である。ステップS3201で、クライアントである端末装置20のCPU21は、クライアントに関する情報(例えば、ユーザIDやデバイスID等)をサーバへ送信する。ステップS3202で、サーバ装置のCPU21は、端末装置20から受信したクライアントに関する情報と、予めHDD25に記憶しているクライアントに関する情報とが一致しているか否かを判定する。両者が一致していなければ、CPU21は、エラー処理を実行する。両者が一致している場合、ステップS3203に進む。
FIG. 32 is a sequence diagram showing a modification example until registration of the host PC registration information 18-1. In step S3201, the
ステップS3203で、サーバ装置のCPU21は、受信したクライアントに関する情報に対応したホストPC登録情報(例えば、グループID等)を端末装置20に送信する。
In step S3203, the
ステップS3204で、端末装置20のCPU21は、サーバから受信したホストPC登録情報を記憶装置10のホストPC登録情報18−1として登録する。なお、ホストPC登録情報18−1の更新は、記憶装置10が端末装置20に接続されたごとに実行されてもよいし、ユーザの利便性を考慮して所定の期間ごと(例えば四半期毎)に実行されてもよい。
In
以上説明したように、本実施例によれば、情報漏洩防止プログラムであるセキュリティソフトウエア25−1は、端末装置20をサーバと接続し、サーバから受信した情報によって第1の情報を更新する更新手段として端末装置20を機能させる。よって、サーバを介してホストPC登録情報等を更新することが可能となる。すなわち、また、ホストPC登録情報には、特定のグループに属する複数のPCの固有値が記憶されるため、複数のホストPCを実現できる。例えば、特定のグループに属した複数のPC間では、記憶装置10を一般的なUSBメモリとして使用することが可能となる。一方で、特定のグループに属していない社外のPCについては、ホストPCになれないため、記憶装置10に関するデータへのアクセスが制限される。よって、記憶装置10のセキュリティを柔軟に維持することができる。
As described above, according to the present embodiment, the security software 25-1 that is the information leakage prevention program connects the
本実施例では、グループ管理によって、ユーザグループごとに、セキュリティレベルを変更することが可能となる。もちろん、ユーザごとのセキュリティレベルをサーバから受信してホストPC登録情報18−1に保持すれば、ユーザごとにセキュリティレベルを変更することが可能となる。 In this embodiment, the security level can be changed for each user group by group management. Of course, if the security level for each user is received from the server and stored in the host PC registration information 18-1, the security level can be changed for each user.
Claims (12)
前記端末装置によって択一的に認識される読み出しのみ可能な第1の記憶領域、読み出しおよび書き込みとも可能な第2の記憶領域、および、前記端末装置において実行されるプロセスのうち、前記第2の記憶領域に対するプロセスの動作を制限するリストを記憶した第3の記憶領域と、
前記第1の記憶領域に記憶され、前記端末装置に認識される記憶領域を該第1の記憶領域から前記第2の記憶領域へと切り替えるための切り替えプログラムと、
前記第1の記憶領域に記憶され、前記端末装置に前記記憶装置が接続されたときに前記切り替えプログラムを前記端末装置において起動させるための起動ファイルと、
前記第1の記憶領域に記憶され、前記リストにしたがって情報漏洩を防止する情報漏洩防止プログラムと、
を備え、
前記第1の記憶領域および前記第2の記憶領域はそれぞれ異なるパーティションであり、
前記切り替えプログラムは、前記端末装置に、前記第1の記憶領域であるパーティションを不可視状態に切り替えさせた後、前記第2の記憶領域であるパーティションを可視状態に切り替えさせることを特徴とする記憶装置。 A storage device detachable from a general-purpose interface provided in a terminal device,
Of the first storage area that can be read only alternatively recognized by the terminal device, the second storage area that can be read and written , and the process executed in the terminal device, the second storage area A third storage area storing a list for restricting the operation of the process with respect to the storage area ;
A switching program for switching the storage area stored in the first storage area and recognized by the terminal device from the first storage area to the second storage area;
An activation file stored in the first storage area and for activating the switching program in the terminal device when the storage device is connected to the terminal device;
An information leakage prevention program stored in the first storage area and preventing information leakage according to the list;
With
The first storage area and the second storage area are different partitions;
The switching program causes the terminal device to switch the partition that is the first storage area to an invisible state, and then switches the partition that is the second storage area to a visible state. .
を更に備え、
前記第1のコントローラは、前記切り替え命令を受信すると、前記第1の記憶領域の論理ユニット番号と前記第2の記憶領域の論理ユニット番号を変更することを特徴とする請求項1に記載の記憶装置。 A first controller that switches a storage area recognized by the terminal apparatus from the first storage area to the second storage area by receiving a switching command issued by the terminal apparatus according to the switching program; ,
Further comprising
2. The storage according to claim 1, wherein the first controller changes a logical unit number of the first storage area and a logical unit number of the second storage area when receiving the switching command. apparatus.
前記記憶装置は、
前記端末装置によって択一的に認識される読み出しのみ可能な第1の記憶領域、読み出しおよび書き込みとも可能な第2の記憶領域、および、前記端末装置において実行されるプロセスのうち、前記第2の記憶領域に対するプロセスの動作を制限するリストを記憶した第3の記憶領域と、
前記第1の記憶領域に記憶され、前記端末装置に認識される記憶領域を該第1の記憶領域から前記第2の記憶領域へと切り替えるための切り替えプログラムと、
前記第1の記憶領域に記憶され、前記端末装置に前記記憶装置が接続されたときに前記切り替えプログラムを前記端末装置において起動させるための起動ファイルと、
前記第1の記憶領域に記憶され、前記リストにしたがって情報漏洩を防止する情報漏洩防止プログラムと、
を備え、
前記制御方法は、
前記端末装置が前記記憶装置に接続されると、前記第1の記憶領域から前記起動ファイルを読み出して実行するステップと、
前記起動ファイルにしたがって前記切り替えプログラムを実行するステップと、
前記切り替えプログラムにしたがって前記端末装置に認識される記憶領域を前記第1の記憶領域から前記第2の記憶領域へと切り替えるステップであって、前記第1の記憶領域および前記第2の記憶領域はそれぞれ異なるパーティションであり、前記第1の記憶領域であるパーティションを不可視状態に切り替えた後、前記第2の記憶領域であるパーティションを可視状態に切り替えるステップと
を含むことを特徴とする制御方法。 A method for controlling a storage device detachable from a general-purpose interface provided in a terminal device,
The storage device
Of the first storage area that can be read only alternatively recognized by the terminal device, the second storage area that can be read and written , and the process executed in the terminal device, the second storage area A third storage area storing a list for restricting the operation of the process with respect to the storage area ;
A switching program for switching the storage area stored in the first storage area and recognized by the terminal device from the first storage area to the second storage area;
An activation file stored in the first storage area and for activating the switching program in the terminal device when the storage device is connected to the terminal device;
An information leakage prevention program stored in the first storage area and preventing information leakage according to the list;
With
The control method is:
When the terminal device is connected to the storage device, the step of reading and executing the startup file from the first storage area;
Executing the switching program according to the startup file;
Switching the storage area recognized by the terminal device from the first storage area to the second storage area according to the switching program, wherein the first storage area and the second storage area are: And a step of switching the partition which is the second storage area to the visible state after switching the partition which is the first storage area to the invisible state.
前記記憶装置が前記端末装置に接続されたことで前記第1の記憶領域から読み出された前記起動ファイルにしたがって前記コンピュータプログラムが前記端末装置によって起動されると、
前記端末装置に認識される記憶領域を前記第1の記憶領域から前記第2の記憶領域へと切り替える切り替え手段であって、前記第1の記憶領域および前記第2の記憶領域はそれぞれ異なるパーティションであり、前記第1の記憶領域であるパーティションを不可視状態に切り替えた後、前記第2の記憶領域であるパーティションを可視状態に切り替える切り替え手段として、前記端末装置を機能させることを特徴とするコンピュータプログラム。 A first storage area that can be attached to and detached from a general-purpose interface provided in the terminal device, and that can be selectively recognized by the terminal device; a second storage area that can be read and written ; and Of the processes executed in the terminal device, a computer program when connected to the terminal device in a storage device having a third storage area storing a list for restricting the operation of the process for the second storage area A computer program stored in the first storage area together with an activation file for activating the terminal device and an information leakage prevention program for preventing information leakage according to the list ,
When the computer program is activated by the terminal device according to the activation file read from the first storage area by connecting the storage device to the terminal device,
Switching means for switching a storage area recognized by the terminal device from the first storage area to the second storage area, wherein the first storage area and the second storage area are different partitions. A computer program for causing the terminal device to function as switching means for switching the partition that is the second storage area to the visible state after switching the partition that is the first storage area to the invisible state .
前記記憶装置は、
前記端末装置によって択一的に認識される読み出しのみ可能な第1の記憶領域、読み出しおよび書き込みとも可能な第2の記憶領域、および、前記端末装置において実行されるプロセスのうち、前記第2の記憶領域に対するプロセスの動作を制限するリストを記憶した第3の記憶領域と、
前記第1の記憶領域に記憶され、前記端末装置に認識される記憶領域を該第1の記憶領域から前記第2の記憶領域へと切り替えるための切り替えプログラムと、
前記第1の記憶領域に記憶され、前記端末装置に前記記憶装置が接続されたときに前記切り替えプログラムを前記端末装置において起動させるための起動ファイルと、
前記第1の記憶領域に記憶され、前記リストにしたがって情報漏洩を防止する情報漏洩防止プログラムと、
を備え、
前記端末装置は、
前記記憶装置が接続されると、前記第1の記憶領域から前記起動ファイルを読み出し、該起動ファイルにしたがって前記切り替えプログラムを実行する手段と、
前記切り替えプログラムにしたがって前記端末装置から認識可能な記憶領域を前記第1の記憶領域から前記第2の記憶領域へと切り替える切り替え手段であって、前記第1の記憶領域および前記第2の記憶領域はそれぞれ異なるパーティションであり、前記切り替えプログラムにしたがって前記第1の記憶領域であるパーティションを不可視状態に切り替えた後、前記第2の記憶領域であるパーティションを可視状態に切り替える切り替え手段と
を含むことを特徴とする端末装置。 A terminal device for connecting a removable storage device to a general-purpose interface,
The storage device
Of the first storage area that can be read only alternatively recognized by the terminal device, the second storage area that can be read and written , and the process executed in the terminal device, the second storage area A third storage area storing a list for restricting the operation of the process with respect to the storage area ;
A switching program for switching the storage area stored in the first storage area and recognized by the terminal device from the first storage area to the second storage area;
An activation file stored in the first storage area and for activating the switching program in the terminal device when the storage device is connected to the terminal device;
An information leakage prevention program stored in the first storage area and preventing information leakage according to the list;
With
The terminal device
Means for reading the startup file from the first storage area and executing the switching program according to the startup file when the storage device is connected;
Switching means for switching a storage area recognizable from the terminal device from the first storage area to the second storage area in accordance with the switching program, the first storage area and the second storage area Are different partitions, and include switching means for switching the partition which is the second storage area to the visible state after switching the partition which is the first storage area to the invisible state according to the switching program. Characteristic terminal device.
接続されている、又は追加接続される特定の通信装置を一時的に無効化する手段として、前記端末装置を機能させることを特徴とする請求項1に記載の記憶装置。 In order to prevent the leakage of files by the file operation program registered in the list, the information leakage prevention program
It is connected, or the means for temporarily disabling the particular communication device is additionally connected, a storage device according to claim 1, characterized in that to function the terminal device.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011278713A JP5457427B2 (en) | 2008-02-01 | 2011-12-20 | Storage device, terminal device and computer program |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008023280 | 2008-02-01 | ||
JP2008023280 | 2008-02-01 | ||
JP2011278713A JP5457427B2 (en) | 2008-02-01 | 2011-12-20 | Storage device, terminal device and computer program |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009018633A Division JP2009205673A (en) | 2008-02-01 | 2009-01-29 | Memory device, information processing device, terminal device, and computer program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012069159A JP2012069159A (en) | 2012-04-05 |
JP5457427B2 true JP5457427B2 (en) | 2014-04-02 |
Family
ID=41147814
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009018633A Pending JP2009205673A (en) | 2008-02-01 | 2009-01-29 | Memory device, information processing device, terminal device, and computer program |
JP2011278713A Active JP5457427B2 (en) | 2008-02-01 | 2011-12-20 | Storage device, terminal device and computer program |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009018633A Pending JP2009205673A (en) | 2008-02-01 | 2009-01-29 | Memory device, information processing device, terminal device, and computer program |
Country Status (1)
Country | Link |
---|---|
JP (2) | JP2009205673A (en) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5081280B2 (en) * | 2010-07-08 | 2012-11-28 | 株式会社バッファロー | Portable storage media |
TWI494789B (en) * | 2012-10-29 | 2015-08-01 | Walton Advanced Eng Inc | A secure data sharing system and implementation method |
JP5863689B2 (en) * | 2013-02-28 | 2016-02-17 | 京セラドキュメントソリューションズ株式会社 | Shared library with unauthorized use prevention function |
JP6611560B2 (en) * | 2014-10-30 | 2019-11-27 | キヤノン株式会社 | Network device management apparatus and method in management apparatus |
JP6478800B2 (en) * | 2015-05-18 | 2019-03-06 | 三菱電機株式会社 | Digital content editing device, digital content playback device, digital content decryption device, digital content encryption / decryption system, and digital content encryption / decryption method |
CN105389507B (en) * | 2015-11-13 | 2018-12-25 | 小米科技有限责任公司 | The method and device of monitoring system partitioned file |
JP2020144689A (en) | 2019-03-07 | 2020-09-10 | キオクシア株式会社 | Storage apparatus, and method of controlling storage apparatus |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004302995A (en) * | 2003-03-31 | 2004-10-28 | Fujitsu Ltd | File access limiting program |
JP4357214B2 (en) * | 2003-06-04 | 2009-11-04 | 株式会社東芝 | Access management program |
US20070021141A1 (en) * | 2003-10-16 | 2007-01-25 | Kaoru Yokota | Record carrier, system, method and program for conditional access to data stored on the record carrier |
JP2006030673A (en) * | 2004-07-16 | 2006-02-02 | Kyocera Mita Corp | Image forming apparatus |
JP4276219B2 (en) * | 2005-08-10 | 2009-06-10 | 株式会社ハギワラシスコム | USB storage device internal state setting method |
JP4388922B2 (en) * | 2005-10-21 | 2009-12-24 | 群聯電子股▲ふん▼有限公司 | Portable storage devices |
KR101012222B1 (en) * | 2005-10-24 | 2011-02-11 | 싸이언스 파크 가부시키가이샤 | Electronic computer data management method, and storing medium storing the program for the method |
JP2007148466A (en) * | 2005-11-24 | 2007-06-14 | Hitachi Software Eng Co Ltd | Portable storage device and os |
US7818798B2 (en) * | 2006-02-03 | 2010-10-19 | Microsoft Corporation | Software system with controlled access to objects |
JP4705489B2 (en) * | 2006-03-07 | 2011-06-22 | 富士通株式会社 | Computer-readable portable recording medium recording device driver program, storage device access method, and storage device access system |
JP4757066B2 (en) * | 2006-03-15 | 2011-08-24 | 株式会社日立ソリューションズ | Method for managing secondary storage device in user terminal and user terminal |
JP2007249782A (en) * | 2006-03-17 | 2007-09-27 | Nifty Corp | Electronic data leakage prevention program |
JP4681053B2 (en) * | 2006-06-27 | 2011-05-11 | サイエンスパーク株式会社 | Data management method for computer, program, and recording medium |
-
2009
- 2009-01-29 JP JP2009018633A patent/JP2009205673A/en active Pending
-
2011
- 2011-12-20 JP JP2011278713A patent/JP5457427B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2012069159A (en) | 2012-04-05 |
JP2009205673A (en) | 2009-09-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5457427B2 (en) | Storage device, terminal device and computer program | |
JP4690310B2 (en) | Security system and method | |
US10356086B1 (en) | Methods and apparatuses for securely operating shared host computers with portable apparatuses | |
US8245293B2 (en) | Methods and apparatuses for securely operating shared host computers with portable apparatuses | |
US7971232B2 (en) | Setting group policy by device ownership | |
KR101012222B1 (en) | Electronic computer data management method, and storing medium storing the program for the method | |
JP4007873B2 (en) | Data protection program and data protection method | |
JP4757066B2 (en) | Method for managing secondary storage device in user terminal and user terminal | |
KR101705550B1 (en) | Method and software product for controlling application program which access secure saving area | |
US20080046997A1 (en) | Data safe box enforced by a storage device controller on a per-region basis for improved computer security | |
WO2023143646A2 (en) | Data security protection method, device and system, security control framework and storage medium | |
JP4785679B2 (en) | Method for controlling writing to secondary storage device and information processing apparatus | |
JP2009098890A (en) | File system and computer readable storage medium | |
JP5676145B2 (en) | Storage medium, information processing apparatus, and computer program | |
KR102275764B1 (en) | Data Storage Device with Variable Computer File System | |
WO2023090297A1 (en) | Storage device and program | |
KR101056423B1 (en) | Program Execution Management Method and Record Media Using Logged-In Account Control | |
JP2021174432A (en) | Electronic data management method, electronic data management device, and program and storage medium for the same | |
US11874954B2 (en) | Electronic data management device, electronic data management system, and non-transitory computer-readable recording medium | |
JP2003208234A (en) | Software recording part separation type information processor and software managing method | |
JP5295156B2 (en) | Information processing apparatus and software unauthorized use prevention method | |
JP2004220400A (en) | File protecting method and file protection program | |
KR102124578B1 (en) | Method for securing storage device and security apparatus using the same | |
CN112434285B (en) | File management method, device, electronic equipment and storage medium | |
KR100901014B1 (en) | Apparatus and method for running application in virtual environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111220 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20111220 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130517 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130624 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130820 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20130927 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131125 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20131202 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131216 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140109 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5457427 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |