JP6091286B2 - File management system and file management method - Google Patents

File management system and file management method Download PDF

Info

Publication number
JP6091286B2
JP6091286B2 JP2013067787A JP2013067787A JP6091286B2 JP 6091286 B2 JP6091286 B2 JP 6091286B2 JP 2013067787 A JP2013067787 A JP 2013067787A JP 2013067787 A JP2013067787 A JP 2013067787A JP 6091286 B2 JP6091286 B2 JP 6091286B2
Authority
JP
Japan
Prior art keywords
program
file
storage medium
security
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2013067787A
Other languages
Japanese (ja)
Other versions
JP2014191671A (en
Inventor
慎一郎 宮崎
慎一郎 宮崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Space Software Co Ltd
Original Assignee
Mitsubishi Space Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Space Software Co Ltd filed Critical Mitsubishi Space Software Co Ltd
Priority to JP2013067787A priority Critical patent/JP6091286B2/en
Publication of JP2014191671A publication Critical patent/JP2014191671A/en
Application granted granted Critical
Publication of JP6091286B2 publication Critical patent/JP6091286B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Description

本発明は、コンピュータから記憶媒体へのファイルのコピーを制限するためのセキュリティ記憶媒体、ファイル管理システムおよびファイル管理方法に関するものである。   The present invention relates to a security storage medium, a file management system, and a file management method for restricting file copying from a computer to a storage medium.

個人情報または機密情報などの情報を含んだファイルがUSB(Universal Serial Bus)メモリのような可搬型の記憶媒体を用いて外部に持ち出される情報漏洩が問題になっている。   There is a problem of information leakage in which a file containing information such as personal information or confidential information is taken out using a portable storage medium such as a USB (Universal Serial Bus) memory.

パスワードを設定する機能およびファイルを暗号化する機能を備えるUSBメモリが存在するが、このようなUSBメモリを用いても、コンピュータからUSBメモリへの不正なファイルコピーまたはうっかりコピーを防ぐことはできない。そのため、USBメモリを用いて行われる情報漏洩を防ぐことができない。   Although there is a USB memory having a function for setting a password and a function for encrypting a file, even if such a USB memory is used, illegal file copying or inadvertent copying from the computer to the USB memory cannot be prevented. Therefore, it is not possible to prevent information leakage performed using the USB memory.

一方、個人情報を含んだファイルを検出するための技術が開発されている(例えば、特許文献1)。   On the other hand, a technique for detecting a file including personal information has been developed (for example, Patent Document 1).

特許第4648657号公報Japanese Patent No. 4648657

本発明は、例えば、可搬型の記憶媒体を用いて行われる情報漏洩を防ぐために、コンピュータから記憶媒体へのファイルのコピー操作が行われたときに、保護すべき情報がファイルに含まれるか否かを検査できるようにすることを目的とする。   In the present invention, for example, whether or not information to be protected is included in a file when a file is copied from the computer to the storage medium in order to prevent information leakage using a portable storage medium. The purpose is to be able to inspect.

本発明のセキュリティ記憶媒体は、コンピュータによって実行されるセキュリティプログラムが記憶された記憶媒体である。
前記セキュリティプログラムは、ファイル検査プログラムを含み、前記セキュリティ記憶媒体が前記コンピュータに接続されているときに前記コンピュータによって実行される。
前記ファイル検査プログラムは、前記コンピュータに記憶されているデータファイルを前記セキュリティ記憶媒体にコピーするためのコピー操作が検出されたときに、前記データファイルに保護情報が含まれているか否かを検査するために実行されるプログラムである。 The security storage medium of the present invention is a storage medium in which a security program executed by a computer is stored.
The security program includes a file inspection program, and is executed by the computer when the security storage medium is connected to the computer.
The file inspection program inspects whether or not the data file includes protection information when a copy operation for copying a data file stored in the computer to the security storage medium is detected. It is a program that is executed for this purpose.

前記セキュリティプログラムは、検出情報表示プログラムを含む。
前記検出情報表示プログラムは、前記ファイル検査プログラムが実行されて前記データファイルから1つ以上の保護情報が検出された場合、前記1つ以上の保護情報を表示するために実行されるプログラムである。 The security program includes a detection information display program.
The detection information display program is a program that is executed to display the one or more protection information when the file inspection program is executed and one or more protection information is detected from the data file.

前記セキュリティプログラムは、前記セキュリティ記憶媒体が前記コンピュータに接続されたときに前記コンピュータによって起動される制御プログラムを含む。
前記制御プログラムは、前記コピー操作が検出されたときに前記ファイル検査プログラムを実行するための検査実行命令を含む。 The security program includes a control program that is activated by the computer when the security storage medium is connected to the computer.
The control program includes an inspection execution instruction for executing the file inspection program when the copy operation is detected.

前記セキュリティプログラムは、ファイル操作プログラムを含む。
前記ファイル操作プログラムは、前記ファイル検査プログラムの実行によって前記保護情報が前記データファイルから検出されなかった場合、前記データファイルを前記セキュリティ記憶媒体にコピーするために実行されるプログラムである。 The security program includes a file operation program.
The file operation program is a program executed to copy the data file to the security storage medium when the protection information is not detected from the data file by the execution of the file inspection program.

前記セキュリティ記憶媒体は、利用者を識別する利用者識別子と利用者の属性を表す利用者属性値とを対応付ける利用者定義ファイルを記憶する。
前記セキュリティプログラムは、利用者識別子取得プログラムと、利用者属性値取得プログラムとを含む。
前記利用者識別子取得プログラムは、前記コンピュータを利用する利用者の利用者識別子を取得するためのプログラムである。
前記利用者属性値取得プログラムは、前記ファイル検査プログラムの実行によって前記保護情報が前記データファイルから検出された場合、前記利用者識別子取得プログラムの実行によって取得された利用者識別子に対応する利用者属性値を前記利用者定義ファイルから取得するためのプログラムである。
前記ファイル操作プログラムは、前記利用者属性値取得プログラムの実行によって取得された前記利用者属性値が特別な利用者の属性値である場合、前記データファイルを前記セキュリティ記憶媒体にコピーするために実行される。 The security storage medium stores a user definition file that associates a user identifier that identifies a user with a user attribute value that represents a user attribute.
The security program includes a user identifier acquisition program and a user attribute value acquisition program.
The user identifier acquisition program is a program for acquiring a user identifier of a user who uses the computer.
The user attribute value acquisition program, when the protection information is detected from the data file by the execution of the file inspection program, the user attribute corresponding to the user identifier acquired by the execution of the user identifier acquisition program It is a program for acquiring a value from the user definition file.
The file operation program is executed to copy the data file to the security storage medium when the user attribute value acquired by executing the user attribute value acquisition program is a special user attribute value. Is done.

前記セキュリティプログラムは、利用者定義編集プログラムを含む。
前記利用者定義編集プログラムは、前記利用者定義ファイルを編集するために実行されるプログラムである。 The security program includes a user-defined editing program.
The user definition editing program is a program executed to edit the user definition file.

前記セキュリティ記憶媒体は、操作履歴ファイルを記憶する。
前記セキュリティプログラムは、操作履歴記録プログラムを含む。
前記操作履歴記録プログラムは、前記コピー操作の履歴を示す履歴情報を前記操作履歴ファイルに記録するために実行されるプログラムである。 The security storage medium stores an operation history file.
The security program includes an operation history recording program.
The operation history recording program is a program executed to record history information indicating the history of the copy operation in the operation history file.

前記セキュリティプログラムは、操作履歴送信プログラムを含む。
前記操作履歴送信プログラムは、前記操作履歴ファイルを所定の送信先に送信するために実行される。 The security program includes an operation history transmission program.
The operation history transmission program is executed to transmit the operation history file to a predetermined transmission destination.

本発明のファイル管理システムは、
前記セキュリティ記憶媒体と、
前記セキュリティ記憶媒体に記憶されているセキュリティプログラムを実行するコンピュータとを備える。 The file management system of the present invention
The security storage medium;
A computer that executes a security program stored in the security storage medium.

本発明のファイル管理方法は、コンピュータと、ファイル検査プログラムを含むセキュリティプログラムが記憶されたセキュリティ記憶媒体と、を用いる方法である。
前記セキュリティ記憶媒体が前記コンピュータに接続され、
前記コンピュータが前記セキュリティ記憶媒体に記憶された前記セキュリティプログラムに含まれる前記ファイル検査プログラムを読み込み、
前記コンピュータが、前記コンピュータに記憶されているデータファイルを前記セキュリティ記憶媒体にコピーするためのコピー操作を検出し、
前記コンピュータが、前記ファイル検査プログラムを実行することによって、前記データファイルに保護情報が含まれているか否かを検査し、
前記コンピュータが、前記ファイル検査プログラムの実行によって前記データファイルから保護情報が検出されなかった場合、前記データファイルを前記セキュリティ記憶媒体にコピーする。 The file management method of the present invention is a method using a computer and a security storage medium in which a security program including a file inspection program is stored.
The security storage medium is connected to the computer;
The computer reads the file inspection program included in the security program stored in the security storage medium;
The computer detects a copy operation for copying a data file stored in the computer to the security storage medium;
The computer checks whether the data file contains protection information by executing the file inspection program,
When the protection information is not detected from the data file by the execution of the file inspection program, the computer copies the data file to the security storage medium.

本発明によれば、例えば、可搬型の記憶媒体を用いて行われる情報漏洩を防ぐために、コンピュータから記憶媒体へのファイルのコピー操作が行われたときに、保護すべき情報がファイルに含まれるか否かを検査することができる。   According to the present invention, for example, in order to prevent information leakage performed using a portable storage medium, information to be protected is included in a file when a file copy operation is performed from the computer to the storage medium. It can be inspected.

実施の形態1におけるファイル管理システム100の概要図である。1 is a schematic diagram of a file management system 100 according to Embodiment 1. FIG. 実施の形態1におけるファイル管理システム100の機能構成図である。2 is a functional configuration diagram of a file management system 100 according to Embodiment 1. FIG. 実施の形態1におけるファイル管理プログラム210およびメモリ管理ファイル280の構成図である。3 is a configuration diagram of a file management program 210 and a memory management file 280 according to Embodiment 1. FIG. 実施の形態1におけるファイル管理システム100のファイル管理方法を示すフローチャートである。3 is a flowchart illustrating a file management method of the file management system 100 according to the first embodiment. 実施の形態1におけるファイル管理システム100のファイル管理方法を示すフローチャートである。3 is a flowchart illustrating a file management method of the file management system 100 according to the first embodiment. 実施の形態1における利用者定義ファイル282の一例を示す図である。6 is a diagram illustrating an example of a user definition file 282 according to Embodiment 1. FIG. 実施の形態1におけるポリシーファイル283の一例を示す図である。6 is a diagram illustrating an example of a policy file 283 according to Embodiment 1. FIG. 実施の形態1における利用者端末300のハードウェア構成の一例を示す図である。3 is a diagram illustrating an example of a hardware configuration of a user terminal 300 according to Embodiment 1. FIG.

実施の形態1.
可搬型の記憶媒体(例えば、USBメモリ)を用いて行われる情報漏洩を防ぐための形態について説明する。 Embodiment 1 FIG.
A mode for preventing information leakage performed using a portable storage medium (for example, a USB memory) will be described.

図1は、実施の形態1におけるファイル管理システム100の概要図である。
実施の形態1におけるファイル管理システム100の概要について、図1に基づいて説明する。 FIG. 1 is a schematic diagram of a file management system 100 according to the first embodiment.
An overview of the file management system 100 according to the first embodiment will be described with reference to FIG.

ファイル管理システム100は、保護情報を含んだデータファイルが可搬型の記憶媒体(例えば、USBメモリ)を用いて外部に持ち出されないようにするためのシステムである。
ここで、保護情報とは、個人情報または機密情報など、情報漏洩を防ぐべき情報、つまり、保護すべき情報のことである。 The file management system 100 is a system for preventing a data file including protection information from being taken out using a portable storage medium (for example, a USB memory).
Here, the protection information is information that should prevent information leakage, such as personal information or confidential information, that is, information that should be protected.

ファイル管理システム100は、利用者端末300、セキュリティUSBメモリ200および端末管理サーバ110を備える。
利用者端末300および端末管理サーバ110は、LAN(ローカルエリアネットワーク)またはインターネットなどのネットワーク109に接続し、ネットワーク109を介して通信を行う。 The file management system 100 includes a user terminal 300, a security USB memory 200, and a terminal management server 110.
The user terminal 300 and the terminal management server 110 are connected to a network 109 such as a LAN (Local Area Network) or the Internet, and communicate via the network 109.

利用者端末300は、利用者によって使用される端末装置(コンピュータ)である。例えば、会社から社員(利用者)に貸与されるコンピュータは利用者端末300の一例である。
利用者は、利用者端末300を用いて、個人情報または機密情報などの保護情報を含んだデータファイルを参照または編集する。また、利用者は、利用者端末300を用いてネットワーク109に接続されている別のコンピュータ(図示省略)にアクセスし、保護情報を含んだデータファイルを取得する。
そのため、利用者端末300の記憶装置には、保護情報を含んだデータファイルが記憶される。 The user terminal 300 is a terminal device (computer) used by the user. For example, a computer lent to an employee (user) from a company is an example of the user terminal 300.
A user uses the user terminal 300 to refer to or edit a data file including protection information such as personal information or confidential information. In addition, the user accesses another computer (not shown) connected to the network 109 using the user terminal 300, and obtains a data file including protection information.
Therefore, the data file including the protection information is stored in the storage device of the user terminal 300.

セキュリティUSBメモリ200(セキュリティ記憶媒体の一例)は、ファイル管理プログラム210が記憶されたUSBメモリである。例えば、セキュリティUSBメモリ200は会社から社員に配布される。
ファイル管理プログラム210(セキュリティプログラムの一例)は、保護情報を含んだデータファイルが利用者端末300からセキュリティUSBメモリ200にコピーされることを防ぐための機能、を有するプログラムである。
ファイル管理プログラム210は、セキュリティUSBメモリ200が利用者端末300のUSBポートに接続されているときに、利用者端末300によって読み込まれて実行される。 A security USB memory 200 (an example of a security storage medium) is a USB memory in which a file management program 210 is stored. For example, the security USB memory 200 is distributed from the company to employees.
The file management program 210 (an example of a security program) is a program having a function for preventing a data file including protection information from being copied from the user terminal 300 to the security USB memory 200.
The file management program 210 is read and executed by the user terminal 300 when the security USB memory 200 is connected to the USB port of the user terminal 300.

セキュリティUSBメモリ200は可搬型の記憶媒体の一例である。
つまり、セキュリティUSBメモリ200は、ポータブルハードディスク、IC(integrated circuit)カード、スマートフォン、ノート型コンピュータまたはタブレット型コンピュータなど、USBメモリ以外の可搬型の記憶媒体に置き換えても構わない。
また、これら記憶媒体を利用者端末300に接続する方式は、利用者端末300のポートに接続する方式、ケーブルを用いて接続する方式、無線で接続する方式など、利用者端末300と記憶媒体との間でデータをやり取りできる状態にする方式であれば、どのような方式であっても構わない。 The security USB memory 200 is an example of a portable storage medium.
That is, the security USB memory 200 may be replaced with a portable storage medium other than the USB memory, such as a portable hard disk, an IC (integrated circuit) card, a smartphone, a notebook computer, or a tablet computer.
In addition, as a method for connecting these storage media to the user terminal 300, a method for connecting to a port of the user terminal 300, a method for connecting using a cable, a method for connecting wirelessly, etc. Any method may be used as long as data can be exchanged between the two.

端末管理サーバ110は、利用者端末300の利用履歴を管理するためのサーバ装置(コンピュータ)である。
例えば、ファイル管理システム100は、セキュリティUSBメモリ200が利用者端末300に接続された日時、セキュリティUSBメモリ200に対するデータファイルのコピー操作が行われた日時、コピー操作の結果、などの履歴情報を利用者端末300またはセキュリティUSBメモリ200から取得して管理する。 The terminal management server 110 is a server device (computer) for managing the usage history of the user terminal 300.
For example, the file management system 100 uses history information such as the date and time when the security USB memory 200 was connected to the user terminal 300, the date and time when the data file was copied to the security USB memory 200, and the result of the copy operation. Acquired from the user terminal 300 or the security USB memory 200 and managed.

図2は、実施の形態1におけるファイル管理システム100の機能構成図である。
実施の形態1におけるファイル管理システム100の機能構成について、図2に基づいて説明する。 FIG. 2 is a functional configuration diagram of the file management system 100 according to the first embodiment.
A functional configuration of the file management system 100 according to the first embodiment will be described with reference to FIG.

セキュリティUSBメモリ200は、ファイル管理プログラム210と、メモリ管理ファイル280と、メモリ履歴ファイル290(操作履歴ファイルの一例)とを記憶する。
ファイル管理プログラム210は、保護情報を含んだデータファイル391が利用者端末300からセキュリティUSBメモリ200にコピーされることを防ぐための機能、を有するプログラムである。
ファイル管理プログラム210は、セキュリティUSBメモリ200が利用者端末300のUSBポートに接続されているときに、利用者端末300によって読み込まれて実行される。 The security USB memory 200 stores a file management program 210, a memory management file 280, and a memory history file 290 (an example of an operation history file).
The file management program 210 is a program having a function for preventing a data file 391 including protection information from being copied from the user terminal 300 to the security USB memory 200.
The file management program 210 is read and executed by the user terminal 300 when the security USB memory 200 is connected to the USB port of the user terminal 300.

メモリ管理ファイル280は、セキュリティUSBメモリ200を管理するために用いられるデータファイルである。   The memory management file 280 is a data file used for managing the security USB memory 200.

メモリ履歴ファイル290は、セキュリティUSBメモリ200の利用履歴を示すデータファイルである。
例えば、メモリ履歴ファイル290は、セキュリティUSBメモリ200が利用者端末300に接続された日時、データファイル391のコピー操作が行われた日時、コピー操作の結果などの履歴情報を示す。 The memory history file 290 is a data file indicating a usage history of the security USB memory 200.
For example, the memory history file 290 indicates history information such as the date and time when the security USB memory 200 was connected to the user terminal 300, the date and time when the data file 391 was copied, and the result of the copying operation.

利用者端末300は、記憶媒体検出部310と、プログラム読み込み部320と、プログラム実行部330と、端末記憶部390とを備える。
記憶媒体検出部310は、利用者端末300に接続された記憶媒体(例えば、セキュリティUSBメモリ200)を検出する。
プログラム読み込み部320は、利用者端末300に接続されたセキュリティUSBメモリ200から利用者端末300のメモリにファイル管理プログラム210を読み込む。
プログラム実行部330は、利用者端末300のメモリに読み込まれたファイル管理プログラム210を実行する。
端末記憶部390は、利用者端末300で使用されるデータを記憶する。例えば、端末記憶部390は1つ以上のデータファイル391を記憶する。 The user terminal 300 includes a storage medium detection unit 310, a program reading unit 320, a program execution unit 330, and a terminal storage unit 390.
The storage medium detection unit 310 detects a storage medium (for example, the security USB memory 200) connected to the user terminal 300.
The program reading unit 320 reads the file management program 210 from the security USB memory 200 connected to the user terminal 300 to the memory of the user terminal 300.
The program execution unit 330 executes the file management program 210 read into the memory of the user terminal 300.
The terminal storage unit 390 stores data used by the user terminal 300. For example, the terminal storage unit 390 stores one or more data files 391.

端末管理サーバ110は、端末管理部111と、サーバ記憶部119とを備える。
端末管理部111は、利用者端末300またはセキュリティUSBメモリ200から履歴情報を取得し、取得した履歴情報を管理する。
サーバ記憶部119は、端末管理サーバ110で使用されるデータを記憶する。例えば、サーバ記憶部119は、端末管理部111によって取得された履歴情報を含む利用履歴ファイル112を記憶する。 The terminal management server 110 includes a terminal management unit 111 and a server storage unit 119.
The terminal management unit 111 acquires history information from the user terminal 300 or the security USB memory 200, and manages the acquired history information.
The server storage unit 119 stores data used by the terminal management server 110. For example, the server storage unit 119 stores the usage history file 112 including the history information acquired by the terminal management unit 111.

図3は、実施の形態1におけるファイル管理プログラム210およびメモリ管理ファイル280の構成図である。
実施の形態1におけるファイル管理プログラム210およびメモリ管理ファイル280の構成について、図3に基づいて説明する。 FIG. 3 is a configuration diagram of the file management program 210 and the memory management file 280 according to the first embodiment.
The configuration of the file management program 210 and the memory management file 280 in the first embodiment will be described with reference to FIG.

ファイル管理プログラム210は、制御プログラム211を含む。
ファイル管理プログラム210は、ログインプログラム212(利用者識別子取得プログラムの一例)を含む。
ファイル管理プログラム210は、ファイル検査プログラム213と、検査結果出力プログラム214(検出情報表示プログラムの一例)とを含む。
ファイル管理プログラム210は、利用者属性値取得プログラム215を含む。
ファイル管理プログラム210は、ファイル操作プログラム216と、操作結果出力プログラム217(操作履歴記録プログラム、操作履歴送信プログラムの一例)とを含む。
ファイル管理プログラム210は、メモリ管理編集プログラム218(利用者定義編集プログラムの一例)を含む。
なお、「プログラム」は、「モジュール」または「ライブラリ」と読み替えることもできる。 The file management program 210 includes a control program 211.
The file management program 210 includes a login program 212 (an example of a user identifier acquisition program).
The file management program 210 includes a file inspection program 213 and an inspection result output program 214 (an example of a detection information display program).
The file management program 210 includes a user attribute value acquisition program 215.
The file management program 210 includes a file operation program 216 and an operation result output program 217 (an example of an operation history recording program and an operation history transmission program).
The file management program 210 includes a memory management editing program 218 (an example of a user-defined editing program).
The “program” can be read as “module” or “library”.

制御プログラム211は、セキュリティUSBメモリ200が利用者端末300に接続されたときに利用者端末300に読み込まれて起動される。
例えば、制御プログラム211は、以下のような命令コードを含む。
(1)制御プログラム211は、所定のタイミングでログインプログラム212を実行するためのログイン実行命令を含む。
(2)制御プログラム211は、利用者端末300からセキュリティUSBメモリ200へのデータファイル391のコピー操作が行われたときにファイル検査プログラム213を実行するための検査実行命令を含む。ファイル検査プログラム213は、データファイル391に含まれる保護情報を検出するためのプログラムである。
(3)制御プログラム211は、データファイル391から保護情報が検出された場合に検査結果出力プログラム214を実行するための検査結果出力命令を含む。
(4)制御プログラム211は、データファイル391から保護情報が検出された場合に利用者属性値取得プログラム215を実行するための属性値取得命令を含む。
(5)制御プログラム211は、利用者属性値取得プログラム215の実行によって取得された利用者属性値が特別な利用者の属性値である場合にファイル操作プログラム216を実行するための操作実行命令を含む。
(6)制御プログラム211は、コピー操作が行われた後に操作結果出力プログラム217を実行するための操作結果出力命令を含む。 The control program 211 is read into the user terminal 300 and activated when the security USB memory 200 is connected to the user terminal 300.
For example, the control program 211 includes the following instruction code.
(1) The control program 211 includes a login execution command for executing the login program 212 at a predetermined timing.
(2) The control program 211 includes an inspection execution instruction for executing the file inspection program 213 when a copy operation of the data file 391 from the user terminal 300 to the security USB memory 200 is performed. The file inspection program 213 is a program for detecting protection information included in the data file 391.
(3) The control program 211 includes an inspection result output command for executing the inspection result output program 214 when protection information is detected from the data file 391.
(4) The control program 211 includes an attribute value acquisition command for executing the user attribute value acquisition program 215 when protection information is detected from the data file 391.
(5) The control program 211 issues an operation execution command for executing the file operation program 216 when the user attribute value acquired by the execution of the user attribute value acquisition program 215 is a special user attribute value. Including.
(6) The control program 211 includes an operation result output command for executing the operation result output program 217 after the copy operation is performed.

ログインプログラム212は、利用者に対するログイン処理を行うためのプログラムである。   The login program 212 is a program for performing login processing for the user.

ファイル検査プログラム213は、コピー操作が行われたデータファイル391に保護情報が含まれるか否かを検査するためのプログラムである。
検査結果出力プログラム214は、ファイル検査プログラム213の実行結果を出力するためのプログラムである。 The file inspection program 213 is a program for inspecting whether or not protection information is included in the data file 391 subjected to the copy operation.
The inspection result output program 214 is a program for outputting the execution result of the file inspection program 213.

利用者属性値取得プログラム215は、コピー操作を行った利用者の属性値を取得するためのプログラムである。   The user attribute value acquisition program 215 is a program for acquiring the attribute value of the user who performed the copy operation.

ファイル操作プログラム216は、コピー操作が行われたデータファイル391を利用者端末300からセキュリティUSBメモリ200にコピーするためのプログラムである。
操作結果出力プログラム217は、コピー操作の結果を出力するためのプログラムである。 The file operation program 216 is a program for copying the data file 391 subjected to the copy operation from the user terminal 300 to the security USB memory 200.
The operation result output program 217 is a program for outputting the result of the copy operation.

メモリ管理編集プログラム218は、メモリ管理ファイル280を編集するためのプログラムである。   The memory management editing program 218 is a program for editing the memory management file 280.

メモリ管理ファイル280は、設定ファイル281と、利用者定義ファイル282と、ポリシーファイル283と、検査条件ファイル284とを含む。   The memory management file 280 includes a setting file 281, a user definition file 282, a policy file 283, and an inspection condition file 284.

設定ファイル281は、セキュリティUSBメモリ200に関する設定情報を含んだデータファイルである。
例えば、設定ファイル281は、セキュリティUSBメモリ200が利用者端末300に接続されたときに起動するプログラム(制御プログラム211)を指定する設定情報を含む。 The setting file 281 is a data file including setting information regarding the security USB memory 200.
For example, the setting file 281 includes setting information for specifying a program (control program 211) that is started when the security USB memory 200 is connected to the user terminal 300.

利用者定義ファイル282は、セキュリティUSBメモリ200の利用が許可される利用者の利用者ID(利用者識別子の一例)と利用者の属性値とを対応付けるデータファイルである。   The user definition file 282 is a data file that associates a user ID (an example of a user identifier) of a user who is permitted to use the security USB memory 200 with a user attribute value.

ポリシーファイル283は、セキュリティUSBメモリ200の利用規則を示すデータファイルである。   The policy file 283 is a data file indicating usage rules for the security USB memory 200.

検査条件ファイル284は、データファイル391に保護情報が含まれるか否かを検査するための検査条件を示すデータファイルである。
例えば、検査条件ファイル284は、保護情報に関するキーワードを示す。「住所」「氏名」「電話番号」「社外秘」「極秘」などの文字列は保護情報に関するキーワードの一例である。
例えば、検査条件ファイル284は、保護情報のカテゴリ別に、カテゴリに属するキーワードを示す。「個人情報」「機密情報」などの種別は保護情報のカテゴリの一例である。 The inspection condition file 284 is a data file indicating inspection conditions for inspecting whether the data file 391 includes protection information.
For example, the inspection condition file 284 shows keywords related to protection information. Character strings such as “address”, “name”, “phone number”, “confidential”, “confidential” are examples of keywords related to protection information.
For example, the inspection condition file 284 indicates keywords belonging to a category for each category of protection information. Types such as “personal information” and “confidential information” are examples of the category of protection information.

図4、図5は、実施の形態1におけるファイル管理システム100のファイル管理方法を示すフローチャートである。
実施の形態1におけるファイル管理システム100のファイル管理方法について、図4および図5に基づいて説明する。 4 and 5 are flowcharts showing the file management method of the file management system 100 according to the first embodiment.
A file management method of the file management system 100 according to the first embodiment will be described with reference to FIG. 4 and FIG.

S101(図1参照)において、利用者は、セキュリティUSBメモリ200を利用者端末300に接続する。
例えば、社員(利用者の一例)は、会社から配布されたセキュリティUSBメモリ200を利用者端末300に接続する。
S101の後、処理はS110に進む。 In S101 (see FIG. 1), the user connects the security USB memory 200 to the user terminal 300.
For example, an employee (an example of a user) connects the security USB memory 200 distributed from the company to the user terminal 300.
After S101, the process proceeds to S110.

S110において、利用者端末300の記憶媒体検出部310は、セキュリティUSBメモリ200の接続を検出する。例えば、記憶媒体検出部310は、OS(オペレーションシステム)の機能によってセキュリティUSBメモリ200の接続を検出する。
記憶媒体検出部310は、セキュリティUSBメモリ200からデバイスID(媒体識別子の一例)を取得する。
そして、記憶媒体検出部310は、セキュリティUSBメモリ200の接続を検出した検出時刻とセキュリティUSBメモリ200のデバイスIDとを含んだ履歴情報をメモリ管理ファイル280に記録する。また、記憶媒体検出部310は、履歴情報を端末管理サーバ110に送信する。端末管理サーバ110の端末管理部111は、履歴情報を受信し、受信した履歴情報を利用履歴ファイル112に記録する。
S110の後、処理はS111に進む。 In S110, the storage medium detection unit 310 of the user terminal 300 detects the connection of the security USB memory 200. For example, the storage medium detection unit 310 detects the connection of the security USB memory 200 using an OS (operation system) function.
The storage medium detection unit 310 acquires a device ID (an example of a medium identifier) from the security USB memory 200.
Then, the storage medium detection unit 310 records history information including the detection time when the connection of the security USB memory 200 is detected and the device ID of the security USB memory 200 in the memory management file 280. Further, the storage medium detection unit 310 transmits history information to the terminal management server 110. The terminal management unit 111 of the terminal management server 110 receives the history information and records the received history information in the usage history file 112.
After S110, the process proceeds to S111.

S111において、利用者端末300のプログラム読み込み部320は、セキュリティUSBメモリ200から利用者端末300のメモリにファイル管理プログラム210およびメモリ管理ファイル280を読み込む。
但し、プログラム読み込み部320は、ファイル管理プログラム210の一部(例えば、制御プログラム211)またはメモリ管理ファイル280の一部(例えば、設定ファイル281)だけを読み込み、その他の部分を使用時に読み込んでも構わない。
S111の後、処理はS112に進む。 In S111, the program reading unit 320 of the user terminal 300 reads the file management program 210 and the memory management file 280 from the security USB memory 200 into the memory of the user terminal 300.
However, the program reading unit 320 may read only a part of the file management program 210 (for example, the control program 211) or a part of the memory management file 280 (for example, the setting file 281), and may read other parts at the time of use. Absent.
After S111, the process proceeds to S112.

S112において、利用者端末300のプログラム実行部330は、設定ファイル281を参照し、設定ファイル281に指定されている制御プログラム211を起動する。
ここで、制御プログラム211は、セキュリティUSBメモリ200の接続を検出したときに起動するプログラムとして設定ファイル281に指定されているものとする。
S112の後、処理はS113に進む。 In S112, the program execution unit 330 of the user terminal 300 refers to the setting file 281 and activates the control program 211 specified in the setting file 281.
Here, it is assumed that the control program 211 is specified in the setting file 281 as a program to be started when the connection of the security USB memory 200 is detected.
After S112, the process proceeds to S113.

S113において、利用者端末300のプログラム実行部330は、制御プログラム211に記載されているログイン実行命令に従って、ログインプログラム212を実行する。
プログラム実行部330は、ログインプログラム212を実行することによって、利用者の利用者IDを取得する。
例えば、プログラム実行部330は、ログインプログラム212に従って以下のように動作する。
プログラム実行部330は、ログイン画面をディスプレイに表示する。ここで、利用者は、キーボードまたはマウスなどの入力機器を用いて、ログイン画面に利用者IDとパスワードとを入力する。
プログラム実行部330は、図6に示すような利用者定義ファイル282を参照し、ログイン画面に入力された利用者IDおよびパスワードが利用者定義ファイル282に定義されているか否かを判定する。
ログイン画面に入力された利用者IDおよびパスワードが利用者定義ファイル282に定義されている場合、プログラム実行部330は、ログイン画面に入力された利用者IDを記憶する。
ログイン画面に入力された利用者IDおよびパスワードが利用者定義ファイル282に定義されていない場合、プログラム実行部330は、利用者IDおよびパスワードの再入力を要求するためのメッセージをディスプレイに表示する。
ここで、利用者定義ファイル282に定義されている正当な利用者IDおよびパスワードがログイン画面に入力されたものとする。
S113の後、処理はS102(図5参照)に進む。 In S <b> 113, the program execution unit 330 of the user terminal 300 executes the login program 212 according to the login execution command described in the control program 211.
The program execution unit 330 acquires the user ID of the user by executing the login program 212.
For example, the program execution unit 330 operates as follows according to the login program 212.
The program execution unit 330 displays a login screen on the display. Here, the user inputs the user ID and the password on the login screen using an input device such as a keyboard or a mouse.
The program execution unit 330 refers to the user definition file 282 as shown in FIG. 6 and determines whether or not the user ID and password input on the login screen are defined in the user definition file 282.
When the user ID and password input on the login screen are defined in the user definition file 282, the program execution unit 330 stores the user ID input on the login screen.
When the user ID and password input on the login screen are not defined in the user definition file 282, the program execution unit 330 displays a message for requesting re-input of the user ID and password on the display.
Here, it is assumed that a valid user ID and password defined in the user definition file 282 are input to the login screen.
After S113, the process proceeds to S102 (see FIG. 5).

図6は、実施の形態1における利用者定義ファイル282の一例を示す図である。
実施の形態1における利用者定義ファイル282の一例について、図6に基づいて説明する。但し、利用者定義ファイル282は図6と異なるものであっても構わない。 FIG. 6 is a diagram illustrating an example of the user definition file 282 according to the first embodiment.
An example of the user definition file 282 according to Embodiment 1 will be described with reference to FIG. However, the user definition file 282 may be different from that shown in FIG.

利用者定義ファイル282は、「利用者ID」と「利用者属性値」と「パスワード」とを対応付けている。
「利用者ID」は、セキュリティUSBメモリ200の利用が許可される利用者の利用者IDを示す。
「利用者属性値」は、通常の利用者、特別な利用者または管理者など、利用者の属性を表す利用者属性値を示す。
「パスワード」は、利用者の登録パスワードを示す。 The user definition file 282 associates “user ID”, “user attribute value”, and “password”.
“User ID” indicates a user ID of a user who is permitted to use the security USB memory 200.
The “user attribute value” indicates a user attribute value indicating an attribute of a user such as a normal user, a special user, or an administrator.
“Password” indicates a registered password of the user.

通常の利用者、特別な利用者または管理者を表す値は利用者属性値の一例である。
通常の利用者は、保護情報を含んだデータファイル391をセキュリティUSBメモリ200にコピーすることが許可されていない利用者である。例えば、一般の社員は通常の利用者の一例である。
特別な利用者は、保護情報を含んだデータファイル391をセキュリティUSBメモリ200にコピーすることが許可されている利用者である。例えば、会社の役員は特別な利用者の一例である。
管理者は、メモリ管理ファイル280を編集することが許可されている利用者である。 A value representing a normal user, a special user, or an administrator is an example of a user attribute value.
A normal user is a user who is not permitted to copy the data file 391 including the protection information to the security USB memory 200. For example, a general employee is an example of a normal user.
The special user is a user who is permitted to copy the data file 391 including the protection information to the security USB memory 200. For example, a company officer is an example of a special user.
The administrator is a user who is permitted to edit the memory management file 280.

例えば、利用者定義ファイル282は、管理者の利用者IDを2つ含み、役員(特別な利用者)の利用者IDを3つ含み、一般社員(通常の利用者)の利用者IDを1つ含む。
この場合、二人の管理者、三人の役員または一人の一般社員だけがセキュリティUSBメモリ200を利用することができる。
つまり、一般社員は、自分用に配布されたセキュリティUSBメモリ200を利用できるが、他の一般社員に配布されたセキュリティUSBメモリ200を利用できない。 For example, the user definition file 282 includes two administrator user IDs, three administrator (special user) user IDs, and one general employee (normal user) user ID. Including
In this case, only two managers, three officers, or one general employee can use the security USB memory 200.
That is, a general employee can use the security USB memory 200 distributed for himself / herself, but cannot use the security USB memory 200 distributed to other general employees.

図5に戻り、S102から説明を続ける。   Returning to FIG. 5, the description will be continued from S102.

S102において、利用者は、入力機器を用いて、利用者端末300からセキュリティUSBメモリ200にデータファイル391をコピーするためのコピー操作を行う。
例えば、利用者は、以下のようなコピー操作を行う。
利用者は、データファイル391が記憶されているフォルダを指定することによってコピー元フォルダを開く。
利用者は、セキュリティUSBメモリ200のデータ領域を表すフォルダを指定することによってコピー先フォルダを開く。
そして、利用者は、マウスを用いて、コピー元フォルダからコピー先フォルダにデータファイル391をドラッグアンドドロップする。
S102の後、処理はS120に進む。 In S <b> 102, the user performs a copy operation for copying the data file 391 from the user terminal 300 to the security USB memory 200 using the input device.
For example, the user performs the following copy operation.
The user opens the copy source folder by designating a folder in which the data file 391 is stored.
The user opens the copy destination folder by designating a folder representing the data area of the security USB memory 200.
Then, the user uses the mouse to drag and drop the data file 391 from the copy source folder to the copy destination folder.
After S102, the process proceeds to S120.

S120において、プログラム実行部330は、S102のコピー操作を検出する。例えば、プログラム実行部330は、OSの機能によってS102のコピー操作を検出する。
コピー操作を検出したプログラム実行部330は、制御プログラム211に記載されている検査実行命令に従って、ファイル検査プログラム213を実行する。
例えば、プログラム実行部330は、ファイル検査プログラム213に従って以下のように動作する。
プログラム実行部330は、検査条件ファイル284を参照し、検査条件ファイル284に設定されているキーワードを用いてデータファイル391を検索する。なお、検査条件ファイル284には、保護情報に関するキーワード(住所、氏名、電話番号、社外秘、極秘などの文字列)が設定されている。
データファイル391からキーワードを検出した場合、プログラム実行部330は、キーワードに対応付けられている文字列を保護情報として検出(抽出)する。例えば、データファイル391に「住所 東京都・・・」という記載が含まれる場合、プログラム実行部330は、住所に続く文字列「東京都・・・」を保護情報として検出する。
例えば、ファイル検査プログラム213のアルゴリズムとして、特許文献1に開示されているアルゴリズムを利用することができる。
S120の後、処理はS121に進む。 In S120, the program execution unit 330 detects the copy operation in S102. For example, the program execution unit 330 detects the copy operation in S102 by the function of the OS.
The program execution unit 330 that has detected the copy operation executes the file inspection program 213 in accordance with the inspection execution instruction described in the control program 211.
For example, the program execution unit 330 operates as follows according to the file inspection program 213.
The program execution unit 330 refers to the inspection condition file 284 and searches the data file 391 using a keyword set in the inspection condition file 284. In the inspection condition file 284, keywords related to the protection information (a character string such as an address, name, telephone number, confidentiality, and confidentiality) are set.
When a keyword is detected from the data file 391, the program execution unit 330 detects (extracts) a character string associated with the keyword as protection information. For example, when the data file 391 includes the description “Address Tokyo ...”, the program execution unit 330 detects the character string “Tokyo ...” following the address as protection information.
For example, the algorithm disclosed in Patent Document 1 can be used as the algorithm of the file inspection program 213.
After S120, the process proceeds to S121.

S121において、プログラム実行部330は、制御プログラム211に記載されている検出判定命令に従って、S120で保護情報が検出されたか否かを判定する。
保護情報が検出された場合(YES)、処理はS122に進む。
保護情報が検出されなかった場合(NO)、処理はS130に進む。 In S121, the program execution unit 330 determines whether or not the protection information is detected in S120 according to the detection determination command described in the control program 211.
If protection information is detected (YES), the process proceeds to S122.
If the protection information is not detected (NO), the process proceeds to S130.

S122において、プログラム実行部330は、制御プログラム211に記載されている検査結果出力命令に従って、検査結果出力プログラム214を実行する。
例えば、プログラム実行部330は、検査結果出力プログラム214に従って以下のように動作する。
プログラム実行部330は、S120で検出されたキーワードおよび保護情報を示す保護情報リストを生成する。
プログラム実行部330は、保護情報リストをディスプレイに表示する。
保護情報リストを確認した利用者がリスト表示の終了を指示した場合、プログラム実行部330は保護情報リストの表示をディスプレイから消去する。
S122の後、処理はS123に進む。 In S122, the program execution unit 330 executes the inspection result output program 214 in accordance with the inspection result output instruction described in the control program 211.
For example, the program execution unit 330 operates as follows according to the inspection result output program 214.
The program execution unit 330 generates a protection information list indicating the keywords and protection information detected in S120.
The program execution unit 330 displays the protection information list on the display.
When the user who has confirmed the protection information list instructs the end of the list display, the program execution unit 330 erases the display of the protection information list from the display.
After S122, the process proceeds to S123.

S123において、プログラム実行部330は、制御プログラム211に記載されている属性値取得部命令に従って、利用者属性値取得プログラム215を実行する。
そして、プログラム実行部330は、利用者属性値取得プログラム215に従って以下のように動作する。
プログラム実行部330は、利用者定義ファイル282(図6参照)からS113で取得した利用者IDと同じ利用者IDに対応付けられた利用者属性値を取得する。
S123の後、処理はS124に進む。 In S123, the program execution unit 330 executes the user attribute value acquisition program 215 in accordance with the attribute value acquisition unit command described in the control program 211.
Then, the program execution unit 330 operates as follows according to the user attribute value acquisition program 215.
The program execution unit 330 acquires a user attribute value associated with the same user ID as the user ID acquired in S113 from the user definition file 282 (see FIG. 6).
After S123, the process proceeds to S124.

S124において、プログラム実行部330は、制御プログラム211に記載されている操作判定命令に従って、コピー操作を許可するか否かを判定する。
例えば、プログラム実行部330は、S123で取得した利用者属性値が特別な利用者を表す属性値である場合にコピー操作を許可し、S123で取得した利用者属性値が通常の利用者を表す属性値である場合にコピー操作を許可しない。
例えば、プログラム実行部330は、図7に示すようなポリシーファイル283とS123で取得した利用者属性値とに基づいて、コピー操作を許可するか否かを判定する。
コピー操作を許可する場合(YES)、処理はS130に進む。
コピー操作を許可しない場合(NO)、処理はS131に進む。 In S <b> 124, the program execution unit 330 determines whether to permit the copy operation according to the operation determination command described in the control program 211.
For example, the program execution unit 330 permits a copy operation when the user attribute value acquired in S123 is an attribute value representing a special user, and the user attribute value acquired in S123 represents a normal user. Do not allow copy operation if attribute value.
For example, the program execution unit 330 determines whether to permit the copy operation based on the policy file 283 as shown in FIG. 7 and the user attribute value acquired in S123.
If the copy operation is permitted (YES), the process proceeds to S130.
If the copy operation is not permitted (NO), the process proceeds to S131.

図7は、実施の形態1におけるポリシーファイル283の一例を示す図である。
実施の形態1におけるポリシーファイル283の一例について、図7に基づいて説明する。但し、ポリシーファイル283は図7と異なるものであっても構わない。 FIG. 7 is a diagram illustrating an example of the policy file 283 according to the first embodiment.
An example of the policy file 283 in Embodiment 1 will be described with reference to FIG. However, the policy file 283 may be different from that shown in FIG.

ポリシーファイル283は、「利用項目名」と「利用者属性値」と「利用種別」とを対応付けている。
「利用項目名」は、利用する内容(利用項目)を表す項目名(識別子の一例)示す。
「利用種別」は、利用項目に関する利用の可否(○、×)を示す。 The policy file 283 associates “use item name”, “user attribute value”, and “use type”.
“Usage item name” indicates an item name (an example of an identifier) indicating the content to be used (usage item).
“Usage type” indicates whether or not the usage item can be used (O, X).

保護ファイルのコピー、利用者定義の編集、ポリシーの編集、検査条件の編集は、利用項目名の一例である。
保護ファイルのコピーは、保護情報を含んだデータファイル391をセキュリティUSBメモリ200にコピーする処理を意味する。
利用者定義の編集は、利用者定義ファイル282の編集を意味する。
ポリシーの編集は、ポリシーファイル283の編集を意味する。
検査条件の編集は、検査条件ファイル284の編集を意味する。 Copying protected files, editing user definitions, editing policies, and editing inspection conditions are examples of usage item names.
The copy of the protection file means a process of copying the data file 391 including the protection information to the security USB memory 200.
Editing the user definition means editing the user definition file 282.
Editing the policy means editing the policy file 283.
Editing the inspection condition means editing the inspection condition file 284.

図4に戻り、S130から説明を続ける。   Returning to FIG. 4, the description will be continued from S130.

S130において、プログラム実行部330は、制御プログラム211に記載されている操作実行命令に従って、ファイル操作プログラム216を実行する。
そして、プログラム実行部330は、ファイル操作プログラム216に従って、データファイル391をセキュリティUSBメモリ200にコピーする。
S130の後、処理はS131に進む。 In S <b> 130, the program execution unit 330 executes the file operation program 216 in accordance with the operation execution instruction described in the control program 211.
Then, the program execution unit 330 copies the data file 391 to the security USB memory 200 in accordance with the file operation program 216.
After S130, the process proceeds to S131.

S131において、プログラム実行部330は、制御プログラム211に記載されている操作結果出力命令に従って、操作結果出力プログラム217を実行する。
そして、プログラム実行部330は、操作結果出力プログラム217に従って、コピー操作の日時と操作結果とを含んだ履歴情報をメモリ履歴ファイル290に記録する。例えば、操作結果は、データファイル391をコピーをしたか否かを示す。
S131の後、処理はS102に戻る。そして、利用者が利用者端末300からセキュリティUSBメモリ200を取り外すまで、S102からS131が繰り返される。 In S131, the program execution unit 330 executes the operation result output program 217 in accordance with the operation result output command described in the control program 211.
Then, according to the operation result output program 217, the program execution unit 330 records history information including the date and time of the copy operation and the operation result in the memory history file 290. For example, the operation result indicates whether or not the data file 391 has been copied.
After S131, the process returns to S102. Then, S102 to S131 are repeated until the user removes the security USB memory 200 from the user terminal 300.

上記では、セキュリティUSBメモリ200の接続時にログイン処理(図4のS113)が行われているが、ログイン処理はコピー操作時に行っても構わない。   In the above, the login process (S113 in FIG. 4) is performed when the security USB memory 200 is connected, but the login process may be performed during the copy operation.

ファイル管理システム100は、図4および図5で説明した処理の他に以下のような処理を実行する。
(1)プログラム実行部330は、制御プログラム211に記載されている操作結果出力命令に従って、所定のタイミングで操作結果出力プログラム217を実行する。例えば、プログラム実行部330は、セキュリティUSBメモリ200の接続時、データファイル391のコピー時または定期的に操作結果出力プログラム217を時刻する。
そして、プログラム実行部330は、操作結果出力プログラム217を実行することによって、メモリ履歴ファイル290を端末管理サーバ110へ送信する。
(2)利用者は入力機器を用いてメモリ管理編集プログラム218を指定し、プログラム実行部330はメモリ管理編集プログラム218を起動する。そして、プログラム実行部330はメモリ管理ファイル280を編集するための編集画面をディスプレイに表示する。
利用者は入力機器を用いて編集画面内でメモリ管理ファイル280を編集し、プログラム実行部330は編集画面内で編集されたメモリ管理ファイル280を更新する。 The file management system 100 executes the following processing in addition to the processing described with reference to FIGS.
(1) The program execution unit 330 executes the operation result output program 217 at a predetermined timing according to the operation result output command described in the control program 211. For example, the program execution unit 330 times the operation result output program 217 when the security USB memory 200 is connected, when the data file 391 is copied, or periodically.
Then, the program execution unit 330 transmits the memory history file 290 to the terminal management server 110 by executing the operation result output program 217.
(2) The user designates the memory management editing program 218 using the input device, and the program execution unit 330 activates the memory management editing program 218. Then, the program execution unit 330 displays an editing screen for editing the memory management file 280 on the display.
The user edits the memory management file 280 in the editing screen using the input device, and the program execution unit 330 updates the memory management file 280 edited in the editing screen.

なお、セキュリティUSBメモリ200以外の記憶媒体が利用者端末300に接続された場合、ファイル管理システム100は以下のように動作する。但し、以下に説明する動作は、ファイル管理システム100の動作の一例である。
利用者端末300の記憶媒体検出部310はセキュリティUSBメモリ200以外の記憶媒体の接続を検出し、履歴情報を端末管理サーバ110に送信する。
端末管理サーバ110の端末管理部111は履歴情報を受信し、受信した履歴情報を利用履歴ファイル112に記録する。
端末管理サーバ110の端末管理部111は、受信した履歴情報に含まれるデバイスIDとセキュリティUSBメモリ200のデバイスIDのリストとを比較し、セキュリティUSBメモリ200以外の記憶媒体が利用者端末300に接続されたことを検出する。この場合、デバイスIDのリストはサーバ記憶部119に予め記憶しておく。
端末管理サーバ110の端末管理部111は、セキュリティUSBメモリ200以外の記憶媒体が利用者端末300に接続されたことを通知する警告メッセージを端末管理サーバ110のディスプレイに表示する。
そして、管理者または端末管理部111は、セキュリティUSBメモリ200以外の記憶媒体を用いて行われる情報漏洩を防ぐための処理(例えば、遠隔操作による利用者端末300の停止)を行う。 When a storage medium other than the security USB memory 200 is connected to the user terminal 300, the file management system 100 operates as follows. However, the operation described below is an example of the operation of the file management system 100.
The storage medium detection unit 310 of the user terminal 300 detects connection of a storage medium other than the security USB memory 200 and transmits history information to the terminal management server 110.
The terminal management unit 111 of the terminal management server 110 receives the history information and records the received history information in the usage history file 112.
The terminal management unit 111 of the terminal management server 110 compares the device ID included in the received history information with the list of device IDs of the security USB memory 200, and a storage medium other than the security USB memory 200 is connected to the user terminal 300. It is detected that In this case, a list of device IDs is stored in the server storage unit 119 in advance.
The terminal management unit 111 of the terminal management server 110 displays a warning message notifying that a storage medium other than the security USB memory 200 is connected to the user terminal 300 on the display of the terminal management server 110.
Then, the administrator or the terminal management unit 111 performs processing for preventing information leakage performed using a storage medium other than the security USB memory 200 (for example, stopping the user terminal 300 by remote operation).

図8は、実施の形態1における利用者端末300のハードウェア構成の一例を示す図である。
実施の形態1における利用者端末300のハードウェア構成の一例について、図8に基づいて説明する。 FIG. 8 is a diagram illustrating an example of a hardware configuration of the user terminal 300 according to the first embodiment.
An example of the hardware configuration of the user terminal 300 in the first embodiment will be described with reference to FIG.

利用者端末300は、バス909に接続している演算装置901、外部記憶装置902、主記憶装置903、通信装置904および入出力装置905を備える。   The user terminal 300 includes an arithmetic device 901, an external storage device 902, a main storage device 903, a communication device 904, and an input / output device 905 connected to the bus 909.

演算装置901は、プログラムを実行するCPU(Central Processing Unit)である。
外部記憶装置902は、例えば、ROM(Read Only Memory)、フラッシュメモリまたはハードディスク装置である。
主記憶装置903は、例えば、RAM(Random Access Memory)である。
通信装置904は、有線または無線でインターネット、LAN(ローカルエリアネットワーク)、電話回線網またはその他のネットワークを介して通信を行う。
入出力装置905は、例えば、マウス、キーボード、ディスプレイ装置である。 The arithmetic device 901 is a CPU (Central Processing Unit) that executes a program.
The external storage device 902 is, for example, a ROM (Read Only Memory), a flash memory, or a hard disk device.
The main storage device 903 is, for example, a RAM (Random Access Memory).
The communication device 904 performs communication via the Internet, a LAN (local area network), a telephone line network, or other networks in a wired or wireless manner.
The input / output device 905 is, for example, a mouse, a keyboard, or a display device.

プログラムは、通常は外部記憶装置902に記憶されており、主記憶装置903にロードされ、演算装置901に読み込まれ、演算装置901によって実行される。
例えば、オペレーティングシステム(OS)が外部記憶装置902に記憶される。また、「〜部」として説明している機能を実現するプログラムが外部記憶装置902に記憶される。そして、OSおよび「〜部」として説明している機能を実現するプログラムは主記憶装置903にロードされ、演算装置901によって実行される。 The program is normally stored in the external storage device 902, loaded into the main storage device 903, read into the arithmetic device 901, and executed by the arithmetic device 901.
For example, an operating system (OS) is stored in the external storage device 902. In addition, a program that realizes the function described as “˜unit” is stored in the external storage device 902. The OS and the program that realizes the function described as “˜unit” are loaded into the main storage device 903 and executed by the arithmetic device 901.

「〜の判断」、「〜の判定」、「〜の抽出」、「〜の検知」、「〜の設定」、「〜の登録」、「〜の選択」、「〜の生成」、「〜の入力」、「〜の出力」等の処理の結果を示す情報、データ、信号値または変数値が主記憶装置903または外部記憶装置902にファイルとして記憶される。また、利用者端末300が使用するその他のデータが主記憶装置903または外部記憶装置902に記憶される。   “Determining”, “determining”, “extracting”, “detecting”, “setting”, “registering”, “selecting”, “generating”, “to” Information, data, signal values, or variable values indicating the results of processing such as “input”, “output of”, etc., are stored as files in the main storage device 903 or the external storage device 902. In addition, other data used by the user terminal 300 is stored in the main storage device 903 or the external storage device 902.

また、図8は実施の形態1における利用者端末300のハードウェア構成の一例を示すものであり、利用者端末300のハードウェア構成は図8に示す構成と異なる構成であってもよい。
なお、実施の形態1に係るファイル管理方法はフローチャート等を用いて説明している手順または一部異なる手順によって実現することができる。 FIG. 8 shows an example of the hardware configuration of the user terminal 300 according to Embodiment 1, and the hardware configuration of the user terminal 300 may be different from the configuration shown in FIG.
Note that the file management method according to the first embodiment can be realized by a procedure described using a flowchart or the like or a partially different procedure.

実施の形態1により、可搬型の記憶媒体(例えば、USBメモリ)への不正なファイルコピーまたはうっかりコピー(データファイルを誤ってコピーしてしまうこと)を防ぐことができる。つまり、可搬型の記憶媒体を用いて行われる情報漏洩を防ぐことができる。
なお、実施の形態1は、データファイルを記憶媒体にコピーするためのコピー操作だけでなく、データファイルを記憶媒体に移動する移動操作にも適用することができる。 According to the first embodiment, it is possible to prevent unauthorized file copying or inadvertent copying (incorrect copying of a data file) to a portable storage medium (for example, a USB memory). That is, information leakage performed using a portable storage medium can be prevented.
The first embodiment can be applied not only to a copy operation for copying a data file to a storage medium but also to a move operation for moving the data file to the storage medium.

実施の形態1は、ファイル管理システム100の形態の一例である。
つまり、ファイル管理システム100は、実施の形態1で説明した機能または構成の一部を備えなくても構わない。
また、ファイル管理システム100は、実施の形態1で説明していない機能または構成を備えても構わない。 The first embodiment is an example of a form of the file management system 100.
That is, the file management system 100 may not have a part of the function or configuration described in the first embodiment.
Further, the file management system 100 may have functions or configurations not described in the first embodiment.

100 ファイル管理システム、109 ネットワーク、110 端末管理サーバ、111 端末管理部、119 サーバ記憶部、112 利用履歴ファイル、200 セキュリティUSBメモリ、210 ファイル管理プログラム、211 制御プログラム、212 ログインプログラム、213 ファイル検査プログラム、214 検査結果出力プログラム、215 利用者属性値取得プログラム、216 ファイル操作プログラム、217 操作結果出力プログラム、218 メモリ管理編集プログラム、280 メモリ管理ファイル、281 設定ファイル、282 利用者定義ファイル、283 ポリシーファイル、284 検査条件ファイル、300 利用者端末、290 メモリ履歴ファイル、310 記憶媒体検出部、320 プログラム読み込み部、330 プログラム実行部、390 端末記憶部、391 データファイル、901 演算装置、902 外部記憶装置、903 主記憶装置、904 通信装置、905 入出力装置、909 バス。   100 file management system, 109 network, 110 terminal management server, 111 terminal management unit, 119 server storage unit, 112 usage history file, 200 security USB memory, 210 file management program, 211 control program, 212 login program, 213 file inspection program , 214 Inspection result output program, 215 User attribute value acquisition program, 216 File operation program, 217 Operation result output program, 218 Memory management editing program, 280 Memory management file, 281 Setting file, 282 User definition file, 283 Policy file 284 Inspection condition file, 300 user terminal, 290 memory history file, 310 storage medium detection unit, 320 program read Inclusive portion, 330 a program execution unit, 390 terminal memory unit, 391 data files, 901 computing device 902 external storage device, 903 main storage, 904 communication device, 905 input device, 909 a bus.

Claims (9)

コンピュータと、前記コンピュータによって実行されるセキュリティプログラムが記憶されたセキュリティ記憶媒体と、前記コンピュータと通信するサーバ装置とを備えるファイル管理システムであって、
前記セキュリティプログラムは、ファイル検査プログラムを含み、前記セキュリティ記憶媒体が前記コンピュータに接続されているときに前記コンピュータによって実行され、
前記ファイル検査プログラムは、前記コンピュータに記憶されているデータファイルを前記セキュリティ記憶媒体にコピーするためのコピー操作が検出されたときに、前記データファイルに保護情報が含まれているか否かを検査するために実行されるプログラムであり、
前記コンピュータは、前記セキュリティ記憶媒体と前記セキュリティ記憶媒体とは異なる他の記憶媒体とのいずれかの記憶媒体が接続された場合に接続された記憶媒体から媒体識別子を取得し、取得した媒体識別子を前記サーバ装置に送信し、
前記サーバ装置は、前記コンピュータから送信された媒体識別子を受信し、前記他の記憶媒体が前記コンピュータに接続された場合、前記コンピュータから送信された媒体識別子に基づいて前記他の記憶媒体が前記コンピュータに接続されたことを検出し、前記他の記憶媒体が接続された前記コンピュータを遠隔操作によって停止させる
ことを特徴とするファイル管理システム A file management system comprising a computer, a security storage medium storing a security program executed by the computer, and a server device communicating with the computer ,
The security program includes a file inspection program, and is executed by the computer when the security storage medium is connected to the computer,
The file inspection program inspects whether or not the data file includes protection information when a copy operation for copying a data file stored in the computer to the security storage medium is detected. Ri program der to be executed in order,
The computer acquires a medium identifier from the connected storage medium when any one of the security storage medium and another storage medium different from the security storage medium is connected, and acquires the acquired medium identifier. Sent to the server device,
The server device receives a medium identifier transmitted from the computer, and when the other storage medium is connected to the computer, the other storage medium is based on the medium identifier transmitted from the computer. A file management system for detecting connection to a computer and stopping the computer connected to the other storage medium by remote control . 前記セキュリティプログラムは、検出情報表示プログラムを含み、
前記検出情報表示プログラムは、前記ファイル検査プログラムが実行されて前記データファイルから1つ以上の保護情報が検出された場合、前記1つ以上の保護情報を表示するために実行されるプログラムである
ことを特徴とする請求項1記載のファイル管理システムThe security program includes a detection information display program,
The detection information display program is a program that is executed to display the one or more protection information when the file inspection program is executed and one or more protection information is detected from the data file. The file management system according to claim 1. 前記セキュリティプログラムは、前記セキュリティ記憶媒体が前記コンピュータに接続されたときに前記コンピュータによって起動される制御プログラムを含み、
前記制御プログラムは、前記コピー操作が検出されたときに前記ファイル検査プログラムを実行するための検査実行命令を含む
ことを特徴とする請求項1または請求項2記載のファイル管理システムThe security program includes a control program started by the computer when the security storage medium is connected to the computer,
3. The file management system according to claim 1, wherein the control program includes an inspection execution instruction for executing the file inspection program when the copy operation is detected. 前記セキュリティプログラムは、ファイル操作プログラムを含み、
前記ファイル操作プログラムは、前記ファイル検査プログラムの実行によって前記保護情報が前記データファイルから検出されなかった場合、前記データファイルを前記セキュリティ記憶媒体にコピーするために実行されるプログラムである
ことを特徴とする請求項1から請求項3いずれかに記載のファイル管理システムThe security program includes a file operation program,
The file operation program is a program executed to copy the data file to the security storage medium when the protection information is not detected from the data file by the execution of the file inspection program. The file management system according to any one of claims 1 to 3. 前記セキュリティ記憶媒体は、利用者を識別する利用者識別子と利用者の属性を表す利用者属性値とを対応付ける利用者定義ファイルを記憶し、
前記セキュリティプログラムは、利用者識別子取得プログラムと、利用者属性値取得プログラムとを含み、
前記利用者識別子取得プログラムは、前記コンピュータを利用する利用者の利用者識別子を取得するためのプログラムであり、
前記利用者属性値取得プログラムは、前記ファイル検査プログラムの実行によって前記保護情報が前記データファイルから検出された場合、前記利用者識別子取得プログラムの実行によって取得された利用者識別子に対応する利用者属性値を前記利用者定義ファイルから取得するためのプログラムであり、
前記ファイル操作プログラムは、前記利用者属性値取得プログラムの実行によって取得された前記利用者属性値が特別な利用者の属性値である場合、前記データファイルを前記セキュリティ記憶媒体にコピーするために実行される
ことを特徴とする請求項4記載のファイル管理システムThe security storage medium stores a user definition file that associates a user identifier that identifies a user with a user attribute value that represents a user attribute;
The security program includes a user identifier acquisition program and a user attribute value acquisition program,
The user identifier acquisition program is a program for acquiring a user identifier of a user who uses the computer,
The user attribute value acquisition program, when the protection information is detected from the data file by the execution of the file inspection program, the user attribute corresponding to the user identifier acquired by the execution of the user identifier acquisition program A program for obtaining a value from the user definition file;
The file operation program is executed to copy the data file to the security storage medium when the user attribute value acquired by executing the user attribute value acquisition program is a special user attribute value. 5. The file management system according to claim 4, wherein: 前記セキュリティプログラムは、利用者定義編集プログラムを含み、
前記利用者定義編集プログラムは、前記利用者定義ファイルを編集するために実行されるプログラムである
ことを特徴とする請求項5記載のファイル管理システムThe security program includes a user-defined editing program,
6. The file management system according to claim 5, wherein the user definition editing program is a program executed to edit the user definition file. 前記セキュリティ記憶媒体は、操作履歴ファイルを記憶し、
前記セキュリティプログラムは、操作履歴記録プログラムを含み、
前記操作履歴記録プログラムは、前記コピー操作の履歴を示す履歴情報を前記操作履歴ファイルに記録するために実行されるプログラムである
ことを特徴とする請求項1から請求項6いずれかに記載のファイル管理システムThe security storage medium stores an operation history file,
The security program includes an operation history recording program,
7. The file according to claim 1, wherein the operation history recording program is a program executed to record history information indicating a history of the copy operation in the operation history file. Management system . 前記セキュリティプログラムは、操作履歴送信プログラムを含み、
前記操作履歴送信プログラムは、前記操作履歴ファイルを所定の送信先に送信するために実行される
ことを特徴とする請求項7記載のファイル管理システムThe security program includes an operation history transmission program,
8. The file management system according to claim 7, wherein the operation history transmission program is executed to transmit the operation history file to a predetermined transmission destination. コンピュータと、ファイル検査プログラムを含むセキュリティプログラムが記憶されたセキュリティ記憶媒体と前記セキュリティ記憶媒体とは異なる他の記憶媒体とのいずれかの記憶媒体と、前記コンピュータと通信するサーバ装置とを用いるファイル管理方法であって、
前記セキュリティ記憶媒体と前記他の記憶媒体とのいずれかの記憶媒体が前記コンピュータに接続され、
前記コンピュータが、接続された記憶媒体から媒体識別子を取得し、取得した媒体識別子を前記サーバ装置に送信し、
前記サーバ装置が、前記コンピュータから送信された媒体識別子を受信し、前記他の記憶媒体が前記コンピュータに接続された場合、前記コンピュータから送信された媒体識別子に基づいて前記他の記憶媒体が前記コンピュータに接続されたことを検出し、前記他の記憶媒体が接続された前記コンピュータを遠隔操作によって停止させ、
前記セキュリティ記憶媒体が接続された前記コンピュータが、前記セキュリティ記憶媒体に記憶された前記セキュリティプログラムに含まれる前記ファイル検査プログラムを読み込み、前記コンピュータに記憶されているデータファイルを前記セキュリティ記憶媒体にコピーするためのコピー操作を検出し、前記ファイル検査プログラムを実行することによって、前記データファイルに保護情報が含まれているか否かを検査し、前記ファイル検査プログラムの実行によって前記データファイルから保護情報が検出されなかった場合、前記データファイルを前記セキュリティ記憶媒体にコピーする
ことを特徴とするファイル管理方法。 File management using a computer, a storage medium in which a security program including a file inspection program is stored, and another storage medium different from the security storage medium, and a server device that communicates with the computer A method,
Any one of the security storage medium and the other storage medium is connected to the computer,
The computer acquires a medium identifier from a connected storage medium, transmits the acquired medium identifier to the server device,
When the server device receives a medium identifier transmitted from the computer and the other storage medium is connected to the computer, the other storage medium is based on the medium identifier transmitted from the computer. The computer connected to the other storage medium is stopped by remote operation,
Said computer the security storage medium is connected, copy reads the file inspection program contained in the security program stored in the security storage medium, the data files stored before Symbol computer to said security storage medium detecting a copy operation for, by performing the pre-Symbol file checker, checks whether contains protection information in the data file, protected from the data file by execution of the previous SL file checker A file management method for copying the data file to the security storage medium when information is not detected.
JP2013067787A 2013-03-28 2013-03-28 File management system and file management method Expired - Fee Related JP6091286B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013067787A JP6091286B2 (en) 2013-03-28 2013-03-28 File management system and file management method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013067787A JP6091286B2 (en) 2013-03-28 2013-03-28 File management system and file management method

Publications (2)

Publication Number Publication Date
JP2014191671A JP2014191671A (en) 2014-10-06
JP6091286B2 true JP6091286B2 (en) 2017-03-08

Family

ID=51837836

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013067787A Expired - Fee Related JP6091286B2 (en) 2013-03-28 2013-03-28 File management system and file management method

Country Status (1)

Country Link
JP (1) JP6091286B2 (en)

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003303114A (en) * 2002-02-06 2003-10-24 Ci:Kk Security maintenance system and usb key
NO321668B1 (en) * 2003-04-11 2006-06-19 Norsk Hydro As Device for distributing two fluids in and out of the channels in a monolithic structure as well as methods and equipment for transferring mass and / or heat between two fluids
TW200511117A (en) * 2003-09-10 2005-03-16 Wistron Corp Method for controlling a computer system
JP2005202488A (en) * 2004-01-13 2005-07-28 Seiko Epson Corp Action suppression support system
JP2005293357A (en) * 2004-04-01 2005-10-20 Toshiba Corp Log-in system and method
JP3762935B1 (en) * 2005-04-11 2006-04-05 クオリティ株式会社 Information processing apparatus, file management system, and file management program
JP4044126B1 (en) * 2006-09-29 2008-02-06 株式会社インテリジェントソフトウェアー Information leakage prevention device, information leakage prevention program, information leakage prevention recording medium, and information leakage prevention system
JP4742010B2 (en) * 2006-10-20 2011-08-10 日立キャピタル株式会社 Personal information file monitoring system
JP4974246B2 (en) * 2008-09-11 2012-07-11 株式会社日立ソリューションズ File export monitoring system
JP5172776B2 (en) * 2009-05-12 2013-03-27 京セラドキュメントソリューションズ株式会社 Electronics
JP5465920B2 (en) * 2009-05-14 2014-04-09 キヤノン電子株式会社 Information processing apparatus, control method, computer program, and storage medium
JP2011039716A (en) * 2009-08-10 2011-02-24 Hitachi Solutions Ltd Information storage medium and information system
KR20120099782A (en) * 2009-12-22 2012-09-11 야스다, 히로시 User authentication method, user authentication system, and portable communications terminal
JP5017462B2 (en) * 2010-12-27 2012-09-05 株式会社東芝 Information processing apparatus and removable media management method

Also Published As

Publication number Publication date
JP2014191671A (en) 2014-10-06

Similar Documents

Publication Publication Date Title
US11962510B2 (en) Resource watermarking and management
JP5186363B2 (en) Cascading security architecture
US10079835B1 (en) Systems and methods for data loss prevention of unidentifiable and unsupported object types
US9699193B2 (en) Enterprise-specific functionality watermarking and management
US9697352B1 (en) Incident response management system and method
JP5851029B2 (en) Method and apparatus for determining and utilizing the value of digital assets
CN108885672B (en) Access management method, information processing device, program, and recording medium
US11336628B2 (en) Methods and systems for securing organizational assets in a shared computing environment
JP2014182791A (en) Customer centric method and adapter for copyright management system
US9665723B2 (en) Watermarking detection and management
CN106030527A (en) Systems and methods for informing users about applications available for download
JP2020502699A (en) Architecture, method and apparatus for implementing collection and display of computer file metadata
US9672383B2 (en) Functionality watermarking and management
JP2007065953A (en) Data management system and quenching program for data management
JP6091286B2 (en) File management system and file management method
US8806217B2 (en) Functionality watermarking and management
JP4857199B2 (en) Information asset management system, log analysis device, and log analysis program
JP2009059158A (en) External device management system
JP5630193B2 (en) Operation restriction management program, operation restriction management apparatus, and operation restriction management method
TWI430130B (en) File usage permission management system
JP2005316528A (en) Electronic data providing device and method with operation authority function, program therefor and computer readable recording medium for recording the program
WO2024171423A1 (en) Information processing device, information processing method, and information processing program
WO2022149233A1 (en) Log generation device, log generation method, and log generation program
KR101501738B1 (en) File marking system and method thereof
US20220308808A1 (en) Information processing apparatus, information processing method, and non-transitory computer readable medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20151026

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160920

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160927

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161028

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170124

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170207

R150 Certificate of patent or registration of utility model

Ref document number: 6091286

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees