以下、本実施の形態について図面を参照して説明する。
[第1の実施形態]
図1は、第1の実施形態の情報処理装置の一例を説明するための図である。情報処理装置10は、第1記憶部11と、第2記憶部12と、処理部13とを含んで構成される。
第1記憶部11は、不揮発性の記憶部である。第1記憶部11は、例えば情報処理装置10が有するHDD(Hard Disk Drive)等の不揮発性記憶装置として実現される。第2記憶部12は、揮発性の記憶部である。第2記憶部12は、例えば情報処理装置10が有するRAM(Random Access Memory)等の揮発性記憶装置として実現される。
処理部13は、例えば情報処理装置10が有するCPU(Central Processing Unit)等のプロセッサとして実現される。なお、処理部13は、MPU(Micro Processing Unit)、DSP(Digital Signal Processor)、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)、PLD(Programmable Logic Device)等を含み得る。ここでいう「プロセッサ」には、複数のプロセッサの集合(マルチプロセッサ)も含まれ得る。
処理部13は、ファイル管理処理を実行する。処理部13は、ファイル管理処理では、原ファイル1を復号可能(復元可能ともいう)に第1分散ファイル2と第2分散ファイル3とに分散(分割ともいう)する(P1)。原ファイル1は、管理対象として予め定めた管理対象ファイル形式のファイルである。原ファイル1は、原データ、原本ファイル、原本データまたは原本ともいう。処理部13は、例えば秘密分散法の暗号化方式を用いて原ファイル1を第1分散ファイル2と第2分散ファイル3とに分散する。第1分散ファイル2および第2分散ファイル3は、分散ファイル形式のファイルである。分散ファイル形式は、分散ファイルに規定されるファイル形式である。ファイル形式は、ファイルにデータを記録するための規則であり、ファイルタイプ、拡張子または保存形式ともいう。
処理部13は、第1分散ファイル2を第1記憶部11に記憶させ(P2)、第2分散ファイル3を外部記憶装置20に記憶させる(P3)。このようにして処理部13は、別々の端末に第1分散ファイル2と第2分散ファイル3とが分散した状態で原ファイル1の管理を実現する。すなわち、処理部13は、情報処理装置10だけでは原ファイル1を取得できない状態で原ファイル1の管理を実現する。
処理部13は、復号要求を受け付けると、復号要求に応じて外部記憶装置20が記憶する第2分散ファイル3と、第1記憶部11が記憶する第1分散ファイル2とを取得する。そして、処理部13は、外部記憶装置20が記憶する第2分散ファイル3と第1記憶部11が記憶する第1分散ファイル2とから原ファイル1を復号し(P4)、第2記憶部12に記憶させる(P5)。このようにして処理部13は、原ファイル1を情報処理装置10で操作可能にするとともに、継続して存在しないように管理(具体的には、電源OFFで情報処理装置10内から消失するように管理)する。
処理部13は、所定のタイミングで、ファイル4を第1記憶部11から検出する検出処理を実行する(P6)。ファイル4は、管理対象ファイル形式のファイルである。つまりファイル4は、情報処理装置10内に継続して存在しないように管理されるべきファイル、すなわち、ファイル管理処理によって分散されて管理されるべきファイルである。
これにより処理部13は、本来、ファイル管理処理の下で分散されて管理されているはずであるファイル4を第1記憶部11から検出する。例えば、所定のタイミングとしては、情報処理装置10の操作者が情報処理装置10から離れる可能性が高いタイミング等が考えられる。操作者が情報処理装置10から離れる可能性が高いタイミングとしては、例えばOS(Operating System)の停止入力を検知した場合がある。OSの停止入力を検知した場合としては、スリープ状態への移行を検知した場合、休止状態への移行を検知した場合、及びシャットダウン状態への移行を検知した場合等がある。処理部13は、検出結果5を出力する(P7)。
このような情報処理装置10によれば、復号要求を受け付けた場合に、一時的(具体的には、電源がOFFになるまでの間)にのみ原ファイル1が情報処理装置10内に存在するようにしているため、原ファイル1の流出を防止できる。これにより、情報処理装置10は、原ファイル1の流出による情報漏洩の発生を防止できる。
また、情報処理装置10によれば、第1分散ファイル2を情報処理装置10内に保持しているため、原ファイル1を復号するとき、外部から取得するファイルのファイルサイズを小さくすることができる。これにより、情報処理装置10は、復号要求を受け付けてから復号に用いる各ファイル(具体的には、第1分散ファイル2と第2分散ファイル3)を準備するまでに要する時間を短縮できる。これにより情報処理装置10は、ファイル管理処理のユーザビリティを向上できる。
また、情報処理装置10によれば、ファイル管理処理の管理対象とし、継続して情報処理装置10内に存在しないように管理する必要があるファイル4が第1記憶部11に記憶されていることを把握させることができる。すなわち、情報処理装置10は、ファイル4の流出による情報漏洩の危険性を把握させることができる。このようにファイル4の流出による情報漏洩の危険性を把握させることで操作者による対応を促すことができるので、情報処理装置10は、ファイル4の流出による情報漏洩を防止できる。これにより、情報処理装置10は、ファイル管理処理による情報漏洩の防止の実効性を担保できる。
また、情報処理装置10は、ファイル4が存在しない場合には、検出結果5を出力することで、安全性が確保できていること、すなわち、情報漏洩の危険性がないことを通知し、安心感を与えることができる。
なお、処理部13は、OSの停止入力を検知した場合に検出処理を実行させるようにしてもよい。OSの停止入力は、一般に、操作者が情報処理装置10から離れる可能性が高いタイミングにおこなわれる。そのため、OSの停止入力を検知した場合に検出処理を実行することで、情報処理装置10は、操作者が情報処理装置10から安心して離れられるようにすることができる。
また、管理対象ファイル形式には、第1記憶部11の一部範囲を検出処理における検出をおこなわない検出除外範囲とするファイル形式が含まれていてもよい。情報処理装置10の第1記憶部11では、一般に、日々の使用によって機密情報を含まないファイルが自動的に作成され得る。このようなファイルは、流失した場合でも機密情報が含まれないので管理する必要性が乏しく、検出処理により検出してしまうとかえって煩わしくなる。そのため、第1記憶部11の一部範囲を検出処理における検出をおこなわない検出除外範囲とすることを可能とすることで、情報処理装置10は、日々の使用によって作成され得る機密情報を含まないファイル(情報漏洩の危険性のないファイル、分散して管理する必要性が乏しいファイルともいう)が作成され得る範囲を検出対象外とすることができるので、煩わしくなることを防止できる。
また、第1記憶部11の一部範囲を検出除外範囲とするファイル形式には、OSのシステムファイルで利用しているファイル形式が含まれ、検出除外範囲には、OSのシステムファイルが作成されるフォルダが含まれていてもよい。日々の使用によって作成され得る機密情報を含まないファイルとしては、OSのシステムファイルがある。そのため、管理対象ファイル形式のうちOSのシステムファイルで利用しているファイル形式については、OSのシステムファイルが作成されるフォルダを検出除外範囲とすることで、情報処理装置10は、情報漏洩の危険性のないOSのシステムファイルが検出処理により頻繁に検出されてしまうことによって煩わしくなることを防止できる。
また、OSの停止入力によって移行するOSの停止状態には、電力の供給が継続される状態が含まれ、処理部13は、OSの停止入力によって移行するOSの停止状態において電力の供給が継続される場合には、第2記憶部12に復号された原ファイル1のうち、OSの停止状態への移行によっては削除されない、ファイル操作を実行中の原ファイル1を検出処理により併せて検出してもよい。一般にOSが停止状態へ移行しても、電力の供給が継続されている場合には揮発性の第2記憶部12に復号された原ファイル1のうち実行中の原ファイル1の情報は消失しない。そのため、第2記憶部12に復号された実行中の原ファイル1は、停止状態からの復帰時に情報処理装置10内に存在したままとなる。そのため、この状態で情報処理装置10から操作者が離れ、情報処理装置10が盗難や窃盗されると、原ファイル1の流出による情報漏洩につながる虞がある。そこで、処理部13は、OSの停止入力によって移行するOSの停止状態において電力の供給が継続される場合には、第2記憶部12に復号された原ファイル1のうち、OSの停止状態への移行によっては削除されない、ファイル操作を実行中の原ファイル1を検出処理により併せて検出する。これにより、情報処理装置10は、原ファイル1の流出による情報漏洩の危険性を把握させることができる。このように原ファイル1の流出による情報漏洩の危険性を把握させることで操作者による対応を促すことができるので、情報処理装置10は、原ファイル1の流出による情報漏洩を防止できる。
また、処理部13は、OSの起動時にファイル管理処理を開始し、OSの停止入力を検知した場合にファイル管理処理を終了し、ファイル管理処理の開始時には第1ログを外部記憶装置20に出力し、ファイル管理処理の終了時には第2ログを外部記憶装置20に出力し、外部記憶装置20の第1ログと第2ログの受信状況に基づいてファイル管理処理の実行中における外部記憶装置20との接続の切断を検証してもよい。これによれば外部記憶装置20が情報処理装置10と適切に接続している場合には、外部記憶装置20は第1ログと第2ログとを交互に受信する。そのため、情報処理装置10は、第1ログと第2ログとの受信状況によってファイル管理処理の実行中における外部記憶装置20との接続の切断、すなわち、不適切な切断の有無を検証できる。例えば、不適切な切断が生じる場合としては、情報処理装置10のOSが完全に停止状態に移行する前に操作者が可搬型等である外部記憶装置20を持って情報処理装置10から離れてしまい、情報処理装置10と外部記憶装置20とが通信不可能な状態になった場合がある。すなわち、不適切な切断が発生している場合には、OSが完全に停止状態に移行するまでの間に操作者が情報処理装置10を支配下(監視下ともいう)に置いていない期間があり、第三者が情報処理装置10から機密情報を取得可能な余地が生じていた虞がある。そこで、情報処理装置10は、このような不適切な切断を検証し、検証結果を操作者に通知することで、不適切な切断の再発防止を促して第三者が情報処理装置10から機密情報を取得可能な余地が発生しないようにする。これにより情報処理装置10は、情報漏洩が発生するのを防止できる。
[第2の実施形態]
次により具体的な実施形態としてファイル管理システムについて説明する。図2は、第2の実施形態のファイル管理システムの全体概要の一例を示す図である。
ファイル管理システム50は、ファイル管理処理により管理下のファイル(管理対象のファイルともいう)を管理するシステムである。ファイル管理システム50は、情報処理装置200と外部記憶装置を連携させることで、管理下のファイルの原ファイルを情報処理装置200で操作可能にするとともに、情報処理装置200だけでは原ファイルを取得できないようにした状態で管理下のファイルを管理する。ファイル管理システム50は、情報処理装置200だけでは原ファイルを取得できないように、すなわち、管理下のファイルの原ファイルが情報処理装置200内に継続して存在しないようにした状態で管理することで、原ファイルが漏洩するのを防止する。例えば、ファイル管理システム50は、企業等に導入される。なお、以下では、企業に導入されたファイル管理システム50を例として用いて説明する。
ファイル管理システム50は、サーバ100と、情報処理装置200と、可搬型端末300とを備える。サーバ100は、ネットワーク(無線ネットワークを含む)60を介して情報処理装置200と接続する。可搬型端末300は、無線通信(例えばBluetooth(登録商標))70を介して情報処理装置200と接続する。
サーバ100は、社内(具体的には、社内ネットワーク)からアクセス可能(言い換えれば、限られた環境下でのみアクセス可能)な外部記憶装置である。サーバ100は、例えば、社内やデータセンタ等の厳重な防犯対策やセキュリティ対策が施された環境下で管理されている。サーバ100は、第1の実施形態の外部記憶装置20の一実施態様である。
情報処理装置200は、管理下のファイルの原ファイルのファイル操作を、操作者(具体的には企業の従業員)が行う装置である。情報処理装置200は、社外(すなわち、社内ネットワークと接続不可能な環境)に持ち出して利用され得る可搬型の装置である。情報処理装置200は、例えば、ノート型PCである。なお、情報処理装置200は、ファイル操作が可能であればよく、例えば、スマートフォンやタブレット型PC等であってもよい。情報処理装置200は、第1の実施形態の情報処理装置10の一実施態様である。
可搬型端末300は、社外でもアクセス可能な外部記憶装置である。可搬型端末300は、例えば、スマートフォンである。なお、可搬型端末300は、表示画面と記憶装置とを備えてればよく、例えば、タブレット型PCやデジタルカメラやスマートウォッチや携帯音楽プレーヤー等であってもよい。可搬型端末300は、第1の実施形態の外部記憶装置20の一実施態様である。
次に情報処理装置200のハードウェア構成について説明する。図3は、第2の実施形態の情報処理システムのハードウェア構成の一例を示す図である。
情報処理装置200は、プロセッサ201によって装置全体が制御されている。プロセッサ201には、バス209を介してメモリ202と複数の周辺機器が接続されている。プロセッサ201は、マルチプロセッサであってもよい。
プロセッサ201は、例えばCPU、MPU、またはDSPである。プロセッサ201の機能の少なくとも一部を、ASIC、FPGA、PLD等の電子回路で実現してもよい。プロセッサ201は、第1の実施形態の処理部13の一実施態様である。
メモリ202は、情報処理装置200の主記憶装置として使用される。メモリ202には、プロセッサ201に実行させるOSのプログラムやアプリケーションプログラムの少なくとも一部が一時的に格納される。また、メモリ202には、プロセッサ201による処理に必要な各種データが格納される。メモリ202としては、RAMなどの揮発性の半導体記憶装置が使用される。なお以下では、メモリ202は、RAMであるものとして説明する。メモリ202は、第1の実施形態の第2記憶部12の一実施態様である。
バス209に接続されている周辺機器としては、HDD203、グラフィック処理装置204、入力インタフェース205、光学ドライブ装置206、機器接続インタフェース207及びネットワークインタフェース208がある。
HDD203は、内蔵したディスクに対して、磁気的にデータの書き込み及び読み出しを行う。HDD203は、情報処理装置200の補助記憶装置として使用される。HDD203には、OSのプログラム、アプリケーションプログラム、及び各種データが格納される。なお補助記憶装置としては、フラッシュメモリ等の不揮発性の半導体記憶装置を使用することもできる。HDD203は、第1の実施形態の第1記憶部11の一実施態様である。
グラフィック処理装置204には、モニタ204aが接続されている。グラフィック処理装置204は、プロセッサ201からの命令に従って、画像をモニタ204aの画面に表示させる。モニタ204aとしては、CRT(Cathode Ray Tube)を用いた表示装置や液晶表示装置等がある。
入力インタフェース205には、キーボード205aとマウス205bとが接続されている。入力インタフェース205は、キーボード205aやマウス205bから送られてくる信号をプロセッサ201に送信する。
なお、マウス205bはポインティングデバイスの一例であり、他のポインティングデバイスを使用することもできる。他のポインティングデバイスとしては、タッチパネル、タブレット、タッチパッド、トラックボールなどがある。
光学ドライブ装置206は、レーザ光などを利用して、光ディスク206aに記録されたデータの読み取りを行う。光ディスク206aは、光の反射によって読み取り可能なようにデータが記録された可搬型の記録媒体である。光ディスク206aには、DVD(Digital Versatile Disc)、DVD−RAM、CD−ROM(Compact Disc Read Only Memory)、CD−R(Recordable)/RW(Re Writable)などがある。
機器接続インタフェース207は、情報処理装置200に周辺機器を接続するための通信インタフェースである。例えば機器接続インタフェース207には、メモリ装置207aやメモリリーダライタ207bを接続することができる。
メモリ装置207aは、機器接続インタフェース207との通信機能を搭載した記録媒体である。メモリリーダライタ207bは、メモリカード207cへのデータの書き込み、またはメモリカード207cからのデータの読み出しを行う装置である。メモリカード207cは、カード型の記録媒体である。
ネットワークインタフェース208は、ネットワークに接続されている。ネットワークインタフェース208は、ネットワークを介して、他のコンピュータまたは通信機器との間でデータの送受信を行う。
以上のようなハードウェア構成によって、本発明の処理機能を実現することができる。なお、サーバ100や可搬型端末300も、図3に示した情報処理装置200と同様のハードウェアにより実現することができる。また、第1の実施形態の情報処理装置10も、図3に示した情報処理装置200と同様のハードウェアにより実現することができる。
情報処理装置200は、例えばコンピュータ読み取り可能な記録媒体に記録されたプログラムを実行することにより、本発明の処理機能を実現する。情報処理装置200に実行させる処理内容を記述したプログラムは、様々な記録媒体に記録しておくことができる。
例えば、情報処理装置200に実行させるプログラムをHDD203に格納しておくことができる。プロセッサ201は、HDD203内のプログラムの少なくとも一部をRAM202にロードし、プログラムを実行する。また情報処理装置200に実行させるプログラムを、光ディスク206a、メモリ装置207a、メモリカード207cなどの可搬型記録媒体に記録しておくこともできる。
可搬型記録媒体に格納されたプログラムは、例えばプロセッサ201からの制御により、HDD203にインストールされた後、実行可能となる。またプロセッサ201が、可搬型記録媒体から直接プログラムを読み出して実行することもできる。
次にファイル管理システム50を構成する各装置の機能について説明する。図4は、第2の実施形態のサーバと情報処理装置と可搬型端末の機能構成の一例を示す図である。
情報処理装置200は、ファイル管理処理部210と、第1記憶部220と、第2記憶部230とを有する。
ファイル管理処理部210は、ファイル管理処理に関する各種処理を行う。ファイル管理処理は、情報処理装置200のOSの起動に伴い開始され、OSの稼働中においては継続して実行され、OSの停止に伴い終了する。OSの起動としては、例えばOSのシャットダウン状態からの起動、OSのスリープ状態からの復帰、OSの休止状態からの復帰等がある。OSの停止としては、例えばOSのシャットダウン状態、OSのスリープ状態、OSの休止状態等がある。
ファイル管理処理部210は、外部記憶装置との連携により管理下のファイルの原ファイル400をファイル操作可能としつつ、情報処理装置200だけでは原ファイル400を取得できないようにした状態で管理下のファイルを管理する。
具体的には、ファイル管理処理部210は、管理下におくファイルの原ファイル400を復号可能に2つの分散ファイル(管理下のファイルの分散ファイルともいう)に分散させる。2つの分散ファイルは、それぞれサイズが異なる。2つの分散ファイルは、分散ファイル独自のファイル形式(以下、分散ファイル形式)であり、原ファイル400とは異なるファイル形式である。
そして、ファイル管理処理部210は、2つの分散ファイルのうち大きいサイズの分散ファイル401を、第1記憶部220に記憶させる。また、ファイル管理処理部210は、2つの分散ファイルのうち小さいサイズの分散ファイル402と、原ファイル400とをサーバ100の記憶部110に記憶させる。なお、ファイル管理処理部210は、例えば、秘密分散法による暗号方式を用いることで原ファイル400を復号可能に、サイズが異なる2つの分散ファイルに分散させることができる。
また、ファイル管理処理部210は、分散ファイル402を必要に応じて可搬型端末300の記憶部320にも記憶させる。具体的には、ファイル管理処理部210は、操作者が社外で使用する予定の原ファイル400に対応する分散ファイル402を、情報処理装置200を経由して可搬型端末300の記憶部320に記憶させる。すなわち、可搬型端末300の記憶部320は、サーバ100の記憶部110に記憶されている複数の分散ファイル402のうち操作者が社外で使用する予定の原ファイル400に対応する分散ファイル402だけを記憶する。このようにしてファイル管理処理部210は、情報処理装置200だけでは原ファイル400を取得できないようにした状態で管理下のファイルを管理する。
そして、ファイル管理処理部210は、管理下のファイルの原ファイル400のファイル操作の要求(復号要求ともいう)に応じてサーバ100または可搬型端末300と連携して原ファイル400を取得し、揮発性の記憶部である第2記憶部230に記憶させる。このようにしてファイル管理処理部210は、管理下のファイルの原ファイル400を情報処理装置200で操作可能にするとともに、継続して存在しないように管理(すなわち、電源OFFで情報処理装置10内から消失するように管理)する。ファイル管理処理部210による外部記憶装置との連携による原ファイル400の取得方法については、後で図5を用いて詳細に説明する。
ファイル管理処理部210は、検出部211と、ログ出力部212と、接続検証部213とを有する。検出部211は、所定のタイミングで情報漏洩の危険性があるファイル(機密情報の漏洩につながる危険性があるファイルともいう)を検出する検出処理を行う。所定のタイミングとしては、操作者からの検出要求を受けた場合やOSの停止入力を検知した場合等がある。以下では特にOSの停止入力を検知した場合に行うことを例として用いて説明する。
具体的には、検出部211は、情報漏洩の危険性があるファイル(以下、危険ファイル)として、本来ならばファイル管理処理の管理下のファイルとして管理する必要があるファイルであって実際には管理されていないファイルを第1記憶部220から検出する。第1記憶部220に記憶された、本来ならばファイル管理処理の管理下のファイルとして管理する必要があるファイルであって実際には管理されていないファイルは、例えば、ファイル管理処理で意図していない操作を操作者が行ってしまった場合に生じ得る。検出部211は、管理対象ファイル形式のファイルを危険ファイルとして第1記憶部220から検出する。管理対象ファイル形式は、ファイル管理処理による管理対象として予め定めた、すなわち、管理下で管理するとして予め定めたファイルのファイル形式である。
なお、一般に、情報処理装置200の第1記憶部220では日々のOSの更新や業務とは無関係なアプリケーションプログラムの更新等によって企業の業務とは無関係な様々な非業務ファイル(機密情報を含まないファイルともいう)が作成され得る。このような非業務ファイルは、流失した場合でも機密情報が含まれないので管理する必要性が乏しく、非業務ファイルを検出処理により検出してしまうとかえって煩わしくなる。また、このような非業務ファイル(例えば、OSのシステムファイル)を削除や、分散して管理した場合、情報処理装置200の動作に支障をきたす場合もあるため、操作者に対応を促すべきではない。そのため、検出部211は、管理対象ファイル形式であっても非業務ファイルである場合には危険ファイルとして検出しないように検出処理を行う。
具体的には、検出部211は、非業務ファイルのファイル形式として利用される可能性が高い管理対象ファイル形式については、第1記憶部220内から危険ファイルを検出する場合に検出範囲に制限(検出除外範囲ともいう)を設けて検出処理を行う。例えば、非業務ファイルのファイル形式として利用される可能性が高い管理対象ファイル形式としては、過去に非業務ファイルのファイル形式として利用されたことのある管理対象ファイル形式がある。
また、検出部211は、OSの停止状態において電力の供給が継続される(すなわち電源がOFFにならない)場合には、検出処理により作業領域231で実行中の原ファイル400を危険ファイルとして検出する。OSの停止状態において電力の供給が継続される場合としては、OSの停止状態がOSのスリープ状態である場合と、OSの停止状態がOSの休止状態である場合とがある。なお、OSの停止状態において電力の供給が継続されない場合としては、OSの停止状態がOSのシャットダウン状態である場合がある。
例えば、一般にOSがスリープ状態へ移行しても、作業領域231の情報は消失しない。そのため、作業領域231で実行中の原ファイル400は、スリープ状態からの復帰時に情報処理装置200内に存在したままとなる。そのため、この状態で情報処理装置200から操作者が離れ、情報処理装置200が盗難や窃盗されると、原ファイル400の流出による情報漏洩につながる虞がある。そこで、検出部211は、スリープ状態からの復帰時に存在したままとなってしまう作業領域231で実行中の原ファイル400を危険ファイルとして第2記憶部230から検出する。
また、一般にOSが休止状態へ移行した場合、作業領域231の情報は一時的にハイバネーションファイルとして保存され、休止状態から復帰時に再度、作業領域231に読み込まれる。そのため、作業領域231で実行中の原ファイル400は、休止状態からの復帰時に情報処理装置200内に存在したままとなってしまう。そのため、この状態で情報処理装置200から操作者が離れ、情報処理装置200が盗難や窃盗されると、原ファイル400の流出による情報漏洩につながる虞がある。そこで、検出部211は、休止状態からの復帰時に存在したままとなってしまう作業領域231で実行中の原ファイル400を危険ファイルとして第2記憶部230から検出する。
なお、分散ファイル形式は、管理対象ファイル形式とも異なるファイル形式であるため、管理下のファイルの分散ファイル401,402は、検出部211の検出処理によって危険ファイルとして検出されない。
ログ出力部212は、ファイル管理処理の開始時(復帰時を含む)と終了時(休止時を含む)に連携先(接続先ともいう)に対してログを出力して蓄積させる。具体的には、ログ出力部212は、情報処理装置200を社内で操作している場合、すなわち、ファイル管理処理部210がサーバ100と連携して原ファイル400を取得する場合にはサーバ100に対してログを出力して蓄積させる。また、ログ出力部212は、情報処理装置200を社外で操作している場合、すなわち、ファイル管理処理部210が可搬型端末300と連携して原ファイル400を取得する場合には可搬型端末300に対してログを出力して蓄積させる。
ログ出力部212は、開始時には開始時刻(タイムスタンプともいう)などを含む開始ログ(第1ログともいう)を出力する。ログ出力部212は、終了時には終了時刻(タイムスタンプともいう)及び検出部211による危険ファイルの検出結果を含む証拠ログ(第2ログともいう)を出力する。
接続検証部213は、連携先の外部記憶装置(具体的にはサーバ100または可搬型端末300)との接続がファイル管理処理の終了時に適切におこなわれていたかを検証する。接続検証部213は、外部記憶装置が蓄積したログ、すなわち、外部記憶装置のログの受信状況に基づいて外部記憶装置がファイル管理処理の実行中(具体的には、終了時)に適切に接続していたかを検証する。接続検証部213は、外部記憶装置が蓄積したログにおいて開始ログが連続している場合(すなわち、開始ログ間に証拠ログを受信していない場合)に、不適切な切断が発生したと判定する。
第1記憶部220は、不揮発性の記憶部である。第1記憶部220は、例えば、HDD203(図3参照)によって実現される。第1記憶部220は、不揮発性の記憶部であるため電源がOFFになっても記憶している情報を保持する。第1記憶部220は、分散ファイル401に加えて、第1の検出リストと、第2の検出リストと、検出除外リストと、管理下ファイル情報と、を記憶する。
第1の検出リスト及び第2の検出リストは、検出部211が検出処理において危険ファイルとして検出するファイルのファイル形式が登録された情報である。第1の検出リスト及び第2の検出リストには、ファイル管理処理による管理対象として予め定めた、すなわち、管理下で管理するとして予め定めたファイルのファイル形式が登録されている。
第1の検出リストには、ファイルの検出処理を実行しない(検出範囲から除外するともいう)検出除外範囲が設定された管理対象ファイル形式が登録されている。
第2の検出リストには、全ての範囲をファイルの検出処理の検出範囲とする(検出除外範囲のない)管理対象ファイル形式が登録されている。
検出除外リストは、第1の検出リストに登録された管理対象ファイル形式のファイルを検出する時に、ファイルの検出処理を実行しない(検出範囲から除外するともいう)検出除外範囲が登録された情報である。
なお、検出除外リストとして範囲単位で指定することを例として用いて説明したがこれに限らない。例えば、ファイル単位で指定した検出除外リストを用いてもよい。
管理下ファイル情報は、ファイル管理処理の管理下のファイルに関連する関連ファイルの詳細が登録された情報である。なお、第1の検出リストと、第2の検出リストと、検出除外リストと、管理下ファイル情報とについては後で図11−13を用いて詳細に説明する。
なお、第1の検出リストと、第2の検出リストと、検出除外リストと、管理下ファイル情報のファイルとについては、検出部211の検出対象とならないように設定されている。なお、検出部211の検出対象とならないように設定する方法としては、例えばファイル形式を管理対象ファイル形式以外のファイル形式とする方法、検出除外範囲内に記憶させる方法、予め検出の例外ファイルとして登録する方法等がある。
第2記憶部230は、揮発性の記憶部である。第2記憶部230は、例えば、RAM等のメモリ202(図3参照)によって実現される。第2記憶部230は、揮発性の記憶部であるため電源がOFF(すなわち、給電がなくなると)になると記憶していた情報を消失する。第2記憶部230は、作業領域231と、保存領域232とを有する。
作業領域231は、データ処理等において一時的に使用される記憶領域である。作業領域231は、プロセッサ201に実行させるOSのプログラムやアプリケーションプログラムの少なくとも一部が一時的に格納される領域である。また、作業領域231は、プロセッサ201による処理に必要な各種データが格納される領域である。作業領域231は、原ファイル400のファイル操作を行う場合に用いられる。
保存領域232は、仮想的なディスクドライブとして用いられる領域であり、RAMディスクともいう。RAMディスクは、ハードディスクに比べてデータのやり取りを高速に実行可能である。RAMディスクは、電源を切ると、保存されていたデータを消失する。
サーバ100は、記憶部110を有する。記憶部110は、不揮発性の記憶部である。記憶部110は、ファイル管理処理部210から送信された原ファイル400と分散ファイル402を記憶する。また、記憶部110は、ログ出力部212から受け付けたログを蓄積して記憶する。
可搬型端末300は、表示部310と、記憶部320を有する。表示部310は、ログ出力部212から受け付けたログを表示する。記憶部320は、揮発性の記憶部である。記憶部320は、操作者が社外で使用する予定の原ファイル400に対応する分散ファイル402を記憶する。また、記憶部320は、ログ出力部212から受けたログを蓄積して記憶する。
次にファイル管理処理部210による原ファイル400の取得の流れについて図5を用いて説明する。図5は、第2の実施形態のファイル管理処理部による原ファイルの取得の流れを説明するための図である。なお、以下では、情報処理装置200の電源OFF(電力の供給が継続されない状態ともいう)によっても消失しないファイルについては実線で示し、情報処理装置200の電源OFFによって消失するファイルについては破線で示すこととする。
図5(a)は、情報処理装置200が社内(すなわち、連携先がサーバ100である場合)において管理下のファイルの原ファイル400の表示要求を受け付けた場合の処理の流れの一例を示す。なお、表示要求は、ファイル操作の一例である。
ファイル管理処理部210は、記憶部110から原ファイル400を取得して作業領域231に読み出し(P11)、読み出した原ファイル400を表示する(P12)。
なお、ファイル管理処理部210は、原ファイル400を直接作業領域231に読み出すことに限らない。たとえば、ファイル管理処理部210は、原ファイル400を一旦保存領域232に記憶させた後、保存領域232に記憶させた原ファイル400を作業領域231に読み出すようにしてもよい。
図5(b)は、情報処理装置200が社内において管理下のファイルの原ファイル400の表示要求を受け付けた場合の処理の流れの一例を示す。
ファイル管理処理部210は、記憶部110から分散ファイル402を取得して保存領域232に記憶させる(P21)。ファイル管理処理部210は、第1記憶部220が記憶する分散ファイル401と、保存領域232に記憶させた分散ファイル402とに基づいて原ファイル400を保存領域232内に復号する(P22)。ファイル管理処理部210は、保存領域232内に復号した原ファイル400を作業領域231に読み出し(P23)、読み出した原ファイル400を表示する(P24)。
例えば、ファイル管理処理部210は、社内の通信状況(例えば通信速度)に応じて図5(a)に示した処理と図5(b)に示した処理のうちいずれの処理をおこなうかを決定する。
図5(c)は、情報処理装置200が社外(すなわち、連携先が可搬型端末300である場合)において管理下のファイルの原ファイル400の表示要求を受け付けた場合の処理の流れの一例を示す。
ファイル管理処理部210は、記憶部320から分散ファイル402を取得して保存領域232に記憶させる(P31)。ファイル管理処理部210は、第1記憶部220が記憶する分散ファイル401と、保存領域232に記憶させた分散ファイル402とに基づいて原ファイル400を保存領域232内に復号する(P32)。ファイル管理処理部210は、保存領域232内に復号した原ファイル400を作業領域231に読み出し(P33)、読み出した原ファイル400を表示する(P34)。
以上が、原ファイル400の表示要求(管理下のファイルの表示要求ともいう)を受け付けた場合の処理の流れである。このようにファイル管理処理部210は、原ファイル400を第2記憶部230に記憶させてファイル操作可能とすることで、原ファイル400が情報処理装置200内に継続して存在したままにならないようにできる。これにより、情報処理装置200は、原ファイル400の流出による情報漏洩を防止できる。
また、情報処理装置200は、サイズの大きい分散ファイル401を情報処理装置200内に記憶させているため、原ファイル400を復号して取得するとき、外部から取得する分散ファイル402のファイルサイズを小さくすることができる。これにより、情報処理装置200は、復号要求を受け付けてから復号に用いる分散ファイル402を準備するまでに要する時間を短縮できる。これにより、情報処理装置200は、ファイル管理処理のユーザビリティを向上できる。
次に管理下のファイルの原ファイル400が更新された場合に各装置が記憶する管理下のファイルに関連する関連ファイルを更新する流れについて図6−8を用いて説明する。
図6は、第2の実施形態の管理下のファイルの原ファイルが更新された場合に各装置が記憶する管理下のファイルに関連する関連ファイルを更新する処理の流れを説明するための図(その1)である。図7は、第2の実施形態の管理下のファイルの原ファイルが更新された場合に各装置が記憶する管理下のファイルに関連する関連ファイルを更新する処理の流れを説明するための図(その2)である。図8は、第2の実施形態の管理下のファイルの原ファイルが更新された場合に各装置が記憶する管理下のファイルに関連する関連ファイルを更新する処理の流れを説明するための図(その3)である。なお、ここでは、最新の状態のファイルについては黒塗りで示し、最新の状態でないファイルについては白塗りで示すこととする。
図6は、情報処理装置200を社内で操作中に管理下のファイルの原ファイル400の更新が行われた場合の処理の流れの一例を示す。なお、ここでは、管理下のファイルの原ファイル400を作業領域231に直接読み出して操作した状態(具体的には図5(a)の状態)において更新が行われた場合を示している。
ファイル管理処理部210は、作業領域231において操作されている原ファイル400の更新要求を受け付けると(P41)、原ファイル400を保存領域232に記憶させる(P42)。ファイル管理処理部210は、保存領域232に記憶させた原ファイル400を分散ファイル401と、分散ファイル402とに分散する。そして、ファイル管理処理部210は、第1記憶部220が記憶する分散ファイル401を最新の状態に更新し、分散ファイル402を保存領域232に新たに記憶させる(P43)。ファイル管理処理部210は、サーバ100の記憶部110が記憶する分散ファイル402及び原ファイル400を同時に最新の状態に更新する(P44)。
図7は、情報処理装置200を社内で操作中に管理下のファイルの原ファイル400の更新が行われた場合の処理の流れの一例を示す。なお、ここでは、管理下のファイルの原ファイル400を作業領域231に直接読み出して操作した状態(具体的には図5(a)の状態)において更新が行われた場合を示している。
ファイル管理処理部210は、作業領域231において操作されている原ファイル400の更新要求を受け付けると(P51)、作業領域231の原ファイル400を保存領域232に記憶させる(P52)。ファイル管理処理部210は、保存領域232に記憶させた原ファイル400を分散ファイル401と、分散ファイル402とに分散する。そして、ファイル管理処理部210は、第1記憶部220が記憶する分散ファイル401を最新の状態に更新し、保存領域232に分散ファイル402を新たに記憶させる(P53)。ファイル管理処理部210は、サーバ100の記憶部110の分散ファイル402を更新し(P54)、原ファイル400を更新する(P55)。
例えば、ファイル管理処理部210は、社内の通信状況(例えば、通信速度)に応じて図6に示した処理と図7に示した処理のうちいずれの処理をおこなうかを決定する。
図8は、情報処理装置200を社外で操作中に管理下のファイルの原ファイル400の更新が行われた場合の処理の流れの一例を示す。ファイル管理処理部210は、作業領域231において操作されている原ファイル400の更新要求を受け付けると(P61)、保存領域232が記憶する原ファイル400を最新の状態に更新する(P62)。ファイル管理処理部210は、保存領域232に記憶させた原ファイル400を分散ファイル401と、分散ファイル402とに分散する。そして、ファイル管理処理部210は、第1記憶部220が記憶する分散ファイル401を最新の状態に更新し、保存領域232が記憶する分散ファイル402を最新の状態に更新する(P63)。ファイル管理処理部210は、可搬型端末300の記憶部320が記憶する分散ファイル402を最新の状態に更新する(P64)。その後、ファイル管理処理部210は、情報処理装置200を社内で使用する際(サーバ100と接続した後)に、可搬型端末300との接続を要求し、可搬型端末300の記憶部320が記憶する分散ファイル402を、保存領域232に記憶させる(P65)。ファイル管理処理部210は、保存領域232が記憶する分散ファイル402と、第1記憶部220が記憶する分散ファイル401とに基づいて原ファイル400を保存領域232内に復号する(P66)。そして、ファイル管理処理部210は、サーバ100の記憶部110が記憶する分散ファイル402及び原ファイル400を同時に最新の状態に更新する(P67)。
なお、ファイル管理処理部210は、同時に更新するのに替えて、図7で示したようにバラバラのタイミングで更新するようにしてもよい。
このようにファイル管理処理部210は、管理下のファイルの原ファイル400の更新に伴って、各装置が記憶する管理下のファイルに関連する関連ファイルを次々に更新することで、関連ファイルを最新の状態に保つことができる。
次に新規に作成されたファイルをファイル管理処理の管理下に追加する場合の処理の流れについて図9,10を用いて説明する。図9は、第2の実施形態の新規に作成されたファイルをファイル管理処理で管理する場合の処理の流れを説明するための図(その1)である。図10は、第2の実施形態の新規に作成されたファイルをファイル管理処理で管理する場合の処理の流れを説明するための図(その2)である。
なお、ファイル管理処理部210は、ファイル管理処理の管理下では操作者が第2記憶部230に新規のファイルを作成するように制御し、第2記憶部230に作成された新規ファイルをファイル管理処理の管理下に追加する。
例えば、ファイル管理処理部210は、仮想化技術により、仮想フォルダを作成し、ファイル管理処理の実行管理下においては操作者が当該作成された仮想フォルダにのみアクセス可能とする。そのうえで、ファイル管理処理部210は、仮想フォルダ内に新規のファイルを作成した場合の記憶先を保存領域232と予め設定することで、ファイル管理処理部210の実行管理下においては保存領域232に新規のファイルが作成されるように制限する。これにより、ファイル管理処理部210は、ファイル管理処理の実行管理下においては操作者が新規のファイルを第1記憶部220に作成困難に制御している。
仮想フォルダは、実際の保存場所(記憶場所ともいう)に関係なく、ファイルをまとめて管理できるフォルダである。仮想フォルダは、関連するファイルが複数のフォルダやドライブに分散していても、あたかも1つのフォルダ内に存在しているかの如くあつかうことができるものである。なお、以下では、ファイル管理処理部210は、ファイル管理処理の実行管理下においては操作者が仮想フォルダにのみアクセス可能にしているものとして説明する。
図9は、社内で操作中に新規に作成したファイルを、ファイル管理処理の管理下に新たに追加する場合の処理の流れの一例を示す。
ファイル管理処理部210は、保存領域232に新規の原ファイル400(ファイル管理処理において新規に管理下におくファイルの原ファイル400ともいう)が作成されると(P71)、新規の原ファイル400を分散ファイル401と、分散ファイル402とに分散する。そして、ファイル管理処理部210は、分散ファイル401を第1記憶部220に新たに記憶させ、分散ファイル402を保存領域232に新たに記憶させる(P72)。ファイル管理処理部210は、サーバ100の記憶部110に分散ファイル402及び新規の原ファイル400を同時に新たに記憶させる(P73)。
なお、ファイル管理処理部210は、同時に新たに記憶させるのに替えて、図7で示したようにバラバラのタイミングで記憶させるようにしてもよい。
図10は、社外で操作中に新規に作成したファイルを、ファイル管理処理の管理下に新たに追加する場合の処理の流れの一例を示す。
ファイル管理処理部210は、保存領域232に新規の原ファイル400が作成されると(P81)、新規の原ファイル400を分散ファイル401と、分散ファイル402とに分散する。そして、ファイル管理処理部210は、分散ファイル401を第1記憶部220に新たに記憶させ、分散ファイル402を保存領域232に新たに記憶させる(P82)。ファイル管理処理部210は、可搬型端末300の記憶部320に分散ファイル402を新たに記憶させる(P83)。その後、ファイル管理処理部210は、情報処理装置200を社内で使用する際(サーバ100と接続した後)に、可搬型端末300との接続を要求し、可搬型端末300の記憶部320が記憶する分散ファイル402を、保存領域232に記憶させる(P84)。ファイル管理処理部210は、保存領域232が記憶する分散ファイル402と、第1記憶部220が記憶する分散ファイル401とに基づいて新規の原ファイル400を保存領域232内に復号する(P85)。そして、ファイル管理処理部210は、サーバ100の記憶部110に分散ファイル402及び新規の原ファイル400を同時に新たに記憶させる(P86)。
なお、ファイル管理処理部210は、同時に更新するのに替えて、図7で示したようにバラバラのタイミングで更新するようにしてもよい。
このようにファイル管理処理部210は、新規に管理下におくファイルの原ファイルの作成に伴って、関連ファイルを各装置に記憶させることで情報処理装置200だけでは原ファイル400を取得できない状態として新規の管理下のファイルを管理する。
次に管理下ファイル情報について図11を用いて説明する。図11は、第2の実施形態の管理下ファイル情報の一例を示す図である。なお、管理下ファイル情報においては、パソコンは、情報処理装置200を指し、サーバは、サーバ100を指し、スマホは、可搬型端末300を指すものとする。また、パソコンのcドライブは第1記憶部220に対応し、dドライブはRAMディスク(保存領域232ともいう)に対応するものとする。
管理下ファイル情報は、ファイル管理処理の管理下のファイルに関連する関連ファイルの詳細が登録された情報である。管理下ファイル情報には、管理下のファイルごとのレコードが登録されている。
管理下ファイル情報は、見かけ上のファイルの項目と、原ファイルの項目と、分散ファイル(小)の項目と、分散ファイル(大)の項目と、持ち出し中の分散ファイル(小)の項目と、一時記憶中の分散ファイル(小)の項目と、一時記憶中の原ファイルの項目とを含む。
見かけ上のファイルは、ファイル管理処理の実行管理下において操作者に対して情報処理装置200内に存在しているかのようにファイル管理処理部210がアプリケーションを用いて表示する仮想のファイルであり、実際には実在しないものである。ファイル管理処理部210は、ファイル管理処理の実行中に仮想フォルダ内に当該ファイルが存在しているように表示する。
ファイル管理処理では、原ファイル400を情報処理装置200内に取得するまでの間、原ファイル400が情報処理装置200内に存在しない。そのためファイル管理処理部210は、実際には存在しない原ファイル400を見かけ上存在するかのように仮想フォルダ内に表示することで操作者に原ファイル400が操作可能であることを把握可能にしている。
見かけ上のファイルの項目は、ファイル管理処理部210が存在しているように表示するファイルの詳細が登録される項目である。見かけ上のファイルの項目は、ファイルの項目と、デバイスの項目と、パスの項目とを含む。
見かけ上のファイルのファイルの項目は、ファイル管理処理部210が表示する見かけ上のファイルの名称が登録される項目である。見かけ上のファイルのデバイスの項目は、ファイル管理処理部210が表示する見かけ上のファイルの記憶場所(所在ともいう)として表示するデバイスの名称が登録される項目である。見かけ上のファイルのパスの項目は、ファイル管理処理部210が表示する見かけ上のファイルのデバイス内における記憶場所として表示する場所を示す情報が登録される項目である。
原ファイルの項目は、サーバ100の記憶部110に記憶されている原ファイル400の詳細が登録される項目である。原ファイルの項目は、ファイルの項目と、デバイスの項目と、パスの項目と、同期の項目と、サイズの項目とを含む。
原ファイルのファイルの項目は、原ファイル400のファイル名が登録される項目である。原ファイルのデバイスの項目は、原ファイル400が記憶されたデバイスの名称が登録される項目である。原ファイルのパスの項目は、原ファイル400のデバイス内における記憶場所を示す情報が登録される項目である。同期は、最新の状態に保たれているか否か(最新の状態と同期しているか否かともいう)を示す情報である。原ファイルの同期の項目は、原ファイル400が最新の状態に保たれている場合には「ON」が登録され、原ファイル400が最新の状態に保たれていない場合には「OFF」が登録される項目である。原ファイルのサイズの項目は、原ファイル400のサイズが登録される項目である。
分散ファイル(小)の項目は、サーバ100の記憶部110に記憶されている分散ファイル402の詳細が登録される項目である。分散ファイル(小)の項目は、ファイルの項目と、デバイスの項目と、パスの項目と、同期の項目と、サイズの項目とを含む。
分散ファイル(小)のファイルの項目は、分散ファイル402のファイル名が登録される項目である。分散ファイル(小)のデバイスの項目は、分散ファイル402が記憶されたデバイスの名称が登録される項目である。分散ファイル(小)のパスの項目は、分散ファイル402のデバイス内における記憶場所を示す情報が登録される項目である。分散ファイル(小)の同期の項目は、分散ファイル402が最新の状態に保たれている場合には「ON」が登録され、分散ファイル402が最新の状態に保たれていない場合には「OFF」が登録される項目である。分散ファイル(小)のサイズの項目は、分散ファイル402のサイズが登録される項目である。
分散ファイル(大)の項目は、情報処理装置200の第1記憶部220に記憶されている分散ファイル401の詳細が登録される項目である。分散ファイル(大)の項目は、ファイルの項目と、デバイスの項目と、パスの項目と、同期の項目と、サイズの項目とを含む。
分散ファイル(大)のファイルの項目は、分散ファイル401のファイル名が登録される項目である。分散ファイル(大)のデバイスの項目は、分散ファイル401が記憶されたデバイスの名称が登録される項目である。分散ファイル(大)のパスの項目は、分散ファイル401のデバイス内における記憶場所を示す情報が登録される項目である。分散ファイル(大)の同期の項目は、分散ファイル401が最新の状態に保たれている場合には「ON」が登録され、分散ファイル401が最新の状態に保たれていない場合には「OFF」が登録される項目である。分散ファイル(大)のサイズの項目は、分散ファイル401のサイズが登録される項目である。
持ち出し中の分散ファイル(小)の項目は、可搬型端末300の記憶部320に記憶されている分散ファイル402(社外で使用するために持ち出している分散ファイル402ともいう)の詳細が登録される項目である。持ち出し中の分散ファイル(小)の項目は、ファイルの項目と、デバイスの項目と、パスの項目と、同期の項目と、サイズの項目とを含む。なお、分散ファイル402を持ち出していない場合には当該持ち出し中の分散ファイル(小)の各項目は空欄となる。
持ち出し中の分散ファイル(小)のファイルの項目は、持ち出し中の分散ファイル402のファイル名が登録される項目である。持ち出し中の分散ファイル(小)のデバイスの項目は、持ち出し中の分散ファイル402が記憶されたデバイスの名称が登録される項目である。持ち出し中の分散ファイル(小)のパスの項目は、持ち出し中の分散ファイル402のデバイス内における記憶場所を示す情報が登録される項目である。持ち出し中の分散ファイル(小)の同期の項目は、持ち出し中の分散ファイル402が最新の状態に保たれている場合には「ON」が登録され、持ち出し中の分散ファイル402が最新の状態に保たれていない場合には「OFF」が登録される項目である。持ち出し中の分散ファイル(小)のサイズの項目は、持ち出し中の分散ファイル402のサイズが登録される項目である。
一時記憶中の分散ファイル(小)の項目は、ファイル管理処理によって情報処理装置200の保存領域232内(RAMディスク内ともいう)に一時的に記憶されている分散ファイル402の詳細が登録される項目である。一時記憶中の分散ファイル(小)の項目は、ファイルの項目と、デバイスの項目と、パスの項目と、同期の項目と、サイズの項目とを含む。なお、ファイル管理処理によって情報処理装置200の保存領域232内に分散ファイル402が記憶されていない場合には当該一時記憶中の分散ファイル(小)の各項目は空欄となる。
一時記憶中の分散ファイル(小)のファイルの項目は、一時記憶中の分散ファイル402のファイル名が登録される項目である。一時記憶中の分散ファイル(小)のデバイスの項目は、一時記憶中の分散ファイル402が記憶されたデバイスの名称が登録される項目である。一時記憶中の分散ファイル(小)のパスの項目は、デバイス内における一時記憶中の分散ファイル402の記憶場所を示す情報が登録される項目である。一時記憶中の分散ファイル(小)の同期の項目は、一時記憶中の分散ファイル402が最新の状態に保たれている場合には「ON」が登録され、一時記憶中の分散ファイル402が最新の状態に保たれていない場合には「OFF」が登録される項目である。一時記憶中の分散ファイル(小)のサイズの項目は、一時記憶中の分散ファイル402のサイズが登録される項目である。
一時記憶中の原ファイルの項目は、ファイル管理処理によって情報処理装置200の保存領域232内に一時的に記憶されている原ファイル400の詳細が登録される項目である。一時記憶中の原ファイルの項目は、ファイルの項目と、デバイスの項目と、パスの項目と、同期の項目と、サイズの項目とを含む。なお、ファイル管理処理によって情報処理装置200の保存領域232内に原ファイル400が記憶されていない場合には当該一時記憶中の原ファイルの各項目は空欄となる。
一時記憶中の原ファイルのファイルの項目は、一時記憶中の原ファイルのファイル名が登録される項目である。一時記憶中の原ファイルのデバイスの項目は、一時記憶中の原ファイル400が記憶されたデバイスの名称が登録される項目である。一時記憶中の原ファイルのパスの項目は、デバイス内における一時記憶中の原ファイル400の記憶場所を示す情報が登録される項目である。一時記憶中の原ファイルの同期の項目は、一時記憶中の原ファイル400が最新の状態に保たれている場合には「ON」が登録され、一時記憶中の原ファイル400が最新の状態に保たれていない場合には「OFF」が登録される項目である。一時記憶中の原ファイルのサイズの項目は、一時記憶中の原ファイル400のサイズが登録される項目である。
このような管理下ファイル情報を備えることで、情報処理装置200は、各装置が記憶している管理下のファイルに関連する関連ファイルの状態を把握可能としている。
次に検出リストについて図12を用いて説明する。図12は、第2の実施形態の検出リストの一例を示す図である。
図12(a)は、第1の検出リストの一例を示す。第1の検出リストは、検出範囲から除外する検出除外範囲が設けられた管理対象ファイル形式が登録された情報である。第1の検出リストは、管理対象ファイル形式の項目を含む。
管理対象ファイル形式の項目には、非業務ファイルのファイル形式として利用される可能性が高い管理対象ファイル形式が登録される。例えば、第1の検出リストの管理対象ファイル形式の項目には、全ての管理対象ファイル形式のうち第1記憶部220内に記憶されている非業務ファイル(例えば、システムファイル)のファイル形式として利用されている管理対象ファイル形式が登録される。
一般に、日々のOSの更新やアプリケーションプログラムの更新等によって作成される非業務ファイルは、以前に作成された非業務ファイルと同じファイル形式で作成される。そこで、第1記憶部220内に記憶されている非業務ファイルのファイル形式としてファイル管理システムの導入時点において利用されている管理対象ファイル形式を、非業務ファイルのファイル形式として利用される可能性が高い管理対象ファイル形式として登録する。
図12(b)は、第2の検出リストの一例を示す。第2の検出リストは、全ての範囲を検出範囲とする(検出範囲から除外する検出除外範囲が設けられていない)管理対象ファイル形式が登録された情報である。第2の検出リストは、管理対象ファイル形式の項目を含む。
第2の検出リストの管理対象ファイル形式の項目には、全ての管理対象ファイル形式のうち、第1の検出リストに登録されていない管理対象ファイル形式が登録される。
次に検出除外リストについて図13を用いて説明する。図13は、第2の実施形態の検出除外リストの一例を示す図である。
検出除外リストは、第1の検出リストに登録された管理対象ファイル形式のファイルを検出する時に、検出範囲から除外する検出除外範囲が登録された情報である。検出除外リストは、検出除外範囲の項目を含む。
検出除外リストの検出除外範囲の項目には、OSの更新やアプリケーションプログラムの更新等によってファイルが作成されるフォルダ(例えば、OSのシステムファイルが作成されるフォルダ)が登録される。
次に開始ログの出力の流れについて図14を用いて説明する。図14は、第2の実施形態のファイル管理処理の開始処理の流れを示すフローチャートである。
ファイル管理処理の開始処理は、情報処理装置200(情報処理装置200のOSともいう)の起動時に行われる処理である。情報処理装置200は、ファイル管理処理の開始処理を完了した後に、操作者による管理下のファイルの原ファイル400のファイル操作を可能とする。
[ステップS1]ファイル管理処理部210は、原ファイルを取得するために連携する外部記憶装置を決定する。ファイル管理処理部210は、サーバ100と接続可能である場合にはサーバ100を連携先として決定する。ファイル管理処理部210は、サーバ100と接続不可能であって、可搬型端末300と接続可能である場合には可搬型端末300を連携先として決定する。
[ステップS2]ログ出力部212は、開始ログを連携先に出力し、ファイル管理処理の開始処理を終了する。
次に証拠ログの出力の流れについて図15を用いて説明する。図15は、第2の実施形態のファイル管理処理の終了処理の流れを示すフローチャートである。
ファイル管理処理の終了処理は、情報処理装置200のOSの停止入力を検知した場合に行われる処理である。情報処理装置200は、ファイル管理処理の終了処理を完了すると、OSの停止状態(具体的には、スリープ状態、休止状態またはシャットダウン状態等)に移行する。
[ステップS11]ファイル管理処理部210は、OSの停止状態への移行前に処理を実行できる一時退避モード(AWAYモード)を開始する。
[ステップS12]検出部211は、第1記憶部220から危険ファイルを検出する。検出部211は、第1の検出リストと検出除外リストとを用いて、第1記憶部220の検出除外範囲以外の範囲から危険ファイルを検出する。また、検出部211は、第2の検出リストを用いて、第1記憶部220の全体から危険ファイルを検出する。
[ステップS13]検出部211は、停止状態としてシャットダウン状態へ移行するか否かを判定する。すなわち、検出部211は、OSの停止状態において電力の供給が継続されるか否かを判定する。
検出部211は、シャットダウン状態へ移行する、すなわち、OSの停止状態において電力の供給が継続されないと判定した場合にステップS15に進む。検出部211は、スリープ状態または休止状態に移行する、すなわち、OSの停止状態において電力の供給が継続されると判定した場合にステップS14に進む。
[ステップS14]検出部211は、第2記憶部230から危険ファイルを検出する。検出部211は、ファイル操作を実行中の原ファイル400を危険ファイルとして検出する。
[ステップS15]ログ出力部212は、危険ファイルの検出結果を含む証拠ログを連携先に出力すると、ファイル管理処理の終了処理が終了し、情報処理装置200は、停止状態に移行する。
このように情報処理装置200は、危険ファイルを検出し、検出結果を連携先へと出力することで危険ファイルが存在することを把握させることができる。このように危険ファイルが存在することを把握させることで、操作者による対応を促すことができるので、情報処理装置200は、危険ファイルの流出による情報漏洩を防止できる。すなわち、情報処理装置200は、ファイル管理処理の実効性を担保できる。
また、情報処理装置200は、危険ファイルが存在しない場合には、検出結果を出力することで、安全性が確保できていること、すなわち、危険ファイルがないことを通知し、安心感を与えることができる。また、情報処理装置200は、情報処理装置200から離れる可能性が高いタイミングにおいて検出処理を実行しているため、検出結果を出力することにより、操作者が情報処理装置200から安心して離れられるようにできる。
次にログを用いた接続検証処理の流れについて図16を用いて説明する。図16は、第2の実施形態の接続検証処理の流れを示すフローチャートである。接続検証処理は、ファイル管理処理の実行中に行われる処理であり、ファイル管理処理の実行中に生じた不適切な切断を検出する。
[ステップS21]接続検証部213は、連携先が記憶するログ(開始ログ及び証拠ログを含む)を取得する。
[ステップS22]接続検証部213は、各ログの受信状況(具体的にはタイムスタンプ)に基づいて証拠ログの受信を挟まずに開始ログを連続して受信しているか否かを判定する。接続検証部213は、開始ログを連続して受信していると判定した場合にはステップS23に進み、開始ログを連続して受信していないと判定した場合にはステップS24に進む。
[ステップS23]接続検証部213は、不適切な切断があったと判定する。
[ステップS24]接続検証部213は、不適切な切断がなかったと判定する。
[ステップS25]接続検証部213は、検証結果を情報処理装置200の表示画面に出力し、接続検証処理を終了する。
このような不適切な切断としては、社外で使用している場合において操作者が情報処理装置200のOSが完全に停止状態に移行する前に可搬型端末300を持って情報処理装置200から離れてしまった場合がある。すなわち、不適切な切断が発生している場合には、OSが完全に停止状態に移行するまでの間に操作者が情報処理装置200を支配下(監視下ともいう)に置いていない期間があり、第三者が情報処理装置200から機密情報を取得可能な余地が生じていたと考えられる。
そこで、情報処理装置200は、このような不適切な切断を検証し、検証結果を操作者に通知することで、不適切な切断の再発防止を促して第三者が情報処理装置200から機密情報を取得可能な余地が発生しないようにする。これにより情報処理装置200は、情報漏洩が発生するのを防止できる。
なお、開示の技術は上述した実施形態に限定されるものではなく、本実施形態の趣旨を逸脱しない範囲で種々変形して実施することができる。本実施形態の各構成及び各処理は、必要に応じて取捨選択することができ、あるいは適宜組み合わせてもよい。