JP6761921B2 - 電子データの管理方法、管理プログラム、及びプログラムの記録媒体 - Google Patents

電子データの管理方法、管理プログラム、及びプログラムの記録媒体 Download PDF

Info

Publication number
JP6761921B2
JP6761921B2 JP2015212397A JP2015212397A JP6761921B2 JP 6761921 B2 JP6761921 B2 JP 6761921B2 JP 2015212397 A JP2015212397 A JP 2015212397A JP 2015212397 A JP2015212397 A JP 2015212397A JP 6761921 B2 JP6761921 B2 JP 6761921B2
Authority
JP
Japan
Prior art keywords
electronic data
control
access
data
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015212397A
Other languages
English (en)
Other versions
JP2017084141A (ja
Inventor
幸市郎 小路
幸市郎 小路
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Science Park Corp
Original Assignee
Science Park Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Science Park Corp filed Critical Science Park Corp
Priority to JP2015212397A priority Critical patent/JP6761921B2/ja
Publication of JP2017084141A publication Critical patent/JP2017084141A/ja
Application granted granted Critical
Publication of JP6761921B2 publication Critical patent/JP6761921B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Description

本発明は、電子データの管理を行うための電子データの管理システムに関する。詳しくは、電子データのファイルへアクセスするとき、電子計算機、その通信ネットワークから情報漏洩する通信機能を停止又は一時停止し、そのアクセスを追跡して制御するための電子データの管理方法、管理プログラム、及びプログラムの記録媒体に関する。
個人情報、ビジネスのノウハウは、電子データの形式でファイルとして電子計算機、記憶装置、記録媒体に保存されることが多い。電子データが保存された電子計算機、記憶装置は、ネットワークに接続されて利用されることが多い。ネットワークは、ローカルエリアネットワーク(LAN)、ワイドエリアネットワーク(WAN)、インターネット、クラウドネットワーク等のように様々な形態があり、個人利用から商業利用まで日常的に利用されている。
ユーザは、電子計算機を操作して、電子データのファイルにアクセスし、それを開いて操作中の電子計算機の画面に表示して閲覧する。また、ユーザは、このファイルを印刷装置で印刷して、又は、記録媒体に記録して複製することができる。更に、ユーザは、このファイルを電子メールに添付して他者、他の電子計算機、ネットワーク上のメールアドレスに送信することも、ネットワーク上のサービスを利用してこのファイルを外部へ送信又は提供することもできる。
このようにファイルにアクセスした履歴、特にファイルの閲覧、編集、複写、印刷、送信等の履歴を取得して緊密に管理することは、電子データのトレーサビリティを実現する上で、又、ビジネスのノウハウを守る上で大事である。例えば、顧客データ、個人データ、財務データ、製品の設計書等の厳重に管理しなければならない重要データは、その組織から外部へ流出又は漏洩する。組織の内部の人間が複製して持ち出すことも、外部からネットワークを経由で重要データのファイルにアクセスして持ち出すこともある。
電子データの外部流出を防止することを実現するためには、コンピュータウィルスを検知して、そのウィルスの実行を停止又は遮断することが従来から行われている。また、悪意のあるプログラムであるマルウェアに感染した端末をネットワークから遮断するシステムが提案されている。更に、従来から電子データの形式で保存されているファイルの管理を行う管理システムが様々な方式で提案されている。ウィルス対策ソフトウェアから機密情報漏洩対策システムを導入して、電子計算機の電子データを保護している。
これらのシステムでは、電子データへのアクセスを拒否又はこのアクセスの行為を特定し、電子データの漏洩を未然に防ぐ対策をとっている。このような対策をとっても、電子データの漏洩を完全に防ぐことが実現されていない。電子データを漏洩させようとする悪意のあるユーザは、最先端の様々な方法で電子計算機を攻撃している。更に、電子計算機を利用するユーザグループ内から電子データを漏洩させる内部漏洩もある。電子データの漏洩対策について様々な方法とシステムが開示されており、いくつかを例示する。
例えば、特許文献1には、ネットワークシステムを介して送受信される印刷データの機密性を総合的に図ると共に、印刷される文書データのトレーサビリティの向上を図る文書総合管理システムを開示している。この文書総合管理システムは、アクセス権管理者の認証と、アクセス権の設定と、文書にアクセスするユーザの認証を行う。また、文書の管理情報を保持する文書管理サーバと、ユーザが用いるPC等の情報処理装置であって、ユーザの認証とユーザが文書の印刷を指定するとき認証を行う。
これと同時に、印刷ウォーターマークの生成と、印刷ログの管理を行うプリンタサーバと、印刷物受取者の認証を行い、プリンタサーバから送られる文書を印刷するプリンタを備えている。また、コピーログの管理とコピーウォーターマークの管理を行い、コピー文書の管理をするコピーサーバと、ウォーターマークの抽出及びコピーをする者の認証を行うと共に、文書をコピーするコピー機を備えている。
また、クライアントに提供されたユーザデータを複製して目的以外に利用できないように監視するためのデータ管理方法が開示されている(特許文献2を参照)。この方法では、管理プログラムを利用して、ユーザデータへのアクセスを監視して、予め用意されたプロセス制御リストに従って、そのアクセスを許可するか否かの制御を行っている。この管理プログラムは、オペレーティングシステムのカーネルモードで動作し、デバイスドライバとアプリケーションプログラムの通信に共通のインターフェースを提供するためのドライバウェアを内蔵するものである。
ユーザデータを格納した記憶装置がクライアントコンピュータに接続されたとき、データ管理プログラムは、全ての外部記憶装置への書き込みを禁止し、ネットワークの使用を禁止する設定をし、実行ファイルのファイル名、フォルダ名、属性データ、実行しているプロセスのプロセス名とプロセスIDを取得している。ドライバウェアは、カーネルモードで動作し、デバイスドライバを制御しているため、他のアプリケーションプログラムやプロセスに影響がなく、高い秘密性が実現できる。
特開2004−280227号公報 国際公開WO2007/049625号広報
しかしながら、このようにウィルス対策ソフトウェアや電子データ管理システムが運用されていても、電子データの漏洩が様々な方法で行われているのが現状である。例えば、ユーザは、携帯用の記憶装置又は記録媒体にユーザデータを記録して、クライアントに提供することがよくある。このユーザデータはクライアントのシステムから外部へ流出することがある。
また、ユーザは、電子メールに添付されたファイルを開いたとき、そのファイルが実行し、ユーザの電子計算機、又は、ユーザが接続されているネットワーク内の電子計算機から電子データを取得して外部へ流出させることがある。更に、ユーザが電子メールに添付されたファイルを開いたとき、そのファイルが実行し、ユーザが接続されているネットワーク内の電子計算機に感染し、同じく電子データを取得して外部へ流出させることがある。
従来の対策は、コンピュータウィルス、マルウェアの実行を検知し、それを解析し、コンピュータウィルスやマルウェアの動作を停止又は遮断するものである。コンピュータウィルスとマルウェアは、常時、新しい種類、新しい機能を備えたものが作成され、様々な方法や系統で出回っている。これらのコンピュータウィルスとマルウェアの種類と機能を特定してから、それに対する対策を行う従来の方法では、後手になるので、情報漏洩の対策に限界がある。
更に、重要データが格納されている電子計算機をネットワークから遮断してスタンドアローン状態で利用する手法があるが、この場合、ウィルス対策ソフトウェア、アプリケーションソフトウェア、オペレーティングシステム等のアップデートができない状態になり、システムの最新状態を保つことができない。そして、携帯メモリ等を利用して、電子データをこの電子計算機に複製し格納して利用し、また、この電子計算機から持ち出すことが行われる。携帯メモリにマルウェアやコンピュータウィルスが介在することがあり、特に、アップデートして最新状態を保っていない電子計算機が狙われやすい。
このように、厳重に管理しなければならない重要な電子ファイルに対して、その漏洩が防止でき、電子データのファイルに焦点を当てたセキュリティ対策が求められている。
本発明は上述のような技術背景のもとになされたものであり、下記の目的を達成する。
本発明の目的は、重要な電子データへアクセスしたとき、電子計算機、その通信ネットワークから情報漏洩する通信機能を停止又は一時停止し、そのアクセスを追跡して制御するための電子データの管理方法、管理プログラム、及びプログラムの記録媒体を提供することにある。
本発明の他の目的は、重要な電子データへのアクセスが予め想定されていない場合、そのアクセスが解明されるまでに、電子データへのアクセスを遮断し、電子データが流出する系統を遮断して、セキュリティ対策を講じる電子データの管理方法、管理プログラム、及びプログラムの記録媒体を提供することにある。
本発明は、前記目的を達成するため、次の手段を採る。
本発明の発明1の電子データの管理方法は、
電子計算機で電子データへのアクセスを監視し、前記アクセスを追跡して、前記電子データの漏洩を防止する電子データの管理方法において、
前記電子データの重要度を示すレベルと、前記電子データにアクセスするユーザ権限で、かつ、前記電子データのレベルに応じた前記ユーザ権限と、前記電子計算機で動作するアプリケーションプログラムの実行ファイル、又は前記実行ファイルのプロセスが、前記電子データへのアクセスを許可、若しくは不許可するアクセス権限を定めた電子データ管理データベースが作成され、
前記電子計算機の記憶装置に格納されている前記電子データのファイルにアクセスするとき、前記記憶装置から読み取り又は、前記記憶装置へ書き込みをするアクセスを全て不許可にする設定を内蔵されたドライバウェア手段によって行い、
前記ドライバウェア手段によって、前記アクセスを受信して、前記アクセスを解析して、前記アクセスしようとする前記電子データのファイル名、及び、前記アクセスを出した前記アプリケーションプログラムの名前又はプロセス名を含む制御データを取得し、
前記制御データを前記電子データ管理データベースの値と比較して、
(a)前記電子データの重要度が高いレベルの場合、
前記電子計算機のネットワーク機能を停止又は一時停止させる第1制御、
前記電子計算機がネットワークに接続されている場合は、前記ネットワークの前記電子データを送受信する機能を停止又は一時停止させる第2制御、
前記アクセスを出した前記アプリケーションプログラム又はプロセスの状況を、前記電子計算機で詳細に確認し、
前記電子データ管理データベースの値に一致する場合、前記電子データ管理データベースに従って前記アクセスのアクセス要求に対して前記許可をし、前記第1制御及び前記第2制御を解除する第3制御、
前記電子データ管理データベースの値に一致しない場合、前記アクセス要求に対して不許可にし、前記アクセス要求を破棄し、前記第1制御及び前記第2制御を解除する第4制御、及び、
(b)前記電子データの重要度が高いレベルに該当しない場合、前記制御データを前記電子データ管理データベースの値と比較して、前記制御データが前記電子データ管理データベースの値と一致する場合は、前記電子データ管理データベースに従って前記許可、若しくは前記不許可を行い、前記制御データが前記電子データ管理データベースの値と一致しない場合は、不許可する
ことを特徴とする。
本発明の発明2の電子データの管理方法は、発明1において、
電子計算機を操作しているオペレーティングシステムの全ての命令が実行できるカーネルモードで動作し、前記電子計算機に接続されているデバイスを直接制御するためのデバイスドライバ同士の通信、又は前記デバイスドライバと前記電子計算機上で動作するアプリケーションプログラムとの通信に共通のインターフェースを提供するための手段で、かつ、
前記アプリケーションプログラムから出力される命令及び/又はデータを含む第1データを受信し、前記命令の実行結果及び/又は前記デバイスドライバから受信した受信データを含む第2データを、前記アプリケーションプログラムに送信するためのアプリケーションプログラムインターフェース部と、
前記デバイスドライバへ、前記命令及び/又は前記データを含む第3データを送信し、前記デバイスドライバから前記命令の実行結果及び/又は前記受信データを含む第4データを受信するためのデバイスドライバ制御部と、
??前記第1データ又は前記第4データを処理し、前記第2データ又は前記第3データを生成して、前記第1?4データの制御を行うための制御部と
からなる
ドライバウェア手段を内蔵した前記電子計算機で電子データへのアクセスを監視し、前記アクセスを追跡して、前記電子データの漏洩を防止する電子データの管理方法において、
前記電子データの重要度を示すレベルと、前記電子データにアクセスするユーザ権限で、かつ、前記電子データのレベルに応じた前記ユーザ権限と、前記アプリケーションプログラムの実行ファイル、又は前記実行ファイルのプロセスが、記憶装置から読み取り、又は外部記憶装置へ書き込みすることを許可、若しくは不許可するアクセス権限を定めた電子データ管理データベースが作成され、
前記電子計算機の前記記憶装置に格納されている前記電子データのファイルにアクセスするとき、前記ドライバウェア手段は、前記記憶装置を含む前記電子計算機に接続されている前記外部記憶装置から読み取り又は、前記外部記憶装置へ書き込みをするアクセスを全て不許可にする設定を行って制御モードをオンにし、
前記ドライバウェア手段は、前記アクセスを受信して、前記アクセスを解析して、前記アクセスしようとする前記電子データのファイル名、及び、前記アクセスを出した前記アプリケーションプログラムの名前又はプロセス名を含む制御データを取得し、
前記ドライバウェア手段は、制御データを前記電子データ管理データベースの値と比較して、
(c)前記電子データの重要度が高いレベルの場合、前記ドライバウェア手段は、
前記電子計算機のネットワーク機能を停止又は一時停止させる第1制御、
前記電子計算機がネットワークに接続されている場合は、前記ネットワークの前記電子データを送受信する機能を停止又は一時停止させる第2制御、
前記アクセスを出した前記アプリケーションプログラム又は前記プロセスの状況を、前記電子計算機で詳細確認し、
前記電子データ管理データベースの値に一致する場合、前記電子データ管理データベースに従って前記アクセスのアクセス要求に対して前記許可をし、前記第1制御及び前記第2制御を解除する第3制御、
前記電子データ管理データベースの値に一致しない場合、前記アクセス要求に対して不許可をし、前記電子計算機の管理者へ通知を送信し、前記管理者からの返事が前記アクセス要求を許可する場合、前記アクセス要求に対して前記許可をし、前記第1制御及び前記第2制御を解除する第4制御、及び、
前記管理者からの返事が前記アクセス要求を許可しない場合、前記アクセス要求を破棄し、前記第1制御及び前記第2制御を解除する第5制御を行い、
(d)前記電子データの重要度が高いレベルに該当しない場合、前記ドライバウェア手段は、前記制御データを前記電子データ管理データベースの値と比較して、前記制御データが前記電子データ管理データベースの値と一致する場合は、前記電子データ管理データ
ベースに従って前記許可、若しくは前記不許可を行い、前記制御データが前記電子データ管理データベースの値と一致しない場合は、不許可する
ことを特徴とする。
本発明の発明3の電子データの管理方法は、発明2において、
前記オペレーティングシステムのユーザモードで動作し、前記オペレーティングシステムのファイルシステムとのユーザインターフェースを提供するためのアプリケーションプラットフォーム手段によって、前記プロセス名、前記プロセスのプロセスIDを取得し、
前記アプリケーションプログラムインターフェース部に送信する
ことを特徴とする。
本発明の発明4の電子データの管理方法は、発明2又は3において、
前記オペレーティングシステムのファイルシステム用の前記デバイスドライバであるファイルシステムドライバを制御するための前記デバイスドライバ制御部によって、前記アクセス要求が受信され、受信された前記アクセス要求が前記制御部に送信され、
前記制御部は、前記アクセス要求を受信して、前記アクセス要求から前記制御データを取得し、前記デバイスドライバ制御部に取得した前記制御データを送信し、
前記デバイスドライバ制御部は、前記制御データを受信して、受信した前記制御データを前記電子データ管理データベースの値と比較して、前記制御データが前記電子データ管理データベースの値と一致する場合は、前記電子データ管理データベースに従って前記アクセスを許可、又は不許可し、前記制御データが前記電子データ管理データベースの値と一致しない場合は前記アクセスを不許可する
ことを特徴とする。
本発明の発明5の電子データの管理方法は、発明1乃至3において、
前記ドライバウェア手段は、他のアプリケーションプログラムからの通知を受けて、前記電子計算機のネットワーク機能を停止又は一時停止させる
ことを特徴とする。
本発明の発明6の電子データ管理プログラムは、
電子計算機で電子データへのアクセスを監視し、前記アクセスを追跡して、前記電子データの漏洩を防止する電子データ管理プログラムにおいて、
前記電子データの重要度を示すレベルと、前記電子データにアクセスするユーザ権限で、かつ、前記電子データのレベルに応じた前記ユーザ権限と、前記電子計算機で動作するアプリケーションプログラムの実行ファイル、又は前記実行ファイルのプロセスが、前記電子データへのアクセスを許可、若しくは不許可するアクセス権限を定めた電子データ管理データベースが作成され、
前記電子計算機の記憶装置に格納されている前記電子データのファイルにアクセスするとき、前記電子データ管理プログラムは、
前記記憶装置から読み取り又は、前記記憶装置へ書き込みをするアクセスを全て不許可にする設定を行うステップ、
前記アクセスを受信するステップ、
前記アクセスを解析して、前記アクセスしようとする前記電子データのファイル名、及び、前記アクセスを出した前記アプリケーションプログラムの名前又はプロセス名を含む制御データを取得するステップ、
前記制御データを前記電子データ管理データベースの値と比較するステップ、
(a)前記電子データの重要度が高いレベルの場合、
前記電子計算機のネットワーク機能を停止又は一時停止させる第1制御を行うステップ、
前記電子計算機がネットワークに接続されている場合は、前記ネットワークの前記電子データを送受信する機能を停止又は一時停止させる第2制御を行うステップ、
前記アクセスを出した前記アプリケーションプログラム又はプロセスの状況を、前記電子計算機で詳細確認するステップ、
前記電子データ管理データベースの値に一致する場合、前記電子データ管理データベースに従って前記アクセスのアクセス要求に対して前記許可をし、前記第1制御及び前記第2制御を解除する第3制御を行うステップ、
前記電子データ管理データベースの値に一致しない場合、前記アクセス要求に対して不許可にし、前記アクセス要求を破棄し、前記第1制御及び前記第2制御を解除する第4制御を行うステップ、及び、
(b)前記電子データの重要度が高いレベルに該当しない場合、
前記制御データを前記電子データ管理データベースの値と比較するステップ、
前記制御データが前記電子データ管理データベースの値と一致する場合は、前記電子データ管理データベースに従って前記許可、若しくは前記不許可を行うステップ、
前記制御データが前記電子データ管理データベースの値と一致しない場合は、不許可するステップを
前記電子計算機に実行させることを特徴とする。
本発明の発明7の電子データ管理プログラムは、
電子計算機を操作しているオペレーティングシステムの全ての命令が実行できるカーネルモードで動作し、前記電子計算機に接続されているデバイスを直接制御するためのデバイスドライバ同士の通信、又は前記デバイスドライバと前記電子計算機上で動作するアプリケーションプログラムとの通信に共通のインターフェースを提供するための手段で、かつ、
前記アプリケーションプログラムから出力される命令及び/又はデータを含む第1データを受信し、前記命令の実行結果及び/又は前記デバイスドライバから受信した受信データを含む第2データを、前記アプリケーションプログラムに送信するためのアプリケーションプログラムインターフェース部と、
前記デバイスドライバへ、前記命令及び/又は前記データを含む第3データを送信し、前記デバイスドライバから前記命令の実行結果及び/又は前記受信データを含む第4データを受信するためのデバイスドライバ制御部と、
前記第1データ又は前記第4データを処理し、前記第2データ又は前記第3データを生成して、前記第1?4データの制御を行うための制御部と
からなる
ドライバウェア手段を内蔵した前記電子計算機で電子データへのアクセスを監視し、前記アクセスを追跡して、前記電子データの漏洩を防止する電子データ管理プログラムにおいて、
前記電子データの重要度を示すレベルと、前記電子データにアクセスするユーザ権限で、かつ、前記電子データのレベルに応じた前記ユーザ権限と、前記アプリケーションプログラムの実行ファイル、又は前記実行ファイルのプロセスが、記憶装置から読み取り、又は外部記憶装置へ書き込みすることを許可、若しくは不許可するアクセス権限を定めた電子データ管理データベースが作成され、
前記電子計算機の前記記憶装置に格納されている前記電子データのファイルにアクセスするとき、前記ドライバウェア手段は、前記記憶装置を含む前記電子計算機に接続された前記外部記憶装置から読み取り又は、前記外部記憶装置へ書き込みをするアクセスを全て不許可にする設定を行って制御モードをオンにするステップと、
前記ドライバウェア手段は、
前記アクセスを受信するステップ、
前記アクセスを解析するステップ、
前記アクセスしようとする前記電子データのファイル名、及び、前記アクセスを出した前記アプリケーションプログラムの名前又はプロセス名を含む制御データを取得するステップ、
制御データを前記電子データ管理データベースの値と比較するステップ、
(a)前記比較で、前記電子データの重要度が高いレベルと判定された場合、
前記電子計算機のネットワーク機能を停止又は一時停止させる第1制御をするステップ、
前記電子計算機がネットワークに接続されている場合は、前記ネットワークの前記電子データを送受信する機能を停止又は一時停止させる第2制御をするステップ、
前記アクセスを出した前記アプリケーションプログラム又はプロセスの状況を、前記電子計算機で詳細確認するステップ、
前記電子データ管理データベースの値に一致する場合、前記電子データ管理データベースに従って前記アクセスのアクセス要求に対して前記許可をするステップ、
前記許可した後、前記第1制御及び前記第2制御を解除する第3制御するステップ、
前記電子データ管理データベースの値に一致しない場合、前記アクセス要求に対して不許可をするステップ、
前記不許可の後、前記電子計算機の管理者へ通知を送信するステップ、
前記管理者から前記通知に対する返事が前記アクセス要求を許可する場合、前記アクセス要求に対して前記許可をするステップ、
前記第1制御及び前記第2制御を解除する第4制御をするステップ、及び、
前記管理者からの前記通知に対する返事が前記アクセス要求を許可しない場合、前記アクセス要求を破棄するステップ、
前記第1制御及び前記第2制御を解除する第5制御を行うステップ、
(b)前記電子データの重要度が高いレベルに該当しない場合、前記制御データを前記電子データ管理データベースの値と比較して、前記制御データが前記電子データ管理データベースの値と一致する場合は、前記電子データ管理データベースに従って前記許可、若しくは前記不許可を行うステップ、及び、
前記制御データが前記電子データ管理データベースの値と一致しない場合は、不許可するステップ
からなることを特徴とする。
本発明の発明8の電子データ管理プログラムは、発明7において、
前記電子データ管理プログラムは、
前記オペレーティングシステムのユーザモードで動作し、前記オペレーティングシステムのファイルシステムとのユーザインターフェースを提供するためのアプリケーションプラットフォームプログラムと
を有し、
前記アプリケーションプラットフォームプログラムは、
前記プロセスの前記プロセス名、前記プロセスのプロセスIDを取得するプロセス取得ステップと、
前記プロセス取得ステップで取得した前記プロセス名と前記プロセスIDを前記アプリケーションプログラムインターフェース部に送信する送信ステップとを前記電子計算機に実行させる
ことを特徴とする電子データ管理プログラム。
本発明の発明9の電子データ管理プログラムは、発明7又は8において、
前記ドライバウェア手段は、更に、前記オペレーティングシステムのファイルシステムを制御するためのファイルシステム制御部、前記電子計算機の物理コネクタ用のインターフェースドライバを制御するためのインターフェース制御部、及びネットワークドライバを制御するためのネットワーク制御部からなり、
前記制御部は、
前記ファイルシステム制御部へプロセスIDからファイルアクセスの禁止設定を解除するステップと、
前記インターフェース制御部へ通信の禁止設定を解除するステップと、
前記ネットワーク制御部へ通信の禁止設定を解除するステップと
を有することを特徴とする。
本発明の発明10の電子データ管理プログラムは、発明乃至9において、
前記ドライバウェア手段は、他のアプリケーションプログラムからの通知を受けて、前記電子計算機のネットワーク機能を停止又は一時停止させる
ことを特徴とする。
本発明の発明11のデータ管理プログラムを記録した記録媒体は、発明6乃至10に記載の電子計算機を実行させるためのデータ管理プログラムを記録した記録媒体である。
本発明によると、次の効果が奏される。
本発明によると、重要な電子データへアクセスしたとき、この電子データが保存されている電子計算機又はネットワークの通信機能を停止又は一時停止することで、電子データが流出する系統を遮断してから、そのアクセスを分析し制御する。これにより、電子データの漏洩を防ぐことができる。
また、本発明によると、重要な電子データへアクセスしたとき、そのアクセスを分析し、そのアクセスが予め想定され、許可されたアクセスの場合にのみ、そのアクセスを許可する。これによって、重要な電子データへアクセスするコンピュータウィルスやマルウェアの種類、機能によらず、重要な電子データを適切に管理することが可能になった。
図1は、本発明の第1の実施の形態の概要を図示している概念図である。 図2は、本発明の第1の実施の形態の電子データ16の制御を行う手順の概要を示すフローチャートである。 図3は、本発明の第2の実施の形態の電子データ管理システム1の概要を図示している図である。 図4は、本発明の第2の実施の形態の電子データ管理システム1のユーザ端末2上に動作するソフトウェアの概要を図示している図である。 図5は、本発明の第2の実施の形態において、ユーザ端末2内で、アクセス要求を処理する手順を示すフローチャートである。 図6は、本発明の第2の実施の形態において、ユーザ端末2内で、重要度が高い電子データ16へのアクセス要求を処理する手順を示すフローチャートである。
以下、本発明の実施するための形態を図に基づいて説明する。
(本発明の第1の実施の形態の概要)
図1には、本発明の第1の実施の形態の電子データ管理システム1の概要を図示している。電子データ管理システム1は、電子データ16を管理するためのシステムであり、特に、重要データ16mへアクセスするとき、ユーザ端末2の通信機能を停止又は一時停止、ローカルエリアネットワーク(以下、略して「LAN」という。)5等のネットワークを遮断し、電子データ16及び重要データ16mの漏洩等の不正利用を防止するためのシステムである。
電子データ管理システム1は、ユーザ端末2、サーバ4、ゲートウェイ9等からなるLAN5である。ゲートウェイ9は、LAN5をインターネット20に接続するための装置である。ユーザは、基本的に、ユーザ端末2を操作して、電子データ16の作成・閲覧・加工を行う。ユーザは、ユーザ端末2上に動作している電子メールのアプリケーションプログラム、ファイル転送プログラム、ファイル送信プロトコル等を利用して、電子データ16を、インターネット20又は他の電子計算機へ送信する。
電子データの不正利用又は不正取得のとき、これらのプログラムや通信プロトコルが利用されることが多い。無論、ユーザ端末2の補助記憶装置、ディスク装置等の内蔵機器、ユーザ端末2に接続されたフラッシュメモリ等の補助記憶装置に、ユーザ端末2から重要データ16mが記録されて、持ち出され漏洩することもある。どちらにしても、ユーザ端末2に格納されている電子データ16又は重要データ16mへアクセスする必要がある。
このように重要データ16mへアクセスしたことをユーザ端末2で検知し、重要データ16mの漏洩を防ぐことを本発明の電子データ管理システム1で実現する。サーバ4は、LAN5に接続された端末に共通のサービスと電子データ16を提供する端末である。サーバ4は、電子データ16を格納するために補助記憶装置6を備える。ユーザ端末2は電子データ16をサーバ4から読み込んで作業をし、保存するとき元の場所に保存する。また、ユーザは、サーバ4から電子データ16を取得して、ユーザ端末2に保存して、利用することができる。
このように、電子データ16は、サーバ4とユーザ端末2に必要に応じて分散して格納される。電子データ16を管理するために、その名称、保存先、アクセス権を示した管理データベースが作成される。その一例は、サーバ4に格納されている電子データ管理データベース17である。ユーザ端末2とサーバ4は、中央処理ユニット、入力装置、出力装置、ROM、RAM等の内蔵メモリ、SSD、ハードディスク等の内蔵又は外付け補助記憶装置を備えた電子計算機である。
電子データ16は、テキストファイル、画像データファイル、プログラムのソースコード、実行可能形式のプログラム、特定電子フォーマットの文書、通信履歴等のように、電子化された様々な形式のデータである。この中で、ユーザにとって管理が必要な重要なファイル、例えば、個人情報や顧客情報、設計データ、機密データ等の重要なファイルは、重要データ16mとする。重要データ16mは、データのセキュリティ上、厳密な管理が必要であり、その利用状況を追跡し、外部へ漏洩させない措置を取らなければならないデータである。
電子データ管理システム1は、この電子データ16mを作成、変更、閲覧して利用するとき、その利用を追跡し、誰が何処から利用したかを把握し、その利用の履歴を記録して残す。電子データ管理システム1は、電子データ16と重要データ16mへアクセスしたとき、そのアクセスを追跡し制御するためのシステムである。詳しくは、電子データ管理システム1は、電子データ16へのアクセスが適当な条件に合うとき、そのアクセスを許可し、実行する。
電子データ管理システム1は、電子データ16へのアクセスが適当な条件に合わないとき、そのアクセスを停止又は一時停止又は一時保留し、そのアクセスを追跡し分析する。特に、重要データ16mへアクセスする場合、電子データ管理システム1は、ユーザ端末2、サーバ4を始めLAN5の通信機能を全部又は一部を停止又は一時停止する。電子データ管理システム1は、電子データ16に関するデータベースを作成して、電子データ16の管理を行う。
例えば、電子データ16のファイル一覧、各ファイルの属性、各ファイルへのアクセス権を示す電子データ管理データベース17を作成して管理を行う。電子データ管理システム1は、管理プログラム15を用いて、電子データ16の追跡と管理を行い、電子データ16へのアクセスを許可又は不許可にする。管理プログラム15は、電子データ16をユーザ端末2上に利用する環境を提供するためのアプリケーションプログラムである。
図1に図示した管理プログラム15は、オペレーティングシステム21のカーネルモード34で動作するドライバウェア50からなる。カーネルモード34は、オペレーティングシステム21の動作モードの一つで、制限を受けないでオペレーティングシステム21の全ての命令が実行できる動作モードである。これに対して、オペレーティングシステム21の動作モードの一つであるユーザモード33は、オペレーティングシステム21の命令の一部の実行をユーザやアプリケーションプログラム22に対して制限している。
ユーザ端末2上で動作するアプリケーションプログラム22から電子データ16へアクセスするとき、オペレーティングシステム21が提供するサービスを経由する。管理プログラム15は、オペレーティングシステム21の入出力機能を監視するプログラムである。特に、管理プログラム15の構成であるドライバウェア50は、デバイスドライバを制御するもので、電子データ16へのアクセスを全て監視し、制御する。
ドライバウェア50は、ユーザ端末2の補助記憶装置、ネットワークカード等のデバイスを制御するデバイスドライバを監視するので、アプリケーションプログラム22とオペレーティングシステム21のサービスからこれらのデバイスへのアクセスを自由自在に制御することができる。電子データ16は、基本的に、暗号化されている。ユーザ端末2に管理プログラム15が実行されており、特に制御モードで動作している。
この制御モードにおいて、管理プログラム15は、ユーザ端末2から外部へ送受信される通信とそのデータ、ユーザ端末2の補助記憶装置からデータを読み込みするアクセス、ユーザ端末2の補助記憶装置へデータを書き込みするアクセスの全てを監視している。また、管理プログラム15はこの制御モードになると、電子データ16がユーザ端末2から外部へ流出する全ての手段を停止する。例えば、ユーザ端末2に接続された記憶装置、記録装置へ電子データ16を書き込む動作を停止し、ネットワークへ電子データ16を送信する機能を停止している。
しかし、管理者等の特定のユーザがユーザ端末2に接続された記憶装置、記録装置へ電子データ16を書き込み、ネットワークへ電子データ16を送信することができるように例外設定や例外処理をこの制御モードで行うことができる。また、一般のユーザにとっても、ネットワーク機能を常時停止すると、アプリケーションプログラム22のアップデート、ウィルス対策ソフトウェアのアップデート、ネットワークへデータを送信することが必要な場合がある。
ネットワーク機能を例外設定することで、このような状況でネットワーク機能が利用できるようにすることが多い。ユーザ端末2で動作しているアプリケーションプログラム22から電子データ16へアクセスする。このアクセスのアクセス要求は、管理プログラム15を経由する。詳しくは、管理プログラム15はアプリケーションプログラム22のアクセス要求を常時監視しており、ドライバウェア50がこの要求を受信して、デバイスドライバへのアクセスを制御する。よって、ドライバウェア50はすべてのアクセス要求を自在に制御することができる。
以下、電子データ16と重要データ16mへのアクセスを制御する手順の一例を、図2のフローチャートを参照しながら説明する。管理プログラム15は、このアクセス要求を受信し、その解析を行う(ステップ1)。まず、アクセス要求された電子データ16が重要データ16mであるか否かを確認するための電子データ確認を行う(ステップ2)。この電子データ確認のとき、管理プログラム15は、サーバ4に格納されている電子データ管理データベース17を参照して、該当する電子データ16の属性情報等を参照する。
この参照の結果、電子データ16が重要データ16mであると判定された場合、LAN5とユーザ端末2のネットワーク通信機能を停止又は一時停止させる(ステップ2、3)。そして、アクセス要求を出したアプリケーションプログラム22又はユーザは電子データ16へのアクセス権限を有するか否かを確認する(ステップ4)。ステップ2の参照の結果、電子データ16が重要データ16mであると判定されない場合、アクセス要求を出したアプリケーションプログラム22又はユーザは、電子データ16へのアクセス権限を有するか否かを確認する(ステップ4)。
このアクセス権限の確認のとき、管理プログラム15は、サーバ4に格納されている電子データ管理データベース17を参照して、該当する電子データ16の属性情報等を参照する。ユーザ端末2のネットワーク機能が停止されている場合は、前回の電子データ確認時の属性情報を利用することができる(ステップ4)。続いて、アクセス要求が不正アクセスである可能性について調査する。
例えば、自動起動のアプリケーションプログラム22からのアクセス要求であるか、電子メールに添付された実行型のアプリケーションプログラム22からアクセス要求であるか、ウェブページを閲覧中にウェブアプリケーションから出されたアクセス要求であるか、ユーザ端末2を中継するアクセス要求であるか等を調査する。この調査では、これらの要求に該当する場合、不正アクセスである可能性があると判定される。これらのアクセス権限の確認で電子データ16に正当な権限を有するユーザからのアクセス要求であることが確認され、不正アクセスの可能性がないことが確認された場合、管理プログラム15はアクセス要求を許可し、実行する(ステップ5,6)。
アクセス権限の確認で電子データ16に正当な権限を有するユーザからのアクセス要求ではないことが確認され、及び/又は、不正アクセスの可能性があることが確認された場合、管理プログラム15はアクセス要求を破棄する(ステップ5,7)。このようにアクセス要求を破棄したとき、アクセス要求を出したユーザ又はアプリケーションプログラムに対して、アクセス要求を破棄した旨の通知をする(ステップ7)。そして、管理プログラム15は停止又は一時停止した機能を再開し、正常な動作に戻る(ステップ8)。
上述のように、管理プログラム15は、電子データ16へのアクセス要求があるとき、これを取得して、電子データ16へのアクセス要求を分析し確認している。特に、重要データ16mの場合、管理プログラム15は、ネットワーク機能を始め、電子データ16が漏洩する可能性が手段をシャットしている(ステップ3)。ネットワーク機能のシャットは、停止、一時停止、切断、及び遮断の内の1制御を行う。この制御をする箇所は、図1の中に、「×」の印14a、14b、14cで示しているユーザ端末2のネットワークの出入力、ゲートウェイ9の前後である。
ここで言う停止と一時停止は、データを送受信する通信機能を停止と一時停止するものであり、通信機能を完全に停止させるものではない。通信機能を停止と一時停止と言うのは、制御命令や通信プロトコルの中で命令を送受信する機能、通信プロトコルのレイヤに応じて通信線の接続確立が機能することとする。通信機能を切断と遮断すると言うのは、基本的に、通信プロトコルを利用してデータを送受信する機能停止、更に、プロトコルに沿って通信命令の送受信も停止することを言う。
通信機能を切断と遮断すると言うのは、通信プロトコルのレイヤに応じて接続確立が解除され、通信できない状況になることを言う。ネットワーク機能の遮断としては、ユーザ端末2がLAN5へ接続する通信機能、LAN5からインターネット20への出口であるゲートウェイ9のデータ通信機能を停止又は一時停止である。特に、重要データ16mの情報漏洩を防ぐ上では、重要データ16mへアクセス要求があった時点で、通信機能を停止、一時停止、遮断又は切断させて、アクセス要求が許可されても、そのアクセス要求が実行され完了されるまで、継続する。
これは、重要データ16mの外部流出、情報漏洩に対して大きく貢献する。管理プログラム15は、アンチウィルスソフトウェア、マルウェア検知ソフトウェア、他の情報漏洩対策ソフトウェアやデータ管理ソフトウェア等の他のアプリケーションプログラムから送信された通知を受信する機能を有する。
管理プログラム15は、ユーザ端末2がコンピュータウィルス、マルウェア等に感染したことを示す通知を、アンチウィルスソフトウェア、マルウェア検知ソフトウェア等から受信すると、ユーザ端末2又はLAN5のネットワーク機能を停止、一時停止、遮断する制御を行う。管理プログラム15は、重要データ16mにアクセス、重要データ16mを持ち出すことを検知した他の情報漏洩対策ソフトウェアやデータ管理ソフトウェアから通知を受信すると、ユーザ端末2又はLAN5のネットワーク機能を停止、一時停止、遮断する制御を行う。
(本発明の第2の実施の形態)
図3には、本発明の第2の実施の形態の電子データ管理システム1の概要を図示している。以下、本発明の第2の実施の形態の電子データ管理システム1は、上述の本発明の第1の実施の形態の電子データ管理システム1と基本的に同じである。電子データ管理システム1は、電子データ16を管理するためのシステムであり、詳しくは電子データ16へのアクセスを追跡し、電子データ16の不正利用(漏洩、流出等)を防止するためのシステムである。
図3は、企業、公共自治体、SOHO(Small Office Home Office)、学校等の汎用の組織(以下、単に「組織」という。)で利用されている一般的なネットワークシステムの一例を概念的に図示した図である。電子データ管理システム1は、ユーザ端末2、管理端末3、サーバ4等が接続されたLAN5である。LAN5には、複合機7、無線ルータ8、タブレット端末10、ゲートウェイ9等が接続されている。LAN5は、図3に示すように、代表的な端末と装置を1つずつ例示した。
ゲートウェイ9は、LAN5を他のネットワークに接続するための装置である。この他のネットワークとしては、他のLAN、ワイドエリアネットワーク(Wide Area Network)、インターネット等が例示できる。本例では、これに限定されないが、他のネットワークはインターネット20を例に説明する。図3のLAN5は、組織に利用される代表的な例としているが、組織は2以上のLAN5を利用し、互いに直接又は他のネットワークを介して接続されることが可能である。
LAN5は、2以上の端末を互いにデータ通信できるように、無線又は有線の通信プロトコルで接続した通信ネットワークである。本実施の形態では、LAN5は、有線ルータ(図示せず。)又は無線ルータ8にユーザ端末2、管理端末3、サーバ4、タブレット端末10等の端末を有線又は無線で接続し、互いに通信できるようにしたネットワークである。ゲートウェイ9がこのルータを兼ねることもできる。LAN5には、一般的に、複数台のユーザ端末2、複合機7、タブレット端末10が接続される。
ユーザは、基本的に、ユーザ端末2を操作して、文書を書き、電子データ16を作成・閲覧・加工を行う。ユーザは、電子データ16を持ち出すとき、ユーザ端末2から記録媒体に電子データ16を複製又は移動させて保存する。また、ユーザは、ユーザ端末2上に動作している電子メール、ファイル転送プログラム、ファイル送信プロトコル等を利用して、電子データ16を、インターネット20又は他の電子計算機へ送信する。管理端末3は、基本的にLAN5の管理者が利用する端末であり、LAN5全体の監視と管理をするための端末である。
管理端末3では、文書の閲覧・作成等の組織の通常業務を行うことができるが、LAN5の管理者に利用される。特に、LAN5をメンテナンス、監視して管理するための業務を行うために管理者が管理端末3を主に利用する。よって、管理端末3からは、LAN5に接続された各端末と装置を制御することができる。サーバ4は、LAN5に接続された端末に共通のサービスと電子データ16を提供する端末で、サーバ4に内蔵又は外付けで接続された補助記憶装置6に電子データ16を格納する。
このように電子データ16はサーバ4とユーザ端末2に保存されるが、組織の方針によって、様々な形で運用管理される。一例では、サーバ4の補助記憶装置6は、電子データ16を格納することができる。ユーザ端末2はこの電子データ16をサーバ4から読み込んで作業をし、保存するとき元の場所に保存する。また、一例では、サーバ4の補助記憶装置6は、電子データ16を格納し、ユーザ端末2が利用する電子データ16は、サーバ4から取得してユーザ端末2に保存する。
ユーザ端末2のこの電子データ16は、常にサーバ4と同期をとっている。このとき、ユーザ端末2は、この電子データ16をユーザ端末2から読み込んで作業をし、保存するときは、ユーザ端末2に作業済の電子データ16が保存され、サーバ4と同期する。また、別の一例では、電子データ16は、サーバ4とユーザ端末2に必要に応じて分散して格納されていて、電子データ16について、その名称、保存先、アクセス権を示した管理データベースが作成されることがある。
また、電子データ16は、ユーザ端末2のみ分散して保存されることも、インターネット20上に保存され、ユーザ端末2からLAN5、インターネット20を経由してアクセスされることもある。このように、電子データ16は、様々な形で管理されるので、一意的に決められない。本発明は、電子データ16を保存する方法に関する発明ではないので、詳細については、これ以上は省略する。
複合機7は、電子データ16を紙に印刷して複製するための印刷機能、電子データ16や紙媒体のデータをファックスするためのファックス機能、紙媒体のデータをスキャンしディジタル化して電子データ16を作成するためのスキャナー機能等を備えた装置である。複合機7は、LAN5内の装置の一例と例示したが、印刷装置、スキャナー等のように個別の装置であっても良い。ユーザは、ユーザ端末2に記録媒体を接続又は挿入し、この記録媒体に電子データ16を複製又は移動させて、利用する。
管理端末3、サーバ4、タブレット端末10についても同様に電子データ16の複製を行うことができるが、その説明は省略する。ユーザは、電子データ16が格納された記録媒体を、他の電子計算機に接続又は挿入して、その電子計算機で、電子データ16を利用することができる。また、管理者等は、電子データ16を記録媒体に格納し、これをユーザに渡し、ユーザは、この記録媒体をユーザ端末2又は他の電子計算機で利用することができる。
記録媒体としては、図示しないが、CD(Compact Disk)、USB(Universal Serial Bus)メモリ、外付けハードディスク、フレキシブルディスク、フラッシュメモリ、光磁気ディスク装置、DVD(Digital Versatile Disks)、ポータブルデバイス等が利用できる。タブレット端末10は、携帯可能でタッチパネルを備えた端末であり、本例では、無線ルータ8に無線通信で接続される。ユーザ端末2、管理端末3、サーバ4、タブレット端末10は、中央処理ユニット、入力装置、出力装置、ROM、RAM等の内蔵メモリ、SSD、ハードディスク等の内蔵又は外付け補助記憶装置を備えた電子計算機である。
[電子データ16について]
電子データ16は、テキストファイル、画像データファイル、プログラムのソースコード、実行可能形式のプログラム、特定電子フォーマットの文書、通信履歴等のように、電子化された様々な形式のデータである。電子データ16は、組織のノウハウが蓄積されたデータでもある。例えば、電子データ16は、災害時に使用するための保険会社の復旧マニュアル、メーカが利用するための製品の仕様書や設計書、出版物や写真等の画像データの校正時に使うための原本の電子データ16である。
また、電子データ16は、個人情報や顧客情報等が格納されたデータファイルである。個人情報としては、氏名、住所、連絡先、生年月日、公共団体が利用する個人管理用の特別番号、保険若しくは年金の管理番号等のように、個人を特定し、管理するための情報を意味する。個人情報の例としては、住民の住民票に係る者を識別するための個人番号、言い換えるとマイナンバーを例示できる。顧客情報としては、例えば、顧客の氏名、名称、住所、連絡先、取引の内容等の情報である。以後は、このような個人情報や顧客情報等のデータは、単に電子データ16と記載する。
電子データ16は、データのセキュリティ上、厳密な管理が必要であり、電子データ16を作成、変更、閲覧して利用するとき、その利用を追跡し、誰が何処から利用したかを把握し、記録して残す。電子データ管理システム1は、電子データ16へのアクセスが適当な条件に合うとき、そのアクセスを許可する。電子データ管理システム1は、電子データ16へのアクセスが適当な条件に合わないとき、そのアクセスを停止又は一時保留し、そのアクセスの条件が明確になるまでに、そのアクセスを追跡し分析する。
このとき、電子データ管理システム1は、ユーザ端末2、サーバ4を始めLAN5の通信機能を全部又は一部を停止又は一時停止する。電子データ16は、その種類と内容の重要度によって複数のレベルに分けられて管理される。レベル分けは、数字、文字、記号、特定単語、これらの組み合わせ等を割り当てるという様々なやり方がある。本例では、これに限定されないが、単純な方法を採用する。
本例では、重要度が一番高い電子データ16をレベル1とし、重要度が下がるに連れてレベル2、3とレベルを表す数字を増やしていき、重要度が一番低い電子データ16はレベルnとする。nは数字であり、組織の中で電子データ16をレベル分けする最大数になる。例えば、次の表1に一例を示す。
Figure 0006761921
このように組織の電子データ16は、レベル1〜nにレベル分けされ、又は、属性が与えられて補助記憶装置6に格納される。電子データ16をレベル分けして管理するとき、様々な方法で行うことができ、これらに限定しないが、ここでいくつかの例を示す。第1の例としては、電子データ16に関するデータベースを作成して、電子データ16の管理を行うことができる。例えば、電子データ16のファイル一覧と各ファイルの属性を示す電子データ管理データベース17(図3を参照。)を作成して管理を行うことができる。
この電子データ管理データベース17を参照することで、電子データ16へアクセスができる許可を持っているユーザを特定することができる。第2の例としては、電子データ16のファイルにヘッダー情報を付加することで、電子データ16の管理を行うことができる。電子データ16は、特定のフォーマットのファイルになっており、このファイルの先頭、又は、特定の位置に、電子データ16の属性を示すデータを挿入する。この属性を参照することで、電子データ16のファイルへアクセスできる許可を持っているユーザを特定することができる。
第3の例としては、電子データ16の保存場所で、電子データ16の管理を行うことができる。電子データ16は、そのレベルや重要度に応じて特定のフォルダに保存する。このフォルダは、秘密のフォルダであったり、公開フォルダであったり、暗号化された暗号フォルダであったりすることができる。これらのフォルダにそれにアクセスできる権限をユーザごとに設定しておき、許可されたユーザのみが電子データ16のフォルダにアクセスし、電子データ16を参照、編集することができる。
無論、上述した第1〜第3の例を1以上組み合わせて利用することもできる。また、ユーザ端末2、タブレット端末8にもレベル1〜nの電子データ16が保存されることがある。電子データ管理システム1は、電子データ16を監視し、その電子データ16へのアクセスが該当するレベルに合致しない端末又はユーザからのアクセスか否かを監視する。電子データ16へはユーザ端末2、インターネット20等からアクセスすることができる。また、電子データ16へのアクセスは、ユーザが直接操作しているアプリケーションプログラムやプロセスから直接アクセスすることがある。
また、サーバ4、ユーザ端末2、タブレット端末8、管理端末3で常駐して動作し、ユーザが直接操作していないアプリケーションプログラムやプロセスから自動アクセスすることがある。電子データ管理システム1は、このように直接アクセスと自動アクセスの両方を監視し、電子データ16の管理を行う。また、ユーザは、電子データ16を記録媒体に記録して持ち出し、LAN5に接続されていない電子計算機で利用することもある。
[ユーザ端末2について]
図4は、本発明の第2の実施の形態の概要を図示している。図4は、ユーザ端末2の概要を図示している。ユーザ端末2は、マウス、キーボード等の周辺機器の外部デバイス26を接続するコネクタ25を有し、コネクタ25はそのデバイスドライバであるインターフェースドライバ63によって制御される。コネクタ25は、RS―232C、IrDA、USB、IEEE1394、Bluetooth(登録商標)等のシリアルポート、IEEE1284、SCSI、IDE等のパラレルポートであることが好ましい。
ユーザ端末2は、コンピュータネットワーク、通信ネットワーク、インターネット等のネットワークに接続するためのネットワークカード27を備えており、ネットワークの例としてLAN5で図示している。ネットワークカード27は、有線通信用のネットワークに接続するためのネットワークアダプタで例示しているが、無線通信用の送受信器であっても良い。ユーザ端末2は、USBメモリ13等のUSB規格準拠の機器を接続するためのUSBポート28を備えている。
ユーザ端末2は、内蔵ハードディスク29を有する。ネットワークカード27、USBポート28、内蔵ハードディスク29は、そのデバイスドライバであるネットワークドライバ64、ファイルシステムドライバ65から制御される。ユーザ端末2は、オペレーティングシステム21によって制御されて動作する。オペレーティングシステム21は、キーボードからの入力、マウス操作の入力や画面出力等のような入出力装置からの入出力機能、補助記憶装置やメモリの管理等の基本的な機能を提供し、ユーザ端末2全体を制御し動作させて管理するためのソフトウェアである。
オペレーティングシステム21は、その提供する機能を実現するために多数の実行可能なプログラムから構成されるものである。オペレーティングシステム21、特に本実施の形態に用いているWindows(登録商標)系のオペレーティングシステムについては、多数の書籍があり、その一部から紹介する。本発明を再現するためには、これらの書籍に記述されている技術知識、特に、デバイスドライバ開発に関する知識が必要である。
Windows系のオペレーティングシステムの内部構成、その動作についての書籍一覧:
− Inside Windows Nt by Helen Custer (Microsoft Press, 1992)
− Inside the Windows Nt File System by Helen Custer (Microsoft Press, 1994)
− Inside Microsoft Windows 2000, Third Edition by David A. Solomon, Mark E. Russinovich (Microsoft Press, 2000)
デバイスドライバの基礎知識からその開発に関する知識ついての書籍一覧:
− Programming the Microsoft Windows Driver Model by Walter Oney (Microsoft Press, 1999)
− Programming the Microsoft Windows Driver Model, Second Edition by Walter Oney (Microsoft Press, 2002)。
− Windows Vistaデバイスドライバプログラミング、浜田 憲一郎 (著)、ソフトバンククリエイティブ出版(2007)
ここで、オペレーティングシステム21は、図示しないが、サブシステム、エグゼキュティブ、カーネル、各種デバイスドライバ、ハードウェア抽象化層(HAL)から構成される。エグゼキュティブは、メモリの管理、プロセスとスレッドの管理、セキュリティ、I/O(入出力機能)、ネットワーク、及びプロセス間通信等のオペレーティングシステム21の基本的なサービスを提供するものである。カーネルは、スレッドスケジューリング、割り込み、例外通知、マルチプロセッサの同期等の低レベルの関数を提供し、エグゼキュティブの内部で使用するルーチンセットと基本オブジェクトを提供する。
〔ドライバウェア50〕
ドライバウェア50は、管理プログラム15の中核部である。ドライバウェア50は、インターフェースドライバ63、ネットワークドライバ64、ファイルシステムドライバ65等のデバイスドライバの間のデータの送受信をカーネルモードで実現するためのものである。ドライバウェア50は、アプリケーションプログラム22からデバイスドライバへアクセスするとき、また、デバイスドライバからアプリケーションプログラム22へデータを送信するときに、共通のインターフェースを提供する。
ドライバウェア50は、オペレーティングシステム21のカーネルモード34で動作する。ドライバウェア50は、デバイスドライバ間だけではなく、オペレーティングシステム21と複数のデバイスドライバとのデータの送受信を提供する機能を有する。ドライバウェア50のインターフェース制御部43、ネットワーク制御部44、ファイルシステム制御部45は、ユーザ端末2のデバイスドライバ63〜65を制御することで、最終的には、ユーザ端末2に接続又は内蔵されているデバイスを制御するものと理解することができる。
ドライバウェア50の例としては、電子計算機のインターフェースドライバプログラムとしてWO02/091195号公報等に開示されている周知の技術である。また、ドライバウェア50の技術を利用した電子計算機のデータ管理方法がWO2007/049625号公報に開示されている。これらの公報に記載された技術内容は本発明の不可欠である。ドライバウェア50は、アプリケーションプログラム22からの命令やデータ等を受信し、アプリケーションプログラム22へのデータを送信するためのアプリケーションプログラムインターフェース部51を有する。
ドライバウェア50は、ドライバウェア50の全体の動作を制御するための制御部52を有する。また、ドライバウェア50の動作の履歴を取得するためのログ取得部53も有する。更に、ドライバウェア50は、デバイスドライバを制御するためのデバイスドライバ制御部を有する。本例では、デバイスドライバ制御部として、インターフェースドライバ63、ネットワークドライバ64、ファイルシステムドライバ65を制御するためのインターフェース制御部43、ネットワーク制御部44、ファイルシステム制御部45を例示している。
ドライバウェア50は、通信するデータを暗号化するための暗号化部54、暗号化されたデータを復号化するための復号化部55を有する。暗号化は、公開鍵と秘密鍵のペアを用いる公開鍵暗号方式を採用することが好ましい。しかし、これは、暗号化する方式を限定するものではない。暗号化と復号化は、本発明の趣旨ではないので詳細な説明は省略する。
制御部52は、デバイスドライバ制御部43〜45、アプリケーションプログラムインターフェース部51、ログ取得部53、暗号化部54、復号化部55等のドライバウェア50の他の構成部を制御し、監視するためのもので、ドライバウェア50の中核部である。デバイスドライバ制御部43〜45は、アプリケーションプログラム22やオペレーティングシステム21のエグゼキュティブからデバイスドライバへデータ又は要求を送信するとき、これらのデータ又は要求を、アプリケーションインターフェース部51で受信し、制御部52で分析し、必要であれば、データ又は要求の変更等をして制御し、デバイスドライバ制御部43〜45へ送信する。
デバイスドライバ制御部43〜45は、制御部52から受信したデータ又は要求を、デバイスドライバ63〜65へ送信する。このように、デバイスドライバ63〜65からデータを取得し、アプリケーションプログラム22やエグゼキュティブへ送信するとき、逆の手順で行う。デバイスドライバ63〜65の間にデータを送受信するとき、デバイスドライバ制御部43〜45の間に直接転送することで、実現できる。このように転送すると、カーネルモード34で実行されるので、非常に高速で実現でき、かつ、セキュリティ上は安全である。
〔アプリケーションプラットフォームプログラム23〕
アプリケーションプラットフォームプログラム23は、アプリケーションプログラム22と、オペレーティングシステム21との間に位置し、これらの間に命令やデータの送受信を仲介し制御するためのアプリケーションプログラムである。アプリケーションプラットフォームプログラム23は、オペレーティングシステム21のユーザモード33で動作する。アプリケーションプラットフォームプログラム23は、オペレーティングシステム21のファイルシステムにアクセスするためのユーザインターフェースを提供する機能を有する。
アプリケーションプラットフォームプログラム23は、アプリケーションプログラム22の起動、これに伴うプロセスの起動を監視し、これらの属性情報を取得する機能を有する。例えば、アプリケーションプラットフォームプログラム23は、アプリケーションプログラム22が起動し実行するとき、開始されたプロセスのプロセスID、プロセス名、プロセスを実行したユーザ名等の情報を取得し、監視する。アプリケーションプラットフォームプログラム23は、Windowsエクスプローラと互換性があるアプリケーションプログラム又はツールであることが好ましい。
[電子データ16へのアクセスの追跡]
重要な電子データ16へのアクセスの追跡について説明する。このときの手順を示すフローチャートを、図5と図6に示しており、これらのフローチャートを参照しながら説明をする。まず、サーバ4には、補助記憶装置6が内蔵されており、この補助記憶装置6に電子データ16へのアクセス権等を示す電子データ管理データベース17が格納されている(図3を参照。)。
この電子データ16は、重要度に応じてレベル分けされている(表1を参照。)。重要度が通常以下の場合は、上述の通り、電子データ16へのアクセスを制御する。ユーザ端末2の電子データ16を利用するとき、ユーザ端末2上に動作するアプリケーションプログラム22からアクセス要求がファイルシステムドライバ65へ出される。このアクセス要求を管理プログラム15が取得し、このアクセス要求を解析し始める(ステップ20,21)。
管理プログラム15は、アクセス要求を解析するとき、アクセス要求の中から、アクセス要求されているファイルのファイル名と、アクセス要求を送信したアプリケーションプログラムのプロセス名を取得する(ステップ22、23)。管理プログラム15は、電子データ管理データベース17を参照して、そのアプリケーションプログラム22の制御情報を取得して確認をする。詳しくは、管理プログラム15は、まず、要求された電子データ16のファイルのレベルを確認する(ステップ24)。
レベルを確認するとき、管理プログラム15は、サーバ4へアクセスし、電子データ管理データベース17を参照して、取得したファイル名に該当する電子データ16のレベルを確認する。電子データ管理データベース17は、電子データ16のファイル毎にその重要度を示すレベルデータと、それにアクセスできるユーザ、ユーザ端末2、アプリケーションプログラム、プロセス等を対応させて記載したデータベースである。
電子データ16の重要度が高くない、言い換えると普通以下、と判定された場合(ステップ26)、管理プログラム15は通常の処理を行う。電子データ16の重要度が高いと判定された場合(ステップ25)、管理プログラム15から命令が送信され、電子データ16の入出力するためのLAN5の機能が全部又は一時停止される(ステップ25→図6のステップ30へ)。そして、ユーザ端末2の通信ポートも停止又は一時停止されることが好ましい(ステップ30)。
このように、電子データ16がLAN5から外部へ漏洩又は外部へ流出するチャネルを基本的に全て遮断する。そして、アクセス要求については、詳細な分析をする。管理プログラム15は、アクセス要求を出したアプリケーションプログラム22を、電子データ管理データベース17を参照して確認し、アクセス要求のファイル名の電子データ16にアクセスできる権限を有しているか否かを確認する(ステップ31,32)。この確認作業で、アクセス要求が許可されていないアプリケーションプログラムの場合は、管理者へ報告し、返事を待機する(ステップ41)。
管理者から返事がある場合は、後述のステップ39へ進む。この確認作業で、アクセス要求が許可されているアプリケーションプログラムの場合は、成り済まし等の不正行為を確認する作業を始める(ステップ33)。この確認の作業は、ユーザ端末2を利用しているユーザの確認、ユーザ端末2を利用しているユーザの個人認証、アクセス要求を出したアプリケーションプログラムの認証、アクセス要求を出したプロセスの認証等である(ステップ34)。
管理プログラム15は、これらの事項を、解析し、アクセス要求を承認するか否かを判断する(ステップ34,35)。確認要求の解析処理結果(確認作業結果)で、ユーザ、アクセス要求を出したアプリケーションプログラム、アクセス要求を出したプロセス等が、電子データ管理データベース17に登録された要件を満たす場合は、管理プログラム15は、アクセス要求を承認し、停止又は一時停止していた各機能を再開させる(ステップ36,37)。
電子データ16が最重要で、遮断された環境で作業を行わなければならないという指定がある場合、LAN5のネットワーク機能を、作業が終わるまで、停止又は一時停止した状態にしても良い(図示せず。)。確認要求の解析(確認作業結果)で、ユーザ、アクセス要求を出したアプリケーションプログラム、アクセス要求を出したプロセス等が、電子データ管理データベース17に登録された要件を満たさない場合は、管理プログラム15は、管理者にこの旨を示す警告を送信し、その結果を待機する(ステップ35→ステップ38)。
よって、管理者は、この警告を受けた場合は、不正アクセスの疑いがあると見て、LAN5の状態、ユーザ端末2の状態を調査し、最終判断をする。管理者の最終判断を示す指示は、サーバ4、管理端末3、ユーザ端末2等のいずれかの入力手段から管理者によって入力され、管理プログラム15は、この指示を受信する(ステップ39)。管理者の最終判断で、アクセス要求を認めると判断した場合は、管理プログラム15は、その指示を受信して、アクセス要求を承認し、停止又は一時停止していた各機能を再開させる(ステップ40→ステップ36、37)。
管理者の最終判断で、アクセス要求を認めないと判断した場合は、管理プログラム15は、その指示を受信して、アクセス要求を破棄し、停止又は一時停止していた各機能を再開させる(ステップ40→ステップ42、43)。この場合は、管理プログラム15でアクセス要求が中断され破棄されるので、次のようなメッセージが表示手段に送信される(ステップ44)。
ユーザ端末2の表示手段には、アクセス要求を破棄した旨のメッセージ、アクセス要求を拒否したメッセージ、アクセス要求に指定した電子データ16にアクセスできない旨のメッセージ、アクセス要求に指定した電子データ16が存在しない旨のメッセージ、及び、アクセス要求に指定した電子データ16にアクセスできる権限がない旨のメッセージの内1以上の適当なメッセージが表示される。
管理プログラム15は、アクセス要求が中断し破棄した後、アクセス要求を出したアプリケーションプログラム又はプロセスを、停止又は終了又は強制終了させる(ステップ45)。また、管理プログラム15は、更に細かく追跡するために、アクセス要求を出しアプリケーションプログラム又はプロセスを隔離してその動作ログを取得する。これらの情報をもとに、管理者、又は予め用意された手順で、確認作業をし、全ての確認作業が成功した場合は、管理プログラム15は、停止又は一時停止していた各機能を再開させる(ステップ46)。
無論、管理者は、ユーザ端末2を直接操作して、アプリケーションプログラム又はプロセスを終了させる等の処理を行うことで解決することができる。この一連の処理が終了すると、サーバ4の管理プログラム15は、次の要求を待機する(ステップ47)。このように、管理プログラム15は、電子データ16へのアクセス要求を受信したとき、電子データ管理データベース17を参照して、電子データ16を確認すると共に、アクセス要求を承認するか否か、電子データ16へアクセス権限があるか否かを判定している。
また、同時に、管理プログラム15は、アクセス要求を出したアプリケーションプログラムとプロセスを特定し、確認している。このようにユーザ端末2の状態を把握するので、ハッキングや成り済まし等の不正行為に対して、効果がある。許可されたアプリケーションプログラム、プロセス、ユーザ、ユーザ端末のみからのアクセス要求を許可するので、未知の方法で不正行為をしても、それに応じることはない。
解決できない状況になっても、管理者の最終判断を待ち、かつ、その間は、ユーザ端末2とLAN5のネットワーク機能、電子データ16の複製機能等が停止、一時停止、又は中断されているので、電子データ16の漏洩、流出を抑えることができる。このような制御は、重要度が高い電子データ16の場合、セキュリティ上非常に有効である。管理プログラム15は、他のアプリケーションプログラムから送信された通知を受信する。
ドライバウェア50は、特定のアプリケーションプログラムの出力を監視し、通知を受信し、通知が所定の条件を満たすと、ユーザ端末2のネットワーク機能を停止、一時停止、遮断する制御を行う。例えば、コンピュータウィルス、マルウェアを監視しているアンチウィルスソフトウェア、マルウェア検知ソフトウェア等のセキュリティソフトウェアから、ユーザ端末2がコンピュータウィルスやマルウェア等に感染した通知をドライバウェア50が受信すると、ユーザ端末2又はLAN5のネットワーク機能を停止、一時停止、遮断する制御を行う。
本発明は、電子データの緊密な管理が必要な分野に利用すると良い。特に、高度なデータ管理が要求される分野、例えば、印刷業界、保険会社、販売店、金融機関、原子力関連の施設、個人データを扱う端末等の分野に利用されると良い。
1…電子データ管理システム
2…ユーザ端末
3…管理端末
4…サーバ
5…LAN
6…補助記憶装置
7…複合機
8…無線ルータ
9…ゲートウェイ
10…タブレット端末
15…管理プログラム
16…電子データ
17…電子データ管理データベース
20…インターネット
21…オペレーティングシステム
22…アプリケーションプログラム
23…アプリケーションプラットフォームプラグラム
33…ユーザモード
34…カーネルモード
43…インターフェース制御部
44…ネットワーク制御部
45…ファイルシステム制御部
50…ドライバウェア
51…アプリケーションプログラムインターフェース部
52…制御部
53…ログ取得部
54…暗号化部
55…復号化部
63…インターフェースドライバ
64…ネットワークドライバ
65…ファイルシステムドライバ

Claims (11)

  1. 電子計算機で電子データへのアクセスを監視し、前記アクセスを追跡して、前記電子データの漏洩を防止する電子データの管理方法において、
    前記電子データの重要度を示すレベルと、前記電子データにアクセスするユーザ権限で、かつ、前記電子データのレベルに応じた前記ユーザ権限と、前記電子計算機で動作するアプリケーションプログラムの実行ファイル、又は前記実行ファイルのプロセスが、前記電子データへのアクセスを許可、若しくは不許可するアクセス権限を定めた電子データ管理データベースが作成され、
    前記電子計算機の記憶装置に格納されている前記電子データのファイルにアクセスするとき、前記記憶装置から読み取り又は、前記記憶装置へ書き込みをするアクセスを全て不許可にする設定を内蔵されたドライバウェア手段によって行い、
    前記ドライバウェア手段によって、前記アクセスを受信して、前記アクセスを解析して、前記アクセスしようとする前記電子データのファイル名、及び、前記アクセスを出した前記アプリケーションプログラムの名前又はプロセス名を含む制御データを取得し、 前記制御データを前記電子データ管理データベースの値と比較して、
    (a)前記電子データの重要度が高いレベルの場合、
    前記電子計算機のネットワーク機能を停止又は一時停止させる第1制御、
    前記電子計算機がネットワークに接続されている場合は、前記ネットワークの前記電子データを送受信する機能を停止又は一時停止させる第2制御、
    前記アクセスを出した前記アプリケーションプログラム又はプロセスの状況を、前記電子計算機で詳細に確認し、
    前記電子データ管理データベースの値に一致する場合、前記電子データ管理データベースに従って前記アクセスのアクセス要求に対して前記許可をし、前記第1制御及び前記第2制御を解除する第3制御、
    前記電子データ管理データベースの値に一致しない場合、前記アクセス要求に対して不許可にし、前記アクセス要求を破棄し、前記第1制御及び前記第2制御を解除する第4制御、及び、
    (b)前記電子データの重要度が高いレベルに該当しない場合、前記制御データを前記電子データ管理データベースの値と比較して、前記制御データが前記電子データ管理データベースの値と一致する場合は、前記電子データ管理データベースに従って前記許可、若しくは前記不許可を行い、前記制御データが前記電子データ管理データベースの値と一致しない場合は、不許可する
    ことを特徴とする電子データの管理方法。
  2. 電子計算機を操作しているオペレーティングシステムの全ての命令が実行できるカーネルモードで動作し、前記電子計算機に接続されているデバイスを直接制御するためのデバイスドライバ同士の通信、又は前記デバイスドライバと前記電子計算機上で動作するアプリケーションプログラムとの通信に共通のインターフェースを提供するための手段で、かつ、
    前記アプリケーションプログラムから出力される命令及び/又はデータを含む第1データを受信し、前記命令の実行結果及び/又は前記デバイスドライバから受信した受信データを含む第2データを、前記アプリケーションプログラムに送信するためのアプリケーションプログラムインターフェース部と、
    前記デバイスドライバへ、前記命令及び/又は前記データを含む第3データを送信し、前記デバイスドライバから前記命令の実行結果及び/又は前記受信データを含む第4データを受信するためのデバイスドライバ制御部と、
    前記第1データ又は前記第4データを処理し、前記第2データ又は前記第3データを生成して、前記第1〜4データの制御を行うための制御部と
    からなる
    ドライバウェア手段を内蔵した前記電子計算機で電子データへのアクセスを監視し、前記アクセスを追跡して、前記電子データの漏洩を防止する電子データの管理方法において、
    前記電子データの重要度を示すレベルと、前記電子データにアクセスするユーザ権限で、かつ、前記電子データのレベルに応じた前記ユーザ権限と、前記アプリケーションプログラムの実行ファイル、又は前記実行ファイルのプロセスが、記憶装置から読み取り、又は外部記憶装置へ書き込みすることを許可、若しくは不許可するアクセス権限を定めた電子データ管理データベースが作成され、
    前記電子計算機の前記記憶装置に格納されている前記電子データのファイルにアクセスするとき、前記ドライバウェア手段は、前記記憶装置を含む前記電子計算機に接続されている前記外部記憶装置から読み取り又は、前記外部記憶装置へ書き込みをするアクセスを全て不許可にする設定を行って制御モードをオンにし、
    前記ドライバウェア手段は、前記アクセスを受信して、前記アクセスを解析して、前記アクセスしようとする前記電子データのファイル名、及び、前記アクセスを出した前記アプリケーションプログラムの名前又はプロセス名を含む制御データを取得し、
    前記ドライバウェア手段は、制御データを前記電子データ管理データベースの値と比較して、
    (c)前記電子データの重要度が高いレベルの場合、前記ドライバウェア手段は、
    前記電子計算機のネットワーク機能を停止又は一時停止させる第1制御、
    前記電子計算機がネットワークに接続されている場合は、前記ネットワークの前記電子データを送受信する機能を停止又は一時停止させる第2制御、
    前記アクセスを出した前記アプリケーションプログラム又は前記プロセスの状況を、前記電子計算機で詳細確認し、
    前記電子データ管理データベースの値に一致する場合、前記電子データ管理データベースに従って前記アクセスのアクセス要求に対して前記許可をし、前記第1制御及び前記第2制御を解除する第3制御、
    前記電子データ管理データベースの値に一致しない場合、前記アクセス要求に対して不許可をし、前記電子計算機の管理者へ通知を送信し、前記管理者からの返事が前記アクセス要求を許可する場合、前記アクセス要求に対して前記許可をし、前記第1制御及び前記第2制御を解除する第4制御、及び、
    前記管理者からの返事が前記アクセス要求を許可しない場合、前記アクセス要求を破棄し、前記第1制御及び前記第2制御を解除する第5制御を行い、
    (d)前記電子データの重要度が高いレベルに該当しない場合、前記ドライバウェア手段は、前記制御データを前記電子データ管理データベースの値と比較して、前記制御データが前記電子データ管理データベースの値と一致する場合は、前記電子データ管理データベースに従って前記許可、若しくは前記不許可を行い、前記制御データが前記電子データ管理データベースの値と一致しない場合は、不許可する
    ことを特徴とする電子データの管理方法。
  3. 請求項2に記載の電子データの管理方法において、
    前記オペレーティングシステムのユーザモードで動作し、前記オペレーティングシステムのファイルシステムとのユーザインターフェースを提供するためのアプリケーションプラットフォーム手段によって、前記プロセス名、前記プロセスのプロセスIDを取得し、
    前記アプリケーションプログラムインターフェース部に送信する
    ことを特徴とする電子計算機のデータ管理方法。
  4. 請求項2又は3の中から選択される1項に記載の電子データの管理方法において、
    前記オペレーティングシステムのファイルシステム用の前記デバイスドライバであるファイルシステムドライバを制御するための前記デバイスドライバ制御部によって、前記アクセス要求が受信され、受信された前記アクセス要求が前記制御部に送信され、
    前記制御部は、前記アクセス要求を受信して、前記アクセス要求から前記制御データを取得し、前記デバイスドライバ制御部に取得した前記制御データを送信し、
    前記デバイスドライバ制御部は、前記制御データを受信して、受信した前記制御データを前記電子データ管理データベースの値と比較して、前記制御データが前記電子データ管理データベースの値と一致する場合は、前記電子データ管理データベースに従って前記アクセスを許可、又は不許可し、前記制御データが前記電子データ管理データベースの値と一致しない場合は前記アクセスを許可する
    ことを特徴とする電子計算機のデータ管理方法。
  5. 請求項1乃至3の中から選択される1項に記載の電子データの管理方法において、
    前記ドライバウェア手段は、他のアプリケーションプログラムからの通知を受けて、前記電子計算機のネットワーク機能を停止又は一時停止させる
    ことを特徴とする電子計算機のデータ管理方法。
  6. 電子計算機で電子データへのアクセスを監視し、前記アクセスを追跡して、前記電子データの漏洩を防止する電子データ管理プログラムにおいて、
    前記電子データの重要度を示すレベルと、前記電子データにアクセスするユーザ権限で、かつ、前記電子データのレベルに応じた前記ユーザ権限と、前記電子計算機で動作するアプリケーションプログラムの実行ファイル、又は前記実行ファイルのプロセスが、前記電子データへのアクセスを許可、若しくは不許可するアクセス権限を定めた電子データ管理データベースが作成され、
    前記電子計算機の記憶装置に格納されている前記電子データのファイルにアクセスするとき、前記電子データ管理プログラムは、
    前記記憶装置から読み取り又は、前記記憶装置へ書き込みをするアクセスを全て不許可にする設定を行うステップ、
    前記アクセスを受信するステップ、
    前記アクセスを解析して、前記アクセスしようとする前記電子データのファイル名、及び、前記アクセスを出した前記アプリケーションプログラムの名前又はプロセス名を含む制御データを取得するステップ、
    前記制御データを前記電子データ管理データベースの値と比較するステップ、
    (a)前記電子データの重要度が高いレベルの場合、
    前記電子計算機のネットワーク機能を停止又は一時停止させる第1制御を行うステップ、
    前記電子計算機がネットワークに接続されている場合は、前記ネットワークの前記電子データを送受信する機能を停止又は一時停止させる第2制御を行うステップ、
    前記アクセスを出した前記アプリケーションプログラム又はプロセスの状況を、前記電子計算機で詳細確認するステップ、
    前記電子データ管理データベースの値に一致する場合、前記電子データ管理データベースに従って前記アクセスのアクセス要求に対して前記許可をし、前記第1制御及び前記第2制御を解除する第3制御を行うステップ、
    前記電子データ管理データベースの値に一致しない場合、前記アクセス要求に対して不許可にし、前記アクセス要求を破棄し、前記第1制御及び前記第2制御を解除する第4制御を行うステップ、及び、
    (b)前記電子データの重要度が高いレベルに該当しない場合、
    前記制御データを前記電子データ管理データベースの値と比較するステップ、
    前記制御データが前記電子データ管理データベースの値と一致する場合は、前記電子データ管理データベースに従って前記許可、若しくは前記不許可を行うステップ、
    前記制御データが前記電子データ管理データベースの値と一致しない場合は、不許可するステップを
    前記電子計算機に実行させることを特徴とする電子データ管理プログラム。
  7. 電子計算機を操作しているオペレーティングシステムの全ての命令が実行できるカーネルモードで動作し、前記電子計算機に接続されているデバイスを直接制御するためのデバイスドライバ同士の通信、又は前記デバイスドライバと前記電子計算機上で動作するアプリケーションプログラムとの通信に共通のインターフェースを提供するための手段で、かつ、
    前記アプリケーションプログラムから出力される命令及び/又はデータを含む第1データを受信し、前記命令の実行結果及び/又は前記デバイスドライバから受信した受信データを含む第2データを、前記アプリケーションプログラムに送信するためのアプリケーションプログラムインターフェース部と、
    前記デバイスドライバへ、前記命令及び/又は前記データを含む第3データを送信し、前記デバイスドライバから前記命令の実行結果及び/又は前記受信データを含む第4データを受信するためのデバイスドライバ制御部と、
    前記第1データ又は前記第4データを処理し、前記第2データ又は前記第3データを生成して、前記第1〜4データの制御を行うための制御部と
    からなる
    ドライバウェア手段を内蔵した前記電子計算機で電子データへのアクセスを監視し、前記アクセスを追跡して、前記電子データの漏洩を防止する電子データ管理プログラムにおいて、
    前記電子データの重要度を示すレベルと、前記電子データにアクセスするユーザ権限で、かつ、前記電子データのレベルに応じた前記ユーザ権限と、前記アプリケーションプログラムの実行ファイル、又は前記実行ファイルのプロセスが、記憶装置から読み取り、又は外部記憶装置へ書き込みすることを許可、若しくは不許可するアクセス権限を定めた電子データ管理データベースが作成され、
    前記電子計算機の前記記憶装置に格納されている前記電子データのファイルにアクセスするとき、前記ドライバウェア手段は、前記記憶装置を含む前記電子計算機に接続された前記外部記憶装置から読み取り又は、前記外部記憶装置へ書き込みをするアクセスを全て不許可にする設定を行って制御モードをオンにするステップと、
    前記ドライバウェア手段は、
    前記アクセスを受信するステップ、
    前記アクセスを解析するステップ、
    前記アクセスしようとする前記電子データのファイル名、及び、前記アクセスを出した前記アプリケーションプログラムの名前又はプロセス名を含む制御データを取得するステップ、
    制御データを前記電子データ管理データベースの値と比較するステップ、
    (a)前記比較で、前記電子データの重要度が高いレベルと判定された場合、
    前記電子計算機のネットワーク機能を停止又は一時停止させる第1制御をするステップ、
    前記電子計算機がネットワークに接続されている場合は、前記ネットワークの前記電子データを送受信する機能を停止又は一時停止させる第2制御をするステップ、
    前記アクセスを出した前記アプリケーションプログラム又はプロセスの状況を、前記電子計算機で詳細確認するステップ、
    前記電子データ管理データベースの値に一致する場合、前記電子データ管理データベースに従って前記アクセスのアクセス要求に対して前記許可をするステップ、
    前記許可した後、前記第1制御及び前記第2制御を解除する第3制御するステップ、
    前記電子データ管理データベースの値に一致しない場合、前記アクセス要求に対して不許可をするステップ、
    前記不許可の後、前記電子計算機の管理者へ通知を送信するステップ、
    前記管理者から前記通知に対する返事が前記アクセス要求を許可する場合、前記アクセス要求に対して前記許可をするステップ、
    前記第1制御及び前記第2制御を解除する第4制御をするステップ、及び、
    前記管理者からの前記通知に対する返事が前記アクセス要求を許可しない場合、前記アクセス要求を破棄するステップ、
    前記第1制御及び前記第2制御を解除する第5制御を行うステップ、
    (b)前記電子データの重要度が高いレベルに該当しない場合、前記制御データを前記電子データ管理データベースの値と比較して、前記制御データが前記電子データ管理データベースの値と一致する場合は、前記電子データ管理データベースに従って前記許可、若しくは前記不許可を行うステップ、及び、
    前記制御データが前記電子データ管理データベースの値と一致しない場合は、不許可するステップ
    からなることを特徴とする電子データ管理プログラム。
  8. 請求項7に記載の電子データ管理プログラムにおいて、
    前記電子データ管理プログラムは、
    前記オペレーティングシステムのユーザモードで動作し、前記オペレーティングシステムのファイルシステムとのユーザインターフェースを提供するためのアプリケーションプラットフォームプログラムと
    を有し、
    前記アプリケーションプラットフォームプログラムは、
    前記プロセスの前記プロセス名、前記プロセスのプロセスIDを取得するプロセス取得ステップと、
    前記プロセス取得ステップで取得した前記プロセス名と前記プロセスIDを前記アプリケーションプログラムインターフェース部に送信する送信ステップとを前記電子計算機に実行させる
    ことを特徴とする電子データ管理プログラム。
  9. 請求項7又は8に記載の電子データ管理プログラムにおいて、
    前記ドライバウェア手段は、更に、前記オペレーティングシステムのファイルシステムを制御するためのファイルシステム制御部、前記電子計算機の物理コネクタ用のインターフェースドライバを制御するためのインターフェース制御部、及びネットワークドライバを制御するためのネットワーク制御部からなり、
    前記制御部は、
    前記ファイルシステム制御部へプロセスIDからファイルアクセスの禁止設定を解除するステップと、
    前記インターフェース制御部へ通信の禁止設定を解除するステップと、
    前記ネットワーク制御部へ通信の禁止設定を解除するステップと
    を有することを特徴とする電子計算機のデータ管理プログラム。
  10. 請求項乃至9の中から選択される1項に記載の電子データ管理プログラムにおいて、
    前記ドライバウェア手段は、他のアプリケーションプログラムからの通知を受けて、前記電子計算機のネットワーク機能を停止又は一時停止させる
    ことを特徴とする電子計算機のデータ管理プログラム。
  11. 請求項6乃至10の中から選択される1項に記載の電子計算機を実行させるためのデータ管理プログラムを記録した記録媒体。
JP2015212397A 2015-10-28 2015-10-28 電子データの管理方法、管理プログラム、及びプログラムの記録媒体 Active JP6761921B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015212397A JP6761921B2 (ja) 2015-10-28 2015-10-28 電子データの管理方法、管理プログラム、及びプログラムの記録媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015212397A JP6761921B2 (ja) 2015-10-28 2015-10-28 電子データの管理方法、管理プログラム、及びプログラムの記録媒体

Publications (2)

Publication Number Publication Date
JP2017084141A JP2017084141A (ja) 2017-05-18
JP6761921B2 true JP6761921B2 (ja) 2020-09-30

Family

ID=58711134

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015212397A Active JP6761921B2 (ja) 2015-10-28 2015-10-28 電子データの管理方法、管理プログラム、及びプログラムの記録媒体

Country Status (1)

Country Link
JP (1) JP6761921B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6860530B2 (ja) * 2018-07-31 2021-04-14 ファナック株式会社 データ管理装置、データ管理方法及びデータ管理プログラム
EP3910485B1 (en) 2019-01-09 2023-08-23 Science Park Corporation Electronic data management device, electronic data management system, program therefor, and recording medium

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004302995A (ja) * 2003-03-31 2004-10-28 Fujitsu Ltd ファイルアクセス制限プログラム
EP1950682B1 (en) * 2005-10-24 2018-04-18 Science Park Corporation Computer data management method, program, and recording medium
JP2009026022A (ja) * 2007-07-19 2009-02-05 Hitachi Systems & Services Ltd ファイル保護装置およびファイル保護方法
JP5035129B2 (ja) * 2008-06-13 2012-09-26 富士通株式会社 アクセス制御プログラム
JP5156559B2 (ja) * 2008-09-17 2013-03-06 サイエンスパーク株式会社 電子計算機のデータ管理方法、そのためのプログラム
JP2014016958A (ja) * 2012-07-11 2014-01-30 Ricoh Co Ltd 情報処理端末装置、制御方法及び制御プログラム
JP6006405B2 (ja) * 2013-04-19 2016-10-12 オリンパス株式会社 情報通信装置、情報通信方法及び情報通信プログラム

Also Published As

Publication number Publication date
JP2017084141A (ja) 2017-05-18

Similar Documents

Publication Publication Date Title
KR101012222B1 (ko) 전자계산기의 데이터 관리 방법, 및 그를 위한 프로그램을 기록한 기록 매체
KR101522445B1 (ko) 기밀 파일을 보호하기 위한 클라이언트 컴퓨터, 및 그 서버 컴퓨터, 및 그 방법 및 컴퓨터 프로그램
EP1977364B1 (en) Securing data in a networked environment
JP4681053B2 (ja) 電子計算機のデータ管理方法、プログラム、及び記録媒体
CA2553648C (en) Adaptive transparent encryption
JP5122735B2 (ja) 電子メール機能を有するエッジサーバを介した権利管理の実行
US7788235B1 (en) Extrusion detection using taint analysis
JP5833146B2 (ja) 機密データ漏えい防止装置および方法
JP2007241513A (ja) 機器監視装置
JP4185546B2 (ja) 情報漏洩抑止装置、情報漏洩抑止プログラム、情報漏洩抑止記録媒体、及び情報漏洩抑止システム
Lawton New technology prevents data leakage
JP5601840B2 (ja) ネットワークへの情報流出防止装置
JP6761921B2 (ja) 電子データの管理方法、管理プログラム、及びプログラムの記録媒体
JP4471129B2 (ja) 文書管理システム及び文書管理方法、文書管理サーバ、作業端末、並びにプログラム
JP2006201845A (ja) ウィルス感染及び機密情報漏洩防止対策コンピュータ
TWI381285B (zh) 電子檔案權限控管系統
JP4081517B2 (ja) 電子ファイル管理システムおよび電子ファイル管理プログラム
JP2007172357A (ja) 文書管理システム
JP2009080711A (ja) 情報漏洩防止システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181003

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190218

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190717

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190730

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190930

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200303

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200309

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200401

R150 Certificate of patent or registration of utility model

Ref document number: 6761921

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250