JP7163606B2 - 情報処理装置及びプログラム - Google Patents

情報処理装置及びプログラム Download PDF

Info

Publication number
JP7163606B2
JP7163606B2 JP2018071316A JP2018071316A JP7163606B2 JP 7163606 B2 JP7163606 B2 JP 7163606B2 JP 2018071316 A JP2018071316 A JP 2018071316A JP 2018071316 A JP2018071316 A JP 2018071316A JP 7163606 B2 JP7163606 B2 JP 7163606B2
Authority
JP
Japan
Prior art keywords
change
data
attribute
storage area
box
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018071316A
Other languages
English (en)
Other versions
JP2019185154A (ja
Inventor
啓 岡本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Fujifilm Business Innovation Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd, Fujifilm Business Innovation Corp filed Critical Fuji Xerox Co Ltd
Priority to JP2018071316A priority Critical patent/JP7163606B2/ja
Priority to US16/365,687 priority patent/US11182116B2/en
Publication of JP2019185154A publication Critical patent/JP2019185154A/ja
Application granted granted Critical
Publication of JP7163606B2 publication Critical patent/JP7163606B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N1/00Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
    • H04N1/00127Connection or combination of a still picture apparatus with another apparatus, e.g. for storage, processing or transmission of still picture signals or of information associated with a still picture
    • H04N1/00204Connection or combination of a still picture apparatus with another apparatus, e.g. for storage, processing or transmission of still picture signals or of information associated with a still picture with a digital computer or a digital computer system, e.g. an internet server
    • H04N1/00209Transmitting or receiving image data, e.g. facsimile data, via a computer, e.g. using e-mail, a computer network, the internet, I-fax
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/12Digital output to print unit, e.g. line printer, chain printer
    • G06F3/1201Dedicated interfaces to print systems
    • G06F3/1223Dedicated interfaces to print systems specifically adapted to use a particular technique
    • G06F3/1236Connection management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/12Digital output to print unit, e.g. line printer, chain printer
    • G06F3/1201Dedicated interfaces to print systems
    • G06F3/1202Dedicated interfaces to print systems specifically adapted to achieve a particular effect
    • G06F3/1203Improving or facilitating administration, e.g. print management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/12Digital output to print unit, e.g. line printer, chain printer
    • G06F3/1201Dedicated interfaces to print systems
    • G06F3/1223Dedicated interfaces to print systems specifically adapted to use a particular technique
    • G06F3/1237Print job management
    • G06F3/1259Print job monitoring, e.g. job status
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N2201/00Indexing scheme relating to scanning, transmission or reproduction of documents or the like, and to details thereof
    • H04N2201/0077Types of the still picture apparatus
    • H04N2201/0094Multifunctional device, i.e. a device capable of all of reading, reproducing, copying, facsimile transception, file transception

Description

本発明は、情報処理装置及びプログラムに関する。
情報処理装置の中には、複数のネットワークインタフェースを介して異なる複数のネットワークに同時に接続可能なものが存在する。この種の情報処理装置が、機密度の高いデータを扱う第1ネットワークと、そうでない第2ネットワークとの両方に接続される場合もあり得る。例えば、情報処理装置が、デジタル複合機等の高価な機器である場合、第1ネットワークと第2ネットワークとで共用できた方がコスト面で有利である。このような場合、第1ネットワーク上で取り扱われるデータがその情報処理装置内の保存領域にいったん保存されたあと、その保存領域から第2ネットワーク上に漏洩する事態が起こり得る。
特許文献1に開示されたシステムでは、印刷制御装置がいずれかのネットワークを介してジョブを受信すると、該ジョブを受信したネットワークを特定し、特定したネットワークの情報をジョブの属性値として付加し、画像形成装置へ保存する際に、ジョブの属性値として付加されたネットワーク情報を管理テーブルに格納してジョブと共に管理する。そして、端末装置からHDDに保存されているデータの取得要求がなされた場合、管理テーブルを参照して該データにネットワーク情報を付加し、該ネットワーク情報と送信先ネットワーク情報に基づいて送信条件に満足するか判定を行い、満足する場合にデータを送信する。
特許第5511332号明細書
情報処理装置の中には、複数のネットワークインタフェースを介して異なる複数のネットワークに同時に接続可能なものが存在する。この種の情報処理装置が、機密度の高いデータを扱う第1ネットワークと、そうでない第2ネットワークとの両方に接続される場合もあり得る。例えば、情報処理装置が、デジタル複合機等の高価な機器である場合、第1ネットワークと第2ネットワークとで共用できた方がコスト面で有利である。このような場合、第1ネットワーク上で取り扱われるデータがその情報処理装置内の保存領域にいったん保存されたあと、その保存領域から第2ネットワーク上に漏洩する事態が起こり得る。このような事態を避けるための方法の一つとして、第1ネットワークからのデータを保存するための専用の保存領域を情報処理装置内に設け、その保存領域内のデータの出力経路として第1ネットワーク用のネットワークインタフェースは許可するが第2ネットワーク用のネットワークインタフェースは許可しない旨を示す属性を、その保存領域に対して設定するという方法が考えられる。この方法では、その保存領域に保存されたデータに対して、第2ネットワーク用のネットワークインタフェースを介して出力する指示があっても、その属性を参照した制御により、その指示は実行されない。
このような方法において、保存領域に設定された上述の属性の変更が必要になる場合がある。しかしながら、その属性の変更を無制限に認めると、その変更の以前から保存領域内にあるデータが、変更前の属性では許可されていなかったネットワークインタフェースを介して出力される事態が生じ得る。
本発明は、保存領域に設定された属性の変更により、保存領域内のデータが変更前の属性では許可されていなかったネットワークインタフェースを介して出力される事態が生じないようにすることを目的とする。
請求項1に係る発明は、複数のネットワークインタフェースと、データを保存する保存領域であって、保存しているデータの出力経路として許可されるネットワークインタフェースを規定する属性が対応付けられている保存領域と、前記属性の変更指示を受けた時点での前記保存領域内のデータの有無に関する状態に応じて前記変更指示に対応する前記属性の変更を制御する変更制御手段であって、前記状態が所定条件を満たす場合に、前記変更指示に対応する前記属性の変更を実行しない、変更制御手段と、を含み、前記状態は、前記変更指示を受けた時点で前記保存領域に保存されているデータがあるかないかを示す状態であり、前記所定条件は、前記変更指示を受けた時点で、前記保存領域内にデータがあることである、情報処理装置である。
請求項2に係る発明は、複数のネットワークインタフェースと、データを保存する保存領域であって、保存しているデータの出力経路として許可されるネットワークインタフェースを規定する属性が対応付けられている保存領域と、前記属性の変更指示を受けた時点での前記保存領域内のデータの有無に関する状態に応じて前記変更指示に対応する前記属性の変更を制御する変更制御手段であって、前記状態が所定条件を満たす場合に、前記変更指示に対応する前記属性の変更を実行しない、変更制御手段と、前記保存領域に保存したデータごとに、そのデータが前記複数のネットワークインタフェースのいずれかを経由して入力されたものか否かを記憶する手段と、を含み、前記状態は、前記変更指示を受けた時点で前記保存領域内に前記複数のネットワークインタフェースのいずれかを経由して入力されたデータがあるか否かを示す状態であり、前記所定条件は、前記変更指示を受けた時点で、前記保存領域内に前記複数のネットワークインタフェースのいずれかを経由して入力されたデータがあることである、情報処理装置である。
請求項3に係る発明は、複数のネットワークインタフェースと、データを保存する保存領域であって、保存しているデータの出力経路として許可されるネットワークインタフェースを規定する属性が対応付けられている保存領域と、前記属性の変更指示を受けた時点での前記保存領域内のデータの有無に関する状態に応じて前記変更指示に対応する前記属性の変更を制御する変更制御手段であって、前記状態が所定条件を満たす場合に、前記変更指示に対応する前記属性の変更を実行しない、変更制御手段と、を含み、前記状態は、前記変更指示を受けた時点で前記保存領域内に予め定められた重要データ条件を満たすデータがあるかないかを示す状態であり、前記所定条件は、前記変更指示を受けた時点で、前記保存領域内に前記重要データ条件を満たすデータがあることである、情報処理装置である。
請求項に係る発明は、前記変更指示が、前記複数のネットワークインタフェースのいずれも前記出力経路として許可しない旨を示す属性への変更を指示するものである場合には、前記状態が前記所定条件を満たす場合でも、前記変更指示に対応する前記属性の変更を実行する、請求項1~3のいずれか1項に記載の情報処理装置である。
請求項5に係る発明は、前記変更制御手段は、前記状態が所定条件を満たす場合に、前記変更指示に対応する前記属性の変更を実行しないことに代えて、前記変更指示を受けた時点で前記保存領域内にあるデータの転送を禁止した上で、前記変更指示に対応する前記属性の変更を実行する、請求項1~3のいずれか1項に記載の情報処理装置である。
請求項6に係る発明は、前記変更制御手段は、前記状態が所定条件を満たす場合に、前記変更指示に対応する前記属性の変更を実行しないことに代えて、前記変更指示を受けた時点で前記保存領域内にあるデータを別の保存領域に退避させた上で、前記変更指示に対応する前記属性の変更を実行する、請求項1~3のいずれか1項に記載の情報処理装置である。
請求項に係る発明は、前記変更制御手段は、前記状態が所定条件を満たす場合に、前記複数のネットワークインタフェースのいずれも前記出力経路として許可しない旨を示す属性、又は前記保存領域に対応付けられた前記属性と同じ属性、を持つ保存領域を前記別の保存領域として新たに生成し、当該別の保存領域に前記保存領域のデータを退避させる、請求項に記載の情報処理装置である。
請求項に係る発明は、前記変更制御手段は、前記変更指示を行った者が前記情報処理装置の管理者である場合には、前記変更指示に従って前記属性を変更する、請求項1~のいずれか1項に記載の情報処理装置である。
請求項に係る発明は、複数のネットワークインタフェースと、データを保存する保存領域であって、保存しているデータの出力経路として許可されるネットワークインタフェースを規定する属性が対応付けられている保存領域と、を備えるコンピュータを前記属性の変更指示を受けた時点での前記保存領域内のデータの有無に関する状態に応じて前記変更指示に対応する前記属性の変更を制御する変更制御手段であって、前記状態が所定条件を満たす場合に、前記変更指示に対応する前記属性の変更を実行しない、変更制御手段、として機能させるためのプログラムであって、前記状態は、前記変更指示を受けた時点で前記保存領域に保存されているデータがあるかないかを示す状態であり、前記所定条件は、前記変更指示を受けた時点で、前記保存領域内にデータがあることである、プログラムである。
請求項10に係る発明は、複数のネットワークインタフェースと、データを保存する保存領域であって、保存しているデータの出力経路として許可されるネットワークインタフェースを規定する属性が対応付けられている保存領域と、前記保存領域に保存したデータごとに、そのデータが前記複数のネットワークインタフェースのいずれかを経由して入力されたものか否かを記憶する手段と、を備えるコンピュータを、前記属性の変更指示を受けた時点での前記保存領域内のデータの有無に関する状態に応じて前記変更指示に対応する前記属性の変更を制御する変更制御手段あって、前記状態が所定条件を満たす場合に、前記変更指示に対応する前記属性の変更を実行しない、変更制御手段、として機能させるためのプログラムであって、前記状態は、前記変更指示を受けた時点で前記保存領域内に前記複数のネットワークインタフェースのいずれかを経由して入力されたデータがあるか否かを示す状態であり、前記所定条件は、前記変更指示を受けた時点で、前記保存領域内に前記複数のネットワークインタフェースのいずれかを経由して入力されたデータがあることである、プログラムである。
請求項11に係る発明は、複数のネットワークインタフェースと、データを保存する保存領域であって、保存しているデータの出力経路として許可されるネットワークインタフェースを規定する属性が対応付けられている保存領域と、を備えるコンピュータを、前記属性の変更指示を受けた時点での前記保存領域内のデータの有無に関する状態に応じて前記変更指示に対応する前記属性の変更を制御する変更制御手段であって、前記状態が所定条件を満たす場合に、前記変更指示に対応する前記属性の変更を実行しない、変更制御手段、として機能させるためのプログラムであって、前記状態は、前記変更指示を受けた時点で前記保存領域内に予め定められた重要データ条件を満たすデータがあるかないかを示す状態であり、前記所定条件は、前記変更指示を受けた時点で、前記保存領域内に前記重要データ条件を満たすデータがあることである、プログラムである。
請求項1、2、、8、9、10又は11に係る発明によれば、保存領域に設定された属性の変更により、保存領域内のデータが変更前の属性では許可されていなかったネットワークインタフェースを介して出力される事態が生じことを防止することができる。
請求項、又はに係る発明によれば、保存領域内に文書があると属性の変更を実行しない場合と比べて、属性の変更が実行されやすくなる。
請求項に係る発明によれば、異なる保存領域から退避した文書が、同じ「別の保存領域」に混在することを防止することができる。
本発明に係る情報処理装置の一実施形態としての複合機100が接続されるネットワーク環境の一例を示すである。 複合機の内部構成を例示する図である。 ボックスに保存された文書がセキュリティ上許可されないネットワークに流出しないように制御する仕組みを例示する図である。 入出力経路アクセス権限情報のデータ構造の例を示す図である。 図4の入出力経路アクセス権限情報を用いたボックス入出力情報の例を示す図である。 ローカルのUI(ユーザインタフェース)からのボックスへの指示に対する入出力制御部の処理の手順を例示する図である。 リモート(ネットワーク)からのボックスへの指示に対する入出力制御部の処理の手順を例示する図である。 入出力経路アクセス権限情報のデータ構造の別の例を示す図である。 図8の入出力経路アクセス権限情報を用いたボックス入出力情報の例を示す図である。 未指定時情報の項目を含む入出力経路アクセス権限情報のデータ構造の例を示す図である。 通知部を備える実施形態の装置構成を例示する図である。 文書の属性情報の例を示す図である。 管理情報変更処理部の処理手順の一例を示す図である。 管理情報変更処理部の処理手順の別の例を示す図である。 管理情報変更処理部の処理手順の更に別の例を示す図である。
<装置構成>
図1に、本発明に係る情報処理装置の一実施形態としての複合機100が接続されるネットワーク環境の一例を示す。
この例では、複合機100は、3つのネットワークインタフェースを内蔵しており、それらネットワークインタフェースを介してLAN1、LAN2、Wi-Fi(登録商標)という3つの異なるネットワークに接続されている。各ネットワーク上のPC(パーソナルコンピュータ)やモバイル端末等のコンピュータ200は、各々が接続されているネットワークを経由して、複合機100とデータのやりとりを行う。なお、複合機とは、プリンタ、スキャナ、コピー機、ファクシミリ等の機能を併せ持つ装置のことである。
図2に、複合機100の内部構成の一例を示す。複合機100は、スキャナ101、プリンタ103、ファクシミリ装置105、表示装置107、不揮発性記憶装置109、主制御部110、ネットワークインタフェース120-1、120-2及び120-3(以下区別の必要がないときは「ネットワークインタフェース120」と総称)を有する。
スキャナ101は、原稿の画像を光学的に読み取ってその画像を表す画像データを生成する。プリンタ103は、画像データが表す画像を用紙に印刷する。スキャナ101とプリンタ103を連係動作させることで、コピー処理が実現される。ファクシミリ装置105は、ファクシミリの送受信を行う。表示装置107は、複合機100のUI(ユーザインタフェース)用の画面を表示する装置である。この例では、表示装置107はタッチパネル型の装置として構成されており、入力装置も兼ねる(ただしこれはあくまで一例に過ぎない)。不揮発性記憶装置109は、電源をオフしても記憶を保持する記憶装置であり、ハードディスクドライブやフラッシュメモリがその一例である。
主制御部110は、複合機100の動作を制御する装置であり、データ処理を行うコンピュータと、そのコンピュータが実行する制御プログラムとを含んでいる。主制御部110は、表示装置107に表示したUI画面に対するユーザの入力を受け取り、この入力に応じてスキャナ101、プリンタ103、ファクシミリ105等を制御することで、ユーザの指示する処理を実現する。また、主制御部110は、ネットワークインタフェース120-1、120-2及び120-3を介してネットワークに接続されており、ネットワーク上のコンピュータと指示やデータのやりとりを行う。図1及び図2の例では、ネットワークインタフェース120-1はLAN1に、ネットワークインタフェース120-2はLAN2に、ネットワークインタフェース120-3はWi-Fi経由であるネットワークに、それぞれ接続されているとする。以下の説明のために、この例では、少なくともLAN1とLAN2は異なるネットワークであるものとする。また、複合機100がWi-Fi経由で接続されているネットワークは、LAN1に接続されているものとする。
複合機100は、画像データやページ記述言語で記述された印刷データ、各種のアプリケーションで生成されたファイル等の電子文書データ(以下単に「文書」と呼ぶ)を不揮発性記憶装置109に保存する機能を有する。
複合機100には、文書の保存領域を複数設けることが可能である。保存領域の具体的な実現方式に特に限定はない。例えば、個々の保存領域は、主制御部110のファイルシステムが管理する1つのフォルダであってもよいし、不揮発性記憶装置109に対して設定された1つの論理パーティション又は論理ドライブであってもよい。また、複合機100に不揮発性記憶装置109(物理ドライブ)を複数設け、それら個々の物理ドライブをそれぞれ別々の保存領域として定義してもよい。また、これら例示した種類の保存領域を組み合わせて利用可能としてもよい。以下では、個々の保存領域のことを比喩的に「ボックス」と呼ぶ。個々のボックスにアクセス可能なユーザを制限するために、ボックスに対してパスワードを設定したり、アクセス制御リストによりボックスに対する各ユーザのアクセス権限を規定したりすることも可能である。
主制御部110は、このようなボックスに対する文書の入力(保存、蓄積)及び出力(取り出し)を制御する機能を持つ。
ボックスには、スキャナ101のスキャンにより生成された文書(画像データ)、ファクシミリ装置105が受信した文書、ネットワーク経由で入力された文書などが保存される。また、ボックスに保存された文書は、プリンタ103からの印刷出力、ファクシミリ装置105による送信、又はネットワーク経由での送信等の態様で出力される。
図に例示した複合機100は複数の異なるネットワークに接続されているが、これらネットワークごとにセキュリティに関する要件が異なる場合がある。例えば、オフィスにおいて、機密性が高いデータを取り扱う部門とそうでない部門とでネットワークを分けることで、後者の部門のスタッフがネットワーク経由で機密性の高いデータにアクセスできないようにする場合がその一例である。このような場合でも、高価な複合機100を部門ごとに設置することが困難で、1つの複合機100を複数部門で共用することがある。このような場合、複合機100が、セキュリティ要件の厳しい部門(便宜上「第1部門」と呼ぶ)のネットワークと、そうでない部門のネットワークに接続されることになる。前者の部門のセキュリティ要件を満たすには、複合機100内のボックス(保存領域)として、前者の部門専用のボックスを用意し、このボックスに保存された文書が後者の部門のネットワークに流出しないようにする必要がある。
例えば、第1部門のネットワークと、これと異なる他の部門のネットワークとが、プライベートIPアドレスとして同じネットワークアドレスを用いている場合があり得る。このような場合、複合機100内のボックスへのアクセス制限やボックス内の文書の転送制限をIPアドレスで行うことはできない。対策として、例えば、ボックス内の文書を送信する際に、その送信を指示するユーザが、その送信において経由するネットワークインタフェース120を指定すれば、そのボックス内の文書が想定外のネットワークに流出することを防げる。しかし、経由するネットワークインタフェース120を指定することは一般ユーザにとって難度が高い要求であり、ユーザを迷わせたり、誤った選択を誘発したりする可能性が少なくない。
そこで、本実施形態では、ボックスに保存された文書がセキュリティ上許可されないネットワークに流出しないように制御する仕組みを設けている。以下、この仕組みについて説明する。
図3に、この仕組みのために主制御部110が有する機能群を示す。ボックス記憶部111は、1以上のボックスの情報と、各ボックスに保存される文書の情報とを記憶する。入出力制御部113は、ボックス記憶部111に対する文書の入力(保存)又は出力(転送、印刷等)の制御を行う。
入出力先判定部115は、ボックスに対する操作指示や文書の入力の入力元、及びボックス内の文書の出力先を判定する。ボックスに対する操作指示の入力元としては、ローカルのUI(すなわち表示装置107)と、ネットワーク上の装置とがある。ネットワーク上の装置は、複数のネットワークインタフェース120のいずれかを介して主制御部110と通信するので、入出力先判定部115は、到来した操作指示が、ローカルのUI及び複数のネットワークインタフェース120のいずれからのものかを判定する。同様に、入出力先判定部115は、ボックスに対して文書が入力された場合、その入力元が、ローカルのスキャナ101及びファクシミリ装置105(ファクシミリ受信)、並びに複数のネットワークインタフェース120のいずれからのものかを判定する。入出力先判定部115は、ボックス内の文書の出力指示を受けた場合、その出力先が、ローカルのプリンタ103及びファクシミリ装置105(ファクシミリ送信)、並びに複数のネットワークインタフェース120のいずれへのものかを判定する。
ボックス認証部117は、ユーザのボックスへのアクセス認証、及び到来した文書のボックスへの入力(保存)のための認証を行う。この認証は、例えば操作または文書入力の対象のボックスに設定されたパスワードを用いて行う。すなわち、ユーザがボックスの操作を開始しようとした場合、パスワードの入力を求め、これに応じて正しいパスワードが入力された場合に、そのユーザからの操作を許可する。また、ボックス宛のファクシミリ受信の場合、受信した文書に付随するパスワードがそのボックスに設定されたパスワードと合致する場合、その文書をそのボックスに蓄積することを許可する。また、ボックスに対してアクセス制御リストが設定されている場合、図示省略したユーザ認証機構が複合機100は操作を行おうとするユーザに対してユーザ認証を行い、ボックス認証部117は、ユーザ認証により特定されたユーザがそのボックスのアクセス制御リストにより許可される権限の範囲内で、そのボックスに対する操作を許可する。例えば、ユーザがそのボックスについて、文書の蓄積及び印刷の権限は認めているが、ファクシミリ及びネットワーク経由での転送の権限を認めていない場合、ユーザからの転送指示は不許可とする。なお、ボックスにパスワードが設定されておらず、アクセス制御リストによるアクセス制御も行われない場合は、ユーザはそのボックスに対してすべての操作が許可される(ただし、別途、その操作に係るボックス内の文書の入出力先に応じた後述する操作制限は受ける)。
管理情報記憶部119は、ボックスへの入出力についての入出力制御部113の制御のために用いる管理情報を保持する。保持される管理情報には、ボックスごとに各入出力先からの入出力の許可・不許可を示すボックス入出力情報が含まれる。ボックス入出力情報は、例えば、ボックスごとに、そのボックスに対する操作指示又は文書の入力を許可する入力元、及びそのボックス内の文書の出力を許可する出力先を規定する。この場合、ボックス入出力情報に許可の旨が規定されない入力元からの入力、及び出力先への出力は許可されない。また、ボックス入出力情報は、許可する入力元及び出力先を規定する代わりに、不許可とする入力元及び出力先を規定するものであってもよい。この場合、ボックス入出力情報に不許可の旨が規定されない入力元からの入力、及び出力先への出力は許可される。また、ボックス入出力情報は、入力元と出力先について個別に規定するものに限らず、あるソース(またはネットワークインタフェース120)に対して、ボックスへの入力及び出力の両方を一括して許可又は不許可とする旨を規定するものであってもよい。
また、ボックス内の文書の意図せぬ漏洩の防止という観点では、ボックスへの入力(保存)を制限しなくてよい場合も考えられる。そのような場合には、ボックス入出力情報は、許可されるボックスからの出力先(又は不許可とするボックスからの出力先)を規定するものであれば足りる場合がある。ただし、前述したセキュリティ要件が異なる複数のネットワークに複合機100が接続される例のように、セキュリティ要件が厳しいネットワークからの文書が、セキュリティ要件の緩いネットワークへの出力を許可するボックスに蓄積されると、そのボックスを介して後者のネットワークに漏洩するリスクがある。そこで、このような場合にはボックス入出力情報には、入力元についても規定する。
また、複合機100のローカルの(すなわちネットワーク経由でない)入出力、すなわちスキャンやファクシミリ等からの文書のボックスへの保存、ボックス内の文書の印刷出力及びファクシミリ送信等は、複合機100の基本的な機能であり、これらについてはデフォルトで許可としてもよい。以下に示すいくつかの具体例では、ボックスへのローカルの入出力は許可されているとする。この場合、ボックス入出力情報は、各ネットワークインタフェース120を経路とする入力及び出力の許可又は不許可を規定するものとなる。
入出力制御部113は、管理情報記憶部119に保持されたボックス入出力情報等の管理情報を参照して、ボックス記憶部111内の個々のボックスへの文書の入力及び出力の制御を行う。
次に、具体例を用いて、入出力制御部113の処理を説明する。
図4及び図5には、一つの具体例において用いる、管理情報記憶部119に保持される入出力経路アクセス権限情報、及びボックス入出力情報を示す。この例は、複合機100が、図1に示したLAN1、LAN2、及びWi-Fiという3つのネットワークに(これらに対応する3つのネットワークインタフェース120を介して)接続されている場合の例である。
図4に示す入出力経路アクセス権限情報は、ネットワークグループを規定する情報である。この情報は、ネットワークグループIDと、これに対応するネットワークインタフェース情報とを含む。ネットワークグループIDは、ネットワークグループを一意に識別するためのIDである。ネットワークインタフェース情報は、当該ネットワークグループIDのネットワークグループを構成するネットワークインタフェースのIDのリストである。図4の例では、「グループ1」は「LAN1」というネットワークインタフェース120(及びその先に繋がるネットワーク)のみから構成され、「グループ5」は「LAN1」及び「Wi-Fi」という2つのネットワークインタフェース120から構成される。このグループの情報は、図5に例示するボックス入出力情報において、ボックスに対する入出力を許可するグループを表すために用いられる。なお、「グループ4」は、ネットワークインタフェース情報の値が「None」(すなわち「なし」)となっているが、これはネットワークインタフェース120経由のボックスへの入出力を一切許可しない場合に用いられる。また、「グループ5」は、例えば「LAN1」と「Wi-Fi」によってそれぞれ接続されるネットワークで同様のセキュリティ要件に従った文書を取り扱う場合に用いられる。このグループをボックスに対応付けた場合、そのボックスで取り扱う(すなわち保存したり出力したりする)文書は、LAN1及びWi-Fiで通信するものに限られる。
図5に示すボックス入出力情報は、ボックス記憶部111内のボックスごとに、そのボックスへの入出力を許可するネットワークグループのIDを規定する。すなわち、図4及び図5の例では、ボックスに対応付けられたネットワークグループに属するネットワークインタフェース120は、そのボックスに対する入力及び出力の両方の経路として許可される。
図5の例では、「ボックス1」という名称のボックス(ボックスIDは「001」)は、グループ1に対応付けられている。したがって、このボックス1については、グループ1に属する「LAN1」というIDのネットワークインタフェース120を経由する入出力は許可されるが、他のネットワークインタフェース120を経由する入出力は許可されない。すなわち、ボックス1についてのネットワーク経由での文書の入出力の許可態様は以下のようになる。
1)LAN1経由での文書保存は許可
2)LAN2又はWi-Fi経由での文書保存は不許可
3)LAN1経由での文書の出力(取り出し及び転送)は許可
4)LAN2又はWi-Fi経由での文書の出力は不許可
なお、この例ではローカルの入出力はデフォルトで許可となっているので、ボックス1へのスキャン及びファクシミリ受信による文書の保存、及びボックス1内の文書の印刷及びファクシミリ送信による出力は許可される。
このように、図4及び図5に示した例は、ボックスごとにいわばそのボックスを利用可能なネットワークを規定するものである。この例では、ボックスのネットワーク経由で利用できる(すなわちボックスを操作できる、ボックスに文書を保存できる、ボックス内の装置を取り出せる、又はその文書の転送先となれる)のは、そのボックスに対応付けられたネットワークグループに属するネットワーク上の装置に限定される。したがって、複数のネットワークで共用される複合機100内の各ボックスを、ネットワークごとに分離することができる。また、この例では、ローカルから(すなわちスキャナ101又はファクシミリ装置105から)ボックス内に保存された文書についても、リモートのコンピュータからその文書を取り出したり、リモートのコンピュータにその文書を転送したりする際に、そのボックスについてのボックス入出力情報が適用される。したがって、そのようなローカルからボックスに保存した文書についても、ボックスを介して意図せぬネットワークに漏洩することが防止される。
次に図6及び図7を参照して、入出力制御部113が実行する処理手順の一例を説明する。
図6は、ユーザがローカルのUI(表示装置107)の画面上であるボックスを操作対象として指定した場合に、入出力制御部113が行う処理の例を示す。この場合、入出力制御部113は、ボックス認証部117にそのボックスについてのアクセス認証処理を行わせる(S10)。ボックス認証部117は、そのボックスにパスワードが設定されている場合は、パスワード入力画面をUIに表示し、ユーザにパスワード入力を求める。これに応じてユーザが入力したパスワードがそのボックスに設定されたパスワードと一致すれば、ボックス認証部117は、認証成功とする。また、ボックスへのアクセスをユーザ認証ベースのアクセス制御リストにより制御する方式の場合は、ボックス認証部117は、図示しないユーザ認証機構にユーザのログイン認証を行わせ、このログイン認証が成功した場合、そのユーザのユーザIDをユーザ認証機構から得る。そして、そのユーザIDがそのボックスに対して何らかのアクセス権(例えばボックスへの文書の保存又は取り出し等の権限)を持っているか否かをそのボックスのアクセス制御リストから判定する。そのユーザがそのボックスに何らかのアクセス権を持っていれば、ボックス認証部117はS10の認証を成功とし、一切アクセス権を持っていなければ認証を失敗とする。入出力制御部113は、ボックス認証部117の認証が成功したか否かを判定する(S12)
ボックス認証部117の認証が失敗した場合、入出力制御部113は、指定されたボックスについての操作が実行不可であることを示すエラー画面をローカルのUIに表示し(S14)、処理を終了する。
ボックス認証部117の認証が成功した場合、入出力制御部113は、そのボックスに関するユーザからの指示が、そのボックス内の文書をネットワーク経由で転送する操作を指示するものであるかどうかを判定する(S16)。例えばFTP(File Transfer Protocol)やSMTP(Simple Mail Transfer Protocol)のようなネットワーク転送のプロトコルを用いた転送操作が指示された場合、S16の判定結果はYesとなる。逆に、そのボックス内の文書の印刷出力、ファクシミリ送信、又はそのスキャン結果の文書のボックス内への保存等の、ネットワーク経由の転送以外の操作が指示された場合は、S16の判定結果がNoとなる。
S16の判定結果がNoの場合、入出力制御部113は、ユーザが指示した処理を実行する(S18)。例えば、ユーザが、スキャンした文書をそのボックスに保存する操作を指示した場合、入出力制御部113は、スキャナ101が生成した文書を受け取ってボックス記憶部111内のそのボックスに保存する。
S16の判定結果がYesの場合、入出力制御部113は、ユーザから指示された転送(送信)の転送先への出力経路がどのネットワークインタフェース120となるかを入出力先判定部115に判定させる。入出力先判定部115は、この判定を、例えば、転送先のアドレス(例えばIPアドレス)がどのネットワークインタフェース120の先にあるネットワークのものかを判定することで行えばよい。そして、入出力制御部113は、管理情報記憶部119を参照して、入出力先判定部115が判定したネットワークインタフェース120が、ボックス入出力情報において当該ボックス内の文書の出力経路として許可されているか否かを判定する(S20)。図4及び図5の例の場合、当該ボックスに対応付けられたネットワークグループ内に、そのネットワークインタフェース120が含まれる場合S20の判定結果はYesとなり、含まれない場合はS20の判定結果はNoとなる。
S20の判定結果がNoの場合、入出力制御部113は、指示された操作が実行不可であることを示すエラー画面をローカルのUIに表示し(S14)、処理を終了する。
S20の判定結果がYesの場合、入出力制御部113は、転送対象に指定された文書を、指定された転送先に転送する(S22)。
図7は、ユーザが複合機100とネットワークを介して接続されたリモートのコンピュータからボックスに対する操作を指示した場合の入出力制御部113が行う処理の例を示す。リモートからのボックスの操作には、例えばボックスに対する文書の保存(すなわち当該コンピュータからボックスへのアップロード)、ボックス内の文書の取り出し(ボックスから当該コンピュータへのダウンロード)、ボックスの操作画面の表示等がある。
この場合、入出力制御部113は、ボックス認証部117にそのボックスについてのアクセス認証処理を行わせる(S30)。リモートからの指示がそのボックス宛の文書保存指示である場合、ボックス認証部117は、例えば、そのボックスに設定されているパスワードがその文書保存指示に含まれているか調べ、含まれていれば認証成功、そうで無ければ認証失敗と判定する。また、リモートのユーザからボックスへのアクセス要求を受けた場合は、ボックス認証部117は、ボックスのパスワードの入力を求め、これに応じて正しいパスワードが入力された場合に、認証成功とする。また、ボックスへのアクセスをアクセス制御リストにより制御する方式の場合は、図6の場合と同様、ユーザ認証が成功していれば、ボックス認証部117は、ログインが成功しているユーザIDをユーザ認証機構から得て、そのユーザIDがそのボックスに対して何らかのアクセス権を持っているか否かをそのボックスのアクセス制御リストから判定する。そのユーザがそのボックスに何らかのアクセス権を持っていれば、ボックス認証部117はS30の認証を成功とする。
ボックス認証部117の認証が失敗した場合、入出力制御部113は、指定されたボックスについての操作が実行不可であることを示すエラー情報をリモートの指示元の装置に表示し(S34)、処理を終了する。
ボックス認証部117の認証が成功した場合、入出力制御部113は、そのボックスに関するリモートのユーザからの指示が、そのボックスへの文書の保存(アップロード)指示、又はボックス内の文書の取り出し(ダウンロード)指示であるかどうかを判定する(S36)。
S36の判定結果がNoの場合、入出力制御部113は、ユーザが指示した処理を実行する(S40)。例えば、ユーザの指示が、そのボックス内の操作画面の表示を求めるものであれば、その操作画面の情報をそのユーザのコンピュータにネットワーク経由で送信する。
S36の判定結果がYesの場合、入出力制御部113は、そのリモートのユーザからの指示を受け取った経路がどのネットワークインタフェース120であるかを入出力先判定部115に判定させる。そして、入出力制御部113は、管理情報記憶部119を参照して、入出力先判定部115が判定したネットワークインタフェース120が、ボックス入出力情報において当該ボックス内の文書の入力または出力の経路として許可されているか否かを判定する(S38)。この判定では、文書保存指示の場合は、判定したネットワークインタフェース120が入力経路として許可されているか否かを判定し、文書のとりだし指示の場合は、そのネットワークインタフェース120が出力経路として許可されているかを判定する。図4及び図5の例の場合、入出力を区別していないので、当該ボックスに対応付けられたネットワークグループ内に、そのネットワークインタフェース120が含まれる場合、S38の判定結果はYesとなり、含まれない場合はS40の判定結果はNoとなる。
S38の判定結果がNoの場合、入出力制御部113は、指示された操作が実行不可であることを示すエラー情報をリモートのユーザのコンピュータに返し(S34)、処理を終了する。指示された操作が文書の保存であった場合、その指示に付随して受信した文書はこのとき破棄される。S38の判定結果がYesの場合、入出力制御部113は、ユーザから指示された操作、例えばボックスへの文書の保存、又はボックス内の文書の取り出しを実行する(S40)。
図7の手順では、リモートのコンピュータからボックスへの操作指示を受けると、その指示とそのコンピュータのあるネットワークとの組合せから、その指示に係る操作が許可できるか否かを判定したが、この指示と判定の順序は一例に過ぎない。この代わりに、ユーザがリモートから複合機100内のボックスにアクセスした際、そのコンピュータからそのボックスに対して文書の入力又は出力が認められるかを入出力制御部113が判定し、認められない操作は例えば操作画面上に選択不可状態(すなわちその操作を画面上で選択できない状態)で表示してもよい。
図7の処理によれば、ボックスに対してユーザがリモートのコンピュータからアクセスした場合、ユーザがそのボックスにアクセス権を持っていたとしても、そのコンピュータがそのボックスに対する入力又は出力を許可されないネットワーク上にある場合には、そのボックスに対する文書の保存又は取り出しを行うことはできない。ただし、この場合でも、文書の保存又は取り出し以外のそのボックスに対するある範囲の操作は許可されるようにしてもよい。また、ボックスにアクセスするコンピュータがそのボックスに対する入力又は出力を許可されないネットワーク上にある場合に、そのボックスの操作画面の表示すら許可しないようにしてもよい。
次に図8及び図9を参照して、管理情報記憶部119に保持されるボックス入出力情報の別の例を説明する。
図8は、この例における入出力経路アクセス権限情報の一例を示す。この入出力経路アクセス権限情報は、図4の例と異なり、入力経路と出力経路とに分けて規定されている。すなわち、図8の入出力アクセス権限情報は、入力許可経路と出力許可経路の組合せを1つのパターンとして、1以上のパターンを規定している。入力許可経路は、そのボックスに対する文書の入力経路として許可される1以上のネットワークインタフェース120であり、出力許可経路は、そのボックス内の文書の出力経路として許可される1以上のネットワークインタフェース120である。例えば、パターン3は、ボックスへの入力経路として、LAN1、LAN2及びWi-Fiの3つのネットワークインタフェース120を許可するが、出力経路としては1つのネットワークインタフェース120も許可しない(「None」)。これは、当該ボックス内の文書は、ネットワーク経由での出力は一切許可しないことを意味する。
図9に示すボックス入出力情報は、ボックス記憶部111内のボックスごとに、そのボックスに設定された入出力アクセス権限情報のパターンIDを規定する。
図9の例では、ボックス1(ボックスIDは「001」)は、パターン1に対応付けられている。したがって、このボックス1については、LAN1及びWi-Fiの2つのネットワークインタフェース120を経由する文書の入力(保存)と、LAN1を経由する文書の出力が許可される。したがって、図1に例示したLAN1、LAN2及びWi-Fiに接続された複合機100の場合、ボックス1についてのネットワーク経由での文書の入出力の許可態様は以下のようになる。
1)LAN1又はWi-Fi経由での文書保存は許可
2)LAN2経由での文書保存は不許可
3)LAN1経由での文書の出力(取り出し及び転送)は許可
4)LAN2又はWi-Fi経由での文書の出力は不許可
このボックス1に対応付けられたパターン1は、例えば、LAN1及びWi-Fiが接続されるネットワークは同様の機密が要求される文書を扱うものであるが、LAN1の方がWi-Fiよりもネットワークとしてのセキュリティが高い場合に有用である。すなわち、ボックス1への文書の入力は当該文書については1回きりの話なのでLAN1及びWi-Fiの両方からの入力を認めても漏洩リスクは少ないが、文書の出力は、1つの文書について何回も行われるので、Wi-Fiよりも漏洩リスクが少ないと考えられるLAN1のみを許可することで、漏洩リスクを低減するのである。
また、パターン3が設定されたボックス3の場合、ネットワーク経由での文書の入出力の許可態様は以下のようになる。
1)LAN1、LAN2又はWi-Fi経由での文書保存は許可
2)LAN1、LAN2又はWi-Fi経由での文書の出力(取り出し及び転送)は不許可
なお、図8に例示したパターンはいずれも出力許可経路として指定されるネットワークインタフェース120が1つだけであったが、出力許可経路に複数のネットワークインタフェース120が設定されていてもよい。
この図8及び図9に例示した入出力経路アクセス権限情報及びボックス入出力情報に基づく入出力制御部113の制御の手順は、図6及び図7に示した手順と同様でよい。
次に、未指定時情報を用いたボックス内の文書の出力制御の例を説明する。
ボックスに対して、文書の出力経路として許可されるネットワークインタフェース120が複数設定されている場合がある。例えば図4のグループ5が設定されているボックスがあった場合、そのボックスはこのケースに該当する。このようなボックス内の文書をネットワーク経由で転送する場合、出力経路として設定されている複数のネットワークインタフェース120のどれを用いてもその転送先に文書が転送できる場合がある。この場合、転送を指示するユーザがその文書の転送の経路とするネットワークインタフェース120を明示的に指定しないと、その文書は、それら複数のネットワークインタフェース120のうちオペレーティングシステムに選ばれたものを経由して転送されることとなる。しかし、例えば前に例示したLAN1とWi-Fiの関係のように、文書出力が許可される経路としてボックスに設定されている複数のネットワークインタフェース120が、同じネットワークに接続されているものの、転送データの漏洩リスクの点では優劣がある場合がある。この場合、それら複数のネットワークインタフェース120からオペレーティングシステムが選択するネットワークインタフェース120が、漏洩リスクの点でよりよいものであるとは限らない。
以上、ユーザが文書転送の経路となるネットワークインタフェース120を指定しない場合を例にとったが、例えば文書の転送を含む処理フロー(特開2013-138284号公報に示される指示書がその一例)をボックスに適用する場合に、その処理フローには転送先の装置の名前やアドレス等は記述されるが、経由するネットワークインタフェースまでは規定されない場合が多い。したがって、ボックスに対して処理フローを用いる場合も、同様の事態が起こり得る。
このような事態を防止するために、この例では、ボックスに対して未指定時情報を設定可能とする。未指定時情報は、ボックス内の文書をネットワーク経由で転送する際に出力経路のネットワークインタフェース120がユーザや処理フロー等により明示的に指定されていない場合に、出力経路として用いるネットワークインタフェース120を規定する。
図10に、図4の入出力経路アクセス権限情報に未指定時情報の項目を追加した例を示す。未指定時情報の項目に示されるネットワークインタフェース120は、ネットワークインタフェース情報の項目に示される1以上のネットワークインタフェース120から選ばれる。図示例では、グループ6が設定されたボックスは、LAN1及びWi-Fi経由で文書の保存及び取り出し・転送が許可されるが、ボックス内の文書の転送指示において経由するネットワークインタフェース120がユーザ等から指定されない場合、入出力制御部113は、その指示に係る転送の際に、未指定時情報に規定されるLAN1を経路として選択する。
このような制御により、ボックス内の文書の転送において経路とするネットワークインタフェース120が明示的に指定されなかった場合に、オペレーティングシステムにより漏洩等の観点で劣っているネットワークインタフェース120が経路として選ばれることが防止される。
なお、以上の実施形態及びその変形例において、ボックス内の文書の転送の際に経由するネットワークインタフェース120としてユーザが明示的に指定したものが、そのボックスのボックス入出力情報において出力経路として許可されないものである場合には、入出力制御部113は、その転送を実施せず、ユーザに対して実行不可の旨を応答する。
図10は、図4の入出力経路アクセス権限情報に未指定時情報の項目を加えたものであったが、図8の入出力経路アクセス権限情報にも同様に未指定時情報の項目を加えて運用することができる。
<ボックス入出力情報の変更指示に対する処理>
ボックスのユーザが部署を異動したり、ネットワーク構成が変更されたりした場合等に、ボックス入出力情報の変更が要望されることがある。しかし、その要望にしたがって不用意にボックス入出力情報を変更してしまうと、その変更の前からボックス内にあった文書が、その文書をボックスに保存したときに想定されていたのとは異なるネットワークにでてしまうおそれがある。これは、その文書にとっては一種の漏洩リスクとなる。そこで、以下では,そのような漏洩リスクを低減する例を説明する。
図11に示すように、この例における複合機100の主制御部110は、図3に示した機能モジュールに加えて、文書属性付加部114、管理情報変更処理部160を備える。
文書属性付加部114は、ボックス記憶部111内のボックスに保存される文書に対して属性情報を付加する。ボックス記憶部111は、各ボックス内の各文書に対応付けてその文書の属性情報が保持されている。図12には、あるボックス内の文書の属性情報の一覧が例示される。図12に例示するように、文書の属性情報には、文書属性付加部114が付加したネット入力フラグ及び重要フラグが含まれる。
ネット入力フラグは、その文書がボックスに保存された際の入力経路がネットワーク経由(すなわちいずれかのネットワークインタフェース120経由)であるか否かを示す2値(以下では一例として「ON」と「OFF」の2値とする)のデータである。前述の通り、ボックスへの文書の入力経路には、ネットワークの他に、スキャナ101やファクシミリ装置105(ファクシミリ文書として受信)等がある。スキャナ101でスキャンした文書やファクシミリ装置105で受信した文書をボックスに保存した場合は、文書属性付加部114は、その文書のIDに対応するネット入力フラグの値を「OFF」にセットする。また、いずれかのネットワークインタフェース120経由で受信した文書については、ネット入力フラグの値を「ON」にセットする。
重要フラグは、重要な文書か否かを示す2値のデータである。この例の文脈で文書が「重要」であるとは、その文書について所定の機密性の確保が求められるという意味である。より具体的には、「重要」な文書には、その文書をボックスに保存したときに想定していた出力先のネットワーク以外のネットワークへ文書が流出することを防止することが求められる。ボックスに保存する文書が「重要」か否かは、例えば、その文書をボックスに保存するユーザが指定する。また、別の例として、入力された文書の内容(例えば本文、又はこれに付加された注釈)に当該文書が「重要」であることを示す所定の文字列(例えば「極秘」、「部外秘」、「機密」等)や所定の注釈データ(例えば「極秘」等のスタンプ画像を示すもの)が含まれている場合には、その文書を「重要」と判定し、そうでない場合には重要でないと判定してもよい。この判定は、文書属性付加部114が行う。なお、保存されている文書が画像データである場合には、文書属性付加部114は、その画像データに対して光学文字認識技術による文字認識を行った上で、判定を行う。
図11の説明に戻ると、管理情報変更処理部160は、管理情報記憶部119に記憶されているボックス入出力情報等のボックスの属性情報に対する変更指示をユーザから受け、その指示に対して属性変更の処理を行う。
管理情報変更処理部160は、ユーザからボックスの属性情報、特にボックス入出力情報の変更指示を受けると、その指示に応じて属性情報の変更を行うことで、ボックス内の文書が想定外のネットワークへと流出しないようにする処理を行う。
図13に、管理情報変更処理部160が実行する処理手順を例示する。この手順は、ユーザから、あるボックスの入出力属性(すなわちボックス入出力情報)の変更操作の開始が指示された場合に実行される。
この手順では、まず管理情報変更処理部160は、変更操作の対象に指定されたボックス内に保存されている文書があるか否かを調べる(S50)。そのボックス内に文書がない場合、管理情報変更処理部160は、そのボックスの入出力属性の変更を許可する(S52)。この場合管理情報変更処理部160は、例えば、そのボックスの入出力属性の変更画面を提供し、ユーザからその入出力属性の変更操作を受け付ける。
S50の判定結果がYes(すなわち対象のボックス内に文書がある)場合、管理情報変更処理部160は、そのボックス内の各文書の属性情報(図12参照)を調べ、それら文書の中にネットワーク経由で入力されたもの、すなわちネット入力フラグが「ON」であるもの、があるか否かを判定する(S54)。S54の判定結果がYesの場合、管理情報変更処理部160は、そのボックスの入出力属性の変更を不許可とする(S56)。この場合、管理情報変更処理部160は、例えば、対象のボックス内に機密保持が要求される文書があるため、入出力属性の変更操作ができないこと等を示すメッセージを(複合機100の表示装置107等に)表示する。このメッセージを見たユーザは、そのボックスの入出力属性の変更の必要性を吟味し、必要ありと判断した場合には、例えば管理者権限でそのボックス内の文書を別の保存領域に移動させるなどの対処を行った後、再びそのボックスの入出力属性の変更操作を行う。
ネットワーク経由で入力された文書は、表計算ソフトやワードプロセッサソフトなどのアプリケーションで生成された文書ファイルであることが多い。そのような文書が流出するとその文書が含んでいる情報が抽出されやすく、不正な再利用がされやすいので、想定外のネットワークへの流出を避けるためにボックスの入出力属性の変更を禁止するのである。これに対し、スキャン入力された文書やファクシミリで受信した文書は、画像データなのでアプリケーションのファイルに比べて情報の不正抽出や不正利用のリスクは低い。
S54の判定結果がNoの場合、管理情報変更処理部160は、そのボックス内の中に重要フラグが「ON」であるものがあるか否かを判定する(S58)。S58の判定結果がYesの場合、管理情報変更処理部160は、そのボックスの入出力属性の変更を不許可とする(S56)。重要フラグがONの文書は、高い機密性を要求されるため、そのような文書がボックス内にある場合には、そのボックスの入出力属性の変更を禁止するのである。
S58の判定結果がNoの場合、管理情報変更処理部160は、そのボックスの入出力属性の変更を許可する(S52)。この場合、そのボックス内に文書が存在するものの、文書保存時に想定されていた出力先のネットワーク以外に出力されることの防止が強く要請される「重要」な文書はボックス内には存在しないので、そのボックスの入出力属性の変更を許可するのである。
このように、図13の処理手順によれば、文書保存時に想定されていた出力先のネットワーク以外に出力されることの防止が強く要請される文書がボックス内にある場合には、そのボックスの入出力属性の変更が禁止される。このため、文書保存時に想定されていた出力先のネットワーク以外のネットワークにボックス内の文書が出ていくリスクが低くなる。
次に、図14を参照して、管理情報変更処理部160が行う処理手順の別の例を説明する。この処理手順では、文書保存時に想定されていた出力先のネットワーク以外に出力されることの防止が強く要請される文書がボックス内にある場合には、当該文書に対して転送不可を示す属性情報を付加した上で、そのボックスの入出力属性の変更を許可する。
図14の手順のうち、S50、S54、及びS58の各ステップは、図13の手順の同符号のステップと同様の処理である。また、対象のボックスに文書がない場合(S50の判定結果がNo)、及び対象のボックスにネット経由で入力された文書及び重要フラグがONに設定された文書が1つもない場合(S54及びS58の両方がNo)の場合に、そのボックスの入出力属性の変更を許可する(S62)のも図13の手順と同様である。
図14の手順では、S54またはS58の判定結果がYesとなった場合、管理情報変更処理部160は、そのボックス内にある、ネット経由で入力された文書又は重要フラグがONに設定された文書に転送不可属性を付加する(S60)。そして、そのボックスの入出力属性の変更を許可する(S62)。
入出力制御部113は、ユーザからボックス内の文書について転送の指示(ローカルUIからの転送指示)又は取り出しの指示(リモートからのダウンロード指示)を受けた場合、その文書に転送不可属性が設定されているか否かを判定する。転送不可属性が設定されている場合は、その転送又は取り出しの指示を拒絶し、転送不可の旨を示すメッセージをユーザに返す。転送不可属性が設定されていない場合には、図6、図7等に示した処理手順に従って転送又は取り出しの可否を判定する。
次に、図15を参照して、管理情報変更処理部160が行う処理手順の更に別の例を説明する。この処理手順では、文書保存時に想定されていた出力先のネットワーク以外に出力されることの防止が強く要請される文書がボックス内にある場合には、当該文書を退避用ボックスに移動した上で、そのボックスの入出力属性の変更を許可する。
すなわち、図15の手順では、管理情報変更処理部160は、あるボックスについてのボックス入出力情報の変更指示を受けると、そのボックスに文書があるか否かを判定し(S60)する。そして、この判定の結果がYesの場合は、ネットワーク経由での文書の出力(転送又はダウンロード)を不可とする入出力属性(ボックス入力情報)を設定した退避用ボックスを新たに生成し(S62)、そのボックス内の文書群をその退避用ボックスに移動する(S64)。これにより、入出力属性の変更対象であるそのボックスの中に文書はなくなる。そして、管理情報変更処理部160は、そのボックスの入出力属性の変更を許可する(S66)。なお、S60の判定結果がNoの場合は、図13の手順と同様、そのボックスの入出力属性の変更を許可する(S66)。
管理情報変更処理部160は、退避用ボックスに文書を退避した場合、入出力属性の変更対象のボックスの管理者に、電子メール等で退避を行った旨を通知してもよい。この通知には、退避用ボックスの識別名、及びそのボックスに設定したパスワード(もしあれば)等、退避した文書を取り出すのに必要な情報を含めてもよい。
以上の例では、退避用ボックスの入出力属性にはネットワーク経由での文書の出力(転送又は取り出し)が不可に設定したが、この代わりに、入出力属性の変更対象のボックスの入出力属性を退避用ボックスにコピーしてもよい。また、退避用ボックスを新たに生成する代わりに、ネットワーク経由での文書の出力が不可に設定された既存の退避用ボックスに、入出力属性の変更対象のボックス内の文書を移動してもよい。
以上の例では、管理情報変更処理部160は、ボックスの入出力属性の変更内容に関わりなく、ボックスの状態、すなわち文書保存時に想定されていた出力先のネットワーク以外に出力されることの防止が強く要請される文書がそのボックス内にあるか否かの状態に基づいて、変更操作を許可するか否かを判定した。この代わりに、その判定を、ボックスの入出力属性の変更内容を考慮に入れて行ってもよい。例えば、管理情報変更処理部160は、対象のボックスの入出力属性の変更の指示をユーザから受け付け、指示された変更後の入出力属性が、そのボックスからのネットワークインタフェース120経由での文書の出力(転送又は取り出し)を不可とするものであれば、その変更を許可する。逆に、指示された変更後の入出力属性が、そのボックスからいずれかのネットワークインタフェース120経由して文書を出力可能とするものであれば、その変更を不許可とする。
また、管理情報変更処理部160は、ボックスの入出力属性の変更指示を行ったのが、複合機100の管理者である場合には、無条件で変更を許可してもよい。
以上、本発明の実施形態を説明した。以上に例示した複合機100の主制御部110は、例えば、複合機100に内蔵されるコンピュータにそれら各装置内の各機能モジュールの機能を表すプログラムを実行させることにより実現してもよい。ここで、コンピュータは、例えば、ハードウエアとして、CPU等のプロセッサ、ランダムアクセスメモリ(RAM)およびリードオンリメモリ(ROM)等のメモリ(一次記憶)、HDD(ハードディスクドライブ)を制御するHDDコントローラ、各種I/O(入出力)インタフェース、ローカルエリアネットワークなどのネットワークとの接続のための制御を行うネットワークインタフェース等が、たとえばバスを介して接続された回路構成を有する。また、そのバスに対し、例えばI/Oインタフェース経由で、CDやDVDなどの可搬型ディスク記録媒体に対する読み取り及び/又は書き込みのためのディスクドライブ、フラッシュメモリなどの各種規格の可搬型の不揮発性記録媒体に対する読み取り及び/又は書き込みのためのメモリリーダライタ、などが接続されてもよい。上に例示した各機能モジュールの処理内容が記述されたプログラムがCDやDVD等の記録媒体を経由して、又はネットワーク等の通信手段経由で、ハードディスクドライブ等の固定記憶装置に保存され、コンピュータにインストールされる。固定記憶装置に記憶されたプログラムがRAMに読み出されCPU等のプロセッサにより実行されることにより、上に例示した機能モジュール群が実現される。
100 複合機、101 スキャナ、103 プリンタ、105 ファクシミリ装置、107 表示装置、109 不揮発性記憶装置、110 主制御部、111 ボックス記憶部、113 入出力制御部、114 文書属性付加部、115 入出力先判定部、117 ボックス認証部、119 管理情報記憶部、120 ネットワークインタフェース、160 管理情報変更処理部、200 コンピュータ。

Claims (11)

  1. 複数のネットワークインタフェースと、
    データを保存する保存領域であって、保存しているデータの出力経路として許可されるネットワークインタフェースを規定する属性が対応付けられている保存領域と、
    前記属性の変更指示を受けた時点での前記保存領域内のデータの有無に関する状態に応じて前記変更指示に対応する前記属性の変更を制御する変更制御手段であって、前記状態が所定条件を満たす場合に、前記変更指示に対応する前記属性の変更を実行しない、変更制御手段と、
    を含み、
    前記状態は、前記変更指示を受けた時点で前記保存領域に保存されているデータがあるかないかを示す状態であり、
    前記所定条件は、前記変更指示を受けた時点で、前記保存領域内にデータがあることである、情報処理装置。
  2. 複数のネットワークインタフェースと、
    データを保存する保存領域であって、保存しているデータの出力経路として許可されるネットワークインタフェースを規定する属性が対応付けられている保存領域と、
    前記属性の変更指示を受けた時点での前記保存領域内のデータの有無に関する状態に応じて前記変更指示に対応する前記属性の変更を制御する変更制御手段であって、前記状態が所定条件を満たす場合に、前記変更指示に対応する前記属性の変更を実行しない、変更制御手段と、
    前記保存領域に保存したデータごとに、そのデータが前記複数のネットワークインタフェースのいずれかを経由して入力されたものか否かを記憶する手段と、
    を含み、
    前記状態は、前記変更指示を受けた時点で前記保存領域内に前記複数のネットワークインタフェースのいずれかを経由して入力されたデータがあるか否かを示す状態であり、
    前記所定条件は、前記変更指示を受けた時点で、前記保存領域内に前記複数のネットワークインタフェースのいずれかを経由して入力されたデータがあることである、情報処理装置。
  3. 複数のネットワークインタフェースと、
    データを保存する保存領域であって、保存しているデータの出力経路として許可されるネットワークインタフェースを規定する属性が対応付けられている保存領域と、
    前記属性の変更指示を受けた時点での前記保存領域内のデータの有無に関する状態に応じて前記変更指示に対応する前記属性の変更を制御する変更制御手段であって、前記状態が所定条件を満たす場合に、前記変更指示に対応する前記属性の変更を実行しない、変更制御手段と、
    を含み、
    前記状態は、前記変更指示を受けた時点で前記保存領域内に予め定められた重要データ条件を満たすデータがあるかないかを示す状態であり、
    前記所定条件は、前記変更指示を受けた時点で、前記保存領域内に前記重要データ条件を満たすデータがあることである、情報処理装置。
  4. 前記変更指示が、前記複数のネットワークインタフェースのいずれも前記出力経路として許可しない旨を示す属性への変更を指示するものである場合には、前記状態が前記所定条件を満たす場合でも、前記変更指示に対応する前記属性の変更を実行する、請求項1~3のいずれか1項に記載の情報処理装置。
  5. 前記変更制御手段は、前記状態が所定条件を満たす場合に、前記変更指示に対応する前記属性の変更を実行しないことに代えて、前記変更指示を受けた時点で前記保存領域内にあるデータの転送を禁止した上で、前記変更指示に対応する前記属性の変更を実行する、請求項1~3のいずれか1項に記載の情報処理装置。
  6. 前記変更制御手段は、前記状態が所定条件を満たす場合に、前記変更指示に対応する前記属性の変更を実行しないことに代えて、前記変更指示を受けた時点で前記保存領域内にあるデータを別の保存領域に退避させた上で、前記変更指示に対応する前記属性の変更を実行する、請求項1~3のいずれか1項に記載の情報処理装置。
  7. 前記変更制御手段は、前記状態が所定条件を満たす場合に、前記複数のネットワークインタフェースのいずれも前記出力経路として許可しない旨を示す属性、又は前記保存領域に対応付けられた前記属性と同じ属性、を持つ保存領域を前記別の保存領域として新たに生成し、当該別の保存領域に前記保存領域のデータを退避させる、請求項6に記載の情報処理装置。
  8. 前記変更制御手段は、前記変更指示を行った者が前記情報処理装置の管理者である場合には、前記変更指示に従って前記属性を変更する、請求項1~7のいずれか1項に記載の情報処理装置。
  9. 複数のネットワークインタフェースと、
    データを保存する保存領域であって、保存しているデータの出力経路として許可されるネットワークインタフェースを規定する属性が対応付けられている保存領域と、
    を備えるコンピュータを、
    前記属性の変更指示を受けた時点での前記保存領域内のデータの有無に関する状態に応じて前記変更指示に対応する前記属性の変更を制御する変更制御手段であって、前記状態が所定条件を満たす場合に、前記変更指示に対応する前記属性の変更を実行しない、変更制御手段、
    として機能させるためのプログラムであって、
    前記状態は、前記変更指示を受けた時点で前記保存領域に保存されているデータがあるかないかを示す状態であり、
    前記所定条件は、前記変更指示を受けた時点で、前記保存領域内にデータがあることである、プログラム。
  10. 複数のネットワークインタフェースと、
    データを保存する保存領域であって、保存しているデータの出力経路として許可されるネットワークインタフェースを規定する属性が対応付けられている保存領域と、
    前記保存領域に保存したデータごとに、そのデータが前記複数のネットワークインタフェースのいずれかを経由して入力されたものか否かを記憶する手段と、
    を備えるコンピュータを、
    前記属性の変更指示を受けた時点での前記保存領域内のデータの有無に関する状態に応じて前記変更指示に対応する前記属性の変更を制御する変更制御手段あって、前記状態が所定条件を満たす場合に、前記変更指示に対応する前記属性の変更を実行しない、変更制御手段、
    として機能させるためのプログラムであって、
    前記状態は、前記変更指示を受けた時点で前記保存領域内に前記複数のネットワークインタフェースのいずれかを経由して入力されたデータがあるか否かを示す状態であり、
    前記所定条件は、前記変更指示を受けた時点で、前記保存領域内に前記複数のネットワークインタフェースのいずれかを経由して入力されたデータがあることである、プログラム。
  11. 複数のネットワークインタフェースと、
    データを保存する保存領域であって、保存しているデータの出力経路として許可されるネットワークインタフェースを規定する属性が対応付けられている保存領域と、
    を備えるコンピュータを、
    前記属性の変更指示を受けた時点での前記保存領域内のデータの有無に関する状態に応じて前記変更指示に対応する前記属性の変更を制御する変更制御手段あって、前記状態が所定条件を満たす場合に、前記変更指示に対応する前記属性の変更を実行しない、変更制御手段、
    として機能させるためのプログラムであって、
    前記状態は、前記変更指示を受けた時点で前記保存領域内に予め定められた重要データ条件を満たすデータがあるかないかを示す状態であり、
    前記所定条件は、前記変更指示を受けた時点で、前記保存領域内に前記重要データ条件を満たすデータがあることである、プログラム。
JP2018071316A 2018-04-03 2018-04-03 情報処理装置及びプログラム Active JP7163606B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2018071316A JP7163606B2 (ja) 2018-04-03 2018-04-03 情報処理装置及びプログラム
US16/365,687 US11182116B2 (en) 2018-04-03 2019-03-27 Information processing apparatus and non-transitory computer readable medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018071316A JP7163606B2 (ja) 2018-04-03 2018-04-03 情報処理装置及びプログラム

Publications (2)

Publication Number Publication Date
JP2019185154A JP2019185154A (ja) 2019-10-24
JP7163606B2 true JP7163606B2 (ja) 2022-11-01

Family

ID=68056207

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018071316A Active JP7163606B2 (ja) 2018-04-03 2018-04-03 情報処理装置及びプログラム

Country Status (2)

Country Link
US (1) US11182116B2 (ja)
JP (1) JP7163606B2 (ja)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008055776A (ja) 2006-08-31 2008-03-13 Canon Inc 画像形成装置、データ処理方法、プログラム
JP2010028242A (ja) 2008-07-15 2010-02-04 Canon Inc ワークフロー処理装置及びワークフロー処理方法
JP2016177672A (ja) 2015-03-20 2016-10-06 富士ゼロックス株式会社 情報処理装置及びプログラム
JP2016181102A (ja) 2015-03-24 2016-10-13 富士ゼロックス株式会社 情報処理装置及びプログラム

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5511332B2 (ja) 2009-11-30 2014-06-04 キヤノン株式会社 通信装置及び方法、並びにプログラム
JP5536681B2 (ja) * 2011-01-14 2014-07-02 アラクサラネットワークス株式会社 ネットワーク装置およびその制御方法、並びにコンピュータプログラム
JP5880035B2 (ja) 2011-12-28 2016-03-08 富士ゼロックス株式会社 画像形成装置及びプログラム
JP6631065B2 (ja) * 2014-11-25 2020-01-15 株式会社リコー 通信路切替装置、通信路切替装置の制御方法、及びプログラム
JP7124357B2 (ja) * 2018-03-12 2022-08-24 富士フイルムビジネスイノベーション株式会社 情報処理装置及びプログラム
JP6996378B2 (ja) * 2018-03-22 2022-01-17 富士フイルムビジネスイノベーション株式会社 情報処理装置及びプログラム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008055776A (ja) 2006-08-31 2008-03-13 Canon Inc 画像形成装置、データ処理方法、プログラム
JP2010028242A (ja) 2008-07-15 2010-02-04 Canon Inc ワークフロー処理装置及びワークフロー処理方法
JP2016177672A (ja) 2015-03-20 2016-10-06 富士ゼロックス株式会社 情報処理装置及びプログラム
JP2016181102A (ja) 2015-03-24 2016-10-13 富士ゼロックス株式会社 情報処理装置及びプログラム

Also Published As

Publication number Publication date
JP2019185154A (ja) 2019-10-24
US11182116B2 (en) 2021-11-23
US20190303070A1 (en) 2019-10-03

Similar Documents

Publication Publication Date Title
US8533468B2 (en) Image forming apparatus, launching method of program in the apparatus, image forming system, and program and storage medium therefor
US8745756B2 (en) Device management system, device management apparatus, device management method, program for implementing the method, and storage medium storing the program
JP5004868B2 (ja) 情報処理装置及びその制御方法、並びにプログラム
US9332136B2 (en) Image processing apparatus, image processing system, control method of image processing apparatus, and storage medium
JP2009282611A5 (ja)
JP2010020397A (ja) 情報処理装置及び情報処理方法
JP7124357B2 (ja) 情報処理装置及びプログラム
JP2007189668A (ja) 画像形成装置、アクセス制御方法、アクセス制御プログラム及び記録媒体
JP6996378B2 (ja) 情報処理装置及びプログラム
JP5137858B2 (ja) 画像処理装置、画像処理方法、記憶媒体、プログラム
JP2007128234A (ja) 画像形成装置、セキュリティ機能の設定方法、セキュリティ機能を設定するコンピュータプログラム及び記録媒体
JP7163606B2 (ja) 情報処理装置及びプログラム
JP7081403B2 (ja) 情報処理装置及びプログラム
US11425273B2 (en) Information processing apparatus for controlling access rights of storage areas via different network interfaces and non-transitory computer readable medium storing program
JP2020014086A (ja) データ送信システム、およびデータ送信装置
US20140101210A1 (en) Image processing apparatus capable of easily setting files that can be stored, method of controlling the same, and storage medium
JP2009053771A (ja) 電子文書管理サーバ
JP2006110911A (ja) 印刷システムおよび印刷装置
JP2023036218A (ja) 情報処理装置およびプログラム
JP2023074733A (ja) 画像処理装置およびその制御方法、画像処理システム、プログラム
JP2008023937A (ja) 画像形成装置
JP2007272460A (ja) ネットワークシステムおよびその制御方法
JP2006287869A (ja) 画像データ管理装置、画像形成装置、プログラム、記録媒体、及び画像データ管理方法
JP2013054700A (ja) 情報処理装置、情報処理システム、及び情報処理プログラム
JP2014116723A (ja) 画像形成装置および画像データ保存システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210319

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20211208

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220201

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220401

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220712

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220905

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220920

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20221003

R150 Certificate of patent or registration of utility model

Ref document number: 7163606

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150