JP7215181B2 - ファイルアクセス制御方法、コンピュータプログラム及びコンピュータ - Google Patents
ファイルアクセス制御方法、コンピュータプログラム及びコンピュータ Download PDFInfo
- Publication number
- JP7215181B2 JP7215181B2 JP2019007053A JP2019007053A JP7215181B2 JP 7215181 B2 JP7215181 B2 JP 7215181B2 JP 2019007053 A JP2019007053 A JP 2019007053A JP 2019007053 A JP2019007053 A JP 2019007053A JP 7215181 B2 JP7215181 B2 JP 7215181B2
- Authority
- JP
- Japan
- Prior art keywords
- file
- application program
- access
- plaintext
- encrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
Description
本発明は、ファイルアクセス制御方法、コンピュータプログラム及びコンピュータに関する。
特許文献1に、復号化処理をより安全かつ効率良く行えるとともに、ファイルへのアクセスを各種設定に応じて制限することができコンテンツの漏洩と不正利用を防ぐことができるというファイルアクセス制限装置が開示されている。同文献によると、このファイルアクセス制限装置は、アプリケーションと、ローカルサーバ(アクセス処理手段)とを備えるとされている。ローカルサーバ(アクセス処理手段)は、前記アプリケーションからのアクセスに応じて2次記憶手段に記憶された前記暗号化データを復号処理する復号処理手段を備える。そして、アプリケーションは、ローカルサーバ(アクセス処理手段)を介して2次記憶手段の暗号化ファイルにアクセスする。さらに、特許文献1の請求項7には、このファイルアクセス制限装置が、前記復号処理手段による前記暗号化データの復号処理時に復号化データを一時記憶する1次記憶手段を備えることが記載されている。
以下の分析は、本発明によって与えられたものである。文書ファイルからの情報漏洩を防ぐ目的で、ファイル暗号化プログラムを使用し、ファイルを暗号化して日常業務を行うことが行われている。しかしながら、このような運用を行う場合、暗号化したファイルを閲覧する都度、復号処理を行う必要があるため、平文ファイルを操作する場合に比べ、ファイルの操作に時間を要してしまうという問題点がある。また、ファイルサイズが大きくなると暗復号に要する時間も増大し、効率の良い業務遂行に支障を来たしてしまうという問題点もある。
この点、特許文献1のファイルアクセス制限装置では、一旦復号した後、復号化データは、1次記憶手段に一時記憶されるため、ファイルの操作の時間を短縮することができる。しかしながら、特許文献1のファイルアクセス制限装置では、コンテンツの漏洩や不正利用を防ぐことに主眼を置いているため、復号化データが消えてしまうという問題点がある。さらに、特許文献1では、利用者へのコンテンツを配布することを主眼としているため、利用者が、復号化データを更新することやそのデータの保存については想定されていない。
本発明は、文書ファイル等の更新が行われるファイルの情報漏洩防止と、業務の効率化の両立に貢献できるファイルアクセス制御方法、コンピュータプログラム及びコンピュータを提供することを目的とする。
第1の視点によれば、アクセス制限が行われる所定の管理領域に保存された平文ファイルと、前記平文ファイルを暗号化した暗号化ファイルと、を対応付けて管理し、アプリケーションプログラムから、前記暗号化ファイルに対するアクセス要求を受けた場合に、前記アプリケーションプログラムのユーザが前記暗号化ファイルに対するアクセス権限を有するか否かを確認し、前記アプリケーションプログラムのユーザが前記暗号化ファイルに対するアクセス権限を有すると判定した場合、前記平文ファイルへのアクセスを許可し、前記アプリケーションプログラムのユーザが前記暗号化ファイルの変更権限を有する場合、前記アプリケーションプログラムのユーザに、前記平文ファイルの変更を許可し、前記変更後の平文ファイルを前記所定の管理領域に保存するとともに、前記変更後の平文ファイルを暗号化して保存するファイルアクセス制御方法が提供される。本方法は、平文ファイルと暗号化ファイルとを対応付けて管理するコンピュータという、特定の機械に結びつけられている。
第2の視点によれば、アクセス制限が行われる所定の管理領域に保存された平文ファイルと、前記平文ファイルを暗号化した暗号化ファイルと、を対応付けて管理するファイルアクセス制御機能を実現するコンピュータプログラムであって、アプリケーションプログラムから、前記暗号化ファイルに対するアクセス要求を受けた場合に、前記アプリケーションプログラムのユーザが前記暗号化ファイルに対するアクセス権限を有するか否かを確認する処理と、前記アプリケーションプログラムのユーザが前記暗号化ファイルに対するアクセス権限を有すると判定した場合、前記平文ファイルへのアクセスを許可する処理と、前記アプリケーションプログラムのユーザが前記暗号化ファイルの変更権限を有する場合、前記アプリケーションプログラムのユーザに、前記平文ファイルの変更を許可し、前記変更後の平文ファイルを前記所定の管理領域に保存するとともに、前記変更後の平文ファイルを暗号化して保存する処理と、を実行させるコンピュータプログラムが提供される。なお、このプログラムは、コンピュータが読み取り可能な(非トランジトリーな)記憶媒体に記録することができる。即ち、本発明は、コンピュータプログラム製品として具現することも可能である。また、このプログラムは、コンピュータ装置に入力装置又は外部から通信インタフェースを介して入力され、記憶装置に記憶されて、プロセッサを所定のステップないし処理に従って駆動させ、必要に応じ中間状態を含めその処理結果を段階毎に表示装置を介して表示することができ、あるいは通信インタフェースを介して、外部と交信することができる。そのためのコンピュータ装置は、一例として、典型的には互いにバスによって接続可能なプロセッサ、記憶装置、入力装置、通信インタフェース、及び必要に応じ表示装置を備える。
第3の視点によれば、アクセス制限が行われる所定の管理領域に保存された平文ファイルと、前記平文ファイルを暗号化した暗号化ファイルと、を対応付けて管理するファイルアクセス制御部を備え、前記ファイルアクセス制御部は、アプリケーションプログラムから、前記暗号化ファイルに対するアクセス要求を受けた場合に、前記アプリケーションプログラムのユーザが前記暗号化ファイルに対するアクセス権限を有するか否かを確認し、前記アプリケーションプログラムのユーザが前記暗号化ファイルに対するアクセス権限を有すると判定した場合、前記平文ファイルへのアクセスを許可し、前記アプリケーションプログラムのユーザが前記暗号化ファイルの変更権限を有する場合、前記アプリケーションプログラムのユーザに、前記平文ファイルの変更を許可し、前記変更後の平文ファイルを前記所定の管理領域に保存するとともに、前記変更後の平文ファイルを暗号化して保存するコンピュータが提供される。
本発明によれば、文書ファイル等の更新が行われるファイルの情報漏洩防止と、業務の効率化とを両立することが可能となる。
はじめに本発明の一実施形態の概要について図面を参照して説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、本発明を図示の態様に限定することを意図するものではない。また、以降の説明で参照する図面等のブロック間の接続線は、双方向及び単方向の双方を含む。一方向矢印については、主たる信号(データ)の流れを模式的に示すものであり、双方向性を排除するものではない。また、図中の各ブロックの入出力の接続点には、ポート乃至インタフェースがあるが図示省略する。また、以下の説明において、「A及び/又はB」は、A及びBの少なくともいずれかという意味で用いる。また、図中の各ブロックの入出力の接続点には、ポート乃至インタフェースがあるが図示省略する。また、プログラムはコンピュータ装置を介して実行され、コンピュータ装置は、例えば、プロセッサ、記憶装置、入力装置、通信インタフェース、及び必要に応じ表示装置を備える。また、コンピュータ装置は、通信インタフェースを介して装置内又は外部の機器(コンピュータを含む)と、有線、無線を問わず、交信可能に構成される。
本発明は、その一実施形態において、図1に示すように、ファイルアクセス制御部11を備えたコンピュータ10にて実現できる。より具体的には、このファイルアクセス制御部11は、アクセス制限が行われる所定の管理領域12に保存された平文ファイルPと、前記平文ファイルPを暗号化した暗号化ファイルCと、を対応付けて管理する。
図2に示すように、アプリケーションプログラム20のユーザは、暗号化ファイルCを閲覧、編集をしたい場合、アプリケーションプログラム20を介して、ファイルアクセス制御部11に対して暗号化ファイルCのアクセス要求を行う。
前記要求を受けたファイルアクセス制御部11は、図3に示すように、前記アプリケーションプログラム20のユーザが暗号化ファイルCに対するアクセス権限を有するか否かを確認する。
前記確認の結果、前記アプリケーションプログラム20のユーザが暗号化ファイルCに対するアクセス権限を有すると判定した場合、ファイルアクセス制御部11は、図4に示すように、暗号化ファイルCではなく、平文ファイルPへのアクセスを許可する。
また、アプリケーションプログラム20のユーザが前記暗号化ファイルCの変更権限を有する場合も、ファイルアクセス制御部11は、図4と同様に、アプリケーションプログラム20のユーザに、平文ファイルPの変更(更新)を許可する。さらに、平文ファイルPが変更(更新)された場合、ファイルアクセス制御部11は、図5に示すように、変更(更新)後の平文ファイルP’を、前記所定の管理領域12に保存する。また、ファイルアクセス制御部11は、前記変更(更新)後の平文ファイルを暗号化して暗号化ファイルC’を作成して保存する(図5参照)。
以上、説明したように、本実施形態によれば、復号処理を省略して暗号化ファイルの閲覧、更新を行うことが可能となる。これにより、ファイルを取り扱う業務を効率化するだけでなく、また、従業員等のファイル取り扱い者が煩わしさから暗号化を省略してファイルをやり取りするケースを減らすことが可能となる。
[第1の実施形態]
続いて、本発明の第1の実施形態について図面を参照して詳細に説明する。図6は、本発明の第1の実施形態のコンピュータの構成を示す図である。図6を参照すると、アプリケーションプログラム101がインストールされたコンピュータ100が示されている。また、コンピュータ100は、ファイルアクセス制御部102とファイル暗号化部103とを備えている。さらに、コンピュータ100は、その記憶装置に、暗号化ファイル104と、平文ファイル106とを記憶可能となっている。このうち、平文ファイル106は、管理領域105に保存されている。
続いて、本発明の第1の実施形態について図面を参照して詳細に説明する。図6は、本発明の第1の実施形態のコンピュータの構成を示す図である。図6を参照すると、アプリケーションプログラム101がインストールされたコンピュータ100が示されている。また、コンピュータ100は、ファイルアクセス制御部102とファイル暗号化部103とを備えている。さらに、コンピュータ100は、その記憶装置に、暗号化ファイル104と、平文ファイル106とを記憶可能となっている。このうち、平文ファイル106は、管理領域105に保存されている。
暗号化ファイル104は、アプリケーションプログラム101による操作対象となるファイルである。暗号化ファイル104は、ZIP、RAR等の各種のアーカイブフォーマットで暗号化されたファイルであってもよい。
平文ファイル106は、暗号化されたファイル104を暗号化する前の平文ファイルである。
アプリケーションプログラム101はコンピュータ100上で動作するプログラムであり、暗号化ファイル104にアクセスして、暗号化ファイルの内容を閲覧・編集する機能を有する。
ファイルアクセス制御部102は、アプリケーションプログラム101が暗号化ファイル104にアクセスする際、そのアクセス処理に介入し、ファイルアクセスを制御する。具体的には、ファイルアクセス制御部102は、平文ファイル106を暗号化する際に、暗号化ファイル104に平文ファイル106を紐づけしてから、ファイル暗号化部103に渡す。このとき、ファイルアクセス制御部102は、暗号化ファイル104に紐づけた平文ファイル106を管理領域105に保存する。
また、アプリケーションプログラム101から暗号化ファイル104へのアクセスを受け付けた際、ファイルアクセス制御部102は、アプリケーションプログラム101を使用するユーザの暗号化ファイル104へのアクセス権限を確認する。前記確認の結果、ユーザがアクセス権限を有している場合、ファイルアクセス制御部102は、アプリケーションプログラム101から暗号化ファイル104へのアクセスを許可し、アプリケーションプログラム101に平文ファイル106を渡す。
さらに、前記確認の結果、ユーザが暗号化ファイル104の編集権限を有している場合、ファイルアクセス制御部102は、アプリケーションプログラム101に平文ファイル106の編集を許可する。アプリケーションプログラム101にて、平文ファイル106の編集が完了すると、ファイルアクセス制御部102は、ファイル暗号化部103に平文ファイル106を送り、暗号化を依頼する。最終的に、ファイルアクセス制御部102は、従前の暗号化ファイル104を、アプリケーションプログラム101が編集した平文ファイル106を暗号化した暗号化ファイルに置き換える。
ファイル暗号化部103は、ファイルアクセス制御部102から渡された平文ファイル106を暗号化し、ファイルアクセス制御部102に返す。その際に、ファイル暗号化部103は、暗号化したファイルにファイルアクセス権限情報を付与する。
管理領域105は、ファイルアクセス制御部102によって管理されている領域である。管理領域105は、アプリケーションプログラム101を使用するユーザが暗号化ファイル104へアクセス可能な権限を持っている場合に、アクセス可能となるように制御される。管理領域105は、例えば、アクセス制限や隠し属性を付与したファルダやディレクトリにより構成することができる。この管理領域105は、暗号化ファイルの管理を開始する前に、オペレーションシステムやアプリケーションプログラム101により作成されることが好ましい。
続いて、本実施形態の動作について図面を参照して詳細に説明する。図7は、本発明の第1の実施形態のコンピュータの動作(暗号化ファイル作成処理)を表したフローチャートである。本処理は、アプリケーションプログラム101等から、ファイルアクセス制御部102に、ファイルが渡されたことにより開始される。
図7を参照すると、まず、ファイルアクセス制御部102は、暗号化前のファイルを平文ファイル106とした上で、暗号化前のファイルと紐づける(ステップS1)。
次に、ファイルアクセス制御部102は、暗号化前のファイルをファイル暗号化部103に送り、暗号化を指示する。ファイル暗号化部103は、暗号化前のファイルを暗号化し、暗号化ファイル104を返す。ファイルアクセス制御部102は、所定の記憶領域に、暗号化ファイル104を平文ファイル106と紐づけて保存する(ステップS2)。
なお、上記ステップS2において、ファイル暗号化部103が暗号化した暗号化ファイル104には、ユーザのアクセス権限情報が付与されている。ここで、ファイル暗号化部103が、アクセス権限情報を付与する方法としては、所定の「ユーザAは閲覧権限、ユーザBは編集権限」といったアクセス権限情報をファイルに埋め込む方法が考えられる。また、アクセス権限情報をファイルに埋め込む方法とは別の方法として、アクセス権限情報に対応する共通鍵でファイルを暗号化する方法なども考えられる。また、前記アクセス権限情報は、ユーザ権限管理サーバによって管理させる構成を採ることができる。
続いて、アプリケーションプログラム101からファイル閲覧要求を受け取った際のファイルアクセス制御部102の動作について説明する。図8は、本発明の第1の実施形態のコンピュータの動作(ファイル閲覧要求応答処理)を表したフローチャートである。本処理はアプリケーションプログラム101が暗号化されたファイル104を閲覧するために、ファイルにアクセスしようとする動作により開始される。
アプリケーションプログラム101からファイルにアクセス要求を受け取ると、ファイルアクセス制御部102は、アプリケーションプログラム101のユーザが暗号化ファイル104への閲覧権限があるか否かを確認する(ステップS11)。この判定は、暗号化ファイル104に埋め込まれたアクセス権限情報を用いて、所定のユーザ権限管理サーバに、該当するユーザが閲覧権限を持つ否かを確認する方法を採ることができる。また、暗号化ファイル104が、アクセス権限情報に対応する共通鍵で暗号化されている場合、アプリケーションプログラム101のユーザが暗号化時と共通の鍵を持っているか否かにより確認することができる。
前記確認の結果、アプリケーションプログラム101のユーザが暗号化ファイル104への閲覧権限を持つ場合、ファイルアクセス制御部102は、アプリケーションプログラム101に暗号化ファイル104に紐づいた平文ファイル106を渡す。アプリケーションプログラム101は渡された平文ファイル106を開いて、ユーザに閲覧させる(ステップS12)。
なお、ステップS11において、アプリケーションプログラム101のユーザが暗号化ファイル104への閲覧権限を持たないと判定した場合、ファイルアクセス制御部102は、閲覧要求を拒否する。この場合、アプリケーションプログラム101のユーザは、暗号化ファイル104を閲覧できないことになる。このときに必要に応じて、ファイルアクセス制御部102が、アプリケーションプログラム101に、閲覧を拒否する理由を示したメッセージの表示を指示してもよい。
続いて、アプリケーションプログラム101からファイル編集要求を受け取った際のファイルアクセス制御部102の動作について説明する。図9は、本発明の第1の実施形態のコンピュータの動作(ファイル編集要求応答処理)を表したフローチャートである。本処理は、アプリケーションプログラム101が暗号化された暗号化ファイル104を編集するために、ファイルにアクセスしようとする動作により開始される。また、暗号化ファイル104を閲覧中のユーザがアプリケーションプログラム101に対して編集操作を行った際に、本処理を開始してもよい。
アプリケーションプログラム101からファイルにファイル編集要求を受け取ると、ファイルアクセス制御部102は、アプリケーションプログラム101のユーザが暗号化ファイル104への編集権限があるか否かを確認する(ステップS21)。この判定は、暗号化ファイル104に埋め込まれたアクセス権限情報を用いて、所定のユーザ権限管理サーバに、該当するユーザが編集権限を持つ否かを確認する方法を採ることができる。また、暗号化ファイル104が、編集権限を示すアクセス権限情報に対応する共通鍵で暗号化されている場合、アプリケーションプログラム101のユーザが暗号化時と共通の鍵(復号鍵)を持っているか否かにより確認することができる。
前記確認の結果、アプリケーションプログラム101のユーザが暗号化ファイル104の編集権限を持つ場合、ファイルアクセス制御部102は、アプリケーションプログラム101に暗号化ファイル104に紐づいた平文ファイル106を渡す。アプリケーションプログラム101は渡された平文ファイル106を開いて、ユーザに閲覧、編集させる(ステップS22)。編集後の平文ファイル106は、管理領域105上で更新される。
アプリケーションプログラム101においてファイル保存がなされると、ファイルアクセス制御部102は、アプリケーションプログラム101から、編集された平文ファイル106を取得する。次に、ファイルアクセス制御部102は、前記編集された平文ファイル106の内容で、管理領域105に、暗号化ファイル104と同様の拡張子のファイルを作成する(ファイル104’とする)。
そして、ファイルアクセス制御部102は、ファイル暗号化部103に対し、前記作成したファイル104’を渡し、暗号化を指示する。ファイル暗号化部103は、ファイル104’を暗号化して新しい暗号化ファイル104’を作成し、ファイルアクセス制御部102に返す。最後に、ファイルアクセス制御部102は、暗号化ファイル104を、新しい暗号化ファイル104’に置き換え、新しい暗号化ファイル104’に、更新後の平文ファイル106を紐づける(ステップS23)。このような処理を経ることにより、暗号化ファイル104を平文化することなく、編集することができる。また、平文ファイル自体は、アクセス制限が行われる管理領域内で管理されるので、漏洩等するリスクは最小限に抑えられる。
以上説明したように、本実施形態によれば、暗号化ファイルの復号処理を行うことなく目的とするファイルの操作が可能となる。その理由は、暗号化ファイルに紐づけた平文ファイルを管理領域に配置した上で制限付きで利用する構成を採用したことにある。
また、本実施形態によれば、セキュリティを確保しつつ、暗号化ファイルへのアクセス時間を短縮することが可能となっている。その理由は、暗号化ファイルに埋め込まれたアクセス権限情報の確認や共通鍵を保持しているか否かにより権限を確認する構成を採用したことにある。
以上、本発明の各実施形態を説明したが、本発明は、上記した実施形態に限定されるものではなく、本発明の基本的技術的思想を逸脱しない範囲で、更なる変形・置換・調整を加えることができる。例えば、各図面に示した装置構成、各要素の構成、情報要素の表現形態は、本発明の理解を助けるための一例であり、これらの図面に示した構成に限定されるものではない。
例えば、図10に示すように、上記したコンピュータ100のファイル暗号化部103を、復号機能を備えたファイル暗復号部103aに置き換えることもできる(第2の実施形態)。この構成によれば、暗号化ファイル104の暗号化時に平文ファイル106を紐づけるのではなく、暗号化ファイル104の復号時に、平文ファイル106と紐づけする構成を採ることができる。すなわち、図10の構成によれば、暗号化された暗号化ファイル104の最初の閲覧・編集に伴う復号時に、平文ファイル106との紐づけを行い、以降の閲覧・編集時に、紐づけされた平文ファイル106を閲覧・編集することが可能となる。
また例えば、上記した実施形態では、コンピュータ100、100aが、暗号化ファイルの置き換えを行うものとして説明したが、暗号化ファイルの置き換えに代えて、暗号化ファイルの版を変えて一定期間、一定版数分、保存するものとしてもよい。
また、上記した実施形態に示した手順は、コンピュータ(図11の9000)に、上記した機能を実現させるプログラムにより実現可能である。このようなコンピュータは、図11のCPU(Central Processing Unit)9010、通信インタフェース9020、メモリ9030、補助記憶装置9040を備える構成に例示される。すなわち、図11のCPU9010にて、ファイルアクセス制御プログラムや暗号化処理プログラムを実行し、その補助記憶装置9040等に保持された各計算パラメーターの更新処理を実施させればよい。
即ち、上記した実施形態に示したコンピュータ10、100、100aの各部(処理手段、機能)は、これらコンピュータに搭載されたプロセッサに、そのハードウェアを用いて、上記した各処理を実行させるコンピュータプログラムにより実現することができる。
最後に、本発明の好ましい形態を要約する。
[第1の形態]
(上記第1の視点によるファイルアクセス制御方法参照)
[第2の形態]
上記したファイルアクセス制御方法において、暗号化ファイルを最初に復号した際に平文ファイルが作成される構成を採ることができる。
[第3の形態]
上記したファイルアクセス制御方法において、
前記暗号化ファイルの管理を開始する前に、前記平文ファイルの保存用の、アクセス制限が行われる管理領域を作成する構成を採ることができる。
[第4の形態]
上記したファイルアクセス制御方法において、
前記アプリケーションプログラムのユーザが前記暗号化ファイルの復号鍵を有しているか否かにより、前記アプリケーションプログラムのユーザが前記暗号化ファイルに対するアクセス権限を有するか否かを確認する構成を採ることができる。
[第5の形態]
上記したファイルアクセス制御方法において、
所定の権限管理サーバに対して問い合わせることにより、前記アプリケーションプログラムのユーザが前記暗号化ファイルに対するアクセス権限を有するか否かを確認する構成を採ることができる。
[第6の形態]
(上記第2の視点によるコンピュータプログラム参照)
[第7の形態]
(上記第3の視点によるコンピュータ参照)
なお、上記第6、第7の形態は、第1の形態と同様に、第2~第5の形態に展開することが可能である。
[第1の形態]
(上記第1の視点によるファイルアクセス制御方法参照)
[第2の形態]
上記したファイルアクセス制御方法において、暗号化ファイルを最初に復号した際に平文ファイルが作成される構成を採ることができる。
[第3の形態]
上記したファイルアクセス制御方法において、
前記暗号化ファイルの管理を開始する前に、前記平文ファイルの保存用の、アクセス制限が行われる管理領域を作成する構成を採ることができる。
[第4の形態]
上記したファイルアクセス制御方法において、
前記アプリケーションプログラムのユーザが前記暗号化ファイルの復号鍵を有しているか否かにより、前記アプリケーションプログラムのユーザが前記暗号化ファイルに対するアクセス権限を有するか否かを確認する構成を採ることができる。
[第5の形態]
上記したファイルアクセス制御方法において、
所定の権限管理サーバに対して問い合わせることにより、前記アプリケーションプログラムのユーザが前記暗号化ファイルに対するアクセス権限を有するか否かを確認する構成を採ることができる。
[第6の形態]
(上記第2の視点によるコンピュータプログラム参照)
[第7の形態]
(上記第3の視点によるコンピュータ参照)
なお、上記第6、第7の形態は、第1の形態と同様に、第2~第5の形態に展開することが可能である。
なお、上記の特許文献の開示を、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の開示の枠内において種々の開示要素(各請求項の各要素、各実施形態ないし実施例の各要素、各図面の各要素等を含む)の多様な組み合わせ、ないし選択(部分的削除を含む)が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。
10、100、100a コンピュータ
11、102 ファイルアクセス制御部
12、105 管理領域
20、101 アプリケーションプログラム
103、103a ファイル暗号化部
9000 コンピュータ
9010 CPU
9020 通信インタフェース
9030 メモリ
9040 補助記憶装置
C、C’、104 暗号化ファイル
P、P’、106 平文ファイル
11、102 ファイルアクセス制御部
12、105 管理領域
20、101 アプリケーションプログラム
103、103a ファイル暗号化部
9000 コンピュータ
9010 CPU
9020 通信インタフェース
9030 メモリ
9040 補助記憶装置
C、C’、104 暗号化ファイル
P、P’、106 平文ファイル
Claims (7)
- アクセス制限が行われる所定の管理領域に非一時的に保存された平文ファイルと、
前記平文ファイルを暗号化した暗号化ファイルと、を対応付けて管理し、
アプリケーションプログラムから、前記暗号化ファイルに対するアクセス要求を受けた場合に、前記アプリケーションプログラムのユーザが前記暗号化ファイルに対するアクセス権限を有するか否かを確認し、
前記アプリケーションプログラムのユーザが前記暗号化ファイルに対するアクセス権限を有すると判定した場合、前記平文ファイルへのアクセスを許可し、
前記アプリケーションプログラムのユーザが前記暗号化ファイルの変更権限を有する場合、前記アプリケーションプログラムのユーザに、前記平文ファイルの変更を許可し、
前記変更後の平文ファイルを前記所定の管理領域に保存するとともに、前記変更後の平文ファイルを暗号化して保存するファイルアクセス制御方法。 - 前記平文ファイルは、暗号化ファイルを最初に復号した際に作成される請求項1のファイルアクセス制御方法。
- 前記暗号化ファイルの管理を開始する前に、前記平文ファイルの保存用の、アクセス制限が行われる管理領域を作成する請求項1又は2のファイルアクセス制御方法。
- 前記アプリケーションプログラムのユーザが前記暗号化ファイルの復号鍵を有しているか否かにより、前記アプリケーションプログラムのユーザが前記暗号化ファイルに対するアクセス権限を有するか否かを確認する請求項1から3いずれか一のファイルアクセス制御方法。
- 所定の権限管理サーバに対して問い合わせることにより、前記アプリケーションプログラムのユーザが前記暗号化ファイルに対するアクセス権限を有するか否かを確認する請求項1から3いずれか一のファイルアクセス制御方法。
- アクセス制限が行われる所定の管理領域に非一時的に保存された平文ファイルと、
前記平文ファイルを暗号化した暗号化ファイルと、を対応付けて管理するファイルアクセス制御機能を実現するコンピュータプログラムであって、
アプリケーションプログラムから、前記暗号化ファイルに対するアクセス要求を受けた場合に、前記アプリケーションプログラムのユーザが前記暗号化ファイルに対するアクセス権限を有するか否かを確認する処理と、
前記アプリケーションプログラムのユーザが前記暗号化ファイルに対するアクセス権限を有すると判定した場合、前記平文ファイルへのアクセスを許可する処理と、
前記アプリケーションプログラムのユーザが前記暗号化ファイルの変更権限を有する場合、前記アプリケーションプログラムのユーザに、前記平文ファイルの変更を許可し、前記変更後の平文ファイルを前記所定の管理領域に保存するとともに、前記変更後の平文ファイルを暗号化して保存する処理と、
を実行させるコンピュータプログラム。 - アクセス制限が行われる所定の管理領域に非一時的に保存された平文ファイルと、
前記平文ファイルを暗号化した暗号化ファイルと、を対応付けて管理するファイルアクセス制御部を備え、
前記ファイルアクセス制御部は、
アプリケーションプログラムから、前記暗号化ファイルに対するアクセス要求を受けた場合に、前記アプリケーションプログラムのユーザが前記暗号化ファイルに対するアクセス権限を有するか否かを確認し、
前記アプリケーションプログラムのユーザが前記暗号化ファイルに対するアクセス権限を有すると判定した場合、前記平文ファイルへのアクセスを許可し、
前記アプリケーションプログラムのユーザが前記暗号化ファイルの変更権限を有する場合、前記アプリケーションプログラムのユーザに、前記平文ファイルの変更を許可し、前記変更後の平文ファイルを前記所定の管理領域に保存するとともに、前記変更後の平文ファイルを暗号化して保存すること、
を特徴とするコンピュータ。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019007053A JP7215181B2 (ja) | 2019-01-18 | 2019-01-18 | ファイルアクセス制御方法、コンピュータプログラム及びコンピュータ |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019007053A JP7215181B2 (ja) | 2019-01-18 | 2019-01-18 | ファイルアクセス制御方法、コンピュータプログラム及びコンピュータ |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020119023A JP2020119023A (ja) | 2020-08-06 |
| JP7215181B2 true JP7215181B2 (ja) | 2023-01-31 |
Family
ID=71890766
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019007053A Active JP7215181B2 (ja) | 2019-01-18 | 2019-01-18 | ファイルアクセス制御方法、コンピュータプログラム及びコンピュータ |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7215181B2 (ja) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005010957A (ja) | 2003-06-17 | 2005-01-13 | Trinity Security Systems Inc | コンテンツ保護システム、コンテンツ保護方法およびその方法をコンピュータに実行させるプログラム |
| JP2006042289A (ja) | 2004-06-24 | 2006-02-09 | Toshiba Corp | マイクロプロセッサ |
| JP2006323552A (ja) | 2005-05-18 | 2006-11-30 | Tomonori Yamashita | プログラム |
| JP2015207081A (ja) | 2014-04-18 | 2015-11-19 | 株式会社日立ソリューションズ | クラウド・ストレージ・システム |
| JP6263675B1 (ja) | 2015-01-02 | 2018-01-17 | センテオン エルエルシー | 信頼できない装置におけるデータの保護 |
-
2019
- 2019-01-18 JP JP2019007053A patent/JP7215181B2/ja active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005010957A (ja) | 2003-06-17 | 2005-01-13 | Trinity Security Systems Inc | コンテンツ保護システム、コンテンツ保護方法およびその方法をコンピュータに実行させるプログラム |
| JP2006042289A (ja) | 2004-06-24 | 2006-02-09 | Toshiba Corp | マイクロプロセッサ |
| JP2006323552A (ja) | 2005-05-18 | 2006-11-30 | Tomonori Yamashita | プログラム |
| JP2015207081A (ja) | 2014-04-18 | 2015-11-19 | 株式会社日立ソリューションズ | クラウド・ストレージ・システム |
| JP6263675B1 (ja) | 2015-01-02 | 2018-01-17 | センテオン エルエルシー | 信頼できない装置におけるデータの保護 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2020119023A (ja) | 2020-08-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8423795B2 (en) | Storage controller comprising encryption function, data encryption method, and storage system | |
| US8375224B2 (en) | Data masking with an encrypted seed | |
| JP4735331B2 (ja) | 仮想マシンを利用した情報処理装置および情報処理システム、並びに、アクセス制御方法 | |
| US8863305B2 (en) | File-access control apparatus and program | |
| US7428642B2 (en) | Method and apparatus for data storage | |
| US20030023559A1 (en) | Method for securing digital information and system therefor | |
| WO2013069770A1 (ja) | データベース装置と方法及びプログラム | |
| US20060236129A1 (en) | Method for managing external storage devices | |
| JP6048372B2 (ja) | 産業機器管理システム、産業機器管理サーバ、産業機器管理方法、プログラム、及び情報記憶媒体 | |
| US20100174689A1 (en) | Document management apparatus, document management system, document management method, and computer program | |
| WO2013011902A1 (ja) | ライセンス管理装置、ライセンス管理システム、ライセンス管理方法、及びプログラム | |
| JP2008123049A (ja) | ファイル自動復号暗号化システム、その方法およびプログラム | |
| JP2008046860A (ja) | ファイル管理システム及びファイル管理方法 | |
| JP4665495B2 (ja) | 情報処理装置 | |
| JP4765812B2 (ja) | 情報処理システム、クライアント装置、プログラム、及びファイルアクセス制御方法 | |
| KR20000000410A (ko) | 분산 pc 보안관리 시스템 및 방법 | |
| JP7215181B2 (ja) | ファイルアクセス制御方法、コンピュータプログラム及びコンピュータ | |
| EP1854260B1 (en) | Access rights control in a device management system | |
| US11010331B2 (en) | Document management system | |
| JP2013190884A (ja) | ライセンス管理システム及びクライアント端末 | |
| JP4963982B2 (ja) | 自己解凍形式のデータ構造、自己解凍プログラム、およびコンピュータ | |
| JP6216673B2 (ja) | データ管理方法及びデータ管理システム | |
| JP4924269B2 (ja) | 操作制限管理システムおよびプログラム | |
| JP5466614B2 (ja) | データ送受信サービスシステムおよび方法 | |
| JP4796164B2 (ja) | ポリシ管理装置及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20211202 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220823 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220824 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20221017 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20221220 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230102 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 7215181 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |