JPWO2012039178A1 - データ配信装置、データ配信システム、クライアント装置、データ配信方法、データ受信方法、プログラムおよび記録媒体 - Google Patents

データ配信装置、データ配信システム、クライアント装置、データ配信方法、データ受信方法、プログラムおよび記録媒体 Download PDF

Info

Publication number
JPWO2012039178A1
JPWO2012039178A1 JP2012534952A JP2012534952A JPWO2012039178A1 JP WO2012039178 A1 JPWO2012039178 A1 JP WO2012039178A1 JP 2012534952 A JP2012534952 A JP 2012534952A JP 2012534952 A JP2012534952 A JP 2012534952A JP WO2012039178 A1 JPWO2012039178 A1 JP WO2012039178A1
Authority
JP
Japan
Prior art keywords
data
distribution
access control
client
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2012534952A
Other languages
English (en)
Other versions
JP5528560B2 (ja
Inventor
実裕 古市
実裕 古市
拓 荒津
拓 荒津
政美 多田
政美 多田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Priority to JP2012534952A priority Critical patent/JP5528560B2/ja
Publication of JPWO2012039178A1 publication Critical patent/JPWO2012039178A1/ja
Application granted granted Critical
Publication of JP5528560B2 publication Critical patent/JP5528560B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/556Detecting local intrusion or implementing counter-measures involving covert channels, i.e. data leakage between processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2119Authenticating web pages, e.g. with suspicious links
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Multimedia (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

データ配信先からの情報漏洩を防止するための手段を提供する。データ配信サーバ20は、クライアントの環境に対応させて、与えられるポリシーに応じてプロセスによるリソースへのアクセスを制御するアクセス制御機構と、配信パッケージに含まれる配信データを保護される記憶領域に展開する展開部とを該クライアント上で実現するためのアクセス制御実施モジュール132〜138を記憶するデータベース130と、配信データ124と、該配信データ124に対して指定されるセキュリティ・ポリシー122とを記憶するデータベース120と、配信データの受け取りを要求するクライアント30Bの環境を検出する環境検出部144と、配信データ162と、セキュリティ・ポリシー164と、クライアント30Bの環境に対応したアクセス制御実施モジュール166とを含む配信パッケージ160を送信する送信部150とを含む。

Description

本発明は、情報漏洩対策技術に関し、より詳細には、データ配信先からの情報漏洩を防止するためのデータ配信装置、データ配信システム、クライアント装置、データ配信方法、データ受信方法、プログラムおよび記録媒体に関する。
近年、社内外での設計コラボレーションやOEM(Original Equipment Manufacturing)のグローバル化に伴い、開発・製造拠点の海外展開が盛んである。また、クラウド・コンピューティングの普及により、拠点間、発注者および受注者間の地理的ギャップが狭まり、ネットワークを介した技術データの流通がますます活発となっている。それに伴い、貴重な技術データが不正に流出してしまうリスクが飛躍的に高まり、データセキュリティ対策、トレーサビリティ確保の重要性が高まっている。
特に下請けや孫請けへの発注作業が頻繁に発生する製造業では、受注者側からの設計・製造データの2次漏洩防止が大きな課題である。一部の業務は、クラウドサービスを介して外部委託することが可能となったが、3次元CAD(Computer Aided Design)、NC加工(Numerical Control machining)、医療分野など、ローカル端末での処理が必要な業務も数多く残り、受注者側のローカル端末上への機密データの保存を許さなければならない場合も多い。
受注者側のローカル端末に保存された機密データは、通常、発注者の管理を離れてしまうため、不正に利用されたり、または流出してしまうことを防止するための技術的手段を講じることが望まれる。特に契約期間満了後は、受注者側のローカル端末に保存された機密データが利用不能となることが望ましい。上述のような技術的手段としては、例えば特開2009−26046号公報(特許文献1)は、ストレージや入出力インタフェースのデバイス・ドライバに対して発行された読み込み命令または書き込み命令をフィルタリングすることで、ストレージ・デバイスに対するアクセスを制限する技術について言及する。
特許文献1は、さらに、データ配布先の組織から第三者へのデータの2次流出を実現することを目的として、データの配布先コンピュータに備えられた仮想化手段により非配布データの実行環境から隔離された配布データ専用の実行環境を構築するためのオペレーティング・システムおよびアプリケーションから成る配布データ処理専用の実行環境構築イメージファイルから、オペレーティング・システムおよびアプリケーションのインストールを実行し、当該配布先コンピュータに備えられた仮想化手段により非配布データの実行環境から隔離された配布データ処理専用の実行環境を構築することを特徴とする、データの2次流出防止方法を開示する。
特開2009−86840号公報(特許文献2)は、同様に、情報処理装置に備えられた仮想化手段により、ユーザがアクセスするオペレーティング・システム環境から隔離して構築されたデータ管理用のオペレーティング・システムおよび所定のアプリケーションからなる管理者用環境を備え、ユーザがアクセスするオペレーティング・システム環境が、キーボードなどの入力情報を管理用環境に送信し、その返答として表示画面の情報を管理用環境から受信する方法でアプリケーションを操作する手段を備えることを特徴とする、情報処理装置を開示する。
商用のDRM(Digital Rights Management)製品としては、アプリケーション・プログラム内部にアクセス制御機能を実装するソフトウェア・アプリケーションも提供されている。例えば、Microsoft(登録商標)社のRMS(Rights Management Services)(非特許文献1)およびAdobe(登録商標)社のLiveCycle(登録商標)Rights Management ES2(非特許文献2)は、アプリケーション自身が、文書ごとに定められた編集権限や印刷権限などのセキュリティ・ポリシーを解釈し、閲覧や編集、コピー、印刷などの種々の操作を制限する技術である。
特開2009−26046号公報 特開2009−86840号公報
" Windows Rights Management Services"、[online]、[2010年9月10日検索]、インターネット<URL; http://www.microsoft.com/windowsserver2003/technologies/rightsmgmt/default.mspx> " Adobe LiveCycle Rights Management ES2"、[online]、[2010年9月10日検索]、インターネット<URL; http://www.adobe.com/products/livecycle/rightsmanagement/>
しかしながら、上記特許文献1および特許文献2に開示される従来技術では、通常の実行環境から隔離された配布データ処理専用の実行環境を構築するための仮想化手段を配布先コンピュータが備えている必要があり、利用可能な環境が制限される。あるいは、配布先のコンピュータに通常の実行環境から隔離された配布データ処理専用の実行環境を構築するためにオペレーティング・システムおよびアプリケーションをインストールする必要があり、配信先に負担をかけてしまう。さらに、操作者は、配布データを扱うだけでなく、メール送受信やウェブ・ページの閲覧など多くの作業を同時に進めることが一般的であるが、仮想化技術を利用する構成では、仮想OS間を頻繁に行き来する煩雑さも無視できない。
また、上記非特許文献1および非特許文献2に開示される技術のように、アプリケーション内部にアクセス制御機能を実装する技術では、残念ながら、保護できるアプリケーションが限定されるため、利用可能なデータの種類が限定される。したがって、すべての業務アプリケーションが対応しない限り、業務全体を包括的に管理することができない。
本発明は、上記従来技術の問題点に鑑みてなされたものであり、本発明は、配信データに関しアクセス制御を実行する適切なアクセス制御機構を同梱した配信パッケージの形態でデータ配信することにより、種々のデータの情報フローを制御し、ひいては、配信先の利用環境に制限および過剰な作業負担をかけずに、配信先からの情報漏洩を防止することができるデータ配信装置およびデータ配信システムを提供することを目的とする。
本発明の他の目的は、上記データ配信装置から配信パッケージを受信するクライアント装置、上記データ配信装置またはデータ配信システムが実行するデータ配信方法、上記クライアント装置が実行するデータ受信方法、上記データ配信装置またはデータ配信システムを実現するためのプログラム、および上記プログラムを格納する記録媒体を提供することである。
本発明は、上記従来技術の不都合に鑑みてなされたものであり、本発明は、以下の特徴を有する、配信パッケージを提供するためのデータ配信装置、複数のコンピュータからなるデータ配信システムを提供する。
本発明のデータ配信装置またはデータ配信システムは、クライアントの環境に対応させて、与えられるポリシーに応じてプロセスによるリソースへのアクセスを制御するアクセス制御機構と、配信パッケージに含まれる配信データを保護記憶領域に展開する展開部とを該クライアント上で実現するためのアクセス制御実施プログラムを記憶するプログラム記憶部を備える。本データ配信装置またはデータ配信システムは、配信データの受け取りを要求する要求元クライアントの環境を検出し、配信対象となる配信データと、該配信データに対して指定されるセキュリティ・ポリシーとを読み出して、上記配信データと、上記セキュリティ・ポリシーと、上記要求元クライアントの環境に対応したアクセス制御実施プログラムとを含む配信パッケージを要求元クライアントに送信する。
さらに本発明によれば、上記配信パッケージを受信するクライアント装置を提供することができる。本クライアント装置は、上記データ配信装置に対し、配信データの受取要求を送信する要求送信部と、当該クライアント装置の環境を記述した環境情報を送信する環境情報送信部とを備える。さらにまた、本発明では、上記データ配信装置またはデータ配信システムが実行するデータ配信方法、上記クライアント装置が実行するデータ受信方法、上記データ配信装置またはデータ配信システムを実現するためのプログラム、および上記プログラムを格納する記録媒体を提供することができる。
上記構成によれば、配信データの登録者は、配信先の作業環境に一定のセキュリティ・ポリシーを課した上で、当該配信データを配信先に引き渡すことができる。配信データは、配信先ローカル環境に保存されることになるが、ローカル環境に存在する配信データに対しては、上記アクセス制御機構により、セキュリティ・ポリシーに従って稼働プロセスによるリソースへのアクセスが制御され、その流通可能な範囲が制限される。これにより、例えば取引先企業への正式な情報提供の後の意図しないデータ流出による情報漏洩、いわゆる2次漏洩を防止することができる。さらに、上記構成によれば、配信先へのわずらわしい特殊な制御ソフトウェアの強制的な導入および設定が不要であり、種々データ、種々のアプリケーションに適用することができる。
本発明の第1の実施形態によるデータ配信サーバを含むデータ処理システムの概略図。 本発明の第1の実施形態によるデータ配信サーバにおいて実現される機能ブロック図。 本発明の第1の実施形態で用いられるセキュリティ・ポリシーのデータ構造を例示する図。 本発明の第1の実施形態で用いられるセキュリティ・ポリシーにおける一部のデータ構造を例示する図。 本発明の第1の実施形態によるデータ配信サーバにおけるパッケージ登録部が実行する、パッケージ登録処理を示すフローチャート。 本発明の第1の実施形態によるデータ配信サーバにおけるパッケージ配信部が実行する、パッケージ配信処理を示すフローチャート。 本発明の第1の実施形態においてクライアント装置に配信される配信パッケージの詳細な機能ブロック図。 本発明の第1の実施形態によるクライアント装置が実行する、アクセス制御実施処理を示すフローチャート。 本発明の第1の実施形態による、アクセス制御モジュールが起動されたクライアント装置上で実現される機能ブロック図。 図1に示すデータ処理システムにおいて、発注者、1次受注者および2次受注者間で行われる業務の流れを示す図。 本発明の第2の実施形態によるデータ配信サーバにおいて実現される機能ブロック図。 本発明の第2の実施形態においてクライアント装置に配信される配信パッケージの詳細な機能ブロック図。 本発明の第2の実施形態によるクライアント装置が実行する、アクセス制御実施処理を示すフローチャート。
以下、本発明について実施形態をもって説明するが、本発明は、後述する実施形態に限定されるものではない。以下説明する実施形態では、データ配信装置として、配信対象となるデータ(以下、配信データという。)をパッケージ化して配信するサーバ機能を実装するデータ配信サーバを一例として説明する。
図1は、本発明の第1の実施形態によるデータ配信サーバを含むデータ処理システムの概略図を示す。本データ処理システム10は、データをパッケージ化して配信するサーバ機能を実装するデータ配信サーバ20と、ネットワーク12を介して上記データ配信サーバ20に接続される1以上のクライアント装置30と含む。ネットワーク12は、特に限定されるものではないが、例えば、TCP/IPおよびイーサネット(登録商標)によるLAN(Local Area Network)、VPN(Virtual Private Network)や専用線を使用するWAN(Wide Area Network)、インターネットを含む。
図1に示すデータ処理システム10は、例示として、データ配信サーバ20を介してクライアント装置30間でデータ授受を行い、各クライアント装置30においてローカル作業を行いながら、全体の業務を遂行するための業務システムとして構成されている。図1には、クライアント装置30として、配信データを用いた業務を発注する発注者が利用する発注者端末30aと、1次受注者端末30bと、2次受注者端末30cとが示されている。1次受注者端末30bは、発注者の依頼に従い配信データを用いて担当業務を遂行する1次受注者が利用する端末である。一方、2次受注者端末30cは、発注者の依頼に従って担当業務を遂行する1次受注者から、さらにその担当業務の一部の業務を請け負う2次受注者が利用する端末である。
クライアント装置30は、概ね、タワー型、デスクトップ型、ラップトップ型またはタブレット型のパーソナル・コンピュータ、ワークステーション、ネットブック、PDA(Personal Data Assistance)などの汎用コンピュータとして構成される。クライアント装置30は、より具体的には、シングルコア・プロセッサまたはマルチコア・プロセッサなどの中央演算装置(CPU)、キャッシュ・メモリ、RAM、ネットワーク・インタフェース・カード(NIC)、ストレージ・デバイスなどを備え、Windows(登録商標)、UNIX(登録商標)、Linux(登録商標)、Mac OS(登録商標)、AIX(登録商標)などの適切なOSの制御のもと動作する。本実施形態では、クライアント装置30は、好ましくは、ウィンドウ・システムなどのデスクトップ環境を提供するグラフィカル・ユーザ・インタフェース(以下、GUIと参照する)ベースのOSを搭載する。本実施形態のクライアント装置30は、また、上記OS上で動作するウェブ・ブラウザを実装する。
データ配信サーバ20は、概ね、パーソナル・コンピュータ、ワークステーション、ラックマウント型またはブレード型のサーバ、ミッドレンジ・コンピュータ、メインフレームなどの汎用コンピュータとして構成される。データ配信サーバ20は、より具体的には、シングルコアまたはマルチコア・プロセッサなどのCPU、キャッシュ・メモリ、RAM、NIC、ストレージ・デバイスなどを備え、Windows(登録商標)、UNIX(登録商標)、Linux(登録商標)などの適切なオペレーティング・システム(以下、OSとして参照する。)の制御のもと動作する。
上記データ配信サーバ20は、上記発注者端末30aから発注業務に必要なデータの登録要求を受信すると、当該業務に必要なデータを受注者に配信可能に登録する。一方、発注業務を請け負う受注者が操作する1次受注者端末30bまたは2次受注者端末30cからデータの受取要求を受信すると、データ配信サーバ20は、適切なユーザ認証を行った上で、上記業務に必要なデータを端末に配信する。同様に、1次受注者が担当業務の一部を2次受注者に発注する際には、データ配信サーバ20は、配信データまたは配信データを加工して生成された2次データの一部または全部を1次受注者端末30bから受け取り、2次受注者端末30cに配信することができる。本実施形態のデータ配信サーバ20は、例えばウェブ・アプリケーションとして、上述のようなデータを引き受けて配信する機能を実装する。
配信対象となる配信データは、特に限定されるものではないが、ワードプロセッサ、表計算、作図、プレゼンテーション、データベース管理システム、その他、DTP(Desktop Publishing)、数値解析ソフト、CAD、NC加工、CT(コンピュータ断層撮影)、MRI(核磁気共鳴画像法)など種々のアプリケーションで使用される種々のファイルや、テキストファイル、ドキュメントファイル、音声ファイル、動画ファイルなどの汎用フォーマットのファイルなどを含む。また、配信データは、データ配信サーバ20が接続するデータベースから所定のクエリにより抽出された照会結果を含むファイルであってもよい。
データ配信サーバ20は、クライアント装置30からの配信データの受取要求に対応して、要求元クライアント装置30に配信データをパッケージ化して配信する。配信データは、そのままのファイルとしてクライアント装置30に配信されてしまうと、通常、独立して自由に流通可能となる。このため、配信データが機密情報を含む場合、仮に暗号化を施せることができるとしても、データセキュリティ対策上望ましいとは言えない。そこで、本実施形態では、データ配信サーバ20は、詳細は後述するが、所定のセキュリティ・ポリシーに応じてアクセス制御を実行するアクセス制御機構を配信パッケージに同梱して配信する。
本実施形態において配信データに同梱されるアクセス制御機構は、OSとアプリケーションとの中間レベルに配置され、ユーザコンテキストに応じて柔軟に、プロセス単位、ユーザ単位およびファイル単位のきめ細かい粒度のアクセス制御を実施することができる。本実施形態のアクセス制御機構は、例えば、許可されないデータの保存、プリント、データ作業中のクリップボードを介したプロセス間のコピー・アンド・ペーストおよびプリント・スクリーンによる画面コピーなどのリソースへのアクセスを禁止することができる。以下、本発明の実施形態による、アクセス制御機構を同梱する配信パッケージを用いたデータ配信処理について、より詳細に説明する。
図2は、本発明の第1の実施形態によるデータ配信サーバにおいて実現される機能ブロックを示す。図2に示すデータ配信サーバ20の機能ブロック100は、所定のセキュリティ・ポリシーが適用された状態で配信データを配信可能に登録するパッケージ登録部110と、登録者によって登録されたセキュリティ・ポリシー122および配信データ124を記憶する登録者用データベース120とを含む。
ここで、配信データを登録する側の利用者を「登録者」と参照し、登録された配信データを受け取る側の利用者を「受取者」と参照し、以下、登録者および受取者の二者間のデータ配信処理について説明する。つまり、図1で説明した発注者、1次受注者および2次受注者は、それぞれ、登録者または受取者となり得る。また、以下の説明では、特に断らない限り、データ処理システム10の利用者は、それぞれ操作するクライアント装置30を用いて、当該データ処理システム10にログインし、所定のユーザ認証を通過しているものとして説明する。
登録者用データベース120は、本実施形態のデータ記憶部を構成し、登録者となり得る利用者が配信データを登録するための記憶領域を提供する。登録者用データベース120は、例えば各利用者それぞれに対してデータベースが用意される。
登録者側のクライアント装置30(以下、登録者端末30Aと参照する。)は、データ配信サーバ20に対し、配信データのパッケージ登録要求を送信する。このパッケージ登録要求は、配信データと、この配信データに対して指定するセキュリティ・ポリシー(以下、登録者が指定したセキュリティ・ポリシーを登録者指定ポリシーと参照する。)と、この配信データの配信を許可する配信先を記述する配信先情報とを含むことができる。
配信データは、例えば、登録者端末30Aのウェブ・ブラウザを介してアップロードが指定され、登録者端末30Aのローカル記憶領域から読み出されて、データ配信サーバ20へと送信される。セキュリティ・ポリシーは、同様にウェブ・ブラウザを介して各項目が入力され、入力された各項目の値が例えばXML(eXtensible Markup Language)ファイルとして構成され、データ配信サーバ20へと送信される。上記配信データをアップロード指示するためのアップロード・フォームやセキュリティ・ポリシーを設定するためのGUIは、例えば、登録者端末30Aのウェブ・ブラウザが解釈可能にウェブ・ページとして提供される。
パッケージ登録部110は、より詳細には、パッケージ登録要求を受領するパッケージ登録要求受領部112と、データ・ポリシー取得部114と、登録処理116とを含む。データ・ポリシー取得部114は、パッケージ登録要求にかかる配信データ、登録者指定ポリシーおよび配信先情報を取得する。また、データ・ポリシー取得部114は、パッケージ登録要求にかかる配信データが、他の配信データの2次データ(ここでは、その配信データが加工されて生成されたデータをいう。)である場合には、元の配信データに指定されたポリシーを取得し、登録者指定ポリシーにマージすることができる。登録処理部116は、取得された配信データ124、登録者指定ポリシー122および配信先情報を上記登録者用データベース120に記憶し、配信データを配信可能に登録する。
なお、説明する実施形態では、配信データ、登録者指定ポリシーおよび配信先情報は共に、登録者端末30Aからデータ配信サーバ20へ送信されるので、データ・ポリシー取得部114は、登録者端末30Aから送信されるこれらのデータを例えばHTTPプロトコルに従って受信する。しかしながら、配信データ、登録者指定ポリシーおよび配信先の指定方法は特に限定されるものではない。
他の実施形態では、配信データ、登録者指定ポリシーおよび配信先またはこれらのいずれか一方をデータ配信サーバ20側に予め保存し、配信データ、登録者指定ポリシーまたは配信先情報を識別する識別子を登録者端末30Aからデータ配信サーバ20へ渡すよう構成してもよい。この場合、データ・ポリシー取得部114は、データ配信サーバ20がアクセス可能な記憶領域から、識別子で識別されるデータを読み出す。さらに他の実施形態では、配信データ、登録者指定ポリシーおよび配信先情報またはこれらのいずれか一方をネットワーク上のリソースとして準備し、配信データ、登録者指定ポリシーまたは配信先情報が保存されているURI(Universal Resource Identifier)を登録者端末30Aからデータ配信サーバ20へ渡すよう構成してもよい。この場合、データ・ポリシー取得部114は、URIで識別されるリソースからこれらのデータを取得する。
セキュリティ・ポリシーは、パッケージに同梱される配信データに対する、コンピュータ内プロセス間およびコンピュータ間またはこれらの一方における情報フロー制御を規定する。ここで、情報フロー制御とは、特定のコンピュータ内のプロセス間および相互接続されたコンピュータ間で情報が流通できる領域を規制することをいう。セキュリティ・ポリシーは、例示すると、配信データまたはその2次データの読み出し、該データのリムーバブル・メディアへの保存、該データのローカル・ドライブの保護されていない記憶領域への保存、該データのプリント、該データを開いている状態でのクリップボードを介したプロセス間のコピー・ペースト、該データのウィンドウがアクティブな状態でのクリップボードを介した画面コピーなどの禁止または許可などを規定する。
図3および図4は、本発明の第1の実施形態で用いられるセキュリティ・ポリシーのデータ構造を例示する図である。セキュリティ・ポリシーのフォーマットは特に限定されるものではないが、図3は、XML形式で記述されたセキュリティ・ポリシーを例示する。図3中、「Rule(Group1)」で示されるRuleタグ間の部分は、ひとまとまりのポリシーを表し、図3の例では、「メモ帳」に対するポリシーが記述されている。
Subjectsタグ間には、Subjectタグによってポリシーを適用する主体(プロセス)が指定される。図3の例では、プロセス「notepad.exe」が主体として指定されている。Resourcesタグ間には、Resourceタグによって、上記主体(プロセス)によるリソースへのアクセスに対するポリシーが記述される。図3の例では、プロセス「notepad.exe」による、リソース「クリップボード」に対するアクセス「書き込み」、リソース「プリンタ」へのアクセス「プリント指令」、リソース「リムーバブル・メディア」へのアクセス「書き込み」をそれぞれ禁止する旨が記述されている。Obligationsタグ間には、Resourceタグによって、プロセス終了時またはプロセス稼働中に課せられる義務が記述される。
図4は、XML形式で記述された他のセキュリティ・ポリシーにおける一部のデータ構造を例示する。図4(A)に示す例では、ファイルマネージャ(Windows(登録商標)エクスプローラ)に対するポリシーが記述され、プロセス「explorer.exe」が主体として指定されている。図4中、「%LDMROOT%」は、後述する配信パッケージを展開する保護されたフォルダ(以下、保護フォルダという。)を意味し、Resourcesタグ間には、Resourceタグによって、プロセス「explorer.exe」による、リソース「保護フォルダ」へのすべて(*.*)のアクセス「書き込みおよび読み出し」を禁止する旨が記述されている。なお、他の例では、保護フォルダ内の特定の拡張子を有するファイル、特定のファイルを対象としたアクセスを制御する記述とすることもできる。
図4(B)に示す例では、すべての任意のプロセス間のコピー・アンド・ペーストについてのポリシーが記述されている。Subjectsタグ間には、AnySubjectタグによって任意のプロセスに対するポリシーであることが記述され、Resourcesタグ間には、Resourceタグによって、任意のプロセスによる、他のプロセスが書き込んだクリップボードの内容の読み出しを禁止する旨が記述されている。またObligationsタグ間には、Resourceタグによってクリップボードが指定され、Obligationタグにより、終了時にクリップボードをクリーンナップすることが義務として課されている。なお、プロセス終了時またはプロセス稼働中に課せられる義務としては、その他、操作ログ記録の強制などがある。
図3および図4に例示されるようなセキュリティ・ポリシーによって、クライアント装置30上で動作するプロセスによるリソースへのアクセスが制御される。その結果として、プロセス間のデータの流通が制御され、さらに、リムーバブル・メディア、保護されていないフォルダ、FTP(File Transfer Protocol)などの他のプロセスを介した当該クライアント装置から外部のコンピュータへのデータの流通が制御される。その他、ウェブ・ブラウザのプロセスに対し、配信データおよびその2次データのうちのデータ配信サーバ20に配信先から再登録できる範囲をセキュリティ・ポリシー内に記述することにより、当該データ配信システムを介した直接的な配信先以降の外部コンピュータへのデータの流通を制御することもできる。なお、図3および図4に示したセキュリティ・ポリシーは、Windows(登録商標)用のものを例示するが、他のOSについても同様に記述することができる。
配信先情報は、配信データの配信先として許可されるクライアント装置30または利用者を特定する情報を含む。配信先情報は、例えば、配信が許可される利用者を識別するユーザID、配信が許可されるクライアント端末を識別するクライアントID、配信が許可される利用者またはクライアントのグループを識別するグループID、配信が許可されるクライアント装置30固有に与えられる固有識別子(OSシリアルナンバー、マシンUUID(Universally Unique IDentifier)、マシンシリアルナンバーなど)、配信が許可されるクライアント装置30に割り当てされたIPアドレス、配信が許可されるクライアント装置30のNICに割り当てされたMACアドレス、配信が許可されるクライアント群に割り当てされるIPアドレスの範囲、またはこれらの組み合わせを含むことができる。
再び図2を参照すると、配信データ、登録者指定ポリシーおよび配信先情報が登録者用データベース120に登録されると、当該配信データの配信パッケージが配信可能な状態となる。データ配信サーバ20の機能ブロック100は、配信パッケージに同梱するアクセス制御実施モジュール(以下、実施モジュールという場合がある。)を記憶する実施モジュール・データベース130と、配信可能に登録された配信データをアクセス制御実施モジュールと同梱してパッケージ化して配信するパッケージ配信部140とをさらに含む。
アクセス制御実施モジュールは、後述するアクセス制御機構をクライアント装置上に実現し、クライアント装置上で上記セキュリティ・ポリシーに従ったアクセス制御を実施するためのプログラムであり、OSの種類に依存する。このため、実施モジュール・データベース130は、OSの種類毎に上記アクセス制御実施モジュールを記憶する。特定OS用のアクセス制御実施モジュールとしては、例えば、Windows(登録商標)用132、Linux(登録商標)用134、MAC OS(登録商標)用136、AIX(登録商標)用138のものがそれぞれ準備される。なお、実施モジュール・データベース130は、本実施形態のプログラム記憶部を構成する。
受取者側のクライアント装置30(以下、受取者端末30Bと参照する。)は、データ配信サーバ20にアクセスし、所望の配信データを識別する配信データIDとともに、パッケージ受取要求を送信する。ここで、配信データIDは、例えば電子メールなどの別の手段により登録者側から受取者側へ送信することができ、利用者は、電子メール中の配信データをダウンロードするウェブ・ページへの直接リンクをクリックすることにより、データ配信サーバ20に対し、所望の配信データのIDを含むパッケージ受取要求を送信することができる。あるいは、配信データIDは、当該利用者が受取可能な配信データを一覧表示するウェブ・ページに含めて受取者側へ送信することができ、この場合に利用者は、一覧表示された配信データのうちから所望のものを選択することにより、データ配信サーバ20に対し、所望の配信データIDを含むパッケージ受取要求を送信することができる。
パッケージ配信部140は、より詳細には、パッケージ受取要求を受領するパッケージ受取要求受領部142と、環境検出部144と、適用ポリシー決定部146と、パッケージ化処理部148と、送信処理部150とを含む。環境検出部144は、要求元の受取者端末30Bが使用するOSの種類などを記述した環境情報を取得し、受取者端末30Bの環境を検出する。ここで、受取者端末30Bの環境とは、受取者端末30Bを構成するOSの種類を含むものであり、より広義には、OS、ブラウザ、アプリケーションなどのソフトウェアおよびドライブなどのハードウェアの組み合わせと、それぞれの構成状態や設定を含む総体をいう。
受取者端末30Bが使用するOSは、例えば、HTTPリクエスト中に申告されるユーザ・エージェントの識別名により、簡便に判定することができる。また、OSの種類以外の詳細な環境を検出するために、ユーザの許諾を得てクライアント装置30のシステム情報を収集してデータ配信サーバ20へ送信するアプレット等のプログラムを受取者端末30Bへ提供し、当該プログラムを経由して環境情報を取得することもできる。この場合、環境検出部144は、受取者端末30Bのシステム情報が記述された環境情報を受取者端末30Bから取得する。
上記システム情報としては、コンピュータ名、OSシリアルナンバー、マシンUUID、マシンシリアルナンバーなどのクライアントを識別する情報や、システムがインストールされたボリュームや他のボリュームのドライブ番号、Windows(登録商標)ディレクトリ、システムディレクトリ、プログラムディレクトリなどのドライブ構成、主要なフォルダの暗号化属性、ローカルプリンタ名などローカルのリソース情報などを含むことができる。クライアントを識別する情報は、例えば、配信許可を与えるクライアントを制限する場合や配信パッケージを展開可能なマシンを制限する場合に用いることができる。ドライブ構成は、配信データを展開する保護フォルダを作成するパスを決定する際に使用することができ、暗号化属性は、保護フォルダを作成する場合に、保護フォルダ内のファイルに別途暗号化を施す必要があるかを判定する際に使用することができる。
適用ポリシー決定部146は、登録者用データベース120内の登録者指定ポリシーを、上記環境検出部144が検出した受取者端末30Bの環境に適合するように適宜修正し、実際に配信パッケージ内に同梱するセキュリティ・ポリシー(以下、受取者適用ポリシーという。)を決定する。このような受取者端末30Bの環境に適合させるための修正としては、上述した配信データを展開するフォルダのパス、プロセスのファイル名、OS特有のポリシーの修正を挙げることができる。例えば、ファイルマネージャは、Windows(登録商標)ではWindows(登録商標)エクスプローラであるが、Mac OS(登録商標)ではFinder、UNIX(登録商標)やLinux(登録商標)ではDolphinやNatilusとなることから、OSの種類に応じてポリシーを適用するプロセスに関する情報を修正することができる。
パッケージ化処理部148は、登録者用データベース120内の配信データと、適用ポリシー決定部146が決定した受取者適用ポリシーと、実施モジュール・データベース130内の環境に適合したアクセス制御実施モジュールとを取得し、好ましくは少なくとも配信データを暗号化した上で、これらをパッケージ化した配信データを生成する。配信パッケージ160は、配信データ162、受取者適用ポリシー164およびアクセス制御実施モジュール166が同梱された、例えば実行形式のファイルとして提供される。送信処理部150は、配信データの受取要求元の受取者端末30Bに対し、上記生成した配信パッケージ160を送信する。
配信パッケージ内の配信データの暗号化に使用する暗号鍵は、例えば受取者端末30Bの個人証明書の公開鍵を用いることができる。しかしながら、暗号鍵は特に限定されるものではなく、本実施形態では、データ配信サーバ20および受取者端末30B間で予めまたは事後的に交換された共通鍵を使用することもできる。また、暗号化方式としては、特に限定されるものではなく、種々の共通鍵暗号方式、公開鍵暗号方式を採用することができる。また、説明する実施形態では、データ配信サーバ20においてパッケージ化する際に配信データを暗号化するものとして説明してきたが、他の実施形態では、登録者端末30A側で配信データ自体を暗号化しておくこともできる。この場合も同様に、受取者端末30Bの公開鍵や、登録者端末30Aおよび受取者端末30B間で予めまたは事後的に交換された共通鍵を使用することができる。
図2に示したデータ配信サーバ20の機能ブロック100は、HDDなどのコンピュータ可読な記録媒体からプログラムを読み出し、メモリ上にプログラムを展開し、プログラムを実行し、各ハードウェア資源を動作制御することによって実現される。
以下、図5および図6を参照して、パッケージ登録要求およびパッケージ受取要求に対応する処理について、より詳細に説明する。図5は、本発明の第1の実施形態によるデータ配信サーバにおけるパッケージ登録部が実行する、パッケージ登録処理を示すフローチャートである。図5に示す処理は、クライアント装置30からデータ配信サーバ20へパッケージ登録要求が発行されたことに応答して、ステップS100から開始される。
ステップS101では、パッケージ登録部110は、クライアント装置30から発行されたパッケージ登録要求を受領する。ステップS102では、パッケージ登録部110は、要求にかかる配信データ、登録者指定ポリシーおよび配信先情報を取得する。ステップS103では、パッケージ登録部110は、継承すべきポリシーがあるか否かを判定する。ここでは、要求にかかる配信データが他の配信データの2次データであることが判明した場合、継承すべきポリシーがあると判定される。ステップS103で、継承すべきポリシーがあると判定された場合(YES)には、ステップS104へ処理が進められる。ステップS104では、パッケージ登録部110は、親となる配信データに指定されるセキュリティ・ポリシーを取得し、当該登録要求にかかる登録者指定ポリシーにマージして、ステップS105へ処理を進める。一方、ステップS103で、継承すべきポリシーが存在しないと判定された場合(NO)には、ステップS105へ処理が直接進められる。
ステップS105では、パッケージ登録部110は、配信データ、登録者指定ポリシーおよび配信先情報を登録者用データベース120に記憶し、配信パッケージを配信可能に登録する。ステップS106では、パッケージ登録部110は、パッケージ登録要求に対するアクノレッジを返答し、パッケージ登録処理が成功裡に完了した旨を通知する。
図6は、本発明の第1の実施形態によるデータ配信サーバにおけるパッケージ配信部が実行する、パッケージ配信処理を示すフローチャートである。図6に示す処理は、クライアント装置30からデータ配信サーバ20へパッケージ受取要求が発行されたことに応答して、ステップS200から開始される。ステップS201では、パッケージ配信部140は、クライアント装置30からパッケージ登録要求を受領する。ステップS202では、パッケージ配信部140は、クライアント装置30からOSの種類、ドライブ情報などを含む環境情報を取得し、クライアント装置30の環境を検出する。
ステップS203では、パッケージ配信部140は、受取要求にかかる配信データに関連付けられた登録者用データベース120内の配信先情報を参照して、要求元に配信を許可できるか否かを判定する。ステップS203で、要求元に配信を許可することができないと判定された場合(NO)には、ステップS207へ処理が分岐させられ、本処理を終了させる。ここでは、配信先情報内の配信が許可される条件に合致しない利用者またはクライアントからの要求が排除される。一方、ステップS203で、要求元に配信を許可できると判定された場合(YES)には、ステップS204へ処理が進められる。
ステップS204では、パッケージ配信部140は、受取要求にかかる配信データに関連付けられる登録者指定ポリシーを取得し、上記環境情報に従って、実施モジュール・データベース130が記憶する1以上のアクセス制御実施モジュールのうちから、受取要求元の環境に対応するアクセス制御実施モジュールを決定するとともに、受取要求元の環境に対応して登録者指定ポリシーを適宜修正して、受取者適用ポリシーを決定する。ステップS205では、パッケージ配信部140は、受取要求にかかる配信データを取得し、暗号化した上で、決定された実施モジュールと、暗号化された配信データと、決定された受取者適用ポリシーとをパッケージ化し、配信パッケージを生成する。ステップS206では、パッケージ配信部140は、受取要求元のクライアント装置30に対し、上記生成した配信パッケージを送信し、ステップS207で本処理を終了する。
以下、配信パッケージを受信したクライアント側の処理について説明する。図7は、本発明の第1の実施形態においてクライアント装置に配信される配信パッケージの詳細な機能ブロックを示す図である。図7に示す配信パッケージは、配信データ162と、受取者適用ポリシー164と、アクセス制御実施モジュール166とを含む。実施モジュール166は、より詳細には、アクセス制御機構注入部170と、保護領域作成部172と、データ展開部174と、再パッケージ化部176と、保護領域削除部178と、アクセス制御機構190とをクライアント装置30上に実現するためのプログラム・コードを含む。
アクセス制御機構190は、クライアント装置30上で動作するプロセスによるAPI(Application Programming Interface)コールを監視し、アクセス制御をかけるライブラリとして構成される。このようなライブラリは、ダイナミック・リンク・ライブラリ(DLL)、共有ライブラリ、シェアード・ライブラリとして参照される。アクセス制御機構注入部170は、アクセス制御機構190を機能させるために、クライアント装置30上で動作する各プロセスにアクセス制御機構190を注入する。このプロセスに注入されたアクセス制御機構190は、以後、プロセスの主要なAPIコールを監視し、受取者適用ポリシーに記述されたプロセス単位のポリシーに従い、当該プロセスによるリソースへのアクセスを制御する。
保護領域作成部172は、配信データを展開するための記憶領域(以下、保護領域という。)をクライアント装置30のローカル・ドライブ上に作成する。ここで保護領域とは、暗号化により保護され、許可されないアクセスが排除されるよう保護される記憶領域をいう。この保護領域は、原則としてアクセスが禁止され、当該アクセス制御実施モジュール166のプロセスおよび受取者適用ポリシー内で例外的に許可されたプロセスのみが許可された方法によりアクセスすることが許可される。保護領域は、例えば、その配下のサブフォルダに同一の保護が適用される保護フォルダとして実装される。
データ展開部174は、配信パッケージ160内にパッケージされた配信データ162を復号し、上記作成された保護される記憶領域に展開し、上記許可されたプロセスによるアクセスを可能とする。なお、復号の際に用いる鍵は、暗号鍵に公開鍵を用いる場合は、受取者端末30Bの個人証明書の秘密鍵を使用することができ、共通鍵を用いる場合には、登録者端末30Aおよび受取者端末30B間またはデータ配信サーバ20および受取者端末30B間で予めまたは事後的に交換された鍵を用いることができる。
再パッケージ化部176は、ローカル作業が終了した際に、保護領域内のローカル・データを暗号化して再パッケージ化する。保護領域削除部178は、ローカル作業が終了した際に、再パッケージ化が完了した後、上記保護領域内のローカル・データを消去して、その保護領域自体を削除する。好ましくは、保護領域削除部178は、当該保護領域内のローカル・データをランダムな値で上書きして完全消去することができる。これにより、当該アクセス制御実施モジュール166のプロセス終了後は、クライアント装置30のローカル・ドライブ内から機密性の高い、展開されたデータの痕跡が消去される。
図8は、本発明の第1の実施形態によるクライアント装置が実行する、アクセス制御実施処理を示すフローチャートである。なお、以下、Windows(登録商標)環境における処理を例に説明するが、他のOSであっても同様の処理により行うことができる。図8に示す処理は、クライアント装置30上で配信パッケージ160(パッケージ内のアクセス制御実施モジュール166)が起動されたことに応答して、ステップS300から開始される。
ステップS301では、アクセス制御実施モジュール166は、一時フォルダ内にアクセス制御機構190を実装するDLLを展開する。ステップS302では、実施モジュール166は、クライアント装置30上で稼働中のプロセスを列挙し、すべてのプロセスに対し当該アクセス制御機構190のDLLを注入する(DLL Injection)。これにより、注入されたアクセス制御機構190のDLLが、各プロセスによる主要APIコールの監視を開始し、上述したプロセス単位のアクセス制御が実施される。
ステップS303では、アクセス制御実施モジュール166は、保護領域(保護フォルダ)を作成する。ステップS304では、実施モジュール166は、配信パッケージ160内の配信データ162を保護領域内に展開し、配信データを処理するためのアプリケーションを起動し、ステップS305で、終了条件が成立するまで(NOの間)、当該ステップS305をループさせる。配信パッケージ160には、パッケージ内の配信データ162を編集するためのアプリケーション・ソフトウェアを指定することができ、これらのアプリケーションの稼働中は、上述したアクセス制御機構190が動作し、上述したプロセス単位のアクセス制御により、情報漏洩が防止される。一方、上記起動したアプリケーションがすべて終了した場合に、終了条件が成立したものと判定される。
ステップS305で、終了条件が成立したと判定された場合(YES)、ステップS306へ処理を進め、アクセス制御実施モジュール166は、保護領域内のローカル・データを再パッケージ化し、ステップS307で、保護領域内のローカル・データを消去して該保護領域を削除し、ステップS308で本プロセスを終了する。なお、上述した実施形態では、保護領域内のローカル・データを再パッケージするものとして説明したが、読取専用の配信データなどの場合は、再パッケージ化せずに展開データを削除するのみとしてもよい。
以下、図9を参照しながら、アクセス制御機構190の動作について説明する。図9は、本発明の第1の実施形態による、アクセス制御モジュールが起動されたクライアント装置上で実現される機能ブロックを示す図である。なお、以下、Windows(登録商標)環境における機能ブロックを例に説明する。
図9に示すように、アクセス制御実施モジュール166の動作により、クライアント装置30上で動作する各アプリケーション・プログラム等のプロセス210にアクセス制御機構190のDLLが注入される。アクセス制御機構190のDLLは、プロセスの主要なAPIコールを監視し、上記ポリシーに従って、ファイル192、プリント194、クリップボード196などの低レベルリソースへのアクセスを制御する。
また、アクセス制御機構190のDLLは、セキュリティ・ポリシー内に、配信パッケージ内のデータに対する配信先以降の情報フロー制御を規定するポリシー(例えば、再発注可能なデータの範囲)が記述されている場合には、上述したAPIコールを監視する仕組みを用いて、そのポリシーに従って、上記保護領域内の配信データまたはその2次データの一部または全部を配信データとする登録要求の可否を制御することができる。上記登録要求の可否は、ブラウザによるアップロード操作の許可または拒否により制御することができる。上記再発注可能なデータの範囲を規定するセキュリティ・ポリシーとしては、例えば、原則としてブラウザによるアップロード操作を禁止するとともに、所定条件に合致するアップロード先URLに対して、配信データまたはその2次データの一部または全部を例外的に読み取り許可する旨の記述を含むことができる。
上記主要なAPIとしては、Windows(登録商標)環境では、オペレーティング・システム200が備える、GDI32.dll、User32.dll、Kernel32.dllなどのDLL202a〜202cに含まれ、例えば、CreateFile、DeleteFile、CopyFile、StartDoc、SetClipboardData、GetClipboardData、CreateProcessなどのWin32API関数を挙げることができる。また、アクセス制御機構190は、特定のCOM(Component Object Model)インタフェース204aのメソッド・コールを監視し、高レベルリソースへのアクセスを制御することもできる。
配信パッケージ160に含まれる受取者適用ポリシー164は、ポリシー管理テーブル230としてメモリ上に展開され、アクセス制御機構190のDLLは、ポリシー管理テーブル230を参照しながらアクセス制御を実施する。例えば、アプリケーション・プログラム210は、DLL202のAPIをコールして、保護領域220内のデータ222にアクセスするが、アクセス制御機構190は、このAPIコールを通過させるか否かをポリシー管理テーブル内のエントリに応じて決定する。ポリシー管理テーブルは、静的なデータとすることもできるが、ウィンドウやプロセスの状態をポリシーにリアルタイムに反映するため、APIおよびCOMの呼び出し履歴やOSからアプリケーションへの通知メッセージをフィードバックする管理機構(図示せず。)を設けて、ポリシー管理テーブル230をユーザの作業状況に応じて動的に更新することが好ましい。
例えば、画面コピーを禁止する場合、アプリケーションの保護すべきファイルを表示するウィンドウが画面上に見えているか否かという点が重要となる。そこで、ウィンドウのアクティブ状態や可視状態を判定するために、上記管理機構は、WM_Createなどのウィンドウメッセージを監視し、ウィンドウクラス名やタイトル名、ウィンドウ属性などの情報から、どのファイルが表示され、どのファイルがアクティブになったかを判定し、イベントとして検出し、メモリ上のポリシー管理テーブル230を動的に更新することができる。
なお、上述したようなGUIのコンテキストに応じた動的なアクセス制御機構については、より詳細には、古市 実裕、工藤 道治、“GUIベースのコンピュータに適したアクセス制御ポリシー管理方法の提案”、情報処理学会論文誌、Vol.49、No.9、pp.1−11(2008年9月)を参照することができる。なお、上述したアクセス制御機構190は、主要APIおよびCOMインタフェースを対象にしたBinary Interceptionをベースとしたものであるが、UNIX(登録商標)、MAC OS(登録商標)などのWindows(登録商標)以外のOS環境でも、同様に適用することができる。
以下、図10を参照して、本実施形態のデータ配信サーバ20が提供するデータ配信機能の利用態様を説明する。図10は、図1を参照して説明したデータ処理システム10において、発注者、1次受注者および2次受注者間で行われる業務の流れを示す図である。まず、発注者端末30aは、登録者端末として、データ配信サーバ20に対し所定の1次受注者を配信先としたパッケージ登録要求を送信する。データ配信サーバ20は、発注者端末30aから配信先情報、受注者用データ、受注者用ポリシーを受信し、発注者用データベース120Aに記憶する。これにより、受注者用データが配信可能に登録される。
一方、1次受注者端末30bは、受取者端末として、データ配信サーバ20に対し、受注者用データのパッケージ受取要求を送信する。データ配信サーバ20は、受取要求に対する応答として、1次受注者端末30bに対し、受注者用データ、受注者用ポリシーおよび実施モジュールを含む1次受注者用配信パッケージ160Aを送信する。その後、1次受注者端末30bにおいて、1次受注者用配信パッケージ160A内の受注者用データが展開され、アクセス制御機構による制御の下、受注者用データを対象としたローカル作業が行われる。
1次受注者端末30b側で受注した業務の一部をさらに下請け業者に発注する場合には、1次受注者端末30bは、登録者端末として、データ配信サーバ20に対し、保護領域内の上記受注者用データのうちの許可される少なくとも一部のデータ(以下、2次受注者用データという)と、1次受注者が2次受注者へ渡すデータに追加的に適用する追加ポリシーとを送信し、所定の2次受注者を配信先としたパッケージ登録要求を送信する。この場合、起源となる受注者用データの登録者指定ポリシーが継承され、2次受注者用ポリシーが構成される。
1次受注者から2次受注者へ再発注可能なデータは、大本の発注者側で指定する受注者用ポリシーに記述することができる。例えば、上記受注者ポリシーは、再発注を行うためのアップロード先URLを対象とした、上記再発注可能なファイルの読み取りを例外的に許可する旨の記述を含むことができる。このように、本実施形態においては、発注者は、1次受注者以降の情報フロー制御を設定することが可能とされている。
1次受注者の一部業務を請け負う2次受注者端末30cは、受取者端末として、データ配信サーバ20に対し、2次受注者用データのパッケージ受取要求を送信し、2次受注者用データ、2次受注者用ポリシーおよび実施モジュールを含む2次受注者用配信パッケージ160Bを取得し、2次受注者用データを対象としたローカル作業を行う。
以降、作業後のデータを発注元に返却する必要がある場合には、2次受注者端末30cは、データ配信サーバ20に対し、受取者端末として、作業完了後再パッケージ化した配信パッケージを送信するとともに、1次受注者へのパッケージの返却要求を送信する。1次受注者端末30bは、登録者端末として、2次受注者から返却された配信パッケージをデータ配信サーバ20から受信する。同様に、1次受注者端末30bは、データ配信サーバ20に対し、受取者端末として、発注者へのパッケージの返却要求を送信する。発注者端末30aは、登録者端末として、1次受注者から返却された配信パッケージをデータ配信サーバ20から受信する。
上述した本発明の第1の実施形態によれば、配信データの登録者は、配信先の作業環境に一定のセキュリティ・ポリシーを課した上で、当該配信データを配信先に引き渡すことができる。配信データは、配信先ローカル環境に保存されることになるが、ローカル環境に存在する配信データに対しては、上述したアクセス制御機構により、セキュリティ・ポリシーに従って稼働プロセスによるリソースへのアクセスが制御され、その流通可能な範囲が制限される。これにより、例えば取引先企業への正式な情報提供の後の意図しないデータ流出による情報漏洩、いわゆる2次漏洩を防止することができる。また、ローカル環境における作業が終了した後は、配信データをローカル環境から消去し、または消去後返却してもらうことも可能となる。
さらに、データ配信サーバ20が配信先の環境を検出して、適切なアクセス制御実施モジュールを同梱してパッケージを配信するため、登録者は、データのパッケージング方法を気にする必要がなく、作業効率の向上を図ることが可能となる。また、上記実施形態によれば、配信先へのわずらわしい特殊な制御ソフトウェアの強制的な導入および設定が不要である。さらに、上述したアクセス制御実施モジュールは、稼働プロセスにライブラリを注入することによってアクセス制御を実現するという手法を採用しているため、原則として、種々のデータ、種々のアプリケーションに適用することができる。
上述した実施形態では、さらに、配信データの配信先以降の情報フロー制御についても一定のセキュリティ・ポリシーを課すことができるため、例えば、再発注可能なデータの範囲を大本の発注者側で制限をかけることができ、孫請け、さらにその下請けからの情報漏洩を好適に防止することができる。
受注者側のローカル端末に保存された機密情報は、特に契約期間満了後、消去または利用不能とされることが望ましい。以下、配信パッケージに有効期限を設定し、有効期限経過後は配信パッケージ内の配信データを利用不能とする第2の実施形態について説明する。なお、第2の実施形態によるデータ配信サーバ20は、第1の実施形態と同様な構成を備えているため、以下、第1の実施形態との相違点を中心に説明する。また、第1の実施形態と同様の機能を有する機能部については、同一符番を付す。
図11は、本発明の第2の実施形態によるデータ配信サーバにおいて実現される機能ブロック図を示す。図11に示すデータ配信サーバ20の機能ブロック100は、パッケージ登録部110と、登録者用データベース120とを含む。
登録者端末30Aは、データ配信サーバ20に対し、配信データのパッケージ登録要求を送信する。このパッケージ登録要求には、配信データ、登録者指定ポリシーおよび配信先情報に加えて、配信データに設定する有効期限が含まれる。有効期限は、セキュリティ・ポリシーと同様にウェブ・ブラウザを介して入力され、入力された各項目の値が例えばセキュリティ・ポリシーと同時にデータ配信サーバ20へと送信される。上記有効期限を設定するためのGUIは、例えば、登録者端末30Aのウェブ・ブラウザが解釈可能に、ウェブ・ページとして提供される。
パッケージ登録部110は、登録者端末30Aが送信するパッケージ登録要求を受領し、要求にかかる配信データ、登録者指定ポリシー、配信先情報および有効期限を取得し、適宜継承すべきポリシーを取得する。本実施形態のパッケージ登録部110は、さらに、当該配信パッケージの暗号化に使用する暗号鍵を取得する。この暗号鍵は、特に限定されるものではないが、データ配信サーバ20が生成することができ、あるいは、登録者端末30Aから上記パッケージ登録要求とともに送信されてもよい。パッケージ登録部110は、暗号鍵に有効期限を設定して、配信先情報、登録者指定ポリシー122、配信データ124および期限付き暗号鍵126を登録者用データベース120に記憶して、配信データを配信可能に登録する。
データ配信サーバ20の機能ブロック100は、実施モジュール・データベース130と、パッケージ配信部140とをさらに含む。本実施形態のパッケージ配信部140は、より詳細には、パッケージ受取要求受領部142と、環境検出部144と、適用ポリシー決定部146と、パッケージ化処理部148と、送信処理部150とを含み、さらに、暗号鍵配信部152を含む。
パッケージ化処理部148は、少なくとも配信データを暗号化した上で、暗号化された配信データ、受取者適用ポリシー、アクセス制御実施モジュールをパッケージ化した配信データを生成する。送信処理部150は、配信データの受取要求元の受取者端末30Bに対し、上記生成した配信パッケージ160を送信する。暗号鍵配信部152は、受取者端末30B上で起動されたアクセス制御実施モジュール166からの鍵取得要求に応答し、登録者用データベース120から対応する期限付き暗号鍵を読み出し、期限が経過していなければ、受取者端末30Bに提供する。期限が経過した後は、暗号鍵の提供を停止する。
以下、第2の実施形態における配信パッケージを受信したクライアント側の処理について説明する。図12は、本発明の第2の実施形態においてクライアント装置に配信される配信パッケージの詳細な機能ブロックを示す図である。図12に示す配信パッケージは、第1の実施形態と同様に、アクセス制御実施モジュール166と、配信データ162と、受取者適用ポリシー164とを含む。
第2の実施形態の実施モジュール166は、アクセス制御機構注入部170、保護領域作成部172、データ展開部174、再パッケージ化部176、保護領域削除部178、アクセス制御機構190に加え、さらに鍵取得部180および展開データ削除部182をクライアント装置30上に実現するためのプログラム・コードを含む。
鍵取得部180は、データ配信サーバ20と通信して、期限付き暗号鍵を取得する機能部である。データ展開部174は、配信パッケージ160内の配信データを上記取得した暗号鍵で復号し、上記作成された保護領域に展開する。展開データ削除部182は、上記保護領域内に展開したデータを定期的または不定期に削除する。この展開したデータの削除に連動して、鍵取得部180は、データ配信サーバ20から再度期限付き暗号鍵を取得し、データ展開部174は、再度、配信パッケージ160内のデータを上記取得した暗号鍵で復号して、保護領域に展開する。なお、上記鍵取得部180、データ展開部174、および展開データ削除部182は、本実施形態の失効処理部を構成する。
図13は、本発明の第2の実施形態によるクライアント装置が実行する、アクセス制御実施処理を示すフローチャートである。図13に示す処理は、クライアント装置30上で配信パッケージ160(実施モジュール166)が起動されたことに応答して、ステップS400から開始される。
ステップS401では、実施モジュール166は、一時フォルダ内にアクセス制御機構190を実装するDLLを展開し、ステップS402で、クライアント装置30上で稼働中のプロセスを列挙し、すべてのプロセスに対し当該アクセス制御機構190のDLLを注入する。ステップS403では、実施モジュール166は、保護領域を作成し、ステップS404では、データ配信サーバ20と通信して、期限付き暗号鍵の取得を試みる。
ステップS405では、実施モジュール166は、鍵の取得に成功したか否かを判定する。ステップS405で、鍵の取得に失敗したと判定された場合(NO)には、ステップS412へ処理を分岐させ、本プロセスを終了させる。一方、ステップS405で、鍵の取得に成功したと判定された場合(YES)には、ステップS406へ処理を分岐させる。
ステップS406では、実施モジュール166は、配信パッケージ160内の配信データ162を保護領域内に展開し、アプリケーションを起動する。ステップS407では、実施モジュール166は、例えば一定期間が経過したか否かを判定する。ステップS407で、一定期間が未だ経過していない判定された場合(NO)には、ステップS409へ処理を進め、終了条件が成立するまで(ステップS409でNOの間)ステップS407へのループを繰り返す。一方、ステップS407で、一定期間が経過したと判定された場合(YES)には、ステップS408へ処理が進められる。ステップS408では、実施モジュール166は、保護領域内のデータを一旦削除し、ステップS404へ処理をループさせる。
一方、ステップS409で、終了条件が成立したと判定された場合(YES)、ステップS410へ処理を進め、実施モジュール166は、保護領域内のデータを再パッケージ化し、ステップS411で、保護領域を削除し、ステップS412で本プロセスを終了する。
上述したステップS404〜ステップS409のループにより、定期的に保護領域内のデータの削除、鍵の再取得および再展開が繰り返され、鍵の有効期限が経過した時点で鍵が取得不能となるため、期限満了後は、配信パッケージ内のデータが利用不能となる。なお、上述した第2の実施形態では、展開したデータを削除するものとして説明してきたが、上書可能な配信データの場合は、上記データの削除に代えて、保護領域内の現在のローカル・データと配信パッケージの配信時点における配信データとの差分を他の記憶領域に待避する構成としてもよい。
上述した第2の実施形態によれば、配信データが利用可能な制限することができる。これにより、例えば契約期間満了後、受注者のローカル端末に保存された機密データを利用不能とし、契約期間満了の不正利用または流出を防止することができる。
以上説明したように、上記実施形態によれば、配信データに関しアクセス制御を実行するアクセス制御機構を同梱した配信パッケージの形態でデータ配信することにより、データの情報フローを制御し、ひいては、配信先の利用環境に制限および過剰な作業負担をかけずに、配信先からの情報漏洩を防止することができるデータ配信装置およびデータ配信システムを提供することができる。さらに上記実施形態によれば、上記データ配信装置またはデータ配信システムから配信パッケージを受信するクライアント装置、上記データ配信装置が実行するデータ配信方法、上記クライアント装置が実行するデータ受信方法、上記データ配信装置を実現するためのプログラム、および上記プログラムを格納する記録媒体を提供することができる。
なお、上述までの実施形態では、単一のコンピュータとして構成されるデータ配信サーバ20を例に説明してきたが、他の実施形態では、複数のコンピュータからなるコンピュータ・システム上に、上記データ配信機能をクラウドサービスとして実装する構成を採用することができる。
また、上述までの実施形態では、登録された配信データは、受取者端末30Bからの受取要求に応答して配信パッケージとして配信されるものとして説明してきた。しかしながら、製造業における下請け業者においては、インターネットに接続できない環境も想定されるため、物理的な記録媒体を介した配信パッケージの提供方法を確保することが好ましい場合もある。そこで、他の実施形態では、登録者側で、データ配信サーバ20からパッケージ化された配信パッケージを取得し、CD−RやUSBフラッシュ、SDカードなどのような記録媒体に書き出すことができる。この場合、当該記録媒体を郵送等することにより、所望の相手先にセキュリティ・ポリシーを適用した配信パッケージを提供することもできる。この場合、暗号鍵は、郵送、口頭または他の手段で伝達すればよい。
さらに上述した実施形態は、データ配信を行うデータ処理システムを例に説明してきたが、スケジュール管理、プロジェクト管理、タスク管理、ワークフロー管理などの種々の機能を備えるコラボレーション・システムとして実装することもできる。さらに、他の実施形態では、電子文書等をセキュアに配信するコンテンツ管理システムとして実装してもよい。
本発明の上記機能は、アセンブラ、C、C++、Java(登録商標)、JavaBeans(登録商標)、Java(登録商標)Applet、JavaScript(登録商標)、Perl、Rubyなどのレガシープログラミング言語またはオブジェクト指向プログラミング言語などで記述された装置実行可能なプログラムにより実現でき、ROM、EEPROM、EPROM、フラッシュメモリ、フレキシブルディスク、CD−ROM、CD−RW、DVD−ROM、DVD−RAM、DVD−RW、ブルーレイディスク、SDカード、MOなど装置可読な記録媒体に格納して頒布または伝送して頒布することができる。
これまで本発明を、特定の実施形態および実施例をもって説明してきたが、本発明は、特定の実施形態または実施例に限定されるものではなく、他の実施形態、追加、変更、削除など、当業者が想到することができる範囲内で変更することができ、いずれの態様においても本発明の作用・効果を奏する限り、本発明の範囲に含まれるものである。
10…データ処理システム、12…ネットワーク、20…データ配信サーバ、30…クライアント装置、100…機能ブロック、110…パッケージ登録部、112…登録要求受領部、114…データ・ポリシー取得部、116…登録処理、120…登録者用データベース、122…登録者指定ポリシー、124…配信データ、126…期限付き暗号鍵、130…実施モジュール・データベース、132〜138…実施モジュール、140…パッケージ配信部、142…パッケージ受取要求受領部、144…環境検出部、146…適用ポリシー決定部、148…パッケージ化処理部、150…送信処理部、152…暗号鍵配信部、160…配信パッケージ、162…配信データ、164…受取者適用ポリシー、166…アクセス制御実施モジュール、170…アクセス制御機構注入部、172…保護領域作成部、174…データ展開部、176…再パッケージ化部、178…保護領域削除部、180…鍵取得部、182…展開データ削除部、190…アクセス制御機構、192…ファイル、194…プリント、196…クリップボード、200…OS、202…DLL、204…COMインタフェース、210…アプリケーション・プロセス、220…保護領域、222…データ、230…ポリシー管理テーブル

Claims (20)

  1. クライアントの環境に対応させて、与えられるポリシーに応じてプロセスによるリソースへのアクセスを制御するアクセス制御機構と、配信パッケージに含まれる配信データを保護される記憶領域に展開する展開部とを該クライアント上で実現するためのアクセス制御実施プログラムを記憶するプログラム記憶部と、
    配信対象となる配信データと、該配信データに対して指定されるセキュリティ・ポリシーとを記憶するデータ記憶部と、
    前記配信データの受け取りを要求する要求元クライアントの環境を検出する環境検出部と、
    前記配信データと、前記セキュリティ・ポリシーと、前記要求元クライアントの前記環境に対応したアクセス制御実施プログラムとを含む配信パッケージを、前記要求元クライアントに送信する送信部と
    を含む、データ配信装置。
  2. 配信データの登録要求に応答して、登録が要求される配信データと、該配信データに対する情報フロー制御を規定するセキュリティ・ポリシーと、該配信データの配信先の情報とを前記データ記憶部に記憶して、該配信データを登録する登録部をさらに含む、請求項1に記載のデータ配信装置。
  3. 前記アクセス制御実施プログラムは、前記配信データを使用した作業の終了時に、前記保護される記憶領域内をデータ消去し、かつ前記保護される記憶領域を削除する領域削除部をさらにクライアント上で実現するためのコードを含む、請求項2に記載のデータ配信装置。
  4. 前記配信データに対して指定される前記セキュリティ・ポリシーは、該配信データのうちの少なくとも一部に対する前記配信先以降の情報フロー制御を規定するポリシーを含み、
    前記アクセス制御機構は、前記保護される記憶領域内のローカル・データの少なくとも一部を配信データとする登録要求の可否を前記ポリシーに応じて制御し、
    前記登録部は、前記ローカル・データの少なくとも一部を配信データとする登録要求に応答して、前記ローカル・データの起源となる配信データに対して指定されたポリシーを継承するセキュリティ・ポリシーと、配信データとして前記ローカル・データの少なくとも一部とを前記データ記憶部に記憶させる、請求項3に記載のデータ配信装置。
  5. 前記データ記憶部は、有効期限が設けられる鍵をさらに前記配信データに関連付けて記憶し、前記アクセス制御実施プログラムは、前記鍵の前記有効期限が経過した後、前記配信データおよび前記保護される記憶領域内のローカル・データへのアクセスを制限する失効処理部をさらにクライアント上で実現するためのコードを含む、請求項4に記載のデータ配信装置。
  6. 前記失効処理部は、定期的または不定期に、前記保護される記憶領域内の前記ローカル・データを削除するか、または前記保護される記憶領域内の前記ローカル・データと前記配信パッケージの前記配信データとの差分を待避する機能部と、前記配信データに関連付けられる前記鍵の再取得する機能部と、再取得した前記鍵を用いて前記保護される記憶領域内にデータを復元する機能部とを含む、請求項5に記載のデータ配信装置。
  7. 与えられるポリシーに応じて制御される前記プロセスによるリソースへのアクセスは、前記保護される記憶領域内の前記ローカル・データの読み出し、前記ローカル・データのリムーバブル・メディアへの保存、前記ローカル・データの保護されていない記憶領域への保存、前記ローカル・データのプリント、前記ローカル・データを開いている状態でのクリップボードへのコピー、前記ローカル・データを開いている状態でのクリップボードを介したプロセス間のコピー・ペースト、前記ローカル・データのウィンドウがアクティブな状態での画面コピー、および前記保護される記憶領域への書き込みのうちの少なくとも1つを含む、請求項6に記載のデータ配信装置。
  8. 前記データ記憶部は、有効期限が設けられる鍵をさらに前記配信データに関連付けて記憶し、前記アクセス制御実施プログラムは、前記鍵の前記有効期限が経過した後、前記配信データおよび前記保護される記憶領域内のローカル・データへのアクセスを制限する失効処理部をさらにクライアント上で実現するためのコードを含む、請求項1に記載のデータ配信装置。
  9. 前記失効処理部は、定期的または不定期に、前記保護される記憶領域内の前記ローカル・データを削除するか、または前記保護される記憶領域内の前記ローカル・データと前記配信パッケージの前記配信データとの差分を待避する機能部と、前記配信データに関連付けられる前記鍵の再取得する機能部と、再取得した前記鍵を用いて前記保護される記憶領域内にデータを復元する機能部とを含む、請求項8に記載のデータ配信装置。
  10. 与えられるポリシーに応じて制御される前記プロセスによるリソースへのアクセスは、前記保護される記憶領域内のローカル・データの読み出し、前記ローカル・データのリムーバブル・メディアへの保存、前記ローカル・データの保護されていない記憶領域への保存、前記ローカル・データのプリント、前記ローカル・データを開いている状態でのクリップボードへのコピー、前記ローカル・データを開いている状態でのクリップボードを介したプロセス間のコピー・ペースト、前記ローカル・データのウィンドウがアクティブな状態での画面コピー、および前記保護される記憶領域への書き込みのうちの少なくとも1つを含む、請求項1に記載のデータ配信装置。
  11. 前記クライアントの前記環境に応じて、前記配信データに対して指定されるセキュリティ・ポリシーを変更して、前記配信パッケージに含ませる適用ポリシーを決定する適用ポリシー決定部をさらに含む、請求項1に記載のデータ配信装置。
  12. 複数のコンピュータからなる、配信パッケージを提供するためのデータ配信システムであって、
    クライアントの環境に対応させて、与えられるポリシーに応じてプロセスによるリソースへのアクセスを制御するアクセス制御機構と、配信パッケージに含まれる配信データを保護される記憶領域に展開する展開部とを該クライアント上で実現するためのアクセス制御実施プログラムを記憶するプログラム記憶部と、
    配信対象となる配信データと、該配信データに対して指定されるセキュリティ・ポリシーとを記憶するデータ記憶部と、
    前記配信データの受け取りを要求する要求元クライアントの環境を検出する環境検出部と、
    前記配信データと、前記セキュリティ・ポリシーと、前記要求元クライアントの前記環境に対応したアクセス制御実施プログラムとを含む配信パッケージを、前記要求元クライアントに送信する送信部と
    を含む、データ配信システム。
  13. 配信パッケージを配信するデータ配信装置にネットワークを介して接続されるクライアント装置であって、
    前記データ配信装置に対し、配信データの受取要求を送信する要求送信部と、
    前記データ配信装置に対し、当該クライアント装置の環境を記述した環境情報を送信する環境情報送信部と、
    前記データ配信装置から、前記配信データと、該配信データに対して指定されるセキュリティ・ポリシーと、当該クライアント装置の前記環境に対応するアクセス制御実施プログラムであって、前記セキュリティ・ポリシーに応じてプロセスによるリソースへのアクセスを制御するアクセス制御機構と、前記配信データを保護される記憶領域に展開する展開部とを当該クライアント装置上で実現するためのアクセス制御実施プログラムとを含む配信パッケージを受信する受信部と
    を含む、クライアント装置。
  14. 1以上のコンピュータからなるコンピュータ・システムが実行する、配信パッケージを提供する方法であって、
    前記コンピュータ・システムが、クライアントから配信データの受取要求を受信するステップと、
    前記コンピュータ・システムが、前記クライアントの環境を検出するステップと、
    前記コンピュータ・システムが、配信対象となる配信データと、該配信データに対して指定されるセキュリティ・ポリシーとを読み出すステップと、
    前記コンピュータ・システムが、前記クライアントの前記環境に対応したアクセス制御実施プログラムであって、前記セキュリティ・ポリシーに応じてプロセスによるリソースへのアクセスを制御するアクセス制御機構と、前記配信データを保護される記憶領域に展開する展開部とを当該クライアント上で実現するためのアクセス制御実施プログラムを読み出すステップと、
    前記コンピュータ・システムが、前記配信データと、前記セキュリティ・ポリシーと、前記アクセス制御実施プログラムとを含む配信パッケージを前記クライアントに送信するステップと
    を含む、データ配信方法。
  15. 前記コンピュータ・システムが、配信データの登録要求に応答して、登録要求された配信データと、該配信データに対する情報フロー制御を規定するセキュリティ・ポリシーと、該配信データの配信先の情報とを記憶して、該配信データを登録するステップさらに含む、請求項14に記載のデータ配信方法。
  16. 前記配信データに対して指定される前記セキュリティ・ポリシーは、該配信データのうちの少なくとも一部に対する前記配信先以降の情報フロー制御を規定するポリシーを含み、
    前記アクセス制御機構は、前記保護される記憶領域内のローカル・データの少なくとも一部を配信データとする登録要求の可否を前記ポリシーに応じて制御し、
    前記登録するステップは、前記コンピュータ・システムが、前記ローカル・データの少なくとも一部を配信データとする登録要求に応答して、前記ローカル・データの起源となる配信データに対して指定されたセキュリティ・ポリシーを、前記ローカル・データの少なくとも一部に対して指定されるセキュリティ・ポリシーに継承させるサブステップを含む、請求項15に記載のデータ配信方法。
  17. データ配信方法は、
    前記コンピュータ・システムが、前記クライアントからの鍵取得要求に応答して、前記配信データに関連付けて記憶される有効期限が設けられる鍵を読み出し、前記クライアントへ前記鍵を送信するステップをさらに含み、
    前記アクセス制御実施プログラムは、前記鍵の前記有効期限が経過した後、前記配信データおよび前記保護される記憶領域内のローカル・データへのアクセスを制限する失効処理部をさらにクライアント上で実現するためのコードを含む、請求項16に記載のデータ配信方法。
  18. 配信データを受信する方法であって、
    前記配信データを含む配信パッケージを配信するデータ配信装置にネットワークを介して接続されるクライアント装置が、前記データ配信装置に対し、前記配信データの受取要求を送信するステップと、
    前記クライアント装置が、前記データ配信装置に対し、当該クライアントの環境を記述した環境情報を送信するステップと、
    前記クライアント装置が、前記データ配信装置から、前記配信データと、該配信データに対して指定されるセキュリティ・ポリシーと、当該クライアント装置の前記環境に対応するアクセス制御実施プログラムであって、前記セキュリティ・ポリシーに応じてプロセスによるリソースへのアクセスを制御するアクセス制御機構と、前記配信データを保護される記憶領域に展開する展開部とを当該クライアント装置上で実現するためのアクセス制御実施プログラムとを含む配信パッケージを受信するステップと、
    前記クライアント装置が、前記アクセス制御機構を起動するステップと、
    前記クライアント装置が、前記保護される記憶領域に、前記配信パッケージに含まれる前記配信データを展開するステップと
    を含む、データ受信方法。
  19. コンピュータ実行可能なプログラムであって、前記プログラムは、1以上のコンピュータからなるコンピュータ・システムに対し、
    クライアントの環境に対応させて、与えられるポリシーに応じてプロセスによるリソースへのアクセスを制御するアクセス制御機構と、配信パッケージに含まれる配信データを保護される記憶領域に展開する展開部とを該クライアント上で実現するためのアクセス制御実施プログラムを記憶するプログラム記憶部、
    配信対象となる配信データと、該配信データに対して指定されるセキュリティ・ポリシーとを記憶するデータ記憶部、
    前記配信データの受け取りを要求する要求元クライアントの環境を検出する環境検出部、および
    前記配信データと、前記セキュリティ・ポリシーと、前記要求元クライアントの前記環境に対応したアクセス制御実施プログラムとを含む配信パッケージを、前記要求元クライアントに送信する送信部
    を実現するためのプログラム。
  20. 請求項19に記載のプログラムをコンピュータ可読に記録する記録媒体。
JP2012534952A 2010-09-22 2011-07-01 データ配信装置、データ配信システム、クライアント装置、データ配信方法、データ受信方法、プログラムおよび記録媒体 Expired - Fee Related JP5528560B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012534952A JP5528560B2 (ja) 2010-09-22 2011-07-01 データ配信装置、データ配信システム、クライアント装置、データ配信方法、データ受信方法、プログラムおよび記録媒体

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2010211870 2010-09-22
JP2010211870 2010-09-22
JP2012534952A JP5528560B2 (ja) 2010-09-22 2011-07-01 データ配信装置、データ配信システム、クライアント装置、データ配信方法、データ受信方法、プログラムおよび記録媒体
PCT/JP2011/065184 WO2012039178A1 (ja) 2010-09-22 2011-07-01 データ配信装置、データ配信システム、クライアント装置、データ配信方法、データ受信方法、プログラムおよび記録媒体

Publications (2)

Publication Number Publication Date
JPWO2012039178A1 true JPWO2012039178A1 (ja) 2014-02-03
JP5528560B2 JP5528560B2 (ja) 2014-06-25

Family

ID=45873674

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012534952A Expired - Fee Related JP5528560B2 (ja) 2010-09-22 2011-07-01 データ配信装置、データ配信システム、クライアント装置、データ配信方法、データ受信方法、プログラムおよび記録媒体

Country Status (6)

Country Link
US (1) US9501628B2 (ja)
JP (1) JP5528560B2 (ja)
CN (1) CN103109297B (ja)
DE (1) DE112011103164T5 (ja)
GB (1) GB2498142B (ja)
WO (1) WO2012039178A1 (ja)

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8973144B2 (en) * 2011-10-13 2015-03-03 Mcafee, Inc. System and method for kernel rootkit protection in a hypervisor environment
US9069586B2 (en) 2011-10-13 2015-06-30 Mcafee, Inc. System and method for kernel rootkit protection in a hypervisor environment
US9769123B2 (en) * 2012-09-06 2017-09-19 Intel Corporation Mitigating unauthorized access to data traffic
US9326145B2 (en) 2012-12-16 2016-04-26 Aruba Networks, Inc. System and method for application usage controls through policy enforcement
US9059974B2 (en) * 2012-12-21 2015-06-16 Mobile Iron, Inc. Secure mobile app connection bus
US9866382B2 (en) 2012-12-21 2018-01-09 Mobile Iron, Inc. Secure app-to-app communication
US9256751B2 (en) * 2013-06-04 2016-02-09 Sap Se Public exposed objects
CN103312706B (zh) * 2013-06-04 2017-05-10 百度在线网络技术(北京)有限公司 网络访问控制的方法和装置
CN103368966B (zh) * 2013-07-18 2016-08-17 北京网鼎芯睿科技有限公司 服务器系统和数据流的传输方法
US9467450B2 (en) 2013-08-21 2016-10-11 Medtronic, Inc. Data driven schema for patient data exchange system
CN103886264A (zh) * 2014-03-03 2014-06-25 深圳市江波龙电子有限公司 一种存储设备隐藏区内数据保护的方法及装置
US9632700B2 (en) 2014-07-02 2017-04-25 International Business Machines Corporation Managing a shared storage system using hardware identifiers to deter data/file corruption
CN104506483A (zh) * 2014-10-21 2015-04-08 中兴通讯股份有限公司 一种信息加密解密、管理密钥的方法、终端及网络服务器
US9973475B2 (en) * 2014-10-22 2018-05-15 Protegrity Corporation Data computation in a multi-domain cloud environment
US9825959B2 (en) * 2015-02-13 2017-11-21 Ebay Inc. Portable electronic device with user-configurable API data endpoint
US10491639B2 (en) * 2015-03-17 2019-11-26 The Boeing Company Scalable security architecture systems and methods
US11537723B2 (en) * 2016-01-29 2022-12-27 British Telecommunications Public Limited Company Secure data storage
CN106339435B (zh) * 2016-08-19 2020-11-03 中国银行股份有限公司 一种数据分发方法、装置及系统
US10027669B2 (en) 2016-10-26 2018-07-17 Intuit Inc. Authorization to access a server in the cloud without obtaining an initial secret
US10412097B1 (en) 2017-01-24 2019-09-10 Intuit Inc. Method and system for providing distributed authentication
US10366240B1 (en) 2017-01-25 2019-07-30 Intuit Inc. Authorization to access a server in the cloud without obtaining an initial secret
CN109617713A (zh) * 2018-11-26 2019-04-12 网宿科技股份有限公司 资源分发的实现方法及服务器
US11159322B2 (en) * 2019-01-31 2021-10-26 Baidu Usa Llc Secure multiparty computing framework using a restricted operating environment with a guest agent
US10438437B1 (en) * 2019-03-20 2019-10-08 Capital One Services, Llc Tap to copy data to clipboard via NFC
US11342065B2 (en) 2019-06-24 2022-05-24 Fujifilm Medical Systems U.S.A., Inc. Systems and methods for workstation rendering medical image records
JP2022070771A (ja) * 2020-10-27 2022-05-13 シャープ株式会社 画像形成装置、設定方法及びシステム

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09134302A (ja) * 1995-11-08 1997-05-20 Hitachi Ltd データ処理システムおよび方法
JP2000503154A (ja) * 1996-01-11 2000-03-14 エムアールジェイ インコーポレイテッド デジタル所有権のアクセスと分配を制御するためのシステム
US20050071657A1 (en) * 2003-09-30 2005-03-31 Pss Systems, Inc. Method and system for securing digital assets using time-based security criteria
US20040125402A1 (en) * 2002-09-13 2004-07-01 Yoichi Kanai Document printing program, document protecting program, document protecting system, document printing apparatus for printing out a document based on security policy
US7263185B2 (en) * 2003-02-27 2007-08-28 Realnetworks, Inc. Key based decipher including its generation, distribution and usage
US20050021980A1 (en) * 2003-06-23 2005-01-27 Yoichi Kanai Access control decision system, access control enforcing system, and security policy
JP2005332049A (ja) 2004-05-18 2005-12-02 Nippon Telegr & Teleph Corp <Ntt> ポリシ変換方法、ポリシ移行方法およびポリシ評価方法
JP4377762B2 (ja) 2004-07-05 2009-12-02 株式会社東芝 デジタルコンテンツ権利生成装置、デジタルコンテンツ権利生成方法およびデジタルコンテンツ権利生成プログラム
JP4740560B2 (ja) * 2004-07-08 2011-08-03 定康 小野 コンテンツ管理利用方法
US8245280B2 (en) * 2005-02-11 2012-08-14 Samsung Electronics Co., Ltd. System and method for user access control to content in a network
US20060184932A1 (en) * 2005-02-14 2006-08-17 Blazent, Inc. Method and apparatus for identifying and cataloging software assets
US20060236408A1 (en) 2005-04-14 2006-10-19 International Business Machines Corporation Method and apparatus for device dependent access control for device independent web content
US7698301B2 (en) * 2005-05-25 2010-04-13 1776 Media Network, Inc. Data management and distribution
US20070140140A1 (en) * 2005-11-22 2007-06-21 Turntv Incorporated System and apparatus for distributing data over a network
US20070288989A1 (en) * 2006-06-09 2007-12-13 Nokia Corporation Method, electronic device, apparatus, system and computer program product for updating an electronic device security policy
US7917963B2 (en) * 2006-08-09 2011-03-29 Antenna Vaultus, Inc. System for providing mobile data security
WO2011130879A1 (en) * 2010-04-23 2011-10-27 Hewlett-Packard Development Company, L.P. Match analysis for encoding optimized update packages
JP4593549B2 (ja) * 2006-11-08 2010-12-08 Necシステムテクノロジー株式会社 ファイル自動復号暗号化システムおよびプログラム
JP4768682B2 (ja) * 2007-07-19 2011-09-07 株式会社日立ソリューションズ データの二次流出防止方法及びシステム
JP4908367B2 (ja) 2007-09-28 2012-04-04 株式会社日立ソリューションズ 情報処理装置
CN101835148B (zh) 2009-03-13 2012-12-26 中国移动通信集团公司 一种数字内容分发与获取方法、系统及设备
US8838644B2 (en) * 2009-11-25 2014-09-16 International Business Machines Corporation Extensible access control list framework
EP2705428A4 (en) * 2011-05-04 2014-10-15 Apperian Inc PROCESSING, MODIFICATION AND DISTRIBUTION OF INSTALLATION PACKAGES
US8903088B2 (en) * 2011-12-02 2014-12-02 Adobe Systems Incorporated Binding of protected video content to video player with encryption key

Also Published As

Publication number Publication date
GB2498142A (en) 2013-07-03
US9501628B2 (en) 2016-11-22
US20130219462A1 (en) 2013-08-22
CN103109297B (zh) 2015-08-12
CN103109297A (zh) 2013-05-15
DE112011103164T5 (de) 2013-08-14
GB201306470D0 (en) 2013-05-22
JP5528560B2 (ja) 2014-06-25
GB2498142B (en) 2019-01-16
WO2012039178A1 (ja) 2012-03-29

Similar Documents

Publication Publication Date Title
JP5528560B2 (ja) データ配信装置、データ配信システム、クライアント装置、データ配信方法、データ受信方法、プログラムおよび記録媒体
US11057355B2 (en) Protecting documents using policies and encryption
US9461819B2 (en) Information sharing system, computer, project managing server, and information sharing method used in them
US8620817B2 (en) Method and system for creating license management in software applications
EP2695101B1 (en) Protecting information using policies and encryption
US9195849B2 (en) Cloud application installed in client terminal connected to cloud server
US20150081644A1 (en) Method and system for backing up and restoring a virtual file system
US20150121446A1 (en) Accessing protected content for archiving
EP1698991A2 (en) Method and computer-readable medium for generating usage rights for an item based upon access rights
US10171502B2 (en) Managed applications
US20090300706A1 (en) Centrally accessible policy repository
WO2014150339A2 (en) Method and system for enabling communications between unrelated applications
US10223526B2 (en) Generating packages for managed applications
US9716693B2 (en) Digital rights management for emails and attachments
CN107636667B (zh) 在设备中创建多个工作空间的系统及方法
US9922174B2 (en) Secure document management
JP2006139475A (ja) 既存アプリケーションの機密情報保護システム

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131105

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140117

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140401

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140415

R150 Certificate of patent or registration of utility model

Ref document number: 5528560

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees