WO2007052388A1

WO2007052388A1 - 機密ファイル保護方法、及び機密ファイル保護システム

Info

Publication number: WO2007052388A1
Application number: PCT/JP2006/313839
Authority: WO
Inventors: Naohide Miyabayashi
Original assignee: Hitachi Software Engineering Co., Ltd.
Priority date: 2005-11-02
Filing date: 2006-07-12
Publication date: 2007-05-10
Also published as: CN101273366A; US20090276860A1; JP2007128205A; JP4854000B2

Abstract

　業務上の機密ファイルをセキュリティポリシーに従って確実に保護することができる機密ファイル保護方法を提供する。本発明による機密ファイル保護法方においては、機密ファイルへのアクセスを許可する業務アプリケーションは、予め管理サーバにその情報を登録しておき、登録されたアプリケーション情報は各クライアントに随時、配信する。業務アプリケーションで機密ファイルを参照する際は、業務アプリケーション起動時に、サーバに予め登録されているアプリケーションがどうかを判断（アプリケーション認証）し、アプリケーション認証をパスした場合のみ、I/O捕捉モジュールに自らのプロセス情報を登録する。I/O捕捉モジュールでは、登録されているプロセス情報に一致するプロセスのみ機密情報へのアクセスを許可し、それ以外の場合はアクセスを拒否する。

Description

明細書

機密ファイル保護方法、及び機密ファイル保護システム

技術分野

[0001] 本発明は、業務アプリケーションの機密情報へのアクセスをアプリケーション単位、またはプロセス単位に制御することにより業務上の機密ファイルを保護する方法及びシステムに関するものである。

背景技術

[0002] 近年、顧客情報の流出など重要な個人情報が漏洩する事件が多発しており、企業にとつては顧客情報の保護が重大な関心事となっている。

[0003] また、 2005年 4月より個人情報保護法が民間事業者をも対象として全面施行されたことから、セキュリティ対策アプリケーションへの関心が急速に高まっている。

[0004] セキュリティ対策アプリケーションでは、業務上の外部に漏洩させたくない機密情報

(個人情報を含むデータなど)やセキュリティ対策アプリケーション自体の機密情報（動作環境定義情報やポリシー定義情報など)を保護することが重要である。

[0005] 機密ファイルへアクセス可能なアプリケーションを認証する方式として下記特許文献 1に記載の技術がある。

[0006] この技術は、フィルタモジュールによって業務アプリケーションからの API発行ィべントを捕捉し、ファイル I/O発行を一時保留している間にアプリケーションの認証を行う。許可された業務アプリケーションからのファイル I/Oは、 I/O監視モジュールにより許可され、不正なファイル I/Oは拒否される仕組みである。

特許文献 1 :特開 2003— 108253号公報

発明の開示

発明が解決しょうとする課題

[0007] 個人情報などを含む機密情報を扱う場合には、特定の業務アプリケーションでのみ機密情報へのアクセスを許可し、他のアプリケーションではアクセスさせたくな、とヽうケースがある。例えば、機密ファイルの参照のみを目的とした場合、特定のビューヮで参照だけを可能にし、データの保存 ·印刷などによって機密情報が外部にデータが漏洩するのを防ぐため、その他のアプリケーション力もでは機密ファイルへアクセスを一切禁止させると、つた場合である。

[0008] また、セキュリティ対策アプリケーションにおいて、当該セキュリティ対策アプリケーシヨン動作環境やポリシー定義情報などの機密情報を格納した機密ファイルを解析' 改ざんされることは危険な攻撃である。例えば、あらゆるネットワークや外付け媒体への持ち出し操作を禁止するポリシーを設定しているクライアントであっても、悪意の第三者にポリシー定義情報が書き換えられてしまえば機密情報を自由に持ち出すことが可能になってしまう。

[0009] 上記特許文献 1に記載の技術は、業務アプリケーションが業務文書や表ファイルなどを参照 ·更新する際のアクセス制御の仕組みには適した技術である。

[0010] し力しながら、上記の要件を満たすには次のような問題がある。

[0011] 1つは API発行イベントを捕捉する外部的な認証方法であるため、 API発行ィベントを捕捉するフィルタモジュールとアプリケーション認証モジュールとの通信処理、およびアプリケーション認証モジュールと I/O監視モジュールとの通信処理が発生し、内部コードで実装するよりも性能が劣化するという問題である。仮にファイル OPEN の API捕捉時だけアプリケーション認証を行うように限定したとしても、通常、ファイル OPENは複数回発行されるため、アプリケーションの性能劣化は避けられな、。

[0012] 2つ目として、機密ファイルへのアクセスを許可するアプリケーション情報を登録しているハッシュ管理テーブルの内容が改ざん可能である点である。アプリケーション単位で機密ファイルに対するアクセス制御を行うようなセキュリティポリシーを適用する場合は、セキュリティ管理者がネットワークグループ内のセキュリティポリシーを一元管理すべきであり、その情報はクライアントで改ざんできな、ようにすべきである。

[0013] 本発明の目的は、セキュリティ対策アプリケーションにおいて、アプリケーション認証を動的に行い、セキュリティ対策アプリケーションの性能劣化を抑え、かつ業務上の機密ファイルをグループ内のセキュリティポリシーに従って確実に保護することができる機密ファイル保護方法及びシステムを提供することにある。

課題を解決するための手段

[0014] 上記目的を達成するために、本発明に係る機密ファイル保護方法は、業務上、不正なアクセスを禁止してヽる機密ファイルを保護する方法であって、前記機密フアイルへのアクセス要求元の業務アプリケーションを、サーバコンピュータで稼動して、るアプリケーション管理サービスが保持するアプリケーション管理テーブルに登録する第 1のステップと、クライアントコンピュータで稼動して、るアプリケーション認証サービスカ前記サーバコンピュータのアプリケーション管理サービスと通信し、前記アプリケーシヨン管理テーブルの内容をクライアントコンピュータ内にキャッシュする第 2のステツプと、前記業務アプリケーションが、前記アプリケーション認証サービスによってキャッシュされたアプリケーション認証情報に登録済みの業務アプリケーションであるならば、当該業務アプリケーションに実装したアプリケーション認証モジュールが当該業務アプリケーションのプロセスを、クライアントで稼動しているプロセス認証'ファイル I/O捕捉モジュールのプロセス管理テーブルに登録する第 3のステップと、前記プロセス認証'ファイル I/O捕捉モジュール力前記機密ファイルへのアクセス要求に対し、当該アクセス要求を捕捉し、アクセス要求元のプロセスが前記プロセス管理テープルに登録されたプロセスであるかを判定し、登録済みでなければ機密ファイルへのァクセスを禁止し、登録済みであればアクセスを許可する第 4のステップと、を備えることを特徴とする。

[0015] また、前記第 1,第 3のステップにおいて、前記アプリケーション管理テープノレ、プロセス管理テーブルに対し、機密ファイルへのアクセス権限、アクセス可能期間の情報を登録し、前記第 4のステップにおいては登録されたアクセス権限、アクセス可能期間に限定して機密ファイルへのアクセスを許可することを特徴とする。

[0016] さらに、本発明による機密ファイル保護システムは、業務上、不正なアクセスを禁止して、る機密ファイルを保護する機密ファイル保護システムであって、前記機密フアイルへのアクセス要求元の業務アプリケーションを、サーバコンピュータで稼動して、るアプリケーション管理サービスが保持するアプリケーション管理テーブルに登録する第 1の登録手段と、クライアントコンピュータで稼動しているアプリケーション認証サービスが、前記サーバコンピュータのアプリケーション管理サービスと通信し、前記ァプリケーシヨン管理テーブルの内容をクライアントコンピュータ内にキャッシュする手段と、前記業務アプリケーションが、前記アプリケーション認証サービスによってキャッシュされたアプリケーション認証情報に登録済みの業務アプリケーションであるならば、当該業務アプリケーションに実装したアプリケーション認証モジュールが当該業務アブリケーシヨンのプロセスを、クライアントコンピュータで稼動しているプロセス認証'ファィル I/O捕捉モジュールのプロセス管理テーブルに登録する第 2の登録手段と、前記プロセス認証 'ファイル I/O捕捉モジュール力前記機密ファイルへのアクセス要求に対し、当該アクセス要求を捕捉し、アクセス要求元のプロセスが前記プロセス管理テ一ブルに登録されたプロセスであるかを判定し、登録済みでなければ機密ファイルへのアクセスを禁止し、登録済みであればアクセスを許可するアクセス許可手段と、を備えることを特徴とする。

[0017] さらなる発明の具体的構成は、後述の発明を実施するための最良の形態及び添付図面により明らかになるものである。

発明の効果

[0018] 本発明によれば、機密ファイルへのアクセス権を認証するアプリケーション認証サ一ビスとの間で業務アプリケーションの認証を行うためのアプリケーション認証モジュールを業務アプリケーションに実装し、アプリケーション認証モジュールとアプリケーシヨン認証サービスとの間の通信によって機密ファイルへのアクセス権が登録済みである場合にのみ、機密ファイルへのアクセスを許可するように構成したため、アプリケーシヨン認証モジュールを実装して!/、な!/、不正アプリケーションは機密ファイルヘアクセスすることができなくなる。これによつて、不正アプリケーションによる機密ファイルの不正アクセス行為から機密ファイルを確実に防御することが可能になる。

[0019] このアプリケーション認証は API発行イベントに依存しない認証方式であるため、認証要求発行頻度を低くし、性能を極力劣化させない実装が可能である。また、ァクセス制御はプロセス単位でのファイル I/Oをフィルタリングすることで実現するためフアイル I/Oが発生するたびにプロセス認証が発生することになる力プロセス認証での認証判定はプロセス IDなどの固有識別子との単純な比較判定のみで実現可能なため、大きな性能劣化を発生させずに実装できる。

[0020] さらに、クライアントコンピュータのアプリケーション認証サービスは常に稼動していて、随時、サーバコンピュータのアプリケーション管理サービスと通信し、サーバコンピュータが保持して、るアプリケーション管理テーブルの内容をメモリ内にキャッシュするため、アプリケーションを認証する度にサーバコンピュータへ問い合わせる必要がなくなり、性能劣化を抑えることができる。

[0021] 特に、アプリケーション認証情報をメモリ内に保持する場合に、電源オフによりメモリ内容が消去される揮発性のメモリ内に保持するように構成することにより、ローカルフアイルにこれを保存するよりも遥かに改ざんの恐れが少なくなり、クライアントコンビュータを盗難されたとしても一度クライアントコンピュータをシャットダウンすれば、キヤッシュされたアプリケーション認証情報は消去されるので、悪用される危険も少な!/ヽ。

[0022] セキュリティ管理者はアプリケーションの登録をサーバコンピュータ上で行い、アプリケーシヨン認証情報はサーバコンピュータ内で管理し、これをクライアントコンピュータに配信するため、同じネットワークグループ内で各アプリケーションのアクセス権限やアクセス可能期間などの指定を一括して行える。

[0023] 本発明ではネットワークグループ内で同じセキュリティポリシーを適用でき、そのポリシーを一元管理する機能を提供できる。

[0024] なお、本明細書は、本願の優先権の基礎である日本国特許出願 2005- 319156 号の明細書および Zまたは図面に記載される内容を包含するものである。

図面の簡単な説明

[0025] [図 1]本発明の一実施の形態を示す機能ブロック図である。

[図 2]アプリケーション管理情報の概略構成を説明するためのテーブル図である。

[図 3]アプリケーション情報の概略構成を説明するためのテーブル図である。

[図 4]プロセス管理情報の概略構成を説明するためのテーブル図である。

[図 5]プロセス情報の概略構成を説明するためのテーブル図である。

[図 6]アプリケーション登録方式の概略構成を説明するための図である。

[図 7]アプリケーション認証情報の配信方式の概略構成を説明するための図である。

[図 8]認証済みアプリケーションの機密ファイルアクセスを説明するための図である。

[図 9]不正アプリケーションの機密ファイルアクセスを説明するための図である。

[図 10]アプリケーションが認証要求を行、、機密ファイルへアクセスするまでの手順の概要を示すフローチャートである。 [図 11]アプリケーション認証サービスにおけるアプリケーション認証の処理の手順を示すフローチャートである。

[図 12]プロセス認証 'ファイル I/O捕捉モジュールがプロセスを登録する処理の手順を示すフローチャートである。

[図 13]プロセス認証'ファイル I/O捕捉モジュールのファイル I/O捕捉を説明するためのフローチャートである。

圆 14]本発明を適用した他の実施形態を示す図である。

[図 15]アプリケーション 1のアプリケーション情報の概略構成を説明するためのテープル図である。

[図 16]アプリケーション 2のアプリケーション情報の概略構成を説明するためのテープル図である。

符号の説明

1 クライアントコンピュータ

7 メモリ

8 サーバコンピュータ

101 業務アプリケーション

102 アプリケーション認証サービス

103 プロセス認証'ファイル I/O補足モジュール

104 アプリケーション管理サービス

105 アプリケーション認証モジュール

106 アプリケーション認証情報

107 アクセス管理テーブル

109 機密ファイル

110 一般ファイル

306, 1506, 1606 アクセス可能期間

307, 1507, 1607 アクセス権限

1508, 1608 アクセス許可ファイルパス名

発明を実施するための最良の形態 [0027] 以下、本発明を実施する場合の一形態を、図面を参照して具体的に説明する。

[0028] 図 1は、本発明を適用したシステム (機密ファイル保護システム)の実施の一形態を示す機能ブロック図である。

[0029] クライアントコンピュータ (機密ファイル保護装置） 1は、キーボード 2、マウス 3、ディスプレイ 4、 CPU5、外部記憶装置 6、メモリ 7を備え、メモリ 7には各種の業務に用いる業務アプリケーション 101が記憶されている。

[0030] さらに、機密ファイル 109を保護するためのプロセス認証'ファイル I/O捕捉モジュール 103が記憶されている。

[0031] プロセス認証'ファイル I/O捕捉モジュール 103は、プロセス管理テーブル 107を備え、プロセスの登録とファイル I/O命令を捕捉し、プロセス管理テーブル 107に登録された管理情報によってプロセスの認証を行、、認証が拒否されたプロセスからのファィル I/O命令については機密ファイル 109へのアクセスを許可しない。逆に、認証が許可されたアプリケーションからのファイル I/O命令についてはプロセス管理テープル 107に登録されたアクセス権限やアクセス可能時間に限定して機密ファイル 109 へのアクセスを許可する。

[0032] アプリケーション認証サービス 102は、アプリケーション認証情報 106をメモリ内に保持（キャッシュ）している。このアプリケーション認証情報 106はサーバコンピュータ 8のアプリケーション管理サービス 104を通して、サーバコンピュータ 8のアプリケーシヨン管理テーブル 108から随時取得した最新の情報であり、サーバコンピュータ 8が機密ファイル 109へのアクセスを認めた業務アプリケーションに関する情報である。

[0033] アプリケーション認証サービス 102は、業務アプリケーション 101に実装されたァプリケーシヨン認証モジュール 105からアプリケーション認証の要求があった場合は、ァプリケーシヨン認証情報 106を元にアプリケーション認証を行、、認証が許可された場合は、プロセス管理テーブル 107に認証が許可されたアプリケーションのプロセス情報を登録し、後のアクセス制御をプロセス認証'ファイル I/O捕捉モジュール 103に任せる。逆に認証が拒否された場合は何もしな、。

[0034] サーバコンピュータ 8のアプリケーション管理サービス 104は、アプリケーション管理テーブル 108を備え、機密ファイル 109へのアクセスを認める業務アプリケーションの管理者による登録状況を監視し、アプリケーション管理テーブル 108に登録されたァプリケーシヨン情報を必要に応じてクライアントコンピュータ 1に配信する。管理者によつてアプリケーションの登録要求があった場合は、そのアプリケーション情報（図 3に示す情報）をアプリケーション管理テーブル 108に登録する。

[0035] 機密ファイル 109は、外部への公開.持ち出しが禁止されている機密情報や、セキユリティ対策アプリケーションの動作環境定義情報やポリシー定義情報などの機密情報を格納して、るファイルである。一般ファイル 110は機密ファイル 109以外のフアイルである。なお、セキュリティ対策アプリケーションとは、一般ファイル 110を含む各種のデータを外部へ公開したり、持ち出しするのを禁止するためのアプリケーションであり、本発明ではセキュリティ対策アプリケーションの動作環境定義情報やポリシ一定義情報などの機密情報が不正に改ざんされたり、漏洩するのを防止し、セキュリティ対策アプリケーションのセキュリティ機能が低下しな、ように防御する。

[0036] 図 2は、サーバコンピュータ 8のアプリケーション管理サービス 104が保持するアプリケーシヨン管理テーブル 108の記憶内容 (アプリケーション認証情報）の例を示す図である。機密ファイル 109へのアクセスを許可するアプリケーション数（登録するアプリケーシヨン数） 201と、そのアプリケーションに関するアクセス権限などで構成されるァプリケーシヨン情報 202が登録されて、る。

[0037] アプリケーション情報 202は、図 3に示すように、機密ファイル 109へのアクセスを許可するアプリケーション名 301、アプリケーションバージョン 302、ノヽッシュ値 303、ァプリケーシヨン登録日時 304、アプリケーション利用期限 305、アクセス可能期間 306 、アクセス権限 307で構成されている。ノ、ッシュ値とは、与えられたデータから固定長の疑似乱数を生成するハッシュ関数で求めた値であり、同じハッシュ値を持つ異なるデータを作成することは極めて困難である。

[0038] ハッシュ値 303は、業務アプリケーション 101の実行プログラムファイルのバイナリデータからハッシュ関数で生成した値である。業務アプリケーション 101を認証する際に、当該業務アプリケーション 101がサーバコンピュータ 8に登録された正しい業務アブリケーシヨンであるかどうかの判定に使用する。

[0039] 図 4は、プロセス認証'ファイル I/O捕捉モジュール 103が保持するプロセス管理テ一ブル 107の記録と内容の例を示す図であり、機密ファイル 109へのアクセスを許可するプロセス数（登録するプロセス数) 401と、そのプロセスに関するプロセス識別子などで構成されるプロセス情報 402が登録されている。

[0040] プロセス情報 402は、図 5に示すように、機密ファイル 109へのアクセスを許可するプロセス名 501、プロセス識別子 502、プロセス登録日時 503、アクセス可能期間 50

4、アクセス権限 505で構成されている。

[0041] プロセス識別子 502はプロセス IDなどのクライアントコンピュータ 1の OS (オペレーティングシステム）によって付加されるプロセス固有の値を表す。

[0042] 図 6は、サーバコンピュータ 8で稼動しているアプリケーション管理サービス 104に機密ファイル 109へのアクセスを許可する業務アプリケーション 101を登録する流れを示す図である。

[0043] 図 6では、管理者がアプリケーション管理サービス 104に対して予め設定済みのュ一ザ名とパスワードによるユーザ認証を行う。ユーザ認証が通った場合は、登録する業務アプリケーション 101のアプリケーション名、アプリケーションバージョン、ハッシュ値、アプリケーション利用期限、アクセス権限などの各情報を、アプリケーション管理サービス 104を通してアプリケーション管理テーブル 108に格納する。

[0044] アプリケーション管理サービス 104に渡されたアプリケーション情報に不備があった場合や、既に同じものが登録済みであった場合は、登録エラーの結果をアプリケーシヨン登録コマンド 601に返す。問題なく登録が完了した場合は、登録成功の結果を返す。

[0045] 図 7は、クライアントコンピュータ 1で稼動しているアプリケーション認証サービス 102 力 S、サーバコンピュータ 8が保持している最新のアプリケーション認証情報 106を取得する流れを示す図である。

[0046] アプリケーション認証サービス 102は、サーバコンピュータ 8から随時、アプリケーシヨン情報を受信し、最新のアプリケーション認証情報 106をキャッシュする。最新のァプリケーシヨン情報 106を取得するタイミングはサーバコンピュータ 8との冗長な通信を避けるため、 OS起動時や OSログイン時に行う。または、サーバコンピュータ 8から最新のアプリケーション認証情報 106が配信されたタイミングで更新する。 [0047] 最新のアプリケーション認証情報 106を取得する際は、アプリケーション管理サービス 104に取得要求を行い、アプリケーション管理サービス 104を通してアプリケーション認証情報 106を取得する。

[0048] 図 8は、認証済み業務アプリケーション 101が機密ファイル 109を参照する仕組みを示す図である。

[0049] 図 8の例では、認証済み業務アプリケーション 101はアプリケーション認証モジユール 105やアプリケーション認証サービス 102を通してプロセス認証 'ファイル I/O捕捉モジュール 103に認証済みであり、プロセス情報がプロセス管理テーブル 107に既に登録されている。

[0050] 業務アプリケーション 101が機密ファイル 109にアクセスする場合、機密ファイル 10 9へのファイル I/O命令が発行される。

[0051] プロセス認証 'ファイル I/O捕捉モジュール 103は、当該ファイル I/O命令を捕捉し、要求元の業務アプリケーション 101のプロセスをプロセス管理テーブル 107から検索する。既に登録済みであるため、プロセス管理テーブル 107に登録されているプロセス情報に従い、アクセス権限の範囲で、かつアクセス可能期間の範囲だけ機密フアイル 109へのアクセスを許可する。

[0052] 図 9は、不正アプリケーション 901の機密ファイル 109へのアクセスを禁止する仕組みを示す図である。

[0053] 不正アプリケーション 901は、アプリケーション認証モジュール 105を持たないため、アプリケーション認証を行うことができない。したがって、不正アプリケーション 901 のプロセス情報はプロセス管理テーブル 107に登録されていない。

[0054] 不正アプリケーション 901が機密ファイル 109にアクセスする場合、機密ファイル 10 9へのファイル I/O命令が発行される。プロセス認証.ファイル I/O捕捉モジュール 10 3が当該ファイル I/O命令を捕捉し、要求元の不正アプリケーション 901のプロセスをプロセス管理テーブル 107から検索する。不正アプリケーション 901のプロセスは登録されてヽな、ため、当該ファイル I/O命令をエラーとして要求元へと返す。

[0055] これにより、不正アプリケーション 901からの機密ファイル 109へのアクセスは禁止される。 [0056] 図 10は、業務アプリケーション 101がプロセス認証'ファイル I/O捕捉モジュール 10 3に対してプロセスを登録し、機密ファイル 109へのアクセスの可否が判定されるまでの手順の概要を示すフローチャートである。

[0057] 業務アプリケーション 101は、機密ファイル 109へアクセスする前に、プロセス認証' ファイル I/O捕捉モジュール 103に対し、自アプリケーションが使用するプロセス名や機密ファイルへのアクセス可能期間など、図 5に示したプロセス情報を登録する必要がある。

[0058] まず、業務アプリケーション 101のアプリケーション認証モジュール 105は、業務ァプリケーシヨン 101を認証するために必要な当該業務アプリケーションのアプリケーシヨン名を当該業務アプリケーションの実行ファイル名から、バージョンを実行ファイルのリソースから取得する (ステップ 1101)。また、ハッシュ値を算出する (ステップ 100 2)。そして、アプリケーション認証サービス 102に対してアプリケーション認証要求を発行し (ステップ 1003)、バージョンやハッシュ値などの情報を送信する（ステップ 10 04)。

[0059] アプリケーション認証サービス 102は、アプリケーション認証モジュール 105から受信した情報とキャッシュして!/、るアプリケーション認証情報 106とを比較し、業務アプリケーシヨン 101がサーバコンピュータ 8で機密ファイルへのアクセスが許可されている業務アプリケーションであるかの認証を行、、認証結果をアプリケーション認証モジュール 105に返す (ステップ 1005)。

[0060] アプリケーション認証モジュール 105は、認証が失敗であれば (機密ファイルへのァクセスが禁止されて、た場合)何もせずに終了する。

[0061] 認証に成功した場合、アプリケーション認証サービス 102はプロセス認証'ファイル I /0捕捉モジュール 103に対し、プロセス登録要求を発行する（ステップ 1007)。そして、プロセス識別子、アクセス権限などを取得して送信し、プロセス管理テーブル 10 7に登録させる。なお、処理実行中プロセスのプロセス識別子は、 OS力取得できる。アプリケーション認証サービス 102は、これに対するプロセス認証.ファイル I/O捕捉モジュール 103からの登録結果を受信し (ステップ 1009)、登録成功の応答が返つてきた場合には、機密ファイル 109へのアクセスを可能とする (ステップ 1011)。登録失敗であった場合には、機密ファイル 109へのアクセスは禁止される（ステップ 1012

) o

[0062] なお、図 5のプロセス管理テーブル 107に登録されるプロセス識別子は OSから取得され、プロセス名、アクセス権限は、キャッシュしているアプリケーション情報 202から入力されたものである（ここでプロセス名 501はアプリケーション名 301を入力する）。プロセス登録日時は、プロセス認証'ファイル I/O捕捉モジュール 103が現在日時をクライアントコンピュータ 1の時計力も取得して登録したものである。また、アクセス可能期間、アクセス権限は、アプリケーション認証サービス 102がアプリケーション認証情報 106の中力抽出してプロセス認証'ファイル I/O捕捉モジュール 103に送信したものである。

[0063] 図 11は、アプリケーション認証サービス 102がアプリケーションを認証する処理の手順と、サーバコンピュータ 8からアプリケーション認証情報 106を取得する処理の手順を示すフローチャートである。

[0064] アプリケーション認証サービス 102が開始されると、アプリケーション認証要求を待ち受ける（ステップ 1101)。アプリケーション認証モジュール 105からアプリケーション認証要求を受信する（ステップ 1102, 1103)と、アプリケーション認証モジュール 10 5から送信されたハッシュ値やファイルバージョン等のアプリケーション情報を、キヤッシュしているアプリケーション認証情報 106から検索し、登録済みであるかどうかを判定する (ステップ 1104)。登録されていない場合は、認証失敗の結果を要求元に返す。登録されていた場合は業務アプリケーション 101のプロセス情報を、 OSやアプリケーシヨン情報 202から取得し (ステップ 1106)、プロセス認証'ファイル I/O捕捉モジユール 103に対しプロセス登録を行、 (ステップ 1107)、登録結果を要求元に返す（ステップ 1108)。

[0065] また、アプリケーション認証サービス 102は OSログオンを検知する（ステップ 1109) と、管理サーノから最新のアプリケーション認証情報 106を取得する (ステップ 1110

) o

[0066] 図 12は、プロセス認証'ファイル I/O捕捉モジュール 103がプロセスを登録する処理の手順を示すフローチャートである。 [0067] プロセス認証 'ファイル I/O捕捉モジュール 103が開始されると、アプリケーション認証サービス 102からのプロセスの登録要求を待ち受ける（ステップ 1201)。プロセスの登録要求を受信する (ステップ 1202)と、要求種別を確認する (ステップ 1203)。

[0068] 要求種別が「登録」であれば、要求元力もプロセス識別子などのプロセス情報を、 O Sやアプリケーション情報 202から取得し (ステップ 1204)、プロセス管理テーブル 10 7に同一のプロセスが登録済みでないかを確認する（ステップ 1205)。登録済みでなければ、プロセス管理テーブル 107に取得したプロセス情報を登録し (ステップ 1206 )、登録済みであれば、取得したプロセス情報を登録しない。登録結果の成功または不成功の応答を要求元へ返却する (ステップ 1207)。

[0069] 要求種別が「登録解除」であれば、要求元力プロセス識別子などのプロセス情報を取得し (ステップ 1208)、取得したプロセス識別子をプロセス管理テーブル 107から削除する (ステップ 1209)。

[0070] 図 13は、プロセス認証 'ファイル I/O捕捉モジュール 103が機密ファイル 109のァクセスを捕捉し、アクセス制御を行う手順を示すフローチャートである。

[0071] プロセス認証'ファイル I/O捕捉モジュール 103が開始されると、ファイル I/O捕捉機能としてファイル I/O命令を待ち受ける（ステップ 1301)。ファイル OPEN要求などのファイル I/O命令を捕捉する (ステップ 1302)と、当該 I/O命令が機密ファイル 109への要求か否か確認する（ステップ 1303)。機密ファイル 109への I/O命令であれば、さらにファイル I/O命令の発行元アプリケーションのプロセスがプロセス管理テーブル 107に登録されているか否力検索を行う（ステップ 1304)。認証済みアプリケーションのプロセスからのファイル I/O命令であれば、プロセス管理テーブル 107に登録されているプロセス情報のアクセス権限に従ってアクセス制御を行う（ステップ 1305)。

[0072] 例えば、アクセス権限が読み込み権限しか与えられていない業務アプリケーション力もは機密ファイル 109の参照しかできない。また、書き込み権限が与えられた業務アプリケーションからは機密ファイル 109の編集を行うことができる。

[0073] なお、ファイル I/O命令の発行元アプリケーションのプロセス名、プロセス識別子は、ファイル I/O命令内に含まれており、これによつてプロセス管理テーブル 107に登録されて!/、るプロセスからのアクセスかを判定する。 [0074] 図 14は、本発明を適用した他の実施形態を示す図である。

[0075] この実施形態においては、図 1のアプリケーション認証モジュール 105と同じ機能のアプリケーション認証モジュール 1403、 1404を持ったアプリケーション 1401と 14

02がある。

[0076] 機密ファイル 1405と 1406はそれぞれ機密情報を格納するファイルとしてプロセス認証'ファイル I/O捕捉モジュール 103によりアクセスが制御されている。

[0077] 図 3の認証情報にアクセスを許可するファイルパス名を指定できるように拡張すると、アプリケーション管理テーブル 108のアプリケーション 1401に対するアプリケーション情報は例えば図 15のようになり、アプリケーション 1401は自身の機密ファイル 140 5 (ファイルパス名「C:¥secret¥機密ファイル 1. txt」）にのみアクセスできるように認証要求を発行することができる。

[0078] また、同様に、アプリケーション管理テーブル 108のアプリケーション 1402に対するアプリケーション情報は例えば図 16のようになり、アプリケーション 1402は自身の機密ファイル 1406 (ファイルパス名「C:¥secret¥機密ファイル 2. doc」）にのみアクセスできるように認証要求を発行することができる。

[0079] 図 14の場合、アプリケーション 1402は、アプリケーション 1401が保持する機密ファィル 1405へアクセスしょうとすると、自身のアプリケーション情報（図 16)においてァクセス許可ファイルパス名 1608に機密ファイル 1405ファイルパス名「C:¥secret¥機密ファイル 1. txt」）が含まれていないため、アクセス制御手順のステップ 1305でァクセス権限なしと判定され、機密ファイル 1405へはアクセスすることができない。また、同様にアプリケーション 1401は、アプリケーション 1402が保持する機密ファイル 140 6へアクセスしょうとすると、自身のアプリケーション情報（図 15)においてアクセス許可ファイルパス名 1508に機密ファイル 1406ファイルパス名「C:¥secret¥機密ファイル 2. doc」）が含まれていないため、アクセス制御手順のステップ 1305でアクセス権限なしと判定され、機密ファイル 1406へはアクセスすることができない。このように、ァプリケーシヨンによってアクセス可能な機密ファイルを切り分けることで、細かなァクセス制御が実現できる。

[0080] なお、本明細書で引用した全ての刊行物、特許および特許出願をそのまま参考として本明細書にとり入れるものとする。

また、本発明は開示された上述の実施形態によって限定されるものではなぐ請求の範囲によって規定される範囲を逸脱することのない限度において、再構成、変形、代用が可能である。

Claims

請求の範囲

[1] 業務上、不正なアクセスを禁止してヽる機密ファイルを保護する方法であって、前記機密ファイルへのアクセス要求元の業務アプリケーションを、サーバコンビユータで稼動しているアプリケーション管理サービスが保持するアプリケーション管理テーブルに登録する第 1のステップと、

クライアントコンピュータで稼動して、るアプリケーション認証サービス力前記サーバコンピュータのアプリケーション管理サービスと通信し、前記アプリケーション管理テーブルの内容をクライアントコンピュータ内にキャッシュする第 2のステップと、前記業務アプリケーション力前記アプリケーション認証サービスによってキャッシュされたアプリケーション認証情報に登録済みの業務アプリケーションであるならば、当該業務アプリケーションに実装したアプリケーション認証モジュールが当該業務アブリケーシヨンのプロセスを、クライアントコンピュータで稼動しているプロセス認証'ファィル I/O捕捉モジュールのプロセス管理テーブルに登録する第 3のステップと、前記プロセス認証'ファイル I/O捕捉モジュール力前記機密ファイルへのアクセス要求に対し、当該アクセス要求を捕捉し、アクセス要求元のプロセスが前記プロセス管理テーブルに登録されたプロセスであるかを判定し、登録済みでなければ機密フアイルへのアクセスを禁止し、登録済みであればアクセスを許可する第 4のステップと

を備えることを特徴とする機密ファイル保護方法。

[2] 前記第 1及び第 3のステップにお、て、前記アプリケーション管理テーブル、プロセス管理テーブルに対し、機密ファイルへのアクセス権限、アクセス可能期間の情報を登録し、

前記第 4のステップにおいては登録されたアクセス権限、アクセス可能期間に限定して機密ファイルへのアクセスを許可することを特徴とする請求項 1に記載の機密ファィル保護方法。

[3] 前記第 1及び第 3のステップにおいて、前記アプリケーション管理テーブル及びプロセス管理テーブルに対し、さら〖こ、アクセス許可ファイルパス名を登録し、

前記第 4のステップにおいては登録されたアクセス権限、アクセス可能期間、及びアクセス許可ファイルパス名に限定して機密ファイルへのアクセスを許可することを特徴とする請求項 2に記載の機密ファイル保護方法。

[4] 業務上、不正なアクセスを禁止して、る機密ファイルを保護する機密ファイル保護システムであって、

前記機密ファイルへのアクセス要求元の業務アプリケーションを、サーバコンビユータで稼動しているアプリケーション管理サービスが保持するアプリケーション管理テーブルに登録する第 1の登録手段と、

クライアントコンピュータで稼動して、るアプリケーション認証サービス力前記サーバコンピュータのアプリケーション管理サービスと通信し、前記アプリケーション管理テーブルの内容をクライアントコンピュータ内にキャッシュする手段と、

前記業務アプリケーション力前記アプリケーション認証サービスによってキャッシュされたアプリケーション認証情報に登録済みの業務アプリケーションであるならば、当該業務アプリケーションに実装したアプリケーション認証モジュールが当該業務アブリケーシヨンのプロセスを、クライアントコンピュータで稼動しているプロセス認証'ファィル I/O捕捉モジュールのプロセス管理テーブルに登録する第 2の登録手段と、前記プロセス認証'ファイル I/O捕捉モジュール力前記機密ファイルへのアクセス要求に対し、当該アクセス要求を捕捉し、アクセス要求元のプロセスが前記プロセス管理テーブルに登録されたプロセスであるかを判定し、登録済みでなければ機密フアイルへのアクセスを禁止し、登録済みであればアクセスを許可するアクセス許可手段と、

を備えることを特徴とする機密ファイル保護システム。

[5] 前記第 1の登録手段は前記アプリケーション管理テーブルに対し、第 2の登録手段は前記プロセス管理テーブルに対し、前記機密ファイルへのアクセス権限及びァクセス可能期間の情報をそれぞれ登録し、

前記アクセス許可手段は、前記登録されたアクセス権限、アクセス可能期間に限定して前記機密ファイルへのアクセスを許可することを特徴とする請求項 4に記載の機密ファイル保護システム。

[6] 前記第 1の登録手段は前記アプリケーション管理テーブルに対し、第 2の登録手段は前記プロセス管理テーブルに対し、さらに、アクセス許可ファイルパス名を登録し、前記アクセス許可手段は、前記登録されたアクセス権限、アクセス可能期間、及びアクセス許可ファイルパス名に限定して機密ファイルへのアクセスを許可することを特徴とする請求項 5に記載の機密ファイル保護システム。