WO2017109859A1 - コンピュータシステム及びその制御方法 - Google Patents

Abstract

【課題】　ファイルアクセス性能の向上を図りながら、セキュリティ性をも向上させ得るシンクライアントシステム及びファイル管理方法を提案する。 【解決手段】　シンクライアントシステムにおいて、ユーザ端末が、起動時にファイルのデータをサーバ装置に要求し、サーバ装置が、ファイルのヘッダをキーデータとして、ファイルのキーデータ以外のデータをユーザ端末に送信し、ユーザ端末が、キーデータ以外のデータを取得したファイルをオープンする際、当該ファイルのキーデータをサーバ装置に要求し、サーバ装置が、当該ユーザ端末によるファイルオープンの可否を判断し、ファイルをオープンしても良い場合に、要求されたファイルのキーデータをユーザ端末に送信し、ユーザ端末が、ファイルのキーデータと、当該キーデータ以外のデータとに基づいて、当該ファイルをオープンするようにした。

Description

コンピュータシステム及びその制御方法

　本発明はコンピュータシステム及びその制御方法に関し、例えば、シンクライアントシステムに適用して好適なものである。

　近年、企業の情報システムとして、社員等のユーザが利用するユーザ端末側では必要最小限の処理のみを実行し、その他のほとんどの処理をサーバ装置側で実行する、いわゆるシンクライアントシステムが注目されている。

　このようなシンクライアントシステムでは、通常、ファイルデータをサーバ装置側で保持するため、ユーザ端末でファイルを利用する際にはそのファイルデータをサーバ装置からダウンロードしなければならず、このダウンロードに時間を要する分、ファイルオープンのレスポンス性能が悪くなる問題があった。

　かかる問題を解決するための手法として、例えば、特許文献１には、原ファイルをサイズの大きいファイルとサイズの小さいファイルとに分割し、サイズの大きいファイルをクライアントに保持させ、ユーザからのファイルの閲覧要求に応じてサイズの小さいファイルをそのクライアントにダウンロードして原ファイルを復元する方法が提案されている。

　この特許文献１に開示された方法によれば、サーバ装置側に保持されたファイルをユーザ端末側でオープンする際のレスポンス性能を向上させることができる。

特開２００６－３９７９４号公報

　しかしながら、特許文献１に開示された方法によると、原ファイルを分割したサイズの大きいファイルをユーザ端末側で保持するため、ユーザ端末が盗難にあった場合に、当該ユーザ端末が保持するファイルデータに基づいて、ファイルの一部ではあるもののその内容を読み取られるおそれがあった。

　本発明は以上の点を考慮してなされたもので、レスポンス性能の向上を図りながら、高いセキュリティ性を確保し得るシンクライアントシステム及びファイル管理方法を提案しようとするものである。

　かかる課題を解決するため本発明においては、ユーザが使用するユーザ端末と、前記ユーザのファイルを記憶する記憶装置と、前記ユーザ端末及び前記記憶装置間で前記ファイルのやり取りを仲介するサーバ装置とを有するシンクライアントシステムにおいて、前記ユーザ端末が、当該ユーザ端末の起動時に前記ファイルのデータを前記サーバ装置に要求し、前記サーバ装置が、前記ユーザ端末からの要求に応じて、前記ファイルのヘッダをキーデータとして、前記ファイルの前記キーデータ以外のデータを前記記憶装置から読み出して前記ユーザ端末に送信し、前記ユーザ端末が、前記キーデータ以外のデータを取得した前記ファイルをオープンする際、当該ファイルの前記キーデータを前記サーバ装置に要求し、前記サーバ装置が、前記ユーザ端末からの要求に応じて、当該ユーザ端末によるファイルオープンの可否を判断し、前記ファイルをオープンしても良い場合に、要求された前記ファイルの前記キーデータを前記記憶装置から読み出して前記ユーザ端末に送信し、前記ユーザ端末が、前記ファイルの前記キーデータと、当該キーデータ以外のデータとに基づいて、当該ファイルをオープンするようにした。

　また本発明においては、ユーザが使用するユーザ端末と、前記ユーザのファイルを記憶する記憶装置と、前記ユーザ端末及び前記記憶装置間で前記ファイルのやり取りを仲介するサーバ装置とを有するシンクライアントシステムにおいて実行するファイル管理方法において、前記ユーザ端末が、当該ユーザ端末の起動時に前記ファイルのデータを前記サーバ装置に要求する第１のステップと、前記サーバ装置が、前記ユーザ端末からの要求に応じて、前記ファイルのヘッダをキーデータとして、前記ファイルの前記キーデータ以外のデータを前記記憶装置から読み出して前記ユーザ端末に送信する第２のステップと、前記ユーザ端末が、前記キーデータ以外のデータを取得した前記ファイルをオープンする際、当該ファイルの前記キーデータを前記サーバ装置に要求する第３のステップと、前記サーバ装置が、前記ユーザ端末からの要求に応じて、当該ユーザ端末によるファイルオープンの可否を判断し、前記ファイルをオープンしても良い場合に、要求された前記ファイルの前記キーデータを前記記憶装置から読み出して前記ユーザ端末に送信する第４のステップと、前記ユーザ端末が、前記ファイルの前記キーデータと、当該キーデータ以外のデータとに基づいて、当該ファイルをオープンする第５のステップとを設けるようにした。

　本発明のシンクライアントシステム及びファイル管理方法によれば、事前にファイルのキーデータ以外のデータをユーザ端末ロードしておくためファイルオープンを迅速に行うことができる。またユーザ端末が起動され、ファイルのデータ本体部がロードされた状態でユーザ端末が盗難等にあったとしても、そのファイルのキーデータであるヘッダをユーザ端末が保持しておらず、またそのキーデータをロードするためにはデータロードの可否判定が行われるため、そのユーザ端末がデータロードをできない状態に設定されている場合には、第三者がこれらのファイルをオープンすることができない。

　本発明によれば、レスポンス性能の向上を図りながら、高いセキュリティ性を確保し得るシンクライアントシステム及びファイル管理方法を実現できる。

本実施の形態によるシンクライアントシステムの全体構成を示すブロック図である。 差分／ファイルシステム管理テーブルの構成を示す概念図である。 オフライン時データ削除管理テーブルの構成を示す概念図である。 データ状況管理テーブルの構成を示す概念図である。 仮想サーバ認証管理テーブルの構成を示す概念図である。 設定画面の構成例を示す概念図である。 仮想サーバ起動時認証処理の流れを示すフローチャートである。 データ本体部ロード処理の流れを示すフローチャートである。 ファイルオープン処理の流れを示すフローチャートである。 ファイルクローズ／シャットダウン処理の流れを示すフローチャートである。 全ファイルデータ削除処理の流れを示すフローチャートである。 オフライン時データ削除及び強制削除処理の流れを示すフローチャートである。

　以下図面について、本発明の一実施の形態を詳述する。

（１）本実施の形態によるシンクライアントシステムの構成
　図１において、１は全体として本実施の形態によるシンクライアントシステムを示す。このシンクライアントシステム１は、１又は複数のユーザ端末２が例えばＬＡＮ（Local Network Interface）などからなる第１のネットワーク３を介してサーバ装置４と接続されると共に、サーバ装置４が例えばＳＡＮ（Storage Area Network）などからなる第２のネットワーク５を介してストレージ装置６と接続されて構成されている。

　ユーザ端末２は、例えば、デスクトップ型、ノート型又はタブレット型のコンピュータ装置から構成され、ＣＰＵ（Central Processing Unit）１０、記憶装置１１、通信装置１２及び入出力装置１３などの情報処理資源を備える。

　ＣＰＵ１０は、ユーザ端末２全体の動作制御を司るプロセッサである。また記憶装置１１は、半導体メモリやハードディスク装置などから構成され、ＯＳ（Operating System）を含む各種プログラムと、テーブル等の各種情報とを保持するために利用される。後述するクライアントデータ要求プログラム２０、差分／ファイルシステム管理テーブル２１及びオフライン時データ削除管理テーブル２２もこの記憶装置１１に格納されて保持される。

　また記憶装置１１上には、データを保持するための論理的な記憶領域としてデータ格納ボリューム２３及び差分データ格納ボリューム２４が定義される。そしてデータ格納ボリューム２３には、ストレージ装置６から読み出したファイルのファイルデータが格納され、差分データ格納ボリューム２４には、ストレージ装置６から読み出したファイルを更新した場合の元のファイルと更新後のファイルとの差分を表す差分データが格納される。

　通信装置１２は、第１のネットワーク３を介したサーバ装置４との通信時におけるプロトコル制御を行う機能を有し、例えば、ホストバスアダプタやＮＩＣ（Network Interface Card）などから構成される。また入出力装置１３は、例えば、キーボード、マウス、タッチセンサなどの入力装置と、例えば、液晶ディスプレイやスピーカなどの出力装置から構成される。

　サーバ装置４は、汎用のサーバ装置から構成され、各ユーザ端末２に対してそのユーザ端末２について予め定義された仮想的なサーバ装置（以下、これを仮想サーバ装置（ＶＭ：Virtual Machine）と呼ぶ）を提供する。各仮想サーバ装置は、それぞれ自仮想サーバ装置にログインしているユーザ端末２からの要求に応じて、要求されたファイルのファイルデータをストレージ装置６に読み書きする。

　サーバ装置４は、ＣＰＵ３０、記憶装置３１、通信装置３２及び入出力装置３３などの情報処理資源を備えて構成される。ＣＰＵ３０、記憶装置３１、通信装置３２及び入出力装置３３の構成及び機能は、ユーザ端末２の対応部位（ＣＰＵ１０、記憶装置１１、通信装置１２又は入出力装置１３）と同様であるため、ここでの説明は省略する。なおサーバ装置４の記憶装置３１には、後述するユーザ管理プログラム３４、データ状況管理テーブル３５及び仮想サーバ認証管理テーブル３６が格納される。

　ストレージ装置６は、１又は複数の記憶装置から構成される記憶部４０と、記憶部４０に対するデータの読書きを制御するコントローラ４１とを備える。

　記憶部４０を構成する各記憶装置は、例えば、ハードディスク装置やＳＳＤ（Solid State Drive）などの不揮発性の大容量の記憶装置から構成される。そしてこれら記憶装置が提供する記憶領域上に、論理的な記憶領域として１又は複数の論理ボリュームが定義される。本実施の形態の場合、かかる論理ボリュームとして、ユーザ端末２が利用する各種ファイルのファイルデータを保持するためのデータ格納ボリューム４２と、ユーザ端末２から送信されてきたいずれかのファイルの差分データを保持するための差分データ格納ボリューム４３とが定義される。また記憶部４０には、後述するデータ管理プログラム４４も格納される。

　コントローラ４１は、ＣＰＵ４５、通信装置４６及び入出力装置４７などの情報処理資源を備えて構成される。ＣＰＵ４５及び入出力装置４７の構成及び機能は、ユーザ端末２の対応部位（ＣＰＵ１０又は入出力装置１３）と同様であるため、ここでの説明は省略する。通信装置４６は、チャネルアダプタ又はｉＳＣＳＩ（internet Small Computer System Interface）カードなどから構成される。

（２）本実施の形態によるファイル管理方式
　次に、本シンクライアントシステム１において採用された本実施の形態によるファイル管理方式について説明する。

　本シンクライアントシステム１は、ユーザ端末２がサーバ装置４からファイルをロードする際に、その情報がなければファイルをオープンすることができないデータ（以下、キーデータと呼ぶ）と、それ以外のデータ（以下、これをデータ本体部と呼ぶ）とを分けてロードする点を特徴としている。本実施の形態においては、かかるキーデータをファイルのヘッダとする。ヘッダは、通常、ファイルの先頭に付加され、そのファイルのサイズや、所有者及びアクセス権限などの情報が格納された部分である。

　実際上、本シンクライアントシステム１では、ユーザ端末２がＯＳを起動する際、まず、予め登録された各ファイルのデータ本体部をサーバ装置４を介してストレージ装置６からロードする。またユーザ端末２は、データ本体部をロードしたファイルをオープンする場合には、そのファイルのキーデータをサーバ装置４を介してストレージ装置６からロードし、ロードしたキーデータと、ＯＳ起動時にロードした対応するデータ本体部とに基づいて、そのファイルをオープンする。

　このときサーバ装置４には、ユーザ単位でファイルオープンの可否を設定でき、サーバ装置４は、ユーザ端末２にファイルのキーデータを送信するに際しては、そのユーザ端末２のユーザに対するファイルオープン可否の設定を確認して、ファイルをオープンしても良い場合にのみ、そのユーザ端末２にかかるキーデータを送信する。

　また本シンクライアントシステム１では、ユーザ端末２が、ファイルのクローズ時やシャットダウン時に自端末が保持するすべてのファイルのデータを削除する点をもう１つの特徴としている。

　実際上、ユーザ端末２は、オープンしたファイルをクローズする際には、そのファイルのファイルデータ（キーデータ及びデータ本体部）を当該ユーザ端末２上からすべて削除する一方、ユーザ端末２をシャットダウンする際には、当該ユーザ端末２上に残存するすべてのファイルのファイルデータを当該ユーザ端末２上から削除する。

　以上のような本実施の形態によるファイル管理方式を実現するための手段として、ユーザ端末２の記憶装置１１には、上述のようにクライアントデータ要求プログラム２０、差分／ファイルシステム管理テーブル２１及びオフライン時データ削除管理テーブル２２が格納されている。またサーバ装置４の記憶装置３１には、ユーザ管理プログラム３４、データ状況管理テーブル３５及び仮想サーバ認証管理テーブル３６が格納され、ストレージ装置６の記憶部４０には、データ管理プログラム４４が格納されている。

　クライアントデータ要求プログラム２０は、本ファイル管理方式に関するユーザ端末２側の各種処理を実行する機能を有するプログラムであり、サーバ装置４が自ユーザ端末に提供する仮想サーバ装置に対して必要なファイルのキーデータ及びデータ本体部の転送要求などを送信したり、当該仮想サーバ装置からの要求に応じて必要な認証処理やデータ削除処理などの各種処理を実行する。

　差分／ファイルシステム管理テーブル２１は、ユーザ端末２が仮想サーバ装置を介してストレージ装置６からファイルデータをロードした各ファイルについて、元のファイルとの差分の有無（つまりそのファイルが更新されたか否か）を管理するために利用するテーブルである。この差分／ファイルシステム管理テーブル２１は、図２に示すように、ファイルＩＤ欄２１Ａ、データ内容欄２１Ｂ及び差分欄２１Ｃを備えて構成される。

　そしてファイルＩＤ欄２１Ａには、そのユーザ端末２がファイルデータをロードした各ファイルの識別子（ファイルＩＤ）が格納される。またデータ内容欄２１Ｂは、キーデータに対応するキーデータ欄と、データ本体部に対応するデータ本体部欄の２つに区分されており、これらキーデータ欄にキーデータという文字列が格納され、データ本体部欄にデータ本体部という文字列が格納されている。

　さらに差分欄２１Ｃには、対応するファイルの対応するキーデータ又はデータ本体部の現在の内容がそのファイルのファイルデータのロード直後の内容に対して差分があるか否かを表す情報（以下、これを差分情報と呼ぶ）が格納される。具体的に、キーデータ又はデータ本体部に差分がある場合（そのキーデータ又はデータ本体部が更新された場合）には対応する差分欄２１Ｃに「True」が格納され、キーデータ又はデータ本体部に差分がない場合（そのキーデータ又はデータ本体部が更新されていない場合）には対応する差分欄２１Ｃに「False」が格納される。

　従って、図２の例の場合、その差分／ファイルシステム管理テーブル２１を保持するユーザ端末２は、「１」というファイルＩＤが付与されたファイルのファイルデータをロードしており、そのファイルは、データ本体部は更新されていないものの（データ本体部の差分情報が「False」）、例えば、オーナ属性やアクセス権限などが更新されるなど、キーデータの内容が変更された（キーデータの差分情報が「True」）ことが示されている。

　またオフライン時データ削除管理テーブル２２は、予めシステム管理者により設定されたオフライン時データ削除機能に関する設定内容を管理するために利用されるテーブルである。ここで、オフライン時データ削除機能とは、サーバ装置４との接続が切断されてそのユーザ端末２がオフライン状態となったときに当該ユーザ端末２がオンライン時にロードしたファイルのファイルデータを当該ユーザ端末２からすべて削除する機能をいう。このオフライン時データ削除管理テーブル２２は、図３に示すように、自動削除可否欄２２Ａ及び待ち時間欄２２Ｂを備えて構成される。

　そして自動削除可否欄２２Ａには、オフライン時データ削除機能がオン設定されているか否かを表す情報が格納される。具体的に、自動削除可否欄２２Ａには、オフライン状態となったときにそのユーザ端末２が保持する各ファイルのファイルデータ等をすべて削除すべき設定がなされている（つまりその仮想サーバ装置についてオフライン時データ削除機能がオン設定されている）場合には「True」が格納され、オフライン状態となってもそのユーザ端末２が保持するファイルのファイルデータ等を削除しない設定がなされている（つまりその仮想サーバ装置についてオフライン時データ削除機能がオフ設定されている）場合には「False」が格納される。

　また待ち時間欄２２Ｂには、オフライン時データ削除機能がオン設定されている場合に、そのユーザ端末２がオフライン状態となってから当該ユーザ端末２内の各ファイルのファイルデータ等を削除し始めるまでの時間（以下、これを待ち時間と呼ぶ）の設定値が格納される。

　従って、図３の場合、オフライン時データ削除機能がオンに設定され、そのときの待ち時間が「0.5」時間に設定されていることが示されている。

　一方、ユーザ管理プログラム３４（図１）は、本ファイル管理方式に関するサーバ装置４側の各種処理を実行する機能を有するプログラムであり、ユーザ端末２から与えられた各種要求をストレージ装置６に転送したり、ストレージ装置６から読み出したファイルデータをユーザ端末２に転送するなど、ユーザ端末２及びストレージ装置６間における要求やデータのやり取りの仲介を行う。

　またデータ状況管理テーブル３５は、ユーザごとの各ファイルのファイルデータのロード状況等を管理するために利用されるテーブルであり、図４に示すように、ユーザＩＤ欄３５Ａ、ファイルＩＤ欄３５Ｂ、データ本体部ステータス欄３５Ｃ、キーデータステータス欄３５Ｄ、データロード可否設定欄３５Ｅ及び強制削除設定欄３５Ｆを備えて構成される。

　そしてユーザＩＤ欄３５Ａには、予め登録されたすべてのユーザのユーザＩＤがそれぞれ格納され、ファイルＩＤ欄３５Ｂには、ユーザごとに、ストレージ装置６にファイルデータが格納されているすべてのファイルのファイルＩＤがそれぞれ格納される。

　またデータ本体部ステータス欄３５Ｃには、対応するユーザのユーザ端末２が対応するファイルのデータ本体部のデータをそのとき保持している否かを表すステータス情報が格納され、キーデータステータス欄３５Ｄには、対応するユーザが対応するファイルのキーデータをそのとき保持しているか否かを表すステータス情報が格納される。具体的に、データ本体部ステータス欄３５Ｃ及びキーデータステータス欄３５Ｄには、対応するユーザが対応するファイルのデータ本体部のデータ又はキーデータを保持している場合（ロード済みである場合）には「True」が格納され、そのユーザがそのファイルのデータ本体部のデータ又はキーデータを保持していない場合（ロードしていない場合）には「False」が格納される。

　さらにデータロード可否設定欄３５Ｅには、システム管理者により設定された、そのユーザのユーザ端末２がファイルデータをロードしても良いか否かを表す情報（以下、これをデータロード可否情報と呼ぶ）が格納される。具体的に、データロード可否情報は、そのユーザ端末２のデータロードが許可されている場合には「True」に設定され、そのユーザ端末２のデータロードが禁止されている場合には「False」に設定される。

　データロード可否情報は、通常時は「True」に設定されているが、例えば、ユーザ端末２の盗難や紛失などがあった場合にシステム管理者により「False」に変更される。

　さらに強制削除設定欄３５Ｆには、対応するユーザのユーザ端末２が保持するファイルデータをすべて削除する強制削除を直ちに実行すべきか否かを表す情報（以下、これを強制削除情報と呼ぶ）が格納される。具体的に、強制削除設定欄３５Ｆには、かかる強制削除を実行すべき場合には「True」が格納され、かかる強制削除を実行する必要がない場合には「False」に設定される。

　かかる強制削除情報は、通常時は「False」に設定されているが、例えば、ユーザ端末２が盗難にあった場合などにシステム管理者により「True」に変更され、これが対応するユーザ端末２に通知されて、そのユーザ端末２が保持するすべてのファイルデータが直ちに削除される。

　従って、図４の例の場合、ユーザＩＤが「１」のユーザは、「１」というファイルＩＤのファイルについては、データ本体部及びキーデータの双方をロード済みであるが（「True」）、「２」というファイルＩＤのファイルについては、データ本体部のみがロード済みであり（「True」）、キーデータについては未だロードしていない（「False」）ことが示されている。また、この図４では、ユーザＩＤが「１」のユーザについては、ファイルデータのロードが許可（「True」）され、強制削除機能はオフに設定（「False」）されていることが示されている。

　仮想サーバ認証管理テーブル３６は、サーバ装置４がユーザ端末２に提供する各仮想サーバ装置について、その仮想サーバ装置に対するユーザのログインやアクセスの認証結果（その仮想サーバ装置に対してログインされているか否か）を管理するためのテーブルである。仮想サーバ認証管理テーブル３６は、図５に示すように、仮想サーバＩＤ欄３６Ａ及びステータス欄３６Ｂを備えて構成される。

　そして仮想サーバＩＤ欄３６Ａには、サーバ装置４がユーザ端末２に提供する各仮想サーバ装置の仮想サーバＩＤが格納され、ステータス欄３６Ｂには、対応する仮想サーバ装置に対するユーザのログインやアクセスの認証結果を表す情報が格納される。具体的に、ステータス欄３６Ｂには、対応するユーザからのログインやアクセスが承認された場合には、「True」が格納され、かかるログインやアクセスが承認されなかった場合、及び、ログインやアクセス自体が行われていない場合には「False」が格納される。

　従って、図５の例の場合、仮想サーバＩＤが「１」の仮想サーバについては、対応するユーザからのログインやアクセスが承認されているのに対して（「True」）、仮想サーバＩＤが「２」の仮想サーバについては、対応するユーザからのログインやアクセスが承認されていない（「False」）ことが示されている。

　他方、データ管理プログラム４４は、本ファイル管理方式に関するストレージ装置６側の各種処理を実行する機能を有するプログラムであり、ユーザ端末２からサーバ装置４を介して与えられる入出力要求に応じて、要求されたファイルデータ（キーデータ又はデータ本体部）や差分データをデータ格納ボリューム４２又は差分データ格納ボリューム４３に読み書きする。

（３）本実施の形態によるファイル管理方式に関する設定画面
　図６は、かかる本実施の形態によるファイル管理方式に関連する各種設定を行うための設定画面５０の構成例を示す。この設定画面５０は、本シンクライアントシステム１のシステム管理者がサーバ装置４を操作することにより当該サーバ装置４の入出力装置３３（図１）を構成する表示装置に表示させることができる。

　設定画面５０では、表形式の設定一覧５１と、設定ボタン５２及びキャンセルボタン５３とが表示される。また設定一覧５１は、予め登録された各ユーザにそれぞれ対応付けられた行が設けられており、これら行は、それぞれユーザＩＤ欄５１Ａ、データロード可否設定欄５１Ｂ、オフライン時データ削除設定欄５１Ｃ、待ち時間設定欄５１Ｄ及び強制削除設定欄５１Ｅに区分されている。

　そして各行のユーザＩＤ欄５１Ａには、それぞれ対応するユーザのユーザＩＤを表す文字（図６の「１」、「２」、……で示される文字）と、チェックボックス５１ＡＡとが表示される。そしてシステム管理者は、或るユーザに対する設定を行う場合や、そのユーザに対する設定内容の変更を行う場合には、そのユーザに対応する行のチェックボックス５１ＡＡをクリックして、そのチェックボックス５１ＡＡ内にチェックマーク５１ＡＢを表示させる。

　データロード可否設定欄５１Ｂは、対応するユーザのユーザ端末２がデータロードできるようにするか否かを設定（以下、この設定をデータロード可否設定と呼ぶ）するための欄である。このデータロード可否設定欄５１Ｂには、「ＯＮ」及び「ＯＦＦ」という文字列と、これらの文字列とそれぞれ対応付けられた２つのラジオスイッチ５１ＢＡ，５１ＢＢとが表示される。

　そしてシステム管理者は、例えば、或るユーザのユーザ端末２がファイルデータをロードできるように設定（データロード可否設定をオン設定）する場合には、そのユーザに対応する行のデータロード可否設定欄５１Ｂの「ＯＮ」に対応するラジオスイッチ５１ＢＡをクリックして選択する。この場合、そのラジオスイッチ５１ＢＡは、対応する選択肢（「ＯＮ」）が選択されていることを表す状態に表示される。

　またシステム管理者は、或るユーザのユーザ端末２がファイルデータをロードできないように設定（データロード可否設定をオフ設定）する場合には、そのユーザに対応する行のデータロード可否設定欄５１Ｂの「ＯＦＦ」に対応するラジオスイッチ５１ＢＢをクリックして選択する。この場合、そのラジオスイッチ５１ＢＢは、対応する選択肢（「ＯＦＦ」）が選択されていることを表す状態に表示される。

　データロード可否設定は、通常時はオンに設定されるが、ユーザ端末２が盗難にあった場合やユーザ端末２を紛失した場合などに、システム管理者によりオフに設定変更される。

　一方、オフライン時データ削除設定欄５１Ｃは、対応するユーザのユーザ端末２がオフラインとなった場合にそのユーザ端末２が保持するファイルデータをすべて削除するか否かを設定（以下、この設定をオフライン時データ削除設定と呼ぶ）するための欄である。このオフライン時データ削除設定欄５１Ｃには、「ＯＮ」及び「ＯＦＦ」という文字列と、これらの文字列とそれぞれ対応付けられた２つのラジオスイッチ５１ＣＡ，５１ＣＢとが表示される。

　そしてシステム管理者は、或るユーザについてオフライン時データ削除設定を有効とする（オフライン時データ削除設定をオン設定する）場合には、そのユーザに対応する行のオフライン時データ削除設定欄５１Ｃの「ＯＮ」に対応するラジオスイッチ５１ＣＡをクリックして選択する。この場合、そのラジオスイッチ５１ＣＡは、対応する選択肢（「ＯＮ」）が選択されていることを表す状態に表示される。

　またシステム管理者は、或るユーザについてオフライン時データ削除設定を無効とする（オフライン時データ削除設定をオフ設定する）場合には、そのユーザに対応する行のオフライン時データ削除設定欄５１Ｃの「ＯＦＦ」に対応するラジオスイッチ５１ＣＢをクリックして選択する。この場合、そのラジオスイッチ５１ＣＢは、対応する選択肢（「ＯＦＦ」）が選択されていることを表す状態に表示される。

　他方、待ち時間設定欄５１Ｄは、オフライン時データ削除設定をオン設定する場合に、オフラインとなってから対応するユーザ端末２が保持するファイルデータの削除を開始するまでの時間（待ち時間）を設定するための欄であり、オンライン時データ削除設定欄５１Ｃにおいて、オフライン時データ削除設定がオン設定されたときに活性化され、オフライン時データ削除設定がオフ設定されたときに非活性化される。この待ち時間設定欄５１Ｄには、テキストボックス５１ＤＡが表示される。

　かくしてシステム管理者は、上述のようにしてオフライン時データ削除設定をオン設定した場合には、これと併せてそのユーザに対応する行の待ち時間設定欄５１Ｄのテキストボックス５１ＤＡ内に、所望する既定範囲（例えば、0.5～24時間）内の待ち時間を入力するようにする。

　強制削除設定欄５１Ｅは、対応するユーザのユーザ端末２にロードされたすべてのファイルデータをそのユーザ端末２から強制的に削除するか否かの設定（以下、この設定を強制削除設定と呼ぶ）を行うための欄である。この強制削除設定欄５１Ｅには、「ＯＮ」及び「ＯＦＦ」という文字列と、これらの文字列とそれぞれ対応付けられた２つのラジオスイッチ５１ＥＡ，５１ＥＢとが表示される。

　そしてシステム管理者は、或るユーザについて強制削除設定を有効とする（強制削除設定をオン設定する）場合には、そのユーザに対応する行の強制削除設定欄５１Ｅの「ＯＮ」に対応するラジオスイッチ５１ＥＡをクリックして選択する。この場合、そのラジオスイッチ５１ＥＡは、対応する選択肢（「ＯＮ」）が選択されていることを表す状態に表示される。

　またシステム管理者は、かかる強制削除設定を無効とする（強制削除設定をオフ設定する）場合には、そのユーザに対応する行の強制削除設定欄５１Ｅの「ＯＦＦ」に対応するラジオスイッチ５１ＥＢをクリックして選択する。この場合、そのラジオスイッチ５１ＥＢは、対応する選択肢（「ＯＦＦ」）が選択されていることを表す状態に表示される。

　強制削除設定は、通常時にはオフ設定されるが、ユーザ端末２が盗難にあった場合やユーザ端末２を紛失した場合などに、データロード可否設定と併せてシステム管理者によりそのユーザ端末２に対応するユーザについてオン設定される。これによりそのユーザ端末２が盗難後にオンライン状態にある場合にそのユーザ端末２が保持するファイルデータが強制的に削除されることとなる。

　そしてシステム管理者は、データロード可否設定や、オフライン時データ削除設定及び又は強制削除設定を対応するユーザ端末に反映させる場合、上述のような操作を行った後に設定ボタン５２をクリックする。

　この結果、データ状況管理テーブル３５（図４）の各行のうち、設定画面５０の設定一覧５１のユーザＩＤ欄５１Ａのチェックボックス５１ＡＡにチェックマーク５１ＡＢが表示されたユーザに対応する行のデータロード可否設定欄３５Ｅ（図４）及び強制削除設定欄３５Ｆ（図４）に格納された情報が、そのとき設定一覧５１のデータロード可否設定欄５１Ｂや強制削除設定欄５１Ｅで設定された内容に応じた値に更新される。

　具体的に、設定画面５０の設定一覧５１においてそのユーザに対するデータロード可否設定がオンに設定されたときには、データ状況管理テーブル３５のそのユーザに対応する行のデータロード可否設定欄３５Ｅに「True」が設定され、設定一覧５１においてそのユーザに対するデータロード可否設定がオフに設定されたときには、データ状況管理テーブル３５のそのユーザに対応する行のデータロード可否設定欄３５Ｅに「False」が設定される。

　また、設定画面５０の設定一覧５１においてそのユーザに対する強制削除設定がオフに設定されているときには、データ状況管理テーブル３５のそのユーザに対応する行の強制削除設定欄３５Ｆに「False」が設定され、設定一覧５１においてそのユーザに対する強制削除設定がオンに設定されたときには、データ状況管理テーブル３５のそのユーザに対応する行の強制削除設定欄３５Ｆに「True」が設定される。

　さらに、これと併せて、設定画面５０の設定一覧５１のユーザＩＤ欄５１Ａのチェックボックス５１ＡＡにチェックマーク５１ＡＢが表示されたユーザに対する当該設定一覧５１で設定されたオフライン時データ削除設定の内容（オフライン時データ削除設定のオン／オフ及びオン設定の場合の待ち時間）がそのユーザのユーザ端末２に通知される。

　かくしてユーザ端末２は、この通知に基づいて、そのユーザ端末２が保持するオフライン時データ削除管理テーブル２２（図３）の自動削除可否欄２２Ａの値をそのとき通知された内容に応じた値（オン設定の場合は「True」、オフ設定の場合は「False」）に更新すると共に、当該オフライン時データ削除管理テーブル２２の待ち時間欄２２Ｂにそのとき通知された待ち時間の値を格納する。

（３）本ファイル管理方式に関する各種処理
　次に、かかる本ファイル管理方式に関連してシンクライアントシステム１において実行される各種処理の具体的な処理内容について説明する。なお、以下においては、各種処理の処理主体をクライアントデータ要求プログラム２０（図１）、ユーザ管理プログラム３４（図１）又はデータ管理プログラム４４（図１）として説明するが、実際上は、そのプログラムに基づいてユーザ端末２（クライアントデータ要求プログラム２０の場合）、サーバ装置４（ユーザ管理プログラム３４の場合）又はストレージ装置６（データ管理プログラム４４の場合）のＣＰＵ１０，３０，４５（図１）がその処理を実行することはいうまでもない。

（３－１）仮想サーバ起動時認証処理
　図７は、ユーザがユーザ端末２を操作してサーバ装置４にアクセスし、そのユーザと対応付けられた仮想サーバ装置を起動する際の一連の処理の流れを示す。

　この場合、クライアントデータ要求プログラム２０は、ユーザによる当該ユーザに対応付けられた仮想サーバ装置へのログイン操作が行われると、例えば、ユーザＩＤ及びパスワード等によりそのユーザの正当性を確認する認証処理（以下、これを第１の認証処理と呼ぶ）を実行し、その第１の認証処理の処理結果と、ＯＳの起動要求（以下、これをＯＳ起動要求と呼ぶ）とをサーバ装置４に送信する（ＳＰ１）。

　サーバ装置４のユーザ管理プログラム３４は、かかるＯＳ起動要求が与えられると、仮想サーバ認証管理テーブル３６（図５）におけるそのユーザに対応付けられた仮想サーバ装置に対応する行のステータス欄３６Ｂに格納された値を削除（リセット）する（ＳＰ２）。

　続いて、ユーザ管理プログラム３４は、上述のようにクライアントデータ要求プログラム２０からＯＳ起動要求と共に与えられた第１の認証処理の処理結果に基づいて、当該第１の認証処理においてユーザの正当性が確認されたか否かを判断する（ＳＰ３）。

　そしてユーザ管理プログラム３４は、この判断で否定結果を得るとステップＳＰ１１に進み、これに対して肯定結果を得ると、データ状況管理テーブル３５（図４）のそのユーザに対応する行のデータロード可否設定欄３５Ｅ（図４）に格納されているデータロード可否情報の値を取得する（ＳＰ４）。

　次いで、ユーザ管理プログラム３４は、ステップＳＰ４で取得したデータロード可否情報の値に基づいて、そのユーザがそのユーザ端末２を用いてデータロードを行うことが許可されているか否か（データロード可否情報の値が「True」であるか否か）を判断する（ＳＰ５）。

　そしてユーザ管理プログラム３４は、この判断で肯定結果を得るとステップＳＰ１０に進む。これに対して、ユーザ管理プログラム３４は、ステップＳＰ５の判断で否定結果を得ると、第２の認証処理の実行要求（以下、これを第２の認証要求と呼ぶ）をユーザ端末２に送信する（ＳＰ６）。

　ユーザ端末２のクライアントデータ要求プログラム２０は、かかる第２の認証要求を受信すると、ログイン時のパスワードとは異なるパスワード（第２のパスワード）を利用した認証や、生体認証などのユーザの正当性を再度確認する第２の認証処理を実行し、認証結果をサーバ装置４に通知する（ＳＰ７）。

　サーバ装置４のユーザ管理プログラム３４は、かかる第２の認証処理の処理結果を受領すると（ＳＰ８）、受領した第２の認証処理の処理結果に基づいて、そのユーザの正当性が確認されたか否かを判断する（ＳＰ９）。

　そしてユーザ管理プログラム３４は、この判断で肯定結果を得ると、仮想サーバ認証管理テーブル３６（図５）におけるステップＳＰ２でリセットしたそのユーザがログインしようとした仮想サーバ装置に対応するステータス欄３６Ｂに「True」を格納する（ＳＰ１０）。以上により、この仮想サーバ起動時認証処理が終了する。なお、この場合には、かかるユーザによるかかる仮想サーバ装置へのログインが成功したことになる。

　これに対して、ユーザ管理プログラム３４は、ステップＳＰ９の判断で否定結果を得ると、仮想サーバ認証管理テーブル３６におけるステップＳＰ２でリセットしたそのユーザがログインしようとした仮想サーバ装置に対応するステータス欄３６Ｂに「False」を格納する。以上により、この仮想サーバ起動時認証処理が終了する。なお、この場合には、かかるユーザによるかかる仮想サーバ装置へのログインが失敗したことになる。

（３－２）データ本体部ロード処理
　図８は、上述の仮想サーバ起動時認証処理（図７）の処理後に本シンクライアントシステム１において実行されるデータ本体部ロード処理の流れを示す。

　かかる仮想サーバ起動時認証処理が終了すると、続けてこの図８に示すデータ本体部ロード処理が開示され、まず、ユーザ端末２のクライアントデータ要求プログラム２０が、自端末のＯＳを起動した後にそのユーザ端末２に予め登録されたすべてのファイルについて、そのデータ本体部を転送すべき旨のデータロード要求をサーバ装置４に送信する（ＳＰ２０）。

　サーバ装置４のユーザ管理プログラム３４は、このデータロード要求を受信すると、これをストレージ装置６に転送する（ＳＰ２１）。またストレージ装置６のデータ管理プログラム４４は、このデータロード要求を受信すると、これを受け付けて解析し（ＳＰ２２）、かかる各ファイルのデータ本体部をそのデータロード要求の送信元のユーザ端末２を転送しても良いか否かをサーバ装置４に問い合わせる（ＳＰ２３）。

　この問合せを受信したサーバ装置４のユーザ管理プログラム３４は、仮想サーバ認証管理テーブル３６を参照して、そのユーザ端末２のユーザが対応する仮想サーバ装置へのログインに成功しているか否かを判断する（ＳＰ２４）。この判断は、仮想サーバ認証管理テーブル３６におけるその仮想サーバ装置に対応するステータス欄３６Ｂに格納されているステータス情報の値が「True」であるか否かを判定することにより行われる。

　そしてユーザ管理プログラム３４は、この判断で否定結果を得ると、そのユーザ端末２にエラーを通知する（ＳＰ２７）。かくして、この通知を受信したユーザ端末２のクライアントデータ要求プログラム２０は、ファイルデータをロードできない旨の警告を入出力装置１３（図１）の出力装置（表示装置）に表示させる（ＳＰ２８）。以上により、この一連のデータ本体部ロード処理が終了する。

　これに対してユーザ管理プログラム３４は、ステップＳＰ２４の判断で肯定結果を得ると、そのユーザ端末２が盗難等されることによりデータロードを禁止する設定になっているか否かを判断する（ＳＰ２５）。具体的に、ユーザ管理プログラム３４は、データ状況管理テーブル３５（図４）におけるそのユーザに対応するデータロード可否設定欄３５Ｅに格納されているデータロード可否情報を読み出し、そのデータロード可否情報の値が「True」であるか否かを判断する。

　そしてユーザ管理プログラム３４は、この判断で否定結果を得ると、そのユーザ端末２にエラーを通知する（ＳＰ２７）。かくして、この通知を受信したユーザ端末２のクライアントデータ要求プログラム２０は、ファイルデータをロードできない旨の警告を入出力装置１３（図１）の出力装置（表示装置）に表示させる（ＳＰ２８）。以上により、この一連のデータ本体部ロード処理が終了する。

　これに対してユーザ管理プログラム３４は、ステップＳＰ２５の判断で否定結果を得ると、そのユーザ端末２に登録された各ファイルについて、データロードを許可する旨の通知をストレージ装置６に送信する（ＳＰ２６）。

　この通知を受信したストレージ装置６のユーザデータ管理プロラム４４は、そのユーザ端末２に登録されている各ファイルのデータ本体部がデータ格納ボリューム４２のどこに格納されているかを図示しないテーブル上で検索し（ＳＰ２９）、検出結果に基づいて各ファイルのデータ本体部をデータ格納ボリューム４２（図１）から読み出してサーバ装置４に転送する（ＳＰ３０）。またサーバ装置４のユーザ管理プログラム３４は、かかる各ファイルのデータ本体部を受信すると、これをステップＳＰ２０のデータロード要求の送信元のユーザ端末２に転送する（ＳＰ３１）。

　そしてユーザ端末２のクライアントデータ要求プログラム２０は、かかる各ファイルのデータ本体部を受信すると、これをデータ格納ボリューム２３（図１）に格納し、すべてのファイルのデータ本体部を受信し終えると、完了通知をサーバ装置４に送信する（ＳＰ３２）。

　サーバ装置４のユーザ管理プログラム３４は、この完了通知を受信すると、データ状況管理テーブル３５（図４）における対応するユーザの行のそのときそのユーザ端末２がデータ本体部をロードした各ファイルにそれぞれ対応する行のデータ本体部ステータス欄３５Ｃ（図１）の値を「True」に更新する（ＳＰ３３）。そしてユーザ管理プログラム３４は、この後、そのユーザ端末２に完了通知を送信する。以上により、この一連のデータ本体ロード処理が終了する。

（３－３）ファイルオープン処理
　図９は、上述のデータ本体部ロード処理（図８）の終了後に、ユーザが、登録されているいずれかのファイルをオープンすべき旨の操作をユーザ端末２に対して行った場合に本シンクライアントシステム１において実行されるファイルオープン処理の具体的な処理内容を示す。

　この場合、そのユーザ端末２のクライアントデータ要求プログラム２０は、まず、オープンを指示されたファイル（以下、これをオープン対象ファイルと呼ぶ）のデータ本体部をロードしているか否かに基づいて、そのオープン対象ファイルをオープンできるか否かを判断する（ＳＰ４０）。

　そしてクライアントデータ要求プログラム２０は、この判断で否定結果を得ると、そのオープン対象ファイルをオープンできない旨の警告を入出力装置１３の出力装置（表示装置）に表示させ（ＳＰ４９）、この後、このファイルオープン処理を終了する。

　これに対して、クライアントデータ要求プログラム２０は、ステップＳＰ４０の判断で肯定結果を得ると、オープン対象ファイルのキーデータの転送を要求するデータロード要求をサーバ装置４に送信する（ＳＰ４１）。また、このデータロード要求を受信したサーバ装置４のユーザ管理プログラム３４は、そのデータロード要求をストレージ装置６に転送する（ＳＰ４２）。

　ストレージ装置６のデータ管理プログラム４４は、かかるデータロード要求を受信すると、これを受け付け（ＳＰ４３）、受け付けたデータロード要求において指定されているキーデータをそのユーザに転送しても良いか否かをサーバ装置４に問い合わせる（ＳＰ４４）。この結果、続くステップＳＰ４５～ステップＳＰ５１において、図８について上述したデータ本体部ロード処理のステップＳＰ２４～ステップＳＰ３０と同様の処理が実行される。

　ただし、ファイルオープン処理の場合、ステップＳＰ５０では、オープン対象ファイルが検索され、ステップＳＰ５１では、そのオープン対象ファイルのキーデータがデータ格納ボリューム４２（図１）から読み出されてサーバ装置４に転送される（ＳＰ５１）。そしてサーバ装置４のユーザ管理プログラム３４は、かかるキーデータを受信すると、これをステップＳＰ４１で上述したデータロード要求の送信元のユーザ端末２に転送する（ＳＰ５２）。

　かくして、かかるキーデータを受信したユーザ端末２のクライアントデータ要求プログラム２０は、このキーデータと、図８について上述したデータ本体部ロード処理により既にロード済みのオープン対象ファイルのデータ本体部とに基づいてそのオープン対象ファイルをオープンするファイルオープン処理を実行する（ＳＰ５３）。以上により、この一連のファイルオープン処理が終了する。

（３－４）ファイルクローズ／シャットダウン処理
　図１０は、本シンクライアントシステム１において、ユーザ端末２においてオープンされていたファイルをクローズし、又はユーザ端末２をシャットダウンする際に実行されるファイルクローズ／シャットダウン処理の具体的な処理内容を示す。

　本ファイルクローズ／シャットダウン処理は、ユーザが自己のユーザ端末２においてそれまでオープンしていたファイルをクローズする操作を行い、又は、そのユーザ端末２をシャットダウンする操作を行ったときに開始される。

　この場合、そのユーザ端末２のクライアントデータ要求プログラム２０は、そのユーザ端末２でオープンしているファイルをクローズすべき旨の操作が行われた場合にはファイルクローズ要求をサーバ装置４に送信し、そのユーザ端末２をシャットダウンすべき旨の操作が行われた場合には、シャットダウン要求をサーバ装置４に送信する（ＳＰ６０）。

　このファイルクローズ要求又はシャットダウン要求を受信したサーバ装置４のユーザ管理プログラム３４は、そのファイルクローズ要求又はシャットダウン要求を受け付けた旨の通知をそのユーザ端末２に送信する（ＳＰ６１）。

　そして、この通知を受信したユーザ端末２のクライアントデータ要求プログラム２０は、そのときクローズを指示されたファイル、又は、シャットダウンに伴ってクローズすべきすべてのファイルの中からいずれかのファイルに差分データがあるか否かを判断する（ＳＰ６２）。

　ここで、そのときクローズすべきファイルのデータ本体部及びキーデータがファイルオープンからそのときまでに更新されていない場合には、このステップＳＰ６２で否定結果が得られる。かくして、このときクライアントデータ要求プログラム２０は、ステップＳＰ６８に進む。

　これに対して、そのときクローズすべきファイルのデータ本体部及びキーデータの少なくとも一方がファイルオープンからそのときまでに更新されている場合には、このステップＳＰ６２で肯定結果が得られる。かくして、このときクライアントデータ要求プログラム２０は、データ本体部及びキーデータの少なくとも一方が更新された各ファイルの差分データを差分データ格納ボリューム２４（図１）からそれぞれ読み出し、これをその書込み要求と共にサーバ装置４に送信する（ＳＰ６３）。

　またサーバ装置４のユーザ管理プログラム３４は、この差分データ及び書込み要求を受信すると、これらをストレージ装置６に転送する（ＳＰ６４）。

　そしてストレージ装置６のデータ管理プログラム４４は、かかる差分データ及び書込み要求を受信すると、受信した差分データを差分データ格納ボリューム４３（図１）に格納し、その後、かかる差分データの差分データ格納ボリューム４３への格納が完了した旨の完了通知をサーバ装置４に送信する（ＳＰ６５）。なお、差分データ格納ボリューム４３に格納された差分データは、この後、適当なタイミングでデータ格納ボリューム４２（図１）に格納されている対応するファイルのファイルデータ（キーデータ及び又はデータ本体部）に反映される。

　一方、かかる完了通知を受信したサーバ装置４のユーザ管理プログラム３４は、受信した完了通知を、ステップＳＰ６０について上述したファイルクローズ要求又はシャットダウン要求の送信元のユーザ端末２に転送する（ＳＰ６６）。

　かくして、この完了通知を受信したユーザ端末２のクライアントデータ要求プログラム２０は、当該完了通知に基づいて、かかる差分データのストレージ装置６への書込みの完了を確認した後（ＳＰ６７）、そのときクローズすべき各ファイルについて、そのファイルのファイルデータ（キーデータ及びデータ本体部）をデータ格納ボリューム２３（図１）から削除すると共に、そのファイルの差分データが存在する場合には、当該差分データを差分データ格納ボリューム２４から削除する（ＳＰ６８）。

　この後、クライアントデータ要求プログラム２０は、そのときユーザから指示された処理がユーザ端末２のシャットダウンであったか否かを判断する（ＳＰ６９）。そしてクライアントデータ要求プログラム２０は、この判断で否定結果を得るとＳＰ７１に進む。

　これに対して、クライアントデータ要求プログラム２０は、ステップＳＰ６９の判断で肯定結果を得ると、データ格納ボリューム２３に残存するすべてのファイルのファイルデータ（キーデータ及びデータ本体部）を削除すると共に、差分データ格納ボリューム２４に残存するすべての差分データを削除する（ＳＰ７０）。

　またクライアントデータ要求プログラム２０は、ステップＳＰ６８及びステップＳＰ７０において、ファイルデータ（キーデータ及びデータ本体部）をデータ格納ボリューム２３から削除した各ファイルのファイルＩＤをサーバ装置４に通知する（ＳＰ７１）。

　そしてサーバ装置４のユーザ管理プログラム３４は、かかるファイルＩＤが通知されると、ファイルＩＤが通知されたすべてのファイルについて、それぞれデータ状況管理テーブル３５（図４）におけるそのファイルに対応する行のデータ本体部ステータス欄３５Ｃ（図４）及びキーデータステータス欄３５Ｄ（図４）にそれぞれ格納されているステータス情報をすべて「False」に変更し（ＳＰ７２）、この後、データ状況管理テーブル３５の更新が完了した旨をユーザ端末２に通知する。以上により、この一連のファイルクローズ／シャットダウン処理が終了する。

（３－５）全ファイルデータ削除処理
　図１１は、本シンクライアントシステム１において実行される全ファイルデータ削除処理の流れを示す。この全ファイルデータ削除処理は、ユーザが、そのユーザが保持するすべてのファイルのファイルデータをストレージ装置６から削除すべき操作（以下、これを全ファイルデータ削除操作と呼ぶ）をユーザ端末２に対して行った場合に実行される。

　実際上、ユーザ端末２のクライアントデータ要求プログラム２０は、かかる全ファイルデータ削除操作が行われると、対応する各ファイルのファイルデータをすべて削除すべき旨のデータ削除要求をサーバ装置４に送信する（ＳＰ８０）。

　サーバ装置４のユーザ管理プログラム３４は、このデータ削除要求が与えられると、データ状況管理テーブル３５（図４）の各行のうち、上の削除対象の各ファイルにそれぞれ対応する行をすべて削除する（ＳＰ８１）。そしてユーザ管理プログラム３４は、この後、かかる削除が完了した旨の完了通知をそのユーザ端末２に送信する（ＳＰ８２）。

　この完了通知を受信したユーザ端末２のクライアントデータ要求プログラム２０は、ユーザが保持するすべてのファイルのファイルデータをストレージ装置６から削除するべき旨のデータ削除指示をサーバ装置４に送信する（ＳＰ８３）。また、このデータ削除指示を受信したサーバ装置４のユーザ管理プログラム３４は、当該データ削除指示をストレージ装置６に転送する（ＳＰ８４）。

　このデータ削除指示を受信したストレージ装置６のデータ管理プログラム４４は、削除対象のすべてのファイルのファイルデータをデータ格納ボリューム４２（図１）から削除する。またデータ管理プログラム４４は、これらのファイルに関連する差分データが差分データ格納ボリューム４３（図１）に存在する場合には、その差分データを差分データ格納ボリューム４３から削除する（ＳＰ８５）。そしてデータ管理プログラム４４は、この後、かかるデータ削除が完了した旨の完了通知をサーバ装置４に送信する（ＳＰ８６）。

　また、この完了通知を受信したサーバ装置４のユーザ管理プログラム３４は、この完了通知を、ステップＳＰ８０でデータ削除指示を発行したユーザ端末２に送信する。以上により、この一連の全ファイルデータ削除処理が終了する。

　なお、この完了通知を受信したユーザ端末２のクライアントデータ要求プログラム２０は、この後、自端末内のデータ格納ボリューム２３（図１）に格納されているすべてのファイルデータと、差分データ格納ボリューム２４（図１）に格納されているすべての差分データとを削除すると共に、差分／ファイルシステム管理テーブル２１（図２）をリセットする。

（３－６）オフライン時データ削除及び強制削除処理
　他方、図１２は、オフライン時データ削除機能及び強制削除機能に関連して本シンクライアントシステムにおいて実行されるオフライン時データ削除及び強制削除処理の流れを示す。ユーザ端末２のクライアントデータ要求プログラム２０は、この図１２に示す処理手順に従って、オフライン時データ削除機能がオンに設定されている状態でオフラインとなったときや、強制削除設定がオンに設定されたときに、それまでにロードした自端末内のファイルデータ等をすべて削除する。

　実際上、ユーザ端末２のクライアントデータ要求プログラム２０は、自端末が対応する仮想サーバ装置にログインするとこのオフライン時データ削除処理を開始し、まず、オフライン時データ削除管理テーブル２２（図３）を参照して、上述のオフライン時データ削除機能がオンに設定されているか否かを判断する（ＳＰ９０）。具体的に、クライアントデータ要求プログラム２０は、オフライン時データ削除管理テーブル２２の自動削除可否欄２２Ａに格納された値が「True」であるか否かを判断する。

　そしてクライアントデータ要求プログラム２０は、この判断で否定結果を得ると、このオフライン時データ削除及び強制削除処理を終了する。

　これに対して、クライアントデータ要求プログラム２０は、ステップＳＰ９０の判断で肯定結果を得ると、サーバ装置４との接続状況を自端末内の通信装置１２（図１）に確認し（ＳＰ９１）、確認結果に基づいて、サーバ装置４との間の接続が確立されているか否か（オンライン状態にあるか否か）を判断する（ＳＰ９２）。

　そしてクライアントデータ要求プログラム２０は、この判断で肯定結果を得ると、強制削除機能がオン／オフのいずれに設定されているかをサーバ装置４に問い合わせる（ＳＰ９３）。また、この問合せを受けたサーバ装置４のユーザ管理プログラム３４は、データ状況管理テーブル３５のそのユーザ端末２のユーザに対応する強制削除設定欄３５Ｆに格納されている値を読み出し、読み出した値をそのユーザ端末２に通知する（ＳＰ９４）。

　かかる通知を受信したユーザ端末２のクライアントデータ要求プログラム２０は、当該通知に基づいて、強制削除機能がオンに設定されているか否か（つまりユーザ管理プログラム３４から通知された値が「True」であるか否か）を判断する（ＳＰ９５）。そしてクライアントデータ要求プログラム２０は、この判断で否定結果を得ると、オフライン時データ削除管理テーブル２２の待ち時間欄２２Ｂに格納された待ち時間を確認する（ＳＰ９６）。

　またクライアントデータ要求プログラム２０は、この後、ステップＳＰ９６で確認した待ち時間が経過するのを待ち受ける（ＳＰ９７）。そしてクライアントデータ要求プログラム２０は、かかる待ち時間が経過するとステップＳＰ９０に戻り、この後、ステップＳＰ９２又はステップＳＰ９５で否定結果を得るまでステップＳＰ９０～ステップＳＰ９７－ステップＳＰ９０のループを繰り返す。

　そして、クライアントデータ要求プログラム２０は、サーバ装置４との接続が切断されて自端末がオフライン状態となることによりステップＳＰ９２で否定結果を得ると、自端末内のデータ格納ボリューム２３（図１）に格納されたすべてのファイルデータ（データ本体部及びキーデータ）と、差分データ格納ボリューム２４（図１）に格納されたすべての差分データとを削除し（ＳＰ９８）、この後このオフライン時データ削除処理を終了する。

　またクライアントデータ要求プログラム２０は、システム管理者により強制削除機能がオンに設定変更されることによりステップＳＰ９５で肯定結果を得た場合にも、自端末内のデータ格納ボリューム２３に格納されたすべてのファイルデータ（データ本体部及びキーデータ）と、差分データ格納ボリューム２４に格納されたすべての差分データとを削除し（ＳＰ９８）、この後このオフライン時データ削除処理を終了する。

（４）本実施の形態の効果
　以上のように本実施の形態のシンクライアントシステム１では、ユーザ端末２がＯＳの起動時にサーバ装置４からファイルのデータ本体部をロードし、その後、ファイルをオープンする際にそのファイルのファイルオープンの可否を確認した上で、そのファイルのキーデータをロードする。

　この場合、ファイルのキーデータは小さいサイズのデータであり、ファイルオープン時におけるキーデータのロードにはそれほど多くの時間を要さないため、ファイルオープンを迅速に行うことができる。

　またＯＳが起動され、ファイルのデータ本体部がロードされた状態でユーザ端末２が盗難等にあったとしても、そのファイルのキーデータであるヘッダをユーザ端末２が保持しておらず、またそのキーデータをロードするためにはデータロードの可否判定が行われるため（図９のステップＳＰ４６参照）、システム管理者によりそのユーザ端末２についてデータロード可否設定がオンに設定されている場合には、第三者がこれらのファイルをオープンすることができない。

　従って、本シンクライアントシステム１によれば、ファイルオープンに対する高いレスポンス性能を維持しながら高いセキュリティ性を確保することができる。

　また本シンクライアントシステム１では、ユーザ端末２がオフライン状態となったときにそのユーザ端末２が保持する各ファイルのファイルデータ（キーデータ、データ本体部及び又は差分データ）を当該ユーザ端末２からすべて削除させることができるため、より高いセキュリティ性を確保することができる。

　加えて、本シンクライアントシステム１では、ユーザ端末２がオンライン状態にあるときでも強制削除設定をオンに設定することでそのユーザ端末２が保持するファイルデータをすべてそのユーザ端末２から削除したり、ユーザ端末２からの操作によってストレージ装置６に保持された必要なファイルのファイルデータをすべてストレージ装置６から削除することもできるため、高いセキュリティ性を確保することができる。

（５）他の実施の形態
　なお上述の実施の形態においては、本発明を図１のように構成されたシンクライアントシステム１に適用するようにした場合について述べたが、本発明はこれに限らず、この他種々の構成のシンクライアントシステムに広く適用することができる。この場合、サーバ装置４とストレージ装置６とを一体化した構成を採用することもできる。

　また上述の実施の形態においては、ユーザ端末２がファイルデータをロードする際にロード対象のファイルデータとしてキーデータ及びデータ本体部のいずれであるかを特定したデータロード要求をサーバ装置４に送信するようにした場合について述べたが（図８のステップＳＰ２０及び図９のステップＳＰ４１を参照）、本発明はこれに限らず、ユーザ端末２がロード対象のデータがキーデータ又はデータ本体部のいずれであるかを特定しない単にファイルのみを特定したデータロード要求をサーバ装置４に送信し、サーバ装置４側においてデータ状況管理テーブル３５に基づいて、そのときそのユーザ端末２に送信すべきデータがキーデータ及びデータ本体部のいずれであるかを判断するようにしても良い。

　本発明は、種々の構成のシンクライアントシステムに広く適用することができる。

　１……シンクライアントシステム、２……ユーザ端末、４……サーバ装置、６……ストレージ装置、１０，３０，４５……ＣＰＵ、２０……クライアントデータ要求プログラム、２１……差分／ファイルシステム管理テーブル、２２……オフライン時データ削除管理テーブル、２３，４２……データ格納ボリューム、２４，４３……差分データ格納ボリューム、３４……ユーザ管理プログラム、３５……データ状況管理テーブル、３６……仮想サーバ認証管理テーブル、４４……データ管理プログラム、５０……設定画面。

Claims (12)

1. 　ユーザが使用するユーザ端末と、前記ユーザのファイルを記憶する記憶装置と、前記ユーザ端末及び前記記憶装置間で前記ファイルのやり取りを仲介するサーバ装置とを有するシンクライアントシステムにおいて、
   　前記ユーザ端末は、
   　当該ユーザ端末の起動時に前記ファイルのデータを前記サーバ装置に要求し、
   　前記サーバ装置は、
   　前記ユーザ端末からの要求に応じて、前記ファイルのヘッダをキーデータとして、前記ファイルの前記キーデータ以外のデータを前記記憶装置から読み出して前記ユーザ端末に送信し、
   　前記ユーザ端末は、
   　前記キーデータ以外のデータを取得した前記ファイルをオープンする際、当該ファイルの前記キーデータを前記サーバ装置に要求し、
   　前記サーバ装置は、
   　前記ユーザ端末からの要求に応じて、当該ユーザ端末によるファイルオープンの可否を判断し、前記ファイルをオープンしても良い場合に、要求された前記ファイルの前記キーデータを前記記憶装置から読み出して前記ユーザ端末に送信し、
   　前記ユーザ端末は、
   　前記ファイルの前記キーデータと、当該キーデータ以外のデータとに基づいて、当該ファイルをオープンする
   　ことを特徴とするシンクライアントシステム。
2. 　前記サーバ装置に対してユーザ単位でファイルオープンの可否を設定でき、
   　前記サーバ装置は、
   　設定されたユーザごとのファイルオープンの可否に基づいて、前記ユーザ端末によるファイルオープンの可否を判断する
   　ことを特徴とする請求項１に記載のシンクライアントシステム。
3. 　前記ユーザ端末は、
   　オープンした前記ファイルのクローズ時、当該ファイルの前記キーデータ及び当該キーデータ以外のデータを当該ユーザ端末から削除する
   　ことを特徴とする請求項２に記載のシンクライアントシステム。
4. 　前記ユーザ端末は、
   　シャットダウン時、当該ユーザ端末が保持するすべての前記ファイルの前記キーデータ及び当該キーデータ以外のデータを当該ユーザ端末から削除する
   　ことを特徴とする請求項２に記載のシンクライアントシステム。
5. 　前記ユーザ端末は、
   　前記サーバ装置との接続が切断されてオフラインとなった場合に、当該ユーザ端末が保持するすべての前記ファイルの前記キーデータ及び当該キーデータ以外のデータを当該ユーザ端末から削除する
   　ことを特徴とする請求項２に記載のシンクライアントシステム。
6. 　前記ユーザ端末は、
   　前記サーバ装置からの要求に応じて、当該ユーザ端末が保持するすべての前記ファイルの前記キーデータ及び当該キーデータ以外のデータを当該ユーザ端末から削除する
   　ことを特徴とする請求項５に記載のシンクライアントシステム。
7. 　ユーザが使用するユーザ端末と、前記ユーザのファイルを記憶する記憶装置と、前記ユーザ端末及び前記記憶装置間で前記ファイルのやり取りを仲介するサーバ装置とを有するシンクライアントシステムにおいて実行するファイル管理方法において、
   　前記ユーザ端末が、当該ユーザ端末の起動時に前記ファイルのデータを前記サーバ装置に要求する第１のステップと、
   　前記サーバ装置が、前記ユーザ端末からの要求に応じて、前記ファイルのヘッダをキーデータとして、前記ファイルの前記キーデータ以外のデータを前記記憶装置から読み出して前記ユーザ端末に送信する第２のステップと、
   　前記ユーザ端末が、前記キーデータ以外のデータを取得した前記ファイルをオープンする際、当該ファイルの前記キーデータを前記サーバ装置に要求する第３のステップと、
   　前記サーバ装置が、前記ユーザ端末からの要求に応じて、当該ユーザ端末によるファイルオープンの可否を判断し、前記ファイルをオープンしても良い場合に、要求された前記ファイルの前記キーデータを前記記憶装置から読み出して前記ユーザ端末に送信する第４のステップと、
   　前記ユーザ端末が、前記ファイルの前記キーデータと、当該キーデータ以外のデータとに基づいて、当該ファイルをオープンする第５のステップと
   　を備えることを特徴とするファイル管理方法。
8. 　前記サーバ装置に対してユーザ単位でファイルオープンの可否を設定でき、
   　前記ステップ４において、前記サーバ装置は、
   　設定されたユーザごとのファイルオープンの可否に基づいて、前記ユーザ端末によるファイルオープンの可否を判断する
   　ことを特徴とする請求項７に記載のファイル管理方法。
9. 　前記ユーザ端末が、オープンした前記ファイルのクローズ時、当該ファイルの前記キーデータ及び当該キーデータ以外のデータを当該ユーザ端末から削除する第６のステップを備える
   　ことを特徴とする請求項８に記載のファイル管理方法。
10. 　前記ユーザ端末が、シャットダウン時、当該ユーザ端末が保持するすべての前記ファイルの前記キーデータ及び当該キーデータ以外のデータを当該ユーザ端末から削除する第６のステップを備える
    　ことを特徴とする請求項８に記載のファイル管理方法。
11. 　前記ユーザ端末は、
    　前記サーバ装置との接続が切断されてオフラインとなった場合に、当該ユーザ端末が保持するすべての前記ファイルの前記キーデータ及び当該キーデータ以外のデータを当該ユーザ端末から削除する
    　ことを特徴とする請求項８に記載のファイル管理方法。
12. 　前記ユーザ端末は、
    　前記サーバ装置からの要求に応じて、当該ユーザ端末が保持するすべての前記ファイルの前記キーデータ及び当該キーデータ以外のデータを当該ユーザ端末から削除する
    　ことを特徴とする請求項１１に記載のファイル管理方法。

Images