WO2019035393A1

WO2019035393A1 - データ保護システム、データ保護方法及び記録媒体

Info

Publication number: WO2019035393A1
Application number: PCT/JP2018/029601
Authority: WO
Inventors: 大二郎狩生; 尚之大江; 治雄岩崎; 貴浩志摩
Original assignee: 九州電力株式会社; ハミングヘッズ株式会社
Priority date: 2017-08-17
Filing date: 2018-08-07
Publication date: 2019-02-21
Also published as: JP2019036168A; EP3671469A1; JP6310125B1; EP3671469A4; US20200226273A1; US11468184B2

Abstract

本願発明は、クライアントのハードウエア資源を有効活用した情報処理を実現しつつ、クライアント内にデータを保存させないデータ保護システム等を提案する。データ保護システムは、データ保存装置１と、情報処理装置２１を含む。情報処理装置２１において、リダイレクト処理部２７がリダイレクトポリシー４３により利用者に対応する個人記憶領域８にアクセス可能とすることに加えて、ライト制御部３１がライト管理ポリシー４５に従って各記憶領域への書き込みの許可／拒否を制御する。特に、ライト制御部３１が、個人記憶領域８にアクセスするための記憶領域以外の、ローカル記憶部３９への書き込みを禁止することにより、情報処理装置２１にデータを残さず、情報処理装置２１からのデータ漏洩を防止することができる。

Description

データ保護システム、データ保護方法及び記録媒体

　本願発明は、データ保護システム、データ保護方法及び記録媒体に関し、特に、情報処理装置とデータ保存装置を含むデータ保護システム等に関する。

　最近、クライアント内にデータが存在することによるデータ漏洩等に対するセキュリティ意識が高まっている。例えば、デスクトップ仮想化（ＶＤＩ）により仮想化させたデスクトップをサーバで実現し、クライアントのローカルストレージ（例えば、社員が利用する情報処理装置の記憶部（パソコンのハードディスクなど））を利用しないことにより、クライアントのローカルストレージにデータを残さない対策が行われている（非特許文献１など参照）。

　また、ユーザが、どのコンピュータからログオンしても同じプロファイルを利用できるようにするために、フォルダリダイレクト技術によりデータをサーバで集中管理することが知られている（非特許文献２参照）。

"ＶＤＩ導入は、なぜ失敗するのか？"，[online]，インターネット＜ＵＲＬ：http://jpn.nec.com/esemi/dtvsol/＞ "フォルダーリダイレクトでユーザープロファイルを管理する",[online]，インターネット＜ＵＲＬ：http://www.atmarkit.co.jp/ait/articles/1510/08/news019.html＞

　しかしながら、非特許文献１に記載されているように、ＶＤＩは、データだけでなく、プログラムの実行環境をもサーバで集中的に実現する。そのため、専用サーバには、極めて高い処理能力が要求され、膨大な導入・維持管理コストが必要になる。

　非特許文献２記載のフォルダリダイレクト技術では、クライアントでは、例えば、リダイレクトされた記憶領域に対しても、されていないローカルストレージに対しても、同様に、通常のデータ操作を行うことができる。ユーザは、例えばリダイレクトされていないローカルストレージにデータを残すことができるように、サーバでデータ管理を十分に行うことができない。

　そこで、本願発明は、クライアントのハードウエア資源を有効活用した情報処理を実現しつつ、クライアント内にデータを保存させないデータ保護システム等を提案することを目的とする。

　本願発明の第１の観点は、情報処理装置と、データ保存装置を含むデータ保護システムであって、前記情報処理装置は、リダイレクト処理部と、ライト制御部と、ローカル記憶部を備え、前記情報処理装置が前記データ保存装置と通信できる場合に、前記リダイレクト処理部は、前記情報処理装置の利用者が、前記データ保存装置のデータへアクセスすることを可能にし、前記ライト制御部は、前記情報処理装置において実行されるプロセスに対して、前記情報処理装置の利用者の指示によるデータの書き込みについて、前記データ保存装置への書き込みを許可し、前記ローカル記憶部への書き込みを禁止し、前記情報処理装置の利用者の指示によらないデータの書き込みの一部又は全部について、前記データ保存装置及び前記ローカル記憶部への書き込みを許可し、前記情報処理装置が前記データ保存装置と通信できない場合に、前記ライト制御部は、前記情報処理装置において実行されるプロセスに対して、前記情報処理装置の利用者の指示による前記ローカル記憶部へのデータの書き込みを禁止する。

　本願発明の第２の観点は、第１の観点のデータ保護システムであって、当該データ保護システムは、ライト管理ポリシーを記憶するポリシー記憶部を備え、前記ライト管理ポリシーは、前記ローカル記憶部への書き込みを禁止されたプロセスを特定可能であって、前記ローカル記憶部への書き込みを禁止されたプロセスは、前記情報処理装置の利用者の指示によるデータの書き込み処理を行うプロセスを含み、前記情報処理装置が前記データ保存装置と通信できる場合に、前記ライト制御部は、前記ライト管理ポリシーにより特定される前記ローカル記憶部への書き込みを禁止されたプロセスに対して、前記データ保存装置への書き込みを許可し、前記ローカル記憶部への書き込みを禁止し、前記ライト管理ポリシーにより特定される前記ローカル記憶部への書き込みを禁止されたプロセスとは異なるプロセスに対して、前記データ保存装置及び前記ローカル記憶部への書き込みを許可することにより、前記ローカル記憶部に対する前記情報処理装置の利用者の指示によるデータの書き込みを禁止する。

　本願発明の第３の観点は、第１又は第２の観点のデータ保護システムであって、前記ライト制御部は、前記情報処理装置が前記データ保存装置と通信できない場合に、前記情報処理装置において実行されるプロセスに対して、前記データ保存装置とも前記ローカル記憶部とも異なる外部記憶装置への書き込みを許可する。

　本願発明の第４の観点は、第１又は第２の観点のデータ保護システムであって、前記情報処理装置は、ローカル位置表記によって、前記ローカル記憶部のデータにアクセス可能であり、前記情報処理装置が前記データ保存装置と通信できる場合に、前記リダイレクト処理部は、前記ローカル位置表記の一部であるリダイレクト位置表記によって、前記情報処理装置の利用者が、前記データ保存装置のデータへアクセスすることを可能にし、前記ライト制御部は、前記情報処理装置の利用者の指示によるデータの書き込みについて、前記リダイレクト位置表記によりアクセス可能な前記データ保存装置の位置に対して許可し、前記リダイレクト位置表記以外の前記ローカル位置表記によりアクセス可能な前記ローカル記憶部の位置に対して禁止し、前記情報処理装置が前記データ保存装置と通信できない場合に、前記ライト制御部は、前記ローカル位置表記によりアクセス可能な前記ローカル記憶部の位置に対して、前記情報処理装置の利用者の指示によるデータの書き込みを禁止する。

　本願発明の第５の観点は、第１から第４のいずれかの観点のデータ保護システムであって、前記情報処理装置は、ポリシー記憶部を備え、前記データ保存装置は、前記情報処理装置の利用者に対応する個人記憶領域を管理し、前記ポリシー記憶部は、前記情報処理装置の利用者に対応する前記個人記憶領域を特定するためのリダイレクトポリシーと、前記情報処理装置の利用者に対応する、データの書き込みを許可する位置及び／又は許可しない位置を特定するライト管理ポリシーを記憶し、前記情報処理装置が前記データ保存装置と通信できる場合に、前記リダイレクト処理部は、前記リダイレクトポリシーにより、前記情報処理装置の利用者に対応する前記個人記憶領域へのアクセスを可能にし、前記ライト制御部は、前記ライト管理ポリシーにより、前記情報処理装置の利用者に対応するデータの書き込み制御を行う。

　本願発明の第６の観点は、第５の観点のデータ保護システムであって、前記ライト管理ポリシーは、前記情報処理装置の利用者と、前記情報処理装置においてデータの書き込みを許可された及び／又は許可されていないプロセスと、データの書き込みを許可された及び／又は許可されていない記憶領域とを対応付けて管理し、前記情報処理装置が前記データ保存装置と通信できる場合に、前記ライト制御部は、前記情報処理装置の利用者に対応する前記ライト管理ポリシーを用いて、前記情報処理装置の利用者と、データの書き込みを行うプロセスと、データの書き込みが行われる記憶領域との組み合わせによって、データの書き込みを許可するか拒否するかを制御する。

　本願発明の第７の観点は、情報処理装置と、データ保存装置を含むデータ保護システムであって、前記情報処理装置は、リダイレクト処理部と、ライト制御部と、ローカル記憶部を備え、前記ライト制御部は、前記ローカル記憶部への書き込みについて、前記情報処理装置の利用者の指示によるデータの書き込みを禁止し、前記情報処理装置の利用者の指示によらないデータの書き込みの一部又は全部を許可し、前記情報処理装置が前記データ保存装置と通信できる場合に、前記リダイレクト処理部は、前記情報処理装置の利用者が、前記データ保存装置のデータへアクセスすることを可能にし、前記ライト制御部は、前記データ保存装置へのデータの書き込みについて、前記情報処理装置において実行されるプロセスに対して、利用者の指示によるものも利用者の指示によらないものも許可する。

　本願発明の第８の観点は、機器を制御するための情報処理装置と、データ保存装置を含むデータ保護システムであって、前記データ保存装置は、前記機器の利用情報を管理し、前記情報処理装置は、制御部と、リダイレクト処理部と、ライト制御部と、ローカル記憶部を備え、前記情報処理装置が前記データ保存装置と通信できる場合に、前記リダイレクト処理部は、前記情報処理装置が、前記データ保存装置が管理する前記機器の利用情報にアクセス可能にし、前記ライト制御部は、前記機器の利用者の個人を特定できる情報を書き込むプロセスに対して、前記データ保存装置が管理する前記機器の利用情報への書き込みを許可し、前記ローカル記憶部への書き込みを禁止し、前記機器の利用者の個人を特定できる情報を書き込まないプロセスの一部又は全部に対して、前記データ保存装置が管理する前記機器の利用情報及び前記ローカル記憶部への書き込み処理を許可し、前記制御部は、前記データ保存装置が管理する前記機器の利用情報を利用して前記機器を制御し、前記情報処理装置が前記データ保存装置と通信できない場合に、前記ライト制御部は、前記ローカル記憶部に対する前記機器の利用者の個人を特定できる情報の書き込み処理を禁止し、前記制御部は、前記ローカル記憶部のデータを利用して前記機器を制御する。

　本願発明の第９の観点は、情報処理装置と、データ保存装置を含むデータ保護システムにおけるデータ保護方法であって、前記情報処理装置は、リダイレクト処理部と、ライト制御部と、ローカル記憶部を備え、前記情報処理装置が前記データ保存装置と通信できる場合に、前記リダイレクト処理部が、前記情報処理装置の利用者が、前記データ保存装置のデータへアクセスすることを可能にし、前記ライト制御部が、前記情報処理装置において実行されるプロセスに対して、前記情報処理装置の利用者の指示によるデータの書き込みについて、前記データ保存装置への書き込みを許可し、前記ローカル記憶部への書き込みを禁止し、前記情報処理装置の利用者の指示によらないデータの書き込みの一部又は全部について、前記データ保存装置及び前記ローカル記憶部への書き込みを許可し、前記情報処理装置が前記データ保存装置と通信できない場合に、前記ライト制御部が、前記情報処理装置において実行されるプロセスに対して、前記情報処理装置の利用者の指示による前記ローカル記憶部へのデータの書き込みを禁止するステップを含む。

　本願発明の第１０の観点は、コンピュータを、請求項１から７のいずれかに記載のデータ保護システムにおけるライト制御部として機能させるためのプログラムを記録するコンピュータ読み取り可能な記録媒体である。

　本願発明の各観点によれば、情報処理装置とは異なるデータ保存装置が、データを集中管理することができる。そして、フォルダリダイレクト等の技術により、各情報処理装置の利用者は、いずれの情報処理装置を利用しても、データ保存装置のデータを利用することができる。さらに、データ保存装置におけるデータ管理の仕組みに加えて、情報処理装置における書き込み制御を行うことにより、情報処理装置内にデータを保存させず、高度なセキュリティを実現することができる。

　特に、本願発明の第４の観点によれば、フォルダリダイレクト等のように、情報処理装置の利用者が、ローカルストレージのアクセスと同じパスによりデータ保存装置へアクセスするような場合に、同じパスであっても、データ保存装置へのアクセスは許可し、ローカルストレージへのアクセスは禁止することができる。フォルダリダイレクト等の技術では、利用者は、リダイレクトされていないフォルダ等にデータを残す傾向があった。しかしながら、このような利用者の指示を禁止する仕組みが導入されていなかった。本願発明によれば、リダイレクトされていないパスによるローカルストレージへの書き込みを禁止するとともに、リダイレクトされていないときには、そのパスでのローカルストレージへの書き込みを禁止することにより、ローカルストレージに利用者のデータが残ることを防止することができる。

　現在、時間・場所を問わず、大量のデータが収集されている。データ漏洩等の防止は、現在では、組織単位での問題にとどまらず、地域の信頼などを保護するためにも重要な要素となっている。本願発明は、ＶＤＩとは異なり、情報処理装置のハードウエア資源を利用してプログラム等を実行することができる。そのため、専用サーバのような高度なハードウエア資源の導入は必要なく、低い費用で導入できる。そのため、地域にある多くの企業に導入することで、個々の企業単位だけでなく、その地域全体の信頼形成にも貢献することができる。出願人らは、長年、地域を支える活動をし、地域住民からの信頼に応えてきた。本願発明は、出願人らの地域貢献の実績を反映し、地域全体でのデータへの信頼形成に貢献できるものである。

　さらに、本願発明の第５の観点によれば、フォルダリダイレクト等において使用されるリダイレクトポリシーに加えて、ライト管理ポリシーを使用することにより、例えば、ローカルユーザープロファイル全体をリダイレクト等している利用者や、その一部をリダイレクト等している利用者が混在しても、利用者に応じて、容易に、データの集中管理に加えて、情報処理装置内にデータを残さないようにすることができる。

　さらに、本願発明の第６の観点によれば、ライト管理ポリシーにおいてプロセスを含めて管理することにより、柔軟な書き込み制御を実現することができる。例えば、ライト管理ポリシーにおいて、利用者の書き込みの指示（例えば、既にあるデータの変更や削除、新たなデータの作成など）に応じてデータの書き込みを行うプロセスによる、ローカル記憶部へのデータの書き込みを制限することにより、利用者の指示によるローカル記憶部へのデータの書き込みを制限することができる。また、例えばウィルス等により利用者が意図しない個人記憶領域へのデータの書き込みなどに対応したり、利用者が情報処理装置に独自にプログラムをインストールすることなどによるセキュリティレベルの低下を避けたりすることができる。

　さらに、本願発明の第８の観点によれば、ＩｏＴなどの技術分野において、機器を変更したときにも利用情報等のデータを使用することができ、さらに、機器を制御するためのデータを可能な限り機器に残さずに管理して、例えば機器の廃棄や売却時における個人情報の漏洩を防止することができる。

本願発明の実施例に係るデータ保護システムが備える（ａ）データ保存装置１、（ｂ）ポリシー管理装置９及び（ｃ）情報処理装置２１の構成の一例を示すブロック図である。図１のデータ保護システムの動作の一例を示すフロー図である。図１のデータ保護システムにおける書き込み制御の一例を示す。本願発明の他の実施例に係るデータ保護システムが備える（ａ）データ保存装置５１、（ｂ）ポリシー管理装置５９及び（ｃ）機器７０の構成の一例を示すブロック図である。図４のデータ保護システムの動作の一例を示すフロー図である。

　以下では、図面を参照して、本願発明の実施例について説明する。なお、本願発明は、この実施例に限定されるものではない。

　図１は、本願発明の実施例に係るデータ保護システムが備える（ａ）データ保存装置１、（ｂ）ポリシー管理装置９、及び、（ｃ）情報処理装置２１の構成の一例を示す図である。情報処理装置２１は、例えばパソコンなどであり、データ保護システムにおいて複数存在し、例えば会社の従業員などがログインをして利用する。以下では、利用者Ａが、情報処理装置２１にログインして利用しているとする。

　図１（ａ）を参照して、データ保存装置１は、通信部３と、制御部５と、個人記憶領域記憶部７を備える。

　個人記憶領域記憶部７は、情報処理装置２１の利用者（例えば会社の従業員など）のそれぞれに対応して、個人記憶領域を管理する。図１（ａ）では、利用者Ａの個人記憶領域８₁、利用者Ｂの個人記憶領域８₂、などを管理する。

　通信部３は、情報処理装置２１と通信を行う。制御部５は、情報処理装置２１からデータの読み出し要求及び書き込み要求があると、それぞれ、当該情報処理装置２１の利用者に対応する個人記憶領域におけるデータの読み出し及び書き込みをする。

　図１（ｂ）を参照して、ポリシー管理装置９は、通信部１０と、ポリシー管理部１１と、ライト管理ポリシー記憶部１２を備える。

　ライト管理ポリシー記憶部１２は、情報処理装置２１の利用者のそれぞれに対応して、情報処理装置２１において実行されていてデータの書き込みを許可する一つ又は複数のプロセスと、データの書き込みを許可するフォルダの組み合わせを特定するライト管理ポリシーを記憶する。ライト管理ポリシーにおいて、例えば、データの書き込みを許可するプロセスを特定することにより、それ以外を禁止するプロセスとして特定してもよい。同様に、例えば、データの書き込みを許可しないプロセスを特定することにより、それ以外を許可するプロセスとして特定してもよい。フォルダに関しても同様である。

　通信部１０は、情報処理装置２１と通信を行う。ポリシー管理部１１は、システムの管理者の指示によりライト管理ポリシーを管理（追加・変更・削除等）することや、情報処理装置２１にライト管理ポリシーを配布すること、などの処理を行う。

　図１（ｃ）を参照して、情報処理装置２１は、通信部２３と、入力部２５と、リダイレクト処理部２７と、ポリシー設定部２９と、ライト制御部３１と、制御部３３と、取り付け部３５と、ポリシー記憶部３７と、ローカル記憶部３９を備える。取り付け部３５には、外部記憶装置４９（例えばＳＤカードやＵＳＢメモリなど）が、容易に取り外しができるように取り付けられている。

　通信部２３は、データ保存装置１及びポリシー管理装置９と通信を行う。入力部２５は、例えばキーボードやマウス、タッチパネルなどであり、情報処理装置２１の利用者が操作して、ログインの指示や、情報処理を行うデータの指定などを行う。ローカル記憶部３９は、情報処理装置２１において実行可能なプログラムを記憶するプログラム記憶部４７を備える。情報処理装置２１は、ＶＤＩと異なり、プログラム記憶部４７に記憶されたプログラムを実行して、情報処理装置２１のハードウエア資源を有効に活用できる。また、オペレーティングシステムの更新などのときには、個々の情報処理装置２１でバージョンアップなどの作業を行えばよい。

　ポリシー設定部２９は、利用者Ａがログインすると、ポリシー記憶部３７に対して、利用者Ａのポリシーを設定する。ポリシーは、リダイレクト処理部２７によるフォルダリダイレクトのためのリダイレクトポリシー４３と、ライト制御部３１によるデータの書き込み制御のためのライト管理ポリシー４５を含む。本実施例では、リダイレクトポリシー４３は、利用者Ａに対応して、ユーザープロファイルの一部又は全部に対して利用者Ａの個人記憶領域８₁をフォルダリダイレクトするためのものである。ポリシー設定部２９は、ポリシー管理装置９のライト管理ポリシー記憶部１２において管理されている利用者Ａのライト管理ポリシー１３₁をダウンロードし、以前のライト管理ポリシー４５に上書きして設定する。

　情報処理装置２１は、リダイレクトポリシー４３を利用して個人記憶領域８に対するフォルダリダイレクトの処理を行い、ライト管理ポリシー４５を利用して個人記憶領域８、ローカル記憶部３９などへのデータ書き込みを制御する。

　ライト管理ポリシー４５では、情報処理装置２１の利用者に対応して、情報処理装置２１においてデータの書き込みを制限するプロセスと、各プロセスに対応してデータの書き込みを許可する記憶領域とを、対応付けて管理する。例えば、利用者の指示に応じてデータの書き込みを行うプロセスに対して、個人記憶領域８₁の一部又は全部への書き込みを許可し、ローカル記憶部３９への書き込みを禁止する。また、あるプロセスがローカル記憶部３９に書き込むデータが、利用者が入力した内容とは何ら関係のないものであるならば、このプロセスのローカル記憶部３９への書き込み領域を制限せず、このプロセスは、個人記憶領域８₁に加えて、ローカル記憶部３９へも書き込むことができるようにする。これにより、利用者が入力した内容を反映したデータは、プロセスの書き込み処理を制限してローカル記憶部３９への書き込みを禁止し、ローカル記憶部３９からのデータ漏洩を防止することができる。なお、後者のプロセスであっても、書き込みを許可する記憶領域を必要最小限のものとして、個人記憶領域８₁の一部としたり、ローカル記憶部３９の一部としたりしてもよい。

　なお、ライト管理ポリシー４５は、上記のような、いわゆるブラックリスト方式により書き込みを制限するプロセスによって管理してもよく、また、ホワイトリスト方式により書き込みを制限しないプロセスによって管理してもよい。ホワイトリスト方式では、ライト管理ポリシーにおいて書き込みを制限しないプロセスであれば、個人記憶領域８₁及びローカル記憶部３９に書き込みが可能である。このようなホワイトリスト方式によりデータの書き込みを許可するプロセスを管理することにより、例えば、利用者が意図しない、ウィルス等による個人記憶領域へのデータの書き込みなどに対応することができる。また、利用者が情報処理装置２１に独自にプログラムをインストールすることなどによるセキュリティレベルの低下を避けることができる。

　また、ブラックリスト方式とホワイトリスト方式を組み合わせてもよい。例えば、個人記憶領域８₁についてはホワイトリスト方式を採用し、ライト管理ポリシーに掲載されているプロセスでなければ書き込みを禁止して、ウィルス等の意図しない書き込みから個人記憶領域８₁におけるデータを保護する。他方、ローカル記憶部３９については、ブラックリスト方式を採用し、ライト管理ポリシーに掲載されているプロセスには書き込みを禁止して、ローカル記憶部３９からのデータ漏洩等を防止する。

　以下では、簡単のために、ブラックリスト方式によるものとし、ライト管理ポリシー４５に含まれるプロセスについては、データの書き込みを許可するフォルダは、利用者Ａの個人記憶領域８₁にアクセスするためのフォルダ（このフォルダを特定するための位置表記（パス）が、本願請求項の「リダイレクト位置表記」の一例である。）であり、他のフォルダに対する書き込みを禁止するとする。

　リダイレクト処理部２７は、例えば、リダイレクトポリシー４３を利用して、フォルダリダイレクトなどの技術を用いて、情報処理装置２１がアクセスできる一部のフォルダに、データ保存装置１の利用者Ａの個人記憶領域８₁を割り当て、利用者Ａが、個人記憶領域８₁のデータを利用できるようにする。

　ライト制御部３１は、ライト管理ポリシー４５を用いて利用者Ａの指示によるデータの書き込み制御を行う。

　制御部３３は、プログラム記憶部４７のプログラムの実行等により、情報処理装置２１の動作を制御する。

　図２は、図１のデータ保護システムの動作の一例を示すフロー図である。図２を参照して、図１のデータ保護システムの動作の一例を説明する。

　情報処理装置２１の制御部３３は、利用者が入力部２５を操作して、情報処理装置２１にログインする（ステップＳＴ１）。制御部３３は、ログインした利用者に応じた処理を行う。以下では、利用者Ａがログインしたとする。

　続いて、ポリシー設定部２９は、通信部２３によりデータ保存装置１及びポリシー管理装置９と通信可能か否かを判断する（ステップＳＴ２）。通信可能であればステップＳＴ３に進み、通信できないならばステップＳＴ１０に進む。

　ステップＳＴ３において、ポリシー設定部２９は、利用者Ａの個人記憶領域８₁へフォルダリダイレクトするためのリダイレクトポリシー４３を設定し、ポリシー管理部１１に依頼してライト管理ポリシー記憶部１２の利用者Ａのライト管理ポリシー１３₁をダウンロードしてライト管理ポリシー４５を設定する（ステップＳＴ３）

　リダイレクト処理部２７は、リダイレクトポリシー４３を用いて、フォルダリダイレクト技術により、リダイレクト位置表記により特定されるフォルダにより、情報処理装置２１が利用者Ａの個人記憶領域８₁にアクセスできる状況にする（ステップＳＴ４）。

　利用者Ａは、ローカル記憶部３９のプログラム記憶部４７のプログラムを利用して、利用者Ａの個人記憶領域８₁のデータを読み出して処理を行うことができる。

　ライト制御部３１は、プロセスが、データの書き込みを指示したか否かを判断する（ステップＳＴ５）。プロセスがデータを書き込む指示をしたならばステップＳＴ６に進む。

　ステップＳＴ６において、ライト制御部３１は、プロセスが指示した書き込みが、ライト管理ポリシー４５に含まれていないプロセスによる書き込みであるか否か、そして、プロセスが指示した書き込みが、ライト管理ポリシー４５に含まれたプロセスによる許可されたフォルダ内への書き込みであるか否かを判断する。ライト管理ポリシー４５に含まれていないプロセスによる書き込みであるならば、データの書き込み処理を行う。すなわち、ローカル記憶部３９のフォルダへの書き込みであるならば、ローカル記憶部３９への書き込みを行う。利用者Ａの個人記憶領域８₁のフォルダへの書き込みであるならば、データ保存装置１にデータの書き込みを依頼する。ライト管理ポリシー４５に含まれたプロセスによる許可されたフォルダ内への書き込みであるならば書き込み処理を行い、データ保存装置１に利用者Ａの個人記憶領域８₁へのデータの書き込みを依頼して（ステップＳＴ７）、ステップＳＴ９に進む。許可されていないならば書き込み処理を拒絶し（ステップＳＴ８）、ステップＳＴ９に進む。ステップＳＴ９で、制御部３３は、利用者Ａがログアウトを指示したか否かを判断し、指示したならばログアウト処理を行って終了し、指示していないならばステップＳＴ５に戻る。

　ステップＳＴ１０では、ステップＳＴ２により、情報処理装置２１とデータ保存装置１及び／又はポリシー管理装置９とが通信できない状況である。ＶＤＩとは異なり、本実施例では、情報処理装置２１は、ローカル記憶部３９のプログラム記憶部４７のプログラムを利用することができる。

　制御部３３は、ローカル記憶部３９に、プログラムの実行にあたり必要なデータを追加したり、変更したりするなどの処理を行う。ライト制御部３１は、例えば、利用者Ａに対して、ローカル記憶部３９へのデータの書き込みを禁止し、外部記憶装置４９へのデータの書き込みを許可する。例えば、ポリシー設定部２９が、ローカル記憶部３９への書き込みを禁止し、外部記憶装置４９への書き込みを許可するライト管理ポリシー４５を設定し、ライト制御部３１が、ライト管理ポリシーに従って書き込み制御してもよい。

　これにより、情報処理装置２１の利用者Ａは、例えば、営業先で、外部記憶装置４９などに記憶されたデータを利用したデモンストレーションを示しながら、営業先との打ち合わせメモを外部記憶装置４９に残すなどの作業を行うことができる。ローカル記憶部３９には、利用者Ａが作成したデータが残らないため、情報処理装置２１からのデータ漏洩を防止できる。また、外部記憶装置４９は、例えば暗号化をなし、情報処理装置２１から取り外して、情報処理装置２１と外部記憶装置４９を別に管理することにより、ローカル記憶部３９とは異なるセキュリティレベルを設定することができる。

　ステップＳＴ１１で、制御部３３は、利用者Ａがログアウトを指示したか否かを判断し、指示したならばログアウト処理を行って終了する。指示していないならば、ステップＳＴ１０のアクセス制御を続ける。

　図３を参照して、図１のデータ保護システムにおける書き込み制御の一例を説明する。（ａ）は情報処理装置２１とデータ保存装置１が通信できる場合であり、（ｂ）は通信できない場合である。ローカル位置表記により特定されるフォルダにより、ローカル記憶部のデータにアクセスできる。リダイレクト位置表記は、ローカル位置表記の一部である。利用者による書き込み指示を実行するプロセスに対しては図３の制御を行い、利用者による書き込み指示を実行しないプロセスに対しては書き込みを許可する。

　図３（ａ）を参照して、情報処理装置２１とデータ保存装置１が通信できる場合、リダイレクトポリシーを用いたフォルダリダイレクトにより、リダイレクト位置表記により特定されるフォルダによって、利用者Ａの個人記憶領域にアクセスできるようにする。そして、利用者による書き込み指示を実行するプロセスに対して、ライト管理ポリシーを用いて書き込み制御を行い、リダイレクト位置表記により特定されるフォルダ内に対する書き込みを許可し、リダイレクト位置表記以外のローカル位置表記により特定されるフォルダ内でのローカル記憶部への書き込みを禁止する。

　図３（ｂ）を参照して、情報処理装置２１とデータ保存装置１が通信できない場合、利用者Ａの個人記憶領域にアクセスできない。そのため、利用者による書き込み指示を実行するプロセスに対して、リダイレクト位置表記により特定されるフォルダを含めて、ローカル位置表記により特定されるフォルダ内へのデータの書き込みを禁止する。本実施例では、外部記憶装置への書き込みは許可する。

　図４及び図５は、本願発明の他の実施例として、情報処理装置が機器に組み込まれた場合のデータ保護システムを示す。図４の情報処理装置７１は、機器ａ７０に組み込まれ、情報処理装置７１の制御部８３は、機器ａ７０の動作を制御する。例えば、機器ａ７０がエアコンであれば、利用者Ａは、自身のスマートフォンを操作して入力部７５にアクセスする。そして、目指す目標室温などの情報を入力し、情報処理装置７１は、現在の室温と目標室温とを用いて機器ａ７０を制御し、室温が目標室温になるように室内を温めたり冷やしたりする。

　図４は、本願発明の他の実施例に係るデータ保護システムが備える（ａ）データ保存装置５１、（ｂ）ポリシー管理装置５９、及び、（ｃ）機器ａ７０の構成の一例を示す。

　図４（ａ）を参照して、データ保存装置５１は、通信部５３と、制御部５５と、利用情報記憶部５７を備える。通信部５３及び制御部５５は、それぞれ、情報処理装置７１と通信を行い、及び、データ保存装置５１の動作を制御する。

　利用情報記憶部５７は、機器のそれぞれに対応して利用情報５８を管理する。利用情報５８は、例えば、機器ａ７０の利用者が入力部７５に入力した情報や、入力した情報を特定可能な情報である。例えば機器ａ７０がエアコンの場合、利用者は入力部７５に目標温度を設定する。エアコンは、室温が目標温度となるように調整する。入力された目標温度は、利用情報５８の一例である。また、例えば機器ａ７０が番組録画の場合、利用者は入力部７５に録画する番組を指定する。機器ａ７０は、指定された番組を録画する。指定された番組を特定する情報や録画された番組が、利用情報５８の一例である。

　通信部５３は、情報処理装置７１と通信を行う。制御部５５は、情報処理装置７１からデータの読み出し要求及び書き込み要求があると、それぞれ、当該情報処理装置７１を備える機器に対応する利用情報の読み出し及び書き込みをする。

　図４（ｂ）を参照して、ポリシー管理装置５９は、通信部６０と、ポリシー管理部６１と、ライト管理ポリシー記憶部６２を備える。

　ライト管理ポリシー記憶部６２は、機器のそれぞれに対応して、情報処理装置７１において実行されていて利用情報の書き込みを許可する複数のプロセスと、利用情報の書き込みを許可する記憶領域を特定するライト管理ポリシー６３を記憶する。

　通信部６０は、情報処理装置７１と通信を行う。ポリシー管理部６１は、システムの管理者の指示によりライト管理ポリシーを管理（追加・変更・削除等）することや、情報処理装置７１にライト管理ポリシーを配布すること、などの処理を行う。

　図４（ｃ）を参照して、機器ａ７０は、情報処理装置７１を備える。情報処理装置７１は、通信部７３と、入力部７５と、リダイレクト処理部７７と、ポリシー設定部７９と、ライト制御部８１と、制御部８３と、取り付け部８５と、ポリシー記憶部８７と、ローカル記憶部８９を備える。取り付け部８５には、外部記憶装置９９が、容易に取り外しができるように取り付けられている。ローカル記憶部８９は、情報処理装置７１において実行可能なプログラムを記憶するプログラム記憶部９７を備える。

　通信部７３、入力部７５、及び、制御部８３は、それぞれ、データ保存装置５１及びポリシー管理装置５９と通信を行い、利用者が操作して利用情報の変更指示などを入力し、並びに、プログラム記憶部９７のプログラムの実行等により情報処理装置７１や機器ａ７０の動作を制御する。

　ポリシー設定部７９は、機器ａ７０が起動すると、ポリシー記憶部８７に対して、機器ａ７０のポリシーを設定する。ポリシーは、機器ａの利用情報５８₁にアクセスするためのリダイレクトポリシー９３と、ライト制御部８１によるデータの書き込み制御のためのライト管理ポリシー９５を含む。ポリシー設定部７９は、ライト管理ポリシー記憶部６２において管理されている機器ａのライト管理ポリシー６３₁をダウンロードし、以前のライト管理ポリシー９５に上書きして設定する。ライト管理ポリシー９５では、ホワイトリスト方式を採用し、機器ａ７０と、データの書き込みを許可するプロセスと、データの書き込みを許可する記憶領域とを対応付けて管理する。ライト制御部８１は、ライト管理ポリシー９５に含まれるプロセスについては、許可された記憶領域（例えば、機器ａの利用情報５８₁及びローカル記憶部８９の一部又は全部）に対するデータの書き込みを許可する。ライト制御部８１は、ライト管理ポリシー９５に含まれないプロセスについては、ローカル記憶部８９に対するデータの書き込みを拒否する。ライト管理ポリシー９５では、例えば、利用者が使用する際に利用者個人を特定できる情報を書き込むプロセスは含まないようにし、通常の処理で発生するデータのみを書き込むプロセスなどを含めるようにする。

　情報処理装置７１は、リダイレクト処理部７７がリダイレクトポリシー９３を利用して機器ａの利用情報５８₁にアクセス可能にし、ライト制御部８１がライト管理ポリシー９５を利用して利用情報５８₁及びローカル記憶部８９の記憶領域へのデータ書き込みを制御する。

　図５は、図４のデータ保護システムの動作の一例を示すフロー図である。図５を参照して、図４のデータ保護システムの動作の一例を説明する。

　機器ａ７０が起動すると、ポリシー設定部７９は、通信部７３によりデータ保存装置５１及びポリシー管理装置５９と通信可能か否かを判断する（ステップＳＴＣ１）。通信できないならばステップＳＴＣ９に進む。通信可能であれば、ポリシー設定部７９は、機器ａの利用情報５８₁へアクセスするためのリダイレクトポリシー９３を設定し、ライト管理ポリシー記憶部６２の機器ａのライト管理ポリシー６３₁をダウンロードしてライト管理ポリシー９５を設定する（ステップＳＴＣ２）。リダイレクト処理部７７は、リダイレクトポリシー９３を用いて、情報処理装置７１が機器ａの利用情報５８₁にアクセスできる状況にする（ステップＳＴＣ３）。制御部８３は、ローカル記憶部８９のプログラム記憶部９７のプログラムを利用して、機器ａの利用情報５８₁を読み出して、機器ａ７０の動作を制御する。

　ライト制御部８１は、プロセスがデータの書き込みの指示をしたか否かを判断する（ステップＳＴＣ４）。書き込み指示があったならばステップＳＴＣ５に進む。書き込み指示がないならば、ステップＳＴＣ８に進む。

　ステップＳＴＣ５において、ライト制御部８１は、プロセスの書き込みの指示が、ライト管理ポリシー９５に含まれるプロセスによる許可された記憶領域に対するものであるか否か、そして、ライト管理ポリシー９５に含まれないプロセスによる機器ａの利用情報５８₁に対するものであるか否か、を判断する。プロセスの書き込みの指示が、ライト管理ポリシー９５に含まれるプロセスによる許可された記憶領域に対するものであるならば、書き込み処理を行う。また、ライト管理ポリシー９５に含まれないプロセスによる機器ａの利用情報５８₁に対するものであるならば、書き込み処理を行い（ステップＳＴＣ６）、ステップＳＴＣ８に進む。許可されていないならば、書き込み処理を拒絶し（ステップＳＴＣ７）、ステップＳＴＣ８に進む。ステップＳＴＣ８で、制御部８３は、利用者が機器ａ７０の終了を指示したか否かを判断し、指示したならば処理を終了し、指示していないならばステップＳＴＣ４に戻る。

　ステップＳＴＣ９では、ステップＳＴＣ１により、情報処理装置７１とデータ保存装置５１及び／又はポリシー管理装置５９とが通信できない状況である。制御部８３は、ローカル記憶部８９及び外部記憶装置９９に、プログラムの実行にあたり必要なデータを追加したり、変更したりするなどの処理を行う。ライト制御部８１は、例えば、ローカル記憶部８９へのデータの書き込みを禁止し、外部記憶装置９９へのデータの書き込みを許可する。これにより、情報処理装置７１は、個人情報をローカル記憶部８９に残すことなく、機器ａ７０の制御を行うことができる。ステップＳＴＣ１０で、制御部８３は、利用者が終了を指示したか否かを判断し、指示したならば処理を終了する。指示していないならば、ステップＳＴＣ９のアクセス制御を続ける。

　図４及び図５にあるように、ＩｏＴなどの技術分野において、本願発明を利用することができる。今後、例えばテレビ番組などを録画した番組保存装置を、個人が所有するスマートフォン等にアプリをインストールしてコントロールし、番組保存装置は、コントロールするスマートフォン等に応じた動作をすることなどが予想される。この場合、番組保存装置に録画・再生等された番組は、利用者のプライベートな情報が反映されたものとなる。このようなプライベートな情報が番組保存装置に蓄積されたままで廃棄されたり中古販売されたりすると、プライベートな情報の漏洩につながる。本願発明によれば、データ保存装置と通信できる場合にはプライベートな情報をローカル記憶部に残さないようにするため、プライベートな情報漏洩を防止できる。他方、データ保存装置と通信できない場合には、例えば、取り外し可能な外部記憶装置に保存し、廃棄等のときに、この外部記憶装置を取り外すだけで、プライベートな情報の漏洩を防止することができる。なお、例えばローカル記憶部の特定のデータ記憶部に保存し、中古販売時には、この領域のデータを消去すれば足りる。この記憶領域は、暗号化したものでものよい。また、近時、ＩｏＴでもウィルス等が発見されているが、個々の機器で対応することが困難である。本願発明によれば、ライト管理ポリシーによりデータ書き込みを許可するプロセスを管理できるため、誤動作から個人情報を保護することができる。セキュリティを強化するのであれば、ライト管理ポリシーによってプロセスのリード管理をも管理するようにしてもよい。

　なお、図４及び図５においても、ホワイトリスト方式、ブラックリスト方式、及び、これらを組み合わせて書き込み制御を行ってもよい。

　１，５１　データ保存装置、３，５３　通信部、５，５５　制御部、７　個人記憶領域記憶部、８　個人記憶領域、９，５９　ポリシー管理装置、１０　通信部、１１，６１　ポリシー管理部、１２，６２　ライト管理ポリシー記憶部、１３，６３　ライト管理ポリシー、２１，７１　情報処理装置、２３，７３　通信部、２５，７５　入力部、２７，７７　リダイレクト処理部、２９，７９　ポリシー設定部、３１，８１　ライト制御部、３３，８３　制御部、３５，８５　取り付け部、３７，８７　ポリシー記憶部、３９，８９　ローカル記憶部、４１，９１　ポリシー、４３，９３　リダイレクトポリシー、４５，９５　ライト管理ポリシー、４７，９７　プログラム記憶部、４９，９９　外部記憶装置、５７　利用情報記憶部、５８　利用情報、７０　機器ａ

Claims

　情報処理装置と、データ保存装置を含むデータ保護システムであって、
　前記情報処理装置は、リダイレクト処理部と、ライト制御部と、ローカル記憶部を備え、
　前記情報処理装置が前記データ保存装置と通信できる場合に、
　　前記リダイレクト処理部は、前記情報処理装置の利用者が、前記データ保存装置のデータへアクセスすることを可能にし、
　　前記ライト制御部は、前記情報処理装置において実行されるプロセスに対して、
　　　前記情報処理装置の利用者の指示によるデータの書き込みについて、前記データ保存装置への書き込みを許可し、前記ローカル記憶部への書き込みを禁止し、
　　　前記情報処理装置の利用者の指示によらないデータの書き込みの一部又は全部について、前記データ保存装置及び前記ローカル記憶部への書き込みを許可し、
　前記情報処理装置が前記データ保存装置と通信できない場合に、前記ライト制御部は、前記情報処理装置において実行されるプロセスに対して、前記情報処理装置の利用者の指示による前記ローカル記憶部へのデータの書き込みを禁止する、データ保護システム。
　当該データ保護システムは、ライト管理ポリシーを記憶するポリシー記憶部を備え、
　前記ライト管理ポリシーは、
　　前記ローカル記憶部への書き込みを禁止されたプロセスを特定可能であって、
　　前記ローカル記憶部への書き込みを禁止されたプロセスは、前記情報処理装置の利用者の指示によるデータの書き込み処理を行うプロセスを含み、
　前記情報処理装置が前記データ保存装置と通信できる場合に、
　　前記ライト制御部は、
　　　前記ライト管理ポリシーにより特定される前記ローカル記憶部への書き込みを禁止されたプロセスに対して、前記データ保存装置への書き込みを許可し、前記ローカル記憶部への書き込みを禁止し、
　　　前記ライト管理ポリシーにより特定される前記ローカル記憶部への書き込みを禁止されたプロセスとは異なるプロセスに対して、前記データ保存装置及び前記ローカル記憶部への書き込みを許可する
ことにより、前記ローカル記憶部に対する前記情報処理装置の利用者の指示によるデータの書き込みを禁止する、請求項１記載のデータ保護システム。
　前記ライト制御部は、前記情報処理装置が前記データ保存装置と通信できない場合に、前記情報処理装置において実行されるプロセスに対して、前記データ保存装置とも前記ローカル記憶部とも異なる外部記憶装置への書き込みを許可する、請求項１又は２に記載のデータ保護システム。
　前記情報処理装置は、ローカル位置表記によって、前記ローカル記憶部のデータにアクセス可能であり、
　前記情報処理装置が前記データ保存装置と通信できる場合に、
　　前記リダイレクト処理部は、前記ローカル位置表記の一部であるリダイレクト位置表記によって、前記情報処理装置の利用者が、前記データ保存装置のデータへアクセスすることを可能にし、
　　前記ライト制御部は、
　　　前記情報処理装置の利用者の指示によるデータの書き込みについて、前記リダイレクト位置表記によりアクセス可能な前記データ保存装置の位置に対して許可し、前記リダイレクト位置表記以外の前記ローカル位置表記によりアクセス可能な前記ローカル記憶部の位置に対して禁止し、
　前記情報処理装置が前記データ保存装置と通信できない場合に、前記ライト制御部は、前記ローカル位置表記によりアクセス可能な前記ローカル記憶部の位置に対して、前記情報処理装置の利用者の指示によるデータの書き込みを禁止する、請求項１又は２に記載のデータ保護システム。
　前記情報処理装置は、ポリシー記憶部を備え、
　前記データ保存装置は、前記情報処理装置の利用者に対応する個人記憶領域を管理し、
　前記ポリシー記憶部は、
　　前記情報処理装置の利用者に対応する前記個人記憶領域を特定するためのリダイレクトポリシーと、
　　前記情報処理装置の利用者に対応する、データの書き込みを許可する位置及び／又は許可しない位置を特定するライト管理ポリシーを記憶し、
　前記情報処理装置が前記データ保存装置と通信できる場合に、
　　前記リダイレクト処理部は、前記リダイレクトポリシーにより、前記情報処理装置の利用者に対応する前記個人記憶領域へのアクセスを可能にし、
　　前記ライト制御部は、前記ライト管理ポリシーにより、前記情報処理装置の利用者に対応するデータの書き込み制御を行う、請求項１から４のいずれかに記載のデータ保護システム。
　前記ライト管理ポリシーは、前記情報処理装置の利用者と、前記情報処理装置においてデータの書き込みを許可された及び／又は許可されていないプロセスと、データの書き込みを許可された及び／又は許可されていない記憶領域とを対応付けて管理し、
　前記情報処理装置が前記データ保存装置と通信できる場合に、前記ライト制御部は、前記情報処理装置の利用者に対応する前記ライト管理ポリシーを用いて、前記情報処理装置の利用者と、データの書き込みを行うプロセスと、データの書き込みが行われる記憶領域との組み合わせによって、データの書き込みを許可するか拒否するかを制御する、請求項５記載のデータ保護システム。
　情報処理装置と、データ保存装置を含むデータ保護システムであって、
　前記情報処理装置は、リダイレクト処理部と、ライト制御部と、ローカル記憶部を備え、
　前記ライト制御部は、前記ローカル記憶部への書き込みについて、
　　前記情報処理装置の利用者の指示によるデータの書き込みを禁止し、
　　前記情報処理装置の利用者の指示によらないデータの書き込みの一部又は全部を許可し、
　前記情報処理装置が前記データ保存装置と通信できる場合に、
　　前記リダイレクト処理部は、前記情報処理装置の利用者が、前記データ保存装置のデータへアクセスすることを可能にし、
　　前記ライト制御部は、前記データ保存装置へのデータの書き込みについて、前記情報処理装置において実行されるプロセスに対して、利用者の指示によるものも利用者の指示によらないものも許可する、データ保護システム。
　機器を制御するための情報処理装置と、データ保存装置を含むデータ保護システムであって、
　前記データ保存装置は、前記機器の利用情報を管理し、
　前記情報処理装置は、制御部と、リダイレクト処理部と、ライト制御部と、ローカル記憶部を備え、
　前記情報処理装置が前記データ保存装置と通信できる場合に、
　　前記リダイレクト処理部は、前記情報処理装置が、前記データ保存装置が管理する前記機器の利用情報にアクセス可能にし、
　　前記ライト制御部は、
　　　前記機器の利用者の個人を特定できる情報を書き込むプロセスに対して、前記データ保存装置が管理する前記機器の利用情報への書き込みを許可し、前記ローカル記憶部への書き込みを禁止し、
　　　前記機器の利用者の個人を特定できる情報を書き込まないプロセスの一部又は全部に対して、前記データ保存装置が管理する前記機器の利用情報及び前記ローカル記憶部への書き込み処理を許可し、
　　前記制御部は、前記データ保存装置が管理する前記機器の利用情報を利用して前記機器を制御し、
　前記情報処理装置が前記データ保存装置と通信できない場合に、
　　前記ライト制御部は、前記ローカル記憶部に対する前記機器の利用者の個人を特定できる情報の書き込み処理を禁止し、
　　前記制御部は、前記ローカル記憶部のデータを利用して前記機器を制御する、データ保護システム。
　情報処理装置と、データ保存装置を含むデータ保護システムにおけるデータ保護方法であって、
　前記情報処理装置は、リダイレクト処理部と、ライト制御部と、ローカル記憶部を備え、
　前記情報処理装置が前記データ保存装置と通信できる場合に、
　　前記リダイレクト処理部が、前記情報処理装置の利用者が、前記データ保存装置のデータへアクセスすることを可能にし、
　　前記ライト制御部が、前記情報処理装置において実行されるプロセスに対して、
　　　前記情報処理装置の利用者の指示によるデータの書き込みについて、前記データ保存装置への書き込みを許可し、前記ローカル記憶部への書き込みを禁止し、
　　　前記情報処理装置の利用者の指示によらないデータの書き込みの一部又は全部について、前記データ保存装置及び前記ローカル記憶部への書き込みを許可し、
　前記情報処理装置が前記データ保存装置と通信できない場合に、前記ライト制御部が、前記情報処理装置において実行されるプロセスに対して、前記情報処理装置の利用者の指示による前記ローカル記憶部へのデータの書き込みを禁止するステップを含むデータ保護方法。
　コンピュータを、請求項１から７のいずれかに記載のデータ保護システムにおけるライト制御部として機能させるためのプログラムを記録するコンピュータ読み取り可能な記録媒体。